2024年，美国政府收到超过700起医疗数据泄露事件报告，超过1.8亿条患者医疗记录遭泄漏，人数甚至超过了TikTok用户数（1.7亿）。而且，医疗行业泄漏的患者信息远比社交网站收集的元数据和广告数据更为敏感。

根据美国卫生与公众服务部民权办公室（HHS OCR）维护的医疗数据泄露数据库统计，2024年1月1日至12月31日期间，共报告了720起医疗数据泄露事件（平均每天发生两起泄漏事件）。这些事件导致大约1.86亿条用户记录被泄露。然而，由于个人信息可能在多起事件中重复出现，实际受影响人数可能低于1.86亿。

医疗行业泄漏的数据更为敏感，报告统计的泄露信息类型包括姓名、联系方式、出生日期、社会安全号码、保险信息、医疗记录，甚至金融信息等。

受影响机构类型主要分为三大类：

医疗提供商：受影响最严重，共计520起事件。

医疗业务合作伙伴：发生了120起事件。

健康计划机构：涉及近100起事件。

黑客攻击为主要手段：

攻击手段中，“黑客/IT事件”（包括勒索软件攻击）占据主导地位，接近600起。其次是未经授权的访问或信息披露事件。

两大数据泄露场景：

网络服务器：约450起事件涉及网络服务器。

电子邮件：约160起事件与电子邮件相关，通常被威胁行为者用于网络钓鱼和恶意软件传播。

数据泄漏地理分布：

根据HHS OCR数据库，各州的受影响机构数量如下：

重大数据泄漏事故统计：

2024年最重大的一起医疗数据泄露事件发生在Change Healthcare，一次勒索软件攻击导致约1亿人的信息被窃取。其他重要事件及受影响人数如下：

2024年美国医疗行业数据安全的灾难性表现说明医疗行业在数据保护方面面临日益严峻的挑战。2025年医疗机构应加强对网络服务器和电子邮件的保护，以及对医疗业务合作伙伴的监管。同时，医疗机构和企业需加强对员工的网络安全意识培训，加强技术防护，以应对日益复杂的威胁。

参考链接：

https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf