企業と大学等との共同研究における個人データの取扱いのポイント
IT・情報セキュリティ
当社は、大学病院と共同研究を行うことになり、当該研究の中で個人データを扱う見込みです。大学との間で個人データをやり取りするにあたって、個人情報保護法上、注意すべき点を教えてください。また、大学病院ではなく民間病院と共同して研究を行う場合では、何か違いはあるでしょうか。
大学のような学術研究機関と共同研究を行う場合は、個人情報保護法の学術研究の例外が適用され、個人データの提供や要配慮個人情報の取得につき、本人の同意が不要となる場合があります。一方、民間病院との共同研究の場合は、学術研究の例外は適用されませんが、公衆衛生の向上に特に必要がある場合に、同意が不要となる可能性があります。
解説
目次
個人情報保護法上の規制
個人情報の取得・利用・提供にあたっての本人の同意の原則
個人情報保護法上、個人情報の取得・利用・提供については、以下のように、本人の同意が必要となる場面が設けられています。
- 個人情報の利用目的の制限
利用目的を超えて個人情報を利用する場合には、本人の同意が必要となります(法18条1項)。 - 要配慮個人情報の取得
個人データに要配慮個人情報(病歴などのセンシティブな情報)が含まれている場合は、個人データを取得にあたって、あらかじめ本人の同意を得る必要があります(法20条2項)。 - 個人データの第三者提供
第三者に個人データを提供する場合は、あらかじめ本人から同意を得る必要があります(法27条1項)。
「学術研究目的」に関する例外規定
しかし、学術研究目的で個人情報を取り扱う場合にまで、上記の規制が適用されるとすると、研究データとしての個人情報の利用を阻害します。
そこで、個人情報保護法は、「学術研究の例外」を規定し、一定の学術研究目的での利用の場合には、上記の規制が適用されないこととしています。
学術研究の例外が適用されるには、個人情報が学術研究目的で取り扱われることが必要です。学術研究目的とは、たとえば、特定の疾病の研究のために医療データを用いる場合などが挙げられます。
各例外規定においては、「目的の一部が学術研究目的である場合を含む」とされており、製品開発目的が一部併存する場合等も含まれる可能性があります。しかし、共同研究の主目的が営利事業への転用に置かれているなど、必ずしも学術研究目的とはみなされない場合には、本例外は適用されず、あらかじめ本人の同意を得る必要があります 1。
「公衆衛生の向上」に関する例外規定
また、個人情報保護法は、「公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難な場合」などにも、上記の規制が適用されないとしています。
公衆衛生の向上に関して、たとえば個人情報保護委員会の「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」には次のように記されています。
以下では、これらの例外規定について、民間事業者から学術研究機関に個人データを提供する場合(2)、民間事業者が学術研究機関から個人データの提供を受ける場合(3)、民間病院・診療所との共同研究の場合(4)という3つのケースごとに詳しく説明していきます。
民間事業者から学術研究機関に個人データを提供する場合
学術研究機関とは、「大学その他の学術研究を目的とする機関もしくは団体またはそれらに属する者」をいい、具体的には、大学(私立大学、国公立大学)、学会、国立研究開発法人(学術研究を主たる目的とするもの)などを指します 2。
提供元(民間事業者)
大学のような学術研究機関等に対して個人データを提供する場合であって、当該学術研究機関等が個人データを学術研究目的で取り扱う必要がある場合には、第三者提供につき本人の同意が不要です(法27条1項7号)。
提供先(学術研究機関)
当該個人データに要配慮個人情報(病歴などのセンシティブな情報)が含まれている場合でも、学術研究機関が学術研究目的で取り扱う必要があるときについては、同意の取得が不要です(法20条2項5号)。
ただし、上記2-1、2-2いずれについても、個人の権利利益を不当に侵害するおそれがある場合(民事上の不法行為となり差止請求が認められるような場合 3 など)は除きます。
民間事業者が学術研究機関から個人データの提供を受ける場合
提供元(学術研究機関)
学術研究機関は、共同研究先の第三者に学術研究目的で提供する必要がある場合、本人の同意なく、個人データを提供することができます(法27条1項6号)。
提供先(民間事業者)
個人データに要配慮個人情報が含まれている場合でも、共同研究を行う学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるときについては、本人の同意は不要です(法20条2項6号)。
注意点
上記2の民間事業者から学術研究機関に個人データを提供する場合とは異なり、民間事業者が個人データの提供を受ける場合には、両者が「共同して学術研究を行う場合」があることが要求されています(法27条1項6号括弧書、法20条2項6号括弧書)。
ここでいう「共同して学術研究を行う場合」とは、学術研究機関との間で共同研究契約を締結し、共同研究を行う場合が想定されていると考えられます。
なお、上記3-1、3-2いずれについても、個人の権利利益を不当に侵害するおそれがない場合に限られることは、2の場合と同様です(法27条1項6号括弧書、法20条2項6号括弧書)。
民間病院・診療所との共同研究の場合
病院・診療所は、「学術研究機関等である大学法人の一部門である場合を除き、基本的に『学術研究機関等』に該当しない」とされています 4。よって、民間の病院・診療所については、学術研究機関には該当せず、たとえば民間企業と民間病院との間の共同研究においては、学術研究の例外は適用されません。
しかし、1-3で述べたように、個人情報保護法は、公衆衛生の向上に特に必要がある場合で本人の同意を得ることが困難であるときは、第三者提供の同意は不要としています(法27条1項3号)。この例外は、「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」において、医療機関等から民間事業者への個人データの提供につき本人の同意を得ることが困難な場合に適用があるとされています。
ここでいう「本人の同意を得ることが困難な場合」とは、たとえば、「本人の転居等により有効な連絡先を保有していない場合や、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがある場合等」が挙げられます 5。
そのため、民間病院・診療所との共同研究においては、この公衆衛生の例外を用いて個人データの提供を受けることが可能となる可能性があります 6。
個人情報保護法以外の規制
なお、学術研究の例外および公衆衛生の例外が適用される場合であっても、「人を対象とする生命科学・医学系研究に関する倫理指針」など、対象となる指針を遵守する必要がある点には注意が必要です。
医学研究等に関する指針としては、以下のものが定められています。
- 人を対象とする生命科学・医学系研究に関する倫理指針
- 遺伝子治療等臨床研究に関する指針(厚生労働省)
- ヒト受精胚の作成を行う生殖補助医療研究に関する倫理指針(文部科学省、厚生労働省)
- ヒト受精胚に遺伝情報改変技術等を用いる研究に関する倫理指針(文部科学省、厚生労働省)
- ヒトES細胞の分配機関に関する指針(文部科学省)
- ヒトES細胞の使用に関する指針(文部科学省)
- ヒトiPS細胞又はヒト組織幹細胞からの生殖細胞の作成を行う研究に関する指針(文部科学省)
-
個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和5年3月31日)11-6 ↩︎
-
文部科学省・厚生労働省・経済産業省「令和2年・3年個人情報保護法の改正に伴う生命・医学系指針の改正について」(令和4年3月)32頁 ↩︎
-
個人情報保護委員会事務局「令和3年改正個人情報保護法について」(令和4年1月26日)16頁 ↩︎
-
文部科学省・厚生労働省・経済産業省「令和2年・3年個人情報保護法の改正に伴う生命・医学系指針の改正について」(令和4年3月)32頁 ↩︎
-
個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和5年3月31日)2-15、7-24、7-25 ↩︎
-
個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和5年3月31日)7-25 ↩︎
弁護士法人イノベンティア 大阪事務所