広がる米国の医療サイバーセキュリティ連携、製品レベルから産業全体を包括へ：海外医療技術トレンド（26）（2/2 ページ）

医療セキュリティ分析を支える省庁共通のリスクベースアプローチ

　医療産業全体のサイバーおよびフィジカルの両面にわたるセキュリティ対策については、2016年5月に国土安全保障省（DHS）が「医療・公衆衛生セクター向け計画」（関連情報、PDFファイル）を公表している。図2は、DHSが示した医療／公衆衛生セクター向けのリスクベースアプローチであり、リスクの特定、脆弱性の削減、インパクトの低減、レジリエンスの強化という一連の流れに基づく包括的／統合的な手法を特徴としている。

図2　国土安全保障省（DHS）の医療・公衆衛生セクター向けリスクベースアプローチ（クリックで拡大） 出典：Department of Homeland Security 「Healthcare and Public Health Sector-Specific Plan - 2015.」（2016年5月）

　HHSのタスクフォースは、DHSの医療／公衆衛生分野計画を踏まえ、サイバーフィジカルな重要インフラとしての医療セキュリティ対策に落とし込む形で、医療産業全体の組織的構造について整理している。図3は、タスクフォースが想定する医療エコシステムの全体像を示しており、直接患者ケア、検査／血液／医薬品、医療材料、医療IT、大規模犠牲者管理サービス、健康保険プラン／支払者、公衆衛生、連邦政府対応／プログラム部局から構成される。

図3　保健福祉省（HHS）のタスクフォースが想定する医療のエコシステム（クリックで拡大） 出典：HHS Health Care Industry Cybersecurity Task Force 「Report on Improving Cybersecurity in the Health Care Industry.」（2017年6月2日）

　この中で医療機器は、医療材料のカテゴリーに含まれる。本連載第25回で取り上げた、米国NISTによる無線輸血ポンプのセキュリティガイドライン草案でも分かるように、今後は、医療機器本体の製造物責任だけでなく、その背後に広がる複雑なネットワーク全体のセキュリティリスク管理策における役割／責任分担が重要となる。そうなると、本連載第24回で取り上げた、患者データに関わる外部委託先としての責任も、医療機器企業にのしかかってくる。

サイバーセキュリティ大統領令で注目される保健医療行政の取組方針

　なお、HHSのタスクフォースは、今後の検討課題として、以下のような点を挙げている。

• 報告書の提言を実践するための包括的な計画を構築し、実践のプロセスを評価するための適切な測定基準を構築する
• 国家インフラストラクチャ保護計画と同様に、医療サイバーセキュリティとプライバシーに重なり合うリスク分析を実行する。分析を基に、医療／公衆衛生セクター向けの包括的なサイバーセキュリティ・ロードマップを構築する
• このタスクフォースと同様に、継続的な官民フォーラムを設置し、産業の発展とともに、医療産業のサイバーセキュリティについて議論する。タスクフォースのメンバーは、このような連邦政府パートナーとの交流が、共通のサイバーセキュリティ課題と懸念を理解するのに有益であることを見いだしている
• HHSのリーダーシップは、既存のDHSと保険産業の努力とより密接に連携して、医療産業における民間保険のアプローチを実現するロードマップを定義する際に役立てるべきである。セキュリティ向上のための規制当局およびファシリテーターとして、時にコンフリクトを生むHHSの役割は、産業に基づく保険市場を奨励することによって軽減される可能性がある
• 継続的な対話を実現し、小規模で地方の組織が直面する障害を克服するのに役立つようなリソースと促進策を特定する戦略を構築する

　折しも、2017年5月11日、米国大統領のドナルド・トランプ氏は、サイバーセキュリティに関する大統領令に署名した（関連情報）。大統領令では、HHSを含む連邦政府の各省庁や機関のトップがサイバーセキュリティの責任を負うことが明記され、各省庁や機関が作成する詳細な報告書と計画の要件も示された（関連情報）。今回のタスクフォースの報告書を踏まえ、保健医療行政機関がどのような取り組み方針をホワイトハウスに報告するかが注目される。