All About Women’s Careのデータ侵害、最大12,000人の患者に影響

コロラド州のAll About Women’s Careは、データ侵害によって情報が漏えいしたとして12,000人の患者に通知しました。また、テネシー州のMid-South Pulmonary Sleep Specialistsは、2025年11月に発生したランサムウェア攻撃の影響を調査しています。

All About Women’s Care(コロラド州)

コロラド州エングルウッドを拠点とする産婦人科医院All About Women’s Careは、自社のIT環境への不正アクセスを確認しました。従業員のVPNアカウントに関わる不審な活動が発見されたのがきっかけです。同院はサードパーティのサイバーセキュリティ専門家に調査を依頼し、その結果、攻撃者がこのVPNアカウントの認証情報を不正に入手し、ネットワーク環境へのアクセスに悪用していたことが判明しました。攻撃ではファイルがコピーされており、その内容の確認作業は2026年6月5日に完了しています。

ファイルの精査により、影響を受けたデータには氏名、生年月日、社会保障番号、運転免許証番号、その他のID番号、臨床・治療情報、検査結果、処方情報、担当医療者情報、医療記録文書、超音波画像、パスポートなどの身分証明書のコピー、健康保険情報が含まれていたことが確認されました。

同院は現在、サイバーセキュリティ専門家と協力してセキュリティ体制を強化し、同様の事案の再発防止に取り組んでおり、データのプライバシーおよびセキュリティに関する方針や手順も見直しています。このデータ侵害は最近、米保健福祉省(HHS)公民権局(OCR)に最大12,000人の患者に影響が及んだ事案として報告されました。

Mid-South Pulmonary Sleep Specialists(テネシー州)

テネシー州メンフィスを拠点とする呼吸器・睡眠医療専門の医院Mid-South Pulmonary Sleep Specialistsは、患者の個人情報および保護対象保健情報(PHI)が漏えいしたサイバーセキュリティ事案について、一部の患者への通知を開始しました。

同院のコンピュータネットワーク内で不審な活動が確認されたのは2025年11月2日のことです。ネットワークはただちに保護され、サードパーティのサイバーセキュリティ専門家の支援を受けて調査した結果、不正なネットワークアクセスと患者データの漏えい・窃取の可能性が確認されました。データの精査は2026年5月18日に完了し、今回の事案で広範囲にわたるデータが漏えいしていたことが明らかになりました。漏えいした情報の種類は個人によって異なり、氏名に加えて、住所、生年月日、受診日、運転免許証番号または州発行ID番号、金融口座情報、健康保険情報、診断情報、病歴、担当医療者名、医療記録番号、治療情報、Medicare/Medicaid番号、心身の状態、その他の患者識別情報、患者口座番号、処方情報、社会保障番号のいずれか一つ以上が含まれていた可能性があります。

規制当局への通知は行われたものの、本事案はHHS公民権局のウェブサイトにはまだ掲載されておらず、影響を受けた人数は現時点では不明です。同院のウェブサイトに掲載された侵害通知には、攻撃の性質や、脅威アクター(攻撃者)がネットワークにどの程度の期間アクセスしていたかについての記載はありません。

この事案はランサムウェア攻撃だったとみられます。Anubisランサムウェアがこの攻撃について犯行声明を出し、2025年11月下旬にMid-South Pulmonary Sleep Specialistsを自らのデータリークサイトに掲載し、攻撃で窃取したとされるデータのサンプルも公開しました。Anubisは、窃取したデータには患者情報が含まれていると主張しています。

翻訳元: https://www.hipaajournal.com/all-about-womens-care-data-breach/

ソース: hipaajournal.com