Topics 欧米のヘルスデータプラットフォームにおける「セキュリティ・プライバシー」規制の概況について
医薬産業政策研究所 統括研究員 森田 正実
医薬産業政策研究所 主任研究員 佐々木隆之
医薬産業政策研究所 主任研究員 中塚 靖彦
"Data is the new oil(データは新しい石油)"。この概念が社会に浸透し、急激にデータ駆動型社会へと変化するなか、様々な産業でデータを活用したビジネスが生み出されている。医療・健康をとりまく産業においても電子カルテ等のEHR(Electronic Health Record)に始まり、レセプトデータ、DPCデータ、さらにはゲノム・オミックスデータ等、様々な医療を中心としたデータを活用する動きが活発化している。さらにIoTの進展やデジタルバイオマーカーの開発といったデジタル化の流れが加速するに伴い、mHealth(mobile Health)やヘルスケア向けウェアラブル製品等も普及し、日常の行動やバイタルデータ等を可視化・デジタル化することが可能となりつつあり、医療のスナップショットデータのみならず、日々の生活や健康に関する情報(PHR1))の利活用についても著しい進展がみられる。
これらのデジタル化されたヘルスデータ(ゲノム、医療情報、生活情報などを含む)を最大限に活用し、精密医療や先制医療を実現していくためには、それぞれをバラバラに活用するのではなく、統合された「デジタルヘルスインフラ」として構築していく必要がある。デジタルヘルスへの注力を拡大しているWHOにあっても、2019年4月に発行されたデジタルヘルスガイドライン2)において、統合されたデジタルインフラが必要であることに言及されている。また、デジタル化された保健サービスの効果的な実施を支援するために組織され、世界23か国が参加する"Digital Health Partnership"においては、更に踏み込んで、デジタルヘルスインフラの重要な要素として「サイバーセキュリティ」「相互運用性(Interoperability)」「エビデンスと評価」「ポリシーの環境(Policy Environments)」「臨床・患者エンゲージメント」が提示され3)、それぞれについてホワイトペーパーも作成されている4)。
ヘルスデータは機微性の高い情報であり、それらを統合的に取り扱うプラットフォームには、セキュリティ確保とプライバシー保護の観点がまず重要である。本稿では、プラットフォームの構築が進む欧米を中心に、セキュリティ確保とプライバシー保護から、特に法規制がどのように整備されているかを概括したい。
ヘルスデータプラットフォームの構築状況
米国
米国ではGAFA(Google 社、Apple 社、Facebook社、Amazon 社)等の民間ITプラットフォーマーを中心としてヘルスデータのプラットフォーム化が加速している。例えばAmazon社はMERCK社、Accenture社と連携してPrecision Medicineのためのクラウドプラットフォーム構築5)をし、医薬品、バイオテクノロジーの研究開発の増大・多様化する研究データをプラットフォーム化により、迅速かつ効率的に研究を推進させ、新しい治療法の発見を促進させることを目指している。
一方Google社は、Deloitte社と提携して人工知能ソリューション、臨床データウェアハウス、ゲノミクス、及び画像といった様々なデータを医療機関とライフサイエンス企業に提供するためのヘルスケアクラウドプラットフォームの構築を進め6)、早期診断等の推進を目指している。
また、IBM社は豊富な医療データを医療AIへと拡大し、ヘルスケアライフサイエンス企業がIoT、ビッグデータを利活用可能なプラットフォーム構築を目指している。例えば、Watson for Oncologyでは医療データ、医療文献、専門家からのガイドライン等を分析し、エビデンスに基づく治療方針作成を支援する取り組みを行っている7)。
以上のように民間の取り組みが中心ではあるが、国としての動きもある。例えば、米国立がん研究所(National Cancer Institute:NCI)は2017年にクラウドベースのインフラを整備したNCI Cancer Research Data Commons(CRDC)を発表している。本構想は医師、研究者などがゲノム・オミックスデータ等にアクセスし、がん研究とPrecision Medicineの加速化を目指すもので、関連するデータプラットフォームの整備を目標として掲げている8)。
米国ではPrecision Medicine Initiative等のヘルスケア関連の政府戦略をNIH等の国家機関が支えつつ、GAFA等の巨大プラットフォーマーやアカデミア、先端医療機関、製薬企業、IT企業などが連携して、プラットフォームを構築している動きが顕著である。
ヘルスデータは機微性の高いデータとなるため、プラットフォーマーはプラットフォーム構築にあたりセキュリティ対策を施し、医療・医薬品産業における各種規制、法律を遵守している。また、各国のプライバシーポリシーや個人情報保護法に準拠し対応することが必要となる。
例えばGoogle 社においては「ユーザーとそのプライバシーの尊重」、「収集データ内容と目的の明確化」、「ユーザーの個人情報を販売しないこと」、「ユーザー自身の自己管理」、「ユーザーのデータ所有権」、「最高水準のセキュリティ技術導入」、「セキュリティ強化の模範化」の7つを「プライバシーとセキュリティ原則」に定めている。さらには医療に係るプライバシー、及びセキュリティ標準を一元的に規定している「HIPAA」の要件に準拠したシステムを構築している9)。
欧州
欧州では国の戦略として医療・ヘルスケア分野のプラットフォームを構築する動きがある。2000年ごろから世界に先駆けてEHRネットワークの構築が取り組まれ、医療情報のプラットフォーム化が進められている。
フィンランドでは、新しい医療プラットフォームとビジネス創出を目的としたPersonalized Health Finlandプログラムという取り組みを2018年より行っており、個別化医療・予防の促進を目的として、バイオバンク、健康データ、診療データ、処方データ等様々なデータのプラットフォーム化が盛り込まれている10)。このように国が中心となって医療情報を始めとするヘルスケアのデジタル化を進めている事例はエストニアや英国、北欧諸国等、欧州には散見される。
EUにおけるゲノム情報について、2018年4月にはEU加盟13カ国(イタリア、エストニア、キプロス、スロバニア、スペイン、スウェーデン、チェコ、フィンランド、ポルトガル、マルタ、リトアニア、ルクセンブルク、英国)は「2022年までにEU域内で100万人ゲノムにアクセス可能とする」という目標を掲げたゲノム情報の越境アクセスに関する宣言書を採択11)した。英国バイオバンクではこれまでに英国全域の約50万人の遺伝子治療データを収集しているが、シーケンシングやバイオバンクの構築等において、既に実施された加盟国の施策を、この13カ国で活用・最大化することとしている。
併せて、欧州では研究者が国境を越えて、信頼できる環境で膨大な量の研究データを保存、管理、分析、再利用し、臨床試験や臨床研究にリアルワールドデータを活用できるような環境整備が進められている。さらに、EUでは、「GDPR(一般データ保護規則)」12)や、標準化などの施策を進めるとともに、ゲノム情報の越境利用を含むEuropean Open Science Cloud(EOSC)を展開13)し、ゲノムデータと医療データの統合を目指している。
ヘルスデータ利活用に関係する欧米の法規制
セキュリティ/プライバシー
ヘルスケア領域のプラットフォームを構築するにあたり、データが蓄積され活用される仕組み(データエコシステム)を並行して作る必要がある。その仕組みにおいてはデータセキュリティやプライバシーに関する整備を始めとした法制度の対応(アーキテクチャ)なども併せて重要となる。ここでは米国と欧州のセキュリティやプライバシーに関する主な法規制・ガイドラインについて纏めた。日本の制度も参考として表1に掲載する。
米国
米国では医療情報の機密性を踏まえ、1996年に「HIPAA」14)を制定し、さらに医療IT化を目的に2009年に「HITECH」15)を制定した。これらの法律では医療に係るプライバシー、及びセキュリティ標準を一元的に規定しており、医療情報の保護責任をもつ事業体がプライバシーとセキュリティを確保するための対策を講じることが義務づけられている。「HIPAA」は個人の医療データのプライバシーを守りつつ、データを医療の進歩に役立てることを目的とした法律となっており、医療データを取り扱うIT企業などが個人情報保護を重視した基準として活用されている。
「HITECH」は、医療ITの導入に際して想定されるようなセキュリティ・プライバシー問題への対応策が「HIPAA」に含まれていなかったことから、「HIPAA」をより実効的にするため、プライバシー条項の適用拡大や罰則強化が盛り込まれた。
米国国立標準技術研究所(National Institute of Standards and Technology:NIST)が2014年2月12日に公表した「CSF(サイバーセキュリティフレームワーク)」16)は、IT世界のセキュリティリスクに特化したフレームワークであり、セキュリティ対策の強化を目的としたガイドラインである。米国のセキュリティについては、NISTによって様々規格化されているが、クラウドインフラを前提としたマルチステークホルダーエコシステムの構築と、重要なシステムに対しての直接攻撃や情報漏洩を避けるために多層の防御を行なう分野横断型の多層防御の考え方がとられている。この点は、集中クラウド層、フォグノード層、エンドデバイス層*のITインフラ基盤を前提として多くのITインフラ企業が関わってセキュリティについて適切な管理を行うこととなる。また、米国には脅威情報の収集、共有や警告などの業界別の情報共有分析組織(Information Sharing and Analysis Center:ISAC)が数多く存在しており、現在はさらに広範なカテゴリを網羅する情報共有分析機関(Information Sharing and Analysis Organization:ISAO)によって補完されつつある。なお、米国では国土安全保障省が業界横断的にセキュリティの管轄を行っている。
欧州
2018年5月25日に「GDPR」が施行され、企業による個人データの取得利用が規制された。個人の権利を強化(情報への権利、アクセスの権利、処理の制限権、忘れられる権利、データポータビリティ権等)し、個人データ保護の調和と統一性の強化がなされた。「GDPR」が適用されない地域の企業に対しても、「GDPR」と同レベルのデータ保護義務が課されることとなる。「GDPR」は個人データの処理に適用され、対象者としてはEU域内に拠点をもつデータ管理者と処理者に適用される17)。また、EU域内の個人に対し商品、サービスを提供し、個人データを処理、または監視するデータ管理者、処理者にも適用される。
「GDPR」はEU域内の統一ルールであり、加盟国全体への拘束力を持っている。各国はこの統一ルールに則り各々法規制を定める必要がある。
「NIS指令(ネットワークと情報システムのセキュリティに関する指令)」18)は2016年5月17日にEU理事会で採択され、同年8月8日に発効している。EUの全体的なサイバーセキュリティを高めるための指令で、EU加盟国の重要インフラ(エネルギー、交通、金融等、)事業者など、社会基盤となるサービスを提供する組織にセキュリティ対策の強化と義務を求めるものである。ただし、本指令は法令そのものではなく、EU加盟各国それぞれに対し国内法を定めるように指示するものとなる。そのため、各国における法制度については異なることに留意する必要がある。NIS指令は欧州内のミニマムスタンダードであり、実際の法令設定や運用は各国当局に委ねられている。
例えば、EU加盟国のドイツではNIS指令に先立ち2015年に「ITセキュリティ法」を制定19)し、サイバーセキュリティに関する最低限の基準を満たしている証明を情報セキュリティ庁から得ること、セキュリティ監査を定期的(隔年毎)にうけること、サイバー攻撃を受けた際には情報セキュリティ庁へ報告することを主要・重要インフラ事業者に対して要求している。違反時の罰則規定もある。英国も「ネットワーク・情報システム法」を2018年に定め19)、重要インフラ事業者に対し効果的なサイバーセキュリティ対策を講じることを求めており、GDPRだけではなくセキュリティにも厳しい課徴金制度があるので注意が必要である。
欧州のセキュリティについては、European Security Certification Framework(EU-SEC)20)と呼ばれるセキュリティのフレームワークについての認証の仕組みが出来上がっており、このフレームワークは情報セキュリティマネジメントシステム(Information Security Management System:ISMS*)の延長線上での設計となっている。
まとめ
わが国においては内閣官房内閣サイバーセキュリティセンター(NISC)が「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)改定」(案)21)の策定を行い、2019年4月19日には意見募集を行っている。(2019年9月25日現在、意見募集は終了している。)
3省(厚生労働省・総務省・経済産業省)ガイドラインにおける医療情報の取り扱いについても、各種指針において一部委託や第三者提供などの責任範囲の明確化はされているが、ヘルスデータのApplication Programming Interface(API)にかかるセキュリティの議論は各種指針においても検討することが必要であろう。また、多層防御の考え方や、各層においてマルチステークホルダーによる対応も含めたセキュリティ対策の考え方についても検討が望まれる。欧州ではセキュリティに関する認証制度も取り入れられており、日本企業にとっても精査すべき認証であると考える。
データ駆動型の社会や研究の環境を整えるためにはプラットフォームの構築が重要であることに議論の余地はないが、データエコシステムが作られていることが併せて重要であり、さらにデータセキュリティやプライバシーに関する法制度の整備も同時に始めていく必要がある。
今後、プラットフォームの構築を行う上で、医療データベースがITネットワークやIoTデバイスにつながっていくと、APIにおけるセキュリティの対応がより厳格になるものと思われ、特に進化の速い米国のクラウド基盤技術を前提としたセキュリティの規格基準作りの動向は日本も早急にキャッチアップする必要があるものと思われる。
-
※医薬産業政策研究所ではビッグデータの医薬産業に関する課題を研究するために、所内に『医療健康分野のビッグデータ活用・研究会』を2015年7月発足させた。今回の報告は、弁護士法人漆間総合法律事務所 吉澤 尚先生の講演など、『研究会』の調査研究に踏まえてまとめたものである。
-
※ヘルスデータプラットフォームとは:様々なヘルスデータ(生活・行動データなどを含む)を活用するための、収集、蓄積、流通、統合、解析、マネジメント等を実施する際の個別の基盤システムや環境などを指す。複数の基盤システムや環境などを纏めた総体としてプラットフォームと称することもある。
-
1)医療健康分野のビッグデータ研究会は、効果的な医療の実現だけでなくヘルスケア関連産業全体の振興に向けたデータ流通の観点も見据え、ゲノム、オミックスデータやEHR(Electronic Health Record)、モバイルアプリやウェアラブルデバイス等により医療機関以外で取得されるデータも含めた生涯にわたって蓄積される「ライフコースデータ」として定義している。
-
2)WHO Guideline:recommendations on digital interventions for health system strengthening
-
3)https://www.gdhp.org/(2019/10/4参照)
-
4)
-
5)
-
6)
-
7)https://www.ibm.com/watson/jp-ja/health/(2019/9/25参照)
-
8)https://datascience.cancer.gov/data-commons(2019/9/25参照)
-
9)https://safety.google/principles/?hl=ja(2019/10/10参照)
-
10)
-
11)
-
12)
-
13)
-
※集中クラウド層、フォグノード層、エンドデバイス層:加工されたデータの活用や他サービスとの連携を担う集中クラウド層、デバイスから収集したデータの1次処理を担うフォグノード層、製品で構成されるエンドデバイス層
-
14)https://www.hhs.gov/hipaa/index.html(2019/9/25参照)
-
15)
-
16)
-
17)JETRO「EU一般データ保護規則(GDPR)について」(2019/9/25参照)
-
18)https://eur-lex.europa.eu/eli/dir/2016/1148/oj(2019/9/25参照)
-
※ISMS:情報の「機密性」、「完全性」、「可用性」の確保からなる、情報セキュリティを管理する仕組み。
-
19)
-
20)https://www.sec-cert.eu/(2019/10/4参照)
-
21)