戻る

資料1−2

「ヒトゲノム・遺伝子解析研究に関する倫理指針」における
個人情報保護に関する見直しの方向性について

「個人情報」の定義と連結可能匿名化及び連結不可能匿名化された情報の整理を行う。

連結不可能匿名化された情報及び連結可能匿名化されていて対応表を保有しておらず個人の識別が不可能な状態にある情報については、法の「個人情報」の定義の識別可能性に照らし、この定義の「個人情報」には該当しないと考える。なお、これらの情報のみを保有する場合であっても指針の適用範囲であり、保有する情報には遺伝情報や診療情報などセンシティブな情報が含まれることから、これらの情報のみを保有する機関に対しても、法では個人情報を取り扱う事業者等に適用される安全管理措置を指針においては課すこととする。なお、対応表を保有していない場合でも、連結可能匿名化された情報については、対応表と連結させて使用することが考えられるため、連結不可能匿名化された情報に比べてより一層の管理措置が必要となる。
なお、匿名化されていない情報及び連結可能匿名化の場合で匿名化の対応表を保有していることにより個人の識別が可能な状態の情報については、法と同様に「個人が識別可能な情報」という範囲で「個人情報」とし、これらの情報を取り扱う者には、現行の指針において既に対応されているところであるが、個人情報管理者の設置などの義務が課せられるものである。
また、個人情報保護法と行政機関個人情報保護法及び独立行政法人等個人情報保護法における「個人情報」の定義において、前者は「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」とあるが、後者には「容易に」の文言はない。指針の枠組みからみれば、匿名化された情報の個人の識別可能性は、上述の議論から、実質的に照合可能か否かにより判断されるところであり、照合可能性の容易さは特段考慮されない。したがって、指針の「個人情報」の定義は、行政機関等の個人情報保護法の定義と同様の規定とし、「容易に」の文言は削除する。

「研究を行う機関の長」の位置づけを整理する。

個人情報保護法の責任は法人、行政機関の保有する個人情報保護法の責任は行政機関の長、独立行政法人の保有する個人情報保護法の責任は独立行政法人であることに鑑み、指針で最終的な責任を負う研究を行う機関の長は、法人の代表者または行政機関の長であることを明確にする。また、現行指針において研究を行う機関の長として例示される学部長、保健所長等は、法人の代表者、行政機関の長の命を受けて研究を統括的に実施する役割を担うことができることを規定する。

データ内容の正確性の確保に係る規定を追加する。

個人情報保護法第19条を踏まえ、「個人情報を取扱う研究を行う機関の長は、利用目的の達成に必要な範囲内において、個人情報を正確かつ最新の内容に保つよう努めなければならない。」ことを追加して規定する。

安全管理措置に係る規定を追加する。

安全管理措置に係る規定については指針において既に規定されているが、個人情報保護の観点から重要であることから、さらに詳細に規定することとし、個人情報保護法第20条を踏まえ「研究を行う機関の長の責務として、組織的、人的、物理的及び技術的安全管理措置を講じなければならない。」ことを追加して規定する。
 なお、さらに以下の詳細を規定する。
 
 ・ 組織的安全管理措置
 組織的安全管理措置とは、安全管理について研究従事者等の責任と権限を明確に定め、安全管理に対する規定や手順書(以下「規定等」という)を整備運用し、その実施状況を確認することをいう。組織的安全措置には以下の事項が含まれる。
 (1) 個人情報の安全管理措置を講じるための組織体制の整備
 (2) 個人情報の安全管理措置を定める規定等の整備と規定等に従った運用
 (3) 個人情報の取扱い状況を一覧できる手段の整備
 (4) 個人情報の安全管理措置の評価、見直し及び改善
 (5) 事故又は違反への対処

 ・ 人的安全管理措置
 人的安全管理措置とは、研究従事者等に対する、業務上秘密と指定された個人情報の非開示契約の徹底や教育・訓練等を行うことをいう。人的安全管理措置には以下の事項が含まれる。
 (1) 雇用契約時及び委託契約時における非開示契約の締結
 (2) 研究従事者等に対する教育・訓練の実施

 ・ 物理的安全管理措置について
 物理的安全管理措置とは、入退館(室)の管理、個人情報の盗難の防止等の措置をいう。物理的安全管理措置には以下の事項が含まれる。
 (1) 入退館(室)管理の実施
 (2) 盗難等の防止
 (3) 機器・装置等の物理的な保護

 ・ 技術的安全管理措置
 技術的安全管理措置とは、個人情報及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人情報に対する技術的な安全管理措置をいう。技術的安全管理措置には、以下の事項が含まれる。
 (1) 個人情報へのアクセスにおける識別と認証
 (2) 個人情報へのアクセス制御
 (3) 個人情報へのアクセス権限の管理
 (4) 個人情報のアクセスの記録
 (5) 個人情報を取り扱う情報システムについての不正ソフトウェア対策
 (6) 個人情報の移送・通信時の対策
 (7) 個人情報を取り扱う情報システムの動作確認時の対策
 (8) 個人情報を取り扱う情報システムの監視

個人情報に該当しない匿名化された情報を取扱い場合については、安全管理措置とは別に、「研究を行う機関の長の責務として、連結可能と連結不可能の区別に留意し、適切に取扱わなければならない。」ことを追加して規定する。

委託者の監督について、個人情報保護法第22条を踏まえ、「研究を行う機関の長は、研究を委託する場合は、委託された個人情報の安全管理及び個人情報に該当しない匿名化された情報の適切な取扱いが図られるよう、委託を受けた者に対する必要かつ適切な監督を行なわなければならない。」ことを追加して規定する。
また、「必要かつ適切な監督」の例示として、「委託契約書において委託者が定める安全管理措置の内容を契約に盛り込むとともに、当該内容が遵守されていることを確認すること」を規定する。

訂正及び利用停止に係る規定を追加する。

個人情報保護法第26条を踏まえ、「研究を行う機関の長は、提供者又は代諾者等から、研究を行う機関が保有する提供者が識別される個人情報の内容が事実でないという理由によって、当該情報の内容の訂正、追加又は削除(以下「訂正等」という)を求められた場合は、その内容の訂正に関して法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲において、遅滞なく必要な調査を行い、その結果に基づき、当該個人情報の内容の訂正等を行わなければならない。」ことを追加して規定する。
個人情報保護法第27条を踏まえ、インフォームド・コンセントの撤回があった場合は「試料等を廃棄しないこと(連結不可能匿名化されている場合又はバンクへ提供する場合など提供者から廃棄しないことの同意が得られている場合は除く。)又は廃棄したことについてインフォームド・コンセントの撤回者に通知する。」ことを追加して規定する。

開示等の求めに応じる手続き及び手数料に係る規定を追加する。

個人情報保護法第29条を踏まえ、インフォームド・コンセントを受ける際の説明文書の記載事項に、インフォームド・コンセントの撤回について「必要に応じて撤回の求めを受け付ける方法を含む」こと、また個人情報の開示に関する事項を追加して規定する。また、個人情報保護法第30条を踏まえ、開示手数料を徴収する場合は、上述の文書に「開示手数料」についても記載することを追加して規定する。

理由の説明に係る規定を追加する。

個人情報保護法第28条を踏まえ、「提供者又は代諾者等から、研究を行う機関が保有する提供者が識別される個人情報の内容が事実でないという理由によって、当該情報の内容の訂正等を求められた場合、これを行わない場合はその理由を説明するよう努めなくてはならない。なお、この場合、提供者又は代諾者等の要求内容が事実でないこと等を知らせることにより、提供者又は代諾者等の精神的負担になり得る場合等、説明を行うことが必ずしも適当でないことがあり得ることから、事由に応じて慎重に検討のうえ、対応しなくてはならない。」ことを追加して規定する。
個人情報保護法第28条を踏まえ、インフォームド・コンセントの撤回があった場合で、試料等を廃棄しない場合には「その旨、遅滞なく通知し、理由を、インフォームド・コンセントを撤回した提供者及び代諾者等に書面にて通知する。」ことを追加して規定する。
個人情報保護法第28条を踏まえ、「提供者または代諾者から、個人情報、また遺伝情報の開示を求められた場合で、それら開示しない場合、その理由を説明するよう努めなければならない。」ことを追加して規定する。

苦情処理の窓口の設置について補足する。

苦情処理に関しては既に規定されているが、より円滑な苦情処理が行われるよう「苦情等の窓口は、提供者又は代諾者にとって利用しやすいように、担当者の配置、利用手続等に配慮しなくてはならない。」ことを補足する。

トップへ
戻る