Design of a Secure Wearable Health Data Sharing Platform for Region Hovedstaden: A FHIR DK and GDPR-Compliant Service Architecture

本論文は、デンマークの首都地域（Region Hovedstaden）において、FHIR DK 規格と GDPR に準拠し、MitID 認証やゼロトラストセキュリティを採用したマイクロサービスアーキテクチャを提案することで、ウェアラブル端末からの健康データを国民電子健康記録（Sundhed.dk）へ安全に統合する枠組みを提示しています。

要約

この論文は、デンマークの首都圏（Region Hovedstaden）に住む人々が、**「スマートウォッチや健康リングなどのウェアラブル機器から得られる健康データを、病院のシステムに安全に共有できる仕組み」**をどう作ればよいかを提案したものです。

専門用語を避け、わかりやすい比喩を使って説明しましょう。

🏥 今、何が問題なのか？（「壁」と「鍵」の物語）

デンマークには「Sundhed.dk（スンデド・ドット・ケー）」という、国民全員が使える**「デジタルな健康記録の巨大な図書館」**があります。しかし、現在、この図書館には大きな壁があります。

1. 言語の壁: スマートウォッチ（Apple Watch や Garmin など）は「自分の言葉（独自のデータ形式）」で喋っていますが、図書館の司書（病院のシステム）は「FHIR（フィアール）」という特定の言語しか理解できません。そのため、スマートウォッチのデータは図書館に入ることができません。
2. 鍵の壁: データを送るには、国民全員が持っている「MitID（ミットID）」というデジタル身分証明書が必要です。しかし、今のスマートウォッチのアプリは、この鍵を使えないようにロックされています。
3. 信頼の壁: 「自分の健康データが、保険会社や雇用主に勝手に見られたらどうしよう？」という不安があります。

その結果、糖尿病や高血圧などの患者さんが、自宅で測った大切なデータが、医師の手に届く前に「行方不明」になってしまっています。

🏗️ 提案されている解決策：「5 階建ての安全な物流センター」

この論文では、この問題を解決するために、**「5 階建てのモダンな物流センター（マイクロサービスアーキテクチャ）」**を建てることを提案しています。

このセンターは、スマートウォッチから病院まで、データを安全に運ぶための専用ルートです。

• 1 階（設備フロア）：データの集め場
  • スマートウォッチやセンサーから、心拍数や歩数などのデータを集めます。ここでは、データを「標準的な箱」に詰めて整理します。
• 2 階（ゲートフロア）：厳重な入国審査
  • ここが最も重要な場所です。**「MitID」を使って、本当に本人かどうかを確認します。さらに、「ゼロトラスト（誰も信用しない）」**という考え方で、誰が何をするか常にチェックします。
• 3 階（管理フロア）：許可の窓口
  • ここでは**「同意（コンセント）」を管理します。「心拍数のデータは医師に見せていいけど、睡眠データは見せない」といった「きめ細かな許可」を、患者さんがスマホで簡単に設定できます。これが「プライバシー・バイ・デザイン（設計段階からプライバシーを守る）」**の心臓部です。
• 4 階（倉庫フロア）：データの保管庫
  • 許可されたデータだけを、**「FHIR DK（デンマーク版の標準言語）」**という形式に変換して、安全な倉庫（データベース）に保管します。
• 5 階（展示フロア）：医師と患者の窓口
  • 医師はここからデータを閲覧し、患者さんは「誰がいつ私のデータを見たか」という**「閲覧履歴（監査ログ）」**をいつでも確認できます。

🔐 なぜこれが「安全」なのか？

このシステムは、単にデータを運ぶだけでなく、**「透明性」**を重視しています。

• 黒い箱ではなく、ガラスの箱: 患者さんは、自分のデータが誰に、いつ、なぜ使われたかをすべて見ることができます（ガラスの箱）。
• いつでも鍵を返せる: 同意したデータでも、後から「やっぱり見せたくない」と思えば、その瞬間にアクセス権を停止できます（鍵の返却）。
• 盗聴防止: データは常に暗号化されたトンネルを通って運ばれます。

📊 人々はこれを望んでいるか？（アンケートの結果）

著者たちは、デンマークの市民 47 人にアンケートを行いました。結果は興味深いものでした。

• **「安全なら、データを提供したい」という人が51.1%**いました。
• 残りの人々も、「もし自分のデータが誰にどう使われるかがはっきりして、コントロールできたら」という条件付きで賛成していました。
• 最大の不安は、「技術的なハッキング」よりも**「保険会社や雇用主など、医療関係者以外にデータが使われること」**でした。

つまり、人々は「データ共有」そのものを嫌っているのではなく、**「コントロールできない状態で共有されること」**を嫌っているのです。

🚀 まとめ：この提案が意味すること

この論文は、単なる技術的な設計図ではありません。それは**「信頼の橋」**を架けるための設計図です。

• 技術面: スマートウォッチのデータを、病院のシステムが理解できる形に変換し、安全に送る仕組みを作ります。
• 人間面: 患者さんが「自分のデータは自分のもの」と感じられるよう、同意の管理や閲覧履歴の透明性を徹底します。

もしこのシステムが実装されれば、デンマークの患者さんは、自宅で測った心拍数や睡眠のデータが、自動的に医師の診察に役立ち、より良い治療や入院の回避につながる可能性があります。

一言で言えば：
「スマートウォッチのデータを、**『ガラス張りの安全なトラック』に乗せて、『本人の許可』**という鍵で厳重に管理しながら、病院の図書館へ届ける新しい仕組み」を作ろうという提案です。

技術概要

以下は、Abir Chowdhury と Arshi Irtiza によって執筆された論文「Region Hovedstaden 向け安全なウェアラブル健康データ共有プラットフォームの設計：FHIR DK および GDPR 準拠のサービスアーキテクチャ」の技術的サマリーです。

1. 問題定義 (Problem)

デンマークの首都圏（Region Hovedstaden、人口 180 万人）では、Apple Watch や Oura Ring などの消費者向けウェアラブルデバイスから生成される継続的な生理学的データ（PGHD）を、国の電子健康記録システム「Sundhed.dk」に統合するための安全で標準化された経路が存在しません。

主な構造的障壁は以下の 3 点です：

• 標準化の欠如: Sundhed.dk には、継続的な患者生成データ用の「FHIR DK v6.0.2」プロファイルが不足しており、データの相互運用性が担保されていません。
• 認証経路の欠如: 患者が MitID（デンマークの国民 ID システム）を介してウェアラブルデータを共有できる認証経路がなく、Apple HealthKit や Google Fit などのデータは閉じたエコシステム内に留まっています。
• プライバシー・バイ・デザインの不備: 既存のソリューションは、GDPR 第 25 条（プライバシー・バイ・デザイン）や、Datatilsynet（デンマークデータ保護庁）が求める詳細な同意管理、患者可視化の監査証跡の要件を満たしていません。

2. 研究方法 (Methodology)

本論文はオーフス大学の問題解決学習（PBL）手法に基づき、以下の 3 つの証拠ストリームを組み合わせて研究を行いました。

• 文献レビュー: デンマーク固有のソース（Sundhed.dk、NSI 仕様、Datatilsynet の執行事例、MitID 統合ガイドライン）を対象とした体系的な調査。
• プラットフォームベンチマーク: Sundhed.dk、Apple HealthKit、Google Fit、Epic MyChart の 4 社を、「FHIR DK プロファイル対応」「MitID/NSI 互換性」「同意の細粒度」「臨床ワークフローの実現性」の 4 基準で評価。
• ステークホルダー調査: リンクトイン等を通じて 47 名のデンマーク関係者（患者、医療従事者、プラットフォーム運営者など）を対象にアンケートとインタビューを実施。データ品質のスクリーニングを行い、自動化された回答を除外した上で分析を行いました。
• 要件定義: 得られた知見を ISO/IEC/IEEE 29148 に準拠した MoSCoW 法（Must, Should, Could, Won't）で優先順位付けし、3 方向トレーサビリティマトリクスを用いてアーキテクチャコンポーネントにマッピングしました。

3. 主要な貢献 (Key Contributions)

本論文は、以下の 2 つの主要な成果を提供しています。

A. 要件仕様書 (14 項目)

ステークホルダーの調査と規制要件に基づき、以下の 14 項目の要件を定義しました。

• 機能要件 (F1-F7): MitID 認証、詳細な同意管理（タイプ/提供者/時間）、FHIR DK 準拠のデータインポート/エクスポート、リアルタイム監査ログ、IoT デバイス統合（MQTT/BLE/REST）など。
• 非機能要件 (NF1-NF7): TLS 1.3/AES-256 によるセキュリティ、P95 で 3 秒未満の API 応答時間、99.9% の可用性、24 時間以内の DPIA（データ保護影響評価）文書生成など。

B. 5 層マイクロサービス・アーキテクチャ

相互運用性のギャップを埋めるための概念的な 5 層アーキテクチャを提案しました。

1. デバイス層: IoT ゲートウェイ、BLE アダプタ（MQTT 5.0, BLE）。
2. API ゲートウェイ層: MitID 認証、FHIR API、同意ミドルウェア（Kong, OAuth 2.1, OIDC）。
3. ビジネスロジック層: 同意サービス、アクセス制御、監査サービス（Node.js, Kafka Streams）。
4. データ層: FHIR リポジトリ、監査ログ、同意ストア（MongoDB, PostgreSQL, ClickHouse）。
5. プレゼンテーション層: 患者ポータル、医師ダッシュボード（React.js, FHIR Viewer）。

セキュリティとコンプライアンス:

• ゼロトラストモデル: 全てのサービス境界で mTLS とトークンベースの制御による継続的な認証・承認を強制。
• GDPR 第 25 条対応: 同意の執行、データ最小化、監査ログを設計に組み込み、同意の取り消しが即座にデータ処理パイプラインに反映される仕組みを構築。
• イベント駆動型統合: Apache Kafka を使用してウェアラブルデータの取り込みと臨床処理をデカップリング。

4. 調査結果と検証 (Results)

47 名の検証済み回答者からのデータから以下の知見が得られました。

• データ共有への意欲: 51.1% が「安全な条件下であれば」ウェアラブルデータを医療従事者と共有することに同意。38.3% は条件付きで同意しました。
• 信頼の決定要因: 共有への意欲は、認証（F1）、同意の制御（F2）、監査の透明性（F4）への信頼と強く相関していました。
• プライバシー懸念: 最大の懸念は「医療以外の利用（保険会社や雇用主など）」（59.6%）と「データアクセスへの制御不足」（55.3%）でした。
• 期待される効果: 80.9% の回答者が、このプラットフォームが医療の質を向上させると期待しており、特に「監査の透明性/アクセスログ」（38.3%）と「簡単な同意制御」（21.3%）が最も望ましい信頼機能として挙げられました。

5. 意義と結論 (Significance)

• 実用的な設計青写真: 本論文は、デンマークの公的医療における相互運用性のギャップを埋めるための、追跡可能な標準準拠の設計青図を提供します。
• 信頼の構築: 技術的なパフォーマンスよりも、「同意の可視性」と「監査の透明性」が、ウェアラブルデータ共有の採用を決定づける主要因であることを実証しました。
• 政策への示唆: 提案されたアーキテクチャは、Region Hovedstaden でのパイロット実施（Rigshospitalet や Amager Hvidovre 病院など）の基礎となり、将来的にはデンマークの「デジタルヘルス戦略 2025–2028」に合致する全国展開の基盤となります。
• 標準化の必要性: 継続的なウェアラブル観測パターンに対する FHIR DK プロファイルの明示的な標準化サポートの必要性を強調し、地域ごとのアドホックな統合ワークアラウンドへの依存を減らすことを提言しています。

本論文は、概念的な設計段階に留まっていますが、GDPR 準拠とゼロトラストセキュリティを統合した、デンマークの医療環境に特化したウェアラブルデータ共有の重要な枠組みを示しています。