この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
ヘルスケア業界は、紙ベースのプロセスから自動化された電子プロセスに移行することでコストを削減するという課題に直面しています。医療提供の新しいモデルでは、患者情報を、ますます多くの専門医療提供者の間で、また従来の組織の境界を越えて共有する必要性が強調されています。
個々の市民に関する医療情報は、通常、電子メール、リモート データベース アクセス、電子データ交換、およびその他のアプリケーションによって交換されます。インターネットは、非常に費用対効果が高くアクセスしやすい情報交換手段を提供しますが、情報のプライバシーと機密性を維持するために追加の手段を講じる必要がある安全性の低い手段でもあります。不正アクセス (不注意または意図的) による健康情報のセキュリティに対する脅威が増加しています。不正アクセスのリスクを最小限に抑える信頼できる情報セキュリティ サービスを医療システムで利用できることが不可欠です。
ヘルスケア業界は、インターネットを介して伝達されるデータを実用的かつ費用対効果の高い方法で適切に保護するにはどうすればよいでしょうか?公開キー基盤 (PKI) とデジタル証明書テクノロジは、この課題に対処しようとしています。
デジタル証明書を適切に展開するには、技術、ポリシー、および管理プロセスを組み合わせて、公開鍵暗号化を使用して転送中の情報を保護し、個人または個人の身元を確認する証明書を使用して、セキュリティで保護されていない環境で機密データを交換できるようにする必要があります。実在物。医療環境では、このテクノロジーは認証、暗号化、およびデジタル署名を使用して、個人の健康記録への機密アクセスと移動を容易にし、臨床と管理の両方のニーズを満たします。デジタル証明書の展開によって提供されるサービス (暗号化、情報の完全性、およびデジタル署名を含む) は、これらのセキュリティ問題の多くに対処できます。これは特に、認定された情報セキュリティ標準と組み合わせてデジタル証明書を使用する場合に当てはまります。世界中の多くの個々の組織が、この目的のためにデジタル証明書を使用し始めています。
医療アプリケーションをサポートするために組織間および管轄区域間で情報を交換する場合 (たとえば、同じ患者を担当する病院と地域の医師の間)、デジタル証明書テクノロジとサポート ポリシー、手順、および慣行の相互運用性は基本的に重要です。
異なるデジタル証明書の実装間で相互運用性を実現するには、信頼のフレームワークを確立する必要があります。このフレームワークの下で、個人の情報の権利を保護する責任を負う当事者は、ポリシーと慣行に依存し、拡張により、他の確立された機関によって発行されたデジタル証明書の有効性に依存する可能性があります。
多くの国では、デジタル証明書を展開して、国境内での安全な通信をサポートしています。標準開発活動が国境内に制限されている場合、さまざまな国の認証局 (CA) と登録局 (RA) の間でポリシーと手順に矛盾が生じます。
デジタル証明書技術は、ヘルスケアに限定されない特定の側面でまだ進化しています。重要な標準化の取り組みと、場合によってはそれを支援する法律が進行中です。一方、多くの国の医療提供者は、すでにデジタル証明書を使用しているか、使用する予定です。この文書は、これらの急速な国際的発展をサポートするためのガイダンスの必要性に対処しようとしています。
インターネットは、医療機関間の医療データの移動をサポートするための最適な手段としてますます使用されており、この分野における国境を越えた通信の唯一の現実的な選択肢です。
ISO 17090 シリーズは、認証、機密性、データの完全性、デジタル署名の品質をサポートする技術的能力など、医療業界でセキュリティ サービスを提供するためにデジタル証明書を使用する方法の定義に貢献しています。
このドキュメントは、ヘルスケア分野での相互運用性を改善および保証するために、長期署名形式の ISO/ETSI 標準に準拠しています。
署名の作成対象やデータ形式に制限はありません。
Introduction
The healthcare industry is faced with the challenge of reducing costs by moving from paper-based processes to automated electronic processes. New models of healthcare delivery are emphasizing the need for patient information to be shared among a growing number of specialist healthcare providers and across traditional organizational boundaries.
Healthcare information concerning individual citizens is commonly interchanged by means of electronic mail, remote database access, electronic data interchange, and other applications. The Internet provides a highly cost-effective and accessible means of interchanging information but it is also an insecure vehicle that demands additional measures be taken to maintain the privacy and confidentiality of information. Threats to the security of health information through unauthorized access (either inadvertent or deliberate) are increasing. It is essential that reliable information security services that minimize the risk of unauthorized access be available to the healthcare system.
How does the healthcare industry provide appropriate protection for the data conveyed across the Internet in a practical, cost-effective way? Public Key Infrastructure (PKI) and digital certificate technology seeks to address this challenge.
The proper deployment of digital certificates requires a blend of technology, policy, and administrative processes that enable the exchange of sensitive data in an unsecured environment by the use of public key cryptography to protect information in transit and certificates to confirm the identity of a person or entity. In healthcare environments, this technology uses authentication, encipherment and digital signatures to facilitate confidential access to, and movement of, individual health records to meet both clinical and administrative needs. The services offered by the deployment of digital certificates (including encipherment, information integrity and digital signatures) are able to address many of these security issues. This is especially the case if digital certificates are used in conjunction with an accredited information security standard. Many individual organizations around the world have started to use digital certificates for this purpose.
Interoperability of digital certificate technology and supporting policies, procedures, and practices is of fundamental importance if information is to be exchanged between organizations and between jurisdictions in support of healthcare applications (for example between a hospital and a community physician working with the same patient).
Achieving interoperability between different digital certificate implementations requires the establishment of a framework of trust, under which parties responsible for protecting an individual’s information rights might rely on the policies and practices and, by extension, on the validity of digital certificates issued by other established authorities.
Many countries are deploying digital certificates to support secure communications within their national boundaries. Inconsistencies will arise in policies and procedures between the Certification Authorities (CAs) and the Registration Authorities (RAs) of different countries if standards development activity is restricted to within national boundaries.
Digital certificate technology is still evolving in certain aspects that are not specific to healthcare. Important standardization efforts and, in some cases, supporting legislation are ongoing. On the other hand, healthcare providers in many countries are already using or planning to use digital certificates. This document seeks to address the need for guidance to support these rapid international developments.
The Internet is increasingly used as the vehicle of choice to support the movement of healthcare data between healthcare organizations and is the only realistic choice for cross-border communication in this sector.
The ISO 17090 series, contributes to defining how digital certificates can be used to provide security services in the healthcare industry, including authentication, confidentiality, data integrity, and the technical capacity to support the quality of digital signature.
This document is in line with ISO/ETSI standards for long-term signature formats to improve and guarantee interoperability in the healthcare field.
There is no limitation regarding the data format and the subject for which the signature is created.