データプライバシーの観点から最も人気の高いデジタル中絶クリニックランキング

昨年、米国最高裁判所が連邦政府による中絶の権利を覆す判決を下したことを受けて、新たなヘルスケア系スタートアップ企業が登場した。これらの「デジタル中絶クリニック」は、ミフェプリストンとミソプロストール（通称「中絶薬」）を処方できる医療提供者と患者をつなぐサービスを提供している。

これらのサービスの多くはドブス対ジャクソン事件以前に設立されたもので、生殖医療の分野における大きな矛盾を解消する態勢が整っている。KFFによる最近の調査によると、薬物中絶は現在、妊娠を終わらせる最も一般的な方法であるが、成人の4人に1人しかそれを知らないのだ。

これらのクリニックの運営方法はそれぞれ異なっており、医師や看護師によるライブビデオ診療を提供するクリニックもあれば、非同期型のカウンセリングを提供するクリニックもあります。しかし、多くのクリニックでは過去1年間で患者からの注文が過去最高数に達し（ベンチャーキャピタルからの資金調達も増加しました）、その魅力は明白です。「価格設定も非常に手頃で、注文から3～4日で薬が自宅の郵便受けに届くという利便性があります」と彼女は言います。

最近のデータは、遠隔医療クリニックが中絶ケアへのアクセス拡大に効果的であることを示唆しており、特に遠隔地や中絶が犯罪とされている州に住む人々にとってその効果が顕著であることをウェルズ氏の研究チームが裏付けています。ニューヨーク州、メリーランド州、イリノイ州を含む12州で可決された、州外からの訴追から医師を保護する一連の新たな「シールド法」のおかげで、これらのクリニックはさらにその範囲を拡大できる立場にあります。

フェムテック分野（ケーゲルトレーナーから生理周期追跡アプリまであらゆるものを含む分野）の他社に倣い、Hey JaneやChoixといったデジタル中絶クリニックのリーダーたちは、成長を続ける中でユーザーのプライバシー保護への取り組みを公に表明してきました。Hey Janeの共同創業者であるキキ・フリードマン氏は、 Vogue誌の最近のインタビューで、同社のサービスは「HIPAAに準拠し、暗号化されている」と述べています。また、今年1月にMs.誌のインタビューを受けたChoixの担当者は、「HIPAAに準拠したテキストメッセージプラットフォーム」を強調し、別のインタビュー対象者は「ほとんどの遠隔医療提供者はIPアドレスをチェックしていない」と示唆しました。（HIPAAの実際の仕組みについては、こちらをご覧ください。）

バーチャルクリニックについては、実店舗のクリニックよりもプライバシーが守られるという一般的な認識があります。「プライバシーの要素は確かにあります。これらのサイトでは多くの質問をしません」とウェルズ氏は言います。2020年に6,000人以上の中絶希望者を対象に行われた調査では、39%がプライバシー保護のために遠隔医療を選択したと回答しました。一部の医療提供者の意図は誠実なものに見える一方で、プライバシーの専門家は、たとえ米国の法律に準拠していても、それらのサービスはユーザーが期待するほど安全ではない可能性があると指摘しています。

昨年7月、マークアップの研究者チームは、Hey Janeのサイトがユーザー情報を世界最大のデジタル広告主であるMetaとGoogleに提供していたと報告しました。プロバイダーはIPアドレスによるアクセスを制限していない場合もありますが、私たちの分析によると、ほとんどのプロバイダーがIPアドレスを容易に収集していました。遠隔医療による中絶クリニックにとって、HIPAAへの準拠はパズルのほんの一部に過ぎません。

では、どのバーチャル中絶クリニックがユーザーのプライバシーを真剣に受け止め、どのクリニックがそうではないのでしょうか？ユーザーは、安全性を考慮しながらこれらのサービスをどのように利用すればよいのでしょうか？HIPAAは、遠隔医療提供者に送信されるすべての情報を保護しているのでしょうか？これを明らかにするため、私たちは専門家と協力し、Wisp、Choix、Hey Jane、Carafem、Aid Accessという5つの人気のある郵送中絶サービス提供者のプライバシーポリシーを分析しました。

アメリカ法曹協会は4月に、「ハイテク戦術」（フェムテックアプリに裁判所命令を送るなど）が中絶希望者の有罪判決に成功した例はないと報告しましたが、検察は多くの中絶関連事件で女性のテキストメッセージや検索履歴を証拠として用いています。この前例を踏まえ、ユーザーは遠隔医療提供者に個人情報を提供する際には慎重に行動する必要があります。機密性の高いデータが第三者ブローカーの手に渡り、ユーザーのデジタルプロファイルがまとめられた上で最高額の入札者に売却されることは珍しくありません。ボルチモア大学のミシェル・ギルマン法学教授は、「生殖に関する健康データが売買され、はるかに大規模なシステムへと移管されている」と述べています。

さらに悪いことに、EUの一般データ保護規則（GDPR）のような包括的な連邦プライバシー法が存在しないことから、プライバシーポリシーの評価は個々のユーザーに委ねられています。近年、これらのポリシーは長くなり、解読が困難になっていることを考えると、これは深刻な負担です。私たちは評価にあたり、テキサス大学オースティン校のプライバシーラボとデジタルスタンダードのフレームワークを参考に、4つの主要な要素を導き出しました。

私たちが見つけたものは次のとおりです:

データ収集（PII）

GDPRの米国版とも言えるカリフォルニア州消費者プライバシー法（CCPA）は、特定のカテゴリーのデータ、すなわち個人を特定できる情報（PII）の保護を強化する州法案の提案に影響を与えました。PIIは広義に定義されていますが、Googleはメールアドレス、氏名、正確な位置情報、電話番号、郵送先住所を含むものと解釈しています。

最も安全なウェブサイトは個人情報（PII）を一切収集しませんが、バーチャルクリニックに郵送先住所を提供することは、この分野では必須事項です。この文脈では、個人情報を必須サービスを提供するために利用する企業と、この情報を第三者と共有する企業を区別することが有用です。オーストリアに拠点を置く非営利団体Aid Accessは、このカテゴリーで最も優れた成績を収め、ポリシーにおいてユーザーが事実上の匿名性でサービスを利用することを推奨しています。Wispは、特定の位置情報データを広告主に送信する可能性があることを理由に、この分野で特に低い評価を受けました。

分析対象となったプロバイダーの大半は、メールアドレスなどを「個人情報」に分類しており、医療情報と併せて保存されている場合にのみHIPAAによって保護されます。そのため、適切に使用されているかどうかを判断することが困難です。

低リスク: PII は記録されません。中リスク: PII は意図されたサービスに使用されます。高リスク: PII は第三者によって使用されます。

法執行機関

生命倫理の専門家シャローナ・ホフマン氏によると、HIPAAは医療情報が医師の診療所外で共有されるのを防ぐという誤解がよくあります。しかし、現実は「HIPAAはそれほど保護的ではありません。消費者は、HIPAAには法執行機関と公衆衛生に関する例外規定があることを知っておく必要があります」と彼女は言います。

この法律は特定の情報（個人健康情報）に対する保護措置を規定していますが、遠隔医療サービスに提供されるすべての情報を対象としているわけではありません。たとえこの規則が適用される場合でも、医療提供者は捜索令状やその他の法的文書を提示された場合、PHI（個人健康情報）を公開することが許可されています（義務ではありません）。医療提供者は技術的にはこれらの要求を拒否できますが、ほとんどの医療提供者はそうしません。「医療事務所を訴訟に巻き込むよりも、規則に従う方が簡単です」とギルマン氏は述べています。

Aid Accessは注目すべき例外であり、法執行機関に対抗してきた実績があります（昨年は米国食品医薬品局（FDA）を提訴しました）。UTのプライバシーラボは、プライバシーポリシーを検証する際に、令状やその他の法的文書がない場合でも企業がデータを提供する意思があるかどうかを確認することを推奨しています。Carafem、Wisp、Hey Jane、Choixのいずれも、政府機関やその他の法人に情報を送信する前に令状を要求するとは明記していません。

低リスク:個人情報は記録されません、中リスク:法執行機関の要件を満たすために法的文書が必要です、高リスク:法執行機関の要件を満たすために法的文書は必要ありません

データ管理（削除）

ユーザーにデータ管理の権限をより多く与えるサイトは、そうでないサイトよりもプライバシー保護の観点で優れています。リスクの低いサイトでは、ユーザーが自由に情報を削除・編集できますが、バーチャルクリニックに提供した医療情報の一部は、依然としてアクセスできません。これは、州によって医療記録保存に関する法律が異なり、医療機関は一部の記録を最大25年間保存することが義務付けられている場合があるからです。

企業がユーザーにその他の情報に関してどの程度のコントロールを与えているかを調べることは、企業の全体的な安全性を理解するためのより良い指標となります。分析対象となったプロバイダーのほとんどはプライバシーポリシーにデータ削除プロトコルを記載していましたが、ChoixとHey Jane'sはそうではありませんでした。さらに、Hey Jane'sは、データを不特定（「合理的な」）期間保持することを明記しています。

Wispは削除プロトコルを提供していますが、「言論の自由の行使」や自社または関連会社による「内部および合法的な使用」など、様々な理由でリクエストを拒否できることを認めています。プライバシーを重視する組織は、リクエストへの対応に加えて、機密情報を積極的に削除します。Carafemも同様です。しかし、Carafemは削除期限を明示しておらず、一般的な削除リクエストプロトコルも提供していません。一方、Aid Accessでは、ほとんどの情報についてユーザーが自由に削除リクエストを提出できます。

低リスク:ユーザーはデータを編集または削除できます。中リスク:ユーザーはデータを編集できます。高リスク:ユーザーはデータを編集または削除できません。

サードパーティとの共有（広告とマーケティング）

研究科学者でプライバシー専門家のラジエ・ノクベ・ザエム氏は、個人を特定できる情報が様々な業界で無数の方法で収集、売買されていることから、個人を特定できる情報を「インターネットの通貨」と呼んでいます。ほぼすべてのウェブサイトが何らかの形で第三者と提携していますが、遠隔医療会社はユーザーの情報を広告主に販売または共有すべきではありません。しかし、ベターヘルプが連邦取引委員会と最近和解したことからもわかるように、多くの企業がそうしています。

企業が機密情報を収集し、それを利用して製品やサービスを宣伝している場合、それは一定のリスクを伴います。企業がこの情報を他の企業とマーケティング活動に利用している場合、それは大きな危険信号です。Markupがプライバシーポリシーガイドで正しく指摘しているように、これらの文書における「パーソナライゼーション」や「サービスの向上」への言及は、通常、広告トラッキングに相当します。

Hey Janeのプライバシーポリシーによると、同社は個人データ（およびPII）を自社サービスのマーケティング（「製品に関する情報提供」）に使用し、Carafem、Wisp、Choixはサードパーティのマーケティングパートナーに情報を渡す権利を留保しています。Choixのポリシーでは、あるセクションでは「サードパーティのマーケティング目的でユーザーのデータを販売することはありません」と明記していますが、別のセクションでは「マーケティング」目的で関連会社にデータを開示する権利を留保しています。

一部のプロバイダーは、自社のサイトにインストールされているサードパーティのトラッカーを制限または削除するのではなく、自社のポリシー内でユーザーが Cookie ベースの広告を全般的にオプトアウトすることを推奨していますが、この戦略は決して万全ではありません。

低リスク: PII はマーケティングや広告には使用されません。中リスク: PII はマーケティング/広告に使用されます。高リスク: PII はマーケティング/広告のために第三者と共有されます。

結論

ロー判決後のアメリカにおいて、バーチャル中絶クリニックは、特に中絶を犯罪とする州に住む人々にとって不可欠なサービスを提供しています。初期の指標では、バーチャル中絶クリニックは安全で効果的な中絶薬へのアクセスを向上させていることが示されていますが、利用者が期待するほどプライバシーは確保されていません。エイド・アクセスを除き、私たちが分析したすべてのサービス提供者は、利用者のプライバシー保護と信頼獲得という点では、まだ長い道のりを歩む必要があります。

これらのサービスにアクセスする際（および敵対的な国での中絶に関するその他の情報にアクセスする際）のリスクを管理するために、デジタル防衛基金の教育者は、DuckDuckGo などのプライバシー重視の検索エンジンを使用したり、中絶ケア用の一時的なメール アカウントを作成したり、すべてのデバイスで位置情報の追跡をオフにしたりすることで、フットプリントを減らすことを推奨しています。

このような防御戦術を採用することは実用的には有効ですが、ギルマン氏のような法学者は、リプロダクティブ・ジャスティス運動が前進するには、連邦政府と州政府がデータプライバシーに関して時代遅れの「通知と同意」というパラダイムに頼らなくなる必要があると指摘しています。「リプロダクティブ・ヘルス分野では、意味のある同意が必要です」とギルマン氏は言います。「今日のプライバシーポリシーは、ユーザーに『受け入れるか、拒否するか』を迫る、いわば強制契約のようなものになっています。プライバシーを守りたいのであれば、テクノロジーを利用することはできないと人々に告げるのは、現実的でも公平でもありません。」

ギルマン氏は、特に州議会議員が新たな法案を検討している場合は、州レベルでプライバシー基準の向上を訴えることを推奨しています。また、民間企業に対し、保護の強化を求めるよう人々に呼びかけています。民間企業の多くは、私たちが思っている以上に「インターネットの通貨」に富んでいます。