1. 海外事例に学ぶ
クラウド／ビッグデータ利活用と
プライバシー／情報セキュリティ
December 12, 2013
Eiji Sasahara, Ph.D., MBA, BA
Cloud Security Alliance
Japan Chapter
(c) 2013 Cloud Security Alliance
1

2. AGENDA
1.最近の米国ヘルスケア分野の事例
2.米国ヘルスケア分野のプライバシー／
情報セキュリティ関連法規制
3. ビッグデータとプライバシー／
情報セキュリティ
～ビジネスモデル創出の視点から～
(c) 2013 Cloud Security Alliance
2

3. 1.最近の米国ヘルスケア分野の事例①
米国食品医薬品局（FDA）の遺伝子検査キットに対する警告
文書「23andMe, Inc. 11/22/13」
（http://www.fda.gov/ICECI/EnforcementActions/WarningLetters/2013/ucm376296.htm）
The Food and Drug Administration (FDA) is sending you this letter because you are
marketing the 23andMe Saliva Collection Kit and Personal Genome Service (PGS)
without marketing clearance or approval in violation of the Federal Food, Drug and
Cosmetic Act (the FD&C Act).
This product is a device within the meaning of section 201(h) of the FD&C Act, 21
U.S.C. 321(h), because it is intended for use in the diagnosis of disease or other
conditions or in the cure, mitigation, treatment, or prevention of disease, or is intended
to affect the structure or function of the body. For example, your company’s website at
www.23andme.com/health (most recently viewed on November 6, 2013) markets the
PGS for providing “health reports on 254 diseases and conditions,” including
categories such as “carrier status,” “health risks,” and “drug response,” and specifically
as a “first step in prevention” that enables users to “take steps toward mitigating
serious diseases” such as diabetes, coronary heart disease, and breast cancer. Most
of the intended uses for PGS listed on your website, a list that has grown over time,
are medical device uses under section 201(h) of the FD&C Act. Most of these uses
have not been classified and thus require premarket approval or de novo classification,
as FDA has explained to you on numerous occasions.
(c) 2013 Cloud Security Alliance
3

4. 1.最近の米国ヘルスケア分野の事例②
米国University of Washington Medicine
「UW Medicine Notice of Computer Security Breach」
（http://www.uwmedicine.org/Global/News/Announcements/2013/Pages/UWMedicine-Notice-ofComputer-Security-Breach.aspx）
In early October 2013, a UW Medicine employee opened an email attachment that
contained malicious software (malware). The malware took control of the computer,
which had patient data stored on it. UW Medicine staff discovered this incident the
following day and immediately took measures to prevent any further malicious activity.
Based on the results of an internal investigation, it is believed that patient information
was not sought or targeted. However, the malware accessed the data files of roughly
90,000 Harborview Medical Center and University of Washington Medical Center
patients.
The incident was referred to the FBI, and patients may be contacted by the FBI as part
of its investigation. UW Medicine has also implemented a review, training and
outreach effort as a result of this incident.
Data about patients may have included: name, medical record number, other
demographics (which may include address, phone number), dates of service, charge
amounts for services received at UW Medicine, Social Security Number or HIC
(Medicare) number, date of birth.
(c) 2013 Cloud Security Alliance
4

5. 2.米国ヘルスケア分野の
プライバシー／情報セキュリティ関連法規制
CSAセキュリティガイドライン類のヘルスケア分野への適用
米国：健康医療固有の法規制＋パブリックセクターの
セキュリティ要件＋サイバーセキュリティ要件
CSA Cloud Controls Matrix (CCM)
（https://cloudsecurityalliance.org/research/ccm/）
健康医療分野のクラウドセキュリティの
健康医療分野のクラウドセキュリティの視点
監査への対応:リスク
例．-HIPAA／HITECH監査への対応 リスク評価
／
監査への対応 リスク評価
（http://www.hhs.gov/ocr/privacy/）
）
パブリックセクターのクラウドセキュリティの
パブリックセクターのクラウドセキュリティの視点
例．Federal Risk and Authorization Management Program (FedRAMP)
（http://www.fedramp.gov/）
）
ホームランドセキュリティ／重要情報インフラの
ホームランドセキュリティ／重要情報インフラの視点
インフラ
例．Federal Information Security Management Act（FISMA）
（
）
(c) 2013 Cloud Security Alliance
（http://csrc.nist.gov/groups/SMA/fisma/index.html）
）
5

6. 2.米国ヘルスケア分野の
プライバシー／情報セキュリティ関連法規制
米国HIPAA／HITECH総括的規則の沿革（1）
1996年にHIPAA（Health Insurance Portability and
Accountability Act of 1996；医療保険の携行性と責任に
関する法律）が制定。
HIPAAにより、米国HHS（保健社会福祉省）は健康情報
に関するプライバシールール及びセキュリティルールを
策定
（参考）HIPAA／HITECHの民事制裁金
知らなかった場合：100ドル～5万ドル
合理的な理由がある場合：1,000ドル～5万ドル
故意に怠り、修正した場合：1万ドル～5万ドル
故意に怠り、修正しなかった場合：5万ドル
(c) 2013 Cloud Security Alliance
6

7. 2.米国ヘルスケア分野の
プライバシー／情報セキュリティ関連法規制
米国HIPAA／HITECH総括的規則の沿革（2）
オバマ政権下での動き
年月日
内容
2009年8月24日
HITECH法（Health Information Technology for Economic and Clinical Health Act
of 2009） 暫定的最終規則（IFR：Interim Final Rule）（データ漏えい）
2009年10月7日
遺伝子情報差別禁止法（GINA：Genetic Information Nondiscrimination Act of
2008） 規則制定案告示（NPRM）（GINA規則）
2009年10月30日
HITECH法 暫定的最終規則（IFR）（執行）
2010年7月14日
HITECH法 規則制定案告示（NPRM：Notice of Proposed Rulemaking）（
HITECH規則）
2013年1月25日
HIPAA総括規則（データ漏えい、執行、HITECH規則、GINA規則）公表
2013年3月26日
HIPAA総括規則（データ漏えい、執行、HITECH規則、GINA規則）施行
2013年9月23日
適用対象主体および事業提携者（BA：Business Associates）の遵守義務開始
(c) 2013 Cloud Security Alliance
7

8. 2.米国ヘルスケア分野の
プライバシー／情報セキュリティ関連法規制
米国HIPAA／HITECH総括的規則のスコープ
漏えい発生時の通知基準の改正
電子健康記録（EHR）に含まれる情報に対する患者のアクセス
事業提携者（ ：
下請け
事業提携者（BA：Business Associates）および下請け事業者に対する規制
）および下請 事業者に する規制
許諾のないマーケティングにおける保護対象保健情報（PHI：Protected Health
Information）の利用／開示の制限
許諾のない保護対象保健情報（PHI）の販売の禁止
データの研究利用 複合的、より一般的
一般的な
データの研究利用 - 複合的、より一般的な許諾
患者が保険者とのデータ共有を制限する権利
プライバシーの取り扱いの通知を修正／再配布するための要件
契約査定のための遺伝子情報利用に する制限の
契約査定のための遺伝子情報利用に対する制限の包含
のための遺伝子情報利用
制限
民事制裁金（CMP：Civil Money Penalty）の執行／賦課および代理人行為の民事制裁金
負債における保健社会福祉省（HHS：Department of Health and Human Services）長
官の役割の明確化
(c) 2013 Cloud Security Alliance
8

9. 2.米国ヘルスケア分野の
プライバシー／情報セキュリティ関連法規制
米国HIPAA／HITECH総括的規則と事業提携者（BA）
事業提携者（ ：
事業提携者（BA：Business Associates）＝適用主体に代わって、保護対象保健情報
）
（PHI：Protected Health Information）を生成、収集、維持、交換する者
事業提携者（BA）に代わって保護対象保健情報（PHI）を生成、収集、維持、交換する、事業提携者
（BA）の下請け事業者も該当する
事業提携者（BA）としての位置づけは、契約上の相手関係ではなく、役割や責任に基づく
事業提携者（BA）と下請け事業者の関係
適用主体と事業提携者（BA）との間の契約：事業提携者（BA）の下請け事業者は、事業提携契約
書（BAA：Business Associate Agreement）の要件を満たすことが必要
下請け事業者の下請けも、事業提携者（BA）に該当する
結果として、事業提携者（BA）に適用される
事業提携者（ ） 適用される
されるHIPAA／HITECHの義務は、下請け事業者にも直接
にも直接
事業提携者
／
の義務は 下請け事業者にも
適用される
適用される
HITECHの影響
HITECH施行前：事業提携者（BA）は、事業提携契約書（BAA）の遵守が求められる
HITECH施行後：事業提携者（BA）および下請け事業者は直接
施行後：事業提携者（ ）および下請 事業者は直接HIPAAの遵守が求められる
下請け
施行後
の遵守が
(c) 2013 Cloud Security Alliance
9

10. 2.米国ヘルスケア分野の
プライバシー／情報セキュリティ関連法規制
保護対象保健情報（PHI）の研究利用
研究
研究者は、HIPAAおよび共通規則の変更によって、研究目的のデータ利用への道が緩
和されると考えていた
共通規則の行政立法事前通知（ANPRM：Advance Notice of Proposed Rulemaking）
は2011年7月に公表
総括的規則には、いくつかの条項が含まれる：
研究目的の保護対象保健情報（PHI）の移転に対する報酬は認められる（費用に基
づく合理的な料金である必要がある）
複合的な許諾は
複合的な許諾は認められる
許諾は 研究に特化したものである必要はない：将来の研究利用の記述が
許諾は、研究に特化したものである必要はない：将来の研究利用の記述が十分明
したものである必要はない
であり、このような将来 研究のために 個人の保護対象保健情報（
将来の
のために、
確であり、このような将来の研究のために、個人の保護対象保健情報（PHI）が利用
）
開示されることが合理的であると えられる限 将来の研究に する許諾
されることが合理的であると考
許諾は
／開示されることが合理的であると考えられる限り、将来の研究に対する許諾は可
能である
(c) 2013 Cloud Security Alliance
10

11. 2.米国ヘルスケア分野の
プライバシー／情報セキュリティ関連法規制
遺伝子情報ーGINA
医療保険および雇用における遺伝子による差別を禁止
規則においては、以下のような手順で、遺伝子情報差別禁止法（GINA：Genetic
Information Nondiscrimination Act of 2008）を導入する：
遺伝子情報（
により定義
宣言する
遺伝子情報（GINAにより定義）が 保護対象保健情報（PHI）であることを宣言する
により定義） 保護対象保健情報（
）であることを宣言
HIPAAの適用対象となるほとんどの医療保険者に対し、引き受けのために遺伝子情報
である保護対象保健情報（PHI）の利用／開示を禁じる
保険者は、受益者に対し、NPPにおけるこの制限を告知することが求められる
長期医療保険者に関しては例外があり、遺伝子情報を引き受けに利用することができる
(c) 2013 Cloud Security Alliance
11

12. 3.ビッグデータとプライバシー／情報セキュリティ
～ビジネスモデル創出の視点から～
• 2012年11月：Cloud Security Alliance Big Data Working
年 月
Groupが、ビッグデータのセキュリティ／プライバシーにおけ
る技術的／組織的問題10項目をまとめた「Top 10 Big Data
Security and Privacy Challenges」を公表
•
•
•
•
•
•
•
•
•
•
1. 分散プログラミングフレームワークにおけるセキュアな計算処理
2. ノンリレーショナルデータストアのセキュリティのベストプラクティス
3. セキュアなデータ保存とトランザクションのログ
4. エンドポイントの入力の検証／フィルタリング
5. リアルタイムのセキュリティ／コンプライアンスモニタリング
6. 拡張性があり構成可能なプライバシー保護データマイニング／分析
7. 暗号化により強制されたアクセス制御とセキュアな通信
8. 詳細なアクセス制御
9． 詳細な監査
10. データ来歴
(c) 2013 Cloud Security Alliance
12

13. 3.ビッグデータとプライバシー／情報セキュリティ
～ビジネスモデル創出の視点から～
• 「Top 10 Big Data Security and Privacy Challenges」
項目
1. 分散プログラミ
ングフレームワーク
におけるセキュアな
計算処理
2. ノンリレーショナ
ルデータストアのセ
キュリティのベスト
プラクティス
内容
分散プログラミングフレームワークでは、大容量データを計算して保存するために並
列処理を利用する。典型的な例はMapReduceフレームワークであり、入力ファイルを
複数のチャンク（かたまり）に分割する。MapReduceの最初のフェーズでは、個々の
チャンクのMapperがデータを読み込み、一定の計算処理を行って、キーと値のペア
のリストを出力する。次のフェーズでは、Reducerが個々の鍵に附属する値を結びつ
けて、結果を出力する。主な攻撃防止手段としては、Mapperのセキュア化と、信頼で
きないMapperに存在するデータのセキュア化の2種類がある。
NoSQLによって普及したノンリレーショナルデータストアは、セキュリティインフラスト
ラクチャに関しては、まだ進化の途上にある。例えば、NoSQLインジェクション向け
の堅牢なソリューションは、未成熟である。個々のNoSQL DBは、分析の世界から提
示された異なる課題に取り組むよう構築されており、それゆえ設計段階のいかなる
時点においても、モデルの一部となることはなかった。NoSQLデータベースを利用す
る開発者は、通常、ミドルウェアにセキュリティを組み込んできた。NoSQLデータベー
スは、データベースの中で明確にそれを強制するためのサポートを提供していない
。しかしながら、NoSQLデータベースにおけるクラスタの観点は、このようなセキュリ
ティプラクティスの堅牢性に追加的な課題を示している。
(c) 2013 Cloud Security Alliance
13

14. 3.ビッグデータとプライバシー／情報セキュリティ
～ビジネスモデル創出の視点から～
• 「Top 10 Big Data Security and Privacy Challenges」
項目
3. セキュアなデータ
保存とトランザクショ
ンのログ
内容
データとトランザクションのログは、重層的なストレージメディアに保存される。手動
で各層間をデータ移動させることによって、ITマネージャーは、どのデータがいつ移
動されたかを介して、正確に直接コントロールすることができる。しかしながら、デー
タセットの容量は指数関数的に成長しており、今後も継続すると、拡張性と可用性の
ためにビッグデータストレージ管理の自動階層化が求められる。自動階層化ソリュ
ーションは、どこにデータが保存されるか、どれがセキュアなデータ保存の新たな脅
威となるかを追跡することはない。新たな機能として、権限のないアクセスを遮断し、
常時、可用性を維持することが必須となる。
4. エンドポイントの入 企業環境におけるビッグデータのユースケースの多くで、エンドポイントデバイスなど
力の検証／フィルタリ 様々なソースからのデータ収集が要求される。例えば、セキュリティ情報／イベント
管理システム（SIEM）は、企業ネットワーク上にある数百万のハードウェアデバイス
ング
やソフトウェアアプリケーションからイベントログを収集する可能性がある。データ収
集プロセスにおける重要な課題として、入力の検証がある。どのようにしてデータを
信頼することができるのか？ どのようにして入力データのソースが悪意のないこと
を検証でき、どのようにして収集物から悪意のある入力をフィルタリングすることがで
きるのか？ 検証とフィルタリングは、特に私物デバイスの業務利用（BYOD）時など
、信頼できない入力ソースにより引き起こされる手強い課題である。
(c) 2013 Cloud Security Alliance
14

15. 3.ビッグデータとプライバシー／情報セキュリティ
～ビジネスモデル創出の視点から～
• 「Top 10 Big Data Security and Privacy Challenges」
項目
5. リアルタイムのセ
キュリティ／コンプラ
イアンスモニタリング
6. 拡張性があり構成
可能なプライバシー
保護データマイニン
グ／分析
内容
（セキュリティ）デバイスによって数多くの警告が生成されるとすると、リアルタイムの
セキュリティモニタリングが常に問題となってきた。これらの警告は（相関関係の有
無に関わらず）大量の誤検知につながり、取り出した量を人間が処理できなくなると
、大抵無視されるか単にクリックされるだけになる。この問題は、データの流れの容
量や速度によっては、ビッグデータと共に増大する可能性がある。しかしながら、ビッ
グデータ技術は、これらの技術が、異なるタイプのデータの高速な処理・分析を可能
にするという意味で、機会をもたらす可能性もある。その出番になった時、例えば拡
張性のあるセキュリティ分析に基づいてリアルタイムの異常検知を提供するために
利用することが可能である。
ビッグデータは、潜在的にプライバシーの侵害、侵略的なマーケティング、市民の自
由の制限、国家や企業によるコントロールの増大を可能にする独裁者のトラブルの
兆候と見なされる可能性がある。最近、企業のマーケティングを目的としたデータ分
析の活用方法に関する分析により、どのようにして、当人の父親が知る前に十代の
若者が妊娠したことを小売事業者が確認することができるかが事例として示された。
同様に、ユーザーのプライバシーを保持するために、分析用データの匿名化だけで
は十分でない。例えばAOLは、学術目的で匿名化された検索ログを公表したが、そ
の検索者によって簡単にユーザーが特定された。Netflixは、同社の映像スコアを
IMDBのスコアで修正することによって匿名化されたデータセットのユーザーが特定
された時、同様の問題に直面した。このようなことから、意図しないプライバシーの公
開を防止するためのガイドラインや推奨を策定することが重要である。
(c) 2013 Cloud Security Alliance
15

16. 3.ビッグデータとプライバシー／情報セキュリティ
～ビジネスモデル創出の視点から～
• 「Top 10 Big Data Security and Privacy Challenges」
項目
7. 暗号化により強制
されたアクセス制御と
セキュアな通信
8. 詳細なアクセス制
御
内容
最も機微なプライバシーデータがエンドツーエンドでセキュアであり、権限を有する
主体だけがアクセスできることを保証するためには、データがアクセス制御ポリシー
に基づいて暗号化されている必要がある。属性ベース暗号（ABE）など、この分野に
特化した研究を一層充実した、効率的で拡張性のあるものにする必要がある。、分
散した主体間で認証や同意、忠実性を保証するためには、暗号化によるセキュアな
通信フレームワークが導入される必要がある。
アクセス制御の観点から問題となるセキュリティの特性は機密性であり、アクセスす
べきでない人によるデータへのアクセスを抑制することである。過程の細かいアクセ
スメカニズムの問題は、そうでなければ共有されたであろうデータが、雑音のセキュ
リティを保証するために、より厳格な分類へと排除されることがよくある点である。詳
細なアクセス制御によって、機密性に妥協することなく可能な限りデータを共有する
剣の代わりとなるメスがデータ管理者に付与される。
(c) 2013 Cloud Security Alliance
16

17. 3.ビッグデータとプライバシー／情報セキュリティ
～ビジネスモデル創出の視点から～
• 「Top 10 Big Data Security and Privacy Challenges」
項目
9. 詳細な監査
10.データ来歴
内容
リアルタイムのセキュリティモニタリングを利用して、我々は攻撃が起きた瞬間に通
知されるよう試みる。実際には、これがいつも当てはまるとは限らない（例．最新の
攻撃、本当は正しいのに見落とされた場合）。見落とされた攻撃の真相を究明する
ためには、我々は監査情報が必要である。これは、何が起きて、何を誤ったのかを
理解するためだけでなく、コンプライアンスや法規制、フォレンジックの理由からも重
要である。そのような観点から監査は目新しいものではないが、適用範囲や粒度が
異なることがある。例えば、我々はより多くのデータオブジェクトを処理しなければな
らないが、（必ずしも必要ではないが）分散している可能性がある。
来歴を可能にするビッグデータアプリケーションのプログラミング環境から生成され
る大規模な来歴グラフにより、来歴のメタデータは複雑化していく。メタデータのセキ
ュリティ／秘密性アプリケーションへの依存度を検知するために行うこのような大規
模の来歴グラフ分析はコンピュータ処理上集中的なものになる。
(c) 2013 Cloud Security Alliance
17