　この医療サイバーセキュリティ報告書では、医療・公衆衛生セクターにおける最近のインシデント事例として、2024年2月にランサムウェアのサイバー攻撃被害に遭った医療保険請求サービス企業であるチェンジ・ヘルスケアのケースを挙げている（関連情報）。同社は、データの盗難を伴うランサムウェアのサイバー攻撃被害に遭い、推定8億7400万米ドル（約1334億円）規模の損失を被り、医療提供者や患者ケアに広範な影響を及ぼしたとしている。

　GAOは、前述のIoT／OT報告書やランサムウェア報告書の勧告を踏まえ、HHSに対して、表3のような勧告を行っている。

表3　米国会計検査院（GAO）の保健福祉省（HHS）に対する重要インフラセキュリティ関連の勧告［クリックで拡大］出所：U.S. Government Accountability Office (GAO)「Healthcare Cybersecurity: HHS Continues to Have Challenges as Lead Agency」（2024年11月13日）を基にヘルスケアクラウド研究会作成

　GAOは、HHSがこれらの勧告を完全に実行するまでは、医療・公衆衛生セクターにおけるサイバーセキュリティの主導機関としての責任を効果的に果たすことができず、医療提供者や患者ケアに悪影響を及ぼすリスクがあると述べている。

　特に、IoT／OTデバイスのサイバーセキュリティリスク管理に関連して、医療・公衆衛生セクター全体の課題となっているのが、レガシー機器のインベントリ管理／製品ライフサイクル管理である。参考までに、FDAはMITREと連携して、2023年11月15日、「レガシー医療機器のサイバーセキュリティリスク管理に向けた次のステップ」（関連情報）を公開している。

第2次トランプ政権に引き継がれるIoT／OTセキュリティ管理策

　加えてGAOは、バイデン政権から第2次トランプ政権への移行期に入った2024年12月4日、「モノのインターネット：法的要求事項の処理が必要な連邦政府機関のアクション」（関連情報）と題する報告書を公表している。これは、前述の2020年IoTサイバーセキュリティ改善法に基づく2回目のGAO報告書になる。

　GAOは、サイバーセキュリティまたは調達の責任を有する連邦政府機関を特定し、これらの機関が作成したIoTに関する関連ガイダンスを概説している。またGAOは、これらの機関の実装の取り組みを、法律およびOMBのIoTインベントリと猶予プロセスの要求事項と比較した上で、関連する機関の担当者にインタビュー調査を実施している。

　2020年IoTサイバーセキュリティ改善法の対象となる23の文民連邦政府機関におけるOMBのIoTインベントリおよび猶予に関する要求事項への対応状況は以下の通りである。

3機関（HHS含む）は、OMBが設定した期限（2024年9月30日）までにインベントリを完了できず、2025会計年度に実施する予定であるとしている。6機関は期限を設定しておらず、1機関はIoTがないためインベントリを作成する予定はないとしている
6機関は、特定の要件に対するIoTサイバーセキュリティの猶予を報告していた。ただし、6機関のうち5機関の担当者は、猶予を報告すべきではなかったとしている。5機関のうち4機関はその後報告を修正している。さらに1機関は猶予を削除して修正し、1機関（HHS）はまだ猶予を修正していない。さらに、OMBは報告された猶予データを検証せず、誤った情報を報告している

　このように、医療・公衆衛生セクターを所管するHHSは、GAOの勧告への対応を完了しておらず、IoTインベントリ管理の遅れが最重要課題となっている。GAOは、HHSに対して、以下のような勧告を行っている。

HHS長官は、最高情報責任者（CIO）に対して、提案された修正後の期限内に対象となるIoTインベントリを完了するよう指示すべきである
HHS長官は、CIOに対して、認められたIoTの猶予がOMBの要求事項に対応していることを確認するよう指示すべきである

　IoT／OTセキュリティ課題への取り組みは、第2次トランプ政権下でロバート・ケネディ・ジュニア氏が主導するHHSに委ねられることとなった。

第2次トランプ政権の政策動向に注意

　第1次トランプ政権は、連邦政府機関が制定した規則を議会が審査し、承認または無効化する権限を有する「議会審査法（CRA）」を活用して、過去の政権時に制定された規則を無効化した実績がある。第2次トランプ政権が正式にスタートする2025年1月20日に向けて、HHSおよび関連する連邦政府機関の規制動向が注目されている。

　例えば、本連載第23回で第1次トランプ政権下のHHSによる「2017-2020年情報技術（IT）戦略計画」、第65回で「2020-2025年連邦医療IT戦略計画」を取り上げたが、バイデン政権下のHHSは、2024年9月30日、GAOの勧告内容を反映させた「2024-2030年連邦医療IT戦略計画」を公表している（関連情報）。2024-2030年医療IT計画では、本連載第111回で触れた医療データ2次利用のためのインセンティブ付与施策が重要な役割を担うが、そのベースになっているのは、第1次トランプ政権下で始まった「相互運用性の促進（Promoting Interoperability）」プログラム（関連情報）である。

　なお、医療機器規制に関連して、FDA傘下の医療機器・放射線保健センター（CDRH）は、2024年10月10日、2025会計年度に発行を計画している各種ガイダンスの一覧表および優先順位を示す「2025会計年度CDRHガイダンス提案」（関連情報）を公表しているが、第2次トランプ政権の対応いかんで計画に影響が及ぶ可能性がある。特に、バイデン政権下で2023年10月30日に発出された「AIの安心、安全で信頼できる開発と利用に関する大統領令第14110号」（関連情報）に準拠した医療AI関連ガイダンスなどは要注意だ。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
ICTインフラが支えるイタリアのeヘルスとAI法対応
本連載では2024年に入って、欧州地域からフィンランド、デンマーク、エストニア、フランスのeヘルスを取り上げてきた。今回はイタリアの最新動向を取り上げる。
米国の医療データ標準化で広がる2次利用とAI
本連載第91回で、米国の研究開発領域におけるアプリケーションプログラミングインタフェース（API）やデータの相互運用性標準化に向けた動きを取り上げたが、その後、臨床現場における医療データ流通やAI利用が本格化している。
ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策
本連載第80回で、米国食品医薬品局（FDA）の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。
米国規制当局のDXが医療イノベーションに及ぼす影響
本連載第23回で米国保健医療行政のIT戦略を取り上げたが、その後、デジタルトランスフォーメーション（DX）の取り組みが加速している。
トランプ政権下で注目される米国保健医療行政のIT戦略計画
2015年7月に掲載した連載第1回では、米国のヘルスIT戦略計画を取り上げた。2016年11月からトランプ政権が発足したが、これに合わせてあらためて米国の医療業界を所管する行政サイドのIT戦略を見ていこう。