HilliardのEvoke Wellnessの元従業員が患者データを盗み不正利用したほか、Conifer Value-Based Careではメールアカウントの侵害が発生し、Heart of Texas Behavioral Health Networkの施設では侵入により患者データが盗まれた可能性があります。
Evoke Wellness at Hilliard
行動医療サービス提供者であるOCAT, LLC(Evoke Wellness at Hilliardとして事業運営)は、オハイオ州ヒリアードの施設の患者に影響するデータ侵害を報告しました。Evoke Wellness at Hilliardは2025年5月20日、機微なデータが同社システムから盗まれたと法執行機関から通知を受け、社内調査を開始しました。
法執行機関は当該人物の所持品から盗まれたデータを発見し、Evoke Wellnessの調査により、1,629人の患者記録への不正アクセスが確認されました。当該人物が入手したデータには、氏名、住所、電話番号、メールアドレス、社会保障番号、医療記録、診断および治療情報、治療日、検査結果、処方情報、健康保険情報、運転免許証番号、パスポート番号、決済カード情報、金融口座情報が含まれていました。
データがいつEvoke Wellnessから盗まれたのかは不明です。犯人は元従業員で、事件とは無関係の理由により2024年7月に解雇されていました。これまでに公表された情報からは、データが解雇前に盗まれたのか、解雇後に盗まれたのかは不明です。法執行機関は当該人物を偽造、文書偽造、なりすまし(身元)窃盗の罪で起訴しました。盗まれたデータの性質および元従業員に対する罪状を踏まえると、データの不正利用はすでに発生している可能性があります。影響を受けた方は、口座、給付明細(EOB)、信用情報(クレジット)報告書を徹底的に確認して情報の不正利用の兆候がないかを確認し、疑わしい活動があれば関係機関および法執行機関に報告してください。
Conifer Value-Based Care
医療管理会社Conifer Health Solutionsの一部であるConifer Value-Based Care, LLCは、従業員のMicrosoft 365でホストされている業務用メールアカウントへの不正アクセスを伴う最近のセキュリティ事案について、個人への通知を開始しました。メールアカウントの侵害は2025年8月28日に特定され、事案の封じ込めとさらなる不正アクセス防止のための措置が講じられました。フォレンジック調査により、2025年8月28日から2025年8月29日にかけて、権限のない第三者が当該アカウントにアクセスしていたことが確認されました。アカウントの確認が行われ、2025年11月10日、保護対象保健情報(PHI)が漏えいしたことが確認されました。
影響を受けた医療提供者および医療保険プランには2025年11月14日に本事案が通知され、Conifer Value-Based CareはHIPAA適用対象事業体である顧客に代わって、2025年12月5日に影響を受けた個人へ通知を発出しました。カリフォルニア州司法長官に送付された通知では、関与した情報の種類は明記されておらず、社会保障番号、金融口座情報、クレジット/デビットカード情報、アカウントのパスワード、運転免許証/州IDは含まれていなかったことのみが記載されています。
Texas Behavioral Health Network
テキサス中部のHeart of Texas Behavioral Health Networkは、保護対象保健情報の一部の露出および盗難の可能性について、1,309人に通知しています。Heart of Texas Behavioral Health Networkはテキサス州の6郡の患者にサービスを提供していますが、本件の影響を受けるのはマクレナン郡の患者のみです。2025年11月20日、Heart of Texasはマクレナン郡にある施設の一つで侵入があったことを発見し、犯人が患者データを含む紙の記録を閲覧または持ち去った可能性があります。
当該施設の記録には、患者氏名、住所、生年月日、診療録番号、診断および治療情報、処置情報、社会保障番号、メディケイドおよび健康保険情報が含まれていました。影響を受けた方には、なりすまし窃盗や詐欺に対して警戒を続け、給付明細(EOB)、請求明細、信用情報(クレジット)報告書を確認して不審な活動がないかを確認するよう助言されています。
翻訳元: https://www.hipaajournal.com/data-breach-evoke-wellness-conifer-value-based-care/
