340万人の医療データが11ヶ月間露出、米国の医療IT委託リスクが集団訴訟に発展

米国の配信サービスPRニュースワイヤーは、米国ペンシルベニア州フィラデルフィア近郊を拠点とする全国規模の集団訴訟（クラスアクション）専門法律事務所Edelson Lechtzin LLP（以下、エデルソン・レシュツィン法律事務所）が、医療ITベンダーTriZetto Provider Solutions（以下、TPS）を対象に集団訴訟調査を開始したと2026年3月8日公開の記事で報じた。同事務所はTPSのデータ侵害により被害を受けた個人340万人を代理し、データプライバシー侵害に基づく損害賠償請求の可能性を調査しているという。

TPSは、米国の医療機関向けに保険請求管理・請求書作成・保険資格確認システムを提供するITベンダーで、2014年からナスダック上場のインド系大手ITサービス企業Cognizant Technology Solutions（従業員約30万人、年間売上高約190億ドル）の子会社として運営されている。医療機関に代わって保険会社との資格確認ポータルを運営するという事業特性上、複数の病院・クリニック・医療機関のサードパーティ（外部委託）ベンダーとして機能しており、1社への不正アクセスが連鎖的に複数医療機関の患者データ漏洩につながった。

米国のサイバーセキュリティ専門メディアBleepingComputerおよびヘルスケア業界メディアBenefitsProによると、不正アクセスは2024年11月19日に開始され、検知されることなく約11ヶ月間にわたって継続したという。TPSがこの侵害を検知したのは2025年10月2日であり、患者への通知開始は2026年2月に行われたとされる。漏洩したデータには氏名・住所・生年月日・社会保障番号（米国版マイナンバーに相当）・健康保険番号・医療提供者名などが含まれており、医療詐欺や個人情報窃取のリスクが極めて高いと報じられている。

今回の侵害の影響を受けた医療機関には、米国アイオワ州を中心に展開するカトリック系非営利医療ネットワークMercyOneや、米国オレゴン州ポートランド拠点の非営利医療IT組織OCHINを介したSan Francisco Community Health Centerなど、複数の医療機関が含まれているという。OCHINは地域医療機関に電子カルテ・医療IT共有サービスを提供しており、TPSサービスを中継する立場にあったため、被害が二次的に波及する構造となっていた。TPSは被害者に対し、米国を本拠とするグローバルなリスクコンサルティング企業Krollによる12ヶ月間の無料クレジットモニタリング・個人情報保護サービスを提供しているとされる。

法律・セキュリティ専門メディアHIPAAジャーナルらの報道によると、今回の侵害は「サプライチェーン型サイバー攻撃」の典型例であり、規制上の重大な問題をはらんでいるという。米国では1996年制定のHIPAA（医療保険の携行性と責任に関する法律）が患者の医療情報保護と漏洩時の通知義務を規定しており、漏洩検知後60日以内に当局へ報告することが義務付けられている。今回は検知から通知開始まで約4ヶ月以上を要しており、この乖離が規制当局による厳しい審査対象となりうるとされる。

親会社Cognizantは過去にも大規模なサイバーインシデントを経験しており、2020年には「Maze」と呼ばれるランサムウェア攻撃により5,000万〜7,000万ドル（約75億〜105億円 ※1ドル150円換算）の損害を被ったと報じられている。今回は直接的なランサムウェア攻撃ではなくサードパーティ経由の侵害であるものの、同社グループにとってサイバーインシデントが繰り返されている点が業界関係者の懸念を深めているという。医療分野では同時期に、医療データ管理サービスを提供するEpisource社の侵害で540万人が影響を受けた事例も報じられており、外部委託ITベンダーへのセキュリティ監査強化と契約上の責任明確化が業界全体の急務となっていると各メディアは伝えている。