是安俊之
株式会社ビー・エム・エル
システム本部長
はじめに
厚生省通知「診療録等の電子媒体による保存について」が出て、はや1年が経過した。この通知は関係諸氏の多年にわたる尽力の賜物であり、まさに画期的な内容の通知であって、これをターニングポイントとして医療の情報化、電子化が一挙に加速するとの見方もあったが、この1年を振り返って見ると、その進展はまだ遅々とした感が否めない。電子カルテの普及を遅らせている要因には、ユーザインタフェースやコンピュータリテラシーの問題、導入コストなど様々なものが考えられるが、通知にある電子化のための3基準を満たすのが困難であることを理由とする医療機関も少なくない。
実際、「真正性」「見読性」「保存性」確保の3基準を満たすことは容易ではなく、特に「真正性」の確保については技術的に十分な対応がとれず、医療機関の組織的な対応(運用による対策)に依存せざるを得ないというシステムがほとんどで、ユーザーの管理負担、運用負担が非常に重くなってしまっている。また、個人が運営する診療所のように組織を持たないような場合は「真正性」の確保はさらに困難で、技術的な対応が強く求められている。
「真正性」の確保には「個人認証」と「非改ざん証明」の二つの側面がある。このうち「個人認証」についてはパスワード、ICカード、指紋認証、虹彩認証など多様な解決方法が既に提示され実用化されており、技術的に十分なレベルに達していると判断される。一方、「非改ざん証明」については技術的な解決方法がこれまで実用化されておらず、大きな課題となっている。
ここでは、「真正性」の確保について「非改ざん証明」に焦点を当てて議論を進める。
1.「真正性」確保の重要性
1.1 ユーザーの視点から通知は3基準を満たすことはシステムを使用する医療機関の自己責任であるとしている。これは、医療機関がシステムを自由に選択でき、そのシステムを使用して3基準を満たすのに必要十分な運用管理規定を自らが策定し、これを遵守するという非常に柔軟なコンセプトであり、技術の進歩や社会状況の変化にも陳腐化しない優れた考え方である。
しかしながら、システムに技術的な弱点がある場合、これを運用管理規定を軸とする組織的な対応によってカバーすることは運用主体であるユーザーにとって大きな負担となる。自己責任は「説明責任」「管理責任」「結果責任」の3つからなるが、このうちの「説明責任」は「保存されていた情報の十分な証明能力を維持するために利用者を含めた保存システムの管理運用体制を社会に対して十分に説明できること」であるとしている。「非改ざん証明」は組織内部に不正がないことを証明することであり、これを社会に対して十分に説明することは容易ではない。特に、昨今は企業や警察機構などによる組織ぐるみの不正が相次ぎ、社会が組織を見る目は非常に厳しくなっている。このような厳しい社会環境のなかで自らの公正性を立証するには、厳重かつ頻繁な監査の実施やその記録の厳密な管理など医療機関に過大な負担がかかることになる。
また、組織をもたない個人医院などでは証明はさらに困難で、技術的によほどしっかりとした仕組みがないとユーザーの自己責任では導入が事実上困難になることが危惧される。
1.2 ベンダーの視点から
「真正性」確保の困難性はベンダーにとっても一つの脅威となっている。それは、「真正性」確保の失敗が他へ波及し過去に遡及するという特性をもっているからである。例えば、あるベンダーが電子カルテシステムを100ユーザーに販売したとする。このシステムに技術的な脆弱性が内在し、「真正性」の確保が不十分であり、数年後にあるユーザーにおいて改ざんの事実が発覚した場合、同じシステムを適正に使用している他の99ユーザーについても信頼性が著しく損なわれてしまう結果を招く。改ざんの事実が無くても最近のゲーム機で発生した事例のように、興味本位のホームページ等でそのシステムの改ざん方法などが公開されてしまっても同様に全てのユーザーの信頼性が失われてしまう。さらに、このような信頼性の崩壊が起こった場合、その影響は全てのユーザーが蓄積している全患者の記録を過去まで遡及することになり、一瞬にして数万〜数十万患者分の記録の信頼性が損なわれることを意味し、しかも過去に戻って対策を講じることはできないので信頼性を回復する手段が存在しないことになる。
このような事態が発生した場合、システムを採用した医療機関の自己責任が原則とはいえ、ベンダーの社会的な責任は免れ得ず、ベンダーは背負いきれないリスクを負うことになる。このように、「真正性」の確保をいかに確実に実現するかは、ベンダーにとっても医療機関と同等もしくはそれ以上に重要な課題であるといえる。
2.「真正性」確保の困難性
3基準のなかで「真正性」の確保が最も難しいということは衆目の一致するところである。技術的に「真正性」が確保できればユーザー、ベンダーともに多大なメリットが得られることから、様々な方法を検討してきたが、次に掲げるような従来型のアプローチではどれも十分な非改ざん証明ができないことが判明している。
- CD−Rのような書き換えできない媒体に記録するので改ざんできない
−>CD−Rのデータをハードディスクにコピーし、ハードディスク上で変更した後、新品のCD−Rにコピーすることで改ざん可能。元のCD−Rは破棄する。- フライトレコーダーのような書き換えできない特殊装置に記録するので改ざんできない
−>装置はユーザーの管理下にあり、装置メーカーや高度技術者にも変更できないことを証明するのは困難。データのバックアップが意味を持たないので装置の故障に対応が困難- データの変更は元のデータに取消しマークを入れて残し、修正データを追記する形式で行うので改ざんできない
−>元のデータを直接変更するソフト(エディターや自作ソフト)を使用すれば改ざんできる- 4) データを変更すると、その記録(ログ情報)が残るので改ざんできない
−>ログ情報を残さないソフト(エディターや自作ソフト)で直接データを操作することで改ざんできる- 5) データは高度な暗号で処理されており、暗号鍵を知らないユーザーには改ざんできない
−>ユーザーが暗号鍵を知らないことの証明は不可能- 6) データを紙、フロッピー、光カードなどで患者に渡すので改ざんできない
−>患者がデータを紛失する可能性が大きい。患者側の改ざんに対抗できないこのように、ハッカー等の外部からの攻撃からシステムを守る場合と異なり、システムの管理権限、アクセス権限を正当に持っているが故に、アクセス制御技術や暗号技術など従来型のセキュリティ技術では、ユーザーが内部不正のないことを社会に対して証明することは非常に難しいことが判る。
3.解決方法
対象を電子データに限定せず、一般論として情報の非改ざん証明を行おうとした場合、すぐに想起されるのは情報を信頼できる第三者機関に保管してもらうという方法である。内容証明郵便や公証人制度、特許庁への出願などはいずれもこの考え方によるもので、社会的にも広く認知されている。では、同じ考えを電子カルテにも適用できないか、ということだが、次の2つの問題がある。
(a)電子カルテの場合、日々大量のデータが発生し、これをそのまま第三者機関が保管管理するのは技術的にも経済的にも困難である。また、カルテデータには患者のプライバシー情報等も含まれるのでネットワーク等でデータを転送する場合にセキュリティー上の問題が発生する。
(b)現実には、電子カルテデータの保管管理を受託する「信頼できる第三者機関」が存在しない。
このうち、(a)の問題はハッシュ値を用いることで、比較的簡単に解決する。ハッシュ値は一方向性ハッシュ関数(メッセージダイジェスト関数ともいう)に任意のデジタルデータを入力して得られる計算値で、もとのデジタルデータが少しでも変わると大きく変動するという性質をもち、電子署名などに広く使われている技術である。MD5やSHAなどが有名であるが、いずれの関数も入力データの大きさに関係なく100ビット〜200ビット程度のコンパクトな固定長の数値をハッシュ値として出力する。また、関数名が示すように一方向性があり、ハッシュ値からもとのデータを計算することはできず、さらに、同じハッシュ値をもつ別のデジタルデータを見つけたり、作り出したりすることが著しく困難(事実上不可能)であるという性質をもっている。
したがって、電子カルテのデータを入力値とするハッシュ値を計算し、これを「信頼できる第三者機関」にネットワークを通じて送信し、保管管理してもらえば、後日、改ざんのないことを証明する必要性が発生した場合に、元のカルテデータから再度計算して得られたハッシュ値と、第三者機関に保管してあるハッシュ値が一致していれば、元のデータが改ざんされていないことが証明される。また、外部に出る情報がハッシュ値のみであるのでプライバシーの問題もクリアされる。
残る問題は(b)である。厚生省などの公的機関が「信頼できる第三者機関」として、ハッシュ値の保管管理を受託してくれると助かるのだが...といった声も耳にするが、今のところそのような計画は無く、そのような受託機関を別に求めなければならない。
4.真正性認証サービス(Medical Notary Service)
「信頼できる第三者機関」として(株)NTTデータが運営する電子文書証明センタを利用し、医療機関からのハッシュ値を保管管理することでユーザーの「真正性」確保を技術的に実現したのが本サービスである。民間企業である(株)NTTデータの運営する電子文書証明センタが、いかなる根拠で「信頼できる第三者機関」となり得るのか、という疑問が出るのは当然であるが、米国Surety社の技術とノウハウによって、技術的に自らを「信頼できる第三者機関」たらしめることに成功している。
具体的にその仕組みの概要を説明する。証明センタには医療分野に限らず、様々な分野の多くの利用者からハッシュ値が送付されて来る。
証明センタでは受信したハッシュ値をそのまま単純に保管するのではなく、複数のユーザーのハッシュ値をまとめたもののハッシュ値を計算するという工程を繰り返し(ハッシュツリーの生成)、1つのハッシュ値(ルートハッシュという)を計算する(図1)。
図1 さらに、証明センタでは、単位時間ごとに直前に計算されたスーパーハッシュとその時点のルートハッシュをまとめたもののハッシュ値を次のスーパーハッシュとするという計算を繰り返し、時間的に一方向性を有するスーパーハッシュの列(リニアリンクという)を生成する(図2)。
図2 ハッシュ値を送付してきた利用者に対し、センタはその利用者のハッシュ値からその時点のスーパーハッシュを計算するのに必要な、他の利用者のハッシュ値やその集約ハッシュ値(中間ハッシュという)を「デジタル証明書」としてその利用者に返送する(図3、4)。
図3 図4
利用者は元のデータと共に「デジタル証明書」を保管し、非改ざん証明が要求される場合に備える。
また、証明センタは一週間のスーパーハッシュ列全記録をハッシュ関数にかけて一つのハッシュ値(ウィークリーハッシュという)を計算し、これを新聞(毎週金曜日の日経産業新聞)に掲載することで公開している(図5)。
図5 「デジタル証明書」はユーザーが自分の元データの非改ざん証明のために保管するのだが、この証明書の中には他のユーザーのハッシュ値やその集約ハッシュ値も含まれている。言いかえると、多くの利用者が互いのハッシュ値やその集約値を相互に共有・保管しあっていることになる。したがって、仮に証明センタ側が特定の利用者のためにハッシュ値の改変などの不正を試みたとしても、その利用者のハッシュ値(もしくはその集約ハッシュ値)を「デジタル証明書」の形で保管している他の多くの利用者に対して「デジタル証明書」の内容を改変してもらわねばならないことになり、センタの不正は事実上不可能である。
また、ユーザーのハッシュ値の改変はルートハッシュ、スーパーハッシュの変化となり、最終的にはウィークリーハッシュが変わってしまい、新聞に公開した値と矛盾してしまうことになる。新聞は図書館などの公的機関に長期間保管されており、センタ側が新聞を全て回収して掲載された値を変更することなど不可能であるから、やはりセンタは不正ができないことになる。
このようにして、電子文書証明センタは民間企業の運営ではあるが、互いに利害関係のない多くのユーザーにハッシュ値を共有してもらうことや新聞に運営記録のハッシュ値を公開することで自らの公正性を立証し、「信頼できる第三者機関」として機能することを可能ならしめている。
(株)NTTデータはこの電子文書証明センタを利用した証明サービスをSecureSealというサービス名で、電子政府や電子商取引などの分野で公共団体や企業など広範囲かつ多様なユーザーに提供を予定している。
(株)ビー・エム・エルは、医療分野に特化し、本サービスを電子カルテや医療画像情報、検査情報などに対しMedical Notary Service(真正性認証サービス)というサービス名で提供することとしている。