米ヘルスケアAI企業にサイバー攻撃、大手7病院の患者140万人のデータ流出

米テネシー州のヘルスケアAI企業Xsolis（エクスソリス）へのフィッシング攻撃により、大手病院グループ7つの患者約140万人分の個人情報や医療データが流出した。同社は病院の業務委託先として患者の直接的な同意なしにデータを処理していたため、多くの被害者は同社の存在すら知らなかったという。影響を受けた可能性のある患者は、提供される無料の信用監視サービスへの登録や、不審な医療費請求がないかの確認を急ぐ必要がある。

■1通のフィッシングメールから140万人の被害へ

Xsolisの従業員1名に送られた標的型フィッシングメールにより、攻撃者は現地時間2026年1月20日から2日間にわたり、同社のネットワークへの侵入に成功した。米国保健福祉省（HHS）の市民権局（OCR）が現地時間2026年6月22日に公表したデータによると、この侵入によって大手病院7グループの患者1,396,519人分の氏名、社会保障番号（SSN）、および医療治療記録を含むファイルが窃取された。この規模のデータ流出は、2026年に米国で報告されたヘルスケア分野のデータ侵害の中でも最大級のものとなる。

■患者の知らないところで共有されるデータと「ビジネスアソシエイト」の仕組み

被害に遭った約140万人の大半は、Xsolisという企業の存在すら知らなかった。同社は、米国の医療保険の相互運用性と説明責任に関する法律（HIPAA）における「ビジネスアソシエイト（業務委託先）」として機能している。この法的枠組みにより、病院や保険会社は、委託先がHIPAAのセキュリティ要件に同意している限り、患者の直接的な同意や告知なしに患者データを外部のテクノロジー企業と共有することが認められている。メイヨー・クリニック、UWメディスン、レガシー・ヘルス、VHCヘルス、ロチェスター・リージョナル・ヘルス、カール・ヘルス、オーガスタ・ヘルスを受診した患者のデータは、日常的なケアの調整や保険適用の判断プロセスの一環として、XsolisのAIプラットフォーム「Dragonfly（ドラゴンフライ）」に送られていたが、現行法では患者がそれを知る術はなかった。

サイバーセキュリティ企業Clearwater（クリアウォーター）のセキュリティサービス担当バイスプレジデントであるデイブ・ベイリー氏は、「攻撃者は、広く導入されている1つのプラットフォームを侵害すれば、数十から数百の医療機関への扉を開けられることを理解している」と指摘する。医療セクター調整会議が2026年4月に発表したガイダンスによると、サードパーティベンダーに起因するインシデントは、現在、医療データ侵害全体の58%を占めており、2023年の44%から上昇している。

■流出したデータの深刻さ：変更不可能な情報と「医療アイデンティティ窃盗」の脅威

流出したデータには、氏名、住所、生年月日、医療保険の詳細、社会保障番号、および医療治療情報が含まれている。社会保障番号はパスワードやクレジットカード番号とは異なり、変更や再発行ができない。また、医療治療情報は極めて機微なデータであり、「医療アイデンティティ窃盗（医療身元詐称）」に悪用される危険性がある。これは、攻撃者が被害者の身元を騙って医療サービスや処方薬を受け取る詐欺行為である。金融分野の身元詐称とは異なり、医療身元詐称はカルテそのものを汚染するため、詐欺師による虚偽の診断や処方記録が患者の永久的なファイルに残り、将来の治療において重大な医療ミスを引き起こすリスクが何年にもわたって続くことになる。

ロチェスター工科大学のサイバーセキュリティ教授であるジョナサン・ワイズマン氏は、子供のデータ流出の危険性について「子供の情報は特に機微であり、悪用されても何年も気づかれない可能性がある」と警告している。子供が成長してクレジットカードや保険を申請する年齢になるまで、詐欺が表面化しないためである。

■契約終了後も残るデータ：ロチェスター・リージョナル・ヘルスの事例

ロチェスター・リージョナル・ヘルスは、同院の患者約18,600人がこの流出の影響を受けたことを確認した。しかし、同院とXsolisとの契約関係は現地時間2021年に終了しており、2026年1月の攻撃よりもはるか前のことだった。それにもかかわらず、Xsolisは過去の患者データを保持し続けていたため、数年前に治療を受けた患者が今回の通知対象となった。さらに、患者に送られた通知書において、同院の名前が実在しない「ロチェスター・リージョナル・メディカル・センター」と誤って記載されていたため、多くの受信者がフィッシング詐欺と誤認して破棄してしまうという二次被害も発生している。

■法令遵守とタイムラインを巡る疑問、広がる法的リスク

Xsolisは現地時間2026年1月22日に侵害を検知したものの、HHSへの報告は現地時間2026年6月5日（約135日後）となった。HIPAAの規則では、業務委託先は侵害検知から60日以内に委託元に通知することが求められており、このタイムラインが適切であったかどうかはOCRの調査対象となる可能性がある。また、複数の法律事務所がこの件に関する集団訴訟に向けた調査を開始している。

■被害が疑われる個人が今すぐ取るべき対策

Xsolisは対象者に対し、Kroll（クロール）社を通じた12ヶ月間の無料の信用・身元監視サービスを提供している。専門家は、通知書に記載されたコードを使用して同サービスに登録すること、主要な信用情報機関（Equifax、Experian、TransUnion）で信用情報の凍結手続きを行うこと、医療保険の利用明細に不審な請求がないか確認することなどを推奨している。

■注目ポイントQ&A

●Xsolisとはどのような企業で、なぜ私の医療データを持っているのですか？

Xsolisは、病院や保険会社が治療の必要性や保険適用範囲を判断する「利用管理」を支援するAIプラットフォーム「Dragonfly」を提供する企業です。米国の医療プライバシー法（HIPAA）に基づき、病院は患者の直接的な同意を得ずに、業務委託先である同社とデータを共有することが認められています。

●「医療アイデンティティ窃盗（医療身元詐称）」とは何ですか？どのようなリスクがありますか？

第三者が他人の名前や医療保険情報を使って、不正に医療サービスや処方薬を受け取る詐欺行為です。クレジットカード詐欺とは異なり、カルテに虚偽の病歴や処方記録が永久に残り、将来の治療において重大な医療ミスを引き起こす危険性があります。

●Xsolisは「データの不正利用は確認されていない」と発表していますが、安全と考えてよいでしょうか？

完全に安全とは言えません。流出したデータはダークウェブなどで数ヶ月間保管された後に悪用されるケースが多いため、現時点で被害がなくても、信用情報の凍結や医療費明細の確認などの予防措置を講じることが推奨されます。

●今回の流出事故を受けて、今後どのような法的措置や調査が行われますか？

米国保健福祉省（HHS）の市民権局（OCR）による調査が行われる可能性があり、過去には同様の規模の流出で制裁金が科された事例もあります。また、複数の法律事務所が患者に代わって集団訴訟に向けた調査を開始しています。

元記事: Healthcare Breach at AI Vendor Xsolis Exposes 1.4 Million Records Across Seven Major Hospitals