Skip to content Skip to footer
Search

Loading Results

医療情報システム向け「Google Cloud」対応セキュリティリファレンス

Googleのクラウドサービス「Google Cloud」利用における、総務省・経済産業省制定の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、総務省・経済産業省安全管理ガイドライン)および厚生労働省制定の「医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)」(以下、厚生労働省安全管理ガイドライン)の3省2ガイドライン※1(総務省、経済産業省、厚生労働省の3省が発行するこれらのガイドラインの総称)に関するセキュリティリファレンス(以下、本セキュリティリファレンス)を提供しています。

医療情報を電子的に取り扱う事業者が遵守すべきガイドライン

日本国内で医療情報などを電子的に取り扱う医療情報システムおよびサービス(以下、医療情報システム・サービス)を提供する事業者(以下、ITベンダー)は、総務省・経済産業省安全管理ガイドライン※2に準拠する必要があります。また、医療情報システムなどを構築・利用する機関(以下、医療機関等)は、厚生労働省安全管理ガイドライン※3に準拠する必要があります。

Google Cloudの対応

Google Cloudは、直接的に医療情報システム・サービスに該当するものではありません。しかしながら、ITベンダーや医療機関等は、Google Cloudの利用に際し医療情報システム・サービスに必要な資源や役務を提供する立場であるため、Google Cloudを利用する場合は総務省・経済産業省安全管理ガイドラインを遵守する必要があります。

総務省・経済産業省安全管理ガイドラインにおいては、ITベンダーは、「①医療情報システム・サービスにおける情報の流れに着目したリスクの識別とリスクへの対応を行うこと」、「②医療情報システム・サービスを安全に利用するために医療機関等が実施すべきこと」の2点について、医療機関等とコミュニケーションを取ることが求められています。しかしながら、Google Cloud上での情報の流れは、医療情報システム・サービスによって多種多様です。そのため、同ガイドラインが求める情報の流れに応じたリスク対応や医療機関等が実施すべき事項についてのコミュニケーションを図ることは困難といえます。

これらの状況を踏まえ、Google Cloudは、総務省・経済産業省安全管理ガイドラインに基づく情報提供の⼀環としてGoogle Cloudが講じている 安全管理措置の概要を⽰すため、「別紙2 旧ガイドラインの対策項⽬⼀覧と医療情報安全管理ガイドラインとの対応表」※4の記載事項に関する「Google の対策」をコントロールマッピング※5として公開しています。

PwCが公開するセキュリティリファレンス

PwCは、重要インフラである医療情報システムのセキュリティレベルの向上を目指し、総務省・経済産業省安全管理ガイドラインが求めるコミュニケーションの手助けとなる資料として、Google Cloudの利用者が利用可能な2つのセキュリティリファレンスを公開しています。なお、本セキュリティリファレンスに記載しているGoogle Cloudのサービス・機能については、2021年10月時点におけるサービス・機能の代表例であり、要求事項の各項目に対応するサービス・機能を網羅的に示しているわけではありません。また、各機能を利用することにより、要求事項の項目に記載の事項を必ず満たすことができることを保証するものではありません。

本セキュリティリファレンスの概要と想定利用者

1.総務省・経済産業省安全管理対応セキュリティリファレンス

概要:総務省・経済産業省安全管理ガイドラインに係るコントロールマッピングに記載されているGoogleが講じている安全管理措置の内容を確認する上での考慮事項及び、総務省・経済産業省安全管理ガイドラインの遵守にあたり、ITベンダーが利活用可能なGoogle Cloudが提供するサービス、機能などに関する情報をまとめたもの

想定利用対象者:ITベンダーおよびGoogle Cloudの講じている安全管理措置の内容を把握したい医療機関等の関係者

2.厚生労働省安全管理対応セキュリティリファレンス

概要:「厚生労働省安全管理ガイドライン」の 6章~9章「C. 最低限のガイドライン」および「D. 推奨されるガイドライン」に対して、Google Cloudが提供するサービス、機能に関する情報をまとめたもの

想定利用対象者:医療機関等の関係者

本リファレンスの構成

1.総務省・経済産業省安全管理対応セキュリティリファレンス

1 総務省・経済産業省安全管理対応セキュリティリファレンス

①:Google Cloudが公開している総務省・経済産業省安全管理ガイドラインに係るコントロールマッピングの内容を転記

②:総務省・経済産業省安全管理ガイドラインの要求事項に対し、ITベンダーが利活用可能なGoogle Cloudの機能提供有無を記載

③:①の内容に対するITベンダーの考慮事項を記載

④:ITベンダーが当該ガイドラインを遵守するために用いる、一般的なクラウドのサービス、機能を記載(③が[有]に該当する項目のみ)

⑤:総務省・経済産業省安全管理ガイドラインの要求事項に対し、ITベンダーが利活用可能なGoogle Cloudのサービス、機能に関する情報を記載(③が[有]に該当する項目のみ)

2.厚生労働省安全管理対応セキュリティリファレンス

2 厚生労働省安全管理対応セキュリティリファレンス

①:「厚生労働省安全管理ガイドライン」の6章~9章「C. 最低限のガイドライン」および「D. 推奨されるガイドライン」の内容を転記

②:①の要求事項に対し、医療機関等の関係者が利活用可能なGoogle Cloudの機能提供有無を記載

③:医療機関等の関係者が当該ガイドラインを遵守するために用いる一般的なクラウドのサービス、機能を記載(②が[有]の項目のみ)

④:①の要求事項に対し、医療機関等の関係者が利活用可能なGoogle Cloudのサービス、機能に関する情報を記載(②が[有]の項目のみ)

本リファレンス活用イメージ

本リファレンス 活用イメージ

本リファレンスのリリースを契機として、PwCコンサルティング合同会社とPwCあらた有限責任監査法人は今後、クラウド上に医療情報システムを構築し、医療情報システム・サービスを提供する事業者や医療機関関係者向けの共同ソリューションサービスを展開していく予定です。

医療情報 システム

※1 総務省、経済産業省、厚生労働省の3省が発行する2つのガイドラインの総称して 3省2ガイドラインと呼びます。

※2 経済産業省・総務省安全管理ガイドラインは医療機関等へ医療情報システム・サービスを提供する事業者に対する遵守事項を取りまとめたものです。

※3 厚生労働省安全管理ガイドラインは、医療情報システム・サービスを利用する医療機関、具体的には病院、⼀般診療所、⻭科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者などに対する遵守事項を取りまとめたものです。

※4 別紙2 旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表

※5 3省2ガイドラインコントロールマッピング(日本語)


{{filterContent.facetedTitle}}


{{filterContent.facetedTitle}}

主要メンバー

中山 裕之

パートナー, PwCコンサルティング合同会社

Email

矢吹 友憲

ディレクター, PwCコンサルティング合同会社

Email

鈴木 直

ディレクター, PwCコンサルティング合同会社

Email

森田 成祐

ディレクター, PwCあらた有限責任監査法人

Email