ICTインフラが支えるイタリアのeヘルスとAI法対応：海外医療技術トレンド（113）（3/4 ページ）

[笹原英司，MONOist]

市民の保健医療データはクラウド戦略の「重要」区分に該当

　上記のうち、（1）データおよびサービスの分類に関連して、本戦略では以下のようなポリシーを掲げている。

• 特定の規制やセキュリティ要求事項を考慮せず、国への影響の可能性にのみ焦点を当てて、データおよびサービスを分類する
  • 通常（Ordinary）：障害が発生しても、国家のサービスの中断や、国の経済的および社会的福祉への損害を引き起こさないデータおよびサービス
  • 重要（Critical）：社会、保健医療、安全、そして国の経済的および社会的ウェルビーイングにとって重要な機能の維持に有害となる可能性のあるデータおよびサービス
  • 戦略的（Strategic）：侵害された場合、国家の安全保障に影響を与える可能性があるデータおよびサービス
• 分類プロセスの適用により、影響と適用されるクラスの分析、および適切なセキュリティおよび規制要件の特定が可能になる
  • 国家サイバーセキュリティ境界（PSNC）の範囲内で特定された、国家の重要な機能やサービスに関連するデータとサービスは「戦略的」に分類される
  • 市民の保健医療データは「重要」に分類される
  • 行政機関のWebポータルに関連するデータとサービスは「通常」に分類される

　上記の通り、地方保健局や公立医療施設が取り扱う保健医療データは、「重要（Critical）」区分に該当する。

　次に表1は、イタリアのクラウド戦略におけるクラウドサービスの分類を示している。

表1　イタリアのクラウド戦略におけるクラウドサービスの分類［クリックで拡大］ 出所：Department for Digital Transformation of the Presidency of the Council of Ministers （DTN） and the National Cybersecurity Agency （ACN）「Italian Cloud Strategy」（2021年9月8日）を基にヘルスケアクラウド研究会作成

　そして図2は、イタリアのクラウド戦略におけるデータ分類と認証クラウドの関係を示している。

図2　イタリアのクラウド戦略におけるデータ分類と認証クラウドの関係［クリックで拡大］ 出所：Department for Digital Transformation of the Presidency of the Council of Ministers （DTN） and the National Cybersecurity Agency （ACN）「Italian Cloud Strategy」（2021年9月8日）

　例えば、前述の保健医療データは、「重要（Critical）」区分に該当し、「暗号化されたパブリッククラウド」、「ライセンス供与されたプライベート／ハイブリッドクラウド」、「認定されたプライベートクラウド」のいずれかの認証を受けたサービスを利用することができるが、「認定外のパブリッククラウド」や「認定されたパブリッククラウド」は利用できない。従って、イタリアの地方保健局や公立医療施設向けにクラウド型eヘルス関連サービスを提供する企業は、最低限、「暗号化されたパブリッククラウド」の認証を取得する必要がある。その場合、暗号鍵の管理をイタリア国内で行う必要がある。

データ分類に応じた政府クラウドサービス適合性評価の要求事項

　参考までに、図3は、イタリアのクラウド戦略におけるクラウドサービス適合性評価の要求事項、表2は、データ分類別のクラウドサービス適合性評価の要求事項を整理したものである。

図3　イタリアのクラウド戦略におけるクラウドサービス適合性評価の要求事項［クリックで拡大］ 出所：Department for Digital Transformation of the Presidency of the Council of Ministers （DTN） and the National Cybersecurity Agency （ACN）「Italian Cloud Strategy」（2021年9月8日）

表2　イタリアのクラウド戦略におけるデータ分類とクラウドサービス適合性評価の要求事項［クリックで拡大］ 出所：Cloud Security Alliance「Compliance in Italy: Navigating the New Cloud Italy Strategy」（2023年3月30日）を基にヘルスケアクラウド研究会作成

　イタリアの政府クラウドの場合、「重要」や「戦略的」に該当するクラウドサービス適合性評価を満たすためには、ISO 22301（事業継続マネジメントシステム−要求事項）や、ISO/IEC 20000-1（情報技術-サービスマネジメント-第1部：サービスマネジメントシステム 要求事項）への対応への対応も求められるので、注意が必要だ。

　イタリアのクラウド戦略の柱となる国家戦略ハブ（NSH）は、イタリア全土の複数の行政機関にサービスを提供できる新しいITインフラを開発して、行政機関の複数のデータセンターのセキュリティと信頼性を合理化し、強化することを目的としている。NSHのデータセンターは、イタリア北部のロンバルディア州と中部のラツィオ州に、それぞれ冗長構成を維持できるよう分散配置されている。

　NSHは、暗号化されたパブリッククラウド（イタリア国内）サービス、すなわち行政機関向けのパブリッククラウドに統合されたオンプレミスの暗号化ツールをサポートし、プライベートクラウドサービスの範囲、すなわちライセンス供与されたプライベート／ハイブリッドクラウド（イタリア国内）および認定されたプライベートクラウド（イタリア国内）を提供する役割を担う。加えてNSHは、分類および資格付与手続きに従い、中央の行政機関や主要な地方行政機関（例：地域行政機関、地方保健当局および大都市）を支援する役割も担う。各行政機関は、2025年末を目処に、既存システムのクラウド移行作業を進めている