ウェブサイトの追跡技術を通じて、個人を特定できる患者情報が第三者に違法に開示されたとする、3つの医療提供者(Sutter Health、Lemonaid Health、Redeemer Health)に対する集団訴訟を解決するための和解が合意されました。
ピクセルなどの追跡技術は、オンライン上のユーザー活動を特定・追跡するために、インターネット全体で広く使用されています。ウェブサイト所有者はこれらのツールを用いて、個人が自社サイトをどのように利用しているか(閲覧したページ、サイト利用時間、サイト内でクリックしたリンクなど)に関する有用な情報を収集できます。また、特定のウェブサイトで閲覧したコンテンツに基づいてパーソナライズされた広告を配信するなど、マーケティング目的でインターネット上で訪問者を追跡するためにも使用されます。ウェブサイト所有者はこれらのツールで収集されたデータを閲覧できますが、同じデータは通常、これらのツールを提供する第三者プロバイダーにも送信されます。
医療分野では、これらのツールがHIPAAで保護される情報(個人を特定できる健康情報)を送信してしまう可能性があるため、リスクが伴います。HHS(米国保健福祉省)の公民権局(Office for Civil Rights)は、HIPAAとウェブサイト追跡技術に関するガイダンスを発出しましたが、これは裁判で争われました。そのガイダンスは一部が無効とされました。これらのツールは、HIPAAの規制対象事業体のウェブサイトで使用してもHIPAA違反にならない場合がありますが、HIPAAに準拠した同意(authorization)を取得しているか、またはコードを提供した第三者と業務委託先契約(business associate agreement)を締結していない限り、患者ポータルなどの認証が必要なページで使用すべきではありません。これらのツールの使用をめぐり、HIPAA、盗聴、州のプライバシー法違反を主張して病院やその他の医療機関を相手取った多くの訴訟が提起され、そのうち3件が最近和解しました。
Sutter Health
カリフォルニア州サクラメントに本拠を置く非営利の統合型医療提供システムであるSutter Healthは、自社ウェブサイトおよび患者ポータル上のクッキー、ピクセル、ウェブビーコン、JavaScript、その他の技術を通じて、患者の保護対象医療情報(PHI)がMeta(Facebook)、Google、その他の第三者に不適切に開示されたとする集団訴訟に直面しました。訴訟はカリフォルニア州サクラメント郡上級裁判所で統合され(Jane Doe I and Jane Doe II, et al. v. Sutter Health)、複数の請求が主張されました。いくつかの申立て上の争いで一部の請求が退けられた後、集団訴訟は、カリフォルニア州プライバシー侵害法(CIPA)違反、明示契約違反、黙示契約違反の請求で進行しました。2回の調停の試みを経て、Sutter Healthによる不正行為または責任の認めなしに、21,500,000ドルの和解が合意されました。
和解基金は、弁護士費用および経費、通知および和解管理費用、ならびにクラスメンバーに対するサービスアワードの支払いに充てられます。クラス側代理人(class counsel)は、最大7,095,000ドルに加え、推定経費208,990.21ドルを請求でき、通知費用および管理費用はそれぞれ385,000ドルと445,000ドルとなり、各クラス代表者は最大10,000ドルのサービスアワードを請求できます。
和解基金の残額は、クラスメンバーへの給付の支払いに使用されます。各クラスメンバーは一回限りの現金支払いを請求でき、その額はクラスメンバー1人あたり90ドルを超えません。クラスメンバーは、2025年6月10日から2020年3月20日までの期間に、自身の医療に関連する目的でSutter HealthのMyHealthOnlineポータルに自分のアカウントでログインしたカリフォルニア州居住者です。給付の支払い後に和解基金に残金がある場合は、非営利団体のPrivacy Rights ClearinghouseおよびAHIMA Foundationにcy presとして分配されます。
本和解は裁判所から予備承認を受けており、最終的な公正性審理は2026年2月27日に予定されています。請求提出期限は2026年1月28日で、和解への異議申立ておよび和解からの除外の期限は2026年1月23日です。
Lemonaid Health
23andMe傘下の遠隔医療プラットフォーム提供者であるLemonaid Health Inc.は、lemonaidhealth.comのウェブサイトで追跡ピクセルを使用したことに関する集団訴訟について和解することに同意しました。同訴訟では、ユーザーの認識や同意なしに、個人を特定できる健康情報および保護対象医療情報がMetaやGoogleなどの第三者に開示されたと主張されていました。
訴訟は当初、A.J., et al. v. Lemonaid Health Inc. and LMND Medical Group, Inc. d/b/a Lemonaid Healthと題され、カリフォルニア北部地区連邦地方裁判所に提起されました。被告らが破産手続に入ったため、訴訟名はIn re Chrome Holding Co. (f/k/a 23andMe Holding Co.), et alに変更され、ミズーリ州東部地区連邦破産裁判所へ移送されました。
被告らは不正行為または責任を一切否認している一方で、クラス側代理人およびクラス代表者は有効な請求を主張していると考えています。すべての当事者は、和解が当事者全員の最善の利益にかなうことに同意しました。和解条件により、3,250,000ドルの和解基金が設立され、和解基金の最大3分の1までの弁護士費用、経費、和解管理および通知費用、ならびにクラス代表者へのサービスアワード(最大55,000ドル)を賄います。和解金の残額は、約35,000人のクラスメンバーに対する一回限りの現金支払いに充てられます。本和解は破産裁判所から予備承認を受けており、最終的な公正性審理は2026年1月20日に予定されています。和解への異議申立ておよび和解からの除外の期限は2026年1月5日で、請求は2026年2月23日までに提出する必要があります。
Redeemer Health
ペンシルベニア州ハンティンドン・バレーに拠点を置き、ペンシルベニア州南東部およびニュージャージー州の患者にサービスを提供するカトリック系医療提供者Redeemer Healthは、訪問者の認識や同意なしに個人情報および健康情報を第三者へ違法に送信する追跡ピクセルを、自社のウェブサイトおよび患者ポータルに追加したと主張されました。これらのツールの使用をめぐって3件の訴訟が提起され、実質的に類似した訴因であったため、2023年5月8日にフィラデルフィア郡コモン・プリーズ裁判所で、単一の訴訟(Doe et al. v. Redeemer Health et al I)に統合されました。
Redeemer Healthは不正行為または責任を否認しており、原告らは有効な請求を主張していると考えています。すべての当事者は、訴訟を継続することによる費用、混乱、注意散漫、そして不確実性を回避するため、和解が当事者全員の最善の利益にかなうことに同意しました。本和解により、クラスメンバーは25ドルの現金支払いを受け取り、ダークウェブ上の幅広い資産を監視することで個人を詐欺から守るサービスであるCyEx Privacy Shield Proを1年間利用登録する機会が提供されます。給付は請求が必要であり、請求は2026年1月9日までに提出しなければなりません。最終承認審理は2026年2月9日に予定されています。
