2023年10月15日(日)から20 日(金)に、バミューダで゙開催された第45回世界プライバシー会議(Global Privacy Assembly:GPA)にて、8つの決議がなされたそうです。
その8つの決議は以下のようなものです。
Resolution on AI and Employment
Resolution on Health Data and Scientific Research
Resolution on Achieving global DP standards
Resolution on GPA Library
Resolution on Generative AI Systems
Resolution on Establishing a Working Group on Intersectional Gender Perspective in Data Protection
Resolution on Privacy and Human Rights Award
GPA Strategic Plan 2023-2025
個人情報保護委員会は、それぞれの決議を以下のように訳していました。
- 人工知能(AI)と雇用に関する決議
- 健康データと科学的研究に関する決議
- データ保護に係るグローバル基準の達成に向けて:世界規模で高水準のデータ保護・プライバシーを確保するための諸原則
- データ保護・プライバシー法の主要原則に係るメンバーのガイダンス・解釈のライブラリ(GPAライブラリ)の創設に関する決議
- 生成人工知能(AI)システムに関する決議
- データ保護における交差性のジェンダー的観点に関するワーキンググループを設立する決議
- GPA及び Access Now 共同でのプライバシー・人権賞の創設提案を推進する決議
- GPAの戦略計画(2023-25年)に関する決議
上記のうち、1、3、5の決議については、個人情報保護委員会が仮訳を出しておりましたが、個人的に一番関心のある2の「健康データと科学的研究に関する決議」の仮訳がありませんでした(2023年11月15日現在)。
そこで、以下にその日本語仮訳を記していきたいと思いますが、毎度のごとく、訳の正確性は保証しませんので、悪しからず…
この決議に出てくる「informational self-determination」という言葉は、ここでは「情報的自己決定権」と訳しております。
健康データと科学研究に関する決議
本決議は以下により提出される;
The 45th Global Privacy Assembly 2023
質の高い研究方法論の確立された原則に準拠した質の高い科学的研究が、どこで実施されようと、より良い医療提供につながることを念頭に置き、歓迎する;
研究、技術革新、経済成長、技術移転、知識交流、公衆衛生対策、より広範な政策立案のために、個人の健康データへのアクセスの必要性を認識する;
COVID-19のパンデミックにより、公衆衛生上の緊急事態に対する革新的な対応と解決策を開発するため、個人の健康データの利用において、信頼、信用、透明性を構築することの重要性がさらに示されたことを認識する;
第42回総会(2020年)で採択されたCOVID-19パンデミックの文脈で生じるプライバシーとデータ保護の課題に関するGPA決議、および第43回総会(2021年)で採択された公益のためのデータ共有に関するGPA決議を想起する;
プライバシー・バイ・デザインの原則と高水準の研究品質に沿った、信頼され、安全で、遵守された個人の健康データの利用と共有は、健康リスクを軽減し、研究における革新的なデジタル・ソリューションの開発を助けることができるが、これらの文脈における不適切なデータの共有または開示に伴う特性を共有する特定の個人または個人の集団の両方に対するリスクを伴うことを指摘する;
政府間や民間機関間の国境を越えたデータ共有を含む個人データの共有は、依然として重要な進展であるが、喫緊の公共の利益に対処する一方で、プライバシー及びデータ保護に関する重要な課題でもあることを再確認する;
特にセンシティブな健康データの処理は、厳格な国際的、地域的及び国内的データ保護規則の対象であり、さらに、遺伝的な又はゲノムの健康情報には、独自のプライバシー配慮のため、追加要件が適用される可能性があることを認識する;
個人の健康データの共有と処理の量とボリュームの増加から生じるデータ保護とプライバシーのリスクに対処し、公益のために効果的で安全かつコンプライアンスに則った健康データの共有を支援するために、GPAコミュニティ間、地域の利用者、研究における健康データの利用を所轄する規制当局との協力の重要性を強調する;
人権と人間の尊厳を尊重することが、ヒトを対象とする倫理的研究を含む質の高い科学的研究の核心であるというアプローチを認識する。法的規制は、データ対象者の情報的自己決定権の保護を効果的に確保しなければならない;
以下の原則が適用されることを強調する: データ主体のリスクが高ければ高いほど、多くの場合、個人データの広範かつ特定の利用と関連しているため、適切なセーフガードと措置によるデータ主体の保護が必要である;
健康データを保護するための基本的な保護措置と手段が常に実施されなければならないことを強調する。これには、データ主体の再特定を防止するための匿名化、または個人データを保護するための信頼できる機関による暗号化、非特定化、仮名化などが適宜含まれる;
症例データに基づく評価は、異なる情報源からのデータセットがリンクされた場合、 データ主体の権利と自由に特に深く影響すること、また、遺伝的又はゲノムの健康情報に関わるデータリンクは、個人だけでなく、遺伝的遺産を共有する先住民や他のコミュニティにも影響を与える可能性があることを強調する;
患者の守秘義務は、質の高い医療行為の重要な原則であり、この原則は個人のプライバシーの権利とうまく整合することを確認する。この原則はまた、個人の健康データの利用における信頼と信用を構築する上で重要な要素であり、従って、個人の健康データの利用者と規制当局によって保護されるべきである;
さらに、データ主体、規制当局、健康研究の広範な利用者に対して、健康データの処理に関する透明性に関する情報をタイムリーかつ容易に理解でき、アクセス可能な形で提供することは、効果的なプライバシー・バイ・デザインにおいて、また研究における健康データの利用に対する信頼と信用を構築する上で重要な原則であることを支持する;
データ保護当局は、データ保護要件の遵守を包括的かつ効果的に監視することができなければならず、また可能な限り、個人の健康データの安全かつ適切な使用について、すべての関係者に助言と指導を提供するよう努めなければならないことを強調する;
研究に使用される健康データを保護するために極めて重要と思われるプライバシー強化技術(PETs)の開発を奨励することの重要性を強調し、データ保護監督当局およびすべてのステークホルダーが、各PETsの利点とリスクを含め、利用可能な様々なPETsについて十分な教育を受けることの重要性を指摘する;
第45回世界プライバシー会議は、それゆえ、以下のことを決議する:
- 科学的目的のため、または研究の文脈で個人の健康データを収集し、処理することに関与するすべての意思決定者、ステークホルダー、関係者に対し、長年にわたって確立してきた高品質で倫理的な研究デザインの原則に沿った研究プロジェクトの設計の重要な要素として、プライバシー・バイ・デザインを採用し、それぞれの健康データ処理業務において、上記を含む適切な要件と保護措置、並びにPETを特定し、最初から継続的に実装することを求める。これらの実装は、データ保護手段及び保護措置の適切性及び有効性に関して、 定期的な監査及びレビューによって再評価され、適宜調整されなければならない。必要な場合には、適切なデータ保護レベルを継続的に確保するために、これらの手段と保護措置は是正されなければならない。
- GPAデータ共有作業部会に対し、科学的目的または研究の文脈における健康データの収集と処理への対応についてさらに検討すると同時に、公益のためのデータ共有の文脈で適用されるべき原則、権利および関連する保護措置を示すよう求める。
注釈
個人の健康状態に関する情報や、健康データ以外から推測される個人の健康に関する情報を含む、健康データを用いた科学的研究は、病気の原因に関する洞察を得たり、効率的な治療法を開発したり、治療法を改善したりするのに役立つ。
したがって、一般市民の本質的な利益にかなうものであり、これらの目的を追求するために最善の方法で推進されるべきである。しかし、関連するデータ・カテゴリーは、国内法および国際法によって特別に保護されており、特に高いレベルの保護の対象となっていることに留意すべきである。機密性の高い健康データの不適切な使用は、例えば労働市場や保険市場において、データ主体に対する社会的スティグマ(汚名)、医療IDの盗難、経済的損失、精神的苦痛、差別などの深刻な被害をもたらす可能性がある。
倫理的、法的、技術的基準の遵守に対する関係者の十分な信頼があれば、彼らの研究支援への意欲は高まる。従って、市民にとって、自分の個人データがデータ保護要件に従い、情報的自己決定権を守りながら処理されることを信頼できることが不可欠である。データ保護が健康データを用いた人間中心の科学的研究の前提条件である理由もここにある。
健康データを用いた公益のための研究を可能にすることは立法者の責務であるが、同時にその限界を定め、データ主体の基本的権利と利益を保護することもまた立法者の責務である。立法者は、このような複雑な問題を乗り切る負担を、患者や研究者の個人的責任に全面的に転嫁してはならない。
ある法的規定が研究目的のデータ処理の法的根拠となることを意図している場合、 その規定は正確かつ具体的でなければならず、またいかなる場合にもデータ主体の情報的自己決定権の保護を効果的に保証しなければならない。
このような規定は、病院からの治療データ、医療レジストリ、その他の研究プロジェクトなど、他の情報源からのデータを使用する際に、データに準拠した研究を可能にし、または容易にする可能性がある。しかし、健康データ処理の法的根拠には、データ主体の基本的権利および利益を保護するための十分かつ適切な措置が含まれていなければならない。
匿名化されたデータで研究目的が達成できる限り、匿名化されたデータのみが処理されるべきである。個人データの匿名化に関しては、考慮すべき高度な要求がある。研究目的を達成するために完全な匿名化が不可能な場合は、研究の状況に応じて設計された、再識別に対する保護を伴う仮名化の効果的な手段を実施しなければならない。さらに、技術的・組織的セーフガードは、データの仮名化および暗号化、ならびにデータ最小化と保護の強化を確保する他の形態のプライバシー・バイ・デザインまたはPETsメカニズム(連合学習、マルチパーティー計算、同形暗号化など)を含む、健康データに関する最新技術の要件に従って設計されなければならない。
データ保護監督当局は、研究の文脈における個人の健康データ処理の分野におけるデータ保護規制の遵守を十分に監視し、実施することができなければならない。また、公的機関や民間団体に対して適切な執行措置を講じる権限も与えられなければならない。これにはさらに、必要かつ適切なデータ保護基準を満たさない特定のデータ処理業務について、直ちにその措置の実施または中止を命じる可能性も含まれる。この目的のために、データ保護当局は十分な人的・財政的リソースと必要な技術的手段を備える必要がある。
以上、急ごしらえの仮訳ですが、重要なことが書かれていたと思います。