« 米国 CISAのディレクターが最初の一歩として選んだ4つのセキュリティ対策 | Main | CSA クラウドの IAM とは何か? (2023.07.12) »

2023.07.25

米国 公正取引委員会 保健社会福祉省 病院システムと遠隔医療プロバイダに対し、オンライン追跡技術によるプライバシーとセキュリティのリスクについて警告

こんにちは、丸山満彦です。

米国の公正取引委員会 (FTC)  と保健社会福祉省人権局 (HHS-OCR) が病院システムと遠隔医療プロバイダ、約130組織に対し、オンライン追跡技術によるプライバシーとセキュリティのリスクについて警告する共同書簡を関係する組織に送付したようですね。。。

しらずしらずに第三者提供してしまっているようなこともあるのでしょうかね。。。

 

Federal Trade Comission; FTC

リリース

・2023.07.20 FTC and HHS Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies

FTC and HHS Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies FTCとHHSは、病院システムと遠隔医療プロバイダに対し、オンライン追跡技術によるプライバシーとセキュリティのリスクについて警告する。
Letters highlight concerns stemming from use of technologies that may share a user’s sensitive health information 書簡は、ユーザーの敏感な健康情報を共有する可能性のある技術の使用から生じる懸念を強調する。
The Federal Trade Commission and the U.S. Department of Health and Human Services' Office for Civil Rights (OCR) are cautioning hospitals and telehealth providers about the privacy and security risks related to the use of online tracking technologies integrated into their websites or mobile apps that may be impermissibly disclosing consumers’ sensitive personal health data to third parties. 米連邦取引委員会(FTC)と米保健社会福祉省人権局(OCR)は、病院や遠隔医療プロバイダに対し、ウェブサイトやモバイルアプリに組み込まれたオンライン追跡技術の使用に関連し、消費者の機密個人健康データを第三者に不当に開示している可能性があるプライバシーとセキュリティのリスクについて警告している。
“When consumers visit a hospital’s website or seek telehealth services, they should not have to worry that their most private and sensitive health information may be disclosed to advertisers and other unnamed, hidden third parties,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “The FTC is again serving notice that companies need to exercise extreme caution when using online tracking technologies and that we will continue doing everything in our powers to protect consumers’ health information from potential misuse and exploitation.” FTC消費者保護局のサミュエル・レヴィーン局長は、次のように述べている。「消費者が病院のウェブサイトを訪れたり、遠隔医療サービスを受けたりする際、最もプライベートでセンシティブな健康情報が広告主や無名の隠れた第三者に開示されることを心配する必要はない。FTCは、企業がオンライン追跡技術を使用する際には細心の注意を払う必要があること、また、消費者の健康情報を悪用や搾取の可能性から守るため、今後も全力を尽くすことを改めて通告する。」
“Although online tracking technologies can be used for beneficial purposes, patients and others should not have to sacrifice the privacy of their health information when using a hospital’s website,” said Melanie Fontes Rainer, OCR Director. “OCR continues to be concerned about impermissible disclosures of health information to third parties and will use all of its resources to address this issue.” OCRのメラニー・フォンテス・レイナー局長は次のように述べた。「オンライン追跡技術は有益な目的のために使用されることがあるが、患者やその他の人々が病院のウェブサイトを使用する際に健康情報のプライバシーを犠牲にする必要はない。OCRは引き続き、医療情報のサードパーティへの許されない開示について懸念しており、この問題に対処するためにあらゆる資源を投入していく」
The two agencies sent the joint letter to approximately 130 hospital systems and telehealth providers to alert them about the risks and concerns about the use of technologies, such as the Meta/Facebook pixel and Google Analytics, that can track a user’s online activities. These tracking technologies gather identifiable information about users, usually without their knowledge and in ways that are hard for users to avoid, as users interact with a website or mobile app. 両機関は、約130の病院システムと遠隔医療プロバイダーに対し、ユーザーのオンライン活動を追跡できるメタ/フェイスブック・ピクセルやグーグル・アナリティクスなどの技術の使用に関するリスクと懸念について警告するため、共同書簡を送った。 これらのトラッキング技術は、ユーザーがウェブサイトやモバイルアプリを利用する際に、通常ユーザーが知らないうちに、またユーザーが避けることが難しい方法で、ユーザーに関する識別可能な情報を収集する。
In their letter, both agencies reiterated the risks posed by the unauthorized disclosure of an individual’s personal health information to third parties. For example, the disclosure of such information could reveal sensitive information including health conditions, diagnoses, medications, medical treatments, frequency of visits to health care professionals, and where an individual seeks medical treatment. 両機関は書簡の中で、個人の健康情報が第三者へ無許可で開示されることによってもたらされるリスクを改めて強調した。例えば、そのような情報の開示は、健康状態、診断、投薬、治療、医療専門家への受診頻度、個人がどこで治療を受けたかなどの機密情報を明らかにする可能性がある。
HHS highlighted these concerns in a bulletin it issued late last year that reminded entities covered by the  Health Insurance Portability and Accountability Act (HIPAA) of their responsibilities to protect health data from unauthorized disclosure under the law. HHSは、昨年末に発行した「医療保険の相互運用性と説明責任に関する法律(HIPAA)」の適用を受ける事業体に対し、同法に基づく不正な開示から健康データを保護する責任を喚起する通達の中で、こうした懸念を強調している。
Companies not covered by HIPAA still have a responsibility to protect against the unauthorized disclosure of personal health information—even when a third party developed their website or mobile app. Through its recent enforcement actions against BetterHelp, GoodRx and Premom, as well as recent guidance from the FTC’s Office of Technology, the FTC has put companies on notice that they must monitor the flow of health information to third parties that use tracking technologies integrated into websites and apps. The unauthorized disclosure of such  information may violate the FTC Act and could constitute a breach of security under the FTC’s Health Breach Notification Rule. HIPAAの適用を受けない企業は、サードパーティがウェブサイトやモバイルアプリを開発した場合でも、個人健康情報の不正な開示から保護する責任がある。BetterHelp、GoodRx、Premomに対する最近の強制措置や、FTC技術局からの最近のガイダンスを通じて、FTCは、ウェブサイトやアプリに統合された追跡技術を使用するサードパーティへの健康情報の流れを監視しなければならないことを企業に警告している。 このような情報の不正な開示はFTC法に違反する可能性があり、FTCの健康情報漏えい通知規則のセキュリティ違反に該当する可能性がある。

 

共同書簡

・[PDF]

20230725-10901

 

・[DOCX] 仮訳

 

ブログ

・2023.07.20 FTC-HHS joint letter gets to the heart of the risks tracking technologies pose to personal health information

FTC-HHS joint letter gets to the heart of the risks tracking technologies pose to personal health information FTCとHHSの共同書簡は、追跡技術が個人健康情報にもたらすリスクの核心を突いている。
We usually don’t recommend reading other people’s mail, but even if you weren’t one of the approximately 130 companies that received a recent joint letter from the FTC and HHS’ Office for Civil Rights (OCR), anyone in the health arena – hospitals, other HIPAA-covered entities, telehealth providers, health app developers, etc. – should take the letter to heart and consider a privacy and security check-up at their business. 通常、他人の郵便物を読むことは推奨しないが、FTCとHHSの人権局(OCR)からの最近の共同書簡を受け取った約130社のうちの1社でなかったとしても、病院、その他のHIPAAの対象となる事業体、遠隔医療プロバイダ、健康アプリ開発者など、健康分野に携わる人なら誰でも、この書簡を心に留め、事業におけるプライバシーとセキュリティの点検を検討すべきである。
The joint letter alerts recipients to the risks that tracking technologies – including Meta/Facebook pixel and Google Analytics – pose to the privacy and security of consumers’ personal health information. As users interact with websites or mobile apps, technologies are often tracking their online activities and gathering personal data about them. Much of this happens behind the scenes with consumers utterly unaware they’re being tracked and unable to avoid what’s happening.
この共同書簡は、メタ/フェイスブックピクセルやグーグルアナリティクスを含むトラッキング技術が消費者の個人健康情報のプライバシーとセキュリティにもたらすリスクについて取得者に警告している。ユーザーがウェブサイトやモバイルアプリを利用する際、テクノロジーはしばしばユーザーのオンライン活動を追跡し、個人データを収集している。その多くは、消費者が追跡されていることに全く気づかず、何が起きているのかを避けることもできないまま、舞台裏で行われている。
The nature of the data these technologies are gathering without consumers’ consent – for example, health conditions, diagnoses, medications, and visits to healthcare providers – is uniquely confidential. And impermissible disclosure can lead to identity theft, financial loss, discrimination, stigma, mental anguish, and other injurious consequences. これらのテクノロジーが消費者の同意なしに収集しているデータの性質(例えば、健康状態、診断、投薬、医療プロバイダへの訪問など)は、他に類を見ないほど機密性の高いものである。そして、許されない開示は、個人情報の盗難、経済的損失、差別、汚名、精神的苦痛、その他の有害な結果につながる可能性がある。
You’ll want to read the letter for OCR’s perspectives on tracking and personal health information, but here’s a sentence worth highlighting: “HIPAA regulated entities are not permitted to use tracking technologies in a manner that would result in impermissible disclosures of PHI to third parties or any other violations of the HIPAA Rules.” The letter also cites a December 2022 OCR bulletin with an overview about how HIPAA applies to the use of online tracking technologies. 追跡と個人健康情報についてのOCRの見解については書簡を読んでいただきたいが、特筆すべき一文がある: 「HIPAA規制事業体は、PHIのサードパーティへの開示やその他のHIPAA規則違反をもたらすような方法で追跡技術を使用することは許されない。この書簡はまた、オンライン追跡技術の使用にHIPAAがどのように適用されるかについての概要が記載された2022年12月のOCR通達も引用している。
But even if a company isn’t covered by HIPAA, the letter is a reminder that it still has obligations under the FTC Act and the FTC’s Health Breach Notification Rule to protect against the impermissible disclosures of personal health information. Citing recent FTC law enforcement actions against Easy HealthcareBetterHelpGoodRx, and Flo Health, the letter establishes that it's “essential to monitor data flows of health information to third parties via technologies you have integrated into your website or app.” What if you had someone else design your site or app? The compliance buck still stops with you. Furthermore, your company is legally responsible even if you don’t use the data obtained through tracking technologies for marketing purposes. しかし、たとえ企業がHIPAAの適用を受けていないとしても、個人健康情報の許されない開示から保護するために、FTC法およびFTCの健康侵害通知規則の下での義務があることを、この書簡は喚起している。Easy Healthcare、BetterHelp、GoodRx、Flo Healthに対する最近のFTC法執行措置を引き合いに出しながら、この書簡は、「ウェブサイトやアプリに統合した技術を通じて、サードパーティへの健康情報のデータフローを監視することが不可欠」であることを立証している。もし、あなたのサイトやアプリを他の誰かにデザインしてもらったらどうなるだろうか?コンプライアンスの責任は依然としてあなたにある。さらに、トラッキング技術によって得られたデータをマーケティング目的で使用しなくても、法的責任は貴社にある。
In addition to underscoring that both agencies are watching developments in this area, the letter ends with this admonition: “To the extent you are using the tracking technologies described in this letter on your website or app, we strongly encourage you to review the laws cited in this letter and take actions to protect the privacy and security of individuals’ health information.” 両機関がこの分野の動向を注視していることを強調した上で、この書簡は次のような警告で締めくくられている: 「この書簡に記載されているトラッキング技術をウェブサイトやアプリで使用している限りにおいて、この書簡で引用されている法律を確認し、個人の健康情報のプライバシーとセキュリティを保護するための措置を講じることを強く推奨する」。
That’s sound advice for companies that received the joint letter – and for other businesses, too. これは、共同書簡を受け取った企業にとって、そして他の企業にとっても、適切なアドバイスである。
Check out more health privacy resources from the FTC. FTCが提供するその他の医療プライバシーに関するリソースをチェックする。

 

Health and Human Services  - Office for Civil Rights (OCR)

・2023.07.20 HHS Office for Civil Rights and the Federal Trade Commission Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies

HHS Office for Civil Rights and the Federal Trade Commission Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies HHS市民権局と連邦取引委員会は、オンライン追跡技術によるプライバシーとセキュリティのリスクについて、病院システムと遠隔医療プロバイダに警告を発する。
Letters highlight concerns about use of online tracking technologies such as Google Analytics and Meta Pixel in violation of HIPAA Google AnalyticsやMeta Pixelのようなオンライントラッキング技術のHIPAA違反使用に関する懸念を強調する書簡が出された。
The U.S. Department of Health and Human Services (HHS), Office for Civil Rights (OCR) and the Federal Trade Commission (FTC) are cautioning hospitals and telehealth providers about the privacy and security risks related to the use of online tracking technologies that may be integrated into their websites or mobile apps that may be impermissibly disclosing consumers’ sensitive personal health data to third parties. Tracking technologies are used to collect and analyze information about how users interact with websites or mobile apps. Generally, tracking technologies developed by third parties send information directly to the third parties who developed such technologies and may continue to track users and gather information about them even after they navigate away from the original website to other websites.  米国保健社会福祉省(HHS)、公民権局(OCR)および連邦取引委員会(FTC)は、病院や遠隔医療プロバイダに対し、ウェブサイトやモバイルアプリに組み込まれている可能性のあるオンライン追跡技術の使用に関連するプライバシーおよびセキュリティリスクについて警告している。トラッキング・テクノロジーは、ユーザーがウェブサイトやモバイル・アプリをどのように利用するかについての情報を収集・分析するために使用される。 一般的に、サードパーティによって開発された追跡技術は、そのような技術を開発したサードパーティに直接情報を送信し、ユーザーが元のウェブサイトから他のウェブサイトに移動した後も、ユーザーを追跡し続け、彼らに関する情報を収集する可能性がある。 
OCR administers and enforces the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Privacy, Security and Breach Notification Rules which set minimum privacy and security standards for the protection of certain individually identifiable health information. FTC’s mission is protecting the public from deceptive or unfair business practices and from unfair methods of competition through law enforcement, advocacy, research, and education.  OCRは、1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)のプライバシー、セキュリティ、および侵害通知に関する規則を管理・執行している。FTCの使命は、法の執行、アドボカシー、調査、教育を通じて、欺瞞的または不公正な商行為や不公正な競争方法から国民を守ることである。 
“Although online tracking technologies can be used for beneficial purposes, patients and others should not have to sacrifice the privacy of their health information when using a hospital’s website,” said Melanie Fontes Rainer, OCR Director. “OCR continues to be concerned about impermissible disclosures of health information to third parties and will use all of its resources to address this issue.” OCRのメラニー・フォンテス・レイナー局長は次のように述べた。「オンライン追跡技術は有益な目的で使用されることもあるが、患者やその他の人々が病院のウェブサイトを利用する際に、自分の健康情報のプライバシーを犠牲にする必要はない。OCRは引き続き、医療情報のサードパーティへの許されない開示について懸念しており、この問題に対処するためにあらゆるリソースを駆使していく。」
“When consumers visit a hospital’s website or seek telehealth services, they should not have to worry that their most private and sensitive health information may be disclosed to advertisers and other unnamed, hidden third parties,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “The FTC is again serving notice that companies need to exercise extreme caution when using online tracking technologies and that we will continue doing everything in our powers to protect consumers’ health information from potential misuse and exploitation.” FTC消費者保護局のサミュエル・レバイン局長は、次のように述べた。「消費者が病院のウェブサイトを訪れたり、遠隔医療サービスを求めたりする際、最もプライベートでセンシティブな健康情報が広告主や無名の隠れた第三者に開示されることを心配する必要はない。「FTCは、企業がオンライン・トラッキング技術を使用する際には細心の注意を払う必要があること、また、消費者の健康情報を悪用や搾取の可能性から守るため、今後も全力を尽くすことを改めて通告する。」
The two agencies sent the joint letter - PDF* to approximately 130 hospital systems and telehealth providers to emphasize the risks and concerns about the use of technologies, such as the Meta/Facebook pixel and Google Analytics, that can track a user’s online activities. These tracking technologies gather identifiable information about users, usually without their knowledge and in ways that are hard for users to avoid, as users interact with a website or mobile app. 両機関は、約130の病院システムや遠隔医療プロバイダーに対し、Meta/FacebookピクセルやGoogleアナリティクスなど、ユーザーのオンライン活動を追跡する技術の使用に関するリスクと懸念を強調するため、共同書簡(PDF*)を送付した。これらのトラッキング技術は、ユーザーがウェブサイトやモバイルアプリとやりとりする際に、通常ユーザーが知らないうちに、またユーザーが避けることが難しい方法で、ユーザーに関する識別可能な情報を収集する。
OCR highlighted these concerns in a bulletin it issued late last year that reminded entities covered by HIPAA of their responsibilities to protect health data from unauthorized disclosure under the law.  Since that time, OCR has confirmed its active investigations nationwide to ensure compliance with HIPAA. OCRは昨年末に発行した通達の中でこれらの懸念を強調し、HIPAAの対象となる事業体に対し、同法に基づく不正な開示から健康データを保護する責任を喚起した。  それ以来、OCRはHIPAAの遵守を確認するため、全国で積極的な調査を行っている。
Companies not covered by HIPAA still have a responsibility to protect against the unauthorized disclosure of personal health information—even when a third party developed their website or mobile app. Through its recent enforcement actions against BetterHelpGoodRx and Premom, as well as recent guidance from the FTC’s Office of Technology, the FTC has put companies on notice that they must monitor the flow of health information to third parties that use tracking technologies integrated into websites and apps. The unauthorized disclosure of such information may violate the FTC Act and could constitute a breach of security under the FTC’s Health Breach Notification Rule. HIPAAの適用を受けていない企業は、サードパーティがウェブサイトやモバイルアプリを開発した場合でも、個人健康情報の不正な開示から保護する責任を負っている。BetterHelp、GoodRx、Premomに対する最近の強制措置や、FTCの技術局からの最近のガイダンスを通じて、FTCは、ウェブサイトやアプリに統合された追跡技術を使用するサードパーティへの健康情報の流れを監視しなければならないことを企業に警告している。このような情報の不正な開示はFTC法に違反する可能性があり、FTCのHealth Breach Notification Ruleに基づくセキュリティ違反となる可能性がある。

 

HIPPAでカバーされる事業者は2022年12月のこちらも...

参考

・2022.12.01 Use of Online Tracking Technologies by HIPAA Covered Entities and Business Associates

 

 

|

« 米国 CISAのディレクターが最初の一歩として選んだ4つのセキュリティ対策 | Main | CSA クラウドの IAM とは何か? (2023.07.12) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 CISAのディレクターが最初の一歩として選んだ4つのセキュリティ対策 | Main | CSA クラウドの IAM とは何か? (2023.07.12) »