医療情報ガイドラインの AWS 対応方法を調べてみた

2024.05.19

興味があって医療情報ガイドライン関連の AWS ブログを読んでいました。知識不足で調べた結果と自分のメモをまとめました。

医療情報ガイドラインとは

医療情報の具体例

医療情報ガイドラインを理解する前に、医療情報の定義を知る必要があります。

医療情報とは、医療従事者が作成・記録した医療に関連する情報全般を指します。具体例は以下の通りです。

  • 患者の健康状態
  • 診療記録
  • 検査画像データ
  • 看護記録
  • 麻酔記録
  • 手術記録
  • 調剤録など

上記には個人を特定できる情報(例:氏名、住所、電話番号など)が含まれます。

医療情報は個人情報保護法における「要配慮個人情報」に該当し、法令や指針に定められた要件を満たす取り扱いが求められます。

3 省 2 ガイドラインと医療情報ガイドラインの関係性

厚生労働省、総務省、経済産業省の 3 省が定めた 2 つの医療情報システムのガイドラインが提供されており、それらを 3 省 2 ガイドラインと総称されています。

  1. 医療情報システムの安全管理に関するガイドライン
  2. 医療情報を扱う情報システム・サービスの提供事業者における安全管理ガイドライン

IT ベンダーに関係するのは、システム・サービス提供事業者向けの「医療情報を扱う情報システム・サービスの提供事業者における安全管理ガイドライン」です。

日本では全ての医療行為は医療法等で医療機関等の管理者の責任で行うことが求められており、クラウドサービスを利用する場合も、医療情報システムの構築や運用にあたっては、安全かつ適切な技術的及び運用管理方法を確立し、安全管理や e-文書法の要件等への対応を行っていく必要があります。

医療情報システムの3省2ガイドラインとは何をさしていますか?

各ガイドラインの最新版(2024 年 5 月時点)

3 省 2 ガイドラインは版の改定が行われるため参照するときはを確認しましょう。

医療情報システムの安全管理に関するガイドラインは 2023 年 05 月 31 日に厚生労働省より発表された「第6.0版」。 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインは 2023 年 07 月 07 日に総務省、経済産業省より発表された「1.1版」。

3 省 2 ガイドラインの位置づけ

法的な拘束力はありません。ですが、軽視するわけにもいきません。

基本的に守らないといけないがどこまでやるかは曖昧

リスクベースアプローチが求められており、明確なゴールは存在しなく対応基準が曖昧です。そのため、医療機関と合意形成を行うことが必要になってきます。

画一された要求事項が定まっていないことにより「どこまでやれば対応したと言えるのかが分からない」「リスクベースアプローチと言うが、具体的にどうやって対応を始めればいいのか分からない」と感じるサービス提供事業者もいらっしゃいます。

引用: 医療情報ガイドラインをクラウド上で実践する -概要編- | Amazon Web Services ブログ

金融機関向けのセキュリティガイドラインである FISC もリスクベースアプローチが必要ですし、セキュリティ対策のガイドライン対応ではよくあるパターンですね。

詳細は以下のリンクを確認ください。図もありわかりやすいです。

リスクベースアプローチとは

リスクの特定、評価、管理を通じて、リスクを最小限に抑えるための手法です。

すべてのリスクを同等に扱うのではなく、リスクの重大性や影響度に基づいて優先順位をつけ、リソースを最も効果的に配分することを目指します。リスクの重大性に基づいてリソースを配分するため、例えば致命的なデータ漏えいリスクの対応を優先し、軽微なリスクであれば受容するといった状態になります。

すべてのリスクをカバーまたは、コントロールすることは現実的なのか?という話になるため、医療機関と合意形成取ることになります。

また、こういったように進めないといけないというルールもありません。具体的な進め方の例として、リスクアセスメント(リスク特定、分析、評価)からはじまり、リスクに対して対応を検討します。それらを文章化して説明し医療機関と合意形成とるといった流れが例として AWS ブログで紹介されていました。

資料作成について

医療機関と合意形成をするために一般的には資料作成が必要になります。これらの資料も「これがあれば OK」というものは定義されていません。

資料の参考例は以下のリンクで紹介されています。

医療情報システム向け AWS 利用リファレンス

3 省 2 ガイドラインに AWS 環境上で対応するための考え方や関連する AWS の情報を整理した参照文章が公開されています。 リファレンスは以下のリンクから、AWS パートナー企業のサイトでダウンロードできます。

各 AWS パートナー様の Web サイトによっては様々なリファレンスを配布しているところもあります。ダウンロードする資料をお間違いないようにお気を付けください。

  • 2024 年 3 月現在公開されているリファレンスは 3 省 2 ガイドラインの第 5.2 版(2020 年 8 月リリース)に対応したものである
  • 現在公開されているリファレンスは現行のガイドラインに準拠した内容ではない
    • 現時点の最新は第 6.0 版(2023 年 5 月リリース)
    • 現在のリファレンスは過去の版(第 5.2 版)を参照して作成されたものである
  • 2023 年 8 月時点で AWS で実装するためのリファレンスの改定作業中とのこと
    • 2024 年 5 月時点では続報のアナウンスを確認できておりません

このリファレンスを使えばすべて済むわけではありません。ですが、有用な情報ではあります。個人情報の入力なしにダウンロードできるため、先に一度内容を確認してみると良いでしょう。※ すべてパートナーのサイトから資料ダウンロードを試していないため、パートナー企業によっては個人情報の入力を求めるフォームがあるかもしれません。

医療機関と AWS のネットワーク構成について

ネットワークに特化した説明があったので気になった点をまとめました。

セキュアなネットワークとオープンなネットワーク

医療機関(オンプレ環境)と AWS への接続方法は 2 つの考え方があり、セキュアなネットワークと、オープンなネットワークと呼ばれています。 原則としてセキュアなネットワーク(閉域網)を利用することが推奨されており、コストなどの観点から IP-Sec VPN の利用も可能です。

  • セキュアなネットワーク
  • オープンなネットワーク
    • AWS Site-to-Site VPN(IPsec VPN)
    • mTLS を利用したクライアント認証してインターネット経由で API Gateway、ALB からシステムへの接続

画像引用: 医療情報ガイドラインをクラウド上で実践する – ネットワーク編 Part 1 | Amazon Web Services ブログ

セキュアなネットワークのユースケース

AWS Direct Connect、IP-VPN 接続時のユースケースです。

  • ミッションクリティカルな医療情報システム
    • クラウド型の電子カルテシステムなど
  • セキュリティ観点
    • 患者のゲノム情報
    • 特に機密性の高い情報を扱う場合など
  • データ量の観点
    • 高解像度の医用画像の転送等により大容量の通信が想定される場合
    • PACS (医用画像管理システム)など

オープンなネットワークのユースケース

AWS Site-to-Site VPN、IPSec VPN 接続時のユースケースです。

  • AWS Direct Connect のバックアップ回線を安価に用意
  • 医療情報の 2 次利用基盤としてクラウドを活用
  • スモールスタートでクラウドのスケール可能な計算リソースを活用

ネットワーク構成事例

得てして他社事例を求められることが多いので Web 公開されている情報をまとめました。

藤田医科大学 羽田クリニック様

Direct Connect と Site-to-SiteVPN 併用し、Transit Gateway で集中管理。

国立循環器病研究センター様

おそらく Direct Connect と Site-to-SiteVPN 併用。

日本医師会ORCA管理機構様

Direct Connect で接続し、Transit Gateway で集中管理。

シスメックス株式会社様

おそらく mTLS を利用したクライアント認証してインターネット経由の ALB アクセス構成。

IPSec VPN 接続構成。

おわりに

医療情報ガイドラインのクラウド対応は法的拘束力がないものの、ガイドライン対応はリスクベースアプローチで、医療機関とサービス提供事業者が合意形成を行う必要があります。具体的な対応方法や資料作成の参考例は AWS のブログや 医療情報システム向け AWS 利用リファレンスが参考になりました。

Google Cloud で構築するときはどうしようかと調べていたら、同じく対応リファレンスが公開されていました。

医療情報システム向け「Google Cloud」対応セキュリティリファレンス | PwC Japanグループ

既存のリファレンスを活用しつつ、医療情報ガイドライン対応を進めていくのが近道といったところでしょうか。

参考