10/20/23　著者：マイク・カプッツォ

グーグル、マイクロソフト、フェイスブック、TikTok、そして大多数の医療・ヘルスケアウェブサイトが、連邦政府による取り締まりにもかかわらず、個人健康情報を違法に収集・販売していることが、新しいサイバーセキュリティ報告書で明らかになった。

トロントを拠点とするサイバーセキュリティ企業Feroot Securityによるこの報告書は、数百のヘルスケアウェブサイトを分析し、86％以上が個人データを収集し、ユーザーの同意なしに、プライバシー法に違反して広告主やマーケティング担当者、大手ハイテク・ソーシャルメディア企業に転送していることを明らかにした。

患者や消費者がお気に入りの、あるいは信頼できる医療ウェブサイトを閲覧したり、病院のポータルサイトにサインインして個人的な医療記録にアクセスすると、ウェブサイトに埋め込まれた目に見えないHTMLコード（「トラッキング・ピクセル」と呼ばれる）が、患者がガンであるか、勃起不全であるか、病院の請求書を滞納しているかなどの個人情報を収集する。

報告書によれば、これらの情報は再パッケージ化され、インターネット広告で個人ユーザーをターゲットにする企業など、さまざまな用途で販売される。

個人情報をスクレイピングされる危険性が特に高いのは、ログインページや登録ページで、インターネット・ユーザーは、それが乗っ取られて売られているとは知らずに、大量の情報を提供している。ログインページや登録ページの73％以上が、個人の健康情報を盗み出す目に見えないトラッカーを持っていることが、この調査で判明した。

フェルートが分析したトラッキング・ピクセルの約15％は、ユーザーのキー入力を記録し、社会保障番号、ユーザー名とパスワード、クレジットカードと銀行情報、医療診断と治療を含む無限の個人健康データを採取する。

この調査では、「グーグルが絶対的に支配的なデータ収集者」であることが示された。グーグルの検索エンジンで読み込まれたウェブサイトの92％が、ヘルスケアや遠隔医療、銀行や金融サービス、航空会社、電子商取引、連邦政府や州政府など、米国経済の幅広い分野にわたるデータ収集技術を含んでいた。

2位はマイクロソフトで、同社のプラットフォーム上のウェブサイトの50.4％がトラッキングツールを非表示にしており、次いでフェイスブックが50.2％、TikTokが7.41％と急成長している。

グーグルは、世界第4位の企業である親会社アルファベットの牽引役として、しばしば 『世界最強の企業 』と呼ばれる。世界デジタル経済の生命線である広告が収益の80％を占める。

マイクロソフトとフェイスブックは、組織的にデータを侵害する企業の「トップ3」を占めている、と報告書は述べている。

グーグル、マイクロソフト、フェイスブックの代表は、自社がトラッキング・ピクセルを使って個人データを収集していることを否定した。

グーグルの広報担当者は、ウェブサイトの所有者はデータ収集を管理する責任があると述べた。グーグルのポリシーでは、グーグル・アナリティクスと広告の顧客（例えば病院やテレヘルスのウェブサイトなど）が、米国医療保険の相互運用性と説明責任に関する法律（HIPAA）に違反して健康データを収集することを禁じている。HIPAAの規制対象であるかどうか、またHIPAAのもとでどのような義務を負っているか」を判断するのはウェブサイト次第である、とGoogleのポリシーは述べている。

トラッカーやサードパーティがユーザーの同意なしに収集した個人健康データは、HIPAA違反である、とFerootのCEOイヴァン・ツァリニーは言う。

大手テック企業は「健康情報の保護について語るポリシーを持っている」とツァリーニーは言う。しかし「これらのポリシーの実際の適用は別の話です」

Feroot社の調査は、「ウェブサイトからブラウザに読み込まれるピクセル／トラッカーを使って、プライバシーや機密性の高いユーザーデータを収集するデータマイニング企業への懸念が高まる」中で行われた。

コンプライアンス規制当局や政府当局は、これらを抑制するために、禁止、制限、および行政命令でますます踏み込んでいる。

ベッカーズ・ホスピタル・レビューによると、今年18の主要病院システムが、プライバシー法に違反して患者の機密医療データをグーグルやフェイスブック、その他のハイテク大手と共有したとして訴えられた。

その中には、ピッツバーグ大学メディカルセンター、シカゴ大学メディカルセンター、アイオワ大学メディカルセンター、シカゴを拠点とするノースウェスタン記念病院、カリフォルニア大学サンフランシスコ・メディカルセンターなどの著名な学術医療センターが含まれている。

データ盗難に対する懸念の高まりと記事「『制御不能』： 数十社の遠隔医療新興企業が、機密性の高い健康情報を大手テック企業に送信していた」という記事と、データ窃盗に対する懸念の高まりに促されて、フェルートは「ピクセルやトラッカーを使って個人情報、機密情報、プライベートデータを収集し、転送しているソーシャルメディアのピクセル／トラッカーの正確な規模と普及度を確認する」ための調査を開始した。

Ferootが企業に販売しているセキュリティ・プラットフォームは、「アクティブなクライアント側の電子スキミングに関する詳細な事実を把握することを可能にした」と同社は述べている。

フェルートは1月から2月にかけての8週間、ピクセル／トラッカーに関するデータを収集した。

同社によると、7つの経済分野でユニークなウェブサイトを持つ3675以上の組織を調査した。特に脆弱なログインページ、登録ページ、クレジットカード処理ページを含む108,836のユニークなウェブページ、227のトラッカー、700万のデータ転送を調査した。

Beware of Pixels & Trackers」の主な調査結果

・ピクセルトラッカーは「一般的かつ豊富」であり、1ウェブサイトあたり平均13.16ピクセル／トラッカーが発見され、「Google、Microsoft、Meta（Facebookのオーナー）、ByteDance（TikTokのオーナー）、Adobeが最も一般的である。

・ログインや登録ページのような 「ミッションクリティカル 」なウェブページは、個人情報が流出するリスクを高める。平均5.96％のウェブサイトが、プライバシーまたは機密データを含むユーザー入力フォームを読み取るウェブページ上にピクセル/トラッカーを持っていた。

・ピクセルトラッカーは世界中の外国にデータを転送している。米国を拠点とするウェブサイトから読み込まれたピクセル／トラッカーによって転送されたデータの約5％が米国外に送信されている。

・ピクセルトラッカーは、最初に訪問者の明確な同意を得ることなくデータを収集し、転送する。

・ピクセルやトラッカーは、米国政府や米国の様々な州によって禁止されているドメインからロードされており、ロシアや中国を含む同じ政府の一部からもロードされている。ロシアや中国のウェブサイトが取得したデータは、監視やスパイ行為によるセキュリティ上のリスクがある。

・中国企業ByteDanceが所有するMeta（FacebookとInstagramの所有者）とTikTokは、プライバシー侵害と監視のリスクで「特に心配」された。共和党と民主党が支配する米国の34の州が、政府用デバイスでのTikTokの使用を禁止している。モンタナ州は5月、すべての個人用デバイスでのアプリの使用を禁止した。

・TikTokアプリを削除してもしなくても、TikTokはしばしば存在する。TikTokのピクセル／トラッカーは依然として ミッションクリティカルなユーザーデータを扱うウェブページに読み込まれ、それを収集・転送することができる。

GoodRX事件はデータ共有をめぐる企業の欺瞞を浮き彫りにした

米連邦取引委員会（FTC）によると、企業がデータ漏洩によって利益や評判を失ったり、データ漏洩を引き起こしたことによる罰金に直面する一方で、大手医療系ウェブサイトが個人情報を収集・販売した場合、個人は破滅的なプライバシーの喪失に直面する可能性があるという。

2月、FTCは、人気のあるディスカウントドラッグとテレヘルスのサイトGoodRxに対し、「フェイスブック、グーグル、その他の企業への消費者の健康データの無断開示を報告しなかった 」として罰金を科した。

「GoodRxが広告のために消費者の機密性の高い健康情報を共有することを禁止する」措置は、FTCの健康侵害通知規則に基づく最初の強制措置であった。

FTC消費者保護局のサミュエル・レバイン局長は、和解後のニュースリリースで「デジタルヘルス企業やモバイルアプリは、消費者の極めてセンシティブで個人を特定できる健康情報を利用してはならない」と述べた。FTCは、アメリカの消費者の機密データを悪用や違法な搾取から守るため、あらゆる法的権限を行使することを通告している。

FTCのGoodRxに対する取締りは、企業の健康・医療ウェブサイトがいかに患者の信頼を裏切り、患者データを操作しているかという、特にひどい、しかし珍しくない例を明らかにした、とFTCは述べている。

FTCの訴状によると、GoodRxは少なくとも2017年以降、そうでないと約束したにもかかわらず、機密性の高い個人の健康情報を不適切に共有し、法律に違反した。

FTCは、同社が「広告主やその他の第三者と個人健康情報を共有することは決してないと欺瞞的にユーザーに約束」し、遠隔医療サービスのホームページの下部に「HIPAAを遵守していると消費者に偽って示唆する」シールを表示したことを告発した。

実際には、GoodRxは 「ユーザーの個人的な健康情報を収益化し、Facebookと共有したデータを使用して、FacebookとInstagram上でパーソナライズされた健康と薬に特化した広告でGoodRx自身のユーザーをターゲットにしていた 」とFTCの訴状は述べている。

例えば、訴状によると、GoodRxは2019年8月、心臓病や血圧の治療に使用されるような特定の薬を購入したユーザーのリストを作成し、彼らのプロフィールを特定できるように、彼らの電子メールアドレス、電話番号、モバイル広告IDをFacebookにアップロードした。

GoodRxはその情報を使って、これらのユーザーを対象に健康関連の広告を出した。

例えばバイアグラを購入するためにGoodRxのクーポンにアクセスした人々は、FacebookやInstagramのページ広告で勃起不全治療薬の広告を目にすることになる、とFTCは言う。

同様に、性感染症の治療を受けるためにGoodRxの遠隔医療サービスを利用した人は、性病検査サービスの広告を目にすることになる。

GoodRxは、薬局福利厚生マネージャーから受け取る薬の購入データをFacebookに開示し、広告のターゲティングにもそのデータを使用した。

フェイスブックの広告ターゲティング・プラットフォームを利用することで、FTCは「グッドレックスは、顧客の健康情報に基づいて広告を掲載するキャンペーンを企画した。例えば、ある顧客がGoodRx社に勃起不全の可能性があることを明らかにした場合、その顧客はFTCの訴状にある別紙Aのような広告をFacebookで見たかもしれない。

出典： 連邦取引委員会の苦情

【訳】

オンラインで簡単に一般的なED治療薬の処方箋を入手できます。

HEYDOCTOR.COM

今すぐ治療

クイック診察＆処方　　　　　　　　　　　　　　詳細はこちら

カリフォルニア州に本社を置く21億ドル企業のGoodRx社は、2月にFTCに150万ドルの民事罰金を支払って和解し、不正行為を否定した。

Employers Committed to Control Health Insurance Costsの創設者兼社長であるハワード・ダンツィグ氏は、「グッドレックス社にたった150万ドルの罰金を科しただけでは、平手打ちにもならない。多くの雇用主がHIPAA個人情報保護法のガイドラインを尊重するよう警戒している一方で、大手ハイテク企業は基本的にパスしている。

「フェイスブック、グーグル、そしてこの情報の受益者であったその他の企業に対して、大きな罰則を科すのはどうだろうか？"」と、9,000人近いフォロワーを持つ自身のLinkedInのページに書き込んだ。

「実際に協力してこのようなことを行った個人に対して追求されるべき犯罪行為があったかどうかを判断するのはどうだろうか？プライバシーを侵害された人々や顧客に対して、関係企業から 『賠償 』を求めるのはどうだろうか？」

データ漏洩は 『広告目的 』で起きた、と彼は指摘した。「これは本当にどこまで拡大解釈できるのか、そしてどこまで拡大解釈されているのか？」