GDPRは医療データをどのように扱いますか？

GDPRは、健康に関するデータを、適法性、目的制限、データ最小化、説明責任といった一般的な原則に加えて、適法な処理のための追加条件の対象となる特別カテゴリとして分類し、個人に自身のデータに対する強制力のある権利を付与しています。

国境を越えた医療データの共有が複雑なのはなぜですか？

管轄区域は医療データを異なる方法で保護し、個人データを海外に移転する際に独自の条件を課しています。したがって、国境を越えた共有は、十分性認定や契約上の保護措置などのメカニズムに依存し、組織は複数の法制度を調和させる必要があります。これは一般的な要約ではなく、現在の法律によって決定されます。

国際的な医療データ規制とガバナンス

国際的な医療データ規制とガバナンスは、医療情報を保護する国および地域の法律の集合体と、国境を越えてその情報を説明責任のある形で利用することを可能にする制度的取り決めに関わるものです。医療データが医療、研究、および管轄区域をまたがる分析のために共有されることが増えるにつれて、組織は、特にEU一般データ保護規則と米国の分野別枠組みといった異なる法制度を調和させ、権利、リスク、および説明責任を管理するためのガバナンス構造を確立する必要があります。

PaperMindでテーマを探す近日公開Find papers & topics

Tools & resources

スライドをダウンロード

Learn & explore

動画近日公開

Definition

国際的な医療データ規制とガバナンスとは、異なる管轄区域間での医療情報の収集、利用、共有、および国境を越えた移転を規定する法律、原則、および制度的取り決め、ならびにそのような取り扱いが合法的、透明性があり、信頼できるものであることを保証する説明責任構造の総体です。

Scope

この項目では、主要な規制モデルとその違い（包括的アプローチと分野別アプローチ）、機微なカテゴリとして医療データが通常受ける特別な扱い、国境を越えた移転に関する法的根拠と制約、および人工知能などの新しい用途を含むこれらの規則を運用するためのガバナンスメカニズム（監督機関、説明責任、透明性）について概観します。これは、状況と概念に関する参照および教育資料であり、特定の管轄区域や移転に関する法的助言やコンプライアンスの判断ではありません。

Core questions

データ保護における包括的アプローチと分野別アプローチはどのように異なりますか？
医療データが通常、特別でより保護されたカテゴリとして扱われるのはなぜですか？
国境を越えて医療データを移転する際に、どのような法的根拠と保護措置が適用されますか？
医療データの責任ある利用を支えるガバナンス構造にはどのようなものがありますか？
ガバナンスフレームワークは、人工知能のようなデータ集約型利用にどのように適応していますか？

Key concepts

包括的規制と分野別規制
特別カテゴリ（機微な）データ
処理の適法な根拠と同意
データ主体の権利
国境を越えた移転メカニズムと十分性
データ最小化と目的制限
説明責任と設計によるデータ保護
データガバナンスと監督

Mechanisms

管轄区域は、対照的な戦略を通じて医療データを規制しています。EU一般データ保護規則のような包括的な制度は、適法性、目的制限、データ最小化、説明責任を含む一般的なデータ保護原則をすべての個人データに適用し、個人に強制力のある権利を付与するとともに、医療データをより厳格な条件の対象となる特別なカテゴリとして扱います（Cornock, 2018）。米国の分野別制度は特定の領域を規制し、HIPAAは特定の医療関係者を対象とし、他の規則は他の分野を対象としています（Nass et al., 2009）。データが国境を越える場合、移転メカニズム（十分性認定や契約上の保護措置など）が、そのデータがどのように移動できるかを決定します。法令を超えて、ガバナンス構造、監督機関、透明性義務、および説明責任要件が原則を実践に移します。これらは、人工知能のようなデータ集約型アプリケーションにもますます拡大されており、提案されているガバナンスモデルは公平性、透明性、および監督を重視しています（Reddy et al., 2020）。

Clinical relevance

各国の制度間の違いは、医療システムや研究者がケアの調整、多施設研究、分析のために国際的にデータを共有できるかどうか、またその方法に影響を与え、ガバナンスの取り決めは、そのような共有が依存する信頼を形成します。この項目は、参照および教育のために規制の状況とガバナンスの概念を説明するものであり、法的助言ではなく、特定の組織、移転、または管轄区域のコンプライアンスを決定するものではありません。

Evidence & guidelines

主要な権限は、規制文書自体、特に規則 (EU) 2016/679 (GDPR) および米国におけるHIPAAと関連する分野別規則にあります。解説は、研究と実践への影響を説明し（Cornock, 2018; Nass et al., 2009）、新たなガバナンスモデルは人工知能のような新しいアプリケーションに対応しています（Reddy et al., 2020）。制度は管轄区域によって異なり、定期的に改訂されるため、特定の決定には最新の公式法源と資格のある弁護士が必要です。

History

現代のデータ保護法は、1970年代および1980年代に明確化された原則、特にOECDプライバシーガイドラインから発展し、後の法令に影響を与えました。ヨーロッパは1995年のデータ保護指令で包括的なアプローチを法典化し、2018年には一般データ保護規則に置き換えられ、個人の権利と域外適用範囲を強化しました（Cornock, 2018）。米国は代わりに分野別枠組みを発展させ、HIPAAが医療情報を特に扱いました（Nass et al., 2009）。データの流れがグローバル化し、分析が進歩するにつれて、ガバナンスに関する議論は国境を越えた移転と人工知能の責任ある利用をカバーするように拡大しました（Reddy et al., 2020）。

Debates

医療データの包括的規制と分野別規制: 包括的な制度は、すべての個人データに統一された原則を適用し、医療データを保護された特別カテゴリとして扱いますが、分野別制度は定義された領域を規制します。どちらのアプローチが強力な保護、明確性、および医療や研究のためにデータを使用する能力のバランスをより良く取るかについては、意見が分かれています。

Seminal works

cornock-2018
nass-2009

Frequently asked questions

GDPRは医療データをどのように扱いますか？: GDPRは、健康に関するデータを、適法性、目的制限、データ最小化、説明責任といった一般的な原則に加えて、適法な処理のための追加条件の対象となる特別カテゴリとして分類し、個人に自身のデータに対する強制力のある権利を付与しています。
国境を越えた医療データの共有が複雑なのはなぜですか？: 管轄区域は医療データを異なる方法で保護し、個人データを海外に移転する際に独自の条件を課しています。したがって、国境を越えた共有は、十分性認定や契約上の保護措置などのメカニズムに依存し、組織は複数の法制度を調和させる必要があります。これは一般的な要約ではなく、現在の法律によって決定されます。