クラウドにおける遠隔医療のデータリスク管理
英語では、「遠隔医療」を意味する単語に、「Telemedicine」と「Telehealth」がある。前者は、ICTを活用した臨床診断やモニタリングなど、狭義の遠隔医療を指しているのに対して、後者は、臨床医療に限らず、健康増進や介護福祉など、幅広いサービスを包含するような広く定義を有しており、遠隔で医療提供者を患者につなげるために、キオスクや、webサイトモニタリングアプリケーション、モバイルフォン、ウェアラブル機器、ビデオ会議などの革新的な技術を利用する。
ここでは、「遠隔医療」について、情報通信技術を活用した健康増進、医療、介護に資する行為と定義する。遠隔医療を大別すると、専門医師が他の医師の診療を支援するDoctor-to-Doctor(D2D)分野と、医師が遠隔地の患者を診療するDoctor to Patient (D2P)分野が含まれる。
在宅医療の普及に伴い、D2P分野の研究開発が急展開してきたが、新型コロナウイルス感染症(COVID-19)緊急対応下における外来診療の代替手段として一気にニーズが高まり、米国政府の「コロナウイルス支援・救済・経済保障(CARES)法」に基づく遠隔医療推進目的の経済インセンティブ施策が追い風となっている。
サイバーセキュリティの領域では、米国立標準技術研究所(NIST)傘下の国立サイバーセキュリティセンターオブエクセレンス(NCCoE)が、遠隔患者モニタリング(RPM)など、遠隔医療機能を活用する医療提供組織(HDO:Healthcare Delivery Organization)が直面するセキュリティ/プライバシーリスクの研究に取り組んでいる。具体的な活動としては、2021年5月6日に「NIST SP 1800-30 遠隔医療の遠隔患者モニタリングエコシステムのセキュア化」草案第2版 (https://csrc.nist.gov/publications/detail/sp/1800-30/draft) などを公開している。
クラウドセキュリティアライアンスでは。遠隔医療のサイバーセキュリティに関連して、ヘルス・インフォメーション・マネジメント・ワーキンググループ(HIM-WG)が、 2020年6月16日 「クラウド上の遠隔医療データ」 (https://cloudsecurityalliance.org/artifacts/telehealth-data-in-the-cloud/) を公開している。この文書は、クラウド環境上で、遠隔医療ソリューション向けに、患者データを処理、保存、転送する際のプライバシー/セキュリティ課題と対策についてまとめたものであり、以下のような構成になっている。
- イントロダクション
- プライバシーの懸念
- セキュリティの懸念
- ガバナンス
- コンプライアンス
- 機密性
- 完全性
- 可用性
- インシデント対応と管理
- 継続的なモニタリングプログラム
- 結論
- 参考文献
遠隔医療におけるクラウド利用とプライバシー/セキュリティ
このうち、プライバシーの懸念についてみると、米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)と、欧州連合(EU)の一般データ保護規則(GDPR)を取り上げ、それぞれのプライバシー要求事項を挙げている。特に、遠隔医療で利用される保護対象保健情報(PHI)にアクセスする情報システムを標的にしたサイバー攻撃が急増していることから、遠隔医療のクラウドサービス利用に関する同意書について、以下のような項目に留意する必要があるとしている。
- 遠隔医療プロバイダー(TP)は、プライバシー通知の中で、どのPHIが収集・利用・維持・共有されるかに関する目的を記述しているか?
- TPは、保護対象保健情報(PHI)を含むプログラムや情報システム、技術に関する適正なプライバシー/セキュリティのコントロールを運用する、業務上のプライバシーポリシーおよび手順を保有し、広め、展開しているか?
- TPは、プライバシー影響度評価を実施して、それを共有する意向があるか?
- 医療提供組織(HDO)は、プライバシーの役割や、責任、外部委託先およびサービスプロバイダー向けのアクセス要求事項を有しているか?
- TPは、効果的な展開を保証するために、プライバシーコントロールおよび内部のプライバシーポリシーをモニタリングし、監査しているか?
- TPは、プライバシーコントロールを自動化することによって、プライバシーを支援するために、情報システムを設計しているか?
- TPは、コントロール下にある記録システムが保有する情報の開示について、正確な説明を維持しているか?
- 個々の記録の情報開示の日付や性質、目的
- 開示された個人または組織の名前、住所
- 情報開示を承認した主体
- TPは、既存のセキュリティコントロールを通して、PHIの完全性を保証するためのプロセスを文書化しているか?
- TPは、法的に権限付与された収集目的を達成するために、適切で必要な、最小限のPHI要素を特定しているか?
- TPは、個人が、収集前に、PHIの収集や、利用、維持、共有の権限を付与する手段を提供しているか?
- TPは、組織的なプライバシーのプラクティスに関する個人からの苦情や懸念、質問を受け付けて対応するためのプロセスを有しているか?
- TPは、公衆および個人に対して、PHIの収集や利用、共有、保護、維持、廃棄など、プライバシーに影響を及ぼす活動に関する十分な通知を提供しているか?
- TPは、外部とPHIを共有しているか?
他方、セキュリティの懸念についてみると、遠隔医療向けのセキュリティモデル構築時に、公衆インターネット経由でアクセスするというパブリッククラウドサービスの特徴を考慮する必要があるとしている。また、アクセスコントロールやユーザーのプロビジョニング向けの内部ポリシーなど、エンドツーエンドのセキュリティを考慮する必要があるとしている。
さらに、HIPAAセキュリティ規則の要求事項に基づくセキュリティリスク分析では、SOC2、HITRUST、FedRAMP、CSA-STARなど、クラウドサービスプロバイダーに対する第三者評価制度の活用を推奨している。その際の確認事項として、以下のような点を挙げている。
- ガバナンス
- コンプライアンス
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Accountability)
- インシデント対応管理
遠隔医療におけるクラウド利用のガバナンス/コンプライアンス
次にガバナンスについてみると、クラウドサービスにおける責任共有モデルの観点から、以下のような確認事項を挙げている。
- サービスプロバイダーのサービスレベル合意書(SLA)は、サービスプロバイダーがすべての顧客情報の機密性、完全性、可用性を保護する方法を明確に定義しているか?
- サービスプロバイダーのSLAは、HDOがデータの所有権を保持することを特定しているか?
- サービスプロバイダーは、サービス提供以外の目的でデータを利用するか?
- サービスプロバイダーのサービスは、第三者のステークホルダーに依存しているか?
また、コンプライアンスについてみると、複数の法令遵守を前提とする遠隔医療サービスの観点から、以下のような確認事項を挙げている。
- クラウドサービスプロバイダーは、HDOが、サービスおよび保持するデータを保護するために設定したセキュリティ対策の展開や管理を直接監査することを許容しているか?
- サービスプロバイダーは、HDOが直近の監査報告書を完全にレビューすることを許容しているか?
- サービスプロバイダーは、HIPAAを遵守しているか?
- サービスプロバイダーは、GDPRを遵守しているか?
なお、クラウドサービス全般のコンプライアンス管理については、CSAの「クラウド環境におけるセキュリティリスク、コンプライアンス、設定ミスの状況」(https://www.cloudsecurityalliance.jp/site/?p=20725)で取り上げている。
遠隔医療のセキュリティリスク評価とクラウド環境のCIA
前述のHDOのセキュリティリスク分析や、クラウドサービスプロバイダーの第三者評価において、重要な役割を果たすのは、情報セキュリティの機密性(Confidentiality)、完全性(Integrity)、可用性(Accountability)である。CSAの文書では、いわゆるCIAに係る確認事項として、以下のような項目を挙げている。
[機密性に関する確認事項]
- 権限付与とアクセスコントロール
- HDOは、クラウドサービスの採用を支援するアイデンティティ管理戦略を持っているか?
- ライフサイクルを通じてアイデンティティが管理・保護されていることを保証する、効果的な内部プロセスがあるか?
- ユーザーアカウントが適切に管理・保護されていることを保証する、効果的な監査プロセスがあるか?サービスプロバイダーは、これらのコントロール要件を満たしているか?
- すべてのパスワード(特にシステム/サービス管理者)は暗号化されているか?
- 多要素認証は要求されるか、そうであれば、利用可能か?
- 認証やアクセスコントロールは、機器に拡張されているか?
- マルチテナント
- サービスプロバイダーは、HDOが、顧客データの仮想化や分離に関するセキュリティコントロールおよびプラクティスの評価を含む、直近の第三者監査報告書をレビューすることを許容しているか?
- サービスプロバイダーの顧客登録プロセスは、クラウドサービスにおける情報の重要性と機微性に基づき、適正な保証レベルを提供しているか?
- パッチ・脆弱性管理
- サービスプロバイダーは、クラウドサービスを構成するすべてのコンポーネントにパッチ当てする責任を有するか?
- サービスプロバイダーのSLAには、定義された最大限の露出期間を含むパッチ・脆弱性管理向けのサービスレベルが含まれているか?
- HDOは現在、効果的なパッチ・脆弱性管理プロセスを有しているか?
- サービスプロバイダーは、HDOが定期的に脆弱性評価を実行することを許容しているか?
- 暗号化
- サービスプロバイダーは、保存時および転送時双方のデータについて、クラウドサービス上にある情報を暗号化しているか?
- クラウドサービスは、承認済の暗号化プロトコルやアルゴリズム(連邦情報処理基準140-2で定義)のみを利用しているか?
- どの主体が、暗号鍵管理に責任を有するか?
- 各顧客向けに、別の鍵はあるか
- データ永続性
- サービスプロバイダーは、次のユーザーが利用可能になる前に、ストレージメディアのセキュアな無害化のための監査可能なプロセスを有しているか?
- サービスプロバイダーは、顧客データを含む装置およびストレージメディア(例.ハードディスクドライブとバックアップテープ)の安全な廃棄または破壊のための監査可能なプロセスを有しているか?
[完全性に関する確認事項]
- サービスプロバイダーは、データの損失や不正から保護するために提供する標準的なサービスの一部として、データバックアップやアーカイブサービスを提供しているか?
- データバックアップやアーカイブサービスは、どのような形で提供されているか?
- データバックアップやアーカイブサービスは、データ損失に対する保護に関連したビジネス要求事項を忠実に守っているか?
- サービスプロバイダーは、データの復元向けに、どのレベルの粒度を提供しているか?
- サービスプロバイダーは、データがバックアップメディアから復旧可能であることを保証するために、定期的に復元テストを実行しているか?
[可用性に関する確認事項]
- SLAには、明確に規定された期間中、想定された最小限の可用性パフォーマンス比率が含まれているか?
- SLAには、明確化、スケジュール化された停止期間が含まれているか?
- サービスプロバイダーは、分散型サービス妨害(DDoS)攻撃に対して保護することができるプロトコルや技術を有効活用しているか?
- HDOが直接管理または契約しているネットワークサービスは、充分なレベルの可用性を提供しているか?
- HDOが直接管理または契約しているネットワークサービスは、適切なレベルの冗長性/フォールトトレランスを提供しているか?
- HDOが直接管理または契約しているネットワークサービスは、適切なレベルの帯域幅を提供しているか?
- HDOのネットワークとサービスプロバイダーのサービスの間のレイテンシーは、望ましいユーザーエクスペリエンスを達成するために受容できるレベルにあるか?
遠隔医療に係るインシデント対応管理
本文書では、クラウドサービスを利用した遠隔医療のインシデント対応管理に関連して、以下のような確認事項を挙げている。
- サービスプロバイダーは、情報セキュリティインシデントを検知し、対応する方法を明確に定義した計画とともに、公式のインシデント対応および管理プロセスを有しているか?
- サービスプロバイダーは、定期的に、インシデント対応管理プロセスと計画を検証し、洗練しているか?
- サービスプロバイダーのSLAは、情報セキュリティが発生したらHDOに提供する支援を明確に定義しているか?
- サービスプロバイダーは、HDOが、規制当局による調査に効果的に協力できるようにするために、十分な情報を供給するか?
- サービスプロバイダーのインシデント対応計画は、規制上の要求事項を満たすために、報告に関する要求事項を明確に定義しているか?
なお、クラウドサービス全般のインシデント対応管理については、CSAの「「クラウドインシデントレスポンス(CIR)フレームワーク」(https://www.cloudsecurityalliance.jp/site/?p=18167)で取り上げている。また、医療機器に焦点を当てたインシデント対応管理については、CSA IoT WGの「医療機器インシデント対応プレイブック」(https://cloudsecurityalliance.org/artifacts/csa-medical-device-incident-response-playbook/)で取り上げている。
最後に、本文書では、遠隔医療向けの情報セキュリティ/プライバシー/コンプライアンス・プログラムの中に、継続的モニタリングのためのツール・管理策として、CSA-STAR認証や、クラウド・アクセス・セキュリティ・ブローカー(CASB)を挙げている。日本の医療業界ではあまりなじみがないが、米国では、今後の利活用が期待される領域となっている。
CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司