ニューヨーク州の整形外科医療機関であるOrthopedics NY LLP(別名:OrthoNY、OrthopedicsNY)は、2023年12月のランサムウェア攻撃およびデータ侵害をめぐり、ニューヨーク州司法長官から50万ドルの罰金を科された。ニューヨーク州のキャピタル・ディストリクトを対象とする複数のメディアが報じている。ニューヨーク州司法長官レティシア・ジェームズは、現時点でこの和解についてウェブサイトでの発表やプレスリリースの発行を行っていない。
OrthopedicsNYは、ニューヨーク州キャピタル地域で、整形外科、理学療法、MRI画像診断、手術のクリニックを約20拠点運営している。2023年12月28日ごろ、OrthopedicsNYはINC Ransomによるランサムウェア攻撃の被害に遭った。調査には約9か月を要し、2024年9月5日、現患者および元患者、ならびに従業員の個人情報および保護対象医療情報が本件で侵害されたことが明らかになった。
このデータ侵害は当初、影響を受けた人数が約5,100人と報告されていたが、その後、合計656,086人に更新された。これらの人々は、攻撃で自分の情報が盗まれたことを知るまで10か月待たされることになった。ランサムウェア攻撃は2023年12月下旬に発生したものの、影響を受けた人々への通知が開始されたのは2024年10月30日になってからだった。OrthopedicsNYは身代金の要求があったことを確認しているが、身代金が支払われたかどうかは不明である。ランサムウェア集団は侵害されたログイン認証情報を用いてネットワークにアクセスし、暗号化されていない個人情報および保護対象医療情報をネットワークからダウンロードした。これには、11万人超の社会保障番号、運転免許証番号、パスポート番号が含まれていた。
ニューヨーク州司法長官事務局はこのデータ侵害に関して調査を開始し、OrthopedicsNYが患者データを保護するための合理的かつ適切なサイバーセキュリティ対策を実施していなかったと認定した。これは連邦法および州法に違反する。 50万ドルの金銭的制裁に加え、OrthopedicsNYは影響を受けた人々に対し、1年間の無料クレジット監視サービスを提供し、データセキュリティを大幅に改善することが求められている。これらの措置には、包括的な情報セキュリティプログラムの実装および維持、リモートアクセスに対する多要素認証、すべての機微な患者情報のデータ暗号化が含まれる。さらにOrthopedicsNYは、不正アクセスを特定するための監視システムを導入し、従業員および患者情報へのアクセスを制限し、機微なデータに対するリスクと脆弱性を特定するための年次リスク評価を実施しなければならない。
「患者は医療提供者に個人情報を託しており、提供者はシステムの安全性を確保することでその信頼に応えなければなりません。OrthopedicsNYは患者の私的情報を守るために必要な注意義務を果たしませんでした。いかなる患者も自分の情報が露出するべきではなく、私の事務所はニューヨーカーの個人データを守るため、引き続き法の執行に取り組みます」と、ジェームズ司法長官は述べた。
翻訳元: https://www.hipaajournal.com/orthopedicny-settlement-ny-ag/
