NHS、Palantir 請負業者に患者 data_5iter.com への「無制限のアクセス」を許可

NHS イングランドは、パランティアを含む企業の外部スタッフに、主力データプラットフォームの一部のモジュールに取り組んでいる間、識別可能な患者データへの無制限のアクセスを許可しました。内部説明では、これに National Data Integration Tenant (NDIT) が関与していることが明らかになりました。これは、データが「仮名化」されて他のシステムに転送される前の、データの「データヘイブン」として定義されるモジュールです。

NDIT は Federated Data Platform (FDP) の一部です。 FDP は、NHS の散在するデータを統一システムに統合することを目的としています。 2023 年に、Palantir はプラットフォームを構築するために 3 億 3,000 万ポンド相当の契約を獲得しました。

この計画の下で、NHSイングランドは「管理者」の役割を創設することに同意した。準備書面では、この役割により「英国NHS以外のスタッフがNDITとそこに保存されている特定可能な患者情報に無制限にアクセスできる」ことが認められている。

Palantir の従業員に加えて、FDP プロジェクトに関与するコンサルティング会社の従業員もそのようなアクセスを受ける可能性があります。

この動きは、現在の慣例から大きく逸脱しています。以前は、NDIT にアクセスする必要がある人は誰でも、特定のデータセットに対する明示的なデータアクセス許可を申請する必要がありました。

4月にNHSデータ担当上級職員らが作成したブリーフィングノートでは、より大きな許可を与えることが「患者データ保護、適切なデータ使用、アクセス制御」に対する国民の信頼の喪失につながる可能性があると認めた。

当初、完全なアクセスは、セキュリティクリアランスを通過した英国NHS内部スタッフのみが利用できます。しかし準備書面では、「必要な独立したデータアクセス許可（CDA）を一つ一つ申請するのは煩雑すぎる」ため、社外従業員も同様の許可を要求していると指摘した。

会見ではさらに、「この問題はパランティア社だけが関係するものではないため、我々はこの問題を『NHSイングランド職員以外の職員』と呼んでいる。しかし現在、パランティア社とその従業員による患者データへのアクセス範囲について国民の関心と懸念が高まっている」と付け加えた。

この説明では、NDIT にアクセスできる外部管理者の数に上限を設定する必要があること、権限を限られた期間有効にし、定期的に見直す必要があることが示唆されています。

当局者らは、この提案が最近承認されたことを確認したが、そのような許可はごく少数の非NHS職員にのみ与えられることを強調した。

下院技術委員会の自由民主党委員であるマーティン・リグレー氏は、「データセキュリティに対するこの不用意な態度は、FDPプロジェクト全体がセキュリティを中核に据えて設計されていないことを示している。データプライバシーが第一の考慮事項としてみなされていないのではないかと国民が心配するのは当然だ」と述べた。

NHSイングランドは、データ訪問者の身元や訪問内容の開示を含む5つの「データに関する約束」を果たすことを約束した。

「いつでも誰がどのような識別可能な患者データにアクセスしたかを正確に把握することが最優先事項である」とブリーフィングノートはその取り組みについて警告している。「オープンアクセスが増えるほど、この目標を達成するのは難しくなります。」

NHSイングランドの広報担当者は、「NHSは厳格な患者データアクセス管理ポリシーを定め、コンプライアンスを確保するために定期的な監査を実施している。これには、中央データ収集プラットフォームの構築を支援するエンジニアの作業の監督も含まれる。このプラットフォームは、NHSの業務パフォーマンスを追跡し、患者の診断と治療サービスを最適化するために使用されている。すべての外部アクセス担当者は政府のセキュリティ審査に合格し、NHSイングランドのディレクター以上の承認を得なければならない。」と回答した。

パランティア社のFDP建設への関与は、同社が米国の国防および移民法執行分野で長年にわたって勤務してきたため、ますます物議を醸している。

共同創設者兼最高経営責任者（CEO）のアレックス・カープ氏はドナルド・トランプ氏の公的支持者である。 NHS 職員の中には、会社に対する倫理上の懸念から FDP プロジェクトへの参加を拒否した人もいます。

FDP の支持者は、患者の診断と治療の改善に役立つ待機リストや手術室のスケジュールなどの運用データを統合するその能力を賞賛しています。

パランティアの広報担当者は、「法規定によれば、当社はNHSとすべての顧客にとって『データ処理者』にすぎず、顧客は『データ管理者』である。これは、パランティアのソフトウェアは顧客の指示に厳密に従ってのみデータを処理できることを意味する。データの不正使用は違法であるだけでなく、技術的にも不可能である。なぜなら、NHSは洗練されたアクセス制御を実装しているからだ。」と述べた。