Conduent Business Servicesの2024年ハッキング事件に関するミズーリ州規制当局による調査は停滞している。ミズーリ州商務省はConduent社がデータ侵害に関する必要な情報を提供していないとして、同社が非協力的であると主張している。
印刷、郵便室、文書処理、支払い完全性、およびその他のバックオフィスサポートサービスを提供するConduent社は、2025年1月に、ハッカーが2024年10月21日から2025年1月13日の間にネットワークの一部にアクセスし、電子保護健康情報を含むファイルを流出させた可能性があることを発見した。事件で危険にさらされた可能性のあるデータには、名前、住所、社会保障番号、および医療記録が含まれた。Conduent社は保険会社、メンバー、および法執行機関にサイバーセキュリティ侵害について通知するための措置を講じ、影響を受けた個人に12ヶ月の無料クレジット監視サービスを提供している。
この侵害は深刻で、数千万人の個人に影響を与えた。2025年2月にウィスコンシン州農業・貿易・消費者保護部に提出された届出で、Conduent社は2,500万人の個人が影響を受けたと推定しているが、データ侵害が発見されてから16ヶ月後の現在でも、データ侵害の全規模はまだ確認されていない。
2026年3月17日、ミズーリ州商務省はデータ侵害に関する保険公報を発行し、同省が規制するすべての保険会社およびその他の団体に対して、メンバーが影響を受けたかどうかを判断し、受けた場合はConduent社による通知を確保するよう強く促した。商務省はConduent社との発行以来直接連絡を取っていると述べているが、Conduent社はデータ侵害の影響を完全に評価するために必要な情報の提供を拒否している。商務省はConduent社が質問に答えることを拒否していると主張しているが、Conduent社はそれらの質問に答えられない可能性もある。
「Conduent社がこの侵害の潜在的な影響を規制当局が完全に評価するのに十分な情報を提供していないことに懸念と失望を感じています」とDCI局長のAngela Nelson氏は述べた。「このような状況では、明確でタイムリーな通信が重要であり、ミズーリ州の保険消費者へのリスクを評価するために必要な詳細情報を引き続き求めています。」この問題はミズーリ州商務省によって段階的に対応されることになり、侵害期間前または期間中に直接または間接的に使用されたConduent社またはその関連会社のサービスについて、侵害期間前または期間中に、部門に情報を直接共有するよう保険会社に要求する別の公報が発行された。「このインシデントの規模を理解し、ミズーリ州民が自身を守るために必要な情報とリソースを持つことを保証するために、利用可能なあらゆるツールを使用することに私たちはコミットしています」とNelson局長は述べた。
「Conduent社が情報を提供しなかったため、部門は侵害のサイバーセキュリティ期間前または期間中にConduent社またはその関連会社のサービスを直接または間接的に利用したすべての保険会社またはその他の団体に対して、部門の市場行為セクションに連絡するよう要求しています」とミズーリ州商務省は公報で述べている。
Conduent社は、法律、規制、または契約上の義務に違反することなく、ミズーリ州商務省と最大限に協力していることを確認する声明を発表し、部門の要求に引き続き対応すると述べた。「サイバーセキュリティインシデントはConduent Business Servicesに影響を与えましたが、これはDCIの認可を受けていない機関です。Conduent社はクライアントに代わって通知を提供することに同意しましたが、Conduent社はどのクライアントがDCIの認可を受けているかについての視認性を持っていないため、どのクライアントに代わってDCIと会話する権限もありません。」Conduent社はすべてのクライアントに連絡し、商務省の公報について通知し、影響を受けたミズーリ州の住民を持つ認可機関に商務省に直接報告書を提出するよう要求した。
影響を受けたクライアントからの情報を要求することに加えて、ミズーリ州商務省は、影響を受けたと通知されたすべての消費者に対して、受け取る通信を慎重に確認し、金融およびクレジット活動を継続して監視することを勧めている。無料クレジット監視サービスの登録期限が過ぎたため、ミズーリ州商務省は消費者に無料のクレジット報告書を確認し、信用調査機関に不正アラートまたはクレジット凍結を設定することを検討するよう推奨している。
2026年2月13日:テキサス州司法長官がConduent Business Servicesの2,500万件以上のデータ侵害を調査
テキサス州司法長官のKen Paxton氏は、Conduent Business Servicesのデータ侵害に関する調査を開始したことを発表し、これが米国史上最大のヘルスケアデータ侵害である可能性があると述べた。データ侵害が最大級の1つであることは確かであるが、2024年のChange Healthcareのデータ侵害は厳しい競争相手である。そのデータ侵害は1億9,270万人の個人に影響を与えた。
米国の確認された被害者のリストは増加し続けており、Premera Blue Cross、Humana、Volvo Group North America(従業員17,000人)、および様々なBlue Cross and Blue Shield(BCBS)支部(テキサス州、モンタナ州、イリノイ州)が影響を受けたことが知られている。影響を受けた団体の完全なリストは開示されていない。
以下で報告されているように、Conduent社のデータ侵害には、名前、生年月日、住所、社会保障番号、医療情報、および健康保険情報への無許可アクセスが含まれた。ハッカーは2024年10月21日から2025年1月13日まで、そのシステムへのアクセスを持っていた。インシデントが検出されてから1年以上が経過しましたが、影響を受けた個人の総数はまだ確認されていない。
「Conduent社のデータ侵害は米国史上最大の侵害である可能性が高い」とPaxton氏は声明で述べた。「保険大手が手を抜いたり、将来のような侵害を防ぐのに役立つ可能性のある情報を持っていたりした場合、私はそれを明らかにするために取り組みます。」
司法長官Paxton氏は、Conduent社がその主張に従うことを確認するため、Conduent社のセキュリティポリシー、実践、およびプロトコルに関する情報を求め、被害者の1つであるBlue Cross Blue Shield of Texasからの証拠を要求している。Conduent社はBCBS of Texasに郵便室、支払い、およびバックオフィスサポートを提供しており、特定の種類のメンバー情報へのアクセスが必要である。BCBS of Texasは影響を受けたメンバーの数をまだ開示していないが、司法長官Paxton氏は、テキサス州で1,549万人以上の個人が影響を受けたと通知されている。その合計は初期通知が発表されて以来、少なくとも2回増加している。
「このインシデントの開始から、私たちは即座に対応プロトコルに従って問題を封じ込め、調査するために迅速に行動しました。私たちは一流のサードパーティのサイバーセキュリティ専門家を関与させ、8-K提出を通じてインシデントを開示し、クライアントと関連当局に通知し、最近クライアントに代わって通知を送信するなど、影響を受けた人々をサポートするために取り組みました。現在のところ、基礎となるデータが悪用されたり、投稿されたり、公開されたりしたという証拠はなく、私たちは引き続き注視しています」とConduent社のスポークスパーソンはHIPAA Journalに提供された声明で述べた。「テキサス州司法長官室と協力して、長年の建設的な関与の慣行に沿って関連情報を提供することを楽しみにしています。」
2026年2月4日:Conduent Business Servicesのデータ侵害の被害者数が2,500万人以上に膨らむ
ニュージャージーのConduent Business Servicesは以前、オレゴン州司法長官への侵害報告書で、2024年のハッキング事件が1,050万人の個人に影響を与えたことを確認していた。既に大規模なデータ侵害であり、2025年に発表された最大規模のヘルスケアデータ侵害の1つであるが、被害者数が大幅に増加している。
テキサス州司法長官に提出された侵害報告書は、テキサス州だけでも1,480万人以上の個人(14,791,500人)の個人および保護健康情報が事件で危険にさらされたことを示している。その合計は、調査とデータレビューが進むにつれて15,494,592人の個人に更新された。テキサス州司法長官への初期侵害報告書(2025年10月)は、約400万人の個人が影響を受けたことを示していた。オレゴン州とテキサス州に加えて、通知はカリフォルニア州、デラウェア州、インディアナ州、メイン州、マサチューセッツ州、ニューハンプシャー州、およびバーモント州の司法長官に送信されている。これらのうち、インディアナ州(影響を受けた個人5,892人)とメイン州(374人)は影響を受けた個人の数を公開している。
Conduent Business Servicesはニューハンプシャー州司法長官に複数の通知を送信し、対象事業体およびデータ所有者に関連する1つ以上の対象事業体に関連するデータが危険にさらされたことを確認している。2025年10月8日のニューハンプシャー州司法長官への初期通知以来、Conduent社は手紙でさらに67,555人の州民が影響を受けたことを確認したと説明した。
SafePay身代金要求マルウェアグループは2025年2月にConduent Business Servicesへの攻撃の責任を主張し、同社をダークウェブデータ漏洩サイトに追加した。SafePayは攻撃で8.5テラバイトのデータを盗んだと主張し、身代金が支払われない場合は盗んだデータを公開すると脅した。Conduent社はもはやこのサイトに記載されていない。
多くのHIPAA対象事業体および政府機関は、郵便室およびその他のバックオフィスサービスを提供するConduent Business Servicesと契約している。Conduent社のクライアントリストには、Humana(米国トップ5の健康保険会社)、Premera Blue Cross(太平洋岸北西部最大の健康保険会社)、Blue Cross and Blue Shield of Texas(テキサス州最大の健康保険会社)、およびBlue Cross and Blue Shield of Montana(モンタナ州最大の健康保険会社)などの健康保険大手が含まれている。
Conduent Business Servicesは、HIPAA対象事業体であるクライアントに代わって影響を受けた個人に通知状を発行することを申し出てきたが、影響を受けた個人の総数を確認する予定である。HHS民間人権局の侵害ポータルは引き続き侵害が42,616人の個人に影響を与えていると記載している。Gold Coast Health Planは影響を受けたことを確認しているが、その計画メンバーのうち540人だけが事件でそのデータを危険にさらされた。
データ侵害事件で危険にさらされたデータと影響を受けた個人の数を決定するのは単純に見えるかもしれませんが、データ侵害調査とデータレビューは複雑である可能性があり、影響を受けた個人の正確なリストを取得するのに数週間または数ヶ月かかる可能性があります。Conduent社は、調査とデータレビューが進むにつれて、州司法長官に定期的な更新を提供してきましたが、データ侵害の真の規模が確認されるまでにはしばらく時間がかかる可能性があります。Conduent社は2026年初頭に通知の発行を完了する予定であることを確認する声明を発表した。
2025年11月11日:Conduent社は2026年第1四半期までに2,500万ドルのデータ侵害コストを予想
第1四半期の収益報告書で、Conduent社は2025年1月のサイバー攻撃自体から運営環境またはコストに重大な影響を受けないと述べた。ただし、2025年9月末までに侵害通知に関連して900万ドルの費用を負担し、第3四半期の収益報告書によると、2026年第1四半期までにさらに1,600万ドルの費用が発生することを予想している。Conduent社は、サイバー保険ポリシーを保有していると述べており、追加の通知コストは保険ポリシーでカバーされることを予想している。
影響を受けたデータ、評判の損害、訴訟、および規制措置による追加費用が発生する可能性があり、これは同社の財務状況に影響を与える可能性があります。以下で報告されているように、データ侵害に対応して複数の訴訟がすでに提起されており、Conduent社はHHS民間人権局および州司法長官による調査を確実に行うことになるだろう。Conduent社が州または連邦の規制に違反していることが判明した場合、規制罰金が課される可能性があります。
2025年11月7日:Conduent社1,050万件のデータ侵害を巡る訴訟が増加
1,050万人以上の個人に影響を与えるデータ侵害は確実に訴訟の砲撃をトリガーし、訴訟は迅速であり、Conduent社のデータ侵害に対応して少なくとも9件のクラスアクション訴訟がニュージャージー連邦裁判所で既に提起されている。その合計は、多くの法律事務所がクラスアクション訴訟の可能性に関する調査を開始したことを発表しているため、今後数日および数週間で増加する可能性は確実です。
訴訟は同様の主張を述べており、Conduent社はネットワークを無許可アクセスから適切に保護しなかったことで過失があり、データ侵害の影響を受けた個人に対する適切な通知の提供に失敗したことである。サイバー攻撃は最初に2025年1月にConduent社によって検出され、ハッカーが最初にネットワークへのアクセスを得てから3ヶ月後である。Conduent社は3ヶ月後、データ侵害を最初に発表し、機密データが漏露されたこと、およびインシデントが多数の個人に影響を与えたことを確認した。
当然のことながら、データ侵害の調査と影響を受けた個人の数およびデータの種類を決定するのに時間がかかります。ただし、訴訟はそのプロセスの長さに異議を唱えている。サイバー攻撃が最初に検出されてから侵害の規模が明らかになり、影響を受けた個人が機密情報が危険にさらされたことが通知されるまで10ヶ月かかった。通知状は2025年10月に送信され始め、Conduent社のネットワークが無許可の個人によって最初にアクセスされてから1年後である。
過失および過失絶対責任に加えて、訴訟は第三者受益者契約違反および不当利得などの主張を主張し、陪審団の裁判、補償的損害賠償、法定および懲罰的損害賠償、および差止救済を求め、機密データが適切に保護されることを確保するためのセキュリティ対策の範囲を実装するよう裁判所に命じている。
攻撃の脅威グループはSafepayランサムウェアグループである可能性があり、これは2025年1月にConduent社をデータ漏洩サイトに追加しましたが、Conduent社は現在Safepayデータ漏洩ブログに記載されていません。それはしばしば身代金が支払われたか盗んだデータが売られたことを意味しますが、ランサムウェアグループは不正な請求をすることが知られている。
クラスアクション訴訟は増加しているが、Conduent社はデータ侵害に関する規制当局の精査に直面する可能性も高い。州はこの規模のデータ侵害を調査し、州法およびHIPAA Security Ruleに沿った適切なサイバーセキュリティ対策が実施されているかどうかを判断する可能性が高い。ハッカーがそれほど大量の機密データにアクセスできた方法についての質問が起こされる可能性があります。
Conduent社はまた、HHS民間人権局からの精査に直面するでしょう。民間人権局は、データ侵害がHIPAA適合性の失敗の結果であったかどうかを確立しようとします。OCR HIPAA適合性調査は多くの場合数ヶ月または数年かかりますが、OCRはChange Healthcareへのサイバー攻撃での場合のように高い影響力のあるインシデントを優先順位付けしていることを示しており、1億9,000万人以上の個人に影響を与えた。現在のところ、Conduent社が連邦または州レベルで規制に違反しているという兆候はない。
2025年10月28日:Conduent Business Servicesのデータ侵害により1,050万人以上の患者が影響を受ける
複数のHIPAA対象事業体および政府機関のビジネスアソシエイトであるデータ侵害により、1,050万人以上の患者の保護健康情報の漏露および潜在的な盗難が発生しました。Conduent Business Servicesデータ侵害は今年のところ発表されている最大のヘルスケアデータ侵害であり、今年初めにYale New Haven Healthが報告した2番目に大きいデータ侵害のほぼ2倍の個人に影響を与えている。これは歴史上8番目に大きいヘルスケアデータ侵害としても位置付けられている。
Conduent Business Servicesは、印刷、郵便、文書処理、支払い完全性サービス、およびその他のサポートサービスを含むさまざまなバックオフィスサービスを政府機関およびヘルスケア組織に提供している。データ侵害の影響を受けたHIPAA規制事業体の数は現在のところ不明である。
Blue Cross and Blue Shield of Montanaは最近影響を受けたことを発表し、通知状が462,000人の個人に送付されている。Blue Cross and Blue Shield of Texasは、約310,000人のUT SelectおよびUT Care計画メンバーが影響を受けたと発表している。インシデントはHumanaの顧客およびPremera Blue Crossメンバーに影響を与えたことも知られているが、その数は不明である。Conduent社は政府機関、Wisconsin Department of Children and FamiliesおよびOklahoma Human Services(OHS)にサービスを提供しており、1月の停止によってそれらのサービスの一部が一時的に中断されましたが、OHSは機密データが事件で漏露されていないと通知されました。
州の規制当局は、10,515,849人の患者が影響を受けたと通知され、テキサス州では400万人以上の個人が影響を受けている。インシデントで非ヘルスケアクライアントのデータが危険にさらされたかどうかは不明である。Conduent Business Servicesのデータ侵害は4月に米国証券取引委員会(SEC)に報告されました。SEC提出で、Conduent社はある脅威アクターがネットワークIT環境の限定された部分にアクセスし、「かなりの数」の人々のデータを取得したと説明した。インシデントはまだHHS民間人権局(OCR)の侵害ポータルに表示されていません。これは政府の閉鎖のため9月24日以来、OCRによって更新されていません。
侵入は2025年1月13日に検出された。サードパーティのデジタルフォレンジック専門家の支援を受けて、Conduent社は初期アクセスが2024年10月21日に発生し、脅威アクターが2025年1月13日にConduent社がネットワークを保護するまでほぼ3ヶ月のアクセスを維持したことを決定した。Conduent社は影響を受けたシステムへのアクセスを数日以内に、場合によっては数時間以内に復元し、インシデントは運営に重大な影響を与えなかったと述べた。
調査は脅威アクターがそのクライアントの一部に関連するファイルを流出させたことを確認した。関連データの複雑さのため、ファイルレビューを完了し、影響を受けた個人とデータの種類を決定するのに数ヶ月かかりました。個人通知は現在影響を受けた個人に送付されている。
事件で危険にさらされた情報は、会社と個人によって異なり、潜在的に名前、生年月日、社会保障番号、治療情報、および請求情報を含む。カリフォルニア州司法長官に提供された通知に基づいて、無料のクレジット監視および身元盗用保護サービスは提供されていないようである。
サイバー攻撃の総コストはまだ分かっていませんが、Conduent社は2025年5月の第1四半期収益報告書で、侵害対応に関連した直接費用250万ドルが発生したと述べた。サイバー保険ポリシーが保有されており、コストの一部をカバーします。
このポストは追加情報がリリースされたときに更新されます。
翻訳元: https://www.hipaajournal.com/conduent-business-solutions-data-breach/
