注:この記事は、有識者個人の意見です。COVID-19有識者会議の見解ではないことに留意ください。
- HER-SYSは行政機関と自治体、医療機関、そして感染者自身が共同利用するシステムであり、感染者にかかる要配慮個人情報を大量に扱うシステムである。このような特徴を持つシステムがゼロトラストネットワークモデル上に構築されたのは、日本では最初の事例であろう。
- 港区は2020年5月1日にHER-SYS先行利用自治体に応募し、5月15日にはNESIDからのデータ移行を受けて、試行を開始した。
- 保健所で最初の日に教えられた、感染症法における人権擁護と信頼関係。HIV等の検査はすべて匿名で受けられ、個人を特定できる情報は取り扱わない。要配慮個人情報を集めるシステムであればこそ、丁寧に個人情報保護と情報セキュリティの内部監査をしよう、そう考え始めていた2020年7月最初の週末に事件は起こった。
- 港区では、情報安全対策指針と個人情報取扱指針に基づいて、副区長が最高情報セキュリティ責任者(CISO)と個人情報保護監査役を兼務している。危機管理基本マニュアルにおいて、情報システムの障害は最高ランクの区の危機として定義され、区長までの即時報告が義務付けられており、初動としての影響範囲調査報告から始まり、再発防止対策の報告をもって終報となる。
- これらの仕組みにより、HER-SYSの試行導入中に不正アクセスのおそれ案件が生じた際にも、事件事故連絡票を起票し、区長や副区長にエスカレーションできた。システム構築の前には、そのシステムが情報セキュリティポリシーに適合したものなのかを判断し、構築後は適切な運用を支援できる体制が不可欠である。なによりも情報安全対策を最優先する組織風土が重要である。
1.感染症対策事務について
本稿では、新型コロナウイルス接触確認アプリ(COCOA:Covid-19Contact-Confirming Application)及び感染者の健康観察を行うWebシステムMyHER-SYSを含む新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS:Health Center Real-time Information-sharing System)の導入経緯と、現在までの運用を振り返りHER-SYS開発の問題点を解説する。
HER-SYSについては、すでに多くの記事が公開され、導入の経緯や度重なる障害発生が広く知られているが、行政機関と自治体、医療機関、そして感染者自身が共同利用するシステムであり、 感染者にかかる要配慮個人情報を大量に扱うシステムである。このような特徴を持つシステムがゼロトラストネットワークモデル上に構築されたのは、日本では最初の事例であろう。
システム化対象業務を押さえて考えるために、先ず、保健所が行っている感染症対策業務を説明する。
1.1 感染症法とは人権を守る法律
感染症の予防及び感染症の患者に対する医療に関する法律 (以下「感染症法」という。)の前文の一節には『我が国においては、過去にハンセン病、後天性免疫不全症候群等の感染症の患者等に対するいわれのない差別や偏見が存在したという事実を重く受け止め、これを教訓として今後に生かすことが必要である。このような感染症をめぐる状況の変化や感染症の患者等が置かれてきた状況を踏まえ、感染症の患者等の人権を尊重しつつ、これらの者に対する良質かつ適切な医療の提供を確保し、感染症に迅速かつ適確に対応することが求められている。』との記述がある。感染症法の法文には、「人権」という単語が5か所も出てくるほどで、保健所の着任時に保健所長からもこう念を押された。
「感染症対策は、過去の経験を活かし、人権尊重が重要な柱となっています。積極的疫学調査は、感染者との信頼関係に基づいて行われるものです。」
「人権」というキーワードが、収集や管理にどれほど神経を使うべき要配慮個人情報なのかを示しており、これは筆者がHER-SYSの適法性やリスク対策を判断する上での基準となった。
1.2 発生届を起点とした事務の概要
感染症法第12条に基づき、新型コロナの感染者と診断した医師は「新型コロナウイルス感染症発生届(以下「発生届」という。)」に記入して、医療機関最寄りの保健所にファックスで届け出る。
発生届は診断時点の患者の居所である医療機関所在地の保健所に届くもので、住民登録地の保健所に出されるものではない。発生届記載の患者の住所は、医療機関に申し出たもので、住民登録地がわからない方や住民登録地とは違う方もいる。また、診断後に入院せずに帰った患者の発生届は、帰った場所の最寄り保健所に移管し、発生届を転送している。
現在、この発生届は医療機関の医師がHER-SYSにログインして、直接に入力するようになっているが、大規模な医療機関においては医師個人アカウントではなく共有アカウントしか払い出されない、二要素認証のワンタイムパスワードに対応できない、「医療情報システムの安全管理に関するガイドライン」に基づくセキュリティ基準を満たしていない、等の理由で導入が遅れている。また、小規模な医療機関、診療所でも、操作できるものがいない、インターネット端末自体がない等の理由から、ファックスでの届出を続けている医療機関が多い。港区では独自に作成した医療機関向けセキュリティチェックシートを活用し、港区医師会の協力のもとにHER-SYS導入医療機関9割超を達成しているが、HER-SYSへの発生届入力代行が負担として残っている保健所が多い。
届出された、または他の保健所から移管された発生届をもとに、保健所の医師、保健師等の医療職チームは、感染症法第15条に基づく積極的疫学調査(注:今後の感染拡大防止を目的として、感染者と濃厚接触者に対して行動歴や家族状況、勤務状況等の聞き取り調査)を行う。また、感染者が増加した第2波以降は、入院療養か宿泊療養か自宅療養かのトリアージ、第6波以降は、自宅療養者の健康観察をどこで行うかの判定も行っている。
自宅療養者の健康観察については、港区では感染者の年齢、重症化リスクを考慮して、東京都の自宅療養者サポートセンター、都が委託した医療機関、妊産婦については助産師会、保健所の4か所のいずれかを選定して、依頼している。
また、事務職チームは、就業制限通知書や入院勧告書を作成して療養費申請書と一緒に本人に送付し、個人番号(マイナンバー)利用事務である公費負担事務、入院医療機関への支払事務、自宅療養期間証明の発行を行う。また、ファックスで届いた発生届のHER-SYSへの入力代行、第6波以降は後述する疫学調査フォームSMSの送信も行っている。
1.3 ICTを活用した事務改善
港区では、ICTを活用した数々の事務改善で、保健所職員の負担軽減を進めていった。
先ず、2020年4月30日には自宅療養中の感染者や濃厚接触者の健康観察のために、みなと保健所長が考案して独自開発した健康観察アプリをリリースした。保健師等が朝晩2回電話をかけていた確認が無くなり、濃厚接触者に発熱等発症の兆候があれば保健所にアラートメールが届き、手書きしていた健康観察記録もシステムからダウンロード出来るようになった。
後にHER-SYSにも健康観察機能、MyHER-SYSがリリースされ、自宅療養者へはMyHER-SYS登録URLがSMS(ショート・メッセージ・サービス)を発生届に記載された携帯電話番号にHER-SYSから送信できるようになった。このため、2020年12月には区の健康観察アプリの運用を停止している。
二つ目の取組であるが、感染症の公費負担事務は個人番号利用事務として、「情報提供ネットワーク」という総務大臣が設置・管理している個人番号と紐づけられた個人情報を関係機関間でやり取りするためのシステムからの所得情報や加入医療保険情報の照会が認められている。同時に「住民基本台帳ネットワーク」を利用しての本人確認情報照会、住民登録地を探すことも認められた事務である。
これらのシステムを利用できることを知らずにほとんどの保健所が他自治体や医療機関に電話照会していたが、2020年5月1日に内閣官房、総務省、厚生労働省から三省連名の通知が発出され、住基ネット統合端末や情報提供ネットワーク照会端末のアクセス権を付与し、端末を設置している。
三つ目として、コロナ以前は月に数件取り扱う程度だった感染症公費負担事務は、就業制限通知、入院勧告や延長勧告、公費負担決定通知等の作成、統計報告等、すべてが手作業であったが、職員がExcelで内製した感染者管理台帳システムの稼働により、負担を激減させることが出来た。このミニシステムはHER-SYSと重複しての入力作業が不要となるよう、発生届情報のダウンロードCSVから取込している。
四つ目として、各種帳票に区長印、割り印を押印する作業量が膨大なものであったため、第5波2021年8月からはすべて電子公印印刷に変更した。また、第6波2022年1月以降は、HER-SYSに追加された自宅療養証明作成機能を利用しているが、数千件の申し込みがあるため、即時発行には対応できていない。
五つ目として、感染者管理台帳システムから管内感染者情報ダッシュボードを大型ディスプレイへ表示することで、よく保健所へのテレビ局の取材で映されていたホワイトボードへの手書き情報共有を不要とした。また、このシステムからの性別・年代別統計分析で、リアルタイムで正確な情報把握と判断が可能となり、迅速な公表と区の施策決定に繋げることが出来た。
六つ目は、第6波2022年1月に実施した、HER-SYSの健康観察情報欄を活用した手書き疫学調査票の撤廃と区が独自に開発した疫学調査フォームシステムによる疫学調査の電話かけの削減である。
発生届を受理すると即座に疫学調査フォームへの入力依頼SMSを感染者の携帯電話番号へ送信し、保健師等が聞き取りしていた情報を感染者自身で入力してもらう。すべての項目に回答して登録が終わると、保健師等が伝えていた療養期間等の告知事項や療養中のサービス案内、体調が悪くなった場合の連絡先、自宅療養証明請求や後遺症相談窓口等が、コロナ感染者ポータルサイトとして表示される【図表1】。また、登録された情報をHER-SYSの健康観察情報欄にコピーして貼り付けし、紙の疫学調査票を撤廃した。
疫学調査の電話かけは一人あたり20分程度かかっていたので、2月までの発生届取り扱い件数から試算すると5000時間を超える電話かけ時間を削減している。このため、診断を受けた日の遅くとも翌日午前中には保健所から連絡が入ることで、感染者の安心にもつながった。
図表1 |
港区の疫学調査フォーム回答後のポータル画面 |
告知事項や説明が表示される。 |
1.4 東京都の公表への違和感
2020年5月、保健所からの報告漏れや重複報告により公表済コロナ患者数に不整合があったため訂正するとの都知事会見があった。都内保健所が東京都や国への報告を怠ったこと、FAXで書類をやり取りすることが集計ミスの原因であり、連携不足が原因と報道された。
当時は発生届が届く都度「LGWAN:Local Government Wide Area Network(総合行政ネットワーク、都道府県・市区町村等地方自治体間を結ぶ閉域網)」に接続した区の内部情報系端末からLGWAN-ASPホスティングサービスに置かれているNESID、国立及び地方感染症研究所が管理する「感染症サーベイランスシステム(NESID:National Epidemiological Surveillance of Infectious Disease)」に入力していた。そして、届出件数とNESIDから払い出された感染者個別IDを明記した送信票をつけて、毎晩退庁時に、都にファックスで送信していたので、報告が漏れていた事実も、重複して報告した事実もない。
この不整合調査の中で、東京都や一部自治体は、NESID統計の発生届出場所集計と異なり、移管後の管轄場所集計を行っていること、重複報告ではなく同一人の重複届出が多数あることに気がついた。
1.5 違和感の正体、定義の揺れと名寄せ
発生届事務では、①診断時の居所、②本人申出または保険証に記載の住所、③公費負担事務に必要な住民登録地、④家族に感染させないためにホテルに滞在、旅行中、友人宅に同居等の一時滞在地等、複数の住所情報を管理する必要がある。また、管轄する保健所も、①発生届受理保健所、②入院勧告や就業制限を行う保健所、③感染者の濃厚接触者の健康観察を行う保健所と三つの立場があり、それぞれが異なる保健所となる場合もある。
港区はHER-SYS開発中に先行利用自治体として2020年5月から参加していたため、HER-SYSについても仕様を点検したところ、当初の要件定義には、複数の住所や管轄保健所の概念がなかった。このため、管轄の考え方を説明し、管轄を移管する機能と移管を通知する機能を改善要望として提出している。
今なお、HER-SYSには公表される統計値が移管先で集計される、都道府県をまたいで移管すると取りまとめの県レベルではもう発生届件数は把握できない等、住所と管轄定義の揺れによる不具合が残っている。なお、大都市圏には郵送でのPCR検査とオンライン診療で診断する医療機関が偏在していることから、港区でも発生届の半分は全国の保健所に移管しており、これが管轄保健所から感染者への連絡が遅れる原因にもなっている。
もう一つの問題は、名寄せが不完全なために重複届出を見逃すことがあることである。感染症公費負担は個人番号利用事務であっても、発生届出時点では個人番号記載はないため、名寄せ、重複届出の除外は職員の記憶に頼っている。
不安から病院を転々として検査した方、出勤再開のために陰性証明提出を指示されてPCR検査を受けたらまだ陽性だった方(治った後も体内にウイルスのかけらが残り、ずっと陽性となる方が多くいる)、週に何件もそんな方の重複届出を発見し、医療機関に発生届取り下げの依頼をしている。
また、医療機関から提出される発生届は誤記載が多く、氏名、よみがな、生年月日、性別、本人申告の住所等の修正依頼が、毎日数件入っている。HER-SYSではマイナンバーも、名寄せが可能な正確な4情報(氏名、生年月日、住民登録地、性別)も保有しないため、ほかの保健所に出されて見逃された重複届出が相当数入った状態であると考えられる。
HER-SYS開発当初、感染者は全員入院であったため、感染者は、マイナンバー利用事務である感染症公費負担事務の対象者である。先行導入時、正確な名寄せのためにもHER-SYS上にはマイナンバーの保有が必要と改善要望にあげたが、特定個人情報ファイルとなってしまうため、無理との回答であった。
後に、全国の自治体が共同利用する新型コロナワクチン接種記録システム(VRS:Vaccination Record System)導入時には、「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)」の緊急事態条項を適用し、情報提供ネットワークシステムを利用しない特定個人情報ファイルの共同保有や情報連携を認めている。HER-SYSの要件定義をした担当者は、マイナンバー法をまったく理解していなかったか、単純に特定個人情報ファイルを保有するのはこわい、とでも思っていたようである。
現在は、都道府県レベルで、毎日手動による名寄せ作業で重複届出の点検を行っているが、移管された発生届や誤記載のままの発生届をデータクリーニングできる体制も機能も、未だに存在しない。
2.先行導入時の問題点
港区は2020年5月1日にHER-SYS先行利用自治体に応募し、5月15日にはNESIDからのデータ移行を受けて、試行を開始した。試行初日の夜には、開発事業者や厚生労働省CIO補佐官も同行しての説明があった。
2.1 データを集めることが目的のシステム
初めてHER-SYSの画面を見ながら話を聞くうちに何より驚いたのは、開発チームが誰一人として、発生届が出されるのは医療機関の管轄保健所という定義を知らなかったことである。感染者の管理では複数の住所情報を管理するという事も、管轄の定義も知らない人たちが作っているため、当初は移管する機能もなく、各種住所を入れるフレームもなかった。
そしてNESIDと比較して入力する項目が10倍以上も増えていること、入院勧告や就業制限等のマイナンバー利用事務を支援する機能が一切ないこと、入力項目の論理チェックが全くないこと、現場と乖離している点をあげればきりがない。特に、発生届出先の管轄保健所は全国400を超える保健所のプルダウンから選ばなくてはならず、万が一にも管轄保健所を誤選択すると、入力したデータがどこの管轄として登録されたかわからなくなり、検索することが一切できなくなるのであった【図表2】。
運用を考慮せず感染者のデータを集めるためだけの仕組みとしか思えないHER-SYSは、データを利用したい人が作ったシステムだと感じた。
図表2 |
改良後の担当保健所選択の画面 |
現在は都道府県内プルダウンになっているが、当初は全国400を超える中から保健所を選択する必要があり、自保健所の初期表示もなかった。 |
2.2 誰が要件定義をしたのか
このままリリースしてはいけない。これでは精度の低いデータの集合体になり、なんの分析にも使えない。せめて、入力している職員や医師の所属から管轄保健所は自動設定して欲しい、発生届が出たら保健所に通知が届くようにして欲しい、と、行方不明データを避ける方法を改善要望に列挙した。
厚生労働省から説明に来ていた担当者に改善して欲しいことを山のように並べて訴えると、ほっとした表情をされたのを思い出す。当時の開発チームは、感染症法をよく知らない、厚生労働省内での応援チームであり、感染症に詳しい職員の多くはすでに過労で倒れていたり、質問できるような雰囲気にはなかったそうだ。何も知らない人たちが目の前のものだけを見て、話しかけてくる人だけに聞いて、要件定義をしていたのだから、現場と乖離した偏った内容だったとしても、責めることはできなかった。
また、かつてのNESIDのように、試行期間中はインターネット環境から接続しているが、運用開始時には総務省が定めた「地方公共団体における情報セキュリティポリシーに関するガイドライン」に基づいて、LGWAN接続に移行するものだとばかり思っていた。
2.3 収集根拠のない入力項目増
次第にHER-SYSを試行導入する自治体が増える中、感染者の氏名や住所、生年月日、性別、職業に加えて、勤務先や行き先で会った人、感染者以外の個人情報、濃厚接触者の個人情報や、PCR検査を受けただけの人もすべて入力するように、これは感染症法第15条に基づく国への報告義務だ、との指示が来たのである。保健所の負担軽減のためのシステムと言いながら、入力項目と入力範囲の拡大は、旧システムNESIDの100倍を超えて、負担は増える一方であった。
3.運用の中で見えてきた問題点
保健所で最初の日に教えられた、感染症法における人権擁護と信頼関係。これがもっともわかるのが、法の前文にもあった後天性免疫不全症候群の原因となるHIV(ヒト免疫不全ウイルス)検査である。この検査は都内の保健所では匿名で受けられ、個人を特定できる情報は取り扱わない。また、港区には、著名人や外国人の感染者も多く存在する。要配慮個人情報を集めるシステムであればこそ、丁寧に個人情報保護と情報セキュリティの内部監査をしよう、そう考え始めていた、2020年7月最初の週末、その事件は起こった。
東京都全体での導入開始を前にして、入力担当職員アカウントを追加している時のこと。みなと保健所職員アカウントの中に、見知らぬ名前と異なるドメインを持つアカウントがあったのである。
3.1 漏えいのおそれ案件
慌ててスクリーンショットを撮り、HER-SYSヘルプデスクに問い合わせたところ、即座にそのアカウントは消された。SE作業のため、保健所のアカウントを作って作業していたが、消し忘れていたとの回答であった。筆者が過去に対応してきたベンダーのSE作業は、admin権限を用いて、複数の監督体制の下で実施されてきた。そもそも、患者データの閲覧権限を持っていない厚生労働省の委託事業者が、特権IDを持ち、どこの保健所アカウントも自由に作って入れる運用は信じがたいものであった。
以来、これをセキュリティ事故、漏えいおそれ案件として取り扱う港区と、正当なシステム管理者としての取り扱いであって、事故ではない、とする厚生労働省のせめぎあいが、始まった。
3.2 アクセスログ点検機能がない
不正アクセスがないことを確認したいと、厚生労働省に当該アカウントのアクセスログを求めたものの、これは事故ではない、の一点張りで、ログの提供は受けられなかった。提供できないはずである。ログはとっているものの、開示する機能自体を当時のHER-SYSは持っていなかったのである。
例えアジャイル開発中であろうともアクセスログ開示機能は、自己情報開示請求や不正アクセス等の点検や監査のためにISMSでもPMSでもマストの機能である。港区は試行利用を中止し、ログ開示を中心に、安全管理措置を強く求めた。
まず、情報セキュリティ対策として、技術的安全管理措置が施され、データの紛失・破壊・不正利用・不正修正・不正提供から保護されているか。これらの対応状況を判断するため、総務省が定めた「地方公共団体における情報セキュリティポリシーに関するガイドライン」との整合性の確認を求めた。
3.3 要配慮個人情報とGDPR
次に、要配慮個人情報取扱にかかる適法性の確認として、収集目的の明確化、必要最小限の項目を適法・公正な手段により収集しているか、違法な目的外利用や外部提供はないか。法的根拠と各利用者アクセス権限を記載したファイル項目詳細表の提示を求めた。
これらは不完全ながらも提供されたが、当初はHER-SYSのデータを使って分析する機関であるはずの感染症研究所にアカウントが払い出されていない等、不自然な運用が見られた。
そして、アクセスログの照会機能でもある、自己情報開示等請求対応機能の追加構築を求めた。自治体が管理する情報は自治体の個人情報保護条例に基づいて管理するが、港区に多い欧州連合加盟国出身の感染者情報についてはGDPR:General Data Protection Regulation(EU一般データ保護規則)の適用を受ける。日本の個人情報保護法はGDPRの十分性認定を受けているが、自治体に改正個人情報保護法が適用されるのは2023年のため、それまでは十分性認定の適用対象外となる。万が一個人情報取り扱いにかかる事故が発生した場合、自己情報開示請求対応をはじめとする安全管理措置が甘いとEUに判断されれば、膨大な制裁金リスクは避けられない。
幸いなことに厚生労働省は8月下旬、港区の要望をすべて受け入れるとの回答を提示し、2か月にも渡った対立は終了する。HER-SYSにログ開示機能がリリースされたのを受けて、2020年9月10日から、港区ではHER-SYSの試行利用を再開した。併せて、総務省の仲裁を受けた厚生労働省からLGWAN接続サービスによる結合を提案されたため、10月末のLGWAN移行にともなって、港区は日本で最後のHER-SYS利用開始保健所となった。
3.4 次々と起こる問題
感染症法に基づき、国や都道府県は当該感染症の発生状況等に関する情報を公表することになっている。このため、HER-SYSが保有する感染者データを匿名化したデータを用いた感染症発生動向情報等可視化システムの試行が2020年11月から始まった。保健所や都道府県向け公開サイト、学術機関向け情報公開サイト、国民向け情報公開サイト等からなるこの可視化基盤のWeb説明会に参加し、その違法な内容に驚いた。
当該情報については、厚生労働省から情報の公表に係る基本方針が発出され、感染者個人が特定されることによる人権侵害を防止するため、感染者発生に関する公表基準が定められている。ところが、可視化基盤の公表予定情報として例示されたものは、公表しないと定められている情報(感染者の居住している市区町村、感染者の年齢、国籍等)が多数含まれるものであった。Web会議の席上、保健所として厳重抗議し、変更を求めたが、ここでも公表システムの開発者は公表に係る基本方針も公表基準も知らなかった。
そして、HER-SYSが不正アクセス、サイバー攻撃を受けていた事実を2020年末に知ることになった。厚生労働省とサイバーセキュリティを所管する部門がやりとりしていたHER-SYSのシステム脆弱性に関する文書を添付した機密情報メールが、突然、誤送信されてきたのである。おそらくOutlookの送信先メールアドレス入力補完機能をオフにしていなかったためであろうが、システム担当にはありえないことである。
文書には、筆者が、HER-SYSに対して、情報セキュリティ対策をしつこいほどに求めていた2020年8月中旬、HER-SYSに対する不正アクセスやサイバー攻撃が多発していたこと、調査内容の詳細が記されていた。求めていた情報セキュリティ対策が再発防止策に挙げられ、改善を求めていた点が脆弱性と指摘されていたのには、思わず失笑した。
実はこの頃、厚生労働省幹部が直々にHER-SYSを導入していない自治体を訪問、首長と面談して、国が用意したものを何で使わないのだ、と申し入れしていたが、港区だけはHER-SYSに情報セキュリティ対策が整っていないことを理由にお断りしている。厚生労働省が港区の要望をすべて受け入れて、態度を一変させたのは、この不正アクセスやサイバー攻撃事件のおかげかもしれない。同時に、事件を把握していたはずの時期に偉い方が自治体を訪問していたことから、厚生労働省と開発委託事業者はインシデントのエスカレーション、上長への報告をしていないこともわかった。
インシデントのエスカレーション欠如という点では、2021年2月に判明したHER-SYSのサブシステムであるCOCOAの不具合に対しても、同様の問題があった。4か月以上前から不具合が報告されていたにもかかわらず、多重再委託の中で責任が不明確となり、適切な対応が取られていなかった。
また、HER-SYSには、テスト環境が整備されていないようで、動作テストや結合テスト、ストレステスト等を経た稼働判定を行っておらず、機能追加やバージョンアップがある度に、リリース後にシステム障害が発生している。行政システムを構築した経験があるベンダーが開発にかかわっていないためと思うが、港区ではサービス水準合意 (SLA:Service Level Agreement)を定め、ダウンタイム99.99を当然のこととして契約している。
3.5 HER-SYS「入力」にかかる障害
HER-SYS導入当初から、保健所での入力代行の負担は問題となっていたが、第3波の2020年末には前月分の発生届の3割がHER-SYSへ入力ができていない北海道について報道され、これを機に増大していた入力項目の軽減が図られた。また、第5波の2021年8月前後には増え続ける発生届にHER-SYS自体が対応できずにアクセス障害が多発したため、ファックスによる発生届で対応するようにとの通知が、厚生労働省からあった。入力や移管処理が遅れたことから、疫学調査に入るタイミングが届出から何日間も後になり、他自治体では保健所からの連絡がないまま自宅で亡くなられたケースも生じた。
第6波の2022年1月には、HER-SYSのキャパシティを大きく超える発生届が出たために、都市圏を中心にHER-SYSにアクセスできない医療機関や保健所が続出した【図表3】。第5波と同様にアクセスできない場合はファックスで送るようにとの通知があり、各保健所では紙での疫学調査を余儀なくされた。また、医療機関へのHER-SYSアカウント払い出しが進まず保健所での発生届入力を続けていた大阪市では、2万件を超える未入力案件が発生し、HER-SYSで集計している発生動向統計に反映されない感染者が生じた。大阪市に限らず、多くの保健所が1週間前後遅れて入力していたため、1月の正確な感染者数を国が把握できたのは2月中旬であった。
第6波でのHER-SYSアクセス障害では、2021年10月以前の発生届データをいったん退避してサーバーから削除し、空き領域を増やすという臨時対策がとられた。その後1週間以上にも及ぶ夜間メンテナンスを行い、サーバー容量を10倍に拡充し、アクセス負荷分散機能が追加された。設計時点の見込みの甘さ、拡張性を配慮していなかった責任はどこにあるのであろうか。
図表3 |
HER-SYS画面例 |
1月25日前後のHER-SYSが動かない時の画面である。 |
4.感染症対策システムへの信頼のために
最後に、2年間にわたって新型コロナウイルス感染症対策に従事し、HER-SYSと関わった経験から、信頼されるシステム構築は、どうあるべきかを考える。
港区では、情報安全対策指針と個人情報取扱指針に基づいて、副区長が最高情報セキュリティ責任者 (CISO: Chief Information Security Officer)と個人情報保護監査役を兼務している。CISOの下には、コンピュータやネットワークにセキュリティ上の問題が起きていないかを監視し、問題発生時には原因解析や影響調査を行う組織、CSIRT(Computer Security Incident Response)も設置している。
また、危機管理基本マニュアルにおいて、情報システムの障害は最高ランクの区の危機として定義され、区長までの即時報告が義務付けられており、初動としての影響範囲調査報告から始まり、再発防止対策の報告をもって終報となる。
これらの仕組みにより、HER-SYSの試行導入中に不正アクセスのおそれ案件が生じた際にも、事件事故連絡票を起票し、区長やCISOである副区長にエスカレーションできた。そして、CSIRTというシステムの信頼性を判断できる体制が確立されているからこそ、国が再発防止対策や安全管理措置にかかる資料を提示するまでは、HER-SYSの導入を判断できない、トップ自らが明確に答えていた。
システム構築の前には、そのシステムが情報セキュリティポリシーに適合したものなのかを判断し、構築後は適切な運用を支援できる体制が不可欠であり、そして情報安全対策を最優先する組織風土が必要である。
4.1 それは適法なものであるか
感染症にかかる要配慮個人情報は、感染症法前文や条文中にも再三書かれているように、人権侵害に直結する情報である。その取扱いが厳しく制限されているにもかかわらず、HER-SYSのファイル項目定義では、感染症法第15条の積極的疫学調査としてなんでも集めていいとの解釈が見られた。感染症拡大防止のため、人の生命財産を守るためと、安直に感染者の情報を公表する自治体も多いために人権侵害が生じており、このままでは過去のハンセン病やHIVと同様に国家賠償や損害賠償請求ともなり得る。
システムの導入や構築に当たっては、情報法制の視点から、情報の取り扱いが適正・適法なものであるかを点検する必要がある。そのシステムは人を幸せにするものなのか、と言い換えてもいいかもしれない。
4.2 個人情報保護法制との整合性
感染症法には、通常の個人情報保護法制以上に厳しい制限や理念がある。現時点では自治体個別の個人情報保護条例との解釈の相違も顕著である。感染者の情報は要配慮個人情報であると定義してきたが、筆者の勤務する港区の個人情報保護条例には要配慮個人情報の定義はない。
どこの地域であっても、同一の水準で、人権に配慮した個人情報取扱いにかかる判断ができる体制が求められてきたが、2021年の個人情報保護法改正で、地方自治体への個人情報保護法適用が決まった。2023年の施行からは、国の機関である個人情報保護委員会が統一的に自治体を監督することになり、全自治体がGDPRの十分性認定を受けたことになる。
参考までに、直近の民間機関向けの個人情報保護法改正では、不正アクセスでの漏えいを重要視しており、法令違反に対する法人の罰則金が1億円に引き上げられる等、厳罰化された。適切な安全管理措置がなければ訴訟リスクや賠償リスクが高まることを踏まえた対応が求められている。
4.3 ゼロトラストネットワークの推進
2020年9月、HER-SYSの正式導入を審議した港区個人情報保護運営審議会では、「パブリッククラウド上に国が構築、または自治体が共同利用するシステムにおける個人情報の取扱いについては、国で早急に留意事項等をまとめていくべき」との意見が出た。先ずは自治体クラウドの公的監査や認定制度、自治体にお墨付きを示せる仕組みが求められる。
自治体システムについては、長年三層分離と呼ばれるネットワークに境界を設ける物理的安全管理措置が基本と示されてきた。コロナと共存する社会としてデジタル化が進む中では、コスト面からもインターネット経由でのクラウドや共同システム利用は不可欠のものである。自治体はゼロトラストネットワークモデルへと移行し、すべての通信を信用しない運用が求められている。
この点についても、国・地方行政のIT化、デジタルトランスフォーメーションの推進を目的に、2021年9月にデジタル庁が設置されたことで、システムに関連する情報法制の整備と併せて改善がはかられるものと期待している。