第9条は「特別な種類の個人データ(special categories of personal data)」の取扱いに関する条文となります。
「特別な種類の個人データ」とは機微性の高い個人データのカテゴリーであり、日本の個人情報保護法で考えると要配慮個人情報に近い概念といえますが、定義や制限は異なります。
ご想像の通り、治験や臨床研究などで扱うデータは「特別な種類の個人データ」となりますので、医療データ・臨床データを扱う人たちにとっては避けて通れない、大事な条文となっています。
それでは、条文を見ていきましょう。
第9条:特別な種類の個人データの取扱い
1. 人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明らかにする個人データの取扱い、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータの取扱いは、禁止される。
第1項では「特別な種類の個人データ」を定義しています。
その中身を整理してみます。
これらが「特別な種類の個人データ」に該当し、原則取扱いは禁止されています。
「それでは医学研究ができない!」と思ってしまいますが、その「原則」の例外が第2項で記載されています。
その第2項に移る前に、「特別な種類の個人データ」と「要配慮個人情報」の違いを比較することで、もう少し「特別な種類の個人データ」を丁寧に見てみます。
「労働組合への加入(を明らかにする個人データ)」、「自然人を一意に識別することを目的とする生体データ」および「自然人の性生活若しくは性的指向に関するデータ」は、要配慮個人情報として定義されていない「特別な種類の個人データ」となり、逆に「犯罪の経歴」と「犯罪により害を被った事実」は「特別な種類の個人データ」として定義されていない要配慮個人情報となります。
ただ、要配慮個人情報ではあるけど「特別な種類の個人データ」にはなっていない「犯罪の経歴」と「犯罪により害を被った事実」については、GDPR第10条にて別のルールが設けられています。
また、「自然人を一意に識別することを目的とする生体データ」は、個人情報保護法においては要配慮個人情報には該当しないものの「個人識別符号」には該当し、それ単体で個人情報となるデータとして定義されております。
では、「特別な種類の個人データ」の「原則取り扱い禁止」の例外となる場合について記載されている第2項を見てみましょう。
2. 第1項は、以下のいずれかの場合には適用されない。
以下の(a)~(j)までのいずれかに該当する場合は、例外として取扱いが認められます。
(a) データ主体が、一つ又は複数の特定された目的のためのその個人データの取扱いに関し、明確な同意を与えた場合。ただし、EU法又は加盟国の国内法が第1項に定める禁止をデータ主体が解除できないことを定めている場合を除く。
いわゆる「本人同意」にあたります。
ただ、取扱いの適法性に関する第6条第1項(a)の同意と異なり、「明確な同意」(explicit consent)が求められています。
(b) EU法若しくは加盟国の国内法により認められている範囲内、又は、データ主体の基本的な権利及び利益のための適切な保護措置を定める加盟国の国内法による団体協約によって認められる範囲内で、雇用及び社会保障並びに社会的保護の法律の分野における管理者又はデータ主体の義務を履行する目的のため、又は、それらの者の特別の権利を行使する目的のために取扱いが必要となる場合。
極めて端的にまるめると、雇用や社会保障または社会的保護を目的に法律で定められた義務履行する場合と言えます。
(c) データ主体が物理的又は法的に同意を与えることができない場合で、データ主体又はその他の自然人の生命に関する利益を保護するために取扱いが必要となるとき。
データ主体が交通事故や脳梗塞などの理由により意識がない、またはデータ主体が小児である、といった理由により本人の同意が取れない場合で、かつ本人の生命を守るために必要な場合などが含まれます。
(d) 政治、思想、宗教又は労働組合の目的による団体、協会その他の非営利組織による適切な保護措置を具備する正当な活動の過程において、当該取扱いが、その組織の構成員若しくは元構成員、又は、その組織の目的と関係してその組織と継続的に接触をもつ者のみに関するものであることを条件とし、かつ、データ主体の同意なくその個人データが当該組織の外部に開示されないことを条件として、取扱いが行われる場合。
政治、思想、宗教または労働組合の目的による団体などが、その構成員・元構成員またはその関係者の個人データについて、外部に漏れないことを前提にその組織内だけで取扱われる場合。
(e) データ主体によって明白に公開のものとされた個人データに関する取扱いの場合。
データ主体が明らかに自身により公開した個人データの場合。
なお、日本の個人情報保護法では本人以外が公開した要配慮個人情報についても、その取得については本人同意は不要となっています。
(f) 訴えの提起若しくは攻撃防御のため、又は、裁判所がその司法上の権能を行使する際に取扱いが必要となる場合。
法的な権利の立証や行使に必要な場合や、裁判所による司法権の行使で必要となる場合。
(g) 求められる目的と比例的であり、データ保護の権利の本質的部分を尊重し、また、データ主体の基本的な権利及び利益の安全性を確保するための適切かつ個別の措置を定めるEU法又は加盟国の国内法に基づき、重要な公共の利益を理由とする取扱いが必要となる場合。
法律に基づくもので、重要な公共の利益のために必要な場合。
(h) EU法又は加盟国の国内法に基づき、又は、医療専門家との契約により、かつ、第3項に定める条件及び保護措置に従い、予防医学若しくは産業医学の目的のために、労働者の業務遂行能力の評価、医療上の診断、医療若しくは社会福祉又は治療の提供、又は、医療制度若しくは社会福祉制度及びそのサービス提供の管理のために取扱いが必要となる場合。
法律に基づき、医療専門家が予防や治療のために診療をおこなったり、医療制度の設計・運用のために必要となる場合。
(i) データ主体の権利及び自由、特に、職務上の秘密を保護するための適切かつ個別の措置に関して定めるEU法又は加盟国の国内法に基づき、健康に対する国境を越える重大な脅威から保護すること、又は、医療及び医薬品若しくは医療機器の高い水準の品質及び安全性を確保することのような、公衆衛生の分野において、公共の利益を理由とする取扱いが必要となる場合。
法律に基づき、公衆衛生上の脅威への対応や、医薬品・医療機器の品質・安全性の確保のために必要な場合。
(j) 求められる目的と比例的であり、データ保護の権利の本質的部分を尊重し、また、データ主体の基本的な権利及び利益の安全性を確保するための適切かつ個別の措置を定めるEU法又は加盟国の国内法に基づき、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために取扱いが必要となる場合。
法律に基づき、また、第89条第1項に従い、公共の利益につながる保管、科学的・歴史的研究、または統計を目的として必要となる場合。
公共の利益における保管の目的、科学調査若しくは歴史調査の目的又は統計の目的のための取扱いは、本規則に従い、データ主体の権利及び自由のための適切な保護措置に服する。それらの保護措置は、とりわけ、データの最小化の原則に対する尊重を確保するため、技術的及び組織的な措置を設けることを確保する。それらの措置は、それらの目的がそのような態様で充足されうる限り、仮名化を含むことができる。データ主体の識別を許容しない又は許容することのない別の目的による取扱いによってそれらの目的が充足されうる場合、それらの目的は、その態様によって充足される。
一般データ保護規則(GDPR)の条文 第89条第1項 個人情報保護委員会にる仮日本語訳
「特別な種類の個人データ」を取扱うためには、以上の(a)から(j)までの10種類の条件のうち、1つ以上に該当しなければなりません。
ここで注意しなければならないのは、この第9条第2項の(a)~(j)のいずれかの要件を満たすだけで「特別な種類の個人データ」の取扱いの要件を満たすわけではなく、第6条第1項の(a)~(f)の法的根拠に加えて必要な要件となっていることです。
言い方を変えると、通常の個人データの取扱いにおいても第6条第1項の(a)~(f)のいずれかの法的根拠が必要となることは大前提であり、その上で「特別な種類の個人データ」を取扱う場合には、上乗せで第9条第2項の(a)~(j)のいずれかの要件が必要になるということです。
医療データも「特別な種類の個人データ」に該当するため、医療データを取扱う際には、第6条第1項の法的根拠に加え、第9条第2項の「特別な種類の個人データ」を取扱うための例外要件が揃わないといけないということを覚えておいてください。
その時の具体的な第6条第1項と第9条第2項の組み合わせについては、別のところで説明してきます。
なお、EU-CTR:Clinical Trial Regulation(536/2014)の対象となる臨床試験で取扱う個人データに関する法的根拠の考え方については、こちらで解説しております。
3. EU法若しくは加盟国の国内法又は加盟国の職務権限を有する組織によって設けられた準則に基づく職務上の守秘義務に服する職にある者によって、若しくは、そのような者の責任の下で、又は、EU法若しくは加盟国の国内法又は加盟国の職務権限を有する組織によって設けられた準則に基づく守秘義務に服するその他の者によってそのデータが取扱われる場合、第2項(h)に定める目的のために、第1項に定める個人データは、取扱われうる。
法律に基づき特別な権限を与えられた人が、医療の提供や医療制度の設計・運営を目的に「特別な種類の個人データ」を取扱うことがあります。
4. 加盟国は、遺伝子データ、生体データ又は健康に関するデータの取扱いに関し、その制限を含め、付加的な条件を維持又は導入することができる。
遺伝子データ、生体データ、健康に関するデータの取扱いについては、加盟国法により柔軟な運用ができることになっています。
これが実はやっかいでして、GDPRにより欧州全体の個人データの取扱いに関する統一的なルールが制定されているように思われがちですが、医療データや医学研究の周辺では、この加盟国独自ルールが多く存在するため(もしくは必要なルールが整備されていない国があるため)EU域内でかなりのバラツキが発生しています。
そのバラツキは欧州の中で認識されており、2021年には欧州委員会の保健・食品安全総局(DG-SANTE)が欧州加盟国のバラツキの状況を大々的に調査・報告していますので、関心のある方はご覧ください(部分的にでも将来的にここでご紹介できればと思っています)。
Assessment of the EU Member States’ rules on health data in the light of GDPR
以上、第9条を見てきました。
医療データを扱う上では、非常に大事な条文ですので、他の条文やガイドラインとの関係で見直すことも多いと思います。
