PharMericaは、2023年のハッキング事件およびデータ侵害に関する集団訴訟について和解することに同意しました。この事件では580万人が影響を受けました。PharMericaは、費用および給付を賄うために520万ドルを支払うことに加え、セキュリティ体制を強化するために数百万ドルを投資することを約束しました。
フォーチュン1000に名を連ねる薬局サービス提供企業であるPharMericaは、2023年3月にサイバー攻撃を受け、Money Messageランサムウェアグループが犯行声明を出しました。同グループは、この攻撃で4.7テラバイトのデータを流出させたと主張し、患者情報を含むファイルなど、盗まれたデータをダークウェブ上のデータ漏えいサイトで公開しました。攻撃で侵害されたデータには、氏名、住所、生年月日、投薬情報、社会保障番号、健康保険情報が含まれていました。
このデータ侵害を受けて、患者データの収集および保管における過失を主張する複数の集団訴訟がPharMericaに対して提起されました。これらの訴訟には重複する主張があり、米国ケンタッキー州西部地区連邦地方裁判所(ルイビル部)において、単一の訴状—Lurry v. PharMerica Corporation—に併合されました。PharMericaは責任および不正行為に関するすべての主張を否認し、訴訟の却下を求めました。2024年1月12日、連邦判事は却下申立てを一部認めましたが、訴訟の継続は認めました。
過失の主張について、判事は原告らが侵害に起因する損害を十分に主張していると判断しました。しかし、PharMericaと直接の関係がない一部原告については黙示契約違反の主張、信認義務違反の主張、ならびにカリフォルニア州法およびミシガン州法に基づく一部の主張を棄却しました。
和解条件に基づき、PharMericaは和解基金に5,275,000ドルを拠出することに同意しました。この基金は、弁護士費用、和解手続の管理費用、和解クラスへの加入資格を特定するためのデータマイニングに関するPharMericaの過去および将来の費用、6名のクラス代表者へのサービス賞、ならびにクラスメンバーへの給付の支払いに充てられます。
クラスメンバーは、データ侵害により生じた、文書で裏付けられた未補償の損失について、クラスメンバー1人あたり最大10,000ドルまでの補償請求を提出できます。また、クレジットモニタリング、ダークウェブ監視、ペイデイローン監視、クレジットスコア報告、不正行為に関する相談、ならびに身元盗用の解決サービスの1年会員資格を請求する権利もあります。このパッケージには、100万ドルの身元盗用保険も含まれます。さらに、クラスメンバーは一度限りの現金支払いを請求でき、これは按分(プロラタ)で支払われ、受理された請求件数に応じて金額が決まります。これらの和解に加え、PharMericaは事業慣行を変更し、保有する患者データをより適切に保護するためにセキュリティを改善することに同意しました。
本和解は、2026年1月12日に裁判所から予備承認を受けました。異議申立ておよびオプトアウトの期限は2025年4月12日です。請求は2026年4月27日までに提出する必要があり、最終的な公正性審理は2026年5月12日に予定されています。
翻訳元: https://www.hipaajournal.com/pharmerica-data-breach-settlement/
