米国医療機関が迫られるAIサプライチェーンリスク管理とSBOMからAIBOMへの進化：海外医療技術トレンド（132）（1/4 ページ）

本連載第127回で、米国メディケア・メディケイドサービスセンター（CMS）が推進するAI駆動型デジタルヘルスについて取り上げたが、AIを導入する医療機関側では、サプライチェーンリスク管理の取り組みが進んでいる。

[笹原英司，MONOist]

　本連載第127回で、米国メディケア・メディケイドサービスセンター（CMS）が推進するAI（人工知能）駆動型デジタルヘルスについて取り上げたが、AIを導入する医療機関側では、サプライチェーンリスク管理の取り組みが進んでいる。

重要インフラとしての保健医療セキュリティ官民連携組織の取り組み

　米国には、重要インフラを構成する保健医療セクターにおけるサイバーセキュリティ関連官民連携組織として、「保健医療セクター調整委員会（HSCC）」（図1、関連情報）がある。

図1　米国保健医療セクター調整委員会（HSCC）（2026年6月5日時点）［クリックで拡大］ 出所：Health Sector Coordinating Council（HSCC）（2026年6月5日時点）

　HSCCは、サイバーおよび物理的リスクを軽減するガイダンス策定や、政府と連携した脅威への対応準備、インシデント対応の支援をミッションとしている。構成員は医療機関、医療保険者、医療機器／医薬品企業、ITベンダー、公衆衛生機関、業界団体など多岐にわたる。

　米国保健医療業界において、情報共有／分析センター（ISAC）や情報共有／分析組織（ISAO）が、24時間365日体制で攻撃予兆や脆弱性情報などの脅威インテリジェンスをリアルタイムに共有する「実戦／戦術レベル」の役割を担うのに対し、HSCCは「戦略／政策／ガイドラインの策定」を担う。HSCCは連邦政府機関（保健福祉省、国土安全保障省）との公式窓口であり、セクター全体のサイバーセキュリティ向上に向けた中長期戦略、規制への提言、ベストプラクティスの作成を行っている。

HSCCが注力するサードパーティーベンダーサプライチェーンリスク管理

　HSCCは、医療機関が調達するサードパーティー製品／サービスのサプライチェーンリスクマネジメント（SCRM）に焦点を当て、ガイドラインを提供してきた。

　2019年10月15日に公開された初版の「保健医療業界におけるサイバーセキュリティのサプライヤーチェーンリスクマネジメント（HIC-SCRiM）」（関連情報）では、主に中小規模組織のリーダー層を対象とし、サプライチェーンを通じたサイバーリスクを自組織で管理するための実践的なガイダンスとツールを提供した。医療機関からメーカー、検査機関、保険者に至るステークホルダーがサプライヤーに安全な製品／サービスを要求することで、市場原理によるサプライチェーン全体のセキュリティ水準向上と、それによる全体の恩恵獲得を目指している。初版では、NISTサイバーセキュリティフレームワーク（CSF）1.1版（関連情報）の「サイバーサプライチェーンリスクマネジメント（C-SCRM）」に準拠し、5つあるNIST CSFのサプライチェーン要件のうち3つに対応して、契約書条項案やリスク評価テンプレート等の実用ツールを提供した。

　2020年9月22日に公開された第2版の「保健医療業界におけるサプライチェーン・サイバーセキュリティリスクマネジメント（HIC-SCRiM v2.0）」（関連情報）では、サプライヤーのインシデント発生時における「契約条項の順守」および「対応／復旧のテスト」を追加網羅することにより、NIST CSFが定める5つのサプライチェーン要件全てをカバーするに至った。

　第2版の作成においては、米医療サイバーセキュリティ企業センサネット（Censinet）のCEOが主導し、ジョンソン・エンド・ジョンソンやメルクといった米国ライフサイエンス業界の専門家もタスクフォースに参画した。多様なステークホルダーの知見とノウハウが凝縮された内容となっている。