カンザス州カンザスシティに拠点を置くサンフラワー・メディカル・グループは、2024年12月のランサムウェア攻撃に起因する集団訴訟を和解するため、最大1,200,000ドルを支払うことに同意しました。ランサムウェア攻撃はRhysidaランサムウェアグループによって実行され、同グループは2024年12月15日頃に同社ネットワークへアクセスしました。サンフラワー・メディカル・グループは2025年1月7日、氏名、住所、生年月日、社会保障番号、運転免許証番号、医療情報、健康保険情報などを含む機微な患者データが盗まれたことを確認しました。
Rhysidaは、この攻撃で約3テラバイトのSQLデータベースを流出させたと主張しており、そこには約40万人の患者データが含まれていたとしています。身代金が支払われない場合、Rhysidaは盗まれたデータの販売を試み、売れ残ったデータはダークウェブ上のデータ漏えいサイトで公開しますが、本件もその例でした。サンフラワー・メディカル・グループのファイルレビューでは影響を受けた個人は220,968人と特定されましたが、訴訟のクラス規模は255,734人です。
このデータ侵害をめぐり、サンフラワー・メディカル・グループに対して複数の集団訴訟が提起されました。各訴訟には重複する主張があったため、ミズーリ州ジャクソン郡巡回裁判所(インディペンデンス)において、単一の訴状—S.W., et al. v. Sunflower Medical Group, P.A. – —に統合されました。原告は、サンフラワー・メディカル・グループがHIPAAセキュリティ規則で求められる合理的かつ適切なセキュリティ対策を実装しなかったこと、業界のベストプラクティスに従わなかったこと、攻撃後にHIPAA準拠のリスク分析を実施しなかったこと、その他のHIPAA規則違反を行ったことにより、HIPAA規則が違反されたと主張しました。訴訟では、過失、守秘に関する信認義務違反、黙示契約違反、訓練および監督の過失、ならびにミズーリ州マーチャンダイジング・プラクティス法違反が主張されました。
サンフラワー・メディカル・グループは不正行為はなかったとし、訴訟におけるすべての主張および主張内容を否認し、責任はないとしています。HHS(米国保健福祉省)の公民権局(Office for Civil Rights)はデータ侵害に関する調査を開始し、HIPAA規則遵守に関する技術支援をサンフラワー・メディカル・グループに提供しましたが、特定されたコンプライアンス上の問題は金銭的制裁の対象となる基準には達しないことを示しました。OCRは調査を終了扱いとしています。
主張に同意しない一方で、サンフラワー・メディカル・グループは訴訟を和解することに同意しました。裁判および関連する控訴に伴う費用とリスクを回避するため、和解が当事者全員の最善の利益にかなうことで全当事者が合意しました。和解基金は、弁護士費用および経費、和解の管理および通知費用、クラス代表者へのサービス報奨、ならびにクラスメンバーへの給付を賄います。和解金額の上限は1,200,000ドルに設定されています。
すべてのクラスメンバーは、200万ドルの医療ID盗難保険と不正解決支援サービスを含む、2年間の医療データ監視サービスを受ける権利があります。さらに、現金支払いの請求を提出することもできます。現金支払いは上限300,000ドルで、上限を超えた場合は按分で減額されます。クラスメンバーは、データ侵害により生じた、補償されていない損失について、証憑のあるものに限りクラスメンバー1人あたり最大5,000ドルまでの償還請求を提出できます。あるいは、代替として一回限りの10ドルの現金支払いを請求することもできます。サンフラワー・メディカル・グループは、さらなるデータ侵害のリスクを軽減するため、追加のセキュリティ対策を実施することにも同意しました。
和解に対する異議申立ておよび和解からの除外の期限は2026年1月26日です。請求は2026年3月26日までに提出する必要があり、最終的な公正性審理は2026年3月6日に予定されています。
2025年3月26日:サンフラワー・メディカル・グループ、22万2,000件の記録に及ぶデータ侵害で提訴
サンフラワー・メディカル・グループは、最近開示されたデータ侵害(現・元患者22万2,000人超の保護対象保健情報が関与)をめぐり、集団訴訟に直面しています。サンフラワー・メディカル・グループは、カンザス州に4拠点を持つ民間の複数診療科の医療機関です。サンフラワー・メディカル・グループのデータ侵害は2024年12月15日に発生しましたが、発見までに3週間以上を要しました。サンフラワー・メディカル・グループによれば、不正アクセスは2025年1月7日に特定され、遮断されました。
ハッカーは、氏名、住所、生年月日、社会保障番号、運転免許証番号、医療情報、健康保険情報にアクセスできました。影響を受けた個人には2025年3月7日に通知書が郵送され、社会保障番号が関与した個人には無償のクレジット監視およびID盗難保護サービスが提供されました。このデータ侵害は、220,968人の保護対象保健情報が関与したものとして、HHS公民権局に報告されました。
訴訟(John Crisp v. Sunflower Medical Group, P.A.)は、通知書が郵送されてから数日後に、ミズーリ州西部地区連邦地方裁判所に提起されました。訴状では、被告が不十分なセキュリティ慣行により、機微データを不正アクセスから保護する義務を果たさなかったと主張しています。また、通知書にはセキュリティ改善のために取られている措置が記載されておらず、クレジット監視およびID盗難保護サービスも影響を受けた一部の個人にしか提供されなかったとしています。
訴訟は、原告およびクラスメンバーがデータ侵害の結果として重大な損害を被ったと主張しており、これには、データの悪用によるID盗難および詐欺の重大かつ継続的なリスク、自身の個人情報および保護対象保健情報がどのように使用されるかを管理する機会の喪失、データの悪用を防ぐための自己負担費用、税還付金の受領遅延、侵害の影響を軽減しようとして費やした時間による機会費用の損失が含まれるとしています。
医療データ侵害のリスクが高いことを踏まえると、被告はハッカーの標的となり得ることを認識すべきだったにもかかわらず、FTCのガイドラインおよび業界標準に従わなかったと訴訟は主張しています。また、医療グループが健康保険の携行性と責任に関する法律(HIPAA)に違反していたとして、HIPAA規則の違反とされる10項目に注意を喚起しています。さらに、影響を受けた個人が自身の機微データが侵害されたことを知るまでに要した期間の長さも問題視しました。通知書は侵害が検知されてから2か月後、侵害発生から82日後に郵送されました。この遅延により、クラスメンバーが適時に損害軽減を図る機会を奪われたと訴訟は主張しています。
訴訟は、過失、黙示契約違反、プライバシー侵害、不当利得、信認義務違反を主張し、陪審裁判、補償的損害賠償、クレジット監視サービス、弁護士費用、ならびにサンフラワー・メディカル・グループに業界標準のセキュリティ対策の実施を求める差止救済を求めています。
翻訳元: https://www.hipaajournal.com/sunflower-medical-group-data-breach-lawsuit/
