欧州NIS指令が医療規制対応にもたらすインパクト：海外医療技術トレンド（33）（2/3 ページ）

[笹原英司，MONOist]

医療施設に影響が及ぶセキュリティとインシデント通知の要求事項

　次に図3は、NIS指令が規定した、重要サービスオペレーター（OES）およびデジタルサービスプロバイダー（DSP）に対する要求事項を整理したものである。

図3　NIS指令の重要サービスオペレーター（OES）／デジタルサービスプロバイダー（DSP）に対する要求事項（クリックで拡大） 出典：NIS指令を基にヘルスケアクラウド研究会作成（2018年3月）

　NIS指令は、各加盟国に対して、以下のような法的裏付けを提供することを念頭に置いている。

• 加盟国は、サイバーセキュリティインシデントを管理し、指令の適用を監督するように準備することができる、適切な国家フレームワークを有することを保証する。これには、国家サイバーセキュリティ戦略、コンピュータセキュリティインシデント対応チーム（CSIRT）、国家NIS所管官庁が含まれる
• 戦略的協力や情報交換を支援／促進するために、加盟国間で協調グループを創設する。加盟国はまた、CSIRTネットワーク特定のネットワーク・情報システムのセキュリティインシデントに関する迅速で効果的な業務協力やリスクに関する情報共有を促進する必要がある
• 情報ネットワークへの依存度が高い重要セクター（例：ユーティリティー、医療、運輸、デジタルインフラストラクチャなど）内の組織が、各加盟国によってOESに指定されるよう保証する。これらOESは、ネットワーク・情報システムに対するリスクを管理するために適切で相応のセキュリティ対策をとる必要があり、重大なインシデントを適切な国家機関に通知する必要がある。従って、産業界の参加は、指令の導入に際して重要である

　NIS指令に基づく各国法制の要求事項は、医療分野のOESに該当するEU加盟国の病院／診療所の情報システムにも求められることになる。EUの場合、PC端末やサーバだけでなく、モバイル／IoT機器や外部クラウドサービスも、ネットワーク・情報システムの構成要素と見なされる。

　また、NIS指令には、ハードウェアメーカーやソフトウェア開発企業を直接対象とする要求事項は設定されていない。しかし、サプライヤー／パートナーとして提供する製品／サービスが医療施設のシステムとつながれば、ICTサプライチェーンを介して法令順守が要求されることになる。EU域内で事業を展開する医療機器メーカーやデジタルヘルス企業は、ちょうど米国のHIPAA（Health Insurance Portability and Accountability Act of 1996：医療保険の携行性と責任に関する法律）における事業提携者（BA：Business Associate）と同じような状況になる可能性がある。

　例えば、外部ネットワークと接続した医療機器を標的にしたサイバー攻撃が原因で、医療施設の患者データが流出した場合、GDPRでは、原則として発覚後72時間以内に通知することが要求されるが、同時並行でNIS指令に規定されたインシデント通知も遂行する必要がある。