医療機関向けに薬局フルフィルメントサービスを提供するデジタルヘルススタートアップ企業Truepillは、ハッカーが230万人以上の患者の個人データにアクセスしたことを確認した。
同社はウェブサイトで公開したデータ漏洩通知の中で、TruePillの親会社であるPostmedsが、8月30日から9月1日の間に匿名の攻撃者が薬局管理およびフルフィルメントサービスに使用されるファイルにアクセスすることを許した「サイバーセキュリティインシデント」を経験したと述べている。
ご連絡ください
Truepillのデータ漏洩について、さらに詳しい情報をお持ちですか?Carly Pageさんには、Signal(+441536 853968)またはメールで安全にご連絡いただけます。また、SecureDrop経由でTechCrunchにご連絡いただくことも可能です。
同社の調査により、アクセスされたファイルには、患者氏名、特定されていない人口統計情報、薬剤の種類、処方医の氏名など、顧客の機密情報が含まれていたことが判明した。トゥルーピル社は、社会保障番号は同社がこれらの情報を受け取っていないため、関係していないと述べた。
Truepill社は、米国保健福祉省のデータ漏洩報告ポータルに提出された法的書類に基づき、230万人の患者が影響を受けたことを確認した。Truepill社のウェブサイトによると、同社は2016年の創業以来、300万人以上の患者にサービスを提供し、2,000万枚の処方箋を配達してきたという。
Truepillは、セキュリティプロトコルを強化し、従業員向けのサイバーセキュリティ研修を追加で実施していると述べた。同社は、システムがどのように侵害されたのか、また将来の侵害を防ぐためにどのような具体的な対策を講じているのかについては明らかにしておらず、広報担当者はTechCrunchの質問には回答しなかった。
このデータ侵害は、10月30日に関係者に初めて伝えられ、既に集団訴訟の対象となっている。集団訴訟では、このサイバーセキュリティインシデントは、ポストメッズが顧客情報を保護するための適切なデータセキュリティ対策を講じていなかったことが直接の原因であると主張している。具体的には、同社がサーバー上に保管されている機密性の高い医療情報を暗号化していなかったと訴えている。
先週、トゥルーピルは、同薬局が規制薬物の処方箋数千枚を違法に調剤したとの疑惑で米麻薬取締局と和解した。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
DEAは11月6日のプレスリリースで、「この和解により、トゥルーピルは、未登録のオンライン薬局の運営、スケジュールIIの規制薬物の処方箋を90日を超える量で調剤したこと、必要な免許を持たない医療提供者によって書かれた処方箋を調剤したことなど、すべて連邦法に違反していた責任を認めた」と述べた。
デジタルヘルスユニコーンのTruepillが2022年に4回目のレイオフを実施
トピック
カーリー・ペイジはTechCrunchのシニアレポーターとして、サイバーセキュリティ分野を担当していました。それ以前は、Forbes、TechRadar、WIREDなどのメディアに10年以上寄稿し、テクノロジー業界で活躍していました。
カーリーに安全に連絡するには、Signal +441536 853956 にご連絡ください。
バイオを見る
