マイクロソフトクラウドの「医療機関向けクラウドサービス対応セキュリティリファレンス (2021 年度)」公開のお知らせ
本日、日本マイクロソフト株式会社は、医療情報を取り扱うプラットフォームとして、厚生労働省「医療情報システムの安全管理に関するガイドライン」および経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の要求事項に、当社が提供するクラウドサービスが則っていることを確認・整理したリファレンス『医療機関向けクラウドサービス対応セキュリティリファレンス (2021年度)』を公開しました。本リファレンスは、PwCあらた有限責任監査法人による支援 (※) のもと、日本マイクロソフトの責任において制作したものです。これにより、多くの医療機関様、医療サービスをご提供される関連企業の皆様が、リファレンス情報を適切に活用し、必要に応じたセキュリティ対策を講じることで、極めて重要なインフラである医療システム全体のセキュリティ向上につながると考えています。
3 省 2 ガイドラインに関する説明資料はこちらをご覧ください。
公開するドキュメント
- マイクロソフトが講じる安全管理措置について
一般的に想定されるリスクと対策に着眼し、当社が講じている安全管理策を「日本マイクロソフトの見解」として整理しています。 - 利用可能なマイクロソフトの製品・サービスに関する情報
利用者が該当ガイドラインに対応する上で、利用可能なサービス毎の製品及び機能に関する情報を整理しています。
※上記の「マイクロソフトが講じる安全管理措置について」もしくは「利用可能なマイクロソフトの製品・サービスに関する情報」をクリックすると、「マイクロソフトクラウドの医療機関向けクラウドサービス対応セキュリティリファレンス (2021 年度) 利用許諾契約書」を読み、その内容に同意したものとみなされます。
マイクロソフトクラウドの医療機関向けクラウドサービス対応セキュリティリファレンス (2021 年度) 利用許諾契約書はこちらをクリックしてください。
本リファレンスの対象となるクラウドサービス
- Microsoft Azure
- Microsoft 365
- Microsoft Dynamics 365
- Microsoft PowerPlatform
本リファレンスの対象となるガイドライン
医療機関が取扱う医療情報は、法的にも「要配慮個人情報」として位置付けられる非常に機微な情報であり、患者の生命にも関わる重要な情報です。情報化社会の発展や、不正な攻撃手法の高度化に伴い、医療情報を安全に管理する必要性はますます大きくなっているといえます。
このような情勢の変化を踏まえ、医療情報を電子的に管理する上で準拠すべきガイドラインの策定と見直しが繰り返されており、現在、大きく二つに集約されています。一般的にこれらは、厚生労働省・経済産業省・総務省の 3 省による 2 つのガイドラインとして、3 省 2 ガイドラインと総称されています。
- 医療情報システムの安全管理に関するガイドライン 第 5.1 版(厚生労働省、令和3年1月 )以下、厚生労働省安全管理ガイドライン
- 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン (経済産業省・総務省、令和 2 年 8 月) 以下、経済産業省・総務省安全管理ガイドライン
厚生労働省安全管理ガイドラインは、医療情報システムやサービスを利用する医療機関、具体的には病院、⼀般診療所、⻭科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等 (以下、医療機関等) に対する遵守事項を取りまとめたものです。
経済産業省・総務省安全管理ガイドラインは、医療機関等に対して医療情報システムや、サービスを提供している事業者に対する遵守事項を取り纏めたものです。
事業者としての日本マイクロソフトが準拠すべき項目について
当社は、医療情報システムやサービスに関連する製品・サービスを提供している事業者に位置付けられることから、経済産業省・総務省安全管理ガイドラインに準拠することが求められています。経済産業省・総務省安全管理ガイドラインは事業者に対して、「リスクマネジメント」及び「リスクコミュニケーション」という二つの側面から、安全管理上の取組を求めています。
「リスクマネジメント」においては、事業者が提供する以上情報システムや、サービスにおいて、情報流に潜むリスクを識別及び評価した上で、合理的な安全管理策を実施することが求められています。
「リスクコミュニケーション」においては、事業者が講じている安全管理策の内容を医療機関等に対して開示していくこと、及び医療情報システムや、サービスの利用者、提供者全体の目線から安全管理策として医療機関等が実施すべき対策を明示することが求められています。これにより、事業者と医療機関等の双方で安全管理策に関する共通理解を形成した上で、システムやサービスを提供することが可能となります。
サービス利用者が講じるべき項目について
当社のクラウドサービスの利用者は、準拠すべきガイドラインの観点から大きく 2 つに分かれます。1 つは、医療機関等に対して医療情報システム・サービスを提供するITベンダ等の事業者であり、経済産業省・総務省安全管理ガイドラインへの準拠が必要です。もう 1 つは医療機関等であり、厚生労働省安全管理ガイドラインへの準拠が必要です。なお、医療機関等は、ITベンダ等が構築したシステムやサービスを利用する場合と、当社のクラウドサービスを直接利用する場合がありますが、何れも医療機関等が準拠すべきガイドラインは同一です。
各利用者が準拠すべきガイドラインは異なるものの、それぞれの立場から医療情報システム・サービス全体のセキュリティを確保することが重要です。上図の何れのケースにおいても、当社が提供しているサービスの安全性が担保されなければ、医療情報システム・サービス全体としての安全性は損なわれてしまいます。そのため、各利用者にとって当社のクラウドサービスが安全であることは、常に大きな関心事となります。
さらに、各利用者はそれぞれのガイドラインを遵守する上で、適切な対策を講じることが求められます。情報技術や不正な攻撃手法は日進月歩であり、仮に全てのシステムを1から構築しようとすれば、途方もなく大きな苦労がかかることでしょう。マイクロソフトのクラウドサービスは高度なセキュリティを確保しており、利用者がこれらを利用することにより、効率的に安全管理策を講じることが可能となります。
情報公開の考え方
当社が講じている安全管理措置は、サービス利用者にとって重要な情報ですので、経済産業省・総務省安全管理ガイドラインで推奨される対策群への対応状況を公開しています。さらに、利用者がガイドラインに対応する上で利用可能なサービス毎の情報を整理するとともに、一般的に想定されるリスクや対策は、経産省・総務省安全管理ガイドラインの別添資料 (20200821002-5.pdf (meti.go.jp)) として公開されており、当社は当該資料を基に整理を行い、情報を公開しています。
そして、今後も、医療情報を安心・安全にお使いいただける環境を整えるとともに、医療機関がより良い医療を患者さまへご提供できるようクラウド事業者としてもご支援を続けてまいります。
※PwCあらた有限責任監査法人は、独立した第三者として本リファレンスの保証を行ったものではなく、日本マイクロソフトとの契約の中で定められた範囲において、本リファレンス制作にあたっての日本マイクロソフトによる内部取組の支援を行っています。本リファレンス、及び公開に伴う責任は日本マイクロソフトに帰属します。