米国でヘルスケアデータを扱う非医療機器の規制がさらに強化される理由:海外医療技術トレンド(98)(2/3 ページ)
本連載第8回で取り上げた米国の「非医療機器(Non-SaMD)」を取り巻くプライバシーやサイバーセキュリティの規制が大きく変わりつつある。
健康データ侵害を起こしたNon-SaMD企業に対するFTCの法執行措置事例
2023年2月1日、FTCは、カリフォルニア州を本拠地として、米NASDAQに上場するデジタルヘルス企業グッドリックス(GoodRx)に対し、ユーザーの許可なしに健康情報をデジタル広告企業と共有したとして、民事制裁金150万米ドル(約2億1800万円)を科したことを発表した(関連情報)。グッドリックスは、プライバシーポリシーの内容に反して、ユーザーの健康状態や処方薬に関する情報を、ユーザーの許可なくサードパーティーのデジタル広告企業と共有する一方、それらの機微な健康情報を利用して、ソーシャルメディアフィード上で健康広告のターゲットにしていたという。
FTCは、民事制裁金に加えて、以下のような対策を講じるようグッドリックスに求めた。
- 広告目的の健康データ共有を禁止する
- いかなる他の個人情報共有についてもユーザーの同意取得を求める
- 企業に対して、データの削除を求めるよう要求する
- データの保持を制限する
- 権限のあるプライバシープログラムを導入する
続いてFTCは、2023年3月2日、カリフォルニア州を本拠地とするオンラインカウンセリングサービス企業ベターヘルプ(BetterHelp)に対し、メンタルヘルス課題に関する機微な情報など、ユーザーの健康データをサードパーティーの広告企業と共有することを禁止するとともに、消費者に780万米ドル(約11億3600万円)を支払うことで和解する旨の命令案を提示したことを発表した(関連情報)。ベターヘルプは、「ベターヘルプカウンセリング」のほか、キリスト教徒向けの「フェースフルカウンセリング」、ティーンエージャー向けの「ティーンカウンセリング」、LGBTQ向けの「プライドカウンセリング」を提供している。FTCによると、ベターヘルプは、ユーザー登録プロセスの中で、消費者に対し、目的が制限された場合を除いて、個人の健康データを利用または開示しないことを約束していた。にもかかわらず、ベターヘルプは、消費者の電子メールアドレスや、IPアドレス、健康質問票の情報を、デジタルプラットフォーム事業者と広告目的で利用/開示していたという。
FTCは、ベターヘルプに対して、以下のような対策を求めた。
- いかなる目的でも特定のサードパーティーに個人情報を開示する前に、積極的な明示の同意を得る
- 消費者データを保護するための強力な予防策を含む包括的なプライバシープログラムを設定する
- サードパーティーに対し、ベターヘルプが漏らした消費者の健康およびその他の個人データを削除するよう指示する
- データ保持スケジュールに従って、個人および健康情報を保持する期間を制限する
不正な健康データの越境移転に対する国家安全保障上の懸念
さらに2023年5月17日、FTCは、イリノイ州を本拠地として妊娠活動管理アプリケーション「Premom」を開発するイージーヘルスケア(Easy Healthcare)が、ユーザーを欺いて、機微な個人情報をサードパーティー(外国企業2社を含む)と共有し、デジタル広告関連企業2社に開示したにもかかわらず、これら不正な開示を消費者に通知しなかったことがHBNR違反に当たるとして司法省に告発したことを発表した(関連情報)。Premomは、AppleおよびGoogleのアプリストアから無料ダウンロード可能な妊活アプリ(関連情報)であり、ユーザー自らデータを入力するだけでなく、スマホアプリやBluetooth対応の体温計などからも健康データを取り込むことが可能となっている。
FTCは、「Premom」がHBNRの適用対象となるPHRだとして、イージーヘルスケアに対して、HBNR違反の民事制裁金10万米ドル(約1450万円)の他、以下のような対策を講じるよう求めている。
- ユーザーの個人健康データを広告目的でサードパーティーと共有することを永久に禁止する
- 個人健康データを他の目的でサードパーティーと共有する前に、ユーザーの同意を取得することが求められる
- 収集した目的を充足するのに必要な範囲内で、ユーザーの個人健康データを保持することが求められる
- イージーヘルスケアのプライバシープラクティスに関する将来の虚偽表示を禁止し、いかなる将来のセキュリティ侵害向けのHBNR通知要求事項を順守することが求められる
- サードパーティーと共有したデータの削除を求めることが要求される
- FTCの申立や和解について説明した消費者への通知を送付・投稿することが求められる
- 消費者データを保護する強力な予防策を含む包括的なセキュリティおよびプライバシーのプログラムを導入することが求められる。
なお、FTCによると、Premomは、他のサードパーティーからのSDKをPremomアプリケーションに統合していた。その中には、中国を拠点とするアプリケーション分析プロバイダーであるUmengとJiguangも含まれており、ソーシャルメディアアカウント情報、正確な位置情報、モバイルデバイスに関するデータ、Wi-Fiネットワーク識別子など、機微なユーザーデータが共有されていたという。FTCは、Premomが、ユーザーからの同意取得なしに第三国に拠点がある外国企業とデータを共有していた点に加えて、サードパーティーと共有するデータを適切に暗号化していなかった点を問題視している。
本連載第88回で触れたように、米国大統領行政府は2022年9月15日、「対米外国投資委員会による国家安全保障リスクの進展に対する堅牢性の考慮の確保に関する大統領令」(関連情報)を発出している。HIPAA適用の有無に関わらず、SaMD/Non-SaMDを、マイクロエレクトロニクス、AI(人工知能)、バイオ技術/バイオ製造、量子コンピュータなど、米国の国家安全保障に影響を及ぼす技術と組み合わせた製品/サービスとして提供する場合、サイバーセキュリティリスクや、米国市民の機微な個人データに対するリスクへの考慮が不可避となる。イージーヘルスケア/Premomの事案は、SaMD/Non-SaMD事業を展開する日本企業にとって対岸の火事ではない。
Copyright © ITmedia, Inc. All Rights Reserved.