医療機器大手ストライカーの事例に見る米国サイバーインシデント情報開示の複雑性：海外医療技術トレンド（130）（3/3 ページ）

本連載第124回では、HIPAA／HITECH法に基づき、米国保健福祉省が開示したデータ侵害インシデント事案を紹介したが、それ以外の法規制に基づくインシデント情報開示も増えている。

[笹原英司，MONOist]

重要インフラ事業者のCISAに対するインシデント報告を義務化へ

　他方、重要インフラストラクチャにおけるサイバーセキュリティに関して、DHS（国土安全保障省）傘下のCISAは、2022年3月15日に成立／施行された「2022年重要インフラストラクチャのためのサイバーインシデント報告法（CIRCIA）」（関連情報）に準拠して、重要インフラストラクチャのCEに対し、以下のようなインシデント報告を義務付ける予定である。

• 重大なサイバーインシデントの報告（72時間以内）：
  組織が、重大な（Substantial）サイバーインシデントが発生したと合理的に判断してから72時間以内にCISAへ報告しなければならない
• ランサムウェア支払いの報告（24時間以内）：
  ランサムウェア攻撃を受け、身代金を支払った場合、支払実行から24時間以内に報告する義務がある

注）インシデント自体が「重大」の定義に当てはまらない場合でも、支払いを行った場合はこの24時間ルールが適用される。

　そして、報告が必要な「重大なインシデント」の定義については、CISAが2024年4月4日に公表した「重要インフラストラクチャのためのサイバーインシデント報告法（CIRCIA）要求事項案（NPRM）」（関連情報）の中で、以下のいずれかに該当する場合を「重大（Substantial）」と見なしている。

• 業務への重大な支障： 情報システムやネットワーク、またはそれらによって提供されるサービスの機密性、完全性、可用性に重大な実害が生じた場合
• 国家安全保障／公衆衛生への影響： 国家安全保障、経済安全保障、または公衆の健康と安全に影響を及ぼす可能性が高い場合
• 第三者による不正アクセス： サプライチェーンの脆弱性やマネージドサービスプロバイダー（MSP）を経由した大規模な不正侵入

　当初、CISAは、この要求事項の最終規則を2025年10月に公開する予定だったが、予算問題や膨大なパブリックコメントへの対応により、本格施行が2026年後半になるとされている。

　医療機器は、重要インフラストラクチャである公衆衛生／医療セクターにおける重要な構成要素として位置付けられており（関連情報）、上記のインシデント報告が求められることになる。2026年は、このCISA規則と同時並行で、HIPAAセキュリティ規則の改正作業も進んでいるので、特に注意が必要である。

医療機器企業のインシデントを起点とするCISAの警告文書発出事例

　ストライカーのインシデントに関連して2026年3月18日、CISAは、「米組織へのサイバー攻撃を受け、CISAがエンドポイント管理システムのハードニングを促す」と題する警告文書を発出した（関連情報）。

　その中でCISAは、「2026年3月11日に米国の医療技術企業ストライカーに対して行われ、同社のMicrosoft環境に影響を与えたサイバー攻撃に基づき、米国組織のエンドポイント管理システムを標的とした悪意あるサイバー活動を把握している」と明記している。同様の悪意あるサイバー活動を防御するため、CISAは各組織に対し、本警告文書で提供する推奨事項やリソースを活用してエンドポイント管理システムの構成をハードニングするよう促している。CISAは、FBIを含む連邦政府のパートナーとの連携調整を強化し、さらなる脅威の特定と緩和策の決定を進めるとしている。本連載第65回で、米国連邦政府のDX（デジタルトランスフォーメーション）と組織横断的な「クロスエージェンシー」の関係について触れたが、この考え方は、第1次および第2次トランプ政権の行政改革施策の柱となっており、重要インフラのサイバーセキュリティ対策にも反映されている。

　CISAは、正当なエンドポイント管理ソフトウェアを悪用する同様の悪意ある活動から防御するため、各組織に対し、以下の通り、Microsoftが新たに公開した「Microsoft Intuneを保護するためのベストプラクティス」を導入することを強く推奨している。これらの推奨事項の原則は、Intuneだけでなく、他のエンドポイント管理ソフトウェア全般にも広く適用可能である。

• 管理者ロールの設計における最小権限の原則の適用：
  Microsoft Intuneのロールベースのアクセス制御（RBAC）を活用し、日常業務の遂行に必要最小限の権限のみを各ロールに割り当てる。これには、そのロールが実行できる「アクション」と、そのアクションを適用できる「ユーザーおよびデバイス」の両方の制限が含まれる
• フィッシング耐性のある多要素認証（MFA）と特権アクセスの衛生管理の徹底：
  Microsoft Entra IDの機能（条件付きアクセス、MFA、リスクシグナル、特権アクセス制御など）を使用し、Microsoft Intuneにおける特権アクションへの不正アクセスをブロックする
• Microsoft Intuneにおける「複数管理者による承認（Multi Admin Approval）」の構成：
  機密性の高い操作や影響の大きいアクション（デバイスのワイプ、アプリケーション、スクリプト、RBAC、設定の変更など）を許可する際に、別の管理者アカウントによる承認を必須とするポリシーを設定する

FTCはクロスエージェンシー型のヘルスケア・タスクフォースを設置

　その他、非医療機器を所管するFTC（米国連邦取引委員会）は、本連載第115回および第124回で触れたHHSのHIPAA規則改正に先駆けて、本連載第98回で取り上げたHBN（改正健康侵害通知）規則を、2024年7月29日に発効している（関連情報）。表3は、この改正規則の主な変更点を整理したものである。

　2026年3月20日には、同委員会の競争局、消費者保護局、経済局、ならびに政策立案室と技術室が合同で、米国の患者、ヘルスケア従事者および納税者を保護するため、ヘルスケア分野の法執行とアドボカシーに対して統合的かつ連携したアプローチを行う「ヘルスケア・タスクフォース」を設置することを発表した（関連情報）。

　新たなヘルスケア・タスクフォースは、以下の活動に取り組むとしている。

• 重点事項に特化した、標的型の法執行およびアドボカシー活動の主導
• 調査に関する部局横断的な統合戦略の策定
• 法廷助言者や、利害関係陳述提出の機会を特定するための、先見的かつ戦略的なアプローチの実施
• 法執行およびアドボカシーにおける新たな課題や、新たな重点分野の特定

　このタスクフォースに参画している技術室は、セキュリティ、ソフトウェアエンジニアリング、データサイエンス、AI（人工知能）、機械学習、HCI（ヒューマンコンピュータインタラクション）デザインおよびテクノロジーに関連する社会科学研究に携わるテクノロジストを有している他、PETs（プライバシー強化技術）などの領域で、NIST（国立標準技術研究所）と連携している。

　またヘルスケア・タスクフォースは、HHSやDOJ（司法省）などの他機関や法執行パートナーも含めるよう、構成メンバーの拡大を図る予定である。FTCは、本タスクフォースを立ち上げることにより、ヘルスケア業界全体における既存のあるいは新たな消費者保護および競争上の課題に対する取り組みを一層推進していく姿勢を示している。

　米国のサイバーセキュリティ規制は、HIPAAに加えて、SECによる投資家保護、CISAによる重要インフラ防衛、そしてFTCによる消費者保護といった多角的な開示／報告義務へと深化している。ストライカーの事例が示す通り、企業には迅速な適時開示と、省庁横断的な「クロスエージェンシー」連携への対応が求められる。米国で事業展開する医療機器企業は、技術的対策のみならず、法規制の変化を注視した高度なリスクコミュニケーション体制の構築が不可欠である。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara