第2次トランプ政権で米国の医療IoT／OTセキュリティ規制はどうなるのか：海外医療技術トレンド（114）（3/3 ページ）

米国会計検査院（GAO）は、IoTやOTのサイバーセキュリティに関する報告書および勧告を通じて、保健福祉省や食品医薬品局による取り組みの改善状況をチェックしている。2025年から第2次トランプ政権が始まるが、GAOの勧告も併せて米国の医療IoT／OTセキュリティ規制の動向に注目が集まる。

[笹原英司，MONOist]

容易でないレガシーIoT／OTデバイスのインベントリ管理

　さらにGAOは、2024年11月13日、「医療サイバーセキュリティ：HHSは主導機関として引き続き課題を抱えている」（関連情報）と題する報告書を公表している。

　この医療サイバーセキュリティ報告書では、医療・公衆衛生セクターにおける最近のインシデント事例として、2024年2月にランサムウェアのサイバー攻撃被害に遭った医療保険請求サービス企業であるチェンジ・ヘルスケアのケースを挙げている（関連情報）。同社は、データの盗難を伴うランサムウェアのサイバー攻撃被害に遭い、推定8億7400万米ドル（約1334億円）規模の損失を被り、医療提供者や患者ケアに広範な影響を及ぼしたとしている。

　GAOは、前述のIoT／OT報告書やランサムウェア報告書の勧告を踏まえ、HHSに対して、表3のような勧告を行っている。

表3　米国会計検査院（GAO）の保健福祉省（HHS）に対する重要インフラセキュリティ関連の勧告［クリックで拡大］ 出所：U.S. Government Accountability Office (GAO)「Healthcare Cybersecurity: HHS Continues to Have Challenges as Lead Agency」（2024年11月13日）を基にヘルスケアクラウド研究会作成

　GAOは、HHSがこれらの勧告を完全に実行するまでは、医療・公衆衛生セクターにおけるサイバーセキュリティの主導機関としての責任を効果的に果たすことができず、医療提供者や患者ケアに悪影響を及ぼすリスクがあると述べている。

　特に、IoT／OTデバイスのサイバーセキュリティリスク管理に関連して、医療・公衆衛生セクター全体の課題となっているのが、レガシー機器のインベントリ管理／製品ライフサイクル管理である。参考までに、FDAはMITREと連携して、2023年11月15日、「レガシー医療機器のサイバーセキュリティリスク管理に向けた次のステップ」（関連情報）を公開している。

第2次トランプ政権に引き継がれるIoT／OTセキュリティ管理策

　加えてGAOは、バイデン政権から第2次トランプ政権への移行期に入った2024年12月4日、「モノのインターネット：法的要求事項の処理が必要な連邦政府機関のアクション」（関連情報）と題する報告書を公表している。これは、前述の2020年IoTサイバーセキュリティ改善法に基づく2回目のGAO報告書になる。

　GAOは、サイバーセキュリティまたは調達の責任を有する連邦政府機関を特定し、これらの機関が作成したIoTに関する関連ガイダンスを概説している。またGAOは、これらの機関の実装の取り組みを、法律およびOMBのIoTインベントリと猶予プロセスの要求事項と比較した上で、関連する機関の担当者にインタビュー調査を実施している。

　2020年IoTサイバーセキュリティ改善法の対象となる23の文民連邦政府機関におけるOMBのIoTインベントリおよび猶予に関する要求事項への対応状況は以下の通りである。

• 3機関（HHS含む）は、OMBが設定した期限（2024年9月30日）までにインベントリを完了できず、2025会計年度に実施する予定であるとしている。6機関は期限を設定しておらず、1機関はIoTがないためインベントリを作成する予定はないとしている
• 6機関は、特定の要件に対するIoTサイバーセキュリティの猶予を報告していた。ただし、6機関のうち5機関の担当者は、猶予を報告すべきではなかったとしている。5機関のうち4機関はその後報告を修正している。さらに1機関は猶予を削除して修正し、1機関（HHS）はまだ猶予を修正していない。さらに、OMBは報告された猶予データを検証せず、誤った情報を報告している

　このように、医療・公衆衛生セクターを所管するHHSは、GAOの勧告への対応を完了しておらず、IoTインベントリ管理の遅れが最重要課題となっている。GAOは、HHSに対して、以下のような勧告を行っている。

• HHS長官は、最高情報責任者（CIO）に対して、提案された修正後の期限内に対象となるIoTインベントリを完了するよう指示すべきである
• HHS長官は、CIOに対して、認められたIoTの猶予がOMBの要求事項に対応していることを確認するよう指示すべきである

　IoT／OTセキュリティ課題への取り組みは、第2次トランプ政権下でロバート・ケネディ・ジュニア氏が主導するHHSに委ねられることとなった。

第2次トランプ政権の政策動向に注意

　第1次トランプ政権は、連邦政府機関が制定した規則を議会が審査し、承認または無効化する権限を有する「議会審査法（CRA）」を活用して、過去の政権時に制定された規則を無効化した実績がある。第2次トランプ政権が正式にスタートする2025年1月20日に向けて、HHSおよび関連する連邦政府機関の規制動向が注目されている。

　例えば、本連載第23回で第1次トランプ政権下のHHSによる「2017-2020年情報技術（IT）戦略計画」、第65回で「2020-2025年連邦医療IT戦略計画」を取り上げたが、バイデン政権下のHHSは、2024年9月30日、GAOの勧告内容を反映させた「2024-2030年連邦医療IT戦略計画」を公表している（関連情報）。2024-2030年医療IT計画では、本連載第111回で触れた医療データ2次利用のためのインセンティブ付与施策が重要な役割を担うが、そのベースになっているのは、第1次トランプ政権下で始まった「相互運用性の促進（Promoting Interoperability）」プログラム（関連情報）である。

　なお、医療機器規制に関連して、FDA傘下の医療機器・放射線保健センター（CDRH）は、2024年10月10日、2025会計年度に発行を計画している各種ガイダンスの一覧表および優先順位を示す「2025会計年度CDRHガイダンス提案」（関連情報）を公表しているが、第2次トランプ政権の対応いかんで計画に影響が及ぶ可能性がある。特に、バイデン政権下で2023年10月30日に発出された「AIの安心、安全で信頼できる開発と利用に関する大統領令第14110号」（関連情報）に準拠した医療AI関連ガイダンスなどは要注意だ。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara