AI時代の健康データ活用とプライバシー──イノベーションと社会的信頼の両立

Parallel Session 3-A Re-Using Health Data: Balancing AI Health Innovation and Privacy in a Cross-Border Context (led by the OECD) _Keynote
GPA 2025 SEOUL: 47th Global Privacy Assembly 現地レポート[Vol.14]　

この記事は、GPA 2025 SEOUL: 47th Global Privacy Assemblyにおける講演内容をもとに、AIによる自動音声認識および自動翻訳技術を用いて作成されたものです。その性質上、実際の講演内容と異なる表現や解釈が含まれる可能性があり、一部の情報が省略または不正確である場合があります。

この度、株式会社プライバシーテックは、2025年9月に韓国ソウルで開催された国際会議「GPA Seoul 2025」に参加いたしました。本会議では「日常生活における人工知能(AI)：データとプライバシーの課題」をテーマに、AI時代のデータガバナンスについて活発な議論が交わされました。弊社が聴講した主要セッションの内容を、皆様の実務に役立つ形でお届けします。

◆ この記事でわかること
===
・AI時代の医療データ活用は、イノベーション促進という公益とプライバシー保護という権利を両立させる必要がある。　
・患者の「同意」取得は困難であり、データ活用には透明性の欠如などによる「社会的認可」の失敗という課題がある。
・解決にはPETs（プライバシー強化技術）の活用と、商業利用への偏見を越えた社会的な信頼構築が不可欠である。
===

登壇者

転載：GPA SEOUL 2025

Clarisse Girot (Head of Division for Data Flows, Governance and Privacy, OECD)
OECDのデータフロー･ガバナンス･プライバシー部(DFGP)の部長。同部は、データガバナンス、越境データフロー、プライバシー政策に関するOECDの活動を支援している。2022年にOECDに加わる前は、CNIL（フランス情報処理自由委員会）、アジアン･ビジネス･ロー･インスティテュート、フューチャー･オブ･プライバシー･フォーラム、シンガポールの国際法律事務所Rajah & Tann Asiaにおいて上級職および指導的立場を歴任した。また2018年から2022年までジャージーデータ保護局（英国領）の委員を務めた。

転載：GPA SEOUL 2025

Khaled El Emam (Canada Research Chair, Medical AI at the University of Ottawa)
オタワ大学疫学･公衆衛生学部の教授であり、同大学において医療AI分野のカナダ研究チェア（ティア1）を務めている。また、東部オンタリオ小児病院研究所の上級研究員、オンタリオ州情報･プライバシー委員会(IPC)の客員研究員も兼任している。
データ管理･データ分析分野において6つの製品･サービス企業を設立または共同設立し、そのうちいくつかは成功裏に売却された実績を持つ。学術職に就く前は、カナダ国立研究評議会の上級研究官を務めた。またドイツ･カイザースラウテルンにあるフラウンホーファー研究所では定量手法グループの責任者を歴任。博士号は英国ロンドン大学キングス･カレッジ電気電子工学科にて取得。

【開会挨拶】イノベーションとプライバシーを両立させるために

Clarisse: 本日のセッションの運営をご支援いただいた皆様、またOECDでのこの活動を積極的に支えてくださった皆様に感謝申し上げます。これはまさに共同イベントであり、改めてPIPC（韓国個人情報保護委員会）の全チームに、ソウルでの歓迎に向けたご尽力に感謝します。私はClarisse Girotと申します。OECDにおいてデータフローの予測、ガバナンス、プライバシーの責任者を務めております。

OECDは2016年、健康データ関連分野における公共政策策定の指針となる極めて重要な勧告を採択しました。この勧告は二つの極めて重要な目的、いわば要請に基づいて構築されています。

一つは、公共の利益と公益のために、適切なガバナンスのもとで個人データを含むあらゆるデータの利用･共有の促進をすること。そしてもう一つは、イノベーションとプライバシーの権利を両立させることです。一方が他方を排除するのではなく、両方の公共的目標を同時に達成しつつ、個人の自由や権利（当然ながらプライバシーを含む）を保護することが求められています。

我々は法的枠組みの妥当性を継続的に監視しなければなりません。この過程では、当然ながら多数の利害関係者——公的機関、政府、産業界、そして市民社会——との連携が極めて重要となります。

技術は劇的に変化しました。それとともに、公衆の期待にも変化が起きています。組織は、以前には想像もできなかった方法でデータを活用できるようになりました。AIは医療分野においてもゲームチェンジャーであり、変革の力となっています。

こうした状況を受け、我々は一堂に会し「次に何をすべきか」「研究とイノベーションにおいて、公共の利益のためにこうしたデータを活用する方法をいかに促進するか」を議論する必要に迫られています。

それは我々全員の利益となる形で、同時にプライバシーやあらゆる権利を保護する方法を模索する場でもあります。この二つの公共目的を適切に両立させるという核心的な課題こそが、本日この議論を行うことになった背景です。

ぜひOECDのウェブサイトから、我々の報告書をダウンロードしてみてください。GPAのウェブサイトにもリンクが掲載されていますので、そちらからもご確認いただけます。この報告書の主題であり、また本日の議論の核心でもあるのは、公共の利益を目的として、健康データの分野横断的な活用を推進することです。

私たちは本日のこの場を、皆様との継続的な対話の始まりであると捉えています。私たちがワークショップやイベントを企画し、詳細な報告書を作成するのは、それ自体が目的だからではありません。OECD加盟国やEUから支援を得ているのも、単に報告書を発行したいからではなく、今が長期的な視点を持つべき重要な転換点だと考えているからです。

私たちの真の目的は、技術開発に携わる皆様に「いかにして公衆の期待に応えていくか」という重要なテーマについて、長期的かつ有意義に対話していただく、そのきっかけを作ることにあるのです。

それではここで、本日の基調講演者であるKhaled El Emam氏をご紹介いたします。

【基調講演】健康データの二次利用：PETsの可能性と「社会的認可」の重要性

Khaled: まずは、本日このようにお話しする機会をいただき、感謝申し上げます。Clarisseさんからもご紹介がありましたが、本日私がお話しする内容の多くは、OECDの報告書に基づいています。この報告書は、二次データが国境を越えて公益目的でどのように利用されるかを扱ったものです。

そのため、私が本日取り上げるトピックは、この報告書の指摘事項と、私自身が過去20年間にわたり、健康データを用いた学術研究や商業研究のアクセス確保に取り組んできた経験の両方に基づいています。これらはすべて「データの二次利用」に関するものであり、本日はこのトピックについて、私なりの視点をご提供したいと考えています。

まず、健康データの二次利用、すなわち二次目的でのデータアクセスがいかに重要であるかを強調することから始めたいと思います。これは、以降の議論を進める上での大前提となる、非常に重要なポイントです。

データへのアクセスが可能になれば、スクリーニング、早期診断、適切な投薬量の決定、新しい医薬品の開発、公衆衛生の監視といった分野でイノベーションが促進され、ひいては国民全体の健康状態の改善にもつながります。しかし同時に、データアクセスは大きな経済的価値も生み出します。

そこからイノベーションが生まれ、新たなスタートアップ企業が誕生し、新薬の開発へとつながるのです。つまり、データアクセスは社会的な利益であると同時に、経済的な利益ももたらします。

ですから、こうした取り組みが単なる学術研究のためだけではない、という点を認識することが重要です。 健康データを二次利用することには、このように多大な利点があるのです。

同意取得の難しさとプライバシー強化技術(PETs)

さて、このデータにアクセスする一つの方法は「同意」を得ることです。これが基本であることは間違いありませんが、多くの状況で、同意に頼るアプローチは非常に困難です。

なぜなら、私たちの分析の多くは、過去に遡って行われるからです。例えば、5年、10年、15年前の患者データセットを分析したい場合、後からその患者さんたち全員の同意を得ることは、現実的ではありません。すでに亡くなられていたり、転居されていて連絡がつかない可能性もあるからです。

さらに、たとえ同意が取れたとしても、「同意バイアス」という深刻な問題があります。この「同意バイアス」とは、つまり、同意してくださった方々と、そうでない方々の間で、データに体系的な偏りが生まれてしまうことを指します。例えば、同意する層が、特定の年齢層や性別、社会経済的地位、あるいは都市部や地方といった居住地域によって偏ってしまう。こうした偏りを示す証拠は、すでに数多く報告されています。

したがって、同意というアプローチは、データ分析において必ずしも理想的とは言えないのです。そこで私たちは、同意に代わる別のデータアクセスの基盤を見つける必要があります。その有力なアプローチの一つが、「プライバシー強化技術(PETs)」の普及です。

昨日や今日のセッションでも、PETsについては様々な議論が行われてきましたね。匿名化技術、合成データ、秘密計算、差分プライバシーなど、様々な技術が含まれます。PETsを巡る環境は、ここ数年で劇的に進歩しました。規制当局によるガイダンスも出始めており、データを保護しつつアクセスを可能にするための、具体的な実践方法が示されています。

さらに、PETsを使って処理されたデータの「有用性」も著しく向上しています。医療分析のコミュニティでは、こうした処理によるデータの歪曲への懸念が根強くありましたが、現在では、データの品質も有用性も非常に高い水準に達しており、確実に利用可能で、有効な手法と考えられます。なぜなら、適切に処理されれば、それはもはや「個人情報」ではなくなり、分析目的で自由に利用できる可能性が広がるからです。

実際に私たちの業界では、安全性の分析などの目的でデータにアクセスする際、この手法に頼ることが多く、私自身も常に合成データを生成するようにしています。

「法的根拠」は「社会的認可」を意味しない

ただし、ここで非常に重要なことを申し上げます。法的な根拠を満たしていることが、すなわち「社会的認可」、つまり社会的な受容性があることを意味するわけではない、ということです。

社会的認可とは、患者さんや一般市民が、自分たちのデータが「納得できる形」で利用されていると認識し、その使われ方に不意打ちや驚きを感じない状態を指します。この社会的受容性がいかに重要か、二つの失敗事例をご紹介します。

最初の事例は英国の「ケアデータ」です。これは2000年代初頭に英国の国民保健サービス(NHS)が始めた構想で、全国の診療所から診療情報を収集し、データベース化して、研究や商業目的に二次利用できるようにするものでした。

しかし、この構想には国民から猛烈な反発が起きました。まず理由として、データがどう使われるのか、国民への説明が不十分だったことが挙げられます。特に、民間企業による利益追求への懸念や、オプトアウト（拒否）の仕組みが分かりにくいという問題がありました。NHSは全世帯にチラシを配布しましたが、それがピザの広告と見間違えるようなデザインだったため、多くの人が読まずに捨ててしまった、という批判まで出たのです。

多くの医師も患者にオプトアウトを推奨し、英国医師会も反対しました。 結局、この素晴らしい取り組みは事実上、放棄されることになり、研究や安全性分析にとって非常に有益なはずだったデータが失われるという不幸な結果を招いたのです。この事例は、社会的な合意形成に失敗した典型例です。

もう一つの例は、より最近の、カナダでのCOVID関連の事例です。ある通信企業が、匿名化されたとされる位置情報データを公衆衛生機関に提供しました。これは、人々が社会的距離を保っているか、移動を自粛しているかを監視し、感染拡大の予測に役立てるためでした。

しかし、メディアが「通信会社が政府に3300万人の詳細な位置データを渡した」とセンセーショナルに報じたことで、議会で公聴会が開かれ、連邦プライバシー委員会による調査が開始される大騒ぎになりました。企業の幹部が議会に呼ばれ、証言する事態にまで発展したのです。

最終的な調査結果は、データは適切に匿名化されており、不正行為はなかった、というものでした。しかし、これも企業側の説明や透明性がもっとあれば防げた混乱であり、「社会的認可」の失敗事例と言えます。ここでの本当の問題は、次のパンデミックが発生した時、この騒動を経験した企業が、果たして再び公衆衛生機関とのデータ共有に前向きになってくれるだろうか、という点です。

社会的認可を得るために必要なこと

私たちはこうした失敗から学び、改善しなければなりません。データアクセスを可能にする「社会的認可」を得るための取り組みを、今こそ強化する必要があります。では、どうすればよいのでしょうか。私が長年学んできたことをいくつか共有します。

第一に、明確なルール、すなわち「実践規範(Code of Practice)」を導入することです。数年前、30の規制当局にインタビューした際、彼らがこれを強く望んでいることが分かりました。組織が適切な実践を行っていると確信を持つための、明確な指針が必要なのです。

第二に、国民が公的機関を信頼できると感じられるよう、早期に信頼構築を始めることです。特に規制当局は、既存のルールやその施行について公衆を教育するという、極めて重要な役割を担っています。

第三に、データアクセスの利点について、ポジティブな事例をもっと伝える必要もあります。現状では、メディアで報じられるのは、ほとんどが悪質な行為者に関するネガティブなニュースばかりです。たとえ調査の結果、問題がなかったとしても、そのポジティブな続報が報じられることは稀です。これでは信頼は築けません。

第四に、透明性は、言うまでもなく極めて重要です。先ほどカナダの事例を挙げましたが、調査の結論は常に「もっと透明性を高めるべきだった」というものでした。透明性は、一般市民に現状を知らせるだけでなく、メディアや市民社会といった「市民の代理人」が、データ利用を事前にチェックするためにも不可欠です。

そして最後に、これが最も重要かもしれませんが、「データの商業化」に対する否定的な認識を変えることです。 患者さんへの調査を重ねるたびに、学術機関への信頼は高い一方で、企業、特に民間プレイヤーへの信頼度が極めて低いことが明らかになります。多くの場合、「営利目的のデータ利用」は、それ自体が悪であるかのように扱われがちです。しかし、私はそのような見方が有益だとは思いません。

なぜなら、データを用いたイノベーションの多くは、持続可能な資金調達と長期的な時間軸を必要とするからです。そのためには民間セクターの参画が不可欠です。ケアデータの失敗理由の一つも、この商業利用への根強い反発でした。持続可能なイノベーションのためには、データの利用をすべて悪とするのではなく、責任ある民間企業も存在することを、社会全体で認識し直す必要があります。

もちろん、誰もがデータの二次利用を容認するわけではない、という現実も受け入れなければなりません。人々の価値観は様々です。例えば、特定の属性（性的指向など）に基づく研究に、ご自身のデータを使ってほしくない、と考える方もいらっしゃるでしょう。 しかし、ごく少数の個人が異議を唱えるからといって、社会全体にとって有益なデータの二次利用を全て止めてしまうわけにはいきません。

だからこそ、私たちには、患者全体の文化的規範や価値観に基づいて「その利用目的が社会的に許容されるか」を判断する、独立した「倫理審査」の仕組みが必要なのです。もちろん、この倫理審査自体が、プロセスが長く官僚的だ、という悪いイメージを持たれがちなことも承知しています。私たちは、この審査プロセス自体を改善し、研究目的であれ、商業目的であれ、プライバシーへの懸念をしっかりとプロセスに組み込む仕組みを構築しなくてはなりません。

以上、データアクセスのための「社会的認可」を得るという課題に対処するために、私が考えるいくつかの方策をご紹介しました。ご清聴ありがとうございました。

以上

===

◆ 関連記事
[Vol.1]GPA 2025 ソウル 開会セッション ── 基調講演
[Vol.2]AI時代のグローバル･データガバナンス 
[Vo.3]実践における合成データ──機会と課題
[Vol.4]AIが医療サービスとプライバシーに与える影響
[Vol.5]基調講演──EUにおけるAI規制とデータ保護の調和
[Vol.6]AI時代のデータ保護法と法的根拠──世界の規制当局が語る最前線
[Vol.7]データ保護機関(DPA)の新規設立と制度化
[Vol.8]基調講演──ヒューマン･フラッキングとプライバシーの未来
[Vol.9]AIは「エージェント」の時代へ──未来のプライバシーを考える
[Vol.10]AI時代のルールメイキング──規制とイノベーションの共存
[Vol.11]プライバシーは「人間性の未来」──OpenAIが描くAIとの共存
[Vol.12]越境データ移転における相互運用性の強化
[Vol.13]データ保護における救済と相互運用性──消費者の視点から
[Vol.14]AI時代の健康データ活用とプライバシー──イノベーションと社会的信頼の両立←この記事
[Vol.15]AI医療とプライバシー──健康データ「二次利用」の最前線
[Vol.16]AI医療と規制当局──いかにして「公衆の信頼」を築くか

===

＜＜前へ：データ保護における救済と相互運用性──消費者の視点から

＞＞次へ：AI医療とプライバシー──健康データ「二次利用」の最前線

===

GPA 2025公式サイト：https://gpaseoul.kr/

#AIガバナンス　#AI利活用　#プライバシー　＃GPA　#プライバシーガバナンス　#データガバナンス　#AI　#プライバシー保護　#データ二次利用　#健康データ　#社会的認可　#公共の利益　#イノベーション　#OECD　#同意バイアス　#PETs　#ケアデータ　#合成データ　#倫理審査　#公衆衛生　#データ共有