連載
» 2019年10月11日 10時00分 公開

海外医療技術トレンド(51):デンマークの医療サイバーセキュリティ戦略とEU域内標準化 (3/4)

[笹原英司,MONOist]

NIS指令、GDPR、ISO 27001が医療サイバーセキュリティの標準規格

 デンマークの医療サイバー・情報セキュリティ戦略は、インシデントの結果が最大となる可能性があるところ、そしてシステムが最も多くのインタフェースを有するところにおけるセキュリティの強化を目的としており、図3に示すように、医療セクターにおける重要で集約的なプロセスとシステムをマッピングすることを最初のタスクとしている。

図3 図3 医療セクターにおける重要で集約的なプロセスとシステムのマッピング(クリックで拡大) 出典:Danish Ministry of Health, Danish Regions, and Local Government Denmark「Strategy for cyber and information security in the healthcare sector」(2019年5月3日)

 このマッピング作業を行うためには、医療に関わるプロセスやシステムがあらかじめ共通化・標準化されている必要がある。伝統的にデンマークは、参加意識の高い国民性に裏付けられたデザインドリブンアプローチを強みとしており、第45回で紹介したリビングラボは、まさに格好の場を提供している。加えてICTの領域では、オープンデータ/オープンガバメント関連システムの成果物をビルディングブロックとして有効活用できる仕組を構築しており、(第32回)で触れたように、他のバルト・北欧諸国との間で、ビルディングブロックの共有やICT人材の交流などの取組も日常化している。

 これらを踏まえた上で、デンマーク医療サイバー・情報セキュリティ戦略の順守すべき標準規格として、NIS指令やGDPRに加え、情報セキュリティマネジメント規格「ISO 27001」(関連情報)を挙げている。

 次に図4は、継続的な分析と結論に基づく医療サイバー・情報セキュリティ戦略のフローを示している。

図4 図4 継続的な分析と結論に基づく戦略(クリックで拡大) 出典:Danish Ministry of Health, Danish Regions, and Local Government Denmark「Strategy for cyber and information security in the healthcare sector」(2019年5月3日)

 デンマークの場合、前述のCFCSが提供する脅威評価と、国内医療界が提供する脆弱性評価をベースとして、継続的にリスク評価を実施し、戦略的取組を更新していく流れになっている。なおCFCSは、デンマークの医療セクターに対するサイバー脅威評価を公表している(関連情報、PDFファイル)。

 さらに図5は、強化されたセキュリティに向けた、首尾一貫したシステマチックなアプローチを示しており、①予測(Predict)、②予防(Prevent)、③検知(Detect)、④対応(Respond)の4トラックから構成される。

図5 図5 強化されたセキュリティに向けた、首尾一貫したシステマチックなアプローチ(クリックで拡大) 出典:Danish Ministry of Health, Danish Regions, and Local Government Denmark「Strategy for cyber and information security in the healthcare sector」(2019年5月3日)

 この流れに従って、医療サイバー・情報セキュリティ戦略の具体的内容が、表1のように展開されている。

表1 表1 デンマーク医療サイバー・情報セキュリティ戦略の構成(クリックで拡大) 出典:Danish Ministry of Health, Danish Regions, and Local Government Denmark「Strategy for cyber and information security in the healthcare sector」(2019年5月3日)を基にヘルスケアクラウド研究会作成

Copyright © ITmedia, Inc. All Rights Reserved.