COVID-19が大流行し、これまでオンサイトで行われていた様々な事象がオンラインに移行されるとともに、サイバー犯罪が増加した2020年。ヘルスケア領域においても、同年3月に米国保健福祉省が大規模なDDos攻撃に晒され手術が何件も取りやめとなり、9月にはCOVID-19ワクチンを研究していた英国製薬会社に、またその1ヶ月後には英国保健省に何者かが攻撃を仕掛ける事件が発生するなど、サイバー攻撃の脅威は高まり続けています。(1)
海外のみではなく、国内においても、事務的な事故による個人情報漏洩のみでなく、ランサムウェアに感染して電子カルテデータが破壊されるといった事象が生じており(2)、医療業界におけるセキュリティ対策の重要性は今後も高まり続けると予想されています。
Research Nester Private Limitedのレポートによると、2027年までのヘルスケアサイバーセキュリティのCAGR(年平均成長率)は約16%であると言われており、サイバーセキュリティ全体のCAGRである約3.1%を大きく上回っています。(3)(4)
このような流れの中、以前の記事でもご紹介した通り、2020年8月に事業者向けのガイドラインが「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(5)として統合され、これに続き、2021年1月には医療機関向けのガイドラインである「医療情報システムの安全管理におけるガイドライン(厚生労働省)第5.1版」(以後、「厚労省ガイドライン」という。)(6)として改定されました。
今回は、厚生労働省ガイドライン5.1版の改定のポイントを紹介し、特に、医療情報を取り扱う情報システム・サービスで特にクラウドサービスを提供する事業者(以後、「医療クラウドシステム事業者」という。)にどういった影響があるのかについてお話しします。
改定の背景
今回の改定の背景は主に以下の3点です。
- 近年の医療機関等を対象とするサイバー攻撃の手法の多様化・巧妙化
- スマートフォンや各種クラウドサービス等の医療現場での普及
- 各種ネットワークサービスの動向への対応
上記に関連する内容として、厚生労働省の健康・医療・介護情報利活用検討会の医療等情報利活用ワーキンググループ第一回における別紙5-1(7)に、今回の改定の素案概要がわかりやすく纏まっており、その中で、スマートフォンやタブレット端末がモバイル端末の主流になっていること、医療分野におけるクラウドサービスの多様化と普及やPaaSなどクラウドサービスのさらなる普及とサプライチェーンの複雑化が進んでいること、ISDN、PHSのサービス停止への対応、5Gサービスの開始といったことが挙げられています。
こうした医療現場を取り巻く環境の変化により、利便性が高まっていくことが期待される一方で、標的型攻撃による被害、ビジネスメール詐欺による被害、ランサムウェアによる被害が外部からの攻撃として増加といったサイバー攻撃の手法の多様化・巧妙化につながっていると考えられています。
改定のポイント
今回の改定で医療クラウドシステム事業者への影響が特に大きいと考えられるものは以下の3つです。
- クラウドサービスの責任分界の考え方
- 原則としての二要素認証の採用
- 委託先の選定基準
これらについて、紐解いていきましょう。
1.クラウドサービスの責任分界の考え方
「4.3 例示による責任分界点の考え方の整理」の追記等により、クラウドサービスの概要を示すとともに、これを利用した場合の責任分界の考え方が示されています。まず、クラウドサービスが基本的に共同利用型であることを踏まえ、医療機関等とクラウドサービス事業者で管理方法による取決めを行う必要があります。
(出典:医療情報安全管理ガイドライン5.1版(厚生労働省、2021年1月)
図 4-3-1には、医療機関等がクラウドサービスに医療情報を外部保存する場合のサービス提供の主なパターンが示されていますが、1社のクラウドサービス事業者が医療機関等と契約をする場合は、クラウドサービス事業者は外部のサービスの提供を受けている場合でも、その外部のサービスも含めたサービス提供責任を医療機関等に対して負います。
一方、複数のクラウドサービスで情報連携をするケース(「A水平連携ケース」)や、医療機関等がプラットフォームやインフラ等のクラウドサービスを契約し、その基盤の上で別のクラウドサービス事業者がアプリケーション開発を行うケース(「B垂直連携ケース」)のように、受託事業者が複数事業者を通じて行われることもあり、この場合には障害や情報漏洩等の事故が生じた場合に、責任分界を明瞭にしておかないと、原因の特定や対策などが遅滞する危険性があります。
また、障害等が発生した非常時の場合に、最初に原因調査の範囲を決める責任を負う主体や、原因調査に必要な調査協力義務などについての役割、範囲等をそれぞれの事業者と取り決めておくことが求められます。
2.原則としての二要素認証の採用
現状導入されている、またはこれから利用するシステムで、令和9年度(=2027年度)時点で稼働予定のものに関しては、認証に際して原則として二要素認証を採用することが求められており、「パスワードを利用する場合はいくつかの追加対策を実行すべき」と記載されています。
なお、「二要素認証」に「二段階認証」と混同されやすいこともあり、その違いについてまず明確にしておきます。まず、認証には以下の3つの要素があります。
要素 | 内容 | 例 |
---|---|---|
知識 | 本人だけが知っていること | ログインに必要なID パスワード 秘密の質問の答え |
所有 | 本人だけが所有しているもの | スマートフォン キャッシュカード クレジットカード |
生体 | 本人自身の特性 | 指紋 顔 声紋 |
「二段階認証」とは上記の認証の3要素のどれか1つ以上の要素で、2つの認証ステップを踏むというものです。最低限の二段階認証ができている例として、IDとパスワード(知識)で1段階目の認証をした後に、さらに秘密の質問(知識)で二段階目の認証をする、という方法があります。
これに対して、「二要素認証」とは上記の認証の3要素のうち2種類の要素を利用して認証を行うというものです。具体的な例として、銀行のATMの認証が挙げられ、これは、本人だけが所有しているキャッシュカード(所有)と、本人だけが知っている暗証番号(知識)の2つの要素で認証をしています。
二要素認証は「必ず2つ以上の要素が必要である」という点で、二段階認証と比べてより厳重な認証であり、厚生労働省ガイドラインでも、二要素認証が必要で、二段階認証だけでは不十分であるとしています(第6.5節)。
最近のポピュラーな認証方法として、IDとパスワードによる認証に加え、スマートフォンのSMSで受信したセキュリティコードを入力して認証する、というものがあります。この方式の場合、IDとパスワード(知識)が第三者に流出していたとしても、スマートフォン(所有)が手元に無ければ二段階目の認証ができませんので、二段階認証であり二要素認証でもあります。このため、ガイドラインに照らし合わせても十分な認証強度があると言えます。
3.委託先の選定基準
医療機関等は必要に応じて「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」等によって、外部保存を受託する事業者におけるセキュリティ対応状況の概要を確認することが有効と書かれています。また、外部保存の受託事業者の選定にあたっては、国内法の適用があることや、逆にこれを阻害するような国外法の適用がないことなどを確認し、適切に判断した上で選定することも記されています。(第8.1.2節)
医療機関等と契約するクラウドサービス事業者への影響
あくまで厚労省ガイドラインは「医療機関等が準拠すべきもの」であり、「事業者が準拠すべきもの」ではありませんが、医療機関が準拠するにあたり、医療情報を外部保存を委託する事業者には必然としてその影響が波及してくるものと考えられます。今回の改定に伴い、医療機関等と契約する立場にあるクラウドサービス事業者には、どのような影響があるでしょうか。あるいはどのように対応していくべきでしょうか。
1.クラウドサービスの責任分界への対応
医療分野において、別のクラウドサービス事業者と協働する場合には、「どこからどこまでを、どの会社で管理すべきか」を事前に取り決めておくことが求められます。特に、複数のクラウドサービスで情報連携をするケースや、医療機関と直接契約しているクラウドサービス事業者に対して、インフラやプラットフォーム等で外部のクラウドサービスを提供している事業者については、「共同責任モデル」に基づいて責任分界や役割を明確化しておくことが重要になります。例えば、下の図は、Microsoft社の共同責任モデルになります。(8)
もし、自社と他社でそれぞれ共同責任モデルが作成されていれば、お互いのモデルを参照することで、顧客が提供しているデータのうちどれをそれぞれの事業者で共有するか、あるいは重複して所有するデータがある場合はそのオーナシップをどちらが取るか、といったことをスムーズに決定できるようになります。
2.二要素認証への対応
医療機関等で認証を行うシステムを提供している事業者は、多要素認証の提供が求められます。代替として、特定の条件を満たすことにより、引き続きパスワード認証などの利用も選択肢として取ることは出来ますが、その場合、パスワードの定期変更といった望ましくない運用を医療機関等に強いることを伴うため、やはり二要素認証への移行が現実的となります。
なお、厚労省ガイドラインにおいては、特に患者側の認証についての明確な記載がありません。しかしながら、金融機関のサービスでなりすましによる不正が後を立たないことを踏まえると、可能な限り患者の判断で二要素認証を利用できるような機能を実装することもいずれ必要になってくる可能性があります。
このような対応は、ガイドラインに違反していないからという理由だけで実装を見送るのではなく、患者や医療機関がより安全にサービスを利用できるように、事業者として何をすべきかを主体的に考えて対応する姿勢が望まれます。(9)
3.外部保存を受託するために必要な対応
まず、相手がどのような暗号鍵の利用目的を持って管理を委託しているのかを確認し、それに適した対応を行うことが求められます。また、FIPS140-2の最低限の4基準をクリアするために、例えば暗号アルゴリズムにAES等のFIPS認証のアルゴリズムを利用する、PCの暗号ボードを利用する等を行い、それを医療機関側に明確に提示することが求められます。
次に、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の遵守を求められます。その上で、「サービス仕様適合開示書」やSLA(SeaviceLevelAgreement = 事業者がどの程度のサービスの品質を保証するか示したもの)の開示を求められることを想定し、準備しておく必要があります。
この要求事項は特に重要で、遵守していないことで法令違反になるものもあります。以下に厚労省ガイドラインの内容を抜粋しますので、ぜひご確認ください。
8.1.2. 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準
(中略)
C.最低限のガイドライン
(中略)
2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合
(1)保存した情報の取扱いに関して監督できるようにするため、外部保存を受託する事業者及びその管理者、電子保存作業従事者等に対する守秘に関連する事項やその事項に違反した場合のペナルティを契約書等で定めること。
(2)医療機関等と外部保存を受託する事業者を結ぶネットワーク回線に関しては6.11章を遵守させること。
(3)総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける等で確認をすること。
(4)外部保存を受託する事業者の選定に当たっては、事業者のセキュリティ対策状況を示す資料を確認すること。例えば、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求めて、確認することなどが挙げられる。
(5)外部保存を受託する事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させないこと。なお保守に関しては、6.8章を遵守すること。
(6)保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記するとともに、外部保存を受託する事業者に遵守させること。
(7)保存した情報を、外部保存を受託する事業者が独自に提供しないように、契約書等で情報提供について定めること。外部保存を受託する事業者が提供に係るアクセス権を設定する場合は、適切な権限を設定させ、情報漏えいや、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないようにさせること。
(8)保存された情報を格納する機器等が、国内法の適用を受けることを確認すること。
(9)外部保存を受託する事業者を選定する際は、(1)から(8)のほか、少なくとも次に掲げる事項について確認すること。
a医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b医療情報等の安全管理に係る実施体制の整備状況
c実績等に基づく個人データ安全管理に関する信用度
d財務諸表等に基づく経営の健全性
eJISQ15001、JISQ27001の認証の有無
f「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無。
・JASAクラウドセキュリティ推進協議会CSゴールドマーク
・米国FedRAMP・AICPASOC2(日本公認会計士協会IT7号)
・AICPASOC3(SysTrust/WebTrust)(日本公認会計士協会IT2号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果により、上記と同等の能力の有無を確認すること
・システム監査技術者
・CertifiedInformationSystemsAuditorISACA認定
g医療情報を保存する機器が設置されている場所(地域、国)
h受託事業者に対する国外法の適用可能性
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
最後に
今回の厚労省ガイドライン改訂により、医療機関側と事業者側の両方のガイドラインにおいてリスクベースアプローチに沿った情報セキュリティマネジメントシステムを求められます。これを受け、医療機関と事業者が同じ枠組でリスクコミュニケーションをすることができるようになるため、事業者側はより一層わかりやすい情報開示を行うことが求められるようになると考えられます。
注釈
(1)kaspersky:COVID-19が世界に与えた影響
(2)日経Xtech:ランサムウエアで電子カルテが利用不能に
(3)value press:ヘルスケアサイバーセキュリティ市場CAGR
(4)dime:サイバーセキュリティ市場CAGR
(5)経済産業省・総務省:医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
(6)厚生労働省:医療情報システムの安全管理に関するガイドライン第5.1版
(7)厚生労働省 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ 第一回 別紙5-1:医療情報システムの安全管理に 関するガイドライン改定素案概要
(8)Microsoft:クラウドにおける共同責任
(9)CyberFortress:金融機関口座での不正利用による被害