【レポート】AWS 環境上での医療情報ガイドライン対応の最新動向 #AWSSummit

AWS Summit Onlineで公開された「AWS環境上での医療情報ガイドライン対応の最新動向」についてのセッションレポートです。
2020.09.08

こんにちは。AWS事業本部のKyoです。

本日(9/8)開始のAWS Summit Online、もうご覧になりましたか?

CUS-29: AWS環境上での医療情報ガイドライン対応の最新動向を拝聴いたしましたので、レポートします。

セッション概要

全ての医療行為は医療法等で医療機関等の管理者の責任で行うことが求められています。クラウドサービスを利用する場合も、医療情報システムの構築や運用を行う医療機関等や医療情報を受託管理する事業者・団体向けの安全管理策が、各省発行の各ガイドライン(GL)に示されています。厚生労働省からは医療機関向け GL 改定に向けた原案作成、総務省と経済産業省からは事業者向け 2 省 GL 統合の動きが既に発表されています。 本セッションでは、これらの動向を整理検討し、AWS 環境上で最新 GL に対応するための考え方や関連する AWS の情報を概説します。

スピーカー

  • キヤノン IT ソリューションズ株式会社 部長 上島 努 氏
  • 株式会社 日立システムズ 主管 松本 一敏 氏

セッション内容

1. 医療情報ガイドラインと改定の動向

3省3ガイドライン、医療情報システム向けAWS利用リファレンス、とは何かについて話されていました。

3省3ガイドライン

医療情報システムの構築・運用を行う医療機関等や医療機関等から医療情報を受託管理する事業者・団体向けに医療情報の安全管理策を示した厚生労働省、総務省、経済産業省の 3 省が発行するガイドラインで、具体的には以下の文書となります (2018 年 7 月時点)。

出典: AWS 日本の医療情報ガイドライン

個人的なポイントは以下の2点です。

  • 単なるセキュリティ要件ではなく、法令(コンプライアンス)要件未遵守は法令違反とみなされる可能性がある
  • 今後は3省2ガイドライン(後述)へ改定される

医療情報システム向けAWS利用リファレンス

医療情報システム向け AWS 利用リファレンスとは、日本において医療情報システムの構築・運用を行う上で遵守すべき厚生労働省、総務省、経済産業省の 3 省が定めた医療情報システムに関するガイドラインに AWS 環境上で対応するための考え方や関連する AWS の情報を、AWS パートナー各社で整理検討し作成した参照文書となります。

出典: AWS 日本の医療情報ガイドライン

ざっくり言うと、3省3ガイドラインの要求をAWS環境でどのように担保するかについて1項づつ回答したリファレンスです。ガイドラインそれぞれに対応したリファレンスで合計3つが存在します。

2.医療情報ガイドライン改定の概要

総務省・経済産業省ガイドライン統合および厚生労働省ガイドライン改定による3省2ガイドライン化について話されていました。

総務省・経済産業省ガイドラインの統合

なぜ改定されるか

  • クラウドサービス利用の増加
  • 情報処理技術の普及とサイバー攻撃の高度化
  • 情報セキュリティやクラウドサービス提供における国際基準との整合性

どのように改定されるか

  • リスクベースアプローチ(後述)を採用
  • 法令要件部分は従来通りルールベース

リスクベースアプローチとは

リスクとは

守るべき情報資産に対して、危害や影響が与えられる可能性を意味し、「脅威」と「脆弱性」に大別される

脅威

組織の外部/内部から情報資産に損害や影響を与える可能性のある要素

  • 人為的脅威
    • 意図的脅威
    • 偶発的脅威
  • 環境的脅威
脆弱性

情報資産そのものや情報システムに内在する弱点

  • ソフトウェアやハードウェア等の欠陥
  • 不適切なシステム運用

なぜリスクベースアプローチなのか

  • 情報処理技術の普及・サイバー攻撃の高度化
  • 情報セキュリティを確保するための要求が拡大・多様化
  • ガイドラインで一律に定めた要求事項の全てに対応することが困難になってきた

一律に要求事項を定めず、システムの特性に応じた必要十分な対策を設計

リスクをゼロにするような完全防御は、時間的にもコスト的にも非常に困難

リスクマネジメントプロセスの構築

一時的なリスク評価だけでなく、監査を含めた継続的な管理が可能な体制が必要

  • リスクアセスメント
  • リスク対応
  • リスクコミュニケーション

リスクコミュニケーションの1つのステップとして、「継続的なリスクマネジメントの実践」がある

ガイドラインでは、リスクマネジメントプロセスの継続的な見直しを求めているが、監査結果の医療機関等への共有は求めていない

厚生労働省ガイドライン改定

なぜ改定されるか
  • クラウド等の技術動向への対応
  • 2省ガイドライン統合向けた動向への対応
どのように改定されるか
  • 現行の第5.0版を踏襲
  • 新たな課題への対応を反映

クラウドサービス利用時の責任分解(AWSにおける責任共有モデル)が1つのポイント

3. AWSユーザにとっての影響と対応の考え方

AWSにおけるリスクマネジメントプロセスについて話されていました。

AWSにおけるリスクマネジメントプロセス

リスクマネジメントプロセスでは、「AWS責任共有モデル」の理解と整理がポイントです。これによってAWS利用者の責任範囲一部の責任をAWSへオフロードできることが明確化できます。

医療情報システムにおけるAWS責任共有モデル

通常のAWS責任共有モデルの「お客様」が「医療機関」と「委託事業者」に分かれて表記されています

リスクアセスメント

対象システムがどのようなもので、事業者がどのようなリスクを認識したかを明らかにする

  1. リスク特定
  2. リスク分析
  3. リスク評価
リスクアセスメントにおけるAWS利用者の責任
リスクアセスメントにおけるAWSの責任

ハードウェア、ソフトウェア、ネットワーキング、AWS クラウドのサービスを実行する施設といったAWSサービスを実行するインフラストラクチャの保護

リスク対応

事業者が識別した書くリスクの重要度(リスクレベル)を鑑み、どのような対策を実施するか明らかにする

  1. リスク対応選択肢の選定
  2. リスク対応の手順説明
リスク対応におけるAWS利用者の責任

AWSから提供されているセキュリティ系のサービスの活用

  • ID/認証/認可
  • 防御
  • 検知
  • 発見的統制
  • リカバリー

リスク対応におけるAWSの責任

セキュリティに関わる認定・認証・監査などの取得

AWS コンプライアンスプログラム

4. AWS利用リファレンス改定について

3省2ガイドライン化にあたり、AWS利用リファレンスがどのように改定されるか話されていました。

総務省・経済産業省 2省統合版

  • リスクベース部分(追加)
    • リスクアセスメントシート
    • リファレンスシート(主にリスク対応について)
  • ルールベース部分
    • 従来の3省3ガイドラインのものを踏襲

リスクアセスメントシートのイメージ

リファレンスシートのイメージ

厚生労働省版

  • 従来版からフォーマットの変更は無し
  • 新たに追加された要求事項に対する対応を追加

リソース

2省統合ガイドラインおよびAWS利用リファレンス公開のスケジュール

AWS 利用リファレンス詳細について

以下にも詳細の解説や関連動画があります。

おわりに

医療情報はその特性上非常に「堅い」分野との認識でしたが、時代に合わせて変化していく様子が分かるセッションだと思いました。堅い分野こそ発展性を内包していると思いますので、今後の医療情報システムの発展が楽しみです。

以上、何かのお役に立てれば幸いです。