製薬・医療業界における内部リスクに向けたコントロールの実践について

By 大橋　弘樹, Microsoft Corporation Senior Program Manager FastTrack Architect / CISSP / CISA

2023年8月3日

１．内部リスク対応の背景

本 Blog では、Microsoft Purview による内部統制 (コントロール) の実践「情報保護」「損失防止」「内部リスク管理」について解説します。ここでは医療業界の企業・団体でのリスクに対するマネジメントとそのコントールについて米国標準技術研究所 (NIST) のリスクマネジメントフレームワーク [1] の観点から、より実践的な内容で、Purview の活用方法をご説明します。背景として、IPA がまとめた「情報セキュリティ 10 大脅威 2023」[2]によると企業内部に起因するリスクが増加傾向にあり、内部に向けた対策の必要性が認識されています。内部の用意は内部不正・ミスによる流出等で、例として内部インシデントや営業秘密流出事故が該当します。

２．規制のグローバル化と医療業界の対応

GDPR (General Data Protection Regulation：一般データ保護規則）[3]、CPRA（カリフォルニア州プライバシー権法：California Privacy Rights Act) [4] をはじめとするデータプライバシーに対する規制や、NIST SP800-171 [5] など、グローバルな取引企業、関連する団体にもおよび、今後もこの要件は増えて行く予想されます。企業・団体は保有するデータに対して適切に識別し、分類し、分類したデータに基づくセキュリティ管理を行っているかどうかが必要となります。医療業界では、HIPAA (Health Insurance Portability and Accountability Act：医療保険の携行性と責任に関する法律) [6] において、保護対象保険情報 (PHI：Protected health information) と呼ばれる患者情報を扱う企業・団体にセキュリティ対策に従うことを規定しています。

３．内部リスクに向けたコントロールの必要性

NIST のリスクマネジメントフレームワークでは、先ずはリスク分析を行い、外部や内部に起因するそれぞれの事象を識別し分類することが第一ステップとされています。識別され分類されたリスクについて、コントロール (内部統制) を実施する流れとなります。コントロールは予防コントロール・防止コントロール・発見コントロールがあり、予防コントロールはリスクを未然に防ぐ統制であり一般に費用対効果があるとされています。防止コントロールは不適切な事象を防止・修正・是正する統制、発見コントロールはリスクを発見し、統制全体の評価と改善実施する統制です。なおシステム監査では準拠性テストや実証性テストとなどの検査により、コントロールによる統制が行われているかどうかが監査されます。なお、ログを取るだけではコントールとは定義されません、ログによる統制が行われているかどうかが、コントロールで必要となります。

限られたリソースで、変化し続けるグローバル要件に追従・対応しながら、コントロールの対応を行う作業負荷が厳しい現実から、コントロールの一部をシステムが補完することが昨今の動向として伺えます。システム的なコントロールの実践として Microsoft Purview がどのように実現を支援できるかについてご説明します

４．Purview によるコントロール概要

次に Purview によるコントロールの実践方法についてご説明します。内部リスクに対するコントロールは、予防コントロール、防止コントロール、発見コントロールであることをお伝えしました。 1 つ目の予防コントロールは、情報を分類する秘密度ラベルを定義し、情報の秘密度に応じて Public や General と言ったラベルを手動もしくは自動で付与することを表します。タイトルバーに秘密度を明示することによって社員に周知することができます。また、ラベルの変更の際、その場で正当な理由を記載することよって監査性を向上でき、また情報流出への抑止効果が高まります。ラベル変更はラベルのダウングレートと呼び、ログにも記載されます。ダウングレードそのものを禁止するという制御も可能です。さらに、保存や印刷と言ったメニューをグレーアウトして機能させないことで意図しない処理による情報漏洩を防ぐことも可能で、さらに文書に強制的に暗号化や透かしを入れ、社員の意識をさらに高めることも可能です。

コントロールの 2 つ目、防止コントロールは、未承認の動作を防止することを表します。この防止コントロールには Microsoft 365 を構成コンポーネントごとに、 Office 365 DLP、Endpoint DLP、Teams DLP などを提供します。DLP は、適用する場所、適用する条件、処理アクションを指定することであり、指定された内容に沿って防止コントロールを実施します。すなわち分類された情報に基づき、情報のコピーやアップロード禁止といった流出防止を提供する機能となります。

3 つ目は発見コントロールです。発見コントロールは、IRM (Insider Risk Management) により、日々発生する様々なログから情報漏洩に発展する可能性があると考えられるリスク項目を洗い出し管理者に通知します。管理者は全体の概要と、さらにドリルダウンした詳細な情報をモニターすることが可能となります。様々なログの相関分析からリスクの疑いがあると判断されたものを管理者にアラート通知し、分析機能を提供します。情報流出の可能性がある段階では、ユーザー名は匿名化され、プライバシーを保護します。

５．Purview のライセンス要件

Purview のライセンスによって提供機能に違いがあり、以下概要を表しています。各々のライセンスのお求めはマイクロソフト公式ホームページ [7] からのご購入や、ライセンス販売パートナーにお問い合わせいただくことが可能です。

※提供する機能に一部制限があり、詳しい機能の明細は参考資料 [8] にございます。

６．Purview によるコントロールの実践

Purview 展開に向けた情報について、Purview の早期導入に向けた展開支援機能やサービスを、次のページより、ご紹介します。それは、3 つの方法、「方法 1 – コンプライアンス管理画面より設定」「方法 2 – 高度な展開ガイドと支援」「方法 3 – FastTrack 支援」です。さらに学習コンテンツについてご紹介します。

方法 1 – コンプライアンス管理画面 (従来型) です。Microsoft 365 管理センターより、「コンプライアンス」を選択すると、次の画面で、3 つのコントール（情報保護、データ損失防止、内部リスク管理）を設定可能です。

方法 2 は、高度な展開ガイドと支援です。Microsoft 365 の管理者メニューのトップ画面に「高度な展開ガイドと支援」があります。こちらは、Microsoft 365 で提供するほぼ全ての機能をガイドし、進捗状況も確認できるものとなっています。セルフサービスで展開可能となるよう対話型で提供しています。

方法 3 は、FastTrackによる支援です。FastTrack は、対象製品 150 シート以上のライセンスをお持ちのお客様は専用の FastTrack ポータル [9] からリクエストが可能です。リクエストをいただきましたら、FastTrack から Microsoft 365 にオンボーディング方法に関するガイダンスを、専門のスペシャリストがオンライン形式で支援します。ご支援のサービス対象はテクニカルディスカッション、ガイダンスの資料や公開情報の提供です

７．Purview のラーニングについて

最後に Purview 学習コンテンツについてご紹介します。Purview は多くの機能を有し、多くの情報を発信しています。全体をコンパクトに学びたいという方にお勧めの方法をお知らせしたいと思います。認定資格試験 SC-400 [10] では学習のための情報がコンパクトに集まっています。このサイトでは e-Learning が無償で提供されていますので、効率的に学習していただくことが可能です。また e-Learningを通じて、Purview について興味を持っていただいた方は認定試験 (有償) で認定バッジを取得いただくことが可能です。

８．まとめと公開済みの録画について

内部統制としての予防コントロール、防止コントロール、発見コントロールは、Purview の Information Protection / Data Loss Prevention / Insider Risk Management により実践可能です。また、Purview の機能の導入に向けての支援機能やサービスを後半でご紹介しました。これまで Purview 関連のセミナーを実施し、現在公開中の Webinar 録画 [11]をご案内します。皆様の情報資産の保護に活用できましたら幸いに思います。

参考リンク

[ 1 ] Risk Management Framework for Information Systems and Organization
　　 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r2.pdf

[ 2 ] 情報セキュリティ 10 大脅威 2023
　　https://www.ipa.go.jp/security/10threats/10threats2023.html

[ 3 ] GDPR https://eur-lex.europa.eu/eli/reg/2016/679/oj

[ 4 ] CPRA https://oag.ca.gov/privacy/ccpa
　　カリフォルニア州司法長官事務所のウェブサイトで、CPRA の法律全文や関連資料を閲覧できます。

[ 5 ] NISP SP800-171
　　https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final

[ 6 ] HIPPA
　　https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html

[ 7 ] Microsoft 365 E5 / E5 Compliance 公式ページ
　　Microsoft 365 E5 | Advanced Security 365 | Microsoft
　　Microsoft 365 E5 Compliance | Microsoft Security

[ 8 ] Microsoft 365 ライセンス
　　一般法人用 Modern Work Plan Comparison – Enterprise.pdf
　　教育機関用 Modern Work Plan Comparison – Education.pdf

[ 9 ] FastTrack ポータル https://www.microsoft.com/ja-jp/fasttrack

[ 10 ] 試験 SC-400: Microsoft 情報保護管理者 – Certifications
　　https://learn.microsoft.com/ja-jp/certifications/exams/sc-400

[ 11 ] Purview セミナー Webinar オンデマンド動画（全３パート）
　　Microsoft Purview 管理者向けセミナー (L200) 情報保護(IP) / 損失防止(DLP) / 内部リスク管理(IRM) パート① リスク状況とMicrosoftの対応
　　 Microsoft Purview 管理者向けセミナー (L200) 情報保護(IP) / 損失防止(DLP) / 内部リスク管理(IRM) パート② 情報保護(IP)の設定・展開ガイド
　　 Microsoft Purview 管理者向けセミナー (L200) 情報保護(IP) / 損失防止(DLP) / 内部リスク管理(IRM) パート③ 損失防止(DLP)、内部リスク管理(IRM)の設定・展開ガイド

********************************************************************************

お知らせ

医療機関様向けの Microsoft 365 を活用した新しい働き方をご紹介するウェビナーが公開されました。第二回医療機関向け Webinar 院内業務のデジタル化 (microsoft.com)
本ウェビナーでは、院内で行われる日々の業務をどのようにデジタル化し、効率化できるのかについてご紹介します。院内業務を例に、デジタル上で実現出来る実際の画面をご覧いただけます。院内業務シナリオは以下 3 つです。

リアルタイムな病床の使用状況管理
院内ヒヤリハット事例の一元化
アンケートの配布、集計でペーパーレス化

このセミナーを通じて、デジタル上で実現できる院内業務がどのように効率化できるのかイメージできましたら幸いでございます。ウェビナーでご紹介するシナリオ以外にも、効率化できる院内業務シナリオは多岐にあるかと存じます。ご視聴いただく皆さんの実業務において、どのようにデジタル化し効率化できるのかを考える際の一助となれば幸いです。

【こんな方におススメ】

・普段の院内業務を効率化したいと考えている医師、看護師の方
・医師/看護師の働き方改善に取り組まれている方
・病院の DX を推進されている方

************************************************************************************