米国MITREが医療サイバーセキュリティと患者安全に関する見解を表明

第181号　2023.6.7公開

本文書は、米国連邦議会上院立法委員会委員長のマーク・R・ワーナー上院議員（民主党・バージニア州選出）が、2022年11月3日に公開した「サイバーセキュリティは患者安全 - 医療セクターにおける政策の選択肢」に呼応して、サイバーセキュリティや患者安全の向上に向けた見解や推奨事項を整理したものです。

ワーナー議員の文書では、医療セクターにおけるサイバーセキュリティを向上させるためには、官民双方の協力が必要であり、効率的に攻撃から復旧するために、連邦政府のリーダーシップを向上し、医療機関のサイバーセキュリティ能力を強化して、堅牢な対応システムを構築するよう求めていました。

これに対してMITREは、医療セクターが、情報技術と業務環境において、患者ケアやビジネス業務、医療機器、施設、保護対象保健情報、国民の信頼に影響を及ぼす可能性がある脅威と合わせて、複雑な課題に直面している点を指摘しています。たとえば、医療提供施設は、サイバー攻撃の主要ターゲットとなっており、家庭およびモバイルのヘルスデータ収集・交換は、攻撃面を拡大させています。そこで、安全性を拡張させ、ユーザーの信頼を醸成するようなイノベーションを実現するために、多くのステップをとる必要があるとしています。

MITREは、以下のような領域について、医療現場におけるサイバーセキュリティ向上のための観察結果・推奨事項計17項目を提示しています。

• 医療における国家サイバーセキュリティリスクのポスチャーの向上（3項目）
• サイバーセキュリティ保護の拡大に向けた規制フレームワーク（HIPAAセキュリティ・プライバシー規則など）の現代化（4項目）
  
• 医療サイバーセキュリティ労働力の開発（2項目）
• 医療提供施設のサイバーセキュリティ能力の向上（4項目）
• 緊急対応準備と対応（3項目）
• 在宅医療におけるサイバーセキュリティ（1項目）

このうち「医療提供施設のサイバーセキュリティ能力の向上」の中で、MITREは、医療提供施設によるソフトウェア部品表（SBOM）の有効活用を訴えています。具体的には、米国食品医薬品局（FDA）とMITREの連携による医療機器製品ライフサイクル全体を通じた医療機関によるSBOM活用の支援、新規製品から既存製品へのSBOM活用拡大による医療機関のサイバーサプライチェーンリスクマネジメントの向上を挙げています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国の場合、患者安全およびサイバーセキュリティ双方の最重要拠点として医療機関の臨床現場が認識されており、各医療機関任せでなくエコシステム全体でリスク低減に取り組もうという姿勢が強くなっている。今後、日本においても同様の傾向が顕在化した場合に備えて、医療機関は、製品調達、市販後安全対策、インシデント対応、機器廃棄など、外部ステークホルダーとのタッチポイントにおけるコミュニケーション機能を強化して、自組織の外部リソース活用につなげられる仕組みづくりをしておく必要がある。
 

医療機器メーカー／医療品メーカー

・米国の場合、新製品設計・開発の早期段階からのSBOM導入・運用に加えて、サイバーインシデント対応時の医療機関向けSBOM活用のユースケース構築・提供が、医療機器メーカー／医薬品メーカーの市販後安全強化策として重視されつつある。日本の場合、2023年3月31日、医療機器規制当局フォーラム（IMDRF）の医療機器サイバーセキュリティ原則に準拠した「医療機器のサイバーセキュリティ導入に関する手引書（第2版）」が公表され、SBOM導入が喫緊の課題となっているが、2023年5月31日、医療機関向けに公表された「医療情報システムの安全管理に関するガイドライン第6.0版」をみると、SBOM関連の記述が見当たらない。日本国内で医療機器やコンビネーション製品を提供する医療機器メーカー／医薬品メーカーは、インシデント対応に係るサイバーセキュリティポリシーおよび手順について、メーカーと医療機関の間で差異が発生しないように、SBOMを活用する方策を検討すべきである。
 

サプライヤー

・日本国内で医療機関向けにIT製品・サービスを提供するサプライヤーは、自社製品・サービスとネットワーク連携する医療機器やコンビネーション製品のSBOM導入・運用状況を継続的にモニタリングして、自らのサイバーサプライチェーンリスクマネジメントやインシデント対応計画に有効活用することを検討すべきである。

関連記事 [外部サイト]

• MITRE「Cybersecurity and Patient Safety in the Healthcare Setting」（2023年5月11日）
• Mark R. Warner「Warner Releases Policy Options Paper Addressing Cybersecurity in the Health Care Sector」（2022年11月3日）
• 厚生労働省「医療機器のサイバーセキュリティ導入に関する手引書の改訂について」（2023年3月31日）
• 厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版」（2023年5月31日）

本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<