連載
» 2018年11月30日 14時00分 公開

海外医療技術トレンド(41):米国のサイバーセキュリティ行政変革と医療機器規制 (1/2)

米国ではトランプ政権がサイバーセキュリティ行政組織の大変革を進めている。サイロ型縦割り行政の枠を超えたこの動きは、医療機器の領域にも大きな影響を及ぼしている。

[笹原英司,MONOist]

 本連載第14回で米国サイバーセキュリティ法が医療機器開発に及ぼす影響を取り上げたが、現在、トランプ政権はサイバーセキュリティ行政組織の大変革を進めている。

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)とは

 2018年11月16日、トランプ大統領は「2018年サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)法」に署名した(関連情報)。同法は、国土安全保障省(DHS)傘下にサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)(図1)を設置することを目的としている。

図1 図1 国土安全保障省に設置されるサイバーセキュリティ・インフラストラクチャセキュリティ庁 出典:U.S. Department of Homeland Security「Cybersecurity and Infrastructure Security Agency」(2018年11月16日更新)

 従来DHSでは、国家保護・プログラム総局(NPPD)傘下の国家サイバーセキュリティ・通信統合センター(NCCIC)が、国家通信調整センター(NCC)(関連情報)、情報通信システムのセキュリティを所管するUS-CERT(関連情報)、産業制御システム(ICS)のセキュリティを所管するICS-CERT(関連情報))を統括管理する一方、「2015年サイバーセキュリティ情報共有法」(2015年12月15日発表、関連情報、PDF)や「サイバーセキュリティ国家行動計画」(2016年2月9日発表、関連情報)に準拠した情報共有/分析組織(ISAO:Information Sharing and Analytics Organization)に対する支援/調整活動を行ってきた。

 国家保護・プログラム総局(NPPD)を改組したサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、以下のような点を特徴としている。

  • CISAは、今日の脅威から重要インフラストラクチャを守るための国家的努力を先導するとともに、進化する明日のリスクに対して安全を確保するために、あらゆるレベルの政府機関や民間セクターの枠を超えて、パートナーと一緒に活動する
  • CISAの名前は、遂行する業務に対する認知をもたらし、パートナーやステークホルダーとともに関与する能力を向上させ、トップのサイバーセキュリティ人材を採用する

 CISAは、プロアクティブなサイバー保護を所管するサイバーセキュリティ部門、重要インフラの強靭化を所管するインフラストラクチャセキュリティ、自然災害やテロおよびその他の人為災害のイベント対応を支援する緊急コミュニケーションの3部門から構成される。

 ベンダーサポート切れOSのセキュリティに関連して警告を発出したUS-CERTや、大手医療機器メーカーの製品/サービスに関連するセキュリティ脆弱性情報を公表したICS-CERTは、新設されるCISAの傘下に入る。米国事業を展開する医療機器企業にとっても、サイバーセキュリティ情報共有・分析業務上、CISAとの連携は不可欠となるので、今後の動向を注視する必要がある。

保健医療分野でも進むサイバーセキュリティ行政組織改革

 CISA法制定に先立ち2018年9月20日、トランプ政権は、「国家サイバー戦略」(関連情報を発表し、DHSがサイバー攻撃に対する保護および予防的戦略の構築におけるリード役を担う一方、保健福祉省(HHS)については、医療・公衆衛生(HPH)セクターにフォーカスする方針を表明していた。

 その後同年10月29日、HHSは、「保健セクター・サイバーセキュリティ調整センター(HC3)」を開設したことを発表している(図2参照、関連情報)。

図2 図2 保健福祉省(HHS)が開設した保健セクター・サイバーセキュリティ調整せンター(HC3) 出典:U.S. Department of Health & Human Services「HHS Announces the Official Opening of the Health Sector Cybersecurity Coordination Center」(2018年10月30日)

 HC3は、保健医療セクターにおけるサイバーセキュリティ情報の共有を支援/向上させ、医療機関に対して、迅速で実行可能なサイバーセキュリティに関するインテリジェンスを提供し、戦略的パートナーシップにより、サイバーセキュリティコミュニティーを推進することを目的としている。2017年4月に設立された「医療サイバーセキュリティ通信・統合センター(HCCIC)」の機能を継承し、DHS傘下のNCCICや保健医療分野のISAOである保健情報共有・分析センター(H-ISAC)(関連情報)などとの連携を強化することも表明している。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.