シス１４章第③項
シＱ－52 FIDO 認証（※１）に関して、どのような留意事項があるか。
Ａ

FIDO 認証を使用し、医療情報システムの利用者の識別・認証を行う場合には、求めら
れる当人認証の頑強性として、「Digital Identity Guidelines」（NIST SP800-63)で
定められている AAL（Authentication Assurance Level）の強度：Level２以上の技
術を採用することが望ましいです（※２）。
例えば、FIDO―U2F（Universal 2nd Factor）は、2 要素認証による技術であるため、
安全性が高く、AAL3 に位置付けられますが、２要素認証によらない場合には、AAL３
を満たさないこともあります。
FIDO 認証のメリットとしては、既存のスマートフォンの機能などを活用することが
可能であるため、導入しやすいなどが挙げられます。他方で、デメリットとしてはパスワ
ード認証との併用、利用者の使用デバイスの登録などによる認証フローが複雑になりや
すいなどがあります。
（※１）FIDO（Fast IDentity Online）認証とは、オンラインの認証サーバを通じてパス
ワード不要で利用者を認証する仕組みです。具体的な利用方法は、FIDO 認証対応
のスマートフォンで利用者に対する使用デバイスの登録を行い、本人認証を行うな
どが挙げられます。なお、FIDO 認証では生体認証機能を利用することでパスワー
ドに代わる認証が行われることが多いとされますが、生体認証に限らず他の方式の
技術によることも可能とされています。
（※２）「企画管理編 １３．医療情報システムの利用者に関する認証等及び権限」参照

シス１４章第①条
シＱ－53 ネットワーク上からの不正アクセスを防止するためにどのような対策が必要
か。
A

外部のネットワークとの接続点や DB サーバ等の安全管理上の重要部分には、ファイ
アウォール（ステートフルインスペクションやそれと同等の機能を含む。）を設置し、
ACL（アクセス制御リスト）等を適切に設定してください。

101