9つの事例に見る米国医療サイバー攻撃の高度化と制裁厳格化、HIPAA規則も改正へ:海外医療技術トレンド(124)(3/3 ページ)
本連載第115回の中でHIPAAセキュリティ規則改正案を取り上げたが、第2次トランプ政権スタート後も、医療データ侵害インシデントに対する制裁は続いている。
ランサムウェア攻撃の標的になった外部委託先に対する制裁金
ここからは、HIPAA上、適用対象主体(CE)からさまざまな業務を受託する事業提携者(BA)で発覚したデータ侵害インシデントの事例を紹介する。
【事例8:ランサムウェア感染に起因する救急医療サービス企業のデータ侵害】
- OCR発表日:2025年5月30日(関連情報)
- 通知者:コムスター(マサチューセッツ州の救急医療サービス企業/事業提携者(BA))
- 侵害報告日:2022年5月26日
- 侵害の原因:ランサムウェア感染
- 影響を受けた情報の種類:適用対象医療施設の58万5621人分のePHI
- 民事制裁金(総額):7万5000米ドル
- 侵害の概要:OCRは、2022年5月26日、コムスターより、2022年3月19日に未知の人物がコムスターのネットワークサーバへの不正アクセスを行ったことが判明したという侵害通知を受けて調査を開始した。コムスターによると、この侵入を2022年3月26日まで検知できなかったという。その結果、ランサムウェアが悪用され、同社のネットワークサーバと58万5621人分のePHIが影響を受けた。データ侵害が発覚した時点で、コムスターは、70以上のHIPAA適用対象医療施設の事業提携者(BA)となっていた。影響を受けたePHIは臨床関連情報であり、医療評価や薬物投与に関する情報などが含まれていたという。さらに、OCRの調査結果より、コムスターが保持するePHIに対する潜在的なリスクや脆弱性を特定するための正確で徹底的なリスク分析を行っていなかったことが判明した
【事例9:ランサムウェア感染に起因する医療会計サービス企業のデータ侵害】
- OCR発表日:2025年8月18日(関連情報)
- 通知者: BST(ニューヨーク州の会計法人/事業提携者(BA))
- 侵害報告日:2020年2月16日
- 侵害の原因:ランサムウェア感染
- 影響を受けた情報の種類:適用対象医療施設の財務情報、ePHI
- 民事制裁金(総額):17万5000米ドル
- 侵害の概要:BSTは、2019年12月7日に自社ネットワークの一部がランサムウェアに感染していることを発見し、その結果、HIPAA適用対象主体であるコミュニティーケアフィジシャン(CCP)のPHIに影響が及んだことを、2020年2月16日、OCRに報告した。OCRの調査により、BSTが保有するePHIの機密性、完全性、可用性に対する潜在的なリスクや脆弱性を特定するための、正確かつ徹底的なリスク分析を実施していなかったことが判明した
事業提携者(BA)に対するプライバシー/セキュリティ要件は、2013年9月23日に施行されたHIPAA/HITECH総括規則に規定されている。前述の適用対象主体(CE)と同様に、事例8〜9を見ると、事前のリスク分析が不十分または未実施である点が指摘されている。また、科せられた民事制裁金も7万5000米ドルおよび17万5000米ドルと、医療機関と同等レベルになっている。
注目される改正HIPAAセキュリティ規則最終版の公開
本連載第115回の中で触れた「電子保護対象保健情報のセキュリティ強化のためのHIPAAセキュリティ規則制定案告示(NPRM)」(関連情報)は、第2次トランプ政権下の2025年3月7日にパブリックコメント募集を締め切り、現在、最終規則化に向けた作業が行われている。
これに先立ち、国立標準技術研究所(NIST)は2024年2月14日、現行のHIPAAセキュリティ規則(関連情報)と、「NIST Cybersecurity Framework (CSF) 2.0」(関連情報、PDF)および「NIST SP 800-53 Rev. 5 組織と情報システムのためのセキュリティおよびプライバシー管理策」(関連情報)をマッピングした「NIST SP 800-66 Rev. 2 HIPAAセキュリティ規則の実装:サイバーセキュリティリソースガイド」(関連情報)を公開している。新たな改正HIPAAセキュリティ規則が制定されれば、それに合わせてNIST側の改正作業も進行することになる。
筆者プロフィール
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「海外医療技術トレンド」バックナンバー
第2次トランプ政権下のゲノムデータ管理とプライバシー強化技術
本連載第95回で、米国におけるゲノムデータのサイバーセキュリティ対策を取り上げたが、バイデン政権から第2次トランプ政権への移行期間中も、さまざまな法令、ガイダンス案が公表されている。
ビッグテック企業は米国のデジタルヘルスエコシステムを変えるか
本連載第120回で第2次トランプ政権下の公的医療保険改革を取り上げたが、それ以降もデジタルヘルス活用の取り組みがさらに加速している。
欧州が運用を開始するAI法は医療分野と調和できるか、量子技術との融合にも注目
本連載第116回で欧州保健データスペース(EHDS)を取り上げたが、2025年8月2日に汎用目的人工知能(GPAI)に関わるAI法のルールが適用開始となった欧州では、量子技術との融合に向けたアクションが本格化している。
デジタルヘルスを駆使して高齢者介護改革を目指すオーストラリア
本連載第31回で、オーストラリア政府の「2018〜2022年オーストラリア国家デジタルヘルス戦略」を取り上げたが、同国のデジタル技術は医療から介護分野へと拡大している。
再起動したトランプ政権の公的医療保険改革とデジタルヘルス
本連載第111回で取り上げたように、米国の臨床現場における医療データ流通やAI利用を支えてきたデジタルヘルスは、第2次トランプ政権における公的医療保険改革ツールとして再起動した。