GDPRは対岸の火事?

EU一般データ保護規則(the General Data Protection Regulation; GDPR)が2018年5月25日に施行された.私個人が何か行動を起こす必要は今のところはないのだが,私の個人情報を握っている組織はその対応を求められているようだ.
---------------------------------------------
2018/7/20付けでIBMからのメール タイトル【IBM SPSS】 GDPR対応に伴う重要なお知らせとお願い
当メールは、過去に、IBM SPSS製品をご購入いただき、IBMからの情報提供をご了承いただいているお客様に、ご登録情報を元にお送りしています。
日頃、SPSSをご愛顧いただきましてありがとうございます。IBMでは、2018年5月25日のGDPR(一般データ保護規則)施行に伴い、製品紹介、
キャンペーンなどの情報提供方法を見直しさせていただくことになりました。つきましては、当ご案内についてご理解いただき、情報提供を希望されるお客様には、必要な手続きを行っていただきますようお願い申し上げます。(以下略)(2018/7/20)
---------------------------------------------
2018/5/17付けでORCID.orgからのメール タイトル:ORCID and Your Data Privacy
Dear Masayuki Ikeda,
You may have heard about the General Data Protection Regulation (GDPR), which is taking effect in Europe later this month. The GDPR improves transparency and data privacy rights of individuals. We're writing to explain how our practices align with GDPR.Individual control and transparency are core ORCID principles. As an ORCID user, you have always been in control of what information is added to your record, who can view that information, and which organizations can read, add, or update your record. We evaluate our practices every year during an external audit of our privacy policy and practices. In addition, a recently commissioned expert legal review of our data privacy practices considered both German data protection law and the GDPR framework. Both of these reports found ORCID to be in a strong position with regard to GDPR. We continue to monitor the evolving interpretation of the regulation to ensure your rights are protected. Based on our evaluation, we have made the following changes to the ORCID Registry and services:(以下略)
---------------------------------------------
上記のメール程度の影響ならまだいいのだが,次のように,GDPRが臨床研究に対して,また新たなハードルを設けることになりはしないかとの懸念が湧いてくる.たとえば,それまで数々の輝かしい業績を生み出してきた,英国NHSのデータ利用による臨床研究なんか,もうできなくなるのではないか?→Brexitの流れを作ったのは,決して移民排斥だけではなく,もっとたくさんの理由が複雑に絡み合った結果ではないのか?
---------------------------------------------
【World Topics】GDPR始動 ミクスオンライン 2018/07/17
 2018年5月25日、EUの新しい個人情報保護法the General Data Protection Regulation (GDPR)が始動した。
 GDPR施行以前は、規制対象は、EU内で個人情報を収集あるいは使用する組織、あるいはEU内に個人情報処理装置を置いている組織のみに限定されていた。が、GDPRの施行によって規制対象はEU内に居住する個人の情報を取り扱う組織全般に拡大され、EU内で個人の行動をモニターしたり、あるいはEU内で個人にサービスや商品を提供する組織のすべてが、その組織の所在地を問わず、規制対象となることとなった。
 GDPRはあらゆる個人情報を対象とするだけでなく、直接間接を問わず個人を特定できる情報のすべて、たとえば人種、宗教・信条、政治的立場、業界組合等への加入の有無、遺伝子情報、生体情報、健康状態に関わる情報、性別あるいは性生活に関わる情報なども規制の対象とする。
 すでに明らかだが、GDPRは個人情報全般に対する規制法であるから、規制対象とする組織についても、規制対象とする情報についても米国のthe Health Insurance Portability and Accountability Act (HIPAA)よりはるかに広範である。今後EU内ではこれが医療情報にも適用される。
 GDPRの規制はさらに個人情報取り扱いの「環境」条件にも及ぶ。HIPAAが主として個人情報の使用と開示を規制しているのに対し、GDPRは個人情報を処理する上での条件を厳しく規制するとしているのであるが、この処理(process)という概念には広く解釈すればデータの収集、記録・保存、整理・構造化、変更、さらにはあと利用から削除までのすべての処理が含まれる可能性があり、今後の動向が注目されている。GDPRに関する最新情報はEU GDPR Information Portal (https://www.eugdpr.org)で得られる。
----------------------------------------------------------------------------------------------------
参考:GDPRを巡るこれまでの国内の動き
SAS、改正個人情報保護法とEU GDPRに対応した統合個人情報保護ソリューションの国内提供を開始
「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月とやや古い)
臨床試験の個別被験者データの共有 CTDS(Clinical Trial Data Sharing):4.2 IPD の利活用における各国法制度の話題(25ページ以降)が該当する箇所
臨床研究法と国際動向~世界の潮流と治験・臨床研究の方向性~:このプレゼンでは,最後にちょこっと紹介しているだけ.日本で行われる臨床研究は日本の法律を守ってくれればそれでいいというのが,当面の厚労省のスタンスと思われるが,裏を返せば「欧州ではGDPRを遵守してね」という親切な警告でもあるし,「将来ICHのトピックになるかもしれないよ」とい親切な示唆でもある.

目次へ戻る