欧米から大きく遅れをとる医療機関のプライバシー保護とセキュリティ
藤田 私の感覚としても医療関係はリスクに対するヘッジが追いついていないという印象があります。医療は期待されている分野なだけに気になります。日本では医療関係でガイドラインを出すという動きはまだないのでしょうか。
笹原 今のところ米国HIPAAのように一元的なプライバシー保護ガイドラインを作る動きはないですね。日本の場合、医療機関ですと厚生労働省、外部委託先となると経済産業省、ASPやSaaSとなると総務省が管轄となり、個々にガイドラインを策定しています。ばらばらなんですね。ビッグデータのような新技術が出てきた時に、行政側も誰が担当するか不明な状態です。加えて今後は税や社会保障に関わるマイナンバー制度が始まりますので、医療分野は様子見の状態です。
藤田 先ほどマルチテナント環境におけるID管理に言及されていました。現状は指針になるものがあるのでしょうか。それともベストエフォートでやっているのですか?
笹原 医療分野の情報共有ネットワークとしては「UMIN(University Hospital Medical Information Network)」という大学病院医療情報ネットワークがあります。元々、国立大学病院向けにメールやファイル交換サービスが提供されていたものが、一般の医療研究者にも開放されてきました。ただし大学病院のネットワークなので、地域の診療所や介護施設から、いつでもどこでも誰でも自由にアクセスできるということは想定されていません。
ただし、医療研究者にも管轄の問題があります。例えば理化学研究所や大学となると文部科学省、病院は厚生労働省、医薬品/医療機器企業は経済産業省といった具合で、ばらばらですね。
藤田 危機感としてはどうでしょうか。まだアクセルが先で、リスクヘッジにはまだ意識が回らないのでしょうか。
笹原 IT人材の問題ですね。官公庁/地方自治体ではIT専門の職種が確立していない上に、数年で異動となってしまい、ナレッジが組織に蓄積されません。「技官」でもITに詳しいかというとそうとは限りませんから。専門職がいないということですね。
藤田 ITが分かる人材が足りないこと、技術の進歩に対してリスクヘッジが遅れているという現状については、私も痛感しているところです。現場の空気はどうでしょうか?
笹原 すごく積極的に最先端技術を使いたがるところと、コンサバティブに敬遠するところと二極化していますね。医療現場だとタブレットなどスマートデバイスはあっというまに普及しました。医者はアップル好きが多いせいもあり(苦笑)。
IT部門は苦戦しています。それまで医療のIT部門というと会計・経理、人事など(診療現場とは直接関係ない)バックオフィスを運営するためのシステムが中心でした。レセプトは月に1度などバッチ処理をすればいい。しかし診療科のカラー画像データとなると一気にデータ量が増えます。これまでのシステムと規模や要件ががらっと変わるので対応しきれていません。
藤田 情報システムの利用で現場の不満が高いのは医療と聞いています。医者は診療用以外のPCを与えてもらえない、OA環境がないなど。プライバシー対策も当然遅れをとっています。海外では電気の使用状況データも個人情報だと言われているのに、日本の医療関係はプライバシーデータの保護はまだコンセンサスが成熟していないのが実情ではないかと思います。医療関係の教育やITリテラシーはどうでしょうか?
笹原 日本は特に遅れています。例えば欧米の病院では患者/家族の満足度を高めるために、双方向型コミュニケーションツールとしてソーシャルメディアを活用しています。ITをどうマネジメントするか、利用するかという観点が日本ではまだ希薄です。教育機関の医療系専門職養成学科の大半にはITに関する専門科目もありませんから。
あとアメリカにはFedRAMP(Federal Risk and Authorization Management Program)という、行政機関向けクラウドサービス関連のセキュリティに関する一元的な標準ルールがあり、サイバーセキュリティに対する共通認識も大きく違います。
藤田 医療関係のオープンデータ化についてはどうでしょうか。アメリカでは過去60年分の気象データを公開して雇用を創出しているという話も聞きます。医療系はどうでしょうか。最も慎重に取り扱わなくてはいけないデータかと思いますが。
笹原 それはHIPAA(Health Information Protection Act:医療保険の相互運用性と説明責任に関する法律)で定められています。例えば個人情報漏えいが起きたときにデータを暗号化していたか否かで課徴金の額が大きく異なるのです。だからアメリカでは医療系のデータを必ず暗号化して保存するのが常識です。しかし日本にはデータ保存時の暗号化に関する明確なルールはなく、性能劣化を懸念して暗号化しないケースも見受けられます。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
