米国会計検査院が保健福祉省のセキュリティ報告書を公表 ブックマークが追加されました
最新動向/市場予測
米国会計検査院が保健福祉省のセキュリティ報告書を公表
【第136号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2021年6月27日、米国会計検査院(GAO)は、「サイバーセキュリティ:HHSは役割と責任を定義したが、協力に改善の余地がある」と題する報告書を公表しました。
第136号 2021.7.19公開
保健福祉省(HHS)および医療・公衆衛生セクターは、医療関連サービスの提供、国家的な衛生危機(例.COVID-19)への対応など、使命達成のため、情報システムに過度に依存しています。連邦法およびガイダンスでは、省内およびセクター内のサイバーセキュリティに取組むため、HHSに対する要求事項を設定しています。また、連邦ガイダンスでは、HHSおよびセクターのサイバーセキュリティを強化するために、協力と調整を求めています。
本報告書では、サイバーセキュリティに取組むHHSの組織的手法をレビューした上で、省レベルのサイバーセキュリティにおけるHHSの役割および責任や、医療・公衆衛生セクターのサイバーセキュリティにおけるHHSの役割および責任、さらにサイバーセキュリティに上の責任を管理するために協力するHHSの取組について議論しています。
GAOは、HHSの構成部局の中から、食品医薬品局(FDA)、メディケア・メディケイド・サービスセンター(CMS)、疾病予防管理センター(CDC)、医療資源・サービス局(HRSA)、薬物乱用・精神衛生サービス局(SAMHSA)、医療研究・品質局(AHRQ)の6つを選定し、協力や調整に関するリーディングプラクティスとして以下の7項目について、現状分析を行いました。
- アウトカムおよび説明責任の定義と追跡
- 組織文化の橋渡し
- リーダーシップの特定
- 役割および責任の明確化
- グループにおける主要な参加者の関与
- リソースの特定
- 書面によるガイダンスおよび同意書の文書化と定期的な更新
これらの分析結果を踏まえて、GAOは、HHSに対し、サイバーセキュリティを強化するために、省内およびセクターレベルの協力・調整活動を向上させるよう提言しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・保健医療行政機関の場合、医療機関でサイバーインシデントが発生した時の対応・情報共有体制が、公衆衛生、医療保険、医薬品・医療機器、臨床研究、医療ITなど、個々の所管部門によってまちまちで、通知・報告やリスクコミュニケーションが二度手間になったりすることがあった。今後、行政機関内部で協力・調整活動が進むのに合わせて、医療機関側でも、リスクマネジメント委員会などを活用しながら、部門の枠を越えたサイバーセキュリティ情報分析・共有機能の強化を図るべきである。
医療機器メーカー/医療品メーカー
・通常、医療機器や医療品を所管するのは、食品医薬品局(FDA)であるが、これらの製品・サービスに関連したサイバーインシデントが発生した場合、直接的・間接的に、他部局の所管領域に影響が及ぶ可能性がある。メーカー側は、実際に製品・サービスを利用する医療機関と連携して、インシデント発生時の役割・責任分担や組織間の橋渡し機能などについて、再確認しておく必要がある。
サプライヤー
・医療機関や医療機器メーカー/医療品メーカー向けにIT関連製品・サービスを提供するサプライヤーは、自社製品を含むサプライチェーンを直接所管する規制当局以外の部局の所管業務プロセスに直接的/間接的な問題が発生するケースが多くあることを認識した上で、インシデントが発生した場合の対応手順やリスク管理上の責任分担、さらには予防的対策について再点検し、リスク低減に努めておく必要がある。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。