Cooper Health System、5万7千人の患者データ侵害を発表 – 2024年5月の攻撃から10か月後に判明

2025年5月29日7:54

サイバーセキュリティニュース, ヘルスケアテクノロジーニュース

Cooper Health System、5万7千人の患者データ侵害を発表 - 2024年5月の攻撃から10か月後に判明 - innovaTopia - （イノベトピア）

Last Updated on 2025-05-29 07:54 by admin

ニュージャージー州カムデンに拠点を置くCooper Health Systemは2025年3月26日、2024年5月14日頃に発生したデータセキュリティ侵害を発表した。

同社は3つの病院を運営する南ニュージャージー州の医療システムである。侵害された可能性のある情報は患者の氏名、生年月日、社会保障番号、健康保険情報、治療情報、医療記録番号、医療履歴情報である。

同社は事件をFBIに報告し、サイバーセキュリティ専門家を起用して調査を実施した。患者向けコールセンターは1-877-623-0094で月曜から金曜の午前9時から午後9時まで対応している。

2025年4月にはBlue Shield of Californiaが470万人にデータ侵害を通知し、2023年にはMonumentとTempestが数年間ユーザー情報を第三者広告主と共有していた。医療機器会社Insuletは2万9千人のOmnipod DASHユーザー情報侵害を報告した。2025年3月の医療データ侵害件数は58件で2023年3月の98件から46%減少している。

From: Cooper Health System reports data security breach

【編集部解説】

今回のCooper Health Systemのデータ侵害事件は、現代の医療機関が直面するサイバーセキュリティの深刻な課題を浮き彫りにしています。特に注目すべきは、侵害発生から発覚まで約10か月という長期間を要した点です。

Cooper Health Systemは3つの病院と130以上の外来クリニックを運営する南ニュージャージー州の主要医療機関であり、地域医療への影響は決して軽視できません。今回の事件で影響を受けた患者数は明示されていませんが、同規模の医療機関における過去の事例を考慮すると、数万人規模の可能性があります。

この事件で特筆すべきは、医療機関のデータセキュリティ対応プロセスの複雑さです。Cooper側は異常なネットワーク活動を検知した直後にシステム保護措置を講じ、サイバーセキュリティ専門家を起用して徹底的な調査を実施しました。しかし、影響範囲の特定と患者への通知まで約10か月を要したことは、医療データの複雑性と調査の困難さを物語っています。

医療データ侵害の深刻さは、漏洩した情報の性質にあります。氏名、生年月日、社会保障番号といった基本的な個人識別情報に加え、健康保険情報、治療履歴、医療記録番号など、極めてセンシティブな医療情報が含まれていました。これらの情報は金融詐欺や医療詐欺、さらには保険詐欺にまで悪用される可能性があり、患者にとって長期的なリスクとなります。

業界全体の動向を見ると、2025年3月の医療データ侵害件数は58件と前年同月比46%減少しており、一見改善傾向にあるように見えます。しかし、Blue Shield of Californiaの470万人規模の侵害事例が示すように、一件あたりの影響規模は依然として深刻です。

特に懸念されるのは、医療機関のデジタル化推進に伴うセキュリティリスクの拡大です。電子医療記録システムの普及、テレヘルス技術の導入、IoT医療機器の増加により、攻撃対象となる領域が急速に拡大しています。Cooper事件は、こうした技術革新の恩恵を享受する一方で、セキュリティ投資の重要性を改めて示しています。

規制面では、HIPAA（医療保険の相互運用性と説明責任に関する法律）違反の可能性があり、Cooper Health SystemはFBIへの報告義務を果たしています。今後、規制当局による調査と制裁措置が予想され、医療機関のセキュリティ基準強化につながる可能性があります。

長期的な視点では、この事件は医療業界のサイバーセキュリティ投資加速の契機となるでしょう。ゼロトラスト・セキュリティモデルの導入、AI を活用した異常検知システム、暗号化技術の高度化など、次世代セキュリティ技術への需要が高まることが予想されます。

【用語解説】

HIPAA（医療保険の相互運用性と説明責任に関する法律）
1996年に制定されたアメリカの連邦法で、医療機関や保険会社などが患者の個人情報を保護するための規則を定めている。違反した場合、数百万ドルの罰金が科せられる可能性がある。

保護された医療情報（PHI：Protected Health Information）
HIPAAで定義される、個人を特定できる医療情報のこと。氏名、生年月日、社会保障番号、診療記録、保険情報などが含まれる。

ゼロトラスト・セキュリティモデル
「何も信頼しない」という前提に基づくセキュリティアプローチ。すべてのユーザーとデバイスを検証し、最小限のアクセス権限のみを付与する。

ピクセル追跡技術
ウェブサイトに埋め込まれる1×1ピクセルの透明な画像で、ユーザーの行動を追跡し、第三者の広告プラットフォームにデータを送信する技術。

【参考リンク】

Cooper University Health Care（外部）
南ニュージャージー州最大の学術医療システムで、3つの病院と130以上の外来クリニックを運営

Blue Shield of California（外部）
1939年設立のカリフォルニア州の非営利健康保険組織。450万人の会員を持つ

Insulet Corporation（外部）
マサチューセッツ州に本社を置く医療機器会社。Omnipodインスリン管理システムを開発

The HIPAA Journal（外部）
医療業界のプライバシーとセキュリティに関する専門情報を提供するメディア

【参考動画】

【編集部後記】

今回のCooper Health Systemの事例を見て、皆さんはご自身の医療データがどのように管理されているか考えたことはありますか？医療機関のデジタル化が進む中、私たちの健康情報はますます多くのシステムに蓄積されています。かかりつけの病院やクリニックのセキュリティ対策について質問してみる、電子カルテシステムの仕組みを調べてみる、といった小さな行動から始めてみませんか？また、医療分野でのAI活用やテレヘルス技術の発展と、それに伴うセキュリティリスクについて、皆さんはどのようにお考えでしょうか？ぜひSNSで議論を深めていただければと思います。