薬局サービス企業のPharMericaは、ケンタッキー州の連邦判事が月曜日に承認した暫定的な集団訴訟和解の一環として、少なくとも520万ドルを支払う。さらに、セキュリティ強化のために数百万ドルを追加で拠出する。この訴訟は、同社が580万人に影響したと報告した2023年のハッキング事件に端を発している。
統合された提案集団訴訟では、PharMericaが集団構成員の個人情報を収集・保管するにあたり過失があったと主張していた。
ランサムウェア集団Money Messageは、2023年3月にPharMericaに対して行われた攻撃の犯行声明を出し、同社のデータ4.7テラバイトを盗み出し、患者情報を含む複数のスプレッドシートをダークサイト上で漏えいさせた(参照:PharMerica、約600万人に影響する侵害を報告)。
同社の侵害通知によれば、これには患者の氏名、住所、生年月日、社会保障番号、投薬情報、健康保険情報が含まれていたとされている。
裁判資料からは、PharMericaが身代金要求に応じて支払ったかどうか、また支払った場合の金額は不明である。2023年にDatabreaches.netでMoney Marketの広報担当者は、当事者間で一定の交渉は行われたものの、双方は行き詰まりに達したと述べた。
約530万ドルの和解基金は、和解の管理にかかる全費用、和解クラスへの加入を確認するためのデータマイニングに関するPharMericaの過去および将来の費用、そして集団側代理人が弁護士費用として請求した約350万ドルの半額の支払いに充てられる。裁判資料によれば、請求された弁護士費用の残り半額はPharMericaが直接支払う。
和解基金に加え、PharMericaは本件に関連する実費の支出が文書で確認できる請求について、クラスメンバー1人当たり最大1万ドルを支払うことに同意した。
PharMericaは、全米のさまざまな医療施設やプログラム向けに薬局サービスを提供している。これには、180の地域薬局と7万のバックアップ薬局の運営に加え、約3,100の長期介護施設、高齢者向け居住施設などに対して、専門薬局、在宅輸液、行動健康サービスを提供することが含まれる。
2017年の同社の直近で入手可能な四半期報告書では、プライベートエクイティ企業KKRが14億ドルで同社を買収した直後に提出されたもので、売上高および顧客の許可病床数に基づき、同社を米国で第2位の機関向け薬局サービス企業と説明していた。
その後、KKRはPharMericaをBrightSpring Health Servicesと統合し、年間売上高約45億ドルの企業体を形成した。
裁判資料によれば、和解の考慮事項の一部として、PharMericaは「同社システム上の個人情報を保護するため、情報セキュリティに関連する一定の業務慣行の変更を採用し、費用を負担し、実施し、維持する」としている。これらの業務慣行変更の推定価値は年間254万ドルである。
和解に関する最終承認の審理は5月12日に予定されている。
翻訳元: https://www.databreachtoday.com/pharmerica-will-pay-at-least-52m-to-settle-hack-lawsuit-a-30522
