クラウドストレージ採用を断念した理由、愛媛大学病院

オブジェクトストレージで医療情報システムを構築

2016/03/26 17:42
神近 博三=日経デジタルヘルス

 「クラウドストレージは低価格ではないし、サービスが停止した場合の撤退戦略も確立されていない。新しい医療情報システムの検討時点では時期尚早と判断した」――。

 愛媛大学医学部附属病院 医療情報部副部長 愛媛大学大学院 医学系研究科 医学専攻社会・健康領域医療情報学講座 准教授の木村映善氏は、「メディカルジャパン 2016大阪」の医療情報フォーラム専門セミナーに登壇し、2014年5月に稼働した医療情報システムの統合ストレージについて講演した。

愛媛大学医学部附属病院医療情報部副部長の木村映善氏

 この医療情報システムを構築するまで、同病院では部門システムがそれぞれデータを管理しており、ストレージ容量に制限があるため5年以上経過したデータは廃棄されることも多かった。そこで、厚生労働省の「医療情報システムの安全管理に関するガイドライン」にある医療情報の電子保存の3原則「真正性」「見読性」「保存性」を保証しながら、長期間にわたって外部からの開示請求に応じられるようにするため「医療情報部がまとめてデータを預かりましょうということになった」(木村氏)。

サービス停止時の撤退戦略を描けなかった

 統合ストレージの構築では、米Amazon.com社などが提供するクラウドストレージの採用も検討した。クラウドストレージは激しい競争を背景に価格が年々低下している。さらに、耐久性についてもAmazon.com社の「Amazon S3」では同社のFAQサイトによれば「1万個のオブジェクトが格納されている場合、単一のオブジェクト損失が発生する予測平均発生率は、1000万年に1度」というレベルに到達している。

 だが、木村氏のチームはクラウドストレージの採用を見送った。理由の1つは、サービス停止時の撤退戦略が確立できなかったことである。例えば、2014年に米Symantec社の「Backup Exec.cloud」、2016年に入ってからも米Hewlett Packard Enterprise社の「HP Helion Public Cloud」がサービスを停止した。停止の発表から実際の停止までの期間はBackup Exec.cloudが1年、HP Helion Public Cloudは3カ月ほどしかなく、その短い期間に新しいサービスを見つけてデータの引っ越しを完了させなければならない。「こうした事態に対応する撤退戦略を描くことができなかったので、時期尚早と判断した」(木村氏)。

 もう1つの理由は、経済産業省の「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」の要求事項「サーバ・ストレージ等は国内法の適用が及ぶ場所に設置すること」である。ここでの「国内法の適用が及ぶ場所」はデータセンターの物理的な場所ではなく、クラウドベンダーと契約する場所を意味する。2013年前半の時点で、外資系クラウドベンダーではAmazon.com社だけが日本国内に自前のデータセンターを持っていた。だが、契約の場所はAmazon.com社の本社所在地である米国ワシントン州であり、「国内法の適用が及ぶ」という要求事項を満たすことができなかった。かといって、国内ベンダーのクラウドストレージでは、利用料金が一気に跳ね上がってしまう。

HIPAA準拠のミドルウエアを導入

 2014年5月に稼働した医療情報システムの統合ストレージ環境は、FC-SANで接続された高速の階層型ストレージ、10Gビット/秒のEthernetで接続されたプライマリーのオブジェクトストレージ、それに2Gビット/秒のEthernetで接続されたセカンダリーのオブジェクトストレージで構成される。

 サーバーには仮想化されたWindows Server 2012が稼働しており、そこに米Caringo社の「Caringo Swarm」をベースとするアステックのミドルウエア「Intrabox」をインストールして、サーバーからはすべてのストレージがSANストレージに見えるようにしている。Caringo Swarmは米国の医療情報管理の標準であるHIPAA(Health Insurance Portability and Accountability Act)に準拠したミドルウエアであり、複数の医療機関への導入実績を持つという。

 データはまずSSD、SASディスク、SATAディスクを混在させた高速の階層型ストレージに書き込まれ、ほぼ同時にプライマリーのオブジェクトストレージに同じ内容が書き込まれる。階層型ストレージの容量は150テラバイトと比較的少ないが、一定期間が経過するとオブジェクトストレージの同じデータにアクセスするための「エイリアス」だけを残して、データの実体は削除される。「そうすることで、150テラバイト以上のデータが扱えるようになる」(木村氏)。

 プライマリーのオブジェクトストレージの容量は528テラバイト、セカンダリーの容量は768テラバイト。プライマリーのデータは、ほぼリアルタイムでセカンダリーにReplication(レプリケーション)され、アーカイブとして保存される。セカンダリーのオブジェクトストレージは免震構造の別棟に設置されている。

 愛媛大学医学部附属病院は、Caringo社の「CAStor」というオブジェクトストレージ製品を導入している。オブジェクトストレージは「オブジェクト」として定義されたデータにオブジェクト固有のIDを使ってREST APIやSOAPなどHTTPベースのAPIでアクセスするストレージの総称である。Replicationおよび「Erasure Coding(イレージャーコーディング)」という冗長化手法を用いて信頼性を高めており、ディスクの台数が増えれば増えるほど信頼性が高まるという特徴がある。「RAID 5は2台、RAID 6は3台のディスクが壊れるとデータが吹っ飛ぶが、オブジェクトストレージではディスクが何台壊れてもデータが一気に吹っ飛ぶということはない」(木村氏)。

安全な外部保存のため秘密分散に注目

 今回は採用を見送ったクラウドストレージだが、「災害リスクの高い地域であれば、対価が妥当な範囲に収まるのであれば検討対象になる」(木村氏)。さらに、利用料金のさらなる低下、サービス撤退時にスムーズに乗り換えられるように「国内法の適用が及ぶ3社以上の事業者が、安定した経営状態で競争的にサービスを提供している状態」が実現すれば、現実的な選択肢となってくる。

 このため、木村氏は暗号化したデータを断片化して保存する「秘密分散」に注目している。秘密分散では情報が漏洩しても1つの断片から情報を復元できないため、通常の暗号技術よりも高いセキュリティーを確保できる。現時点では秘密分散の必要性に言及した公的なガイドラインは存在しないが、診療記録などの要配慮個人情報を外部保存するスキームとして認識が広まりつつあるという。