HHS(米保健福祉省)公民権局(OCR)の侵害ポータルに登録された現時点のデータによると、2026年5月には500人以上に影響が及んだ医療データ侵害が61件報告されました。5月の件数は前月比で27.1%増加しています。過去12カ月間では、平均して毎月64件の大規模な医療データ侵害が報告されています。

2026年1月1日から2026年5月31日までの期間で、500人以上に影響が及んだデータ侵害はOCRに319件報告されています。前年同時期の合計は342件の大規模データ侵害でした。

データ侵害の件数は4月から増加しましたが、影響を受けた人数は34.8%減少し、879,447人となりました。5月に医療データ侵害の影響を受けた人数は平均14,417人で、4月の平均28,116人から大きく減少しています。過去12カ月間では、毎月平均1,060万人が医療データ侵害の影響を受けています。

データ侵害の件数は前年同期比でやや減少していますが、影響を受けた人数は大幅に減っています。過去数年に見られたような非常に大規模なデータ侵害は、OCRへの報告件数として現れていません。2026年1月1日から2026年5月31日までの319件のデータ侵害では、少なくとも21,085,405人が影響を受けています。OCRの侵害ポータルによると、2025年1月から2025年5月にかけては33,116,809人がデータ侵害の影響を受けていました。

2026年5月に発生した最大規模の医療データ侵害
2026年5月には、10,000人以上に影響が及んだデータ侵害が17件OCRに報告されており、そのすべてがハッキング事案でした。月間最大のデータ侵害はRadiology Associates of Richmondによるもので、266,000人以上に影響が及びました。これに次いで、Western Orthopaedicsで発生したハッキング事案が113,000人以上に影響を及ぼしました。
| 規制対象事業者 | 州 | 対象事業者の種類 | 影響を受けた人数 | 侵害の原因 |
| Radiology Associates of Richmond | VA | 医療提供機関 | 266,183 | ハッキング事案 |
| Western Orthopaedics, P.C. | CO | 医療提供機関 | 113,330 | ハッキング事案 |
| ERMI LLC | GA | 医療提供機関 | 74,074 | ハッキング事案 |
| Singing River Health System | MS | 医療提供機関 | 53,888 | ハッキング事案 |
| Southern Illinois Ob-Gyn Associates, S.C. | IL | 医療提供機関 | 38,700 | ハッキング事案 |
| Gastro Health | FL | 医療提供機関 | 35,632 | メールアカウントへの不正アクセス |
| Eyemart Express, LLC | TX | 医療提供機関 | 25,000 | ハッキング事案 |
| Connecticut Department of Social Services | CT | 健康保険プラン提供者 | 22,500 | プロバイダーポータルサイトへの不正アクセス |
| Bridle Trails Family Dentistry | WA | 医療提供機関 | 20,976 | メールアカウントへの不正アクセス |
| Community Connections | DC | 医療提供機関 | 18,943 | ランサムウェア攻撃(INCRansom) |
| Virta Medical PC | CO | 医療提供機関 | 14,636 | ハッキング事案(Lapsus$) |
| Saurabh N. Patel, M.D – Florida Retina Center | LA | 医療提供機関 | 13,652 | ハッキング事案 |
| Greenbaum Rowe Smith & Davis LLP | NJ | ビジネスアソシエイト | 12,801 | ハッキング事案 |
| Wellpoint Washington, Inc. | IN | 健康保険プラン提供者 | 12,020 | メールアカウントへの不正アクセス |
| Defense Health Agency (TriWest) | VA | 健康保険プラン提供者 | 11,848 | ハッキング事案 |
| IKRON Corporation | OH | 医療提供機関 | 11,845 | ハッキング事案 |
| Elara Caring | TX | 医療提供機関 | 10,490 | サードパーティベンダーでのハッキング事案 |
医療機関が引き続きデータ侵害の調査を進めていることから、5月の影響人数の合計は今後数週間から数カ月の間にかなり増加する可能性があります。HIPAA規制対象事業者は、データ侵害を発見した日から60日以内にHHS公民権局および影響を受けた個人に通知を行う必要があります。HIPAAでは、60日の期限までに影響人数の総数が確定していない場合でも、OCRへの通知が求められており、その場合は推定値を提出することになっています。多くの規制対象事業者はこうした場合、500人または501人という仮の数値を用いる傾向があり、5月には7つの規制対象事業者がこの仮の数値を使用したとみられます。
| 規制対象事業者 | 州 | 対象事業者の種類 | 影響を受けた人数 | 侵害の原因 |
| United Medical Doctors | CA | 医療提供機関 | 501 | ハッキング/ITインシデント |
| NJ Pain Care Specialists, LLC | NJ | 医療提供機関 | 501 | ハッキング/ITインシデント |
| Palomar Health Medical Group | CA | 医療提供機関 | 501 | ハッキング/ITインシデント |
| Aroostook Mental Health Center | ME | 医療提供機関 | 501 | ハッキング/ITインシデント |
| Campbell University | NC | 医療提供機関 | 500 | ハッキング/ITインシデント |
| BAYADA Home Health Care, Inc. | NJ | 医療提供機関 | 500 | ハッキング/ITインシデント |
| Integrated Pain Associates | TX | 医療提供機関 | 500 | ハッキング/ITインシデント |
2026年5月の医療データ侵害の原因
ここ数年毎月の傾向と同様、5月もハッキングおよびその他のITインシデントが侵害報告の大半を占めました。月間61件の大規模な医療データ侵害のうち54件がハッキング/ITインシデントに分類され、月間全体の88.5%に相当します。これらのインシデントでは853,532人分の保護対象保健情報(PHI)が漏えいしており、月間の影響人数全体の88.5%を占めています。ハッキング/ITインシデントによる平均影響人数は5月時点で15,806人、中央値は3,619人でした。

不正アクセス・不正開示に分類されたデータ侵害は7件で、月間全体の11.5%を占めました。これらのインシデントでは25,915人分の保護対象保健情報が不正にアクセスまたは開示されています。5月の各インシデントにおける平均影響人数は3,702人で、中央値は3,086人でした。5月には盗難、紛失、不適切な廃棄によるインシデントの報告はありませんでした。
ハッキング事案の件数が多いことを踏まえると、漏えいした保護対象保健情報の保管場所として最も多かったのがネットワークサーバーであるのも当然といえます。メール関連のインシデントも多数報告されています。

2026年5月の医療データ侵害の影響を受けた州
大規模な医療データ侵害は、米国26州およびコロンビア特別区のHIPAA規制対象事業者から報告されました。最も被害の大きかった州はカリフォルニア州で、6件の侵害が発生しています。
| 州 | 件数 |
| カリフォルニア州 | 6 |
| フロリダ州、ニュージャージー州、ニューヨーク州、ノースカロライナ州、オハイオ州、テキサス州、バージニア州 | 4 |
| コロラド州 | 3 |
| インディアナ州、メイン州、ミシガン州、ペンシルベニア州、サウスカロライナ州、コロンビア特別区 | 2 |
| アリゾナ州、コネチカット州、ジョージア州、イリノイ州、アイオワ州、ルイジアナ州、マサチューセッツ州、ミシシッピ州、オレゴン州、テネシー州、ワシントン州、ウィスコンシン州 | 1 |
影響を受けた人数で見ると、バージニア州が約30万人の州内住民に影響が及び、最多となりました。
| 州 | 影響を受けた人数 | 州 | 影響を受けた人数 |
| バージニア州 | 290,254 | ルイジアナ州 | 13,652 |
| コロラド州 | 128,661 | ペンシルベニア州 | 7,095 |
| ジョージア州 | 74,074 | サウスカロライナ州 | 6,946 |
| ミシシッピ州 | 53,888 | アイオワ州 | 6,666 |
| フロリダ州 | 44,649 | ミシガン州 | 6,456 |
| テキサス州 | 40,045 | カリフォルニア州 | 5,303 |
| イリノイ州 | 38,700 | ノースカロライナ州 | 4,949 |
| オハイオ州 | 28,540 | マサチューセッツ州 | 3,086 |
| コネチカット州 | 22,500 | メイン州 | 3,024 |
| ワシントン州 | 20,976 | オレゴン州 | 2,856 |
| コロンビア特別区 | 20,014 | アリゾナ州 | 2,316 |
| ニューヨーク州 | 19,674 | テネシー州 | 1,807 |
| インディアナ州 | 17,325 | ウィスコンシン州 | 1,080 |
| ニュージャージー州 | 14,911 | ||
HIPAA規制対象事業者におけるデータ侵害
2026年5月には、医療提供機関から42件、健康保険プラン提供者から9件、ビジネスアソシエイトから10件のデータ侵害が報告されました。ビジネスアソシエイトで侵害が発生した場合、関係する対象事業者への通知が必要です。各対象事業者は侵害通知の責任をビジネスアソシエイトに委任することもできますが、通知が確実に行われるようにする責任は最終的に各対象事業者が負います。多くの場合、ビジネスアソシエイトで発生した侵害は対象事業者側から報告されます。
以下の円グラフは、報告事業者ではなく実際にデータ侵害が発生した場所を示したものです。これによると、5月に発生した61件の侵害のうち、(10件ではなく)22件がビジネスアソシエイトで発生していたことがわかります。

2026年5月のHIPAA執行活動
5月にはOCRおよび各州司法長官による執行措置の発表はありませんでした。
翻訳元: https://www.hipaajournal.com/may-2026-healthcare-data-breach-report/
