図1　病院・医療提供者の欧州サイバーセキュリティ行動計画・ファクトシート［クリックで拡大］出所：European Commission「Factsheet - Action plan on cybersecurity of hospitals and healthcare providers」（2025年1月15日）

　この計画は、欧州委員会が2024年7月18日に発表した「2024-2029年政治ガイドライン」（関連情報）に基づく活動の一環として、医療分野における脅威の検知、対応準備、危機対応の改善に焦点を当てて、病院や医療提供者に対し、カスタマイズされたガイダンスやツール、サービス、トレーニングを提供することを目的としている。具体的には、以下のような構成になっている。

1．イントロダクション
2．病院・医療提供者のサイバーセキュリティ課題
- 医療セクターに対するサイバー脅威
- 病院・医療提供者のサイバーセキュリティ成熟度
3．病院・医療提供者向けの欧州サイバーセキュリティサポートセンター
- 3.1 サイバーセキュリティインシデントの防止
  - 確率を変えるシンプルな行動
  - 対応準備と対象を絞った支援
  - 医療サプライチェーンの確保
  - トレーニングとスキル開発
- 3.2．保健医療セクターに対するサイバー脅威検知のための欧州のケーパビリティー
- 3.3．迅速な対応と復旧
4．国家の行動
5．官民協力
6．サイバー脅威アクターの抑止
7．行動計画の実装とモニタリング
8．次のステップ
附属書提案された行動の概要

　本連載第114回で米国の医療IoT（モノのインターネット）／OT（制御技術）セキュリティ課題を取り上げたが、欧州委員会の行動計画でも、病院・医療提供者のサイバーセキュリティ課題の一つとして、IT（情報技術）とOTの関係を挙げている。特にOTベースのレガシー機器のライフサイクル管理は、欧米共通の課題となっている。

　また行動計画では、クラウドコンピューティング利用をセキュリティ課題に挙げている。医療施設の間では、データストレージ管理の拡張性、コスト効率、改善されたコラボレーションの向上、AI（人工知能）やIoMT（Internet of Medical Things）に代表される先進技術のサポートなどのメリットを生かすために、クラウドベースのデジタルヘルスプラットフォーム利用が拡大する反面、調達や構成／変更管理などの面で、ユーザー側の意思決定に係るリスクが高まりつつあると指摘している。

　そしてEHDSを完全に展開するためには、堅牢で安全なデジタルインフラの確保が不可欠であり、それによって市民は自分の医療データを完全に管理できるようになるとしている。

　このような背景を踏まえて、行動計画では、防止（Prevention）、検知（Detection）、対応準備と復旧（Readiness and Recovery）、抑止（Deter）を柱とする病院・医療提供者向けのサイバーセキュリティ支援施策を打ち出している。これらの施策の推進役として期待されるのが、欧州連合サイバーセキュリティ庁（ENISA）と連携して計画する「病院・医療提供者向けの欧州サイバーセキュリティサポートセンター」であり、2025年第2四半期より新組織設置に向けた作業を開始する予定である。

　本連載第78回で触れたように、医療機器企業は、EUのネットワーク・情報システムの安全に関する指令2（NIS2指令、関連情報）の「重要な主体（Important Entity）」に該当するので、CSIRT（Computer Security Incident Response Team）／PSIRT（Product Security Incident Response Team）連携の観点から、新たな行動計画の進捗状況を継続的にチェックする必要がある。

医療機器／デジタルヘルス企業の役割が明確になったEHDS

　　　　　　 1|2|3|4 次のページへ