1.創薬バリューチェーンのガバナンス／リスク管理とリスクベースの考え方 2. 個人データ保護とサイバーセキュリティ 3. Precision Medicine実現に向けた ビッグデータ／IoTと個人データ保護 4. まとめ／Q&A

1. 欧米各国におけるヘルスケア個人情報の扱い
2015年8月7日
博士（医薬学） 笹原英司
特定非営利活動法人ヘルスケアクラウド研究会 理事
米国クラウドセキュリティアライアンス
HEALTH INFORMATION MANAGEMENT WORKING GROUP/
BIG DATA WORKING GROUP/MOBILE WORKING GROUP

2. AGENDA
1.創薬バリューチェーンのガバナンス／リスク
管理とリスクベースの考え方
2. 個人データ保護とサイバーセキュリティ
3. Precision Medicine実現に向けた
ビッグデータ／IoTと個人データ保護
4. まとめ／Q&A
2

3. 1. 創薬バリューチェーンのガバナンス／リスク
管理とリスクベースの考え方
3
1-1. 「プライバシー・バイ・デザイン」と
リスクベースの考え方
1-2. 創薬バリューチェーンのリスク認識
1-3. ISOマネジメントシステム規格の大改正と
リスクベース・アプローチ

4. 1-1. 「プライバシー・バイ・デザイン」と
リスクベースの考え方（1）
カナダ・オンタリオ州情報・プライバシー・コミッショナーのアン・
カブキアン博士が提唱 ⇒ EU諸国、北米、アジアへと拡大
プライバシー情報を扱うあらゆる側面において、プライバシ
ー情報が適切に取り扱われる環境をあらかじめ作り込もうと
いうコンセプト
（出典：「プライバシー・バイ・デザイン」（日経BP社））
プライバシー・バイ・デザインの適用範囲
•技術（例．ICT）
•ビジネス慣行（例.事業活動）
•物理設計（例.対象サービス、ネットワークインフラの設計）
4

5. 1-1. 「プライバシー・バイ・デザイン」と
リスクベースの考え方（2）
カナダ・オンタリオ州情報・プライバシー・コミッショナー
「Privacy by Design and User Interfaces: Emerging Design
Criteria – Keep it User-Centric」（2012年6月）
文脈（Context）
認知度（Awareness）
発見可能性（Discoverability）
理解度（Comprehension）
日本のマイナンバー制度で、プライバシー・バイ・デザインの
考え方に基づく「特定個人情報保護評価」のしくみを導入
個人に関わるデータを取り扱う情報システムの開発におい
て、事前にプライバシーへの影響を評価し、発見されたリスク
を低減または回避する取組 ＊後付けはアウト！
5

6. 1-2. 創薬バリューチェーンのリスク認識（1）
創薬バリューチェーンと事業リスクの関係
下流ほど、事業化・商用化のリスクは低減される
基礎研究～臨床開発の「死の谷」を克服する起爆剤として
オープンイノベーションが世界の潮流に
6
医
療
機
関
患
者
・
家
族

7. 1-2. 創薬バリューチェーンのリスク認識（2）
Big Pharma Vs. Growth Pharma
“Crowdfunding drug development: the state of play
in oncology and rare diseases.”
Dragojlovic N, Lynd LD.
Drug Discov Today. 2014 Jun 25. pii: S1359-6446(14)00254-2. doi:
10.1016/j.drudis.2014.06.019. [Epub ahead of print] Review.
PMID: 24973645 [PubMed - as supplied by publisher]
http://www.ncbi.nlm.nih.gov/pubmed/24973645
“Financing drug discovery for orphan diseases.”
Fagnan DE, Gromatzky AA, Stein RM, Fernandez JM, Lo AW.
Drug Discov Today. 2014 May;19(5):533-8. doi: 10.1016/j.drudis.2013.11.009. Epub
2013 Nov 20.
PMID: 24269746 [PubMed - in process]
http://www.ncbi.nlm.nih.gov/pubmed/24269746
7

8. 1-2. 創薬バリューチェーンのリスク認識（3）
創薬バリューチェーンとセキュリティ／プライバシーの関係
下流ほど、個人情報とステークホルダーが増えて
潜在的リスクが高まる
⇔超上流工程での作り込みが「プライバシー・バイ・デザイン」
8
医
療
機
関
患
者
・
家
族
プライバシー
・バイ・
デザイン

9. 1-3. ISOマネジメントシステム規格の大改正と
リスクベース・アプローチ
情報セキュリティマネジメントシステム規格
「ISO/IEC 27001:2013」
リスクマネジメントシステム規格「ISO 31000/JIS Q 31000」に準
拠したリスクベース・アプローチの適用
・リスク＝期待されている結果に対する不確かさの影響
（「好ましい方向」と「好ましくない方向」）
ICTサプライチェーンに関する管理策
・部門や組織の枠を超えたエコシステムでの全体最適化
ISOマネジメントシステム規格に、リスクベース・アプローチが
順次適用される セクター別マネジメント規格にも反映される
品質マネジメントシステム規格「ISO 9001:2015」
環境マネジメントシステム規格「ISO 14001:2015」 他
9

10. 2. 個人データ保護とサイバーセキュリティ
10
2-1. 米国の個人データ保護動向
2-2. EUの個人データ保護動向
2-3. 米国の情報漏洩事例に見る
サイバーセキュリティの課題
2-4. サイバーセキュリティから見た個人データ保護

11. 2-1. 米国の個人データ保護動向（1）
米国の個人データの捉え方
出典：米国プライバシー権利章典（2012年）
プライバシー権利章典は、個人データの商業利用に適
用される。この用語（個人データ）は、特定の個人に連結
可能な全てのデータをいい、集約されたデータを含む。
個人データは、特定のコンピュータその他のデバイスに
連結するデータも含みうる。例えば、利用記録を作成す
るために使われるスマートフォンや家庭のコンピュータの
識別子は個人データである。
11

12. 2-1. 米国の個人データ保護動向（2）
米国の個人データ保護／ビッグデータ／IoT動向
12
年月 機関名 内容
2012年2月 大統領行政府
「ネットワーク世界における消費者情報プライバシー：国際的デジタル
経済におけるプライバシー保護と技術革新の促進」を公表
2012年3月
連邦取引委員
会(FTC)
「急速に変化する時代における消費者プライバシーの保護」を公表
2012年3月 大統領行政府 「ビッグデータ研究開発イニシアティブ」を公表
2013年6月
国立標準技術
研究所（NIST）
NISTビッグデータワーキンググループ（NBD-WG）のキックオフミーティ
ングを開催
2013年7月 FTC
13歳未満の子どもを対象とした児童オンラインプライバシー保護法
（COPPA）の改正規則を施行
2013年11月 FTC
ワークショップ「Internet of Things：接続された世界におけるプライバ
シーとセキュリティ」を開催
2014年5月 大統領行政府 「ビッグデータ: 機会を捉え、価値を保護する」を公表
2014年5月 FTC 「データブローカー：透明性と説明責任を求める」を公表

13. 2-1. 米国の個人データ保護動向（3）
米国の個人データ保護／ビッグデータ／IoT動向（2）
13
年月 機関名 内容
2014年8月 NIST
IoTに関連してNISTサイバーフィジカルシステム公開ワーキンググルー
プ（CPS-PWG）の第1回会議を開催
2014年9月 FTC ワークショップ「ビッグデータ：包含、排除いずれの手段か?」 を開催
2014年10月 NIST
IEEEビッグデータカンファレンスにて、NISTビッグデータパブリックワー
キンググループ（NBD-PWG）のワークショップを開催
2015年1月 FTC
「Internet of Things：接続された世界におけるプライバシーとセキュリ
ティ」を公表
2015年3月 NIST
IoTに関連して「時間認識アプリケーション、コンピューター、通信システ
ム（TAACCS）」を公表
2015年3月 FTC
プライバシー、データセキュリティ、スマートホーム、ビッグデータ、IoTな
ど次世代の消費者保護を目的とした技術研究・調査室（OTRI）を新設
2015年4月 NIST
NISTビッグデータパブリックワーキンググループ（NBD-PWG）が「ビッグ
データ相互運用性フレームワーク・バージョン1.0」草案を公表
2015年7月 大統領行政府
「プレシジョンメディシン・イニシアティブ：プライバシーと信頼の原則提
案」を公表

14. 2-2. EUの個人データ保護動向（1）
EUの個人データの捉え方
（出典：EUデータ保護規則提案、2015年6月）
「個人データ」とは、あるデータ主体に関する全ての情
報を意味する。「データ主体」とは、管理者その他の自然
人又は法人によって合理的な範囲で使用される手段、特
に、識別番号、位置データ、オンライン識別子又は当該
者の身体的、生理的、遺伝的、精神的、経済的、文化的
若しくは社会的な識別性に関連する一つ若しくはそれ以
上の固有の要素により、直接的又は間接的に識別され
た自然人を意味する。
14
指令：条文の中で命じられた結果のみ加盟国を拘束し、達成のための手段と方法は加盟国に任される
規則：採択されると加盟国内の批准手続を経ずに、そのまま国内法体系の一部となる

15. 2-2. EUの個人データ保護動向（2）
EUの個人データ保護／ビッグデータ／IoT動向
15
年月 機関名 内容
2009年6月 欧州委員会 RFIDから医療、環境・エネルギーなど様々な分野に対象を拡張
した「Internet of Things行動計画」を公表
2010年4月 欧州ネットワーク
情報セキュリティ
庁（ENISA）
飛行機の旅行をシナリオに用いたIoTおよびRFIDのリスクに関
する評価結果を公表
2012年1月 欧州委員会 プライバシーに関わるEUデータ保護指令改正案を公表
2013年10月 欧州議会 市民的自由・司法・内務（LIBE）委員会が、EUデータ保護指令
改正案の修正案を可決
2014年3月 欧州議会 LIBE委員会の修正案を反映させたEUデータ保護指令改正案
およびEU決議案を可決
2014年9月 データ保護指令
第29条作業部会
「ビッグデータの発展の個人データ保護への影響に関する声
明」を採択
2014年9月 データ保護指令
第29条作業部会
「近年のIoTの発展に関する意見書」を採択

16. 2-2. EUの個人データ保護動向（3）
EUの個人データ保護／ビッグデータ／IoT動向（2）
16
年月 機関名 内容
2015年1月 欧州委員会 2015年欧州データ保護デーを開催
2015年3月 データ保護指令第
29条作業部会
欧州委員会の要請を受けて「アプリケーションとデバイスに
おけるヘルスデータ」を公表
2015年4月 欧州委員会 ファクトシート「EUデータ保護改革とビッグデータ」を公表
2015年5月 欧州委員会 EU域内デジタルマーケットの障壁撤廃を目指す「欧州デジ
タル単一市場戦略」を公表
2015年5月 欧州データ保護監
視官局（EDPS）
「モバイルヘルスに関する意見書」を公表
2015年6月 閣僚理事会 司法理事会がEUデータ保護指令改正案を承認し、EUデータ
保護規則提案に暫定合意
2015年6月 欧州委員会、欧州議
会、閣僚理事会
EUデータ保護規則提案に係る三者対話を開始
2015年7月 英国政府
（イノベートUK）
ケンブリッジ大学を本拠地とする研究ネットワーク「プレシ
ジョン・メディシン・カタパルト」を構築する計画を公表

17. 2-2. EUの個人データ保護動向（4）
EUデータ保護規則提案（2015年6月）のポイント
EU全域に適用される単一の法規制の設定による
効率化
「忘れ去られる権利」を始めとする個人データ保護
の権利の強化・追加
ヨーロッパの土壌にはヨーロッパ法を適用
独立したデータ保護機関による監督権限の強化
企業や個人が一国の監督機関に対応すれば済む
「ワンストップショップ」の導入
17

18. 2-3. 米国の情報漏洩事例に見る
サイバーセキュリティの課題（1）
米国健康医療分野の主な情報漏えい事例
18
企業・団体名 漏洩件数 漏洩の原因 漏洩した情報 外部委託
先関与
Anthem
（医療保険者）
8,000万件 外部からのサイバー
攻撃
名前、誕生日、医療ID、社会保障番号、住
所、メールアドレス、雇用情報、収入データ
なし
TRICARE
（政府機関）
490万件 外部委託先のバック
アップテープ盗難
社会保障番号、名前、住所、電話番号、臨
床ノート、臨床検査、処方箋
あり
Community
Health Systems
（医療機関）
450万件 外部からのサイバー
攻撃
名前、住所、誕生日、電話番号、社会保障
番号
なし
UCLA Health
System
（医療機関）
450万件 外部からのサイバー
攻撃
名前、住所、生年月日、社会保障番号、医
療データ（症状、処方薬、手順、検査結果
等）
なし
Advocate
Medical Group
（医療機関）
403万件 暗号化していないPC
の盗難
名前、住所、生年月日、社会保障番号、診
断、電子カルテ番号、医療サービスコード、
医療保険情報
なし

19. 2-3. 米国の情報漏洩事例に見る
サイバーセキュリティの課題（2）
米国の病院チェーン（NYSE上場企業）
Community Health Systemsのケース（2014年8月）
2014年8月、不正アクセスにより、患者約450万人の個人情
報が流出した可能性があることを公表
オープンソースのSSL／TLS実装ライブラリ「OpenSSL」の脆弱
性を突いた海外からのサイバー攻撃が発端となったことが
判明
ニューヨーク証券取引所（NYSE）の上場企業である
証券取引委員会（SEC）：米国企業改革法（SOX）に基づき、
財務報告に係る情報開示や内部統制を義務付ける
19

20. 2-3. 米国の情報漏洩事例に見る
サイバーセキュリティの課題（3）
海外からのサイバー攻撃が発端となった
テロ対策を所管する国土安全保障省（DHS）の調査
サイバー犯罪を所管する連邦捜査局（FBI） の調査
患者の保護対象保健情報（PHI）が流出
HIPAAを所管する保健福祉省（HHS）への報告義務
顧客らが損害賠償請求の集団訴訟を提起
連邦民事訴訟規則（FRCP）に基づく電子証拠開示（eディス
カバリー）への対応
20
財務コンプラ
イアンス
・US-SOX
サイバーテロ
対策
・愛国者法
（現米国
自由法）
医療コンプラ
イアンス
・HIPAA
法務コンプラ
イアンス
・eディスカバ
リー

21. 2-3. 米国の情報漏洩事例に見る
サイバーセキュリティの課題(4)
（参考）情報セキュリティ／コンプライアンス責任者の経歴
Director, Security and Compliance（事案発覚当時）
Manager of Security Strategy and Compliance / Threat and
Vulnerability Management
Threat and Vulnerability Management team lead, and lead for
the Computer Security Incident Response Team (CSIRT)
U.S. Army Reserves
IT Manager, Music Record Distributors
（保有資格） CCNP、CCNA、MCSE NT 4.0、CWNA
＊米国の主要医療機関には、最高情報セキュリティ責任者
（CISO）や、コンピューターセキュリティインシデント対策センタ
ー（CSIRT）が設置されている
21

22. 2-3. 米国の情報漏洩事例に見る
サイバーセキュリティの課題(5)
医療ロボットのサイバーセキュリティ脆弱性問題
米国ワシントン大学研究班の発表（2015年4月）
「To Make a Robot Secure: An Experimental Analysis of Cyber
Security Threats Against Teleoperated Surgical Robotics」
（http://arxiv.org/pdf/1504.04339v1.pdf）
22

23. 2-3. 米国の情報漏洩事例に見る
サイバーセキュリティの課題(6)
輸血ポンプのサイバーセキュリティ脆弱性問題
発端：独立研究者ビリー・ライオス氏が、ホスピーラ社製輸血
ポンプシステムのセキュリティ脆弱性を指摘していた
23
2015年7月21日
国土安全保障省（DHS）が
「Advisory (ICSA-15-174-01)
Hospira Symbiq Infusion System
Vulnerability」を公表
2015年7月31日
食品医薬品局（FDA）が「Symbiq
Infusion System by Hospira: FDA
Safety Communication - Cybersecurity
Vulnerabilities」を公表

24. 2-4. サイバーセキュリティと個人データ保護 (1)
米国国立標準技術研究所（NIST）
「重要インフラのサイバーセキュリティを向上させるた
めのフレームワーク 1.0版（原題：Framework for
Improving Critical Infrastructure Cybersecurity Version
1.0）」（2014年2月）より
（https://www.ipa.go.jp/files/000038957.pdf）
「サイバーセキュリティ」
＝攻撃を防止、検知し、攻撃に対応することに
より情報を保護するプロセス
24

25. 2-4. サイバーセキュリティと個人データ保護 (2)
サイバーセキュリティフレームワークの仕組みと運用
フレームワークインプレメンテーション
25
出典：NIST 「Framework for Improving Critical Infrastructure Cybersecurity Version 1.0」（2014年2月）
仕組み
運用

26. 2-4. サイバーセキュリティと個人データ保護 (3)
サイバーセキュリティフレームワークに組み込まれた
プライバシー／個人データ保護対策
サイバーセキュリティインシデントに関連する個人情報を含む資
料を収集、開示、保持する際には、データを最小限に抑える
サイバーセキュリティ対策のために収集された情報の、サイバー
セキュリティ対策以外の目的での使用を制限する
特定のサイバーセキュリティ対策の透明性を確保する
個人情報をサイバーセキュリティ対策に使用することに関して、
個人の同意を得て、悪影響が及んだ場合の救済措置を用意する
データの質、完全性、セキュリティを確保する
説明責任と監査が行われるようにする
26

27. 3. Precision Medicine実現に向けた
ビッグデータ／IoTと個人データ保護
27
3-1. NISTビッグデータ相互運用性フレームワーク
V1草案と個人データ保護対策
3-2. NISTビッグデータ相互運用性フレームワークの
ユースケース事例（Hadoop）
3-3. Precision Medicineの
セキュリティ／プライバシー対策

28. 3-1. NISTビッグデータ相互運用性フレームワーク
V1草案と個人データ保護対策（1）
NISTビッグデータパブリックワーキンググループ（NBD-PWG）
Co-Chairs： Dr. Chaitan Baru (University of California San Diego)
Dr. Robert Marcus (ET-Strategies)
Mr. Wo Chang, (NIST Information Technology Laboratory (ITL))
V1草案執筆にCloud Security Alliance Big Data Working Groupメンバーが
参画
ビッグデータの定義：
従来のデータアーキテクチャでは、新しいデータセットを効果
的に処理できないことから生まれた概念
容量（Volume）
種類（Variety）
速度（Velocity）
変動性（Variability）
28

29. 3-1. NISTビッグデータ相互運用性フレームワーク
V1草案と個人データ保護対策（2）
V1草案の構成
29
表題 内容
M0392: Draft SP 15001 Volume 1: Definitions 定義
M0393: Draft SP 15002 Volume 2: Taxonomies 分類
M0394: Draft SP 15003 Volume 3: Use Case & Requirements ユースケースと要求事項
M0395: Draft SP 15004 Volume 4: Security and Privacy セキュリティとプライバシー
M0396: Draft SP 15005 Volume 5: Architectures White
Paper Survey
アーキテクチャ白書調査
M0397: Draft SP 15006 Volume 6: Reference Architecture レファレンスアーキテクチャ
M0398: Draft SP 15007 Volume 7: Standards Roadmap 標準規格ロードマップ

30. 3-1. NISTビッグデータ相互運用性フレームワーク
V1草案と個人データ保護対策（3）
NISTビッグデータ・リファレンス・アーキテクチャの全体像
30
出典：NIST Big Data interoperability Framework Version 1.0 Working Drafts. (2015年4月)
IoT IoT
データソース アウトカム

31. 3-1. NISTビッグデータ相互運用性フレームワーク
V1草案と個人データ保護対策（4）
NISTビッグデータ・リファレンス・アーキテクチャの構成要素
31
構成要素 活動内容（例）
システム
オーケストレーター
システムが充足すべき要求事項の橋渡し役となり、
データシステムの要件、設計、モニタリング機能を提供
する
データ
プロバイダー
様々なソースから抽象データ型を生成し、異なる機能イ
ンタフェースで利用できるような形で提供する
ビッグデータ
アプリケーション
プロバイダー
システムオーケストレーターが設定した要求事項を充
足するために、データライフサイクルの操作を実行する
ビッグデータ
フレームワーク
プロバイダー
特定のアプリケーションを開発するビッグデータ・アプリ
ケーション・プロバイダーに、インフラストラクチャ・フ
レームワーク、データプラットフォーム、処理フレーム
ワークを提供する
IoT

32. 3-1. NISTビッグデータ相互運用性フレームワーク
V1草案と個人データ保護対策（5）
NISTビッグデータ・リファレンス・アーキテクチャの構成要素
32
構成要素 活動内容（例）
ビッグデータ
フレームワーク
プロバイダー
特定のアプリケーションを開発するビッグデータ・アプリケー
ション・プロバイダーに、インフラストラクチャ・フレームワーク、
データプラットフォーム、処理フレームワークを提供する
データ
コンシューマー
ビッグデータの出力値を受け取る
＊データ・プロバイダーがビッグデータ・アプリケーション・プ
ロバイダ－に提供する機能と同じものを受け取ることが多い
マネジメント
ファブリック
ビッグデータ環境に関連するシステムおよびビッグデータの
ライフサイクルを管理する
セキュリティ／
プライバシー
ファブリック
ポリシー、要求事項、監査でシステム・オーケストレーターと
連携し、開発、導入、運用でビッグデータ・アプリケーション・
プロバイダーおよびビッグデータ・フレームワーク・プロバイ
ダーと相互連携する
IoT

33. 3-1. NISTビッグデータ相互運用性フレームワーク
V1草案と個人データ保護対策（6）
ビッグデータのセキュリティ／プライバシーにおける十大脅威
33
出典：Cloud Security Alliance Big Data Working Group「Expanded Top 10 Big Data Security and Privacy Challenges」（2013年4月）
を基に、日本クラウドセキュリティアライアンス・ビッグデータユーザーワーキンググループが作成（2014年5月）

34. 3-2. NISTビッグデータ相互運用性フレームワークの
ユースケース事例（1）
健康医療／ライフサイエンスのユースケース
34
業界 ユースケース
健康
医療
／ラ
イフ
サイ
エン
ス（10
件）
・Electronic Medical Record (EMR) Data
・Pathology Imaging/digital pathology
・Computational Bioimaging
・Genomic Measurements
・Comparative analysis for metagenomes and genomes
・Individualized Diabetes Management
・Statistical Relational Artificial Intelligence for Health Care
・World Population Scale Epidemiological Study
・Social Contagion Modeling for Planning
・Biodiversity and LifeWatch

35. 3-2. NISTビッグデータ相互運用性フレームワークの
ユースケース事例（2）
健康医療／ライフサイエンスのユースケース
病理診断画像化／デジタル病理診断
35
出典：NIST Big Data interoperability Framework Version 1.0 Working Drafts. (2015年4月)

36. 3-2. NISTビッグデータ相互運用性フレームワークの
ユースケース事例（3）
（参考）Hadoopによる大容量データ分散処理
36
出典：Cloud Security Alliance Big Data Working Group「Big Data Analytics for
Security Intelligence」 （2013年9月）

37. 3-2. NISTビッグデータ相互運用性フレームワークの
ユースケース事例（4）
クラウド環境で稼働するHadoopクラスタのセキュリティ監視／
分析をリアルタイムで行う際の留意点
37
留意項目 具体的な例 NISTフレームワーク
での役割／ロール
パ ブ リ ックク
ラ ウ ド の セ
キュリティ
クラウドのエコシステムを構成するサーバー、
ストレージ、ネットワークのセキュリティ
ビッグデータ
フレームワーク
プロバイダー
Hadoop ク ラ
スタのセキュ
リティ
ノードのセキュリティ、ノードの相互接続、ノー
ドの保存データのセキュリティ
ビッグデータ
フレームワーク
プロバイダー
モニタリング
ア プ リ ケ ー
シ ョ ン の セ
キュリティ
モニタリングする相互関係のルール、セキュ
アコーディング
ビッグデータ
アプリケーション
プロバイダー
データの入力
ソ ー ス の セ
キュリティ
ソース（デバイス、センサーなど）からのデー
タ収集のセキュア化、アクセスログ／メタデー
タの生成／管理、アクセス権限のルール
データ
プロバイダー

38. 3-3. Precision Medicineの
セキュリティ／プライバシー対策（1）
米国政府のPrecision Medicine Initiative（2015年1月）
個別化された治療法の開発に向けて、個人、研究者、医療機
関による協働を強化するような研究、技術、政策を通して、医
療の新たな時代を可能にする
より大規模で優れたがん治療
自発的な参加による全米規模の研究コホート設置
プライバシー保護へのコミットメント
法規制の近代化
官民連携パートナーシップ（PPP）
38

39. 3-3. Precision Medicineの
セキュリティ／プライバシー対策（2）
米国政府の2015年度予算案における主要施策
39
行政機関および
予算規模
施策の概要
国立衛生研究所（NIH）
（1億3000万米ドル）
健康と疾病に対する理解の促進と、新たな研究方法
の基盤づくりを目的にとして、100万人以上のボラン
ティアによる研究コホートを確立する
国立がん研究所（NCI）
（7000万米ドル）
がん発現をもたらすゲノムの特定によって、効果的な
がん治療アプローチの開発に向けた取組を拡充する
食品医薬品局（FDA）
（1000万米ドル）
プレシジョンメディシンのイノベーションを促進し、公
共福祉を保護する規制構造を支援するために、高品
質のデータベースを開発する
国家医療IT調整室
（ONC）（500万米ドル）
プライバシーに配慮しつつ、異なるシステム間の安全
なデータ共有を可能にする相互運用性の標準と要件
を開発する

40. 3-3. Precision Medicineの
セキュリティ／プライバシー対策（3）
米国政府の「Precision Medicine Initiative: Proposed Privacy
and Trust Principles」（2015年7月）
～パブリックコメントの募集を開始
動的、包括的なガバナンス構造の創造
透明性による信頼と説明責任の構築
参加者の選択の尊重
意味のあるエンゲージメントによる相互作用の確立
責任のあるデータ共有、アクセス、利用
データの品質と完全性の維持
堅牢なデータセキュリティフレームワークの構築
40

41. 4. まとめ／Q&A
41
創薬バリューチェーンの上流と下流では、事業リスク
やセキュリティ／プライバシーのリスクが異なる
リスクベース・アプローチやプライバシー・バイ・デザイ
ンでは、超上流工程における事前リスク評価が要
プライバシー／個人データの捉え方に関して、米国や
EUは日本よりも範囲が広いので、注意が必要
米国もEUも、個人データ保護／サイバーセキュリティ
強化政策と同時並行で、イノベーション創出推進策を
実施している（アクセルとブレーキのバランス）
包括的なフレームワークを押さえることが標準化の鍵