この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
ヘルスケア業界は、紙ベースのプロセスから自動化された電子プロセスに移行することでコストを削減するという課題に直面しています。医療提供の新しいモデルでは、患者情報を、ますます多くの専門医療提供者の間で、また従来の組織の境界を越えて共有する必要性が強調されています。
個々の市民に関する医療情報は、通常、電子メール、リモート データベース アクセス、電子データ交換、およびその他のアプリケーションによって交換されます。インターネットは、非常に費用対効果が高くアクセスしやすい情報交換手段を提供しますが、情報のプライバシーと機密性を維持するために追加の手段を講じる必要がある安全性の低い手段でもあります。不正アクセス (不注意または意図的) による健康情報のセキュリティに対する脅威が増加しています。不正アクセスのリスクを最小限に抑える信頼できる情報セキュリティ サービスを医療システムで利用できるようにすることが不可欠です。
ヘルスケア業界は、インターネットを介して伝達されるデータを実用的かつ費用対効果の高い方法で適切に保護するにはどうすればよいでしょうか?公開鍵インフラストラクチャ (PKI) とデジタル証明書テクノロジは、この課題に対処しようとしています。
デジタル証明書を適切に展開するには、転送中の情報を保護するための「公開鍵暗号化」と、身元を確認するための「証明書」を使用して、セキュリティで保護されていない環境で機密データの交換を可能にする技術、ポリシー、および管理プロセスを組み合わせる必要があります。人または団体。医療環境では、このテクノロジーは認証、暗号化、およびデジタル署名を使用して、個人の健康記録への機密アクセスと移動を容易にし、臨床と管理の両方のニーズを満たします。デジタル証明書の展開によって提供されるサービス (暗号化、情報の完全性、およびデジタル署名を含む) は、これらのセキュリティ問題の多くに対処できます。これは特に、認定された情報セキュリティ標準と組み合わせてデジタル証明書を使用する場合に当てはまります。世界中の多くの個々の組織が、この目的のためにデジタル証明書を使用し始めています。
医療アプリケーションをサポートするために組織間および管轄区域間で情報を交換する場合 (たとえば、同じ患者を担当する病院と地域の医師の間)、デジタル証明書テクノロジとサポートするポリシー、手順、および慣行の相互運用性は、基本的に重要です。
異なるデジタル証明書の実装間で相互運用性を実現するには、信頼のフレームワークを確立する必要があります。このフレームワークの下で、個人の情報の権利を保護する責任を負う関係者は、ポリシーと慣行、さらには他の確立された機関によって発行されたデジタル証明書の有効性に依存できます。
多くの国では、デジタル証明書を展開して、国境内での安全な通信をサポートしています。標準開発活動が国境内に制限されている場合、さまざまな国の認証局 (CA) と登録局 (RA) の間でポリシーと手順に矛盾が生じます。
デジタル証明書技術は、ヘルスケアに限定されない特定の側面でまだ進化しています。重要な標準化の取り組みと、場合によってはそれを支援する法律が進行中です。一方、多くの国の医療提供者は、すでにデジタル証明書を使用しているか、使用する予定です。この文書は、これらの急速な国際的発展をサポートするためのガイダンスの必要性に対処しようとしています。基礎となるセキュリティ標準は検証方法に対処していますが、医療目的をサポートするための安全な検証プロセスの要件は定義されていません。
このドキュメントでは、医療情報システムで使用される ISO 17090 シリーズで定義されている医療 PKI に基づいて、エンティティの資格情報を検証する手順の要件について説明します。認証プロセスとデジタル署名プロセスで使用される暗号操作は同じですが、認証と署名は異なる意味を持ちます。システムとソフトウェアは、ユーザーが秘密鍵とその証明書を悪用するのを防ぎます。特に、両方の鍵が安全なトークンにある場合はそうです。このドキュメントでは、Healthcare PKI クレデンシャルを使用した認証プロセス内の脅威と脆弱性を軽減するための要件について説明します。
Introduction
The healthcare industry is faced with the challenge of reducing costs by moving from paper-based processes to automated electronic processes. New models of healthcare delivery are emphasizing the need for patient information to be shared among a growing number of specialist healthcare providers and across traditional organizational boundaries.
Healthcare information concerning individual citizens is commonly interchanged by means of electronic mail, remote database access, electronic data interchange and other applications. The Internet provides a highly cost-effective and accessible means of interchanging information, but it is also an insecure vehicle that demands additional measures be taken to maintain the privacy and confidentiality of information. Threats to the security of health information through unauthorized access (either inadvertent or deliberate) are increasing. It is essential to have available to the healthcare system reliable information security services that minimize the risk of unauthorized access.
How does the healthcare industry provide appropriate protection for the data conveyed across the Internet in a practical, cost-effective way? Public key infrastructure (PKI) and digital certificate technology seek to address this challenge.
The proper deployment of digital certificates requires a blend of technology, policy and administrative processes that enable the exchange of sensitive data in an unsecured environment by the use of “public key cryptography” to protect information in transit and “certificates” to confirm the identity of a person or entity. In healthcare environments, this technology uses authentication, encipherment and digital signatures to facilitate confidential access to, and movement of, individual health records to meet both clinical and administrative needs. The services offered by the deployment of digital certificates (including encipherment, information integrity and digital signatures) are able to address many of these security issues. This is especially the case if digital certificates are used in conjunction with an accredited information security standard. Many individual organizations around the world have started to use digital certificates for this purpose.
Interoperability of digital certificate technology and supporting policies, procedures and practices is of fundamental importance if information is to be exchanged between organizations and between jurisdictions in support of healthcare applications (for example, between a hospital and a community physician working with the same patient).
Achieving interoperability between different digital certificate implementations requires the establishment of a framework of trust, under which parties responsible for protecting an individual’s information rights may rely on the policies and practices and, by extension, the validity of digital certificates issued by other established authorities.
Many countries are deploying digital certificates to support secure communications within their national boundaries. Inconsistencies will arise in policies and procedures between the certification authorities (CAs) and the registration authorities (RAs) of different countries if standards development activity is restricted to within national boundaries.
Digital certificate technology is still evolving in certain aspects that are not specific to healthcare. Important standardization efforts and, in some cases, supporting legislation are ongoing. On the other hand, healthcare providers in many countries are already using or planning to use digital certificates. This document seeks to address the need for guidance to support these rapid international developments. While underlying security standards address methods for verification, requirements for secure verification processes to support healthcare purposes are not defined.
This document describes the procedural requirements validating an entity credential based on Healthcare PKI defined in ISO 17090 series used in healthcare information systems. Although the cryptographic operations used at the authentication processes and the digital signature processes are the same, authentication and signature have different meanings. Systems and software prevent the users from misuse of the private keys and their certificates especially if both keys are on a secure token. This document describes the requirements to mitigate threats and vulnerabilities within the authentication processes with Healthcare PKI credentials.