中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

こんにちは、丸山満彦です。

中国の情報セキュリティ標準化技術委員会（全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) ）、いわゆるTC260が、顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準を発表し、意見募集していますね。。。

地道なことを着々と進めていますね。。。いずれ国際標準に提案していくのでしょうかね。。。

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) 情報セキュリティ標準化技術委員会

2021.05.12	国家标准《信息安全技术 基因识别数据安全要求》	国家標準「情報セキュリティ技術 遺伝子識別データセキュリティ要件」	DOCX
2021.04.28	国家标准《信息安全技术 声纹识别数据安全要求》	国家標準「情報セキュリティ技術 音声認識データのセキュリティ要件	DOCX
2021.04.28	国家标准《信息安全技术 步态识别数据安全要求》	国家標準「情報セキュリティ技術 歩行認識データセキュリティ要件	PDF
2021.04.23	国家标准《信息安全技术 人脸识别数据安全要求》	国家標準「情報セキュリティ技術 顔認識データセキュリティ要件	DOCX

 

前言	序文
1 范围	1 範囲
2 规范性引用文件	2 標準からの引用文献
3 术语和定义	3 用語と定義
4 缩略语	4 略語
5 概述	5 概要
5.1 文件结构	5.1 ドキュメントの構造
5.2 基因识别数据及关联信息相关活动	5.2 遺伝的に識別可能なデータおよびリンクされた情報に関連する活動
5.3 基因识别数据及关联信息应用场景	5.3 遺伝的に識別可能なデータとリンク情報の適用シナリオ
6 基本安全要求	6 基本的なセキュリティ要件
7 安全处理要求	7 セキュリティ処理要件
7.1 通用要求	7.1 一般要求事項
7.2 个体服务场景安全要求	7.2 サービスシナリオ別のセキュリティ要件
7.3 研究开发场景安全要求	7.3 研究開発シナリオにおけるセキュリティ要件
7.4 其他场景安全要求	7.4 その他のシナリオにおけるセキュリティ要件
8 安全管理要求	8 セキュリティ管理の要件
附录A（资料性附录）基因识别数据各场景的典型活动	附属書A（参考情報） 遺伝子組み換えデータのシナリオごとの典型的な活動内容
附录B（资料性附录）基因识别数据各场景下的实体类型	附属書B（参考情報） 遺伝的に特定されたデータの各シナリオにおけるエンティティタイプ
附录C（资料性附录）基因识别典型数据格式	附属書C（参考情報） 遺伝子認識のための典型的なデータフォーマット
C.1 概述	C.1 概要
C.2 序列数据格式	C.2 シーケンスデータフォーマット
C.3 遗传变异数据格式	C.3 遺伝的変異のデータフォーマット
附录D（资料性附录）医学服务类保存规则（摘选）	附属書D（参考情報） メディカルサービスクラス保存規定（抜粋
附录E（资料性附录）知情同意书模板示例	附属書E（参考情報） インフォームド・コンセント・フォームのテンプレート例
E.1医学服务场景知情同意书模板	E.1 医療サービスシナリオのインフォームド・コンセントのテンプレート
E.2法庭科学生物样本基因信息的鉴定服务场景知情同意书模板	E.2 生物試料から遺伝子情報を特定するための法廷科学サービスシナリオ用のインフォームド・コンセント・テンプレート
E.3消费级服务知情同意书模板	E.3 消費者向けサービスのためのインフォームド・コンセント・テンプレート
E.4研究开发场景知情同意书模板	E.4 研究開発向けシナリオのためのインフォームド・コンセント・テンプレート
E.5基因识别数据及关联信息存储（捐赠保藏）知情同意书模板	E.5 遺伝子識別データおよび関連情報の保存（寄付による保存）に関するインフォームド・コンセント・テンプレート
E.6基因识别数据及关联信息共享知情同意书模板	E.6 遺伝的識別データおよびリンクされた情報を共有するためのインフォームド・コンセント・テンプレート
参考文献	参考文献

 

---

 

■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

 

---

 

本文のみ...

信息安全技术 基因识别数据安全要求	情報セキュリティ技術 遺伝子組み換えデータのセキュリティ要件
1　范围	1 範囲
本文件规定了基因识别数据的基本安全要求、安全处理要求和安全管理要求。	本文書は、遺伝子識別データの基本的なセキュリティ要件、安全な処理の要件、および安全な管理の要件を規定する。
本文件适用于基因识别数据控制者安全开展基因识别数据相关业务，也适用于第三方测评机构开展测试评估工作。	本文書は、遺伝的識別データの管理者が遺伝的識別データに関する業務を安全に行うために、また、第三者試験・評価機関が試験・評価業務を行うために適用される。
2　规范性引用文件	2 標準からの引用文献
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。	以下の文書の内容は、本文中の規範となる参照事項を通じて、この文書の本質的な規定を構成しています。 その中で、参照された文書の日付に対応するバージョンのみがこの文書に適用され、日付のない参照された文書の最新バージョン（すべてのリビジョンシートを含む）がこの文書に適用される。
GB/T 35273—2020 信息安全技术 个人信息安全规范	GB/T 35273-2020 情報セキュリティ技術 個人情報保護仕様
GB/T 37864—2019 生物样本库质量和能力通用要求	GB/T 37864-2019 ヒト生物資源保管施設の品質と能力に関する一般要求事項
GB/T AAAAA—AAAA 信息安全技术 网络数据活动安全要求	GB/T AAAAA-AAA 情報セキュリティ技術 ネットワークデータ活動のセキュリティ要件
GB/T BBBBB—BBBB 信息安全技术 生物特征识别信息保护基本要求	GB/T BBBBB-BBBB 情報セキュリティ技術 バイオメトリクス情報保護の基本要件
3　术语和定义	3 用語と定義
GB/T 35273—2020、GB/T 37864—2019、GB/T AAAAA—AAAA和GB/T BBBBB—BBBB界定的以及下列术语和定义适用于本文件。	GB/T 35273-2020、GB/T 37864-2019、GB/T AAAAA-AAAA、GB/T BBBBB-BBBBの定義に加えて、以下の用語や定義が本文書に適用される。
3.1 基因识别数据 genetic recognition data	3.1 遺伝子認識データ
使用技术手段，从人类遗传物质中提取的表征个体或群体遗传信息的数据，该数据可以直接或间接识别到人类个体或群体。	技術的手段を用いてヒトの遺伝子材料から抽出された、直接または間接的にヒトの個人または集団を特定できる、個人または集団の遺伝情報を特徴づけるデータ。
注1：基因识别数据主要包括：基因组核酸序列数据、功能基因组数据，以及提取过程中生成的原始数据和中间数据。	注1：遺伝子認識データとは、主に、ゲノム核酸配列データ、機能的ゲノムデータ、および抽出過程で発生する生データや中間データを指す。
注2：基因组核酸序列数据是指在基因组层面，利用各类测序技术（如：Sanger测序技术、高通量测序技术、质谱技术等）或基因分型技术（如：基因芯片技术、聚合酶链式反应技术等）获得的、描述核酸排列顺序的数据，各类遗传变异的数据（如：单核苷酸多态性（Single Nucleotide Polymorphism，SNP）、插入缺失（Insertions and Deletions，INDEL）突变、短串联重复序列(Short Tandem Repeat，STR)、拷贝数变异(Copy Number Variation, CNV)、基因组结构变异(Structural Variation, SV)等）；功能基因组数据指遗传物质中除基因组核酸序列数据外的表观遗传数据，基因空间位置数据等。典型基因识别数据格式参见附录C。	注2）ゲノム核酸配列データとは、各種シークエンス技術（サンガーシークエンス技術、ハイスループットシークエンス技術、質量分析技術など）やジェノタイピング技術（遺伝子チップ技術、ポリメラーゼ連鎖反応技術など）を用いて、ゲノムレベルで得られた核酸の配列の順番を記述したデータ、および各種遺伝子変異（一塩基多型、一塩基多型、一塩基多型など）のデータを指す。Nucleotide Polymorphism (SNP), Insertions and Deletions (INDEL) mutations, Short Tandem Repeat (STR), Copy Number Variation (CNV), Genome Structure Variation (GSD)などがある。CNV、SV（Structural Variation）など）。機能的ゲノムデータとは、遺伝物質中のゲノム核酸配列データ、遺伝子の空間的位置データなどに加え、エピジェネティックなデータを指す。 典型的な遺伝子同定データのフォーマットについては、付録Cを参照する。
3.2 关联信息associated information	3.2 関連情報
描述遗传物质样品及其数据主体的相关信息，如：采集时间、采集地点、采集对象、采集者、采集方式、样本类型、规格、单位、样品保存期限、测序平台信息、芯片信息、测序时间、数据量、数据类型、遗传疾病、姓名、性别、籍贯、民族、出生日期、身份证号、个体特征、家系信息、用药指南、健康风险等。	遺伝物質サンプルとそのデータ対象者に関する情報を記載する。例えば、収集時間、収集場所、収集対象、収集者、収集方法、サンプルの種類、仕様、単位、サンプルの保存期間、シーケンスプラットフォーム情報、マイクロアレイ情報、シーケンス時間、データ量、データタイプ、遺伝病、氏名、性別、出身、民族、生年月日、IDカード番号、個人の特性、家系情報、薬物使用 ガイドライン、健康リスクなど
3.3 数据主体 data subject	3.3 データ対象者
基因识别数据所标识或者关联的自然人。	遺伝的識別データによって識別または関連づけられた自然人。
[来源：GB/T 35273-2020，3.3，有修改]	出典：GB/T 35273-2020, 3.3, 修正あり].
3.4 数据控制者 data controller	3.4 データコントローラ
有能力决定（不论是单独决定还是共同决定）基因识别数据处理目的、方式等的组织或个人。	遺伝的に識別可能なデータの処理の目的、方法などを、個別にまたは共同で決定する能力を有する組織または個人のこと。
[来源：GB/T 35273-2020，3.4，有修改]	[出典：GB/T 35273-2020, 3.4, 修正あり]。
3.5 受托方 outsourced party	3.5 委託先
接受委托进行基因识别数据及关联信息的采集、提取、操作、使用及存储的法人、公共机构、规制机构、组织或个人。受托方属于数据控制者。	遺伝的識別データおよび関連情報の収集、抽出、運用、使用、保存を委託された法人、公的機関、規制機関、組織、個人。 委託先はデータ管理者である。
3.6 伦理委员会 ethics committee	3.6 倫理委員会
为确保基因识别数据及关联信息安全、相关活动符合基本社会伦理道德和行为规范的要求，由具有生物医学、法学、社会学、生物信息学等专业背景和其他背景的人员组成的专业机构。该机构负责独立地审查、同意、跟踪审查试验方案及相关文件、获得和记录数据主体知情同意所用的方法和材料等，以保障数据主体的权益。	生物医学、法律、社会学、バイオインフォマティクスなどの専門的なバックグラウンドを持つ者で構成され、遺伝子を特定できるデータや関連情報の安全性を確保し、関連する活動が基本的な社会倫理や行動規範の要件を満たすようにするための専門機関。 この機関は、データ対象者の権利と利益を保護するために、試験計画書および関連文書、データ対象者からのインフォームド・コンセントの取得および記録に使用される方法および資料などを独立して検討し、同意し、フォローアップする責任を負う。
注：本文件是仅从个人信息及隐私安全保护方面给出的伦理委员会的补充定义，伦理委员会具有更全面的定义。	注）本資料は、個人情報およびプライバシー・セキュリティ保護の観点からのみ示された倫理委員会の追加定義であり、倫理委員会はより包括的な定義を有する。
3.7 数据管理委员会 data management committee	3.7 データマネジメント委員会
为确保数据控制者的业务运转的连续性，保障基因识别数据及关联信息的保密性、完整性、可用性，在数据控制者内部设立的专业机构。该机构负责制定各项数据管理制度，实施数据安全技术防护，开展业务活动过程中的数据安全风险评估，制定数据安全事件应急预案，及时处置安全事件，组织数据安全教育及培训等，以保障业务活动的正常开展和数据主体的合法权益。	データ管理者の業務の継続性を確保し、遺伝的識別データ及び関連情報の機密性、完全性及び利用可能性を保護するために、データ管理者内に設立された専門機関。 また、事業活動の正常な発展とデータ対象者の合法的な権利および利益を守るために、各種データ管理システムの策定、データセキュリティ技術保護の実施、事業活動におけるデータセキュリティリスク評価の実施、データセキュリティインシデントの緊急時対応計画の策定、セキュリティインシデントのタイムリーな処理、データセキュリティ教育・訓練の実施などの責任を負う。
3.8 去标识化 de-identification	3.8 非識別化
通过对基因识别数据及关联信息（如：姓名、身份证号等）的技术处理，使其在不借助额外信息的情况下，无法识别或者关联数据主体的过程。	遺伝的識別データおよび関連情報（氏名、ID番号など）を技術的処理により、追加情報の助けを借りなければデータ対象者を識別または関連付けることができないようにするプロセスのこと。
[来源：GB/T 35273-2020，3.15，有修改]	[出典：GB/T 35273-2020, 3.15, 修正あり]を参照する。
3.9 匿名化 anonymization	3.9 匿名化
指通过对基因识别数据及关联信息的技术处理，使得数据主体无法被识别或者关联，且处理后的信息不能被复原的过程。	遺伝的識別データおよび関連情報を技術的に処理することにより、データ対象者を識別できないようにしたり、関連付けられないようにしたりするプロセスで、処理された情報を復元できないもの。
注：匿名化需要平衡基因识别数据隐私性和可用性，匿名化是一种共享的基因识别数据不允许关联数据主体的约定。不同应用场景的匿名化机制有所差别，同时随着技术发展，需要定期对匿名化机制和对个人信息风险影响进行评估和更新。在任何场景下，明确匿名化的数据，不可以复原和关联数据主体，并且有相应的机制保障。	注）匿名化には、遺伝子識別データのプライバシーと利用可能性のバランスが必要であり、匿名化とは、共有された遺伝子識別データがデータ対象者と関連づけられることを許さないという規約である。 匿名化のメカニズムはアプリケーションのシナリオによって異なります。また、匿名化のメカニズムと個人情報のリスクへの影響は、技術の進化に合わせて定期的に評価し、更新する必要があります。 どのようなシナリオであっても、匿名化されたデータ、復元不可能なデータ、関連するデータ対象者は許されず、適切なメカニズムによって保護されることは明らかである。
[来源：GB/T 35273-2020，3.14，有修改]	[出典：GB/T 35273-2020, 3.14, 修正あり]を参照する。
3.10 知情同意 informed consent	3.10 インフォームドコンセント
基因识别数据控制者和数据主体或数据主体的法律监护人之间关于基因识别数据采集和使用边界的约定。知情同意书也包括服务协议、委托书等。具体实施过程体现在知情同意书的签订过程。	遺伝的に識別可能なデータの管理者とデータ対象者またはデータ対象者の法定後見人との間で交わされる、遺伝的に識別可能なデータの収集および使用の境界に関する合意のこと。 インフォームドコンセントには、サービス契約、委任状なども含まれます。 具体的な実施プロセスは、インフォームドコンセントに署名するプロセスに反映される。
注：知情同意由知情权和同意权两个密切相连的权利组成。知情权是同意权得以存在的前提和基础，同意权又是知情权的价值体现，强调数据主体的知情同意权，主要目的在于通过赋予基因识别数据控制者相应的告知义务，使数据主体在了解自己将面临的风险、付出的代价和可能取得的收益的基础上自由作出选择，从而维护数据主体的利益，改变数据主体相对弱势地位。	注：インフォームドコンセントは、「知る権利」と「同意する権利」という2つの密接に関連する権利から成り立っている。 情報提供を受ける権利は同意権が存在する前提であり、同意権は情報提供を受ける権利の価値である。 データ対象者の情報提供を受ける権利を強調する主な目的は、データ対象者の利益を保護し、その利益を変更するために、遺伝的に識別されたデータの管理者に対応する情報提供義務を与えることにより、データ対象者が直面するリスク、支払うコスト、および得られる利益を理解した上で自由な選択を行えるようにすることである。 その目的は、データ主体の利益を保護し、データ主体の相対的な脆弱性を変えることにある。
4　缩略语	4 略語
下列缩略语适用于本文件。	本書では、以下のような略語を使用する。
BP 碱基对（Base Pair）	BP ベースペア
CMA 检验检测机构资质认定（China Inspection Body and Laboratory Mandatory Approval）	CMA 中国の検査機関および試験所の必須承認
CNAS 中国合格评定国家认可委员会（China National Accreditation Service for Conformity Assessment）	CNAS 中国国家適合性評価認定サービス
CNV 拷贝数变异（Copy Number Variation）	CNV コピーナンバーバリエーション（CNV）
INDEL 插入/缺失（Insertions and Deletions）	INDEL 挿入と欠失
PCR 聚合酶链式反应（Polymerase Chain Reaction）	PCR ポリメラーゼ連鎖反応
SNP 单核苷酸多态性（Single Nucleotide Polymorphisms）	SNP 一塩基多型（Single Nucleotide Polymorphisms ）
STR 短串联重复序列（Short Tandem Repeat）	STR ショートタンデムリピート
SV 基因组结构变异（Structural Variation）	SV ゲノム構造変化
5　概述	5 概要
5.1　文件结构	5.1 ファイル構成
本文件描述了基因识别数据及关联信息的六个相关活动环节（见5.2节），说明了这些环节中与基因识别数据及关联信息相关的活动情况。	本文書では、遺伝子同定データや関連情報に関連する6つの関連アクティビティリンク（5.2項参照）を記述し、これらのリンクにおけるアクティビティを説明する。
本文件描述了基因识别数据及关联信息的应用场景（见5.3节），说明了这些场景中所涉及到的数据控制者实体，这些实体是按照本文件履行相关保护责任的主体。	本文書では、遺伝的に識別可能なデータおよび関連情報（5.3 項参照）のアプリケーションシナリオを説明し、これらのシナリオに関わるデータ管理者のエンティティで、本文書に従って関連する保護責任の対象となるものを記述する。
本文件在提出基本安全要求（见第6章）的基础上，针对每一个应用场景，提出安全保护要求（见第7章），并针对基因识别数据及关联信息提出管理要求（见第8章）。	本文書では、提案された基本的なセキュリティ要件（第6章参照）に基づき、アプリケーションのシナリオごとのセキュリティ保護要件（第7章参照）と、遺伝子識別データおよび関連情報の管理要件（第8章参照）を提案する。
5.2　基因识别数据及关联信息相关活动	5.2 遺伝的識別データおよび関連情報に関連する活動
基因识别数据及关联信息相关活动包括：	遺伝的識別データおよび関連情報に関連する活動は以下の通りである。
a) 基因识别数据及关联信息的采集（简称：数据采集）：	a) 遺伝子IDデータおよびリンク情報の収集（以下、データ収集）。
1) 提出基因识别数据及关联信息的使用需求（简称：提出需求）：是指数据控制者（组织机构或个人）为完成业务活动，对数据主体提出基因识别数据及关联信息的使用需求；	1) 遺伝的識別データおよび関連情報の利用の要求（略称：要求要求）：データ管理者（組織または個人）が、事業活動を遂行するために、データ対象者に遺伝的識別データおよび関連情報の利用を要求することを意味する。
2) 数据主体和数据控制者签订知情同意书（简称：知情同意书签订）：是指基因识别数据控制者提出基因识别数据及关联信息的使用需求、数据主体知情同意后，双方应完成的知情同意书的签订（知情同意书模板参见附件E）；	2) データ対象者およびデータ管理者によるインフォームドコンセントの署名（インフォームドコンセントの署名）：遺伝的に識別可能なデータのデータ管理者が、遺伝的に識別可能なデータおよび関連情報の使用を要求し、データ対象者がインフォームドコンセントを与えた後に、両 者が記入するインフォームドコンセント・フォームに署名することを意味する（インフォームドコンセント・フォームのテンプレートは附属書 E 参照）。
3) 人类遗传物质采集（简称：遗传物质采集）：是指采集生物样品，并从中提取相应遗传物质的活动。生物样品包括血液、唾液、尿液、粪便、毛发、脑脊液和脱落细胞等。遗传物质采集活动中会产生相应的关联信息，例如：采集时间、采集地点、采集对象、采集者、采集方式、样本类型、规格、单位、样品保存期限等；	3）ヒト遺伝子材料の収集（略称：遺伝子材料の収集）：生体試料を採取し、そこから対応する遺伝物質を抽出する活動のこと。 生物学的試料とは、血液、唾液、尿、便、毛髪、脳脊髄液、剥離した細胞などである。 対応する関連情報は、収集時間、収集場所、収集対象、収集者、収集方法、サンプルの種類、サイズ、単位、サンプル保存期間など、遺伝物質の収集活動から生成される。
4) 基因识别数据提取（简称：数据提取）：是指通过测序技术、基因分型技术等手段从遗传物质中获得对应的基因识别数据的活动。此活动会产生相关的关联信息，如：测序平台信息、芯片信息、测序时间、数据量、数据类型等。	4）遺伝子同定データ抽出（略称：データ抽出）：シーケンシング技術やジェノタイピング技術などを用いて、遺伝物質から対応する遺伝子同定データを取得する活動である。 このアクティビティでは、シーケンスプラットフォーム情報、マイクロアレイ情報、シーケンス時間、データ量、データタイプなどの関連する関連情報が生成される。
b) 基因识别数据及关联信息的使用（简称：数据使用）：是指为满足知情同意约定的使用需求对所获取的基因识别数据及关联信息进行分析处理的活动。此活动会产生与数据主体直接相关的、涉及隐私的关联信息，如：遗传疾病、个体特征、用药指南、健康风险等。	b) 遺伝的識別データおよび関連情報の使用（以下、データ使用）：これは、インフォームド・コンセント契約の使用要件を満たすために、取得した遺伝的識別データおよび関連情報を分析・処理する活動を指す。 この活動では、遺伝性疾患、個人の特性、服薬ガイドライン、健康リスクなど、データ対象者に直接関連し、プライバシーに関わる情報が生成される。
c) 基因识别数据及关联信息的存储（简称：数据存储）：是指在数据主体知情同意的情况下，基因识别数据控制者对基因识别数据及关联信息进行存储的活动。	c) 遺伝的識別データおよび関連情報の保管（略：データ保管）：これは、データ対象者のインフォームド・コンセントを得て、遺伝的識別データの管理者が遺伝的識別データおよび関連情報を保管する活動を指す。
注：数据的存储也包括归档及保藏。	注：データの保管には、アーカイブや保存も含まれる。
d) 特定场景下的基因识别数据及关联信息的共享、转让（简称：数据共享、转让）：是指为达到一定的服务目标或科研目标，在符合相关法律法规及数据主体同意的前提下，基因识别数据控制者将基因识别数据及关联信息共享给其他控制者的活动。	d) 一定の状況下での遺伝的識別データおよび関連情報の共有・移転（略称：データ共有・移転）：遺伝的識別データの管理者が、関連法令およびデータ対象者の同意を前提として、一定のサービス目的または科学的目的を達成するために、遺伝的識別データおよび関連情報を他の管理者と共有する活動をいう。
e) 基因识别数据及关联信息的销毁（简称：数据销毁）：是指在数据主体要求撤回授权情况下，不可逆地删除基因识别数据及关联信息的活动。	e) 遺伝的識別データおよび関連情報の破壊（略称：データ破壊）：情報主体が承認の撤回を求めた場合に、遺伝的識別データおよび関連情報を不可逆的に削除することをいう。
5.3　基因识别数据及关联信息应用场景	5.3 遺伝的識別データおよび関連情報の利用シナリオ
基因识别数据及关联信息应用场景包括：	遺伝的識別データおよび関連情報の利用シーンは以下の通りである。
a) 个体服务场景：针对数据主体，提取并使用基因识别数据及关联信息，得到结果，达到服务目标的场景。其特点是，在服务目标确定的情况下，所需的基因识别数据及关联信息种类和数量固定，使用方式、手段、流程相对固定。绝大多数情况下，相关服务业务的开展需要经过一定的行政审批或许可。常见的服务包括：	a) 個人サービスシナリオ：データ対象者が成果を得てサービス目的を達成するために、遺伝子識別データや関連情報を抽出して利用するシナリオ。 サービス対象が決定していることを条件に、必要な遺伝子識別データや関連情報の種類と量が決まっており、利用方法、手段、プロセスが比較的決まっていることが特徴である。 ほとんどの場合、関連するサービス業務は、一定の行政上の承認または許可を必要とします。 一般的なサービスは以下の通りである。
1) 医疗服务：是指医疗服务机构使用基因识别数据及关联信息为数据主体进行辅助诊断、治疗、预后、护理等服务的场景。此场景中，部分机构具备完成5.2中所有活动的能力。部分机构会根据自身的情况，委托具备服务资质的受托方完成全部（或部分）遗传物质采集、数据提取（如医学检测机构）、数据使用、数据存储等活动；	1) 医療サービス：医療サービス機関が、データ対象者の診断・治療・予後・介護の支援などのサービスを提供するために、遺伝子識別データおよび関連情報を利用する場面を指す。 このシナリオでは、一部の機関は5.2のすべての活動を完了する能力を持っています。 一部の機関では、その状況に応じて、遺伝物質の収集、データの抽出（医療検査施設など）、データの使用、データの保管などの活動のすべて（または一部）を行う資格を有する受託者に委託する。
2) 法庭科学生物样本基因信息的鉴定服务：是指司法鉴定人以生物样本（如：血液、体液、组织、毛发等）为样品，运用科学技术（如：PCR、毛细管电泳、高通量测序等）和专门知识（如：遗传学、法医学等）对案、事件中涉及的专门性问题（如：种属、个体识别、亲权、亲缘关系等）进行鉴别和判断并提供鉴定意见的活动。涉及到的数据控制者主要为司法鉴定机构；	2）法廷科学における生物試料の遺伝情報の識別サービス：法廷専門家が生物試料（血液、体液、組織、毛髪など）を試料として採取し、科学技術（PCR、キャピラリー電気泳動、ハイスループットシーケンシングなど）と専門知識（遺伝学、法廷科学など）を用いて、事件や事故に関わる専門的な問題（属人性、個体識別、親子関係、親族関係など）を識別・判断することを意味する。 識別して判断し、専門家の意見を提供する活動です。 関係するデータ管理者は主にフォレンジック機関である。
3) 消费级服务：是指通过广告、电商、线下店等被消费者认知且直接购买的基因检测服务。该服务不涉及医疗服务机构的体外诊断。消费级服务机构直接向个人提供基因检测服务，结合已发表文献或其他研究结果，对个人的基因检测结果进行个性化解读，例如：营养健康服务、运动能力评估、遗传缺陷分析、溯源分析等。此场景中，部分机构具备完成5.2中所有活动的能力；部分机构会根据自身的情况，委托具备服务资质的受托方完成全部（或部分）活动。	3）消費者レベルのサービス：広告、電子商取引、オフラインの店舗などを通じて、消費者に知られ、直接購入される遺伝子検査サービスである。 本サービスは、医療機関による体外診断を伴うものではない。 コンシューマーグレードのサービスプロバイダーは、個人に直接遺伝子検査サービスを提供し、公表された文献やその他の研究結果を組み合わせて、個人の遺伝子検査結果の個人的な解釈を提供します。例えば、栄養健康サービス、運動能力評価、遺伝子欠陥分析、トレーサビリティー分析などである。 このシナリオでは、5.2 のすべての活動を完了できる組織もあれば、組織の状況に応じて、サービスを提供する資格のある受託者にすべての（または一部の）活動の完了を委託する組織もある。
b) 研究开发场景：是指利用基因识别数据及关联信息，以发现新知识、开发新技术或产品、改良现有技术或产品等为目标所进行的科学研究或者技术开发等活动。此场景中，基因识别数据的提取方式、使用方式、手段及流程等往往不固定。此场景涉及到的数据控制者为高等学校、医疗机构、科研机构、企业、非盈利机构等多种组织机构。此场景会存在不同个体、团队和组织之间的数据共享和交换使用的情况。常见的研究开发活动包括：	b) 研究開発シナリオ：新しい知識の発見、新しい技術や製品の開発、既存の技術や製品の改良を目的として、遺伝情報や関連情報を利用する科学研究や技術開発活動を指す。 このシナリオでは、遺伝子同定データの抽出方法、利用方法、手段、プロセスが固定されていないことが多い。 このシナリオに関わるデータ管理者は、大学、医療機関、研究機関、企業、非営利団体など様々な組織です。 このシナリオは、異なる個人、チーム、組織間でデータが共有され、交換されて使用される場合に存在する。 一般的な研究開発活動は以下の通りである。
1) 科学研究：以发现新知识为主要目的的活动，例如：基础生物学研究，人类遗传学研究、医学遗传学研究、药物药理研究以及其他涉及人类遗传信息的研究等。科学研究成果一般会以文章、专利等形式公开发表，其中会涉及部分基因识别数据及关联信息；	1）科学研究：基礎生物学研究、人類遺伝学研究、医学遺伝学研究、薬物薬理学研究、その他のヒトの遺伝情報に関わる研究など、新しい知識を発見することを主目的とした活動。 科学研究の成果は、通常、論文や特許などの形で公に発表されるが、その際には、何らかの遺伝子識別データや関連情報が含まれる。
2) 技术开发：以开发新技术或升级已有技术为目的的活动，主要包括计算技术开发（如：算法、分析流程等）和实验技术开发（如：测序技术、临床实验方法等）两大类；	2）技術開発：新規技術の開発や既存技術の改良を目的とした活動で、主に計算機技術開発（アルゴリズム、分析プロセスなど）と実験技術開発（シーケンス技術、臨床試験方法など）の2つのカテゴリーに分けられる。
3) 产品研发或升级：以研发或升级应用产品为目的的活动（多以盈利或实现具体落地功能为目的）。常见的活动包括临床检测类产品、药物研发、消费级服务等产品。	3）製品の開発またはアップグレード：アプリケーション製品の開発またはアップグレードを目的とした活動（主に営利目的または特定の着地点の機能を実現するため）。 一般的な活動としては、臨床検査製品、医薬品開発、消費者向けのサービスなどがある。
c) 其他场景包括：	c) その他のシナリオ
1) 公共卫生相关活动场景：一般由国家或地方公共卫生主管部门发起的活动，这些活动均会有一定的配套法律和行政授权，并由相应资质的组织机构完成（一家独立完成或多家协作完成），如：流行病调查、疾病筛查等；	1) 公衆衛生関連の活動シナリオ：一般的に、国や地方の公衆衛生当局によって開始される活動で、いずれも一定の裏付けとなる法律や行政上の義務があり、対応する資格を持つ組織（1つが単独で完了するか、複数の共同作業）によって完了されるもので、例えば、疫学調査、疾病のスクリーニングなどがある。
2) 遗传信息公共服务场景：在有关部门的行政授权下，所提供的基因识别数据及关联信息的存储、使用、共享等服务。此类服务具有公益性，用于支持相关领域的科学研究和产业发展，支撑国家或地方重大项目和工程的实施等。此类基因识别数据及关联信息通常来自数据主体的捐赠。	2) 遺伝情報公共サービスシナリオ： 遺伝的識別データおよび関連情報の保存、使用、共有のために、関連当局の行政認可の下で提供されるサービス。 これらのサービスは公益性が高く、関連分野の科学研究や産業開発を支援したり、国や地方の大規模プロジェクトやプログラムの実施を支援するために利用される。 このような遺伝子識別データおよび関連情報は、通常、データ対象者から提供される。
6　基本安全要求	6 基本的なセキュリティ要件
基因识别数据属于个人信息，应符合GB/T 35273—2020、GB/T AAAAA—AAAA和GB/T BBBBB—BBBB的要求。	遺伝子識別データは個人情報であり、GB/T 35273-2020、GB/T AAAAA-AAAA、GB/T BBBBB-BBBBの要求に準拠しなければならない。
数据控制者应论证使用基因识别数据及关联信息开展业务的必要性和合理性，明确对数据主体的影响，并依据标准要求确定相关业务流程、数据安全保护需求，获得相关的资质，包括但不限于：	データ管理者は、遺伝的識別データ及び関連情報を業務に使用することの必要性及び 合理性を正当化し、データ対象者への影響を明確にし、関連する業務プロセス、データセキュ リティ保護の必要性を決定し、以下を含むがこれに限定されない基準の要件に従って関連す る資格を取得するものとする。
a) 从事医疗服务的实体，应取得卫生主管部门批准并具有临床基因扩增检验实验室资质。	a) 医療サービスを提供する事業者は、保健所の承認を得て、臨床遺伝子増幅検査機関としての資格を取得しなければならない。
b) 从事法庭科学生物样本基因信息的鉴定服务的实体，应取得与从事的基因识别数据及关联信息相关的检验检测机构资质认定（CMA）或CNAS实验室认可以及当地司法行政部门许可。	b) 法廷科学のための生物試料の遺伝情報の識別サービスに従事する事業者は、従事する遺伝的識別データおよび関連情報に関連する試験検査機関（CMA）またはCNAS研究所の認定を受けるとともに、地方の司法行政部門のライセンスを取得しなければならない。
c) 从事消费级服务的实体，应具有有关部门认证的实验室资质，并获得相应营业许可。	c) コンシューマーグレードのサービスを提供する企業は、関連当局による実験室の認定を受け、それに基づいて営業許可を取得しなければならない。
d) 从事研究开发的实体，应具备相关研究开发的能力，包括相应等级的实验室、相关研究经验及成果、研究团队等。	d) 研究開発を行う事業者は、適切なレベルの研究所、関連する研究の経験と成果、研究チームなど、関連する研究開発能力を有していなければならない。
e) 从事公共卫生活动的实体，应获得相关法律法规和行政的许可。	e) 公衆衛生活動に従事する事業者は、関連する法律、規制、行政によって認可されなければならない。
f) 从事遗传信息公共服务的实体，应获得国家有关部门认定的资质。	f) 遺伝情報の公共サービスに従事する事業者は、国の関連部門が認める資格を取得しなければならない。
7　安全处理要求	7 安全な取り扱いのための要件
7.1　通用要求	7.1 一般要求事項
7.1.1　数据采集	7.1.1 データ収集
7.1.1.1　提出需求	7.1.1.1 要求事項の提示
对数据控制者的要求包括：	データ管理者への要求事項は以下の通りである。
a) 应根据自身业务的特点，提出需求，所需的基因识别数据及关联信息应与相关业务直接关联，且只收集和使用满足业务需要的最少数据。	a) 要件は、その事業の特性に応じて策定されるべきであり、必要とされる遺伝子識別データおよび関連情報は、関連する事業に直接関連するものでなければならず、事業のニーズを満たすための最小限のデータのみを収集して使用すべきである。
b) 使用需求应得到许可后方可开展相关活动。依据不同的使用场景，相关使用需求应通过伦理委员会的审查，必要时还需有关部门的报备及审批同意。	b) 関連する活動を実施する前に、使用要件を承認しなければならない。 利用シーンに応じて、利用申請を倫理委員会で検討し、必要に応じて関係当局の承認を得る。
7.1.1.2　知情同意书签订	7.1.1.2 インフォームドコンセントの署名
数据控制者应向数据主体展示知情同意书，并进行充分的解释说明，得到数据主体的知情同意，并签署该知情同意书（书面签署或可以防止假冒和篡改的技术保障的电子签署）。	データ管理者は、データ対象者にインフォームドコンセント・フォームを提示し、適切に説明し、データ対象者のインフォームドコンセントを得て、インフォームド・コンセント・フォームに署名（書面による署名、または偽造や改ざんを防止する技術的に安全な電子署名）する。
应针对每一个场景准备相应的知情同意书，不应在一份知情同意书中涵盖多个应用场景。不应强制数据主体同时签署多个场景知情同意书。知情同意书应满足的要求包括（不同场景下的不同模板见附录E）：	シナリオごとに適切なインフォームドコンセントを用意する必要があり、1枚のインフォームドコンセント用紙で複数のアプリケーションシナリオをカバーしてはならない。 データ対象者は、複数のシナリオのインフォームドコンセント・フォームに同時に署名させられるべきではありません。 インフォームドコンセント・フォームで満たすべき要件は以下の通りである（シナリオ別のテンプレートについては付録Eを参照）。
a) 告知方应为基因识别数据的需求提出方。	a) 情報提供者は、遺伝的識別データの必要性を提案する当事者であるべきである。
b) 应与相关业务对基因识别数据及关联信息的需求一致，不应要求超出需求的生物样品、基因识别数据及关联信息。	b) 遺伝的識別データ及び関連情報の関連する業務上の必要性と一致していなければならず、必要以上の生物学的サンプル、遺伝的識別データ及び関連情報を要求してはならない。
c) 应列明数据主体拥有的权利（参见6.2）。	c) データ対象者が有する権利を明記する（6.2参照）。
d) 应告知遗传物质及所获取数据的用途、安全保护措施及应用的潜在风险、生物样品和数据存储时限。	d) 遺伝物質の使用と得られたデータ、その適用によるセキュリティ対策と潜在的なリスク、生物学的サンプルとデータの保存期間が伝えられるべきである。
e) 应列明业务过程中所涉及到的所有数据控制者。	e) ビジネスプロセスに関わるすべてのデータ管理者を記載する。
f) 应描述基因识别数据及关联信息被共享和交换的内容、范围、对象。	f) 遺伝的識別データ及び関連情報が何を、どの程度、誰と共有・交換されるのかを記述する必要がある。
g) 应描述数据主体撤回授权同意的方法。	g) データ対象者が承認された同意を撤回する方法を記載する。
7.1.1.3　遗传物质采集	7.1.1.3 遺伝物質の収集
对数据控制者的要求包括：	データ管理者に対する要求事項は以下の通りである。
a) 数据主体生物样品及遗传物质的采集应符合GB/T 37864—2019的要求。	a) データ対象者の生物学的サンプルおよび遺伝物質の収集は、GB/T 37864-2019 の要件に準拠するものとする。
b) 采集过程完成后，应对样品进行去标识化处理，去除样品与数据主体个人敏感信息的关联关系。	b) 収集プロセスが完了した後、データ対象者の個人的な機密情報とサンプルの関連性を排除するために、サンプルを非識別化するものとする。
c) 如委托受托方采集生物样品，应签订委托协议，确保其在约定的目的和范围内采集遗传物质和关联信息；若需采集姓名、身份证号等个人敏感信息，则需具备相应安全能力资质，并保证个人敏感信息与基因识别数据分离、各自单独加密存储，并设置严格访问控制权限。	c) 委託先が生物学的サンプルの収集を委託された場合、委託契約書を締結し、合意された目的と範囲内で遺伝物質と関連情報を収集することを保証すべきである。名前やID番号などの個人的な機密情報を収集する必要がある場合、対応するセキュリティ能力の資格を有し、個人的な機密情報と遺伝的な識別データが分離され、それぞれが別々に暗号化されて保存されることを保証し、厳格なアクセス制御権限を設定すべきである。
7.1.1.4　数据提取	7.1.1.4 データの抽出
对数据控制者的要求包括：	データ管理者への要求事項は以下の通りである。
a) 对基因识别数据的中的个人敏感信息予以明确区分，提取的数据格式应支持个人敏感信息与生物性特征的分离。	a) 遺伝的識別データに含まれる個人的にセンシティブな情報は明確に区別され、抽出されたデータは個人的にセンシティブな情報とバイオメトリック特性の分離をサポートするフォーマットであること。
b) 基因识别数据提取应符合最小必要原则，严格按照行业推荐的基因识别类型和数量进行提取，不应提取与需求不直接相关的基因信息。	b) 遺伝子識別データは、必要最小限の原則に従い、業界で推奨されている遺伝子識別の種類と量を厳守し、ニーズに直接関係のない遺伝子情報を抽出しないこと。
c) 数据提取过程中，应只将基因识别数据与生物样本建立关联，不应与任何个体或群体自然人的任何信息相关联。	c) データ抽出プロセスは、遺伝子識別データを生物学的サンプルとのみ関連付けるものとし、いかなる個人または自然人のグループに関する情報とも関連付けるべきではない。
d) 数据提取过程中，应严格按照知情同意书中的描述处理生物样本。数据提取完成并通过质量检测后，应销毁生物样本，有法律法规明确要求的情况除外。	d) データ抽出の過程で、生物学的サンプルはインフォームド・コンセント・フォームに記載された通りに厳密に処理されなければならない。 データ抽出が完了し、品質テストに合格した後、法令の明確な要求がある場合を除き、生物学的サンプルは破棄する必要があります。
e) 如委托提取数据，不应提供关联信息；应与受托方签订委托协议，确保其在约定的目的和范围内提取基因识别数据，且符合本文件对数据提取的数据安全要求。	e) データ抽出が委託された場合、関連情報は提供されるべきではない。委託先が合意された目的と範囲内で、かつデータ抽出に関する本文書のデータセキュリティ要件に従って、遺伝的識別データを抽出することを保証するために、委託契約が締結されるべきである。
f) 如委托提取数据，受托方应在协议约定的时限内将提取的数据交付给委托方，并使用适当的加密技术，保证数据交付安全。受托方应在数据存储期限内或协议约定期限内销毁数据。	f) データ抽出が委託された場合、受託者は抽出されたデータを合意された時間枠内で委託者に引き渡すものとし、適切な暗号化技術を用いてデータ配信のセキュリティを確保する。 委託を受けた者は、データ保存期間内、または合意された期限内にデータを破棄するものとする。
7.1.2　数据使用	7.1.2 データの利用
数据控制者在获取基因识别数据后，应严格按照知情同意书中的内容使用基因识别数据及关联信息，满足的安全要求包括：	データ管理者は、遺伝子識別データを取得した後、インフォームドコンセント・フォームの内容に厳密に従って、遺伝子識別データ及び関連情報を使用しなければならず、満たすべきセキュリティ要件は以下の通りである。
a) 应根据相应场景的使用目的，正确使用基因识别数据及关联信息。	a) 遺伝子識別データおよび関連情報は、対応するシナリオの使用目的に応じて正しく使用されなければならない。
b) 基因识别数据使用时，可与符合使用目的的关联信息建立关联，达到使用目的后，应及时解除关联。	b) 遺伝的識別データが使用される場合には、使用目的に合致した関連情報と関連付けることができ、使用目的が達成された後は、適時に関連付けを解除すべきである。
c) 如委托进行数据分析，应满足的数据安全要求包括：	c) データ分析が委託されている場合、満たすべきデータセキュリティ要件には以下が含まれる。
1) 数据分析前，应对委托行为进行信息安全影响评估，以确保受托方具备足够的数据安全能力；	1) データ解析に先立ち、委託された行為について情報セキュリティ影響評価を行い、委託先が十分なデータセキュリティ能力を有していることを確認すること。
2) 数据分析前，应对受托方安全能力提出要求，通过知情同意形式明确双方的安全责任及安全措施，明确数据分析的规范，包括保存期限、销毁或返还期限等；	2) データ解析に先立ち、委託先のセキュリティ能力を要件とし、インフォームド・コンセントの形で双方のセキュリティ責任とセキュリティ対策を明確にし、データ解析の仕様（保存期間、破壊または返却期間など）を明確にすること。
3) 数据分析过程中，应根据分析目的提供最少的关联信息；	3) データ分析の際には、分析の目的に応じて、最低限の関連情報を提供すること。
4) 数据分析过程中，禁止受托方利用基因识别数据与其他来源数据关联数据主体的行为。	4) データ分析の際、受託者はデータ対象者を他のソースからのデータと相関させるために、遺伝的識別データを使用することが禁止されている。
7.1.3　数据存储	7.1.3 データストレージ
对数据控制者的要求包括：	データ管理者への要求事項は以下の通りである。
a) 应在按照7.1.1.2的要求取得数据主体的书面授权和同意后，进行基因识别数据及关联信息的存储。	a) 遺伝的識別データおよび関連情報の保管は、7.1.1.2 で要求されているように、 データ対象者の書面による承認および同意を得て実施するものとする。
b) 应在满足国家最低保存期限和知情同意书签订保存期限的基础上确定数据保存期限，进行存储。	b) 保存は、国の最低保存期間と、データ保存期間を決定するためのインフォームド・コンセント・フォームに署名された保存期間を満たすことに基づいて行われるものとする。
注：医学服务场景数据保存规则可参考附录D。	注：医療サービスシナリオのデータ保持規則は、付録Dに記載されている。
c) 基因识别数据的存储设施应通过伦理委员会及数据管理委员会审查；存储设施的建设和运行应遵循国家相关安全要求标准和规范；应采用合理的数据加密等安全技术，保证数据保密性、可用性和完整性，通过相关安全评估。	c) 遺伝子識別データの保管施設は、倫理委員会およびデータ管理委員会の審査に合格しなければならない。保管施設の建設および運営は、関連する国家安全要求基準および仕様に従わなければならない。データの機密性、可用性および完全性を確保するために、合理的なデータ暗号化およびその他のセキュリティ技術を採用し、関連するセキュリティ評価に合格しなければならない。
d) 数据存储过程中，基因识别数据应经过去标识化处理。	d) データ保存の過程で、遺伝子識別データを非識別化すること。
e) 数据存储过程中，基因识别数据与关联信息应分开存储，并设置不同的访问和管理权限；	e) データの保存過程において、遺伝子識別データと関連情報は別々に保存され、異なるアクセス権と管理権が設定されること。
f) 基因识别数据及关联信息存储需达到审查批准或知情同意的存储时限且需继续存储的，应重新进行相关审查登记批准流程，并按照7.1.1.2的要求重新取得数据主体的同意。	f) 遺伝的識別データ及び関連情報の保管が審査承認又はインフォームド・コンセントのための保管期限に達し、保管を継続する必要がある場合には、7.1.1.2の要件に従い、関連する審査登録承認プロセスを再度実施し、データ対象者の同意を再度得るものとする。
g) 在取得数据主体同意的情况下，可委托其他具有基因识别数据及关联信息存储资质的机构依据相关法律法规采用加密技术代为存储。	g) データ対象者の同意を得て、遺伝的識別データおよび関連情報を保管する資格を有する他の組織が、データ対象者に代わって、関連法令に基づいて暗号化技術を用いてデータを保管することを委託することができるものとします。
7.1.4　数据共享、转让	7.1.4 データの共有と転送
对数据控制者的要求包括：	データ管理者への要求事項は以下の通りです。
a) 基因识别数据及关联信息应先按照7.1.1.2的要求取得数据主体的知情同意、再通过伦理委员会和数据管理委员会的审核并向有关部门申报登记获得批准后，可进行最小限度的数据共享；该数据共享应符合知情同意书中明确描述的目的、共享对象、共享内容等。	a) 遺伝的識別データおよび関連情報は、7.1.1.2に従ってデータ対象者のインフォームドコンセントを得た後、倫理委員会およびデータ管理委員会の審査を経て、関連当局に報告して登録し、承認を得た上で、最小限の範囲で共有するものとする。このようなデータ共有は、インフォームドコンセント・フォームに明確に記載された目的、共有対象、共有内容等に従うものとする。
b) 数据提供方应与接收方签署协议，确认数据接收方的数据应用场景及资质，确认接收方应承担相应的数据保护责任并约定违约条款。	b) データ提供者は受信者と契約書を締結し、データの利用シーンとデータ受信者の資格を確認し、受信者が対応するデータ保護責任を負うことを確認し、契約違反条項に同意する。
c) 数据接收方应仅将所接收的数据用于提供方所约定的目的，不应用于其他目的，不应再次共享给其他实体。	c) データ受領者は、受領したデータを提供者が同意した目的にのみ使用し、他の目的に適用したり、他の事業体に再共有したりしないものとする。
d) 因业务目的确需扩展共享的范围和内容，且超出原知情同意书要求的，应单独向数据主体告知新的共享目的、涉及的数据类型、数据接收方的具体身份，并按照7.1.1.2的要求取得数据主体的知情同意。	d) ビジネス目的で、当初のインフォームドコンセントの要件を超えて共有の範囲および 内容を拡大する必要がある場合、データ対象者に新たな共有目的、関係するデータの種類、およ びデータ受領者の具体的な身元を別途通知し、7.1.1.2 の要件に従ってデータ対象者から インフォームドコンセントを取得するものとする。
e) 基因识别数据及关联信息原则上不应转让。数据控制者发生收购、兼并、重组和破产时的转让，应告知数据主体有关情况，并重新依照7.1.1.2的要求取得数据主体的知情同意，变更后的数据控制者应继续履行原数据控制者的责任和义务。	e) 遺伝的識別データおよび関連情報は、原則として譲渡されないものとする。 データ管理者の買収、合併、再編成および破産に伴う移転の場合、データ対象者に関連情報を通知し、7.1.1.2の要件に従ってデータ対象者のインフォームドコンセントを再度取得するものとし、変更後のデータ管理者は元のデータ管理者の責任および義務を引き続き履行するものとする。
f) 基因识别数据及关联信息不应买卖。	f) 遺伝的に識別可能なデータおよび関連情報は、取引されないものとする。
g) 基因识别数据及关联信息不应出境，按照7.1.1.2的要求取得数据主体的知情同意并获得有关部门批准的除外。	g) 遺伝的に識別可能なデータおよび関連情報は、データ対象者からインフォームド・コンセントを得て、7.1.1.2で要求される関連当局の承認を得た場合を除き、輸出されないものとする。
7.1.5 数据销毁	7.1.5 データの破棄
对数据控制者的要求包括：	データ管理者への要求事項は以下の通りである。
a) 国家有关部门明令销毁的，应及时销毁相关基因识别数据及关联信息。	a) 関連する国内当局によって破壊が明示的に命じられた場合、関連する遺伝的識別データ及び関連情報は、適時に破壊されなければならない。
b) 数据主体撤回授权或明示停止使用后，应及时销毁其基因识别数据及关联信息，经过匿名化处理进行公共卫生相关的群体分析或科学研究发表的数据除外。	b) データ対象者が承認を撤回した場合、またはデータの使用を明示的に中止した場合、公衆衛生関連の集団分析のために匿名化されたデータや科学研究のために公表されたデータを除き、遺伝子識別データおよび関連情報は適時に破棄されるものとする。
c) 存储时间达到授权存储期限且无新的存储授权，应及时销毁基因识别数据及关联信息。	c) 遺伝的に識別可能なデータおよび関連情報は、保存期間が許可された保存期間に達し、新たな保存許可が得られなかった場合、適時に破棄されるものとする。
d) 如使用物理介质进行数据传输，传输完成后应及时销毁介质中的基因识别数据及关联信息。	d) データ転送のために物理的メディアが使用される場合、メディア内の遺伝的識別子及び関連情報は、転送が完了した後、適時に破棄されるべきである。
e) 如委托进行数据分析，完成交付后，应确保受托方按照书面协议约定的期限及时销毁相关基因识别数据、关联信息、中间数据及分析结果。	e) データ分析が委託されている場合、受託者は納品完了後、関連する遺伝子識別データ、関連情報、中間データおよび分析結果を、契約書で合意された期限に従って適時に破棄することを保証するものとする。
f) 因机构吊销执照、取消资质、破产等原因无法开展相关业务，且存储的基因识别数据及关联信息无承接方的，应及时对数据进行销毁处理。	f) 機関の許可の取り消し、資格の剥奪または破産により関連業務が遂行できず、保存された遺伝的識別データおよび関連情報の引き受け手がいない場合、データは適時に破棄されるものとする。
7.2　个体服务场景安全要求	7.2 個々のサービスシナリオに対するセキュリティ要件
个体服务场景中，应按照国家有关规定及有关部门批准的服务产品要求，确定样品种类、所需的基因识别数据及关联信息的内容，可能涉及的信息范围包括：	個々のサービスシナリオにおいて、サンプルの種類、必要な遺伝子識別データの内容および関連情報は、関連する国内規制および関連部門が承認したサービス製品の要件に従って決定されるものとし、関与する可能性のある情報の範囲には以下が含まれるものとする。
a) 医疗服务：	a) 医療サービスの場合
1) 典型生物样品，如：血液、尿液、唾液、粪便、特定检材等；	1）代表的な生体試料、例えば、血液、尿、唾液、便、特定の検査材料など。
2) 单个产品基因检测位点数不应超过批准的服务产品中规定的位点数；	2) 個々の製品の遺伝子検査の遺伝子座は、承認されたサービス内容で指定された遺伝子座の数を 超えてはならない。
3) 典型关联信息，如：姓名、年龄、性别、病史、检验报告、手术记录、用药记录、过敏史、生育信息、家族病史等。	3) 典型的な関連情報、例えば、氏名、年齢、性別、病歴、検査報告書、手術記録、投薬記録、アレルギー歴、不妊症情報、家族の病歴など。
b) 法庭科学生物物证鉴定：	b) 法廷での科学的な生物学的証拠の識別
1) 典型生物样品，如：血液、唾液、骨骼、毛发、体液、脱落细胞等；	1）代表的な生体試料：血液、唾液、骨、毛髪、体液、剥離した細胞など。
2) 个体识别、亲权鉴定的基因检测位点数目及基因序列长度不应超过监管部门批准的数目和长度；	2) 個体識別および親系統識別のための遺伝子検査遺伝子座の数および遺伝子配列の長さは、規制当局が承認した数および長さを超えてはならない。
3) 典型关联信息，如：姓名、身份证号、籍贯、年龄、性别、家系信息等。	3）代表的な協会情報：氏名、ID番号、出身地、年齢、性別、家系情報など。
c) 消费级服务中的其他产品：	c) コンシューマ・グレード・サービスのその他の製品の場合。
1) 典型生物样品，如：血液、唾液等；	1）血液、唾液などの代表的な生体試料。
2) 单个产品基因检测位点数不应超过批准的服务产品中规定的位点数；	2) 個々の製品の遺伝子検査の遺伝子座は、承認されたサービス内容で指定された遺伝子座の数を 超えてはならない。
3) 典型关联信息，如：姓名、身份证号、籍贯、年龄、性别、家系信息等。	3）典型的な協会情報、例えば、名前、ID番号、出身、年齢、性別、家系情報など。
7.3　研究开发场景安全要求	7.3 研究開発シナリオにおけるセキュリティ要件
对数据控制者的要求包括：	データ管理者に対する要求事項は以下の通りである。
a) 应制定科学的研究方案或计划，明确说明前期工作基础、研究目的、意义、必要性、相关实验设计、研究过程中可能涉及到的合作及相关数据共享需求（如：共享的数据类型、格式及其必要性等），并依照最小必要原则，制定采样数量、基因识别数据及关联信息的提取方法等。	a) 科学研究計画書または計画書を作成し、予備作業の根拠、研究の目的・意義・必要性、関連する実験デザイン、研究過程で関わる可能性のある共同研究や関連するデータ共有の必要性（共有するデータの種類、フォーマットとその必要性など）、遺伝子同定データや関連情報などのサンプリング量や抽出方法などを、必要最小限の原則に従って明確に記載しなければならない。
b) 研究方案或计划应通过科学性审查、科研诚信调查、伦理委员会及数据管理委员会审批，如涉及特定地区人群、特定疾病等法律法规要求的，应向有关部门申报登记并获得批准。	b) 研究計画書または計画は、科学的審査、研究誠実性調査、倫理委員会およびデータ管理委員会の承認を経て、特定の地域住民、特定の疾病、その他の法規制要件に関わる場合は、関連当局に申告して登録・承認を得ること。
c) 研究开发活动的知情同意书还应满足如下安全要求：	c) 研究開発活動のためのインフォームド・コンセントは、以下の安全性の要件も満たすものとする。
1) 应明确告知数据主体科研项目名称、项目来源、研究目的及批准单位；	1) データ対象者は、科学研究プロジェクトの名称、プロジェクトの出所、研究の目的、承認機関を明確に知らされるものとする。
2) 应告知数据主体基因识别数据及关联信息（包括中间数据）是否会长期存储；	2) データ対象者は、遺伝的識別データ及び関連情報（中間データを含む）が長期間保存されるかどうかを知らされるべきである。
3) 不应使用宽泛的用途描述（如：“用于科研目的”等字样）。	3) 用途に関する大まかな説明は使用すべきではない（例：「for scientific purposes」の文言）。
d) 基于捐赠的基因识别数据及关联信息开展的研究开发活动，无需再次获取知情同意。	d) 寄贈された遺伝子識別情報および関連情報に基づく研究・開発活動については、さらなるインフォームドコンセントは必要ない。
e) 所有环节中，基因识别数据及关联信息应经过去标识化处理后使用。	e) 遺伝的識別子および関連情報は、すべてのセッションで使用するために非識別化されるべきである。
f) 研究开发过程中新发现的关联信息，应仅用于研究目的。	f) 研究開発の過程で新たに発見されたリンケージ情報は、研究目的にのみ使用されるべきものである。
7.4　其他场景安全要求	7.4 その他のシナリオのセキュリティ要件
对数据控制者的要求包括：	データ管理者に対する要求事項は以下の通りである。
a) 公共卫生活动场景中，应按照有关部门的政策要求，提出合理的基因识别数据及关联信息的采集需求。	a) 公衆衛生活動のシナリオでは、遺伝子識別データ及び関連情報の収集に関す る合理的な要求は、関連当局の政策的要求に基づいて行われるものとする。
b) 公共卫生活动场景中，应准备专门的知情同意书，得到有关部门同意后使用。	b) 公衆衛生活動のシナリオでは、特定のインフォームドコンセント・フォームを作成し、関連当局の同意を得て使用すること。
c) 公共卫生活动场景中，应根据活动的内容和有关部门的批准，对指定范围内的基因识别数据及关联信息进行处理和使用。因业务需要，在结果交付或告知数据主体时，可恢复与数据主体的关联。	c) 公衆衛生活動のシナリオでは、指定された範囲内の遺伝子識別データおよび関連情報は、活動の内容および関係当局の承認に従って処理および使用されるものとする。 データ対象者との関連付けは、業務上の必要性から結果をデータ対象者に配信または伝達する際に回復することがあります。
d) 遗传信息公共服务场景中，应根据有关部门批准的业务范围，存储基因识别数据及关联信息。	d) 遺伝情報公開サービスのシナリオでは、遺伝識別データ及び関連情報は、関連部門が承認した業務範囲に従って保存されるものとする。
e) 遗传信息公共服务场景中，不应只以数据存储为目的提出基因识别数据及关联信息采集的需求，获得有关部门许可的除外。	e) 遺伝情報の公共サービスのシナリオでは、関係当局の許可を得た場合を除き、データ保存のみを目的として遺伝識別データおよび関連情報の収集を要求してはならない。
f) 遗传信息公共服务场景中，应准备专门的知情同意书。知情同意书应符合如下安全要求：	f) 遺伝情報の公共サービスの場面では、特定のインフォームド・コンセント・フォームが用意されるべきである。 インフォームド・コンセント・フォームは、以下のセキュリティ要件を満たすものとします。
1) 应告知数据主体所采集的基因识别数据及关联信息属于捐赠，会用于广泛的科研目的，在国家有关部门授权范围内会被共享和交换。	1) データ対象者には、収集された遺伝的識別データおよび関連情報が寄贈され、広範な科学的目的のために使用され、関連する国家当局の認可の範囲内で共有および交換されることを通知する。
2) 应告知数据主体审批部门的名称及相关授权文件的名称或标识。	2) データ対象者は、承認機関の名称および関連する承認文書の名称または識別情報を知らされるものとする。
3) 应告知数据主体对所获得的基因识别数据及关联信息进行的去标识化、匿名化的方法。	3) データ対象者は、取得した遺伝的識別データおよび関連情報の非識別化および匿名化の方法について知らされるべきである。
注：知情同意书内容模板可参照附录E。	注：インフォームド・コンセントの内容のテンプレートは、附属書Eにある。
g) 遗传信息公共服务场景中，如所采集的捐赠数据仅用于研究开发活动，该数据应经过去标识化处理。	g) 遺伝子情報公開サービスのシナリオにおいて、収集された提供データが研究開発活動にのみ使用される場合は、データの非識別化を行う。
8　安全管理要求	8 セキュリティ管理の要件
对数据控制者的要求包括：	データ管理者への要求事項は以下の通りである。
a) 应参照GB/T 35273—2020、GB/T BBBBB—BBBB等标准的要求，设立专门数据管理机构（如：数据管理委员会），制定个人信息保护政策，建立数据安全管理机制，形成完整的信息安全管理体系，确保基因识别数据及关联信息全生命周期的安全性，保障数据主体的合法权益。	a) GB/T 35273-2020、GB/T BBBBB-BBBBなどの規格の要求を参照し、特別なデータ管理組織（データ管理委員会など）を設置し、個人情報保護方針を策定し、データセキュリティ管理メカニズムを確立し、完全な情報セキュリティ管理システムを形成して、遺伝子の識別データおよび関連情報のライフサイクルを通じて、データ対象者の合法的な権利および利益を保護する。
b) 应针对基因识别数据相关的特有智能设备（如：测序仪、质谱仪、生物计算服务器等)和业务特点，制定和实施相关的安全管理制度和技术措施（如：网络隔离措施、访问控制措施、入侵防范措施等）。	b) 遺伝子識別データに関連する固有のインテリジェント機器（シーケンサー、質量分析計、バイオコンピューティングサーバーなど）やビジネスの特性に合わせて、セキュリティ管理体制や技術的対策（ネットワーク隔離対策、アクセス制御対策、侵入防止対策など）を策定し、実施する。
c) 当发生基因识别数据及关联信息被窃取、篡改、丢失、泄露、损毁等安全事件时，应按照规定向相关部门报告；及时采取应急处置及补救措施；应按照规定通过邮件、信函、电话、推送通知等方式及时告知数据主体；难以逐一告知数据主体时，应采取合理、有效的方式公开发布相关的警示信息。	c) 遺伝子識別データおよび関連情報の盗難、改ざん、紛失、漏洩、破壊などのセキュリティイベントが発生した場合、規定に基づいて関連部門に報告し、適時に緊急処理および改善措置を講じ、規定に基づいて電子メール、手紙、電話、プッシュ通知などでデータ対象者に適時に通知し、データ対象者に個別に通知することが困難な場合は、合理的かつ効果的な方法で関連する警告を公開する。 d) 承認の撤回を定めること。
d) 应建立数据主体撤回授权、投诉及跟踪处理机制，并在承诺时限内对数据主体的相关请求进行响应。	d) 情報主体による承認の撤回、苦情およびフォローアップ処理、ならびに情報主体の関連する要求への対応を、約束された期限内に行うためのメカニズムを確立する。