カリフォルニア州のTotal Visionとイリノイ州のNaper Grove Vision Careという、視力ケアを提供する2つの事業者を相手取った集団訴訟について、和解が成立しました。両事業者とも、患者データが流出するハッキング被害に遭っていました。
Total Visionの和解
カリフォルニア州全域で検眼センターのネットワークを所有・運営するTotal Vision LLCを相手取った集団訴訟について、和解が成立しました。Total Visionでは2020年10月30日前後、ハッカーがデータベースサーバーに不正アクセスする事案が発生しました。このサーバーには、氏名、住所、生年月日、社会保障番号、処方箋情報といった機密性の高い患者情報が保存されていました。このデータ侵害は米保健福祉省(HHS)公民権局に対し、現・元患者138,402人に影響が及んだ事案として報告されています。
Total Visionはこのデータ侵害をめぐり2件の集団訴訟に直面していましたが、これらは単一の訴状にまとめられ、カリフォルニア州上位裁判所サンディエゴ郡においてRamey, et al. v. Total Vision, LLC, et al.として係属し、Anjanette Ramey氏とJane Doe氏がクラス代表として名を連ねました。被告にはTotal Visionのほか、John C. Pack, O.D.、Beverly Bianes, O.D., Inc.、John C. Pack, O.D. and Beverly Bianes, O.D.も名を連ねています。
訴状では、被告らがサーバーを適切に保護し患者情報を守る対応を怠り、さらに適切な侵害通知を発行しなかったという過失により、このデータ侵害が発生したと主張されていました。原告らは、この セキュリティインシデントの結果として、データの不正利用や本人確認情報の盗用の試みに何度も遭ったと主張しています。訴状では、過失、黙示の契約違反、カリフォルニア州の不正競争防止法、医療情報守秘法(Confidentiality of Medical Information Act)、およびカリフォルニア州のセキュリティ通知法違反に基づく請求が主張されましたが、被告側はこれらすべての主張、および不正行為・責任に関する主張を否認しています。
2023年11月21日の調停において、全当事者が和解条件に合意し、この和解は現在確定して裁判所の予備承認を得ています。被告らは475,000ドルの和解基金を設立することに合意しており、そこから弁護士費用・経費、和解管理・通知費用、クラス代表への報奨金が差し引かれます。残りの資金はクラスメンバーへの給付に充てられます。
クラスメンバーは、データ侵害に起因する立証済みかつ未補填の損失について、1人当たり最大1,000ドルを上限とする補償を請求できるほか、按分方式(pro rata)による現金支払いを請求することもでき、その金額は有効な請求件数によって変動します。被告らはまた、224,000ドル相当のデータセキュリティ対策強化の実施にも合意しています。除外・異議申し立ての期限は2026年9月4日です。請求は2026年10月5日までに提出する必要があり、最終公正性審問は2026年12月18日に予定されています。
Naper Grove Vision Careの和解
イリノイ州ネーパービルのNaper Grove Vision Careは、2025年5月のセキュリティインシデントに端を発する集団訴訟で和解しました。このインシデントでは20,093人の保護対象保健情報(PHI)への不正アクセスが発生しています。Naper Grove Vision Careは2025年5月24日、ネットワークへの不正アクセスを確認しました。このインシデントについてはInterlockランサムウェアグループが犯行声明を出しており、氏名、住所、生年月日、運転免許証番号、患者番号、健康保険情報、給付金説明(EOB)文書、病状・治療情報といった患者情報が窃取されました。アクセスされたデータには一部、社会保障番号も含まれていました。
このデータ侵害を受けて複数の集団訴訟が提起され、これらはイリノイ州デュページ郡第18司法巡回区裁判所においてIn re Naper Grove Data Breach Litigationとしてまとめられました。統合訴訟ではAshley Fett氏とPaul Mifsud氏がクラス代表として名を連ねています。訴状では、合理的かつ適切なサイバーセキュリティ対策の実施を怠ったことによりこのデータ侵害が発生したと主張されており、過失、法定過失(per se)、黙示の契約違反、不当利得、およびイリノイ州消費者詐欺・欺瞞的商行為法違反に基づく請求が主張されています。Naper Grove Vision Careはこれらすべての主張・申し立てを引き続き否認しています。
全当事者は、過失・責任・不正行為を一切認めない形でこの訴訟を和解させることに合意しました。被告側は弁護士費用・経費、和解管理・通知費用、クラス代表への報奨金を負担します。クラスメンバーは、データ侵害に起因する立証済みかつ未補填の実費損失について、1人当たり最大1,000ドルを上限とする補償を請求できます。
損失補償の請求を行わない場合、クラスメンバーは代替の現金支払いを請求することができます。この現金支払いは50,000ドルの和解基金から按分方式(pro rata)で支払われます。いずれの選択肢を選んだ場合でも、クラスメンバーは信用情報・医療データ監視サービスの1年間の会員資格を受ける資格があります。異議申し立て・除外の期限は2026年9月18日です。請求は2026年9月18日までに提出する必要があり、最終承認審問は2026年10月20日に予定されています。
翻訳元: https://www.hipaajournal.com/vision-care-providers-data-breach-settlements/