最新動向/市場予測

英国保健・公的介護省がNHS患者データ保護ガイダンス草案を公表

【第173号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2023年1月23日、英国保健・公的介護省(DHSC)は、「NHSイングランドの患者データ保護に関するガイダンス草案」を公表しました。

第173号 2023.2.8公開

「NHSイングランドの患者データ保護に関するガイダンス草案」は、2023年保健・公的介護情報センター規則に基づき、NHSデジタルのNHSイングランドへの統合(2023年2月1日付)に合わせて、NHSイングランドが、NHSおよび成人向け公的介護サービスから収集した市民のデータについて、安全で有効な番人として活動するよう保証することを目的としています。

本ガイダンス草案は、以下のようなデータを対象としています。

  • 個人を識別するデータ
  • (1)非識別化データおよび (2)データ主体の再識別化を可能にするその他のデータまたは仮名化の鍵の双方を保有する組織(NHSイングランドを含む)で、その後に非識別化または仮名化される個人を識別するデータ

個人データについては、英国一般データ保護規則(UK GDPR)の定義を準用し、従来NHSデジタルが転送データの機能に関して管理者(Controller)の役割を果たしていたすべての個人データについて、NHSイングランドが管理者となるとしています。

ガイダンス草案の構成は以下の通りです。

  • イントロダクションとスコープ
  • データの安全な避難所
  • ガバナンス、精査、説明責任
  • 独立した助言
  • データへの内部アクセスのための手順
  • ステークホルダー・エンゲージメント
  • 技術的対策と制御
  • NHSイングランドに代わってデータを処理するサードパーティとの調整
  • 透明性と報告

サイバーセキュリティの観点から、同ガイダンス草案をみると、「ガバナンス、精査、説明責任」の章で、以下のようなガバナンス施策を挙げています。

  • 内部監査
  • 外部監査
  • 内部のセキュリティと情報ガバナンスの保証
  • 抽出検査
  • 社内取締役、社外取締役または依頼された取締役会による深掘り(Deep Dive)、特定の課題に関する報告と精査の要求
  • サードパーティのアクセスとデータ共有の整備に関する監査
  • 独立した助言を得る

ガバナンスに対する組織的責任に関連して、セキュリティやIT運用情報リスクを含む情報リスクが適切に管理・低減されていることを保証するために、上級情報リスクオーナー (SIRO)に対し、適切な説明責任や保証の整備を導入するよう求めています。

また、NHSイングランドに対し、以下のような役割について責任を明確に設定し、データ関連法に準拠して活動することを保証するよう求めています。

  • NHSイングランドの上級情報リスクオフィサー
    - 組織に渡るすべての情報リスクを管理する責任を負う
  • 情報保護監視人(Caldicott Guardian)
  • データ保護オフィサー(DPO)
  • チーフインフォメーションセキュリティオフィサー(CISO)

次に「独立した助言」の章では、独立した助言を得るためのプロセスおよび運用手順の整備に関連して、以下のような整備策を挙げています。

  • データ保護やデータセキュリティの専門知識を持ったスペシャリストを有する関連委員会や小委員会にメンバーを指名する
  • スペシャリストやエキスパートから独立した助言を得る

そして、データ諮問グループに対し、商用契約の標準的なデータ保護・セキュリティの見地など、標準的なデータ共有・データ処理同意書、契約条項・条件、保護策に関する助言をNHSイングランドに提供するよう求めています。

さらに「技術的対策と制御」の章では、NHSイングランドに対し、以下のような対策を求めています。

  • 識別可能データや非識別化データ向けに、分離した技術的データ処理環境を維持する
  • 識別可能なデータを保護するために、プライバシー強化技術を利用する
  • 非識別化データ処理環境における内部分析を実行する
  • 識別可能なデータ環境から識別不可能な環境へのデータ移行に渡って、また再識別化プロセスに渡って、適切な技術的・組織的なセキュリティ制御と保証を確実なものにする(仮名化キーへのアクセスおよび利用に関する適正な制御と監査を含む)

最後に「透明性と報告」では、NHSイングランドに対して、上記の取組みに関する年次報告書をDHSCおよび英国議会に提出するよう求めています。

なおDHSCは、NHSデジタルからNHSイングランドへの正式移管を踏まえて、最終版ガイダンスを公表する予定です。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・2021年10月1日の英国保健安全保障庁(UKHSA)発足に合わせて、イングランド公衆衛生庁が所管してきた全国がん登録・分析サービス(NCRAS)が、NHSイングランド傘下のNHSデジタルに移管された。今回のNHSイングランドによるNHSデジタルの統合後は、NHSイングランドが英国GDPR上のデータコントローラーとしての役割を担い、がん登録情報の匿名化管理、オプトアウト手続窓口の運営などを行うことになる。NCRASのようなナショナルデータベース(NDB)向けに1次利用データを提供する医療機関は、2次利用窓口側の組織変更が1次利用組織側のコンセント管理に係るポリシーや業務プロセスに及ぼす影響などについて確認し、必要に応じて、影響を受ける患者・家族とのコミュニケーションを図る仕組みを整備する必要がある。
 

医療機器メーカー/医療品メーカー

・臨床医療機関から収集された保健医療データを研究目的で2次利用するメーカーは、データを管理する2次利用窓口側の組織変更が、メーカー側のデータマネジメントに係るポリシーや業務プロセスに及ぼす影響などについて確認し、自社の保健医療データ利用が適正であることを患者や医療機関に説明できるような仕組を構築・維持する必要がある。
 

サプライヤー

・保健医療データの2次利用に関連するITシステムの開発・運用を受託するパートナー/サプライヤーは、委託元となるデータコントローラー側の組織変更が、データプロセッサー側のデータマネジメントに係るポリシーや業務プロセスに及ぼす影響などについて確認し、自社のサプライチェーンリスク管理が適正であることを各ステークフォルダーに説明できるような仕組を構築・維持する必要がある。

本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?