正式発効する欧州保健データスペース「EHDS」で医療機器メーカーが果たす役割海外医療技術トレンド(116)(1/4 ページ)

本連載第70回から欧州連合(EU)の欧州保健データスペース(EHDS)構想を取り上げてきたが、ようやく正式に発効することが決まった。

» 2025年02月14日 08時00分 公開
[笹原英司MONOist]

 本連載第70回から、欧州連合(EU)の欧州保健データスペース(EHDS)構想を取り上げてきたが、ようやく正式に発効することが決まった。

EUがEHDSを保護する医療機関向けサイバーセキュリティ行動計画を発表

 ポーランド政府がEU理事会議長国を務める2025年上半期(関連情報)がスタートしてまもない2025年1月15日、EHDSに関連して欧州委員会は、「病院・医療提供者の欧州サイバーセキュリティ行動計画」を公表した(図1参照関連情報)。

図1 図1 病院・医療提供者の欧州サイバーセキュリティ行動計画・ファクトシート[クリックで拡大] 出所:European Commission「Factsheet - Action plan on cybersecurity of hospitals and healthcare providers」(2025年1月15日)

 この計画は、欧州委員会が2024年7月18日に発表した「2024-2029年政治ガイドライン」(関連情報)に基づく活動の一環として、医療分野における脅威の検知、対応準備、危機対応の改善に焦点を当てて、病院や医療提供者に対し、カスタマイズされたガイダンスやツール、サービス、トレーニングを提供することを目的としている。具体的には、以下のような構成になっている。

  • 1.イントロダクション
  • 2.病院・医療提供者のサイバーセキュリティ課題
    • 医療セクターに対するサイバー脅威
    • 病院・医療提供者のサイバーセキュリティ成熟度
  • 3.病院・医療提供者向けの欧州サイバーセキュリティサポートセンター
    • 3.1 サイバーセキュリティインシデントの防止
      • 確率を変えるシンプルな行動
      • 対応準備と対象を絞った支援
      • 医療サプライチェーンの確保
      • トレーニングとスキル開発
    • 3.2.保健医療セクターに対するサイバー脅威検知のための欧州のケーパビリティー
    • 3.3.迅速な対応と復旧
  • 4.国家の行動
  • 5.官民協力
  • 6.サイバー脅威アクターの抑止
  • 7.行動計画の実装とモニタリング
  • 8.次のステップ
  • 附属書 提案された行動の概要

 本連載第114回で米国の医療IoT(モノのインターネット)/OT(制御技術)セキュリティ課題を取り上げたが、欧州委員会の行動計画でも、病院・医療提供者のサイバーセキュリティ課題の一つとして、IT(情報技術)とOTの関係を挙げている。特にOTベースのレガシー機器のライフサイクル管理は、欧米共通の課題となっている。

 また行動計画では、クラウドコンピューティング利用をセキュリティ課題に挙げている。医療施設の間では、データストレージ管理の拡張性、コスト効率、改善されたコラボレーションの向上、AI(人工知能)やIoMT(Internet of Medical Things)に代表される先進技術のサポートなどのメリットを生かすために、クラウドベースのデジタルヘルスプラットフォーム利用が拡大する反面、調達や構成/変更管理などの面で、ユーザー側の意思決定に係るリスクが高まりつつあると指摘している。

 そしてEHDSを完全に展開するためには、堅牢で安全なデジタルインフラの確保が不可欠であり、それによって市民は自分の医療データを完全に管理できるようになるとしている。

 このような背景を踏まえて、行動計画では、防止(Prevention)、検知(Detection)、対応準備と復旧(Readiness and Recovery)、抑止(Deter)を柱とする病院・医療提供者向けのサイバーセキュリティ支援施策を打ち出している。これらの施策の推進役として期待されるのが、欧州連合サイバーセキュリティ庁(ENISA)と連携して計画する「病院・医療提供者向けの欧州サイバーセキュリティサポートセンター」であり、2025年第2四半期より新組織設置に向けた作業を開始する予定である。

 本連載第78回で触れたように、医療機器企業は、EUのネットワーク・情報システムの安全に関する指令2(NIS2指令、関連情報)の「重要な主体(Important Entity)」に該当するので、CSIRT(Computer Security Incident Response Team)/PSIRT(Product Security Incident Response Team)連携の観点から、新たな行動計画の進捗状況を継続的にチェックする必要がある。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.