テキサス州アマリロとキャニオンでプライマリケアクリニックのネットワークを運営するFMC Services LLCは、2022年にサイバー攻撃とデータ侵害を受けました。その後提起された集団訴訟は、215万ドルで最終和解が成立しています。
サイバー攻撃が検知されたのは2022年7月26日のことです。フォレンジック調査により、氏名・住所・生年月日・社会保障番号・医療情報を含むファイルが外部に露出したことが確認されました。FMCサービスのデータ侵害は、233,948人の保護医療情報が関係するとして、HHS(米保健福祉省)市民権局に報告されました。通知書は266,540人に郵送されています。
個人情報および保護医療情報の流出を受け、4名が集団訴訟を提起しました。各訴訟は内容が類似していたため、テキサス州ポッター郡地方裁判所においてSharber他 対 FMC Services LLCとして1本に統合されました。統合訴訟では、FMC Servicesには合理的かつ適切なサイバーセキュリティ対策を維持する義務があったにもかかわらず、これを怠ったことがサイバー攻撃とデータ侵害につながったと主張しています。具体的な請求内容は、過失、当然過失(negligence per se)、信認義務違反、黙示契約違反、不当利得の返還などです。
FMC Servicesはいかなる不正行為も否定していますが、2024年半ばには和解交渉を開始しました。ただし、調停の段階では合意に至りませんでした。その後、広範な証拠開示と訴訟手続きが進む中、原告側が被告の略式判決申立てを退け、2度目の調停を経て和解の骨子が合意されました。
和解は正式に成立し、裁判所の予備承認を受けています。和解条件に基づき、FMC Servicesは215万ドルの和解基金を設立します。この基金は、クラスメンバーへの補償、弁護士費用および訴訟費用、和解管理・通知費用、ならびに4名のクラス代表者へのサービス報酬に充当されます。
クラスメンバーは、データ侵害によって生じた証拠のある未補償損害について、1人あたり最大5,000ドルを上限として補償請求を申請できます。補償請求の申請を希望しないクラスメンバーには、代替の現金給付が用意されています。代替給付額は1人あたり75ドルと見込まれていますが、有効な申請件数によって変動します。
また、すべてのクラスメンバーは、現金給付の種類にかかわらず、2年間の医療データ監視サービスを請求する権利があります。異議申し立ておよびクラスからの除外の締め切りは2026年8月17日で、補償請求の申請期限は2026年8月31日です。最終公正審問は2026年9月15日に予定されています。
翻訳元: https://www.hipaajournal.com/fmc-services-data-breach-settlement/
