目次
フランスの情報保護当局CNILは、2026年5月26日付けで公開されたSAN-2026-008の決議により、IQVIA OPERATIONS FRANCEに対し500万ユーロの罰金を科しました(制約会議は2026年3月26日に行われました)。この手続きは、アメリカのIQVIAグループの子会社が運営する2つの健康データウェアハウスを対象としていました。これらのウェアハウスは、2018年に許可された約14,000のフランスの薬局からデータが供給されるLRXと、2021年に許可された数千の医師からデータが供給されるEMRです。決議は、処理されるデータが数千万の人々に関するものであるとしています - 生年、性別、処方、診断、症状、アレルギー、社会職業的要素、およびユニークなケアパスの識別子が含まれます。CNILは公式声明で、6か月以内のコンプライアンスを命じ、遅延が生じた場合には1日あたり1万ユーロの罰金を科すとしています。IQVIAは上訴する権利を留保しています。罰金は、GDPR第83条で定められた世界年間売上高の4%の上限を下回っています。
IQVIAを超える影響: 102のオペレーターが同じアーキテクチャを共有
2025年9月1日時点で、ポータルサイトesante.gouv.frには、CNILによって許可された125の健康データウェアハウスが登録されており、102の異なる関係者 - 製薬会社、公共研究機関、保険プラットフォーム、認定病院構造 - によって管理されています。これらはすべて同じ技術基盤、つまり患者データの偽名化に基づいており、セカンダリユースに開放されます。IQVIAに対して取られた規制当局の論理 - 鍵を持つ者にとって偽名化は匿名化ではない - は、構造的には特定のケースではなく、アーキテクチャの特徴を狙っています。CNILは、専用プロジェクト募集を通じて、すでに健康データをドクトリンの明示的な軸としていました。2026年5月26日の決議は、このドクトリンの基盤を法的資格にも拡張し、再識別の鍵を持つ初期管理者として、他の101のオペレーターを構造的に同じ読み取りにさらします - 各デバイスの技術アーキテクチャに依存する限り、それが製薬業界、保険、または公共研究に属するかに関わらず。
偽名化: 初期管理者の資格に追いつくアーキテクチャの基盤
ウェアハウスを運営する情報システム部門の責任者にとって、偽名化は技術的な層です。一方では暗号化された対応表、他方では派生データセットです。IQVIAの防御はこの分離に基づいており、C-413/23 P EDPS対SRBの2025年9月4日のCJUE判決に依拠しています - 欧州データ保護監督機関(EDPS)が単一決議機関に対して行ったものであり、EU機関に適用されるGDPRの制度的対応(規則2018/1725)の再現がここで行われます。ルクセンブルクの裁判所は、偽名化は観察者に関連するステータスであると述べています。再識別の鍵を保持する限り、データは個人データの性質を維持し続けます - CNILはGDPRの4(1)および4(5)条の並行定義を通じてこの資格を適用しています。「偽名化措置は相関関係のリスクを削減する効果しかありませんが、排除するものではありません」と制約会議は述べました。ウェアハウスの運営者にとって、アーキテクチャの影響は明確です。対応表が運営範囲内にある限り、個人データの制度はシステム全体に適用され、直接識別子を含むエリアだけに適用されるわけではありません。この資格の基盤に加えて、技術的および手続き的な5つの違反が文書化されています: 関係者への情報不足、実際には無効化された反対権、EMRウェアハウスでの多要素認証の欠如、定期的に分析されない接続ログ、不正確な情報通知 - これに加えて、調査された薬局のいずれも顧客に転送について通知していなかったという事実があります。SRB判決が明示的に持つアーキテクチャの違いとCNILの決定が解決しない点があります: 受取人が識別可能な個人にデータを関連付けるために用いられる可能性のある合理的な手段を持たない場合、偽名化されたデータは彼らにとって個人データを構成しません。つまり、同じチェーンの2つのコンポーネントは、鍵へのアクセスによって異なる制度に属する可能性があります。制裁は初期管理者としてのIQVIAを対象としており、再識別テーブルへのアクセスなしにエクストラクションを受け取る第三者に対する制度を予断するものではありません。
2つの規制の視点が技術チームの準備のウィンドウを定義
今日、ウェアハウスを運営する情報システム部門の責任者やCTOにとって、第三者受取人のステータスは、運用準備のウィンドウを定義する2つの期限によって保留されています。2025年2月11日のEU規則2025/327は、欧州ヘルスデータスペースの創設により、2029年3月にセカンダリユースの条項の適用を開始し、第三者による偽名化データへの技術的アクセス条件を具体的に組織します - 学術研究、製薬業界、公共機関。ActuIAは、将来のEEDSの5つの標準的なユースケースをテキストの交渉段階で詳細に説明しました。この条項が適用されるまで、各アウトゴーイングフローの制度 - エクストラクション、サードパーティAPI、プロジェクト共有 - は、SRB判決に照らされたGDPRの基礎に基づいてケースバイケースで決定される必要があります。もう1つの視点はドクトリンです: 欧州データ保護委員会(EDPB)は、2025年12月12日に利害関係者イベントを開催し、SRBの寄与をそのガイドライン01/2025に統合するためのディスカッションペーパーを準備しました。SAN-2026-008の決議は、鍵を保持するデータ管理者に適用される制度を定義します。鍵へのアクセスなしに第三者へのフローに関しては、EDPBガイドライン01/2025 - その公開協議は2025年末に終了しました - が回答を提供します。通常の12〜18ヶ月のポストコンサルテーションスケジュールに従い、最も早くて2027年に完成します。