Security & Trust(セキュリティ)
私たちは、産業医業務に関わる情報(契約・請求・面談記録・証跡)を 「最小権限」「分離」「監査可能性」「保持と削除の自動化」 を中核に設計・運用しています。
データは用途と保持要件に応じて Hot(Cosmos DB)/Warm(Azure Blob)/Cold(Box Shield) の3層に分離し、Cold層(アーカイブ・監査)は Box Shieldで統一管理 します。
1. セキュリティの要点(30秒サマリー)
- 企業単位の分離(CompanyIDベース):データとアクセス権限を企業単位で管理し、混在を防止
- 役割ベース+属性ベース(RBAC/ABAC):医師は「自分の担当案件のみ」、契約・請求は不可視
- Box Shield統一ガバナンス:分類・DLP・ダウンロード/外部共有制御・透かし・監査ログを一元化
- 監査ログとアラート:重要操作は全件記録、異常アクセスは即時通知(SIEM連携)
- 保持と削除の自動化:データ種別ごとの保持期間を定義し、移行・削除を自動化
- 連携経路の封鎖:Microsoft Graphは Proxy経由のみ(allowlist化)、直叩き禁止
2. データ保管とライフサイクル(3層ハイブリッド)
用途と保持要件に応じて、データを3層に分けて管理します。
Hot層:Cosmos DB(即時アクセス)
- 対象:予約・進行中の案件(Case)・実行ログ等のホットデータ
- 保持:TTLで自動削除(例:120日)
- 目的:業務処理の高速化/アクセス最小化(不要長期保持をしない)
Warm層:Azure Blob Storage(中頻度アクセス)
- 対象:完了済みの予約記録、完了済みCase関連データ、証跡パック、医療記録PDF等
- 保持:18〜24ヶ月(運用要件に合わせて設定)
- 目的:再照会・運用・監査準備に必要な期間の保管
Cold層:Box Shield(アーカイブ・監査)
- 対象(原則):
- 契約書・請求書(法定/監査要件)
- 法的要請または監査対応が必要な「選定された医療記録」
- 監査証跡(必要に応じて)/長期保存が必要なCAPA記録
- 保持:例)契約・請求 7年/選定医療記録 5年(要件に応じて運用)
- 目的:長期保管・監査対応を Box Shieldの統制 で担保
補足:システム運用上、データ処理の一部で外部クラウドサービスを利用する場合がありますが、アクセス制御・ログ・保持ポリシーにより適切な保護措置を講じます。
3. Box Shieldによるアーカイブ/監査統制
Cold層は Box Shieldで統一管理 し、分類・DLP・共有制御・監査証跡を一元化します。
3.1 物理分離と“継承断ち切り”
- 医療系(Medical)/レポート(Reports)/管理系(Admin:契約・請求) を分離
- Admin領域は権限継承を断ち切り、医師グループの追加をポリシーで禁止
- 医師が閲覧・編集できる範囲は、業務上必要な最小範囲に限定します
3.2 セキュリティ分類(Classification)
Box上のデータは内容に応じて分類し、分類ごとに制御を変えます。
- 最高機密(Top Secret):個人健康情報、医師所見、精神健康記録、個別判定理由 等
- 制御例:ダウンロード禁止/外部共有禁止/透かし強制/セッション記録
- 機密(Confidential):契約書、請求書、統計レポート、是正オーダー、逸脱ログ 等
- 制御例:承認者のみダウンロード可/内部共有のみ/アクセスログ強化
- 内部限定(Internal):手順書、ポリシー、テンプレート、メタデータ 等
- 制御例:組織内共有可/監査ログ記録
3.3 DLP(データ損失防止)
- 医療情報に該当するキーワード・文脈を検知し、
ダウンロード禁止/外部共有ブロック/管理者アラート 等を自動適用 - Admin領域への不正アクセス(医師グループ等)を検知し、即時アラート
3.4 外部共有の原則
- 外部コラボレーションは原則無効(システムレベル)
- 例外的に監査目的等で必要な場合のみ、期限付き閲覧リンクで提供
- ダウンロード禁止+透かし+アクセスログ必須
- メール添付での送付は禁止(PDF/ZIP含む)
3.5 期限付きアクセス(最小権限の徹底)
- 医師が編集できるのは原則として
- 担当案件(ReservationID単位)
- 当該企業のレポート領域(企業スコープ)
- 付与は必要時のみ、期限付きで実施し、終了時に自動剥奪
- 技術的には、ダウンスコープ(downscoped)トークン等でアクセス範囲を最小化します
4. 権限モデル(“医師は自分の担当だけ”を強制)
4.1 役割(例)
- Doctor(産業医):自分の担当予約・担当案件のみ
- Ops(事務):予約管理・レポート作成等
- Owner(事業責任/法務):全体統制、契約・監査対応
- Finance(経理):請求・入金管理
- Auditor(監査):期限付きの読取専用
- SvcAcct(サービスアカウント):システム連携専用
4.2 原則
- 最小権限(Least Privilege)
- 職務分離(SoD):医師は契約・請求にアクセス不可
- 自動付与・自動剥奪:人手運用を最小化し、監査ログに残す
- 定期棚卸し:四半期ごとの権限再認証(セルフレビュー+承認)
5. 連携経路のセキュリティ(Proxy・allowlist・冪等性)
5.1 Microsoft GraphはProxy経由のみ
- Graph APIは Proxy経由に限定し、許可したエンドポイントのみ通過
- 役割がDoctorの場合は /users/{自分のリソース} 以外を403
- 監査ヘッダ(役割・企業・予約ID等)を必須化し、操作の追跡性を担保
5.2 Webhook中継の安全性(順序保証・改ざん防止)
- Webhookは中継層(メッセージング)で受け、順序と冪等性を担保
- 主な対策:
- HMAC署名検証(kid運用、定期ローテ)
- **Replay Window(時刻ゆらぎ)**によるリプレイ攻撃耐性
- **重複検知(MessageId)**と順序保証(SessionId)
- DLQ(デッドレター)監視とアラート
6. 暗号化と鍵管理
- 通信の暗号化:TLS 1.2+
- 保存時暗号化:クラウド標準暗号化(AES-256相当)
- 鍵・シークレット管理:Azure Key Vaultで集中管理
- サービスアカウント要件:
- パスワード認証不可(証明書認証)
- 権限は最小限(対象カレンダー/Box API等に限定)
- キー/証明書は 自動ローテーション+期限監視(事前アラート)
- 追加の保護として、Box側は CMK(Customer Managed Key)相当の仕組み(契約・要件に応じて)も選択可能です
7. 端末・アクセス統制(運用統制)
- 多要素認証(MFA)必須
- デバイストラスト/未管理デバイスの制限(要件に応じて)
- IP制限(例:国内からのアクセスを基本とし、例外はNamed Location等で管理)
- セッション制御:一定時間で再認証(例:4時間)
8. 監査ログ・監視・SIEM
- 操作ログ:重要操作は全件記録
- 監査ログ保持:要件に応じて 1〜7年 等の運用設計
- リアルタイムアラート:
- Admin領域へのアクセス試行
- 外部共有/ダウンロード違反
- 権限ポリシー違反(医師グループ追加など)
- SIEM連携:Microsoft Sentinel等に統合し、相関分析・検知を実施
9. データ保持・削除(自動化)
データ種別ごとに保持期間を定義し、移行と削除を自動化します。
- Cosmos DB(Hot):TTLで自動削除(例:120日)
- Azure Blob(Warm):18〜24ヶ月保持
- Box Shield(Cold):
- 契約・請求:7年
- 選定医療記録:5年
- 期限到達後:年次処理等で削除(要件に応じて)
10. ブレークグラス(緊急時アクセス)と権限レビュー
- 緊急用アカウント(ブレークグラス)を限定数で管理
- 物理的保管・二重封緘等の運用(要件に応じて)
- 年1回の動作確認
- 四半期ごとの権限再認証(Doctor/Ops/Finance/SvcAcct/Box管理者 等)
11. よくある質問(FAQ)
Q. 産業医が契約書や請求書を見ることはできますか?
A. できません。Admin領域は権限継承を断ち切り、医師グループの追加もポリシーで禁止しています。
Q. 医師はどこまでアクセスできますか?
A. 原則として「担当案件(ReservationID単位)」と「当該企業の必要領域」のみです。必要時のみ期限付きで付与し、終了時に自動剥奪します。
Q. 外部共有はできますか?
A. 原則不可です。例外的に監査等で必要な場合のみ、期限付き閲覧リンク(ダウンロード禁止・透かし・ログ必須)で対応します。
Q. 監査対応は可能ですか?
A. 可能です。Box Shieldの統一ログ、アクセス制御、保持ポリシーにより、提出用の証跡(Evidence Pack等)を運用設計に組み込みます。
12. セキュリティに関するお問い合わせ
セキュリティチェックシート、運用体制、監査観点の回答、個別要件(保持年限、アクセス制限、SIEM連携など)については、個別にご案内します。