2026年5月版 医療業界データ侵害レポート

HHS(米保健福祉省)公民権局(OCR)の侵害ポータルに登録された現時点のデータによると、2026年5月には500人以上に影響が及んだ医療データ侵害が61件報告されました。5月の件数は前月比で27.1%増加しています。過去12カ月間では、平均して毎月64件の大規模な医療データ侵害が報告されています。

Image

2026年1月1日から2026年5月31日までの期間で、500人以上に影響が及んだデータ侵害はOCRに319件報告されています。前年同時期の合計は342件の大規模データ侵害でした。

Image

データ侵害の件数は4月から増加しましたが、影響を受けた人数は34.8%減少し、879,447人となりました。5月に医療データ侵害の影響を受けた人数は平均14,417人で、4月の平均28,116人から大きく減少しています。過去12カ月間では、毎月平均1,060万人が医療データ侵害の影響を受けています。

Image

データ侵害の件数は前年同期比でやや減少していますが、影響を受けた人数は大幅に減っています。過去数年に見られたような非常に大規模なデータ侵害は、OCRへの報告件数として現れていません。2026年1月1日から2026年5月31日までの319件のデータ侵害では、少なくとも21,085,405人が影響を受けています。OCRの侵害ポータルによると、2025年1月から2025年5月にかけては33,116,809人がデータ侵害の影響を受けていました。

Image

2026年5月に発生した最大規模の医療データ侵害

2026年5月には、10,000人以上に影響が及んだデータ侵害が17件OCRに報告されており、そのすべてがハッキング事案でした。月間最大のデータ侵害はRadiology Associates of Richmondによるもので、266,000人以上に影響が及びました。これに次いで、Western Orthopaedicsで発生したハッキング事案が113,000人以上に影響を及ぼしました。

規制対象事業者 対象事業者の種類 影響を受けた人数 侵害の原因
Radiology Associates of Richmond VA 医療提供機関 266,183 ハッキング事案
Western Orthopaedics, P.C. CO 医療提供機関 113,330 ハッキング事案
ERMI LLC GA 医療提供機関 74,074 ハッキング事案
Singing River Health System MS 医療提供機関 53,888 ハッキング事案
Southern Illinois Ob-Gyn Associates, S.C. IL 医療提供機関 38,700 ハッキング事案
Gastro Health FL 医療提供機関 35,632 メールアカウントへの不正アクセス
Eyemart Express, LLC TX 医療提供機関 25,000 ハッキング事案
Connecticut Department of Social Services CT 健康保険プラン提供者 22,500 プロバイダーポータルサイトへの不正アクセス
Bridle Trails Family Dentistry WA 医療提供機関 20,976 メールアカウントへの不正アクセス
Community Connections DC 医療提供機関 18,943 ランサムウェア攻撃(INCRansom)
Virta Medical PC CO 医療提供機関 14,636 ハッキング事案(Lapsus$)
Saurabh N. Patel, M.D – Florida Retina Center LA 医療提供機関 13,652 ハッキング事案
Greenbaum Rowe Smith & Davis LLP NJ ビジネスアソシエイト 12,801 ハッキング事案
Wellpoint Washington, Inc. IN 健康保険プラン提供者 12,020 メールアカウントへの不正アクセス
Defense Health Agency (TriWest) VA 健康保険プラン提供者 11,848 ハッキング事案
IKRON Corporation OH 医療提供機関 11,845 ハッキング事案
Elara Caring TX 医療提供機関 10,490 サードパーティベンダーでのハッキング事案

医療機関が引き続きデータ侵害の調査を進めていることから、5月の影響人数の合計は今後数週間から数カ月の間にかなり増加する可能性があります。HIPAA規制対象事業者は、データ侵害を発見した日から60日以内にHHS公民権局および影響を受けた個人に通知を行う必要があります。HIPAAでは、60日の期限までに影響人数の総数が確定していない場合でも、OCRへの通知が求められており、その場合は推定値を提出することになっています。多くの規制対象事業者はこうした場合、500人または501人という仮の数値を用いる傾向があり、5月には7つの規制対象事業者がこの仮の数値を使用したとみられます。

規制対象事業者 対象事業者の種類 影響を受けた人数 侵害の原因
United Medical Doctors CA 医療提供機関 501 ハッキング/ITインシデント
NJ Pain Care Specialists, LLC NJ 医療提供機関 501 ハッキング/ITインシデント
Palomar Health Medical Group CA 医療提供機関 501 ハッキング/ITインシデント
Aroostook Mental Health Center ME 医療提供機関 501 ハッキング/ITインシデント
Campbell University NC 医療提供機関 500 ハッキング/ITインシデント
BAYADA Home Health Care, Inc. NJ 医療提供機関 500 ハッキング/ITインシデント
Integrated Pain Associates TX 医療提供機関 500 ハッキング/ITインシデント

2026年5月の医療データ侵害の原因

ここ数年毎月の傾向と同様、5月もハッキングおよびその他のITインシデントが侵害報告の大半を占めました。月間61件の大規模な医療データ侵害のうち54件がハッキング/ITインシデントに分類され、月間全体の88.5%に相当します。これらのインシデントでは853,532人分の保護対象保健情報(PHI)が漏えいしており、月間の影響人数全体の88.5%を占めています。ハッキング/ITインシデントによる平均影響人数は5月時点で15,806人、中央値は3,619人でした。

Image

不正アクセス・不正開示に分類されたデータ侵害は7件で、月間全体の11.5%を占めました。これらのインシデントでは25,915人分の保護対象保健情報が不正にアクセスまたは開示されています。5月の各インシデントにおける平均影響人数は3,702人で、中央値は3,086人でした。5月には盗難、紛失、不適切な廃棄によるインシデントの報告はありませんでした。

ハッキング事案の件数が多いことを踏まえると、漏えいした保護対象保健情報の保管場所として最も多かったのがネットワークサーバーであるのも当然といえます。メール関連のインシデントも多数報告されています。

Image

2026年5月の医療データ侵害の影響を受けた州

大規模な医療データ侵害は、米国26州およびコロンビア特別区のHIPAA規制対象事業者から報告されました。最も被害の大きかった州はカリフォルニア州で、6件の侵害が発生しています。

件数
カリフォルニア州 6
フロリダ州、ニュージャージー州、ニューヨーク州、ノースカロライナ州、オハイオ州、テキサス州、バージニア州 4
コロラド州 3
インディアナ州、メイン州、ミシガン州、ペンシルベニア州、サウスカロライナ州、コロンビア特別区 2
アリゾナ州、コネチカット州、ジョージア州、イリノイ州、アイオワ州、ルイジアナ州、マサチューセッツ州、ミシシッピ州、オレゴン州、テネシー州、ワシントン州、ウィスコンシン州 1

影響を受けた人数で見ると、バージニア州が約30万人の州内住民に影響が及び、最多となりました。

影響を受けた人数 影響を受けた人数
バージニア州 290,254 ルイジアナ州 13,652
コロラド州 128,661 ペンシルベニア州 7,095
ジョージア州 74,074 サウスカロライナ州 6,946
ミシシッピ州 53,888 アイオワ州 6,666
フロリダ州 44,649 ミシガン州 6,456
テキサス州 40,045 カリフォルニア州 5,303
イリノイ州 38,700 ノースカロライナ州 4,949
オハイオ州 28,540 マサチューセッツ州 3,086
コネチカット州 22,500 メイン州 3,024
ワシントン州 20,976 オレゴン州 2,856
コロンビア特別区 20,014 アリゾナ州 2,316
ニューヨーク州 19,674 テネシー州 1,807
インディアナ州 17,325 ウィスコンシン州 1,080
ニュージャージー州 14,911

HIPAA規制対象事業者におけるデータ侵害

2026年5月には、医療提供機関から42件、健康保険プラン提供者から9件、ビジネスアソシエイトから10件のデータ侵害が報告されました。ビジネスアソシエイトで侵害が発生した場合、関係する対象事業者への通知が必要です。各対象事業者は侵害通知の責任をビジネスアソシエイトに委任することもできますが、通知が確実に行われるようにする責任は最終的に各対象事業者が負います。多くの場合、ビジネスアソシエイトで発生した侵害は対象事業者側から報告されます。

以下の円グラフは、報告事業者ではなく実際にデータ侵害が発生した場所を示したものです。これによると、5月に発生した61件の侵害のうち、(10件ではなく)22件がビジネスアソシエイトで発生していたことがわかります。

Image

Image

2026年5月のHIPAA執行活動

5月にはOCRおよび各州司法長官による執行措置の発表はありませんでした。

翻訳元: https://www.hipaajournal.com/may-2026-healthcare-data-breach-report/

ソース: hipaajournal.com