Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用

550 views

Published on

-「HealthTech」におけるブロックチェーン適用の可能性
-「InsurTech」におけるブロックチェーン適用の可能性
- ブロックチェーン/分散台帳技術とITリスク管理

Published in: Healthcare
  • Be the first to comment

ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用

  1. 1. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 2017年8月3日 一般社団法人 日本クラウドセキュリティアライアンス 健康医療情報管理ユーザーWG ヘルスケア・イノベーション 公開勉強会 #3 ブロックチェーン/分散台帳の技術基盤と HealthTech/InsurTechへの適用
  2. 2. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 2 2. 「HealthTech」におけるブロックチェーン適用の可能性 3. 「InsurTech」におけるブロックチェーン適用の可能性 4. ブロックチェーン/分散台帳技術とITリスク管理
  3. 3. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 3 2-1.医薬品ライフサイクルとブロックチェーン・エコシステム 2-2.基礎研究:遺伝子データ管理 2-3.臨床開発:インテグリティ 2-4.医薬品物流:FDA-DSCSA対応 2-5.マーケティング:デジタル広告 2-6.リアルワールドデータへの適用 2-7.「HealthTech」におけるブロックチェーン適用の可能性~まとめ~
  4. 4. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 4 医薬品ライフサイクルとブロックチェーン・エコシステム 基礎 研究 臨床 開発 製造 物流 営業・ マーケ ティング 市販後 対策 薬事 申請 薬局 患 者 ・ 家 族 医療 機関 ブロックチェーンデータ オ ン チ ン オ フ チ ン (ビッグデータ関連マイクロサービス群) ・・・ 出典:ヘルスケアクラウド研究会(2017年7月)
  5. 5. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 5 「BitTorious: global controlled genomics data publication, research and archiving via BitTorrent extensions」 Preston V Lee and Valentin Dinu BMC Bioinformatics. 2014 Dec 21;15:424. doi:10.1186/s12859-014-0424-9 (http://www.ncbi.nlm.nih.gov/pubmed/25528455) ブロックチェーン技術をベースとする分散型遺伝子データ 公開・研究・アーカイブ用ポータルを構築 出典: BMC Bioinformatics. 2014 Dec 21;15:424. doi:10.1186/s12859-014-0424-9
  6. 6. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 6 「How blockchain-timestamped protocols could improve the trustworthiness of medical science.」 Irving G, Holden J. Version 2. F1000Res. 2016 Feb 26 [revised 2016 May 25];5:222. doi: 10.12688/f1000research.8114.2. eCollection 2016. (https://www.ncbi.nlm.nih.gov/pubmed/27239273) ブロックチェーン・ベースの 分散型タイムスタンプを 臨床試験プロトコルに適用 し、アウトカムのすり替え、 データ浚渫、選択的出版な どを防止する 出典:HHS「ClinicalTrial.gov」(. https://clinicaltrials.gov/)
  7. 7. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 7 「Blockchain technology for improving clinical research quality.」 Benchoufi M, Ravaud P. Trials. 2017 Jul 19;18(1):335. doi: 10.1186/s13063-017-2035-z. (https://www.ncbi.nlm.nih.gov/pubmed/28724395) ブロックチェーンにエンコードされた臨床試験の複雑なデータ ワークフロー 出典:「Blockchain technology for improving clinical research quality.」 Benchoufi M, Ravaud P. Trials. 2017 Jul 19;18(1):335. doi: 10.1186/s13063-017-2035-z. (https://www.ncbi.nlm.nih.gov/pubmed/28724395)
  8. 8. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 8 The Link Lab(http://www.thelinklab.com/) 「An Interoperable System: Could Blockchain be the Answer? 」 The Link Lab at Public Meeting: Progress Toward Implementing the Product Identification Requirements of the Drug Supply Chain Security Act (2016年10月14日) (https://www.fda.gov/downloads/Drugs/NewsEvents/UCM529584.pdf) 米国医薬品サプライチェーン安全保障法(DSCSA)に基づく処方箋医 薬品のシリアライゼーション義務化(製造-再包装-卸売-調剤) The Link Lab:既存のブロックチェーンシステムを 利用してシリアライズされた医薬品を追跡する パイロットプロジェクトを実施中 サイバーサプライチェーンリスクマネジメント (C-SCRM)対応も必要に(例.外部委託管理) 出典:FDA「Product Identifier Requirements Under the Drug Supply Chain Security Act – Compliance Policy Guidance for Industry DRAFT GUIDANCE」(2017年6月30日) https://www.fda.gov/downloads/Drugs/GuidanceComplianceRegulatoryInformation/Guidances/UCM565272.pdf)
  9. 9. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 9 Chronicled, Inc.(https://www.chronicled.com/)(1) 2014年、米国カリフォルニア州サンフランシスコで、VC出身でスタンフォ ード大学准教授のライアン・オア氏、Fintech出身の開発者マウリツィオ・ グレコ氏、デジタルマーケティング専門家のサム・ラドッキア氏、プライベ ート・エクイティ投資家のデイビッド・エイホ氏により共同創設されたIoTサ プライチェーンのスタートアップ企業 ミッション:世界で最も信頼されたIoTとサプライチェーンのエコシステムを 構築する 主要製品:温度ロガー、暗号印、IDチップ、サプライチェーン・温度追跡ア プリケーション、REST API(JSONフォーマット仕様) など 主要ソリューション:コールドチェーンモニタリング、改ざん防止シーリング、 サプライチェーン・コンプライアンス、サプライチェーン自動化、セキュア製 品ID など パートナー・クラウドサービスプロバイダー:SmarTrac、Blue Bite、Identiv など
  10. 10. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 10 Chronicled, Inc.(https://www.chronicled.com/)(2) ブロックチェーン・プラットフォーム 出典: Chronicled, Inc. 「Chronicled Platform」(https://www.chronicled.com/platform.html)
  11. 11. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 11 Chronicled, Inc.(https://www.chronicled.com/)(3) 2017年2月28日:「Chronicled Launches Quorum Blockchain Integration at Enterprise Ethereum Alliance Kickoff」 (http://www.prnewswire.com/news-releases/chronicled-launches-quorum-blockchain- integration-at-enterprise-ethereum-alliance-kickoff-300414641.html) 2017年3月23日:「Pharma Companies Tap Startups to Develop Protocol for Tracking and Verifying Prescription Drugs using Blockchain」 (http://www.prnewswire.com/news-releases/pharma-companies-tap-startups-to-develop- protocol-for-tracking-and-verifying-prescription-drugs-using-blockchain-300428313.html) 2017年5月10日:「Chronicled Launches Digital Supply Chain Platform with Secure, Smartphone-Enabled Temperature Loggers」 (http://www.prnewswire.com/news-releases/chronicled-launches-digital-supply-chain- platform-with-secure-smartphone-enabled-temperature-loggers-300454592.html) 2017年7月31日「Chronicled Completes Technical Pilot Demonstrating Cryptographic Anonymous Transfer of SGTINs for Supply Chain Applications」 (http://www.prnewswire.com/news-releases/chronicled-completes-technical-pilot- demonstrating-cryptographic-anonymous-transfer-of-sgtins-for-supply-chain- applications-300496402.html)
  12. 12. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 12 「Nasdaq provides blockchain tech to new advertising exchange」 (2017年3月14日) (https://twitter.com/NASDAQ/status/841635035371433984) 米国の株式取引市場NASDAQが、アドテク企業New York Interactive Advertising Exchange (NYIAX)が開発する広告取引エクスチェンジにブロ ックチェーン技術を提供することを発表 NASDAQがChainと共同で開発したプライ ベート・ブロックチェーンプラットフォーム 「Linq」を提供 ギャランティードメディア・コントラクトで 将来掲出される広告の在庫を予約 ⇒NYIAXプラットフォーム上で再売買 (ブロックチェーンを利用して、デジタル 広告取引の透明性を高める) 出典:「Nasdaq provides blockchain tech to new advertising exchange」 (https://twitter.com/NASDAQ/status/841635035371433984)
  13. 13. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 13 「Will the Blockchain Insights Platform Change Ad Buying?」 (2017年8月1日) (http://www.nasdaq.com/article/will-the-blockchain-insights-platform- change-ad-buying-cm825048) Blockchain Insights Platform: 欧米の主要メディア関連企業(Comcast、 NBCUniversal、Disney、Altice USA、Channel 4、Cox Communications、 Mediaset Italia、TF1 Group)が共同で2018年に創設予定 Comcast「Comcast’s Advanced advatising Group And Participants Announce Blockchain-Based Technology Platform」(2017年6月20日) (http://corporate.comcast.com/news-information/news-feed/comcasts-advanced- advertising-group-and-participants-announce-plans-for-blockchain-based-technology- platform-aimed-at-making-premium-video-advertising-more-efficient) 各企業のデータベースを接続し、仲介者なしでデータへの透明で効率的な アクセスを実現し、広告キャンペーンの購入先や方向性の評価を可能に する (日本) デジタル・アドバタイジング・コンソーシアム「ブロックチェーン活用による日 本初のデジタル広告効果透明化実証実験を開始」(2018年4月25日) (https://www.dac.co.jp/press/2017/20170424_blockchain)
  14. 14. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 14 保健医療行政(1): 「IBM Watson Health Announces Collaboration to Study the Use of Blockchain Technology for Secure Exchange of Healthcare Data」(2017年1月11日). (https://www-03.ibm.com/press/us/en/pressrelease/51394.wss) FDAとIBM Watson Healthが、ブロックチェーンを活用した、セキュアで効率的 で拡張可能な保健医療データの交換を目的として協業を発表 対象データソース: 電子カルテ、臨床試験、 遺伝子データ、モバイル 機器/ウェアラブル/IoTなど 対象領域:がん関連データ 出典:「IBM Watson Health Announces Collaboration to Study the Use of Blockchain Technology for Secure Exchange of Healthcare Data」(2017年1月11日)
  15. 15. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 15 保健医療行政(2): 「Trust, confidence and Verifiable Data Audit」(2017年3月9日). Google DeepMind, National Health Services(NHS) England (https://deepmind.com/blog/trust-confidence-verifiable-data-audit/) 英国のGoogle DeepMindが国民保健サービス(NHS)と提携して、独自のデ ジタル台帳技術により、患者データとのやりとりを自動的に記録する「検証可 能なデータ監査」の計画を発表 NHS傘下のロイヤルフリー 病院と共同で腎臓モニタリ ングソフトウェア「Streams」 を開発(患者データ共有の合 意書を締結) インフォームコンセントに不備な点が あった点が英国情報コミッショナー・オ フィス(ICO)からNHSに指摘される 出典:Google DeepMind Blog「Trust, confidence and Verifiable Data Audit」(2017年3月9日).
  16. 16. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 16 電子カルテシステム: 「A Case Study for Blockchain in Healthcare: “MedRec” prototype for electronic health records and medical research data」(2016年8月). MIT Media Lab, Beth Israel Deaconess Medical Center (https://deepmind.com/blog/trust-confidence-verifiable-data-audit/) MedRec: ブロックチェーンを利用して、電子カルテを 取扱う分散型記録管理システム Ethereumのスマートコントラクトを 利用 出典:「A Case Study for Blockchain in Healthcare: “MedRec” prototype for electronic health records and medical research data」(2016年8月)
  17. 17. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 17 モバイルヘルス: 「Tamper-Resistant Mobile Health Using Blockchain Technology.」 Ichikawa D, Kashiyama M, Ueno T. JMIR Mhealth Uhealth. 2017 Jul 26;5(7):e111. doi: 10.2196/mhealth.7938. (https://www.ncbi.nlm.nih.gov/labs/articles/28747296/) ブロックチェーン/分散台帳技術 (プラットフォーム:Hyperledger Fabric)を 利用したモバイルヘルスデータの改ざん 防止対策 (参考)「未来2017」健康経営賞 「スマホアプリによる不眠症治療」 (サスメド株式会社) (https://mirai.ventures/2017/last_exam/) 出典:「Tamper-Resistant Mobile Health Using Blockchain Technology.」 Ichikawa D, Kashiyama M, Ueno T. JMIR Mhealth Uhealth. 2017 Jul 26;5(7):e111. doi: 10.2196/mhealth.7938. (https://www.ncbi.nlm.nih.gov/labs/articles/28747296/)
  18. 18. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 18 B2C寄りの新規市場米国の場合、政府主導で、ブロックチェーンを起点と するヘルスケアイノベーション推進策が進んでいる(IoT、ビッグデータ、AI なども連携) 保険と医療、医薬品/ライフサイエンスがデータで連携するイノベーショ ン・エコシステムが構築されつつある 18 出典:ヘルスケアクラウド研究会(2017年7月) 薬局 医療 機関商品/ サービス 開発 マーケ ティング/ 販売 保険 契約 管理 給付 支払 手続 資産 運用 管理 再保険 患 者 ・家 族 基礎 研究 臨床 開発 製造 物流 営業・ マーケ ティング 薬事 申請 市販後 対策 【医薬品/ライフサイエンス】 【保険】 【医療機関】
  19. 19. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 19 3-1.保険商品ライフサイクルとブロックチェーン・エコシステム 3-2.新規市場/領域開拓の視点から見た InsurTech×ブロックチェーン 3-3.既存業務改革の視点から見た InsurTech×ブロックチェーン 3-4.「InsurTech」におけるブロッチェーン適用の可能性~まとめ~
  20. 20. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 20 米国医療保険業界のトレンド 薬局 医療 機関 既存業務改革起点のブロックチェーン適用 商品/ サービス 開発 マーケ ティング/ 販売 保険 契約 管理 給付 支払 手続 資産 運用 管理 患 者 ・家 族 クラウド/モバイルファースト戦略(標準化・共通基盤化) 技術医療保険の相互運用性と説明責任に関する法律(HIPAA) 新規市場/領域開拓起点のブロックチェーン適用 出典:ヘルスケアクラウド研究会(2017年7月) 再保険
  21. 21. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 21 ピアツーピア(P2P)保険プラットフォーム (例)保険加入者同士でグループを作り、各加入者が支払う保険料から プールして、保険請求があった場合は、その中から保険金を支払う(プ ールを越えた分を外部の保険会社が補填する) = 信頼関係をベースにした「ソーシャルインシュアランス」 ⇒ブロックチェーンのコンセンサスメカニズムの概念を適用 (例) Dynamis:(http://dynamisapp.com/) 米国ウィスコンシン州ミルウォーキーで創設 EtherumベースのP2P失業保険プラットフォーム Lemonade:(https://www.lemonade.com/) 米国ニューヨークで創設 スマートコントラクトを利用したP2P損害保険プラットフォーム
  22. 22. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 22 スマートコントラクトを利用した分散型保険アプリケーション Etherisc(ドイツ)(https://etherisc.com/) 2016年7月、リスクマネジメントサービス企業の経営者Christoph Mussenbrock氏とデジタル戦略コンサルタントでブロックチェーン専門 家のStephan Karpischek氏により、ドイツ・ミュンヘンで創設された InsureTechスタートアップ企業 ミッション:分散型保険アプリケーションを開発して、保険の購入・販売 を効率化し、業務コストの低減を可能にし、従来の業務と比較して保 険業界に大きな透明性を提供し、再保険投資へのアクセスを民主化 する 「Flight Delay Dapp」:航空機の遅延・キャンセルに伴うリスクをカバー する保険の証券作成から請求手続までのプロセスを、「Ethereum」ベ ースのスマートコントラクトで自動化する分散型アプリケーションのプロ トタイプを開発・実証 2017年7月より、 「Enterprise Ethereum Alliance」保険作業部会の座 長を務める
  23. 23. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 23 K.カルヴァー「ブロックチェーン技術:どのようにして請求プロ セスを改善できるかについて議論したホワイトペーパー」(1) (http://humananews.com/2016/09/2966/) 米国の医療保険会社ヒューマナ(Humana)のソリューションアーキテクト が、保健福祉省(HHS)・国家医療IT調整室(ONC)の「医療ITおよび医療 関連研究におけるブロックチェーンとその新たな役割」(2016年9月)で 入賞したホワイトペーパー 米国医療産業の共通課題~患者、医療機関、医療保険者、規制当局 の間にある相互運用性や、複雑な同意書の問題 給付支払手続業務におけるミスの多発、非効率化 医療損失率(MLR:Medical Loss Ratio)規制に基づく監査対応の負荷 *保険会社に対して、保険料収入の主な支出項目についての報告・ 公表義務を課し、さらに保険料収入の一定割合(法定最低MLR))以 上を、保険給付などの保険加入者に対する支出とすることを義務付け ている
  24. 24. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 24 K.カルヴァー「ブロックチェーン技術:どのようにして請求プロ セスを改善できるかについて議論したホワイトペーパー」(2) 一方向性暗号学的ハッシュの例 出典:Kyle Culver「Blockchain Technologies: A Whitepaper Discussing how Claims Process can be Improved」【2016年9月)(https://www.healthit.gov/sites/default/files/3-47-whitepaperblockchainforclaims_v10.pdf)
  25. 25. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 25 K.カルヴァー「ブロックチェーン技術:どのようにして請求プロ セスを改善できるかについて議論したホワイトペーパー」(3) ソリューションアーキテクチャ(例) 医療機関、医療保険者、政府 機関のエコシステムで構成 医療保険者が、業務プロセスの 大半のオーナーとなる <セキュリティ上重要な機能> ブロックチェーンのソルト機能 (パスワードを暗号化する際に データを付与する) API 出典:Kyle Culver「Blockchain Technologies: A Whitepaper Discussing how Claims Process can be Improved」【2016年9月)(https://www.healthit.gov/sites/default/files/3-47-whitepaperblockchainforclaims_v10.pdf)
  26. 26. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 26 K.カルヴァー「ブロックチェーン技術:どのようにして請求プロ セスを改善できるかについて議論したホワイトペーパー」(4) 医療保険者と医療機関の間の 連携処理(例) 保険加入フロー: スマートコントラクトを実行し、 ブロックチェーン上で必要最低 限の加入者データを共有する 給付支払手続フロー: スマートコントラクトを活用した 業務プロセスの効率化・自動化 出典:Kyle Culver「Blockchain Technologies: A Whitepaper Discussing how Claims Process can be Improved」【2016年9月)(https://www.healthit.gov/sites/default/files/3-47-whitepaperblockchainforclaims_v10.pdf)
  27. 27. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 27 ブロックチェーン保険産業イニシャティブ(B3i) (http://www.swissre.com/reinsurance/insurers_and_reinsurers_launch_blockchain_initiative.html) 2016年10月19日、エイゴン(オランダ)、アリアンツ(ドイツ)、ミュンヘン 再保険(ドイツ)、スイス再保険(スイス)、チューリッヒ(スイス)の欧州 大手保険5社が共同で創設 匿名化された取引情報と匿名化された定量データを利用しながら、ブ ロックチェーン技術を利用して、グループ間の再々保険のための概念 実証を達成するパイロットプロジェクトを共同で企画・実施 産業全般にわたる利用のための標準規格やプロセスを構築し、保険 産業における効率性の向上を促進することが、ブロックチェーン技術 で可能か否かを調査することを目標とする
  28. 28. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 28 グローバル保険証券交付へのブロックチェーン適用 (https://www-03.ibm.com/press/us/en/pressrelease/52607.wss) 2017年6月、 AIG(米国)、IBM(米国)、スタンダードチャータード銀行(英 国)の3社は、ブロックチェーン(分散型台帳技術)を利用した「スマートコ ントラクト」に基づく保険証券交付のグローバル実証実験に成功したこ とを公表. IBMが、Linux Foundationの「Hyperledger Fabric」をベースとする実証 ソリューションを開発・提供 英国で作成した「マスターポリシー」と、米国、シンガポール、ケニアの 3か所の「ローカルポリシー」を、スマートコントラクトにコンバートして、 保険証書のデータと文書をリアルタイムで共有する マスターおよびローカルのレベルで、保険の補償範囲や保険料支払を 可視化できるだけでなく、支払に関するイベント後のネットワーク参加 者への通知を自動化できる
  29. 29. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 29 米国公認損害保険士協会(American Institute for Property and Casualty Underwriters)「RiskBlock」 (http://www.theinstitutes.org/about-us/media-center/articles/institutes-announces- formation-riskblock-blockchain-consortium-risk) 2017年7月、同協会と「Enterprise Ethereum Alliance」創設メンバーが中 心となり、リスク管理と保険産業にフォーカスしたブロックチェーン推進 連携組織「RiskBlock」を創設 リスク管理・保険業界の専門家とブロックチェーン開発者が一体となり、 業界固有のユースケースのために、ブロックチェーンアプリケーションの 研究・開発・検証を行う 保険分野におけるブロックチェーン技術適用が期待される領域(例) • 決済、保険料、請求の簡素化 • 中央集権型の請求記録を介した不正の削減 • 顧客データの正確性の検証による新規保険契約者獲得の改善
  30. 30. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 30 B2C寄りの新規市場/領域開拓(例.P2P保険プラットフォーム)から、 B2B寄りの既存業務改革(例.給付請求手続業務の効率化)へと 「InsurTech」のブロックチェーン適用対象が広がっている 保険と医療が連携するブロックチェーン・エコシステムでは、セキュリティ やAPI、業務プロセス支援機能などで、保険側の強みを出そうとしている 出典:ヘルスケアクラウド研究会(2017年7月) 薬局 医療 機関 既存業務改革起点のブロックチェーン適用 商品/ サービス 開発 マーケ ティング/ 販売 保険 契約 管理 給付 支払 手続 資産 運用 管理 新規市場/領域開拓起点のブロックチェーン適用 再保険 患 者 ・家 族
  31. 31. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 31 4-1. ブロックチェーンを共通基盤とするInsurTechとHealthTechの融合 4-2. 保険業規制の視点から見たInsurTech×HealthTechのITリスク管理 4-3. 健康医療規制の視点から見たInsurTech×HealthTechのITリスク管理 4-4. ブロックチェーン・ドリブンのInsurTech×HealthTechと ITリスク管理
  32. 32. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 32 現時点で、ブロックチェーン/分散型台帳技術に関する世界 共通の定義・用語集は存在しない 2016年9月、「ISO/TC307:ブロックチェーンと電子分散台帳技 術に関する専門委員会」が発足 ・事務局:オーストラリア規格協会 (https://www.iso.org/committee/6266604.html) 2017年4月3-5日 初回会合(シドニー) 2017年11月14-17日 第2回会合(東京)予定 ISO/TC 307/SG 1 Reference architecture, taxonomy and ontology Working group ISO/TC 307/SG 2 Use cases Working group ISO/TC 307/SG 3 Security and privacy Working group ISO/TC 307/SG 4 Identity Working group ISO/TC 307/SG 5 Smart contracts Working group
  33. 33. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 33 米国保健福祉省・公民権室(OCR) 「HIPAA/HITECH総括的規則」(2013年9月適用開始) HIPAAは、医療保険分野の業法でもある 年月日 内容 2009年8月24日 HITECH法(Health Information Technology for Economic and Clinical Health Act of 2009) 暫定的最終規則(IFR:Interim Final Rule)(データ漏えい) 2009年10月7日 遺伝子情報差別禁止法(GINA:Genetic Information Nondiscrimination Act of 2008) 規則制定案告示(NPRM)(GINA規則) 2009年10月30日 HITECH法 暫定的最終規則(IFR)(執行) 2010年7月14日 HITECH法 規則制定案告示(NPRM:Notice of Proposed Rulemaking) (HITECH規則) 2013年1月25日 HIPAA総括規則(データ漏えい、執行、HITECH規則、GINA規則)公表 2013年3月26日 HIPAA総括規則(データ漏えい、執行、HITECH規則、GINA規則)施行 2013年9月23日 適用対象主体および事業提携者(BA:Business Associates)の遵守義務開始 出典:ヘルスケアクラウド研究会(2017年7月)
  34. 34. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 34 米国:保険&健康医療の法規制+クラウドセキュリティ要件 +サイバーセキュリティ要件(例)・・・「多層防御」 (c) 2013 Cloud Security Alliance 34 パブリックセクターのクラウドセキュリティの視点 例.Federal Risk and Authorization Management Program (FedRAMP) (http://www.fedramp.gov/) 健康医療分野のクラウドセキュリティの視点 例.-HIPAA/HITECH監査への対応:リスク評価 (http://www.hhs.gov/ocr/privacy/) ホームランドセキュリティ/重要情報インフラの視点 例.Federal Information Security Management Act(FISMA) (http://csrc.nist.gov/groups/SMA/fisma/index.html) CSA Cloud Controls Matrix (CCM) (https://cloudsecurityalliance.org/research/ccm/) 保険分野のクラウドセキュリティの視点 例.-NAIC:Principles for Effective Cybersecurity: Insurance Regulatory Guidanceへの対応:リスク評価(http://www.naic.org/cipr_topics/topic_cyber_risk.htm) 出典:ヘルスケアクラウド研究会(2017年7月)
  35. 35. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 35 米国の医療保険会社(NYSE上場企業) Anthemのセキュリティインシデント(2015年2月) 共通の電子メール構成要素ITシステムが海外からのサイバー攻撃を受 け、顧客約8千万件の情報流出被害が発生したことを公表 ニューヨーク証券取引所(NYSE)の上場企業である 米証券取引委員会(SEC):米国企業改革法(SOX)に基づき、財務報 告に係る情報開示や内部統制を義務付ける 海外からのサイバー攻撃が発端となった テロ対策を所管する国土安全保障省(DHS)の調査 サイバー犯罪を所管する連邦捜査局(FBI)の調査 保険会社から顧客情報が流出した ニューヨーク州金融サービス局が州内の全保険会社に対するサイバ ーセキュリティ検査を開始⇒全米に拡大
  36. 36. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 36 Anthemのセキュリティインシデント(2015年2月)(続き) 顧客の保護対象保健情報(PHI)が流出 HIPAAを所管する保健福祉省(HHS)への報告義務 過去にHIPAA違反で170万ドルの民事制裁金を科せられたことがある (当時の社名はWellPoint) 暗号化していなかった保存データがサイバー攻撃を受けて外部流出 HIPAAは、保存データの暗号化を規定しているが、完全な強制ではな い(暗号化の有無で制裁金の金額が変わる) 顧客らが損害賠償請求の集団訴訟を提起 2017年6月、集団訴訟に関して、総額1億1500万米ドル(=約130億円、 1米ドル=113円換算)で和解したことを発表 漏洩後、顧客を標的にしたフィッシング攻撃が発生 消費者保護を所管する連邦取引委員会(FTC)が注意喚起
  37. 37. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 37 国土安全保障省(DHS) 「医療・公衆衛生セクター特別計画」(2016年5月) 包括的なリスクベースのアプローチ 一連の潜在的な脅威と危険の特定と準備 特定された重要資産、システム、ネットワーク の脆弱性の削減 重要インフラストラクチャに対する潜在的イン パクトの低減と、イベント・インシデント発生時 の機能の復元 原因に関わらず、緊急時の破壊に抵抗して 迅速に回復することを目的とした、変化する 状況への対応 出典:Department of Homeland Security 「Healthcare and Public Health Sector- Specific Plan」(2016年5月)
  38. 38. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 38 保健福祉省・副長官付危機対策・対応担当室(ASPR) 「HHS Update #3: 医療組織に対する国際的なサイバー 脅威(再送)」(2017年5月) ランサムウェア攻撃被害に遭った時: FBI地方局サイバータスクフォースに イベントを報告し、支援を要請する サイバーインシデントをUS-CERT およびFBIインターネット犯罪苦情 センターに報告する さらなる分析と医療固有の兆候共有の ために、保健福祉省の医療サイバー セキュリティ通信統合センターと共有 する 出典:ASPR「HHS Update #3: International Cyber Threat to Healthcare Organizations (Resend)」 (2017年5月)
  39. 39. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 39 NIST・国立サイバーセキュリティセンターオブエクセレンス (NCCoE)「NIST SP 1800-8:医療提供組織における無線輸 血ポンプのセキュア化」草案(2017年5月) 【無線輸血ポンプと通信系サーバの間のデータフロー】 医薬品ライブラリーの修正 ソフトウェアアップデートの実行 デバイスの遠隔管理 データフロー/プロセスの監査 出典:NIST NCCoE「NIST Cybersecurity Practice Guide SP 1800-8: Securing Wireless Infusion Pumps in Healthcare Delivery Organizations - Draft」(2017年5月)
  40. 40. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 40 (続き)医療機器メーカーは医療機関の外部委託先! ⇒サイバーサプライチェーン・リスクマネジメントにおける役割、 責任分界点の明確化が不可欠(クラウド環境では特に) ネットワークのコントロール ポンプのコントロール ポンプサーバのコントロール エンタープライズレベルの コントロール 出典:NIST NCCoE「NIST Cybersecurity Practice Guide SP 1800-8: Securing Wireless Infusion Pumps in Healthcare Delivery Organizations - Draft」(2017年5月)
  41. 41. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 41 サイバーサプライチェーンリスクマネジメントと ブロックチェーン On Chain Dataのセキュリティ対策 アイデンティティ/アクセス管理 暗号化と鍵管理 アプリケーション・セキュリティ (セキュリティ・バイ・デザイン) ブロックチェーン・ゲートウェイ、APIのセキュリティ Off Chain Dataのセキュリティ対策 クラウド環境固有のセキュリティ(IaaS/PaaS/SaaS) マイクロサービス固有のセキュリティ ビッグデータ固有のセキュリティ IoT固有のセキュリティ など 「多層防御」 のエコシス テムと情報 共有態勢の 構築が求め られる
  42. 42. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 42 (まとめ) 保険と医療がITで交わるところはハイリスク・ハイリターン領域 「InsurTech」×「HealthTech」の事業モデルでは規制対応が 複雑化・高度化する 「多層防御」エコシステムの構築・運用が急務 ブロックチェーンを利用してリスクを最小化する「RegTech」 (規制対応×IT)への期待

×