欧州ENISAが病院向けサイバーセキュリティ調達ガイドラインを公表 ブックマークが追加されました
最新動向/市場予測
欧州ENISAが病院向けサイバーセキュリティ調達ガイドラインを公表
【第103号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2020年2月24日、欧州ネットワーク情報セキュリティ庁(ENISA)は、病院の医療専門家向けに、サイバーセキュリティの目的を充足する調達プロセスの改善方法に関するガイドラインを提供することを目的として、「病院におけるサイバーセキュリティ向け調達ガイドライン」を公表しました。
第103号 2020.3.17公開
調達ポリシーの内容に関連するレファレンスとしては、以下のようなものを挙げています。
<欧州レベルのポリシー>
- ネットワーク・情報セキュリティ指令(NIS指令)
- 医療機器規則(MDR)
- 一般データ保護規則(GDPR)
<国際レベルのポリシー>
- 米国1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)
- 米国食品医薬品局(FDA)サイバーセキュリティ向けガイドライン
<主要な業界標準規格>
- ISO/DTR 22696 医療情報-接続可能なパーソナルヘルスデバイスのアイデンティティ/認証に関するガイダンス
- ISO/DTR 21332 医療情報-医療情報システムのセキュリティ/プライバシーに関するクラウドコンピューティングの考慮事項
- ISO/WD 13131 医療情報-遠隔医療サービス-品質計画ガイドライン
- ISO/AWI 22697 医療情報-プライバシー管理の個人保健情報への適用
次に、ENISAの調達ガイドラインでは、病院に対する脅威として、「自然現象」、「サプライチェーン障害」、「人的エラー」、「悪意のある行動」、「システム障害」の5点を挙げた上で、以下のようなサイバーセキュリティ調達関連項目について、グッドプラクティスを整理しています。
<一般的なプラクティス>
- 調達におけるIT部門の関与
- 脆弱性管理
- ハードウェア/ソフトウェア・アップデートのためのポリシー開発
- セキュアな無線通信
- 検証ポリシーの策定
- 事業継続計画の策定
- 相互運用性の課題の考慮
- 監査やロギングの許容
- 暗号化の利用
<計画フェーズ>
- リスク評価の実施
- 要求事項の事前計画
- アイデンティティ脅威
- ネットワークの分離
- サプライヤー向け適格基準の策定
- クラウド向け専用提案依頼書(RFP)の構築
<ソース・フェイズ>
- 認証の要求
- データ保護影響評価(DPIA)の実施
- レガシーシステムの取り扱い
- サイバーセキュリティ・トレーニングの提供
- インシデント対応計画の開発
- インシデント管理におけるサプライヤーの関与
- 維持運用の編成
- セキュアな遠隔アクセス
- パッチ当ての要求
<管理フェーズ>
- サイバーセキュリティの認識の高揚
- 資産在庫および構成管理遂行
- 医療機器設備向け専用アクセス制御メカニズム
- 頻繁なまたはアーキテクチャ/システム変更後のペネトレーションテストのスケジュール設定
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・医療機関は、購買部門、IT部門、システムオーナーとなる臨床業務部門が連携した組織を整備し、ENISA調達ガイドラインに準拠した共通調達ポリシーおよび手順を策定した上で、従来の調達プロセスとのギャップを埋めていく必要がある。
医療機器メーカー/医療品メーカー
・従来、医療機関と医療機器メーカー/医療品メーカーとの間には、一部の製品・サービス単位でサイバーセキュリティに関するルールがあったが、包括的な共通ルールは存在しなかった。今後は、調達プロセスだけでなく、企画・設計、実装、運用管理に至るまでのライフサイクル全体をカバーする共通セキュリティ・ルールを整備していく必要がある。
サプライヤー
・医療機関向けにITソリューションを提供するサプライヤーは、医療機関のIT部門と連携しながら、調達プロセスを契機に、システムオーナーとなる臨床業務部門に対して、サイバーセキュリティに関する組織的・人的支援活動を強化していく必要がある。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
