1. 米国立標準技術研究所(NIST) NIST SP 1800-30 遠隔医療の遠隔患者モニタリングエコシステムのセキュア化」草案第2版(2021年5月6日発行)
2. CSA Health Information Management WG 「クラウド上の遠隔医療データ」(2020年6月16日発行)
3. CSA Health Information Management WG 「遠隔医療のリスク管理」(2021年8月10日発行)
4. Q&A/ディスカッション
4. AGENDA
1. 米国立標準技術研究所(NIST)
「NIST SP 1800-30 遠隔医療の遠隔患者モニタリン
グ
エコシステムのセキュア化」草案第2版(2021年5月6日
発行)
2. CSA Health Information Management WG
「クラウド上の遠隔医療データ」(2020年6月16日発
行)
3. CSA Health Information Management WG
「遠隔医療のリスク管理」(2021年8月10日発行)
19. 19
機密性
機密性:不適切な情報開示からデータを保護する
機密性に関する質問事項(1)
1. 権限付与とアクセスコントロール
a. HDOは、クラウドサービスの採用を支援するアイデンティ
ティ管理戦略を持っているか?
b. ライフサイクルを通じてアイデンティティが管理・保護され
ていることを保証する、効果的な内部プロセスがあるか?
c. ユーザーアカウントが適切に管理・保護されていることを保
証する、効果的な監査プロセスがあるか?サービスプロバイ
ダーは、これらのコントロール要件を満たしているか?
d. すべてのパスワード(特にシステム/サービス管理者)は暗
号化されているか?
e. 多要素認証は要求されるか、そうであれば、利用可能か?
f. 認証やアクセスコントロールは、機器に拡張されているか?
20. 20
機密性に関する質問事項(2)
2. マルチテナント
g. サービスプロバイダーは、HDOが、顧客データの仮想化や分
離に関するセキュリティコントロールおよびプラクティスの評価
を含む、直近の第三者監査報告書をレビューすることを許容して
いるか?
h. サービスプロバイダーの顧客登録プロセスは、クラウドサービ
スにおける情報の重要性と機微性に基づき、適正な保証レベルを
提供しているか?
3. パッチ・脆弱性管理
i. サービスプロバイダーは、クラウドサービスを構成するすべて
のコンポーネントにパッチ当てする責任を有するか?
j. サービスプロバイダーのSLAには、定義された最大限の露出期
間を含むパッチ・脆弱性管理向けのサービスレベルが含まれてい
るか?
k. HDOは現在、効果的なパッチ・脆弱性管理プロセスを有して
21. 21
機密性に関する質問事項(3)
4. 暗号化
m. サービスプロバイダーは、保存時および転送時双方のデータ
について、クラウドサービス上にある情報を暗号化しているか?
n. クラウドサービスは、承認済の暗号化プロトコルやアルゴリズ
ム
(連邦情報処理基準140-2で定義)のみを利用しているか?
o. どの主体が、暗号鍵管理に責任を有するか?
p. 各顧客向けに、別の鍵はあるか?
5. データ永続性
q. サービスプロバイダーは、次のユーザーが利用可能になる前に、
ストレージメディアのセキュアな無害化のための監査可能なプロ
セスを有しているか?
r. サービスプロバイダーは、顧客データを含む装置およびスト
レージメディア(例.ハードディスクドライブとバックアップ
テープ)の安全な廃棄または破壊のための監査可能なプロセスを