ブルー・シールド・オブ・カリフォルニアは、470万人の会員の保護されるべき健康情報をグーグルの分析および広告プラットフォームに流出させ、データ漏洩に見舞われたことを明らかにした。
カリフォルニア州全体で約600万人の会員を抱えるこの非営利医療保険は、2021年4月から2024年1月の間に会員データが流出したとするデータ流出通知をウェブサイトで公表した。
本日、米国保健社会福祉省の情報漏えいポータルが更新され、漏えいにより470万人の会員の保護された健康データが流出したと記載された。
同通知によると、流出の原因は特定のブルーシールドサイトにおけるグーグルアナリティクスの設定ミスであった。その結果、機密データがグーグルの広告プラットフォームや広告主と共有される可能性があった。
「2025年2月11日、ブルーシールドは、2021年4月から2024年1月にかけて、GoogleアナリティクスがGoogleの広告製品であるGoogle Adsと特定の会員データを共有できるように設定されていたことを発見しました。
「グーグルはこのデータを使って、個々の会員に焦点を絞った広告キャンペーンを行った可能性がある。
誤設定の結果、公開されたデータの種類は以下の通り:
- 保険プラン名
- タイプおよびグループ番号
- 都市名と郵便番号
- 性別
- 家族の人数
- ブルー・シールドが会員のオンライン・アカウントに割り当てた識別子
- 医療請求の日付とサービス提供者、患者名、患者の支払い責任
- 「医師検索」の検索条件と検索結果(所在地、プラン名と種類、プロバイダー名と種類)
ブルー・シールドは、社会保障番号、運転免許証番号、銀行情報、クレジットカード情報など、その他の個人情報は今回の事故によって流出しなかったと述べている。
それでも、会員には用心深く、口座明細書や信用報告書を注意深く監視し、不正/不審な行動を確認することが推奨される。
同組織は個人情報盗難防止サービスを提供しておらず、今後、影響を受けた会員に個別の通知が送られるかどうかは不明である。
これはブルー・シールド・オブ・カリフォルニアが1年以内に公表した2件目の大規模IT事故である。
昨年、約100万人の医療保険加入者が、同組織のソフトウェア・ソリューション・プロバイダーであるコネクサー(旧ヤング・コンサルティング)に侵入したBlackSuitランサムウェアによりデータを盗まれた。
Comments