出典:World Images(Alamy Stock Photo経由)
医療保険の携行性と責任に関する法律(HIPAA)セキュリティ規則の改正案に対するパブリックコメント期間に業界団体が意見を寄せる中、反対の動きが強まっている。
2025年1月、米国保健福祉省(HHS)はHIPAAの改定案を発表した。医療分野を狙った被害の大きい攻撃やデータ侵害が激化する中で、サイバーセキュリティを強化することが目的だ。HIPAAセキュリティ規則は電子的保護対象保健情報に適用され、パッチ管理、資産管理要件、コンプライアンス監査、ならびに多要素(MFA)認証やネットワークセグメンテーションといったセキュリティ制御など、多岐にわたる懸念事項を扱う。
HHSはパブリックコメント提出の締め切りを3月7日とし、各組織は遠慮なく意見を述べた。多くの懸念は規則を実装する実務上の実現可能性に関するもので、時間的制約や、そもそも期待される水準が現実的なのかどうかが指摘された。
CHIME、セキュリティ規則の「即時撤回」を要求
最新の反対意見は、全米の医療関連100組織から出ている。医療情報管理エグゼクティブ協会(CHIME)が主導した連名書簡では、改定案の大きな障壁として「新たな財政的負担」と「不合理な実装期限」を挙げ、当該規則は「これ以上の検討を行うことなく直ちに撤回されるべきだ」とした。
先週の書簡は、CHIMEおよび署名団体(イェール・ニューヘイブン・ヘルス・システムや米国医師会を含む)が、医療分野のサイバーセキュリティ基準の見直しが不要だと考えていることを意味するものではない。彼らはHHSに対し、規則変更の影響を受ける自分たちや他の関係者と協力し、より現実的な基準を策定するよう求めた。
CHIMEの連邦政府渉外担当ディレクター、チェルシー・アルノン氏によれば、大きな懸念点の一つはコンプライアンス期限だ。現行の提案では、規則変更への準拠期限は公表から60日後となる。規制対象の事業体は、適用される新たな基準または実装仕様に、施行日から遅くとも180日以内に準拠しなければならない、とアルノン氏は述べる。
実装上の課題は山積み
専門家によれば、コンプライアンス期限は提案の多くの側面と同様に、HHSの期待と医療分野におけるサイバーセキュリティの実態との乖離を浮き彫りにしている。例えば医療機関は、24時間体制で患者ケアを提供する必要があるという単純な理由から、多くの更新作業が要求する停止時間を許容できない。
「コンプライアンス期限は、さまざまな理由で問題です。HHSがMFAの展開は1時間半でできると見積もっていることも含まれます」とアルノン氏はDark Readingに語る。「病院では、MFAはあらゆる臨床ワークフロー、あらゆるアプリケーション、あらゆるワークステーションに影響し、臨床医が患者を診続けられるようアクセスのパターンを再設計する必要があります。こうしたプロジェクトは数カ月かかり、数時間ではありません」。
同様のことは、規定されたネットワークセグメンテーションの更新にも当てはまる。現状ではHHSは作業が4時間半で完了すると見積もっているが、CHIME加盟組織のCISOは、セグメンテーションには「数週間から数カ月に及ぶアーキテクチャの再設計、ファイアウォールポリシー、テスト、臨床システム全体での調整」が必要だと述べている、とアルノン氏は付け加える。
課題は続く
業務委託先契約(BAA:Business Associate Agreements)は、事態をさらに複雑にする。更新が正式になれば従来の規則の多くは適用されなくなり、医療機関と業務委託先の間で協議が必要になる。例えば、医療機器に対する新たなパッチ適用要件への対応などだ。
「何千ものBAAを改定するなんて……どこから手を付ければいいのか分かりません」とアルノン氏は言う。「最もリソースが潤沢な病院でさえ、彼らが提案している内容に準拠するためにそれらの契約を交渉するには、少なくとも1年はかかるでしょう」。
アルノン氏は、CHIMEと加盟組織は医療分野のサイバーセキュリティ強化を全面的に支持していると強調しつつ、提案されているHIPAAセキュリティ規則の更新は「過度に規定的で、今日の病院運営の実態と技術的に整合していない」と述べた。患者の安全を守るため、HHSは現場と連携して、現代的で実行可能なアプローチとなるよう作り直すべきだと彼女は勧める。
「医療提供者はすでにこれらの保護策の多くを実装していますが、提案どおりの規則は、相応のセキュリティ上の利益をもたらさないまま、重大なコストと運用負担を課すことになります」とアルノン氏は警告する。
サイバーセキュリティの更新は必要か?
HIPAAが最後に更新されたのは2013年だ。そして脅威環境は少し違っていた――いや、大きく違っていた。MindのCEOであるエラン・バラク氏によれば、HHSは医療分野全体でのランサムウェアの大幅な増加、大規模なデータ侵害、運用の混乱の増加に対応している。
Change Healthcareに対するランサムウェア攻撃は、その代表例だ。米国史上最大級のデータ侵害の一つとなり、1億9,000万人に影響を与えた。さらに、患者ケア、請求処理、医薬品サービスにおける広範かつ長期の混乱も発生した。
「更新の意図は良いものですが、規制上の義務の変更は、厳しいタイムラインや、どのように準拠を達成するかの理解不足により、通常は反発に直面します」とバラク氏は言う。
提案されている更新の方向性は正しいものの、実行は困難になるだろうと彼は付け加える。その理由として、医療環境がいかに複雑で相互に連結しているかを挙げた。加えて、医療機関は患者の安全と稼働率(アップタイム)の要件に縛られている。実装上の課題は、特に不可避となる中断をめぐって、さらに積み重なっていく。より憂慮すべきは、それが患者ケアに影響するのか、そしてどの程度なのかという点だ。
「特にレガシーシステムやサードパーティプラットフォームにまたがって、短い期限で規定的な制御を適用するのは、多くの組織にとって大きな混乱なしには現実的ではないでしょう」とバラク氏は明かす。
強固なセキュリティと現実的な期待のバランスは取れるのか?
レガシーシステムに加え、医療機関は患者の診断や治療といった極めて機微な情報を保有している。だからこそ脅威アクターはますますこの分野に引き寄せられている。とりわけ、公開データ漏えいサイトでその情報を暴露すると脅すランサムウェア集団がそうだ。バラク氏は、データセキュリティにおける主要な露出ポイントとして、非構造化データ、サードパーティとのデータ共有、そしてIDとアクセスのスプロール(拡散)を挙げる。エージェント型AIの普及と可視性の限定は、課題をさらに増大させるだけだ。
「ランサムウェアと復旧のギャップが加わると、サイバーセキュリティはすぐに、単なるデータの問題ではなく患者ケアの問題になります」と彼は付け加える。
サイバーセキュリティ基準は改善しなければならないが、提案されているセキュリティ規則の更新も同様だ。そして、いくつかの解決策があるかもしれない。
CHIMEは別のブログ記事で、2025年医療サイバーセキュリティおよびレジリエンス法(Health Care Cybersecurity and Resilience Act of 2025)が、より現実的なアプローチを提供する可能性があると述べた。同法案にはセキュリティ規則と同様のサイバーセキュリティ条項が多く含まれるが、病院、がんセンター、地方の保健クリニックを支援するための助成金と義務付けを組み合わせている点で、より実務的だとCHIMEは述べている。提案どおりのセキュリティ規則に対する主要な批判は財政的負担であり、とりわけ多くの病院がリソース不足に直面していることが背景にある。
バラク氏によれば、セキュリティ規則を改定するなら、段階的で真にリスクベースのものにして、より管理しやすくすべきだという。最もリスクを減らす制御をまず優先し、臨床システムが技術的選択肢を制限する場合には柔軟性を認め、明確な実装ガイダンスを提供することを彼は推奨する。
「強固なセキュリティは、医療が実際にどのように運用されているかに適合しているときに最も効果を発揮します」と彼は言う。
翻訳元: https://www.darkreading.com/cyber-risk/industry-oppose-hipaa-security-rule-overhaul
