研究データの匿名化・仮名化:国際的な規制・倫理と共同研究での留意点
研究データの匿名化・仮名化:国際的な規制・倫理と共同研究での留意点
国際共同研究において、研究データの共有と利用は不可欠ですが、同時に個人情報を含むデータの適切な取り扱いが強く求められます。特に、研究参加者のプライバシー保護とデータ保護規制の遵守は、国際的な研究活動を進める上で避けて通れない課題です。この課題に対処するための重要な手段として、「匿名化」と「仮名化」があります。
本稿では、生命科学研究における研究データの匿名化と仮名化の基本的な考え方、国際的な規制動向、そして国際共同研究において研究者が留意すべき実践的なポイントについて解説します。
匿名化と仮名化の定義と違い
まず、研究データの取り扱いにおいて中心となる匿名化と仮名化の定義と、その違いを明確に理解することが重要です。これらの用語の定義は、国や地域、適用される規制によってニュアンスが異なる場合がありますが、一般的な概念は以下の通りです。
-
匿名化(Anonymization):個人に関する情報から、特定の個人を識別できる記述を削除または置き換えることによって、その個人を識別できないように加工する手法です。一度匿名化されたデータは、元の個人情報を復元したり、他の情報と照合したりしても、特定の個人を再識別することが不可能であるとされています。匿名化されたデータは、一般的に個人情報保護規制の適用対象外となることが多いです。しかし、「完全に不可能」と技術的に保証することは難しく、高度な技術や組み合わせによって再識別されるリスク(再識別化リスク)が存在しうる点は考慮が必要です。
-
仮名化(Pseudonymization):個人に関する情報に含まれる氏名や住所などの直接的な識別子を、別の値(仮名)に置き換えるなどして、それ単体では特定の個人を識別できないように加工する手法です。仮名化されたデータは、別途管理されている仮名と元の個人情報を紐づける情報(キー情報)を用いることで、元の個人情報に戻すこと(再識別)が可能です。このキー情報が安全に管理されている限り、仮名化されたデータ自体は個人を特定しにくくなります。仮名化は、GDPRなどのデータ保護規制において、個人情報の保護を強化するための手段の一つとして位置づけられています。仮名化されたデータは、多くの場合、引き続き個人情報として規制の対象となります。
国際的なデータ保護規制と匿名化・仮名化
世界各国で個人情報保護に関する規制が強化されており、生命科学研究もその影響を強く受けています。特に、欧州の一般データ保護規則(GDPR)や米国のカリフォルニア州消費者プライバシー法(CCPA)、日本の個人情報保護法などは、研究データの取り扱いにおいて匿名化・仮名化の重要性を示唆しています。
- GDPR(EU): GDPRでは、仮名化は個人情報の処理におけるセキュリティとプライバシー保護のための推奨される技術的・組織的措置として明記されています(第25条、第32条)。仮名化されたデータは個人情報として扱われますが、匿名化されたデータはGDPRの適用外となります。ただし、GDPRにおける「匿名化」とは、あらゆる手段をもってしても特定の個人を識別できない状態を指すため、その基準は非常に厳しいと解釈されています。
- CCPA(米国カリフォルニア州): CCPAでは、「非識別化情報(Deidentified)」や「集計消費者情報(Aggregate Consumer Information)」といった概念が定義されており、これらはCCPAの適用範囲から除外される場合があります。非識別化情報は、合理的に個人と関連づけられない情報であり、再識別化のリスクが低い状態を指します。
- 日本の個人情報保護法: 日本法における「匿名加工情報」は、特定の個人を識別できないように個人情報を加工し、かつ元の個人情報を復元できないようにした情報を指します。匿名加工情報は、個人情報とは異なる取り扱いが可能となります。「仮名加工情報」は、他の情報と照合しない限り特定の個人を識別できないように個人情報を加工した情報で、これは個人情報として扱われますが、利用目的の制限など一部規制が緩和されます。
これらの規制からわかるように、データの匿名化・仮名化は、データ保護規制の遵守において重要な役割を果たしますが、その定義や効果(規制の適用除外となるか否かなど)は各国の法令によって異なります。
生命科学研究における匿名化・仮名化の適用
生命科学研究では、ヒト由来のサンプル(血液、組織など)やそれに付随するデータ(ゲノムデータ、臨床情報、画像データなど)を扱います。これらのデータには、個人を特定しうる情報(氏名、生年月日、病歴、遺伝情報など)が含まれているため、匿名化または仮名化が一般的に行われます。
- 臨床データ: 患者の氏名、ID、生年月日、住所などの直接識別子を削除・置換し、症例番号などで管理することが一般的です(仮名化)。さらに、地域や生年月日を粗く加工するなど、間接識別子も加工して匿名化レベルを高めることがあります。
- ゲノムデータ: ゲノムデータ自体は究極の個人情報とも言えますが、他の情報と組み合わせなければ直ちに個人を特定できない場合もあります。ゲノムデータに紐づく氏名などの識別子を削除・置換すること(仮名化)は必須ですが、ゲノムデータそのものの特性(家系情報などから個人が推定されうる)から、完全に匿名化することは技術的に困難とされることが多いです。そのため、適切なアクセス管理や利用制限を伴う仮名化が主要な手段となります。
研究の目的(例: 臨床試験、ゲノムコホート研究、基礎研究)、データの種類、共有範囲(機関内、国内、国際)に応じて、適切な匿名化・仮名化のレベルを検討する必要があります。
国際共同研究での実践的な留意点
国際共同研究で研究データを共有・利用する際には、以下の点に留意することが重要です。
- 参加国の規制理解: 共同研究に参加する全ての国・地域のデータ保護規制、倫理ガイドラインを理解する必要があります。特に、個人情報、匿名加工情報、仮名加工情報などの定義や、これらのデータの国境を越えた移転に関するルールは必ず確認してください。
- 匿名化・仮名化のレベルと合意形成: 共同研究で共有するデータの匿名化・仮名化のレベルについて、共同研究者間で明確な合意を形成することが不可欠です。データの利用目的、再識別化リスクの評価、参加者の同意内容などを考慮し、どのレベルの加工を行うかを決定します。使用する仮名化のアルゴリズムやキー情報の管理方法についても共通理解を持つことが望ましいです。
- 再識別化リスクの評価と管理: 特に匿名化データとして共有する場合でも、技術の進歩や他の公開データとの組み合わせにより再識別化されるリスクはゼロではありません。共有するデータの特性(データの粒度、含まれる属性の種類)、利用可能な外部情報などを考慮し、再識別化リスクを評価し、リスク低減のための対策(データ提供方法の限定、利用者への誓約義務など)を講じる必要があります。
- 同意内容との整合性: 研究参加者から取得した同意内容が、データの匿名化・仮名化およびその後の共有・利用(特に海外への提供)を許容しているかを確認してください。同意書に「匿名化して共有する」「特定の研究目的のために仮名化データを利用する」といった記載があるか、曖昧な場合は再同意(Re-consent)が必要か検討します。
- データ共有契約・協定: 国際的なデータ共有には、データ共有に関する契約や協定(Data Transfer Agreement: DTAなど)を締結することが一般的です。この中で、データの匿名化・仮名化の責任、加工レベル、利用目的、再識別化リスクが発生した場合の対応、データの保管・破棄に関する取り決めなどを具体的に定めることが、予期せぬトラブルを防ぐ上で非常に重要です。
- 技術的な対策: データの匿名化・仮名化を適切に実施するための技術的ツールや手法の選定、キー情報の厳重な管理、アクセス制御、暗号化などのセキュリティ対策を講じることが求められます。
まとめ
研究データの匿名化と仮名化は、生命科学分野の国際共同研究において、研究参加者のプライバシーを保護し、複雑なデータ保護規制を遵守するための基盤となる重要な概念です。これらの技術や概念は国・地域によって定義や規制上の位置づけが異なるため、共同研究を進める際には、参加する全ての国・地域の法令やガイドラインを正確に理解し、共同研究者間でデータの取り扱いに関する明確な合意を形成することが不可欠です。
適切に管理された匿名化・仮名化データを用いることで、安全かつ倫理的に国際的なデータ共有を実現し、生命科学の発展に貢献することができます。若手研究者の皆様におかれましては、これらの基本的な知識を習得し、国際共同研究に臨んでいただければ幸いです。