10月全体にわたる政府機関閉鎖により、2025年10月の医療データ侵害レポートは遅延しました。これによりHHS(米国保健福祉省)の公民権局(OCR)で大幅な遅れが生じ、10月中にデータ侵害レポートが一切アップロードされませんでした。閉鎖は2025年11月12日に終了し、HHSにはデータ侵害ポータルに追加すべき侵害案件が相当数滞留していました。データ侵害レポートを受領すると、OCRはデータを検証します。このプロセスには最大で約2週間かかる場合があり、その後OCRの侵害ポータルに追加されます。10月分のデータ侵害は12月に入っても追加が続きました。
2025年12月31日にOCRから入手したデータによると、OCRは10月に500人以上に影響したデータ侵害の報告を28件受理しました。これは年内で最も少ない月間合計であり、2020年5月に報告された28件以来の最少で、医療分野の大規模データ侵害は前月比31.7%減となりました。
データ侵害には減少傾向が見られるものの、10月の合計は不自然に低く、侵害報告の滞留がまだ解消されていない可能性があります。合計値は、1月下旬に公開予定の2025年医療データ侵害レポートおよび当社の医療データ侵害統計ページで、より適切に反映される見込みです。
侵害件数は減少した一方で、影響を受けた個人数は前月比540%増の11,062,868人に増加し、年内で2番目に多い月間合計となりました。この合計は、当月最大のデータ侵害が依然として調査中で、影響を受けた個人数がまだ確定していないため、4月の合計を大きく上回るまで増加することが確実です。
2025年10月に報告された最大規模の医療データ侵害
10月には、10,000人を超える個人に影響した医療データ侵害が7件報告されましたが、いずれもネットワークサーバーへのハッキング事案でした。当月最大のデータ侵害は、医療提供者、医療保険プラン、政府機関にバックオフィスサービスを提供するビジネスアソシエイトであるConduent Business Servicesで発生しました。Conduentの顧客リストには、HumanaやPremera Blue Crossなど米国の大手医療保険会社が含まれています。
Conduentは2025年5月にハッキング被害を受けました。ランサムウェア攻撃とは明記されていないものの、SafePayランサムウェアグループが犯行声明を出しました。SafePayは自らのデータ漏えいサイトで、8.5テラバイトのデータを盗み出したと主張しました。ConduentはHHSの公民権局に対し、42,616人が影響を受けたと通知しましたが、数か月後には、オレゴン州司法長官に対して、全米で1,050万人超が影響を受けたと報告されました。
本レポートのデータ集計後、Conduentから追加の侵害報告がありました。テキサス州司法長官には、Conduentのデータ侵害によりテキサス州だけで約1,480万人が影響を受けたと伝えられています。
| 対象事業体名 | 州 | 対象事業体の種別 | 影響を受けた個人数 | 侵害原因 |
| Conduent Business Services LLC | NJ | ビジネスアソシエイト | 10,515,849* | ランサムウェア攻撃(Safepay) |
| Tri Century Eye Care PC | PA | 医療提供者 | 200,000 | ハッキング事案 ― データ窃取を確認 |
| Central Jersey Medical Center | NJ | 医療提供者 | 88,000 | ランサムウェア攻撃(Sinobiランサムウェアグループ) |
| Sierra Vista Hospital & Clinics | NM | 医療提供者 | 75,054 | ハッキング事案 |
| Bosch Choice Welfare Benefit Plan | MI | 医療保険プラン | 55,000 | ハッキング事案 |
| Heartland Health Center | NE | 医療提供者 | 43,728 | ハッキング事案 |
| Revere Health, PC | UT | 医療提供者 | 10,800 | 第三者決済システムに対するハッキング事案 |
HIPAA侵害通知規則では、データ侵害の発見から60日以内にOCRへ報告することが求められます。影響を受けた個人数の総数が不明な場合は、推定値を提示する必要があります。HIPAAの規制対象事業体は、データレビューが継続中である場合に、影響を受けた個人数として500または501という暫定値(プレースホルダー)を用いて侵害報告を提出することがよくあります。10月には、501というプレースホルダー合計が疑われるデータ侵害が2件報告されました。
| 対象事業体名 | 州 | 対象事業体の種別 | 影響を受けた個人数 | 侵害原因 |
| Saint Mary’s Home of Erie | PA | 医療提供者 | 501 | ハッキング事案 |
| North Atlantic States Carpenters Health Benefits Fund | MA | 医療保険プラン | 501 | ハッキング事案 |
2024年12月の医療データ侵害の原因
通常どおり、10月の侵害報告ではハッキングおよびその他のIT関連事案が大半を占め、当月のデータ侵害28件のうち21件(75%)を占め、影響を受けた個人数の99.8%に相当しました。21件のデータ侵害全体で、11,037,882人の保護対象医療情報(PHI)が漏えいまたは盗難に遭いました。平均侵害規模は525,613人、中央値は6,633人でした。
次に多かったデータ侵害のカテゴリは、不正アクセス/不正開示事案でした。10月にはこの種の事案が7件あり、24,986人に影響しました。平均侵害規模は3,569人、中央値は3,177人でした。
OCRが2009年に医療データ侵害データの公表を開始した当初は、紛失・盗難事案や不適切な廃棄事案と並んで、紛失および盗難は最も一般的なデータ侵害の種類の一つでしたが、現在では比較的まれです。10月には、紛失、盗難、または不適切な廃棄の事案は報告されませんでした。10月に侵害を受けた保護対象医療情報の最も一般的な所在はネットワークサーバーで、次に多かったのはメールでした。
データ侵害はどこで発生したのか?
10月には、医療提供者がデータ侵害20件(影響を受けた個人数472,481人)を報告し、医療保険プランが4件(影響を受けた個人数60,358人)、HIPAAの対象事業体のビジネスアソシエイトが4件(影響を受けた個人数10,530,029人)を報告しました。
HIPAAのビジネスアソシエイトでデータ侵害が発生した場合、ビジネスアソシエイトは影響を受けた各対象事業体にデータ侵害を報告し、対象事業体は、個別通知の送付およびOCRとメディアへの通知を誰が行うべきかを決定しなければなりません。 対象事業体の中には、ビジネスアソシエイトの侵害をOCRに報告し、自ら通知を発行することを選ぶところもあれば、その責任をビジネスアソシエイトに委任するところもあります。ビジネスアソシエイトが複数の対象事業体と取引している場合、対象事業体の顧客の一部が侵害を報告し、他は責任をビジネスアソシエイトに委任することがあります。
その結果、ビジネスアソシエイトのデータ侵害は、多くの医療データ侵害レポートで過小に表現されがちです。HIPAA Journalでは、ビジネスアソシエイトのデータ侵害が正確に報告されるよう、侵害を報告した事業体ではなく、侵害が発生した場所を算出しています。 下の円グラフから分かるように、ビジネスアソシエイトによって報告されたデータ侵害は4件でしたが、当月のデータ侵害のうち9件はビジネスアソシエイトで発生しました。
医療データ侵害の地理的分布
10月には、米国18州のHIPAA規制対象事業体がデータ侵害を報告しました。10月に最も影響が大きかった州はフロリダ州とテキサス州で、これらの州に本社を置く事業体から、それぞれ3件の大規模医療データ侵害が報告されました。
| 州 | 侵害件数 |
| フロリダ州 & テキサス州 | 3 |
| アラスカ州、アリゾナ州、カリフォルニア州、イリノイ州、ニュージャージー州 & ペンシルベニア州 | 2 |
| ケンタッキー州、マサチューセッツ州、ミシガン州、ミズーリ州、モンタナ州、ネブラスカ州、ニューメキシコ州、オハイオ州、オクラホマ州 & ユタ州 | 1 |
フロリダ州とテキサス州はデータ侵害件数が最も多かったものの、いずれも影響を受けた個人数は比較的少数でした。Conduent Business Servicesでのデータ侵害の規模を踏まえると当然ですが、最も影響が大きかった州はニュージャージー州であり、ただしこの合計には全米の個人が含まれています。
| 州 | 影響を受けた個人数 |
| ニュージャージー州 | 10,603,849 |
| ペンシルベニア州 | 200,501 |
| ニューメキシコ州 | 75,054 |
| ミシガン州 | 55,000 |
| ネブラスカ州 | 43,728 |
| テキサス州 | 14,233 |
| ユタ州 | 10,800 |
| カリフォルニア州 | 9,700 |
| ケンタッキー州 | 9,536 |
| イリノイ州 | 9,405 |
| フロリダ州 | 8,503 |
| オクラホマ州 | 6,633 |
| モンタナ州 | 5,617 |
| アリゾナ州 | 4,177 |
| アラスカ州 | 2,641 |
| ミズーリ州 | 1,680 |
| オハイオ州 | 1,310 |
| マサチューセッツ州 | 501 |
2025年10月のHIPAA執行活動
10月全体にわたる政府機関閉鎖により、保健福祉省では最重要の業務を除くほぼすべてのワークフローが停止しました。そのため、HIPAAの和解や民事制裁金に関する発表はなく、州司法長官による制裁も10月には発表されませんでした。
翻訳元: https://www.hipaajournal.com/october-2025-healthcare-data-breach-report/
