セキュリティ & アイデンティティ

医療情報システム向け「Google Cloud」対応セキュリティリファレンスの公開〜

2021年10月26日

西岡典生

パートナーエンジニアリング本部技術部長, グーグル・クラウド・ジャパン合同会社

GCP を試す

$300 分の無料クレジットと 20 以上の無料プロダクトがある Google Cloud で構築を始めよう

医療情報システム向け「Google Cloud」対応セキュリティリファレンスが PwC Japan 様によって作成され、PwC Japan 様のサイトで公開されました。本リファレンスは、Google Cloud のサイトで公開されているコントロールマッピングの内容をもとに作成されています。本リファレンスは、総務省・経済産業省制定の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（以下、「総務省・経済産業省安全管理ガイドライン」）および、厚生労働省制定の「医療情報システムの安全管理に関するガイドライン第 5.1 版（令和 3 年 1 月）」（以下、「厚生労働省安全管理ガイドライン」）に対応しています。総務省、経済産業省、厚生労働省の 3 省が発行するこれらのガイドラインは「3 省 2 ガイドライン」と総称されています。コントロールマッピングは、これらのガイドラインに対して Google Cloud の対応をまとめた資料ですが、本リファレンスには、ガイドラインの要求事項を満たすためのお客様向け考慮事項やお客様が活用できる Google Cloud のサービスが含まれています。医療機関や医療情報サービスの提供事業者は本リファレンスを参照し、ガイドラインの要求を満たすための運用体制の整備やサービス開発を行うことが可能となります。

医療情報を電子的に取り扱う事業者が遵守すべきガイドライン

日本国内で医療情報等を電子的に取り扱う医療情報システム・サービス（以下、医療情報システム等）を提供する事業者（以下、IT ベンダー等）は、総務省・経済産業省安全管理ガイドライン^※1に準拠する必要があります。また、医療情報システム等を利用する機関（以下、医療機関等）は、厚生労働省安全管理ガイドライン^※2に準拠する必要があります。

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン（総務省・経済産業省安全管理ガイドライン）
医療情報システムの安全管理に関するガイドライン　第 5.1 版（令和 3 年 1 月）（厚生労働省安全管理ガイドライン）

^{※1 総務省・経済産業省安全管理ガイドラインは医療機関等へ医療情報システム・サービスを提供する事業者において対応が求められる事項を取りまとめたものです。}

^{※2 厚生労働省安全管理ガイドラインは、医療情報システム・サービスを利用する医療機関、具体的には病院、⼀般診療所、⻭科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等（以下、医療機関等）において対応が求められる事項を取りまとめたものです。}

Google Cloud の対応

Google Cloud は、直接的に医療情報システム等に該当しません。Google Cloud は医療情報システム自体ではなく、医療情報システム等の構築に用いられる IT インフラ関連サービスを提供します。しかしながら、IT ベンダーや医療機関等は、Google Cloud の利用に際し、医療情報システム等に必要なコンピューティング資源や役務を提供する立場であるため、Google Cloud を利用する場合は総務省・経済産業省安全管理ガイドラインに準拠する必要があります。そのため、Google Cloud は、総務省・経済産業省安全管理ガイドラインに基づく情報提供の⼀環として Google Cloud が講じている安全管理措置の概要を⽰すため、「別紙2 旧ガイドラインの対策項⽬⼀覧と医療情報安全管理ガイドラインとの対応表」^※3の記載事項に関する「Google の対策」をコントロールマッピングとして公開しています。自らが講じているリスク対応状況について、医療情報システム等を提供する事業者が最低限実施すべき必須の安全管理策^※3に基づいてコントロールマッピングとして整理しています。

^※3^{別紙2　旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表}

医療情報システム向け「Google Cloud」対応セキュリティリファレンスの公開

総務省・経済産業省安全管理ガイドラインが求める医療機関と医療情報サービスを提供する事業者とのコミュニケーションの一環として、Google Cloud のお客様が利用できる2つの資料を PwC Japan 様に公開いただきました。

総務省・経済産業省安全管理対応セキュリティリファレンス

概要：Google Cloud が発表しているコントロールマッピングの内容をもとに総務省・経済産業省安全管理ガイドラインが要求している事項への対応を検討するにあたり、Google Cloud が提供するセキュリティ機能などを踏まえ、留意すべき事項をまとめたもの
想定利用対象者：Google Cloud 上に医療情報システム・サービスを構築し、提供する IT ベンダーおよび Google Cloud の講じている安全管理措置の内容を把握したい医療機関等の関係者

厚生労働省安全管理対応セキュリティリファレンス

概要：厚生労働省安全管理ガイドラインが要求する事項への対応を検討するにあたり、Google Cloud が提供するセキュリティ機能などを踏まえ、留意すべき事項をまとめたもの
想定利用対象者：Google Cloud 上に医療情報システム・サービスを構築し、運用または利用する医療機関等の関係者

Google Cloud Japan 上級執行役員パートナー事業担当の石積尚幸は、次のように述べています。

「業界に知見のある PwC Japan 様作成の本リファレンスの公開によって、医療機関や医療情報サービスの提供に携わる企業様が、最適な形で Google Cloud を導入し、デジタルトランスフォーメーション（DX）をさらに推進いただくことを期待しています。」

セキュリティリファレンスのダウンロードはこちらからお願いいたします。

医療情報を安心・安全にお使いいただくための環境や情報を提供させて頂くことで、今後も医療機関や医療情報システムを提供する事業者を継続的に支援いたします。

投稿先