50万人の英国ボランティアの医療データがAlibabaで販売されている

50万人の英国人がん治療への協力に登録しました。その医療データはAlibabaで販売される羽目になりました。

UK Biobank慈善機関は、50万人の英国市民の医療データが中国電子商取引サイトAlibabaで販売されていることに関する事件について、英国政府に通知しました。

国家データ保護官のニコラ・バーン博士は声明の中で次のように述べています:

「医学研究を通じて他者のために健康データを気前よく共有する人々は、それが安全に保たれ、問題が生じた場合には説明責任があることを当然のことながら期待しています。」

当局者は、研究者が正当な契約の下でデータをダウンロードしたと述べましたが、Alibabaに現れたという事実は、「承認された」アクセスがいかに公開されてしまう可能性があるかを示しています。

UK Biobankは、2006年から2010年の間に採用されたボランティアからの1500万以上の生物学的サンプルと詳細な健康記録を保有しており、世界中の研究者がそれを使用してがん、認知症、糖尿病、およびその他の慢性疾患を研究しています。

UK Biobankは通常、データへのアクセスを許可する前に、厳選された大学および民間企業と契約を結びますが、調査官はAlibabaのリスティングを3つの研究機関まで追跡しました。UK Biobankはそれらのアクセスを取り消し、セキュリティ管理を強化している間、新しいデータアクセスを一時停止しました。

少なくとも1つのリスティングには、すべての50万人のボランティアのデータが含まれていたと報告されており、Alibabaと中国当局は誰かが販売を確認する前に広告を削除しました。

このデータセットはUK Biobankの長期にわたる研究コホートから取得され、遺伝子配列、血液サンプル、医療画像、および世界的な健康研究に使用される詳細なライフスタイル情報を含みます。

UK Biobankは、データが「識別を削除」されていたことを強調しており、つまり名前、住所、またはNHS番号を含んでいなかったということです。しかし、性別、年齢、生年月日、社会経済的指標、ライフスタイルの詳細、および健康測定値などの詳細な人口統計をまだ含んでいました。このようなデータは、他の公開記録または商業記録と相互参照することで、個人に再びリンクされることができることを繰り返し見てきました。

なぜ中国が関心を持つのか

米国諜報機関、政策報告書、および学術的著作は一貫した画像を描きます:中国は、大規模で多様な人間ゲノムおよび健康データセットを経済およびセキュリティの両方の理由から戦略的リソースとして扱っています。

米国国家反諜報・セキュリティセンター(NCSC)は、中華人民共和国がバルク医療およびゲノムデータを、そのバイオテクノロジー、AI、および精密医学産業を推進するための「戦略的商品」として見なし、国家ゲノミクスおよび精密医学イニシアチブに数十億ドルを投資していることを明示的に述べています。

非中国人口からの大規模なデータセットは、AIモデルの構築と中国の医薬品およびバイオテクノロジーの世界的な商業競争力の向上にとって特に価値があります。

攻撃者または外国の諜報機関の観点からは、UK Biobankは「王冠の宝石」資産です:それは厳選されており、高品質で、人口規模であり、ランダムな違反ダンプよりもはるかに有用です。そして、遺伝子データは不変であるため(パスワードとは異なり、置き換えることができません)、いかなる妥協も非常に長期の諜報的有用性を持ちます。

昨年、The Guardianは、成功したUK Biobankアクセス申請の5つに1つが中国のエンティティから来たと報告しました。これには、中国の主力ゲノミクス企業のBGIを含み、その後、少数民族の監視における役割に関する懸念のため、米国エンティティリストに掲載されました。

中国は単に好奇心のためにDNAを備蓄しているわけではありません。敵だけでなく、自国民もカバーする世界的なゲノム地図を構築しています。

あなたのゲノムデータ

遺伝子データが悪い手に落ちることについて大きな懸念がありました、そして妥当な理由があります。しかし、医学研究のために医療データをボランティアすることが悪いと言うつもりはありません。研究者はしばしばデータを有効に活用して他者を支援します。

しかし、そうする前に尋ねるべき良い質問がいくつかあります。

• プロジェクトを運営しているのは誰ですか、そしてどこを拠点としていますか?
  不透明な商業データブローカーではなく、明確な公共利益の使命と強い監視を備えた非営利または学術のバイオバンクを好みます。
• 収集されたデータをどのように保存していますか?
  ゲノムデータ、生の配列ファイル、医療記録へのリンク、およびデータが保存時と転送中に暗号化されているかどうかについて具体的に尋ねてください。
• データにアクセスでき、どのような管理下でアクセスできますか?
  UK Biobankインシデントを可能にしたものなどの「CSVをダウンロードして立ち去る」モデルではなく、正式なアクセス委員会、厳格な契約、およびセキュアな分析環境と限定的なエクスポートオプションなどの技術的管理を探してください。
• 外国のエンティティはデータにアクセスするか、コピーすることが許可されていますか?
  米国および英国政府の西側ゲノムデータへの中国アクセスに関する警告の観点から、データがアクセスでき、処理でき、または異なるセキュリティ予測を持つ管轄区域に保存できるかどうかを尋ねるのは妥当です。
• 再識別リスクをどのように処理していますか?
  我々が議論してきたように、「識別を削除」は魔法の言葉ではありません。プライバシー専門家とUS諜報機関は、健康とゲノムデータが他のデータセットと組み合わせたときに再識別されることが多いと警告しています。

あなたのDNAを含むデータが他の誰かの手にある場合、あなたはそれを戻すことはできませんが、より良い統治を要求し、機関にゲノムデータを国家セキュリティグレードの機密として扱うよう促すことができます。

これはまた、高度にターゲットされたスキャムに対する懐疑心をより多く必要とします。攻撃者は大規模な結合データセットを使用して、説得力のあるスピアフィッシングまたは健康関連のスキャムを製作することができます。たとえば、あなたまたは家族が持っている特定の状態についてあなたに連絡するものです。未請求の健康またはDNA関連のメール、電話、およびアプリを特に注意して扱います。