郵便受けから取り出す。楽しく親しみやすい色で印刷されている。綿棒でこする。唾を吐く。指を刺す。郵送する。すぐに、自分について新しいことがわかる:ホルモン、妊孕性、がんリスク、アルツハイマー病の素因、代謝、食物過敏症、あるいは全ゲノムさえも。それが自宅(「直接消費者向け」)DNA・健康検査の魅力だ。夜遅く、スマホから、無保険でも、好奇心からでも、単に体が隠している秘密に不安を感じていても、自宅で受けられるほぼすべての検査を注文できる。
自分で注文する前に、少しググってみた。最初は単純な答えを探していた:検査はFDAの審査を受けているか?会社はHIPAAの対象か?医師が結果を説明してくれるか?読めば読むほど、単純ではなくなった。FDAの文言はまれで、あっても特定の検査、レポート、採取キットに関連しているだけで、会社全体やサービス全体ではないことが多かった。HIPAA準拠と謳う会社もあれば、そうでない会社もあった。ほぼすべてがCLIA認定またはCAP認定の検査室を引用していたが、それは単なる検査室の品質基準だ。カウンセリングやフォローアップケアも大きく異なっていた。それがさらに細則へと私を導いた:自分の情報が法執行機関と共有されたり、広告や研究に使われたりする可能性は?
答えは、ほとんどの人が読まないポリシーにあった。しかし私は読んだ。10社について:Everlywell、LetsGetChecked、Labcorp OnDemand、Nebula Genomics / DNA Complete、Nucleus、SiPhox、myLAB Box、CircleDNA、SelfDecode、23andMe。言及したすべての企業にコメントを求めた。また、生命倫理、遺伝学、HIPAAと医療法、FDA規制、消費者プライバシー、サイバーセキュリティの専門家12人に話を聞いたが、引用したのはそのうち6人だけだ。
最初のリスク?それは私が生体試料を採取するために使うランセットや綿棒、チューブではない。それはもっと早く、検査を注文したときに始まる。そしておそらく、会社が健康関連データを扱っているから、自分の情報は他の医療記録と同じように保護されていると想定する。米国では、HIPAA(1996年医療保険の相互運用性と説明責任に関する法律)が、対象事業者とその業務提携先によって作成、維持、または送信される場合に、個人健康情報(PHI)を保護する。それは万人のための包括的なプライバシー法ではない。
アイオワ大学ロースクールのDavid H. Vernon教授であるAnya Princeは、健康と遺伝子のプライバシーを研究している。PrinceはZDNETに、主な問題は会社がHIPAAの対象かどうかだと語った。「DTC検査室は対象事業者に該当しない可能性がある」とPrinceは言う。「彼らが持つ健康情報は…PHIとはみなされず、会社のプライバシーポリシーによって管理される。」人気の自宅DTC企業を調べてみると、HIPAAの文言がいくつか使われている一方で、ギャップもあることに驚いた。EverlywellはHIPAAに基づき「個人を特定できる健康情報を保護することを約束する」と述べている。LabcorpはHIPAAに基づき「健康情報のプライバシーを維持することが法律で義務付けられている」と述べている。Nucleusは「HIPAA準拠」だと私に語った。SiPhoxは「HIPAAグレードのセキュリティ」を持ち、myLAB Boxはキットに関連する情報とサンプルがHIPAAの「対象」であると述べている。その他の企業については、HIPAA準拠またはHIPAAの対象であることを確認する現在の公開ページを見つけられなかった。
Engage Complianceの創業者で、DTC健康・遺伝子検査企業の外部データ保護責任者であるJulian GageはZDNETに、「HIPAAグレード」や「HIPAA準拠」という主張は「保護ではなく」マーケティング用語だと語った。「HIPAAグレードの暗号化はセキュリティ設定に関する声明だ」とGageは言う。「HIPAAが実際にあなたに適用されるかどうか、会社が結果をどう扱えるかについては何も語っていない。」例えば、DTC企業が医師や遠隔医療ネットワークを通じて注文をルーティングする場合、その臨床医やネットワークはHIPAAの対象事業者となり、それが作成・保持するデータの一部はHIPAAの対象となる可能性がある。しかし、それは必ずしも検査会社や…