EU-CTRとGDPRとの間の関係性に関するQ&Aについて

医薬関係
2022.01.05
この記事は約14分で読めます。

はじめに

 EUのClinical Trial Regulation(EU-CTR)が今月末の2022年1月31日にようやく、ようやく施行されます。
 そこでここでは、2019年の2月に欧州委員会(EC)のDG-SANTE(保健・食品安全総局)から公表された「Question and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation」を見直したいと思います。
 簡単に言うと、臨床試験で収集される被験者のデータについて、EU-CTRとGDPR(General Data Protection Regulation)の2つの法律から、その取り扱いをQ&A方式で解説したものです。
 なお、このQ&Aの内容は、公表された前月となる2019年1月23日に採択されたEDPB(European Data Protection Board)による「Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art. 70.1.b))」の意見を強く反映したものとなっています。
 EDPBはGDPRの解釈について強い権限を持っている組織ですが、最終的な司法判断は欧州司法裁判所(The Court of Justice of the EU)に委ねられることになります。
 欧州委員会もこの文書について何の責任も負わないと言っておりますが、当然ながら私もそうですし、以降に出てくる私の日本語への仮訳にも責任を負いませんので、ご了承ください

わからないところや不明なところがあれば、適宜、原文を確認してください。

目次

このQ&Aは、11個のQ&Aから構成されています。

目次

Q1. 個人データに関するEU-CTRの一般的な義務は何ですか?
Q2. 臨床試験の文脈で個人データ処理の正しい法的根拠を決定する責任があるのは誰ですか?
Q3. EU-CTRに従って実施される臨床試験(一次使用)のコンテキストで、臨床試験対象の個人データを処理するための法的根拠は何ですか?
Q4. 治験規制上のインフォームド・コンセントとGDPR上の同意の違いは何ですか?
Q5. 臨床試験に参加する被験者に提供すべき情報に関するGDPRの要求事項をどのように理解すればよいでしょうか?
Q6. 治験規制に基づく治験参加の同意を撤回した場合、どのような法的影響がありますか?
Q7. CTRの第28条2項の意味と、GDPRの視点からの臨床試験のプロトコル外での個人データの利用(二次利用)への影響はどのようなものでしょうか?
Q8. 緊急的な臨床試験における個人データの処理(CTR第35条)
Q9. 第三国に設立されたスポンサーは、EUのGDPRの対象になりますか?
Q10. EU域外へのデータ移転にはどのような規則が適用されますか?
Q11. 臨床試験指令(Directive)に基づいて承認された臨床試験の場合、スポンサーはどのように進めるべきか。

Q1. 個人データに関する臨床試験規則の一般的な義務は何ですか?

 臨床試験の目的は被験薬において信用できる頑健なデータを集めることですが、EU-CTRの基本原則は、EU-CTRの第3条(b)から確認できます。
 この基本原則から、以下の義務が見出せます。

  • 承認されたプロトコルとGCPに従うという治験依頼者/治験責任医師の義務(EU-CTR第47条)
  • データの安全管理措置の義務(データの機密性の維持、情報と個人データを保護)(EU-CTR第56条)
  • 依頼者に対する、試験結果の報告(EU-CTR第37条(4)(8))、安全性情報の報告(EU-CTR第41~43条)、25年間の記録の保管(EU-CTR第58条)に関する義務、および加盟国の査察を受ける義務(EU-CTR第78条)
  • EU-CTRの下で承認されたプロトコルが、被験者のデータが処理される目的と条件を定義しており、この被験者のデータの処理については被験者に適切に通知される必要がある(Q5を参照)
  • EU-CTR第93条は、被験者データの処理についてGDPRが適用されると規定しているため、被験者のデータにはEU-CTRとGDPRの両方が同時に適用される

Q2. 臨床試験の文脈で個人データ処理の正しい法的根拠を決定する責任があるのは誰ですか?

 ここでの結論を端的に書くと、被験者データの処理に対して責任を持つのは管理者(Controller)である、「治験依頼者と治験責任医師の属する医療機関」と説明されています。
 これについては、EDPBが2021年7月7日に採択した「Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0)」にて、もう少し詳しく説明していますが、それについては、また別の機会とさせていただきます。

Q3. 臨床試験規則に従って実施される臨床試験(一次使用)のコンテキストで、被験者の個人データを処理するための法的根拠は何ですか?

 恐らく、このQ&Aで最も重要なQがここです。
 色々と説明されているのですが、できるだけ簡潔に、かつコアとなるところだけ抜き出します。
 臨床試験の一次利用を目的とした、被験者データの処理の法的根拠は大きく分けると二つに分けられます。
 一つ目:EU-CTRが求めている義務を履行するためのデータ処理
     (Processing operations related to reliability and safety purposes)
 二つ目:純粋に研究活動に関連しているデータ処理
     (Processing operations purely related to research activities)

 一つ目のEU-CTRが求めている義務とは、例えばQ1で説明されていたような、安全性報告の実施(EU-CTR第41-43条)や、25年間のTMFの保存(同第58条)、監督当局による査察対応(同第78条)があります。
 これらを目的としたデータ処理は、EU-CTRが法的根拠となるため、GDPRの第6条(1)(c)(法的義務の順守)に基づきデータ処理することが正当化されます。また、被験者データは特別カテゴリーに該当するため、GDPRの第9条(2)に対応する法的根拠も必要となりますが、この場合は(i)が適用できます。
 そのため、一つ目を目的としたデータ処理については、本人同意が必要ないということになります。

 一方で、それ以外に該当する二つ目の目的である「純粋に研究活動に関連しているデータ処理」を目的としたデータ処理についは、その法的根拠を、他の法的義務から導き出すことができません。
 EDPBは以下の3つの法的根拠の組み合わせが利用できる可能性があると示しています。

#GDPR第6条(1)GDPR第9条(2)
1(e)
公共の利益		(i) or (j)
公共の利益 or 科学研究
2(f)
正当な利益		(j)
科学研究
3(a)
同意		(a)
同意

 しかし3つめの「同意」を被験者データを処理する法的根拠とすることは避けるべき、とEDPBは言っています。
 その理由はいくつかあるのですが、一つは、医療もしくは治験という文脈の中で、医師と被験者の間に力の不均衡(imbalance of power)が存在することが多く、GDPRが求める「自由に与えられた(free given)」同意の要件を満たさないことがあります。
 また、同意によって取得されたデータは、同意撤回後には原則的にその被験者のデータは削除しなければならず、その後の解析には利用できなくなることから、予定していた必要症例数を満たせなくなったり、想定していた解析結果を得られなくなる恐れがあることも理由の一つです。
 臨床試験によるデータ処理の法的根拠として同意という手段を取ることへの警鐘は、29条作業部会による「同意に関するガイドラン」でも鳴らされており、同意はほとんどの場合において適切な法的根拠とはならず、同意以外の他の法的根拠に依拠することが推奨されています。
 このあたりの考え方は、要配慮個人情報の取り扱いの法的根拠が「同意」しかない日本とは、考え方が異なるところかと思います。

Q4. 治験規制上のインフォームド・コンセントとGDPR上の同意の違いは何ですか?

 GCP上のインフォームド・コンセントと、個人情報保護法上の同意には、日本でも同様に違いがありますよね。
 治験規制上のインフォームド・コンセントは、以前からあるGCP上の倫理基準および手続き上の義務であり、臨床試験に参加するための基本的な条件になりますが、GDPR上の同意は、あくまで臨床試験で取得された被験者データを合法的に処理するための要件という位置づけです。

Q5. 臨床試験に参加する被験者に提供すべき情報に関するGDPRの要求事項をどのように理解すればよいでしょうか?

 臨床試験に参加する人は、EU-CTRが要求する臨床試験に関連する情報に加えて、GDPR第13条に従った情報、特にデータ処理の法的根拠(Q&A 3参照)を受け取る必要があります。

Q6. 治験規制に基づく治験参加の同意を撤回した場合、どのような法的影響がありますか?

 EU-CTRの第28条(3)では、臨床試験参加のインフォームド・コンセントを撤回しても、撤回前のインフォームド・コンセントに基づいて既に行われた活動や得られたデータの使用には影響しないとしています。
 臨床試験への参加に対するインフォームド・コンセントは、その臨床試験への参加に関連して個人データを処理することに対するGDPR上の同意とは区別する必要があります(Q&A 4参照)。
 EU-CTRに基づく臨床試験への参加に対するインフォームド・コンセントを撤回しても、その臨床試験に関連して収集された個人データの処理には必ずしも影響しません。そのため、当該個人データについて、GDPRの下で当該処理に適切な法的根拠がある場合には、引き続き処理できる可能性があります。このような場合、撤回前に収集されたその人の個人データは、プロトコルおよび法律で定められた目的および条件で保管されるものとします。例えば、患者に重篤な副作用が発生した場合、治験依頼者は国内の管轄当局にデータを報告することでデータを処理する権利を有します(管理者(Controller)の法的義務に基づく GDPR 第6条(1)(c) と第9条(2)(i) との併用:Q&A3の1つ目のパターン)。
 GDPRの下では、同意が処理の合法的根拠として用いられる場合(第6条(1)(a))、個人がいつでもその同意を撤回できる可能性がなければならず(第7条(3))、第7条に規定されている科学的研究についても、この要件の例外にはなりません。原則として、GDPRに基づくデータ処理に対する同意が撤回された場合、同意に基づいていたすべてのデータ処理作業はGDPRに従って合法的のままです(第7条(3))。ただし、管理者は当該処理作業を停止しなければならず、さらなる処理のための保持を正当化する他の合法的な根拠がない場合、データは管理者によって削除しなければならない(GDPR第17条(1)(b)および(3)を参照)。GDPRに基づく同意に基づいて個人データが処理される場合、治験責任医師は、CTRに基づく同意の撤回が治験活動への参加にのみ関連するのか、それともデータ処理への同意も撤回するのかを治験対象者と一緒に判断することが適当です。
 もちろん前述したように、EU-CTRに基づく同意の撤回は、他の合法的な理由、特に安全目的に関連するものなど、治験依頼者/治験責任医師が従うべき法的義務に基づく処理操作には影響しません。

Q7. CTRの第28条第2項の意味と、GDPRの視点からの臨床試験のプロトコル外での個人データの利用(二次利用)への影響はどのようなものでしょうか?

 匿名化されたデータの二次利用はGDPRの適用範囲には含まれません。一方で、プロトコル外での個人データ(仮名化されたものを含む)を処理する場合には、被験者の個人データを処理するための法的根拠がなければなりません。
 EU-CTRは、将来の科学的目的のために、被験者に関する個人データをプロトコル外で使用することについて、被験者に同意を求めることができる状況について明示的に言及しています(EU-CTR第28条(2))。
 二次利用のための個人データの処理の法的根拠として同意(GDPR第6条(1)(a))が求められている場合に考慮するポイントについて、(長いので)ポイントと思われる部分だけを抜粋します。

  • 同意取得時に被験者に説明したデータの利用目的の内容が、後日、実際に研究で利用する時の利用目的およびそのための方法と一致すること
  • 同意の取得は、GDPR第4条(11)にある通り、データ対象者が自由に与えた、具体的かつ十分な情報を与えられた上での曖昧でない意思表示としての同意であること
  • GDPR第7条(3)に従い、被験者は、臨床試験の実施中にいつでも同意を撤回する権利を有することと、臨床試験への参加に同意する前に、被験者にその情報を提供すること
  • 同意が、EU-CTRが求めるインフォームド・コンセントとは厳密に区別されていること(二次利用についての別の同意書を用意)
  • いずれの場合も、治験依頼者/治験責任医師は、GDPR第13条に従ってデータ対象者に情報を提供すること(例:法的根拠や同意を撤回する権利について)(Q&A5を参照)。

Q8. 緊急的な臨床試験における個人データの処理(CTR第35条)

 CTR第35条の厳格な条件が満たされていれば、緊急時には、例外的に事前のインフォームド・コンセントがなくても被験者を臨床試験に登録することができます。介入後、被験者を臨床試験に参加させるためには、被験者またはその法定代理人からできる限り早くインフォームド・コンセントを得るべきです。被験者または法定代理人が同意を追認しない場合、被験者の参加を継続することはできません
 被験者の事前の同意は追加的な保護手段に過ぎず、データ保護の観点からの処理の法的根拠ではないため、緊急的な臨床試験における個人データの処理の法的根拠は、GDPR第6条(1)(e)で追求される「公共の利益」またはGDPR第6条(1)(f)で追求される「正当な利益」しかありません。また、EU-CTR第28条の意味での同意がない場合、人に治療を提供し、その結果を記録するために必要な最初の処理は被験者の重要な利益(GDPR第6条(1)(d)および第9条(2)(c)にEU-CTR第35条を組み合わせ)を理由に正当化することもできます。
 EU-CTR の第 35 条(3)に照らして、本人またはその法定代理人による事後的なインフォームド・コンセントによって試験への参加が追認されない場合、その本人または法定代理人には、最初に収集されたデータの使用に対して「異議を唱える権利」があることを知らされるべきです。本人が試験への参加を確認した場合には、データはその試験の目的のために、処理を続けることができます。
 なお、被験者が同意の確認/拒否を行う前に死亡した場合、そのデータの処理はもはやGDPRの対象ではないため、処理の条件は加盟国の国内法によって決定される場合があります。

Q9. 第三国に設立されたスポンサーは、EUのデータ保護規則の対象になりますか?

 GDPRは、処理活動がEU域内のデータ対象者への商品やサービスの提供、またはEU域内でのデータ対象者の行動の監視に関連している場合、EU域内に設立された管理者および処理者だけでなく、EU域内に設立されていない管理者および処理者にも適用されます(GDPR第3条)。治験依頼者がこれらの目的に関連してEU域内のデータ対象者の個人データを処理する場合は、EU域内の代理人を指定する義務を含め、GDPRが全面的に適用されます(GDPR第27条)。

Q10. EU域外へのデータ移転にはどのような規則が適用されますか?

 EU域内の事業者が、個人データをEU域外の事業者(第三国の管理者、処理者、その他の受領者、または国際組織など)に移転する場合、国際移転に関する規則(GDPR第5章)を遵守しなければなりません。GDPRは、指令95/46の下ですでに存在していた(そして20年以上前から実施されている)規則を変更していませんが、既存の転送手段を使用する可能性を拡大し、新しい転送手段を導入しました。これにより、EU企業はそれぞれの状況に最も適したアプローチを採用することができます。状況に応じて、例えば、十分性認定(欧州委員会が、第三国または国際機関が適切な保護水準を確保していると判断した場合)に基づいて、適切なデータ保護保護措置(GDPR第46条)を含む合意または取り決めに基づいて、あるいはGDPR第49条に記載されている例外規定(公共の利益の重要な理由など)に基づいて、移転を行うことができます。

Q11. 臨床試験指令(Directive)に基づいて承認された臨床試験の場合、スポンサーはどのように進めるべきか。

 ここについては、省略します。
 興味のある方は、原文をご確認下さい。

おわりに

 以上、EU-CTRとGDPRとのInterplayについての欧州委員会によるQ&Aを見てきました。
 GDPRのことが分からないと、この内容も理解することが困難だと思いますので、GDPRの入り口ぐらいの説明は別の機会に記事にできればと考えております。
 もうすぐEU-CTRが施行され、CTIS(Clinical Trials Information System)への登録も義務化されます。マスキングなどはGDPRに準拠することとなっているので、開発や薬事の担当者も、ある程度のGDPRの知識が必要になるかもしれません。
 実務において、EU-CTRとGDPRの境界部分の解釈で困ったときに、このQ&Aが役に立つことを願っています。

タイトルとURLをコピーしました