Lucent Health Solutions、データ侵害訴訟の和解金として最大195万ドルを支払いへ

テネシー州ナッシュビルを拠点とする健康保険プラン管理サービス提供会社、Lucent Health Solutionsを相手取ったクラスアクション訴訟について、和解が成立しました。この訴訟は、脅威アクターがメールアカウントの認証情報を取得することを許してしまった2023年10月のフィッシング攻撃に端を発するものです。

Lucent Health Solutionsによると、脅威アクターがアカウントにアクセスできた時間はわずか90分間で、データが窃取された証拠は見つかっていないとのことです。しかし、このアカウントには約37,000人分の保護対象保健情報(PHI)が含まれており、氏名、生年月日、社会保障番号、健康保険・歯科保険・視力保険の団体番号やプラン番号などが対象となっていました。影響を受けた個人への通知が行われたのは2025年1月で、侵害発生から15カ月が経過していました。

原告Royal Corralejo氏は、テネシー州デビッドソン郡巡回裁判所に集団代表訴訟(Royal Corralejo v. Lucent Health Solutions, LLC Litigation)を提起し、その後、同訴訟はテネシー州中部地区連邦地方裁判所に移送されました。訴状では、被告が合理的かつ適切なサイバーセキュリティ対策を実施していなかったためにデータ侵害が発生したと主張されていました。これに対し被告側は、訴状にある主張・申し立てをすべて否認しており、不正行為はなかったとの立場を維持しています。

裁判および関連する控訴に伴う費用とリスクを検討した結果、両当事者は和解に向けた協議に合意しました。2025年8月29日の調停において、両当事者は和解の主要条件について合意に達しましたが、被告側による責任や不正行為の認定は一切含まれていません。この和解には、集団構成員にとって複数の利点が用意されています。集団構成員は、データ侵害に起因する立証可能な未補償の通常損失について、1人当たり最大550ドルの補償を請求できるほか、詐欺や個人情報盗用による特別損失については最大5,500ドルの補償を請求できます。また、時給25ドルで最大5時間分の逸失時間についても請求が可能です。

これらの補償を請求しないことを選んだ個人は、代わりに一時金として80ドルの現金支払いを請求できます。損失補償と現金支払いのいずれを請求した場合でも、集団構成員はCyEx Medical Shield Completeの医療データ監視サービスを3年間利用できる会員資格も請求できます。

被告側は、弁護士費用および諸経費、和解管理・通知費用、原告への功労金を含め、訴訟解決のために最大1,950,000ドルを支払うことに合意しています。請求総額がこの上限を超えた場合、各請求は按分(pro rata)により減額される見込みです。和解への異議申し立ておよびオプトアウトの期限は2026年8月21日です。請求の提出期限は2026年9月5日で、最終公正性審問は2026年9月9日に予定されています。

翻訳元: https://www.hipaajournal.com/lucent-health-solutions-data-breach-settlement/

ソース: hipaajournal.com