米国の医療機関におけるサイバーセキュリティ対策が急ピッチで進む一方、続出するサイバー攻撃による大規模被害。日本の医療機器企業にとっても対岸の火事ではない。
2016年2月25日、米国保健福祉省(HHS)の公民権局(OCR)は、国立標準技術研究所(NIST)の「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.0版」(関連情報、PDFファイル)と「医療保険の携行性と責任に関する法律(通称:HIPAA)」のセキュリティ規則をマッピングさせるツール「クロスウォーク」を公表した(関連情報)。
従来、HIPAAの適用を受ける医療機関や医療保険者は、NISTの「HIPAAセキュリティ規則導入のための入門リソースガイド改定第1版(NIST Special Publication 800-66 Revision 1)」(関連情報、PDFファイル)や「連邦政府情報システムにおける推奨セキュリティ管理策改定第4版(NIST Special Publication 800-53 Revision 4)」(関連情報、PDFファイル)をベースに、セキュリティのリスク評価、管理策の導入/運用を行ってきた。NISTも、HIPAA順守を支援するために、「HIPAAセキュリティ規則ツールキット」(関連情報)を開発/提供している。
加えて、保健医療分野は、重要情報インフラ(CII)の1つであることから、医療機関や医療保険者は、チーフ・インフォメーション・セキュリティ・オフィサー(CISO)やサイバー・インシデント・レスポンス・チーム(CIRT)を中心に、NISTの「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.0版」をベースとしながら、サイバーセキュリティのリスク評価、管理策の導入/運用も行う必要がある。
今回、OCRがNISTと共同で開発したマッピングツールは、医療現場が、個別の法令・ガイドライン類ごとに対応することなく、サイバーセキュリティ管理を効率化できるように支援することを目的としたものだ。
図1は、「クロスウォーク」におけるNISTサイバーセキュリティフレームワークとHIPAAセキュリティ規則のマッピング例を示している。NISTサイバーフレームワークのAppendix Aのカテゴリーごとに、HIPAAの他、「CCS CSC」「COBIT 5」「ISO/IEC 27001: 2013」「ISA 62443」「NIST SP 800-53 Rev. 4」などのセキュリティ基準の関連項目を参照できるようになっている。
なお、医療機器製造/販売事業者であっても、提供するデバイスやソフトウェア、クラウドサービスなどが、ネットワークを介して、HIPAAの適用対象主体である医療施設/医療保険者のシステムと連携し、患者の個人データなど保護対象保健情報(PHI:Protected Health Information)をやりとりすれば、HITECH法(Health Information Technology for Economic and Clinical Health Act of 2009)の規則に基づき、「事業提携者(BA:Business Associate)としてHIPAA順守義務が課せられる。OCRが定期的に実施しているHIPAA監査の対象に、医療機器事業者も入ってくることがあるので、事前のセキュリティリスク評価などを実施しておくことが必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.