監査担当者は、米国保健福祉省(HHS)が多数の部局にまたがるガバナンスと統制を標準化することでサイバー脅威への対応能力を強化すべきであり、さらに多数の請負業者と、彼らが持ち込むリスクをより適切に監督すべきだと述べた。
部局やプログラムごとに統制が異なる断片的なサイバーセキュリティの取り組みは、「サイバーセキュリティリスクを防止または対応するためのHHSの備えの取り組みを複雑化させる」と、HHS監察総監室(OIG)は今週公表した2本の新たな報告書のうちの1本で記した。
監査担当者は改善点を指摘しつつも、サイバーセキュリティ機能の統合に向けた取り組みは「依然として各部局およびプログラムに依存していることが多い」と述べた。
さらに、膨大な数の請負業者やその他の第三者ベンダーがもたらす第三者リスクが、状況をいっそう複雑にしている。「サイバーセキュリティのソリューションは、部門内だけでなく、何千ものHHSの請負業者、助成金受領者、その他の外部組織によっても実装されなければならない」と監査担当者は記した。
監査担当者はまた、今週議会に提出した半期報告書において、サイバーセキュリティのリスク管理を最優先事項の一つとして挙げた。サイバー攻撃が成功すれば、部門の業務運営が危機にさらされるだけでなく、HHSが支援する個人の健康と福祉が損なわれる可能性もある。
部門のサイバーセキュリティ改善は長年の懸念事項である。「HHSは、同省が使命を遂行するうえで不可欠なデータと技術をどのように利用しているかに関連する課題を悪化させる、継続的なサイバーセキュリティ脅威に直面している」と監査担当者は、2025年11月の報告書で強調した(参照:監察総監、NIHゲノミクス・プロジェクトのセキュリティギャップを指摘)。
監査担当者は、HHSにおけるサイバーセキュリティの現状は、必ずしも同省だけの責任ではないと述べている。「業界がレガシー技術に依存していることや人材面の課題など、同省が対処する権限や資源が限られている課題が依然として残っている。」
サイバーセキュリティやデータプライバシーに関する時代遅れの規制も、状況の改善には寄与していない。
監査担当者は、「数十年前に制定されたHIPAAプライバシー規則およびHIPAAセキュリティ規則を執行するHHSの能力は、健康情報を保護するという現代のプライバシー上の懸念や、電子的に保護されるべき健康情報のセキュリティに対するリスク増大に対処するには不十分である可能性がある」と記した。
「1996年にHIPAAによって定められた法的権限の枠内で、HHSはプライバシーとセキュリティのニーズが進化するにつれて適応しなければならない。」
同省の公民権局(OCR)は、バイデン政権末期に、20年の歴史を持つHIPAAセキュリティ規則の抜本的見直し案を公表し、同様に第1次トランプ政権末期には、約30年の歴史を持つHIPAAプライバシー規則の改正案を公表した。
両提案はいずれもHHSの現在の規制アジェンダに残っているが、OCRはこれまで、いずれの規則の最終化をどのように進める計画なのかを公に明らかにしていない(参照:健康データのプライバシー、サイバー規制:2026年に注目すべき点)。
HHSの広報担当者は、同省はOIG報告書で取り上げられた多くの課題にすでに対処していると述べた。
「HHSは、部門および米国民へのサービス向上のため、ITおよびサイバーセキュリティシステムを合理化しており、時代遅れのバイデン時代のシステムを近代化することで、HHS全体のセキュリティ、効率性、説明責任を改善している」と同担当者は述べた。
翻訳元: https://www.databreachtoday.com/hhs-watchdog-urges-cyber-governance-overhaul-a-30588
