オピオイド依存症治療アプリがユーザーの個人情報をサードパーティーと共有

広く利用されている多数のオピオイド治療回復アプリがユーザーの個人情報にアクセスしサードパーティーと共有していることが、最近の調査で判明した。

新型コロナウイルス感染症パンデミックとその感染を減らすためのさまざまな取り組みの結果、オピオイド依存症治療を提供するテレヘルスサービス（遠隔医療）およびアプリの人気が急増している。依存症治療施設が予算削減や閉鎖に直面する中で、こうしたアプリベースのサービスが台頭しており、その結果、投資家と政府の両者が、拡大する依存症危機に対する対抗手段としてテレヘルスに関心を向けるようになっている。

こうしたサービスにアクセスする人たちは、自分たちの医療データのプライバシーは保護されているのだろうという合理的な期待を持っているかもしれないが、ExpressVPN Digital Security LabがOpioid Policy Institute and the Defensive Labと共同編纂した最新のレポートによると、こうしたアプリの一部はユーザーの機密情報を収集し第三者と共有していることが判明しており、プライバシーとセキュリティ対策が疑問視されている。

このレポートでは、Android上で入手可能な10個のオピオイド依存症治療アプリ（Bicycle Health、Boulder Care、Confidant Health、DynamiCare Health、Kaden Health、Loosid、Pear Reset-O、PursueCare、Sober Grid、Workit Health）について調査している。これらのアプリは少なくとも18万回インストールされており、投資グループと連邦政府から3億ドル（約3300億円）を超える資金を調達している。

関連記事：合成麻薬中毒症をバーチャル治療で治すBicycle Health

こうしたサービスは膨大な数のユーザーに利用され、なおかつ機密情報を扱うにもかかわらず、このレポートの調査結果によると、大半のアプリがユーザー端末の一意な識別子にアクセスしており、一部のケースでは、そのデータを第三者と共有していたという。

調査対象となった10のアプリのうち、7つがAndroid Advertising ID（AAID、ユーザー生成の識別子で他の情報に紐付けることで識別可能な個人の詳細な情報を提供できる）にアクセスしており、5つのアプリがデバイスの電話番号に、3つのアプリがデバイスの一意なIMEIおよびIMSI番号にアクセスしている（これらの番号を使用して個人のデバイスを一意に識別できる）。さらに、2つのアプリがインストールされたアプリのユーザーリストにアクセスしている（研究者によると、このリストを使用してユーザーの「指紋」に相当するものを作成し、ユーザーの活動を追跡できるという）。

また、調査されたアプリの多くは、何らかの形式の位置情報も取得している。位置情報と一意な識別子を関連付けることで、個々人だけでなく、その人の生活習慣、日常の行い、接触相手などを監視する能力が強化される。上記のアプリでこれらを実現している方法の1つがBluetoothだ。上記のうち7つのアプリがBluetooth接続を確立する許可を求めてくる。研究者によると、これはユーザーの居場所を実世界で追跡するのに使用できるため、特に懸念されるという。

関連記事：いくつもの人気iPhoneアプリがユーザーの位置情報を売っている

「Bluetoothはいわゆる接近度追跡を実行できます。例えばあなたが食料品店にいるとき、特定の通路にいる時間とか、他の誰かとの接近度合いなどを認識できます」と、上記の調査を率いたExpressVPN Digital Security Labの主任研究員Sean O’Brien（シーン・オブライエン）氏はTechCrunchに語った。「Bluetoothは私が非常に懸念している領域です」。

もう1つ懸念される重要な点は、これらのアプリでトラッカーSDKが使用されていることだ。オブライエン氏は、最近実施した調査でこの点について警告している。それによると、数百にのぼるAndroidアプリが詳細なユーザー位置情報データをX-Modeに送信していたことが判明したという。X-Modeは位置情報データを米軍の請負業者に販売していたことで知られるデータブローカーで、現在はアップルとグーグルのアプリストアから追放されている。SDK（ソフトウェア開発キット）とは、アプリに含まれているコード開発用ツールセットであり、これによりアプリは位置情報データの収集といった処理を正しく実行できる。SDKは多くの場合、アプリが収集したデータを返送するという条件と引き換えに無償で提供されている。

関連記事：個人の位置情報をブローカーに売っていたX-Modeはアプリがストアから排除されてもユーザーの追跡を継続

多くの開発者がアプリ内にトラッカーが存在していることに気づいてもいないことから、研究者は、トラッカーを使用しているからといって常に悪意があるとは限らないことをしきりに強調しているが、調査対象の10のアプリのうち7つという高い率でトラッカーSDKが見つかっており、データ共有を行っている可能性があることが判明している。中にはユーザーデータの収集と集計専用のSDKもある。つまり、ユーザーデータのトラッキングがコア機能になっているSDKが存在するのだ。

しかし、研究者は回復支援センターまでのナビゲーションを行うアプリもおそらく1日中ユーザーの動きを追跡して、そのデータをアプリの開発者とサードパーティーに返送しているだろうと説明する。

Kaden Healthの場合、Stripe（アプリ内決済サービスに使用する）で、ユーザーのスマートフォンにインストールされているアプリ、スマートフォンの場所、電話番号、キャリア名、AAID、IPアドレス、IMEI、IMSI、およびSIMシリアル番号を読み取ることができる。

「Stripe（ストライプ）のような大手企業がアプリで上記のような情報を直接共有させているのは本当に驚きです。私が心配しているのは、これらの情報は法執行機関にとって極めて有用であるとわかっているからです」とオブライエン氏はいう。「誰が治療を受けたのかという情報を持っている者が最終的に健康保健と就職に関する意思決定にも関与してくるのではないかという点も懸念されます」。

これらのアプリでこうしたデータ共有が慣習的となるに至ったのは、おそらく、患者情報の扱いと公開に関する指針が不明確な米国の環境でこれらのサービスが開発されていることが原因と思われると研究者は指摘しているが、こうした行為は42 CFR Part 2（第42連邦規則集第2巻、依存症の治療に関する患者情報の公開の厳しい制限について規定した法律）に違反する可能性がある、とオブライエン氏はTechCrunchに語った。

ただし、Legal Action Centerの保健プライバシー担当上級専属弁護士Jacqueline Seitz（ジャクリーン・ザイツ）氏によると、この40年前の法律はアプリに対応できるようアップデートされていないという。

「プライバシーの欠如は、依然として、人々がオピオイド依存症の治療に踏み切れない大きな理由の1つとして挙げられています」とザイツ氏はいう。「42 CFR Part 2は物質使用障害治療における機密保持の重要性を認識してはいるものの、アプリにはまったく言及していません。既存のプライバシー法では、現状にまったく対応できていません」。

「テックコミュニティからリーダーシップを発揮する企業が現れて、基本的な標準を確立することが望まれます。テック企業が、極めて機密性の高い情報を収集していることを認識することで、ヘルス危機でプライバシーポリシーが回避される風潮の中、患者が放置されないようになれば良いのですが」とザイツ氏はいう。

上記の調査に参加したOpioid Policy InstituteのディレクターJonathan Stoltman（ジョナサン・ストルトマン）氏によると、こうした慣習が広まったもう1つの理由として考えられるのは、セキュリティとデータプライバシー人員の欠如だという。「病院のウェブサイトを見ると、物理的なセキュリティとデータセキュリティを担当する最高情報責任者、最高プライバシー責任者、最高セキュリティ責任者が配置されています」と同氏は語る。「上記のどのスタートアップにもそうしたポジションは用意されていません」。

「AAIDを収集しておいてプライバシーについて配慮しているなどあり得ません。しかも、こうしたアプリの大半は最初からそうした行為を行っています」とストルトマン氏は付け加えた。

グーグルはExpressVPNの調査結果を認識してはいるが、コメントは控えている。ただし、上記のレポートが公開された時点で、グーグルはすでに、ユーザーが追跡型広告をオフにできるようにするアップルの最近の取り組みに倣って、開発者によるAndroid Advertising IDへのアクセスを制限するための準備を始めていた。

ExpressVPNはこれらのアプリがプライバシー保護要件に違反している可能性があることを患者に認識してもらおうと熱心に取り組んでいるが、依存症治療と回復アプリがオピオイド依存症患者の生活で中心的な役割を果たしている事実も強調している。もし、自身または家族がこれらのいずれかのサービスを使用しており、機密情報が開示されるのは問題であると判断した場合は、米国保健社会福祉省を介して公民権事務所に連絡し、正式な苦情を申し立てていただきたい。

「肝心なことは、これはアプリエコノミー共通の問題であり、テレヘルスもアプリエコノミーに取り込まれようとしているということです。ですから、私達は今、極めて注意深く慎重になる必要があります」とオブライエン氏はいう。「個人情報の開示は必要ですが、ユーザーはそのことを認識した上で、プライバシー保護の向上を求める必要があります」。

依存症からの回復は可能です。お悩みの方は、機密保持治療に関する相談ホットライン（フリーコール1-800-662-HELP）までお電話いただくか、findtreatment.govにアクセスしてください。

関連記事
・自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう
・ニューヨーク市で生体情報プライバシー法が発効、データの販売・共有を禁止
・45カ国と契約を結ぶNSOのスパイウェアによるハッキングと現実世界における暴力の関連性がマッピングで明らかに

カテゴリー：セキュリティ

タグ：遠隔医療、プライバシー、Android、Bluetooth、位置情報、トラッキング

画像クレジット：Rogier Nell / EyeEm / Getty Images

［原文へ］

（文：Carly Page、翻訳：Dragonfly）