overview/documents/jp_medical_digital_data_ai_guideline_2024
JPJapananalyzedRegulatory guidance

Document

医療デジタルデータのAI研究開発等への利活用に係るガイドライン

The document opens by explicitly framing medical AI data utilization in the context of intensifying global R&D competition, positioning Japan's data governance as a matter of competitive capacity. The preface warns that privacy law 'greatly affects data resources that are the source of competitiveness.' Simultaneously, it foregrounds patient rights protection and privacy as a core constraint, making fundamental_rights a strong secondary frame. Innovation enablement is also present as the guideline aims to remove legal barriers to product development.

normalized text

1 section

  1. 01

    Full text

    医療デジタルデータの AI 研究開発等への 利活用に係るガイドライン 2 まえがき 先端的な研究開発やイノベーションによる新産業の創出は、常に厳しいグローバルな競争にさらされており、個人情報保護法制 はその競争力の源泉であるデータ資源の取扱いに大きく影響を及ぼす。特に医療分野においては、病院に蓄積された膨大な医療情 報を貴重なデータ資源として活用し、学術研究機関等や医療機関等のみならず、製品開発の担い手としての民間企業等をも巻き込 んだ研究開発競争が世界的に激化している。こうした中、本邦では、「個人情報の保護に関する法律」(平成 15 年法律第 57 号。以下「個人情報保護法」という。)上、要配慮個人情報の取得、個人データの第三者提供等に関しては、原則として本人の同 意が必要とされてきた。しかしながら、過去に診療を受けた膨大な数の患者から個別に同意を取得することは現実的に困難であ る。そのため、学術研究目的での利用や公衆衛生の向上目的での利用を越えた形で、民間企業等が病院に蓄積された医療情報を製 品開発のみの目的で利活用できるケースが限られていた。そこで、本人から直接的に同意を得ることが難しい場合であっても、医 療情報の利活用を可能とするための、法的・倫理的・社会的な課題を踏まえた枠組みの整備が期待されていた。 こうした中、令和 3 年度の規制改革実施計画において、「AI 画像診断機器等の性能評価において、仮名加工情報を利用するこ との可否について検討した上で、教師用データや性能評価用データとして求められる医療画像や患者データについて整理を行い、 当該データを仮名加工情報に加工して用いる際の手法等について具体例を示すこと」とされた。これを踏まえ、令和 3 年度・厚生 労働科学研究費補助金・行政政策研究分野・政策科学総合研究「AI を活用した医療機器の開発・研究におけるデータ利用の実態 把握と課題抽出に資する研究」(研究代表者:中野 壮陛(公益財団法人医療機器センター))において、医療情報を利活用するに あたっての課題抽出と整理が行われ、「仮名加工情報に対する医療機関向けの適切な加工手順を国によるガイドラインとして整備 する必要がある」と提言された。さらに、保健医療分野 AI 開発加速コンソーシアム等においても、保健医療分野における DX の推進に向けては、医療情報のデジタル化及びデジタルデータの AI 研究開発等への利活用の促進が肝要であり、その利活用に係 る倫理的・法的・社会的課題への対応が喫緊の課題であるとされた。特に、「個人情報保護法を考慮した医療情報の加工手法につ いて、ガイドラインを作成し基準を明確化すべき」という指摘がなされた。 以上の背景を踏まえ、令和 4 年度から令和 5 年度にかけて実施された厚生労働科学研究費補助金・行政政策研究分野・政策科学 総合研究「保健医療分野におけるデジタルデータの AI 研究開発等への利活用に係る倫理的・法的・社会的課題の抽出及び対応策 の提言のための研究」(研究代表者:中野 壮陛(公益財団法人医療機器センター))の一環として、「デジタルデータの AI 研究 開発等への利活用に係るガイドライン作成班」(研究分担者:浜本 隆二(国立研究開発法人国立がん研究センター))が組織さ れた。本ガイドライン作成班では、患者の権利利益を適切に保護することを前提として、医療情報の特性を考慮した仮名加工情報 の適切な運用を整理するために、患者団体、医学、法律、倫理、工学などの有識者を含む産官学の関係者との議論を重ねた。特 に、医療機関等、学術研究機関等、及び民間企業等が共同研究を起点として、医療機関等が保有する医療情報を利活用した製品開 発を行う場合を想定し、研究開発のステージに応じて、医療情報を利活用するための適切な法的根拠を明確化するとともに、医療 情報の特性を踏まえた仮名加工情報の作成手順やその運用に関する実践的なガイダンスとなるように取りまとめたものである。 令和 6 年 3 月 31 日 デジタルデータの AI 研究開発等への利活用に係るガイドライン作成班 一同 3 目次 1 はじめに 1.1 背景 1.2 目的と対象 1.3 用語の定義 2 医療情報の利活用と法的根拠 2.1 医療情報の利活用 2.2 医療情報の利活用に関わる事業者 2.3 要配慮個人情報としての医療情報に係る規律の概要 2.4 学術研究例外とその該当性 2.5 公衆衛生例外とその類型 2.6 製品開発目的で医療情報を医療機関等から民間企業等に提供する際の法的根拠 3 仮名加工情報とその共同利用 3.1 仮名加工情報とは 3.2 仮名加工情報の共同利用 3.3 仮名加工情報の共同利用の設定パターン 3.4 推奨されない仮名加工情報の取扱い 3.5 仮名加工情報の個人情報該当性 3.6 仮名加工情報の規律 3.7 仮名加工情報の利用目的変更・共同利用等に関する手続き 3.8 削除情報等の安全管理措置義務 4 医療情報の特性を考慮した仮名加工情報の作成手順 4.1 仮名加工情報の適正な加工基準 4.2 安全な仮名加工情報を作成するための追加的措置 4.3 医療情報における記述等の類型 4.4 医療情報における記述等の類型に該当する具体例 4.5 個人識別符号に対する該当性 4 4.6 医療情報における記述等の類型に関する各論 4.7 識別子・準識別子に対する加工の類型 4.8 識別子・準識別子に対する加工の要否の考え方 4.9 医療情報の特性を考慮した仮名加工情報の作成手順 5 医療情報の種類に応じた仮名加工情報の具体的な作成手順 5.1 医療情報の一般的な構造 5.2 診療テキスト情報の加工 5.3 生理機能検査情報の加工 5.4 医用画像情報の加工 5.5 遺伝子検査情報の加工 5.6 マルチモーダルな医療情報に対する加工 6 医療機器の研究開発サイクルと各種の法的根拠の位置づけ 6.1 本章の目的と留意事項 6.2 対象とする医療機器の種類 6.3 医療機器の承認制度 6.4 医療機器の研究開発サイクルの概要 6.5 医療機器の研究開発サイクルの段階ごとに応じた医療情報の取扱い 6.6 生命科学・医学系指針との対応 7 用語集 5 1 はじめに 1.1 背景 1.1.1 医療情報の 利活用 に関する需要の高まり 人工知能(AI: Artificial Intelligence)技術の登場により、病院に蓄積された膨大な医療情報を貴重なデータ資源と して活用し、学術研究機関等や医療機関等のみならず、製品開発の担い手としての民間企業等を巻き込んだ研究開発 競争が世界的に激化している。このようなデータ駆動型の研究開発では、従来の医学研究と比較して、取り扱いが想 定される医療情報は量的により大規模であり、様々な形式や粒度のデータを含むという特徴がある。また、被験者の 身体や生命に影響を及ぼすような侵襲を伴わないため、医療機関等において診療で得られ、既に保管されている医療 情報の利活用が期待される。 しかしながら、医療情報は、一般的に、個人情報保護法上の個人データに該当する上、同法上の要配慮個人情報に も該当し、極めて機微な性質を有している。同法において、個人情報取扱事業者は、個人データの第三者提供、要配 慮個人情報の取得等を行うに当たっては、原則として、あらかじめ本人の同意を取得する必要があることとされてい る。また、特に民間企業等が製品開発のみを目的に行う取扱いについては、いわゆる学術研究例外等の適用も困難な 場合がある。ところが、治療終了後に一定期間が経過すると通院が終了するなどの事情から、過去に診療を受けた膨 大な数の患者から個別に同意を取得することは現実的に困難な場合も多いのが実情である。そこで、製品開発のみの 目的であっても、本人から直接的に同意を得ることが難しい場合に、医療情報の利活用を可能とするための法的・倫 理的・社会的な課題を踏まえた枠組みの整備が期待されていた。 1.1.2 患者の権利利益を侵害しないための保護措置の重要性 前述の医療情報の利活用における課題に対して、本人から直接的に同意を得ることが難しい場合であっても、患者 の権利利益の保護と社会的な必要性とのバランスを考慮し、医療情報の利活用を調整するべきという考え方が注目さ れている1。ここで言う患者の権利利益とは、個人情報の不適切な取り扱いによって侵害されるリスクのある、個人 の人格的・財産的な権利利益全般を指す。主要なものはプライバシーの保護であるが、必ずしもそれに限定されるも のではない。近年、様々な事業者による医療情報の利活用が急増するに伴い、万が一の情報漏えい等による患者の権 利利益の侵害が発生する危険性も高まっており、医療情報を利活用するに際して、患者の権利利益を侵害することな く、医療情報を適切に保護するための措置を講じることが求められてきた。 1.1.3 個人情報保護法における 仮名加工情報 以上の背景を踏まえ、本ガイドラインでは、個人情報保護法における仮名加工情報に着目する。仮名加工情報と は、他の情報と照合しない限り特定の個人を識別できないように氏名等を削除した個人に関する情報である。仮名化 された個人情報について、一定の安全性を確保しつつ、データとしての有用性を加工前の個人情報と同等程度に保つ 1 宮下紘(2018)「EU 一般データ保護規則」勁草書房 p.2-3 6 ことにより、詳細な分析を比較的簡便な加工方法で実施し得るものとして利活用したいというニーズを背景に、個人 情報保護法において創設された2。本人を識別することがなく、かつ、本人に直接的な影響を与えることなく仮名加 工情報を事業者内部で利用する場合には、通常の個人情報における「利用目的の変更の制限」(個人情報保護法第 17 条第 2 項)に関する規律が適用されず、本人の同意を得ることなく、変更前の利用目的との関連性を有すると合 理的に認められる範囲を超えて利用目的を変更することが認められている。従って、医療機関等において診療で得ら れ、既に保管されている医療情報について、これを加工して仮名加工情報を作成し、自らが予定している製品開発目 的に応じて利用目的を適切に変更することによって、当該仮名加工情報を変更後の目的の範囲内で利活用することが できる。 しかしながら、医療情報の利活用に関しては、仮名加工情報以外にも様々な法的根拠があるため、どのような場合 に仮名加工情報を利用すべきかが必ずしも明確ではなかった。加えて、医療情報の性質を考慮して仮名加工情報を作 成し、運用することについての実践的な指針が不可欠であった。 1.2 目的と対象 1.2.1 本ガイドライン の目的と 想定する対象者 本ガイドラインは、医療機関等において診療で得られ、既に保管されている医療情報を利活用することによって、 医療機関等、学術研究機関等、及び民間企業等が共同で研究をしながら製品開発を行う場合を想定している。ここ で、医療情報の利活用の具体的な目的として、学術研究のみの目的、目的の一部が学術研究目的(学術研究と製品開 発の目的が併存している場合)、製品開発のみの目的の 3 つを類型化した上で、製品開発のみを目的として個人情報 を取り扱う場合は、当該活動は学術研究目的とは解されないことを踏まえている。その上で、研究開発のステージに 応じて、医療情報を利活用するための適切な法的根拠を明確化するとともに、医療情報の特性を踏まえた仮名加工情 報の作成手順やその運用に関する実践的な指針を提供することを目的としている。 本ガイドラインの主な読者としては、上記の共同での製品開発に関わる医療機関等の医療従事者、学術研究機関等 の研究者、及び民間企業等の開発担当者を想定している。また、本ガイドラインが対象とする製品開発としては、特 に診断用医療 AI ソフトウェアを念頭に置いている。 本ガイドラインは、これらの読者が医療情報を適切かつ効果的に利活用し、革新的な医療機器の開発を促進するた めの指針となることを目指している。同時に、患者の権利利益の保護と個人情報の適切な取り扱いにも十分配慮し、 医療情報の利活用に対する社会的な信頼の確保にも貢献することを目的としている。 1.2.2 本ガイドラインの全体像 第 2 章「医療情報の利活用と法的根拠」では、医療情報の利活用の具体的な類型として、学術研究目的と製品開発 目的という 2 つの目的のそれぞれに関する個人情報保護法上の規律を解説しつつ、どのような場面で仮名加工情報を 利用するべきかを整理する。 第 3 章「仮名加工情報とその共同利用」では、個人情報保護法の定める仮名加工情報に関する一般的な解説と、医 療情報の特性を踏まえた運用に関する指針を提示する。 2 個人情報保護委員会(令和 3 年 5 月 7 日)「個人情報保護法 令和2年改正及び令和3年改正案について」p.13 7 第 4 章「医療情報の特性を考慮した仮名加工情報の作成手順」では、医療情報の特性を考慮して、適切に仮名加工 情報を作成するための技術的な指針について示す。 第 5 章「医療情報の種類に応じた仮名加工情報の具体的な作成手順」では、第 4 章で示す一般的な考え方に従っ て、医療情報の種類に応じた仮名加工情報の具体的な作成手順を示す。 第 6 章「医療機器の研究開発サイクルと各種の法的根拠の位置づけ」では、研究開発のステージに応じて、医療情 報を利活用するための具体的な法的根拠を明確化する。 1.2.3 本ガイドラインがカバーする法令等 医療情報の利活用には様々な法的根拠があるが、本ガイドラインは、その中でも仮名加工情報を利活用すべきケー スを明確にすることを目的の一つとしている。そのため、本ガイドラインにおいて独自に指し示す内容に加えて、医 療情報の利活用に関連する各種の法令及びガイドライン等についての解説も含まれている。尚、解説に相当するパラ グラフの冒頭には(解説)と付されている。 本ガイドラインがカバーする法令及びガイドライン等とその略称は次の通りである。 ⚫ 個人情報保護法:「個人情報の保護に関する法律」(平成 15 年5月 30 日法律第 57 号) ⚫ 個人情報保護法施行令: 「個人情報の保護に関する法律施行令」(平成 15 年 12 月 10 日政令第 507 号) ⚫ 個人情報保護法施行規則: 「個人情報の保護に関する法律施行規則」(平成 28 年 10 月5日個人情報保護委 員会規則第 3 号) ⚫ GL 通則編: 「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成 28 年 11 月(令和 5 年 12 月一部改正)個人情報保護委員会) ⚫ GL 仮名・匿名加工情報編: 「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名 加工情報編)」(平成 28 年 11 月(令和 5 年 12 月一部改正)個人情報保護委員会) ⚫ Q&A: 「個人情報の保護に関する法律についてのガイドライン」に関する Q&A(平成 29 年2月 16 日 (令和 6 年 3 月更新)個人情報保護委員会) ⚫ 個人情報保護委員会事務局レポート: 「個人情報保護委員会事務局レポート: 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて―制度編―」(初版 2017 年 2月(第 2 版 2022 年 3月)個人情報保護委 員会事務局) ⚫ 医療介護ガイダンス: 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(平 成 29 年 4 月 14 日付け(令和 5 年 3 月一部改正)個情第 534 号・医政発 0414 第 6 号・薬生発 0414 第 1 号・老発 0414 第 1 号個人情報保護委員会事務局長・厚生労働省医政局長・医薬・生活衛生局長・老健局長 通知別添) 尚、以下の法令及びガイドライン等に関しては、本ガイドラインとともに必要に応じて参照し、関連規定を遵守す る必要があることに留意すること。 ⚫ 薬機法:「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(昭和 35 年法律第 145 号) ⚫ 生命科学・医学系指針:「人を対象とする生命科学・医学系研究に関する倫理指針」(令和 3 年文部科学省・ 厚生労働省・経済産業省告示第 1 号) 8 1.2.4 本ガイドラインが対象としない内容 本ガイドラインでは、医療機関等で実施された治験や臨床研究、その他の観察研究等で得られた医療情報等の利活 用、医療情報から匿名加工情報を作成・運用する際の指針、外国にある第三者への提供、差分プライバシーや暗号化 等の高度なプライバシー保護技術、ウェアラブルデバイスや治療用アプリにおける識別情報、音声データなどの非従 来的な医療情報、生成 AI における法的リスクやその対策等を重要な論点と認識しつつも、今後の課題としている。 また、医療情報の安全な利活用においては、技術的安全管理措置のみならず、組織的安全管理措置等も必須であ る。しかしながら、本ガイドラインで対象とする多様な事業者(病院、診療所、助産所、薬局、訪問看護事業所等を 含む医療機関等や、大学、研究所、学会等の学術研究機関等、及び民間企業等)に対して横断的に推奨するべき組織 的安全管理措置等を具体的に定めることは困難であり、その概要について示すにとどめている。 尚、医療情報の利活用に関する要請に応えようとするものとして、「医療分野の研究開発に資するための匿名加工 医療情報及び仮名加工医療情報に関する法律」(平成 29 年法律第 28 号、以下「次世代医療基盤法」)が整備されて いるが、本ガイドラインでは、次世代医療基盤法は対象外としている。 1.3 用語の定義 本ガイドラインにおける用語の定義は、次の通りとする。 (1) 個人情報 個人情報保護法第2条第1項に規定する個人情報をいう。 個人情報保護法第 2 条第 1 項 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するも のをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子 的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同 じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を 用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別すること ができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることと なるものを含む。) 二 個人識別符号が含まれるもの (解説)個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等に より特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別 することができることとなるものを含む)である。また、個人識別符号が含まれるものも該当する。 (2) 個人識別符号 9 個人情報保護法第2条第2項に規定する個人識別符号をいう。 個人情報保護法第 2 条第 2 項 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のう ち、政令で定めるものをいう。 一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号 であって、当該特定の個人を識別することができるもの 二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行 されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号 であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は 記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別すること ができるもの (解説)個人識別符号とは、当該情報単体で特定の個人を識別できるものとして個人情報保護法施行令に定められた 文字、番号、記号その他の符号を指す。医療情報に関連した個人識別符号としては、生体情報(DNA、顔、虹彩、 声紋、歩行の態様、手指の静脈、指紋・掌紋)をデジタルデータに変換したもののうち、特定の個人を識別するに足 りるものとして個人情報保護委員会規則に定める基準に適合するものとして、個人情報保護法施行令第 1 条第 1 号に 掲げられるものが相当する(以下「1 号個人識別符号」)。その他、旅券番号、基礎年金番号、免許証番号、住民票 コード、マイナンバー、各種保険証の番号等の公的機関が割り振る番号も同施行令第 1 条第 2 号以下において、個人 識別符号に含まれるとされる(以下「2 号個人識別符号」)。 尚、同施行令において、カルテ番号は個人識別符号に該当せず、本ガイドラインにおいて、カルテ番号は連結符号 として取扱うことに注意が必要である(第 4.6.2 章「カルテ番号を識別子ではなく連結符号とする理由」参照)。 (3) 要配慮個人情報 個人情報保護法第2条第3項に規定する要配慮個人情報をいう。 個人情報保護法第 2 条第 3 項 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により 害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮 を要するものとして政令で定める記述等が含まれる個人情報をいう。 (解説)要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その 他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして個人情 報保護法施行令で定める記述等が含まれる個人情報を指す。要配慮個人情報は、予めの本人の同意を得ずに取得する ことが原則として禁止され(個人情報保護法第 20 条第 2 項)、オプトアウト方式による第三者への提供3も認められ ない(同法第 27 条第 2 項ただし書)など、個人情報保護法にて特別な保護が定められている。尚、要配慮個人情報 3 ここで、「オプトアウト方式による第三者提供」とは、個人情報保護法第 27 条第 2 項から第 4 項に定められた個人データの取り扱いを意味し ており、生命科学・医学系指針において規定されるインフォームド・コンセントに係るオプトアウト手続きとは異なるものであることに留意する 必要がある。 10 には、上記の通り「病歴」が含まれるほか、「本人に対して医師その他医療に関連する職務に従事する者(次号にお いて「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において 「健康診断等」という。)の結果」(同施行令第 2 条第 2 号)、及び「健康診断等の結果に基づき、又は疾病、負傷 その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤 が行われたこと」(同施行令第 2 条第 3 号)が含まれる。 本ガイドラインにおける医療情報は、通常、これらの情報を含むことから、要配慮個人情報にも該当することにな る。 (4) 仮名加工情報 個人情報保護法第2条第5項に規定する仮名加工情報をいう。 個人情報保護法第 2 条第 5 項 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を 講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個 人に関する情報をいう。 一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記 述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個 人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 (解説)仮名加工情報とは、個人情報保護法が定める措置を講じて、他の情報と照合しない限り特定の個人を識別す ることができないように個人情報を加工して得られる個人に関する情報をいう。 本ガイドラインでは、第 3 章「仮名加工情報とその共同利用」、第 4 章「医療情報の特性を考慮した仮名加工情報 の作成手順」、及び第 5 章「医療情報の種類に応じた仮名加工情報の具体的な作成手順」において、医療情報の性質 を考慮して仮名加工情報を作成し、運用することについての実践的な指針を示している。 尚、次世代医療基盤法の定める仮名加工医療情報とは異なることに留意する必要がある。 (5) 個人情報データベース等 個人情報保護法第 16 条第 1 項に規定する個人情報データベース等をいう。 個人情報保護法第 16 条第 1 項 この章及び第 8 章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲 げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして法令で定めるものを除く。) をいう。 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものと して政令で定めるもの 11 (解説)個人情報データベース等とは、個人情報を含む情報の集合物であって、特定の個人情報をコンピュータを用 いて検索できるように体系的に構成したもの、又は、コンピュータを用いていない場合であっても、五十音順に索引 を付して並べられた顧客カード等、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索 することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に 置かれているものをいう(GL 通則編 2-4)。 本ガイドラインでは、電子カルテシステムや医用画像管理システム等を含む医療情報システム等は、通常、個人情 報データベース等に該当するものとする。 (6) 個人データ 個人情報保護法第 16 条第 3 項に規定する個人データをいう。 個人情報保護法第 16 条第 3 項 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。 (解説)個人情報保護法では、個人の権利利益に侵害をもたらす危険が高いのは、個人情報データベース等を構成す る個人情報であるとして、この個人情報の一部を「個人データ」とし(同法第 16 条第 3 項)、個人情報取扱事業者 に対して第三者提供の制限(同法第 27 条)等の義務等を加重している。 本ガイドラインの対象とする「医療機関等において診療で得られ、既に保管されている医療情報」は、通常、個人 情報データベース等に該当する医療情報システム等を構成する個人情報に該当するため、個人情報としての規律に加 えて、個人データとしての規律も課せられることに留意する必要がある4。 (7) 医療情報 「医療情報システムの安全管理に関するガイドライン 第 6.0 版」(令和 5 年 5 月 31 日策定)の「用語集」におい て定義される用語で、医療に関する患者情報(個人識別情報)を含む情報をいう。 医療情報システムの安全管理に関するガイドライン 第 6.0 版 用語集 ●医療情報 医療に関する患者情報(個人識別情報)を含む情報。 具体的には、 ① 「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」 (平成 17 年 3 月 31 日付け医政発第 0331009 号・薬食発第 0331020 号・保発第 0331005 号厚生労働 省医政局長・医薬食品局長・保険局長連名通知。平成 28 年 3 月 31 日最終改正。以下「施行通知」とい う。)に含まれている文書 4 本ガイドラインで扱う医療情報は、一般的に、医療機関等により自ら取得され、保有・管理されることから、個人情報保護法の定める「個人情 報」、「個人データ」、「保有個人データ」のうち、「保有個人データ」にも該当することによって、保有個人データに係る規律も課せられてい ることに留意すること。尚、本ガイドラインにおいて、散在情報(個人情報データベース等を構成しない個人情報)としての医療情報の取扱いは 想定しない。 12 ② 施行通知には含まれていないものの、民間事業者等が行う書面の保存等における情報通信の技術の利用に 関する法律(平成 16 年法律第 149 号。以下「e-文書法」という。)の対象範囲で、かつ、患者の医療情 報が含まれている文書等(麻薬帳簿等) ③ 法定保存年限を経過した文書等 ④ 診療の都度、診療録等に記載するために参考にした超音波画像等の生理学的検査の記録や画像 ⑤ 診療報酬の算定上必要とされる各種文書(薬局における薬剤服用歴の記録等) 等が対象となる。 (解説) 本ガイドラインでは、医療情報を、個人情報と重複する部分があるものの、生存する個人に関する情報と死者に関 する情報を区別せずに、両者を包摂する概念として取扱っていることに留意すること。具体例は下記の通りである。 医療情報の種類 具体例 診療テキスト情報 カルテ記載、薬剤情報、健康診断の結果、保健指導の内容、読影レポート、病理レポ ート等。 生理機能検査情報 バイタルデータ、血液検査データ、生理検査データ(心電図、呼吸機能、脳波等) 等。 医用画像情報 放射線画像(X 線写真、CT、MRI、PET 等)、放射線治療計画(ストラクチャデー タ、線量分布データ等)、超音波画像・動画、内視鏡画像・動画(上部消化管内視鏡 検査、下部消化管内視鏡検査、超音波内視鏡検査、胆膵系内視鏡検査、呼吸器内視鏡 検査、腹腔鏡、胸腔鏡等で取得された画像情報や動画情報等)、写真(皮膚病変等に ついて写真として記録したもの等)、デジタル化された病理スライド画像、手術動画 等。 遺伝子検査情報 病原体核酸検査(ウイルスや細菌の PCR 検査等)、体細胞遺伝子検査(がん遺伝子パ ネル検査や癌腫ごとの体細胞変異検査等)、生殖細胞系列遺伝子検査(がん遺伝子パ ネル検査の一部や、癌腫ごとの生殖細胞変異検査等)、染色体検査(FISH や G-Band 等)等。 13 2 医療情報の 利活用と法的根拠 2.1 医療情報の 利活用 2.1.1 診療目的における 医療情報 医療事業者が医療サービスを希望する患者から個人情報を取得する場合、当該個人情報を患者に対する医療サービ スの提供、医療保険事務、入退院等の病棟管理などで利用することは患者にとって明らかと考えられる。 医療介護ガイダンスでは利用目的が明らかな場合の類型として以下のものが挙げられており(医療介護ガイダンス Ⅳ3(1))、本ガイドラインではこれらの目的を総称して診療目的と呼ぶ。 ◼ 患者・利用者に対する医療・介護サービスの提供のため。 ◼ 医療・介護保険事務のため。 ◼ 入退院等の病棟管理等のため。 2.1.2 医療情報の 利活用 診療目的以外で個人情報を利用する場合は、患者にとって必ずしも明らかな利用目的とはいえない。本ガイドライ ンでは、医療情報の利活用の具体的な目的として、学術研究目的と製品開発目的を考える。 ここで、GL 通則編 2-19 によると、「学術」とは、人文・社会科学及び自然科学並びにそれらの応用の研究であ り、あらゆる学問分野における研究活動及びその所産としての知識・方法の体系をいい、具体的活動としての「学術 研究」としては、新しい法則や原理の発見、分析や方法論の確立、新しい知識やその応用法の体系化、先端的な学問 領域の開拓などをいうとされている。 一方、本ガイドラインにおいて、製品開発とは、民間企業等が商業的な目的で新しい製品やサービスを生み出す活 動のことを指す。製品開発は、主に利潤追求を目的とした実用化研究として行われるため、一般的には学術研究とは 区別される。ただし、製品開発の過程で新しい技術や手法が開発されたり、基礎研究の成果が応用されたりすること もあるため、学術研究と製品開発が併存する段階も存在し得る。しかし、GL 通則編 2-19 にて、「製品開発を目的と して個人情報を取り扱う場合は、当該活動は、学術研究目的とは解されない」とされるように、製品開発のみを目的 とした活動は、学術研究とは区別されるものである。 そのため、医療情報の利活用においては、具体的な利用目的や提供形態に応じた適切な法的根拠が必要となる。 2.2 医療情報の 利活用 に関わる 事業者 本ガイドラインでは、以下に定めるそれぞれの事業者が単独あるいは共同して、医療 AI ソフトウェア等の医療機 器を研究開発する場合を中心的に整理している(図 1 参照)。 14 図 1: 医療情報の利活用に関わる事業者。本ガイドラインでは、医療情報の利活用に関わる事業者として、学術研究機関等にあた る医療機関等、学術研究機関等にあたらない医療機関等、学術研究機関等、民間企業等の4 種類を主に想定する。より詳細に分類 すると、「学術研究機関等にあたる医療機関等」と「学術研究機関等にあたらない医療機関等」は医療機関等に該当し、「学術研 究機関等にあたる医療機関等」と「医療機関等にあたらない学術研究機関等」は学術研究機関等に該当する。 (1) 医療機関 等 本ガイドラインにおいて、医療機関等とは、病院(医療法(昭和 23 年法律第 205 号)第 1 条の 5 第 1 項)、診療 所(同条第 2 項)、助産所(同法第 2 条第 1 項)、薬局(薬機法第 2 条第 12 項)、訪問看護事業所(健康保険法 (大正 11 年法律第 70 号)第 89 条第 1 項)等の患者に対し医療を提供する事業者であって、個人情報保護法第 4 章 に規定する個人情報取扱事業者等の義務等に係る規律の全部又は一部の適用を受けるものを指す。また、医療機関等 に所属し、患者に診療を提供することに従事する者を医療従事者という。 本ガイドラインにおいて、医療機関等は、その学術研究機関等への該当性から、「学術研究機関等にあたる医療機 関等」と「学術研究機関等にあたらない医療機関等」に細分化される。 (1-1) 学術研究機関 等にあたる医療機関 等 本ガイドラインにおいて、「学術研究機関等にあたる医療機関等」とは、学術研究機関等にも医療機関等にも該当 するものをいう(例: 大学病院等を有する学校法人)。 (1-2) 学術研究機関 等にあたらない医療機関 等 本ガイドラインにおいて、「学術研究機関等にあたらない医療機関等」とは、学術研究機関等に該当しない医療機 関等をいう(例: 公立大学の附属病院でない公立の病院等)。学術研究機関等でない医療機関等は、個人情報保護法 上、学術研究機関等に認められる個人情報の取扱いが認められないことに留意されたい(第 2.4 章「学術研究例外と その該当性」参照)。 (2) 学術研究機関 等 15 本ガイドラインにおいて、学術研究機関等とは、大学、研究所、学会等の学術研究機関等(個人情報保護法第 16 条第 8 項)である事業者であって、個人情報保護法第 4 章に規定する個人情報取扱事業者等の義務等に係る規律の全 部又は一部の適用を受けるものを指す。また、学術研究機関等に所属し、学術研究に従事する者を研究者という。 (3) 民間企業等 本ガイドラインにおいて、民間企業等とは、医療機器や医療システム、薬剤等を製品とする目的で研究開発する事 業者であって、個人情報保護法第 4 章に規定する個人情報取扱事業者等の義務等に係る規律の全部又は一部の適用を 受けるものを指す(ただし、学術研究機関等に該当するものを除く)。会社が中心となるが、法人形態は問わない。 また、民間企業等に所属し、製品開発に従事する者を開発担当者という。 2.3 要配慮個人情報としての医療情報に係る規律の概要 医療機関等を中心に考えると、医療情報を取扱う場面は、取得、利用、管理、(第三者)提供、本人対応の 5 つに 大きく分けることができる5。これに対応するように、個人情報保護法第 4 章では個人情報取扱事業者の義務とし て、①取得・利用に関するルール、②保管に関するルール、③提供に関するルール、④開示等の請求等に関するルー ルが定められている。 ルールの区分 個人情報取扱事業者の義務(個人情報保護法の条項) ① 取得・利用に関するルール 利用目的の特定(第 17 条) 利用目的による制限(第 18 条) 不適正な利用の禁止(第 19 条) 適正な取得(第 20 条第 1 項) 要配慮個人情報の取得の制限(第 20 条第 2 項) 取得に際しての利用目的の通知等(第 21 条) ② 保管に関するルール データ内容の正確性の確保等(第 22 条) 安全管理措置(第 23 条) 従業者の監督(第 24 条) 委託先の監督(第 25 条) 漏えい等の報告等(第 26 条) ③ 提供に関するルール 第三者提供の制限(第 27 条) 外国にある第三者への提供の制限(第 28 条) 第三者提供に係る記録の作成等(第 29 条) 第三者提供を受ける際の確認等(第 30 条) ④ 開示等の請求等に関するルール 保有個人データに関する事項の公表等(第 32 条) 開示・訂正等・利用停止等(第 33~39 条) 苦情の処理(第 40 条) 以上に掲げる個人情報取扱事業者の義務のうち、「利用目的による制限」、「要配慮個人情報の取得の制限」、 「第三者提供の制限」の 3 つの規律が、医療機関等、学術研究機関等、民間企業等の間における医療情報の利用や受 5 個人情報保護委員会(令和 5 年 9 月)「個人情報保護法の基本」p.25 16 渡を考える際に重要なものとなる6。また、医療情報は一般的に要配慮個人情報にも該当するため、通常の個人情報 よりも厳格な取扱いが定められている。特に、要配慮個人情報の「取得」には、原則として本人の同意が必要であ る。一方で、個々の規律にはこうした原則に対する例外事由としての類型が定められている。以下、この観点でこれ ら 3 つの規律を詳しく整理していく。 2.3.1 利用目的による制限(個人情報保護法第 18 条) 取得した当初の利用目的の達成に必要な範囲を超えて個人情報を取扱うことを「目的外利用」と呼び、「利用目的 による制限」の規律により目的外利用が禁止される。ただし、目的外利用であっても、例外的に適法に取扱える例外 事由が定められている(個人情報保護法第 18 条第 3 項各号)。特に、公衆衛生の向上あるいは学術研究のための目 的外利用は、本人の同意を得ていなくても可能となることがある。 号 「利用目的による制限」の例外事由 1 法令に基づく場合。 2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であると き。 3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ること が困難であるとき。 4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力す る必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあると き。 5 学術研究機関等が、個人情報を学術研究目的(学術研究の用に供する目的)で取り扱う必要があるとき(当 該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそ れがある場合を除く。)。 6 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目 的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個 人の権利利益を不当に侵害するおそれがある場合を除く。)。 2.3.2 要配慮個人情報の取得の制限(個人情報保護法第 20 条第 2 項) 「要配慮個人情報の取得の制限」とは、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない ことを指す。ただし、同様に例外事由が存在し(個人情報保護法第 20 条第 2 項各号)、特に、公衆衛生の向上ある いは学術研究のための要配慮個人情報の取得は、本人の同意を得ていなくても可能となることがある。 号 「要配慮個人情報の取得の制限」の例外事由 1 法令に基づく場合。 2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であると き。 3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ること が困難であるとき。 6 本ガイドラインでは、「外国にある第三者への提供の制限」(個人情報保護法第 28 条)は対象外としており、これに該当して医療情報を取扱 う場合には、適宜、関係する法令等を参照すること。 17 4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力す る必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあると き。 5 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り 扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の 権利利益を不当に侵害するおそれがある場合を除く。)。 6 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取 得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人 の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等 が共同して学術研究を行う場合に限る。)。 7 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第 57 条第 1 項各号に掲げる者 その他個人情報保護委員会規則で定める者により公開されている場合。 8 その他前各号に掲げる場合に準ずるものとして政令で定める場合。 2.3.3 第三者提供の制限(個人情報保護法第 27 条第 1 項) 「第三者提供の制限」とは、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないことを 指す。ただし、同様に例外事由が存在し(個人情報保護法第 27 条第 1 項各号)、特に、公衆衛生の向上あるいは学 術研究のための第三者提供は、本人の同意を得ていなくても可能となることがある。尚、提供先が「第三者に該当し ない場合」として、委託、事業の承継、共同利用が定められているが(同条第 5 項各号)、これらの法的根拠に基づ いた取扱いが許容される範囲は第 2.6 章「製品開発目的で医療情報を医療機関等から民間企業等に提供する際の法的 根拠」を参照のこと。 号 「第三者提供の制限」の例外事由 1 法令に基づく場合。 2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であると き。 3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得るこ とが困難であるとき。 4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力 する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある とき。 5 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果 の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除 く。)。 6 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供す る必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利 利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学 術研究を行う場合に限る。)。 7 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱 う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利 利益を不当に侵害するおそれがある場合を除く。)。 18 2.3.4 学術研究 目的における 第三者提供の制限に関する例外事由 「第三者提供の制限」の例外事由のうち、学術研究の目的に関するものを図 2 にまとめた。 図 2: 学術研究目的における第三者提供の制限に関する例外事由の類型。 A: (個人情報保護法第 27 条第 1 項第 5 号)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提 供が学術研究の成果の公表又は教授のためやむを得ないとき。 B: (個人情報保護法第 27 条第 1 項第 6 号)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学 術研究目的で提供する必要があるとき。ただし、提供元と提供先が共同して学術研究を行う場合に限られる。 C: (個人情報保護法第 27 条第 1 項第 7 号)当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学 術研究目的で取り扱う必要があるとき。 ※いずれも、個人の権利利益を不当に侵害するおそれがある場合を除く。 2.4 学術研究例外とその該当性 学術研究の目的で医療情報を取扱う場合には、個人の権利利益を不当に侵害するおそれがある場合を除いて、例外 事由により「利用目的による制限」、「要配慮個人情報の取得の制限」、「第三者提供の制限」等に係る規律が緩和 される(第 2.3 章「要配慮個人情報としての医療情報に係る規律の概要」参照)。本ガイドラインでは、これを学術 研究例外と呼ぶ。 学術研究例外の該当性を明らかにするための要件としては、主体要件(「学術研究機関等」該当性)、目的要件 (「学術研究目的」該当性)等の要件が挙げられる。また、学術研究目的の研究を共同で行う場合における個人情報 の取扱いについても、留意するべき点がある。 2.4.1 学術研究例外の該当性における主体要件 本ガイドラインにおいて、学術研究例外の該当性における主体要件とは、個人情報を取扱う利用者についての要件 であって、学術研究機関等への該当性を指す。学術研究機関等(「学術研究機関等にあたる医療機関等」を含む) は、学術研究例外の主体要件を満たす。一方で、「学術研究機関等にあたらない医療機関等」や民間企業等は、主体 要件を満たさない。 19 2.4.2 学術研究例外の該当性における目的要件 本ガイドラインにおいて、学術研究例外の該当性における目的要件とは、個人情報を取扱う際の利用目的について の要件を指す。個人情報保護法第 18 条第 3 項第 5 号が「学術研究目的で取り扱う必要があるとき」を定義してお り、当該個人情報を取り扱う目的の一部が学術研究目的である場合を含むとされている。 尚、GL 通則編 2-19 によると、「学術」とは、人文・社会科学及び自然科学並びにそれらの応用の研究であり、あ らゆる学問分野における研究活動及びその所産としての知識・方法の体系をいい、具体的活動としての「学術研究」 としては、新しい法則や原理の発見、分析や方法論の確立、新しい知識やその応用法の体系化、先端的な学問領域の 開拓などをいうとされている(第 2.1.2 章「医療情報の利活用」より一部再掲)。 2.4.3 学術研究目的の研究を共同で行う場合における個人情報の取扱い 「学術研究機関等にあたらない医療機関等」や民間企業等は、主体要件を満たさないが、Q&A11-6 より「学術 研究機関等が共同研究を行う第三者(学術研究機関等であるか否かを問いません。)」であれば、学術研究例外が該 当し、個人の権利利益を不当に侵害するおそれがない限り、本人の同意を得ずに個人データを提供することができる とされる。そのため、学術研究目的の研究において、医療機関等から民間企業等への医療情報の提供は図 3 の通りに 整理される。 もっとも、Q&A11-6 では、「当該共同研究の目的が営利事業への転用に置かれているなど、必ずしも学術研究目 的とはみなされない場合には、提供に当たってあらかじめ本人の同意を得る必要がある」とされていることにも留意 すること。 図 3: 学術研究目的の研究を共同で行う場合の医療機関等から民間企業等への医療情報の提供。 A: 「学術研究機関等にあたる医療機関等」 と民間企業等が共同して学術研究を行う場合、 学術研究機関等から民間企業等に医療情 報を提供できる。 B: 「学術研究機関等にあたらない医療機関等」 は、 学術研究機関等が学術研究目的で医療情報を取扱う場合、 これを当該学術研究 機関等に提供することができる。また、当該学術研究機関等と民間企業等が共同して学術研究を行う場合、当該医療情報を民間企 業等に提供することができる。 尚、 医療機関等、 学術研究機関等、 民間企業等の三者が共同して学術研究を行う場合も同様であり、 図ではこの場合を例示している。 2.5 公衆衛生例外とその類型 20 公衆衛生の向上の目的で医療情報を取扱う場合には、例外事由により個人情報の取得・利用及び提供に係る規律が 緩和されることがある(第 2.3 章「要配慮個人情報としての医療情報に係る規律の概要」参照)。本ガイドラインで は、これを公衆衛生例外と呼ぶ。 2.5.1 公衆衛生例外が当てはまる類型 公衆衛生例外が該当する具体的な取扱いの内容として、次のような場合が想定されている。このうち、医療機関等 から民間企業等への医療情報の提供が認められるのは、公衆衛生の向上のために特に必要がある場合であって、本人 からの同意取得が困難である等の例外的な場合に限られる。 利用・提供の形態 例示 医療機関等による利活用 医療機関等が保有する患者の臨床症例に係る個人情報を、観察研究のために用 いる場合であって、本人の転居等により有効な連絡先を保有しておらず本人か らの同意取得が困難であるときや、同意を取得するための時間的余裕や費用等 に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれ があるとき(Q&A2-15)。 医療機関等から他の医療機 関等へ提供 医療機関等が以前治療を行った患者の臨床症例に係る個人データを、症例研究 のために他の医療機関等に提供し、当該他の医療機関等を受診する不特定多数 の患者に対してより優れた医療サービスを提供できるようになること等によ り、公衆衛生の向上に特に資する場合であって、本人の転居により有効な連絡 先を保有しておらず本人からの同意取得が困難であるとき(医療介護ガイダン スⅣ3(2)③、Q&A7-24)。 民間企業等による利活用 製薬企業が過去に臨床試験等で取得した個人情報を、有効な治療方法や薬剤が 十分にない疾病等に関する疾病メカニズムの解明を目的とした自社内の研究の ために用いる場合であって、連絡先を保有していないため本人からの同意取得 が困難であるとき(Q&A2-14)。 医療機関等から民間企業等 への提供 医療機関等が保有する患者の臨床症例に係る個人データを、有効な治療方針や 薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のた めに製薬企業に提供し、その結果が広く共有・活用されていくことで、医学・ 薬学等の発展や医療水準の向上に寄与し、公衆衛生の向上に特に資する場合で あって、本人の転居により有効な連絡先を保有しておらず本人からの同意取得 が困難であるとき(医療介護ガイダンスⅣ3(2)③、Q&A7-25)。 2.6 製品開発目的で医療情報を医療機関 等から民間企業等に提供する際の法的根拠 診療で得られた医療情報を、個人データのまま、医療 AI ソフトウェア等の製品開発のみを目的として、医療機関 等から民間企業等に提供する際の本人の同意以外の法的根拠についてまとめる。 2.6.1 学術研究例外 学術研究例外における目的要件の観点からは、個人情報保護法の条文上、当該個人情報を取り扱う目的の一部が学 術研究目的である場合を含むので、製品開発目的が併存していても良い(個人の権利利益を不当に侵害するおそれが 21 ある場合を除く)。ただし、製品開発のみを目的とした活動に対して、学術研究例外を根拠として、医療機関等から 民間企業等に医療情報を提供することは難しい。 2.6.2 公衆衛生例外 医療 AI ソフトウェア等の医療機器が、「公衆衛生の向上(中略)のために特に必要がある場合」に該当する可能 性も直ちには否定されないものと思われる。ただし、公衆衛生例外を根拠として医療機関等から民間企業等に医療情 報を提供するためには、併せて、本人からの同意取得が困難であることが必要となる。 2.6.3 委託(個人情報保護法第 27 条第5項第1号) (解説)医療機関等が主体となった利用目的の達成に必要な範囲内で、医療情報の取り扱いの全部又は一部を委託す ることに伴い外部の機関へと提供する場合には、提供先は第三者には該当しない。委託に伴う提供の具体例として は、検査等の業務を委託する場合等が挙げられる(医療介護ガイダンスⅣ9(4)①)。このように、委託に伴う提供 は、あくまでも提供元である医療機関等の事業目的のみに使われ、提供先で自己の事業目的に使うことは許されない (Q&A7-39)。 従って、医療機関等が主体となって製品開発を目的とした活動を行うことは通常想定されないため、委託を根拠と して、製品開発の目的で医療情報を民間企業等に提供することは難しい。 2.6.4 共同利用(個人情報保護法第 27 条第5項第3号) (解説)医療機関等が、特定の者との間で医療情報を共同利用する場合には、提供先は第三者に該当しない(個人情 報保護法第 27 条第 5 項第 3 号)。ここで、「共同利用」は「共同研究」とは異なる概念であることに注意されたい 7。共同利用の対象となる個人情報の提供については、必ずしも全ての共同利用者が双方向で行う必要はなく、一部 の共同利用者に対し、一方向で行うこともできる。医療機関等における共同利用の具体的な事例としては、病院と訪 問看護ステーションが共同で医療サービスを提供している場合等が挙げられる(医療介護ガイダンスⅣ9(4)①)。し かしながら、医療機関等が患者から医療情報を取得した後に、民間企業等と製品開発の目的でこれを共同利用するこ とは、「取得の際に通知・公表している利用目的の内容や取得の経緯等にかんがみて、既に特定の事業者が取得して いる個人データを他の事業者と共同して利用すること、共同して利用する者の範囲、利用する者の利用目的等が、当 該個人データの本人が通常予期し得ると客観的に認められるような場合」(Q&A7-52、GL 通則編 3-6-3(3))でなけ れば認められない。 従って、製品開発の目的で医療情報を民間企業等に提供する事例の中には、共同利用を根拠として個人データであ る医療情報の提供を実施することが難しい事例もあるものと考えられる(この場合の共同利用は、仮名加工情報では なく個人データに係る規律であることに注意すること)。 2.6.5 医療情報を個人データのまま取扱う際の提供に係る法的根拠のまとめ 7 「共同利用」は個人情報保護法における個人情報の取り扱いの方法についての概念であるが、「共同研究」は生命科学・医学系指針において も、研究計画書に基づいて共同して研究を実施する行為として説明されるにとどまっており、両者は区別されるべき概念である。 22 診療で得られた医療情報を、個人データのまま、医療機関等から民間企業等に提供する観点で、当該個人データに 係る法的根拠について下記の通りまとめることができる。 個人データに係る法的根拠 医療 AI ソフトウェア等の製品開発のみを目的とした、医療機関等から民間企業 等に対する医療情報の提供 本人の同意 本人の同意を予め得ておくことによって可能。 学術研究例外 個人情報を取り扱う目的の一部が学術研究目的であれば、製品開発目的が併存 していても良い。ただし、製品開発のみを目的とした活動に対して、学術研究 例外を根拠として医療情報を提供することは難しい。 公衆衛生例外 医療 AI ソフトウェア等の医療機器が、「公衆衛生の向上(中略)のために特に 必要がある場合」に該当する可能性も直ちには否定されないものと思われる。 ただし、公衆衛生例外を根拠として医療機関等から民間企業等に医療情報を提 供するためには、併せて、本人からの同意取得が困難であることが必要とな る。 委託 医療機関等が主体となって製品開発を目的とした活動を行うことは通常想定さ れないため、委託を根拠として、製品開発の目的で医療情報を民間企業等に提 供することは難しい。 共同利用 製品開発の目的で医療情報を民間企業等に提供する事例の中には、共同利用を 根拠として提供を実施することが難しい事例もあるものと考えられる。 3 仮名加工情報 とその共同利用 3.1 仮名加工情報とは (解説)仮名化された個人情報について、一定の安全性を確保しつつ、データとしての有用性を加工前の個人情報と 同等程度に保つことにより、詳細な分析を比較的簡便な加工方法で実施し得るものとして利活用したいというニーズ があった。こうした背景とイノベーションを促進する観点から、氏名等を削除した仮名加工情報が個人情報保護法に おいて創設された8。 3.1.1 仮名加工情報の適正加工義務 (解説)仮名加工情報を作成する際には、個人情報保護法施行規則第 31 条各号で定められた基準に従い、個人情報 を適切に加工しなければならない(第 4 章「医療情報の特性を考慮した仮名加工情報の作成手順」参照)。 3.1.2 仮名加工情報の作成意図 8 個人情報保護委員会(令和 3 年 5 月 7 日)「個人情報保護法 令和2年改正及び令和3年改正案について」p.13 23 (解説)Q&A14-4 では「客観的に仮名加工情報の加工基準に沿った加工がなされている場合であっても、引き続き 個人情報の取扱いに係る規律が適用されるものとして取り扱う意図で加工された個人に関する情報については、仮名 加工情報の取扱いに係る規律は適用され」ないとされている。従って、例えば、安全管理措置の一環として氏名等の 一部の個人情報を削除することによって、外形的には仮名加工情報に相当するものが結果的にできあがっていたとし ても、引き続き個人情報として取扱う意図で加工された場合には、仮名加工情報としての規律は適用されないことに 留意すること。 3.1.3 仮名加工情報における利用目的の変更 (解説)仮名加工情報では「利用目的の変更の制限」に関する規律は適用されず、変更前の利用目的と関連性を有す ると合理的に認められる範囲を超える利用目的の変更も認められる。ただし、利用目的を変更した場合には、原則と して変更後の利用目的を「公表」しなければならない(個人情報保護法第 21 条第 3 項及び第 41 条第 4 項)。 3.2 仮名加工情報の共同利用 3.2.1 仮名加工情報における第三者提供の考え方 (解説)仮名加工情報は、法令に基づく場合を除くほか、第三者提供が禁止される(個人情報保護法第 41 条第 6 項 及び第 42 条第 1 項)。これは、第三者提供によって仮名加工情報を取得した悪意のある者により本人の再識別行為 がおこなわれるおそれがあり、特定の個人が識別されることにより、個人の権利利益が侵害されるリスクを高めるこ ととなるためである9。一方で、通常の個人データと同様に、委託、事業の承継、共同利用の場合については、仮名 加工情報の提供先は、提供元の事業者と一体のものとして取扱うことに合理性があるため、第三者には該当しないも のとされる。 3.2.2 仮名加工情報の共同利用 (解説)特定の者との間で共同して利用される仮名加工情報を当該特定の者に提供する場合であって、次の①から⑤ までの情報を、提供に当たりあらかじめ公表しているときには、当該提供先は、当該仮名加工情報の提供元の事業者 と一体のものとして取扱われることに合理性があると考えられることから、第三者に該当しないものとされている (GL 仮名・匿名加工情報編 2-2-3-3)。 ① 共同利用をする旨 ② 共同して利用される仮名加工情報である個人データの項目 ③ 共同して利用する者の範囲 ④ 利用する者の利用目的 ⑤ 当該仮名加工情報である個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあ っては、その代表者の氏名 9 Q&A14-17 では、仮名加工情報の第三者提供を認める場合の弊害の一つとして「仮名加工情報を取得した悪意者により識別行為が行われるおそ れがあり、個人の権利利益が侵害されるリスクを高めること」を挙げている。 24 3.2.3 通常の個人データと仮名加工情報における共同利用の違い (解説)通常の個人データを他の事業者と共同利用する場合には、医療機関等が患者から医療情報を取得した後に民 間企業等と共同利用することは困難であった(第 2.6.4 章「共同利用(個人情報保護法第 27 条第5項第3号)」参 照)。一方、仮名加工情報の共同利用における利用する者の範囲や利用目的等は、元の個人情報の取得の時点におい て通知又は公表されていた利用目的の内容や取得の経緯にかかわらず設定可能である(GL 仮名・匿名加工情報編 2- 2-3-3)。 3.2.4 仮名加工情報の共同利用による製品開発目的での提供 以上より、医療機関等が医療情報から仮名加工情報を作成し、自らが予定している製品開発目的に応じて利用目的 を適切に変更し、変更後の利用目的を公表することによって、当該仮名加工情報を当該変更後の目的の範囲内で利活 用することができる。また、当該仮名加工情報について、特定の民間企業等との間での共同利用を設定し、その旨を 公表することによって、医療機関等から民間企業等に当該共同利用に伴い提供することができる。なお、仮名加工情 報を作成すること自体は、元の医療情報の取得時にあらかじめ特定した利用目的に含まれていなかったとしても、目 的外利用にはあたらない(Q&A14-9、医療介護ガイダンスⅣ1(2))。そのため、これらの手続きを行うにあたっ て、本人の同意は必要とされない。 3.3 仮名加工情報の共同利用の設定パターン 医療機関等が診療目的で得た医療情報より仮名加工情報を作成し、仮名加工情報の共同利用により、これを製品開 発の目的で民間企業等に提供する場合を、仮名加工情報の共同利用における基本的な設定パターンとして、図 4 に示 す。 図 4: 想定される仮名加工情報の共同利用の基本的な設定パターン。医療機関等が、 自ら保有する医療情報から仮名加工情報を作成 し、民間企業等と共同利用を設定する場合に、A: 1 対 1、B: N 対 1、C: N 対 N 等の様々な関係性を想定することができる。 3.4 仮名加工情報の 転々流通について 25 本ガイドラインでは、仮名加工情報の転々流通を防ぐために、仮名加工情報を作成した元の医療機関等を共同利用 の範囲に含めない形で仮名加工情報を取り扱ってはならないものとする(図 6 参照)。これは、個人情報保護法で は、仮名加工情報の提供元の事業者と一体のものとして取り扱われることに合理性があると考えられる範囲におい て、共同利用における提供先を第三者に該当しないとしているところ、元の医療機関等を共同利用の範囲に含めない 場合には、この趣旨に反するおそれがあるためである。さらに、元の医療機関等を含めずに、民間企業等のみで仮名 加工情報に関する公表を行ったとしても、当該仮名加工情報の本人にとって自身の医療情報から作成された仮名加工 情報に係る公表があるとは通常予見できず、有効な公表とならない懸念もある。 図 6: 仮名加工情報の転々流通について。仮名加工情報を作成した元の医療機関等を含まない形で、 仮名加工情報を取扱ってはなら ない。なぜなら、共同利用は、提供元と提供先を一体のものとして取り扱うことに合理性があることを根拠とした制度であり、元 の医療機関等を含めずに仮名加工情報を取扱う場合には、この趣旨に反するおそれがあるためである。また、元の医療機関等を含 めずに、民間企業等のみで仮名加工情報に関する公表を行ったとしても、当該仮名加工情報の本人にとって自身の医療情報から作 成された仮名加工情報に係る公表があるとは通常予見できず、有効な公表とならない懸念もあるためである。 3.5 仮名加工情報の個人情報該当性 仮名加工情報は、特定の個人に対する容易照合性を基準として、個人情報に該当するものと該当しないものに区別 される。以下、仮名加工情報の共同利用における、医療情報の提供元である医療機関等と、提供先である民間企業等 のそれぞれについて整理する。 3.5.1 提供元である医療機関 等における個人情報該当性 医療機関等において医療情報から仮名加工情報を作成した場合であっても、元の診療の目的で取得した医療情報 は、削除されずに、引き続き保有・管理されていることが通常である。そのため、当該医療機関等では、仮名加工情 報と元の医療情報を容易に照合することで、特定の個人を識別することができ、個人情報の要件である「他の情報と 容易に照合することができ、それにより特定の個人を識別することができることとなるもの」を満たし得る(第 1.3 章「用語の定義」参照)。従って、提供元である医療機関等にとって、当該仮名加工情報は「個人情報である仮名加 工情報」となる(GL 仮名・匿名加工情報編 2-2-1)。 3.5.2 提供先である民間企業等における個人情報該当性 26 医療機関等において医療情報から仮名加工情報を作成し、これを外部の民間企業等に提供した場合、当該民間企業 等においては元の医療情報を有していないため、当該仮名加工情報を他の情報と容易に照合して特定の個人を識別す ることはできないことが通常である。この条件を満たす限り、提供先である民間企業等では、当該仮名加工情報は 「個人情報でない仮名加工情報」となる(GL 仮名・匿名加工情報編 2-2-1)。 3.6 仮名加工情報の規律 3.6.1 仮名加工情報の義務等 個人情報である仮名加工情報と、個人情報でない仮名加工情報に適用される規律を整理する(個人情報保護法第 41 条及び第 42 条、GL 仮名・匿名加工情報編 2-2-1)。このうち、患者の権利利益の保護の観点からは、特に「識 別行為の禁止」や「本人への連絡等の禁止」に留意する必要がある。 規律 個人情報である仮名加工情報 個人情報でない仮名加工情報 適正加工義務 あり なし 削除情報等の安全管理措置 あり なし 利用目的による制限・公表 あり なし 利用する必要がなくなった場合の 消去 あり なし 第三者提供の禁止等 あり あり 識別行為の禁止 あり あり 本人への連絡等の禁止 あり あり その他の義務等 1. 安全管理措置 2. 従業員の監督 3. 委託先の監督 4. 苦情処理 5. 不適正利用の禁止 6. 適正取得 1. 安全管理措置 2. 従業員の監督 3. 委託先の監督 4. 苦情処理 3.6.2 個人情報でない仮名加工情報における不適正利用等の未然防止について 個人情報でない仮名加工情報では、「利用目的による制限・公表」、「利用する必要がなくなった場合の消去」、 「不適正利用の禁止」、「適正取得」等の義務が課せられていない。しかしながら、医療情報が本来有している機微 性への配慮や、安全管理措置の観点から、本ガイドラインでは、共同利用に伴う提供先となる民間企業等に対して、 データ提供契約等により、これらに実質的に相当する義務を取り決めるよう推奨する。 3.6.3 仮名加工情報における義務の不適用 通常の個人情報とは異なり、仮名加工情報では「利用目的の変更の制限」、「漏えい等の報告等」、「本人からの 開示等の請求等」といった規律は適用されない。本ガイドラインでは、第 4.2 章「安全な仮名加工情報を作成するた 27 めの追加的措置」において、これら義務のうち、特に「漏えい等の報告等」の不適用を考慮した安全な仮名加工情報 の作成手順について示している。 3.7 仮名加工情報の利用目的変更・共同利用等に関する手続き 3.7.1 仮名加工情報の利用目的変更・共同利用に際して 医療機関 等が公表するべき項目 医療情報から仮名加工情報を作成して利用目的の変更及び共同利用の設定を行う場合、医療機関等は以下の項目を 特定し、ホームページ等で公表すること(第 3.2.2 章「仮名加工情報の共同利用」より一部再掲)。 ◼ 変更後の利用目的 ◼ 共同利用をする旨 ◼ 共同して利用される仮名加工情報である個人データの項目 ◼ 共同して利用する者の範囲 ◼ 利用する者の利用目的 ◼ 当該仮名加工情報である個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあ っては、その代表者の氏名 3.7.2 仮名加工情報の共同利用におけるデータ提供契約で取り決めるべき項目 医療機関等が、仮名加工情報の共同利用を民間企業等と設定する場合には、データ提供契約において下記の項目を 予め取り決めておくこと(GL 仮名・匿名加工情報編 2-2-3-3)。また、医療 AI ソフトウェアの製品のライフサイク ルは一般的に年単位の期間になるため、医療機関等は、仮名加工情報の共同利用を設定するにあたって、組織的体制 の整備等が必要となることに留意すること。 ◼ 共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用によ る事業遂行上の一定の枠組み) ◼ 各共同利用者における仮名加工情報の取扱責任者、問合せ担当者及び連絡先 ◼ 共同利用する仮名加工情報である個人データの取扱いに関する事項 ⚫ 仮名加工情報である個人データの漏えい等防止に関する事項 ⚫ 目的外の加工、利用、複写、複製等の禁止 ⚫ 共同利用終了後のデータの返還、消去、廃棄に関する事項 ◼ 共同利用する仮名加工情報である個人データの取扱いに関する取決めが遵守されなかった場合の措置 ◼ 共同利用する仮名加工情報である個人データに関する事件・事故が発生した場合の報告・連絡に関する事項 ◼ 共同利用を終了する際の手続 ◼ 共同利用する仮名加工情報である個人データに対して、当該医療機関等を含めない形での二次的な共同利用 等を設定することの禁止(第 3.4 章「仮名加工情報の転々流通について」参照) 3.8 削除情報等の安全管理措置 義務 (解説)仮名加工情報の作成に用いられた個人情報から削除された記述等、及び、個人識別符号並びに個人情報保護 法第 41 条第 1 項により行われた加工の方法に関する情報を削除情報等という。削除情報等は仮名加工情報の加工方 28 法に関する情報を含み、仮名加工情報との照合により、特定の個人を識別するために利用されること等が懸念される 10。そのため、仮名加工情報を作成したときは、削除情報等の漏えいを防止するために、下記の通り必要な安全管理 措置を講じなければならない(個人情報保護法第 41 条第 2 項、個人情報保護法施行規則第 32 条)。 ◼ 削除情報等を取扱う者の権限及び責任を明確化する。 ◼ 削除情報等は仮名加工情報の作成後に速やかに消去する。 ◼ 削除情報等を仮名加工情報の作成後に速やかに消去せず、一定期間保持する特段の理由がある場合には、削 除情報等の取扱い状況を確認する手段を整備し、削除情報等を取扱う権限を有しない者による閲覧の防止等 を含む安全管理措置について定め、その内容に従って取扱う。 3.8.1 推奨される 削除情報等の 安全管理措置 (解説)削除情報等を利用する必要がなくなったときは、これを遅滞なく消去するよう努めなければならない(個人 情報保護法第 41 条第 5 項)。 実際に、医療機関等において削除情報等を一定期間保持する特段の理由がある場合は例外的と考えられる。そのた め、本ガイドラインにおいては、削除情報等は仮名加工情報の作成後に速やかに消去することを推奨する。 4 医療情報の特性を考慮した仮名加工情報の作成手順 4.1 仮名加工情報の 適正な加工 基準 (解説)個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。)を作成する ときは11、他の情報と照合しない限り特定の個人を識別することができないようにするために、個人情報保護法施行 規則第 31 条各号に定める以下の基準に従って、個人情報を加工しなければならない。 号 仮名加工情報の適正な加工 1 (記述等による単体識別性の消去) 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又 は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含 む。)。 2 (個人識別符号による単体識別性の消去) 10 削除情報等のうち、「個人情報保護法第 41 条第 1 項により行われた加工の方法に関する情報」については、「その情報を用いて仮名加工情報 の作成に用いられた個人情報を復元することができるもの」のみが削除情報等の安全管理措置の義務の対象となる一方、「仮名加工情報の作成に 用いられた個人情報から削除された記述等、及び、個人識別符号」については、その全てが対象となることに留意すること。 11 「作成するとき」は、仮名加工情報として取り扱うために、当該仮名加工情報を作成するときのことを指す。したがって、例えば安全管理措置 の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合等については、仮名加 工情報を「作成するとき」には該当しない(Q&A14-4)。 29 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性 を有しない方法により他の記述等に置き換えることを含む。)。 3 (財産的被害が生じるおそれがある記述等の削除) 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること (当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含 む。)。 本ガイドラインでは、このうちの第 1 号を「記述等による単体識別性の消去」、第 2 号を「個人識別符号による単 体識別性の消去」、第 3 号を「財産的被害が生じるおそれがある記述等の削除」と呼ぶ。仮名加工情報の適正な加工 基準には、単体識別性を失わせる観点に加えて、財産的被害等の権利利益の侵害リスクを低減させる観点も含まれて いると理解される。 尚、「記述等」とは個人情報保護法第 2 条第 1 項第 1 号において、「文書、図画若しくは電磁的記録(電磁的方式 (電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をい う。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を 除く。)をいう。」とされる。 4.1.1 単体識別性と容易照合性 の観点を踏まえた仮名加工情報の加工基準の考え方 本ガイドラインにおいて、単体識別性とは、情報単体または複数の情報を組み合わせて保存されているものから、 他の情報と照合することなく、特定の個人を識別することができることを指す。仮名加工情報において、「情報単体 または複数の情報を組み合わせて保存されているもの」とは、図 7 で示すように、加工後の情報が想定される。 また、本ガイドラインでは、他の情報と容易に照合することによって特定の個人を識別できることを容易照合性と 呼ぶ。仮名加工情報では、加工後の情報とそれ以外の情報を容易に照合することによって(容易照合性の観点)、特 定の個人を識別することができる状態にあることを否定するものではない。 30 図 7: 単体識別性と容易照合性の観点を踏まえた仮名加工情報の加工基準の考え方。ここでは、 事業者が有する個人情報データベー ス等を、複数のテーブルデータの集合として例示している。また、ある特定の個人に関する情報であって、当該情報と容易照合性 のある情報があり、これらによって個人を識別できる場合、これらの情報をあわせて全体として当該個人に関する個人情報として いる(赤枠)。更に、こうした個人情報は、複数の記述等(緑枠)から構成されるとする。仮名加工情報において、単体識別性と は、加工後の情報から、他の情報と照合することなく、特定の個人を識別することができることを指す。また、他の情報と容易に 照合することによって、特定の個人を識別できることを容易照合性と呼ぶが、仮名加工情報においては、容易照合性の観点により 特定の個人を識別することができる状態にあることまでは否定されない。 4.2 安全な仮名加工情報を作成するための追加的措置 個人情報保護法の法令及びガイドラインは、あくまでも必要最小限の事項について定めたものである。そこで、よ り安全な仮名加工情報を作成するためには、仮名加工情報の性質を踏まえた追加的な措置を考慮する必要がある。本 ガイドラインでは、個人情報保護委員会事務局レポートを参照し、「漏えい時の個人の権利利益の侵害リスクを低減 する観点(権利利益侵害リスク低減の観点)」と「禁止義務に抵触する取扱いを未然に防止する観点(禁止義務未然 防止の観点)」から追加的な措置を抽出する。 4.2.1 権利利益侵害リスク低減の観点 仮名加工情報は、万が一に漏えい等が発生した場合でも、「漏えい等の報告等」の対象外とされている。しかし、 個人情報保護法は、仮名加工情報について安全管理措置を講ずる義務まで免除しているものではない。従って、仮名 加工情報が漏えいした場合に、当該仮名加工情報を取得した第三者が特定の個人を識別することができる可能性をい っそう低減させる観点から、以下の 2 つの措置を講ずることが望ましい。 追加的措置 内容 共用性のある記述等の削除 電話番号やメールアドレス等、多数の事業者において取得されている共用性の ある記述等が含まれる場合、当該仮名加工情報についての漏えい発生時に、こ れを取得した第三者が、共用性のある記述等をキーとして本人の識別がなされ る可能性が高まるため、これを削除することが望ましい。 利用目的を達成するために 必要最小限の情報への加工 (データ最小化) 仮名加工情報を作成する際は、当該仮名加工情報の利用目的を踏まえ、当該利 用目的の達成のために必要最小限の情報項目だけを残して加工することが望ま しい。 4.2.2 禁止義務未然防止の観点 仮名加工情報には、「識別行為の禁止」や「本人への連絡等の禁止」等の規律があるため、これらに違反しないよ う措置を講ずることが望ましい。 追加的措置 内容 連結符号の削除 個人に一意に割り当てることにより個人を識別してその情報を管理するために 用いられているカルテ番号等を仮名加工情報に残した場合、当該カルテ番号等 を用いて仮名加工情報と作成元の個人情報を照合し、識別禁止義務に抵触する 可能性があるため、カルテ番号等は削除するか、別途整理番号を付す等を行う ことが望ましい。 31 連絡先情報の削除 本人への連絡等の禁止義務に抵触する取扱いを未然に防止する観点から、仮名 加工情報の作成に当たって削除するか、連結符号として用いる際であっても置 き換えをすることが望ましい。 4.3 医療情報における記述 等の類型 医療情報の特性を考慮した仮名加工情報の作成方法を示すために、個人情報保護法で定義される個人識別符号に加 え、医療情報に含まれる記述等を以下のように類型化する。 (1) 個人識別符号 (第 1.3 章(2)の再掲)個人識別符号とは、当該情報単体で特定の個人を識別できるものとして個人情報保護法施行 令に定められた文字、番号、記号その他の符号を指す。医療情報に関連した個人識別符号としては、生体情報 (DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋)をデジタルデータに変換したもののうち、特定 の個人を識別するに足りるものとして個人情報保護委員会規則に定める基準に適合するものがある(以下「1 号個人 識別符号」)。その他、旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の番号等 の公的機関が割り振る番号も同施行令第 1 条第 2 号以下において、個人識別符号に含まれるとされる(以下「2 号個 人識別符号」)。 個人識別符号は、主に、仮名加工情報の適正な加工基準 2 号「個人識別符号による単体識別性の消去」に関わる。 (2) 識別子 本ガイドラインにおいて、識別子とは、一つの個人情報を構成する個人識別符号を除く複数の記述等のうち、単体 で特定の個人を識別することができる記述等を指す。例えば、氏名が識別子に該当する。識別子は、主に、仮名加工 情報の適正な加工基準 1 号「記述等による単体識別性の消去」に関わる。 (3) 準識別子 本ガイドラインにおいて、準識別子とは、一つの個人情報を構成する個人識別符号を除く複数の記述等のうち、そ れ自体では識別子とはならないが、その組み合わせによって特定の個人を識別することができる記述等を指す。例え ば、郵便番号や住所が該当する。準識別子は、主に、仮名加工情報の適正な加工基準 1 号「記述等による単体識別性 の消去」に関わる。 (4) 財産的被害が生じる おそれのある情報 クレジットカード番号等の、不正に利用されることにより財産的被害が生じるおそれのある情報。財産的被害が生 じるおそれのある情報は、主に、仮名加工情報の適正な加工基準 3 号「財産的被害が生じるおそれがある記述等の削 除」に関わる。 (5) 連結符号 32 個人情報保護法施行規則第 34 条に定められた匿名 .. 加工情報の適正な加工基準 3 号において「個人情報と当該個人 情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結す る符号に限る。)」を指す。ただし、本ガイドラインにおいては、識別子及び準識別子に該当するものを除く。ここ で、「現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る」とは、実際に、事業者の内部で 連結用 ID として利用されているものに限定することを意味する。例えば、カルテ番号は一般的に連結符号に該当す る。連結符号は、主に、第 4.2 章「安全な仮名加工情報を作成するための追加的措置」のうち「禁止義務未然防止の 観点」に関わる。 (6) 連絡先情報 電話番号等の本人の連絡先情報。連絡先情報は、主に、第 4.2 章「安全な仮名加工情報を作成するための追加的措 置」のうち「禁止義務未然防止の観点」に関わる。 4.4 医療情報における記述等の類型に該当する具体例 医療情報における記述等の類型について、その具体的な例を以下に示す。 類型 記述等の例 個人識 別符号 1 号個人 識別符号 ⚫ ゲノムデータ(細胞から採取されたデオキシリボ核酸(別名 DNA)を構成する塩 基の配列を文字列で表記したもの)のうち、全核ゲノムシークエンスデータ、全エ クソームシークエンスデータ、全ゲノム一塩基多型(single nucleotide polymorph ism:SNP)データ、互いに独立な 40 箇所以上の SNP から構成されるシークエン スデータ、9 座位以上の 4 塩基単位の繰り返し配列(short tandem repeat :ST R)等の遺伝型情報により本人を認証することができるようにしたもの ⚫ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状から抽出 した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本 人を認証することができるようにしたもの ⚫ 虹彩の表面の起伏により形成される線状の模様から、赤外光や可視光等を用い、抽 出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、 本人を認証することができるようにしたもの ⚫ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化に関する特徴情 報を、話者認識システム等本人を認証することを目的とした装置やソフトウェアに より、本人を認証することができるようにしたもの ⚫ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様から抽出した特徴情報 を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証する ことができるようにしたもの ⚫ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静 脈の形状等から、赤外光や可視光等を用い抽出した特徴情報を、本人を認証するこ とを目的とした装置やソフトウェアにより、本人を認証することができるようにし たもの 33 ⚫ 指の表面の隆線等で形成された指紋から抽出した特徴情報を、本人を認証すること を目的とした装置やソフトウェアにより、本人を認証することができるようにした もの ⚫ 手のひらの表面の隆線や皺等で形成された掌紋から抽出した特徴情報を、本人を認 証することを目的とした装置やソフトウェアにより、本人を認証することができる ようにしたもの ⚫ 個人情報保護法施行令第 1 条第 1 号イからトまでに掲げるものから抽出した特徴 情報を、組み合わせ、本人を認証することを目的とした装置やソフトウェアによ り、本人を認証することができるようにしたもの 2 号個人 識別符号 ⚫ 旅券の番号 ⚫ 基礎年金番号 ⚫ 免許証の番号 ⚫ 住民票コード ⚫ 個人番号 ⚫ 国民健康保険の保険者番号及び被保険者記号・番号 ⚫ 後期高齢者医療制度の保険者番号及び被保険者番号 ⚫ 健康保険の保険者番号及び被保険者等記号・番号 識別子 ⚫ 氏名 ⚫ 顔写真 ⚫ 特定の個人を識別できる映像情報 ⚫ 特定の個人を識別できる音声情報 ⚫ 特定の個人を識別できるメールアドレス 準識別子 ⚫ 郵便番号 ⚫ 住所 ⚫ 生年月日 ⚫ 性別 ⚫ 所属、学歴、職歴等に関する情報 ⚫ 検査日等の日付情報 ⚫ 医療機関等の識別情報(医療機関等の名称等) 財産的被害が生じる おそれのある情報 ⚫ クレジットカード番号 連結符号 ⚫ カルテ番号 ⚫ 検査機器や検査情報の識別情報(検査 UID12等) 連絡先情報 ⚫ 住所(番地まで含むもの) ⚫ 電話番号 ⚫ メールアドレス 4.5 個人識別符号に対する該当性 12 Unique Identifier(固有識別子)のこと。 34 4.5.1 1 号個人識別符号の具体的な例 GL 通則編 2-2 より、1 号個人識別符号の該当性は次表のイからトに掲げられるものとして整理されている。尚、 「本人を認証することができるようにしたもの」について、Q&A1-22 では、「登録された顔の容貌や DNA、指紋等 の生体情報をある人物の生体情報と照合することによって、特定の個人を識別しうる水準である符号」が該当すると している。 1 号個人識別符号の類型 具体的な内容 イ. 細胞から採取され たデオキシリボ核 酸(別名 DNA)を 構成する塩基の配 列 ゲノムデータ (細胞から採取されたデオキシリボ核酸 (別名 DNA) を構成する塩基 の配列を文字列で表記したもの) のうち、 全核ゲノムシークエンスデータ、 全エクソ ームシークエンスデータ、全ゲノム一塩基多型( single nucleotide polymorphism : SNP)データ、互いに独立な 40 箇所以上の SNP から構成されるシークエンスデ ータ、9 座位以上の 4 塩基単位の繰り返し配列(short tandem repeat:STR)等の 遺伝型情報により本人を認証することができるようにしたもの ロ. 顔の骨格及び皮膚 の色並びに目、鼻、 口その他の顔の部 位の位置及び形状 によって定まる容 貌 顔の骨格及び皮膚の色並びに目、 鼻、 口その他の顔の部位の位置及び形状から抽出し た特徴情報を、 本人を認証することを目的とした装置やソフトウェアにより、 本人を 認証することができるようにしたもの ハ. 虹彩の表面の起伏 により形成される 線状の模様 虹彩の表面の起伏により形成される線状の模様から、 赤外光や可視光等を用い、 抽出 した特徴情報を、 本人を認証することを目的とした装置やソフトウェアにより、 本人 を認証することができるようにしたもの ニ. 発声の際の声帯の 振動、 声門の開閉並 びに声道の形状及 びその変化によっ て定まる声の質 音声から抽出した発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変 化に関する特徴情報を、話者認識システム等本人を認証することを目的とした装置 やソフトウェアにより、本人を認証することができるようにしたもの ホ. 歩行の際の姿勢及 び両腕の動作、 歩幅 その他の歩行の態 様 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様から抽出した特徴情報を、 本人を認証することを目的とした装置やソフトウェアにより、本人を認証すること ができるようにしたもの ヘ. 手のひら又は手の 甲若しくは指の皮 下の静脈の分岐及 び端点によって定 まるその静脈の形 状 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静 脈の形状等から、 赤外光や可視光等を用い抽出した特徴情報を、 本人を認証すること を目的とした装置やソフトウェアにより、本人を認証することができるようにした もの ト. 指紋又は掌紋 (指紋) 指の表面の隆線等で形成された指紋から抽出した特徴情報を、 本人を認証す ることを目的とした装置やソフトウェアにより、本人を認証することができるよう にしたもの 35 (掌紋) 手のひらの表面の隆線や皺等で形成された掌紋から抽出した特徴情報を、 本 人を認証することを目的とした装置やソフトウェアにより、本人を認証することが できるようにしたもの 組合せ 政令第 1 条第 1 号イからトまでに掲げるものから抽出した特徴情報を、組み合わ せ、 本人を認証することを目的とした装置やソフトウェアにより、 本人を認証するこ とができるようにしたもの 4.5.2 遺伝子検査 情報の 1 号個人識別符号該当性 本ガイドラインで対象とする医療情報のうち(第 1.3 章「用語の定義」参照)、特に 1 号個人識別符号に該当し得 るのは遺伝子検査情報である。 GL 通則編 2-2 では、1 号個人識別符号に該当するものは、ゲノムデータ(細胞から採取された DNA を構成する 塩基の配列を文字列で表記したもの)のうち、 ◼ 全核ゲノムシークエンスデータ ◼ 全エクソームシークエンスデータ ◼ 全ゲノム一塩基多型(SNP: single nucleotide polymorphism)データ ◼ 互いに独立な 40 箇所以上の SNP から構成されるシークエンスデータ ◼ 9 座位以上の 4 塩基単位の繰り返し配列(STR: short tandem repeat) 等の遺伝型情報により、本人を認証することができるようにしたものとされる。従って、遺伝子検査情報がこれらに 該当する場合は、1 号個人識別符号となる。 4.5.3 遺伝子検査情報以外の医療情報の 1 号個人識別符号該当性 遺伝子検査情報以外の医療情報を構成する生体情報の多くは疾患の経過や治療内容によって変化し得る動的属性で あり、その性質として、「ある人物の生体情報と照合することで、特定の個人を識別することができる水準である符 号」(Q&A1-22)に相当しないことが一般的である。従って、遺伝子検査情報以外の医療情報が 1 号個人識別符号 に該当することは例外的である。 4.6 医療情報における記述等の類型に関する各論 4.6.1 住所に関する類型の判断 住所は、個人の居住地を表す記述等であるが、その様々な性質に応じた取扱いが求められる13。 「番地まで含む住所」は居住地を特定し、生年月日や性別等の他の記述等との組み合わせによって、特定の個人を 識別することができることがある。そのため、準識別子としての取扱いが求められる。同時に、郵便を送付したり、 本人を訪問したりすることを可能にするため、連絡先情報としての性質も有する。 13 佐久間淳(2016)「データ解析におけるプライバシー保護 (機械学習プロフェッショナルシリーズ)」講談社 p.22 を一部引用している。 36 一方、「市区町村までの住所」であっても、例えば、当該住所が人口の少ない自治体に属している場合に、生年月 日や性別などのその他の記述等との組み合わせによって、特定の個人を識別できるリスクが存在する14。従って、市 区町村までの住所であっても、引き続き準識別子としての取扱いが相応である。 このように、準識別子による個人特定性は、それと組み合わせられる他の記述等との性質によって変化するため、 一律に示すことが困難であり、ケース・バイ・ケースで判断する必要がある。 住所の類型 本ガイドラインでの取扱い 例 番地まで含む住所 準識別子・連絡先情報 東京都中央区築地 5-1-1 市区町村までの住所 準識別子 東京都中央区 4.6.2 カルテ番号を 識別子ではなく連結符号とする理由 カルテ番号は、一般的に医療機関等ごとに一意に特定の個人と紐付けられている。しかし、通常、カルテ番号のみ では必ずしも特定の個人を識別することができないと考えられる。そのため、カルテ番号については単体識別性が認 められない場合が多い。 一方で、カルテ番号は、一般的に、医療機関等において実際に連結用 ID として利用されている。従って、カルテ 番号は、通常、「現に個人情報取扱事業者において取り扱う情報を相互に連結する符号」であり、連結符号に該当す る。 4.7 識別子・準識別子に対する加工の類型 識別子及び準識別子に対しては、仮名加工情報の適正な加工基準 1 号「記述等による単体識別性の消去」として、 単体識別性を消去する目的で、以下の加工を行う必要がある。 4.7.1 識別子に対する加工の類型 識別子に対して、記述等単体で特定の個人を識別することを防ぐための技術的措置として、下記の類型が挙げられ る。尚、個人情報保護法においては、置換は削除の一種とされるため、本ガイドラインにおいても、単に「削除」と 記載する場合には置換も含意されることに留意すること。また、仮名加工情報を作成するための加工の一環として 「マスク処理」を行う場合には、「削除」に該当するような方法である必要がある。 加工の類型 内容 削除 加工対象となる個人情報データベース等に含まれる個人情報の記述等のうち、 識別子に該当する項目のデータを全ての個人情報から削除すること(項目削 除)。例えば、氏名のデータを全ての個人情報から削除すること。 置換 加工対象となる個人情報データベース等に含まれる個人情報の記述等のうち、 識別子に該当する項目のデータを、復元することができる規則性を有しない方 法によって、全ての個人情報から置換すること。尚、元の記述等を復元できる 規則性を有しない方法によって、各個人に一意な仮 ID に置換すること(仮 ID への置換)も置換に含まれる。 14 平成 28 年 1 月 1 日時点で、人口 1 万人未満の自治体数(市区町村)は 497 自治体あり、例えば、「市区町村まで含む住所」と「生年月」の組 み合わせでも特定の個人を識別できるリスクが存在する。 37 マスク処理 識別子に相当する画像情報等に対して、視覚的特徴を手がかりに特定の個人を 識別できる領域に対してマスクするなどの措置のこと。例えば、顔写真に対し て、特定の個人を識別することができないよう、目元等に対してマスク処理を 施すこと。尚、レイヤー等の追加により画像情報を間接的に隠すのみでは不適 切であり、元のピクセル値が意味をなさないものとなるように直接的に塗りつ ぶすことが求められる。 4.7.2 準識別子に対する加工の類型 準識別子の組み合わせによって特定の個人の識別を防ぐための技術的措置として、個人情報保護委員会事務局レポ ートを参考に、以下の類型を挙げる15。 加工の類型 内容 削除(項目削除/レコード削 除/セル削除) 加工対象となる個人情報データベース等に含まれる個人情報の記述等を削除す ること。 例えば、年齢のデータを全ての個人情報から削除すること(項目削 除)、特定の個人の情報を全て削除すること(レコード削除)、又は特定の個 人の年齢のデータを削除すること(セル削除)。 一般化 加工対象となる情報に含まれる記述等について、上位概念若しくは数値に置き 換えること又は数値を四捨五入などして丸めること。 トップ(ボトム)コーディ ング 加工対象となる個人情報データベース等に含まれる数値に対して、特に大きい 又は小さい数値をまとめること。 ミクロアグリゲーション 加工対象となる個人情報データベース等を構成する個人情報をグループ化した 後、グループの代表的な記述等に置き換えること。 データ交換(スワップ) 加工対象となる個人情報データベース等を構成する個人情報相互に含まれる記 述等を(確率的に)入れ替えること。 ノイズ(誤差)付加 一定の分布に従った乱数的な数値を付加することにより、他の任意の数値へと 置き換えること。 疑似データ生成 人工的な合成データを作成し、これを加工対象となる個人情報データベース等 に含ませること。 4.8 識別子・準識別子に対する加工の要否の考え方 4.8.1 識別子に対する加工の要否 識別子とは、その記述等のみで特定の個人を識別することができる記述等である(第 4.3 章「医療情報における記 述等の類型」参照)。従って、単体識別性を失わせるためには、識別子について、他の情報と照合しない限り特定の 個人を識別することができないよう、その全部又は一部を削除する必要がある。 15 個人情報保護委員会事務局レポート: 「個人情報保護委員会事務局レポート: 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向け て―制度編―」(初版 2017 年 2月(第 2 版 2022 年 3月)個人情報保護委員会事務局)p.76 – 77 より引用 38 4.8.2 準識別子に対する加工の要否 準識別子とは、その記述等のみでは直ちに特定の個人を識別することができない記述等である(第 4.3 章「医療情 報における記述等の類型」参照)。従って、単体識別性を失わせるという観点からは、全ての準識別子を一律に削除 する必要は必ずしもない。 ただし、組み合わせて保存されている複数の準識別子から特定の個人を識別できる場合がある。そのような場合に は、単体識別性を失わせるために、準識別子についても、他の情報と照合しない限り特定の個人を識別することがで きないよう、その全部又は一部を削除することが求められる。 4.8.3 準識別子に対する加工のうち 特に重要 と考えられるもの 準識別子の組み合わせは多様であり、準識別子の組み合わせが単体識別性を有するかどうかは、その組み合わせの 内容等を踏まえて個別に判断する必要がある。そのため、準識別子に対する加工の基準を一律に定めるのは容易では ない。本ガイドラインでは、第 4.4 章「医療情報における記述等の類型に該当する具体例」に挙げた準識別子のう ち、「番地までの住所」は特に個人との結びつきが強いと考えられる。したがって、以下の加工を一律に必須として いる。 ◼ 「番地までの住所」を「市区町村までの住所」に一般化する 例) 「東京都中央区築地 5-1-1」を「東京都中央区」に一般化する。 尚、「番地までの住所」以外の準識別子についても、これを残す特段の理由がある場合には、その組み合わせによ って特定の個人を識別することができなくなるように加工する必要がある。 4.9 医療情報の特性を考慮した仮名加工情報の作成手順 医療情報から仮名加工情報を作成するための一般的な手順を以下に示す(図 8 参照)。 (1) 利用目的を特定 医療情報の利活用における具体的な利用目的を特定する。 (2) 医療情報を特定 利用目的に応じて必要となる医療情報の種類や数量を特定する。 (3) 医療情報に含まれる識別子・準識別子 等を特定 対象となる医療情報に含まれている識別子・準識別子等を特定する(第 4.4 章「医療情報における記述等の類型に 該当する具体例」参照)。 (4) 識別子に対する 措置(必須) 39 識別子に対する加工(削除、置換等)を行う(第 4.8.1 章「識別子に対する加工の要否」参照)。 (5) 準識別子に対する 措置(必須) 準識別子に対する加工(削除、一般化、トップコーディング等)を行う。全ての準識別子を一律に削除する必要は 必ずしもないが、組み合わせて保存されている複数の準識別子から特定の個人を識別できる場合には、他の情報と照 合しない限り特定の個人を識別することができないように加工することが求められる(第 4.8.2 章「準識別子に対す る加工の要否」参照)。本ガイドラインでは、準識別子のうち、特に他の記述等との組み合わせによる単体識別性の 高い「番地までの住所」を、「市区町村までの住所」に一般化することを必須とする。 (6) 個人識別符号及び財産的被害が生じる おそれのある記述等 に対する措置 (必須) 個人識別符号及び財産的被害が生じるおそれのある記述等を削除する(第 4.5 章「個人識別符号に対する該当性」 参照)。 (7) 禁止義務未然防止の観点による追加的措置(推奨) 連絡先情報や連結符号を削除する(第 4.2.2 章「禁止義務未然防止の観点」参照)。特に、医療機関等において、 実際に連結用 ID として利用されているカルテ番号等を削除することを推奨する。 (8) 漏えい時の権利利益侵害リスクの観点による追加的措置(推奨) 利用目的を達成するために必要のない範囲で、郵便番号、住所、生年月日、所属、学歴、職歴等に関する情報、検 査日等の日付情報、医療機関等の識別情報等の準識別子に対する加工を行うことを推奨する(第 4.2.1 章「権利利益 侵害リスク低減の観点」参照)。 40 図 8: 医療情報から仮名加工情報を作成するための体系的な手順。加工に先立って、①利用目的、②医療情報、③当該医療情報に含 まれる識別子・準識別子等を特定する。その後、④識別子に対する措置、⑤準識別子に対する措置、⑥個人識別符号及び財産的被 害が生じるおそれのある記述等に対する措置を行うことで、仮名加工情報が作成される。本ガイドラインでは、これに⑦禁止義務 未然防止の観点、及び、⑧漏えい時の権利利益侵害リスク低減の観点による追加的措置を施し、安全な仮名加工情報を作成するこ とを推奨する。 41 5 医療情報の種類に応じた仮名加工情報の 具体的な 作成手順 5.1 医療情報の一般的な構造 一つの医療情報には、複数の記述等が含まれており、それらは 2 つの領域に分けることができる。一つは、医療情 報システム等が機械的に取り扱うメタ情報が含まれる領域であり、もう一つは、医療従事者が直接的に取り扱うコン テンツ情報が含まれる領域である。本ガイドラインでは、前者をメタ情報領域、後者をコンテンツ情報領域と呼ぶ (図 9 参照)。 5.1.1 メタ情報領域 メタ情報領域とは、医療情報に含まれる情報領域のうち、医療情報システム等を体系的に構成し、当該医療情報を 検索する目的で付加されたメタ情報から成り立つ領域である。主に医療情報システム等により機械的に取り扱われる 情報領域ではあるが、その一部の情報(患者のカルテ番号や氏名等)は電子カルテ端末等に表示され、コンテンツ情 報とともに医療従事者により認識されることがある。 5.1.2 コンテンツ情報領域 コンテンツ情報領域とは、医療情報に含まれる情報領域のうち、患者の診察や検査を通して取得された、医学的に 意味のある情報としてのコンテンツ情報から成り立つ領域である。主に医療従事者により観察され、入力される情報 領域であり、その内容は電子カルテ端末等に表示され、必要に応じて編集されることもある。 図 9: 医療情報の一般的な構造16。医療情報システム等の個人情報データベースに保有・管理される医療情報は、主に二つの領域に 分けられる。一つは機械により処理されるメタ情報領域であり、もう一つは医療従事者により利用されるコンテンツ情報領域であ る。 ここで、 メタ情報領域には、 医療従事者が通常の業務では参照しない識別子・準識別子等が含まれている可能性があることに留 意する必要がある。 16 図中の MR 画像は https://radiopaedia.org/より引用した。 42 5.2 診療テキスト情報 の加工 診療テキスト情報とは、 具体的にはカルテ記載、 薬剤情報、 健康診断の結果、 保健指導の内容、 読影レポート、 病理 レポート等を指す。診療テキスト情報は、コンテンツ情報領域のみがテキスト形式等で抽出されることもあるが、メ タ情報領域とコンテンツ情報領域の双方を含む XML 形式や CSV 形式等で抽出されることもある。 以下では、XML 形 式を想定して、診療テキスト情報から仮名加工情報を作成する際の手順を示す。図 10 のように、XML 形式はメタ情 報領域に相当するヘッダ部と、コンテンツ情報領域に相当するボディ部から構成されている。 5.2.1 メタ情報領域に含まれることの多い記述等 XML 形式のヘッダ部には、患者のカルテ番号、氏名、住所、郵便番号、生年月日、性別、婚姻歴、家族情報、電話 番号、被保険者番号等の患者基本情報、電子診療文書としての識別番号(UID)、作成者、文書承認者、医療機関等の 名称、作成日等の情報が含まれることがある。 5.2.2 コンテンツ情報領域に含まれる ことの多い 記述等 診療テキスト情報(カルテ記載、薬剤情報、健康診断の結果、保健指導の内容、読影レポート、病理レポート等)の コンテンツ情報領域には、医療従事者による自由記載が含まれていることがある。こうした自由記載の内容は予め構 造化されていないことが多く、患者、患者の家族、医療従事者に関する識別子・準識別子等が含まれている可能性が 事前に予見できない。したがって、目視を含む確実な方法により識別子・準識別子等の有無を確認し、適切な加工を 施すことが必要である。 43 図 10: XML 形式で抽出された診療テキスト情報の例17。XML 形式のデータにおいては、ヘッダ部がメタ情報領域に相当し、 患者の 氏名等の基本属性だけでなく、作成者の情報等も含まれる。一方、ボディ部はコンテンツ情報領域に相当し、医療従事者による自 由記載が含まれる可能性がある。その場合、識別子・準識別子等の有無について目視による確認を行うことが望ましい。 5.2.3 診療テキスト情報 に対する加工の例 診療テキスト情報に含まれることの多い記述等に対して、想定される加工の例を以下のように示す。 項目名 加工の必要性 加工の例とその理由 患者のカルテ番号 推奨 連結符号であり、禁止義務未然防止の観点より削除する。 患者の氏名 必須 識別子であり、削除する。 住所 必須 準識別子であり、番地までの住所を市区町村までの住所に一般化する か、権利利益侵害リスク低減の観点も踏まえて、削除する。 郵便番号 推奨 準識別子であり、権利利益侵害リスク低減の観点より削除する。 生年月日 推奨 準識別子であり、権利利益侵害リスク低減の観点より生年月に一般化 する。 性別 なし 準識別子であるが、利用目的の達成のために必要な範囲で保持する。 婚姻歴 推奨 準識別子であり、権利利益侵害リスク低減の観点より削除する。 家族情報 必須 患者の家族の識別子を含み得るため、削除する。 電話番号 推奨 連絡先情報であり、禁止義務未然防止の観点より削除する。 被保険者番号 必須 2 号個人識別符号であり、削除する。 電子診療文書として の識別番号(UID) なし ~ 推奨 医療情報システム等に対する検索を行うことができる場合、当該識別 番号は連結符号として、禁止義務未然防止の観点より削除する。 作成者 必須 医療従事者の識別子であり、削除する。 文書承認者 必須 医療従事者の識別子であり、削除する。 医療機関等の名称 推奨 準識別子であり、権利利益侵害リスク低減の観点より削除する。 作成日 推奨 準識別子であり、権利利益侵害リスク低減の観点より一般化やノイズ 負荷を行う。 5.3 生理機能検査情報の加工 生理機能検査情報とは、具体的にはバイタルデータ、血液検査データ、生理検査データ(心電図、呼吸機能、脳波 等)等を指す。生理機能検査情報は、コンテンツ情報領域のみが CSV 形式や PDF 形式18等で抽出されることもある が、同形式にメタ情報領域が付帯していることもある。以下では、CSV 形式を想定して、生理機能検査情報から仮 名加工情報を作成する際の手順を示す。 5.3.1 メタ情報領域に含まれることの多い記述等 17 一般社団法人保健医療福祉情報システム工業会医療システム部会検査システム委員会 (2020 年 5 月)「JAHIS 診療文書構造化記述規約 共通 編 Ver.2.0」より診療テキスト情報の例を引用している。 18 PDF 形式であっても、メタデータとして作成者や作成機関等の情報が含まれ得ることに注意すること。 44 CSV 形式のデータカラムには、患者のカルテ番号、氏名、生年月日、性別、検査時の年齢、検査日時、医療従事 者の氏名、検査機器や検査情報の識別情報(検査 UID 等)、医療機関等の識別情報等の情報がメタ情報として含ま れることがある。 5.3.2 コンテンツ情報領域に含まれることの多い記述等 CSV 形式のデータカラムには、生理機能検査により得られた検査値等がコンテンツ情報として含まれる。また、 生理機能検査の検査目的や診断結果、備考等がテキスト情報として含まれることもある。検査値等が客観的な数値等 で構成される場合、特段の加工は不要である19。一方、テキスト情報に対しては、診療テキスト情報のコンテンツ情 報と同様に、原則として目視により識別子・準識別子等の有無を確認し、適切な加工を施すことが必要である。 5.3.3 生理機能検査情報に対する加工の例 生理機能検査情報に含まれることの多い記述等に対して、想定される加工の例を以下のように示す。 項目名 加工の必要性 加工の例とその理由 患者のカルテ番号 推奨 連結符号であり、禁止義務未然防止の観点より削除する。 患者の氏名 必須 識別子であり、削除する。 生年月日 推奨 準識別子であり、権利利益侵害リスク低減の観点より生年月に一般化 する。 性別 なし 準識別子であるが、利用目的の達成のために必要な範囲で保持する。 検査時の年齢 なし 準識別子であるが、識別性が低い限りにおいて、利用目的の達成のため に必要な範囲で保持する。 検査日時 推奨 準識別子であり、権利利益侵害リスク低減の観点より一般化やノイズ 負荷を行う。 医療従事者の氏名 必須 医療従事者の識別子であり、削除する。 検査機器や検査情報 の識別情報(検査 UID 等) なし ~ 推奨 医療情報システム等に対する検索を行うことができる場合、当該識別 情報は連結符号として、禁止義務未然防止の観点より削除する。 医療機関等の識別情 報 必須 準識別子であり、権利利益侵害リスク低減の観点より削除する。 5.4 医用画像情報の加工 医用画像情報とは、具体的には放射線画像(X 線写真、CT、MRI、PET 等)、放射線治療計画(ストラクチャデー タ、線量分布データ等)、超音波画像・動画、内視鏡画像・動画(上部消化管内視鏡検査、下部消化管内視鏡検査、超 音波内視鏡検査、 胆膵系内視鏡検査、 呼吸器内視鏡検査、 腹腔鏡、 胸腔鏡等で取得された画像情報や動画情報等) 、 写 真(皮膚病変等について写真として記録したもの等)、デジタル化された病理スライド画像、手術動画等を指す。医 用画像情報は、 コンテンツ情報領域のみがJPEG 形式20等で抽出されることもあるが、 メタ情報領域とコンテンツ情報 19 仮名加工情報では、匿名加工情報のように「特異な記述等」を加工する必要が無いため、検査値等の属性情報に対する加工は通常は不要であ る。 20 JPEG 形式であっても、メタデータとして作成者や作成機関等の情報が含まれ得ることに注意すること。 45 領域の双方を含む DICOM 形式等で抽出されることもある。以下では、DICOM 形式を想定して、医用画像情報から 仮名加工情報を作成する際の手順を示す。 5.4.1 DICOM 形式の構造 DICOM 形式は、メタ情報領域に相当する DICOM タグ領域と、コンテンツ情報領域に相当する画像情報領域から 構成されている。ただし、画像情報領域自体も、特定の DICOM タグの一部として存在している。 5.4.2 メタ情報領域に対する加工 DICOM タグ領域を構成する個々の DICOM タグは、DICOM 規格に従って識別子・準識別子等の情報を含んでい る。以下に、DICOM タグごとの具体的な加工例の一部を示す。ただし、ここで取り上げている DICOM タグ以外に も、患者や医療者に関する識別子・準識別子等が含まれる DICOM タグが存在する。また、DICOM 形式のデータ間 で一貫性を保つべき属性情報も存在するため、 その加工においては一定の専門性を要する21。そのため、 実際にDICOM 規格を取り扱う際には、必要に応じて外部の規格書22を参考にすることが重要である。 タグ名 タグ値 加工の必要性 加工の内容とその理由 患者の ID (0010,0020) 推奨 連結符号であり、禁止義務未然防止の観点から削除 す る。 患者の氏名 (0010,0010) 必須 識別子であり、削除する。 患者の生年月日 (0010,0030) 推奨 準識別子であり、権利利益侵害リスク低減の観点より生 年月に一般化する。 患者の年齢 (0010,1010) なし 準識別子であるが、利用目的の達成のために必要な範囲 で保持する。 患者の性別 (0010,0040) なし 準識別子であるが、利用目的の達成のために必要な範囲 で保持する。 検査日付 (0008,0020) 推奨 準識別子であり、権利利益侵害リスク低減の観点より一 般化やノイズ負荷を行う。 受付番号 (0008,0050) なし ~ 推奨 医療情報システム等に対する検索を行うことができる 場合、当該受付番号は連結符号として、禁止義務未然防 止の観点より削除する。 検査 ID (0020,0010) なし ~ 推奨 医療情報システム等に対する検索を行うことができる 場合、当該検査 ID は連結符号として、禁止義務未然防 止の観点より削除する。 検査内容 (0008,1030) なし 患者コメント (0010,4000) 推奨 これらのタグ領域には自由記載のテキスト情報として、 患者の氏名等の識別子・準識別子等が存在する可能性が ある。 そのため、 予防的に一律に削除/置換するか、 目視 検査コメント (0032,4000) 推奨 収集コメント (0018,4000) 推奨 21 例えば、Study Instance UID (0020,000D)や Frame of Reference UID (0020,0052)のように、DICOM 形式のデータの中には、互いに参照関係 となるものが存在する。そのため、特定の DICOM タグを加工する際には、値の一貫性を担保することが必要である。 22 具体的には、NEMA(National Electrical Manufacturers Association)の定める DICOM 規格書のうち、「Supplement 142: Clinical Trial De- identification Profiles」などを参考にすること。 46 により識別子・準識別子等の有無を確認し、適切な加工 を施す。 施設名 (0008,0080) 推奨 準識別子であり、権利利益侵害リスク低減の観点より削 除する。 紹介医師名 (0008,0090) 必須 医療従事者の識別子であり、削除する。 紹介医師の住所 (0008,0092) 必須 医療従事者の準識別子が含まれる場合には、削除する。 紹 介 医 師 の 電 話 番号 (0008,0094) 推奨 医療従事者の連絡先情報が含まれる場合には、禁止義務 未然防止の観点より削除する。 装置名 (0008,1010) なし 実施医師名 (0008,1050) 必須 医療従事者の識別子であり、削除する。 読影医師名 (0008,1060) 必須 医療従事者の識別子であり、削除する。 操作者名 (0008,1070) 必須 医療従事者の識別子であり、削除する。 検査インスタン ス UID (0020,000D) なし ~ 推奨 医療情報システム等に対する検索を行うことができる 場合、当該検査インスタンス UID は連結符号として、 禁止義務未然防止の観点より削除する。 SOP インスタン ス UID (0008,0018) なし ~ 推奨 医療情報システム等に対する検索を行うことができる 場合、当該 SOP インスタンス UID は連結符号として、 禁止義務未然防止の観点より削除する。 プ ラ イ ベ ー ト 属 性 グループ番号 が奇数 必須 プライベート属性の中には、研究開発において有用な情 報が含まれ得るものの (拡散強調画像のパラメータ等) 、 識別子・準識別子等が存在する可能性も否定できない。 そのため、予め機器の特性に応じて、識別子・準識別子 等の情報を含み得るプライベート属性のタグ値を特定 し、当該タグ値に対して適切な加工を施す。 5.4.3 コンテンツ情報領域に対する加工 仮名加工情報は、他の情報と照合しない限り特定の個人を識別することができない範囲で、個人ごとの特徴を詳細 に残して加工し、利用することが認められている。したがって、画像情報領域に対する加工が必要となるのは、画像 情報として識別子・準識別子等が存在する場合に限られる。その具体的対応の例を以下に示す。尚、マスク処理にお いては、レイヤー等の追加により画像情報を間接的に隠すのみでは足りず、元のピクセル値が意味をなさないものと なるように直接的に塗りつぶすことが求められることに注意が必要である。 記述等の種類 加工の例 カルテ番号や患者の氏名等の識別子がピクセ ルデータとして画像の中に直接埋め込まれて いる場合 特定の個人を識別することができないよう、当該部分に対して マスク処理を施す。 顔写真を含む場合 特定の個人を識別することができないよう、目元等に対してマ スク処理を施す。 デジタル化された病理スライド画像で患者の 氏名等が直接印字されている場合 特定の個人を識別することができないよう、当該部分に対して マスク処理を施す。 47 手術動画で患者の顔が撮影されている場合 特定の個人を識別することができないよう、目元等に対してマ スク処理を施す。 5.4.4 撮像範囲に顔面が含まれる放射線画像に対する加工の必要性 撮像範囲に顔面が含まれる CT や MRI 等の放射線画像に対して、特殊なソフトウェアにより表面再構成という処 理を施すことによって顔面の表面情報(Rendered surface)を得ることができ、これにより特定の個人を識別できる リスクが懸念される。しかしながら、顔面の表面情報が表すのはあくまでも立体的な形状の情報に留まり、髪、肌の 色や模様などの顔貌に関わる見慣れた手がかりは失われている。そのため、一般人の認識能力では、表面情報のみか ら特定の個人を識別することは、不可能ではないにしても、他に手がかりが無い限りは通常は難しいとの指摘がある 23。表面情報のみから特定の個人を識別することができない場合、当該表面情報は識別子ではなく準識別子に相当す る。この場合、他の記述等との組み合わせによって特定の個人を識別できない限りにおいて、当該表面情報を削除す るなどの特殊な加工は不要である。 5.5 遺伝子検査情報の加工 遺伝子検査情報を取り扱う際には、1 号個人識別符号のうち「ゲノムデータ(細胞から採取されたデオキシリボ核 酸(別名 DNA)を構成する塩基の配列を文字列で表記したもの)のうち、全核ゲノムシークエンスデータ(中略) 等の遺伝型情報により本人を認証することができるようにしたもの)」(GL 通則編 2-2 イ)への該当性を個々に判 断する必要がある(第 4.5.2 章「遺伝子検査情報の 1 号個人識別符号該当性」参照)。 遺伝子検査情報が 1 号個人識別符号に該当する場合は、仮名加工情報の適正な加工基準 2 号「個人識別符号による 単体識別性の消去」の観点から、これを削除すること。1 号個人識別符号に該当しない場合は、第 5.3 章「生理機能 検査情報の加工」に準じて加工すること。 5.6 マルチモーダルな医療情報に 対する加工 マルチモーダルな医療情報(複数の種類の医療情報を組み合わせたもの)に対する加工を行う場合は、特に、準識 別子の取り扱いに注意が必要となる。すなわち、それぞれの種類の医療情報に含まれる識別子に対する加工を行った 後、それら複数の種類の医療情報を横断する形で準識別子の組み合わせによる単体識別性を検討した上で、組み合わ せによって特定の個人を識別することができる記述等を適切に加工することが求められる。これは、仮に医療情報の 種類ごとに独立して準識別子に対する加工を行った場合に、それぞれ加工されずに残った準識別子の新たな組み合わ せによって、特定の個人を識別することができるようになるおそれがあるためである。 23 David A. Clunie, et al. (2023) “Report of the Medical Image De-Identification (MIDI) Task Group - Best Practices and Recommendations” にお いても顔面が含まれる放射線画像から表面再構成により得られた顔面の表面情報に関して、準識別子に相当する取扱いを提唱している。 48 6 医療機器の研究開発サイクルと各種の法的根拠の位置づけ 6.1 本章の目的と留意事項 本章では、医療機器の研究開発サイクルをいくつかの段階に分けた上で、それぞれの段階で医療情報を適切に取扱 うための法的根拠を、主に個人情報保護法を中心に検討している。 尚、本章における「同意」とは個人情報保護法における本人の同意に限定しており、必要に応じて、薬機法、生命 科学・医学系指針、及び医療機関等と民間企業等の間で締結された契約等(共同研究契約、データ提供契約等)を遵 守する必要があることに留意すること。 6.2 対象とする医療機器の種類 本ガイドラインでは、薬生機審発 0929 第 1 号通知24(以下、「薬生機審 0929 通知」)の定める「追加的な侵襲・ 介入を伴わない既存の医用画像データ等を用いた診断用医療機器」に定められたもののうち、人工知能技術を利用し た医用画像診断支援システムに相当する医療機器を対象とし、これを「診断用医療 AI ソフトウェア」と呼ぶ。 6.3 医療機器の承認制度 医療機器には多種多様な品目が存在しているが、薬機法上、これらの医療機器は、①製造販売にあたり厚生労働大 臣による承認を必要とするもの(承認制度)、②製造販売にあたり、あらかじめ厚生労働大臣の登録を受けた民間の 登録認証機関(以下、「登録認証機関」)での認証を必要とするもの(認証制度)、③製造販売にあたり厚生労働大 臣への届出で足りるもの(届出制度)の 3 つに分類されている。このうち、本ガイドラインでは、承認制度に基づい た医療機器の研究開発サイクルを対象としている。 24 厚生労働省医薬・生活衛生局医療機器審査管理課長通知(令和 3 年 9 月 29 日)(薬生機審発 0929 第 1 号)「追加的な侵襲・介入を伴わない 既存の医用画像データ等を用いた診断用医療機器の性能評価試験の取扱いについて」 49 6.4 医療機器の研究開発サイクルの概要 本ガイドラインでは、承認制度に基づく医療機器の開発から製造販売承認後までのプロセスを、①探索、②開発、 ③性能評価、④製造販売承認申請(以下、「承認申請」)書類作成、⑤承認申請、⑥承認審査、⑦製造販売承認後の 7 つの段階に分けて、それぞれの段階において、医療情報を利活用する際の適切な法的根拠について整理していく (図 11 参照)。その概要は下記の通りである。 ① 探索 探索とは、新規の医療機器に関する技術やアイデア等が実現可能かどうかを証明・検証するフィージビリティスタ ディの段階を指す。 ② 開発 開発とは、新規の医療機器に対する要求事項を明確化し、期待される性能が発揮されるかどうかを繰り返し確認・ 検証することで、最終仕様を確定するまでの段階を指す。これは、品質マネジメントシステム(QMS: Quality Management System)に従った工程を含む。 ③ 性能評価 性能評価とは、新規の医療機器の性能に関する検証を、その最終的な仕様に基づいて行う段階を指す25。尚、薬生 機審 0929 通知によると、「追加的な侵襲・介入を伴わない既存の医用画像データ等を用いた診断用医療機器」に関 する性能評価試験は治験には当たらず、GCP 省令は適用されない。更に、薬生機審 0929 通知では、診断用医療 AI ソフトウェアの性能評価を、カルテ情報等の原資料との照合ができるようにしておく必要性の有無に応じて区別する が、そのいずれにおいても、個人情報保護法や生命科学・医学系指針等の関連法令に基づき、「患者等の同意取得の 必要性が適切に判断され、必要な場合には適切に同意取得されている必要がある」とされていることに留意すること 26。 ④ 承認申請書類作成 承認申請書類作成とは、医療機器の製造販売承認を取得するにあたり、独立行政法人医薬品医療機器総合機構(以 下、「PMDA」)による審査を受けるため、承認申請書類の資料作成を行う過程を指す。 ⑤ 承認申請 承認申請とは、厚生労働大臣宛の承認申請書類を提出する行為を指す。 25 独立行政法人医薬品医療機器総合機構(PMDA: Pharmaceuticals and Medical Devices Agency)(2023 年 3 月 7 日)「医用画像の読影支援を 目的としたコンピュータ診断支援プログラムの審査のポイント」では、申請品の有効性及び安全性を評価するための試験として「臨床的有用性に 関する試験」と「臨床性能に関する試験」を区別しているが、本ガイドラインではこれらを総称して「性能評価試験」としている。 26 厚生労働省医薬・生活衛生局医療機器審査管理課通知(令和 4 年 12 月 8 日)(事務連絡)「追加的な侵襲・介入を伴わない既存の医用画像デ ータ等を用いた診断用医療機器の性能評価試験の取扱いに関する質疑応答集(Q&A)について」A6 50 ⑥ 承認審査 承認審査とは、提出された承認申請書類に基づいて PMDA が実施する承認審査を指す。承認審査においては、通 常、信頼性調査が実施される。 ⑦ 製造販売承認後 医療機器の製造販売承認を取得した後に、医療機器の出荷(製品としての上市)が可能となる。製造販売承認後も、 苦情や不具合等の情報や使用者からの評価に基づいて、製品の改善や改良が行われることがある。 図 11: 本ガイドラインの想定する医療機器の研究開発サイクルの例。本ガイドラインでは、 承認制度に基づく医療機器の開発から 製造販売承認後までのプロセスを、①探索、②開発、③性能評価、④承認申請書類作成、⑤承認申請、⑥承認審査、⑦製造販売承 認後の 7 つの段階に分ける。このうち、探索の段階においては学術研究の要素が主となるが、開発が進むにつれて、製品開発の要 素が大きくなることが通常であると想定される。そこで、「学術研究機関等にあたる医療機関等」が個人データの提供元である場 合、①探索の段階を、状況に応じて学術研究として実施し、診断用医療 AI ソフトウェアの開発に必要十分な医療情報の範囲を確 定させた上で、②開発から④承認申請書類作成までの段階において、仮名加工情報の共同利用を設定し、これを法的根拠として医 療情報を取扱うことを推奨する。一方、「学術研究機関等にあたらない医療機関等」は、①探索の段階では、学術研究機関等を含 む学術研究目的の共同研究の中で、 医療情報を民間企業等へと提供することができる。 学術研究例外の該当性を満たさない場合は、 ②開発の段階にて、仮名加工情報の共同利用の設定から始めること。尚、当該医療機器の⑦製造販売承認後に、再学習などの新た な目的で医療情報を必要とする場合、改めて仮名加工情報の共同利用を設定し、これを法的根拠として医療情報を取扱うことを推 奨する。 6.5 医療機器の研究開発サイクルの段階ごとに応じた医療情報の取扱い 51 本ガイドラインでは、医療機器の研究開発サイクルについて、初期の探索的意味合いが強い段階においては学術研 究の要素を含むことが想定されるが、開発が進むにつれて、「営利事業への転用」や「専ら商用目的」であるとみな される可能性が高まり、製品開発目的の要素が大きくなることを一般に想定する(図 11 参照)。ここで、第 2.6 章 「製品開発目的で医療情報を医療機関等から民間企業等に提供する際の法的根拠」で整理したとおり、診療で得られ た医療情報を、通常の個人データとして、製品開発のみを目的として取り扱うことを、ケース・バイ・ケースではな く一般的に適法化できる法的根拠は、本人の同意以外に見出すことが難しい。 そこで、本ガイドラインでは、製品開発目的の要素が大きくなる開発の段階から、遅くとも承認申請書類作成の段 階までにおいて、医療機関等と民間企業等との間で仮名加工情報の共同利用を設定することを推奨する。具体的に は、診断用医療 AI ソフトウェアの開発に必要十分な医療情報の範囲が確定したタイミングで、提供元となる医療機 関等が、①必要十分な医療情報から仮名加工情報を作成し、②利用目的を適切に変更し、③提供先の民間企業等との 共同利用を設定するなどの手続きを行う。これにより、当該仮名加工情報を確実な法的根拠に基づいて、以降の段階 において利用することができる。 以下、それぞれの段階ごとの適切な医療情報の取扱いについて整理する。 6.5.1 ① 探索の段階における適切な医療情報の取扱い 探索の段階においては、新規の医療機器に関する技術やアイデア等が実現可能かどうかを証明・検証するフィージ ビリティスタディが行われるが、これにより「新しい法則や原理の発見、分析や方法論の確立、新しい知識や先端的 な学問領域の開拓」等に資する成果がもたらされることも期待される。従って、第 2.4.2 章「学術研究例外の該当性 における目的要件」で示したように、学術研究例外の該当性のうち、目的要件の観点を満たす場合がある。 そのため、学術研究例外の主体要件をも満たす形で探索の段階が実施されるのであれば(第 2.4.1 章「学術研究例 外の該当性における主体要件」参照)、将来的な事業化の意図が存在していたとしても、学術研究例外に該当する場 合がある。従って、探索の段階を学術研究として行う場合があり得る。以下、探索の段階につき、「学術研究機関等 にあたる医療機関等」と「学術研究機関等にあたらない医療機関等」のそれぞれについて、本人の同意以外の法的根 拠に基づいて、医療機関等から民間企業等に医療情報を提供するための枠組みの例を示す。 ◼ 「学術研究機関等にあたる医療機関等」は、学術共同研究を行う民間企業等に対して、当該学術研究目的の 範囲で医療情報を提供することができる(図 3A 参照)。 ◼ 「学術研究機関等にあたらない医療機関等」は、学術研究機関等を含む共同研究の中で、当該学術研究目的 の範囲で医療情報を医療機関等から民間企業等へと提供することができる(図 3B 参照)。 尚、学術研究例外の該当性を満たさない場合は、①探索の段階は省略し、②開発の段階にて、仮名加工情報の共同 利用の設定から始めること。 6.5.2 ② 開発の段階における適切な医療情報の取扱い 探索の段階から引き続き、開発の段階においても学術研究例外に該当する場合は、第 6.5.1 章「① 探索の段階にお ける適切な医療情報の取扱い」で示した枠組みの例を参考にして、医療機関等から民間企業等に医療情報を提供する ことができる。 一方、開発の段階を進むにつれて、学術研究よりも製品開発の要素が大きくなることで、「営利事業への転用」や 「専ら商用目的」であるとみなされる可能性が高まると想定される。そこで、本ガイドラインでは、開発の段階にお いて、学術研究例外の該当性に迷う場合に、仮名加工情報の共同利用を設定することを推奨する。 52 6.5.3 ③ 性能評価の段階における適切な医療情報の取扱い 探索及び開発の段階から引き続き、性能評価の段階においても学術研究例外に該当する場合は、第 6.5.1 章「① 探 索の段階における適切な医療情報の取扱い」で示した枠組みの例を参考にして、医療機関等から民間企業等に医療情 報を提供することができる27。 尚、性能評価の段階では、その後に続く承認申請書類作成で用いるためのデータパッケージが得られる。ここで、 後述するように、承認申請書類作成の段階は学術研究の要素を含まず、「専ら商用目的」となるため、そのための基 礎資料を得る性能評価の段階においても、学術研究よりは製品開発の目的が主たるものであると整理される場合があ り得る。そこで、本ガイドラインでは、性能評価の段階において、学術研究例外の該当性に 迷う場合に、仮名加 工情報の共同利用を設定することを推奨する。 6.5.4 ④ 承認申請書類作成の段階における適切な医療情報の取扱い 承認申請書類を作成することは、医療機器の製造販売に係る承認を取得後の「営利事業への転用」や「専ら商用目 的」である活動を念頭に置いた行為であることは明らかである。このため、学術研究の目的は併存せず、製品開発の みを目的とした段階となる。従って、承認申請書類作成の段階以降では、仮名加工情報の共同利用を法的根拠とし て、当該仮名加工情報を取り扱うことが適切である。また、これに先立って設定した仮名加工情報の共同利用につ き、必要に応じて新たに共同利用を設定することも可能である。 6.5.5 ⑤ 承認申請の段階における適切な医療情報の取扱い 承認申請においては、PMDA へ承認申請書類を提出する必要がある。その際、性能評価試験の結果を承認申請書 類に記載し、提出しなければならない28。この性能評価試験の結果とは、具体的には、最終的な仕様に基づく診断用 医療 AI ソフトウェア(学習済みのアルゴリズム)に対し、検証データとなる医用画像データ等を入力した際の出力 結果について、正解となる診断結果との一致の有無やその程度がリスト化されたものである。その後、このリストか ら検証データにおける共通要素に係る項目を抽出し、同じ分類ごとに集計する。最終的には、この集計結果を一覧表 の形で提出することになる。 ここで、「統計情報」は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデー タであり、集団の傾向又は性質などを数量的に把握するものである。したがって、統計情報は、特定の個人との対応 関係が排斥されている限りにおいては、法における「個人に関する情報」に該当するものではない(GL 仮名・匿名 加工情報編 3-1-1)。そのため、承認申請において、民間企業等が PMDA に対して、上記集計結果が記載された承 認申請書類を提出する場合、上記集計結果が統計情報に該当し、かつ上記集計結果と特定の個人との対応関係が排斥 されている限りにおいては、上記集計結果を PMDA に対して提供することは、個人情報保護法によって制限されな い。 27 性能評価の段階においても、学術研究例外に該当する場合があり得る。例えば、探索的に開発した診断用医療AI ソフトウェアについて、実臨 床を模した状況において、当該ソフトウェアの使用が医師の診断成績の向上に寄与するかどうかを評価したり、あるいは、医用画像等の入力デー タに対して、意図した出力をどの程度正しく行えるかを評価したりした結果を、学術研究の成果として公表することが想定される。同時に、この ような評価の結果は、当該診断用医療 AI ソフトウェアの臨床的有用性や臨床性能を評価する試験の結果として、医療機器の承認申請における評 価パッケージに含まれ得る。 28 承認申請にあたり、追加的な侵襲・介入を伴わない既存の医用画像データ等を用いた性能評価試験の結果を提出する場合は、薬生機審 0929 通 知に基づいた対応を行う必要がある。 53 尚、患者等の同意の取得の必要性については、医療機器の承認申請企業が関連法令に基づき適切に判断、対応する 必要がある。また、承認申請の段階及びそれに先立つ相談において、民間企業等が、PMDA やその他第三者に対し て、共同利用で設定した範囲を超えて仮名加工情報を提供することは、個人情報保護法に違反する行為となるため、 注意が必要である。 6.5.6 ⑥ 承認審査の段階における適切な医療情報の取扱い 薬生機審 0929 通知によると、承認審査の段階において、信頼性調査を行う PMDA に対して、原資料(カルテ情 報等)を提供する必要がある場合がある。ここで、PMDA を含む規制当局が行う信頼性調査は薬機法等29に基づいて 実施されるものであり、個人情報保護法における「第三者提供の制限」の例外事由のうち「国の機関若しくは地方公 共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人 の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」に該当する(個人情報保護法第 27 条第 1 項第4号)場合等では、原資料である医療情報を提供することができる。 6.5.7 ⑦ 製造販売承認後の段階における適切な医療情報の取扱い 診断用医療 AI ソフトウェアは、その製造販売承認後に、実環境における性能モニタリングを行い、再学習の必要 性を適宜判断していくことが重要である30。医療機器の製造販売承認後に、再学習などの新たな目的で医療情報を必 要とする場合、本ガイドラインでは、改めて仮名加工情報の共同利用を設定し、これを法的根拠として医療情報を取 扱うことを推奨する。 6.5.8 異なる法的根拠に基づいて医療情報を取扱う際に留意すべきこと 本ガイドラインでは、医療機器の研究開発サイクル全体の中で、例えば、探索の段階を学術研究例外、開発以降の 段階を仮名加工情報の共同利用のように、異なる法的根拠に基づいて医療情報を取扱う場合があると想定している。 このように、段階に応じて異なる法的根拠に基づいて医療情報を取扱う場合に留意すべき事項について述べる。 まず、それぞれの法的根拠に応じて設定された利用目的との関連性を有すると合理的に認められる範囲を超えて、 医療情報を取扱ってはならないことに注意が必要である。例えば、民間企業等が、探索の段階において、学術研究例 外を根拠に本人の同意を得ずに取得した医療情報を、製品開発のみを目的とした段階(例えば、承認申請書類作成の 段階)においても保持し続けることは、目的外利用とみなされるおそれがある。 また、仮名加工情報には「識別行為の禁止」等の規律があるが、これらに違反しないような取扱いにも留意するこ と。例えば、民間企業等が、仮名加工情報の共同利用に伴って提供を受けた仮名加工情報と、学術研究例外を根拠に 提供を受けた個人データを同時に保持していた場合、それぞれの情報に含まれる準識別子の組み合わせによって、特 29 薬機法第二十三条の二の五第 9 項において、信頼性調査について定められている。その上で、薬機法第二十三条の二の七、及び、独立行政法人 医薬品医療機器総合機構法第十五条の五のイにおいて、PMDA が厚生労働大臣からの委託を受けることが定められている。 30 公益財団法人医療機器センター(平成 29 年 3 月)「医療機器の迅速かつ的確な承認及び開発のための治験ガイダンス」では「医療機器の審査 においては、非臨床試験、臨床試験等のデータを踏まえて有効性・安全性を評価し、リスクとベネフィットのバランスを確認することが前提とな るが、限られた被験者や医療施設を対象とする厳密に管理された治験による評価のみでは市販後の多様な臨床環境で実際の患者に使用した際の不 具合や有害事象などを完全に明らかにすることが難しいこともまた事実である。このため、近年、市販後のリスク管理、安全性情報の収集等がよ り重要になってきている」とされる。 54 定の個人を識別することができるようになり、仮名加工情報の義務等に違反するおそれがある(第 3.6.1 章「仮名加 工情報の義務等」参照)31。 以上の観点から、本ガイドラインでは、特に民間企業等が異なる法的根拠に基づいて医療情報の提供を受ける場 合、それぞれの法的根拠に紐づいて設定された利用目的が終了した時点で、当該医療情報を元の医療機関等に返還、 消去、破棄することを原則とする。 6.6 生命科学・医学系指針との対応 6.6.1 生命科学・医学系指針の適用範囲 生命科学・医学系指針の第 2「用語の定義」(1)より、例えば、人を対象として、「医療における診断方法及び 治療方法の改善又は有効性の検証」を通じて「国民の健康の保持増進又は患者の傷病からの回復若しくは生活の質の 向上に資する知識を得ること」を目的として実施される活動は「人を対象とする生命科学・医学系研究32」に該当 し、同指針の適用される範囲となる。ここで、本ガイドラインにて想定する 7 つの段階(①探索、②開発、③性能評 価、④承認申請書類作成、⑤承認申請、⑥承認審査、⑦製造販売承認後)のうち、①探索から③性能評価において、 「人を対象とする生命科学・医学系研究」を行う場合は、個人情報保護法における法的根拠のほか、生命科学・医学 系指針で定められる規律に従うことが求められる。 6.6.2 仮名加工情報を研究に用いる場合のインフォームド・コンセントの要否 本ガイドラインでは、医療機関等において診療で得られ、既に保管されている医療情報を「人を対象とする生命科 学・医学系研究」として利活用する場合には、生命科学・医学系指針における「既存の情報33」として取扱うことと なる。この際、当該医療情報から仮名加工情報を作成するタイミングによって、当該研究に用いる場合のインフォー ムド・コンセントに係る手続き等は下記の 3 類型の通りに整理される。 類型 インフォームド・コンセントの要否 既に作成されている仮名加 工情報を用いる場合 生命科学・医学系指針の第 8 の1(2)「自らの研究機関において保有してい る既存試料・情報を研究に用いる場合」イ「試料を用いない研究」(ア)「当 該研究に用いられる情報が仮名加工情報(既に作成されているものに限 る。)、匿名加工情報又は個人関連情報であること」に該当し、研究者等は、 必ずしもインフォームド・コンセントを受けることを要しない。 31 偶然に本人を識別してしまったものの、仮名加工情報の作成の元となった個人情報の本人を識別するために他の情報と照合しているとはいえ ない場合は、直ちに識別行為の禁止義務に違反するものではないと考えられる(Q&A 14-21)。他方、仮名加工情報を他の情報と照合することが 識別禁止義務に違反するか否かは、その目的や、照合の対象となる仮名加工情報及び他の情報に含まれる記述等により、個別の事案ごとに判断さ れる。ここでいう目的については、事業者の主観によって判断されるものではなく、仮名加工情報と照合する仮名加工情報及び他の情報に含まれ る記述等の性質等を踏まえて客観的に判断される。例えば、仮名加工情報と個人情報について、共通する記述等を選別して照合する行為は、一般 的に、識別目的の照合であると考えられる(個人情報保護委員会事務局レポート 3.3.2) 32 人を対象として、次のア又はイを目的として実施される活動をいう。 ア 次の①、②、③又は④を通じて、国民の健康の保持増進又は患者の傷 病からの回復若しくは生活の質の向上に資する知識を得ること ① 傷病の成因(健康に関する様々な事象の頻度及び分布並びにそれらに影響を与 える要因を含む。)の理解 ② 病態の理解 ③ 傷病の予防方法の改善又は有効性の検証 ④ 医療における診断方法及び治療方法の改善又は有効性 の検証 イ 人由来の試料・情報を用いて、ヒトゲノム及び遺伝子の構造又は機能並びに遺伝子の変異又は発現に関する知識を得ること。 33 研究計画書策定以降に新たに患者等から取得される医療情報であって、取得の時点において当該研究計画書の研究に用いることも目的としてい たものについては、生命科学・医学系研究指針における「既存の情報」に該当せず、指針第8の1(1)に定める手続き等が必要になるため留意 すること。 55 既に作成されているものを 除く仮名加工情報を用いる 場合 生命科学・医学系指針の第 8 の1(2)「自らの研究機関において保有してい る既存試料・情報を研究に用いる場合」イ「試料を用いない研究」(エ)①-(i) 「当該研究に用いられる情報が仮名加工情報(既に作成されているものを除 く。)であること」に該当し、同第8の1(2)イ(エ)に定める手続き34を行 うことで、インフォームド・コンセントを受けることを要さず、当該仮名加工 情報を利用することができる。 仮名加工情報の共同利用に 伴い他の研究機関に提供す る場合 生命科学・医学系指針の第 8 の1(3)「他の研究機関に既存試料・情報を提 供しようとする場合」は第三者提供による他機関提供を想定しているものであ るため、(提供先が第三者に該当しない類型としての)共同利用に伴う提供に おいては、同第 8 の1(3)に定める手続きは不要である35。 7 用語集 委託 個人情報保護法第 27 条第5項第1号で掲げる「個人情報取扱事業者が利用目的の達成に必要な範囲内において個 人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」に該当する個人情報の 取扱いのこと。 医療機関 等 病院(医療法(昭和 23 年法律第 205 号)第 1 条の 5 第 1 項)、診療所(同条第 2 項)、助産所(同法第 2 条第 1 項)、薬局(薬機法第 2 条第 12 項)、訪問看護事業所(健康保険法(大正 11 年法律第 70 号)第 89 条第 1 項)等 の患者に対し医療を提供する事業者であって、個人情報保護法第 4 章に規定する個人情報取扱事業者等の義務等に係 る規律の全部又は一部の適用を受けるものを指す。 医療情報 34 生命科学・医学系研究指針・第 8 の1⑵イ(ア)から(ウ)までのいずれにも該当せず、かつ、研究対象者等に第 8 の6①から③まで及び⑦から⑩ までの事項を通知した上で適切な同意を受けていること又は次に掲げる①から③までの全ての要件を満たしていること。 ① 次に掲げるいずれかの要件を満たしていること (ⅰ) 当該研究に用いられる情報が仮名加工情報(既に作成されているものを除く。)であること (ⅱ) 学術研究機関等に該当する研究機関が学術研究目的で当該研究に用いられる情報を取り扱う必要がある場合であって、研究対象者の権利利益 を不当に侵害するおそれがないこと (ⅲ) 当該研究を実施しようとすることに特段の理由がある場合であって、研究対象者等から適切な同意を受けることが困難であること ② 当該研究の実施について、第 8 の6①から③まで及び⑦から⑩までの事項を研究対象者等に通知し、又は研究対象者等が容易に知り得る状態 に置いていること ③ 当該研究が実施又は継続されることについて、原則として、研究対象者等が拒否できる機会を保障すること 35 特定された利用目的の範囲内でのみ試料・情報を取り扱う必要があるという点について留意すること。 56 「医療情報システムの安全管理に関するガイドライン 第 6.0 版」(令和5年5月 31 日策定)の「用語集」におい て定義される用語で、医療に関する患者情報(個人識別情報)を含む情報を指す。 医療データ 医療情報をデジタル化したものとしてのデータを指す。 学術 人文・社会科学及び自然科学並びにそれらの応用の研究であり、あらゆる学問分野における研究活動及びその所産 としての知識・方法の体系のこと。 学術研究 新しい法則や原理の発見、分析や方法論の確立、新しい知識やその応用法の体系化、先端的な学問領域の開拓など のこと。 学術研究機関等 学術研究機関等とは、大学、研究所、学会等の学術研究機関等(個人情報保護法第 16 条第 8 項)である事業者で あって、個人情報保護法第 4 章に規定する個人情報取扱事業者等の義務等に係る規律の全部又は一部の適用を受ける ものを指す。 学術研究機関等にあたらない医療機関 等 学術研究機関等にあたらない医療機関等とは、学術研究機関等に該当しない医療機関等を指す。 学術研究機関等にあたる医療機関 等 学術研究機関等にあたる医療機関等とは、学術研究機関等にも医療機関等にも該当するものを指す。 学術研究例外 学術研究の目的で医療情報を取扱う場合で、個人の権利利益を不当に侵害するおそれがある場合を除いて、個人情 報保護法で定める「利用目的による制限」、「要配慮個人情報の取得の制限」及び「第三者提供の制限」の例外事由 に該当し、これらの制限が緩和される状態のこと。 仮名加工情報 個人情報保護法第2条第5項に定める情報を指し、個人情報の区分に応じた措置を講ずることで、他の情報と照合 しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報を指す。 57 仮名加工情報の第三者提供の制限 個人情報保護法第 41 条第6項及び第 42 条第 1 項にて、法令に基づく場合を除くほか、仮名加工情報を第三者に提 供してはならないとされていること。 仮名加工情報の適正な加工基準 個人情報保護法施行規則第 31 条第1号から第3号で定める加工基準を指す。 記述等による単体識別性の消去 本ガイドラインにおいて、個人情報保護法施行規則第 31 条第1号で定める「個人情報に含まれる特定の個人を識 別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則 性を有しない方法により他の記述等に置き換えることを含む。)。」を指す。 共同研究 研究計画書に基づいて共同して研究を実施する行為のこと。 共同利用 個人情報保護法第 27 条第5項第3号に掲げる「特定の者との間で共同して利用される個人データが当該特定の者 に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用 する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあって は、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。」 に該当する個人情報の取扱いのこと。「共同研究」とは異なる概念であることに留意すること。 公衆衛生例外 公衆衛生の向上の目的で医療情報を取扱う場合に、個人情報保護法で定める「利用目的による制限」、「要配慮個 人情報の取得の制限」及び「第三者提供の制限」の例外事由に該当し、これらの制限が緩和される状態のこと。 個人情報 個人情報保護法第2条第1項で定義される用語を指す。 個人情報である仮名加工情報 他の情報と容易に照合することによって、特定の個人を識別することができる状態にある仮名加工情報を指す。 個人情報でない仮名加工情報 58 他の情報と容易に照合することによって、特定の個人を識別することができない状態にある仮名加工情報を指す。 個人情報データベース等 個人情報保護法第 16 条第 1 項で定義される用語を指す。 個人識別符号 個人情報保護法第2条第2項で定義される用語を指す。 個人識別符号による単体識別性の消去 本ガイドラインにおいて、個人情報保護法施行規則第 31 条第2号で定める「個人情報に含まれる個人識別符号の 全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換え ることを含む。)。」を指す。 個人データ 個人情報保護法第 16 条第 3 項で定義される用語を指す。 コンテンツ情報領域 コンテンツ情報領域とは、医療情報に含まれる情報領域のうち、患者の診察や検査を通して取得された、医学的に 意味のある情報としてのコンテンツ情報から成り立つ領域を指す。 財産的被害が生じるおそれのある記述等の削除 本ガイドラインにおいて、個人情報保護法施行規則第 31 条第3号で定める「個人情報に含まれる不正に利用され ることにより財産的被害が生じるおそれがある記述等を削除すること(当該記述等を復元することのできる規則性を 有しない方法により他の記述等に置き換えることを含む。)。」を指す。 識別子 本ガイドラインにおいて、識別子とは、一つの個人情報を構成する個人識別符号を除く複数の記述等のうち、単体 で特定の個人を識別することができる記述等を指す。 市販後ステージ 医療機器の研究開発サイクルのうち、製品市販後の苦情・不具合等の情報や使用者からの評価に基づいて、継続的 に製品の改善や改良が行われる段階を指す。 準識別子 59 本ガイドラインにおいて、準識別子とは、一つの個人情報を構成する個人識別符号を除く複数の記述等のうち、そ れ自体では識別子とはならないが、その組み合わせによって特定の個人を識別することができる記述等を指す。 ステージゲート方式 医療機器の研究開発サイクルの①探索~開発ステージ、②性能評価ステージ、③市販後ステージ、それぞれで医療 情報を取扱うための法的根拠を設定するアプローチ手法を指す。 性能評価ステージ 医療機器の研究開発サイクルのうち、診断用医療 AI ソフトウェアについて、追加的な侵襲・介入を伴うことな く、既存の医用画像データ及びこれらに関連する既存の診療情報等(通常の診療で得られたもの又はそれらを収集し たバイオバンク、データベース等において提供されているものに限り、介入を伴う臨床研究等で得られたデータ等を 除く)を収集して実施する試験を行う段階を指す。 製品開発 民間企業等が商業的な目的で新しい製品やサービスを生み出すプロセスのこと。 第三者提供の制限 個人情報保護法第 27 条第1項に「個人情報取扱事業者は、(中略)あらかじめ本人の同意を得ないで、個人デー タを第三者に提供してはならない。」と規定されていることを指す。尚、同項各号に例外事由が列挙されている。 探索~開発ステージ 医療機器の研究開発サイクルのうち、新規の医療機器に関する技術やアイデア等が実現可能かどうかを証明・検証 するフィージビリティスタディの後、品質マネジメントシステム(QMS: Quality Management System)に従った開 発プロセスまでの過程を指す。 単体識別性 本ガイドラインにおいて、単体識別性とは、情報単体または複数の情報を組み合わせて保存されているものから、 他の情報と照合することなく、特定の個人を識別することができることを指す。 民間企業等 民間企業等とは、医療機器や医療システム、薬剤等を製品とする目的で研究開発する事業者であって、個人情報保 護法第 4 章に規定する個人情報取扱事業者等の義務等に係る規律の全部又は一部の適用を受けるものを指す(ただ し、学術研究機関等に該当するものを除く)。 メタ情報領域 60 メタ情報領域とは、医療情報に含まれる情報領域のうち、医療情報システム等を体系的に構成し、当該医療情報を 検索する目的で付加されたメタ情報から成り立つ領域を指す。 目的外利用 個人情報保護法第 17条第1項に「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的 (以下「利用目的」という。)をできる限り特定しなければならない。」とあり、この利用目的の達成に必要な範囲 を超えて個人情報を取扱うこと。 容易照合性 本ガイドラインにおいて、容易照合性とは、他の情報と容易に照合することによって特定の個人を識別できること を指す。 要配慮個人情報 個人情報保護法第2条第3項で定義される用語を指す。 要配慮個人情報の取得の制限 個人情報保護法第 20 条第2項に「個人情報取扱事業者は、(中略)あらかじめ本人の同意を得ないで、要配慮個 人情報を取得してはならない。」と規定されていることを指す。尚、同項各号に例外事由が列挙されている。 利用目的による制限 個人情報保護法第 18 条第1項において、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規 定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と規定されている こと。 連結符号 個人情報保護法施行規則第 34 条に定められた匿名加工情報の適正な加工基準 3 号において「個人情報と当該個人 情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結す る符号に限る。)」と定められた連結符号(ただし、識別子及び準識別子に該当するものを除く)を指す。 61 研究班名簿 保健医療分野におけるデジタルデータの AI 研究開発等への利活用に係る倫理的・法的・社会的課題の抽出及び対応 策の提言のための研究班(22AD1001) 【研究分担者】 浜本 隆二 国立がん研究センター研究所 医療 AI 研究開発分野 分野長 【研究協力者(総括研究班会議 参画者一覧)】(50 音順) 一家 綱邦 国立がん研究センター 研究支援センター生命倫理部 部長 石川 俊平 東京大学 医学部・大学院医学系研究科 衛生学教室 教授 井上 悠輔 東京大学医科学研究所公共政策研究分野 准教授 荻島 創一 東北大学 大学院医学系研究科 医科学専攻 ゲノム医療情報学分野 教授 鎌谷 洋一郎 東京大学大学院新領域創成科学研究科メディカル情報生命専攻 複雑形質ゲノム解析分野 教授 久芳 明 一般社団法人日本医療機器産業連合会 常任理事 小林 和馬 国立がん研究センター研究所 医療 AI 研究開発分野 研究員 島原 佑基 エルピクセル株式会社 ファウンダー 殿村 桂司 長島・大野・常松法律事務所 弁護士 中田 はる佳 神奈川県立保健福祉大学大学院ヘルスイノベーション研究科 准教授 中野 壮陛 公益財団法人医療機器センター 専務理事 ※研究代表者 成行 書史 富士フイルム株式会社 メディカルシステム事業部ITソリューション部統括マネージャー 古川 裕子 認定 NPO 法人ささえあい医療人権センターCOML 待鳥 詔洋 国立国際医療研究センター国府台病院 放射線科診療科長 松橋 祐輝 公益財団法人医療機器センター 附属医療機器産業研究所 主任研究員 森 健策 名古屋大学大学院情報学研究科 教授 【政策科学総合研究(倫理的法的社会的課題研究事業)担当課】 高江 慎一 厚生労働省大臣官房厚生科学課 研究企画官 西田 浩孝 厚生労働省大臣官房厚生科学課 科学技術・イノベーション推進専門官 ※生命科学・医学系指針担当 丸山 翔悟 厚生労働省大臣官房厚生科学課 企画調整専門官 【研究班会議 オブザーバー】 厚生労働省 医政局研究開発政策課医療イノベーション推進室 厚生労働省 医政局特定医薬品開発支援・医療情報担当参事官室 厚生労働省 医薬局医療機器審査管理課 内閣府 健康・医療戦略推進事務局 個人情報保護委員会事務局