エンタープライズITプロバイダーのServiceaideでデータベースの設定ミスにより、ニューヨークに拠点を置く非営利医療システムであるCatholic Healthに関連する約50万人(483,126)の患者の機密性の高い健康情報と個人情報が漏洩しました。
Serviceaideはウェブサイトに掲載した通知でデータ漏洩を認め、このインシデントはElasticsearchデータベースが誤って公開されたことに起因すると述べています。漏洩は2024年9月19日から11月5日の間に発生しました。漏洩は2024年11月15日に発覚し、徹底的な調査は最近完了しました。
データがダウンロードまたは不正使用されたという確証のある証拠はありませんが、同社はその可能性を否定できないと認めています。
何が危険にさらされていたのか?
漏洩したデータベースには、幅広い機密情報が含まれていました。個人によっては、以下のデータが含まれていた可能性があります。
- 氏名
- 生年月日
- 処方箋データ
- 社会保障番号
- 健康保険情報
- 医療機関情報
- 治療および臨床情報
- 医療記録および口座番号
- メールアドレス、ユーザー名、パスワード
Serviceaideは、有効な郵送先住所が判明している影響を受けた個人に通知書を送付しています。
専門家の見解
Keeper SecurityのCEOであるDarren Guccione氏は、今回の漏洩のより広範な影響についてコメントしました。
「今回のインシデントで漏洩した医療データと個人データの膨大な量は、業界全体にわたるより大きな問題を示唆しています。このような侵害は、特に規制の進化や、データが将来どのように使用されるかを追跡することが困難な状況下では、完全な評価に何年もかかることがよくあります」とGuccione氏は述べています。
彼は、不正行為の兆候がすぐに現れない可能性もあるものの、漏洩した情報は漏洩後も長期間再利用される可能性があるため、被害者は今すぐに保護措置を講じることが不可欠であると指摘しました。
患者のための次のステップ
Serviceaideは、影響を受けた患者に対し、信用報告書の監視、医療アカウントに紐付けられたパスワードの変更、そして信用情報の凍結を検討することを推奨しています。無料の信用報告書は、AnnualCreditReport.com または 1-877-322-8228 に電話でアクセスできます。
詳細は各社のウェブサイト(https://www.serviceaide.com/notices)をご覧ください。
Serviceaideは、漏洩したデータベースのセキュリティを確保するための措置を講じており、将来のインシデント発生リスクを軽減するために新たなセキュリティプロトコルを追加したと述べています。また、保健福祉省を含む連邦規制当局とも連携しており、保健福祉省は公民権局の侵害ポータルでこの侵害を公開しています。
このインシデントは、医療IT全体において、大量の機密データを取り扱いながらサードパーティシステムのセキュリティを厳重に維持するという継続的な課題が依然として存在することを示しています。医療提供者とベンダーはオンライン インフラストラクチャのセキュリティ保護に取り組んでいますが、構成上のミスが 1 つあるだけで、患者が長期的なリスクにさらされる可能性があります。