保健福祉省(HHS)の公民権局(Office for Civil Rights:OCR)がHIPAAコンプライアンスの主たる執行機関ですが、州司法長官(Attorney General)も、医療保険の携行性と責任に関する法律(HIPAA)の規則への準拠を執行するうえで役割を担っています。
医療情報技術の臨床的・経済的健全性に関する(HITECH)法により、州司法長官には、HIPAAのプライバシー規則およびセキュリティ規則の違反によって影響を受けた州住民を代表して民事訴訟を提起する権限が付与され、州住民のために損害賠償を得ることができます。コネチカット州司法長官は2010年、150万人分の電子的保護対象保健情報(ePHI)を含む暗号化されていないハードドライブの紛失および侵害通知の遅延を理由に、Health Net Inc.に対してこの権利を初めて行使しました。この事件は25万ドルで和解しました。続いてバーモント州司法長官も2011年にHealth Netに対して同様の措置を取り、5万5,000ドルで和解しました。またインディアナ州は2011年にWellpoint Inc.に対して民事訴訟を提起し、10万ドルで和解しました。
州司法長官によるHIPAA関連事件は比較的まれで、2010年から2015年の間にHIPAA違反を解決するためにHIPAAの対象事業体およびビジネス・アソシエイトと成立した和解は11件にとどまりました。州司法長官によるHIPAA執行は2017年に5件の和解で強化され、さらに2018年には12件の事件でHIPAA規則違反に対する金銭的制裁が科されました。
2019年と2020年は、金銭的制裁に至った事件は合計わずか5件でしたが、制裁額は大きく、5件中4件は、複数の州司法長官が参加した、HIPAAの対象事業体およびビジネス・アソシエイトに対するマルチステート(複数州)での措置でした。こうしたマルチステートの措置により、州司法長官は資源を持ち寄り、HIPAAおよび州法の潜在的な違反をより効率的に調査できます。
2023年は執行の面で多忙な年となり、HIPAA規則および州の消費者保護法・侵害通知法の違反を解決するために16件の執行措置が行われました。カリフォルニア、コロラド、インディアナ、ニューヨーク、オハイオ、ペンシルベニアの各州の司法長官により事件が解決され、さらに3件のマルチステート調査が解決しました。これには、Blackbaudに対する49州による措置、Personal Touch Home Careに対する32州による措置、EyeMed Vision Careに対する4州による措置が含まれます。Blackbaudの550万件の記録に及ぶ侵害に関する事件では、4,950万ドルの制裁金が科されました。
州司法長官が対象事業体またはビジネス・アソシエイトに対して民事訴訟を提起する場合、それは公民権局(OCR)による措置とは別個のものであり、OCRも調査を選択し、独自の罰金や制裁を科すことがあります。複数のデータ侵害では、連邦および州の両レベルで和解に至っています。Community Health Systems/CHSPSC、Anthem Inc.、Premera Blue Cross、Aetna、Cottage Health System、University of Rochester Medical Center、Medical Informatics Engineeringはいずれも、潜在的なHIPAA違反を解決するためにOCRとの和解と、州司法長官との別個の事件の和解の双方を行っています。
以下に示す州司法長官による執行措置の多くでは、金銭的制裁が連邦(HIPAA)および/または州法の違反を解決するものとなっています。これまでの経緯の中で、HIPAA規則が違反されていたものの、州法における同等規定の違反として措置を講じる判断がなされた事例が複数あります。以下で詳述する事件には、HIPAA規則が違反されていたものの、州法違反として措置が取られた事例が含まれます。
2025年の州司法長官によるHIPAA執行
| 2025 | ニューヨーク | Orthopedics NY LLP | $500,000 | 656,086 | ランサムウェア攻撃およびデータ侵害 | HIPAAセキュリティ規則および州のプライバシー・セキュリティ法の違反 |
2024年の州司法長官によるHIPAA執行
| 年 | 州 | 事業体 | 金額 | 影響を受けた個人 | 調査理由 | 認定事項 |
| 2024 | インディアナ | Westend Dental | $350,000 | 不明 | 未報告のハッキング事案により、患者に歯科記録の写しを提供できなかった | HIPAAプライバシー規則、セキュリティ規則、侵害通知規則の違反;インディアナ州セキュリティ侵害開示法;インディアナ州欺瞞的消費者販売法 |
| 2024 | ニューヨーク | HealthAlliance | $1,400,000($850,000は停止) | 242,641 | 既知の脆弱性にパッチを適用しなかったことによるデータ侵害 | ニューヨーク州事業法および執行法の違反 |
| 2024 | ニューヨーク | Albany ENT & Allergy Services | $1,000,000($500,000は停止);サイバーセキュリティに$2.24M投資 | 213,935 | 2023年に10日間で2回のランサムウェア攻撃 | ニューヨーク州事業法および執行法の違反 |
| 2024 | ニューヨーク、ニュージャージー、コネチカット | Enzo Biochem/Enzo Clinical Labs | $4,500,000 | 240万人 | ランサムウェア攻撃およびデータ侵害 | HIPAAセキュリティ規則の12項目の違反およびニューヨーク州一般事業法(GBL)の違反 |
| 2024 | ワシントン | Allure Esthetic | $5,000,000 | 21,000 | オンラインレビューの捏造および違法な秘密保持契約。 | HIPAA、ワシントン州消費者保護法(CPA)、および連邦消費者レビュー公正法(CRFA)の違反。 |
| 2024 | カリフォルニア | Adventist Health Hanford | $10,000 | 2 | 法執行機関への患者情報の開示 | 令状なしに法執行機関へ患者情報を違法に開示し、HIPAA、CMIA、その他の州法に違反 |
| 2024 | カリフォルニア | Blackbaud | $6,750,000 | 5,500,000 | ランサムウェア攻撃 | データセキュリティを確保するための適切な保護措置の未実施および侵害対応の不備。HIPAAセキュリティ規則、侵害通知規則、ならびに州の消費者保護法の違反 |
| 2024 | カリフォルニア | Quest Diagnostics | $5,000,000 | 不明確 | 廃棄物およびPHIの不適切な処分 | 有害廃棄物、医療廃棄物、ならびに患者の個人健康情報の違法な処分。HIPAAではなくカリフォルニア州法違反として処分。 |
| 2024 | ニューヨーク | Refuah Health Center | $450,000およびサイバーセキュリティに$1.2 million投資 | 260,740 | 2021年5月のランサムウェア攻撃 | HIPAAセキュリティ規則の複数の違反、HIPAA侵害通知規則の違反、ならびにニューヨーク州事業法の違反。 |
2023年の州司法長官によるHIPAA執行
州司法長官は、HIPAA違反または州法上の同等の違反に対して、3件の金銭的制裁を科しました。
| 年 | 州 | 事業体 | 金額 | 影響を受けた個人 | 調査理由 | 認定事項 |
| 2023 | ニューヨーク | New York Presbyterian Hospital | $300,000 | 54,396 | ウェブサイト上でのピクセル等の追跡ツールの使用 | PHIを第三者に不適切に開示したことにより、HIPAAプライバシー規則およびニューヨーク州執行法に違反。 |
| 2023 | ニューヨーク | Healthplex | $400,000 | 89,955(うちニューヨーク州62,922) | フィッシング攻撃 | ニューヨーク州のデータセキュリティおよび消費者保護法の違反(データ保持/ログ、MFA、データセキュリティ評価) |
| 2023 | インディアナ | CarePointe ENT | $120,000 | 48,742 | ランサムウェア攻撃およびデータ侵害 | 既知の脆弱性への未対応、ビジネス・アソシエイト契約の不備、インディアナ州セキュリティ侵害開示法およびインディアナ州欺瞞的消費者販売法の違反 |
| 2023 | ニューヨーク | U.S. Radiology Specialists Inc. | $450,000 | 198,260(うちニューヨーク州住民92,540) | サイバー攻撃およびデータ侵害 | 既知の脆弱性に対処するためのハードウェア更新を合理的な期間内に行わなかった。 |
| 2023 | ニューヨーク | Personal Touch Holding Corp | $350,000 | 753,107 | ランサムウェア攻撃 | 非公式な情報セキュリティ・プログラムしかなく、不十分なアクセス制御、継続的監視システムの欠如、暗号化の欠如、ならびに不十分な職員研修。 |
| 2023 | マルチステート(32州およびPR) | Inmediata | $1.4 million | 1,565,338 | 保護されていないサーバーによりPHIがオンラインで露出、侵害通知 | データセキュリティを確保するための適切な保護措置の未実施および侵害対応の不備により、HIPAAセキュリティ規則、侵害通知規則、ならびに州の侵害通知法に違反 |
| 2023 | マルチステート(49州およびDC) | Blackbaud | $49.5 million | 5,500,000 | ランサムウェア攻撃 | 保護措置および侵害対応に関するHIPAA規則の違反、ならびに州の消費者データ保護法の違反 |
| 2023 | コロラド | Broomfield Skilled Nursing and Rehabilitation Center | $60,000(是正措置を完全に遵守した場合は$25,000停止) | 677人 | 侵害されたメールアカウント2件 | HIPAAセキュリティ規則および州のデータ保護法(コロラド州消費者保護法(CCPA)を含む)の違反 |
| 2023 | インディアナ | Schneck Medical Center | $250,000 | 89,707人 | ランサムウェア攻撃およびデータ侵害 | HIPAAプライバシー規則、セキュリティ規則、侵害通知規則の違反。インディアナ州セキュリティ侵害開示法およびインディアナ州欺瞞的消費者販売法の違反 |
| 2023 | カリフォルニア | Kaiser Foundation Health Plan Foundation Inc. and Kaiser Foundation Hospitals | $49,000,000 | 7,700人 | 有害廃棄物、医療廃棄物、保護対象保健情報の不適切な処分 | HIPAA、カリフォルニア州有害廃棄物規制法、医療廃棄物管理法、医療情報機密保持法、顧客記録法、不正競争法の違反。 |
| 2023 | カリフォルニア | Kaiser Permanente | $450,000 | 最大167,095人 | 郵送ミスおよびPHIの開示 | カリフォルニア州医療情報機密保持法(CMIA)違反—PHIの不適切な開示およびPHIの管理または処分の過失 |
| 2023 | ニューヨーク | Practicefirst Medical Management Solutions (Professional Business Systems Inc.) | $550,000 | 120万人 | ランサムウェア攻撃およびデータ侵害 | 重大なファイアウォール脆弱性に22か月間パッチを適用しなかった。侵入テストや脆弱性スキャンがなく、機微な健康データの暗号化も欠如。 |
| 2023 | マルチステート:オレゴン、ニュージャージー、フロリダ、ペンシルベニア | EyeMed Vision Care | $2,500,000 | 210万人 | ランサムウェア攻撃およびデータ侵害 | 不十分なパスワード複雑性要件、パスワード試行失敗後のアカウントロックの不備、PHIを大量に含むブラウザアクセス可能なメールアカウントに多要素認証がない、メールアカウントのログ取得・監視が不十分、ならびに不要な量のPHIをメールアカウントに保存していた。 |
| 2023 | ニューヨーク | Heidell, Pittoni, Murphy & Bach LLP | $200,000 | 61,438 | ランサムウェア攻撃およびデータ侵害 | HIPAAプライバシー規則およびセキュリティ規則の17項目の違反 |
| 2023 | ペンシルベニア | DNA Diagnostics Center | $200,000 | 33,000 | 210万件の記録を含むデータベースの盗難 | 保護措置の欠如、資産インベントリの更新不備、業務目的で使用していない資産の未撤去。 |
| 2023 | オハイオ | DNA Diagnostics Center | $200,000 | 12,600 | 210万件の記録を含むデータベースの盗難 | 保護措置の欠如、資産インベントリの更新不備、業務目的で使用していない資産の未撤去。 |
本記事は、HIPAAおよび州法の違反を解決するための新たな罰金、和解、その他の解決が発表され次第、随時更新します。
2022年の州司法長官によるHIPAA執行
| 年 | 州 | 事業体 | 金額 | 影響を受けた個人 | 調査理由 | 認定事項 |
| 2022 | オレゴンおよびユタ | Avalon Healthcare | $200,000 | 14,500 | フィッシング攻撃およびデータ侵害について個人に通知するまで10か月遅延 | 調査により、10か月の遅延はHIPAA(報告期限60日)およびオレゴン州法(報告期限45日)に違反すると判断されました。メールのセキュリティ運用が不十分であることも認定され、和解には、消費者保護法およびHIPAAへの準拠を確保するための包括的なデータセキュリティ・プログラムを策定・実施・維持する責任者の任命を含む、複数のデータセキュリティ要件(メールフィルタリング、セキュリティ意識向上研修、多要素認証など)が盛り込まれました。 |
| 2022 | Aveanna Healthcare | マサチューセッツ | $425,000 | 166,000 | フィッシング攻撃およびデータ侵害 | マサチューセッツ州司法長官は、多要素認証や従業員向けのセキュリティ意識向上研修など、フィッシング攻撃を防止するための適切な保護措置が欠如していたと判断しました。実施されていたセキュリティ対策は、マサチューセッツ州居住者の個人情報保護基準またはHIPAAセキュリティ規則への準拠に必要な最低水準を満たしていませんでした。 |
| 2022 | ニューヨーク | EyeMed Vision Care | $600,000 | 210万人 | フィッシング攻撃およびデータ侵害 | 不十分なパスワード複雑性要件、パスワード試行失敗後のアカウントロックの不備、PHIを大量に含むブラウザアクセス可能なメールアカウントに多要素認証がない、メールアカウントのログ取得・監視が不十分、ならびに不要な量のPHIをメールアカウントに保存していた。 |
2021年の州司法長官によるHIPAA執行
ニュージャージー州は2021年のHIPAA執行で特に活発で、2021年に独自の調査を開始し、HIPAA違反を解決するために金銭的制裁を科した唯一の州でした。ニュージャージー州はまた、American Medical Collection Agency(AMCA)におけるデータ侵害に関する共同調査にも参加しました。これは医療データ侵害として過去最大級の一つです。AMCAのHIPAA事件では2,100万ドルの金銭的制裁が科されましたが、侵害により発生した莫大な費用のため、AMCAは破産保護を申請しました。会社の財務状況により制裁金は停止され、AMCAが和解合意の条件に違反した場合にのみ支払いが必要となります。
| 年 | 州 | 事業体 | 金額 | 影響を受けた個人 | 調査理由 | 認定事項 |
| 2021 | ニュージャージー | Regional Cancer Care Associates(Regional Cancer Care Associates LLC、RCCA MSO LLC、RCCA MD LLC) | $425,000 | 105,000 | フィッシング攻撃およびデータ侵害 | PHIの機密性・完全性・可用性の確保の不備、合理的に予見される脅威からの保護の不備、リスク低減のためのセキュリティ対策の未実施、正確なリスク評価の未実施、セキュリティ意識向上および研修プログラムの欠如。 |
| 2021 | ニュージャージー | Command Marketing Innovations, LLC and Strategic Content Imaging LLC | $130,000(加えて$65,000は停止) | 55,715 | 印刷および誤郵送の事案 | PHIの機密性確保の不備、PHI保護措置の欠如、手続変更後のセキュリティ対策の見直し不備 |
| 2021 | ニュージャージー | Diamond Institute for Infertility and Menopause | $495,000 | 14,663 | ハッキング事案およびデータ侵害 | プライバシー規則およびセキュリティ規則に関する複数の不備、ならびに消費者詐欺法の違反 |
| 2021 | マルチステート(41州司法長官) | American Medical Collection Agency | $21 million(停止) | 2,100万人 | ハッキング事案およびデータ侵害 | データ侵害の検知不備を含むセキュリティ上の不備 |
2020年の州司法長官によるHIPAA執行
| 年 | 州 | 事業体 | 金額 | 影響を受けた個人 | 調査理由 | 認定事項 |
| 2020 | マルチステート(28州) | Community Health Systems / CHSPSC LLC | $5,000,000 | 610万人 | 中国のAPTグループによるハッキング | 合理的なセキュリティ運用の実装および維持の不備 |
| 2020 | マルチステート(43州) | Anthem Inc | $39.5 million | 7,880万人 | フィッシング攻撃および大規模データ侵害 | HIPAAおよび州法の複数の違反 |
| 2020 | カリフォルニア | Anthem Inc | $8.7 million | 7,880万人 | フィッシング攻撃および大規模データ侵害 | HIPAAおよび州法の複数の違反 |
2019年の州司法長官によるHIPAA執行
| 年 | 州 | 事業体 | 金額 | 影響を受けた個人 | 調査理由 | 認定事項 |
| 2019 | マルチステート(30州) | Premera Blue Cross | $10,000,000 | 1,040万人 | ハッキング事案および大規模データ侵害 | HIPAAおよび州法の複数の違反 |
| 2019 | マルチステート(16州) | Medical Informatics Engineering | $900,000 | 350万人 | NoMoreClipboardデータの侵害 | HIPAAおよび州法の複数の違反 |
| 2019 | カリフォルニア | Aetna | $935,000 | 1,991 | 2回の郵送でPHIが露出(心房細動、HIV) | 機微な健康情報の不適切な開示 |
2018年の州司法長官によるHIPAA執行
| 年 | 州 | 事業体 | 金額 | 影響を受けた個人 | 調査理由 | 認定事項 |
| 2018 | マサチューセッツ | McLean Hospital | $75,000 | 1,500 | バックアップテープの紛失 | 不十分なリスク評価、データ暗号化の不備、侵害通知の遅延 |
| 2018 | ニュージャージー | EmblemHealth | $100,000 | 6,443(81,000) | 郵送ミスによりSSNが露出 | PHIの不適切な開示、職員研修の欠如 |
| 2018 | ニュージャージー | Best Transcription Medical | $200,000 | 1,650 | インターネット上でのePHI露出 | リスク評価およびリスク管理の不備、侵害通知の不備 |
| 2018 | マルチステート(CT、NJ、DC) | Aetna | 640170.59 | 13,160 | 2回の郵送でPHIが露出(心房細動、HIV) | 機微な健康情報の不適切な開示 |
| 2018 | マサチューセッツ | UMass Memorial Medical Group / UMass Memorial Medical Center | $230,000 | 15,000 | 複数のデータ侵害 | ePHIの保護不備 |
| 2018 | ニューヨーク | Arc of Erie County | $200,000 | 3,751 | インターネット上でのePHI露出 | ePHIの保護不備 |
| 2018 | ニュージャージー | Virtua Medical Group | $417,816 | 1,654 | インターネット上でのePHI露出 | HIPAA規則の複数の違反 |
| 2018 | ニューヨーク | EmblemHealth | $575,000 | 81,122 | 郵送ミスによりSSNが露出 | PHIの不適切な開示、職員研修の欠如 |
| 2018 | ニューヨーク | Aetna | $1,150,000 | 12,000 | 2回の郵送でPHIが露出(心房細動、HIV) | 機微な健康情報の不適切な開示 |
2017年の州司法長官によるHIPAA執行
| 年 | 州 | 事業体 | 金額 | 影響を受けた個人 | 調査理由 | 認定事項 |
| 2017 | カリフォルニア | Cottage Health System | $2,000,000 | 54,000人超 | インターネット上でのPHI露出 | 個人情報の保護不備 |
| 2017 | マサチューセッツ | Multi-State Billing Services | $100,000 | 2,600 | 暗号化されていないノートPCの盗難 | 個人情報の保護不備 |
| 2017 | ニュージャージー | Horizon Healthcare Services Inc | $1,100,000 | 370万人 | 暗号化されていないノートPC2台の盗難 | 個人情報の保護不備 |
| 2017 | バーモント | SAManage USA, Inc. | $264,000 | 660 | インターネット上でのPHI露出 | ePHIの保護不備、侵害通知の不備 |
| 2017 | ニューヨーク | CoPilot Provider Support Services, Inc | $130,000 | 221,178 | 侵害通知の遅延 | 侵害通知要件の違反 |
州司法長官によるHIPAA執行(2010-2016)
| 年 | 州 | 事業体 | 金額 | 影響を受けた個人 | 調査理由 | 認定事項 |
| 2015 | ニューヨーク | University of Rochester Medical Center | $15,000 | 3,403 | 患者リストが看護師に提供され、その看護師が新しい雇用主に持ち出した | ePHIの不適切な開示 |
| 2015 | コネチカット | Hartford Hospital/ EMC Corporation | $90,000 | 8,883 | PHIを含む暗号化されていないノートPCの盗難 | ビジネス・アソシエイト契約の欠如、ePHIの暗号化不備 |
| 2014 | マサチューセッツ | Women & Infants Hospital of Rhode Island | $150,000 | 12,000 | PHIを含むバックアップテープの紛失 | ePHIの保護不備、職員研修の欠如 |
| 2014 | マサチューセッツ | Boston Children’s Hospital | $40,000 | 2,159 | PHIを含むノートPCの紛失 | ePHIの暗号化不備 |
| 2014 | マサチューセッツ | Beth Israel Deaconess Medical Center | $100,000 | 3,796 | PHIを含むノートPCの紛失 | ePHIの暗号化不備 |
| 2013 | マサチューセッツ | Goldthwait Associates | $140,000 | 67,000 | PHIの不適切な取り扱い | PHIの不適切な処分 |
| 2012 | ミネソタ | Accretive Health | $2,500,000 | 24,000 | PHIの不適切な取り扱い | PHIの保護不備 |
| 2012 | マサチューセッツ | South Shore Hospital | $750,000 | 800,000 | PHIを含むバックアップテープの紛失 | PHIの保護不備 |
| 2011 | バーモント | Health Net Inc. | $55,000 | 1,500,000 | 暗号化されていないハードドライブの紛失/侵害通知の遅延 | PHIの保護不備、侵害通知要件の違反 |
| 2011 | インディアナ | WellPoint Inc. | $100,000 | 32,000 | 合理的な期間内に侵害を報告しなかった | 侵害通知要件の違反 |
| 2010 | コネチカット | Health Net Inc. | $250,000 | 1,500,000 | 暗号化されていないハードドライブの紛失 | PHIの保護不備、侵害通知要件の違反 |
翻訳元: https://www.hipaajournal.com/hipaa-enforcement-by-state-attorneys-general/
