2026年2月、保健社会福祉省(HHS)市民権局(OCR)に報告されたデータ侵害は63件で、500人以上の個人に影響を与えており、2026年1月から14.5%増加し、過去5年間の2月のデータ侵害の平均件数より12.5%多くなっています。
2026年1月1日から2月28日の間に、500人以上の個人に影響を与える118件のデータ侵害がOCRに報告され、9,651,076人の個人の保護されたヘルスケア情報が関与しています。ヘルスケアデータ侵害は前年比で10.6%減少していますが、影響を受けた個人の数は44.7%増加しています。
2月に報告された63件のデータ侵害全体で、少なくとも8,134,378人の個人の保護されたヘルスケア情報が露出または違法に開示されました。これは月間ベースで436%の増加であり、過去12ヶ月間の影響を受けた個人の平均数より38.9%多くなっています。
2026年2月の最大ヘルスケアデータ侵害
2月の高い合計数は、2月のHIPAA規制対象企業2社での大規模なデータ侵害によるものです。医療提供者と健康保険に行政サービスを提供するTriZetto Provider Solutionsと、17州の158の医療実践にヘルスケア管理サービスを提供するQualDerm Partnersです。両事件は、300万人以上の個人の保護されたヘルスケア情報への不正アクセスの可能性を伴っていました。
TriZettoは多くのHIPAA対象企業のビジネスアソシエイトであり、医療提供者に特化した電子医療記録ソフトウェアを提供するヘルスケア技術およびデータ分析企業のOCHINが使用する下請け業者でした。OCHINは、侵害がメンバーネットワークの患者集団の約9%(約700,000患者)に影響を与えたと述べています。Trizetto データ侵害によって影響を受けた医療機関の総数は不明です。HIPAA Journalは影響を受けたと発表した44のHIPAA対象企業を追跡していますが、合計はおそらくはるかに高いです。ハッカーは、Trizettoのクライアントがtrizettoのシステムにアクセスするために使用したWebポータルへのアクセス権を獲得しました。侵入は2025年10月に検出されました。ただし、脅威アクターはほぼ1年間そのシステムへのアクセス権を保有していました。Trizettoが開示していないため、どの脅威グループが侵害の背後にあるかは不明です。また、侵害に対する責任があると主張しているグループは見当たりません。
QualDerm Partnersでのデータ侵害は同様の規模で、310万人以上の個人に影響を与えました。侵入は2025年12月に検出され、調査によってハッカーが2025年12月23日から12月24日の間にそのシステムにアクセスし、保護されたヘルスケア情報を流出させたことが確認されました。Trizettoでのデータ侵害と同様に、事件の背後にある脅威アクターは不明です。規模ははるかに小さいですが、ApolloMD Business Servicesでのデータ侵害は多くのヘルスケアプロバイダークライアントに影響を与えました。ランサムウェアグループのQilinは攻撃に対する責任を主張し、患者データを流出させたと主張しました。データ侵害は2月に報告されましたが、2025年5月に検出されました。これら3つのデータ侵害だけで影響を受けた個人の数は、2025年9月中旬以降にOCRに報告されたすべてのデータ侵害よりも多くなっています。
| HIPAA規制対象企業 | 州 | 企業タイプ | 影響を受けた個人数 | 侵害の原因 |
| TriZetto Provider Solutions | MO | ビジネスアソシエイト | 3,433,965 | ハッキング事件 |
| QualDerm Partners, LLC | TN | ヘルスケアプロバイダー | 3,117,874 | ハッキング事件 – データ盗難が確認 |
| ApolloMD Business Services, LLC | GA | ビジネスアソシエイト | 626,540 | ランサムウェア攻撃 (Qilin) |
| Vikor Scientific, LLC. | SC | ヘルスケアプロバイダー | 139,964 | ネットワークサーバーハッキング事件 – OCRはHIPAA準拠に関する技術支援を提供 |
| IPPC Inc., IPPC of New York LLC, and Innovative Pharmacy LLC | NJ | ヘルスケアプロバイダー | 133,862 | ハッキング事件 – データ盗難が確認 |
| Oscar Health | NY | ヘルスプラン | 91,350 | 従業員が電子保護ヘルスケア情報を誤った受信者にメール送信 – OCRはHIPAA準拠に関する技術支援を提供 |
| National Association on Drug Abuse Problems | NY | ヘルスケアプロバイダー | 90,000 | ハッキング事件 |
| Counseling Center of Wayne & Holmes Counties | OH | ヘルスケアプロバイダー | 83,354 | ハッキング事件 – データ盗難が確認 |
| Academic Urology & Urogynecology of Arizona | AZ | ヘルスケアプロバイダー | 73,281 | ハッキング事件 |
| Lakeside Pediatrics & Adolescent Medicine, PLLC | ID | ヘルスケアプロバイダー | 34,154 | ハッキング事件 |
| Emanuel Medical Center | GA | ヘルスケアプロバイダー | 28,963 | ハッキング事件 |
| Advanced Homecare Management, LLC DBA Enhabit Home Health & Hospice | TX | ヘルスケアプロバイダー | 23,154 | ビジネスアソシエイトでのハッキング事件 |
| Cedar Point Health, LLC | CO | ヘルスケアプロバイダー | 23,114 | ハッキング事件 |
| WIRX Pharmacy | PA | ヘルスケアプロバイダー | 20,047 | ハッキング事件 |
| Wendy Foster OD | KS | ヘルスケアプロバイダー | 20,000 | ハッキング事件 |
| AccentCare | TX | ヘルスケアプロバイダー | 19,772 | Webアプリケーションが関与するビジネスアソシエイト(Doctor Alliance)でのハッキング事件 |
| Communications Workers of America Local 1180 Security Benefits Fund | NY | ヘルスプラン | 18,550 | ビジネスアソシエイトでの電子医療記録への不正アクセス |
| EyeCare Partners, LLC, including The Ophthalmology Group, Ophthalmology Consultants, and Ophthalmology Associates. | MO | ヘルスケアプロバイダー | 17,110 | 従業員メールアカウントへの不正アクセス |
| Manhattan Retirement Foundation d/b/a Meadowlark Hills | KS | ヘルスケアプロバイダー | 14,442 | ランサムウェア攻撃 (Beast) – データ盗難が確認 |
| Jackson Hospital and Clinic | AL | ヘルスケアプロバイダー | 13,910 | ビジネスアソシエイトでのハッキング事件 |
| Couve Healthcare Consulting, LLC DBA Evergreen Healthcare Group | WA | ビジネスアソシエイト | 11,795 | クラウドベースの電子医療記録が関与するハッキング事件 |
| Triad Radiology Associates | NC | ヘルスケアプロバイダー | 11,011 | 従業員のメールアカウントへの不正アクセス |
HIPAA侵害通知規則に基づき、データ侵害の発見から60日以内にOCRにデータ侵害を報告する必要があります。影響を受けた個人の数が不明な場合、OCRに推定値を提供する必要があります。多くの規制対象企業はそのような場合に500または501人のプレースホルダー数字を使用して侵害を報告することを選択します。2026年2月のブリーチデータには、7件のそのようなデータ侵害が含まれています。これらの数字は通常、データ侵害調査/データレビューが完了すると更新されますが、常にそうとは限りません。
| HIPAA規制対象企業 | 州 | 企業タイプ | 影響を受けた個人数 | 侵害の原因 |
| AltaMed Health Services Corporation | CA | ヘルスケアプロバイダー | 501 | ランサムウェア攻撃 |
| Cedar Valley Services | MN | ヘルスケアプロバイダー | 501 | ハッキング事件 |
| Resource Corporation of America | TX | ビジネスアソシエイト | 501 | ハッキング事件 |
| Carolina Foot & Ankle Associates | NC | ヘルスケアプロバイダー | 501 | ハッキング/IT事件 |
| Marin Cancer Care | CA | ヘルスケアプロバイダー | 501 | ハッキング/IT事件 |
| Issaqueena Pediatric Dentistry PA | SC | ヘルスケアプロバイダー | 501 | ランサムウェア攻撃 |
| Alexes Hazen MD, PLLC | NY | ヘルスケアプロバイダー | 500 | ハッキング事件 |
2026年2月のヘルスケアデータ侵害の原因
ハッキングおよび他のIT事件は、多年にわたってそうであったように、ヘルスケアデータ侵害の主な原因であり続けています。2月のデータ侵害のうち6を除くすべてがハッキング/IT事件であり、2026年2月のデータセットの影響を受けたすべての個人の98.6%を占めていました。57件のハッキング関連データ侵害全体で、8,020,208人の個人が影響を受けました。平均ブリーチサイズは140,705人、中央値のブリーチサイズは2,908人でした。
残りの6つのデータ侵害は不正アクセス/開示事件であり、114,170人の個人に影響を与えました。平均ブリーチサイズは19,028人、中央値のブリーチサイズは1,560人でした。これらの事件の中で最大のものは91,000人以上の個人に影響を与えており、従業員が電子保護ヘルスケア情報(ePHI)を誤った受信者にメール送信した結果でした。損失と盗難事件はかつてヘルスケアデータ侵害の最大の原因の1つでしたが、現在はめったに報告されていません。2月には損失または盗難事件、不適切な廃棄事件はありませんでした。2月に侵害された保護されたヘルスケア情報の最も一般的な場所はネットワークサーバーであり、続いてメールアカウント/開示でした。
HIPAA規制対象企業での2026年2月のデータ侵害
2月には、500人以上の個人の保護されたヘルスケア情報を含むデータ侵害は、49のヘルスケアプロバイダー(3,940,433人)、7つのヘルスプラン(116,690人)、および7つのビジネスアソシエイト(4,077,255人)によって報告されました。OCRブリーチポータルの生データは、侵害を経験した企業ではなく報告企業を示しています。ビジネスアソシエイトでデータ侵害が発生した場合、報告するのはしばしばカバーされた企業です。
2月はビジネスアソシエイトのデータ侵害がデータ侵害報告でしばしば過小評価されている方法の良い例です。データ侵害を経験した企業に基づいてデータを再計算すると、25件のデータ侵害がビジネスアソシエイトで発生しました。Trizetto Provider Solutionsでのデータ侵害はTrizettoによってOCRに報告され、340万人以上の個人に影響を与えると報告されました。ただし、影響を受けた多くの企業はOCRに自分たちでブリーチを報告しました。以下のチャートは、ブリーチを報告した企業ではなく、データ侵害を経験した企業に基づいており、ビジネスアソシエイトでのデータ侵害をより良く反映しています。
2026年2月のヘルスケアデータ侵害の地理的分布
2月にOCRに報告されたデータ侵害は非常に広く分布しており、米国の32州の企業に影響を与えました。ニューヨークとテキサスは各州で6件のデータ侵害でリストの最上位でしたが、カリフォルニアを拠点とする企業が報告した4件のデータ侵害がありました。
| 州 | 侵害数 |
| ニューヨーク州とテキサス州 | 6 |
| カリフォルニア州 | 4 |
| ジョージア州、カンザス州、オレゴン州 | 3 |
| アーカンソー州、イリノイ州、ケンタッキー州、ミシガン州、ミズーリ州、ノースカロライナ州、ニュージャージー州、オクラホマ州、ペンシルベニア州、サウスカロライナ州、テネシー州、ユタ州 | 2 |
| アラバマ州、アリゾナ州、コロラド州、フロリダ州、アイダホ州、インディアナ州、マサチューセッツ州、メリーランド州、メイン州、ミネソタ州、ニューハンプシャー州、オハイオ州、バージニア州、ワシントン州 | 1 |
侵害の重大性の観点から、ミズーリ州とテネシー州は影響を受けた個人の数でリストの最上位でした。
| 州 | 影響を受けた個人数 | 州 | 影響を受けた個人数 |
| ミズーリ州 | 3,451,075 | ノースカロライナ州 | 11,512 |
| テネシー州 | 3,119,544 | メイン州 | 9,300 |
| ジョージア州 | 658,003 | ケンタッキー州 | 8,972 |
| ニューヨーク州 | 210,655 | カリフォルニア州 | 6,283 |
| サウスカロライナ州 | 140,465 | アーカンソー州 | 5,800 |
| ニュージャージー州 | 134,444 | オレゴン州 | 4,641 |
| オハイオ州 | 83,354 | ミシガン州 | 4,473 |
| アリゾナ州 | 73,281 | インディアナ州 | 3,158 |
| テキサス州 | 52,361 | イリノイ州 | 2,891 |
| カンザス州 | 35,769 | オクラホマ州 | 2,275 |
| アイダホ州 | 34,154 | バージニア州 | 1,544 |
| ペンシルベニア州 | 24,647 | フロリダ州 | 1,107 |
| コロラド州 | 23,114 | ニューハンプシャー州 | 1,005 |
| アラバマ州 | 13,910 | マサチューセッツ州 | 634 |
| ユタ州 | 12,085 | メリーランド州 | 626 |
| ワシントン州 | 11,795 | ミネソタ州 | 501 |
2026年2月のHIPAA執行活動
2月には、HHS市民権局または州の司法長官によるHIPAA執行措置についての発表はありませんでした。ただし、OCRはそのリスク分析執行イニシアチブがリスク管理をカバーするように拡大されたことを確認しました。データ侵害を調査する際、OCRは包括的な組織全体のリスク分析が実施されたこと、およびリスク分析によって特定されたリスクが合理的で許容可能なレベルまで適切なタイムフレーム内に管理され軽減されたことを実証するドキュメントを要求します。
HIPAA規制対象企業がリスクを管理し、HIPAA Security Ruleの要件に準拠できるように支援するため、OCRは今月ビデオプレゼンテーションをリリースしました。ビデオでは、OCRのサイバーセキュリティに関する上級顧問であるNicholas Heestersが、リスク管理に関するHIPAA要件を説明し、OCRがデータ侵害調査中に発見したセキュリティ管理プロセス標準のリスク管理実装仕様違反の例を提供しています。
このレポートについて
HIPAA Journalヘルスケアデータ侵害報告は、HHS市民権局に報告されたデータ侵害に基づいています。HIPAA規制対象企業はデータ侵害の影響を受けた個人の数をめったに公開開示しないため、またハッキング事件の場合、攻撃者の主張は信頼できません。通常、データ侵害報告は前月の各月の20日頃に公開されます。ただし、OCRはデータ侵害をそのデータ侵害ポータルに追加するのが遅いため、公開が遅延しています。
OCRはデータ侵害ポータルの「調査中」セクションにブリーチ報告を追加するのを遅延させています。例えば、2026年3月にOCRに提出されたデータ侵害報告のうち、2026年3月にブリーチポータルの調査中セクションに追加されたものはありません。2026年4月10日現在、3月に列挙されたデータ侵害は2件のみです。遅延はOCRのリソース圧力を示すかもしれませんが、データ侵害はOCRブリーチポータルの「アーカイブ」セクションに大幅に加速されたペースで追加されており、OCRの優先順位の変更を示しています。OCRはデータ侵害の調査と調査のクローズに集中しているようです。
翻訳元: https://www.hipaajournal.com/february-2026-healthcare-data-breach-report/
