若島 宗史
二要素認証はなぜ「原則必須」になったのか
現在、医療業界では二要素認証の導入が浸透しつつあります。厚生労働省が 2023 年 5 月に発表した「医療情報システムの安全管理に関するガイドライン第 6.0 版」では、「令和9年度時点で稼働していることが想定される医療情報システムを、今後、導入又は更新する場合、原則として二要素認証を採用することが求められる」と明確に記載されています。
では、なぜこのように医療情報システムに対する二要素認証の重要性が高まり、原則必須化されるに至ったのでしょうか。その背景には、近年の日本の医療機関を取り巻くサイバーセキュリティ環境の変化と、実際に発生した甚大な被害事例があります。
従来、日本の医療機関の IT 環境は、外部ネットワークから隔離された閉域ネットワークでの運用が基本とされており、外部からの攻撃リスクは比較的低いと考えられていました。しかし、近年ではクラウドサービスの利用、遠隔医療、リモートアクセスなどの導入が進み、インターネット接続の必要性が高まるにつれて、セキュリティリスクも急増しています。
こうした状況の中、2021 年 10 月にはある病院がランサムウェア攻撃を受け、電子カルテを含む医療情報システムがダウンするという事件が発生しました。この攻撃により、システムは約2ヶ月間にわたり停止し、外来診療の制限や手書きでの診療記録、患者情報の復旧困難など、医療提供に大きな影響が出ました。原因としては VPN 機器を通じた侵入の可能性が指摘され、リモートアクセス環境における二要素認証の不備が懸念されました。最終的にデータの復元はできず、バックアップ体制や復旧手順にも課題が浮き彫りとなりました。
厚生労働省は、この事件を重く受け止め、医療機関に対するセキュリティ指針の見直しを開始しました。2022 年 3 月に公表された「医療情報システムの安全管理に関するガイドライン第 5.1 版」では、リモートアクセス時の二要素認証の導入が「推奨」から「必須(準拠が強く求められる事項)」へと位置づけが強化されました。ランサムウェアの実害が契機となり、医療情報システムガイドラインが改訂され、二要素認証の導入が強く求められるようになったという経緯があります。これは日本の医療分野のサイバーセキュリティ対策が転換期を迎えた象徴的な事件といえます。
そして、最新のガイドライン第 6.0 版では、リモートアクセス時だけでなく、今後導入または更新される医療情報システム全般において、令和9年度からの二要素認証採用が原則必須化されたのです。
二要素認証とは
そもそも「二要素認証」とは何でしょうか?
二要素認証とは、「記憶」「生体」「所持」の3つの認証要素のうち、異なる種類の2つ以上を組み合わせて使用する認証方式です。
認証要素は以下の3つに分けられます。
● 記憶:利用者だけが知っている情報 (例) パスワード、PINコード
● 所持:利用者だけが持っているモノ (例) ICカード、スマートフォン、ハードウェアトークン
● 存在:利用者の身体に備わっている特徴 (例) 指紋、顔、静脈パターン、声紋
例えば、「① 指紋認証(存在認証)」と「② ICカード認証(所持認証)」の両方を組み合わせて使用します。
どちらか一方が不正な場合は認証に失敗するため、セキュリティレベルが大幅に向上します。
仮に片方の要素が漏洩したり盗まれたりしても、もう一方の要素がなければシステムにアクセスすることは困難です。
医療情報システムとは
病院やクリニックなどの医療機関で、患者の診療、業務効率化、情報共有、安全性向上などを目的として導入される ITシステム全般を、医療情報システムと呼びます。
具体的には、電子カルテシステム、オーダーリングシステム、医用画像管理システム、診療支援システム、医事会計システムなどが対象となります。
これらのシステムには、患者の機微な情報や医療機関の重要な業務データが含まれており、その安全管理は極めて重要だからこそ、より強固なセキュリティ対策が喫緊の課題となっているのです。
ガイドラインが二要素認証以外に求めるその他の対策
「医療情報システムの安全管理に関するガイドライン第 6.0 版」の「システム運用編」では、二要素認証の他に以下のようなセキュリティ対策が求められています。
● 医療情報システムへのアクセスを正当な利用者に限定するために、利用者の識別・認証を行う機能が必須です。小規模な医療機関でもこれは同様に必須とされています。
● ID・パスワード や ICカード、電子証明書、生体認証など、本人識別・認証に用いる手段を全ての職員・関係者に対し用意し、医療機関内で統一的に管理する必要があります。
● 類推されやすいパスワードの使用を禁止するため、設定可能なパスワードに制限を設けることが推奨されています。
● 情報の種類や重要性、利用形態に応じて情報の区分管理を行い、利用者や利用者グループごとに必要最小限の利用権限を設定することが重要です。人事異動などで業務内容が変わる際は、利用権限の見直しを適宜行う必要があります。
● 利用者が医療情報を扱う端末から長時間離席する際に、不正な利用を防ぐため、クリアスクリーン等の対策を実施することが求められています。「クリアスクリーン」とは、パソコンの画面を他人が覗き見たり、操作できる状態にしておかない対策のことです。
● アクセスログを記録し、定期的に確認することが求められています。
DDS が提供するガイドライン対応支援
DDS は、これらの厚生労働省のガイドライン(システム運用編)で求められる要件に対し、認証ソリューションを通じて支援を提供しています。DDS のソリューションは、Windows ログオンから各種医療情報システムへの二要素認証・多要素認証の適用に対応しており、医療機関への導入実績も多数あります。
具体的には、以下の製品や機能でガイドライン対応を支援しています。
● 多要素認証基盤またはサービスとして、生体認証(指紋、顔、静脈)、ICカード、パスワードなど様々な要素を組み合わせた認証を実現し、医療情報システムへの安全なログオンに対応します。Active Directory との連携により、ユーザー管理や権限設定を効率化できます。顔認証を含むすべての認証要素を利用可能で、端末ごとやアプリケーションごとに認証要素の組み合わせを自由に設定できます。
● 医療機関向けの導入しやすいパッケージを用意しており、知識情報、所持情報、生体情報の多要素による AND / OR 認証、各種医療情報システムへの多要素認証適用、共有 PC・共通アカウント使用時のユーザー特定によるセキュリティ強化などを追加オプション費用不要で提供しています。
● 共有 PC・共通アカウント利用時のユーザー特定機能により、ガイドラインで求められる利用者個人の識別・認証を支援し、認証ログで誰がいつアクセスしたかを確認できます。
● アクセスログの記録機能により、医療情報システムを含む連携アプリケーションへの全ての認証ログを記録し、確認することができます。
● Themis のマルチテナント構成対応により、オンプレミス設置の場合でもグループ運営の病院やクリニックをまとめて一元管理し、サーバー管理工数を軽減できます。
まとめ
某病院における事件のような深刻な被害を経て、医療情報システムのセキュリティ対策は待ったなしの状況となりました。その中で、「医療情報システムの安全管理に関するガイドライン第 6.0 版」に基づき、令和9年からは医療情報システムに対する二要素認証が原則として必須となります。これは医療機関にとって、患者情報の安全を守り、信頼性を維持するために乗り越えるべき重要な課題です。
DDS では、医療機関の皆様がガイドライン対応を進めやすい「メディカルパック」を用意するなど、様々な認証ソリューションでこの課題解決を支援しています。来るべきセキュリティ転換点に備えましょう。
ガイドライン対応についてお悩みの際は、まずはご相談ください。
※記載の製品名は、各社の商標または登録商標です。
