米国医療サイバーセキュリティ団体がインシデント対応計画指針を公表 ブックマークが追加されました
最新動向/市場予測
米国医療サイバーセキュリティ団体がインシデント対応計画指針を公表
【第185号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年7月6日、米国の医療・公衆衛生セクター調整委員会(HSCC)のサイバーセキュリティ作業部会は、「調整保健医療インシデント対応計画(CHIRP)」を公表しました。HSCCは、重要医療インフラストラクチャへの脅威を低減するための共同ソリューションを開発する保健医療企業およびプロバイダー業界の官民連携パートナーシップ組織です。
第185号 2023.8.2公開
本文書は、医療組織がサイバーセキュリティインシデント計画を構築する際に、テンプレートとして活用されることを目的として策定されました。また、HSCCが2022年4月29日に公表した「保健医療産業サイバーセキュリティ業務継続 - サイバーインシデント(HIC-OCCI)」の計画フェーズにおける業務・対応ガイダンスとしての役割を果たすものとなっています。
CHIRPは、以下のような構成になっています。
- イントロダクション
- 計画ガバナンス
- 調整対応計画
- 破壊的サイバーセキュリティインシデントの特定
- インシデントの特定: 役割と責任
- サイバーセキュリティ対応ガバナンスチーム
- 指令センターの同期
- コミュニケーション戦略
- 封じ込め戦略
- 暫定的ソリューションの要求プロセス
なお、保健医療分野のインシデント対応計画に関連して、2022年10月25日、米国保健福祉省(HHS)傘下でHIPAAを所管する公民権室(OCR)が、「2022年10月サイバーセキュリティレター - HIPAAセキュリティ規則セキュリティインシデント手順」を公開しています。HIPAAセキュリティ規則では、規制対象主体(例.医療機関、医療保険者)に対して、セキュリティインシデントに取り組むためのポリシーおよび手順を導入するよう求めており、OCRは、その具体的内容を提示しているほか、国立標準技術研究所(NIST)の「SP 800-61改定第2版 コンピューターセキュリティインシデント取り扱いガイド」に準拠したセキュリティインシデント対応チームの設置を推奨しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国の場合、医療機関を標的にしたサイバー攻撃が高度化・複雑化する一方、その影響を受けた患者・市民や所管当局への報告の期限が短期化する傾向にある。日本においても、重要インフラを構成する業種・業界に対して、より迅速な報告を求めるようになっている。サイバーインシデント対応計画を策定・運用する医療機関は、HSCCのCHIRPやOCRのHIPAAセキュリティインシデント手順などを参考にしながら、対応プロセスの効率化・迅速化に向けて、現行のポリシー/手順やリスクコミュニケーション体を見直していく必要がある。
医療機器メーカー/医療品メーカー
・医療機関のシステムとネットワーク接続して製品・サービスを提供・サポートする企業は、自社製品・サービスに関連したサイバー脅威や脆弱性が発覚した場合を想定して、各医療機関によるインシデント対応計画の策定・運用を支援するようなツールの開発・提供を検討すべきである。
サプライヤー
・医療機関向けのICTサプライヤーは、各々の顧客のサイバーインシデント対応計画の策定・運用を支援するような活動に積極的に取り組みながら、自社のサプライチェーンに係るリスクの低減を継続的に図る必要がある。
関連記事 [外部サイト]
- Healthcare and Public Health Sector Coordinating Council(HSCC)「Coordinated Healthcare Incident Response Plan (CHIRP)」(2023年7月6日)
- Healthcare and Public Health Sector Coordinating Council(HSCC)「Operational Continuity Cyber Incident (OCCI)」(2022年4月29日)
- U.S. Department of Health & Human Services (HHS)「October 2022 OCR Cybersecurity Newsletter - HIPAA Security Rule Security Incident Procedures」(2022年10月25日)
- National Institute of Standards and Technology (NIST)「Special Publication 800-61 Rev. 2 Computer Security Incident Handling Guide」(2012年8月6日)
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。