GEM Japan GDPR Brief: The Data Protection Impact Assessment and Genomic Health Research

GDPRのArticle 35では、個人の権利と自由に高いリスクをもたらす可能性がある場合、データの管理者がデータを操作する前に「データ保護影響評価（DPIA）」を実行する必要があると定めています。
この記事では、どのような研究を実施する際にDPIAが必要となるかを例として紹介し、DPIAをどのような観点から誰を対象として実施するかについて言及しています。対象となる研究の一例としては、健康・ゲノム・人種や民族などに関する大規模の機微データを扱う研究を挙げています。また、各研究機関がDPIAを実行する際に参考となるテンプレートを紹介しています。
DPIAは、データ解析の具体的な内容やその目的、さらにはその必要性や妥当性について詳述する必要があり一定の負担にはなるものの、コンプライアンスの履行に加えて、説明責任と透明性を明確にし様々な関係者との信頼を育むことにつながるとしています。