Amazon Web Services ブログ
医療情報ガイドラインをクラウド上で実践する -詳説編-
本ブログシリーズでは、厚生労働省より策定された「医療情報システムの安全管理に関するガイドライン」(以下厚労省ガイドライン)と経済産業省・総務省より策定された「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下2省ガイドライン)を合わせた通称3省2ガイドライン(医療情報ガイドライン)の AWS における医療情報システム構築における技術的なポイントについても取り上げていきます。
第 3 弾となる本ブログでは、この医療情報ガイドラインをクラウド上でどのように実践していくかを解説します。概要編ではサービス提供事業者の対応方針について全体像を見ました。詳細編では 1 つ 1 つのステップについて細かく見ていきます。
本ブログシリーズの各種リンクはこちら。
- 医療情報ガイドラインの改定から読み解くクラウド化
- 医療情報ガイドラインをクラウド上で実践する – ネットワーク編 Part 1
- 医療情報ガイドラインをクラウド上で実践する – ネットワーク編 Part 2
- 医療情報ガイドラインをクラウド上で実践する -概要編-
- 医療情報ガイドラインをクラウド上で実践する -詳説編-
リスクマネジメントプロセスのおさらい
概要編では対象事業者が行うべきリスクマネジメントプロセスのフェーズとして「リスクアセスメント」「リスク対応」「リスクコミュニケーション」に大きく大別できることを紹介しました。次の章からは各フェーズとその中のステップの中身についてより細かく見ていきます。
医療情報システム向け AWS 利用リファレンス 概要資料と2省ガイドラインの中身をベースに作成
さらに各ステップにおいて参考にできる資料とのマッピングを下図に示します。いくつか参考資料が出てくるため、このマッピングを念頭に置きながら読み進めていただくと整理しやすいでしょう。
各フェーズにおける対応方針
ここからはリスク対応フローの各フェーズにおける対応方針例を取り上げていきます。しかしながら、いきなり全てのステップを 1 から遂行しようとすると全体像が見えなくなることも多いです。どのような観点で対策を進めていくのかの全体像を把握するためにも、各フェーズに進む前に厚生労働省より公開されている「医療機関におけるサイバーセキュリティ対策チェックリスト」や「(事業者確認用)薬局におけるサイバーセキュリティ対策チェックリスト」に一通り目を通すことをお勧めします。例えばですが、「医療機関におけるサイバーセキュリティ対策チェックリスト」では、「事業者内に、医療情報システム等の提供に係る管理責任者を設置している。」「退職者や使用していないアカウント等、不要なアカウントを削除している。」といった項目が存在しています。
リスクアセスメント・リスク対応フェーズ
参考資料
リスクアセスメント・リスク対応フェーズでは、主に特定したリスクに対してどのように対応するかの方針を決めた上で、対応したリスク一覧を文書化するところまで行います。このフェーズにおいて対応工数を減らすために有用な資料を 2 つご紹介します。
1 つ目が 2 省ガイドラインで公開されている「別紙2 統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」(EXCEL形式)(以下別紙 2)です。別紙 2 について 2 省ガイドライン本編では「従前の情報処理事業者ガイドライン及びクラウド事業者ガイドラインの要求事項を医療情報安全管理ガイドラインとの対応関係を踏まえ対策項目として整理・統合した別紙 2 を用い、その全ての対策項目について対応していることを確認をすることは、対象事業者による対策の設計や妥当性の判断、説明義務への対応において必須である。」と言及されており、従前のガイドラインの要求事項を厚労省ガイドラインとの対応関係を踏まえて整理・統合したとあります。さらに整理・統合された「対策項目により対策可能なリスクシナリオ例」についても言及されています。この表を参照することで、リスクシナリオごとの医療機関側の対応とサービス提供事業者側の対応とのマッピングを容易に実施できます。具体的には上図のように大きく3つのパートから成り立っています。
- 対策項目:対策項目例に関連する従前の情報処理事業者ガイドライン及びクラウド事業者ガイドラインの要求事項を、「人的・組織的」・「物理的」・「技術的」の3つの対策の観点毎に整理・統合した内容。主な実施主体として、対象事業者を想定する。
- 対策項目により対策可能なリスクシナリオ例:対策項目により対策可能となる、代表的なリスクシナリオを例示
- 関連する医療情報安全管理ガイドラインの要求事項:関連する厚労省ガイドラインの要求事項。主な実施主体として、医療機関等を想定する。
別紙 2 の概要 別紙2 統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表 より抜粋
2 つ目が AWS パートナー各社様により作成されている「医療情報システム向け AWS 利用リファレンス(以下 AWS 利用リファレンス)」です。特にその中でも今回は総務省・経済産業省版が参考になります。別紙 2 では AWS に特化した内容についての言及はされていないため、AWS 利用リファレンスを参考にすることで AWS の利用を加味した対応方針の策定に役立ちます。AWS 利用リファレンスは複数のシートから構成されています。
- リスクアセスメント
- 1.1 リスクアセスメントシート: リスクアセスメントに使用するワークシート
- 1.2 リスク対応リファレンス: 特定したリスクに対する対策例
- 1.3 リスクシナリオ例: ガイドライン別紙2記載の最低限確認すべきシナリオ例
- 制度上の要求事項: ガイドライン6章「制度上の要求事項」の要求事項への対策例
- AWS サービス関連情報: スク対策に活用できるAWSサービスを列挙・概要を解説
特に「リスク対応リファレンス」シートを利用することで、各リスクシナリオごとの対応策の具体的な方針のヒントが得られます。例えばですが「正当な利用者以外により、医療情報システム等上の情報が閲覧・操作される。」といったリスクシナリオに対して対策の概要として「アクセス記録の見直し・検査などによる不正アクセス有無の確認」が挙げられています。これに関連するサービスとして AWS CloudTrail や Amazon GuardDuty に触れている他、「情報システム・サービスの提供事業者の対応事項」や「医療機関等へ対応を求める事項」とに分かれて AWS に閉じない形での解説もあります。
医療情報システム向け AWS 利用リファレンス 1.2. リスク対応リファレンス より抜粋
参考資料を用いたリスクアセスメント・リスク対応
上記2つの資料を活用したリスクアセスメント・リスク対応フェーズの進め方の例として、AWS 利用リファレンスの 1.1 リスクアセスメントシートを軸に作成いただく方法が考えられます。
まずは、D、E 列の「特定したリスク」のところに別紙 2 で挙げられているリスクシナリオをベースにリスクの洗い出しを行います。ただし別紙 2 で言及されているリスクシナリオは 2 省ガイドライン本文で「ただし、当該リスクシナリオ例はあくまで参考例であり、関連するリスクと対策が他にも存在しないかを対策の設計を行う際に確認すること」と記載されているため、提供しているサービスの形態に応じて適宜加筆修正の必要があることには注意が必要です。そして洗い出されたリスクに対してリスク分析を実施します。リスク分析では影響度・顕在化率をベースにリスクレベルを算出します。リスクレベルについては、 2 省ガイドライン p.27 にある分類例の表などを参考にしながら算出します。算出したリスクレベルに応じて対応要否を判断します。
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン1.1版 より 表 5-2 を抜粋
例えばですが、下記のような形での記載例が考えられます。
これらの特定したリスクに対して、リスク分析が完了したら、対応が必要なリスクに対しては別紙2の「対策項目」や AWS 利用リファレンスの「1.1 リスク対応リファレンス」を参考にします。この時、ブログシリーズの第2弾「医療情報ガイドラインをクラウド上で実践する – ネットワーク編 Part 1 」でも言及されている責任共有モデルを参考に各関係者ごとの責任分界を意識して、事業者・医療機関・AWS の実施する対策内容をそれぞれ項目を分けて記載していきます。各ステークホルダーごとに何をすべきなのかを明記することで、特に「1.1 リスク対応リファレンス」では「AWS が実施している対策」「情報システム・サービス提供事業者の対応事項」「医療機関等へ対応を求める事項」についての記載があるため、これらの項目を参考にしながらアセスメントシートの項目を埋めていきます。下図は参考資料がリスクアセスメントシートでどのように対応づけができるかを簡易的に示した図となります。
上記対応を進めることで、リスク対応を一覧化した文書を作ることができます。対応ができていないところについては対応を進めていきます。
リスクコミュニケーションフェーズ
リスクコミュニケーションフェーズでは、リスクアセスメント・リスク対応フェーズで行ったことをベースに、医療機関等に対する説明義務を果たします。この際、医療機関側の関係者には必ずしもシステムの専門家ではない方々も含まれることの考慮が必要です。システムの運用業者と開発業者が異なる場合は、それぞれの立場の関係者全員を巻き込み、利用者の目線も取り入れながら説明を行うことが重要です。特に、意思決定者の関与は欠かせません。関係者全員が会議を通じて意識共有をすることを目指しましょう。また、リスク状況が変化することも伝え、継続的なリスクコミュニケーションが求められます。
提出すべき書類の作成・提供や説明する会議体などに決まりは存在しませんが、いくつか参考になる文書例があります。2 省ガイドラインでは情報提供を行う文書例として「別紙1 ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例」(WORD形式)を示しています。また、一般社団法人日本画像医療システム工業会 (JIRA)および一般社団法人保健医療福祉情報システム工業会(JAHIS)による「製造業者/サービス事業者による医療情報セキュリティ開示書チェックリスト」 (以下、MDS/SDS)があり、「当該チェックリストが対象とする医療情報システム等を提供する対象事業者においては、当該チェックリストを参考とすることが有効である。 」としています。このチェックリストでは、チェックリスト本体だけでなく各項目に関する補足事項を記載する備考記載欄があり、解説が充実しています。
作成した資料を使って説明する際は、説明を行った証跡を残すことも意識します。万が一のインシデントの際の「言った、言わない」問題についても対処できます。
まとめ
本ブログでは、医療情報ガイドラインの概要とリスクベースのアプローチの背景を確認しました。その上で、サービス提供事業者としてガイドライン対応を進める際の方針やリスクアセスメントからリスクコミュニケーションまでの一連のフローを解説しました。ガイドライン対応においては、リスクの特定から対応策の検討、最終的な合意形成まで一貫したプロセスで臨むことが重要です。本ブログが、読者の皆様のガイドライン対応の一助となれば幸いです。
尾原 颯 (Ohara, Soh) は AWS Japan にて主にヘルスケア系スタートアップに対して技術支援をしています。好きなサービスは Amazon SageMaker と Amazon HealthLake です。
片山 洋平 (Yohei, Katayama) は AWS Japan のパブリックセクターのソリューションアーキテクトです。主に医療機関をはじめとしたヘルスケア業界のお客様のソリューション構築の支援を行なっています。週末は登山を嗜んでいます。