　本連載第25回で、米国立標準技術研究所（NIST）傘下の国立サイバーセキュリティセンターオブエクセレンス（NCCoE）が策定中の「NIST SP 1800-8：医療提供組織における無線輸血ポンプのセキュア化」（2018年8月最終版公開、関連情報）を取り上げた。NCCoEは、遠隔患者モニタリング（RPM）など、遠隔医療機能を活用する医療提供組織（HDO：Healthcare Delivery Organization）が直面するセキュリティ／プライバシーリスクの研究にも取り組んでいる。

　NCCoEは、この研究プロジェクトの中で、遠隔医療におけるRPMエコシステムのセキュリティを強化するための実用的なソリューション提供を目標としている。NCCoEのプロジェクトチームは、実験環境下でRPMエコシステムのリスク評価を実施して、医療機器の標準規格に基づき、NISTサイバーセキュリティフレームワークやガイダンスを適用するとともに、産業界や公的セクターと連携を深める方針を打ち出している。また、具体的なアウトプットとして、標準規格やベストプラクティスに基づいて、セキュアなソリューション展開に必要な実用的ステップに関するレファレンスデザインおよび詳細な記述を構築することを表明している。

　NCCoEは、2019年5月13日、「遠隔医療の遠隔患者モニタリングエコシステムのセキュア化：医療セクター向けサイバーセキュリティ」と題するホワイトペーパーを公表した（関連情報）。図2は、RPMエコシステムの全体アーキテクチャを示している。

図2　遠隔患者モニタリング（RPM）エコシステムの全体アーキテクチャ（クリックで拡大）出典：National Institute of Standards and Technology (NIST)「Securing Telehealth Remote Patient Monitoring Ecosystem: Cybersecurity for the Healthcare Sector」（2019年5月13日）

　このエコシステムは、大別すると、医療提供組織（HDO）、患者の家庭、遠隔医療プラットフォームプロバイダーから構成される。注目すべきは、それぞれをエンドツーエンドでつなぐところに、必ずAPIが存在する点だ。遠隔医療エコシステムにおいても、本連載第44回で触れたHHS傘下のONCの「医療アプリケーションプログラミングインタフェース（API）のための重要なプライバシーおよびセキュリティの考慮事項」（関連情報、PDF）などを参考にしながら、APIセキュリティの要求事項を充足する必要がある。

　次に表1は、RPMエコシステムのセキュリティコントロールマップ例を示している。

表1　遠隔患者モニタリング（RPM）エコシステムのセキュリティコントロールマップ例（クリックで拡大）出典：National Institute of Standards and Technology (NIST) 「Securing Telehealth Remote Patient Monitoring Ecosystem: Cybersecurity for the Healthcare Sector」（2019年5月13日）

　本連載第35回で触れた「NISTサイバーセキュリティフレームワーク1.1版」（関連情報）のフレームワークコアの各項目を軸として、IEC/TR 80001-2-2（医療機器のセキュリティニーズ、リスク、及びコントロールの伝達に関するガイダンス）、HIPAA（医療保険の携行性と責任に関する法律）セキュリティ規則、ISO/IEC27001（情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項）といったセクター特有の標準規格やベストプラクティスとのマトリックス表を提示している。

　医療施設やそこで働く医療従事者にとって、遠隔医療技術は目新しいものに見えるかもしれないが、それを支えるICTプラットフォームや業務プロセスのワークフロー管理、医師と患者をつなぐユーザーインタフェース（UI）／ユーザーエクスペリエンス（UX）などは、既存リソースの延長線上にある。新型コロナウイルス緊急対応期は、「作る」から「使う」への転換期でもある。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara