　なお、APIプライバシー／セキュリティについては、本連載第2回で触れたように、「プレシジョンメディシン・イニシアチブ：プライバシーと信頼の原則」（関連情報）や「「プレシジョンメディシン・イニシアチブ：データセキュリティポリシー原則とフレームワーク」（関連情報）を起点として、2016年2月にNIHとONCが立ち上げた「Sync for Science（S4S）」（関連情報）およびその一環として策定、公表された「医療アプリケーション・プログラミング・インタフェース（API）のための重要なプライバシーおよびセキュリティの考慮事項」（関連情報、PDF）がベースになっている。

　前述の「科学的発見に向けて加速するAPI：アプリケーション開発者とデータイングレーターの視点」では、ソリューションの開発、検証、展開におけるセキュリティプラクティスの可用性や品質に関連して、以下のようなテーマを挙げている。

消費者に対して、特定のデータ要素や共有されるデータの明示的なタイムフレームに関する透明性を提供するためには、より粒度の細かいレベルのコンセント／スコープが必要とされる
医療IT開発者や医療機関からの長いセキュリティリスク評価や過度に複雑な承認プロセスにより、導入スケジュールの遅延がしばしば発生している
アプリケーション開発者は、ユーザーにプライバシーステートメントを提供し、セキュリティへのコミットメントや、いかなるサードパーティーに対してもEHIをリリースする際のリスクを特定することに慣れる必要がある
契約書、データ利用同意書、事業提携者同意書、ユーザーのコンセントなど、プライバシー／セキュリティ要求事項に関連する管理業務プロセスについては、より多くのガイダンスが必要である

　加えて、APIプライバシー／セキュリティの課題として、医療機関側に、サードパーティーアプリケーションにある患者データを管理するセキュリティプロセスや信頼できるフレームワークが確立されていない点を指摘している。そのために、マルチステークホルダー型の保健医療エコシステムにおいて、必要なプライバシー／セキュリティワークフローを決定し、サードパーティー製のヘルスケアアプリケーションに対してセキュリティレビューを提供できるようなガバナンス構造を持たないケースが多いとしている。

いよいよNIHのデータ管理／共有ポリシーが施行へ

　米国では、2023年1月25日より、NIHの「データ管理・共有（DMS）ポリシー」（関連情報）が施行される。このポリシーは、科学における信頼性と透明性を高めるために、研究データの可用性と再利用性を最大化しながら、研究データの管理／共有の規範を構築することを目的としている。

　NIHは、科学データについて、「データが学術出版物をサポートするために利用されたかに関わらず、研究成果を検証し再現するために十分な品質があると、科学コミュニティーに共通して受け入れられたデータ」と定義している。そしてNIHの研究資金を求める研究者に対して、以下のような要求事項を定めている。

科学データおよび付随するメタデータの管理／共有方法の概略を提示し、プロジェクトに適用される可能性がある潜在的な制限や限界を考慮したDMS計画（その他の資金調達元省庁向けのデータ管理計画と同等）を提出する
NIH内部の資金調達元研究所またはセンターが承認したデータ管理／共有計画を順守する

　また、DMS計画に含まれる要素として、以下のような項目を推奨している。

データのタイプ
関連するツール、ソフトウェアおよび／またはコード
標準規格
データの保存、アクセス、関連するタイムライン
アクセス、配布、再利用の考慮事項
データ管理／共有の監視

　なお、ゲノムデータを利用した研究プロジェクトについては、NIHの「ゲノムデータ共有ポリシー」（関連情報）に準拠して、以下のような対応策を講じることが推奨される。

DMS計画の一部として、ゲノムデータ共有のための計画を策定し、提供する
ヒューマンデータで作業する場合、ジャストインタイムで機関認証フォームを提供する
迅速な方法で、ゲノムデータを適切なリポジトリに提出する
責任を持って、アクセス制御されたデータを利用する
発行物やプレゼンテーションでは、アクセス制御されたデータを適切に引用する

　またNIHの場合、グローバルヘルス関連研究のように、国際共同研究体制を前提とした科学データ研究プロジェクトを多く抱えている。このようなケースのDMS計画策定／提出に関連して、NIHの各部署では、海外とのハーモナイゼーションに向けた啓発活動も行っている（関連情報）。

　NIHおよび海外の提携先機関の間では、大容量データリポジトリについて、外部のクラウドサービスを利用するケースが増えている反面、保健医療データの場合、本連載第88回で触れたように、国家安全保障の視点から、国内外のロケーションやアクセス制御の設定が課題となっている。このような場合、研究開発プロジェクトを所管する部署が主導して、事前のプライバシー／セキュリティリスク評価や契約条項に関わるデューデリジェンス、サードパーティーのベンダーリスク管理を実行できる組織体制を構築し、各ステークホルダーに対して透明性のある説明責任を果たるためのコミュニケーションツールを整備する必要があるだろう。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
大統領令で加速する米国のバイオエコノミーR&Dとデータ保護
米国では、本連載第44回で取り上げたAI、第80回で取り上げたサイバーセキュリティなどのように、大統領令を起点として、省庁横断的なトップダウン型で、一気に科学技術支援策を推進しようとするケースが多々見られる。今注目を集めているのはバイオエコノミーだ。
日本の一足先を行く米国のコミュニケーション重視型医療機器サイバーセキュリティ
本連載第69回で欧州連合の医療機器サイバーセキュリティ政策動向を取り上げたが、今回は米国の最新動向を整理してみたい。
米国規制当局のDXが医療イノベーションに及ぼす影響
本連載第23回で米国保健医療行政のIT戦略を取り上げたが、その後、デジタルトランスフォーメーション（DX）の取り組みが加速している。
新型コロナで加速する欧米のクラウドネイティブな医療API連携、広がる日本との差
本連載第40回および第44回で、米国のAPIを活用した医療IT標準化動向を取り上げたが、新型コロナウイルス感染症（COVID-19）対応を契機に、欧州でも、クラウドネイティブなAPI連携の導入が本格化している。
個別化治療を実現するプレシジョンメディシン
欧米諸国では、遺伝子プロファイルを利用して各個人に合った治療法を提供する「プレシジョンメディシン」に注目が集まっている。個別化治療に向けたイノベーションの取り組みは、どのようなインパクトをもたらすのだろうか。