こんにちは。日本ヒューレット・パッカードのオープンソース・Linuxテクノロジーエバンジェリストの古賀政純です。新型コロナウイルス(COVID-19)のヒトへの大規模な感染が確認され以降、民間企業・医療現場・公共施設などでさまざまな感染対策が行われてきました。医療系の研究機関では、既存ワクチンの適用試験や新薬開発が行われており、医療事業者の取り組みが大きくクローズアップされています。今回から複数に分けて、医療や生命科学分野のITについて取り上げます。今回は、医療ITの近代化と法規制の概要について紹介します。
欧米の医療機関におけるIT近代化
米国では、総合病院や製薬会社、生命科学の研究所などにおいて、膨大な予算をかけて最先端のIT基盤が次々と導入されています。近年は、医療情報のデジタル化の一つとして、遠隔画像診断と人工知能(AI)、ビッグデータを組み合わせたシステムなどが注目を浴びています。医療機関が管理しているデジタル化した患者のカルテは、電子医療記録(Electronic Medical Record:EMR)と呼ばれます。
今までのEMRは、検査結果などがテキスト文字として保存されているに過ぎませんでしたが、現在は医療診断用の非常に鮮明な画像データが利用されます。患者の医療画像を分析ソフトウェアに読み込ませて、医師や病理学者に新たな気付きを与えるといった、いわゆる「診断支援AI」が大きな注目を浴びています。
また、個人の病歴やアレルギー情報、予防接種の有無などの健康情報をビッグデータ基盤に保管し、医療施設同士やそれ以外の施設をまたいだ形で共有できるEHR(Electronic Health Record:EHR)やウェアラブル機器とIoTを組み合わせた最新技術の導入検討も増えています。
図1.医療・生命科学分野で既に導入、または構想段階の最先端IT基盤の傾向
※クリックすると拡大画像が見られます
医療IT近代化の壁
米国の医療機関の全てが、そのような最先端のIT基盤で整備されているかというと、決してそうではありません。大規模な医療施設や研究所で巨額の予算をかけて導入した最先端のITソリューションやサービス導入事例がベンダーから数多く紹介されていますが、一方で、過疎地域や小規模な医療機関では、機器の購入予算や人員確保が困難という理由で、なかなかIT基盤の更改が進まないことも少なくありません。医療機関内で閉じたEMRを入れているものの、古いWindows PCと電話/ファクスで業務をこなす、いわば「レガシーITの延命」で運営している医療機関も存在します。
米国の医療におけるITを語る場合、絶対に法規制の話を避けて通るわけにはいきません。実は、米国の医療機関において、レガシーITをそのまま延命している要因の一つに、米国政府が定めた規制が挙げられます。
1996年、米国では医療データのプライバシーに関する法律である「Health Insurance Portability and Accountability Act(HIPAA法)」が施行されました。HIPAAには、医療に従事する関連組織向けのプライバシーやセキュリティに関する規則が含まれており、個人の保健情報を利用しようとする事業体は、HIPAAへの準拠が求められ、違反すれば罰則も科せられます。電子媒体だけでなく、紙媒体や口頭での伝達であっても、個人を特定できる保健情報にHIPAAのプライバシールールが適用されます。
このHIPAAでは、これらの個人を特定できる保健情報は「Protected Health Information(PHI:保護対象保健情報)」と呼ばれ、個人の健康情報や支払い情報といった患者の機密情報が含まれます。また、HIPAAだけでなく「Health Information Trust Alliance 共通セキュリティフレームワーク(HITRUST CSF)」と呼ばれる医療関連の規制・標準に関する認証フレームワークの認定取得、さらに欧州では「General Data Protection Regulation(GDPR)」と呼ばれるデータ保護規則もあります。
医療IT基盤においては、HIPAA、HITRUST CSF、GDPRなど、さまざまな規制を順守する形でIT機能要件を定めなければならず、患者のPHI(保護対象保健情報)を扱う事業者は、必ずセキュリティ対策を行わなければなりません。
具体的には、医療施設へのアクセス、PC、ワークステーション、電子メディアの利用、e-PHI(電子的な保護対象保健情報)のアクセス制御や利用、削除、廃棄、ユーザーID管理、自動ログアウト機能、データ暗号化と復号手順、不正アクセス対策、緊急時のアクセス手順、ソフトウェアやハードウェアレベルでのログの取得など、患者の機密データを提供する側は、物理的なものも含めて、これらの保護手段や安全対策を厳密に規定、実施しておく必要があるのです。
規制の順守と利便性の両方を追究すればするほど、IT基盤自体が複雑化し、開発の初期投資が非常に高額になるのです。そのため、予算の確保が困難な医療機関では、新規ITの導入に積極的になれず、そのままレガシーシステムを使い続ける現状維持の状況が続くわけです。
図2.医療・生命科学分野における最先端IT導入の壁
※クリックすると拡大画像が見られます
HIPAAコンプライアンスの必要性
米国において、このような法整備や規制が非常に重視される背景には、個人の保健情報の流出、医療情報の不正利用、IoT医療機器を狙ったハッキングの増加などが挙げられます。インターネットの本格的な普及とともに、医療データへの不正アクセスが急増し、ランサムウェア攻撃と呼ばれる身代金の要求なども増加しました。これらのセキュリティ対策を本格的に行うことを怠ると、最終的には、その医療機関の運営や国の医療体制の根幹を揺るがす事態になってしまいます。
そして、無線通信を使った医療機器の発達、虹彩や静脈などを使った認証技術など、ますます生体・医療情報が電子的に取り扱われるようにつれ、悪用する者も現れます。無料で便利だからといって、出所の不明の怪しいフリーソフトウェアやDockerコンテナーイメージ(ユーザーが利用する実行ファイル、ライブラリー、アプリケーションなどをひとまとめにパッケージングしたコンテナーの元となるもの)を何も考えずに安易に入れれば、そこから情報流出や不正利用が広がる可能性もあります。
入退室管理、アクセス制御、監査、物理的な機器のセキュリティ、OS、コンテナーエンジン、アプリケーションレベルの情報セキュリティ対策等を徹底することで、機密性の高いドキュメント、研究データ、組織内SNS、医療スキャン画像など、あらゆる形式の医療データをいつでも安全に利用し、エビデンスに基づいた質の高い医療サービスを提供することが期待されています。医療に関わる事業提供者やその関係者に対して、規制を設けることで不備のあるIT利用、不正利用、ハッキングからの脅威に立ち向かい、国全体として医療体制や医療サービスの提供事業者の健全な維持をはかる必要があるわけです。
そして、規制のもとに、データ保護戦略を実施することによって、PHIのセキュリティと高い可用性を同時に確保することで、長い目でみれば医療事業提供者と多くの患者の信頼維持につながります。
HIPAA規制を順守し、最先端の高度なITを駆使して、患者のPHI(保護対象保健情報)を適切に保護し、国民生活の質の向上に資する医療機関やITベンダーが求められているのです。
図3.法規制への対応が求められる背景
※クリックすると拡大画像が見られます
- 古賀政純(こが・まさずみ)
- 日本ヒューレットパッカード オープンソース・Linuxテクノロジーエバンジェリスト
- 兵庫県伊丹市出身。1996年頃からオープンソースに携わる。2000年よりUNIXサーバのSE及びスーパーコンピュータの並列計算プログラミング講師、SIを経験。2006年、米国ヒューレットパッカードからLinux技術の伝道師として「OpenSource and Linux Ambassador Hall of Fame」を2年連続受賞。プリセールスMVPを4度受賞。現在は、日本ヒューレットパッカードにて、Linux、FreeBSD、Hadoop、Dockerなどのサーバ基盤のプリセールスSE、文書執筆を担当。Red Hat Certified Virtualization Administrator、Novell Certified Linux Professional、Red Hat Certified System Administrator in Red Hat OpenStack、Cloudera Certified Administrator for Apache Hadoopなどの技術者認定資格を保有。著書に『Docker実践ガイド』『CentOS 7実践ガイド』『Ubuntu Server実践入門』などがある。趣味はレーシングカートとビリヤード。
