キヤノンITソリューションズとNEC、日立システムズ、フィラーシステムズは6月19日、医療情報システムをAmazon Web Services(AWS)で構築、利用する際の参照資料「医療情報システム向けAWS利用リファレンス」を共同で作成すると発表した。厚生労働省と総務省、経済産業省が発行する計4種類のガイドラインをベースとして7月から順次、無償公開していくという。
参照資料は、個人情報を含む医療情報を取り扱う医療機関と、医療情報システムを提供する事業者を対象にしている。海外では、医療情報システムをAWSなどのクラウド環境で構築、運用するケースが広がっており、AWSでは米国の「医療保険の携行と責任に関する法律(HIPAA)」など各国の各種業界規制に準拠している。
「医療情報システム向けAWS利用リファレンス」の概要
今回の取り組みは、3省の4種類のガイドラインに照らしてAWSで医療情報システムを利用する際に、(1)AWS側が対応しておりユーザー対応が不要な点、(2)AWSの対応内容をベースにユーザーが追加的に対応すべき点、(3)AWSになくユーザーが独自に対応すべき点――の3つの観点から、具体的な方法などを示すとしている。作成に当たっては、ガイドラインの他にも品質マネジメントシステム(ISO 9001)や情報セキュリティマネジメントシステム(ISO 27001)、クラウドサービスセキュリティ(ISO/IEC 27017)などの技術標準も参考にするという。
取り組みでは、まず7月に経済産業省が発行する医療機関などから受託して医療情報を処理する事業者向けの「医療情報を受託管理する情報処理事業者向けガイドライン」に基づいた参照資料を公開する。その後、厚労省の「医療情報システムの安全管理に関するガイドライン」および総務省の「ASP・SaaSにおける情報セキュリティ対策ガイドライン」「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」に基づく参照資料を順次作成し、2018年末までに4社それぞれのウェブサイトで公開する予定。ユーザーは各社サイトから無償ダウンロードできる。
記者会見したキヤノンITソリューションズ クラウドサービス推進本部 シニアITアーキテクトの上島務氏によれば、3省の4種類のガイドラインには合計で数百の項目があり、クラウド環境で医療情報システムを利用するために必要な準拠などの作業が非常に煩雑になるという。参照資料は、AWSを利用する場合にユーザーに対応が必要なポイントとその例を分かりやすく示すことで、作業負荷の軽減を支援するものと説明している。
またアマゾン ウェブ サービス ジャパン Office of The CISOの梅谷晃宏氏は、HIPAAなどの各種規制への取り組みとして、AWS側における対応領域とユーザー側の対応領域を明確にする「責任共有モデル」を示すことで、ユーザーが各種規制への対応を容易に進められるように支援していると説明する。ユーザーは4社が作成する参照資料を活用して、各種ガイドラインへのコンプライアンスを実現できる可能性を高められるだろうとした。
AWS側とユーザー側のそれぞれの対応領域を示す「責任共有モデル」
医療情報の取り扱いにおいてはAWSが提供しているデータの暗号化やID/アクセス制御、挙動監視、インシデント対応などのセキュリティ機能やサービスが役立つとし、一例として、AWS環境に保存されているデータへのアクセスを監視し、不審な操作内容など検知すると、アクセスを遮断して、正規の状態へ自動的気に復旧させる仕組みなどを紹介した。