コロンビア・メディカル・プラクティスは、患者データが盗まれたランサムウェア攻撃を受けており、ジュピター・メディカル・センターは、2025年1月のセキュリティインシデントで個人情報および健康情報が盗まれたことを患者に通知しました。
コロンビア・メディカル・プラクティス
メリーランド州コロンビアのコロンビア・メディカル・プラクティスは、2025年11月のランサムウェア攻撃により患者データが侵害されたことを最近確認しました。調査により、氏名不詳の脅威アクターが2025年11月5日に同社ネットワークへアクセスし、マルウェアを用いてファイルを暗号化したことが確認されました。ファイルの暗号化に先立ち、ファイルが持ち出され、その一部には患者情報が含まれていました。コロンビア・メディカル・プラクティスは、暗号化されたファイルを復旧できたとしており、影響を受けた個人と関与したデータの正確な種類を特定するため、影響ファイルの確認を進めています。Qilin(キリン)ランサムウェアグループがこの攻撃の犯行声明を出しました。
電子カルテ(EMR)システムへのアクセスはありませんでした。しかし、侵害されたネットワーク部分に保存されていたファイルには、氏名、住所、電話番号、生年月日、パスポート番号、社会保障番号、運転免許証番号、その他の政府発行識別子、金融口座情報(ただしアクセスを可能にするセキュリティコード等の情報は含まれない)、健康保険情報、患者アカウント番号、ならびに健康情報(診断、診断コード、治療/病状情報、処方情報、既往歴情報、受診日、受診場所、担当医師名、医療サービスの支払い情報を含む可能性があります)が含まれていました。関与した情報の種類は個人によって異なります。
コロンビア・メディカル・プラクティスは、追加の技術的対策の評価、サイバー監査の実務の見直し、ならびに将来同様のインシデントのリスクを低減するための方針・手順の見直しと更新を行っていると述べました。ファイル確認が完了次第、影響を受けた個人に通知書が郵送されます。現時点では、このインシデントはHHS(米国保健福祉省)の公民権局(Office for Civil Rights)の侵害ポータルに掲載されていないため、影響を受けた人数は現時点では不明です。
ジュピター・メディカル・センター
フロリダ州ジュピターのジュピター・メディカル・センターは、電子カルテへの不正アクセスについて患者への通知を開始しました。通知書の送付はごく最近開始されたものの、データ侵害自体は2025年1月に発生していました。 この侵害は、同センターの医療記録ベンダーであるCerner(現Oracle Health)に関連するものでした。
ジュピターは、この侵害の影響を受けた多数の医療提供者のうちの一つでした。Oracle Healthは、影響を受けた顧客数を公に正確には確認していませんが、最近の訴訟においてOracle Health側の弁護士は、最大で80の病院が影響を受けた可能性があると述べました。ジュピター・メディカル・センターは、データ侵害の公表と通知の発出を遅らせるよう法執行機関から要請があったとし、これは法執行機関の捜査に支障を来す可能性があったためだと説明しました。
この侵害は限られた数の患者に影響し、医療記録に通常含まれる情報に加えて、社会保障番号も含まれていました。影響を受けた個人には、2年間の無料クレジット監視サービスが提供されています。
翻訳元: https://www.hipaajournal.com/columbia-medical-practice-jupiter-medical-center-data-breaches/
