生産性向上とサービス提供の効率化を支援するAIソリューションを手がけるServiceaide, Inc.は、顧客であるCatholic Healthの患者の保護対象保健情報が流出した2024年のデータ侵害に端を発する訴訟の和解金として180万ドルを支払うことに合意しました。
Catholic Healthは、ニューヨーク州バッファローを拠点とする非営利医療システムで、病院、介護施設、在宅ケア事業者、診療所を通じてニューヨーク州西部の患者にサービスを提供しています。Catholic HealthはServiceaideと契約を結んでおり、契約サービスの提供には患者データへのアクセスが必要でした。2024年11月15日前後、Serviceaideは自社システムへの不正アクセスを確認しました。フォレンジック調査の結果、第三者が2024年9月19日から2024年11月5日までの間、同社のネットワークに不正アクセスしていたことが判明しています。
Serviceaideの調査により、Catholic Healthの患者約483,000人分の記録を含むデータベースが不正アクセスまたは取得された可能性があることが判明しました。このデータベースには、氏名、生年月日、社会保障番号、医療・健康情報、治療情報、健康保険情報、メールアドレス・ユーザー名およびそれに付随するパスワードが含まれていました。影響を受けた個人には2025年5月9日にデータ侵害について通知が行われました。
このデータ侵害を受けて11件の集団訴訟が提起され、これらはニューヨーク州最高裁判所ナッソー郡においてNancy Balzer, et al., v. Serviceaide, Inc.として統合されました。統合訴訟では、データ侵害は防止可能であったにもかかわらず、被告の過失によって発生したと主張されています。訴訟では、過失、黙示契約違反、不当利得、プライバシー侵害、カリフォルニア州不正競争防止法(Cal. Bus. & Prof. Code §§ 17200, et seq.)違反、および確認判決について請求が行われました。
Serviceaideは一切の不正行為を否定しており、訴訟における主張・申し立てすべてに異議を唱えています。被告は却下申立てを行い、原告側はこれに対する異議申立てを提出しました。集団構成員の利益のためにリソースを温存する目的で、両者は和解の可能性を模索しました。粘り強い交渉の結果、和解条件が合意に至り、和解は現在確定しています。
和解条件のもと、Serviceaideは1,800,000ドルの和解基金を設立することに合意しました。この基金からは、弁護士費用および諸経費、和解管理・通知費用、そして15名の集団代表者への報奨金が差し引かれます。残りの資金は、集団構成員からの正当な請求の支払いに充てられます。
集団構成員は、2種類の現金支払いのいずれかを請求できます。1つは、本件に起因する詐欺・個人情報盗難によって生じた、証拠書類のある未補填の損失、およびその他の損失について、1人当たり最大5,000ドルまでの補填を請求する方法です。もう1つは、1件あたり約50ドルと見込まれる現金支払いを請求する方法です。現金支払いは、損失に対する請求への支払いが完了した後に案分比例(pro rata)で支払われます。 請求の提出期限は2026年9月1日です。最終公正性審問(final fairness hearing)は2026年9月16日に予定されています。異議申し立ておよびオプトアウトの期限は2026年8月17日です。
翻訳元: https://www.hipaajournal.com/serviceaide-data-breach-settlement/