アイオワ州司法長官ブレンナ・バード氏は、2024年2月のランサムウェア攻撃に対してChange Healthcare、UnitedHealth Group、およびOptumに対する訴訟を提起しました。この攻撃により、192.7百万人のアメリカ人(アイオワ州民222万人を含む)の電子保護健康情報が盗難されました。
バード司法長官は、被告がサイバーセキュリティの実践とシステムについて攻撃前後に虚偽の表明をしたと主張しています。バード司法長官は、2024年2月21日のアメリカ証券取引委員会(SEC)への提出書類で、被告が攻撃の深刻さを軽視したと主張しており、その書類では国家的行為者と疑われるものが情報システムにアクセスし、影響を受けたシステムが隔離されていたと述べられていました。
バード司法長官は、比較的無害なシステム隔離として説明されたものは実際には米国史上最大のヘルスケアデータ漏洩であり、米国における最大規模のデータ漏洩の1つであると述べました。バード司法長官は訴訟で「漏洩とそれに続く警告なしおよび適切なバックアップと冗長性がないままでのサービス停止は、米国全体のヘルスケアシステム全体をほぼ機能停止状態に陥らせるほど深刻でした」と述べています。
サイバー犯罪者は長い間米国のヘルスケア組織をターゲットにしてきており、攻撃の膨大な量を考えると、被告はChange Healthcareのシステムを通じて流れる機密データの量とランサムウェア攻撃がもたらす影響を考慮すると、サイバー犯罪者の大きなターゲットになることを知っていたはずです。それにもかかわらず、バード司法長官は、実装された対策は不十分であり、被告が主張する基準と一致していなかったと主張しています。バード司法長官は、Change Healthcareのサイバー攻撃とデータ漏洩が「Changeのシステムが不安全で、時代遅れで、適切なセグメンテーションと冗長性に欠けていたため発生し、これはChangeの広告表示された実践、企業方針、連邦プライバシー要件、および企業情報セキュリティの基本基準に違反している」と主張しました。
訴訟によると、事件に関する議会の調査に続き、数ヶ月の過程で、「被告がアイオワ州民およびアイオワ州のヘルスケアプロバイダーに対してサイバーセキュリティシステムの品質と特性を実質的に虚偽表示し、アイオワ州法に違反していることが明らかになった」ということです。バード司法長官は、システムと機密データを適切に保護することに失敗したこと以外に、影響を受けた個人への通知に要した時間に異議を唱えており、その中には自分たちのデータが盗難されてから20ヶ月後にようやくデータが漏洩したことを知った者もいます。
訴訟は、アイオワ州消費者詐欺法、アイオワ州法典、および個人情報セキュリティ漏洩保護法の違反請求を主張しています。訴訟は、アイオワ州法典§714.16(7)の違反ごとに40,000ドルの民事罰金、アイオワ州消費者詐欺法の各違反に対して5,000ドルの民事罰金、アイオワ州消費者詐欺法違反で取得されたすべての金銭または財産をアイオワ州司法長官に没収すること、およびアイオワ州個人情報セキュリティ漏洩保護法違反によって損害を受けたすべての者を代理した損害賠償を求めています。さらに、訴訟は被告が引き続き違法行為を行うことを禁じるようアイオワ州法典に基づいて差し止めを求めています。
翻訳元: https://www.hipaajournal.com/iowa-ag-sues-change-healthcare-2024-ransomware-attack/
