1. home
  2. デザインシステム
  3. システム運用方針

Operational Policy

1. 運用方針

1-1. 背景

当社では、パーパスとして掲げる「将来にわたり持続可能な医療ヘルスケア社会の実現に寄与する」ため、国の医療DXの取り組みに対して国民のヘルスリテラシーを高め、能動的に動き・考えられる姿を目指しています。そのために、当社では医療ヘルスケアに関するデジタルプラットフォームを軸に、様々な企業・団体とプロダクト・サービスを共創することを通じて、当社・共創する企業・団体が共に発展するしながら継続的に医療ヘルスケア社会に貢献したいと考えます。

また、昨今では、気候変動による国内外の異常気象・災害の増加、国際情勢の悪化や周辺国との関係によるサイバー攻撃の増加といったリスクが増加しており、継続的なサービス提供にあたって無視できない状況であると考えます。

1-2. 目的

そのような状況においても当社のパーパス、ミッションを支え、提供するデジタルプラットフォームを利用者(生活者患者・医療・介護従事者)・共創先(医療関係者等)に安心して利用してもらえるようにするため、安定性、セキュリティ、柔軟性を維持する必要があると考えます。そのためのシステム基盤の構築・運用の指針としてシステム運用方針を定めます。

1-3. 進め方

当社では、以下の流れでシステム運用方針を定期的(年度毎)に検証し、改善することとします。

  1. 現状分析

    • 社内と社外におけるシステム運用上の課題事項の洗い出しを行います。

  2. 方針決定

    • 年度における事業計画立案の際に、社内外の環境を踏まえて、システム運用上重視する観点を見直します。
    • 方針の計画・実行を評価する指標を決定します。

  3. 計画

    • 決定した方針から、システム運用における改善ポイントの優先順位と評価指標を取得するための計画を定めます。

  4. 実行

    • 計画を下に実施スケジュールを定め、改善活動を行います。

Target

2. 目標

2-1. ビジネス要件

当社デジタルプラットフォームの安定性、セキュリティ、柔軟性を維持するための対策の要点は以下と考えます。

  1. 信頼性の確保
    • 利用者(生活者患者・医療・介護従事者)・共創先(医療関係者等)を当社のシステム利用者と考えており、システムの可用性と安定性を維持し、サービス中断を最小限に抑えることを目指します。
  2. セキュリティの強化
    • 個人情報や医療情報を含む重要情報を適切に保護するため、取り扱う情報の規模に見合うセキュリティ対策技術を導入し、継続的な監視と対策を行います。
    • 現状においては、取扱情報が限定的な規模であることから、サービス提供にあたり最も基礎的に重要となる、法規制・ガイドラインへの対応、情報セキュリティ管理(ISMS)に即した対策の遵守を重視します。
  3. 拡張可能なシステム
    • 利用者の増加、デジタルプラットフォームのニーズ拡大に柔軟に対応でき、2030年のグローバル展開を見据えた拡張性を確保します。
    • 2023年から本格的に利用を開始したプラットフォームを利用する利用者・共創先の増加に伴うシステム拡張が行える仕組みの構築、運用体制の実現を重視します。

2-2. 信頼性の定義

特に広範に渡る「信頼性」の確保に関しては、その定義を明確とします。
ISO27001でも定めるCIAトライアドに4要素を加えた7点を考えます。

1. 機密性(Confidentiality)

  • 情報やデータが許可されたユーザー以外にはアクセスされないことを保証する要素です。
  • 適切なアクセス制御やデータの暗号化による、データが漏洩しないように対策を行います。

2. 完全性(Integrity)

  • 完全性は、情報が不正確に変更されたり、欠損したりせず、正確かつ一貫性が保たれることを指す要素です。これにより、システム内のデータが改ざんされないことを保証します。
  • データの整合性の確保、プログラムの改ざん防止、システムのバックアップの確保などの対策を行います。

3. 可用性(Availability)

  • 必要な時にシステムやデータにアクセスできることを保証する要素です。
  • 障害や攻撃によってシステムが停止したり、データが利用できなくなることを防ぐための対策を行います。

4. 真正性(Authenticity)

  • 利用者や情報そのものが本物であることを明確にすること保証する要素です。
  • 不正な利用者によるなりすましの情報ではないことを証明するための本人確認の強化、改ざん防止などの対策を行います。

5. 責任追跡性(Accountability)

  • ある行為が誰によって行われたかを明確にすることを保証する要素です。
  • 利用者やシステムの責任を説明できるようにするために操作記録の保管などの対策を行います。

6. 否認防止(Non-repudiation)

  • 情報の作成者が作成した事実を後から否認できないようにすることを保証する要素です。
  • 確かに作成者が行なったと証明できるようにする対応です。責任追跡性の対策により対策が可能です。

7. 信頼性(Reliability)

  • 情報システムの処理が、欠陥や不具合なく意図した通りに確実に行われることを保証する要素です。
  • システムを安心して使い続けることができるようにするための対策を行います。

信頼性の各項目で目指す最終的な目標を記載します。

# 項目 目標
1 機密性 不正なデータアクセスをゼロにする
2 完全性 データの改ざんを防ぎ、正確性を維持する
3 可用性 システムのダウンタイムをゼロに近づける
4 真正性 不正なユーザーアクセスを防ぎ、確実に正当なユーザーのみがシステムにログインできるようにする
5 責任追跡性 すべての操作を追跡し、透明性を確保する
6 否認防止 本人が操作を後から否認できない状態を確保する
7 信頼性 ヒューマンエラーやプログラムの不具合(バグなど)の発生時に速やかに対策を行い、改善する

2-3. 重点を置くべき項目

ビジネス要件の観点から、以下の順序で優先するものと考えます。

  1. 当社では、まず利用者(生活者患者・医療・介護従事者)・共創先(医療関係者等)が安心してサービスを継続できることを優先するため、利用者・共創先のサービス利用時の安定性を最優先と考えます。
  2. これまでのPHR情報に加えてより機微度の高いEHR情報を扱うにあたり、セキュリティ対策を強化します。
  3. より幅広い患者にご利用いただくために、サービス・システムを拡張し、サービスの質を向上していきます。
お問い合わせはこちら