カリフォルニア州サンノゼに本社を置き、ITおよびワークフロー管理向けにAI搭載エージェントを提供するビジネスアソシエイト企業Serviceaide, Inc.は、ニューヨーク州バッファローにある6つの病院を擁する医療システム、カトリック・ヘルスの約50万人の患者に影響を与える大規模なデータ侵害が発生したと発表しました。
Serviceaideは、患者の電子医療情報へのアクセスを必要とするカトリック・ヘルスに対し、情報技術サポート管理サービスを提供しています。2024年11月15日、Serviceaideは、カトリック・ヘルスのElasticsearchデータベース内の特定の情報がオンラインで公開され、認証なしでアクセスできる状態になっていることを発見しました。
Serviceaideは調査を開始し、データベースが2024年9月19日から2024年11月5日までの約6週間、オンラインで公開されていたことを明らかにしました。調査の結果、データベース内の情報が公開中に不正な人物によってコピーされたことを示す証拠は見つかりませんでしたが、機密データがコピーされた可能性は否定できませんでした。
データベースを調査した結果、カトリック・ヘルスの患者483,126人の個人情報および保護対象医療情報が含まれていることが判明しました。情報には、氏名、生年月日、社会保障番号、医療記録番号、患者アカウント番号、医療/健康情報、健康保険情報、治療情報、処方箋、臨床情報、医療提供者の名称と所在地、メールアドレス/ユーザー名、パスワードが含まれます。関係するデータの種類は個人によって異なり、通知書発行時点では、Serviceaideは漏洩したデータの不正使用を認識していませんでした。
Serviceaideは、影響を受けた個人に通知書を郵送し、2025年5月9日にHHS(保健福祉省)の公民権局にデータ漏洩について通知しました。Serviceaideは、今後同様の漏洩を防ぐため、追加のセキュリティ対策を実施しており、データ漏洩の被害者には、無料の信用情報監視サービスと個人情報盗難防止サービスを提供しています。
漏洩したデータベースはデータ漏洩の一般的な原因であるため、HIPAA規制対象事業体は、クラウドベースのストレージにおける認証制御を確認するためのポリシーと手順を確実に策定する必要があります。先週、HHSの公民権局は、データがオンラインで公開されたことを受けて、カリフォルニアのMRIサービスプ��ロバイダーとの和解を発表し、プエルトリコのヘルスケア情報センターInmediataも、機密性の高い医療データをオンラインで公開したとして最近罰金を科されました。