医療ヘルスケアセキュリティ
OVERVIEW
医療ヘルスケアデータのセキュリティ対策
医療ヘルスケア領域におけるデジタル化が進むことによって、様々なデータがクラウドには蓄積することになります。医療機関等においては、マイナンバーカードの健康保険証利用、電子処方箋といった新しい制度の導入に伴い、情報セキュリティ対策の重要性は一層高まっています。また民間PHR事業者によるマイナポータルと連携した医療健康情報を用いたサービス提供など、医療機関以外の事業者においても医療ヘルスケアデータの取り扱いが広がっています。
医療ヘルスケアデータは機微情報であるため、データを守るためには、アプリケーション開発の視点、クラウド環境の視点、そして運用の視点において適切なセキュリティ対策を行う必要があると考えています。
その対策を行うためには、厚生労働省・総務省・経済産業省が提供する3省2ガイドラインである「医療情報ガイドライン」に沿ったセキュリティ対策を基本として、対応をしていく必要があると考えています。
Medical Information System Security Management Guideline
医療情報ガイドラインに沿ったセキュリティ対策支援
医療情報システムをクラウドで構築・運営するにあたり、医療機関・介護事業者および医療情報システムを受託する事業者に対するセキュリティ対策の指針として、厚生労働省・総務省・経済産業省より「医療情報ガイドライン」(いわゆる3省2ガイドラインといわれるもの)が提供されています。
- ・厚生労働省「医療情報システムの安全管理に関するガイドライン第5.2版」
- ・経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
また、医療ヘルスケア領域においても、 PHR(Personal Health Record)の取り扱いに関して「民間PHR事業者による健診等情報の取扱いに関する基本的指針」が経済産業省・総務省・厚生労働省より提供されており、医療ヘルスケアデータ取り扱い事業者においては、各種ガイドラインを踏まえたセキュリティ対策が求められます。
医療機関においては厚生労働省のガイドラインへの対策の一貫として利用する医療情報システムの委託先における対策状況を確認することが求められます。
また、医療ヘルスケア・サービス提供事業者においては、医療情報ガイドラインに準拠していることを示すため、提供サービスが医療情報ガイドラインの要求事項を満たしているかどうかを確認し、要求事項を満たしていない点については改善し、ガイドライン対策状況を明文化することにより、医療機関からの対策状況の確認に応えられる状態とすることが必要となります。
クラウドベンダーにおいても、自社サービスを医療情報システムとして利用する場合のセキュリティ対策状況が整理されている場合があり、Amazon Web Service(AWS)においては、関連パートナーによる「医療情報システム向け AWS 利用リファレンス」なども提供されていますが、クラウド環境だけではカバーされないセキュリティ対策領域も多い状況です。
本サービスにおいては、メディエイドがこれまでの医療ヘルスケア領域において携わってきたシステム開発・構築経験で培ったセキュリティ対策ノウハウを活用して、包括的なセキュリティ対策支援をさせていただきます。
CASE STUDY
メディエイドのセキュリティ対策に関する事例
医療ヘルスケア領域における包括的なセキュリティ対策支援として、様々な支援を行うことが可能です。
CASE01
セキュリティ・アセスメント支援
医療情報ガイドライン(3省2ガイドライン)に記載されているセキュリティ対策の要求事項について、メディエイドが保有するセキュリティチェック・テンプレートを活用して、これから開発されようとしているシステム、もしくは現在運用中のシステムに対するセキュリティ対策状況のセキュリティ・アセスメントを行います。
セキュリティ・アセスメントの流れ
CASE02
セキュリティ設計支援
セキュリティ・アセスメントにおいて発見された、システムとして必要とセキュリティ対策を行うため、すでに稼働しているシステムがある場合には必要となる具体的なセキュリティ対策案の提示を、新たにシステム構築を行う場合にはアプリケーション開発における視点、クラウド環境における視点、システム運用やシステムを取り巻くルール(契約や体制等)の視点からの対策案をご提示します。
また案の提示にとどまらず、アプリケーションやクラウドへのセキュリティ設計の支援を行うことも可能です。
セキュリティ設計の対象
CASE03
ドキュメント作成支援
セキュリティ対策状況を公開するために作成する「サービス仕様適合開示書」や、セキュリティ設計における設計書などの関連ドキュメントの作成を行います。
CASE04
利用規約やサービス契約書等の作成支援
薬事に詳しい弁護士と連携をし、薬事法やガイドラインなどを踏まえて、提供するサービスのスキームやシステム構成などを踏まえ、利用規約やサービス契約書などの作成支援、もしくはチェックなどの対応をいたします。
CASE05
プライバシーマーク取得支援
医療情報ガイドラインでも取得が求められているMedisの「プライバシーマーク」について、プライバシーマーク取得コンサルタントとの連携をしつつ、医療情報ガイドラインチェックと合わせ、プライバシーマーク取得において必要な点についてもチェックし、フィードバックをさせていただく支援をさせていただきます。
CASE06
脆弱性診断支援
医療情報ガイドラインでは、運用中のシステムもしくは構築したシステムに対して、外部からの攻撃への対策が適切に開発・設定されているかどうかをチェックするため、第三者機関による「脆弱性診断」を実施することが求められています。
脆弱性診断を実施する際には、診断実施機関に対しての情報提供や、診断結果を受けてのシステム変更が必要となりますが、試験対象の整理や診断結果を受けた対策方法の検討支援を行います。
CASE07
セキュリティ対策支援
運用中のシステムに対するセキュリティ対策として、WAF(Web Application Firewall)(*1)やIDS/IPS(Intrusion Detection System/Intrusion Prevention System)(*2)、ファイル無害化システム(*3)等のセキュリティソリューションの導入・運用を求められるケースもあります。当社ではセキュリティ対策の経験を踏まえまして、これらのセキュリティソリューションの導入や、インフラやアプリケーションを含めたクラウド環境全体に対する障害等のシステム監視運用までトータル的に支援させていただきます。
*1 主に、ユーザーからの入力を受け付けたり、リクエストに応じて動的なページを生成したりするタイプのWebサイトを不正な攻撃から守ります。一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析できるのが特徴です。
*2 IDSは不正侵入検知システムとも呼ばれるセキュリティ確保の仕組みです。異常を検出した場合には、管理者へ通知を行いますので管理者はこの通知を受けとって、異常な通信をブロックするなどセキュリティを確保するための対処をするきっかけ(トリガー)とすることができます。またIPSは不正侵入防止システムとも呼ばれるセキュリティ確保の仕組みです。IPSは、IDSに異常を検知した場合の対処として通信のブロックを行う機能を付加した仕組みです。IDSでは異常な通信を見つけた際には管理者へ通知していましたが、IPSは通知するだけではなく、その通信を遮断するところまでの対応を行います。医療情報ガイドラインにおいて導入を要求されています。
*3 システムに対する外部からのファイルの入力において、不正なソフトウェアがアップロードされることを防止する仕組みです。アップロードされたファイルの内容を精査して、ファイルとして本来不要なプログラム処理などを排除するなどの処置を行い、悪意のあるコードがない状態のファイルとしてシステムに受け渡すことで、システムへのアップロード後に悪意のあるコードにより引き起こされる可能性のあるシステム破壊や情報漏洩等の攻撃を防止する事が可能です。「民間PHR事業者による健診等情報の取扱いに関する基本的指針」において導入を要求されています。