โปรโตคอล IRB สำหรับการติดต่อซ้ำ: คู่มือการเข้ารหัสแบบย้อนกลับได้
ปัจจุบัน IRB มักกำหนดให้นักวิจัยต้องบันทึกโปรโตคอลการระบุตัวตนซ้ำ — ไม่ใช่เพียงวิธีการยกเลิกการระบุตัวตน เอกสารต้องพิสูจน์สองสิ่งพร้อมกัน: ชุดข้อมูลที่ยกเลิกการระบุตัวตนไม่สามารถระบุตัวตนซ้ำโดยบุคคลที่ไม่ได้รับอนุญาต และการระบุตัวตนซ้ำที่ได้รับอนุญาตเป็นไปได้ภายใต้เงื่อนไขที่กำหนด
ข้อกำหนดสองด้านนี้สะท้อนบทเรียนจากงานวิจัยระยะยาวที่ผลการค้นพบทางคลินิกที่สามารถดำเนินการได้เกิดขึ้นกลางการศึกษา แต่การทำให้ไม่เปิดเผยตัวตนถาวรป้องกันการดำเนินการ การบังคับใช้ GDPR เพิ่มขึ้น 56% ในปี 2024 (DLA Piper Annual Report 2025) และข้อยกเว้นงานวิจัยของสหภาพยุโรปภายใต้ Article 89 กำหนดให้ต้องมีการ pseudonymization แทนการทำให้ไม่เปิดเผยตัวตนถาวรสำหรับข้อมูลการวิจัย — ยอมรับว่างานวิจัยต้องการความสามารถในการย้อนกลับภายใต้เงื่อนไขที่ควบคุม
บทความ NEJM AI ปี 2024 เกี่ยวกับการยกเลิกการระบุตัวตนด้วย LLM ระบุปัญหานี้อย่างชัดเจน: ชุดบันทึกทางคลินิกที่ถูกยกเลิกการระบุตัวตนยังคงเชื่อมโยงทางสถิติกับตัวตนผ่านความสัมพันธ์เดียวกับที่ยืนยันคุณค่าทางคลินิก คำแนะนำของบทความ: การ pseudonymization พร้อมการดูแลกุญแจที่บันทึกไว้ แทนการทำให้ไม่เปิดเผยตัวตนถาวร เพื่อรักษาความสามารถในการติดต่อซ้ำที่งานวิจัยระยะยาวต้องการ
เรียนรู้วิธีที่เรารองรับกระบวนการนี้ในภาพรวมการปฏิบัติตามกฎระเบียบและแนวทางปฏิบัติด้านความปลอดภัยของเรา
ทำไม IRB จึงต้องการประตูสองทาง
สถาปัตยกรรมการระบุตัวตนซ้ำที่ควบคุมได้นั้นง่ายดาย AES-256-GCM แบบกำหนดได้สร้างโทเค็นที่สม่ำเสมอ: ตัวระบุผู้ป่วยเดิมเข้ารหัสเป็นโทเค็นเดิมเสมอ "Patient_001" ในการประเมินพื้นฐานเข้ารหัสเป็น "[ENC:f8a2c...]" — โทเค็นเดิมปรากฏในการติดตามผล 3 เดือน ติดตามผล 12 เดือน และการวิเคราะห์สุดท้าย ทีมวิจัยสามารถติดตามข้อมูลระยะยาวของผู้ป่วยโดยใช้โทเค็นที่เข้ารหัสเป็นตัวระบุที่เสถียร โดยไม่ต้องเข้าถึงตัวตนจริงเลย
การจัดการกุญแจตอบสนองข้อกำหนดการแยกกุญแจของ EDPB: ทีมวิจัยถือชุดข้อมูลที่เข้ารหัส ผู้ดูแลข้อมูลที่กำหนดถือกุญแจถอดรหัสในระบบจัดการกุญแจแยกต่างหาก ไม่มีฝ่ายใดสามารถระบุตัวตนซ้ำผู้เข้าร่วมได้โดยไม่มีอีกฝ่าย — ทีมวิจัยไม่สามารถถอดรหัสได้โดยไม่มีกุญแจ และผู้ดูแลกุญแจไม่สามารถระบุบันทึกที่เป็นของผู้เข้าร่วมคนใดได้โดยไม่มีข้อมูล
เมื่อการระบุตัวตนซ้ำได้รับอนุญาต (การอนุมัติของคณะกรรมการจริยธรรม ผลการค้นพบ duty-to-warn ข้อกำหนดด้านกฎระเบียบ) ผู้ดูแลกุญแจใช้กุญแจกับบันทึกที่ระบุเฉพาะ แต่ละเหตุการณ์ถอดรหัสถูกบันทึก: บันทึกใด เมื่อไร โดยใคร ภายใต้อำนาจใด บันทึกการตรวจสอบแสดงการปฏิบัติตามข้อกำหนด GDPR Article 89 สำหรับมาตรการป้องกันที่บันทึกไว้
วิธีการดำเนินการในทางปฏิบัติ
สำหรับศูนย์วิจัยมะเร็งในยุโรปที่มีกลุ่มผู้ป่วย 5,000 คน: ชุดข้อมูลวิจัยถูกทำให้ไม่เปิดเผยตัวตนโดยใช้การเข้ารหัสแบบย้อนกลับได้ก่อนกระจายไปยังสถาบันร่วมมือในสามประเทศ ทีมวิจัยของแต่ละสถาบันสามารถวิเคราะห์ข้อมูลระยะยาวโดยใช้โทเค็นผู้ป่วยที่เข้ารหัส กุญแจอยู่กับเจ้าหน้าที่คุ้มครองข้อมูลของสถาบันประสานงาน
เมื่อการวิเคราะห์ biomarker กลางการศึกษาระบุผู้เข้าร่วม 47 คนที่มีตัวบ่งชี้ความเสี่ยงสูง การอนุมัติของคณะกรรมการจริยธรรมเป็นตัวกระตุ้นคำขอระบุตัวตนซ้ำอย่างเป็นทางการ เจ้าหน้าที่คุ้มครองข้อมูลถอดรหัสบันทึก 47 รายการเฉพาะ ทีมคลินิกของสถาบันประสานงานติดต่อผู้ป่วย 47 คนจริง ตัวตนของผู้เข้าร่วมอื่นๆ อีก 4,953 คนยังคงได้รับการปกป้องในทั้งสามสถาบันร่วมมือ
สำหรับการเปรียบเทียบเชิงลึกระหว่างการ pseudonymization และการทำให้ไม่เปิดเผยตัวตนอย่างสมบูรณ์ ดูคู่มือการยกเลิกการระบุตัวตนแบบย้อนกลับได้ของเรา