アメリカの医療大手カイザー・パーマネンテによると、同社の患者数百万件のデータがGoogle、Microsoft Bing、X/Twitterなどの第三者に引き渡された可能性があるという。
カイザーはザ・レジスターに対し、顧客が同社のウェブサイトやモバイルアプリケーションを使用した際に「以前同社のウェブサイトやモバイルアプリケーションにインストールされていた特定のオンライン技術が、個人情報を第三者ベンダーに送信した可能性がある」と、1,340万人の現会員および元会員と患者に通知し始めたと語った。
カイザーはその後、ウェブサイトやアプリからその技術を削除し、「会員や患者の個人情報の不正使用」は認識していないと述べた。
言い換えれば、これは、カイザーが大手テクノロジー企業や広告ブローカーが提供するユーザー追跡および分析ツールを自社のウェブサイトやアプリに設置し、人々がそれらのサイトやアプリケーションを訪問して使用したときに、そのコードによって正確にどのような情報が送信されていたかを今になって認識した結果であるようだ。
テクノロジー業界は、広告や追跡目的で情報を収集する行為を容認しているとして、特に健康関連のデータやサービスにおいて非難を浴びている。今週、英国と米国の政府ウェブサイトに、訪問者が訪れた際に広告取引所に通知するアドテクノロジーが搭載されていることが判明した。
TechCrunchが報じたところによると、今月初め、Kaiser Permanenteは米国保健福祉省に対し、セキュリティ上の問題を引き起こしたことを正式に報告した。
米国保健福祉省のセキュリティ侵害ポータルのスクリーンショット。カイザーの1340万件の漏洩開示を示す。
カイザーの声明によると、第三者に提供される情報には、個人の「IPアドレス、名前、会員または患者がカイザーパーマネンテのアカウントまたはサービスにサインインしたことを示す情報、会員または患者がウェブサイトやモバイルアプリケーションでどのように操作し、ナビゲートしたかを示す情報、健康百科事典で使用された検索用語」が含まれます。
カイザーは、ユーザー名、パスワード、社会保障番号、金融口座情報、クレジットカード番号が第三者と共有されていないことを強調しました。つまり、極めて機密性の高い情報が漏洩したわけではないものの、健康関連ナレッジベースの検索語句やサイトの利用状況が第三者に渡されたことは、決して良いことではありません。
「カイザー・パーマネンテは、これらのオンライン技術の使用について自主的な内部調査を実施し、その後、ウェブサイトとモバイルアプリからそれらを削除しました」と、カリフォルニア州オークランドに拠点を置くコンソーシアムは声明で述べています。「さらに、カイザー・パーマネンテは、専門家の指導の下、この種のインシデントの再発防止策として追加対策を実施しました。」
- 米国の病院ウェブサイトの96%が訪問者情報をMeta、Google、データブローカーと共有している
- 病院に対するアメリカ政府の「自主的な」サイバーセキュリティ目標を無視すると危険だ
- ユナイテッドヘルスは、ITセキュリティ侵害が「アメリカのかなりの割合の人々に影響を及ぼす可能性がある」と認めた
- IT「問題」によりオクタファーマ・プラズマが150以上のセンターを閉鎖、ランサムウェアの脅威も
米国最大級の医療保険・保険スーパーグループであるこのグループは、10州に40の病院と618の診療所を擁し、1,250万人の会員を擁しています。医師24,600人、看護師73,600人、その他従業員235,000人を雇用しています。
この暴露は、今月初めに発表された調査で、アメリカの病院がウェブサイト上でユーザー情報をGoogle、Meta、データブローカー、その他の第三者に渡す追跡技術を定期的に使用していることが明らかになったことを受けて行われた。
ペンシルバニア大学の研究者らが、全国的に代表的な100の非連邦急性期病院をサンプルとして分析したところ、これらの病院のウェブサイトの96パーセントがユーザーデータを第三者に送信していることがわかった。
さらに、すべてのウェブサイトがプライバシーポリシーを定めているわけではありませんでした。71%のウェブサイトのうち、56%はユーザー情報を受け取る可能性のある特定の第三者企業について開示していました。®
