文献情報
文献番号
200000107A
報告書区分
総括
研究課題名
厚生統計情報の利便性の向上とその活用における個人医療情報保護の在り方に関する研究(総括研究報告書)
課題番号
-
研究年度
平成12(2000)年度
研究代表者(所属機関)
高石 昌弘
研究分担者(所属機関)
- 山本隆一(大阪医科大学)
- 佐々木 哲明((財)医療情報システム開発センター)
- 坂本 憲広(九州大学医学部)
研究区分
厚生科学研究費補助金 行政政策研究分野 統計情報高度利用総合研究事業
研究開始年度
平成12(2000)年度
研究終了予定年度
-
研究費
54,000,000円
研究者交替、所属機関変更
-
研究報告書(概要版)
研究目的
本研究では、オンライン化促進の観点から厚生統計調査を検討すると同時に、データ提出、収集並びに解析を可能にするハードウェア及びソフトウェアの整備、開発の在り方を検討した。さらに、電子媒体を経由する個人特定可能データの保護確保等、安全に万全を期す必要があるため、個人情報保護のためのオンラインシステムにおけるセキュリティについて、現状の技術上の水準を確認しつつ研究を進めた。
研究方法
(1)電子媒体化された医療情報のセキュリティに関する研究として、電子化のための技術調査を行い、(2)オンラインにおけるセキュリティに関する研究として、地方自治体における保健統計調査の情報化に関する質問紙調査を行い、(3)電子カルテのセキュリティに関する研究として、統計情報の高度利用における安全性とプライバシー保護に関する研究を行った。
結果と考察
結果=(1)比較的廉価で、Internet内にSecureなプライベートネットワークが構築可能であることが分かった。またTLSに関してはOpenSSLを、LDAPについてはOpen LDAPを用いて、HTTPで情報交換を行う場合の安全性について検討した結果、RSA方式の1024bitsの公開鍵を用いる暗号化、および通信の両端の認証が可能であることを検証した。(2)地方自治体における保健統計の電子化の状況は、医療施設調査、病院報告が約60%と高かったものの、衛生行政報告例、地域保健・老人事業報告については約10%と低かった。(3)システムの構築のためには、 項目/用語の標準化、データモデルの標準化、匿名化データベースの構築、調査権限の管理が重要であることが分かった。
考察=厚生統計調査の電子化が困難な原因として、第一に、調査年度によって調査項目の一部変更があることが挙げられる。このため、厚生統計調査に対応した病院情報システムを構築することが困難であり、対応したシステムであっても調査項目や調査方法に変更が生じるとその都度システム改良のコストが発生するため、電子化のメリットが明確にならない。第二に、報告書式が紙媒体を前提としていることが挙げられる。現状ではほとんどが紙媒体で提出されているが、紙媒体を前提とした書式に出力するシステムは高コストとなり、システムの導入を妨げる一因となっている。個人情報保護及び情報セキュリティについては、厚生統計調査データのうち、患者名がなくとも住所、生年月日、性別等により一定の割合で個人が特定可能な場合などは、セキュリティ及び個人情報保護には十分な配慮で取り扱う必要がある。また、何らかの広報的な方法で目的の周知徹底を図るべきであろう。適正な取得については、目的の周知がはかられれば大きな問題はないと考えられる。正確性の確保については、電子化によって統計調査の各段階へのフィードバックが早くなる可能性があり、そうなれば、正確性の確保はさらに容易となる。情報の電子化は一般に利用性の向上をもたらすが、利用性の向上は不正なアクセスの機会を増すことにもなり、安全性の低下につながりかねない。したがって電子化に伴って十分な安全対策の強化が必要である。透明性の確保については、医療機関の診療情報から統計調査データを抽出する場合はもとの診療情報の透明性が問題になる可能性を考え、医療全体での透明性の向上に努めるべきであろう。目指すべきシステムの概要として、医療機関・保健機関における発生源入力がまず挙げられる。調査データは、その発生源である医療機関において入力されるべきであり、病名等医師が入力すべき情報は医師が入力できるシステムが求められる。これにより、効率化だけでなく、転記による誤記入が減少しデータ精度が向上する。オーダエントリーシステムから厚生統計調査に必要な項目を簡単に抽出できるような仕組みが存在すれば、調査データの収集は容易で確実なものとなると考えられる。次に、オンラインによるデータ送受信については、オフラインの送受信は両端で手作業が生じる上に、安全性も低く、媒体の管理の手間も無視はできないことから、十分な安全性の確保を前提にインターネットを利用したオンラインによるデータの送受信を行うべきである。オンラインで送受信を行うことにより、安全性・確実性が増すとともに、すぐに集計できるようにデータベースに直接入力することが可能となり、データの整合性などのチェックもリアルタイムに行うことが可能となる。その際、安全性の確保は現在の技術で十分に達成できる。さらには、自治体における統合データベースを構築すべきであろう。医療監視、各種医療法上の提出書類等の統合データベースが各自治体に構築、包括的に管理することにより調査データの整合性が容易になる。また、個人情報保護、情報セキュリティ対策には運用面とシステム面の2面から考える必要がある。また具体的に考えなければいけない要素として、システムの安全性確保、情報操作者の認証、通信経路の安全性確保、および情報の分離が挙げられる。統計調査にあたる組織全体を対象とするポリシーやそれに基づく運用規程も必要である。システムの安全性確保には物理的な安全性確保とネットワーク的な安全性確保があるが、運用に留意すれば一般的なものを導入することで十分安全性は確保される。情報操作者の認証には十分留意する必要がある。よく用いられる認証手段として、IDとパスワード、IC-Cardによる認証、生体計測認証がある。IDとパスワードによる認証は本研究の対象のようなセンシティブな情報では現実性を失いつつある。IC-Cardによる認証は現状ではもっとも合理的な認証方法と言える。入手が容易で、かつ確実で安全な認証が可能である。経路の安全性の確保のための公開鍵基盤にも対応が容易である。ただし印鑑と同様で、IC-Card紛失の危険は
ある。そのためにIC-Cardと本人を結びつける必要があるが、これにはパスワードや生体計測認証が用いられている。パスワードだけの認証は現実性を失いつつあるとしたが、この場合はIC-Cardを入手しない限り、パスワードを破っても意味がなく、IC-Cardの管理に十分留意している限り、安全性は高い。生体計測認証は指紋、声紋、虹彩のような、個別性の高い身体の一部を用いて認証するもので、所持情報の一種と考えられるが、IC-Cardのように紛失の危険性はない。理論的にはもっとも安全で確実な方法であるが、計測精度の高いものは高価であり、また身体の一部を認証機器に接触させるものが多く、感染症伝播などの問題がある。実用的に使われている例もあるが、本調査研究の対象に単独で用いるのは時期尚早であろう。通信経路の安全性対策には経路全体の安全性を確保と個々の情報の安全性確保の2つが存在する。経路全体の安全性確保は他からアクセス不可能な閉じたネットワークを形成することで、物理的に専用の閉じたネットワークを使う方法、スイッチング技術による論理的な閉じたネットワークを構成する方法、および暗号化と両端の機器を認証することによるVPNがある。物理的に専用のネットワークを構築することはかなり高価であり、また広域になればなるほど、ネットワークの監視が難しくなる。スイッチングにより論理閉域ネットワークは地域により利用可能で、比較的安価であるが、全国規模では十分整備されているとはいいがたく、また通信業者が管理するために、ポリシーの統一の問題もある。いずれにしても全国を対象とする厚生統計調査ではすべてで利用することはできない。これらにくらべてVPNは基本的にはソフトウエアで仮想の閉域ネットワークを構成するもので、既存のインターネットを利用することができる。機器も安価であり、安全性も高い。もっとも現実的な選択と考えてよい。経路上で個々の情報の安全性を確保する手段は暗号化と電子認証によるもので、TLSが標準化された規格の1つである。またメールだけでよければPGPやS-MIMEと呼ばれる規格も利用することができる。これらはいずれもPKI ( Publlic Key Infrastructure 公開鍵基盤)に基づくもので、現在もっとも広く使われている。本調査研究でもOpenSSLとOpenLDAPを用いて検証を行ったが、容易に構築可能であり、安全性を確保できる。VPNのような経路全体の安全性確保とTLSのような個々の情報の安全性確保の関係であるが、原則として両方を併用することが望ましい。VPNはネットワーク全体を安全に運用することができ、DoS攻撃 にも抵抗性があるが、そのネットワーク内では個々に安全性のレベルを変えることができない。それにくらべてTLSやS-MIMEはクライアントの認証を個々に行うために、必要に応じた安全性を確保できる。しかしTLSやS-MIMEは外見上は通常のインターネットの規格の1つであり、DoS攻撃に抵抗性がない。したがって理想的にはこれら2つを組み合わせて運用することが望ましいが、いずれも安全性は高く、例えば個々の医療機関・保健機関と地方自治体の間はTLSやS-MIMEだけにし、自治体と厚生労働省の間は併用すると言った運用でも可能と考えられる。
考察=厚生統計調査の電子化が困難な原因として、第一に、調査年度によって調査項目の一部変更があることが挙げられる。このため、厚生統計調査に対応した病院情報システムを構築することが困難であり、対応したシステムであっても調査項目や調査方法に変更が生じるとその都度システム改良のコストが発生するため、電子化のメリットが明確にならない。第二に、報告書式が紙媒体を前提としていることが挙げられる。現状ではほとんどが紙媒体で提出されているが、紙媒体を前提とした書式に出力するシステムは高コストとなり、システムの導入を妨げる一因となっている。個人情報保護及び情報セキュリティについては、厚生統計調査データのうち、患者名がなくとも住所、生年月日、性別等により一定の割合で個人が特定可能な場合などは、セキュリティ及び個人情報保護には十分な配慮で取り扱う必要がある。また、何らかの広報的な方法で目的の周知徹底を図るべきであろう。適正な取得については、目的の周知がはかられれば大きな問題はないと考えられる。正確性の確保については、電子化によって統計調査の各段階へのフィードバックが早くなる可能性があり、そうなれば、正確性の確保はさらに容易となる。情報の電子化は一般に利用性の向上をもたらすが、利用性の向上は不正なアクセスの機会を増すことにもなり、安全性の低下につながりかねない。したがって電子化に伴って十分な安全対策の強化が必要である。透明性の確保については、医療機関の診療情報から統計調査データを抽出する場合はもとの診療情報の透明性が問題になる可能性を考え、医療全体での透明性の向上に努めるべきであろう。目指すべきシステムの概要として、医療機関・保健機関における発生源入力がまず挙げられる。調査データは、その発生源である医療機関において入力されるべきであり、病名等医師が入力すべき情報は医師が入力できるシステムが求められる。これにより、効率化だけでなく、転記による誤記入が減少しデータ精度が向上する。オーダエントリーシステムから厚生統計調査に必要な項目を簡単に抽出できるような仕組みが存在すれば、調査データの収集は容易で確実なものとなると考えられる。次に、オンラインによるデータ送受信については、オフラインの送受信は両端で手作業が生じる上に、安全性も低く、媒体の管理の手間も無視はできないことから、十分な安全性の確保を前提にインターネットを利用したオンラインによるデータの送受信を行うべきである。オンラインで送受信を行うことにより、安全性・確実性が増すとともに、すぐに集計できるようにデータベースに直接入力することが可能となり、データの整合性などのチェックもリアルタイムに行うことが可能となる。その際、安全性の確保は現在の技術で十分に達成できる。さらには、自治体における統合データベースを構築すべきであろう。医療監視、各種医療法上の提出書類等の統合データベースが各自治体に構築、包括的に管理することにより調査データの整合性が容易になる。また、個人情報保護、情報セキュリティ対策には運用面とシステム面の2面から考える必要がある。また具体的に考えなければいけない要素として、システムの安全性確保、情報操作者の認証、通信経路の安全性確保、および情報の分離が挙げられる。統計調査にあたる組織全体を対象とするポリシーやそれに基づく運用規程も必要である。システムの安全性確保には物理的な安全性確保とネットワーク的な安全性確保があるが、運用に留意すれば一般的なものを導入することで十分安全性は確保される。情報操作者の認証には十分留意する必要がある。よく用いられる認証手段として、IDとパスワード、IC-Cardによる認証、生体計測認証がある。IDとパスワードによる認証は本研究の対象のようなセンシティブな情報では現実性を失いつつある。IC-Cardによる認証は現状ではもっとも合理的な認証方法と言える。入手が容易で、かつ確実で安全な認証が可能である。経路の安全性の確保のための公開鍵基盤にも対応が容易である。ただし印鑑と同様で、IC-Card紛失の危険は
ある。そのためにIC-Cardと本人を結びつける必要があるが、これにはパスワードや生体計測認証が用いられている。パスワードだけの認証は現実性を失いつつあるとしたが、この場合はIC-Cardを入手しない限り、パスワードを破っても意味がなく、IC-Cardの管理に十分留意している限り、安全性は高い。生体計測認証は指紋、声紋、虹彩のような、個別性の高い身体の一部を用いて認証するもので、所持情報の一種と考えられるが、IC-Cardのように紛失の危険性はない。理論的にはもっとも安全で確実な方法であるが、計測精度の高いものは高価であり、また身体の一部を認証機器に接触させるものが多く、感染症伝播などの問題がある。実用的に使われている例もあるが、本調査研究の対象に単独で用いるのは時期尚早であろう。通信経路の安全性対策には経路全体の安全性を確保と個々の情報の安全性確保の2つが存在する。経路全体の安全性確保は他からアクセス不可能な閉じたネットワークを形成することで、物理的に専用の閉じたネットワークを使う方法、スイッチング技術による論理的な閉じたネットワークを構成する方法、および暗号化と両端の機器を認証することによるVPNがある。物理的に専用のネットワークを構築することはかなり高価であり、また広域になればなるほど、ネットワークの監視が難しくなる。スイッチングにより論理閉域ネットワークは地域により利用可能で、比較的安価であるが、全国規模では十分整備されているとはいいがたく、また通信業者が管理するために、ポリシーの統一の問題もある。いずれにしても全国を対象とする厚生統計調査ではすべてで利用することはできない。これらにくらべてVPNは基本的にはソフトウエアで仮想の閉域ネットワークを構成するもので、既存のインターネットを利用することができる。機器も安価であり、安全性も高い。もっとも現実的な選択と考えてよい。経路上で個々の情報の安全性を確保する手段は暗号化と電子認証によるもので、TLSが標準化された規格の1つである。またメールだけでよければPGPやS-MIMEと呼ばれる規格も利用することができる。これらはいずれもPKI ( Publlic Key Infrastructure 公開鍵基盤)に基づくもので、現在もっとも広く使われている。本調査研究でもOpenSSLとOpenLDAPを用いて検証を行ったが、容易に構築可能であり、安全性を確保できる。VPNのような経路全体の安全性確保とTLSのような個々の情報の安全性確保の関係であるが、原則として両方を併用することが望ましい。VPNはネットワーク全体を安全に運用することができ、DoS攻撃 にも抵抗性があるが、そのネットワーク内では個々に安全性のレベルを変えることができない。それにくらべてTLSやS-MIMEはクライアントの認証を個々に行うために、必要に応じた安全性を確保できる。しかしTLSやS-MIMEは外見上は通常のインターネットの規格の1つであり、DoS攻撃に抵抗性がない。したがって理想的にはこれら2つを組み合わせて運用することが望ましいが、いずれも安全性は高く、例えば個々の医療機関・保健機関と地方自治体の間はTLSやS-MIMEだけにし、自治体と厚生労働省の間は併用すると言った運用でも可能と考えられる。
結論
現在の厚生統計調査は一部電子化されているもののほとんどは紙ベースの処理が行われている。これを改善するためには、医療機関における発生源入力システム、自治体における統合データベースの構築、オンライン化が求められる。また、個人情報保護、情報セキュリティに関して十分な配慮を行う必要がある。
公開日・更新日
公開日
-
更新日
-