テネシー州でチャッタヌーガハート・インスティテュートとして事業を展開するメモリアルハート・インスティテュートが、2023年のデータ漏洩を巡って訴えられました。375万ドルの和解が合意され、裁判官から初期段階の承認を受けました。最終公正性聴聞会は2026年5月28日に予定されています。
サイバー攻撃は2023年4月17日に特定されました。調査によると、脅威アクターは2023年3月8日から3月16日の間にチャッタヌーガハート・インスティテュートのネットワークにアクセスでき、患者の保護された健康情報を含む一部のファイルを流出させました。ファイルレビューで確認された流出データには、名前、住所、メールアドレス、電話番号、生年月日、運転免許証番号、社会保障番号、アカウント情報、健康保険情報、診断/状態情報、検査結果、医薬品、その他の臨床的、人口統計的、または財務情報が含まれていました。
Karakurtランサムウェアグループがこの攻撃の責任を主張しました。データ漏洩はHHS民権局に報告され、545,491人の個人の保護された健康情報が関係していました。データ漏洩に対応して複数のクラスアクション訴訟が提起され、チャッタヌーガ南地区のアメリカ合衆国地区裁判所でカーヒル他対メモリアルハート・インスティテュートLLC(d/b/a チャッタヌーガハート・インスティテュート)の単一訴訟に統合されました。
訴訟によると、約46万人が個人情報の流出または盗難の被害を受け、そのうち287,000人が社会保障番号を流出させました。原告らはチャッタヌーガハート・インスティテュートが患者データを不注意に管理し、不正アクセスを防ぐための適切な防止策を実装しなかったと主張し、これはチャッタヌーガハート・インスティテュートによって強く否定されました。訴訟は過失、絶対的な過失責任、黙示的契約違反、不当利得、寄託、信認義務違反、プライバシー侵害、および宣言的および差止救済を主張しました。
チャッタヌーガハート・インスティテュートは訴訟の却下を求めましたが、その要求は部分的に却下され、訴訟は進行することが認められました。証拠開示中、当事者は早期解決の可能性の検討を開始し、調停に続いて和解の重要な条件に合意しました。和解は現在最終確定し、チャッタヌーガハート・インスティテュートによる不正行為または責任の認めはありません。被告は375万ドルの和解基金を設定し、これは2つの別々の基金に分割されます。社会保障番号サブクラス用の返納不可の200万ドルの基金と総クラス用の最大175万ドルの基金です。
すべてのクラスメンバーは2年間のクレジット監視サービスを請求でき、年間約120ドルの価値があります。さらに、クラスメンバーあたり最大5,500ドルまでのデータ漏洩による証拠が示された未払いの損失の払戻しについて請求を提出できます。社会保障番号和解クラスのメンバーも現金支払いを請求できます。現金支払いは、和解管理費用、弁護士費用および経費の一部、およびクラス代理人への報酬が差し引かれた後、按分払いされます。弁護士費用および費用は社会保障番号クラス(53%)と総クラス基金(47%)に分割されます。請求を提出する期限は2026年7月13日です。自分を除外したい、または和解に異議を唱えたい個人は2026年6月12日までにそうする必要があります。
翻訳元: https://www.hipaajournal.com/chattanooga-heart-institute-data-breach-settlement/
