Trump admin makes sweeping request for medical records of federal workers | TechDistill

> Source: Ars_Technica

// Problem

収集対象が極めて詳細かつ広範であり、データ最小化の原則に反している。医師のメモや診断名といった機微情報の集約は、政治的利用や漏洩時のリスクが甚大である。また、データの取り扱いに関する具体的な保護策や、法的権限の明確な裏付けが欠如している点が大きな課題である。

// Approach

OPMは、福利厚生プログラムの監督および競争力・品質・手頃な価格の確保を目的としている。具体的には、65社の保険会社から医療請求、薬局請求、診療データ、プロバイダーデータなどを月次で取得する手法を提案し、HIPAAに基づく権限を主張している。

// Result

CVS Healthなどの業界リーダーは、HIPAAへの抵触、法的権限の欠如、消費者保護の不足を理由に、この前例のない広範なデータ収集計画に反対を表明した。データの詳細さと収集範囲の不明確さが、業界全体に大きな懸念を抱かせている。

Senior Engineer Insight

> データガバナンスの観点から、この提案は極めてリスクが高い。800万人規模の機微な非構造化データ（医師のメモ等）を中央集約する設計は、攻撃対象領域を不必要に拡大させる。コスト管理が目的であれば、匿名化された統計データや集計値で十分であり、個人の特定が可能な詳細データの収集は、データ最小化の原則に著しく反する。セキュリティ設計の基本を無視した、極めて脆弱なデータアーキテクチャと言わざるを得ない。