2024年2月6日頃、Hypertension-Nephrology Associates, P.C.(以下、当該医療機関)は、コンピューターシステム上に脅迫ノートが見つかったことから、自身が恐喝攻撃の対象になっていることを認識した。この攻撃では、サイバー犯罪者が被害者の機密情報、例えば保護された健康情報(PHI)に不正アクセスし、身代金が支払われない限りPHIを公開すると脅迫する。調査の結果、サイバー犯罪者は2024年1月20日から2月6日の間に当該医療機関のシステムにアクセスし、PHIを含むデータを外部に持ち出したことが判明した。影響を受ける可能性のあるPHIの範囲を特定するための包括的なレビューが行われ、2024年3月15日に結論が出されたが、アクセスされ持ち出されたデータの範囲と全容を特定することはできなかったため、全てのPHIを潜在的に危険にさらされたものとして扱っている。
潜在的に危険にさらされたPHIには、名前、生年月日、診断および治療情報、社会保障番号、健康保険識別番号が含まれる可能性がある。現時点で、PHIが不正利用されたという報告はない。当該医療機関は、情報の保護を真剣に受け止め、サイバーセキュリティ専門家や外部HIPAAカウンセルを雇用し、情報を保護するための追加のセキュリティ対策を実施している(そして今後も実施を続ける予定である)。
当該医療機関は、影響を受ける可能性のある全個人に通知書を郵送する過程にあり、個人の質問に答えるためのコールセンターを提供している。また、適切な規制当局に通知を行い、影響を受けた全個人に無料のクレジットモニタリングを提供している。このインシデントに関する質問がある個人は、東部標準時の午前9時から午後9時まで利用可能な1-888-973-9859に電話して情報を得ることができる。
【ニュース解説】
2024年2月6日頃、Hypertension-Nephrology Associates, P.C.(以下、当該医療機関)は、自身が恐喝攻撃の対象になっていることを認識しました。この攻撃では、サイバー犯罪者が不正に患者の保護された健康情報(PHI)にアクセスし、身代金を要求するというものです。攻撃者は、2024年1月20日から2月6日の間に当該医療機関のシステムに侵入し、PHIを含むデータを外部に持ち出しました。この事態を受け、当該医療機関はサイバーセキュリティ専門家を雇用し、外部HIPAAカウンセルと共に調査を行い、セキュリティ対策を強化しています。
このようなデータ侵害事件は、患者の個人情報が不正利用されるリスクを高めるだけでなく、医療機関の信頼性にも大きな打撃を与えます。患者情報の漏洩は、身元詐称や医療保険詐欺などの犯罪に利用される可能性があります。そのため、当該医療機関は影響を受ける可能性のある全個人に通知し、無料のクレジットモニタリングを提供することで、被害の拡大を防ぐ措置を講じています。
この事件は、医療機関が直面するサイバーセキュリティの課題を浮き彫りにします。医療情報は、その性質上非常に個人的かつ敏感であるため、サイバー犯罪者にとって魅力的なターゲットとなります。このため、医療機関は、データ保護のための厳格なセキュリティ対策を講じるとともに、従業員への教育を強化し、不正アクセスやデータ侵害のリスクを最小限に抑える必要があります。
また、この事件は規制当局による監視の重要性を示しています。HIPAA(健康保険の携行性と責任に関する法律)などの規制は、患者情報の保護を強化するために設けられていますが、このような侵害が発生した場合、迅速な対応と透明性のある情報提供が求められます。将来的には、より高度なセキュリティ技術の導入や、サイバーセキュリティ対策の国際的な標準化が進むことで、このような攻撃のリスクをさらに低減できることが期待されます。
最後に、この事件は個人にとっても、自身の個人情報を守るためにできること、例えば定期的なパスワードの変更や、個人情報の不要な共有を避けるなどのセキュリティ意識の向上の重要性を再認識させます。医療機関と個人が協力し、情報セキュリティに対する意識を高めることが、このようなリスクを減らす鍵となります。
from Notice of a Data Breach.