世界を動かす技術を、日本語で。

医療データの漏洩が60万人以上の患者に影響、イリノイ州機関が発表

概要

  • Illinois Department of Human Services (IDHS) の患者情報が数年間にわたり誤って公開状態
  • 32,000人超 のリハビリサービス利用者情報や 670,000人 のMedicaid受給者情報が対象
  • 地図作成時の プライバシー設定ミス が原因
  • 2025年9月 に問題発覚、即時対策と新ポリシー導入
  • 被害者には 個別通知 と問合せ窓口案内

イリノイ州人間サービス局における個人情報流出

  • Illinois Department of Human Services (IDHS) の発表によると、数千人規模の患者の 氏名や住所 が誤って公開状態
  • 公開された情報は 2021年4月~2025年9月 にかけて閲覧可能だった事実
  • リハビリテーションサービス部門 の32,000人以上の利用者が影響対象
    • 氏名、住所、ケース番号、ケース状況、紹介元情報、地域・オフィス情報、受給者ステータス
  • MedicaidおよびMedicare Savings Program の約670,000人の受給者も含まれる
    • 住所、ケース番号、人口統計情報、医療支援プラン名
  • 地図作成時のプライバシー設定ミス が主な原因
  • 公開された地図の 閲覧者特定不可、現時点で悪用報告なし

発覚後の対応と再発防止策

  • 2025年9月22日 に問題判明、即時に 全地図のアクセス制限 を実施
  • IDHS職員のみ が地図にアクセス可能な新ルール適用
  • 顧客データの公開地図サイトへのアップロード禁止 を明文化
  • 流出対象者には 個別通知 を郵送予定
    • 通知には 専用電話番号 を記載し、問合せ対応体制を整備

今後の注意点・課題

  • 個人情報管理体制の強化 が急務
  • 外部システム利用時のプライバシー設定確認 の徹底
  • 再発防止策 の継続的見直しと従業員教育の重要性

Hackerたちの意見

彼らは「セキュリティをめっちゃ真剣に考えてる」ってことだよね。

正直、私も疲れが溜まってきた。今のところ、何が適切な対策なのかも分からないし。ここ数年で情報がいろんなところに漏れちゃってるし(それに、子供の情報もね、一度病院に行ったことがあるから)。とにかく、今のデータブローカーのシステムを壊さない限り、解決策が見えない。Experianの問題は、彼らが政治的にしっかり根を張ってるから、普通の手段では手が出せないってことを教えてくれた。今は、自分のデータがほとんど奪われる前提で生きてるけど、そんなの健康的じゃないよね。

2年間のクレジットモニタリングが欲しい?それとも、この集団訴訟の和解金から5ドルもらえるかもよ。

残念ながら、プライバシーにはお金がないし、データを売ったり、法的責任を回避するために最低限のコストに切り詰めることにはお金がある。妻と私は3人目の子供を期待してるけど、あまりググったり調べたりしてない(最初の2人で結構知ってるから)のに、アルゴリズムが何かを察知したみたい。たまに誤って選んじゃうインスタの「探す」タブも、妊婦の写真で変なことになってるし。もうどうしようもないよね。それに、やっとEquifaxから最後の和解金の小切手が来たから、Chipotleに行ける!やった!

それと、HNのトップページにはOptery(YC W22)の求人も載ってるよ。どうやらすごく成長してるみたい。

シンプルに無香料の石鹸やローション、特定のビタミン補助食品を買うだけで済むかもね。ウォルマートやターゲットは、2012年には自社のショッピングデータだけで妊娠を確実に検出できてたんだよ。

新米ママたちは消費行動が変わるから、広告主にとっては貴重なターゲットなんだよね。http://www.nytimes.com/2012/02/19/magazine/shopping-habits.h... 特定のコホートやキーワードは非常に価値が高いから、医療条件を一度検索したり、需要のある仕事の求人広告をクリックするだけで、長い間その方向に広告がシフトすることがあるんだ。

病院に行ったら、あなたの位置情報を持ってる可能性もあるよね。Metaの「パートナー」や第三者のブローカーからかもしれないし。

面白いことに、医療業界では、他の会社に医療データをライセンスしたり販売したりする会社とプライバシーの姿勢に相関関係があるんだよね… でも、思ってるのとは違うことが多い。こういった会社がより厳しいプライバシー法や実践を推進していることが多いんだ。たとえば、彼らは「匿名化されたデータを学術研究者と共有できない」と主張することがあるけど、実際には患者データを売ってお金を稼いでいるんだよね。業界で働いている中で観察した興味深い現象で、「プライバシーにはお金がない」という主張を覆すように思える。別の考え方をすると、彼らは自分たちが売っている商品に対する全体の供給を減らしたいんだ。プライバシー規則を支持することでそれを実現しているんだよ。

残念ながらプライバシーにはお金がない。でも、プライバシーにお金があって、データ侵害には罰則が必要だと思う。少なくとも影響を受けた人への補償があればいい。そうすれば、企業もユーザーのプライバシーをもっと真剣に考えるようになるだろうね。個人データはデジタル世界の通貨みたいなもんだから、君に関するデータがあちこちで集められるのはそのせい。価値があるからね。銀行におばあちゃんの宝石を安全に保管してもらうときはお金を払うけど、もし銀行が強盗に入られて全ての財産が盗まれたら、少なくとも(何らかの)補償は受けられる。企業に貴重なデータを渡すときは、すでにデータで支払ってるけど、もしそれが漏れたら全く何もできないんだよね。

アルゴリズムは全体的に何らかの方法で気づいた。これは基本的に間違っていることを覚えておく価値がある。ほとんどのアルゴリズムには「is_expecting: True」っていうフィールドはない。ただの謎の数字のベクトルがあって、それが他の謎の数字のベクトルと似ていることもある。アルゴリズムは、特定の広告ベクトルが、ユーザーベクトルに何らかのパターンがあるときにクリックされやすいことを見抜いていて、特定のアクション(キーワード、購入、特定の画像を見たときにスクロール速度を落とすこと)がその方向にベクトルを向けるべきだと考えているんだ。

データ収集を制限する?それだとスタートアップが全滅して、法令を守れる悪質なプロバイダーの独占が確立されるだけだよ。政府にデータ収集をさせる?それは問題が山積みで、どこから手を付ければいいのかも分からない。無視して企業が顧客を虐待し続けるのを許す?それは無理。集団訴訟で企業の尻を叩いて、みんなに16セントの賠償金を渡すのをやめる?イノベーションを殺さず、既存の企業に囲いを作らせず、ロビイストの言うことを聞くだけの政治家に権力を与えず、現状を受け入れずにどうすればいいの?

Hacker Newsで議論の続きを見る