米国で厳格化する医療データの外部委託管理：海外医療技術トレンド（24）（2/2 ページ）

米国と言えば、患者データ漏えいなどの法令違反に関連して高額の制裁金を課すことで知られている。その矛先が、医療機関や医療保険者から外部委託先へと向かってきた。

[笹原英司，MONOist]

FBIが医療データ保存サーバに関する注意喚起を発出

図2　米国連邦捜査局（FBI）の医療機関に対するサイバー犯罪の注意喚起 出典：FBI「Cyber Criminals Targeting FTP Servers to Compromise Protected Health Information」（2017年3月22日）

　医療データ保存に対する監督を強化している当局はHHSだけでない。2017年3月22日、米国連邦捜査局（FBI）は、全土の医療機関／歯科医療機関に対し、「保護対象保健情報を危険にさらすFTPサーバを標的にしたサイバー犯罪」と題する民間産業向け告知を発出した（図2参照、関連情報、PDFファイル）。

　2015年に公表されたミシガン大学の「FTP：忘れられたクラウド」と題する報告書によると、匿名モードでアクセス可能な状態に構成されたFTPサーバが100万台以上あるという。FTPの匿名拡張の場合、共通のユーザー名（例：「anonymous」「ftp」など）で、パスワード無しもしくは一般的なパスワードや電子メールアドレスにより認証を受けることが可能である。この匿名モードの隙を突いたサイバー犯罪者が、機微な保護対象保健情報（PHI）や個人識別情報（PII）を保存するFTPサーバに対して、悪意のあるツールや標的型サイバー攻撃を仕掛ける可能性がある。

　FBIは、医療機関や歯科医療機関に対して、個々のITサービス要員に匿名モードで稼働するFTPサーバのネットワークを確認させるよう推奨している。また、事業者が、FTPサーバを匿名モードで運用するために、合法的に利用している場合、管理者は機微なPHI／PIIがサーバ上に保存されていないことを確認すべきであるとしている。

　米国内では、情報漏えい、ID詐欺、診療報酬の不正請求、ランサムウェアによる脅迫など、医療関連の不正事件が頻発しており、サイバーセキュリティの領域で、HIPAAを所管する保健福祉省（HHS）と刑事犯罪捜査を所管するFBIが連携する場面が増えている。

複数法令の要求事項が関わる医療データ保存の外部委託管理

　国際的な情報セキュリティ規格「ISO/IEC 27001:2013」では、ICTサプライチェーンに関わる管理策が要求事項に加えられた。個人患者データが行き来する医療機関や医療保険者のICTサプライチェーンで情報漏えい事故が発生したら、サプライチェーン全体を対象にインシデントレスポンス（事故対応）を実行し、規制当局に報告する必要がある。

　加えて、米国国立標準研究所（NIST）が2017年1月10日に公表した「重要インフラのサイバーセキュリティを向上させるためのフレークワーク 1.1版草案」（関連情報、PDFファイル）では、サイバーセキュリティ評価と並んで、サイバーサプライチェーンリスクマネジメント（C-SCRM）の章が追加された。医療は、金融、電力、公共交通などと並ぶ重要インフラに該当するので、NISTサイバーセキュリティフレームワークが改訂されたら、当然、対応を迫られることになる。医療機関に医薬品、医療機器、情報システムなどを提供するサプライヤー／パートナー企業は、サイバーサプライチェーンのエコシステムを構成すれば、同様の対応を迫られることになる。

　米国の医療機関や医療保険者の間では、サイバーセキュリティ関連の要求事項を調達基準に追加したり、サプライヤー／パートナー企業に対する監査を第三者機関に委託したりするケースが徐々に増えている。米国市場での事業展開を図る日本企業は要注意だ。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara