よむ、つかう、まなぶ。
【参考資料2】「医療情報システムの安全管理に関するガイドライン第5.2版【案】」に関するQ&A (14 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
設定できない又は適切な管理を行うことができない環境においては、推定困
難なパスワードを、脆弱にならない形(※2)で定期的に変更させることに
より、本ガイドラインでは、安全性を担保することとしています。この場
合、英数字、記号を混在させた8文字以上の推定困難な文字列のパスワード
でもよいとしております。
しかしながら、ID とパスワードによる認証では、安全性の確保に限度があ
ります。前述の報告においても、患者情報のような個人情報へのアクセスは
二要素以上の認証を組み合わせる認証方式(二要素認証)とすることが示さ
れています。そのため、できるだけ早く二要素認証を導入することが求めら
れます。本ガイドラインでは、令和 9 年度時点で稼働していることが想定さ
れる医療情報システムを、今後、導入または更新する場合、原則として二要
素認証を採用することを求めています。導入または更新に際して、対象とな
る製品・サービスがベンダ等から提供されていないなどの理由で二要素認証
対応が困難な場合にも、対象となる医療情報システムの利用に供する部屋の
入室管理を個人ごとに特定できるようにする等の措置を講じて、全体として
二要素認証に相当する安全性の確保を行う必要があります。
(※1)例えば、漏えいしたことのある及び推定可能な脆弱なパスワードを設
定できない技術的な制約を課すことや、設定しようとするパスワード
の強度が確認できること等の管理が挙げられています。(実装に関係
される方は“Digital Identity Guidelines から Authentication
and Lifecycle Management”(NIST Special Publication 80063B)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.S
P.800-63b.pdf を参照してください)。
(※2)例えば、以前のパスワードから推定可能なパスワードといった解析の
ヒントを与えないような形が想定されます。
Q-29
「c.二要素以上の認証の場合、英数字、記号を混在させた 8 文字以
上の推定困難な文字列。ただし他の認証要素として必要な電子証明書
等の使用に PIN 等が設定されている場合には、この限りではない。」
とあるが、具体的にはどのようなことを指しているのか。
A
安全管理ガイドラインにおけるパスワードとは、例えば IC カードに格納
されている電子証明書を使うために設定されている場合のPINではなく、
ID(文字列)との組み合わせで認証する際のパスワード(文字列)を指して
います。
13
難なパスワードを、脆弱にならない形(※2)で定期的に変更させることに
より、本ガイドラインでは、安全性を担保することとしています。この場
合、英数字、記号を混在させた8文字以上の推定困難な文字列のパスワード
でもよいとしております。
しかしながら、ID とパスワードによる認証では、安全性の確保に限度があ
ります。前述の報告においても、患者情報のような個人情報へのアクセスは
二要素以上の認証を組み合わせる認証方式(二要素認証)とすることが示さ
れています。そのため、できるだけ早く二要素認証を導入することが求めら
れます。本ガイドラインでは、令和 9 年度時点で稼働していることが想定さ
れる医療情報システムを、今後、導入または更新する場合、原則として二要
素認証を採用することを求めています。導入または更新に際して、対象とな
る製品・サービスがベンダ等から提供されていないなどの理由で二要素認証
対応が困難な場合にも、対象となる医療情報システムの利用に供する部屋の
入室管理を個人ごとに特定できるようにする等の措置を講じて、全体として
二要素認証に相当する安全性の確保を行う必要があります。
(※1)例えば、漏えいしたことのある及び推定可能な脆弱なパスワードを設
定できない技術的な制約を課すことや、設定しようとするパスワード
の強度が確認できること等の管理が挙げられています。(実装に関係
される方は“Digital Identity Guidelines から Authentication
and Lifecycle Management”(NIST Special Publication 80063B)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.S
P.800-63b.pdf を参照してください)。
(※2)例えば、以前のパスワードから推定可能なパスワードといった解析の
ヒントを与えないような形が想定されます。
Q-29
「c.二要素以上の認証の場合、英数字、記号を混在させた 8 文字以
上の推定困難な文字列。ただし他の認証要素として必要な電子証明書
等の使用に PIN 等が設定されている場合には、この限りではない。」
とあるが、具体的にはどのようなことを指しているのか。
A
安全管理ガイドラインにおけるパスワードとは、例えば IC カードに格納
されている電子証明書を使うために設定されている場合のPINではなく、
ID(文字列)との組み合わせで認証する際のパスワード(文字列)を指して
います。
13