「医療機関で200万人超の個人情報漏えい」の衝撃：医療機関を狙うサイバー攻撃の実態【第2回】

米国では医療機関を狙うサイバー攻撃が相次いで発生している。どれくらいの規模の被害が、どの程度起きたのか。米保健社会福祉省のデータを基に紹介する。

[Peyton Doyle，TechTarget]

　米保健社会福祉省（HHS）はWebサイトで、「現在調査中で500人以上の被害者を伴う米国医療機関のセキュリティ侵害」に関する過去24カ月分の情報を公開している。同サイトでは、報告を義務付ける米司法省公民権局（OCR：Office for Civil Rights）が策定した規則と、以下の報告プロセスを明示している。

• 医療機関や、HIPAA（米国医療保険の相互運用性と説明責任に関する法令）の対象となる事業者は、セキュリティ侵害の影響を受けた個人に対して速やかに状況を通知する
• 被害者が500人以上に及ぶ場合には、HHSの長官とマスメディアにも報告する
• 被害者が500人以下のセキュリティ侵害については、年次でHHS長官に報告する

200万人超の個人情報漏えいも　医療機関を狙った攻撃の実態

併せて読みたいお薦め記事

連載：医療機関を狙うサイバー攻撃の実態

• 第1回：医療機関の個人情報が「ランサムウェア」で大量漏えい　その驚きの規模とは？

「ランサムウェア攻撃」関連の注目トピック

• 「ランサムウェア被害者は身代金を払って」と弁護士が推奨？　その“謎”の理由
• もしもランサムウェアに感染したら――正しく復旧するポイントは？
• ランサムウェアの身代金支払い「違法化」が難しい“厄介な理由”

　HHSがWebサイトで公開したセキュリティ侵害のリストには、さまざまなインシデントが含まれている。被害者数500人以上という要件を辛うじて満たしていた局地的なインシデントから、何百万人もの個人情報が漏えいし、州をまたぐ規模の影響が生じたインシデントまで、多岐にわたる。

　2022年4月、医療機関Yuma Regional Medical Center（YRMC）がサイバー攻撃で70万人以上の個人情報が漏えいしたことが判明した。これは2022年4月に判明したインシデントの中では特に大規模なものだ。だが2022年5月にはそれを上回る規模のインシデントが明るみに出た。

　医療機関Partnership HealthPlan of Californiaが2022年5月18日（現地時間、以下同じ）に公表したセキュリティ侵害の被害者は85万4913人に上る。医療機関Shields Health Care Groupにおけるセキュリティ侵害の被害者は200万人、被害範囲は50施設以上に及ぶ。Shields Health Care Groupは、このセキュリティ侵害で氏名、社会保障番号、生年月日、医療記録、住所、保険情報などの個人情報が漏えいした可能性があると判断して、2022年5月25日に連携医療機関に通知した。

---

　第3回は、調査データを基に医療機関を狙うランサムウェア攻撃について考察する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。