ビジネスアソシエイトによるデータ侵害でBosch Choice福利厚生プランの加入者5万5,000人に影響

ビジネスアソシエイトによるデータ侵害により、Bosch Choice福利厚生プランの加入者5万5,000人が影響を受け、Leidos QTC Health First Rehabilitation Resourcesによってもデータ侵害が報告されました。

Bosch Choice福利厚生プラン

2025年10月31日、Bosch Choice福利厚生プランは、加入者5万5,000人に影響したデータ侵害をHHS（米国保健福祉省）の公民権局（OCR）に報告しました。Bosch Choice福利厚生プランは、米国におけるBosch従業員向けの柔軟な福利厚生プログラムで、医療、歯科、視力、生命保険、障害保険が含まれます。

データ侵害に関して公表されている詳細は限られていますが、OCRは調査を迅速に終了し、同局のデータ侵害ポータルを通じて当該事案に関する情報を共有しています。医療プランのビジネスアソシエイトの一社のベンダーがサイバーセキュリティ上のインシデントに遭い、氏名、社会保障番号、生年月日、請求情報、健康保険情報、診断名／病状を含むシステムに不正アクセスが行われました。

BoschおよびHHSはいずれもビジネスアソシエイト名に言及していませんが、HHSの侵害報告によれば、このインシデントは他の対象事業体にも影響したことが示されています。ビジネスアソシエイトは影響を受けた対象事業体に通知しており、影響を受けた個人に対する通知も実施中です。また、保有する保護対象保健情報をより適切に保護するため、追加の技術的セーフガードを導入しました。侵害はビジネスアソシエイト側で発生したものの、Bosch Choice福利厚生プランは自らOCRに侵害を報告することを選択しました。

Leidos QTC Health First Rehabilitation Resources（First Health Resources）

First Rehabilitation Resources（FRR）の商号で事業を行うLeidos QTC Health First Rehabilitation Resourcesは、自社のメールシステムにおける侵害を特定しました。独立医療検査および医療サービスの提供者であるFRRは、2025年8月にメールシステム内で不審な活動を確認しました。メールシステムおよび関連するITサービスの停止を含め、さらなる不正アクセスを防止するための即時措置が講じられました。

第三者のサイバーセキュリティ専門家の支援を受け、FRRはメールシステムが確保され、脅威が無力化されたことを確認しましたが、患者データが露出していました。本インシデントで侵害された可能性のあるデータには、氏名、運転免許証番号／政府発行ID番号、社会保障番号、医療情報、健康保険情報が含まれます。データの不正利用を示す証拠は確認されていません。

FRRは、将来同様のインシデントを防止するための追加のセキュリティ対策を実施したことを確認しており、これにはLeidosの中核メールプラットフォームのアップグレードと、政府レベルのセキュリティを備えた高度に安全な環境でのホスティング、ならびにFRRの全従業員に対する新しい安全なLeidos管理のノートパソコンおよび携帯電話の支給が含まれます。 このデータ侵害は規制当局に報告されていますが、HHSの公民権局ウェブサイトにはまだ掲載されていないため、現時点では影響を受けた人数は不明です。