縦断的研究の問題
縦断的な臨床研究は、基本的な緊張関係の上に成り立っています:参加者のアイデンティティは、IRBの要件を満たし、参加者の信頼を維持するために研究期間中に保護されなければなりませんが、研究が予期しない発見を示した場合、同じ参加者に臨床フォローアップのために連絡する必要があるかもしれません。
ある腫瘍学研究センターが5,000人の患者を対象としたバイオマーカー研究を行っているとき、研究の途中で47人の参加者が、元々研究のエンドポイントとして特定されていなかった攻撃的な癌の変異体に対するリスクが高いことを示すマーカーを示していることを発見しました。倫理委員会はこの発見を審査し、警告義務の原則に基づいて再連絡を承認します — 潜在的な医療上の利益が、影響を受けた参加者を特定し連絡することを正当化します。
もし元の非識別化が永続的であった場合 — 患者のアイデンティティがデータ管理者によって保持されたマッピングテーブルなしにランダムなコードに置き換えられていた場合 — 研究チームは47人の影響を受けた参加者に対応する実際の患者を特定することができません。研究の発見に基づいて行動することはできません。緊急の臨床的注意が必要な患者は、それを受けることができません。プライバシー保護と臨床的に実行可能な発見の可能性とのバランスを取った研究の倫理的枠組みは、その最も重要な使用ケースで失敗しています。
GDPRと重要な分離要件
EDPBのガイドライン05/2022は、擬似匿名化に関するこの緊張関係を認識し、それを解決するための枠組みを提供します。擬似匿名化は、必要に応じて再識別する能力を保持するデータ保護措置として認識されています。
要件は重要な分離です:復号鍵は擬似匿名化されたデータから分離して保持されなければならず、無許可のアクセスを防ぐ技術的および組織的な管理の下に置かれなければなりません。研究チームは、匿名化されたデータセットと復号鍵の両方に同時にアクセスすることはできません — 管理は、再識別がデータセットの所持だけでなく、承認されたプロセスを必要とすることを保証しなければなりません。
IAPPの2024年の調査では、**非識別化ツールのうちわずか23%**が真の可逆性を提供していることがわかりました — EDPBの重要な分離要件を満たす復号能力を保持した擬似匿名化データセットを生成する能力です。大多数のツールは、警告義務のシナリオが必要とする承認された再識別を防ぐ永続的な置換またはマスキングを提供します。
可逆暗号化アーキテクチャ
IRBのプライバシー要件と警告義務の再識別ニーズの両方を満たす臨床研究アーキテクチャ:
研究データセットは、AES-256-GCMを使用して可逆暗号化され、患者識別子から決定論的な暗号化トークンが生成されます。各患者の識別子は、すべての研究文書で一貫して表現され、アイデンティティを保護しながら参照の整合性を維持します。復号鍵は指定されたデータ管理者によって保持され、匿名化されたデータセットから分離され、復号操作のために文書化された承認を必要とするアクセス管理の下に置かれます。
研究チームは完全に匿名化されたデータセットで作業し、日常的な分析のために復号鍵へのアクセスは提供されません。47人の影響を受けた参加者が統計分析で特定されると、倫理委員会の承認が承認された再識別プロセスを引き起こします。データ管理者は特定の47件の記録に復号鍵を適用します。研究チームは、その47人の参加者の実際の患者のアイデンティティを受け取ります。残りの4,953人の参加者のアイデンティティは保護されたままです。
出典: