最新動向/市場予測

米国NISTがモバイル環境のEHRセキュリティ・ガイドラインを公表

【第65号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2018年8月3日、米国立標準技術研究所(NIST)の国立サイバーセキュリティセンターオブエクセレンス(NCCoE)は、「NIST SP1800-1:モバイルデバイス上の電子健康記録(EHR)のセキュア化」と題する医療機関向けのガイドラインを公表しました。

第65号 2018.8.3公開

このガイドラインは、モバイルデバイス上で収集、保存、処理、転送する医療情報のセキュリティを強化するために利用可能なツールを示すことを目的としており、以下の5分冊から構成されています。

  • NIST SP 1800-1A: エグゼクティブサマリー
  • NIST SP 1800-1B: アプローチ、アーキテクチャ、セキュリティの機能 – 何を、なぜ構築したか
  • NIST SP 1800-1C: ハウツーガイド – 参照デザイン構築のための説明書
  • NIST SP 1800-1D: 標準規格とコントロールのマッピング – このプラクティスガイドの構築時に利用された標準規格、ベストプラクティス、技術の一覧表
  • NIST SP 1800-1E: リスク評価とアウトカム – リスク評価手法、結果、検証、最終評価

NISTのNCCoEは、EHRシステム、モバイルデバイス、患者情報のセキュリティ対策を行うために、多層防御戦略の考え方を採用し、以下のようなセキュリティ要件を挙げています。

  • アクセス・コントロール:個人またはデバイスへのアクセスの選択的な制限
  • 監査コントロールとモニタリング:システム内で発生するイベントに関する情報の記録のコントロール
  • デバイスの完全性:デバイスのハードウェア、ファームウェア、ソフトウェアに破壊がない状態
  • 個人または主体の認証:アクセス権限を人間または主体に特定する機能
  • 転送のセキュリティ:個人、アプリケーション、またはデバイスによる潜入や搾取、妨害からデータ転送を守るプロセス
  • セキュリティ・インシデント:疑いのある、または既知のセキュリティ・インシデントを特定し、対応するプロセス
  • 復旧:データバックアップと災害復旧の計画と実行

なお、リスク評価に関しては、「NISTサイバーセキュリティフレームワーク」、「医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則」などの基準とのマッピング表を提示しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・医療機関は、モバイル型EHRシステムと連携する医療機器やアプリケーションの調達・導入に際し、NCCoEのガイドラインのセキュリティ要件レベルを基準に、事前リスク評価を行い、必要な対策を講じておく必要がある。

製薬メーカー/医療機器メーカー

・モバイル型EHRシステムと連携して、リアルワールドデータ(RWD)/リアルワールドエビデンス(RWE)研究を行う製薬メーカー/医療機器メーカーは、多層防御のエコシステムを担うステークホルダーとして、個別のセキュリティ要件への対応を検討しておく必要がある。

サプライヤー

・NCCoEのガイドラインでは、モバイルデバイス管理や脆弱性スキャニングツールの領域で、クラウド・アクセス・セキュリティ・ブローカー(CASB)の利用を前提としたユースケースを採用している。CASBソリューションを提供するサプライヤーは、医療業界固有のしくみや要件を考慮した機能・運用サービスメニューを開発・提案していく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?