近年、新型コロナウイルスの影響により医療機関でのクラウドサービスの利用が増加傾向にあります。しかし、クラウドサービスを利用することにより個人情報流出などさまざまなリスクがあるのです。そこで増加傾向と共にセキュリティなどに関する見直しが行われました。
本記事では、Microsoftの「医療機関向けクラウドサービス対応セキュリティリファレンス」について、基本的な知識をまとめます。
医療機関向けクラウドサービス対応セキュリティリファレンスとは
「医療機関向けクラウドサービス対応セキュリティリファレンス」とは、「医療業界のクラウドの利用を目的として、対応状況やセキュリティに関するガイドラインを整理した結果」のことです。
医療機関については、個人情報や大容量の医療画像など、取り扱いが困難な情報も多いです。そのため、国内医療機関では、クラウドの利活用が普及していませんでした。しかし、近年ではヘルスケア分野の高度なデータ利用などにも伴い、病院内のシステムに対してのコスト削減も起こったことで、クラウドの利活用は年々普及率が上がっています。
さらに新型コロナウイルスの影響により、人との接触を控えるためのリモート会議導入や、非対面の診療サービスなども開始されたことにより、さらにこうしたクラウド利用の普及率が加速しているのです。 厚生労働省、経済産業省、総務省の3省が作った病院や薬局などの医療機関向けに作成したものが、「3省3ガイドライン」です。近年の医療に関係するIT技術の変化より、「3省4ガイドライン」を改変したものが、この「3省3ガイドライン」です。
こうした医療機関向けクラウド利用に役立つガイドラインを、再整理したものが「医療機関向けクラウドサービス対応セキュリティリファレンス」(以下:本リファレンス)です。
本リファレンスの対象クラウドサービス
本リファレンスの内容作成にあたり対象となったクラウドサービスについて、以下4種類を紹介します。
Microsoft Azure
こちらの対応セキュリティリファレンスは、IaaS(Infrastructure as a Service)を使い医療機関の情報をMicrosoft Azureに保存すると予測を立て、3省3ガイドラインで細かく対応の状況を調べました。
Microsoft 365
こちらの対応セキュリティリファレンスはクラウドサービスの「Office 365」の電子メールやファイル共有機能を医療機関で使うと予測を立て、3省4ガイドラインで細かく対応の状況を調べました。
Microsoft Dynamics 365
こちらの対応セキュリティリファレンスはクラウドサービスの「Dynamics 365」のCRM機能を医療機関で使うと予測を立て、3省4ガイドラインで細かく対応の状況を調べました。
Microsoft PowerPlatform
こちらは、メール送信やアクセス制限などのセキュリティ強化をするための設定が必要であり、対策が万全であれば信頼して利用することができます。
本リファレンス対象のガイドライン
次に例として、本リファレンスが対象としている以下2つのガイドラインについて、概要・役割に焦点を当てつつ紹介していきます。
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第5.1版」
- 経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
厚生労働省「医療情報システムの安全管理に関するガイドライン 第5.1版」
◆概要・役割
第5.1版へと改訂された箇所として以下の4つを挙げることができます。
①クラウドサービスについて
クラウドサービス事業者が複数関わっている電子カルテは障害時の責任関係を確認する必要があるなどのクラウドサービスについての考えを書いています。
②ID・パスワードの認証
アクセスの安全性を上げるためにIDとパスワード、さらにカードなどの他認証を最低限の条件としました。
③サイバーセキュリティ対策
医療情報システムがコンピューターウィルス感染のサイバー攻撃などを受けた場合は、所管官庁への報告や整備構築などを詳しく書いています。
④外部保存受託事業者を選ぶ基準
行政機関や民間事業の異なる選定基準を一つに統一しました。医療情報を格納する機器などは国内法の適用を受けることができることを書いています。
経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
◆概要・役割
2020年に経済産業省と総務省から公表されたもので、医療情報を取り使うシステムなどを提供する企業が準拠していく必要がある内容です。
従来の経産省と総務省ガイドラインそれぞれとの変更した箇所を以下の3つにわけて紹介します。
①2つの異なるガイドラインを1つにまとめた
情報処理ベンダーとクラウドベンダーが参照するガイドラインはそれぞれ違いました。
しかし、現在医療分野でクラウドサービスを提供するベンダーは多くいます。そのため経産省と総務省のものを1つにまとめました。1つになり参照しやすくなったために、従来と同じセキュリティレベルを維持しています。
新しいバージョンでは、医療機関とベンダーとに、積極的なコミュニケーションを行うよう求めています。
②個々のセキュリティリスクに応じた対策
従来のものはベンダーの提供しているサービスなどのリスクに対して一括にまとめて求められる事項が決められており、その対策が記載されていました。
しかし実際は非効率的で異なる対策の方が効果的な場合もあります。新しいバージョンは、「それぞれの医療情報システムのセキュリティリスクを分析し、対策をしていく」という点を強調して求めています。実際の現場とマッチした、効果的対策が行えるようにしています。
③ベンダーが医療機関などへ説明しやすくなった
従来は契約時や契約後も医療機関側にITなどの専門知識がないことも多いため、「ベンダーとリスクコミュニケーションを取り、認識の違いがないようにお互い理解を一致させて、合意を維持する」という作業に、大変な手間がかかっていました。新しいバージョンでは、リスクマネージメントのプロセスが具体的に定められています。これによりベンダーが医療機関への説明をしやすくなったのです。
まとめ
Microsoftの「医療機関向けクラウドサービス対応セキュリティリファレンス」はそれぞれ状況を想定し3省3や3省4ガイドラインから対応状況を調査していました。本リファレンス対象のガイドラインは、従来のものと比較すると、よりセキュリティ対策も強化され効果的な対策を行えるようになっています。それぞれの状況に合わせて効果的な対策が取れるように整理されているのです。それらをさらに見やすく、導入しやすくした本リファレンスをぜひ参照してみてください。
