2012年08月02日

個人情報保護法と情報セキュリティー

今週はリモートSDVについて見ていますが、今後、モニターが強烈に意識を強く持つべきなのは「個人情報」の取り扱いです。


ということで、まずは定番の「個人情報保護法」について見ましょう。

●個人情報保護法
  ↓
「個人情報保護法」
  ↓
**************

第一章 総則

(目的)

第一条

この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

**************



う〜〜〜ん、どんな法律を読んでも感じることですが、総則を読んでもよく分からんのですよ。

とりあえず、この法律は「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」ということですね。




そこで、もう少し具体的なことが書かれているところを探します。
 ↓
**************

(基本理念)

第三条

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。


(〜〜 中略 〜〜)

第一節 個人情報取扱事業者の義務

 (利用目的の特定)

第十五条

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。


第十六条

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。


**************



なるほどね。

「個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定」しなければいけないことが分かります。

その他にもいろいろと注意すべきことが書かれていますので、時間がある時に読んでおいてください。


ちなみに、「個人情報保護」で検索すると、「個人情報保護法関連五法」なんていうのもあることが分かります。
  ↓
****************

個人情報保護法関連五法とは、個人情報に関する法律のこと。

以下の五法を指す。

●1)個人情報の保護に関する法律

●2)行政機関の保有する個人情報の保護に関する法律

●3)独立行政法人等の保有する個人情報の保護に関する法律

●4)情報公開・個人情報保護審査会設置法

●5)行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律

****************

ほうほう。

色々と法律等で個人情報が保護されていることが分かります。



さらに「情報セキュリティ」も検索してみましょう。

すると、ウィキペデイアには次のように記載されています。

*************

情報セキュリティは、JIS Q 27002(すなわちISO/IEC 27002)によって、情報の機密性、完全性、可用性を維持することと定義されている。

それら三つの性質の意味は次のとおりである。

機密性 (confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること

完全性 (integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること

可用性 (availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること


これら三つを、英語の頭文字を取って、情報のCIAということもある。


JIS Q 27001 では、これらを次のとおりに定義している。

これらは、ISO/IEC 27001 の定義を翻訳したものである。

ここで、エンティティとは、団体などを指す。

情報セキュリティ (information security):情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい。

機密性 (confidentiality): 許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性

完全性 (integrity): 資産の正確さ及び完全さを保護する特性

可用性 (availability): 許可されたエンティティが要求したときに、アクセス及び使用が可能である特性


*************



よく分からないので、こういう場合の定石として、とりあえず、上記の中から次の3つの言葉の定義を覚えましょう。

●機密性

●完全性

●可用性


ついでに、「情報セキュリティ」について検索してみると、独立行政法人「情報処理推進機構」なんていう組織が存在することも分かります。
 ↓


●情報処理推進機構
  ↓
「情報処理推進機構」



さらに上記の「情報処理推進機構」に「5分でできる!情報セキュリティポイント学習」なんていうページがあることも分かります。
  ↓
「5分でできる!情報セキュリティポイント学習」



私たちは、直接的に、あるいは間接的にリモートSDVや直接のSDVでは個人の情報、それも「病気」という極めて個人的で不利に扱われそうな情報にアクセスします。

そこを注意しましょう。


GCPでも、個人情報・被験者のプライバシーについては以下のように規定されています。(GCP運用通知を「秘密」という言葉で検索してみます。)

******************

●(11)被験者の身元を明らかにする可能性のある記録は、被験者のプライバシーと秘密の保全に配慮して保護すること。(第1条の解説)


●(8)「被験者識別コード」とは、個々の被験者の身元に関する秘密を保護するため、治験責任医師が各被験者に割り付けた固有の識別番号で、治験責任医師が有害事象及びその他の治験関連データを報告する際に、被験者の氏名、身元が特定できる番号及び住所等の代わりに用いるものである。


●12)被験者の秘密の保全に関する事項(契約書)

●6 第12 号「被験者の秘密の保全に関する事項」とは、法第80 条の2第10項の規定により、治験依頼者又はその役員若しくは職員が、モニタリング、監査の際に得た被験者の秘密を漏らしてはならない旨、及び、これらの地位にあった者についても同様である旨を含むものである。


●5)被験者の秘密の保全に関する事項(IRBの設置者との契約書・・・第30条)


●3 実施医療機関の長は、被験者の秘密の保全が担保されるよう必要な措置を講じなければならない。(第36条)


●10)被験者の秘密が保全されることを条件に、モニター、監査担当者及び治験審査委員会等が原資料を閲覧できる旨

●11)被験者に係る秘密が保全される旨(同意説明文書への記載・・・第51条)


******************



リモートSDVの普及にあわせて、あらためて被験者のプライバシーの保全について意識を持っていきましょう。


週刊「モニターとCRCのためのGCPメルマガ」

日刊「モニターとCRCのためのGCPメルマガ」

医薬品ができるまで(治験に関する話題)
posted by ホーライ at 00:00| Comment(0) | TrackBack(0) | 治験の効率化 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック