Case

医療法人 想定D

医療法人グループに Google Workspace ゼロトラスト基盤を導入

個人情報保護とリモート診療の両立を目的に、Workspace 環境のゼロトラスト設計・運用ルール策定・監査ログ基盤を構築した想定事例。

· セキュリティ /医療
医療法人 想定D 医療法人グループに Google Workspace ゼロトラスト基盤を導入

クライアントについて

医療法人想定D(グループ名「DELTA CARE」)は、関東圏で 8 クリニックを運営する中規模医療法人グループです。常勤医・看護師・事務スタッフを含めて約 350 名が勤務し、オンライン診療・多拠点連携・電子カルテ番連携と、現代医療に求められるデジタル要件が急速に拡大しています。

導入前の課題

従来型の境界防御型セキュリティでは、現代の现場要件に追いつけませんでした。

  • VPN 依存型アクセスのスケーラビリティ限界:拠点数・デバイス数の拡大により VPN 連接不安定・運用コストが急增
  • 個人情報保護・監査要件の高度化:医療データ・カルテ情報へのアクセスログを領域ごとに取る需要が出たが、既存の仕組みでは追跡不足
  • BYOD / SaaS 利用の「影システム化」:診療現場の効率化のため現場スタッフが脱 IT 部門の SaaS を導入し始めており、ガバナンスリスクが高まっていた
  • インシデントレスポンスの遅さ:万一の事象時のスコープ特定・影響説明に平均 4 時間かかっていた

VPN 依存・境界防御型セキュリティの課題

提供したソリューション

Google Workspace を軽に、BeyondCorp Enterprise を基本ポリシーとしたゼロトラストアーキテクチャへ移行しました。デバイス・アイデンティティ・コンテキストを検証してアクセスを許可するモデルで、領域・職能ごとの詳細権限テンプレートも作りこみました。

併せて、インシデント発生時の一次対応 SOP をプレイブック化し、同ジャンルの応対をただちに起動できる体制をともに整えました。

実装プロセス

合計 6 ヶ月で 8 クリニック全拠点のゼロトラスト移行を完了しました。

  • Phase 1:現状のアクセスパターン棚卸し / データ分類と領域ポリシー設計
  • Phase 2:BeyondCorp Enterprise のポリシー設計・適用 / デバイス・アイデンティティ・位置情報ポリシーの統合
  • Phase 3:クリニック・社外重要拠点への段階導入 / 現場スタッフへの訓練
  • Phase 4:個人情報取り扱いに関する運用ルールブック策定 / インシデントレスポンスプレイブック作成と訓練

ゼロトラストメッシュアーキテクチャとコンテキスト検証

成果と効果

  • セキュリティインシデントのスコープ特定・影響説明タイムを平均 4 時間 → 20 分に短縮
  • VPN 運用コストを年間 600 万円削減
  • 個人情報保護監査も規定準拠でクリア、職能・領域ごとのアクセス記録が一元管理される形に
  • 現場スタッフからの UX 評価も向上(「VPN 接続不要、PC を開けばすぐ使える」)
  • BYOD / SaaS もポリシー上で許可される形となり、影システムリスクが大幅軽減

今後の展望

次フェーズとして、監査ログに対するAI アノマリ検知を導入予定。意図しないデータアクセス・不審なセッションパターンを LLM が検出し、現場とセキュリティチームにエスカレーションする仕組みを検討中です。