医学研究分野でよく使われる匿名化に、連結可能匿名化と連結不能匿名化があります。

連結可能匿名化とは、回収した試料やデータから氏名等の個人識別情報を分離して別管理(対応表)することによりプライバシーを保護する手法です。個人識別情報と試料やデータに同一のIDや番号を付与し、必要な場合、相互に連結が可能となります。

連結可能匿名化により、通常の研究時は匿名化によりプライバシーは保護されますが、分析の結果、本人に重大な不利益が生じることが発見されたり(疾患など)、本人から研究参加の同意撤回の意思表示があった時に、対応表を参照して本人を特定し、研究結果の通知や、研究対象から試料やデータを排除することが可能となります。医学研究には、大切なプライバシー保護のための手法です。

連結可能匿名化は、厳密には匿名化に当たりませんが、対応表を有していなければ匿名情報となり個人情報として取り扱わなくても良いとされています(第三者提供等が可能となる)。「疫学研究に関する倫理指針についてのQ&A」では、対応表が同一法人内になければ個人情報には当たらないとされています。たとえば、別法人に匿名化された情報のみを提供し、提供機関で対応表が保管される場合は、提供を受けた法人において当該情報は個人情報に該当しないことになります。

ただし、単純に個人識別子を削除しても、年齢、性別、職業等の組み合わせで本人を特定できる恐れがあることから、適切な安全管理は必要です。

それに対し、連結不可能匿名化とは、回収した試料やデータから氏名等の個人識別情報を削除してデータにランダムにIDや番号を付与する本来の匿名化です。対応表は作成しないので本人と試料やデータとの照合は「不可能」となります。従って、連結可能匿名化のような本人への研究結果の通知、同意撤回等はできなくなります。

以上

0040_連結可能/不可能匿名化