連邦取引委員会(FTC)は、オンライン精神保健サービス会社Cerebralと和解に達した。Cerebralは、機密性の高い健康データの保護に失敗したとして訴えられていた。同社は、消費者データの使用や開示を制限する命令に同意し、サービスの簡単なキャンセル方法を提供することが求められる。
2023年のデータ侵害後、Cerebralは2019年10月以降、Google、Meta(Facebook)、TikTokなどの第三者からの目に見えないピクセルトラッカーをオンラインサービスで使用していたことを公表した。これらのトラッキングピクセルの使用により、Cerebralは約320万人の消費者の機密情報をこれらの第三者に提供した。
Cerebralは、「安全で、安心で、控えめな」サービスを提供すると主張し、ユーザーのデータを機密に保つと述べていた。また、マーケティング目的でユーザーのデータを共有することは、人々の同意を得ずには行わないと多くの場合に明言していた。
HIPAAプライバシー侵害通知によると、次のデータが潜在的に露出した可能性がある:フルネーム、電話番号、メールアドレス、生年月日、IPアドレス、CerebralクライアントID番号、人口統計情報、自己評価の回答と関連する健康情報、サブスクリプションプランの種類、予約日、治療の詳細およびその他の臨床情報、健康保険/薬局利益情報。
Cerebralは、欺瞞的なキャンセル慣行によって影響を受けた顧客に510万ドルを返金し、1000万ドルの民事罰金を支払うことになるが、支払い能力がないため200万ドルに限定される。
【ニュース解説】
オンライン精神保健サービスを提供するCerebral社が、機密性の高い健康データの保護に失敗したとして、連邦取引委員会(FTC)と和解に至りました。この和解により、Cerebralは消費者データの使用や開示に関する制限を受けることになり、また、消費者がサービスを簡単にキャンセルできるような方法を提供する必要があります。
この問題の発端は、Cerebralが2019年10月以降、Google、Meta(Facebook)、TikTokなどの第三者による目に見えないピクセルトラッカーを使用していたことにあります。これらのトラッキングピクセルは、ウェブサイト訪問者がコードを見ない限り目に見えないもので、訪問者の追跡や広告のターゲティングに役立つデータを収集します。しかし、これによりCerebralは約320万人の消費者の機密情報を第三者に提供してしまいました。
Cerebralは、自社のサービスを「安全で、安心で、控えめな」と宣伝し、ユーザーのデータを機密に保つと主張していました。さらに、マーケティング目的でユーザーのデータを共有することは、人々の同意を得ない限り行わないとも述べていました。
この事件は、オンラインサービスにおける個人データの取り扱いとプライバシー保護の重要性を改めて浮き彫りにしました。特に、健康情報などの機密性の高いデータを扱う企業にとっては、データ保護の徹底が求められます。また、消費者としては、自分のデータがどのように使用されるかを理解し、必要な場合はその使用を制限するための措置を講じることが重要です。
このようなデータ侵害事件は、企業に対する信頼を損なうだけでなく、消費者のプライバシーに対する懸念を高めることになります。そのため、企業はデータ保護に関する規制を遵守し、消費者の信頼を確保するために、より透明性の高いデータ管理と保護策を講じる必要があります。また、消費者としては、自分のデータがどのように扱われているかを理解し、プライバシーを守るための適切な措置を講じることが重要です。
from Mental health company Cerebral failed to protect sensitive personal data, must pay $7 million.
