超党派の上院議員グループが、規制やガイドラインの更新、補助金の権限付与、トレーニングの提供、連邦機関の役割の明確化を行う法案を復活させることで、医療分野のサイバーセキュリティに取り組もうとしている。
これは、これまで議会が包括的な変更を実施してこなかったサイバーセキュリティ分野の一部である。保健・教育・労働・年金委員会委員長のビル・キャシディ上院議員(共和党・ルイジアナ州)と、党派を超えた同僚議員らによる、2023年の超党派医療サイバーセキュリティ作業部会から生まれた復活版の「医療サイバーセキュリティおよびレジリエンス法(Health Care Cybersecurity and Resiliency Act)」が、その取り組みの中心となっている。
キャシディ議員と共同提案者であるマーク・ワーナー議員(民主党・バージニア州)、マギー・ハッサン議員(民主党・ニューハンプシャー州)、ジョン・コーニン議員(共和党・テキサス州)は、昨年11月下旬、2025年初頭の議会閉会までに行動を起こすには時間がほとんど残されていない中で、初めてこの法案を提出した。
「医療分野におけるサイバー攻撃は、個人の医療情報の流出から救急外来での診療の中断に至るまで、極めて深刻で多岐にわたる影響を及ぼす可能性があります。特に、予防や対応のためのリソースが限られている農村地域の医療提供者にとっては、こうした攻撃への対処は非常に困難です」と、ハッサン議員は木曜日のニュースリリースで述べた。
この法案は、保健福祉省(HHS)とサイバーセキュリティ・インフラセキュリティ庁(CISA)との連携強化を目指しており、その一環として、HHSに対し、CISAの州コーディネーターと協力して医療機関の所有者・運営者にトレーニングを提供するよう指示するなどの措置が盛り込まれている。
また、HHSの責務を明確化するとともに、サイバーセキュリティインシデント対応計画の策定を指示するなど、追加の責任も与える。さらに、医療IDに現代的なサイバーセキュリティ手法を用いるよう、医療保険の相互運用性と説明責任に関する法律(HIPAA)の規則をHHSに更新させることや、農村部の診療所向けに情報漏えい防止に関するガイダンスを発出させることも求めている。
加えて、HHS内において、大学病院やがんセンターなど特定の医療機関を対象とした5年間の補助金プログラムを認可しているが、その金額については明記していない。
これらの目標の一部は、他の医療分野の条項や、サイバーセキュリティ関連法案と類似しているが、それらはまだ法律にはなっていない。そうした法案の一部は、連邦規制当局にこれまでで最大規模の医療データ侵害として報告されたChange Healthcare社へのランサムウェア攻撃を受けて浮上したものである。
「患者は、自身の機微な医療データがオンライン上で保管される際、それがサイバーセキュリティ侵害やランサムウェア攻撃から保護され、守られているという絶対的な信頼を持てるべきです」と、コーニン議員は述べた。
