遠隔患者モニタリング(RPM)企業向けのサイバーセキュリティおよびプライバシーコンプライアンスに関する新たなガイダンスが公開されました。米国国立標準技術研究所(NIST)傘下の国立サイバーセキュリティ卓越センター(NCCoE)は、 遠隔医療における遠隔患者モニタリング・エコシステムのセキュリティ確保」を発表しました。この実践ガイドは、医療機関およびRPMソフトウェア開発者に対し、サイバーセキュリティとプライバシー管理策を実施するためのモデルアーキテクチャと、RPMエコシステム保護における課題解決策を提供します。本ガイダンスは現在草案段階であり、NISTは2020年12月18日まで一般からの意見を募集しています。
遠隔患者モニタリング(RPM)サービスは、その利便性、患者と医療提供者にとって費用対効果の高い選択肢、そして医療保険、メディケア、メディケイドによるRPM報酬の継続的な拡大により、人気が高まり続けています。従来、ほとんどのRPMソリューションは、病院や医療施設など、管理されたサイバーリスク回避環境で導入されていました。 しかしクラウドサービス、ネットワーク・無線技術、生体認証デバイスの進歩により、RPMソリューションは臨床チームが患者の自宅に直接アクセスする新たな手段を提供し、時にはDTC(消費者向け)の完全オンラインサービスモデルも実現しています。RPM事業者がHIPAA(医療保険の携行性と責任に関する法律)の対象外であっても、こうした新たなヘルステックサービスモデルは異なるサイバーセキュリティ・プライバシーリスクを伴います。責任あるRPMソフトウェア開発者や技術を活用したサービス提供者は、RPMソリューションを展開する際にサイバーセキュリティを理解し、考慮に入れる必要があります。
RPMサービスおよびソフトウェアにおけるサイバーセキュリティとプライバシーの重要性
遠隔患者モニタリング(RPM)ソリューションの導入には通常、複数の関係者、場所、生体認証デバイスの配備が伴い、これらすべてが医療提供者と患者双方に対するサイバーセキュリティおよびプライバシーリスクの増大要因となる。NCCoEは、臨床チームが在宅患者に提供するRPMソリューションを模擬した試験環境を構築した。この模擬RPMソリューションは、患者と臨床チーム間のクラウドサービスおよび音声・映像会議機能を統合した遠隔医療プラットフォームプロバイダーによって提供され、市販のサイバーセキュリティ技術を用いて実装された。 患者には、生体計測生理データと患者・遠隔臨床チーム間の通信を自動取得・送信するRPMデバイスが提供された。NCCoEはNIST SP 800-37改訂版2「情報システム及び組織のためのリスク管理フレームワーク」に基づきリスク評価を実施し、これがガイドライン草案の基礎となった。
新ガイドラインの主要要素
NCCoEガイドは、RPM起業家およびソフトウェア開発者がサイバーセキュリティとプライバシーの管理策およびポリシーを実装するための文書化されたアプローチを提供します。HIPAAセキュリティ規則など、企業が対応すべき業界固有の基準やベストプラクティスをマッピングしており、例えば以下のような内容を含みます:
- リスクに対する組織的な認識の醸成を支援する管理策および方針の特定と実施。
- 患者と組織間のエンドツーエンドのデータセキュリティを確保するための適切な保護措置を実施する。
- 適切なセキュリティ制御(すなわちセキュリティインシデントイベント管理ツール)による異常およびセキュリティイベントの検知、ならびにセキュリティの継続的監視の実施。
- セキュリティインシデントの影響を封じ込めるため、セキュリティイベントや脆弱性への対応および軽減を行う。
- サイバーセキュリティインシデント発生後の復旧および通常業務の再開。
最終的に、NCCoEガイダンスは、遠隔医療企業およびプロバイダーがサイバーセキュリティとプライバシー対策において従うべきロードマップとベストプラクティスを提供します。あらゆる技術ソリューションと同様に、組織や運用が示す固有の特性、設定、差異を考慮したエンドツーエンドのリスク評価を実施すべきです。当社は、遠隔医療およびデジタルヘルス業界におけるサイバーセキュリティとプライバシー問題に関する規則変更やガイダンスを引き続き注視していきます。
遠隔医療、遠隔ヘルスケア、バーチャルケア、遠隔患者モニタリング、デジタルヘルス、その他の医療イノベーションに関する詳細情報(チーム、出版物、代表的な実績を含む)については、Foleyの遠隔医療・デジタルヘルス産業チームをご覧ください。
