医療テクノロジー企業のVeradigm Inc.(旧Allscripts)は、2024年に発生し機微な患者データが侵害されたデータ侵害を受けて提起された集団訴訟について、和解に合意しました。イリノイ州に拠点を置く同社は、電子カルテ(EMR)ソフトウェアや診療所管理ツールなど、医療機関向けのソフトウェアツールを提供しています。2024年12月、サイバー犯罪者が同社ネットワークにアクセスし、同社の医療機関顧客に属する患者データを不正に取得した可能性があります。影響を受けた患者は200万人超に上ります。本件で侵害されたデータには、氏名、連絡先情報、生年月日、診療記録情報、保険請求データ、支払い情報、ならびに社会保障番号や運転免許証の写しといったその他の識別情報が含まれていました。
データ侵害を受けた最初の集団訴訟は、原告のTony GoodrumおよびJason Mixtonが、個人として、また同様の立場にある人々を代表して、2025年6月に提起しました。その後、2件目の集団訴訟が提起され、両訴訟は請求内容が重複していたため、米国イリノイ州北部地区連邦地方裁判所において1件に併合されました。
併合後の訴訟(Goodrum, et al. v. Veradigm Inc.)では、データ侵害は過失の結果であり、合理的かつ適切なサイバーセキュリティ対策が実施されていれば防げたはずだと主張しました。過失に加え、訴状では、当然過失(per se)、黙示契約違反、不当利得、確認判決、および差止救済の請求も主張しています。
Veradigmは不正行為および責任に関するすべての主張を否認しています。しかし、2件の訴訟が提起された直後、同社は早期解決の可能性を検討しました。併合訴訟の提起後に行われた調停を経て、責任または不正行為を認めない形で訴訟を和解することについて、原則合意に至りました。集団側代理人および集団代表者は、交渉により成立した和解は公正であり、集団構成員の最善の利益にかなうと考えています。
和解合意の条件に基づき、Veradigmは、裁判所の承認を条件として、集団構成員の給付に関する請求、和解手続の管理費用、ならびに弁護士費用および訴訟費用を賄うため、1,050万ドルの和解基金を設立することに同意しました。集団構成員は、データ侵害により生じた、証拠により裏付けられた未補填の損失について、最大5,000ドルの補償として請求を提出することができます。あるいは、現金支払いを請求することもでき、その額は50ドルになる見込みですが、有効な請求件数に応じて調整されます。いずれの選択肢を選んだ場合でも、集団構成員は医療データ監視製品の2年間の会員資格も請求できます。請求可能な内容の詳細は、和解ウェブサイト(https://veradigmdatasettlement.com/)で確認できます。
和解に対する異議申立ておよび除外(オプトアウト)の期限は2026年2月17日です。請求は2026年3月3日までに提出する必要があり、最終的な公正性審理は2026年3月18日に予定されています。
翻訳元: https://www.hipaajournal.com/veradigm-class-action-data-breach-lawsuit/
