第6条の「取扱いの適法性」において、その法的根拠の1つとしてデータ主体の「同意」がありました。
この同意の要件について、第7条にて説明されています。
第7条に進む前に、一度第4条第11項にありました、データ主体の「同意」の定義を見直しておきましょう。
自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するものを意味する。
第7条:同意の要件
1. 取扱いが同意に基づく場合、管理者は、データ主体が自己の個人データの取扱いに同意していることを証明きるようにしなければならない。
データ主体が自身の個人データの取扱いについて同意しているかどうかの立証責任は管理者にあります。
2. 別の事項とも関係する書面上の宣言の中でデータ主体の同意が与えられる場合、その同意の要求は、別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示されなければならない。そのような書面上の宣言中の本規則の違反行為を構成する部分は、いかなる部分についても拘束力がない。
データ主体の個人データについて、その取扱いの目的が異なっていたり、利用方法に違いがあったりする場合には、それぞれの目的・利用方法などが区別して理解できるように説明しなければなりません。
またその説明のための言葉は、明確で平易な表現を用い、データ主体にとって分かりやすいものでなければなりません。
誤魔化す目的があろうがなかろうが、分かり難い説明により取得した同意は無効です。
原則論としてはその通りだと思いますが、臨床試験や臨床研究などの医学研究では、同意取得時に明確な利用目的を説明できないことがしばしば発生します。
このことは理解されているようで、前文33には以下のような条項があります。
(33) 科学研究の目的のための個人データの取扱いの目的をそのデータ収集の時点で完全に特定することは、しばしば、不可能なことである。それゆえ、データ主体は、科学研究のための広く認められた倫理基準が保たれている場合、一定の分野の科学研究に対して同意を与えることができる。データ主体は、予定されている目的が許す範囲内で、一定の分野の科学研究のみ、又は、研究プロジェクトの一部分のみに対して同意を与える機会をもつものとしなければならない。
一般データ保護規則(GDPR)の前文 第33項(個人情報保護委員会の仮日本語訳)
「科学研究の目的のための個人データの取扱いの目的をそのデータ収集の時点で完全に特定すること」については、医療データ・RWD(Real-world data)やバイオバンクを利用する場面など、まさに医学研究の多くの場合で当てはまる問題ですね。
たとえ明確な研究目的を設定して、データ主体から同意を得た上で個人データを取得したとしても、その研究の結果次第では、そこで得た個人データを別の(さらなる)研究に利用したいと思うこともしばしばあります。
そのような「将来実施するかもしれない研究目的」までを当初の計画に入れることはできませんし、臨床試験・臨床研究では事後的にデータ主体から同意を取得しなおすことは通常不可能です。
また、バイオバンクで保存された検体は、医療の向上につながる貴重な情報が詰まっている可能性があるため、将来の研究により治療法の発見などに繋がることを期待し長期保存されていますが、将来実施する研究が具体的にどのようなものになるかは同意取得時では分かりません。
このように、事前に全ての利用目的を特定できないことはGDPRでも想定されているようで、倫理委員会にて認められれば、一定の範囲で利用目的の特定に関して緩和されるように記載されていますが、この項目を説明するガイドラインなどは未だ出ておらず、具体的にどのように運用できるのかは不明なままです。
EDPB(European Data Protection Board)は、2021年末までにGDPRにおける医学研究(ヘルスケア研究)での個人データの取扱いに関するの考え方について何らかの指針を出すとしてきましたが、2022年2月の現時点ではまだ公表されていません。
公表されれば、このサイトでご紹介したいと思います。
3. データ主体は、自己の同意を、いつでも、撤回する権利を有する。同意の撤回は、その撤回前の同意に基づく取扱いの適法性に影響を与えない。データ主体は、同意を与える前に、そのことについて情報提供を受けるものとしなければならない。同意の撤回は、同意を与えるのと同じように、容易なものでなければならない。
データ主体は自分が過去に行った同意をいつでも撤回できなければなりません。
また、「いつでも撤回できる旨」を同意取得時に情報提供する必要があります。
その同意の撤回は、同意をしたときの手間と同程度に容易なものでないといけません。
4. 同意が自由に与えられたか否かを判断する場合、特に、サービスの提供を含め、当該契約の履行に必要のない個人データの取扱いの同意を契約の履行の条件としているか否かについて、最大限の考慮が払われなければならない。
データ主体の「同意」の定義に「自由に与えられ(free given)」という言葉はありますが、自由意思のもとで得られた同意でなければ、法的な根拠になりません。
その「自由に与えられた」に該当するか否かの判断基準として、契約の履行に必要のない個人データの取扱いを契約履行の条件にしている場合は、一般的に自由意思による同意とはみなされないと考えられます。
以上の考え方は、前文42、43にも記載があり、参考になると思いますので以下に引用します。
(42) 取扱いがデータ主体の同意に基づく場合、管理者は、そのデータ主体がその取扱業務に対して同意を与えたということを証明できるようにしなければならない。特に、他の事項に関して書面上の宣言をする状況においては、保護措置は、同意が与えられることになるという事実及びその同意が与えられる範囲についてデータ主体が認識することを確保しなければならない。理事会指令93/13/EECに従い、管理者によって事前に書式化された同意の宣言は、理解しやすく、容易にアクセスできる方式により、明確かつ平易な文言を用いて示されなければならず、かつ、不公正な条件を含むものであってはならない。通知される同意に関し、そのデータ主体は、少なくとも、管理者の身元、及び、その個人データについて予定されている取扱いの目的を認識していなければならない。データ主体が真の又は自由の選択でない場合、又は、不利益を受けずにその同意を拒否又は撤回できない場合、その同意は、自由に与えられたものとはみなされない。
(43) 同意が自由に与えられることを確保するために、データ主体と管理者との間に明確な不均衡が存在する特別な場合、特に、管理者が公的機関である場合で、それゆえに、当該状況の全体からみて、同意が自由に与えられる可能性が低いようなときには、その同意は、個人データを取扱うための有効な法的根拠を提供するものとはならない。個々の場合に個別に同意することが適切であるにもかかわらず、異なる個人データ取扱業務毎に分けて同意を与えることが認められない場合、又は、サービス契約の履行のためにそのような同意を必要としないのにもかかわらず、サービスの提供の場合を含め契約の履行が同意を必要としている場合、そのような同意は、自由に与えられたものではないと推定される。
一般データ保護規則(GDPR)の前文 第33項(個人情報保護委員会の仮日本語訳)
前文43の「データ主体と管理者との間に明確な不均衡が存在する特別な場合」には、医師と患者の関係も想定されており、治験や臨床研究の実施の同意でも問題になる可能性がありますが、そのあたりは「同意に関するガイドライン」で補足しておりますので、適宜ご覧ください。
以上、第7条でした。
