モビリティ機器提供会社であるUnited Seating and Mobility(Numotionとして事業を展開)は、2024年に発生した2件のデータセキュリティインシデントに起因する集団訴訟について和解することに合意した。これらのインシデントでは、数十万人の顧客の保護対象医療情報に対する不正アクセスが関与していた。
最初のインシデントは、2024年3月2日にNumotionによって検知された。フォレンジック調査により、訴状によれば、同社のシステムに不正な第三者がアクセスしたことが確認され、そのシステムには現職および元顧客・従業員685,264人*の個人情報および保護対象医療情報が含まれていた。ランサムウェアグループは2024年2月29日から3月2日まで同社ネットワークにアクセスしており、氏名、生年月日、機器注文の詳細、裏付けとなる医療文書、医療保険情報、ならびに一部の個人については社会保障番号を取得した可能性がある。
2件目のデータセキュリティインシデントはフィッシングによるもので、2024年9月29日に発見され、メールアカウントへの不正アクセスが関与していた。データレビューにより、侵害されたアカウント内に494,326人*の個人情報および保護対象医療情報が存在していたことが確認され、これには氏名、生年月日、製品情報、支払いおよび金融口座情報、医療保険情報、医療情報、ならびに限定的な社会保障番号が含まれていた。
各データ侵害への対応として複数の集団訴訟が提起され、2つの別個の手続に統合された。2025年3月、2つの統合手続それぞれの当事者は、両訴訟を単一の和解で早期解決することを検討した。丸1日の調停と対等な立場での交渉を経て、和解の主要条件が合意され、その後数週間で、被告が責任または不正行為を認めない形で和解が最終化された。この和解は現在、裁判所から予備承認を得ている。
和解条件に基づき、Numotionは、弁護士費用および経費(最大1,333,333.33ドル)、和解手続の管理費用、集団代表者へのサービス報奨、ならびに集団構成員への給付を賄うため、4,000,000ドルの和解基金を設立することに合意した。現金支払いには2つの可能性がある。集団構成員は、データ侵害により生じた、補填されていない損失について、証憑に基づく償還を集団構成員1人あたり最大15,000ドルまで請求でき、これに加えて按分(プロラタ)の現金支払いを受けることができる。費用およびその他の給付によって和解基金が使い尽くされない場合、現金支払いは按分で支払われる。
すべての集団構成員は、請求を提出しなくても2年間の無料クレジットモニタリングサービスを受けられ、社会保障番号が漏えいした個人のサブクラスは、2年間の医療モニタリングサービスについて請求を提出できる。和解からの除外(オプトアウト)および和解への異議申立ての期限は2026年3月3日で、請求は2026年3月18日までに提出しなければならない。最終承認審理は2026年4月2日に予定された。
*HHS(米国保健福祉省)の公民権局には、最初のインシデントが最大602,265人の保護対象医療情報に関与し、2件目のデータ侵害が最大529,004人の保護対象医療情報に関与したと報告された。
翻訳元: https://www.hipaajournal.com/numotion-data-breach-settlement/
