情報漏えいが規制をもたらし、その規制によって有意義な変化へとつながると期待されている。
2024 年 2 月、ユナイテッドヘルス・グループ(UHG)の子会社チェンジ・ヘルスケアが、ランサムウェアグループ ALPHV/ブラックキャットによる大規模なランサムウェア攻撃を受けた。攻撃を仕掛けたグループは 2024 年 2 月 12 日から 2 月 20 日まで 1 週間以上にわたり、チェンジ・ヘルスケアのシステムにアクセスし、その過程で保護されるべき医療情報(PHI)を含む約 4 テラバイトのデータを盗み出した。この不正行為により、最大 1 億 1,000 万人が影響を受けるおそれがあり、ヘルスケア関連の膨大な機密データが漏えいする危険が生じた。
2024 年 5 月の議会公聴会において、ユナイテッドヘルスケア CEO アンドリュー・ウィッティは、多要素認証の欠如が最初の情報漏えいを引き起こし、それがきっかけで連鎖的に患者とヘルスケア従事者双方に非常に深刻な影響がもたらされたと明らかにした。これにより、処方箋による薬の受け取りができなくなった患者や、ヘルスケア従事者へのアクセス自体ができなくなった患者もいた。ヘルスケア従事者の側では、給与を受け取れなかったり、業務停止を余儀なくされる者も多かった。さらに、身代金 2,200 万ドルが支払われたにもかかわらず、攻撃を仕掛けたグループはデータを削除するという約束を守らなかった。
情報漏えいが生じた場合、結局、企業から顧客に無料信用情報監視サービスを提供する旨のメールが届いて終わり、ということが多いのだが、今回はそれ以上の実質的対応が取られることとなった。米国上院がこの件を受けて同様の事態を防ぐため、ヘルスケアデータを保護する新たな規制を導入したのである。
