「単体プログラム」に潜む危険

 医療・ヘルスケア分野の情報セキュリティーを考える上で無視できない動きだと指摘したのが、2014年11月の改正薬事法(医薬品医療機器等法)施行だ。医療機器に内蔵されていないソフトウエア(単体プログラム)が医療機器として扱われることになり、規制の対象となった。

 単体プログラムとして重要なものに、スマートフォンアプリがある。医療・ヘルスケア向けに、実に多くのアプリが登場している。例えば、皮膚を撮影した画像からメラノーマ(悪性黒色腫)を診断する「メラノーマ診断アプリ」が存在するという。入手可能な4種類のメラノーマ診断アプリを米University of Pittsburghが検証したところ、正診率はアプリによって6.8~98.1%と大きくばらついた。正診率が6.8%しかないようなアプリが「野放しで流通しているとすれば問題だ」。このほか、米Symantec社の最近の調査によれば、ヘルスケアアプリの52%でプライバシーポリシーが明文化されておらず、同20%で個人情報やログイン情報が(暗号化していない)平文で送信されているという。

 議論のさなかにある個人情報保護法改正案では、匿名加工処理を施した「匿名加工情報」については、個人情報を提供した本人の同意なしに外部提供できる枠組みが提案されている。深津氏はこの枠組みに関して、匿名加工の有効性が技術進化などによって変わり得ることを問題視する。例えば、現状では個人の名前や顔とは異なり、「手の画像は(加工しなくても)大丈夫とされているが、4Kの画像を拡大したら“指紋が分かる”かもしれない。時代が変われば個人情報(の定義)も変わる」。