最新動向/市場予測

米国HIMSSが2019年サイバーセキュリティ調査結果を公表

【第78号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

米国の医療情報管理システム学会(HIMSS)は、2019年2月11日~15日にフロリダ州で開催されたHIMSS グローバルカンファレンスの中で、2019年HIMSSサイバーセキュリティ調査の結果を公表しました。今回の調査では、2018年11~12月の間、米国内の医療情報セキュリティ専門家166人から得られたフィードバックを基に分析した結果を報告しています。

第78号 2019.3.4公開

2019年報告書の主要な論点は以下の通りです。

  • セキュリティの脅威および経験のパターンは、米国の医療組織全体で識別可能な状況になっている。重大なセキュリティインシデントは、米国の医療組織にほぼ共通の経験となっており、インシデントの多くは、標的の完全性を危険に晒す手段として電子メールを活用した、悪意のある行為者により起こされている。
  • 医療サイバーセキュリティのプラクティスでは多くの明確な進歩が起きており、医療組織は、より多くの情報技術(IT)予算をサイバーセキュリティに割り当てていると見受けられる。
  • サイバーセキュリティ・プラクティスの独り善がりは、サイバーセキュリティプログラムをリスクのあるものにする可能性がある。必ずしも「悪い」サイバーセキュリティ・プラクティスでない特定の対応があるが、それは、組織の情報セキュリティ・プラクティスに広がる、潜在的な独り善がりの「早期警戒信号」である可能性がある。
  • 医療エコシステムの重要な領域に、顕著なサイバーセキュリティのギャップが存在する。特定の組織にけるフィッシングテストの欠如とレガシーシステムの広範性は、医療システムの脆弱性に関する危機をはらんだ懸念を生じさせる。

なお、報告書は、医療組織に対し、セキュリティ防御策を高めることに必要なリソースを投下すべきであると提言しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・医療機関全体のサイバーセキュリティ予算は増加傾向にあるが、実際に起きたインシデントをみると、ユーザーが日常的に使っている電子メールを経由した標的型攻撃が依然として多い。医療機関は、患者/家族、医療保険者、医薬品・医療機器企業、サプライヤーなど、様々なステークホルダーに及ぶインシデントのインパクトを認識した上で、物理的・技術的対策の強化と同時に、人的・組織的対策支援にもリソースを割く必要がある。
 

医療品メーカー/医療機器メーカー

・医療機関とサプライチェーンでつながる医薬品メーカー・医療機器メーカーは、医療機関で発生しているインシデントに関する情報を収集・蓄積しながら、共同の緊急時対応訓練、セキュリティ情報共有・分析組織(ISAO)の整備など、医療機関と連携した多層防御体制の整備に努める必要がある。
 

サプライヤー

・医療機関向けに製品・サービスを提供するサプライヤーは、個々の取引先のサイバーセキュリティ体制に関する情報を一元的に集約・分析して、受発注に関連する電子メールやEDIシステムの保護策の標準化など、効率的なサイバーサプライチェーン・リスクマネジメントの運用を図る必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?