英国の国民保健サービスは、英国人の患者データはクラウドに保存できると述べ、プライバシーシールドに加盟している米国のデータセンターを承認した。
NHSデジタルは大きな政策転換を行い、医療提供者にクラウドへの移行を促し、コスト削減を図るため英国外で患者情報を保管することを許可した。
保健省、イングランドNHS、NHS改善局と共同で作成されたこのガイドラインによれば、データは今後、「個人データに対して適切なレベルの保護を提供する国」で保管できるという。
これは、大西洋間のデータフローを規定する「英国、欧州経済領域内、EUが適切とみなす国々、またはプライバシーシールドの対象となる米国内」と定義されています。
その目的は、NHS 機関にクラウド サービスへの登録を奨励することであり、ガイダンスの大部分はクラウド サービスの利点を促進するために確保されている。
「クラウドやデータのオフショアリングを利用するかどうかは個々の組織が決めることだが、効果的に導入すれば、データのセキュリティ保護が強化され、運用コストが削減されるなど、さまざまなメリットがある」とNHSデジタルの副最高経営責任者ロブ・ショー氏は述べた。
謳われている利点には、ハードウェアやソフトウェアを購入して維持する必要がないことによるコスト削減や、「システムの包括的なバックアップと迅速な回復」などがある。
ガイダンスでは、ケア提供者はこれらの点と潜在的なデメリットを比較検討すべきだと述べられている。具体的には、重要なサービスが信頼性の高いインターネット接続に依存すること、既存のスタッフが技術的な専門知識を有していない可能性があること、そして技術予算を資本支出から従量課金制に切り替える必要がある可能性があることなどが挙げられる。
プライバシーシールドの最初の年次レビューでは、明確な「適切」の評価が下されました。
続きを読む
「クラウドの利用はデータのポータビリティを高め、組織内外を問わず複数のデバイスにデータを分散させることを意味します。このポータビリティを適切に管理し、リスクを軽減するには、適切な文化的理解と行動が不可欠です」と文書は付け加えている。
NHS Digital は、セキュリティと優れた実践に関する 1 ページのチートシートを発行し、リスク評価の重要性を強調しました。
ガイダンスによれば、ケア提供者は、政府のさまざまなガイダンスを参照してリスク評価を実施し、適切なデータ保護管理を実施し、その実施状況を監視する必要がある。
しかし、キャンペーン団体メッド・コンフィデンシャルのコーディネーター、サム・スミス氏は、これは「NHSイングランドとNHSデジタルが責任を医療提供者に転嫁するに等しい」と述べた。
「ガイドラインはクラウドにリスクが伴うことを認識しはしているが、その解決方法については詳しく述べていない」と彼はThe Registerに語った。
「リスク評価の負担は、医療提供者、さらには小規模な地域病院のIT管理者にまで及ぶことになります。神経質な人はおそらく大丈夫でしょうが、それほど慎重でない人はそうはいかないかもしれません。そして、患者がその代償を払うことになるのです。」
マイクロソフトやアマゾンのような大手プロバイダーはすでに医療サービスでかなりの地位を築いているが、NHS組織に幅広いクラウドプロバイダーの利用を許可すると、小規模企業に余裕を与えすぎてしまう可能性があるとスミス氏は主張した。
これは、病院が米国の小規模クラウドプロバイダーにすべてのデータを預けているという問題ではなく、下請け業者の問題です。クリニックが特別な目的で利用する企業が、見つけられる最も安価なホスティングサービスを利用するでしょうか?答えはイエスです。そして、情報コミッショナー事務局はアイダホ州の小規模企業には管轄権を持っていません。
プライバシー保護活動家にとってさらなる懸念となるのは、プライバシーシールド協定に署名した企業はすべてNHSデータに対して適切な保護を提供するというガイダンスの主張である。
この協定は、企業が米商務省に自己証明することで加入できるというものだが、発効されてまだ1年ほどしか経っておらず、未解決の問題も数多く残っている。
EUデータ保護団体:プライバシーシールドを修正しなければ訴訟に直面
続きを読む
EUのデータ保護当局は12月に、これについて依然として「重大な懸念」を抱いていると述べており、欧州委員会も多くの改善が必要であることを認めている。
これには、米国側で合意を監視する常任オンブズマンを任命し、監視委員会の空席ポストをいくつか埋めることも含まれる。
また、トランプ政権のセキュリティとプライバシーに対する考え方がどのような影響を与えるか、また、この制度の遵守がどのように監視され、虚偽の主張をする企業が排除されるかについても疑問符が付く。
マックス・シュレムス氏とフェイスブック社が大西洋横断データ転送をめぐって争った結果、セーフハーバー協定は無効と判断され、現在も続いている。つまり、プライバシーシールドの将来は決して保証されていないということだ。
NHSの今回の動きは、政府が長年にわたりマイクロソフトやアマゾンといったクラウドベンダーに対し、英国内にデータセンターを開設するようロビー活動を展開してきた後に起こった。政府の狙いは、パブリッククラウドサービスの利用を迫られていた政府顧客への働きかけだったが、データは英国国内に留まることを保証する必要があった。
「国防省は(データは英国内で保管しなければならないという)立場を維持しているため、国内の全患者のNHS医療記録は現在、GCHQの食堂のメニューよりも低いレベルの保護で扱われている」とスミス氏は述べた。
マイクロソフトは、NHSのクラウドへの取り組みを称賛しています。NHSのヘルス&ライフサイエンス担当ディレクター、スージー・フォスター氏は、声明の中で次のように述べています。「クラウドへの移行により、NHSはイングランドの医療サービスを革新し、近代化することで、持続可能かつ費用対効果の高い方法で患者のニーズに真に応えることができるようになります。」
しかし、この大喜びの歓迎は Twitter 上ではあまりうまくいかず、あるユーザーは、信託はプライベート Linux サーバーの方が良いだろうと発言した。®
