Japan Association for Medical Informatics

[2-H-2-OP8-5] 病院情報システムにおける2要素認証の実装と利用状況

廣瀬 隼1, 山ノ内 祥訓2, 宇宿 功市郎1 (1.熊本大学医学部附属病院 医療情報経営企画部, 2.熊本大学医学部附属病院 総合臨床研究部)

【目的】ID+パスワードの組み合わせは、情報システムへのアクセス方法としてこれまで広く用いられてきた。しかし近年はセキュリティに対するリスクが高度化しており、利用者の「記憶」による認証では十分な安全性を確保できなくなってきている。医療情報システムの安全管理に関するガイドライン第5版(平成29年5月)では、上記認証の他に、指紋や顔などの身体的特徴を利用した「生体計測」によるもの、IC カードのような「物理媒体」の3つから、2つの独立した要素を用いて行う2要素認証が推奨されている。本院では2017年の病院情報システム更新時にID+パスワード認証を中止し、職員カードと顔認証を基本とした2要素認証システムを実装したので、その利用状況と課題について報告する。 
【方法】新システムの稼働を開始した2017年1月1日から4月30日までのシステム利用者の認証ログを対象とした。コンピュータ端末における認証方法は、①職員カード+顔認証、②職員カード+パスワード、③ID+顔認証の3つである。本システムでは、看護師全員に1台ずつモバイル端末を配布しており、その認証は、④職員カード+顔認証(モバイル)として別にカウントし、それぞれの認証数を経時的に評価した。
【結果】調査期間全体の認証数は1553600件であり、その内訳は、①573969件(37%)、②417548件(27%)、③377936件(24%)、④184147件(12%)だった。①と②の各月の認証数は、1月がそれぞれ153879件と112885件、2月が130578件と109672件、3月が143294件と103316件、4月は146218件と91675件だった。
【結論】職員カード+顔認証が最も多く利用されており、増加傾向にある一方で、職員カード+パスワードは減少傾向にあった。この認証方法のシフトは顔認証の利便性と確実性が関与していると思われる。しかし、職種や権限、職場環境の違いが利用する認証方法に大きく影響するため、今後はそれらの影響を詳細に検討する予定にしている。