Healthcare Interactive(HCIactiveとしても知られる)は、2025年9月22日にHHS(米国保健福祉省)の公民権局(Office for Civil Rights)に対し、影響を受けた個人の数を501人とする暫定的な数値を用いてデータ侵害を報告しました。当時は、影響を受けたデータの確認作業が継続中であったため、データ侵害の範囲は確定していませんでした。メイン州司法長官には9月の時点で87,565人が影響を受けたと通知されていましたが、現在では、データ侵害がはるかに大規模であったことが確認されています。
オレゴン州司法長官には2026年1月7日、このインシデントにより3,056,950人の個人情報および保護対象保健情報が侵害されたと通知されており、これは2025年における最大級の医療データ侵害の一つとなります。2026年1月30日時点では、2025年における医療データ侵害として5th番目の規模です。
Healthcare Interactiveは、メリーランド州エリコットシティに拠点を置く、保険加入手続きおよび給付管理向けのAI搭載ソフトウェアソリューション提供企業です。2025年7月22日頃、同社のコンピュータネットワーク内で不審な活動が確認されました。同社の代替データ侵害通知によれば、フォレンジック調査により、権限のない第三者が2025年7月8日から2025年7月12日までネットワークにアクセスし、ファイルを持ち出したことが確認されました。オレゴン州司法長官に提供された侵害通知では、無断アクセス期間が2025年6月17日から2025年7月22日までに及ぶ、より長い期間であった可能性が示唆されています。
Healthcare Interactiveは、盗まれたデータが悪用されたことを示す証拠は見つかっていないとしていますが、予防措置として、影響を受けた個人に対し、無料のクレジットモニタリングおよび個人情報盗難保護サービスを提供しています。
このインシデントで侵害されたデータの種類は個人によって異なり、氏名、住所、電話番号、メールアドレス、生年月日、健康保険プラン/保険証券番号、健康保険提供者名、加入者/グループID、健康保険請求番号、口座番号、給付明細(Explanation of Benefits)、請求コード、医療データなどが含まれる可能性があります。本インシデントで侵害された可能性のある医療情報には、診断、治療情報、処方、検査結果、医療画像、ケア情報、医師名、診療録番号、請求コードなどが含まれます。攻撃の背後にいる脅威アクターは現在不明です。
Healthcare Interactiveは、セキュリティポリシーを見直し、将来同様のインシデントを防止するためにセキュリティ改善の追加措置を講じたと述べています。Healthcare Interactiveは2026年12月19日のプレスリリースで、「AI First and AI Everywhere」というミッションを推進するため、リーダーシップチームと運用体制を強化したと発表しました。これには、ゼロトラストの適用、AI主導の異常検知、暗号化の近代化、コンプライアンス主導のセキュリティレビューを含む、AIセキュリティとデータ完全性に関するリーダーシップ監督の拡充に加え、ERISA、HIPAA、SOC 2、ISO 27001の監督およびコンプライアンスに関するリーダーシップの強化が含まれます。
2025年9月29日:Healthcare Interactive Inc.でのハッキングインシデントでデータが持ち出し
保険加入手続きおよび給付管理向けのAI搭載ソフトウェアソリューション提供企業であるHealthcare Interactive Inc.は、同社ネットワークからのファイル持ち出しを伴う2025年7月のハッキングインシデントについて、最近発表しました。2025年7月22日頃、同社のコンピュータネットワーク内で不審な活動が確認されました。この活動の原因を特定するため調査が開始され、その結果、2025年7月8日から2025年7月12日までの間にネットワークへの不正アクセスと、ネットワークからのデータ持ち出しが確認されました。
露出したファイルの確認により、氏名、住所、メールアドレス、電話番号、生年月日、社会保障番号、健康保険加入情報、診療録番号、診断、検査結果、処方、その他のケアおよび治療情報、医療画像、医師名、健康保険請求情報などの保護対象保健情報が含まれていたことが確認されました。
機微なデータが盗まれたものの、Healthcare Interactiveは当該情報の悪用は把握していないと述べています。しかし、予防措置として、影響を受けた個人に対し、無料のクレジットモニタリングおよび個人情報盗難保護サービスを提供しています。セキュリティポリシーおよび手順は見直し中であり、同社のシステムとデータをより適切に保護するための追加的な安全対策が実装されています。このデータ侵害は、HHSの公民権局の侵害ポータルに、影響を受けた個人が少なくとも501人という暫定的な数値で掲載されています。調査およびファイルレビューが完了次第、総数は更新されます。メイン州司法長官には、このデータ侵害がメイン州居住者3,782人を含む87,565人に影響したと通知されています。
翻訳元: https://www.hipaajournal.com/healthcare-interactive-data-breach/
