米国保健福祉省(HHS)監察総監室(OIG)は、同省のプログラムの有効性と効率性の向上を支援するため、年次報告書である「HHSが直面するトップ・マネジメントおよび業績上の課題」 を公表しました。同報告書は、標準化されたガバナンスや統制の欠如など、HHSが直面するサイバーセキュリティ上の課題の一部を取り上げており、これがサイバーセキュリティ脅威の予防および対応に向けたHHSの備えの取り組みを複雑化させているとしています。
HHSは大規模な省庁であり、各部局やプログラムごとにサイバーセキュリティへの取り組み方が異なります。同省はサイバーセキュリティ機能の統合や改善に向けた措置を講じてきたものの、HHS-OIGによれば、全体としての進捗は依然として各部局・各プログラムに左右されることが多いといいます。さらにHHSには、数千にのぼる請負業者、助成金受給者、その他の外部組織が存在します。サイバーセキュリティ対策はHHS内部だけでなく、各請負業者、助成金受給者、外部組織でも実装されなければなりません。そのためサイバーセキュリティ改善はとりわけ困難となり、HHSがサイバーセキュリティ脅威を軽減できるかどうかは、そうした組織が自らの業務に即したサイバーセキュリティ対策を実装することに依存する場合が多いのです。HHS-OIGは「技術とデータを保護するには、技術的な修正の実装にとどまらない、より広範な取り組みが必要である。例えば、明確な期待値の設定、プログラム規則の近代化、そして省の請負業者、助成金受給者、その他外部組織に対する効果的な監督の実施である」と述べました。
医療分野は依然としてサイバー攻撃者にとって主要な標的です。金銭目的の脅威アクターが身代金支払いを引き出すためのてことしてデータを暗号化し、盗み出すことで、ランサムウェア攻撃は引き続き多数発生しています。サイバー攻撃は高度化し続け、絶えず進化しており、HHSは迅速に対応し、悪用されている脆弱性について当該分野に警告を発し、進化する脅威に備えるための支援を行える必要があります。
HHSは分野全体のサイバーセキュリティ向上と脅威対応において重要な役割を担っていますが、HHSにおけるサイバーセキュリティ権限と責任が分散していることが、HHSの対応努力を複雑化させています。HHSが医療・公衆衛生分野全体のサイバーセキュリティを改善するために使える資源は限られており、例えば当該分野がレガシー技術に依存していることや人材面の課題などがあります。さらに、プライバシーとセキュリティは20年以上前のHIPAAによって規律されています。HHS-OIGは、HIPAAプライバシー規則およびHIPAAセキュリティ規則では、現代のプライバシー上の懸念や、電子的保護対象保健情報に対するサイバーセキュリティリスクの増大に十分対応できない可能性があると警告しました。そのためHHS-OIGは、プライバシーとセキュリティのニーズが進化するにつれて、HHSも適応しなければならないと述べています。
この点では追加的な規制が役立つ可能性がありますが、HHSはHIPAA規則の更新を実施するのが遅れてきました。プライバシー規則の更新は、前回のトランプ政権下の2020年末にHHSが提案したものの、提案から5年以上が経過した現在も最終規則は公表されていません。この更新は依然としてHHSの議題に残っているものの、最終規則がいつ公表されるかについての示唆はありません。分野全体のサイバーセキュリティを強化するため、HIPAAセキュリティ規則を近代化する大規模な更新は、バイデン政権末期に提案されました。分野全体のサイバーセキュリティ改善は喫緊の課題である一方、トランプ政権下のHHSが提案規則を実施する計画があるのかどうかは、現時点では不明です。
HHS-OIGは、HHSが報告書で取り上げた課題に対処するための行動を取ってきたとしつつも、さらなる進展の余地は大きいと述べました。また、HIPAA規則が更新されるまでの間、HHSは1996年にHIPAAで確立された法定権限、2000年のHIPAAプライバシー規則、2003年のHIPAAセキュリティ規則の枠内で引き続き取り組まなければならないとしています。
翻訳元: https://www.hipaajournal.com/hhs-oig-report-highlights-key-hhs-cybersecurity-challenges/
