データプライバシー、セキュリティ、および規制遵守

Definition

データプライバシー、セキュリティ、および規制遵守とは、個人の健康情報がいかに機密に保たれ、不正アクセスや損失から保護され、適用される法律に従って利用されるかを規定する、原則、技術的および組織的安全策、ならびに法的義務の複合的なセットです。

Scope

このトピックは、機密保持とプライバシーの原則、セキュリティ保護策の主要なカテゴリ、健康データが直面する脅威の状況、および義務を設定する上での規制枠組みの役割を扱います。これは概念的な参照として構成されており、特定の組織に対する法的助言、セキュリティ設定指示、または遵守の判断を提供するものではなく、ここで規制を挙げるのは権威的なものではなく例示的なものです。

Core questions

• 個人健康情報にとっての機密保持とプライバシーとは何を意味しますか？
• 健康データを保護する安全策のカテゴリにはどのようなものがありますか？
• 健康データはどのような脅威に直面しており、なぜこの分野は頻繁な標的となるのですか？
• 規制枠組みは健康データの許容される利用をどのように形成しますか？

Key concepts

• 機密保持とプライバシー
• 管理面、物理面、および技術面の安全策
• 非識別化と再識別リスク
• サイバーセキュリティの脅威と侵害
• 規制枠組みと遵守
• データ最小化と目的制限
• 同意と二次利用

Mechanisms

機密保持は、正当な必要性と明確な目的を持つ者へのアクセスを制限することに基づいています。セキュリティは、管理面（ポリシー、トレーニング）、物理面（施設およびデバイスの管理）、技術面（アクセス制御、暗号化、監査ログ）の多層的な安全策を通じて実装されます。非識別化はプライバシーリスクを低減しますが、完全に排除するものではありません。なぜなら、豊富なデータセットは再識別される可能性があるためであり、データが分析のために集約されるにつれてこの緊張は高まります。医療分野は、健康データが価値が高く、システムが複雑で相互接続されていることが多いため、サイバー攻撃の頻繁な標的となります。したがって、脅威の状況と侵害リスクはセキュリティ実践の中心となります。規制枠組みは、これらの原則を、データの収集、保存、共有、再利用の方法を制約する強制力のある義務へと変換します。

Clinical relevance

プライバシーとセキュリティの保護は、患者の信頼と情報共有の意欲に影響を与え、侵害は実際の損害を引き起こす可能性があります。この項目は、原則、安全策、および規制の役割を参照資料として記述するものであり、法的助言や遵守評価を構成するものではなく、具体的な義務は管轄区域および資格のある法的解釈に依存します。

Evidence & guidelines

エビデンスは、プライバシーに関する政策および倫理分析と、サイバーセキュリティの脅威状況に関する系統的レビューを組み合わせています。医療ビッグデータの時代におけるプライバシーの分析と、ヘルスケアサイバーセキュリティに関する系統的レビューは、原則とリスクを記述しています。具体的な義務は、臨床ガイドラインではなく法律や規制当局によって設定され、それらの手段は管轄区域に依存します。

History

機密保持は医学の長年の原則ですが、健康データのデジタル化とネットワーク化は、その規模とリスクの性質を変えました。記録が電子化され、データが分析のために集約されるにつれて、個人の機密保持から大規模なプライバシー、再識別リスク、およびサイバーセキュリティへと注意が拡大し、同時に、これらの利用を管轄区域全体で規制するための規制枠組みが開発および改訂されました。

Debates

健康データは分析に有用でありながら、十分にプライベートであり得るか？

分析や研究のためにデータを集約することは価値を高めますが、再識別や侵害のリスクも高めます。コメンテーターは、データセットがより豊富になるにつれて、非識別化とガバナンスがデータの有用性とプライバシーを両立させることができるかどうかについて議論しています。

Key figures

• I. Glenn Cohen
• W. Nicholson Price
• Clemens Scott Kruse

Related topics

• Health Information Systems and Technology
• Electronic Health Records and Interoperability
• Health Data Management and Analytics
• Digital Health and Health Technology Innovation
• Confidentiality, Privacy, and HIPAA in Prehospital Care
• Health Data Breaches and Incident Response
• International Health Data Regulations and Governance

Seminal works

• price-cohen-2019
• kruse-2017

Frequently asked questions

健康データにおけるプライバシーとセキュリティの違いは何ですか？

プライバシーは、誰がどのような目的でデータにアクセスし利用できるかに関わり、セキュリティは、不正アクセスや損失からデータを保護するための技術的および組織的な安全策に関わります。両方とも必要であり、遵守義務によって規定されています。

非識別化された健康データが自動的にリスクフリーではないのはなぜですか？

識別子を削除することはリスクを低減しますが、完全に排除するものではありません。なぜなら、豊富なデータセットは他の情報と組み合わせることで再識別される可能性があるためであり、これが非識別化が完全な解決策として扱われるのではなく、ガバナンスと組み合わせて用いられる理由です。

Methods for this concept

• Data Protection and Privacy in Research
• Informed Consent in Research
• k-Anonymity
• Digital Health Acceptance Scale
• Belmont Report
• Waiver of Informed Consent in Research
• Institutional Review Board
• Differential Privacy

Related concepts

• Health IT Privacy, Security, and Compliance
• International Health Data Regulations and Governance
• Health Data Breaches and Incident Response
• De-identification and Privacy-Preserving Data Analysis
• HIPAA Privacy and Security Rules
• Health Information Systems and Technology