最新動向/市場予測

米国NISTがゲノムデータセキュリティ報告書草案を公表

【第176号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2023年3月3日、米国立標準技術研究所(NIST)は、「NISTIR 8432 ゲノムデータのサイバーセキュリティ」第1草案を公表し、パブリックコメントの募集を開始しました(募集期間:2023年4月3日まで)。

第176号 2023.3.22公開

本草案では、NIST傘下の国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が展開してきた「ゲノムデータサイバーセキュリティ」プロジェクトの成果物をベースに、ゲノムデータ保護のためのリスク管理、サイバーセキュリティ、プライバシー管理における現行のプラクティスとともに、関連する課題や懸念を記述しています。また、ゲノムデータライフサイクル全体に渡る保護プラクティスにおけるギャップを特定し、ゲノムデータライフサイクルの様々な段階で発生する現実生活のユースケースに取り組むためのソリューションを提案しています。加えて、規制/政策の制定や今後の研究の領域を提供することも目的としています。

本草案は、以下のような構成になっています。

1. イントロダクション

1.1. サイバーセキュリティとプライバシーの懸念

1.2. 文書のスコープと目標

2. 背景

2.1. ゲノム情報ライフサイクル

2.2. 次世代シーケンシング

2.3. バリアントコール

2.4. ゲノム編集

2.5. 消費者直接取引型(DTC)検査

2.6. ゲノムデータの特徴

2.7. ゲノム情報利用におけるベネフィットとリスクのバランス

3. ゲノム情報取り扱いに関連する課題と懸念

3.1. 潜在的な国家安全保障の懸念

3.2. プライバシーの課題

3.3. 差別とレピュテーションの懸念

3.4. 経済的な懸念

3.5. 保健アウトカムの懸念

3.6. その他将来の潜在的な懸念

3.7. ゲノムデータの課題と懸念の要約

4. プラクティスの現状

4.1. リスク管理のプラクティス

4.2. サイバーセキュリティのベストプラクティス

4.3. プライバシーのベストプラクティス

4.4. ゲノムデータ保護におけるギャップの要約

5. 現行のニーズに取り組むために利用可能なソリューション

5.1. ゲノムデータ処理向けNISTサイバーセキュリティフレームワーク・プロファイル

5.2. ゲノムデータ処理向けNISTプライバシーフレームワーク

5.3. 製造者利用法記述(MUD)利用したネットワーク・マイクロセグメンテーションの自動化

5.4. データ分析パイプライン向けセキュリティガイドライン

5.5. ゲノムデータリスク管理のデモンストレーションプロジェクト

5.6. プライバシー保護・強化エンジニアリング手法を利用したゲノムデータ分析のデモンストレーションプロジェクト

6. 今後の研究領域

7. 結論

8. 参考文献

なお、米国大統領行政府は、2022年9月12日に「持続可能な安全でセキュアな米国のバイオエコノミーのために進化するバイオ技術・バイオ製造に関する大統領令」、同月15日に「対米外国投資委員会による国家安全保障リスクの進展に対する堅牢性の考慮の確保に関する大統領令」を発出し、米国の国家安全保障に影響を及ぼす領域の1つとして「バイオ技術・バイオ製造」を挙げて、サイバーセキュリティ/プライバシー管理策の強化を求めています。加えて、カリフォルニア州の場合、消費者直接取引型(DTC)遺伝子検査企業に対して厳格なデータ保護を求める「遺伝情報プライバシー保護法(GIPA)」が2022年1月より適用されており、違反企業に対しては、1,000~10,000米ドルの制裁金が科せられます。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・ゲノムデータを利用して臨床業務や研究業務を行う医療機関は、通常のデータライフサイクルに共通するサイバーセキュリティ/プライバシー管理策とゲノムデータ固有の管理策を再整理して、管理業務プロセスの効率化・自動化に向けた体制作りに着手する必要がある。また、各ステークホルダーとの間でサイバーセキュリティ/プライバシーに関する情報共有体制を強化する必要がある。
 

医療機器メーカー/医療品メーカー

・ゲノムデータを研究目的で2次利用するメーカーは、自社のゲノムデータ利用が適正であることを患者や医療機関に説明できるような仕組を構築し、インシデント発生時を想定しながら、個々のデータライフサイクルにおける役割・責任分担や情報共有機能などについて、再点検しておく必要がある。
 

サプライヤー

・ゲノムデータベースシステムの開発・運用を受託するパートナー/サプライヤーは、データライフルサイクル管理の各フェーズにおいて、サードパーティベンダーとして要求されるサプライチェーンセキュリティ上の要求事項を再点検し、必要な対策への取り組みを行っておく必要がある。

本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?