- このEDPB文書の背景
- 1. はじめに
- 2. データ保護および倫理的義務の遵守:科学的研究目的のための健康関連データの処理の法的根拠
- Q1. オビエド条約やヘルシンキ宣言に盛り込まれた倫理原則と、正当な利益や公共の利益に基づくヘルスデータの処理の可能性をどのように調和させるのか?
- Q2. 「健康状態が良好でない参加者」の定義は何か。また、意見書 3/2019 に示された説明は、データ管理者が、患者や入院していないものの、ある種の診断を受けた人々のデータを処理するための法的根拠として「明示的な同意」に依拠する可能性は排除されているのか?
- Q3. 一つの研究プロジェクトにおいて、一つのデータ管理者が複数の加盟国で異なる個人のヘルスデータを処理するために、異質な/異なる法的根拠を持つことは可能か?公平性(1つの研究内での全ての個人の平等な扱い)の要件はどのように満たすべきか?
- Q4. ゲノム研究等の健康関連研究の場合、個人データがそのデータ主体によって明らかにパブリックにされているかどうか(9条2項e)を評価する際に考慮すべき前提条件は何か?
- 3. 過去に収集されたヘルスデータのさらなる処理
- Q5. データ主体の同意を得てある特定の研究プロジェクトのために収集されたヘルスデータを、データ主体の同意なしに、別の管理者が同じ性質の異なる研究プロジェクトのために、どの程度まで再利用することができるか?
- Q6. 第5条1項(b)の適合性推定が適用される場合、特別な種類のデータに対する処理の合法性と透明性の要件は何か?また、そのような場合、最初の法的根拠はどの程度までさらなる処理に依拠することができるか?
- Q7. 医療機関が患者からヘルスデータを収集し、そのデータを科学的研究プロジェクトに使用したいと考えた場合、どの程度までなら適合性のある追加処理とみなされるか?
- Q9. データ主体から直接収集したデータではない場合、例えば、ソーシャルメディアプラットフォーム、アクティビティ・トラッカー、あるいは一般に公開されているデータベースからのヘルスデータを、プロファイル作成のために研究目的で使用できるとしたら、それはどのような状況か?またそのようなデータ処理で満たすべき条件は何か?
- Q10. データ管理者がデータ処理の目的を変更し、第29条作業部会の同意に関するガイドラインに従って当初の法的根拠(同意)とは異なる法的根拠を用いることを可能にする「新しい状況」を説明する良い例は?
- 4. 広範な同意の概念
- 5. データ処理の透明性:データ主体に提供されるべき情報および保存の制限
- 6. GDRP第89条第1項に基づく匿名化、仮名化、その他のセーフガード
- 7. 一般的な質問:大規模な「特別な種類のデータ」の処理と国際的な協力について
このEDPB文書の背景
欧州ではGDPR(General Data Protection Regulation:一般データ保護規則)が施行されたことにより、「医学研究が実施できない!」、「臨床研究の実施が困難になった!」といった意見が、アカデミアや製薬企業などから発せられていました。
その理由のいくつかを挙げてみると・・・
- 将来どのような研究で利用するか分からない既存の診療データやバイオバンクについて、GDPRで求めている同意説明時の「利用目的の特定」をすることができないこと、包括同意が認められていないこと
- 前向きにデータを収集する場合でも、「力の不均衡」の観点から有効な同意とみなされない恐れがあること
- 匿名化の方法が明確になっていないこと
- 医学研究を実施するための加盟国法の立法状況にバラツキがあり、欧州域内での共同研究であっても法への対応が異なる場合があること
などが挙げられます。
このような状況が続き、医学界や法曹界では、医学研究の実施におけるGDPRの解釈や困難さについて多くの議論がなされてきました。
例えば、Google Scholarで「GDPR Health Research」と入れて検索しただけでも、5万件を超える検索結果が表示されます(2022年10月現在)。
同じく「Regulation」(規則)である「Clinical Trial Regulation」との関係性については、欧州データ保護委員会(EDPB)がその関係性についての「Opinion(意見)」を示し、それを元に欧州委員会がQ&Aを示しておりました(下にそのQ&Aに関する記事を置いております)。
しかしながら、そのQ&Aだけでは実務上の解説として不十分なところも多く、また、Clinical Trial Regulationの対象にならない試験についての説明がなかったりといった状況は続き、EUの医薬品に関する規制当局であるEMA(European Medicines Agency)さえも、「GDPRの解釈の不明確さが医学研究における課題になっている」という趣旨のプレゼンをしていたことがありました。
そのようなGDPRの解釈の不明確な部分について、統一的な見解を示すべくOpinion(意見)やガイドラインを示す役割を担う欧州データ保護委員会(EDPB)は、欧州委員会をはじめとする多くのステークホルダーからの「医学研究分野での課題」について認識されていたようで、「そのうち整理し公表する」とか「近いうちに公表する」といった表現を折々の文章で示しつつも、長い間その公表されていない状況が続いていました。
そんな中、2021年2月にEDPBが「EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research」という文章を公表しました。
待ちに待った文書が公表されたのかと思ったのですが、結論的には大変残念な内容でした。
中身がない、と言いますか・・・
そんな残念な文書ではありましたが、経過を知ることも重要なこともありますので、今回はこの「EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research」を見ていきたいと思います。
文書の構成は以下のようになっております。
目次
- はじめに
- データ保護と倫理的義務の遵守:科学的研究目的のための健康関連データ処理の法的根拠
- 以前に収集されたヘルスデータのさらなる処理
- 広範な同意という概念
- データ処理の透明性:データ対象者に提供されるべき情報および保存の制限
- GDPR第89条1項に基づく匿名化、仮名化、その他の保護措置
- 一般的な質問:大規模な「特別な種類のデータ」の処理と国際的な協力について
1. はじめに
「はじめに」については、個々に訳していくことはせず、その概略のみ記載します。
「はじめに」では、この文書の位置付けについて説明しています。
この文書が作成された背景には、欧州委員会がEDPBに、ヘルスリサーチに焦点を当てたGDPRの一環した適用に関する明確化を要請したこと、さらには、ヘルスリサーチにおけるデータ処理に関連した質問リストを提示していたことがあったそうです。
そして、それらの質問に対してEDPBは回答を試みているのですが、「回答を試みた初めての取り組みであり、本当はこれらの質問に対して、より深い分析や事例研究に時間をかける必要があるため、今回は完全には答えられない」との言い訳から始まっています。
また、EDPBは科学研究を目的としたデータ処理に関するガイドラインを2021年中に公表予定であり、その中でより包括的な解釈を提供することを目指すと記しております(「そのガイドラインを待て」という趣旨の回答は青色のアンダーラインを引いています)。
しかしながら、2022年10月現在、未だ、そのガイドラインは公表されておりません…
2. データ保護および倫理的義務の遵守:科学的研究目的のための健康関連データの処理の法的根拠
Q1. オビエド条約やヘルシンキ宣言に盛り込まれた倫理原則と、正当な利益や公共の利益に基づくヘルスデータの処理の可能性をどのように調和させるのか?
5. 倫理基準は、データ対象者の明示的な同意のみが科学的研究目的のためのヘルスデータの処理を正当化するために使用できるというように解釈することはできない。GDPR第6条および第9条には、科学的研究目的のための健康データの処理に依拠できる法的根拠および免除のための他の選択肢が含まれている。科学的研究プロジェクトへの参加に対するインフォームド・コンセントの要件は、科学的研究目的のための個人データの処理を正当化する可能性として、明示的な同意とは区別することができ、また区別しなければならない。
6. 倫理声明や生命倫理に関する条約は、主として、本人の意思に反して、及び/又は本人の知らないところで医学研究プロジェクトに参加させられることから個人を保護することを目的としていると主張することができる。したがって、医学研究プロジェクトに参加するためのインフォームド・コンセントは、同意が得られない状況(無能力者、緊急事態など)に対するいくつかの例外を除き、必要な要件である。しかし、このような同意は、GDPR第6条第1項(a)の「個人データの処理の法的根拠としての同意」とは区別され得るし、区別されるべきである。GDPR第6条第1項が同意以外の法的根拠を規定し、GDPR第9条第2項が明示的同意以外の免責を規定していることを考慮すると、科学研究目的のヘルスデータの処理について他の法的根拠に依拠できることは予見可能であり、(倫理基準と)矛盾するものではない。
7. ただし、GDPR第6条の同意以外の法的根拠および第9条(2)の他の適用除外のいずれかに依拠する場合は、医学研究プロジェクトに参加するためのインフォームドコンセントという「倫理的」要件が依然として満たされる必要がある。GDPRの枠組みでは、これは、科学的研究目的のために個人データを処理する際に実施されるべき、GDPR89条1項で予見される追加的な保護措置の1つとして認識することができる。
Q2. 「健康状態が良好でない参加者」の定義は何か。また、意見書 3/2019 に示された説明は、データ管理者が、患者や入院していないものの、ある種の診断を受けた人々のデータを処理するための法的根拠として「明示的な同意」に依拠する可能性は排除されているのか?
8. 意見書3/2019(臨床試験規則とGDPRの相互関係)において、EDPBは、データ保護目的のため、データ主体と管理者の間に明らかに力の不均衡が存在する研究活動においては、同意は適切な法的根拠ではないと述べている。臨床試験において、例えばデータ対象者の健康状態が良好でなく、臨床試験外で利用可能な治療法がない場合など、状況に応じてこのような不均衡が存在する可能性があることを認めている。したがって、本意見書では、臨床試験における個人データの処理について同意に依拠する場合、同意が適切かどうかを判断するために、まず臨床試験の状況について「特に徹底した評価」を行わなければならないとしている。
9. 本意見書は臨床試験という特定の状況に限定されているため、他の種類の科学研究におけるデータ主体と管理者の間の状況および力の均衡に応じて、異なるアプローチをとる可能性がある。
10. 従って、意見書3/2019は、データ管理者が患者(入院中か否かを問わず)からのデータ処理の法的根拠として明示的な同意に依拠する可能性を排除するものではない。データ主体と研究者の間に力の不均衡が存在せず、GDPRにおける明示的同意の要件を満たすことが立証できる場合、法的根拠としての明示的同意は依然として医学研究プロジェクトにおいて依拠することができる。ただし、これにはケースバイケースで慎重な評価が必要である。
11. また、加盟国法の規定が、科学的研究目的のためのヘルスデータ処理の法的根拠として同意を使用する可能性に影響を与える可能性があることに留意しなければならない。
Q3. 一つの研究プロジェクトにおいて、一つのデータ管理者が複数の加盟国で異なる個人のヘルスデータを処理するために、異質な/異なる法的根拠を持つことは可能か?公平性(1つの研究内での全ての個人の平等な扱い)の要件はどのように満たすべきか?
12. GDPRの下、管理者は個人データを合法的に処理することが要求される。つまり、管理者(科学的研究目的で個人データを処理する個人または組織)は、GDPR第6条に規定された法的根拠(同意(a)、法的義務(c)、公共の利益のために行われる業務(e)、正当な利益(f))に依拠して個人データを処理しなければならない。 管理者が科学的研究目的でヘルスデータを処理する場合、GDPR第9条の条件(明確な同意(a)、データ主体が明らかに公表している個人データに関連する処理(e)、加盟国法・EU法に基づく重要な公益の理由による必要性(g)、加盟国法・EU法に基づく公衆衛生分野での公益の理由による必要性(i)、加盟国法・EU法に基づく科学研究目的の必要性(j))も満たしていなければならない。
13. GDPR第6条に基づく法的義務(c)および/または公共の利益のために行われる業務(e)を規定し、GDPR第9条に基づく重要な公益の理由(g)、公衆衛生の分野における公益の理由(i)および/または科学研究目的(j)を規定するためには、加盟国および/またはEU法が必要である。このことは、科学研究目的のために個人のヘルスデータを処理する際に依拠すべき法的根拠(第6条)とヘルスデータ処理の免責(第9条)の両方において、加盟国の法律における選択がかなりの影響を与える可能性があることを意味している。したがって、加盟国の法律における選択は、科学的研究目的のためのヘルスデータの処理という領域において、GDPRの下で達成できる調和のレベルに重大な影響を与える可能性がある。さらに、GDPR第9条4項により、遺伝データ、生体データ、健康に関するデータの処理に関する制限を含むさらなる条件を、加盟国が維持または導入する可能性があることにも考慮する必要がある。
14. ヘルスデータの処理に関する加盟国の関連法の完全かつ詳細な概要はまだないが、加盟国の法律では、科学研究目的のヘルスデータ処理の法的根拠が特定、規定、除外されているか、GDPR第9条第2項(g)、(i)、(j)に基づく第9条第1項の免除が(追加要件とともに)加盟国の法律に予見されているかどうかにかなりの違いが見られることが確認されている。
15. 複数の加盟国でヘルスリサーチプロジェクトを実施する場合、可能な限り、プロジェクトにおいて同一の法的根拠を使用することが推奨される。しかし、複数の加盟国での研究プロジェクトにおいて、一つの研究プロジェクトの参加者のヘルスデータを処理するために、加盟国の法律により異なる法的根拠を使用する必要が生まれる可能性がある。複数の加盟国における1つの研究プロジェクトにおいて、ヘルスデータを処理するためのこのような異なる法的根拠が及ぼす潜在的な悪影響は認めることができる。しかし、この潜在的な均質性の欠如は、EDPBガイドラインや行動規範によって解決することはできない。
16. 管理者は、例えば、データ主体が住んでいる加盟国に関係なく、その権利を最適化し、調和させることによって、科学的研究目的のためのヘルスデータ処理に関する加盟国の異なる法体系の影響をできるだけ抑える努力をすることが望ましい。
17. 関連するEU法としては、これまで臨床試験規則(CTR)だけが、信頼性と安全性に関連する目的のために臨床試験で個人データを処理する管理者の法的義務(CTR41~43条)が規定されており、管理者に対する統一的な法的根拠を見出すことが可能なEU法として認識されている。しかし、管理者に対するこの法的義務は、臨床試験において個人データが処理されるすべての(その他の)目的をカバーするものではない。したがって、管理者は、そのような他の研究目的のために個人データを処理するためには、GDPR第6条の別の法的根拠に頼らざるを得ない。
18. この点について、EDPBは、欧州データ戦略に沿って、欧州委員会が、主務官庁が根拠に基づく政策決定を行い、科学研究を支援することによって、医療へのアクセスと質を改善することを目的として、欧州医療データスペース(EHDS)の創設に取り組んでいることを承知している。EDPBは欧州委員会に対し、EHDSに関する今後の立法案において、複数の加盟国で実施され特定の基準を満たす研究プロジェクトについて、個人ヘルスデータの処理に関する共通の法的根拠や科学研究体制を提供できるかどうかを検討するよう要請している。
Q4. ゲノム研究等の健康関連研究の場合、個人データがそのデータ主体によって明らかにパブリックにされているかどうか(9条2項e)を評価する際に考慮すべき前提条件は何か?
19. この質問に対する適切な回答は、さらなる分析と議論を必要とする。EDPBは、科学研究目的のための個人データの処理に関するガイドライン(現在準備中、2021年予定)において、この問題について詳しく説明する予定である。
3. 過去に収集されたヘルスデータのさらなる処理
Q5. データ主体の同意を得てある特定の研究プロジェクトのために収集されたヘルスデータを、データ主体の同意なしに、別の管理者が同じ性質の異なる研究プロジェクトのために、どの程度まで再利用することができるか?
Q6. 第5条1項(b)の適合性推定が適用される場合、特別な種類のデータに対する処理の合法性と透明性の要件は何か?また、そのような場合、最初の法的根拠はどの程度までさらなる処理に依拠することができるか?
20. 異なる研究プロジェクトにおいて科学研究を目的に、個人データをさらに処理するためにGDPR第5条第1項(b)に規定された適合性の推定に依拠する場合、適合性の推定は、科学研究目的のための当該追加処理においてGDPR第89条第1項が求める適切な保護措置が尊重されるという条件下でのみ使用できることを考慮する必要がある。したがって、この例外の適用は、そのような保護措置がどのようなものであるべきかをさらに明確にすることにかかってくる。
21. EDPBは、科学的研究目的のための個人データの処理に関するガイドライン(現在準備中、2021年予定)において、前文第50項とGDPR第6条第4項も考慮に入れ、最初の管理者またはその後の管理者による科学的研究目的のためのさらなる処理の法的根拠の要件についてさらなる明確化を行う予定である。
Q7. 医療機関が患者からヘルスデータを収集し、そのデータを科学的研究プロジェクトに使用したいと考えた場合、どの程度までなら適合性のある追加処理とみなされるか?
22. 科学的研究を目的としたヘルスデータのさらなる処理が適合性のある使用の推定(GDPR第5条第1項(b))に依拠する場合、管理者はGDPR第9条も考慮に入れなければならない。医療提供者が本来の目的のために依拠したヘルスデータの処理の制限の免除が、科学的研究目的のためのヘルスデータの処理には及ばない、あるいは適用されないということは大いにあり得ることである。例えば、加盟国法の免除が、医療行為のヘルスケアを提供するために医療提供者がヘルスデータを処理することのみを認めている場合(GDPR第9条第2項(h))、医療提供者は、科学研究目的のヘルスデータの処理のためにGDPR第9条第2項で求められている、加盟国法またはEU法に基づく免除に依然として依拠しなければならないだろう。
Q9. データ主体から直接収集したデータではない場合、例えば、ソーシャルメディアプラットフォーム、アクティビティ・トラッカー、あるいは一般に公開されているデータベースからのヘルスデータを、プロファイル作成のために研究目的で使用できるとしたら、それはどのような状況か?またそのようなデータ処理で満たすべき条件は何か?
23. この質問に対する適切な回答は、より多くの分析と議論を必要とする。EDPBは、科学研究目的のための個人データの処理に関するガイドライン(現在準備中、2021年予定)でこの問題について詳しく説明する予定である。
Q10. データ管理者がデータ処理の目的を変更し、第29条作業部会の同意に関するガイドラインに従って当初の法的根拠(同意)とは異なる法的根拠を用いることを可能にする「新しい状況」を説明する良い例は?
24. この質問に対する適切な回答は、さらなる分析と議論を必要とする。EDPBは、科学研究目的の個人データの処理に関するガイドライン(現在準備中、2021年予定)において、この問題について詳しく説明する予定である。
4. 広範な同意の概念
Q11. 科学的研究を目的とした特別な種類のデータの処理に、広範な同意の概念は適用されるか?
25. EDPBは、欧州委員会が「広範な同意」という表現を使用について、GDPRの前文第33項を参照していると仮定し、この前文の意味と範囲を明確にする必要があると考えている。「広範な同意」というフレーズは、前文とGDPR本文のいずれにも出現していない。しかし、前文第33項は、特定の状況において、法的根拠(GDPR第6条第1項(a))及び/又はGDPR第9条第1項の制限の免除として有効であるために、同意の具体性の要件(GDPR第4条第11項)を緩和する可能性を開くものである。前文第33項からは、科学研究プロジェクトにおけるデータ処理の目的がデータ収集時に特定できず、例えばリサーチクエスチョン(のタイプ)および/または探求される研究分野の観点から大まかにしか説明できない状況に対するある程度の柔軟性が読み取れる。質問11-13に対する適切な回答は、さらなる分析と議論を必要とし、EDPBは科学研究目的のための個人データ処理に関する近刊のガイドラインでこの問題について詳しく説明する予定である。
26. ただし、当面の間、EDPBは、規則2016/679に基づく同意に関するEDPBガイドライン(05/2020)(§153以下) に記載されているように、科学研究プロジェクト内のデータ処理の目的を当初に特定できない場合について、前文第33項では、例外として、目的をより一般的に記述することができるとしても、GDPRは、データ主体の同意を求める目的を特定するという重要原則から逃れることができるようには解釈できない、と指摘する。したがって、研究目的を完全に特定できない場合、管理者は、例えば、データ主体がより一般的な言葉で研究目的に同意することや、当初に既に知られている研究プロジェクトの特定の段階について同意することを認めるなど、同意要件の本質が最もよく果たされるように他の方法を模索する必要がある。
27. さらに、研究プロジェクト中の処理の透明性を高め、同意の特定に関する要件が合理的に可能な限り最善かつ早期に満たされるように、適切な保護措置が講じられる必要がある。このことは、例えば、データ主体が科学的研究目的のためのヘルスデータの使用に対する同意を撤回したり、さらに特定したりするために利用できる適切な手順が整備されていなければならないことも意味する。EDPBは、科学的研究目的のための個人データ処理に関するガイドライン(現在準備中、2021年予定)において、このような保護措置についてさらに詳しく説明する予定である。
28. また、特別な種類のデータ処理に関してGDPR第9条が示す厳しい条件を考慮すると、特別な種類のデータが明示的な同意に基づいて処理される場合、前文第33項の柔軟なアプローチを適用すると、より厳しい解釈の対象となり、高度な精査が必要になることをEDPBは既に指摘している。EDPSは、データ保護と科学研究に関する予備的意見(A Preliminary Opinion on data protection and scientific research)においても、GDPR第4条第11項、第6条第1項(a)、第7条及び第9条第2項(a)に定める同意の条件に、前文第33項が優先されないことを指摘している。前文第33項で想定されている状況では、管理者は、データ主体の権利、データの機密性、研究の性質と目的、関連する倫理基準を慎重に評価することが求められる。したがって、研究目的を完全に特定できない場合、管理者は、可能な限り透明性を高め、GDPR第89条第1項に基づくその他のセーフガードを通じて、有効な同意に対するデータ主体の権利の本質が果たされることを保証するために、さらなる努力をすることが期待される。
Q12. GDPRの前文第33項では、科学的研究の「特定の分野」に対して同意を与えることができるとされている。参加者/データ主体の同意を得る過程で、特にデータ収集の時点で決定できない将来の研究プロジェクトに関して、この「特定の分野」とは、どのよう考えるべきか?(例えば、「がん研究」に対する同意や「乳がん研究」に対する同意など)。
29. GDPRの前文第33項は、データ主体から同意を得る研究目的の記述にある程度の柔軟性を持たせているが、処理が合法的、公正かつ透明であるためには、依然としてGDPR第5条の要件が満たされていなければならない。したがって、研究分野が絞られ、個人データが収集された文脈との明らかな関連性があり、データ主体の合理的な期待が考慮されていることが必須である。
30. また、ヘルスデータの処理に関するさらなる条件を含むGDPR第9条第4項で認められている加盟国法の規定も考慮する必要がある。加盟国法のこれらの規定は、当該加盟国における「幅広い同意」の使用可能性に影響(有効、推進、阻害)する可能性があるためである。
Q13. 広範な同意の概念は、同じ管理者または異なる管理者の更なる研究プロジェクトにも適用することができますか?
31. GDPRの前文第33項では、ヘルスデータが使用される研究目的の範囲を(例えば、研究課題の分野や種類によって)絞り込むことが要求されているため、「あらゆる種類の-不特定の-将来の研究目的」のためにヘルスデータを処理するために「広範な同意」を求めたり、それに依拠したりすることはできない。しかし、科学的研究目的のための個人データの処理に関するEDPBガイドライン(現在準備中、2021年予定)で詳しく説明される予定の「その幅広い同意の範囲に入り、一定の追加保護措置」を満たした異なる研究プロジェクトについては、幅広い同意の概念に依拠することができるだろう。
5. データ処理の透明性:データ主体に提供されるべき情報および保存の制限
Q15. 法的根拠が変更された場合(例:同意の撤回、その後のGDPR第9条第2項(j)に基づく法律と連動した公益/正当な利益に基づく処理)、データ管理者は第14条第5項(b)に含まれる研究免除を制定し、データ主体に通知せずに異なる法的根拠に基づいてヘルスデータの処理を継続することができるか?そのような決定の潜在的な倫理的意味を、どのように規定と調和させるべきか?
38. GDPR第13条第1項(c)および第14条第1項(c))では、管理者がデータ処理に関する法的根拠をデータ主体に通知することを特に要求している。特定の目的のためのデータ処理中に法的根拠を変更することが適切であると考えられる場合、管理者は、法的根拠のこの変更がもたらすと思われる影響(データ主体の権利への影響)を説明し、データ主体の合理的な期待を欺かないように、データ主体に法的根拠の変更について通知すべきである(公平性および説明責任の原則)。
39. また、さらなる処理の場合、GDPR第13条第3項および第14条第4項により、かかるさらなる処理の法的根拠に関する情報を提供することが要求される。個人データがデータ主体から取得されない場合にのみ、GDPR第14条第5項(b)の研究の例外を適用することができます。
40. GDPR第13条および第14条に基づく管理者の情報義務に関連して、科学研究目的のための個人の(ヘルス)データの(さらなる)処理の法的根拠の変更の問題については、科学研究目的のための個人データの処理に関するEDPBガイドライン(現在作成中、2021年予定)でさらに明確にする予定である。
Q.16 特に科学的研究目的のためにヘルスデータをさらに処理する場合、データの保存期間を決定するためにどのような基準を用いることができるか?
41. 原則として、データ保持期間は個人データが処理される目的に対するデータ保存の必要性に基づくべきであるが(GDPR第5条第1項(e))、この規定は、個人データが[…]科学研究目的のみのために処理される限り、(当初の目的にとって必要な)長期保存を許容している。この科学的研究がGDPR89条第1項に従って行われ、データ主体の権利と自由を保護するために適切な技術的および組織的措置が実施されることを条件としている。
42. この研究例外の範囲とGDPR第89条第1項に基づくセーフガードについては、さらなる明確化が必要であり、現時点では提供することができない。この更なる明確化は、科学的研究目的のための個人データの処理に関するEDPBガイドライン(現在準備中、2021年予定)で提供される予定である。
6. GDRP第89条第1項に基づく匿名化、仮名化、その他のセーフガード
Q17. データセット内の個人を再識別するためのキー/コードを含まないデータは、それを受け取る側にとって匿名化もしくは仮名化されたデータ(データ管理者のそれぞれの義務を伴う)とみなされるか?
43. まずEDPBは、個人データの匿名化のプロセスはGDPRに基づく個人データの処理に該当するため、かかる処理はGDPRに準拠し、データ保護の原則を遵守した方法で実施されなければならないと指摘している。
44. また、EDPBは、データの匿名化または仮名化のための技術の使用/適用により、GDPRにおける当該データの法的地位に異なった影響を及ぼすことを指摘している。データの仮名化のための技術が適用された場合、これらのデータは依然としてGDPRの下で個人データとみなされる(GDPR第4条第5項参照)。GDPR第89条第1項では、仮名化は、データ最小化の原則の尊重を保証するために科学研究の文脈で採用されるべき追加の保護措置であるとみなされている。匿名化されたデータは、GDPRの範囲内/範囲外であると考えられている(前文第26項を参照)。したがって、データの匿名化または仮名化の概念は、明確に区別されるべきである。
45. 情報が匿名であるかどうかの判断は、GDPRの前文第26項に概説されている識別可能性のテストの適用によって行われなければならない。「ある自然人が識別可能であるかどうかを判断するためには、選別のような、自然人を直接又は間接に識別するために管理者又はそれ以外の者によって用いられる合理的な可能性のある全ての手段を考慮に入れなければならない。自然人を識別するために手段が用いられる合理的な可能性があるか否かを確認するためには、取扱いの時点において利用可能な技術及び技術の発展を考慮に入れた上で、識別のために要する費用及び時間量のような、全ての客観的な要素を考慮に入れなければならない。」。
46. 識別可能性の合理的な可能性について評価を行う際には、GDPRの前文第26項に概説されているすべての要因を考慮しなければならない。また、匿名化技術に関する第29条作業部会の意見書05/2014も考慮されるべきである。そのような評価は、指令95/46/ECの前文第26項に言及したBreyerのCJEUが示唆した線に沿って行われ、第三者の手にある追加データの使用によって再識別が行われ得る法的および実際的な手段を検討する必要がある。
47. 個人データの匿名化は、利用可能な技術的手段の進歩や再識別の分野での進歩もあり、達成(および維持)が困難な場合があることを考慮する必要がある。このため、個人データの匿名化は、科学的研究の文脈では慎重に行う必要がある。研究において匿名化された情報を使用していると考える当事者は、それが継続的なものであり、不注意にも規制の目的における個人データのデータ管理者になっていないことを、自分自身、そして質問された場合には管轄の監督機関に納得させる立場にあるべきである。
48. 科学的研究目的のための個人データの処理に関する近日公表予定のEDPBガイドラインでは、匿名化および仮名化のテーマに関して、EDPBのさらなる作業について検討する予定である。
49. さらに、仮名化や匿名化の使用は、科学研究の実施に適用される他の規制や倫理の枠組みと切り離して考えるべきでなく、そうした枠組みが課す責任を免除すべきではない。
Q18. 管理者が個人の再識別を防ぐために合理的な努力を払い、技術的に利用可能な手段を用いる場合、遺伝データはどの程度まで匿名化されているとみなすことができるか?
50. EDPBは、遺伝情報の匿名化の可能性が未解決のままであることを指摘している。現時点では、技術的および組織的な手段のいかなる組み合わせも、遺伝情報をGDPRの重要な範囲から除外するために効果的に採用することができるかどうかは、まだ実証されていない。
51. しかし、個々のデータ主体の権利と自由を保護する観点から、そのような遺伝情報は個人データとして扱われ、その処理は規則の遵守を保証する適切な技術的および組織的措置の実施とともに行われることが強く推奨される。
Q19. GDPR第89条第1項に関連して、「適切な保護措置」を設定するためのグッドプラクティスとして、どのような種類の措置/手続が考えられるか?技術的な対策と組織的な対策の両方の例があれば、非常にありがたい。
52. EDPBはこの質問の重要性を認識しているが、同時にその複雑さも強調している。従って、詳細な回答は先送りせざるを得ない。
53. しかしながら、EDPBは、GDPR第89条第1項の重要性と、追加的なセーフガードの観点から何が期待されるか、または期待されるべきかをさらに明確にすることの関連性について、予備的な指摘をしたいと考えている。したがって、個人データが科学的研究目的のために処理される場合に、GDPR第89条第1項に基づく適切な保護措置として何が考えられるか、または考えられるべきかについて、現在のところ明確になっていないことは、科学的研究目的のための個人データの処理についてGDPRで想定されている例外を適切に使用するための重大な障害となり得ることを認識している。
54. まず、EDPBは、GDPR第89条第1項が、科学的研究目的のために個人データを処理するすべての状況において、追加のセーフガードを設けることを要求していることを指摘する。また、科学的研究目的で個人データを処理する際に追加的な保護措置の要件を満たすことは、それ自体、法的根拠(第6条)やヘルスデータの処理の制限に対する免責(第9条)といったGDPR上の義務から管理者を免除するものではないことに留意する必要がある。
55. また、EDPBは、科学的研究のために個人データを処理する場合にGDPRの特定の要件の例外が想定されるGDPRの規定のほとんどで、当該例外の使用が、GDPR第89条第1項が求める追加のセーフガードの設置の条件となっていることを強調している。したがって、そのような(まだ明確にされていない)追加的な保護措置がなければ、そのような研究の例外の使用は正当化されないと主張することができる。
56. さらに、EDPBは、科学的研究目的でヘルスデータを処理する場合、GDPR第9条第2項(j)に加えて、GDPR第89条第1項の遵守を求めるとともに、加盟国法またはEU法が「データ主体の基本的権利および利益を保護する適切かつ特定の措置」を規定するよう求めていると指摘している。
7. 一般的な質問:大規模な「特別な種類のデータ」の処理と国際的な協力について
Q20. 科学的研究プロジェクトにおいて、特別な種類のデータが大規模に処理されるかどうかを決定する要因はどのようなものか?
57. まず、EDPBは、管理者が科学的研究目的のヘルスデータの処理に先立ち、DPIAが必須かどうかを判断する際には、GDPR第35条第2項(b)(GDPR第9条第1項に言及する特別な種類のデータの大規模な処理に先立ちDPIAを実施することを要求)のみに焦点を当てるのではなく、GDPR第35条全体を考慮すべきことを指摘する。
58. ある科学的研究プロジェクトにおいて、「大規模な処理」の基準(まだ特定されていない)に達しているかどうかを評価するだけでは十分ではない。最も重要な基準は、データ主体の権利と自由に対するリスクの可能性が高いかどうかであり、これが評価の主要な焦点となるべきである。個人データの処理は、データの処理が大規模でない場合でも、そのようなリスクをもたらす可能性がある。
59. 第35条第3項の(a)~(c)は、自然人の権利及び自由に対する高いリスクをもたらす可能性のある処理の種類の-非網羅的な-例示としか考えられないことに留意することが重要である。さらに、GDPR第35条第1項によれば、そのような高リスクの可能性があるすべての種類の処理においてDPIAが義務付けられている。
第1項に規定するデータ保護影響評価は、とりわけ、以下の場合に求められる:
一般データ保護規則(GDPR)の条文 第35条第3項 個人情報保護委員会にる仮日本語訳
(a) プロファイリングを含め、自動的な取扱いに基づくものであり、かつ、それに基づく判断が自然人に関して法的効果を発生させ、又は、自然人に対して同様の重大な影響を及ぼす、自然人に関する人格的側面の体系的かつ広範囲な評価の場合;
(b) 第9条第1項に規定する特別な種類のデータ又は第10条に規定する有罪判決及び犯罪行為と関連する個人データの大規模な取扱いの場合;又は、
(c) 公衆がアクセス可能な場所の、システムによる監視が大規模に行われる場合。
60.「Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679」では、評価で使用できる一連の基準といくつかの例が提供されている。第29条作業部会は、リストのうち2つの基準を満たす処理はDPIAが必要であり、場合によっては、基準の1つだけを満たす処理はDPIAが必要であると管理者が考えることができるとも指摘している。
61. また、GDPR第35条第6項が監督機関による一貫性メカニズムの適用を要求しているにもかかわらず、DPIAの実施を保証する処理の種類は、ある程度、加盟国間で異なる可能性があることを指摘することも重要である。。これらの差異が存在する可能性は以下の通りです。
- DPIAを必要とする処理操作の種類の監督機関による補遺リスト(GDPR第35条第4項)
- DPIAが不要な処理操作の種類の監督機関によるリスト(GDPR第35条第5項)
- GDPR第35条第10項の実施:第6条第1項の(c)または(e)に基づく処理が、EU法または加盟国法に法的根拠を有し、当該法が問題の特定の処理操作または一連の操作を規制し、DPIAが当該法的根拠の採択に伴う一般影響評価の一部として既に実施されている場合、加盟国が処理活動の前に当該評価を実施する必要があると判断した場合を除いて、第1項から第7項は適用されないものとする。
Q21. データ管理者は、特別な種類のデータを第三国に移転する際、科学的研究の観点から、どのような状況でGDPR第49条第1項(g)の「正当な利益」による逸脱に頼ることができるか?
62. この質問に対する適切な回答は、さらなる分析と議論を必要とする。EDPBは、科学研究目的の個人データの処理に関するガイドライン(現在準備中、2021年予定)において、この問題について詳しく説明する予定である。
以上、「EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research」を見てきましたが、医学研究をする際の様々な課題について、明確な回答がされておらず、「2021年に公表予定の科学研究目的の個人データの処理に関するガイドラインを待て」といった内容でした。
しかしながら、2022年になっても該当するガイドラインが出ないまま、5月にEuropean Health Data Space(EHDS)の法案が欧州委員会から公表されました。
EHDSの法案は、1次利用による個人の権利の強化と、医学研究などの二次利用の利用促進を両立しつつ、GDPRの精神を外れないように工夫された非常に優れた法案だと思います。
この法案に対して、早々にEDPBとEDPSは合同で賛否について意見を公表しましたが、素人目には、これまでEDPBが提示できなかった医学研究の場面におけるGDPRの一貫性のある解釈を欧州委員会がまるっと整理してくれたことへの感謝と、一方で自分たちの存在意義を脅かされることによる不安の両方を、このOpinion(意見書)から感じました。
2022年10月現在でもガイドラインが公表できない状態を鑑みると、EDPBは答えを示せない状況に陥っているように感じます。
このままEHDS法案が立法化に向けて進むことに期待しています。
