よむ、つかう、まなぶ。
(4)「医療情報システムの安全管理に関するガイドライン第6.0版」システム運用編(案) (49 ページ)
出典
公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251917 |
出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
このような利用者の識別・認証に用いられる情報は、本人しか知り得ない、又は持ち得ない状態を
保つ必要がある。なお利用者認証を ID とパスワードによりには、システム運用担当者は、パスワード
が第三者に推定されにくいものとするよう、安全性を考慮した機能仕様とする必要があるほか、シス
テム側でのパスワードの管理については、システム運用担当者でもわからないようにする措置を講じ
ることが求められる。
認証強度の考え方として、現状において、医療情報システムにアクセスする端末ごとに二要素認証
を追加実装することは、医療機関等の負担が増加すると考えられる。このような技術は、本来システ
ムにあらかじめ実装されているべきであり、今後、認証に係る技術の端末への実装状況等を考慮し、
できるだけ早期に対応することが求められる(※)
。
※
二要素認証技術の端末等への実装を促してきたが、さらに強く推し進めるため、令和 9 年度時点
で稼働していることが想定される医療情報システムを、今後、導入又は更新する場合、原則とし
て二要素認証を採用することが求められる。
また医療情報システムに二要素認証が実装されていないとしても、例えば放射線管理区域や薬
局の調剤室など、指定された者以外の者の入室が法令等により制限されるような区画の中に端末
が設置されている医療情報システムであって、当該区画への入場に当たって利用者の識別・認証
が適切に実施されており、入場時と端末利用時を含め二要素以上(記憶・生体計測・物理媒体の
いずれか 2 つ以上)の認証がなされている場合には、二要素認証に相当すると考えてよい。
14.1.2 外部のアプリケーションとの連携における認証・認可
クラウドサービスなどの普及から、外部のアプリケーションを連携して用いる場面等が多くなって
きている。院内のシステムと外部アプリケーションを連携して用いる場合や、複数のクラウドサービ
スを連携して用いる場合には、アプリケーション間でデータの引き渡しなどを行う必要が生じる。昨
今、システム間連携のインタフェースとして、Web 技術のうち、連携のしやすさから、REST API
(Representational State Transfer Application Programming Interface)が活用されている。REST API
は Web の技術を用いてサーバにアクセスして情報をやりとりする手順であるが、インターネット上で
公開されることにより、IoT 機器や ASP サーバ等も含め、広くシステム間での情報連携の促進が期待
できる。一方で、このような API がサイバー攻撃の起点となる可能性を踏まえ、セキュリティ上の対
応策が求められる。
システム運用担当者は、API 連携のセキュリティ確保のため、外部からの攻撃や意図せぬアクセス
を防止できるように、必要に応じてネットワークセキュリティを確保し、API 連携により利用するユ
ーザ・アプリケーションやデバイスの範囲を限定し、その責任分界とアクセスポリシーやログ管理を
明確にした上で、それに沿った認証・認可に関する仕組みを設ける必要がある
- 43 -
保つ必要がある。なお利用者認証を ID とパスワードによりには、システム運用担当者は、パスワード
が第三者に推定されにくいものとするよう、安全性を考慮した機能仕様とする必要があるほか、シス
テム側でのパスワードの管理については、システム運用担当者でもわからないようにする措置を講じ
ることが求められる。
認証強度の考え方として、現状において、医療情報システムにアクセスする端末ごとに二要素認証
を追加実装することは、医療機関等の負担が増加すると考えられる。このような技術は、本来システ
ムにあらかじめ実装されているべきであり、今後、認証に係る技術の端末への実装状況等を考慮し、
できるだけ早期に対応することが求められる(※)
。
※
二要素認証技術の端末等への実装を促してきたが、さらに強く推し進めるため、令和 9 年度時点
で稼働していることが想定される医療情報システムを、今後、導入又は更新する場合、原則とし
て二要素認証を採用することが求められる。
また医療情報システムに二要素認証が実装されていないとしても、例えば放射線管理区域や薬
局の調剤室など、指定された者以外の者の入室が法令等により制限されるような区画の中に端末
が設置されている医療情報システムであって、当該区画への入場に当たって利用者の識別・認証
が適切に実施されており、入場時と端末利用時を含め二要素以上(記憶・生体計測・物理媒体の
いずれか 2 つ以上)の認証がなされている場合には、二要素認証に相当すると考えてよい。
14.1.2 外部のアプリケーションとの連携における認証・認可
クラウドサービスなどの普及から、外部のアプリケーションを連携して用いる場面等が多くなって
きている。院内のシステムと外部アプリケーションを連携して用いる場合や、複数のクラウドサービ
スを連携して用いる場合には、アプリケーション間でデータの引き渡しなどを行う必要が生じる。昨
今、システム間連携のインタフェースとして、Web 技術のうち、連携のしやすさから、REST API
(Representational State Transfer Application Programming Interface)が活用されている。REST API
は Web の技術を用いてサーバにアクセスして情報をやりとりする手順であるが、インターネット上で
公開されることにより、IoT 機器や ASP サーバ等も含め、広くシステム間での情報連携の促進が期待
できる。一方で、このような API がサイバー攻撃の起点となる可能性を踏まえ、セキュリティ上の対
応策が求められる。
システム運用担当者は、API 連携のセキュリティ確保のため、外部からの攻撃や意図せぬアクセス
を防止できるように、必要に応じてネットワークセキュリティを確保し、API 連携により利用するユ
ーザ・アプリケーションやデバイスの範囲を限定し、その責任分界とアクセスポリシーやログ管理を
明確にした上で、それに沿った認証・認可に関する仕組みを設ける必要がある
- 43 -