アラバマ・カーディオバスキュラー・グループ、カロライナ・アースリティス・アソシエイツ、ロッキー・マウンテン・ガストロエンテロロジー・アソシエイツ、リージョナル・オブステトリカル・コンサルタンツが経験した医療データ侵害をめぐる集団訴訟を解決するため、和解が合意された。
アラバマ・カーディオバスキュラー・グループのデータ侵害和解
アラバマ・カーディオバスキュラー・グループは、2024年7月2日に検知されたデータセキュリティ事案に起因するデータ侵害の集団訴訟について和解した。調査により、2024年6月6日から2024年7月2日の間に無許可の第三者が同社ネットワークにアクセスし、患者および従業員の情報を含むファイルを持ち出したことが確認された。侵害されたデータには、氏名、連絡先情報、社会保障番号、健康保険情報、医療情報が含まれていた。このデータ侵害の影響を受けたのは280,534人である。
データ侵害を受けて複数の集団訴訟が提起され、アラバマ州ジェファーソン郡巡回裁判所において、単一の訴訟—Tammy Brown et al., v. Alabama Cardiology Group P.C. d/b/a Alabama Cardiovascular Group —に併合された。併合後の訴訟では、過失、per se過失、契約違反、黙示契約違反、不当利得、信認義務違反が主張されている。アラバマ・カーディオバスキュラー・グループは、責任および不正行為に関するすべての主張を否認し、データ侵害が影響を受けた患者および従業員に何らの損害を与えたという点にも同意していない。しかし、長期化する訴訟費用と、裁判および関連する控訴の不確実性を回避するため、和解する判断が下された。
和解条件により、アラバマ・カーディオバスキュラー・グループは、弁護士費用および経費、和解手続の管理費用、集団代表者へのサービス・アワード、ならびに集団構成員への給付を賄うため、2,225,000ドルの和解基金を設立することに同意した。集団構成員は、データ侵害により生じた、証憑のある未補填損失について、1人当たり最大5,000ドルまでの補償請求を提出できる。代替として、集団構成員は按分の現金支払いを受け取ることも選択でき、これは費用・経費の控除および請求の支払い後に残る残余資金から支払われる。選択する現金支払いの有無にかかわらず、集団構成員は2年間のクレジット監視サービスを受ける権利がある。除外(オプトアウト)の期限は2026年2月4日である。請求は2026年3月6日までに提出する必要があり、最終承認審理は2026年3月20日に予定されている。
カロライナ・アースリティス・アソシエイツのデータ侵害和解
カロライナ・アースリティス・アソシエイツは、2024年9月のデータ侵害をめぐる併合集団訴訟について和解することに同意した。カロライナ・アースリティス・アソシエイツのデータ侵害は2024年9月27日に特定され、調査により、2024年9月26日から2024年9月30日の間に、患者データを含むファイルが同社ネットワークから持ち出された可能性があることが判明した。
ファイルの精査により、氏名、生年月日、治療/処置情報、診療録番号、提供者名、社会保障番号が盗まれた可能性があることが確認された。最大36,961人がこのデータ侵害の影響を受けた。データ侵害を受けて複数の集団訴訟が提起され、カロライナ・アースリティス・アソシエイツがネットワーク上の機微データを保護するための合理的かつ適切なセキュリティ対策を実装しなかったと主張された。訴訟は、ノースカロライナ州ニューハノーバー郡の司法一般裁判所・上級裁判部において、—In re Carolina Arthritis Associates Data Incident Litigation—として併合された。カロライナ・アースリティス・アソシエイツは不正行為および責任に関するすべての主張を否認しているが、長期化する訴訟の費用と時間、ならびに裁判の不確実性を回避するため、和解に同意した。
カロライナ・アースリティス・アソシエイツは、弁護士費用および経費、和解手続の管理費用、集団代表者へのサービス・アワードを賄うため、600,000ドルの和解基金を設立することに同意した。これらの費用が支払われた後、和解基金の残額は集団構成員への給付の支払いに充てられる。集団側代理人および集団代表者は本和解が公正であると考えており、和解は裁判所から予備承認を得ている。
集団構成員は、データ侵害により生じた、証憑のある未補填損失について、1人当たり最大5,000ドルまでの補償請求を提出できる。代替として、按分の現金支払いの請求を提出することもでき、1人当たり100ドル程度と見積もられている。現金支払いは、受理された請求件数に応じて増減する可能性がある。さらに、影響を受けた個人には2年間のクレジット監視および身元盗用保護サービスが提供されている。和解に対する異議申立ておよびオプトアウトの期限は2026年2月6日である。請求提出の期限は2026年2月23日である。最終的な公正性審理は2026年3月10日に予定されている。
リージョナル・オブステトリカル・コンサルタンツのデータ侵害和解
リージョナル・オブステトリカル・コンサルタンツは、現患者および元患者25,787人に影響を与えた2024年5月のデータ侵害をめぐる集団訴訟で和解した。無許可の第三者が2024年5月6日頃に同社ネットワークへアクセスし、氏名、生年月日、住所、電話番号、診療録番号、保険ID番号、診断、病歴、処置情報を取得した可能性がある。影響を受けた個人には2025年1月22日に通知された。
データ侵害をめぐり、リージョナル・オブステトリカル・コンサルタンツに対して3件の集団訴訟が提起された。これらの訴訟には重複する主張があり、テネシー州ハミルトン郡衡平裁判所において、単一の訴訟—Heidi Davis et al. v. Regional Obstetrical Consultants, P.C.—に併合された。併合後の訴訟では、合理的かつ適切なセキュリティ対策を実装しなかったことによりデータ侵害が発生したと主張し、過失、過失per se、黙示契約違反、不当利得、プライバシー侵害、信認義務違反を申し立てた。
リージョナル・オブステトリカル・コンサルタンツは不正行為および責任に関するすべての主張を否認している。しかし、長期化する訴訟に伴う費用・時間・業務上の負担、および裁判の不確実性を回避するため、和解する判断が下された。和解条件により、集団構成員は3つの給付のいずれかについて請求を提出できる。証憑のある未補填の特別損失について、1人当たり最大7,500ドルまでの補償請求を提出できる。代替として、証憑のある通常損失について1人当たり最大2,000ドルまでの補償請求を提出することも、按分の現金支払いを請求することもでき、現金支払いは1人当たり50ドル程度と見積もられているが、受理された請求件数に応じて高くも低くもなり得る。除外および異議申立ての期限は2026年1月31日である。請求提出の期限は2026年2月15日である。最終的な公正性審理は2026年3月2日に予定されている。
ロッキー・マウンテン・ガストロエンテロロジー・アソシエイツのデータ侵害和解
ロッキー・マウンテン・ガストロエンテロロジー・アソシエイツは、2024年9月13日に特定されたデータ侵害(366,491人の患者の電子的保護対象医療情報への無許可アクセスを伴う)をめぐる集団訴訟について和解することに同意した。侵害されたデータには、氏名、住所、生年月日、患者アカウント番号、診療録番号、社会保障番号、健康保険識別番号、ならびに診断や治療情報などの健康情報が含まれていた。
影響を受けた個人への通知書は2024年11月13日に発送が開始され、最初の集団訴訟は原告デビッド・デイビスにより2024年12月19日に提起された。さらに、他の影響を受けた個人により追加の訴訟が提起された。これらの訴訟には重複する主張があったため、コロラド州ジェファーソン郡地区裁判所において、—David Davis et al. v. Rocky Mountain Gastroenterology Associates PLLC – として併合された。訴訟では、過失、過失per se、黙示契約違反、信認義務違反、不当利得、ならびに確認判決が主張された。ロッキー・マウンテン・ガストロエンテロロジー・アソシエイツは不正行為および責任に関するすべての主張を否認している。
併合集団訴訟が提起された直後、当事者全員が早期解決の可能性を模索し始め、調停を経て和解の主要条件が合意された。和解は現在、確定し、裁判所により承認されている。和解条件により、集団構成員は、月額14.95ドル相当のクレジット監視および身元盗用保護サービス(2年間)を無償で受ける権利がある。加えて、集団構成員は、データ侵害により生じた、証憑のある未補填損失について補償請求を提出できる。補償請求は1人当たり1,000ドルを上限としている。請求提出の期限は2026年2月2日である。
翻訳元: https://www.hipaajournal.com/four-healthcare-providers-class-action-data-brteach-settlements/
