マサチューセッツ州モールデンに拠点を置くミスティック・バレー高齢者サービスは、2024年4月5日のデータ侵害に起因する統合集団訴訟を和解するため、52万ドルを支払うことに同意しました。 不正な第三者がミスティック・バレー高齢者サービスのネットワークにアクセスし、89,600人を超える個人の氏名、生年月日、旅券番号、金融口座番号、決済カード番号、オンライン認証情報、納税者番号、社会保障番号、運転免許証番号、健康保険情報、医療情報を取得した可能性があります。
このデータ侵害を受けて5件の集団訴訟が提起され、マサチューセッツ州ミドルセックス郡上級裁判所で統合されました。統合集団訴訟(In re Mystic Valley Elder Services Inc.)では、サイバーセキュリティ上の不備によりデータ侵害が発生したこと、ミスティック・バレー高齢者サービスが不正活動を適時に検知できなかったこと、影響を受けた個人に対して適時に通知を行わず、当該個人がデータ侵害を知ったのは6か月後だったことが主張されました。
訴訟では、過失、黙示契約違反、受託者責任違反、不当利得、ならびにマサチューセッツ州消費者保護法違反が主張されました。また、暗号化されていない電子メールによる機微情報の送信を裁判所命令で禁止すること、電子メールアカウントに保護対象保健情報を保存することを禁じること、患者データのプライバシーと安全を確保するための各種セキュリティ対策の実施を求めることなど、差止救済を求めました。ミスティック・バレー高齢者サービスは、あらゆる責任および不正行為を否認しています。
訴訟では陪審裁判が求められていましたが、調停の結果、裁判および関連する控訴に伴う費用、時間、不確実性を回避するため、当事者全員が和解に合意しました。和解基金は、弁護士費用および経費、和解手続の管理費用と通知費用、ならびに集団代表者へのサービス報酬に充てられます。残額は、集団構成員への給付の支払いに使用されます。
集団構成員は、按分による現金支払いを請求でき、1人当たり約75ドルと見積もられています。また、データ侵害により生じた、補償を受けていないことが文書で確認できる損失について、1人当たり最大5,000ドルまでの払い戻し請求を提出することもできます。和解には、2年間のクレジット監視および個人情報盗難保護サービスも含まれます。最終的な公正性審理は2026年2月17日に予定されています。請求は2026年2月9日までに提出する必要があります。
翻訳元: https://www.hipaajournal.com/mystic-valley-elder-services-data-breach-settlement/
