ラスベガスを拠点とする医療請求・コーディング管理会社「La Perouse」が、7つの医療グループクライアントに影響を及ぼすデータ侵害を発表しました。また、Acadia Healthcare Company、Harbor Regional Center、United Medical Systems、Ohio ENT & Allergy Physiciansもそれぞれデータ侵害を公表しています。
La Perouse
ネバダ州ラスベガスを拠点とする医療請求・コーディング管理会社「La Perouse LLC」は、同社が利用する第三者の請求プラットフォームにおける侵害についてカリフォルニア州司法長官に届け出ました。不正アクセスの可能性が最初に確認されたのは2025年7月8日です。その後、プラットフォームおよびネットワーク環境はセキュリティ保護され、不正活動の性質と範囲を特定するための調査が開始されました。
調査の結果、不正アクセスは当該サードパーティ請求プラットフォームに限定されており、攻撃者によってプラットフォーム内の機密データがコピーされたことが確認されました。影響を受けたデータのレビューは2026年春に完了し、被害を受けた個人への通知書は2026年4月17日に郵送されました。本インシデントで漏えいしたデータは個人によって異なり、氏名、生年月日、社会保障番号、運転免許証または州発行の身分証明書番号、患者識別番号・医療記録番号、医療情報、健康保険情報などが含まれる可能性があります。
La Perouseは第三者の請求プラットフォーム提供者と連携し、追加の技術的セーフガードの導入、セキュリティ対策の強化、セキュリティポリシーおよび手順の更新を実施しました。被害を受けた個人には、最低12か月間の無料クレジット監視サービスが提供されています。なお、影響を受けた個人は、以下のいずれかの医療機関で診療を受けていた方々です。
- Beach Emergency Medical Associates
- Centinela Freeman Emergency Medical Associates
- Chino Emergency Medical Associates
- Hollywood Presbyterian Emergency Medical Associates
- Montclair Emergency Medical Associates
- Tarzana Emergency Medical Associates
- Temecula Valley Hospitalist Medical Group
本インシデントは2025年9月、少なくとも501名という暫定的な推計値を使用してHHSの公民権局(Office for Civil Rights)に報告されました。現時点でも合計人数は更新されていません。
Acadia Healthcare Company
約40の米国州およびプエルトリコで約280か所の行動医療施設ネットワークを運営するAcadia Healthcare Companyは、2026年3月に最初に確認されたデータセキュリティインシデントを最近公表しました。従業員のメールアカウントで不審なアクティビティが検出され、当該アカウントはセキュリティ保護のうえ、活動の性質と範囲を特定するための調査が開始されました。フォレンジック調査により、ソーシャルエンジニアリング攻撃を起因として、2026年3月21日から3月25日の間に、当該アカウントおよび関連するSharePointアカウントが不正な第三者にアクセスされたことが判明しました。他のシステムへの影響はありませんでした。
データレビューは2026年5月15日に完了し、漏えい情報には氏名、住所、生年月日、治療情報、健康保険情報、入院日、診断コード、患者の状態、Medicareの保険請求番号、そして一部の個人については社会保障番号が含まれていたことが確認されました。被害を受けた個人への通知書の郵送は2026年5月22日に開始されました。Acadia Healthcare Companyは、今後同様のインシデントを防ぐために追加のサイバーセキュリティ対策を実施したと述べています。本インシデントはHHSの公民権局のウェブサイトにまだ掲載されておらず、現時点では影響を受けた個人の人数は不明です。
Harbor Regional Center
カリフォルニア州ロングビーチを拠点に発達障害を持つ方々への支援サービスを提供するHarbor Developmental Disabilities Foundation(Harbor Regional Centerとして事業展開)は、2026年3月7日前後にコンピューターネットワーク内で不審なアクティビティを検出しました。フォレンジック調査により、3月6日から3月7日にかけてネットワークへの不正アクセスがあり、その間にネットワーク内のファイルが閲覧またはコピーされた可能性があることが確認されました。
Harbor Regional Centerは2026年5月15日に漏えいファイルのレビューを完了しました。関係する情報の詳細については、被害を受けた個人に最近郵送された個別通知書に記載されています。影響を受けた個人の人数はまだ公表されていません。被害を受けた個人には、単一信用情報機関によるクレジット監視および個人情報盗難保護サービスが提供されており、今後同様の侵害を防ぐためのセキュリティ強化措置も講じられています。
Ohio ENT & Allergy Physicians
オハイオ州コロンバスのOhio ENT & Allergy Physiciansは、メイン州在住者1名を含む324名の個人情報および保護対象保健情報への不正アクセスに関するデータ侵害をメイン州司法長官に報告しました。2026年3月30日、ネットワーク環境内のワークステーションで不審なアクティビティが検出され、サイバーセキュリティインシデントが発覚しました。フォレンジック調査により、2026年3月29日から3月30日にかけて不正アクセスがあったことが確認されました。漏えいの可能性があるすべてのファイルのレビューは2026年5月18日に完了しました。インシデントで漏えいしたデータには、氏名および社会保障番号が含まれています。被害を受けた個人への通知書は2026年5月29日に郵送されました。
Ohio ENT & Allergy Physiciansは今後同様のインシデントを防ぐために追加の技術的セーフガードを導入し、セキュリティ対策を強化しました。また、被害を受けた個人には無料のクレジット監視サービスが提供されています。
United Medical Systems
マサチューセッツ州ウェストボローを拠点とするモバイル専門医療サービスプロバイダーのUnited Medical Systemsは、485名に影響するデータ侵害を公表しました。2026年5月20日に被害を受けた個人に郵送された通知書によると、フォレンジック調査により氏名、運転免許証番号、社会保障番号がインシデントで漏えいしたことが確認されています。個人情報盗難および詐欺に対する予防措置として、被害を受けた個人には24か月間の無料シングル信用情報機関によるクレジット監視および個人情報盗難保護サービスが提供されており、今後同様のインシデントを防ぐためのセキュリティ強化措置も講じられています。
翻訳元: https://www.hipaajournal.com/la-perouse-data-breach/
