Fyzical Therapy & Balance Centersの親会社であるFyzical Acquisition Holdings LLCは、患者の個人情報および保護対象の医療情報への不正アクセスを伴うセキュリティインシデントを発表しました。
Fyzical Therapy & Balance Centersは、米国46州に500か所以上の拠点を持つ大規模な理学療法フランチャイズです。2024年12月9日頃、同社のメール環境内で不審な活動が確認されました。活動の原因を特定するため調査が開始され、メール環境への不正アクセスがあったことが確認されました。
代替データ侵害通知では、メール環境がどの程度の期間侵害されていたかは明記されておらず、その期間中にメールおよび添付ファイルが閲覧または取得された可能性があるとするにとどまっています。影響を受けたデータの確認にはほぼ1年を要し、2025年11月25日に完了しました。その時点で、影響を受けたデータには、氏名、生年月日、社会保障番号、運転免許証番号、州発行ID、金融口座情報、クレジットカード情報、医療情報、健康保険情報が含まれていたことが確認されました。関与したデータの種類は個人によって異なりました。
侵害への対応として、将来同様のインシデントが発生する可能性を低減するため、データプライバシーおよびセキュリティに関する方針と手順が見直され、強化されました。影響を受けた個人には個別の通知書が郵送され、無料のクレジット監視および身元盗難保護サービスが提供されています。
データ侵害の規模は現時点では不明です。というのも、本件は現在、HHS(米国保健福祉省)の公民権局(Office for Civil Rights)のウェブサイトに掲載されていないためです。複数州の司法長官に通知が行われており、データ侵害が全米規模であることが示されています。テキサス州司法長官には、最大でテキサス州在住者1,801人が影響を受けたと報告されていますが、他州の司法長官は、影響を受けた州在住者数をまだ確認していません。
翻訳元: https://www.hipaajournal.com/fyzical-therapy-balance-centers-data-breach/
