　臨床医療施設や医療保険者の情報システムと連携するゲノムデータは、医療保険の携行性と責任に関する法律（HIPAA）および経済的および臨床的健全性のための医療情報技術に関する法律（HITECH）上の電子保護対象保健情報（ePHI）に該当し、HIPAAプライバシー規則およびセキュリティ規則の順守が求められる。HIPAAを所管する保健福祉省（HHS）公民権室（OCR）は、2024年12月27日、「電子保護対象保健情報のセキュリティ強化のためのHIPAAセキュリティ規則制定案告示（NPRM）」（関連情報）を公表し、パブリックコメントの募集を開始した（募集期間：2025年3月7日まで）。表1は、同改正案が求めるサイバーセキュリティ対策の概要を整理したものである。

表1　HIPAAセキュリティ規則改正案の主要なサイバーセキュリティ対策［クリックで拡大］出所：U.S. Department of Health and Human Services (HHS)「Notice of Proposed Rulemaking (NPRM) to modify the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security Rule to strengthen cybersecurity protections for electronic protected health information (ePHI)」（2024年12月27日）を基にヘルスケアクラウド研究会作成

　今回のHIPAAセキュリティ規則改正案では、適用対象事業者（例：医療機関、医療保険者）に加え、外部委託先となる事業提携者や団体医療保険向けの要求事項を提示している点が特徴だ。特に、適用対象事業者の情報システムと接続する医療機器やデジタルヘルス機器を開発／運用する企業は、自社の事業継続計画を発動した場合、24時間以内にHIPAA適用対象事業者宛に通知しなければならない他、HIPAAセキュリティ規則の要求事項の順守状況に関するセキュリティ専門家の証明書を年1回適用対象事業者に提出しなければならないとしている。

　他方HIPAAプライバシー規則については、本連載第77回で触れたように、第1次トランプ政権下のHHSが2020年12月10日、「調整されたケアと個人の参画を支援し障害を取り除くためのHIPAAプライバシー規則改正案」（関連情報）を公表し、翌2021年1月21日、同規則制定案告示（NPRM）（関連情報）が連邦官報に掲載されたが、その後の作業は止まっている。今後、第1次トランプ政権下でまとめられたHIPAAプライバシー規則改正案と、バイデン政権下でまとめられたHIPAAセキュリティ規則改正案が、第2次トランプ政権下でどのように処理されるのか注目される。

ゲノムデータのセキュリティ／プライバシー統合管理をめざすNCCoE

　本連載第95回で、米国立標準技術研究所（NIST）国家サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）の「IR 8432：ゲノムデータのサイバーセキュリティ」草案を取り上げたが、同最終版は、2023年12月20日に公表された（関連情報）。

　この作業と並行してNCCoEは2023年6月15日、NISTサイバーセキュリティフレームワーク第1.1版（関連情報）をゲノムデータに適用させた「IR 8467 ゲノムデータ向けサイバーセキュリティフレームワーク・プロファイル」草案（関連情報）を公表している。当初は、このドキュメントと別個に、NISTプライバシーフレームワークをゲノムデータに適用させたプロファイルを策定するとしていた。

　その後NCCoEは2024年12月16日、NISTサイバーセキュリティフレームワーク（CSF）第2.0版（2024年2月26日公開、関連情報、PDF）およびNISTプライバシーフレームワーク（PF）第1.0版（関連情報、PDF）を取り入れた「IR 8467 ゲノムデータのサイバーセキュリティとプライバシーのコミュニティプロファイル」第2初期草案（関連情報）を公表し、パブリックコメントの募集を開始した（募集期間：2025年1月30日まで）。

　「コミュニティプロファイル」（関連情報）とは、様々な組織がNISTサイバーセキュリティフレームワークの共通分類法を使用して、コミュニティー（例：サイバーセキュリティポスチャにおいて共通のコンテキストを共有し、関心を持つ組織のグループ）内の複数の組織に適用されるサイバーセキュリティリスク管理ガイダンスを構築する方法を説明したものである。参考までに図1は、NCCoEが2024年2月26日に公表した「NISTサイバーセキュリティフレームワーク2.0：コミュニティプロファイル構築ガイド（初期草案）」（関連情報）より、CSFコアを利用したコミュニティプロファイルの全体像である。

図1　NISTサイバーセキュリティフレームワーク（CSF)コアを利用したコミュニティプロファイルの全体像［クリックで拡大］出所：National Institute of Standards and Technology (NIST)「NIST CSWP 32 (Initial Public Draft)　NIST Cybersecurity Framework 2.0: A Guide to Creating Community Profiles」（2024年2月26日）

　NISTサイバーセキュリティフレームワーク第2.0版では、機能（Function）に、「特定（Identify）」「防御（Protect）」「検知（Detect）」「対応（Respond）」「復旧（Recover）」の他、「統治（Govern）」が追加された。個々の機能は、サイバーセキュリティ成果グループ別に細分化した「カテゴリー（Category）」、カテゴリーを技術的な対策や管理面での対策がもたらす成果別に詳細化した「サブカテゴリー（Subcategory）」から構成される。図1内の★は、コミュニティプロファイルのコンテキストにおけるCSF 2.0の成果の重要度を示している。

　このようなフレームワークの考え方は、NISTプライバシーフレームワークにも踏襲されている。プライバシーフレームワークの機能は、「特定（Identify-P）」「統治（Govern-P）」「制御（Control-P）」「通知（Communicate-P）」「防御（Protect-P）」から構成され、個々の機能は、「カテゴリー」および「サブカテゴリー」とひも付いている。図2は、ゲノムデータプロファイル第2公開草案におけるサイバーセキュリティフレームワークとプライバシーフレームワークの統合を示したものである。

図2　ゲノムデータプロファイルにおけるサイバーセキュリティフレームワークとプライバシーフレームワークの統合［クリックで拡大］出所：National Institute of Standards and Technology (NIST)「Cybersecurity and Privacy of Genomic Data Fact Sheet」（2024年12月16日）

　今回公表されたIR 8467第2初期草案は、サイバーセキュリティフレームワークとプライバシーフレームワークを組み合わせたコミュニティプロファイルとして最初のユースケースであり、医療／ライフサイエンス以外の業界からも注目されている。

ゲノムデータ管理策の優先順位を付けるミッション目標を設定

　　　　　　 1|2|3|4 次のページへ