セキュリティ要件 

セキュリティ要件

最終更新:1997.7.5

  1. 目的

    1. 職種に応じた診療行為の制限
    2. 患者プライバシーの保護
    3. なりすまし防止
    4. 改竄防止
    5. 破壊防止

  2. 運用

    1. 職種に応じた診療行為の制限
        法律に基づき職種などに応じたオーダ権を設定する。具体的な設定方法については病院情報システム委員会の審議事項とする。

    2. 患者プライバシーの保護
        オーダ権と同様に、患者情報の閲覧権を設定する。しかし、システム利用時のチェック機構は必要以上に重くせず、利用状況を記録したログファイル等を使った事後監査を行なう方法を併用する。具体的な閲覧権の設定、および事後監査の運用に関しては、病院情報システム委員会の審議事項とする。

    3. なりすまし防止
        オーダ権限が医師のみに設定されるオーダ項目について止むを得ず代行入力を行なう場合には、医師の利用者番号とパスワードを使うのではなく、あくまでも代行入力者の利用者番号でログインしたうえで指示をした医師を指定してオーダ入力をおこなう。代行入力オーダの記録はシステムに残るものとする。

    4. 改竄防止
        システムの基本機能として要求する。

    5. 破壊防止
        システムの基本機能として要求する。

  3. 機能

    1. 職種に応じた診療行為の制限
      • オーダエントリシステムの利用者ごとに、オーダ権が設定できること。
      • オーダ権の設定は、人事課が管理する情報(所属および職名)をもとにして、職種に応じたレベルに自動的に設定されること。

    2. 患者プライバシーの保護
      • 患者情報が閲覧された場合には、端末を操作した利用者の情報などを履歴として残すこと。

    3. なりすまし防止
      • オーダ権限が医師のみに設定されるオーダ項目については、オーダ指示者である医師を指定すれば、オーダ入力者が医師でなくても代行入力が可能であること。
      • 上記の場合には、指示者のほかに入力者がオーダ履歴に記録されること。
      • オーダ履歴はテキストファイルにバッチ出力できること。
      • 中座機能(医師がオーダ入力作業の途中で端末を離れる直前の状態を端末が一時的に記憶する機能)を備えることが望ましい。
      • 利用者が頻繁に交代する端末におけるログアウト・ログインの操作を容易にするための機能を備えることが望ましい。一案として、カードを利用した方法を以下に示す。

        1. カードが挟まっているか否かを認識できる機器が端末に接続されているものとする。少なくとも、新たにカードを挿入されたことをこの機器が認識して端末側に伝える機能、および機器から受け取った情報を端末側が利用できるものとする。
        2. 新たな利用者が端末を使おうとする場合には、カードを機器に挿入することによってログイン画面が現れる。もし利用者番号がカードに磁気情報として記録されているならば、これを読み取ることができればなお良い。
        3. 前の利用者のカードが挟まったままになっていたときに新たな利用者が使おうとする場合には、前利用者のカードを抜いてから新たな利用者のカードを挿入する。新たなカードが挿入されたことによって、前の利用者は強制的にログアウトされ、新たな利用者のログイン画面となる。
        4. 挿入されているカードが抜かれた情報を機器が認識して端末側に伝えることが可能であれば、端末側はこの情報によってログアウトを促すことができればなお良い。

    4. 改竄防止
      • オーダ内容の変更や中止を含めて、すべてをオーダ履歴として記録すること。
      • オーダ履歴は変更できない形式で記録されること。

    5. 破壊防止
      • 可能な限り、システムは二重化されること。
      • システムが扱うデータは、信頼できる媒体に定期的にバックアップされること。
      • バックアップ作業は自動化されること。

  4. 評価項目

    1. オーダ種別ごとに、職種等の区分に基づいたオーダ権を設定できること。
    2. オーダ種別ごとに、職種等の区分に基づいた患者情報の閲覧権を設定できること。
    3. オーダ権および閲覧権の設定は、人事課が管理する情報(所属および職名)をもとにして、職種に応じたレベルに自動的に設定されること
    4. オーダ種別ごとに、サブネットに基づくオーダ権を設定できることが望ましい。
    5. オーダ種別ごとに、サブネットに基づく患者情報の閲覧権を設定できることが望ましい。

    6. オーダ権が医師のみに設定されるオーダ項目については、オーダ指示者のほかにオーダ入力者がオーダ履歴に記録されること。
    7. オーダ指示者とオーダ入力者が異なるオーダを把握するための機能をもつこと。そのために、下記のような形式のオーダ履歴を残すこと。少なくともオーダ指示者とオーダ入力者が異なるオーダ履歴についてテキスト出力する機能をもつこと。

    8. オーダ履歴をシステムに保持すること。
    9. オーダ履歴をテキストファイルにバッチ出力できること。
      • オーダ日時
      • オーダ端末識別番号
      • 指示医の利用者番号
      • 入力者の利用者番号
      • オーダの種別
      • オーダ内容(詳細については後日検討するものとする)
      • 患者ID番号
    10. オーダ指示者とオーダ入力者が異なるオーダの発行状況を、オーダ指示者が確認するための機能を提供すること。

    11. 患者情報の参照履歴をシステムに保持すること。
    12. 患者情報の参照履歴をテキストファイルにバッチ出力できること。
      • 参照日時
      • 端末識別番号
      • 操作者の利用者番号
      • 患者ID番号
      • 閲覧情報の種別(詳細については後日検討するものとする)

    13. 中座機能(医師がオーダ入力作業の途中で端末を離れる直前の状態を端末を一時的に記憶する機能)を備えることが望ましい。
    14. 利用者が頻繁に交代する端末におけるログアウト・ログインの操作を容易にするための機能を備えることが望ましい。

    15. オーダ内容の変更や中止を含めて、すべてをオーダ履歴として記録すること。
    16. オーダ履歴は変更できない形式で記録されること。

    17. 可能な限り、システムは二重化されること。
    18. システムが扱うデータは、信頼できる媒体に定期的にバックアップされること。
    19. バックアップ作業は自動化されること。