広がる米国の医療サイバーセキュリティ連携、製品レベルから産業全体を包括へ:海外医療技術トレンド(26)(2/2 ページ)
米国で具体的な動きを見せていた医療機器のサイバーセキュリティ対策は、トランプ政権に移行する中で、製品レベルから医療産業全体のサイバーセキュリティエコシステム構築へと広がりつつある。
医療セキュリティ分析を支える省庁共通のリスクベースアプローチ
医療産業全体のサイバーおよびフィジカルの両面にわたるセキュリティ対策については、2016年5月に国土安全保障省(DHS)が「医療・公衆衛生セクター向け計画」(関連情報、PDFファイル)を公表している。図2は、DHSが示した医療/公衆衛生セクター向けのリスクベースアプローチであり、リスクの特定、脆弱性の削減、インパクトの低減、レジリエンスの強化という一連の流れに基づく包括的/統合的な手法を特徴としている。
図2 国土安全保障省(DHS)の医療・公衆衛生セクター向けリスクベースアプローチ(クリックで拡大) 出典:Department of Homeland Security 「Healthcare and Public Health Sector-Specific Plan - 2015.」(2016年5月)
HHSのタスクフォースは、DHSの医療/公衆衛生分野計画を踏まえ、サイバーフィジカルな重要インフラとしての医療セキュリティ対策に落とし込む形で、医療産業全体の組織的構造について整理している。図3は、タスクフォースが想定する医療エコシステムの全体像を示しており、直接患者ケア、検査/血液/医薬品、医療材料、医療IT、大規模犠牲者管理サービス、健康保険プラン/支払者、公衆衛生、連邦政府対応/プログラム部局から構成される。
図3 保健福祉省(HHS)のタスクフォースが想定する医療のエコシステム(クリックで拡大) 出典:HHS Health Care Industry Cybersecurity Task Force 「Report on Improving Cybersecurity in the Health Care Industry.」(2017年6月2日)
この中で医療機器は、医療材料のカテゴリーに含まれる。本連載第25回で取り上げた、米国NISTによる無線輸血ポンプのセキュリティガイドライン草案でも分かるように、今後は、医療機器本体の製造物責任だけでなく、その背後に広がる複雑なネットワーク全体のセキュリティリスク管理策における役割/責任分担が重要となる。そうなると、本連載第24回で取り上げた、患者データに関わる外部委託先としての責任も、医療機器企業にのしかかってくる。
サイバーセキュリティ大統領令で注目される保健医療行政の取組方針
なお、HHSのタスクフォースは、今後の検討課題として、以下のような点を挙げている。
- 報告書の提言を実践するための包括的な計画を構築し、実践のプロセスを評価するための適切な測定基準を構築する
- 国家インフラストラクチャ保護計画と同様に、医療サイバーセキュリティとプライバシーに重なり合うリスク分析を実行する。分析を基に、医療/公衆衛生セクター向けの包括的なサイバーセキュリティ・ロードマップを構築する
- このタスクフォースと同様に、継続的な官民フォーラムを設置し、産業の発展とともに、医療産業のサイバーセキュリティについて議論する。タスクフォースのメンバーは、このような連邦政府パートナーとの交流が、共通のサイバーセキュリティ課題と懸念を理解するのに有益であることを見いだしている
- HHSのリーダーシップは、既存のDHSと保険産業の努力とより密接に連携して、医療産業における民間保険のアプローチを実現するロードマップを定義する際に役立てるべきである。セキュリティ向上のための規制当局およびファシリテーターとして、時にコンフリクトを生むHHSの役割は、産業に基づく保険市場を奨励することによって軽減される可能性がある
- 継続的な対話を実現し、小規模で地方の組織が直面する障害を克服するのに役立つようなリソースと促進策を特定する戦略を構築する
折しも、2017年5月11日、米国大統領のドナルド・トランプ氏は、サイバーセキュリティに関する大統領令に署名した(関連情報)。大統領令では、HHSを含む連邦政府の各省庁や機関のトップがサイバーセキュリティの責任を負うことが明記され、各省庁や機関が作成する詳細な報告書と計画の要件も示された(関連情報)。今回のタスクフォースの報告書を踏まえ、保健医療行政機関がどのような取り組み方針をホワイトハウスに報告するかが注目される。
筆者プロフィール
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 連載「海外医療技術トレンド」バックナンバー
急展開した米国サイバーセキュリティ法が医療機器開発に及ぼす影響
ホワイトハウス主導の米国サイバーセキュリティ法が2015年末から急展開を始めている。同法は保健医療分野の製品/システム開発にどのような影響を及ぼすのだろうか。
米国で具体化する輸血ポンプのサイバーセキュリティ対策
米国で具体的な動きを見せつつある医療機器のサイバーセキュリティ対策。医療機器ユーザーの視点に立ったガイドラインづくりも具体化している。
米国で厳格化する医療データの外部委託管理
米国と言えば、患者データ漏えいなどの法令違反に関連して高額の制裁金を課すことで知られている。その矛先が、医療機関や医療保険者から外部委託先へと向かってきた。
トランプ政権下で注目される米国保健医療行政のIT戦略計画
2015年7月に掲載した連載第1回では、米国のヘルスIT戦略計画を取り上げた。2016年11月からトランプ政権が発足したが、これに合わせてあらためて米国の医療業界を所管する行政サイドのIT戦略を見ていこう。