米国連邦取引委員会は、遠隔医療会社Cerebral社と和解に達し、同社は人々の機密健康データを誤って取り扱った疑いで700万ドルを支払うことになった。
セレブラル社は、不安、うつ病、ADHD、双極性障害、薬物乱用など、さまざまな精神疾患のオンライン治療と投薬管理を提供する遠隔医療会社である。
同社は2023年3月、同社のウェブサイト、アプリケーション、サービスを利用した320万人に対し、同社のプラットフォームでトラッキング・ピクセルを使用したために情報が流出したとのデータ流出通知を送付した。
FTCの訴状は、セレブ社と前CEOのカイル・ロバートソン氏を、広告のために消費者の個人健康情報を第三者に開示し、キャンセルポリシーを遵守しなかったとして告発している。
“セレブラル社は、約320万人の消費者の機密情報を、同社のウェブサイトやアプリにトラッキングツールを使用または統合することで、LinkedIn、Snapchat、TikTokなどの第三者に提供したことを告発する “と発表された。
「これらの追跡ツールはデータを収集し、第三者に送信することで、広告やデータ分析、その他のサービスをウェブサイトやアプリの所有者に提供することができる。
FTCの発表ではまた、セレブラル社の患者記録への元従業員のアクセス権を剥奪しなかったり、プロバイダーを隔離して患者の記録のみにアクセスできるように制限しなかったりするなど、消費者にとって機密性の高い健康データがさまざまなレベルで暴露される結果となった、セレブラル社が行ったとされる悪しき慣行がいくつか挙げられている。
さらに、同社は患者ポータルへのアクセスに安全でないシングルサインオン方式を使用し、セレブラル社は従業員のアクセスを業務遂行に必要なデータのみに制限していなかったとしている。
裁判所の承認を待って提案された命令には、以下の条項が含まれている:
- 欺瞞的な解約方法によって影響を受けた顧客への510万ドルの返金。
- 1,000万ドルの民事罰(セレブラル社が全額を支払えないため、200万ドルに制限)。
- マーケティングおよび広告目的の第三者との健康データの共有の永久禁止。
- 個人情報および健康データを第三者に開示する前に、消費者の同意を義務付ける。
- セレブラル社のデータ・セキュリティおよびプライバシー慣行について虚偽の説明を禁止すること。
- 包括的なデータ・セキュリティおよびプライバシー・プログラムを実施すること。
- 苦情および必要な措置の詳細をウェブサイトに掲載すること。
- データ保持スケジュールを実施し、保持に同意した場合を除き、不要な消費者データを削除し、明確なデータ削除要求の仕組みを提供すること。
- 解約方針に関する不当表示を禁止し、消費者の解約手続きを簡素化すること。
ロバートソン前CEOは、セレブラル社のサイトから「簡単解約」ボタンの削除を命じたとして訴えられているが、和解に合意していないため、彼の容疑については裁判所が判断することになる。
Comments