2014年6月24日火曜日

第9回 バイオメトリック認証の最新動向(その2)

バイオメトリック認証の2回目。「安全安心なバイオメトリック認証の実現」から。まず、画像処理装置ではなくセキュリティ製品としてのバイオメトリック認証装置という問題。これについては、著者である瀬戸洋一氏のホームページから「バイオメトリック認証システムの安全性に関する研究」を入手。この資料で詳細を調べる。また、氏の著書「情報セキュリティ概論」にも記載多。次に、バイオメトリック認証とプライバシーの問題。これについては、プライバシー影響評価(PIA)について調べる。「プライバシー影響評価(PIA)に基づく個人情報の有効活用」などで現状を簡単に把握できるだろう。新しい展開として米国のアイデンティティ・エコシステムの試みが紹介されていた。これについては、「信頼できるID情報の確立のために-米国が取り組むIdentity Ecosystem-」などが参考になる。
Identity Ecosystemはすでに多くのWebサービスで実現されているID連携をよりセキュリティやプライバシーが求められているサービスにも利用できないかという発想でスタートしている。

最後に、面白い記事があった。

あなたのパスワード、バレてます ハック、漏えいのプロセスと対処法

2014年6月17日火曜日

第8回 バイオメトリック認証の最新動向(その1)

iPhone5に指紋認証機能が搭載されたり、PCにUSB接続して利用する安価な指紋認証器が市場に出回るなど、生体認証が身近になってきた。この記事では、そうした生体認証技術の最新動向を探り、病院情報システムで利用する上でどのような利点・欠点、そして制限(限界)があるかを考える。

参考文献

2014年6月10日火曜日

第7回 医療ITの中の信頼基盤となる保健医療福祉分野PKI認証局のあり方(その4)

保健医療福祉分野のPKI(以降HPKIと記す)は謎に満ちている。ネットをサーフィンしても全体像が見えてこない。果たして機能しているのかどうかさえ分からない。ただし、日医の認証局はこの1月から正式に稼働していていることは、日医HPで確認済み。
保健医療福祉分野PKI認証局 証明書ポリシ」というガイドラインが厚労省から出ている。平成17年(2005年)のこと。これは個人情報保護法が施行された年である。JAHISのホームページによれば、これによって「 国際標準に準拠した保健医療福祉分野向けのPKI(HPKI)証明書の発行ルールが確定」したということだ。その後、「平成22年度(2010年)には厚生労働省の医療情報ネットワーク基盤検討会において『保健医療福祉分野PKI認証局 認証用(人)証明書ポリシ』 の策定が行われた。これにより、署名用に続き、認証用についてもHPKI証明書の発行が行えることとなった」ということらしい。ということは、「保健医療福祉分野PKI認証局 証明書ポリシ」というのは「署名用」で「保健医療福祉分野PKI認証局 認証用(人)証明書ポリシ」は「認証用」の証明書ということ?証明書に「署名用」とか「認証用」とかあったかな・・・。これらのガイドラインは60頁~80頁もある大作でなかなか読む気になれない。
さらにこれらに加えて「保健医療福祉分野PKI認証局 認証用(組織)証明書ポリシ」というのまである。これらの違いは、「人」と「組織」の違いだけのようだが、一体どういうこと?ガイドラインを敢えて分ける必要があったのかな・・・。
JAHISのセキュリティ委員会の委員長が書いた「日本におけるヘルスケアPKI」という資料がある。2009年6月24日の資料だから少し古いけれど、大まかな流れはわかる。この資料の16頁に「HPKIにおける署名用途とそれ以外(認証用・暗号用)の分離」「署名用途は全国統一のルールが必要」「属性を含む個人認証用は全国統一ルール策定には時期尚早」「暗号用は既に広く普及(SSL,IPSECなど)」といった記述がみられる。なるほど、HPKIの一番の目的は「署名」なんだ。紹介状(診療情報提供書)など、従来、医師の署名が必要な文書を電子化するには避けて通れない「署名」を実現するインフラとしてどうしてもHPKIはなくてはならないということだろう。


2014年6月3日火曜日

第6回 医療ITの中の信頼基盤となる保健医療福祉分野PKI認証局のあり方(その3)

前回まで暗号技術の基礎を紹介してきました。やっとこれで本テーマの背景知識が整ったので、いよいよ本論に入ります。今日の講義では、なぜ、医療ITの実現にとってHPKIが必須の基盤になるのかを考えます。まず、医療分野におけるIT化と基盤整備の例として、①「どこでもMY病院」、②「シームレスな地域連携医療」が挙げられています。これらについて簡単に概観します。これらの取り組みは、2010年ごろから登場し、経済産業省や総務省、厚生労働省が実証実験を行っているようです。少し古い情報ですが(2012)、

  • 「シームレスな地域連携医療=病院の医師同士の連携」
  • 「どこでもMY病院構想=個人による意識的な疾病管理」
といった記述がネット上のサイトに見られます。また、

  • どこでもMY病院=医療機関のみで利用されていた医療情報を、国民本人が自ら管理・活用できるようにするサービス
  • シームレスな地域連携医療=あらゆる境界を超えて切れ目のない医療・介護情報連携を実現し、地域の医療・介護サービスの質向上を目指すもの
といった説明も見られます。
また、最近の動向として、第17回日本医療情報学会春季学術大会(2013年)で、実証事業で明らかになった医療・健康情報活用の成果と課題が発表されているようです(記事)。それによれば、
  • 情報を保管する仕組みの構築
  • 患者から同意を得る仕組みの構築
  • 端末自身のセキュリティ機能の明確化
が重要であるとしています。特にセキュリティに関しては、端末の紛失・盗難防止対策、不正利用・なりすまし対策などに関する運用ルールに言及されています。また、連携に最低限必要な情報として、基本情報、処方履歴、検体検査結果、アレルギー情報、既往歴、禁忌情報、感染症情報などを挙げていました。どれも一筋縄ではいかない問題ばかりです。
さて、HPKIについてですが、2005年に厚生労働省が「保健医療福祉分野PKI認証局 証明書ポリシ」を策定しました。これに則って運営される認証局のことをHPKIといいます。この枠組みの中で実際に運営されている認証局として「日本医師会電子認証センター」(2014年本格稼働)があります。現在、HPKIはどうなっているのかとネットで検索したところ「日本におけるヘルスケアPKI (HPKI)の最新動向」(2009)というのがありました。2009年の情報なので、最新動向でもないのですが、このくらいの情報しか見つかりません。平成25年3月1日に厚生労働省が「保健医療福祉分野の公開鍵基盤(HPKI)認証局の運営に関する調達」を公募しています。これに対して「ジャパンネット株式会社」というところが平成25年4月1日に落札しています(落札価格2,560万円)。ということで、まんざら動きが停まっているわけでもないようです。