2023年7月10日に欧州委員会は、EU-U.S. Data Privacy Frameworkの十分性に関する決定を採択しました。
これにより、EU-US間でデータ移転する枠組みとして以前に機能してたPrivacy Shield(プライバシーシールド)に代わる新たな枠組みとして、Data Privacy Framework(以下、「DPF」)が機能することになります。
原則的に米国企業は、米国商務省が定めた「原則」に則っていることを自己認証することでDFPの枠組みに参加することができるようです。
ちなみに、自己認証しDPFに参画した企業は、こちらから検索することができます。
既に、ICON、Parexel、IQVIA、Medidata、Veevaといった企業の登録が確認できました(2023年7月現在)。
ここでは詳細は省きますが、自己認証をするときに、遵守する決意を公に宣言することが求められる「原則」が存在します(DFP原則)。その原則は7項目と16の補足的な項目から構成されています。
EU-U.S. Data Privacy Framework Principles
中心となる7つの項目は以下のようなものです。
1. Notice(通知)
2. Choice(選択)
3. Accountability for Onward Transfer(移転に対する説明責任)
4. Security(セキュリティ)
5. Data Integrity and Purpose Limitation(データの完全性と目的制限)
6. Access(アクセス)
7. Recourse, Enforcement and Liability(救済、執行および責任)
この7つの項目に加えて示されている16の補足的な項目の中に、「14. Pharmaceutical and Medical Products」という項目があります。
製薬企業や医療機器メーカー等、医学研究をグローバルで実施する立場であれば、この項目は特に気になります。
そこで今回はこの補足項目を見ていくことにします。
個人的に気になった点は、コメントを入れておりますが、法的解釈の妥当性は保証しかねますのであしからず…。
a. EU/加盟国の法律または本原則の適用
i. EU/加盟国の法律は、個人データの収集および米国への移転前に行われた処理に適用される。 本原則は、米国に移転された後のデータに適用される。 創薬研究その他の目的で使用されるデータは、適切な場合には匿名化されるべきである。
最後の「匿名化」という単語は、米国において匿名化を意味する時によく用いられる「de-identified」ではなく「anonymized」が用いられています。
『米国で使われている「de-identified」は、欧州の「anonymised」とは異なるものである』との意味が含まれているのかと深読みしてしまいます。
b. 将来の科学的研究
i. 特定の医学・薬学研究において収集された個人データは、将来の科学研究において貴重な役割を果たすことが多い。 ある研究のために収集された個人データが EU-U.S. DPFで米国の組織に移転される場合、最初に適切な通知と選択がなされていれば、その組織はそのデータを新たな科学的研究活動のために使用することができる。 このような通知には、定期的なフォローアップ、関連する研究、マーケティングなど、データの将来の具体的な使用に関する情報を提供すべきである。
ii. 原データに関する新たな洞察、新たな医学的発見や進歩、公衆衛生や規制の進展な どから新たな研究利用が生じうるため、データの将来の利用をすべて特定できるわけではない。 従って、適切な場合、通知には、個人データが予期しない将来の医学・薬学研究活動で使用される可能性があるという説明を含めるべきである。 その利用が、個人データが当初収集された、あるいはその後個人が同意した一般的な研究目的と一致しない場合は、新たな同意を得なければならない。
同意取得時に「個人データが予期しない将来の医学・薬学研究活動で使用される可能性がある」という形で同意を取っておけば、その後に別目的での研究でも利用できるというのは、医学研究の実務的な観点から考えると非常に有難いと感じるのですが、GDPRを考えると少し包括同意が過ぎるような感じがしました。しかし、個人的には非常に実際的・現実的だと思いますし、ここまで明確に当局が基準を定めてもらえると現場は混乱しないと感じました。
c. 臨床試験からの離脱
i. 参加者は、いつでも臨床試験からの離脱を決定したり、または求められる可能性がある。 ただし、参加者が臨床試験への参加に同意した時点で、このことが通知で明らかにされていた場合は、離脱前に収集された個人データは、臨床試験の一部として収集された他のデータとともに、引き続き処理される可能性がある。
「離脱」と訳していますが、同意撤回のことですね。
GDPRでは同意撤回されると、他にデータ処理の法的根拠がなければ、そのデータを利用してはいけないことになっていますが、臨床試験のコンテキストを考えると、それは科学的にも倫理的にも問題になってきます。そのため、現実的には「同意撤回時までのデータは利用させてもらいます」といった趣旨の同意を取得していることが多いと思います(法的に効力があるのかは分かりませんが)。
しかし、ここでは「同意撤回前までに収集されたデータは引き続き処理される」ことを認めているように読めます。仮にその理解が正しいとすると、それは医学的な見地からすると非常に妥当と思いますので、それを文章で記している当局の姿勢も素晴らしいと思いました。
d. 規制・監督目的の移転
i. 製薬企業および医療機器企業は、規制・監督目的のために、EU内で実施された臨床試験の個人データを米国の規制当局に提供することが認められている。 同様の移転は、「通知と選択の原則」に則り、企業の事業所や他の研究者など、規制当局以外の関係者にも認められている。
これも現実的なルールだと思いました。
EU⇒日本への十分性認定に基づく移転でも、同様に認められているのでしょうか?
また、日本が外国に移転する場合、それが十分性認定や相当措置で移転した場合、移転先の第三者が規制当局などに提供することを認めているのでしょうか?
もし認められていないのであれば、これを見習って、認めるように明記すべきと思います。
e. 「盲検化」試験
i. 多くの臨床試験において客観性を確保するため、参加者、そして多くの場合治験責任医師も、各参加者がどの治療を受けているかについての情報にアクセスすることはできない。 そうすることは、研究と結果の妥当性を危うくする。 このような臨床試験(「盲検化」試験と呼ばれる)の参加者は、 参加者が試験に参加する際にこの制限が説明され、そのような情報の開示が研究活動の完全性を危うくする場合、試験中に自分の治療に関するデータへのアクセスの提供を受ける必要はない。
ii. これらの条件下で試験に参加することに同意することは、アクセス権の合理的な放棄である。 試験が終了し結果が分析された後に、参加者が要求すれば、参加者は自分のデータにアクセスできる。 参加者は、主に臨床試験内で治療を受けた医師または他の医療提供者に、あるいは二次的に治験依頼者にそれを求めることができる。
f. 製品の安全性と有効性のモニタリング
i. 製薬企業又は医療機器企業は、有害事象の報告及び特定の医薬品又は医療機器を使用する患者/被験者の追跡を含む、製品の安全性及び有効性のモニタリング活動において、「通知」、「選択」、「移転に関する説明責任」及び「アクセスの原則」に関する原則を、本原則の遵守が規制要件の遵守に支障をきたす範囲において適用する必要はない。 これは、例えば医療提供者から製薬・医療機器企業への報告に関しても、製薬・医療機器企業からFDAなどの政府機関への報告に関しても同様である。
ここも 「d. 規制・監督目的の移転」で書いたコメントと同じですね。
g. キー/コード化されたデータ
i. 研究データは常に、個々のデータ主体の身元が明らかにならないように、データ生成時に治験責任医師によって一意にキー/コード化される。 このような研究を後援している製薬会社がキーを受け取ることはない。 固有のキー/コードは研究者のみが保持するため、研究者は特別な状況下(例えば、経過観察が必要な場合)で研究対象を特定することができる。 この方法でコード化されたデータはEU法に基づく EUの個人データであり、 EU から米国への移転では、本原則の対象となる。
対応表を持っていなくても仮名化データは個人データであり、規制の対象であることが明示されています。HIPAAのSafe Harborルールでの非識別化(de-identification)は、ほぼ仮名化と言える程度の加工ですが、「仮名化では匿名化にならないよ」ということを念押ししている感じでしょうか。
以上、DPFの補足的項目の「14. Pharmaceutical and Medical Products」の中身を見てきました。
GDPRとの一貫性の観点ですが少し首をかしげるところはありますが、実際の医薬品規制で求められるデータ流通形態を反映しており、国際的な医薬品開発の現場を理解した上でルール形成された印象を受けました。
