2026年5月6日にHIPAA Journalが報道したRXNTデータ流出事件について、さらなる情報が明らかになった。以下に詳述する通り、ハッカーは3月にRXNTのシステムに2日間アクセスし、患者データを盗んだ。データ流出の規模はまだ公開されていないが、下院議員の処方箋データが含まれていたことが判明した。
RXNTの医療ソフトウェアは、議会医官室(OAP)によって下院議員の治療管理に使用されている。このソフトウェアは処方箋情報を薬局に安全に送信するために使用されており、攻撃の際にその情報の一部が盗まれた。盗まれた情報には、氏名、住所、生年月日、医師名、処方箋と薬局情報が含まれている。議会医官のブライアン・モナハン氏は今週、影響を受けた下院議員に個人および健康データの流出について通知した。下院議員の医療記録、社会保障番号、および財務情報は関与していない。RXNTソフトウェアに入力された唯一の情報は処方箋調剤に必要なものだけであるため。関与した情報のタイプは開示されたが、OAPはまだ何人の個人が影響を受けたかについて公式に発表していない。
HIPAA違反通知規則の下では、RXNTのようなビジネス関係者は、保護されていない電子保護健康情報の違反を発見してから60日以内に、影響を受けたHIPAAカバー対象実体クライアントに通知する必要がある。その後、個人通知を発行し、HHS民間権利事務所に通知するためのカウントダウンが始まる。影響を受けたカバー対象実体は最終的に通知を発行する責任があり、これはビジネス関係者からの違反について学んでから60日以内に発行する必要がある。カバー対象実体は、通知を知らされてから60日以内に発行することを確保する必要があるが、その責任をビジネス関係者に委任することもできる。したがって、データ流出の全規模が明らかになるまでに最大2ヶ月かかる可能性がある。
2026年5月6日: RXNTがサイバーセキュリティ事件およびデータ流出について顧客に通知
ネットワーキング・テクノロジー・インクとしても知られるRXNTは、電子健康記録ソフトウェアを提供するヘルスケアソフトウェア技術企業で、患者データを流出させた最近のセキュリティ事件について通知するため、そのソフトウェアを使用している組織に通知書を送信し始めた。HIPAAジャーナルと共有された通知書の写しは、RXNTソリューション内で不正なアクティビティが特定されたことを述べており、その一部の顧客が使用している。不正なアクティビティの性質と範囲を確定するため調査を直ちに開始し、第三者のサイバーセキュリティ専門家による支援が提供された。
RXNTは、不正なアクターが2026年3月1日から2026年3月3日の間にソリューションにアクセスし、システムに保存されたデータのコピーを取得したこと、およびそのデータに顧客に関連する患者データが含まれていたことを確認した。データは2026年3月3日から2026年4月17日の間に確認され、RXNTは患者名、生年月日、住所、連絡先、患者IDなどの人口統計情報が盗まれたことを確認できる。各顧客には、何人の患者が影響を受けたかについて通知された。
RXNTは今後の同様の事件を防ぐためにセキュリティを強化するステップを取ると述べており、影響を受けたクライアント(OCR通知、メディア通知、個人通知、州検事総長通知)に代わって違反報告要件をすべて処理することを申し出た。影響を受けたクライアントにはサイバーセキュリティ事件に関する追加情報を受け取るために対応・登録するためのかなり短いウィンドウが与えられた。通知書は2026年5月1日付けで、プロバイダーは2026年5月15日までに登録する必要がある。その目的のために具体的にウェブサイトが開設された – RXNTnotification[dot]com。
RXNTは最近になって影響を受けた組織に通知し、違反報告要件を処理することを申し出ただけであり、したがって影響を受けた個人の数はまだ公開されていない。複数のクライアントが影響を受けたことは明らかであり、これは重大なデータ流出事件となっている。
これは進行中のデータ流出事件であり、さらなる情報が利用可能になると本ページに公開される。
翻訳元: https://www.hipaajournal.com/rxnt-data-breach/
