第５５７号コラム：「医療分野の情報共有分析センター、H-ISAC JAPANの設立について」

第５５７号コラム：舟橋 信　理事（株式会社FRONTEO 取締役、株式会社セキュリティ工学研究所 取締役）
題：「医療分野の情報共有分析センター、H-ISAC JAPANの設立について」

本コラムでは、ＩＳＡＣ（Information Sharing and Analysis Center）に関する一般社団法人メディカルＩＴセキュリティフォーラム（以下「ＭＩＴＳＦ」という）の最近の取組をご紹介したい。

ＩＳＡＣのはじまりは、米国の重要インフラ保護に関する １９９８年の大統領令ＰＤＰ６３を基に設立された業界別の会員組織である。ＩＳＡＣは、規制当局との距離は様々であるが、基本的に民間ベースで運営されている。ＩＳＡＣは、会員相互の情報交換、インシデントに対する共同対処、脆弱性・脅威・インシデントに関する情報共有、会員に対する教育などを行っている。現在、ＭＩＴＳＦの会員には、米国Ｈ－ＩＳＡＣ（Health－ISAC）から毎日配布されるインテリジェンス・レポートの一部（情報共有範囲「ＧＲＥＥＮ」）を日本語訳のうえ試験的に配布している。

近年のサイバー攻撃の激化や東京オリンピック・パラリンピックに向けて、重要インフラのサイバーセキュリティ対策の強化が官民において推進されている。

昨年４月には、政府のサイバーセキュリティ戦略本部により「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針（第５版）」が作成された。同指針において「情報セキュリティ対策の運用、導入」の項目の一つとして「分野専門性の高い情報共有活動への参加」がうたわれており、「ＩＳＡＣ等の分野専門性の高い情報共有活動に参加し、その中で収集した情報を日々のリスク対応で活用する。」（同指針１８頁）ことが示されている。

ＭＩＴＳＦは、医療機関・医療従事者に情報セキュリティの重要性を啓発することを目的として２０１３年に設立された団体であるが、これまで医療分野における情報セキュリティに対する課題に関して、セミナーを１３回開催し、また、「医療分野における『データダイオード』の適用に関する提言」や、ＩＤＦとの合同委員会にて「『医療情報システムの安全管理に関するガイドライン』対応のための手引き」を策定するなどの活動を行ってきた。

昨年４月からは、医療機関へのサイバー攻撃の激化に対処するため個別医療機関へのインシデントを各医療機関にフィードバックして啓発を図る必要があること、「官民が連携し、迅速な情報集約・分析、効果的な対策の共有を行う情報連携体制を構築することにより、サイバー攻撃の被害、および被害拡大を防止する」という政府方針の受け皿が必要（改正サイバーセキュリティ基本法に基づく「サイバーセキュリティ協議会」）であることなどから、医療ＩＳＡＣの設立を目的としてＭＩＴＳＦ内に「医療ＩＳＡＣ検討分科会」を設置し、ＩＳＡＣ発祥の地の米国の事例、国内事例（金融ＩＳＡＣ・ＩＣＴ－ＩＳＡＣ）の調査、各方面の意見収集などを行った。この間、ＭＩＴＳＦと米国Ｈ－ＩＳＡＣとの業務提携について合意がなされ、また、国内大手製薬企業で構成する「製薬業界サイバーセキュリティ担当者会議」とも連携も行うこととし、本年２月９日に３者による提携記念セミナーを開催したところである。

現在、関係機関の方々をメンバーとするH-ISAC JAPAN COUNCILの立ち上げを準備中である。

【著作権は、舟橋氏に属します】