Google Fit のユーザーデータと健康調査に関するポリシー

Google Fit の利用規約ユーザーデータとデベロッパー ポリシーデベロッパー ガイドラインは、健康とフィットネスに関する研究を促進しながら、プライバシーとセキュリティの保護に専念しています。Google Fit API は、(1)参加者の権利、安全、心身の健康を保護する目的を持ち、2)被験者調査を精査、変更、承認、または承認する権限を有する独立委員会が、調査を実施または承認した場合のみ、本ポリシー(健康調査)において健康調査に利用できます。

健康に関する研究に Google Fit API を使用する Google 認定のアプリケーションやウェブサービスには、Health Research Application または Health Research Web Services という名称を付け、これらを総称して「Health Research Applications と Web Services」と呼びます。ここで言う「お客様」と「ユーザー」とは、これらの Health Research Application と Web Service を意味します。このポリシーとユーザーデータへのアクセスに関するこのポリシーとの間に矛盾がある場合、本ヘルスリサーチのポリシーでは、健康調査アプリケーションおよび/またはウェブサービスを管理します。

健康調査アプリケーションとウェブサービス:

  1. 審査委員会から承認または権利放棄を取得する責任がある。
  2. 下記のポリシー、Google Fit デベロッパー / ユーザーデータ ポリシー(別段の記載がない限り)、および該当するその他の Google ポリシー(Google API 利用規約Google Fit デベロッパー利用規約OAuth 2.0 ポリシーを含む)を遵守する必要があります。
  3. カリフォルニア州消費者プライバシー法、HIPAA、GDPR(EU および英国)、DPA 2018)、コモンルール、人間の保護に関する FDA の規制を含む(ただしこれらに限定されない)、適用されるすべての法律および規制を遵守する必要があります。

そのような条件のコンプライアンスを定期的に監視し、遵守することは、お客様の責任となります。これらの条件をいつでも満たせない場合(または満たせなくなる重大なリスクがある場合)は、直ちにサービスの使用を停止する必要があります。また、Google は、このポリシーの遵守がない場合、またはポリシーの遵守に関して合理的な懸念がある場合、健康調査の承認を拒否または取り消す権利を有します。

健康調査証明書

健康調査アプリケーションとウェブサービスは、デベロッパーの送信プロセス中に「健康調査」を選択する必要があります。健康調査の申請とウェブサービスには、次のものを提出する必要があります。

  1. 登録フォームへの入力の完了
  2. IRB/EC(またはほぼ同等の)承認/権利放棄書
  3. IRB/EC(またはこれに類似した相当)の認定
  4. 正確なデータを要求して使用すべき理由

健康調査の適格性を判断する

健康調査アプリケーションとウェブサービスは、インフォームドコンセントを取得して参加者のデータへのアクセスをリクエストする前に、参加者の適格性を確認する必要があります。

健康調査のための透明性の高い正確な通知と管理

適格性を確認したら、Google Fit デベロッパーおよびユーザーデータに関するポリシーの、透明性に基づく正確な通知と管理のセクションを遵守する必要があります。

さらに、健康調査アプリケーションまたはウェブサービスは、ダイアログ ボックスまたは以下を含む増分ダイアログ ボックスを介して開示を提供する必要があります。

  1. 調査の性質、目的、期間
  2. 参加者に対するリスクと利益
  3. データを保護するために実施しているプライバシー、セキュリティ、およびデータ処理対策。
  4. 質問がある場合の連絡先
  5. スタディ用に収集されたデータの保持期間。
  6. 調査の取り消し方法
  7. スタディの期間全体を通して自分のデータを削除する方法(データが一般公開された後にスタディを削除できるかどうかなど)
  8. お客様の IRB/EC が要求するその他の関連文書または情報。

上記の情報、インフォームド 同意の文書、および IRB/EC で要求されるその他の文書を、参加者が保存、保存、またはメールで送信するためのオプションを用意する必要があります。各参加者は、調査に参加する前に、必要な開示と同意に署名し、提出する必要があります。署名済みのすべてのドキュメントのコピーを参加者に送信する必要があります。

健康調査アプリケーションとウェブサービスは、FDA の電子同意に基づく質問と回答の使用または実質的に類似した標準に従います。たとえば、図やインフォグラフィックを使用して説明にわかりやすい言葉を含め、参加者が登録前に健康調査に関する質問に正しく回答する必要があります。

健康調査のためのユーザーデータの限定的な使用

健康調査アプリケーションまたはウェブサービスは、以下の要件を遵守する必要があります。これらの要件は、参加者データ(Google Fit API から取得した元データ、参加者データまたは元データから集計、匿名化、取得されたデータなど)に適用されます。

  1. 参加者データの使用目的を、その収集目的のものに限定する。
  2. 調査の参加者データをできる限り速やかに匿名化します。
  3. IRB が別途情報に基づいた同意に関する要件を放棄しない限り、参加者から別途情報を得たうえで同意を取得しない限り、新しい調査研究のために、あるいは元の調査の目的以外の目的で、参加者のデータを第三者と共有または共有してはなりません。
  4. 本当の意味で知る必要のないチームメンバーにデータを使用したり、共有したりしないでください。
  5. 参加者のデータのみをサードパーティに転送してください。
    1. 必要に応じて、参加者は独自の研究目的を追求するために、その参加者のデータへのアクセスおよび使用をその目的に限定するよう拘束される。
    2. 特定のデータを共有するための明示的な同意を参加者が行った場合(例: 参加者に提示された、同意済みの同意を得た文書)
    3. セキュリティ上の目的で必要な場合(不正使用の調査など)。
    4. 適用される法律または規則を遵守するため。

以下を含む参加者データの転送、使用、販売はすべて、明示的に禁止されます。

  1. 参加者データを広告配信、販売、または使用(広告配信、コンテンツ リターゲティング、パーソナライズ広告、インタレスト ベース広告など)。
  2. 広告プラットフォーム、データ ブローカー、その他の情報再販業者などの第三者に参加者データを転送または販売すること。
  3. 信用力を判断するため、または貸与目的で参加者のデータを譲渡、販売、または使用すること。
  4. 連邦食品医薬品局(FD)の第 201(h)項に基づき、医療機器と見なされるプロダクトまたはサービスで、参加者データを転送、販売、または使用すること(参加者のデータが医療機器による認定機能の使用に使用される場合)。
  5. IRB または EC によって審査を受けた有効な HIPAA 承認の下でユーザーが受け取った場合を除き、(HIPAA によって定義される)保護対象保健情報に関連する目的で、あるいはなんらかの方法で参加者データを転送、販売、または使用すること。

データの使用が、Google Fit API for Health Research の制限付き制限を遵守していることを示すアファメーション ステートメント(例: ウェブ アプリケーションまたはウェブサイト内で、同意書の段落、またはホームページ上のリンクに「Google Fit API から得られた情報」を含む)が「Google Fit API に規定されたポリシーが適用されます」と記載する必要があります。このオプションを使用すると、アプリの審査に時間がかかることがあります。

健康調査のための安全なデータ処理に関する推奨事項

健康調査アプリケーションとウェブサービスは、Google Fit のユーザーデータとデベロッパー ポリシーの安全なデータ処理の条項を遵守する必要があります。

健康研究のアプリケーションとウェブサービスは、米国保健福祉省、米国食品医薬品局の規制、または ICH Good Clinical Practice ガイドラインで推奨されているベスト プラクティスに従うことをおすすめします。たとえば、国立衛生研究所から機密性保持の申請を申請するなどして、第三者へのデータの開示を防ぐことができます。

データの公開

Health Research のアプリケーションとウェブサービスは、研究の結果を公開することを選択できますが、Google が書面にて提供した場合を除き、研究デザインや科学的妥当性を Google が承認したり、研究結果を承認したりすることを示唆しない可能性があります。健康調査のアプリケーションとウェブサービスは、研究を公開または公開する場合は、関連する法律と規制、および以下の要件を遵守する必要があります。

  1. 公開レジストリに調査を登録します(例: clinicaltrials.gov)。
  2. 対象の調査について Google Fit パブリケーション ライブラリに含めるように Google Fit に通知する。
  3. 情報源を公に開示すること。
  4. 特定できる可能性がある個別のデータは公開せず、再識別のリスクを軽減してください。再識別リスクの低減策としては、次のようなものがあります。
    1. 可能な限り、個人レベルの匿名化されたデータではなく、サマリーレベルの集計データを提供します。
    2. 匿名化したデータを個人に公開する必要がある場合は、データを一般公開して共有するのではなく、受信者に開示する必要があります。ただし、データの開示や再識別を試みないという契約上のコミットメントを条件とします。
    3. 個人レベルの匿名化されたデータを公開する必要がある場合は、適用されるすべての法律を遵守し、少なくとも差分プライバシーなどの認められた匿名化手法を使用して機密性を保持し、再識別のリスクが非常に小さいという専門家の判断を取得する必要があります。