電子カルテ(EHR)ベンダーのVeradigm(旧AllScripts)は、2024年12月のハッキング事案に関連して提起された統合クラスアクション訴訟を終結させるため、1,050万ドルの和解に合意した。この事案では、10社以上の医療提供者クライアントと、その患者約250万人が影響を受けた。
Veradigmに対する訴訟では、過失、黙示契約違反、不当利得などが主張された。
Veradigmは侵害通知の中で、2025年7月1日に、一部クライアントのデータが不正な者によりアクセスされていたことを発見したと述べた。不正者は侵害された認証情報を悪用してVeradigmの「ストレージユニット」へのアクセスを得たという(参照:ベンダーのVeradigmとApolloMDが医療データのハッキングを報告)。
「事案自体は2024年12月15日ごろに発生したものの、Veradigmがこれを把握したのは、影響を受けた顧客に関する元のデータセキュリティ事案を調査していた第三者を通じて、最近になってからだった」とVeradigmは当時述べた。
Veradigmの侵害で漏えいした可能性のあるデータは個人によって異なるが、氏名、生年月日、連絡先情報、診断や治療などの健康情報、社会保障番号、健康保険情報、支払い情報、運転免許証番号などが含まれていた。
暫定和解の下では、各クラスメンバーは、事案に関連する文書化された損失について、最大5,000ドルの現金支払いを請求できる。
代替として、クラスメンバーは約50ドルの按分(プロラタ)支払いを請求することもできる。さらに、各和解クラスメンバーは、2年間の無料の医療ID盗用および不正監視についても請求できる。
原告側弁護士は、和解基金の3分の1、すなわち約350万ドルの報酬および費用を求めている。
和解条件により、Veradigmは、最終的な裁判所承認審理(2月18日に予定)の14日前までに、侵害後に同社が実施した、または将来実施するセキュリティ強化について、「書面で署名済みの宣誓供述書」をクラス側代理人に提出することに同意した。
Veradigmは、これら追加のセキュリティ投資の費用を、1,050万ドルの和解基金とは別に負担する。
この事案では、10社以上のVeradigmクライアントが影響を受けた。
影響を受けたのは、Virginia Ear, Nose and Throat Associates、Carolina Ear Nose and Throat Allergy Center、Neighborhood Health Center of Western New York、Cabarrus Eye Center、Family Medical Group of Texarkana、La Red Health Center、Urology Associates of Mobile、Peachtree Neurological Clinic、North Buncombe Family Medicine、Thomaston Medical Clinic、Henrietta Johnson Medical Center – Wilmington、CommonSpirit HealthおよびMercyOneを含むCatholic Health Initiatives、Nystrom and Associates、Unio Specialty Careを含むGenesis Healthcare、Delaware Healthnet、Corona-Temecula Orthopedic Associates Medical Groupなど。
翻訳元: https://www.databreachtoday.com/ehr-vendor-veradigm-to-pay-105m-to-settle-hack-lawsuit-a-30578
