CareOregonとHealth Share of Oregonは、データ侵害および保険詐欺の可能性について、特定の患者に通知しました。Andover Eye Associatesは、同社のメール環境における侵害を特定しました。
CareOregonとHealth Share of Oregon
CareOregonとHealth Share of Oregonは、保護対象保健情報の一部に対する不正アクセスについて、特定の患者に通知しました。通知文の表現からは、内部者による侵害だったのか、外部の者がデータにアクセスしたのかは不明です。データ侵害通知には、「2025年10月27日、1人または複数の人物が許可なくあなたの情報を閲覧したことが判明しました」と記載されています。社会保障番号および金融情報にはアクセスされていません。閲覧され、取得された可能性のあるデータは、氏名(名・姓)、生年月日、健康保険プラン情報、メディケイド/メディケア番号、ならびにプライマリ・ケア提供者の診療所に限定されていました。
通知では、データが不正利用された可能性があるとして、その情報が偽の保険請求の作成に使用された可能性があると警告しています。CareOregonとHealth Share of Oregonは、特定の患者の情報が不正利用されたかどうかを判断できなかったと述べています。影響を受けた人々には、CareOregonとHealth Share of Oregonは補償対象の医療サービスについて請求を行わないことが改めて伝えられ、たとえデータが不正利用されて偽の保険請求が提出されたとしても、請求書を受け取ることはないと案内されています。受けるはずのサービスの明細が記載された書面を受け取った場合は、その内容を注意深く確認し、提供されていないサービスが記載されている場合は報告するよう求められています。
法執行機関には通知済みで、調査が実施され、特定された問題は修正されました。さらに、CareOregonとHealth Share of Oregonは個人情報の閲覧方法を変更し、職員の再教育も行いました。現時点ではHHS(米国保健福祉省)の公民権局(Office for Civil Rights)の侵害ポータルに侵害報告が掲載されていないため、影響を受けた人数は不明です。
Andover Eye Associates
マサチューセッツ州アンドーバーのAndover Eye Associatesでは、1,638人の患者データが露出したメールセキュリティ事案が発生しました。2025年6月10日、従業員2名のメールアカウントで不審な活動が確認されました。調査が開始され、2025年5月28日に権限のない第三者が当該アカウントにアクセスしたことが確認されました。他の従業員のメールアカウントは影響を受けていません。
メールアカウントの確認が行われ、2025年11月4日、Andover Eye Associatesは当該アカウントに患者の氏名および社会保障番号が含まれていたことを確認しました。従業員に対して追加の研修が実施され、メールセキュリティを改善するための追加の保護措置が導入されています。影響を受けた人々には通知書が郵送され、12か月間の無料のクレジット監視サービスが提供されています。
翻訳元: https://www.hipaajournal.com/careoregon-health-share-oregon-data-breach/
