米国の健康保険マーケットプレイス、市民権および人種データを広告テック大手と共有
(techcrunch.com)- Bloombergの新たな調査によると、米国の州政府が運営する健康保険マーケットプレイス20カ所のほぼすべてが、住民の申請情報をGoogle、LinkedIn、Meta、Snapなどの広告・テック大手と共有していた
- ピクセルサイズのトラッカーが機微な医療申請サイトに設置され、ウェブサイト訪問者情報の収集がプライバシーリスクを高めていた
- ニューヨークの健康保険マーケットプレイスは、申請者が収監中の家族構成員に関する情報を提供したかどうかを含む申請情報を、複数のテック企業と共有していた
- ワシントンD.C.の健康保険マーケットプレイスは、申請者の性別と人種を尋ねており、TikTokのピクセルトラッカーは一部の人種情報しか隠していなかったうえ、メールアドレス、電話番号、国家識別子もTikTokと共有されていた
- ワシントンD.C.はTikTokトラッカーの配備を停止し、Virginiaは住民のZIPコードがMetaと共有されていた事実が確認された後、ウェブサイトからMetaトラッカーを削除した
州政府の健康保険マーケットプレイスにおけるトラッキングピクセル問題
- Bloombergの新たな調査によると、米国の州政府が運営する健康保険マーケットプレイス20カ所のほぼすべてが、住民の申請情報をGoogle、LinkedIn、Meta、Snapなどの広告・テック大手と共有していた
- 核心的な問題は、ウェブサイト訪問者情報を収集するピクセルサイズのトラッカーにある
- このトラッカーは通常、ウェブ分析やバグ特定に使われるが、機微な医療データを扱うウェブサイトに誤って設定・設置されると、個人情報収集につながる可能性がある
- デジタル広告で一般的に使われるツールだが、医療申請情報のような機微な文脈ではプライバシーリスクが大きくなる
- ニューヨークの健康保険マーケットプレイスは、申請者が収監中の家族構成員に関する情報を提供したかどうかを含め、申請情報を複数のテック企業と共有していた
- ワシントンD.C.の健康保険マーケットプレイスは、申請者の性別や人種も尋ねており、TikTokのピクセルトラッカーは一部の情報を隠そうとしていた
- Bloombergによると、一部の人種情報はマスキングされていたが、他の人種情報はマスキングされていなかった
- ワシントンD.C.のマーケットプレイスの報道官は、住民のメールアドレス、電話番号、国家識別子もTikTokと共有されていたと明らかにした
- ワシントンD.C.はTikTokトラッカーの配備を停止し、VirginiaはBloombergが住民のZIPコードがMetaと共有されていることを確認した後、ウェブサイトからMetaトラッカーを削除した
繰り返される医療データ共有リスク
- この問題は以前にも遠隔医療スタートアップや大手医療企業で発生していた
- 複数の企業や大手医療企業は、健康情報が意図せず収集され、テック大手と共有されていた事実を数百万人に通知しなければならなかった
- これらのテック大手の収益は、広告のために消費者データを利用することから生まれている
- Bloombergの調査は、ピクセルトラッカーが政府ウェブサイトに設置された場合、はるかに広い人口集団に影響を及ぼし得ることを示している
- Bloombergは、今年700万人以上の米国人が州の健康保険マーケットプレイスを通じて健康保険を購入したと伝えている
1件のコメント
Hacker Newsのコメント
転職の合間に数か月休もうと思って コロラド州の医療保険マーケットプレイス のWebサイトを使ったが、全体の過程がひどく侵害されたように感じた
見積もりを取るために多くの情報を入力し、そのデータが見積もり算出のために共有される可能性があることは予想していたが、肝心の見積もりは受け取れなかった
情報はシステム間でやり取りされたのではなく、複数の個人に直接渡ったようで、Webサイトから有用な結果を受け取る代わりに担当者から連絡が来ると言われ、その後数週間、昼夜を問わず 何百人もの担当者 から電話とSMSを受けた
1人にどうすれば止められるか尋ねたところ、政府閉鎖中なので不可能だと答えられた
https://i.imgur.com/d2fZlTc.png
実際の「共有」は Metaピクセル とTikTokの同等の追跡ツールを使っていたということで、おそらく医療保険取引所がリターゲティング広告や類似オーディエンスベースのマーケティングで人々を保険加入に誘導しようとしていたのだろう
狭く見れば合理的なことのようにも思えるが、ピクセルを使った瞬間にデータはMetaやByteDanceなどに自動的に「共有」され、彼らが望むあらゆる悪意ある目的に使えるようになる
間違っているかもしれないが、ACAに基づく任務に自分自身をターゲティングしたりマーケティングしたりすることまで含まれているとは思えない
そうしたことを当然やるはずだという暗黙の前提があるように感じられること自体が問題の一部だ
ひとたび身元が分かれば、保険業界のデータベースと照合してさまざまな 健康状態 や他の情報を推測できる
産前ケアを適切な時期に受けているか分かれば、マーケターは女性の出産予定日を1週間以内の精度でかなり高い確度で予測できる
データを送ることも、受け取ることも 違法 であるべきだ
その橋の両端を焼き払うべきだ
なぜ収集するのか、収集しなければどの機能が使えなくなるのかを説明すべきであり、その機能の動作に絶対必要ではないデータ項目への同意をしなかったことを理由に機能をブロックするのは違法であるべきだ
データセットから隠れるより、データセットを壊すほうがずっと簡単だ
ただ最近では、「Xは違法だ」ということと「大きな組織はXをしない」ということの相関が以前ほど高くない
人種と市民権のデータをなぜ欲しがるのかと思うね、ああ…そういうことか…
世界で最も裕福なテック企業や富豪たちは、人々の プライバシーを侵害 し、侵襲的な広告を売って金持ちになった
Charlie MungerやWarren Buffettのように株式市場のタイミングを当てたのではなく、長期保有してきたケースだ
公共サービスではなおさら悪い。もともと信頼が脆弱だからだ
医療保険を申請することが 追跡グラフ に登録されるのではないかとまで心配させられるべきではない
あるいは政府がどんな措置を取るにせよ、サービスが実際にそう運用されているかどうかの メタデータ を追跡できるのも、そこまでおかしな話ではない
米国の法制度をよく知らない立場からすると理解できない
これがピクセルによる Meta/Facebook追跡 なら、なぜ彼らを相手取って訴訟を起こせないのか?
あるいは、この特定のケースでその追跡が合法なのだとしたら、いったいなぜ合法なのか?
Bloombergの調査: https://www.bloomberg.com/features/2026-healthcare-advertisi...
米国にいる人に説明してほしい。この文脈で 人種 とはいったい何を意味し、どう決まるのか?
白人、黒人、アジア人、アメリカ先住民/アラスカ先住民、ハワイ先住民または太平洋諸島系住民、その他、または複数カテゴリがある
ヒスパニック/ラティーノのアイデンティティは別のチェックボックスになっているが、その理由は何十年もの官僚的判断をたどらないと説明しにくい
集団遺伝学の概念は、もっと後の自然科学の授業になって初めて扱われる
米国の文脈での人種は、背景、出生地、ルーツを指し、政府の書式では「あなたの人種は何ですか? 白人、黒人、ヒスパニックなど」のように書かれている
フランス語の ‘la race humaine’ のように 種 を意味する欧州的表現とは、意図の時点から根本的に異なる
この微妙な違いは議論において重要だ。スイスの人たちと人種的差異について話したとき、彼らは私がナチスのプロパガンダの話をしているのだと思った
私たちは皆、人間という種に属しており、その人間という種には複数の人種があり、全員が平等だ
たとえば私の検査結果には、「African-American」の患者と「non-AA」の患者で異なる基準値が設定されている項目が少なくとも2つある
https://en.wikipedia.org/wiki/Sickle_cell_disease#United_Sta...
いまだに多くのWeb開発者が、他人の JavaScript を自分のサイトに組み込んだ瞬間、送信された顧客データを含め、そのサイト上のあらゆるものに相手が完全なアクセス権を持つことを理解していないのは驚きだ
「収監中の家族がいるかどうかに関する詳細を提供したかどうか」だって?
それはそんなに大きなシグナルでもなく、メタデータ レベルの詳細ではないかと思う