米国保健福祉省がセキュリティインシデント対応手順指針を公表 ブックマークが追加されました
最新動向/市場予測
米国保健福祉省がセキュリティインシデント対応手順指針を公表
【第168号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2022年10月25日、米国保健福祉省(HHS)傘下でHIPAAを所管する公民権室(OCR)は、「2022年10月サイバーセキュリティレター - HIPAAセキュリティ規則セキュリティインシデント手順」を公開しました。
第168号 2022.11.16公開
HIPAAセキュリティ規則では、規制対象主体(例.医療機関、医療保険者)に対して、セキュリティインシデントに取り組むためのポリシーおよび手順を導入するよう求めています。HIPAAセキュリティ規則上、規制対象主体は、セキュリティインシデント対応ポリシーに以下のような内容を盛り込む必要があるとしています。
- セキュリティインシデントの特定
- セキュリティインシデントへの対応
- セキュリティインシデントの有害な影響の低減
- セキュリティインシデントおよびそのアウトカムの文書化
次に、セキュリティインシデント対応チームの設置に関連して、OCRは、国立標準技術研究所(NIST)の「SP 800-61改定第2版 コンピューターセキュリティインシデント取扱ガイド」を参照し、以下のような点を、チーム設置時の留意事項として挙げています。
- チーム構造の選定とスタッフの選定
- セキュリティインシデント対応チームと他のグループの間のコミュニケーションの関係とラインの立ち上げ
- インシデント処理に参加する必要がある内部グループの特定
- インシデントの際に関与すると役立つ可能性がある外部グループとのコンタクト窓口の特定
- セキュリティインシデント対応チームが提供すべきサービスは何かの決定
さらに、セキュリティインシデント対応手順に関連して、以下のような点に留意すべきだとしています。
- 適切な要員の選任
- セキュリティインシデントが発生した場合、セキュリティインシデントチームおよび必要なその他の全メンバーに通知するためのコミュニケーション計画とコンタクト情報
- セキュリティインシデントのスコープを特定し、決定するためのプロセス
- セキュリティインシデントを管理するためのインストラクション
- セキュリティインシデントに対応する場合に優先順位付けするための資産リストの構築と維持
- セキュリティインシデントの範囲と大きさを特定するためのフォレンジック分析の実施
- 適切な内部および外部の主体に対するセキュリティインシデントの報告
- セキュリティインシデントの間に何がアクセスされたかを決定するために、セキュリティインシデントのエビデンスを収集し、維持するプロセス
- セキュリティインシデント対応プロセスの定期的なテストを実施するための手順
そのほか、OCRは、セキュリティインシデントの有害な効果の低減策、セキュリティインシデントの文書化、侵害報告義務の理解についても触れています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国では、HIPAAの適用対象となる医療機関や医療保険者(CE:適用対象主体)およびその外部委託先(BA:事業提携者)において、健康データ漏えいインシデントが発生したら、原則として60日以内に、監督当局および消費者に通知する義務がある。最近、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、「2022年重要インフラストラクチャ向けサイバーインシデント報告法(CIRCIA)」に基づき、重要インフラ事業者(保健医療を含む)に対して、インシデントを確認後72時間以内に報告するよう求めたり、証券取引委員会(SEC)が、公開会社(民間医療施設チェーン、医療保険会社を含む)に対して、重大なサイバーセキュリティを経験したと判断した後4営業日以内に、当該インシデントに関する情報を開示するよう求める規則案を公開したりするなど、報告猶予期間を短縮する動きが顕著になっている。今後、このような傾向が日本国内の法令・ガイドライン類に影響を及ぼす可能性があるので、医療機関は、現行のインシデント対応に係る要員体制や業務プロセスを再点検し、短期間で当局に報告できるように、インシデント対応計画や外部コミュニケーション機能を改善しておく必要がある。
医療機器メーカー/医療品メーカー
・医療機器規制当局フォーラム(IMDRF)が医療機器サイバーセキュリティ原則で言及しているソフトウェア部品表(SBOM)は、医療機関側が策定するインシデント対応計画や実際の復旧作業の中で活用することを前提としている。日本においても、市販後安全対策の観点から、インシデント対応に係るサイバーセキュリティポリシーおよび手順について、メーカーと医療機関の間で差異が発生しないように、SBOMを活用する方策を検討すべきである。
サプライヤー
・米国の場合、医療機関向けに製品・サービスを提供するサプライヤーは、事業提携者(BA)に該当し、サイバーインシデント報告についても、HIPAAの要求事項が直接適用される。日本の場合、医療機関側が一義的にセキュリティインシデント報告に関する責任を負うことが多い。昨今、医療業界を標的にしたサプライチェーン攻撃が増加しているので、医療機関側のインシデント対応計画や、サプライチェーンリスクマネジメントなどの要求事項を再確認し、自社製品・サービスのインシデント対応計画や対応実務に係るポリシー・手順に及ぼす影響を再検討しておく必要がある。
関連記事 [外部サイト]
- U.S. Department of Health & Human Services (HHS)「October 2022 OCR Cybersecurity Newsletter - HIPAA Security Rule Security Incident Procedures」(2022年10月25日)
- National Institute of Standards and Technology (NIST)「Special Publication 800-61 Rev. 2 Computer Security Incident Handling Guide」(2012年8月6日)
- U.S. Securities and Exchange Commission (SEC)「SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies」(2022年3月9日)
- Cybersecurity and Infrastructure Security Agency (CISA)「Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)」
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。