医療セクターコーディネーション委員会(HSCC)サイバーセキュリティワーキンググループは、サードパーティAIおよびAI関連サプライチェーンリスク管理に関するガイダンス文書を医療機関向けに発行しました。医療機関は、電子健康記録に埋め込まれた自然言語処理エンジンやAI搭載の遠隔監視デバイスなど、AI駆動型のサードパーティツールおよびサービスへの依存を急速に高めています。これらの製品は医療機関に重要な機能を提供していますが、従来のリスク管理ツールおよびモデルでは対応が難しい複雑なサイバーセキュリティの課題をもたらしています。
AIツールはセキュリティ態勢、ガバナンス慣行、およびモデル完全性の検証が困難なサードパーティベンダーによって提供されるため、リスク管理は困難になる可能性があります。さらに、医療機関は、サードパーティの製品およびサービスに組み込まれたAIコンポーネントの全体的な範囲についての可視性を欠くことが多く、これらはしばしば下請業者、オフショア開発、およびオープンソース資産を含む階層化されたサプライチェーンを通じて調達されていると、HSCC共同リードのEd Gaudet(Censinet)およびSamantha Jacques(McLaren Health)が説明しています。
HSCCサイバーセキュリティワーキンググループは、医療機関がサードパーティAIサプライチェーンリスクを理解および管理するための支援として、109ページのガイド「医療業界サードパーティAIリスクおよびサプライチェーン透明性ガイド」を開発しました。このガイドは、NISTアイリスク管理フレームワークおよび共同HSCC-HHS医療業界サイバーセキュリティプラクティス(HICP)などの確立されたサイバーセキュリティフレームワークから引き出され、医療のAIサプライチェーンの現代的現実を反映するようにサイバーセキュリティのベストプラクティスを適応させています。このガイドは、AI導入レベルに関係なく、あらゆる規模の組織のニーズに対応するために開発されています。組織はガイド全体に従うことも、自分の組織に適した部分を採用することもできます。このガイドは、説明責任の期待を定義し、拡張されたAIエコシステム全体にわたってパフォーマンス標準を推進するのに役立ちます。
このガイドは、リスク管理者、コンプライアンスチーム、および調達担当者に、隠れた依存関係やカスケード障害ポイントなどのAI固有のリスクを特定および管理し、AIサプライチェーンリスク管理を極めて困難にする発見および開示プロセスの拡大するギャップに対処するためのスケーラブルツールを提供しています。HSCCは医療機関に、このガイダンスをシニアビジネスおよび技術リーダーとそのチームに配布し、ガイドのベストプラクティスを組み込み、サードパーティおよびサプライチェーンリスク管理慣行をドキュメント内で概説されているベストプラクティスに対して評価することを推奨しています。ガイドに加えて、HSCCは医療セクター向けの人工知能用語の一貫したガバナンス対応定義を確立するための継続的なAI Cyber用語集参考文書を発行しています。AI Cyber用語集は、現在および将来のすべてのHSCC AIタスクグループガイダンス資料の用語的基礎として機能することを目的としています。
