全国展開する小売企業スペンサー・ギフツ合同会社(Spencer Gifts LLC)は、同社が後援する従業員向けグループ健康保険プラン(Spencer Gifts LLC Flexible Benefits and Welfare Benefit Plans)の加入者10,023名に影響を及ぼしたデータ侵害の調査過程でOCR(市民権局)が発見したHIPAAルール違反の疑いを解決するため、45万ドルの和解に応じました。
2021年11月、同社の従業員がVPN(仮想プライベートネットワーク)への接続ができなくなる障害が発生しました。IT部門が原因を調査したところ、ランサムウェア攻撃によるものであることが判明しました。脅威アクターは2021年11月24日から11月26日にかけて同社ネットワークに不正アクセスし、プラン加入者の電子的保護医療情報(ePHI)を保存するサーバー上のファイルを含む多数のファイルをランサムウェアで暗号化しました。この事件で流出し、盗難された可能性がある情報には、氏名、住所、郵便番号、電話番号、メールアドレス、社会保障番号が含まれています。OCRへのデータ侵害の通知は2022年1月24日に行われました。
OCRは、500名以上の個人に影響するすべての侵害について、HIPAAの不遵守が原因かどうかを判断するための調査を実施しています。現在の執行イニシアティブのもと、OCRはHIPAAセキュリティルールのリスク分析条項に特に重点を置いています。規制対象事業体が、ePHIの機密性・完全性・可用性に対するリスクと脆弱性を特定するために、徹底的かつ正確なリスク分析を実施したことを示す証拠の提出をOCRは求めています。
OCRは、スペンサー・ギフツがHIPAAセキュリティルールの45 C.F.R. § 164.308(a)(1)(ii)(A)に違反し、HIPAAに準拠したリスク分析を実施していなかったと認定しました。また、同社は45 C.F.R. § 164.316(a)および45 C.F.R. § 164.530(i)(1)に違反し、HIPAAのプライバシー・セキュリティ・侵害通知ルールを遵守するためのポリシーおよび手順を整備していなかったことも確認されました。
OCRは、これらのHIPAA違反が金銭的制裁に値すると判断しました。スペンサー・ギフツはOCRの判断および制裁金の課徴意図について通知を受け、非公式な形で違反疑惑を解決する機会が与えられました。同社は45万ドルの制裁金の支払いと、違反が疑われる事項に対処するための是正措置計画の採択に同意しました。
是正措置計画では、スペンサー・ギフツに対し、包括的かつ正確なリスク分析の実施、HIPAAポリシーおよび手順の見直しと更新、それらの従業員への配布、そして従業員へのHIPAAトレーニングの実施が義務付けられています。
今回は、ランサムウェア攻撃の調査においてHIPAAルール違反に対する金銭的制裁が科された20件目のOCR調査となります。また、OCRのリスク分析執行イニシアティブにおける14件目の執行措置であり、今年発表された7件目のHIPAA制裁金でもあります。OCRは今年これまでに、3つの医療プロバイダー、2つの健康保険プラン、2つのビジネスアソシエイトからHIPAAルール違反の疑いを解決するために合計172万8,000ドルの制裁金をHIPAAルール違反の疑い解決として徴収しています。
翻訳元: https://www.hipaajournal.com/spencer-gifts-hipaa-settlement/
