ペンシルベニア州スクラントンを拠点に薬物・アルコール依存症治療サービスを提供するDrug and Alcohol Treatment Services, Inc.は、2024年10月に発生したランサムウェア攻撃に端を発するクラスアクション訴訟について、和解に合意したことを明らかにしました。
この攻撃により、従業員および患者の個人情報や保護対象保健情報が窃取されました。HHS公民権局(OCR)には、22,215名の患者が影響を受けたことが報告されています。今回の事案で流出または窃取されたデータには、氏名、生年月日、社会保障番号、健康保険情報、医療費請求・保険金請求情報、患者口座番号、処方薬・薬剤情報、診断・治療情報が含まれます。
このデータ侵害を受けて8件のクラスアクション訴訟が提起され、これらはペンシルベニア州ラッカワナ郡地方裁判所においてLeo Woytach, et al v. Drug and Alcohol Treatment Services, Inc.として単一の訴状に統合されました。統合訴訟では、過失、法定過失(negligence per se)、契約違反、黙示契約違反、受託者責任違反、信頼関係違反、不当利得の各請求が主張されています。被告側は訴訟における主張・申立てをすべて否認しており、不正行為はなかったとの立場を維持しています。
和解に向けた協議と丸一日にわたる調停を経て、当事者全員が受け入れ可能な和解条件がまとまりました。和解により、当事者全員が裁判および関連する控訴に伴う費用、労力、負担、リスクを回避できることになります。被告側は54万9,000米ドルの和解基金を設立し、そこから弁護士費用・諸経費、和解管理・通知費用、8名のクラス代表者への功労金が支払われます。残額はクラスメンバーへの給付に充てられます。
今回の和解は、データ侵害について通知を受けた個人を対象としており、有効な請求を提出した個人には現金が支払われます。データ侵害に起因する未補填の損失については、証憑書類の提出により、クラスメンバー1人あたり最大5,000米ドルを上限に補償を請求できるほか、按分(pro rata)方式による現金給付を請求することも可能です。現金給付額は、有効な請求の件数によって決定されます。さらに、クラスメンバーは医療データ監視サービスの12カ月間無料会員資格を利用できます。
異議申し立ておよび和解からのオプトアウトの期限は2026年8月25日です。請求の提出期限は2026年9月24日で、最終公正性審問は2026年11月24日に予定されています。
2025年6月9日: 薬物・アルコール治療サービス社、複数のクラスアクション型データ侵害訴訟に直面
ペンシルベニア州の非営利薬物・アルコール依存症治療サービス提供団体が、2024年10月に発生したランサムウェア攻撃をめぐり、複数のクラスアクション訴訟に直面しています。ペンシルベニア州スクラントンのワイオミング・アベニュー441番地を拠点とするDrug and Alcohol Treatment Services, Inc.(DATS)は、2024年10月6日に自社のコンピュータネットワークへの不正アクセスを確認しました。フォレンジック調査の結果、2024年10月5日から10月6日にかけて、権限のない第三者が22,215名の保護対象保健情報にアクセスしていたことが確認されています。今回の事案で漏えいしたデータには、患者の氏名、生年月日、病歴、治療情報、健康保険情報、医療保険金請求情報、請求情報、社会保障番号、財務情報が含まれます。
DATSは2024年12月5日にこのデータ侵害を確認しましたが、影響を受けた個人への通知書の送付は2025年5月2日まで行われませんでした。DATSは、通知書送付時点では窃取されたデータの悪用を把握していなかったとしており、影響を受けた個人に対して無償のクレジットモニタリングおよび個人情報盗難保護サービスを提供しています。通知書にはサイバー攻撃の具体的な性質については記載されていませんでしたが、Interlockランサムウェアグループが犯行声明を出し、150GBのデータを窃取したと主張しています。身代金は支払われなかったため、同グループは窃取したデータを自らのリークサイトで公開しました。同グループは、流出したファイルに従業員および患者の個人データが含まれていると主張しています。
現時点で、DATSに対して少なくとも8件のクラスアクション訴訟が提起されています。これらの訴訟はいずれも同様の主張を行っており、情報技術システムおよび機密性の高い患者・従業員データの保護を怠った過失などを訴えています。訴状では、DATSが合理的なセキュリティ対策を講じ、業界標準のデータセキュリティ慣行を遵守していれば、今回のデータ侵害は防げたはずだと主張されています。また、DATSが影響を受けた個人への通知を適時に行わなかったことも指摘されており、対象者は機密データが盗まれてから7カ月後に初めてその事実を知らされたとしています。訴状は、この通知の遅延により、原告およびクラスメンバーがデータ侵害による有害な影響を軽減する措置を講じる機会を奪われたと主張しています。さらに、訴訟では信頼関係違反、黙示契約違反、受託者責任違反、不当利得、プライバシー侵害の各請求も主張されています。
これらの訴訟では、クラス認定、陪審裁判、損害賠償、弁護士費用、訴訟費用・諸経費の償還に加え、DATSにセキュリティ対策の改善を義務付ける裁判所命令などの差止命令による救済が求められています。