50万人の情報が流出した英国バイオバンクのインシデントでPETs利用は拡大するか：海外医療技術トレンド（131）（1/3 ページ）

本連載第85回で、ポストコロナの時代における英国のデータ駆動型保健医療改革を取り上げた。EUの欧州ヘルスデータスペース（EHDS）実装に向けた動きが本格化する中で、英国ならではの越境データ利用の技術検証が注目されている。

[笹原英司，MONOist]

　本連載第85回で、ポストコロナの時代における英国のデータ駆動型保健医療改革を取り上げた。欧州連合（EU）の欧州ヘルスデータスペース（EHDS）実装に向けた動きが本格化する中で、英国ならではの越境データ利用の技術検証が注目されている。

⇒連載「海外医療技術トレンド」バックナンバー

英国バイオバンクで発覚したデータ侵害インシデント

　2026年4月23日、50万人規模の英国住民のゲノム／医療／生活習慣／画像データを長期的に収集し、世界中の研究者に提供する巨大研究基盤である「英国バイオバンク（UK Biobank）」は、「英国バイオバンク 最高経営責任者 兼 主任研究者ロリー・コリンズ卿からのメッセージ」と題するデータ侵害インシデント通知を公表した（図1参照、関連情報）。

図1　英国バイオバンクのデータ侵害インシデント通知［クリックで拡大］ 出所：UK Biobank Limited「A message from Professor Sir Rory Collins, Chief Executive and Principal Investigator of UK Biobank」（2026年4月24日更新）

　英国バイオバンクによると、3つの学術機関の研究者に提供していた匿名化済み参加者データが、中国のアリババが運営する消費者向けWebサイトで販売リストに掲載されていることが判明したという。流出したデータには、個人の生活習慣、生体試料の測定値、社会／経済的な地位などが含まれていたが、氏名、住所、国民保健サービス（NHS）番号などの個人特定情報（PII）は含まれていなかった。英国政府と中国政府の支援を受け、アリババは販売が行われる前に速やかに掲載を削除したという。今回の事態は、これらの学術機関が締結した契約に対する明確な違反であり、関係機関および関与した個人のアクセスは停止されているとしている。研究者は、バイオバンク参加者のデータの安全かつ確実な利用を最優先するため、英国に設置された制限付きクラウド型研究プラットフォーム上で研究を行うことが義務付けられている。今回の事案を受け、再発防止のためにシステム強化を進めていることを表明した。

　このインシデントを受けて、同じ4月23日、英国政府のクリエイティブ産業・メディア・芸術担当大臣兼デジタル政府・データ担当大臣であるイアン・マレー氏は、英国議会下院において声明を発表した（関連情報）。政府および英国バイオバンクの対応として、同バイオバンク、中国政府およびプラットフォーム側の協力により、該当するリストを即時削除し、情報の流出源と特定された研究機関のアクセス権を剥奪した。また、技術的なセキュリティ対策が講じられるまで、英国バイオバンクのデータダウンロード機能を一時的に停止した。英国バイオバンクは情報コミッショナーオフィス（ICO）に自ら報告し、この日の時点で、詳細な調査を進めているという。マレー氏は、参加者全員への通知を速やかに行うよう指示し、今回の事態を「データの容認できない悪用であり、参加者の信頼に対する裏切り」と厳しく非難した上で、今後、研究用データ管理に関する新たな政府ガイダンスを発行する方針を表明している。

　さらに同じ日、英国の保健／社会福祉分野における患者やサービス利用者の健康／介護情報の取り扱い状況を監視する独立政府機関である「国家データガーディアン（NDG：National Data Guardian）」のニコラ・バーン氏も声明を発表した（関連情報）。バーン氏は、参加者の医療研究に対する信頼が裏切られたことは極めて深刻であり、情報の流出は参加者に対する裏切りであると指摘した上で、英国バイオバンクに対し、以下の点について参加者に明確な回答を行うよう求めている。

• 何が起きたのか（いきさつの解明）
• なぜ起きたのか（原因の究明）
• 再発防止のために何を変えるのか（抜本的な改善）

　そして健康データを用いた研究が今後も持続するためには、国民の信頼が不可欠であり、英国バイオバンクが断固とした行動を取ることが不可欠であると結論付けている。

インシデントが倫理・ガバナンスフレームワークに及ぼす影響は？

　英国バイオバンクは、世界のナショナルバイオバンク事業の草分け的存在であり、2003年11月28日に独立非営利組織（UK Biobank Ltd.）として設立された（関連情報）。その後2006年に 健康な一般住民（40〜69歳）を対象とする50万人規模の研究用コホートプロジェクトを開始している。英国には、2013年に設立された「ゲノミクスイングランド（Genomics England）」もあるが、こちらは、希少疾患患者・がん患者などを対象とする10万人規模の臨床医療用コホートプロジェクトの運営組織であり、英国保健・公的介護省（DHSC）の100％出資会社となっている。

　英国バイオバンクの設立に際して、非常に機微な遺伝情報や健康データを大規模に扱うことに対する懸念を解消する必要があったことから、2003年9月24日に「倫理・ガバナンスフレームワーク（EGF）」第1版草案が公開されたいきさつがある。現時点での最新版は、2007年10月に公開された第3版である（関連情報）。参考までに表1は、この第3版の構成である。

表1　英国バイオバンク「倫理・ガバナンスフレームワーク」第3版の構成［クリックで拡大］ 出所：UK Biobank Limited「UK BIOBANK ETHICS AND GOVERNANCE FRAMEWORK Version 3.0 (October 2007)」（2007年10月更新）

　他方、英国においてゲノムデータを法的に保護する枠組みが確立したのは、Brexit前の2018年5月25日に施行されたEU一般データ保護規則（GDPR、関連情報）および英国2018年データ保護法（関連情報）によってである。これらの法律により、英国において初めて遺伝データ（Genetic data）が、特別なカテゴリーのデータ（Special category personal data）として法的に定義され、その取り扱いに厳格な制限と高い保護水準が義務付けられるようになった。