最近の英国では、医者の予約を取るために、より多くのデータを民間企業に預ける必要があり、それについてできることはあまりない。
患者の予約を2週間以内に制限するよう政府から圧力が高まっていることもあって、家庭医(英国では一般開業医(GP)として知られている)は、予約を円滑にし、緊急度に基づいて症例を優先順位付けするためにサードパーティ製のソフトウェアを導入するようになっている。この変化により、患者は民間企業に個人データへのアクセスを許可するしか選択肢がなくなった。
英国の国民保健サービス(NHS)はかつては国が資金を提供する医療の拠点であり、個人の経済状況が医療サービスを受ける機会にほとんど影響しなかったが、現在は状況が少し異なる。慢性的な資金不足と人員不足に悩まされ、病院での日常的な治療の待ち時間は記録的な長引き、労働条件は医師、看護師、その他の臨床医の集団ストライキにまで発展している。
政府がさらなる民営化を推進する中、企業は数十億ドル規模の医療分野のパイを奪い合っている。NHSはGoogle傘下のDeepMindなどと物議を醸すデータ共有契約を締結したほか、4年前にはGoogle、Microsoft、Palantirなど多くの米国テクノロジー企業がNHSのCOVID-19データストア・プロジェクトの一環として契約を獲得している。
同時に、プライマリケアにも侵入され、民間企業に個人情報を漏らさずに地元の診療所で簡単な健康診断を受けることさえ、多くの人にとって不可能となっている。
どのGPクリニックがどのソフトウェアを使用しているかを追跡する単一の機関は存在しません。この種のデータはそのように集中管理されていないためです。NHSイングランドはTechCrunchに対し、NHSはさまざまな組織で構成されているため、個々のGPクリニックまたは英国中のNHSを構成する地域の統合ケア委員会(ICB)に個別にリクエストする必要があると述べました。しかし、私たちの調査では、プライマリケアの予約をトリアージするために民間企業を使用するクリニックが増えていることがわかりました。これには回避策はありません。
そうした企業の一つがKlinikで、同社は現在英国内のNHS(国民保健サービス)傘下の一般診療所300カ所で導入済みだと発表しています。一方、Econsultは40%で利用されていると発表しています。また、Patchs Healthは「NHS全体で1,000万人以上の患者をサポートしている」と述べています。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
NHS(国民保健サービス)におけるITへの依存は、今日の他の多くのセクターと同様に、もはや当たり前のものになりつつあります。例えば、昨年、5軒に2軒のGPクリニックが処方箋、患者記録、予約の管理に使用していたシステムがダウンし、業務に大きな混乱が生じました。これは単発的な出来事ではなく、地元の医療メディアがこの問題の追跡調査に奔走しました。
民間テクノロジーセクターとの親密化自体は目新しいものではないが、民間企業に個人情報へのアクセスを与えずにNHSの最も基本的な医療サービスを受けることがますます困難になっていることは新しい。もしそれが気に入らないなら、それは仕方がない。
データの価値
データが拡散すればするほど、患者の利益に反して利用される可能性のある場所にデータが流れ込むリスクが高まります。プライバシーポリシーや規制にどのような約束がされているかに関わらず、医療データの価値は、それを共有したいというインセンティブがあまりにも高すぎて抵抗できないほどになる場合があります。例えば、英国の新聞「オブザーバー」が最近行った調査では、医学研究のために提供された50万人の英国市民の機密性の高い医療情報が、最終的に保険会社と共有されていたことが明らかになりました。これは、参加者が同意した内容とは全く異なるものでした。
NHSデータに正確な金銭的価値を付けるのは難しいが、アーンスト・アンド・ヤング(EY)は、NHSの膨大なデータセットから得られる潜在的な知見は年間96億ポンド(120億ドル)にも上る可能性があると述べている。実際、NHSは、全国規模の網羅性、数十年にわたる長期的データ収集、そして機械による解析を容易にする一貫性のある標準化された形式で患者記録を記録・保存している点など、様々な理由から、多くの人々から医療データの聖杯とみなされているデータを保有している。
たとえば、医師は SNOMED、READ、CTV3 などの構造化された臨床用語を使用してデータを体系化します。
「つまり、このデータはより容易に、そして一貫して機械で読み取れるということです」と、代行開業医であり、ソフトウェア開発者で、自称「ジェネラルハッカー」のマーカス・バウ氏はTechCrunchに説明した。「他の国では、臨床データはフリーテキストで書かれていることが多く、そのため分析が容易ではありません。」
これは、英国政府が強く支持しているように、AIが医療分野にさらに浸透していく中で特に重要です。AIがデータをより正確に解釈するには、データ収集を標準化する必要があります。
バウ氏は、フリーテキスト入力データ「腎細胞癌は発見されなかった」と「腎細胞癌と診断された」を並べて比較しています。それぞれ陰性診断と陽性診断です。この違いは人間の目には明らかですが、「AIはおそらく勝てないでしょう。AIは同じようにはできますが、安全となるほど一貫性がないからです」とバウ氏は言います。「キーワードマッチングでは『腎細胞癌』は拾いやすいですが、周囲の文脈、特に否定形は、それほど簡単にはコンピュータ化できません。」
2週間の目標
筆者はかかりつけ医のウェブサイトからオンライン予約を取ろうとしたところ、クリニックと提携して「高度なAIトリアージおよび患者フロー管理ソリューション」を提供する、ベンチャーキャピタルの支援を受けたフィンランドのスタートアップ企業Klinikが開発したサードパーティ製システムに誘導された。
Klinik ポータルでは、症状など、病状の性質に関するさまざまな健康関連の質問に回答します。
最終的に、名前、生年月日、携帯電話番号、住所、NHS 番号など、さらにいくつかの個人データを要求するフォームが表示されます。
GPクリニックはNHSログインシステムを使用して予約を取るオプションを提供していますが、結局はまったく同じ場所で、患者はKlinikに個人情報へのアクセスを許可するよう求められます。
このフォームを使用できない、または使用したくない人のために、GP クリニックの自動電話システムは、電話を切らずにスタッフに直接接続できることを発信者に通知します。ただし、スタッフは患者に代わってまったく同じ Klinik フォームを手動で入力します。
つまり、クリニックのシステムにデータへのアクセスを許可しなければ、一般開業医の診察予約を取ることは不可能だったのです。その理由として挙げられたのは、政府の予約時間目標でした。
「クリニックは、患者に2週間以内に予約を提供する必要があるという政府の方針に対応して、またシステムをより公平にするために導入されました」と、筆者は問題のクリニックから説明を受けた。
自動トリアージソフトウェアは、負担の大きいNHSヘルスケアシステムの負担を軽減するように設計されており、患者を軽度の病気のセルフヘルプ情報に誘導します。このソフトウェアは、より緊急性の高いケースを優先し、一般開業医とそのスタッフが患者一人ひとりと会話する手間を省きます。
臨床上の意思決定にさらなる自動化を導入することの利点とリスクはそれ自体が議論の余地がありますが、現在の環境では個人情報を第三者に委託することが大きなトレードオフとなっています。
Klinik のプライバシー通知では、英国でのホスティングとストレージに Google Cloud を使用していること、および「擬似匿名化された個人データ」に関する「データレポート」の目的で Microsoft を使用していることが確認されています。より具体的には、Klinik は Power BI を使用して、経営上の意思決定をサポートする「集約レベル」のクライアント向けレポートを作成していると述べています。
「医療機器の要件により、システムの市販後調査のために、選択された集計統計を当社側で監視する必要もあります」とKlinik氏はTechCrunchに語った。
データのプライバシーと管理に関しては、Klinik のポリシーでは、Google や Microsoft など、Klinik が使用するサードパーティ プロセッサは、「当社の指示に従ってのみ個人データを使用するという明確な契約上の制約の対象であり、適切なセキュリティ対策の対象である」と規定されています。
広報担当者は次のように付け加えた。
データへのアクセスと様々な側面の統合には、多層的なセキュリティレイヤーが採用されています。そのため、お客様のご要望/許可に基づき、特定のデータへのアクセスを許可した関係者のみがデータにアクセスできます。
Googleは、データが保管されている物理的な施設とハードウェアを所有しています。そのため、契約上の合意を除き、Googleはいかなる管理権限も持ちません。ただし、Googleの規定では、物理的または技術的なアクセス権限があるからといって、データにアクセスできるとは限りません。分散したデータを統合するには、暗号化キーとロジックが必要となるためです。
プライバシーポリシーに何が書かれていようと、またどのようなセキュリティ対策が講じられようと、データが(故意か否かに関わらず)悪用または不適切に扱われた例は歴史上数多く存在します。データにアクセスできる第三者が多ければ多いほど、どこかで何か問題が発生する可能性が高くなります。
TechCrunchがこの記事のために連絡を取ったロンドンに拠点を置く別のクリニックも、予約にはPatchs Healthのみを利用していると述べたが、これもまた避けようがない。Patchsは、ロンドンに拠点を置くAI・データサイエンスコンサルティング会社Spectra Analyticsによって開発されている。
「当院では、すべての患者さんのリクエストとトリアージツールとしてPatchを使用しています」とクリニックのマネージャーは述べています。「リクエストは患者さんご自身で提出していただくことも可能ですが、患者さんご自身で提出できない場合は、電話または直接お会いしていくつかの質問をすることで、当院の受付スタッフが患者さんに代わってリクエストを提出することも可能です。」
マネージャーは、緊急の場合の遅延の削減、システムの過密化の防止、患者の安全性と満足度の向上、自動化による潜在的な危険信号の特定など、トリアージ ソフトウェアを使用せずに予約を受け付けなくなったさまざまな理由を指摘しました。
「トリアージがなければ、重篤な症状の患者さんは予約までの待ち時間が長くなり、治療が遅れ、予後不良のリスクが高まる可能性があります」と彼らは述べています。「トリアージは、私たちの診療が効率的かつ効果的に機能する上で重要な役割を果たしています。緊急症例を優先し、患者の流れを管理することで、すべての患者さんにタイムリーかつ適切なケアを提供し、患者さんの安全と満足度を向上させると同時に、リソースを最適化することができます。」
データ「管理者」
法的には、一般開業医クリニックはデータの「管理者」、仲介ソフトウェアプロバイダーはデータの「処理者」とみなされます。そして、クリニックが特に強調していたのは、患者が個人データを「譲渡」しているわけではないということです。クリニックは厳密にはデータの所有者ではなく、むしろ管理者のような存在です。
「はい、データは保管していますが、仮名化されており、繰り返しになりますが、診療所に代わって保管しています」とクリニックは述べた。「データが『利用』されるのは、ダッシュボードで診療所に匿名化された統計データを提供する場合のみです。これにより、診療所はより適切な情報管理を求めるニーズをより深く理解できるようになります。また、患者様の同意がある場合に限り、当社はアルゴリズムの計算精度向上のために匿名化されたデータを使用します。ただし、この場合も個人データは当社に提供されません。」
しかし、事態は少し複雑になることがあります。例えば、Patchsのプライバシーポリシーを詳しく調べてみると、同社は実際にはデータ「サブプロセッサー」であり、ソフトウェアの開発と保守を担当していることがわかります。サービス提供のために契約しているメインのデータプロセッサーは、プライベートエクイティの支援を受け、様々な業界向けソフトウェアを開発するAdvanced社です。同社は2015年にVista Equity Partnersに買収され非公開化され、4年後にはBC Partnersが一部株式を買収しました。
これは、何百万人もの英国の患者にとって地元の医師への入り口として機能し、予約の取り方や処方箋の再発行などに使用されているPatient Accessと多少似ています。しかし、Patient Accessは実際にはEMIS Healthが所有しており、同社は5か月前にBordeaux UK Holdings II Limitedに買収されました。Bordeaux UK Holdings II LimitedはOptum UKの「関連会社」であり、Optum UKはUnitedHealth Groupの子会社です。UnitedHealth Groupは、5,000億ドル規模の医療保険の多国籍企業であり、米国最大のヘルスケア企業の1つであり、収益では世界第11位の企業です。ちなみに、UnitedHealth Groupの別の子会社が最近ランサムウェア攻撃を受け、米国の医療制度が混乱し、患者データがオンラインで流出するのではないかとの懸念が広がりました。
このことは、NHSブランドの価値、そして意図せずデータへのアクセスを開放することにうっかり同意してしまうことがどれほど容易であるかを浮き彫りにしています。NHSのロゴは、企業による複数の所有権を隠蔽することができるからです。Patient Accessのモバイルアプリとウェブサイトには、NHSのロゴが大きく表示されていますが、NHSは民間企業であり、NHSサービス専用ではありません。患者がかかりつけ医の予約を取る際、「ここで自分のデータをどのように保護できるのか、何に申し込むのか」などとは考えていません。ただ、できるだけ早く医師の診察を受けたいと思っているのです。
したがって、テクノロジーを導入し、少量のデータへのアクセスを開放することに満足しているとしても、そのデータを誰に託しているのか、また、複雑な買収や提携の網の目を通して、そのデータがどこに行き着くのかを正確に把握することは困難です。
さらに、責任の問題もあります。実際に何を保護する責任は誰が負うのか、また、問題が発生した場合に何が起こるのか?
「理論上はNHSが適切な確認を行っているはずなので、ほとんどの場合違いはありません。しかし実際には、突然違いが出てくるまで違いはありません。NHSが訴訟できると考えている企業は、法的駆け引きのせいで資産がなく、責任を主張しません」と、医療データプライバシー擁護団体MedConfidentialのサム・スミス氏はTechCrunchに語った。
さらに、トリアージ ソフトウェアは、過重労働の従業員のストレスを軽減するのに役立つかもしれませんが、ユーザーが自分の直接のケアの範囲外でデータを共有することにうっかり同意してしまうなど、あらゆる種類の疑わしい行為を招く可能性もあります。
例えば、Patchsのサインアップ時に、研究目的で(匿名化された)データを共有することに同意する必要があり、その後オプトアウトするにはシステムに再度ログインする必要があります。そこには次のように書かれています。
Patchesの安全性と意図された効果の実現を確保するため、お客様ご自身およびケアを受けている方の匿名化されたデータを、研究目的でマンチェスター大学と共有する場合があります。また、モニタリング目的で他の一般開業医と共有する場合があります。「匿名化」とは、お客様を特定できないことを意味します。アカウントを作成してログイン後、トップメニューからアクセスできる「データプライバシー」ページで、匿名化されたデータをマンチェスター大学と共有することをいつでも停止できます。この停止によって、Patchesを使用して一般開業医のサービスに引き続きアクセスできなくなることはありません。
また、プライバシーポリシーには、「患者が共有に同意した場合」に患者の連絡先情報をマンチェスター大学と共有するとも記載されているが、登録プロセスにおいて、これらの詳細をマンチェスター大学と共有するかどうかを選択するための明確な手段はない。
TechCrunchはこの記事に対するコメントと説明を求めてPatchsとAdvancedの両社に連絡を取ったが、両社は拒否した。
急激な変化
これらは全く新しい現象ではありません。患者と医師の関係は長年にわたってますますデジタル化が進んできたからです。しかし、確かに変化したのは、患者が医師の診察を受けるには、直接的または間接的に数十億ドル規模の企業やベンチャーキャピタルの支援を受けたスタートアップ企業が所有するソフトウェアの使用に同意しなければならないという極端な状況への急激な移行です。
「極端な状況になったのは最近のことだと思いますが、全体的な傾向としては10~15年ほど前からこの傾向が続いています」とバウ氏は述べた。「こうした患者プラットフォームはゆっくりと発展してきましたが、すべてが患者アクセスプラットフォームを通じて行われるようになったのは、COVID-19以降になってからです。」
個々の経験は居住地によって異なります。一部の診療所では、サードパーティのソフトウェアプロバイダーにデータを提供する必要のない、より伝統的な予約プロセスを依然として運用しています。しかし、特にロンドンはこの変化の影響をより大きく受けているようで、他の地域での今後の動向を占う指標となる可能性があります。
「これは、英国の他の地域におけるデジタル化の相対的な貧困を反映しているに過ぎません」とバウ氏は付け加えた。「ロンドンは、主力の一般開業医向けデジタル化プログラムを実施し、追加のリソース投入をもたらしてきました。しかし、英国の他の地域では、このようなことは起きていません。」
医師の診察を受けるために民間企業にデータへのアクセスを許可することに抵抗がある患者を支援するかどうかとの質問に対し、NHSイングランドは、データ管理者である一般開業医自身がデータ保護の責任を負っており、関連法を遵守しなければならないとの声明を発表した。
「一般開業医は患者を特定する個人データの保護に責任を負い、一般データ保護規則(GDPR)を遵守しなければなりません」と声明には記されている。「患者は、かかりつけ医から、データがどのように使用され、誰がアクセスできるのか、そしてどのようなセキュリティ対策が講じられているのかについて情報提供を受けます。患者は、直接のケア以外の目的でデータが共有されることを防ぐため、オプトアウトすることができます。デジタルプラットフォームは、オンライン診療、遠隔トリアージ、予約、その他の患者サービスに使用される個人データを保護するために、安全な通信手段を採用する必要があります。」
したがって、患者が民間企業にデータを渡さずにNHSの一般開業医の診察を受けられるとは自動的に期待できません。
鉱業
患者データに関して、これらの企業による不正行為を示唆するものは何もありませんが、NHSが民間のデータ処理業者との連携を強化しているという、より広範な傾向を象徴しています。このデータは、多くの民間企業が(まだそうでなくても)ぜひとも活用したい膨大な資産であり、NHSの他の部門で締結されている新たな契約を見ると、この流れはすぐに終わることはないでしょう。
2003年に億万長者のリバタリアン、ピーター・ティールがCIAの資金提供を受けて共同設立したパランティアは、ビッグデータ分析企業であり、米国政府や移民・顧客執行局(ICE)を含む治安機関が移民の拘留や強制送還に広く利用しています。同社は、イングランドのNHSが、イングランド国内の無数のNHSサイロから運用データを統合・集約するために設計された新しいフェデレーテッド・データ・プラットフォーム(FDP)への移行を支援するため、2,500万ポンドの契約を獲得しました。問題は、あまりにも多くの患者ケア機関があまりにも多くの異なるシステムを使用しているため、イングランド全土における患者ケアのタイムリーな連携と管理に多くの障害が生じていることにあるようです。
その後、パランティアはFDP自体の運営のためにさらに3億3000万ポンドの契約を獲得しましたが、これは全国の一般開業医(GP)やデータプライバシー擁護団体の大きな不満を招きました。ちなみに、1月にはNHS(国民保健サービス)が、パランティアが契約に基づき構築したデータプラットフォームへの関与に対する批判に対抗するため、インフルエンサーマーケティングキャンペーンを展開したという疑惑を調査しているというニュースがすぐに報じられました。決して明るいスタートとは言えません。
NHSを構成するさまざまな組織間での運用データの流れを最適化すること自体が議論の対象となっているが、現在私たちが目にしているのは、民間企業に個人データへのアクセスを許可することに同意しなければ、最も基本的な一次医療を受けることさえますます困難になっているということだ。
Facebookとケンブリッジ・アナリティクスのスキャンダルが私たちに教えてくれたことがあるとすれば、それは一度被害が出てしまったら、もう終わりだということです。どんなに懲罰的な措置を講じても、データ不正の結果を覆すことはできません。営利企業の本質的な使命は、たとえそれが、たとえ既存の規則をいい加減に無視することを意味するとしても、できるだけ多くの利益を上げる方法を見つけることです。だからこそ、NHSの現状にこれほどの不安が広がっているのです。
「企業の仕組みはこうです。株主が、あなたが活用可能な知的財産を保有しているにもかかわらず、それを活用していないという事実を察知した場合、取締役会はCEOを解任し、『なぜあなたは活用しないのですか?投資に対するリターンを期待しているのに』と言う可能性があります」とバウ氏は述べた。「私たちが直面しているのは、まさにそのような緊張関係です。NHSは極めて極端な社会主義的構造であり、その一方で、極めて精神病的なベンチャーキャピタルの参入を許してしまいました。彼らはただ一つのことにしか価値を見出せず、それは利益だけなのです。」
