« 米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。 | Main | 「取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律」についての板倉先生の解説 »

2021.07.03

米国 保健福祉省 内部監査:病院内ネットワークに接続された医療機器に対するサイバーセキュリティに関する一貫した監督が不十分 at 2021.06.21

こんにちは、丸山満彦です。

米国 社会福祉省 (Department of Health and Human Services: HHS) の内部監査 (Office of Inspector General: OIG) が病院内ネットワークに接続された医療機器に対するサイバーセキュリティに関する一貫した監督が不十分という報告書を公開していましたね。。。

病院の品質管理等を確認する機関は、サイバーセキュリティに関する監督ルールが明確でないことから、Centers for Medicare & Medicaid Services: CMSが病院を監督する際に、医療機器に対するサイバーセキュリティ対策がどのようになっているのか確認ができていない場合があるということなのでしょうかね。。。

Department of Health and Human Services: HHS - Office of Inspector General: OIG

・2021.06.21 Medicare Lacks Consistent Oversight of Cybersecurity for Networked Medical Devices in Hospitals

・[PDF] 

20210703-55751

Medicare Lacks Consistent Oversight of Cybersecurity for Networked Medical Devices in Hospitals メディケアは病院内のネットワーク接続された医療機器のサイバーセキュリティについて一貫した監督を行っていない
WHY WE DID THIS STUDY この調査を行った理由
Without proper cybersecurity controls, hospitals' networked medical devices (i.e., devices designed to connect to the internet, hospital networks, and other medical devices) can be compromised, which can lead to patient harm. CMS's survey protocol for overseeing hospitals is silent with respect to the cybersecurity of these devices. This evaluation sheds new light on the extent to which Medicare accreditation organizations (AOs) use their discretion to address cybersecurity of networked devices during hospital surveys. As hospitals continue to be targeted in cyberattacks that risk patient harm, it is important to know whether and how AOs evaluate and hold hospitals accountable for cybersecurity of their devices. 適切なサイバーセキュリティ管理を行わないと、病院のネットワーク医療機器(インターネット、病院ネットワーク、その他の医療機器に接続するように設計された機器)が危険にさらされ、患者に被害が及ぶ可能性があります。病院を監督するCMSの調査プロトコルは、これらの機器のサイバーセキュリティに関しては言及していません。今回の評価は、メディケアの認定機関(AO)が、病院調査の際にネットワーク機器のサイバーセキュリティをどの程度まで考慮しているかについて、新たな光を当てます。病院がサイバー攻撃の標的となり、患者に被害を与える危険性があるため、認定機関が病院の機器のサイバーセキュリティを評価し、責任を持たせるかどうか、どのように評価するかを知ることは重要です。
HOW WE DID THIS STUDY 本調査の方法
We conducted structured telephone interviews with leadership at the four AOs and sent written questions to CMS. We asked AOs about the extent to which their survey standards required hospitals to have a cybersecurity plan for networked devices as well as other ways in which their surveys might cover cybersecurity for networked devices. We also reviewed documentation of relevant survey standards and procedures from the AOs. 私たちは、4つのAOのリーダーに電話インタビューを行い、CMSに書面で質問を送りました。AOには、その調査基準で病院がネットワーク機器のサイバーセキュリティ計画を持つことをどの程度要求しているか、またネットワーク機器のサイバーセキュリティを調査の対象とするその他の方法について尋ねました。また、AOが作成した関連する調査基準と手順の文書を確認しました。
WHAT WE FOUND 発見事項
CMS's survey protocol does not include requirements for networked device cybersecurity, and the AOs do not use their discretion to require hospitals to have such cybersecurity plans. However, AOs sometimes review limited aspects of device cybersecurity. For example, two AOs have equipment-maintenance requirements that may yield limited insight into device cybersecurity. If hospitals identify networked device cybersecurity as part of their emergency preparedness risk assessments, AOs will review the hospitals' mitigation plans. AOs told us that in practice, however, hospitals did not identify device cybersecurity in these risk assessments very often. Assessing hospital safeguards for the privacy of medical records may prompt AOs to examine networked devices. Finally, CMS and the AOs do not plan to update their survey requirements to address networked devices or general cybersecurity. CMSの調査手順には、ネットワーク機器のサイバーセキュリティに関する要件は含まれておらず、また、AOはその裁量で病院にそのようなサイバーセキュリティ計画を要求することはありません。しかし、AOは時々、機器のサイバーセキュリティの限られた部分を審査しています。例えば、2つのAOは、機器のサイバーセキュリティに関して限られた洞察をもたらす可能性のある機器メンテナンスの要件を持っています。病院が緊急時対策のリスク評価の一環としてネットワーク機器のサイバーセキュリティを特定した場合、AOは病院の緩和策を検討します。しかし AO によると、実際には、病院がこれらのリスク評価で機器のサイバーセキュリティを特定することはあまりないとのことでした。医療記録のプライバシーに対する病院の保護対策を評価することで、AO はネットワーク接続された機器を調査することになるかもしれません。最後に、CMS と AO は、ネットワーク機器や一般的なサイバーセキュリティに対応するために調査要件を更新する予定はありません。
WHAT WE RECOMMEND 推奨事項
As health care delivery becomes more reliant on technology, cyberattacks on hospitals are increasing. Yet CMS's requirements are silent on networked device cybersecurity as well as cybersecurity in general. As a result, Medicare lacks consistent oversight of networked device cybersecurity in hospitals. Therefore, we recommend that CMS identify and implement an appropriate way to address cybersecurity of networked medical devices in its quality oversight of hospitals, in consultation with Department of Health and Human Services (HHS) partners and others. CMS stated that it concurred with considering additional ways to appropriately highlight the importance of cybersecurity of networked medical devices for providers in consultation with its HHS partners that have specific oversight authority regarding cybersecurity. We look forward to CMS's sharing, in its Final Management Decision, its plan for addressing cybersecurity of networked medical devices under its own authority for quality oversight of hospitals. 医療サービスのテクノロジーへの依存度が高まるにつれ、病院へのサイバー攻撃が増加しています。しかし、CMSの要件は、ネットワーク機器のサイバーセキュリティや一般的なサイバーセキュリティについては言及していません。その結果、メディケアは、病院におけるネットワーク機器のサイバーセキュリティについて一貫した監視を行っていません。そこで我々は、CMSが、保健福祉省(HHS)のパートナーなどと協議しながら、病院の品質監督においてネットワーク医療機器のサイバーセキュリティに対処する適切な方法を特定し、実施することを提言します。CMSは、サイバーセキュリティに関する特定の監督権限を持つHHSのパートナーと協議して、ネットワーク医療機器のサイバーセキュリティの重要性を提供者に適切に強調する追加の方法を検討することに同意すると述べました。我々は、CMSがその最終管理決定において、病院の品質監督のための独自の権限の下でネットワーク医療機器のサイバーセキュリティに対処するための計画を共有することを期待しています。

 

|

« 米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。 | Main | 「取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律」についての板倉先生の解説 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。 | Main | 「取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律」についての板倉先生の解説 »