Medusind

医療機関向けの大手請求プロバイダーであるMedusind社は、1年以上前に個人情報や健康情報が流出したデータ侵害について、2023年12月に数十万人に通知する。

マイアミを拠点とする同社は、米国とインドに12拠点を展開し、また6,000を超える医療機関に収益サイクル管理サービスを提供し、医療機関の運営コスト削減と収益最大化を支援している。

Medisund社は、メイン州司法長官事務所に提出したデータ漏洩通知書の中で、1年以上前の2023年12月にネットワーク上で不審な動きを検知したため、情報漏洩を発見したと述べている。

「不審な動きを発見したメドゥシンド社は、影響を受けたシステムをオフラインにし、大手サイバーセキュリティ・フォレンジック会社に調査を依頼しました。

「この調査を通じて、サイバー犯罪者があなたの個人情報を含む特定のファイルのコピーを入手した可能性がある証拠を発見しました。

メイン州に提出された書類の中で、同社は2023年12月の情報漏洩が360,934人の個人情報と健康情報に影響を与えたことを明らかにした。

この事件で流出した文書には以下のデータタイプが含まれていたが、影響を受けた情報は影響を受けた個人によって異なる:

  • 健康保険および請求情報(保険証券番号や請求/給付情報など)、
  • 支払い情報(デビットカード/クレジットカード番号や銀行口座情報など)
  • 健康情報(病歴、医療記録番号、処方箋情報など)、
  • 政府の身分証明書(社会保障番号、納税者番号、運転免許証、パスポート番号など)、
  • その他の個人情報(生年月日、電子メール、住所、電話番号など)。

メドゥシンド社は、このデータ流出の影響を受けた人々に、クレジット・モニタリング、詐欺相談、個人情報盗難の復旧を含むクロールの個人情報モニタリング・サービスを2年間無料で提供する。

また、口座明細書になりすましや詐欺の兆候がないか追跡し、信用報告書に不正や不審な動きがないか監視するよう警告している。

これらの通知は、米国保健社会福祉省(HHS)が、近年、病院や米国人に影響を与えた大規模な医療セキュリティ侵害やデータ漏洩の急増を受けて、患者の健康データを保護するために、1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)の更新を2024年12月下旬に提案したことを受けたものである。

このサイバーセキュリティ規則の見直しにより、医療機関はアメリカ人の保護された医療情報(PHI)を暗号化し、可能な限り多要素認証を導入し、サイバー犯罪者がネットワークを横移動しにくくするためにネットワークをセグメント化することが義務づけられた。

米国最大の民間医療システムのひとつであるアセンション社は、5月に発生したランサムウェア集団Black Bastaによるサイバー攻撃でデータが盗まれたとして、約560万人に警告を発した

10月には、ユナイテッドヘルスが、1億人以上に影響を与えた2月のチェンジ・ヘルスケアのランサムウェア攻撃に起因する、近年で最も重大なヘルスケア侵害を確認した。