最終更新 June 18, 2026すべてのセクション
1何が懸かっているか
健康データはどこでも機微なものです。紛争の影響を受け、政治的に脆弱な状況では、それは危険になり得ます。誰がどこで、誰からどんなケアを受けたかを知ることは、患者・保健ワーカー・家族を現実の危害にさらしかねません。私たちは最悪の事態が現実的だと想定して設計します。実際にそうなることがあるからです。
2原則
- データ最小化 — ケアに必要なものだけを集め、識別できるデータはネットワークから完全に外しておく
- 患者の尊厳 — 患者は記録ではなく人である。データは彼らをさらすためではなく、ケアに役立てるために存在する
- ローカル所有 — コミュニティと地域パートナーが、自らのデータの所有権と権限を保持する
- インフォームド・コンセント — 何が、なぜ集められるのかを、人々が行動に移せる言葉で理解する
- セキュリティ・バイ・デザイン — 保護は任意の設定ではなく、アーキテクチャの性質である
- 最小権限アクセス — 各役割は、その責任が必要とするものだけを見る
3身元モデル
これらの原則の最も明確な表れが身元モデルです。患者はデフォルトで識別ID(実名なし)で管理され、実世界の身元はプログラムが意図的に有効化した場合にのみ共有されます。
| レイヤー | 身元の種類 |
|---|---|
| 端末 | 識別ID+任意の実名 |
| クラウド | 識別ID+任意の実名(RLS) |
| 医師 | デフォルトは識別ID。プログラム有効時は実名 |
| 監督者 / NGO | 集計データのみ |
デフォルトでクラウドが保存するのは、実名を含まない識別子・年齢帯・行政区画コードのみです。ケアを調整するには十分で、個人を特定するには不十分な情報です。プログラムが実名・生年月日・住所・電話番号を有効化した場合、それらは保護されたストアに同期され、行レベルセキュリティによってそのプログラムのメンバーにのみ開示されます。
実世界の身元はデフォルトでは存在せず、プログラムをまたいで共有されることはありません。人が正しく振る舞うことに依存するプライバシーは脆く、アーキテクチャ(行レベルセキュリティとプログラム分離)によって強制されるプライバシーは過ちを乗り越えます。
個人を特定しないデータ設計・暗号化・監査ログの技術的な仕組みはプラットフォームのテーゼで詳述しています。
4将来のガバナンスの論点
Welnote がより多くの法域で活動するにつれ、そのデータガバナンスは認知された枠組みへと成熟していきます。これらは認証として主張するものではなく、地域の法律顧問とともに採り入れる進むべき方向です。
- 健康情報の取り扱いに関する HIPAA に着想を得た管理策
- 同意・最小化・データ主体の権利に関する GDPR に着想を得た原則
- 確立された「害を与えない」基準に沿った人道データガバナンス
- 自動化された支援が許される場所と許されない場所を定める AI ガバナンス