米国 GAO 医療機器のサイバーセキュリティ:効果的な連携を確保するために各省庁は協定を更新する必要がある (2023.12.21)

こんにちは、丸山満彦です。

医療機器セキュリティについて、GAOが報告書を公表しています。

 

Medical Device Cybersecurity:Agencies Need to Update Agreement to Ensure Effective Coordination	医療機器のサイバーセキュリティ:効果的な連携を確保するために各省庁は協定を更新する必要がある
GAO-24-106683	GAO-24-106683
Fast Facts	速報
Cybersecurity vulnerabilities that threaten medical devices aren't commonly exploited but still pose risks to hospital networks—and patients, according to a federal study.	連邦政府の調査によると、医療機器を脅かすサイバーセキュリティの脆弱性は一般的には悪用されていないが、それでも病院ネットワークや患者にリスクをもたらしている。
The Food and Drug Administration has primary responsibility for medical device cybersecurity. FDA formally collaborates with the Cybersecurity and Infrastructure Security Agency on security guidance for device manufacturers, public alerts about current vulnerabilities, and more.	食品医薬品局 （FDA） は、医療機器のサイバーセキュリティに関する主要な責任を負っている。FDAはサイバーセキュリティ・インフラセキュリティ庁と正式に協力し、機器製造者向けのセキュリティガイダンス、現在の脆弱性に関する一般向け警告などを実施している。
However, the agencies' formal agreement is 5 years old. We recommended updating the agreement to improve agency coordination and clarify roles.	しかし、両機関の正式な合意は5年前のものである。我々は、省庁間の連携を改善し、役割を明確にするために、この協定を更新することを推奨した。
Medical devices, such as heart monitors, connected to a hospital network may be vulnerable to cyber threats	病院のネットワークに接続された心臓モニターなどの医療機器は、サイバー脅威に脆弱である可能性がある。
Highlights	ハイライト
What GAO Found	GAOの発見
According to the Department of Health and Human Services (HHS), available data on cybersecurity incidents in hospitals do not show that medical device vulnerabilities have been common exploits. Nevertheless, HHS maintains that such devices are a source of cybersecurity concern warranting significant attention and can introduce threats to hospital cybersecurity (see figure).	保健福祉省（HHS）によると、病院におけるサイバーセキュリティインシデントに関する入手可能なデータからは、医療機器の脆弱性が一般的に悪用されていることは示されていない。とはいえ、HHSは、医療機器は重大な注意を払うべきサイバーセキュリティ上の懸念の種であり、病院のサイバーセキュリティに脅威をもたらす可能性があると主張している（図参照）。
Figure: Example of a Compromised Medical Device That Can Lead to Disruption of Other Devices on a Hospital Network	図：病院ネットワーク上の他の機器を混乱させる可能性のある、危殆化した医療機器の例
Non-federal entities representing health care providers, patients, and other relevant parties identified challenges in accessing federal support to address cybersecurity vulnerabilities. Entities described challenges with (1) a lack of awareness of resources or contacts and (2) difficulties understanding vulnerability communications from the federal government. Agencies are taking steps that, if implemented effectively, can meet these challenges.	医療提供者、患者、その他の代表者を代表する連邦政府以外の事業体は、サイバーセキュリティの脆弱性に対処するために連邦政府の支援を利用する際の課題を明らかにした。事業体は、（1） リソースや連絡先の認識不足、（2） 連邦政府からの脆弱性コミュニケーションを理解することの難しさ、について課題を述べている。各省庁は、効果的に実施されれば、これらの課題に対応できる措置を講じている。
Key agencies are also managing medical device cybersecurity through active coordination. Specifically, the Food and Drug Administration (FDA) and the Cybersecurity and Infrastructure Security Agency (CISA) developed an agreement addressing most leading practices for collaboration. However, this 5-year-old agreement did not address all such practices and needs to be updated to reflect organizational and procedural changes that have occurred since 2018.	主要機関は、積極的な連携を通じて医療機器のサイバーセキュリティも管理している。具体的には、食品医薬品局（FDA）とサイバーセキュリティ・インフラセキュリティ庁（CISA）は、連携のためのほとんどのリーディング・プラクティスに対応する協定を策定した。しかし、この5年前の合意は、そのような実践のすべてに対応したものではなく、2018年以降に発生した組織や手続きの変更を反映するために更新する必要がある。
FDA authority over medical device cybersecurity has recently increased. Specifically, December 2022 legislation requires medical device manufacturers to submit to FDA, among other things, their plans to monitor, identify, and address cybersecurity vulnerabilities for any new medical device that is to be introduced to consumers starting in March 2023. This legislation is limited to new devices and does not retroactively apply to those devices introduced prior to March 2023, unless the manufacturer is submitting a new marketing application for changes to the device.	医療機器のサイバーセキュリティに関するFDAの認可は最近増加した。具体的には、2022年12月の法律により、医療機器製造者は、2023年3月から消費者に導入されるすべての新しい医療機器について、サイバーセキュリティの脆弱性を監視し、特定し、対処する計画をFDAに提出することなどが義務付けられている。この法律は新しい医療機器に限定されており、製造業者が医療機器の変更について新たな販売申請を提出しない限り、2023年3月以前に導入された医療機器には遡及適用されない。
FDA officials are implementing new cybersecurity authorities and have not yet identified the need for any additional authority. They can take measures to help ensure device cybersecurity under existing authorities such as monitoring health sector and CISA alerts, as well as directing manufacturers to communicate vulnerabilities to user communities and to remediate the vulnerabilities.	FDA当局は新たなサイバーセキュリティの認可を実施中であり、追加的な権限の必要性はまだ認識していない。FDAは、医療分野やCISAアラートの監視などの既存の権限に基づき、機器のサイバーセキュリティを確保するための対策を講じることができ、また、脆弱性をユーザーコミュニティに伝え、脆弱性を修正するよう製造者に指示することもできる。
According to FDA guidance, if manufacturers do not remediate vulnerabilities, FDA may find the device to be in violation of federal law and subject to enforcement actions.	FDAのガイダンスによれば、製造者が脆弱性を是正しない場合、FDAはその機器が連邦法に違反していると判断し、強制措置の対象となる可能性がある。
Why GAO Did This Study	GAOが調査を行った理由
Cyber threats that target medical devices could delay critical patient care, reveal sensitive patient data, shut down health care operations, and necessitate costly recovery efforts. FDA is responsible for ensuring that medical devices sold in the U.S. provide reasonable assurance of safety and effectiveness.	医療機器を標的としたサイバー脅威は、重要な患者の治療を遅らせ、患者の機密データを明らかにし、医療業務を停止させ、費用のかかる復旧作業を必要とする可能性がある。FDAは、米国で販売される医療機器が安全性と有効性を合理的に保証することを保証する責任を負っている。
The Consolidated Appropriations Act, 2023, includes a provision for GAO to review cybersecurity in medical devices. This report addresses the extent to which (1) relevant non-federal entities are facing challenges in accessing federal support on medical device cybersecurity, (2) federal agencies have addressed identified challenges, (3) key agencies are coordinating on medical device cybersecurity, and (4) limitations exist in agencies' authority over medical device cybersecurity.	2023年連結歳出法には、GAOが医療機器のサイバーセキュリティをレビューする条項が含まれている。本報告書では、（1）関連する非連邦事業体が医療機器のサイバーセキュリティに関する連邦政府の支援にアクセスする際にどの程度の課題に直面しているか、（2）連邦政府機関は特定された課題に対処しているか、（3）主要機関は医療機器のサイバーセキュリティに関して協調しているか、（4）医療機器のサイバーセキュリティに関する機関の権限には制限が存在するか、について取り上げる。
GAO identified federal agencies with roles in medical device cybersecurity. It also selected 25 non-federal entities representing health care providers, patients, and medical device manufacturers. GAO interviewed these entities on challenges in accessing federal cybersecurity support. In addition, GAO assessed agency documentation and compared coordination efforts against leading collaboration practices; reviewed relevant legislation and guidance; and interviewed agency officials.	GAOは、医療機器サイバーセキュリティの役割を担う連邦政府機関を識別した。また、医療提供者、患者、医療機器製造者を代表する25の非連邦事業体を選定した。GAOはこれらの事業体に、連邦政府のサイバーセキュリティ支援にアクセスする際の課題についてインタビューした。さらに、GAOは、機関の文書を評価し、主要な連携慣行と連携努力を比較し、関連する法律とガイダンスを検討し、機関職員にインタビューした。
Recommendations	勧告
GAO is making recommendations to FDA and CISA to update their agreement to reflect organizational and procedural changes that have occurred. Both agencies concurred with the recommendations.	GAOは、FDAとCISAに対し、発生した組織的・手続き的な変更を反映させるため、協定を更新するよう提言している。両機関は勧告に同意した。
Recommendations for Executive Action	行政措置に関する勧告
Agency Affected / Recommendation	影響を受ける機関／勧告
Food and Drug Administration	食品医薬品局
The Commissioner of Food and Drugs should work with the Cybersecurity and Infrastructure Security Agency to update the agencies' agreement to reflect organizational and procedural changes that have occurred. (Recommendation 1)	食品医薬品庁長官は、サイバーセキュリティ・インフラセキュリティ庁と協力し、発生した組織的・手続き的変更を反映させるため、両機関の合意を更新すべきである。（勧告1）
Cybersecurity and Infrastructure Security Agency	サイバーセキュリティ・インフラセキュリティ庁
The Director of the Cybersecurity and Infrastructure Security Agency should work with the Food and Drug Administration to update the agencies' agreement to reflect organizational and procedural changes that have occurred. (Recommendation 2)	サイバーセキュリティ・インフラセキュリティ庁長官は、食品医薬品安全庁と協力して、発生した組織的・手続き的変更を反映させるため、両機関の合意を更新すべきである。（勧告 2）

 

・[PDF] Highlights

 

・[PDF] Full Report

 

・[DOCX] 仮訳