米国で続出するサイバー攻撃による大規模被害、日本も対岸の火事ではない:海外医療技術トレンド(11)(2/2 ページ)
米国の医療機関におけるサイバーセキュリティ対策が急ピッチで進む一方、続出するサイバー攻撃による大規模被害。日本の医療機器企業にとっても対岸の火事ではない。
サイバーセキュリティへの取り組みに積極的な米国医療界
2015年12月11日、NISTは、前述の「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.0版」に関する意見を求める情報提供依頼書(RFI:Request for Information)を発行した(関連情報)。
これに呼応して、医療情報管理システム学会(HIMSS)は同年2月8日、意見書を提出した(図2参照、関連情報、PDFファイル)。
NISTのサイバーセキュリティフレームワークは、医療機関を含む組織が、セキュリティインシデントに取り組み、一般的にサイバーセキュリティリスクを管理するために必要な5つの機能(「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」)をコアとしつつ、以下の5つのステップに従って、リスク管理プロセスを構築し、組織を導くことにフォーカスしている。
- 現行のサイバーセキュリティへの取組を書き出す。
- 目標とするサイバーセキュリティ対策の実施状態を書き出す。
- 継続的かつ繰り返し実施可能なプロセスを通じ、サイバーセキュリティ改善の機会を見つけ、実行にあたっての優先順位付けを行う。
- 目標達成までの進捗を評価する。
- 社内外の利害関係者とサイバーセキュリティリスクについて情報交換を行う。
HIMSSは、フレームワークコアの機能やフレームワークのステップを挙げた上で、これらのステップに従い、医療機関が、リスク管理プロセスを向上させ、サイバーセキュリティのリスクに取り組むことができる点がフレームワークの利点であるとしている。
またHIMSSは、プライバシーおよび情報セキュリティ管理に関連して、コンセンサスに基づく民間主導のガイドラインやベストプラクティス、手法、手順、プロセスを開発するためのツールとして、NISTのフレームワークは有効だという見解を示している。
その一方で、フレームワークの課題点も幾つか挙げている。第1に挙げているのが「フレームワークプロファイル」だ。組織として、サイバーセキュリティリスク管理上の目指す目標を達成するために必要な成果を示す「目標のプロファイル」が具体的に定義されていない点を指摘し、「現在のプロファイル」との間のギャップ分析を可能にする定量指標/ツール類の必要性を訴えている。
また、各医療施設が導入/運用するサイバーセキュリティ管理プログラムを継続的に向上させるために、電力業界向けサイバーセキュリティ成熟度モデル「ES-C2M2:Electricity Subsector Cybersecurity Capability Maturity Model」(関連情報)に匹敵するような医療分野の成熟度モデルの開発の必要性を訴えている。
加えてHIMSSは、プライバシーと公民権の保護に関連して、プライバシー管理と情報セキュリティ管理の相互連携/効率化に向けたサイバーセキュリティフレームワークの議論を行うよう提言している。医療施設を標的としたサイバー攻撃に起因する大規模な患者データ漏えい事案が続発している米国の状況下では、喫緊の課題だ。
なおHIMSSは、2016年2月29日〜3月4日に開催した「HIMSS 16」のカンファレンスと展示会の期間中、サイバーセキュリティ・コマンド・センターを開設し、積極的な啓発活動を行っている(関連情報)。
折しも、カリフォルニア州ハリウッドの大病院であるHollywood Presbyterian Medical Centerで、ランサムウェア(身代金要求型不正プログラム)によるサイバー攻撃被害が発覚し、米連邦捜査局(FBI)とロサンゼルス市警(LADP)が捜査に乗り出す事態となっている(関連情報)。前述のOCRも、医療施設に対して、ランサムウェア防止対策を積極的に呼びかけているところだ(関連情報)。
日本の医療施設や医療機器企業にとっても、サイバー攻撃は対岸の火事ではなくなっているので、注意が必要だ。
筆者プロフィール
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 連載「海外医療技術トレンド」バックナンバー
米国FDAが強化を求める医療機器のサイバーセキュリティ
重要情報インフラの中でも、サイバー攻撃による脅威の拡大が顕在化している米国の医療界。医療のICTサプライチェーンを担う医療機器企業に対するセキュリティの要求事項も高度化している。
医療機器にも情報セキュリティの脅威、IPAが調査報告書を公開
IPAが、医療機器に対する情報セキュリティの脅威や医療機器業界関係者の取り組み現状などをまとめた調査報告書「2013年度 医療機器における情報セキュリティに関する調査」を公開した。
米国発サービスモデル視点のIoT標準化と健康医療分野の関わり
ウェアラブル機器、遠隔モニタリングセンサーに代表されるモノのインターネット(IoT)は、医療/健康/介護福祉分野でも導入が進んでいる。今回は、米国におけるIoT全般の相互運用性/標準化に向けた取り組みを紹介する。