公開日: |更新日:
医療現場のDX化が進む中、サイバー攻撃から患者の機微な個人情報を守るため、医療情報システムのセキュリティ強化が急務となっています。
本記事では、厚生労働省のガイドライン要件を踏まえ、統合ID管理・SSO(シングルサインオン)・多要素認証の観点から、医療機関における統合認証システムの導入事例をまとめて紹介します。
厚生労働省が発表した「医療情報システムの安全管理に関するガイドライン」では、医療情報システムの管理基準が定められています。令和3年1月に策定され、その後も更新が続いています。第6.0版では、以下の内容が示されました。
14.認証・認可に関する安全管理措置
利用者認証にパスワードを用いる場合には、令和9年度時点で稼働していることが想定される医療情報システムを、今後、新規導入又は更新するに際しては、二要素認証を採用するシステムの導入、又はこれに相当する対応を行うこと。
※1参照元:【PDF】厚生労働省:医療情報システムの安全管理に関するガイドライン 第 6.0 版(https://www.mhlw.go.jp/content/10808000/001112044.pdf)
そのため、今後新規に医療情報システムを導入したり、更新したりするタイミングでは多要素認証の採用が必須となります。
また、医療情報システムの利用者は、アクセスログを記録する必要があります。
サイバー攻撃への備えとして、安全管理措置を講じることが求められます。
同ガイドラインでは不正ソフトウェアの混入やサイバー攻撃対策についても定められています。
医療情報には患者の個人情報が含まれるため、サイバー攻撃による情報漏えいを防ぐための対策が必要です。
現在の医療情報システムが使用できなくなった場合、新しいシステムの導入が求められることがあります。そのタイミングで慌ててシステムを比較するとなると大変なので、事前に情報収集しておくことが大切です。
厚生労働省が発表した「医療情報システムの安全管理に関するガイドライン」では、医療情報システムの管理基準が定められています。令和3年1月に策定され、その後も更新が続いています。第6.0版では、以下の内容が示されました。
14.認証・認可に関する安全管理措置
利用者認証にパスワードを用いる場合には、令和9年度時点で稼働していることが想定される医療情報システムを、今後、新規導入又は更新するに際しては、二要素認証を採用するシステムの導入、又はこれに相当する対応を行うこと。
そのため、今後新規に医療情報システムを導入したり、更新したりするタイミングでは多要素認証の採用が必須となります。
また、医療情報システムの利用者は、アクセスログを記録する必要があります。
サイバー攻撃への備えとして、安全管理措置を講じることが求められます。
同ガイドラインでは不正ソフトウェアの混入やサイバー攻撃対策についても定められています。
医療情報には患者の個人情報が含まれるため、サイバー攻撃による情報漏えいを防ぐための対策が必要です。
現在の医療情報システムが使用できなくなった場合、新しいシステムの導入が求められることがあります。そのタイミングで慌ててシステムを比較するとなると大変なので、事前に情報収集しておくことが大切です。
医療法人社団こころとからだの元氣プラザは、大規模移転を機にオンプレミスで稼働していた40以上の医療情報システムを整理し、医療向けプライベートクラウド「FINEQloud」へ移行しました。同時に、システムごとに異なっていた認証基盤を一元化。統合的な権限管理や履歴管理が可能になり、ガイドラインに準拠した高いセキュリティ水準を一斉に適用することで、情報漏洩リスクを低減させています。
東京都済生会中央病院は、ネットワークの更改に合わせて認証アプライアンスサーバー「Account@Adapter+」とログ管理サーバーを導入しました。ガイドラインに準拠したログの統合管理を実現したほか、院内ネットワークに接続するユーザーや端末の認証とアクセス制御を一元化。ランサムウェア等の脅威を検知した際に、統合された認証基盤から自動的にネットワークを遮断する強固な仕組みを整備しています。
共立蒲原総合病院は、電子カルテシステムの導入と併せて、二要素認証システム「ARCACLAVIS Ways」を採用しました。もともと出退勤管理で使用していたMifare規格のICカードをそのまま流用し、ID・パスワードと組み合わせた二要素認証を低コストで実現。さらに、SSO(シングルサインオン)を連携させることで、複数のシステムを使い分ける医療スタッフのログイン負荷を飛躍的に低減し、本来の医療業務に集中できる環境を整えました。
名古屋市立大学医学部附属リハビリテーション病院は、大学病院傘下への移行に伴い、病院情報システムに対するベンダーのリモートメンテナンス手法の統一が課題となっていました。そこでクラウド認証基盤「Soliton OneGate」を導入し、約10社に及ぶベンダーのリモートアクセスを統合管理。電子証明書を用いた多要素認証とSSOを組み合わせることで、セキュリティ水準の高いリモートアクセス環境を短期間で整備しています。
伊勢崎市民病院は、読影医不足の解決策として大学病院へのオンライン読影依頼を開始するにあたり、多要素認証システム「SmartSESAME PCログオン」を導入しました。東京の遠隔読影オフィスと院内の読影端末をVPNでつなぎ、ICカードとパスワードによる二要素認証を実施。端末にデータを残さず、かつアクセスログも記録されるため、サイバー攻撃や盗難リスクに備えたセキュリティのオンライン読影環境を実現しています。
NTT東日本伊豆病院は、令和9年度に予定される二要素認証の義務化を見据え、電子カルテシステムで約10年にわたり運用してきた日立ソリューションズの指静脈認証システム「静紋」の適用範囲を、すべての医療システムに拡大しました。ICカードのような紛失・盗難リスクがなく、表皮の傷や汚れの影響を受けにくい指静脈認証を活用。既存のID・パスワードに生体認証を組み合わせることで、現場の利便性を損なうことなくガイドラインに準拠しています。
法律やガイドラインの改訂により、医療情報システムへの多要素認証(二要素認証)の導入はもはや避けて通れません。システムの更新や新規導入のタイミングで、必ず対応が求められます。
しかし、単なる二要素認証の追加は現場の負担を増やす可能性があります。認証の利便性と安全性をさらに高めるには、SSO(シングルサインオン)や統合ID管理を組み合わせたソリューションの導入を検討することが欠かせません。
以下のページでは、多要素認証・統合認証システムの概要や、どのような製品があるのかを詳しく紹介しています。各製品の特徴やおすすめポイントもまとめているので、ぜひご覧ください。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
