戻る

資料2−2

「疫学研究に関する倫理指針」における個人情報保護に関する
見直しの方向性について(案)


「個人情報」の定義と連結可能匿名化及び連結不可能匿名化された情報の整理を行う。
連結不可能匿名化された情報及び連結可能匿名化されていて対応表を保有しておらず個人の識別が不可能な状態にある情報については、法の「個人情報」の定義の識別可能性に照らし、この定義の「個人情報」には該当しないと考える。また、匿名化されていない情報及び連結可能匿名化の場合で匿名化の対応表を保有していることにより個人の識別が可能な状態の情報については、法と同様に「個人が識別可能な情報」という範囲で「個人情報」に該当するものと考える。
また、「ヒトゲノム・遺伝子解析研究に関する指針」の見直しにあたっては、「個人情報」の定義として、遺伝情報を取り扱うこと等も考慮し、「他の情報と照合することができ」と「容易に」を含まない定義としたが、「疫学研究に関する倫理指針」(疫学研究指針)においては、疫学研究に用いる個人情報は、その内容、質によって非常に多様であるため、「容易に」が含まれる個人情報保護法と同様の定義とする。

「個人情報の保護に関する措置を行う者」の位置づけを整理する。
疫学研究では資料等の提供を行う者の所属する機関と研究機関とが同一法人内の別機関である場合があることから、疫学研究指針では個人情報保護に係る規定においては法人の代表者又は行政機関の長などの機関の長を「研究を行う機関の長」とし、個人情報保護に係る責任を有するものとする。なお、この場合、必要に応じて、権限及び事務を当該機関内の適当な者に委任することができる規定を設ける。

利用目的変更時の本人同意等に係る規定を追加する。
個人情報保護法第15条第2項で相当の関連性を合理的に有すると考えられる範囲を超えての利用目的の変更不可、法第16条で個人情報の利用目的の達成に必要な範囲を超えた場合の利用にあたっての本人同意、法第18条第3項で利用目的を変更した場合の変更された利用目的について本人に通知又は公表することが規定されており、これらを疫学研究指針に追加して規定する。
本人の同意を得ないで既存資料等を利用する場合に、その要件として個人情報保護法第16条第3項第3号の例外規定の「公衆衛生の向上」の要件に該当することを明らかにする。

取得に際しての利用目的の通知又は公表について明確化する。
個人情報保護法第18条を踏まえ、疫学研究指針において、研究対象者からインフォームド・コンセントを得る際の説明事項として、当該研究の目的を説明することを規定する。また、インフォームド・コンセントを得ない場合は、研究の実施について情報公開を行うにあたって、当該研究の目的を含むことを明示する。

データ内容の正確性の確保に係る規定を追加する。
個人情報保護法第19条を踏まえ、個人情報を正確かつ最新の内容に保つよう努めなければならないことを追加して規定する。

安全管理措置に係る規定を追加する。
個人情報保護法第20条を踏まえ、研究を行う機関の長の責務として、組織的、人的、物理的及び技術的安全管理措置を講じなければならないことを追加して規定する。
 なお、さらに以下の詳細を規定する。
  ・ 組織的安全管理措置
 組織的安全管理措置とは、安全管理について研究従事者等の責任と権限を明確に定め、安全管理に対する規定や手順書(以下「規定等」という)を整備運用し、その実施状況を確認することをいう。組織的安全措置には以下の事項が含まれる。
 (1) 個人情報の安全管理措置を講じるための組織体制の整備
 (2) 個人情報の安全管理措置を定める規定等の整備と規定等に従った運用
 (3) 個人情報の取扱い状況を一覧できる手段の整備
 (4) 個人情報の安全管理措置の評価、見直し及び改善
 (5) 事故又は違反への対処

  ・ 人的安全管理措置
 人的安全管理措置とは、研究従事者等に対する、業務上秘密と指定された個人情報の非開示契約の徹底や教育・訓練等を行うことをいう。人的安全管理措置には以下の事項が含まれる。
 (1) 雇用契約時及び委託契約時における非開示契約の締結
 (2) 研究従事者等に対する教育・訓練の実施

  ・ 物理的安全管理措置について
 物理的安全管理措置とは、入退館(室)の管理、個人情報の盗難の防止等の措置をいう。物理的安全管理措置には以下の事項が含まれる。
 (1) 入退館(室)管理の実施
 (2) 盗難等の防止
 (3) 機器・装置等の物理的な保護

 ・ 技術的安全管理措置
 技術的安全管理措置とは、個人情報及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人情報に対する技術的な安全管理措置をいう。技術的安全管理措置には、以下の事項が含まれる。
 (1) 個人情報へのアクセスにおける識別と認証
 (2) 個人情報へのアクセス制御
 (3) 個人情報へのアクセス権限の管理
 (4) 個人情報のアクセスの記録
 (5) 個人情報を取り扱う情報システムについての不正ソフトウェア対策
 (6) 個人情報の移送・通信時の対策
 (7) 個人情報を取り扱う情報システムの動作確認時の対策
 (8) 個人情報を取り扱う情報システムの監視

なお、死者についても、死者の人としての尊厳や遺族の感情に鑑み、死者に係る情報についても、個人情報と同様に安全管理措置を講じることを規定する。

個人情報保護法第21条を踏まえ、個人情報の安全管理が図られるよう、研究を行う機関の長は研究従事者に対して必要かつ適切な監督を行わなければならないことを追加して規定する。
個人情報保護法第22条を踏まえ、研究を委託する場合は、委託された個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行なわなければならないことを追加して規定する。

第三者提供に係る規定を追加する。
個人情報保護法第23条を踏まえ、本人の同意を得ないで個人情報を第三者へ提供してはならないことを追加して規定するとともに、第三者へ提供する可能性がある場合及び共同研究の場合には、当該事項に関して必要な事項について予め同意を得ておくよう、インフォームド・コンセントを得る際の説明事項に規定する。
既存資料等を所属機関外の者に研究に用いるために提供する場合について、研究対象者から資料の提供に係る同意を受けないで提供できる条件の一つとして、資料が匿名化されている場合があるが、連結不可能匿名化されている情報及び連結可能匿名化されている情報で対応表を保有していない場合は「個人情報」に該当しないことに基づきこれを明示する。

保有する個人情報に関する事項の公表に係る規定を追加する。
個人情報保護法第24条を踏まえ、法24条第1項に規定された事項について、研究対象者からインフォームド・コンセント取得する際の説明事項に追加する。なお、インフォームド・コンセントを得ない場合は、研究の実施について情報公開を行うにあたって、これらの事項を含むことを明示する。

開示に係る規定を追加する。
個人情報保護法第25条を踏まえ、研究対象者等から研究機関が保有する個人情報の開示を求められたときは、これを開示することを追加して規定する。

訂正及び利用停止に係る規定を追加する。
個人情報保護法第26条を踏まえ、研究対象者等から、研究機関が保有する研究対象者が識別される個人情報の内容が事実でないという理由にによって、当該情報の内容の訂正、追加又は削除(以下「訂正等」という)を求められた場合で、それらの求めが適正であると認められるときは、当該個人情報の内容の訂正等を行わなければならないことを追加して規定する。
個人情報保護法第27条を踏まえ、研究対象者等から、研究機関が保有する研究対象者が識別される個人情報の利用停止及び第三者への提供の停止を求められた場合で、その求めに理由があることが判明したときは、当該個人情報の利用停止又は第三者への提供の停止を行わなければならないことを追加して規定する。なお、疫学研究指針では、インフォームド・コンセントの撤回が規定されていないことから、これを追加して規定する。

開示等の求めに応じる手続き及び手数料に係る規定を追加する。
個人情報保護法第29条を踏まえ、インフォームド・コンセントを受ける際の説明文書の記載事項に、保有する個人情報の開示等の求めに応じる手続きに関する事項を追加する。また、個人情報保護法第30条を踏まえ、開示手数料を徴収する場合は、上述の文書に「開示手数料」についても記載することを追加する。

理由の説明に係る規定を追加する。
個人情報保護法第28条を踏まえ、研究対象者等から研究実施施設が保有する個人情報について求められた開示、訂正等、利用停止等において、その措置をとらない又はその措置と異なる措置をとる場合は、その理由を研究対象者等に説明するよう努めなければならないことを追加して規定する。なお、正当な理由によりあらかじめ開示できない事項が想定される場合は、インフォームド・コンセント取得時に説明することを規定する。

苦情処理に係る規定を追加する。
個人情報保護法第31条を踏まえ、苦情等の窓口の設置等、研究対象者等からの苦情や問い合わせ等に適切に対応しなければならないことを追加して規定する。また、より円滑な苦情処理が行われるよう苦情等の窓口は、研究対象者等にとって利用しやすいように、担当者の配置、利用手続等に配慮しなくてはならないことを補足する。

トップへ
戻る