【続】医療分野におけるセキュリティの動向について調べた話をまとめてみた
先日こんな記事を書きました。
その続編的なセミナーが開催されたので、自分の関心が強い部分を中心に追加情報も盛り込む形でまとめnote続編を書いてみます。
※主催の木村さん(@ryosukick)による議事録。こちらは網羅的にまとまってますので合わせてぜひ。特に個人情報保護まわりは一読推奨。
デジタルヘルスのセキュリティ基準が国際的に統一化
国際的な基準に基づいてセキュリティについて準備しないと、海外展開もできないし、海外企業から攻め込まれる一方だという話がありました。
自分もまだ目を通せてないものもありますが、いくつかお勧めの資料を紹介いただいたので掲載。
カナダ政府が公開しているデジタルヘルスやSaMD(Software as a Medical Device)のガイドライン。米国FDAのものよりわかりやすいとのこと。
前回のnoteでも紹介したNIST(アメリカ国立標準技術研究所)の文書を翻訳したもの。医療サービスは重要インフラ扱いのため、サイト後半にある「重要インフラのサイバーセキュリティを改善するためのフレームワーク(NIST Cybersecurity Framework)」は見ておくべき。
※翻訳されていないが「NIST Privacy Framework」も読むべきとのこと。
EUでは組織構築まで踏み込んだセキュリティ基準の検討が行われている。
上記レポート群について少しだけ思うことなどまとめておきます。
「重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版(頁対訳)」より引用
こちらNISTのCybersecurity Frameworkの一番大枠となる図より。ざっくりまとめるとこんな理解です。
識別(ID):保護すべきデータの把握、優先順位付けなど。
防御(PR):侵入されない防御体制の構築。
検知(DE):攻撃されたことをいかに早く検知できるか。
対応(RS):攻撃を検知していかに被害を抑えるか。
復旧(RC):受けた被害に対してどう対処するか
この5つに整理して考えましょうよ、という話なのですが、多くの企業では、防御(PR)しか考えられてないことが多いのかなと思います。セキュリティ製品入れて、二段階認証入れて、GoogleDriveのアクセス権限設定して、これでもう絶対侵入されない、OK!みたいな。
残念ながら上記のような考えはもはや絵本の中のおとぎ話みたいな状態になっており、最近のセキュリティ業界では、ある程度侵入されることは前提として、どう被害を抑え込むかを考えるフェーズに入ってきています。
記事制作を手伝ってるセキュリティ関連の対談連載。侵入後の横展開、検知後の対応について、イメージが少し浮かぶと思います。
セキュリティと組織構築については、PPT(People、Process、Technology)という考え方があります。要するにファイアウォールとか、二段階認証とか、いろんなテクノロジーはありますが、運用ルールがクソ(ゆるすぎるとか、きつすぎて誰も守らないとか)だと意味がないし、運用ルールが真っ当でも守らない人がいたらダメということです。
※真っ当なルールでも守らない人がいたり、守ってても侵入されることがあったりするよね、というのを踏まえたのがNISTの5段階フレームワークという理解です。
現場の声 =「しょぼい機器を導入しても、運用がきちんと行える方がセキュリティ的には遥かに良い!」
前述したセキュリティ対談でも「見なければ永遠に気付かない」ログ監視という辛いキーワードが取り上げられております...
医療機器承認とセキュリティ要件の話
昔から気になってたテーマなんですが、質問で投稿していたら回答もらえました。ありがたや。
講師の吉澤さんによると、「日本では3省3ガイドラインなど形式的に守ってれば今のところOKだが、米国では明確にセキュリティ要件が出てきている」との回答。
医療用ソフトウェアの事前承認プロセスを構築するためのプログラム(Digital Health Software Precertification(Pre-Cert)Program)では、セキュリティに関する要件が明確に決められています。
The FDA is currently basing the Pilot Program's criteria on five excellence principles: patient safety, product quality, clinical responsibility, cybersecurity responsibility, and proactive culture.
(FDAは現在、パイロットプログラムの基準を、患者の安全性、製品の品質、臨床責任、サイバーセキュリティの責任、プロアクティブな文化の5つの卓越した原則に基づいています。)
引用:https://www.fda.gov/medical-devices/digital-health/digital-health-software-precertification-pre-cert-program
今回のプログラムの特徴として、製品単位ではなく会社単位での認証を行う点があります。これはAIをはじめとして日々アップデートされるソフトウェアと医療機器の関係が深まるにつれて、医療機器自体ではなくそれを開発および運用する企業の体制が重要であるという意識の表れかと思いますが、それに加えてセキュリティ面でも組織としての体制が重要という理解なのだと思います。
次世代医療情報規格・FHIRと各社の動向
各国が定めるセキュリティ関連のガイドラインとは別に、国際的な医療データの標準規格としてFHIRの紹介がありました。
F:Fast(迅速な開発)
H:Healthcare(医療分野)
I:Interoperable(相互運用性)
R:Recourse(資源)
の頭文字を取ったもので、医療情報が医療機関で閉じない時代に対応した規格を見越したものになります。
「第39回医療情報学連合⼤会 FHIRシンポジウム HL7 FHIRとはなにか?」より引用
アップルは2018年にリリースしたiOS 11.3よりiPhoneでのヘルスレコード管理サービスの提供を開始。医療情報の仕様としてFHIRが指定されており、FHIRを利用した病院での医療情報をiPhoneと相互運用できる形となります。
グーグルはFHIRを標準機能としてサポートしたCloud Healthcare APIの提供を開始。米国最高峰の医療機関と呼ばれるメイヨークリニックもGoogle Cloudを戦略パートナーと捉えており、医療情報の流通・活用を強化していく姿勢を見せています。
日本でもメドレー社がFHIRを用いた電子処方箋管理システムの実証実験を行ったりしています。
まとめ
以上、セミナーから自分が特に気になった部分を抽出して、追加情報・参考情報など盛り込んだ形でまとめてみました。医療機器とセキュリティも切れない関係になっていくのだなと今回改めて確信が持てたので、引き続き情報を追いかけていければと思います。
前回のnote:
執筆:テクノ大仏
サポートいただいた分は下記にまとめた本を読んで還元したいと思います! デジタルヘルスケア https://is.gd/4XCPtN スタートアップ×知財 https://is.gd/KHV8G8 中国スタートアップ https://is.gd/KG2zcF