医療ITのCareCloudがサイバー攻撃被害——患者データが流出、EHR環境に不正アクセス

米医療ITのCareCloudにサイバー攻撃——患者データの窃取を確認

アメリカの医療IT企業CareCloud（ニュージャージー州）は2026年3月30日、同社の電子カルテ（EHR: Electronic Health Record）システムが不正アクセスを受け、患者データが流出したことを明らかにした。同社は米証券取引委員会（SEC）への提出書類でこの事実を開示している。

8時間にわたるネットワーク障害

同社によると、今回のインシデントは3月16日に発生した。攻撃者がCareCloudのITインフラに侵入し、「CareCloud Health」部門のネットワークに一時的な障害を引き起こした。6つあるEHR環境のうち1つが約8時間にわたって機能不全に陥り、当日夜には全機能が復旧したという。

CareCloudは侵害を検知後、サイバーセキュリティ保険会社へ報告するとともに、Big4会計事務所傘下のサイバー対応アドバイザリーチームを起用。外部からのセキュリティ強化と、インシデントの全容解明に向けたITフォレンジック調査を進めている。

患者データへの不正アクセスを確認、被害規模は調査中

調査の結果、侵害された環境には顧客の患者健康記録が含まれていたことが確認された。ただし現時点では、影響を受けた個人の数や具体的なデータの種類は特定されておらず、引き続き調査が行われている。

CareCloudは「攻撃者はすでにデータベースへのアクセス権を持っていない」と説明しており、他のプラットフォームや部門、システム環境への影響はないとしている。全ての影響システムは復旧済みで、同様のインシデント再発防止に向けた外部専門家との協力体制も整えている。

なお、本件についてランサムウェアグループによる犯行声明は確認されていない。

医療分野を狙ったサイバー攻撃が相次ぐ

CareCloudはSaaS（Software as a Service）形式で、医療機関向けに収益サイクル管理・診療管理・患者体験管理・EHRソリューションを提供する上場企業だ。医療ITはサイバー攻撃の格好のターゲットとなっており、最近もCognizant TriZettoの情報漏洩（340万人規模）やハワイ大学がんセンターへのランサムウェア攻撃など、医療データを狙う事案が相次いでいる。

日本でも電子カルテシステムへの攻撃事例が増加傾向にあり、医療機関のセキュリティ体制強化が急務となっている。今回の事案は、患者データを扱うクラウドサービスにおけるセキュリティ対策の重要性を改めて示すものといえる。

元記事: Healthcare tech firm CareCloud says hackers stole patient data