9つの事例に見る米国医療サイバー攻撃の高度化と制裁厳格化、HIPAA規則も改正へ：海外医療技術トレンド（124）（1/3 ページ）

本連載第115回の中でHIPAAセキュリティ規則改正案を取り上げたが、第2次トランプ政権スタート後も、医療データ侵害インシデントに対する制裁は続いている。

[笹原英司，MONOist]

　本連載第115回の中でHIPAA（医療保険の携行性と責任に関する法律）セキュリティ規則改正案を取り上げたが、第2次トランプ政権スタート後も、医療データ侵害インシデントに対する制裁は続いている。

⇒連載「海外医療技術トレンド」バックナンバー

米国の公的医療保険者がデータ侵害インシデントを公表

　2025年6月30日、米国保健福祉省（HHS）および傘下のメディケア・メディケイド・サービスセンター（CMS）は、Medicare.govアカウントに関するデータインシデントにより、個人情報が影響を受けた可能性のあるメディケア受給者に対して通知を行っていることを公表した（図1参照、関連情報）。

図1　メディケア・メディケイド・サービスセンター（CMS）のデータ侵害通知（2025年6月30日）［クリックで拡大］ 出所：Centers for Medicare & Medicaid Services(CMS)「CMS Notifies Individuals Potentially Impacted by Data Incident」（2025年6月30日）

　CMSは、保護対象保健情報（PHI）を取扱う医療保険者であり、HIPAAの適用対象主体（CE）である。

　CMSによると、未知の外部リソースから取得された個人情報を利用して、一部の受給者のオンラインアカウントが不正に作成されたと疑わしき活動を確認したという。2025年5月2日、メディケアのコールセンターで、Medicare.govアカウントが自分の意思とは関係なく作成されたことを確認する通知を受け取ったという受給者からの問い合わせを受け始めた。CMSは直ちに調査を開始し、悪意のある第三者が2023〜2025年に、メディケア受給者識別番号（MBI）、補償開始日、姓、生年月日、郵便番号など、正規の受給者情報を使用して不正に新しいアカウントを作成していたことが判明した。このように不正に作成されたアカウントを通じて、攻撃者は以下のような追加の受給者データにアクセスした可能性があるという。

• 医療提供者情報
• 郵送先住所
• サービス提供日
• 診断コード
• 受けたサービスの内容
• 保険プランの保険料の詳細

　今回のインシデントにより、約10万3000人の受給者が影響を受けた可能性があるとしている。CMSは、影響を受けた個人に通知書を郵送し、本件の内容、情報保護のために講じられている措置および受給者自身が取ることができる対応策について説明している。対応措置としては、以下のような策を講じたとしている。

• CMSは、不正に作成された全てのMedicare.govアカウントを即時に無効化した
• 海外のIPアドレスからの新規Medicare.govアカウント作成機能を無効化し、さらなる悪用を防いでいる
• CMSは引き続き保険請求データを監視し、疑わしい活動を検出するとともに、影響を受けた受給者のMBIを順次再発行している
• 必要に応じて、受給者には新しいMBIが記載されたメディケアカードが郵送されている

　また、受給者に対しては、メディケア支払明細通知書および給付説明書を確認し、身に覚えのない請求やサービスがないか注意深く点検するよう呼びかけている。

　本連載第122回で触れたように、CMSは、デジタルヘルスエコシステムを活用した公的医療保険改革を推進しているが、同時にHIPAA順守が要求される適用対象主体でもある。過去には、政府機関が制裁を受けたケースもあり、今後の対応が注目される。