医療情報システムへの二要素認証が必須に!
セキュアな指紋認証ICカードの活用とは。
年々高まる医療情報の情報漏えいリスクの影響を受け、医療情報システムの安全管理に関するガイドラインで二要素認証が必須に!
サイバー攻撃の巧妙化やクラウドサービスの一般化に伴い、医療情報の漏えいリスクが顕在化しています。医療情報は個人のプライバシーに関わるものであり、漏えいは重大な問題となります。そのため、医療情報システムの安全管理に関するガイドライン第6版では、令和9年(2027年)に稼働しているシステムは、原則として二要素認証を採用することが求められています。
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
ガイドラインで採用が求められる二要素認証とは何なのか?知識認証、所持認証、生体認証を2つを組み合わせてセキュリティを強化。
電子カルテシステムにログインする際、一般的にはIDとパスワードの組み合わせを入力してログインします。これは、IDやパスワードといった知識情報を使った「知識認証」です。また、ICカードをかざしてログインする方法もあり、これはICカードを使った「所持認証」と呼ばれます。さらに、最近ではパソコンに内蔵されたカメラに顔を向けて、顔情報を使った「生体認証」でログインする方法も普及しています。
二要素認証とは、これらの知識認証、所持認証、生体認証のうち、いずれか2つを組み合わせて認証を行う方法です。この方法により、なりすましのリスクを大幅に軽減することができます。例えば、IDとパスワードに加えてICカードを使用することで、パスワードが漏えいしてもICカードがなければログインできません。また、ICカードと顔認証を組み合わせることで、ICカードが盗まれても顔認証が必要となり、セキュリティが強化されます。
医療情報システムに最適な二要素認証とは?指紋認証ICカードの
利便性を旭川医科大学との共同研究で評価。
医療情報システムに最適な二要素認証ならどのような認証が良いのか?利便性と安全性の高い指紋認証ICカードがおすすめ。
医療情報システムに適した二要素認証にはどのようなものがあるのでしょうか。もっとも手軽な方法としては、ICカード(所持認証)とID/パスワード(知識認証)の組み合わせが考えられます。しかし、複雑なパスワードを覚えたり入力したりする手間が、医師や看護師などの医療従事者にとって負担となることがあります。
そこで、指紋認証ICカードを使った二要素認証が非常にスマートな解決策となります。この方法では、ICカードに内蔵された指紋センサーに指をあて、同時にICカードをかざすだけで、指紋による生体認証とICカードによる所持認証が完了します。使用感はこれまでのICカードによる所持認証とほとんど変わらないため、特に既存のICカード認証システムを利用している方にとって便利です。
東芝の指紋認証ICカードは、ユーザーの利便性と管理の容易さが特長。管理者が行う登録作業の負担も軽い。
東芝の指紋認証ICカードは、カード内で指紋認証を完結するため、指紋認証サーバを立てる必要がなく、システム構築が容易です。また、管理者にとっても管理しやすい生体認証システムです。例えば、顔認証では、撮影した顔画像を利用者のID情報に紐づけて登録する作業が大変という声を聞くことがありますが、弊社の指紋認証ICカードは、ICカード内に指紋情報が登録されるため、管理者がID情報と指紋情報を紐づける必要がなく、ユーザー登録の手間が少なくなります。
生体認証カード BISCADE™(ビスケード)
表1. 認証システムの比較評価結果
「二要素認証システムの比較評価」と題して 旭川医科大学との共同研究を実施。
医療情報システムへのユーザーログイン最適性を示す結果に。
東芝は、2024年3月に国立大学法人旭川医科大学と共同研究契約を締結し、病院情報システムへの不正アクセス(利用者のなりすまし)を指紋認証ICカードで防止する効果を共同評価しました。
具体的には、旭川医科大学が実際に使用している病院情報システムのICカードを用いた一要素認証システム、勤怠管理システムのICカードと顔認証を用いた二要素認証システム、電子カルテシステムのログインに指紋認証ICカードを適用した二要素認証システムの3つを比較評価しました。評価のポイントは、システム構築、導入コスト、利用者の使い勝手(認証時間)、管理者・利用者のユーザー登録時の負担です。
今回の比較評価の結果、システム構築・導入コスト・認証時間・ユーザー登録の項目において、指紋認証ICカードが高い評価を獲得。医療情報システムへのユーザーログインに最適なシステムであることを示す結果となりました。この評価結果は、第52回日本Mテクノロジ学会[1]および第44回医療情報学連合大会[2]で発表されています。
表1. 認証システムの比較評価結果
国立大学法人旭川医科大学 経営企画部
准教授/副部長 谷 祐児 様
本システムは,ICカード認証を使用している施設であれば追加設備が必要なくコストパーフォーマンスに優れています。
指紋認証ICカードの導入で、医療情報システムのセキュリティ
と利便性が向上。
指紋認証ICカードは、既存システムの変更が少なく導入できるため、医療情報システムのログオン、勤怠管理システムのICカード打刻、サーバ室などセキュアエリアへの入退室管理、薬庫のICカード鍵にも利用可能です。これにより、医療機関全体のセキュリティが向上し、患者情報の保護が強化されます。
また、指紋認証サーバを立てる必要がなく、システム構築が容易で、管理者にとっても使いやすいシステムです。二要素認証の導入に悩まれている方は、是非ご検討ください。
参考文献
[1] 谷裕児, 林弘樹(旭川医科大学)他 “指紋認証ICカードを利用した二要素認証対応システムの有用性について,” 第52回日本Mテクノロジ学会大会論文集p.18-p.19.
[2] 谷裕児, 林弘樹(旭川医科大学)他 “生体認証ICカードを利用した二要素認証対応システムの実装検証,” 第44回日本医療情報学連合大会論文集p.547-p.548
所持と生体の認証を1つのカードで実現
エッジ指紋認証で人を認証する非接触カードはこちら
インフラのセキュリティ製品
東芝が提供する、セキュリティ・認証技術を基盤とした製品/ソリューションの総合サービスをご紹介します。
