医療とライフ サイエンスのお客様向けのセキュリティ、プライバシー、コンプライアンスのリソース

※この投稿は米国時間 2020 年 7 月 31 日に、Google Cloud blog に投稿されたものの抄訳です。

COVID-19（新型コロナウイルス感染症）による世界的な健康危機に対応する中で、医療およびライフ サイエンス（HCLS）業界は急速な変革とイノベーションの時期に入っています。医療従事者は、最高の効率による最良な治療の提供、従業員の保護、ビジネス オペレーションの合理化に懸命の努力を続けています。Google Cloud では、多くの医療とライフ サイエンスのお客様に協力して、遠隔医療とリモート生産性向上のソリューション、一般公開データセットへのアクセス、研究費の助成をはじめとするサポートを提供してきました。

これらのお客様は、このような課題に取り組み続けていますが、医療とヘルスケアの組織は、依然としてセキュリティ、プライバシー、法令遵守義務への対応を余儀なくされています。このような組織がそのアプリケーションを確実かつ適切に管理できるようにするため、現在、Google では最近公開したソリューション ガイドやホワイトペーパーなどの各種アセットを重点的に紹介しています。

• Google Cloud における医療データの保護: Google Cloud を初めて使用する医療組織には、まず Google の「多層防御」戦略について知ることをおすすめします。この戦略では、アクセス制御、暗号化、継続的モニタリングなどの安全措置を扱っています。このドキュメントは、よくある質問集として作成されていて、医療データと医療アプリケーションの管理を目的とした、Google Cloud の契約条項、信頼原則、業界をリードするセキュリティとプライバシーの機能をまとめています。Google のこれまでのお客様も、Google Cloud の機能と戦略に対する認識を新たにして責任共有モデルを支持するために、このホワイトペーパーを利用できます。
• Healthcare Data Protection Toolkit: Google が開発したオープンソースのツールキットです。Google Cloud プロジェクトの迅速で容易なデプロイメントとモニタリングに効果的です。Terraform や Forseti Security など、業界で広く使用されている各種ツールを他のカスタム機能に統合し、使いやすく、検証可能で再現性に優れた Google Cloud Platform（GCP）環境を設定できるようにします。この自動化の程度によって、セキュリティ、プライバシー、コンプライアンスが重要なワークロードを、より優れた形で迅速にデプロイできます。組み込まれているデプロイメント検証とモニタリング ルールを使用して、当初からの適切な構成、ポリシー違反の検出、時間の経過に伴うブレの低減を確保できます。Google では、医療とライフ サイエンスの一般的なソリューション アーキテクチャに適合したデプロイメント テンプレートのサンプルをいくつか公開しています。これらのテンプレートを使用すると、GCP プロジェクトの設定が容易になり、セキュリティ、プライバシー、コンプライアンスが重要なワークロードのオンボーディングを合理化できます。
• HIPAA ソリューション アーキテクチャおよび HIPAA 技術ソリューションのガイド: HIPAA に適合した参照環境を Google Cloud 上で設計し、デプロイする方法を知ることができます。このガイドでは、推奨のオンボーディングとセキュリティ構成のベスト プラクティスを取り上げています。その例として、アクセス制御、データ ストレージのライフサイクル、詳細な監査ログがあります。Data Protection Toolkit に用意されているデプロイメント テンプレートのサンプルとスターター コードを活用して、実際の GCP プロジェクトでこの参照アーキテクチャをプロビジョニングし、変更することもできます。
• 「優良事例」（GxP）のホワイトペーパー: GxP は、ライフ サイエンス、医薬品、医療機器の業界で製品に適用するさまざまな「優良事例」の規則およびガイドラインの略称です。このホワイトペーパーでは、米国食品医薬品局（FDA）をはじめとする政府機関の規則で規定されている GxP 基準を概説しています。また、Google Cloud の管理制御、物理制御、技術制御でお客様の品質、ドキュメント、セキュリティに関する目標を達成する様子を紹介しています。
• 「優良事例」（GxP）の技術ソリューション ガイド: ライフ サイエンス向けの Google Cloud Platform 上に GxP 適合の参照環境をデプロイするプロセスを、このガイドで理解できます。推奨のセキュリティ構成（アクセス制御、監査ロギング、データ保持など）、検証、デプロイメント後の確認などを取り上げています。Data Protection Toolkit にあるデプロイメント テンプレートのサンプルと他のサンプルコードを活用して、実際の GCP プロジェクトにこの参照アーキテクチャをデプロイして変更することもできます。
• Personal Health Information Protection Act（PHIPA: 個人健康情報保護法）のホワイトペーパー: PHIPA に規定された情報セキュリティ上の考慮事項への対応に、Google Cloud がどのように役立つかを紹介しています。PHIPA は、個人健康情報の収集、使用、開示に関する基本原則を定めたオンタリオ州（カナダ）規則です。
• ISO 27701 認証: ISO/IEC 27701 は、個人を特定できる情報（PII）の収集と処理に重点を置いたプライバシー関連の世界標準であり、国際的なプライバシーのフレームワークと規則を組織が遵守できるように策定されています。Google Cloud Platform は、独立した第三者機関の監査を受け、PII 処理組織として ISO/IEC 27701 認証を取得しています。

Google は、セキュリティ、プライバシー、コンプライアンスに関する効果的なリソースを、HCLS のお客様向けに継続的に公開することを目指しています。このリソースとして、さまざまな規則のコンプライアンス フレームワークに適合した参照環境のデプロイメントに関するホワイトペーパー、ソリューション ガイド、サンプルコードなどがあります。

このようなトピックの総合的な概要と詳細については、 Google Cloud Next ‘20: OnAir で、医療向けのセキュリティ、プライバシー、コンプライアンスのソリューションに関するセッションをご覧ください。Google の各種ドキュメントで、Google Cloud のセキュリティとプライバシーの機能および規則と業界のコンプライアンスへの適合について詳しく知ることもできます。

 -医療とライフ サイエンス担当プロダクト マネージャー Rohit Talreja