関連記事
医療ピクセル訴訟で新展開:グーグルとメタに内部文書の開示命令、プライバシーポリシーによる「同意」は通用せず
米カリフォルニア州連邦地裁は2026年7月14日、オンライン診療サイト「BlueChew」における患者の処方箋データの無断収集を巡り、グーグルとメタ・プラットフォームズに対するプライバシー侵害訴訟の却下申し立てを退けた。この決定により、両社は医療サイト向けピクセルツールを介した健康データの流通について、自社が何を把握していたかを示す内部文書の開示(ディスカバリー)を強制される見通しとなった。これまで広告技術(アドテック)企業が法的な盾としてきた「ユーザーの同意」という主張が、健康データの文脈において司法から否定された形だ。
■処方箋ピクセルが患者の個人特定につながる仕組み
今回の訴訟で問題となっている技術的メカニズムは、一般的なウェブ追跡を巡る紛争とは一線を画している。
原告側の訴状によると、患者が処方箋を注文するためにBlueChewのウェブサイトを訪れると、同意画面が表示される前、あるいはサイト内での操作を行う前のページ読み込みの段階で、メタの「Facebookピクセル」が自動的に起動する。このピクセルは、ユーザーのFacebook ID(FID)、ページのURL、IPアドレス、そして各医薬品の最小管理単位(SKU)に固有のコンテンツ識別子(コンテンツID)をパッケージ化してメタのサーバーに送信するという。
例えば、コンテンツID「1」は「シルデナフィル30mgの6錠パック」に対応している。Facebook IDは個人を特定する鍵となる。メタはすべてのFacebookユーザーに固有かつ永続的なIDを割り当てており、このIDから公開プロフィールを検索できるため、FIDと医薬品コンテンツIDの組み合わせは匿名データとは言えない。訴状の技術的申し立てによれば、これは「特定の個人が、特定の勃起不全(ED)治療薬の処方を選択した」という事実を示す記録となる。また、医療IT専門メディア「HIPAA Journal」の報道によると、Googleアナリティクスも同様に、セッションをまたいで維持されるクライアントIDとともに、訪問した各ページの完全なURLを送信しているとされる。
■健康データの文脈における「同意」の真の意味
メタとグーグルの両社は、ユーザーの同意があるとして修正訴状の却下を求めていた。メタは、提携企業が「自社ウェブサイトのドメインに設定されたクッキーから」情報を共有する場合があることをユーザーに警告するプライバシーポリシーを提示しており、この告知によってプライバシー侵害の主張は成立しなくなると主張した。グーグルも同様に、利用規約における開示を根拠にしていた。
しかし、裁判所はこれらの主張を認めなかった。この判決は、プラットフォーム事業者とツールのビジネス関係を対象に作成された一般的なクリック同意型の規約では、健康データの保護に求められる具体的かつ詳細な開示基準を満たさないという、司法の姿勢の強まりを反映している。カリフォルニア州プライバシー侵入法(CIPA)は、第三者が通信内容を傍受または読み取る前に、すべての当事者による同意を求めている。これはもともと1967年に電話盗聴対策として制定された基準だが、現在はブラウザがページを読み込む際に起動するJavaScriptに対しても適用されている。
実務上の結果として、クッキーのバナー表示以上に目を通さないオンライン診療の患者は、プラットフォーム側の見解によれば、自分の処方箋の選択肢が広告ネットワークに送信されることに同意したことになってしまう。裁判所は現在、その見解が健康プライバシー法に照らして通用するかどうかを検証している。
■業界への影響:1億ドルを超える和解金とピクセル撤去の動き
この訴訟は孤立した事案ではない。セキュリティ企業Feroot Securityによる2023年から2025年にかけての19件の訴訟分析によると、米国の病院、オンライン診療プラットフォーム、デジタルヘルスアプリは、追跡ピクセルの違反に関連して1億ドル(約162億円、1ドル=162円換算)以上の制裁金や和解金を支払っている。Advocate Aurora Healthは約250万人の患者データをFacebookピクセルが送信したとして1,225万ドル(約19億8,450万円)で和解し、Mass General Brighamは1,840万ドル(約29億8,080万円)で和解した。また、BetterHelpは患者のメンタルヘルスデータをメタやスナップチャットと共有していたとして連邦取引委員会(FTC)から780万ドル(約12億6,360万円)の支払いを命じられ、GoodRxはピクセル経由の処方データ共有を巡る集団訴訟で2,500万ドル(約40億5,000万円)を支払って和解している。
ピクセルの導入率の推移も顕著だ。学術誌「Health Affairs」の研究によると、2021年には米国の病院の98%以上がウェブサイト追跡ピクセルを使用していた。しかし、医療マーケティング企業Hedy & Hoppのジェニー・ブリストウCEOの分析によると、その割合は2024年には55%、2025年には30%にまで低下した。サイトからすべてのピクセルを完全に削除した医療機関の割合は、2024年の12%から2025年には28%に増加している。
それでも、今回のBlueChewのケースが示すように、医療機関が自社のポータルサイトからピクセルを削除するだけでは構造的な問題は解決しない。なぜなら、現在被告席に立たされているのは、ピクセルを導入した医療機関ではなく、ピクセルを提供しているアドテック企業自身だからだ。
■プライバシーポリシーはアドテック大手の盾となるか
同意を巡る問題は目新しいものではないが、健康データという文脈がそれを大幅に先鋭化させている。1967年に制定されたCIPAは、第三者が秘密通信の内容を読み取り、または傍受する前に、全当事者の同意を求めている。2020年頃から裁判所がこの法律の適用範囲をデジタル追跡ツールに拡大し始めると、原告側は、リアルタイムで起動するピクセルは「送信中(in transit)」の傍受基準を満たしており、ブラウザがページを読み込んだ瞬間に傍受が発生していると主張した。
この理論には異論もある。2025年10月の「Doe v. Eating Recovery Center」訴訟の判決で、カリフォルニア州北部地区連邦地裁のヴィンス・チャブリア判事は、メタは「送信中」の患者の通信を「読み取って」おらず、受信後にデータを処理したに過ぎないとして、ウェブサイト運営者側に略式判決を下した。チャブリア判事はCIPAを「完全に混乱している」と評し、カリフォルニア州議会に対して「一度白紙に戻し、新しい法律を書き直すべきだ」と促した。
一方で、チャブリア判事は別の訴訟では異なる判断を下している。2025年6月6日の「Doe I et al. v. Google LLC」訴訟において、同判事はグーグルに対する健康追跡関連の訴えの大半を継続することを認めた。米メディアCourthouse Newsの報道によると、グーグルが2023年に医療機関向けのガイドラインを更新する前、同社が個人を特定できる健康情報を含む通信を受信する意図があったとみるのは妥当であると判断されたためだ。
法律事務所Huntonの分析によると、この一連の訴訟では、同一の争点に対して異なる裁判所が相反する結論を出しており、企業側は訴答段階で結果を予測する確実な方法がない状態だという。今回のBlueChewを巡る判決は、この分裂した司法判断に新たなデータを加えるものであり、今回は原告側に有利で、サイト運営者ではなくピクセル提供企業に厳しい判断となった。
なお、広範な「商業的ビジネス目的」の例外を設けることで、商業的追跡技術をCIPAの責任から除外することを目指した上院法案690号(SB 690)は、2025年6月にカリフォルニア州上院を全会一致で通過したものの、下院で停滞した。法案の分析によると、2026年7月に下院プライバシー・消費者保護委員会は、広範な例外規定を完全に削除し、第638.51条のペンレジスター(通信履歴記録装置)請求の民間執行のみを制限する、大幅に絞り込んだ修正案を可決した。これにより、第631条および第632条の根幹となる盗聴規定は手つかずのまま残された。この修正法案が可決されたとしても、施行は2027年以降となるため、企業は少なくともあと1年間は、主要な盗聴請求に対する立法上のセーフハーバー(安全港)を得られないことになる。
■ツール提供企業への証拠開示で何が明らかになるか
BlueChew訴訟の手続き上の位置づけは、これまでの広範な医療ピクセル訴訟とは異なっている。初期の訴訟では、ピクセルを設置した病院、オンライン診療プラットフォーム、歯科チェーンなどの医療事業者が主な標的であり、グーグルやメタは周辺的な被告に過ぎなかった。しかし、今回の訴訟は両社を直接標的にしており、却下申し立ての却下は、両社に対して社内ファイルの開示を命じるものである。
健康データピクセル訴訟における証拠開示は、すでに重要な影響を及ぼしている。統合された「In re Meta Pixel Healthcare Litigation」訴訟において、ウィリアム・オリック判事はメタの最高経営責任者(CEO)に証言録取(デポジション)への出席を求める命令を支持した。また、他の訴訟で提出された内部文書により、グーグルが2023年にガイドラインを更新する前から、医療機関がGoogleアナリティクスを介して保護対象保健情報(PHI)を送信していることを把握していたことが立証されており、チャブリア判事も「Doe v. Google」の判決でこの事実を根拠にしている。
BlueChewの訴訟において、今後の展開を大きく左右する可能性が最も高い内部文書は、メタとグーグルが医療サイトのピクセルデータの具体性について何を把握していたかを示すものだ。これには、原告側が送信されたと主張する固有の医薬品コンテンツIDを、両社のシステムが処理していたかどうかが含まれる。メタは従来、ログに記録する前にURLをフィルタリングしてプライバシーに関わる機密情報を削除していると主張してきた。このフィルタリングに関する主張は、今回の却下申し立て段階では通用しなかった。証拠開示に伴う反対尋問に耐えられるかどうかは、今後の焦点となる。
■ユーザーが今できる対策
現時点で、裁判所が両社に対して医療関連サイトでのピクセル運用を禁止する命令を下したわけではない。2023年以降に支払われた1億ドル以上の和解金は、過去の行為に対する民事上の責任を示すものであり、将来のデータ収集を差し止めるものではない。現在オンライン診療プラットフォームを利用している患者にとって、自分の閲覧履歴や購入行動が広告ネットワークに送信されていないという規制上の保証はない。
現在個人が取れる現実的な対策としては、「uBlock Origin」や「Privacy Badger」などのプライバシー重視のブラウザ拡張機能を使用して既知の追跡ドメインをブロックすることが挙げられる。ただし、独立した調査によると、フィルターリストでも検出されたトラッカーの約30%は見落とされるという。また、サイト上でJavaScriptを無効にすればピクセルの起動を完全に防ぐことができるが、通常はサイトの機能自体が動作しなくなる。ブラウザ経由のサイトではなく、オンライン診療プラットフォームのネイティブアプリを使用することで、アプリのモバイルデータ処理方針によっては、第三者ピクセルへの露出を一部制限できる場合もある。しかし、これらの対策はいずれも構造的な問題を解決するものではない。現行法では、オンライン診療プラットフォームに対してどの第三者ツールがインストールされているかを開示する義務はなく、ピクセル提供企業に対しても医療関連サイトからのデータ受信を拒否する義務は課されていない。
米連邦取引委員会(FTC)と保健福祉省(HHS)は2023年7月、約130の病院システムとオンライン診療事業者に対し、ピクセルによるプライバシーリスクについて共同で警告を発した。また、FTCは2023年9月に、適切な患者の同意なしにマーケティング目的で追跡ピクセルを使用するHIPAA対象機関はFTC法に違反するとの見解を公表した。しかし、いずれの措置も新たな規制としての強制力は持っていない。規制が十分に機能していない領域を補う形で進む一連の訴訟は、依然として足並みが揃わず、予測不可能で、管轄地域ごとに異なる状況が続いている。
BlueChew訴訟は今後、証拠開示手続きへと進む。この訴訟と、並行して進むグーグルの医療集団訴訟は、いずれもアドテック業界の標準的な同意プロセスが健康データの課題において自動的には通用しないというシグナルを送った判事によって審理されている。このプロセスで提出される文書の内容によって、ピクセル訴訟の波がアドテック企業の健康関連データの取り扱いに関する構造改革へとつながるのか、あるいはデータ収集を可能にする仕組みは維持されたまま、個別の和解で収束していくのかが決まることになる。
■注目ポイントQ&A
●医療サイトのプライバシーポリシーに同意していれば、グーグルやメタが処方箋データを収集しても問題ないのですか?
裁判所はこうした主張に対して否定的な見方を強めています。「提携企業が情報を共有する場合がある」といったプライバシーポリシーの一般的な文言は、ウェブサイトと広告ツールの関係を前提に設計されたものであり、健康データ保護法が求める具体的な開示基準を満たしていません。BlueChew訴訟の判決では、規約に埋め込まれた定型文は、健康プライバシー基準が求める具体的かつ詳細な同意には当たらないと判断されました。ただし、どのような同意開示であれば法的に十分と言えるのかの具体的な基準は、今後の裁判で争われることになります。
●追跡ピクセルはどのようにして具体的な処方箋データを取得しているのですか?
BlueChewのサイトでは、各医薬品に固有のコンテンツ識別子(特定の薬、投与量、数量に対応する数値)を割り当てていました。患者が製品を選択すると、メタのピクセルがこのコンテンツIDを、実名やSNSプロフィールに紐付け可能な永続的識別子であるFacebook IDとともにメタのサーバーに送信していました。また、Googleアナリティクスも同様に、永続的なクライアントIDとともに訪問ページの完全なURLを送信していました。このように、医薬品固有のIDと個人を特定できるIDが組み合わされて送信される点が、一般的なアクセス解析とは異なります。
●BlueChewなどのオンライン診療プラットフォームを利用したことがある場合、どうすればよいですか?
利用したプラットフォームが現在進行中の訴訟の対象になっているか確認することをお勧めします。集団訴訟の和解手続き用ウェブサイトなどで、自分が対象者に該当するかどうかを確認し、請求を行うことができます。また、ブラウザのプライバシー拡張機能を使用して、訪問するサイトにどのような第三者追跡ツールがインストールされているかを自主的に確認することも有効です。現行の規制では、過去にピクセル経由でデータが広告ネットワークに送信されたとしても、事業者がユーザーに個別通知する義務はないため、現時点では訴訟や規制当局による執行が主な対抗手段となっています。
●今回の判決は、BlueChewの件以外でグーグルとメタにどのような影響を与えますか?
健康データの文脈において「ポリシーに記載して同意を得ている」という両社の防御策が通用しにくくなります。さらに実務上、両社は証拠開示手続きを通じて、ピクセルシステムが医療関連サイトからのデータをどのように処理していたかを示す社内メール、データ仕様書、監査ログなどの内部文書の提出を求められます。並行して進むグーグルの医療集団訴訟では、グーグルが2023年以前に保護対象保健情報を受信していることを認識していた可能性を示す証拠がすでに認められています。メタについても同様の認識を示す内部文書が発見された場合、CIPA(カリフォルニア州プライバシー侵入法)に基づく多額の法定損害賠償(実際の被害証明なしで1違反あたり5,000ドル)が発生するリスクがあります。
元記事: Consent Defense Rejected: Google and Meta Face Discovery Over Prescription Pixel Data
※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。
スポンサードリンク

