急展開した米国サイバーセキュリティ法が医療機器開発に及ぼす影響：海外医療技術トレンド（14）（1/3 ページ）

　本連載第10回では食品医薬品局（FDA）、第11回では、公民権局（OCR）と、米国保健福祉省（HHS）傘下の部局によるサイバーセキュリティ対策への取り組みを紹介してきた。今回は、ホワイトハウス主導の米国サイバーセキュリティ法が、保健医療分野の製品／システム開発に及ぼす影響を取り上げる。

2015年末から急展開した「サイバーセキュリティ法」に基づく施策

　2015年12月18日、米国のオバマ大統領は、「2015年サイバーセキュリティ情報共有法」を含む連邦政府包括支出パッケージに署名した（関連情報、PDFファイル）。

図1　オバマ大統領が署名した「2015年サイバーセキュリティ法」 出典：Congress.gov「H.R.2029 - Consolidated Appropriations Act, 2016」（2015年12月18日）

　これに伴い、保健医療分野では、以下のような政策5項目の導入がスタートした。

1. オバマ大統領は、雇用主負担の高コストな健康保険制度（「Cadillac Tax」）に対する40％の課税を2年間延期することに同意し、施行日を2018年から2020年に変更した。もともと、税金控除の仕組みはなかったが、法案によって、雇用主が控除して支払うことが可能になった
2. 法律制定後1年以内に、HHSは、同省および保健医療産業のサイバーセキュリティ脅威への対応準備を評価した報告書を、複数の議会委員会に提出しなければならない。HHSは、サイバーセキュリティのイニシアチブを主導するリーダーを選出し、保健医療の部門全体に渡る脅威を取扱うための手法を詳細にしなければならない
3. 制定後90日以内に、HHS、国土安全保障省（DHS）、国立標準技術研究所（NIST）のリーダー、政府機関、専門家、ステークホルダーによるタスクフォースを設立しなければならない。グループは、他の産業で実施されている活動や保護策を分析するとともに、民間のヘルスケアが抱える課題を評価する。電子カルテや相互運用性の課題の決定も行う
4. 政府機関は、準備対策を改善するために、ステークホルダーに対する教育を継続する一方、政府機関およびその他の主体との間で、防御手段やサイバー脅威を共有するための計画を策定し、セキュリティを改善し、サイバー脅威を低減するために、政府機関同士で、コンセンサスに基づく自発的なベストプラクティスを立ち上げなければならない
5. サイバーセキュリティ情報共有法は、サイバー脅威に関する情報を共有・受信する際に、民間セクターの主体の責任を保護する。また、生成される個人データについては、データ共有が可能となる前に削除する必要があり、情報が共有される際にはできるだけ早く個人に通知しなければならない