よむ、つかう、まなぶ。
【参考資料2】「医療情報システムの安全管理に関するガイドライン第5.2版【案】」に関するQ&A (15 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
二要素認証はID/パスワードのみの認証よりも安全性が高いことから、
二要素認証におけるパスワードについては、同項 a、b の要件(Q-28参
照)とは異なり、8 文字以上の推定困難な文字列であっても定期的な変更は
求めないこととしています。
パスワード長については、原則として英数字、記号を混在させた 8 文字以
上としていますが、例外として二要素認証のもう片方の認証要素を使う際
に、PINなどが設定されているなどの安全管理が施されている場合には、
上記のパスワード長のルールは求めないこととしています。この理由は、IC
カードに格納されている電子証明書等の認証要素(知識以外の要素)を使う
ために設定されている場合のPINは、ID/パスワード(知識)における
IDに紐づくものではなく、厳密に言えばパスワードとは異なるためです。
このようなケースでは利用者認証全体を勘案すると、ID/パスワードのほ
かに、ICカード(所有)や指紋認証(生体)などの知識ではない認証要
素、さらに追加の認証要素(知識)を利用するPINなどが設定されている
ことになるため、十分な安全性が確保されるものと評価されると考えられま
す。そのため、このような場合には、英数字、記号を混在させた 8 文字以上
というパスワードの要件は求めないこととしています。具体的には下図の通
りなります。
14
二要素認証におけるパスワードについては、同項 a、b の要件(Q-28参
照)とは異なり、8 文字以上の推定困難な文字列であっても定期的な変更は
求めないこととしています。
パスワード長については、原則として英数字、記号を混在させた 8 文字以
上としていますが、例外として二要素認証のもう片方の認証要素を使う際
に、PINなどが設定されているなどの安全管理が施されている場合には、
上記のパスワード長のルールは求めないこととしています。この理由は、IC
カードに格納されている電子証明書等の認証要素(知識以外の要素)を使う
ために設定されている場合のPINは、ID/パスワード(知識)における
IDに紐づくものではなく、厳密に言えばパスワードとは異なるためです。
このようなケースでは利用者認証全体を勘案すると、ID/パスワードのほ
かに、ICカード(所有)や指紋認証(生体)などの知識ではない認証要
素、さらに追加の認証要素(知識)を利用するPINなどが設定されている
ことになるため、十分な安全性が確保されるものと評価されると考えられま
す。そのため、このような場合には、英数字、記号を混在させた 8 文字以上
というパスワードの要件は求めないこととしています。具体的には下図の通
りなります。
14