「統合プラットフォームを採用するべき5つの理由」シリーズ、4回目は「セキュリティ、プライバシー、品質」の観点からプラットフォームを見てみましょう。
前回までの投稿は下記よりご覧ください。
統合プラットフォームを採用するべき5つの理由 ①相互互換性
統合プラットフォームを採用するべき5つの理由 ②コラボレーション
統合プラットフォームを採用するべき5つの理由 ③Single Source of Truth
データはどの企業にとって最も重要な資産の1つです。 Ponemon Instituteが実施した2018年の調査では、データ侵害によって生じた世界平均コストは386万ドルで、前年比6.4%増と報告されました。また、この報告書では、機密情報や機密情報を含むデータ紛失または各記録文書の盗難により生じた平均コストは4.8%上昇し、148ドルであることも言及されました。(*1)
3兆ドル規模にもなる米国のヘルスケア業界では、依然として、最新のセキュリティ機能を使用せずレガシーなコンピュータシステムに依存している企業が多く、サイバー犯罪者にとっては恰好の標的となっています。(*2)
メディデータでは、情報セキュリティ、データのプライバシー、および品質管理を非常に真剣に受け止め、これに取り組んでいます。私達のお客様は、メディデータを信頼してデータを預けてくださっています。そして、それこそが世界クラスのデータ保護および情報セキュリティを保障することの原動力になっています。臨床試験の成功にはデータセキュリティとプライバシーが不可欠であるため、Medidata Rave Clinical Cloud™プラットフォームの設計からAPIまでを含むあらゆるステップでデータ保護と情報セキュリティを組み込んでいます。
統合プラットフォームには情報セキュリティ、データプライバシー、および品質管理を含むデータ統合保護戦略に基づくことが求められます。これらが一体となって、堅牢なデータガバナンスと監査にいつでも応じられる品質管理システムを備えた、安全で安定したスケーラブルなクラウドプラットフォームの基盤を形成します。 2019年6月に開催したNEXT Tokyoで、Global Compriance and Strategy チームが、当社の情報セキュリティ、データプライバシー、および品質管理機能の統合が、メディデータのプラットフォーム全体にこのような統一データ保護戦略を提供する方法を説明しました。内容はこちらのブログ記事をご覧ください。
統合情報セキュリティ保護
メディデータは、セキュリティバイデザインのアプローチを取っており、設計段階でセキュリテイコントロールを組み込んでいます。最新のサイバー脅威からデータを保護するために、最先端テクノロジーと技術を使用しています。暗号化、マルウェア対策、およびデータ損失防止は、ネットワーク境界レベルとプラットフォームレベルで提供されます。マルチファクタ強化システムは、独自の技術とともに、独立した第三者によって継続的にテストされ、検証されています。
ネットワークセキュリティ
ネットワークセキュリティは、私たちにとっては24時間いついかなる時にも常に優先される事項です。 メディデータは、DDoS攻撃の間でも高可用性を提供するルーターとロードバランサーを含む境界保護から始めています。境界保護は、特定のビジネス目的のないすべてのインバウンドポートとアウトバウンドポートを拒否するファイアウォールによって強化されています。
ファイアウォールの通過を許されたデータは、一連のマルウェアスキャナと侵入検知/防御システムの対象となります。ネットワークは頻繁にスキャンされ、新たなインターネットの脆弱性を識別して修正するために、毎年第三者評価を受けています。
アプリケーションセキュリティ
アプリケーション開発を行う際、メディデータでは多数の内部テストを行っており、開発中の製品は厳格なセキュリティテストを受けています。例えば、ソースコードの詳細な知識を持ってる場合にのみ検出可能な微妙な問題を発見して修正を試みる内部ハッキングフェーズなどが含まれます。また、メディデータではそれらのレジリエンスを向上するために製品の相互運用性を評価しています。
さらに、最初のテストをすり抜けた可能性のある脆弱性を発見し、パッチ適用を行う第三者評価機関にもソフトウェアを提出し、社内外のテストで発見された脆弱性を分析して適宜修正を行なっています。
物理的なセキュリティ
メディデータは、データセンターの設計、構築、運用において豊富な経験を持っており、物理的なセキュリティにも注力しています。物理的なセキュリティについては、軍事レベル同等の高いもので、建物の警備員、電子アクセス用のスマートIDバッジの使用、ビデオ監視、バイオメトリックスキャナーなどで構成されています。私たちのデータセンターの建物は外観からはわからず、それらの場所は知る必要のある場合にのみ開示されています。
統合データプライバシー保護
セキュリティと同様に、プライバシーバイデザインのアプローチを取った設計をしています。プライバシー保護は、サービスライフサイクル全体に組み込まれています。 GDPR対応のデータ処理から統合データガバナンスプログラムに至るまで、メディデータは、プラットフォーム全体にわたって機密性の高い臨床試験データの管理に対する積極的な説明責任と監視に取り組んでいます。
メディデータはTransport Layer Security(TLS1.2)暗号化を使用してワークステーションから送信先へのデータを保護しており、高度な暗号化アルゴリズム(256ビット)を使用して、環境全体で保存時の暗号化が行われます。
グローバルでプライバシー規制はかなり異なるため、世界各国のプライバシーポリシーを確認し、当社の制御方法が米国で転送および保存されるデータの最も厳しい基準に準拠していることを常に確認しています。メディデータは2011年以来、EU-US Safe Harbor programにおいて自己保証を行なっており、2016年には国際セーフハーバープライバシー原則の代替プログラムへ参加しました。
また、メディデータはライフサイエンス企業で初めて、クラウド内の個人情報(PII)を保護を対象としたISO27018認定を受けた会社の1つでもあります。
クオリティマネジメント
メディデータの統合保護戦略の3つ目は、監査にいつでも対応可能な品質管理システムです。これには、当社のソフトウェア製品およびサービスが、お客様のニーズと期待を満たし、適用される規制要件の遵守を保証する方法で開発、実装、および保守されることを保証するポリシーと手順が含まれます。
メディデータは、Medidata Rave Clinical Cloudをはじめ、品質管理システム、セキュリティ、ITホスティングオペレーション、ソフトウェア開発ライフサイクル、データの整合性(例:電子記録/電子署名)などの制御の設計と運用の有効性に関する独立した意見を提供するSOC2 +レポートを公開しています。データ保護、セキュリティ、プライバシー、品質の各機能に対する信頼と透明性を提供するメディデータの主要な取り組みについてご覧ください。