医療の世界でもICT化が進み、今や医療とデータは切っても切り離せない状態にある。そこで重要になってくるのがセキュリティだ。
医療の世界でもICT化が進み、今や医療とデータは切っても切り離せない状態にある。医療情報のビッグデータ構築や活用を支援するメディカル・データ・ビジョン(MDV)でリスク・コンプライアンス部 兼 インフラ部 部門長として、サイバーセキュリティ、情報セキュリティの責任者を務める渡邉幸広氏は、「医療情報企業に学ぶ セキュリティ対策を推進する勘所──経営と現場を動かす方法は?」と題して講演、経営層への説明や現場への関わりといった観点でどのような取り組みを進めているかを紹介した。
MDVは2003年の創業以来一貫して、医療情報の活用とそれによる医療の質の向上という理念を掲げ、事業を推進してきた。
具体的には、病院向けにシステムを提供し、そのシステムを通してデータを収集しながら医療ビッグデータを構築する「データネットワークサービス」と、こうして収集した医療データの分析機能や分析結果を製薬会社などに提供し、それぞれの事業に活用してもらう「データ利活用サービス」の2つを柱としてきた。病院から収集したデータについては4383万人分(実患者数2023年5月末)、保険者データについては1930万人分(同)を保有しており、日本最大級の質と量を誇る医療データベースを保有し、事業を拡大している。
こうして医療データをデータベース化することによって、どのようなメリットが生まれるのだろうか。1つは「Evidence Based Medicine」(EBM)、つまり「根拠に基づいた医療」だ。データに基づいて、個々の患者特有の臨床情報や価値観に配慮した医療を提供することで、医療の質の向上につながると期待される。またレセプトデータやDPCデータを基に「リアルワールドデータ」を構築し、医薬品の効果や副作用に関する臨床試験に活用する試みも始まりつつある。
長らく医療の分野ではICT化が遅れ、データ利活用が進まないのはもちろん、自分自身の医療・健康情報も把握できないことが課題とされてきた。だが、ICTを活用し、患者が自分の医療・健康情報を管理することは大きな意義があると同社では捉えている。
「自分の体や自分がなる恐れのある病気を把握することで、どういった薬を使い、どんな診療を受けるかといったことを選択し、主体的に治療を受けられる社会を実現するには、患者自身が医療情報を管理していくことが必要だと考えています」(渡邉氏)
こうしたビジョンの下、同社はPHRサービスの「カルテコ」をはじめさまざまなサービスを展開しているが、そこで重要になってくるのがセキュリティだ。
医療情報の保護については、グローバルスタンダードである「ISO 27002」を基準にして、国内では大きく2つのガイドラインによって安全管理措置が定められていると渡邉氏は説明する。
1つは厚生労働省が医療機関を対象に定める「医療情報システムの安全管理に関するガイドライン」、もう1つは経済産業省と総務省が医療機関向けにシステムやサービスを提供する事業者向けに定める「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」で、通称「3省2ガイドライン」と呼ばれている。
厚生労働省のガイドラインはベースラインアプローチを採用しており、要求事項を満たすための必須事項や推奨事項を定めている。具体的には外部などからの攻撃への対応や機器の管理、バックアップや情報のライフサイクルといった事柄に関して、ISMSの安全管理措置と照らし合わせながら「こうすべき」といった事柄が記載されている。
一方、経済産業省・総務省が定めるガイドラインはリスクベースのアプローチを取っており、医療情報を扱うシステムに関するリスクの特定、分析、評価と対応と、それらを踏まえた医療機関への情報・リスクの開示や合意といった事柄が定められている。「医療機関とのコミュニケーションを通じて、セキュリティ対策とその限界について、共通の理解と明示的な合意をするように定義しています」(渡邉氏)
3省2ガイドラインでは、渡邉氏が「こんな細かいところまで書いているのか」と述べるほど、具体的な対応策が記述されている。
例えば厚労省のガイドラインでは、医療機関と事業者を結ぶネットワークでセッションの乗っ取り(回り込み)がないよう例えば二要素認証を実施するといった具体的な対処すべき問題が記されており、「これを理解してしっかりと対策を取って医療機関に説明をし合意の上でサービスを利用して頂くことが、医療情報を扱う企業にとって重要になってきます」(渡邉氏)
同様に経産省・総務省のガイドラインにおいても、事業者と医療機関の間でどういった内容について合意を取るべきかが表で例示されている。MDVもこれに沿って、「われわれのサービスがどのような安全管理措置によりリスク対策が取れているのか、また十分対策を取った上でもどのよう残存リスクがあるのかとその影響が軽微であることなど含めて説明できる資料を開示しています」(渡邉氏)
また本来、事業者は経産省・総務省のガイドラインのみを参照すれば済むのだが、厚労省のガイドラインの内容を理解した上でサービス適合開示書などを作成し、医療機関に開示、説明していく責務があるため、やはり事業者であっても3省2ガイドラインの両方を理解し、対応する必要があるとした。
「さらにガイドラインは適宜更新されており、厚労省のガイドラインは間もなくゼロトラストの考え方が盛り込まれた6.0にバージョンアップされる予定となっています。われわれもその内容を把握した上で、どういった提案をすべきか、どういった安全管理措置やリスク管理対策を提供すべきかを日々、考えていきます」(渡邉氏)
こういった状況の下、MDV社内ではどのようにセキュリティ対策を進めているのだろうか。渡邉氏は主に、経営層に説明し、いかに理解を得て予算を獲得し、プロジェクトを推進していくかという観点で、「投資と認識してもらう」「プロジェクト化」「客観的な評価」という3つのポイントを押さえながら取り組んでいると説明した。
まず、経営層に投資と認識してもらう部分については、経産省の「サイバーセキュリティ経営ガイドライン」を背景に、サイバーセキュリティ対策は経営課題であり、医療情報を扱う会社として、その理解は他社よりも進んでいるが、全ての予算をサイバーセキュリティに投じていくと経営は成り立たないため、何が必要で、どこまで対応していくべきかを説明していくことが必要だとした。
経営課題として認識してもらう前提として、今や情報は人、モノ、カネと並ぶ経営資源であることをあらためて説明し、この経営資源はリスク管理、リスク対策が重要という観点で対策の必要性を説明している。
問題は、対策の必要性自体は理解してもらえたとしても、次に「何でそんなにお金がかかるのか」「費用対効果はどうなのか」といった問いが返ってくることだ。渡邉氏は1つのアプローチとして、セキュリティ対策の費用を、ピーター・ドラッカーが唱える4つのコストのうち「監視的コスト」もしくは「補助的コスト」と位置付け、例えば「もし、個人情報が何百万人分漏洩して一人当たり500円のお見舞い金を支払う場合のコストに対し、その事態を防ぐための費用はいくらか」といった具合に、技術要件と費用という2つの観点から説明をすることが重要だとした。
「『今、こうしたセキュリティ上の脅威があるため、この対策が必要で、コストはこの額になるのでください』といった説明ではなかなか予算は下りません。もし対策しなかったらどういったことが起こり、その場合の損害はいくらになるかを示し、これからかける投資との比較を簡単であっても算出して説明していくことが重要になります」(渡邉氏)
2つ目のポイントとしては「プロジェクト化」を挙げ、具体的には「機能が重複しないよう全体最適で考えていくこと」を指している。
セキュリティ対策を検討する際にしばしば参照されるのが「サイバーキルチェーン」だ。デリバリーから目的達成までの各プロセスでどういった対策が必要かをその都度考え、無計画に追加していくと機能が重複したり、運用が煩雑になってしまったりすることがある。「ITシステム全体や運用管理体制を整理し、セキュリティ対策の機能の重複のないように投資していかなければなりません。時には機能が重複することがわかった場合はより有効なものを残し不要になったものは止めることも含め、考える必要があります」(渡邉氏)
また、「自社にどういったデータがあり、どのデータを守らなければならないのか」という観点からの検討もポイントだ。重要度に応じて対象システムをレベル分けし、対策をマッピングして重複を防ぐアプローチも組み合わせ、せっかくのセキュリティ投資が無駄にならないよう進めることが、経営層への説明においては特に重要だとした。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授