データセキュリティと保護、US-EUプライバシーシールド:第1部

2018年3月29日
Bart Cobert

医薬品安全監視、医薬品安全性および規制関連業務に関する執筆者・専門家

データセキュリティと保護、第1部

 

インターネットの誕生、そしてあらゆるモノ、あらゆる人に関する膨大なデータのデータベース化によって、データセキュリティ、保護、ハッキング、プライバシーは、重要な問題になっています。

ここでは、HIPAAと現行のEUシステム、そして医薬品の安全性や医薬安全監視(PV)に対する影響について簡単に振り返りたいと思います。EUの状況は、1996年から2016年まで有効だったシステムに代わって新しいシステムが登場したため、非常に複雑になっています。今回の記事では、米国のシステムと以前のEUのシステムを振り返り、次回の記事で、新しいUS-EUプライバシーシールドシステムを取り上げます。特に、医薬品の安全性とPVに対する影響を中心に解説します。

 

HIPAA

米国の現行法は、1996年に制定された医療保険の相互運用性と説明責任に関する法律(HIPAA:Health Insurance Portability and Accountability Act)です。これは、さまざまな領域を対象とする膨大な文書です。プライバシーとセキュリティに関する重要点として、以下が挙げられます。

  • 医療従事者や医療保険は、患者の医療情報をどのように使用、保存、開示することができるかについて、明確な書面での説明を患者に提供することが義務付けられます。

コメント:これは、企業や組織から定期的に送られてくる4ページの文書で、それぞれのプライバシー方針が説明されています。これらの文書が明確で利用しやすく、読んで理解できるかは、また別の問題です。

  • 患者が自分の医療記録にアクセスできることを保証します。患者は、自分の医療記録を確認し、その写しを受領し、変更や修正を要求できるようでなくてはなりません。
  • 情報の公表について患者の同意を得ます。さらに、第三者によるマーケティング目的のために情報を開示するなど、他の用途のためには、具体的に患者の同意書を取得することが必要です(製薬会社など)。
  • 同意を強制してはいけません。
  • プライバシー保護が違反された場合の対策を提供します。
  • 最小限必要量の情報を提供します。情報の開示は、開示の目的に必要な最小限に限定しなければなりません。
  • 書面の個人情報保護手順を導入します。
  • 従業員を訓練し、個人情報保護責任者を指名します。
  • 患者が自分の記録のプライバシーに関して問い合わせや苦情を申し立てるための苦情受付プロセスを確立します。
  • 順守を怠ると、罰金および懲役を含む、民事または刑事処罰に至る可能性があります。

 

米国食品医薬品局(FDA)は2005年に発行したガイダンスで、「安全性データの作成中およびリスク最小化行動計画の開発中に患者および患者のプライバシーを保護することは、極めて重要である。リスク評価およびリスク最小化のあらゆる活動中に、資金提供者は、ヒト被験者調査および患者プライバシーに関わる適用規制要件に従わなければならない」と言及しています。

これは現在、ロシアによる選挙干渉、フェイスブックによる5,000万人のユーザーデータの提供、大手医療機関のハッキングなど、論争の的になっている話題です。これがどのように展開するか、まだわかりません。

 

DSおよびPVに対する影響

FDAは、HIPAAが医薬品の安全性に関する問題の報告を妨げるものではないとし、「プライバシー規則は、その対象となる組織が、FDAが規制する製品の有害事象、およびその他品質、有効性、安全性に関する情報を製造業者および直接FDAの両方に報告することを明確に許可する」と言及しています。

このために、医薬品の安全性とPVに関して、製薬会社と規制当局がプロセスを変更することになりました。データベースに入力される安全性データは、有害事象を含めて、匿名化するか、または個人を特定できるデータはデータベースの限定領域に保存し、これにアクセスできる個人も限定されます。

SAEおよび他の安全性に関する問題をFDAに報告(E2B、MedWatch/CIOMSフォーム)する際、患者、そしてしばしば報告者についても、大部分が匿名になっています。匿名にするということは、患者の特定につながり得るデータがすべて公表されないことを意味します。このデータとして、氏名、連絡先、生年月日(年齢は除く)、具体的な病院名、入院の日付などが挙げられます。これは、ほぼ20年近く実施され、医薬品の安全性および医薬品安全監視において重大な問題はこれまで発生していませんが、追跡調査の情報を得ることが困難になる可能性はあります。また一般に、患者がMedWatchフォームへの変更を要求することは多くありません。FDAは、このシステムを受け入れています。ただし、匿名化された情報の詳細を取得するために法廷に持ち込まれたことがあります。

 

欧州連合

ところが、欧州連合には、患者のプライバシーとデータセキュリティを保護するために、もっと厳しい法律が現在も存在し、そして過去にも存在していました。最初の1995年の安全指令(95/46)は廃止されています。新しい指令(Directive (EU) 2016/680)は2016年4月27日に発効され、犯罪行為の防止、捜査、取り調べ、または起訴を目的として所轄官庁による個人データの処理に係わる個人の保護、および当該データの自由な移動に関する指令で、Council Framework Decision 2008/977/JHAを廃止しています。

さらに、新たな規制として、Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data(個人データの処理に係る個人の保護及び当該データの自由な移動に関する2016年4月27日付け欧州議会と理事会の欧州共同体2016年679号規則)が導入され、Directive 95/46/EC(一般データ保護規則)を廃止しています。

EUにおけるデータプライバシー要件はこちらに要約されています。

 

データ処理

EUの法律は、最初のシステムと新しいシステムの両方で、HIPAAよりもかなり範囲が広く、人種、政治的および宗教的見解、労働組合加入、遺伝情報などを含む、あらゆる種類の個人情報を対象とします。これらの法律は、EUが見なす情報の「処理」に関わり、収集、記録、組織、保管変更、検索開示、普及などに関する操作すべてを対象とします。

個人データの処理は、以下の場合を除き、EUでは禁止されています。

  • 個人が同意を与えている
  • 処理は、法的義務を満たすために必要である
  • 処理は、その個人の重大利益を保護するために必要である
  • 処理は、公益のタスクを履行するために必要である
  • 「処理は、予防医学または職業的医学を目的として、従業員の作業能力の評価、医学的診断、医療または公的介護または治療の対策あるいは医療または公的介護体制およびサービスの管理のために、連合または加盟国の法律に基づいてあるいは医療従事者との契約に準じて…」
  • 「処理は、特定の職業的守秘において、データ被験者の権利および自由を守るために適切かつ具体的な対策を規定する、連合または加盟国の法律に基づいて、健康に対する国境を越えた深刻な脅威から保護する、あるいは医療および医薬品または医療機器の高水準の品質および安全性を保証するなど、公衆衛生分野の公益の理由のために必要である」

個人は、自分自身について処理されたデータのすべてを確認する権利、ならびに誤ったデータまたは不完全なデータを変更および修正する権利を有します。データは、収集される目的に応じて正確かつ最新でなければならず、必要以上の情報を含んではならず、必要以上に長期間にわたって保存されてはいけません。個人は、ダイレクトマーケティングのために個人データの処理に対していつでも異議を表明することができます。

個人は、「消去する権利」または「忘れられる権利」を有します。つまり、その個人は、保存されることが必要なくなった場合、同意を撤回した場合、またはデータが違法に処理された場合、そのデータが消去(削除)されることを要求できます。処理は、その個人が正確性に異議を唱える場合、制限されます。EU加盟各国は、データプライバシーを監視するために監督機関を設置しなければなりません。

 

データの移転

データは、第三国でのデータ保護のレベルが不十分である場合、その第三国へ移動することはできません。すなわち、EUのデータ保護は、データがEUを離れる場合であっても、そのデータに付随します。

米国について、欧州委員会は、米国には十分なレベルのデータ保護がないと判断しているため、十分な保護を保証する規定が設けられない限り、データを米国に移動することは認められません。データはほとんどの場合、極めて自由に世界中を移動し、金融、商取引、犯罪捜査、そしてもちろん、医薬品の安全性やPVのために必要であるため、米国へのデータの移動を停止することは明らかに、現実的に実行可能でありません。

これを解決するために、以前のEUデータ保護要件の下で、米国商務省はEUと協力して、「セーフハーバー」システムを設けました。これによって、企業は、EUからデータを移動するために、EUの要件を満たす方針を設定することになりました。

セーフハーバーの下で、企業は、匿名化されていないデータへアクセスする社員を制限する、より厳密なSOPを策定しました。場合によっては、個人的詳細データはEUに残され、EUで匿名化が実行されました。場合によっては、個人的詳細が安全性データベースに入力されても、EUで別のファイル(または紙の記録)に保存され、そのために、米国の社員がアクセスできないこともありました。民間の安全性データベースおよび「電子症例報告書」データベースは、匿名性を維持するために、特定の個人が確認可能なフィールドを制限するメカニズムを開発しました。これは、臨床試験および市販後の症例の両方に適用されました。大部分は成功し、データの移動は継続しました。

 

上記のように、EUの裁判所は以前のシステムが合法ではないとの判決を下し、セーフハーバーシステムは終了し、代替のシステムが2016/17年に短時間で策定されました。セーフハーバーシステムに代わって、EU-USプライバシーシールドシステムが設置されました。この新しいシステムについては、次回の記事で詳細を検討します。

 

 

タグ: