1. 米国立標準技術研究所(NIST) NIST SP 1800-30 遠隔医療の遠隔患者モニタリングエコシステムのセキュア化」草案第2版(2021年5月6日発行) 2. CSA Health Information Management WG 「クラウド上の遠隔医療データ」(2020年6月16日発行) 3. CSA Health Information Management WG 「遠隔医療のリスク管理」(2021年8月10日発行) 4. Q&A／ディスカッション

1. Cloud Security Alliance
Health Information Management WG
Seattle, WA, USA
遠隔医療のクラウド利用とリスク管理
(2022年1月26日)

2. 2

3. 3

4. AGENDA
1. 米国立標準技術研究所(NIST)
「NIST SP 1800-30 遠隔医療の遠隔患者モニタリン
グ
エコシステムのセキュア化」草案第2版(2021年5月6日
発行)
2. CSA Health Information Management WG
「クラウド上の遠隔医療データ」(2020年6月16日発
行)
3. CSA Health Information Management WG
「遠隔医療のリスク管理」(2021年8月10日発行)

5. 5
1. 米国立標準技術研究所(NIST)「NIST SP 1800-30
遠隔医療の遠隔患者モニタリングエコシステムのセ
キュア化」
草案第2版(2021年5月6日発行)
 SP 1800-30A: エグゼクティブサマリー
 SP 1800-30B: アプローチ、アーキテクチャ、
セキュリティの特徴
1. 概要
2. 本ガイドの利用法
3. アプローチ
4. アーキテクチャ
5. セキュリティ／プライバシー特性分析
6. 機能評価
7. 将来の構築の考慮事項
 SP 1800-30C: ハウツー・ガイド
出典：NIST 「NIST SP 1800-30: Securing Telehealth Remote Patient Monitoring Ecosystem SECOND DRAFT」（2021年5月6日）

6. 6
アーキテクチャ(1)
 遠隔患者モニタリング(RPM)のアーキテクチャ
出典：NIST 「NIST SP 1800-30: Securing Telehealth Remote Patient Monitoring Ecosystem SECOND DRAFT」（2021年5月6日）

7. 7
アーキテクチャ(2)
 遠隔患者モニタリング(RPM)アーキテクチャの階層
出典：NIST 「NIST SP 1800-30: Securing Telehealth Remote Patient Monitoring Ecosystem SECOND DRAFT」（2021年5月6日）

8. 8
アーキテクチャ(3)
 遠隔患者モニタリング(RPM)アーキテクチャの通信経路
出典：NIST 「NIST SP 1800-30: Securing Telehealth Remote Patient Monitoring Ecosystem SECOND DRAFT」（2021年5月6日）

9. 9
アーキテクチャ(4)
 遠隔患者モニタリング(RPM)アーキテクチャ 最終版
出典：NIST 「NIST SP 1800-30: Securing Telehealth Remote Patient Monitoring Ecosystem SECOND DRAFT」（2021年5月6日）

10. 10
2. Cloud Security Alliance「クラウドにおける遠隔医
療データ」(2020年6月16日発行)
 イントロダクション
 プライバシーの懸念
 セキュリティの懸念
 ガバナンス
 コンプライアンス
 機密性
 完全性
 可用性
 インシデント対応と管理
 継続的なモニタリングプログラム
 結論
 参考文献
出典：CSA Health Information Management WG「Telehealth Data in the Cloud」（2020年6月16日）

11. 11
イントロダクション
 遠隔医療の定義
 Telehealth：臨床医療だけでなく、その他の幅広いサービスを包
含するような定義を有しており、遠隔で医療提供者を患者につな
げるために、キオスクや、webサイトモニタリングアプリケー
ション、モバイルフォン、ウェアラブル機器、ビデオ会議などの
革新的な技術を利用する
 Telemedicine：技術による伝統的な臨床診断およびモニタリン
グであり、Telehealthということばにより包含されるサービスの
サブセットである
 米国における遠隔医療の普及
 患者中心モデルへの移行 ⇒ 遠隔患者モニタリング(RPM)の利用
 新型コロナウイルス感染症(COVID-19)対応下の外来診療
⇒ 感染リスク低減策としてのビデオ会議システム利用
 対面診療に容易にアクセスできない人々向けに遠隔診療サービス
を利用

12. 12
プライバシーの懸念
 米国：医療保険の相互運用性と説明責任に関する法律(HIPAA)
 プライバシー対策として、誰が、合法的に、情報にアクセスし、
変更する
機能を有すべきかを決定するためのフレームワークを構築すべき
である
 遠隔医療で利用される保護対象保健情報(PHI)にアクセスする情
報
システムを標的にしたサイバー攻撃が急増している
 文書化されたプライバシーポリシーおよび手順の策定
 適用対象主体(CE)と事業主体(BA)に対する要求事項の遵守
 欧州：一般データ保護規則(GDPR)
 GDPRに基づく個人の権利
 自分のデータが収集・利用される方法を正確に知る権利
 自分に関して、どの情報が収集・利用されたかを尋ねる権利
 データのエラーを修正する権利

13. 13
 遠隔医療のクラウドサービス利用に関する同意書の留意事項(1)
1. 遠隔医療プロバイダー(TP)は、プライバシー通知の中で、どのPHIが収集・
利用・
維持・共有されるかに関する目的を記述しているか？
2. TPは、PHIを含むプログラムや情報システム、技術に関する適正な
プライバシー／セキュリティのコントロールを運用する、業務上のプライバ
シーポリシーおよび手順を保有し、広め、展開しているか？
3. TPは、プライバシー影響度評価を実施して、それを共有する意向がある
か？
4. 医療提供組織(HDO)は、プライバシーの役割や、責任、外部委託先および
サービスプロバイダー向けのアクセス要求事項を有しているか？
5. TPは、効果的な展開を保証するために、プライバシーコントロールおよび
内部の
プライバシーポリシーをモニタリングし、監査しているか？
6. TPは、プライバシーコントロールを自動化することによって、プライバ
シーを支援する
ために、情報システムを設計しているか？
7. 遠隔医療プロバイダー(TP)は、コントロール下にある記録システムが保有

14. 14
 遠隔医療のクラウドサービス利用に関する同意書の留意事項(2)
8. TPは、既存のセキュリティコントロールを通して、保護対象保健情報(PHI)
の完全性を保証するためのプロセスを文書化しているか？
9. TPは、法的に権限付与された収集目的を達成するために、適切で必要な、最
小限のPHI要素を特定しているか？
10. TPは、個人が、収集前に、PHIの収集や、利用、維持、共有の権限を付与
する手段を提供しているか？
11. TPは、組織的なプライバシーのプラクティスに関する個人からの苦情や懸
念、質問を受け付けて対応するためのプロセスを有しているか？
12. TPは、公衆および個人に対して、PHIの収集や利用、共有、保護、維持、
廃棄など、プライバシーに影響を及ぼす活動に関する十分な通知を提供してい
るか？
13. TPは、外部的にPHIを共有しているか？

15. 15
セキュリティの懸念
 パブリッククラウドサービス：公衆インターネット経由でアクセス
する
 セキュリティモデルの構築時に考慮する必要がある
 エンドツーエンドのセキュリティを考慮する必要がある（例．ア
クセスコントロールやユーザーのプロビジョニング向けの内部ポ
リシー）
 HIPAAセキュリティ規則のHDOに対する要求事項
 PHIを保護するために、適正で適切な管理的、技術的、物理的な
保護策を維持する
 生成、保存、処理または転送されたすべてのPHIの機密性、完全
性、
可用性を保証する
 PHIのセキュリティや完全性に対して、当然予測される脅威を特
定し、
保護する

16. 16
 HIPAAセキュリティ規則に基づくセキュリティリスク分析
 クラウドコンピューティングを含める
 HDOは、すべてのあるべきコントロールを特定し、意図通りに機
能しているか確認する必要がある
 クラウドサービスプロバイダーに対する第三者評価の活用
 (例) SOC2、HITRUST、FedRAMP、CSA-STAR
 評価時の質問事項
 ガバナンス
 コンプライアンス
 機密性
 完全性
 可用性
 インシデント対応管理

17. 17
ガバナンス
 クラウドコンピューティングサービスの責任共有モデル
1. サービスプロバイダーのサービスレベル合意書(SLA)は、サービ
スプロバイダーがすべての顧客情報の機密性、完全性、可用性を
保護する方法を明確に定義しているか？
2. サービスプロバイダーのSLAは、HDOがデータの所有権を保持す
ることを特定しているか？
3. サービスプロバイダーは、サービス提供以外の目的でデータを利
用するか？
4. サービスプロバイダーのサービスは、第三者のステークホルダー
に依存しているか？

18. 18
コンプライアンス
 複数の法令遵守を前提とする遠隔医療サービス
1. クラウドサービスプロバイダーは、HDOが、サービスおよび保
持するデータを保護するために設定したセキュリティ対策の展開
や管理を直接監査することを許容しているか？
2. サービスプロバイダーは、HDOが直近の監査報告書を完全にレ
ビュー
することを許容しているか？
3. サービスプロバイダーは、HIPAAを遵守しているか？
4. サービスプロバイダーは、GDPRを遵守しているか？

19. 19
機密性
 機密性：不適切な情報開示からデータを保護する
 機密性に関する質問事項(1)
1. 権限付与とアクセスコントロール
a. HDOは、クラウドサービスの採用を支援するアイデンティ
ティ管理戦略を持っているか？
b. ライフサイクルを通じてアイデンティティが管理・保護され
ていることを保証する、効果的な内部プロセスがあるか？
c. ユーザーアカウントが適切に管理・保護されていることを保
証する、効果的な監査プロセスがあるか？サービスプロバイ
ダーは、これらのコントロール要件を満たしているか？
d. すべてのパスワード（特にシステム／サービス管理者）は暗
号化されているか？
e. 多要素認証は要求されるか、そうであれば、利用可能か？
f. 認証やアクセスコントロールは、機器に拡張されているか？

20. 20
 機密性に関する質問事項(2)
2. マルチテナント
g. サービスプロバイダーは、HDOが、顧客データの仮想化や分
離に関するセキュリティコントロールおよびプラクティスの評価
を含む、直近の第三者監査報告書をレビューすることを許容して
いるか？
h. サービスプロバイダーの顧客登録プロセスは、クラウドサービ
スにおける情報の重要性と機微性に基づき、適正な保証レベルを
提供しているか？
3. パッチ・脆弱性管理
i. サービスプロバイダーは、クラウドサービスを構成するすべて
のコンポーネントにパッチ当てする責任を有するか？
j. サービスプロバイダーのSLAには、定義された最大限の露出期
間を含むパッチ・脆弱性管理向けのサービスレベルが含まれてい
るか？
k. HDOは現在、効果的なパッチ・脆弱性管理プロセスを有して

21. 21
 機密性に関する質問事項(3)
4. 暗号化
m. サービスプロバイダーは、保存時および転送時双方のデータ
について、クラウドサービス上にある情報を暗号化しているか？
n. クラウドサービスは、承認済の暗号化プロトコルやアルゴリズ
ム
(連邦情報処理基準140-2で定義)のみを利用しているか?
o. どの主体が、暗号鍵管理に責任を有するか？
p. 各顧客向けに、別の鍵はあるか？
５. データ永続性
q. サービスプロバイダーは、次のユーザーが利用可能になる前に、
ストレージメディアのセキュアな無害化のための監査可能なプロ
セスを有しているか？
r. サービスプロバイダーは、顧客データを含む装置およびスト
レージメディア（例．ハードディスクドライブとバックアップ
テープ）の安全な廃棄または破壊のための監査可能なプロセスを

22. 22
完全性
 完全性：
 ライフサイクル全体を通して、正確で一貫していることを保証したデータの
維持
 データを保存、処理、転送するシステムの設計や展開、利用に関わる概念
 完全性に関する質問事項
1. サービスプロバイダーは、データの損失や不正から保護するため
に提供
する標準的なサービスの一部として、データバックアップやアー
カイブ
サービスを提供しているか？
2. データバックアップやアーカイブサービスは、どのような形で提
供されて
いるか？
3. データバックアップやアーカイブサービスは、データ損失防止に
関連した

23. 23
可用性
 可用性：
 要求されたデータが、必要な時に必要な場所で、アクセスできることを保証
する能力
 可用性に関する質問事項
1. SLAには、明確に規定された期間中、想定された最小限の可用性パフォーマ
ンス
比率が含まれているか？
2. SLAには、明確化、スケジュール化された停止期間が含まれているか？
3. サービスプロバイダーは、分散型サービス妨害(DDoS)攻撃に対して保護す
ることができるプロトコルや技術を有効活用しているか？
4. HDOが直接管理または契約しているネットワークサービスは、充分なレベ
ルの可用性を提供しているか？
5. HDOが直接管理または契約しているネットワークサービスは、適切なレベ
ルの冗長性／フォールトトレランスを提供しているか？
6. HDOが直接管理または契約しているネットワークサービスは、適切なレベ
ルの帯域幅を提供しているか？
7. HDOのネットワークとサービスプロバイダーのサービスの間のレイテン

24. 24
インシデント対応管理
 インシデント対応管理に関する質問事項
1. サービスプロバイダーは、情報セキュリティインシデントを検知
し、対応する方法を明確に定義した計画とともに、公式のインシ
デント対応および管理プロセスを有しているか？
2. サービスプロバイダーは、定期的に、インシデント対応管理プロ
セスと計画を検証し、洗練しているか？
3. サービスプロバイダーのSLAは、情報セキュリティが発生したら
HDOに
提供する支援を明確に定義しているか？
4. サービスプロバイダーは、HDOが、規制当局による調査に効果
的に
協力できるようにするために、十分な情報を供給するか？
5. サービスプロバイダーのインシデント対応計画は、規制上の要求
事項を
満たすために、報告に関する要求事項を明確に定義しているか？

25. 25
継続的モニタリングプログラムの維持
 遠隔医療プログラム：情報セキュリティ／プライバシー／コンプラ
イアンス
プログラムの中に、ツールやコントロールを設定し、展開すること
が必須
 継続的モニタリング：
 HDOが継続的にセキュリティ業務を強制・強化することを保証す
る
 HDOの内部統制
 クラウドサービスプロバイダーが活用する情報プライバシー／
セキュリティプログラム
 HDOおよびクラウドサービスプロバイダーが、望ましいセキュリ
ティ
ポスチャーを維持するのに役立つ
 有効な継続的モニタリングツール・コントロール
 CSA-STAR認証制度

26. 26
3. Cloud Security Alliance 「遠隔医療のリスク管
理」(2021年8月10日発行)
 イントロダクション
 ガバナンス
 プライバシー
 セキュリティ
 結論
 参考文献
出典：CSA Health Information Management WG「Telehealth Risk management」（2021年8月10日）

27. 27
イントロダクション
 医療提供組織(HDO)にとって、遠隔医療データおよび関連プロセス
を管理する能力は、データセキュリティやデータプライバシーの重
要な要素である
 優れたガバナンスプログラムの利点
 HDOが、ステークホルダーの期待を理解し、優先順位付けす
るのに
役立つ
 HDOが、価値やリスクで合致するビジネス目的を設定するこ
とを可能にする
 HDOの法律、契約、内部、社会、倫理上の要求事項の遵守を
維持する
 患者のケアの品質を向上させる
 データ品質を向上させて公衆衛生の改善をもたらす
 業務の効率性と有効性を高める
 よりよいリスクベースの意思決定とリスク管理

28. 28
ガバナンス
 情報ガバナンスフレームワーク
 データライフルサイクル
1. 生成：データが生成、収集、修正される
2. 保存：データはストレージレポジトリに注力される
3. 利用：データが処理され、閲覧される、あるいは他の形の活動で利用される
4. 共有：データまたは情報は、他からアクセスできるようにする
5. アーカイブ：データは、データ保持ガイドラインや法的責務によって、長期ストレージに
置かれる
6. 廃棄：もはやデータは必要とされず、アクセスできないようにする
情報ガバナンスフレームワーク
戦略（コンテキストと目標を決定す
る）
情報戦略
なぜこれをする必
要があるのか？
ポリシー（課題とスコープを特定す
る）
情報権利
ポリシー
情報コンプライア
ンスポリシー
情報セキュリ
ティポリシー
何が要求される
か？
標準規格（定量化可能な方法を割り
当てる）
例．暗号化／パスワード、データ保持と廃棄、
プライバシー通知、役割と責任、トレーニング
など
どのようにしてそ
うするか？
手順（とるべきステップを設定す
る）
例．サブジェクトのアクセス要求、CCTV／監
視、データインシデント対応、データ保護評価
など
ガイドライン（期待されるグッドプ
ラクティスを策定する）
例．個人のリムーバブルメディア利用、クリア
デスクガイドラインなど

29. 29
プライバシー
 サイバーセキュリティリスクとプライバシーリスクの関係
出典：CSA Health Information Management WG「Telehealth Risk management」（2021年8月10日）

30. 30
 プライバシー規制
 HIPAA：重要な3つの役割
 受領者(Recipient)：（第三者であるか否かに関わらず）個人
データが開示される自然人／法人、公的機関、政府機関、また
は
その他の主体
 管理者(Controller)：単独またはたと共同で、個人データの処
理目的や手段を決定する自然人／法人、公的機関、政府機関、
または
その他の主体
 処理者(Processor)：管理者に代わって、個人データを処理す
る自然人／法人、公的機関、政府機関、またはその他の主体.
 GDPR：EU域外への個人データ移転の条件
 目的地が適切なレベルのデータ保護を保証する第三国である
(GDPR第45条で規定された基準）

31. 31
 生成(Create)
 生成ステージにおいて個人が有する権利
 どのデータが収集・利用されるか、そして共有されるかを理解
する
 HDOのデータ収集プラクティスについて、すべての説明や正
当化を、
明確で簡潔な言葉で受ける
 データの収集、処理、利用、共有に対して、明示的に同意する
 HDOが遂行すべきこと
 特に、誰が保護対象保健情報(PHI)／個人識別情報(PII)を収集
できるかを定義する
 アクセス権の概要を示した組織的データマップを構築する
 機微性と価値に基づいてデータを分類する

32. 32
 保存(Store)
 医療提供組織(HDO)の責任
 データがどこに保存されていても、データ分類に基づく適切な
コントロールなど、データプライバシーを保証する
 個人がエラーを修正し、個人データの削除を要求する機能など、
各人の個人情報へのアクセス手段を構築し、展開する
 明確に文書化された説明のための経路を構築する
• どのようにしてデータが保存されているか？
• データストレージ戦略は何か？
• どのようにしてデータが相互参照されているか？
• どれくらい情報が保持されるか？

33. 33
 利用(Use)
 利用ステージにおいて個人が有する権利
 個人は、データが収集・利用される方法を正確に知る権利がある
 個人は、自分に関するどの情報が収集されたかを尋ねることができる
 個人は、誤ったデータの修正を要求することができる
 個人は、記録からのデータ削除を要求することができる；しかしながら、
医療
専門家は、要求を承認する必要はない
 個人は、データ処理への参加を拒否することができる（例．マーケティ
ングの
取組）
 プライバシーポリシーに求められること
 企業およびその代表者の詳細な連絡先を含む
 企業がデータを収集する目的を記述する
 どれくらいの間、情報がファイルに維持されるかを定義する
 ユーザーの権利を説明する
 簡潔な言葉で記述される
 個人データの受領者名を明記する（企業が他組織とデータを共有する場

34. 34
 共有(Share)
 データ処理エコシステム
 HDOは、不正な共有や、機微
データの複製を検知するために、
データ損失防止(DLP)ソリュー
ションが利用されていることを保
証すべきである
 データ処理エコシステムは、相互
に複雑で多方向的な関係を有する
可能性がある、様々な主体や役割
を包含する
 データ処理エコシステムにおける
主体の役割は、プライバシーリス
ク管理戦略上重要な役割を果たす
 データ処理エコシステムにおいて、
HDOとクラウドサービスプロバ
イダー(CSP)の間の正式な同意書
／契約書が必要である
出典：CSA Health Information Management WG
「Telehealth Risk management」（2021年8月10日）

35. 35
 保管(Archive)
 PHIを除いて、すべての個人情報は、利用する必要がなくなった
ら、削除すべきである
 個人データは、収集された目的のためのみに保存されるべきであ
り、無期限に収録すべきでない
 将来、基本的な情報が要求される場合、個人情報は、アーカイブ
化前にデータから分離させることができる
 分離は、業務上の要求事項を越えて、個人またはデバイスと関連
付けることなく、データ／イベント処理を可能にする

36. 36
 破壊(Destroy)
 必要のなくなったデータは、安全に廃棄されるべきである
 保護されたデータは、ストレージメディアの廃棄前に、プライベートなデー
タを含むリムーバブルストレージメディアから、削除されるべきである
 すべてのデータのハードコピーは、破壊前に、細かく裁断されるべきである
 データを暗号化し、鍵を破壊するか、データ匿名化により、クラウド上の
データを破壊する
 PHI／PIIが破壊される時、破壊した方法および誰が破壊に関する責任を有す
るかを文書化する
 データ保護を保証する手段
 クリアデスクポリシー
 パスワードセキュリティ
 モバイルデバイスセキュリティ
 安全なデータ転送の保証
 安全なデータ廃棄
 侵害の報告

37. 37
セキュリティ
 サイバーセキュリティリスクとプライバシーリスクの関係
 プライバシー考慮事項は、誰が情報にアクセスし、利用し、変更
できるかを形作る一方、セキュリティ活動は、フレームワークを
実行に移す
 セキュリティは、情報とプライバシーのインタフェースである
 セキュリティは、プライバシーの権利を促進し、実効性のあるも
のにする
 セキュリティは、すべてのHDOの資産やアイデンティティの保護
を提供する一方、特権を決定し、保護する
 保健医療セクターのニューノーマルとしての遠隔医療
 COVID-19パンデミック対応下で、遠隔医療に対する需要が拡大
する一方、HDOは、重要な患者情報の保存、処理、転送に係る法
令遵守のためにデータセキュリティソリューションを導入する必
要がある

38. 38
 生成(Create)
 生成されたデータは、明確なビジネスニーズを満たす必要がある
 HDOは、保護対象保健情報(PHI)／個人識別情報(PII)を収集するための同意
取得を行う必要がある
 データ生成に係る規制上の要求事項は、データが生成された場所に依存する
 データは、セキュアな環境で生成される必要がある
 保存(Store)
 データオーナーは、どこでデータを生成し、保存するかを決定しなければな
らない
 サービスプロバイダーは、アクセスコントロールや暗号化、トークンなどに
より、クラウドデータを保護しなければならない
 アクセスコントロールは、管理プレーンやアプリケーションレベル、イン
ターネット共有
コントロールの内部に展開される必要がある
 CSPは、標準的なセキュリティのベストプラクティスを有効活用するセキュ
アなアーキテクチャを有する必要がある
 データ損失防止システムは、誰がデータおよびそのロケーションを利用して
いるかを

39. 39
 利用(Use)
 遠隔医療ソリューションの場合、患者は、どこからでも、インターネット経
由で、データにアクセスできるので、データの保存および処理の規制要件を
決定する位置条件が
課題となる
 アイデンティティ／アクセス管理(IAM)は、個人のデータリソースへのアク
セスを管理
するプロセスであり、組織は、データへのアクセスが可能な限り、連携／多
要素認証を利用すべきである
 組織は、セキュリティを保証するためにデジタル署名を求めるアプリケー
ション
プログラミングインタフェース(API)の利用を検討すべきである
 共有(Share)
 データ共有が要求される場合も、組織は、IAMによるデータセキュリティの
確保が重要である
 最低限、規制／コンプライアンスの観点から、ネットワークからストレージ、
エンドポイントに至るまで、転送／保持時のデータを発見・監視・保護する
データ損失防止(DLP)プログラムを稼働させる

40. 40
 保管(Archive)
 頻繁なアクセスや修正を必要としない不可欠なデータは、データアーカイブ
に存在することが多い
 データのアーカイブ化は、特に効率性の観点で、多くのベネフィットを提供
する
 アーカイブ化されたデータを暗号化し、情報へのアクセスをコントロー
ルする
 個人データや医療データは、元々の意図した目的で必要な場合のみ、保
持する
 破壊(Destroy)
 クラウドデータは、共有された分散環境に存在するので、通常のデータ削除
や破壊の手法では、すべてのデータの複製が破壊されたことを保証できない
 暗号化の後、鍵を破壊することが、責任のあるデータ削除を確実にする最善
の保証となる

41. 41
• 4. Q&A／ディスカッショ
ン