Your SlideShare is downloading. ×
Oct.18, 2013: Healthcare cafe @CSA-JC Health Information Management Working Group
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Oct.18, 2013: Healthcare cafe @CSA-JC Health Information Management Working Group

193
views

Published on

Presentation on October 18, 2013

Presentation on October 18, 2013

Published in: Health & Medicine

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
193
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. クラウドセキュリティの現状と今後 ~国際的視点からの課題提起~ 2013年10月18日 日本クラウドセキュリティアライアンス 健康医療情報管理ワーキンググループ (c) 2013 Cloud Security Alliance 1
  • 2. AGENDA • Cloud Security Allianceのご紹介 のご紹介 のご • 国際的視点から見たヘルスケア分野の クラウドセキュリティの現状 • クラウドセキュリティから見た今後の課題 ~サイバーセキュリティ、モバイル、ビッグデータ~ (c) 2013 Cloud Security Alliance 2
  • 3. Cloud Security Allianceのご紹介 • クラウドセキュリティのグローバルな非営利組織 • Individual Members(ソーシャルメディアLinkedInの 「Cloud Security Alliance」グループ登録者):5万人以上 • Corporate Members: 140 • Affiliate Members: 24(ASPIC、IPA含む) • Chapters worldwide:60以上(日本含む) The Cloud Security Alliance (CSA) is a not-for-profit organization with a mission to promote the use of best practices for providing security assurance within Cloud Computing, and to provide education on the uses of Cloud Computing to help secure all other forms of computing. The Cloud Security Alliance is led by a broad coalition of industry practitioners, corporations, associations and other key stakeholders. (https://cloudsecurityalliance.org/) (c) 2013 Cloud Security Alliance 3
  • 4. Cloud Security Allianceのご紹介 Security, Trust & Assurance Registry クラウドプロバイ ダーの ダーのセキュリ ティ認証/登録 ティ認証/ 認証 • CSAの主な活動/成果物 クラウドコンピューティ ングのための のためのセキュ ングのためのセキュ リティガイダンス 他の 基準との連結 リスク分析のための リスク分析のための 分析 コントロールマトリクス ISO27001/HIPAA/ HITECH Act /AICPA/COBIT4.1/ ENISA IAF/ FedRAMP/ PCI DSS v2.0 WGや研究活動 や (c) 2013 Cloud Security Alliance 認定資格試験 4
  • 5. Cloud Security Allianceのご紹介 • クラウドソーシングを活用した国際標準化活動 • クラウドソーシング(Crowdsourcing)で、クラウドセキュリ ティ(Cloud Security)の標準化を推進する • オープン、グローバルなオンラインコミュニティから、ボランティアを幅広 く募集し、プロジェクトコディネーターを中心として、クラウドセキュリティ の個別テーマに関する標準化活動を推進する • クラウドソーシングのためのツール • ソーシャルネットワーキングサービス:LinkedIn (http://www.linkedin.com/groups?gid=1864210) • • • ~Working GroupやPeer Reviesに参加するボランティアの募集 コラボレーションツール:Google Groups、Google Docs、Basecamp ~オンラインディスカッション、ピアレビューなど テレカンファレンス:joinme ~定例オンライン会議 メーリングリスト など (c) 2013 Cloud Security Alliance 5
  • 6. Cloud Security Allianceのご紹介 • ワーキンググループ/リサーチイニシアティブの活動領域 (c) 2013 Cloud Security Alliance 6
  • 7. Cloud Security Allianceのご紹介 • 主要なワーキンググループ/リサーチイニシアティブ(1) • • • • • • • • • • • • • Security Guidance for Critical Areas of Focus in Cloud Computing Cloud Vulnerabilities Working Group Incident Management and Forensics CSA Legal Information Center Innovation Initiative Open Certification Framework Mobile Working Group Big Data Working Group Privacy Level Agreement Working Group Consensus Assessments Initiative Cloud Controls Matrix (CCM) CloudTrust Protocol Cloud Data GovernanceCloud Security Alliance (c) 2013 7
  • 8. Cloud Security Allianceのご紹介 • 主要なワーキンググループ/リサーチイニシアティブ(2) • • • • • • • • • • Enterprise Architecture Working Group Security as a Service Telecom Working Group Health Information Management Working Group Top Threats to Cloud Computing CloudAudit CloudCERT Cloud Metrics Solution Provider SME Advisory Council (Corporate Members) Solution Provider Advisory Council (Corporate Members) (c) 2013 Cloud Security Alliance 8
  • 9. Cloud Security Allianceのご紹介 • CSA Health Information Management (HIM)Working Group (https://cloudsecurityalliance.org/research/him/) • 代表幹事: Vincent Campitelli, McKesson Corp. Chris Ledoux, athenahealth, Inc. • 活動領域: • Provide direct influence on how health information service providers deliver secure cloud solutions (services, transport, applications and storage) to their clients, and foster cloud awareness within all aspects of healthcare and related industries. • The efforts are jointly executed by CSA Global, health information cloud communities (i.e. focus groups, associations, vendors, providers, research institutes, forums, and academia), Solution Providers and relevant working group responsible for authoring CSA’s Guidance V.3. (c) 2013 Cloud Security Alliance 9
  • 10. Cloud Security Allianceのご紹介 • 日本クラウドセキュリティアライアンス 健康医療情報管理ワーキンググループ • 幹事: 笹原英司(米国CSA本部 HIM WGメンバー) • 活動領域(Google Groupsなどのツールを利用): • • ライフサイエンス/医薬品/医療機器産業、医療機関/介護施設/健 康増進サービス事業者、患者/消費者を含む健康医療情報バリュー チェーン全体におけるSecurity Guidance for Critical Areas of Focus in Cloud ComputingおよびCloud Security Alliance Cloud Controls Matrix (CCM)の有効活用の推進活動 • CSAのワーキンググループが主導するCSAガイダンス、CCMおよびそ の他発行文書類に関する、業界の視点に立ったピアレビューの実施お よびフィードバックの提供 • 健康医療情報に関わる国内外の主要なステークホルダーコミュニティ (例.フォーカスグループ、業界団体、研究機関、フォーラム、学術団体 など)との積極的な協業活動 参加資格:CSA日本支部のインディビジュアル/コーポレート/アフィリエー トメンバーからのボランティア(まずはLinkedInグループに御登録下さい) (c) 2013 Cloud Security Alliance 10
  • 11. AGENDA • Cloud Security Allianceのご紹介 • 国際的視点から見たヘルスケア分野の 国際的視点から見 ヘルスケア分野の から 分野 クラウドセキュリティの クラウドセキュリティの現状 • クラウドセキュリティから見た今後の課題 ~サイバーセキュリティ、モバイル、ビッグデータ~ (c) 2013 Cloud Security Alliance 11
  • 12. 国際的視点から見たヘルスケア分野の クラウドセキュリティの現状 • CSA Cloud Controls Matrixの健康医療分野への適用(1) • 米国: HIPAA/HITECH総括的規則の沿革 年月日 内容 2009年8月24日 HITECH法(Health Information Technology for Economic and Clinical Health Act of 2009) 暫定的最終規則(IFR:Interim Final Rule)(データ漏えい) 2009年10月7日 遺伝子情報差別禁止法(GINA:Genetic Information Nondiscrimination Act of 2008) 規則制定案告示(NPRM)(GINA規則) 2009年10月30日 HITECH法 暫定的最終規則(IFR)(執行) 2010年7月14日 • 2013年1月25日 HITECH法 規則制定案告示(NPRM:Notice of Proposed Rulemaking)(HITECH 規則) HIPAA総括規則(データ漏えい、執行、HITECH規則、GINA規則)公表 2013年3月26日 HIPAA総括規則(データ漏えい、執行、HITECH規則、GINA規則)施行 2013年9月23日 適用対象主体および事業提携者(BA:Business Associates)の遵守義務開始 (前提条件:日本との違い) • • 個人情報保護の権利とは別個にプライバシーに関する権利が確立 健康医療データのオーナーは個人である(→インフォームドコンセント) (c) 2013 Cloud Security Alliance 12
  • 13. 国際的視点から見たヘルスケア分野の クラウドセキュリティの現状 • CSA Cloud Controls Matrixの健康医療分野への適用(2) • 米国: HIPAA/HITECH総括的規則のスコープ 漏えい発生時の通知基準の改正 電子健康記録(EHR)に含まれる情報に対する患者のアクセス 事業提携者( : 下請け 事業提携者(BA:Business Associates)および下請け事業者に対する規制 )および下請 事業者に する規制 許諾のないマーケティングにおける保護対象保健情報(PHI:Protected Health Information)の利用/開示の制限 許諾のない保護対象保健情報(PHI)の販売の禁止 データの研究利用 - 複合的、より一般的な許諾 患者が保険者とのデータ共有を制限する権利 プライバシーの取り扱いの通知を修正/再配布するための要件 契約査定のための遺伝子情報利用に対する制限の包含 民事制裁金(CMP:Civil Money Penalty)の執行/賦課および代理人行為の民事 制裁金負債における保健社会福祉省(HHS:Department of Health and Human Services)長官の役割の明確化 (c) 2013 Cloud Security Alliance 13
  • 14. 国際的視点から見たヘルスケア分野の クラウドセキュリティの現状 • CSA Cloud Controls Matrixの健康医療分野への適用(3) • 米国: HIPAA/HITECHにおける事業提携者(BA) 事業提携者(BA:Business Associates)=適用主体に代わって、保護対象保健情報 (PHI:Protected Health Information)を生成、収集、維持、交換する者 事業提携者(BA)に代わって保護対象保健情報(PHI)を生成、収集、維持、交換する、事業提 携者(BA)の下請け事業者も該当する 事業提携者(BA)としての位置づけは、契約上の相手関係ではなく、役割や責任に基づく 事業提携者(BA)に該当する例 患者安全組織 保健情報連携組織、電子処方箋ゲートウェア、適用主体の個人健康記録(PHR)ベンダー(全 てのPHRではない) 日常的に、保護対象保健情報情報(PHI)へのアクセスを必要とするデータ交換プロバイダー 事業提携者(BA)に該当しない例 単にデジタル管路を提供する、データ交換サービス事業者は該当しない ただし、実際に閲覧する意図がなくても、保護対象保健情報情報(PHI)を保存する事業者は該 当する(例.クラウドモデルの電子健康記録(EHR)) (c) 2013 Cloud Security Alliance 14
  • 15. 国際的視点から見たヘルスケア分野の クラウドセキュリティの現状 • CSA Cloud Controls Matrixの健康医療分野への適用(4) • 米国:健康医療固有の法規制+パブリックセクターのセ キュリティ要件+サイバーセキュリティ要件 健康医療分野のクラウドセキュリティの 健康医療分野のクラウドセキュリティの視点 監査への対応:リスク 例.-HIPAA/HITECH監査への対応 リスク評価 / 監査への対応 リスク評価 CSA Cloud Controls Matrix (CCM) (https://cloudsecurityalliance.org/research/ccm/) パブリックセクターのクラウドセキュリティの視点 例.Federal Risk and Authorization Management Program (FedRAMP) (http://www.fedramp.gov/) ホームランドセキュリティの視点 例.Federal Information Security Management Act(FISMA) (c) 2013 Cloud Security Alliance (http://csrc.nist.gov/groups/SMA/fisma/index.html) 15
  • 16. 国際的視点から見たヘルスケア分野の クラウドセキュリティの現状 • CSA Cloud Controls Matrixの健康医療分野への適用(5) • 米国:CCMを介した健康医療関連法規制の省庁間マッピング Control Area (CSA) Contr ol ID (CSA) Control Specification (CSA) Scope Applicability HIPAA / HITECH NIST Act SP800-53 R3(最新版 ( はR4) ) 45 CFR 164.312(e)(2)(i): Implement security measures to ensure that electronically transmitted electronic protected health information is not improperly modified without detection until disposed of. (c) 2013 Cloud https://cloudsecurityalliance.org/research/ccm/ Security Alliance Applicatio n& Interface Security Applicatio n Security AIS-01 Applications and interfaces (APIs) shall be designed, developed, and deployed in accordance with industry acceptable standards (e.g., OWASP for web applications) and adhere to applicable legal, statutory, or regulatory compliance obligations. HHS SC-2 SC-3 SC-4 SC-5 SC-6 SC-7 SC-8 SC-9 SC-10 ・・・ NIST FedRAMP Security Controls --LOW IMPACT LEVEL— NIST SP 800-53 R3 SC-5 NIST SP 800-53 R3 SC-6 NIST SP 800-53 R3 SC-7 NIST SP 800-53 R3 SC-12 NIST SP 800-53 R3 SC-13 NIST SP 800-53 16 R3 SC-14 GSA
  • 17. 国際的視点から見たヘルスケア分野の クラウドセキュリティの現状 • CSA Cloud Controls Matrixの健康医療分野への適用(6) • 米国:医療ソフトウェアとセキュリティの関係例 FDA規制対象の医療ソフトウェア 規制対象の医療ソフトウェア 規制対象 FDA規制対象外の医療ソフトウェア 規制対象外の医療ソフトウェア 規制対象外 HIPAA/HITECH規制への対応: 事業提携者(BA)に該当する場合 / 規制への対応: する場合 規制への対応 事業提携者( ) 該当する CSA Cloud Controls Matrix (CCM) (https://cloudsecurityalliance.org/research/ccm/) パブリックセクターのクラウドセキュリティの視点 例.Federal Risk and Authorization Management Program (FedRAMP) (http://www.fedramp.gov/) ホームランドセキュリティの視点 例.Federal Information Security Management Act(FISMA) (http://csrc.nist.gov/groups/SMA/fisma/index.html) (c) 2013 Cloud Security Alliance 17
  • 18. 国際的視点から見たヘルスケア分野の クラウドセキュリティの現状 • CSA Cloud Controls Matrixの健康医療分野への適用(7) • 米国とEUのハーモナイゼーションに向けた取組 健康医療分野のクラウドセキュリティの 健康医療分野のクラウドセキュリティの視点 例.eヘルス/ヘルスITの標準化に関して、米国保健社会福祉省(HHS)と 欧州委員会通信ネットワーク・コンテンツ・技術総局(DG CONNECT)が提携 CSA Cloud Controls Matrix (CCM) 例.CSAグローバル各WG/イニシアティブ/支部間の交流活動 パブリックセクターのクラウドセキュリティの視点 例.政府機関向けクラウドセキュリティ基準策定における 米国NISTと欧州ENISAの交流/連携 ホームランドセキュリティの視点 例.重要情報インフラ保護(CIIP)のサイバーセキュリティフレーム ワーク策定における米国NISTと欧州ENISAの交流/連携 (c) 2013 Cloud Security Alliance 18
  • 19. 国際的視点から見たヘルスケア分野の クラウドセキュリティの現状 • CSA Cloud Controls Matrixの健康医療分野への適用(8) • 日本での適用上の問題点 Control Area (CSA) Contr ol ID (CSA) Control Specification (CSA) Scope Applicability Applicatio n& Interface Security Applicatio n Security AIS-01 Applications and interfaces (APIs) shall be designed, developed, and 基本的に省庁タテ りで、 タテ割 ・基本的に省庁タテ割りで、 deployed in accordance 基本的に省庁タテ りで、 タテ割 ・基本的に省庁タテ割りで、 改訂のタイミングも バラバラ with industry acceptable 改訂のタイミングもバラバラ 改訂のタイミングも 改訂のタイミングも standards (e.g., OWASP 重要情報インフラ インフラとしての ・・重要情報インフラとしての 重要情報インフラとしての 重要情報インフラ インフラとしての for web applications) and サイバーセキュリティの 全 サイバーセキュリティの全 サイバーセキュリティの サイバーセキュリティの adhere to applicable legal, 体最適化は 誰が担う? 体最適化は誰が担う? statutory, or regulatory 体最適化は 体最適化は compliance obligations. (c) 2013 Cloud Security Alliance 19 厚生労働省: 厚生労働省: 医療情報システ 医療情報システ 安全管理に ムの安全管理に するガイドライ 関するガイドライ ン 第4.2版 版 (2013年10月) 年 月 経済産業省: 経済産業省: 医療情報を 医療情報を受託 管理する する情報処 管理する情報処 理事業者向け 理事業者向けガ イドライン 第2版 版 (2012年10月) 年 月 総務省: 総務省: ASP・SaaS事業者 ・ 事業者 医療情報を が医療情報を取 り扱う際の安全管 するガイド 理に関するガイド ライン第 版 ライン第1.1版 (2010年12月) 年 月
  • 20. AGENDA • Cloud Security Allianceのご紹介 • 国際的視点から見たヘルスケア分野の クラウドセキュリティの現状 • クラウドセキュリティから見た今後の課題: サイバーセキュリティ、モバイル、ビッグデータ (c) 2013 Cloud Security Alliance 20
  • 21. クラウドセキュリティから見た今後の課題 • クラウドのサイバーセキュリティと健康医療 • 米国FDAの医療機器/医療ソフトウェア関連規制例 • • 「Guidance to Industry: Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」 (2005年1月14日) (市販ソフトウェアを含むネットワークに接続された医療機器のサイバー セキュリティに関するガイドライン) 「Content of Premarket Submissions for Management of Cybersecurity in Medical Devices: Draft Guidance for Industry and Food and Drug Administration Staff」(2013年6月14日) (医療機器のサイバーセキュリティ管理のための市販前申請内容に関 するガイドライン草案) • 欧州ENISAの重要情報インフラ保護(CIIP: Critical Information Infrastructure Protection)対策:医療も対象 • 「Critical Cloud Computing: A CIIP perspective on cloud computing services」(2012年12月) (EUサイバーセキュリティ戦略に基づく重要情報インフラ保護のための クラウドガバナンスの方向性を示す) (c) 2013 Cloud Security Alliance 21
  • 22. クラウドセキュリティから見た今後の課題 • モバイルのクラウドセキュリティと健康医療 • 米国NISTの企業向けモバイル機器のセキュリティ管理指針 • 「NIST SP800-124 R1: Guidelines for Managing the Security of Mobile Devices in the Enterprise」(2013年6月) • 米国FDAのモバイル医療ソフトウェア関連規制例 • 「Mobile Medical Applications: Guidance for Industry and Food and Drug Administration Staff」(2013年9月25日) (モバイル医療アプリケーションの品質に関する要求事項ガイドライン) • CSAにおけるHealth Information Management WGとMobile WGとの 連携 • • 「Cloud Controls Matrix v3.0」で新設されたモバイルセキュリティ項目 の健康医療分野への適用 「Security Guidance for Critical Areas of Mobile Computing v1.0」 (2012年11月)の健康医療分野への適用 • 認証、BYOD(Bring Your Own Device)、モバイルデバイス管理 (MDM)、App Storeセキュリティ(開発者含む) など (c) 2013 Cloud Security Alliance 22
  • 23. クラウドセキュリティから見た今後の課題 • ビッグデータのクラウドセキュリティと健康医療 • 米国NISTがBig Data Working Groupを設置 • • • • • • • Big Data Definitions Big Data Taxonomies Big Data Requirements Big Data Security and Privacy Requirements Big Data Security and Privacy Reference Architectures Big Data Reference Architectures Big Data Technology Roadmap • CSAにおけるHealth Information Management WGとBig Data WGと の連携 • 「Expanded Top Ten Big Data Security and Privacy Challenges」 (2013年6月)などの健康医療分野への適用 • インフラストラクチャセキュリティ、データプライバシー、データ管理、 完全性/反応的なセキュリティ など (c) 2013 Cloud Security Alliance 23
  • 24. クラウドセキュリティから見た今後の課題 • CSA Health Information Management Working Groupの 今後の主要活動テーマ • Cloud Controls Matrix v1.xからv3.0への移行に伴うマッピングの アップデートと新たに追加された領域への対応 • • • モバイルセキュリティ (スマートフォン/タブレットなど) クラウドプロバイダーのサプライチェーン管理とガバナンス (変更管理、透明性/説明責任の担保など) 相互接続性/ポータビリティ など • HIM Surveyの準備、実施(CSA主催/共催イベントで公表予定) • 米国でスタートし、将来的にグローバルへ拡大 • 遠隔医療 • モバイルデバイスとしての医療機器管理 • HIPAA/HITECH総括規則への対応 など • 随時ボランティアを募集 (https://cloudsecurityalliance.org/research/him/) (c) 2013 Cloud Security Alliance 24
  • 25. (c) 2013 Cloud Security Alliance 25