アラバマ州のジェファーソン=ブラウント=セントクレア精神保健局、ニューハンプシャー州のコテージ病院、インディアナ州のWindRoseヘルス・ネットワーク、イリノイ州のイロコイ・メモリアル病院は、ハッキング事件により患者データが漏えいしたことを発表しました。
ジェファーソン=ブラウント=セントクレア精神保健局(アラバマ州)
アラバマ州のジェファーソン=ブラウント=セントクレア(JBS)精神保健局は、ランサムウェア攻撃により一部の個人情報および保護対象保健情報が漏えいし、取得された可能性があるとして、3万人を超える個人に通知しました。同局のコンピュータネットワーク内で不審な活動が確認されたのは、2026年11月25日頃でした。調査の結果、ハッカーが2026年11月25日にネットワークへアクセスし、2011年から2025年の間に患者または従業員であった個人に関する情報を閲覧または取得した可能性があることが確認されました。
ファイルの精査は最近終了し、漏えいしたデータには氏名、社会保障番号、健康保険情報、生年月日、医療情報が含まれていたことが確認されました。医療情報には、診断名、医師情報、診療録番号、メディケア/メディケイド情報、処方/投薬情報、検査および治療情報、請求または保険金請求情報が含まれていた可能性があります。
影響を受けた個人には、口座や給付金支払明細(EOB)を監視するなどして、なりすましや詐欺に対して警戒を続けるよう助言されています。HHS(米国保健福祉省)の公民権局(Office for Civil Rights)の侵害ポータルによると、この事件の影響を受けたのは30,434人です。
コテージ病院(ニューハンプシャー州)
ニューハンプシャー州ウッズビルにある35床のクリティカルアクセス病院であるコテージ病院は、同院のコンピュータネットワークへの不正アクセスを検知しました。フォレンジック調査により、ハッカーは2025年10月14日から2025年10月21日までの期間、および2025年12月8日に、同院のコンピュータネットワーク上の単一のファイルサーバーにアクセスしていたことが確認され、同日、事件においてファイルが持ち出されたことが確認されました。 ファイルの精査は継続中ですが、当該サーバーには現職および元従業員の氏名、社会保障番号、運転免許証番号、ならびに銀行口座情報が含まれていた可能性があることが確認されています。
メイン州司法長官に提出された侵害通知によると、メイン州居住者83人を含む2,156人が影響を受けました。影響を受けた個人には、無料の信用監視、なりすまし被害の復旧支援、詐欺相談サービスが提供されています。同院は、ネットワーク上の機微データをより適切に保護するため、強化された保護策およびセキュリティ対策の導入と評価を継続することを確認しました。
WindRoseヘルス・ネットワーク(インディアナ州)
インディアナ州に5つのヘルスセンターを有する連邦認定保健センター(Federally Qualified Health Center)であるWindRoseヘルス・ネットワークは、2025年8月22日に確認されたセキュリティインシデントについて、特定の患者に通知しました。セキュリティ侵害は迅速に検知され、不正アクセスは2025年8月22日の朝に開始したと判断されました。侵害を受けたネットワーク部分には個人情報および保護対象保健情報が含まれており、アクセスまたは取得された可能性があります。
漏えいしたファイルに含まれる情報の種類と影響を受けた個人を特定するため、データ精査会社が起用されました。そのプロセスは最近完了し、通知が必要な個人を特定するために結果が評価されました。侵害されたデータは個人によって異なり、氏名に加えて、以下のうち1つ以上が含まれる可能性があります:連絡先情報、生年月日、患者識別番号、受診日(複数の場合あり)、医療提供者名(複数の場合あり)、診断名、治療情報、処方(複数の場合あり)、病歴、検査報告書、健康保険情報、ならびに運転免許証番号や社会保障番号などの限定的な政府発行の身分証番号。
第三者のサイバーセキュリティ専門家が起用され、インシデントの調査、セキュリティの見直し、ならびにシステムのさらなる保護が行われました。影響を受けた個人には、なりすましや詐欺に対して警戒を続けるよう助言されています。HHSの公民権局の侵害ポータルによると、この事件の影響を受けたのは691人です
イロコイ・メモリアル病院(イリノイ州)
イリノイ州ワツェカのイロコイ・メモリアル病院は、患者の保護対象保健情報への不正アクセスまたは窃取を伴うハッキング事件について、最近HHSの公民権局に報告しました。代替の侵害通知はまだ病院のウェブサイトに掲載されていないため、この事件で具体的にどの種類のデータが侵害されたのかは不明です。Pear脅威グループが攻撃の犯行声明を出しました。
Pearはデータ窃取と恐喝を行いますが、ファイルの暗号化は行いません。同グループはデータ漏えいサイトを運営しており、2025年12月11日に同サイトへイロコイ・メモリアル病院を追加しました。掲載は現在も有効であり、身代金が支払われなかったことを示唆しています。HHSの公民権局の侵害ポータルによると、この事件の影響を受けたのは621人です
翻訳元: https://www.hipaajournal.com/jbs-mental-health-authority-data-breach/
