テネシー州のMurfreesboro Medical Clinic & SurgiCenterは、2023年4月に発生し、55万9,000人の患者の保護対象医療情報への不正アクセスを伴った大規模なデータ侵害をめぐる集団訴訟について、和解に合意しました。
Murfreesboro Medical Clinicは、「よく知られたサイバー恐喝組織」が2023年4月22日ごろに同院のネットワークへアクセスし、患者および従業員のデータを持ち出したと判断しました。この事件で侵害されたデータには、氏名、生年月日、自宅住所、電話番号、運転免許証の写し、社会保障番号(全桁または一部)、扶養者情報、受診日、受診日に関連する医療・診断情報、検査結果、処置記録、処方情報、診療録番号、保険および加入情報が含まれていました。影響を受けた個人には2023年5月に攻撃について通知されました。BianLianランサムウェアグループがこの攻撃の犯行声明を出しました。
データ侵害を受けて6件の集団訴訟が提起され、請求内容が重複していたことから、2023年9月7日にテネシー州ラザフォード郡第16司法巡回裁判所において、単一の訴訟—Krenkほか 対 Murfreesboro Medical Clinic and SurgiCenter および Murfreesboro Medical Clinic—に併合されました。併合後の訴訟では、被告らの過失および法令上・コモンロー上の義務を遵守しなかったことによりサイバー攻撃が発生したと主張されました。Murfreesboro Medical Clinic and SurgiCenterおよびMurfreesboro Medical Clinicは、責任および不正行為に関するすべての主張を否認しています。
相当量の情報交換と調停を経て、継続的な訴訟に伴う費用、遅延、リスクを踏まえると、和解が最善の結果であるとして当事者全員が合意しました。和解は当事者全員により合意され、裁判所から予備承認を得ています。 和解には、弁護士費用および経費(最大35万ドル)、集団代表者へのサービス賞(代表者1人あたり3,000ドル、合計2万4,000ドル)、クラスメンバーの失われた時間および損失の補償、ならびにクレジット監視および個人情報盗難保護サービスが含まれます。
クラスメンバーは、データ侵害に起因する未補償で文書化された自己負担費用の補償として、最大500ドルまで請求できます。これには、時給25ドルで最大2時間分の失われた時間が含まれます。失われた時間に関する請求には総額20万ドルの上限があり、その総額を超えた場合は按分して支払われます。クラスメンバーはまた、200万ドルの個人情報盗難保険を含む、2年間のクレジット監視および個人情報盗難保護サービスを請求することもできます。
Murfreesboro Medical Clinic & SurgiCenterはまた、業務慣行の変更およびセキュリティ強化を行うことにも合意しており、その費用は和解合意とは別に支払われます。これには、少なくとも3年間にわたり包括的な情報セキュリティプログラムを維持すること、データセキュリティおよび不審なメールの取り扱いに関する従業員向け研修を実施すること、適切なファイアウォールおよびデータ分離プロトコルを実装すること、記録削除のためのプロトコルが実施されていることを確保すること、ならびにデータセキュリティ事故への対応方針を維持することが含まれます。
最終的な公正性審理は2026年1月16日に予定されており、請求は2026年4月14日までに提出する必要があります。
翻訳元: https://www.hipaajournal.com/murfreesboro-medical-clinic-data-breach-settlement/
