医療コーディング、リスク調整サービス、ソフトウェアソリューションを提供するEpisourceは、2025年初頭にサイバー攻撃を受け、患者データを含むファイルがネットワークから外部へ流出しました。2025年6月には法医学的調査が進展し、540万人が影響を受けたことが確認されました。
その後の調査により、この侵害の規模はさらに大きいことが判明しました。HHSの公民権局(Office for Civil Rights)に提供された最新の数値によると、6,725,572人の電子的保護医療情報(ePHI)への不正アクセスが確認されています。670万人超という影響規模により、このデータ侵害は現在、2025年で3番目に大きい医療データ侵害となっており、Aflacの1,390万件、Conduent Business Servicesの6,220万件に次ぐ位置づけです。また、史上16番目に大きい医療データ侵害にも該当します。なお、事件の背後にある脅威グループは現時点では不明のままです。
昨年8月、米国上院保健・教育・労働・年金(HELP)委員会委員長のBill Cassidy上院議員(共和党・ルイジアナ州)とMaggie Hassan上院議員(民主党・ニューハンプシャー州)は、UnitedHealth GroupのCEOであるStephen J. Hemsley氏に書簡を送り、患者情報保護に向けた同社の取り組みについて説明を求めました。これは、2024年のChange Healthcareにおける1億9,270万人規模の大規模侵害と、今回の重大な侵害を受けてのものです。両議員は、2件の侵害はUnitedHealth Groupが他社を買収した後、内部のサイバーシステムを適切に保護できていないという繰り返しのパターンを示していると指摘しています。
両議員はデータ侵害の詳細と、2件の侵害後にUnitedHealth Groupのセキュリティプロトコルを改善するために実施された措置について回答を求めました。UnitedHealth Groupは書簡の受領を確認し、回答すると表明しましたが、質問への回答は現時点では公開されていません。
2025年6月16日:540万人超に影響を及ぼしたEpisourceサイバー攻撃
UnitedHealth(Optum)の子会社で、医療提供者および健康保険プランに向けて医療コーディング、リスク調整サービス、ソフトウェアソリューションを提供するEpisource LLCは、顧客データが窃取されるサイバー攻撃を受けました。コンピューターネットワーク内で不審な活動が検知され、2025年2月6日にネットワーク侵害が発覚しました。それ以上の不正アクセスを防ぐためすべてのコンピューターシステムをシャットダウンし、法執行機関に通報するとともに、第三者のサイバーセキュリティ専門家を招いて調査への協力と不正活動の性質・範囲の特定にあたりました。
法医学的調査により、2025年1月27日から2025年2月6日の間にコンピューターシステムへの不正アクセスがあったことが確認されました。2025年6月6日にカリフォルニア州司法長官へ侵害を通知した時点では、Episourceは侵害されたデータの悪用を確認していないとしましたが、データの外部流出があったことは認めています。個別の通知書は2025年4月23日から順次送付されています。
侵害されたファイルのレビューにより、ファイルには個人によって異なるさまざまなデータが含まれていることが確認されました。侵害された可能性のあるデータには、氏名および連絡先情報(住所・電話番号・メールアドレス)に加え、以下の1つ以上の情報が含まれます。
- 健康情報:診断情報、治療情報、処方箋、検査結果、医療画像、医療記録番号、担当医名
- 健康保険情報:健康保険ポリシー、企業名、会員/グループID番号、メディケイド/メディケアの支払者ID番号
- 生年月日などその他の個人情報
2006年に設立され、2023年にUnitedHealth Group子会社のOptumに買収されたEpisourceは、今後同様の侵害を防ぐためシステムセキュリティを強化すると述べており、影響を受けた個人に対して2年間の無料クレジットモニタリングおよびなりすまし被害保護サービスを提供しています。Episourceは通知書においてサイバー攻撃の種類を明らかにしていませんが、ランサムウェア攻撃とみられています。攻撃を実行したグループは現時点では不明です。
Sharp HealthCare(24,971人)とSharp Community Medical Group(2,029人)は今回の事案による影響を確認しており、Wellcareも同様に影響を受けています。ただし、他にどれほどのクライアントが影響を受けているかは現時点では明らかになっていません。影響を受けた個人の総数は不明ですが、EpisourceはHHSの公民権局に対し、一部の影響を受けたクライアントに代わってデータ侵害を報告しています。この報告では5,418,866人が影響を受けたとされており、Yale New Haven Health Systemの547万件に次ぐ今年2番目に大きい医療データ侵害事案となっています。
翻訳元: https://www.hipaajournal.com/episource-data-breach/
