マクラーレン・ヘルス・ケアは、2023年および2024年に発生し、患者と従業員あわせて280万人超に影響した2件のランサムウェア攻撃に起因する集団訴訟を和解するため、1,400万ドルを支払うことに同意した。
マクラーレン・ヘルス・ケアは、ミシガン州グランドラピッズに本拠を置く統合型医療提供システムで、ミシガン州、インディアナ州、オハイオ州で12の病院と多数の医療施設を運営し、さらに健康保険プランも提供している。1年の間に、マクラーレン・ヘルス・ケアは2度のランサムウェア攻撃を受けた。最初の攻撃はALPHV/BlackCatランサムウェアグループによるもので、2023年7月28日から2023年8月23日まで同社のコンピュータネットワークにアクセスしていた。2回目の攻撃はInc Ransomランサムウェアグループによるもので、2024年7月17日から2024年8月3日までネットワークにアクセスしていた。
ALPHV/BlackCatランサムウェア攻撃は2,103,881人に影響し、Inc Ransomランサムウェア攻撃は743,131人に影響した。攻撃で侵害されたデータには、氏名、社会保障番号、過去・現在・将来の身体的・精神的・行動上の健康または状態に関する情報、医療の提供に関する情報、医療費の支払いに関する情報が含まれていた。
最初の攻撃は2023年8月22日に検知され、影響を受けた個人への通知書は2023年11月9日に郵送された。最初のデータ侵害を受けて少なくとも8件の集団訴訟が提起され、ミシガン州東部地区連邦地方裁判所に統合された。2024年のランサムウェア攻撃およびデータ侵害の後、さらに2件の集団訴訟が提起された。これらの訴訟は、ミシガン州ジニシー郡第7th司法巡回裁判所に統合された—Cindy Womack-Devereaux, et al. v. McLaren Health Care Corporation.
訴状では、マクラーレン・ヘルス・ケアのセキュリティ対策が不十分で、データセキュリティに関する業界標準、FTCのガイドライン、またはHIPAA規則に準拠しておらず、その結果として最初の攻撃が発生したと主張した。さらに、マクラーレン・ヘルス・ケアはランサムウェア攻撃から教訓を得られず、追加のインシデントを防ぐために必要なセキュリティ強化を行わなかったため、2回目のランサムウェア攻撃につながったとされた。
原告らは、攻撃の結果として、プライバシーの侵害、個人情報の窃取、個人情報の価値の喪失または低下、時間の損失および機会費用、取引の利益の喪失、雇用機会の喪失、ならびに個人情報が暗号化されないままダークウェブを通じて他者がアクセス可能な状態で残っていることによる継続的な悪用リスクなど、具体的な損害を被ったと主張した。訴訟では、過失、黙示契約違反、明示契約違反、不当利得の主張がなされた。マクラーレン・ヘルス・ケアは、訴訟におけるすべての主張および主張内容に同意していない。
和解の可能性について数か月にわたり協議が行われた後、原告らは和解要求を提示し、最終的に調停を経て適切な和解が合意された。和解条件に基づき、クラスメンバーは、単一機関による1年間のクレジットモニタリングおよび身元盗難保護サービスに加え、1回または2回の現金支払いについて請求を提出できる。最初の現金支払いは、データ侵害により生じた、文書で証明された未補償の損失について、クラスメンバー1人あたり最大5,000ドルまでの償還として請求できる。損失は2023年7月28日以降に発生している必要があり、かつ、いずれかのデータ侵害に起因する可能性が高いことが求められる。
損失の償還請求を提出するかどうかにかかわらず、クラスメンバーは按分(プロラタ)の現金支払いを請求できる。これは、弁護士費用および経費、和解管理費用、代表原告へのサービスアワード、クレジットモニタリング費用、ならびに損失償還の請求が控除された後に支払われる。マクラーレン・ヘルス・ケアはまた、一定の是正措置を講じ、セキュリティを強化することにも同意した。
除外および異議申立ての期限は2026年3月16日である。請求提出の期限は2026年4月29日で、最終承認審理は2026年4月21日に予定されている。
翻訳元: https://www.hipaajournal.com/mclaren-health-care-data-breach-settlement/
