最新動向/市場予測

米国NISTがHIPAAセキュリティ規則導入ガイド改定第2版を公開

【第199号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2024年2月14日、米国立標準技術研究所(NIST)は、「NIST SP 800-66 改定第2版 医療保険の携行性と責任に関する法律(HIPAA)セキュリティ規則導入:サイバーセキュリティリソースガイド改定第2版」最終版を公開しました。

第199号 2024.3.13公開

NISTは、2005年3月1日に「HIPAAセキュリティ規則導入のための入門リソースガイド」初版を公開し、2008年10月23日に同版改定第1版を公開していました。その後、2021年4月29日および2022年7月21日の2回、改定第2版の草案を公開し、パブリックコメント募集を経て、最終版をとりまとめたものです。

本ガイド改定第2版では、HIPAAセキュリティ規則の概要を示した上で、規制対象主体が電子化された保護対象保健情報(ePHI)を評価・保護する際のガイドラインを提供し、情報セキュリティプログラムを導入する際に適用対象主体が考慮すべき典型的な活動を特定するとともに、適用対象主体がセキュリティ規則を導入する際に有益となるような追加リソースを提示しています。具体的には、以下のような構成になっています。

エグゼクティブサマリー

1.イントロダクション

1.1. 目的とスコープ

1.2. 適用可能性

1.3. 文書の構成

1.4. 本書の利用法

2.HIPAAセキュリティ規則

2.1.セキュリティ規則の目的と目標

2.2.セキュリティ規則の構成

3.リスク評価ガイダンス

3.1.HIPAAリスク評価の要求事項

3.2.リスク評価の実施方法

3.3.リスク評価結果のリスク管理への影響

3.4.リスク評価のリソース

4. リスク管理ガイダンス

4.1. HIPAAリスク管理の要求事項

4.2. 組織のリスク許容範囲に応じたePHIに対するリスクの決定

4.3. ePHIに対するリスク低減のための追加的セキュリティ制御の選定

4.4. リスク管理活動の文書化

5. HIPAAセキュリティ規則を導入する際の考慮事項

5.1. 管理面の保護

5.1.1. セキュリティ管理プロセス

5.1.2. 割り当てられたセキュリティ責任

5.1.3. 労働力のセキュリティ

5.1.4. 情報アクセス管理

5.1.5. セキュリティ意識とトレーニング

5.1.6. セキュリティインシデント手順

5.1.7. コンティンジェンシープラン

5.1.8. 評価

5.1.9. 事業提携者(BA)契約およびその他の取り決め

5.2. 物理的保護

5.2.1. ファシリティのアクセス制御

5.2.2. ワークステーションの利用

5.2.3. ワークステーションのセキュリティ

5.2.4. デバイスとメディアの制御

5.3. 技術的保護

5.3.1. アクセス制御

5.3.2. 監査の制御

5.3.3. 完全性

5.3.4. 個人または主体の認証

5.3.5. 転送セキュリティ

5.4. 組織的要求事項

5.4.1. 事業提携者(BA)契約およびその他の取り決め

5.4.2. 集団医療保険向けの要求事項

5.5. ポリシーと手順および文書化の要求事項

5.5.1.ポリシーと手順

5.5.2. 文書化

参考文献

附表A. シンボル、頭字語、略語

附表B. 用語集

附表C. リスク評価表

附表D. セキュリティ規則の標準規格と導入使用のクロスウォーク

附表E. 全国オンライン情報参照(OLIR)プログラム

附表F. HIPAAセキュリティ規則のリソース(情報)

附表G. 変更履歴

上記のうち「3.リスク評価ガイダンス」では、HIPAAセキュリティ規則が適用対象主体(CE)や事業提携者(BA)に対して求めるリスク評価の実施方法や、その結果を元にしたリスク低減のためのセキュリティ制御策について概説し、「附表C. リスク評価表」において、具体的な脅威ソースや脅威イベントを分類・例示しています。

また、「附表D. セキュリティ規則の標準規格と導入使用のクロスウォーク」および「附表E. 全国オンライン情報参照(OLIR)プログラム」では、HIPAAセキュリティ規則の管理策と、「重要インフラのサイバーセキュリティを向上させるためのフレームワーク(NISTサイバーセキュリティフレームワーク)1.1版」(2018年4月16日)や「NIST SP 800-53 連邦政府情報システム、および連邦組織のためのセキュリティ管理策とプライバシー管理策改定第5版」(2020年12月10日)との間でマッピングする際に役立つようなソース(例. サイバーセキュリティ・プライバシー参照ツール(CPRT)、OLIPプログラム)を紹介しています。

なお、NISTサイバーセキュリティフレームワークに関しては、2024年2月26日に2.0版がリリースされており、ガバナンス関連項目などの追加項目に関するHIPAAセキュリティ規則導入ガイド側の対応動向が注目されます。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・日本の医療機関の間では、HIPAAプライバシー規則に係る個人情報保護やデータセキュリティに関する管理策が広く取り入れられてきた反面、HIPAAセキュリティ規則に係るセキュリティ管理策の導入・運用は途上段階にある。重要インフラのサイバーセキュリティを所管する内閣サイバーセキュリティセンター(NISC)は、NIST SP 800-53やNISTサイバーセキュリティフレームワークの実装に注力しているので、日本の医療機関のセキュリティ管理者も、NIST・HIPAAセキュリティ規則導入ガイドのマッピング動向をウォッチする必要がある。

医療機器メーカー/医療品メーカー

・米国HIPAAでは、医療機関や医療保険者などの適用対象主体(CE)とは別個に、外部委託先に該当する事業提携者(BA)を規定した上で、セキュリティ管理策を設定しているが、日本の場合、BAに相当する概念がなく、医療機関とネットワーク接続する医薬品企業や医療機器企業のセキュリティ管理責任や役割分担も後追いになる傾向がある。日本のメーカーは、NIST・HIPAAセキュリティ規則導入ガイドを参考にしながら、重要インフラのサプライチェーンセキュリティ上求められるセキュリティ管理策およびそれが医薬品・医療機器規制に及ぼすインパクトについて整理・検討する必要がある。

サプライヤー

・米国HIPAAセキュリティ規則をみると、様々なステークホルダーが連携したエコシステムとしての情報システムの継続的なライフサイクル管理が想定されているが、日本の場合、医療IT全体のエコシステムを構築・運用するための発展途上段階にある。日本の医療ITに関わるサプライヤー・パートナー企業は、開発側と運用側の間のコミュニケーション活動を支援・強化するなど、エコシステム構築を睨んだ活動に取り組むべきである。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

執筆者

笹原 英司/Eiji Sasahara
デロイト トーマツ サイバー合同会社 シニアマネジャー

宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事

お役に立ちましたか?