よむ、つかう、まなぶ。
【参考資料1-3】医療情報システムの安全管理に関するガイドライン第7.0版 企画管理編(案) (54 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
➢
また、施行通知に示される電磁的記録の保存等が可能な文書は、正当な権限で作成された記録であり、虚偽
入力、書換え、消去及び混同が防止され、かつ、第三者から見て作成の責任の所在が明確であることが求めら
れる。電子署名法第 3 条では、電子文書(デジタル情報)について、本人すなわち当該電子文書の作成名義
人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことがで
きることとなるものに限る。)が行われていると認められる場合には、当該作成名義人が当該電子文書を作成し
たことが推定されることとしている。
➢
医療分野において電子署名に係る争訟が生じた場合に備え、立証責任を軽減する観点から、下記のような特
徴を備えた措置の利用を検討すること。
➢
十分な暗号強度を有し、他人が容易に同一の鍵を作成できないものであること
電子署名が本人の意思に基づき行われたことを確認できること
立会人型電子署名の選択に当たっては、総務省・法務省・経済産業省から令和2年9月4日に示されている
「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関する
Q&A(電子署名法 3 条に関する Q&A)」も参照すること。
➢
処方箋のように、医師等の有資格者に作成が求められる文書が医師法等の法令で定められている場合がある。
これらの多くには記名・押印が求められており、記名・押印は本人の証明だけでなく、有資格者としての当該行為
に対する責務も示す。当該資格者による行為であることの証明を電子的に担保する考え方を
「Nonrepudiation(否認防止)」と呼び、医師等の国家資格の確認が電子的に検証できる電子証明書を
用いた電子署名等により担保可能となる。
➢
また、特に医療に係る文書では一定期間、信頼性を持って署名を検証可能である必要がある。電子署名は紙
媒体への署名や記名・押印と異なり、電子署名法第2条第1項の要件該当性は厳密に検証することが可能で
ある反面、電子証明書等の有効期限が過ぎたり、失効させた場合は検証不能となるという特徴がある。さらに、
電子署名の技術的な基礎となっている暗号技術は、解読法やコンピュータの演算速度の進歩につれて次第に脆
弱化が進み、中長期的にはより強固な暗号アルゴリズムへ移行することも求められる。
➢
このような点を踏まえ、電子証明書を利用する場合には、有効期間や失効の有無、暗号アルゴリズムの脆弱化
の影響を受けることなく、法定保存期間等の一定期間にわたり電子署名の検証を継続できることが求められる。
また、対象文書は行政による監査等の対象となるため、付与された電子署名は行政機関等においても検証可
能でなければならない。
➢
なお、デジタルタイムスタンプ技術を用いた長期署名方式の標準化が進んでおり、長期的な署名検証の継続を可
能とする方式が ISO 規格として制定されている6。
➢
医療情報の保存期間は、生物由来製剤に係る文書として 20 年以上の長期にわたるものも存在する。システム
更新や検証システムの互換性等の観点からも、例えば、前述の標準技術を用い、必要な期間、電子署名の検
証を継続して検証可能とすることが想定される。
6
ISO14533-1:2022CMS 利用電子署名(CAdES)の長期署名プロファイル、ISO14533-2:2021XML 署名利用電子署名
(XAdES)の長期署名プロファイル、ISO14533-3:2017PDF 長期署名プロファイル(PAdES)、ISO145334:2019proofofexistenceobjects
- 48 -
また、施行通知に示される電磁的記録の保存等が可能な文書は、正当な権限で作成された記録であり、虚偽
入力、書換え、消去及び混同が防止され、かつ、第三者から見て作成の責任の所在が明確であることが求めら
れる。電子署名法第 3 条では、電子文書(デジタル情報)について、本人すなわち当該電子文書の作成名義
人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことがで
きることとなるものに限る。)が行われていると認められる場合には、当該作成名義人が当該電子文書を作成し
たことが推定されることとしている。
➢
医療分野において電子署名に係る争訟が生じた場合に備え、立証責任を軽減する観点から、下記のような特
徴を備えた措置の利用を検討すること。
➢
十分な暗号強度を有し、他人が容易に同一の鍵を作成できないものであること
電子署名が本人の意思に基づき行われたことを確認できること
立会人型電子署名の選択に当たっては、総務省・法務省・経済産業省から令和2年9月4日に示されている
「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関する
Q&A(電子署名法 3 条に関する Q&A)」も参照すること。
➢
処方箋のように、医師等の有資格者に作成が求められる文書が医師法等の法令で定められている場合がある。
これらの多くには記名・押印が求められており、記名・押印は本人の証明だけでなく、有資格者としての当該行為
に対する責務も示す。当該資格者による行為であることの証明を電子的に担保する考え方を
「Nonrepudiation(否認防止)」と呼び、医師等の国家資格の確認が電子的に検証できる電子証明書を
用いた電子署名等により担保可能となる。
➢
また、特に医療に係る文書では一定期間、信頼性を持って署名を検証可能である必要がある。電子署名は紙
媒体への署名や記名・押印と異なり、電子署名法第2条第1項の要件該当性は厳密に検証することが可能で
ある反面、電子証明書等の有効期限が過ぎたり、失効させた場合は検証不能となるという特徴がある。さらに、
電子署名の技術的な基礎となっている暗号技術は、解読法やコンピュータの演算速度の進歩につれて次第に脆
弱化が進み、中長期的にはより強固な暗号アルゴリズムへ移行することも求められる。
➢
このような点を踏まえ、電子証明書を利用する場合には、有効期間や失効の有無、暗号アルゴリズムの脆弱化
の影響を受けることなく、法定保存期間等の一定期間にわたり電子署名の検証を継続できることが求められる。
また、対象文書は行政による監査等の対象となるため、付与された電子署名は行政機関等においても検証可
能でなければならない。
➢
なお、デジタルタイムスタンプ技術を用いた長期署名方式の標準化が進んでおり、長期的な署名検証の継続を可
能とする方式が ISO 規格として制定されている6。
➢
医療情報の保存期間は、生物由来製剤に係る文書として 20 年以上の長期にわたるものも存在する。システム
更新や検証システムの互換性等の観点からも、例えば、前述の標準技術を用い、必要な期間、電子署名の検
証を継続して検証可能とすることが想定される。
6
ISO14533-1:2022CMS 利用電子署名(CAdES)の長期署名プロファイル、ISO14533-2:2021XML 署名利用電子署名
(XAdES)の長期署名プロファイル、ISO14533-3:2017PDF 長期署名プロファイル(PAdES)、ISO145334:2019proofofexistenceobjects
- 48 -