ニュース

医療におけるクラウド活用促進の一助に――、4社が医療情報システム向けAWS利用リファレンスを共同作成した理由は?

 昨日ニュースとして報じた通り、キヤノンITソリューションズ株式会社(以下、キヤノンITS)、日本電気株式会社(以下、NEC)、株式会社日立システムズ、フィラーシステムズ株式会社は19日、AWSクラウド上で医療情報を取り扱う際に参照される各種ガイドラインへの対応を記載した「医療情報システム向けAWS利用リファレンス」を共同で作成。2018年7月をめどに、第1版(経済産業省版)を各社のWebサイトから無償で提供開始することを明らかにした。

 キヤノンITS クラウドサービス推進本部 クラウドサービスコンサルティング部 シニアITアーキテクト 上島努氏は「医療情報システムとクラウドの両方に知見とノウハウをもつ4社が、競合関係というビジネスの枠を超えて本リファレンスを共同で作成した。今回のリファレンス作成をきっかけに、国内の医療業界におけるクラウド活用の促進につながればうれしい限りであり、患者さんがより良い医療を受けられる一助になることを願う」と語り、規制業界の代表でもある医療分野でのクラウド普及へと注力していく姿勢を示している。

キヤノンITS クラウドサービス推進本部 クラウドサービスコンサルティング部 シニアITアーキテクト 上島努氏

3省4ガイドラインに沿ってAWS活用時に順守すべき要求事項を解説

 今回発表されたリファレンスは、医療機関サイドおよびSaaS事業者など受託事業者サイドがAWSクラウドを活用する際に順守するべき要求事項を、厚生労働省、総務省、経済産業省の3省が定めた、4つの医療情報システムに対するガイドライン(3省4ガイドライン)に沿って解説したもの。7月に公開される第1版は、経済産業省発行の「医療情報を受託管理する情報処理事業者向けガイドライン」に対応したバージョンとなっている。

医療情報を扱う医療機関と受託事業者に求められる「3省4ガイドライン」の概要

 本リファレンスは大きく2部に分かれ、リファレンス本体となる「ガイドライン対応表」と、受託事業者がシステムを実装する上で推奨される「参考アーキテクチャ」から構成される。

 ガイドライン対応表には、

・ガイドラインの要求事項
・AWSの対応内容および対応可能である根拠:公開文書(ホワイトペーパー)、第三者認証、AWS内部情報
・受託事業者で必要な対応
・追加の推奨事項

といった項目が記載されており、AWSが提唱する「責任共有モデル」にのっとったリファレンスであることがわかる。

ガイドライン対応表の一例。ここでは、AWS基準を取り入れてもユーザー対応が必要な項目の例として「情報の破棄」という要求事項を取り上げ、AWSおよび事業者に求められるそれぞれの対応と、推奨される追加の実施事項が明記されている。数百にもおよぶ要求事項について、ユーザーの代わりにパートナー企業がAWSの協力の下に判断と解釈を行い、リファレンスとしてまとめ上げている

 最大の特徴は、ガイドラインによっては数百を超える場合もある膨大な要求事項ひとつひとつについて、「AWSが対象となる項目」「AWSが対象外となる項目」が整理されている点だ。

 受託事業者や医療機関ユーザーは本リファレンスを参照することで、

・AWS基準を取り入れることで対応不要な項目
・AWS基準を取り入れても、ユーザーが別途対応しなければならない項目
・AWSが対象外でユーザーが対応しなければならない項目

を容易に把握でき、さらにユーザーが対応しなければならない項目に関しても、提示されている対応ヒントを参照することで、取るべき対策を検討しやすくなる。

 上島氏は本リファレンスを利用するメリットとして、「数百を超える各ガイドラインの要求事項ごとに、AWSの責任なのか、それとも受託事業者の責任なのか、その境界を明確に把握できる。また、ガイドラインごとにAWSの対応の内容とその根拠が示されており、利用者の責任において実施すべき事項を把握しやすく、必要な対応も実施しやすくなる」ことを挙げており、本リファレンスを利用することで、ガイドラインの対応および確認の効率化が図れる点を強調する。

 またAWSの視点だけでなく、SOCレポートやISO認証など第三者の視点からも対応状況を確認しているほか、AWSパートナーでもある4社それぞれの構築/運用の知見をベースにしたことにより、「(ガイドラインの)要求事項の解釈に関する“幅”をもたせた」(上島氏)リファレンスに仕上がっているという。

 現在、4社は第1版となる経済産業省版リファレンスの公開に向けて作業中だが、並行して総務省時期ガイドラインのパブリックコメントも受け付けている。

 7月以降には、総務省版および厚生労働省版の作成作業に入り、年内には「第2弾として総務省版および厚生労働省版のリファレンスを公開したい」(上島氏)としている。

本リファレンスのロードマップ。2018年内には3省4ガイドラインに対応させ、その後もアップデートを重ねていく

 また、4社以外にパートナー企業が増える可能性も十分にあるとしており、AWSジャパン Office of The CISO 梅谷晃宏氏は「クラウドと医療情報という、これまでなら“水と油”のようにとらえられてきたシステムを、AWSを使って前向きに構築していきたいという、われわれと同じビジョンを共有できるパートナーであれば、ぜひ参加してほしい」とコメントしている。

AWSジャパン Office of The CISO 梅谷晃宏氏

国内の医療業界におけるクラウド活用の促進を願って

 「ビジネス上、競合となりうる4社が共同で本リファレンスを作成したのは、国内の医療業界におけるクラウド活用の促進を願ってのこと。AWSに関しては医療業界のユーザーからの要望が年々大きくなっており、パートナー企業としてのコアコンピタンスを問わず、顧客の信頼に応えていく必要性を感じた」――。

 上島氏は、本リファレンス作成の意義についてこう語っている。

 医療/製薬は公共や金融と並ぶ“規制産業”として知られる。したがって、日本に限らず、パブリッククラウド上でデータを扱う際には厳しいセキュリティガイドラインは要求されることが常だ。

 もっとも国内においては、政府/公共と金融に関してはすでに事業者がAWSクラウドに対応するためのセキュリティリファレンスが用意されており、医療分野だけが対応が遅れていた状態にあった。今回のリファレンス発表により、ようやく「その最後のひとつを埋めることができた」(上島氏)といえる。

米国と日本における規制業界のAWSクラウド対応状況。国内の医療情報をAWSで取り扱う際の明確なリファレンスはこれまで存在しなかったが、今回の発表で最後の1ピースが埋まったかたちとなる

 AWSは、ヘルスケア/ライフサイエンス業界においても数多くのグローバル企業から採用されているが、その理由のひとつとして、米国における医療保険の相互運用性と説明責任に関する法令「HIPAA(Health Insurance Portability and Accountability Act)」にいち早く準拠したことが挙げられる。

 AWSを利用することで、HIPAAの対象となる事業体とその取引先は安全なAWS環境を活用して、保護された医療情報を処理、管理、および保存することが可能となっており、HIPAAに準拠したアプリケーション開発のためのホワイトペーパーも用意されている。

 医療業界に要求される厳しい要件を満たしながらも、AWSクラウドならではのさまざまな機能を利用する機会を国内でも増やしていくためには、HIPAAに相当する“3省4ガイドライン”に則したリファレンスが必要なのは明らかだった。

 梅谷氏は、「日本国内のガイドラインやコンプライアンスに対応するには、日本の顧客の事情に精通しているパートナーに力が不可欠。今回のリファレンス作成では、国内の医療業界に精通した4社のAWSパートナーが連携し、AWS責任共有モデルにのっとったかたちで、顧客の取るべき対応を明確にした。もちろん、作成にあたってはAWSも協力している。ガイドラインの要求項目は非常に多いので、顧客がすべてをそしゃくするのは難しいが、本リファレンスはパートナー企業が顧客に代わってそしゃくしている」と語り、規制業界のクラウド普及におけるローカルパートナーの重要性をあらためて強調する。

 2012年9月、SCSK、ISID、NRIの国内AWSパートナー3社が共同で作成した「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」を公開し、日本の金融機関のクラウド活用に大きなはずみをつけた。

 今回の医療情報システム向けAWS利用リファレンスは、規制業界であることや業界内の競合どうしが協力しあったことなども含め、2012年の発表時と共通点が多い。

 「要配慮個人情報」として明確に定義されている医療情報をクラウドで活用するにはまだ多くのハードルがあるが、パートナー4社はいずれも「セキュリティやBCP、コスト、利便性など、パブリッククラウド、特にAWSクラウドのメリットを享受したいという声は医療業界の間でも広がっている」と、ユーザーからの強い要望をもとにリファレンス作成に至ったとしている。

 金融業界でも生じたようなパブリッククラウドへの潮流が医療業界でも起こるのか、今回のリファレンス公開はその試金石となりそうだ。