FTCは、オンラインカウンセリングサービスBetterHelpが人々に健康情報の引き渡しを強要し、プライバシーに関する約束を破ったと主張した

機密データの階層では、健康情報が最上位にランクされます。そして、健康情報の階層の中で、個人の精神的健康に関する詳細は最も機密性の高いものの 1 つとなります。しかし、FTCによると、オンラインカウンセリングサービスBetterHelpの見方はそうではなかったという。 FTCによると、同社は、やむを得ない催促を通じて、人々に摂取アンケートの回答や機密の健康情報の提供を繰り返し促したという。そして、「ご安心ください。このアンケートで提供された情報は、あなたとカウンセラーの間で秘密にされます。」などの文言を通じて、その情報を非公開に保つことを約束しました。しかし、FTC の観点からすれば、真実の声明は「ご安心ください。私たちはあなたの情報を Facebook、Snapchat、Criteo、Pinterest などの主要な広告プラットフォームと共有する予定です。」となるはずです。 BetterHelp との FTC 提案の和解案には、BetterHelp 顧客への一部返金として 780 万ドルが含まれており、FTC がこの種の信頼に対する裏切りをいかに真剣に受け止めているかについての紛れもないメッセージを伝えています。

BetterHelp は、その名前と特定の対象者向けに特化したバージョンのオンライン カウンセリング サービスを提供しています。たとえば、LGBTQ コミュニティのメンバー向けのプライド カウンセリング、キリスト教信仰を持つ人々向けのフェイスフル カウンセリング、スペイン語を話すクライアント向けのテラペウタ、および次のような十代の若者向けのティーン カウンセリングなどです。保護者の許可を得て登録します。

BetterHelp の設立以来、200 万人以上の人々が登録し、個人情報を会社に預けています。その多くは健康状態やメンタルヘルスに関係しています。たとえば、同社の摂取アンケートでは、「極度の悲しみ、嘆き、憂鬱を経験している」かどうか、「死んだほうがいい、あるいは何らかの方法で（自分自身を）傷つけたほうがいい」と考えているかどうかを明らかにするよう求めている。薬を服用しているか、以前に治療を受けているかどうか。

オンラインやアプリを通じて個人情報が公開されることに対する懸念を和らげるために、BetterHelp は消費者に対してさまざまな機密保持の約束をしました。サイトの訪問者には当初、同社が「あなたとオンライン治療で対処したい問題に関する一般的かつ匿名の背景情報」を収集し、その人を「最適なセラピスト」とマッチングできるようにしていると説明された。正確な文言は時間の経過とともに変更されましたが、同社は、オンライン カウンセリング サービスの提供に関連するいくつかの狭い用途を除いて、個人情報は非公開のままであると人々に保証しました。さらに、BetterHelp は 3 年以上にわたり、フェイスフル カウンセリング、プライド カウンセリング、またはティーン カウンセリングへの登録を考えている人々に対し、電子メール アドレスは「厳重に秘密にされ」、「誰にも共有、販売、開示されることは決してない」と伝えてきました。

こうした約束にもかかわらず、FTCは、BetterHelpがさまざまな戦術を用いて、広告目的で700万人を超える消費者の健康情報をFacebook、Snapchat、Criteo、Pinterestなどのプラットフォームと共有したと述べている。詳細については訴状を読んでいただくことをお勧めしますが、ここではほんの数例を紹介します。 2017年、BetterHelpは、現在および元のすべての顧客（合計約200万）の電子メールアドレスをFacebookにアップロードし、Facebookの友人にメンタルヘルスサービスのBetterHelpを紹介する広告のターゲットを設定したとされている。 FTCは別の期間に、BetterHelpが広告目的でBetterHelpのサイトを訪問または利用した150万人の過去の治療法をFacebookに開示したと述べた。その情報源は、「以前にカウンセリングやセラピーを受けたことがありますか?」という質問への回答です。

しかし、それだけではありません。訴状によると、BetterHelp はプライバシーに関する約束を破り、BetterHelp 広告のターゲットとなる約 560 万人の元訪問者の IP アドレスと電子メール アドレスを Snapchat に開示しました。さらに、同社は 6 か月間にわたり、プライド カウンセリングとフェイスフル カウンセリングを調べた人を含む 70,000 人を超える訪問者の電子メール アドレスを Criteo に開示しました。同様に、BetterHelp は 1 年間、訪問者の電子メール アドレスを Pinterest に開示しました。 BetterHelp には何が含まれていたのでしょうか?告訴状によれば、「この健康情報を広告に使用することで、（BetterHelp）は数十万人の新規ユーザーを獲得し、その結果、数百万ドルの追加収益をもたらした。」

2020年2月にニュースサイトがBetterHelpが消費者の健康データを第三者と共有していることを明らかにしたとき、人々は同社に苦情を申し立てた。ある人は次のように述べています。「私は自分の情報を誰とも共有することに何の同意もしていません。特に、私のメンタルヘルスの「弱点」をターゲットにした広告です。」 BetterHelp はどのように反応しましたか? FTCは、同社が消費者の健康情報を含む個人情報を第三者と共有したことを虚偽否定することで、欺瞞を倍増させたと主張している。

8件の訴状には、FTCがBetterHelpの欺瞞的で不当な行為とされる行為がどのように消費者に損害を与えたかが詳しく述べられている。この訴訟で提案されている命令では、BetterHelp に対し、2017 年 8 月 1 日から 2020 年 12 月 31 日までに BetterHelp のサービスにサインアップして支払いを行った人々への一部返金に使用される 780 万ドルの支払いが求められています。 BetterHelp は、広告目的で消費者の健康データを共有したり、リターゲティング、つまり同社のサイトを訪問したりアプリを使用した消費者に広告を配信したりするために個人情報を共有したりすることを禁止しています。この和解案には、将来的にBetterHelpのデータ共有を制限する条項も含まれている。企業は、影響を受ける消費者にこの件について直接連絡し、BetterHelp が共有した消費者の健康データやその他の個人データを削除するよう第三者に指示する必要があります。和解案が連邦公報に掲載されると、30 日以内にパブリックコメントを提出することができます。

この訴訟は、プライバシーの約束を尊重するという重要な指針を他の企業に提供します。健康情報を共有する前に、真実を語り、消費者の明確な同意を得てください。

考慮すべきその他の要点は次のとおりです。

商品やサービスの性質上、「個人情報」が「健康情報」となる場合があります。 一般的に、電子メール アドレスは「健康情報」とみなされません。もちろん、情報源が健康関連サービスである場合は別です。 BetterHelp の場合、ほとんどの人がメンタルヘルスのサポートを求めてサイトを訪れました。したがって、BetterHelp、Pride Counseling、または Faithful Counseling が電子メールまたは IP アドレスのソースであったという事実だけで、非常に機密性の高い情報が第三者に漏洩したことになります。業界関係者へのメッセージ: コンテキストは重要です。

健康情報を保護するためのポリシー、実践、手順を定めます。 FTC の訴状が明らかにしているように、適切な保護措置が欠如していると、健康情報の収集、使用、開示に関連する不当で欺瞞的な行為につながる可能性があります。たとえば、告訴状では、BetterHelp が医療情報のプライバシーを保護するためのポリシーと手順を書面化していなかった、と主張しています。そして、その健康情報を扱う従業員を適切に訓練し、監督することもできなかった。また、消費者の健康情報を第三者に開示する前に消費者の積極的な明示的な同意を得ることができず、第三者が自らの目的でデータを使用することを契約上制限することもできなかった。

欺瞞的なデザインを溝します。 訴状で詳しく述べられているように、BetterHelp は消費者に個人情報を引き渡すよう一連の目立つプロンプトを表示させながら、見つけにくく読みにくいリンクの背後にプライバシーの「開示」を置いた。ウェブサイトの一部にはプライバシー ポリシーへのリンクがあり、「当社は、お客様が当社と共有したいかなる情報も販売したり貸与したりすることはありません」という安心感を与える内容も含まれていました。 BetterHelp がその約束をしたら、消費者がこの問題をさらに追及する可能性はどのくらいあるでしょうか?さらに、FTCは、たとえ人々が同社のプライバシーポリシーにアクセスできたとしても、BetterHelpがどのようにして極度の個人情報を広告プラットフォームに引き渡したかについての直接的なストーリーはまだ与えられていなかったと述べている。

「スリングハッシュ」は必ずしも消費者の個人データを保護するとは限りません。 BetterHelp は、ユーザーの電子メール アドレスを第三者と共有する前にハッシュ化しました。つまり、暗号化ツールを使用して一連の文字と数字に変換しましたが、ハッシュ化はセキュリティ侵害の場合にアドレスを隠すためだけに行われました。 FTCによると、BetterHelpは、Facebookのような第三者が事実上ハッシュを元に戻して、メンタルヘルスサービスのためにBetterHelpのサイトにアクセスした人々の電子メールアドレスを明らかにすることを知っていたという。 Facebook がこれらのアドレスを取得すると、Facebook アカウントを持つ人々のメールアドレスと簡単に照合できるようになります。他の企業はその例から何を学ぶことができるでしょうか?確かにハッシュ化が必要な場合もありますが、第三者がデータのハッシュ化を解除できる場合、消費者の情報のプライバシーは保護されません。

サイトまたはアプリが Web ビーコン、ピクセル、またはその他の追跡テクノロジーを介して送信する可能性のあるすべてのサードパーティへのデータ フローを監視します。 さまざまな形のアドテクを通じて第三者に送信される情報を考慮せずに、消費者にプライバシーを約束することは違法です。要約すると、これは次のことです。自分の慣行が遵守していないプライバシーの約束をしないでください。

消費者に主張を伝えることに関しては、百聞は一見に如かずです。 BetterHelp のほぼすべてのページには、サードパーティの複数のシールが表示されていました。その中には、医療用カドゥケウスの描写と「HIPAA」という用語も含まれていました。告訴状では、BetterHelp がそのビジュアルを使用したことで、政府機関やその他の第三者が同社の慣行を審査し、HIPAA の要件を満たしていると判断したという誤った情報を消費者に伝えた、と主張している。最近、サイトに同様の欺瞞的なメッセージを送信する可能性のあるグラフィックがないかチェックしましたか?

FTC が提案した BetterHelp との和解案が最終決定するまで、返金プロセスの詳細についてはお答えできません。 FTC の返金ページをブックマークして、詳細を確認してください。