米国HHSがサイバーセキュリティニュースレターを発行

第153号　2022.4.5公開

2022年3月17日、米国保健福祉省（HHS）の公民権室（OCR）は、「2022年第1四半期サイバーセキュリティニュースレター」を発行しました。このニュースレターは、新たに拡大しているセキュリティ課題を特定し、保護対象保健情報（PHI）を保護するベストプラクティスに焦点を当てることによって、HIPAA適用主体（Covered Entity）および事業提携者（Business Associate）のHIPAAセキュリティ規則遵守を支援することを目的としています。

今回発行されたニュースレターによると、2020年～2021年の間、ハッカーは、価値のある電子保護対象保健情報（ePHI）への不正なアクセスを探して、医療産業を標的にしてきました。米国保健福祉省の公民権室に報告のあった、ハッキングまたはITインシデントによって500人以上の個人に影響を及ぼすようなセキュアでないePHI侵害件数は、2019年から2020年に45%増加しています。さらに、500人以上の個人に影響を及ぼした全侵害のうち、ハッキングまたはITインシデントによる侵害が66%を占めています。

攻撃の中には、高度な手法で、未知の脆弱性（例．ゼロデイ攻撃）を突いたものもありますが、大半のサイバー攻撃は、HIPAA適用主体／事業提携者（規制主体）が、フィッシングメール、既知の脆弱性の悪用、弱い認証プロトコルなど、共通タイプの攻撃に取組むHIPAAセキュリティ規則の要求事項を展開していれば、防止できたか、部分的に低減できた可能性があると述べています。もし攻撃が成功すると、攻撃者は規制主体のePHIを暗号化して、身代金要求のために保持するか、ID詐欺、ブラックメールなど、将来の目的のためにデータを抽出します。

本ニュースレターでは、共通のサイバー攻撃手法に対して保護するために、規制主体がとりうる予防的ステップとして、以下のような対策を挙げています。

• フィッシングメール：
  組織が保有するePHIをサイバー攻撃から保護する際に、全規制主体の従業員が重要な役割を果たすことを理解すべきである。その役割には、疑わしいメールに直面したら検知して適切な対策を講じることなどが含まれる。従業員が適切な対策を講じることを保証するために、規制主体は、従業員教育を実施して、フィッシング攻撃を認識させ、このような攻撃または疑わしい攻撃が発生した時にすべきことに関するプロトコルを展開させるべきである。HIPAAセキュリティ規則では、規制主体に対して、全従業員向けにセキュリティ認識・トレーニングプログラムを展開することを求めている。
• 既知の脆弱性の悪用：
  規制主体は、新たに発見された脆弱性を記述したサイバーセキュリティアラートに十分注意を払うべきである。使われなくなったサポート切れのアプリケーションや機器(レガシーシステム)をアップグレートまたは入れ替えるべきである。さらに、規制主体は、セキュリティ違反を予防、検知、阻止、修正するために、セキュリティ管理プロセスを展開すべきである。HIPAAセキュリティ規則では、規制主体に対して、正確かつ完全であるためにリスク分析を実施することを求めている。これには、潜在的な技術および技術以外の脆弱性を特定するプロセスが含まれる。
  
• 弱いサイバーセキュリティプラクティス：
  弱い認証要件がサイバー攻撃の標的になっていると指摘した上で、規制主体は、認証プロセスを導入することによって、ePHIへのアクセスを求める個人または主体であることを証明すべきである。HIPAAセキュリティ規則では、必要最低限のePHIへのアクセスに制限するアクセスコントロールを導入することを求めており、リスク分析に従って、適切なアクセスコントロールを展開すべきだとしている。特に、特権アカウントの場合、ePHIへの不正アクセスリスクが高いことから、低減策として特権アクセス管理（PAM）システムの導入を挙げている。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国の医療機関の間では、ハッキングやITインシデントに起因する医療データ漏えいインシデントが急増しているが、HIPAAセキュリティ規則の要求事項を遵守していれば防止できたようなケースも多く見受けられる。日本の医療機関のマネジメント層は、リスク分析を通じて、セキュリティ課題の優先順位付けを行い、既存リソースで予防可能な部分から具体的なリスク低減策を講じられるように、組織を調整すべきである。
 

医療品メーカー／医療機器メーカー

・医療機関とネットワーク／インターネット接続した環境で臨床開発や市販後安全対策の業務を行う医療機器メーカー／医療品メーカーは、医療機関と共有するアカウントや電子メールの管理状況がデータ漏えいインシデントのリスク低減を左右するという点を認識した上で、特権アクセス管理策やセキュリティトレーニングなどの中身を継続的に改善する必要がある。
 

サプライヤー

・医療機関や医薬品／医療機器メーカー向けに、患者データに関わる製品・サービスを提供するサプライヤーは、既存の機器／システムについて、既知の脆弱性に関する再点検を実施し、アップデートやパッチ当てが必要な部分やサポート切れの部分の有無をユーザー側に通知した上で、優先度の高い部分から対策を講じるべきである。

関連記事 [外部サイト]

• U.S. Department of Health & Human Services (HHS)「OCR Quarter 1 2022 Cybersecurity Newsletter」(2022年3月17日)
  
• U.S. Department of Health & Human Services (HHS)「Cyber Security Guidance Material」

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<