最新動向/市場予測

オーストラリア会計検査院がPHRに関する監査報告書を公表

【第97号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2019年11月25日、オーストラリア連邦政府の会計検査院(ANAO)は、「My Health Recordシステムの展開」と題する監査報告書を公表しました。

第97号 2019.12.9公開

My Health Recordは、「2012年My Health Record法」に基づいてオーストラリア保健省が創設した全国民向け個人健康記録(PHR)システムであり、2016年7月より、保健省傘下のオーストラリア・デジタルヘルス庁(ADHA)がシステム運用業務を担っています。My Health Recordは、当初、オプトイン型の同意取得モデルを採用していましたが、2015年11月の2012年My Health Record法改正を受けて、2018年7月~2019年1月を経過期間とした後、オプトアウト型モデルに移行しています。ADHAによると、2019年2月時点で、オーストラリア全国民におけるMy Health Recordの普及率は9割に達しています。

オーストラリア会計検査院は、今回の監査報告書の結論として、以下の4点を挙げています。

  • My Health Recordの展開は、概ね有効であった
  • 展開の計画、ガバナンス、コミュニケーションは適正であった
  • プライバシーおよびITコアインフラストラクチャに関連するリスクは、概ね良好に管理されていたが、共有されたサイバーセキュリティ・リスクの管理は適正でなく、改善が必要である
  • モニタリングおよび評価は、概ね適正であったが、この将来計画については改善の余地がある


上記のうち、サイバーセキュリティに係るリスク管理について、会計検査院は、改善の余地がある点として、以下の2つを指摘しています。

  • 情報セキュリティマニュアル(ISM)に従い、My Health Recordシステムに接続するサードパーティ・ソフトウェア向けアシュアランス・フレームワークの構築
  • 登録医療提供組織による法定のセキュリティ要求事項の遵守状況をモニタリングするための戦略の構築


また、モニタリングおよび評価について、ADHAは、中間的なアウトプットを評価しているのに対し、会計検査院は、今後のマイルストーンやタイムフレーム、継続的な評価・レポーティング活動を規定した将来計画との関係が整備されていない点を指摘しています。

なお、オーストラリア連邦議会は、2018年11月26日、現行の2012年My Health Record法のプライバシー保護強化を内容とする2018年改正法案を可決しています。その要点は以下の通りです。

  • オーストラリア国民が、いつ何時でも、自身の記録やバックアップを永久に削除できるようにする
  • 保険者や雇用主によるMy Health Recordへのアクセスを明示的に禁止する
  • 14歳以上のティーンエージャーのためにプライバシーを拡大して提供する
  • 家族やドメスティックバイオレンスのリスクがある人のために、既存の保護を強化する
  • デジタルヘルス庁、保健省、メディケアの最高責任者のみ(それ以外の政府機関を除く)が、My Health Recordシステムにアクセスできることを明確化する
  • My Health Recordの情報にアクセスするためには、法執行およびその他の機関が召喚状を作成することを明示的に要求する
  • システムを、商業目的のために私有化または利用できないことを明確化する

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・会計監査院は、My Health Record登録医療機関に対する法令遵守状況のモニタリング戦略について言及しているので、医療機関は、証跡となるログ管理の改善など、サイバーセキュリティに係るモニタリング・監査対応を効率化・迅速化するための対策を講じておく必要がある。
 

医療機器メーカー/医療品メーカー

・PHRシステムとのデータ連携を想定した製品/サービスを提供する医療機器メーカー/医薬品メーカーは、医療機関と連携しながら、製品/サービスのライフサイクル全体で、サイバーセキュリティに係るリスク管理や情報共有の効率化・自動化を図る必要がある。

サプライヤー

・会計検査院は、サードパーティ・ソフトウェア向けのアシュアランスについて言及しているので、My Health Recordに接続するソフトウェアの開発・運用に関わるサプライヤー/パートナー企業は、ソフトウェアの開発から保守運用・廃棄に至るまでのライフサイクル全体で、サイバーセキュリティに係るリスク管理活動の効率化・文書化を図る必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?