イリノイ州人間サービス局(IDHS)は、州内の数十万人の住民に影響する大規模なデータ侵害を発表し、機微なデータがオンライン上で公開されたと明らかにしました。IDHSは、資源配分や意思決定を支援するための計画用マップを作成し、これをマッピングサイトに追加していました。 2025年9月22日頃、IDHSは、部局内での利用のみに意図されていた当該ウェブサイトが、公開インターネット経由でアクセス可能になっていることを発見しました。発見後、ウェブサイトは直ちに保護され、誤りの原因とデータ露出の範囲を特定するための調査が開始されました。
調査の結果、2021年から2025年までの最大4年間にわたり、機微なデータがオンラインで公開されていたことが判明しました。計画用マップは、IDHSの家族・地域サービス部門の計画・評価局によって作成されましたが、プライバシー設定が不注意により誤って構成されていました。 包括的な見直しの結果、IDHSは、約672,616人のメディケイドおよびメディケア貯蓄プログラム受給者の保護対象保健情報が、2022年1月から2025年9月の間にオンラインで公開されていたと判断しました。これらの個人については、住所、ケース番号、人口統計情報、医療扶助プラン名(例:メディケイド、メディケア等)といった情報がオンラインで公開されましたが、氏名は公開されていませんでした。
さらに、リハビリテーションサービス部門(DRS)の顧客約32,401人について、2021年4月から2025年9月にかけてデータが公開されていました。公開されたデータには、氏名、住所、ケース番号、ケース状況、紹介元情報、地域およびオフィス情報、ならびにDRS受給者としてのステータスが含まれていました。 2025年9月22日から9月26日にかけて、すべてのマップのプライバシー設定が変更され、職務に応じた必要性に基づき、権限を付与されたIDHS職員のみがアクセスできるようにしました。IDHSはまた、顧客レベルのデータを公共のマッピングサイトにアップロード、入力、または保存することを禁止する「セキュア・マップ・ポリシー」も導入しました。
IDHSは、公開されていた期間に誰がマップを閲覧したかを特定できなかったものの、公開されたデータの不正利用は把握していないと述べています。影響を受けたすべての個人に通知書が郵送され、データ侵害は、HHS(保健福祉省)の公民権局を含む適切な規制当局に報告されました。これは、IDHSが発表した主要なデータ侵害として、1年余りで2件目となります。2024年12月には、IDHSは、フィッシング攻撃の結果、一部の機微なデータが公開されたとして、110万人の顧客に通知しました。
翻訳元: https://www.hipaajournal.com/illinois-department-of-human-services-data-breach-2025/
