1. 米国の次世代創薬基盤技術開発における官民連携パートナーシップの取組事例 2. CSA Health Information Management WG「クラウドにおける医療ビッグデータ」 (2020年7月21日発行) 3. CSA Health Information Management WG「クラウドにおける医療データのプライバシー保護」(2021年8月10日発行) 4. Q&A／ディスカッション

1. Cloud Security Alliance
Health Information Management WG
Seattle, WA, USA
クラウドにおける医療ビッグデータの
プライバシー保護／セキュリティ管理
(2021年9月29日)

2. 2

3. AGENDA
1. 米国の次世代創薬基盤技術開発における
官民連携パートナーシップの取組事例
2. CSA Health Information Management WG
「クラウドにおける医療ビッグデータ」
(2020年7月21日発行)
3. CSA Health Information Management WG
「クラウドにおける医療データのプライバシー保護」
(2021年8月10日発行)
4. Q&A／ディスカッション

4. 4
1. 米国の次世代創薬基盤技術開発における
官民連携パートナーシップの取組事例
出典：National Library of Medicine、NIH「NCBI SARS-CoV-2
Resources」（https://www.ncbi.nlm.nih.gov/sars-cov-2/）

5. 5
プレシジョンメディシン・イニシアティブ（PMI)（2015年1月）
プレシジョンメディシン（精密医療）
・より大規模で優れたがん治療
・自発的な参加による全米規模の研究コホート設置
・プライバシー保護へのコミットメント
・法規制の近代化
・官民連携パートナーシップ（PPP）

6. 6
プレシジョンメディシン・イニシアティブ（PMI)のプライバシー／
セキュリティ原則
データセキュリティ
ポリシー原則と
フレームワーク
（2016年5月）
プライバシーと
信頼の原則
(2015年11月）
個人情報の
セキュリティ
情報セキュリティ
の観点
プライバシー保護
の観点

7. 7
プレシジョンメディシン・イニシアティブ（PMI)
プライバシーと信頼の原則（2015年11月9日）
原則
・ガバナンス（10項目）
・透明性（5項目）
・参加者の選択の尊重（4項目）
・情報へのアクセスを通した参加者のエンパワーメント（4項目）
・データの共有、アクセス、利用（5項目）
・データの品質と完全性（2項目）
出典：The White House「Precision Medicine Initiative: Privacy and Trust Principles」（2015年11月9日）
(https://allofus.nih.gov/protecting-data-and-privacy/precision-medicine-initiative-privacy-and-trust-
principles)

8. 8
プレシジョンメディシン・イニシアティブ（PMI)
データセキュリティポリシー原則（2016年5月25日）
原則
参加者が信頼するシステムの構築に尽力する
セキュリティ、医学、技術が急速に進化することを認識する
データの完全性の保護を追求する
科学や研究の進化を可能にする一方、主要なリスクを特定し、これらのリスクに取組む
評価・管理計画を構築する
参加者およびその他の関係者に、明確な期待と透明なセキュリティプロセスを提供する
データ保護のために、セキュリティのプラクティスと制御を利用する
責任を持って行動する
組織が相互に学べるように、経験と課題を共有する
出典：The White House「Data Security Policy Principles」（2016年5月25日）
(https://allofus.nih.gov/protecting-data-and-privacy/precision-medicine-initiative-data-security-
policy-principles-and-framework-overview/data-security-policy-principles)

9. 9
プレシジョンメディシン・イニシアティブ（PMI)
データセキュリティポリシー・フレームワーク（2016年5月25日）
出典：The White
House「Precision
Medicine Initiative
Data Security
Policy Framework」
（2016年5月25日）
(https://allofus.ni
h.gov/protecting-
data-and-
privacy/precision-
medicine-
initiative-data-
security-policy-
principles-and-
framework-
overview/achievin
g-principles-
through-precision-
medicine-
initiative-data-
security-policy-
framework)
機能（Function） 項目
特定
（Identify）
1. セキュリティ計画全般
2. リスクベースのアプローチ
3. 独立した第三者のレビュー
4. 透明性
防御
（Protect）
・アクセス制御（4項目）
・意識向上およびトレーニング（2項目）
・データセキュリティ（5項目）
・データ保護とシステム保守（2項目）
検知
（Detect）
1. イベント監査
2. ログ監査
3. 検知とアラート
4. 脅威情報の共有
5. 異常の報告
対応
（Respond）
1. インシデント対応
2. インシデント対応テスト
3. 影響を受ける個人への通知
4. 責任のある連絡窓口
復旧
（Recover）
1. インシデントおよび侵害の復旧計画
2. コミュニケーション
3. 学んだ教訓

10. 10
米国立衛生研究所（NIH）「 STRIDES (Science and Technology
Research Infrastructure for Discovery, Experimentation, and
Sustainability) Initiative 」（2018年7月24日）
 目的：商用クラウドサービスプロバイダーと提携して、生体医学の進歩を加速
させるために、大規模生体医学データセットにアクセスして計算処理を行う際の
経済的・技術的障害を取り除く
 2018年7月24日、Google Cloudとの戦略的提携を発表
 2018年10月23日、Amazon Web Services (AWS)との戦略的
提携を発表
 2021年7月20日、Microsoft Azureとの戦略的提携を発表
 NIHの新型コロナウイルス（SARS-CoV-2）に関連する次世代シーケンス・
データベースの標準ITプラットフォームとして採用される

11. 11
2. Cloud Security Alliance
「クラウドにおける医療ビッグデータ」(2020年7月発行)
• 新型コロナウイルス感染症
（COVID-19）対応下の
医療分野におけるビッグデータの
ユースケースを紹介し、クラウド
環境におけるプライバシー保護／
セキュリティ管理策を例示
出典：Cloud Security Alliance Health Information Management WG

12. 12
ビッグデータの特徴と分析機能(1)
 ビッグデータの定義：従来の手法を利用して処理することが
難しい大規模なデータ容量
ビッグデータの6Vs 概要
容量
（Volume）
生成されたデータのサイズは通常膨大で、1ペタバイト以上の容量になる。医療においては、電子
健康記録（EHR）だけで大容量のデータとなる。加えて、このデータは、新たなテストデータとして
導入される度に変更することができ、国際疾病分類（ICD）コードのようなものが更新される。
速度
（Velocity）
データユーザーが、データにアクセスし、分析することができる速度。医療においては、医療提供者
がタイムリーな方法で、データを交換・利用できるようにするために、速度が必要である。
多様性
（Variety）
構造化、半構造化、非構造化など、データの種類。医療は、マルチメディア、ソーシャルメディア、
金融取引など、多様なデータソースを有している。
正確性
（Veracity）
生成されたデータの品質。生死に関する意思決定は正確な情報に依存するため、医療データは、
適切で、信頼性があり、エラーのないものでなければならない。
価値
（Value）
既存データの分析から得られる価値であり、ビッグデータの最も重要な側面である。現段階では、
医療データの価値は、大半が研究に限定されている。
可変性
（Variability）
時を超えたデータの一貫性に関することとみなされる。

13. 13
ビッグデータの特徴と分析機能(2)
 医療ビッグデータの基本的な分析機能
ビッグデータの6Vs 概要
1. 記述的分析 医療に関する意思決定を理解し、新たな情報に基づく意思決定を行うために、データを検証する。
そのモデルは、有益な情報を抽出するために、データをカテゴリー化、特定、結合、分類するのに利用
することができる。
2. 予測的分析 将来を予測するために推定可能な関係性のパターンを特定する目的で。古いまたは要約された医療
データを検証する。医療データに隠れたパターンを特定して、医療リスクを予期し、患者に関するアウ
トカムを予測し、健康関連サービスを向上させるために、データマイニングを利用することができる。
3. 処方的分析 多くの代替手段を含む課題を解決し、記述的／予測的分析を実行不可能にするために、情報や
健康医療知識を利用する。
4. 発見的分析 データから未知の事実を特定し、将来を向上させるために、知識に関する知識を利用する。新しい
病気や病状、医薬品、治療法を発見するのに役立てることができる。

14. 14
ビッグデータのユースケース：台湾
 台湾衛生福祉部の全民健康保険制度（1995年1月開始）向けICカード
発行（2004年）を契機に、医療のIT化が進む ⇒ 電子カルテ普及率9割
 台湾衛生福祉部の電子カルテ交換センター（EEC）が、Microsoft Azure
とRESTful を利用して、医療施設間を結ぶ電子カルテ交換システムのプロトタ
イプを構築（2017年報告）
Int J Med Inform. 2017 Nov;107:30-39. doi: 10.1016/j.ijmedinf.2017.09.001. Epub 2017 Sep 6.
 台湾衛生福祉部は、新型コロナウイルス感染症（COVID-19）パンデミック
対応時、旅行歴や臨床症状に基づいたビッグデータ分析を利用し、迅速な対応
に当たった
 データに基づく意思決定：
フライト情報や旅行歴に基づいて感染症リスクを分類し、リスクの低い患者に
対しては入国審査を許可する一方、リスクの高い患者に対しては、自宅で隔
離し、潜伏期間中はモバイルフォン経由で追跡する措置をとる

15. 15
医療ビッグデータのプライバシー／セキュリティ
 クラウド環境のデータライフサイクル
1. 生成(Create)：データが生成、獲得、修正される
2. 保存(Store)：データがストレージレポジトリに委ねられる
3. 利用(Use)：データが他の種類の活動で処理、閲覧、利用される
4. 共有(Share)：データや情報が他にアクセス可能なようにする
5. 保管(Archive)：データが長期ストレージに置かれる
6. 破壊(Destroy)：データが必要でなくなった時、物理的に破壊される
 プライバシーの定義：
情報の適正なアクセス、利用、変更に関する意思決定に関係したものであり、
誰が適正に情報にアクセスし変更すべきかを決定するフレームワークを確立する
ものである
 医療ビッグデータの価値は、個人情報の収集に関連していることが多く、その結果が個人
によく理解されていない可能性がある
⇒・ビッグデータのベネフィトを享受すると同時に、各個人のプライバシーを保護する
・個人の選択権を認めると同時に、効果的なリスク低減策を提供する

16. 16
EU一般データ保護規則（GDPR)とプライバシー(1)
 GDPRの目的：EUデータ主体の個人データ保護を保証するとともに、EU
データ主体の個人データ全体に渡る権利を拡大する
 EUデータ主体のデータを収集、加工、保存する企業は、そのロケーションに関わらず
GDPRを遵守しなければならない
 生成(Create)：個人データが収集される個人は、収集されるデータの対象や用途、共有の
有無を知る権利があり、収集する側はコンセント（同意取得）が必須となる
 保存(Store)：処理者（Processor）と管理者（Controller）は、ライフサイクルの全
ステージで、データセキュリティを保証する責任を有しており、データの保存中、個人は、自分
のデータにアクセスし、エラーを修正し、情報の削除を要求する権利を保持している
 利用(Use)：
 自分のデータが収集・利用される方法を知る権利がある
 自分に関するどの情報が収集されたかを尋ねることができる
 自分のデータにミスがあったら、それを修正するよう要求することができる
 記録からデータを削除させることができる
 データ処理を拒否することが可能である

17. 17
EU一般データ保護規則（GDPR)とプライバシー(2)
 利用(Use)：（続き）
 プライバシーポリシーの要件
• 企業およびその代表者の詳細に関するコンタクト先を含む
• 企業がデータを収集する理由を記述する
• 情報をファイルに保存する期間を述べる
• ユーザーが有する権利を説明する
• 簡潔な言葉で記載する
• 個人データの受取先を明記する
 共有(Share)：データ処理エコシステムにおけるリスク管理の一環として、医療機関とクラウ
ドサービスプロバイダーとの間で、正式な同意書／契約書を締結することが要求される
 保管(Archive)：収集されたデータの目的を達成するまでの期間のみ、個人データを保存
することができる
 破壊(Destroy)：
 必要のないデータはセキュアに廃棄されなければならない
 個人データを含むリムーバブルメディアは、すべての保護対象データがセキュアに削除されたことを確認した
上で廃棄すべきである
 データのハードコピーはすべて、廃棄前に細かく裁断すべきである

18. 18
セキュリティ(1)
 セキュリティ：誰がデータにアクセスし、利用し、変更するかを決定する
 情報とプライバシーの間のインタフェースの役割を果たす
 プライバシーの権利を推進し、効果のあるものにする
 1. 生成(Create)：
 データが必要であり、企業のニーズがある上で、保護対象保健情報や個人識別情報の
収集に関する同意を取得する必要がある
 クラウドカスタマーは、クラウドサービスプロバイダーが適切にデータを保護できることを、
リスク分析を通じて、確認する必要がある
 2. 保存(Store)：
 データオーナーは、データがどこから来て、どこに保存されるかを決定しなければならない
 クラウドサービスプロバイダーは、アクセスコントロールや暗号化などの手段で、クラウド上
のデータを保護しなければならない

19. 19
セキュリティ(2)
 3. 利用(Use)：
 データにアクセスするために、可能な限り、連携／他要素認証を利用する
 アイデンティティ／アクセス管理(IAM)は、個人のデジタルリソースへのアクセスを管理
するプロセスであり、誰がアクセスし、データに関連してどのような権限を付与されるかを
決定する
 特定の収集目的のみに、必要なデータが収集され、利用される
 アプリケーションプログラミングインタフェース（API)は、セキュリティを保証するために、
デジタル署名を必要とする
 4. 共有(Share)：
 IAMがデータセキュリティに必須である
 最低限、データ利用をモニタリングするために、データ損失防止(DLP)ソリューションを
導入すべきである
 不正アクセスから機微な情報を含む文書を保護するために、情報著作権管理を検討
すべきである
 データ転送時は暗号化すべきである

20. 20
セキュリティ(3)
 5. 保管(Archive)：
 アーカイブ化されたデータを暗号化し、データへのアクセスを制御すべきである
 個人データや医療データは、意図した収集目的に必要な場合のみ、保存すべ
きである
 6. 破壊(Destroy)：
 もはや必要のなくなったデータは、永久的に破壊すべきである
 クラウド上のデータは共有環境にあり、通常の破壊方法を利用できないので、
暗号化状態にするのが、現実的な選択肢である

21. 21
3. CSA Health Information Management WG
「クラウドにおける医療データのプライバシー保護」
(2021年8月発行)
• 対象＝クラウドサービスを利用する医療機関
 イントロダクション
 プライバシーエンジニアリング
 リスク評価
 プライバシー規制
 考察
 結論
 参考文献
出典：CSA Health Information Management WG「Protecting
the Privacy of Healthcare Data in the Cloud」（2021年8月）

22. 22
プライバシーエンジニアリング(1)
 セキュリティ：情報の保護およびコントロール
 プライバシー：情報の支配権が医療提供組織にはないことを認識する
(個人情報に関する意思決定は法規制による)
 LINDDUN：プライバシー脅威モデリング手法
1. 連結可能性(Linkability)
2. 識別可能性(Identifiability)
3. 否認防止(Non-repudiation)
4. 検出可能性(Detectability)
5. 情報開示(Disclosure of Information)
6. 無認識(Unawareness)
7. 法令不遵守(Non-compliance)

23. 23
プライバシーエンジニアリング(2)
 データフロー・ダイアグラム
出典：CSA Health Information Management WG「Protecting
the Privacy of Healthcare Data in the Cloud」（2021年8月）

24. 24
リスク評価
 サイバーセキュリティリスクとプライバシーリスクの関係
出典：CSA Health Information Management WG「Protecting
the Privacy of Healthcare Data in the Cloud」（2021年8月）

25. 25
(参考)米国立標準技術研究所（NIST)「NISTプライバシー
フレームワーク1.0版」（2020年1月16日）
 NISTプライバシーフレームワークの基本概念(1)
 コア：組織の種類や規模を問わない共通のプライバシーリスク
対策
• 特定（Identify-P）
• 統治（Govern-P）
• 制御（Control-P）
• 通知（Communicate-P）
• 防御（Protect-P）
NISTサイバーセキュリティ
フレームワークのコア機能と
相互補完関係にある
• 特定（Identify）
• 防御（Protect）
• 検知（Detect）
• 対応（Respond）
• 復旧（Recover）

26. 26
 NISTプライバシーフレームワークの基本概念(2)
 プロファイル：組織が行うプライバシーリスク対策のAs Is
(Current)とTo Be (Target)をまとめたもの
NIST 「NIST Privacy Framework Version 1.0」（2020年1月16日）
(https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01162020.pdf)

27. 27
 NISTプライバシーフレームワークの基本概念(3)
 インプレメンテーション・ティア：プライバシーリスクへの対策状況を
数値化し、組織を評価する基準
• ティア1：Partial（部分的に対応できている）
• ティア2：Risk Informed（リスクが認識できている）
• ティア3：Repeatable（対応に再現性がある）
• ティア4：Adaptive（変化に適応できる）
NIST 「NIST Privacy Framework
Version 1.0」（2020年1月16日）
(https://nvlpubs.nist.gov/nistpubs/C
SWP/NIST.CSWP.01162020.pdf)

28. 28
プライバシー規制
 米国保健福祉省（HHS）「医療保険の携行性と責任に関する法律
(HIPAA)とクラウドコンピューティングに関するガイダンス」(2016年10月6日)
 適用対象主体（CE：Covered Entity）:医療施設／医療保険者
 事業提携者（BA：Business Associate）:外部委託先事業者
 適用対象主体が、クラウド事業者の提供するサービスを利用して、電子化された
「保護対象保健情報(PHI:protected health information)」の生成、収集、
維持、交換を行う場合、クラウド事業者は、HIPAA上の事業提携者に該当する
 事業提携者およびその下請に該当するクラウドサービス事業者は、適用対象主体
（例：医療施設）と締結する事業提携契約書（BAA：Business Associate
Agreement）に認められた場合、もしくは法令で要求された場合のみ、患者の個人
データを利用／開示できる
 保健福祉省（HHS）長官は、事業提携者（下請事業者含む）に対する不服申し
立てを受けて調査し、不備な点や法令違反に対して、必要な処置を行う権限を有する
 事業提携者（下請事業者含む）は、HIPAA違反に対する民事制裁金を科せられる
ことがある など

29. 29
クラウド環境のデータライフサイクルに準拠したデータ処理エコシステムとしての
プライバシー／セキュリティ管理策（前掲）
1. 生成(Create)：
データが生成、獲得、修正される
2. 保存(Store)：
データがストレージレポジトリに委ねられる
3. 利用(Use)：
データが他の種類の活動で処理、閲覧、
利用される
4. 共有(Share)：
データや情報が他にアクセス可能なようにする
5. 保管(Archive)：
データが長期ストレージに置かれる
6. 破壊(Destroy)：
データが必要でなくなった時、物理的に破壊
される
出典：CSA Health Information Management WG「Protecting
the Privacy of Healthcare Data in the Cloud」（2021年8月）

30. 30
• 4. Q&A／ディスカッション