米国保健社会福祉省(HHS)民間権局(OCR)は、身代金要求ウェアに関連するデータ漏洩調査中に発見されたHIPAA違反を解決するための4つの金銭的罰金を発表しました。身代金要求ウェア攻撃により427,000人の個人の電子保護健康情報(ePHI)が露出し、HIPAA違反を解決するために1,165,000ドルの金銭的罰金が課されました。各ケースで、HIPAA規制対象事業者は低い罰金を支払って疑われた違反を非公式に解決することに同意し、OCR調査官によって特定された非準拠の問題に対処するための是正措置計画の採択に同意しました。これら4つの和解を含めて、OCRは2026年に金銭的罰金で6つの調査を解決し、1,278,000ドルの罰金を徴収しました。
利益動機のあるサイバー行為者はヘルスケアおよび公衆衛生セクターを標的にし、しばしば身代金要求ウェアを使用してファイルを暗号化し、重要なデータへのアクセスを防止します。脅迫行為者は、ヘルスケア組織が大量の機密データを保存し、ヘルスケアサービスを提供するためにデータへのアクセスに依存していることを知っています。医療記録にアクセスできなければ、患者の安全が危険にさらされるため、他のセクターの組織よりもヘルスケア組織の方が身代金要求を支払って迅速に回復する可能性が高くなります。暗号化に加えて、機密データはしばしば流出し、レバレッジとして使用されます。身代金が支払われない場合、データはオンラインで販売または漏洩され、影響を受けた個人が身分詐欺および詐欺のリスクにさらされます。
過去5年間の各年で、500人以上の個人に影響を与える700以上のデータ漏洩がOCRに報告されており、その大部分がハッキング事件または身代金要求ウェア攻撃でした。「ハッキングと身代金要求ウェアはOCRに報告される大規模漏洩の最も頻繁なタイプです」とOCRディレクターのPaula M. Stannardは、HIPAA罰金についての発表で述べました。「HIPAA Security Ruleを漏洩またはOCR調査の前に積極的に実装することは、法律であるだけでなく、規制対象事業者が成功したサイバー攻撃の有害な影響を防止または軽減する最良の機会でもあります。」
HIPAA Security Ruleの最も重要な要件の1つはリスク分析であり、その目的はePHIの機密性、完全性、および可用性に対するすべてのリスクと脆弱性を特定することです。それらのリスクと脆弱性は、その後、リスク管理プロセスの対象となり、それらを排除するか、低く許容可能なレベルに低減する必要があります。リスク分析が実施されていない、定期的に実施されていない、または不完全な場合、リスクと脆弱性は不明なままになり、対処されないままになり、内部ネットワークとePHIへのアクセスを獲得するために悪用される可能性があります。
OCRはその重要性のためにHIPAA Security Ruleのリスク分析規定を執行優先事項にしており、その取り組みはリスク管理を含めるように拡張されています。データ漏洩が報告されるか、報告されていないデータ漏洩についての苦情が提出された場合、OCRは調査し、リスク分析が完了し、リスクがタイムリーに管理されたことを示す証拠を要求します。最新の4つの執行措置のそれぞれで、OCRはリスク分析の失敗を特定しました。
包括的で正確なリスク分析を完了するために、HIPAA規制対象事業者は、ePHIがどのように組織に入り、組織の情報システムを通じて流れ、組織から出るかを含めて、組織内のePHIが位置するすべての場所を特定する必要があります。したがって、リスク分析の基礎となる正確で最新の資産インベントリを作成および維持することが重要です。
リスクと脆弱性の特定と管理に加えて、HIPAA規制対象事業者は、アクセス制御と認証を含む適切なサイバーセキュリティ対策が実装されており、ePHIへのアクセスを承認されたユーザーのみに制限していることを確認する必要があります。監査制御は、情報システムのアクティビティを記録および調査するために実装する必要があり、情報システムアクティビティのログを定期的に監視する必要があります。暗号化は保存時および転送中のePHIを保護するために実装する必要があり、インシデント対応計画を開発、実装、および維持して、成功した侵入の場合の迅速な対応を確保する必要があります。OCRはまた、規制対象事業者に、組織およびその職員の各職務に固有のHIPAAトレーニングを定期的に提供されることを確認することを思い出させます。
Assured Imaging関連カバー対象事業者 – $375,000 HIPAA罰金
今月発表された最大の金銭的罰金は、Assured Imaging Affiliated Covered Entities(Assured Imaging)でのHIPAA違反を解決したもので、これはアリゾナとカリフォルニアに本社を置く医療画像およびスクリーニングサービスプロバイダーです。身代金要求ウェア攻撃は2020年5月19日に発見され、244,813人の個人の名前、連絡先情報、生年月日、診断と状態、検査結果、薬物、および治療情報などの電子保護健康情報(ePHI)の盗難を含みました。
Assured Imagingはリスク分析が実施されたことを示す証拠を提供することができませんでした。OCRは244,813人の個人のePHIの許可されていない開示があったこと、およびAssured ImagingがHIPAA Breach Notification Ruleで要求されている60日以内に影響を受けた個人に通知することに失敗したことを決定しました。OCRはHIPAA違反を解決するために375,000ドルの金銭的罰金を課し、和解契約には包括的な是正措置計画が含まれています。Assured Imagingは是正措置計画への準拠について2年間監視されます。
Regional Women’s Health Group、dba Axia Women’s Health – $320,000 HIPAA罰金
Axia Women’s Healthとして事業を行うRegional Women’s Health Groupは、ニュージャージー、ペンシルバニア、オハイオ、インディアナ、ケンタッキー州の患者に女性のヘルスケアサービスを提供し、2020年12月にOCRに身代金要求ウェア関連のデータ漏洩を報告しました。その電子医療記録データベースに保存されていた37,989人の個人のePHIがインシデントで露出または盗難されました。名前、住所、生年月日、SSN、運転免許証番号、診断または状態、検査結果、および薬物が含まれています。
OCRはAxia Women’s Healthが包括的で正確なリスク分析を実施してePHIのリスクと脆弱性を特定することに失敗したと判定し、320,000ドルの金銭的罰金を課しました。Axia Women’s Healthは疑われた違反を非公式に解決することを選択し、包括的な是正措置計画を実装することに同意し、その計画への準拠について2年間監視されます。リスク分析の実施、リスク管理計画の実装、および職員へのトレーニングの提供に加えて、Axia Women’s Healthは、ePHIのセキュリティに影響を与える環境および運用上の変更を評価するプロセスを実装する必要があります。これは、リスク分析の失敗に加えて、OCRがこの領域で潜在的な非準拠を見つけたことを示唆しています。
Star Group、L.P. Health Benefits Plan – $245,000 HIPAA罰金
Star Group、L.P. Health Benefits Plan(SG Health Plan)はコネチカット州ベースのエネルギープロバイダーの自己基金の従業員給付計画であり、2021年10月に身代金要求攻撃をOCRに報告しました。フォレンジック調査は、身代金要求グループが自身のプランメンバー9,316人のePHIを含むファイルを流出させたことを決定しました。攻撃で盗まれたデータには、名前、住所、生年月日、SSN、メンバーID番号、請求データ、および給付選択情報などの健康保険情報が含まれていました。
OCRの調査はSG Health Planが正確で徹底的なePHIのリスクと脆弱性の評価を実施することに失敗したことを決定し、9,316人の個人のePHIの許可されていない開示をもたらしました。OCRは245,000ドルの金銭的罰金でHIPAA違反を解決し、SG Health Planは疑われたHIPAA違反に対処するための是正措置計画を採択することに同意しました。SG Health Planはその計画への準拠について2年間監視されます。
Consociate、Inc.、dba Consociate Health – $225,000 HIPAA罰金
Consociate、Inc.、Consociate Healthとして事業を行うConsociateは、従業員後援給付プログラムの第三者管理者であり、健康計画のビジネスアソシエートであり、2021年1月14日に、その情報システム内のデータが身代金要求ウェア攻撃で暗号化されたことを発見しました。フォレンジック調査は、その6ヶ月前にフィッシング攻撃の結果としてそのネットワークが最初に侵害されたことを決定しました。
脅迫行為者は136,539人の個人のePHIを含むサーバーへのアクセスを得ました。名前、住所、生年月日、運転免許証番号、社会保障番号、クレジットカード/銀行口座番号、および診断または状態が含まれます。OCRはConsociate Healthが正確で徹底的なリスク分析を実施することに失敗したと判定し、225,000ドルの金銭的罰金でHIPAA違反を解決しました。Consociate Healthは疑われたHIPAA違反に対処するための是正措置計画を採択することに同意し、その計画への準拠について2年間監視されます。
翻訳元: https://www.hipaajournal.com/ocr-fines-four-regulated-entities-hipaa-violations-ansomware-attacks/
