ミネソタ州人間サービス局は、ベンダーが管理するITシステムから、医療提供者に所属する人物が不適切に情報へアクセスしたことに関わるデータ侵害について、約304,000人に通知している。州当局は、潜在的な不正行為に備えてこの事案を監視している。
ミネソタ州の当局は述べたところによると、この事案はMnChoicesシステムに関するもので、同システムは郡、部族国家、マネージドケア組織によって使用され、障害支援、食料・住宅支援、メンタルヘルスサービスを含む長期サービスおよび支援の対象資格について、成人、子ども、家族を評価するために用いられている。
MnChoicesシステムは、第三者ベンダーであるFEI Systemsが州のために管理している。
FEIは2025年11月18日に「異常なユーザー活動」を検知し、翌日にその結果をDHSに報告した。同社は、2025年8月28日から2025年9月21日までの期間に、認可を受けた医療提供者に関連するユーザーが、許可なくMnChoicesシステム内のデータにアクセスしていたと判断した。
州当局は、2025年10月30日に当該医療提供者のMnChoicesへのアクセスを「削除した」と述べた。
「FEIは、そのユーザーがシステム内の限定的なデータにアクセスする権限を有していたことを確認したが、ユーザーは業務上の割り当てを遂行するために合理的に必要な範囲を超えるデータにアクセスしていた。」州政府の要請により、FEIは本件に関する追加のフォレンジック調査を実施するため、サイバーセキュリティ企業を雇った。
この事案は約303,965人の属性情報に影響し、そのうち1,206人については追加情報にも影響が及んだ。
調査の結果、アクセスされた可能性のあるデータには、名、姓、別名、住所、メールアドレス、性別、生年月日、電話番号、メディケイドID、社会保障番号の下4桁、民族性、人種、出生記録、身体的特徴、学歴、収入、給付、メディケイド情報、経済的適格性、プログラム適格性、ロックインデータ、スぺンドダウンデータが含まれる。
州当局は、外部からのハッキングの証拠はないようだと述べた。また、「DHS監察総監室はこの事案を把握しており、アクセスされたデータの不正または不適切な利用があったかどうかを特定するため、請求情報を監視・評価するデータ主導のプロセスを構築した」とも述べた。
DHSは、この事案をミネソタ州議会監査官事務局およびHIPAA侵害として米国保健福祉省に報告したと述べた。「ユーザーはDHS職員ではなかったため、懲戒処分の最終的な決定はなかった」と州当局は述べた。
FEIは、Information Security Media Groupからのコメントおよび本件に関する追加詳細の要請に、直ちには回答しなかった。
翻訳元: https://www.databreachtoday.com/minnesota-agency-notifies-304000-vendor-breach-a-30570
