米国の医療施設がセキュリティインシデント対応の経過を公表 ブックマークが追加されました
最新動向/市場予測
米国の医療施設がセキュリティインシデント対応の経過を公表
【第178号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年3月31日、米国フロリダ州の医療施設チェーンのタラハシー・メモリアル・ヘルスケア(TMH)は、同施設内で2月2日に発覚したセキュリティインシデントに関する経過を患者宛に報告するとともに、Webサイト上で公開しました。
第178号 2023.4.19公開
TMHによると、2023年2月2日夜、コンピューターシステムに異常な行動があることを検知し、翌3日、独立専門家とともに調査を開始するとともに、法執行機関にインシデントを報告して、Webサイト上でインシデント情報を公開しました。調査の結果、権限のない個人がコンピューターネットワークにアクセスし、2023年1月26日から2月3日までの間、当該システムから特定のファイルを入手したことが確認されました。
その直後、予防措置としてITシステムをオフライン化した上で、IT部門が迅速に問題を検知し、事前対応的に解決策への取り組みを開始し、システム停止中の間は、救急以外の患者の予約をリスケジュールするなどの対応処置を講じたとしています。インシデントの影響を受けた情報には、名前、住所、生年月日、社会保障番号、医療保険情報、医療記録番号、患者のアカウント番号、TMHで受けたケアに関する治療情報が含まれていたことも公表しています。
続いて2月14日には、IT・フォレンジックチームの調査を経て、TMHのITシステムが復旧したことを公表しました。システム停止中、紙の文書化で対応した部分については、同施設内の電子医療記録に転送する作業を行っているとしています。
さらに3月31日、TMHは、情報が含まれていた可能性のある患者宛文書の送付を開始し、社会保障番号が含まれている個人に対しては、無償の与信モニタリングおよびID保護サービスを提供することを公表しました。患者に対しては、医療機関や医療保険者から受け取った文書を確認し、不正確な箇所があったら医療機関や保険者に報告するよう呼び掛けています。3月31日時点で、患者情報の悪用は確認されていないとしています。加えて、保健福祉省(HHS)傘下の公民権室(OCR)は、TMHより、医療保険の携行性と責任に関する法律(HIPAA)の保護対象保健情報(PHI:Protected Health Information)の侵害に関する通知が3月31日に提出されたことを公表しています。
なお、現行の連邦法レベルでは、HIPAA侵害通知規則により、適用対象主体(CE:Covered Entity)および事業提携者(BA:Business Associates)に対して、500人以上に影響を与える保護対象保健情報侵害を発見したら60日以内に、HHSおよび個人に通知するよう求めています。これに対して、カリフォルニア州公衆衛生局(CDPH)は、同州内の保健医療施設に対し、医療情報侵害を発見してから15営業日以内に通知することを求めています。また、2022年3月15日に米国連邦議会で可決・成立した「2022年重要インフラストラクチャ向けサイバーインシデント報告法(CIRCIA)」では、同法の適用対象となる重要インフラストラクチャ構成組織(医療機関含む)に対して、インシデント確認後72時間以内に、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)に対して報告するよう求めています。
医療機関におけるセキュリティインシデントへの対応・復旧手順に関しては、米国保健福祉省(HHS)傘下でHIPAAを所管する公民権室(OCR)が、2022年10月25日、「2022年10月サイバーセキュリティレター - HIPAAセキュリティ規則セキュリティインシデント手順」を公表しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国では、医療機関やその外部委託先が個人データ侵害などのサイバーインシデントを発見した場合、規制当局や影響を受ける当事者に対する法定の通知期限が短くなる傾向がある。このような影響を受けて、医療機関がWebサイト等で開示するインシデント情報のタイミングや頻度、内容も変化している。今後、日本の医療機関も、米国の事例を参考にしながら、サイバーインシデント関連情報の迅速かつ的確な開示を実行するために、内部/外部向けのリスクコミュニケーション体制を見直して、準備を進めておく必要がある。
医療機器メーカー/医療品メーカー
・医療機関とデータをやりとりする医療機器メーカー/医薬品メーカーは、医療機関でサイバーインシデントが発生した場合、個々の医療機関のインシデント対応やリスクコミュニケーションの変化によって、自社のコンプライアンス体制が影響を受けないように、事業継続管理やアイデンティティ/アクセス管理、データ損失保護(DLP)などの対策を再点検し、必要に応じて改善しておく必要がある。
サプライヤー
・医療機関向けのICTサプライヤーも、医療機器メーカー/医療品メーカー向けのICTサプライヤーも、最終ユーザーとなる医療機関のインシデント対応やリスクコミュニケーションの状況に影響されることなく、自社製品・サービスのサポートを継続できるようなフォローアップ体制の見直し作業を行っておく必要がある。
関連記事 [外部サイト]
- Tallahassee Memorial HealthCare (TMH)「Tallahassee Memorial Managing IT Security Issue」(2023年2月3日)
- Tallahassee Memorial HealthCare (TMH)「Update on IT Security Event Thursday, Feb. 9, 2023」(2023年2月9日)
- Tallahassee Memorial HealthCare (TMH)「Progress on IT Security Event Tuesday, Feb. 14, 2023」(2023年2月14日)
- Tallahassee Memorial HealthCare (TMH)「Notice to Patients Regarding IT Security Event」(2023年3月31日)
- U.S. Department of Health and Human Services(HHS)「Cases Currently Under Investigation」(2023年3月31日更新)
- California Department of Public Health(CDPH)「DPH-11-009 Medical Information Breach」(2021年7月1日更新)
- Congress.gov「H.R.2471 - Consolidated Appropriations Act, 2022」(2022年3月15日)
- U.S. Department of Health and Human Services (HHS)「October 2022 OCR Cybersecurity Newsletter - HIPAA Security Rule Security Incident Procedures」(2022年10月25日)
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
