英国のデータ保護機関である情報コミッショナー事務局(ICO)は、ロイヤル・フリーNHS財団トラストが英国のデータ保護法を遵守していないと判断しました。ICOによると、ロイヤル・フリーは、データの使用方法を完全に開示することなく、ディープマインドに160万人の患者データへのアクセスを許可していました。
ロイヤルフリーとディープマインドの取引
ロイヤル・フリーは、2014年にGoogleに買収された英国の機械学習技術企業DeepMindと5年間の契約を締結し、「Streams」と呼ばれるアプリケーションの開発で協力する。このアプリケーションは、医師が特定の疾患をより正確に診断し、患者の治療を改善するのに役立つ。このアプリは、患者に関する既存の情報に基づき、特定の患者が病気になるリスクがある場合に医師や看護師に警告を発する機能も備えている。
不適切な法的根拠
医療データの利用を監視する英国の国家データ保護局(National Data Guardian)は、ロイヤル・フリーとディープマインドとの契約が「不適切な法的根拠」に基づいて行われたという結論に最初に達した機関である。この契約は、患者データへのアクセスを「検査」目的のみに限定し、「直接的なケア」には使用しないことを前提としていた。
それ以来、ICOは独自の調査を行い、同様の結論に達したようです。
情報コミッショナーのエリザベス・デンハム氏は次のように述べた。
データの創造的な活用が患者ケアと臨床改善にもたらす大きな可能性は疑いようがありません。しかし、イノベーションの代償として、基本的なプライバシー権が侵害される必要はありません。私たちの調査では、この治験における患者記録の共有方法に多くの欠陥が見つかりました。患者は自分の情報がこのように利用されることを当然予想していなかったでしょうし、トラストは患者に対して何が起こっているのかについて、より透明性を高めるべきでしたし、またそうすべきでした。私たちはトラストに対し、これらの欠陥に対処するための改革に取り組むよう要請しており、彼らの協力を歓迎します。データ保護法はイノベーションの障壁ではありませんが、人々のデータが利用されるあらゆる場面で考慮される必要があります。
必要な変更
ICOはGoogleに罰金を科す可能性は低く、データの管理元がRoyal Free病院であることから、このプライバシー侵害の責任は主にRoyal Free病院にあると見ているようだ。今後、ICOは契約内容にいくつかの変更を求めるだろう。具体的には、DeepMindとの患者データ共有に関する適切な法的根拠の確立、Royal Free病院に契約のプライバシー評価の実施を義務付けること、そして治験の第三者監査を委託することなどが挙げられる。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
DeepMindは今回の件で主要な責任当事者とは認められていないものの、NHSトラストとの提携における透明性を高めるために、既にいくつかの措置を講じているようだ。これには、契約の透明性を高めること、より詳細な情報を提供すること、そして同社によるデータ処理が患者にどのような影響を与えるかについてより配慮することなどが含まれる。
同社はまた、デジタル台帳を用いて医療記録の完全性と、他者がそのデータをどのように、いつ利用しているかを確認する検証可能なデータ監査技術の開発にも着手しました。例えば、DeepMind自身または他の組織が患者のデータを承認なしに処理していないかどうかを検証するために活用できます。DeepMindは、このデジタル台帳の初期バージョンを年末までに構築したいと考えています。
