ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

オプトアウトによる医学研究(記載途中です)

オプトアウトによる医学研究に関するTweetを拝見しましたので、R2個人情報保護法改正・R3個人情報保護法改正・倫理指針改正により、オプトアウトによる医学研究がどうなるか、このブログで書いていきたいと思います(まだ記載途中)。

22.4.27 青字追記

 

 

要約

Q)大学病院以外の病院単体で、自病院の既存情報を使ってオプトアウトによる研究はできなくなるのですか?ICや同意は取っていません。

ざっくりいうと

→ざっくりいうと、ICや、その研究への適切な同意や、関連研究への同意がない場合でも、匿名加工情報か、個人関連情報か、既存の仮名加工情報であれば、オプトアウトも不要で研究利用できます。

これらが難しい場合は、オプトアウトとなりますが、研究に特段の理由があって同意困難な場合以外は、自病院が「学術研究機関等」(=学術研究を(主たる)目的とする機関等)に当たらないと難しいと思われます。大学病院の場合「学術研究機関等」に当たることが明確ですが、大学病院以外の病院の場合、「学術研究を目的」としているかどうかが問題となります。

 

→解決方法としては、大学病院以外の病院も「学術研究機関等」に当たると国(個人情報保護委員会)に認めてもらうか、倫理指針にいう「研究に特段の理由があって同意困難な場合」を国(厚労省文科省)に明確化してもらって研究ができるようにするか等の方法が考えられます。

なお、学会所属医師であれば、学会所属医師個人としても「学術研究機関等」に該当しうるので、A病院(大学病院以外の病院)とB学会に所属する医師Xが、A病院のカルテ情報を使ってB学会としてではなく医師Xとして受領し研究する」という方法も可能な気がしてきました。

詳細は本ブログ2(5)(so_flat先生ツイート部分15の下に書いた私の意見)をご覧ください。

 

もう少し説明すると

〇自病院の持つ既存情報を用いた研究を実施するための方法

・以下のいずれかに当たれば、大学病院以外の病院でも倫理指針上研究が可能です。

  • α)インフォームド・コンセント
    (倫理指針第8の1(2)イ柱書)
  • β)通知+適切な同意を得ている場合
    (倫理指針第8の1(2)イ(ウ)柱書)
  • γ)当該研究に用いられる情報が仮名加工情報(既に作成されているものに限る。)、匿名加工情報又は個人関連情報である場合
    (倫理指針第8の1(2)イ(ア))
  • δ)関連研究への同意がある場合
    (倫理指針第8の1(2)イ(イ))
  • ε)当該研究を実施しようとすることに特段の理由がある場合で、適切な同意を受けることが困難であること+オプトアウト(通知等+拒否機会保障)
    (倫理指針第8の1(2)イ(ウ)

・私はただの弁護士なので実務上、上記のどの方法が現実的可能性が高いのかわかりませが、なんとなくε(いぷしろん)ではないかなと思います。ただεでは、「特段の理由がある場合」「同意困難」「オプトアウト」の要件が必要となりますが、何をもって「特段の理由がある場合」か、「同意困難」かが明確にされていないので、倫理審査委員会や研究機関によって判断が揺れそうです。

 

〇「学術研究機関等」問題

・αからεのどれかに当たらない場合には、「学術研究機関等」問題を乗り越えなければいけなくなると思います。

・「学術研究機関等」問題とは、自分の病院が個人情報保護法・倫理指針上の「学術研究機関等」に当たるかどうかという問題です。「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいうとされています(個人情報保護法16条8項・倫理指針第2(15))。自病院が「学術研究を目的とする」機関等といえるかどうかで、「学術研究機関等」に当たるかどうかが判断されます。これは、私立病院、国立病院、公立病院全てに共通となります。大学病院は学術研究機関等といえますが、大学病院以外の場合、診療を目的とした機関であって学術研究を目的とした機関でないと解釈されると、「学術研究機関等」に当たりません。これまでの個人情報保護法上の解釈ではこの点に関し明確な公的見解はありませんでした。

 

個人情報保護法上の問題

なお、私立病院、国立病院、R3改正法施行後の公立病院(遅くとも2023年5月以降の公立病院)については、個人情報保護法18条の問題も考えなければなりません。研究が個人情報の利用目的としてプライバシーポリシーやファイル簿等で特定されていればよいですが、そうでなければ目的外利用規制への対応を検討する必要があります。

 

〇私立病院、国立病院、公立病院で違いがあるか

・個人情報保護条例が適用される公立病院の場合、R3改正法施行前までであれば、個人情報保護法上の問題が生じずに、個人情報保護条例を検討することになります。一般的な個人情報保護条例だと個人情報保護法よりも、研究等の目的外利用が比較的緩やかに認められています。もっとも、R3改正法施行後は公立病院にも個人情報保護法が適用されるため、差異はありません。

・また、倫理指針においても、私立病院、国立病院、公立病院で差異はないものと考えています。もっとも、国立でも成育や長寿研、がん研究センターなどの国立研究開発法人は「学術研究機関等」に当たると考えられますので、「学術研究機関等」問題をクリアできると考えられます。

 

→さらに詳しい説明は、以下のブログ本文をご覧ください。

 

0.過渡期である

個人情報保護法改正は非常に難しい改正の過渡期にあります。

(1)学術研究へ個人情報保護法が適用される

学術研究はこれまで個人情報保護法が基本的には適用されませんでした(個人情報保護法上の義務を遵守しなくてもよかった)が、2022年度から適用になります。

もっとも、学術研究を妨害する目的でこのような改正がなされたのではなく、これは、EEAと研究データをやりとりしやすくすることが目的の改正とされています。個人情報保護法が適用されることで、GDPR上、EEAから日本に個人データを提供しやすくなるためです。

(2)自治体も条例ではなく個人情報保護法が適用される

自治体はこれまで個人情報保護法が基本的には適用されませんで、それぞれで定めている個人情報保護条例が適用されていました。それが、R3個人情報保護法改正で、全国一律で行政機関並みの規制が個人情報保護法で課せられることになりました。2022年度いっぱいはおそらく個人情報保護条例適用で、2023年度初頭ぐらいから個人情報保護法の適用になるかと思います(施行時期がまだ決まっていないはず)。

(3)国立病院等への規制が変わる

国立病院・国立大学病院はこれまで個人情報に関して行政機関並み(=独立行政法人等)の規制でした。それがR3個人情報保護法改正で、私立病院並みの規制に変わります(もっとも、規制の一部は行政機関並みのままです)。

https://cyberlawissues.hatenablog.com/entry/2022/03/03/203000

(4)わかりにくい

このように非常にわかりにくい状況ですので、この分野をよく扱っている私でも、ものすごく丁寧に適用関係を調べて検討しないと、間違いやすい状況下にあります。

 

1.法・条例・倫理指針の義務は?

(1)適用法令等

一番最初に法律(個人情報保護法)が適用となります。

その次が条例(個人情報保護条例)です。

そして、その下にあるのが倫理指針です(法令ではないので格が下がる)。

面倒くさいですが、これらを全部丁寧に検討していく必要があります。

(2)確認すべき事実

そして、どのような医療研究をするのかというか、どんなデータをどこからもってきてどう使うかによって、法令や倫理指針上の論点が変わってきます。以下をまず確認する必要があります。

「医療情報をどこから取得するのか」「提供するのか」「目的外利用するのか」「目的内利用するのか」

「自病院は私立か公立(県立・市立)か国立か。それとも病院ではないのか」「他の関与者はどのような組織か」

どのような場合についてもこのブログで解説しきろうとすると、かなり複雑になるので、今回は、「自病院の保有する電子カルテデータを研究に使う」という設定で検討します(他組織からの情報取得は無しの設定)。情報取得有の検討のニーズがあれば、時間のある時に別途ブログに追記したいと思います。

 

2.私立病院

(1)個人情報保護法

目的外利用規制が問題になります(法18条)。個人情報は利用目的の範囲内で使うのが原則というルールです。

つまり、今回の活用目的である「研究」が利用目的なのかどうかが重要になってきます。自病院のプライバシーポリシー等を見て、「研究」が利用目的に入っているか確認する必要があります。

「研究」が利用目的に入っていれば、目的内利用になりますので、目的外利用規制は問題になりません(=本人同意等は不要です)。入っていなければ複雑になりますので、ざっくり書くと、

①利用目的の変更が法律上可能な範囲か検討してOKなら前のデータも使えます(法17条2項)

②利用目的を特定しなおして(=「研究」を追加しなおして)、それ以降のデータを使うことができます。

③仮名加工情報にして、利用目的を変更して、公表し直すと、前のデータも使えます(法41条9項で17条2項が適用除外されているため)

※③だけに限らず①②でも利用目的の公表等は当然必要(法21条等)

※①②すべて、本人同意等は不要です

※③はR2個人情報保護法改正があったからできる手法ですね。

 

(感想)複雑ですよね。法律が結構変といえば変で、利用目的を特定・公表等すれば本人同意なしに個人情報を使えるわけです。本人にしてみれば、プライバシーポリシーなんて見ないよという意見も多いと思いますし、見ていたとしても拒否はできないわけですよね(その病院に行かないという方法ぐらいでしか拒否できず、通院しつづけるが利用目的の範囲内の利用もやめてくださいとはいえない)。利用目的の特定・公表等が法律上は重要ということになります。

これは、個人情報というのは「変なことに使わないでね」と言ったところで、「変なこと」とは何かが不明瞭で何とも言えないので、予め特定した範囲内で使ってねという法律になっているからです。法律も具体的なルールを定めないと実効性のあるルールになりにくいから、ふわっと「変なことに使わないでね」ではダメなので難しいです。

(2)個人情報保護条例

私立病院のデータしか使わないのであれば、条例は関係ありません。

(3)倫理指針

「自らの研究機関において保有している既存試料・情報を研究に用いる場合 」に該当するとの設定で記載します(そうでないと、さらに複雑化するので)。(倫理指針第8の1(2))

※「イ 試料を用いない研究 」の設定で、記載を修正しました(2022.4.7)

※「ア試料を用いる研究」と「イ 試料を用いない研究 」で、要件が異なります。

 

この場合、6つの方法があります。

  • α)インフォームド・コンセント

  • β)通知+適切な同意を得ている場合

  • γ)仮名加工情報既に作成されているものに限る。)、匿名加工情報又は個人関連情報である場合

  • δ)関連研究への同意がある場合

  • ε)当該研究を実施しようとすることに特段の理由がある場合で、適切な同意を受けることが困難であること+オプトアウト(通知等+拒否機会保障)

  • ζ)学術研究機関等問題を乗り越え+オプトアウト(通知等+拒否機会保障)

※γの場合、同意やオプトアウト不要

 

α)インフォームド・コンセント や β)通知+適切な同意を得ている場合 であれば、そもそも研究ができるかという疑問が生じるとは思えないので、本ブログではこの場合については割愛します。

 

γは意外と難しいです。

匿名加工情報といえるためには、かなり複雑な加工を要する場合がありますし、仮名加工情報の場合「(既に作成されているものに限る。)」とあるのが、どうなんだろうという感じですね。既存の仮名加工情報じゃないといけないので、新規に仮名加工してはダメという意味ですよね。。。

ただ、これに該当すれば、同意やオプトアウトすら不要となります。具体的には以下のどれかに当たればいいということです。

  • 当該研究に用いられる情報が仮名加工情報(既に作成されているものに限る。)、匿名加工情報又は個人関連情報である場合 

 

δは、次の条件を全て満たす必要があります。

  • 当該研究に用いられる情報の取得時に当該研究における利用が明示されていない別の研究についての研究対象者等の同意のみが与えられている場合
  • 当該研究の実施について、倫理指針第8の6①、②、⑥及び⑦の事項を研究対象者等に通知し、又は研究対象者等が容易に知り得る状態に置いていること
  • その同意が当該研究の目的と相当の関連性があると合理的に認められること 

関連研究への同意が必要というわけですね。

 

εとζがオプトアウトです。εが以下の①(ⅰ)②③で、θが①(ⅱ)②③です。

  • 次の①から③までに掲げる要件の全てを満たしている場合
    • ① 次に掲げるいずれかの要件を満たしていること
      • (ⅰ) 学術研究機関等に該当する研究機関が学術研究目的で当該研究に用いられる情報を取り扱う必要がある場合であって、研究対象者の権利利益を不当に侵害するおそれがないこと
        ※大学病院以外の病院単体の研究の場合「学術研究機関等」に該当しない可能性あり。後記2(5)参照。 
      • (ⅱ) 当該研究を実施しようとすることに特段の理由がある場合であって、研究対象者等から適切な同意を受けることが困難であること
    • ② 当該研究の実施について、倫理指針第8の6①、②及び⑥から⑨までの事項を研究対象者等に通知し、又は研究対象者等が容易に知り得る状態に置いていること
    • ③ 当該研究が実施又は継続されることについて、原則として、研究対象者等が拒否できる機会を保障すること 
      ※オプトアウト

試料を使わないとき(第8の1(2)イ)には研究に特段の理由がある場合であって、適切な同意を受けることが困難であれば、「学術研究機関等」問題が登場せずに、オプトアウトできることになります。何をもって「特別の理由」「同意困難」といえるかどうかが、ポイントとなりますね。

倫理指針改訂前は「学術研究の用に供するときその他の当該情報を用いて研究を実施しようとすることに特段の理由があるとき」だったのですよね。改訂前の「学術研究の用に供するとき」には、その組織(病院)が「学術研究機関等」かどうか問題は関係なかったはずです。そして、「その他の研究に用いられる情報を取得して研究を実施しようとすることに特段の理由があるとき」とは、以下をいうとされていました(ガイダンスP72)。

学術研究の用に供する場合以外で法律・条例等に具体的な根拠がある場合を指しており、例えば、個人情報保護法で定められる「公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」などが該当する。個人情報の保護に関して適用を受ける法令に従って、一義的には研究責任者が判断し、その理由を示して倫理審査委員会で審査の上、機関の長の許可を得る必要がある。 

これを見ると、では「当該研究を実施しようとすることに特段の理由がある場合」とはどのような場合なのか、よくわからない気がします。

(4)小括

私立病院の場合、

「利用目的」に「研究」が入っていて、かつ既存の仮名加工情報等を使う場合か、

「利用目的」に「研究」が入っていて、かつ関連研究への同意がある場合か、

「利用目的」に「研究」が入っていて、かつ「当該研究を実施しようとすることに特段の理由がある場合であって、研究対象者等から適切な同意を受けることが困難」なら、自病院の保有する電子カルテデータを研究に使うことができそうです。

 

もっとも、「利用目的」に「研究」が入っていない場合でも、個人情報保護法適法となる可能性はあります。

 

問題は、倫理指針です。

既存の仮名加工情報等がなく、関連研究への同意がなく、研究に特段の理由があって同意困難な場合以外には、「学術研究機関等」問題を乗り越える必要が出てきそうです。

関連研究への同意って、結構あるものなんですかね。私は法律家であって、こういう実務面のことはよくわからないので。また既存の仮名加工情報も、既に結構あるものなんですかね。これによって、「学術研究機関等」問題のクリティカル度が変わってくるかな、と。
→この点、Twitterでは、関連研究への同意も、既存の仮名加工情報もない場合が多いと教えていただきました。

→となると、「研究に特別の理由があって同意困難」といえるかどうかが、ポイントでしょうか。

(5)「学術研究機関等」問題

R3個人情報保護法改正で、学術研究にも個人情報保護法が適用されるため、「学術研究機関等」に対する提供等を許容する条文が新たに追加されました。これを受けて、倫理指針でも「学術研究機関等」という用語を用いて追記がなされました。

 

今までも、個人情報保護法上の論点として、「学術研究機関等」というのはあったのですが、以下の変化が起きています。

これまで)

自病院の持つデータを研究利用する場合

個人情報保護法上は目的内利用でOK、倫理指針もオプトアウトでOKとしていた

 

これから)

自病院の持つデータを研究利用する場合

個人情報保護法上は目的内利用でOK、倫理指針でオプトアウトするには「学術研究機関等」に該当するか「研究に特段の理由があり同意困難な場合」でなければならない

 

理由)

倫理指針でこれまでは「研究機関」「研究者等」といった用語が使われており、個人情報保護法上の「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」とは必ずしもリンクしていなかったが、R3個人情報保護法改正を受けて倫理指針でも「学術研究機関等」という用語が登場し、オプトアウトするには「学術研究機関等」に該当するか、特段に理由のある研究で同意困難でなければならなくなった。

 

「学術研究機関等」とは個人情報保護法16条8項で定義されており、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」とされています。「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」の解釈は次の通りです(個人情報保護法ガイドライン通則編)。https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-18

「大学その他の学術研究を目的とする機関若しくは団体」とは、国立・私立大学、公益法人等の研究所等の学術研究を主たる目的として活動する機関や「学会」をいい、「それらに属する者」とは、国立・私立大学の教員、公益法人等の研究所の研究員、学会の会員等をいう。なお、民間団体付属の研究機関等における研究活動についても、当該機関が学術研究を主たる目的とするものである場合には、「学術研究機関等」に該当する。

大学病院以外の病院の場合、「学術研究を主たる目的とするかどうか」が問題となります。診療を主たる目的としているのであって、学術研究は従たる目的かもしれないが主たる目的ではないのではないか、ということです。

もっとも、大学病院や学会との共同研究の場合は、倫理指針の問題も乗り越えられるかもしれません(ただこの場合、医療情報の提供や受領があれば、法・条例・倫理指針についてまた別の検討が必要です。また大学病院等との共同研究の場合でも、非学術研究機関等である共同研究者においても倫理指針第8の1(2)イ(ウ)①(ⅰ)を満たすのか、つまり「学術研究機関等に該当する研究機関が学術研究目的で当該研究に用いられる情報を取り扱う必要がある場合」に含められるかという問題の検討が必要です。)。

 

既存の仮名加工情報等がなく、関連研究への同意がなく、研究に特段の理由があって同意困難な場合でないときには、やはり「学術研究機関等」問題を乗り越える必要が出てきそうです。この解決方法としては、以下が考えられます。

  1. A病院(大学病院以外の病院)とB学会に所属する医師Xが、A病院のカルテ情報を使ってB学会としてではなく医師Xとして受領し研究する(後述)
  2. 学会との共同研究とする
  3. 医師会を「学術研究機関等」と認めてもらった上で医師会との共同研究とする?
  4. 大学病院以外の病院は確かに治療を主たる目的とするが、治療のためには学術研究も非常に重要であって私立病院だって単体で「学術研究機関等」に該当するのだなどと主張し、国(個人情報保護委員会)に認めてもらう
  5. 国(厚労省文科省)に倫理指針を改訂してもらう
  6. 国(厚労省文科省)に「研究に特段の理由があって同意困難な場合」を明確化してもらって、研究ができるようにしてもらう

2と3は、年間、数十~数百もの研究を共同研究とすることは、現実のオペレーションとして難しいのではないかとのコメントを医師の方よりいただきました。

私としては4,5,6も無謀な方法ではないと個人的には思います。理由としては以下の通りです。

まず価値判断として、そもそも個人情報保護法上は適法なわけです。個人情報保護法上は利用目的として「Aの研究」「Bの研究」と研究内容を個別特定する必要はなく、「研究」といった利用目的で足りると考えられます。この点、倫理指針はきびしく、「Aの研究」と「Bの研究」では、異なる手続を要求しているわけです。

また倫理指針第8の1(2)の場合、要配慮個人情報の授受もなく、個人情報保護法的には、「目的内利用」(又は許容される目的外利用という場合もなくはないですが)に当たり、プライバシー侵害性が概して高くないと考えられるのに、なぜ急に倫理指針の第8の1(2)で個人情報保護法上の「学術研究機関等」の定義問題が登場するのかという疑問があります。

さらに、元々は学術研究に個人情報保護法が適用されないからこそ倫理指針で個人情報取扱ルールを決めていたわけです。R3個人情報保護法改正で学術研究にも個人情報保護法が適用されるので、個人情報取扱ルールは個人情報保護法に沿えば良いようにも思います。個人情報保護法で学術研究は緩やかなルールだから、倫理指針でより厳しめなルールを決めるというのが、合理性があるのかどうか。合理性があるとしても、今回のこれはあまりに厳しいのではないかと思います。

私は法律家であって、医療研究をやったことはありませんし、医療研究の実務はわかりませんが、市中病院で医療研究をしなければ医療の向上等に支障をきたすのであれば、それを淡々と国に対して説明し、4,5,6の方法を取っていくべきではないかと思います。

 

なお、この設例では自病院のデータのみの研究の設定で検討していますが、他病院データを受領して研究する場合、さらに困難が生じます。他病院からデータをもらう場合は、倫理指針だけクリアすればいいわけではなくて、個人情報保護法でも「学術研究機関等」問題をクリアしなければならなくなるからです。

個人情報保護法20条2項では、カルテ情報などの要配慮個人情報を取得できる場合を制限していますが、「学術研究機関等」以外から受領する場合、または「学術研究機関等」が受領する場合以外は難しいかもしれません(それ以外の方法だと、個人情報保護法上の「共同利用」か、公衆衛生の向上に特に必要があるで本人同意を得ることが困難といえるときか、あとは国か自治体の委託調査等で本人同意を得ると問題が起きる場合ぐらいだと思いますが、詳しくは後述します)。

この点、一般的な個人情報保護条例(R4年度ごろまでの公立病院)と、個人情報保護法法R3年改正前までの国立病院であれば、カルテ情報などの授受も「学術研究機関等」に該当しなくても問題ないと考えられるので、違いがあります。

しかし、国立病院や、R5年度以降ごろからの公立病院も、私立病院と同じ規制になります(Tweetでは、この点を間違ってTweetしてしまっていたかもしれません。すみません)。

 

1です。これ、解決方法になる気がしてきました。4/26夜にふと思いついたのですが、学会に所属している医師であれば、「学術研究機関等」問題を乗り越えられる可能性もあるかもしれません。というのも、「学術研究機関等」には、学会会員等も含まれるからです(個人情報保護法16条8項)。

A病院(大学病院以外の病院)に所属する医師Xは、B学会の会員である。A病院のカルテ情報を使ってB学会としてではなく医師Xとして研究する場合、どうなるか。

A病院→B学会所属医師X(学術研究機関等)へのカルテ情報の提供

個人情報保護法は、法27条1項7号で可能

:倫理指針は、第8の1(3)イ(ウ)によりオプトアウトで可能。もっともA病院として倫理指針第8の1(4)等の手続は必要

B学会所属医師Xによるカルテ情報の受領

個人情報保護法は、法20条2項5号で可能

:倫理指針は、第8の1(5)でオプトアウトで可能。

B学会所属医師Xによるカルテ情報に基づく研究

個人情報保護法は、目的内利用とできるが、利用目的の公表等(個人情報保護法21条1項や32条)をどうやって行うのか?学会HP等で、学会としての利用目的だけではなく、学会所属医師の利用目的も合わせて公表してもらう?

ただこの場合、A病院(やB学会)でも必要な手続等が出てくるので、その点の協力を得られなければいけないかと思います。

 

(適正な取得)
第二十条 
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
七 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
八 その他前各号に掲げる場合に準ずるものとして政令で定める場合

 

(要配慮個人情報を本人の同意なく取得することができる場合)
第九条 法第二十条第二項第八号の政令で定める場合は、次に掲げる場合とする。
一 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
二 法第二十七条第五項各号(法第四十一条第六項の規定により読み替えて適用する場合及び法第四十二条第二項において読み替えて準用する場合を含む。)に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。

 

3.公立病院(市立/県立)

(1)個人情報保護条例

R3個人情報保護法自治体部分が施行されるまで(2023年度初頭か?)は、これまで通り、自治体の個人情報に関しては、個人情報保護条例が適用になります。自治体にも個人情報保護法も一応適用にはなってますが、理念とか抽象的な部分のみ適用で、具体的なルールは、自治体には個人情報保護法ではなく条例が適用になります。

個人情報保護条例の場合も、私立病院同様、基本的には目的外利用規制が論点になります(条例によってはその他の論点が生じる可能性がありますが、その可能性は比較的低いです)。もっとも、一般的な条例であれば、結論的にはOKとなる可能性が高いです。以下、詳述します。

 

①個人情報保護条例が適用されるか

正確にいうと、そもそも個人情報保護条例が適用されるかから調べないといけません。市役所首長部局や教育委員会には、個人情報保護条例が適用されますが、公立病院にも適用されるかは調べないと本当はなんともいえません。

自分の病院が地方独法なのか、自治体自体なのか、それとも資金だけ自治体で法人としては民間なのか(そのような病院があるかわからず、想像で書いてます)などを調べます。

 

一般的な個人情報保護条例の場合、「実施機関」に適用されます。そこ実施機関の定義に、自分の病院が当てはまるのかを確認します。

地方独法や地方自治体そのものの場合はほぼ実施機関に該当すると思います。

 

自分の病院が市町村ならその市町村の、都道府県なら都道府県の個人情報保護条例を調べます。Google検索で「港区個人情報保護条例」と検索しても出てこなければ、Google検索で「港区例規集」で検索し、50音順「こ」を見れば出てくると思います。(港区部分を自分の自治体名に置き換えます)

 

定義は2条あたりです。

東京都を例にします。都立病院の場合、まだ自治体知事部局病院経営本部の運営です。東京都個人情報保護条例では知事は実施機関として定められていますので、都立病院には東京都個人情報保護条例が適用されます。都立病院が今後地方独法化しても、都条例では地方独法も実施機関として定められていますので、東京都個人情報保護条例が適用されます。

もしも、自分の病院が条例適用されないようでしたら、その場合は大体、個人情報保護法適用になるのではないかと思います。

 

東京都個人情報の保護に関する条例https://www.waterworks.metro.tokyo.lg.jp/reiki_int/reiki_honbun/g171RG00000221.html

(定義)

第二条 この条例において「実施機関」とは、知事教育委員会選挙管理委員会、人事委員会、監査委員、公安委員会、労働委員会、収用委員会、海区漁業調整委員会内水面漁場管理委員会、固定資産評価審査委員会、公営企業管理者、警視総監及び消防総監並びに都が設立した地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)をいう。

 

②目的外利用規制

条例では大体8条から11条あたりで、目的外利用規制が定められています。病院の持つ個人情報の利用目的は、個人情報事務取扱登録簿等(都の場合は「保有個人情報取扱事務」)に記載されてますので、そこに研究が含まれているか確認します。含まれていれば、一般的な条例であれば、目的内利用となり、本人同意なく研究利用可です。

もし研究が定められていない場合は、条例上認められている目的外利用かどうか検討します。多くの条例では、個人情報保護審議会に事前諮問して公益性等が認められれば、目的外利用可能です。条例によっては研究のための目的外利用をストレートに認めていて、審議会諮問を不要とする条例もあるかと思いますので、自分に適用される条例の目的外利用規制の条文を確認します。都条例だと10条1項5号でもっぱら学術研究目的であれば審議会諮問なく目的外利用可能です。

東京都個人情報の保護に関する条例https://www.waterworks.metro.tokyo.lg.jp/reiki_int/reiki_honbun/g171RG00000221.html

(保有個人情報取扱事務の届出)

第五条 実施機関は、保有個人情報を取り扱う事務を開始しようとするときは、東京都規則で定めるところにより、次に掲げる事項を知事に届け出なければならない。届け出た事項を変更しようとするときは、変更する事項についても同様とする。

一 保有個人情報を取り扱う事務の名称

二 保有個人情報を取り扱う組織の名称

三 保有個人情報を取り扱う事務の目的

四 保有個人情報の記録項目

五 保有個人情報の対象者の範囲

六 前各号に掲げるもののほか、東京都規則で定める事項

 

(利用及び提供の制限)

第十条 実施機関は、保有個人情報を取り扱う事務の目的を超えた保有個人情報の当該実施機関内における利用(以下「目的外利用」という。)をしてはならないただし、次の各号のいずれかに該当する場合は、この限りでない

一 本人の同意があるとき。

二 法令等に定めがあるとき。

三 出版、報道等により公にされているとき。

四 個人の生命、身体又は財産の安全を守るため、緊急かつやむを得ないと認められるとき。

五 専ら学術研究又は統計の作成のために利用する場合で、本人の権利利益を不当に侵害するおそれがないと認められるとき

六 同一実施機関内で利用する場合で、事務に必要な限度で利用し、かつ、利用することに相当な理由があると認められるとき

2 実施機関は、保有個人情報を取り扱う事務の目的を超えた保有個人情報の当該実施機関以外の者への提供(以下「目的外提供」という。)をしてはならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

一 本人の同意があるとき。

二 法令等に定めがあるとき。

三 出版、報道等により公にされているとき。

四 個人の生命、身体又は財産の安全を守るため、緊急かつやむを得ないと認められるとき。

五 専ら学術研究又は統計の作成のために提供する場合で、本人の権利利益を不当に侵害するおそれがないと認められるとき。

六 国、独立行政法人等、他の地方公共団体地方独立行政法人若しくは他の実施機関等(以下この号において「国等の機関」という。)に提供する場合で、国等の機関が事務に必要な限度で利用し、かつ、利用することに相当な理由があると認められるとき。

3 実施機関は、目的外利用又は目的外提供をするときは、本人及び第三者の権利利益を不当に侵害することがないようにしなければならない

 

(2)倫理指針

私立病院と考え方は一緒です。2(3)をごらんください。

 

(3)2023年度初頭目処に個人情報保護法適用へ

R3個人情報保護法改正の自治体部分が施行されると、個人情報保護条例は基本的に廃止になります。廃止とならずに残る条例もありますし、手数料しか定めないような条例になる場合もありますが、大多数の規制は法に一本化されます。

施行は2023年4月か5月ごろでしょうか?

この施行後は、個人情報保護条例は基本的に適用されずに、個人情報保護法が適用されるように変化します。では、新・個人情報保護法では、研究利用は認められているでしょうか。

自治体本体が営んでいる病院、地方独法となった病院については、個人情報保護法2条11項4号又は58条2項1号によって、大体、私立病院並みの規制となります。したがって、2(1)と同じになりますので、そちらをご覧ください。

なお、この点、病院データではなく、市役所の健診データやレセデータを使いたいという場合、この場合、市役所自体は、私立病院並みの規制ではなく、行政機関並みの規制(=全国一律の自治体に課せられる規制)になりますので、注意が必要です(ものすごくややこしいですね…。また市役所と地方独法等の病院間でデータ授受があれば、そのデータ授受が法律上&倫理指針上どの根拠で可能なのかも調べて検討する必要があります。このように、医療データの活用を巡る法規制・倫理指針規制は、きわめて複雑怪奇なのです。)。

Tweetでは、法69条24項4号と書いてしまいましたが、法69条24項4号は医療・研究以外の自治体に適用されるため、誤りでした。申し訳ありません。医療・研究以外の自治体は行政機関並みの規制となりますが、医療・研究の自治体は私立病院並みとなります。

 

個人情報保護法

(定義)
第二条

11 この法律において「行政機関等」とは、次に掲げる機関をいう。
一 行政機関
二 地方公共団体の機関(議会を除く。次章、第三章及び第六十九条第二項第三号を除き、以下同じ。)
三 独立行政法人等(別表第二に掲げる法人を除く。第十六条第二項第三号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第四項から第六項まで、第百十九条第五項から第七項まで並びに第百二十五条第二項において同じ。)
四 地方独立行政法人地方独立行政法人法第二十一条第一号に掲げる業務を主たる目的とするもの又は同条第二号若しくは第三号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。第十六条第二項第四号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第七項から第九項まで、第百十九条第八項から第十項まで並びに第百二十五条第二項において同じ。)

(適用の特例)
第五十八条 個人情報取扱事業者又は匿名加工情報取扱事業者のうち次に掲げる者については、第三十二条から第三十九条まで及び第四節の規定は、適用しない。
一 別表第二に掲げる法人
二 地方独立行政法人のうち地方独立行政法人法第二十一条第一号に掲げる業務を主たる目的とするもの又は同条第二号若しくは第三号(チに係る部分に限る。)に掲げる業務を目的とするもの
2 次の各号に掲げる者が行う当該各号に定める業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、個人情報取扱事業者、仮名加工情報取扱事業者又は個人関連情報取扱事業者による個人情報、仮名加工情報又は個人関連情報の取扱いとみなして、この章(第三十二条から第三十九条まで及び第四節を除く。)及び第六章から第八章までの規定を適用する。
一 地方公共団体の機関 医療法(昭和二十三年法律第二百五号)第一条の五第一項に規定する病院(次号において「病院」という。)及び同条第二項に規定する診療所並びに学校教育法(昭和二十二年法律第二十六号)第一条に規定する大学の運営
二 独立行政法人労働者健康安全機構 病院の運営

地方独立行政法人法

(業務の範囲)
第二十一条 地方独立行政法人は、次に掲げる業務のうち定款で定めるものを行う。
一 試験研究を行うこと及び当該試験研究の成果を活用する事業であって政令で定めるもの又は当該試験研究の成果の活用を促進する事業であって政令で定めるものを実施する者に対し、出資を行うこと。
二 大学又は大学及び高等専門学校の設置及び管理を行うこと並びに当該大学又は大学及び高等専門学校における技術に関する研究の成果の活用を促進する事業であって政令で定めるものを実施する者に対し、出資を行うこと。
三 主として事業の経費を当該事業の経営に伴う収入をもって充てる事業で、次に掲げるものを経営すること。
チ 病院事業

(4)小括

①条例上は問題なさそう

個人情報事務取扱登録簿等の利用目的に「研究」が含まれていれば目的内利用になります。含まれていなくても、一般的な条例であれば、認められる目的外利用となる可能性が高いです。

したがって、条例上は問題はなさそうです。

②2023年度ごろからは条例廃止・縮小へ(概ねOKそう?)

R3個人情報保護法改正施行後は、条例ではなく個人情報保護法適用となりますが、その際は私立病院と同様となり、利用目的に「研究」が含まれていれば、目的内利用でOKとなり、含まれていなくても個人情報保護法適法となる可能性はあります。

③倫理指針の問題がある

問題は、倫理指針です。既存の仮名加工情報等がなく、関連研究への同意がなく、「研究に特段の理由があり同意困難な場合」でないときには、「学術研究機関等」問題を乗り越える必要が出てきそうです。「学術研究機関等」問題については2(5)をご覧ください。

 

4. 国立病院、国立大学病院、国立研究開発法人、労災病院

(1)個人情報保護法

個人情報保護法が適用されるか、民間相当規制か

国立病院等は、独立行政法人等に当たります。2022.3.31までは独立行政法人個人情報保護法という法律が適用になっていましたが、2022.4.1からは個人情報保護法が適用になります。

個人情報保護法が適用になるといっても、普通の独立行政法人等は行政機関相当の規制なのですが、病院・研究分野は民間相当の規制が課せられることになりました。これはなぜなら、国立病院と公立病院と私立病院とで個人情報の規制が異なるのは不合理との批判があったためです。

もっと細かく書くと、民間相当の個人情報規制となる独立行政法人等というのは、以下の通りです(個人情報保護法別表第二)。

なので、国立病院機構だけでなく、東大病院・京大病院などの国立大学病院国立がん研究センター・成育医療研究センター・長寿研などの国立研究開発法人も、民間相当の規制となります。

さらに、労災病院独立行政法人労働者健康安全機構による病院の運営)も、個人情報保護法の民間相当の規制となります(個人情報保護法58条2項2号)。

※もっとも、一部、独立行政法人等の規制(行政機関並み)がかかる場合もあります(匿名加工情報と本人権利部分等、個人情報保護法58条2項)。私がこのようにややこしくしたわけではありませんが、私が代わりに謝っておきます。ものすごく複雑怪奇でややこしくて申し訳ありません。

 

(定義)
第二条 11 この法律において「行政機関等」とは、次に掲げる機関をいう。
一 行政機関
二 地方公共団体の機関(議会を除く。次章、第三章及び第六十九条第二項第三号を除き、以下同じ。)
三 独立行政法人等(別表第二に掲げる法人を除く。第十六条第二項第三号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第四項から第六項まで、第百十九条第五項から第七項まで並びに第百二十五条第二項において同じ。)
四 地方独立行政法人地方独立行政法人法第二十一条第一号に掲げる業務を主たる目的とするもの又は同条第二号若しくは第三号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。第十六条第二項第四号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第七項から第九項まで、第百十九条第八項から第十項まで並びに第百二十五条第二項において同じ。)

詳しくは以下のブログご参照。

cyberlawissues.hatenablog.com

②目的外利用規制

このように個人情報保護法が適用となりますが、「自病院のカルテ情報等を研究利用する場合」に個人情報保護法上、主に問題となるのは、目的外利用規制です(法18条)。目的外利用規制とは、個人情報は利用目的の範囲内で使うのが原則というルールです。民間相当の規制となりますので、私立病院と同じ規制内容になります。詳しくは、2(1)をご覧ください。

この点、プライバシーポリシー等でちゃんと「研究」が入っていればよいのですが、万一入っていない場合は、2022.3.31までの方が国立病院等に有利でした。3.31までは独立行政法人等としての規制だったので、目的外利用も比較的容易だったのですが、2022.4.1からは民間相当の規制になりますので、目的外利用は厳しくなります。もっとも利用目的に「研究」が入っていなくても、適法に研究できる場合はあります(2(1)記載の通り)。

本ブログでは自院で持つ情報を研究に利用する設定で検討していますが、他院に情報を提供する場合や他院から情報をもらう場合も、独立行政法人個人情報保護法の方が有利に思います(9条2項3・4号)。

国立病院と公立病院と私立病院とで個人情報の規制が異なるのは不合理でしたが、かといって、国立病院が私立病院と同じ個人情報の規制となることで、今までと規制が変わって研究がしづらくなるというのも変です。この点で悪影響が出なければ良いのですが。繰り返しですみませんが、私がこういう風にしたわけではありませんが、もし問題が起きそうでしたら私が代わりに謝っておきます。個人情報保護法制があまりに複雑になりすぎ改正を何回も重ねた結果としてこうなってしまい、すみませんでした。

独立行政法人個人情報保護法

(利用及び提供の制限)
第九条 独立行政法人等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
2 前項の規定にかかわらず、独立行政法人等は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。
一 本人の同意があるとき、又は本人に提供するとき。
二 独立行政法人等が法令の定める業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき
三 行政機関(行政機関の保有する個人情報の保護に関する法律(平成十五年法律第五十八号。以下「行政機関個人情報保護法」という。)第二条第一項に規定する行政機関をいう。以下同じ。)、他の独立行政法人等、地方公共団体又は地方独立行政法人保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき。
四 前三号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由のあるとき。

 

(2)個人情報保護条例

自院のデータしか使わないのであれば、条例は関係ありません。

 

(3)倫理指針

実は、国立病院でも倫理指針上は、私立病院と考え方は一緒です。

ただ、「学術研究機関等」に当たるかどうかの判断が、病院・法人によっては変わってくるという問題にすぎません。

倫理指針第8の1(2)イ で、ICや明確な同意がない場合、3つの方法があります。

  • γ)当該研究に用いられる情報が仮名加工情報(既に作成されているものに限る。)、匿名加工情報又は個人関連情報である場合
  • δ)関連研究への同意がある場合
  • ε)当該研究を実施しようとすることに特段の理由がある場合で、適切な同意を受けることが困難であること+オプトアウト(通知等+拒否機会保障)
  • ζ)学術研究機関等問題を乗り越え+オプトアウト(通知等+拒否機会保障)

γやδが難しい場合は、εやζの選択となるかと思いますが、

εでは、研究に特段の理由がある場合であって適切な同意を受けることが困難であれば、それでOKですが、そうでなければζ「学術研究機関等」問題が登場してしまうのです。

学術研究機関等に該当する研究機関が学術研究目的で当該研究に用いられる情報を取り扱う必要がある場合であって、研究対象者の権利利益を不当に侵害するおそれがないこと」といえるかどうかという問題です。

 

この点、自病院が「学術研究機関等に該当する研究機関」といえるかどうかが問題になります。「学術研究機関等」とは学術研究を主目的として活動する機関ということでした。

 

これを考えると、国立大学病院、国立研究開発法人は研究機関と言えるでしょう。

 

問題は、国立病院と労災病院です。根拠法の規定ぶりや実態等を考えて、「学術研究機関等」に当たるかどうかを検討していくことになります。

しかし、仮に私立病院や公立病院が治療を主たる目的としていて「学術研究機関等」に当たらないのであれば、国立病院や労災病院もそういう方向に行ってしまうのでは? いや、そうでないのであれば、そうでない根拠が必要なわけで、どこでその線引きをするのか。国立病院はいいけど公立病院はダメとか、国公立病院はいいけど私立病院はダメなどと言えるわけはないし、どこで線引きするのかという重大な問題が出てきてしまいます。結局は、「実態を踏まえて、倫理審査委員会で判断してください」などと国に言われそうですが、そうはいっても倫理審査委員会側でも判断基準がないと、ばらつきが出てしまって、ここの倫理審査委員会なら通るけど、ここならダメとか出てくると、甘めな倫理審査委員会が人気になってしまったり?とかの事象も起きそうですし。しっかりとした解釈を国が出すべきだと思います。

 

詳しくは、2(3)2(5)をごらんください。

 

5.他組織と医療情報の授受がある研究の場合

自病院のカルテ情報を研究利用する場合でも、上記のような問題があります。これに対して、他組織と医療情報の授受がある場合、さらに問題が複雑化します。そちらの場合についても、検討しないと、問題点が示せないかなと思いますので、以下では、他組織との個人情報授受のある例として、「大学病院や国立研究開発法人以外の、私立病院と公立病院と国立病院がそれぞれのカルテ情報を使って共同研究する場合」を、架空例として設定し、検討したいと思います。

 

(1)個人情報保護法(私立病院と国立病院とR3改正法施行後の公立病院)

①個人データを提供する際

上記の通り、私立病院と国立病院は個人情報保護法上大体同じ規制になります。個人情報保護条例が適用される公立病院の場合、R3個人情報保護法自治体部分が施行されるまで(2023年度初頭か?)は、これまで通り、個人情報保護条例が適用になります。2023年度の遅くとも5~6月以降は、個人情報保護法が適用となります。

ここでは、個人情報保護法が適用となる際のルールについて述べます。つまり私立病院と公立病院と、R3改正法施行後の公立病院についてです。R3改正法施行前の個人情報保護条例の場合について、(2)で述べます。

 

医療データ(要配慮個人情報)を他の組織に提供する際は、個人情報保護法27条の要件、すなわち以下等のいずれかを満たしていることが必要です。本設例で可能性がありそうなのは、イ)共同利用、ウ)公衆衛生、カ)~ク)の「学術研究機関等」です。

 

ア)本人同意
イ)共同利用(プライバシーポリシー等での公表等が必要)
ウ)公衆衛生の向上に特に必要で本人同意困難
エ)国か自治体に協力する必要があり本人同意により支障
オ)人の生命、身体又は財産保護に必要で本人同意困難
カ)提供者が学術研究機関等で、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く)。
キ)提供者が学術研究機関等で、共同学術研究者に当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
ク)受領者が学術研究機関等で、当該受領者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

 

イ)共同利用はできなくはありませんが、プライバシーポリシー等での公表等一定の手続が必要です。

ウ)公衆衛生については、その研究が公衆衛生の向上のために特に必要があると言え、かつ本人同意を得ることが困難と言えなければなりません。

カ)キ)は医療情報の提供者が「学術研究機関等」でなければならず、ク)は医療情報の受領者が「学術研究機関等」でなければならないので、本事例のように、大学や学会以外の病院の場合は、その病院が「学術研究機関等」といえるか、すなわち学術研究を主たる目的として活動している機関と言えるかによってきます。これを乗り越えないと、カ)も キ)も ク)も無理です。

 

また、提供等記録をつける必要があり(個人情報保護法29条)、外国に提供することがあったり、外国で個人情報の取扱いがあるようでしたら、また話が広がりますので、さらに複雑怪奇になりますので、ここでは考えないことにします。さらにいうと、個人関連情報が出てくるとさらに複雑になります。

 

②個人情報を受領する際

医療情報(要配慮個人情報)を他の組織から受領する際は、個人情報保護法20条2項の要件、すなわち以下等のいずれかを満たしていることが必要です。基本的には個人情報保護法27条に近いというか、その反対っぽくなっていますが、一部違いがあります。本設例で可能性がありそうなのは、イ)共同利用、ウ)公衆衛生、キ)公開情報、ク)~ケ)の「学術研究機関等」です。

 

ア)本人同意
イ)共同利用(プライバシーポリシー等での公表等が必要)
ウ)公衆衛生の向上に特に必要で本人同意困難
エ)国か自治体に協力する必要があり本人同意により支障
オ)人の生命、身体又は財産保護に必要で本人同意困難
カ)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合

キ)当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、報道機関、著述を業として行う者、宗教団体、政治団体、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国において法第十六条第八項に規定する学術研究機関等に相当する者、外国において法第五十七条第一項各号に掲げる者に相当する者により公開されている場合

ク)受領者が学術研究機関等で、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
ケ)提供者が共同学術研究者である学術研究機関等で、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

 

イ)共同利用はできなくはありませんが、プライバシーポリシー等での公表等一定の手続が必要です。

ウ)公衆衛生については、その研究が公衆衛生の向上のために特に必要があると言え、かつ本人同意を得ることが困難と言えなければなりません。

キ)は当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等の一定の機関等により公開されている場合ですが、そのような要配慮個人情報が果たしてどの程度の量存在するのかと疑問です。

ク)は医療情報の受領者が「学術研究機関等」でなければならず、ケ)は医療情報の提供者者が「学術研究機関等」でなければならないので、本事例のように、大学や学会以外の病院の場合は、その病院が「学術研究機関等」といえるか、すなわち学術研究を主たる目的として活動している機関と言えるかによってきます。これを乗り越えないと、ク)も ケ)も無理です。

 

また、個人データの受領時には、取得の経緯等を確認し記録を取る必要が基本的にはあります(個人情報保護法30条)。

(適正な取得)
第二十条 
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
七 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
八 その他前各号に掲げる場合に準ずるものとして政令で定める場合

施行令

(要配慮個人情報を本人の同意なく取得することができる場合)
第九条 法第二十条第二項第八号の政令で定める場合は、次に掲げる場合とする。
一 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
二 法第二十七条第五項各号(法第四十一条第六項の規定により読み替えて適用する場合及び法第四十二条第二項において読み替えて準用する場合を含む。)に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。

 

③個人情報を利用する際

目的内利用規制を遵守する必要がありますが、これは自病院の医療情報を研究に使う場合と同様なので、説明を割愛します。

 

(2)個人情報保護条例(R3改正法施行前の公立病院)

個人情報保護条例が適用される病院であることを前提とします。その場合、R3個人情報保護法自治体部分が施行されるまで(2023年度初頭か?)は、これまで通り、自治体の個人情報に関しては、個人情報保護条例が適用になります。2023年度の遅くとも5~6月以降は、個人情報保護法が適用となります。後者の個人情報保護法が適用となる際は、結局民間相当規制が基本となりますので、国立病院や私立病院と同等となります。前者の個人情報保護条例の場合について、以下で述べます。

個人情報保護条例は条例ごとに様々ではありますが、今回は東京都個人情報保護条例を例にとって説明します。

 

①個人情報を提供する際

利用目的に「研究」が含まれていれば、目的内提供になるのでそもそも適法にできます(東京都個人情報保護条例10条2項柱書)。また仮に「研究」が含まれていない場合で目的外提供になる場合も、「専ら学術研究のために提供する場合で、本人の権利利益を不当に侵害するおそれがないと認められるとき」であれば適法に提供可能です(東京都個人情報保護条例10条2項5号)。なお、「専ら学術研究のために提供する」といえなくても、他の公立病院・国立病院に提供する場合で、それらの機関が事務に必要な限度で利用し、かつ、利用することに相当な理由があると認められるときであれば、適法に提供可能です(東京都個人情報保護条例10条2項6号)。

他の条例では、審議会に事前諮問すれば、目的外提供可能とする例も良く見られます。

 

東京都個人情報保護条例https://www.waterworks.metro.tokyo.lg.jp/reiki_int/reiki_honbun/g171RG00000221.html

(利用及び提供の制限)

第十条 

2 実施機関は、保有個人情報を取り扱う事務の目的を超えた保有個人情報の当該実施機関以外の者への提供(以下「目的外提供」という。)をしてはならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

一 本人の同意があるとき。

二 法令等に定めがあるとき。

三 出版、報道等により公にされているとき。

四 個人の生命、身体又は財産の安全を守るため、緊急かつやむを得ないと認められるとき。

五 専ら学術研究又は統計の作成のために提供する場合で、本人の権利利益を不当に侵害するおそれがないと認められるとき。

六 国、独立行政法人等、他の地方公共団体地方独立行政法人若しくは他の実施機関等(以下この号において「国等の機関」という。)に提供する場合で、国等の機関が事務に必要な限度で利用し、かつ、利用することに相当な理由があると認められるとき。

3 実施機関は、目的外利用又は目的外提供をするときは、本人及び第三者の権利利益を不当に侵害することがないようにしなければならない。

(外部提供の制限)

第十一条 実施機関は、保有個人情報の実施機関以外のものへの提供(以下「外部提供」という。)をする場合は、外部提供を受けるものに対し、提供に係る個人情報の使用目的若しくは使用方法の制限その他の必要な制限を付し、又はその適切な取扱いについて必要な措置を講ずることを求めなければならない。

2 実施機関は、事務の執行上必要かつ適切と認められ、及び個人情報について必要な保護措置が講じられている場合に限り、通信回線による電子計算組織の結合による外部提供を行うことができる。

 

②個人情報を受領する際

個人情報の収集は本人から直接収集するのが原則です(東京都個人情報保護条例4条3項)。しかし、①個人情報を提供できる場合=もっぱら学術研究目的等であれば、本人外からも収集できます。

 

東京都個人情報保護条例

(収集の制限)

第四条 

2 実施機関は、思想、信教及び信条に関する個人情報並びに社会的差別の原因となる個人情報については、収集してはならない。ただし、法令又は条例(以下「法令等」という。)に定めがある場合及び個人情報を取り扱う事務の目的を達成するために当該個人情報が必要かつ欠くことができない場合は、この限りでない。

3 実施機関は、個人情報を収集するときは、本人からこれを収集しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

一 本人の同意があるとき。

二 法令等に定めがあるとき。

三 出版、報道等により公にされているとき。

四 個人の生命、身体又は財産の安全を守るため、緊急かつやむを得ないと認められるとき。

五 所在不明、精神上の障害による事理を弁識する能力の欠如等の事由により、本人から収集することができないとき。

六 争訟、選考、指導、相談等の事務で本人から収集したのではその目的を達成し得ないと認められるとき、又は事務の性質上本人から収集したのでは事務の適正な執行に支障が生ずると認められるとき。

七 国、独立行政法人等、他の地方公共団体若しくは地方独立行政法人(都が設立した地方独立行政法人を除く。第十条第二項第六号において同じ。)から収集することが事務の執行上やむを得ないと認められる場合又は第十条第一項各号のいずれかに該当する利用若しくは同条第二項各号のいずれかに該当する提供により収集する場合で、本人の権利利益を不当に侵害するおそれがないと認められるとき

 

なお、条例によっては、機微情報の収集制限規制等、上記以外の規制がある場合がありますが、例外は認められています。

 

③個人情報を利用する際

目的内利用規制を遵守する必要がありますが、これは自病院の医療情報を研究に使う場合と同様なので、説明を割愛します。

 

(3)個人情報保護法制の比較

以上のように、個人情報保護法が適用されない段階、個人情報保護条例のルールだと「学術研究機関等」問題が概ね出てきません(条例にもよりますが、「学術研究機関等」問題が出てくる条例は少なくとも私は今まで見たことがないです。もっとも私も全条例を見ているわけではありませんので、絶対にないとはもちろん断言はできませんが。)。個人情報保護条例の方が、研究に配慮されている場合が多いと考えられます。

 

また、2022.3.31まで国立病院等に適用されていた独立行政法人個人情報保護法も、学術研究のための提供を認めており、個人情報保護法よりも緩やかな規制となっていました。

独立行政法人個人情報保護法

(利用及び提供の制限)
第九条 独立行政法人等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
2 前項の規定にかかわらず、独立行政法人等は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。
一 本人の同意があるとき、又は本人に提供するとき。
二 独立行政法人等が法令の定める業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき。
三 行政機関(行政機関の保有する個人情報の保護に関する法律(平成十五年法律第五十八号。以下「行政機関個人情報保護法」という。)第二条第一項に規定する行政機関をいう。以下同じ。)、他の独立行政法人等、地方公共団体又は地方独立行政法人保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき。
四 前三号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由のあるとき。
4 独立行政法人等は、個人の権利利益を保護するため特に必要があると認めるときは、保有個人情報の利用目的以外の目的のための独立行政法人等の内部における利用を特定の役員又は職員に限るものとする。

 

これはなぜかというと、変な話ですが、基本的に個人情報の目的外利用・外部提供ルールは官の方が民より緩やかだったからです。税の徴収その他、官はどうしても公益のために個人情報を取り扱わざるを得ない場合もあることから、官全般に対して民とは違うルールだったのですね。それが今回、医療や研究は官でも民相当規制となりますので、民と同じルールになると。

かつ、民も今まで学術研究機関等が学術研究目的であれば適用除外だったのが、GDPRの関係で適用となったと。また民も今までは、学術研究機関等に該当しない組織でも、学術研究機関等と、1つの主体とみなすことができる共同研究が学術研究の用に供する目的で個人情報等を取り扱う場合には、個人情報保護法の大体の義務が適用されなかったのですね。もともと私立病院と公立病院間の医療データの研究目的授受とかであれば、そもそも「学術研究機関等」に該当するのか問題があり、該当しなければ個人情報保護法適用となり、要配慮個人情報の取得規制等はあったのですが、まあ2015年改正前であれば要配慮個人情報の取得規制等もなく、個人情報保護法上もオプトアウトで医療情報を提供できたので。

これを考えると、学術研究機関等の官は、学術研究機関等の民より厳しい規制だったわけで、一概に官の方が民より規制が緩いとまでも言えませんが。

まあ無理くりまとめると、複数段階の改正経緯から、こういう風になってしまったということでしょうか(まとめにもなってませんが)。

参考↓

cyberlawissues.hatenablog.com

 

(4)倫理指針

では次に倫理指針を見ていきます。個人情報保護法上適法でも、個人情報保護条例上適法でも、さらに倫理指針の手続を経なければならないからです。

個人情報の提供側においては、倫理指針第8の1「⑶ 他の研究機関に既存試料・情報を提供しようとする場合 」の手続が必要です。「ア 既存の試料及び要配慮個人情報を提供しようとする場合」に当たると仮定します。

あれ、試料がない場合は、イになるんですかね。アの見出しが「ア 既存の試料及び要配慮個人情報を提供しようとする場合」になってますもんね。要配慮個人情報のみの提供で試料がない場合はイですかね。なんでこんなに倫理指針ってわかりにくい書き方なんでしょうか。とりあえず、いったん以下では第8の1(3)アに該当する場合として、記載していきます。

 

この場合、インフォームド・コンセントが困難な場合は、以下の3つの方法があります。

  • (ア)個人を識別できない既存資料の提供
    既存試料のみを提供し、かつ、当該既存試料を特定の個人を識別することができない状態で提供する場合であって、当該既存試料の提供先となる研究機関において当該既存試料を用いることにより個人情報が取得されることがないとき

    ※コメント※ たぶん、「当該既存試料のみを提供する場合」は少ない気がします。あと、特定の個人を識別することができない状態っていうのを保証することは、試料(血液等)であっても特異情報がありうるため、論理的には不可能ではないのかなあとは思います。そこはもう試料なら特異情報でも個人情報に該当しないと解釈しきるっていうことですかね?そういう判断今まで確定していないですよね。どうするんだろうか。

  • (イ)社会的に重要性が高い研究(学術研究機関等問題が出てくる可能性高い)
    (ア)に該当せず、当該既存の試料及び要配慮個人情報を提供することについて、可能な限り研究対象者等が拒否できる機会を設けるよう努め、次に掲げるいずれかの要件に該当する場合であって、9⑴に掲げる要件を全て満たし9⑵の規定による適切な措置が講じられるとき
    学術研究機関等に該当する研究機関が当該既存の試料及び要配慮個人情報を学術研究目的で共同研究機関に提供する必要がある場合であって、研究対象者の権利利益を不当に侵害するおそれがないこと
    学術研究機関等に該当する研究機関に当該既存の試料及び要配慮個人情報を提供しようとする場合であって、当該研究機関が学術研究目的で取り扱う必要があり、研究対象者の権利利益を不当に侵害するおそれがないこと
    ③ 当該既存の試料及び要配慮個人情報を提供することに特段の理由がある場合であって、研究対象者等から適切な同意を受けることが困難であること 

    ※コメント※ ③の特段の理由があって同意困難な場合でなければ、学術研究機関等問題が出てきます。また9(1)に該当するためには、社会的に重要性が高い研究と認められる必要等があります。

  • (ウ)オプトアウト
    (ア)又は(イ)のいずれにも該当しない場合であって、研究対象者等に6①から⑤まで、⑧及び⑨の事項を通知した上で適切な同意を受けているとき又は次の①から③までに掲げる要件の全てを満たしているとき
    ① (イ)①から③までのいずれかの要件を満たしていること
    ② 当該研究の実施並びに当該既存の試料及び要配慮個人情報を他の研究機関へ提供することについて、6①から⑤まで、⑧及び⑨の事項を研究対象者等に通知し、又は研究対象者等が容易に知り得る状態に置いていること
    ③ 当該既存の試料及び要配慮個人情報が提供されることについて、原則として、研究対象者等が拒否できる機会を保障すること 

    ※コメント※ ① (イ)①から③までのいずれかの要件を満たさなければならないため、特段の理由がある場合で、研究対象者等から適切な同意を受けることが困難であれば、学術研究機関等問題を乗り越えずにオプトアウト可能です。そうでなければ学術研究機関等問題が生じます。

加えて、自病院データを使うのであれば、倫理指針第8の1(2)の手続も必要ですかね?いらない?やっぱりいるのかな、これはね。

なお、提供しか行わないのであれば、倫理指針第8の1(3)に加え、(4)既存試料・情報の提供のみを行う者の手続 をします。

 

さらに、受領側は、倫理指針第8の1(5)の手続が必要です。

また、記録関係も、個人情報保護法と倫理指針は若干違うと思うので、両方を満たす記録が必要です(倫理指針だと第8の3)。

 

「ア 既存の試料及び要配慮個人情報を提供しようとする場合」に当たらない「イ ア以外の場合」では、以下の通りとなります。

インフォームド・コンセントか適切な同意を受けないのであれば、次の方法が可能です。

  • (ア)個人関連情報
    当該研究に用いられる情報が、個人関連情報である場合であって、次に掲げるいずれかに該当するとき
    ① 提供先となる研究機関が、当該個人関連情報を個人情報として取得することが想定されないとき
    ② 提供先となる研究機関が、当該個人関連情報を個人情報として取得することが想定される場合であって、ア(イ)①から③までの規定中「試料及び要配慮個人情報」とあるのを、「個人関連情報」と読み替えた場合にア(イ)①から③までのいずれかに該当するとき又は提供先となる研究機関において研究対象者等の適切な同意が得られていることを当該研究に用いられる情報の提供を行う者が確認しているとき

    ※コメント※ 個人関連情報を研究に使う場合がどれぐらいあるのかがわからない。

  •  (イ)社会的に重要性が高い研究(学術研究機関等問題が出てくる可能性高い)
    同意困難 + (匿名加工情報 or (オプトアウトの努力+学術研究機関等or提供に特段の理由 + 9(1)+9(2))
    (ア)に該当せず、適切な同意を受けることが困難な場合で、次に掲げるいずれかに該当するとき
    ① 当該研究に用いられる情報が匿名加工情報であるとき
    ② ①に該当せず、当該研究に用いられる情報が提供されることについて、可能な限り研究対象者等が拒否できる機会を設けるよう努め、ア(イ)①から③までの規定中「試料及び要配慮個人情報」とあるのを、「当該研究に用いられる情報」と読み替えた場合にア(イ)①から③までのいずれかの要件に該当するときであって、9⑴に掲げる要件を全て満たし、9⑵の規定により適切な措置が講じられるとき

    ※コメント※ 提供に特段の理由があって同意困難な場合でなければ、学術研究機関等問題が出てきます。また9(1)に該当するためには、社会的に重要性が高い研究と認められる必要等があります。

  •  (ウ)  オプトアウト
    当該研究に用いられる情報が、(ア)又は(イ)に該当せず、適切な同意を受けることが困難な場合であって、ア(ウ)の規定中「(ア)又は(イ)のいずれにも該当しない場合であって、研究対象者等に6①から⑤まで、⑧及び⑨の事項を通知した上で適切な同意を受けているとき又は」を削除し、「試料及び要配慮個人情報」とあるのを、「当該研究に用いられる情報」と読み替えた場合にア(ウ)の要件を満たすとき 

    ※コメント※面倒くさくなってきました。特段の理由があって同意困難な場合でなければ、学術研究機関等問題が出てきます。

 

私は前から言っているのですが、個人情報保護法と倫理指針の手続を完璧に理解して実行するのは、このように実は非常に難しいのです。医療現場?研究現場?で、これをやれと要求するのは、ちょっと現実的に考えると難しいのではないかと常々思っていたのですが、できるものなのでしょうか。

 

6.大学病院と大学以外の病院とで医療情報の授受がある研究の場合

次に、他組織との個人情報授受のある例として、「大学病院と、それ以外の病院がそれぞれのカルテ情報を使って共同研究する場合」を、架空例として設定し、検討したいと思います。

(1)個人情報保護法(私立病院と国立病院とR3改正法施行後の公立病院)

①個人データを提供する際

大学病院から大学病院以外に提供する場合(個人情報保護法27条1項6号)、大学病院以外から大学病院に提供する場合(個人情報保護法27条1項7号)とも、個人情報保護法27条の問題をクリアできます。

②個人情報を受領する際

大学病院から大学病院以外が受領する場合(個人情報保護法20条2項6号)、大学病院以外から大学病院が受領する場合(個人情報保護法20条1項5号)とも、個人情報保護法20条2項の問題をクリアできます。

また、個人データの受領時に、取得の経緯等を確認し記録を取る必要も基本的にはありません(個人情報保護法30条1項で27条1項各号の場合が例外として認められているため)。

 

③個人情報を利用する際

目的内利用規制を遵守する必要がありますが、これは自病院の医療情報を研究に使う場合と同様なので、説明を割愛します。

 

(2)個人情報保護条例(R3改正法施行前の公立病院)

5と同じなので、説明を割愛します。

 

(3)倫理指針

では次に倫理指針を見ていきます。個人情報保護法上適法でも、個人情報保護条例上適法でも、さらに倫理指針の手続を経なければならないからです。

個人情報の提供側においては、倫理指針第8の1「⑶ 他の研究機関に既存試料・情報を提供しようとする場合 」の手続が必要です。「ア 既存の試料及び要配慮個人情報を提供しようとする場合」に当たると仮定します。

この場合、オプトアウトで提供可能です。
・大学病院→大学病院以外の病院への提供:第8の1(3)ア(イ)①を満たす
・大学病院以外の病院→大学病院への提供:第8の1(3)ア(イ)②を満たす
・したがって、通知等+拒否機会の保障をすれば第8の1(3)ア(ウ)としてOK。

加えて、自病院データを使うのであれば、倫理指針第8の1(2)の手続も必要のように思われ、その点はやっぱり「学術研究機関等」問題が出てくる可能性があります。なぜなら、共同研究であっても大学病院でない病院が、倫理指針第8の1(2)イ(ウ)①(ⅰ)「学術研究機関等に該当する研究機関が」に該当するかという問題があるからです。昔の個人情報保護法だと、一体と考えられる共同研究者は含めて考えていましたので、新倫理指針においてもその考え方を取れば、ここは解決します。

なお、提供しか行わないのであれば、倫理指針第8の1(3)に加え、(4)既存試料・情報の提供のみを行う者の手続 をしますが、この点では「学術研究機関等」問題は出てきません。

さらに、受領側は、倫理指針第8の1(5)の手続が必要です。これもまた検討しないといけなくて、めちゃくちゃ面倒くさいですね。(5)アは「学術研究機関等」問題が出てこないので、全部やるとして、イは(イ)該当になりますので、通知等+原則拒否機会の保障でよいので、ここでも、「学術研究機関等」問題が出てこないですね。

また、記録関係も、個人情報保護法では不要でも倫理指針では必要と思うので、要注意です(倫理指針だと第8の3)。


「ア 既存の試料及び要配慮個人情報を提供しようとする場合」に当たらない「イ ア以外の場合」でも、オプトアウトで提供可能です。
・大学病院→大学病院以外の病院への提供:第8の1(3)ア(イ)①を満たす
・大学病院以外の病院→大学病院への提供:第8の1(3)ア(イ)②を満たす
・したがって、通知等+拒否機会の保障をすれば第8の1(3)ア(ウ)の要件を満たすので、第8の1(3)イ(ウ)としてOK。

 

(4)小括

大学との共同研究になれば、個人情報保護法上も倫理指針上も授受が楽ですね。
もっとも、自病院の持つデータも一緒に研究に使う場合は、やはり「学術研究機関等」問題が出てくる可能性がありますが、共同研究であれば大学病院でない病院も、倫理指針第8の1(2)イ(ウ)①(ⅰ)「学術研究機関等に該当する研究機関が」に該当するという風に、昔の個人情報保護法の解釈に則って考えれば、ここは解決します。

 

7.Twitter情報に対する意見

so_flat先生に貴重な情報提供をいただきました。so_flat先生が会話された厚労省の担当者は、かなり真面目に個人情報保護法と倫理指針を調べて回答していると思いますが、違うかな?と思う点もありましたので、それを本ブログに記載します。

5までは全て同意です。ただ、7,8は違うと思います。

条例というのは個人情報保護法と同位であって、倫理指針と同位ではないのです。

公立病院(R3改正法施行前まで):個人情報保護条例+倫理指針に従う

国立・私立:個人情報保護法+倫理指針に従う

となります。

そして、一般的な個人情報保護条例ではオプトアウト概念がありません。「学術研究機関等」の定義も一般的な条例ではありません。

公立病院も、倫理指針第8の1(2)ア(ウ)①の(ⅰ)の「学術研究機関等」に当たるかが、国立・私立と同様に問題となります。そして、倫理指針にいう「学術研究機関等」とは、「個人情報保護法第16条第8項に規定する学術研究機関等をいう」とされている(倫理指針第2の(15))ので、公立病院でも個人情報保護法16条8項にいう「学術研究機関等」に該当するか、すなわち「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」といえるかどうかを考えることになると思います。

大学病院以外が「学術研究機関等」に該当しないとまで、厚労省が言い切れるものではないと思います。なぜならその行政上の有権解釈権限は個人情報保護委員会が有しており、厚労省ではないと考えられるためです。また、そもそも裁判となれば、個人情報保護委員会はあくまで行政としての有権解釈権限であり、裁判所が解釈することとなります。

そして、文理解釈としては大学病院以外の病院は学術研究を目的とした機関等ではないようにも思いますが、診療と学術研究は密接一体であり不可分のものであり、病院も「学術研究機関等」に該当するのだという解釈も取れなくないと考えています。

共同研究の場合でも大学病院以外がオプトアウトできるかについては、厚労省がそう解釈すればそうかもしれません。大学病院以外の病院が共同研究者であっても、倫理指針第8の1(2)ア(ウ)①の(ⅰ)の「学術研究機関等」に該当するかという問題はありますが、厚労省が倫理指針の有権解釈権限者として、「該当する」という判断なら、共同研究ならば大学病院以外もオプトアウトできるとなりそうです。

公衆衛生向上については、学術研究機関等に該当しなくても可能です。

ただ、これは個人情報保護法上の例外規定であって、倫理指針では明記されていません。公衆衛生向上に該当すれば、倫理指針第8の1(2)ア(ウ)①の(ⅱ)の研究に特段の理由がある場合に該当するという厚労省解釈の可能性が高いです。倫理指針ガイダンスにその旨明記してもらえると良いかと思います。

ただ、公衆衛生向上は、どのような研究でも公衆衛生の向上に特に必要があると言えるのか、また本人同意困難といえるのかという問題が残ります。

個人情報保護法16条8項で定義があるので、学会員であれば「学術研究機関等」に該当すると考えます。そうすると文理解釈として法律上、学会員も「学術研究機関等」に該当するので、倫理指針も法律上の定義を引用していることから、倫理指針上も学会員は「学術研究機関等」に該当します。

https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-18

個人情報保護法ガイドライン通則編2-18

「学術研究機関等(※1)」とは、大学その他の学術研究(※2)を目的とする機関若しくは団体又はそれらに属する者をいう

「大学その他の学術研究を目的とする機関若しくは団体」とは、国立・私立大学、公益法人等の研究所等の学術研究を主たる目的として活動する機関や「学会」をいい、「それらに属する者」とは、国立・私立大学の教員、公益法人等の研究所の研究員、学会の会員等をいう

厚労省ご担当者がおっしゃるように、学会を出さずに学会員自体が「学術研究機関等」となると、学会は責任を負わないの?となって、個人で責任を負いきれるの?ともなって、価値判断としては、「民間病院の責任を学会長が負うわけでないのでだめ」と言いたい気持ちはわかりますが、文理解釈としては学会員も「学術研究機関等」に該当するので、その文理解釈を、「民間病院の責任を学会長が負うわけでないのでだめ」という価値判断で覆すことはできないと思います。

そこは長の許可が必要だとか倫理審査委員会が必要だとかの倫理指針上の別の手続で担保すべき話であると考えられるためです。

文理解釈に則ると、責任は、カルテ情報の提供者たる病院と、受領者かつ利用者たる学会員が負うと。学会自体は学会員の全行動に責任を持つものではないかもしれませんが、そこは裁判にもしなれば、共同不法行為等の判断?か、それよりもレピュテーションリスクの問題が大きいかもしれません。したがって、学会として学会員の研究にどう関与するのか、関与しないとしても責任をどう考えるか、といった判断をしていくことになるかと思います。

学会の責任って使用者責任かなと最初は思ってしまいましたが、使用者じゃないですもんね。共同不法行為も厳しそうですよね。そうするとどうなるのか。やはり、倫理指針上別の手続で担保する?裁判だと、法的構成これどうするのか、かなり厳しそう。仮に裁判となれば、ここはやはり提供側の病院の責任を問うのが一般的?資力考えると、そうですかね。私、そういう訴訟経験乏しいので、この裁判周りの検討は別の弁護士の方に委ねたいと思います。

(定義)
第十六条 

8 この章において「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。

 

 

Twitter、ブログに貼り付けたの初めてなので、貼り付け方が変だったらごめんなさい。スレッド丸々ブログに貼り付ける方法もあるように思うのですが、やり方がわからず、一個一個リンク貼りました。

 

大体書けてきましたが、公立病院以外の自治体(国保・介保・後期高齢等)とか社保の健保とかが入ってくる場合も(レセプトや健診データの利用等)、本当は検討したほうが良いと思ってます。ただ、ここまで書いただけでもこれだけの文字数で疲れたので、ちょっと公立病院以外の自治体とか、健保は止めておこうかな、と。

 

タイトルに「記載途中です」とありますが、今後書きたいなと思っているのは、以下の点です。

・授受がある場合と大学が入る場合の、倫理指針の手続について、倫理指針を見ながら今一度誤りがないか再確認する。何度も確認はしているんですけどね、複雑で怖いので、「記載途中です」を取る前に最終確認の予定。

・冒頭の要約欄に、授受がある場合と、大学が入る場合を足す。

・匿名加工情報、個人関連情報、仮名加工情報(既存)についても解説が必要なら解説追加します。

・保険者データを授受する点は、もう面倒くさいので、書かないでおこうかなと。

・追記があったらいいなという点があれば、コメントください。

 

ばーっと書いてしまい、もしかすると誤り等ある可能性があります。誤り等あれば、適宜修正する予定です。

 

(蛇足)Twitterほぼ見るだけなので、投稿方法がよくわからず、ぶらさげ方がよくわからない。間違った方法でTwitterに投稿してしまった気がします…。