【レポート】AWS環境上での医療情報ガイドラインへの対応 #AWSSummit

AWS Summit Osaka 2019 のセッション「AWS環境上での医療情報ガイドラインへの対応」のレポートです。
2019.06.27

ちーーーーッス。大阪オフィスの玉井です。

AWS資格無冠の私が、2019年6月27に開催された AWS Summit Osaka 2019 のセッション「AWS環境上での医療情報ガイドラインへの対応」をレポートします。

スピーカー(敬称略)

  • アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 レディネス&テックソリューション本部 本部長/プリンシパルソリューションアーキテクト 瀧澤 与一
  • キヤノンITソリューションズ株式会社 クラウドサービス推進本部 クラウドサービスコンサルティング部 部長 上島 努
  • 株式会社 日立システムズ 関西支社 第2営業本部 医薬・ヘルスケア営業部 担当部長 松本 一敏
  • フィラーシステムズ株式会社 代表 鴻池 明
  • DXCテクノロジー・ジャパン株式会社 Solution&Commercial Function Offering Solution Architect 影浦 正一
  • 日本電気株式会社 医療ソリューション事業部 第四システムグループ 山根 朋実

セッション概要

クラウドサービスで医療情報を利用する場合、医療情報システムの構築や運用を行う医療機関等や医療情報を受託管理する事業者・団体向けの安全管理策が、各省発行の各ガイドラインに示されています。これらの要求事項を整理検討し、必要に応じて関連事業者や責任者が対策を施す必要があります。 このセッションでは、AWS パートナー各社で整理検討し作成したリファレンスをもとに、AWS環境上でガイドラインに対応するための考え方や関連するAWSの情報を概説します。

  • 医療情報について考える
  • 医療情報システムを扱う医療期間や、医療情報システムを開発・提供する事業者向けに、3省(厚労省、総務省、経産省)がガイドラインを提示している
    • 医療情報システムを扱う以上、これに対応していかなければいけない
    • ただし、何の情報も無しにこのガイドラインに対応するのは難しい
    • だから、AWSJとAWSパートナー5社が協力して、対応のためのリファレンスを作成した

医療情報システム向けAWS利用リファレンスについて

医療情報システムの安全対策について

安全対策(技術面)

安全対策(運用面)

  • 人的セキュリティ
    • 医療情報システムの再委託は色々と厳しい
      • 医療機関側にしっかり説明が必要
      • 自社と同等の個人情報保護方針を適用させる
      • …etc
    • これは「クラウドサービス事業者」の対応事項となる
      • AWSは「インフラの外部委託先」という位置づけ
        • 要するにAWSのことではない
      • AWSと事業者の間にはカスタマーアグリーメントがある
    • とはいえ、AWS側で行われている人的セキュリティ対策は把握しておく必要アリ
      • ホワイトペーパーがあるので内容を把握しておく
    • クラウドサービス事業者は?
      • 責任共有モデルに基づいた責任範囲について理解
      • カスタマーアグリーメントについて理解
      • これらを医療機関にしっかりと説明して理解してもらう必要アリ
      • AWS側は利用者のデータを見ることはできない
        • が、利用者側でデータの暗号化をしておくことは推奨されている
    • 保守アカウントの徹底管理
      • システムを保守するための専用アカウントのログ追跡を徹底するようガイドラインに記載アリ
      • 認証認可→AWS IAM
        • 期限付きのトークンとかも発行できる
      • ログ管理→CloudTrail
        • IAMのログもとれる

医療情報の電子保存と合意形成について

電子保存について

  • AWSは電子保存にあたる
  • AWSは外部保存にあたる
    • クラウドなので外部扱い
  • AWSはネットワークを経由して保存する
    • 場合によってはネットワーク事業者とも協力する必要アリ
  • AWSは民間事業者である
  • 電子保存の3原則
  • 真正性の確保
    • データの作成〜編集〜消去をしっかり管理する
    • マネジメントコンソールのログも対象
      • (データが入った)サーバ(EC2など)を削除できたりするから
      • だから操作証跡も必要
  • 見読性の確保
    • いつでも人が読める状態に復元できるようにしておく
    • いつでも閲覧できるようにする
    • 障害対策としての冗長性の確保なども求められる
  • 保存性の確保
    • 上記2つが法令等で定められた期間に渡って守られる必要アリ

(医療機関と委託業者の)合意形成

  • 責任分界点が重要
    • 例:EC2にインストールされたDBを使う場合とRDSを使う場合の違いをしっかり説明する等

AWSのヘルスケア領域におけるセキュリティ・コンプライアンス対応

AWS側が用意している、セキュリティに関するリソース

AWSのセキュリティに関する質問

所感

私は身内に医療従事者がいますが、病院のITシステムは非常に遅れているという話をよく聞きます。医者や看護師は、普段の業務に加えて、学会発表のために医療データを分析したりしますが、ちょっとしたデータを取り出すのにも、非常に不便な環境であることがほとんどだそうです。

医療情報システムがクラウド上に展開されれば、医療業務や医療に関する研究等の効率が飛躍的に向上すると思います(医療サービスを受ける私たちにもメリットがあると思います)。しかし、医療データは他のデータより厳重に管理される必要があるのも事実です。ぜひ、こういったリファレンスを利用して、適切な医療情報システムをクラウドに展開できるようになればいいと思います。