連載
» 2019年10月11日 10時00分 公開

海外医療技術トレンド(51):デンマークの医療サイバーセキュリティ戦略とEU域内標準化 (2/4)

[笹原英司,MONOist]

中央政府と地方自治体が一体で推進する医療サイバーセキュリティ戦略

 2019年1月、デンマーク保健省、デンマーク広域圏連合(Denmark Regions)、デンマーク地方自治連合(Local Government Denmark)の3者は共同で、「2019〜2022年医療セクター・サイバー・情報セキュリティ戦略:強化されたサイバー・情報セキュリティの取り組み」を公表した(関連情報)。

 デンマークの医療サービスは、世界中で最もデジタル化が進んでいる反面、さまざまなIoTデバイスがネットワーク接続された環境で医療データ利活用が拡大するにつれて、外部からのマルウェアによるサイバー攻撃、データ漏えいなどのリスクも次第に高まっている。このような状況から市民を保護することを目的として、医療分野を所管する中央行政機関、広域圏行政機関、基礎自治体が一体となって策定したのが、このデンマーク医療サイバー・情報セキュリティ戦略である。

 本戦略では、図2に示す通り、6つの一般的なサイバー脅威を示している。

図2 図2 6つの一般的な脆弱性(クリックで拡大) 出典:Danish Ministry of Health, Danish Regions, and Local Government Denmark「Strategy for cyber and information security in the healthcare sector」(2019年5月3日)
  1. 大規模なスタッフのコミュニティー
    医療セクターには、サイバー・情報セキュリティに関して、さまざまな異なる前提条件を持った多数の従業者がいる
  2. 大規模で複雑なITの全体像
    医療セクターは、機微な個人データを処理するITシステムの大規模で複雑な全体像を通じてつながっている。このために、サイバー・情報セキュリティの取組が、複雑で広範囲なタスクとなる
  3. 結合されたデジタルインフラストラクチャへの依存
    このセクターは、デンマーク・ヘルスデータ・ネットワークのような手段により、デジタルで密に相互接続されており、患者データの交換などに利用される。これらのデータの機密性、完全性、可用性の欠如は、医療セクター、そして少なくとも市民に重大な結果をもたらす可能性がある
  4. レガシーシステムとIoTデバイス
    重要な医療機器が、必ずしも十分なレベルのセキュリティを有しないにも関わらず他に置き換えることができないようなレガシーシステムに接続される可能性がある。同時に、セクター内では、幅広い種類のIoTデバイスの数が増えている
  5. 大規模なデータ収集
    医療サービスの活動に関連する大容量データが、患者記録、全国登録、臨床品質データベースに保存される。これらの機密性、完全性、可用性を維持することが必須となる
  6. 均質でないセクター
    医療セクターは、サイバー・情報セキュリティに関して、数千人の従業者を有する大規模で高度の専門性のある病院から、数名の従業者を有する小規模の民間医療クリニックに至るまで、異なるレベルの成熟度を持った実行者(Actor)を含んでいる

 これらの脅威を踏まえた上で、「情報セキュリティ」と「サイバーセキュリティ」について、以下のように定義している。

情報セキュリティ

 情報セキュリティは、機密性、完全性、可用性に関して、情報をセキュアにするために利用される集約的手段の総称である。これには、セキュリティ業務の組織化、行動への影響、データ処理、サプライヤー管理、技術的セキュリティ手段が含まれる。

サイバーセキュリティ

 サイバーセキュリティには、外部ネットワーク/システムへの接続を介したデータやシステムへの攻撃の結果として発生するセキュリティ侵害に対する保護が含まれる。従って、サイバーセキュリティは、インターネットへの接続など、システム間のリンクにおける脆弱性に焦点を当てる。

 そして、「市民のためのセキュリティ」について、サイバーセキュリティおよび情報セキュリティ双方に基づく取組だけが、自分の治療や医療データに関して安全と感じるための基盤を構築できるとしている。

Copyright © ITmedia, Inc. All Rights Reserved.