エージェント型人工知能(AI)ベースのIT管理・ワークフローソフトウェアを提供するServiceaideは、ウェブ上でのデータの不注意な漏洩により、ニューヨーク州西部にある6つの病院と数十の施設からなる顧客企業Catholic Healthの患者48万3000人以上が影響を受けたと規制当局に報告した。
カリフォルニアに拠点を置くServiceaideは、5月9日に米国保健福祉省に不正アクセス・情報漏洩の侵害としてこのインシデントを報告した。金曜日の時点で、複数の集団訴訟専門の法律事務所が、訴訟の可能性に備えてこの侵害を調査している旨の通知を既に発行している。
Serviceaideは侵害通知の中で、2024年11月15日に「Catholic Health Elasticsearchデータベース内の特定の情報が不注意で公開された」��ことを知ったと述べている。
Serviceaideはこの発覚を受け、Catholic Healthのデータベースを保護するための措置を迅速に講じ、調査を開始したと述べている。調査の結果、2024年9月19日から11月5日の間に、特定の患者データが公開されたことが判明しました。
Serviceaideは、「調査では情報がコピーされたという証拠は見つかりませんでしたが、この種の活動があった可能性を否定することはできません」と述べています。
同社は、「そのため、データレビューベンダーに依頼し、影響を受けた可能性のあるデータについて、包括的かつ時間を要するレビューを実施し、そこに含まれる個人医療情報とその情報が誰に関連するかを特定しました。このレビューは最近完了しました」と述べています。
影響を受けた可能性のある情報には、氏名、社会保障番号、生年月日、医療記録番号、患者アカウント番号、医療および健康情報、健康保険情報、処方箋および治療情報、臨床情報、医療提供者名、医療提供者の所在地、メールのユーザー名とパスワードなどが含まれていました。漏洩した可能性のある情報の具体的な種類は個人によって異なると同社は述べています。
Serviceaideはこの事件を受け、今後同様の事件が発生しないよう、追加のセキュリティ対策を実施したと発表しました。また、影響を受けた個人には、12ヶ月間の無料の信用情報および身元監視サービスを提供しています。
カトリック・ヘルスはウェブサイトに掲載した短い声明の中で、ベンダーの一つであるServiceaideがデータ侵害を受け、「一部の患者情報がオンラインで漏洩した」と述べています。
Serviceaideは、影響を��受けた可能性のある患者に通知書を送付しており、カトリック・ヘルスはServiceaideのウェブサイトに掲載された侵害通知を一般向けに公開しています。
Serviceaideとカトリック・ヘルスは、Information Security Media Groupによるこのインシデントに関する詳細情報とコメントの要請に直ちに回答していません。
類似事例
ITの設定ミスなどによる保護対象医療情報の不注意な漏洩は珍しくありませんが、場合によっては、連邦および州の規制当局から多額の執行措置による罰金が科せられたり、民事訴訟で和解に至ったりするケースもあります。
12月、HHS(保健福祉省)公民権局は、2019年に発生した160万人の患者のPHI(医療情報)がウェブ上に公開された事件に関するHIPAA和解の一環として、プエルトリコに拠点を置くクリアリングハウスであるInmediata Health Groupに対し、25万ドルの罰金を科しました(クリアリングハウスがウェブ漏洩侵害で25万ドルの和解金を支払うを参照)。
Inmediata Health Group のデータ侵害は、2023 年に 33 州の司法長官との間で 140 万ドルの和解に至ったほか、2023 年に同社に対する連邦集団訴訟の提案で 110 万ドルの民事和解が成立しました (33 州の司法長官が 3 件の医療データ侵害訴訟を和解 を参照)。
さらに最近では、カリフォルニア州の小規模医療画像サービスプロバイダーであるHHS OCRが木曜日に発表したVision Upright MRIは、2020年12月に報告されたHIPAA違反に関する調査を受けて、連邦規制当局に5,000ドルの罰金を支払い、データセキュリティ慣行を改善するための是正措置計画を実施することに同意した。この違反では、患者情報もウェブ上で公開されていた。
連邦規制当局によると、VUMは、X線、MRI、CTスキャンなどの医療画像を保管する画像およびアーカイブ通信システムサーバーを管理している。このインシデントには、VUMが管理または保管していたPHIがインターネット上でアクセス可能であり、安全でないPACSサーバーが原因で漏洩したという。 HHS OCRは、この事件に関する調査の結果、VUMがHIPAAリスク分析を実施したことがなく、侵害発見後60日以内にタイムリーな侵害通知を完了していなかったことが判明したと述べた。
VUMは、和解に関するISMGからのコメント要請に直ちには応じなかった。
HHS OCRとVUM間の和解合意は、2025年に入ってからHHS OCRが実施した14件目のHIPAA執行措置となる。