病院・医療機関の皆様へ。「3省2ガイドライン」への対応はお済ですか？

そうした背景をうけ、厚生労働省の「医療情報システムの安全管理に関するガイドライン」と、経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」が策定されました。

これら3省が提示する2つのガイドライン 通称 「3省2ガイドライン」 への適用が、医療関連情報を取り扱う事業者に求められています。

このような課題を抱えている方は多いのではないでしょうか。
どの課題も対応が必要だと認識しつつも、どのように対応できるのか悩まれる方も多くみられます。

認証

医療情報システムの安全管理に関するガイドライン 第6版 では、令和9（2027）年度時点で稼働していることが想定される医療情報システムには、原則として二要素認証を採用することが求められています。
（二要素認証　についての詳細は、こちらをご参照ください。＞＞ コラムへの遷移）

二要素認証を取り入れると言っても、職務によって利用しやすい認証方法は異なるため、柔軟に対応できることが求められます。
一律での導入ではなく、役割によって利用者が負担にならない方法を選択できることが望ましいと考えます。

アクセス制限

業務の内容や職位によって、利用するシステムが異なることが一般的です。
最低限の情報へのアクセスのみを許可することが求められますが、一人ひとり許可するサービスを設定するのはとても煩雑で大変な作業となります。

業務や職位におけるグループを作成し、グループごとにアクセス制限を付与することで煩雑な運用を回避し、ケアレスミスを防止することができます。

記録

ガイドラインでは、情報システムにアクセス機能があることを前提としていますが、システムごとにログを確認するのは手間がかかります。
一括して記録をとることが可能であれば、管理者の負担が軽減できます。

これらの3つの課題において、IDaaS 「Gluegent Gate」を利用することで、どのように対応できるかご紹介します。

多要素認証で不正アクセス防止

Gluegent Gate の「シングルサインオン」機能は、多要素認証（二要素認証含む）に対応した認証サービスです。パスワードやICカードに加え、顔認証などの生体認証と自由に組み合わせることが可能です。1度の認証で連携する複数のシステムやサービスをすべて利用できるので、利用者の負担が増えることはありません。

また、それぞれの職務内容によって異なる認証方法を利用することも可能です。

アクセス制限でセキュリティを強化

Gluegent Gate では、曜日・日・時間やネットワークによるアクセス制限を利用することができます。
グループごとに制限を設定できるので、個別の対応が必要ありません。

監査記録で連携システムを一度に確認

Gluegent Gate の監査機能は、連携システムのすべてのログインを記録します。
一括して確認することができるので、管理負荷を軽減できます。

これらの機能を組み合わせることで、ガイドラインへのセキュリティ対策を行うことができます。