責任共有モデルを踏まえた管理目的と管理策の考え方ー次世代医療基盤法ガイドラインを参考にしてー

セキュリティは私たちにとっての最優先事項であり、お客様にとっても重要な関心事となります。一方、セキュリティのコントロール（管理策）が妥当性をもって評価されなければ、不要な管理策の導入や、ビジネスの進展の妨げとなる場合もあります。本Blogでは、医療のビッグデータ活用をうながす「医療分野の研究開発に資するための匿名加工医療情報に関する法律（次世代医療基盤法）」の認定を参考として、セキュリティ責任共有モデルに基づく、管理策の在り方をお伝えいたします。

次世代医療基盤法の概要と認定事業者の責務

次世代医療基盤法は、健診結果やカルテ等の個々人の医療情報をプライバシーを配慮するための加工（匿名加工や仮名加工）を施すことで医療分野の研究開発での活用を促進し、医療情報の第三者提供に際して、あらかじめ同意を求める個人情報保護法の特例法です。こうした法律は医療情報をビッグデータとして有効活用することで医療分野のイノベーションを促進することと、その中で扱われる医療情報を安全に取り扱うということの両立をはかるものであり、より大きな社会的な責任をともなうことから加工を施す事業者（匿名加工医療情報作成事業者や仮名加工情報作成事業者。認定事業者といいます）がその責任を果たすための様々な要件、また事業者の認定を制度として位置づけています。こうした事業への認定を考えるお客様に対して、「医療分野の研究開発に資するための 匿名加工医療情報及び仮名加工医療情報 に関する法律についてのガイドライン （次世代医療基盤法ガイドライン）」が提供されており、求められているセキュリティ要件や考慮すべき事項が解説されています。
認定事業者の皆様がこうした事業を実際のシステム設計を踏まえて考えた場合、クラウドの価値を最大化することでより効果的かつ効率的なサービスを実現できる可能性があります。処理を行うデータの量にあわせてコンピューティングリソースを柔軟に拡張、伸縮するスケーラビリティの確保、また、データが投入されたイベントをきっかけとして加工処理を実施するといったサーバレスアーキテクチャの採用によってコスト効率を高めたシステムを設計することもできるかもしれません。

しかし一方で求められる様々なセキュリティ要件を評価する場合には、物理的な設備に対する要件も考慮すべき必要があります。例えば次世代医療基盤法では実地確認として認定における管理策の実施状況の評価を求めています。一方、クラウドを利用する場合、AWSのような事業者は実際に認定の対象となる事業者ではなく、また、AWS のデータセンターは複数の顧客をホストしているため、サードパーティーの物理的アクセスに幅広い顧客がさらされることになるため、顧客によるデータセンターのツアーは許可していません。

AWSの利用者である認定事業者の皆様はどのように評価すべきなのでしょうか。

第三者評価の活用とクラウドのインフラストラクチャ

次世代医療基盤法ガイドラインではすべてにおいて実地確認をもとめるものではなく、適切な要件の充足性が確認できる場合であれば実地確認に代えて書類確認のみを実施する場合もあることを規定しています。特に、クラウドサービスの利用に関して、”３省２ガイドラインに準拠し得ることが担保されているクラウドサービスを活用することも可能”であること、また、”当該クラウドサービスが「ISMAPクラウドサービスリスト」に登録されている場合には、主務府省においては、当該登録の状況も勘案した上で必要な確認”であることとしています。

AWSはISMAPの制度設立当初からISMAPの登録を維持しており、IPAのISMAPポータルからその内容を確認することができます。また、日本の医療情報ガイドラインのページでは、お客様の準拠を助けるための情報発信やAWSのパートナー各社による医療情報システム向け AWS 利用リファレンスのご紹介を行っています。

管理目的に注目して管理策を理解することの重要性

一方、こうしたセキュリティの要件を考える場合、本ガイドラインのようなクラウドの特性に応じた考え方などが示されていない場合もあります。まだまだ多くの規制要件やお客様の組織内のセキュリティポリシー等が技術の進歩にあわせた適切なアップデートが行われていない、という実情もあります。このような場合、管理策というのは何らかの目的を実現するための手段であることに着目する必要があります。例えばISO/IEC27001においても、定義されている詳細管理策は管理目的を実現するために組織がリスクアセスメントの結果として採用する選択肢です。もしも組織の実情にあわせた詳細管理策がなければ自ら詳細管理策を定義することも可能です。（実際にはなかなかそこまでの管理をする事業者は少ないと思いますが）

組織が具体的なコントロールを必要とするのは、何らかの達成したい目的があるためであり、目的を達成するための手段は対象となるシステムやサービス、組織のニーズや成熟度、適用しようとするテクノロジーによって異なる場合があります。健全にガバナンスを組織に根付かせるためには、管理目的にそった合理的な管理策を導入することや、逆に実情にあわない非合理な管理策を見直すプロセスを運用していくことになります。

AWSが提唱しているWell Architected Frameworkでは、原則中心のアプローチを提唱しています。これは一つ一つの管理策に過度に注目する前に、そもそも組織が何を実現したいか、という目的にフォーカスしたうえでリスクマネジメントを行うステップです。

Auditability（可監査性）と管理策の担い手

さらに、もう一つの観点として、実際にその管理策や評価を実施することが妥当なのか、有効なのか、ということにも着目する必要があります。監査の言葉に可監査性、という言葉があります。これは、情報システムが処理の正当性や内部統制を効果的に評価できる状態である、例えばログ等によりそのシステムを適切に評価できることを表します。一方、監査実務を考えると監査手続きを実施してもそれが本来求める管理目的に対しての妥当性を評価できない、というケースもあり得ます。次世代医療基盤法で考えれば、物理設備を評価する目的は、その設備や区域から情報への不正なアクセスが行われることへのリスクを評価することにあります。例えば以前にBlogでご紹介しましたが、AWSのNitro Systemでは、AWSの従業員によるお客様コンテンツへのアクセスを仮想化基盤のレベルで制御しています。さらには、お客様は、AWS上のコンテンツを暗号化することが可能であり、お客様がそのような統制を実現することを支援しています。仮想化基盤を管理するAWSの責任範囲と、仮想化基盤上にお客様のコンテンツ、ネットワーク空間、サーバインスタンスなどの情報資産を管理するお客様の責任範囲は分離されており、お客様は自らが管理目的を満たすための管理策の担い手となることができます。つまり従来の商用データセンターにおけるサーバやネットワークインフラストラクチャの管理業務は、AWSの上ではお客様がマネジメントコンソール上でコントロール可能なお客様固有の空間となります。

そのため、もしもデータへのアクセスや保護を目的として物理設備に対する監査をするならば、実効性の高い監査の計画は、お客様がマネジメントコンソールにアクセスする環境をどのように制限しているか、また、暗号化等の施策を適切に実施しているかに焦点をあてることとなります。

おわりに

本Blogでは、次世代医療基盤法やその中で取り扱われる物理設備の実地確認の要件を踏まえ、第三者の評価のもつ意味や責任共有モデルの紐解き方を再考いたしました。多くのコンプライアンスの議論において形骸化した管理策や監査要件が、現状と乖離していくケースがあります。そういった際は、そもそも何を管理したいのか、そしてその目的を達成することはお客様自らがオーナーシップを持つことができるかを最初に共有していくと、より建設的な議論ができるかもしれません。本Blogが皆様の一助になれば幸いです。

本Blogは以下の二名にて執筆いたしました。

セキュリティアシュアランス本部 本部長

松本照吾

シニアセキュリティソリューションアーキテクト

中島智広