連邦取引委員会(FTC)は、メンタルヘルスアプリ「BetterHelp」に対し、Facebook、Snapchat、その他のオンライン広告主と医療情報を共有することを禁止する準備を進めている。木曜日に発令された命令案には、780万ドルの罰金が盛り込まれており、今後BetterHelpがメンタルヘルスデータを共有する方法に制限が課される。これは、インターネット上で蔓延する健康プライバシーの問題を抑制するためのFTCの新たな取り組みの一環だ。
「メンタルヘルスの問題に苦しむ人が助けを求める時、彼らは弱みを感じている時に、専門的なカウンセリングサービスが自分のプライバシーを守ってくれると期待してそうするのです」と、FTC消費者保護局長のサミュエル・レバイン氏はプレスリリースで述べた。「しかし、ベターヘルプは消費者の最も個人的な健康情報を利益のために漏らしたのです。」
FTCの命令は、委員による最終承認投票の前にパブリックコメントにかけられる。初回投票では4対0で賛成多数であったため、この命令が成立する可能性は非常に高い。
ウェブサイトにアクセスしたりアプリを開いたりすると、そこにはウェブ上でのあなたの行動を追跡するためのトラッカーが満載されていると考えて間違いないでしょう。企業は、Meta(Facebookの親会社)などの企業が提供するトラッカーやCookieを利用して、広告のターゲットとして最も魅力的なユーザーを特定し、その広告の効果を測定しています。
企業は広告協力者に、アプリやウェブサイトで誰が何をしているかに関するデータを送信します。例えば、メンタルヘルスアプリに自殺願望があることを伝えている場合、このようなデータ共有は問題となります。顧客のプライバシー保護について嘘をつき、自社のサービスが「HIPAAに準拠している」と偽った場合、犯罪となる可能性もあります。FTCは、BetterHelpがまさにそうした行為を行ったと主張しています。
「FTCは、当社が広告キャンペーンの効果を最適化し、より関連性の高い広告を配信し、当社のサービスに興味を持つ可能性のある人々にリーチするために、限定的な暗号化情報を使用していたと主張しました」と、ベターヘルプは声明で述べています。「明確に申し上げますが、当社は会員氏名やセラピーセッションの臨床データといった個人情報を、広告主、出版社、ソーシャルメディアプラットフォーム、その他の類似の第三者と共有しておらず、またこれまで共有したこともありません。」
FTCは、ベターヘルプがユーザーに健康に関する機密情報を渡させ、その過程でプライバシーについて虚偽の約束をしながら、そのユーザーをターゲットにした広告を表示していたと述べている。
FTCの訴状には、BetterHelpが顧客に対して行ったとされる虚偽の約束のスクリーンショットが複数含まれています。あるスクリーンショットでは、薬を服用しているかどうかを尋ねるアンケートのすぐ下に、BetterHelpは健康データに不安を感じている人々に対して安心感を与えるような内容が書かれていました。
「ご安心ください。あなたの健康情報は、あなたとカウンセラーの間で秘密に保たれます」とBetterHelpのインターフェースには表示されていました。FTCによると、あなたの健康情報は、あなたとカウンセラー、そしてFacebookとBetterHelpの他の広告パートナーの間で秘密に保たれる、と表現した方が正確でしょう。
この命令は罰金に加え、BetterHelpにいくつかの要件を課すことになる。FTCのプレスリリースより:
いかなる目的であっても、特定の第三者に個人情報を開示する前に、明示的な同意を得ること。
消費者データを保護するための強力な安全対策を含む包括的なプライバシー プログラムを導入する。
BetterHelp が開示した消費者の健康データやその他の個人データを第三者に削除するよう指示する。
データ保持スケジュールに従って個人情報や健康情報を保持できる期間を制限します。
メンタルヘルステック業界にとって、今週は残念な週だった。水曜日には、ベターヘルプの競合であるトークスペースが集団訴訟に直面した。同社はプラットフォーム上でセラピストの空き状況について虚偽の報告をし、ユーザーが表明した医療ニーズを無視し、実際には受けられないセラピーセッションのサブスクリプション料金を支払わせようとしていると訴えられた。
メンタルヘルスアプリがデータ取り扱いをめぐって問題に巻き込まれたのは今回が初めてではありません。特にTalkspaceは深刻なプライバシー問題で非難されていますが、BetterHelpを含む多くのメンタルヘルスアプリのプライバシー調査では、医療データの不適切な取り扱いやプライバシーに関する事実誤認が広く明らかにされています。
米国では、医療プライバシーに関して大きな誤解があります。多くの人がHIPAA(医療情報の携行性と説明責任に関する法律)について聞いたことがあるものの、その具体的な内容を理解している人は少ないのです。
HIPAAは、あなたの健康データすべてを保護する法律ではありません。医療提供者、保険会社、または薬局や請求サービスなど、医療提供者と直接契約を結ぶ第三者が健康データを取り扱う場合にのみ、そのデータを規制する法律です。
ヘルスアプリは、インターネットの歴史の大半において、ある種の法的グレーゾーンで運営されてきました。プロザックを服用していることを医師に伝えると、厳格なプライバシールールが適用されます。しかし、BetterHelpのようなアプリやWebMDのようなウェブサイトに伝えると、プライバシーに関するルールは、お気に入りのピザのトッピングの名前を入力するのと何ら変わらないように思えました。
しかし、2月に全てが変わりました。FTC(連邦取引委員会)が処方薬のクーポンを配布するGoodRx社に対し、歴史的な罰金と同意合意を命じたのです。GoodRxは、ユーザーの明確な許可を得ることなく、FacebookやGoogleなどの広告パートナーとユーザーの健康データを共有していました。FTCは「そんなに急ぐ必要はない」と明言しました。
FTC はこの事件を健康プライバシー権を握るために利用し、許可なく健康データを広告に使用することは違法であると宣言し、FTC には問題を規制する権限があると主張した。
FTCはGoodRxとの法廷闘争に踏み切るのではなく和解に至ったため、この主張が法廷で通用するかどうかは全く不透明です。FTCは現在、BetterHelpに対しても同様の措置を講じており、医療プライバシーに対する新たなコミットメントを表明しているようです。FTCがこの路線を継続すれば、和解に応じない企業との対立に直面する可能性が高く、法制度がこの問題にどう対処するかは誰にも分かりません。
レバイン氏はベターヘルプの訴訟について、「この提案された命令は、FTCが米国民の機密データを違法な搾取から守ることを最優先することを強く思い出させるものとなるだろう」と述べた。
