北ミシガン最大の医療システムであるMunson Healthcareは最近、電子カルテ(EHR)システムへの不正アクセスについて患者に通知した。不正アクセスは早ければ2025年1月22日に開始され、EHRベンダーであるCernerによって2025年2月20日に検知された。 現在はOracle HealthとなったCernerは、ハッカーが旧Cernerのレガシーサーバー2台にアクセスし、個人情報および健康情報の広範なデータを盗み取った可能性があることを確認した。Munson Healthcareは、盗まれたデータに氏名、社会保障番号(SSN)、および電子カルテに通常含まれる情報(医療記録番号、診断名、投薬情報、検査結果、ケアおよび治療に関する情報、医師名など)が含まれていたことを確認している。サーバー上のデータは、データ侵害発生時点でOracle Cloudへの移行待ちの状態だった。
Munson Healthcareによると、Cernerはさらなる不正アクセスを防ぐための措置を講じ、第三者のサイバーセキュリティ専門家を起用してデータ侵害の調査を行い、法執行機関にサイバー攻撃を通報した。 Oracle Healthは2025年3月にサイバー攻撃を公に確認したが、影響を受けた医療提供者に通知されるまでに数か月を要し、多くの患者はつい最近になって、この事件で自身の個人情報および健康情報が盗まれたことを知った。Munson Healthcareは通知発出の遅れをCernerに起因するとし、Cernerは以前、捜査の妨げにならないよう法執行機関の要請により遅延したと述べている。
Oracle Healthは、影響を受けた医療提供者クライアントの正確な数や、影響を受けた個人の数を明らかにしていない。このデータ侵害を受けて複数の集団訴訟が提起されており、訴訟の一環として同社の弁護士は最大80の病院が影響を受けた可能性があると述べた。Munson Healthcareは最も深刻な影響を受けたクライアントの一つで、現・元患者101,891人が影響を受けている。Munson Healthcareは、影響を受けた個人に対し、2年間の無料のクレジット監視および身元盗用保護サービスが提供されていることを確認した。
Munson Healthcareの最高法務責任者(Chief Legal Officer)であるRachel Roe氏と、ミシガン州司法長官Dana Nessel氏は先週、このデータ侵害に関する消費者向け警告を発出した。 Nessel司法長官は、より強力な消費者データ保護法の制定を求めている。新たな法案は昨夏に上院で可決されたが、下院ではまだ可決されていない。「これらの[通知]遅延は、消費者を身元盗用のより高いリスクにさらし、ミシガン州民を悪意ある者からよりよく守るために、州にはより強力な法律が必要です」とNessel司法長官は述べた。「個人情報が侵害された可能性があるという通知を受け取った方は、提供されている無料のクレジット監視リソースの利用を検討するよう強く勧めます。」
翻訳元: https://www.hipaajournal.com/munson-healthcare-cerner-data-breach/
