ビッグデータ活用においてもクラウドセキュリティの知識は前提条件
藤田 今回の連続対談シリーズではクラウド時代のセキュリティ課題やIT人材をテーマに議論を進めていきます。本日は医療現場やユーザーの立場からビッグデータ活用の取り組とプライバシーやセキュリティ課題についてご意見をいただければと思います。
笹原 まずは海外のトレンドからお話ししましょう。今年5月に米国ホワイトハウスがビッグデータに関する報告書を公表しました。きっかけはスノーデン事件です。一般的にビッグデータにはベネフィットもリスクも両方あるところ、事件が起きるとリスクに過剰反応してしまいがちです。しかしオバマ政権およびこのレポート「SEIZING OPPORTUNITIES, PRESERVING VALUES」(PDF)ではタイトルにあるように「チャンスをつかむ」、いかにビジネスや価値を生み出すか、そこにどのようにリスク管理をしていくかというスタンスでまとめられています。
加えてヨーロッパに対しては「ハーモナイゼーション(調和)」の観点に立ったプライバシー保護政策が掲げられています。米国・EU間のセーフハーバープライバシー原則に係る国際交渉を踏まえてのことです。
一方、日本国内に目を向けると、昨今ではデータサイエンティストの育成が盛んになってきました。ところがトレーニングの中身を見るとプライバシーやセキュリティに関する項目がどこにもないのです。これは欧米と比較した場合に最も顕著となる日本の特徴であり、問題点です。データ活用の方法だけ教えるのは車の運転でアクセルの踏み方だけ教えるようなものです。アクセルとブレーキは両方バランス良く教えなくてはなりません。
藤田 ヘルスケア分野ではどのような動きがありますか?
笹原 ポイントが2つあります。1つは創薬の研究開発を中心に行われているビッグデータ解析です。グローバルでは創薬分野でビッグデータ解析が普及していて、スーパーコンピュータを用いた分散並列処理が行われています。日本でも、神戸にあるスーパーコンピュータの「京」を利用してIT創薬をめざす医薬品企業が出ています。しかし全てのコンピュータリソースを単一創薬プロジェクトの分析だけには使えません。
ここで問題になってくるのは、日本ではビッグデータとクラウドセキュリティを別々に考えてしまいがちな点です。創薬の解析を行う場合は基本的にマルチテナント環境です。マルチテナントではクラウドサービスの利用が普及しています。また、様々な組織に所属するユーザーが使うため、IDや権限の管理も必要となります。つまり、クラウドセキュリティにおける議論がビッグデータの活用の管理においても前提知識となってきます。
もう1つはコンシューマドリブンの情報収集の流れです。病院や介護施設などで患者/家族がソーシャルメディアを通じて、自身が関わる病気や薬に関する情報を自ら収集する動きが出てきています。医療機関はIT化が遅れがちな一方、消費者はますます最先端の技術を利用するというギャップが生まれています。問題はネットに出回っている情報は玉石混淆で正確とは限りません。そこでアメリカの厚生労働省にあたるFDAが医薬品の広告/表示など、ソーシャルメディア利用に関するガイドラインドラフトをまとめて、適正な情報開示に向けた取組を進めています。
ガイドラインが施行されるとより科学的根拠に基づく情報が英語で発信されるようになるかもしれません。しかしアメリカを対象とした指針なので日本語(日本国内)で発信される情報との間にギャップが生まれる可能性が出てきます。グローバル展開している企業はどう対応していくかも今後の課題となりそうです。
2つめの話はアベノミクスとも関わってきます。成長戦略の柱に海外事業展開がありますから。ここで遅れをとらないようにしなくてはなりません。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
欧米から大きく遅れをとる医療機関のプライバシー保護とセキュリティ
藤田 私の感覚としても医療関係はリスクに対するヘッジが追いついていないという印象があります。医療は期待されている分野なだけに気になります。日本では医療関係でガイドラインを出すという動きはまだないのでしょうか。
笹原 今のところ米国HIPAAのように一元的なプライバシー保護ガイドラインを作る動きはないですね。日本の場合、医療機関ですと厚生労働省、外部委託先となると経済産業省、ASPやSaaSとなると総務省が管轄となり、個々にガイドラインを策定しています。ばらばらなんですね。ビッグデータのような新技術が出てきた時に、行政側も誰が担当するか不明な状態です。加えて今後は税や社会保障に関わるマイナンバー制度が始まりますので、医療分野は様子見の状態です。
藤田 先ほどマルチテナント環境におけるID管理に言及されていました。現状は指針になるものがあるのでしょうか。それともベストエフォートでやっているのですか?
笹原 医療分野の情報共有ネットワークとしては「UMIN(University Hospital Medical Information Network)」という大学病院医療情報ネットワークがあります。元々、国立大学病院向けにメールやファイル交換サービスが提供されていたものが、一般の医療研究者にも開放されてきました。ただし大学病院のネットワークなので、地域の診療所や介護施設から、いつでもどこでも誰でも自由にアクセスできるということは想定されていません。
ただし、医療研究者にも管轄の問題があります。例えば理化学研究所や大学となると文部科学省、病院は厚生労働省、医薬品/医療機器企業は経済産業省といった具合で、ばらばらですね。
藤田 危機感としてはどうでしょうか。まだアクセルが先で、リスクヘッジにはまだ意識が回らないのでしょうか。
笹原 IT人材の問題ですね。官公庁/地方自治体ではIT専門の職種が確立していない上に、数年で異動となってしまい、ナレッジが組織に蓄積されません。「技官」でもITに詳しいかというとそうとは限りませんから。専門職がいないということですね。
藤田 ITが分かる人材が足りないこと、技術の進歩に対してリスクヘッジが遅れているという現状については、私も痛感しているところです。現場の空気はどうでしょうか?
笹原 すごく積極的に最先端技術を使いたがるところと、コンサバティブに敬遠するところと二極化していますね。医療現場だとタブレットなどスマートデバイスはあっというまに普及しました。医者はアップル好きが多いせいもあり(苦笑)。
IT部門は苦戦しています。それまで医療のIT部門というと会計・経理、人事など(診療現場とは直接関係ない)バックオフィスを運営するためのシステムが中心でした。レセプトは月に1度などバッチ処理をすればいい。しかし診療科のカラー画像データとなると一気にデータ量が増えます。これまでのシステムと規模や要件ががらっと変わるので対応しきれていません。
藤田 情報システムの利用で現場の不満が高いのは医療と聞いています。医者は診療用以外のPCを与えてもらえない、OA環境がないなど。プライバシー対策も当然遅れをとっています。海外では電気の使用状況データも個人情報だと言われているのに、日本の医療関係はプライバシーデータの保護はまだコンセンサスが成熟していないのが実情ではないかと思います。医療関係の教育やITリテラシーはどうでしょうか?
笹原 日本は特に遅れています。例えば欧米の病院では患者/家族の満足度を高めるために、双方向型コミュニケーションツールとしてソーシャルメディアを活用しています。ITをどうマネジメントするか、利用するかという観点が日本ではまだ希薄です。教育機関の医療系専門職養成学科の大半にはITに関する専門科目もありませんから。
あとアメリカにはFedRAMP(Federal Risk and Authorization Management Program)という、行政機関向けクラウドサービス関連のセキュリティに関する一元的な標準ルールがあり、サイバーセキュリティに対する共通認識も大きく違います。
藤田 医療関係のオープンデータ化についてはどうでしょうか。アメリカでは過去60年分の気象データを公開して雇用を創出しているという話も聞きます。医療系はどうでしょうか。最も慎重に取り扱わなくてはいけないデータかと思いますが。
笹原 それはHIPAA(Health Information Protection Act:医療保険の相互運用性と説明責任に関する法律)で定められています。例えば個人情報漏えいが起きたときにデータを暗号化していたか否かで課徴金の額が大きく異なるのです。だからアメリカでは医療系のデータを必ず暗号化して保存するのが常識です。しかし日本にはデータ保存時の暗号化に関する明確なルールはなく、性能劣化を懸念して暗号化しないケースも見受けられます。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
ビッグデータ活用は”アクセルとブレーキ”の総合的な視点で取り組め
藤田 技術が進み、スマートデバイスも普及しつつあるなかで医療関係はまだ不十分なところが多くあるという現状がよく分かりました。情報システムを構築する上での課題はどのようなところにあるでしょうか。
笹原 新規開発のほうに目が向きがちですが、ビッグデータ活用で要となるのは運用管理だと思います。運用しながらデータに関わるスキルやナレッジを積み上げていくのが大切です。データをためて学ぶことをしないと人材も育ちません。最初からパーフェクトなフレームワークはないのですから、ベストプラクティスを積み上げていくと考えてもいいのでは。海外など先に進んでいるところからうまくキャッチアップするのもひとつの方法です。
藤田 フレームワークを大きくとらえるのも大事ですね。少し話はそれますが、行政だと「データを40年間保存」という要件を見ます。残念ながらIT技術は人間の寿命よりも短い。将来的にデータどう保全、維持していくのも課題かと思います。
笹原 医療だとデータは永年保存という感覚が現場にはあります。ただしライフサイクルは複雑です。税法上、ハードウェアやソフトウェアの減価償却は5年、診療報酬の改定は2年おき、介護報酬の改定は3年おき。サイクルがばらばらなのです。今後、介護と医療の提供体制を段階的に改革する「医療・介護総合推進法」の施行や2018年度に想定される診療報酬・介護報酬の同時改定に向けて、うまく連携作業をやらなくてはいけません。
従来のようにシステムを「資産」としてとらえると無理がでてきます。「費用」としてとらえてクラウドを活用していくように発想を変えていく必要があると思います。アメリカもそういう発想になりつつあります。
藤田 「資産ではなく費用」という発想の転換ですね。海外とのコンセンサスの違いも気になります。どうなっていくのでしょうか。
笹原 医薬品の治験・臨床試験で興味深い話があります。今まで希少疾患は患者数が少ないので製薬メーカーから見たら「ペイしない」とみられていました。一国で考えれば。しかしグローバルに展開すれば、治験・臨床試験の対象患者数が確保できて事業モデルが成立する可能性が出てきます。今では投資ファンドが希少疾患の新薬開発を目的としたポートフォリオを組成しています。MITの金融工学研究者による試算では、希少疾患向け新薬開発投資ポートフォリオについて、2桁の利回り(ROI)が発表されています(参考:「Financing drug discovery for orphan diseases」Drug Discovery Today、2014年5月)。
クラウドファンディングで不特定多数の個人投資家からグローバルに資金を募ることも始まっています。これまでは製薬メーカーが自前で投資して、利益を上げたら株主に還元するという流れでしたが変わりつつあります。今では株主や投資家は先述したようなファンドに投資をしたほうがより高いリターンが得られ、社会貢献活動としてもいいと考えられています。
こうした変化が起きてくると、グローバルにデータを共有することが不可避となります。場合によっては(グローバルに治験・臨床試験を展開すれば)患者もあらかじめ把握できているので新薬も売りやすい。製薬のビジネスサイクルが変わります。
藤田 確かに。データのグローバル化は不可避ですね。
笹原 それだけではなくて、日本の成長戦略にも関わってきます。日本で治験・臨床試験をするよりも、グローバルで治験・臨床試験をしたほうが費用や時間が節約できるとなれば、臨床開発の場が海外にシフトします。すると医薬品としての商品化も海外が先行することとなり、医薬品ビジネスの主導権が海外に流れてしまうことになります。逆にアメリカ、カナダ、ヨーロッパはそうしたことを狙ってビッグデータ活用を考えているのです。さらにこうした動きを見て中国、インド、シンガポールなどアジア新興国はキャッチアップしようと考えています。国際間の競争力の話になってきます。
藤田 ビッグデータから企業戦略、国際競争力にもつながるのですね。
笹原 ただしプライバシーとセキュリティの議論をセットで考慮する必要があります。メリットとデメリットのバランスを検討しながら、全体でROIを出さないと。まさにアクセルとブレーキです。欧米はまさにセットで考えているため(ブレーキを踏むことも想定しているため)、大胆にアクセルを踏むことができるのです。早い段階からセキュリティポリシーも含めて検討を進めていく必要があります。日本は、特に経営層やマネジメントに関わる人はビッグデータをイノベーションのベースだという認識を持つ必要があると思います。
藤田 ビジネスもオープンデータもグローバル展開の流れは必至ということですね。こうした概念を共有していかないと企業のビジネスだけではなく、日本の競争力にも影響してくると。また、ビッグデータ活用はアクセルとブレーキの総合的な視点で取り組んでいくことの重要性を痛感しました。本日はありがとうございました。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!