米連邦取引委員会(FTC)は、個人の健康情報を収集しているアプリやデバイスは、そのデータを漏洩させたり許可なくサードパーティと共有した場合は、消費者にその旨を通知しなければならないと警告した。
米国時間9月15日の 3-2採決で、FTCは施行されて10年になる「2009 Health Breach Notification Rule」を明確にするために新規則方針を採択した。このルールは、健康記録を扱う企業に対し、たとえば情報漏洩の結果として起こった場合などに、データが許可なくアクセスできるかどうかを消費者に通知することを求めている。健康アプリやデバイスへと適用が拡大されてきて、特に排卵日データ、フィットネス、血糖値を追跡するアプリを名指ししている。FTCの委員長、Lina Khan(リナ・カーン)氏によると、これらのアプリは「プライバシーとデータセキュリティに十分に投資していないことが往々にしてある」ためだ。
カーン氏は医学誌British Medical Journal(ブリティッシュ・メディカル・ジャーナル)に発表された、安全でないユーザーデータの送信から広告業者との無許可のデータシェアに至るまで健康アプリが「深刻な問題」を抱えている、という研究結果を指摘しながら「デジタルアプリは、ユーザーのセンシティブな健康情報をハッキングや漏洩にさらされやすい状態のままにし、ユーザーデータに対していい加減な傾向にあります」と声明で述べた。
また近年は、健康アプリを含め、世間の耳目を集めた情報漏洩が数多くあった。英国のAIチャットボットと遠隔診療スタートアップのBabylon Healthは2020年、ユーザーが他の患者のビデオコンサルテーションにアクセスできるという「ソフトウェアエラー」の後にデータ漏洩に直面した。また、月経周期追跡アプリのFloがユーザーの健康データをサードパーティの分析、販促サービスと共有していることも最近明らかになった。
新しいルールのもとでは、健康アプリや個人の健康データを収集しているコネクテッドフィットネスデバイスを提供している企業は、その消費者のデータが損なわれている場合は消費者に通知しなければならない。しかしルールは「データ漏洩」を単なるサイバーセキュリティ侵入として定義してはいない。許可のない情報共有を含む、個人データへの不正アクセスでも通知する義務が発生する。
「このルールは、我々の個人情報を損なうテック企業に説明責任を課しますが、より根本的な問題は、企業がこうしたデータを行動ターゲティング広告とユーザー分析を行うために使うことができる、センシティブな健康情報の商品化にあります」とカーン氏は述べた。
企業がルールに従わなければ、1日あたりの罰金4万3792ドル(約480万円)を「精力的に」科す、とFTCは述べた。
FTCはここ数週間、プライバシー違反を取り締まっている。9月初めにはスパイウェアメーカーのSpyFoneを禁止し、多くの人のモバイルデータを収集してインターネット上に放置していたとしてSpyFoneのCEOであるScott Zuckerman(スコット・ズッカーマン)氏を監視産業から追放することを全会一致で決めた。
関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令
画像クレジット:P. Wei / Getty Images
[原文へ]
(文:Carly Page、翻訳:Nariko Mizoguchi)
