9つの事例に見る米国医療サイバー攻撃の高度化と制裁厳格化、HIPAA規則も改正へ海外医療技術トレンド(124)(3/3 ページ)

» 2025年10月10日 06時00分 公開
[笹原英司MONOist]
前のページへ 1|2|3       

ランサムウェア攻撃の標的になった外部委託先に対する制裁金

 ここからは、HIPAA上、適用対象主体(CE)からさまざまな業務を受託する事業提携者(BA)で発覚したデータ侵害インシデントの事例を紹介する。

【事例8:ランサムウェア感染に起因する救急医療サービス企業のデータ侵害】

  • OCR発表日:2025年5月30日(関連情報
  • 通知者:コムスター(マサチューセッツ州の救急医療サービス企業/事業提携者(BA))
  • 侵害報告日:2022年5月26日
  • 侵害の原因:ランサムウェア感染
  • 影響を受けた情報の種類:適用対象医療施設の58万5621人分のePHI
  • 民事制裁金(総額):7万5000米ドル
  • 侵害の概要:OCRは、2022年5月26日、コムスターより、2022年3月19日に未知の人物がコムスターのネットワークサーバへの不正アクセスを行ったことが判明したという侵害通知を受けて調査を開始した。コムスターによると、この侵入を2022年3月26日まで検知できなかったという。その結果、ランサムウェアが悪用され、同社のネットワークサーバと58万5621人分のePHIが影響を受けた。データ侵害が発覚した時点で、コムスターは、70以上のHIPAA適用対象医療施設の事業提携者(BA)となっていた。影響を受けたePHIは臨床関連情報であり、医療評価や薬物投与に関する情報などが含まれていたという。さらに、OCRの調査結果より、コムスターが保持するePHIに対する潜在的なリスクや脆弱性を特定するための正確で徹底的なリスク分析を行っていなかったことが判明した

【事例9:ランサムウェア感染に起因する医療会計サービス企業のデータ侵害】

  • OCR発表日:2025年8月18日(関連情報
  • 通知者: BST(ニューヨーク州の会計法人/事業提携者(BA))
  • 侵害報告日:2020年2月16日
  • 侵害の原因:ランサムウェア感染
  • 影響を受けた情報の種類:適用対象医療施設の財務情報、ePHI
  • 民事制裁金(総額):17万5000米ドル
  • 侵害の概要:BSTは、2019年12月7日に自社ネットワークの一部がランサムウェアに感染していることを発見し、その結果、HIPAA適用対象主体であるコミュニティーケアフィジシャン(CCP)のPHIに影響が及んだことを、2020年2月16日、OCRに報告した。OCRの調査により、BSTが保有するePHIの機密性、完全性、可用性に対する潜在的なリスクや脆弱性を特定するための、正確かつ徹底的なリスク分析を実施していなかったことが判明した

 事業提携者(BA)に対するプライバシー/セキュリティ要件は、2013年9月23日に施行されたHIPAA/HITECH総括規則に規定されている。前述の適用対象主体(CE)と同様に、事例8〜9を見ると、事前のリスク分析が不十分または未実施である点が指摘されている。また、科せられた民事制裁金も7万5000米ドルおよび17万5000米ドルと、医療機関と同等レベルになっている。

注目される改正HIPAAセキュリティ規則最終版の公開

 本連載第115回の中で触れた「電子保護対象保健情報のセキュリティ強化のためのHIPAAセキュリティ規則制定案告示(NPRM)」(関連情報)は、第2次トランプ政権下の2025年3月7日にパブリックコメント募集を締め切り、現在、最終規則化に向けた作業が行われている。

 これに先立ち、国立標準技術研究所(NIST)は2024年2月14日、現行のHIPAAセキュリティ規則(関連情報)と、「NIST Cybersecurity Framework (CSF) 2.0」(関連情報、PDF)および「NIST SP 800-53 Rev. 5 組織と情報システムのためのセキュリティおよびプライバシー管理策」(関連情報)をマッピングした「NIST SP 800-66 Rev. 2 HIPAAセキュリティ規則の実装:サイバーセキュリティリソースガイド」(関連情報)を公開している。新たな改正HIPAAセキュリティ規則が制定されれば、それに合わせてNIST側の改正作業も進行することになる。

筆者プロフィール

笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook:https://www.facebook.com/esasahara


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

特別協賛PR