ユーザーの医療記録も欲しがるGoogle

文:Nathan McFeters(Special to ZDNet) 翻訳校正:石橋啓一郎

2008-05-26 15:35

 Robert "RSnake" Hansen氏が米国時間5月21日、Googleの新しいイノベーションの1つであるGoogle Healthについて興味深い記事を書いている。そう、あのGoogleがあなたの医療記録の情報も所有したいというのだ。HIPAA(医療保険の相互運用性と説明責任に関する法律)が持つ複雑さから、Googleはこれを避けると考えていた人が多いのではないだろうか。これは、本当にコンテンツの所有権(あるいはpwnership)を持つことの代表的な例だからだ。しかし、RSnake氏は記事で次のように述べている。

 「Googleいじめ」をしたい気分だということは、今日は水曜日に違いない。さて、今日のニュースはなんだろうか?おっと、Google Healthだと -- 修正済みのものから未修正のものまで無数の脆弱性をもたらし、セキュリティ問題に関する警告を出さない方針を持つ企業が、もっとも秘密性を要する個人的な健康に関する記録の入力を求めるサービスを出したわけだ。私には、こういう声が聞こえる。「しかしこれは医療情報だから、彼らはHIPAAに準拠するあらゆる団体と同程度に安全になるに違いない」ただ問題は、法的にはそうでもないということだ・・・(Googleの利用規約には次のようにある)。

 Googleは1996年医療保険の相互運用性と説明責任に関する法律、およびこの法律(HIPAA)に基づく規制の対象となる団体ではない。従って、Googleが第三者に対し送信する保健情報に、HIPAAは適用されない。

 何だって?? ということは、GoogleはHIPAAの条文を守る必要がないということか? 私はGoogleのセキュリティチームの対応は非常に速いとは思うが、RSnake氏が指摘するように、Googleは脆弱性について公に情報開示しない方針を取っている。これは、Googleのアプリケーションに対する興味深い攻撃の一部については(Billy Rios氏の記事私の以前のGoogle Docsに対する研究を参照して欲しい)、発見について情報を公開することもあれば公開しないこともあるセキュリティ研究者が出す情報しか公にならないということだ。振り返ってみれば、実際にRios氏はGoogleのアプリケーションに関する多くの問題を発見したり、その発見に関わったりしている。同氏のXS-Sniperブログは、さながらGoogle殺しの記念館のようだ。

 記事中で、RSnake氏はこのGoogleの法律逃れに対する意見を表明している。

 私はGoogleが、同様の情報を扱う他の組織と同じように消費者の医療情報の安全性を確保することから免れる、法的な「刑務所から釈放」カードを見つけたことは、恥ずべきことだと思う。少なくとも、Googleはユーザーに対し、個人情報を守る方法についてアドバイスを与えるべきだ。

 ユーザーは、自分のパスワードの安全性と、自分のアカウントの利用に対し責任がある。ユーザーは、自分のパスワードかアカウントが不正に利用されていた場合には、その旨を直ちに次のリンクの手順に従ってGoogleに通知しなくてはならない。http://www.google.com/support/accounts/bin/ answer.py?answer=48601

 そして、彼らが用意したフォームで、私がたまたま気に入っているのは、次の部分だ。

 Google Accounts:誰かが私のGoogle Accountを使っているようだ。

 ヒント:多くの場合、この問題はあなたのパスワードを再設定することで解決します。フォームに記入する前に、これを行ってください。

 パスワードの再設定で、盗まれた個人データを取り戻すことができ、ユーザーやその家族の損害も取り戻せるということなのだろう。

 大変面白い。いや、実際にはあまり笑えない話だ。真面目な話だが、Googleが背負っているすべてのことからすると、Googleは個人情報窃盗とプライバシー侵害のワンストップサービスになっている。幸運なことに、まだ大きく広まっている侵害はない・・・しかし、私はこれはどちらかと言えば、Googleのソフトウェアに取り組みたいと考えており、問題の指摘についてよい仕事をしているセキュリティ研究者たちの功績だと感じる。大きな問題が起きるには、本当にGoogleを嫌っている1人のハッカーと1件の大きな脆弱性があればいい。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

  5. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]