50万人の情報が流出した英国バイオバンクのインシデントでPETs利用は拡大するか：海外医療技術トレンド（131）（3/3 ページ）

[笹原英司，MONOist]

PETsサンドボックスとして活用される「信頼された研究環境」

　そして、英国政府が、信頼された研究環境（TRE）／セキュアデータ環境（SDE）に組み込むべく取り組んでいるのが、プライバシー強化技術（PETs）の実装である。英国政府デジタルサービス（GDS）は、2025年10月9日、「プライバシー強化技術（PETs）を活用した国際データ共有の実現」と題するブログ記事を公開している（関連情報）。

　特定の希少性小児がんの研究では、単一の国や地域だけでは十分な統計解析ができない。研究のために患者レベルの生データを国外へ輸出することは、規制順守（UK GDPRなど）や公衆の信頼維持の観点から、極めて時間がかかるか、あるいは不可能であり、国際共同研究の大きな足かせとなってきた。

　このような背景を受けて、英国科学・技術・イノベーション省（DSIT）は、2022〜2023年に実施された 「英米プライバシー強化技術（PETs）賞チャレンジ」（関連情報）で得られた知見をベースに、NHSイングランドの国立疾病登録サービス（NDRS）と米国立がん研究所（NCI）が、超希少がんを安全／合法かつ迅速に研究できるようにするため、革新的なPETsを活用するパイロットプロジェクトを実施した。

　DSITのプロジェクトでは、データを移動させずに複数組織間で安全に共同分析を行うためのPETs基盤を提供する米国発「Duality」 プラットフォーム（関連情報）を利用し、データを移動させず、コードのみを移動させる方式を採用した。これにより、研究者は 匿名化されていないデータをNHSのシステム外へ移動させることなく、共同分析を実施できたという。

複数のPETsの組み合わせによるプライバシーリスク低減策

　本プロジェクトの実装では、以下の3種類の補完的なPETsと、複数の情報ガバナンス手法を組み合わせている。

• 分散型クエリ処理（Federated querying）：
  承認済みスクリプトをNDRSとNCIのファイアウォール内で同時に実行し、サイト単位の集計値のみを返す。クエリには、件数、平均値、クロス集計、ヒストグラム、生存分析プリセット（人口データによる層別化）が含まれる
• 信頼された実行環境（TEE：Trusted Execution Environment）：
  安全なエンクレーブ（飛び地）内でサイトごとの集計値を復号し合算することにより、双方が相手の生データを閲覧できないようにする。また、両サイトでリモートアテステーション（遠隔計算環境など）を実施する
• 差分プライバシー＋セル抑制（Differential privacy + cell suppression）：
  各集計セルに対してε=1のラプラスノイズを付与し、5未満の結果は非表示にする。これらの値は、ダミーデータを用いた手動テストおよび米国国立標準技術研究所（NIST）の専門家の助言に基づいて設定された

　ここで実装した技術は、研究者が利用するソリューションそのものにプライバシー保護を組み込み、研究を進める際の摩擦を軽減した。パイロット完了後には、なぜこのPETsの組み合わせを選択し、どのように特定のプライバシーリスクを軽減したのかについて、さらに詳細な情報を共有する予定だとしている。

　英国政府デジタルサービス（GDS）は、その後2026年1月15日、「英米間のPETsがん研究パイロットから得られたガバナンスの教訓」と題するブログ記事を公開している（関連情報）。このブログは、以下のような展開になっている。

• データを動かさずに国際共同研究を実現する新しいモデル
• 複数のPETsを組み合わせた多層防御が有効
• 情報ガバナンス（IG）を技術に組み込むことが鍵
• 国際共同研究における信頼の構築には透明性が不可欠
• 法制度の違いを技術で橋渡しできることを実証
• PETsの選択はリスク評価に基づく組み合わせが最適

　本パイロットプロジェクトは、正式には 英国情報コミッショナーオフィス（ICO）が主宰する規制サンドボックス（関連情報）に参加していなかったが、「反復的で、規制当局が同席する」という考え方を取り入れて、法務チーム、情報ガバナンス担当者、そしてICOの技術専門家との定期的なコミュニケーションにより、後になって想定外の問題が発生することを防ぐことができたとしている。

PETsで加速する英国の「データを動かさず、コードを動かす」モデル

　このプロジェクトで実装された「信頼された実行環境（TEE）」に関連して、注目されるのが、本連載第73回で取り上げたハードウェア対応セキュリティ機能である。特に関係が深いのがNVIDIAであり、英国バイオバンク向けにハードウェアインフラストラクチャやゲノム解析／創薬支援ソフトウェアを供給している（関連情報）。NVIDIAのデータセンター向けデータ処理ユニット（DPU）には、TEEに代表されるハードウェア対応セキュリティ機能が標準搭載されている（関連情報）。NVIDIAは、AWSとPETs領域でも連携している（関連情報）。

　参考までに、AWSは、英国バイオバンクやゲノミクスイングランドをレファレンスモデルとして、「Trusted Research Environment on AWS」をソリューション化しており、英国リージョン以外の地域でも利用可能である（関連情報）。

　本連載第116回）でEUのEHDSを取り上げたが、EHDS発効後6年目の2031年3月26日より、ゲノムデータ、臨床試験データ、バイオバンクのコホート研究データなどが、2次利用の対象に加わる予定である。英国はEU未加盟であるが、本連載第119回で取り上げたノルウェーやアイスランドと同様に、EHDSに向けたパイロットプロジェクトや、EUのR&D戦略に基づく「ホライズンヨーロッパ」などに積極的に参画している。

　英国の保健安全保障戦略上、迅速なデータ公開と透明性を重視した国際データ共有が公衆衛生政策の柱である反面、英国バイオバンクのデータ侵害インシデントを契機に、「データを動かす」モデルの限界が露呈したといえる。今後は、PETsを有効活用した「データを動かさず、コードを動かす」モデルを標準とするグローバル展開が、欧州そして世界における英国のプレゼンスを高める鍵を握ると言えそうだ。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara