米国 ヘルスケアサプライチェーン協会 (HSCA) がサイバーセキュリティの考慮事項を公表していますね。。。
こんにちは、丸山満彦です。
米国のヘルスケアサプライチェーン協会 (HSCA) が患者の健康、安全、およびプライバシーの保護に役立つ、医療機器メーカー、医療提供組織、およびサービスプロバイダーのためのサイバーセキュリティの考慮事項を公表していますね。。。
● Healthcare Supply Chain Association (HSCA)
HSCA RELEASES HEALTHCARE CYBERSECURITY KEY CONSIDERATIONS TO HELP PROTECT PATIENT HEALTH, SAFETY, AND PRIVACY | HSCA、患者の健康、安全、プライバシーの保護に役立つヘルスケア・サイバーセキュリティの重要な考慮事項を発表 |
Washington, DC (December 21, 2021) – The Healthcare Supply Chain Association (HSCA), which represents the nation’s leading healthcare group purchasing organizations (GPOs), today released key cybersecurity considerations for medical device manufacturers, healthcare delivery organizations, and service providers to help safeguard patient health, safety, and privacy. In conjunction with the release of the key considerations, HSCA also published “Recommendations for Medical Device Cybersecurity Terms and Conditions,” which details potential purchasing contract terms and conditions that could help ensure rapid adoption of rigorous cybersecurity measures. | ワシントンDC(2021年12月21日) - 米国の主要なヘルスケアグループ購買組織(GPO)を代表するヘルスケアサプライチェーン協会(HSCA)は、本日、患者の健康、安全、およびプライバシーの保護に役立つ、医療機器メーカー、医療提供組織、およびサービスプロバイダーのための主要なサイバーセキュリティの考慮事項を発表しました。これは、厳格なサイバーセキュリティ対策の迅速な導入に役立つ可能性のある購入契約条件の詳細を示したものです。 |
“The widespread adoption of telemedicine and rapid shift to virtual operations during the COVID-19 pandemic has underscored the important role that information technology, software, and medical devices can play in improving patient care. However, as evidenced by recent cyberattacks, medical devices and services are vulnerable to cybersecurity threats that could jeopardize patient health, safety, and privacy,” said HSCA President and CEO Todd Ebert, R. Ph. “GPOs leverage their unique line of sight over the supply chain to help providers harness the benefits of technology to care for their patients while guarding against cyber threats.” | HSCA社長兼CEOのトッド・エバート博士は「COVID-19 パンデミックの際に遠隔医療が広く採用され、バーチャルオペレーションへの移行が急速に進んだことで、情報技術、ソフトウェア、医療機器が患者の治療を向上させる上で重要な役割を果たすことが強調されました。しかし、最近のサイバー攻撃で明らかになったように、医療機器やサービスは、患者の健康、安全、プライバシーを危険にさらすサイバーセキュリティの脅威にさらされています」と述べています。 |
プレス全文
・[PDF] HSCA RELEASES HEALTHCARE CYBERSECURITY KEY CONSIDERATIONS TO HELP PROTECT PATIENT
HEALTH, SAFETY, AND PRIVACY
HSCA RELEASES HEALTHCARE CYBERSECURITY KEY CONSIDERATIONS TO HELP PROTECT PATIENT | HSCA、患者を守るためのヘルスケア・サイバーセキュリティに関する重要な考慮事項を発表 |
HEALTH, SAFETY, AND PRIVACY | 患者さんの健康、安全、プライバシーを守るために |
Key Considerations Will Help Healthcare Stakeholders Address Cyber Vulnerabilities While Promoting the Use of Innovative Technologies | 医療関係者が革新的な技術の使用を促進しながらサイバー脆弱性に対処するための重要な検討事項を発表 |
Washington, DC (December 21, 2021) – The Healthcare Supply Chain Association (HSCA), which represents the nation’s leading healthcare group purchasing organizations (GPOs), today released key cybersecurity considerations for medical device manufacturers, healthcare delivery organizations, and service providers to help safeguard patient health, safety, and privacy. In conjunction with the release of the key considerations, HSCA also published “Recommendations for Medical Device Cybersecurity Terms and Conditions,” which details potential purchasing contract terms and conditions that could help ensure rapid adoption of rigorous cybersecurity measures. | ワシントンDC(2021年12月21日) - 米国の主要なヘルスケアグループ購買機関(GPO)を代表するヘルスケア・サプライ・チェーン協会(HSCA)は、本日、医療機器メーカー、医療提供機関、およびサービスプロバイダー向けに、患者の健康、安全、およびプライバシーの保護に役立つサイバーセキュリティに関する主要な検討事項を発表しました。これは、厳格なサイバーセキュリティ対策の迅速な導入を可能にする潜在的な購入契約条件を詳述したものです。 |
“The widespread adoption of telemedicine and rapid shift to virtual operations during the COVID-19 pandemic has underscored the important role that information technology, software, and medical devices can play in improving patient care. However, as evidenced by recent cyberattacks, medical devices and services are vulnerable to cybersecurity threats that could jeopardize patient health, safety, and privacy,” said HSCA President and CEO Todd Ebert, R. Ph. “GPOs leverage their unique line of sight over the supply chain to help providers harness the benefits of technology to care for their patients while guarding against cyber threats.” | HSCAの社長兼CEOであるトッド・イベート博士は 「COVID-19 パンデミックの際に遠隔医療が広く採用され、バーチャルオペレーションへの移行が急速に進んだことで、情報技術、ソフトウェア、医療機器が患者の治療を向上させる上で重要な役割を果たすことが強調されました。しかし、最近のサイバー攻撃で明らかになったように、医療機器やサービスは、患者の健康、安全、プライバシーを危険にさらすサイバーセキュリティの脅威にさらされています」と述べています。 |
HSCA’s cybersecurity measures include the following categories of considerations: | HSCAのサイバーセキュリティ対策には、以下のカテゴリーの検討事項が含まれています。 |
• Cybersecurity Training and Software: Includes designating an information technology security officer, maintaining updated anti-virus software, and implementing role-appropriate cyber training and assessments; | ・サイバーセキュリティのトレーニングとソフトウェア:情報技術セキュリティ担当者の指定,最新のアンチウイルスソフトウェアの維持,役割に応じたサイバートレーニングと評価の実施などが含まれます。 |
• Equipment Acquisition Standards and Risk Coverage: Includes ensuring compliance with regulatory standards for purchasing medical devices and updating legacy devices, providing insurance policies to cover cybersecurity risks, and validating devices by testing manufacturer claims; | ・機器の購入基準とリスクカバー:医療機器の購入および従来の機器の更新に関する規制基準の遵守,サイバーセキュリティリスクをカバーする保険の提供,およびメーカーの主張をテストすることによる機器の検証が含まれます。 |
• Data Encryption: Includes encrypting personal authentication data as well as any confidential or sensitive information when practical; | ・データの暗号化:個人認証データ,および機密情報を実用的に暗号化することを含む。 |
• Information Sharing & Standards Organizations: Includes participating in Information Sharing and Analysis Organizations (ISAOs), certifying that suppliers of network-accessible medical devices, software and services are compliant with current FDA guidance documents, and ensuring that manufacturers provide a Manufacturer Disclosure Statement for Medical Device Security; | ・情報共有・標準化団体:情報共有・標準化機関:情報共有・分析機関(ISAO)への参加、ネットワークに接続可能な医療機器、ソフトウェア、サービスのサプライヤーが現行のFDAガイダンス文書に準拠していることの認証、医療機器セキュリティに関するメーカー開示書類の提供の確認などが含まれます。 |
“The increased use of connected medical devices and software as a service (SaaS), the adoption of wireless technology, and overall increased medical device and service connectivity to the internet significantly increase the risks of cybersecurity incidents,” said HSCA Committee for Healthcare eStandards (ChES) Executive Director Curt Miller. “HSCA and its Committee for Healthcare eStandards are committed to accelerating the adoption, implementation, and active usage of industry-wide data standards for improving efficiencies and safety throughout the healthcare supply chain, and HSCA’s key considerations are part of that continued commitment.” | 「HSCAのCommittee for Healthcare eStandards(ChES)のエグゼクティブ・ディレクターであるCurt Miller氏は、「接続された医療機器やSaaS(Software as a Service)の使用の増加、無線技術の採用、医療機器やサービスのインターネットへの接続性の全体的な増加は、サイバーセキュリティ事故のリスクを著しく増大させます。「HSCAとCommittee for Healthcare eStandardsは、ヘルスケアのサプライチェーン全体の効率と安全性を向上させるために、業界全体のデータ標準の採用、導入、積極的な使用を促進することに取り組んでおり、HSCAの重要な検討事項は、その継続的な取り組みの一環です。" と述べています。 |
・[PDF] Medical Device and Service Cybersecurity:Key Considerations for Manufacturers & Healthcare
Medical Device and Service Cybersecurity:Key Considerations for Manufacturers & Healthcare | 医療機器とサービスのサイバーセキュリティ:メーカーとヘルスケアのための重要な検討事項 |
EXECUTIVE SUMMARY: | エグゼクティブサマリー: |
Advances in information technology and medical devices and the increasing interoperability of information systems, devices, and services are improving patient care and creating efficiencies in the healthcare system. Medical devices are often life-sustaining or provide vital clinical functions that cannot be compromised without diminishing direct patient care. Accordingly, the availability, reliability, and safety of these devices is essential. However, medical devices and services are vulnerable to cybersecurity threats that could jeopardize patient health, safety, and privacy. The increased use of connected medical devices and software as a service (SaaS), the adoption of wireless technology, and overall increased medical device and service connectivity to the internet significantly increase the risks of cybersecurity threats. | 情報技術や医療機器の進歩、情報システム・機器・サービスの相互運用性の向上は、患者の治療を向上させ、医療システムの効率化を実現しています。医療機器は多くの場合、生命を維持したり、重要な臨床機能を提供するものであり、患者の直接的なケアを低下させることなく妥協することはできません。したがって、これらの医療機器の可用性、信頼性、安全性は不可欠です。しかし、医療機器やサービスは、患者の健康、安全、プライバシーを危険にさらす可能性のあるサイバーセキュリティ上の脅威にさらされています。接続された医療機器やSaaS(Software as a Service)の利用の増加、無線技術の採用、医療機器やサービスのインターネットへの接続性の全体的な増加は、サイバーセキュリティの脅威のリスクを著しく高めています。 |
Maintaining device and information security is a shared responsibility of the manufacturers and suppliers of connected devices and services as well as the healthcare delivery organizations (HDOs) that use them. | 機器や情報のセキュリティを維持することは、接続された機器やサービスのメーカーやサプライヤー、およびそれらを使用する医療提供機関(HDO)の共通の責任です。 |
Providing this security is a continual effort that requires vigilance, adaptation, and ongoing communication and collaboration between the parties. | このようなセキュリティを提供することは、継続的な取り組みであり、当事者間の警戒、適応、および継続的なコミュニケーションと協力を必要とします。 |
The Healthcare Supply Chain Association (HSCA) and its group purchasing organization (GPO) members are the sourcing and purchasing partners to America’s hospitals, long-term care facilities, surgery centers, clinics, and other HDOs. Given our unique line of sight over the entire healthcare supply chain HSCA suggests the following key cybersecurity considerations for medical device manufacturers, HDOs, and service providers: | ヘルスケア・サプライ・チェーン協会(HSCA)とそのグループ購買組織(GPO)のメンバーは、アメリカの病院、長期療養施設、手術センター、診療所、その他のHDOの調達・購買パートナーです。HSCAは、医療サプライチェーン全体を見渡せる独自の視点から、医療機器メーカー、HDO、サービスプロバイダーに対して、以下のようなサイバーセキュリティ上の重要事項を提案しています。 |
GLOSSARY OF KEY TERMS | 主要用語の解説 |
This discussion references several terms for which the reader should have a clear understanding of the meaning. Readers are encouraged to reference the National Institute of Standards and Technology (NIST) Computer Security Resource Center (CSRC) Glossary at https://csrc.nist.gov/glossary for additional information and definitions. | 本論では、読者がその意味を明確に理解する必要があるいくつかの用語を参照しています。 追加情報や定義については、米国国立標準技術研究所(NIST)コンピュータ・セキュリティ・リソース・センター(CSRC)の用語集(https://csrc.nist.gov/glossary)を参照することが推奨される。 |
Vulnerability – Weakness or deficiency in an information system, system security procedures, internal controls, or an implementation that could be exploited by a threat source or accidentally triggered. | 脆弱性ー情報システム、システムセキュリティ手順、内部統制、または実装における弱点または欠陥で、脅威源に悪用されたり、偶発的に引き起こされたりする可能性があるもの。 |
Threat – A deliberate or unintentional activity that has the potential to harm organizational operations or an information system through unauthorized access, destruction, disclosure, modification of data, and/or denial of service. Threats arise from human actions and/or natural events. | 脅威ー不正なアクセス、破壊、開示、データの改変、及び/又はサービスの妨害により、組織運営又は情報システムに損害を与える可能性のある意図的又は非意図的な活動をいう。脅威は人間の行動や自然現象から生じる。 |
Exploit – A threat actor taking advantage of a vulnerability to gain unauthorized access to a system or network | エクスプロイトー脆弱性を利用してシステムやネットワークへの不正アクセスを行う脅威行為者。 |
Cybersecurity Event – A cybersecurity or IT environment change that could have an impact on organizational operations, including mission, capabilities, or reputation. Note that most organizations experience many cybersecurity events on a daily basis. Few rise to the level of Incident or Breach. | サイバーセキュリティ・イベントーミッション、能力、または評判など、組織の運営に影響を与える可能性のあるサイバーセキュリティまたはIT環境の変化。ほとんどの組織は、日常的に多くのサイバーセキュリティイベントを経験していることに留意してください。インシデントやブリーチのレベルに達するものは少ない。 |
Cybersecurity Incident – A cybersecurity event that compromises the integrity, confidentiality or availability of an information asset | サイバーセキュリティ・インシデントー情報資産の完全性、機密性、または可用性を侵害するサイバーセキュリティのイベント |
Breach – A cybersecurity incident that results in the confirmed disclosure of data to an unauthorized party. | ブリーチー未承認者へのデータの開示が確認されたサイバーセキュリティ上の事象。 |
HDOs and suppliers should, at minimum, participate in one or more Information Sharing and Analysis Organizations (ISAOs) such as the Health Information Sharing and Analysis Center (H-ISAC), utilize an IT security risk assessment methodology and ensure their policies and practices reflect widely-accepted standards, such as those provided by the National Institute of Standards and Technology (NIST), the International Organization for Standardization (ISO), The Health Sector Coordinating Council (HSCC) and/or the Federal Information Security Management Act (FISMA) recommendations and requirements for cybersecurity. Suppliers and HDOs should be familiar with the May 12, 2021 Executive Order on Improving the Nation’s Cybersecurity and ensure they are aligned with that order as required. | HDO及びサプライヤーは、少なくとも、H-ISAC(Health Information Sharing and Analysis Center)等の1つ以上のISAO(Information Sharing and Analysis Organizations)に参加し、ITセキュリティのリスクアセスメント手法を活用し、米国標準技術研究所(NIST)、国際標準化機構(ISO)、医療セクター調整協議会(HSCC)及び/又は連邦情報セキュリティ管理法(FISMA)のサイバーセキュリティに関する推奨事項及び要件等の広く受け入れられている基準を、自らのポリシー及び実務に反映させるべきである。サプライヤーとHDOは、2021年5月12日の「国家のサイバーセキュリティの向上に関する大統領令」に精通し、必要に応じて同令との整合性を確保する必要がある。 |
Key cybersecurity measures that organizations should implement are noted below; some apply to all organizations, while others are HDO-specific or supplier-specific. | 組織が実施すべき主要なサイバーセキュリティ対策を以下に記します。すべての組織に適用されるものもあれば、HDO固有またはサプライヤー固有のものもあります。 |
CONSIDERATIONS FOR HEALTHCARE DELIVERY ORGANIZATIONS, MEDICAL DEVICE MANUFACTURES & SERVICE SUPPLIERS | 医療機関、医療機器メーカー、サービスプロバイダーのための考慮事項 |
• Organizations should designate an information technology and/or network security officer to be responsible for security of the organization, services, and products, and for maintaining communications and relationships with peers and counterparts across the industry. | ・組織は,組織,サービス,製品のセキュリティに責任を持ち,業界内の同業者や取引先とのコミュニケーションや関係を維持するために,情報技術者やネットワークセキュリティ担当者を指名するべきである。 |
• All employees with network access should receive role-appropriate periodic training and assessments, at least annually, on cybersecurity. Training should include periodic phishing tests with additional training provided for employees who fail tests or assessments. | ・ネットワークにアクセスできるすべての従業員は,少なくとも年に一度,役割に応じた定期的なトレーニングとサイバーセキュリティに関する評価を受けるべきである。研修には定期的なフィッシングテストを含み,テストや評価に不合格となった従業員には追加の研修を行うべきである。 |
• Organizations should have processes for implementing and maintaining anti-virus/anti-malware software. | ・組織は,アンチウイルス/アンチマルウェアソフトウェアの導入と維持のためのプロセスを持つべきである。 |
• Organizations should have patching processes capable of aiding in prevention of a ransomware attack. | ・組織は,ランサムウェア攻撃の防止を支援することができるパッチ適用プロセスを有するべきである。 |
ensuring all software, firmware, and third-party applications are updated and patched promptly. Unsupported software should be retired on a timely basis. | すべてのソフトウェア、ファームウェア、およびサードパーティ製アプリケーションが迅速に更新され、パッチが適用されるようにすること。サポートされていないソフトウェアは適時破棄すること。 |
• Organizations should install firewalls and use network segmentation to provide least-privilege access to system resources and data where appropriate to further minimize risks. | ・組織は,ファイアウォールを設置し,ネットワークセグメンテーションを利用して,必要に応じてシステムリソースやデータへの最小権限でのアクセスを提供し,リスクをさらに最小化する必要があります。 |
• Organizations should make appropriate use of firewalls or network access control (NAC) to restrict user access to systems and data based on need. Consideration should be given to implementing IP address and/or application whitelisting in high-risk environments, limiting applications and services to those pre-approved. | ・組織は、ファイアウォールやネットワークアクセスコントロール(NAC)を適切に利用し、必要に応じてシステムやデータへのユーザのアクセスを制限すべきである。リスクの高い環境では、IP アドレスやアプリケーションのホワイトリスト化を実施し、アプリケーションやサービスを事前に承認されたものに限定することを検討する必要があります。 |
• When practical, data should be encrypted in transit. Authentication Information (usernames, passwords, keys etc.), Personally Identifiable Information (PII), Protected Health Information (PHI), as well as any confidential or sensitive information should always be encrypted in transit and at rest. | ・実用的な場合,データは転送中に暗号化されるべきである。認証情報(ユーザ名,パスワード,鍵など),個人識別情報(PII),保護された医療情報(PHI),および機密情報や敏感な情報は,転送中および保存中に常に暗号化されるべきです。 |
• Backup and restoration procedures, capable of aiding in recovery from a ransomware attack, should be created, documented, and periodically tested. | ・ランサムウェア攻撃からの復旧を支援するために,バックアップと復元の手順を作成し,文書化し,定期的にテストすること。 |
• A password policy that complies with latest NIST and/or ISO guidelines should be enforced. Default passwords for operating systems, databases, and applications should be changed upon implementation and immediately whenever an employee with knowledge of them leaves the organization. Where possible, organizations should also consider changing default usernames. Shared passwords are to be avoided. | ・最新のNISTやISOのガイドラインに準拠したパスワードポリシーを実施すること。オペレーティングシステム,データベース,およびアプリケーションのデフォルトパスワードは,導入時に変更し,それらのパスワードを知っている従業員が退職した場合には直ちに変更する必要があります。可能であれば,組織はデフォルトのユーザ名の変更も検討すべきである。パスワードの共有は避けるべきである。 |
• The expected useful life of the device or service should be specified within the purchase agreement and security updates to the software and all supporting software components (Software Bill of Material – SBoM) should be made available for the stated useful life at no additional cost to the HDO, this and other recommended contract terms and conditions may be found in HSCA’s Recommendations for Medical Device Cybersecurity Terms and Conditions. | ・機器又はサービスの予想耐用年数を購入契約書に明記し、ソフトウェア及びそれをサポートする全てのソフトウェアコンポーネント(Software Bill of Material - SBoM)のセキュリティアップデートを規定の耐用年数の間、HDOに追加費用なしで提供すべきである。この推奨契約条件及びその他の推奨契約条件は、HSCAのRecommendations for Medical Device Cybersecurity Terms and Conditionsに記載されている。 |
• In cases where manufacturers are selling devices that rely on software no longer supported by a third party, the HDO should be sure to consider any additional expenses that will be incurred to securely implement and maintain the devices. | ・メーカーが第三者によってサポートされなくなったソフトウェアに依存する機器を販売する場合,HDOは,機器を安全に導入・維持するために発生する追加費用を必ず考慮する必要があります。 |
• Medical device application software (e.g., image acquisition, manipulation, reconstruction, analysis, display, etc.), and any commercial Operating System (OS) necessary for operation and maintenance of the system should be provided by the Supplier with a perpetual license. The most current version of a medical device should have an OS with latest the latest major release currently available for purchase in the commercial marketplace. Application software updates compatible with the system's hardware shall be kept current at no cost to the HDO for at least the expected useful life of the device. | ・医療機器のアプリケーションソフトウェア(画像取得、操作、再構成、分析、表示等)、及びシステムの運用・保守に必要な市販のオペレーティングシステム(OS)は、サプライヤーから永久ライセンスで提供されるべきである。医療機器の最新版には、現在市販されている最新のメジャーリリースのOSが搭載されていること。システムのハードウェアと互換性のあるアプリケーションソフトウェアの更新は、少なくとも機器の予想耐用年数の間、HDOに無償で最新の状態に保たれなければならない。 |
CONSIDERATIONS FOR HEALTHCARE DELIVERY ORGANIZATIONS | 医療機関のための考慮事項 |
• HDOs should avoid acquiring any device or service from a manufacturer that does not warrant that they actively participate in an ISAO. HDOs are encouraged to participate in ISAOs as well. Information sharing among the user community is a significant factor in battling cybercriminals and participation in ISAOs is a platform for such sharing and a factor in improving the cybersecurity of all participants. Terms of sale, including non-disclosure agreements, should not prohibit HDOs from participating in ISAOs or other cybersecurity information sharing initiatives. | ・HDOは,ISAOに積極的に参加することを保証していないメーカーから機器やサービスを取得することは避けるべきである。HDO は ISAO にも参加することが推奨される。ユーザーコミュニティ間の情報共有は,サイバー犯罪者に対抗するための重要な要素であり,ISAOへの参加は,そのような共有のためのプラットフォームであり,すべての参加者のサイバーセキュリティを向上させる要因となります。秘密保持契約を含む販売条件は,HDO が ISAO 又は他のサイバーセキュリティ情報共有イニシ アチブに参加することを禁止すべきではありません。 |
• HDOs should avoid acquiring devices for which a supplier is unable or unwilling to provide a Manufacturer Disclosure Statement for Medical Device Security (MDS2) utilizing the most recent template. Where suppliers provide MDS2s, those MDS2s should be reviewed by HDO network security teams, or their designated third party, prior to the purchase, use, or implementation of any medical device. All medical devices and services should be installed and operated in a manner consistent with the organization’s security policies and practices. | ・HDO は、サプライヤーが最新のテンプレートを利用した医療機器セキュリティのための製造者 開示説明書(MDS2)を提供できない又は提供する意思がない機器の取得を避けるべきである。サプライヤーが MDS2 を提供する場合には、医療機器の購入、使用又は導入に先立ち、 HDO のネットワークセキュリティチーム又はその指定する第三者が MDS2 を確認する必要がある。すべての医療機器及びサービスは、組織のセキュリティポリシー及び実務と整合性のある方法で設置及び運用されなければならない。 |
• Purchase agreements for medical devices and services should contain appropriate liability and warranty provisions. | ・医療機器及びサービスの購入契約には,適切な責任及び保証規定を含めるべきである。 |
• HDOs’ insurance policies should cover cybersecurity risks with appropriate minimum coverage. HDOs should not acquire devices or services from any supplier who will not provide evidence of appropriate coverage unless no practical alternatives exist. | ・HDO の保険は,サイバーセキュリティリスクを適切な最低補償額でカバーすべきである。HDO は,現実的な代替手段が存在しない場合を除き,適切な補償の証拠を提供しな いサプライヤーから機器又はサービスを取得してはならない。 |
• HDOs should not acquire or utilize devices, software or services not compliant with current U.S. Food and Drug Administration (FDA) cybersecurity guidance or industry standards unless no practical alternatives exist. In these cases, HDOs should ensure devices, software and/or services are deployed in a manner that reduces the risk of a cybersecurity or information security incident or breach. | ・HDO は、現実的な代替手段が存在しない場合を除き、米国食品医薬品局(FDA)のサイ バーセキュリティガイダンス又は業界標準に準拠していない機器、ソフトウェア又はサービスを 取得又は利用すべきではない。このような場合、HDO は、機器、ソフトウェア及び/又はサービスが、サイバーセキュリ ティ又は情報セキュリティの事故や侵害のリスクを低減する方法で導入されていることを確認す べきである。 |
• HDOs should conduct risk assessments, including testing when practical, for all devices and services to verify manufacturer claims prior to acquiring any device or service and connecting the device or service to their network. Alternately, a third-party testing and certification service may be used to validate manufacturer’s claims. Policies regarding who can approve and add devices to the network should be implemented and followed. | ・HDO は,機器又はサービスを入手し,ネットワークに接続する前に,製造者の主張を 検証するために,すべての機器及びサービスについて,実用的な場合にはテストを含む リスクアセスメントを行うべきである。 また,製造者の主張を検証するために,第三者による試験・認証サービスを利用することもできる。誰が承認してネットワークに機器を追加することができるかについての方針が実施され,遵守されなければならない。 |
• HDOs should require suppliers to identify if a device can be remotely accessed or controlled, whether it is connected to a network, and if the device can be remotely accessed or controlled, the supplier should provide a detailed description of the measures incorporated to safeguard the security of that device | ・HDO は,機器がリモートアクセス又はコントロールできるかどうか,ネットワークに 接続されているかどうかを特定すること,及び機器がリモートアクセス又はコントロールで きる場合には,当該機器のセキュリティを保護するために組み込まれた手段の詳細な説明 を提供することをサプライヤーに求めるべきである。 |
• HDOs should implement physical security controls to prevent unauthorized and/or unwitnessed access to any devices and servers. | ・HDO は,機器及びサーバーへの未承認及び/又は目撃されていないアクセスを防止するために,物理的なセキュリティ管理を実施すべきである。 |
CONSIDERATIONS FOR MEDICAL DEVICE MANUFACTURERS & SERVICE SUPPLIERS | 医療機器製造者及びサービス提供者への配慮 |
Suppliers of network-accessible medical devices, software and services should warrant that they are compliant with current U.S. Food and Drug Administration (FDA) cybersecurity guidance documents, industry standards and do not contain known malicious code or other known vulnerabilities. | ネットワークにアクセス可能な医療機器、ソフトウェア及びサービスの供給者は、それらが最新の米国食品医薬品局(FDA)のサイバーセキュリティガイダンス文書及び業界標準に準拠しており、既知の悪意のあるコードやその他の既知の脆弱性を含んでいないことを保証しなければならない。 |
Medical device manufacturers should provide an MDS2 (current version and SBoM) for any medical device that can be connected to a network (i.e., any device that has a MAC address). | 医療機器メーカーは、ネットワークに接続可能なすべての医療機器(MACアドレスを持つすべての機器)について、MDS2(最新版およびSBoM)を提供すること。 |
Supplier insurance policies should cover cybersecurity risks with appropriate minimum coverage. | サプライヤーの保険契約は、適切な最低補償額でサイバーセキュリティリスクをカバーすべきである。 |
Although compliance with current guidelines can significantly reduce the cybersecurity risks associated with medical devices and services, legacy devices and possible future noncompliance pose ongoing risks. HDOs have a considerable investment in connected legacy devices, software and services that may not be compliant with current guidelines and standards but that are critical to maintaining patient care. Recognizing that it is not practical or feasible in the short term to retire or replace those assets, manufacturers should acknowledge responsibility for the security of legacy devices and work expeditiously to upgrade those to current security standards or provide device upgrade paths to HDOs at the lowest possible cost. | 現行のガイドラインに準拠することで、医療機器やサービスに関連するサイバーセキュリティリスクを大幅に低減することができますが、レガシーデバイスや将来起こりうるコンプライアンス違反は継続的なリスクとなります。HDOは、現行のガイドラインや基準に準拠していない可能性があるものの、患者の治療を維持するために不可欠な、接続されたレガシー機器、ソフトウェア、サービスに多大な投資を行っています。メーカーは、レガシー機器のセキュリティに対する責任を認識し、レガシー機器を現行のセキュリティ基準に速やかにアップグレードするか、可能な限り低コストでHDOに機器のアップグレードパスを提供すべきであると考えます。 |
In addition to complying with regulatory reporting requirements, suppliers of network-accessible medical devices, software and services should, at their own expense, provide corrective actions, etc., which includes the following: | ネットワークにアクセス可能な医療機器、ソフトウェア及びサービスの供給者は、 規制当局の報告義務を遵守することに加えて、自らの費用で以下のような是正措置等を 行うべきである。 |
o Reliable and timely information (e.g., via Cybersecurity Portals, direct communications, etc.) regarding any issues or risks identified with one of their devices or services, the firmware, software and/or any other security issues; | o 信頼性のあるタイムリーな情報(例:サイバーセキュリティポータル、直接のコミュニケーションなど)を、自社の機器またはサービスの1つ、ファームウェア、ソフトウェア、および/またはその他のセキュリティ問題で特定された問題またはリスクに関して提供すること。 |
o Guidance on what should be done to address any vulnerability, including a corrective action plan/flaw remediation process that identifies appropriate software update(s) and/or workaround(s) to mitigate all issues or risks associated with the vulnerability; | o 脆弱性に関連するすべての問題またはリスクを軽減するための適切なソフトウェアの更新および/または回避策を特定する是正措置計画/欠陥是正プロセスを含む、脆弱性に対処するために何をすべきかに関するガイダンス。 |
o Change management-based release notes and/or HDO communications explaining the impact of changes to operating systems, databases, applications, and more. | o オペレーティングシステム、データベース、アプリケーション等への変更の影響 を説明する変更管理ベースのリリースノート及び/又はHDOコミュニケーション。 |
Suppliers should make every effort to assist HDOs in resolving cybersecurity threats and vulnerabilities in a timely manner. | サプライヤーは、サイバーセキュリティ上の脅威や脆弱性をタイムリーに解決するために、HDOを支援するためにあらゆる努力を払わなければならない。 |
Suppliers should ensure the security of all procured or developed systems and technologies, including all subcomponents (hereinafter referred to as "Systems"), throughout the useful life including any extension, warranty, or maintenance periods. This includes, but is not limited to, workarounds, patches, hotfixes, upgrades, and any physical components (hereafter referred to as “Security Fixes”) which may be necessary to fix all security vulnerabilities published or known to the Supplier anywhere in the Systems, including Operating Systems and firmware. The Supplier should ensure that Security Fixes do not negatively impact the Systems. | サプライヤーは、すべてのサブコンポーネントを含む、調達または開発されたすべてのシステムおよび技術(以下、「システム」という)のセキュリティを、延長、保証、またはメンテナンス期間を含む耐用年数を通じて確保しなければならない。これには、OSやファームウェアを含む「システム」に存在する、公開されている、あるいはサプライヤーが知っているすべてのセキュリティ脆弱性を修正するために必要な、回避策、パッチ、ホットフィックス、アップグレード、およびあらゆる物理的コンポーネント(以下、「セキュリティフィックス」)が含まれますが、これらに限定されません。サプライヤーは、セキュリティ修正プログラムがシステムに悪影響を及ぼさないようにしなければなりません。 |
Analysis Organization (ISAOs) such as the Health Information Sharing and Analysis Center (H-ISAC or the Health Information Trust Alliance (HITRUST); | FDAのガイダンスは、医療情報共有分析センター(H-ISAC)や医療情報信頼同盟(HITRUST)のようなISAO(分析機関)が作成したものです。 |
Although the FDA’s guidance is prefaced as non-binding, the FDA has stated that medical device manufacturers must comply with all federal regulations including quality system regulations (QSRs). QSRs require medical device manufacturers to address all risks, including cybersecurity risks. The FDA guidance provides recommendations on how manufacturers might address those risks. Medical device manufacturers should recognize that HDOs prefer to purchase devices that adhere to the FDA guidelines and meet the QSRs. We encourage manufacturers to view the rapid adoption of rigorous cybersecurity measures and compliance with published guidelines as a necessary precondition to marketing medical devices. | FDAのガイダンスは拘束力がないと前置きされていますが、FDAは医療機器メーカーが品質システム規制(QSR)を含むすべての連邦規制を遵守しなければならないとしています。QSRは、医療機器メーカーがサイバーセキュリティリスクを含むすべてのリスクに対処することを求めています。FDAのガイダンスでは、メーカーがこれらのリスクにどのように対処すべきかについての推奨事項が示されています。 医療機器メーカーは、HDOがFDAのガイドラインを遵守し、QSRを満たした機器を購入することを好むことを認識すべきです。医療機器メーカーは、厳格なサイバーセキュリティ対策を迅速に導入し、公表されたガイドラインを遵守することが、医療機器を販売するための必要な前提条件であると考えることをお勧めします。 |
・[PDF] Recommendations for Medical Device Cybersecurity Terms and Conditions
Recommendations for Medical Device Cybersecurity Terms and Conditions | 医療機器のサイバーセキュリティに関する規約の推奨事項 |
The Healthcare Supply Chain Association has circulated “Medical Device and Service Cybersecurity: Key Considerations for Manufacturers & Healthcare Delivery Organizations (HDOs)” which outlines the shared responsibilities of the parties in assuring medical device and information security and some of the steps they might take in promoting that security. We believe that suppliers should view the rapid adoption of rigorous cybersecurity measures and compliance with published guidelines as a necessary precondition to marketing medical devices | ヘルスケア・サプライ・チェーン協会は、「医療機器とサービスのサイバーセキュリティ」を発表しました。このレポートでは、医療機器と情報のセキュリティを保証する上で当事者が共有する責任と、そのセキュリティを促進するために当事者が取るべきいくつかのステップについて概説しています。サプライヤーは、厳格なサイバーセキュリティ対策を迅速に導入し、公表されたガイドラインを遵守することが、医療機器を販売するための必要な前提条件であると考えるべきであると考えます。 |
In support of these key considerations, we recommend that purchasing contracts include clauses reflective of the following principles for the acquisition of connected medical devices and services: | これらの重要な検討事項を裏付けるために、我々は、接続された医療機器およびサービスの取得について、以下の原則を反映した条項を購買契約に含めることを推奨します。 |
1) Suppliers should warrant their compliance with FDA premarket and post-market guidance relative to cybersecurity risks throughout their product’s lifecycle. | 1) サプライヤーは、製品のライフサイクルを通じて、サイバーセキュリティリスクに関するFDAの市販前および市販後のガイダンスに準拠していることを保証すべきである。 |
2) Products should be assessed and warranted to be free of known malware or other vulnerabilities at the time of delivery, and/or implementation, and throughout the life of the product. | 2) 製品は、納入時および/または導入時、そして製品のライフサイクルを通して、既知のマルウェアやその他の脆弱性がないことを評価し、保証すること。 |
3) Suppliers should comply with all reasonable security practices required by the HDO that are consistent with current network and device security guidelines and best practices including those developed and implemented by the HDO, the Federal Information Security Management Act (FISMA) or as published by standards bodies such as the International Organization for Standardization (ISO), the International Electrotechnical Commission (IEC), the Association for the Advancement of Medical Instrumentation (AAMI), the Open Web Application Security Project (OWASP), the SANS Institute, the Center for Internet Security, the National Institute of Standards and Technology (NIST). | 3) サプライヤーは、HDO、連邦情報セキュリティ管理法(FISMA)、または国際標準化機構(ISO)、国際電気標準会議(IEC)、医療機器推進協会(AAMI)、オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)、SANS Institute、Center for Internet Security、米国標準技術局(NIST)などの標準化団体が発表したものを含む、現行のネットワークおよびデバイスのセキュリティガイドラインおよびベストプラクティスと一致する、HDOが要求するすべての合理的なセキュリティプラクティスを遵守するものとする。 |
4) The expected useful life of the device or service should be specified within the purchase agreement and security updates to the software, operating system and all supporting software components should be made available for the stated useful life at no additional cost to the HDO. This is to include, but not be limited to, monitoring, upgrading, updating, and patching in a manner consistent with the HDO’s protocols. | 4) 機器またはサービスの予想耐用年数を購入契約書に明記し、ソフトウェア、オペレーテ ィングシステム、およびサポートするすべてのソフトウェアコンポーネントに対するセキュ リティアップデートを、明記された耐用年数の間、HDOに追加費用なしで提供すること。これには、HDOのプロトコルに沿った方法での監視、アップグレード、更新、パッチ適用が含まれるが、これに限定されるものではない。 |
5) Suppliers should make every effort to assist HDOs in resolving cybersecurity threats and vulnerabilities in a timely manner. This includes, but is not limited to, providing timely updates and patches, a portal for sharing vulnerability information, and a security contact. HDOs should not be penalized by supplier for defects caused by modifications made to products in HDOs’ remediation efforts if the supplier fails to provide timely updates and/or timely assistance in addressing cybersecurity threats and vulnerabilities involving supplier’s products. | 5) サプライヤーは、HDOがサイバーセキュリティ上の脅威や脆弱性を適時に解決することを支 援するためにあらゆる努力を払わなければならない。これには、タイムリーなアップデートやパッチの提供、脆弱性情報を共有するためのポータ ル、セキュリティ担当者の提供などが含まれるが、これらに限定されるものではない。サプライヤーが、サプライヤーの製品に関わるサイバーセキュリティ上の脅威及び脆弱性に対処するための適時のアップデート及び/又は適時の支援を提供しなかった場合、HDOは、HDOの修復努力の中で製品に加えられた変更に起因する欠陥について、サプライヤーからペナルティを受けるべきではない。 |
6) Purchase agreements and/or information security agreements for medical devices and services should contain appropriate liability and warranty provisions in regards to compliance with cybersecurity terms. | 6) 医療機器及びサービスの購入契約及び/又は情報セキュリティ契約には、サイバーセキュリ ティに関する条項の遵守に関して、適切な責任及び保証規定が含まれるべきである。 |
7) HDOs’ participation in Information Sharing and Analysis Organizations (ISAOs) and other cyber security sharing initiatives should be explicitly allowed and exempted from any non-disclosure provisions. | 7) ISAO(Information Sharing and Analysis Organizations)及びその他のサイバーセキュ リティ共有イニシアチブへの HDO の参加は、明示的に許可されるべきであり、守秘義務規定の 対象外とされるべきである。 |
8) The most current version of the Manufacturers Disclosure Statement for Medical Device Security (MDS2) must be provided for any device that maintains or transmits protected health information (PHI) and/or personally identifiable information (PII). | 8) 保護されるべき健康情報(PHI)及び/又は個人を特定できる情報(PII)を維持又 は伝送する機器については、医療機器セキュリティのための製造業者開示説明書 (MDS2)の最新版を提供しなければならない。 |
9) Suppliers should warrant that they internally follow cybersecurity best practices such as ISO 27001, SOC II or their equivalents approved by the HDO, provide documentation describing in detail their cybersecurity/penetration testing and risk assessment processes as well as program details for patching, incident response and secure set up and configuration | 9) サプライヤーは、ISO 27001、SOC II、またはHDOによって承認された同等のものなど、サイバーセキュリティのベスト プラクティスに社内で従っていることを保証するものとし、サイバーセキュリティ/侵入テスト、リスクアセスメントのプロセス、パッチ適用、インシデント対応、安全な設定と構成のためのプログラムの詳細を記述した文書を提供するものとする。 |
10) Suppliers should utilize an industry recognized vulnerability scoring methodology such as the Common Vulnerability Scoring System (CVSS) and must disclose that methodology along with processes, procedures, resources and timelines for communicating and addressing identified vulnerabilities and threats. | 10) サプライヤーは、CVSS(Common Vulnerability Scoring System)のような業界で認知された脆弱性スコアリング手法を利用し、特定された脆弱性や脅威を伝達し対処するためのプロセス、手順、リソース、スケジュールとともに、その手法を開示しなければならない。 |
11) Suppliers must provide documentation of processes and technology for external access and remote support, including security (authentication & authorization) and monitoring. | 11) サプライヤーは、セキュリティ(認証と認可)と監視を含む、外部からのアクセスとリモートサポートのためのプロセスと技術に関する文書を提供しなければならない。 |
12) Suppliers/manufacturers should warrant ongoing and active participation in one or more Information Sharing and Analysis Organizations (ISAO) and provide their vulnerability disclosure protocols. | 12) サプライヤー/メーカーは、1つ以上の情報共有・分析組織(ISAO)への継続的かつ積極的な参加を保証し、その脆弱性開示 プロトコルを提供すること。 |
13) A bill of materials describing the component parts of products including a Software Bill of Materials (SBoM) should be provided to the HDO prior to implementation which includes software versions, patch levels, and patching plans. The product lifecycle/expectancy should be explicitly stated. | 13) ソフトウェア部品表(SBoM)を含む製品の構成部品を記載した部品表を、ソフトウェアのバージョン、パッチレベル、パッチ計画を含めて、導入前にHDOに提供すること。製品のライフサイクル/期待値が明示されていること。 |
Supplier should provide a product roadmap depicting the lifecycle of the product including end of service, end of life, and end of support. | サプライヤーは、サービス終了、寿命終了、サポート終了を含む製品のライフサイク ルを描いた製品ロードマップを提供すること。 |
Comments