PHCホールディングス株式会社(東京都千代田区)傘下のウィーメックス株式会社(東京都渋谷区)は4月1日、医療機関・薬局向けのセキュリティ対策ソリューション「二要素認証/USB接続制限 ソフトウェア」の提供を始めた。クリニック向け『Medicom-HRfシリーズ』や薬局向け『Pharnesシリーズ』の利用者向けに展開する。医療情報・調剤情報の取り扱いが院外ネットワークやクラウドに広がるなか、認証強化と外部記録媒体の制限を同時に進める手段となる。
新ソリューションは、株式会社ソリトンシステムズの多要素認証ソリューション「SmartOn」をベースに開発した。医療機関・薬局での利用を想定し、二要素認証とUSBなど外部記録媒体の接続制限に対応する点を柱とする。運用面では、従来のパスワード入力にICカードタッチを追加する方式を採用する。ウィーメックスにとっては、メディコムブランドのレセプトコンピュータや電子カルテ、薬局向けの業務支援など医療DX関連の提供領域において、セキュリティ機能を補完する取り組みの一つとなる。
SmartOnは22年連続首位
ベースとなる「SmartOn」は、官公庁や大手企業への導入実績を持つ。国内シェアは22年連続で首位とされ、株式会社富士キメラ総研「2004~2025ネットワークセキュリティビジネス調査総覧デバイス認証ツール」の調査結果を根拠に挙げている。ウィーメックスは既存の自社製品利用者向けに提供する形をとり、院内の役割に応じた認証権限を設定できるソフトウェアとした。標準設定は3段階とし、運用の柔軟性を持たせる。認証時にサーバーへの通信を必要としない方式を採用し、ネットワーク環境に左右されにくい安定した認証をうたう。
グループ全体では、PHCホールディングスの2024年度の連結売上収益は3,616億円で、世界125以上の国と地域で製品・サービスを提供している。PHCホールディングスは2023年4月にウィーメックス株式会社を新会社として事業開始し、その後ウィーメックスヘルスケアシステムズ株式会社を吸収合併した。医療現場のデジタル化に伴い、業務ソフトや周辺システムに認証・端末制御の要件が付随しやすくなる中、グループ内のヘルスケアソリューション領域にセキュリティ機能を組み込む動きが広がっている。
開発の背景としてウィーメックスは、医療DXの進展によりレセプトのオンライン請求、オンライン資格確認、電子処方箋などで、医療情報や調剤情報が院外ネットワークやクラウドサービスでも扱われる状況を挙げる。一方で、医療機関・薬局における不正アクセスやランサムウェア被害の報告が増え、被害の規模によってはシステム停止や患者の受け入れ中止など診療継続への影響が生じるリスクが高まっているとする。
これを受け厚生労働省は2023年に「医療情報システムの安全管理に関するガイドライン 第6.0版」と「医療機関等におけるサイバーセキュリティ対策チェックリスト」を公表した。ガイドラインでは令和9年度までに医療情報システムの二要素認証対応を求めており、医療機関や薬局のシステム更新計画にセキュリティ対策が組み込まれやすい環境が整いつつある。ウィーメックスは、同ガイドラインで求められている医療情報システムの二要素認証への対応を、今回のソリューションで実現すると位置づける。オンライン資格確認や電子処方箋など院外接続を伴う仕組みが医療提供の実務に浸透し、ID・パスワードのみの運用から追加要素を組み合わせる設計への移行が制度面から後押しされていることが背景にある。
ICカード併用で運用想定
提供対象は、クリニック向け『Medicom-HRfシリーズ』や薬局向け『Pharnesシリーズ』を中心としたウィーメックス製品の利用者とする。二要素認証は、従来のパスワード入力にICカードタッチを組み合わせる方式とし、外部記録媒体の接続制限にも対応する。院内の役割に応じた認証権限設定を可能とし、標準で3段階の権限レベルを用意した。認証時にサーバーへの通信を要しない方式により、ネットワーク環境に左右されにくい運用を掲げる。
ウィーメックスは、株式会社ソリトンシステムズの「SmartOn」をベースに開発した。ソリトンシステムズはITセキュリティを中心に認証ソリューションを提供し、国産メーカーとしてオリジナル製品の開発を進めてきた。ウィーメックス側は医療機関・薬局の利用を想定し、二要素認証とUSBなど外部記録媒体の接続制限を組み合わせたソフトウェアとして提供する。運用条件では認証時にサーバーへの通信を要しない方式を採用し、医療機関・薬局の端末環境で安定した認証動作を確保する考えだ。
医療機関と薬局は、院内・店舗内で複数職種が同一端末や同一システムを扱う場面が多く、役割別の権限設計と認証運用を結びつけやすい。ICカードタッチとパスワード入力を組み合わせる方式とし、USBなど外部記録媒体の接続制限も同時に扱う構成とすることで、認証と端末利用の統制を一体で設計した。
医療DX認証要件の波及
厚生労働省のガイドラインとチェックリストが示す二要素認証の要件は、医療情報が院外ネットワークやクラウドサービスでも扱われる現状と表裏一体となっている。ウィーメックスが『Medicom-HRfシリーズ』や『Pharnesシリーズ』の利用者向けに、二要素認証と外部記録媒体の接続制限を一体で提供する形は、医療機関・薬局の現場で「認証の追加」と「端末利用の制約」を同時に運用へ落とし込む方向性を示すものだ。
ベンダー各社は、オンライン資格確認や電子処方箋の普及に合わせ、医療現場の端末認証やアクセス制御を機能追加として用意する動きを強めている。今回の取り組みは、ウィーメックスが自社製品利用者に対象を絞り、ICカードとパスワードの併用、USB制限、役割に応じた権限設定といった運用要素をパッケージとして提示した点に特徴がある。医療機関・薬局は診療報酬請求や調剤の実務がシステムに依存する度合いが高く、システム停止が診療継続に直結しやすい。そのため、制度要請と現場運用の接点にある「ログイン方法」や「端末の外部媒体利用」が、IT投資・更新の判断材料になりやすい。
PHCホールディングスグループはヘルスケアソリューションと診断・ライフサイエンス領域をまたいで事業展開し、医療関連のデジタル製品・サービス群を抱える。今後もグループとして、これらの周辺で求められるセキュリティ要件を機能として取り込む動きが続くとみられる。ウィーメックスは4月1日から「二要素認証/USB接続制限 ソフトウェア」を提供し、厚生労働省ガイドラインの二要素認証要件への対応を打ち出した。