健康データのプライバシーとセキュリティについて定める、米国の健康侵害通知規則（Health Breach Notification Rule）は、2009年の制定以来、実際に適用されたことは一度もない。同規則を所管するFTC（米連邦取引委員会）はさきごろ、健康データを扱うモバイルアプリに対してこれを厳格に適用すると宣言した。しかし、テクノロジー企業を擁護する法律家やプライバシーの専門家のなかには、新方針は「必要以上に複雑なアプローチであり、すでに混乱が生じている」として、当局の行き過ぎを危ぶむ声もある。

FTCは9月15日（現地時間）に行われた会議で、インターネット接続を前提とした健康アプリをはじめ、消費者の健康管理に使用するテクノロジー全般に対して、健康侵害通知規則を適用するという新方針を採択した。具体的には、フィットネストラッカー、排卵日予測アプリ、月経周期管理アプリ、メンタルヘルスアプリ、禁煙支援アプリなどが含まれる。消費者の健康データを漏洩させた企業は、健康侵害通知規則に基づいて、FTCおよびデータ侵害の影響を受けた当事者本人への通知が義務づけられる。心身の健康管理や健康データの取り扱いは、同規則の制定当時とは様変わりしており、このたびの方針転換は、その運用を今日の実態に合わせることだとFTCは説明している。なお、この規則に基づいて、FTCが企業を告発した事案はひとつもない。

健康データのプライバシーや侵害について研究する非営利団体、ワールドプライバシーフォーラム（World Privacy Forum）で、エグゼクティブディレクターを務めるパム・ディクソン氏も、「健康侵害通知規則は現状に合わせて改める必要がある」と述べている。

Advertisement

大きく変わったヘルステック業界

以前のFTCのガイダンスでは、この規則は、個人の健康記録を扱うベンダーや、そのようなベンダーにサービスを提供する企業に対して、ごく限られた状況でのみ適用されると規定していた。しかし時代は変わった。ヘルステック業界は、FTCがこの規則の運用方針をはじめて示した2009年当時よりも、はるかに進化している。そこでFTCは、ヘルステック業界の現状に合うよう、規則のより積極的な解釈を進めようとしているのだ。

9月の会議に出席したFTC委員長のリナ・カーン氏は、「ネット接続型のヘルスアプリやこれに準ずるテクノロジーに、健康侵害通知規則が適用されることを明確に示したい」と述べている。そしてカーン氏は、同規則の適用方針を変更する理由として、アプリ開発業者によるセンシティブな健康情報の商品化に言及した。彼ら開発事業者たちは、アプリの収益化のために、大量のデータを使ってターゲット広告を配信したり、多様な商品を開発したりするが、その過程でしばしば消費者の健康情報を拡散させてしまう。テクノロジーの進化に合わせて、規則の運用方針を改めることは、条文の文言よりも、その趣旨に重きを置く「論理的解釈」だとカーン氏は述べている。

カーン氏はこの方針転換を断固たる態度で発表した。いわく、「FTCは、規則に従わない健康アプリなどの開発業者に対して、高額な罰金刑を科すことも躊躇すべきではない」。違反企業は、2009年に定められた罰金と同額の、1日あたり4万3792ドル（約490万円）の制裁金を課す可能性もあるという。

「健康アプリのメーカーにとって、消費者がアプリに送信するデータを販売したり、第三者と共有したりするのはごく一般的なビジネスモデルだ」と、妊娠検査薬を販売し、妊娠管理アプリを運営するプルーヴ（Proov）の創業者で、最高経営責任者（CEO）を務めるエイミー・ベックリー氏は指摘する。消費者が同社のアプリに送信するデータの保護については、「当然、考慮しており、積極的な管理を心がけている」とベックリー氏は話す。プルーヴでは、アプリで収集したデータの共有や販売は行わないし、アナリティクス企業やGoogleまたはFacebookなどの広告プラットフォームとバックエンドで接続することもないという。このことは、同社のプライバシーポリシーでも約束されている。

「我々は好き好んで情報を漏洩させたりしない。FTCが管理したいのは、大手のアプリがユーザーから取得するデータで収益を得ているのに、ユーザー本人がその実態を知らないという現状だ」と、ベックリー氏は語る。「データには大きな価値があり、その価値が、健康アプリを運営する企業のビジネスモデルを支えている。ユーザーのデータが本人の知らないところで利用されるのは気味が悪いし、正しいことではない」。

データ共有とデータ侵害をめぐる混乱

FTCが表明した方針は、健康データを保護するための規則を、新たに制定しようと正式に提案するものではない。FTCで新規則を策定するとなれば、場合によっては成立までに年単位の時間を要する。

その一方で、ケリー・ドライ・アンド・ウォーレン（Kelley Drye and Warren）法律事務所に所属する弁護士で、プライバシーおよび広告部門を担当するローラ・リポーソ・ヴァンドラフ氏は、現行の健康侵害通知規則をそのまま健康アプリに適用する方針を「大幅な拡大解釈だ」と断じる。そして「FTCは、規則に違反しないデータ共有と、規則を逸脱するデータ侵害を明確に仕分けているのだろうか」と疑問を呈す。リポーソ・ヴァンドラフ氏はつい最近まで、FTCの消費者保護局内に設置されたプライバシーおよび個人情報保護部門でアシスタントディレクターを務めていた。今回の方針表明について、リポーソ・ヴァンドラフ氏はこう批判する。「健康やウェルネスやフィットネス関連のサービスを提供する企業へ多くの疑問を投げかけるが、こういった企業が何をやってよいのかという疑問にはまったく答えていない」。

たとえば、電子メールアドレスやIPアドレスなど、健康アプリで共有される個人情報が、健康侵害通知規則の新解釈の対象となるか否かについては、今回の方針表明では示されていない。リポーソ・ヴァンドラフ氏は問う。「月経周期の管理アプリなどでは、ユーザーが自分の排卵周期を管理しているという事実そのものが機微情報だ。では、このユーザーのIPアドレスも機微情報なのか」。リポーソ・ヴァンドラフ氏によると、規則の施行に伴って、データ共有に関する情報開示説明を改訂する必要があるのか、あるいはアプリのユーザーから追加の同意を取得する必要があるのかなど、不明な点も多いという。

運用方針の変更に反対票を投じたふたりのFTC委員は、経済界に対して正式な通知を行わないなら、今回の方針表明は現行のガイダンスと矛盾すると批判した。ノア・フィリップス委員は、同規則の新解釈は「複雑で理解しがたい」と主張し、反対意見のなかでこう述べた。「新解釈に照らせば、歩数であれ食事の記録であれ、健康に関するデータの保存や処理に使うアプリを運営する企業は、すべて『ヘルスケアプロバイダー』に相当する。家庭用の万能塗り薬やビタミン剤など、健康関連の製品を販売する小売企業も同様だ」。

もうひとつの論点はデータ侵害の定義

もうひとつの論点は、データ侵害の定義そのものだ。この法律の運用に関する当初の説明で、FTCは古典的な意味での健康データの侵害と「不正アクセス」について言及し、「従業員が顧客の医療記録に無許可でアクセスした場合」や「個人の健康記録が入ったパソコンを紛失した場合」などを例に挙げている。

今回、FTCは、アプリの利用者から適切な許可を得ていない、詐欺的または不正なデータ共有を抑制するために、データ侵害の定義を変更しようとしている。カーン氏によると、「健康侵害通知規則の適用が、サイバーセキュリティや侵入、そのほかの悪質な行為に限られない点はとくに注目すべきだ」という。カーン氏は「不正アクセスについても、同規則に基づく通知義務が発生する」と指摘し、「位置情報を含むユーザーデータの安全でない送信から、アプリのプライバシーポリシーに違反する広告主や第三者へのデータの拡散まで、問題は深刻だ」と付け加えた。

しかし、不正なデータ共有をデータ侵害の定義に含めるという方針転換は、FTCや被害当事者への通知が必要なセキュリティ侵害の発生を、何をもって判断するのかなど、多くの問題を提起する。方針転換に反対するFTC委員のフィリップス氏は、こう問いかける。「判断のタイミングは、ベンダーがデータ共有の計画を『たまたま発見した』ときなのか、あるいはそのような計画を思いついたときなのか、つまりは実際に情報を取得する前の段階なのか。それとも、そのような情報共有が起きて、初めて侵害と判断されるのか。多くの場合、プライバシー規制では、データの共有を禁止したり、罰則を設けたりすることで、このようなファーストパーティによる違反を未然に防いでいる。定義のはっきりしない発見が起こるのを待って、通知義務を課すのみであれば、不正な情報共有の発生は防げない」。

ウェアラブル端末のない時代を超えて

健康侵害通知規則に関する方針変更の背景には、この6月に成立したFTCとフローヘルス（Flo Health）の和解がある。フローヘルスは月経周期の管理アプリ「フロー（Flo）」のメーカーだ。このたびの方針変更に賛成票を投じたFTC委員のなかには、フローヘルスの事案にこの規則を適用すべきだと主張するものもあったが、最終的には見送られた。この事案におけるFTCの主張は、フローヘルスが同社製アプリに送信された消費者データを、本人の同意なく、Facebook、Google、さらにはアナリティクス企業などと共有したというものだった。送信されたデータには、送信者が妊活中であるか否か、気鬱を含む月経前症候群の症状があるか否かなどの情報が含まれていた。FTC委員のレベッカ・スローター氏は、9月に行われた採決で、健康侵害通知規則の新しい運用方針に賛成票を投じたひとりだが、このときの会合で自ら「今年初め、FTCが妊娠管理アプリのフローに対しておこなった訴訟で、健康管理に使うデジタルツールのプロバイダーに対して、FTCは健康侵害通知規則をもっと効果的に運用すべきだと主張した」という。

FTCは、捜査の対象となる企業との交渉内容を明かすことはないが、同規則を適用すべきデータの種類をめぐる意見の不一致が、適用に至らなかった理由と考えられる。どういう種類の健康データに規則を適用すべきかについては、常に何かしらの議論がつきまとう。カーン氏の説明によると、「一般的に、健康アプリはHIPAAの対象外であるため、FTCの規則の対象外だと誤解する人もいる」という。カーン氏のいうHIPAAとは、「医療保険の相互運用性と説明責任に関する法律（Health Insurance Portability and Accountability Act）」のことで、オンライン上に保存された健康記録のプライバシーとセキュリティについて規定している。

2009年に健康侵害通知規則の施行に関する最初のガイダンスを発表した際、FTCは同規則の適用対象を「HIPAAの対象とならない健康情報を、消費者から収集するウェブベースの企業」と規定していた。これには、「消費者が自分の健康情報の記録に使うオンラインサービス、およびそのようなサービスと連携するオンラインアプリケーション」が含まれるとされた。しかし、2009年当時、健康管理に用いるモバイルアプリはまったく一般的ではなかった。たとえば、ナイキ（Nike）の健康管理用ウェアラブル端末「フューエルバンド（FuelBand）」が発売されたのも2021年のことである。しかも、デジタル形式の健康データに関する話題としては、当時のオバマ大統領が打ち出した「医療保険制度改革法」、いわゆるオバマケアが推進する、個人の健康記録のデジタル化ばかりに注目が集まっていた。

ワールドプライバシーフォーラムのディクソン氏は、「コロナ禍が進行中であること、それがしばらくは収束しそうにないこと、HIPAAの適用もなく、公的なアプリでもない、多種多様な民間の健康アプリに、大量の個人データが送信されていることを考えると、健康アプリのデータへの対応は喫緊の課題だ」と述べる。「当然、FTCもその重要性を認識しているだろう」。

［原文：Health app makers are on notice amid FTC data rule refresh, but some privacy experts say the regulator has gone too far］

KATE KAYE（翻訳：英じゅんこ、編集：小玉明依）