広がる米国の医療サイバーセキュリティ連携、製品レベルから産業全体を包括へ：海外医療技術トレンド（26）（1/2 ページ）

米国で具体的な動きを見せていた医療機器のサイバーセキュリティ対策は、トランプ政権に移行する中で、製品レベルから医療産業全体のサイバーセキュリティエコシステム構築へと広がりつつある。

[笹原英司，MONOist]

　◆◇本連載第14回◆（http://monoist.atmarkit.co.jp/mn/articles/1605/26/news014.html）で、オバマ政権の米国サイバーセキュリティ法が医療機器開発に及ぼす影響を取り上げた。トランプ政権下では、製品レベルから医療産業全体のサイバーセキュリティエコシステム構築へと広がりつつある。

保健医療全体のサイバーセキュリティに取組む米国政府

　2017年6月2日、米国保健福祉省（HHS）の医療産業タスクフォースは、「医療産業におけるサイバーセキュリティ向上に関する報告書」（関連情報、PDFファイル）を公表した。同タスクフォースは、「2015年サイバーセキュリティ情報共有法」および「サイバーセキュリティ国家行動計画」基づき、保健医療分野の組織横断的な取組として、HHSが2016年3月に設置した組織である。本報告書の策定作業には、ライフサイエンス企業のほか、医療機関、医療保険者、サイバーセキュリティ団体などが関わった。

　図1は、医療サイバーセキュリティを取り巻く環境について、報告書が指摘した事項を示している。

• セキュリティ人材の深刻な不足：医療提供組織の大半では、常勤で質の保証されたセキュリティ要員が不足している
• レガシー機器：古い、サポート切れの、脆弱なOS上で、機器が稼働している
• 早熟／過度の接続性：「意味のある利用」の要求事項が、セキュアな設計・導入がないまま高度の接続性を促進した
• 脆弱性が患者のケアにインパクトを及ぼす：ハリウッド長老教会病院や英国の病院では、一度セキュリティが危険にさらされたことにより患者ケアが停止した
• 既知の脆弱性の感染：1つのレガシーな医療技術が1400以上の脆弱性を持つ

図1　医療サイバーセキュリティを取り巻く環境（クリックで拡大） 出典：HHS Health Care Industry Cybersecurity Task Force「Report on Improving Cybersecurity in the Health Care Industry.」（2017年6月2日）

　人、モノ、カネに限界のある状況下で、深刻化する医療サイバーセキュリティのリスクにどう対処していくかは、米国に限らず世界各国の医療産業が直面する共通課題だ。

　このような状況を踏まえ、タスクフォースは、以下のような責務を掲げている。

1. 医療産業のサイバーセキュリティに対するリーダーシップやガバナンス、期待を明確化、簡素化する
2. 医療機器やヘルスITのセキュリティ、レジリエンスを高める
3. サイバーセキュリティに対する認識や技術的能力を優先付けて保証するために必要な医療従事者の能力を開発する
4. サイバーセキュリティに対する改善された認識や教育を通して、医療産業の備えを強化する
5. 攻撃または漏えいから、R&Dの努力や知的財産を守るためのメカニズムを明らかにする
6. 産業の脅威やリスク、低減策に関する情報共有を改善する

　タスクフォースの報告書では、責務6項目それぞれについて、具体的な提言と行動アイテムを提示している。