アップデートされたGoogle がまたもや、何百万人もの患者の健康データを本人の同意を求めることなく保存、分析し、本人の同意も必要ないと主張している。
英国の国民保健サービス(NHS)内で物議を醸したデータ共有プロジェクトに続き、検索エンジン大手は、米国で2番目に大きい医療システムであるセントルイスに拠点を置くアセンションと提携し、数百万人の患者の健康記録を収集し分析する。
ウォール・ストリート・ジャーナル紙の報道によると、グーグルはすでに21州にまたがる数百万人のアメリカ人の個人健康情報をデータベースに保管しているという。このプロジェクトは「プロジェクト・ナイチンゲール」というコードネームで呼ばれており、同紙によると、150人以上のグーグル社員が数千万人の患者の記録にアクセスできるという。
患者も医師もこのプロジェクトについて知らされておらず、Googleが自身の健康データにアクセスすることに同意していない。しかしGoogleは、病院(1996年医療保険の携行性と責任に関する法律に基づき)が「対象事業体の医療機能の遂行にのみ」使用する場合に限り、患者に通知することなくデータを共有することが認められているという法的根拠に依拠している。
グーグルは、検査結果から医師の診断、入院記録まであらゆるものを網羅し、患者の名前や生年月日と結び付けたデータを活用し、人工知能と機械学習を使って健康問題に関する貴重な洞察を提供し、個人の将来の健康問題を予測することさえできるとする新しいソフトウェアを開発している。
このアプローチ全体は、 Reg の読者には奇妙に馴染み深いものに思えるかもしれない。私たちは、英国で DeepMind と呼ばれるほぼ同一の計画を広範囲に取り上げてきたが、この計画では、ロイヤル フリー病院とのデータ共有契約に基づき、Google が 100 万人を超える患者のデータを保存、分析していたことが判明した。
またか
病院もグーグルも、その個人データの使用について医師や患者から許可を求めたり、許可を得たりしていなかったため、英国情報コミッショナー事務局(ICO)による調査が開始され、この計画には多くの問題があることが判明した。
ICOは、ロイヤル・フリーNHS財団トラストが160万人分の患者情報をGoogle傘下のDeepMindに提供した際、英国のデータ保護法を遵守していなかったと結論付けた。また、データの取り扱い方法にも複数の欠陥が認められ、例えば、患者が検査の一環として自分のデータが使用されることについて十分な説明を受けていなかったことも判明した。
病院は、本プロジェクトおよび将来の試験について、データ保護法に基づく適切な法的根拠を確立し、個人データが関わる将来の試験において患者に対する守秘義務をどのように遵守するかについて概要を示すよう指示された。また、プライバシー影響評価を実施し、試験の監査を委託するよう指示された。
その後の監査では、ICOと英国保健省の国家データ保護官が別の結論を出しているにもかかわらず、同意のない個人の健康データを共有することは法律に違反していないと主張し、それ自体が物議を醸した。
トラストの委託を受けて作成されたこの報告書は、対象範囲が限定されていました。Googleによる初期のデータ収集については深く掘り下げず、Googleが開発中の「Streams」アプリの現状の利用状況についてのみ調査しました。最も重要なのは、報告書が病院側が「守秘義務」に違反していないと結論付け、プロジェクトに適用すべき正しい法律はデータ保護法ではなく守秘義務法であると主張して、その判断を正当化した点です。
報告書は、この法律の下では、データの使用が「医療従事者の良心を害さない」限り、データ共有は法的に正当化されると主張した。言い換えれば、個人の健康データの収集と分析の合法性は、客観的なもの(同意なしにこれを行うことはできない)から主観的なもの(これは私の良心を害するか?)へと変化したのだ。
緊張した良心
資金難に苦しむ病院の良心も、年間売上高1,370億ドル、純利益310億ドル(PDF)を計上し、今月初めにウェアラブル企業フィットビットを21億ドルで買収したことからもわかるように、自社のシステムを使って医療市場へ参入する決意をしている企業からのアプローチであれば、より柔軟になる可能性が高い。
DeepMindの監査には、他にも疑問視される前提がいくつか含まれていました。監査人は、安全上の理由から実際の患者データを収めた非常に大規模なデータベースを使用する必要があるというGoogleの主張を受け入れましたが、その主張の根拠については深く掘り下げませんでした。また、Googleがなぜそのデータを保存する必要があるのか、また、例えば12ヶ月ごとに古いデータを削除して保存期間を区切るのではなく、なぜGoogleがデータを無期限(この場合は8年間)に保持する必要があるのかについても深く掘り下げていませんでした。
Googleには正式な削除ポリシーすらありませんでした。これに対し、監査人は、文脈を理解する上で役立つと述べた臨床医の意見に言及しました。また、病院のシステムには何年も前のデータが保存されているため、Googleに提供され保管されているデータは単なる複製であると繰り返し主張しました。
この主張は、病院は患者に治療を提供するために存在し、その仕事に対して報酬を得ているのに対し、グーグルのビジネスモデル全体は人々に関するデータを収集し、自社の製品に興味を持つ可能性のある人々へのアクセスに対して広告主に料金を請求することで収益を得ることに基づいていると指摘する批評家たちから攻撃を受けた。
「これは大規模監視のレンズを通して見た臨床ケアだ」と、デ・モンフォート大学のサイバーセキュリティ教授、エールケ・ボイテン氏は指摘した。しかし、病院の監査役はGoogleのビジネスモデルが関連性があるとは考えなかった。
「調査を実施するにあたり、DeepMindをCernerなどのロイヤル・フリー病院の他の情報技術パートナーとは異なる扱いをすべきかどうか検討しました」と報告書は述べている。「しかし、それは適切ではないと判断しました。DeepMindはロイヤル・フリー病院のデータ処理者としてのみ機能しています。(中略)この限定的な権限を考慮すると、ロイヤル・フリー病院がDeepMindと提携することが、他の技術パートナーとの提携と異なるべき理由は見当たりません。」
コンピューターが「うわあ」と言う
監査には、疑問を抱かせる技術的な仮定もあった。病院の IT システムは Google のデータベース クエリの負荷を処理できないため、Google がすべてのデータを自ら保存することが不可欠であると主張したのだ。
監査によれば、「クエリベースのモデルに移行するための技術的な障壁は克服できない」とのことだが、病院に実際に導入されているシステムについては一切調査が行われていなかったようで、監査人はそれをそのまま信じただけだった。
GoogleとDeepMindに関するその他の詳細:当初、DeepMindは独立して運営されており、データがGoogleのより大規模なデータベースに流入することはないと述べられていました。しかし、監査をクリアした後、GoogleはDeepMindを完全に買収し、傘下に収めました。そして、Google Health US部門に取り込んだのです。この部門は、本日Ascensionとのデータ共有契約が明らかになったのと同じ部門です。
また、Google が DeepMind Health を吸収合併した際に、同部門の「独立審査委員会」を解散したことも忘れてはならないだろう。
グーグルは、より大規模な米国市場に参入し、何千万人もの患者の記録にアクセスできるようになるため、独立した理事会ではなく、スタッフを雇用し、同様の監督役割を与えることに決めた。
募集中です!
先月、同社はカレン・デサルボ氏を最高保健責任者(CHO)に任命した。デサルボ氏は、バラク・オバマ米大統領の下で医療IT担当の国家コーディネーターを務めていた。
GoogleがFitbitに21億ドルを投資、その有益な健康データを広告に利用しないと約束(本当です)
続きを読む
数ヶ月前、グーグルは政策と健康戦略を担当するため、元FDA長官のロバート・カリフ氏を雇用した。両氏は元病院幹部のデビッド・フェインバーグ氏に報告することになる。
9月、Googleは米国の医療機関であるメイヨー・クリニックと、遺伝子、医療、財務記録の保管に関する10年契約を締結しました。この契約では、データへのアクセスを理由にGoogleが独自のソフトウェアを開発する余地が意図的に残されていましたが、メイヨー・クリニックは個人を特定できるデータは共有前に削除すると説明しました。
この最新のプロジェクトである「プロジェクト・ナイチンゲール」には、同様のプライバシー保護の制約はないようです。
私たちの質問に対し、GoogleはAscensionが本日発表したプレスリリースを紹介してくれました。このプレスリリースには、150人のGoogle社員が数千万人のアメリカ人の個人健康記録にアクセスできるというWSJの報道を覆すような内容は一切なく、同意の問題やデータが匿名化されていないという主張にも触れられていません。
同社はこのプロジェクトを「コラボレーション」と呼び、「安全で信頼性が高く、インテリジェントなGoogle Cloud Platformへの移行」によってシステムを「近代化」すると述べています。また、このコラボレーションでは、「臨床の質と効果、患者の安全、そして脆弱な人々のためのアドボカシーの向上を支援し、消費者と医療提供者の満足度を向上させる可能性のある人工知能/機械学習アプリケーションの探求」が行われると述べています。®
追加更新
グーグルは、この件に関して声明を発表し、アセンションにクラウドサービスを提供することに主眼を置いていることを強調し、これを「他の数十の医療提供者と行っている仕事と同様に、最新技術で医療提供者を支援するビジネス契約」と表現した。
