大規模なデータ漏洩の概要
カバナント・ヘルスは、昨年5月に発覚したデータ侵害の影響を受けた個人の数が、当初の報告よりも大幅に多い約47万8千人に上ると発表しました。昨年7月には7,864人のデータが露出したと報告されていましたが、詳細な分析の結果、影響の規模が拡大しました。
カバナント・ヘルスは、マサチューセッツ州アンドーバーを拠点とするカトリック系のヘルスケアプロバイダーで、ニューイングランドおよびペンシルバニアの一部地域で病院、看護・リハビリテーションセンター、アシストリビング施設、高齢者ケア組織を運営しています。
Qilinランサムウェアによる攻撃
同組織は、2025年5月18日に攻撃者がシステムに侵入し、患者データにアクセスしたことを5月26日に把握しました。6月下旬には、Qilinランサムウェアグループがこの攻撃を主張し、852GB、約135万ファイルのデータを盗んだと発表していました。
漏洩した個人情報
カバナント・ヘルスによると、露出した可能性のある情報には、氏名、住所、生年月日、診療記録番号、社会保障番号、健康保険情報、治療詳細(診断、治療日、治療の種類)などが含まれます。
同組織は、第三者のフォレンジック専門家を雇用し、どのようなデータが影響を受け、何人の個人が影響を受けたかを特定するための調査を進めており、「その調査は現在も進行中である」と述べています。
Covenant Healthの対応
カバナント・ヘルスは、将来同様のインシデントを防ぐため、システムのセキュリティを強化したと発表しました。影響を受けた個人に対しては、情報が悪用される可能性を検知するのに役立つ12ヶ月間の無料の個人情報保護サービスを提供しています。
昨年12月31日からは、5月の侵入で情報が漏洩した可能性のある患者に対し、データ侵害通知書を郵送し始めています。