者の利点、欠点を考慮しながら、ハイブリッドでの運用とするこ
と。
・システム開発・環境構築
► １次解析から２次解析までの解析ワークフロー及び多様な解析
資源を、オンプレミスとクラウドのハイブリッドの仕組みを活
用して提供すること。
► 医療機関、シークエンス企業、解析・データセンターとの間に
は、セキュリティを確保したシステムやネットワーク環境を整
備すること。 また、解析・データセンターは物理的に国内にあ
るサーバーの利用を基本とすること。
► 情報システムは特定の技術に依存しないよう、常に新たな技術
を取り入れられる拡張性が高い方式で整備すること。
・セキュリティ要件
► クラウドについては、ISMAP（政府のクラウド安全性評価）への
登録を行っている、もしくは登録申請中であること。セキュリテ
ィ監視や検知・遮断のためにファイヤーウォールをクラウド上
に配置できること。
► データアクセスに関するログ保管、ログを活用した相関分析ル
ールにより、不審な挙動の監視、発報ができる仕組みとするこ
と。その際、誤検知を防止するための相関分析の定期的な最適化
を自動的に行う方法を検討すること。
► セキュリティ検知にあたっては、クラウドサービスのペイロー
ド（ネットワークを通過するパケット通信の内容）が、確認及び
検知ができないログベースでの監視であるため、完全なリアル
タイム監視ではないことから、それを回避するための方法を検
討すること。
► インシデントが発生してからのシステムの切り分け、対策、報
告を迅速に行うためのセキュリティ対策意思決定プロセスの自
動化と、誤検知や過検知を回避する方法を検討すること。
► 臨床に直結する業務フローを扱う領域においては、クラウド（外
部保存、外部アクセス）の利用を考慮すること。また、医療情報
システムの安全管理に関するガイドラインで求められる事柄
（データアクセスへの多要素認証、Virtual Private Network,
VPN、Cookie 取得等 Web アプリケーションにおけるセキュリティ
デザインや脆弱性の修正、無害化等）を満たし、事業におけるセ
キュリティ確保やデータ品質の確保を徹底すること。
41