奪われていく自己決定権
- 少し前にドブス対ジャクソン女性健康機構事件に対する最高裁判所の判決が下されてから、健康状態を追跡するサードパーティアプリを使用した場合のプライバシーへの影響が最近取り沙汰されるようになりました。
- こうしたアプリの多くは、法執行機関の調査に応じてデータを共有する場合があることをプライバシーポリシーに明記していますが、ポリシーの正確な適用条件は不明確となっています。
- 健康追跡アプリやウェアラブル技術が普及するにつれ、ヘルスケア情報の収集や共有を行う事業者に対する合衆国憲法修正第 14 条の平等保護条項と HIPAA 法の適用を巡って問題が生じています。
アプリや Web サイトにプライバシーポリシーや利用規約が表示されたら、何も考えずに [同意する] ボタンをクリックするのが半ば習慣化している人が多くなっています。しかし、ロー対ウェイド判決で示されていた修正第 14 条のプライバシーに関する解釈が、ドブス対ジャクソン女性健康機構事件に対する米国最高裁判所の判決で覆されました。機密情報を扱う健康アプリを利用する人は、どのようなデータがそれらのアプリで保持、販売、共有されるかに注意する必要があります。今回、プライバシーの核心にかかわる判決が下されたことで、私たちの個人情報が政府にアクセスされる可能性が懸念されるようになりました。今日のデジタル監視インフラや新旧の法律では、健康履歴のデジタルデータを保護するのはほぼ不可能となっています。
健康データ追跡アプリケーションやウェアラブル技術は、この数年間で急速に普及しています。こうしたアプリは、ユーザーの心拍数、血中酸素レベル、運動を行った時間と場所、食事の内容など、ありとあらゆるデータを追跡します。これらのフィットネス アプリケーションの中には、性行為、体組成(計測には経過写真を使用)、睡眠サイクルなど、機密性の高いデータを追跡するものもあります。血糖値は、指先から定期的に採血せずに、ウェアラブルセンサーやアプリを使用して継続的に追跡可能です。
抜け道だらけのプライバシーポリシー
医療記録に含まれている個人を特定できる情報の使用については厳格な法律がありますが、ヘルスケアアプリで収集されたデータにこの法律がどのように適用されるかについては不明確な部分があります。さらに、こうしたアプリのサーバーでデータ漏洩などの侵害が発生しても、アプリは責任を負わない場合があります。この漏洩したデータは、簡単にアクセスできるマーケットプレイスで販売されることがよくあります。また、情報の漏洩や不正使用がなかったとしても、アプリやアプリ作成者はユーザーについてさまざまなことを知ることができます。
こうしたアプリで収集された健康データを、他のデータセット(位置データやソーシャルメディアのプロフィールで公開されているデータなど)と組み合わせることで、広告主や法執行機関などはユーザーの生活を驚くほど包括的に把握できます。場合によっては、この推定されたプロファイルが不正な目的に使用される恐れがあります。さらには、刑事責任を問われる事態にもつながりかねません。今回の最高裁判決が下る前でさえ、ネブラスカ州の警察が Facebook のメッセージに基づいて捜査を開始し、最終的に刑事訴追を行っています。2021 年 7 月には、カトリック系メディアがデータアグリゲータから出会い系アプリ Grindr のアクティビティを購入し、そこに含まれていた位置情報データを利用して、ある高位の司教は同性愛者の可能性があると糾弾しました。この騒動によって、最終的にその司教は辞任しています。
ユーザーの健康を追跡するアプリの中でも特に機密性の高いデータを扱うアプリとして、生理追跡アプリや妊娠追跡アプリがあります。これらのアプリは、生理の時期や症状、ユーザーが提供したメモやコメント、妊娠を望んでいる女性のための排卵期、妊娠中の胎児の成長過程などを追跡します。こうしたアプリの多くは、ユーザーデータの販売や共有は行わないとプライバシーポリシーで謳っていますが、法執行機関から要求された場合は例外としていることがよくあります。前述のネブラスカ州の事件では、Facebook の親会社である Meta 社が捜査に協力し、プライバシーポリシーや規制に従って、事件に関与した 2 人に関する法執行データを提供しています。
追跡アプリが収集する機密性の高い個人情報
判決以降、こうした情報を追跡するアプリは削除するように呼びかける動きが広がっています。米国の HIPAA などの法律では、従来の医療提供者による医療記録の使用や共有が厳しく規制されていますが、サードパーティの健康アプリが同じような規制を受けるわけではありません。これらのアプリは、いわゆる「指名者」の役割を果たしており、場合によっては、ユーザーが提供したデータをユーザーから直接同意を得ずに共有できます。これは、健康追跡アプリが「適用対象外の主体」と見なされているからです。
HIPAA が適用されるのは、適用対象主体のみです。適用対象主体とは、健康保険プラン、ヘルスケア クリアリングハウス、具体的に定義されたプロバイダーおよびアソシエイトのことであると定義されています。通常、アプリは、保険会社や医療提供者がユーザーに提供していない限り、これらの定義には当てはまりません。こうしたアプリには HIPAA が適用されず、規制する法律もほとんどないため、医師には禁じられている個人の健康データの販売や共有を自由に行えます。
今回の判決によって、データ共有に関する法律が緩和されるのではないかという懸念がプライバシー監視団体の間で広がっています。プライバシーの権利は、修正第 14 条などによって与えられていると解釈されており、女性の生殖に関する権利が及ばない他の無数の法律において(たとえば米国で同性婚が合法化される際などに)根拠として使用されてきました。これらの権利が損なわれることで、個人を特定できる医療記録を入手して保険料を決定できるようになり、リスクが高いと考えられる人は高い保険料を支払うようになったり、医療記録が現在の雇用主や求職先と共有されたりする可能性さえあるとプライバシー監視団体では危惧しています。健康アプリが何の規制も受けずに医療記録を共有できる社会では、使用している栄養追跡アプリや運動追跡アプリから自分の医療診断やリスクレベルが推定されて、不利益を被る可能性があります。
健康データの共有を防ぐ法律がないとなると、自分のデータが同意なく共有または販売されるのを防ぐ最後の砦はアプリのプライバシーポリシーです。しかし、それらのプライバシーポリシーはアプリによって内容が異なる傾向があります。
人気アプリのポリシーの内容
What to Expect は屈指の人気を誇る妊娠アプリで、現在あらゆるプラットフォームで提供されています。このアプリは、現在妊娠しているか妊娠を望んでいるユーザーの間で広く使用されています。Apple 社の App Store では健康とフィットネスのカテゴリで 52 位にランクされており、肯定的なレビューが 30 万件近く寄せられています。このアプリのプライバシーポリシーには、ユーザーがアプリに提供するデータに加えて、さまざまな種類の PII(個人を特定できる情報)が収集されると記載されています。具体的には、ユーザーの出産予定日、アプリに投稿される写真、性別や年齢などの人口統計情報、連絡先情報、位置情報、「ユーザーが弊社に提供するあらゆる見解または意見」などです。
ただし、「必要に応じて調査を実施する」場合や「適用法で定められている」場合は、その情報を処理することもアプリのポリシーに記載されています。また、このポリシーには次の記載もあります。
「弊社は、法務当局および規制当局、弊社の外部顧問、弊社に代わってユーザー情報を処理する当事者(以下「処理者」)、法的手続きに関連して必要な当事者、犯罪行為の調査、発見、防止に必要な当事者、弊社事業の購入者、本サービスで使用される広告、プラグイン、コンテンツのサードパーティプロバイダーにユーザー情報を開示する場合があります。他のアプリやサービスでは、中絶に関する法律の変化に対応するために、プライバシーポリシーおよびデータ共有ポリシーの見直しと強化を行いました」。
人気のある生理追跡アプリである Flo は、新しい「匿名」モードを最近発表しました。ユーザーはこのモードを使用することで、自分の個人情報やデバイス情報をアプリから完全に削除し、法執行機関から要求されても同社が自分のデータにアクセスできないようにすることが可能です。
「ユーザーの名前または電子メールを特定するように Flo が当局から要求されても、匿名モードが使用されている場合はデータを個人に結び付けることができません。つまり、当局の要求には応じられません」と、新機能を発表するユーザーへの電子メールの中で同社の CEO は語っています。
匿名モードを使用していないユーザーについては、アプリがサードパーティの広告会社である AppsFlyer 社と PII を共有することが Flo のデフォルトのプライバシーポリシーで認められています。AppsFlyer 社はその情報を使用して、ソーシャルメディアアプリの Snapchat や Google サイトなどのいくつかの他のプラットフォームにキュレーション広告を表示します。
占星術に焦点を当てた生理追跡アプリである Stardust も、プライバシーポリシーを変更しました。法執行機関から要求されてもユーザーデータを提供しないことを明確にしたと今年初めに発表しています。また、ヨーロッパに拠点を置く企業が Clue というアプリを提供していますが、米国を拠点とする法執行機関の調査には協力しないと述べています。このアプリは生理周期や妊娠を追跡し、独自の避妊法を提供します。
知名度が低い他のアプリは、ポリシーの内容が大きく異なります。ユーザーはプライバシーポリシーや情報共有契約を慎重に調べないと、法執行機関にデータを共有される可能性があります。
Android のアプリストアで「Period tracker」を検索すると、主流でないアプリが上位の結果としていくつか表示されます。その 1 つに「Period Calendar Period Tracker」があります。次の生理が始まる日、排卵のピーク時期、特定の日時の症状に関する予測をユーザーに提供するアプリです。
このアプリのプライバシーポリシーでは、次のように述べられています。「法律の定めがある場合、または合理的に必要な場合は、法執行機関、公的機関、またはその他の組織と情報を共有します。弊社はそうしたすべての要求を慎重に検討して、それらの要求に法的根拠があり、特定の調査目的でのみ法執行機関がアクセスできるデータに対象が限定されていることを確認します」。
このアプリの Android ストアページでは、他の企業や組織とデータを共有しないと述べられていますが、提携しているサービスプロバイダーがデータを販売している可能性があります。
アプリが「Privacy International 検証済み」であるとする画像もこのアプリのストアページには掲載されています。Privacy International は、英国に拠点を置くプライバシー関連の非営利団体です。生理追跡アプリが Facebook とデータを共有しているかどうかを調べた 2019 年の調査によると、Period Calendar Period Tracker は当時、Facebook と情報を共有していませんでした。ただし、Privacy International の担当者は Talos に対して、同団体はこのアプリと何の関係もなく、特定のアプリをプライバシーポリシーに基づいて検証または認定する業務は行っていないと語っています。
ヘルスケア関連アプリをダウンロードするときの注意点
- データプライバシーに関する法律が急速に変化しています。アプリを利用する場合は、提供する情報やデータの種類についてこれまで以上に注意を払う必要があります。紙のカレンダーに手書きする従来の方法に戻さなくても構いませんが、何らかの健康データ、特に、機密性の高いデータを追跡するアプリ(生理追跡アプリや妊娠追跡アプリなど)の使用を検討している方は、次のヒントを参考にしてください。
- アプリをダウンロードして使用する前に、プライバシーポリシーを慎重に評価し、記載されている連絡先に遠慮なく問い合わせて詳細を確認してください。アプリのプライバシーポリシーに、「Notice of Privacy Practices for Protected Health Information(保護対象保健情報のプライバシー方針に関する通知)」というタイトルのセクションがない場合は、HIPAA が適用されません。アプリがユーザーの健康データを販売または共有するのを防ぐ法律はほとんどありませんので、注意してください。
- これらのアプリに提供する情報の種類に注意を払い、その情報が公開された場合に被るリスクレベルを評価してください。これらのアプリに提供するのは、万一同意なしに公開されても許容できる情報のみにしてください。
- アプリで設定できる場合は、すべてのデータ収集や情報共有からオプトアウトしてください。ヨーロッパの GDPR 規則やカリフォルニア州で最近可決されたカリフォルニア州消費者プライバシー法に対応するために、多くのアプリでこのオプションが提供されています。
- 信頼できる開発者のアプリのみを信頼できるストアからダウンロードしてください。
- 匿名モードがアプリで提供されている場合は有効にしてください。
注:Period Calendar Period Tracker アプリと What to Expect アプリのプライバシーポリシーに明記されている両アプリの連絡先情報に電子メールを送信してコメントを求めましたが返答はありませんでした。
本稿は 2022 年 09 月 20 日に Talos Group のブログに投稿された「Our current world, health care apps and your personal data」の抄訳です。