EDPB 健康研究を中心としたGDPRの一貫した適用に関する欧州委員会からの明確化要請に対する回答

こんにちは、丸山満彦です。

European Data Protection Board: EDPBが「健康研究を中心としたGDPRの一貫した適用に関する欧州委員会からの明確化要請」に対する回答文書を公表していますね。。。

● European Data Protection Board: EDPB

・2021.02.02 [PDF] EDPB Documenton response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research

質問項目については以下の通りです。。。Q8がないですね。。。

科学研究目的のための個人データの処理に関するガイドラインが2021年中に公開予定ですね。。。

重要なことは回答の部分なのですが、いくつか興味深いコメントがありますね、、、「遺伝子データの匿名化の可能性は未解決の問題である」という意見とか。。。

 

2 COMPLYING WITH DATA PROTECTION AND ETHICS OBLIGATIONS: LEGAL BASIS FOR PROCESSING OF HEALTH-RELATED DATA FOR SCIENTIFIC RESEARCH PURPOSES	2 データ保護及び倫理的義務を遵守する：科学研究目的のための健康関連データ処理の法的根拠
Q1. How to reconcile the ethical principle embedded in the Oviedo Convention and Declaration of Helsinki with the possibility to process health data based on legitimate interest or public interest?	Q1. オビエド条約やヘルシンキ宣言に組み込まれた倫理原則と、正当な利益や公共の利益に基づいて健康データを処理する可能性をどのように両立させるのか。
Q2. What is the definition of ‘participants not in good health conditions’ and does the explanation given in Opinion 3/2019 exclude the possibility for the data controller to rely on explicit consent as a legal basis for the processing of data from patients and people not hospitalised but diagnosed with certain health conditions?	Q2. 「健康状態が良好でない参加者」の定義とは何か。また、意見書 3/2019 で示された説明は、データ管理者が、入院していないが特定の健康状態と診断された患者や人々からのデータを処理するための法的根拠として、明示的な同意に頼る可能性を排除するものか。
Q3. Would it be possible to have a heterogeneous/different legal basis for processing health data of different individuals in a single research project by one data controller in several Member States? How should the requirements for fairness (equal treatment of all individuals in one study) be fulfilled?	Q3. 一人のデータ管理者が複数の加盟国にまたがる1つの研究プロジェクトで異なる個人の健康データを処理するための異種/異なる法的根拠を持つことは可能か？公平性（1つの研究におけるすべての個人の平等な扱い）の要件はどのように満たされるべきか。
Q4. What are the preconditions to consider when assessing if the personal data are manifestly made public by the data subject (art.9(2)(e)) in the case of genomic and other health related research?	Q4. ゲノム及びその他の健康関連の研究の場合、個人データがデータ対象者によって明らかに公表されているかどうか（第 9 条(2)(e)）を評価する際に考慮すべき前提条件は何か。
3 FURTHER PROCESSING OF PREVIOUSLY COLLECTED HEALTHDATA	3 過去に収集された健康データの更なる処理
Q5. To what extent could health data collected for one specific research project with the consent of the data subjects be re-used in different research projects of the same nature by another controller without the consent of data subjects?	Q5. データ対象者の同意を得てある特定の研究プロジェクトで収集した健康データを、データ対象者の同意なしに、別の管理者が同じ性質の異なる研究プロジェクトで再利用することは、どの程度まで可能か。
Q6. What are the requirements for the lawfulness and transparency of processing of special categories of data in cases where the compatibility presumption in Article 5(1)(b) would apply? Furthermore to what extent can the initial legal basis be relied upon for the further processing in such cases?	Q6. 第 5 条(1)項(b)の互換性の推定が適用される場合の、特別なカテゴリーのデータの処理の適法性と透明性に関する要件は何か。さらに、そのような場合の更なる処理について、最初の法的根拠はどの程度まで依拠できるか。
Q7. If a health care provider collected health data from patients and wishes to use those data for a scientific research project, to what extent would this be considered compatible further processing?	Q7. 医療提供者が患者から健康データを収集し、そのデータを科学的研究プロジェクトのために使用することを希望する場合、これはどの程度まで互換性のある更なる処理とみなされるか。
Q9. In what circumstances can health data from social media platforms, activity trackers or publicly available databases (for example) be used for research purposes for creating profiles and what are the conditions to be met for such data processing when the data are not collected directly from the data subjects?	Q9. どのような状況で、ソーシャルメディアのプラットフォーム、活動追跡者、または一般に利用可能なデータベースからの健康データを、（例えば）プロファイルを作成するための研究目的に使用することができるか。また、データ対象者からデータが直接収集されていない場合、データ処理のために必要となる条件は何か。
Q10. What would be a good example illustrating ‘the new situation’ that enables the data controller to repurpose the data processing and use a legal basis different than the initial one (consent) as per Art. 29 WP Guidelines on consent?	Q10. データ管理者がデータを再利用し、最初の同意とは異なる法的根拠を用いることを可能にする「新しい状況」を例示する良い例は何か？同意に関する 第 29 条作業部会ガイドラインに基づく最初の同意とは異なる法的根拠を使用することを可能にする「新しい状況」の例は何か。
4 THENOTIONOFBROADCONSENT	4 広義の同意の考え方
Q11. Does the concept of broad consent apply to the processing of special categories of data for scientific research purposes?	Q11. 広義の同意の概念は、科学研究目的のための特別なカテゴリーのデータの処理に適用されるか。
Q12. Recital 33 GDPR provides that consent may be given to ‘certain areas’ of scientific research. What should the formulation of these ‘certain areas’ look like in the course of obtaining a participants/data subjects consent, in particular as concerns future research projects which cannot be determined at the point of collection of the data (e.g. consent for ‘cancer research’ or consent for ‘breast cancer research’).	Q12. GDPR のリサイタル 33 では、科学研究の「特定の分野」に同意を与えることができると規定されている。参加者／データ対象者の同意を得る過程で、特にデータ収集の時点では判断できない将来の研究プロジェクトに関しては、これらの「特定の分野」はどのように定義されるべきか（例：「がん研究」の同意や「乳がん研究」の同意）。
Q13. Can the concept of broad consent also be applied to further research projects of the same controller or to different controller as well?	Q13. 広義の同意の概念は、同じ管理者の更なる研究プロジェクトにも、あるいは別の管理者の研究プロジェクトにも適用できるか。
5 TRANSPARENCY OF DATA PROCESSING: INFORMATION TO BE PROVIDED TO THE DATA SUBJECT AND STORAGE LIMITATION	5 データ処理の透明性：データ対象者に提供される情報と保存制限
Q14. When further processing personal data for research purposes, can the data controller who initially collected the data directly from the data subjects benefit from the exception provided in Article 14(5)(b), if the data subjects are no longer reachable, very difficult to reach and/or when this will require disproportionate effort? If not, what should be best practice examples to comply with Article 13?	Q14. 研究目的で個人データをさらに処理する場合、最初にデータ対象者から直接データを収集したデータ管理者は、データ対象者がもはや到達できない場合、到達することが非常に困難な場合、及び／又はそれによって不釣り合いな努力を必要とする場合、第14条(5)(b)に規定されている例外の恩恵を受けることができるか。そうでない場合、第 13 条を遵守するためのベストプラクティスの例は何か。
Q15. In case of a change to the legal basis (e.g. withdrawal of consent and subsequent processing based on a law in the public interest/legitimate interest in conjunction with a law under Article 9(2)(j) GDPR), can the data controller enact the research derogation contained in Article 14(5)(b) and continue processing the health data based on a different legal basis without notifying the data subjects? How should the potential ethical implications of such a decision be reconciled with the provision?	Q15. 法的根拠の変更（例えば、同意の撤回や、第 9 条(2)(j) GDPR 第 9 条(2)項(j)に基づく法律と連携した公共の利益／正当な利益の法律に基づくその後の処理）があった場合、データ管理者は、第 14 条(5)(b)に含まれる研究の除外を実施し、データ対象者に通知することなく、別の法的根拠に基づいて健康データの処理を継続することができるか。そのような決定の潜在的な倫理的意味合いは、どのように規定と調整すべきか。
Q.16 What could be the criteria used to determine the data retention time, in particular as concerns further processing of health data for scientific researchpurposes?	Q.16 データ保持期間を決定するために用いられる基準、特に科学研究目的のための健康データの更なる処理に関しては、どのようなものが考えられるか。
6 ANONYMISATION, PSEUDONYMISATION AND OTHER SAFEGUARDS UNDER ARTICLE 89(1) GDPR	6 GDPR 第 89 条(1)項に基づく匿名化、児童虐待およびその他の安全保護
Q17. Should the data, which does not contain the key/code for re-identifying the individuals in the dataset, be considered anonymised or pseudonymised data (with the respective obligations for the data controllers) for the party which receives it?	Q17. データセットに含まれる個人を再識別するためのキー/コードが含まれていないデータは、それを受け取る側にとって、匿名化されたデータとみなすべきか、あるいは仮名化されたデータとみなすべきか(データ管理者にそれぞれの義務を課す)。
Q18. To what extent, if at all, can genetic data be considered anonymised where the controller carries out reasonable efforts and uses technically available means in order to prevent re- identification of the individuals?	Q18. 管理者が個人の再識別を防ぐために合理的な努力をし、技術的に利用可能な手段を用いている場合には、遺伝データはどの程度まで匿名化されていると考えらるか。
Q19. What types of measures/procedures shall be considered a good practice for setting up ‘appropriate safeguards’ in relation to Article 89(1) of the GDPR? Examples of both technical and organisational measures will be highly appreciated.	Q19. GDPR 第 89 条(1)に関連して、「適切な保護措置」を設定するためには、どのような種類の手段・手順がグッドプラク ティスとみなされるか。技術的、組織的な対策の例があるか。
7 GENERAL QUESTIONS: PROCESSING OF SPECIAL CATEGORIES OF DATA ON A LARGE SCALE AND INTERNATIONAL COOPERATION	7 一般的な質問：大規模での特殊な種類のデータの処理と国際協力
Q20. Which will be the determining factor(-s) for deciding whether special categories of data are processed on a large scale within a scientific research project?	Q20. 科学研究プロジェクトの中で、特殊なカテゴリーのデータを大規模に処理するかどうかを決定する要因は何か。
Q21. In what situations can the data controller rely on the derogation of legitimate interest in Article 49(1)(g) GDPR in the context of scientific research when transferring special categories of data to third countries?	Q21. 特殊なカテゴリーのデータを第三国に転送する場合、データ管理者はどのような状況で科学研究の文脈で GDPR 第 49 条(1)(g)項の正当な利益の逸脱に依拠することができるか。

 

文書を仮訳しました。。。

・[DOC] 仮訳