連載
» 2018年03月16日 14時00分 公開

海外医療技術トレンド(33):欧州NIS指令が医療規制対応にもたらすインパクト (1/3)

欧州連合(EU)では、2018年5月から適用開始予定の一般データ保護規則(GDPR)に注目が集まっているが、その一方で、サイバーセキュリティのNIS指令がもたらすインパクトも大きい。特に、医療規制対応では、GDPRに加えてこのNIS指令に注目すべきだろう。

[笹原英司,MONOist]

NIS指令に基づくEU加盟国のセキュリティ法整備が進む2018年

 「ネットワーク・情報システムのセキュリティに関する指令(NIS指令)」(関連情報)は、EU全域に渡るネットワーク・情報システム全体のセキュリティとレジリエンス(障害許容力)のレベルを向上させることを目的として、2016年5月17日にEU理事会で採択され、翌月の欧州議会による採択を経て、同年8月に発効した。現在、EU各加盟国は、2018年5月9日を期限として、NIS指令に準拠した国内法制の整備を進めている。

 図1は、欧州ネットワーク・情報セキュリティ機関(ENISA)が、2017年3月25日に公表した報告書「NIS標準化におけるギャップ - EU標準化政策におけるNIS向上のための提言」(関連情報)の中で、NIS指令がカバーするサイバーセキュリティの全体像を可視化したしたものである。

図1 図1 NIS指令の焦点(クリックで拡大) 出典:ENISA「Gaps in NIS standardisation - Recommendations for improving NIS in EU standardisation policy」(2017年3月15日)

 ENISAは、以下の6つの質問に答える形で、NIS指令に関連する要素技術をまとめている。

  1. サイバーセキュリティとは何か
  2. 誰または何が影響を受けるのか
  3. どんな対策が保護を可能にするか
  4. どんな手段が脅威の検知を可能にするか
  5. どんな対策が阻止およびその他の救済策を可能にするか
  6. どんな法的救済策が存在するか

 図2は、同じ報告書の中で、NIS指令に関連するステークホルダーを整理したものである。

図2 図2 NIS指令のステークホルダー(クリックで拡大) 出典:ENISA「Gaps in NIS standardisation - Recommendations for improving NIS in EU standardisation policy□」(2017年3月15日)

 NIS指令に関わる産業セクターのステークホルダーで注目されるのが、重要サービスオペレーター(OES:Operator of Essential Services)とデジタルサービスプロバイダー(DSP:Digital Service Provider)だ。

 OESは、エネルギー(電力、石油、ガス)、運輸(空運、鉄道、海運、陸運)、銀行、金融市場インフラストラクチャ、医療(病院、診療所)、飲料水供給・配送、デジタルインフラストラクチャ(ドメインネームサービス(DNS)プロバイダー、インターネットエクスチェンジ(IXP)、トップレベルドメイン(TLD)レジストリ)のセクターに属し、ネットワーク・情報システムを利用する公的および民間主体で、以下のような要件に該当する事業者である。

  • 主体は、重要な社会・経済活動の維持に不可欠なサービスを提供する
  • そのサービスの提供は、ネットワーク・情報システムに依存する
  • インシデントが、そのサービスの供給に破壊的影響を及ぼす

 他方、DSPは、デジタルサービスを提供する法人のうち、オンラインマーケットプレース、オンライン検索エンジン、クラウドコンピューティングサービスの3つが該当する。

 なお、零細・小規模企業は、NIS指令の適用対象外となっている。

関連キーワード

医療 | EU | 医薬品 | セキュリティ | 医療技術 | 法規制


       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.