厚生労働省のシステム運用編は、医療情報システムへのアクセスについて、利用者の識別・認証を行い、医療情報システムへのアクセスを正当な利用者のみに限定しなければならないとしています。さらに、医療情報システムへアクセスする全ての職員及び関係者に対して、ID・パスワード、ICカード、生体認証等の手段を用意し、医療機関等の内部で統一的に管理し、更新があれば速やかに更新作業を行う必要があるとしています。つまり、権限管理の出発点は、「誰が使ったか分からない状態を作らない」ことです。

そのうえで、システム運用編の14.2 アクセス権限の管理は、情報の種別、重要性、利用形態に応じて情報の区分管理を行い、その区分ごと、利用者や利用者グループごとに利用権限を規定する必要があるとしています。そして、付与する利用権限は必要最小限にすることが重要だと明記しています。人事異動や担当業務の変更に合わせて、アクセス権限を適宜見直す必要がある点も示されています。管理者権限を広く配るほど便利になるように見えますが、公的資料の考え方は逆で、必要のない権限は付与しないことが基本です。

この考え方は、令和7年5月版のチェックリストマニュアルではさらに分かりやすく書かれています。そこでは、医療情報システムの利用権限は、医療従事者の資格や医療機関等内の権限規程に応じて設定することが重要であり、特に管理者権限を与えるアカウントは最低限のユーザに付与することを徹底してくださいとされています。理由として、サイバー攻撃を受けた際の水平展開を防ぐためと説明されています。加えて、利用者に付与したID等については、所属部署・氏名・ユーザID・権限等を台帳で一覧化することが望ましいとされています。

ここで、よく問題になるのが共用IDです。
少なくとも今回確認した厚労省の現行資料では、「共用IDを禁止する」という短い明文を、その表現どおりには確認できませんでした。これは確立された事実です。 一方で、公的資料が求めているのは、利用者の識別・認証全ての職員・関係者への個別の認証手段の用意ID台帳管理不要IDの削除、そして後述する代行入力でも個人ごとのID発行です。したがって、共用IDはこれらの要求と整合しにくい、というのが実務上の整理になります。これは厚労省文書を踏まえた専門家の見解であって、「共用ID禁止」という明文そのものではありません。

ID管理については、システム運用編が、医療情報システムで用いるIDについて台帳管理等を行い、定期的に棚卸を行い、不要なものは適宜削除すること等を含む手順を作成することを求めています。チェックリストマニュアルでも、退職者や使用していないアカウント等、不要なアカウントを削除または無効化することが重要だとし、長期間使用されていないIDは不正アクセスに利用されるリスクがあると説明しています。つまり、管理者権限の絞り込みは、付与時だけでなく、残しっぱなしにしないことまで含みます。

次に、医療現場特有の論点である代行入力です。厚労省Q&Aは、代行入力を行う場合について、必ず入力を実施する個人ごとにIDを発行し、そのIDでシステムにアクセスしなければならないと明記しています。その際、入力者のログまたは作業報告等の台帳を作成して記録を残す必要があり、さらに、誰の意思決定に基づいて代行入力を実施したかが説明できるように、運用管理規程等を策定する必要があるとしています。したがって、代行入力は「忙しいから誰かのIDで入れておく」ではなく、個人ID・証跡・意思決定の三点セットで管理するのが公的資料に沿った運用です。

また、システム運用編は、電子カルテの記録確定について、確定を実施できる権限を持った確定者に実施させること、自動確定運用の場合は入力者及び確定者を特定する明確なルールを運用管理規程に定めること、さらに、確定者が何らかの理由で確定操作ができない場合の責任の所在を明確にしておくことを求めています。つまり、代行入力や代理操作が許される場面があっても、責任者の曖昧化は認めないというのが公的資料の立場です。

委託先アカウントについても、厚労省はかなり明確です。システム運用編の保守時の安全管理対策では、保守要員がサーバにアクセスする際には、保守要員の専用アカウントを使用させることを求めています。さらに、個人情報へのアクセスの有無、アクセスした対象個人情報、作業内容を記録すること、リモートメンテナンスではアクセスログを収集し、作業計画書と照合すること、作業終了後は速やかに企画管理者へ報告し確認を求めることが求められています。したがって、委託先が「ベンダー共通ID」で入る運用は、公的資料が求める専用アカウント・作業記録・照合確認の考え方と整合しにくいと考えるのが自然です。ここも「共通ID禁止」の明文ではなく、専用アカウントを要求している事実から導かれる実務上の整理です。

もう一つ見落とされやすいのが、パスワードを知り過ぎないことです。システム運用編は、利用者認証をIDとパスワードで行う際、利用者のパスワードは本人しか知り得ない状態に保つ必要があり、システム運用担当者であっても利用者のパスワードを推定できないようにすることを求めています。さらに、利用者のパスワード変更を運用担当者が行う場合には、本人確認を行い、その方法を台帳に記載し、変更後のパスワードは利用者本人以外が知り得ない方法で通知することが求められます。これは、管理者権限を持っている人ほど、他人の認証情報を握らない設計にするべきだ、という公的資料上の要求です。

このテーマで一番伝えたい結論は、管理者権限の問題は「強いパスワードを設定するか」ではなく、「誰に、どこまで、どの証跡付きで許すか」を管理する問題だという点です。現行の厚労省資料に沿えば、必要なのは、
必要最小限の権限付与、ID台帳、不要IDの削除、代行入力時の個人IDと証跡、委託先の専用アカウント、確定責任の明確化
まで含めた運用です。共用IDやベンダー共通IDは便利でも、誰が何をしたかを説明しにくくし、事故時の追跡も難しくするため、少なくとも実務上は縮小方向で考えるのが妥当です。ここは専門家の見解として明示しておきます。