2028年ロサンゼルス五輪は先進医療機器技術の万博になる!?：海外医療技術トレンド（112）（4/4 ページ）

本連載第100回で、2024年パリ夏季オリンピック・パラリンピック競技大会におけるAI戦略動向を取り上げたが、既に4年後の2028年ロサンゼルスオリンピック・パラリンピック大会に向けて、新たな動きが始まっている。

[笹原英司，MONOist]

次世代アスリートを担う子どものプライバシー保護策強化も重要課題

　加えて、両者のプライバシーポリシーに共通する特徴は「年齢制限」「子どものプライバシー」に代表される子どものプライバシー保護に関する規定である。オリンピック・パラリンピック大会の場合、個々の競技によって年齢制限が設けられているが、次世代アスリートをめざす子どもたちは、競技の枠を超えて重要なステークホルダーとなっている。

　米国の場合、FTCが、13歳未満の子どもを対象とした児童オンラインプライバシー保護法（COPPA）において、厳格な保護を要求している、過去の違反事案をみると、総額2億7500万米ドルの制裁金が科されたケースがある（関連情報）が、FTCは、2023年12月20日、さらなる強化を求めるCOPPA改正提案を公表している（関連情報）。

　このCOPPA改正提案の要点は以下の通りである。

• ターゲティング広告向けに別個のオプトインを要求する
• 個人情報の収集に関して、子どもの参加を要件とすることの禁止
• 内部オペレーションの例外に関するサポートの制限
• 子どもがオンラインに滞在するよう誘導することの制限
• Ed Techに関連する変更
• セーフハーバープログラムに関する責任を拡大する
• データセキュリティ要求事項を強化する
• データ保持に関する制限

　なお、本連載第54回で触れたように、2028年夏季オリンピック・パラリンピック大会の開催地ロサンゼルスのあるカリフォルニア州では、「カリフォルニア消費者プライバシー法（CCPA）」により、COPPAの規定に基づく13歳未満の子どもだけでなく13歳以上16歳未満の子どもについてもオプトイン規制の対象としている。その後カリフォルニア州議会には、オプトイン規制の対象年齢を18歳未満に統一する「子どものデータ保護法」提案が上程され、下院に続いて、上院が2024年8月29日に可決している（関連情報）、

　2028年ロサンゼルス夏季オリンピック・パラリンピック大会時期を想定して非医療機器／Non-SaMDを提供する企業は、最低限IOCおよびUSOPC双方と同等レベルのプライバシー保護策を認識した上で、米国連邦政府および各州のプライバシー規制に対応していく必要がある。

非医療機器／Non-SaMDはIoTサイバーセキュリティラベリングの対象に

　他方、サイバーセキュリティの観点から非医療機器／Non-SaMDをみると、本連載第98回および第106回で触れた消費者IoT（モノのインターネット）製品向け認証／ラベリングプログラム「U.S.サイバートラストマーク」への対応が急務となっている。

　米国連邦通信委員会（FCC）が策定した「IoT（Internet of Things）向けサイバーセキュリティラベリング」最終規則は、2024年8月29日に施行された（関連情報）。また、国立標準技術研究所（NIST）が策定した「製品開発サイバーセキュリティハンドブック：IoT製品製造業者向けの概念と考慮事項」も、2024年9月10日に最終版が公開されている（関連情報）。

　加えて、カリフォルニア州の場合、第54回で触れた「IoT機器セキュリティ法」（関連情報）も、非医療機器／Non-SaMDに適用される。IoT機器セキュリティ法では、接続された機器の製造業者に対して、合理的なセキュリティ機能または以下の全機能を備えるよう求めている。

• 機器の性質や機能に対して適切であるもの
• 機器が収集、保持、または転送する可能性がある情報に対して適切であるもの
• 機器およびその他のいかなる情報を、不正なアクセス、破壊、使用、修正、開示から保護するために、設計されているもの

　また、上記の3要件全てを満たすことを条件に、接続された機器がLAN外からのアクセスに対する認証機能を備えている場合、以下の要件のいずれかを満たせば、合理的なセキュリティ機能と見なすとしている。

• あらかじめ設定されたパスワードが、製造された機器ごとにユニークであること
• 機器への初回アクセス時にユーザーが新たな認証手段を生成しなければならないセキュリティ機能を備えていること

　カリフォルニア州以外では、オレゴン州が、独自のIoTセキュリティ法で同様の要求事項を設定している。

　なお日本では、経済産業省が2024年8月23日、IoT製品に対するセキュリティ適合性評価制度構築方針を公表し（関連情報）、2024年9月30日には、独立行政法人情報処理推進機構（IPA）が、「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の運用を2025年3月から開始することを公表している（関連情報）。日本国内では、情報通信ネットワーク産業協会（CIAJ）、デジタルライフ推進協会（DLPA）、電子情報技術産業協会（JEITA）、日本防犯設備協会（SSAJ）、ビジネス機械・情報システム産業協会（JBMIA）がJC-STARに賛同しており、国際間では、シンガポール、英国、米国、EUなどの規制当局との間で、相互承認に向けた交渉を行っているとしている。

　米国では、2028年ロサンゼルス夏季オリンピック・パラリンピック大会の他、2026年北米サッカーワールドカップ、2034年ソルトレークシティー冬季オリンピック・パラリンピック大会など、スポーツ界のビッグイベントが予定されており、AIや高性能半導体などの新技術を利用した非医療機器／Non-SaMDに対する期待も高まっている。その一方で、不安定な国際情勢やソーシャルメディアを介した誹謗中傷などの問題も拡大しており、各メーカーや開発者に対しては、デジタルイノベーションとITガバナンスのバランスをとった製品開発・運用ライフサイクルの構築が求められている。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara