デンマーク医療GDPR:Datatilsynet 2024年の執行
デンマークのDatatilsynetは、2024年に31件のGDPR決定を下しました。そのうち14件(45%)は医療システムに関するものでした。デンマークの人口は590万人です。この割合は非常に高いです。デジタル医療の整備がいかに進んでいるかを示しています。技術的な要件がいかに厳しいかも示しています。
デンマークの医療システム
デンマーク国民は全員、CPR番号を持っています。この番号は、患者記録、薬剤登録、病院記録、Statens Serum Institutの組織サンプルに紐付いています。病院記録は1977年まで遡ります。
このシステムにより、デンマークの医学研究は世界有数の水準を誇ります。同時に、患者の記録が非常に機密性の高いものであることも意味しています。Datatilsynetがこの分野に注力している理由はそこにあります。
CPR番号の技術的課題
CPR番号は10桁の識別子です。形式はDDMMYY-XXXXです。最後の桁はチェックディジットです。モジュラス11の算術を使って計算されます。
CPR番号はすべての臨床文書に記載されています。医療、税務、銀行、選挙の記録と連携しています。
Datatilsynetは、患者記録を二次利用する前に匿名化の検証と文書化を求めています。しかし、一般的なNLPツールの67%はCPRのモジュラス11ステップを実装していません。このステップが省略されると、2つの問題が生じます。
偽陽性: 日付文字列、請求番号、参照コードが本物のCPR番号として検知されます。手動確認のコストが高くなります。
見逃したID: 桁が入れ替わったCPR番号はチェックに失敗します。本物の患者IDが検知されずに残ります。出力はクリーンに見えますが、実際には違います。
他のEU識別子タイプへのチェックディジットルールの適用については、当社のEU国民ID検知ガイドをご覧ください。
患者記録の二次利用に関する4つのルール
デンマークの医療登録は世界最高水準の研究を支えています。Datatilsynetの2024年二次利用ガイダンスは4つのルールを定めています。
プロセスを文書化する: 削除または変更したすべてのフィールドをリストアップしてください。値をどのように丸めたり、グループ化したりしたかを記録してください。簡単なポリシーメモではこの基準を満たしません。
テスト結果を示す: ツールがCPR番号やその他のデンマークの識別子を検知したことを証明してください。主張だけでは証拠になりません。
範囲を限定する: 研究に必要な以上の個人データを取得しないでください。このルールは仮名化されたデータセットにも適用されます。
AIツールのDPIAを実施する: デンマークの患者記録を処理するAIツールには、影響評価が必要です。Datatilsynetの標準フォームを使用してください。
コペンハーゲンの3つの重点分野
コペンハーゲンのメドテック企業には、Leo Pharma、Bavarian Nordic、多くのスタートアップが含まれます。Datatilsynetは3つのリスク領域を監視しています。
AIトレーニングデータ: 当局は2024年に、実際のCPR番号を含む記録でAIモデルを訓練していた企業を発見しました。いずれも有効な法的根拠がありませんでした。
国外移転: 一部の企業がAI作業のために患者記録を米国クラウドプロバイダーに送っていました。当局はSCCだけでは不十分と判断しました。欧州で管理された鍵による暗号化など、追加の技術的措置が必要です。
アクセスログ: ログは誰がどの記録をなぜ閲覧したかを示す必要があります。少なくとも5年間保管してください。
2024年のデンマークの医療データ侵害の56%は不十分な匿名化が原因でした。デンマーク語対応のCPR検証済みツールを使えば、最も一般的な技術的失敗を防ぐことができます。
北欧の執行パターンについては、当社のIMYスウェーデンGDPRガイドをご覧ください。