メイン州下院は、メイン州の病院でのサイバー攻撃を防ぎ、サイバー侵入後のケアの継続性を確保するためにサイバーセキュリティを強化することを目指す法案を、全会一致で承認する投票を行いました。この法案は今後数日以内に下院と上院でさらなる投票に直面しています。
この法案はルイストン選出のジュリー・マッケイブ下院議員(民主党)によって提案されました。彼女は保健人事委員会のメンバーです。この提案は、昨年メイン州の5つの病院に影響を与えた2つのサイバー攻撃の後のことです。ルイストンのコベナント・ヘルスのセント・メアリーズ病院、バンゴルのセント・ジョセフ病院、ルイストン、ブリッジトン、ラムフォードのセントラル・メイン・メディカル・センターの病院です。コベナント・ヘルスのランサムウェア攻撃だけで478,188人に影響を与えました。そしてセントラル・メイン・メディカル・センターへのサイバー攻撃とともに、州民の約3分の1が影響を受けました。
これらのサイバー攻撃は患者ケアに悪影響を与え、基本的な通信サービスを麻痺させ、病院のプロトコルの深刻な故障を露呈させ、予防ケアとがん治療を含む、数週間続く患者ケアへの大きな混乱を引き起こしました。「サイバー攻撃は、すでに脆弱な医療システムに深刻なリスクをもたらします」とマッケイブは述べました。「メイン州の病院がいかにサイバー攻撃の影響を受け、患者が絶望的な状況に陥るかをすでに目撃しました。この法律は、病院がこのようなインシデントに対処する準備ができていることを保証し、患者のニーズに迅速かつ効果的に対応し、機密情報を保護するのに役立つでしょう。」
この法案 – LD 2103 – は、病院がサイバーセキュリティインシデントを防止および対応するための措置を採択することを要求し、患者、来訪者、従業員を攻撃的および暴力的な行為から保護するための職場安全措置を要求する規定も含んでいます。職業安全衛生管理局(OSHA)によると、医療労働者は他のすべての業種の従業員よりも暴力による負傷を受ける可能性が4~5倍高いです。この法案は、病院が暴力のインシデントと脅迫を受け取り、記録するためのプロセスを整備することを要求し、病院の代表者または従業員が報告をする者への干渉を禁止しています。
すべての病院は、米国国土安全保障省(DHS)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、商務省、国立標準技術研究所(NIST)、およびヘルスケア・公衆衛生部門調整委員会(HSCC)によって確立されたサイバーセキュリティのベストプラクティスと一致するサイバーセキュリティ計画を有することが必要になります。
サイバーセキュリティ計画はHIPAAと一致していなければならず、少なくとも年1回見直されなければなりません。最低限、この計画には、サイバーセキュリティ侵入に関する法執行機関、州の規制当局、患者、および従業員への適切な通知を確保する規定を含める必要があります。すべての病院は、サイバーセキュリティ侵入によるホスピタルコンピュータシステムの中断が発生した場合に患者のケアの継続性を確保するための代替通信応答規定を有する必要があります。これには、医療へのアクセスに課題を経験する患者のための準拠プロセス、緊急症状に関する苦情を提出してから48時間以内に患者をトリアージするシステム、および処方箋関連の苦情の適切な管理が含まれます。
コンピュータシステムの中断が発生した場合にすべてのホスピタルサービスのトリアージを確保するための規定があります。これには、ホスピタルサービスを迂回するための手順と、サイバーセキュリティインシデントによる中断時に患者のケアの継続性を容易にするための他の病院との書面による契約が含まれます。病院は、病院職員が疑われる、または既知のセキュリティインシデントを報告する方法を文書化した書面によるセキュリティインシデント対応計画を有する必要があります。これには、病院が臨床的にどのように対応するか、および内部および外部通信の規定が含まれます。病院は、手動で記録されたすべての医療情報が適切な時間内に電子医療記録に組み込まれることを確保するためのシステムも有する必要があります。
病院職員および理事会メンバーのサイバーセキュリティトレーニングは少なくとも年1回必須であり、インシデント対応およびダウンタイム手順は少なくとも年1回、必要に応じて見直し、テスト、更新する必要があります。さらに、サイバーセキュリティインシデント後、病院は対応を見直し、将来のサイバーセキュリティインシデントに対応するための手順を改善するための措置を講じることが必要です。
翻訳元: https://www.hipaajournal.com/maine-house-bill-strengthen-cybersecurity-maine-hospitals/
