Robert "RSnake" Hansen氏が米国時間5月21日、Googleの新しいイノベーションの1つであるGoogle Healthについて興味深い記事を書いている。そう、あのGoogleがあなたの医療記録の情報も所有したいというのだ。HIPAA(医療保険の相互運用性と説明責任に関する法律)が持つ複雑さから、Googleはこれを避けると考えていた人が多いのではないだろうか。これは、本当にコンテンツの所有権(あるいはpwnership)を持つことの代表的な例だからだ。しかし、RSnake氏は記事で次のように述べている。
「Googleいじめ」をしたい気分だということは、今日は水曜日に違いない。さて、今日のニュースはなんだろうか?おっと、Google Healthだと -- 修正済みのものから未修正のものまで無数の脆弱性をもたらし、セキュリティ問題に関する警告を出さない方針を持つ企業が、もっとも秘密性を要する個人的な健康に関する記録の入力を求めるサービスを出したわけだ。私には、こういう声が聞こえる。「しかしこれは医療情報だから、彼らはHIPAAに準拠するあらゆる団体と同程度に安全になるに違いない」ただ問題は、法的にはそうでもないということだ・・・(Googleの利用規約には次のようにある)。
Googleは1996年医療保険の相互運用性と説明責任に関する法律、およびこの法律(HIPAA)に基づく規制の対象となる団体ではない。従って、Googleが第三者に対し送信する保健情報に、HIPAAは適用されない。
何だって?? ということは、GoogleはHIPAAの条文を守る必要がないということか? 私はGoogleのセキュリティチームの対応は非常に速いとは思うが、RSnake氏が指摘するように、Googleは脆弱性について公に情報開示しない方針を取っている。これは、Googleのアプリケーションに対する興味深い攻撃の一部については(Billy Rios氏の記事や私の以前のGoogle Docsに対する研究を参照して欲しい)、発見について情報を公開することもあれば公開しないこともあるセキュリティ研究者が出す情報しか公にならないということだ。振り返ってみれば、実際にRios氏はGoogleのアプリケーションに関する多くの問題を発見したり、その発見に関わったりしている。同氏のXS-Sniperブログは、さながらGoogle殺しの記念館のようだ。
記事中で、RSnake氏はこのGoogleの法律逃れに対する意見を表明している。
私はGoogleが、同様の情報を扱う他の組織と同じように消費者の医療情報の安全性を確保することから免れる、法的な「刑務所から釈放」カードを見つけたことは、恥ずべきことだと思う。少なくとも、Googleはユーザーに対し、個人情報を守る方法についてアドバイスを与えるべきだ。
ユーザーは、自分のパスワードの安全性と、自分のアカウントの利用に対し責任がある。ユーザーは、自分のパスワードかアカウントが不正に利用されていた場合には、その旨を直ちに次のリンクの手順に従ってGoogleに通知しなくてはならない。http://www.google.com/support/accounts/bin/ answer.py?answer=48601
そして、彼らが用意したフォームで、私がたまたま気に入っているのは、次の部分だ。
Google Accounts:誰かが私のGoogle Accountを使っているようだ。
ヒント:多くの場合、この問題はあなたのパスワードを再設定することで解決します。フォームに記入する前に、これを行ってください。
パスワードの再設定で、盗まれた個人データを取り戻すことができ、ユーザーやその家族の損害も取り戻せるということなのだろう。
大変面白い。いや、実際にはあまり笑えない話だ。真面目な話だが、Googleが背負っているすべてのことからすると、Googleは個人情報窃盗とプライバシー侵害のワンストップサービスになっている。幸運なことに、まだ大きく広まっている侵害はない・・・しかし、私はこれはどちらかと言えば、Googleのソフトウェアに取り組みたいと考えており、問題の指摘についてよい仕事をしているセキュリティ研究者たちの功績だと感じる。大きな問題が起きるには、本当にGoogleを嫌っている1人のハッカーと1件の大きな脆弱性があればいい。