米国FTCがデジタルヘルス企業の情報流出事案に制裁金150万米ドルを科す ブックマークが追加されました
最新動向/市場予測
米国FTCがデジタルヘルス企業の情報流出事案に制裁金150万米ドルを科す
【第174号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年2月1日、米国連邦取引委員会(FTC)は、カリフォルニア州サンタモニカのデジタルヘルス企業グッドリックス(GoodRx)に対し、ユーザーの許可なしに健康情報をデジタル広告企業と共有したとして、民事制裁金150万米ドルを科したことを公表しました。
第174号 2023.2.21公開
グッドリックスは、2011年に創設された企業(米NASDAQ上場)で、一般消費者向けに、処方せん医薬品の薬価比較サイトや薬の割引クーポン、遠隔診療サービスなどを提供するデジタルヘルスプラットフォームを運営しています。
FTCによると、グッドリックスは、プライバシーポリシーの内容に反して、ユーザーの健康状態や処方薬に関する情報を、ユーザーの許可なくFacebookやGoogleのようなデジタル広告企業と共有していました。その上でグッドリックスは、機微な健康情報を利用して、ユーザーを、ソーシャルメディアフィード上の健康広告の標的にしていました。このような広告を生成するために、グッドリックスは、ユーザーの処方薬や機微な健康上の問題に関する情報を、Facebookおよびその他の企業と共有したとしています。
このような問題の解決策として、FTCとグッドリックスは、民事制裁金150万米ドルの支払に加えて、広告のために利用する可能性がある関連サードパーティ(例.Facebook)と健康データを共有することを原則禁止とし、関連サードパーティと健康データを共有するために、ユーザーの許可を得なければならないとすることで合意しました。
なおFTCは、2021年9月15日、消費者の健康情報を収集または利用する健康アプリケーションおよび接続された機器が「健康侵害通知規則」を順守しなければならない点を訴求する政策声明書を発出し、デジタルヘルス企業に対して注意喚起を行っていました。現行の健康侵害通知規則では、医療保険の携行性と責任に関する法律(HIPAA)が適用されない個人健康記録(PHR)を提供するベンダーおよび関連するサードパーティアプリケーションを提供する事業者に対して、健康データ侵害を発見したら60日以内(500人以上の個人が影響を受ける侵害の場合は10営業日以内)に、FTCおよび消費者に通知するよう求めています。現在FTCは、健康侵害通知規則に関する改正作業を行っています。
他方、HIPAAが適用される医療機関や医療保険者およびサードパーティの事業提携者に対しては、米国保健福祉省(HHS)傘下の公民権室(OCR)が、2022年12月1日、「HIPAA適用主体と事業提携者によるオンライントラッキング技術の利用」と題する指針を公表し、オンライントラッキング技術を利用する場合、HIPAA規則を遵守するよう求めています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・オンライントラッキング技術利用に関連して、米国では医療機関を対象としたクラスアクションが提起されているが、日本においても、改正個人情報保護法の施行により、規制が厳格化されている。Web/モバイル上でサードパーティが提供する消費者向けデジタルヘルス関連プラットフォームと連携する医療機関は、連携先のトラッキング機能の有無や、それを利用する場合に必要な要件の順守状況について確認し、継続的にモニタリングする必要がある。
医療機器メーカー/医療品メーカー
・マーケティングやヘルスコミュニケーション活動において消費者向けデジタルヘルス関連プラットフォームと連携する医薬品/医療機器メーカーは、医薬品/医療機器広告規制の順守状況に加えて、連携先のトラッキング機能の有無や、それを利用する場合に必要な要件の順守状況について確認し、継続的にモニタリングする必要がある。また、連携先で個人情報関連インシデントが発生した場合を想定したインシデント対応計画を整備しておく必要がある。
サプライヤー
・消費者向けデジタルヘルス関連プラットフォームを開発・提供する事業者は、オンライントラッキング機能の利用の有無や関連法令の順守状況について、消費者や連携する医療機関、医薬品/医療機器メーカーとの間で密にコミュニケーションするとともに、個人情報関連インシデントが発生した場合を想定したインシデント対応計画を整備しておく必要がある。
関連記事 [外部サイト]
- U.S. Federal Trade Commission (FTC)「GoodRx’s not-so-good privacy practices come to light」(2023年2月1日)
- U.S. Federal Trade Commission (FTC)「FTC Warns Health Apps and Connected Device Companies to Comply With Health Breach Notification Rule」(2021年9月15日)
- Federal Trade Commission(FTC)「FTC Seeks Comment as Part of Review of Health Breach Notification Rule」(2020年5月8日)
- U.S. Department of Health & Human Services「HHS Office for Civil Rights Issues Bulletin on Requirements under HIPAA for Online Tracking Technologies to Protect the Privacy and Security of Health Information」(2022年12月1日)
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
