保険会社ウェルポイントは、データベースのセキュリティが脆弱だったために60万件以上の個人記録をオンライン上に公開したとして、170万ドルの罰金を支払うことに同意したと、米国保健福祉省(HHS)が木曜日に発表した。
インディアナポリスに本拠を置くウェルポイントは、米国最大の健康保険会社の一つであり、同社とその子会社は1億人を超える顧客を抱えている。
2009年、ウェルポイント社は連邦機関に対し、612,402人の個人情報と健康情報を保管するオンラインデータベースが、2009年10月から2010年3月までの間、インターネット上でアクセス可能な状態にあったと報告した。データには、氏名、住所、生年月日、社会保障番号、電話番号、健康情報などが含まれていた。
HHS によると、経済的および臨床的健康のための医療情報技術に関する法律では、1996 年の医療保険の携行性と説明責任に関する法律 (HIPAA) のプライバシーとセキュリティ ルールの対象となる組織は医療関連のデータ侵害を報告することが義務付けられています。
HHSの調査により、ウェルポイント社はオンライン申請データベースへのアクセスに関して適切なポリシーと手順を定めていなかったことが判明しました。HHSによると、ウェルポイント社には、システムに保存されている医療情報へのアクセスを希望する人物を確認するための「技術的安全対策」が整備されていなかったとのことです。
HHSはニュースリリースで、今回の件はHIPPA関係機関に対し、特にウェブベースのアプリケーションやポータルを変更する際に情報システムの管理に注意を払うよう喚起するはずだと述べた。
HHS は、9 月 23 日より、多くの HIPPA 要件の責任が請負業者および下請業者にまで拡大されることを通知しました。
