Hospital

米国保健社会福祉省(HHS)は、1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)の更新を提案した。

HHSの市民権局(OCR)が提案し、60日以内に最終規則として公表される見込みのこのより厳格なサイバーセキュリティ規則は、医療機関に対し、保護されるべき医療情報(PHI)の暗号化、多要素認証の導入、攻撃者がネットワークを横方向に移動しにくくするためのネットワークのセグメント化を義務付けるものである。

「HHSの提案によると、「近年、同省に報告された500人以上の個人に影響を及ぼす情報漏えいの件数、そのような情報漏えいの影響を受けた個人の総数、ハッキングやランサムウェアを使用したサイバー攻撃の横行が憂慮すべきほど増加している。

「当省は、規制対象事業体が経験する侵害やその他のサイバーセキュリティインシデントの件数が増加していることを懸念しています。また、このようなインシデントによって影響を受ける個人の数が増加傾向にあること、そしてこのようなインシデントによる潜在的な被害の大きさについても、ますます懸念している。

ロイター通信によると、ホワイトハウスのサイバー・新興技術担当副国家安全保障顧問アン・ノイバーガー氏も記者団に対し、HIPAAのサイバーセキュリティ規則の更新は、近年病院やアメリカ人に影響を及ぼしているランサムウェア攻撃や大規模な情報漏えいに促されたものだと語った。

ニューバーガー氏は、これらの規則の実施には、初年度におよそ90億ドル、その後の4年間で60億ドル以上の費用がかかると付け加えた。

「HIPAAの)セキュリティ・ルールは2003年に初めて発表され、最後に改訂されたのが2013年なので、この20年間のルールの更新は10年以上ぶりとなる。

「行動しないことの代償は大きいだけでなく、重要なインフラや患者の安全を危険にさらし、他の有害な結果をもたらす。

最近では、米国最大の民間医療システムの1つであるAscensionが、5月のBlack Bastaランサムウェア攻撃で個人データと健康データが盗まれたことを約560万人に通知した

サイバー攻撃後、患者の電子記録にアクセスできなくなったため、アセンションの職員は投薬や処置の記録を紙で管理することを余儀なくされた。また、トリアージの遅れを防ぐため、一部の機器をオフラインにし、救急医療サービスを他の医療ユニットに回さなければならなかった。