微軟IT管理不當遭利用，離職員工竊取醫院客戶百萬病患個資

美國賓州一家醫療院所Geisinger Health去年因微軟IT管理不當，讓一名員工離職後仍可存取其系統並竊取超過100萬病患個資。

Geisinger Health是美國知名醫療院所，擁有10個院區、2.6萬名員工包括1,600多位醫師，其醫療計畫下的企業及政府方案有60萬會員，年營收100億美元。

Geisinger說明，去年11月29日Geisinger發現隷屬於微軟的Nuance員工存取其病患資訊系統，而且是在他被公司解職後2天所為。在獲得客戶通知後，Nuance已永久終止這名前員工的系統存取權。目前這名員工已遭到逮捕，將面臨起訴。

微軟是在2021年收購語音技術供應商Nuance，並將其技術整合AI模型提供語音聽寫方案DAX，後者可用於醫療情境，像是產生臨床筆記、醫囑、電子病歷等。

經過調查，這起事件導致Geisinger超過100萬病患資訊被這名前微軟員工存取。遭到存取的資訊包括病患姓名、生日、住家地址、入／出院及轉診號碼、病歷號、種族、性別、電話及醫療設施名稱縮寫。但保險理賠、保險資訊、信用卡、銀行帳戶及其他財務資訊、與社會安全號碼都未受影響。

媒體The Register報導，這不是Nuance第一次IT管理不當。2018年舊金山公共健康部也遭Nuance離職員工存取了當地醫療網絡的IT系統，包括2家醫院近900名病患的醫療謄寫紀錄。