株式会社ディー・ディー・エス

令和3年1月29日、厚生労働省は「医療情報システムの安全管理に関するガイドライン第5.1版」を策定しました。近年のサイバー攻撃の手法の多様化・巧妙化、情報セキュリティに関するガイドラインの整備、地域医療連携や医療介護連携等の推進、クラウドサービス等の普及等に伴い、医療機関等を対象とするセキュリティリスクが顕在化していることへの対応として、情報セキュリティの観点から医療機関等が遵守すべき事項等の規定を設けるなどの改定が行われています。

改正のポイント

「医療情報システムの安全管理に関するガイドライン」対策のポイント

医療情報システムの安全管理に関するガイドラインの「5 技術的安全対策」では医療情報システムにおける利用者認証について、第5版で示された二要素認証導入を促す方針をさらに進めるための改定が行われています。生体認証に対する安全性がさらに評価され、二要素認証によるセキュリティ対策がより重要視された形です。
ここでは、DDSがご支援できる「5 技術的安全対策」を中心にポイントをご紹介します。

ポイント１：システム利用者の認証・識別の機能が必要（小規模医療機関でも必須）

様々な業務アプリケーションやウェブアプリケーションへのログイン時の認証を、生体認証（指紋、静脈、顔）を含む二要素認証にすることで、確実な本人確認が可能となります。
一般的なID、パスワードを用いた認証は、パスワードが第三者に漏えいしてしまうリスクを伴い、ICカードを用いた認証は、物理的に貸し借りができてしまうというリスクを伴います。認証に“漏えいすることがない”、“忘れることがない”、“貸し借りができない”生体認証をプラスし、二要素認証とすることでリスクの排除とともに、正確な本人確認が行えるようになります。
※小規模医療機関様用には、指紋認証とWindowsパスワードによる二要素認証に対応した、管理サーバーを必要としない指紋認証ユニット付きのパッケージもあります。

ポイント２：ID、パスワードの認証はリスクが大きく、厳しい運用が必要

ポイント１でも触れましたが、パスワード認証だけの運用は、セキュリティ対策としては不安が残ります。ガイドラインでは「パスワードは類推できないものにし、定期的に変更すること」、「ランダムな13文字以上のパスワードを使用すること」と、実運用をするには困難を伴うルールが求められています。これでは、使用する側も、管理する側も負担が増えるばかりです。しかし、パスワード認証とともにもう一つ認証要素を追加し、二要素認証とすることで、「必ずしもパスワードの定期的な変更は求められない」と、その困難な運用を回避することができます。追加するもう一つの認証要素を生体認証とすることで、さらにセキュリティを強化することができます。

ポイント３：シングルサインオンは最初に二要素認証でセキュリティ確保をおこなうこと

一組のID、パスワードによる認証を一度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組みの「シングルサインオン」。複数の業務アプリケーションを使用している医療機関様にとっては、業務効率化のために便利な仕組みといえます。一度ログインすると、ログイン権限のあるアプリケーションすべてにアクセスできるようになるため、最初のログイン時のしっかりとした本人確認が重要になります。ガイドラインでは、最初におこなう認証が二要素認証であればセキュリティが確保できていると判断し、シングルサインオンの導入を認めています。つまり、二要素認証はそれだけセキュリティ対策として有効だと認められているのです。DDSの認証ソリューションは、二要素認証の設定やシングルサインオンの設定も簡単にできます。

ポイント４：組織（グループ）毎の利用権限の規定をおこなうこと

医療機関様に限らず、必要な人だけが必要なシステムを利用できる利用権限の規定・設定は、セキュリティ上重要事項です。Active Directoryとシームレスに連携するDDSの認証ソリューション EVEMAであれば、人事異動などで生じるユーザー情報の更新内容が自動的に反映されます。もちろん、Active Directoryのセキュリティレベルに応じた認証設定（認証の組み合わせなど）ができますので、ガイドラインに準拠した運用が可能です。