Q&A 治験とデータ保護法令との関係

EMAは、2019年2月に治験データの保護に関してのQ&Aを改訂しました。

Question and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation

EU内では、個人情報の管理に関しては、EU directive;General Data Protection Regulation(GDPR)で保護されている。このため、治験での情報、データは、この上位の法令に従って管理することが求められている。このため、治験のスポンサー。治験責任者・医師は、GDPRをよく理解して、患者の個人情報の保護、保全に当たらなくてはならないため、 EMAはQ&Aの形で、この情報を開示している。

https://ec.europa.eu/health/sites/health/files/files/documents/qa_clinicaltrials_gdpr_en.pdf

 

治験を実施される医薬企業の参考になれば。

 

このQ&Aの重要な項目の要点を纏めると;

Q1。 個人データに関する臨床試験規制の一般的な義務は何ですか?

臨床試験規制(CTR)は、記録の機密性を保護し、適切な技術的および組織的対策を必要としながら、スポンサー/調査担当者が正確に報告、解釈、検証できるようにデータを記録、処理、保存および処理することを要求する特定の措置を強化します。 情報と個人データを保護する(CTR 第56条)。

Q2。臨床試験において個人データ処理の正しい法的根拠を決定する責任は誰にありますか?

説明責任の原則によれば、個人データが以下に従って適切に処理されていることを確認し、証明できるようにするためには、データ管理者(スポンサー/治験施設の治験責任医師)が責任を負います。

Q4。臨床試験規則の意味の範囲内でのインフォームド・コンセントとGDPRの意味の範囲内での同意の違いは何ですか?

CTRによるインフォームド・コンセントの要件は、GDPRの第6条(1)(a)に定められた個人データを処理するための法的根拠としての同意と混同してはなりません。CTRの下でのインフォームド・コンセントは、ある人が臨床試験に参加できる基本的な条件です。データ処理コンプライアンスのための手段としては考えられていません。

Q7。 CTRの第28条(2)の意味とは何ですか?GDPRの範囲内で、臨床試験のプロトコール(二次使用)の範囲外で個人データを使用することの意味は何ですか?

CTRは、将来の科学的目的のためにその臨床試験プロトコール外のその対象に関する個人データの使用について臨床試験の対象から同意が求められる可能性がある状況を明示的に指します(CTRの第28条(2))。匿名でのデータの二次使用は、GDPRの範囲には含まれません。

Q9。 第三国に所在するスポンサーは、EUのデータ保護規則の対象となりますか?

GDPRは、EU内で確立されたコントローラとプロセッサ、および処理活動がEU内のデータ主体への商品またはサービスの提供、またはEUにおけるデータ行動への監視に関連するEU内に確立されていないコントローラとプロセッサに適用されます。

 

詳細は下記を参照願います。

Q1。 個人データに関する臨床試験規制の一般的な義務は何ですか?
臨床試験の目的は、治験薬に関する信頼性の高い堅牢なデータを集めることです。 この基本原則は、臨床試験規制(CTR)の第3条(b)に規定されています。
この基本原則から、スポンサー/治験責任医師は承認されたプロトコールおよびGCPに従う義務を負う(CTRの第47条)。
さらにCTRは、記録の機密性を保護し、適切な技術的および組織的対策を必要としながら、スポンサー/調査担当者が正確に報告、解釈、検証できるようにデータを記録、処理、保存および処理することを要求する特定の措置を強化します。 情報と個人データを保護する(CTR 第56条)。

スポンサーは、加盟国のGCP査察官が臨床試験データにアクセスする権利を有するという理解で加盟国の査察(CTRの第78条)の対象となります(指令2005/28 / ECの第24条および第10条(2))。欧州委員会実施規則(EU)2017/556)および後者の規則では、個々の患者の記録である。 
CTRの下で承認された臨床試験プロトコールは、臨床試験の対象者のデータが処理される目的と条件を定義しています。被験者は自分の個人データの処理について適切に通知されること(Q5参照)。
これに加えて、CTRの第93条は、「加盟国はこれに従って加盟国で行われる個人データの処理に指令95/46 / EC(現在はGDPRにより廃止)を適用するものとする」と規定していることに留意しなければならない。 「規則」および「規則(EC)No 45/2001 [規則2018/1725により廃止]は、本規則に従って委員会および当局によって行われる個人データの処理に適用されるものとします」。 GDPRも同様に、臨床試験に適用可能な関連法への言及を明確にしています。その結果、両方の法律が同時に適用されます。

 

Q2。臨床試験において個人データ処理の正しい法的根拠を決定する責任は誰にありますか?

説明責任の原則によれば、個人データが以下に従って適切に処理されていることを確認し、証明できるようにするためには、データ管理者(スポンサー/治験施設の治験責任医師)が責任を負います。データ保護規則(GDPRの第24条)。管理者は、臨床試験の環境下で実行される処理操作がGDPRのすべてのデータ保護規則を遵守していることを確認する必要があります(データ保護原則の尊重、データ主体への処理に関する情報提供、データ保護責任者の任命など)。必要に応じて、実施活動の記録を維持し、個人の権利の行使を促進するなど。以上のことから、管理者(スポンサー/治験施設の治験責任医師)が個人データの処理に関する法的根拠を決定する責任があると考えられます。

質問がある場合は、加盟国に設立されたデータ保護当局(DPA)に相談してください。 1人のデータ管理者による国境を越えた処理については、先行するDPAが一貫性を確保するために関係するすべてのDPAの協力を調整する(GDPRの第56条)。

 

Q3。臨床試験規則に従って実施された臨床試験(一次使用)の環境下において、臨床試験の被験者の個人データを処理するための法的根拠は何ですか?

登録承認のデータを含む、試験の開始からアーカイブ期間の終了時の削除までのライフサイクル全体における特定の臨床試験プロトコールに関連するすべての処理操作は、臨床試験データの主な用途として理解されるものとします。臨床試験データのこのような「一次使用」に関連するすべての処理操作が同じ目的を追求し、同じ法的根拠に該当するわけではありません。CTRの全体的な目的は、安全性を確保することによって医薬品の高品質と安全性を設定しながら、出発点として高いレベルの健康保護を取って、臨床試験とヒト用医薬品に関して調和のとれた国内市場を実現することです。臨床試験で得られたデータは信頼性があり、頑強である。GDPRの全体的な目的は、自然人の基本的権利と自由、特に個人データ保護の権利を保護することです。透明性の理由から、個人データの保護はデータ管理者の決定の中心にあること。特に、純粋に研究活動に関連する処理作業は、信頼性のある堅牢なデータを生成することによって医薬品の品質と安全性の基準を設定しながら、健康の保護の目的に関連する処理作業と区別されなければならない。処理作業のこれら2つの主なカテゴリーは、異なる法的根拠に分類されます。

 

  • 信頼性・安全性に関する処理

 

業務管理者が対象とする法的義務を遵守するために必要な処理業務は、GDPRの第6条(1)(c)に基づいて十分な証拠を示す場合があります。治験依頼者および/または治験責任医師が受ける法的義務は、CTRおよび関連するEU法および国内規定によって明示的に提供される場合があります。これは、例えば、CTRの第41条から第43条に基づく安全報告の履行に関する義務、ならびに臨床試験マスターファイルのアーカイブ化に関する義務(CTR第58条によると25年)および医療関係者の場合に特に当てはまる。主題のファイル(これは同じ規定に従って国内法により決定される)。関連する国内規則に従って査察中に国内管轄当局に臨床試験データを開示する場合も同様です(CTR第78条参照)。これらの義務の環境下における特別なカテゴリーのデータの合法的な処理のための対応する適切な条件は、第9条(2)(i)でなければならない:「次のような公衆衛生の分野における公益のために処理が必要である。 特にデータ主体の権利と自由を保護するための適切かつ具体的な措置を規定した、EUまたは加盟国の法律に基づいてプロとしての秘密保持、健康管理および医薬品または医療機器の高品質および安全性を確保すること。

2.純粋に研究活動に関連する処理操作

しかしながら、臨床試験の環境下における研究活動に純粋に関連する処理作業は、法的義務から派生することはできません。 欧州データ保護委員会(EDPB)によると、個人データの処理は法的に認められ、特定の臨床試験に付随する全体的な状況に応じて、3つの法的根拠の1つに該当します。

–  GDPRの第9条(2)、(i)または(j)に関連して第6条(1)(e)に基づく公益のもとで行われる業務。 または

–  GDPRの第9条(2)(j)と共に第6条(1)(f)に基づく管理者の合法的な利益。 または

– 特定の状況下では、すべての条件が満たされたとき、GDPRの第6条(1)(a)および第9条(2)(a)に基づくデータ主体の明示的な同意。

2.1公益性

第6条(1)(e)は、EUまたは国内法に基づき、公益のために行われる業務の遂行のためにそのような処理が必要な場合に、個人データの処理を許可します。治験規制は、承認された治験プロトコールに概説されている目的のために公益で行われるタスクの実行に必要な特定の処理活動を法律この場合、EUの一般公益を守るために公衆衛生で定義しています。したがって、そのような場合、EU法は臨床試験の環境下で収集された個人データの処理のための法的根拠を提供します。臨床試験の環境下における個人データの処理は、臨床試験の実施がEU/各国法による公的または私的組織に付与された任務、任務および任務に直接含まれる場合、公益のために遂行された任務の遂行に必要であると考えることができる。第6条に基づいて特定された法的根拠は、GDPRの第9条に基づく特別なカテゴリーのデータを処理するための条件で補足されるものとする。臨床試験の特定の状況および上記のように使用される法的根拠に応じて、純粋に研究目的のための機密データのすべての処理操作に対する適切な第9条条件は、「公衆衛生の分野における公益の理由」であり得る。 ..]「EUまたは加盟国の法律に基づく」(第9条(2)(i))、または「EUまたは加盟国の法律に基づく第89条(1)に基づく科学的目的」(第9条(2)(j))。

2.2正当な利益

臨床試験の実施が法律により管轄官庁に帰属する公益業務の遂行に必要であると見なすことができない他の状況では、個人データの処理は「管轄官庁が追求する正当な利益のために必要である。 GDPR第6条(1)(f)の後に、そのような利益が利益またはデータ主体の基本的権利および自由によって無効にされる場合を除き、第三者による。

 

2.3同意

GDPRの下では、同意は自由に与えられ、具体的に、情報を与えられ、明白でなければならず、そして同意が健康データのような特別なカテゴリーのデータを処理する正当性として使われる場合、同意は明示的でなければならない(Article 9(2) (a) GDPR)データ管理者は、「自由に与えられる」同意の条件に特に注意を払うこと。同意に関するワーキングパーティー29ガイドラインに述べられているように、この要素はデータ主体のための本当の選択と管理を意味します。その上、同意は、データ主体と管理者の間に明らかな不均衡がある特定の場合に個人データの処理のための有効な法的根拠を提供するべきではありません。臨床試験の状況によっては、治験依頼者/治験責任医師と参加者との間で権力の不均衡が生じる可能性があります。 CTRはこれらのリスクに明示的に対処し、潜在的な対象が経済的または社会的に不利な立場にある集団に属しているのか、あるいは不適切に影響;すなわち参加する決定を及ぼしうる制度的または階層的依存の状況にあるのかに関係なく、すべての関連状況を考慮する必要があります。作業部会の同意に関するガイドライン29で説明されているように、ほとんどの場合、同意は適切な法的根拠とはならず、同意以外の法的根拠に頼る必要があります(上記の代替法的根拠を参照)。

 

Q4。臨床試験規則の意味の範囲内でのインフォームド・コンセントとGDPRの意味の範囲内での同意の違いは何ですか?

CTRによるインフォームド・コンセントの要件は、GDPRの第6条(1)(a)に定められた個人データを処理するための法的根拠としての同意と混同してはなりません。臨床試験規制には、個人データの処理方法に関する特定の側面を規定した条項がいくつか含まれています。その規則によって要求されるインフォームド・コンセントは倫理的基準および手続き上の義務として役立ちます。 CTRの下でのインフォームド・コンセントは、ある人が臨床試験に参加できる基本的な条件です。データ処理コンプライアンスのための手段としては考えられていません。CTRの環境下では、インフォームド・コンセントは安全対策であり、データ処理の法的根拠ではありません。したがって、被験者がCTに参加するための同意の要件とGDPRに基づく個人データの合法的な処理の要件とを区別することが重要です(Q&A 3を参照)。

 

Q5。 臨床試験に参加している被験者に与えられるべき情報に関するGDPRの要件をどのように理解するか?

臨床試験に参加した人は誰でも、CTRが要求する臨床試験に関連する関連情報、ならびにGDPRの第13条に従った情報、特にデータ処理の法的根拠を入手する必要があります(Q&A 3参照)。

 

Q6。 臨床試験規則に基づく臨床試験への参加の同意の撤回の法的結果は何ですか?

CTRの第28条(3)は、臨床試験に参加するためのインフォームド・コンセントの撤回は、すでに行われた活動およびその撤回前のインフォームド・コンセントに基づいて得られたデータの使用に影響を及ぼさないと述べている。 臨床試験への参加に対する同意は、その臨床試験の環境下における個人データの処理に対する同意とは区別されなければなりません(Q&A 4参照)。

CTRに基づく臨床試験への参加の同意の撤回は、必ずしもその試験の環境下で収集された個人データの処理に影響を与えるとは限りません。 GDPRに基づくそのような処理のための適切な法的根拠がある場合、個人データは引き続き処理される可能性があります。そのような場合、撤回前に集められたその人の個人データは、目的のために、そしてプロトコールと法律によって定義された条件のために保管されるものとします。例えば、重篤な副作用が患者に発生した場合、治験依頼者は(GDPRの管理者第6条(1)cの法的義務に基づいて)データを国内管轄当局に報告することによりデータを処理する権利を有します。第9条第2項の規定による。GDPRの下で、同意が処理の合法的根拠として使用される場合(第6条(1)a)、個人がいつでもその同意を取り下げる可能性がなければならず(第7条(3))、例外はない一般的な規則として、GDPRに基づくデータ処理に対する同意が撤回された場合、同意に基づくすべてのデータ処理操作はGDPRに従って合法的なままである(第7条(3)) ;しかしながら、管轄官庁は当該処理行為を停止し、更なる処理のための保存を十分な証拠を示す根拠が他にない場合は、管轄官によってデータが削除されるべきである(第17条(1)(b)及び(3)GDPR参照)。 GDPRに基づく同意に基づいて個人データが処理される場合、CTRに基づく同意の撤回が試験活動への参加にのみ関連するのか、それとも処理への同意も撤回するのかを試験担当者が判断するのが適切です。彼らのデータの。しかし、CTRに基づく同意の撤回は、他の合法的な理由、特に安全性の目的に関連するもののようなスポンサー/調査者が対象とする法的義務に基づく処理業務には影響しません。

 

Q7。 CTRの第28条(2)の意味とは何ですか?GDPRの範囲内で、臨床試験のプロトコール(二次使用)の範囲外で個人データを使用することの意味は何ですか?

CTRは、将来の科学的目的のためにその臨床試験プロトコール外のその対象に関する個人データの使用について臨床試験の対象から同意が求められる可能性がある状況を明示的に指します(CTRの第28条(2))。匿名でのデータの二次使用は、GDPRの範囲には含まれません。これとは対照的に、CTプロトコールの外で個人的な(偽名を含む)データを処理する場合、以下のことを考慮しなければならない:治験依頼者/治験責任医師が、臨床試験プロトコールで定義された以外の目的で収集された個人データを使用したい場合(例えば、新しいバイオマーカーの特定を目的とする試験の実施に使用された乳がんの臨床試験実施のために収集された医療データ)しかし、それは臨床試験プロトコールでは予測されていませんでしたが、それはGDPR16の第6条に基づく有効な法的根拠を必要とします(法的根拠については質問3を参照)。選択された法的根拠は、主な用途の法的根拠と異なる場合もあれば、そうでない場合もあります。

GDPRの第5条(1)(b)については、目的のために更なる処理が行われる場合には、第89条(1)GDPRに規定された条件に従って、目的の適合性の仮定を提供しなければならない。科学研究。いずれにせよ、適合性の推定が適用されることが判明したとしても、臨床試験のプロトコール外のデータを利用する科学研究は、関連する法的根拠およびデータ保護法の他の関連する適用可能な規定に従って行われなければならない。第28条(2)CTRに記載のとおり。したがって、管理者は、データの公正性、合法性、必要性、比例性、データ品質など、データ保護法に基づく他の義務を免除されません。同意(GDPRの第6条(1)(a))が、二次利用のための個人データの処理の法的根拠として使用されることが求められている場合、以下の考慮が考慮されること。

–  GDPRは、個人データを特定の明示的かつ合法的な目的のために収集し、それらの目的と両立しない方法でさらに処理しないことを要求しています。科学的研究目的のためのさらなる処理は、第89条(1)に従って、当初の目的と両立しないと見なされてはならない(第5条(1)(b))。

–  GDPRの第4条(11)に従い、データ主体の同意とは、声明または明確な肯定的行為によって、データ主体の希望を自由に与えられた、具体的な、情報に基づいた、そして明白な指示を意味する。彼または彼女に関連する個人データの処理への同意。

–  GDPR第7条(3)に従い、個人は臨床試験の実施中いつでも同意を取り下げる権利を有する。臨床試験に参加することに同意する前に、データ被験者にこの情報を与えてください。

– 科学研究の目的で個人データを処理することの同意に関しては、GDPRの詳説33にさらに明確にされている。「データの時点で科学研究目的のための個人データ処理の目的を完全に特定することはしばしば不可能である。したがって、データ主体は、科学研究のための認められた倫理基準に沿っている場合、科学研究の特定の分野に同意を与えることを許可されるべきである。意図した目的によって許される範囲でプロジェクトを実行する」

– 詳説は、同意の指定の程度にある程度の柔軟性をもたらし、目的をより一般的なレベルで記述できるようにします。それでも、それは厳密な方法で解釈されなければならず、高度な精査を必要とします。詳説の柔軟性にもかかわらず、特定の同意の要求に関する義務は依然として適用されることに注意すべきである33。これは、原則として、科学研究プロジェクトが同意に基づいて個人データを含めることができる場合に限られる。説明された目的。

– したがって、治験依頼者は、すでに臨床試験の最初の段階(最初の使用)で二次使用のために被験者の同意を求めることができます。ここで、この形式の同意は、CTRの環境下においてインフォームド・コンセントと厳密に区別されなければならないことに注意することが重要です。スポンサーは、二次的使用の範囲内でのデータ処理の同意を(異なる同意シートを使用して)別々に求めなければならず、そしてこの使用の特定の研究目的を示さなければならない。

– 他方で、臨床試験が完了した後にCTのプロトコール外のさらなる研究のためにデータを使用する目的が生じた場合、スポンサーは具体的な同意のためにデータ主体に戻らなければならない。

– いかなる場合でも、スポンサー/調査官はGDPRの第13条に従って対象に通知しなければなりません(例えば法的根拠と同意を取り下げる権利)(Q&A5参照)。

 

Q8。緊急臨床試験における個人データの処理(CTRの第35条)

CTRの第35条の厳格な条件が満たされると、対象は緊急事態の場合に例外的に事前のインフォームド・コンセントなしに臨床試験に登録することができます。介入後、被験者を臨床試験で維持するために、できるだけ早く被験者またはその法定代理人にインフォームド・コンセントを求めること。主題/法定代理人が同意を確認しない場合、主題の参加を続けることはできません。被験者の事前のインフォームド・コンセントは追加の保護手段であり、データ保護の観点からの処理の法的根拠ではないため、緊急臨床試験の環境下における個人データの処理の法的根拠は、引き続き公の利益のために追求されていますGDPRの6(1)(e)、またはGDPRの6(1)(f)項に定める正当な利益。さらに、臨床試験規則第28条の意味における同意がない場合に、人に治療を提供し、その結果を記録するために必要な初期処理もまた、臨床試験規則の重大な利益の理由で十分な証拠を示すことが出来る。データ主体(GDPRの第6条(1)(d)および第9条(2)(c)に関連したCTRの第35条)。裁判への参加がその人またはその法定代理人による事後のインフォームド・コンセントによって確認されない場合のCTR第35条(3)に照らして、その人または法定代理人は権利を通知されるべきである最初に収集したデータを使用することを反対する。本人が試験への参加を確認した場合は、その試験の目的のためにデータをさらに処理することができます。同意が確認または拒否される前にデータ対象者が死亡した場合、そのデータの処理はGDPRの対象外となり、処理の条件は国内法によって決定される可能性があります。

 

Q9。 第三国に所在するスポンサーは、EUのデータ保護規則の対象となりますか?

GDPRは、EU内で確立されたコントローラとプロセッサ、および処理活動がEU内のデータ主体への商品またはサービスの提供、またはEUにおけるデータ行動への監視に関連するEU内に確立されていないコントローラとプロセッサに適用されます。 EU(第3条GDPR) 臨床試験の管理の環境下を含めて、スポンサーがこれらの目的に関連するEU内のデータ主体の個人データを処理する場合、GDPRは、EU内の代表を指名する義務を含め、完全に適用されます(GDPR第27条)

 

Q10。 EU外へのデータ転送にはどのような規則が適用されますか?

EU外の主体(例えば、第三国の管理者、加工業者、その他の受領者、または国際機関)に個人データを転送するEU内の主体は、国際的な転送に関する規則(GDPRの第5章)を遵守する必要があります。 GDPRは、すでに指令95/46の下に存在していた(そして20年以上にわたって導入されてきた)規則を変更していませんが、既存の移動手段を使用する可能性を広げ、新しい移動ツールを導入しました。これにより、EU組織は特定の状況に最も適したアプローチを採用することができます。状況に応じて、移転は、例えば、適切な決定に基づいて(すなわち、委員会が第三国または国際機関が適切なレベルの保護を保証すると決定した場合)、以下を含む合意または取り決めに基づいて行うことが出来る。適切なデータ保護対策(GDPR第46条)、またはGDPR第49条にリストされている特例のうちの1つに基づくもの(例えば公共の利益の重要な理由による)。

 

Q11。治験指令の下で承認された治験の場合、スポンサーはどのように進めるべきですか?治験規則が適用されるまで治験指令の下で承認のために提出される新たな治験申請については、治験依頼者は、治験指令を転置するそれぞれの国内法に照らして規則に従うべきである。CTDの下で承認された臨床試験で、すでに治験依頼者が進行中の場合は、以下の点を考慮する必要があります。

– 法的根拠:

指令2001/20 / ECに基づいて承認された、進行中の臨床試験における個人データの処理に関する法的根拠は、GDPRの適用開始の影響を受けません。臨床試験の被験者がその臨床試験の目的のためにデータ処理の同意を求められた場合、これを他の法的根拠に変更することはできません。同意は、GDPRの下でこれらの個人データを処理するための法的根拠のままです。法的根拠が公益である場合、この法的根拠は変わりません。

–  GDPRの第13条および第14条に照らして、スポンサーは、必要に応じて、進行中の臨床試験に参加しているデータ主体に追加の情報を提供する必要があります。

臨床試験の参加者に最初に提供された情報に応じて、いくつかの追加情報が必要になるかもしれません。データ主体に提供される情報に関する要件は、GDPRの第13条および第14条に明確にされています。データの処理に関する法的根拠とは無関係に、データ主体に与えられる情報の更新が必要な場合があります。 GDPRが要求する情報はできるだけ早く提供されること。

– 再同意:

GDPRは、第4条(11)および第7条、ならびに詳説32、33、42および43における同意の要件を明確にしています。臨床試験において個人データ処理の最初の法的根拠として同意が選択された場合、データ管理者は、最初の同意がGDPRの要件を満たしているかどうかを評価する必要があります。そうでない場合は、再同意が必要になることがあります。データ管理者は、その試験の環境下でデータがまだ処理されている個人データ主体に関してこれらの措置が必要かどうかを検討する必要があります(その人がまだ治験薬を投与されているのか、あるいは彼/彼女が治験の追跡調査段階にあるかは関係ありません。)。

 

その他の情報

詳細については、加盟国に設立されたデータ保護当局にお問い合わせください。