ユーススポーツ、NCAAの保険請求がハッキングされた可能性

保育施設、ユーススポーツ、NCAA選手の事故に関わる医療保険請求を扱うメイン州拠点のサードパーティ管理会社が、4月のハッキング事件で医療情報および個人識別情報にアクセスされた、または盗まれた可能性があるとして、18万1,000人超の請求者に通知している。

National Accident Health General Agency（NAHGA）は、自社を全国の顧客向けに二次的な傷害保険請求の処理に注力するサードパーティ管理会社だと説明している。

30年以上の事業実績を持つ同社は、保育施設向けの専門組織や大手医療保険会社、K-12（幼稚園から高校まで）の生徒向けユーススポーツやキャンプ、NCAAのディビジョンI・II・IIIなどの競技プログラム、全国規模の映画・テレビ制作、モトクロスやショートトラックの自動車レースに関わる請求を扱っている。

NAHGAは金曜日にメイン州司法長官へ提出した侵害報告書で、ハッキングの影響を受けたのは181,160人だと述べた。

NAHGAのウェブサイトに掲載された侵害通知で、同社は4月10日にネットワーク内で異常な活動を「把握した」と述べた。

NAHGAは、その後直ちに当該活動の調査とシステムの保護のための措置を講じたと述べた。

サードパーティのサイバーセキュリティ専門家の支援を受けた調査により、4月8日から4月11日の間に、権限のない人物がNAHGAのシステム内に保存されていた特定のファイルおよびデータにアクセスした、または取得した可能性があることが判明した。

「NAHGAは、インシデントの範囲を特定するために、これらのシステムについて広範なレビューを実施した」と同社は述べ、11月14日に郵送先住所が判明している影響対象者への侵害通知の送付を開始したと付け加えた。

NAHGAが侵害されたデータを確認したところ、影響を受けた情報には、氏名、社会保障番号、生年月日、運転免許証番号、健康保険情報、ならびに医療または治療情報が含まれていた可能性があるという。

NAHGAは、将来同様のインシデントのリスクを低減するため、セキュリティ強化の措置を講じたと述べた。

NAHGAは、同社の侵害に関する追加詳細について、Information Security Media Groupからの問い合わせに直ちには回答しなかった。

ここ数日から数週間にかけて、複数の全国規模の法律事務所が、集団訴訟の可能性を見据えてNAHGAの侵害を調査しているとする公的通知を出している。月曜日時点で、少なくとも1件の連邦裁判所への集団訴訟（提起案）が、このインシデントに起因してNAHGAを相手取り提起されていた。

その訴訟は、NAHGAの脆弱なセキュリティ慣行により、サイバー犯罪者が同社が管理する個人を特定できる情報（PII）および保護対象医療情報（PHI）へアクセスし、持ち出すことを阻止できなかった、などと主張している。

「被告のデータ侵害により、原告およびクラスメンバーの機微なPII/PHIがサイバー犯罪者の手に渡り、原告およびクラスメンバーに多数の被害と重大な損害を与えた」と訴状は主張している。

NAHGAに対するその訴訟は、補償的損害および推定損害を含む金銭的損害賠償に加え、原告およびクラスメンバーの個人情報・健康情報をより適切に保護するよう同社に求める差止救済を求めている。

月曜日時点で、NAHGAのインシデントは、500人以上に影響する主要な医療データ侵害を掲載する米国保健福祉省（HHS）のHIPAA侵害報告ツールにはまだ掲載されていなかった。

それでもNAHGAのインシデントは、2025年これまでにHHS公民権局（OCR）へサードパーティベンダーやビジネスアソシエイトから報告された、ハッキング事件を含む数百件の大規模侵害の一つである。

2025年にこれまで報告されたHIPAAビジネスアソシエイトのインシデントのうち最大のものは、医療コーディングおよびリスク調整会社で、医療保険大手UnitedHealth Groupの子会社Optumが所有するEpisourceで発生したハッキング事件だった（参照：UnitedHealth Groupの最新の医療データ侵害問題）。

6月6日にHHS OCRへ報告されたそのEpisourceの侵害は、540万人超に影響した。Episourceは侵害通知で、2月6日に自社のコンピュータネットワーク上で異常な活動を検知したと述べた。同社は、インシデントの調査により、サイバー犯罪者が1月27日から2月6日の間に一部のEpisourceデータへアクセスし、そのコピーを盗み出したことが判明したと述べた。