セントルイス大都市圏を拠点とするミズーリ州の独立系医師グループであるEsse Healthとして事業を行うAmerican Multispecialty Groupは、2025年4月にサイバー攻撃とデータ漏洩を経験しました。Esse Healthはデータ漏洩に対応する複数の集団訴訟に直面し、統合された集団訴訟が最近解決されました。Esse Healthは訴訟を解決するために2,525,000ドルの支払いに同意しました。
サイバー攻撃はEsse Healthにより2025年4月21日に検出され、フォレンジック調査により、ハッカーが名前、住所、生年月日、健康情報、健康保険情報などの機密データを取得したことが確認されました。約5,000人の個人がこのインシデントでソーシャルセキュリティ番号も流出しました。データ漏洩は、23,671人の患者の電子保護健康情報に関するものとしてHHS民間人権局に報告されましたが、データ漏洩はさらに広範でした。メイン州司法長官には、漏洩が263,601人の個人に影響を与えたと通知されました。訴訟によれば、約521,167人の個人が影響を受けたと述べられています。
データ漏洩は2025年5月15日にEsse Healthにより最初に発表され、その直後、訴訟人Casten Clausnerによりミズーリ州東地区米国地方裁判所に集団訴訟が提起されました。さらに7人の訴訟人がセントルイス郡とセントルイス市の州裁判所で同様の訴訟を提起しました。すべての訴訟は2025年6月にミズーリ州セントルイス市の第22司法巡回裁判所に統合されました。
統合訴訟——Clausner et al. v. American Multispecialty Group——は、データ漏洩は防ぐことができたはずであり、被告が合理的かつ適切なサイバーセキュリティ対策を実装しなかったことに起因すると主張しています。訴訟は、過失、過失そのもの、黙示的契約違反、信頼違反、信認義務違反、プライバシー侵害、不当利得、ミズーリ州商品取引法違反、および宣言的および差止救済請求を主張しました。Esse Healthは不法行為と責任がないと主張しています。しかし、調停に続き、訴訟を継続することに関連するコストとリスクを回避するために、すべての当事者による合意に至りました。
合意の条件の下で、Esse Healthは弁護士費用と費用、合意管理および通知コスト、8人のクラス代表者のサービス報酬、およびクラスメンバーの給付金をカバーするために2,525,000ドルの合意基金を確立することに同意しました。合意基金からコストと費用が差し引かれた後、残りはクラスメンバーの給付金の支払いに使用されます。ほとんどの集団訴訟和解はクラスメンバーが損失の払い戻しの請求を提出することを許可していますが、この和解は1クラスメンバーあたり50ドルと予想される按分現金支払いのみを提供しています。受け取った請求の数に応じて、支払いはより高くなるか低くなる可能性があります。
さらに、クラスメンバーは100万ドルの医療身元盗難保険証券を含む2年間の医療身元保護サービスに登録する権利があります。医療身元保護の費用はEsse Healthにより別途支払われます。和解は裁判所からの予備承認を受けました。和解への異議および除外の期限は2026年7月5日です。請求は2026年8月4日までに提出する必要があり、最終承認公聴会は2026年8月3日に予定されています。
翻訳元: https://www.hipaajournal.com/esse-health-data-breach-settlement/
