モンタナ州の地裁判事は、462,000人に影響を与えたデータ侵害に関するBlue Cross Blue Shield of Montana(BCBSMT)の州監査官兼保険委員による調査が進行することを認めました。このデータ侵害はBCBSMTの第三者ベンダーであるConduent Business Servicesに関するものです。Safepayランサムウェアグループが攻撃の責任を主張し、8.5 TBのデータを盗みました。データ侵害の全規模はまだ明確ではありませんが、全米で少なくとも2,500万人のアメリカ人が影響を受けました。BCBSMTは、462,000人のモンタナ州民に影響を与えたものとして、別途データ侵害を報告しました。
ブラウン委員は、一般市民にデータ侵害について教育し、さらなる侵害を防ぐために保険会社の規制を改善し、データ侵害が発生した場合に保険会社に適切な通知を提供することを要求する州法に準拠していたかどうかを含め、違法行為があったかどうかを判断するために、BCBSMTおよびConduentに対する調査を開始しました。データ侵害は重大なものであり、州民の3分の1のデータが危険にさらされ、通知が発行されるまで9ヶ月かかりました。
BCBSMTは法的異議を唱え、監査人事務所が調査を行う権限を持たないと主張しました。BCBSMTは、連邦法で保護されていたため侵害報告は免除されると主張し、侵害通知は配慮として提出されたと述べました。昨年、州議会は州知事によって署名された法案を可決し、連邦的免除を持つ企業に州の侵害通知ルールに従うことを要求しました。ただし、この法律は2025年10月1日まで発効しません。
ハッカーは2024年10月から2025年1月の間Conduent のシステムへのアクセス権を持っていました。BCBSMTはConduent から、攻撃について学ぶ数日後に影響を受けたクライアントの1つであることを学びました。BCBSMTはデータ侵害の程度について2025年7月1日に学び、その後独自の調査を実施し、2025年10月に州に通知しました。BCBSMTは事件の分析が2025年9月23日に完了したと述べ、新しい法律が発効する数日前でした。BCBSMTは不公正にターゲットにされており、その法案に遡及的にするための規定がなかったと主張しました。
委員事務所は、通知発行の遅延は消費者保護の観点から不合理であると主張しました。ヘレナの第一司法地区裁判所はBCBSMT の委員事務所に対する訴訟を却下しました。ただし、苦情の実質が原因ではありません。判事は、委員事務所がまず調査、証拠の検討、および行政決定を発行する機会を与えられるべきであると判定しました。BCBSMTは、その後、行政決定に異議を唱える機会を持つでしょう。
「ここで宣言的判決訴訟を許可することは、UDJAを使用して[BCBSMT]に「行政プロセスをスキップ」し、Blue Crossが本来持たない委員の行為に対する即時司法審査への道を得る機会を与えることになります」と地裁判事クリス・アボット氏は判定しました。アボット判事は、行政プロセスが完了した後、BCBSMTは委員事務所が下した決定に異議を唱えるために法廷に戻る機会があることも確認しました。
ジェームス・ブラウン委員は、この決定を歓迎し、これは規制対象企業に消費者保護法に違反した場合は責任を問われることを強いメッセージを送ります。調査は現在、消費者保護法が違反されたかどうかを判断しようとするでしょう。「モンタナ州はモンタナ州市民のプライバシーを保護する非常に強い法律を持っており、私はモンタナ州民の権利と個人データを保護するというその義務と責任を非常に真摯に受け止めています」とブラウン氏は述べました。「ヘレナの地区裁判所が当事務所の調査を進行させることを許可してくれたことを喜んでいます。」
2026年1月28日:モンタナ州Blue Cross Blue Shield、データ侵害調査に直面
Health Care Service Corporation、すなわちBlue Cross Blue Shield of Montana(BCBSMT)は、約462,000人のモンタナ州民に影響を与えた重大なデータ侵害に続いて、同社がモンタナ州の侵害通知法に準拠していたかどうかについての調査に直面しています。
多くの健康保険プロバイダーと同様に、BCBSMTはConduent Business Servicesと契約していました。これは、HIPAA対象エンティティおよび政府機関にバックオフィス管理サービスを提供する業務提携企業です。2025年1月13日、Conduent はそのネットワークへの不正アクセスを特定し、フォレンジック調査により、脅威行為者が2024年10月13日から2025年1月13日の間の3ヶ月間、そのネットワークにアクセスしていたことが確認されました。事件で侵害されたデータには、名前、住所、生年月日、社会保障番号、健康計画および医療記録識別子、診断および治療コード、プロバイダーの詳細、および請求情報が含まれていました。Safepayランサムウェアグループが攻撃の責任を主張しました。
Conduent は2025年4月9日に米国証券取引委員会(SEC)に提出された書類で攻撃を開示しました。ただし、当時、調査は進行中であり、データ侵害の程度を判断するためのものでした。攻撃が検出されてから1年以上が経過しており、影響を受けた個人の数はまだ不明です。オレゴン州司法長官は、全米で約1,050万人の個人が影響を受けたことが通知され、その後、テキサス州司法長官は1,470万人のテキサス州民が影響を受けたことが通知されました。
2025年1月に、BCBSMTはConduent から影響を受けたクライアントの1つであることが通知されました。ただし、BCBSMTは影響を受けた個人に2025年10月まで通知しませんでした。これはConduent のシステムが最初に侵害されてから1年、最初に影響を受けたことを学んでから9ヶ月後のことです。州当局はBCBSMTが不合理な遅延なしに通知を発行することを要求する州のデータ侵害通知法に準拠していたかどうかを判定するために調査を開始しました。州当局はまた、データ侵害の周辺状況を確立しようとしています。
モンタナ証券保険委員会(CSI)は2026年1月22日に公開行政聴聞会をスケジュール化し、侵害に関する証拠を収集し、イベントのタイムラインを確立し、BCBSMTが事件にどのように対応したかを判定します。BCBSMTはルイス・アンド・クラーク郡地裁から一時的な拘束命令を求め、聴聞会が行われることを防ぐために申し立てました。ただし、裁判所は申し立てを却下しました。
「[BCBS]が裁判所を通じてこの聴聞会をブロックしようとして規制上の監視と説明責任を回避しようとしたことは問題です」とモンタナCSI広報ディレクターのタイラー・ニューカム氏は述べました。「当事務所はモンタナ州民を保護し、機密の個人および医療データが危険にさらされた可能性がある場合に公正で透明的で非常に真摯なプロセスを確保することに尽力しています。当事務所は全ての証拠を検討し、その後、適切な時期に最終命令を発行します。」
聴聞会審査官は聴聞会の記録を検討し、委員が検討する決定案を提案します。委員は侵害通知発行の長い遅延に関する透明性を確保するために、イベントのタイムラインに関するさらなる情報を公開します。
翻訳元: https://www.hipaajournal.com/blue-cross-blue-shield-montana-data-breach-probe/
