Meta (FB) と米病院が提訴された:ターゲティング広告のために医療データを収集/使用?

Meta, US hospitals sued for using healthcare data to target ads

2022/07/30 BleepingComputer — ターゲット広告のために、患者の機密医療データを違法に収集しているとして、Meta (Facebook) /UCSF Medical Center/Dignity Health Medical Foundation に対し、カリフォルニア州北部地区で集団訴訟が起こされている。このトラッキングとデータ収集は、患者が自身の病状/担当医師/処方された薬などに関する、非常に機密性の高い情報を管理する、医療ポータルで行われているとされる。

訴訟によると、病院も Meta もデータ収集について患者に知らせず、同意も求めず、このプロセスが目に見える形で表示されることもないという。原告たちは、Meta の SNS である Facebook が、患者をターゲットとして、病状に特化した広告を掲載し始めたことで、プライバシーが侵害されていることに気づいた。

Meta Pixel とは

Meta Pixel とは、訪問者のデータを収集してプロファイリングを行い、ターゲット広告を支援するための、あらゆる Web サイトに埋め込みが可能なコードのことである。この Pixel は、1ピクセル分のスペースを占有するだけであり、ステルス性を持つことから、ボタンのクリック/スクロールのパターン/フォームの入力データ/IP アドレスなどの、データ収集に役立つ。

このデータ収集は、Facebook のアカウントを持っていなくても、すべてのユーザーに対して実行される。ただし、Facebook ユーザーの場合は、収集したデータとアカウントにリンクさせることで、より深い相関性を持たせている。Meta Pixel は、数多くのサイトにインストールされているため、ユーザーは複数のインターネット上の場所で追跡され、特定の広告のターゲットにされることになる。

The Markup による最近の調査では、中絶反対派のクリニックや医療機関など、人気の上位 80,000 サイトのうち、30%に Meta Pixel がインストールされていることが判明している。

この訴訟は、Meta のトラッキングコードが、米国の上位 100の病院のうち 33の病院の Web サイトに存在すると主張し、さらに7つのケースにおいては、パスワードで保護された患者のポータルを越えて、コードが実行されていると主張している。訴状によると、Meta Pixel の存在が確認された 33の病院は、2020年だけで 2,600万人以上の患者/外来患者を受け入れたという。

プライバシー侵害

裁判資料の例では、患者は Facebook やメールでターゲット広告を受け、科学的な裏付けのない病気や医療サービスを宣伝されていた。

Email and Facebook advertisment included in the complaint
Email and Facebook advertisement included in the complaint
訴状に含まれるメールと Facebook 広告

最も重要なのは、原告たちが、機密性の高い医療データの収集に同意したことはなく、ましてや、それがターゲット広告に使用されることに同意していなかったことで、侵害されたと感じていることだ。

Meta は、自社のデータ・プライバシー・ポリシーにおいて、パートナー (Meta Pixel のホスト) が広告大手にデータを渡す前に、ユーザーのデータを収集/使用/共有するための、合法的な権利を有する必要があるという規定を設けている。

しかし、訴状では、「原告の医療情報は、1996年の医療保険の相互運用性と説明責任に関する法律 (HIPAA:Health Insurance Portability and Accountability Act) のプライバシー規則により保護されている。HIPAA は、電子形式で作成/受領/維持/送信される、すべての医療情報を保護するものだ。そのため、被告には、原告およびクラスメンバーのデータを使用/共有する法的権利はない」述べられている。

このことから、Meta とヘルスケア・プロバイダーの両者は、データ収集作業が違法であることを知りながらも、それを無視/継続し、追跡した個人に対して隠していたとして訴えられている。

2021年2月に、この問題を調査した The Markup と、ニューヨーク州金融サービス局の双方によれば、収集したデータから機密性の高い医療情報をフィルタリングするという、Meta の努力は効果がないことが証明されている。

最終的に、原告たちは、同様の状況にある人々を代表して、プライバシーの侵害/医療情報の機密保持違反/不当利得/契約違反/コンピュータ・データ・アクセスおよび詐欺法 (CDAFA) /連邦盗聴法に関連する救済の請求を求めている。

この記事に書かれていることが事実なら、かなりマズイ状況に Meta は陥りますね。それにしても、Meta Pixel を実装した病院は、どのような利益を得ているのでしょうか?その点が、とても気になります。なお、Meta for Developers というページがあり、そこには 、「Meta Pixel は、Web サイトでの訪問者のアクティビティを追跡するための、 JavaScript コードのスニペットである。 サイト運営者が追跡したいアクション (called an conversion) を、サイト訪問者が実行 (called an event) するたびに機能する、関数の小さなライブラリをロードすることで実現される」と記されていました。

%d bloggers like this: