米国保健福祉省(HHS)に提出された侵害報告に基づくと、11月の医療データ侵害件数は比較的少ない水準でした。2025年の平均では、500人以上に影響した医療データ侵害が毎月57件、HHSの公民権局(OCR)に報告されています。実際、過去6年間、データ侵害は月あたり約60件のペースで報告されてきました。OCRの侵害ポータルには現在、11月の大規模医療データ侵害が32件掲載されており、10月(28件)も同程度でした。これは、2018年以降、定期的には見られなかった数です。
過去の11月と比較すると、データ侵害は大幅に減少しており、2024年11月からは54%減、2023年11月からは56%減となっています。
10月と11月にデータ侵害が半減したように見える一方で、これは議会が2026会計年度の歳出法案を可決できなかったことによる米国政府機関の閉鎖と時期が重なります。閉鎖は2025年10月1日から2025年11月12日まで続き、その間、OCRのデータ侵害ポータルにはデータ侵害が一切追加されませんでした。大きな滞留分の解消には時間がかかっており、その期間の侵害報告のうち、まだ侵害ポータルに追加されていないものが残っている可能性があります。
データ侵害件数が少ないことが、必ずしも影響を受けた個人数が少ないことを意味するわけではありません。これは2025年10月に示されたとおりで、報告された侵害は28件にとどまったものの、1,100万人超が影響を受けました。11月は侵害被害者数が大幅に減少し、今年これまでで大規模医療データ侵害による影響者数が最少となりました。現時点の数値に基づくと、11月に報告されたデータ侵害により、1,415,934人の保護対象保健情報(PHI)が露出または不適切に開示されたことが判明しています。これは2023年1月以来の月間最少合計であり、10月から87.2%減です。2025年は、2025年1月1日から2025年11月30日までに、686件の大規模医療データ侵害が報告され、55,695,906人に影響しました。
2025年11月の影響者数は、過去5年間で最少でした。データ侵害件数と影響者数が少ないのは確かに朗報ですが、この傾向は短命に終わる可能性があります。というのも、過去2か月の間にHIPAA規制対象の事業体によって確認された相当規模のデータ侵害の一部が、まだOCRのデータ侵害ポータルに掲載されていないためです。
2025年11月に報告された最大規模の医療データ侵害
11月には、1万人超に影響した医療データ侵害が16件、OCRに報告されました。月内で最大の確認済み医療データ侵害はフロリダ州のVITAS Hospice Servicesに影響し、約32万人の患者の保護対象保健情報への不正アクセスが関与していました。同社のベンダーの1社が使用していたアカウントが侵害され、そのアカウントがVITASのシステムへのアクセスに利用されました。
医療用品会社Fieldtex Productsは、2番目に大きいデータ侵害(これもハッキング事案)を報告し、238,615人に影響しました。さらに12月にFieldtex ProductsはOCRへ追加で3件の侵害報告を提出し、この合計にさらに35,748人が加わりました。 バージニア州のDelta Dentalは、当初145,918人に影響したと考えられていたハッキング事案を報告しましたが、調査の結果、126,953人に減少しました。 これは月内で最大のメールによるデータ侵害で、単一のメールアカウントへの不正アクセスが関与していました。
| 対象事業体名 | 州 | 対象事業体の種類 | 影響を受けた個人 | 侵害原因 |
| VITAS Hospice Services, LLC | FL | 医療提供者 | 319,177 | 侵害されたベンダーアカウントが関与するハッキング事案 |
| Fieldtex Products, Inc. | NY | ビジネスアソシエイト | 238,615 | ハッキング事案 |
| Delta Dental of Virginia | VA | 健康保険プラン | 126,953 | メールアカウント侵害 |
| Richmond Behavioral Health Authority | VA | 医療提供者 | 113,232 | ランサムウェア攻撃 |
| Persante Health Care | NJ | ビジネスアソシエイト | 111,815 | ハッキング事案 |
| Denton MHMR Center | TX | 医療提供者 | 108,967 | ハッキング事案 |
| NS Support, LLC | ID | 医療提供者 | 92,845 | ハッキング事案 – データ窃取が確認 |
| Anchorage Neighborhood Health Center | AK | 医療提供者 | 70,555 | ハッキング事案 |
| Davies, McFarland & Carroll LLC | PA | ビジネスアソシエイト | 54,712 | ハッキング事案 – データ窃取が確認 |
| Morton Drug Company | WI | 医療提供者 | 40,051 | ハッキング事案 |
| Marshfield Clinic Health System | WI | 医療提供者 | 35,952 | メールアカウントが侵害 |
| Loving and Living Center, PC dba Awakenings Center | NC | 医療提供者 | 17,800 | 電子カルテシステムへの不正アクセス |
| Healthcare Therapy Services, Inc. | IN | 医療提供者 | 15,027 | メールアカウントが侵害 |
| Millcreek Pediatrics | DE | 医療提供者 | 14,095 | ハッキング事案 |
| Steven J. Pearlman MD PC | NY | 医療提供者 | 11,764 | ハッキング事案 |
| Personic Management Company LLC | VA | ビジネスアソシエイト | 10,929 | 侵害されたサードパーティ製ソフトウェアプラットフォーム |
HIPAA侵害通知規則により、データ侵害は発見から60日以内にOCRへ報告しなければなりません。影響を受けた個人の総数が不明な場合は、その60日以内に推定値を提示する必要があります。HIPAA規制対象の事業体は、データの精査が継続中の際に、影響者数を500または501人とする暫定値で侵害報告を提出することがよくあります。11月には、暫定値を示す500人という合計で2件のデータ侵害が報告されました。
| 対象事業体名 | 州 | 対象事業体の種類 | 影響を受けた個人 | 侵害原因 |
| West Suburban Eye Surgery Center LLC | MA | ビジネスアソシエイト | 500 | 不正アクセス/不正開示 |
| County of Catawba | NC | 健康保険プラン | 500 | ハッキング/ITインシデント |
2025年11月の医療データ侵害の原因
ハッキングおよびその他のITインシデントが引き続き侵害報告の大半を占め、月内のデータ侵害の78%(25件)および月内の影響者の99.1%(1,403,361人)を占めました。これらのインシデント1件あたりの影響者数は平均56,134人(中央値:15,027人)でした。
不正アクセス/不正開示のインシデントは、月内のデータ侵害の15.6%(5件)および月内の影響者の0.5%(7,591人)を占めました。侵害規模の平均は1,518人(中央値:1,518人)でした。紛失および盗難のインシデントは、月内の侵害の6.3%(2件)および月内の影響者の0.4%を占めました。侵害規模の平均は2,491人(中央値2,491人)でした。
ランサムウェア攻撃は引き続き医療分野における最大級のサイバー脅威の一つですが、ハッキング事案がそのように報告されることは稀です。GuidePoint Securityによる最近の分析では、2025年のランサムウェア攻撃が前年比で58%増加したことが示され、Qilin、INC Ransom、SafePayが医療機関にとって最大の脅威とされています。脅威アクターの中には、たとえばPearのように、攻撃でファイル暗号化を行わず、純粋なデータ窃取と恐喝を選択する者もいます。Pearはここ数か月で複数の医療組織を標的にしており、最近出現したSinobiというランサムウェアグループは、多くの医療分野の被害者を主張しています。
ハッキング事案の大半(59%)は侵害されたネットワークサーバーが関与していましたが、メールも引き続き標的となっており、組織に対するより包括的な攻撃の初期侵入手段としてしばしば利用されます。11月は、インシデントの約19%が侵害されたメールアカウントに関与していました。
データ侵害はどこで発生したのか?
11月に最も影響を受けたHIPAA対象事業体は医療提供者で、報告された侵害は22件(影響者867,100人)でした。健康保険プランでは3件(影響者129,118人)、医療クリアリングハウスではデータ侵害はありませんでした。11月には、HIPAA対象事業体のビジネスアソシエイト7社がデータ侵害(影響者419,716人)を報告しましたが、さらに2件の侵害はビジネスアソシエイトで発生したものの、影響を受けた対象事業体によって報告されました。以下の図表は、侵害を報告した事業体ではなく、データ侵害が発生した場所に基づいています。
医療データ侵害の地理的分布
11月には、米国21州に拠点を置くHIPAA規制対象事業体から大規模医療データ侵害が報告されました。最も影響を受けた州はバージニア州で4件、次いでニューヨーク州とウィスコンシン州がそれぞれ3件でした。
| 州 | 侵害件数 |
| バージニア | 4 |
| ニューヨーク & ウィスコンシン | 3 |
| フロリダ、ミネソタ、ノースカロライナ & ペンシルベニア | 2 |
| アラスカ、カリフォルニア、コネチカット、デラウェア、アイダホ、イリノイ、インディアナ、メリーランド、マサチューセッツ、ミシガン、ニュージャージー、ニューメキシコ、ロードアイランド & テキサス | 1 |
フロリダ州の事業体が経験した大規模医療データ侵害は2件にとどまりましたが、同州は影響を受けた個人数が最多でした。
| 州 | 影響を受けた個人 |
| フロリダ | 322,859 |
| ニューヨーク | 252,617 |
| バージニア | 252,027 |
| ニュージャージー | 111,815 |
| テキサス | 108,967 |
| アイダホ | 92,845 |
| ウィスコンシン | 77726 |
| アラスカ | 70,555 |
| ペンシルベニア | 55,255 |
| ノースカロライナ | 18,300 |
| インディアナ | 15,027 |
| デラウェア | 14,095 |
| ミネソタ | 7,331 |
| カリフォルニア | 4,285 |
| ロードアイランド | 4,000 |
| ニューメキシコ | 2,165 |
| ミシガン | 1,984 |
| メリーランド | 1,300 |
| コネチカット | 1,260 |
| イリノイ | 1,021 |
| マサチューセッツ | 500 |
2025年11月のHIPAA執行活動
10月から11月の大部分にかけての政府機関の閉鎖により、職員が一時帰休となってHHSの多くの業務が停止状態となり、HIPAA執行措置に関する発表もありませんでした。執行活動は継続しており、新たな発表はなかったものの、2025年はHIPAA執行にとって最も多忙な年の一つに数えられます。12月に発表された1件の罰則も含めると、OCRは和解および民事制裁金により年を締めくくり、年間合計は過去2番目の高水準となりました。州司法長官もHIPAA規則を執行しますが、11月にHIPAA違反の疑いを解決するための執行措置が発表された事例は確認されていません。
本レポートは、2026年1月20日にHHS公民権局から入手したデータに基づいています。
翻訳元: https://www.hipaajournal.com/november-2025-healthcare-data-breach-report/
