|
会員ログイン |
JAHIS HPKI電子認証ガイドラインV1.1
ま え が き
本ガイドラインは保健医療福祉分野におけるヘルスケアPKI(HPKI)による認証を行うに際して、相互運用性を確保するために策定されたものである。
保健医療福祉分野においては、平成17年3月に厚生労働省により「医療情報システムの安全管理に関するガイドライン」(以下、「安全管理のガイドライン」と言う)が策定され、継続的に改定が行われている。安全管理のガイドライン」6.11章において、相手先の識別と認証においてPKIを利用出来る旨がC項に記載されている。また、同年4月には、同省にて「保健医療福祉分野PKI認証局 証明書ポリシ」策定され、国際標準に準拠した保健医療福祉分野向けのPKI(HPKI)証明書の発行ルールが確定した。さらに平成21年度には厚生労働省の医療情報ネットワーク基盤検討会において「保健医療福祉分野PKI認証局認証用(人)証明書ポリシ」の策定が行われた。これにより、署名用に続き、認証用についてもHPKI証明書の発行が行えることとなった。
JAHISは、産業界の業界団体として、これら国の施策に協力するとともに、普及促進を図るための相互運用性の確保を図ることが重要な役割であることから、2010年7月に「JAHIS HPKI電子認証ガイドライン V1.0」を策定し、JAHIS標準として公開した。今般、初版策定から3年以上経過したことから、認証の最新動向を踏まえ、解説の追記、文言の見直しなどを行い、「JAHIS HPKI電子認証ガイドライン V1.1」への改定を実施し、公開することとした。
本ガイドラインは、JAHIS 会員各社の意見を集約し、「JAHIS 標準」の一つとして発行したものである。したがって、会員各社がシステムの開発・更新に当たって、本ガイドラインに基づいた開発・改良を行い、本ガイドラインに準拠していることをその製品のカタログ・仕様書等に示し、さらにその製品の使用においてユーザが理解すべき内容を説明する場合などに使われることを期待している。
また本ガイドラインは上記「安全管理のガイドライン」で示されたPKIを利用した認証に関連する要求事項を、実装レベルで解説したガイドラインであり、HPKI認証機能を利用するシステムを導入しようとしている施設が参照し利用することは歓迎するところである。ただし、当該システムが法、政令、省令、通知、ガイドラインなどに合致しているか否かの判断は、自己責任の下で自ら判断する必要があることに留意されたい。
なお、本ガイドラインで扱うHPKI認証要件は、参照規格や技術動向にあわせて変化する可能性がある。JAHISとしても継続的に本規格のメンテナンスを重ねてゆく所存であるが、本ガイドラインの利用者はこのことにも留意されたい。
2014年9月
一般社団法人 保健医療福祉情報システム工業会
セキュリティ委員会
目 次
1.適用範囲... 1
1.1 目的... 1
1.2 策定方針... 1
2.引用規格・引用文献... 2
3.用語の定義... 3
4.記号および略語... 6
5.対象となるユースケース... 7
5.1 医療情報ネットワーク基盤検討会で検討されたユースケース... 7
5.2 院内で運用される医療情報システムでの加入者認証に用いるケース... 7
5.3 使ってはいけないケース... 8
6.PKI認証の概要... 9
6.1 PKI認証方式の概要... 9
6.2 対象となる機能範囲... 10
6.3 HPKIアプリケーションの位置付け... 12
6.4 PKI認証とSAML. 15
7.PKI認証機能の実装要件... 17
7.1 一般的なアクセスコントロールのフロー... 17
7.2 一般的なPKIによる認証のフロー... 17
7.3 クライアントの実装要件... 18
7.4 サーバの実装要件... 19
8.HPKIにおけるユーザーの識別... 21
8.1 加入者を一意に特定する情報(ID)を用いる方法... 21
8.2 hcRole属性を用いる方法... 21
9.署名用HPKIと認証用HPKIの使い分け... 23
9.1 使い分けの必要性... 23
9.2 使い分けの方法... 24
9.3 複数のEE証明書が存在する場合の対応方法... 25
附属書 A HPKI認証用証明書プロファイル(基本領域)... 26
A-1 HPKI認証用証明書プロファイル(基本領域)... 26
A-2 HPKI認証用証明書プロファイル(拡張領域)... 27
付録―1.参考文献... 29
付録―2.作成者名簿... 30