Managed Care of North America(MCNA)社およびMCNA Insurance Company(MCNA DentalおよびHealthplex, Inc.として事業展開)を対象としたデータ侵害クラスアクション訴訟について、和解が合意されました。両社は、2023年に約900万人に影響を及ぼした大規模なデータ侵害を受けて訴訟を提起されていました。2023年3月、被告企業はMCNAネットワークへの不正アクセスを検知しました。攻撃を行ったのはLockBitランサムウェアグループで、2023年2月22日に初めてネットワークへのアクセスに成功しています。アクセスは2023年3月7日まで継続され、その時点でランサムウェアによりファイルが暗号化されました。ファイルの暗号化に先立ち、個人情報および保護医療情報(PHI)を含む機密データがネットワーク外へ持ち出されていました。
MCNA Dentalは、州のメディケイドおよびこども健康保険プログラム(CHIP)を通じて子どもへの政府助成歯科給付を提供する最大手事業者の一つであり、膨大な量のPHIを保管しています。調査の結果、ランサムウェアグループが8,923,662人分のPHIにアクセスまたは窃取したことが判明しました。対象となったデータには、氏名、連絡先情報、社会保障番号、運転免許証番号、政府発行の身分証明書番号、健康情報、医療保険情報などが含まれます。身代金の支払いが拒否されると、LockBitグループは盗んだデータを公開しました。被害を受けた個人への通知は2023年5月下旬に行われています。
これほどの規模のデータ侵害であれば、複数のクラスアクション訴訟が提起されることは必至でした。最初の訴訟は2023年6月5日に提起されています。被告企業は合計25件の推定クラスアクション訴訟の対象となりました。各訴訟は実質的に同一の内容で請求も重複していたため、2023年7月13日に単一の訴訟へと統合されました。統合訴訟の名称はCrowe et al. v. Managed Care of North America Inc. d/b/a MCNA Dental, MCNA Insurance Company dba MCNA Dental, and Healthplex, Inc. で、フロリダ州南部連邦地方裁判所に係属しています。
統合された訴訟では、過失、法令違反による過失、黙示的契約違反、不当利得、州消費者保護法違反、および宣言的・差止的救済が請求されていました。裁判所が指定した調停では和解が成立せず、被告側は訴訟の棄却を求めました。訴訟は棄却を免れ、その後、広範な証拠開示および訴訟手続きが進められましたが、2度目の調停でも和解には至りませんでした。その後も広範にわたる和解交渉が続けられた結果、最終的に和解の主要条件が合意されました。
和解条件は現在確定しており、被告企業は責任または不正行為を一切認めていません。被告企業は、クラスメンバーへの給付金、弁護士費用(最大640万ドル)、弁護士経費(最大131万3,000ドル)、和解管理費用(最大200万ドル)を支払うための数百万ドル規模の和解基金の設立に合意しました。和解の総額は非公開となっています。
クラスメンバーは、データ侵害による損害について証拠書類を添えてクラスメンバー1人当たり最大2,500ドルまでの補償請求を申請できますが、補償総額は25万ドルを上限としています。また、クラスメンバーは2年間の医療データ監視サービスを申請でき、これには100万ドルの個人情報盗用補償保険が含まれます。このサービスの小売価格は、登録した各クラスメンバーにつき年間179.40ドルです。MCNAは費用および給付金の支払いに加え、セキュリティ強化のためのいくつかの措置を講じることにも合意しており、将来的な同様の侵害リスクを低減するためにビジネス慣行を更新しています。
すべての当事者が和解条件に合意しましたが、裁判所による予備的承認はまだ受けていません。異議申し立て、除外、および請求申請の期日は、裁判所が和解を承認した時点で設定される予定です。クラスメンバーへの和解に関する直接通知は、裁判所の予備的承認命令から30日以内に開始されます。通知には、請求の申請方法および医療データ監視サービスを有効化するためのコードが含まれる予定です。
翻訳元: https://www.hipaajournal.com/mcna-dental-data-breach-settlement/
