　本連載第7回や第45回で触れたように、デンマークは、国民共通番号（CPR：Central Person Registration）制度や電子政府、電子カルテのシステムをベースとしてナショナルデータベース（NDB）を構築・運用しながら、人工知能（AI）などの新技術開発に取り組むなど、データドリブン・アプローチの国として知られている。

　サイバーセキュリティの領域で、デンマークは、第33回で概説したように、欧州連合（EU）域内のミニマムスタンダードである「ネットワーク・情報システムのセキュリティに関する指令（NIS指令）」（関連情報）に準拠して国家レベルのサイバーセキュリティ戦略を策定し（関連情報）、法令・ガイドライン類の整備を進めている。

　前回取り上げたフランスでは、首相府国防国家安全保障事務総局（SGDSN）およびその傘下の国家情報システムセキュリティ庁（ANSSI）（関連情報）がサイバーセキュリティを所管するのに対し、デンマークでは、国防省およびその傘下の国防インテリジェンスサービス（DDIS）（関連情報）が所管する。また、インシデント対応における国家レベルの中枢機能について、フランスでは、ANSSI傘下のCERT-FR（関連情報）が担うのに対し、デンマークでは、DDIS傘下のデンマーク・サイバーセキュリティ・センター（CFCS）（関連情報）が担う。

　EU域内の医療施設（NIS指令の重要サービスオペレーターに該当）向けに医療／デジタルヘルス機器やソフトウェア、サービスなどを供給する企業は、サイバーインシデント対応において、サプライヤーとして、これらの当局と連携することが求められる。

　参考までに、「一般データ保護規則（GDPR）」（関連情報）に代表されるプライバシー規制に関して、フランスでは、情報処理および自由に関する国家委員会（CNIL：Commission nationalede l'informatique et des libertes）（関連情報）が所管し、デンマークでは、データ保護庁（Datatilsynet）（関連情報）が所管している。いずれも、日本の個人情報保護委員会と同様に、独立した執行当局の形態を採っている。

　図1は、EU域内におけるサイバーセキュリティとプライバシーの関係を示している。

図1　欧州連合（EU）のプライバシー／サイバーセキュリティ原則（クリックで拡大）出典：ヘルスケアクラウド研究会作成（2019年10月作成）

　日本とEUの間では、GDPRに基づく個人データ保護水準に関する相互十分性が認定されているが、サイバーセキュリティについては、類似した仕組みがない。個々の国・地域の事情によって、要求事項が微妙に異なるのが現状だ。GDPRに準拠しただけでは、個人情報セキュリティ以外の部分のセキュリティが抜け落ちた状態となり、EU域内の医療施設向けにビジネスを展開できないので、注意が必要だ。

　さらに問題となるのが、医療関連ビジネス事業者がクラウドサービスを介して提供するケースである。NIS指令では、IaaS、PaaS、SaaSの形態に関わらず、クラウドサービス事業者は「デジタルサービスプロバイダー」と位置付けられており、厳格なサイバーセキュリティ要求事項を充足する必要がある。

　NIS指令が、GDPRのように域内統一ルールに至っていない背景には、加盟国・地域によってサイバーセキュリティに関わる所管省庁がまちまちで複雑化している点が挙げられる。

　医療機器／デジタルヘルス関連企業にとっては、サイバーセキュリティ・インシデント対応に関わる適用法令や所管窓口が加盟国・地域によって異なることを意味する。

中央政府と地方自治体が一体で推進する医療サイバーセキュリティ戦略

　　　　　　 1|2|3|4 次のページへ