医療機関のシングルサインオン導入に役立つ「7つの助言」：コンプライアンスに厳しい病院での導入は厄介？

医療機関のシングルサインオン導入を成功させるためには、念入りな計画が不可欠だ。計画立案に着手するCIOに対する専門家の助言をまとめた。

[Don Fluckinger，TechTarget]

　「病院の医療従事者がソフトウェアとネットワークへのアクセスに使用する煩雑なパスワードを簡素化し、毎回アプリケーションへのログインを求められる状況を解消した方が良い」――誰もがこの認識では一致している。また、患者と医療従事者との間にある技術的な障壁は時間の無駄でもある。アプリケーションにアクセスしやすくなれば、診療記録の正確性も高まり、電子カルテを利用する上でのコンプライアンス促進につながるという見方もできる。

　しかしそのための最善の方法は何か？　この問題について一致した見解はない。

　ありがたいことに、医療機関のシングルサインオン（SSO）導入管理にはさまざまな方法が存在する。金融業や製造業などの複雑なビジネスネットワークと同様に、医療機関のSSOは厄介になりがちだ。しかし、技術的な選択肢は「アプリケーションだけを管理するWebブラウザベースの単純なWebシングルサインオン（WSSO）」から「全ソフトウェアのアクセスを管理できる包括的なエンタープライズシングルサインオン（ESSO）」に至るまで、膨大な数がある。

　次に、エンドユーザーがどのようにサインオンするのかを決めなければならない。生体認証やパッシブIDカード、アクティブRFID（無線ICタグ）、あるいは昔ながらのユーザー名とパスワードを使うのか、またはいずれかを組み合わせるのか。

　以上のような医療機関のSSO導入に関わる問題は、他の業界とも共通する。しかし医療機関のCIOは、SSO特有の問題も考慮しなければならない。例えば、米HIPAA（医療保険の相互運用性と説明責任に関する法令）のコンプライアンス対策の追跡記録や、アプリケーション間の相互運用ができない（特にレガシーアプリケーションの場合）という問題などがあり、一見したところ単純そうに思われたSSO導入の妨げにもなりかねない（関連記事：シングルサインオン導入への助言――メリットと注意点）。

　米IBM Security Systemsの国際プロダクトマネジャー、アーキト・ロホカレ氏は「医療機関のSSO導入を成功させるためには念入りな計画が不可欠だ」と話す。調査会社の米Ponemon Instituteの最近の報告書によれば、IBMのTivoli SSOシステムは医療業界で採用されている製品の上位6位に入る。「医療業界では規制が強化されたHIPAAと情報流出に関する新しい法律に照らして、広範な“セキュリティインテリジェンス”計画を策定する必要があり、SSOもその計画に含めるべきだ」と同氏は言う。

　「幅広いセキュリティ構想の中の構成要素としてSSOに目を向けなければならない。セキュリティ問題は爆発的な勢いで起きている。コンプライアンスのためにも、脅威から身を守るためにも、セキュリティインテリジェンスが考慮されたプラットフォームに組み込めるツールを導入することは極めて重要だ。患者情報とアプリケーションへのアクセスに関する全てのデータを中央のリポーティングエンジンに送り、攻撃を防ぐだけでなく、コンプライアンスとリポーティングにも利用できるようにすることだ」（ロホカレ氏）

　以下にロホカレ氏と、情報通信サービスの米Harris Corporationの販売地区マネジャー、ガブリエル・ウォーターズ氏による、SSO導入計画の立案に着手するCIOに向けた助言をまとめた。Harrisが2011年に買収した医療ソリューションベンダー、米Carefxの「Fusion Desktop suite of SSO」とこれに関連したワークフロー管理ツールは医療業界で800社以上に採用され、Ponemonの調査でも上位6位に入る。

関連記事

• 医療の質を底上げするデータ活用を支援　日本IBM
• 今後の医療ITで求められるセキュリティレベルとは？
• 医療現場の情報保護対策を強固にする「医療情報システム監査人認定制度」