2021.06.22
Ver. 5.0
はじめに
国立研究開発法人科学技術振興機構(JST)バイオサイエンスデータベースセンター(以下、NBDC)は、NBDCヒトデータ共有ガイドライン(以下、共有ガイドライン)に則ってNBDCヒトデータベースを運営している。このガイドラインは、共有ガイドラインで定義する制限公開データを、外部に漏えいすることなく安全に研究活動に利用するために最低限遵守すべき内容を示したものである。
制限公開データには、他の情報と照合されることによって個人識別が可能になるデータが含まれている場合もあり、データごとにデータ提供者が指定したセキュリティレベル(標準レベル【TypeⅠ】又はハイレベル【TypeⅡ】)の対策を講じることが求められる。
なお、データ利用者をとりまくIT環境は千差万別で、日々変化しているため、このガイドラインを遵守するだけでセキュリティが十分に保証されるとは限らない。データ利用者は、制限公開データの保存や計算処理で利用するIT環境をよく理解し、各IT環境の管理者が定めるセキュリティ規則や他のガイドライン[1] [2]も参考にしながら、必要に応じて追加のセキュリティ対策を講じることが求められる。
このガイドラインについては、IT環境の進展に応じ、適宜見直しを行うものとする。
1. 用語定義
- 制限公開データ、データ
- 共有ガイドラインで定義している「制限公開データ」。
- 研究代表者
- 共有ガイドラインで定義している「研究代表者」。
- データ利用者
- 共有ガイドラインで定義している「データ利用者」ならびに「受託者」。
- データサーバ(図1参照)
- データ利用者が制限公開データの保存や計算処理を行うためのコンピュータで、データ利用者またはデータ利用者の所属機関が所有するもの、または、共有ガイドラインで定義している「所属機関外利用可能サーバ(以下、「機関外サーバ」)」。 なお、データサーバを含むIT環境は、前提条件として以下の(1)~(4)を満たすことが必要(「機関外サーバ」のみ利用の場合は除く)。
- (1)ノートPC等の移動性が高く紛失や盗難のリスクが高い機器を利用していないこと。
- (2)データサーバの機器およびデータを格納する記憶装置/媒体は、それらを所有する機関によって管理されていること。
- (3)データサーバをLAN内に設置する場合、LANはデータ利用者の所属機関が所有するものであること。また、データサーバを設置したLAN(以下、データサーバ設置LAN)は、所属機関のネットワーク管理者によって、外部ネットワークとデータサーバ設置LAN間の通信を制限するファイアウォールが設置され、外部とのアクセスが必要最小限(例:アクセス元、アクセス先のIPアドレスやポートが限定されている)に管理されており、高いセキュリティが保たれていること。
- (4)データサーバ設置LAN内に、データ利用者以外の者が利用するコンピュータが存在する場合は、ファイアウォール機能で他のコンピュータとの間の通信が適切に管理されていること。
- データ利用者が制限公開データの保存や計算処理を行うためのコンピュータで、データ利用者またはデータ利用者の所属機関が所有するもの、または、共有ガイドラインで定義している「所属機関外利用可能サーバ(以下、「機関外サーバ」)」。 なお、データサーバを含むIT環境は、前提条件として以下の(1)~(4)を満たすことが必要(「機関外サーバ」のみ利用の場合は除く)。
- データアクセス端末(図1参照)
- データがローカルに永続的に保存されることなく、データ利用者がデータサーバ内のデータにアクセスするための機器。尚、データアクセス端末とデータサーバ間のデータ伝送の際に、データサーバ設置LAN外の通信経路を介する場合は、全ての通信経路を十分な強度で暗号化する、またはデータ自体を暗号化した上で伝送する、ことが必要。
図 1 データサーバ設置LAN、機関外サーバ、データサーバ、データアクセス端末
2. 標準レベル [Type Ⅰ]セキュリティにおいて必要な対策
2-1. データ利用の原則
データ利用者は、制限公開データを以下の原則に基づいて利用すること。
- データ利用者は、制限公開データをデータサーバに保存し、原則、データサーバ外に移動しないこと。
- データ利用者は、制限公開データを、やむを得ず一時的に、データサーバ設置LAN内でデータサーバ外に移動しなければならない場合は、利用後速やかに復元不可能な方法で消去すること。
- データ利用者は、データのコピーは作成しないこと。ただし、以下の場合は例外とする。これらの場合も、利用後速やかに復元不可能な方法で消去すること。
- データをバックアップする場合。
- データ移動時に一時的に作成する場合。
- ソフトウェアによって一時的に作成される場合。
- 制限公開データへのアクセスはデータ利用者に限定し、データサーバまたはデータアクセス端末からのみ行うこと。
- データ利用者をとりまくIT環境は千差万別で、日々変化しているため、このガイドラインを遵守するだけでセキュリティが十分に保証されるとは限らない。データ利用者はデータの保存やデータの計算処理で利用するIT環境をよく理解し、各IT環境の管理者が定めるセキュリティ規則や他のガイドライン[1] [2]も参考にしながら、必要に応じて追加のセキュリティ対策を講じること。
2-2. 研究代表者が遵守すべきこと
<利用全般について>
- 研究代表者は、NBDCヒトデータ取扱いセキュリティガイドライン(データ利用者向け)を、データ利用者に周知して遵守させること。
- 研究代表者は、データ利用者が、所属機関等の実施する情報セキュリティに関する教育を、受講していることを確認すること。
- 研究代表者は、データ利用者とデータサーバ(ファイルシステム内での格納場所を含む)に関する情報をデータ利用者のみがアクセス可能な電子ファイル等で台帳管理し、変更が発生する都度、内容を更新すること。なお、変更履歴が確認できるように管理を行うこと。
- 研究代表者は、NBDCヒトデータ審査委員会、あるいはNBDCから依頼された第三者が実施する、セキュリティ対策の実施状況についての監査に応じること。
- 研究代表者は、データ利用申請時ならびに、1年毎に、"NBDCヒトデータ取扱いセキュリティガイドラインチェックリスト"をNBDCヒトデータ審査委員会事務局に提出すること。
- 研究代表者は、データの漏えい等セキュリティに関する事故が発生した場合、共有ガイドライン「データ利用者の責務」に記載の手順に従い、NBDCへの通知等の処置を実施すること。
<データサーバについて>
「機関外サーバ」を利用する場合には、研究代表者が「機関外サーバ」との責任分担を利用規約等で整理しておくこと。
- 研究代表者は、データ利用申請で申請した用途専用のデータサーバ(仮想サーバを含む)やファイルシステムを用意すること。やむを得ずデータ利用者でないユーザと共同でサーバ等を利用する場合は、データが保存されたフォルダのアクセス権限をデータ利用者に限定すること。
- 研究代表者は、データサーバ設置LAN内にデータ利用者以外の者が利用するコンピュータが存在する場合は、最低限OS付属のファイアウォール機能(例:iptables(Linuxの場合))や同等の機能を有効にし、データサーバ設置LAN内からの通信を適切に制限すること。
- 研究代表者は、データサーバのユーザIDやパスワードをデータ利用者間であっても共有せず、かつ、他人が類推できない十分な強度のパスワードを設定すること。(8文字以上であること。数字、英大小文字と記号を組合せたものが望ましい。氏名、電話番号、誕生日等の推測し易いものを利用しないこと。)
- 研究代表者は、データサーバにインストールした全てのソフトウェアについて、できる限り最新のセキュリティパッチを適用すること。
- 研究代表者は、不要なソフトウェアをインストールしないこと。特にファイル共有(ファイル交換、P2P)ソフト(例:Winny、BitTorrent)をインストールしないこと。
- 研究代表者は、ウィルス対策ソフトをインストールし、データサーバ外からファイルを取り込む場合はその場でウイルススキャンを実施すること。またウィルス対策ソフト及びウィルス定義ファイルは最新の状態を維持すること。
- 研究代表者は、OS起動時等に不要なプロセスはできるだけ起動させないこと。
- 研究代表者は、セキュリティ監視として、データサーバの各種ログの取得・分析を定期的に行うことが望ましい。
- 研究代表者は、制限公開データを保存した機器を廃棄する場合には、データの保存領域を復元不可能な方法で初期化すること。もしくは、復元不可能となるように物理的に破壊すること。
- データの漏えい等セキュリティに関する事故が発生した場合、研究代表者は、直ちにデータサーバ設置LANからデータサーバやデータアクセス端末を切り離すこと。
2-3. データ利用者が遵守すべきこと
- データ利用者は、所属機関等が実施する情報セキュリティに関する教育を受講すること。
- データ利用者は、データアクセス端末から、データサーバ設置LAN外の通信経路を介してデータサーバにログインする場合は、データアクセス端末とデータサーバ間のデータ伝送の都度、全ての通信経路を十分な強度で暗号化する、またはデータ自体を暗号化した上で伝送すること。データサーバ設置LAN内からデータサーバにログインする場合も、同様の暗号化を行うことが望ましい。
- データ利用者は、不特定多数が利用する機器(例:ネットカフェのPC)上の端末からデータにアクセスしないこと。
- データ利用者は、データアクセス端末には、できる限り最新のセキュリティパッチを適用すること。
- データ利用者は、データアクセス端末から離れる場合は、データサーバからログアウトするか、データアクセス端末をロックすること。また、一定時間(15分程度を目安)以上無操作の場合はデータアクセス端末画面がロックされるように設定すること。
- データ利用者は、データアクセス端末画面上のデータをコピーしてローカルディスクに保存しないこと。データアクセス端末画面上に表示されたデータをコピーしてローカルディスクに保存できないデータアクセス端末の利用が望ましい。
- データ利用者は、データアクセス端末にデータを自動的に保存する機能(いわゆるキャッシュ機能)がある場合は当該機能を無効にすること。
- データ利用者は、データのバックアップ取得の際は、以下のいずれかの条件を満たすこと。
- データサーバに保存すること。
- 移動可能機器(例:テープ、USBメモリ、CD-ROM、ノートPC)に保存する場合は、データを暗号化し、使用後はデータを復元不可能な方法で消去すること。また、移動可能機器はデータ利用者のみがアクセス可能な電子ファイル等で台帳管理し、盗難や紛失の可能性を最小限にするとともに、当該事実が発生した場合の早期発見を可能にすること。
- データ利用者は、やむを得ず一時的なデータ移動に移動可能機器を利用する場合もバックアップデータと同様に取り扱うこと。
- データ利用者は、やむを得ずデータを印刷する場合には、データ利用者以外の目に触れることがないようデータ印刷物を厳重に管理し、利用終了時にはシュレッダ処理すること。
- データ利用者は、データの利用を終了した場合は、バックアップも含めてデータを全機器から復元不可能な方法で消去すること。紙や移動可能機器で、上記方法での消去ができない場合には、裁断等により復元不可能となるように物理的に破壊すること。また計算途中で発生した一時ファイルもこまめに消去することが望ましい。
- データ利用者は、データの漏えい等セキュリティに関する事故が発生した場合、直ちにデータサーバ設置LANからデータサーバやデータアクセス端末を切り離したのち、研究代表者に報告すること。「機関外サーバ」利用の場合には、機関外サーバの利用規程等に従って、直ちに対策を実施するものとする。
3. ハイレベル[Type Ⅱ] セキュリティにおいて必要な対策(「機関外サーバ」のみ利用の場合は除く)
上記「2. 標準レベル [Type Ⅰ]セキュリティにおいて必要な対策」に加え、データサーバに関して以下の対策を講じること。
1. 研究代表者は、以下の条件を全て満たすサーバ室にデータサーバを設置すること。
- ①以下の3つの認証方法の内、2つ以上を組み合わせた多要素認証により入室者を限定すること。
- 生体認証(例:静脈、指紋、虹彩、顔)
- 所有物認証(例:ICカード、ワンタイムパスワード、USBトークン)
- 知識認証(例:パスワード)
- ②入室記録を自動取得し、後日監査可能であること。
- ③申請した用途専用のサーバ室であること。専用サーバ室を確保できない場合は、常時施錠された専用のサーバラックにデータサーバを格納すること。
4. 本ガイドラインに関する連絡先
参考文献
[1]. NCBI. NIH Security Best Practices for Controlled-Access Data Subject to the NIH Genomic Data Sharing (GDS) Policy. (オンライン) 2015年3月9日.
https://www.ncbi.nlm.nih.gov/projects/gap/cgi-bin/GetPdf.cgi?document_name=dbgap_2b_security_procedures.pdf
[2]. 厚生労働省. 医療情報システムの安全管理に関するガイドライン第5版 2017年5月.
https://www.mhlw.go.jp/file/05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou/0000166260.pdf
ガイドライン改定に伴う特記事項:
Ver. 4.0からの変更点:
文言の整理・明確化を行うと共に、データ解析受託者による利用に関する手続き、新申請システム導入による手続きの変更について改定を行った。
Ver. 4.0はこちら
Ver. 3.0からの変更点:
制限公開データを利用するデータサーバとして、データ利用者の所属機関所有のサーバに加えて、「機関外サーバ」も利用可能とした。また、セキュリティ項目について見直しを行った。
Ver. 3.0はこちら
Ver. 2.0からの変更点:
『オープンデータ』から『非制限公開データ』へと名称を変更した点のみ。
Ver. 2.0はこちら
Ver. 1.0からの変更点:
Ver. 1.0のType Ⅱレベルセキュリティでは生体認証のみを要求していたが、Ver. 2.0では生体認証の場合でもさらに所有物認証または知識認証のいずれかを要求することとした。Ver. 1.0に則った入室者管理を既に導入済みの場合は、認証装置の更新などの適切な時期にVer. 2.0に準拠すること。
Ver. 1.0はこちら
以上