医学研究を実施する上でGDPRが障害になっているという意見は多くありますが、その障害の理由の大きな一つとして「解釈の不明確さ」が挙げられています。
その不明確さをなくし、GDPRが医学研究の妨げにならないようにするための指針の必要性について、欧州データ保護委員会(EDPB)や欧州データ保護監督官(EDPS)は把握していますが、それに応える正式な文書は未だに出ていません。
これまでに欧州のデータ保護機関が、「GDPRと医学研究の実施」に関連した意見を示したものとして、2020年1月6日にEDPSが公表した「Preliminary Opinion on data protection and scientific research(データ保護と科学研究に関する予備的意見)」という文書があります。
正式には「医学研究」ではなく「科学研究」ですが、医学研究を実施する際の考え方も示しているため、欧州のデータ保護機関が現在どのような考え方をしているのかを理解する上では参考になるものです。
ただし、これはあくまで「Preliminary Opinion(予備的意見)」であり、この文書に記載されたことが法的拘束力を持つものではありません。
ここでは、その文書の概要(エグゼクティブサマリー)と、文書の構成(目次)についてご紹介したいと思います。
概要(Executive Summary)
科学研究は、アイデア、知識、情報の交換に依存している。EU域内の人々に関するデータの処理を伴う場合、科学研究は、一般データ保護規則およびEU機関向けの規則1725/2018(EUDPR)を含む適用規則の対象となる。この規則には、倫理的な枠組みの中で運営され、社会の集合知と福利の発展を目指す真の研究プロジェクトにある程度の柔軟性を与える特別な制度が含まれている。この特別な制度が実際にどのように運用されるべきかは、現在議論中である。GDPRの柔軟性が高すぎるという意見もあれば、重要な研究活動を脅かすという意見もある。
デジタル化により、個人データの作成と普及がかつてないほど容易かつ安価になり、研究の進め方も一変した。民間企業の研究と伝統的な学術研究の境界はかつてないほど曖昧になり、社会にとって一般化できる利益をもたらす研究を、主に私的利益に資する研究と区別することがますます難しくなっている。特にハイテク産業では、デジタル化の影響や誤った情報の解消といった特定の現象を理解する上で最も貴重なデータを管理しているため、企業秘密が社会科学研究の大きな障壁となっている。
健康科学という特殊な分野では、医学研究や臨床試験は一般に、専門的な倫理基準の確立された枠組みの中で行われる。この枠組みとGDPRの相互作用については、欧州データ保護委員会の中で議論されている。
この特別な制度は、適法性、目的の制限、データ主体の権利といった通常の原則を適用しますが、管理者の義務からのいくつかの免除を認めている。これには、適切な保護措置が講じられていれば、商業的およびその他の文脈で収集されたデータの調査目的のための処理の適合性が推定されることが含まれている。このような柔軟性は、倫理的監視の枠組みの中で行われる研究が、原則として公共の利益に資するという前提で与えられている。したがって、説明責任の原則は、管理者が研究プロジェクトに内在するリスクを正直に評価し、責任を持って管理することを求めるという点で重要である。例えば、健康や政治的・宗教的見解に関するセンシティブなデータを処理する場合、そのようなリスクは非常に高くなる可能性がある。データ処理の法的根拠としての同意は、自由に与えられ、具体的で、十分な情報を与えられ、かつ曖昧さのないものでなければならない。これは、研究参加者の「インフォームド・コンセント」とは概念的にも運用上も異なる。このような「インフォームド・コンセント」は、同意がデータ処理の法的根拠として適切でない場合にも、セーフガードとして機能しうる。
科学的研究は、民主主義社会において、権力者の責任を追及する貴重な機能を果たしており、その重要性は、情報の流れに対する支配力が少数の民間グローバル企業の手に集中するにつれて高まってきている。データ保護義務が、強力なプレーヤーが透明性と説明責任から逃れるための手段として悪用されることがあってはならない。したがって、倫理的なガバナンスの枠組みの中で活動する研究者は、有効な法的根拠を持ち、比例原則と適切な保護措置に従って、必要なAPIやその他のデータにアクセスすることができるはずである。
我々は、どのような活動が真の研究として認められるかについての共通理解のために、データ保護当局と倫理審査委員会との対話を強化すること、科学研究のためのEU行動規範、EU研究枠組み計画とデータ保護基準の間の調整を緊密にすること、研究者による民間企業の保有データへのアクセスが公共の利益に基づくことができる状況について議論を開始することを提言する。
「倫理的なガバナンスの枠組みの中で活動する研究者は、有効な法的根拠を持ち、比例原則と適切な保護措置に従ってデータにアクセスできる」というところは大事だと思います。
最後の段落の提言内容はとても良いと内容ですので、早く結論を出してもらいたいものです。
このエグゼクティブサマリーの後に、本文が以下の構成で続きます。
目次
1 はじめに
2 研究の現状
2.1 デジタル化
2.2 アカデミアと商業部門
2.3 行動学的実験
2.4 研究の障害となる企業の機密性
3 科学的研究の概念
3.1 研究
3.2 科学研究
3.3 研究と学術表現の区別
3.4 著作権で保護されたテキストおよびデータ
3.5 科学研究のための特別なデータ保護体制の範囲
4 EUにおける研究のガバナンスと
4.1 EUの研究政策の原則とデータ共有の円滑化
Open AIRE
欧州オープンサイエンスクラウド(European Open Science Cloud)
公共部門の情報
4.2 倫理基準
歴史
同意と監視
5 健康科学
5.1 医学研究
同意
5.2 臨床試験
EU臨床試験規則(EU Clinical Trials Regulation)
インフォームド・コンセント
他の研究機関による臨床試験データの使用
臨床試験とGDPR
6 科学研究とGDPR:選択された課題
6.1 データ保護の原則
6.2 科学研究のための特別な制度
義務の拡張性、その他の規範、情報の結合
第89条
個人データの特別な種類
特別な制度の制限された柔軟性
6.3 データ処理の法的根拠としての同意
6.4 情報を得る権利
6.5 欺瞞、インフォームド・コンセント及び情報を得る権利
6.6 科学研究のための特別な制度の下で可能な例外措置
6.7 目的の制限及び適合性の推定
目的制限の原則
研究目的の適合性の推定
適法性と目的制限
6.8 適法な処理の根拠としての公共の利益
6.9 保存の制限
6.10 説明責任
7 推奨事項
7.1 DPASおよび倫理審査委員会
7.2 EU の研究活動に関する行動規範および認証
7.3 EUの研究枠組みプログラムとデータ保護基準
7.4 科学研究のための公共の利益の根拠に関する議論
8 結論
医学研究においての倫理審査委員会の中心的な役割は、研究の重要性・必要性を踏まえた上で、その研究でおこなわれる「介入」が患者(本人)の利益を損なうかもしれないリスクの受容性を倫理的な視点からの評価することであり、インフォームドコンセントは、その研究のリスクを患者(本人)が理解した上で自由意志のもとで参加できるようにするための仕組みであり、証明とも言えます。
個人データ侵害による「リスク」や個人データの処理に対する「同意」はこれらとは別の問題であり、この二つのリスクは分けて考える必要がありますが、日本では混同して議論されがちです。
それぞれのリスクを意識的に分けて考えるようにしないといけませんね。
本文についてはボリュームがあるため、前半と後半に分けて以下に書いていますので、詳しくお知りたい場合はご覧ください。