医療技術とマーケティングにおける新たなベストプラクティス： 潮目の変化

Emerging Best Practices in Health Care Technology and Marketing: Changing Tides
IAPP Global Privacy Summit 2024 現地レポート[Vol.3]
公開：2024/04/16　執筆：株式会社プライバシーテック

世界中のプライバシー専門家が集う国際会議「IAPP Global Privacy Summit 2024」が、2024年4月1日〜4日の日程で、東京よりも一足早く桜が満開を迎えた米国ワシントンD.C.で開催されました。株式会社プライバシーテックは2年ぶりに現地参加。多くのセッションの中から選りすぐりのスピーチ・セッションの内容をお届けします。

◆ この記事でわかること
・FTCがサードパーティへのデータ提供に対して法的規制を強化する傾向がある。
・特にヘルスケア分野においては、Webサイトへのアクセスした履歴であっても、明確な同意がないと、ターゲティング目的での使用を規制する主張を展開。
・同意取得は従来のCookie同意のようなものでは無効で、「取得」「共有」「販売」のそれぞれについて、明確な署名入りの同意取得が必要である。

登壇者

Corey Dennis, CIPP/E, CIPP/US, Senior Director, Counsel, Information Security & Privacy, Eli Lilly and Company
Gabe Maldoff, Associate, Goodwin Procter
Priya Mannan, Vice President, Head Legal, Novartis
Divya Sridhar, Vice President, Global Privacy Initiatives and Operations, BBB National Programs

転載：IAPP Global Privacy Summit 2024

概要

2023年より、米国連邦取引委員会（FTC: Federal Trade Commission）が消費者プライバシー保護に関する法執行権限を積極的に行使する傾向が継続している。中でも特に、オンライン広告の分野におけるサードパーティへのデータ提供に注力していることが窺われる。

このような動きは、ワシントン州の「健康データ保護法」（通称：My Health My Data Act）を含む新しい州のプライバシー法や人工知能の出現と相まって、「医療保険の相互運用性と責任に関する法律」（Health Insurance Portability and Accountability Act: HIPAA）の範囲をはるかに超え、ヘルスケア業界の企業にとって困難な状況を生み出している。

本セッションでは、この複雑で進化しつつある分野における業界への影響、ベストプラクティス、リスク管理とともに、最近の立法・施行の動向について議論が展開された。

健康データのプライバシーとFTCの動向

かねてよりFTCは、個人の健康状態に関するデータをオンラインでの行動ターゲティング広告のために共有するには、積極的かつ明示的な同意取得が必要であると明言していた。これは何年も前からガイダンスを通じて公に宣言されてきたことであり、自主規制団体の慣行にも取り入れられてきたため、ヘルスケア分野の特定のデータがオンライン広告システムで利用されることを実質的に制限してきた。

しかしながらデータ内容がセンシティブであるか否かを問わず、健康状態に関するデータを収集し自社のターゲティング広告目的で使用する企業は年々増加している。技術の発展とともに、ユーザーの追跡（トラッキング）や広告利用が容易になったことが理由に挙げられる。

2023年、FTCは積極的な明示的同意の要件となるセンシティブデータの種類について、より広範な主張を表明し、以下の2つの新たな法的要件を明らかにした。

１つは、

ヘルスケアデータの定義は、従来の概念だけでなく、消費者の習慣を推測できる特定のデータ分類にも及ぶ、という概念

である。以下に例を挙げよう。

例1：メンタルヘルスサービスを提供するBetterHelp社に対して

FTCは、消費者がBetterHelp社のウェブサイトを訪問し、サービスに申し込むことを決定しただけで、その個人がメンタルヘルス上の懸念を抱いていることが推論されるため、同社のウェブサイトやその他情報を見ること自体がセンシティブデータのカテゴリーになりうると主張した。

例2：月経管理アプリを運営するFlo Health社に対して

FTCは、Flo Health社が運営するアプリ内で特定の事象に、消費者の健康状態に関する推論（例えば、消費者が月経中であることが明らかになる等）を特定するラベルを付けたと主張。さらにそれらの情報には個人の名前が紐づいており、第三者の広告トラッカーから見える可能性があった。そのためFTCは、同社健康に関するが機微の高い情報を第三者と共有していたと主張した。

２つめは、

健康侵害通知規則（Health Breach Notification Rule）の新たな適用

である。

この規則は従来、特定の医療情報の漏洩や不正開示を対象とするものであった。2023年にFTCは、許諾の有無は消費者の意思表示をもって判断すると主張した。従って、消費者の承認なしに健康データを共有することは、たとえ企業側が許可していたとしてもFTCに違反とみなされる可能性のあることが明らかになった。

今年は特に、FTCがデータ・ブローカーの活動に目を向けていることに注目すべきである。個人のオンラインにおける閲覧履歴情報について、積極的かつ明示的同意が求められる引き金となるのは何か、その線引きが明らかになる可能性がある。

また以上の事象から読み取れるように、2023年に状況が劇的に変わり、規制の対象となる医療データの定義が変化してきている点を理解しておく必要がある。

医療データ規制とコンプライアンス

2023年にFTCは、保健福祉省（HHS: Department of Health and Human Services）の公民権室（Office for Civil Rights: OCR）と共同で、全米で200以上の病院および遠隔医療プロバイダーに対して、患者ポータルサイトやユーザー認証ページだけでなく、より一般的なウェブページや検索ページ等のオンライントラッキング技術に関する警告文書を発出した。本件は、すでにOCRが指針を公表していたHIPPAの適用対象／対象外の双方を含む病院や遠隔医療プロバイダーに向けたものであることから、取り締まる側の管轄が交差していることが課題として浮き彫りになった。規制対象の事業者にとっては、FTCとHIPPAで規制の対象となる医療データの定義が異なるため、大きな課題に直面しているといえる。

2024年3月、HHSはオンライン・トラッキング技術とHIPPAコンプライアンスに関するガイダンスを更新した。ポイントは以下の2点である。

Cookieのようなトラッキング技術の使用を受け入れ、または拒否をユーザーに尋ねるウェブサイトのバナー等は、有効な承認方法とは認められない。

HIPAAプライバシー規則に関して、価格設定ポリシーや利用規約の一部に埋もれた形で、情報の開示を行うだけでは十分だと言えない。情報開示は署名されたNDA業務提携契約に基づかなければならない。

州によって異なるプライバシー法整備の状況

ワシントン州では新法、健康データ保護法（通称My Health My Data Act）が制定された（2024年3月31日施行）。ポイントは以下の通り。

消費者の健康に関するプライバシー通知の分離

プライバシーポリシーとは別に、消費者の健康データ収集等に関する追加の開示が必要。

「収集」と「共有」に対する個別の同意

健康データの「収集」に関する消費者の同意と、同データの「共有」に関する消費者の同意は同一であってはならず、明確に分けることが求められる。 また消費者の健康データを「販売」する際には、さらに別途消費者から署名入りの承認を得る必要がある。

「共有」に関して同意が不要となる例外も設けられているが、それはサービス提供者が、消費者が合理的に期待するサービスを提供している場合にのみ適用されるため注意が必要。

「EU一般データ保護規則」（General Data Protection Regulatio: GDPR）に触発され、全米で州ごとの包括的プライバシー法が急速に進化している。現時点で15の州法が制定されているが、まだそのすべてが施行されているわけではない。オプトイン方式もあれば、オプトアウト方式もあり、非常に複雑な状況となっている。

最近の動向として、FTCは健康データや子どものデータ、位置情報に加えて、患者に関するデータもセンシティブデータとしての性質があると判断している点を注視すべきである。病院側は（DSPや広告配信事業者などの*）トラッキング・ベンダーへユーザーの情報を共有する前に、オンラインで情報を閲覧しているユーザーが患者に値するか等、あらかじめユーザー側の意図を理解しなければならないということになる。（*筆者による注釈）

子どものデータとその機密性、そしてそのデータの収集に焦点を当てた新しい州法もいくつか制定されている。州法や、子どもおよび未成年者の定義によって、制限の対象となる年齢が異なる点にも注意が求められる。

機密データ取引に関する米国大統領令

米国人の機微の高いパーソナルデータを保護する目的で、懸念国とされる、中国、ロシア、イラン、北朝鮮、キューバ、ベネズエラへの、当該データの移転を制限する大統領令が出された。

◆ 取引禁止

データ仲介取引。機微データの販売やライセンス供与。ヒトゲノム情報等の個人が特定できるデータの販売・移転。

◆ 制限付き取引

・ ベンダー契約：大量の機微データへのアクセスを伴うサービスの提供。
・ 雇用契約：大量の機微データへのアクセスを伴う業務または職務の提供。
・　 投資契約：「(1)米国に所在する不動産または(2)米国の法人に関連する直接的または間接的な所有権を取得する」契約。

今回の大統領令では、対象となる機微の高い個人データにヒューマン・オーミック・データ（human 'omic data）が含まれている点に留意する必要がある（参考：https://www.nishimura.com/sites/default/files/newsletters/file/competitionlawinternationaltrade240312_ja.pdf）。遺伝的なデータだけでなく、生体データも含まれる。また個人を特定できる健康に関するデータも対象となると定義されるが、その閾値は完全には定義されておらず、どこまでのデータが規制対象に含まれるのか等、詳細については議論が残る。

少なくとも製薬業界に関しては、これまで米国ではデータ移転の制限がなかったため、今回の大統領令によりかなり画期的な進展がもたらされたと言える。引き続き、施行される法律の急速かつ劇的な変化を注意深く監視することが求められる。

ヘルスケア産業におけるデータプライバシー

健康データをめぐる法整備に積極的なのは米国だけではない。ヨーロッパで注目すべきは、欧州保健データスペース（EHDS: The European Health Data Space）である。そしてもちろん、GDPRをめぐる継続的な施行とガイダンスにも常に目を光らせておく必要がある。

オンライントラッキングおよびリターゲティングについては、特にサードパーティのデータベースを利用する場合、今後非常に困難なものとなることが予想される。

事業者は、社内でビジネスチームやマーケティングチームとその影響について話し合うことが重要となる。

米国では2023年あたりから、プライバシーの分野、特にCookieとトラッキングの分野で多くの集団訴訟が起きている。ワシントン州では、健康データ保護法により私的訴権が認められているため、原告団をさらに刺激することになると見られる。また、FTCの動向も勘案すると、コンプライアンス・プログラム確保への取り組みが急務であると理解することができる。

規制当局から信頼を得る、あるいは追加措置等を回避するためには、説明責任を果たすことが重要である。独立した第三者である機関から認証バッジや評価等を得ておくことも役に立つと考えられる。ただし、今は全てがグレーゾーンと言える状況であり、今後の法律の変化を注視し続ける必要がある。

（以上）

※本記事はプライバシーテック（ウンリュエル愛友美）が翻訳、編集しています。

＞＞次へ：[Vol.4]アジア各国におけるプライバシー規制の違いとは

＜＜前へ：[Vol.2]米･欧･中が競合する、世界のテクノロジー規制 (Opening Session)

当社では、今回のカンファレンスの詳細版レポートと勉強会を有償（10万円〜）にて提供しています。ご関心がございましたら問い合わせフォームよりご連絡くださいませ。

◆ 関連記事
[Vol.1]IAPP Global Privacy Summit 2024 とは？
[Vol.2]米･欧･中が競合する、世界のテクノロジー規制 (Opening Session)
[Vol.3]医療技術とマーケティングにおける新たなベストプラクティス： 潮目の変化←この記事
[Vol.4]アジア各国におけるプライバシー規制の違いとは
[Vol.5]技術的プライバシーレビューのプロセスを解明
[Vol.6]PETs： プライバシー保護技術の発展を促進するには？国家戦略と規制当局の視点

===

一覧はこちら（IAPP Webサイト）↗

IAPP公式サイト：https://iapp.org/about/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP