H3-MoM_特別編:医療情報セキュリティ超入門_20200805
************************以下************************
written by ryosukick.icon
2020年8月5日(水)19:00-21:00 @ Zoom Webinar
【講師】
講師紹介
吉澤 尚(よしざわ なお)さん
Q&A
イベントコード 20296
【当日資料】
前回からの続き
https://gyazo.com/f4a673c43a2eeea5e247017e5321f221
COVID-19のワクチン開発は安全保障の問題に近い。マスク外交という言葉があったように、米中がいまワクチン開発に巨額のリソースを割いてやっているというのは新興国向けの外交力を増していくため。そういう前提でつくられているセキュリティ基盤は非常に重要。 先進国でデジタルヘルスのセキュリティ基準が概ね統一化されてきた。これをみて「日本のサービスがやっと海外にいけるかも!」と考えることは大きな間違いで、むしろ海外のサービスが日本へ参入できるようになったという理解が正しい。日本のデジタルヘルス企業には2段階認証やその先のセキュリティ要件を満たしている会社が殆どない。
https://gyazo.com/3a6430b3c4b53f15ae42bc8c1c2dc1ea
IBMのスマートヘルスケアシティのコンセプト動画。アメリカの方が診療科であったり保険制度は日本以上にバラバラであり、そこのBundlingには大きな課題がある。だからこそ、医療機関や保険会社の枠を超えたデータ共有を前提としたEHR/PHRの仕組みが大きな社会実装のタイミングを迎えつつある。感染症の対策も位置情報とのセットで考えている。 #コネクテッドヘルスケア 医療-介護-都市交通まで含めた議論が必要になる。Contact Tracing AppとHER-SYSは日本でも厚生労働省のアプリでやろうとしているが、日本でできているのはそれぞれスタンドアローンのアプリでしかない。また、国内の医療機関とのICU/ECMOの臨床情報とも連携できておらず、行政が開示していたデータも医療現場の人のボランティアによる献身によって報告され、集計されたデータでしかない。 https://gyazo.com/fd0eee5c37ceb202d367dd4275e711b6
そんななか、個人情報保護法が改正される。デジタルヘルス事業者にとって大きなポイントは以下の通り。 開示請求の対象
第三者利用された情報の開示請求に答える義務がでてきた。ただし、もし一度目のデータ二次利用者から2nd/3rdのベンダーに外部提供されるようになったときに、その第三者提供記録のトレーサビリティまで確保できるかというとかなり運用負荷が大きい。
漏洩時の対応
「自主的な報告」→「委員会への報告」「本人への通知の義務化」に変更。1件漏らしたら逐一とまで厳しいものではないが、個人の権利利益を害する場合、という要配慮個人情報に関する取り扱いはより厳格なものになった。 不正取得された個人データ、オプトアウト規定により対象外とされたデータ(ただし、組み合わせにより要配慮個人情報となり得る情報)の取り扱いが厳格になる。
ペナルティの厳格化
刑事罰の要件引き上げ。
データ利活用
提供元では統計加工などして個人データに該当しないものの、提供先において個人情報として復元できる情報(例:リクナビ事件)の場合も本人同意の確認を義務付ける。ヘルスケアの場合、狭い特定地域で複数の臨床研究を行っているようなデータセットが複数ある場合には特定されうる状況になりえる。 外国にある第三者への個人データ提供(国際共同治験など)をやる場合などは、移転先の法制を踏まえて説明しなければならないという規定が明確化された。かなり事業者にはハードルが高い。 https://gyazo.com/bbdad414a88ed3b0ed2b324c7c0080b6
医療機関でのCIO(Chief Information Officer)の設置なども謳われている(ただ、一部の大病院以外にはあまり現実的ではないという批判もある)。
https://gyazo.com/9fbc40eda6a66e9551c221744995e435
https://gyazo.com/57b22b5106fcf7a3c99deb7fd78be1aa
https://gyazo.com/85212783c8481790952a5548caa13973
私立大学病院と国公立大学病院でも基準が違ったものがこれから統合されてくるようにはなってきた。
https://gyazo.com/c806de8be99dfc01cd5ff8c7babfb0ee
学術研究分野ではもともと個人情報保護法の適用対象外であった。ただ、EUにはEU一般データ保護規則GDPRに基づく規制がある。民間事業者であれば関係ないというよう思うかもしれないが、安全管理措置等や保有個人データの開示等は学術研究でも個人情報保護法が適用される。ここのシステム要件や相互運用性をもてるようなデータプラットフォームは非常に重要なフェイズになってくるし、ビジネスチャンスにもなってくる。 https://gyazo.com/021ddfa3453cf29447d5fd284d1c4ba7
https://gyazo.com/056341ca4bcb7e3aa357eafdb9358938
https://gyazo.com/343daa5631f66559d07a497610fbe706
Uberも公共交通との連結・マッチングへトライをし始めた。コミュニティバスや救急車を回していくということで社会インフラを担うようになっていく。彼らが第二本社をおいているテキサスから順番にてしてこようと思っている。 https://gyazo.com/4670b525f45bdea31e9ae017a188c6c1
ヘルスケア領域と金融・MaaSは表裏一体。COVID-19でこの統合の動きがますます加速させる方向にある。全部Uberの人と公共交通を組み合わせて動いている人では歩数や運動量が当然異なってくる。
日本のような人口減少社会では、医療を起点にしてとれたデータが地域交通の最適化につながるであるとか、高齢者のデジタル消費を間接的に促進するというようなストーリーも起こり得る。マネタイズが簡単ではないヘルスケア業界では、このようなマネタイズ先を作る価値はあるはず。
https://gyazo.com/a42dee025fcaa10eda068bab25a6a466
https://gyazo.com/d8db1eea4703418c29b73e1a8c33bd29
https://gyazo.com/da5b4673ccdafaa57e762a47e7df9512
精密医療・個別化医療の文脈でゲノムデータを活用しながら、生活上のデータを結びつけていく必要がある。特に医薬品の世界では患者の層別化、薬が効く患者とそうじゃない患者を複層的なデータから分けられるようになると大きい。政策の動きを待つのではなく、将来のグランドデザインを初期段階で明確に描いた上で、自社が持つべきデータアセットを深堀りしていく必要がある。 https://gyazo.com/eb0bb30799dbf4549cd527919f928be4
https://gyazo.com/6c45f144702da21c57ed1914c39acd93
https://gyazo.com/ba158f4f853c409e6d9d37e515a454ad
https://gyazo.com/9c1df406ea62e5a458cdc6e71918b796
https://gyazo.com/ee53a83d61af39e662a8638f3cf09c1f
https://gyazo.com/c62d949c83d7b1df04cfaf6c768d78e0
https://gyazo.com/929a78c86a50900beffe3747a8660347
https://gyazo.com/728c72318df19f436feaa353000619db
SNOMED CTおよびICD:検査データと医師側が用いるデータ表記の統一を明確にやっているのが米国。それをせずに規格だけ後追いしてしまっているのが日本。 https://gyazo.com/844302ffd2245676294a24fc73393d1a
https://gyazo.com/66758de227cdfd8f78a09d0eac80ce02
日本だとデータの最終化を医師にまかせてしまうという慣行があり、データベースの改善アクション自体が極めて重要になる。がんゲノムDBのデータ自体がノイズが多いと、製薬メーカー等が活用しようと思った時に使いづらい。後天的なものか先天的なものかの整理がなされていない。
https://gyazo.com/9b5b2a3f2cf0731f54913297f5185c82
https://gyazo.com/9284ad9f33e0336e325ff8c4b32e491b
https://gyazo.com/10fcb30fd9f1160ac79cc6bb91fc6e1d
https://gyazo.com/7bd4b18ea82516f7a7a4a79a3e919408
米国/グローバルでデファクトになっているシステムやセキュリティに関するフレームワーク。DDFTでのデータ流通をするのであれば、日本勢がまずは https://gyazo.com/76c55053687f55a38e60c84691152bda
https://gyazo.com/7bdc2c93fa53ccb0e443b79550bf1f0f
NISTがサイバーセキュリティとプライバシー対応は一体のものとして整理されている。サイバーセキュリティフレームワークはIPAで日本語化もされている。 https://gyazo.com/91a70ef480eea94f8d072020e95f8f60
(↑は豪州だが)カナダでまとめられているデジタルヘルスやSaMDの実務的なガイドラインなどが最もわかりやすく整理されている。本家FDAのものよりもわかりやすい。海外出る時にはまずこれを見てもらえればと。 IoTのセキュリティに関するルールはかなり厳格なものがあるし、州ごとのガイドライン対応をやれるというものが必要になってくる。できるだけ設計段階でグローバルレベルで基準を確認、開発ロードマップを敷いておいたほうが良い。
https://gyazo.com/b62e6f007058b50a5e3daf163929b8ce
欧州は近々EU圏内で薬事規則が統一される予定。それに先んじてサイバーセキュリティに関する規定が示されている。あるべき組織・人事体制やオペレーションまでガイドライン上で明確に示そうとしている。
https://gyazo.com/f04210e6e92d181678dcb74c5b8b4894
欧州は基本的にサイバーセキュリティは全方位的に厳しいが、その代わりENISAのような共通のフレームワークが示されている。 https://gyazo.com/ef6124da9e82eeb17d4903b257db467b
https://gyazo.com/22f8ac3b1cd6e720174534a1dd0c20a3
【概要】
【Q&A】
Q. 医療データの種類と保有先、それぞれのカテゴリーにおいての活用ハードル
A. まずは患者が特定できる、診断・治療などの医療行為のなかで記録された情報か否か(検査情報も含む)。これが医療データ。日本はCT/MRIは世界一の密度で配置されているので、ここはユニークな強みがある。海外の一部の保険者だと破綻寸前だと画像診断が高額でないと出来ないような状況もあるので、そこはチャンスかも。
A. 保有先は原則は医療機関かその先にいるベンダーが原則。疾患と連携している時点で要配慮個人情報になるので、取得時点でのインフォームドコンセントを明確に取れると良いのではないかと思っている。デジタルシステムでの同意取得は大きなチャンスかもしれないと思っている。
Q. サイバー攻撃が増えてきている昨今ですが、国内で主流な3省3ガイドライン、プライバシーマーク、ISMS(ISO 27001、ISO 27017など)で十分でしょうか?NIST-SPシリーズ、NIST-CPFなどの実装や、Privacy by desingのなど、国内への普及の必要性についてのご意見をお聞かせください。
A. ISMSは医療情報に特化したものではないので、それだけでOKなものではない。ただ、共通部分をかなり埋められるようにはなるので、まずそこからはじめていくのは実務的に良いと思います。NIST-SPをフル実装するのはかなり大変になってしまうので、Coreというパートを見てもらったほうが良い、
Q. 個人情報保護法が保護している権利利益は具体的に何と考えるべきでしょうか?法目的が明確でないため混乱しているよう思います。「プライバシーの侵害」は不法行為でカバーできると考えた場合、「データにによる人の選別」を防ぐことが残るか。一方、許させる選別・許されない選別をどう考えるか、という問題も出てきそうに思います。
A. おっしゃる通り。個人情報保護法は「保護」ではなく「手続き」ありきの法律。欧州のEU一般データ保護規則GDPRはたしかに保護をちゃんと謳っており、思想として違う。国内の有識者も憲法13条プライバシーの保護と紐付けようという議論している。 Q. 医療健康情報の、所謂ビッグデータとしての利用と、Society5.0での文脈での利用では、求められるデータの精度や、利用にあたっての仕組み作りなど、考慮すべきことが全く異なると思いますが(同意原則の考え方なども)、両者を切り離すことなく、データ流通が進むエコシステムを作ることが出来ると思いますか?
A. 日本の議論でいうとおっしゃる通り。ただ、日本のデジタルヘルスのプレイヤーはまだ臨床やライフサイエンスでの利活用を念頭に置いたサービス設計が出来ているものが殆どない。中国でやっているようなスマートシティ構想にはヘルスケアデータもノンヘルスケアデータも統合的に持ち、管理しながら公衆衛生対策に生かしていくという臨床とリンクしている使い方がされているのと比べると、全然違う。
Q. 医療情報システムのセキュリティについて支援していますが、顧客のリソース不足の場合どのようなアプローチが有効でしょうか。
A. 大きな課題。ベンダーとして顧客に説明できる限界を線引するというのが実務的な対応だとは思うが、SLA(Service Level Agreement)が全体的に普及していないの日本のITベンダー社会だと難しいのもわかるし、医療現場から丸投げされがちな日本のベンダーは大変であろうと思われる。契約書に入れるか、パンフレット等の説明書類で良いことばかりでなく、リスクも含めてわかりやすく提示していく必要がある。 Q. 医療機器の承認審査の際に、具体的なセキュリティ要件などがあるのか
Q. 日本の方がアメリカより規制が緩いというお話でしたが、アメリカのHIPAAだとSafe Harbor等の形で、匿名加工の手法が明確に定義されているが故に対応しやすい一方、日本はそこが定義されていないが故に基準が厳しくなっている("完璧に"匿名化しないといけない)と認識しているのですが、齟齬ありますでしょうか。
A. その通り。匿名加工を前提とした利用の仕方は個人的にはあまりおすすめしていない。技術が進歩するにつれて匿名加工情報といえなくなることも時代の変化のなかで十分に起こり得る。あと、匿名加工情報だけで作り上げたSaMDは実務では使えないレベルのものになると思います。 Q. ICN(医療関連感染対策)、医療情報、事務や法人管理に関わってきました。医療情報と個人情報に関しては病歴が要配慮個人情報とされたのは大きかったですし、海外法律の勉強はそもそも重要と思います。COVID-19に関連してHER-SYSとCOCOAと自治体等ベッド等統括する立場と臨床とが連携できないは悩ましいと感じています。
A. 本当に悩ましいですね。。。本当に必要なシステムが何で、政治家・行政などの発注者側が十分にこの思想を持っていなかったし、その重要性を認識していなかったとしか言えない。
Q. 医療情報と個人情報と医療の学術研究に関して言えば、医療情報界隈の一部では次世代医療基盤法が一定の注目と思いますが(ビジネス含め)、どのようにお考えでしょうか。 A. 次世代医療基盤法は目的が達成したら破棄する前提でいるので、あまりストックデータとして使えないのではないかという懸念はある。また、次世代医療基盤法の認定事業者とそれ以外の事業者の取り扱いも整理されているとは言い難い。
Q. DFFTのTrustはセキュリティ面はもちろんですが、それ以外の要素(民主国家かどうか、政府の監視があるか、DPAのような組織があるかなど)もあるかと思います。各国のプライバシー法がデータローカライゼーションに傾いている流れの中で、どのようにTrustを確立できるか、なにかお考えがあればお教えください?