　NISTのサイバーセキュリティフレームワークは、医療機関を含む組織が、セキュリティインシデントに取り組み、一般的にサイバーセキュリティリスクを管理するために必要な5つの機能（「特定（Identify）」「防御（Protect）」「検知（Detect）」「対応（Respond）」「復旧（Recover）」）をコアとしつつ、以下の5つのステップに従って、リスク管理プロセスを構築し、組織を導くことにフォーカスしている。

現行のサイバーセキュリティへの取組を書き出す。
目標とするサイバーセキュリティ対策の実施状態を書き出す。
継続的かつ繰り返し実施可能なプロセスを通じ、サイバーセキュリティ改善の機会を見つけ、実行にあたっての優先順位付けを行う。
目標達成までの進捗を評価する。
社内外の利害関係者とサイバーセキュリティリスクについて情報交換を行う。

　HIMSSは、フレームワークコアの機能やフレームワークのステップを挙げた上で、これらのステップに従い、医療機関が、リスク管理プロセスを向上させ、サイバーセキュリティのリスクに取り組むことができる点がフレームワークの利点であるとしている。

　またHIMSSは、プライバシーおよび情報セキュリティ管理に関連して、コンセンサスに基づく民間主導のガイドラインやベストプラクティス、手法、手順、プロセスを開発するためのツールとして、NISTのフレームワークは有効だという見解を示している。

　その一方で、フレームワークの課題点も幾つか挙げている。第1に挙げているのが「フレームワークプロファイル」だ。組織として、サイバーセキュリティリスク管理上の目指す目標を達成するために必要な成果を示す「目標のプロファイル」が具体的に定義されていない点を指摘し、「現在のプロファイル」との間のギャップ分析を可能にする定量指標／ツール類の必要性を訴えている。

　また、各医療施設が導入／運用するサイバーセキュリティ管理プログラムを継続的に向上させるために、電力業界向けサイバーセキュリティ成熟度モデル「ES-C2M2：Electricity Subsector Cybersecurity Capability Maturity Model」（関連情報）に匹敵するような医療分野の成熟度モデルの開発の必要性を訴えている。

　加えてHIMSSは、プライバシーと公民権の保護に関連して、プライバシー管理と情報セキュリティ管理の相互連携／効率化に向けたサイバーセキュリティフレームワークの議論を行うよう提言している。医療施設を標的としたサイバー攻撃に起因する大規模な患者データ漏えい事案が続発している米国の状況下では、喫緊の課題だ。

　なおHIMSSは、2016年2月29日～3月4日に開催した「HIMSS 16」のカンファレンスと展示会の期間中、サイバーセキュリティ・コマンド・センターを開設し、積極的な啓発活動を行っている（関連情報）。

　折しも、カリフォルニア州ハリウッドの大病院であるHollywood Presbyterian Medical Centerで、ランサムウェア（身代金要求型不正プログラム）によるサイバー攻撃被害が発覚し、米連邦捜査局（FBI）とロサンゼルス市警（LADP）が捜査に乗り出す事態となっている（関連情報）。前述のOCRも、医療施設に対して、ランサムウェア防止対策を積極的に呼びかけているところだ（関連情報）。

　日本の医療施設や医療機器企業にとっても、サイバー攻撃は対岸の火事ではなくなっているので、注意が必要だ。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara