欧州委員会がCOVID-19接触追跡アプリの越境利用向け技術仕様を公表 ブックマークが追加されました
最新動向/市場予測
欧州委員会がCOVID-19接触追跡アプリの越境利用向け技術仕様を公表
【第111号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2020年6月16日、欧州委員会は、分散アーキテクチャに準拠した新型コロナウイルス感染症(COVID-19)向け接触追跡(Contact Tracing)アプリケーションの国境を越えた安全な情報交換を保証する技術仕様について、各加盟国が合意したことを公表しました。
第111号 2020.7.13公開
EU域内では、国単位でさまざまな接触追跡アプリケーションの開発・導入が行われていますが、夏のバカンスシーズンに向けた各国の経済再開計画が進む中、分散アプローチに準拠した技術ソリューションを展開する国と国の間を行き来するユーザーへの対応策が懸念事項となっていました。このような課題解決のために、EUとして応えたものです。
同じくこの日、欧州委員会は、「承認済アプリケーション間の越境移転チェーンのための相互運用性仕様に関するEU加盟国および欧州委員会向けeヘルスネットワーク・ガイドライン V1.0」および「接触追跡アプリケーションの相互運用性に関する技術仕様 V1.0」を公表しました。
前者のガイドラインは、以下のような構成になっています。
- イントロダクション
- 定義
- 基本的な相互運用性の要素
3.1 Bluetoothの仕様
3.2 COVID+ Keys
3.3 利害関係国リスト
3.4 バックエンドサーバーの相互運用性 - 展開
- セキュリティテストと独立レビュー
- 結論
また、後者の技術仕様は、以下のような構成になっています。
- イントロダクション
- アーキテクチャ概要
- 通信(Device-to-Device、Device-to-Backend、Backend-to-Backend)
- データ構造(データタイプ、データストレージ)
- インタフェース
- セキュリティ(機密性、完全性、可用性)
- 技術選択
- 監査(全体、データプライバシー、データ転送、トラフィック)
- 分散プライバシー保護接近追跡(DP3T)互換性
- 代替的なデータ交換手法(ミラーリング、ブロックチェーン)
なお、一般データ保護規則(GDPR)遵守に関しては、「8. 監査」のデータプライバシーで言及しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・日本国内でも、Google/Appleが提供するAPIをベースとした厚生労働省の「Cocoa」や、大阪府のQRコードをベースとする「コロナ追跡システム」など、さまざまな接触追跡アプリケーションが導入・運用されているが、現時点で、EUのような越境データ連携は想定されておらず、相互運用性の標準化に向けた議論も行われていない。今後、日本とEU間の経済再開計画が実行されるとともに、日本に入国した欧州市民に係るCOVID-19関連データ保護やモバイルセキュリティ対策が臨床現場で問題となる可能性がある。日本の医療機関も、継続的にEU域内の動向を注視しておく必要がある。
医療機器メーカー/医療品メーカー
・EUは、接触追跡アプリケーションの越境データ連携ガイドラインに合わせて、セキュリティや監査に関連する技術仕様も公開している。欧州市場向けに、BluetoothやAPIを利用した医療機器/デジタルヘルス関連製品・サービスを展開する企業は、EUの技術仕様と、自社の現行のデータガバナンス体制やサイバーセキュリティ対策を比較しながら、域内共通化/効率化に向けた改善を検討すべきである。
サプライヤー
・医療機関向けにBluetoothやAPIを利用した製品・サービスを展開するICTサプライヤーは、製品・サービスのユーザーが生成したデータ(User-Generated Data)を収集・保存・利用しながらサポートする場合、デバイスおよびバックエンドにおけるデータ保護やセキュリティについて、今回EUが公開した技術仕様を参考にしながら、現行プロセスのリスク評価を行い、必要があれば改善を検討すべきである。
関連記事 [外部サイト]
- European Commission「Coronavirus: Member States agree on an interoperability solution for mobile tracing and warning apps」(2020年6月16日)
- European Commission「eHealth Network Guidelines to the EU Member States and the European Commission on Interoperability specifications for cross-border transmission chains between approved apps」(2020年6月16日)[PDF, 509KB]
- European Commission「Technical specifications for interoperability of contact tracing apps - eHealth Network Guidelines to the EU Member States and the European Commission on Interoperability specifications for cross-border transmission chains between approved apps」(2020年6月16日)[PDF, 2.36MB]
- European Commission「eHealth : Digital health and care」
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
