レギュラトリーサイエンス基礎セミナー３ 「倫理指針・臨床研究法と個人情報保護」

1. 医療ビッグデータ利活用と個人情報保護
～欧米から見た日本の規制～
2017年6月1日

2. AGENDA
1. 日米欧の個人データ、匿名化／非識別化に
関する定義の比較
2. 欧州と米国の個人データ保護法制
3. 日本の個人情報保護法制
4. 国際ハーモナイゼーションに向けての課題
2

3. 1. 日米欧の個人データ、匿名化／非識別化に
関する定義の比較
3
1-1. 個人データの定義
1-2. 匿名化情報・非識別化情報の定義

4. 1-1. 個人データの定義(1)
4
＜欧州・米国＞
国・地域 用語 定義
欧州 「個人データ」
（出典：EU一
般データ保護
規 則 、 2018
年5月適用開
始）
「個人データ」とは、識別された又は識別され得る自然人（以下
「データ主体」という。）に関するあらゆる情報を意味する。識別
され得る自然人は、特に、氏名、識別番号、位置データ、オンラ
イン識別子のような識別子、又は当該自然人に関する物理的、
生理的、遺伝子的、精神的、経済的、文化的若しくは社会的ア
イデンティティに特有な一つ若しくは複数の要素を参照すること
によって、直接的に又は間接的に、識別され得る者をいう。
米国 「個人データ」
（出典：米国
プライバシー
権 利 章 典 、
2012年2月）
プライバシー権利章典は、個人データの商業利用に適用される。
この用語（個人データ）は、特定の個人に連結可能な全ての
データをいい、集約されたデータを含む。個人データは、特定の
コンピュータその他のデバイスに連結するデータも含みうる。例
えば、利用記録を作成するために使われるスマートフォンや家
庭のコンピュータの識別子は個人データである。

5. 1-1. 個人データの定義(2)
5
<日本>
国・地域 用語 定義
日本 「個人情報」
「 個 人 デ ー
タ」「保有個
人 デ ー タ 」
（出典：改正
個人情報保
護 法 、 2017
年5月（本格
施行）
「個人情報」とは、生存する個人に関する情報であって、次の各
号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等）により
特定の個人を識別することができるもの（他の情報と容易に照
合することができ、それにより特定の個人を識別することができ
ることとなるものを含む。）
二 個人識別符号が含まれるもの
また、個人情報をデータベース化した場合、そのデータベースを
構成する個人情報を、特に「個人データ」といい、そのうち、事業
者が開示等の権限を有し６か月以上にわたって保有する個人情
報を、特に「保有個人データ」という。

6. 1-2. 匿名化情報・非識別化情報の定義(1)
6
欧州・米国
国・地域 用語 定義
欧州 「匿名化」（出典：第29条
データ保護作業部会「匿
名化技術に関する意見
書」（2014年4月10日）
匿名化：データは、管理者または第三者が利用可
能な、合理的に可能性のあるあらゆる手段を用い
ても、二度と自然人を特定できないような方法で、
処理されるべきである
米国 「非識別化」（出典：保健
福祉省「HIPAAプライバ
シー規則に準拠した保護
保健情報の非識別化方
法に関するガイドライン」
（2012年11月）
「非識別化された保護保健情報（PHI）」とは、個人
を識別しない保健情報で、その情報が個人を識別
するために利用可能であると信じるに足る相当な
基盤が無いもの

7. 1-1. 匿名化情報・非識別化情報の定義(2)
7
<日本>
国・地域 用語 定義
日本 匿 名 化 ( 出
典 ： 改 正 個
人情報保護
法）
匿名化：特定の個人（死者を含む）を識別することができることと
なる記述等（個人識別符号を含む）の全部又は一部を削除する
こと（当該記述等の全部又は一部を当該個人と関わりのない記
述等に置き換えることを含む）をいう。
匿名加工情
報（出典：改
正個人情報
保護法)
＊照合禁止
義務を定め
ている
匿名加工情報：個人情報の区分に応じてそれぞれ次に定める
措置を講じて特定の個人を識別することができないように個人
情報を加工して得られる個人に関する情報であって、当該個人
情報を復元することができないようにしたもの
①個人情報（個人識別符号を除く）：当該個人情報に含まれる記述等の
一部を削除すること（当該一部の記述等を復元することのできる規則性
を有しない方法により他の記述等に置き換えることを含む）
②個人識別符号が含まれるもの：当該個人情報に含まれる個人識別符
号の全部を削除すること（当該一部の記述等を復元することのできる規
則性を有しない方法により他の記述等に置き換えることを含む）

8. 1-1. 匿名化情報・非識別化情報の定義(3)
8
<日本>
国・地域 用語 定義
日本 非識別加工
情報(出典：
行政機関個
人情報保護
法、独立行
政法人等個
人情報保護
法）
＊照合禁止
義務を定め
ていない
非識別加工情報：行政機関個人情報保護法又は独立行政法人
等個人情報保護法の適用を受ける個人情報の区分に応じてそ
れぞれ次に定める措置を講じて特定の個人を識別することがで
きないように個人情報を加工して得られる個人に関する情報で
あって、当該個人情報を復元することができないようにしたもの
①個人情報（個人識別符号を除く）：当該個人情報に含まれる記
述等の一部を削除すること（当該一部の記述等を復元すること
のできる規則性を有しない方法により他の記述等に置き換える
ことを含む）
②個人識別符号が含まれるもの：当該個人情報に含まれる個
人識別符号の全部を削除すること（当該一部の記述等を復元す
ることのできる規則性を有しない方法により他の記述等に置き
換えることを含む）

9. 1-1. 匿名化情報・非識別化情報の定義(4)
9
<日本>
国・地域 用語 定義
日本 医療情報(出
典 ： 次 世 代
医 療 基 盤
法）
医療情報：特定の個人の病歴その他の当該個人の心身の状態
に関する情報であって、当該心身の状態を理由とする当該個人
又はその子孫に対する不当な差別、偏見その他の不利益が生
じないようにその取扱いに特に配慮を要するものとして政令で定
める記述等に記載され、若しくは記録され、又は音声、動作その
他の方法を用いて表された一切の事項（個人識別符号を除く）
であるものが含まれる個人に関する情報のうち、次の各号のい
ずれかに該当するもの
①当該情報に含まれる氏名、生年月日その他の記述等により
特定の個人を識別できるもの（他の情報と容易に照合すること
ができ、それにより特定の個人を識別することができることとな
るものを含む。）
②個人識別符号が含まれるもの

10. 1-1. 匿名化情報・非識別化情報の定義(5)
10
<日本>
国・地域 用語 定義
日本 匿名加工医
療 情 報 ( 出
典 ： 次 世 代
医 療 基 盤
法）
＊照合禁止
義務を定め
ている
匿名加工医療情報：医療情報の区分に応じてそれぞれ次に定
める措置を講じて特定の個人を識別することができないように医
療情報を加工して得られる個人に関する情報であって、当該医
療情報を復元することができないようにしたもの
①医療情報：当該医療情報に含まれる記述等の一部を削除す
ること（当該一部の記述等を復元することのできる規則性を有し
ない方法により他の記述等に置き換えることを含む）
②個人識別符号が含まれるもの：当該医療情報に含まれる個
人識別符号の全部を削除すること（当該一部の記述等を復元す
ることのできる規則性を有しない方法により他の記述等に置き
換えることを含む）

11. (参考）インフォームド・コンセント等の手続について
～オプトイン or オプトアウト以前の問題
11
欧州
被験者保護ルールと医療情報保護ルールが必ずし
も一体でない（倫理審査とは別に、情報利用のため
の手続を課す場合もある）
米国
研究参加の「同意」（informed consent）と情報提供
の「同意」（authorization）を区別
日本
被験者保護ルールと医療情報保護ルールが一体化
研究参加のインフォームド・コンセントや個別結果の
返却といった研究倫理上の問題が個人情報保護法
の用語で規定される

12. 2. 欧州と米国の個人データ保護法制
12
2-1. 欧州の個人データ保護法制
2-2. 米国の個人データ保護法制

13. 2-1. 欧州の個人データ保護法制 (1)
EU一般データ保護規則（GDPR、2018年5月適用開
始）のポイント
EU全域に適用される単一の法規制の設定による
効率化
「忘れ去られる権利」を始めとする個人データ保護
の権利の強化・追加
ヨーロッパの土壌にはヨーロッパ法を適用
独立したデータ保護機関による監督権限の強化
企業や個人が一国の監督機関に対応すれば済む
「ワンストップショップ」の導入
13

14. 2-1.欧州の個人データ保護法制 (2)
GDPRにおける個人データの取扱い
個人データを取り扱うためには、「本人の明確な同意」が必要
機微データ（例．人種、民族的出自、政治的思想等を明らかに
するような個人データ、および遺伝データ、生体データまたは健
康、性生活、性的志向についてのデータ）の取扱いは原則とし
て禁止され、例外的に本人の同意がある場合などに限り認めら
れている
「識別された又は識別され得る」自然人（例）：氏名、識別番号
、位置データ、オンライン識別子のような識別子、又は当該自
然人に関する物理的、生理的、遺伝子的、精神的、経済的、文
化的若しくは社会的アイデンティティに特有な一つ若しくは複数
の要素を参照することによって、直接的に又は間接的に、識別
され得る者をいう
14

15. 2-1.欧州の個人データ保護法制 (3)
GDPRにおける管理者・処理者の責務
管理者（Controller）：単独またはその他と共同して、個人デー
タの処理を行う自然人、法人、公的機関、当局またはその他の
団体
• データ保護・バイ・デザイン、データ保護・バイ・デフォルト
• 個人データ侵害時の監督機関への通知義務
• 個人データ侵害時のデータ主体への通知義務
• データ保護影響評価
• データ・プロテクション・オフィサー（DPO）の設置 など
処理者(Processor）：管理者のために個人データを処理する自
然人、法人、公的機関、当局またはその他の団体
15

16. 2-1.欧州の個人データ保護法制 (4)
EU域外の第三国への個人データの移転
十分なレベルの保護措置（欧州委員会が十分性を認定する）
を確保していない第三国への個人データ移転を禁止
例外的に個人データの域外移転が認められる条件：
•個別に本人の同意を得る
•欧州委員会が認めた標準契約条項（SCC：Standard Contract
Clauses）を使用した契約を個別に締結する
•拘束的企業準則（Binding Corporate Rules）をグループ企業内
で策定し、加盟国の各プライバシー・コミッショナーの認証を得
れば、グループ企業内で個人データの域外移転が可能に
16

17. 2-1.欧州の個人データ保護法制 (5)
GDPR遵守状況に対する監督・監督
各EU加盟国の監督当局が、調査権限、是正権限、および承認
・勧告権限を有する
ワンストップショップ制度の導入
•管理者・処理者の主たる拠点の監督当局が、国境を越えた処
理に関する主要監督当局としての役割を担う
一貫性制度の導入
•各EU加盟国の監督当局の代表者および欧州データ保護監視
官局からなる欧州データ保護会議（EDPB：European Data
Protection Board ）が諮問機関・上級委員会の機能を担う
17

18. 2-1.欧州の個人データ保護法制 (6)
GDPR違反に対する制裁金の仕組み
制裁金の上限の累計
•前事業年度の企業の全世界年間売上高の4％以下または
2000万ユーロのいずれか高い方～GDPRの基本原則に違反
した場合など
•前事業年度の企業の全世界年間売上高の2％以下または
1000万ユーロのいずれか高い方～管理者の義務を果たさな
い場合など
18

19. 2-1. 欧州の個人データ保護法制 (7)
EU第29条データ保護作業部会「匿名化技術に関す
る意見書」（2014年4月10日）
個人データ匿名化技術の適正利用基準
• 個人を選定することは依然として可能か
• 個人に関する記録とリンクさせることは依然として可能か
• 個人に関して情報を推測することは可能か
匿名化技術が工学的に適正な形で適用された場合
のみに、プライバシーを保証することができ、効率的
な匿名化プロセスを作り出すのに役立てられる
具体的匿名化手法（例）
• ノイズ付加、置換、差分プライバシー、集約、k-匿名化、I-多様性、t-近
似性など
19

20. 2-1. 欧州の個人データ保護法制 (8)
欧州ネットワーク情報セキュリティ庁（ENISA）
「ビッグデータにおけるプライバシー・バイ・デザイン」
（2015年12月）
「匿名化」：個人が再識別できず、個人に関する情
報を知ることができないような方法で、個人データを
修正するプロセス
•「データセットの有用性を損なうこと無しに利用できる、完璧
な匿名化技術を実現することは難しい」
20

21. 2-1. 欧州の個人データ保護法制 (9)
ビッグデータ利用における欧州での個人データ匿名
化技術（例）
21
出典：ENISA「Privacy by design in big data」（2015年12月）を基にヘルスケアクラウド研究会作成（2016年9月）

22. 2-1. 欧州の個人データ保護法制 (10)
欧州医薬品庁（EMA）
「ヒト用医療製品の臨床データ公開に関する欧州医
薬品庁政策導入の外部向けガイドライン第1.2版」
（2017年4月）
臨床報告書の匿名化のアプローチ
•マスキング：最も簡単な手法として、特定の情報を最適化
する編集ツールにより、マスキングが達成される
•ランダム化：個人をより特定できないように、ランダム化は
データを変更する
•一般化：例えば、個人の名前を年齢層で代替するなど、デ
ータの属性を希薄化する
22

23. 2-2. 米国の個人データ保護法制 (1)
FTCの非個人識別情報（Non-PII）3要件
「急速な変化の時代における消費者プライバシー保護」（2012年3月）
事業者はそのデータの非識別化を確保するために合理的な
措置を講ずるべきである。
事業者はそのデータを非識別化された形態で保有及び利用
し、そのデータの再識別化を試みないことを、公に約束すべき
である。
事業者がかかる非識別化されたデータを他の事業者に提供
する場合には、それがサービス提供事業者であろうとその他
の第三者であろうと、その事業者がデータの再識別化を試み
ることを契約で禁止すべきである。この際、非識別化されたデ
ータと元の識別可能なデータの双方を保持・使用する場合は、
これらのデータは別々に保管することとすべきである。
23

24. 2-2. 米国の個人データ保護法制 (2)
保健福祉省・公民権室（OCR）
「HIPAA／HITECH総括的規則」（2013年9月適用開始）
24
年月日 内容
2009年8月24日 HITECH法（Health Information Technology for Economic and Clinical Health
Act of 2009） 暫定的最終規則（IFR：Interim Final Rule）（データ漏えい）
2009年10月7日 遺伝子情報差別禁止法（GINA：Genetic Information Nondiscrimination Act of
2008） 規則制定案告示（NPRM）（GINA規則）
2009年10月30日 HITECH法 暫定的最終規則（IFR）（執行）
2010年7月14日 HITECH法 規則制定案告示（NPRM：Notice of Proposed Rulemaking）
（HITECH規則）
2013年1月25日 HIPAA総括規則（データ漏えい、執行、HITECH規則、GINA規則）公表
2013年3月26日 HIPAA総括規則（データ漏えい、執行、HITECH規則、GINA規則）施行
2013年9月23日 適用対象主体および事業提携者（BA：Business Associates）の遵守義務開始

25. 2-2. 米国の個人データ保護法制 (3)
「HIPAA／HITECH総括的規則」のスコープ
漏えい発生時の通知基準の改正
電子健康記録（EHR）に含まれる情報に対する患者のアクセス
事業提携者（BA：Business Associates）および下請け事業者に対する規制
許諾のないマーケティングにおける保護対象保健情報（PHI）の利用／開示
の制限
許諾のない保護対象保健情報（PHI）の販売の禁止
データの研究利用 - 複合的、より一般的な許諾
患者が保険者とのデータ共有を制限する権利
プライバシーの取り扱いの通知を修正／再配布するための要件
契約査定のための遺伝子情報利用に対する制限の包含
民事制裁金（CMP：Civil Money Penalty）の執行／賦課および代理人行為
の民事制裁金負債における保健社会福祉省（HHS）長官の役割の明確化
25

26. 2-2. 米国の個人データ保護法制 (4)
「HIPAA／HITECH総括的規則」における
保護対象保健情報（PHI）の利用
事業提携者（BA）は、事業提携契約書（BAA）で認められた場合もしくは法
令で要求された場合のみ、保護対象保健情報（PHI）を利用／開示できる
事業提携者（BA）は、プライバシー規則に違反する方法で、保護対象保健
情報（PHI）を利用／開示することはできない
下請け事業者は、適用主体と事業提携者（BA）間の契約書に基づき、制限
することがある（下請け契約書で通知することが必要）
必要最低限の規則に準拠していない場合、事業提携者（BA）は、利用／開
示することが許されない
下請事業者に法令違反があることを知りながら、漏えい対策など、妥当な処
置を講じない場合もしくは処置が不十分で契約関係を終了した場合、事業提
携者（BA）は、遵守していないとみなされることがある
26

27. 2-2.米国の個人データ保護法制 (5)
保健福祉省・公民権室（OCR）「医療保険の携行性と責任に関す
る法律（HIPAA）プライバシー規則に準拠した保護保健情報の非
識別化方法に関するガイドライン」（2012年11月）
非識別化された保護保健情報
＝個人を識別しない保健情報で、
その情報が個人を識別するため
に利用可能であると信じるに足る
相当な基盤が無いもの
統計手法による「専門家による決定
（Expert Determination）」方式
直接識別子を取り除く
「セーフハーバー（Safe Harbor）」方式
27
出典：米国保健福祉省（HHS）「Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the
Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule」（2012年11月26日）
（http://www.hhs.gov/hipaa/for-professionals/privacy/special-topics/de-identification/index.html）

28. 2-2.米国の個人データ保護法制 (6)
保健福祉省・公民権室（OCR）「医療保険の携行性と責任に関す
る法律（HIPAA）プライバシー規則に準拠した保護保健情報の非
識別化方法に関するガイドライン」（2012年11月）
直接識別子：
氏名、住所、日付、電話番号、FAX 番号、電子メールアドレス、
社会保障番号（SSN）、カルテ番号、健康保険受給者番号、口
座番号、証明証番号、車体番号、機器ID、WebのURL、IPアドレ
ス、生体認証ID、顔写真、その他の固有識別番号・特徴・コード
28

29. 2-2.米国の個人データ保護法制 (7)
リスクベースアプローチによる非識別化手法
直接識別子と間接識別子の区別：データセットから「直接識別子」と
直接識別子以外で個人を特定することができる「間接識別子（準識
別子）」を抽出する
リスクしきい値の設定：データ共有のために許容できるプライバシー
リスクを評価する
起こり得る脅威のモデリング：攻撃が起きる確率を妥当な方法で見
積もる
データの非識別化：一般化（フィールドの正確さを下げる）、秘とく（
データセットの値をNULL値に置き換える）、サブサンプリング（ランダ
ムに選んだサンプルだけ開示する）などの手法により、データセット
を非識別化する
プロセスの文書化：非識別化するために実行したプロセスやアウト
プット、エビデンスなどを文書化する
29

30. 2-2.米国の個人データ保護法制 (8)
非識別化技術（例）
＊プライバシーを完全に保証できるレベルまでは至っていない
「摂動（Perturbation）」：データセットをランダム化することによ
ってセンシティブなデータを見えないようにする、
「マルチパーティ計算方式」：データを秘密裏に分散させた上で
演算処理を行う暗号化手法
「差分プライバシー（Differential Privacy）」：計算処理上の負荷
とノイズのある結果を加えながらセキュアなことを証明する
「k-匿名化（k-anonymity）」：間接識別子（準識別子）がk個以
上存在するようにすることで個人が特定されるリスクを低減す
る
30

31. 2-2.米国の個人データ保護法制 (9)
保健福祉省・公民権室（OCR）
イリノイ州・小児消化器医療センター（CCDH）のHIPAA違反事案
（2017年4月公表）
事業提携契約書（BAA）を締結する
ことなく、事業提携者（BA）に該当す
る外部ベンダーに、保護対象保健情
報（PHI）を含む記録のファイルストレ
ージ保存を委託していたことが、OCR
のコンプライアンスレビューで発覚
民事制裁金31,000米ドルを支払い、
是正処置計画を実行することで合意
31
出典：Department of Health and
Human Services「No Business
Associate Agreement? $31K Mistake」
（2017年4月20日）

32. 2-2.米国の個人データ保護法制 (10)
保健福祉省・公民権室（OCR）
HIPAA違反に対する強制措置の概況（2017年3月31日現在）
2003年4月以降、苦情受付件数：152,759件
修正・是正処置を求めた事案：延べ24,986件
民事制裁金が課せられた事案：計47件
制裁金総額：67,210,982米ドル
1件当たり平均制裁金額：1,430,020米ドル
＝約1億6,159万円（1米ドル＝113円換算）
32

33. 3. 日本の個人情報保護法制
33
3-1. 人を対象とする医学系研究に関する倫理指針
3-2. マイナンバー制度
3-3. 改正個人情報保護法
3-4. 行政機関・独立行政法人等の個人情報保護
3-5. 官民データ活用推進基本法
3-6. 次世代医療基盤法

34. 3-1.人を対象とする医学系研究に関する倫理指針(1)
人を対象とする医学系研究に関する倫理指針改正（2017年2月）
用語の定義の見直し
• 個人識別符号、要配慮個人情報、匿名加工情報及び非識別加工情報の用
語を追加する一方、連結不可能匿名化及び連結可能匿名化」の用語を廃止
インフォームド・コンセント等の手続の見直し
• 試料・情報の新規取得、自らの研究機関での利用、他の研究機関への提供
等の手続の見直し
• 研究対象者等に通知し、又は公開すべき事項の整理（オプトアウトの手続等
を行う場合の通知又は公開すべき事項を整理・統一し、規定を追加）
• 試料・情報の提供に関する記録の作成及び保管の義務の追加
• 海外にある者への試料・情報の提供に関する規定の追加
34

35. 3-1.人を対象とする医学系研究に関する倫理指針(2)
（続き）
匿名加工情報及び非識別加工情報の取扱いに関する規
定の追加
• 適用範囲：既に作成されている匿名加工情報又は非識別加工情報を
取り扱う場合は、新指針を適用しない（大学その他の学術研究を目的
とする機関若しくは団体又はそれらに属する者が学術研究の用に供
する目的で取り扱う場合は、新指針の「匿名加工情報の取扱い」のみ
適用する）
匿名加工情報又は非識別加工情報を作成して取り扱う場
合の手続の追加
新指針の規定の追加
経過措置
35

36. 3-2. マイナンバー制度（1）
特定個人情報保護委員会
「特定個人情報の適正な取扱いに関するガイドライン」
（2017年5月改正）
36
用語 定義
個人情報 「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当す
るものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等）により特定の個人を識別する
ことができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別
することができることとなるものを含む。）
二 個人識別符号が含まれるもの
個人番号 番号法第７条第１項又は第２項の規定により、住民票コードを変換して得られる番号で
あって、当該住民票コードが記載された住民票に係る者を識別するために指定されるも
のをいう。
特定個人
情報
個人番号（個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の
符号であって、住民票コード以外のものを含む。番号法第７条第１項及び第２項、第８条
並びに第67条並びに附則第３条第１項から第３項まで及び第５項を除く。）をその内容に
含む個人情報をいう。

37. 3-2. マイナンバー制度（2）
（続き）
37
用語 定義
個人情報
データベース
等
個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用い
て検索することができるように体系的に構成したもののほか、特定の個人情報を容易
に検索することができるように体系的に構成したものとして「個人情報の保護に関する
法律施行令」（平成15年政令第507号。以下「個人情報保護法施行令」という。）で定め
るものをいう。
個人情報ファ
イル
個人情報データベース等であって、行政機関及び独立行政法人等以外の者が保有す
るものをいう。
特定個人情
報ファイル
個人番号をその内容に含む個人情報ファイルをいう。
個人データ 個人情報データベース等を構成する個人情報をいう。
保有個人
データ
個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び
第三者への提供の停止を行うことのできる権限を有する個人データであって、その存
否が明らかになることにより公益その他の利益が害されるものとして個人情報保護法
施行令で定めるもの又は６か月以内に消去することとなるもの以外のものをいう。

38. 3-2. マイナンバー制度（3）
特定個人情報に関する安全管理措置
38
措置 内容
番号法における
安全管理措置
の考え方
・事業者は、個人番号及び特定個人情報の漏えい、滅失又は毀損の防止等のため
の安全管理措置の検討に当たり、次に掲げる事項を明確にする。
Ａ 個人番号を取り扱う事務の範囲
Ｂ 特定個人情報等の範囲
Ｃ 特定個人情報等を取り扱う事務に従事する従業者（事務取扱担当者）
安全管理措置
の検討手順
・事業者は、特定個人情報等の適正な取扱いに関する安全管理措置について、次
のような手順で検討を行う。
Ａ 個人番号を取り扱う事務の範囲の明確化
Ｂ 特定個人情報等の範囲の明確化
Ｃ 事務取扱担当者の明確化
Ｄ 特定個人情報等の安全管理措置に関する基本方針（基本方針）の策定
Ｅ 取扱規程等の策定

39. 3-2. マイナンバー制度（4）
特定個人情報に関する安全管理措置（続き1）
39
措置 内容
基本方針の策
定
・特定個人情報等の適正な取扱いの確保について組織として取り組むために、基
本方針を策定する。
―事業者の名称
―関係法令・ガイドライン等の遵守
―安全管理措置に関する事項
―質問及び苦情処理の窓口 等
取扱規程等の
策定
・明確化した事務において事務の流れを整理し、特定個人情報等の具体的な取扱
いを定める取扱規程等を策定する。
① 取得する段階
② 利用を行う段階
③ 保存する段階
④ 提供を行う段階
⑤ 削除・廃棄を行う段階

40. 3-2. マイナンバー制度（5）
特定個人情報に関する安全管理措置（続き2）
40
措置 内容
組織的安全管理措置 ・組織体制の整備
・取扱規程等に基づく運用
・取扱状況を確認する手段の整備
・情報漏えい等事案に対応する体制の整備
・取扱状況の把握及び安全管理措置の見直し
人的安全管理措置 ・事務取扱担当者の監督
・事務取扱担当者の教育
物理的安全管理措置 ・特定個人情報等を取り扱う区域の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏えい等の防止
・個人番号の削除、機器及び電子媒体等の廃棄
技術的安全管理措置 ・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報漏えい等の防止

41. 3-2. マイナンバー制度（6）
改正マイナンバー法のポイント
＜マイナンバーの利用範囲の拡大等について＞
41
ポイント 内容
預貯金口座へ
のマイナンバー
の付番
・預金保険機構等によるペイオフのための預貯金額の合算において、マイナンバー
の利用を可能とする。
・金融機関に対する社会保障制度における資力調査や税務調査でマイナンバーが
付された預金情報を効率的に利用できるようにする。
医療等分野に
おける利用範
囲の拡充等
・健康保険組合等が行う被保険者の特定健康診査情報の管理等に、マイナンバー
の利用を可能とする。
・予防接種履歴について、地方公共団体間での情報提供ネットワークシステムを利
用した情報連携を可能とする。
地方公共団体
の要望を踏ま
えた利用範囲
の拡充等
・すでにマイナンバー利用事務とされている公営住宅（低所得者向け）の管理に加え
て、特定優良賃貸住宅（中所得者向け）の管理において、マイナンバーの利用を可
能とする。
・地方公共団体が条例により独自にマイナンバーを利用する場合においても、情報
提供ネットワークシステムを利用した情報連携を可能とする。
・地方公共団体の要望等を踏まえ、雇用、障害者福祉等の分野において利用事務、
情報連携の追加を行う。

42. 3-3. 改正個人情報保護法（1）
改正個人情報保護法のポイント
42
ポイント 内容
個人情報の定義の明確
化
・個人情報の定義の明確化（身体的特徴等が該当）
・要配慮個人情報（いわゆる機微情報）に関する規定の整備
適切な規律の下で個人
情報等の有用性を確保
・匿名加工情報に関する加工方法や取扱等の規定の整備
・個人情報保護指針の作成や届け出、公表等の規定の整備
個人情報の保護を強化 ・トレーサビリティの確保（第三者提供に係る確認および記録の作成義務）
・不正な利益を図る目的による個人情報データベース等提供罪の新設
個人情報保護委員会の
新設およびその権限
・個人情報保護委員会を新設し、現行の主務大臣の権限を一元化
個人情報の取扱のグ
ローバル化
・国境を越えた適用と外国執行当局への情報提供に関する規定の整備
・外国にある第三者への個人データの提供に関する規定の整備
その他改正事項 ・本人同意を得ない第三者提供（オプトアウト規定）の届出、公表等厳格化
・利用目的の変更を可能とする規定の整備
・取り扱う個人情報が5,000人以下の小規模取扱事業者への滞欧

43. 3-3. 改正個人情報保護法（2）
個人情報の定義の明確化(1)
43
用語 定義
個人情報 ・生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
①生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他
の記述等により特定の個人を識別することができるもの
②個人識別符号が含まれるもの
個人識別符
号
「個人識別符号」は以下①②のいずれかに該当するものであり、政令・規則で個別に
指定される。
① 身体の一部の特徴を電子計算機のために変換した符号
⇒ＤＮＡ、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋
② サービス利用や書類において対象者ごとに割り振られる符号
⇒公的な番号
旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、
各種保険証等
要配慮個人
情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その
他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特
に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

44. 3-3. 改正個人情報保護法（3）
個人情報の定義の明確化(2)
44
用語 定義
要配慮個人
情報
取得については、原則として事前に本人の同意を得る必要のある情報。
個人情報保護法の改正により新たに導入された定義。
次のいずれかに該当する情報を「要配慮個人情報」とし、一段高い規律とする。
・人種、信条、社会的身分、病歴、前科、犯罪被害情報
・その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとし
て政令で定めるもの
◯ 身体障害・知的障害・精神障害等があること
◯ 健康診断その他の検査の結果
◯ 保健指導、診療・調剤情報
◯ 本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行わ
れたこと
◯ 本人を非行少年又はその疑いのある者として、保護処分等の少年の保護
事件に関する手続が行われたこと

45. 3-3. 改正個人情報保護法（4）
匿名加工情報の取扱
45
出典：内閣官房「パーソナルデータの利活用に関する制度改正に係る法律案の骨子（案）」（2014年12月）

46. 3-3. 改正個人情報保護法（5）
個人情報の取扱のグローバル化
46
出典：内閣官房「パーソナルデータの利活用に関する制度改正に係る法律案の骨子（案）」（2014年12月）

47. 3-4.行政機関・独立行政法人等の個人情報保護(1)
行政機関個人情報保護法
行政機関が守るべき個人情報の取扱いに関するルールとして、
保有の制限、利用目的の明示、正確性の確保、安全確保の措
置、個人情報の取扱いに従事する者の義務及び利用・提供の制
限等を定めている
＊個人情報保護法と異なり、照合禁止義務を定めていない
行政機関非識別加工情報取扱事業者
• 行政機関非識別加工情報ファイルを事業の用に供している者（国の機関、
独立行政法人等、地方公共団体、地方独立行政法人を除く）
• 個人情報保護法上の匿名加工情報取扱事業者に係る規律の対象となる
47

48. 3-4.行政機関・独立行政法人等の個人情報保護(2)
行政機関非識別加工情報
次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報
の全部又は一部を加工して得られる非識別加工情報をいう。
• (1) 第11条第2項各号のいずれかに該当するもの又は同条第3項の規定により同条
第1項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと。
• (2) 行政機関情報公開法第3条に規定する行政機関の長に対し、当該個人情報ファ
イルを構成する保有個人情報が記録されている行政文書の同条の規定による開示
の請求があったとしたならば、当該行政機関の長が次のいずれかを行うこととなるも
のであること。
イ 当該行政文書に記録されている保有個人情報の全部又は一部を開示する旨
の決定をすること。
ロ 行政機関情報公開法第13条第1項又は第2項の規定により意見書の提出の
機会を与えること。
• (3) 行政の適正かつ円滑な運営に支障のない範囲内で、第44条の10第1項の基準
に従い、当該個人情報ファイルを構成する保有個人情報を加工して非識別加工情
報を作成することができるものであること。
48

49. 3-4.行政機関・独立行政法人等の個人情報保護(3)
行政機関非識別加工ファイル
行政機関非識別加工情報を含む情報の集合物であって、次
に掲げるものをいう。
•(1) 特定の行政機関非識別加工情報を電子計算機を用いて
検索することができるように体系的に構成したもの
•(2) 前号に掲げるもののほか、特定の行政機関非識別加工
情報を容易に検索することができるように体系的に構成した
ものとして政令で定めるもの
49

50. 3-4.行政機関・独立行政法人等の個人情報保護(4)
独立行政法人等個人情報保護法
独立行政法人等が守るべき個人情報の取扱いに関するルール
として、保有の制限、利用目的の明示、正確性の確保、安全確
保の措置、個人情報の取扱いに従事する者の義務及び利用・提
供の制限等を定めている
＊個人情報保護法と異なり、照合禁止義務を定めていない
独立行政法人等非識別加工情報取扱事業者
• 独立行政法人等非識別加工情報ファイルを事業の用に供している者（国の
機関、独立行政法人等、地方公共団体、地方独立行政法人を除く）
• 個人情報保護法上の匿名加工情報取扱事業者に係る規律の対象となる
50

51. 3-4.行政機関・独立行政法人等の個人情報保護(5)
独立行政法人等非識別加工情報
次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報
の全部又は一部を加工して得られる非識別加工情報をいう。
• (1) 第11条第2項各号のいずれかに該当するもの又は同条第 3 項の規定により同条
第1項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと。
• (2) 独立行政法人等情報公開法第2条第1項に規定する独立行政法人等に対し、当
該個人情報ファイルを構成する保有個人情報が記録されている法人文書の同条の
規定による開示の請求があったとしたならば、当該独立行政法人等の長が次のい
ずれかを行うこととなるものであること。
イ 当該行政文書に記録されている保有個人情報の全部又は一部を開示する旨
の決定をすること。
ロ 独立行政法人等情報公開法第 14 条第 1 項又は第 2 項の規定により意見書
の提出の機会を与えること。
• (3) 独立行政法人等の適正かつ円滑な運営に支障のない範囲内で、第44条の10第
1項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して非識
別加工情報を作成することができるものであること。
51

52. 3-4.行政機関・独立行政法人等の個人情報保護(6)
独立行政法人等非識別加工ファイル
独立行政法人等非識別加工情報を含む情報の集合物であ
って、次に掲げるものをいう。
•(1) 特定の独立行政法人等非識別加工情報を電子計算機を
用いて検索することができるように体系的に構成したもの
•(2) 前号に掲げるもののほか、特定の独立行政法人等非識
別加工情報を容易に検索することができるように体系的に
構成したものとして政令で定めるもの
52

53. 3-5.官民データ活用推進基本法(1)
官民データ活用推進基本法の概要
目的：インターネットその他の高度情報通信ネットワークを
通じて流通する多様かつ大量の情報を活用することにより、
急速な少子高齢化の進展への対応等の我が国が直面する
課題の解決に資する環境をより一層整備することが重要で
あることに鑑み、官民データの適正かつ効果的な活用（「官
民データ活用」という。）の推進に関し、基本理念を定め、国
等の責務を明らかにし、並びに官民データ活用推進基本計
画の策定その他施策の基本となる事項を定めるとともに、官
民データ活用推進戦略会議を設置することにより、官民デー
タ活用の推進に関する施策を総合的かつ効果的に推進し、
もって国民が安全で安心して暮らせる社会及び快適な生活
環境の実現に寄与する
53

54. 3-5.官民データ活用推進基本法(2)
官民データ活用推進基本計画等
政府による官民データ活用推進基本計画の策定
都道府県による都道府県官民データ活用推進計画の策定
市町村による市町村官民データ活用推進計画の策定（努力義務）
官民データ活用推進戦略会議
IT戦略本部の下に官民データ活用推進戦略会議を設置
官民データ活用推進戦略会議の組織（議長は内閣総理大臣）
計画の案の策定及び計画に基づく施策の実施等に関する体制の整備
（議長による重点分野の指定、関係行政機関の長に対する勧告等）
地方公共団体への協力
54

55. 3-5.官民データ活用推進基本法(3)
基本的施策
行政手続に係るオンライン利用の原則化・民間事業者等の手続に係るオ
ンライン利用の促進
国・地方公共団体・事業者による自ら保有する官民データの活用の推進等
、関連する制度の見直し（コンテンツ流通円滑化を含む）
官民データの円滑な流通を促進するため、データ流通における個人の関
与の仕組みの構築等
地理的な制約、年齢その他の要因に基づく情報通信技術の利用機会又は
活用に係る格差の是正
情報システムに係る規格の整備、互換性の確保、業務の見直し、官民の
情報システムの連携を図るための基盤の整備（サービスプラットフォーム）
国及び地方公共団体の施策の整合性の確保
その他、マイナンバーカードの利用、研究開発の推進等、人材の育成及び
確保、教育及び学習振興、普及啓発等
55

56. 3-5.官民データ活用推進基本法(4)
横浜市の取組み事例
官民データ活用推進基本条例（2017年3月施行）
オープンイノベーション推進本部（2017年4月設置）
56
出典：横浜市政策局「データ活用と公民連携をより一層進めるため、オープンイノベーション推進本部｣を立ち上げ」
（2017年4月19日）

57. 3-6.次世代医療基盤法 (1)
次世代医療基盤法の概要
目的：医療分野の研究開発に資するための匿名加工医療
情報に関し、匿名加工医療情報を行う者の認定、医療情報
および匿名加工医療情報等の取扱いに関する規制等を定
めることにより、健康・医療に関する先端的研究開発および
新産業創出を促進し、もって健康長寿社会の形成に資する
＊主務大臣＝内閣総理大臣、文部科学大臣、厚生労働大臣、経済産業大臣
認定匿名加工医療情報作成事業者
• 医療情報の取扱いを認定事業の目的の達成に必要な範囲に制限する
• 医療情報等の漏えい等の防止のための安全管理措置を講じる
• 従業者に守秘義務（罰則付き）を課す
• 医療情報等の取扱いの委託は、主務大臣の認定を受けた者に対して
のみ可能とする
57

58. 3-6.次世代医療基盤法 (2)
認定事業者に対する医療情報の提供
医療機関等は、あらかじめ本人に通知し、本人が提供を拒
否しない場合、認定事業者に対し、医療情報を提供すること
ができる（医療機関等から認定事業者への医療情報の提供
は任意）
＊生存する個人に関する情報に加え、死亡した個人に関す
る情報も保護の対象とする
セキュリティ
•①組織・人的要因によるリスク排除
•②基幹システムのオープンネットワークからの分離
•③多層防御・安全策の導入（個人情報の暗号化や緊急時
の対応・監督体制の確保を含む）
58

59. 3-6.次世代医療基盤法 (3)
次世代医療基盤法のイメージ図
59
出典：内閣官房 健康・医療戦略室「医療分野の研究開発に資するための匿名加工医療情報に関する法案の概要」
（2017年3月10日）

60. 4. 国際ハーモナイゼーションに向けての課題
60
4-1. 仕組みの視点から見たハーモナイゼーション
4-2. データの視点から見たハーモナイゼーション

61. 4-1. 仕組みの視点から見たハーモナイゼーション (1)
日本と欧米の法的規制の現状（規制対象の違い）
61
出典：臨床研究に係る制度の在り方に関する検討会「臨床研究に係る制度の在り方に関する報告書」（2014年12月11日）

62. 4-1. 仕組みの視点から見たハーモナイゼーション (2)
62
医療製品ライフサイクルと個人データ保護の標準化
基礎
研究
臨床
開発
製造 物流
営業・
マーケ
ティング
市販後
対策
薬事
申請
薬局
患
者
・家
族
医療
機関
日本：サプライサイド／プロダクトアウト型アプローチ
個
人
デ
ー
タ
保
護
の
考
え
方 リアルワールド
データ
（構造化データ）
（非構造化データ）
（半構造化データ）
国際標準化（仕組み＋運用）
出典： ヘルスケアクラウド研究会（2017年5月）
欧米：デマンドサイド／マーケットイン型アプローチ

63. 4-2. データの視点から見たハーモナイゼーション (1)
63
データソースとしての医療情報システムとデータ構造の関係
半構造化データ
構造化データ
非構造化データ
相互運用性
（リアルタイム処理）
（バッチ処理）

64. 4-2. データの視点から見たハーモナイゼーション (2)
国立標準技術研究所（NIST）:「ビッグデータ相互運用性フレ
ームワーク・バージョン1.0」（NIST SP 1500-1） （2015年9月）
＜構成要素＞
• システムオーケストレーター
• データプロバイダー
• ビッグデータアプリケーション
プロバイダー
• ビッグデータフレームワーク
プロバイダー
• データコンシューマー
• セキュリティ／プライバシー
ファブリック
• マネジメントファブリック
64
出典出典：NIST「NIST Big Data interoperability Framework Version 1.0」（2015年9月）：