米、医療関連企業2社で大規模な個人情報漏洩か 50万人超の個人情報が流出の可能性|セキュリティニュース|セキュリティ対策Lab

投稿日時: 2025年05月21日更新日時: 2025年05月21日

2025年春、米国の医療業界を揺るがす二つの大規模な情報漏洩事件が明らかになりました。影響を受けたのは、ITサービス提供企業の「Serviceaide（サービスエイド）」と、医療債権回収を請け負う「Nationwide Recovery Services（NRS）」です。両社を経由して、累計で50万人以上の個人情報が流出した可能性があるとして、現在も複数の医療機関が調査と通知作業を続けています。

1 Serviceaide社の漏洩：医療ITベンダー経由でCatholic Healthの情報が流出
2 NRS社の漏洩：債権回収委託先で21万人分の医療情報が流出
3 医療機関の対応と今後の課題
4 患者側の対策と呼びかけ
5 委託先管理とサプライチェーンセキュリティの再構築へ

Serviceaide社の漏洩：医療ITベンダー経由でCatholic Healthの情報が流出

Serviceaideが提供していた医療データベースのセキュリティ不備によって、約48万人分の個人情報が外部から閲覧可能な状態にあったことが判明しました。Serviceaideは、米国最大級の非営利医療グループであるCatholic Healthに対してITサポートを提供しており、

今回の漏洩はその関連データベース「Elasticsearch」に起因するものでした。

問題のデータベースは、2024年9月から11月初旬までインターネット上に公開されていた状態で、誰でもアクセスできる状況が続いていたとされています。調査では、データのコピーや不正利用の直接的な証拠は見つかっていないものの、Serviceaideは「その可能性を完全には否定できない」として、注意喚起と個別通知を開始しました。

流出の可能性がある情報には、氏名、社会保障番号、生年月日、医療記録番号、保険情報、処方情報、診療内容、さらにメールアドレスやログイン情報まで含まれ、極めて高い機密性を持つデータが含まれていました。

NRS社の漏洩：債権回収委託先で21万人分の医療情報が流出

もう一つの事件は、医療債権回収業務を担うNRSで発生しました。同社は、複数の医療機関から未払い請求や法的手続きに関する委託を受けており、今回の漏洩では21万人を超える患者や保証人の情報が不正に取得されたとみられています。

NRSの報告によると、2024年7月5日から11日の間に不正アクセスが発生し、その結果、ネットワーク内の複数ファイルが外部にコピーされたとされています。事件の発覚自体は2024年夏でしたが、影響を受けた個人の特定が進んだのは翌年に入ってからで、実際にハービン・クリニックが被害者への通知を開始したのは2025年5月でした。

流出の可能性がある情報には、患者の氏名、住所、社会保障番号、生年月日、金融口座情報、保証人情報、さらには診療関連情報まで含まれており、深刻な二次被害が懸念されています。

医療機関の対応と今後の課題

ハービン・クリニックをはじめ、テキサス州のHamilton Health Care Systemやテネシー州チャタヌーガ市など、NRSの顧客である複数の組織が影響を受けていることが判明しています。

ハービン・クリニックでは、NRSとの接続を即座に遮断した上で、自院ネットワークの安全確認と被害状況の調査を実施。現在は、被害を受けた可能性がある患者や保証人に対して通知を進めています。また、NRSからの報告に基づき、米連邦当局にも正式に報告が行われました。

両事件ともに、医療機関自体が直接的に侵害されたわけではなく、「委託先である外部ベンダー」が攻撃を受けたことにより、情報が流出したという共通点があります。これは、医療機関が委託先も含めたセキュリティ対策を講じなければならないという現実を突きつけるものです。

患者側の対策と呼びかけ

両社は影響を受けた可能性のある個人に対して、クレジットモニタリングなどの支援サービスを提供しており、24か月間の身元保護対策が利用可能です。また、連邦取引委員会（FTC）や信用情報機関による詐欺アラートの設置、クレジットフリーズの活用など、個人による自己防衛の重要性も強調されています。

万一、不審な請求や取引が確認された場合には、速やかに医療機関や金融機関、または法執行機関へ連絡するよう勧められています。

委託先管理とサプライチェーンセキュリティの再構築へ

今回の二件の情報漏洩は、いずれも委託先を起点とした情報流出という構造的問題を抱えており、今後、同様のケースが増加することが懸念されます。医療機関が守るべき「情報の境界線」は院内ネットワークだけに留まらず、委託業者や外部システムにまで広がっています。

委託先やサプライチェーンのセキュリティ対策や監査については一般的に以下です。

契約前：委託先選定とリスク評価の厳格化

サードパーティリスクアセスメントの実施
委託先が取り扱う情報資産の機密性や影響範囲を評価し、所在地の法的準拠状況やサイバー保険の有無まで確認することが必要です。情報システム部門が早期にリスクを把握するための重要なステップです。

セキュリティ要件の明文化
契約書内に情報セキュリティに関する明確な条項を設け、インシデント発生時の通知義務、ソフトウェアの安全性、アクセス制限のガイドラインなどを詳細に定めておくべきです。

事前監査の実施
自己点検チェックリストの提出や、必要に応じた現地監査によって、委託先の実態を事前に確認することが望まれます。

契約中：継続的な監視とコミュニケーション

ベンダーモニタリングの仕組み構築
年次・半期での情報更新や、第三者認証（SOC2、ISO27001など）を活用し、委託先のセキュリティ対応能力を定期的に評価します。

アクセス制御と最小権限の原則徹底
委託先が利用するアカウントには必要最低限の権限のみを付与し、使用終了時には速やかに無効化できる運用体制を整備する必要があります。

通信・データ取り扱いの技術的対策
TLS通信の徹底、データのマスキング処理、VDIなどの分離環境提供など、情報の流出を防ぐための技術的手段を講じるべきです。

インシデント対応訓練の共有
年1回程度、委託先を含めた模擬インシデント演習を実施することで、連携の質を高め、初動対応を迅速化します。

インシデント発生時：早期対応と被害拡大の防止

インシデント対応フローの即時発動
委託先との連絡体制を迅速に確立し、アクセス履歴やログの収集、影響範囲の特定などに迅速に対応します。

対応状況の透明化
関係者に対してタイムライン形式での説明を行い、信頼回復と今後の対応に関する情報共有を徹底する必要があります。

二次被害の封じ込め
委託先のネットワーク遮断、システムの一時停止、他契約先の横断的なリスク評価など、被害の拡大を防止する措置を講じます。

契約終了時：後処理と教訓の体系化

データ返却・消去証明の取得
契約終了後は、委託先から個人情報・機密情報の完全消去に関する証明書を取得し、情報漏洩リスクを最小化します。

契約終了報告書・評価の作成
委託先の対応を評価し、インシデント履歴・課題・改善点などを文書化して、次期選定や改善サイクルに活用します。

社内改善フィードバック
プロジェクト後の振り返りとして、経営層への報告とともに、組織内の委託先管理プロセスの見直しを実施します。

ゼロトラスト原則で委託先を「信頼しない設計」に転換を

サプライチェーン攻撃は今や「信頼できる委託先」を狙うのが常套手段です。そのため、ゼロトラストの導入を前提に、技術・契約・運用・文化すべての側面から「委託先も検証対象」とした設計への転換が求められます。

情報システム部門としては、従来の“守る”視点から、“信頼を継続的に確認する”体制へのシフトこそが、これからの委託先管理の中核となる考え方です。

米、医療関連企業2社で大規模な個人情報漏洩か 50万人超の個人情報が流出の可能性