ミネソタ州人間サービス局(DHS)は、約304,000人に対し、人口統計記録への不正アクセスがあったことを通知しました。これらの記録はMnChoicesシステムに保存されており、同システムは郡、部族国家、マネージドケア組織が、長期サービスおよび支援を必要とする州住民の評価・計画業務を支援するために利用しています。
同システムはサードパーティベンダーであるFEI Systemsが管理しており、同社は11月、認可を受けた医療提供者に関連するユーザーによってシステム内のデータへ不正アクセスが行われたことをミネソタDHSに通知しました。システム内の限定的な情報にアクセスする正当な理由はあったものの、一部のデータは当該ユーザーにより無許可でアクセスされました。不正アクセスは2025年9月21日に停止し、当該ユーザーのシステムへのアクセス権は2025年10月30日に完全に削除されました。
影響を受けた大多数の個人について、アクセスされた情報は人口統計情報に限定されていましたが、1,206人については追加情報にもアクセスされました。一部の医療情報がアクセスされ、特定の個人については社会保障番号の下4桁もアクセスされました。フォレンジック調査によりアクセスされた情報のカテゴリは特定されましたが、個々の記録ごとに、各個人について正確にどの情報がアクセスされたかを特定することはできませんでした。アクセスされたデータの性質が限定的であることから、ミネソタDHSは影響を受けた個人に対して無料のクレジット監視サービスを提供しません。
アクセスされた情報の正確な種類と影響を受けた個人を特定するため、フォレンジック調査が命じられました。2026年1月16日に通知書を発送した時点では、データの不正利用は確認されていませんでした。ミネソタDHSは、当該ユーザーがもはやシステムにアクセスできないことを確認しており、将来同様の不正アクセス事案を防止するための追加の安全対策も実施しました。
DHS監察総監室(Office of Inspector General)には本件が共有されており、アクセスされたデータの不適切または不正な利用があったかどうかを判断するため、請求情報を監視・評価するデータ駆動型のプロセスを整備しました。万一、不正利用が確認された場合は、徹底的な調査を実施し、法執行機関に通報します。これに関連して、ミネソタDHSは、本件に関する通知書を受け取ったすべての方に対し、医療明細を注意深く確認し、不審な請求やサービスがあれば報告するよう求めています。
翻訳元: https://www.hipaajournal.com/minnesota-dhs-data-breach-2025/
