医療機関が患者により良い医療を提供するための手段として、API が組み込まれることがあります。その場合、API 利用におけるセキュリティ上の懸念はないでしょうか?
質の高い医療には、リアルタイムで正確な情報が必要です。医師、看護師、保険会社、各種サービスを提供するサードパーティー、そして何よりも患者が情報にすぐにアクセスできるようになると、治療の質が向上し、結果も良くなります。患者が受ける治療に限らず、診療に関連する請求書処理などの効率性も向上します。
患者への治療に役立つような情報を迅速に配信するためには、アプリケーション・プログラミング・インタフェース(Application Programming Interfaces、API)が使われることがよくあります。API は、医療サプライチェーン全体の中の個々のエンティティによって管理される情報システム間の相互運用性を可能にする「ウィンドウ」です。
電子健康記録システム(electronic health records systems、EHR)に API を組み込むと、患者が健康情報に簡単にアクセスできるようになります。API は、医療提供者が他の医療提供者や保険会社などと患者情報を安全かつ効率的に共有するのにも役立ちます。API がもたらすメリットとしては以下のような点が考えられます。
- 患者は自分の個人データに簡単かつ効率的にアクセスでき、意思決定が必要な時、正確な情報に基づいて判断できます。
- 医師はデータ解析情報にアクセスして、診断と治療に関する臨床上の意思決定に役立てることができます。
- 医療提供者と医療保険の支払者は、患者情報を自動的に交換して、施療内容と処方薬が保険でどこまでカバーされるか迅速かつ正確に把握できます。
- 研究者は、詳細な臨床データを調査や研究に活用できます。
利用されている医療系 API の例としては、モバイルアプリケーションがウェアラブルデバイスからデータを収集して患者の健康管理記録に追加するようなものがあり、医師はそのデータをチェックして最適な診療方法を検討するのに役立てることができます。血圧、体温、写真など、患者が手動で収集した診断情報を医師と共有することもできます。リアルタイムで情報を伝えることができれば、実際に病院に出かけることなく、早期に健康状態を改善することも可能になります。
また、診療中に、医師がアプリケーションを使用して、詳細な視覚化情報やデータ分析情報を獲得できれば、患者に即座にフィードバックを提供できますが、それにも API が関与します。別の API 使用例としては、カリフォルニアの病院の医師がニューヨーク在住のかかりつけ医の HER システムにアクセスして旅行中の患者の病歴を確認するなど、医師同士が互いに情報を共有できるようにするといったことが挙げられます。
医療系 API を促進するための米国の取り組み
米国には医療サプライチェーン全体に強力な API エコシステムを構築しようとする取り組みがあります。その取り組みを牽引しているのは、アメリカ合衆国保健福祉省の一部門である医療IT全米調整官室(Office of the National Coordinator for Health Information Technology、ONC)です。ONC は、API が医療データ共有を革新的に進化させるための重要な要素とみなしており、臨床的使用と患者使用のための健康情報へのアクセスを保証するために、電子医療記録にアクセスする API の認定基準を策定しました。
このプログラムの一環として、ONC は、認定された API がどのように作動して HER システムへのアクセスが可能になるかについて、医療提供者、支払者、患者などに理解してもらえるよう、各機関の協力を得ながら熱心に取り組んでいます。API はすべてのデバイスとオペレーティングシステムで同じように機能し、データを要求すると、HER はあらゆるアプリケーションで利用できる互換性のある形式(JSON や XML など)でデータを返します。
アプリケーションは、API の呼び出し方法さえ知っていればよく、各 HER 内にデータがどのように保存されているかを知らなくても、様々な HER のデータにアクセスできます。API を活用して、アプリケーションはデータを簡単に組み合わせることができます。
API 利用におけるセキュリティ上の懸念
このように便利な API ですが、データアクセス可能な API は、便利さと引き換えに医療システムに新しいセキュリティの脆弱性をもたらすかもしれないという懸念も引き起こします。患者の記録へのアクセスは、患者本人からの適切な許可なしに与えられる可能性もあり、十分理解できる懸念事項です。
医療系 API では、この問題に、セキュアなハイパーテキスト転送プロトコル(secured Hypertext Transfer Protocol、HTTPS)を転送テクノロジとして使用することで対処しようとしています。多くの API は、セキュリティレベルを上げるため、OpenID Connect や OAuth 2.0 などの認証および承認ツールを使用しています。こういった手段を取り入れ、適切に管理された API は、アドホックなインタフェースや独自の統合テクノロジと比較して、実際に優れたセキュリティを提供します。インフラストラクチャにこれらの既存のスタンダードを使用し、しっかりした ID 証明プロセスが実行されれば、患者主導のアクセスをサポートするのに十分でしょう。
API でアクセスできる健康データのセキュリティについては引き続き十分な注意が必要ですが、他のテクノロジよりも特別大きな脅威があるとは考えられません。ONC 規制で、HER システムが API に対して確立されたセキュリティ・コントロールを利用することを要求しているからです。HIPAA のセキュリティ規則も、健康情報を保護するための合理的かつ適切な管理、技術、および物理的な保護を維持するように規定しており、セキュリティ・リスクの管理体制はある程度整っています。
API セキュリティ規制が整っていたら、それに合わせた実践が必要になりますが、そのための強力なツールが、MOVEit マネージド・ファイル・トランスファーです。医療機関は、このソフトウェアを使って、他の医療機関や患者とのすべてのファイル転送アクティビティを可視化し、コントロールすることができます。
シンプルな相互運用で効率的な情報提供
内部アプリケーション、EHR、その他のデータ交換で相互運用を行っている医療機関は、異種システム間で情報をスムーズにやりとりするため、API に注目しています。価値に基づいた治療、住民の健康管理、治療の協業などが重要視され始めており、治療時に実用的な詳細データにアクセスすることが必須になるため、このアプローチは極めて有用です。
また、API を使うことで、認定医療提供者と患者が、マルウェアや外部の脅威から保護されながら、電子健康記録データにアクセスできるようになります。多様なデータセットは使用する形式も様々であり、アプリ間の相互運用が複雑になるため、API の利用が重要になります。IT インフラストラクチャがクラウドに移行し、すべてがデジタル化される状況では、医療機関がデータにアクセスして共有できるようにするために、API を活用することが推奨されます。
情報は、多くのシステム間で使われても、常に整合性を保たなければなりません。API はシステム間で通信を行うためのウィンドウとして機能して、相互運用をシンプルにし、医師やその他の医療従事者、そして患者にデータをより効率的に提供します。ひいては、医療の質が向上し、世界の人々の健康が改善されます!
Greg Mooney
Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.