ニュージャージー州のConduent Business Servicesは以前、オレゴン州司法長官への侵害報告で、2024年のハッキング事件により全米で1,050万人が影響を受けたことを確認していました。すでに大規模なデータ侵害であり、2025年に発表された最大級の医療データ侵害の一つでしたが、被害者数は大幅に増加しています。テキサス州司法長官に提出された侵害報告によると、テキサス州だけで約1,480万人(14,791,500人)の個人情報および保護対象保健情報が本件で侵害されたとされています。今回のデータ侵害は全米の個人に影響していることを踏まえると、テキサス州居住者は影響を受けた個人のごく一部に過ぎないことになります。
SafePayランサムウェアグループは2025年2月、Conduent Business Servicesへの攻撃の犯行声明を出し、同社をダークウェブのデータ漏えいサイトに追加しました。SafePayは攻撃で8.5テラバイトのデータを盗んだと主張し、身代金が支払われなければ盗難データを公開すると脅迫しました。Conduentは現在、そのサイトには掲載されていません。
多くのHIPAA対象事業体および政府機関が、メールルーム業務などのバックオフィスサービスを提供するConduent Business Servicesと契約しています。Conduentの顧客リストには、Humana(米国の上位5位の医療保険会社)、Premera Blue Cross(太平洋岸北西部最大の医療保険会社)、Blue Cross and Blue Shield of Texas(テキサス州最大の医療保険会社)、Blue Cross and Blue Shield of Montana(モンタナ州最大の医療保険会社)といった大手医療保険会社が含まれます。
Conduent Business Servicesは、HIPAA対象事業体である顧客に代わって影響を受けた個人へ通知書を送付することを申し出ていますが、影響を受けた個人の総数はまだ確認していません。HHS(米国保健福祉省)の公民権局(Office for Civil Rights)の侵害ポータルでは、依然として影響人数は42,616人と記載されています。
2025年11月11日:Conduent、2026年第1四半期までにデータ侵害コスト2,500万ドルを見込む
Conduentは第1四半期の決算報告で、2025年1月のサイバー攻撃そのものによる運用環境やコストへの重大な影響はなかったと述べました。しかし、第3四半期の決算報告によれば、2025年9月末までに通知に関連する侵害コストとして900万ドルを計上しており、2026年第1四半期までにさらに1,600万ドルのコストが発生すると見込んでいます。Conduentはサイバー保険に加入しており、追加の通知コストは保険で補償される見込みだとしています。
影響を受けたデータ、評判の毀損、訴訟、規制当局の措置により、さらなるコストが発生する可能性があり、同社の財務状況に影響を与えるおそれがあります。下記のとおり、本データ侵害を受けてすでに複数の訴訟が提起されており、ConduentはHHS公民権局および州司法長官による調査を受けることは確実です。Conduentが州法または連邦法に違反していたと認定された場合、規制上の罰金が科される可能性があります。
2025年11月7日:1,050万件超のConduentデータ侵害をめぐり訴訟が相次ぐ
1,050万人超に影響するデータ侵害は多数の訴訟を引き起こすことが確実でしたが、訴訟提起は迅速に進み、ニュージャージー州の連邦裁判所ではConduentのデータ侵害に関して少なくとも9件の集団訴訟がすでに提起されています。この総数は今後数日から数週間で増えることが確実で、多くの法律事務所が集団訴訟の可能性に関する調査を開始したと発表しています。
訴訟では概ね同様の主張がなされており、Conduentが不正アクセスからネットワークを十分に保護しなかったことによる過失、ならびにデータ侵害の影響を受けた個人に対して十分な通知を提供しなかったとされる点が問題とされています。サイバー攻撃は2025年1月にConduentが初めて検知しましたが、ハッカーが同社ネットワークへ最初にアクセスしてから3か月後のことでした。Conduentはさらに3か月後にデータ侵害を初めて公表し、機微なデータが露出したこと、そして相当数の個人が影響を受けたことを確認しました。
あらゆるデータ侵害の調査や、影響を受けた個人の数および関与したデータの種類の特定には当然時間がかかりますが、訴訟はそのプロセスの長さを問題視しています。サイバー攻撃が最初に検知されてから侵害規模が明らかになり、影響を受けた個人に機微情報が侵害されたことが通知されるまでに10か月を要しました。通知書の送付は2025年10月に開始されましたが、これはConduentのネットワークが不正な人物に最初にアクセスされてから1年後のことです。
訴訟では、過失およびper seの過失に加え、第三者受益者契約の違反や不当利得などの請求原因も主張され、陪審裁判、補償的損害賠償、法定損害賠償、懲罰的損害賠償、ならびに差止救済を求めています。差止救済では、機微データが適切に保護されるよう、裁判所がConduentに対して一連のセキュリティ対策の実施を命じることが求められています。
攻撃の背後にいた脅威グループはSafepayランサムウェアグループである可能性があり、同グループは2025年1月にConduentをデータ漏えいサイトに追加しました。ただし、Conduentは現在Safepayのデータ漏えいブログには掲載されていません。これは多くの場合、身代金が支払われたか、盗まれたデータが売却されたことを意味しますが、ランサムウェアグループが虚偽の主張をすることも知られています。
集団訴訟は増加していますが、Conduentはデータ侵害をめぐって規制当局の監視にも直面する可能性が高いです。各州は、この規模のデータ侵害について、州法およびHIPAAセキュリティ規則に沿った適切なサイバーセキュリティ対策が実装されていたかを判断するため、調査を行う可能性が高いでしょう。ハッカーがどのようにしてこれほど大量の機微データへアクセスできたのかについて、疑問が投げかけられる見込みです。
ConduentはHHS公民権局からの監視も受け、同局はデータ侵害がHIPAA遵守の不備によるものかどうかを確認しようとします。OCRのHIPAA遵守調査は数か月から数年かかることが多い一方で、OCRはChange Healthcareへのサイバー攻撃(1億9,000万人超に影響)で行ったように、影響の大きい事案を優先していると示しています。現時点では、Conduentが連邦または州レベルで何らかの規制に違反したことを示す兆候はありません。
2025年10月28日:Conduent Business Solutionsのデータ侵害で1,050万人超の患者が影響
複数のHIPAA対象事業体および政府機関のビジネスアソシエイトで発生したデータ侵害により、1,050万人超の患者の保護対象保健情報が露出し、盗難の可能性が生じました。Conduent Business Solutionsのデータ侵害は、今年これまでに発表された医療データ侵害として最大であり、今年初めにYale New Haven Healthが報告した第2位のデータ侵害のほぼ2倍の人数に影響しています。また、歴史上8番目に大きい医療データ侵害にも位置付けられます。
Conduent Business Solutionsは、印刷、郵送、文書処理、支払い整合性サービス、その他の支援サービスなど、政府機関および医療機関向けに幅広いバックオフィスサービスを提供しています。HIPAA規制対象の事業体のうち、どれだけがこのデータ侵害の影響を受けたのかは現時点では不明です。
Blue Cross and Blue Shield of Montanaは最近、影響を受けたことを発表し、462,000人に通知書を郵送しているとしています。Blue Cross and Blue Shield of Texasは、UT SelectおよびUT Careプランの加入者約310,000人が影響を受けたと発表しました。この事件はHumanaの顧客およびPremera Blue Crossの加入者にも影響したことが分かっていますが、人数は不明です。Conduentはウィスコンシン州児童・家族局やオクラホマ州ヒューマンサービス(OHS)などの政府機関にもサービスを提供しており、1月の障害により一部サービスに一時的な支障が生じました。ただしOHSは、本件で機微データが露出していないと通知を受けたとしています。
州規制当局には、テキサス州の400万人超を含む10,515,849人の患者が影響を受けたと報告されています。本件で医療以外の顧客のデータが侵害されたかどうかは不明です。Conduent Business Solutionsのデータ侵害は4月に米国証券取引委員会(SEC)へ報告されました。SEC提出書類でConduentは、脅威アクターが同社ネットワークのIT環境の限定された一部にアクセスし、「相当数」の人々のデータを取得したと説明しました。本件はHHS公民権局(OCR)の侵害ポータルにはまだ表示されていません。同ポータルは政府閉鎖のため、OCRにより2025年9月24日以降更新されていません。
侵入は2025年1月13日に検知されました。第三者のデジタル・フォレンジック専門家の支援を受け、Conduentは初期アクセスが2024年10月21日に発生し、脅威アクターが2025年1月13日にConduentがネットワークを保護するまで約3か月間アクセスを維持していたと判断しました。Conduentは、影響を受けたシステムへのアクセスを数日以内に、場合によっては数時間以内に復旧し、本件は同社の業務に重大な影響を与えなかったと述べています。
調査により、脅威アクターが一部顧客に関連するファイルを持ち出したことが確認されました。関与したデータの複雑さにより、ファイルのレビューを完了し、影響を受けた個人および関与したデータの種類を特定するまでに数か月を要しました。現在、影響を受けた個人への個別通知が郵送されています。
本件で侵害された情報は企業ごと、個人ごとに異なり、氏名、生年月日、社会保障番号、治療情報、請求情報などが含まれる可能性があります。カリフォルニア州司法長官に提供された通知に基づくと、無料のクレジット監視および個人情報盗難保護サービスは提供されていないようです。
サイバー攻撃の総コストはまだ不明ですが、Conduentは2025年5月の第1四半期決算報告で、侵害対応に関連する直接費用として2,500万ドルを計上したと述べました。サイバー保険に加入しており、費用の一部は補償されます。
追加情報が公開され次第、本記事は更新します。
翻訳元: https://www.hipaajournal.com/conduent-business-solutions-data-breach/
