ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
データは今や、企業が新たな商品・サービスを創出するにあたっての源泉となっています。しかし、その活用にあたってはコンプライアンスの遵守が不可欠であり、それが活用のハードルを上げているケースも少なくありません。こうした中、小野薬品工業(以下、小野薬品)ではヘルスケアデータの二次利用時における法規制の遵守やリスク対応の活動を「デジタルコンプライアンス」と定義し、コンプライアンスの維持とデータ利活用の両立に注力しています。本稿では小野薬品でデータ戦略を担当している山下信哉氏をお迎えし、関係各部門を巻き込んだデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSIリスクへの対応についてお話を伺いました。(本文敬称略)
対談者
小野薬品工業株式会社
主幹部員
山下 信哉氏
PwCコンサルティング合同会社
マネージャー
高澤 真理
※法人名、役職、インタビューの内容などは掲載当時のものです。
左から高澤、山下氏
左から高澤、山下氏
ヘルスケアデータの二次利用がもたらす価値の重要性
高澤:
まずは現在のお仕事内容を教えてください。
山下:
主にリアルワールドデータの全社的な利活用の推進や法規制緩和に伴うヘルスケアデータの二次利用スキームのデザインなどをリードさせていただいています。あとデータ利活用基盤の構築にも携わってきました。最近ではヘルスケアデータの二次利用に伴うデジタルコンプライアンスの強化・推進にも携わっています。
高澤:
小野薬品ではデジタルトランスフォーメーション(DX)の一環として、ヘルスケアデータの二次利用を推進していると伺っています。小野薬品におけるDXの取り組みについて紹介していただけますか。
山下:
小野薬品のDX戦略は、患者さんとそのご家族だけでなく、医療従事者、社員、そして多様なパートナーに価値を届けることが重要と考えています。そのうえで、ステークホルダーの体験価値の向上を下支えするDX推進基盤も重要であると位置づけ、その強化に努めています。
DXが進んでいくと、ビジネス部門にさまざまなヘルスケアのデータが蓄積されることが想定されます。このようなデータを「会社の共通資産」として活用するために構築したのが、統合データ活用基盤「OASIS(Ono Advanced Scientific Insight Service)」です。OASISを通じて部門横断的なデータ活用を促し、さまざまなヘルスケアデータを利活用(二次利用含む)することで新たな付加価値を創出し、競争力向上を図ることを期待したデータ基盤となります。
データ活用には、あらかじめ設定した目的の範囲内でデータを利用する「一次利用」と、その目的の範囲を超えて情報を利用する「二次利用」があり、私たちは二次利用を見据えたデータの利活用が、企業価値の向上につながると考えています。小野薬品で扱うヘルスケアデータは個人情報を含む場合が多いので、二次利用の際には法的考慮が必要だと認識しています。
高澤:
データ活用と一口に言っても、一次利用の延長線上で活用している企業は少なくありません。そうした中、小野薬品では一次利用と二次利用の違いや対応事項を明確に定義し、データの価値を最大限に生かしながら活用しているのですね。
山下:
データ活用の目的は、ビジネスで意思決定をする際に少しでも客観的かつ正しい意思決定ができるように、データを駆使することでビジネスをサポートしていくことと考えています。ではどのように活用すればよいのか、ここではデータ活用のアプローチについて少しだけ触れておきます。データ活用の第一歩は、勘と経験と度胸に基づく業務から脱却し、過去に何が起こったのかをデータを用いて可視化することから始まります。次に、過去のデータからAIなどの技術を駆使し、将来予測やリスク検知を行うことで将来何が起きそうか予測すること、さらには、将来何に対処すればよいのかをインサイトや必要なアクションをレコメンドとして導出し、人が意思決定に活用できるようにし(実装されたユースケースは少ないですが)、最終的には意思決定の自動化に活用していくことを目指していきます。
日本でヘルスケアデータの利活用が進まない理由
高澤:
ヘルスケアデータの利活用状況をグローバルで比較すると、日本はまだまだ進んでいないのが現状です。2017年にOECDが公開したHealth Working Paperの調査データで各国におけるヘルスケアデータの二次利用成熟度を比較すると、欧米諸国やシンガポールなどは成熟度が高く、利活用が進んでいる一方で、日本は最下位という残念な結果でした。その理由は、2017年時点では個人情報保護法の改正がされておらず、二次利用に対する規制のハードルが高かったことが挙げられます。
2017年以降は、企業がヘルスケアデータの二次利用を推進できるような枠組みが制度として整備されつつあります。大きなポイントは個人情報保護法の2回にわたる改正です。
1回目の改正(2019年)では、匿名加工情報制度が新設されました。この制度により、一定のレベルで個人を識別できない状態まで匿名加工すれば、本人の同意なしに第三者に提供したり、当初の目的を超えた二次利用を行ったりすることが可能になりました。この制度の新設は、日本におけるデータ利活用推進の大きな一歩となりましたが、匿名加工のハードルやコストなどの課題から、企業への浸透には課題もあります。
2回目の改正(2020年)では、仮名加工情報制度が新設されました。こちらは匿名加工よりも加工が簡易で、社内利用に限定されるという条件付きではあるものの、本人の同意なしに当初の利用目的を超えた二次利用が可能になりました。小野薬品もこの2つの制度のメリットを生かして二次利用を推進されていますよね。
また、次世代医療基盤法の施行など、ヘルスケアデータ特有の法規制についても利活用を見据えた整備が進んでおり、日本でもデータ利用の仕組みが整いつつあります。しかし、ヘルスケアデータはさまざまな法律・規制を考慮する必要があるため、コンプライアンス対応には高いハードルがあるのです。
左から高澤、山下氏
左から高澤、山下氏
ヘルスケアデータ二次利用に伴うデジタルコンプライアンスとは
高澤:
小野薬品ではヘルスケアデータの二次利用に伴うコンプライアンス対応を「デジタルコンプライアンス」と定義し、積極的に取り組んでいらっしゃいます。改めて「デジタルコンプライアンス」について教えてください。
山下:
「デジタルコンプライアンス」とは小野薬品の社内用語で、「主にヘルスケアデータの二次利用を対象とした法的・倫理的・社会的リスクの回避・低減のための活動」と定義しています。さらに、AI利用を伴う大規模なデータ取り扱いなど、従来の手法や技術を超えてデータを取り扱うようになった場合も、デジタルコンプライアンスの活動の対象としています。
一方、デジタルコンプライアンスは新しい概念であるため、誤解を招くこともあります。コンプライアンスという言葉が強すぎて、DX推進とデジタルコンプライアンスは「相反する綱引きの関係」と捉えられがちなのですが、両者は「相互に作用する歯車の関係」と整理しています。つまり、デジタルコンプライアンスを強化することで安心してヘルスケアデータの利活用を加速させることができ、結果として価値創出に貢献できるとしています。
高澤:
「コンプライアンス」と聞くと厳しい規制を想定し、イノベーションの促進を妨げるように考えられがちです。しかし、コンプライアンスを遵守することでデータの利活用に対する社会からの信頼が得られ、結果としてDXを推進しやすくなります。では、どのような体制や運用で、デジタルコンプライアンスに取り組んでいるのか教えてください。
山下:
小野薬品では、① データ活用を考えている申請者からの「相談・申請」、② データ利活用の可否を審査する「審査・承認」、③ 委員会承認後の「データ投入」の3つのプロセスでヘルスケアデータの二次利用を進めています。まず、①の「相談・申請」では、ユーザーサポート、データスチュワード*1、データエンジニアなどがヘルスケアデータの二次利用の入口から出口まで、さまざまな場面でサポートする体制を構築しています。
*1 データスチュワード:組織内のデータ資産を適切に管理し、有効活用するための中心的な役割を担う担当者
ユーザーサポートは申請者の窓口となり、最初から最後まで伴走します。データスチュワードはデータ確保の方針案などを策定します。データエンジニアは目的に応じたデータの加工や、データセキュリティガイドラインに基づいた適切な加工を技術的にサポートします。
②「審査・承認」では社内の個人データ加工審査委員会が、個人データ利活用の可否を審査します。個人データ加工審査委員会とは、ヘルスケアデータの二次利用におけるゲートキーパーとして機能する委員会となります。個人データ加工審査委員会では「二次利用の法的要件を満たしているか」という法律面と「目的に応じた加工が安全に行われているか」という技術面での審査を行っています。審査結果を委員会設置者や個人情報管理責任者に報告することで、ヘルスケアデータの二次利用におけるガバナンスを構築しています。
高澤:
一般的に、仮名加工情報や匿名加工情報は加工のハードルが高く、活用がなかなか進まないとよく聞きます。そうした状況でも、小野薬品は各部門が目的に合ったデータ加工が技術的にできているかどうかを審査する体制・仕組みを整備しているのですね。
支援体制についてもう少し深掘りをさせてください。デジタルコンプライアンスを推進するにはさまざまな法規制への対応が必要です。社内ではどのような体制で各部門を巻き込んでいるのでしょうか。
山下:
製薬企業が関わるヘルスケアデータは、個人情報保護法はもとより、さまざまな法律やガイドラインなどに準拠する必要があります。例えば、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(通称:薬機法)、「人を対象とする生命科学・医学系研究に関する倫理指針」や「GCP(Good Clinical Practice:臨床試験の実施基準)」などがそれにあたります。現在は法務部が中心となってサポートしていますが、状況に応じて関係部に所属しているそれぞれの指針やガイドラインの専門家などにも相談しながら、ヘルスケアデータの二次利用を推進しているのが現状となります。
ヘルスケアデータ二次利用時にも必要なELSIリスク対応
高澤:
最後に、ELSI(Ethical, Legal, and Social Implications)*2リスク対応について伺います。ELSIを侵害すると、社会からの批判や企業の評判低下を招くだけでなく、株価の下落や売上の減少につながる可能性もあることから、法的リスクだけではなく、倫理的・社会的リスクの考慮は欠かせません。小野薬品ではELSIリスクへの対応としてどのような取り組みをしていますか。
*2 ELSI:倫理的・法的・社会的課題。「ELSIリスク対応」とは、法令遵守だけでなく倫理的・社会的課題にも配慮することを指す。
山下:
現在推進しているデジタルコンプライアンスは、法的リスクを中心に活動を行ってきましたが、今後は対象範囲をELSIリスクにも拡大し、AIなどの新たなリスクを考慮したガバナンスが整備できるように検討を進めています。具体的には以下の4つの観点で検討を進めていこうと考えています。
- 関連部門を巻き込んだヘルスケアデータの二次利用に伴うELSIリスク対応の検討
- ヘルスケアデータの活用に伴うAIリスクへの対応プロセスの策定
- ヘルスケアデータの二次利用に伴うELSIリスクに関する従業員への啓発・教育
- 外部ステークホルダーに対する透明性の高い情報発信の強化
高澤:
特に製薬会社が保有するヘルスケアデータは非常に機微な情報を含むものなので、法的なリスクに加え、倫理的・社会的リスクの考慮も非常に重要ですね。誤解を恐れずに言えば、法律は白黒が明確なので、「黒いことをしなければよい」というスタンスで対応できます。
しかし、倫理的・社会的リスクは「どこまでやればよいか」「どこからリスクになるのか」を多角的な観点で判断しなければなりません。その上で、内部でリスクを確認する体制・プロセスを整備するとともに、外部のステークホルダーに対し、きちんと説明責任を果たしていくことが非常に重要だと理解しました。本日はありがとうございました。
左から高澤、山下氏
主要メンバー
高澤 真理
シニアマネージャー, PwCコンサルティング合同会社
特別対談:デジタルトラストの構築に向けたPwCのアクション
20 results
Loading...
デジタルアイデンティティを支える技術―ソリューション導入の失敗事例と成功事例―(SailPoint/Okta/CyberArk)
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
プライバシーガバナンス最前線―データ利活用を促進していくために、いま企業に求められていること―(リクルート/TMI)
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
デジタルプラットフォーム取引透明化法の「モニタリング・レビュー」にみる、新しい時代のトラストとは(経済産業省)
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
Loading...
インサイト/ニュース
20 results
Loading...
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
Digital Trust Insights 2025:CxOとCISOの連携が、複雑化するデジタル法規制によって生じるギャップを埋める
PwCが世界77カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営層4,042名を対象に実施した調査結果をもとに、本レポートではセキュリティ強化の上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
「サイバー攻撃被害に係る公表」に関する国内組織実態調査 第2回―インシデント検知から1週間以内に公表する企業は半数を超える―
PwC独自のインシデントデータベースをもとに国内組織のインシデント公表事例を分析し、傾向および組織への推奨事項をまとめました。前年調査よりも「今後の対応」を記載する組織が大幅に増え、政府ガイダンスの記載項目に即したインシデント公表の広がりが明らかになりました。
Loading...
