保健福祉省(HHS)民間人権局(OCR)は、医療保険の相互移行可能性と説明責任に関する法律(HIPAA)への準拠と2024年度の保護されていない保護された健康情報の侵害に関する年次報告書を議会に提出しました。
これらの報告書は、医療情報技術経済臨床健康法(HITECH法)の要件であり、医療現場のコンプライアンス状況、潜在的なコンプライアンス違反に対するOCRの対応、および機密健康情報がどの程度公開または盗難されているかのスナップショットを提供します。議会への報告書は、データ侵害が報告された年ではなく、各暦年に発生したデータ侵害の数に基づいています。2024年度、OCRは500人以上の個人に影響を及ぼすデータ侵害の742件の報告を受けましたが、2024年に発生した侵害に関連するのは663件の報告のみです。
2023年は大規模なヘルスケアデータ侵害の特に悪い年でした。前回の議会への報告書で、OCRは2023年に732件の大規模データ侵害が発生したことを報告しました。これは前年比17%増加で、1億1300万人以上の個人に影響を与えました。2024年は大規模なデータ侵害報告が9%減少した改善が見られましたが、前代未聞の数の個人が大規模なデータ侵害の影響を受け、前回の記録を更新しました。 報告された663件のデータ侵害全体で、242,908,056人の個人の保護された健康情報が公開または違法に開示されました。この膨大な合計は、主にChange Healthcareでの1件のデータ侵害によるもので、推定1億9200万人の個人に影響を与えました。2024年、OCRは500人未満の個人に影響を与えるデータ侵害の74,299件の報告を受けましたが、これらの事件全体で、わずか340,618人の個人が影響を受けました。
OCRはすべての大規模なデータ侵害を調査し、663件の侵害に加えて2件の小規模データ侵害に関する調査を開始しました。データ侵害調査の大多数は、影響を受けた規制対象エンティティが講じた自主的な是正措置または技術支援の提供を通じて解決されます。OCRは2024年に785件のデータ侵害調査を解決し、12件は解決契約、是正措置計画、および金銭的解決または民間訴訟ペナルティを含みます。2024年、OCRはデータ侵害の調査を通じて発見された疑いのあるHIPAA違反を解決するために7,813,831ドルのペナルティを収集し、さらにデータ侵害のメディア報道への調査に由来する950,000ドルのペナルティを集めました。
| 年 | データ侵害(500人未満) | 変化率
(500人未満) |
データ侵害(500人以上) | 変化率(500人以上) |
| 2024 | 74,299 | +9% | 663 | -9% |
| 2023 | 68,315 | +7% | 732 | +17% |
| 2022 | 63,966 | +15% | 626 | +3% |
| 2021 | 63,571 | -4% | 609 | -7% |
| 2020 | 66,509 | +6% | 656 | +61% |
| 2020年~2024年 | 12%増加 | – | 1%増加 | – |
出典:議会へのOCR報告(暦年ごとの侵害、報告日時に関わらず)
2024年の保護されていない保護された健康情報の侵害に関する報告書で、OCRはHIPAA規制対象エンティティがコンプライアンスを改善する継続的な必要性があることを説明しました。HIPAA規則への非準拠はしばしば特定されます。多くのデータ侵害は、悪用後のセキュリティ問題に対処するのではなく、積極的なコンプライアンスを通じて防止できた可能性があります。 最も一般的な非準拠の領域の一部は、リスク分析、リスク管理、情報システム活動のレビュー、監査制御、およびHIPAAセキュリティ規則の人またはエンティティの認証基準と実装仕様でした。
リスク分析が不完全であるか実施されていない場合、リスクは対処されずに残り、脅威アクターによって悪用される可能性があります。リスクも合理的なレベルに低減される必要があり、脅威アクターが成功することを困難にします。アクセス制御は侵害を防ぐだけでなく、ネットワークが侵害された場合のダメージを制限できます。OCRのデータ侵害調査で、多くの内部制御が限定的であるため横方向への移動を制限し、多くのユーザーアカウントの過度な権限が脅威アクターがePHIを含む複数のシステムへのアクセスを得ることを可能にしたケースが多く見つかっています。OCRはまた、デフォルトパスワードとシングルファクター遠隔アクセスなど、多要素認証ではなく弱い認証慣行をよく見つけています。 これらの領域全体のコンプライアンスを改善することで、毎年報告される大規模なヘルスケアデータ侵害の数を大幅に減らすことができます。
数年にわたってそうであったように、侵害の最も一般的な原因はハッキング/ITインシデントで、すべてのデータ侵害の81%と影響を受けた個人241,582,022人(99.45%)を占めていました。侵害された保護された健康情報の最も一般的な場所はネットワークサーバーでした。より小さな侵害では、主な原因は無許可のアクセス/開示インシデントで、ほとんどの場合、紙/フィルムに関与していました。
2024年度のHIPAA違反を解決するためのペナルティ
| HIPAA規制対象エンティティ | ペナルティタイプ | ペナルティ金額 | 影響を受けた個人 | 疑いのあるHIPAA非準拠の領域 |
| Plastic Surgery Associates of South Dakota | 解決 | $500,000 | 10,226 | リスク分析、リスクと脆弱性を軽減するためのセキュリティ対策、情報システム活動の記録のレビュー、セキュリティインシデントに対処するための方針と手順 |
| Providence Medical Institute | 民間訴訟ペナルティ | $240,000 | 3件のランサムウェア攻撃全体で85,000 | ビジネスアソシエート契約、許可された人物またはソフトウェアのみがePHIにアクセスすることを許可する方針と手順 |
| Bryan County Ambulance Authority | 解決 | $90,000 | 14,273 | リスク分析 |
| Children’s Hospital Colorado | 民間訴訟ペナルティ | $548,265 | 2件のメール関連インシデント全体で14,210 | リスク分析、職員HIPAAプライバシー規則トレーニング。 |
| Gulf Coast Pain Management Consultants | 民間訴訟ペナルティ | $1,190,000 | 34,310 | リスク分析、情報システムのアクティビティ記録のレビュー、終了した従業員のアクセス権の終了、情報システムへのアクセス権を確立/変更するための手順。 |
| Elgon Information Systems | 解決 | $80,000 | 31,248 | リスク分析 |
| Virtual Private Network Solutions | 解決 | $90,000 | 少なくとも6,400 | リスク分析 |
| Northeast Surgical Group | 解決 | $10,000 | 15,298 | リスク分析 |
| Solara Medical Supplies | 解決 | $3,000,000 | 2件のインシデント全体で115,538 | リスク分析、個人、HHS、およびメディアへの侵害通知書。 |
| USR Holding | 解決 | $337,750 | 2,903 | リスク分析、情報システムのアクティビティのレビュー、ePHIの正確な取得可能なコピーを作成および保持するための手順、ePHIの無許可のアクセスと削除の防止。 |
| Warby Parker | 民間訴訟ペナルティ | $1,500,000 | 197,986人以上の個人 | リスク分析、リスクと脆弱性を軽減するためのセキュリティ対策、情報システムのアクティビティ記録のレビュー。 |
| Health Fitness | 解決 | $227,816 | 4,304 | リスク分析 |
| Heritage Valley Health System | 解決 | $950,000 | 未開示 | リスク分析、緊急事態の予備計画、ePHIへのアクセスを制限する方針と手順 |
2024年度、OCRは潜在的なHIPAA規則違反に関する30,256件の新しい苦情を受け取り、前年度から2,955件の苦情を繰り越しました。そのうち、OCRは28,228件の苦情を解決し、17,466件は調査を開始せずに、9,392件は技術支援の提供を通じて解決されました。
OCRが2024年に完了した1,370件の苦情調査のうち、約半数(48%)が規制対象エンティティに是正措置を講じることを要求し、51%の調査では、HIPAA規則の違反を示す不十分な証拠が見つかりました。9件の苦情調査は、合計1,180,781ドルの金銭的ペナルティで解決されました。苦情を促した最も一般的な問題は、違法な使用と開示(660件の苦情)、アクセス権違反(541件の苦情)、欠落している一般的なセーフガード(481件の苦情)、HIPAAセキュリティ規則の管理上のセーフガードの欠如(147件の苦情)、および欠落または遅延した個人の侵害通知(122件の苦情)でした。
OCRは730件のコンプライアンスレビューを開始し、2024年に苦情から生じなかった797件のコンプライアンスレビューを完了しました。OCRはHITECH法によってHIPAA規制対象エンティティの監査を実施することが要求されていますが、2024年には監査は開始されていません。OCRはまた、HIPAAの権利に関する一般への教育とHIPAA規制対象エンティティに大規模データ侵害の傾向について教育するためのアウトリーチ活動の責任もあります。OCRは2024年度にそのような89件のアウトリーチ活動を実施しました。
HIPAA プライバシー、セキュリティ、および侵害通知規則への準拠に関する報告書は、苦情の前年比のわずかな減少と開始されたコンプライアンスレビューのわずかな増加を示しています。
| 年 | 受け取った苦情 | 苦情の前年比変化率 | 開始されたコンプライアンスレビュー(苦情と侵害を含む) | 開始されたコンプライアンスレビューの前年比変化率 |
| 2024 | 30,256 | – 2% | 797 | -3% |
| 2023 | 30,968 | + 2% | 773 | +14% |
| 2022 | 30,435 | -11% | 676 | + <1% |
| 2021 | 34,077 | +25% | 674 | -10% |
| 2020 | 27,182 | -4% | 746 | +22% |
| 2020年~2024年 | – | +11% | – | +7% |
2024年の実証されたHIPAAコンプライアンス苦情から生じたペナルティ
合計で、OCRは2024年度のHIPAA違反を解決するために22件の金銭的ペナルティを課し、13件はデータ侵害報告への対応であり、9件は苦情への対応でした。合計で、OCRは9,944,612ドルの解決とペナルティを集めました。金銭的ペナルティで解決された苦情は以下の表に詳しく説明されています。各罰金に関する詳細な情報は、HIPAA違反事件ページで見つけることができます。
| HIPAA規制対象エンティティ | ペナルティタイプ | ペナルティ金額 | 影響を受けた個人 | 疑いのあるHIPAA非準拠の領域 |
| Essex Residential Care dba Hackensack Meridian Health、West Caldwell Care Center | 民間訴訟ペナルティ | $100,000 | 1 | HIpAAアクセス権 |
| American Medical Response | 民間訴訟ペナルティ | $115,200 | 1 | HIPAAアクセス権 |
| Cascade Eye and Skin Centers | 解決 | $250,000 | 291,000 | リスク分析、情報システムの監視 |
| Rio Hondo Community Mental Health Center | 民間訴訟ペナルティ | $100,000 | 1 | HIPAAアクセス権 |
| Inmediata Health Group | 解決 | $250,000 | 1,565,338 | リスク分析、情報システムの監視 |
| Holy Redeemer Hospital | 解決 | $35,581 | 1 | HIPAAアクセス権 |
| Gums Dental Care | 民間訴訟ペナルティ | $70,000 | 1 | HIPAAアクセス権 |
| South Broward Memorial Hospital District dba Memorial Healthcare System | 解決 | $60,000 | 1 | HIPAAアクセス権 |
| Oregon Health and Science University | 民間訴訟ペナルティ | $200,000 | 1 | HIPAAアクセス権 |
翻訳元: https://www.hipaajournal.com/ocr-reports-congress-hipaa-compliance-data-breaches-2024/
