5月末、日本では改正個人情報保護法の施行によって、個人情報を匿名化してビッグデータとして利用できるルールが確立した。医療情報だけはプライバシー性が高いとして別途、厚生労働省で新ルールを策定中である。しかし、この動きに注意を促す事件がノルウェーで勃発しているようだ。

同国南東部の医療機関を統括する「国営南東部保険局」が管理するデータについて、280万人分の患者情報が、外部の情報技術者にアクセス可能な状況に置かれていたことが明らかになった、という。実際に、患者情報が漏洩していたと確認できていないようだが、「漏洩した可能性がある」と、ノルウェーのマスコミは政府を糾弾している。

いきさつはこうだ。同局は、患者情報を管理するICTの運営を外部に任せたが、その過程で研修中のアジアや東欧のIT担当者たちに患者情報にアクセスする権限を与えてしまった。さらに110人に及ぶIT担当者は研修が終わった後にも、アクセスできる状態が続いていたという。

情報の内容について、ノルウェーのマスコミでは「出産、中絶、性病、精神的な問題、がん患者の医薬品情報など」が漏洩した可能性があると報道しているという。さらに担当していた研修生から判断して、「マレーシア、インド、ブルガリアなどのIT担当者を通じて漏れていた可能性がある」としている。

さらに、電子メールや書類の漏洩の可能性も心配されている。この期間、「国営南東部保険局」に所属していた医師などの医療関係者7万人以上のスタッフの電子メールやパソコン上での書類が、これらのIT担当者たちに、閲覧可能となっていたことが判明したという。

この報道は、システムに運営に参加した海外のIT研修者たちに患者情報にアクセスできる権限を与えてしまった、ということが事実で、実際に情報が漏洩したかどうかについてはこれまでの情報でははっきりしていない。無防備な状態に置いたということが非難されている。実際に被害が露見すれば、恐ろしいことになる。後は、110人のIT担当者の良識と倫理観に期待したいところだが、これはかなり困難だろう。

「性悪説」に立って防御を固めるのが現代社会である。共同体が小さく互いの顔が見える社会では、互いの監視の目が自然に働くので、道徳や倫理は高度に維持されるケースが多いが、共同体が拡張し、メンバーの顔が見えないネットワーク社会では、こうした相互規制が働きにくい。「性悪説」を基本にするのが当然の世界である。システム開発の現場、情報運用の現場では、厳しい「性悪説」に立って運用基準を守らなければならないだろう。

日本の個人情報取り扱いのルールに影響を与えないか、懸念が残る。

このノルウェーの事件を参考にして、システム開発者や運用担当者についての選定基準を厳しくする必要がある。特に外部委託、文化や価値観の違う外国人の起用には、十分な選考作業が必要だろう。

もう一つの方法は、情報を保管するファイルを「秘密分散処理」などの手法で安全な形に処理しておくことである。「秘密分散処理」の手法は理論は古いが、コンピューティングパワーなどの関係もあって、長い間、実用化されて来なかったが、ここ1、2年で日本の技術が急速に進展してきている。こうした新技術を思い切って採用することで、ノルウェーの事故の轍は踏まない、ということを確認し、日本の個人情報の匿名化、ビッグデータでの価値ある知識の抽出などを進めて欲しい。