2024年の医療データ侵害で720件の事件で1億8600万件の記録が流出

2024 年、米国の医療部門では 720 件という驚異的なデータ侵害が報告され、推定 1 億 8,600 万件のユーザー レコードが侵害されました。保健福祉省公民権局 (HHS OCR) に報告されたこれらの侵害は、医療組織が直面するサイバー セキュリティ リスクの増大を浮き彫りにしています。漏洩したレコードの数は膨大ですが、複数の侵害の影響を受けた人もいるため、実際に影響を受けた人の数はそれより少ない可能性があります。

侵害されたデータには、氏名、連絡先、社会保障番号、生年月日、保険データ、医療記録、財務情報などの機密性の高い個人情報や医療情報が含まれていました。最も頻繁に標的となったのは医療提供者で、約 520 件のインシデントが発生しました。医療組織のビジネス関係者も大きな影響を受け、120 件の侵害が報告されました。約 100 件のインシデントは医療保険に関係していました。

ハッキングとITインシデントがトップ

報告された侵害の大半（約 600 件）は、ハッキングまたは IT インシデントに分類され、ランサムウェア攻撃が含まれることが多い。不正アクセスまたは情報漏洩は、侵害の 2 番目に多い原因であった。約 450 件のインシデントではネットワーク サーバーが主な標的となり、フィッシングやマルウェアの配信によく使用される電子メール システムが 160 件の侵害に関係していた。

違反の州別内訳

HHS OCRデータベースによると、テキサス州とカリフォルニア州でそれぞれ約60件の侵害が発生し、最も多くのインシデントが発生していることが明らかになりました。侵害件数が多かった他の州は、ニューヨーク州（46件）、イリノイ州（43件）、フロリダ州（37件）、ペンシルベニア州（31件）、オハイオ州（29件）、マサチューセッツ州（29件）、テネシー州（25件）、ミシガン州（22件）でした。

2024 年に注目される侵害

報告された侵害の中で、 Change Healthcare へのランサムウェア攻撃が最大規模で際立っており、約 1 億人に影響を与えました。この侵害だけで、2024 年に報告された侵害された記録の半分以上を占めました。

その他の注目すべき違反には以下のものがあります。

• カイザー・パーマネンテ：1,340万件の記録が侵害される
• アセンションヘルス：550万件の記録
• HealthEquity : 430万件の記録
• コンセントラ ヘルス サービス: 390 万件の記録
• メディケア・メディケイドサービスセンター: 310万件の記録
• アカディアン救急サービス: 280万件の記録
• Sav-Rx (A&A Services) : 280万件のレコード
• WebTPA : 250万件のレコード
• Integris Health : 230万件の記録

その他の医療機関も、Medical Management Resource Group (230 万人)、Summit Pathology (180 万人)、Geisinger (120 万人) など、100 万人を超える個人に影響を与える侵害に直面しました。

医療に対する高まる脅威

医療業界は、機密性の高い高価値データを保管しているため、サイバー犯罪者にとって依然として主要なターゲットとなっています。ランサムウェア攻撃、フィッシング キャンペーン、IT 脆弱性の悪用は、攻撃者が医療システムにアクセスするために使用する主な手段です。これらのインシデントは、ネットワーク セキュリティの強化、フィッシング対策のための従業員トレーニング、認証プロトコルの強化など、この分野での強力なサイバー セキュリティ対策が極めて重要であることを浮き彫りにしています。

医療機関が業務のデジタル化を進め、クラウドベースのプラットフォームに依存するようになると、データ侵害のリスクが増大することが予想されます。サイバー攻撃による被害を軽減するために、予防的なセキュリティ対策、脅威の監視、迅速な対応計画の必要性が強調されます。

2024 年の侵害は、有名な組織でさえ攻撃の犠牲になり、患者と医療提供者の両方に広範囲にわたる影響を及ぼす可能性があることをはっきりと思い出させるものです。個人的および金銭的なリスクが非常に高いため、ヘルスケア業界は今後数年間、サイバー犯罪者の一歩先を行くためにデータ保護を優先する必要があります。