ストライカーへのハムダラサイバー攻撃をめぐる集団訴訟、従業員側が取り下げ

医療機器メーカーのストライカー(Stryker)に対し2026年3月のサイバー攻撃を理由に提起されていた統合集団訴訟について、原告側がこれを自主的に取り下げたことがわかりました。ストライカーが原告適格の欠如を理由に訴訟却下を申し立てた直後の動きです。

イランのハクティビスト集団ハムダラ(Hamdala)は、米国とイスラエルによるイランへの軍事行動への報復としてストライカーを標的にしました。ハッカーらはストライカーの一部システムに侵入し、約50テラバイトのデータを窃取したうえ、同社のデバイス約20万台に保存されていた12ペタバイトのデータを完全に消去しました。この攻撃により業務に深刻な混乱が生じ、システムは数週間にわたって停止を余儀なくされました。

ストライカーの現従業員・元従業員合わせて8名が、今回の攻撃で自身の個人情報が漏えいしたとして同社を提訴しました。訴訟は、ストライカーが調査を完了する前、サイバー攻撃の公表からわずか数時間のうちに次々と提起されました。攻撃では大量のデータが窃取されたものの、ストライカーはフォレンジック調査の結果、原告らのデータが漏えいしたことを示す証拠は見つからなかったとしています。

ストライカーは、漏えいしたファイルの中に原告らの個人識別情報(PII)が含まれていないか調査した結果、原告のうち2名分の業務用メールアドレスが見つかったものの、PIIは確認されなかったとしています。原告のいずれもストライカーからPIIが漏えいした旨の通知を受け取っていませんでしたが、それにもかかわらず原告らは、PIIが漏えいした人々を代表するクラスの代理人として同社を提訴していました。ストライカーは2026年6月22日、この集団訴訟の却下を申し立てました。

ストライカーは却下申立ての中で、従業員らは2026年3月11日のサイバー攻撃公表から48時間後には訴訟を提起し始めており、氏名、社会保障番号、詳細不明の金融口座情報、詳細不明の医療保険情報、詳細不明の運転免許証情報が今回の事案で漏えいしたと推測に基づき主張していたと述べています。原告らは、過失、法定過失、黙示の契約違反、私生活への侵入、不当利得、信頼関係違反、確認判決を求める訴えを主張していました。

ストライカーによれば、原告らは今回の事案により損害を被ったと漠然と主張していたものの、その損害は観念的なものにすぎませんでした。原告のうち6名は自身のPIIが悪用されたと主張し、それがストライカーへのサイバー攻撃によるものだと推測していましたが、その悪用とストライカーへの攻撃とを結びつける具体的な根拠を示すことができませんでした。ストライカーの調査では、これらの原告の社会保障番号を含むPIIは、過去に発生した複数のデータ漏えい事案で既に流出していたことが判明しています。原告のうち2名については、少なくとも過去20件のデータ漏えい事案でPIIが流出していました。

ストライカーは、今回の事案は同社の顧客に接続されたデバイスやシステムには及んでいないと主張していますが、一方でこの攻撃は同社の電子発注システムをはじめ、顧客が利用する関連システムには影響を及ぼしました。このサイバー攻撃については米証券取引委員会(SEC)への報告が行われていますが、本稿執筆時点で、保健福祉省(HHS)公民権局や各州司法長官への漏えい通知は行われていません。

従業員らが提起した8件の集団訴訟は、ミシガン州西部地区連邦地方裁判所南部支部においてIn re Stryker Corporation Cyberattack Litigationとして統合されました。原告側は2026年6月29日、この統合訴訟を自主的に取り下げることを選択しました。同地区連邦地方裁判所のハラ・ジャルブー判事は、従業員らの請求を「訴訟上の不利益なし(without prejudice)」で棄却する命令に署名しています。今後ストライカーが原告らのPIIが今回の事案で漏えいしたと判断した場合、訴訟は再提起される可能性があります。

翻訳元: https://www.hipaajournal.com/employees-drop-class-action-lawsuit-against-stryker-cyberattack/

ソース: hipaajournal.com