第564号コラム:江原 悠介 理事(PwCあらた有限責任監査法人 システム プロセス アシュアランス部 シニアマネージャー)
題:「経済産業省/総務省医療GLの改定の動向」

日本では、医療情報を電子的に処理・保存するシステムを利用する際に遵守すべきガイドラインが複数存在している。これらは、医療機関等、システム利用者が遵守すべきもの、及び該当システムを開発・運用、あるいはサービス提供する情報処理事業者が遵守すべきものに大別され、従来まで「三省4ガイドライン」と呼称されていたものである。

2018年5月に、後者のカテゴリに属する総務省所管の2つのガイドライン、つまり「ASP・SaaSにおける情報セキュリティ対策ガイドライン」、及び「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」が見直され、「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」として統合されており、「三省3ガイドライン」への集約化が図られた。

ところで、この総務省の新たなガイドラインは、今後の情報処理事業者向けのガイドラインの検討方針と共に公表されている。この方針では、2018年度から19年度にかけて、クラウド医療GL、及び現行の経済産業省のガイドライン(「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」)の統合検討が、総務省/経済産業省共催の会議体にて図られ、「三省3ガイドライン」を「三省2ガイドライン」へとさらに集約するスケジュールが記されている。現時点で統合後のGLは公表されていないが、本コラムでは、直近のセキュリティ動向等を踏まえた観点より、統合後の事業者向けGLがどのような方針を取りうるのかについて、個人的に考えてみたい(予想したい)と思う。

①リスクベースな対策の重視(システム利用者を保護するための管理責任力)

サイバー攻撃の高度化/巧妙化していく現在、昨日まで問題のなかった対策も明日には脆弱性をはらみ、そこを起点としたセキュリティインシデントが発生するリスクが飛躍的に高まっている。このような状況下で、「これだけやればよい」というセキュリティベースラインの見極めは困難になっている。さらに、事業者が提供するサービスモデルも、昔のように単独・独立したものは少なく、様々なサプライチェーンと結びつきながら複雑化している。このような状況下、複雑化した事業環境のもと、内外の脅威情報の収集・精査を通して、「このようなリスクがあるため、この対策を行うべき」というリスクベースの考え方のほうが事業者の日常には馴染みやすいと思われる。

セキュリティリスクが従来より高まっていくなか、事業者側の対策リソースには限界がある。「これだけをやればよい」という考え方に立っていては、今やシステム利用者を十分に保護すること自体が困難となる。また、いわゆる「多層防御」の観点から見た場合、ある対策を行っていなくとも、事業者のシステム構成環境によっては、別の対策により代替的にリスク低減が図られているケースもあるだろう。こうした観点を踏まえれば、「何故これをしなければならないのか」(逆に言えば、何故これはしなくてよいのか)というリスク評価を事業者が個々の責任のもとで行い、対策を行うことが重要になってくる。もちろん、事業者共通のリスク認識、つまり、ユースケースに立った想定リスクの洗い出し/カテゴリ化はGLの中で整理する必要がある。しかし、そのリスクに対しては、個々のTo Do(やるべき対策)を一意に指定するのでなく、標準的な対策例を紹介し、方向付けを行う程度に収めるべきだろう。

②システム利用者との合意形成の重要性(事業者としての説明責任への姿勢)

事業者が個々の事業環境・防御構成等を踏まえた観点よりリスク評価を行い、対策を講じることは、同時に、「我々はこのようなリスク対策を、このようなリスク認識のもとで行っている。だから安心して利用してほしい、あるいは問題があれば指摘してほしい」ということをシステムの利用者に説明し、合意形成を図ることとセットになる。つまり、事業者による対策の合理性について、システム利用前/利用中/利用後というサービスライフサイクルの中でシステム利用者がしっかり監督・監視できる環境を事業者は提供しなければならない。

現在でも、自社対策の合理性について第三者による認証を取得する事業者もいるが、全ての事業者が認証取得に向けたコストを負担できるとは限らない。重要な点は第三者認証の取得の有無ではなく、自社の取組を可能なかぎり利用者へ開示する姿勢の有無、及びその深度になる。第三者による認証を取得しているから即安心というわけではない。

メディア環境が成熟する現代において、説明責任を十分に果たせない事業者がどのようなリスクを被るかは言うに及ばないが、統合後の医療GLでも説明責任(合意形成)の重要性が焦点化されると想像される。

上述してきた①、②を総合すると、統合後のGLでは、事業者は自社の事業環境やサービスモデル構成等、固有のリスクプロファイルを考慮した観点より、自社が行うべき対策をリスクベースで定義するとともに、その理由・根拠をシステム利用者としっかり合意形成(説明・開示)する取組が求められると想定される。システム利用のユースケースを踏まえ、想定されるリスクを洗い出し・分類した上で、該当するリスクカテゴリーに対して、標準的な対策例を解説するための資料、そのような位置づけが、今後の事業者向けの医療GLに求められるといえるのではないか。例えば、2019年4月に経済産業省から「サイバー・フィジカル・セキュリティ対策フレームワーク」が公開されているが、このフレームワークの骨子も上述した内容に近いといえる。

もちろん、これらの内容は直近のセキュリティ動向等を勘案した観点より筆者が予想しただけのものである。しかし、これはシステム利用者、つまり医療機関等を保護するために医療情報を取り扱う情報処理事業者が為すべき基本的な事項であり、特に目新しいものでもない。その意味で、統合後の医療GLもその方針自体においては基本的に大きく変わることはないと考えている。

【著作権は、江原氏に属します】