健康医療のビッグデータ活用とリスク対応における欧米の足並みとは？：ビッグデータ利活用と問題解決のいま（2/2 ページ）

[笹原英司，ITmedia]

健康医療ビッグデータで重みが増すクラウドセキュリティの役割

　このように健康医療におけるITイノベーションの環大西洋連携が進むと、センシティブなプライバシー／個人情報を含むビッグデータの収集・加工・分析・保存プロセスも、物理的な制約のあるオンプレミス型環境から仮想的なクラウド型環境へと拡大し、ボーダレス化が不可避になる。

　EU・米国とも、医療は重要情報インフラ（CII）の1つに指定されており、公的医療保険者、政府／自治体などパブリックセクターとのデータ連携が日常的に行われていることから、とりわけ厳格な情報セキュリティ監視体制やプライバシー／個人情報保護対策が要求される。

　またEUの場合、十分なデータ保護レベルを確保していない第三国への個人データ移転を禁止したEUデータ保護指令の順守が前提となり、米国の場合、患者個人の特定が不可能となるように匿名化することやプライバシーを侵害しないことを義務付けた「HIPAA（Health Insurance Portability and Accountability Act of 1996：医療保険の携行性と責任に関する法律）」の順守が前提となる。

　ユーザーが自前でコントロールできない環大西洋のクラウド環境で、極めて要求水準の高いガバナンス／リスク／コンプライアンス（GRC）管理対策をどう実現するかは、健康医療ITイノベーションを担う産官学連携組織やベンチャー企業にとって大きな課題となっている。そこに、スノーデン事件を発端とする欧米間の越境データ問題や、EUデータ保護指令を改正した「EU個人データ保護規則」の本格施行へ向けた準備作業、情報セキュリティマネジメントシステムの国際規格「ISO/IEC 27001:2005」の「ISO/IEC 27001:2013」への移行作業などが重なり合って、事態が複雑化しているのが現状だ。

　下記の図は、健康医療ビッグデータのクラウドコンピューティング利用に関わる情報セキュリティやプライバシー／個人情報保護規制対応について、EUと米国との間のハーモナイゼーション活動を整理したものである。

健康医療ビッグデータのクラウドセキュリティにおけるEUと米国のハーモナイゼーションに向けた取り組み例、出典：日本クラウドセキュリティアライアンス・健康医療情報管理ユーザーワーキンググループ（2014年12月）

　サイバーセキュリティの分野では、EUの欧州ネットワーク情報セキュリティ庁（ENISA）と米国の国立標準技術研究所（NIST）がそれぞれ包括的なサイバーセキュリティフレームワークを策定するに当たって、人事交流や情報共有に向けた連携活動を行っている。健康医療ITの関連産業にとって、サイバーセキュリティのリスク管理はハードルの高い課題であるが、欧米間の標準化活動は比較的進んでおり、健康医療データに関わるユースケースも多く公表されている。

　パブリックセクターの分野でも、クラウドサービスの政府調達基準を中心に、ENISAとNISTの間の交流／連携活動が進んでいる。米国では、「FedRAMP（Federal Risk and Authorization Management Program）」という連邦政府共通のクラウドセキュリティ基準が策定されており、欧州では、ENISAが「Procure Secure」などのクラウド調達ガイドラインを策定している。

　国際標準化団体の情報セキュリティ規格に関わる分野では、全般的なマネジメントシステム規格である「ISO/IEC 27001:2005」の「ISO/IEC 27001:2013」への移行作業が始まっているほか、クラウド環境のセキュリティに特化した新規格ISO 27017の策定作業が行われている。欧州域内で事業を展開する企業にとって、ISO規格は必要不可欠な共通基準となってきた経緯があり、健康医療ITの環大西洋連携においてもその影響力は大きい。

　他方、非標準化団体によるクラウドセキュリティ国際標準化活動としては、クラウドセキュリティアライアンス（CSA）が、クラウドセキュリティの共通リスク評価ツールとして「Cloud Controls Matrix（CCM）」を提供しており、米国内や欧州域内にあるCSAの各支部が、個々の国・地域や業種・業界の状況を加味しながら、クラウドサービスプロバイダーやユーザー企業の現場で活用している。

　またCSAでは、EUの厳格なプライバシー保護規制へのクラウド対応の観点から、「EUのクラウドサービス販売向けプライバシーレベル契約の概要」を公表している。

　筆者は、CSAグローバルの健康医療情報管理、ビッグデータ、モバイルの各ワーキンググループを中心に活動しているが、何か新しいイニシアティブが始まる時、最初から米国とEUの専門家がコアメンバーとして入り、議論を始めるケースが多い。国際標準化活動の裏側では、組織や国境を超えた人的ネットワークのつながりが大きな力を発揮する。

　残念ながら、日本の健康医療ビッグデータに関わるクラウドセキュリティについてみると、欧米間で進んでいるテクノロジーの標準化や専門人材の育成・交流が、対欧州、対米国ともあまり進んでいない。日本発のイノベーションを拡大させるためにも、国際間連携は大きな課題である。

　次回は、EU各国ならではの特徴を生かしたビッグデータ付加価値サービスのベストプラクティスについて取り上げる。

著者者紹介：笹原英司（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身、千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook: https://www.facebook.com/esasahara

日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ：

http://www.cloudsecurityalliance.jp/bigdata_wg.html