TokyoBlackHatNews

hipaajournal.com 4分で読了

ニュー・リバティ病院、ニューヨーク血液センター、メモリアル・ブラッド・センターズがデータ侵害訴訟で和解

ミズーリ州のニュー・リバティ病院、ミネソタ州のメモリアル・ブラッド・センターズ、およびニューヨーク血液センターは、患者データが露出したサイバー攻撃をめぐる集団訴訟で和解しました。

ニュー・リバティ病院法人

2023年のデータ侵害により264,541人の保護対象医療情報が関与したとして、ミズーリ州のリバティ病院に対して提起された集団訴訟を解決するための1,500,000ドルの和解が、裁判所から予備承認を受けました。リバティ病院は2023年12月19日頃にサイバー攻撃を受けました。攻撃でデータが暗号化されたかどうかは不明ですが、身代金要求のメモが届き、攻撃者はネットワークから機微なデータをダウンロードしたと主張しました。調査により、氏名、住所、メールアドレス、電話番号、生年月日、医療記録、医療処置情報、診断、社会保障番号、健康保険情報などの保護対象医療情報が攻撃でアクセスされ、取得された可能性があることが確認されました。影響を受けた個人には2024年2月8日頃に通知されました。

データ侵害をめぐる最初の集団訴訟は、リバティ病院がサイバー攻撃を公表した後の2024年1月17日に提起されました。さらに2024年2月28日に別の訴訟が提起され、2件の集団訴訟はミズーリ州クレイ郡地方裁判所において単一の事件—C.P. et al. v. New Liberty Hospital Corporation—に併合されました。併合された集団訴訟では、過失、当然過失、プライバシー侵害(私的事実の公表)、秘密保持に関する受託者義務違反、黙示契約違反、信義誠実および公正取引の黙示条項違反、不当利得、ミズーリ州マーチャンダイジング・プラクティス法違反、ならびに不適切な研修および監督といった請求が主張されました。リバティ病院は一切の責任および不正行為を否認し、訴訟で主張されたすべての請求に対して有力な抗弁があると考えています。しかし、さらなる訴訟による訴訟費用・経費、注意散漫、負担、事業運営への混乱を回避するため、和解が最善の結果と判断されました。

リバティ病院は、弁護士費用および経費、和解手続の管理費用、ならびにクラス代表者へのサービス賞を賄うため、1,500,000ドルの和解基金を設立することに同意しました。これらの費用を控除した後、和解基金の残額はクラスメンバーへの給付の支払いに充てられます。さらに、リバティ病院はサイバーセキュリティ強化に1,000,000ドル超を投資することにも同意しました。クラスメンバーは、データ侵害に起因する、証拠書類のある未補償損失について、クラスメンバー1人あたり最大500ドルまでの補償請求を提出できます。あるいは、現金支払いの請求を提出することもでき、1人あたり150ドル程度と見積もられています。現金支払い額は、有効な請求件数に応じて増減する可能性があります。請求の提出、オプトアウト、および和解への異議申立ての期限は2026年1月12日です。最終承認審理は2026年1月20日に予定されています。

ニューヨーク血液センターおよびメモリアル・ブラッド・センターズ

ニューヨーク血液センターおよびメモリアル・ブラッド・センターズは、2025年1月のサイバー攻撃およびデータ侵害をめぐる集団訴訟を解決するため、500,000ドルを支払うことに同意しました。ハッカーは、氏名、生年月日、性別、血液型、特定の血液検査結果、口座振込(ダイレクトデポジット)に関する金融情報、社会保障番号、運転免許証番号、その他の政府発行身分証明書番号にアクセスしました。このデータ侵害は、現職または元職の生存する従業員18,487人と、生存する献血者175,335人に影響しました。

データ侵害を受けて複数の訴訟が提起され、ミネソタ州ラムジー郡地方裁判所において単一の訴状—Dean, et al. v. New York Blood Center, Inc., et al—に併合されました。併合訴訟では、機微なデータを不正アクセスから保護するための合理的かつ適切なセキュリティ対策を実施しなかったとして過失が主張されました。被告らは一切の責任および不正行為を否認していますが、訴訟継続に伴う費用およびリスクを回避するため、和解に同意しました。

弁護士費用(最大166,666.66ドル)、弁護士経費(最大20,000ドル)、およびサービス賞(クラス代表者1人あたり2,500ドル)が和解基金から控除され、残額はクラスメンバーへの給付の支払いに充てられます。クラスメンバーは、証拠書類のある未補償損失について、クラスメンバー1人あたり最大2,500ドルまでの補償請求を提出できます。あるいは、現金支払いの請求を提出することもでき、1人あたり20ドル程度と見積もられています。現金支払い額は、有効な請求件数に応じて増減する可能性があります。すべてのクラスメンバーは、100万ドルのなりすまし被害保険を含む医療データ監視サービスの1年間のメンバーシップを請求する権利も有します。和解への異議申立ておよびオプトアウトの期限は2026年1月12日です。請求は2026年2月11日までに提出する必要があり、最終承認審理は2026年2月10日に予定されています。

翻訳元: https://www.hipaajournal.com/new-liberty-hospital-new-york-blood-center-memorial-blood-centers-data-breach-settlements/

ソース: hipaajournal.com
#サイバーセキュリティ強化 #サイバー攻撃 #ランサムウェア #信用監視サービス #個人情報保護 #医療機関のデータ侵害 #和解金 #患者情報漏えい #血液センター #集団訴訟

関連記事

未成年の子どもの診療記録へのHIPAAアクセス権行使を求め、両親がミネソタ州の病院を提訴

医療請求代行会社のデータ侵害、7つの医療グループに影響

医療機関、AIを悪用したアイデンティティ侵害への防御能力に自信なし