2025年の最終月には、HIPAAの規制対象事業体により、500人以上に影響した医療データ侵害がさらに41件、保健福祉省(HHS)公民権局(OCR)に報告されました。12月の合計は、年間で月別合計が同率で2番目に少なく、データ侵害が異例に少ない件数で報告される月が4か月連続となりました。直近4か月では、大規模データ侵害の報告は月平均40.75件で、これに先立つ4か月の月平均66.5件と比べて減少しています。2025年12月の合計は、2019年以来最も少ない12月の合計です。
異例に少ない合計の一つの説明として、議会が歳出法案を可決できなかったことによる43日間の政府閉鎖が挙げられます。HHSでは必要不可欠な職員を除き全員が一時解雇となり、その期間中、OCRの侵害ポータルには侵害報告が追加されませんでした。現在では当該期間の侵害報告もポータルに追加されていますが、OCRが未処理分を完全に解消していない可能性があり、9月から12月の合計は今後数週間で増加する可能性があります。
現時点では、2025年に掲載されているデータ侵害は697件で、2024年に報告された大規模データ侵害742件から6%減少しています。この697件はほぼ確実に増加します。2025年1月20日に当社が2024年12月の医療データ侵害レポートを作成した時点では、大規模医療データ侵害は721件が掲載されていました。その後の数週間から数か月の間に、2024年分としてさらに21件が侵害ポータルに追加されました。
現在掲載されている2025年12月の医療データ侵害41件全体では、漏えいまたは不適切に開示された保護対象保健情報(PHI)は、わずか345,564人分でした。直近4か月の各月の影響人数も例外的に少なく、月平均1,336,061人が影響を受けています。これに先立つ4か月(5月~8月)では、月平均8,181,449人でした。直近4か月の合計は確実に増加します。多くのデータ侵害調査が継続中であり、影響を受けた人数がまだ確定していないためです。
2025年12月の影響人数346,564人は、343,260人が影響を受けた2017年12月以来の最少月間合計です。現在、2025年の医療データ侵害により影響を受けたことが判明している人数は60,976,942人で、2024年から78.9%減少しています。ただし、2024年の合計には、192,700,000人に影響したChange Healthcareの巨大なデータ侵害が含まれています。
2025年12月に報告された最大規模の医療データ侵害
12月に報告された、10,000人以上に影響したデータ侵害は5件のみで、最大はニューヨーク州ロチェスターに拠点を置く医療用品フルフィルメント組織Fieldtex Productsで発生したハッキング事案でした。Fieldtex Productsは104,071人に影響する侵害を報告しましたが、12月にはFieldtex ProductsからOCRに4件の別個の侵害報告が提出され、合計139,009人に影響しました。さらに11月にも追加の侵害報告が提出され、35,748人に影響しました。これら5件の事案は、Fieldtex Productsが2025年8月19日に検知した同一のハッキング事案に起因すると考えられています。
テキサス州に拠点を置くアレルギー・喘息センターのネットワークAllerVie Healthは、2025年11月にランサムウェア攻撃の被害に遭い、ハッカーが2025年10月24日から2025年11月3日まで同社ネットワークにアクセスしていたことが判明しました。Anubisランサムウェアグループが攻撃の犯行声明を出しました。 ジョージア州でDublin Medical Centerとして事業を行うMedical Center LLPでは、20,641人に影響するハッキング事案が発生し、オクラホマ州のVariety Careは、HIPAA規制対象事業体に管理サービスを提供するビジネスアソシエイトTriZettoに対するサイバー攻撃の影響を受けました。Variety Careは、このデータ侵害の影響を受けた多数のカバード・エンティティの一つでした。影響人数の総数はまだ確認されていませんが、Trizettoのデータ侵害は、現在では70万人超に影響したことが判明しています。
| カバード・エンティティ名 | 州 | カバード・エンティティ種別 | 影響を受けた人数 | 侵害原因 |
| Fieldtex Products, Inc. | NY | ビジネスアソシエイト | 104,071 | ハッキング事案 |
| AllerVie Health | TX | 医療提供者 | 80,521 | ランサムウェア攻撃(Anubis) |
| Medical Center, LLP | GA | 医療提供者 | 32,090 | ハッキング事案 |
| Fieldtex Products, Inc. | NY | ビジネスアソシエイト | 20,641 | ハッキング事案 |
| Variety Care | OK | 医療提供者 | 17,163 | ビジネスアソシエイトでのハッキング事案(TriZetto Provider Solutions) |
2025年12月には、影響人数が500人または501人という合計のデータ侵害が6件報告されました。これらは、OCRへのデータ侵害報告期限が迫る中で調査が継続中の場合に、一般的に用いられる「暫定(プレースホルダー)」の見積もりです。これらの合計はほぼ確実に増加し、データ侵害調査が完了した時点で更新されます。
| カバード・エンティティ名 | 州 | カバード・エンティティ種別 | 影響を受けた人数 | 侵害原因 |
| Associated Radiologists of the Finger Lakes, P.C. | NY | ビジネスアソシエイト | 501 | ハッキング事案 |
| Glendale Obstetrics & Gynecology PCA | AZ | 医療提供者 | 501 | ハッキング事案 |
| Reproductive Medicine Associates of Michigan | MI | 医療提供者 | 501 | ハッキング事案 ― データ窃取を確認 |
| Mitchell County Department of Social Services | NC | 医療提供者 | 501 | ランサムウェア攻撃 ― データ窃取を確認 |
| Greater St. Louis Oral & Maxillofacial Surgery PC | MO | 医療提供者 | 501 | フィッシング攻撃によるメールアカウントの侵害 |
| Madison Healthcare Services | MN | 医療提供者 | 500 | ハッキング事案 ― Worldleaks脅威グループが犯行声明 |
2025年12月の医療データ侵害の原因
ハッキングおよびその他のIT事案が当月のデータ侵害の80.5%を占め、33件が報告され、327,095人に影響しました(当月合計の94.4%)。平均侵害規模は9,912人、中央値は2,511人でした。12月には不正アクセス/不正開示の事案が8件あり、19,469人に影響しました。平均侵害規模は2,434人、中央値は1,469人でした。12月には紛失、盗難、不適切な廃棄の事案は報告されませんでした。
侵害された保護対象保健情報の最も一般的な所在はネットワークサーバーで、これに続いてメールアカウントの侵害に関する事案が6件ありました。
データ侵害はどこで発生したのか?
12月に最も大きな影響を受けた規制対象事業体は医療提供者で、当月の41件のデータ侵害のうち29件(191,900人)を報告しました。健康保険プランによる報告は6件(12,272人)、ビジネスアソシエイトによる報告も6件(142,392人)でした。ビジネスアソシエイトでデータ侵害が発生した場合、最終的には、影響を受けた各カバード・エンティティが侵害通知の送付とOCRへの通知が確実に行われるようにする責任を負います。カバード・エンティティは通知責任をビジネスアソシエイトに委任することもできますが、多くの場合、影響を受けたHIPAAカバード・エンティティが侵害を報告します。 例えば、Trizetto Provider Solutionsでのデータ侵害の影響を受けたカバード・エンティティは、侵害が自らのビジネスアソシエイト(またはビジネスアソシエイトの下請け)で発生したにもかかわらず、侵害を報告しました。ビジネスアソシエイトをより適切に反映するため、以下の図表では、侵害を報告した事業体ではなく、侵害が発生した場所に基づくデータ侵害の数値を示しています。
医療データ侵害の地理的分布
12月にデータ侵害の観点で最も影響を受けた州はカリフォルニアで、影響を受けたことが判明しているHIPAA規制対象事業体は9件でした。この高い合計はTrizetto Provider Solutionsでのデータ侵害によるもので、影響を受けた9事業体のうち6事業体にとって、同社はビジネスアソシエイトの下請け(のビジネスアソシエイト)であったためです。ニューヨークは2位でしたが、5件のうち4件は同一の事業体であるFieldtex Productsによって報告されました。
| 州 | データ侵害件数 |
| カリフォルニア | 9 |
| ニューヨーク | 5 |
| テキサス | 4 |
| メリーランド、ミシガン、ミネソタ、ミズーリ、オクラホマ、オレゴン、テネシー | 2 |
| アリゾナ、フロリダ、ジョージア、イリノイ、ルイジアナ、メイン、マサチューセッツ、ノースカロライナ、オハイオ | 1 |
データ侵害件数ではカリフォルニアが最多でしたが、影響を受けた人数ではニューヨークが最悪で、次いでテキサスでした。
| 州 | 影響を受けた人数 |
| ニューヨーク | 140,320 |
| テキサス | 85,728 |
| ジョージア | 32,090 |
| カリフォルニア | 31,013 |
| オクラホマ | 18,275 |
| ミズーリ | 9,343 |
| オレゴン | 6,473 |
| ルイジアナ | 4,519 |
| メリーランド | 4,027 |
| テネシー | 3,138 |
| イリノイ | 2,511 |
| マサチューセッツ | 1,638 |
| オハイオ | 1,629 |
| ミシガン | 1,560 |
| メイン | 1,259 |
| フロリダ | 1,036 |
| ミネソタ | 1,003 |
| アリゾナ | 501 |
| ノースカロライナ | 501 |
2025年12月のHIPAA執行活動
12月、OCRは金銭的制裁を伴うHIPAA執行措置を1件発表しました。テキサス州に拠点を置くConcentra, Inc.は、ある個人が自身の医療および請求記録への適時のアクセスを提供されなかったとしてOCRが苦情を受理したことを受け、調査対象となりました。Concentraは、HIPAAのアクセス権侵害の疑いについて和解に合意し、112,500ドルの制裁金を支払いました。これは、2019年末に開始され現在も継続しているHIPAAアクセス権執行イニシアチブの下での54回目の金銭的制裁です。2025年はHIPAA執行が活発な年で、OCRは2025年に規制対象事業体に対するHIPAA違反事案21件を金銭的制裁を伴って解決しました。OCRはこれらの執行措置により、合計8,330,066ドルの制裁金を徴収しました。
州司法長官もHIPAA規則を執行しますが、2025年は静かな年で、データ侵害調査の解決に際して科された金銭的制裁は1件のみでした。Orthopedics NY LLP(OrthoNY)は、656,000人超の保護対象保健情報の侵害につながったとされるサイバーセキュリティ上の不備について、50万ドルを支払い、疑義のあるサイバーセキュリティ不備を和解しました。ニューヨーク州司法長官は、HIPAAおよび州のサイバーセキュリティ法の違反を指摘しました。
翻訳元: https://www.hipaajournal.com/december-2025-healthcare-data-breach-report/
