サイバーセキュリティ脆弱性に対する
取り組みについて
Elekta サイバーセキュリティに対する責任
今日の相互接続されたデジタルヘルスケアエコシステムにおいては、患者の安全とデータ保護のために最高のサイバーセキュリティ基準が重要です。Elektaは、医療機器のサイバーセキュリティを推進し、患者、個人、およびビジネスデータの保護を維持する責任を担っています。本目標を支えるために、業界の成功事例と規制指導を組み込んだElekta Product Cybersecurity Framework(EPCF)を立ち上げ、製品ライフサイクルのあらゆる段階にセキュリティを統合できるようにしました。Elektaは、いくつかの医療機器サイバーセキュリティ、プライバシーワーキンググループ、ならびにサイバーセキュリティ情報共有組織の活動的なメンバーです。他メンバーや規制当局と協力して、製品の継続的なセキュリティを監視し、セキュリティの脆弱性に責任を持って対処します。
Elekta製品の導入・使用前に、お客様にはElekta製品のセキュリティ書類をご確認いただき、サイバーセキュリティ制御が適切に実装されていることのご確認をお願いしております。
専任のデジタル製品セキュリティチーム
Elektaデジタル製品セキュリティ専門チームは、Elekta製品が意図された用途に対して安全であることを保証することに専念します。Elektaは、新たなサイバーセキュリティの脅威に対し予測・対応しつつ、安全な製品開発にも同時に注力します。同チームは、サイバーセキュリティに関するお客様との透明性と応答性を優先し、製品ライフサイクル全体を通じてサポートを提供します。また、同チームは、デジタル製品のセキュリティに関する深い専門知識を備えており、お客様が安全な運用を継続的に維持できるよう支援します。
データプライバシー
Elektaは、お客様のデータプライバシーについて責任を持ってお守りします。Elektaは、お客様が米国HIPAA法、欧州GDPR法、およびその他のプライバシー法に準拠できるように、プライバシーとセキュリティの原則に合わせてプロセスを設計しています。また、個人データを処理する製品・サービス・ソリューションを企画・設計・販売する際には、データ保護対策の取り込みに努めています。Elektaは、製品ライフサイクル全体に跨り、データプライバシーをお守りすることをお約束します。この実現のために、プライバシー影響評価の社内プロセスの設定、将来的なElektaサプライヤーやその他の外部業者が遵守している枠組みと規約の確認、およびデータプライバシー要件に関する定期的な社員研修を実施します。データプライバシーは、Elekta行動規範の一部且つ、企業方針枠組みの重要な部分です。
製品のセキュリティ情報開示
お客様のサイバーセキュリティリスク管理のニーズをサポートするために、Elektaは医療機器に関連するサイバーセキュリティリスクの評価と対処に役立つ情報を提供します。
Elektaでは、各製品リリースの一端として顧客向けに、製品セキュリティ情報をCustomer Portalにて公開しています。同セキュリティ情報書類には、ソフトウェア、ハードウェア、および製品のオペレーティングシステムに関連するセキュリティ構成に関する情報が含まれています。更に、製品を安全に実装・運用する方法に関するご案内も記載しています。
上記セキュリティ情報に加え、Elektaは、製造業者による医療情報セキュリティ開示書ガイド(MDS²)を使用して、製品に関するセキュリティ情報を提供しています。MDS²は、Medical Imaging and Technology Alliance (MITA)により発行される業界承認の報告書式であり、これにより各メーカーは標準化された形式で製品のセキュリティ情報を顧客に提供できます。MDS²書式には、以下に関連する製品固有のセキュリティ情報が含まれます。
- 個人を特定できる情報の管理
- 監査
- 権限付与
- データバックアップ
- セキュリティアップデート
- マルウェア制御
- 安全な接続
- ハードニング(堅牢化)
- データ整合性
同書式には、製造元からの注記と、様々なセキュリティ枠組みへのマッピングも含まれています。MDS²書式の詳細については、こちらをご覧ください。サポートされている製品のMDS²書式の写しをご所望の際には、Elektaカスタマーサポートまたは営業担当へご連絡ください。
製品セキュリティ報告
Elektaは、セキュリティに関する勧告・報告書を継続的に公開して、修復手順の手引きと共に、Elekta製品およびサービスに関連する潜在的または検証済みのセキュリティ脆弱性についてお客様に通知します。
同セキュリティ報告書は、カスタマーポータルで入手可能です。詳細については、Elekta Care™コミュニティポータルへアクセス、またはカスタマーサポートへお問い合わせください。
サイバーセキュリティインシデント対応
エレクタケアサポートはサイバーセキュリティを真剣に受け止め、サポートされているElekta製品に影響を与えるインシデントからお客様が迅速に回復できるように尽力します。確立されたプロセスに則り、エレクタケアサポートは、解決に至るまでインシデントをお客様と文書化・管理し、必要に応じて将来の保護について改善のための提案を行います。
協調的な脆弱性の公開
Elektaは、がん治療向けに開発・提供する製品の安全性とセキュリティの確保に尽力しており、これに関し、セキュリティ研究者やお客様からの貴重なご協力・ご意見を賜りたく存じます。協調的な脆弱性の公開(CVD)の方針は、製品のセキュリティ脆弱性を報告・処理するためのプロセスを保証するべく策定されています。同方針の一環として、Elektaは現在サポートされているElekta製品・ソリューションの脆弱性報告を随時受け付けています。同方針の詳細は、こちらをご覧ください。
パートナーシップ
Elektaは、ヘルスケアソリューションのプライバシーとセキュリティを向上させるために、ヘルスケア業界の様々な利害関係者間の強力なパートナーシップの重要性を認識しています。Elekta製品セキュリティ・プライバシーチームは、医療業界の組織と緊密に連携して、患者情報とElekta製品の安全を保護します。セキュリティを強化するために、Elektaは次を含むいくつかの組織と提携して、サイバー情報を収集および共有します。
- 欧州放射線医用電子機器産業連合会(COCIR)
- 米国先進医療技術工業会(AdvaMed)
- 米国医療セキュリティ情報共有組織(H-ISAC)
- 米国医療・公衆衛生セクター調整委員会(HSCC)
注:Elekta現行製品のセキュリティ体制は引き続き強化します。サイバーセキュリティの脅威は日々進化しており、本ページの全ての記述があらゆるElekta製品とサービスに適用するわけではございません。