Northeast Rehabilitation Hospital Network、American Addiction Centers、およびMidwest Physician Administrative Services(Duly Health and Care)に対する、患者の保護された医療情報の不適切な開示疑惑に関するクラスアクション訴訟を解決するため、和解が裁判所から予備承認を受けました。
Northeast Rehabilitation Hospital Networkデータ漏洩和解
ニューハンプシャー州のNortheast Rehabilitation Hospital Networkは、Hunters Internationalサイバー脅威グループによる2024年のサイバー攻撃に起因するクラスアクション・データ漏洩訴訟を解決するため、和解に合意しました。サイバー攻撃は2024年5月22日頃に検出され、訴状によると、この事件で148,515人の個人情報が侵害されました。
このデータ漏洩は、HHSの公民権局に136,724人の保護された医療情報が関与していると報告されました。事件で侵害されたデータには、氏名、病歴、治療情報、患者アカウント番号、請求/クレーム情報、および健康保険情報が含まれていました。患者には2025年1月6日頃にデータ漏洩について通知されました。
データ漏洩に関する最初の訴訟は2025年1月に提起され、その後さらに3件のクラスアクション訴状が続きました。訴訟は、ニューハンプシャー州ロッキンガム郡上級裁判所で統合されました – Minicucci et al. v. Northeast Rehabilitation Hospital Network。
Northeast Rehabilitation Hospital Networkは訴訟の主張を否定していますが、責任や不正行為を認めることなく訴訟を和解することを選択しました。和解条件の下、クラスメンバーは2つの現金支払いのいずれかを請求できます。データ漏洩による文書化された未払いの損失の払い戻しを、クラスメンバー1人あたり最大5,000ドルまで請求できます。または、75.00ドルの一時金を請求できます。異議申し立て、オプトアウト、および請求提出の期限は2026年2月17日です。最終公正審問は2026年3月2日に予定されています。
American Addiction Centersデータ漏洩和解
American Addiction Centersは、2024年9月26日のデータ事件に関するクラスアクション訴訟を和解することに合意しました。この事件では、423,065人の個人情報への不正アクセスがあり、410,747人の現在および元患者の保護された医療情報が含まれていました。Rhysida ランサムウェア攻撃で暴露または盗まれたデータには、氏名、住所、電話番号、生年月日、医療記録番号、その他の識別子、社会保障番号、および健康保険情報が含まれていました。
データ漏洩を受けて12件のクラスアクション訴訟が提起され、重複する請求があったため、テネシー州中部地区連邦地方裁判所で統合されました。統合訴訟In re American Addiction Centers, Inc. Data Breach Litigation – は、ランサムウェア攻撃とデータ漏洩が、American Addiction Centersが合理的かつ適切なデータセキュリティ対策を実施しなかったために発生したと主張しました。American Addiction Centersはすべての不正行為、過失、責任の主張を否定していますが、さらなる法的費用、経費、および訴訟を継続することによる業務運営への妨害、負担、混乱を避けるため、訴訟を和解することに合意しました。
American Addiction Centersは、弁護士費用および経費、和解管理費用、12人の原告へのサービス報酬、およびクラスメンバーへの給付をカバーするため、2,750,000ドルの和解基金を設立することに合意しました。クラスメンバーは、2年間の信用監視サービス、データ漏洩による文書化された未払いの損失の払い戻し(クラスメンバー1人あたり最大5,000ドル)、および比例配分の現金支払い(クラスメンバー1人あたり約50ドルと予想されますが、受領した有効な請求の数によって高くなるか低くなる可能性があります)を請求できます。
異議申し立てとオプトアウトの期限は2026年3月6日です。請求提出の期限は2026年3月23日であり、最終公正審問は2026年4月20日に予定されています。
Midwest Physician Administrative Services (Duly Health and Care) ピクセル和解
Midwest Physician Administrative Services, LLC d/b/a Duly Health and Careに対するクラスアクション訴訟を解決するため、和解が合意されました。訴訟は、同社のウェブサイトdulyhealthandvcare.comでのMeta Pixelトラッキングコードの使用に関するものです。原告らは、トラッキングコードがウェブサイトユーザーの知識や同意なしに個人情報および保護された医療情報をMeta Platformsに送信したと主張しました。
訴訟 – Mayer v. Midwest Physician Administrative Services, LLC d/b/a Duly Health and Care – は、イリノイ州北部地区連邦地方裁判所に提起され、Duly Health and Careが患者に対してウェブサイトを使用して医療予約を予約し、医師や治療施設を検索し、医療症状を伝え、医療状態や治療オプションを検索し、イベントやクラスに登録することを奨励していると主張しました。また、臨床医とのコミュニケーション、医療記録へのアクセス、予約の予約、検査結果の取得などのために患者ポータルも維持されています。
ウェブサイトと患者ポータルのユーザーは、Duly Health and Careとのみコミュニケーションを取っていると信じていましたが、彼らの知らないうちにデータが収集され、Meta Platformsに送信されていました。訴状によると、「Meta Pixelをインストールすることにより、被告は原告およびクラスメンバーのウェブブラウザに事実上盗聴器を設置し、彼らが被告との個人的、機密的、機密的な健康関連のコミュニケーションを知らないうちにMetaに開示することを強制しました。」
訴訟は8つの請求を主張しました。1つは連邦電子通信プライバシー法(ECPA)違反であり、7つは州法に基づく請求でした:イリノイ州盗聴法違反、イリノイ州消費者詐欺および欺瞞的商慣行法違反、イリノイ州統一欺瞞的取引慣行法違反、信頼の侵害、プライバシー侵害—隠遁への侵入、黙示契約違反、および過失。Duly Health and Careはすべての不正行為を否定し、請求の記載不備により訴訟を却下するよう求めました。却下の申し立ては部分的に成功し、8つの請求のうち6つが却下されましたが、訴訟は過失とECPA違反の請求で続行することが許可されました。
調停および証拠開示の開始後、和解が合意されました。Duly Health and Careは、1,880,000ドルの和解基金を設立することに合意し、そこから弁護士費用および経費、和解管理費用、およびクラス代表者へのサービス報酬が差し引かれます。和解の残額は、請求を提出した個人に比例配分されます。請求は、2020年7月24日から2023年4月10日の間にウェブサイトの認証部分にログインした患者から受け付けられます。オプトアウトと異議申し立ての期限は2026年3月2日です。請求提出の期限は2026年3月2日であり、最終公正審問は2026年4月7日に予定されています。
翻訳元: https://www.hipaajournal.com/three-healthcare-providers-settle-class-action-data-breach-lawsuits/
