米国NISTがゲノムデータ版サイバーセキュリティフレームワーク草案を公表 ブックマークが追加されました
最新動向/市場予測
米国NISTがゲノムデータ版サイバーセキュリティフレームワーク草案を公表
【第183号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年6月15日、米国立標準技術研究所(NIST)は、「NISTIR 8467 ゲノムデータ向けサイバーセキュリティフレームワーク・プロファイル」草案を公表し、パブリックコメントの募集を開始しました(募集期間:2023年7月17日まで)。
第183号 2023.7.6公開
本草案は、NISTサイバーセキュリティフレームワークや、NIST傘下の国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が展開してきた「ゲノムデータサイバーセキュリティ」プロジェクトの成果物、2023年3月3日に公表した「NISTIR 8432 ゲノムデータのサイバーセキュリティ」第1草案などをベースに、組織が、ゲノムデータを処理するシステムやネットワーク、資産に関わるサイバーセキュリティやプライバシーのリスクを管理、低減、伝達する際に役立つ自主的ガイダンスを提供することを目的としています。
今回公表した草案の構成は以下のようになっています。
1. イントロダクション
1.1 目的
1.2 スコープ
1.3 対象読者
1.4 文書の構造
2. ゲノムデータの概要
2.1 ゲノムデータのエコシステムとバイオエコノミー
2.2 ゲノムデータのセキュリティとプライバシーに関する懸念事項と課題
2.3 サイバーセキュリティとプライバシーのリスクの関係
3. NISTサイバーセキュリティフレームワーク
3.1 サイバーセキュリティ・コア
3.2 CSFプロファイル
3.3 サイバーセキュリティフレームワークのゲノムデータへの適用
4. プロファイルの開発手法
5. ゲノムデータの目的・目標
5.1 目標1: ゲノムデータライフサイクルを通した来歴とデータインテグリティの管理
5.2 目標2: 親戚のプライバシー保護
5.3 目標3: ゲノムデータに対するセキュリティやプライバシーのリスクの特定、モデル化、取り組み
5.4 目標4: ゲノムデータライフサイクルを通したインフォームドコンセントの管理
5.5 目標5: ドナーのプライバシー保護
5.6 目標6: 認可されたデータアクセスの管理
5.7 目標7: 信頼性の維持とレピュテーションリスクの管理
5.8 目標8: 科学技術の進化のための研究と教育の促進
5.9 目標9: 法規制遵守の維持
5.10 目標10: 知的財産保護
5.11 目標11: サンプルの多様性の実現と保護
5.12 目標12: 制御されたゲノムデータ共有のためのセキュアプラットフォーム利用促進
6. 目的・目標別の優先サブカテゴリー
参考文献
附表A.記号、略語、頭字語の一覧
附表B.用語集
NISTは、ゲノムデータを処理する組織が、以下のような目的のために、本ガイダンスを活用できるとしています。
- ゲノムデータのサイバーセキュリティ考慮事項を理解する
- 既存のプラクティスまたはインフラストラクチャ向けの改善点のギャップや領域を特定するために、現行の組織的なサイバーセキュリティプラクティスを評価する
- 個別化された組織の現状(As-IS)と目標(To-Be)のプロファイルを構築する
- 組織の目的・目標を支援するために最も重要と特定されたCSFのサブカテゴリーに従って、サイバーセキュリティの能力への投資を優先順位付けする
- サイバーセキュリティとプライバシーのリスク管理の関係を理解する
なおNISTは、NISTプライバシーフレームワークをゲノムデータに適用させた、ゲノムデータ向けプライバシーフレームワーク・プロファイルを策定中であることも公表しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国の研究機関や医療施設と連携して、ゲノムデータを利用した臨床業務や研究業務を行う医療機関は、NISTサイバーセキュリティフレームワークに準拠したサイバーセキュリティ管理策を再整理した上で、NISTIR 8467プロファイルで示されたゲノムデータ固有の管理策の実装・運用に向けた体制作りに着手する必要がある。
医療機器メーカー/医療品メーカー
・米国市場向けに、ゲノムデータを2次利用した研究開発やバイオ製造を行うメーカーは、自社のゲノムデータ利用が適正であることを患者や医療機関に説明できるような仕組を構築した上で、NISTサイバーセキュリティフレームワークに基づく製造業としての総合的な管理策の強化およびNISTIR 8467プロファイルに基づくゲノムデータ固有の管理策の実装・運用に向けて、個々の製品ライフサイクルにおける役割・責任分担や情報共有機能などについて、再点検しておく必要がある。
サプライヤー
・米国市場向けに、ゲノムデータベースシステムの開発・運用を受託するパートナー/サプライヤーは、データライフルサイクル管理の各フェーズにおいて、サードパーティベンダーとして要求されるサプライチェーンセキュリティ上の要求事項を再点検するとともに、NISTサイバーセキュリティフレームワークで要求される企業として要求される対策の強化を図る必要がある。
関連記事 [外部サイト]
- National Institute of Standards and Technology (NIST)「Open for Public Comment: New Draft Cybersecurity Framework Profile for Genomic Data」(2023年6月15日)
- National Cybersecurity Center of Excellence (NCCoE)「NCCoE Releases Draft Cybersecurity Framework Profile for Genomic Data」(2023年6月15日)
- National Institute of Standards and Technology (NIST)「NISTIR 8432 (Draft) Cybersecurity of Genomic Data」(2023年3月3日)
- National Cybersecurity Center of Excellence (NCCoE) 「Cybersecurity of Genomic Data」
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
その他の記事
米国の臨床検査企業がランサムウェア攻撃による247万人分の情報漏えいを公表
【第182号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース