%201.svg){kind=logo}
クラウドコンプライアンスやセキュリティの専門家でなくとも、米国における主要な医療プライバシー規制であるHIPAAをご存知の方も多いでしょう。米国で医療サービスを受けたことのある方なら、ほぼ全員がHIPAAの存在と、その概要を理解されています。
しかしながら、クラウドやコンテナベースの現代的な環境においてHIPAA準拠を達成することは、経験豊富な開発者やITチームにとっても依然として課題です。HIPAAが制定されてから20年以上が経過しているにもかかわらず、あるいはそのために、クラウドやコンテナを介して管理する医療データのプライバシーを組織がどのように確保すべきかについて、具体的なガイドラインはほとんど提供されていません。しかし、コンテナやクラウドを利用する場合、企業が満たさなければならない様々な高レベルのセキュリティおよびコンプライアンス要件を課しています。
本記事では、現代のクラウドネイティブコンピューティング環境における複雑なHIPAA対応の道筋を示すため、HIPAAの概要と、クラウドおよびコンテナ環境でHIPAA準拠を確保するためのベストプラクティスについて解説いたします。
後述するように、HIPAAの技術要件には曖昧な点があるため、クラウド環境やコンテナ環境の設計・構成方法について厳密なルールは存在しません。しかしながら、現代のクラウドネイティブ環境のほとんどにおいて、HIPAAのセキュリティおよびプライバシー基準を確実に適用するコンプライアンス戦略を策定することは十分に可能です。
HIPAAとは?
医療保険の携行性と責任に関する法律(HIPAA)は、機密性の高い医療データのプライバシー保護を目的とした米国連邦法です。企業に対し、医療に関連する個人データのプライバシー保護を義務付けています。
HIPAAは1996年に施行されましたが、その後、当初のHIPAA法に含まれていなかった義務事項を定義する追加の「規則」が導入され、何度か延長されてきました。ITチームや開発者にとって最も重要なHIPAA規則は、2003年に施行されたプライバシー規則です。この規則では、組織がHIPAAのデータプライバシー要件を満たすために保護すべき「個人健康情報(PHI)」の具体的な種類を定義しています。
PHI(および電子化されたPHI、すなわちePHI。これはデジタル形式で保存されるPHIを指す際に最も頻繁に使用される用語です)には、患者氏名や住所、IPアドレス、口座番号、そして(特に重要な点として)「その他の一意の識別番号、特性、またはコード」といったデータが含まれます。後者の定義は、HIPAAのプライバシー保護が広範に適用されることを示唆しています。具体的には、ユーザーエージェント文字列、閲覧履歴データ、ログエントリなど、個々のユーザーと関連付けられる可能性のあるあらゆる種類のデジタルデータが対象となります。
HIPAAはどの組織に適用されますか?
HIPAAがどの組織に適用されるかを判断することは複雑な問題です。HIPAAは、対象となる事業体の明確な定義が不足している点や、個人健康情報(PHI)を扱う場合、どの媒体(電子媒体、口頭、紙媒体)がHIPAA規制の対象となるかについて、批判を受けています。特に、別の組織が収集した医療データにアクセスする可能性のある提携組織やベンダーが関与する状況では、HIPAAの適用範囲を判断することはさらに複雑になります。
この曖昧さもあるため、HIPAAの影響範囲は非常に広範であると解釈することがベストプラクティスです。貴社が保管または処理するデータが、合理的にPHIを構成すると解釈され得る場合は、HIPAAが適用されると仮定する方が無難です。たとえ御社が医療業界に属していない場合や、収集・管理するデータの目的が医療と明示的に関連していない場合でも、HIPAAを無視した結果、規制当局から適用対象と認定され、非準拠による罰金を科される事態を避けるためにも、HIPAA準拠を実施されることをお勧めいたします。
なお、HIPAAは米国法であり、技術的には米国外の組織には適用されませんが、連邦政府は、米国に本拠を置く組織が米国外にデータを保管する場合でも、HIPAA規制は引き続き有効であると明言しております。
HIPAA違反のコストとは?
HIPAA違反に対する罰金は、違反件数ごとに100ドルから最大5万ドルまで幅広く設定されています。年間の上限罰金額は150万ドルですが、規制当局は複数年にわたる罰金を科す場合があります。
HIPAA違反により多額の罰金を科された事例は数多く存在します。これまでの最高額は、2018年にAnthem社に対して課された1,600万ドルです。
クラウド環境におけるHIPAA準拠のベストプラクティス
繰り返しになりますが、HIPAAは1990年代に制定され、主要な枠組みの拡張の大半は2000年代初頭にさかのぼります。したがってHIPAAはクラウドコンピューティングが普及する以前に制定されたものであり、クラウドベース環境での準拠達成に向けた具体的な技術的ガイダンスは事実上提供されていません。連邦政府はクラウド環境におけるHIPAA準拠達成のための高水準ガイドラインを提供していますが、これらは主にクラウドプロバイダーがHIPAA対象の個人健康情報(PHI)を管理する役割の解釈に焦点を当てており、HIPAA準拠のためにクラウドサービスを具体的にどのように構成し保護すべきかを詳細に規定しているわけではありません。
しかしながら、企業がHIPAAの義務を遵守するための様々なベストプラクティスが確立されてきました。現代のクラウド環境において考慮すべき最も重要な事項は以下の通りです。
HIPAA準拠のクラウドをご利用ください
まず第一に、組織はHIPAAに準拠したパブリッククラウドプロバイダーを利用していることを確認すべきです。現在、主要なパブリッククラウドは概ねHIPAAに準拠していますが、ご利用になる特定のクラウドサービスがHIPAAに準拠していることを必ずご確認ください。
仮想マシン(VM)やストレージといった基本的なクラウドサービスはHIPAA準拠であることが期待できます。しかし、より特殊なサービスや複雑なハイブリッドアーキテクチャを伴うサービスについては、完全なHIPAA準拠が保証されない場合があります(特に、セキュリティ責任の大部分が顧客側に帰属するハイブリッドクラウド環境ではその傾向が強まります)。
ただし、クラウドプロバイダーのHIPAA準拠度合いにかかわらず、クラウドの責任分担モデルにより、クラウドに展開するデータやアプリケーションの準拠確保は顧客側の責任となります。多くの場合、クラウドプロバイダーは基盤となるクラウドインフラのHIPAA準拠のみを保証しており、クラウド上で実行するワークロードが自動的に準拠するとは保証(あるいは示唆)しておりません。
適切なクラウドリージョンの選択
HIPAAは米国外のクラウドサーバーへのPHI保存を禁止していませんが、連邦政府はガイダンスを発行し、企業が「ハッキングやその他のマルウェア攻撃の試みが増加していることが記録されている」地理的場所にデータを保存する場合、これらのリスクに対処する措置を講じる必要があると示唆しています。
このガイダンスでは、具体的にどの地域が該当するかは明記されていません。とはいえ、HIPAA準拠の観点から最もシンプルなアプローチは、米国に拠点を置くクラウドリージョンにデータを保存することです。
クラウドアクセス制御の活用
クラウド上のPHIを保護するための重要なベストプラクティスは、クラウドのIAMツールなどのアクセス制御フレームワークを活用し、データにアクセスできるユーザーやアプリケーションを制限することです。
クラウド上のPHIを匿名化する
データの匿名化は、HIPAAプライバシーリスクを軽減するもう一つの有用な手法です。匿名化はプライバシーリスクを完全に排除するものではありません。名目上匿名化されたデータも場合によっては再識別化される可能性があるためです。それでも、クラウドデータの匿名化は一部のHIPAAリスクを軽減します。
クラウドデータライフサイクル管理とバージョン管理を活用する
ほとんどのクラウドプロバイダーは、指定したルールに基づいてデータを自動的に削除できるデータライフサイクル管理ツールを提供しています。クラウドに保存するPHIの量を制限するため、特定の期間経過後にデータを削除するライフサイクル管理のご利用をご検討ください。
一部のクラウドストレージサービスでは、データバージョン管理の設定も可能です。これはコンプライアンスの観点から有用であり、何らかの理由でPHIが破損した場合に、以前のデータバージョンへ容易に復元できるためです。
HIPAAコンテナ準拠
アプリケーションのデプロイにコンテナをご利用の場合、HIPAA準拠を達成するための追加的なベストプラクティスをご検討いただくことをお勧めいたします。
コンテナイメージのスキャン
コンテナイメージのスキャンは、コンテナイメージ内部のマルウェアや脆弱性を検出するのに役立ちます。攻撃者はこれらを利用して、コンテナ化された環境内に存在する可能性のあるPHIデータへの不正アクセスを試みる恐れがあります。
コンテナ向けRBACツールのご利用
クラウド IAM ツールはクラウドコンテナサービスへのアクセス制御を制限できますが、セキュリティコンテキスト などのコンテナ専用 RBAC ツールほど詳細かつ拡張性には優れておりません。コンテナ環境への追加セキュリティ保護を適用するため、利用可能な場合は後者のリソースをご活用ください。
監査ログ
Kubernetes 環境では、監査ログにより侵害の通知が可能です。監査ログは、セキュリティ要件への準拠を証明するのにも役立ちます。これは特定のHIPAA準拠目的において有用となる可能性があります。監査ログデータを定期的に、あるいは継続的に収集・分析してください。
コンテナデータの保護
場合によっては、コンテナ環境内のPHI(個人健康情報)が複数の場所に存在することがあります。PHIは、収集または処理を行うコンテナ内部で生成されるものの、その後ストレージボリュームやホストファイルシステムに移動される可能性があります。また、PHIと定義されたデータがログ内に残る可能性もあります。ログもコンテナ内で生成される場合がありますが、ログアグリゲーターによって外部へ移動されることがあります。
つまり、特にコンテナ化された環境では、ストレージアーキテクチャの複雑性を理解し、PHIがどこに保存されていても、暗号化とアクセス制御による保護を確実に行う必要があります。コンテナ内のPHIを保護してもデータボリュームの保護を怠ったり、その逆の事態は避けなければなりません。
まとめ
HIPAA準拠は、特にクラウド時代において複雑な課題です。規制当局は、クラウドネイティブ環境でHIPAA原則を実践に移す方法について、多くの解釈の余地を残しています。
しかし、朗報として、HIPAAは十分な歴史を有しているため、クラウドおよびコンテナ環境におけるコンプライアンス達成に向けたベストプラクティスが数多く確立されています。規制当局がクラウド環境での具体的な達成方法を明示しない場合でも、HIPAAが保護するデータの種類と、クラウドおよびコンテナベース環境内でそのデータを最も安全に管理する方法を理解すれば、基本的なベストプラクティスは十分に明確です。