《公益財団法人京都大学iPS細胞研究財団様》
内部統制のセキュリティ要件に合うクラウドサービスが「MaLion」でした。
再生医療全体の信頼性を守るため「MaLion」でデータ改ざん対策とログ収集を実施しています。
京都大学iPS細胞研究財団様は、2020年4月に公益財団法人として本格的に活動を開始しました。
品質を担保した「iPS細胞」の製造をはじめ、研究機関や企業との連携、データの集約・共有などを行っています。取り扱う様々なデータの作成や保存における医療関連の法的要件(「帰属性」「判読性」「同時性」「原本性」「正確性」)を確保することを目指して、「MaLion」をご導入いただきました。
導入までの経緯や決め手について、製造部イノベーションチームの江口様と冨岡様に伺いました。
まずは、情報漏洩対策ツールの導入をご検討されたきっかけについて教えてください。
京都大学iPS細胞研究財団は、京都大学から独立するにあたり、システム・ネットワーク環境を一から構築する必要がありました。財団内にはiPS細胞の研究・製造に関する情報や患者様の個人情報など機密性の高い重要なデータが存在するため、それぞれに適した方法で管理する必要があります。特に重要なのは対内的セキュリティ対策だと考えています。
データ改ざんなどの研究データの不正は、当財団だけでなく、再生医療全体の信頼性に関わる非常に重要な課題です。最優先で取り組むよう山中理事長からも指示が出ています。
「MaLion」以外に導入を検討されたツールはありましたか。
クラウド上で「データ改ざんの防止」や「各端末の操作ログの収集」などの医療関連の法的要件が完結するサービスであることが最低条件だと考えていました。導入を検討する際、数種類のツールと比較しましたが、希望する機能を持つクラウドサービスは「MaLion」だけでした。
「MaLion」をご選定いただいた“決め手”についてもう少しお聞かせください。
最終的に「MaLion」を選んだ理由としては大きく次の3点です。
- 導入の決め手
-
-
情報漏洩対策がクラウド上で完結する点
財団内の様々な基幹システムはクラウド上で管理しています。全体の管理のしやすさにおいて、情報漏洩対策ツールもクラウドベースである必要がありました。担当者や予算に多くのリソースを割けないため、最小限の手間と費用で導入が実現したこともクラウドによる導入のメリットだと感じます。
-
ログインや操作履歴のログがとれる点
医療関連の法的要件であるデータの完全性や機密性を保つため、「データへのアクセス制御」「データ改ざん防止」「データの正当性の保証」が守られることはもちろん、いつ、誰が、どのファイルを開いて、どのような作業を行ったかがすべてログとして収集されるので、監査証跡の一元管理が可能だと感じました。
-
ライセンスの管理ができる点
当初、必須機能として考えていませんでしたが、保有しているハードウェアやソフトウェアの把握・管理を「MaLion」で行うようにしました。社外の端末保有ライセンスを把握し、ソフトウェアの資産管理を徹底しています。
-
クラウドベースで、
情報漏洩対策と医療関連の法的要件到達が同時に実現
導入状況について教えてください。
財団の製造部イノベーションチーム2名で全体の運用管理を行っています。端末エージェントは、財団内と在宅勤務用の貸与端末を合わせて約100台です。専任の情報システム部門の設置が難しいため、他業務と兼務しながらの2名体制ですが、少人数で効率よく確実にすべての端末の管理ができています。Webサーバーや業務システムだけでなく、情報漏洩対策ツールもクラウドベースで運用することで、費用だけでなく人的リソースを抑えられました。
- 公益財団法人京都大学iPS細胞研究財団様 システム概要図
あってはならない「万が一」に備えて、「MaLion」で
完全性や正確性を追求した適切なデータ管理を
「MaLion」の活用状況はいかがでしょうか。
不正アクセスなどの外部からの脅威に対してはファイヤーウォールを設定するなど、必要な対策を実施していましたが、内部統制を強化する必要性を感じていました。
財団で管理している研究データの改ざんや偽装は、あってはならないことですが、万が一に備えて「完全で一貫性があり正確なデータである」という証明のために、あらゆる操作ログをすべてそのまま記録する必要があります。“導入の決め手”にもなった部分ですが、監査証跡となるログを残すことが特に重要です。研究データの「作成」「変更」「削除」に対し「いつ」「誰が」「何を」行ったかの記録が「MaLion」を導入することで実現しました。
財団内の従業員は高い意識を持って研究を行っていますが、端末エージェントですべての操作ログの収集を行っているということが、従業員の意識向上に役立っているだけでなく、万が一の時の安心にもつながっていると思います。
ネットワーク監視機能以外のご利用状況や導入効果についてはいかがでしょうか。
“導入の決め手”でも触れましたが、IT資産管理ツールとして活用しています。
研究のために使用する専門的なソフトは種類が多くライセンスの管理が煩雑です。ライセンスの更新忘れや、ソフトの管理漏れが発生した場合、それが意図したものでなくても組織名が公表されるなどのリスクが発生してしまいます。在宅勤務など社外で利用している端末も併せて管理でき、便利な機能だと感じています。
その他、「MaLion」に関する今後の活用方針についてお聞かせください。
収集したログを「セキュリティ」「使用状況」「資産管理」などの項目別に集計し、エクセルで出力する、レポート機能を利用しています。さらに使いやすくするために、医療関連の法規制に関する検索項目を充実させ、ログの書き出しができるようインターコム様に要望しています。「必要な特定ファイルを主軸とした履歴の書き出し」「特定のサーバーを主軸とした書き出し」も併せて実現したいと考えています。情報漏洩対策、ウィルス対策として、私物のUSB メモリー、外付ハードディスクなどの利用に関する管理・制限も「MaLion」で実施します。