言葉を交わす 2 人の女性医師

医療機関とマイクロソフトのビジネス クラウド サービス

マイクロソフトのビジネス クラウド サービスにおいて保護された医療情報のセキュリティ、コンプライアンス、プライバシー

マイクロソフトは、お客様が当社のクラウド サービスを利用される際、お客様の最も大切な資産である、かけがえのないデータを預けていることを理解しています。

臨床用のアプリケーションや、保護医療情報 (PHI) (患者の人口統計や診療情報など) を含むデータセットをパブリック クラウドへ移行させるにあたり、信頼性は欠かせない要素となります。医療機関のエコシステム全般でデータを共有し、医療従事者と患者が機密情報にアクセスできる手段と場所を拡大する場合も、信頼性は非常に重要です。

そのため、クラウドへの移行のどの段階においても、信頼できるサービス プロバイダーとの連携は不可欠です。機密情報が保護され、その取り扱いと管理が安全かつ規制や法規に準拠して行われ、プライバシーが保護されていることをユーザーは信じる必要があります。

Microsoft の包括的アプローチは、セキュリティへの多層防御アプローチの採用、ビジネス クラウド サービスに対する HIPAA Business Associate Agreement (BAA) などの適用規制要件への準拠、PHI その他のデータのプライバシー保護に対するサポートなどにより、この「信頼」を築くよう設計されています。

Azure で HIPAA/HITRUST ソリューションのデプロイメントを加速させる

「Azure のセキュリティとコンプライアンスのブループリント - HIPAA/HITRUST のヘルス データと AI」によって、ヘルス データ ソリューションにクラウドのメリットを活用する点で一歩リードしましょう。このブループリントには、HIPAA/HITRUST ソリューションの構築を今すぐ始めるためのツールとガイダンスが用意されています。

Azure HIPAA/HITRUST ブループリントを使い始める

Office 365 は HITRUST CSF 認定を取得

Office 365 は Health Information Trust (HITRUST) Alliance から HITRUST 認定を取得しました。これは米国のヘルスケア業界で広く採用されているセキュリティおよびリスク管理のフレームワークです。HITRUST Common Security Framework (CSF) により、規範的かつスケーラブルなセキュリティ制御から構成される総合的で柔軟性に富むフレームワークを介し、組織はセキュリティやリスク管理の懸念事項に対応できます。

ブログを読む

詳細情報

医療組織は、データ漏洩やサイバー攻撃の被害に遭遇する可能性があります。悪意を持つ者は、医療機関のネットワークだけでなく、キャッシュ レジスタなどの POS デバイスやペースメーカーなどの医療デバイス、仮想医療サービスを提供する医療アプリ、そして急速に普及する医療用および個人用のモバイル デバイスも標的にしています。Verizon による 2015 年のによれば、さまざまな規模の 1,400 もの医療機関が PHI データ漏洩の被害に遭遇し、漏洩した医療レコード件数は 1 億 5,700 万件にも上りました。被害の原因は、犯罪行為のみでなく、一部の医療従事者による不適切なデータの保護および使用方法にもありました。

マイクロソフトのビジネス クラウド サービスおよびマイクロソフト プロフェッショナル サービスは、お客様のデータと、そのデータにアクセスするあらゆるデバイスの高い安全性を実現するよう設計、開発、運営されています。マイクロソフトのセキュリティ戦略を貫く原則は、当社システムの侵害を想定すること、そしてあらゆる侵害に関して、検知までに要する時間を短縮することです。マイクロソフトのグローバル インシデント対応チームが 24 時間体制で Microsoft Cloud への攻撃による影響を緩和できるよう努めています。

マイクロソフトのシステムおよびソフトウェアは、テクノロジ ポートフォリオと強力なセキュリティ コントロールによりお客様のデータを保護し、新たなサイバー脅威に対する組織の対抗、モバイル ワーカーの管理、政府機関の規制への準拠をサポートします。

クラウドにおける悪意のあるソフトウェアとサイバー攻撃のいずれに対しても、マイクロソフトはプロアクティブに防御します。

Microsoft Antimalware などの最新のスパム対策技術により、スパムやウイルス、その他の悪意のあるソフトウェアを、既知のものと未知のもののいずれも識別して除去することができます。マイクロソフトがサーバーやネットワーク、アプリケーションを監視し、侵入を検知して攻撃を防止します。また、継続的に防御機能を強化します。攻撃が実行された際はシステムが稼働し、ネットワークの防御と早期復旧を同時に実施します。

マイクロソフトがマルウェアや攻撃からデータを保護する方法の詳細情報

マイクロソフトが組織による ID およびアクセス権の管理をサポートします。

データがローカル サーバーやパブリック クラウド、または携帯デバイスのどこにある場合も、ネットワークにアクセスするユーザーの ID を確認し、データへのアクセスを制御して、PHI データの参照は承認されたユーザーのみに限定することができます。

マイクロソフトがユーザーの資格情報とアクセスを保護する方法の詳細を表示

マイクロソフトは暗号化を活用してデータを保護します。

データ暗号化を適用することで、暗号化解除キーを持つ人物以外はデータを読むことができなくなります。マイクロソフトは業界標準の安全なトランスポート プロトコルを使用して、デバイスとマイクロソフトのデータセンター間で転送されるデータや、データセンター内で転送されるデータを暗号化します。マイクロソフトは、保存データを保護するために、多種多様な暗号化機能を標準装備として提供しています。

マイクロソフトが暗号化によりデータを保護する方法の詳細情報

マイクロソフトのビジネス製品およびクラウド サービスに対しては、独立した外部監査機関により、ISO/IEC 27001ISO/IEC 27018 など、業界の基準に基づいた監査が実施されています。さらに、マイクロソフトは HIPAA、HITECH Act、Minimum Acceptable Risk Standards for Exchanges (MARS-E) をサポートしています。

HIPAA と HITECH Act

HIPAA と HITECH Act は、個人を特定できる医療情報の使用、開示、および保護に関する要件を定めた米国の保健医療法です。これらの法律は医療組織に、患者の PHI へのアクセスと処理を行うマイクロソフトなどのサービス プロバイダーとの契約の締結を義務づけています。これらの契約、または Business Associate Agreements (BBA) では、クラウド サービスが PHI をどのように扱うかを明確化し、また制限しており、これらの法律で定められているセキュリティ規定とプライバシー規定をそれぞれの関係者が順守することが明記されています。

マイクロソフトは HIPAA が義務づける物理的、技術的、および管理上の保護策を実施し、ビジネス アソシエートとしての役割を務め、また PHI の侵害が発生した場合には個人と政府に通知することを義務づけた HITECH Act に準拠しています。現時点ではこれらの法律への準拠を証明する正式な認定はありませんが、BAA の対象であるマイクロソフトのサービスは、公認の独立第三者機関による監査が実施されています。たとえば、マイクロソフトの ISO/IEC 27001 監査対象には、HIPAA のセキュリティ施策に対応する統制が含まれます。

Microsoft HIPAA BAA の下、当社は規制要件に準拠したサービスを、他のあらゆるクラウド プロバイダーよりも多く提供しています。Microsoft Azure、Microsoft Dynamics 365、Microsoft Intune、Microsoft Office 365、Microsoft Power BI を通じ、生産性とコラボレーション、患者との関係管理、分析、アプリケーション ホスティング、データ ストレージ、アプリケーションおよびデバイス管理が網羅された、包括的統合ソリューションをマイクロソフトは提供しています。

お客様はマイクロソフトのサービスの特定の使用に関して、HIPAA および HITECH Act との整合を確認する責任を負いますが、マイクロソフトは BAA の提供において、お客様の HIPAA 準拠をサポートしています。そのためマイクロソフトでは、AzureDynamics 365 と Office 365 を対象とした『HIPAA/HITECH Act 履行ガイダンス』や、『Microsoft Azure を使用してセキュアな医療ソリューションを設計するための実践ガイド』などのリソースを提供しています。

Minimum Acceptable Risk Standards for Exchanges (MARS-E)

Center for Medicare and Medicaid Services (CMS) が発行した Minimum Acceptable Risk Standards for Exchanges (MARS-E) には、保護データの健康保険マーケットプレースにおける機密性、整合性、可用性に対応するフレームワークが含まれています。MARS-E 2.0 フレームワークは、保護データのセキュリティを目的とした情報を提供し、米国の Affordable Care Act が管理するすべての組織や団体 (健康保険マーケットプレースを含む) に適用されます。

現時点では MARS-E への正式な承認や認定のプロセスはありませんが、Azure Platform のサービスは独立機関による FedRAMP 監査の対象になっており、その標準を満たしていることが認定されています。これらは MARS-E に焦点を合わせた規格ではありませんが、MARS-E の統制の要件と目標は、これらの規格と一致しており、Azure がデータの機密性、整合性、可用性を適切に保護することを保証しています。

マイクロソフトの実績のあるプライバシーに対する取り組みは、マイクロソフトのプライバシー基準および マイクロソフト セキュリティ開発ライフサイクルに基づいています。第三者監査機関および認定により、マイクロソフトの厳格な技術開発の標準は認証されており、プライバシーとデータ保護が体系的に実施されていることが証明されています。たとえば、マイクロソフトは、クラウドのプライバシーに関する世界初の国際実施基準である ISO/IEC 27018 を採用した初めての主要クラウド プロバイダーです。また、これらの保護は、強固な契約上の責任で裏付けされています。

お客様のデータの収集、使用、配布に関する最終的な管理権限はお客様に帰属します。

  • マイクロソフトは、お客様の顧客のデータを使用して、合意されたサービスを提供するだけです。お客様のデータをマーケティングの目的でスキャンしたり、第三者に販売するための製品として扱ったりしません。
  • お客様は、地球上のどのデータセンターにお客様の顧客のデータが保存されているかを把握できます。また、誰がどんな環境下でそれにアクセスできるかと、それがどのように責任を持って保護、転送、削除されているかを把握できます。
  • 共有された物理的場所に多数のお客様のデータが格納される場合、マイクロソフトはそれぞれのお客様のクラウド サービス データを論理的に分離します。

マイクロソフトによるデータのプライバシーを保護する方法の詳細情報

推奨リソース