Endue Softwareは、118,000人以上の個人に影響を与えたサイバー攻撃とデータ侵害に対応して提起されたクラスアクション訴訟を解決するために$870,000を支払うことに同意しました。Endue Softwareは、医療提供者に輸液操作を管理するための輸液管理プラットフォームを提供するSaaS企業です。2025年2月17日、そのシステム内で疑わしい活動が検出されました。フォレンジック調査により、2025年2月17日の短期間に不正アクセスが確認され、その間に患者情報を含むファイルが複製されました。インシデントで漏洩したデータには、フルネーム、住所、生年月日、社会保障番号、および医療記録番号が含まれていました。影響を受けた個人には2025年4月11日に通知されました。
データ侵害に対応して複数のクラスアクション訴訟が提起され、これらはメイン州地区米国地方裁判所で統合されました – Pauley, et al. v. Endue Inc. d/b/a Endue Software –。統合訴訟では、データ侵害は合理的かつ適切なサイバーセキュリティ対策を実装しなかったことの結果として発生し、防止されるべきであったと主張しました。
訴訟は、過失/過失責任、第三者受益者契約の違反、不当利得、および宣言的判決/差止救済についての請求を主張しました。Endue Softwareは訴訟内のすべての請求と主張を否定し、責任がなく、違法行為がなかったと主張しています。訴訟提起直後、当事者たちは早期解決の可能性を探り、フロリダ州ブロワード郡の第17司法巡回区が和解協議に適切な管轄地であることに合意しました。統合訴訟は棄却され、フロリダ州で再提起され、過失/過失責任、および第三者受益者契約の違反についての請求を主張しました。
和解の条件が合意され、和解は裁判所から予備的承認を受けました。和解では、2年間の医療データおよびクレジット監視サービスが提供され、クラスメンバーは2つのキャッシュペイメントのうち1つを請求できます。データ侵害による文書化されたが払い戻されていない損失の払い戻しについて、クラスメンバーあたり最大$2,500の請求を提出するか、または$65の代替一括払いの請求を提出できます。
代替キャッシュペイメントをカバーするために$260,000の基金が設立されており、これは受け取った請求の数に応じて按分で増加または減少の対象となります。和解基金の総額は$870,000に上限があります。和解に対する異議申し立てと除外の期限は2026年6月30日です。請求を提出する期限は2026年6月30日であり、最終公正性聴聞会は2026年7月15日にスケジュールされています。
翻訳元: https://www.hipaajournal.com/endue-software-data-breach-settlement/
