More Related Content
Similar to ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用 (20)
More from Eiji Sasahara, Ph.D., MBA 笹原英司 (18)
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
- 5. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 5
「BitTorious: global controlled genomics data publication,
research and archiving via BitTorrent extensions」
Preston V Lee and Valentin Dinu
BMC Bioinformatics. 2014 Dec 21;15:424. doi:10.1186/s12859-014-0424-9
(http://www.ncbi.nlm.nih.gov/pubmed/25528455)
ブロックチェーン技術をベースとする分散型遺伝子データ
公開・研究・アーカイブ用ポータルを構築
出典: BMC Bioinformatics. 2014 Dec 21;15:424. doi:10.1186/s12859-014-0424-9
- 6. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 6
「How blockchain-timestamped protocols could improve the
trustworthiness of medical science.」
Irving G, Holden J.
Version 2. F1000Res. 2016 Feb 26 [revised 2016 May 25];5:222. doi: 10.12688/f1000research.8114.2. eCollection 2016.
(https://www.ncbi.nlm.nih.gov/pubmed/27239273)
ブロックチェーン・ベースの
分散型タイムスタンプを
臨床試験プロトコルに適用
し、アウトカムのすり替え、
データ浚渫、選択的出版な
どを防止する
出典:HHS「ClinicalTrial.gov」(. https://clinicaltrials.gov/)
- 7. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 7
「Blockchain technology for improving clinical research
quality.」 Benchoufi M, Ravaud P.
Trials. 2017 Jul 19;18(1):335. doi: 10.1186/s13063-017-2035-z.
(https://www.ncbi.nlm.nih.gov/pubmed/28724395)
ブロックチェーンにエンコードされた臨床試験の複雑なデータ
ワークフロー
出典:「Blockchain technology for improving clinical research quality.」 Benchoufi M, Ravaud P.
Trials. 2017 Jul 19;18(1):335. doi: 10.1186/s13063-017-2035-z.
(https://www.ncbi.nlm.nih.gov/pubmed/28724395)
- 8. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 8
The Link Lab(http://www.thelinklab.com/)
「An Interoperable System: Could Blockchain be the Answer? 」
The Link Lab at Public Meeting: Progress Toward Implementing the
Product Identification Requirements of the Drug Supply Chain Security
Act (2016年10月14日)
(https://www.fda.gov/downloads/Drugs/NewsEvents/UCM529584.pdf)
米国医薬品サプライチェーン安全保障法(DSCSA)に基づく処方箋医
薬品のシリアライゼーション義務化(製造-再包装-卸売-調剤)
The Link Lab:既存のブロックチェーンシステムを
利用してシリアライズされた医薬品を追跡する
パイロットプロジェクトを実施中
サイバーサプライチェーンリスクマネジメント
(C-SCRM)対応も必要に(例.外部委託管理)
出典:FDA「Product Identifier Requirements Under the Drug Supply Chain Security Act – Compliance Policy
Guidance for Industry DRAFT GUIDANCE」(2017年6月30日)
https://www.fda.gov/downloads/Drugs/GuidanceComplianceRegulatoryInformation/Guidances/UCM565272.pdf)
- 9. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 9
Chronicled, Inc.(https://www.chronicled.com/)(1)
2014年、米国カリフォルニア州サンフランシスコで、VC出身でスタンフォ
ード大学准教授のライアン・オア氏、Fintech出身の開発者マウリツィオ・
グレコ氏、デジタルマーケティング専門家のサム・ラドッキア氏、プライベ
ート・エクイティ投資家のデイビッド・エイホ氏により共同創設されたIoTサ
プライチェーンのスタートアップ企業
ミッション:世界で最も信頼されたIoTとサプライチェーンのエコシステムを
構築する
主要製品:温度ロガー、暗号印、IDチップ、サプライチェーン・温度追跡ア
プリケーション、REST API(JSONフォーマット仕様) など
主要ソリューション:コールドチェーンモニタリング、改ざん防止シーリング、
サプライチェーン・コンプライアンス、サプライチェーン自動化、セキュア製
品ID など
パートナー・クラウドサービスプロバイダー:SmarTrac、Blue
Bite、Identiv など
- 11. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 11
Chronicled, Inc.(https://www.chronicled.com/)(3)
2017年2月28日:「Chronicled Launches Quorum Blockchain Integration at
Enterprise Ethereum Alliance Kickoff」
(http://www.prnewswire.com/news-releases/chronicled-launches-quorum-blockchain-
integration-at-enterprise-ethereum-alliance-kickoff-300414641.html)
2017年3月23日:「Pharma Companies Tap Startups to Develop Protocol
for Tracking and Verifying Prescription Drugs using Blockchain」
(http://www.prnewswire.com/news-releases/pharma-companies-tap-startups-to-develop-
protocol-for-tracking-and-verifying-prescription-drugs-using-blockchain-300428313.html)
2017年5月10日:「Chronicled Launches Digital Supply Chain Platform with
Secure, Smartphone-Enabled Temperature Loggers」
(http://www.prnewswire.com/news-releases/chronicled-launches-digital-supply-chain-
platform-with-secure-smartphone-enabled-temperature-loggers-300454592.html)
2017年7月31日「Chronicled Completes Technical Pilot Demonstrating
Cryptographic Anonymous Transfer of SGTINs for Supply Chain
Applications」
(http://www.prnewswire.com/news-releases/chronicled-completes-technical-pilot-
demonstrating-cryptographic-anonymous-transfer-of-sgtins-for-supply-chain-
applications-300496402.html)
- 12. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 12
「Nasdaq provides blockchain tech to new advertising exchange」
(2017年3月14日) (https://twitter.com/NASDAQ/status/841635035371433984)
米国の株式取引市場NASDAQが、アドテク企業New York Interactive
Advertising Exchange (NYIAX)が開発する広告取引エクスチェンジにブロ
ックチェーン技術を提供することを発表
NASDAQがChainと共同で開発したプライ
ベート・ブロックチェーンプラットフォーム
「Linq」を提供
ギャランティードメディア・コントラクトで
将来掲出される広告の在庫を予約
⇒NYIAXプラットフォーム上で再売買
(ブロックチェーンを利用して、デジタル
広告取引の透明性を高める)
出典:「Nasdaq provides blockchain tech to new advertising exchange」
(https://twitter.com/NASDAQ/status/841635035371433984)
- 13. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 13
「Will the Blockchain Insights Platform Change Ad Buying?」
(2017年8月1日) (http://www.nasdaq.com/article/will-the-blockchain-insights-platform-
change-ad-buying-cm825048)
Blockchain Insights Platform: 欧米の主要メディア関連企業(Comcast、
NBCUniversal、Disney、Altice USA、Channel 4、Cox Communications、
Mediaset Italia、TF1 Group)が共同で2018年に創設予定
Comcast「Comcast’s Advanced advatising Group And Participants
Announce Blockchain-Based Technology Platform」(2017年6月20日)
(http://corporate.comcast.com/news-information/news-feed/comcasts-advanced-
advertising-group-and-participants-announce-plans-for-blockchain-based-technology-
platform-aimed-at-making-premium-video-advertising-more-efficient)
各企業のデータベースを接続し、仲介者なしでデータへの透明で効率的な
アクセスを実現し、広告キャンペーンの購入先や方向性の評価を可能に
する
(日本)
デジタル・アドバタイジング・コンソーシアム「ブロックチェーン活用による日
本初のデジタル広告効果透明化実証実験を開始」(2018年4月25日)
(https://www.dac.co.jp/press/2017/20170424_blockchain)
- 14. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 14
保健医療行政(1):
「IBM Watson Health Announces Collaboration to Study the Use
of Blockchain Technology for Secure Exchange of Healthcare
Data」(2017年1月11日).
(https://www-03.ibm.com/press/us/en/pressrelease/51394.wss)
FDAとIBM Watson Healthが、ブロックチェーンを活用した、セキュアで効率的
で拡張可能な保健医療データの交換を目的として協業を発表
対象データソース:
電子カルテ、臨床試験、
遺伝子データ、モバイル
機器/ウェアラブル/IoTなど
対象領域:がん関連データ
出典:「IBM Watson Health Announces Collaboration to Study the
Use of Blockchain Technology for Secure Exchange of Healthcare
Data」(2017年1月11日)
- 15. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 15
保健医療行政(2):
「Trust, confidence and Verifiable Data Audit」(2017年3月9日).
Google DeepMind, National Health Services(NHS) England
(https://deepmind.com/blog/trust-confidence-verifiable-data-audit/)
英国のGoogle DeepMindが国民保健サービス(NHS)と提携して、独自のデ
ジタル台帳技術により、患者データとのやりとりを自動的に記録する「検証可
能なデータ監査」の計画を発表
NHS傘下のロイヤルフリー
病院と共同で腎臓モニタリ
ングソフトウェア「Streams」
を開発(患者データ共有の合
意書を締結)
インフォームコンセントに不備な点が
あった点が英国情報コミッショナー・オ
フィス(ICO)からNHSに指摘される 出典:Google DeepMind Blog「Trust, confidence and
Verifiable Data Audit」(2017年3月9日).
- 16. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 16
電子カルテシステム:
「A Case Study for Blockchain in Healthcare: “MedRec”
prototype for electronic health records and medical research
data」(2016年8月).
MIT Media Lab, Beth Israel Deaconess Medical Center
(https://deepmind.com/blog/trust-confidence-verifiable-data-audit/)
MedRec: ブロックチェーンを利用して、電子カルテを
取扱う分散型記録管理システム
Ethereumのスマートコントラクトを
利用
出典:「A Case Study for Blockchain in Healthcare:
“MedRec” prototype for electronic health records and
medical research data」(2016年8月)
- 17. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 17
モバイルヘルス:
「Tamper-Resistant Mobile Health Using Blockchain Technology.」
Ichikawa D, Kashiyama M, Ueno T.
JMIR Mhealth Uhealth. 2017 Jul 26;5(7):e111. doi: 10.2196/mhealth.7938.
(https://www.ncbi.nlm.nih.gov/labs/articles/28747296/)
ブロックチェーン/分散台帳技術
(プラットフォーム:Hyperledger Fabric)を
利用したモバイルヘルスデータの改ざん
防止対策
(参考)「未来2017」健康経営賞
「スマホアプリによる不眠症治療」
(サスメド株式会社)
(https://mirai.ventures/2017/last_exam/)
出典:「Tamper-Resistant Mobile Health Using Blockchain Technology.」
Ichikawa D, Kashiyama M, Ueno T.
JMIR Mhealth Uhealth. 2017 Jul 26;5(7):e111. doi: 10.2196/mhealth.7938.
(https://www.ncbi.nlm.nih.gov/labs/articles/28747296/)
- 18. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 18
B2C寄りの新規市場米国の場合、政府主導で、ブロックチェーンを起点と
するヘルスケアイノベーション推進策が進んでいる(IoT、ビッグデータ、AI
なども連携)
保険と医療、医薬品/ライフサイエンスがデータで連携するイノベーショ
ン・エコシステムが構築されつつある
18
出典:ヘルスケアクラウド研究会(2017年7月)
薬局 医療
機関商品/
サービス
開発
マーケ
ティング/
販売
保険
契約
管理
給付
支払
手続
資産
運用
管理
再保険
患
者
・家
族
基礎
研究
臨床
開発
製造 物流
営業・
マーケ
ティング
薬事
申請
市販後
対策
【医薬品/ライフサイエンス】
【保険】
【医療機関】
- 20. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 20
米国医療保険業界のトレンド
薬局 医療
機関
既存業務改革起点のブロックチェーン適用
商品/
サービス
開発
マーケ
ティング/
販売
保険
契約
管理
給付
支払
手続
資産
運用
管理
患
者
・家
族
クラウド/モバイルファースト戦略(標準化・共通基盤化)
技術医療保険の相互運用性と説明責任に関する法律(HIPAA)
新規市場/領域開拓起点のブロックチェーン適用
出典:ヘルスケアクラウド研究会(2017年7月)
再保険
- 21. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 21
ピアツーピア(P2P)保険プラットフォーム
(例)保険加入者同士でグループを作り、各加入者が支払う保険料から
プールして、保険請求があった場合は、その中から保険金を支払う(プ
ールを越えた分を外部の保険会社が補填する)
= 信頼関係をベースにした「ソーシャルインシュアランス」
⇒ブロックチェーンのコンセンサスメカニズムの概念を適用
(例)
Dynamis:(http://dynamisapp.com/)
米国ウィスコンシン州ミルウォーキーで創設
EtherumベースのP2P失業保険プラットフォーム
Lemonade:(https://www.lemonade.com/)
米国ニューヨークで創設
スマートコントラクトを利用したP2P損害保険プラットフォーム
- 22. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 22
スマートコントラクトを利用した分散型保険アプリケーション
Etherisc(ドイツ)(https://etherisc.com/)
2016年7月、リスクマネジメントサービス企業の経営者Christoph
Mussenbrock氏とデジタル戦略コンサルタントでブロックチェーン専門
家のStephan Karpischek氏により、ドイツ・ミュンヘンで創設された
InsureTechスタートアップ企業
ミッション:分散型保険アプリケーションを開発して、保険の購入・販売
を効率化し、業務コストの低減を可能にし、従来の業務と比較して保
険業界に大きな透明性を提供し、再保険投資へのアクセスを民主化
する
「Flight Delay Dapp」:航空機の遅延・キャンセルに伴うリスクをカバー
する保険の証券作成から請求手続までのプロセスを、「Ethereum」ベ
ースのスマートコントラクトで自動化する分散型アプリケーションのプロ
トタイプを開発・実証
2017年7月より、 「Enterprise Ethereum Alliance」保険作業部会の座
長を務める
- 23. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 23
K.カルヴァー「ブロックチェーン技術:どのようにして請求プロ
セスを改善できるかについて議論したホワイトペーパー」(1)
(http://humananews.com/2016/09/2966/)
米国の医療保険会社ヒューマナ(Humana)のソリューションアーキテクト
が、保健福祉省(HHS)・国家医療IT調整室(ONC)の「医療ITおよび医療
関連研究におけるブロックチェーンとその新たな役割」(2016年9月)で
入賞したホワイトペーパー
米国医療産業の共通課題~患者、医療機関、医療保険者、規制当局
の間にある相互運用性や、複雑な同意書の問題
給付支払手続業務におけるミスの多発、非効率化
医療損失率(MLR:Medical Loss Ratio)規制に基づく監査対応の負荷
*保険会社に対して、保険料収入の主な支出項目についての報告・
公表義務を課し、さらに保険料収入の一定割合(法定最低MLR))以
上を、保険給付などの保険加入者に対する支出とすることを義務付け
ている
- 24. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 24
K.カルヴァー「ブロックチェーン技術:どのようにして請求プロ
セスを改善できるかについて議論したホワイトペーパー」(2)
一方向性暗号学的ハッシュの例
出典:Kyle Culver「Blockchain Technologies: A Whitepaper Discussing how Claims Process can be
Improved」【2016年9月)(https://www.healthit.gov/sites/default/files/3-47-whitepaperblockchainforclaims_v10.pdf)
- 25. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 25
K.カルヴァー「ブロックチェーン技術:どのようにして請求プロ
セスを改善できるかについて議論したホワイトペーパー」(3)
ソリューションアーキテクチャ(例)
医療機関、医療保険者、政府
機関のエコシステムで構成
医療保険者が、業務プロセスの
大半のオーナーとなる
<セキュリティ上重要な機能>
ブロックチェーンのソルト機能
(パスワードを暗号化する際に
データを付与する)
API
出典:Kyle Culver「Blockchain Technologies: A Whitepaper Discussing how Claims Process can be
Improved」【2016年9月)(https://www.healthit.gov/sites/default/files/3-47-whitepaperblockchainforclaims_v10.pdf)
- 26. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 26
K.カルヴァー「ブロックチェーン技術:どのようにして請求プロ
セスを改善できるかについて議論したホワイトペーパー」(4)
医療保険者と医療機関の間の
連携処理(例)
保険加入フロー:
スマートコントラクトを実行し、
ブロックチェーン上で必要最低
限の加入者データを共有する
給付支払手続フロー:
スマートコントラクトを活用した
業務プロセスの効率化・自動化
出典:Kyle Culver「Blockchain Technologies: A Whitepaper Discussing how Claims Process can be
Improved」【2016年9月)(https://www.healthit.gov/sites/default/files/3-47-whitepaperblockchainforclaims_v10.pdf)
- 27. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 27
ブロックチェーン保険産業イニシャティブ(B3i)
(http://www.swissre.com/reinsurance/insurers_and_reinsurers_launch_blockchain_initiative.html)
2016年10月19日、エイゴン(オランダ)、アリアンツ(ドイツ)、ミュンヘン
再保険(ドイツ)、スイス再保険(スイス)、チューリッヒ(スイス)の欧州
大手保険5社が共同で創設
匿名化された取引情報と匿名化された定量データを利用しながら、ブ
ロックチェーン技術を利用して、グループ間の再々保険のための概念
実証を達成するパイロットプロジェクトを共同で企画・実施
産業全般にわたる利用のための標準規格やプロセスを構築し、保険
産業における効率性の向上を促進することが、ブロックチェーン技術
で可能か否かを調査することを目標とする
- 28. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 28
グローバル保険証券交付へのブロックチェーン適用
(https://www-03.ibm.com/press/us/en/pressrelease/52607.wss)
2017年6月、 AIG(米国)、IBM(米国)、スタンダードチャータード銀行(英
国)の3社は、ブロックチェーン(分散型台帳技術)を利用した「スマートコ
ントラクト」に基づく保険証券交付のグローバル実証実験に成功したこ
とを公表.
IBMが、Linux Foundationの「Hyperledger Fabric」をベースとする実証
ソリューションを開発・提供
英国で作成した「マスターポリシー」と、米国、シンガポール、ケニアの
3か所の「ローカルポリシー」を、スマートコントラクトにコンバートして、
保険証書のデータと文書をリアルタイムで共有する
マスターおよびローカルのレベルで、保険の補償範囲や保険料支払を
可視化できるだけでなく、支払に関するイベント後のネットワーク参加
者への通知を自動化できる
- 29. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 29
米国公認損害保険士協会(American Institute for Property
and Casualty Underwriters)「RiskBlock」
(http://www.theinstitutes.org/about-us/media-center/articles/institutes-announces-
formation-riskblock-blockchain-consortium-risk)
2017年7月、同協会と「Enterprise Ethereum Alliance」創設メンバーが中
心となり、リスク管理と保険産業にフォーカスしたブロックチェーン推進
連携組織「RiskBlock」を創設
リスク管理・保険業界の専門家とブロックチェーン開発者が一体となり、
業界固有のユースケースのために、ブロックチェーンアプリケーションの
研究・開発・検証を行う
保険分野におけるブロックチェーン技術適用が期待される領域(例)
• 決済、保険料、請求の簡素化
• 中央集権型の請求記録を介した不正の削減
• 顧客データの正確性の検証による新規保険契約者獲得の改善
- 30. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 30
B2C寄りの新規市場/領域開拓(例.P2P保険プラットフォーム)から、
B2B寄りの既存業務改革(例.給付請求手続業務の効率化)へと
「InsurTech」のブロックチェーン適用対象が広がっている
保険と医療が連携するブロックチェーン・エコシステムでは、セキュリティ
やAPI、業務プロセス支援機能などで、保険側の強みを出そうとしている
出典:ヘルスケアクラウド研究会(2017年7月)
薬局 医療
機関
既存業務改革起点のブロックチェーン適用
商品/
サービス
開発
マーケ
ティング/
販売
保険
契約
管理
給付
支払
手続
資産
運用
管理
新規市場/領域開拓起点のブロックチェーン適用
再保険
患
者
・家
族
- 31. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 31
4-1. ブロックチェーンを共通基盤とするInsurTechとHealthTechの融合
4-2. 保険業規制の視点から見たInsurTech×HealthTechのITリスク管理
4-3. 健康医療規制の視点から見たInsurTech×HealthTechのITリスク管理
4-4. ブロックチェーン・ドリブンのInsurTech×HealthTechと
ITリスク管理
- 32. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 32
現時点で、ブロックチェーン/分散型台帳技術に関する世界
共通の定義・用語集は存在しない
2016年9月、「ISO/TC307:ブロックチェーンと電子分散台帳技
術に関する専門委員会」が発足
・事務局:オーストラリア規格協会
(https://www.iso.org/committee/6266604.html)
2017年4月3-5日 初回会合(シドニー)
2017年11月14-17日 第2回会合(東京)予定
ISO/TC 307/SG 1 Reference architecture, taxonomy and ontology Working group
ISO/TC 307/SG 2 Use cases Working group
ISO/TC 307/SG 3 Security and privacy Working group
ISO/TC 307/SG 4 Identity Working group
ISO/TC 307/SG 5 Smart contracts Working group
- 33. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 33
米国保健福祉省・公民権室(OCR)
「HIPAA/HITECH総括的規則」(2013年9月適用開始)
HIPAAは、医療保険分野の業法でもある
年月日 内容
2009年8月24日 HITECH法(Health Information Technology for Economic and Clinical Health
Act of 2009) 暫定的最終規則(IFR:Interim Final Rule)(データ漏えい)
2009年10月7日 遺伝子情報差別禁止法(GINA:Genetic Information Nondiscrimination Act of
2008) 規則制定案告示(NPRM)(GINA規則)
2009年10月30日 HITECH法 暫定的最終規則(IFR)(執行)
2010年7月14日 HITECH法 規則制定案告示(NPRM:Notice of Proposed Rulemaking)
(HITECH規則)
2013年1月25日 HIPAA総括規則(データ漏えい、執行、HITECH規則、GINA規則)公表
2013年3月26日 HIPAA総括規則(データ漏えい、執行、HITECH規則、GINA規則)施行
2013年9月23日 適用対象主体および事業提携者(BA:Business Associates)の遵守義務開始
出典:ヘルスケアクラウド研究会(2017年7月)
- 34. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 34
米国:保険&健康医療の法規制+クラウドセキュリティ要件
+サイバーセキュリティ要件(例)・・・「多層防御」
(c) 2013 Cloud Security Alliance 34
パブリックセクターのクラウドセキュリティの視点
例.Federal Risk and Authorization Management Program (FedRAMP)
(http://www.fedramp.gov/)
健康医療分野のクラウドセキュリティの視点
例.-HIPAA/HITECH監査への対応:リスク評価
(http://www.hhs.gov/ocr/privacy/)
ホームランドセキュリティ/重要情報インフラの視点
例.Federal Information Security Management Act(FISMA)
(http://csrc.nist.gov/groups/SMA/fisma/index.html)
CSA Cloud Controls Matrix (CCM)
(https://cloudsecurityalliance.org/research/ccm/)
保険分野のクラウドセキュリティの視点
例.-NAIC:Principles for Effective Cybersecurity: Insurance Regulatory
Guidanceへの対応:リスク評価(http://www.naic.org/cipr_topics/topic_cyber_risk.htm)
出典:ヘルスケアクラウド研究会(2017年7月)
- 35. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 35
米国の医療保険会社(NYSE上場企業)
Anthemのセキュリティインシデント(2015年2月)
共通の電子メール構成要素ITシステムが海外からのサイバー攻撃を受
け、顧客約8千万件の情報流出被害が発生したことを公表
ニューヨーク証券取引所(NYSE)の上場企業である
米証券取引委員会(SEC):米国企業改革法(SOX)に基づき、財務報
告に係る情報開示や内部統制を義務付ける
海外からのサイバー攻撃が発端となった
テロ対策を所管する国土安全保障省(DHS)の調査
サイバー犯罪を所管する連邦捜査局(FBI)の調査
保険会社から顧客情報が流出した
ニューヨーク州金融サービス局が州内の全保険会社に対するサイバ
ーセキュリティ検査を開始⇒全米に拡大
- 36. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 36
Anthemのセキュリティインシデント(2015年2月)(続き)
顧客の保護対象保健情報(PHI)が流出
HIPAAを所管する保健福祉省(HHS)への報告義務
過去にHIPAA違反で170万ドルの民事制裁金を科せられたことがある
(当時の社名はWellPoint)
暗号化していなかった保存データがサイバー攻撃を受けて外部流出
HIPAAは、保存データの暗号化を規定しているが、完全な強制ではな
い(暗号化の有無で制裁金の金額が変わる)
顧客らが損害賠償請求の集団訴訟を提起
2017年6月、集団訴訟に関して、総額1億1500万米ドル(=約130億円、
1米ドル=113円換算)で和解したことを発表
漏洩後、顧客を標的にしたフィッシング攻撃が発生
消費者保護を所管する連邦取引委員会(FTC)が注意喚起
- 37. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 37
国土安全保障省(DHS)
「医療・公衆衛生セクター特別計画」(2016年5月)
包括的なリスクベースのアプローチ
一連の潜在的な脅威と危険の特定と準備
特定された重要資産、システム、ネットワーク
の脆弱性の削減
重要インフラストラクチャに対する潜在的イン
パクトの低減と、イベント・インシデント発生時
の機能の復元
原因に関わらず、緊急時の破壊に抵抗して
迅速に回復することを目的とした、変化する
状況への対応
出典:Department of Homeland Security
「Healthcare and Public Health Sector-
Specific Plan」(2016年5月)
- 38. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 38
保健福祉省・副長官付危機対策・対応担当室(ASPR)
「HHS Update #3: 医療組織に対する国際的なサイバー
脅威(再送)」(2017年5月)
ランサムウェア攻撃被害に遭った時:
FBI地方局サイバータスクフォースに
イベントを報告し、支援を要請する
サイバーインシデントをUS-CERT
およびFBIインターネット犯罪苦情
センターに報告する
さらなる分析と医療固有の兆候共有の
ために、保健福祉省の医療サイバー
セキュリティ通信統合センターと共有
する
出典:ASPR「HHS Update #3: International Cyber Threat to Healthcare Organizations (Resend)」 (2017年5月)
- 39. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 39
NIST・国立サイバーセキュリティセンターオブエクセレンス
(NCCoE)「NIST SP 1800-8:医療提供組織における無線輸
血ポンプのセキュア化」草案(2017年5月)
【無線輸血ポンプと通信系サーバの間のデータフロー】
医薬品ライブラリーの修正
ソフトウェアアップデートの実行
デバイスの遠隔管理
データフロー/プロセスの監査
出典:NIST NCCoE「NIST Cybersecurity Practice Guide SP 1800-8: Securing Wireless
Infusion Pumps in Healthcare Delivery Organizations - Draft」(2017年5月)
- 40. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 40
(続き)医療機器メーカーは医療機関の外部委託先!
⇒サイバーサプライチェーン・リスクマネジメントにおける役割、
責任分界点の明確化が不可欠(クラウド環境では特に)
ネットワークのコントロール
ポンプのコントロール
ポンプサーバのコントロール
エンタープライズレベルの
コントロール
出典:NIST NCCoE「NIST Cybersecurity Practice Guide SP 1800-8: Securing Wireless
Infusion Pumps in Healthcare Delivery Organizations - Draft」(2017年5月)
- 41. https://www.cloudsecurityalliance.jp/Copyright © 2017 Cloud Security Alliance Japan Chapter 41
サイバーサプライチェーンリスクマネジメントと
ブロックチェーン
On Chain Dataのセキュリティ対策
アイデンティティ/アクセス管理
暗号化と鍵管理
アプリケーション・セキュリティ
(セキュリティ・バイ・デザイン)
ブロックチェーン・ゲートウェイ、APIのセキュリティ
Off Chain Dataのセキュリティ対策
クラウド環境固有のセキュリティ(IaaS/PaaS/SaaS)
マイクロサービス固有のセキュリティ
ビッグデータ固有のセキュリティ
IoT固有のセキュリティ など
「多層防御」
のエコシス
テムと情報
共有態勢の
構築が求め
られる