医療ITにおけるクラウド利用時のセキュリティ/プライバシー対策については、本連載第19回で触れたように、2016年10月7日、米国保健福祉省(HHS)が、「HIPAA(Health Insurance Portability and Accountability Act of 1996:医療保険の携行性と責任に関する法律)とクラウドコンピューティングに関するガイダンス」を公開している(関連情報)。同ガイダンスはQ&A形式で構成されており、表3はその概要を示している。
この中で、特にアイデンティティー/アクセス管理と関わりが深いのが、「2.クラウドサービスプロバイダー(CSP)が暗号化されたePHIのみを保存し、復号鍵を持たない場合、それはHIPAAの事業提携者か?」である。
CSPは、HIPAA上の事業提携者(BA)に該当するので、HIPAAセキュリティ規則のePHIに関連する標準規格や実装仕様を適用して順守する義務がある。しかしながら、CSPが閲覧なしのサービスのみを適用対象主体(または事業提携者)の顧客に提供する場合、CSPが維持するePHIに適用されるセキュリティ規則の要求事項の中には、顧客およびCSPの一方の行為によって充足可能なことがある。例えば、顧客だけが、CSPが維持するePHIを誰が閲覧できるかを制御できる場合、特定のアクセス制御(認証、固有ユーザー識別子など)が顧客の責任となる一方、その他(暗号化など)については事業提携者であるCSPの責任となる可能性がある。
アクセス制御のどの部分を顧客とCSPそれぞれが実装するのかは、個々のセキュリティリスク管理計画や、事業提携契約書(BAA)の内容によって左右される可能性がある。例えば、顧客自身が合理的で適切なユーザー認証制御を実装し、閲覧なしのサービスを提供するCSPが、ePHIへのアクセスを求める個人または主体を認証する追加的な手順の実装を必要としない場合、セキュリティ規則における両者のアクセス制御に関する責任は、顧客の行為によって充足されることになる。
他方、事業提携者として、CSPは、セキュリティ規則の下で、顧客のePHIを維持する情報システムへのアクセスを制限するために、その他の合理的で適切な制御を実装する責任を有している。ガイダンスでは、以下のような留意点を挙げている。
なお、CSPと顧客の間における契約上の合意により、顧客が、セキュリティ規則と一貫性のあるクラウドサービスのセキュリティ機能を制御・実装する場合、万一顧客が失敗すると、顧客またはCSPのいずれが法令を順守しているかの調査で、規制当局は、この要因が重要かつ関連があると考える。CSPは、顧客の行為または不作為のみに帰属する法令順守違反については責任を有しないとしている。
参考までに、日本では、総務省と経済産業省が合同で「医療情報を受託する情報処理事業者の安全管理ガイドライン改定検討会」を開催し、2020年3月5日に「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)を公表している(関連情報)。その中の「4.2. 医療機関等との役割分担の明確化」で、アクセス制御機能について言及しており、今後、米国HIPAAにおける「適用対象主体(CE)」と「事業提携者(BA)」のような責任共有モデルが、日本でどう展開されるかが注目される。
Copyright © ITmedia, Inc. All Rights Reserved.