米国の医療クラウドサービスで高まるセキュリティ責任、国内事業者への影響は:海外医療技術トレンド(19)(2/2 ページ)
米国では、クラウドを利用した新規サービスを事業化する医療機器メーカーが増えているが、同時にセキュリティ/プライバシー対策の要求事項も高度化/複雑化している。
医療機器メーカーが提供するクラウドサービスもHIPAA監査の対象に
保健福祉省の公民権室(OCR)は、2016年から、適用対象主体および事業提携者(下請け業者含む)を対象として、データ漏えいの通知、セキュリティ/プライバシーに関するリスク評価/リスクマネジメントの要求事項の順守状況などの机上監査を開始している(関連情報、PDFファイル)。図2は、保健福祉省が公表した、2016年のHIPAA机上監査における主要な監査対象項目を示している。
図2 2016年HIPAA監査における主要な監査項目(クリックで拡大) 出典:U.S. Department of Health & Human Services「HIPAA Privacy, Security & Breach Notification Compliance Audits phase 2」(2016年7月13日)
従来、HIPAA監査は、適用対象主体に該当する医療機関や医療保険者に限定されていたが、2016年以降、監査対象が、保護対象保健情報(PHI)に関わる事業提携者およびその下請事業者に拡大される。そして、今回公表されたHIPAAクラウド・ガイドラインにより、患者データを外部保存するクラウド型ストレージ、クラウド型電子カルテシステム、患者のヘルスデータ分析アプリケーションサービスなども監査対象に入ることが明確になった。
事業提携者に該当するクラウド事業者は、下請事業者に法令違反があることを知りながら漏えい対策など妥当な処置を講じない場合、もしくは処置が不十分で契約関係を終了した場合、HIPAA順守違反が問われる可能性がある。従って、HIPAA監査準備対策として、クラウドサービスを構成するICTサプライチェーンに係る外部委託管理の強化も求められる。
昨今、医療機器メーカーの中には、医療施設内に設置された医療機器から生成される患者データを、自社もしくは外部委託先のクラウドデータセンターに集約/保管し、分析などの業務を代行するアウトソーシングサービスを提供するところが増えている。このようなクラウド型のビジネスプロセスアウトソーシング(BPO)サービスも、HIPAA監査の対象に入ることになる。
このような動きとは別に、米国食品医薬品局(FDA)は、2016年6月10日、医療機器製造者が個々の機器から収集/保存/提供する患者固有情報の取扱いに関するガイドライン草案を公表している(関連情報、PDFファイル)。医療機器製造者がクラウドサービスを利用して患者固有情報の保存・/管理を行う場合には、今後、HIPAAおよびFDA双方の法規制対応策を講じる必要が出てくるだろう。
影響は医療機器にとどまらない。本連載第8回で触れたように、FDAの監視対象外である「非医療機器」についても、機器から生成される個人データと医療施設/医療保険者の情報システムを連携させて、クラウド型の付加価値サービスを提供する場合、HIPAA監査の対象に入る可能性がある。
米国市場でHIPAAの適用対象に該当する医療クラウドサービスを提供する事業者は、より高レベルのセキュリティ/プライバシー対策を講じる必要に迫られている。医療界でグローバル連携が進む中、米国の法規制が、日本の医療クラウドサービス事業者にどのようなインパクトを及ぼすのか、注視する必要がある。
筆者プロフィール
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 連載「海外医療技術トレンド」バックナンバー
- 米国FDAが強化を求める医療機器のサイバーセキュリティ
重要情報インフラの中でも、サイバー攻撃による脅威の拡大が顕在化している米国の医療界。医療のICTサプライチェーンを担う医療機器企業に対するセキュリティの要求事項も高度化している。 - 米国で続出するサイバー攻撃による大規模被害、日本も対岸の火事ではない
米国の医療機関におけるサイバーセキュリティ対策が急ピッチで進む一方、続出するサイバー攻撃による大規模被害。日本の医療機器企業にとっても対岸の火事ではない。 - 急展開した米国サイバーセキュリティ法が医療機器開発に及ぼす影響
ホワイトハウス主導の米国サイバーセキュリティ法が2015年末から急展開を始めている。同法は保健医療分野の製品/システム開発にどのような影響を及ぼすのだろうか。 - 医療用画像などをクラウド環境で安全に共有できるサービス
ネットチャートは、医療用画像や医師による所見などをクラウド上で安全に共有できるサービス「Cloud Radiology Service クララ」の提供を開始すると発表した。遠隔地の診療所や施設とデータの共有ができるため、地域医療連携を促進する。