最近発表された9つのHIPAA規制対象事業者によるデータ漏洩のまとめ:ネブラスカ大学医療センター、シンギングリバー・ヘルス・システム、タンパベイ・デンタル・インプラント&アンプ;プロステティックス、アライン・オーソパディック・パートナーズ、サウスアラバマ地域計画委員会、ピボット・ヘルス、LHCグループ、メイズ・ハウスコール・ホーム・ヘルス、およびワールドトレードセンター・ヘルス・プログラム。
ネブラスカ大学医療センター
ネブラスカ大学医療センター(UNMC)は、サードパーティソフトウェアアプリケーションの脆弱性が脅威行為者によって悪用され、患者情報が流出したことを発見しました。UNMCは2026年2月にREDCapソフトウェアアプリケーションの脆弱性について学びました。REDCapソフトウェアはUNMCが研究研究と公衆衛生活動をサポートするために使用されています。UNMCが脆弱性について学んだとき、ソフトウェアはオフラインに取られ、脆弱性がすでに悪用されているかどうかを判断するための調査が開始されました。サードパーティのサイバーセキュリティ専門家の支援を受けて、UNMCは脆弱性が2023年9月20日に悪用されており、2026年2月3日までアクセスが可能であったことを特定しました。
データレビューで、システムが機密データの範囲を含んでいることが確認されました。これは研究研究/公衆衛生活動の性質に応じて個人によって異なっていました。その情報には、名前、生年月日、住所、電話番号、メールアドレス、医療記録番号、および研究研究に関連して作成または収集された情報が含まれている可能性があります。そのような情報には、訪問日、診断、医薬品、検査結果、画像または手順情報、アンケート回答、またはその他の健康関連情報が含まれている可能性があります。個人のサブセットもまた彼らのソーシャルセキュリティ番号を流出させていました。合計で、26,937人の個人がデータを流出させていました。社会保障番号が影響を受けた個人には、無料のクレジット監視サービスが提供されています。
シンギングリバー・ヘルス・システム
ミシシッピ湾岸地域にサービスを提供する3つの病院と50以上のクリニックを備えた非営利ヘルスシステムのシンギングリバー・ヘルス・システムは、2025年12月21日頃に特定されたハッキング事件について患者への通知を開始しました。フォレンジック調査で、2025年12月19日から2025年12月21日の間、コンピュータネットワークへの不正アクセスが確認されました。2026年2月10日には、患者情報を含むファイルが表示され、潜在的にコピーされたことが確認されました。
流出したデータは個人によって異なり、以下の1つ以上と組み合わせた名前が含まれている可能性があります:連絡先情報、社会保障番号、運転免許証番号、生年月日、銀行口座情報、健康保険情報、プロバイダー名、内部患者識別番号、サービス日、医薬品情報、および治療および/または診断情報。
シンギングリバー・ヘルス・システムは、「私たちはシステムをさらに保護するための強化されたセーフガードとセキュリティ対策を継続して実装および評価し、従業員へのセキュリティトレーニングを継続します」とコメントしました。影響を受けた個人には、データの誤用について自分のアカウントと給付説明書を監視するようアドバイスされています。このインシデントはHHS民間権利室のブリーチポータルにはまだ表示されていないため、影響を受けた個人の数は不明確です。
タンパベイ・デンタル・インプラント&アンプ;プロステティックス
タンパベイ・デンタル・インプラント、ペリオドンティクス&オーラルサージェリーとしても事業を行うフロリダ州セントピーターズバーグとタンパベイ地域にサービスを提供する歯科医療提供者であるタンパベイ・デンタル・インプラント&アンプ;プロステティックスは、6,400人の個人に影響を与えるデータ漏洩を最近開示しました。タンパベイ・デンタルは2026年1月19日にネットワークへの不正アクセスを発見しました。このとき、ランサムウェアがファイルを暗号化するために使用されました。この攻撃は、電子医療記録のバックアップを含むレガシーサーバーに影響を与えました。
ファイルレビューで、患者データが流出したことが確認されました。これには、名前、連絡先情報、誕生日、治療ノート、臨床履歴、および限定された数の個人について、社会保障番号が含まれています。タンパベイ・デンタルは、セキュリティログの強化、サーバー暗号化の強化、アクセス制御の更新を含む、将来同様の事件を防ぐための追加のセキュリティ対策を実装しています。クレジット監視およびアイデンティティ盗難保護サービスは、影響を受けた個人に提供されていないようです。
ワールドトレードセンター・ヘルス・プログラム
ワールドトレードセンター(WTC)への9/11攻撃によって害された個人に無料のヘルスケアサービスを提供するワールドトレードセンター(WTC)ヘルス・プログラムは、1,071人の個人に影響を与えるデータセキュリティインシデントをHHS民間権利室に報告しました。非常に機密性の高いデータがインシデントで流出しました。このインシデントはベンダーのマネージドケア・アドバイザーズ/セジウィック・ガバメント・ソリューションズで発生しました。
ハッカーはWTCヘルス・プログラムに関連するファイルを含むサーバーにアクセスし、機密データを流出させた後、ファイルを暗号化しました。TridentLockerランサムウェアグループが攻撃の責任を主張しました。攻撃はマネージドケア・アドバイザーズ/セジウィック・ガバメント・ソリューションズによって2025年12月4日に検出され、フォレンジック調査でサーバーが2025年11月16日に最初に侵害されたことが確認されました。インシデントで流出したデータには、名前、住所、社会保障番号、生年月日、および保護されたヘルス情報が含まれています。身代金が支払われないとき、TridentLockerは盗まれたデータを自分のダークウェブデータサイトに漏洩させました。影響を受けた個人には、12か月間の無料クレジット監視およびアイデンティティ盗難保護サービスが提供されています。
アライン・オーソパディック・パートナーズ
メリーランド州ベセスダに拠点を置くASC整形外科管理会社、LLCは、アライン・オーソパディック・パートナーズとして事業を行い、電子メール環境への不正アクセスと7,213人の個人の保護されたヘルス情報の流出を発見しました。フォレンジック調査で、2025年11月16日から2025年12月16日の間に不正アクセスが発生したことが判明しました。この期間中、メールとファイルにアクセスされたか、取得された可能性があります。
ファイルレビューで、2026年2月17日に、流出したデータには、以下の1つ以上と組み合わせた名前が含まれていることが判明しました:生年月日、社会保障番号、運転免許証または州の身分証明書番号、Medicaidまたはメディケア番号、金融口座番号、サービス日、医療プロバイダー名、精神的または身体的状態、医療治療情報、診断または臨床情報、処方情報、健康保険情報、患者口座番号、および/または医療記録番号。影響を受けた個人には2026年4月17日に通知され、無料のアイデンティティ保護サービスが利用可能になっています。アライン・オーソパディック・パートナーズは、将来同様のインシデントを防ぐためにセキュリティを増強するための措置が講じられたとコメントしています。
ピボット・ヘルス
短期および補足的な健康保険製品を専門とする健康保険会社のピボット・ヘルスは、アマゾンウェブサービスクラウド環境への不正アクセスを特定しました。不正アクセスは2026年3月13日に検出され、ブロックされました。調査で、AWS環境が2026年2月26日から2026年3月13日の間の2週間の間、複数の時点で不正な第三者によってアクセスされたことが確認されました。その間、メンバーデータを含むファイルが表示またはコピーされました。
デジタルフォレンジック調査で、流出したデータには、名前、生年月日、メンバー識別番号、個人識別、証明書識別、補償識別、保険請求および支払い情報、および特定の個人について、金融口座情報が含まれていることが確認されました。データセキュリティポリシーおよび手順が見直されており、追加のサイバーセキュリティ保護が実装されています。このインシデントはHHS民間権利室のウェブサイトにはまだ表示されていないため、影響を受けた個人の数は不明確ですが、テキサス州司法長官には1,172人のテキサス州民のデータがインシデントで流出したことが通知されました。
LHCグループ/メイズ・ハウスコール・ホーム・ヘルス
2つ以上のヘルスケアプロバイダーが、ベンダーのドクター・アライアンスのセキュリティインシデントで保護されたヘルス情報の一部が流出したことを患者に通知しました。ルイジアナのLHCグループとオクラホマに拠点を置くオクラホマ、カンザス、テキサス全体のコミュニティおよび在宅医療サービスの提供者であるメイズ・ハウスコール・ホーム・ヘルスは。
データ漏洩は在宅医療プロバイダーのシステムへの不正アクセスを伴いませんでした。インシデントは、彼らのテクノロジーベンダーによって提供されるサービスに関連して使用されたウェブベースのポータルに限定されていました。Doctor Allianceは、医師とヘルスケアプロバイダーが患者ケアに関連するドキュメントを交換および署名するために使用するプラットフォームを提供しています。ドクター・アライアンスウェブポータルは、2026年10月31日から2026年11月17日の間に不正な第三者によってアクセスされました。ドクター・アライアンスは2025年11月12日に不正アクセスを発見しました。
LHCグループは8,644人の個人が影響を受けたと述べ、以下のタイプの情報が流出しました:名前、生年月日、人口統計情報、臨床要約と診断コードを含む健康情報、プロバイダー情報、および健康保険情報。メイズ・ハウスコール・ホーム・ヘルスは5,208人の個人が影響を受けたと述べました。インシデントで流出したデータには、名前、人口統計情報、生年月日、臨床情報、診断情報、医師情報、保険関連情報、および患者ケアドキュメンテーションに関連するその他の情報が含まれていました。
データの誤用は検出されていません。両在宅医療プロバイダーはサードパーティプロバイダーに関連する追加の監視およびレビュー手順を実施しており、ドクター・アライアンスは追加のセキュリティセーフガードおよび監視機能を実装しています。
サウスアラバマ地域計画委員会
サウスアラバマ地域計画委員会は、3,043人の個人の保護されたヘルス情報への不正アクセスを伴うデータ漏洩をHHS民間権利室に報告しました。代替データ漏洩通知は、不正アクセスが検出されたとき、またはいつシステムが不正な個人によってアクセスされたかを述べていません。調査で2025年8月6日にシステムから特定のファイルがコピーされたことが判明したのみです。
ファイルが確認されて、クライアント名、メディケア番号、社会保障番号、適格サービスに関連する医療情報が含まれていることが判明しました。アラバマ高齢者サービス部門には2026年1月28日にこの漏洩について通知されました。HHS民間権利室には2026年3月18日に通知されました。通知レターは影響を受けた個人にメール送信されており、無料のクレジット監視サービスが提供されています。
翻訳元: https://www.hipaajournal.com/may-2026-data-breach-round-up/
