Rezeは、個人情報の中でも特に秘匿性の高い医療データを扱うため、3省2ガイドライン（厚生労働省が策定した「医療情報システムの安全管理に関するガイドライン」および、経済産業省と総務省が策定した「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の総称）に則ったシステム設計・運用を徹底し、適切なデータ保護に関する諸施策を実施しています。

▶︎ 当社の3省2ガイドラインへの取り組み

AWSの活用

当社サービスのインフラは、世界最高水準のセキュリティを誇る Amazon Web Services（以下「AWS」）上に構築しており、多層的なデータ保護を実施しています。

AWSは ISO/IEC 27001 や SOC2 など各種第三者認証を取得しており、医療情報システム向けのベストプラクティスをまとめた『医療情報システム向け AWS 利用リファレンス』を公開しています。AWSによる日本の医療ガイドライン対応状況は以下をご参照ください。

https://aws.amazon.com/jp/compliance/medical-information-guidelines/

ネットワークセキュリティ

すべてのインターネット接続に対し、DDoS 保護と Web Application Firewall（WAF）を適用し、ファイアウォールなどのネットワーク制御機器で外部攻撃を防御しています。 また、本サービス利用端末と入口サーバ間の通信は TLS 1.3 によるエンドツーエンド暗号化を実施し、mTLS（パブリックCA発行のクライアント証明書＋サーバ証明書）により利用端末の正当性を認証しています。

さらに、ホワイトリスト制御により、通信経路を登録済みドメイン・ポートのみに限定しています。クラウド内のすべてのアクセスログは継続的に記録され、必要最小限の権限を持つエンジニアのみが参照可能とすることで、内部からの不正リスクも抑制しています。

個人情報インベントリ

氏名など特定可能な情報を保管しているデータストアへのアクセスは、最小限の権限を持つ担当者に限定されています。すべての操作は監査ログとして記録し、リアルタイムでの不正検知・追跡を可能にしています。

脆弱性管理

本番環境の脆弱性は継続的にスキャンし、必要に応じて OS パッケージおよびサードパーティ製 OSS のパッチを迅速に適用しています。

機械学習データの匿名化

Rezeでは、症状詳記生成の精度向上などに機械学習を活用しますが、学習用データからは氏名や保険情報など一切の個人識別情報を除去し、匿名化した状態でモデルを訓練しています。これにより、学習プロセス中にも個人とデータが紐付かないよう厳密に管理しています。