米国NISTがHIPAAセキュリティ規則導入ガイドライン改定第2版草案を公表 ブックマークが追加されました
最新動向/市場予測
米国NISTがHIPAAセキュリティ規則導入ガイドライン改定第2版草案を公表
【第162号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2022年6月21日、米国標準技術研究所(NIST)は、「NIST SP 800-66 Revision 2 医療保険の携行性と責任に関する法律(HIPAA))セキュリティ規則導入:サイバーセキュリティリソースガイド改定第2版」新規公開草案を公表し、パブリックコメントの募集を開始しました(募集期間:2022年9月21日まで)。
第162号 2022.8.23公開
NIST SP 800-66は、HIPAAセキュリティ規則に含まれるセキュリティについて学習する読者を支援し、適用対象主体(Covered Entity)がセキュリティ規則を導入する際に支援することを目的としており、2005年3月に初版が公開され、その後2008年10月に改定第1版が公開されていました。
今回公開された改定第2版草案では、HIPAAセキュリティ規則の概要を示した上で、規制対象主体が電子化された保護対象保健情報(ePHI)を評価・保護する際のガイドラインを提供し、情報セキュリティプログラムを導入する際に適用対象主体が考慮すべき典型的な活動を特定するとともに、適用対象主体がセキュリティ規則を導入する際に有益となるような追加リソースを挙げています。具体的な構成は以下の通りです。
エグゼクティブサマリー
- イントロダクション
- HIPAAセキュリティ規則
- リスク評価ガイダンス
- リスク管理ガイダンス
- HIPAAセキュリティ規則導入時の考慮事項
このうち、「5. HIPAAセキュリティ規則導入時の考慮事項」では、以下のような保護策を挙げています。
5.1 管理的保護策
5.1.1 セキュリティ管理プロセス
5.1.2 分担されたセキュリティ責任
5.1.3 従業者のセキュリティ
5.1.4 情報アクセス管理
5.1.5 セキュリティ認識とトレーニング
5.1.6 セキュリティインシデント手順
5.1.7 緊急時対応計画
5.1.8 評価
5.1.9 事業提携者契約書(Business Associate Agreement)またはその他の取り決め
5.2 物理的保護策
5.2.1 施設へのアクセス制御
5.2.2 ワークステーションの利用
5.2.3 ワークステーションのセキュリティ
5.2.4 デバイスとメディアの制御
5.3 技術的保護策
5.3.1 アクセス制御
5.3.2 監査の制御
5.3.3 完全性
5.3.4 個人または主体の認証
5.3.5 転送セキュリティ
5.4 組織的要求事項
5.4.1 事業提携者契約書またはその他の取り決め
5.4.2 集団医療保険向け要求事項
5.5 ポリシーおよび手順、文書化の要求事項
5.5.1 ポリシーおよび手順
5.5.2 文書化
なお、HIPAAセキュリティ規則を所管する保健福祉省(HHS)傘下の公民権室(OCR)は、HIPAAセキュリティ規則に違反した適用対象主体や事業提携者に対する法執行措置などを定めた「経済的および臨床的健全性のための医療情報技術に関する法律(HITECH法)」の改正に向けて、2022年4月6日、情報提供依頼(RFI)を公示しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国では、先行するHIPAAプライバシー規則改正作業の後を追う形で、HIPAAセキュリティ規則改正に向けた作業が進んでいる。その中で、技術規格の標準化を担うNISTは、サイバーセキュリティとプライバシーの間に潜むリスク(例.保護対象保健情報(PHI)に係るデータセキュリティ)の低減に向けた取り組みに焦点を当てている。日本の医療機関の間では、重要インフラを構成する施設としてのサイバーセキュリティ管理策と、患者・消費者保護の視点に立った個人情報保護/プライバシーリスク管理策を相互連携させる組織的仕組みづくりが遅れている。今後は、トップマネジメントやリスクマネジメント委員会がつなぎ役となって、技術的対策導入の前提条件となる組織的要求事項やポリシー/手順/文書化のプロセスを見直す必要がある。
医療機器メーカー/医療品メーカー
・米国では、医療機器/医薬品企業がHIPAAの事業提携者(BA)やその外部委託先に該当する場合、HIPAAのプライバシー規則およびセキュリティ規則の順守が求められる。米国で事業展開する医療機器/医薬品企業は、BAの立場から、今回のNISTセキュリティ指針改正案の内容を確認した上で、追加・修正が必要な事項に係る事前リスク評価や自社製品・サービスの品質管理に及ぼすインパクト評価など、具体的な対策を検討すべきである。
サプライヤー
・米国で医療機関向けにIT製品・サービスを提供するサプライヤーは、HIPAAの事業提携者(BA)やその外部委託先に該当する場合、HIPAAのプライバシー規則およびセキュリティ規則の順守が求められる。米国で事業展開するサプライヤー企業は、BAおよびサプライチェーンリスクマネジメントの立場から、今回のNISTセキュリティ指針改正案の内容が、自社製品・サービスのサプライチェーン管理やインシデント対応、リスクコミュニケーションなどに及ぼすインパクトをあらかじめ評価しておく必要がある。
関連記事 [外部サイト]
- National Institute of Standards and Technology(NIST)「NIST Updates Guidance for Health Care Cybersecurity」(2022年6月21日)
- National Institute of Standards and Technology(NIST)「SP 800-66 Rev. 1 An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule」(2008年10月23日)
- National Institute of Standards and Technology(NIST)「SP 800-66 An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule」(2005年3月1日)
- Federal Register「Considerations for Implementing the Health Information Technology for Economic and Clinical Health (HITECH) Act, as Amended」(2022年4月6日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
