30回JCMIでクラウドセキュリティの討論
19日の最後に、クラウドのセキュリティに関するセッションがありましたが、後半が興味深かったのでレポートします。
まず、九州大学の寺本先生。
情報セキュリティの三要素であるCIAが重要だが、医療関係者、情報システム関係者が充分にこれに注意しているとはいえない。医療機関の倒産が相次いでいる。最近の例ではそこそこ有名な病院の寿命が34年しかなかった。医療機関の寿命が人間より短い。この状況で医療機関がデータを預かることの是非を再考する必要がある。
裁判判決の賠償金額を見ると、医療事故死による命の値段より、個人情報漏洩に対する賠償の値段はずーっと(二桁以上)安い。これが、社会が求める医療安全と医療情報セキュリティの重みづけへの正しい理解の助けになろう。裁判では完全なるセキュリティ対策を求めるわけでなく、時代に鑑みての合理性が問われる。とはいえ犯罪の巧妙化に対抗するにはセキュリティのレベルを向上させる必要がある。それに医療機関が労力を投入する意味があるのか?
パブリッククラウドは、機械はシェアするが、データのシェアは前提としない。いっぽう医療クラウドはいろんな人がデータをシェアする必要がある。
当面の最大の課題は、政府の縦割りがすでに世の中に追従できなくになっていること。ある省だけが自分の管轄する法規を改善しても、医療から見た全体の解決にはならない。また、他省の分野には口を出さないから。
東京大学の山本先生。
人の一生を記録するデータは1PBである。その何十パーセントかが医療に関わる。政府の通達等を通覧すると、外部保存は徐々にゆるめられてきた。今年の2月から更に緩められている。しかし外国での、正確には我が国の法律の及ばない地域での保存は総務省ガイドラインを満たさない。(クラウドの現状に対する的確な説明があったが省略)。ブロードバンド・インターネットのサービスレベルは99パーセントでしかなく、医療には使えない。新ネットワークが待たれるが、当面は既存回線の二重化などで対応するしかない。POST INTERNETの要件を医療分野から要求中。
現在の個人情報保護法の(もしくは総務省の?)ガイドラインは、受託業者は委託医療機関の許可なくデータを動かせないので、クラウド上の医療情報の二次利用はできないことになってしまっている。
寺本先生の言われるように、公益とプライバシー過剰尊重のバランスを適正化すべき。欧米の報告では、プライバシー施策で個人情報流失は止められなかったが、研究は著しく遅れたという。
以上、いろいろな気づきや再認識がありました。
| 固定リンク | 0
コメント