Health system data breach due to Meta Pixel hits 3 million patients
2022/10/20 BleepingComputer — ウィスコンシン州とイリノイ州の 26ヶ所に病院を持つヘルスケア・システム Advocate Aurora Health (AAH) が、300万人の患者の個人情報が流出したデータ侵害について、患者に通知している。このインシデントの原因は、ログインした患者が、機密性の高い個人情報や医療情報を入力する AAH の Web サイトにおいて、Meta Pixel が不適切に使用されたことにある。
Meta Pixel は JavaScript で書かれたトラッカーであり、Web サイトを訪れる患者との関係を管理者が理解し、ターゲットを絞り、コミュニケーションを改善するのに役立つ。
しかし、このトラッカーは Meta (Facebook) とも連携しているため、患者の条件に合った広告をターゲットとする、マーケティング担当者の巨大なネットワークと、それぞれの患者の機密データが共有されることになる。
Meta Pixel が国内の多くの病院で使用されていることから、数百万人分の機密データが第三者にさらされ、責任を負う組織に対する集団プライバシー侵害訴訟へと発展し、米国で大旋風を巻き起こした。
2022年8月に、米国の医療機関 Novant Health は、MyChart ポータルの導入に際して Meta Pixel を不適切に使用し、130万人の患者データが曝露されたことを公表した。
MyChart 患者ポータルは、LiveWell という別のプラットフォームとともに AAH でも使用されており、どちらも Meta Pixel のトラッカーがアクティブになっていた。
AAH は、「患者が MyChart と LiveWell プラットフォームを介して、Advocate Aurora Health の患者ポータル、および、スケジュール・ウィジェットの一部を使用すると、特定の状況において、特に Facebook/Google アカウントに同時にログインしているユーザーに対して、特定の保護医療情報 (PHI: protected health information) が開示されてしまう」と述べている。
AAH が発信したデータ流出通知によると、Meta Pixel を介して以下の情報が流出した可能性があるとのことだ。
- IPアドレス
- 予約した日付/時間/場所
- AAH 所在地からの距離
- 医療提供者の情報
- 予約や処置の種類
- MyChart ユーザー間の通信内容 (姓名/医療記録番号を含む可能性あり)
- 保険情報
- 代理人アカウント情報
AAH は、この情報漏洩により、300万人に影響が生じたことを米国保健省に報告し、同省は情報漏洩報告ポータルに、この情報を掲載した。
同医療機関は、すべてのシステムで Pixel トラッカーを無効にし、同様の被害が再発しないよう、安全策を講じているとのことだ。
AAH は、「患者が医療ポータルサイトにログインする際には、Web ブラウザのトラッカー・ブロック機能の使用、もしくは、シークレット・モードの使用を推奨する。また、Facebook や Google のアカウントを所有している場合には、プライバシー設定を確認してほしい」と警告している。
また、AAH は、データ流出に関する一般的な質問に対する答えを見つけるための、FAQ ページを作成した。
Meta Pixel を介した医療情報の漏えいですが、7月30日の「Meta (FB) と米病院が提訴された:ターゲティング広告のために医療データを収集/使用?」と、8月22日の「Facebook の Meta Pixel:ミスコンフィグレーションで 130万人分の医療データが流出」に続いて、これで3回目の報道となります。2021年に話題となった、Facebook における機密文書の流出問題を振り返っても、かなり杜撰な面があるように感じられます。よろしければ、Facebook で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.