プライバシーポリシー

Privacy Policy

プライバシーポリシー

PPD Privacy Policy (English)

本通知は2017年11月17日付で発効し、2019年4月26日に最終更新されました。

プライバシーに対するPPDの基本姿勢について

臨床及び医学研究は、個人に関する最も機密性の高い情報を収集・分析することにより成り立つものです。

個人の機密情報を共有していただくには、信頼関係が醸成されていること、そしてデータに関わる関係者が当該データの安全な取り扱いを行っていることが前提になります。

こうした環境下で企業運営を行っているPharmaceutical Product Development, LLC及びその関連会社(以下、「PPD」と総称する)は、個人に関する情報を取り扱う際には責任を持つこと、及び

個人のプライバシーへの配慮やデータプライバシー法及び機密保持に関する法律への準拠が必須であることを認識しています。

本グローバルプライバシーポリシー(以下、「本ポリシー」という)では、PPDのグローバル組織の中で処理する個人情報の主な種類、本情報の使用・開示方法、取り扱う情報が属する個人に対するコミットメント(約束事項)について記載しています。

本ポリシーでは、欧州連合(以下、「EU」という)一般データ保護規則(以下、「本規則」という)、医療保険の相互運用性と説明責任に関する法律(HIPAA)や米国のセキュリティ侵害に関する州法、世界中のその他の管轄区域において制定が進められているデータ保護法及びICH臨床試験の実施に関する基準(GCP)のプライバシー・機密保持要件等を含むがこれらに限られない、データプライバシー関連の法律や規制への準拠に対するPPDの取り組みを、一般的な表記により説明しています。

本ポリシーは、独自のプライバシーポリシーに基づいて企業運営を行っているPPDの関連会社には適用されません。

PPDは、これらの法律及び本ポリシーを遵守するため、社内ポリシー、手順及びトレーニングプログラムを策定しました。PPDのポリシー、手順及びトレーニングプログラムは、上級管理職による監督の下、プライバシー専門チームにより定期的に審議及び管理されています。

PPDが取り扱う
個人情報の種類とその目的

臨床及び医学情報について

グローバルな開発業務受託機関であるPPDは、治験被験者に関連する膨大な量の医療データ及び生体医学試料を委託会社に代わって収集、保管、分析しています。

プライバシーを強化しGCPに従って、PPDが研究目的で収集する記録や試料に対し、被験者名やその他の個人を直接特定する情報は添付されません。

個人名等の代替として、被験者はコードでのみ識別されます。治験責任医師及びPPDのモニターやPPDの監査人といった許可を受けた担当者に限り、氏名の記載された被験者の原記録へアクセスすることができます。

国内法で許容されている場合PPDは治験記録に添付された正確な生年月日を収集することもできます。

この間接的な識別情報が、被験者の安全を目的とした被験者の身元確認時に役立つケースがあると考えています。

PPDはこの他にも、PPDの第I相試験において、及び患者様募集、患者様対応、承認後のファーマコビジランス(医薬品安全性監視)、医学情報に関わる業務等の一環として、個人名と紐付いた医療情報の収集を伴うサービスを提供しています。PPDは、こうした情報の機密性を理解し、これらの分野に対して非常に厳密なプライバシー保護策を適用しています。

PPDは、全ての臨床及び医学情報の処理について委託会社との契約に基づいて実施しています。PPDのサービス内における臨床及び医学データの処理方法及びその目的は、究極的にはスポンサー/委託会社によって管理統括されているため、保護指令及び本規則上でいう「管理者(controller)」がスポンサー/委託会社に当たりPPDとその関連会社が「処理者(processor)」に当たるとPPDは認識しています。

医療専門家情報について

PPDは、特定の適応症における臨床及び医学研究に協力いただける治験責任医師の候補者を選定する目的で、医師ら医療従事者の専門家プロフィールを分析しています。

当社は、Eメールアドレス等の入手した連絡先情報を、治験責任医師の候補者に対して研究への参加申請を依頼する目的で使用します。

PPDは、自社データベースから、及び公開されている情報、データ収集業者や紹介を通じて間接的に医療従事者情報を取得します。業務上の目的で、治験責任医師等や治験実施を支援するスタッフの関与や実績に関する情報も収集します。

また、当社は、業務に対する支払い支援のため、治験責任医師等の財務情報も取り扱います。

業界の専門家情報について

PPDは、その業務を遂行する中で、臨床及び医学研究において、委託会社に雇用されている又は依頼されている従業員、コンサルタント、業務委託者等の第三者との交流が発生します。

PPDはこうした個人の氏名、連絡先等の専門家情報を、プロジェクトや財務管理といった正当な事業関連目的で記録・使用します。

取得したEメールアドレス等の情報は、PPDのサービスに関する情報を委託会社に提供する際に使用することがあります。

社員及び人事データについて

PPD は、PPDへ求職のため応募された方の私的な連絡先や職業資格、職歴等、採用判断のために提供された個人情報を収集します。

PPDは、応募者に対して、法的に許容された範囲において、犯罪歴や専門資格剥奪を含む様々なバックグラウンドチェックを実施します。

採用後においては、PPDは、人事、実績、給与、税務の目的で社員情報を収集します。

PPDは、事業活動に関する基準に従い、社員レベルの情報を様々な社内システムにおいて収集・記録します。

PPDは、PPDに商品や役務を提供するために契約したコンサルタントや業務委託者等の第三者に関する上記と同様の情報も取り扱います。

ウェブ訪問者について

PPDは、ウェブサイトへの訪問者に関する記名情報については、これが訪問者から自発的に提供された場合に、訪問者からの要望にお応えする目的で収集します。例えば、委託会社側の担当者がPPDのサービスについて情報を求めている場合、医療従事者が治験参加に関心を持っている場合又はPPDの欠員ポジションへの応募希望者の場合等が該当します。

クッキー(Cookie)に基づくテクノロジーを使って、PPDは、PPDのウェブサイトにアクセスした際に訪問者に割り当てられる仮想アイデンティティに結び付いた様々なデータを収集することができます。

こうしたデータは、サイト分析やファーストパーティマーケティング等、様々な目的で使用されます(下記「オンライン問題」を参照)。

訪問者が上記のように記名情報を提供している場合、こうした仮想アイデンティティが訪問者の現実世界のアイデンティティ(識別情報)と結び付いているケースがあります。

このことによって、PPDは、訪問者の関心が見込まれる情報を含む、個人に合わせたマーケティングメッセージを提供することが可能になります。

医学情報コンタクトセンターとファーマコビジランスについて

PPDは、委託会社が販売する特定の医薬品に関する医学情報を、医療従事者や患者様等の関係者へ提供する目的でコンタクトセンターを運営しています。

コンタクトセンターは又、有害事象情報も収集し、規制要件に基づき、ファーマコビジランス担当者へ処理のため提供します。

コンタクトセンターへ電話又はEメールを通じて連絡いただいた方の個人データは、情報要請の処理及び有害事象報告の目的に限り収集されます。

品質保証の目的で通話を録音している場合があります。通話者(受信側及び発信側)には録音されている旨が通知されます。

個人情報の内部及び外部開示について

PPDの内部において及びPPDの代理として業務を実施する企業や第三者に対して、規定された正当な事業目的を遂行するために知る必要がある場合に限り、個人情報が共有されます。

個人情報を含むデータベースやフォルダーへのアクセスは適切なスタッフにのみ制限されています。

PPDは、個人情報の取引又は販売を行いません。状況によっては、PPDは捜査の一環として又は訴訟の目的で捜査当局や司法当局から特定の個人情報の開示が必要となる場合があります。

PPDは、合併、会社分割、事業再構築、組織再編、解散若しくはその他のPPD又はPPDの所有する資産の一部若しくは全部の売却又は譲渡時には、買い手側等の承継者に対して個人情報を開示する場合があります。

PPDのベンダー(委託先)企業は、委託業務遂行の目的に限り個人情報処理を行うこと及び適切な組織的及び技術的なセキュリティ保護策を講じることを約束するため「処理者(processor)」としての契約書、及び/又は機密保持契約書への署名が求められています。

個人情報の国外転送について

PPDはグローバル企業であり、臨床試験に対する手法がますますグローバル化が進む業界においてサービスを提供しています。

個人情報は、グローバルプロジェクトに関わる業務で必要とされる場合、国境を越えて共有されます。

PPDは、世界各地の異なる場所(主に米国)に設置しているデータベース内で個人情報を保管しています。

状況によっては、PPD及び委託会社の個人情報がベンダーのインターネットクラウド上にあるプラットフォームにて保管される場合もあります。

PPDは、世界中の多くの国々で、個人情報の国境を越えた流出を制限する規制が設けられていることを認識しています。

PPDは、こうした法的な規制対象のデータに対して適切な保護が適用されるよう、対策を講じています。

例えば、欧州経済領域からの個人情報転送のため、PPDは標準データ保護条項(Standard DataProtection Clauses、以下、「SDPC」という)を締結しています。

SDPC に基づいて個人情報が取り扱われるEU居住者は、下記記載の連絡窓口を通じて、PPDへ契約書の写しを要求することができます。

キーコード化されたデータの共有といったプライバシーリスクが非常に低いケースでは、PPDは、データプライバシー安全策が転送元と比較して寛容な法体制へ個人情報が転送される旨について本人に説明し、その同意を得て、これに依拠する場合があります。

通知と同意について

データ収集時、PPDは、個人情報の使用、開示、転送方法や、データ取り扱いに関して個人に認められた選択肢、データプライバシー法又は本ポリシーに基づき個人に認められた情報に関する権利、疑問や苦情の受付窓口について明確かつ分かりやすい文言で記載した通知を個人に対して提供します。

これらのプライバシー通知は、データ収集の各状況に応じて作成されるものです。本通知を提供する際、PPDは、多くのデータプライバシー法で要求されているように、個人に対して透明性と公正を期すという義務を履行します。

通知は、媒体に応じ、直接対面での提供、E-メール、郵送、電話又はPPDウェブサイトへの掲載にて実施されます。

多くの場合、データプライバシー法への準拠やグッドプラクティス(適正実施)の観点等から、PPDは、該当するプライバシー通知内容と一致した形で個人データの収集、使用、開示される旨に対して個人から同意を求めます。

しかしながら、法により許容されており、特に同意取得に過度な労力が必要となる場合で、意図するデータ処理がPPD又はPPDの委託会社の正当な利益及びプライバシーリスク が低い一部のケースでは、PPDは同意を得ることなく個人情報の処理を進めます。

また、PPDは、法律や司法の命令により要求される場合は、個人の同意なく個人情報を利用及び開示します。

GCPや機密保持関連法及びデータプライバシー規制に則り、PPDは委託会社に代わり治験被験者より必要な説明に基づく同意を取得します。

データ品質と記録保持について

PPDにとって、データ品質及び正確性は根本的に重要な原則です。治験の完全性には、治験被験者に関するデータの正確性、特に生体医学試料に付随するデータの正確性が必須です。

規制要件に従い、PPDは専門の品質保証部門を設置しています。通常、PPDのプライバシー通知によって個人が情報の検証、誤記修正、更新を容易に実施することができます。

PPDは、契約や法令に定める要件に則って個人情報を保持しています。

情報に関する権利について

データプライバシー法が存在し、契約による約束が必要とされている管轄区域において、PPDは、個人が、情報に関する全ての該当する権利を、PPDによって処理される自身の個人情報に対して行使できることを保証します。情報に関する権利には、情報へのアクセス及び修正、時期を問わない同意撤回、データ処理への異議、データ削除依頼、一部のデータ処理制限、ダイレクトマーケティングの阻止、一般的なデジタル形式(PDF等)での自身又はその他機関に対する個人データの送信要求を可能とする権利を含みますがこれに限るものではありません。

その他のあらゆる観点において、極めて重要な利害によって異なる要求がない限り、PPDは、本ポリシーの下にグッドプラクティスに基づき情報に関する以下の権利を認めるよう努めます:
合理的な期間内での個人情報の写しへのアクセス、
不正確な個人情報の修正、
https://survey.ppdi.com/opt-out-form.htmより、治験責任医師による今後の治験参加依頼の辞退、及び、個人情報の処理に対して既に提供された同意を撤回する権利。

治験被験者は、自身の身元への必要な紐付けを行うことのできる治験実施施設の治験責任医師に連絡しなければなりません。

情報セキュリティについて

PPDは、個人情報、特に機密の臨床データを不正アクセスや紛失から守るため、技術的及び組織的なセキュリティ対策を規定する包括的な情報セキュリティポリシーを保持します。

規制要件、特に米国州法及び本規則に則り、PPDは、個人情報の侵害に対処するため、個人や政府当局への必要な通知を行う等の対応手順を確立した詳細なセキュリティ違反ポリシーも保持します。

オンライン問題について

PPDウェブサイトには社外のウェブサイトへのリンクが含まれることがあります。リンク先のウェブサイトはPPDの管理下にはなく、またPPDが承認しているものでもありません。

本ポリシーは、リンク先であるPPD外部のウェブサイトには適用されません。訪問者は、各リンク先ウェブサイトのプライバシーポリシーを確認することを推奨されています。

クッキーとは、ウェブサイト運営者によってサイト訪問者のハードドライブに保存されるデータファイルです。

PPDウェブサイト訪問者のコンピューターに対して以下の機能を持つクッキーが有効化されています:ウェブサイトによる、訪問者に要請されたサービスの提供、リピート訪問者の記憶、ウェブサイトのユーザーの利用状況の改善、PPDによるサイト分析、過去のブラウジングに基づく当該訪問者向けマー ケティングメッセージの作成補助。

大半のインターネットブラウザーでは設定によってPPDとのオンライン関係を管理することができます。例えば、通常のブラウザーでは、自身のコンピューターに保存するクッキーの 選択、クッキーの削除又は無効化、Do Not Track(追跡しない)設定を訪問者が選択できる機能があります。クッキーを無効化した訪問者はPPDウェブサイトの一部機能が利用いただけなくなる場合がありますので御了承ください。

児童のオンラインプライバシー保護について

PPDは、13歳未満と判明している個人から、PPDウェブサイトを通じた情報の収集を行いません。PPDのオンラインプレゼンスの如何なる部分も13歳未満の方を対象としてはおりません。

権利行使に関する質問、苦情及び要望について

情報に関する権利行使(データへのアクセス等)のための連絡、質問又は要望、若しくは苦情は、PPDのExecutive Director of Global Privacy (グローバルプライバシー担当事務局長、以下、「EDGP」という)宛てへの郵送(所在地:Granta Park Cambridge, CB21 6GQ, United Kingdom)又はEメールアドレスdpo.sm@ppdi.comで受け付けます。

本規則に基づき、PPDのEUにおけるデータ保護目的での主要な関連会社であるPharmaceuticalProduct Development Spain, S.L. (「管理者(controller)」)が、EUに所在地を置くPPDグループ会社に影響するデータ保護案件について主に責任を持つものとします。

本規則遵守の目的で、Data Protection Officer(データ保護責任者)としてEDGPが指名されており、上記より連絡が可能です。

EU内において、個人は、自身の情報の取り扱いについて本規則への遵守規制に責任を持つ監督当局に対して苦情を述べる法的権利を所有しています。

EU監督当局の全一覧は欧州委員会のウェブサイトに掲載されています:
https://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm.

本ポリシーの法的地位及びポリシー変更について

PPDのグローバルプライバシーポリシーは契約を締結するものではなく、如何なる法的権利又は義務も発生しません。

PPDは、本ポリシーを修正又は改訂する権利を所有します。

例えば、本ポリシーは、新たな法案の導入又は改正時に変更する必要がある場合があります。
更新されたポリシーは、www.ppd.comへ掲載

PAGETOP