グーグルによる臨床データの収集には大きな問題がある患者の個人情報やプライバシーは保護されるのか

　もちろん、法的問題をいつまでも脇に置いておくことはできない。

　グーグルとアセンションの提携合意により、アセンションの数百万人の患者の医療情報は、グーグルの社員の目にさらされる可能性が高い。これは「医療保険の相互運用性と説明責任に関する法律（HIPAA）」に違反しないのか。医療従事者はいつも、HIPAAは厳格な法律で、患者の個人情報を医療従事者同士はもとより、患者本人や家族にさえ見せることを禁じていると言うではないか――。

　だが、こうした評判に反して、HIPAAは非常に抜け穴が多い。このためグーグルとアセンションの弁護士は、今回の提携合意をサポートする十分な余地を見つけることができるだろう。たとえば、HIPAAが適用される医療提供者（いわゆる「対象エンティティ」）は、3つの目的のためならば、患者の同意なしでその医療情報を共有することができる。3つの目的とは、治療、支払い、運営だ。

　治療目的とは、臨床医は患者の同意を得なくても、治療に当たっている他の臨床医と、その患者に関する情報を交換できることを意味する。この柔軟性がなければ、医師は同じ患者を担当する医師たちと、その患者の利益のために話し合いをする能力を大きく制限される。また支払い目的とは、医療提供者が患者の医療情報を使って、保険会社の支払いを受けることを意味する。そして運営目的とは、医療提供者が患者の医療情報を使って、みずからの組織の運営上の重要なニーズ（たとえば提供するケアの質と安全性向上）に対処することを意味する。

　対象エンティティがサードパーティを使って、この3つの目的のいずれかを果たすとき、そのサードパーティは「ビジネスアソシエート」となり、HIPAAを遵守しなければならなくなる。

　グーグルがアセンションのために行うデータ管理活動は、アセンションのケアの質を高めるという運営ニーズを満たす可能性が十分ある。そうなると、グーグルはHIPAAが定める「ビジネスアソシエート」に該当し、患者の同意なしで患者の情報を共有することは、法的に問題がないことになる。HIPAAの監督当局である米国厚生省は、グーグルとアセンションの関係がHIPAAの要件を満たしているか調査しているわけだ。

　しかし、たとえその提携関係が法的には問題がないことが明らかになっても、未解決の重大な政策問題がある。HIPAAの起草者たちは、インターネットや、グーグルやアップルのような巨大ＩＴ企業、あるいは最強のセキュリティシステムも易々と破るらしいハッカーの出現を予見していなかった。

　紙のカルテを外部エンティティと共有することと、その電子版をクラウドに上げる（そこではサードパーティがどんなに努力しても、地球上のどこかから不正侵入される恐れがある）のとでは、まったく状況が異なる。もはやHIPAAでは、電子カルテ情報が適切に守られていると、患者を十分に安心させることはできない。

　医療機関とＩＴ企業の提携から生じる商業的利益を、誰が受け取るべきかという問題もある。

　こうした提携合意から生み出される知的財産（アルゴリズムやソフトウエア）は、個人を特定する情報を取り除いて、他の医療提供者や、医療製品（医薬品、医療機器、ヘルスプランなど）を開発・販売する企業に営利目的で販売される可能性が高い。だが究極的には、その利益は自分のデータがどのように使われるか知る由もない、無数の患者の医療情報から生み出されたものだ。彼らは、自分のデータが営利目的で使用されることに同意するか否かを選択する機会を、与えられるべきではないのか。また、その利益を小さな形でも受け取れるべきではないのか。

　このように、医療情報革命が個人と社会にもたらす恩恵を現実化するには、さまざまな問題に対処する必要がある。また、人間が歴史の転機を迎える際にはつきものといえる、相反するいくつもの利益と視点を調整する必要がある。

HBR.org原文：Why Google's Move into Patient Information Is a Big Deal, November 26, 2019.