イリノイ州人間サービス局(IDHS)は、誤ってデータを公開インターネット上に掲載してしまい、9月に削除されるまで最長4年間にわたり閲覧可能な状態となった結果、70万人を超える州民の個人情報を流出させた。
同局は9月下旬、資源配分の指針とするために職員が地図作成サイト上で計画用マップを作成した後、障害のある顧客32,400人超の氏名、住所などを示す個人データが公開ウェブ上に残されていたことを把握した。
ほぼ同時期に、メディケイドおよびメディケア貯蓄プログラムの受給者672,616人の住所、公的給付の受給状況などの情報もオンラインに掲載されていたことが判明した。
今回の侵害で露出したデータは、医療保険の携行性と責任に関する法律(HIPAA)に基づく保護対象医療情報である。IDHSは1月2日にこの侵害を公表した。
IDHSのリハビリテーションサービス部門の障害のある顧客に関する情報は、2021年4月から2025年9月まで一般にアクセス可能だったと、同局はプレスリリースで述べた。
プレスリリースによると、メディケイドおよびメディケア貯蓄プログラム受給者のデータは、2022年1月から2025年9月まで一般にアクセス可能だった。
当局者は誰がそのマップを閲覧したかを特定できなかったが、情報の「悪用の試み」は把握していないとしている。
同局は今後、職員が顧客レベルのデータを公開地図作成プラットフォームに投入することを禁止する方針を導入したという。
2024年12月、IDHSは報道によれば、フィッシング攻撃に起因するデータ侵害も受けた。そのケースでは、110万人の住民の機微なデータが流出した。
翻訳元: https://therecord.media/illinois-agency-exposed-data
