先週のサイエンス誌に「UK Biobank faces questions about data security after latest breach」というニュース記事が掲載されている。
バイオバンクUKは、2006年のプロジェクト開始以来(日本国内では評価されていないが、バイオバンクジャパンは2003年にスタートし、疾患関連遺伝子の分野で確固たる地位を築いている)、世界で最も成功した科学的資産の一つとされている。50万人以上の英国人ボランティアが、医学・医療の発展という旗印のもと、DNAや詳細な医療記録を提供してきた。
バイオバンクUK HPより
これまで、バイオバンクUKは、これら極めて機密性の高い情報を厳重に管理し、参加者の匿名性を保証することを固く約束してきたが、今、その約束はかつてない危機に直面している。今回、中国のオンラインマーケット「アリババ」で、バイオバンクUKのデータへのアクセス権が販売されるという、信じがたい事態が発覚した。これを受けてバイオバンクUKは謝罪と調査を余儀なくされる事態となっている。
ローリー・コリンズ最高経営責任者は、今回の流出が外部からのサイバー攻撃によるものではなく、アクセスを認められた研究者が不正に販売しようとしたことが原因であると説明した。データには氏名などの直接的な個人情報は含まれていないと強調されているが、再発防止策を作成するまでアクセスを一時的に停止する措置をとった。
オックスフォード大学インターネット研究所のリュック・ロシェ准教授は、「バイオバンクUKは2024年末までは2万人以上の研究者がデータをダウンロードすることが可能であったため、第3者に提供するという不適切な共有が常態化していた」とニュース記事の中で指摘している。そこで、データをダウンロードさせずに分析を行う「リモートプラットフォーム」への切り替えを行ったが、そこからデータを抽出・保存できる欠陥があったようだ。
アリババに出品された理由については、学生による小遣い稼ぎなどの「いたずら」の可能性もあるが、より深刻なのは「データの共有があまりにも容易であると可視化されてしまったこと」だとロシェ氏は指摘している。不正に共有されたデータが自由に流通すれば、研究機関・企業は正規のアクセス料を支払う必要がなくなるという由々しき問題に発展していく。
日本でも匿名化(Deidentification)」という言葉のもとに診療データを自由に流通させる動きがあるが、『生年月日』と『手術日』という、わずか二つの情報から特定の参加者を特定することができた例があるとのことだ。
データがいかに加工されていようとも、参加者に対するリスクは現実に立証されているので、オプトアウトで自由に使おうとするのではなく、参加者にリスクを正直に提示して、その代わりにインセンティブ(患者の病気に対する最新の情報や治験の情報など)を提供する形にすればいいと思う。
難病の克服には患者さんや家族の協力が不可欠だが、病気を持っていることに対する偏見や差別をなくし、みんなで協力して「治らない病気を治すことのできる病気にする」ことが必要だ。
■
編集部より:この記事は、医学者、中村祐輔氏のブログ「中村祐輔のこれでいいのか日本の医療」2026年4月29日の記事を転載させていただきました。オリジナル原稿をお読みになりたい方は、こちらをご覧ください。
コメント