調査結果＃1：保健医療セクターにおいてインシデント対応の責任を有する主要な主体は、国単位のCSIRTである。保健医療セクターのCSIRTは、加盟国の中では、例外的存在にとどまっている。反面、情報共有など、セクター全体に渡るCSIRTの連携関係を構築する傾向が強まっている
調査結果＃2：保健医療セクターにおけるセクター特有のインシデント対応機能（IRC）の構築は、国単位のCSIRTにおけるセクター特有の知識の欠如に加えて、過去のインシデントに学んだ教訓やNIS指令の展開の結果であるように思われる
調査結果＃3：国単位の保健医療セクターCSIRTは、国単位のCSIRTが提供する包括的なサービスに加えて、セクターの特徴やニーズにより適応したサービスを提供する傾向がある
調査結果＃4：回答者によると、保健医療セクターにおける構成者のIRC構築を支援するために適切な主要リソースやツールは、インシデント分類や脅威モデリング、トレーニング、教育活動向けの共有フレームワークと、インシデント対応の行為者によるネットワークである
調査結果＃5：本研究より、CSIRTのインシデント対応開発をけん引する原動力は、組織のセキュリティ要求事項や責任と、インシデント対応関連情報の交換に関するセクター固有の明確化にあることが判明した
調査結果＃6：本研究により、保健医療CSIRTが直面する主要課題は、OES間のセキュリティ文化の欠如であること、そしてOESのITインフラストラクチャの管理（およびセキュリティ）はアウトソースされることが多く、OESのインシデント対応チームとの間に確立された連携ツールやチャネルがないという事実が、明らかになった

　これらを踏まえた上で、ENISAは以下のような提言を示している。

提言＃1：保健医療セクターCSIRT構築の強化および促進
提言＃2：OES自身のインシデント対応機能構築を支援する保健医療CSIRTの専門技術への資本供給
提言＃3：情報共有活動における保健医療CSIRTの役割の強化

　前述のIMDRF医療機器サイバーセキュリティ原則では、「6.0 医療機器サイバーセキュリティの市販後考慮事項」の中で、情報共有体制について触れているが、欧米と比較して日本の保健医療分野の場合、前提となるCSIRTやPSIRTの整備自体が遅れている。インシデント対応に関わる組織的連携体制の構築は、医療機器の市販前サイバーセキュリティ対策の観点からも急務となっている。

医療機器企業を直接適用対象とするNIS指令2の制定・施行へ

　このようなENISAの動きと並行して、欧州議会の産業・研究・エネルギー委員会（ITRE）は、2021年10月28日、ネットワーク・情報システムの安全に関する指令の改正草案（NIS指令2）を採択した（関連情報）。その後同年12月3日、欧州理事会は、NIS指令2草案を承認したことを発表した（関連情報）。

　新たなNIS指令2草案では、以下の3つの目標と具体策を掲げている。

サイバーセキュリティリスク管理

　域内市場全体の全ての公的・民間主体が、経済社会全体に対して重要な機能を満たしながら、適切なサイバーセキュリティ対策をとるように要求されることを保証するような規則を設定することによって、全ての関連セクターに渡り、欧州連合で広範囲に運営される事業体のサイバーレジリエンスの水準を高める。

インシデント対応・危機管理、脆弱性処理・情報開示、サイバーセキュリティテスト、効果的な暗号化の利用など、焦点を当てた対策の一覧表と合わせたセキュリティ要求事項の強化
重要な情報やコミュニケーション技術向けのサプライチェーン・サイバーセキュリティの強化
サイバーセキュリティリスク管理対策を順守するための企業管理の説明責任
報告のプロセスや内容、タイムラインに関するより正確な規定と合わせたインシデント報告の責務の簡素化

協力関係

　i）デファクトのスコープ、ii）セキュリティおよびインシデント報告の要求事項、iii）国レベルの監督と法執行を統治する規定、iv）加盟国の関連する監督官庁のケーパビリティ、これらを調整することによって、既に指令の対象となっているセクターの域内市場に渡るレジリエンスの矛盾を解消する

EUレベルの大規模なサイバーセキュリティインシデント・危機に対する調整管理を支援する欧州サイバー危機連絡組織ネットワーク（EU-CyCLONe）の創設
NIS協力グループの役割の強化に合わせた加盟国当局間の情報共有および協力関係の拡大
EU全体に渡って新たに発見された脆弱性に関する調整された脆弱性情報開示

ケーパビリティの増強

　i）監督官庁間の信頼の水準を高める対策をとる、ii）一層情報を共有する、iii）大規模なインシデントまたは危機が発生した際の規則や手順を設定する、これらによって、準備と対応に向けた共同の状況認識や集団的ケーパビリティの水準を向上させる

より厳格な監督手段と法執行措置の導入
サイバーセキュリティリスク管理および報告義務の侵害に対する制裁金など、行政処分一覧表の策定

　図1は、NIS指令とNIS指令2を比較したものである（関連情報）。

図1　NIS指令とNIS指令 2草案の比較［クリックで拡大］出所：European Commission「Revised Directive on Security of Network and Information Systems (NIS2)」（2020年12月16日）

　また、NIS指令2草案では、適用対象として、「不可欠な主体（Essential Entity）」と「重要な主体（Important Entity）」の2つのカテゴリーを設定している。個々のカテゴリーに含まれる主要な業種・業界は以下の通りである。

不可欠な主体（Essential Entity）

エネルギー（電気、地域冷暖房、石油、ガス、水素）
運輸（航空、鉄道、海運、道路）
銀行
金融市場インフラストラクチャ
保健医療（医療提供者、臨床検査機関、医療製品関連研究開発業、医薬品製造業、医療機器製造業）
上水道
下水道
デジタルインフラストラクチャ（ドメインネームサービス（DNS）プロバイダー、インターネットエクスチェンジ（IXP）、トップレベルドメイン（TLD）レジストリ、クラウドコンピューティングサービスプロバイダー、データセンターサービスプロバイダー、コンテンツデリバリーネットワーク（CDN）プロバイダー、トラストサービスプロバイダー、公衆電気通信ネットワークプロバイダー）
行政機関
宇宙

重要な主体（Important Entity）

郵便・配送サービス
廃棄物管理
化学品の製造・生産・流通
食品の生産・加工・流通
製造業（医療機器、コンピュータ・電子・光学機器、電機、機械。自動車、その他輸送機器）
デジタルプロバイダー（オンラインマーケットプレース、オンライン検索サービス、SNSプラットフォーム）

　なお、企業規模については、上記の業種・業界の中で、総売上高1000万ユーロ以上または従業員数50人以上の企業・団体に拡大されることになっている。また、違反企業に対する制裁措置などについては、現行のNIS指令と同様に、加盟国当局の法制に委ねられる。

　今後、NIS指令2は、欧州理事会と欧州議会との最終版に関する合意を経て、正式に発効となる予定である。その上で、発効後2年以内をめどに、NIS指令2に準拠した国内法制の整備を進めることになっている。

　医療機器企業は、NIS指令2の適用開始後、「重要な主体（Important Entity）」のカテゴリーに該当することになる。また、クラウド型で医療ソフトウェアを提供する場合、「不可欠な主体（Essential Entity）」のデジタルインフラストラクチャが関係してくる。加えて、新型コロナウイルス感染症（COVID-19）緊急対応時のような場合には、医療機器企業自体が「不可欠な主体（Essential Entity）」に該当する可能性が出てくる。

　このような状況を考えると、EU域内で事業を展開する医療機器企業は、現行のCSIRTやPSIRTの組織体制を見直して、内部向けの迅速な緊急対応と、外部向けの情報共有・分析活動を両立できるようなリスクコミュニケーション活動の展開に向けた取組に着手する必要がある。加えて、これまで医療機器の市販後対策を担ってきたメディカルアフェアーズ部門も、CSIRT／PSIRT部門との連携を強化する必要があるだろう。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
欧州NIS指令が医療規制対応にもたらすインパクト
欧州連合（EU）では、2018年5月から適用開始予定の一般データ保護規則（GDPR）に注目が集まっているが、その一方で、サイバーセキュリティのNIS指令がもたらすインパクトも大きい。特に、医療規制対応では、GDPRに加えてこのNIS指令に注目すべきだろう。
加速するEU医療機器規則とIMDRFセキュリティ原則の国際調和
本連載第50回で、欧州の医療機器規制改革とサイバーセキュリティ動向を取り上げたが、新規則施行に向けた動きが本格化してきた。
EUのワクチンパスポートを支える分散型連携基盤と「トラスト」
本連載第61回で、欧州連合（EU）の新型コロナウイルス感染症（COVID-19）向けデジタル接触追跡アプリケーションの越境連携エコシステムを紹介したが、今回は、ワクチン接種証明書（いわゆるワクチンパスポート）を取り上げる。
欧州をけん引するポストコロナのデータ駆動型健康戦略「EU4Healthプログラム」
本連載第57回で、新型コロナウイルス感染症（COVID-19）にデジタルで挑む欧州を取り上げたが、今回はポストコロナ時代に向けた欧州連合（EU）の新戦略について紹介する。
デジタルでリアルな課題の解決を目指す欧州の新型コロナウイルス対応策
新型コロナウイルス感染症（COVID-19）の感染拡大に苦しんでいる欧州だが、その一方でデジタルを活用した対応策も出始めている。