オンコロジー・インスティテュートは、カリフォルニア州、オレゴン州、ネバダ州、アリゾナ州、フロリダ州において100以上のクリニックを通じてがん治療を提供する上場企業であり、同社のベンダーの1社で発生したセキュリティインシデントの結果として、患者データが不正な第三者によってアクセスされた可能性があることを最近確認した。
2025年11月3日付の米国証券取引委員会(SEC)への提出書類において、オンコロジー・インスティテュートは、同社のITソフトウェアプロバイダーの1社におけるサイバーセキュリティインシデントが、出来高払いの回収に遅延をもたらす可能性があることを2025年11月3日に特定したと述べた。通知の時点では、オンコロジー・インスティテュートはベンダーが攻撃において患者データがアクセスされたかどうかを確認できない状態にあり、提出書類の発行時点では、同インシデントの結果として患者データへの不正アクセスは確認されていないが、調査は継続中であると述べた。
更新されたSEC提出書類において、オンコロジー・インスティテュートは、患者データを含むシステムを含め、オンコロジー・インスティテュートの特定のシステムがインシデントの結果として第三者による不正アクセスを受けたことを示す追加情報が明らかになったと述べた。ベンダーの第三者管理者であるKrollがその判断を下し、2026年5月20日にオンコロジー・インスティテュートに通知した。
オンコロジー・インスティテュートは、影響を受けた個人に対して無償のクレジットモニタリングおよび個人情報盗難保護サービスを提供するためにベンダーと協力していると述べた。2026年5月20日のSEC提出書類の発行時点では、同サイバーセキュリティインシデントは会社の業務、財務システム、または患者への医療の質に重大な影響を与えていないとオンコロジー・インスティテュートは述べた。オンコロジー・インスティテュートは、インシデントで侵害された可能性のあるデータの種類をまだ公開していない。
オンコロジー・インスティテュートは約200万人の患者にがん治療を提供している。現時点では、そのうち何人の患者がインシデントの影響を受けたかは不明である。オンコロジー・インスティテュートはサイバーセキュリティインシデントを経験したベンダーの名称を開示していないが、一部のメディアは、そのベンダーがTriZetto Provider Solutionsであると示唆しており、同社は昨年、多くの医療プロバイダークライアントに影響を与える大規模なデータ侵害を経験した。
翻訳元: https://www.hipaajournal.com/the-oncology-institute-vendor-data-breach/
