デジタルヘルスアプリケーション(DiGA)は、人口動態の変化が医療制度に及ぼす大きな圧力を持続的に軽減する機会を提供します。しかし、機密性の高い患者データをデジタル処理する前に、適切なデータ保護基準に準拠した確実な保護の道筋をつけなければならない。多くのDiGAメーカーが、DiGAの登録に必要な明確なガードレールと認証可能な規格を望んでおり、遅かれ早かれ、2つの規格に出会うことになるのです。ISO 27001(情報セキュリティ)とISO 27701(データ保護)である。しかし、対応する認証済みマネジメントシステムは、DiGA環境において十分なものなのだろうか。その答えは、このブログ記事でご確認ください。
Loading...
デジタルヘルスアプリケーションとは何ですか?
デジタルヘルスアプリケーションは、病気の診断や治療に役立つデジタル医療機器である。また、健康増進のための自己決定的なライフスタイルをサポートすることも目的としています。つまり、患者さんが手にする「デジタルヘルパー」であり、「処方箋に書かれたアプリ」なのです。
欧州医療機器規制(MDR)は、DiGAをリスククラスIまたはIIaの医療機器に分類し、「デジタルヘルスアプリケーション規制」(DiGAV)の厳しい規制の対象としています。これらの規制に完全に準拠したアプリケーションのみが、ドイツ連邦医薬品・医療機器研究所(BfArM)のDiGAディレクトリに掲載されます。
デジタルヘルスアプリケーションとは何か?
BfArMは、医療機器がDiGAとして認められるために満たすべき特性を次のように定義しています。
- リスククラスIまたはIIaの医療機器であること。
- 主な機能がデジタル技術に基づいている
- 主要なデジタル機能が明確な医療目的を持っている(すなわち、機器の読み出しや制御だけに使用されるのではない)。
- 疾病の検出、監視、治療、軽減、あるいは傷害や障害の検出、治療、軽減、補償をサポートするものであること
- 予防的な一次医療機器として機能しない
- 患者によって、または医療提供者と共同で使用される、すなわち医師のみが使用するものではない(これも「オフィス機器」に該当することになります)。
DiGAの法的根拠は何ですか?
2019年12月19日にデジタルヘルスケア法(DVG)が制定されたことで、デジタルヘルスアプリケーションが可能になりました。それ以来、法定健康保険に加入している人は、DiGA(俗に「処方箋付きアプリ」と呼ばれる)を受け取ることができるようになりました。
申請プロセス、要件、DiGAディレクトリの設計に関する詳細、すなわちデジタルヘルスアプリの定式化された法的根拠は、2020年4月8日のDiGAVで規定されたものである。
なぜデジタルヘルスアプリが必要なのか?
人口動態の変化に伴い、今後数十年の間に医療サービスのニーズは大幅に増加すると考えられます。そして、この需要は、現在すでに蔓延している医師や看護師の不足を鑑み、一般医療に大きな課題をもたらすことになるでしょう。デジタル化は、長期的には医療システムの負担を軽減する可能性を秘めており、デジタルヘルスアプリケーションはこれに大きく貢献することができます。同時に、データ保護と情報セキュリティの要件も効果的に考慮する必要があります。
しかし、DiGAの要件を見ると、それらを単独で検討すべきではないことがすぐに分かります。それらは常に、デジタルでサポートされる医療の全体像の中の一要素に過ぎないのです。電子カルテ、電子カルテ、電子処方箋など、医療のデジタル化はすでに本格化しており、最新かつ持続可能な医療を実現するために、一歩一歩前進しているのである。
DiGAの承認を得るために、メーカーは何をしなければならないのでしょうか?
医療分野では通常、機密性の高い患者データが処理されるため、デジタルヘルスアプリケーションの承認取得に必要な労力は大きくなります。申請者は、さまざまな要件を満たし、文書化する必要があります。これらには以下が含まれます。
- 医療へのポジティブな影響
- 情報セキュリティ
- データプライバシー
- 相互運用性
- その他の品質要件(堅牢性、消費者保護、使いやすさ、サービスプロバイダへのサポート、医療コンテンツの品質、患者の安全性)
"2022年1月1日より、完全なISMSの導入がDiGAディレクトリへの登録の基本要件となる。"
DiGAのデジタルセキュリティはどのように確保されるのでしょうか?
今日、デジタルアプリケーションの(さらなる)開発は、通常、リリースサイクルを可能な限り短くするために、アジャイルかつダイナミックな原則に従って行われます。このような環境では、デジタル・セキュリティは、技術的手段の1回限りの検証では確保できない。セキュリティは継続的なプロセスであり、企業に深く浸透している必要があります。
"デジタルヘルスアプリケーションとデータ保護:広告目的のデータ処理は除外されます。"
読み方のヒント情報セキュリティの保護目標については、こちらのブログ記事で詳しく解説しています。
デジタルヘルスアプリケーションとデータ保護ヘルスケアにおいて保護する価値のあるデータとは?
保護すべきデータを収集する場合、通常は個人を特定できるような機密情報に焦点が当てられますが、ドイツの患者データ保護法ではそのように定められています。しかし、実際には、企業にとって価値があり、不正な手に渡ってはならない情報はすべて保護する価値があります。GDPRで規制されるデータに加えて、戦略的ロードマップや社内で開発されたプログラムコードも保護対象になります。
情報セキュリティマネジメントシステムとは?
DiGAのセキュリティは、一度のチェックでは確保できないため、メーカーは情報セキュリティのテーマに戦略的かつ体系的に取り組む必要がある。そのためには、国際規格であるISO27001に代表される情報セキュリティマネジメントシステム(ISMS)を導入することが重要なステップとなる。ISMSは、情報セキュリティを確保、管理、制御し、継続的に改善するための拘束力のある要求事項を定義しています。
ISO/IEC 27001:2013|情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項.この規格は、ISOのホームページから入手可能です。
DiGAVは、附属書1で「プロセスとしてのセキュリティ」の問題を取り上げ、ISMSの観点から一連のプロセスを組み込むことをメーカーに要求しています。これらには、例えば、以下のようなものがある。
- 保護ニーズの評価:データ、アプリケーションまたはシステムの保護ニーズを決定し、重要な変更のたびにそれらを再評価する。
- 戦略的なリリース、変更、構成管理プロセスにより、アジャイル開発環境と正式な MDR プロセスを整合させる。
- 使用するすべてのサードパーティ製品のインベントリ、およびサードパーティコンポーネントのセキュリティ関連情報をタイムリーに入手できるようにするための適切なプロセス。
2022年1月1日以降、完全なISMSの実施がDiGAディレクトリへの掲載の基本要件となる予定です。その結果、DiGAメーカーは今後、ISO27000シリーズに準拠したISMSを証明書を含めて示すことが要求されます。
ISO 27001:情報セキュリティのベンチマーク
国際的に認められているISO 27001規格は、構造化されたISMSという意味で、全体的なセキュリティ戦略を効果的に実施するための最適な基礎を形成しています。その構造とアプローチは、マネジメントシステムの共通の基本構造である、いわゆるハイレベル構造(HLS)のモデルに従っています。
HLSは、すべてのプロセス指向のマネジメントシステム規格を束ねる基本構造であり、規格の要求事項を既存のマネジメントシステム、ひいては企業の一般的なビジネスプロセスにシームレスに統合することを可能にします。
ISO 27001に基づく情報セキュリティの認証
国際規格に準拠したマネジメントシステムで情報を保護する ★ DQSは35年以上の認証経験を有する ★.
ISO 27001に基づくISMSの認証は、認定された手順に基づいて実施されます。この認証は、情報資産を体系的に保護するためのマネジメントシステムと適切な対策が実施されていることの証明と見なされます。さらに、この認証には、システムの継続的な改善への取り組みも含まれています。
デジタルヘルス・アプリケーション。データ保護に関する特殊なケース
患者データは非常に機密性が高いため、デジタルヘルスアプリケーションのユーザーは、データ保護に関する法的要件が常に順守されていることを信頼できるようにする必要があります。この目的のために、DiGAVはDSGVOとドイツ連邦データ保護法(BDSG)の法的要件を規定しています。これらは、製造者自身と、クラウドプロバイダーなどの注文処理者を含むすべての接続システムの両方に適用されます。DiGAの範囲内では、個人データは、同意が得られた後に、以下の目的に限って収集することができます。
- ユーザーによるDiGAの意図された使用のため。
- DiGAのテストの文脈で、ポジティブな供給効果の証拠を提供するため。
- ドイツ社会法典第5巻第134条(1)項第3文に基づくドイツ健康保険基金協会によるパフォーマンスベースの価格設定のためのエビデンスを提供するため。
- DiGAの技術的な機能性、使いやすさ、さらなる発展を恒久的に保証するため。
最初の3つの目的に対する同意は共同で行うことができますが、4番目の目的については個別に取得する必要があります。その他のすべての目的(特に広告目的)のためのデータ処理は除外されます。さらに、データ処理は、ドイツ、EU、またはドイツの法律に従って同等とみなされる国(例えば、スイス)においてのみ行われることができます。第三国での処理には、意味のある正当な理由を伴う妥当性決定が必要となります。
DiGAVの附属書1には、製造者とそのプロセスの技術的な実施と組織の両方を考慮した40の記述からなるチェックリストが含まれています。これらは、DiGAディレクトリに掲載されるための非常に具体的な要件である。
追記:GDPRは、一般的にEU域内の個人データのデータ処理を認めています。EU域外のいわゆる第三国での処理は、第三国において同等の保護レベルが存在することを条件に許可されます(GDPR第45条に基づく妥当性判断)。このリンクの 後ろに、妥当性協定が存在する国のリストがあります。
ISO 27701:データ保護マネジメントシステムへの拡張
データ保護は情報セキュリティと同様、選択的に監視することができないため、2019年8月にISO 27701規格が発行されました。これは、ISO 27001のいわゆる「分野別補足」とされているため、対応するISMSの存在が必要です。しかし、ISO 27701はISMSに綿密なデータ保護基準を補足し、プライバシー情報管理システム(PIMS)の要求事項を拡大しています。
ISO/IEC 27701:2019|セキュリティ技術 - プライバシー情報管理のためのISO/IEC 27001及びISO/IEC 27002の拡張 - 要求事項及び指針。この規格は、ISOのウェブサイトから入手できます。
さらに、この規格は、適用されるデータ保護要件(それが欧州のGDPRであるか、その他の地域の規制であるかにかかわらず)を実施するための具体的なベストプラクティスを提供しています。
ISO 27701の統合により、GDPRやドイツのDSGVOへの準拠が自動的に保証されるわけではありません。しかし、ISO 27701の方向性はほぼ一致しているため、これらの規制を成功裏に実施するための良い出発点となり、責任者が個人データを確実に保護・処理し、法的要件への準拠を実証することが容易になります。
データ保護基準の導入に伴うもう一つの利点は、データ保護分野における明確な責任の所在です。一般に広く普及しているように、業務量に応じて同僚が責任を分担するのではなく、データ保護責任者という専用の連絡先を設け、明確に定義されたルールに従って行われます。
さらに、ISO 27701の導入により、データ保護に対するリスク志向のアプローチが求められています。そのため、潜在的な損害のレベルを最初から評価し、できるだけ低く抑えることができるように、リスクとその発生確率を総合的に定義し、評価しなければなりません。
規格への準拠がDiGAディレクトリへの登録の道筋になる
ドイツBfArMによるDiGAディレクトリへの登録のハードルが高いのには、それなりの理由がある。情報セキュリティとデータ保護は、デジタル世界の高度にダイナミックな性質にもかかわらず、常に保証されなければなりません。ISO 27001とISO 27701の構造的かつ体系的なアプローチは、あらゆる種類のデータを安全かつコンプライアンスに則って管理するための最適な基盤を企業に提供する。
また、管理・監督機関は、ISMSとPIMSの良心的な実施と認証を、堅牢で持続可能な保護メカニズムへの深い関与の証として評価しており、これは損害が発生した場合に考えられる制裁にプラスの影響を与える可能性があります。
つまり、ISO 27001およびISO 27701の認証自体はDiGAディレクトリへの掲載を保証するものではありませんが、対応するマネジメントシステムはDiGA規制のチェックリストをほぼ網羅しているのです。したがって、ディレクトリへの登録を成功させるための最適な出発点となるものである。
DQS。シンプルに品質を活用する。
情報セキュリティとデータ保護は、ITセキュリティの枠をはるかに超えた複雑なテーマです。技術的、組織的、インフラ的な側面を包含し、法律の要件にも触れています。ISO/IEC 27001に準拠した情報セキュリティマネジメントシステム(ISMS)と、ISO/IEC 27701に準拠したプライバシー情報マネジメントシステム(PIMS)による補完は、効果的な保護対策に適しています。
DQSは、マネジメントシステムおよびプロセスの監査と認証のスペシャリストです。35年以上の経験と、世界中で2,500人の審査員のノウハウを持つ当社は、お客様の有能な認証パートナーとして、データ保護と情報セキュリティに関するすべての疑問にお答えします。
Loading...
We are happy to answer your questions
ISO 27001および27701の認証取得に必要な要件は何ですか?また、どれくらいの労力が必要なのでしょうか。調べてみてください。無料かつ義務なし。
信頼と専門知識
注:弊社のテキストとパンフレットは、長年の経験を持つ弊社の規格専門家または監査役によってのみ執筆されています。テキストの内容や、著者の私たちのサービスに関してご質問がありましたら、お気軽にお問い合わせください。
DQSのメールマガジン
メルマガを登録して、あなたのビジネスに役立つ最新情報を入手しましょう。
著者名
Nadja Goetz
Product manager ISO 9001 as well as DQS expert for health management systems and BSI-KRITIS audits, auditor and product manager for various quality standards of rehabilitation as well as inpatient and outpatient care.
Loading...