50万人以上の医療情報が、大手病院請負業者を巻き込んだ2件の別々の情報漏洩で漏洩しました。
テクノロジープロバイダーのServiceaideと債権回収大手のNationwide Recovery Services(NRS)と提携している病院は、先週、社会保障番号、財務情報、機密性の高い健康保険データを含む情報漏洩が発生したと発表しました。
Serviceaideは、2024年秋に発生したサイバーセキュリティインシデントによる情報盗難で48万3126人が被害を受けたと、保健福祉省の連邦規制当局に報告しました。
調査の結果、ハッカーが9月19日から11月5日にかけて、米国最大の非営利医療機関の一つであるCatholic HealthのためにServiceaideが構築したデータベースにアクセスしていたことが明らかになりました。
ハッカーが社内にいた間に情報がコピーされたという証拠は見つからなかったものの、Serviceaideは「この種の活動の可能性を排除できない」と述べています。
このインシデントでは、社会保障番号、生年月日、医療記録番号、健康情報、処方箋データ、臨床情報などが盗まれた可能性があります。
「このインシデントを把握した当社は、カトリック・ヘルスのElasticsearchデータベースを確保し、調査を実施し、影響を受けた可能性のあるデータを精査し、可能な限り迅速に個人を特定しました」と同社は警告し、被害者への侵害通知書の郵送を開始したと述べています。
Serviceaideのインシデントは、複数の病院が医療費の回収を委託されているNationwide Recovery Services社を巻き込んだ個別の侵害を報告したことで発覚しました。
1か月以上にわたり、各機関は、同社の侵害により機密情報が漏洩した可能性があるとして、現在の患者や元患者、顧客に対し警告を発しています。
ジョージア州のハルビン・クリニックは、ネイションワイド・リカバリー・サービス(NRS)が警告を発しなかったとして、この侵害について21万140人に通知済みと発表しました。
ハルビン・クリニックは通知の中で、「NRSは2024年7月に情報技術システムに関連する不審な活動を発見し、その結果ネットワークが停止したと理解しています」と述べています。
NRSは、調査の結果、2024年7月5日から11日の間にNRSネットワークへの不正アクセスがあり、その期間中��に何者かがNRSのシステムから特定のファイルとフォルダを不正にコピーしたことが判明したと発表しました。
ハッカーに漏洩した情報には、金融口座情報、医療情報、社会保障番号などが含まれています。
ハルビンクリニックは、患者の滞納金の回収サービスに加え、破産、訴訟、患者の財産問題に関するサービスにNRSを利用していると述べています。クリニックは、「請求口座が回収業者に送られたり、その他の法的手続きに巻き込まれた患者または保証人が、今回の事件の影響を受ける可能性がある」と述べています。
NRSは2月にハルビンクリニックにこのインシデントについて警告していましたが、誰が影響を受けたのかは具体的には明らかにしていませんでした。3月までに、NRSは影響を受けたハルビンの患者のリストを提供しました。
NRSとその親会社であるAccscientは、コメント要請に応じませんでした。これらの企業は、医療機関、銀行、政府機関に債権回収サービスを提供しています。今回の攻撃の責任を主張するサイバー犯罪グループは存在しません。
また、複数の組織も最近、NRSインシデントに関する通知を投稿しており、その中には、88,000人以上の情報が盗まれたと述べているテキサス州のErlanger、テネシー州チャタヌーガ市政府、Hamilton Health Care System やHamilton Health Care Systemなどの医療システムも含まれています。