健康-ISAC ハッキング ヘルスケア 4 年 14 月 2026 日

今週は、Health-ISAC^®ヘルスケアのハッキング^® 本稿では、新たに公表された大統領予算案と、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）および保健福祉省（HHS）が作成した議会向け予算説明文書を検証する。これらの文書の内容を説明し、それぞれの文書における医療分野のサイバーセキュリティに関する関連事項を検証した後、それらを適切に解釈するための背景情報を提供する。

念のためお知らせしますが、これは Hacking Healthcare ブログの公開バージョンです。さらに詳しい分析と意見については、H-ISAC のメンバーになって、このブログの TLP Amber バージョン (メンバー ポータルで入手可能) を受け取ってください。

PDFバージョン：

テキストバージョン:

Hacking Healthcareへようこそ^® !

トランプ政権の2027会計年度連邦予算要求が医療分野のサイバーセキュリティに及ぼす影響とは

先週、トランプ政権は2027会計年度（FY27）の大統領予算案を公表し、連邦政府の各省庁も関連する議会予算説明資料を公表した。これらの文書は法的拘束力はなく、連邦予算を確定させるものではないが、歳出プロセスにおいて重要な役割を果たし、トランプ政権の政策優先事項と意図を示すものとなる。

大統領予算とは何ですか？

一般的に、大統領予算は年初に議会に提出される文書であり、大統領の政策目標の概要、それらの政策目標を達成するために優先的に取り組むべきプログラム、そして政権がそれらの目標を達成するために必要と判断した予算額を示すものである。トランプ大統領は4月3日に、2027会計年度の92ページに及ぶ新たな予算案を発表した。

議会予算の正当化とは何ですか？

議会予算説明書は、連邦政府の各省庁や機関が、大統領の予算要求を支持または正当化するために作成する文書です。これらの文書には、各機関が要求する予算額、その使途、活動の重要性、そして期待される成果や結果が詳細に記載されています。議会はこの文書を基に、予算要求を精査・検討し、過去の支出と比較検討した上で、予算の承認または変更を決定します。

27年度大統領予算案の内容は？

行政管理予算局（OMB）長官のラッセル・ヴォートは、大統領予算案の冒頭部分を執筆した。これは議会へのメッセージとも言える内容だ。冒頭部分では、「2027年度予算は、非国防費の抑制と連邦政府の改革を継続することで、大統領の構想をさらに発展させるものである」と述べられている。^[I] 彼は続けて、「予算案では、2026年の非国防費水準と比較して10％の削減が提案されている」と述べた後、予算案がいかに国家安全保障上の懸念に重点を置いているかを強調した。

冒頭の説明に続いて、各省庁・機関の概要が示されます。Health-ISACメンバーにとって最も関連性の高いのは、CISAに関するセクションがある国土安全保障省（DHS）と保健福祉省（HHS）です。これらのセクションには、以下の内容が含まれます。

• CISA大統領予算案では、CISAの予算を7億700万ドル削減することが求められている。このセクションの文言は、トランプ政権がCISAの使命と組織を連邦ネットワークの防御、重要インフラの保護と回復力に再編成し、焦点を絞り直そうとする意向を引き続き反映している。このセクションの文言の多くは、昨年版からほぼそのままコピー＆ペーストされたものと思われ、任務の拡大、重複するプログラム、そして機関の政治化を批判している。^[II] [III]
• HHS―保健福祉省（HHS）の予算案では、「111.1億ドルの裁量予算権限を要求しており、これは2026年に成立した予算額から15.8億ドル、つまり12.5％の減少となる」。^[IV] このセクションで提唱されている包括的な政策優先事項は、「アメリカを再び健康にする」（MAHA）です。しかし、Health-ISACのメンバーにとって最も関連性の高い項目は、戦略的準備・対応局（ASPR）への3億5600万ドルの予算削減案でしょう。この削減の大部分は、ASPRがCOVID-19対応に関連する拡大された責任から離れ、本来の業務に回帰するための措置として説明されています。

HHS（保健福祉省）とCISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）に対する予算削減案は、一見すると懸念すべき点があるように見えるものの、大統領予算案は戦略的かつ包括的なものである。予算削減案が関連するサイバーセキュリティおよびレジリエンスプログラムにどのような影響を与えるかを理解するには、各省庁の議会向け説明資料を参照する必要がある。

米国保健福祉省（HHS）とサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の議会予算説明資料には、どのような内容が記載されているのか？

大統領予算がどのように実行されるのかをより明確に理解するには、保健福祉省（HHS）とサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）に関する議会の予算説明資料に、より多くの情報が記載されている。

• CISA—279ページに及ぶCISAの議会予算説明資料は、提案されている700億ドルの予算削減がどこから生じるのかを包括的に解説している。特に重要な政策および予算項目は以下のとおりである。
  • 新たな従業員数は2,865名となる。これはバイデン政権末期の3,732名から減少しており、サイバーセキュリティ部門から206名、統合運用部門から225名、そしてステークホルダーエンゲージメント部門はほぼ全人削減となる。人員削減に伴う予算削減額は約3億6,050万ドルに上る。
  • 国家リスク登録簿の作成に役立てるための分析と計画に5万ドルの増額が計上された。この登録簿は、国家インフラとシステムに対するリスクの特定、特定のリスクシナリオと評価の開発、そしてリスクの結果と発生可能性または妥当性を相互に比較するための視覚的表現を含む報告書での特定のリスクの提示といった継続的な作業を支援するものである。この活動は、トランプ大統領の以前の大統領令で求められていたものである。 州および地方自治体の準備態勢を通じて効率性を実現する.
  • 統合サイバー防衛協力（JCDC）プログラムの予算が9.8万ドル削減された。
  • サイバー脅威の増大に直面する中で、地方の防御体制の強化、連携した対応の指導、復旧活動の支援を行うため、連邦政府が任命する州ベースのサイバーセキュリティ支援要員として活動するCISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）のサイバーセキュリティ州コーディネーターの配置と資金提供を優先する。
  • CISAがセクターリスク管理機関（SRMA）ではないセクター全体にわたる連絡支援を拡大するため、資金と人員をわずかに増額する。これには、CISAがセクターリスク管理機関（SRMA）ではないセクター向けに、新たに8つのセクターリスク管理連絡担当者を配置することが含まれる。
  • 中華人民共和国が政府および重要インフラに及ぼす脅威に対抗するための取り組みを明確に優先する。これには情報共有も含まれる。
• HHS: ASPR62ページに及ぶASPRの議会予算説明資料によると、総額は約3億5500万ドル削減され、残りの予算も再配分される。医療準備・復旧予算は、約3億500万ドルから3000万ドル弱へと大幅に削減され、病院準備プログラム（HPP）協力協定、地域災害医療対応システム協力協定（RDHRS）、外傷ケア活動、医療準備・復旧支援活動・運営、地域緩和・復旧、技術資源・支援センター・情報交換（TRACIE）プログラムに影響が出るとみられる。ただし、サイバーセキュリティ・インフラ保護（CIP）予算は、過去2会計年度から変更されない見込みであると、同資料は述べている。^[V] 同文書では、CIPが2024年後半から2025年後半にかけてトリアージした約2,000件のサイバーセキュリティインシデントを強調し、NIST CSF 2.0および医療・公衆衛生分野のサイバーセキュリティパフォーマンス目標（CPG）に準拠した、2026年にリリース予定のリスク識別・サイト重要度（RISC）ツールキットの新しいモジュールを宣伝している。
• HHS: 長官室190ページに及ぶ議会予算説明書には、長官室に関するいくつかの省庁再編案が含まれている。^[VI] 同文書によると、公民権局（OCR）、メディケア聴聞・控訴局、省庁控訴委員会、ヒト研究保護局、動物研究保護局、および研究倫理局は、公民権・控訴担当次官補室（ASCRA）に統合される。この再編は、昨年3月にこれらの部署の一部を新たな執行担当次官補室の下に置くという提案と類似している。^[VII]

  同文書はさらに、ASCRAが「保健福祉分野における執行と裁定を通じて法的遵守をどのように実施するか」、そして「提案されている統合は、監督の合理化、執行と裁定の調整の改善、関連する法的権限に関する教育とガイダンスの提供、およびHHSが法的義務を果たす能力の強化を目的としている」と説明している。^[VIII]

  2027会計年度の大統領予算案におけるASCRA（米国医療保険改革法）関連予算は2億4100万ドル強で、これは2026会計年度の成立額を約500万ドル上回る額であると文書には記載されている。さらに、この総額には「公民権局がHIPAA（医療保険の携行性と説明責任に関する法律）の執行活動をさらに推進するために利用する、民事訴訟における和解金1000万ドルの見込み額」が含まれている。^[IX]

• HHS: FDA―米国食品医薬品局（FDA）が議会に提出した91ページに及ぶ予算説明資料には、サイバーセキュリティに関する記述は一切含まれていない。^[X] しかし、この予算には医療機器・放射線保健部門が含まれており、同部門は医療機器・放射線保健センター（CDRH）も管轄しています。この部門では、医療機器・放射線保健部門の予算が、2026会計年度の約9億1300万ドル強から10億ドル強へとわずかに増加したことが強調されています。FDAはこの増額について、「患者を危害から守り、医療機器に関連する安全シグナルを特定して対処する上で、FDAが世界の規制機関の中で常にトップであり続けることを確実にするため、安全リスクを早期に発見し対処することに等しく尽力している」と述べています。^[xi]

アクションと分析
**Health-ISAC メンバーシップに含まれます**

^[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[II] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[III]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[IV] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

^[VI] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[VII] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

^[VIII] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[IX] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[X] https://www.fda.gov/media/191778/download?attachment

^[xi] https://www.fda.gov/media/191778/download?attachment

^[xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

^[xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

• 関連リソースとニュース
• CISOのプレイブック第2巻 – Salesforceへの情報漏洩を引き起こした0Authトークンの脆弱性
• 月刊ニュースレター – 2026 年 XNUMX 月
• 四半期ごとの脅威インサイト – 1年第2026四半期
• ストライカー社の攻撃が明らかにした医療機器セキュリティについて
• AIの安全な利用に関する方針と安全対策
• HSCCが第三者機関によるAIリスクとサプライチェーンの透明性に関するガイドを発表
• Anthropicが魔法のゼロデイコンピュータの神を発表
• 医療業界が標的に：イラン関連のサイバー脅威が病院、医療機器メーカー、医療提供サプライチェーンのリスクを高める
• Health-ISACがサイバーレジリエンスとインシデント対応におけるギャップを指摘…
• Mythosや類似のAIツールがヘルスケアサイバーセキュリティのリスクを高める