テクノロジーサービスプロバイダーのServiceaideは、昨年、データベースの設定ミスが原因で発生したデータセキュリティインシデントにより、カトリック・ヘルスに所属する48万人以上の患者の個人情報が漏洩したと発表しました。
カリフォルニア州サンノゼに本社を置くServiceaideは、カトリック・ヘルスを含む顧客にデジタルサービスと情報技術サポート管理を提供しています。
Serviceaideは、ウェブサイトに掲載されたデータセキュリティインシデントに関する通知の中で、11月15日にカトリック・ヘルスのElasticsearchデータベースから機密情報が意図せず公開されていたことを発見したと述べています。
Serviceaideは、外部のサイバーセキュリティ専門家の支援を得て、インシデントの性質と範囲を特定するための調査を直ちに開始しました。また、漏洩したデータベースのセキュリティを迅速に確保するための措置も講じました。
Serviceaideは、「調査の結果、2024年9月19日から2024年11月5日の間に、特定の患者情報が公開されていたことが判明しました。調査では、情報がコピーされたという証拠は確認されませんでしたが、この種の活動があった可能性を否定することはできません」と述べています。
侵害されたデータには、氏名、社会保障番号、生年月日、医療記録番号、患者アカウント番号、医療情報、健康保険情報、処方箋および治療情報、臨床情報、医療提供者名、医療提供者の所在地、メールアドレス/ユーザー名、パスワードが含まれていました。
このインシデントは米国保健福祉省公民権局に報告され、Serviceaideは、このインシデントの影響を受けた個人が少なくとも483,126人特定されたと発表しました(https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf)。
Serviceaideは、漏洩した情報が悪用された証拠は発見されなかったものの、影響を受けたすべての個人に対し、信用報告書、口座情報、給付金明細を定期的に確認し、疑わしい行為があれば警察や州司法長官を含む法執行機関に報告するよう勧告しました。
また、影響を受けたすべての個人に対し、1年間の無料の身元保護および信用情報監視サービスを提供しました。