2018年6月19日、キヤノンITソリューションズ、NEC、日立システムズ、フィラーシステムズの4社は、「医療情報システム向けAWS利用リファレンス」を共同作成したことを発表した。アマゾン ウェブ サービス ジャパンと4社による共同発表会では、医療業界でのAWSの実績、クラウド導入の課題、日本における3省4ガイドライン、リファレンスの概要などが説明された。
医療機関はなぜAWSを導入するのか?
冒頭、登壇したアマゾン ウェブ サービス ジャパンの梅谷晃宏氏は、ヘルスケア・ライフサイエンス分野での実績をアピール。ファイザー、ブリストルメイヤー、シーメンス、ノベルティスなどの大手の製薬企業や医療機器メーカーなどがAWSを採用しており、たとえばフィリップスのヘルスケア部門では約3700万件におよぶ医療情報の転送をAWS導入で大幅に短縮したという。また、日本国内でも医療画像の保存にAmazon S3を採用した東芝メディカルシステムの事例が2012年には生まれているという。
アマゾン ウェブ サービス ジャパン Office of The CISO 梅谷晃宏氏
なぜ医療機関や医療系のシステム事業者はAWSを導入するのか? 梅谷氏は、AWSが各種の認証、認定、監査などをグローバルで取得し、AWS責任共有モデルによりユーザーのコンプライアンス要件の準拠を支援している点を指摘する。また、IDやアクセス管理、監査、インフラやデータ保護、インシデントレスポンスなどのセキュリティ機能を提供し、広範な可視性と統制を担保している点も大きいという。
AWS責任共有モデル
たとえば、米国ではHIPPA(米国の医療保険の相互運用性と説明責任に関する法令)という規制があるが、AWSではこのHIPPAに準拠したアプリケーションを開発するためのホワイトペーパーを提供している。プライバシーやセキュリティなどのルールはもちろん、ポイントとなるデータ転送や保管時の暗号化、さらには監査やバックアップ、障害復旧に至るまで、AWSのサービスをどのように活用すべきかなどを幅広く説明している。
さらに、法令準拠のためにデータの格納場所を選べる点やKMS(Key Management Service)による包括的な暗号化機能、サービス連携によるセキュリティオートメーションも実現している。特にセキュリティオートメーションは、運用にセキュリティを組み込んでいくDevSecOpsを実現するAWSの大きな価値になるとのこと。梅谷氏は、「基本的にセキュリティインシデントは人間の操作に起因することが多い。今後は、なるべく人の操作を減らしていくこと、自動化していくことが重要になる」と指摘。これに対してAWSでは、Amazon GuardDutyで脅威を検知し、CloudWatchでイベント通知し、Lambdaでインシデント対応するといった自動化をサービスの組み合わせで実現できるという。
医療情報システムリファレンスに至るまでの道
これまでAWSとパートナーは、各業界のセキュリティガイドラインに対応するリファレンスを作成・提供してきた。政府・公共機関向けの内閣サイバーセキュリティセンター、金融期間向けのFISC、製薬業界のCSVのガイドライン対応に引き続き、今回は医療業界向けにもリファレンスが提供されることになり、規制産業としては「最後の穴が埋まった形」(梅田氏)になるという。発表会の後半では、リファレンスを作成した4社を代表し、キヤノンITソリューションズの上島努氏がリファレンス共同作成に至るまでの課題について説明した。
キヤノンITソリューションズ クラウドサービスコンサルティング部 シニアITアーキテクト 上島努氏
現在、カルテに書かれる患者の基本情報や病歴、既往歴、家族歴、嗜好、社会歴、検査情報、看護記録など医療情報の多くは重要な個人情報と位置づけられ、医療機関は最終診療の最低5年後までの保存、カルテ以外の診療情報も2年間の保存が義務付けられている。上島氏は「昨年の個人情報保護法の改正により、これらは要配慮個人情報として明確に定義され、多くの医療機関は診療情報を扱う『個人情報取り扱い事業者』になった」と語る。
一方で、これらの医療情報を紙媒体で管理するのは、検索性や物理的なセキュリティ、災害対策という観点でも大きな課題があった。電子化においても、専門家の不在やシステム投資、保存容量の逼迫といった問題があるため、従量課金で利用でき、運用負荷の低いクラウドに期待が集まってきた。特に2010年の厚生労働省の通達により、医療情報の外部保存が可能になったことで、クラウド利用の道が開けてきたという。
こうした中、システムにおける医療情報の安全な取り扱いを目的とし、電子保存に関する要求事項のほか、厚生労働省、経済産業省、総務省による医療情報システムに関するガイドライン(3省4ガイドライン)が制定されている。しかし、数百を超える要求事項とAWSのシステム仕様をつきあわせ、システムがきちんとガイドラインに適合できているのかを調査、解釈、判断するのは大きな負荷が生じていた。実際、医療系としては国内でいち早くAWSを導入した東芝メディカルシステムは、3省4ガイドライン遵守のための解釈やエビデンス収集のために約1年近くを費やしたという。
3省4ガイドラインの概要
医療情報を扱うシステムでのAWS利用を促進する
こうした課題を解消すべく、AWSとパートナー4社で作られた「医療情報システム向けAWS利用リファレンス」は、AWS環境で医療情報を取り扱う場合、3省4ガイドラインに対応するための情報をまとめたもの。3省4ガイドラインだけにとどまらず、ISO、米国公認会計士協会、HIPPAなどのガイダンスも参考にし、さらにAWSと4社でそれぞれの客観的な解釈を盛り込んだという。
リファレンス自体はガイドラインの要求事項とAWSの対応内容、対応可能である根拠、受託事業者で必要な対応、追加の推奨事項などがまとまった本体のほか、対応と推奨事項を実施する上で必要なサービスの組み合わせを例示した参考アーキテクチャも含まれている。本リファレンスを参照することで、AWSの活用を検討する医療機関や医療情報を扱うシステム事業者は、各ガイドラインに定められたセキュリティ・安全対策管理に対し、AWSのサービスが適合するかどうかを簡単に調査できるという。
リファレンスの概要と利用イメージ
リファレンスはガイドラインの要求事項に対して、AWSが対象となる項目と対象外となる項目が洗い出されている。たとえば、物理的な安全対策として要求されるデータセンターへのアクセスなど、AWS基準を取り入れることで対応が不要となる項目もあるが、情報破棄の要求事項に対するEBSでのワイプ処理などAWS基準を取り入れても、ユーザー側が別途対応しなければならない項目もある。また、ログオンパスワードの管理で具体的な要求事項が求められている場合は、そもそもAWS基準の対象外でユーザー対応が必要になるという。
今回のリファレンスの提供により、医療情報の適性かつ安全な取り扱いを実現することで、医療情報における適切なクラウドの利用を促進する狙いがあるという。各省のガイドライン改定のタイミングに合わせて随時公開される予定で、2018年の第3四半期までに経済産業者版リファレンス、年内には総務省版、厚生労働省版がリリースされる見込みとなっている。
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります