医療機関の認証強化を考えるとき、最初に確認すべき事実は、二要素認証の対象が「電子カルテのログイン画面だけ」ではないという点です。令和7年5月版のチェックリストマニュアルでは、確認項目として「二要素認証を実装している。または令和9年度までに実装予定である」とされ、その解説では、この項目は医療情報システムの利用者認証のみならず、医療情報システム全般として、サーバ、端末PC、ネットワーク機器への認証技術実装を指すと明記されています。つまり、少なくとも現行の公的資料上は、二要素認証は電子カルテだけの論点ではありません。
さらに、厚労省のシステム運用編でも、医療情報システムへのアクセスは正当な利用者のみに限定されなければならず、小規模医療機関で利用者が限定される場合でも、利用者識別・認証の機能は一般的に必須だとされています。そのうえで、今後導入または更新する医療情報システムについては、令和9年度時点で稼働が想定されるものは、原則として二要素認証を採用することが求められると明示されています。
ここで次に重要なのは、二要素認証と二段階認証は同じではないという点です。厚労省Q&Aは、認証要素を「記憶」「生体情報」「物理媒体」に整理したうえで、このうち2つの独立した要素を組み合わせる方式が二要素認証だと説明しています。そして、二段階で認証していても、利用している要素が同じなら二要素認証の要求を満たさないと考えるべきだと明記しています。これは実務上かなり重要で、「ワンタイムコードを足したから十分」と機械的に判断できないことを意味します。
同じQ&Aでは、バイオメトリクスについても、単独での識別・認証を行わず、必ずユーザID等の個人識別情報と組み合わせて利用すべきだとしています。したがって、指紋認証や顔認証を導入する場合でも、それだけで十分と考えるのではなく、別要素との組み合わせで設計する必要があります。
では、なぜここまで二要素認証が重視されるのでしょうか。厚労省Q&Aは、ID・パスワードのみの認証では安全性確保に限度があるとし、医療情報のような個人情報へのアクセスは二要素以上の認証を組み合わせる認証方式とすることが示されていると説明しています。そのため、できるだけ早く二要素認証を導入することが求められるとされ、今後導入・更新する対象システムには原則採用を求めています。これは、単なる推奨ではなく、現行ガイドラインがかなり明確に示している方向性です。
一方で、現場では「ベンダー製品がまだ対応していない」「古い機器で全面改修が難しい」という事情もあります。この点についても、厚労省資料は一定の逃げ道ではなく、代替的に同等の安全性をどう確保するかという考え方を示しています。Q&Aでは、対象製品・サービスがベンダーから提供されていないなどの理由で二要素認証対応が困難な場合でも、対象となる医療情報システムの利用に供する部屋の入室管理を個人ごとに特定できるようにする等の措置を講じて、全体として二要素認証に相当する安全性を確保する必要があるとしています。
システム運用編でも同様に、医療情報システムに二要素認証が実装されていなくても、例えば放射線管理区域や薬局の調剤室のように、指定された者以外の入室が法令等により制限される区画に端末が置かれ、入場時と端末利用時を合わせて二要素以上の認証がなされている場合には、二要素認証に相当すると考えてよいとしています。つまり、厚労省は「システム側にMFAがないなら即不適合」とまでは書いておらず、全体として同等の安全性を確保しているかを見ています。
このため、18日目の記事では、対象を次のように整理すると実務的です。
まず、電子カルテや患者情報を直接扱う主要システムは最優先です。これは個人情報へのアクセスそのものだからです。次に、サーバ、端末PC、ネットワーク機器です。ここはチェックリストマニュアルが明示的に対象へ含めています。さらに、管理者権限や外部接続を伴う認証は、被害拡大や横展開の起点になりやすいため、実務上は優先度を高く置くのが妥当です。ただし、この「優先順位」の付け方自体は、厚労省文書の見出しそのものではなく、複数の公的記述を実務向けに整理した専門家の見解です。
ここでよくある誤解が、**「非常時なら二要素認証は外してよいのか」**という点です。令和7年5月版のチェックリストマニュアルは、この点をかなり慎重に書いています。そこでは、緊急時等で二要素認証が利用できない場合に代替手段を利用する場合には、システム運用担当者等においてシステム及び利用者を適切に管理できる体制を整えておくことが重要だとしています。つまり、公的資料が言っているのは「非常時だから自由に外してよい」ではなく、代替手段を使うなら、誰が、どのシステムを、どの利用者に対して、どう管理するかを平時から整えておけということです。
この点については、少なくとも今回確認した公的資料の範囲では、非常時代替手段の具体的な標準手順までは一律に細かく示されていません。たとえば、何分間だけ例外を認めるか、誰の承認が必須か、例外利用後にどのログをどうレビューするか、といった詳細は、今回確認した該当箇所だけでは断定できません。したがって、非常時例外の運用は、自院の運用管理規程、BCP、権限管理、ログ管理とセットで具体化する必要があると整理するのが正確です。
また、パスワード管理との関係も重要です。Q&Aでは、二要素認証を採用している場合、必ずしもパスワードの定期的変更は求められないとしつつ、ID・パスワードのみの場合は、13文字以上のランダムな設定や、環境によっては定期変更が必要になる場合があると説明しています。チェックリストマニュアルも、二要素認証、または13文字以上の場合は定期的な変更は不要と整理しています。したがって、「パスワード運用を厳しくしているからMFA不要」とは言えず、むしろ二要素認証の有無で、パスワード運用ルールの重さも変わると理解するほうが正確です。
このテーマで一番伝えたい結論は、二要素認証は“電子カルテだけの強化策”ではなく、医療情報システム全体の認証基盤の話だということです。現行の厚労省資料では、医療情報システム全般について、令和9年度までの実装予定を含めて二要素認証を求める方向が示され、対象にはサーバ、端末PC、ネットワーク機器まで含まれています。さらに、二段階認証では足りない場合があり、製品未対応時も同等安全性の確保が必要で、非常時代替も無条件の免除ではありません。18日目の記事では、この全体像を読者に誤解なく伝えることが主題になります。
