カナダの医療機関と Google Cloud - モダナイゼーションを継続できる安全な場所

※この投稿は米国時間 2023 年 7 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

カナダの医療機関および医療研究機関にとって、Google Cloud は選択肢になるか？

なります。カナダの医療機関および医療研究機関はクラウドへの移行を進めています。カナダのクラウド市場は 2027 年まで大幅に成長すると予想されています。

カナダの医療機関および医療研究機関がクラウドへの移行を進めている理由はいくつかあります。

• オンプレミスのインフラストラクチャへの投資と維持の必要性を排除することで費用を削減する。

• 臨床成果に向けて研究をより迅速に推進できるようにヘルスケア研究コミュニティをサポートする。

• 患者が自分の健康情報へのアクセスや、医療提供者とのコミュニケーションを簡単に行えるようにすることで、患者の満足度を向上させる。

• 全国どこからでも患者のデータと記録にアクセスできるようにすることで、ケアの質を向上させる。

全体として、クラウドへの移行はカナダの医療機関および医療研究機関にとって前向きな進展となっています。

カナダの医療提供者は、クラウドに移行する前に、セキュリティとプライバシーの問題、データ主権の問題への対処、相互運用性の確保など、多くの課題に直面しています。こうした課題を克服できるようにするには、医療データ管理者、インフラストラクチャ アーキテクト、研究リーダーに対し、カナダの医療規制にクラウドをどのように適合させるかに関する明確なガイダンスを提供する必要があります。これにより、クラウドへの移行を強化し、スムーズな移行を促進するために何が必要かを実践的に理解できるようになります。

iSecurity と MD+A Health は、カナダの医療機関および医療研究機関がリスクを把握し、クラウド導入への道筋を模索するのを積極的にサポートしています。iSecurity と MD+A Health は、広範な調査と分析を通じて、Google Cloud がヘルスケアに適したプラットフォームであると評価しました。iSecurity と MD+A Health の熱心な取り組みの結果、脅威リスク評価（TRA）とプライバシー影響レポート（PIA）による調査結果を詳細に記載した包括的な文書が作成されました。

なぜ脅威リスク評価を行うのか？

脅威リスク評価は、組織に対する脅威を特定して評価し、それらの脅威の可能性と影響を判断するプロセスです。脅威リスク評価の目標は、最も深刻な脅威を特定し、それらの脅威の可能性と影響を軽減するための緩和戦略を開発することです。

脅威リスク評価には通常、次の手順が含まれます。

1. 脅威を特定する: 最初のステップは、組織に対する潜在的な脅威をすべて特定することです。これは、ブレインストーミング、専門家へのインタビュー、または過去のデータの確認によって行うことができます。

2. 脅威を評価する: 脅威が特定されたら、その可能性と影響の観点からそれを評価する必要があります。脅威の可能性とは脅威が発生する確率のことで、脅威の影響とは実際に発生した場合の結果の深刻度を指します。

3. 脅威に優先順位を付ける: 脅威には、その可能性と影響に基づいて優先順位を付ける必要があります。最も深刻な脅威に優先的に対処する必要があります。

4. 緩和戦略を開発する: 脅威に優先順位を付けたら、それらの脅威の可能性と影響を軽減するための緩和戦略を開発する必要があります。緩和戦略には、セキュリティ管理の実装、従業員のトレーニング、緊急時対応計画の策定などが含まれます。

5. 緩和戦略を実施する: 緩和戦略が効果的であることを確認するには、緩和戦略を実施し、テストする必要があります。

6. モニタリングとレビューを実施する: 脅威リスク評価が有効であることを確認するために、定期的にモニタリングおよびレビューを実施する必要があります。

なぜプライバシー影響評価を行うのか？

プライバシー影響評価（PIA）は、新規または変更された情報技術（IT）システムまたはプロジェクトに関連するプライバシー リスクを組織が特定し、評価するために使用するプロセスです。PIA の目標は、IT システムまたはプロジェクトによって個人情報が収集、使用、または開示される各個人のプライバシーを組織が保護できるようにすることです。

通常、PIA には次の手順が含まれます。

1. IT システムまたはプロジェクトの目的と、収集、使用、または開示される個人情報の種類を特定する。

2. IT システムまたはプロジェクトに関連するプライバシー リスクを特定する。

3. リスクの可能性と重大度を評価する。

4. リスクを軽減するためのコントロールを開発および実装する。

5. コントロールの有効性をモニタリングする。

PIA は、組織がプライバシー法および規制を遵守するのに役立つ重要なツールです。また、プライバシー保護への取り組みを示すことで、組織が患者、従業員、研究コミュニティとの信頼を築くうえでも役立ちます。

PIA を実施するメリット:

• 組織がプライバシー リスクを特定して評価するのに役立つ

• 組織がプライバシー リスクを軽減するためのコントロールを開発、実装するのに役立つ

• 組織がプライバシー法および規制を遵守するのに役立つ

• 組織が顧客や従業員との信頼関係を構築するのに役立つ

Google Cloud を選ぶ理由とは？

Google Cloud は、カナダの医療機関に対する、臨床環境と研究環境の両方を拡張する環境の提供に尽力しています。Google Cloud は、世界最大級のプラットフォームを運営してきた Google の経験から得られたベスト プラクティスに基づき、クラウド環境の構築に多大なリソースを投入してきました。  

以下で、その一部をご紹介します。

• 不正なアクセス、使用、開示、中断、変更、破壊からデータとアプリケーションを保護する組み込みのセキュリティ機能

• 組織全体のセキュリティ リスクを評価し、優先順位を付け、対処するのに役立つ包括的なセキュリティ管理プラットフォーム

• セキュリティ ソリューションの設計、実装、管理を支援できるセキュリティ専門家のチーム

• 最新のセキュリティの脅威とベスト プラクティスについて学び、常に最新の状態に知識を保つことができる幅広いセキュリティ トレーニングとリソース

- University Health Network（UHN）、地域 CISO Kashif Parvaiz 氏
- Google Cloud、カスタマー エンジニア Frank Currie
- Google Cloud、Healthcare Canada フィールド営業担当者 Farrah Pirani