More Related Content Similar to 医療・ヘルスケアの情報利活用に向けて (20) More from Satoshi Taniguchi (20) 医療・ヘルスケアの情報利活用に向けて3. 3
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
本資料について
本資料は、医療・ヘルスケアサービスを開発提供する上でどのように情報管
理を行うべきかを考えるために作成した個人的な思考メモである。
以下の資料を参考とした
パーソナルデータに関する検討会資料
http://www.kantei.go.jp/jp/singi/it2/pd/index.html
Guidance Regarding Methods for De-identification of Protected Health Information in Accordance
with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule
http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/De-identification/guidance.html
「ヒトゲノム・遺伝子解析研究に関する倫理指針」の改正概要
https://www.jstage.jst.go.jp/browse/organbio/-char/ja/
筆者はこのメモに基づき、プラットフォーム運営規約を作成中である。
幅広く意見を頂戴し、テンプレートとなるようなものを作成するのが目標で
あるため、興味ある方は以下までご連絡ください。ぜひ意見交換しましょう。
谷口諭
taniguchi@mystar-japan.biz
4. 4
何を扱うか×どう提供するか
匿名化が十分か
慎重な判断が必要
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
データの2次利用に関する考え方
政府は個人情報を含むデータの2次利用促進をはかろうとしている。その実
現のため、以下のような考え方をもってガイドラインを作成しようとしてい
る。
■情報の種類によってリスクを特定
個人情報当該情報に含まれる氏名、生年月日その他の記述
等により特定の個人を識別することができるもの
準個人情報多量又は多種の情報が収集されることにより特定
の個人が識別されるおそれのある情報
個人の情報
その他の情報
■情報の提供状態によってリスクを特定
非識別化(統計処理化、グラフ化等)
>加工の過不足が判断しやすい
識別非識別
特定生データ×
非特定識別非特定
データ
非識別非特
定データ非特定化(属性の削除、属性の一般化、サンプリング等)
個人特定性低減データ>加工の過不足が判断しにくい
=2次利用が可能データ
前提確認
5. 5
前提確認
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
医療情報の取り扱いについて
身体情報は、その性質によって取扱い方を変えるべきと考え
る
個人の情報
身体情報
身体情報= 準個人情報とする
身体情報は一般的に以下の理由から取り扱いを慎重にする必要があ
るとされている
・不変性が高い=静的で不変性がある
・変更可能性が低い=容易には変更できない特性
>>準個人情報として取扱う必要があるとする
一意性の高い身体情報= 個人情報とする
顔写真、指紋情報、歯型情報など。。。
一意性の高い身体情報=他人等と重複しないもの≒認証に使われるもの
は
その性質から個人情報と同等の扱いをする
※外観識別性、外部情報入手可能性、本人到達可能性は機密性
を判断する指標ではないとされている
政府は匿名化の過不足を判断する一律なルールは設定せず、
第三者機関による認定ができるようにする予定(=事業者責任)
7. 7
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
告知・同意について
どのように告知をするのかルール化が必要
告知方法、使用するメディア
告知の内容の提示方法として、以下3種類より選択する必要がある
Opt-out Consent
利用者が特に拒否をしなければ、合意をしたとみなす告知・同意
Implicit Consent
既に合意した目的に沿う内容であれば、新たな合意を必要としない
とする告知・同意
Explicit Consent
具体的な利用方法に限定した同意・告知
新たな研究等で使われるとき、
それを参加者に告知する方法の策定が必要
8. 8
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
収集した情報について
収集した情報の性質によって、取り扱い方法が変化する
個人情報
当該情報に含まれる氏名、生年月日その他の記述
等により特定の個人を識別することができるもの
公開には
本人の同意が
必要
準個人情報
多量又は多種の情報が収集されることにより特定
の個人が識別されるおそれのある情報
特定される状態
では同意必要
特定できない状
態では同意不要
個人が特定できない加工をし
「個人特定性低減データ」に
個人特定性低減データ
個人情報・準個人情報から個人を特定する蓋然性
の低いものに加工を施して、個人を特定すること
が困難になるようにしたものて
特に同意なく発
表・公表するこ
とができる
個人の情報
その他の情報
9. 9
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
拒否・取りやめについて
コホートの参加者に対して提示できる拒否・取りやめの
選択肢は以下の3つと考えられる
個別研究告知研究開始研究終了
実験終了時にデータは原則破棄する
よって、参加取り消し等には対応できない
データベースに
参加
Opt-Out 参加中断
退会
Opt-out
データの利用方法の告知を受
けて、その目的や使用者等に
同意できないときに、実験開
始前に情報の提供を拒否する
この場合、研究で使用される
データベースに申請者のデー
タを含まない処置をする
参加中断
既に始まっている研究等にお
いて、自身のデータの利用を
中断する
この場合、研究で使用中の
データベースより申請者の
データを削除する
*実務運営上は、削除済データ
ベースと差し替えるのが妥当
退会
データベース自体への参加を
取り止める
この場合、データベースより
申請者の情報を削除する。ま
た、タイミングによっては参
加中断と同じ処置を行う必要
あり
10. 10
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
情報の匿名化
身体情報は、その性質によって取扱いを変える
個人の情報
身体情報
身体情報= 準個人情報とする
身体情報は一般的に以下の理由から取り扱いを慎重にする必要があ
るとされている
・不変性が高い=静的で不変性がある
・変更可能性が低い=容易には変更できない特性
>>準個人情報として取扱う必要があるとする
一意性の高い身体情報= 個人情報とする
顔写真、指紋情報、歯型情報など。。。
一意性の高い身体情報=他人等と重複しないもの≒認証に使われるもの
は
その性質から個人情報と同等の扱いをする
※外観識別性、外部情報入手可能性、本人到達可能性は機密性
を判断する指標ではないとされている
11. 11
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
情報の匿名化
匿名化の過不足を判断する一律なルールは存在しない
政府は第三者機関による認定ができるようにする予定
※以下、議論の変遷を示すため、パーソナルデータに関する検討会資料より抜粋いたしました
パーソナルデータの利活用に関する制度改正内閣高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)・H26.06.24
個人が特定される可能性を低減したデータへの加工方法については、データの有用性や多様性に配慮し一律には
定めず、事業等の特性に応じた適切な処理を行うことができることとする。さらに、当該加工方法等について、
民間団体が自主規制ルールを策定し、第三者機関(後掲IV参照)は当該ルール又は民間団体の認定等を行うことが
できることとする。加えて、適切な加工方法については、ベストプラクティスの共有等を図ることとする。pg10
H25.12.10 技術検討ワーキンググループ報告書
新たなカテゴリーとして「法第23条1項適用除
外情報」と定義し、個人情報の第三社提供に関す
る同意原則の例外規定として、その類型を位置づ
けることが、適当であると考えられる。
H26.04.16 「個人情報」等の定義と「個人情報取
扱事業者」等の義務について
個人情報に該当するものを除き、生存する個人に
関する情報であって、次に例示するもの及びこれ
に類するものを含む情報について、新たに「準個
人情報」とする
①パスポート等の個人または個人の情報通信端
末等に付番され、継続して共用されるもの
②顔認識データ等個人の生体的・身体的特性に
関する情報で、不変性を有するもの
③移動履歴等の特徴的な行動の履歴
H26.05 「準個人情報」及び「個人特定性低減データ」に関する技術的観点からの考察に
ついて
多量又は多種の情報が収集されることにより個人が特定されるおそれのある情報を
「準個人情報」とし、新たに対象とすることが妥当である
「個人特定性低減データ」の定義は
・「個人データ」から「個人特定性低減データ」にする場合には個人を識別させる情
報に加工を施して、特定の個人を識別することができいないようにしたもの
・「準個人データ」から「個人特定性低減データ」にする場合には当該データに含ま
れる識別子に加工を施して特定の対象を識別することができないようにしたもの
・上記の2項目の他、「個人特定性低減データ」に加工等を行った場合で、引き続き
「個人特定性低減データ」であるもの
「個人特定性低減データ」とするための最低限の加工方法を定義することはできない
ことから、特定の個人の識別性を低減させることと利活用のニーズとのバランスを考
慮し、事業者自らの判断と責任において、適切な加工を施すことが必要である。
「個人特定性低減データ」については全てのデータに対して有効となるような具体的
な方法を提示することは困難である。
12. 12
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
情報の匿名化
匿名化の技術は発展途上にある
ポイントは非特定化をどのように行うかになっている
非識別のための技術
・統計処理化・X:Y=3:7, Xが全体の30%等
・グラフ化・円グラフ等
>加工の過不足が判断しやすい
識別非識別
特定生データ×
非特定識別非特定
データ
非識別非特
定データ
個人特定性低減データ
非特定のための技術
・属性の削除・削除、仮名化等
・属性の一般化・・一般化、曖昧化等
・属性に加工技法を適応するミクロアグリゲーション、ノイズ付加、データ交換、疑似
データ挿入、レコード削除、競る削除、サンプリング、k-匿名化等
>加工の過不足が判断しにくい
個別具体的なケースバイケースの判断が必要とされる
13. 13
※以下の例示ケースは筆者作成
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
情報の匿名化
非特定化にあたって考えるべきリスク
直接個人が特定されるリスク
5人の母集団において、男性が1人の場合、そ
の男性の情報であることが特定されてしまう
機械的に複数の情報とマッチングがなされ、個人が特定されるリスク
性別年齢疾病薬購入歴
提供情報
突き合わせ
購買履歴住所名前
提供した匿名化された薬購入情
報が、購買履歴と照合されるこ
とで個人が特定されてしまう
第三者からの情報
データ受領者の知識に依存して個別的に個人が特定されるリスク
骨折箇所が珍しい患者データを見たあとに、たまた
ま病院で同じ骨折箇所の人を見かけ、特定されてし
まう
+
14. 14
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
情報の匿名化
実際にあった健康情報より個人が特定された事例
マサチューセッツ州が公開した医療データから州知事の情報を特定(1997年
米国)
マサチューセッツ州は医療データから氏名等を削除して公開。その中には性別、生年月
日、郵便番号が含まれていた。
既に公開(販売)されている投票者名簿とマッチングしたところ、州知事と同じ生年月
日のレコードが6人おり、うち3人が男性で、郵便番号から1人に特定された。
15. 15
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
情報の匿名化
海外で取られている対策等
米国の取り組み
Federal Trade Commisionは以下3条件
を満たせば、当該データは合理的な連
結可能なデータに当たらないとしてい
る
(FTCの3原則)
①与えられるデータセットが合理的に識別可能でなく
②当該事業者がそれを再識別化しないことを公式に約
束し
③当該事業者が当該データの全ての「下流」に利用者
に対してそれを非識別かしたままの形で扱うことを要
健康情報に関する取扱い方法についてはガイ求ドしラたイ場ンを合定めている。
Health Insurance Portability and Accountability Act of 1996 (HIPAA) Privacy Rule
以下の情報が除外されていること
・名前
・州単位以下の情報が住所情報
ただし、郵便番号の最初3桁は、それに該当する人口が2万人以上and2
万人以下の郵便番号が全て000に変換されているのであれば、保持でき
る
・月日に関する情報
YearはOK・ただし、年齢情報も90歳以上は1単位として取り扱うこと
・電話番号、fax番号、email
・社会保障番号、医療カルテ番号、医療保険番号、あらゆる口
座番号、あらゆる証明書番号
2つの非特定化を選択できる
・Safe Harbor Method
・Expert Determination method
統計処理や科学的根拠をもって個人を特定でき
なくする方法
上記によって、個人の特定されるリスクが単
独でもしくは容易に準備できるデータと掛
け合わせでも小さいことが認められることが
求められる
それを手法やその分析結果に関する書類によっ
て証明できる
17. 17
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
情報の匿名化_解決編
データの利用と成果発表を分別することが求められるのでは?
研究での利用成果発表での利用
識別特定
データ
識別非特
定データ
非識別非
特定デー
タ
個人情報× × ×
準個人情
報
×
内部利用の
み
内部・第三
者利用可
その他の
情報
×
内部・第三
者利用可
内部・第三
者利用可
識別特定
状態
識別非特
定状態
非識別非
特定状態
個人情報× × ×
準個人情
報
×
本人合意
必要
発表可能
その他の
情報
× 発表可能発表可能
社会に発信し、その他の情報と照らし合わせられる状態になることがリ
スクであると考え、適切な処置を行うのが妥当だと考える。
18. 18
個人特定性低減データ
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
情報の匿名化_解決編
匿名化プロセス案
生データ
個人情報
準個人情報
その他の情報
原則削除
仮名化も
特定化リス
クの高いも
のを選択し
て処理
識別
非特定
データ
DBの有用性を
検証するための
属性統計データ
必要に応じて
統計データを
生成して提供
集計
仕分け
集計
生データへのアクセスを防ぐため、
このプロセスをシステムにて自動的に行うことが必
要
トラッキング用個人情報照合
データを作り、事務局保管
非識別非特定
データ
データ利用者が悪用をすることはもちろん、
システム運営者が誤ってデータにアクセスをする事態も防ぐことが必要
19. 19
SatoshiTaniguchi2014
医療・ヘルスケアの情報利活用に向けて
申請・許可+ データ提供
申請
提供
体制が十分整った企業等にのみ情報を提供する
提供する情報はトラッキングができる体制にする
情報の提供形態に関わらず、提供のトラッキングができるようにする
情報を提供する
情報を利活用する
民間企業の場合医療機関の場合
利用団体申請
・事業目的
・情報の取り扱い体制
参画医療機関申請
・参画目的
・情報の取り扱い体制
運営協議会で審査
データベースに関する属性情報が参照可能に
男女、年齢、疾病など
研究計画申請
・研究目的、期間
・求めるデータの仕様
・情報の取り扱い方法
・成果活用方法
研究計画申請
・研究目的、期間
・求めるデータの仕様
・情報の取り扱い方法
・成果活用方法
運営協議会で審査
非特定非識別情報提供非特定識別情報も提供