医療情報といっても、構造化データをバッチ処理する医事会計システム、非構造化データを時系列で管理する医用画像保存通信システム（PACS）、半構造化データをリアルタイム処理する持続血糖測定システム（GCM）など、種類、容量、処理速度の異なるビッグデータが存在します。今回は、北海道と歴史的関係の深いニューイングランド、デンマークの事例を交えながら、医療セキュリティ／プライバシーにおける課題と解決策を概説します。

1. 医療情報とビッグデータセキュリティ
2017年7月1日
博士（医薬学） 笹原英司
特定非営利活動法人ヘルスケアクラウド研究会 理事
一般社団法人日本クラウドセキュリティアライアンス
在日米国商工会議所・在日デンマーク商工会議所

2. AGENDA
1. ビッグデータとしての医療情報の特徴
2. 医療ビッグデータ利活用のユースケース
3. 海外の医療情報漏えい事例
4. まとめ／Q&A
2

3. 1. ビッグデータとしての医療情報の特徴
3

4. 1-1. 病院情報システム（HIS） Vs.臨床情報システム（CIS）
バッチ処理型とリアルタイム処理型が混在する
4
病院情報システム
（HIS：Hospital Information Systems)
臨床情報システム（CIS：Clinical Information Systems)
診療部門
医師
オーダー
エントリー
システム
（CPOE）
看護部門
看護師
看護業務
システム
臨床検査
部門
臨床検査
技師
臨床検査
情報
システム
（LIS）
放射線
部門
診断放射線
技師
放射線情
報システ
ム（RAS）
／PACS
手術部門
臨床工学
技士
手術支援
システム
薬剤部門
薬剤師
薬剤業務
支援
システム
栄養部門
管理栄養士
栄養士
栄養管理
支援
システム
出典：ヘルスケアクラウド研究会 （2016年7月）

5. 1-2.電子医療記録（EMR）の全体イメージ（例）
入院治療から外来治療、在宅治療、遠隔治療へ
5

6. 1-3.米国における電子カルテの定義
EMR ⇒ EHR ⇒ PHRの流れ
6
出典：NAHIT「Defining Key Health Information Technology Terms」（2008年4月）を基に
ヘルスケアクラウド研究会作成

7. 1-4.データの種類（Variety）／速度（Velocity）からみた
ビッグデータのマッピング（例）
リレーショナルDBからノンリレーショナルDBへ
7
出典：日本クラウドセキュリティアライアンス・ビッグデータユーザーワーキンググループ （2015年7月）

8. 1-5.医療情報システムにおける分散処理環境の拡大
病理診断画像化／デジタル病理診断のユースケース例
8
出典：NIST Big Data interoperability Framework Version 1.0 Working Drafts （2015年9月）

9. 1-6.医療情報システムの成熟度モデル（例）
入院治療から外来治療、在宅治療、遠隔治療へ
9
半構造化データ
構造化データ
非構造化データ
相互運用性
（リアルタイム処理）
（バッチ処理）

10. 1-7.医薬品R&Dライフサイクルとビッグデータ
医療ビッグデータの相互運用性確保がAIの鍵に
10
基礎
研究
臨床
開発
製造 物流
営業・
マーケ
ティング
市販後
対策
薬事
申請
薬局
患
者
・家
族
医療
機関
(非構造化データ) (構造化データ)
 (個人データ)(in vitro)(in vivo)
 (センサーデータ／半構造化データ)
ビ
ッ
グ
デ
ー
タ
リアルワールド
データ
（構造化データ）
（非構造化データ）
（半構造化データ）
相互運用性（Interoperability）
出典：ヘルスケアクラウド研究会（2017年6月）

11. 1. ビッグデータとしての医療情報の特徴
（まとめ）
11
・構造化データ、半構造化データ、非構造化デー
タが複雑に連携し合っている
・バッチ処理とリアルタイム処理の混在環境が日
常茶飯事
・モバイルファーストへのシフト：院内から院外、
在宅へ：
・相互運用性が医療ビッグデータ利活用の鍵を
握る

12. 2. 医療ビッグデータ利活用のユースケース
12

13. 2-1.米国マサチューセッツ州
「Framingham Heart Study」 のユースケース(1)
「Overweight, Obesity, and Survival After Stroke in the
Framingham Heart Study」
Hugo J. Aparicio, Jayandra J. Himali,
Alexa S. Beiser, Kendra L. Davis‐Plourde,
Ramachandran S. Vasan, Carlos S. Kase,
Philip A. Wolf, Sudha Seshadri
J Am Heart Assoc. 2017 Jun 24;6(6). pii: e004721. doi:
10.1161/JAHA.116.004721.
（https://www.ncbi.nlm.nih.gov/pubmed/28647687）
13

14. 2-1.米国マサチューセッツ州
「Framingham Heart Study」 のユースケース(2)
「Framingham Heart Study」 とは？
健康な集団の大規模調査により、米国の都市生活者の
心血管疾患に先行する因子とその自然歴を明らかにす
るため、1948年、マサチューセッツ州フラミンガムで開始
された前向きコホート研究
当初はNIH直轄プロジェクトであったが、現在は、ボスト
ン大学がコラボレーターとなり、国立心肺血液研究所
(NHLBI).国立生物工学情報センターと共同で運営してい
る。（官・民双方より研究資金を調達）
14

15. 2-1.米国マサチューセッツ州
「Framingham Heart Study」 のユースケース(3)
検査項目
初回当時、心血管疾患の危険因子が未解明だったため、
多岐に渡る調査項目を設定
・既往歴、身長、体重、脂肪厚、家族病歴、血圧、胸部X線、
心電図、血清総コレステロール、血糖、ヘモグロビン、喫煙、
食事量等（研究開始当初は80項目 → 350項目まで拡大）
研究のエンドポイント＝冠動脈疾患の発症
心筋梗塞の既往と心電図所見、狭心症、冠動脈疾患を示唆
する状況下での突然死によって診断し、部検所見、地域医
療機関の診療録、死亡診断書に基づいて予後に関する情
報を系統的に収集・調査し、参加者の冠動脈疾患や脳卒中
などの発症をすべて把握するようにする。
15

16. 2-1.米国マサチューセッツ州
「Framingham Heart Study」 のユースケース(4)
検査項目（続き）
脂質に関しては、1969年より、LDLコレステロール、HDLコレ
ステロール、トリグリセリド等を追加
参加者の血清を凍結保存 ⇒遺伝子解析が可能に
経時的なフォローアップが可能で、臨床所見や生活習慣の
記録が一定した手法で収集されているので、データとしての
クオリティが高い
コホート研究の参加者
オリジナルコホート：住民台帳から無作為抽出された、心血
管疾患にかかっていない30～62歳の男女6,507人のうち調
査研究への協力を承諾した4,469人と、無作為抽出されなか
ったボランティア志願者740人の計5,209人
当初より、参加者の約半数は女性
16

17. 2-1.米国マサチューセッツ州
「Framingham Heart Study」 のユースケース(5)
住民とのコラボレーション
参加者コーディネーターが、研究開始時、参加者ひとり一人
にコンタクトし、協力の承諾、診察予約、移動手段の提供、フ
ォローアップ、情報提供などをサポートする体制を構築する
地域住民から選ばれた市民諮問委員会が、コホート研究機
関と一般市民との間のコミュニケーションの調整役として機
能する
当初より、フラミンガム在職在住の医療関係者が、被験者と
して研究に参加
・地域の医療専門家が、コホート研究の専門家委員会にもア
ドバイザーとして参画
研究開始後30年間の参加者の脱落率は約3%にとどまり、
高い追跡率を維持
17

18. 2-1.米国マサチューセッツ州
「Framingham Heart Study」 のユースケース(6)
データ解析
ボストン大学に加えて、メリーランド州にあるNIHの生物統計
学部門の統計専門家が主導
生物統計学的手法を疫学研究に適用したパイオニア的なプ
ロジェクト
解析項目が多岐に渡るため、多変量解析手法を積極的に
行う ⇒ 米国の統計解析の発展に寄与
＊SAS、IBM／SPSS等、統計ソフトウェア開発のサンプルデ
ータとして、Framingham Heart Studyが活用される
18

19. 2-2.デンマークの市民参加型インクルージョンモデル
による健康医療データ利活用のユースケース(1)
19
●祝・日本・デンマーク 外交関係樹立150周年

20. 2-2.デンマークの市民参加型インクルージョンモデル
による健康医療データ利活用のユースケース(2)
デンマークの国民教育の基本方針
学校は親と協力して生徒個々の個性と素質を育み、自国の文
化や他国の文化を理解させ、自立心や責任感などの社会性を
身につけさせ、自由と民主主義を徹底して教える
デンマーク発祥のノーマライゼーション原則
バンク・ミケルセン（1959年法）
障害があっても誰でも参加し、普通に暮らせる社会をめざす
高齢者福祉3原則
•自己決定権
•生活の継続性
•残存能力の活用
20

21. 2-2.デンマークの市民参加型インクルージョンモデル
による健康医療データ利活用のユースケース(3)
北欧型グランドデザイン・ドリブン・アプローチ
ノーマライゼーション原則と多感覚統合インタラクション
市民参加型コミュニティとファシリテーター役のデザイナー
ビルディングブロック／モジュールの組合せに落とし込む
21
【サービスデザインモデル】
視
覚
聴
覚
触
覚
味
覚
嗅
覚
無意識的な自動処理 意識的な制御処理
【ユーザーエクスペリエンスデザインモデル】
Culture
&
Creativity
Innovation
&
Technology
プロダクト（技術主体） プロセス（人間主体）
出典：ヘルスケアクラウド研究会【2017年6月）

22. 2-2.デンマークの市民参加型インクルージョンモデル
による健康医療データ利活用のユースケース(4)
北欧のデザイナーの強みに学ぶ
・五感を介して得た「気づき」をわかりやすく表現・伝達する力
専門家だけの考えで行動しない
・ユーザー自身を信頼する ← 市民参加型コミュニティの目線
22
出典：ヘルスケアクラウド研究会【2017年6月）
歴史を
勉強する
外からイン
スピレーシ
ョンを得る
ブレイクス
ルーする

23. 2-2.デンマークの市民参加型インクルージョンモデル
による健康医療データ利活用のユースケース(5)
1968年：
国民共通番号制度（CPR：Central Persons Resistration）を導入
し、住民個人ごとに付与された一意の番号の下で、登録情報全
体が一元的に管理できる仕組みを構築
2011年8月：
「電子政府戦略 2011-2015」
ペーパーレス化
福祉サービスの電子化
公的部門間の連携強化
（展開事例）市民ポータル「Borger.dk」、企業ポータル「Virk.dk」、
税金ポータル「Skat.dk」、健康医療ポータル「Sundhed.dk」、教育
ポータル「EMU.DK」など
23

24. 2-2.デンマークの市民参加型インクルージョンモデル
による健康医療データ利活用のユースケース(6)
2016年5月：
「電子政府戦略 2016-2020」
デジタル化とデータ再利用による公共サービスの効率化
公共セクターの努力によって、事業経営を簡素化し、魅力
のあるものにする
市民や企業のデータセキュリティに配慮した開発
電子政府のプライバシー／個人情報保護対策：
～政府から独立した決定権限を有するデータ保護庁が所管
（EUデータ保護指令/EU一般データ保護規則に準拠）
電子政府のサイバーセキュリティ対策：
～国防省のサイバーセキュリティ・センターが所管
（EUネットワーク・情報セキュリティ指令に準拠）
24

25. 2-2.デンマークの市民参加型インクルージョンモデル
による健康医療データ利活用のユースケース(7)
デンマークの電子政府とナショナルデータベース
“Temporal disease trajectories condensed from population-wide
registry data covering 6.2 million patients”
（Nature Communications、2014年6月24日）
・デンマークの全人口をカバーする電子カルテシステムから収
集した患者620万人分の国民医療データベース（デンマーク全
国患者登録）を用いて、特定期間における主要な病気（1171種
類）の進行状態や相互関係を解析した結果を公表
25
国民共通番号制度による
デンマークの市民ポータル

26. 2. 医療ビッグデータ利活用のユースケース
（まとめ）
26
・市民とのコラボレーションが医療ビッグデータ
利活用を牽引する
・医療ビッグデータの継続的な品質確保が必須
要件
・海外の「To-Be」と日本の「As-Is」のギャップは
テクノロジーだけで埋められない

27. 3. 海外の医療情報漏えい事例
27

28. 3-1.紛失・盗難による医療情報漏えい事例(1)
2011年8月：
米国マサチューセッツ州のタフツ大学付属病院で、ポータブ
ルCTスキャナーから医用画像を取り込み、医用画像保存通
信システム（PACS）に保存するために利用していた、暗号化
されていないラップトップPCが盗難に遭い、患者データ599
件を紛失
2015年11月:
HHSは、紛失した病院に対し、
HIPAA違反で民事制裁金85
万米ドルを課す
28
出典：HHS「HIPAA Settlement Reinforces Lessons for Users of Medical Devices（2015年1月14日）

29. 3-1.紛失・盗難による医療情報漏えい事例(2)
2013年7月：
米国イリノイ州のアドボケイト・メディカル・グループで、暗号
化していないPCが盗難に遭い、名前、住所、生年月日、社
会保障番号、診断・電子カルテ番号、医療サービスコード、
医療保険情報などを含む患者データ403万件を紛失したこと
を公表
2017年4月：
米国ワシントン州立大学社会経済科学研究センターで、名
前、社会保障番号、未公開の保健医療情報約100万件分を
含む調査データを保存したハードディスクドライブが盗難に
遭ったことが発覚
⇒6月になって、漏えいの可能性がある個人に通知
29

30. 3-2.サポート切れOSに潜むリスクの顕在化事例(1)
2016年1月：
オーストラリア・ビクトリア州のロイヤルメルボルン病院で、
病理部門のWindows XPコンピューターがウイルス感染し、
院内の部門システムやWebサイトがダウンする事案が発生
⇒病院スタッフは、人海戦術で対応する事態となった
＊病院建て替え費用をどう捻出するかが問題となり、
Windows XPのリプレースを先送りにした矢先に発覚
2016年3月:
米国土安全保障省（DHS）傘下のICS‐CERTが、医療機器メー
カー・ケアフュージョンの製薬剤管理システム「Pycis
SupplyStation」について、ベンダーサポートが切れた
Windows Server 2003/XP版に多数の脆弱性が存在するとし
て、注意喚起を行う
30

31. 3-2.サポート切れOSに潜むリスクの顕在化事例(2)
2014年11月：
米国US‐CERTの注意喚起
31
出典：US-CERT「Alert (TA14-310A) Microsoft Ending Support for Windows Server 2003 Operating System」
(2014年11月）

32. 3-3.医療機関を襲うランサムウェア攻撃事例(1)
2016年2月：
カリフォルニア州ロサンジェルスのハリウッド長老教会医療
センターが、ランサムウェアの攻撃に遭ってネットワークが
使用不能となり、ハッカーに40BTC（約170,000米ドル）支払っ
た事案が発覚
2016年6月：
ダークサイト専門の情報提供Webメディア「DeepDotWeb」で
「TheDarkOverload」と呼ばれるハッカー集団が、米国の医
療関連組織から盗まれた電子カルテの個人データベース総
計655,000件分を、151BTC（約100,000米ドル）～607BTC（約
395,000米ドル）で販売していることが報じられる
32

33. 3-3.医療機関を襲うランサムウェア攻撃事例(2)
2016年7月：
米国保健福祉省（HHS）が、HIPAAのランサムウェア対策ガイ
ドラインを公表
電子的な保護対象保健情報（ePHI）への脅威や脆弱性を特定するた
めに、リスク分析を実施して、特定したリスクを軽減し、解決するため
の計画を策定する。
悪意のあるソフトウェアから保護する手順を導入する。
悪意のあるソフトウェアの検知や検知結果の報告に関する研修を権
限のあるユーザーに対して行う。
ePHIへのアクセスを、アクセスする必要がある人やソフトウェアプログ
ラムに限定する。
災害復旧、緊急対応、小まめなデータバックアップ、復元テストを含む
全体的な危機管理計画を維持する。
33

34. 3-3.医療機関を襲うランサムウェア攻撃事例(3)
2017年5月：
英国・国民保健サービス（NHS）関連の医療施設で、ランサ
ムウェア「WannaCry」に起因する被害が多発
（＊NHSのクラウド側は被害なし）
政府通信本部（GCHQ）傘下の国家
サイバーセキュリティセンター（NCSC）、
保健省、NHSイングランドと連携して、
各組織の支援に当たっていることを
公表
＜NHSデジタルの対策＞
• サイバー攻撃に対する保護策としてのパッチに
関する説明文書、テクニカルガイドライン、FAQ集
• 予防策としてインターネットから遮断したネット
ワークの再接続に関するテクニカルガイドライン
• NHSmail
• CareCERT bulletin
34
出典：NHS Digital （2017年5月18日更新）

35. 3-3.医療機関を襲うランサムウェア攻撃事例(4)
＜NHSデジタルの対策（続き）＞
このインシデントのケースと同様に、既知のサイバーセキュリティ脅威
およびこれらのリスクを最小化するための適切なステップに関する情
報を、NHSの組織に拡散する
強固なセキュリティ措置を有するように全て設計された、国のNHS IT
サービスのシステムに対する予防的なリアルタイムのモニタリング
NHS組織向けの無料サイバーセキュリティ検証に着手し、彼らが採る
ことができる適切なステップに関する特別なアドバイスをする
最前線の従事者が、組織におけるサイバーセキュリティの保証に向
けた自分自身の責任を認識するとともに、組織のセキュリティ維持に
役立てるために採ることができる簡単なステップを知ることを確実にす
るように設計された、保健医療スタッフ向けのトレーニング
35

36. 3-4.外部委託先に起因する医療法令違反事例(1)
2017年4月：
イリノイ州・小児消化器医療センター（CCDH）の
HIPAA違反事案
事業提携契約書（BAA）を締結する
ことなく、事業提携者（BA）に該当す
る外部ベンダーに、保護対象保健情
報（PHI）を含む記録のファイルストレ
ージ保存を委託していたことが、OCR
のコンプライアンスレビューで発覚
民事制裁金31,000米ドルを支払い、
是正処置計画を実行することで合意
36
出典：Department of Health and
Human Services「No Business
Associate Agreement? $31K Mistake」
（2017年4月20日）

37. 3-4.外部委託先に起因する医療法令違反事例(2)
2017年5月：
米国NIST・国立サイバーセキュリティセンターオブエクセレ
ンス（NCCoE）が、「NIST SP 1800-8：医療提供組織にお
ける無線輸血ポンプのセキュア化」草案を公表
【無線輸血ポンプと通信系サーバの間のデータフロー】
医薬品ライブラリーの修正
ソフトウェアアップデートの実行
デバイスの遠隔管理
データフロー／プロセスの監査
37
出典：NIST NCCoE「NIST Cybersecurity Practice Guide SP 1800-8: Securing Wireless
Infusion Pumps in Healthcare Delivery Organizations - Draft」（2017年5月）

38. 3-4.外部委託先に起因する医療法令違反事例(3)
（続き）医療機器メーカーは医療機関の外部委託先！
⇒サイバーサプライチェーン・リスクマネジメントにおける役割、
責任分界点の明確化が不可欠（クラウド環境では特に）
ネットワークのコントロール
ポンプのコントロール
ポンプサーバのコントロール
エンタープライズレベルの
コントロール
38
出典：NIST NCCoE「NIST Cybersecurity Practice Guide SP 1800-8: Securing Wireless
Infusion Pumps in Healthcare Delivery Organizations - Draft」（2017年5月）

39. 3. 海外の医療情報漏えい事例
（まとめ）
39
・物理的なセキュリティリスクがつきまとう
・汎用ソフトウェア（例．OS）のライフサイクル管
理が最優先課題
・大規模なインシデント発覚前に、アラートが出
ている
・クラウドファースト時代は、サイバーサプライチ
ェーン・リスクマネジメントに注意

40. 4. まとめ／Q&A
40
https://www.linkedin.com/in/esasahara
https://www.facebook.com/esasahara
https://twitter.com/esasahara