検索
連載

米国で急加速するゲノムデータのサイバーセキュリティ対策海外医療技術トレンド(95)(2/3 ページ)

本連載第84回および第88回で米国のバイオエコノミー研究開発推進施策を取り上げたが、その中からサイバーセキュリティ対策の進捗状況について取り上げる。

Share
Tweet
LINE
Hatena

NISTリスクマネジメントフレームワークのゲノムデータへの応用

 さらに、「4.プラクティスの現状」では、リスク管理のプラクティスの一つとして、「NIST SP 800-37改訂第2版 情報システムと組織のためのリスクマネジメントフレームワーク(RMF):セキュリティとプライバシーのためのシステムライフサイクルアプローチ」(2018年12月20日公開、関連情報)を挙げている。図2は、NISTリスクマネジメントフレームワークより、組織全体のリスクマネジメントアプローチを示したものであり、「レベル1:組織」「レベル2:ミッション/ビジネスプロセス」「レベル3:情報システム」の3階層から構成される。

図2 組織全体のリスクマネジメントアプローチ
図2 組織全体のリスクマネジメントアプローチ[クリックで拡大] 出所:National Institute of Standards and Technology (NIST)「SP 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy」(2018年12月20日)

 バイオテクノロジーやバイオ製造で利用される医療機器やアプリケーションの実装/運用はレベル3に該当するが、リスクマネジメントに関わる人員、予算などの計画については、レベル2やレベル3が意思決定に関与する。従って、単一レベルを越えたリスクマネジメント体制やコミュニケーションとレポーティングの仕組みの構築が重要になる。

 その上で、NISTリスクマネジメントフレームワークの実装に欠かせない、以下の7つのステップおよび手順を参照している。

  • 準備(Prepare):セキュリティやプライバシーのリスクを管理するために、コンテキストや優先順位を設定することによって、組織レベルとシステムレベルの観点からリスクマネジメントフレームワークを実装する準備を行う
  • 分類(Categorize):損失のインパクト分析に基づいて、システムおよびシステムが処理し、保存し、転送する情報を分類する
  • 選択(Select):システムの制御の初期設定を選択し、リスク評価に基づいて、受容できるレベルまでリスクを低減するために、必要に応じて、制御を合わせる
  • 実装(Implement):制御を実装し、制御をシステムおよびその運用環境内に導入する方法を記述する
  • 評価(Assess):セキュリティやプライバシーの要求事項を満たすために、制御が正しく導入され、意図通りに運用し、期待されたアウトカムを生成しているかどうかを判断するために、制御を評価する
  • 認可(Authorize):組織的な運用や資産、個人、その他の組織、そして国家に対するリスクが許容できるか否かの判断に基づいて、システムまたは共通の制御を認可する
  • 監視(Monitor):制御の有効性評価、システムおよび運用環境に対する変更の文書化、リスク評価とインパクト分析の実行、システムのセキュリティやプライバシーのポスチャーのレポーティングなど、システムおよび関連する制御を継続的に監視する

 ゲノムデータサイバーセキュリティ第1草案では、上記のステップとゲノムデータの関連性について表2のように整理している。

表2 リスクマネジメントフレームワークのステップとゲノムデータの関連性
表2 リスクマネジメントフレームワークのステップとゲノムデータの関連性[クリックで拡大] 出所:National Institute of Standards and Technology (NIST)「NISTIR 8432 (Draft) Cybersecurity of Genomic Data」(2023年3月3日)を基にヘルスケアクラウド研究会作成

NIHが蓄積/共有するデータリスク管理ノウハウの活用

 「4.プラクティスの現状」では、連邦政府機関によるリスク管理のプラクティス事例として、国立衛生研究所(NIH)を挙げている。なお、データリスク管理に関連してNIHでは、2023年1月25日より、「データ管理・共有(DMS)ポリシー」(関連情報)を施行している。

 NIHは、同研究所の資金を受けて、科学データを利用した研究を行うプロジェクト(米国外を含む)の責任者に対して、DMS計画を策定/提出し、承認された計画を順守するよう求めている。DMS計画に含まれる要素として、以下のようなものを挙げている。

  • 要素1.データのタイプ:
    • A.プロジェクトで生成が見込まれる科学データのタイプと分量
    • B.保存・共有される科学データとそうする根拠
    • C.メタデータ、その他の関連するデータと関連する文書
  • 要素2.関連するツール、ソフトウェアおよび/またはコード
  • 要素3.標準規格
    • A.臨床プロトコル向けのデータ標準規格 - 共通データ要素(CDE)
    • B.全ての計画向けのデータ標準規格
  • 要素4.データの保存、アクセス、関連するタイムライン
    • A.科学データとメタデータをアーカイブ化するリポジトリ
    • B.科学データが発見可能で、識別可能にする方法
    • C.科学データが利用可能になる時と方法
  • 要素5.アクセス、配布、再利用の考慮事項
    • A.後に続く科学データへのアクセス、配布、再利用に影響を及ぼす要因
    • B.科学データへのアクセスが制御されるか否か
    • C.人間の研究参加者のプライバシー、権利、機密性に対する保護
  • 要素6.データ管理・共有の監視
  • 要素7.その他の要素(該当する場合)

 これまでNIHが運用していた「ゲノムデータ共有(GDS)ポリシー」(関連情報)も、新たなDMSポリシーに統合された。NIHの資金助成を受けたゲノムデータ関連国際共同研究プロジェクトに参画する日本国内の教育/研究機関や民間企業は、DMSポリシーに準拠したデータリスク管理体制を構築/運用する必要がある。

 その他、「4.プラクティスの現状」におけるサイバーセキュリティのプラクティスとして、本連載第35回で取り上げた「重要インフラのサイバーセキュリティを向上させるためのフレームワーク(NISTサイバーセキュリティフレームワーク)1.1版」(2018年4月16日公開、関連情報、PDF)、第86回で取り上げた「NIST SP 800-207 ゼロトラストアーキテクチャ(2020年8月11日公開、関連情報)、米国防情報システム局(DISA)の「セキュリティ技術実装ガイド(STIGs)(関連情報)を参照している。また、国際的なリスク管理のプラクティスとして、ゲノミクスと健康に関するグローバルアライアンス(GA4GH)の「ゲノム及び健康関連データの責任ある共有に関するフレームワーク」(2014年9月10日初版公開、関連情報)などを参照している。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る