米連邦取引委員会(FTC)は3月2日、利用者のメンタルヘルス(精神面の健康)情報を不適切に広告に使用し、FTC法第5条違反(不公正または欺瞞的行為)にあたるとして、オンライン心理カウンセリングの「BetterHelp(ベターヘルプ)」に780万ドル(約10億6600万円)の支払いなどを命じる同意命令を発表した。広告主が保有するメールアドレスなどを用いて配信先を策定する手法が論点のひとつになっている。
ベターヘルプは米カリフォルニア州に本社を置き、「BetterHelp カウンセリング」など複数のオンライン心理カウンセリングサービスを提供している。クリスチャンや10歳代の若者、性的少数者(LGBTQ)など、特定のグループ向けのサービスもある。利用時にはうつ病や自殺願望の有無、薬の服用状況といった機密情報のほか、氏名、メールアドレス、生年月日などの個人情報を回答する必要がある。
訴状によると、ベターヘルプは、リターゲティング広告の配信などの目的で、Webサイト訪問者やサービス利用者のIPアドレスやメールアドレスといった情報を、FacebookのほかSnapchat(スナップチャット)やPinterest(ピンタレスト)、Criteo(クリテオ)に提供していた。直近では、2017年11月〜20年10月にかけ、約60万人のLGBTQ向けカウンセリングサービス利用者の情報を用いて共通の特徴や関心を特定し、同様の特徴や関心を持つ人をターゲットにするために使用したという。いわゆる「類似オーディエンス」への配信をしたとみられる。
Snapchatには、約560万人分のIPアドレスとメールアドレス、CriteoにはLGBTQ向けとクリスチャン向けのサービス利用者を含む、約7万人分のメールアドレスを送信していた。FTCは、「〔たとえば〕メールアドレスはハッシュ化(=非可逆の暗号化)が施されているが、〔ハッシュ値の比較などの手段によって〕送信したアドレスとFacebookのような第三者プラットフォームが保持するIDなどとの一致が確認できる。これを承知した上でベターヘルプは、メールアドレスのリストを第三者に送信した。したがって、誰が治療を受けているか、あるいは治療を求めているかを第三者企業に伝えることになるとの認識があった」と主張している。
ベターヘルプのような医療サービス従事者は、「HIPAA(医療保険の携行性と責任に関する法律)」で規制されており、健康情報の利活用には制限がある。米保健福祉省によると、規制対象事業者がWebサイトやモバイルアプリを通じて収集したメールアドレスやIPアドレス、地理情報、デバイスID、広告IDのほか、さまざまな固有の識別コードは、特定の治療や請求情報が含まれていない場合でも、HIPAAの「保護対象保険情報(PHI)」となる。規制対象事業者は、広告の配信などのために第三者企業に情報を渡す際、HIPAA規則の確認はもとより、PHIが保護されていることを保証するための業務提携契約(BAA)を結ぶ必要がある。
ベターヘルプは「HIPAA」のロゴをWebサイトなどに掲載し、同法や付随する規則を守っているかのように示していた。実際は、「政府機関やその他の第三者は、ベターヘルプがHIPAAに準拠しているかについて審査しておらず、要件を満たしていると判断したことはない」という。ロゴはFTCから民事調査要求を受けた後に削除された。
オンライン心理カウンセリングは、新型コロナウイルス感染症の拡大を経て、需要が急速に高まっている。米国のベターヘルプのサービス利用者は、2019年時点で15万8000人だったが、2020年には64万1000人を超えるユーザー増があった。創業以来の延べ利用者数は200万人以上で、22年現在の利用者は少なくとも37万4000人。21年の収益は7億2000万ドル以上となった。FTCは、訪問者や利用者のデータを用いた広告配信が、「数万人の新規有料ユーザーと数百万ドルの収益を獲得するのに貢献した」としている。
米国心理学会(APA)は、心理療法などの臨床業務がオンラインで行われる割合は、新型コロナウイルス感染症拡大前の7.1%から、拡大中は85.5%に増加しており、収束後も臨床業務の35.0%が、オンラインで行われるようになるとの予測を示している。APAによる医療従事者向けのアンケートでも、コロナ禍を契機に患者数が増え、業務負担が増大していることがわかっている。