Charlotte-Mecklenburg Hospital Authority(Atrium Healthとして事業展開)は、患者ポータル「MyAtriumHealth」(旧称MyCarolinas)におけるピクセルおよびその他のトラッキング技術の使用をめぐるクラスアクション訴訟を解決するため、最大180万ドルを支払うことに合意しました。
ノースカロライナ州を拠点とするAtrium Healthは、ノースカロライナ州とサウスカロライナ州で12の病院と、両州で900以上の医療施設を運営しています。多くの医療システムと同様に、Atrium Healthも患者ポータルにトラッキング技術を導入していました。こうしたツールはウェブサイト運営者にとって重要な用途を持ちますが、医療機関のウェブサイトで使用する場合、機微なデータの不適切な開示につながるリスクがあります。
こうしたツールが患者ポータルのような認証済みのウェブページに組み込まれると、患者の保護対象保健情報(PHI)がMeta(Facebook)やGoogleといったツール提供元の第三者に開示される可能性があります。調査の結果、Atrium Healthは2015年1月1日から2019年7月31日までの間に、最大585,959人分の患者の保護対象保健情報がこうしたツールの使用により第三者に不適切に開示された可能性があると判断しました。データ侵害を報告する際、Atrium Healthはポータルを利用したすべての患者について、電子的な保護対象保健情報(ePHI)が不適切に開示されたものと想定しました。
侵害の可能性があるデータには、IPアドレスや第三者識別子・Cookieが含まれていました。フォームに入力していた場合、開示された情報にはフルネーム、メールアドレス、電話番号、市区町村・州・郵便番号、性別、その他フォームに入力されたあらゆる情報が含まれていた可能性があります。
このデータ侵害を受けて複数のクラスアクション訴訟が提起され、ノースカロライナ州メクレンバーグ郡上位裁判所において、Julie Roberts、Judith Sigmon、Darielle Hill、Chrisanna Brownの4名を全国クラスの代表原告とする単一の訴状「Julie Roberts, et al. v. The Charlotte-Mecklenburg Hospital Authority」に統合されました。
原告らは、これらのツールが本人の認識や同意なしに患者ポータルに追加されたと主張し、被告の行為によってプライバシーが侵害されたと訴えました。訴訟では、明示的契約違反、信義誠実義務違反、黙示的契約違反、過失、受託者義務違反、不当利得の各請求が主張されました。
Atrium Healthはあらゆる不正行為を否定し、いかなる法律にも違反していないと主張して却下申立てを行い、一部認められたものの、訴訟自体は継続することが認められました。最終的に両当事者は、訴訟継続に伴う費用とリスクを回避するため、和解に合意しました。
この和解は、限定的な例外を除き、2025年1月1日から2024年4月10日までの間にMyAtriumHealthまたはMyCarolinasの患者ポータルアカウントを保有していた米国内在住のすべての個人を対象としています。Atrium Healthは180万ドルの和解基金を設立することに合意しており、そのうち150万ドルが弁護士費用・諸経費、(グループ1の請求に係る)管理費用、そして2015年1月1日から2019年7月31日までの間にアカウントを利用した個人への支払いに充てられます。
この和解には、2015年1月1日から2024年4月10日までの間に患者ポータルアカウントを保有していたものの、2015年1月1日から2019年7月31日までの間にアカウントにアクセスしなかった個人(グループ2)からの請求に対応するための最大30万ドルも含まれています。グループ1の和解金の残額は、請求を提出した個人に按分(pro rata)で支払われ、グループ2の個人は請求を提出すれば最大10ドルの支払いを受けられます。オプトアウトおよび異議申し立ての期限は2026年8月31日です。請求の提出期限は2026年9月28日で、最終公正性審問は2026年9月30日に予定されています。
翻訳元: https://www.hipaajournal.com/atrium-health-pixel-data-breach-settlement/