オプトアウトによる医学研究に関するTweetを拝見しましたので、R2個人情報保護法改正・R3個人情報保護法改正・倫理指針改正により、オプトアウトによる医学研究がどうなるか、このブログで書いていきたいと思います（まだ記載途中）。

２（５）に「学術研究機関等」の問題の所在、解決方法を追記しました

＆

２（３）（４）で試料を使わない研究設定にしてオプトアウトできる場合を見直しました（2022.4.7お昼）。

追記が増えすぎてぐちゃぐちゃになってきたので、追記が完了して完成したら、冒頭にでも要約欄を設けます。

青字：追記箇所

赤字：注意

 

• ０．過渡期である
  • （１）学術研究へ個人情報保護法が適用される
  • （２）自治体も条例ではなく個人情報保護法が適用される
  • （３）国立病院等への規制が変わる
  • （４）わかりにくい
• １．法・条例・倫理指針の義務は？
  • （１）適用法令等
  • （２）確認すべき事実
• ２．私立病院
  • （１）個人情報保護法
  • （２）個人情報保護条例
  • （３）倫理指針
  • （４）小括
  • （５）「学術研究機関等」問題
• 3．公立病院（市立／県立）
  • （１）個人情報保護条例
    • ①個人情報保護条例が適用されるか
    • ②目的外利用規制
  • （２）倫理指針
  • （３）2023年度初頭目処に個人情報保護法適用へ
  • （４）小括
    • ①条例上は問題なさそう
    • ②2023年度ごろからは条例廃止・縮小へ（概ねOKそう？）
    • ③倫理指針の問題がある

 

０．過渡期である

個人情報保護法改正は非常に難しい改正の過渡期にあります。

（１）学術研究へ個人情報保護法が適用される

学術研究はこれまで個人情報保護法が基本的には適用されませんでした（個人情報保護法上の義務を遵守しなくてもよかった）が、2022年度から適用になります。

もっとも、学術研究を妨害する目的でこのような改正がなされたのではなく、これは、EEAと研究データをやりとりしやすくすることが目的の改正とされています。個人情報保護法が適用されることで、GDPR上、EEAから日本に個人データを提供しやすくなるためです。

（２）自治体も条例ではなく個人情報保護法が適用される

自治体はこれまで個人情報保護法が基本的には適用されませんで、それぞれで定めている個人情報保護条例が適用されていました。それが、R3個人情報保護法改正で、全国一律で行政機関並みの規制が個人情報保護法で課せられることになりました。2022年度いっぱいはおそらく個人情報保護条例適用で、2023年度初頭ぐらいから個人情報保護法の適用になるかと思います（施行時期がまだ決まっていないはず）。

（３）国立病院等への規制が変わる

国立病院・国立大学病院はこれまで個人情報に関して行政機関並み（＝独立行政法人等）の規制でした。それがR3個人情報保護法改正で、私立病院並みの規制に変わります（もっとも、規制の一部は行政機関並みのままです）。

https://cyberlawissues.hatenablog.com/entry/2022/03/03/203000

（４）わかりにくい

このように非常にわかりにくい状況ですので、この分野をよく扱っている私でも、ものすごく丁寧に適用関係を調べて検討しないと、間違いやすい状況下にあります。

 

１．法・条例・倫理指針の義務は？

（１）適用法令等

一番最初に法律（個人情報保護法）が適用となります。

その次が条例（個人情報保護条例）です。

そして、その下にあるのが倫理指針です（法令ではないので格が下がる）。

面倒くさいですが、これらを全部丁寧に検討していく必要があります。

（２）確認すべき事実

そして、どのような医療研究をするのかというか、どんなデータをどこからもってきてどう使うかによって、法令や倫理指針上の論点が変わってきます。以下をまず確認する必要があります。

「医療情報をどこから取得するのか」「提供するのか」「目的外利用するのか」「目的内利用するのか」

「自病院は私立か公立（県立・市立）か国立か。それとも病院ではないのか」「他の関与者はどのような組織か」

どのような場合についてもこのブログで解説しきろうとすると、かなり複雑になるので、今回は、「自病院の保有する電子カルテデータを研究に使う」という設定で検討します（他組織からの情報取得は無しの設定）。情報取得有の検討のニーズがあれば、時間のある時に別途ブログに追記したいと思います。

 

２．私立病院

（１）個人情報保護法

目的外利用規制が問題になります（法１８条）。個人情報は利用目的の範囲内で使うのが原則というルールです。

つまり、今回の活用目的である「研究」が利用目的なのかどうかが重要になってきます。自病院のプライバシーポリシー等を見て、「研究」が利用目的に入っているか確認する必要があります。

「研究」が利用目的に入っていれば、目的内利用になりますので、目的外利用規制は問題になりません（＝本人同意等は不要です）。入っていなければ複雑になりますので、ざっくり書くと、

①利用目的の変更が法律上可能な範囲か検討するか（法１７条２項）、

②利用目的を特定しなおして（＝「研究」を追加しなおして）、それ以降のデータを使うことができます。

※利用目的の公表等は当然必要（法２１条等）

※①②の場合も、本人同意等は不要です

 

（感想）複雑ですよね。法律が結構変といえば変で、利用目的を特定・公表等すれば本人同意なしに個人情報を使えるわけです。本人にしてみれば、プライバシーポリシーなんて見ないよという意見も多いと思いますし、見ていたとしても拒否はできないわけですよね（その病院に行かないという方法ぐらいでしか拒否できず、通院しつづけるが利用目的の範囲内の利用もやめてくださいとはいえない）。利用目的の特定・公表等が法律上は重要ということになります。

これは、個人情報というのは「変なことに使わないでね」と言ったところで、「変なこと」とは何かが不明瞭で何とも言えないので、予め特定した範囲内で使ってねという法律になっているからです。法律も具体的なルールを定めないと実効性のあるルールになりにくいから、ふわっと「変なことに使わないでね」ではダメなので難しいです。

（２）個人情報保護条例

私立病院のデータしか使わないのであれば、条例は関係ありません。

（３）倫理指針

「自らの研究機関において保有している既存試料・情報を研究に用いる場合 」に該当するとの設定で記載します（そうでないと、さらに複雑化するので）。（倫理指針第８の１（２））

※「イ 試料を用いない研究 」の設定で、記載を修正しました（2022.4.7）

※「ア試料を用いる研究」と「イ 試料を用いない研究 」で、要件が異なります。

 

この場合、３つの方法があります。

A）匿名加工情報や仮名加工情報等

B）関連研究への同意あり

C) 重要な研究（同意ORオプトアウト）

※Aの場合、同意やオプトアウト不要

 

Aは意外と難しいです。

匿名加工情報といえるためには、かなり複雑な加工を要する場合がありますし、仮名加工情報の場合「（既に作成されているものに限る。）」とあるのが、どうなんだろうという感じですね。既存の仮名加工情報じゃないといけないので、新規に仮名加工してはダメという意味ですよね。。。

ただ、これに該当すれば、以下のBCを考える必要がなくなります。具体的には以下のどれかに当たればいいということです。

• 当該研究に用いられる情報が仮名加工情報（既に作成されているものに限る。）、匿名加工情報又は個人関連情報である場合 

 

Bは、次の条件を全て満たす必要があります。

• 当該研究に用いられる情報の取得時に当該研究における利用が明示されていない別の研究についての研究対象者等の同意のみが与えられている場合
• 当該研究の実施について、倫理指針第８の６①、②、⑥及び⑦の事項を研究対象者等に通知し、又は研究対象者等が容易に知り得る状態に置いていること
• その同意が当該研究の目的と相当の関連性があると合理的に認められること 

関連研究への同意が必要というわけですね。

 

Cは、（Ⅰ）同意か、（Ⅱ）オプトアウト等の条件を満たす必要があります。

• （Ⅰ）研究対象者等に倫理指針第８の６①、②及び⑥から⑨までの事項を通知した上で適切な同意を受けている場合
• 又は
• （Ⅱ）次の①から③までに掲げる要件の全てを満たしている場合
  • ① 次に掲げるいずれかの要件を満たしていること
    • (ⅰ) 学術研究機関等に該当する研究機関が学術研究目的で当該研究に用いられる情報を取り扱う必要がある場合であって、研究対象者の権利利益を不当に侵害するおそれがないこと
      ※大学病院以外の病院単体の研究の場合「学術研究機関等」に該当しない可能性あり。後記２（５）参照。 
    • (ⅱ) 当該研究を実施しようとすることに特段の理由がある場合であって、研究対象者等から適切な同意を受けることが困難であること
  • ② 当該研究の実施について、倫理指針第８の６①、②及び⑥から⑨までの事項を研究対象者等に通知し、又は研究対象者等が容易に知り得る状態に置いていること
  • ③ 当該研究が実施又は継続されることについて、原則として、研究対象者等が拒否できる機会を保障すること 
    ※オプトアウト

Cの場合は、試料を使わないとき（第８の１（２）イ）には研究に特段の理由がある場合であって、適切な同意を受けることが困難であれば、「学術研究機関等」問題が登場せずに、オプトアウトできることになります。何をもって「特別の理由」「同意困難」といえるかどうかが、ポイントとなりますね。

倫理指針改訂前は「学術研究の用に供するときその他の当該情報を用いて研究を実施しようとすることに特段の理由があるとき」だったのですよね。改訂前の「学術研究の用に供するとき」には、その組織（病院）が「学術研究機関等」かどうか問題は関係なかったはずです。そして、「その他の研究に用いられる情報を取得して研究を実施しようとすることに特段の理由があるとき」とは、以下をいうとされていました（ガイダンスP72）。

学術研究の用に供する場合以外で法律・条例等に具体的な根拠がある場合を指しており、例えば、個人情報保護法で定められる「公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」などが該当する。個人情報の保護に関して適用を受ける法令に従って、一義的には研究責任者が判断し、その理由を示して倫理審査委員会で審査の上、機関の長の許可を得る必要がある。 

これを見ると、では「当該研究を実施しようとすることに特段の理由がある場合」とはどのような場合なのか、よくわからない気がします。

（４）小括

私立病院の場合、

「利用目的」に「研究」が入っていて、かつ既存の仮名加工情報等を使う場合か、

「利用目的」に「研究」が入っていて、かつ関連研究への同意がある場合か、

「利用目的」に「研究」が入っていて、かつ「当該研究を実施しようとすることに特段の理由がある場合であって、研究対象者等から適切な同意を受けることが困難」なら、自病院の保有する電子カルテデータを研究に使うことができそうです。

 

もっとも、「利用目的」に「研究」が入っていない場合でも、個人情報保護法適法となる可能性はあります。

 

問題は、倫理指針です。

既存の仮名加工情報等がなく、関連研究への同意がなく、研究に特段の理由があって同意困難な場合以外には、「学術研究機関等」問題を乗り越える必要が出てきそうです。

関連研究への同意って、結構あるものなんですかね。私は法律家であって、こういう実務面のことはよくわからないので。また既存の仮名加工情報も、既に結構あるものなんですかね。これによって、「学術研究機関等」問題のクリティカル度が変わってくるかな、と。
→この点、Twitterでは、関連研究への同意も、既存の仮名加工情報もない場合が多いと教えていただきました。

→となると、「研究に特別の理由があって同意困難」といえるかどうかが、ポイントでしょうか。

（５）「学術研究機関等」問題

R3個人情報保護法改正で、学術研究にも個人情報保護法が適用されるため、「学術研究機関等」に対する提供等を許容する条文が新たに追加されました。これを受けて、倫理指針でも「学術研究機関等」という用語を用いて追記がなされました。

 

今までも、個人情報保護法上の論点として、「学術研究機関等」というのはあったのですが、以下の変化が起きています。

これまで）

自病院の持つデータを研究利用する場合

個人情報保護法上は目的内利用でOK、倫理指針もオプトアウトでOKとしていた

 

これから）

自病院の持つデータを研究利用する場合

個人情報保護法上は目的内利用でOK、倫理指針でオプトアウトするには「学術研究機関等」に該当するか「研究に特段の理由があり同意困難な場合」でなければならない

 

理由）

倫理指針でこれまでは「研究機関」「研究者等」といった用語が使われており、個人情報保護法上の「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」とは必ずしもリンクしていなかったが、R3個人情報保護法改正を受けて倫理指針でも「学術研究機関等」という用語が登場し、オプトアウトするには「学術研究機関等」に該当しなければならなくなった。

 

「学術研究機関等」とは個人情報保護法16条8項で定義されており、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」とされています。「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」の解釈は次の通りです（個人情報保護法ガイドライン通則編）。https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-18

「大学その他の学術研究を目的とする機関若しくは団体」とは、国立・私立大学、公益法人等の研究所等の学術研究を主たる目的として活動する機関や「学会」をいい、「それらに属する者」とは、国立・私立大学の教員、公益法人等の研究所の研究員、学会の会員等をいう。なお、民間団体付属の研究機関等における研究活動についても、当該機関が学術研究を主たる目的とするものである場合には、「学術研究機関等」に該当する。

大学病院以外の病院の場合、「学術研究を主たる目的とするかどうか」が問題となります。診療を主たる目的としているのであって、学術研究は従たる目的かもしれないが主たる目的ではないのではないか、ということです。

もっとも、大学病院や学会との共同研究の場合は、倫理指針の問題も乗り越えられるかもしれません（ただこの場合、医療情報の提供や受領があれば、法・条例・倫理指針についてまた別の検討が必要）。

問題は、大学病院や学会との共同研究ではない研究の場合です。

 

既存の仮名加工情報等がなく、関連研究への同意がなく、研究に特段の理由があって同意困難な場合でないときには、やはり「学術研究機関等」問題を乗り越える必要が出てきそうです。この解決方法としては、以下が考えられます。

1. 医師会を「学術研究機関等」と認めてもらった上で医師会との共同研究とする？
2. 大学病院以外の病院は確かに治療を主たる目的とするが、治療のためには学術研究も非常に重要であって私立病院だって単体で「学術研究機関等」に該当するのだなどと主張し、国（個人情報保護委員会）に認めてもらう
3. 国（厚労省・文科省）に倫理指針を改訂してもらう
4. 国（厚労省・文科省）に「研究に特段の理由があって同意困難な場合」を明確化してもらって、研究ができるようにしてもらう

2＆3も無謀な方法ではないと個人的には思います。理由としては以下の通りです。

まず価値判断として、そもそも個人情報保護法上は適法なわけです。個人情報保護法上は利用目的として「Aの研究」「Bの研究」と研究内容を個別特定する必要はなく、「研究」といった利用目的で足りると考えられます。この点、倫理指針はきびしく、「Aの研究」と「Bの研究」では、異なる手続を要求しているわけです。また倫理指針第8の1（2）の場合、要配慮個人情報の授受もなく、個人情報保護法的には、「目的内利用」（又は許容される目的外利用という場合もなくはないですが）に当たり、プライバシー侵害性が概して高くないと考えられるのに、なぜ急に倫理指針の第8の1（2）で個人情報保護法上の「学術研究機関等」の定義問題が登場するのかという疑問があります。

私は法律家であって、医療研究をやったことはありませんし、医療研究の実務はわかりませんが、市中病院で医療研究をしなければ医療の向上等に支障をきたすのであれば、それを淡々と国に対して説明し、2か3か4の方法を取っていくべきではないかと思います。

 

長々書いてちょっと疲れたので、公立病院、国立病院については、また別の機会に、時間のある時にブログに書きたいと思います。

ばーっと書いてしまい、もしかすると誤り等ある可能性があります。誤り等あれば、適宜修正する予定です。

 

以下、書きかけの状態で失礼します。追って更新します。

3．公立病院（市立／県立）

（１）個人情報保護条例

R3個人情報保護法の自治体部分が施行されるまで（2023年度初頭か？）は、これまで通り、自治体の個人情報に関しては、個人情報保護条例が適用になります。自治体にも個人情報保護法も一応適用にはなってますが、理念とか抽象的な部分のみ適用で、具体的なルールは、自治体には個人情報保護法ではなく条例が適用になります。

個人情報保護条例の場合も、私立病院同様、基本的には目的外利用規制が論点になります（条例によってはその他の論点が生じる可能性がありますが、その可能性は比較的低いです）。もっとも、一般的な条例であれば、結論的にはOKとなる可能性が高いです。以下、詳述します。

 

①個人情報保護条例が適用されるか

正確にいうと、そもそも個人情報保護条例が適用されるかから調べないといけません。市役所首長部局や教育委員会には、個人情報保護条例が適用されますが、公立病院にも適用されるかは調べないと本当はなんともいえません。

自分の病院が地方独法なのか、自治体自体なのか、それとも資金だけ自治体で法人としては民間なのか（そのような病院があるかわからず、想像で書いてます）などを調べます。

 

一般的な個人情報保護条例の場合、「実施機関」に適用されます。そこ実施機関の定義に、自分の病院が当てはまるのかを確認します。

地方独法や地方自治体そのものの場合はほぼ実施機関に該当すると思います。

 

自分の病院が市町村ならその市町村の、都道府県なら都道府県の個人情報保護条例を調べます。Google検索で「港区個人情報保護条例」と検索しても出てこなければ、Google検索で「港区例規集」で検索し、50音順「こ」を見れば出てくると思います。（港区部分を自分の自治体名に置き換えます）

 

定義は2条あたりです。

東京都を例にします。都立病院の場合、まだ自治体知事部局病院経営本部の運営です。東京都個人情報保護条例では知事は実施機関として定められていますので、都立病院には東京都個人情報保護条例が適用されます。都立病院が今後地方独法化しても、都条例では地方独法も実施機関として定められていますので、東京都個人情報保護条例が適用されます。

もしも、自分の病院が条例適用されないようでしたら、その場合は大体、個人情報保護法適用になるのではないかと思います。

 

東京都個人情報の保護に関する条例https://www.waterworks.metro.tokyo.lg.jp/reiki_int/reiki_honbun/g171RG00000221.html

(定義)

第二条　この条例において「実施機関」とは、知事、教育委員会、選挙管理委員会、人事委員会、監査委員、公安委員会、労働委員会、収用委員会、海区漁業調整委員会、内水面漁場管理委員会、固定資産評価審査委員会、公営企業管理者、警視総監及び消防総監並びに都が設立した地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)をいう。

 

②目的外利用規制

条例では大体8条から11条あたりで、目的外利用規制が定められています。病院の持つ個人情報の利用目的は、個人情報事務取扱登録簿等（都の場合は「保有個人情報取扱事務」）に記載されてますので、そこに研究が含まれているか確認します。含まれていれば、一般的な条例であれば、目的内利用となり、本人同意なく研究利用可です。

もし研究が定められていない場合は、条例上認められている目的外利用かどうか検討します。多くの条例では、個人情報保護審議会に事前諮問して公益性等が認められれば、目的外利用可能です。条例によっては研究のための目的外利用をストレートに認めていて、審議会諮問を不要とする条例もあるかと思いますので、自分に適用される条例の目的外利用規制の条文を確認します。都条例だと10条1項5号でもっぱら学術研究目的であれば審議会諮問なく目的外利用可能です。

東京都個人情報の保護に関する条例https://www.waterworks.metro.tokyo.lg.jp/reiki_int/reiki_honbun/g171RG00000221.html

(保有個人情報取扱事務の届出)

第五条　実施機関は、保有個人情報を取り扱う事務を開始しようとするときは、東京都規則で定めるところにより、次に掲げる事項を知事に届け出なければならない。届け出た事項を変更しようとするときは、変更する事項についても同様とする。

一　保有個人情報を取り扱う事務の名称

二　保有個人情報を取り扱う組織の名称

三　保有個人情報を取り扱う事務の目的

四　保有個人情報の記録項目

五　保有個人情報の対象者の範囲

六　前各号に掲げるもののほか、東京都規則で定める事項

 

(利用及び提供の制限)

第十条　実施機関は、保有個人情報を取り扱う事務の目的を超えた保有個人情報の当該実施機関内における利用(以下「目的外利用」という。)をしてはならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

一　本人の同意があるとき。

二　法令等に定めがあるとき。

三　出版、報道等により公にされているとき。

四　個人の生命、身体又は財産の安全を守るため、緊急かつやむを得ないと認められるとき。

五　専ら学術研究又は統計の作成のために利用する場合で、本人の権利利益を不当に侵害するおそれがないと認められるとき。

六　同一実施機関内で利用する場合で、事務に必要な限度で利用し、かつ、利用することに相当な理由があると認められるとき。

2　実施機関は、保有個人情報を取り扱う事務の目的を超えた保有個人情報の当該実施機関以外の者への提供(以下「目的外提供」という。)をしてはならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

一　本人の同意があるとき。

二　法令等に定めがあるとき。

三　出版、報道等により公にされているとき。

四　個人の生命、身体又は財産の安全を守るため、緊急かつやむを得ないと認められるとき。

五　専ら学術研究又は統計の作成のために提供する場合で、本人の権利利益を不当に侵害するおそれがないと認められるとき。

六　国、独立行政法人等、他の地方公共団体、地方独立行政法人若しくは他の実施機関等(以下この号において「国等の機関」という。)に提供する場合で、国等の機関が事務に必要な限度で利用し、かつ、利用することに相当な理由があると認められるとき。

3　実施機関は、目的外利用又は目的外提供をするときは、本人及び第三者の権利利益を不当に侵害することがないようにしなければならない。

 

（２）倫理指針

私立病院と考え方は一緒です。２（３）をごらんください。

 

（３）2023年度初頭目処に個人情報保護法適用へ

R3個人情報保護法改正の自治体部分が施行されると、個人情報保護条例は基本的に廃止になります。廃止とならずに残る条例もありますし、手数料しか定めないような条例になる場合もありますが、大多数の規制は法に一本化されます。

施行は2023年4月か5月ごろでしょうか？

この施行後は、個人情報保護条例は基本的に適用されずに、個人情報保護法が適用されるように変化します。では、新・個人情報保護法では、研究利用は認められているでしょうか。

自治体本体が営んでいる病院、地方独法となった病院については、個人情報保護法2条11項4号又は58条2項1号によって、大体、私立病院並みの規制となります。したがって、２（１）と同じになりますので、そちらをご覧ください。

 

※Tweetでは、法69条24項4号と書いてしまいましたが、法69条24項4号は医療・研究以外の自治体に適用されるため、誤りでした。申し訳ありません。医療・研究以外の自治体は行政機関並みの規制となりますが、医療・研究の自治体は私立病院並みとなります。

 

（４）小括

①条例上は問題なさそう

個人情報事務取扱登録簿等の利用目的に「研究」が含まれていれば目的内利用になります。含まれていなくても、一般的な条例であれば、認められる目的外利用となる可能性が高いです。

したがって、条例上は問題はなさそうです。

②2023年度ごろからは条例廃止・縮小へ（概ねOKそう？）

R3個人情報保護法改正施行後は、条例ではなく個人情報保護法適用となりますが、その際は私立病院と同様となり、利用目的に「研究」が含まれていれば、目的内利用でOKとなり、含まれていなくても個人情報保護法適法となる可能性はあります。

③倫理指針の問題がある

問題は、倫理指針です。既存の仮名加工情報等がなく、関連研究への同意がなく、「研究に特段の理由があり同意困難な場合」でないときには、「学術研究機関等」問題を乗り越える必要が出てきそうです。「学術研究機関等」問題については２（５）をご覧ください。

 

（蛇足）Twitterほぼ見るだけなので、投稿方法がよくわからず、ぶらさげ方がよくわからない。間違った方法でTwitterに投稿してしまった気がします…。