この国のヘルスケアが悲惨な状態にあることを考えると、テクノロジー企業、特にアプリ分野の企業が、連邦政府ができない、あるいは解決しようとしない問題の解決に躍起になっているのも不思議ではありません。血圧を監視したいですか?そのためのアプリがあります。メンタルヘルスで落ち込んでいますか?それ用のアプリもあります。そしてもちろん、国全体を悩ませている何百万ドルもの頭痛の種である健康保険を緩和するアプリもあります。そして、GoodRXほど人気があるものはありません。Apple App Storeでトップにランクされ、45万件を超える5つ星評価を獲得しており、同社独自の測定によると、毎月約1,000万人のユーザーにとって、必要な処方箋を手頃な価格で入手するための鍵となっています。
実のところ、就職する前は、このアプリを使って、日々の生活に必要な精神科の薬の処方箋を何百ドルも節約していたんです。当時は気づいていなかったのですが、処方箋の補充には必ず条件が付いて回るんです。
アプリ業界を徹底的に調査しているので、スマートフォンにダウンロードするものすべてに疑いの目を向けるようになりました。しかし、それでもなお、複数の広告ネットワークが私の非常に個人的なデータ(処方箋情報も含む)を入手しているのを目の当たりにし、なぜかショックを受けました。さらに深く調べていくと、これが100%合法だっただけでなく、政府の規制、そしてインターネット自体の非常に明白な抜け穴を悪用していたため、100%合法だったという事実に、さらに衝撃を受けました。
「ここで起こっていることは違法ではありません。ただシステムを悪用しているだけです」と、レンセラー工科大学で医療データ規制を研究している博士課程の学生、ハイネド・ラフェ氏は語った。「私たちは、人々が『医師はこれが必要だと言っているけれど、お金が払えない。でも、この会社は助けてくれると言ってくれている。プライバシーポリシーにもすべて記載されているようだから、大丈夫だろう』という現実に直面するようなシステムの中にいるのです」
実際、それは全く問題ありません。GoodRXのプライバシーポリシーでは、まずユーザーが当社を「信頼」してくださっていることへの感謝の意を表明しています。
「お客様の個人情報は機密情報であり、プライバシーポリシーや法律用語は不安に感じることもあると理解しています。そのため、GoodRxに情報を託していただいたことに感謝申し上げます」とポリシーには書かれており、さらに次のように続けている。
GoodRxは個人の医療情報を販売しません。また、お客様の個人を特定できる医療情報を、代償として第三者に提供することもありません。
まず、「個人を特定できる」情報という概念を紐解いてみましょう。以前にも述べたように、法的な観点から「個人を特定できる」情報とは何か、そうでないものとは何かという概念は、事実上無意味です。GoodRXアプリから共有されているデータを調べていたところ、4つの異なる企業に送信されていることがわかりました。異なるデバイス間でユーザーを連携させるBranchとFacebookは、アプリの起動頻度などの使用情報を受け取っていました。インターネット上で広告主がターゲット層を絞るのを支援するBrazeとGoogle Analyticsは、薬局名や処方箋の具体的な内容など、より侵入的なデータを受け取っていました。
このデータが明確に「個人を特定できる」もの(名前や自宅住所など)であるかどうかは、個々のデバイスに紐付けられているため、ほとんど議論の余地がありません。しかし、これらのデバイス識別子は、文字通り個人の正確な位置情報など、機密情報を特定するために使用できるにもかかわらず、米国で最も厳格なデータプライバシー法の下でも「個人を特定できる」とはみなされないため、これらのアプリは免責されています。しかも、免責されるのはそれだけではありません。
「私の研究では、健康データとは病院が患者から収集、あるいは利用するデータのことであり、消費者は含まれていません」とラフェ氏は説明した。「しかし、例えば23andmeのような企業を見てみると、彼らは病院と全く同じ検査を行っています。しかし、彼らのデータは消費者データなのです。」
彼女の言う通りです。GoodRXとこれらのマーケティング会社間でやり取りされている医薬品データが、法的にHIPAAの対象となる「健康データ」とみなされるのかどうか、食品医薬品局(FDA)に問い合わせたところ、広報担当者は「これはFDAの管轄外です」と答え、保健福祉省の「公民権局」に問い合わせるよう指示しました。そこでは、ヘルスケア分野に携わるアプリ開発者向けの2016年版ガイドが、GoodRXのようなアプリは医療情報のプライバシーを規定する連邦法であるHIPAAに準拠する必要がないことを具体的に示しています。
HIPAAの対象となるのは、健康保険、医療情報センター、そしてほとんどの医療提供者のみです。これらの機関に勤務し、業務の一環として個人を特定できる医療情報の使用または開示を伴うアプリを開発している場合、当該機関(およびその従業員であるあなた)は、HIPAA規則を遵守して当該情報を保護する必要があります。
ラフェ氏の説明によると、HIPAAは医師と患者の間の機密情報を保護するために設けられたものであり、民間企業と消費者の間の機密情報を保護するために設けられたものではない。彼女の言葉を借りれば、医師、病院、あるいは保険会社と直接やり取りするために使用するアプリは、HIPAAに準拠する必要がある。しかし、薬価を追跡し、割引クーポンを提供するGoodRXのようなアプリは、医師や病院が関与しない民間企業であるため、ユーザーの健康関連データを比較的自由に扱うことができる。
FDAからのガイドラインがないため、これらのアプリ開発者は、2016年以降更新されていない連邦取引委員会(FTC)のプライバシーガイドラインを遵守することが技術的に義務付けられています。一方で、これらの推奨事項は、アプリ開発者に対し、この問題に関するFDAのガイダンスを参照するよう促す一方で、合理的に「匿名化」されたデータを集めるアプリを容認しており、それが何を意味するのかという明確な定義すら示していません。健康関連アプリに関するポリシーについてFTCに問い合わせたところ、回答はありませんでした。
「顧客が健康データとは何なのか分からず混乱し、常に誤った情報を与えられるという、ひどいフィードバックループです。これは明らかに意図的なものです」とラフェ氏は述べた。「しかし同時に、法律があるのだから、これは秘密ではないとも言えます」
この混乱が「意図的」であるかどうかは確かに議論の余地があるが、一つ確かなことは、その答えに巨額の金がかかっているということだ。ここ数年、DTC(Direct to Consumer:消費者直販)ヘルスケア市場は数兆ドル規模の産業へと急成長し、テクノロジー業界の大手企業も注目している。Google、Facebook、そしてAmazonもここ数ヶ月でこの分野に参入し始めている。GoodRXは自社の財務状況について沈黙を守っているが、流出した投資家向け文書によると、2018年の企業価値は約30億ドルとされている。この評価額は、同社が買収を行うたびに間違いなく膨らんでいる。
GoodRxは声明の中で、「消費者データの保護に関しては、法的要件と消費者の期待の両方を上回るよう努めています」と述べました。GizmodoとConsumer Reportsからの質問に対し、同社はウェブサイト上に独立したページを開設し、「エンジニアリング、マーケティング、その他のチーム間の調整を行い、必要なものだけを共有し、常にユーザーの最善の利益を最優先に行動すること」を目的とした新しい「データプライバシー担当副社長」の任命について説明しました。
もちろん、GoodRxだけが問題を抱えているわけではありません。最近の数字は、大手製薬会社が印刷物やテレビ広告から目を離し、私たちの多くが時間を費やす場所、つまりインターネットでの広告を増やしていることを示しています。ヘルスケア業界がデジタルマーケティングに占める割合は、例えば小売業界に比べるとまだかなり小さいものの、その割合は増加傾向にあり、eMarketerの調査によると、最近の数字では、業界はスマートフォンだけで消費者にリーチするために約20億ドルを費やしていると示されています。
そして最終的に、私のデータが役に立った。GoodRxからテクノロジー業界の大手企業(Facebook、Google、そしてアドテク専門のBrazeとBranch)に送信されているデータを見てみると、やり取りされているデータのほとんどはごく基本的なものだった。アプリを開いた頻度や、様々な価格帯の商品を閲覧していた時間といった指標だ。
処方箋の正確な記録――これは何よりも貴重なデータのように思えた――は、まるで後付けのように思えた。信じられないほど不気味な後付けではあったが、それでも後付けであることに変わりはなかった。
GoodRxは声明で、「処方箋名を含む個人の医療情報」は、「暗号化された形式であっても」Facebookと共有されたことは一度もないと説明しました。一方、このデータがGoogleと共有された際には、この情報は「匿名化」されており、同社は「Googleでのターゲティング広告に医療情報を使用することはない」と強調しました。
携帯電話からインターネットを経由して大手広告プラットフォームへとデータが流れる仕組みは、信じられないほど不透明であるため、デジタルプライバシーの具体的な詳細を懸念する私たちは、企業の言葉を鵜呑みにしてしまうという苛立たしい現実に直面することがよくあります。便利なツールが備わったアプリを開けば、極めて個人的な処方箋データが広告パイプラインに流れ込んでいるのが分かりますし、複数の企業が暗号化されていない情報を流用しているのも分かりますが、それだけです。GoodRxが消費者にこの金儲けのエコシステムからデータを削除できるように努力しているとしても、実際には何の役にも立ちません。結局のところ、アプリを開いても、同じサイクルが繰り返されるだけだからです。おそらくもっと問題なのは、ユーザーのお金を節約することだけが価値提案であるGoodRxをダウンロードするだけで、消費者の購買力に基づいてターゲティングしようとする広告主にとって貴重な情報になるという事実です。私が「低所得」の消費者であることを知ることは、「抗うつ薬を定期的に使用しています」と知ることよりも価値があるでしょう。
そして、医療費は月を追うごとに上昇しているため、GoodRx をすでに使用している私たちが近いうちにアプリを完全に削除する可能性は低いでしょう。
