研究者に被験者さんの個人情報漏えい防止の意義を説明したい

研究者≒医師ならば、患者さんの個人情報漏えい防止なんて医学部その他で習って来ただろーと言いたいのですが、被験者識別コードにはカルテ番号は当たり前、MRI画像は氏名、年齢、性別がクリアに表示されたまま、それをパスワードも何もなしでメールに添付して、おまけにメールの本文には患者さんの氏名まで堂々と書かれていたりする。注意しても直らないどころか悪びれる様子すらない。この状況をどうしたらいい？紙の時はDMさんが、データベースに入れる前に「こらっ！」って言ったり、黒マジックでせっせと塗ったりできたけど、EDCとかCD-R送付になると、もうお手上げで…

心中お察し申し上げます。研究・試験に限らず、一部で問題となっていることだと想像します。あまりコレ！という答えにはならないですので、参考半分にお読み頂ければ幸いです。堺市での有権者情報流出事件が記憶に新しいのですが、そこでIT Proさんによる、調査担当者へのインタビューの一部を引用してみたいと思います：

―今後の方針は。

引き続き全容解明に向けて調査を進める。それから他の職員に、個人情報保護意識の徹底についての呼び掛けを強める。個人情報流出が判明した方に対しては、手紙などによる謝罪を進めている。

個人情報保護意識の徹底についての呼び掛け…ですが質問者さんの経験は、「注意しても直らないどころか悪びれる様子すらない」とのことで、私も直接こういったことを経験したことではありませんが、「意識の徹底」系の対策の効果は極めて限定的だと考えています。そもそも、堺市の例の根本の原因はもっとシンプルだと考えています：普通に考えて職員が全有権者のデータを出力しなければいけないというシチュエーションが業務上起こり得ないはずなのに、それが出来る仕組みになっている。それどころか、調査担当者の説明を読むに、それが強いられる運用になっていた。紙媒体の場合、これが物理的に不可能です。一人一枚だとしても680,000枚の紙で、一般的なコピー用紙・インクの重さを無視、で考えても2720kgですので。2720kgの書類をコピーして一箇所から別の箇所に（結局は物理的に）運ぶという運用を、「電子媒体だから出来る！」というのは、便利というより、安易という単語が思い浮かびます。

臨床研究・試験に話を戻すと、「出来る」から問題が生じるのであれば、根本的な解決は、「出来ない」風にする以外に無いと考えています。画像データは、利用しているシステムで一部のユーザー以外は一切の出力を禁止するか、出力時、或いはEDCにアップロード時に自動的にマスキングされる様にする等。メール添付については、メールサーバー側で特定の添付ファイルを削除する設定等の措置を講じないと完全には防げないので、現実的では無いかも知れませんので、やはりそもそもの出力を制限するのがベターだと感じます。被験者識別コードにカルテ番号を入力される危険性については、被験者登録作業を中央（データセンター）でのみ実施するやり方に変えるか、EDC側で設定可能であれば入力不可設定にすることが考えられます。コスト・手間をかけるか、不便を強いるか、の二択になってしまうため、いずれにしても敷居が高いです。すぐに今のやり方を変えると言うのもなかなか難しいと思われます。ですが、電子化による「安易と便利のそれぞれのありかた」はもう少し議論されても良いのかな、とは思います。

さて、「意義を説明したい」と質問を頂いたのに、全く答えになっていないのですが、説明してすぐに実践ができるものならそもそも問題が起きていないはず…となると、説明が不足しているのか、説明しても（何らかの理由で）無理なのか、と言うところになると思われますが、もう少し制限をかけても誰も困らないというシチュエーションが大半だと感じています。それなら、制限をかけちゃえ！で良いんじゃないでしょうか。それで、「不便だ」という声が上がれば、「権限付与しても良いけど、それならこういうルールを守ってね」と説明（トレーニング）してあげる。一ヶ月試してみてアクシデントorヒヤリが起きたら、権限は剥奪となる。私はリスク管理の専門家ではないのですが、こんなところではないでしょうか。