Hypertension Nephrology Associates、Asheville Arthritis and Osteoporosis Center、Intermountain Planned Parenthoodに対する集団訴訟のデータ侵害訴訟を解決するための和解が合意されました。
Hypertension Nephrology Associatesのデータ侵害和解
ペンシルベニア州ウィローグローブのHypertension Nephrology Associates(HNA)は、2024年1月のデータ侵害に起因する集団訴訟を和解するため、62万5,000ドルを支払うことに同意しました。不正なネットワークアクセスは、身代金要求のメモが見つかった2024年2月6日に検知されました。ランサムウェア攻撃者が同社ネットワークに侵入し、健康情報および金融情報を含む39,491人の患者の個人情報および保護対象保健情報を盗み出しました。HNAは2024年5月17日に影響を受けた個人へ通知しました。
原告パトリシア・キッドウェルは、ペンシルベニア州モンゴメリー郡のコモン・プリーズ裁判所において、Kidwell v. Hypertension Nephrology Associates, P.C.(キッドウェル対Hypertension Nephrology Associates, P.C.)という訴訟を提起し、サイバー攻撃およびデータ侵害は、HIPAAセキュリティ規則に違反して合理的なセキュリティ保護措置を実装しなかった被告の不備によるものだと主張しました。訴状ではさらに、被告が侵害を2週間検知できず、その後3か月間通知の発出を遅らせたことがHIPAA侵害通知規則に違反すると主張しました。HNAは影響を受けた個人に対し12か月間の無料クレジット監視サービスを提供しましたが、原告はそれでは全く不十分だと主張しました。
訴訟では、過失、当然過失、黙示契約違反、不当利得、プライバシー侵害の請求が主張されました。HNAはすべての主張に同意せず、不正行為はなかったとしています。訴訟提起後まもなく、原告と被告は訴訟の早期解決の可能性を検討することに合意し、調停を経て、すべての当事者が受け入れ可能な和解が成立しました。
HNAは、弁護士費用および経費、和解手続き管理費用、クラス代表者への報奨金を賄うため、62万5,000ドルの和解基金を設立します。残額はクラスメンバーへの給付の支払いに充てられます。クラスメンバーは、証憑のある未補填の自己負担損失について、クラスメンバー1人あたり最大5,000ドルまでの補償請求を提出できます。代替として、クラスメンバーは一度限りの現金支払いの請求を提出することもでき、その金額は有効な請求件数に応じて決まります。いずれの選択肢を選んだ場合でも、すべてのクラスメンバーは2年間のクレジット監視および保険サービスも請求できます。 請求提出期限は2026年1月20日で、最終公正性審理は2026年2月18日に予定されています。
Asheville Arthritis and Osteoporosis Centerのデータ侵害和解
ノースカロライナ州のAsheville Arthritis and Osteoporosis Centerは、58,251人の患者に影響した2024年5月のサイバー攻撃およびデータ侵害を受けて提起された集団訴訟を和解することに同意しました。攻撃は2024年5月22日頃に発生し、氏名、住所、生年月日、電話番号、社会保障番号、診療メモ、検査結果、診断、健康保険情報などを含む患者情報への不正アクセスが関与していました。
Stiwinter et al. v. Asheville Arthritis and Osteoporosis Center(スティウィンターほか対Asheville Arthritis and Osteoporosis Center)という訴訟は、原告カレン・スティウィンターによりノースカロライナ州バンコム郡上級裁判所に提起され、その後ノースカロライナ州ビジネス裁判所に移送されました。訴訟では、過失、当然過失、黙示契約違反、受託者義務違反、不当利得の請求が主張され、損害賠償、確認判決および差止救済が求められました。Asheville Arthritis and Osteoporosis Centerは不正行為を否認し、訴訟で主張されたすべての請求に同意していませんが、裁判の費用、時間、不確実性を回避するために訴訟を和解する決定がなされました。
Asheville Arthritis and Osteoporosis Centerは50万ドルの和解基金を設立し、そこから弁護士費用および経費、和解手続きの管理および通知費用、サービス報奨金が控除されます。残額はクラスメンバーへの給付の支払いに充てられます。 クラスメンバーは、データ侵害により生じた証憑のある未補填損失について、クラスメンバー1人あたり最大5,000ドルまでの補償請求を提出できます。損失補償の請求を提出したくないクラスメンバーは、一度限りの按分による現金支払い(推定100ドル)を受け取ることを選択できます。現金支払い額は、有効な請求件数に応じて増減する可能性があります。 和解に対する異議申立ておよび和解からの除外の期限は2026年1月26日で、すべての請求も同日までに提出する必要があります。最終公正性審理は2026年2月9日に予定されています。
Intermountain Planned Parenthoodのデータ侵害和解
2024年8月のデータ侵害をめぐりIntermountain Planned Parenthoodに対して提起された集団訴訟を解決する和解が、裁判所から最終承認を受けました。Planned Parenthood of Montanaとして事業を行うIntermountain Planned Parenthoodは、2024年9月6日にネットワークへの不正アクセスを特定し、2024年8月28日に無許可の第三者が同社ネットワークにアクセスし、最大56,917人の患者の個人情報および保護対象保健情報を取得した可能性があると判断しました。
本件で侵害された可能性のあるデータには、氏名、住所、生年月日、診療録番号、健康保険情報、医療提供者名、受診日、診断情報、治療情報、処方情報が含まれていました。 データ侵害を受け、イエローストーン郡第13司法地区裁判所に2件の集団訴訟が提起され、単一の訴状に併合されました。すなわち、Nicole Downey & Sarah Suzanne Sullivan v. Intermountain Planned Parenthood, Inc. d/b/a Planned Parenthood of Montana. です。訴訟では、過失/当然過失、黙示契約違反、寄託(ベイルメント)違反、プライバシー侵害、不当利得の請求が主張されましたが、被告はこれらすべてを否認し、責任または不正行為に関するすべての आरोप(申し立て)も否定しました。
すべての当事者は、裁判の費用と不確実性を回避するために訴訟を和解することに合意しました。和解条件により、クラスメンバーは、自己負担損失および失われた時間について、最大5,000ドルまで、さらに失われた時間について最大80ドル(1時間あたり20ドルで最大4時間)までの補償請求を提出できます。加えて、すべてのクラスメンバーは、医療データ監視サービスの2年間のメンバーシップを請求する権利があり、これには100万ドルの医療盗難保険が含まれます。請求提出期限は2026年1月12日です。
