この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
ヘルスケア業界は、紙ベースのプロセスから自動化された電子プロセスに移行することでコストを削減するという課題に直面しています。医療提供の新しいモデルでは、患者情報を、ますます多くの専門医療提供者の間で、また従来の組織の境界を越えて共有する必要性が強調されています。
個々の市民に関する医療情報は、通常、電子メール、リモート データベース アクセス、電子データ交換、およびその他のアプリケーションによって交換されます。インターネットは、非常に費用対効果が高くアクセスしやすい情報交換手段を提供しますが、情報のプライバシーと機密性を維持するために追加の手段を講じる必要がある安全性の低い手段でもあります。不正アクセス (不注意または意図的) による健康情報のセキュリティに対する脅威が増加しています。不正アクセスのリスクを最小限に抑える信頼できる情報セキュリティ サービスを医療システムで利用できるようにすることが不可欠です。
ヘルスケア業界は、インターネットを介して伝達されるデータを実用的かつ費用対効果の高い方法で適切に保護するにはどうすればよいでしょうか?公開鍵基盤 (PKI) テクノロジは、この課題に対処しようとしています。
デジタル証明書を適切に展開するには、転送中の情報を保護するための「公開鍵暗号化」と、身元を確認するための「証明書」を使用して、セキュリティで保護されていない環境で機密データの交換を可能にする技術、ポリシー、および管理プロセスを組み合わせる必要があります。人または団体。医療環境では、このテクノロジーは認証、暗号化、およびデジタル署名を使用して、個人の健康記録への機密アクセスと移動を容易にし、臨床と管理の両方のニーズを満たします。デジタル証明書の展開によって提供されるサービス (暗号化、情報の完全性、およびデジタル署名を含む) は、これらのセキュリティ問題の多くに対処できます。これは特に、認定された情報セキュリティ標準と組み合わせてデジタル証明書を使用する場合に当てはまります。世界中の多くの個々の組織が、この目的のためにデジタル証明書を使用し始めています。
医療アプリケーションをサポートするために組織間および管轄区域間で情報を交換する場合 (たとえば、同じ患者を担当する病院と地域の医師の間)、デジタル証明書テクノロジとサポートするポリシー、手順、および慣行の相互運用性は、基本的に重要です。
異なるデジタル証明書の実装間で相互運用性を実現するには、信頼のフレームワークを確立する必要があります。このフレームワークの下で、個人の情報の権利を保護する責任を負う関係者は、ポリシーと慣行、さらには他の確立された機関によって発行されたデジタル証明書の有効性に依存できます。
多くの国では、デジタル証明書を展開して、国境内での安全な通信をサポートしています。標準開発活動が国境内に制限されている場合、異なる国の認証局 (CA) と登録局 (RA) の間でポリシーと手順に矛盾が生じます。
デジタル証明書技術は、ヘルスケアに限定されない特定の側面でまだ進化しています。重要な標準化の取り組みと、場合によってはそれを支援する法律が進行中です。一方、多くの国の医療提供者は、すでにデジタル証明書を使用しているか、使用する予定です。この国際規格は、これらの急速な国際開発のガイダンスの必要性に対処しようとしています。
この国際規格は、単一ドメイン内、ドメイン間、および管轄境界を越えた医療情報の交換を保護するためにデジタル証明書を使用できるようにするために対処する必要がある、一般的な技術、運用、およびポリシーの要件について説明しています。その目的は、グローバルな相互運用性のためのプラットフォームを作成することです。特にデジタル証明書対応の国境を越えた通信をサポートしていますが、ヘルスケアにおけるデジタル証明書の国または地域での展開に関するガイダンスも提供できます。インターネットは、医療機関間の医療データの移動をサポートするための最適な手段としてますます使用されており、この分野における国境を越えた通信の唯一の現実的な選択肢です。
この国際規格は、認証、機密性、データの完全性、および品質をサポートする技術的能力を含む、医療業界でセキュリティ サービスを提供するためにデジタル証明書をどのように使用できるかを定義するために 3 つの部分すべてが貢献し、全体として取り組む必要があります。デジタル署名の。
ISO 17090-1 は、ヘルスケアにおけるデジタル証明書の使用の基礎となる基本概念を定義し、デジタル証明書を確立して健康情報の安全な通信を可能にするための相互運用性要件のスキームを提供します。
ISO 17090-2 は、国際標準 X.509 に基づくデジタル証明書のヘルスケア固有のプロファイルと、さまざまな種類の証明書について IETF/RFC 5280 で指定されているプロファイルを提供します。
ISO 17090-3 は、ヘルスケアにおけるデジタル証明書の実装と使用に関連する管理上の問題を扱っています。これは、証明書ポリシー (CP) の構造と最小要件、および関連する認証プラクティス ステートメントの構造を定義します。このパートは、IETF/RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Frameworkの推奨事項に基づいており、国境を越えた通信のための医療セキュリティ ポリシーに必要な原則を特定しています。また、医療に固有の側面に重点を置いて、必要な最低限のセキュリティ レベルを定義します。
この国際規格の内容に関するコメント、およびこれらの規格の適用に関するコメント、提案、および情報は、ISO/TC 215 事務局 ( Lisa.Spellman@ahima.org)または WG4 PKI プロジェクト リーダーのRossFraserに転送できます。 @SextantSoftware.com 。
Introduction
The healthcare industry is faced with the challenge of reducing costs by moving from paper-based processes to automated electronic processes. New models of healthcare delivery are emphasizing the need for patient information to be shared among a growing number of specialist healthcare providers and across traditional organizational boundaries.
Healthcare information concerning individual citizens is commonly interchanged by means of electronic mail, remote database access, electronic data interchange and other applications. The Internet provides a highly cost-effective and accessible means of interchanging information, but is also an insecure vehicle that demands additional measures be taken to maintain the privacy and confidentiality of information. Threats to the security of health information through unauthorized access (either inadvertent or deliberate) are increasing. It is essential to have available to the healthcare system reliable information security services that minimize the risk of unauthorized access.
How does the healthcare industry provide appropriate protection for the data conveyed across the Internet in a practical, cost-effective way? Public key infrastructure (PKI) technology seeks to address this challenge.
The proper deployment of digital certificates requires a blend of technology, policy and administrative processes that enable the exchange of sensitive data in an unsecured environment by the use of “public key cryptography” to protect information in transit and “certificates” to confirm the identity of a person or entity. In healthcare environments, this technology uses authentication, encipherment and digital signatures to facilitate confidential access to, and movement of, individual health records to meet both clinical and administrative needs. The services offered by the deployment of digital certificates (including encipherment, information integrity and digital signatures) are able to address many of these security issues. This is especially the case if digital certificates are used in conjunction with an accredited information security standard. Many individual organizations around the world have started to use digital certificates for this purpose.
Interoperability of digital certificate technology and supporting policies, procedures and practices is of fundamental importance if information is to be exchanged between organizations and between jurisdictions in support of healthcare applications (for example, between a hospital and a community physician working with the same patient).
Achieving interoperability between different digital certificate implementations requires the establishment of a framework of trust, under which parties responsible for protecting an individual’s information rights may rely on the policies and practices and, by extension, the validity of digital certificates issued by other established authorities.
Many countries are deploying digital certificates to support secure communications within their national boundaries. Inconsistencies will arise in policies and procedures between the certification authorities (CAs) and registration authorities (RAs) of different countries if standards development activity is restricted to within national boundaries.
Digital certificate technology is still evolving in certain aspects that are not specific to healthcare. Important standardization efforts and, in some cases, supporting legislation are ongoing. On the other hand, healthcare providers in many countries are already using or planning to use digital certificates. This International Standard seeks to address the need for guidance of these rapid international developments.
This International Standard describes the common technical, operational and policy requirements that need to be addressed to enable digital certificates to be used in protecting the exchange of healthcare information within a single domain, between domains and across jurisdictional boundaries. Its purpose is to create a platform for global interoperability. It specifically supports digital certificate enabled communication across borders, but could also provide guidance for national or regional deployment of digital certificates in healthcare. The Internet is increasingly used as the vehicle of choice to support the movement of healthcare data between healthcare organizations and is the only realistic choice for cross-border communication in this sector.
This International Standard should be approached as a whole, with the three parts all making a contribution to defining how digital certificates can be used to provide security services in the health industry, including authentication, confidentiality, data integrity and the technical capacity to support the quality of digital signature.
ISO 17090-1 defines the basic concepts underlying the use of digital certificates in healthcare and provides a scheme of interoperability requirements to establish digital certificate enabled secure communication of health information.
ISO 17090-2 provides healthcare specific profiles of digital certificates based on the International Standard X.509 and the profile of this specified in IETF/RFC 5280 for different types of certificates.
ISO 17090-3 deals with management issues involved in implementing and using digital certificates in healthcare. It defines a structure and minimum requirements for certificate policies (CPs) and a structure for associated certification practice statements. This part is based on the recommendations of the IETF/RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework and identifies the principles needed in a healthcare security policy for cross border communication. It also defines the minimum levels of security required, concentrating on the aspects unique to healthcare.
Comments on the content of this International Standard, as well as comments, suggestions and information on the application of these standards may be forwarded to the ISO/TC 215 Secretariat: Lisa.Spellman@ahima.org or WG4 PKI project leader Ross Fraser at RossFraser@SextantSoftware.com.