AWS Summit Online 2022「医療業界に求められるセキュリティ対策と AWS が提供するソリューション」

医療業界のクラウド活用とガイドラインへの対応

• 紙のカルテ→電子カルテ

• 法整備が進みオンライン診断できるように

• 医療現場の情報システムにおいて重要な要件は

  • 患者に関する医療情報をどう安全に扱うか
    • 医療情報は、個人情報保護法における、要配慮個人情報に該当する

• オンプレミスでもクラウドに移行したとしても、一定要件を満たす必要がある

  • 総務省、経済産業省、厚生労働省、3つの省から2つのガイドラインが定められている

• 3省2ガイドラインの位置付け

  • 厚生労働省
    • 医療機関や情報システム・サービスの提供者すべてが遵守すべき安全管理の要求事項を定めたガイドライン
  • 総務省、経済産業省
    • よりシステムに近い部分での情報システムサービスの提供者が対応すべきガイドライン

• クラウド環境におけるガイドラインの対応について

  • 責任共有モデルに基づき、ガイドラインへの対応を実施し確認していくことが重要
  • まず見るべきは、医療情報システム向けのAWS利用リファレンス
  • 医療情報システム向けのAWS利用リファレンス
    • 医療情報システムに関する3省2に沿ってAWSサービスを利用するためのもの
    • 日本において医療情報システムの構築・運用を行う上で遵守すべきことをAWS パートナー各社で整理検討し作成した参照文書

• AWSサービスの話

  • 5つの機能をもとにセキュリティ対策の基盤
  • 識別・防御・検知・対応・復旧という機能の枠組みを組み合わせて、医療情報を守るセキュリティ設計を考える必要がある

• AWS Trusted Advisor（識別）

  • AWS環境を自動監視して推奨設定を通知
  • IAMのパスワードポリシーの設定状況
  • S3バケット許可
  • 継続的なセキュリティ強化のために、これからスタートするのが良い

要配慮個人情報とは

• 本人に不当・偏見が生じないよう、特に配慮が必要な以下の情報のこと
• 人種
• 信条
• 社会的身分
• 病歴（身体・知的・精神障害、健康診断/遺伝子検査結果、保健指導、診療・調剤情報など）
• 前科・前歴、犯罪被害情報
• 2017年5月30日に「改正個人情報保護法」で規定が新設された
• 要配慮個人情報の取得には、あらかじめ本人の同意が必要となり、第三者提供はできない

「個人情報」と「要配慮個人情報」の違い

• 個人情報とは「生存する個人に関する情報であって、氏名や生年月日等により特定の個人を識別することができるもの」
  • 他には、誰の音声かが識別できる音声録音情報やマイナンバーの番号なども
• 要配慮個人情報は「個人情報のなかでも偏見や差別につながりうるセンシティブなもの」
• つまり要配慮個人情報は一般的な個人情報の一部

参考：https://www.jipdec.or.jp/library/word/u71kba0000007b2g.html