2020年1月6日にEDPSが公表した「Preliminary Opinion on data protection and scientific research(データ保護と科学研究に関する予備的意見)」について、本文の前半を以下で書きました。
今回はその続きとなる後半です。
なお、全体の概要については、以下をご覧ください。。
5 健康科学
5.1 医学研究
人間の尊厳と人格の完全性に関する権利は、欧州連合の基本的権利憲章の第1条と第3条で認められている。人間を対象とした医学研究(生物医学研究または実験医学とも呼ばれ、「ベンチサイエンス」と応用研究を含む)は、倫理的な基準と管理が厳しく求められる。この憲章の第3条(2)(a)では、生物学および医学の分野では、「関係者の自由で十分な情報に基づく同意」が尊重されなければならないとされている。
健康医療分野では、研究目的で個人データを共有することが「倫理的かつ科学的に必須」であると主張されている。EUは、世界の他の国の政府と同様に、匿名化された臨床試験文書の公開を推進しているが、その技術は標準化されていない。
同意
EU加盟国は一般的に、ヘルスデータを処理するために研究プロジェクトの参加者からの事前のインフォームド・コンセントを必要とするが、緊急時における各国の規定はEU内で異なる。研究者、特にバイオバンキングにおいては、リスクが非常に低いという理由で、データ収集時には分かっていなかったさらなる科学的研究プロジェクトのためにデータを使用することへの「広範な同意」に依存する傾向が強まっている。個人のゲノム検査については、参加者に一連の選択肢から選択してもらう「段階的同意」が提案されている。バイオバンクの分野では、参加者がITインターフェースを介して時間の経過とともに異なる活動に同意するよう求められる「ダイナミック・コンセント」が試行されている。意識不明で親族と連絡が取れないような重篤な医療現場では、患者の記録や治療中の組織サンプルからデータを得る観察研究への同意を、患者本人やその代理人から得ることができない。このような場合、延期された同意や独立した医師による同意の妥当性など、倫理的な問題が医学研究コミュニティで議論されている。
5.2 臨床試験
EU臨床試験規則(EU Clinical Trials Regulation)
臨床試験はより広範な医学研究に貢献するものであり、科学研究の特定の分野を規定する唯一のEUの法的文書は臨床試験規則であるが、他にも公共部門の情報、公文書へのアクセス、著作権のあるテキストやデータ、そしてもちろんGDPRを規定する関連一般文書がある。同規則は、単一のEUポータルを介した単一の提出物に基づく承認手続き、単一の決定につながる評価手続き、個人の保護に関する規則、インフォームド・コンセントと透明性の要件を導入することで、適用される規則の調和を図ることを目的としている。同規則は2014年6月に発効したが、同規則が適用されるためには、完全に機能するEUの臨床試験ポータルおよびデータベースが必要であり、独立した監査を受け、欧州委員会が確認通知を発行する必要がある(現時点では2020年と推定されている)。
同規則では、臨床試験は「医薬品の安全性および/または有効性を確認することを目的とした、ヒトに関するあらゆる調査」を意味する臨床研究の一部として定義されている。同規則は、確立された倫理規範を発展させ、個人、企業、機関、組織などのスポンサーと呼ばれる臨床試験の責任者の義務を規定している(第2条2項14号)。
EU Clinical Trials Regulation(No 536/2014)(EU-CTR)は2022年1月31日に施行され、それまでのEU Clinical Trials Directive(No 2001/20/EC)に置き換わる形で運用が開始されました。
インフォームド・コンセント
本規則では、以下の通り、同意の要件を詳細に規定している:
被験者が、参加するか否かの決定に関連する臨床試験のあらゆる側面について説明を受けた後、自由意思に基づいて特定の臨床試験に参加する意思を表明した場合、又は未成年者及び意思能力を欠く被験者の場合、被験者を臨床試験に参加させるために法的に指名された代理人の承認若しくは同意がある場合。
このようなインフォームド・コンセントは、以下のものでなければならない:
インタビュー実施者と正当な説明を受けた被験者(または被験者がインフォームド・コンセントを与えることができない場合には法的に指定された代理人)によって、日付の記入および署名のうえ、書面にてなされなければならない。
研究参加者は、事前のインタビューで理解しやすい情報を与えられ、いつでも質問できるようにしなければならない。さらに、参加者は自分の決定を検討するための十分な時間を与えられなければならない。参加者の経済的・社会的地位、あるいは組織的または階層的な依存状況にあるかどうかなど、臨床試験に参加する意思決定に影響を与えうるすべての状況が考慮されなければならない。
他の研究機関による臨床試験データの使用
大学およびその他の研究機関は、データ保護規則に従い、臨床試験からデータを収集し、適用されるデータ保護法に従い、医学、自然科学または社会科学の研究を目的とするなど、臨床試験のプロトコル外で使用することができる(規則第28条(2))。ただし、このような場合、研究参加者は、自分のデータを臨床試験外で使用することに同意しなければならず、また、この同意はいつでも撤回することができる。このようなヒトのデータを用いた研究の妥当性については、倫理的な側面などから事前の審査が必要である。
臨床試験とGDPR
2019年1月にEDPBは、臨床試験規則の文脈におけるデータ処理の法的根拠に関する意見を発表したが、これは2019年4月に欧州委員会が発表した同規則とGDPRの相互作用に関するQ&Aの改訂を示唆するものであった。EDPBは、GDPR第5条第1項(b)で規定されている公益のためのアーカイブ目的、科学的、歴史的研究または統計目的のためのさらなる処理の「適合性の推定」を適用するための「水平的かつ複雑な」条件に関するガイダンスを発行する予定である。
「EU-CTRとGDPRの相互作用に関するQ&A」については、以下に記載しております。
なお、後段(青色下線部分)のガイダンスについては2022年10月現在、未だ発行されていません。
6 科学研究とGDPR:選択された課題
6.1 データ保護の原則
EUのデータ保護法の目的は、個人の基本的な権利を保護しつつ、合法的な処理に関する共通の基準の下で、EU域内でのデータの自由な流れを促進することにある。GDPRでは、個人情報の収集、使用、共有、保存といったデータ処理について、適法性・公正性・透明性、目的の限定、データの最小化、正確性、保存の制限、完全性と機密性という6つの原則を定めている。これらの原則に加えて、7つ目の「説明責任」とは、前述の原則に準拠していることを証明できることを意味している。
合法性、公正性、目的制限、アクセス権および修正権は、EU基本権憲章の第8条第2項に基づく個人情報保護の権利の本質的要素である。この権利のいかなる制限も、本憲章第52条1項に準ずる。
法律によって規定され、これらの権利および自由の本質を尊重しなければならない。比例の原則に従い、制限は必要であり、欧州連合が認識する一般的利益の目的または他者の権利および自由を保護する必要性を真に満たす場合にのみ行うことができる。
6.2 科学研究のための特別な制度
義務の拡張性、その他の規範、情報の結合
データ保護義務は、処理活動が個人に及ぼすリスクに応じて拡大する。データ保護の枠組みは単独で存在するものではない。そのためGDPRでは、一般原則の調整や逸脱を正当化する可能性のある、研究を含む他の権利や利益を認めている。科学研究の場合、GDPRは、人間を対象とした研究を規定する、受け入れられている長年の倫理的・専門的な規範の存在を前提としている。また、GDPRは、医学研究や社会科学において、レジストリからの情報を結合することの価値を認めている。
レジストリからの情報を結合することにより、研究者は広範な病状に関して大きな価値を持つ新しい知識を得ることができる…レジストリに基づいて、より多くの集団の利用により、研究結果を向上させることができる。社会科学の分野では、レジストリに基づいて研究を行うことで、多くの社会的状況の長期的な相関関係に関する重要な知識を得ることができる。
GDPR前文第157項
第89条
GDPR第89条は、管理者の義務に柔軟性を持たせ、セーフガードと説明責任を重視している。全文を引用する価値がある:
1. 公共の利益における保管の目的、科学調査若しくは歴史調査の目的又は統計の目的のための取扱いは、本規則に従い、データ主体の権利及び自由のための適切な保護措置に服する。それらの保護措置は、とりわけ、データの最小化の原則に対する尊重を確保するため、技術的及び組織的な措置を設けることを確保する。それらの措置は、それらの目的がそのような態様で充足されうる限り、仮名化を含むことができる。データ主体の識別を許容しない又は許容することのない別の目的による取扱いによってそれらの目的が充足されうる場合、それらの目的は、その態様によって充足される。
2. 個人データが科学調査若しくは歴史調査の目的又は統計の目的で取扱われる場合、EU法又は加盟国の国内法は、そのような権利が、個別具体的な目的を達成できないようにしてしまうおそれがある場合、又は、その達成を深刻に阻害するおそれがある場合であり、かつ、そのような特例がそれらの目的を果たすために必要である場合に限り、本条第1項に規定する条件及び保護措置に従い、第15条、第16条、第18条及び第21条に規定する権利の特例を定めることができる。
3. 個人データが公共の利益における保管の目的のために取扱われる場合、EU法又は加盟国の国内法は、そのような権利が、個別具体的な目的を達成できないようにしてしまうおそれがある場合、又は、その達成を深刻に阻害するおそれがある場合であり、かつ、そのような特例がそれらの目的を果たすために必要である場合に限り、本条第1項に規定する条件及び保護措置に従い、第15条、第16条、第18条、第19条、第20条及び第21条に規定する権利の特例を定めることができる。
4. 第2項及び第3項に規定する取扱いが、同時に他の目的のためにも供される場合、その特例は、それらの項に規定する目的のための取扱いのみに適用される。
日本語訳は、個人情報保護委員会の一般データ保護規則(GDPR)の前文の仮日本語訳から引用
個人データの特別な種類
GDPR第9条第2項(g)~(j)では、EUまたは加盟国の法律に基づいて、特別な種類のデータの処理を禁止する例外規定が認められている。これには、科学研究を目的とする場合(第9条第2項(j)ー処理を認めるGDPRの新たな規定)を含む。
求められる目的と比例的であり、データ保護の権利の本質的部分を尊重し、また、データ主体の基本的な権利及び利益の安全性を確保するための適切かつ個別の措置を定めるEU法又は加盟国の国内法に基づき、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために必要となる場合
GDPRでは、加盟国は「遺伝データ、バイオメトリックデータ、健康に関するデータの処理に関して、制限を含むさらなる条件」を制定することもできる(第9条第4項)。したがって、これは新しい分野であり、研究目的で特別な種類のデータを使用するためには、EUまたは加盟国の法律の採択が必要となる。
特別な制度の制限された柔軟性
上記のすべての規定は、科学研究のための特別規定の概要を示しており、GDPRの中で研究が特権的な地位を占めていることを示している。上述の規定を通じて加盟国に与えられた柔軟性は、一部の分野(臨床試験など、上記5.2参照)を除き、EU法の調和がとれていないため、この特別規定の全容は正確には明らかにされていない。とはいえ、データ保護の権利の本質が空洞化するような形で特別規定を適用することはできず、これにはデータ主体の権利、偶発的または不法な破壊、紛失、改変に対する適切な組織的および技術的措置、独立機関の監督が含まれる。ソーシャルメディアサイトから収集されたものなど、「一般に公開されている」個人データは、依然として個人データである。法律による基本的権利の制限は、限定的に解釈されるべきであり、乱用することはできない。例えば、研究機関がGDPRの特別規定を個人データの無期限保持を認めていると解釈し、データ主体の情報提供の権利を否定することは濫用とみなされるかもしれない。これらの問題については、EDPB内および各国レベルでさらなる検討が行われている。
6.3 データ処理の法的根拠としての同意
定義
GDPRでは、同意を以下のように定義している:
自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するもの
EDPBの見解では、有効な同意はこれらの累積的な基準に依存している。機微性の高いデータの場合、同意は明示的でなければならない(第9条第2項(a))。この概念は、CJEU(欧州司法裁判所)において、いくつかの最近の判決や係争中の判決で検討されている。したがって、この定義は、臨床試験におけるインフォームド・コンセントの定義とは異なるものである。
自由に与えられた
「自由に与えられた」という同意の要件は、データ主体の真の選択とコントロールを意味する。GDPRでは、データ主体と管理者の間に明らかな不均衡がある場合には、個人データの処理に関する有効な法的根拠として「同意」を除外している。したがって、同意を引き出すために誘因、誘導、報酬を使用することは、そのような同意が「自由に与えられた」ものであるかどうかを疑問視することになる。臨床試験の具体的な文脈におけるこれらの手法について、EDPBは、被験者の健康状態が悪かったり、社会経済的に不利なグループに属している場合、法的根拠としての同意の有効性が疑われる可能性があると述べている。これを受けてEDPBは、臨床試験規則における「インフォームド・コンセント」の要件と、GDPRにおける特別な種類のデータを処理する根拠としての明示的な同意の概念を区別しています。
特定の、説明を受けた、不明瞭でない
同意が「特定の」であるという要件は、データ主体がある程度のユーザーコントロールと透明性を確保することを目的としている。データ主体の同意は、1つまたは複数の特定の目的に関して与えられるべきであり、データ主体がそれぞれの目的に対して実際に選択できるようにする必要がある。CJEUの最近の判例法によると、事前にチェックしたボックスの形であってはならず、「データ主体の側で同意を与えることを目的とした明確な見解を持つ積極的な行動」でなければならないとしている。
研究者がデータの使用に対する「包括同意」に頼ろうとしていることは、前述のとおりである。GDPRの第33項では、以下の点を認めてる。
科学研究の目的のための個人データの取扱いの目的をそのデータ収集の時点で完全に特定することは、しばしば、不可能なことである。それゆえ、データ主体は、科学研究のための広く認められた倫理基準が保たれている場合、一定の分野の科学研究に対して同意を与えることができる。データ主体は、予定されている目的が許す範囲内で、一定の分野の科学研究のみ、又は、研究プロジェクトの一部分のみに対して同意を与える機会をもつものとしなければならない。
日本語訳は、個人情報保護委員会の一般データ保護規則(GDPR)の前文の仮日本語訳から引用
したがって、GDPRの下で通常要求される特定の同意は、収集されたデータや推測されるデータの場合、特に多くの科学的研究が依存する特別な種類のデータの場合には、あまり適切でない可能性がある。ただし、前文33項は、GDPRの第4条第11項、第6条第1項(a)、第7条および第9条第2項(a)で定められた同意の要件に優先するものではなく、管理者がデータ主体の権利、データの機微性、研究の性質と目的、関連する倫理基準を慎重に評価することを求めている。したがって、研究目的を完全に特定できない場合、管理者は、可能な限りの透明性やその他の保護措置を含め、有効な同意に対するデータ主体の権利の本質を確実に果たすために、より多くのことを行うことが期待される。
明示的な同意と特別な種類のデータ
データ主体が明示的に同意した場合を除き、特別な種類のデータの処理は禁止されている。明示的な同意は、科学研究の観点から、自動化された意思決定(第22条第2項(c))、および適切な決定がない場合の個人データの第三国への移転(第49条第1項(a))の法的根拠となる可能性もある。データ主体の権利に特別なリスクが生じる可能性がある場合には、明示的な同意(EDPBでは、疑わしい場合に証明できる「同意の明示的な表明」と表現されている)が必要となる。
特別な種類のデータは、データ主体がそれを明らかに公表している場合は処理することができる。EUのデータ保護当局は、この規定は「データ主体が、それぞれのデータが公に利用可能になること、つまり誰にでも利用可能になることを認識していたことを意味すると解釈されなければならない」と主張し、「疑わしい場合は、データ主体が当局を含む公衆に公開することによって機微データの特別な保護を自発的に放棄したと仮定して、狭義の解釈を適用するべきである」と述べている。個人データを伝記や新聞記事で公開することと、ソーシャルメディアにメッセージを投稿することは同じではない。
撤回できる
同意が処理の法的根拠である場合、データ主体はいつでもその同意を撤回できなければならない。科学研究の場合でも、この要件に例外はない。一般的なルールとして、同意が撤回された場合、管理者は当該処理行為を停止する必要がある。また、さらなる処理のためにデータを保持する別の法的根拠がない場合、管理者はデータを削除する必要がある。
議論:ヒトを対象とする研究への参加に対する同意とデータ主体の同意
ヒトを対象とした研究プロジェクトにおける人間の参加者のインフォームド・コンセントとデータ保護法に基づく同意には、明らかに重複する部分がある。しかし、これらを単一かつ不可分の要件と見なすことは単純で誤解を招く恐れがある。同意は、活動の法的根拠となるだけでなく、個人にコントロールと選択肢を与え、それによって科学に対する社会の信頼を維持するための手段にもなっている。
同意がデータ処理の最も適切な法的根拠ではない場合、GDPR第6条および第9条に基づく他の法的根拠を検討する必要がある。しかし、GDPRの下で同意が法的根拠として適切でない場合でも、ヒトを対象とした研究への参加者としてのインフォームド・コンセントは、データ主体の権利の「適切な保護手段」として機能する可能性がある。どのような条件でそのようなインフォームド・コンセントが適切な保護手段とみなされるかは、まだ不明である。確かに、段階的同意やダイナミック・コンセント(上記5章参照)のような研究活動における革新的な同意の形態は、さらに奨励され開発されるべき有望な実践である。
この2つの分野における同意の概念は、デジタル時代の科学研究分野における同意の役割と個人の尊重についてのより広い考察の一部として、研究コミュニティとデータ保護の専門家との間でさらなる議論が必要である。
6.4 情報を得る権利
公正性および透明性の原則(GDPR第5条第1項)は、研究倫理におけるインフォームド・コンセントの基本原則をほぼ踏襲している。これによると、参加者は、強制されたり騙されたりすることなく、自分が研究に参加していること、および研究が自分に何を要求しているかを理解する必要がある。このような情報には、研究の目的、使用されている方法、研究で得られる可能性のある結果、および参加者が直面する可能性のある関連する要求、不快感、不便さ、リスクなどが含まれる。
GDPR第13条に基づき、個人からデータが収集される場合、その個人は、誰が収集するのか、管理者およびデータ保護責任者にどのように連絡するのか、どのような目的で、どの法的根拠に基づいてデータが処理されるのか、誰がデータを受け取るのか、データはいつまで保存されるのか、その期間はどのように決定されるか、自動化された意思決定に関わるかどうかについて知らされる必要がある。これには、行使可能な権利および監督機関に苦情を申し立てる権利に関する情報を受け取ることも含まれる。
本人からデータを入手していない場合、患者および研究に参加している人々は、原則として、自分に関するデータが処理されていることを十分に知らされる権利を有している。GDPR第14条は、データ主体の情報提供の権利を定めており、どのような情報をどのように提供すべきかを規定している。提供される情報には、処理されている個人データの種類、データの出所、一般にアクセス可能な出所であるかどうかも含まれる。ただし、第14条第5項(b)では、「不可能であることが判明した場合、または不釣り合いな労力を要する場合、特に第89条の条件が満たされている科学研究目的の処理の場合、またはその処理の目的の達成が不可能になるか著しく損なわれる可能性がある場合」には、情報提供の義務は適用されない。
「何が不可能または不釣り合いな努力か」を構成するかを決定する上で、前文第62項はデータ主体の数、データの古さ、適切な保護措置の実施などをその指標として挙げている。さらに第29条作業部会は、管理者は、データ主体に情報を提供しない場合のデータ主体への影響および効果に対して、データ主体に情報を提供するために必要となる労力を評価し、バランスを取るべきであると強調している。
異なる目的のためにさらに使用する場合には、たとえ目的が適合していても、さらなる処理が行われる前に参加者に情報を提供しなければならない。
6.5 欺瞞、インフォームド・コンセント及び情報を得る権利
上記(6.3)で述べたように、データ保護の専門家と研究コミュニティは、同意がデータ処理の適切な法的根拠ではないが、「インフォームド・コンセント」が適切な保護手段となりうる研究活動について、さらに検討することができる。これは特に、研究活動が対象者への欺瞞を伴う場合に当てはまる。欺瞞には、研究参加者への説明時に情報を差し控えること、研究の目的に関して限られた情報しか提供しないこと、あるいは実際の研究テーマを隠すために研究の「カバーストーリー」を提供して参加者を誤解させることを含む。”covered research”と呼ばれる心理学実験の中には、被験者が何のテストをされているのかを誤認させるものがあるが、研究の正確な性質を認識することで人々の行動が変わってしまうため、これが重要な成功要因として挙げられている。欺瞞では、被験者は通常、自分が観察されていることは知っているが、本当の目的は知らない。このような操作は、倫理委員会によって推奨されないことが多いが、それでも一部のプロジェクトでは使用されている。このような場合には、研究参加者への結果報告、遡及的なインフォームド・コンセント、研究開始前の具体的な倫理的承認などが、倫理遵守を確保するための方策として挙げられる。
これらの慣行は、データ保護法に基づく情報を得る権利と相反するように思われる。実際、参加者からの情報が研究者によって直接収集される場合には、第13条の透明性の原則に対する例外はない。第14条の科学的研究の目的のために可能な軽減措置は、間接的な収集の場合にのみ適用されるため、これらの特定の欺瞞のケースには関係がない。この問題については、さらなる分析と議論が必要であることは明らかである。
6.6 科学研究のための特別な制度の下で可能な例外措置
GDPRの第89条第2項では、EUまたは加盟国の法律がデータ主体のアクセス権(第15条)、修正権(第16条)、制限権(第18条)、異議申し立て権(第21条)を逸脱する可能性のある、より具体的な条件の概要を示している。
アクセス権および修正権は、EU基本権憲章の第8条2項に規定されており、一般的に個人データの保護に関する権利の不可欠な構成要素と考えられている。アクセス権は、データ主体がデータ保護法で規定されている他の権利を行使することを可能にするため、特に重要である。したがって、これらの必須のデータ主体の権利を逸脱する場合は、本憲章の第52条(1)で求められる基準に沿って、特に高いレベルで精査されなければならない。GDPR第89条第2項に基づく逸脱は、第89条第1項で要求される条件および保護措置が満たされた場合にのみ可能である。
さらに、第89条第2項では、「特定の目的の達成を不可能にしたり、著しく損なったりする可能性があり、かつ、その目的を達成するために必要である場合」に限り、権利の逸脱を適用することができる。EDPSはこれまでに、この基準は本憲章の第52条第1項に沿った高いハードルであると主張してきた。個人がアクセス、修正、制限、異議の権利を行使できるようにするには、管理者が多くの技術的・組織的措置を講じる必要があることは否定できない。
これらの技術的・組織的措置の中には、個人にアクセス権やその他の権利を提供するために、人的・財政的リソースに多大な投資を行うものもある。しかしこれは、統計的または科学研究活動に携わる企業や組織に限ったことではない。資源を投入しなければならないこと自体が、GDPR第89条第2項に基づく個人の権利を逸脱することを正当化するものにはならない。
制限および異議申し立ての権利に関しては、特定の状況において、多数の個人が科学的研究の全部または一部に異議申し立てをすることで、研究データの代表性および信頼性、ひいては研究の完全性に悪影響を及ぼす可能性があることは認識している。例を挙げると、希少疾病に関連する特定の研究活動に対する個人の同意または異議の撤回は、長期的な研究調査の結果に大きな影響を与え、場合によっては「重大な障害」をもたらす可能性がある。しかし、すべての場合に当てはまるわけではない。したがって、科学研究の分野における制限および異議申し立ての権利に対する例外規定の範囲は、データ主体の権利を行使することで研究の完全性が損なわれるような場合に限定されるべきである。
6.7 目的の制限及び適合性の推定
目的制限の原則
目的制限の原則では、個人データは常に特定の明確かつ正当な目的のために収集されなければならず、当初の処理目的と適合性のない目的のために同じデータをさらに処理することは認められない。一方で、個人データが適合性のある目的のためにさらに使用される場合、「個人データの収集を許可したものとは別の法的根拠は必要ない」とされている。これは、「データ主体が管理者との関係に基づいて、(データの)更なる使用に関して合理的に期待すること」を前提としている(GDPR第50条)。
GDPR第6条第4項では、第29条作業部会のガイドラインにほぼ沿って、個人データの継続的または二次的な使用の適合性を決定するための基準を定めている。管理者は、「個人データが収集された目的と意図された追加処理の目的との間のあらゆる関連性」(第6条第4項(a))または「個人データが収集された状況」(第6条第4項(b))を考慮することが求められる。管理者が当初の目的と適合性のない目的でデータを共有したり、さらに処理する場合は、新たに有効な法的根拠が必要になる場合がある。
研究目的の適合性の推定
EUの研究政策におけるデータの再利用の戦略的重要性を反映し、EUのデータ保護法は、1995年の指令以来、GDPRでも引き続き、いわゆる適合性の推定(GDPR第5条第1項(b))を盛り込んでいる。すなわち:
公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱いは、第89条第1項に従い、当初の目的と適合しないものとはみなされない。
この推定は、仮名化やアクセス制限などの適切な技術的・組織的な保護措置を確保するための第89条第1項の要求に依存する。第29条作業部会は、さらに、データが特定の個人に関する措置または決定を支援するために使用されないことを保証するよう主張した。推定は、歴史的、統計的または科学的な目的のために、どんな場合でもデータを追加的に処理するための一般的な権限ではない。各ケースは、それぞれのメリットと状況に応じて検討されなければならない。しかし、原則として、商業的または医療の文脈で収集された個人データは、適切な保護措置が講じられていれば、元の管理者または新しい管理者によって、科学研究の目的で追加的に使用されるかもしれない。
適法性と目的制限
しかし、GDPR前文第50項では、個人データが二次的な適合性のある目的に使用される場合、次のように述べている、
個人データの収集を認めた法的根拠とは異なる法的根拠は要求されない、…公共の利益における保管の目的、科学的若しくは歴史的研究の目的又は統計の目的のための追加的取扱いは、適合的で適法な取扱業務とみなされる。
この説明は、科学研究のための再利用の場合に、目的の特定と適合性を同列に扱っているように見える。この説明は、GDPR本体に特定の規定を伴っていないため、EU基本権憲章第8条第2項で定められた個別のステップに対する包括的な免除(すべての状況に適用される)というよりも、むしろ助言(したがって「適合性があるとみなされるべき」)のように見える。したがって我々は、データ主体の権利を確実に尊重するために、特にデータが元々非常に異なる目的で収集された場合や科学研究の分野外で収集された場合には、科学研究の目的でデータを再利用する前に、第6条第4項に基づく適合性テストを考慮すべきであると主張する。実際、医学研究の観点からのある分析によれば、このテストの適用は簡単なはずである。
6.8 適法な処理の根拠としての公共の利益
個人データの処理は、「公共の利益のために実施される業務の遂行に必要」(GDPR第6条第1項(e))とみなされる場合がある。このような場合、その公益は、EUまたは加盟国の法律によって定められたものでなければならない(GDPR第6条第3項)。特別な種類のデータの処理の禁止に対する更なる除外事項は、第9条第2項(i)である。
求められる目的と比例的であり、データ保護の権利の本質的部分を尊重し、また、データ主体の基本的な権利及び利益の安全性を確保するための適切かつ個別の措置を定めるEU法又は加盟国の国内法に基づき、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために必要となる場合。
欧州の判例法によれば、必要性および公共の利益とは、大部分を占める私的または商業的な利益とは対照的に、「差し迫った社会的必要性」を意味する。
特別な種類のデータの場合、データ処理は「実質的な公共の利益のために必要」でなければならない(第9条第2項(g))。第9条第2項(j)(上記6.2)では、原則として、EUまたは加盟国の法律に基づいてのみ、科学研究のために特別な種類のデータを処理することを規定している。しかし、そのような法律はまだ採択されていない。したがって、科学研究目的で機微なデータを処理する根拠として「実質的な公共の利益」を見なすことは、不可能ではないにしても、現時点では困難である。
6.9 保存の制限
個人データは、「データ主体の識別が可能な形で、必要な期間を超えない範囲で保管」されるべきである(GDPR第5条第1項(e))。GDPRでは、唯一の目的が科学的研究(または公共の利益のための保存、歴史的研究、統計目的)である場合、「より長い期間の保存」を許可している。法律家の意図は、このような特別な規定であっても無制限の保存は避けられるべきであり、科学研究が他の私的な目的での長期保存の口実にならないようにすることだと考えられる。疑問がある場合、管理者は新しい法的根拠が適切かどうかを検討すべきである。
6.10 説明責任
GDPRの説明責任の原則は、管理者および処理者がその処理活動に責任を持ち、遵守を証明するための手段と記録を設けることを要求している。この原則は、GDPRのリスクベースのアプローチと密接に関連しており、データ保護は、データ処理に伴うデータ主体のリスクに比例すべきとしている。新しい枠組みは、多くの事前義務を回避し、個人データを取り扱う者に、いかに適切な保護レベルを構成し確保するかに基づいて責任を負わせることで、形式主義を省こうとするものであった。個人へのリスクが高ければ高いほど、保護のレベルも高くなり、そのためデータ管理者や処理者には積極的な義務や保護措置が課されることになっている。
科学研究は、多くの場合、関係者の機微性の高い個人情報の処理および共有を伴う。そのため、GDPRに従い、高リスクのデータ処理活動とみなされるのが妥当である。公共部門の情報にアクセスするための枠組みはあるが(上記4.1参照)、民間企業が研究者にデータへのアクセスを提供するための枠組みはない。それにもかかわらず、大手プラットフォームを含む多くの企業は、研究者とデータを共有する可能性があることをプライバシーポリシーに明記している。2.4で述べたように、このようなアクセスは、独立した研究者が、個人データの処理方法や情報の流れを決定する上での強力な民間企業の役割を検証することができるため、説明責任の向上に貢献する。しかし、このようなアクセスを促進することには消極的である。
データ保護規則は、有効な法的根拠とリスクに応じた適切な保護措置がある場合に、研究者への情報の適切な開示を妨げるものではなく、障害にはならない。リスクの指標としては、データの機微性または高度に個人的な性質、データ主体の脆弱性、処理活動の大規模性、監視の系統的な性質、技術的解決策の革新的な使用または適用、個人の評価、データセットの組み合わせ、自動化された意思決定の法的ま たは類似の重要な影響などが挙げられる。また、特定の研究プロジェクトに適用される専門的な倫理基準も、保護手段としてみなされる。研究者が人工知能システムを導入する場合にも、同様に安全策と監視が必要である。ITやエンジニアリングの研究では、倫理的な監視が欠如していることが多いため、欧州委員会は、EUが資金提供する将来のすべてのAIプロジェクトに「エシックス・バイ・デザイン」を組み込むことを約束した。
適切な保護措置としては、自然人の権利と自由に対するリスクの可能性が高いデータ保護影響評価の実施、データ保護責任者の任命(公的機関や団体の場合は必須)、大規模なデータ主体の定期的かつ体系的な監視などが考えられる。データ主体の権利および自由にリスクを与える可能性がある場合、データ違反を不当に遅延することなく、遅くとも72時間以内に通知すること、データセキュリティを保証すること、および仮名化または(研究を損なう場合を除き)匿名化によるデータの最小化を行うこと。
7 推奨事項
7.1 DPASおよび倫理審査委員会
データ保護当局およびデータ保護オフィサーは、デジタル技術の開発および展開において、ますます倫理的な問題に取り組むようになっている。彼らは、倫理審査委員会とより密接に関わるべきである。特に遺伝子研究は、DNA検査の対象者だけでなく、その家族や共通の特徴を持つ現在および将来の世代の人々にも影響を与える。独立倫理委員会は、どのような活動が真の研究として認められるかについての理解を助け、GDPRで言及されている倫理基準を定義することができる。倫理委員会は、データ保護の権利を含む人権の尊重が研究プロジェクトの初期計画段階から組み込まれていることを確認する上で、有意義な役割を果たすことができる。倫理委員会は、研究プロジェクトが最初からデータ保護の原則を念頭に置いて設計されていることを確認する上で、今後も重要な役割を果たすと考えられる。
倫理委員会による医学研究の倫理に基づく判断は、古典的なプライバシーの観点からの評価は組み入れられていましたが、個人データ保護の観点からの審査ができていたかというと疑問です。
その役割を今後の倫理委員会が担うとするのであれば、倫理委員会の構成要件に「プライバシー、個人データ保護の専門家」を入れた方が良いように思います。
7.2 EU の研究活動に関する行動規範および認証
GDPRは、加盟国、監督官庁、EDPB、欧州委員会に対し、同規則の適切な適用に寄与する行動規範の策定を奨励するよう求めている。研究活動において、行動規範は実務の収束を促進し、コンプライアンスに対する信頼性を高めることができる。十分なレベルのハーモナイゼーションを実現するためには、国レベルではなくEUレベルでの行動規範が望ましいかもしれない。行動規範は、欧州研究領域の主要な目的である研究者の自由な移動にも有益である。
データ保護は対象としていないが、同様のEU規模のプロジェクトでは、過去に「研究の完全性のための欧州行動規範(The European Code of Conduct for Research Integrity)」で成功を収めており調和に貢献している。バイオバンキング、ゲノム研究、ソーシャルネットワーク研究などの分野では、特に専門的な規範が必要になるかもしれない。
さらに、認定された認証機関は、データ保護シールやマークなどの認証を管理者や処理者に発行することができ、その期間は最長で3年間(更新可能)となっている。認証の目的は、処理作業が本規則に準拠していることを証明することである。
GDPRにおいて、このような行動規範や認証は、以下の点に有効に対応することが可能である:
- データ処理および/または保護のための法的根拠としての有効な同意の要件
- 特別な種類の個人データに関する制度
- 研究者が追求する正当な利益
- 研究データおよび科学出版物の仮名化
- データ主体の権利の行使と、その権利の潜在的な制限
- 研究分野におけるデザインによるデータ保護の実施
- 個人データの第三国または国際機関への移転
- 民間企業、特に技術系プラットフォームが、オンラインでの操作や誤った情報の流布の調査などを目的とした特定のプロジェクトにおける独立した研究者へのデータ提供
研究コミュニティはもともと異質なものであり、このような手段は複数想定される。
7.3 EUの研究枠組みプログラムとデータ保護基準
欧州委員会が研究分野で行ってきた「Horizon 2020」と次期欧州研究・イノベーション枠組みプログラム「Horizon Europe」の調和を図ることは、加盟国間の収束を促すことにもつながる。この枠組みの下で資金を得ようとする研究プロジェクトは、自己評価から始まる厳格な倫理審査プロセスを経る必要がある。このプロセスでは、研究者に研究プロジェクトの設計を振り返ることを求め、データ保護の要件が倫理審査プロセスの一部であることを規定している。このプロセスは、欧州の研究資金を得ようとするすべての研究機関や独立した研究者のデータ保護の慣行を整えるための大きな可能性を秘めている。研究者は、これらの研究提案を作成する際に、データ保護の専門家や当局の指導を受けるべきである。
7.4 科学研究のための公共の利益の根拠に関する議論
個人データを共有することは、その目的が科学研究である場合も含めて、データの関係者にとって常にある程度のリスクを伴うものである。基本的権利の保護に抜け道があってはならず、何をもって「科学研究」とするかが不明確であること自体が、そのような抜け道を生み出す危険性をはらんでいる。
一方で、デジタル化の進展に伴い、データ生成量が飛躍的に増加する一方で、データを価値ある知識に変換するための手段が一部の強力な民間企業に集中していることへの懸念も高まっている。2.4で説明したように、独立した研究者がこれらのプラットフォームによって情報が広められる方法を検証することができたならば提供することができた監視と説明責任から自身を遠ざけているので、これらの企業がそのような機会を独占することは非民主的であると主張する人もいる。これらの企業は、既存の利用規約やプライバシーポリシーを通じて、個人データをどのように処理し、誰と共有したいかを決定する十分な範囲を自らに認めている。したがって、これらの利用規約が、適切な倫理的ガバナンスの下で活動する真の研究者とデータを共有することを規定することに、ほとんど支障はないように思われる。このようなことが行われていないため、最近ではEU全域で、医療提供の改善や気候危機への対応など、公共の利益に資する研究目的のために個人所有の個人データの利用を規制することが求められている。支配的な企業が研究者にデータを開示するためのデータ保護法上の公益的根拠が、EUまたは加盟国の法律で明確に規定され、厳格な比例性テストと不正使用や違法なアクセスに対する適切な保護措置を伴う必要がある。
EDPSは、市民的自由を求める団体、研究者コミュニティ、大手ハイテク企業との間で、この問題に関する議論の促進に役立つことができる。
8 結論
本予備意見は、科学研究に対するGDPRの適用における主な課題を明らかにすることを目的としている。デジタル化は個人のエンパワーメントと公衆衛生のような深刻な社会問題への対処のための新たな可能性を生み出した。また、公益、学問の自由、私的利益の境界を曖昧にしたまま、少数のグローバル企業の私的利益のために個人データを膨大に蓄積・集積する結果にもなっている。デジタル技術は、私的利益のためにオンライン上で人々を実験するために利用されている。データ保護規則は、安全性と透明性を確保する一方で、一般化できる知識と社会的利益を目的とする倫理的な研究への干渉を最小限に抑えることを目的としている。GDPRは、このような行為に対する説明責任を確保する役割を担っている。GDPRそのものが真の科学研究を妨げているという証拠はない。DPA、倫理委員会、研究コミュニティは一般に、人々が単なるデータセットとして扱われないようにしつつ、知識の進歩のために協力することに共通の関心を持っている。特にEDPSは、科学研究分野におけるデータ保護の特別な制度が現場でどのように展開されるかを見るために、より多くの時間が必要であることを念頭に置いて警戒している。
「GDPRそのものが真の科学研究を妨げているという証拠はない」とありますが、実態として各所から「GDPRが医学研究の実施を困難にしている」という声はあがっています。
実際に、この予備的意見が出された約1年後の2021年2月にEDPBが「EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research(欧州委員会からのヘルスリサーチにおけるGDPRの一貫した適用に関する明確化の要請への対応に関するEDPB文書」というものを出しています。
その内容も以下で記載していますが、残念な内容でした。
以上、EDPSによる「データ保護と科学研究に関する予備的意見」を見てきました。
お疲れさまでした。