Japan Association for Medical Informatics

[4-C-1-1] 医療情報の安全管理に関するガイドラインにおけるSIM認証ネットの位置付け

山本 隆一 (医療情報システム開発センター)

医療情報システムの安全管理に関してはいわゆる3省3ガイドラインに準拠することが求められる。かつては3省4ガイドラインと呼ばれていたが、2018年7月に総務省の2ガイドラインが統合され、公表された。経産省と総務省のガイドラインは厚労省のガイドラインをカウンターパートとして作られており、ネットワークセキュリティの要求事項は同じである。厚労省のガイドラインでは専用線、公衆網、閉域IP通信網、およびオープンネットワークについて要件が記載されており、公衆網に関しては、ISPを介してオープンネットワークを通らない限りは専用線と同等とされている。ここでいう公衆網とはISDNが想定されており、発信者番号認証をベースにISDNルータ間で相互認証を行っている。これに対して、見かけ上は公衆網に見えるIP電話ではSIP認証を用いて相互認証を行うが、IP網が閉域でない場合(VoIPなど)は、ISDNと同等の安全性の確保は難しい。最近注目をされている携帯電話網をSIM認証で用いるサービスも携帯電話網だけを用いている限り、閉域網であり、認証制度は高く、厚労省ガイドラインで言う公衆網にあたり、用いるネットワークとしてはガイドラインに適合していると言える。しかし当然のことではあるが、オブジェクトセキュリティの確保は前提であり、公衆網内をSSHやHTTPS等でアクセスする必要はある。