TokyoBlackHatNews

hipaajournal.com 4分で読了

TriZetto Provider Solutions、HIPAA対象事業体にデータ侵害通知を発出(更新)

医師、病院、医療システム向けに収益管理サービスを提供するCognizant傘下のTriZetto Provider Solutionsは、最近特定されたサイバーセキュリティ事案について、特定の医療クライアントへの通知を開始しました。

2025年10月2日、TriZettoの医療提供者顧客の一部がTriZettoのシステムにアクセスするために使用しているウェブポータル内で不審な活動が確認されました。直ちにウェブポータルの保護と事案の封じ込めのための措置が講じられ、サイバーセキュリティ企業Mandiantが、当該活動の調査、ウェブポータルアプリケーションのセキュリティレビュー、そして事案が完全に是正されることの確認のために起用されました。TriZettoは、脅威アクターが同社システムから排除されたことを確認しています。2025年10月2日以降、ウェブポータルにおけるさらなる不正な活動は検出されていません。

サイバーセキュリティ事案が検知されたのは最近ですが、不正アクセス自体は相当期間にわたり継続していました。フォレンジック調査により、無許可の第三者がTriZettoシステム内の過去の適格性取引レポートへのアクセスを最初に開始したのは2024年11月であり、不正アクセスが検知されるほぼ1年前であったことが判明しました。同社のストレージシステム内のレポートには、特定の医療提供者クライアントの患者の保護対象保健情報(PHI)が含まれていました。

2025年10月2日から2025年11月末までの間に、Trizettoは侵害を受けたシステム内のデータを精査し、関与したデータの種類および影響を受けた個人を特定しました。本事案で侵害された情報には、患者および主たる被保険者の氏名に加え、以下の一部または全部が組み合わさったものが含まれます:住所、生年月日、社会保障番号、健康保険の会員番号(場合によってはメディケア受給者番号)、保険者名、主たる被保険者または受益者に関する情報、その他の人口統計学的な健康情報および健康保険情報。TriZettoは、金融情報は含まれていなかったと述べています。

影響を受けた医療クライアントに対して通知が発出され、影響を受けた個人の一覧と、影響を受けたデータの写しが提供されました。HIPAA侵害通知規則は、ビジネスアソシエイトでのデータ侵害についてHIPAA対象事業体が通知を受けてから60日以内に、影響を受けた個人への通知を発出することを求めています。影響を受けた医療提供者がそのHIPAA要件を遵守すると仮定すれば、影響を受けた個人への通知は60日以内に郵送されるはずです。

TriZettoは、HIPAAの下で侵害通知が必要であると影響を受けたクライアントが判断した場合、当該クライアントに代わって侵害通知を取り扱うことを申し出ています。TriZettoはまた、対象事業体クライアントに代わってHHS(米国保健福祉省)の公民権局、州規制当局、メディアへの通知も行うことを提案しており、さらに無償のクレジットモニタリング、詐欺相談、身元盗難復旧サービスの費用も負担するとしています。

  • CE-Edinger Medical Group(カリフォルニア州)
  • Friends of Family Health Center(カリフォルニア州)
  • Gardner Health Services(カリフォルニア州)(6,197人)
  • Harmony Health Medical Clinic and Family Resource Center(カリフォルニア州)
  • One Community Health(カリフォルニア州)
  • Mission Neighborhood Health Center(カリフォルニア州)(3,741人)
  • Native American Health Center(カリフォルニア州)
  • Open Door Community Health Centers(カリフォルニア州)
  • Planned Parenthood Northern California – TriZettoは、そのビジネスアソシエイトであるOCHINの下請け業者でした
  • Lynn Community Health(マサチューセッツ州)
  • Share Ourselves(カリフォルニア州)(2,864人)
  • Santa Rosa Community Health Centers(カリフォルニア州)– TriZettoは、そのビジネスアソシエイトであるOCHINの下請け業者でした

本記事は2025年12月11日に初めて公開され、TriZettoのデータ侵害に関する追加情報が公表され次第、継続的に更新されます。 

翻訳元: https://www.hipaajournal.com/trizetto-provider-solutions-data-breach/

ソース: hipaajournal.com
#Cognizant #HIPAA #Mandiant #TriZetto #サイバーセキュリティインシデント #ビジネスアソシエイト #不正アクセス #信用監視・ID盗難対策 #医療データ侵害 #患者情報(PHI)

関連記事

未成年の子どもの診療記録へのHIPAAアクセス権行使を求め、両親がミネソタ州の病院を提訴

医療請求代行会社のデータ侵害、7つの医療グループに影響

医療機関、AIを悪用したアイデンティティ侵害への防御能力に自信なし