フィットネストラッカーにも広がる米国のセキュリティ規制、異業種連携も加速：海外医療技術トレンド（77）（3/3 ページ）

前回の連載第76回では米国の医療機器サイバーセキュリティ規制動向を取り上げたが、医療機器に該当しない健康アプリケーション／機器でも、新たな規制に向けた動きが顕在化している。

[笹原英司，MONOist]

HIPAA規制対応を介して高まる医療と金融の連携へのニーズ

　ところで、前述のHIPAA規制対象となる保護対象主体（CE）には、医療保険者が多く含まれる。米国の場合、民間主導型の医療保険制度を採っており、保険産業全体の売上高における医療保険商品の比率も極めて高い。このような背景から、HIPAAのプライバシー／セキュリティ要件の動向は、保険会社を含む金融業界全体のデータガバナンスやデータ保護ソリューションにも、直接的／間接的な影響を及ぼすことになる。

　金融側の動きについてみると、例えば2021年4月14日、米国ニューヨーク州金融サービス局（NYDFS）は、ナショナル・セキュリティズ・コーポレーションのサイバーセキュリティ規則違反に関連して、同社に制裁金300万米ドルを科したことを発表している（図2参照、関連情報）。

図2　米国ニューヨーク州金融サービス局（NYDFS）による保険会社のサイバーセキュリティ規則違反摘発事例（2021年4月14日）［クリックで拡大］ 出典： New York State Department of Financial Services「DFS SUPERINTENDENT LACEWELL ANNOUNCES CYBERSECURITY SETTLEMENT WITH LICENSED INSURANCE COMPANY」（2021年4月14日）

　ナショナル・セキュリティズは、日々の業務の過程で個人データを収集しながら、生命保険、損害／医療保険、扁額生命／変額年金保険を販売している。金融サービス局の調査により、同社は、2018年から2020年の間に4回サイバー侵害があったことが明らかになった。そのうち2回については、サイバーセキュリティ規則で義務付けられた金融サービス局への報告が行われていなかったという。これらのサイバー侵害には、ナショナル・セキュリティズ顧客の大量の機微な個人データにアクセスする従業員や外部委託先の電子メールアカウントに関連する不正アクセスが含まれていた。

　また、NYDFSの調査により、多要素認証（MFA）や、企業の最高情報セキュリティ責任者（CISO）が書面で承認した同等レベルまたはよりセキュアなアクセス制御を導入していなかった点が、サイバーセキュリティ規則違反と認定された。さらに、MFAが完全に導入されていなかったにもかかわらず、ナショナル・セキュリティズは、2018会計年度、サイバーセキュリティ規則の順守を偽って証明していたことが問題視された。

　NYDFSは、ナショナル・セキュリティズに対し、制裁金300万米ドルに加えて、120日以内に、以下のような救済策を提出するよう求めている。

• 包括的な書面によるサイバーセキュリティ・インシデント対応計画
• 包括的なサイバーセキュリティ・リスク評価
• 認可されたユーザーの活動をモニタリングし、認可されたユーザーによる非公開情報（NPI）への不正アクセスや利用、改ざんを検知するために設計された、リスクベースのポリシーや手順、制御
• リスク評価からのリスクを反映して更新された、全従業員向けのサイバーセキュリティ・トレーニング教材

　このようなインシデントに関する制裁と並行して、NYDFSは2021年6月30日、ニューヨーク州内の金融サービス企業およびその顧客の保護を目的として、ランサムウェア・ガイダンスを発出している。

　NYDFSによると、2020年1月から2021年5月までの間に、州内の規制対象企業から74件のランサムウェア攻撃に関する報告があり、そのうち17社が身代金を支払ったという。また、重要ベンダーに対するランサムウェア攻撃が規制対象企業の業務を混乱させるような、サードパーティーによるインシデントが増加しているという。

　さらに、NYDFSのインシデント情報の収集・分析結果によると、攻撃者は以下に挙げる3つの手法のいずれかを使っているという。

1. フィッシング
2. パッチ当てされていない脆弱性への攻撃
3. セキュリティの貧弱なリモートデスクトッププロトコル（RDP）への攻撃

　このような背景を受けて、NYDFSのガイダンスでは、以下のようなコントロール策を講じることを推奨している。

• ランサムウェアの防止
  • 1）電子メールのフィルタリングとフィッシング対策のトレーニング
  • 2）脆弱性／パッチ管理
  • 3）多要素認証（MFA）
  • 4）リモートデスクトッププロトコル（RDP）アクセスの無効化
  • 5）パスワード管理
  • 6）特権アクセス管理
  • 7）モニタリングと対応
• インシデント対応準備
  • 8）検証・分離されたバックアップ
  • 9）インシデント対応計画

　加えて、ランサムウェア攻撃が組織のデータの機密性、完全性、可用性に重大なリスクを及ぼす場合、規制対象企業は、内部ネットワークにランサムウェアが展開されたと想定して、72時間以内にできるだけ早く、NYDFSに報告する必要があるとしている。

　昨今のランサムウェア攻撃は、医療施設や医療保険者、保健医療行政機関だけでなく、「医療」の枠を超えた「非医療」の領域に関わる民間企業や非営利組織まで標的を拡大している。ランサムウェア対策ソリューション導入で先行している異業種の経験／ノウハウを取り入れる仕組みをあらかじめ作っておくと、後々楽になる。

　ランサムウェア対策に限らず、NYDFSが指摘した多要素認証やアクセス制御、脆弱性／パッチ管理などは、医療データに関わるHIPAA違反インシデント事例でもよく指摘される共通課題だ。また本連載第44回で触れたように、米国政府の医療データ相互運用性標準化推進施策となる「Promoting Interoperability（PI）」は、金融業界のFintechで普及してきたオープンイノベーションやAPIエコノミーの考え方をベースとする経済インセンティブの仕組みづくりが柱となっている。このような状況をみると、医療施設や医療機器企業が、金融機関と似通った課題に直面しても不思議ではない。

地域レベルから全国レベルへと広がるデータ保護規制の立法化

　なお、連邦政府レベルでも、FTCが、2021年10月27日、顧客の金融情報保護を目的とした金融機関向けデータセキュリティ保護強化策の一環として、連邦規則集第16編第314部「消費者情報保護のための基準（最終規則）」を公表している（関連情報）。

　改正保護規則の下で、金融機関は、顧客のセキュアな情報へのアクセス、保護、保存、利用、転送、廃棄など、データライフサイクル管理に関わる処理を行うために、金融機関が利用する管理的、技術的、物理的な保護策に関する情報共有のプラクティスを説明しなければならない。加えて、金融機関には、情報セキュリティプログラムを監督し、組織の取締役会または情報セキュリティの責任を負う上級管理者に定期的に報告するために、有資格者を選任することが要求される。

　金融に限らず、米国では、地域レベルの法規制が先行し、全国レベルの法規制が後追いするケースもしばしば見受けられる。例えば、本連載第54回で触れたカリフォルニア消費者プライバシー法（CCPA）（関連情報）やカリフォルニアIoT機器セキュリティ法（関連情報）などを受けて、連邦議会レベルでも、米国連邦データプライバシー法案の立法化（関連情報）に向けた議論が活発化している。

　今回、立法化の重要テーマの1つになっているのは、前述のCOPPAに代表される子供のオンラインプライバシー保護である。子供の場合、インフォームドコンセントの取得やオプトイン／オプトアウトに関する意思決定者が、親権者／代理人となるため、企業側の業務プロセスが複雑化する。このような法規制を巡る動きは、HHSおよび傘下のFDAやOCRをウォッチしているだけではなかなか捕捉できない反面、一度立法化されると、健康アプリケーション／デバイスの開発・製造企業およびそのサプライチェーン全体に対してもインパクトを及ぼす可能性が高い。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara