臨床試験の個別被験者データの共有 - JPMA...臨床試験の個別被験者データの共有 CTDS（Clinical Trial Data Sharing）日本製薬工業協会データサイエンス部会

臨床試験の個別被験者データの共有

CTDS（Clinical Trial Data Sharing）

日本製薬工業協会

データサイエンス部会

継続タスクフォース 4

2017 年 6 月

JPMA_DS_KT4__CTDS_final03.docx 2

目次

略語一覧表 ________________________________________________________________ 3

臨床試験の個別被験者データの共有 __________________________________________ 5

1 はじめに __________________________________________________________________ 5

2 CTDS を取り巻く環境と国内外の取り組み状況 _________________________________ 6 2.1 CTDS のこれまでの歩み ___________________________________________________________ 6 2.2 NAM（旧 IOM）のリーダーシップ _________________________________________________ 8 2.3 EMA のリーダーシップ ___________________________________________________________ 8 2.4 日本企業の CTDS 取り組み状況_2015 年 5 月のアンケート結果から ___________________ 14

3 CTDS の実例 ______________________________________________________________ 14 3.1 どのようにデータを共有するか？（その 1：CTDS のプラットフォーム） _____________ 14

3.1.1 複数の製薬企業が共同運営する CTDS プラットフォームの例（CSDR） ____________ 15 3.1.2 単独の製薬企業が提供する CTDS プラットフォームの例（InspIIRe Portal） ________ 15 3.1.3 製薬企業以外が提供する CTDS プラットフォームの例 ___________________________ 15

3.2 どのようにデータを共有するか？（その 2：データ共有手順） ______________________ 17 3.3 どのようにデータを共有するか？（その 3：共有されるデータパッケージの内容） ____ 19 3.4 共有されたデータを使ってどういった研究が行われているのか？ ____________________ 20 3.5 CTDS のベネフィットとリスク ____________________________________________________ 22

4 CTDS とプライバシー保護 __________________________________________________ 23 4.1 プライバシー保護の基本的な考え方 ______________________________________________ 23 4.2 IPD の利活用における各国法制度の話題 ___________________________________________ 25

4.2.1 個人データの越境移転と十分性 ______________________________________________ 26 4.3 CTDS におけるプライバシー保護についての議論 ___________________________________ 26 4.4 識別と特定，匿名化と非特定化 __________________________________________________ 27

4.4.1 識別と特定（IDENTIFICATION） _______________________________________________ 27 4.4.2 非特定化（DE-IDENTIFICATION）と匿名化（ANONYMISATION） ___________________ 28

4.5 どのような項目をどう処理したらいいのか？ ______________________________________ 29 4.5.1 非特定化プロセスの全体の流れ ______________________________________________ 29 4.5.2 SDTM の非特定化標準（DE-IDENTIFICATION STANDARD FOR CDISC SDTM 3.2）_______ 32 4.5.3 データ加工サンプル_________________________________________________________ 33 4.5.4 SDTM の非特定化プロセス ___________________________________________________ 34

4.5.4.1. 第 1 ステップセーフハーバー（SAFE HARBOR）方式の適用 _________________ 34 4.5.4.2. 第 2 ステップ残存リスクの評価 _________________________________________ 35

4.6 プライバシー保護とデータの有用性はトレードオフ ________________________________ 38

5 CTDS における非特定化技術 ________________________________________________ 39

6 おわりに _________________________________________________________________ 46

7 参考文献 _________________________________________________________________ 48


略語一覧表

略語英語日本語

ADNI Alzheimer's Disease Neuroimaging Initiative － AE Adverse Event 有害事象 BCR Binding Corporate Rule 拘束的企業準則 BMJ British Medical Journal 英国医師会雑誌 CCA Council of Canadian Academies － CDISC Clinical Data Interchange Standards

Consortium －

CRF Case Report Form 症例報告書 CSDR ClinicalStudyDataRequest.com － CSR Clinical Study Report 治験総括報告書 CTDS Clinical Trial Data Sharing 臨床試験データの共有 DSA Data Sharing Agreement データ共有合意書 DUA Data Use Agreement データ使用合意書 EEA European Economic Area 欧州経済領域 EFPIA The European Federation of Pharmaceutical

Industries and Associations 欧州製薬団体連合会

EMA European Medicines Agency 欧州医薬品庁 EU European Union 欧州連合 FDA U.S. Food and Drug Administration 米国食品医薬品局 FreeBIRD Free Bank of Injury and emergency Research

Data －

GDPR General Data Protection Regulations 一般データ保護規則 GIC Group Insurance Commission － HHS United States Department of Health and

Human Services 米国保健福祉省

HIPAA Health Insurance Portability and Accountability Act of 1996

医療保険の携行性と責任に関する法律

HITRUST Health Information Trust Alliance － HTA Health Technology Assessment 医療技術評価 ICMJE International Committee of Medical Journal

Editors 医学雑誌編集者国際委員会

ICO Information Commissioner’s Office － IFPMA The International Federation of

Pharmaceutical Manufacturers & Associations 国際製薬団体連合会

ImmPort Immunology Database and Analysis Portal － IOM Institute Of Medicine 米国医学研究所（NAMの旧称） IPD Individual Participant/Patient Data 個別被験者データ IPPC International Pharmaceutical Privacy

Consortium －

IRP Independent Review Panel 独立審査委員会 IST International Stroke Trial － ITN Immune Tolerance Network － MAA Marketing Authorisation Application 欧州での販売承認申請 MRC U.K. Medical Research Council 英国医学研究審議会 MRCT Multi-Regional Clinical Trials 国際共同治験 NAM National Academy of Medicine 米国医学アカデミー（旧IOM）


略語英語日本語 NEJM New England Journal of Medicine － NIAID National Institute of Allergy and Infectious

Diseases 米国国立アレルギー・感染症研究所

NIH U.S. National Institutes of Health 米国国立衛生研究所 PbD Privacy by Design － PDS Project Data Sphere － PhRMA The Pharmaceutical Research and

Manufacturers of America 米国研究製薬工業協会

PhUSE Pharmaceutical Users Software Exchange － PII Personally Identifiable Information 個人を特定できる情報 PLS Patient Lay Summary 治験結果のまとめ SDTM Study Data Tabulation Model － ToU Terms of Use 利用規約


臨床試験の個別被験者データの共有

1 はじめに

製薬企業は，新薬開発の過程で多くの臨床試験を実施し，得られた試験データをまとめて各国の規制

当局へ承認申請を行う。承認申請に用いた試験結果の主要な部分は，規制当局によって公表される審

査報告書や承認申請資料，あるいは医学論文といった形で公開され，一般の研究者を含めた国民はそ

の内容を知ることができる。一方で，製薬企業には，臨床試験で得られた被験者レベルの詳細な個別

被験者データ（Individual Participant/Patient Data：IPD）が保管されているが，被験者のプライバシー

保護や企業の知的財産保護の問題のため，製薬企業自らが積極的に IPD を公開し，一般の研究者と広

く共有することは稀であった。しかし，欧州製薬団体連合会（EFPIA）／米国研究製薬工業協会

（PhRMA）によって，2013 年 7 月に公表された「責任ある臨床試験データ共有の原則」を契機として，

主として欧米の製薬企業により IPD の公開・共有が行われるようになった。さらに，2016 年 1 月に医

学雑誌編集者国際委員会（ICMJE）が，IPD の公開・共有を医学論文の投稿条件として提案したことに

より，本邦においても，臨床試験データの共有（Clinical Trial Data Sharing：CTDS）という言葉が広く

知られるようになり，活発に議論が行われるようになってきた。

CTDS に関わる一連の動きのキーワードは，透明性（transparency）と 2 次解析（secondary analysis）で

ある。前者は，臨床試験情報の登録や臨床試験論文の公表などに代表される臨床試験の透明化をさら

に進めるべきとの考えに基づくものであり，臨床試験の IPD の開示は，言わば究極の透明性と位置づ

けられる。後者は，被験者が自らをリスクに晒して得られた臨床試験データを公共の財産と考え，承

認申請の目的に限定するのではなく，公衆衛生の向上をもたらす研究に積極的に活用すべきとの考え

に基づくものであり，承認申請のために行われる解析を一次解析とすれば，これはデータの 2 次解析

（二次利用）と位置づけられる。このように現時点では，CTDS は企業の社会的責任・社会貢献とし

て捉えられており，それ故，日米欧の地域間あるいは企業間で対応にばらつきがあるのが現状である。

しかしながら，上述した背景の下，CTDS の動きが後退することはなく，今後さらに活発化していく

ことが予想される。

このような状況の中，CTDS の本格化を念頭に，被験者のプライバシー保護のために臨床試験データ

を匿名化する方法や提供の手順など，主としてデータサイエンス部門が取り組むべき課題を検討する

ため，2015 年 4 月に製薬協データサイエンス部会にタスクフォースが立ち上げられた。しかしながら，

本邦ではまだ CTDS が充分に認知されていない状況であり，CTDS に至る歴史的な経緯，国内外におけ

る CTDS の現状，そしてプライバシー保護に関する論点なども含めて整理・検討すべきとの認識に至

り，本報告書を作成した。本報告書は，製薬企業のみならず，臨床研究，医師主導試験など，臨床試

験に関わる全ての人を対象として，CTDS の解説を行うことを目的としている。2 章では，CTDS のこ

れまでの歩みを振り返りながら，CTDS を取り巻く環境および国内外の取り組み状況を解説する。3 章

では，CTDS の実例として，実装されている CTDS プラットフォームやそこでのデータ共有の手順，さ

らには共有されたデータを用いた研究事例を解説する。4 章では，CTDS を議論するにあたって切り離

すことができないプライバシー保護について取り上げる。ここでは，各国のプライバシー保護に関す

る法制度を概観し，CTDS におけるプライバシー保護の問題を議論する。5 章では，具体的な事例を用


いて，非特定化の方法を解説する。ここでは，臨床試験データの標準形式に関する知識が前提となる

ため，5 章は主としてデータサイエンス部門に所属する方が対象となる。

本報告書により，CTDS への理解が進み，また本報告書が契機となって，本邦においても CTDS が活性

化し，浸透していく一助になれば幸いである。

2 CTDS を取り巻く環境と国内外の取り組み状況

2.1 CTDS のこれまでの歩み

近年，選択的セロトニン再取り込み阻害薬（SSRI）やインフルエンザ治療薬など，臨床試験の透明性

が問題となる事例1,2が発生しており，研究機関や市民団体から，規制当局・製薬企業への情報公開請

求や企業に対する訴訟を経てこれらの議論が活発化してきた。製薬業界全体として，臨床試験の更な

る透明性を確保するための方策を迅速に推進することが必要である。

臨床試験の透明性の要素は次の 3 つである。

1. 臨床試験情報の登録 2. 臨床試験結果の公開

A) 試験結果概要 B) 試験結果の論文発表 C) 治験総括報告書（Clinical Study Report：CSR）

3. 被験者レベルの試験データの共有

業界全体として，1. 臨床試験情報の登録および 2. 臨床試験結果の公開は，ClinicalTrials.gov，JapicCTI，EudraCT などを利用してすでに情報が公開されている。しかしながら，CSR 全体の公開と被験者レベ

ルの試験データ，すなわちデータベースそのものの共有については，製薬企業にとって，新たな課題

となっている。

2013 年 7 月に，欧州製薬団体連合会（EFPIA）／米国研究製薬工業協会（PhRMA）は，次の 5 つのコ

ミットメントから構成される「責任ある臨床試験データ共有の原則」を発表した。単なる臨床試験の

透明性確保という視点を超え，医療や公衆衛生の向上への貢献を謳っている。

1. 研究者とのデータ共有の強化 2. 臨床試験情報への一般アクセスの強化 3. 被験者との臨床試験結果の共有 4. 臨床試験データ共有手順の認証 5. 臨床試験結果の公表に対するコミットメントの再確認

さらにこの動きと呼応するかのように，医学雑誌編集者国際委員会（ICMJE3）は 2016 年 1 月に，臨

床試験結果をICMJEに加盟している医学雑誌に投稿する際は，論文公表から遅くとも 6 ヶ月以内に，

非特定化された個別被験者データの公開を義務化する方針を打ちだし，本件について広く意見収集を

行った。ICMJEのこの発表に先んじて，ICMJE加盟雑誌の一つであるイギリス医師会雑誌（BMJ4）では，

2015 年 7 月より全ての臨床試験について，合理的な要求があった場合に非特定化された個別被験者

データの提供に合意することが論文掲載の条件になっている。他にも，Availability of data and materialとして，論文に使ったデータや結果の開示方針について記載を課している論文誌

5がある。The New

England Journal of Medicine（NEJM）もICMJEに加盟する主要雑誌の一つであるが，2016 年はData Sharingを扱った記事が 20 本に達しており，2017 年初めには，CTDSが医学の発展にいかに貢献できる

か可能性を探るべく，SPRINT試験データを使ってのコンテスト6も実施した。なお，ICMJEはその後

2017 年 6 月 6 日に加盟雑誌への投稿条件に関して新たな声明「Data Sharing Statements for Clinical


Trials: A Requirement of the ICMJE」7を発表した。その内容は，2018 年 7 月 1 日以降に投稿される論文

にはデータ共有に関する陳述（data sharing statement）を含めること，および 2019 年 1 月 1 日以降に

被験者登録が開始される臨床試験の登録情報にはデータ共有計画（data sharing plan）を含めることを

義務化したものである。

臨床試験の透明性に関する過去のマイルストーンの一部を図 1 にまとめた。2012 年は CTDS にとって

画期的な年となった。この年，米国では米国医学アカデミー（National Academy of Medicine：NAM）

（旧 Institute of Medicine：IOM）が，欧州では European Medicines Agency （EMA）がそれぞれ主導し

て，複数の関連団体参加のもと，CTDS のワークショップを開催した。立場の違う人々に議論の場を

提供し，両者は強力なリーダーシップとともに CTDS の普及に大きな役割を果たしている。

図 1．臨床試験の透明性に関するマイルストーン

以降の章でCTDSの普及に大きな役割を果たしたNAMとEMAについて述べる前に，ここでCTDSの定義を

確認しておく。共有対象となるデータは大きく 3 つに分類される8。

個別被験者データ（IPD）：raw data や SDTM，解析用データなどメタデータ（metadata）：データの構造等を定義したデータサマリーレベルデータ（summary-level data）：解析帳票や Patient Lay Summary（PLS），CSR など

で，EFPIA/PhRMA の「責任ある臨床試験データ共有の原則」では，「study-level clinical trial data」と呼ばれている。

以下，断りのない限り本報告書では CTDS を個別被験者データの共有を意味する用語として使用する。


2.2 NAM（旧 IOM）のリーダーシップ

NAM は，1970 年に設立された独立非営利の学術機関である。全米アカデミーズ（United States National Academies; National Academy Complex）の一員として独立した立場から健康や医療に関し，研

究会開催や報告書発行によって，議会や政府へ助言している。

2012 年 10 月にNAMは，製薬企業，医学研究者，患者団体，NPO財団など多くの関係者の出席のもと

臨床研究データの共有を議論する最初のワークショップを開催9した。その結果，CTDSは企業，営利

財団，研究者，患者団体，そして最終的には患者や公共福祉にベネフィットがあるとされた。一方で，

様々な臨床試験が存在する中で，データ共有が断片的になること，まとまりのない体制のままCTDSが推進されてしまうことに懸念が示された。

ワークショップ開催後に，複数の団体（製薬業界，複数の生物医科学系の財団，U.K. Medical Research Council［MRC］，U.S. Food and Drug Administration［FDA］，U.S. National Institutes of Health［NIH］）

が，NAMにCTDSの指針やフレームワークを検討するよう依頼した。NAMは，これを推進するために

13 名で構成される委員会を設置し，コンセンサス研究に着手した。コンセンサス研究は，フォーラム

やコンソーシアムを組織し，緻密な議論を重ねて合意しデファクト化を目指す標準研究のことで，利

用者側も参加したステークホルダー全体で検討を行う10。2012 年 10 月からWorkshopやCommittee

Meetingが開催され，2015 年 1 月には「Sharing Clinical Trial Data; MAXIMIZING BENEFITS, MINIMIZING RISK8

」が最終報告されている。このレポートはNAMが臨床試験データは共有されるべきと結論付けた

資料として，他の様々なセミナー・学会で紹介されている。このレポートの中で述べられている「臨

床試験データの開示責任についての指針（guiding principles）」の主旨を以下に示す。

臨床試験によってもたらされる便益を最大化する一方，臨床試験データの開示によるリスクを最

小化するデータ開示の対象となる参加者一人ひとりを尊重する臨床試験，さらに試験データの共有に対する社会の信頼を高める臨床試験データの共有化を進めるにあたっては，公正性を持って行う

また，同様に提示された「推奨事項（Recommendations）」11の要約を以下に示す。

1. 臨床試験の関係当事者は，データ開示は当然なされるべきことという文化を醸成するべきであり，

臨床試験データを開示することによってもたらされる便益の最大化とリスクの最小化に，責任を

持って邁進する。 2. 試験のスポンサーと責任医師は，各種の臨床試験データを，規定の時期までに開示する。 3. 慎重に扱わなければならない臨床試験データを開示する場合，ガバナンスに無関係な一般の人々

を含めた独立審査委員会の任命など，臨床試験データの所有者は運用面でしかるべき方策を講じ

る。 4. 試験のスポンサーは，信頼性の高い中立的な機関の協力のもと，多様な関連団体と協働して，臨

床試験データの共有化に伴う様々な重要課題に継続的に取り組む。

2.3 EMA のリーダーシップ

規制当局として現在最も積極的にCTDSを推進しているのはEMAである。EMAは，CTDSへの取り組みを

2012 年 4 月にPLoS Medicineに投稿された論文「Open clinical trial data for all? A view from regulators」12

で最初に表明した。この論文は同じ号にアカデミアのグループ（Jhones Hopkins大学Peter Doshiら）か


らCTDSを求める内容で投稿されていた「The Imperative to Share Clinical Study Reports: Recommendations from the Tamiflu Experience」13

に呼応する内容となっており，今後データの公開を推進するために，以

下の 3 点に関する議論を進める必要があると提案している。

1. 個人データ保護の適切な標準の構築と合意 2. メタアナリシスやその他データ再解析に関する標準品質 3. データ公開実施のルール

2012 年 11 月 22 日に，EMAが主催するCTDSに向けた初めての公開ワークショップ「Workshop on

access to clinical-trial data and transparency」14が開催された。ワークショップにはステークホルダーと

してアカデミア，メディア，製薬業界（EFPIA），患者団体等が参加し，各々の立場から以下の 5 つの

観点で意見交換を実施した。ワークショップでの議論の内容はWorkshop reportとして公開されている。

WorkshopのclosingにはEMAより，CTDSに関する以下の 5 つの観点に対するポリシーを 2013 年 6 月

draft版作成，2014 年 1 月に施行するための行動計画が示された。

1. 被験者の個人情報保護 2. 臨床試験データのフォーマット 3. 実施のルール 4. 適切な解析の規範（Good analysis practice） 5. 法的側面

2012 年 11 月のワークショップで宣言されたスケジュールに従い，2013 年 6 月にCTDSに関するEMAのドラフトポリシー「Policy on publication and access to clinical-trial data :Policy 0070」15

が公表され，これ

は既に 2010 年 12 月に施行されている「Policy on access to documents (related to medical products for human and veterinary use) :Policy 0043」16

を補足する文書として作成された。

この中で種々の用語定義，ポリシーが適用されるデータの範囲が明記され，ポリシー適用対象となる

臨床データに 3 つのカテゴリーが定義された。

カテゴリー1：商業上の秘密情報が含まれる臨床データ／文書カテゴリー2：個人情報保護の必要がない臨床データ／文書カテゴリー3：個人情報保護の必要が有る臨床データ／文書

カテゴリー2 には個別症例一覧を含まない臨床試験報告書，カテゴリー3 には個別被験者レベルの

データが該当し，各々のカテゴリー分類に基づき，臨床データ公開の可否や公開方法を変えて対応す

る事が提案された。

その後の 1,000 を超える多くのパブリックコメントがドラフトポリシーに寄せられ，2013 年 12 月の

協議委員会においてこれらのコメントがポリシーに与える影響を協議した結果，以下の方針を軸とし

て最終ポリシー作成を進める事が合意された17。

1. データ公開は段階的な方法をとる。第 1 段階としては，適切な編集がされた臨床試験報告書の公

開準備 2. 被験者の匿名化方法論の開発 3. 標準フォーマットの定義

更に，軸となる方針として，データが不正に商業的利用されるリスクへの対策も考慮する事が合意さ

れた。


このような経緯の後，2014 年 10 月に最終ポリシー「Policy on publication and access to clinical-trial data :Policy 0070」18

がリリースされ 2015 年 1 月より運用が開始された。2013 年 12 月の協議結果通り，

IPDではなく，第 1 段階であるClinical Reportsの公開についての詳細なポリシーが記載されている。概

略を表 1 および図 2 に示す。

表 1 ．Policy on publication and access to clinical-trial data：Policy 007018 のまとめ

対象承認申請医薬品の Clinical Reports（CTD module 2.5，2.7，5，appendices. 16.1.1，16.1.2，16.1.9）ならびに個別被験者データ（IPD）

適用時期（第 1 段階）

2015 年 1 月 1 日以降の新規 MAA 申請，Article58 申請（WHO に協力した EU 地域

以外市場への申請）に適用 2015 年 7 月 1 日以降の効能等追加申請に適用既承認医薬品の追加データ提出時のルールについては後日適用時期を決定

公開の段階第 1 段階（Clinical Reports）当局側の審査結果の意思決定後，まず Clinical Reports を公開第 2 段階（IPD） IPD が当局の科学審査に必要かを検討 IPD が当局に提出される場合は公開の条件等を検討公開のみの目的で IPD 提出を要求することはしない

Clinical Reportsの公開

2 つの利用規約（Terms of Use：ToU）

全情報に透かし背景挿入（EMA が利用規約の遵守監視）公開時の編集（情報削除等）が必要な場合は申請者と EMA で協議運用開始後（2015 年 1 月 1 日～）の経験に基づき，18 ヶ月以内に改訂する 1．全ての人を対象（非営利目的） ID & password で EMA web screen 上のみで閲覧（永久公開） 2．研究者，非営利研究を対象個人情報，法人情報登録で ID & password 発行

ダウンロード，保存，印刷可（永久公開）


図 2．EMA Clinical Reports 公開の概要 18

2015 年 1 月の運用開始後には 2015 年 6 月にQ&A形式で本ポリシーに関する補足説明19が公表され，

目的とこれまでの経過の説明に加え，以下の補足説明が記載された。

2013年6月のドラフトポリシーから最終ポリシーへ進展した点のまとめポリシー適用の今後のステップについて利用規約（Terms of use：ToU）の補足説明 HTA（Health Technology Assessment）評価機関と本ポリシーの関係商業上の秘密情報の定義と公開情報の編集方針 2014年5月に公開された臨床試験の規制要件「The clinical Trials Regulation（No.536/2014）」と本

ポリシーの関係既存の文書アクセスに関するポリシーと本ポリシーの関係

更に 2015 年 6 月よりPolicy 0070 実施第 1 段階の運用を補足するためのガイドラインがステークホル

ダーと協議され，2016 年 3 月に「External guidance on the implementation of the European Medicines Agency policy on the publication of clinical data for medical products for human use20

」としてリリースされ

た。この文書は以下の 3 つのガイドラインで構成されている。

1) External guidance on the procedural aspects related to the submission of clinical reports for the purpose of publication in accordance with EMA policy 0070 （ポリシー適用範囲となる文書の定義，公開までのプロセスの解説）

2) External guidance on the anonymisation of clinical reports for the purpose of publication in accordance with EMA policy 0070 （匿名化に関し現在一般的な考え方の解説と EMA が推奨する匿名化の基準解説）

3) External guidance on the identification and redaction of commercially confidential information in clinical reports submitted to the EMA for the purpose of publication in accordance with EMA policy 0070 （商業上の秘密情報として削除が認められる基準と削除する手順の解説）


2 番目のものが匿名化に関するガイドラインであるが，下記一覧に示す EU 法規や個人データ匿名化

のガイドライン，データ標準を基準として作成された。Policy 0070 は現在第 1 段階で IPD は公開適用

外のため，Clinical Reports に含まれる全症例一覧表等の IPD に準じる情報は公開の対象外であるが，

現在のガイドラインに記述されている EMA の匿名化に対する考え方は第 2 段階での IPD 公開にも踏襲

されると考えられる。

Policy 0070 の匿名化のガイドラインで参照された資料一覧：

Regulation (EC) No 45/2001 of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data, of 18 December 2000.21 （個人データ取扱いに係る個人の保護及び当該データの自由な移動に関し，EU 諸機関及び補助

機関に対して適用される規則） Directive 95/46/EC of the European Parliament and of the Council on the protection of individuals with

regard to the processing of personal data and on the free movement of such data, of 24 October 1995.22 （個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及びEU 理事会指令［いわゆるEUデータ保護指令］）

Opinion 05/2014 on anonymisation techniques of the Article 29 Data Protection Working Party23. （Directive 95/46/ECのArticle 29に従い組織されたEU working partyによる，個人情報保護のための

個人データ匿名化方法に関する意見書［いわゆるWP216；匿名化に関するガイドライン］） Opinion 06/2013 on open data and public sector information reuse of the Article 29 Data Protection

Working Party.24 （Directive 95/46/ECのArticle 29に従い組織されたEU working partyによる，EU内での個人データ再

利用に関する意見書） Information Commissioner’s Office (ICO) Code of Practice. Anonymisation: managing data protection

risk.25 （英国の諮問機関 ICOが作成した個人データ匿名化の標準手順書）

Sharing clinical trial data: Maximizing benefits, minimizing risk. Institute of Medicine (IOM). 2015. Washington, DC: The National Academies Press.8 （米国のNGO IOM［現National Academy of Medicine］が作成した，臨床試験データを公開･共有す

るために必要な対応に関する提言書） Pharmaceutical Users Software Exchange (PhUSE) de-identification standards for CDISC SDTM 3.2.26

（製薬企業で構成されるNPO PhUSEが作成した，CDISC SDTM データモデルでの匿名化の技術的提

案書） Transcelerate BioPharma Inc.

• Clinical Study Reports Approach to Protection of Personal Data.27 • Data De-identification and Anonymisation of Individual Patient Data in Clinical Studies - A Model

Approach.28 （PhRMA /EFPIAの2013年声明「Principles for Responsible Clinical Trial Data Sharing」に呼応して製薬

企業で構成されるNPO Transcelerate BioPharmaが作成した，CSR公開時の個人情報保護とIPD公開時

の匿名化方法に関する提案書） White Paper on Anonymisation of Clinical Trial Data Sets. International Pharmaceutical Privacy

Consortium (IPPC).29 （PhRMA /EFPIAの2013年声明やEMAの臨床試験データ公開の動きに呼応し，製薬企業で構成され

るNPO IPPCが臨床試験データ公開に関する課題をまとめたもの）

公衆一般を対象としたデータ公開においては匿名化処理したデータから個人が特定出来る可能性が極

めて低い必要があるが，本ガイドラインによると policy 0070 対応における匿名化の基準は 2014 年に

公開された「Opinion 05/2014 on anonymisation techniques of the Article 29 Data Protection Working Party 」に基づくものであり，すなわち以下のいずれかの方法を考慮する事としている。


1) 3 つの基準に照らし合わせて有効な匿名化が実施されていること基準 1. ある個人の情報としてデータが取り出せる（single out）可能性がない基準 2. ある個人の記録と公開されたデータが連結できる可能性がない基準 3. 公開された情報がある個人のものであると推測できる可能性がない

2) 匿名化方法が 1)の 3 つの基準のいずれかを満たさない場合はそれにより特定化されるリスクを評

価すること

上記 1) の 3 つの基準をすべて満たしている場合には匿名データとみなす事ができるとしている。

一方で，データの匿名化の強度とその公開後の有用性は相反する事から，EMA は policy 0070 への対応

にあたって申請者が上記 2) の方法を取らざるを得ない事を認めており，その場合の標準的な匿名化の

方法として以下の手順を推奨している。各ステップの具体的な方法論については本報告書 4 章に詳述

した内容を参照頂きたい。

1. 直接識別子，準識別子を決定する 2. データに対する攻撃者の可能性と起き得る攻撃を特定する 3. データの有用性を考察した上で匿名化の方法を考える 4. 再特定化される可能性の閾値（質的または計量的）を決定し，実際に再特定化される可能性を評

価する30

• 質的閾値アプローチ：非匿名化リスクレベルを高，中，低，等に分類した上で，リスクが低レベル以下となるまで

匿名化処理を実施する。 • 計量閾値アプローチ：

匿名化処理前後各々において個人特定の確率を計算し，確率が 0.09 以下になるまで匿名化処

理を実施する。 5. 適切な匿名化方法を特定し，どの程度再特定化リスクを低減するか記述する。 6. 使用した匿名化方法，および変更されたデータについて正当性を記述する。 7. 報告書を作成する

匿名化報告書のテンプレートが本ガイドラインの Annexes に記載されており，以下の章立てとなって

いる。

Anonymisation methodology Identification of data variables (direct and quasi identifier) Assessment of anonymisation

- Fulfilment of the criteria for anonymisation - Risk assessment

Data utility considerations Conclusion

匿名化の詳細な方法論はガイドライン中では記述されていないが，データの並べ替えではなく一般化

（集約や k-匿名性，t-近接性）による匿名化を推奨しており，日付データについては年情報への一般

化やオフセット処置，地域データについては集約化や一般化を推奨している。また匿名化の技術は発

展段階であるため，ステークホルダーとの更なる議論が予定されている。

Policy 0070 の匿名化議論で考慮されている法規EU data protection legislationについては 2016 年 4 月 27日に新たな規制となる一般データ保護規則（General Data Protection Regulations：GDPR）31

がEUで制定

され，2018 年 5 月 25 日に施行される予定である。これはPolicy 0070 の匿名化ガイドラインでも参照

している，1995 年に採択された「EUデータ保護指令（Directive 95/46/EC）」をはじめとする従来の規

制を統合し置き換えるもので，個人データの範囲の拡大やEU外への適用拡大，明示的な同意の取得，

忘れられる権利の設定やセキュリティ強化，個人情報管理者・処理者の責任強化が図られている。

GDPRにおいては匿名化された個人情報については個人データとして取り扱う必要はないとされている


が，必要となる匿名化の基準は明らかにされておらず，匿名化方法論の議論には引き続き注視する必

要がある。

Policy 0070 の第一段階施行後，2016 年 10 月 19 日より順次EMAの臨床データ公開サイトにおいて申請

取り下げとなった医薬品も含めて臨床試験報告書が公開されており，2017 年 2 月現在 8 品目が公開さ

れている32。

2.4 日本企業の CTDS 取り組み状況_2015 年 5 月のアンケート結果から

日本における CTDS 取り組み状況について触れておく。日本製薬工業協会データサイエンス部会

（JPMA-DS 部会）は，CTDS に関する匿名化技術などの調査を主目的に，2015 年 4 月にタスクフォー

スを立ち上げた。そして，国内外における CTDS をはじめとした臨床試験データ共有／公開の状況を

把握するため，2015 年 5 月に JPMA-DS 部会加盟会社 66 社に対し，「責任ある臨床試験データ共有の

原則」の取り組み状況に関するアンケート調査（無記名，1 社 1 回答）を実施し，49 社（回答率 74%）

から情報を得た。

アンケート結果に基づき，各コミットメントの対応を検討していなかった会社の割合を表 2 に示す。

内資系企業では約 8 割以上が未検討であったのに対し，外資系企業では 3 割未満と，内資系企業と外

資系企業の間で検討状況に明らかな差がみられた。

表 2．各コミットメントの対応を検討していない．．．．．．．

会社の割合（2015 年 5 月時点）

コミットメント 1 について，回答を得た EFPIA 加盟会社の 13 社全て，PhRMA 加盟会社は 12 社中 10社（83%）が「検討済みまたは検討中」であり，CTDS の推進に EFPIA/PhRMA が 2013 年 7 月に発表し

た「責任ある臨床試験データ共有の原則」の影響が大きいことが確認された。

アンケート結果から，日本では主として外資系製薬企業が EFPIA/PhRMA の原則に則って CTDS を推進

し，内資系製薬企業はこれからであることが示唆された。この背景として，JPMA は，EFPIA/PhRMA の原則の公表から 3 ヵ月後（2013 年 10 月）の理事会で，EFPIA/PhRMA の原則を支持することを表明

したが，会員各社の準備状況を勘案し，日本としての導入推奨時期を明示しなかった。これが，

EFPIA/PhRMA の影響を受けない内資系企業の多くで，5 つのコミットメントが未検討である要因の 1つと考えられる。一方で，アンケート以降に取り組みを開始した内資系企業の情報も得ており，現在

は移行期であり，CTDS への取組みは今後，日本でも推進されていくと予想する。

3 CTDS の実例

3.1 どのようにデータを共有するか？（その 1：CTDS のプラットフォーム）

医療用医薬品売上の上位 10 社（国内 2014 年度，世界 2013 年度）についてCTDSのプラットフォーム

（Website，Gateway）を調査した結果を，表 3 にまとめた（2016 年 2 月時点）。世界売上上位 10 社

および国内売上上位 10 社のうち，それぞれ半数が利用するClinicalStudyDataRequest.com（CSDR）は，

コミットメント内資 38 社

外資 11 社

合計 49 社

1. 研究者とのデータ共有の強化 30 社 (79%) 1 社 ( 9%) 31 社 (63%) 2. 臨床試験情報への一般アクセスの強化 30 社 (79%) 2 社 (18%) 32 社 (65%) 3. 被験者との臨床試験結果の共有 33 社 (87%) 3 社 (27%) 36 社 (73%) 4. 臨床試験データ共有手順の認証 35 社 (92%) 3 社 (27%) 38 社 (78%) 5. 臨床試験結果の公表に対するコミットメントの再確認 31 社 (82%) 2 社 (18%) 33 社 (67%)


複数の製薬企業が共同で提供するプラットフォームである。「自社サイト」は，1 つの製薬企業が自

社単独で提供するプラットフォームで，例えばファイザー社では，同社用のサイト（InspIIRe Portal33）

を用いて運用している。

表 3．医療用医薬品売上上位 10 社と CTDS Gateway（2016 年 2 月時点）企業名（世界売上 2013） CTDS Gateway 企業名（国内売上 2014） CTDS Gateway

ファイザー自社サイト武田薬品工業 CSDR ノバルティス CSDR ファイザー自社サイトロシュ CSDR アステラス製薬 CSDR サノフィ CSDR 第一三共 CSDR メルク自社サイト大塚ホールディングス自社サイトグラクソ・スミスクライン CSDR 田辺三菱製薬－ジョンソン＆ジョンソン自社サイト中外製薬－アストラゼネカ自社サイトノバルティスファーマ CSDR イーライ・リリー CSDR サノフィ CSDR アッヴィ自社サイトエーザイ CSDR

3.1.1 複数の製薬企業が共同運営する CTDS プラットフォームの例（CSDR）

CSDR（ClinicalStudyDataRequest.com）は，2013 年 5 月からグラクソ・スミスクライン（GSK）社が同

社用のCTDS Gatewayサイトとして運用していたが，2014 年 1 月に複数の製薬企業が利用できるCTDSポータルサイト

34となった。これはCTDSを推進する上で実務的に重要な出来事で，2017 年 2 月時点

で，13 社が参加している。また，CSDR開始後 1 年間（2013/5/7～2014/5/31）の概況について，論文

報告35されている。さらに，非会員に対しても，最新の活動状況を公開している。

3.1.2 単独の製薬企業が提供する CTDS プラットフォームの例（INSPIIRE PORTAL）

ファイザー社では，CTDS プラットフォームを同社用のサイト（InspIIRe Portal33）を用いて単独で運用

している。研究者は，InspIIRe Portal を通して研究の詳細及び全研究者（統計解析担当者を含む）の履

歴書を提出し，ファイザー社内の review committee および社外 review committee にて，研究の適切性

について審査される。その結果，承認の決定がなされた場合は個別被験者データへのアクセスが可能

となる。しかしながら却下となった場合は，その理由が研究者に通知される。これらの手順を踏まえ

て 2013 年 12 月～2017 年 3 月までに申請された試験数は 80 件であり，このうち 45 件が実際に共有

（承認）され，これまでに 10 件が論文化されている。

3.1.3 製薬企業以外が提供する CTDS プラットフォームの例

製薬企業以外が提供するCTDSのプラットフォームもいくつかある。例えば，International Stroke Trial（IST）36 およびDryad Digital Repository37

は，誰でも無条件でアクセス可能な臨床試験データを提供し

ている。また，データ共有の対象者・研究に条件があるが，Project Data Sphere38，Immunology

Database and Analysis Portal（ImmPort）39およびFree Bank of Injury and emergency Research Data

（FreeBIRD）40なども運用されている。ここでは， Project Data SphereとImmPort，FreeBIRD，そして

2016 年 5 月にNew England Journal of Medicine（NEJM）で取り上げられ話題となったVivliについて紹介

する。

Project Data Sphere

Project Data Sphere（PDS）は，米国の元大統領George H. W. Bushの要請に応えるべく 2001 年に創設さ

れたCEO Roundtable on Cancer41により実現した取り組みで，過去に実施された抗がん剤の臨床試験


データを共有（share），統合（integrate），解析（analyze）するためのプラットフォームである。

CEO Roundtable on CancerのLife Sciences Consortium 42による独立非営利イニシアチブProject Data Sphere,

LLCによって運営されている。がんの研究促進のため，各企業/組織が一丸となって臨床試験データを

研究者に共有し，新たな発見や洞察を促し，人類のがんとの戦いに打ち勝とうというねらいがある。

臨床試験の透明性確保という目的よりは，純粋に研究や公共福祉への貢献に主眼をおいているところ

が特徴的だ。

がんの研究促進という観点から，データを提供する製薬企業だけでなく，法律家や IT 専門家，プライ

バシーを扱う専門家，臨床医，営利団体，患者代表といった各種関係者が協力し合ってデータ共有の

為の最適なフレームワークを構築している。その大きな特徴の 1 つが，PDS 内に発足されているコ

ミュニティである。これにより，データの利用者がお互いに結びつき，経験や識見，アイデアを共有

したり助け合ったりすることが可能となり，がん研究の推進を後押ししている。

PDSでは第 2b相および第 3 相臨床試験の非特定化された被験者データが共有されており，これまでは

プラセボや既存の抗がん剤といった対照群のみだったが，2016 年 6 月に今後は被験薬群のデータにつ

いても共有をサポートする旨の発表があり，2017 年 3 月より被験薬群のデータ共有が開始されている。

2014 年 4 月の設立当初に掲げられた，1 年後の 2015 年 4 月までに 25000 症例のデータを共有という

目標は達成され，既に約 42000 例のデータが蓄積されている（2017 年 2 月時点）。Project Data Sphereは，これらがんの豊富なデータとコミュニティの専門家集団という資産をいかしてオープンサ

イエンスの活動にも協力するなど，他の研究機関や研究推進団体とも協働してがん研究を加速させて

いる。例えば，PDSが全面的に支援したプロジェクトProstate Cancer Dream challengeaでは，数年前に

終わった臨床試験データが共有されることで実際に新たな洞察が得られたこと，これにより癌治療の

進歩につながると，臨床試験データ共有の意義を唱える論文が公開されている43, 44

。

ユーザ登録をすれば Project Data Sphere 内にある SAS の Visual Analytics といった解析ツールを利用し

てダイレクトにデータにアクセス，解析できると共に，データのダウンロードも可能である。

ImmPort

Immunology Database and Analysis Portal（ImmPort）は，アメリカ国立アレルギー・感染症研究所（NIAID; National Institute of Allergy and Infectious Diseases）のアレルギー・免疫・移植部門（DAIT; Division of Allergy, Immunology, and Transplantation）と微生物感染症部門（DMID; Division of Microbiology and Infectious Diseases）の免疫学的データの再利用の活性を目的にした長期で持続可能なデータウェ

アハウスである。NIAID は 2013 年に ImmPort を介して 11 試験の非特定化データを利用可能とした。

FreeBIRD

Free Bank of Injury and emergency Research Data（FreeBIRD）は，公的な資金による臨床試験データを共

有するためのデータ・バンクである。簡素な会員登録の後，大規模臨床試験である CRASH と CRASH2の非特定化された臨床試験データをダウンロードすることが可能だ。また，データ・バンクとして，

会員は「外傷と緊急治療薬領域の臨床試験データ」を FreeBIRD にアップロードすることも可能である。

a Prostate Cancer Dream challenge は，転移性去勢抵抗性前立腺がん（mCRPC）のドセタキセルによる治療効果の予

測精度を高めようという試みで，2015 年 3 月から 7 月にかけて実施された。PDS が提供した 4 つの phIII 試験

（2000 人超）のデータが活用された


Vivli

2016 年 5 月に，Multi-Regional Clinical Trials Center (MRCT center) of Brigham and Women's Hospital and Harvard University が出資している非営利団体である Vivli が，新たに革新的な global CTDS プラット

フォームをリリースすると NEJM で発表した。このプラットフォームでは，製薬企業が実施した試験

だけでなく，アカデミアや政府等が実施する試験データも共有の対象としており，臨床試験データに

限らず，公衆衛生データ（public health data）や疫学データ，ゲノムデータなども含まれる予定となっ

ている。

また，最も大きな特徴は，既存の様々な CTDS プラットフォームとリンクすることを目的としている

点である。研究者が自分の研究テーマに即したデータを，現存するあらゆる CTDS プラットフォーム

から見つけられるような仕組みを提供し，また，複数のプラットフォームに分かれて存在している複

数のデータを併合することも可能となる。Vivli は第一段階として，アカデミア主導の臨床試験データ

の共有を予定している。

3.2 どのようにデータを共有するか？（その 2：データ共有手順）

データの共有手順については，図 3 に示した 7 ステップがキーポイントとなっている45。

図 3．データ共有におけるキーポイントとなる 7 ステップ 45

ステップ 1．研究課題（research question）にかなった試験の特定：研究者が研究課題に即した試験を特定することが，共有データ活用のための重要な最初のステップで

ある。最近は多くの試験が ClinicalTrials.gov，JapicCTI，EudraCT などに登録され，試験結果が公開され

ている。研究者はこれらの公開情報を利用し，自分の研究課題に最適な試験を特定することになる。

次に，該当試験がデータ共有対象となっているかを確認する。試験を実施したスポンサーが運営・加

入している CTDS プラットフォームでは，データ共有可能な試験リストが公開されている場合もある。


ステップ 2．研究企画書（research proposal）の作成：多くの CTDS プラットフォームでは，データアクセス申請のための研究企画等を記載するフォームを

提供している。フォームには解析計画や研究内容だけでなく，どの試験のデータを希望するのか，研

究結果の公表計画，全研究者の情報，利益相反，研究の資金源などの記載が必要となる。

ステップ 3. 研究企画書の審査：提出された研究企画書については，計画している研究が臨床試験データ共有に値する十分な科学的価

値があるかどうか，研究者の適格性，該当試験データが共有可能かなどが審査される。この審査は，

試験を実施したスポンサー内の組織である審査委員会が行うケースもあれば，独立した外部の審査委

員会が行うケース，また，社内の審査委員会と外部の審査委員会の双方で審査するケースもある。

ステップ 4．データ共有についての合意形成：上記の審査を通過した後，データ共有が実際に行われるためには，データ共有についての合意形成の

手続きが不可欠である。現状，データの非特定化処理やアクセスコントロールされた CTDS プラット

フォームの維持管理費など，データ共有のために必要なコストはデータを提供するスポンサー側が負

担しているが，データを共有してもらう研究者側にも担うべき責任，守るべきルールがある。これら

の事項は法的拘束力をもつ文書である Data Sharing Agreement（DSA）または Data Use Agreement（DUA）といったデータ共有／利用合意書に記載されており，この合意書への署名が求められる。合

意書には，被験者のプライバシー保護や被験者特定を試みることの禁止，研究結果の公表の義務化，

研究目的以外のデータの使用禁止，解析の結果得られた安全性上の懸念をスポンサーや規制当局へ即

時報告すること，研究完了期限などが含まれる。合意書は法的拘束力を持つので，研究者は合意書に

署名する前に，自身が所属する組織の法務部門との連携が必要となり，場合によっては記載文言の調

整が必要となる。そのため合意形成のステップに長期間かかることがある。

ステップ 5．データ共有プラットフォームのデータアクセスモデルについて： 3.1 章でもふれた CTDS プラットフォームのデータアクセスモデルは，大別して以下の 3 つに分類され

る。それぞれにメリット，デメリットがあるため，研究者とのデータ共有を実施している企業や組織

は，どのポイントを重視するかによって，それに応じたデータアクセスモデルを採用している。

オープンアクセス（Open access）：非特定化されたデータが公開ウェブサイトに前向きに掲載さ

れるケースを指す。研究者は，研究企画書の提出やデータ共有／利用合意書に署名することなく，

直ちにデータを使うことができるというメリットがある。一方で，被験者のプライバシーが侵さ

れるリスクが高く，そのためデータの非特定化の強度を増してプライバシー保護を高める必要が

あり，ひいてはデータの有用性が低くなってしまう恐れがある。また，全ての試験データを一律

に非特定化し掲載するにはコストやリソースがかかり過ぎるといったデメリットもある。オープ

ンアクセス型のCTDSプラットフォームの例として，Immune Tolerance Network (ITN) TrialShare initiative46

がある。

直接共有（Direct Sharing）：該当試験の非特定化されたデータが，データ所有者であるスポン

サーから，データ利用者である研究者に直接提供されるケース。研究者自身のローカルのシステ

ムで解析ができるなど，研究者側の自由度が高い分，データ共有／利用合意書でデータの第三者

への提供の禁止や，承認された研究目的以外でのデータ利用の禁止などを確実に取り決めておく

必要がある。また，研究者が所有するシステムの情報セキュリティレベルがデータ侵害リスクに

直結することになる。直接共有型のCTDSプラットフォームの例として，Alzheimer’s Disease Neuroimaging Initiative (ADNI)47

がある。

制御アクセス（Controlled access）：該当試験の非特定化されたデータが，アクセスコントロール

されたセキュアな website 内で利用可能となると共に，プログラミングや解析の実行も全て行え

る仕組みで，研究者は，自身が行った解析結果のダウンロードはできるが，データそのもののダ

ウンロードはできない。オープンアクセスや直接共有に比べて，被験者のプライバシー保護を確

保しやすくなるメリットがある一方で，研究者が普段使い慣れている解析ソフトウェアを使えな

い，別のプラットフォームで共有される試験データと結合できない，といったデメリットがある。

制御アクセス型の CTDS プラットフォームの例として，既述の CSDR がある。


ステップ 6．データ共有パッケージのコンテンツ：データ共有パッケージについては，3.3 章にて詳述する。

ステップ 7．研究者へのサポート：研究者が共有データを利用するにあたり，データ提供者によるサポートが期待されている。例えば，

研究者が目的の試験を特定する，あるいは研究企画書を作成する段階で，試験のデザインや具体的に

どういったデータがその試験で収集されているのかといった情報の提供が求められている。また，研

究者による不適切な解析を防ぐためにも，試験そのものやデータを正しく理解するのに必要な文書類

が，共有されるデータパッケージ内に含まれていることも重要である。

以上，データ共有手順においてキーとなる 7 ステップについて述べた。ここからは，実際の CTDS プ

ラットフォームで具体的にどういった手順を採用しているのか，例として CSDR をとりあげて述べる。

CSDR におけるデータをシェアするまでの過程の概要を以下に示す。

1. 臨床試験データの利用を希望する研究者は，解析計画書を含む研究企画と共にデータアクセス

の申請を行う。研究者から提出された申請内容は，要件に合致しているかチェックされる。 2. 要件審査を通過した案件は独立審査委員会（Independent Review Panel［IRP］）で審議される。 3. IRP 審査を通過した後，データ共有合意書への署名が行われる。署名後，企業側で非特定化

データを用意し，研究者へ共有され，研究が開始される。

なお，研究企画書のサンプルフォーム48や審査体制，独立審査委員会メンバーと趣意書，データ共有

合意書の主旨とそのテンプレートなどについては，CSDRのウェブページ49で公開されており，例えば

具体的にどういった情報を研究企画書に記載すべきか確認することができるほか，以下の内容が掲載

されている。

研究企画書の審査を公益信託団体ウェルカム・トラストが担当する。データ共有合意書は法的文書であり，次の内容が含まれる。 - 研究目的以外のデータの使用禁止 - データのダウンロード禁止 - 被験者のプライバシー保護 - 被験者特定を試みることを禁止 - 解析の結果得られた安全性上の懸念の即時報告 - 解析計画サマリーの事前提示 - 解析終了後 1 年以内に結果を公表 - 原稿を含む結果情報をスポンサーに提供 - スポンサーによる結果利用を無料で許可など

独立審査委員会趣意書：独立審査委員会の目的やメンバーなど

3.3 どのようにデータを共有するか？（その 3：共有されるデータパッケージの内容）

データ共有が実施される際，どのようなデータが共有されるかは CTDS プラットフォームやデータ提

供者である企業の方針・ルールにより異なる。また，共有されるのはデータそのものだけではない。

表 4 に共有されるデータの種類や，データとともに共有されるドキュメントとしてどういったものが

あるかを示す。ドキュメントには，データ仕様書といったデータの技術文書類の他，プロトコルや解

析計画書，CSR などが含まれる。解析プログラムやログなども共有されることがあるが，これらはオ

プションの位置づけであり，標準的なコンテンツには含まれないことが多い。既述の NAM のレポー

トでは，解析用データや解析結果を作成するのに使用されたプログラムの共有をデータ提供者である

企業に求めている。多くの企業は，通常，プログラムの共有を行っていないが，試験の科学的妥当性


や試験実施企業への信頼を向上させるためにも，解析内容の詳細が確認できる解析プログラムの共有

が期待されている。

表 4．想定される共有データパッケージのコンテンツ 50 項目詳細

非特定化された生デー

タ（Anonymized Raw datasets）

生データとは，症例報告書（case report form：CRF）等で収集された情報

そのままのデータのこと。データが共有される際，全てのデータではな

く，研究に必要なデータのみが提供されることがある。被験者のプライバ

シー保護のため，非特定化処理が行われたデータが共有される。

非特定化された解析用

データ（Anonymized Analysis-ready datasets）

解析用データとは，生データから解析に必要な導出等のデータ加工が施さ

れたデータのことである。生データと同様，研究に必要なデータのみが提

供される場合があり，また，非特定化処理が行われたデータが共有され

る。

プロトコル（改訂版含

む）（Protocol including any amendments ）

プロトコルには試験のデザインや評価スケジュール，計画されていた解析

内容等が記述されている。商業機密に関わる文章は，通常，削除等の編集

加工されたものが共有される。

注釈付き症例報告書

（Annotated CRF） CRF で収集された各項目のデータが，どのデータセットのどの変数に格納

されているかの注釈がついた症例報告書のことで，研究者がデータ内容を

理解する手助けとなる。

解析計画書（Statistical Analysis Plan）

解析計画書は，試験の計画時に統計解析担当者によって作成されるもの

で，適用される統計手法のほか，導出すべき統計的エンドポイントの概要

が包括的に記載されている。

データ定義書（Dataset specifications）

データ定義書は，データセットの構造や変数について解説しているもの

で，解析計画書と併せて参照するのがよい。

治験総括報告書（Clinical Study Report：CSR）

CSR については，個々の被験者情報の非特定化や，商業機密に関わる情報

の削除といった編集加工が適宜施された上で共有される。全症例を対象と

した症例一覧表は通常含まれない。

オプショナル：解析プ

ログラム（Programs）

解析用データの共有ができない場合，データ提供者は解析用データや解析

結果を生成するプログラムを共有するケースがある。共有されるプログラ

ムはそのままでは実行できない場合がある。

また，データや試験の解析内容を研究者が正しく理解できるように，解析

モデルの概要が分かるプログラムが共有されることもある。

オプショナル：ログ（Logs）

元の解析プログラムが他のコンピューターシステムで実行できない場合

や，データ提供者が所有する標準マクロを呼び出すために実行できない場

合などでは，プログラムと併せてログの共有が有用となることがある。

3.4 共有されたデータを使ってどういった研究が行われているのか？

前述のCSDRに申請された研究プロジェクトは，合意書への署名が完了するとCSDRのMetrics51で研究の

詳細（研究タイトル，Lead researcherおよび所属研究機関，データ提供された試験の情報，研究目的

と内容等）を確認することができ，2016 年 11 月末時点で 138 件の研究プロジェクトが公開されてい

る。Lead researcherの所属研究機関での内訳は，北米から 66 件，欧州から 50 件，それ以外の地域


（所属なしを含む）から 22 件となっているが，このうちLead researcherが日本の研究機関に所属して

いるものは 1 件であった。

CSDR の Website で公開されている各製薬企業の臨床試験データの共有基準を満たし，公開の対象と

なっている試験は第 1 相臨床試験から製造販売後臨床試験まで幅広く存在するが，実際に研究の対象

となっている試験は第 2 相や第 3 相の群間比較試験が多くを占めている。研究目的・内容を参照して

みると，単一の薬剤に着目した部分集団解析の実施や薬剤特有の有害事象の発現の予測など探索的な

検討を目的とした研究が多く，複数の薬剤間での比較（ネットワークメタアナリシスを含む）を主た

る目的とした研究はあまり多くない。その他に薬剤ではなく疾患そのものに注目し，疾患特性の把握

やエンドポイントの開発を目的とするなど，CTDS を用いた研究は多岐に渡る。

上述の 138 件の研究プロジェクトのうち，Status が「Published and/or results summary received」と

なっている研究は全部で 6 件となっており，公表論文でその結果を参照可能なもの（5 件）について，

概要を以下に示す。

Proposal 647：治療効果の不均質性52

治療効果に臨床的有意差が得られた臨床試験のアウトカムリスクには，相当なバリエーションが

存在するのが典型である。多くの被験者では，結果概要に提示されている平均よりも低いアウト

カムリスクを呈する。なぜなら，アウトカムリスクの分布は一般に歪んでおり，数の少ないハイ

リスク集団が大きな効果を示すためで，多くの被験者は試験結果よりも小さな効果しか得られな

いためである。結果をリスクで定義した部分集団で示すことは妥当であり，臨床的に意味のある

発見につながる。

Proposal 669：Study 329 の復元53

思春期大うつ病に対して，パロキセチンおよび高用量イミプラミンはいずれも有効性は示され

ず，有害性を増大する。試験の primary data へのアクセスは，有効性および安全性に関する公表

された結論を盲目的に信ずるべきではないなど，臨床および研究のいずれにとっても重大な意義

がある。今回の Study 329 の再解析は，エビデンスベースの厳密さを増すためにプライマリ試験

データやプロトコルを入手することの必要性を示すものである。

Proposal 1058：PI/rとNNRTIsの比較54

HIV の治療として過去の臨床試験では， NNRTIs（非核酸系逆転写酵素阻害剤）はウイルス抑制を

加速させる一方で，PI/r（リトナビルブーストプロテアーゼ阻害剤）は CD4 を回復させるとして

いる。しかしながら，それぞれの試験では検出力が不足していたことから，メタアナリシスを実

施した。検討の結果，NNRTI ベースと PI/r ベースの治療の間に，臨床的及びウイルス免疫学的な

差異は発見できなかった。

Proposal 1137：免疫療法試験のシミュレーター55

ヒトのインフルエンザ A ウイルス感染の宿主内の動態を，最も単純なモデルで検討した。モデル

が生物学的に平易であるにもかかわらず，これらのモデルが感染後の重症度や，免疫療法及び抗

ウイルス薬の特性を理解するのに使えることを示した。感染に関連する要素として，9 つの値を

導き出した。

Proposal 1148：双極性障害における再発率のメタアナリシス56


インデックスエピソードから次の気分エピソード（SME）までの期間の中央値は 1.44 年であり，

1 年目のリスクは 44%，1 年目に SME が発現しなかった場合の 2 年目のリスクは 19%であった。

44%が 1 年で発生していた。II 型でのリスクは I 型に比べて高く，I 型の次の躁病，混合性，鬱病

エピソードのリスクは，同じ極性のインデックスエピソード後に高かった。SME のリスクは，持

続的な亜症候群性症状を持つ被験者において高かった。

上述のような事例が出てきている一方で，研究結果の論文化が順調に進んでいるとは言い難い状況も

明らかになってきており57，2 次解析という観点でCTDSのニーズが今後拡大していくのか，今後の動

向が注目される。

3.5 CTDS のベネフィットとリスク

CTDS により共有された被験者レベルのデータを用いた解析（2 次解析）は，元々の治験実施計画書や

解析計画書で規定された解析（1 次解析）では得られなかったエビデンスをもたらす可能性があり，

公衆衛生の向上に寄与することが期待される。また，臨床試験データの有効利用は，臨床試験の不要

な繰り返し，そして被験者に対する不要な曝露の繰り返しを回避することにもつながる。したがって，

CTDS は臨床試験の実施者及び被験者の双方にメリットをもたらすものである。

一方で，CTDS が内包するリスクも充分に理解しておく必要がある。CTDS のリスクには，共有される

臨床試験データそのものに関するものと共有されたデータを用いて行われる 2 次解析に関するものが

ある。データそのものに関するリスクは，共有される臨床試験データが，年齢，性別などの個人情報

のみならず，臨床試験で収集される詳しい疾患情報が含まれることに起因する。すなわち，共有され

た臨床試験データの漏洩や他のデータとの結合によってプライバシーの侵害が生じ，被験者が社会

的・経済的な損害を被る恐れがある。特に，希少疾患や難病，遺伝病などの個人情報が明らかになる

ことは，社会生活における不当な扱いや差別を受けることにつながる。

解析に関するリスクは，医学的・統計的に妥当でない 2 次解析が行われることである。例えば，不適

切な 2 次解析によって，有用な治療法を否定する結果が公表された場合，その結論が懐疑的なもので

あっても，医師や患者の判断に少なからず影響を及ぼす可能性がある。当然のことながら，1 次解析

においても解析の適切性・妥当性の問題は生じるが，2 次解析の実施者は，1 次解析に比較して，

データ構造やデータの取り扱いの理解が不充分であり，誤解に基づく誤った解析が行われる可能性は，

2 次解析の方がより高くなると考えられる。また，このような故意でない誤った解析だけでなく，悪

意を持った，言わば故意による不適切な解析結果が公表される可能性も否定できない。例えば，不適

切な 2 次解析の結果が公表された場合，1 次解析の実施者を含めて元の臨床試験に関わった者は何ら

かの対応を行う必要がある。このことを悪用して，不適切な 2 次解析を故意に行い，ライバル会社や

研究の競争相手に無駄なリソースや時間を使わせることも可能である。また，2 次解析者と元の臨床

試験に関わった者との間のやり取りが，知的財産情報や商業的情報を引き出す手段として使われる可

能性もある。なお，解析に関するリスクとして，そもそも 2 次解析は事前に計画された解析ではなく，

ad-hoc な探索的な解析であること，また多くの 2 次解析が行われることによる多重性の問題を潜在的

に含んでいることを認識しておく必要がある。

最後に，臨床試験を実施するインセンティブについて触れておきたい。CTDS の有用性を認めながら

も，CTDS があまりに有益であると，臨床試験に多大な時間とリソースを費やすインセンティブが低

下してしまうのではないか，という声も聞かれる。このような研究開発投資や試験参加へのインセン

ティブが低下すると，新しい臨床試験が減少し，結果として共有する臨床試験データが枯渇してしま


うことになる。したがって，CTDS を推進していくうえで，これらのインセンティブの低下を防ぐ仕

組みも合わせて検討することが重要である。

4 CTDS とプライバシー保護

4.1 プライバシー保護の基本的な考え方

これまで，「臨床試験の個別被験者データの共有（CTDS）」とは何か，また，その歴史，事例，日本

企業の取り組み，そしてそのベネフィットとリスクについて紹介してきた。ここでは視点を変えて，

被験者のプライバシー保護の観点から，なぜ共有前のデータ加工が必要で，それらはどのように処理

されるべきか？について述べる。

個別被験者データ（IPD）を第三者と共有する場合のリスクとその対策として，NAM は表 5 のように

まとめている8。CTDS には，前章で述べた 2 次解析や商利用でのリスクに加え，被験者のプライバ

シー侵害のリスクがあり，CTDS における論点の一つとして議論されている。例えば NAM では，プラ

イバシー侵害の対策として，1. 非特定化処理およびその他のプライバシー保護技術やアルゴリズムの

適用，2. （利用者からの申込み等の）登録制の採用，3. データ利用合意書（Data Use Agreements：DUA）による被験者の再特定化やデータ濫用の禁止，4. セキュリティ保護を挙げている。3.1 章で紹介

した各社の CTDS の仕組みは既にこれらの対策を採用している。その中で，1 の「非特定化処理およ

び最新の技術やアルゴリズムの適用」は日本の製薬企業・組織にとって新しい課題であり，今後検討

が必要と思われる。

表 5．IPD を第三者と共有する場合のリスクとその対策（NAM の報告から）被験者のプライバシー（Participant Privacy）

1. 非特定化処理およびその他のプライバシー保護技術やアルゴリズムの適用（De-identification and application of other privacy-enhancing technologies and algorithms）

2. 登録制の採用（Required registration） 3. データ利用合意書による被験者の再特定化やデータ濫用の禁止（DUA clause prohibiting

the re-identification or misuse of data） 4. セキュリティ保護（Security protections）

不公正な商利用（Unfair Commercial Use） 1. データ利用合意書の条項（DUA clauses） 2. CSR にウォーターマーク*（Watermarking CSRs） 3. CSR のダウンロード不可（Making CSRs nondownloadable） 4. データ要求の審査／アクセス者の制限（Review of data requests/restrictions on who gets

access）正しくない 2 次解析（Invalid Secondary Analyses）

1. データ要求の審査／研究企画書の利点・適格性を元にしたアクセス制限（Review of data requests/restrictions on access based on qualifications and/or merit of research proposal）

2. 解析計画を公開することを定めたデータ利用合意書の条項（DUA clause requiring public posting of analysis plan）

3. 公開前に臨床試験研究者やスポンサーが解析結果をレビューすることの許可を定めた

データ利用合意書の条項（DUA clause allowing sponsor/clinical trialist to review analyses before publication）

臨床試験研究者やスポンサーへの言及（Credit for Clinical Trialists/Sponsors） 1. 全てのパブリケーションにデータ作成者を言及することを定めたデータ利用合意書の条

項（DUA clause to credit data generator in any publication） *ウォーターマークとは，主に著作権保護などの目的から，画像や映像などのデジタルコンテンツに識別用情報

を追加することである。あるいは，そのようにして付け加えられた情報のことである。（IT 用語辞典）


最初にプライバシー保護に関する基本的な考え方を紹介する。米国やEUの法制度の動向の根底には，

下記のようなプライバシー・バイ・デザイン（Privacy by Design：PbD）の考え方があるとされる58。

1. プライバシー保護に関しては，事後の対策ではなく，事前に予防措置をとるべし 2. プライバシー保護はデフォルトであるべし 3. プライバシー保護の仕組みは制度やシステムの設計時に取り組むべし 4. データ事業者，サービス利用者双方の利益になるのでプライバシー保護対策をしっかりやる

べし 5. プライバシー保護は個人のデータの生成から廃棄までの全期間において実施すべし 6. プライバシー保護の仕組みを可視化，透明化すべし 7. プライバシーは利用者中心の仕組みにすべし

さて，企業が有している臨床試験の IPD をそのままの形で第三者と共有した場合，被験者に，どのよ

うな不都合が想定されるだろうか？臨床試験データには，病歴などの配慮すべき情報（後述のセンシ

ティブ・データ Sensitive Data）」が含まれる。これらは，本人に対する不当な差別，偏見その他の不

利益が生じないように，その取扱いに配慮を要する。

医療情報のプライバシー侵害の事例としては，マサチューセッツ州のGroup Insurance Commission（GIC）の例が知られている

59。GICは氏名を取り除いて医療情報を民間企業に販売していた。これとマサ

チューセッツ州の選挙人名簿（これも販売されていた）を連結すると，州知事の医療情報を特定でき

ることが確認された。特定された情報によっては，悪意のある攻撃者に利用される可能性があったと

想定される。しかし，問題は，GICの事例のように表面化したものにとどまらず，個人を特定できる

データが販売または公開されている可能性があり，かつ，それらが，悪意のある人・組織に利用され，

暗黙の内に，ある個人の就職，結婚，昇進，選挙など人生の重要な局面に影響を与えていないとは断

言出来ないことである。また，情報処理技術が急速に高度化する現状においては，ある時期にはプラ

イバシー侵害の問題がない仕組みであっても，将来的に保護技術が陳腐化してしまう可能性もないと

は言えない。さらに，表 5 のセキュリティ保護に関連して，米国では医療機関データベースのセキュ

リティ対策が相対的に遅れていることや，ブラックマーケットで医療情報が取引されていることから，

医療データは営利目的の犯罪者にとってますます魅力的になっており，犯罪が増加していることが報

告されている60, 61

。

プライバシー権は「私事をみだりに第三者におかされない法的権利。人格権の一部と考えられている。

（大辞林）」とされており，通信技術がますます発達する現代においては「人目に触れたくない」と

感じる個人の権利は尊重されるべきだろう。したがって，IPD の共有がプライバシーの侵害に繋がる

のであれば，データ共有による具体的な不都合があるから対処するのではなく，基本的人権保護を動

機の中心に置いたプライバシー保護のための実施体制や手順が準備されることが望ましい。臨床試験

の透明化を推進する上で，研究に協力いただいた被験者のプライバシーを守ることは企業の責務であ

り，プライバシーが十分保護されない形で IPD が第三者と共有されることがあってはならない。多く

の臨床試験データを有しているのは製薬企業であり，非特定化のためのデータ加工を外部事業者に委

託するにしても，その処理が適切であることを保証する責任は製薬企業にある。別の言い方をすると，

被験者のプライバシー保護は，製薬企業が主体的に取り組まなければ対処できない課題である。プラ

イバシー保護のためのデータ加工技術の導入は，データサイエンス部門に積極的な関与が求められる

ことになるだろう。


4.2 IPD の利活用における各国法制度の話題

プライバシー保護の法制度に関する資料は豊富で多岐に渡り，その要約や紹介は，法律を専門としな

い，データサイエンス部門が取り扱える範疇を超えている。従って，ここではごく簡単に IPD 利活用

に関する各国の法制度の最近の話題を紹介する。

中川らによると「個人情報にかかわる法制度は日本と欧米の間でかなり大きな差があり，EU から個

人データを輸入できないなど好ましいとは言えない状況にある58」とされている。CTDS の IPD 利活用

に関連した日本の法制度に関しても，未だ法整備の途上にあると考えるのが妥当だろう。一方で，治

験・臨床試験は日本を含んだマルチ・リージョンで実施されることに違和感がない時代を迎えている。

IPD 利活用に関する法制度に対処する場合，製薬企業は日本の法制度だけではなく，グローバルな視

座で準備する必要がある。この観点では，3.1 章で紹介した CSDR はグローバルに展開する企業が欧米

で通用する形で体制・手順を整えたものであり，プライバシー保護に関しても参考になる面があると

思われる。

EMAのCTDSの取り組みについては 2.3 章で紹介した通りであるが，臨床試験の透明性推進と同時にプ

ライバシー保護の重要性にも言及している。EUはプライバシー保護に先進的に取り組んでおり，包括

的に幅広く検討している。2016 年 4 月に一般データ保護規則（General Data Protection Regulation：GDPR）が欧州議会において採択され，2018 年 5 月に施行される見通しとなった

31。GDPRは個人デー

タの処理と移転に関する法律であり，厳しい規制と罰則が特徴となっている。欧州経済領域

（European Economic Area：EEA）と個人データをやり取りする日本のほとんどの企業や機関・団体が

適用対象となり，適用が開始される 2018 年 5 月 25 日までに適切な準備を進めることが必要とされて

いる62。また、匿名化の技術的な面では，EU指令第 29 条作業部会が「匿名化に関するガイドライン

（WP216， 2014 年 4 月 10 日）23」にて，匿名化に関する複数の技術を分析し，報告している。

USでは，2012 年 11 月に米国保健福祉省（United States Department of Health and Human Services： HHS）が，データの非特定化方法に関する新しいガイダンスを公表した

63。これは，医療保険の携行性と責

任に関する法律（Health Insurance Portability and Accountability Act of 1996：HIPAA）のプライバシー保

護に関する匿名化基準を満たされるために使われる二つの方法（エキスパート・デターミネーション

方式，セーフハーバー方式）に関して解説したものである。1996 年の匿名化方法には批判があり 64

（例えば「制定当時よりも情報通信技術が進歩したために，公開情報と組み合わせるといったん匿名

化されたはずの医療情報が容易に再特定されうる事態が明らかになった」「IOM（現在はNAM）は，

HIPAA プライバシー規則ではプライバシーの保護が十分に図られていないばかりか，有用な医学研究

が阻害されていて二重に問題がある，という報告書を公表した 65」など），ガイダンスはこれら批判

にも答えたものと考えられる。

日本では，2013 年に「パーソナルデータに関する検討会」が政府IT総合戦略本部によって立ち上がり，

プライバシー保護の重要度が認識され個人情報保護法の改正に向かって検討されてきた。改正個人情

報保護法は 2016 年 12 月 20 日に閣議決定され，2017 年 5 月 30 日から全面施行される。匿名化の技

術的な面では，個人情報保護委員会から，個人情報の保護に関する法律についてのガイドライン（匿

名加工情報編）66が公開されている。また，国立情報学研究所の「匿名加工情報に関する技術検討

ワーキンググループ」からも，このガイドラインを補完する位置付けの、改正個人情報保護法、特に

匿名加工情報の円滑な導入に資することを目的とした「匿名加工情報の適正な加工の方法に関する報

告書 2017 年 2 月 21 日版」が公表されている67。ただし，パブリックコメント：結果公示案件詳細の

No.23 に，学術研究は第 4 章の個人情報取扱事業者の義務等の規定（匿名加工を含む）から除外され


ることが記載され，医療関連分野については，別途の規律を定める方向で検討しているとされてい

る68。

4.2.1 個人データの越境移転と十分性国境を跨いだ個人データの移転（越境移転）に関し，EUは個人情報保護法制が十分でない国に対し，

厳しい規制を課している。現在，EU内で採取された個人データの越境移転にあたってデータ保護の十

分性を認められている国は，11 の国と地域（スイス，カナダ，アルゼンチン，ガンジー島，マン島，

ジャージ島，フェロー諸島，アンドラ，イスラエル，ウルグアイ，ニュージーランド）である。また，

米国は特例としてEU-US Privacy Shield（セーフハーバー協定が 2015 年 10 月 6 日，欧州の司法裁判所

により無効となったため 2016 年 7 月 12 日に締結）をEUと結んでいる69。日本は個人情報保護法制が

十分でない国とみなされており，EU域内からデータ移転を受ける日本企業は個別に 1）「標準契約条

項」を利用したり，2）企業グループ内で効力を持つ「拘束的企業準則（Binding Corporate Rule：BCR）」を利用したり，もしくは 3）本人からデータ移転に関する同意を取得するといった措置を講

じる必要がある。EUと取引のある日本企業には，EUデータ保護法制に適合するための手段として，こ

の十分性認定の下でデータ移転を行うことが最も個々の企業の負担が少なく，望ましい姿と考えられ

る70。GDPRでさらにハードルが上がった十分性への対応を含め，EU法規制の議論が重要になってい

る。

4.3 CTDS におけるプライバシー保護についての議論

CTDSにおけるプライバシー保護については，様々な団体が検討を行っており，これまでに各種ドキュ

メントを公表している。ここでは，3 章で触れたNAM のほか，TransCelerate BioPharma Inc.（TransCelerate71

），Health Information Trust Alliance（HITRUST72），Council of Canadian Academies

（CCA73），Pharmaceutical Users Software Exchange（PhUSE74

）が公表しているドキュメントについて

触れる。

NAM

NAM は，2015 年 1 月に公表したレポート「Sharing Clinical Trial Data; MAXIMIZING BENEFITS, MINIMIZING RISK8

」の Appendix B として「Concepts and Methods for De-identifying Clinical Trial Data」を

公開している。リスクベースの方法論に基づいた臨床試験データの非特定化の方法が，具体例も交え

ながら分かりやすく記述されている。

TransCelerate

TransCelerate は，安全で有効な治療がより効率よく市場に提供されることを目指し，その実現に役立

つ革新的なプロセス改善を行うという旗印の下に集まった，製薬企業やバイオテクノロジー企業で構

成される NPO 法人（20 社 2017 年 3 月現在）である。TransCelerate が 2015 年 4 月に公表した「Data De-identification and Anonymization of Individual Patient Data in Clinical Studies - A Model Approach28

」では，

臨床試験データの共有はセキュアでアクセスコントロールされた環境下で行われることを前提として

いる。そのため，データが再特定されるリスクの評価は多くの場合で不要と判断され得るとの考えか

ら，HIPAA プライバシールールにある二つの方法論のうち，シンプルかつ画一的なアプローチである

セーフハーバー法に基づいた記述となっており，データ再特定のリスクを主軸としたエキスパート・

デターミネーション法は補足的に扱われている。なお，ここで扱われているセーフハーバー法は，臨

床試験データの性質を鑑み拡張したセーフハーバー法となっている。


HITRUST

HITRUSTは情報セキュリティの活用と最適化を目指すUSの組織で，「De-identification Framework75」を

2015 年 3 月に公表した。この中で，NAMのAppendix Bと同様，データの非特定化について様々な視点

からの考察が行われている。特徴的な点としては，”Who has appropriate knowledge and experience?”と題したセクションで，HIPAAプライバシールールのエキスパート・デターミネーション法で述べら

れている「適切な知識と経験を持った」エキスパートが満たすべき要件について論じており，その

チェックリストも提供している。

CCA

カナダの独立非営利の組織であるCCAは，2015 年に「Accessing Health and Health-Related Data in Canada76

」を公表し，臨床試験データを含む保健/医療データ全般についての考察を行っている。単に

データの非特定化だけでなく，保健/医療データを扱うにあたっての様々な観点からのベストプラク

ティスを提言している。

PhUSE

PhUSE（Pharmaceutical Users Software Exchange）は，ボランティアによって運営される独立 NPO であ

る。2004 年に設立され，ルーツであるヨーロッパの統計プログラマーのための会議体から，データマ

ネジャー，生物統計学者，統計プログラマー，eClinical IT の専門家の業務を包括した話題を議論する

ためのグローバルなプラットフォームに発展した。

PhUSE Working Group が 2015 年 5 月 20 日に，De-Identification Standard（非特定化標準） SDTM 3.2 v1.0126

を公表した。この標準は，データの非特定化に関する背景情報も含め簡潔にまとめられており，

また SDTM の各変数に対して，非特定化のルール（基本，代替）が設定されている。詳細は，5 章を

参照のこと。

4.4 識別と特定，匿名化と非特定化

プライバシー保護技術に関しては，新しい用語や概念を理解する必要がある。ここでは，匿名化技術

の解説を始めるにあたって，重要な 4 つの用語（識別，特定，匿名化，非特定化）を説明する。なお，

CTDS における非特定化技術（プライバシー保護技術）の解説のために本報告書で用いている用語は，

改正個人情報保護法で用いられている法律用語およびその法的解釈とは異なる事に注意されたい。

4.4.1 識別と特定（IDENTIFICATION）

表 6 は架空の臨床試験データから作成した被験者のラインリストである。このようなパーソナルデー

タからなる情報が与えられた場合に，あるレコードを特定の個人に結び付けることを「特定」と呼ぶ。

被験者番号は，別の被験者番号とは異なる被験者であることを示す。治験担当医師等の一部の医療関

係者は，「ラインリストの被験者番号○○は，だれそれである」を把握している（つまり，「特定」

できている）。一方，その医療関係者以外は具体的に個人を「特定」することが出来ない。「識別」

とは，「具体的にどの個人の情報であるかまでは分からないが，それが誰か一人の個人であるかが分

かる状態」のことである。表 6 においては，個々の被験者は一般の第三者から「識別」されていると

言える。このように，「識別」と「特定」はデータと接する人の立場によって異なる概念である。

政府が推進するIT総合戦略本部の第 5 回パーソナルデータに関する検討会，技術検討ワーキンググ

ループの報告書77（2013 年 12 月 10 日）には，「識別」と「特定」を分けた理由として，「現行法に


おける「個人情報」等の用語の定義は，技術的観点からは明確であるとは言えないことから，本WGでは個人情報に関して下記のような整理（＝特定と識別を区別）をした上で検討した」「識別は必ず

しも個人を特定しているわけではないが，インターネットをはじめとして情報通信技術の進展等によ

り他の情報との突き合わせによる特定が行われ易くなっているという背景がある」としている。この

ように，「識別」と「特定」を違う概念として議論を始めた時期は比較的新しく，Identificationが日

本語に訳される場合，「識別（化）」とも，「特定（化）」ともされているようである。本レポート

ではIdentificationを「特定（化）」の意味で用いている。

表 6．臨床試験被験者のラインリスト（サンプル） # 都道府県性別年齢生年月日入院・外来副作用被験者番号

1 岡山県男 51 12APR1963 外来無 A00001-001 2 岡山県男 40 28MAY1974 外来無 A00001-002

3 岡山県女 53 06MAY1961 外来無 A00001-003 4 東京都女 60 28MAY1954 外来有 A00002-001 5 東京都女 45 14JUL1969 外来有 A00002-002

6 東京都女 50 13AUG1964 外来無 A00002-003 7 東京都女 53 18MAR1961 外来無 A00002-004 8 東京都女 53 22JAN1961 外来無 A00002-005

9 東京都女 90 27SEP1924 入院無 A00002-006 10 東京都女 58 07FEB1956 外来無 A00002-007

4.4.2 非特定化（DE-IDENTIFICATION）と匿名化（ANONYMISATION）

プライバシー保護に関連して「非特定化」はデータの対象が特定化されないための加工プロセスとさ

れるが，「匿名化（匿名化措置）」という用語は，使う人，国や地域によって複数の意味で利用され，

人によって様々な状態をイメージしてしまうため注意を要する。El Emamによると，広く受け入れら

れている「匿名化」の定義は，ISO技術仕様書の「識別データとデータ主体の間の関連を取り除くプ

ロセス」とされる78。ここで「データ主体」とは，特定の個人の事を指す。この他にも，「匿名化」

の定義として，データセットに含まれる個人情報を守るためにするべき全てを指す包括的な用語とす

るケース78，データ主体の特定を不可逆的に防止する目的で個人データを処理することとするケース

23，非特定化後に再特定化を不可能にするものと定義するケース

79,28，「匿名化」の定義を明確に記

載しないケース26，などが存在する。

「EUデータ保護指令（Directive 95/46/EC 22）」の例外を定めた指令前文(26)項に，匿名化されたデータ

はデータ保護法の対象外になることが記載されている。これについて，既述のWP216 では技術面から

見た法律解釈に言及している。WP216 の「匿名化」は，「データ主体の特定を不可逆的に防止する目

的で個人データを処理すること」とされている。ただし，報告書では同時にデータ保護の観点から既

存の匿名化技術の有効性と限界について分析し，個々の非特定化技術単独では再特定化の残存リスク

をゼロには出来ないとしている。このため，それぞれの匿名化技術に固有の特定化に関する残存リス

クを考慮することにより，これらの技術を取扱う際の勧告を提供している23, 80

。

前述の日本の技術検討ワーキンググループでも匿名化の限界について議論されている。そこでは「情

報の利活用における有用性を全く失うことなく，いかなる個人情報をも対象とした匿名化手法はない」

と結論づけ，匿名化にはケースバイケースの対応が必要としている77。

WP216 では，匿名化の頑健性（robustness）について「Singling out：個人を識別（single out）できな

いこと」「Linkability：同一人物の記録と連結（link）できないこと」「Inference：ある個人に関する

情報であると推定できないこと」の 3 基準を設け，「仮名化（Pseudonymisation）」と匿名化技術で

ある「ノイズ付加（Noise addition）」「集約または K-匿名化（Aggregation and K-anonymity）」「L-多


様性（L-diversity）」「差分プライバシー（Differential privacy）」等について評価している（表 7）。

さらに，それぞれの技術について，「よくある間違い」「匿名化の失敗」について考察を加えている。

表 7．3 基準に基づく仮名化と匿名化技術の頑健性（robustness）評価 81

有効な匿名化の 3 基準

Is Singling out still a risk?

Is Linkability still a risk?

Is Inference still a risk?

仮名化 Yes Yes Yes 匿

名

化

技

術

ノイズ付加 Yes May not May not 集約または K-匿名化 No Yes Yes L-多様性 No Yes May not 差分プライバシー May not May not May not

仮名化は，レコード内のある直接識別子を置換により別の情報（仮名 ID，通常は一意の属性）に置き

換える手法であり，元の識別情報に戻すことが可能なように処理する場合と，戻せないように処理す

る場合がある。仮名化処理のみを実施した場合は，データは依然として間接的に識別される可能性が

あり，匿名化された状態にはならない。データ主体とデータセット間の linkability を低下させるだけ

であり，有用なセキュリティ手段であるが，匿名化の方法ではないとされ，仮名化は匿名化技術とは

別に章立てされている。

ノイズ付加は一定の（確率）分布に従って発生したランダムな数値等を付加することによって，他の

任意の数値等へと置き換えることである。

集約または K-匿名化は，例えば，市町村ではなく都道府県，週ではなく月と加工することによって，

データ主体の属性を一般化または希釈することで，データ主体の特定を防ぐことを目的とした技術で

ある。L-多様性は K-匿名化を拡張した手法であり，センシティブ・データの取り扱いなどに有用と思

われる。L-多様性と K-匿名化については「4.4.4.2.1. 最小セルサイズと K-匿名性，最大リスクと平均

リスク」に具体例を示した。

差分プライバシーは，ノイズ付加と同様，共有するデータに対し事前にノイズを追加する手法である。

医療分野では，人工的なデータで解析することがデータ利用者に容易には受け入れられないため，こ

れらの手法の採用に否定的な報告78, 82

がある。

4.5 どのような項目をどう処理したらいいのか？

4.5.1 非特定化プロセスの全体の流れ

それでは，プライバシー保護のためのデータ加工において，どのような項目をどう処理したらよいだ

ろうか？まず，非特定化プロセスの全体的な流れを紹介する。NAM は非特定化プロセスの重要な要素

を図 4 の通り，総合的なデータフローにまとめている8。これは，様々なケースを想定して作成され

た加工プロセスである。例えば，研究企画書の目的に応じて共有データが準備される場合など，加工

すべき変数の数や種類は様々であり，フロー図の手順の中には必ずしも必要ないステップも含まれて

いる（ステップ 1，2 など）。

ステップ 1 データセット中の直接識別子を決定：Determine direct identifiers in the data set

ステップ 2 直接識別子をマスク（または置換）：Mask (transform) direct identifiers （1）直接識別子の除去


（2）ランダムな値による直接識別子の置換（3）仮名化データによる直接識別子の置換*

ステップ 3 脅威をモデル化：Perform threat modeling （1）攻撃者の存在を仮定し，その攻撃者がアクセスし得る情報を特定（2）データセットにおける準識別子を決定

ステップ 4 最小限の許容可能なデータの実用性を決定：Determine minimal acceptable data utility 準識別子に基づいて最小限の許容可能なデータの実用性を事前に決定することが重

要である。ここでは基本的に，データの使用目的または開示目的を考慮して，どの

フィールドを提供することが適切であるかを検討する。このステップは，データを

どのように非特定化するか，更には実施する解析を実質的に制限することになる。

ステップ 5 再特定化リスクの閾値を決定：Determine the re-identification risk threshold 十分なプライバシー保護とセキュリティ管理を備えた安全なポータルを通じてデー

タが共有されるか，データを意図通り共有された場合にプライバシー侵害がどの程

度あるか，などを考慮して設定する。（閾値（最小セルサイズ，再特定化の確率）

の設定の項を参照）

ステップ 6 ソース・データベースからデータをインポート（サンプリング）：Import (sample) data from the source database

ステップ 7 実際の再特定化リスクを評価：Evaluate the actual re-identification risk

ステップ 8 閾値と実際のリスク値を比較：Compare the actual risk with the threshold

ステップ 9 パラメータを設定し，データ変換を適用：Set parameters and apply data transformations 測定されたリスク値が閾値より高い場合，一般化，秘匿，ランダム化，およびサブ

サンプリング等の匿名化技術をデータに適用する。指定したパラメータに対し適当

な匿名化手法が見つからない場合は，パラメータを選択し直す必要がある。また，

閾値を見直したり，元のリスク評価の際においた仮定の一部を調整したりする必要

が出てくる場合もある。あるいは，日付について最低限必要なデータ有用性をどう

考えるかについて，データ利用者との調整が再度必要となることもある。

ステップ 10 ソリューションを診断：Perform diagnostics on the solution 測定されたリスク値が閾値よりも低い場合は，ソリューションを診断する。診断

は，客観的なものと主観的なものがある。客観的な診断では，前提条件からの逸脱

に対するソリューションの感度を評価する。例えば，攻撃者が被験者の診断名を

知っていると仮定した場合のリスク値や，データセットのサンプリング割合が不適

切だった場合のリスク値を測ることで感度を評価する。主観的診断は，データの有

用性がデータの利用または開示の目的を十分充たしているかどうかを吟味する。

ステップ 11 変換されたデータのエクスポート：Export transformed data to external data set 非特定化されたデータのエクスポートは，エクスポート先のデータベースのデータ

モデルに応じた方法で行う。この手順はかなりのリソースを要することもあるの

で，データ非特定化の計画時に明らかにしておく必要がある。

ステップ 12 プロセスと結果を文書化し報告：Produce report documenting process and results

*元の直接識別子に戻すことが可能なように処理する場合を想定していると思われる。


図 4. The overall de-identification process.

直接識別子，準識別子，センシティブ・データ

図 4 の非特定化プロセスを理解するために，まず，直接識別子（Direct Identifier），準識別子（Quasi Identifier），センシティブ・データ（Sensitive Data）を，PhUSE の de-identification standards for CDISC SDTM 3.2 に基づき紹介する。

直接識別子は単体または複数で個人の特定を可能にする情報で，被験者番号，誕生日，死亡日，名前，住所などが該当する。準識別子は他の情報と組み合わせた場合に高い確率で個人の特定を可能に

する情報である。準識別子は 2 つのレベルに分かれる。時間の経過により変化する可能性が低いもの


が準識別子レベル 1 で，年齢，国，人種，性別，民族などが該当する。時間の経過により変化する可

能性が高いものが準識別子レベル 2 で，臨床検査，転帰，副作用，治療・処置，病歴などが該当する。

センシティブ・データは，被験者のデータの漏えい，または被験者が再特定化された場合に，その人

の雇用適性，評判，保険引受能力，自尊心などを傷つけたり，または結果的に収入減を引き起こした

りする可能性のある情報で，妊娠中絶，薬物乱用，精神疾患，性感染症などが該当する。

4.5.2 SDTM の非特定化標準（DE-IDENTIFICATION STANDARD FOR CDISC SDTM 3.2）

さて，実際に臨床試験データを前にしてみると，「各データ項目が直接識別子，準識別子，センシ

ティブ・データのどれに該当するのか，しないのか？」は必ずしも明確ではなく，人によって処理す

る項目が容易には一致しないと予想される。5 章で詳しく紹介するSDTM（Study Data Tabulation Model83

）用の非特定化標準は，既述のPhUSEが無償で公開しているものである。この標準は，製薬企

業，CRO，ITベンダー，アカデミアからのメンバー，CDISCやデータプライバシーの専門家が，CDISC（Clinical Data Interchange Standards Consortium）のSDTMの各項目を分類し，その項目に非特定化のた

めのどのような処理をすべきかをまとめたものである。実際の試験で使用されるSDTMでは，変数の

種類や数が変わってくるので，あくまで目安であるが，表 8 は識別子等に分類されたSDTMの項目を，

その非特定化処理の基本ルール（Primary Rule）毎に集計したものである。なお，SDTM用の非特定化

標準で使う匿名化技術の個々の方法については 5 章の表 15．PhUSEで定義されている非特定化のルー

ルとその解説」を参照のこと。

表 8．適用が推奨される非特定化ルール（SDTM 用の非特定化標準）

SDTM 非特定化標準の

プライマリー・ルール件数項目の例（SDTM ドメインと項目ラベル）

直接識別子

Offset 1 DD（Death Details）の Date/Time of Collection Recode ID variable 58 EG（Electrocardiogram）の ECG Reference IDなど Recode subject ID 41 各ドメインの Unique Subject Identifier など Remove 19 EX（Exposure）の Lot Numberなど Review and only redact values with personal information

49 PE（Physical Exam）の Reason Not Examined など

準識別子レベル 1

Derive Age 1 DM（Demographics）の AGE Elevate to continent 1 DM（Demographics）の Country Keep 29 QS（Questionnaires）の Evaluator など Offset 1 DM（Demographics）の Date/Time of Death Remove 19 DM（Demographics）の Investigator Name など

準識別子レベル２

Keep 82 Character Result/Finding in Std Formatなど No further de-identification 154 Planned Study Day of Visitなど Offset 90 Date/Time of Reference Time Pointなど Remove 24 Result or Finding in Original Unitsなど

その他

Keep 1 MH（Medical History）の Body System or Organ Class Remove dataset - CO（Comments）のデータセット全体 Review and only redact values with personal information

80 Route of Administrationなど


4.5.3 データ加工サンプル

表 9 はデータ加工元サンプルである。以下，SDTM 非特定化標準のルールを付記して加工例を示す。

表 9．加工前のデータ施設 ID 医師 ID 医師名被験者 ID 年齢 AE発現日 AE消失日 AE報告名 AE 基本語

05252 39829 Dr Brown 51 49 27APR2013 29APR2013 Ache Pain

05252 39829 Dr Brown 28 93 10JAN2013 20JAN2013 Cold Nasopharyngitis

05252 39829 Dr Brown 28 93 09JAN2013 12JAN2013 Nausea Nausea

05252 39829 Dr Brown 98 94 15NOV2012 16NOV2012 Pain Pain

10298 70293 Dr Davis 69 89 28DEC2012 . Headache Headache

10298 70293 Dr Davis 3 56 18AUG2013 28AUG2013 Cold Nasopharyngitis

10298 70293 Dr Davis 83 53 04MAY2013 04MAY2013 Stinging Pain

10298 70293 Dr Davis 5 76 31MAR2013 10APR2013 Influenza Influenza

データ加工サンプル１：日付のオフセット加工等を用いて被験者の特定化情報を除いた例施設 ID：削除（Remove）医師 ID：新たな医師番号で置換（Recode ID variable）医師名：削除（Remove）被験者 ID：新たな被験者番号で置換（Recode ID variable）年齢：89 歳超を削除（Derive Age），新たに年齢の分類変数を作成（Aggregate Age：SDTM 非特

定化標準の代替ルール） AE 発現日：オフセット（offset） AE 消失日：オフセット（offset） AE 報告名：削除（Remove） AE 基本語：加工なし（Keep）

表 10．データ加工サンプル 1

施設 ID 医師 ID 医師名被験者

ID 年齢

年齢分類

AE発現日 AE消失日 AE報告名 AE 基本語

395 3910 49 <=89 8-Dec-12 10-Dec-12

Pain

395 2948 . >89 10-Nov-12 20-Nov-12

Nasopharyngitis

395 2948 . >89 9-Nov-12 12-Nov-12

Nausea

395 4612 . >89 5-Nov-12 6-Nov-12

Pain

432 8049 89 <=89 28-Nov-12 .

Headache

432 2839 56 <=89 18-Nov-12 28-Nov-12

Nasopharyngitis

432 4482 53 <=89 4-Nov-12 4-Nov-12

Pain

432 5682 76 <=89 1-Dec-12 11-Dec-12

Influenza

データ加工サンプル 2：日付の相対日付での置換と症例数の少ない施設の集約加工等を用いて被験者の特定化情報を除いた例施設 ID：症例数が 10 より少ない施設を統合（Recode ID variable）医師 ID：削除（Remove）医師名：データセットから削除（Remove ）被験者 ID：新たな被験者番号で置換（Recode ID variable）


年齢：89 歳超を削除（Derive Age），新たに年齢の分類変数を作成（Aggregate Age：SDTM 非特

定化標準の代替ルール） AE 発現日：相対日付（relative dates）で置換 AE 消失日：相対日付（relative dates）で置換 AE 報告名：削除（Remove） AE 基本語：加工なし（Keep）

表 11．データ加工サンプル 2 施設 ID 医師 ID 被験者 ID 年齢年齢分類 AE 発現日 AE 消失日 AE 報告名 AE 基本語

40658

3910 49 <=89 38 40

Pain

40658

2948 . >89 10 20

Nasopharyngitis

40658

2948 . >89 9 12

Nausea

40658

4612 . >89 5 6

Pain

40658

8049 89 <=89 28 .

Headache

40658

2839 56 <=89 18 28

Nasopharyngitis

40658

4482 53 <=89 4 4

Pain

40658

5682 76 <=89 31 41

Influenza

4.5.4 SDTM の非特定化プロセス

PhUSE は英国に本部を置く団体であるが，興味深いことに彼らが作成した SDTM の非特定化の手順

（PhUSE 方式）は EU のドキュメントではなく，米国 HIPAA のセーフハーバー方式とエキスパート・

デターミネーション方式を組み合わせたものである。PhUSE 方式は大きく分けて 2 つの作業から構成

される。まず，SDTM 用の非特定化標準に従って一般的なセーフハーバー方式を適用し，次にエキス

パート・デターミネーション方式に基づく残存リスクの評価を必要に応じて実施する。セーフハー

バー方式は，再特定のリスクが常に十分に小さいことを保証するものではないため，次の条件に当て

はまるような場合には，通常，残存リスク分析である第 2 ステップが推奨される。

十分なプライバシー保護とセキュリティ管理を備えた安全なポータルを通じてデータが公開され

ていないデータ利用者との間に利用契約が結ばれていない希少疾患の試験であるデータセットに極端な値がある関係者以外の人が知り得るような重篤な有害事象（例えば，死亡や自殺）が起きているデータセットに参加者に関する広範な人口統計学的特性および社会経済的情報が含まれているデータセットに参加者の詳細な病歴が含まれる

CTDS のスポンサーは，これらの条件に合致するかを考慮して，残存リスク分析の必要性を判断する

ことになる。

4.5.4.1. 第 1 ステップセーフハーバー（SAFE HARBOR）方式の適用

HIPAA プライバシールールのセーフハーバー方式は，対象とするいかなる事業者にも適用できるよう

に単純かつ画一的なアプローチになるように作られている。表 12 に，取り除かれるべき，または精

度を下げるべき 18 種類のデータ要素を示した。セーフハーバー方式単独の非特定化処理が認められ

るのは，(ii) に記載されている「適用対象事業者は，情報を単独もしくは他の情報と組み合わせて使


うことで，その情報の対象である個人（データ主体）を特定できるだけの実知識（Actual Knowledge）」

を持っていないことが前提である。ただし，実知識を持っているか否かの判断は難しい側面がある78。

PhUSE 方式では既述のように残存リスクを評価することにより，セーフハーバー方式単独か，否かを

判断することになる。なお，PhUSE 方式では，セーフハーバー方式をそのまま採用しているのではな

く，既述の通り，SDTM の各ドメインや変数に対して非特定化のルールを定めており，セーフハー

バー方式で規定されている 18 種のデータ要素以外の変数に対しても必要に応じて非特定化処理を行

う。

表 12．セーフハーバー方式：取り除かれるべき 18 種のデータ要素 “Safe Harbor” method, §164.514（b）（2）から抜粋 (i) 個人またはその親族，雇用主，または世帯員の以下の識別子が削除される。（A）名前（B）住所，市，郡，区域，郵便番号，およびそれに相当する地理コードを含む州より小さいすべ

ての地理的区画。但し，郵便番号*の最初の 3 桁は例外的に下記の通り扱う。（1）郵便番号の最初の 3 桁が同じ区域全体で 2 万人を超える場合は，それを一つの地理的単位

とし，（2） 2 万人以下の場合は，郵便番号の最初の 3 桁を 000 に変更する。

（C）誕生日（年含まず），入院日（年含まず），退院日（年含まず），死亡日（年含まず），お

よび 89 歳を超えるすべての年齢と 89 歳を超えていることが示唆される情報全て（年を含

む）。なお，89 歳を超える年齢について，「90 歳以上」というカテゴリーに集約されている

場合は適用外（D）電話番号（E）ファックス番号（F）メールアドレス（G）社会保障番号（H）診療記録番号（I）健康保険受益者番号（J）口座番号（K）証明書/ライセンス番号（L）車両番号とシリアルナンバー（ナンバープレート番号を含む）（M）デバイス識別子とシリアル番号（N） Web ユニバーサルリソースロケータ（URL）（O）インターネットプロトコル（IP）アドレス（P）生体認証識別子（指紋と声紋を含む）（Q）顔全体の写真とそれに類する画像（R） §164.514（c）項

84で許可されている場合を除く，その他の一意の識別番号，特性，または

コード。そして (ii) 適用対象事業者は，情報を単独もしくは他の情報と組み合わせて使うことで，その情報の対象で

ある個人（データ主体）を特定できるだけの実知識を持たない。

*米国の ZIP コードに関するルールである

4.5.4.2. 第 2 ステップ残存リスクの評価

HIPAA プライバシールールのもう一つのアプローチは，「エキスパート・デターミネーション

（Expert Determination）」または「統計的アプローチ」と呼ばれる。これには，再特定化のリスク分

析と，ケースバイケースのリスク評価・判断が含まれ，適切でない場合は，リスクを低下させるため

に処置が行われる。このアプローチはリスクの評価を伴うため「リスクに基づく非特定化」と呼ばれ

ることもある。 PhUSE 方式では，この残存リスクの評価プロセスを，必要に応じて第 2 ステップとし

て実施する。


4.5.4.2.1. 最小セルサイズと K-匿名性，最大リスクと平均リスク

再特定化リスクを評価する手段として，低頻度（Low Frequency）の概念がしばしば引用される。低頻

度はリスクを測定する 1 つの方法で，「リスクに基づく非特定化」をCTDSに適用する上で，理解して

おかなければならない考え方である。PhUSE方式では，Appendix 2 – Low Frequencies85で解説を加えて

いる。ここでは，まず，用語として「等価クラス」と「最小セルサイズ」を紹介する。

等価クラス（equivalence class）準識別子に同じ値を持つすべてのレコード最小セルサイズ（minimal cell size）データセット内の等価クラスの最小サイズ

一般に，低頻度はデータセット内のすべての準識別子によって定義される。例えば，表 13 の 3 つの

準識別子（性別，年齢，職業）とセンシティブ・データ（薬物検査）のデータベースを例にすると，

等価クラスは 39 歳の男性医師が 2，39 歳の女性医師が 1，および 37 歳の男性医師が 3 となる。この

6 レコードがデータセットの全てであれば，この例の最小セルサイズは 1 である。

表 13．準識別子とセンシティブ・データで構成されたデータベースの例 ID 性別年齢職業薬物検査 1 Male 37 Doctor Negative 2 Female 39 Doctor Positive 3 Male 37 Doctor Negative 4 Male 39 Doctor Positive 5 Male 39 Doctor Negative 6 Male 37 Doctor Negative

最小セルサイズは非特定化リスク評価上，重要な数値である。例えば，K-匿名性の K 値は非特定化さ

れたデータセットの最小セルサイズと等値である。K-匿名性は，再特定に対する防御のための最も一

般的な基準である。なお，K-匿名化のアルゴリズムの多くは一般化（Elevate to continent, Derive Age な

ど）と秘匿（Remove など）を使う。

また，最小セルサイズの逆数は最大リスク（Maximum risk）と同じである。最大リスクは，リスクを

測定するための保守的な方法であり，公開データのリリース，つまりオープンアクセスモデルでデー

タを共有する場合により適している。

最大リスク = Max(1

𝑆𝑆𝑆𝑆(𝐸𝐸𝐸𝑆𝐸𝐸𝐸𝑆𝑛𝑛𝑆𝑛𝐸𝐸𝑛𝑛[𝑆]))

CSDR のような多くの臨床試験の透明性イニシアチブの下でデータが開示される方法とより合致する

非公開のデータリリースの場合，リスクを測定するより適切な方法は平均リスク（Average risk）であ

る。平均リスクはあまり保守的ではなく，より詳細できめ細かい情報の開示を可能にする。

平均リスク = Average(1

𝑆𝑆𝑆𝑆(𝐸𝐸𝐸𝑆𝐸𝐸𝐸𝑆𝑛𝑛𝑆𝑛𝐸𝐸𝑛𝑛[𝑆]))

閾値（最小セルサイズ，再特定化の確率）の設定

図 5 は個人情報を開示する際に受け入れ可能な過去の最大リスクの閾値をまとめたものである86。た

だし，これらの閾値は公開データのリリースに用いられる最大リスクに関するものである。PhUSE方


式の再特定化リスクの閾値に関連して，前例に基づいて正当化できる最小セルサイズの範囲は，5 か

ら 10 で，その範囲内の正確な値は，データの感度やその他の要因によって異なる8。CTDSにおいて共

有されるデータは，研究企画書の目的に応じて準備されるため，場合によっては，レベル 1 またはレ

ベル 2 の準識別子の提供が不要になることも想定される。この場合，レベル 1 の準識別子のみのデー

タを提供した場合（レベル 2 の準識別子がデータセットに存在しない）には 10，レベル 2 の準識別子

のみのデータを提供した場合（レベル 1 の準識別子がデータセットに存在しない）には 5 など，含ま

れる準識別子に対応して，異なる閾値を使用できる26。最小セルサイズは，再特定化の確率として表

すことができるので，例えば，最小セルサイズ 5 の場合は 0.2， 10 の場合は 0.1 を最大リスク，平均

リスクの両方の閾値として設定できる。なお，各非特定化の処理の度に変更するのではなく，閾値を

スポンサーのポリシーとして設定しておくことも可能であろう。

図 5．様々な最大リスクの閾値

センシティブ・データの取扱いと L-多様性

例えば，仮にセルサイズ 5 の「ある準識別子の組合せ X」の全てのレコードの病歴に「麻薬中毒」が

あったとする。悪意のある攻撃者が知りたい個人（A さん）が，その「準識別子の組合せ X」に絞り

込まれていた場合，攻撃者は A さんを特定していなくても，A さんが「麻薬中毒」を病歴に持つこと

を知ることになる。

一般的に，センシティブ・データはより保護された方法で扱われることが予想される。しかし，デー

タに対する個々人の感じ方はステークホルダーによって異なる解釈がなされてきた。データセットが

よりセンシティブな内容を含んでいると考えられる場合，より厳密な非特定化閾値を使用することが

できる。例えば，センシティブ・データを含まないデータセットは最小セルサイズ 5（または確率閾

値 0.2），センシティブ・データを含む場合は最小セルサイズ 10（または確率閾値 0.1）を設定して対

処することが可能である。

また，病歴の内容を確認し，センシティブ・データを編集して（Review and only redact values with personal information），セルサイズ内のセンシティブ・データに多様性を持たせることができる。バ

リエーションが少なくとも L 個以上（1 < L ≤ K）に編集できているのならば，これを L-多様性と呼ぶ。

表 14 は L 多様性を施したデータのサンプルである。実際は，研究の目的を考慮して慎重に加工しな

ければならないが，この 6 レコードがデータセットの全てであれば，加工後の最小セルサイズ（K 値）

は 6 であり，L 値は 5 となる。

0.33 0.2 0.09 0.05

• 強いセキュリティとプライバシー対策• データを開示する権限がある• 同意を得ている• 再同定の動機がない

• セキュリティ対策・プライバシー保護がない• 機密性が高い• データを開示する権限がない• 同意を得ていない• 再同定の強い動機がある

安全性が高くて信頼できる受領者

公共利用されるファイル

非特定化のレベル：小

非特定化のレベル：大


表 14． L 多様性を施したデータベースの例（加工前と加工後） ID 性別年齢職業病歴（加工前）病歴（加工後） 1 Male 37 Doctor 麻薬中毒麻薬中毒 2 Male 37 Doctor 麻薬中毒各種物質毒性 3 Male 37 Doctor 麻薬中毒中毒および毒性 4 Male 37 Doctor 麻薬中毒曝露，化学的損傷および中毒 5 Male 37 Doctor 麻薬中毒傷害，中毒および処置合併症 6 Male 37 Doctor 麻薬中毒麻薬中毒

4.6 プライバシー保護とデータの有用性はトレードオフ

非特定化のためのデータ加工は，データの有用性を低下させる。したがって，最高のプライバシー保

護と最高の有用性の両立する非特定化処理は不可能である。このため，プライバシーを保護しつつ，

データの有用性も保つ，程よい程度の非特定化を行うことが大事になる。両者の関係は図 6 の曲線と

して表すことができる。

図 6．プライバシー保護とデータの有用性のトレードオフ曲線


5 CTDS における非特定化技術

本章では，4 章で触れた PhUSE の非特定化標準（De-Identification Standard）for CDISC SDTM 3.2 （v1.01, 20MAY2015）26

を用いた SDTM の非特定化について取り上げる。

PhUSEの非特定化標準は，CDISCの専門家やデータプライバシーの専門家だけでなく，製薬企業，CRO，ソフトウェア企業，そして学術機関からの参加者により検討され，非特定化されたデータセット間の

一貫性を向上させるために作成されている。この標準の作成の際には， HIPAA 87の要件，既存の利用

可能なスポンサーの匿名化（anonymization）の標準88, 89

，ICO’s Anonymisation code of practice25，文献

で提案されている方法90, 8

が参照されている。さらに，PhUSEは，匿名化（anonymization）のガイダ

ンス文書28に関してTransCelerateとも連携している。

PhUSEの非特定化標準では，CDISC SDTM Implementation Guide v3.2 91 で定義されたすべてのドメインと

その変数に対して，直接識別子（direct identifier）又は準識別子（quasi identifier）の区別及び非特定

化のルールが設定されている。ルールとして，基本ルール（primary rule）と代替ルール（alternative rule）が提案されている。基本ルールは，一般的に，データ共有を承認された研究の目的や範囲にと

どまらず先を見越した（pro-active）データの非特定化として定義されている。一方，代替ルールは，

特別な場合や承認された研究の目的だけを満たす受け身の（reactive）データの非特定化として定義さ

れている。スポンサーは，一般的にデータ利用に対して先を見越したデータの非特定化が適切か，ま

たは受身のデータの非特定化が適切かどうかを検討し，非特定化の処理を実施していく。以下の表 15では，PhUSEの非特定化標準で設定されているルールに対して解説及び研究者がデータを利用する上

でそのルールが与える解析への影響についてまとめている。なお，データを非特定化して研究者に提

供する際は，非特定化されたデータセットと共にどのように非特定化したのか（再コード化，データ

の削除，測定値の黒塗り等）を記載した非特定化文書（de-identification document）を作成し，研究者

に提供しなければならない。

表 15．PhUSE で定義されている非特定化のルールとその解説 PhUSE のルール【解析への影響】

解説

Recode subject ID（症例番号の再

コード化）【影響なし】

Subject ID は，直接識別子（Direct Identifier）であるため，新しいランダムな固

有の Subject ID に変更する必要がある。再コード化された Subject ID は，SDTM と ADaM の間で共通に設定する必要があ

る。また，主たる評価期間のデータとその試験の継続試験のデータ間でも共通

に設定する必要がある。つまり，同じ被験者が同一の研究依頼のいくつかの

データ／試験の一部である場合は，共通の再コード化された Subject ID を使う

ことを推奨している。 Recode ID variable （ID 変数の再コー

ド化）【影響なし】

Reference ID や Sponsor ID のような変数で直接識別子となる場合は再コード化を

行う。 Reference ID や Sponsor ID は，CRF ページや測定サンプル番号（直接識別子）を

使用して構成された可能性があり，再コード化が推奨される。一方，Group IDや Link ID は，通常，スポンサーが作成しているので，そのまま保持できる。他

のデータセットのデータとリンクするためのデータでなければ，再コード化で

はなく，削除することができる。状況（Remove の項を参照）によっては，責

任医師（Investigator）ID，施設（Site）ID についても適用される。


PhUSE のルール【解析への影響】

解説

Offset（補正日付）【季節の解析ができ

ない。部分日付と

完全日付の順序関

係がこのルールの

適応によって変わ

る可能性があ

る。】

日付に対する非特定化の方法として補正日付（offset dates）（日付を特定の起

点をもとにスライドさせる）と相対日付（relative dates）（日数差［日付は削

除する］）の一方もしくは両方の対応がある。 Offsetは，各症例の試験に入った最初の日（first date）（スクリーニング日や割

付日など）を試験全体の開始日（initiation date）に固定し，他のすべての日付

に常にこの差分（first date – initiation date）を当てはめることを指す。試験全体

の開始日は，ClinicalTrials.govで公的に利用可能なものを使うことができる。こ

のルールを当てはめると，すべてのoffset日付（MH［Medical History］やCM［Concomitant Medications］のドメインの日付を除く）が，試験開始日と終了

日の間の日付になる。CDISC標準（日付と相対日付の両方が存在する）に従った

データについては，データの利用の観点から両タイプの日付を保持し，どのよ

うに日付を補正するかを記載し，補正日付と相対日付をそのまま保持すること

が望ましい。Appdendix 192には，より詳細な説明と部分日付（日付の一部に欠

測がある場合）の取扱いについて記載されている。死亡日は誕生日と同様に直接識別子とみなせるが，臨床研究，特に生存時間解

析では欠かせない情報であるため，死亡日は補正（offset）して保持することが

推奨される。 Remove（削除）【影響はデータの

中身による】

第三者の個人を特定できる情報（測定会社名や住所，責任医師の名前など）

は，被験者に関する地理的な情報を提供する可能性があり，第三者自身のプラ

イバシーを危険にさらす可能性があるため，すべてのデータセットから削除さ

れなければならない。センシティブ・データ（Sensitive Data）は必ずしも個人を特定できる情報

（Personally Identificable Information：PII）や個人を再特定できる情報とは限ら

ないが，データが漏えいした場合を考え，削除する必要があるかもしれない。

原則的には，そのデータがもはや個人情報でない場合はデータを保持できる。フリーテキストデータには，個人を特定できる情報のデータが含まれる可能性

があり，直接識別子とみなされるため，一般的には，削除されなければならな

い（Review and only redact values with personal information の項参照）。施設 ID と責任医師 ID は，再コード化しても頻度解析により国／地域の中で

もっとも多い人数を組み入れた（当然のことながら参加者の多くが含まれう

る）施設が明らかになる可能性があり，削除される必要がある。解析に必要

で，リスクが許容できると考慮できる場合は，施設 ID や責任医師 ID を再コー

ド化する代替ルールを選択する。 Keep（保持）【影響なし】

準識別子として特定される変数であっても，一般的に解析や臨床研究で重要だ

と判断される場合（レベル 1 準識別子である性別など）は，そのままの変数を

保持（keep）することが推奨されている。この“Keep”というルールを当ては

めた際には，症例の再特定化の残存リスクを評価する際に再度吟味し，必要な

場合はさらなる非特定化のための方策を行い，最終的に問題がないことを文書

に記す。 No further de-identification （さらなる非特定

化はしない）【影響なし】

来院日付はデータのプライバシーに関する重要な情報であるが，--DY/VISIT/ VISITNUM/VISITDY といった情報もまた，一つの来院日付が判明するだけで，他

すべての来院日付が再特定化され得るという性質がある。これらは，レベル 2の準識別子として分類されるが，さらなる非特定化は推奨されない（すでに非

特定化されている）ということを意味する“No further de-identification”という

ルールが割り当てられている。相対日付すべてにおいてこのルールが適用され

る。


PhUSE のルール【解析への影響】

解説

Elevate to continent （大陸に変換）【国を要因や固定

効果として含めた

特定の解析は，再

現や実施ができな

い。】

国は重要なレベル 1 の準識別子であり，デフォルトで（つまり，先を見越した

データの非特定化をする場合であっても）残存リスクを減らすため，基本ルー

ルとして，大陸に集約することが推奨される。つまり，REGIONDI（DM［Demographics］ドメイン内の変数）として，国を ISO 規格で定義される大陸

に変換し， COUNTRY を削除する。もし国が解析にとって不可欠なものであり

（例えば，国が統計モデルにおける固定効果であり，結果が再現できない場

合），リスクが許容できると考慮できる場合は，代替ルールである keep を選

択する。 Derive Age （年齢の導出）【年齢を使った，

特定の解析はデー

タのカテゴリ化の

ため再現や実施が

できない。】

Age の基本ルールとして設定されている。生年月日は削除し，89 歳を超える年齢を欠測におきかえた Age とする（89 歳

以下の被験者のデータはそのまま保持）。また，年齢カテゴリ変数，AGECATDI［DM ドメイン内の変数］をカテゴリ［“<=89”，“>89”，年齢が欠測の場

合“ ”］として作成する。

Aggregate Age （年齢の統合）【年齢を使った，

特定の解析はデー

タのカテゴリ化の

ため再現や実施が

できない。】

Age の代替ルールとして設定されている。データセット内の年齢の分布から，低頻度（Low frequency）の年齢を含んでい

る場合または全体的な残存リスクから更なる非特定化が必要な場合，20-25 YEARS，25-30 YEARS など，又は 20-22 YEARS，22-24 YEARS などの異なる間隔

で，年齢のカテゴリ化を追加することができる。この場合，カテゴリ変数とし

て AGECATDI［DM ドメインの変数］を使い（カテゴリは大文字で設定），Ageは削除する。年齢のカテゴリの設定は，データに依存するため，スポンサーが

決める。 Review and only redact values with personal information（レビューして個

人情報のみを黒塗

りする）【影響は中身によ

る】

もしフリーテキスト変数が解析のために必要であり，controlled terminology に

よりサポートされている別の変数でコード化されていない場合，フリーテキス

トは，レビューされ，個人情報を含んだテキストのみ“--redacted—”で置き換

える。たとえば，“Dr Adam assessed tumor on right arm” は“--redacted-- assessed tumor on right arm”となる。

Remove dataset データセットの削

除

このルールは，すべての行を削除する必要があるコメントドメイン（CO）など

のデータセットに適用され，データセット自体を削除する。スポンサーが決め

た場合，Substance use（SU）のような別のデータセットにも適用することがで

きる。

ここからは SDTM データセットの非特定化の実施について解説する。CDISC SDTM Implementation Guide （Version 3.1.2）の DM ドメインのデータを事例として取り扱う。


ステップ 1：非特定化文書の準備

PhUSE の非特定化標準では，非特定化されたデータセットと共にどのように非特定化したのか（再

コード化，データの削除，測定値の黒塗り等）を記載した非特定化文書を作成し，研究者に提供する

ことになっている。そのため，以下の表 16 のような，SDTM 変数にどのようなルールをあてはめたか

を記載した文書を作成する。Excel ファイル等で作成し，非特定化データ作成の際にプログラムの引数

として読み込むことも想定される。

表 16．非特定化文書の例 DOMAIN Variable Name Variable Label Type Length Rule

DM STUDYID Study Identifier Char 20 DM DOMAIN Domain Abbreviation Char 2 DM USUBJID Unique Subject Identifier Char 20 Recode subject ID DM SUBJID Subject Identifier for the Study Char 20 Recode subject ID DM RFSTDTC Subject Reference Start Date/Time Char 20 Offset DM RFENDTC Subject Reference End Date/Time Char 20 Offset DM SITEID Study Site Identifier Char 20 Remove DM INVNAM Investigator Name Char 20 Remove DM BRTHDTC Date/Time of Birth Char 20 Remove DM AGE Age Num 8 Derive Age DM AGEU Age Units Char 10 DM SEX Sex Char 1 DM RACE Race Char 100 Keep DM ETHNIC Ethnicity Char 20 Keep DM ARMCD Planned Arm Code Char 20 DM ARM Description of Planned Arm Char 20 DM COUNTRY Country Char 3 Elevate to continent

ステップ 2：非特定化データの作成

各変数に設定したルールに基づき非特定化のデータを作成する。以下に非特定化前／後のデータを表

示する。

［非特定化前のデータ］非特定化前のデータ Row STUDYID DOMAIN USUBJID SUBJID RFSTDTC RFENDTC SITEID INVNAM 1 ABC123 DM ABC12301001 001 2006-01-12 2006-03-10 01 JOHNSON, M 2 ABC123 DM ABC12301002 002 2006-01-15 2006-02-28 01 JOHNSON, M 3 ABC123 DM ABC12301003 003 2006-01-16 2006-03-19 01 JOHNSON, M 4 ABC123 DM ABC12301004 004 01 JOHNSON, M 5 ABC123 DM ABC12302005 005 2006-02-02 2006-03-31 02 GONZALEZ, E 6 ABC123 DM ABC12302006 006 2006-02-03 2006-04-05 02 GONZALEZ, E

非特定化前のデータ（続き） Row BIRTHDTC AGE AGEU SEX RACE ETHNIC ARMCD ARM COUNTRY 1 1948-12-13 57 YEARS M WHITE HISPANIC OR

LATINO A Drug A USA

2 1955-03-22 50 YEARS M WHITE NOT HISPANIC OR LATINO

P Placebo USA

3 1938-10-19 68 YEARS F BLACK OR AFRICAN AMERICAN

NOT HISPANIC OR LATINO

P Placebo USA

4 1941-07-02 M ASIAN NOT HISPANIC OR LATINO

SCRNFAIL Screen Failure

USA


Row BIRTHDTC AGE AGEU SEX RACE ETHNIC ARMCD ARM COUNTRY 5 1950-06-23 55 YEARS F AMERICAN

INDIAN OR ALASKA NATIVE


P Placebo USA

6 1956-05-05 49 YEARS F NATIVE HAWAIIAN OR OTHER PACIFIC ISLANDERS


A Drug A USA

［非特定化後のデータ］非特定化後のデータ

Row STUDYID DOMAIN USUBJID SUBJID RFSTDTC RFENDTC SITEID INVNAM BIRTHDTC AGE

4 ABC123 DM ABC123-001 001 1 ABC123 DM ABC123-002 002 2006-01-01 2006-02-27 57 2 ABC123 DM ABC123-003 003 2006-01-01 2006-02-14 50 3 ABC123 DM ABC123-004 004 2006-01-01 2006-03-04 68 6 ABC123 DM ABC123-005 005 2006-01-01 2006-03-03 49 5 ABC123 DM ABC123-006 006 2006-01-01 2006-02-27 55

非特定化後のデータ（続き） Row AGEU SEX RACE ETHNIC ARMCD ARM COUNTRY AGECATDI REGIONDI

4 M ASIAN NOT HISPANIC OR LATINO

SCRNFAIL Screen Failure

North America

1 YEARS M WHITE HISPANIC OR LATINO

A Drug A <=89 North America

2 YEARS M WHITE NOT HISPANIC OR LATINO

P Placebo <=89 North America

3 YEARS F BLACK OR AFRICAN AMERICAN



6 YEARS F NATIVE HAWAIIAN OR OTHER PACIFIC ISLANDERS


A Drug A <=89 North America

5 YEARS F AMERICAN INDIAN OR ALASKA NATIVE



非特定化データを作成する際，非特定化前後をつなぐ情報は再特定化できないように消去されなけれ

ばならないとされている28。また，元のデータの順序を保持した場合，元の ID を類推させるため新し

い ID によりソートする必要がある。今回は，非特定化前後のデータの比較のため，元の行番号は保

持している。今回の非特定化に当たって，以下の処理を行っている。

USUBJID は，SITEID を含んだものとして設定されているため，SITEID の部分は‘-’として非特定

化している。日付の Offset には，便宜的に 2006 年 1 月 1 日を起点としている。 AGE については，90 歳を超えるデータはないが，年齢のカテゴリーデータ（AGECATDI）を追加

している。 COUNTRY は削除し，大陸のデータ（REGIONDI）を追加している。


ステップ 3：非特定化データのリスクを評価

非特定化したデータにおけるリスクの評価が必要かどうかは、スポンサーの責任下で判断されなけれ

ばならない。PhUSE の非特定化標準の利用により，HIPAA の要件等をふまえた非特定化データを作成

することができる。ただ，このことは一般的なデータの再特定化に対して受け入れ可能な又は非常に

少ない残存リスク（residual risk）であることを保証するものではない。そのため，スポンサーは，何

が残存リスクかを定義，評価し，受け入れ可能となるリスクの閾値を決める責任を有する。

PhUSE では，次の条件に当てはまるような場合には，残存リスクの評価を推奨している。

十分なプライバシー保護とセキュリティ管理を備えた安全なポータルを通じてデータが公開され

ていないデータ利用者との間に利用契約が結ばれていない希少疾患の試験であるデータセットに極端な値がある関係者以外の人が知り得るような重篤な有害事象（例えば，死亡や自殺）が起きているデータセットに参加者に関する広範な人口統計学的特性および社会経済的情報が含まれているデータセットに参加者の詳細な病歴が含まれる

スポンサーは，これらの条件が満たされているかを考慮して，残存リスク評価の必要性を判断する。

リスクを測定する一つの方法として，低頻度（Low frequency）となるデータの検討がある。低頻度は，

“最小のセルサイズ”や“最大のリスク（maximum risk）”と同じ意味を持つ8。最大のリスクは，保

守的にリスクを測定する方法で公共にデータを公開する場合に適している。一方，臨床試験の透明性

の取り組みの下で公開する場合は，一般に以下の主要な要件が満たされていることが想定される。

a) 匿名化されたデータは，データのダウンロードやアップロードが管理された，スポンサーの

責任において運営される安全なポータルを通して研究者に共有される。 b) データ共有合意書（Data sharing agreements）がスポンサーと研究者の間で署名されており，

研究者は，症例の再特定（re-identify），データのダウンロード，又は承認済の研究依頼

（research request）外の解析の実施を試みないこと，被験者または推定被験者への接触，他

のデータセットとの関連付けや他人へのデータアクセス権の付与を試みないことを誓約する。 c) 研究者は，各々の機関（institution）で，プライバシー慣行（privacy practices）を実施してい

る。

この場合，リスクを測定する上でより適した方法は，平均リスク（average risk）8の概念を使用する

ことである。平均リスクはそれほど保守的ではなく，より詳細な情報の開示を可能とする。残存リス

クの評価に関するガイダンスの詳細は，Appendix 285に記載されている。

低頻度の算出は，一般的にすべての準識別子（quasi-identifier）により定義される。ステップ 2 の事例

では，RFSTDTC，RFENDTC，AGE，SEX，RACE，ETHNIC，COUNTRY（REGIONDI）がレベル 1 または 2 の

準識別子となり，低頻度の算出に用いることができる。Appendix285の中では，低頻度の閾値として，

5～10 の閾値をデータの重要度を考慮し選ぶとされている。最小の頻度が 5 という意味は，その中で

再特定化されるリスクが 1/5，つまり 0.2 であることを示し，最小の頻度が 10 は，再特定化されるリ

スクが 0.1 であることを示す。最大のリスクと平均のリスクに対して 0.2 や 0.1 を閾値として使うこと

ができる。これらの閾値は，レベル 1 の準識別子，レベル 2 の準識別子それぞれに対して別々に設定

することも可能である。


ステップ 2 の事例での低頻度は年齢に起因し 1 となり，閾値を満たさない。このような場合は，さら

なる非特定化の実施（必要ない変数の Remove，データのカテゴリ化（例：Age に Aggregate Age を適

応）等）を行うことになる。

最後に，PhUSE にある用語の解説を表 17 に示す。

表 17．PhUSE の用語の解説用語定義直接識別子（Direct Identifier）

単独もしくは複数で個人を一意的に特定することができる情報例：症例番号，社会保障番号，電話番号，正確な住所などいかなる直接識別子も，削除もしくは非特定化をしなければならない。

セルサイズ（Cell Size）

セルサイズは，データセットの等価クラスにおける最小サイズ。

等価クラス

（Equivalence Class）

等価クラスとは，一連の準識別子の値が同じになるレコード 3 つの準識別子（sex, age and profession）とセンシティブ・データ（drug test）を含むデータベースを例とすると： ID Sex Age Profession Drug Test 1 Male 37 Doctor Negative 2 Female 39 Doctor Positive 3 Male 37 Doctor Negative 4 Male 39 Doctor Positive 5 Male 39 Doctor Negative 6 Male 37 Doctor Negative 3 つの等価クラスが上記のデータに含まれる： 39 歳 male doctors（2 レコー

ド），39 歳 female doctors（1 レコード）そして，37 歳 male doctors（3 レコー

ド）。セルサイズ（cell size）または最小サイズは 1 となる。準識別子（Quasi Identifier）

準識別子は，単独では個人の識別はできないが，他の情報と関連づけて使うと

高い確率で個人を特定することができる背景情報例：ベースラインの年齢，人種，性別，イベント，特定の調査結果など

準識別子レベル 1（Quasi Identifier Level 1）

時間の経過により変化する可能性がない情報で，他のソースから明らかもしく

は利用可能な情報。典型的には，被験者背景情報例：性別，ベースラインの年齢，国，BMI など

準識別子レベル 2 （Quasi Identifier Level 2）

時間の経過とともに変化する可能性がある，経時情報例：測定値，イベントなど

センシティブ・

データ（Sensitive Data）

データの漏えいや再特定された場合に，雇用，評判，保険加入権利，自尊心や

収入の減少に関して個人に損害をもたらすあらゆるデータ（例：アルコール中

毒/薬物乱用やあらゆる危険な行動の既往，性病の既往など）個人を特定できる

情報（PII）個人を特定できる情報（Personally Identifiable Information）とは，単独もしく

は，他のソースと結合して，個人を特定するために使用することができるあら

ゆる情報データの非特定化

（Data de-identification）

データの非特定化（動詞：to de-identify）とは，個人のデータが特定不能となる

ようにデータセットが作成されるプロセスを指す。この用語は，管轄（jurisdictions），時には同一管轄にある企業間でも変わる。

米国と EU で使用される用語に重要な違いがある。本標準では，“de-identification”を使っているが，他の管轄では他の用語（anonymization など）が

適切な場合がある。本標準で使用されている“Data de-identification”という用

語は，臨床試験の参加者の再特定化のリスクを非常に小さくすることを保証す

るプロセスを意味する。スポンサー本標準及びデータの透明性との関連（context）において，スポンサーとは，承


用語定義（Sponsor）認されかつ正当な研究依頼の提案を持った研究者に，安全なポータルを介し

て，データを共有するデータの所有者（製薬会社など）を指す。研究者

（Researcher）本標準及びデータの透明性との関連（context）において，研究者とは，承認さ

れかつ正当な研究依頼提案を持ち，安全なポータルを介して，スポンサーから

非特定化されたデータへのアクセスを許可される，データの受信者を指す。

6 おわりに

臨床試験の更なる透明性確保と臨床試験データの二次利用を背景として，CTDS はグローバルの潮流

となっており，今後さらに活発化し，浸透していくと考えられる。欧州において CTDS の規制化が検

討されているものの，CTDS に関する明確な薬事規制や国際的なハーモナイズは存在せず，現時点で

は，CTDS は各製薬企業の考え方・ポリシー基づいて取り組まれているのが現状である。特に本邦に

おいては，企業間で CTDS への対応にばらつきが見られるが，今後，臨床試験のグローバル化，承認

申請・販売のグローバル化に伴って，CTDS への取り組みが本格化してくることは想像に難くない。

製薬企業において，CTDS の検討を開始する際に，特に重要になるのが，CTDS への取り組みに対する

トップマネジメントの理解や社内のコンセンサスである。長期的視点に立てば，製薬企業における

CTDS のメリットも見えてくるが，短期的視点では，必ずしも明確なメリットが存在するわけではな

い。例えば，CTDS によって果たされる企業の社会的責任と，企業が持つ知的財産の保護はトレード

オフの関係となり，トップマネジメントの判断，会社ポリシーが必須となる。また，CTDS への取り

組みを開始する際，「責任ある臨床試験データ共有の原則」にも述べられているように，CTDS のみ

ならず，臨床試験情報の登録，治験総括報告書（CSR）の公開，被験者との臨床試験結果の共有など，

臨床試験全体の情報公開に対する取り組みとして包括的に検討・実装することも有益であろう。なお，

被験者のプライバシー保護，あるいは CTDS によって示されたエビデンスの承認審査への影響などは，

一企業の問題に留まらないため，製薬業界として取り組んでいくべき課題と言える。

CTDS を実装する際には，本報告書で述べたような様々な側面での検討，議論が必要であるが，本報

告書がその一助となることを期待している。


資料作成者

日本製薬工業協会医薬品評価委員会データサイエンス部会 2016 年度継続タスクフォース 4

青木真アステラス製薬株式会社

澤田克彦大鵬薬品工業株式会社

大塚渉中外製薬株式会社

井槌美奈ファイザー株式会社

サブリーダー

加藤智子サノフィ株式会社

タスクフォースリーダー兼推進委員

東別府洋一エーザイ株式会社

竹内久朗大日本住友製薬株式会社

担当副部会長

酒井弘憲エーザイ株式会社


7 参考文献

1 福島雅典，栗原千絵子，光石忠敬．公共財としての臨床試験情報．臨床評価 2005;32:45- 64. 2 ウォルフォードベン.製薬業界を蝕む隠蔽体質，ニューズウィーク日本版 2014 年 12/16 号

3 International Committee of Medical Journal Editors (ICMJE), available at http://www.icmje.org/ 4 British Medical Journal, available at http://www.bmj.com/ 5 Cardiovascular Diabetology, available at https://cardiab.biomedcentral.com/ 6 New England Journal of Medicine, The SPRINT Data Analysis Challenge, available at

https://challenge.nejm.org/pages/home 7 ICMJE, Data Sharing Statements for Clinical Trials: A Requirement of the International Committee of Medical Journal Editors, available at http://www.icmje.org/news-and-editorials/data_sharing_june_2017.pdf 8 Institute of Medicine (IOM), “Sharing Clinical Trial Data; MAXIMIZING BENEFITS, MINIMIZING RISK”, available at

http://www.nap.edu/catalog/18998/sharing-clinical-trial-data-maximizing-benefits-minimizing-risk 9 Sharing Clinical Research Data: A Workshop, available at

http://www.nationalacademies.org/hmd/Activities/Research/SharingClinicalResearchData/2012-OCT-04.aspx 10 新宅純二郎，江藤学. コンセンサス標準戦略―事業活用のすべて. 日本経済新聞出版社（2008/07） 11 IOM, “Recommendations” of “Sharing Clinical Trial Data; MAXIMIZING BENEFITS, MINIMIZING RISK”, available at

http://www.nationalacademies.org/hmd/~/media/Files/Report%20Files/2015/SharingData/CompleteRecommendations.pdf 12 Eichler HG, Abadie E, Breckenridge A, et al. Open clinical trial data for all? A view from regulators. PLoS Med. 2012; 9(4):

e1001202, available at http://journals.plos.org/plosmedicine/article?id=10.1371/journal.pmed.1001202 13 Doshi P, Jefferson T and Mar CD, The imperative to share clinical study reports: Recommendations from the Tamiflu

experience. PLoS Med. 2012; 9(4): e1001201, available at http://journals.plos.org/plosmedicine/article?id=10.1371/journal.pmed.1001201

14 Workshop on access to clinical-trial data and transparency kicks off process towards proactive publication of data. EMA press release. 23 November 2012, available at http://www.ema.europa.eu/docs/en_GB/document_library/Press_release/2012/11/WC500135088.pdf

15 Publication and access to clinical-trial data. Policy/0070 draft for public consultation,available at http://www.ema.europa.eu/docs/en_GB/document_library/Other/2013/06/WC500144730.pdf

16 European Medicines Agency policy on access to documents (related to medicinal products for human and veterinary use) Policy/0043. 30 November 2010, available at http://www.ema.europa.eu/docs/en_GB/document_library/Other/2010/11/WC500099473.pdf

17 Outcome of public consultation on "Policy 0070 on publication and access to clinical-trial data" 2 October 2014, available at http://www.ema.europa.eu/docs/en_GB/document_library/Overview_of_comments/2014/10/WC500174377.pdf

18 European Medicines Agency policy on publication of clinical data for medicinal products for human use. Policy/0070, 1 January 2015, available at http://www.ema.europa.eu/docs/en_GB/document_library/Other/2014/10/WC500174796.pdf

19 Questions and answers on the European Medicines Agency policy on publication of clinical data for medicinal products for human use. 8 June 2015, available at http://www.ema.europa.eu/docs/en_GB/document_library/Report/2014/10/WC500174378.pdf

20 External guidance on the implementation of the European Medicines Agency policy on the publication of clinical data for medicinal products for human use. 2 March 2016, available at http://www.ema.europa.eu/docs/en_GB/document_library/Regulatory_and_procedural_guideline/2016/03/WC500202621.pdf

21 Regulation (EC) No 45/2001 of the European parliament and of the council of 18 December 2000, available at http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32001R0045&from=EN

22 Directive 95/46/EC of the European parliament and of the council of 24 October 1995, availavle at http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:31995L0046&from=en

23 Article29 data protection working party, Opinion 05/2014 on anonymisation techniques, 10 April 2014, available at http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf

24 Article29 data protection working party, Opinion 06/2013 on open data and public sector information ('PSI') reuse , 5 June 2013, available at http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp207_en.pdf


25 Information commisioner’s office (ICO), Anonymisation: managing data protection risk code of practice, November 2012,

available at https://ico.org.uk/media/1061/anonymisation-code.pdf 26 Pharmaceutical Users Software Exchange (PhUSE), De-identification standards for CDISC SDTM 3.2., available at

http://www.phuse.eu/data-transparency-download 27 TransCelerate BioPharma Inc., Clinical study reports approach to protection of personal data, ver.1.0, 28 August 2014,

available at http://www.transceleratebiopharmainc.com/wp-content/uploads/2014/08/TransCelerate-CSR-Redaction-Approach.pdf

28 TransCelerate BioPharma Inc., Data de-identification and anonymization of individual patient data in clinical studies– A model approach, 2013, available at http://www.transceleratebiopharmainc.com/wp-content/uploads/2015/04/CDT-Data-Anonymization-Paper-FINAL.pdf

29 IPPC White Paper on Anonymisation of Clinical Trial Data Sets, October 2014, available at http://pharmaprivacy.org/assets/activities/IPPC_White_Paper_Anonymisation_Clinical_Trials_Data.pdf

30 Questions and Answers (Q&As) on the External Guidance of Policy 0070 on Clinical Data Publication (CDP), 27 March 2017, available at http://www.ema.europa.eu/docs/en_GB/document_library/Regulatory_and_procedural_guideline/2017/04/WC500225881.pdf

31 REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016, available at http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf

32 European Medicines Agency, Online access to clinical data for medicinal products for human use, available at https://clinicaldata.ema.europa.eu/web/cdp/home

33 Pfizer, Data Access Requests, available at http://www.pfizer.com/science/clinical_trials/trial_data_and_results/data_requests

34 Clinical Study Data Request Site (Home), available at https://clinicalstudydatarequest.com/ 35 Data Sharing, Year 1, Access to Data from Industry-Sponsored Clinical Trials, New Engl JMed 2014; 371:2052-4 36 The International Stroke Trial database, available at http://www.trialsjournal.com/content/12/1/101/ 37 Dryad Digital Repository, available at https://datadryad.org/ 38 Project Data Sphere, available at https://www.projectdatasphere.org 39 Immunology Database and Analysis Portal, available at https://immport.niaid.nih.gov 40 Free Bank of Injury and emergency Research Data, available at https://ctu-app.lshtm.ac.uk/freebird/ 41 CEO Roundtable on Cancer, available at http://www.ceoroundtableoncancer.org/ 42 Life Sciences Consortium, available at http://ceo-lsc.org/ 43 Business Wire, New Data Mining Platform Accurately Predicts Effectiveness of Metastatic Prostate Cancer Treatments,

available at http://www.businesswire.com/news/home/20161213005790/en 44 Guinney J, Wang T, Laajala TD, et al. Prediction of overall survival for patients with metastatic castration-resistant

prostate cancer: development of a prognostic model through a crowdsourced challenge with open clinical trial data. Lancet Oncol 2017;18:132–42, available at http://www.thelancet.com/journals/lanonc/article/PIIS1470-2045(16)30560-5/fulltext

45 BMC Medical Research Methodology, EFSPI/PSI working group on data sharing: accessing and working with pharmaceutical clinical trial patient level datasets – a primer for academic researchers, available at http://bmcmedresmethodol.biomedcentral.com/articles/10.1186/s12874-016-0171-x

46 Immune Tolerance Network (ITN) TrialShare initiative, available at https://www.immunetolerance.org/node/1121 47 Alzheimer’s Disease Neuroimaging Initiative (ADNI), available at http://adni.loni.usc.edu/ 48 Clinical Study Data Request, sample form of research proposal, available at

https://clinicalstudydatarequest.com/Documents/Clinical%20Data%20Request%20Form.pdf 49 Clinical Study Data Request site (How it works, Review of requests), available at

https://clinicalstudydatarequest.com/How-it-works-Review.aspx 50 BMC Medical Research Methodology, EFSPI/PSI working group on data sharing: accessing and working with

pharmaceutical clinical trial patient level datasets – a primer for academic researchers の表 5 より抜粋, available at http://bmcmedresmethodol.biomedcentral.com/articles/10.1186/s12874-016-0171-x

51 Clinical Study Data Request Site (Metrics), available at https://clinicalstudydatarequest.com/Approved-Requests-DataSharingAgreement-Agreed.aspx


52 Kent DM, Nelson J, Dahabreh IJ, et al. Risk and treatment effect heterogeneity: re-analysis of individual participant data

from 32 large clinical trials. Int J Epidemiol 2016; 45(6):2075-88, available at http://ije.oxfordjournals.org/content/early/2016/07/02/ije.dyw118.long

53 Le Noury J, Nardo JM, Healy D, et al. Restoring Study 329: efficacy and harms of paroxetine and imipramine in treatment of major depression in adolescence BMJ 2015; 351: h4320, available at http://www.bmj.com/content/bmj/351/bmj.h4320.full.pdf

54 Borges AH, Lundh A, Tendal B, et al. Nonnucleoside Reverse-transcriptase Inhibitor- vs Ritonavir-boosted Protease Inhibitor–based Regimens for Initial Treatment of HIV Infection: A Systematic Review and Metaanalysis of Randomized Trials. Clin Infect Dis 2016; 63(2): 268-80, available at http://cid.oxfordjournals.org/content/63/2/268.short

55 Hadjichrysanthou C, Cauët E, Lawrence E, et al. Understanding the within-host dynamics of influenza A virus: from theory to clinical implications. J. R. Soc. Interface 2016; 13: 30260332, available at http://rsif.royalsocietypublishing.org/content/13/119/20160289

56 Radua J,Grunze H, Amann BL, et al. Meta-analysis of the risk of subsequent mood episodes in bipolar disorder. Psychotherapy and Psychosomatics 2017; 86(2): 90-98, available at https://www.karger.com/Article/FullText/449417

57 Strom BL, Buyse ME, Hughes J, et al. Data sharing – Is the juice worth the squeeze? N Engl J Med 2016;375:1608-09, available at http://www.nejm.org/doi/full/10.1056/NEJMp1610336#t=article

58 中川裕志, 高崎晴夫，石井夏生利ら.「《特集》パーソナルデータの利活用における技術および各国法制度の動

向」情報処理 2014 年 12 月号 59 SWEENEY L. k-ANONYMITY: A MODEL FOR PROTECTING PRIVACY, , International Journal on Uncertainty 2002; 10(5);557-

70. 60 Dell SecureWorks, 米国医療機関における情報セキュリティ強化の動向 April 2014, available at

http://ja.community.dell.com/techcenter/m/mediagallery/3697 61 八山幸司, 米国における個人情報保護に関する取り組みの現状. ニューヨークだより 2015 年 9 月 available at

https://www.ipa.go.jp/files/000048013.pdf 62 日本貿易振興機構（ジェトロ）ブリュッセル事務所海外調査部欧州ロシア CIS 課, 「EU 一般データ保護規則

（GDPR）」に関わる実務ハンドブック（入門編）, 2016 年 11 月, available at https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf

63 The Office for Civil Rights, DHHS, Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule, November 26, 2012, available at https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/understanding/coveredentities/De-identification/hhs_deid_guidance.pdf

64 佐藤智晶, 米国と欧州における医療情報法制をめぐる議論, 東京大学政策ビジョン研究センター, PARI-WP No. 9, 2013 available at http://pari.u-tokyo.ac.jp/publications/working_paper/WP130115_satoc.pdf

65 Nass SJ, Levit LA, Gostin LO, et al. Beyond the HIPAA Privacy Rule: Enhancing Privacy, Improving Health Through Research 63-64 available at https://www.ncbi.nlm.nih.gov/books/NBK9578/pdf/Bookshelf_NBK9578.pdf

66 個人情報保護委員会, 個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）available at https://www.ppc.go.jp/files/pdf/guidelines04.pdf

67 国立情報学研究所匿名加工情報に関する技術検討ワーキンググループ, 匿名加工情報の適正な加工の方法に関

する報告書 2017 年 2 月 21 日版 available at http://www.nii.ac.jp/about/reports/pd/report-kihon-20170221.pdf 68 パブリックコメント（別紙 1）「個人情報の保護に関する法律についてのガイドライン（通則編，外国にある

第三者への提供編，第三者提供時の確認・記録義務編及び匿名加工情報編）（案）」に関する意見募集結果

（概要）, available at https://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000151055 69 European Commission - Press release, European Commission launches EU-U.S. Privacy Shield: stronger protection for

transatlantic data flows, 12 July 2016 , available at http://europa.eu/rapid/press-release_IP-16-2461_en.htm 70 小泉雄介, EU データ保護規則案の動向と個人データ越境移転, ITU ジャーナル 2015; 45(11) 71 TransCelerate BioPharma Inc. (TransCelerate), available at http://www.transceleratebiopharmainc.com/ 72 Health Information Trust Alliance (HITRUST), available at https://hitrustalliance.net/about-us/ 73 Council of Canadian Academies (CCA), available at http://www.scienceadvice.ca/en.aspx 74 Pharmaceutical Users Software Exchange (PhUSE), available at http://www.phuse.eu/ 75 HITRUST, De-Identification Framework License Agreement, available at https://hitrustalliance.net/de-identification-

license-agreement/


76 CCA, Accessing Health and Health-Related Data in Canada, available at

http://www.scienceadvice.ca/uploads/eng/assessments%20and%20publications%20and%20news%20releases/health-data/healthdatafullreporten.pdf

77 第 5 回パーソナルデータに関する検討会, 技術検討ワーキンググループ報告書, available at http://www.kantei.go.jp/jp/singi/it2/pd/dai5/siryou2-1.pdf

78 Khaled El Eman, データ匿名化手法 ―ヘルスデータ事例に学ぶ個人情報保護, 2015, オライリージャパン 79 Data Anonymisation - Providing Clinical Trial Data to Outside Researchers, Santhosh Lyathakula, Novartis, available at

http://www.phusewiki.org/docs/Mumbia%202015%20SDE%20Presentations/_Data%20anonymization%20.pdf 80 小泉雄介, データ保護と電子行政サービスに関する欧州調査ご報告資料, 国際社会経済研究所, 2014 年 8 月 28 日,

available at http://www.i-ise.com/jp/information/report/pdf/20140918_dataprotection.pdf 81 Délia RAHAL, WP 29 Opinion on anonymization techniques, PhUSE SDE Paris, 29th May 2015, available at

http://www.phusewiki.org/docs/Paris SDE 2015 Presentations/The CNIL's Persepctive - Data Anoymisation.pdf 82 Fida K. Dankar, and Khaled El Emam, TRANSACTIONS ON DATA PRIVACY 5(2013) 35—67, available at

http://www.tdp.cat/issues11/tdp.a129a13.pdf 83 製薬協データサイエンス部会, SDTM の基礎, 2014 年 12 月 4 日 available at

http://www.jpma.or.jp/medicine/shinyaku/tiken/symposium/pdf/20141219/20141219_3.pdf 84 Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule - Code of Federal Regulations,§ 164.514 Other

requirements relating to uses and disclosures of protected health information (c), https://www.hhs.gov/hipaa/for-professionals/privacy/special-topics/de-identification/#standard

85 PhUSE, De-identification standards for CDISC SDTM 3.2, Appendix 2: Low Frequencies, available at http://www.phuse.eu/download.aspx?type=cms&docID=7489

86 Khaled El Emam, Guide to the De-Identification of Personal Health Information,May 6, 2013 by Auerbach Publications 87 Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule - Code of Federal Regulations, available at

https://privacyruleandresearch.nih.gov/pr_08.asp#8a 88 A De-identification Strategy Used for Sharing One Data Provider’s Oncology Trials Data through the Project Data Sphere

Repository, Malin, 2013, available at https://www.projectdatasphere.org/projectdatasphere/html/resources/PDF/DEIDENTIFICATION

89 Sponsor's anonymisation standards published on ClinicalStudyRequest.com, available at https://clinicalstudydatarequest.com/Study-Sponsors-Info.aspx

90 Hrynaszkiewicz I, Norton M L, et al. Preparing raw clinical data for publication: guidance for journal editors, authors, and peer reviewers. British Medical Journal 2010; 340:304–307, available at http://www.bmj.com/content/340/bmj.c181

91 CDISC, Study Data Tabulation Model Implementation Guide (SDTMIG) v3.2, available at https://www.cdisc.org/standards/foundational/sdtmig

92 PhUSE, De-identification standards for CDISC SDTM 3.2, Appendix 1: Date Offsetting, available at http://www.phuse.eu/download.aspx?type=cms&docID=7488

Documents

臨床試験の個別被験者データの共有 - JPMA...臨床試験の個別被験者データの共有 CTDS（Clinical Trial Data Sharing） 日本製薬工業協会 データサイエンス部会

臨床試験の個別被験者データの共有 - JPMA...臨床試験の個別被験者データの共有 CTDS（Clinical Trial Data Sharing）日本製薬工業協会データサイエンス部会