健康医療のビッグデータ活用とリスク対応における欧米の足並みとは?:ビッグデータ利活用と問題解決のいま(2/2 ページ)
ビッグデータ活用の有力分野の1つとなる健康・医療では欧米が大西洋を越えた連携を進める。高まるプライバシーやセキュリティのリスクへの対応を含めた動向を紹介しよう。
健康医療ビッグデータで重みが増すクラウドセキュリティの役割
このように健康医療におけるITイノベーションの環大西洋連携が進むと、センシティブなプライバシー/個人情報を含むビッグデータの収集・加工・分析・保存プロセスも、物理的な制約のあるオンプレミス型環境から仮想的なクラウド型環境へと拡大し、ボーダレス化が不可避になる。
EU・米国とも、医療は重要情報インフラ(CII)の1つに指定されており、公的医療保険者、政府/自治体などパブリックセクターとのデータ連携が日常的に行われていることから、とりわけ厳格な情報セキュリティ監視体制やプライバシー/個人情報保護対策が要求される。
またEUの場合、十分なデータ保護レベルを確保していない第三国への個人データ移転を禁止したEUデータ保護指令の順守が前提となり、米国の場合、患者個人の特定が不可能となるように匿名化することやプライバシーを侵害しないことを義務付けた「HIPAA(Health Insurance Portability and Accountability Act of 1996:医療保険の携行性と責任に関する法律)」の順守が前提となる。
ユーザーが自前でコントロールできない環大西洋のクラウド環境で、極めて要求水準の高いガバナンス/リスク/コンプライアンス(GRC)管理対策をどう実現するかは、健康医療ITイノベーションを担う産官学連携組織やベンチャー企業にとって大きな課題となっている。そこに、スノーデン事件を発端とする欧米間の越境データ問題や、EUデータ保護指令を改正した「EU個人データ保護規則」の本格施行へ向けた準備作業、情報セキュリティマネジメントシステムの国際規格「ISO/IEC 27001:2005」の「ISO/IEC 27001:2013」への移行作業などが重なり合って、事態が複雑化しているのが現状だ。
下記の図は、健康医療ビッグデータのクラウドコンピューティング利用に関わる情報セキュリティやプライバシー/個人情報保護規制対応について、EUと米国との間のハーモナイゼーション活動を整理したものである。
健康医療ビッグデータのクラウドセキュリティにおけるEUと米国のハーモナイゼーションに向けた取り組み例、出典:日本クラウドセキュリティアライアンス・健康医療情報管理ユーザーワーキンググループ(2014年12月)
サイバーセキュリティの分野では、EUの欧州ネットワーク情報セキュリティ庁(ENISA)と米国の国立標準技術研究所(NIST)がそれぞれ包括的なサイバーセキュリティフレームワークを策定するに当たって、人事交流や情報共有に向けた連携活動を行っている。健康医療ITの関連産業にとって、サイバーセキュリティのリスク管理はハードルの高い課題であるが、欧米間の標準化活動は比較的進んでおり、健康医療データに関わるユースケースも多く公表されている。
パブリックセクターの分野でも、クラウドサービスの政府調達基準を中心に、ENISAとNISTの間の交流/連携活動が進んでいる。米国では、「FedRAMP(Federal Risk and Authorization Management Program)」という連邦政府共通のクラウドセキュリティ基準が策定されており、欧州では、ENISAが「Procure Secure」などのクラウド調達ガイドラインを策定している。
国際標準化団体の情報セキュリティ規格に関わる分野では、全般的なマネジメントシステム規格である「ISO/IEC 27001:2005」の「ISO/IEC 27001:2013」への移行作業が始まっているほか、クラウド環境のセキュリティに特化した新規格ISO 27017の策定作業が行われている。欧州域内で事業を展開する企業にとって、ISO規格は必要不可欠な共通基準となってきた経緯があり、健康医療ITの環大西洋連携においてもその影響力は大きい。
他方、非標準化団体によるクラウドセキュリティ国際標準化活動としては、クラウドセキュリティアライアンス(CSA)が、クラウドセキュリティの共通リスク評価ツールとして「Cloud Controls Matrix(CCM)」を提供しており、米国内や欧州域内にあるCSAの各支部が、個々の国・地域や業種・業界の状況を加味しながら、クラウドサービスプロバイダーやユーザー企業の現場で活用している。
またCSAでは、EUの厳格なプライバシー保護規制へのクラウド対応の観点から、「EUのクラウドサービス販売向けプライバシーレベル契約の概要」を公表している。
筆者は、CSAグローバルの健康医療情報管理、ビッグデータ、モバイルの各ワーキンググループを中心に活動しているが、何か新しいイニシアティブが始まる時、最初から米国とEUの専門家がコアメンバーとして入り、議論を始めるケースが多い。国際標準化活動の裏側では、組織や国境を超えた人的ネットワークのつながりが大きな力を発揮する。
残念ながら、日本の健康医療ビッグデータに関わるクラウドセキュリティについてみると、欧米間で進んでいるテクノロジーの標準化や専門人材の育成・交流が、対欧州、対米国ともあまり進んでいない。日本発のイノベーションを拡大させるためにも、国際間連携は大きな課題である。
次回は、EU各国ならではの特徴を生かしたビッグデータ付加価値サービスのベストプラクティスについて取り上げる。
著者者紹介:笹原英司(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook: https://www.facebook.com/esasahara
日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ:
http://www.cloudsecurityalliance.jp/bigdata_wg.html
関連記事
- 欧州にみるIoT活用とリスク管理への挑戦
IoT(モノのインターネット)から生まれるビッグデータを活用したイノベーションが進む一方、プライバシー/個人情報管理、サイバーセキュリティなど、リスク管理上の課題も広がりつつある。厳格なプライバシー保護政策で知られる欧州諸国はどのように対応しているのだろうか。 - アイルランドにみるビッグデータとセキュリティの世界動向
多数のインターネット企業が欧州の拠点を構えるのがアイルランドだ。北海道とほぼ同じ面積の小国ながら、ビッグデータの利活用とセキュリティやプライバシーなどにおける取り組みが注目されている。 - ボストンに学ぶ市民参加型コミュニティの管理と人材の役割
市民主体の「シビックテック(Civic Tech)」を活用する自治体にとって悩みの種は、コミュニティの活性化と安定的な運用管理の両立だろう。米国の古都であると同時に新しい起業家を輩出し続けるボストンの取り組みとはどのようなものだろうか。 - 米シカゴにみる、市民参加で地域課題の解決を目指すスマートシティの最前線
現代の地域社会が抱える問題は複雑かつ多様であり、その解決に市民の力とICTを活用する動きが急速に広まっている。この分野で先行する米国シカゴの取り組みとはどのようなものだろうか。 - 研究開発を牽引するクラウドとビッグデータ、リスク管理をどうするか
健康医療分野の研究開発ではクラウドやビッグデータの活用が進んでいる。だが、ステークスホルダーや活用されるデータの広がりとともに、様々な情報セキュリティやリスクの問題も浮上する。先行する米国での事情はどのようになっているだろうか。 - 健康・医療分野におけるビッグデータイノベーションの動向
健康医療はビッグデータ利活用への期待が高い反面、厳格な法規制の下で情報セキュリティのリスクも高い。日本では医療介護データの有効活用によって医療費削減を図る方針が打ち出されたばかりだが、先行する米国はどのような形で取り組んでいるのだろうか。 - 世界や米国にみるセキュリティ人材の育成術と日本の課題
加速するビッグデータビジネスにおいて、情報セキュリティをコントロールできる人材の育成が追い付いていないのは、万国共通の悩みだ。クラウドコンピューティングやクラウドソーシングを活用して、将来を担う人材へテクノロジーと運用管理の両面の経験/スキルを学ぶ場を提供する動きが世界中に広がっている。 - 新規事業創出で注目されるクラウドストーミング、利点とリスクは何か
不特定多数からアイデアを募る「クラウドストーミング」への関心が高まっている。ビッグデータ関連の新規事業の開発で企業がクラウドストーミングを活用する際のベネフィットとリスクにはどのような点があるのだろうか。 - セキュリティ/リスク管理から見た米国のオープンデータ戦略
米国が推進するオープンガバメント政策では、データの利活用において国民の参加を促す仕組みを取り入れ、同時に浮上するプライバシー/セキュリティの課題にも具体的な対応を図っている。同国はこのテーマにどう取り組んできたのか――。 - ソーシャルメディアで加速するビッグデータ利活用とガバナンス課題
インターネットを介した情報流通の拡大と利活用の広がりは、様々なイノベーションと新たな課題を生じさせてきた。今回はソーシャルメディアを中心に、ビッグデータの利活用や課題を掘り下げる。 - IoTとビッグデータがもたらす社会変革とクラウドセキュリティ
今回はInternet of Things(モノのインターネット)やビッグデータの特徴をひも解きつつ、社会に与える影響とセキュリティ上の課題を提起していく。 - 【新連載】ビッグデータ利活用の表舞台に立つプライバシーとセキュリティ
企業や組織がクラウドやビッグデータ、モバイルなどのITトレンドをビジネスに取り込んでいく中で、避けて通れないのが、プライバシーやセキュリティへの対応だ。今後想定される課題や対応に立ち向かうためのヒントをお届けしていく。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.