近日,由5家醫院組成的美國醫療系統Scripps Health,在5月1日遭到勒索軟體(ransomware)攻擊後,目前電腦網路和線上病歷記錄已經恢復。不過,Scripps Health正面臨來自患者的多起集體訴訟,指控其未能保護患者的醫療數據免受駭客攻擊,隱私受到侵犯。Scripps Health 發言人表示,公司對未決訴訟不發表評論。
Scripps Health在本月向147,267名患者發出通知表示,駭客竊取了患者部分健康和個人財務信息。
代表患者的律師事務所 Scott Cole & Associates,在美國加州南區聯邦地區法院(Southern District of California)指控Scripps Health過失,導致數據洩露和侵犯隱私。
該訴訟聲稱,個人資料包括:姓名、駕駛執照、社會安全號碼(Social Security numbers)和患者就醫記錄,這些被洩露的數據使患者受到損害,例如造成時間損失,甚至對隱私受到侵犯感到焦慮和擔憂,以及無法進入MyScripps與醫生溝通和管理預約等。
Scott Cole & Associates強調,雖然美國每年都會發生數百起數據洩露事件,但多數都不會像這次,透過攻擊獲得患者的高度敏感資訊。
該訴訟聲稱,尤其是近年醫療照護組織數據洩露事件增多,電子病歷有可能成為駭客攻擊目標的情況下,Scripps Health本可透過適當保護和加密醫療數據,來防止數據洩露,但其在檢測和應對網路攻擊方面,採取的安全措施顯然不足,未能保護患者的健康資訊。
該訴訟除了要求Scripps Health支付每件違規行為1千美元、每位原告和集體成員(class member)高達3千美元的賠償、律師費、訴訟費用和法庭費,也要求實施並維護足夠的安全協定(security protocols),以防止未來駭客攻擊。
此外,另一起訴訟代表了其他數千名患者,控訴Scripps Health未經授權發布其個人可識別的醫療資訊而遭受損失。他們聲稱其病史、精神或身體狀況和治療(包括診斷和治療日期)以及其他個人資訊,儲存在Scripps Health 的非加密形式的電腦網路。