ミシガン州に拠点を置くマクラーレン・ヘルス・ケアは、2023年にAlphv/BlackCat、2024年にInc Ransomによるとされる2件のランサムウェア攻撃に関する統合集団訴訟を和解するため、1,400万ドルを支払うことに同意した。これらの攻撃は約250万人の患者および従業員に影響を及ぼした。
ミシガン州の州裁判所に提起されたマクラーレンに対する統合訴訟は、過失、黙示契約違反、明示契約違反、および不当利得を主張した。
ミシガン州グランドブランに本社を置くマクラーレンは、自社を、12の病院と、ミシガン州、インディアナ州、オハイオ州にまたがる数十のその他医療施設を擁する、73億ドル規模の統合型医療提供システムだと説明している。マクラーレンは医療保険プランも運営している。
和解の承認に関する最終審理は4月21日に予定されている。予備的和解の下では、クラスメンバーは、侵害に「かなりの可能性で」関連するとされる、証拠に基づく未補償の損失および結果的費用について、最大5,000ドルまでの請求を提出できる。
クラスメンバーはまた、証拠に基づく損失、管理費用、その他の費用が支払われた後に和解基金に残る金額に基づいて算出される、按分の現金支払いについても請求できる。
クラス側代理人は、和解基金の3分の1、すなわち約460万ドルを報酬として求めており、さらに訴訟費用として別途5万ドルを求めている。
和解の下で、マクラーレンは自己負担でデータセキュリティの実務を強化することに同意した。これには、少なくとも2年間にわたり、具体的だが非公開の措置を実施することが含まれる。
訴訟では、2023年7月28日から2023年8月23日まで、そして1年後の2024年7月17日から2024年8月3日までの期間に、サイバー犯罪者がマクラーレンのネットワークから、現・元患者約250万人の機微な個人情報を持ち出したと主張している。
最初の事件では、ロシア語話者のランサムウェア集団Alphv/BlackCatが、マクラーレンの患者および従業員データ6テラバイト超を盗んだと主張した。これには氏名、社会保障番号、健康保険情報、生年月日、ならびに診断、治療、医師情報、投薬などの医療情報が含まれていた(参照: 攻撃で250万人の患者データを盗んだと集団が主張)。
マクラーレンは2023年10月、ランサムウェア攻撃が約220万人の患者に影響したと連邦規制当局に報告した(参照: マクラーレン・ヘルス・ケアのハッキングで数百万人が影響、訴訟が相次ぐ)。
マクラーレンは2024年にも、同様のサイバーセキュリティ事件に再び見舞われた。
「マクラーレンは、今後に向けて自社システムおよび原告とクラスの私的情報の保護を確実にするために必要なセキュリティ強化を行わなかった」と訴状は主張している。「したがって、これらの不備により、マクラーレンはほぼ1年後に再びデータセキュリティ事件を経験した。」
2024年の事件当時、マクラーレンの臨床スタッフはInformation Security Media Groupに対し、Inc Ransomによるとされる2件目の事件は、Alphv/BlackCatによる2023年のランサムウェア攻撃よりも患者ケア提供に対してより大きな混乱をもたらしたと語った(参照: マクラーレン・ヘルス、1年で2度目のランサムウェア被害)。
マクラーレンは、いずれの事件においても身代金要求を支払ったかどうかを公に述べていない。
マクラーレンは2024年の攻撃について、2025年6月に米国保健福祉省へ、74万3,000人超の個人の保護対象医療情報に影響したハッキング事件として報告した(参照: マクラーレン・ヘルス、2024年のランサムウェアによるハッキングで74万3,000人が影響と発表)。
マクラーレンへの攻撃を受け、ミシガン州当局は、消費者に対し信用情報やその他の口座を積極的に監視するよう促す公的警告を発した(参照: 当局、マクラーレンが攻撃から回復する中でリスクを警告)。
マクラーレンは、和解に関するISMGのコメント要請に直ちには応じなかった。
翻訳元: https://www.databreachtoday.com/mclaren-health-will-pay-14m-to-settle-lawsuits-in-2-attacks-a-30719
