メンタルヘルスを専門とするテレヘルスの新興企業である Cerebral は、20 年以上の機密情報をうっかり共有してしまったと述べています。 310万人の患者 Google、Meta、TikTok、およびその他のサードパーティの広告主と、 によって以前に報告されたように TechCrunch. の 注意 同社のウェブサイトに投稿されたCerebralは、2019年10月までさかのぼって使用してきた追跡ツールを使用して、患者データの洗濯物のリストを公開したことを認めています.
監視の影響を受ける情報には、患者の名前、電話番号、電子メール アドレス、生年月日、IP アドレス、保険情報、予約日、治療など、あらゆるものが含まれます。 同社のウェブサイトやアプリでは、メンタルヘルスの自己評価の一環としてクライアントが記入した回答を公開した可能性もあり、患者はそれを使用して治療の予約をスケジュールし、処方薬を受け取ることができます。
Cerebral によると、この情報は、トラッキング ピクセルを使用するか、Meta、TikTok、および Google が開発者がアプリや Web サイトに埋め込むことを可能にするコードのビットを使用して取得されました。 の メタ ピクセルたとえば、プラットフォーム上の広告をクリックした後の Web サイトやアプリでのユーザーのアクティビティに関するデータを収集したり、ユーザーがオンライン フォームに入力した情報を追跡したりすることもできます。 これにより、大脳などの企業は、ユーザーがさまざまなプラットフォームで広告とどのようにやり取りしたかを測定し、その後の手順を追跡できます。また、Meta、TikTok、Google がこの情報にアクセスできるようになり、それを使用して広告に関する洞察を得ることができます。自分のユーザー。
公開される情報は、患者ごとに「異なる」可能性があります。
Cerebral が指摘したように、公開された情報は、「個人が Cerebral のプラットフォームで行ったアクション、下請け業者が提供するサービスの性質、追跡技術の構成」などのいくつかの要因に応じて、患者ごとに「異なる」可能性があります。 . 同社は、影響を受けるユーザーに通知すると述べ、「個人がCerebralのプラットフォームとどのようにやり取りしたとしても」、社会保障番号、クレジットカード番号、または銀行口座情報を公開しなかったと付け加えています.
1 月に最初にセキュリティ ホールを発見した後、Cerebral は、プラットフォーム上の追跡ピクセルを「無効化、再構成、および/または削除」して、将来の露出を防ぎ、「情報セキュリティの実践と技術審査プロセスを強化」したと述べています。 」
Cerebral は、医療保険の携行性と責任に関する法律としても知られる HIPAA の違反の可能性を開示することが法律で義務付けられています。 これにより、医療提供者が患者情報を患者以外の人物、または患者が自分の健康に関する情報を受け取ることに同意した人物以外に漏らすことを禁止します。 この違反は現在、米国公民権局によって調査中であり、ピクセル追跡ツールが関与する同様の事件に続いています。
去年、 による調査 マークアップ 米国のトップ病院のいくつかが、同社のピクセルを介して患者の機密情報を Meta に送信していることを発見しました。 これにより、Meta と問題の病院が医療プライバシー法に違反したと主張する 2 つの集団訴訟が引き起こされました。
ヵ月後、 マークアップ また、Meta は、H&R Block、TaxAct、TaxSlayer などの一般的な税務サービスに組み込まれている追跡ツールを通じて、ユーザーに関する財務情報を取得できたことも発見しました。 一方、BetterHelp や GoodRx などの他のオンライン医療企業は、今年初めに患者の機密データを第三者と共有したとして、FTC から多額の罰金を科されました。
Cerebral は、HIPAA 規制に違反しているかどうかについての精査に直面しているほか、アデロールやザナックスなどの規制薬物の処方に関して、司法省と麻薬取締局による調査に直面しています。 それ以来、これらの薬の処方を中止しています。