【レポート】AWS環境上での医療情報ガイドラインへの対応 #AWSSummit

ちーーーーッス。大阪オフィスの玉井です。

AWS資格無冠の私が、2019年6月27に開催された AWS Summit Osaka 2019 のセッション「AWS環境上での医療情報ガイドラインへの対応」をレポートします。

スピーカー（敬称略）

• アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 レディネス&テックソリューション本部 本部長/プリンシパルソリューションアーキテクト 瀧澤 与一
• キヤノンITソリューションズ株式会社 クラウドサービス推進本部 クラウドサービスコンサルティング部 部長 上島 努
• 株式会社 日立システムズ 関西支社 第2営業本部 医薬・ヘルスケア営業部 担当部長 松本 一敏
• フィラーシステムズ株式会社 代表 鴻池 明
• DXCテクノロジー・ジャパン株式会社 Solution&Commercial Function Offering Solution Architect 影浦 正一
• 日本電気株式会社 医療ソリューション事業部 第四システムグループ 山根 朋実

セッション概要

クラウドサービスで医療情報を利用する場合、医療情報システムの構築や運用を行う医療機関等や医療情報を受託管理する事業者・団体向けの安全管理策が、各省発行の各ガイドラインに示されています。これらの要求事項を整理検討し、必要に応じて関連事業者や責任者が対策を施す必要があります。 このセッションでは、AWS パートナー各社で整理検討し作成したリファレンスをもとに、AWS環境上でガイドラインに対応するための考え方や関連するAWSの情報を概説します。

• 医療情報について考える
  • 日本の医療情報ガイドライン – アマゾン ウェブ サービス (AWS)
• 医療情報システムを扱う医療期間や、医療情報システムを開発・提供する事業者向けに、3省（厚労省、総務省、経産省）がガイドラインを提示している
  • 医療情報システムを扱う以上、これに対応していかなければいけない
  • ただし、何の情報も無しにこのガイドラインに対応するのは難しい
  • だから、AWSJとAWSパートナー5社が協力して、対応のためのリファレンスを作成した

医療情報システム向けAWS利用リファレンスについて

• リファレンスの全体像
  • はじめに
    • 医療情報3省3ガイドラインに対応するためのAWS利用リファレンスを作成・公開した
      • 各パートナーのHPからダウンロード可能
        • 資料ダウンロード｜クラウドインテグレーションサービス for AWS｜キヤノンITソリューションズ
        • 医療情報システム向けAWS利用リファレンス | DXC Technology
        • 医療情報システム向け「Amazon Web Services」利用リファレンス: AWS活用支援 | NEC
        • 医療情報システム向けAWS利用リファレンス | フィラーシステムズ
        • ニュースリリース：2018年：株式会社日立システムズ
    • 医療関係の決まりごとは2種類に分けることができる
      • Hard Law
        • 法的な拘束力がある規則
        • 医師法、医療法など
        • 電子カルテの保存期間など。破れば罰則
      • Soft Law
        • 法的な拘束力は無い。社会規範
        • ガイドラインやガイダンスがこれにあたる
  • 医療情報3省3ガイドラインの概要
    • 医療情報を安全に管理するために策定されたもの
    • 先程の分け方でいうとSoftlawにあたる
      • Softlawではあるが、かなりの拘束力をもつ
      • あまりにも軽視すると罰則もある
    • このガイドラインの想定読者
      • 厚生労働省のガイドライン
        • 医療機関
      • 総務省と経産省のガイドライン
        • 医療システムを提供してるベンダー
      • 当然だが、最新のものの方が現状の技術や利用環境に適している
      • 例：ガイドラインによって許可されているネットワークが違う
    • 2019年度内に3省2ガイドラインにまとめるよう動きがある
      • 医療機関向け
      • 委託事業者向け
  • ガイドラインに対応する考え方
    • 責任の考え方
      • AWS責任共有モデルを元にした
        • 責任を下記の3段階に分ける
          • AWS
          • 医療機関
          • 委託事業者
        • 契約について
          • 委託元
          • 医療情報管理の外部委託
          • インフラの外部委託（AWSはココ）
      • 契約について、AWS Artifactで日本に準拠させる
        • AWS Artifact（コンプライアンスレポートへのオンデマンドアクセス）| AWS
    • セキュリティ
      • 技術と運用の組み合わせでしっかり担保する必要アリ

医療情報システムの安全対策について

安全対策（技術面）

• 技術的なセキュリティ
  • 厚労省版ガイドライン「6.2.3 リスク分析」に、セキュリティについて記載アリ
  • （当然ながら）医療データの不正アクセス、改ざん、漏えい等をガードしないといけない
    • 利用者の識別や認証
    • 情報区分管理
    • アクセス権限
    • ログ管理
    • 不正ソフトウェア対策
    • …など
  • これらは下記のAWSサービスで対応することが可能と考える
    • AWS IAM（ユーザーアクセスと暗号化キーの管理）| AWS
    • AWS CloudTrail（ユーザーアクティビティと API 使用状況の追跡）| AWS
    • VPC のセキュリティグループ - Amazon Virtual Private Cloud
    • ネットワーク ACL - Amazon Virtual Private Cloud
    • Amazon Inspector（アプリのセキュリティとコンプライアンスの改善をサポート）| AWS
    • Amazon S3（拡張性と耐久性を兼ね揃えたクラウドストレージ）｜AWS
    • Amazon S3 Glacier（低コストで安全なクラウドアーカイブストレージ）| AWS
  • アクセス管理について
    • CloudTrailで操作証跡を記録
    • ログをS3に保存

安全対策（運用面）

• 人的セキュリティ
  • 医療情報システムの再委託は色々と厳しい
    • 医療機関側にしっかり説明が必要
    • 自社と同等の個人情報保護方針を適用させる
    • …etc
  • これは「クラウドサービス事業者」の対応事項となる
    • AWSは「インフラの外部委託先」という位置づけ
      • 要するにAWSのことではない
    • AWSと事業者の間にはカスタマーアグリーメントがある
      • AWS カスタマーアグリーメント
  • とはいえ、AWS側で行われている人的セキュリティ対策は把握しておく必要アリ
    • ホワイトペーパーがあるので内容を把握しておく
  • クラウドサービス事業者は？
    • 責任共有モデルに基づいた責任範囲について理解
      • 責任共有モデル | AWS
    • カスタマーアグリーメントについて理解
      • AWS カスタマーアグリーメント
    • これらを医療機関にしっかりと説明して理解してもらう必要アリ
    • AWS側は利用者のデータを見ることはできない
      • が、利用者側でデータの暗号化をしておくことは推奨されている
  • 保守アカウントの徹底管理
    • システムを保守するための専用アカウントのログ追跡を徹底するようガイドラインに記載アリ
    • 認証認可→AWS IAM
      • 期限付きのトークンとかも発行できる
    • ログ管理→CloudTrail
      • IAMのログもとれる

医療情報の電子保存と合意形成について

電子保存について

• AWSは電子保存にあたる
• AWSは外部保存にあたる
  • クラウドなので外部扱い
• AWSはネットワークを経由して保存する
  • 場合によってはネットワーク事業者とも協力する必要アリ
• AWSは民間事業者である
• 電子保存の3原則
• 真正性の確保
  • データの作成〜編集〜消去をしっかり管理する
  • マネジメントコンソールのログも対象
    • （データが入った）サーバ（EC2など）を削除できたりするから
    • だから操作証跡も必要
• 見読性の確保
  • いつでも人が読める状態に復元できるようにしておく
  • いつでも閲覧できるようにする
  • 障害対策としての冗長性の確保なども求められる
• 保存性の確保
  • 上記2つが法令等で定められた期間に渡って守られる必要アリ

（医療機関と委託業者の）合意形成

• 責任分界点が重要
  • 例：EC2にインストールされたDBを使う場合とRDSを使う場合の違いをしっかり説明する等

AWSのヘルスケア領域におけるセキュリティ・コンプライアンス対応

AWS側が用意している、セキュリティに関するリソース

• 責任共有モデル
  • 責任共有モデル | AWS
  • 利用者とAWSで責任を共有して対応する
  • お互いが分担協力する
  • 今回のガイドラインもこれに紐付いている
• AWSのセキュリティに対する投資
  • AWS Artifact（コンプライアンスレポートへのオンデマンドアクセス）| AWS
    • 監査レポート
  • クラウド側のセキュリティ
    • 豊富なホワイトペーパー
    • 豊富なセキュリティ機能
    • アクセスコントロール

AWSのセキュリティに関する質問

• クラウド上のシステムは、不特定多数のインターネットからのアクセスが怖い
  • インターネットに出る出ないは利用者が決めることができる
• AWSのデータは勝手に海外に運ばれる？
  • そんなことはない
    • 東京リージョン
    • 大阪リージョン
• 個人情報保護はどう考えたらいい？
  • ホワイトペーパー「日本におけるプライバシーに関する考慮事項に照らした AWSの利用」の公開 | Amazon Web Services ブログ
• データプライバシーは？
  • データプライバシー – アマゾン ウェブ サービス (AWS)
• 製薬・医療機器のコンプライアンス対応は？
  • GxP コンプライアンス – アマゾン ウェブ サービス (AWS)

所感

私は身内に医療従事者がいますが、病院のITシステムは非常に遅れているという話をよく聞きます。医者や看護師は、普段の業務に加えて、学会発表のために医療データを分析したりしますが、ちょっとしたデータを取り出すのにも、非常に不便な環境であることがほとんどだそうです。

医療情報システムがクラウド上に展開されれば、医療業務や医療に関する研究等の効率が飛躍的に向上すると思います（医療サービスを受ける私たちにもメリットがあると思います）。しかし、医療データは他のデータより厳重に管理される必要があるのも事実です。ぜひ、こういったリファレンスを利用して、適切な医療情報システムをクラウドに展開できるようになればいいと思います。