アイオワ州のClarinda Regional Health Center、ワシントンD.C.のCommunity Connections、コネチカット州のWaveny Lifecare Network、ニュージャージー州のNJ Pain Care Specialistsが相次いでデータ侵害を公表しました。
Clarinda Regional Health Center
アイオワ州クラリンダを拠点とする非営利病院Clarinda Regional Health Centerは、機密データが流出したサイバーセキュリティインシデントについて、24,341人への通知を開始しました。2026年12月15日にコンピューターネットワーク内で不審な活動が確認され、フォレンジック調査の結果、2025年10月に患者データを含むファイルが不正にアクセスまたは取得された可能性があることが判明しました。このインシデントについては、ランサムウェアグループ「LockBit5」が犯行声明を出しています。
ファイルの精査により、流出したデータには氏名、生年月日、医療情報、健康保険情報、金融口座番号、社会保障番号、運転免許証番号、納税者番号が含まれることが確認されました。流出したデータの種類は個人によって異なります。
影響を受けたファイルの精査は2026年5月21日に完了し、2026年6月2日より被害者への通知書の郵送が開始されました。インシデントで社会保障番号が流出した個人には、無料のクレジット監視およびなりすまし被害防止サービスが提供されています。Clarinda Regional Health Centerは、今後同様のインシデントのリスクを軽減するための追加セキュリティ対策を実施したと報告しています。
Community Connections
ワシントンD.C.を拠点とする非営利組織Community Connectionsは、行動健康支援・居住支援・プライマリヘルスケアコーディネーションサービスを提供しており、18,943人の保護医療情報(PHI)が侵害されたとして、米国保健福祉省(HHS)の市民権局(OCR)に通知を行いました。
本件は2026年5月18日にOCRに報告されました。データ侵害の詳細はまだ公表されていませんが、ランサムウェアグループ「Inc Ransom」が犯行声明を出しており、3月下旬にダークウェブの情報漏洩サイトにCommunity Connectionsを掲載しています。ただし、盗まれたデータが実際に公開された形跡は現時点では確認されていません。
なお、2024年にも同規模のデータ侵害が発生しており、18,943人が影響を受けています。2025年8月27日に発行された通知によれば、そのインシデントは2024年10月21日に検知され、氏名、住所、生年月日、社会保障番号、財務情報、運転免許証または州発行の身分証明書情報、医療情報、健康保険情報が侵害された可能性があります。この事案を受け、新たな技術的保護措置の導入や従業員の再教育など、同様のインシデント再発防止に向けた複数の取り組みが実施されました。
Waveny Lifecare Network
コネチカット州ニューカナンを拠点とする地域密着型非営利組織Waveny Lifecare Networkは、高齢者向けに居住型ケア、熟練看護、在宅ケアサービスを提供しており、8,548人に影響するデータセキュリティインシデントをメイン州司法長官に報告しました。 2025年5月28日にコンピューターシステム内で不審な活動が確認され、外部のサイバーセキュリティ専門家を起用して調査を実施した結果、2025年5月28日に不正な第三者が限られた量のデータにアクセスしたことが確認されました。
Waveny Lifecare Networkは長期にわたる影響データの精査を実施し、2026年3月23日にその作業を完了しました。その後、通知書郵送のために最新の連絡先情報を入手し、2026年6月2日に発送されました。メイン州司法長官への通知書ではデータ種別が黒塗りとなっていますが、個別通知書では詳細が記載されています。データ悪用への予防措置として、被害を受けた個人には無料のクレジット監視およびなりすまし被害防止サービスが提供されています。
NJ Pain Care Specialists
ニュージャージー州オーシャン・タウンシップに拠点を置くインターベンショナル脊椎・疼痛管理クリニック、NJ Pain Care Specialists, LLCは、データセキュリティインシデントの発生を公表しました。2026年2月28日前後に、コンピューターネットワーク内で不正な活動が確認されました。調査の結果、2026年2月25日から2026年2月28日の間に不正アクセスが発生し、その期間中にファイルがネットワークから持ち出された可能性があることが判明しました。
これまでの調査により、インシデントで侵害されたデータには、氏名、住所、生年月日、診療記録番号、運転免許証番号またはその他のID番号、臨床・治療情報、医療処置情報、医療機関名、処方情報、健康保険情報が含まれることが確認されています。
NJ Pain Care Specialistsは、データセキュリティに関するポリシーおよび手順、ならびに技術的・管理的・物理的保護策を見直し、強化したと説明しています。調査は現在も継続中であり、被害者の総数はまだ確定していません。本件はHHSの市民権局(OCR)に対し、暫定的な被害者数として少なくとも501人として報告されています。調査終了後に最終的な件数が更新される予定です。
翻訳元: https://www.hipaajournal.com/clarinda-regional-health-center-data-breach/
