2019年12月12日
補足資料 : H-LINCOSの構成と機能
1. 今回開発したH-LINCOSの構成と機能
H-LINCOSは、電子カルテデータのセキュアなバックアップ、医療機関間での電子カルテデータの相互参照及び災害時等に必要な医療データ項目の迅速な復元を実現するシステムです。さらに、個人情報を扱うということから、セキュアなアクセス管理も行っています。
(1)セキュアなバックアップと相互参照について
H-LINCOSでは、まず、電子カルテデータをSS-MIXデータに変換します。次に、SS-MIXデータの原本を無意味化された複数の分散データに変換し、最後に分散データを遠隔地のデータサーバへ秘匿通信し分散保管します(秘密分散)(図2参照)。
図2 保健医療用の長期セキュアデータ保管・交換システムの概要
この方式では、一部のサーバが棄損しても、残ったサーバから原本データを復元できます。一方、一定数の分散データがそろわないと原本データは復元できないため、データの機密性を高めることができます。これにより、「セキュアなバックアップ」を実現できます。
実際の実装では、高知医療センターから提供されたSS-MIXデータを、JGN上の小金井アクセスポイントまで800 kmにわたり秘匿通信し、そこで分散データに変換してから、大阪、名古屋、大手町の各拠点にあるデータサーバまで秘匿通信し、分散保管します。
秘匿通信回線は、事前に手渡しで配布した物理乱数を種鍵とする共通鍵暗号により構成されています。その安全性は、量子コンピュータでも解読が困難とされる「耐量子性」になっています。高知医療センターと小金井アクセスポイントには、日本電気の回線暗号の送受信装置が設置され、データリンク層で高速の暗号化を行えるようになっています。また、大手町と小金井を含む東京100 km圏では、これとは別に、さらに、量子暗号ネットワークで秘密分散保管が行えるようになっており、このシステムでは、どんな計算機でも解読できない「情報理論的安全性」を保証することができます。
また、電子カルテデータをデータ交換標準規格に準拠したSS-MIXに変換することで、「電子カルテデータの相互参照」が可能になります。さらに、高速検索のためのデータアクセス技術(高速秘密分散ドライバ)を開発し、「災害時に必要な医療データ項目の迅速な復元」を実現しました。
(2)アクセス管理について
H-LINCOSへのアクセス制御は、医師や看護師、薬剤師、救急救命士といった保健医療分野26種の国家資格に基づく権限管理と高セキュアなユーザ認証を用いて行われます。具体的には、現在、厚生労働省が推奨している保健医療用の公開鍵認証基盤(H-PKI: Healthcare Public Key Infrastructure)を踏襲し、さらに、次世代の耐量子-公開鍵認証方式を新たに組み込んで、認証の安全性を量子コンピュータでも解読困難なレベルまで上げています。このいわゆる耐量子H-PKIの概要を図3に示します。
図3 耐量子-公開鍵認証基盤によるアクセス管理システム概要
耐量子-公開鍵認証方式としては、現在、アメリカ国立標準技術研究所(NIST)が進めている標準化プロセスの中で有望と期待されている7つの方式を選択しました。具体的には、ルート証明書を発行するための2方式、鍵交換のための2方式、電子署名のための3方式を組み合わせ、全部で12種類の暗号ツールセット(いわゆる暗号スウィート)を用意し、これらをインターネット標準であるトランスポートレイヤセキュリティ(TLS)に準拠する形で実装しました。そして、全ての暗号スウィートが処理時間100~250 ms程度で正常動作することを確認しました。この処理時間は、既存のTLS方式の約10倍程度となっているものの、十分に実用的な性能になっています。今回のSS-MIXデータ復元実験では、最も高速で動作する暗号スウィートをアクセス認証に用いています。
2. 実証実験の結果について
図1 実証実験に用いたネットワーク接続図と性能評価結果
災害時を想定したSS-MIXデータの復元では、大阪、名古屋、大手町のデータサーバのうち2つのデータサーバを選択して、そこから処方履歴、アレルギー情報などの項目を小金井のサーバ上に一旦復元しました。次に、そのデータをインターネット上の秘匿通信回線で、横浜にあるスカパーJSATの地上局まで伝送し、そこから衛星回線経由で高知医療センターの端末まで伝送して復元しました。 20回の復元実験を行った結果、想定被災地にある端末で、患者IDを入力して検索してから電子カルテ参照画面が表示されるまでの時間は、平均で7.4秒、最大で8.8秒でした。また、処方歴の選択ボタンを押してから表示までの時間は、平均で7.1秒、最大で9.0秒でした(図1参照)。 この結果は、本システムを用いることで、災害時に必要となる医療データの迅速な復元が可能であることを示しています。