イリノイ州人間サービス局(IDHS)は、イリノイ州最大級の州機関の一つで、誤ったプライバシー設定により、約70万人の住民の個人情報および健康関連データを誤って公開してしまいました。
同局は9月22日、資源配分の意思決定のためにIDHSの家族・地域サービス部門が作成した地図が、プライバシー管理の設定ミスにより地図作成サイト上で一般公開されていることを発見し、データ侵害を把握しました。
これらの地図は、事務所の配置などの判断を導くための内部利用を目的としていましたが、昨年問題が発見されるまで、何年にもわたりオンラインで閲覧可能な状態が続いていました。
この結果生じたデータ侵害は、イリノイ州住民の2つのグループに影響しました。およそ672,616人のメディケイドおよびメディケア・セービングス・プログラム受給者について、2022年1月から2025年9月にかけて、住所、ケース番号、人口統計情報、医療支援プラン名がオンラインで公開されましたが、氏名は含まれていませんでした。
もう一つの、より小規模なグループである32,401人のリハビリテーションサービス部門の利用者については、氏名、住所、ケース番号、ケース状況、紹介元などの情報が、2021年4月から2025年9月にかけて公開されました。
「2025年9月22日、IDHSは、IDHS家族・地域サービス部門の計画・評価局が地図作成サイト上で作成した地図が、誤ったプライバシー設定により一般公開されていることを発見しました」と、IDHSは述べています。
「地図作成サイトは、誰が地図を閲覧したかを特定できませんでした。現時点で、IDHSはこの事案の結果として個人情報の実際の、または未遂の不正利用があったことを把握していません。」
事案の発見後、IDHSは地図へのアクセスを許可された職員に限定し、9月26日にロックダウンを完了しました。また、公開されていたすべての地図の見直しを実施し、現在は公開地図プラットフォームへの識別可能な顧客情報のアップロードを試みる行為をブロックしています。
同局は、連邦の医療プライバシー法で求められるとおり影響を受けた個人に通知しており、関係する規制当局にも本件を報告しました。
2024年12月には、フィッシング攻撃を受けて攻撃者が複数の職員アカウントに侵入し、1,166,094人分の個人情報にアクセスしたことを受け、IDHSは別のデータ侵害も公表しました。
