米国NISTが遠隔患者モニタリング・セキュリティ指針草案第2版を公表 ブックマークが追加されました
最新動向/市場予測
米国NISTが遠隔患者モニタリング・セキュリティ指針草案第2版を公表
【第132号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2021年5月6日、米国立標準技術研究所(NIST)傘下の国立サイバーセキュリティセンター・オブ・エクセレンス(NCCoE)は、「NIST SP 1800-30 遠隔医療の遠隔患者モニタリングエコシステムのセキュア化」草案第2版を公表し、パブリックコメントの募集を開始しました(募集期間:2021年6月7日まで)。
第132号 2021.5.24公開
医療提供組織(HDO)は、ますます、患者ケアのレジメンの一部として、遠隔医療および遠隔患者モニタリング(RPM)を取り入れています。RPMシステムは利便性を提供し、患者やHDOにとって費用対効果がある可能性があることから、採用率が増加しています。反面、適切なプライバシーおよびサイバーセキュリティ対策がなければ、権限のない個人が機微なデータを暴露したり、患者モニタリングサービスを混乱させたりする可能性があります。
NCCoEは、プライバシーおよびサイバーセキュリティのコントロールを導入して、遠隔医療RPMエコシステムの強靭性を強化するために、HDOが、標準規格に基づく手法や商用利用できるサイバーセキュリティ技術の利用方法を説明したレファレンス・アーキテクチャを開発しました。2020年11月16日には、MITREと連携して、「NIST SP 1800-30 遠隔医療の遠隔患者モニタリングエコシステムのセキュア化:医療セクター向けサイバーセキュリティ」草案第1版を公表していました。
NCCoEは、草案第1版に対するフィードバックを受けて、第2版では、以下のような点を修正しています。
- 「NIST SP 800-53 Revision 5」に対応して、セキュリティおよびプライバシーのコントロールのマッピングを調整した
- アイデンティティ管理およびデータセキュリティの章において、サイバーセキュリティ機能を強化した
- 患者の自宅と遠隔医療プラットフォーム・プロバイダーの間のセキュアなブロードバンド通信を含むように最終アーキテクチャを更新した
- 生体認証機器の調達プロセスにおいて、遠隔医療プラットフォーム・プロバイダーが認識すべき、機器サイバーセキュリティ機能および非技術的支援機能に関するNISTのIoTサイバーセキュリティプログラムからのガイダンスを含めた
草案第2版は、以下の3部構成になっています。
SP 1800-30A: エグゼクティブサマリー
SP 1800-30B: アプローチ、アーキテクチャ、セキュリティの特徴
SP 1800-30C: ハウツー・ガイド
なお、NCCoEは、「NIST SP1800-1:モバイルデバイス上の電子健康記録(EHR)のセキュア化」(2018年8月3日)、「NIST SP1800-8:医療提供組織における無線輸血ポンプのセキュア化」(2018年8月17日)などの医療機関向けガイドラインを公表している。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・遠隔診療を提供する医療機関は、患者の自宅と医療施設の間のエンドツーエンドにおいて、プライバシーおよびサイバーセキュリティ双方の要求事項を満たす必要があるので、遠隔医療プラットフォームの調達・導入に際し、NCCoEのガイドラインを参照しながら、事前リスク評価を行い、必要な対策を講じておく必要がある。
医療機器メーカー/医療品メーカー
・遠隔医療プラットフォームとネットワーク連携して製品・サービスを提供する製薬メーカー/医療機器メーカーは、NCCoEのガイドラインを参照しながら、遠隔医療プラットフォームのプライバシー/サイバーセキュリティ管理策が、自社製品・サービスに及ぼすインパクトについて評価し、エコシステムの一員として対応が求められる課題について検討しておく必要がある。
サプライヤー
・遠隔医療プラットフォームを提供するサプライヤーに対しては、セキュリティ運用上、継続的なモニタリングの強化策が要求されるので、遠隔診療固有のしくみや要件を考慮した費用対効果のある機能・運用サービスメニューを開発・提案していく必要がある。
関連記事 [外部サイト]
- National Institute of Standards and Technology(NIST)「Second Draft of “Securing Telehealth Remote Patient Monitoring Ecosystem” (SP 1800-30) is Available for Comment」(2021年5月6日)
- National Institute of Standards and Technology(NIST)「Remote Patient Monitoring Platforms Get New Cybersecurity and Privacy Guidelines」(2020年12月9日)
- National Institute of Standards and Technology(NIST)「Electronic Health Records on Mobile Devices」(2018年8月3日)
- National Institute of Standards and Technology(NIST)「Securing Wireless Infusion Pumps」(2018年8月17日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。