米国の医療機関がCOVID-19ワクチン接種予約システムの脆弱性を指摘

第126号　2021.2.19公開

ビューモント・ヘルスによると、2021年1月31日、ユーザーがエピックの予約システムの脆弱性を利用して、不正な予約の経路を公に共有していたことが確認されました。これにより、2,700人が、割り込んで不正なワクチン予約を登録することが可能な状態にあったため、ビューモント・ヘルスは、不正な経路を利用した予約すべてを一旦キャンセルしたとしています。

他方、ビューモント・ヘルスからの通知を受けたエピックの声明によると、医療機関が、州および地方の公衆衛生当局の優先順位に対応するにつれて、同社は、そのニーズに適合し、優先的なグループにリーチする最善の方法を提供するようなツールの選択を支援しているとしています。ツールには、基準を満たす個々の患者がワクチン接種予約の招待状を受け取る「チケット予約」と予約を幅広いコミュニティに公開する「公開予約」が含まれています。公開予約を利用する医療機関は、適格性を検証するために別の手段を利用しているとしています。

エピックは、ビューモント・ヘルスとともに課題解決に取り組んでおり、予約してワクチン接種を受ける現行の対象者には影響が及ばないとしています。

なお、バイデン政権は、2021年1月21日、「COVID-19対応・パンデミック準備のための国家戦略」を公表し、COVID-19ワクチン接種予約ソリューションに対する技術支援を表明しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国では、医療機関がサードパーティベンダーの医療IT 製品・サービスの脆弱性を発見するケースが珍しくない。COVID-19ワクチン接種予約システムのように、緊急性が高く、社会的影響が大きいケースに備えて、院内およびベンダー、規制当局との脆弱性情報の共有を行う場合のポリシーや手順を再確認し、実効性のあるものにしておく必要がある。
 

医療機器メーカー／医療品メーカー

・COVID-19ワクチン接種関連製品・サービスを提供する医療機器メーカー／医療品メーカーは、COVID-19ワクチン接種予約システムに万一障害が発生した場合、自社製品・サービスのサプライチェーンに影響が及ぶ可能性が高いので、事業継続管理の観点から、影響度を評価し、対応プロセスや情報共有体制について検討しておく必要がある。

サプライヤー

・今回脆弱性が見つかったCOVID-19ワクチン接種予約システムは、電子医療記録システムと連携していた。医療機関向けに医療IT製品・サービスを提供するサプライヤーは、自社製品・サービスは、万一、ワクチン接種予約システムに不具合が発生した場合に及ぶ影響度を評価し、必要に応じて、対応プロセスや情報共有体制について検討しておく必要がある。

関連記事 [外部サイト]

• Beaumont Health「Epic electronic medical record system vaccine scheduling vulnerability identified　and shut down by Beaumont on Saturday」（2021年2月1日）
  
• Epic「Statement from Epic Regarding “Cutting in Line” Vaccine Scheduling Incident」（2021年2月1日）
  
• The White House「National Strategy for the COVID-19 Response and Pandemic Preparedness」（2021年1月21日）[PDF, 23.47MB]
  

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<