医療情報サービス安全管理
ホワイトペーパー
1. はじめに(事業者の基本姿勢)
■ 準拠宣言
当事業者は、以下のガイドライン・法令を遵守し、医療データの機密性・完全性・可用性を担保することを宣言します [cite: 287-288]。
2. 責任分界点
本サービスの責任範囲を以下の三層に分界します。代表者(田崎 健斗)は当事業者アプリ・プラットフォーム層について責任を負います。
| 主体 | 責任領域と具体的内容 |
|---|---|
| AWS (Amazon Web Services) | インフラ層:物理的保護、基盤維持、サーバーハードウェアの廃棄管理 [cite: 297] |
| 当事業者 (SystemBook Medical) インシデント責任:田崎 健斗 | アプリ・プラットフォーム層:n8n環境維持、Cloudflare設定、データ管理アルゴリズム設計、情報漏えい時の事故対応と報告 [cite: 297] |
| 医療機関 (導入クリニック) | 端末・ID管理層:院内PCのウイルス対策、スタッフのID/PW管理、職員教育、患者への個人情報取扱同意の取得 [cite: 300] |
端末・ID管理層
各クライアントPCのウイルス対策、スタッフID・パスワードの適切管理、職員教育、および患者情報の入力・取り扱いにおける一次責任。
管理責任
アプリ・プラットフォーム層
n8nによる自動化ロジックの設計・保守、通信のトンネル制御(Cloudflare)、AI・APIデータ保護アルゴリズム、インシデント時の事象切り分けと報告。
管轄範囲CISO: 田崎
インフラ・物理層
東京リージョン(ap-northeast-1)データセンターの物理的セキュリティ確保、ハードウェアの冗長化・維持管理、障害復旧基盤の提供。
基盤要件
3. 医療機関が選定時に確認すべき事項
(1) 設置場所と適用法
- データ保存場所: 主たる保存先は AWS 東京リージョン (ap-northeast-1) に限定します。
- 中継: Cloudflare Tunnelは通信中継のみを行い、米国等の海外サーバーへの永続的なデータ保存は行いません。
- 国内法: 日本国内法を遵守し、日本の裁判所を管轄裁判所とします。
- 国外法対応: 暗号化 (AES-256) 等により、米国 Cloud Act 等の治外法権的影響を最小化しています。
(2) 安全管理基本方針
- 目的: 患者のプライバシー保護と情報の機密性・完全性・可用性の確保。
- 情報の限定: オンライン予約・問診・自動化処理に必要な最小限のデータ取得・保持に限定します。
- 技術的防御: Cloudflare Tunnel等により、Webサーバーとしてのインバウンドポートを開放せず、外部からの不正アクセスを構造的に遮断します(ゼロトラストアーキテクチャ)。
(3) 医療情報取扱規程(実務ルール)
- 組織: 代表者(田崎)がCISO(情報セキュリティ責任者)を兼務し、インシデント発生時の指揮を含む一切の責任を負います。
- 認証: 当方の全管理画面に対し、ハードウェアトークン等による多要素認証 (MFA) を必須とします。
- 揮発性: n8nワークフロー上の中間データ(問診内容等)は、EHRへの転記実行完了後にメモリ・ストレージから即時消去する設定を徹底します。
- 不変バックアップ: 監査ログなどの保存必須データは、AWS Backup Vault Lockにより、管理者である当方でさえも法定期間中は削除不能な不変ストレージに保存します。
4. リスク対応および技術的安全管理
■ サイバー攻撃対策
インバウンドポートを完全に遮断する Cloudflare Tunnel による Origin Cloaking を採用し、外部からの侵入を構造的に不可能としています。特定のトンネル経由の認証済み通信のみを許可するゼロトラストネットワークを構築。
■ 主要なリスク対応表(3省庁2GL自己点検準拠)
| リスク事象 | 対応方針 | 具体的な低減策・技術 |
|---|---|---|
| 外部からの不正アクセス | 低減 | Cloudflare Tunnel (Origin Cloaking) [cite: 368-372, 464-465]、強制的な多要素認証 (MFA) の導入 |
| ランサムウェアによるデータ暗号化・破壊 | 低減 | AWS Backup Vault Lock による WORM (Write Once Read Many) 型の不変バックアップ [cite: 378, 475, 606] |
| 内部犯行によるデータ持ち出し・改ざん | 低減 | 全DB/ストレージ操作の個人ID紐付け、CloudTrailによる不変監査ログの自動記録システム |
| 事業者の不在(1人体制リスク) | 保有/移転 | CISO(田崎)の不測の事態に備えた非常時マニュアルの策定、弁護士・外部提携法人での暗号化された認証情報の所定保管 |
ゼロトラスト・ネットワークアーキテクチャ
外部からの不正侵入を構造的に遮断するインフラ設計(Origin Cloaking)
各種外部API
認証付きトンネルで検査
揮発性メモリ処理
WORM領域バックアップ
(閉域網 / クラウド)
ゼロトラスト・アーキテクチャの要点: AWS上のサーバーはパブリックIPからのアクセス(インバウンド通信)をすべて拒否(Drop)するように設定されており、Cloudflare Tunnelとの内部接続セッションからのみデータを受け取ります。これにより、未知のポートスキャンや直接的なサイバー攻撃を根本から無効化しています。
5. 制度上の要求事項への対応(e-文書法準拠)
真正性 (Authenticity) [cite: 596]
システム操作、APIコール、バッチ処理のすべてにおいて AWS CloudWatch Logs 等に「誰が・いつ・何をしたか」を自動記録し、不変状態で保存・監視します。 [cite: 597-598]
見読性 (Readability) [cite: 599]
監査・証跡が必要な際、標準ブラウザを通じて即座に検索・閲覧できるUIボードを提供します。サーバーはマルチAZ構成により高い可用性を確保します。 [cite: 600-603]
保存性 (Preservation) [cite: 604]
法律に基づく診療録等の保存期間(原則5年以上)に対応するため、自動アーカイブおよびランサムウェアに耐性のある不変バックアップを標準運用します。[cite: 605-606]
6. BCP(事業継続計画)とエグジット戦略
一人体制でありながら、極めて可用性の高いシステムを提供するための事業継続・終了に関する方針です。
事業継続計画 (BCP)
SaaS型クラウドインフラを活用し、ハードウェア障害によるシステム停止を自動復旧させるInfrastructure as Code (IaC) を採用しています。
代表者の不測の事態においては、事前に取り決めた外部提携先のIT法人が一時的にシステム管理権限(非常時用AWS IAM)を引き継ぎ、診療業務のインフラを維持する仕組みを構築しています。
エグジット(移行・終了)戦略
万が一当方のサービス提供を終了する場合、または貴院が他社システムへ乗換える場合、以下の措置を講じます:
1. 最低6ヶ月前の事前通知と現状維持の確約。
2. システム内の設定データ(n8nワークフローJSON等)および蓄積ログデータのCSV/JSON形式での無償提供(ベンダーロックインの排除)。
3. 乗換え後の残存データ・バックアップリソースの完全かつ不可逆的な消去(消去証明書の発行)。
7. 今後追加予定の機能と方針
(1) 診察室音声AI・紹介状作成支援
準拠方針: AIはあくまで「草稿」を生成する支援ツールにとどまり、医学的判断や最終診断は一切行いません。
データ保護: 音声データはテキスト化処理完了後に即時削除し、物理ディスクに残しません。LLM連携には、学習利用オプトアウト(Data Privacy Addendum定義)が明記されたセキュアな法人向けAPIエンドポイントのみを使用します。
(2) クラウド電子カルテ(EHR)連携
現在のアーキテクチャはRPAライクに外部から限定的に接続・稼働しており、電子カルテDBへの直接の双方向データ同期(フル接続)はありません。
将来的なAPI経由での完全同期の実装時は、各EHRベンダーのセキュリティ仕様に準拠するため、貴院との個別の合意を交わし、本ホワイトペーパーの改訂・再承認を実施します。
詳細な「ガイドライン準拠回答集」および「設定エビデンス集」は別途提供いたします [cite: 446]。
導入・詳細資料について問い合わせる