MACTヘルスボードは、2025年11月のサイバー攻撃で患者データが盗まれたことを確認しました。この攻撃については、INC Ransomランサムウェアグループが犯行声明を出しています。また、イリノイ州のTriCity Family Services、ミシガン州のHAP(Health Alliance Plan)、カリフォルニア州のZenflowもデータ侵害を公表しています。
MACTヘルスボード(カリフォルニア州)
カリフォルニア州のマリポサ、アマドール、アルパイン、カラベラス、トゥオルミーの各郡において、アメリカ先住民およびアラスカ先住民の人々に医療サービスを提供するMACTヘルスボードは、2025年11月のセキュリティインシデントの影響を受けた個人に通知しました。MACTヘルスボードは、ITシステムに障害が発生したことを受け、潜在的なセキュリティ侵害について調査を開始しました。調査の結果、2025年11月12日から2025年11月20日までの間、無許可の第三者が同組織のコンピュータネットワークにアクセスしていたことが確認されました。流出したファイルの精査は2025年11月25日に開始され、2026年1月9日に完了しました。
本インシデントで侵害された患者情報には、氏名に加え、以下のうち1つ以上が含まれていました:診断内容、検査結果、医療画像、治療情報、医師名、ならびに/または社会保障番号。影響を受けた個人への通知書は2026年1月23日から郵送が開始され、社会保障番号が含まれていた個人には、無料のクレジットモニタリングおよび個人情報盗難保護サービスが提供されています。今後同様のインシデントを防止するため、追加の保護策および技術的なセキュリティ対策も実施されました。なお、本データ侵害はHHS(米国保健福祉省)の公民権局(Office for Civil Rights)の侵害ポータルにはまだ掲載されていないため、現時点では影響を受けた人数は不明です。
TriCity Family Services(イリノイ州)
イリノイ州ケーン郡の住民にカウンセリングおよびメンタルヘルスサービスを提供するTriCity Family Servicesは、データセキュリティインシデントについて2,511人の患者への通知を開始しました。2025年春、同組織のコンピュータネットワーク内で不審な活動が確認されました。調査が開始され、2024年11月11日から2025年5月14日までの間、無許可の行為者が同組織のコンピュータネットワークにアクセスしていたことが確認されました。その期間中、機微なデータがネットワークから持ち出されました。
ファイルの精査により、持ち出されたファイルには以下の情報が含まれていたことが確認されました:氏名、生年月日、受診時の健康上の問題、希望した治療、治療場所、提供者名。攻撃では同組織の電子カルテシステムにはアクセスされませんでした。TriCity Family Servicesは、機微情報の保管およびアクセスに関する方針・手順・プロセスを見直しており、今後同様のインシデントを防止するためにセキュリティ改善の措置を講じるとしています。
インシデントの性質は開示されていないものの、INC Ransomランサムウェアグループが攻撃の責任を主張し、TriCity Family Servicesをダークウェブ上のデータ漏えいサイトに掲載しました。INC Ransomは、この攻撃で22GBのデータを持ち出したと主張しています。
HAP(Health Alliance Plan)(ミシガン州)
ミシガン州のHAP(Health Alliance Plan)は、フィッシング攻撃により一部の保護対象保健情報(PHI)が露出したことについて、1,059人に通知しました。2025年10月24日、従業員がフィッシングメールに応答し、誤って認証情報を開示したことで、脅威アクターが当該アカウントにアクセスできる状態となりました。調査では、本インシデントで会員情報が閲覧または取得されたかどうかを特定できなかったため、影響を受けた可能性のあるすべての個人に通知書が送付されました。当該アカウント内の保護対象保健情報は、氏名、住所、生年月日、HAPのID番号に限定され、また一部の個人については社会保障番号も含まれていました。影響を受けた個人には、予防措置として2年間の無料の個人情報盗難保護サービスが提供されています。
Zenflow(カリフォルニア州)
サンフランシスコに拠点を置く医療機器企業Zenflowは、最近、セキュリティインシデントについて個人に通知しました。現時点で公表されている情報は限定的で、インシデントの発生時期、セキュリティ侵害の性質、また同社のコンピュータシステムが無許可アクセスを受けていた期間などは明らかにされていません。マサチューセッツ州司法長官に提出されたデータ侵害通知によれば、氏名と社会保障番号が関与しており、影響を受けた個人には24か月間、単一機関のクレジットモニタリングおよび個人情報盗難保護サービスが提供されています。現時点では影響を受けた人数は不明です。
翻訳元: https://www.hipaajournal.com/mact-health-board-data-breach/
