個人情報保護

一部の mHealth アプリの不健全なデータ収集習慣を考慮すると、最も機密性の高いデータを共有する相手を選択するときは慎重に行うことをお勧めします。

フィル・マンカスター

月19 2024
 • 
,
5分。 読んだ

今日のデジタル経済では、ほぼあらゆるものに対応するアプリがあります。他の分野よりも急成長している分野の 1 つはヘルスケアです。生理や生殖能力のトラッカーからメンタルヘルスやマインドフルネスまで、ほぼすべての症状に役立つモバイル ヘルス (mHealth) アプリケーションがあります。実際、この市場はすでに 2 桁の成長を遂げており、その価値は見込まれています。 推定 861で2030億ドル。

しかし、これらのアプリを使用すると、自分が所有する最も機密性の高いデータの一部を共有することになる可能性があります。実際、 GDPR の分類 医療情報は「特別なカテゴリー」データとして扱われ、開示された場合「個人の基本的な権利と自由に重大なリスクをもたらす」可能性があることを意味します。そのため、規制当局は組織に追加の保護を提供することを義務付けています。

残念ながら、すべてのアプリ開発者がユーザーの最善の利益を念頭に置いていたり、ユーザーを保護する方法を常に知っているわけではありません。データ保護措置を軽視する場合もあれば、必ずしもそうするわけではない 明確にする 彼らがあなたの個人情報をどれだけ第三者と共有するかについて。それを念頭に置いて、これらのアプリを使用することによるプライバシーとセキュリティの主なリスクと、安全を保つ方法を見てみましょう。

ヘルスケアアプリのプライバシーとセキュリティの最大のリスクは何ですか?

mHealth アプリを使用する主なリスクは、不十分なデータ セキュリティ、過剰なデータ共有、不適切な表現または意図的に回避したプライバシー ポリシーの 3 つのカテゴリに分類されます。

1. データセキュリティに関する懸念

これらは多くの場合、開発者がサイバーセキュリティに関するベスト プラクティス ルールに従わないことが原因で発生します。それらには次のものが含まれます。

• サポートされなくなったアプリ、またはアップデートを受け取らないアプリ: ベンダーは脆弱性開示/管理プログラムを導入していないか、製品のアップデートにほとんど関心を持っていない可能性があります。理由が何であれ、ソフトウェアがアップデートを受け取らない場合、それは攻撃者がデータを盗むために悪用できる脆弱性がいっぱいである可能性があることを意味します。
• 安全でないプロトコル: 安全でない通信プロトコルを使用するアプリは、アプリからプロバイダーのバックエンドまたはクラウド サーバーにデータが転送される際に、データが処理されるハッカーにデータを傍受されるリスクにユーザーをさらす可能性があります。
• 多要素認証 (MFA) がない: 現在、評判の良いサービスのほとんどは、ログイン段階でのセキュリティを強化する方法として MFA を提供しています。これがないと、ハッカーがフィッシングや別の侵害 (さまざまなアプリでパスワードを再利用している場合) によってパスワードを取得し、本人であるかのようにログインする可能性があります。
• 不十分なパスワード管理: たとえば、ユーザーが工場出荷時のデフォルトのパスワードを保持したり、「passw0rd」や「111111」などの安全でない資格情報を設定したりできるアプリ。これにより、ユーザーはクレデンシャル スタッフィングやその他のブルート フォースによるアカウント クラックの試みにさらされることになります。
• エンタープライズ セキュリティ: アプリ会社は、自社のデータ ストレージ環境に限定的なセキュリティ制御とプロセスを導入している場合もあります。これには、不十分なユーザー意識トレーニング、限られたマルウェア対策とエンドポイント/ネットワーク検出、データ暗号化の欠如、限られたアクセス制御、脆弱性管理やインシデント対応プロセスの導入などが含まれる可能性があります。これらはすべて、データ侵害を受ける可能性を高めます。

2. 過剰なデータ共有

ユーザーの健康情報 (PHI) には、性感染症、物質の添加、またはその他の非難されている状態に関する非常に機密性の高い詳細が含まれる場合があります。これらは、マーケティングやターゲットを絞った広告の広告主を含む第三者に販売または共有される場合があります。例の中には Mozilla によって指摘されました mHealth プロバイダーは次のことを行います。

• ユーザーに関する情報とデータ ブローカー、ソーシャル メディア サイト、その他のプロバイダーから購入したデータを組み合わせて、より完全なアイデンティティ プロファイルを構築します。
• ユーザーが特定のデータの削除をリクエストできないようにします。
• ユーザーが性的指向、うつ病、性自認などに関する暴露的な質問をする登録アンケートに回答する際に、ユーザーについて行われた推論を使用する。
• 関連する広告を配信するために、他の Web サイト全体でユーザーを識別および追跡するサードパーティのセッション Cookie を許可します。
• ユーザーのマウスの動き、スクロール、入力を監視するセッション記録を許可します。

3. 不明確なプライバシーポリシー

一部の mHealth プロバイダーは、曖昧な表現を使用したり、利用規約の小さな文字で自らの活動を隠したりして、上記のプライバシー慣行の一部について率直に述べていない場合があります。これにより、ユーザーにセキュリティ/プライバシーについて誤った感覚を与える可能性があります。

どのような法律は言います

• GDPR： ヨーロッパの主要なデータ保護法は、特別なカテゴリの PHI を扱う組織についてはかなり明確です。開発者はプライバシーへの影響評価を実施し、消去の権利とデータ最小化の原則に従い、個人データを保護するために「必要な保護手段」が確実に組み込まれるように「適切な技術的措置」を講じる必要があります。
• HIPAA： 商用ベンダーが個人使用のために提供する mHealth アプリは、ベンダーが「」ではないため、HIPAA の対象になりません。対象となるエンティティ" または "ビジネスアソシエイト」ただし、一部は適切な管理的、物理的、技術的な安全策を講じる必要があるほか、年次報告書を必要とします。 リスク分析.
• CCPA と CMIA: カリフォルニア州の住民には、mHealth の観点からセキュリティとプライバシーを保護する 2 つの法律があります。医療情報機密法 (CMIA) とカリフォルニア州消費者プライバシー法 (CCPA) です。 これらの需要は 高水準のデータ保護と明示的な同意。ただし、これらはカリフォルニア州民にのみ適用されます。

プライバシーを保護するための措置を講じる

リスク選好度は人それぞれ異なります。パーソナライズされたサービスや広告とプライバシーの間でトレードオフを選択する人もいるでしょう。一部の医療データが侵害されたり、第三者に販売されたりしても、気にしない人もいます。適切なバランスを見つけることが重要です。心配な場合は、次の点を考慮してください。

• ダウンロードする前に調べてください。他のユーザーの意見や、信頼できる査読者からの危険信号があるかどうかを確認する
• これらのアプリを通じて共有する内容を制限し、発言した内容はすべて共有される可能性があることを想定してください
• アプリをソーシャル メディア アカウントに接続したり、サインインに使用したりしないでください。これにより、これらの企業と共有できるデータが制限されます。
• アプリに許可を与えないでください デバイスのカメラ、位置情報などにアクセスします。
• 携帯電話のプライバシー設定で広告追跡を制限する
• 提供されている場合は常に MFA を使用し、強力で一意のパスワードを作成してください
• アプリを最新の (最も安全な) バージョンに保つ

ロー対ウェイドの対立が覆されて以来、mHealth のプライバシーをめぐる議論は憂慮すべき方向に進んでいます。いくつかの 警報を鳴らした 生理追跡装置からのデータは、妊娠を中絶しようとする女性に対する訴追に使用される可能性がある。プライバシーを尊重した mHealth アプリを求める人が増えており、そのリスクはこれ以上ないほど高くなります。