英国民50万人分の医療データがAlibabaで“買える”事態に　企業への教訓と対策は：データ共有モデルの限界

英国の約50万人分の匿名化医療データが、中国のECサイトで販売されていた。本事件からは、データ共有体制の限界が浮き彫りになった。企業が取るべき対策は。

≫ 2026年04月30日 05時00分公開

　英国民50万人分の匿名化された医療データが、中国のEC（電子商取引）サイトAlibabaで販売されていたことが分かった。

　遺伝情報、生活習慣、健康診断情報といった個人の医療データを保有しているのは、「UK Biobank」。英デジタル政府・データ担当大臣のイアン・マレー氏によると、Alibabaの複数の販売者が、匿名化された医療データを販売していたという。発表は2026年4月23日。

　非営利の慈善団体であるUK Biobankは、ボランティアから提供された医療データを収集している。このデータは、がんや心臓病の研究、認知症の予測手法の進展を目的に、世界中の研究者と共有されている。

データ共有の限界があらわに　対策は？

併せて読みたいお薦め記事

データ流出の関連記事

　UK Biobankは、氏名や住所、電話番号などの直接的な個人識別情報（PII）は含まれていなかったとしている。また、現時点では実際に販売成立した形跡は確認されていないという。

　しかし、この問題は「匿名化済みだから安全」という前提の危うさを示している。近年は、匿名化データであっても、他のデータセットと突合することで個人を再識別できるリスクが指摘されている。

　特に医療データは、病歴や遺伝情報、生活習慣など極めて機微性が高い情報を含む。研究目的で共有されるケースでは、研究機関や外部委託先をまたいでデータが流通するため、「誰がどこまで持ち出せるのか」を完全に統制することが難しい。

　今回のケースでも、研究機関に提供された後にデータが外部へ持ち出されたとみられている。UK Biobankは、流出元とみられる研究機関のアクセス権を停止した。

　マレー氏によると、英国政府はUK Biobank、中国政府、Alibabaと迅速に連携し、該当するデータ出品を削除したという。

　今回のような悪意あるダウンロードを防止する技術的解決策がUK Biobankに導入されるまで、データへのアクセスは一時停止されるという。

「信頼ベース」の研究共有モデルに限界

　UK Biobankの最高経営責任者（CEO）ローリー・コリンズ氏によると、研究者は厳格なアクセス審査プロセスを経ている。研究機関も、データ保護を約束する契約を締結した上でアクセスを許可されている状態だ。

　これは、多くの研究データ共有基盤が「契約順守」を前提として成立している現実を示している。つまり、技術的に完全に持ち出しを防ぐのではなく、「研究者はルールを守る」という信頼に依存していた側面がある。

　この構造は、企業のデータ共有基盤にも通じる。外部委託先や共同研究先、SaaS利用企業にデータアクセスを許可した後、「持ち出し禁止」というポリシーだけで統制しているケースは少なくない。

　だが、AIやクラウド活用が拡大する中で、データは容易に複製・転送できる。契約だけでは抑止力として不十分になる可能性がある。

　「今回の件は、これらの学術機関が署名した契約に対する明確な違反だ。関与した個人とともに、当該機関のアクセスを停止した」（コリンズ氏）

　UK Biobankは事件発生以降、英国のクラウドベースの研究プラットフォームへの全てのアクセスを一時的に停止している。今後は、プラットフォームから持ち出せるファイルサイズに制限を設ける計画だ。ユーザーの不審な挙動やファイルのエクスポートも監視する。

企業への教訓は？

　企業の情シスやセキュリティ担当者にとっても、この事件は人ごとではない。特に以下のような環境では、同様のリスクが発生し得る。

外部研究機関や委託先に大量データを共有している
クラウド分析基盤を利用している
AI学習用データを外部と共有している
VPN経由で研究データへアクセスできる
「匿名化済みデータだから安全」だと考えている

　英国政府は今後、研究データ管理に関する新たなガイドラインを策定する方針を示した。

　また、専門家は、VPNやリモートアクセス通信の監視強化、多要素認証（MFA）、ゼロトラスト制御、IP許可リスト、機械学習ベースの異常検知の利用などを推奨している。

　今回の問題は、単なる「研究データ流出事件」ではない。AI時代における「共有前提のデータ運用」が、どこまで制御可能なのかという根本的な課題を突き付けている。

TechTargetジャパントップセキュリティ