小林クリエイト株式会社の会社概要や医療・健診事業の事業概要・製品・サービスがご覧いただけます。
令和4年3月に厚生労働省より策定されている
「医療情報システムの安全管理に関するガイドライン 第5.2版」
今回は、ガイドラインで「技術的安全対策」に掲げられてる『二要素認証』について、
手段や認証強度をお話していきます。
医療情報システムとは、医療に関する患者情報(個人識別情報)を含む
情報及びその情報を扱うシステムという意味で用いられています。
令和9年度時点で稼働していることが想定される医療情報システムには、
原則として二要素認証を採用することが求められています。
医療情報システムを導入済みまたは、更新を控えている病院様は、
二要素認証の導入について検討されているのではないでしょうか。
まずはじめに、本人確認をするために、複数種類の要素を用いて認証することを
「多要素認証」といいます。
認証に使う要素には、以下の通り3つあります。
【記憶】【生体情報】【物理媒体】のうち、
2つの独立した要素を組み合わせて認証を行う方式を
「二要素認証」と呼ばれています。
例えば、電子カルテにログインする時、
ID・パスワードの組み合わせが多く用いられますが、
第三者への流出やデータ改ざん、なりすましといったリスクが想定されます。
単独で用いた場合に十分な認証強度を保つことは、一般的には困難とされており、
①~③の2つの要素を組み合わせた「二要素認証」が推奨されています。
例)
パスワード(記憶)+ ICカード(物理媒体)→ 〇二要素認証
ICカード(物理媒体)+顔認証(生体情報) → 〇二要素認証
指紋認証(生体情報) + 顔認証(生体情報) → ×二要素認証ではない
「二要素認証」に類似する言葉として、「二段階認証」があります。
二段階認証は「二つの段階を経て認証を行う」ことを指します。
例えば、SMSを利用した認証の場合、
第一段階のログイン時には、IDとパスワードを用い認証。
第二段階のログイン時には、手持ちのスマートフォンに送付される
ワンタイムコードを入力し、認証。
このような方法は、「二段階認証」となります。
また、この場合、「二要素認証」にもなります。
第一段階の認証要素は【記憶】、
第二段階の認証要素は、手持ちのスマートフォンによる【物理媒体】に該当します。
しかし、「二段階認証」には、利用される認証要素が同一となる場合もあるため、注意が必要です。
例えば、第一段階は、IDとパスワードによる認証【記憶】、
第二段階は、別のパスワードによる認証【記憶】が該当します。
こちらは、認証要素が両方とも【記憶】のため、「二要素認証」としては非該当となります。
「二段階認証」=「二要素認証」ではないということを、理解しておく必要があります。
生体情報の種類には、静脈、指紋、顔、虹彩、音声、掌紋があります。
生体情報は、本人に備わっている特徴を使っているため高い安全性と利便性がありますが、
その測定精度に注意が必要とされています。
一般的に広く知られているのは指紋認証であり、装置も比較的安価に導入可能です。
高齢の方や特殊な薬品を使用する病院現場などでは、指紋が薄くなる方もいるため、
全ての方を対象にするのは難しいと考えられます。
他の認証と比べて誤認が少ないのは静脈認証ですが、装置の価格が高いことが、
導入の障壁となります。
ICチップ(情報の記録や演算をするための集積回路)を埋め込んだカードをICカードといいます。
ICチップは従来の磁気カードと比べ記憶容量が多く、
必要な情報がICチップのメモリに記録されています。
ICカードは、情報に対するアクセスをCPUが制御するという構造上、
外部からの不正なアクセス、読み出しや改ざんが非常に困難で、
スキミングやカード偽造に対しては、磁気カードに比べて格段に安全性が高いと考えられます。
いかがでしたでしょうか?
今回は、二要素認証の手段や認証強度について、お話をさせていただきました。
次回の記事では、ICカードを使用した二要素認証をさらに詳しくご紹介します。
「二要素認証② ~医療情報システムの安全管理に関するガイドライン第5.2版 徹底解説~」
弊社では、「二要素認証対策のための導入コストを抑えたICカード導入法」という
お役立ち資料をご用意しております。
お役立ち資料はこちら
↓↓↓
二要素認証に必要なICカードリーダ、指紋認証機器等もご案内しています。
ぜひお気軽にご相談ください。
詳細・製品に関するお問合わせはこちら
↓↓↓
