連載
» 2020年03月27日 10時00分 公開

海外医療技術トレンド(57):デジタルでリアルな課題の解決を目指す欧州の新型コロナウイルス対応策 (3/3)

[笹原英司,MONOist]
前のページへ 1|2|3       

医療機関の調達を起点とするサプライチェーン・セキュリティの取組

 緊急事態下でも持続可能な医療機器サプライチェーンの仕組みを維持するためには、ユーザーとなる医療機関側の調達体制の標準化・効率化に向けた取組が必要となる。これはサイバーセキュリティの分野でも同じだ。

 2020年2月24日、欧州ネットワーク情報セキュリティ庁(ENISA)は、病院の医療専門家向けに、サイバーセキュリティの目的を満たす調達プロセスの改善方法についての標準的な指針を提供することを目的として、「病院におけるサイバーセキュリティ向け調達ガイドライン」(関連情報)を公表した。

 この調達ガイドラインでは、本連載第51回で触れた「一般データ保護規則(GDPR)」および「ネットワーク・情報システムのセキュリティに関する指令(NIS指令)」と、前述の「医療機器規則(MDR)」の順守を前提とした上で、図3のように、病院における調達のタイプを整理している。ハードウェア、ソフトウェア、サービスが複雑かつ多岐にわたっているのが特徴だ。

図3 図3 病院における調達のタイプ(クリックで拡大) 出典:The European Union Agency for Cybersecurity (ENISA)「Procurement Guidelines for Cybersecurity in Hospitals」(2020年2月24日)

 そして、病院に対する脅威について、以下の5つを柱に定義している。

  • 自然現象
  • サプライチェーン障害
  • 人的エラー
  • 悪意のある行動
  • システム障害

 次に図4は、病院における調達プロセスのライフサイクルを示している。

図4 図4 病院における調達プロセスのライフサイクル(クリックで拡大) 出典:The European Union Agency for Cybersecurity (ENISA)「Procurement Guidelines for Cybersecurity in Hospitals」(2020年2月24日)

 ENISAのガイドラインでは、一般的なプラクティスと、図4中の「計画」(1〜2)、「ソース」(3〜5)、「管理」(6〜8)の各フェーズについて、以下のようなサイバーセキュリティ調達関連事項およびグッドプラクティスを整理している。

  • 一般的なプラクティス
    • 調達におけるIT部門の関与
    • 脆弱性管理
    • ハードウェア/ソフトウェア・アップデートのためのポリシー構築
    • セキュアな無線通信
    • 検証ポリシーの策定
    • 事業継続計画の策定
    • 相互運用性の課題の考慮
    • 監査やロギングの許容
    • 暗号化の利用
  • 計画フェーズ
    • リスク評価の実施
    • 要求事項の事前計画
    • アイデンティティー脅威
    • ネットワークの分離
    • サプライヤー向け適格基準の策定
    • クラウド向け専用提案依頼書(RFP)の構築
  • ソース・フェーズ
    • 認証の要求
    • データ保護影響評価(DPIA)の実施
    • レガシーシステムの取り扱い
    • サイバーセキュリティ・トレーニングの提供
    • インシデント対応計画の開発
    • インシデント管理におけるサプライヤーの関与
    • 維持運用の編成
    • セキュアな遠隔アクセス
    • パッチ当ての要求
  • 管理フェーズ
    • サイバーセキュリティの認識の高揚
    • 資産在庫および構成管理遂行
    • 医療機器設備向け専用アクセス制御メカニズム
    • 頻繁なまたはアーキテクチャ/システム変更後のペネトレーションテストのスケジュール設定

 医療機器企業としては、調達プロセスにおける医療機関との共通サイバーセキュリティルールをうまく活用して、自社製品・サービスの企画・設計から実装、運用管理、廃棄に至るまでの製品ライフサイクル全体をカバーできるルールを整備していく必要がある。そのような体制を準備・構築・維持できれば、新型コロナウイルス感染症拡大期のような緊急事態下でも、重要インフラ調達時に要求されるサイバーセキュリティ要件をスムーズにクリアすることができるだろう。

 中国も、米国も、欧州も、新型コロナウイルス感染症拡大期の中で、新しいイノベーションの実現に向けた臨床技術開発や制度的な仕組みづくりが始まっている。まさに今は、日本市場から海外に向けてどのようなソリューションを提供できるかを再考する好機でもある。

筆者プロフィール

笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook:https://www.facebook.com/esasahara


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.