3 規制フレームワーク

3.1 法的基盤

事実：EHDS規則（EU 2025/327）は、既存のEU規制（GDPR、医療機器規則等）を基盤として、医療データ特有の規定を追加した包括的な法的枠組みである。欧州官報（Official Journal L 76/1）への掲載（2025年3月5日）から20日後の2025年3月26日に発効し、段階的実装が進行中である[1]。Arnold & Porterの分析によると、この規則は「欧州の医療データエコシステムにおける画期的な転換点」とされている[2]。

3.1.1 主要な規制要素

規制項目	内容	日本での対応状況	出典
データポータビリティ	患者による自己データの完全なコントロール	部分的対応	[1]
越境データ移転	EU域内での自由なデータ流通	未整備	[1]
二次利用規定	研究目的での利用に関する明確なルール	検討中	[1]
セキュリティ要件	高度な暗号化と監査証跡の義務化	一部対応	[1], [3]

考察：日本の現行制度はEHDSの要求水準に達していない領域が多く、特に越境データ移転と二次利用規定の整備が急務である。

3.2 データガバナンス体制

事実：EHDSのガバナンスは3層構造で実装される[4]：

EU レベル: 欧州健康データスペース委員会（EHDS Board）- 2025年6月設立予定
国家レベル: 各国の健康データ当局 - 2027年3月までに設置義務
地域レベル: 地域健康データアクセスポイント - 2029年3月までに運用開始

3.2.1 罰則規定

Warning

重要：違反時は最大2000万ユーロまたは年間売上高の4%の制裁金が科される[5]。

考察：この厳格なガバナンス体制と高額な罰則は、データ保護の実効性を担保する仕組みとして機能することが期待される。

3.3 患者の権利

3.3.1 データへのアクセス権

患者は以下の権利を有する：

即時アクセス: 自己の健康データへの無料アクセス
データポータビリティ: 標準形式でのデータ取得
修正権: 誤ったデータの訂正要求
削除権: 特定条件下でのデータ削除（忘れられる権利）

3.3.2 データ共有のコントロール

flowchart LR
    A[患者] --> B{同意管理}
    B --> C[一次利用同意]
    B --> D[二次利用同意]
    C --> E[医療従事者アクセス]
    D --> F[研究目的利用]
    D --> G[政策立案利用]
    F --> H[匿名化処理]
    G --> H

患者データ共有の同意フロー

3.4 禁止される利用目的

EHDSでは、以下の目的での健康データ利用が明確に禁止されている：

禁止事項

保険料の引き上げや保険加入の拒否
雇用における差別的取り扱い
マーケティング目的での個人への直接的なアプローチ
有害な製品・サービスの開発

3.5 各国の実装義務

3.5.1 必須要件（2027年3月まで）

国家健康データ当局の設置
- 独立性の確保
- 十分な予算と人員の配置
- 技術的専門性の確保
データ品質基準の策定
- データの完全性
- 正確性の確保
- 相互運用性の保証
セキュアプロセッシング環境の構築
- 暗号化技術の実装
- アクセス制御の強化
- 監査ログの完備

3.5.2 推奨要件（2029年3月まで）

オプトアウトシステムの導入検討
市民向け啓発プログラムの実施
医療従事者向け研修の実施

3.6 第三国との関係

事実：EHDSは、十分性認定を受けた第三国とのデータ交換を可能にする枠組みを含んでいる[6]。

3.6.1 日本への影響

日本がEU市場で医療関連ビジネスを展開する場合：

EHDS準拠の必要性
- 技術標準への適合
- セキュリティ要件の充足
- ガバナンス体制の整備
相互運用性の確保
- FHIR標準の採用
- 用語・コード体系の統一
- API仕様の共通化
認証取得
- EU認定機関による審査
- 定期的な監査への対応
- 継続的な改善の実施

--- title: "規制フレームワーク" --- ## 法的基盤 ::: {.fact} **事実**：EHDS規則（EU 2025/327）は、既存のEU規制（GDPR、医療機器規則等）を基盤として、医療データ特有の規定を追加した包括的な法的枠組みである。欧州官報（Official Journal L 76/1）への掲載（2025年3月5日）から20日後の2025年3月26日に発効し、段階的実装が進行中である[@EU2025]。Arnold & Porterの分析によると、この規則は「欧州の医療データエコシステムにおける画期的な転換点」とされている[@Arnold2025]。 ::: ### 主要な規制要素 | 規制項目 | 内容 | 日本での対応状況 | 出典 | |---------|------|----------------|------| | データポータビリティ | 患者による自己データの完全なコントロール | 部分的対応 | [@EU2025] | | 越境データ移転 | EU域内での自由なデータ流通 | 未整備 | [@EU2025] | | 二次利用規定 | 研究目的での利用に関する明確なルール | 検討中 | [@EU2025] | | セキュリティ要件 | 高度な暗号化と監査証跡の義務化 | 一部対応 | [@EU2025; @ENISA2022] | : {tbl-colwidths="[20,40,20,20]"} ::: {.analysis} **考察**：日本の現行制度はEHDSの要求水準に達していない領域が多く、特に越境データ移転と二次利用規定の整備が急務である。 ::: ## データガバナンス体制 ::: {.fact} **事実**：EHDSのガバナンスは3層構造で実装される[@EHDS2025governance]： 1. **EU レベル**: 欧州健康データスペース委員会（EHDS Board）- 2025年6月設立予定 2. **国家レベル**: 各国の健康データ当局 - 2027年3月までに設置義務 3. **地域レベル**: 地域健康データアクセスポイント - 2029年3月までに運用開始 ::: ### 罰則規定 ::: {.callout-warning} **重要**：違反時は最大2000万ユーロまたは年間売上高の4%の制裁金が科される[@GDPR2016]。 ::: ::: {.analysis} **考察**：この厳格なガバナンス体制と高額な罰則は、データ保護の実効性を担保する仕組みとして機能することが期待される。 ::: ## 患者の権利 ### データへのアクセス権患者は以下の権利を有する： - **即時アクセス**: 自己の健康データへの無料アクセス - **データポータビリティ**: 標準形式でのデータ取得 - **修正権**: 誤ったデータの訂正要求 - **削除権**: 特定条件下でのデータ削除（忘れられる権利） ### データ共有のコントロール ```{mermaid} %%| fig-cap: "患者データ共有の同意フロー" flowchart LR A[患者] --> B{同意管理} B --> C[一次利用同意] B --> D[二次利用同意] C --> E[医療従事者アクセス] D --> F[研究目的利用] D --> G[政策立案利用] F --> H[匿名化処理] G --> H ``` ## 禁止される利用目的 EHDSでは、以下の目的での健康データ利用が明確に禁止されている： ::: {.callout-important} ### 禁止事項 - 保険料の引き上げや保険加入の拒否 - 雇用における差別的取り扱い - マーケティング目的での個人への直接的なアプローチ - 有害な製品・サービスの開発 ::: ## 各国の実装義務 ### 必須要件（2027年3月まで） 1. **国家健康データ当局の設置** - 独立性の確保 - 十分な予算と人員の配置 - 技術的専門性の確保 2. **データ品質基準の策定** - データの完全性 - 正確性の確保 - 相互運用性の保証 3. **セキュアプロセッシング環境の構築** - 暗号化技術の実装 - アクセス制御の強化 - 監査ログの完備 ### 推奨要件（2029年3月まで） - オプトアウトシステムの導入検討 - 市民向け啓発プログラムの実施 - 医療従事者向け研修の実施 ## 第三国との関係 ::: {.fact} **事実**：EHDSは、十分性認定を受けた第三国とのデータ交換を可能にする枠組みを含んでいる[@EHDS2025international]。 ::: ### 日本への影響日本がEU市場で医療関連ビジネスを展開する場合： 1. **EHDS準拠の必要性** - 技術標準への適合 - セキュリティ要件の充足 - ガバナンス体制の整備 2. **相互運用性の確保** - FHIR標準の採用 - 用語・コード体系の統一 - API仕様の共通化 3. **認証取得** - EU認定機関による審査 - 定期的な監査への対応 - 継続的な改善の実施