HIPAA Journalは、ニューヨーク州の医療提供者がデータ侵害の詳細を開示した後、3月下旬にNYC Health + Hospitals Corporationの患者に影響するデータ侵害について報告しました(下記参照)。調査によると、ハッカーはそのネットワークに11週間アクセスでき、初期アクセスはベンダーの1つでのセキュリティ侵害を通じて獲得されたと示唆しています。報告時点では、影響を受けた個人の数は不明でした。
NYC Health + Hospitalsは米国最大の公共医療システムであり、100万人以上のニューヨーク市民(主にMedicaidなどの州給付プログラムに基づいて保険に加入していない患者)にサービスを提供しています。保健福祉省市民権局(OCR)侵害ポータルが更新され、約180万人の現在および元患者と従業員の個人情報および保護される医療情報がこのインシデントで侵害されたことが示されており、今年これまでに発表された最大規模の医療データ侵害の1つとなっています。
影響を受けた従業員と患者には、24か月間の無料クレジット監視と身元盗難保護サービスが提供されています。これらのサービスは、2020年から2026年2月2日までの間のいずれかの時点でNYC Health + Hospitalsの従業員またはNYC Health + Hospitalsの患者であったすべての個人に無料で提供されています。
2026年3月25日:NYC Health + Hospitalsが11週間のネットワーク侵害を開示
2026年3月24日、NYC Health + Hospitals Corporationは、データセキュリティインシデントで個人識別情報(PII)および保護される医療情報(PHI)が公開されたと発表しました。NYC Health + Hospitalsは2026年2月2日にコンピュータネットワーク内の疑わしいアクティビティを特定しました。影響を受けたシステムを保護するための即座の措置が取られ、第三者のサイバーセキュリティスペシャリストの支援を受けて、不正なアクティビティの性質と範囲を判定するための調査が開始されました。
調査により、不正な第三者が2か月以上前の2026年11月25日にネットワークへのアクセスを初めて獲得し、2026年2月11日までアクセスを保持していたことが判明しました。このインシデントへの調査は進行中です。しかし、NYC Health + Hospitalsは、そのシステムへの初期アクセスは、その第三者ベンダーの1つでのセキュリティ侵害を通じて獲得された可能性があると考えています。そのベンダーの名前は開示されませんでした。
NYC Health + Hospitalsは、ネットワークからファイルが流出したことを判断し、その一部にはPIIとPHIが含まれていました。過去数週間にわたり、NYC Health + Hospitalsは影響を受けたデータをレビューして、関連する情報の種類とインシデントに影響を受けた個人を判定していました。影響を受けた個人への通知の発行の遅延は、影響を受けたデータのレビューに費やされた時間によるものでした。法執行機関からの遅延通知の指示はありませんでした。
これまでのデータレビューの結果に基づいて、次の種類のデータがインシデントで侵害されました:名前、医療情報(医療記録番号、障害コード、診断、薬物、検査結果、画像、治療計画)、健康保険情報(計画/ポリシー、保険会社、メンバー/グループID番号、Medicaid-Medicare-政府払者ID番号)、請求/クレーム情報、生体情報(指紋と手のひら)、個人情報(社会保障番号、運転免許証番号またはその他の政府発行の身元証明番号、納税者識別番号またはIRS発行の身元保護番号、正確な地理情報データ、クレジットまたはデビットカード番号、財務アカウント情報または認証情報、オンラインアカウント認証情報)。関連する情報は個人ごとに異なります。
NYC Health + Hospitalsは、将来の同様のインシデントを防ぐためにセキュリティを強化するためのいくつかのステップが取られていると述べました。これらには、サイバーセキュリティツールの強化された検出ルール、侵害されたアカウントのパスワードリセット、追加の検出および保護テクノロジー、およびリモートアクセス管理ポリシーの更新が含まれます。クレジット監視と身元盗難保護サービスは、24か月間、影響を受けた従業員と患者に提供されています。
これは今年これまでにNYC Health + Hospitalsによって報告された2番目の大規模なデータ侵害です。より早いインシデントはこのハッキングインシデントと同時に発生し、NYC Health + Hospitalsの患者のデータを公開しましたが、侵害はそのケア管理エージェンシーパートナーの1つであるNADAPで発生しました。NADAPは、NYC Health + Hospitalsの Lead Health Homeの下でサービスを受けた患者にケア調整サービスを提供しています。
このデータ侵害は5,086人の保護される医療情報を公開しました。このインシデントは2025年11月26日前後に発生し、2026年1月10日にNADAPによって特定されました。NYC Health + Hospitalsは2026年1月2日にデータ侵害について通知されました。このインシデントで侵害されたデータには、患者の名前、生年月日、住所、Medicaid番号、社会保障番号、およびNADAPによって提供されたホームベースの医療に関連する臨床情報が含まれていました。
翻訳元: https://www.hipaajournal.com/nyc-health-hospitals-data-breach-march-26/
