水曜日に行われた医療分野のサイバーセキュリティに関する上院公聴会の冒頭で、ビル・キャシディ上院議員(共和党、ルイジアナ州)は、議員や証人たちに対し、話題を本題に集中させるよう強く求め、共和党のワン・ビッグ・ビューティフル・ビルによる医療分野への予算削減の影響についての議論に逸れないよう呼びかけた。
上院保健・教育・労働・年金委員会の委員長であるキャシディ氏は、バーニー・サンダース上院議員(無所属、バーモント州)や証人がその方向に議論を誘導しようとする試みは「気を散らすもの」だと述べ、ある時点でルイジアナ州選出の共和党議員はサンダース氏が法案の影響について「半分だけの真実」を広めていると非難し、憤慨してガベルを叩いた。
「これはサイバーセキュリティについての話です」とキャシディ氏は述べた。「実際にサイバーセキュリティについて話してくれた皆さん、ありがとうございます。本当に感謝しています。」
しかし公聴会の中で、複数の証人は、共和党が可決した法律が、すでにデジタル脅威に悩まされている医療分野において、サイバーセキュリティや基本的なサービスに壊滅的な影響を及ぼすと警告した。他の証人たちは、トランプ政権下で連邦政府が医療および医療サイバーセキュリティへの支援を全体的に縮小していると批判した。
一部の証人は、農村部や地域の病院の資金状況がすでに厳しく、共和党による数千億ドル規模のメディケイドやその他の医療プログラムの削減に加え、連邦政府全体で12億3,000万ドルのサイバーセキュリティ予算削減が実施されれば、状況はさらに悪化するだろうと指摘した。
非営利の政府監視団体「パブリック・シチズン」の共同代表であるロバート・ワイスマン氏は、メディケイドやその他のプログラムへの削減は「サイバーセキュリティに余力のない農村部やその他の機関に圧力をかけることになる」と述べた。
オハイオ州フィッシャー・タイタス医療センターの最高情報責任者であるリンダ・スティーブンソン氏によれば、医療予算が引き締められると、サイバーやIT関連が最初に優先順位から外されることが多いという。
小規模な医療提供者の大多数はすでに赤字で運営しており、スティーブンソン氏(同センターの最高情報セキュリティ責任者も兼任)は、多くの組織が基本的なサイバーセキュリティ要員を雇用する資金すらなく、雇用できたとしても競争力のある給与を提供できないと述べた。
「私たちは、全国のはるかに大きく、より資源の豊富な組織と人材獲得で競争しています」と彼女は語った。「病院が支払い水準の停滞による予算制約に直面すると、支出の優先順位を変更せざるを得なくなり、限られた資源を即時の運営ニーズに振り向け、サイバーセキュリティのような長期的な支出から遠ざけることになるのです。」
アメリカ病院協会のような他の団体も、これらの削減は「病院や医療システムの無償診療を増加させ、すべての患者へのサービス提供能力に影響を与える」と述べ、病院が人員や他の重要なサービスを極限まで削減せざるを得なくなると警告している。
医療分野への予算削減に加え、一部の証人は、国土安全保障省と産業界の間で機密性の高いセキュリティ問題やその他のトピックについて調整する役割を果たしていた「重要インフラ・パートナーシップ諮問委員会(CIPAC)」のような連邦機関の復活を議員に懇願した。この委員会は、トランプ政権が発足直後に多くのDHS諮問機関とともに即座に廃止したものの一つである。
ヘルスケア・公衆衛生分野調整評議会の事務局長であるグレッグ・ガルシア氏は、トランプ政権によるCIPACの解散決定について「私たちには理解しがたい理由で」行われたと述べ、その結果、連邦政府の関係者が医療提供者がサイバー空間の悪意ある行為者にどう対抗するかという多くの議論から排除されてしまったと語った。
「私たちは医療システムの民間所有者・運営者であり、その安全性とレジリエンスを確保する責任がありますが、政府も私たちと同席すべきです」とガルシア氏は述べ、「CIPACまたはその改訂版が速やかに復活することを望みます」と付け加えた。
医療業界は昨年のチェンジ・ヘルスケアのハッキングの余波に今も対処し続けている。このハッキングは医療史上最大規模で、最終的に1億9,000万人以上の個人データに影響を及ぼし、医療費の支払い遅延や全米でのサービス中断を引き起こした。
このハッキングが示したことの一つは、チェンジ・ヘルスケアのような大規模ITおよび請求プロバイダーが医療分野で広く依存されており、その障害が病院や医療提供者に広範な波及効果をもたらすこと、そして同様の企業がどれほど多くの種類の医療データを収集・処理しているかという点である。
マギー・ハッサン上院議員(民主党、ニューハンプシャー州)は、ハッキング被害者の中には、チェンジ・ヘルスケアから自分のデータが影響を受けたと知らされたのが事件発生から1年後だった人もいると指摘した。
ガルシア氏は、なぜ同社が一部の被害者への通知をそこまで遅らせたのかについては把握していなかったが、彼や他の複数の証人は、病院が依存せざるを得ないサードパーティプロバイダーの複雑な構成こそが、誰のデータがハッキングで流出したかを特定するのが極めて困難な主な理由だと指摘した。
最終的にガルシア氏は、自身の組織が医療分野全体のマッピングに取り組んでおり、「チェンジ・ヘルスケアのように、深刻な障害が発生した場合に分野全体に影響を及ぼしうる他の重要なサービスやユーティリティがどこにあるのかを特定しようとしている」と述べた。ガルシア氏のアイデアは、バイデン政権下のサイバーセキュリティ・インフラセキュリティ庁による過去の取り組みや、元下院議員ジョン・カトコ氏(共和党、ニューヨーク州)が推進した「システム的に重要な」重要インフラを特定し、連邦支援の優先対象とする法案と一致している。
翻訳元: https://cyberscoop.com/health-care-cybersecurity-big-beautiful-bill-cuts-congress/