ハクソク

世界を動かす技術を、日本語で。

医療データの漏洩が60万人以上の患者に影響、イリノイ州機関が発表

138日前原文(nprillinois.org)

概要

  • Illinois Department of Human Services (IDHS) の患者情報が数年間にわたり誤って公開状態
  • 32,000人超 のリハビリサービス利用者情報や 670,000人 のMedicaid受給者情報が対象
  • 地図作成時の プライバシー設定ミス が原因
  • 2025年9月 に問題発覚、即時対策と新ポリシー導入
  • 被害者には 個別通知 と問合せ窓口案内

イリノイ州人間サービス局における個人情報流出

  • Illinois Department of Human Services (IDHS) の発表によると、数千人規模の患者の 氏名や住所 が誤って公開状態
  • 公開された情報は 2021年4月~2025年9月 にかけて閲覧可能だった事実
  • リハビリテーションサービス部門 の32,000人以上の利用者が影響対象
    • 氏名、住所、ケース番号、ケース状況、紹介元情報、地域・オフィス情報、受給者ステータス
  • MedicaidおよびMedicare Savings Program の約670,000人の受給者も含まれる
    • 住所、ケース番号、人口統計情報、医療支援プラン名
  • 地図作成時のプライバシー設定ミス が主な原因
  • 公開された地図の 閲覧者特定不可、現時点で悪用報告なし

発覚後の対応と再発防止策

  • 2025年9月22日 に問題判明、即時に 全地図のアクセス制限 を実施
  • IDHS職員のみ が地図にアクセス可能な新ルール適用
  • 顧客データの公開地図サイトへのアップロード禁止 を明文化
  • 流出対象者には 個別通知 を郵送予定
    • 通知には 専用電話番号 を記載し、問合せ対応体制を整備

今後の注意点・課題

  • 個人情報管理体制の強化 が急務
  • 外部システム利用時のプライバシー設定確認 の徹底
  • 再発防止策 の継続的見直しと従業員教育の重要性

Hackerたちの意見

彼らは「セキュリティをめっちゃ真剣に考えてる」ってことだよね。

正直、私も疲れが溜まってきた。今のところ、何が適切な対策なのかも分からないし。ここ数年で情報がいろんなところに漏れちゃってるし(それに、子供の情報もね、一度病院に行ったことがあるから)。とにかく、今のデータブローカーのシステムを壊さない限り、解決策が見えない。Experianの問題は、彼らが政治的にしっかり根を張ってるから、普通の手段では手が出せないってことを教えてくれた。今は、自分のデータがほとんど奪われる前提で生きてるけど、そんなの健康的じゃないよね。

2年間のクレジットモニタリングが欲しい?それとも、この集団訴訟の和解金から5ドルもらえるかもよ。

残念ながら、プライバシーにはお金がないし、データを売ったり、法的責任を回避するために最低限のコストに切り詰めることにはお金がある。妻と私は3人目の子供を期待してるけど、あまりググったり調べたりしてない(最初の2人で結構知ってるから)のに、アルゴリズムが何かを察知したみたい。たまに誤って選んじゃうインスタの「探す」タブも、妊婦の写真で変なことになってるし。もうどうしようもないよね。それに、やっとEquifaxから最後の和解金の小切手が来たから、Chipotleに行ける!やった!

それと、HNのトップページにはOptery(YC W22)の求人も載ってるよ。どうやらすごく成長してるみたい。

シンプルに無香料の石鹸やローション、特定のビタミン補助食品を買うだけで済むかもね。ウォルマートやターゲットは、2012年には自社のショッピングデータだけで妊娠を確実に検出できてたんだよ。

新米ママたちは消費行動が変わるから、広告主にとっては貴重なターゲットなんだよね。http://www.nytimes.com/2012/02/19/magazine/shopping-habits.h... 特定のコホートやキーワードは非常に価値が高いから、医療条件を一度検索したり、需要のある仕事の求人広告をクリックするだけで、長い間その方向に広告がシフトすることがあるんだ。

病院に行ったら、あなたの位置情報を持ってる可能性もあるよね。Metaの「パートナー」や第三者のブローカーからかもしれないし。

面白いことに、医療業界では、他の会社に医療データをライセンスしたり販売したりする会社とプライバシーの姿勢に相関関係があるんだよね… でも、思ってるのとは違うことが多い。こういった会社がより厳しいプライバシー法や実践を推進していることが多いんだ。たとえば、彼らは「匿名化されたデータを学術研究者と共有できない」と主張することがあるけど、実際には患者データを売ってお金を稼いでいるんだよね。業界で働いている中で観察した興味深い現象で、「プライバシーにはお金がない」という主張を覆すように思える。別の考え方をすると、彼らは自分たちが売っている商品に対する全体の供給を減らしたいんだ。プライバシー規則を支持することでそれを実現しているんだよ。

残念ながらプライバシーにはお金がない。でも、プライバシーにお金があって、データ侵害には罰則が必要だと思う。少なくとも影響を受けた人への補償があればいい。そうすれば、企業もユーザーのプライバシーをもっと真剣に考えるようになるだろうね。個人データはデジタル世界の通貨みたいなもんだから、君に関するデータがあちこちで集められるのはそのせい。価値があるからね。銀行におばあちゃんの宝石を安全に保管してもらうときはお金を払うけど、もし銀行が強盗に入られて全ての財産が盗まれたら、少なくとも(何らかの)補償は受けられる。企業に貴重なデータを渡すときは、すでにデータで支払ってるけど、もしそれが漏れたら全く何もできないんだよね。

アルゴリズムは全体的に何らかの方法で気づいた。これは基本的に間違っていることを覚えておく価値がある。ほとんどのアルゴリズムには「is_expecting: True」っていうフィールドはない。ただの謎の数字のベクトルがあって、それが他の謎の数字のベクトルと似ていることもある。アルゴリズムは、特定の広告ベクトルが、ユーザーベクトルに何らかのパターンがあるときにクリックされやすいことを見抜いていて、特定のアクション(キーワード、購入、特定の画像を見たときにスクロール速度を落とすこと)がその方向にベクトルを向けるべきだと考えているんだ。

データ収集を制限する?それだとスタートアップが全滅して、法令を守れる悪質なプロバイダーの独占が確立されるだけだよ。政府にデータ収集をさせる?それは問題が山積みで、どこから手を付ければいいのかも分からない。無視して企業が顧客を虐待し続けるのを許す?それは無理。集団訴訟で企業の尻を叩いて、みんなに16セントの賠償金を渡すのをやめる?イノベーションを殺さず、既存の企業に囲いを作らせず、ロビイストの言うことを聞くだけの政治家に権力を与えず、現状を受け入れずにどうすればいいの?

[削除済み]

スタートアップはなんでこんなデータを集める必要があるの?

企業や経営者に対して、こうした違反を許した場合には厳しい罰金を科すべきだよね。確かに、実際のハッキング攻撃みたいな違反は避けられないこともあるから、すべての違反に罰金を課すわけにはいかない。でも、大半の「違反」はただの怠慢だよ。

データ収集を制限する?それだとすべてのスタートアップが潰れちゃうし、遵守できるひどいプロバイダーの独占を強化するだけだよ。データがどこにでも撒き散らされるのを許すためのひどい主張だね。「ドラゴン」が私たちのデータを蓄積するのを禁止する、実効性のある規制をどうにかしてほしい。経済への影響なんて気にしないよ。今のアメリカの政府でその船は出航しちゃったからね。それとも、もっと可能性があるかもしれないけど、私たちにも収益を分けてくれればいい。そうすれば、毎回どこかの会社が私たちのデータを「失くす」たびに無駄にする時間を少しは助けてくれるかも。富裕層や資本家を助けるのにはもううんざりだよ。私たちのデータを保持する対価を払うか、データを有害にするかしてほしい。もちろん、私の健康保険会社や銀行は私のデータが必要だけど、他の誰も必要ないよ。もし銀行や健康保険会社が第三者とデータを共有する必要があるなら、それは匿名化されてトークン化されるべきだね。これって難しいことじゃないのに、ただ意志がないだけなんだよ(ほとんどの消費者は、投票者と同じようにかなり無知だし)。

正直、16セントでもいいかな。大抵は、絶対に買わない商品に対する割引券だし。もし無料のものなら、ウェブサイトの平文リンクの3階層深くに隠れてることが多いよね。

解決策は、すべてのデータをソースで匿名化することだね。つまり、誰かの名前や社会保障番号の代わりにユニークなランダムIDをキーとして使うってこと。その後、医療提供者はUIDと名前のマッピングを別の、簡単に保護された(理想的にはエアギャップされた)システムに保存して、必要な時だけ使うようにするんだ。

前回これが起きたとき、脆弱なデータを発見した人をAGは起訴したの?

ああ、あなたが言ってる話は覚えてるかも。セントルイス・ポスト・ディスパッチの記者ジョシュ・レノードが、ミズーリ州の教師の社会保障番号が公開されているウェブサイトを見つけたんだ。彼はそのサイトの管理者に知らせて、修正された後に漏洩についての記事を発表したんだよ。当時のミズーリ州知事マイク・パーソンは彼をハッカー呼ばわりして、起訴を推奨したけど、幸いにも検察は起訴しなかったんだ。

新しいオフィスを開く場所や特定のリソースを割り当てるために、いくつかの地図が作成されたんだけど、2021年から2025年の間に誤ったプライバシー設定で公開されちゃったんだって…その地図のウェブサイトは、誰が地図を見たかを特定できなかったみたい。顧客データを公共の地図ウェブサイトにアップロードすることを禁止するセキュアな地図ポリシーを実施したんだけど、州の職員や契約者(どっちかは書いてないけど)が、公共のインターネット上にホストされた地図ウェブサイトに集計されていない顧客記録をアップロードしたってこと?

参考までに、アメリカの医療会社がデータ漏洩を公開することが法律で義務付けられている.govが運営するポータルがあります。面白いデータセットですよ! https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

このサイトの特徴付けは最適じゃないね。報告義務が発生するPHIの違反を発見したカバードエンティティが、(自分のものでもBAのものでも)ここで報告するって言った方が正確だと思う。これは、君が示唆したよりも範囲が狭く、知識の深さも浅いよ。

僕のお気に入りのHIPAAの話の一つは、ある医者が地元の公職に立候補しているときに、患者リストを使ってキャンペーン関連の情報を送ったって話。20年以上の教育を受けていても、これがどれだけ馬鹿げているか理解していなかったんだよね。

これをずっと言ってるんだよね。コンピュータセキュリティは、最低限の努力でカバーするための演技に過ぎない。たとえば、INFOSECを雇っても無視するみたいな。責任者はセキュリティに興味がないんだ。なぜなら、こういった漏洩で責任を問われる人はゼロだから。

医療用のSAAS APIを構築したり、EHRパートナーとのカスタム統合を必要とするアプリについて相談したりしてきたよ。一般的なOWASPの脆弱性に加えて、EHRや提供者サービスアプリが攻撃に対抗するために必要な堅牢なセキュリティプラクティスを持っていないことが大きな懸念なんだ。彼らはアクティブなペンテストやレッドチーミング、サプライチェーン監査を行っていない。資産のセキュリティを確保するために必要な、繰り返し行われる高コストのプラクティスが欠けているんだ。規制はたくさんあるけど、HIPAAが最も注目されるもので、その要件や監査プロセスは非常に原始的なんだ。彼らはまだ1990年代の脅威モデルを使っている。HIPAAの監査は高額だけど、発見される問題は些細で、繰り返し行われないから、脆弱性は監査の期間と監査結果の提出の間に生じることがあるんだ。

ほとんどの会社が「私たちはあなたのプライバシーを大切にしています」って声明を出すけど、実際にはその裏付けとなるリソースはほとんどないことが多いんだ。だから、私は必要最低限の情報以外はほとんど教えたくないんだよね。彼らが知らなければ、漏洩することもないから。どの会社も、必要以上の情報をボランティアさせようとする標準フォームに記入させたがるんだ。

紙のフォームなら、空白のままにしてる。デジタルフォームで必須なら、ビジネスの電話番号や住所を入れるかな。

そして、全員が解雇され、トップマネジメントは辞任し、罰金があまりにも大きかったため、誰も二度とずさんなセキュリティでリスクを冒すことはなかった。ああ、実際にはその逆なんだけどね。