9つの事例に見る米国医療サイバー攻撃の高度化と制裁厳格化、HIPAA規則も改正へ：海外医療技術トレンド（124）（2/3 ページ）

[笹原英司，MONOist]

ランサムウェアに起因する医療データ侵害が小規模医療施設へと拡大

　ここからは、HHS傘下の公民権室（OCR）が第2次トランプ政権下で公表した民事制裁金の支払いに至るデータ侵害インシデント事案を紹介していく。最初に、医療機関など、医療データを1次利用するHIPAA適用対象主体（CE）で発生したケースを取り上げる。

【事例1：不正アクセスに起因する医療機器業者の顧客データ漏えい】

• OCR発表日：2025年2月20日（関連情報）
• 通知者：ワービーパーカー・インク（ニューヨーク州の眼鏡製造・販売業者、適用対象主体（CE））
• 侵害報告日：2018年12月20日
• 侵害の原因：外部からの不正アクセス
• 影響を受けた情報： 顧客197,986人分の電子保護対象保健情報（ePHI）
• 民事制裁金（総額）：150万米ドル
• 侵害の概要：2018年12月20日、OCRは、ワービーパーカーより第三者による顧客アカウントへの不正アクセスに関する報告を受けて、調査を開始した。調査結果によると、2018年11月26日に同社のWebサイトで異常なログイン試行活動が確認された。そして、2018年9月25日〜2018年11月30日に、第三者が他の無関係なWebサイトから取得したユーザー名とパスワードを使用してクレデンシャルスタッフィング攻撃を行い、ワービーパーカーの顧客アカウントにアクセスしていた。その後2020年9月、ワービーパーカーは追加報告書を提出し、違反によって19万7986人が影響を受けたとしている。侵害されたePHIには、顧客の名前、郵送先住所、電子メールアドレス、特定の支払いカード情報および眼鏡の処方情報が含まれていた。同社は2020年4月および2022年6月にも、同様の攻撃を受けた後に、500人未満の個人に影響を与える違反報告書を提出している。これに対して、OCRは以下のような違反事項を指摘している
  • （1）ワービーパーカーのシステムにおけるePHIに対する潜在的なリスクと脆弱性を特定するための、正確かつ徹底したリスク分析を実施していなかったこと
  • （2）ePHIに対するリスクと脆弱性を合理的かつ適切なレベルまで軽減するためのセキュリティ対策を講じていなかったこと
  • （3）情報システムの活動記録を定期的に確認する手続きを実施していなかったこと

【事例2：ランサムウェア感染後に内部不正が発覚した公立医療施設のデータ侵害】

• OCR発表日：2025年4月17日（関連情報）
• 通知者：グアム記念病院局（GMHA）（グアム準州の公立医療施設／適用対象主体（CE））
• 侵害報告日：（1）2019年1月7日、（2）2023年3月17日
• 侵害の原因：ランサムウェア感染、内部関係者の不正アクセス
• 影響を受けた情報の種類：患者5000人分のePHI
• 民事制裁金（総額）：2万5000米ドル
• 侵害の概要：2019年1月7日、OCRは、GMHAが2018年12月にランサムウェア攻撃を受け、約5000人の個人のePHIが影響を受けたという苦情を受けて、調査を開始した。さらに調査中の2023年3月17日には、患者の記録がハッカーによってアクセスされたという別の苦情が寄せられた。OCRの調査により、2023年3月に、既に退職していた元従業員2人がGMHAのネットワークシステムにアクセスしていたことが判明した。また、GMHAが保持するePHIに対して、潜在的なリスクと脆弱性を正確かつ徹底的に分析するためのリスク評価を実施していなかったことが判明している

【事例3：ランサムウェア感染に起因する神経科クリニックのデータ侵害】

• OCR発表日：2025年4月25日（関連情報）
• 通知者：コンプリヘンシブ・ニューロジー・プラクティス（ニューヨーク州の神経科診療施設／適用対象主体（CE））
• 侵害報告日：2020年12月17日
• 侵害の原因：ランサムウェア感染
• 影響を受けた情報の種類：患者約6800人分のePHI
• 民事制裁金（総額）：2万5000米ドル
• 侵害の概要：2020年12月17日、OCRはコンプリヘンシブより、同院のePHIを含むITネットワークが2020年12月14日にランサムウェアによって暗号化され、アクセス不能になったという報告を受けた。コンプリヘンシブは、6800人の個人が影響を受けた可能性があると判断したという。侵害を受けたePHIには、患者の氏名、臨床情報、健康保険情報、人口統計情報、社会保障番号、運転免許証および州ID番号が含まれていた。OCRの調査の結果、コンプリヘンシブが、同院が保持するePHIの機密性、完全性、可用性に対する潜在的なリスクと脆弱性を正確かつ徹底的に分析するリスク評価を実施していなかったことが判明している

【事例4：特別調査で発覚したPACSへの不正アクセス】

• OCR発表日：2025年5月15日（関連情報）
• 通知者：ビジョンアップライトMRI（カリフォルニア州の小規模MRI医療施設／適用対象主体（CE））
• OCR調査開始日：2020年12月1日
• 侵害の原因：外部からの不正アクセス
• 影響を受けた情報の種類：患者2万1778人分の医用画像
• 民事制裁金（総額）：5000米ドル
• 侵害の概要：OCRは、2020年12月1日、リスク分析執行強化イニシアチブの一環として、ビジョンアップライトMRIに対する調査を開始した。OCRは、ビジョンアップライトMRIが電子的保護対象保健情報（ePHI）を保存している医用画像保存通信システム（PACS）サーバにおいて、不正な第三者による許可されていないアクセスに起因する情報漏えいが発生したことを確認し、コンプライアンスレビューを開始した。レビューの結果、ビジョンアップライトMRIはHIPAAに基づくリスク分析を一度も実施したことがなく、漏えいを発見してから60日以内に、2万1778人の被害者に対して、適切なタイミングで通知を行わなかったことが判明している

【事例5：内部からの不正アクセスに起因する医療施設のデータ侵害】

• OCR発表日：2025年5月28日（関連情報）
• 通知者：ベイケアヘルスシステム（フロリダ州の医療施設／適用対象主体（CE））
• 侵害報告日：2018年10月23日（患者からの苦情受付）
• 侵害の原因：内部関係者の不正アクセス
• 影響を受けた情報の種類：患者の医療記録
• 民事制裁金（総額）：80万米ドル
• 侵害の概要：OCRは、ある患者がベイケアの施設で治療を受けた後、2018年10月8日に見知らぬ人物から連絡を受け、その人物が患者の印刷された医療記録の写真を持っていた他、誰かがコンピュータ画面で患者の医療記録をスクロールしている動画も持っていたという苦情を2018年10月23日に受理して調査を開始した。調査の結果、患者の医療記録へのアクセスに使用された資格情報は、ベイケアの電子医療記録システムにアクセスできた医師のいる診療所の非臨床スタッフだった元職員のものであったことが判明した。このアクセスは、共通の患者のケアの継続のために許可されていた。この結果を受けてOCRは、ベイケアが複数のHIPAAセキュリティ規則の要件に違反した可能性があることが判明し、同院のセキュリティ管理体制に重大な問題があることが示唆されたとしている

【事例6：ランサムウェア感染に起因する専門医療施設のデータ侵害】

• OCR発表日：2025年7月23日（関連情報）
• 通知者：シラキュースASC（ニューヨーク州の外科手術専門医療施設／適用対象主体（CE））
• 侵害報告日：2021年10月14日
• 侵害の原因：ランサムウェア感染
• 影響を受けた情報の種類：2万4891人分のePHI
• 民事制裁金（総額）：25万米ドル
• 侵害の概要：OCRは、2021年10月14日、シラキュースASCより、2021年3月14〜30日にネットワークへの不正アクセスを受けたという報告を受けて調査を開始した。その後の調査により、シラキュースASCが、医療業界を標的とすることで知られるクロスプラットフォーム型のPYSAランサムウェア（Mespinoza）による攻撃を受けていたことが判明した。OCRは、シラキュースASCが保有するePHIのリスクと脆弱性を把握するための正確かつ徹底的なリスク分析を実施していなかったことを確認した。また、影響を受けた2万4891人の個人およびHHSへの通知も適正に行っていなかったことが判明している

　これら事例1〜6に共通する特徴として、リスク分析が不十分または未実施である点が挙げられる。HIPAAセキュリティ規則では、適用対象主体の事業所規模に関係なく、ePHIの機密性／完全性／可用性に対する潜在的な脅威や脆弱性を特定／評価するリスク分析を、定期的に実施するよう求めている。特にOCRは、事例4で挙げたように、リスク分析執行強化イニシアチブに基づく特別調査を実施しており、中小医療機関が摘発されるケースが増えている。

【事例7：患者の承諾なしの個人情報公開】

• OCR発表日：2025年9月30日（関連情報）
• 通知者：カディア・ヘルスケア・ファシリティーズ（デラウェア州の医療施設チェーン／適用対象主体（CE））
• 侵害報告日：2021年9月20日（患者からの苦情受付）
• 侵害の原因：患者の承諾なしの情報開示
• 影響を受けた情報の種類：150人分のePHI
• 民事制裁金（総額）：18万2000米ドル
• 侵害の概要：OCRは、2021年9月20日に、カディアが患者の氏名、写真、病状／治療／回復に関する情報を「成功事例」として同院のWebサイトに掲載し、不適切に開示したとの苦情を受けて調査を開始した。その後、OCRの調査により、カディアが患者の保護対象保健情報（PHI）を、患者から有効な書面による承諾を得ることなく、公開Webサイトに掲載していたことが確認された。さらにOCRは、カディアが「成功事例」プログラムを通じて、合計150人の患者のPHIをWebサイトに掲載し、いずれも有効な書面による承諾を得ていなかったことを明らかにした。そして、カディアがPHIを不適切に開示し、PHIのプライバシーを保護するための適切な管理的／技術的／物理的な安全対策を講じておらず、影響を受けた個人に対して漏えい通知を提供しなかったと判断した

　 このような医療機関の不適切なデジタルマーケティングに起因するインシデント事例は、日本でも十分起こり得るので注意が必要だ。