「医療機関向け 『Microsoft Azure』対応セキュリティリファレンス 」の紹介 #Azureリレー
2020-04-22
azblob://2022/11/11/eyecatch/2020-04-22-sec-refference-for-med-on-azure-000.jpg

FIXER 藤井です。新型コロナウィルスへの対応のために、連日過酷な業務を続けている医療従事者の皆様に心から感謝を申し上げます。
Azureが何かお役に立てるのではと考え、この記事を書きました。

「医療機関向けクラウドサービス対応セキュリティリファレンス」について

「医療機関向けクラウドサービス対応セキュリティリファレンス」とは、医療機関の情報システムにおいて、クラウドサービスを利用するために満たすべきセキュリティ要件を示したガイドラインです。厚生労働省、総務省、経済産業省の3省庁がそれぞれの観点で作成して公開しているため、「3省3ガイドライン」とも呼ばれます。
医療機関というのは業務の性質上、「病歴/治療歴」といったセンシティブな個人情報を取り扱うため、セキュリティ面の管理が非常に重要になります。
実際の対応に当たっては「3省3ガイドライン」それぞれについて検討して対応する必要があります。Microsoft Azureにおける対応状況をまとめた結果は、以下のサイトよりダウンロードし閲覧できます。
https://www.mri.co.jp/service/digital015.html#1

「3省3ガイドライン」について

厚生労働省版

  • 正式名称:医療情報システムの安全管理に関するガイドライン 第5版
  • 公開時期:2017年5月
  • サイトURL:https://www.mhlw.go.jp/stf/shingi2/0000166275.html
  • 特徴:「3省3ガイドライン」の中で最も対象範囲が広いです。エンドユーザーである医療機関側を対象に対応事項をまとめています。「医療機関-患者」と「医療機関-ITベンダー」で必要な業務を両方ともカバーしているのは、この「厚生労働省版」のみです。

総務省版

  • 正式名称:クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)
  • 公開時期:2018年7月
  • サイトURL:https://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000209.html
  • 特徴:「3省3ガイドライン」の中で最も対象範囲が絞りこまれています。ITベンダー側の中でも「クラウドサービス事業者(AzureにおけるMicrosoft)」を主な対象に対応事項をまとめています。「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(1.1版)」(2010年)という、SaaS型電子カルテなどを対象にしたガイドラインから発展して、対象をIaaS/PaaSに拡張して作成したという経緯があります。

経済産業省版

  • 正式名称:医療情報を受託管理する情報処理事業者向けガイドライン 第2版
  • 公開時期:2012年10月
  • サイトURL:https://www.meti.go.jp/policy/it_policy/privacy/iryouglv2.pdf
  • 特徴:「総務省版」と補完関係にあると言えます。「クラウドサービス事業者」に限定せず、医療機関への情報システム提供にかかわるITベンダー一般を「情報処理事業者」として対応事項をまとめています。

医療機関においてクラウドを利用する意義

新型コロナへの対応に迫られている、医療機関においてクラウドを利用すれば以下のメリットを期待できます。

  • 情報システムのBCP対策:医療機関に勤務する情報システム担当者自身の感染による業務停止のリスクを軽減できます。
  • 物理的に出勤する情報システム担当者の削減:ネットワーク機器などの存在や急ぎの対応への待機のため、物理的に出勤する情報システム担当者をゼロにすることはできないにしても、クラウドを利用することにより一部をリモート勤務に切り替えることが期待できます。
  • 調達期間の短縮:新型コロナへの対応のため急なシステム増強や追加が必要になっていくことが予想されます。クラウドであるなら、調達スピードが圧倒的に速いです。
  • 小規模クリニックへシステム導入促進:初期費用が安く、また運用保守の人的リソースもミニマムであるため、今までシステム化が進んでいなった小規模クリニックに敷居が低いです。

Azureを利用するメリット

Azureを選択する主なメリットは、以下の2点に集約されます。

  1. 「3省3ガイドライン」の多くのチェック項目が、Azureではすでに「適合可能」で公表されているので「時間を買う」ことができます。3ガイドライン合計で499個の項目がありますが、325個までMicrosoft Azure側ですでに対応されています。残りの項目は、「医療機関内での個人情報の管理」のような項目なので、利用側自身で対応する必要があります。もし現時点で対応状況が公表されていないクラウドサービスを利用する場合、改めてこの499個の項目の対応状況を1つ1つ確認して対応する必要があります。
  2. 「Office 365」と「Dynamics 365」(最近、Microsoft 365に改称)についても、「医療機関向けクラウドサービス対応セキュリティリファレンス」への対応状況がすでに公開されている点が、AWSと比較した場合の優位点です。AWSももちろん単体では、「医療機関向けAWSセキュリティリファレンス」は公開済みです。クラウドではサービス同士を組み合わせて利用するケースが多いため、同じMicrosoft 提供で親和性の高い「Office 365」と「Dynamics 365」のガイドライン対応状況が公開されていることは、AzureかAWSかを選択するときの重要なポイントです。

終わりに

緊急事態宣言が発令されて社会が停止状態になり、自身も在宅勤務を続ける中、1クラウド技術者として自分に何ができるか日々考える中で、「医療機関向けクラウドサービス対応セキュリティリファレンス」の中身を見てみることにしました。項目数が多くて大変かもしれませんが、興味のある方は読んでみることをお勧めします。