CardioFitメディカルグループは、保護される健康情報を含むメールが暗号化なしで誤って送信されたことを発見しました。テネシー州のInterventional Pain Centerは、PHIを含むメールアカウントへの不正アクセスを確認しました。
CardioFitメディカルグループ、カリフォルニア州
カリフォルニア州に拠点を置き、急性、慢性、予防的な心臓病治療を提供するメディカルグループであるCardioFit Medical Group, Inc.は、保護される健康情報の一部が漏露されたことについて、特定の患者への通知を開始しました。HIPAA違反は2026年2月17日に特定され、CardioFitは患者情報が暗号化されていないメールで送信されたことを学びました。メールは2026年1月および2月に送信され、限定的な患者情報を含んでいることが判明しました。
社会保障番号、銀行口座の詳細、クレジットカード情報などの極秘情報はメールに含まれていませんでしたが、メールには名前、人口統計情報、そして場合によっては診断と健康保険情報などの限定的な臨床情報が含まれていました。HIPAAの下では、ファイアウォールなどの同等レベルの保護を提供する代替手段が実装されている場合、メールが内部的に送信される際に暗号化は必須ではありません。保護される健康情報がファイアウォール保護を超えて外部に送信される場合、転送中の傍受を防ぎ、意図した受信者のみがメールにアクセスできることを確保するために、メールを暗号化すべきです。
患者データが漏露されていますが、不正なアクセスによってメールにアクセスされたという兆候はなく、漏露された情報が悪用されたことを示す証拠は見つかっていません。漏露への対応として、CardioFitはプライバシーとセキュリティのプラクティスのレビューを実施し、メール暗号化に関連するプロセスを強化しました。CardioFitはまた、将来の同様のインシデントを防止するために、スタッフへの追加トレーニングも提供しました。通知レターは2026年4月10日前後に影響を受けた個人に送付されました。データ漏露はHHS Office for Civil Rights Webサイトに現在掲載されていないため、影響を受けた個人数は不明です。
Interventional Pain Center、テネシー州
テネシー州の痛み管理センターのネットワークであるInterventional Pain Centerは、3,171人の個人の個人情報および保護される健康情報を含む従業員のメールアカウントへの不正アクセスを確認しました。インシデントは2025年12月11日に検出され、フォレンジック調査により、不正アクセスは2025年12月1日から2025年12月11日の間に侵害された単一のメールアカウントに限定されていることが確認されました。
アカウントがレビューされ、アカウントに含まれる情報のタイプと関連する人物を判断しました。2026年3月17日前後に、Interventional Pain Centerは、アカウントが名前、住所、郵便番号、生年月日、社会保障番号、運転免許証番号、医療履歴、診断、状態情報、治療情報、処方箋情報、治療医の名前、および健康保険情報を含むファイルとメールを含んでいることを確認しました。
Interventional Pain Centerはアカウントを保護して、さらなる不正アクセスを防止し、メールセキュリティと監視コントロールの強化、および従業員への追加トレーニングの提供を含む、同様のインシデントを防止するための追加のセーフガードを実装しました。通知を発行した時点で、Interventional Pain Centerは、漏露された情報が悪用されたことを示唆する証拠は発見されていません。
翻訳元: https://www.hipaajournal.com/medical-group-phi-exposure-unencrypted-emails/
