欧州ENISAが医療向けクラウドセキュリティ報告書を公表 ブックマークが追加されました
最新動向/市場予測
欧州ENISAが医療向けクラウドセキュリティ報告書を公表
【第125号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2021年1月18日、欧州連合サイバーセキュリティ庁(ENISA)は、「医療サービス向けクラウドセキュリティ」と題する報告書を公表しました。
第125号 2021.2.8公開
本報告書は、2020年2月24日に公表した「病院におけるサイバーセキュリティ向け調達ガイドライン」を基に、クラウドセキュリティのサイバーセキュリティ・リスクを評価し、欧州の医療セクターへのセキュアな統合のためのグッドプラクティスを提供することを目的としたものであり、ユースケースとして、以下のような領域に焦点を当てています。
- 電子健康記録(EHR):患者情報、医療検査結果など、健康データの収集、保存、管理、転送にフォーカスしたシステム
- 遠隔診療:遠隔による患者ー医師間の診療を支援する遠隔医療のサブセット
- 医療機器:医療機器データを異なるステークホルダー向けにまたは機器監視に利用できるようにするような、医療機器の運用を支援するクラウドサービス
そして、個々のユースケースについて、機微な患者情報に対するリスクや医療機器の利用可能性など、医療機関が重要なリスク評価を実行する際に考慮すべき要因を整理しています。
さらに本報告書では、インシデント管理のためのプロセスの確立、データ暗号化に関する要求事項の明確化、データのポータビリティと相互運用性の保証など、クラウドサービスへの移行を計画する際に医療機関が導入すべきセキュリティ対策を提案しています。ENISAによると、これらの提案事項は、ENISAが2020年12月22日に公表した「EUサイバーセキュリティ認証スキーム(EUCS)ークラウドサービス・スキーム」草案においても考慮されているとしています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・医療機関は、購買部門、IT部門、システムオーナーとなる臨床業務部門が連携して、ENISA調達ガイドラインに準拠したクラウドサービスに係る共通調達ポリシーおよび手順を策定した上で、調達対象となるサービスの事前リスク評価を行うとともに、部門の枠を越えたセキュリティ情報共有の仕組みを構築する必要がある。
医療機器メーカー/医療品メーカー
・EU域内の医療機関向けにクラウドサービスを組み合わせた製品・サービスを提供する医療機器メーカー/医療品メーカーは、今後、新たな調達要件の1つとして、クラウドセキュリティ認証制度が導入される可能性があるので、ENISAの報告書の留意事項を精査し、製品・サービスの開発段階における事前リスク評価項目として検討する必要がある。また、医薬品・医療機器規制とクラウドセキュリティの関係について、今後の動向を注視する必要がある。
サプライヤー
・EU域内の医療機関向けにクラウドサービスを利用したITソリューションを提供するサプライヤーは、ENISAの報告書の留意事項を精査し、クラウドサービス利用時の事前リスク評価項目として検討するとともに、医療機関の調達部門やIT部門、システムオーナーとなる臨床業務部門に対して、クラウドセキュリティに係る啓発活動を行っておく必要がある。
関連記事 [外部サイト]
- UEuropean Union Agency for Cybersecurity (ENISA)「Securing Cloud Services for Health」(2021年1月18日)
- European Union Agency for Cybersecurity (ENISA)「Procurement Guidelines for Cybersecurity in Hospitals」(2020年2月24日)
- European Union Agency for Cybersecurity (ENISA)「EUCS - Cloud Services Scheme」(2020年12月22日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
