ワシントン州社会保健サービス局(DSHS)は、約8,600人分の保護医療情報への不正アクセスを伴う内部データ侵害を確認しました。
インサイダー脅威は、他の業種以上に医療分野で深刻な問題となっています。インサイダーインシデントの多くは意図的なものではありませんが、医療記録の覗き見は医療データ侵害の一般的な原因の一つです。また、患者記録が金銭的利益を目的に取得されるケースもあります。定期的な従業員向けHIPAAトレーニングは、患者プライバシーに関する責任を周知するうえで重要であり、従業員のアクセスログも定期的に監視する必要があります。積極的な監視を行わなければ、こうしたプライバシー侵害は長期間にわたって見過ごされ、不正アクセスが発覚するまでに時間がかかることがあります。
今回の事案では、DSHS職員がDSHSの内部クライアントデータシステムに無断でアクセスし、氏名、生年月日、社会保障番号、DSHSクライアント番号、およびDSHSプログラムへの登録情報を含む記録を閲覧していたことが判明しました。
DSHSの調査では、診断、検査結果、治療内容、請求情報、診療記録といった医療情報へのアクセスは確認されませんでした。DSHSによれば、当該職員は「職務に無関係な理由」で記録にアクセスしていたとされていますが、具体的な動機については明らかにされていません。また、不正アクセスが検知された時期や、業務外目的での記録閲覧が続いていた期間についても不明です。
DSHSは、プライバシー侵害が確認された時点で直ちに対応を取り、その後の不正アクセスを防止したと説明しています。また、当該職員はすでにDSHSを離職していることも確認されています。ただし、HIPAA違反を理由とした解雇なのか、自主退職なのかは明らかにされていません。
DSHSは、影響を受けたすべての個人に対して郵便で通知書を送付するとともに、口座明細書やクレジットレポートに不審な動きがないか監視するよう呼びかけています。DSHSは現在進行中の調査に関して、州および地元の法執行機関と連携しています。また、追加的な保護策の実施を進めており、データのプライバシーとセキュリティに関する内部方針および手順の見直しも行われています。
翻訳元: https://www.hipaajournal.com/washington-dept-health-social-services-insider-breach-2026/
