欧州NIS指令が医療規制対応にもたらすインパクト:海外医療技術トレンド(33)(1/3 ページ)
欧州連合(EU)では、2018年5月から適用開始予定の一般データ保護規則(GDPR)に注目が集まっているが、その一方で、サイバーセキュリティのNIS指令がもたらすインパクトも大きい。特に、医療規制対応では、GDPRに加えてこのNIS指令に注目すべきだろう。
NIS指令に基づくEU加盟国のセキュリティ法整備が進む2018年
「ネットワーク・情報システムのセキュリティに関する指令(NIS指令)」(関連情報)は、EU全域に渡るネットワーク・情報システム全体のセキュリティとレジリエンス(障害許容力)のレベルを向上させることを目的として、2016年5月17日にEU理事会で採択され、翌月の欧州議会による採択を経て、同年8月に発効した。現在、EU各加盟国は、2018年5月9日を期限として、NIS指令に準拠した国内法制の整備を進めている。
図1は、欧州ネットワーク・情報セキュリティ機関(ENISA)が、2017年3月25日に公表した報告書「NIS標準化におけるギャップ - EU標準化政策におけるNIS向上のための提言」(関連情報)の中で、NIS指令がカバーするサイバーセキュリティの全体像を可視化したしたものである。
図1 NIS指令の焦点(クリックで拡大) 出典:ENISA「Gaps in NIS standardisation - Recommendations for improving NIS in EU standardisation policy」(2017年3月15日)
ENISAは、以下の6つの質問に答える形で、NIS指令に関連する要素技術をまとめている。
- サイバーセキュリティとは何か
- 誰または何が影響を受けるのか
- どんな対策が保護を可能にするか
- どんな手段が脅威の検知を可能にするか
- どんな対策が阻止およびその他の救済策を可能にするか
- どんな法的救済策が存在するか
図2は、同じ報告書の中で、NIS指令に関連するステークホルダーを整理したものである。
図2 NIS指令のステークホルダー(クリックで拡大) 出典:ENISA「Gaps in NIS standardisation - Recommendations for improving NIS in EU standardisation policy□」(2017年3月15日)
NIS指令に関わる産業セクターのステークホルダーで注目されるのが、重要サービスオペレーター(OES:Operator of Essential Services)とデジタルサービスプロバイダー(DSP:Digital Service Provider)だ。
OESは、エネルギー(電力、石油、ガス)、運輸(空運、鉄道、海運、陸運)、銀行、金融市場インフラストラクチャ、医療(病院、診療所)、飲料水供給・配送、デジタルインフラストラクチャ(ドメインネームサービス(DNS)プロバイダー、インターネットエクスチェンジ(IXP)、トップレベルドメイン(TLD)レジストリ)のセクターに属し、ネットワーク・情報システムを利用する公的および民間主体で、以下のような要件に該当する事業者である。
- 主体は、重要な社会・経済活動の維持に不可欠なサービスを提供する
- そのサービスの提供は、ネットワーク・情報システムに依存する
- インシデントが、そのサービスの供給に破壊的影響を及ぼす
他方、DSPは、デジタルサービスを提供する法人のうち、オンラインマーケットプレース、オンライン検索エンジン、クラウドコンピューティングサービスの3つが該当する。
なお、零細・小規模企業は、NIS指令の適用対象外となっている。
Copyright © ITmedia, Inc. All Rights Reserved.