2026年3月24日、HIPAA JournalはテレヘルスプラットフォームプロバイダーのOpenLoop Healthでのデータ流出について報告しました(下記参照)。データ流出は規制当局に報告されていましたが、HHS Civil Rights事務所の流出ポータルにインシデントが追加され、流出の規模が明確になるまで数週間かかることがあります。データ流出は2026年3月17日にOCRに報告されましたが、つい最近ブリーチポータルに追加されました。その記載により、最大716,000人個人の保護されたヘルスケア情報がインシデントで危険にさらされていることが示されています。
2026年3月24日:テレヘルスプラットフォームプロバイダーOpenLoop Healthがデータ流出を開示
テレヘルスプラットフォームプロバイダーのOpenLoop Health Inc.による重大なデータ流出が報告されています。影響を受けた個人の総数はまだ公開されていませんが、今年これまでのところ、ヘルスケア業界で最大規模のデータ流出の1つである可能性があります。カリフォルニア司法長官に提供された流出通知によると、OpenLoop Healthは2026年1月7日に、不正な第三者がそのシステムの一部にアクセスし、機密データを含むファイルをコピーしていることを知りました。サードパーティのサイバーセキュリティスペシャリストが関与して、インシデントの性質と範囲を調査・確認し、システムが保護されており、もはやアクセスできないようにしました。
フォレンジック調査により、不正な第三者が2026年1月7日から2026年1月8日にかけてそのネットワークにアクセスし、システムから外部に持ち出されたファイルには、名前、住所、メールアドレス、生年月日、医療情報などの情報が含まれていることが確認されました。OpenLoop Healthは、社会保障番号はアクセスされたり盗まれたりしていないと述べています。それ以来、セキュリティを強化するための措置が講じられており、影響を受けた個人には郵便で通知されています。影響を受けた個人には、無料のクレジット監視とアイデンティティ盗難防止サービスが提供されています。
Stuckin2019というニックネームを持つ脅迫者がハッキングフォーラムのリスティングでインシデントの責任を主張し、160万人の患者情報を取得したと主張しています。脅迫者の主張は誇張されている可能性があり、記録がすべてユニークではない可能性があり、場合によっては主張が完全に作られている可能性があります。この場合、Stuckin2019はデータ盗難の証拠として患者データのサンプルを公開しました。OpenLoop Healthは、データ流出の規模またはStuckin2019の主張の妥当性をまだ公開で確認していません。HHS Civil Rights事務所のブリーチポータルには、このインシデントはまだ表示されていませんが、テキサス司法長官事務所のウェブサイトでは、68,160人の州民に影響を与えるOpenLoop Healthのデータ流出がリストされています。そのインシデントはテキサス司法長官により2026年3月18日に公開されました。
Databreaches.netは、Stuckin2019はグループではなく男性で個人であり、テレヘルス企業を攻撃する傾向があるようだと報告しています。彼は今年初め、ニューヨークのテレヘルス企業Zealthyを攻撃したと主張していますが、その企業はまだ公開でデータ流出を開示していません。Databreachesは、OpenLoop Healthのフォーラム投稿は削除される前に2日間だけ生きていたと報告しており、Toxでハッカーとの会話で、支払いが受け取られ、データが削除されたと知らされたと報告しています。
翻訳元: https://www.hipaajournal.com/openloop-health-data-breach/
