概要
イリノイ州人道サービス省(IDHS)は、誤ったプライバシー設定により、約70万人の個人情報および健康データを誤って公開していたことを明らかにしました。IDHSが内部利用のために作成したマッピングデータが、長年にわたり一般に公開されていたことが原因です。
流出の詳細
今回の流出で影響を受けたのは、主に以下の2つのグループです。
- メディケイドおよびメディケア貯蓄プログラムの受給者:約672,616人が対象。2022年1月から2025年9月にかけて、住所、ケース番号、人口統計情報、医療扶助計画名が公開されました。氏名は含まれていませんでした。
- リハビリテーションサービス利用顧客:約32,401人が対象。2021年4月から2025年9月にかけて、氏名、住所、ケース番号、ケース状況、紹介元などの情報が公開されました。
合計で、約705,017人のデータが影響を受けたことになります。
事故の原因とIDHSの対応
IDHSは、2025年9月22日に、家族・地域サービス局がリソース配分決定のために作成したマッピングサイト上の地図が、誤ったプライバシー設定により一般公開されていることを発見しました。これらの地図は、事務所配置などの意思決定を導くための内部使用を意図していましたが、問題が発覚するまで数年間オンラインでアクセス可能な状態でした。
IDHSは「マッピングウェブサイトでは、誰が地図を閲覧したかを特定できませんでした。現在までに、IDHSはこのインシデントの結果として個人情報が悪用された、または悪用を試みられたという事実は認識していません」と述べています。
IDHSはインシデント発覚後、以下の対応を取りました。
- 地図へのアクセスを許可された従業員のみに制限し、2025年9月26日までにロックダウンを完了。
- 公開されたすべての地図のレビューを実施。
- 特定可能な顧客情報を公共マッピングプラットフォームにアップロードする試みをブロック。
- 連邦医療プライバシー法に基づき、影響を受けた個人に通知。
- 関係する規制当局に報告。
過去のデータ侵害事案
IDHSは、2024年12月にも別のデータ侵害を公表しています。この時は、フィッシング攻撃により複数の従業員アカウントが侵害され、1,166,094人分の個人情報がアクセスされたとされています。