秘密分散と秘匿通信技術を用いた電子カルテ保管・交換システムを開発 衛星経由、数秒でデータ復元
国立研究開発法人情報通信研究機構(NICT)と高知県・高知市病院企業団立高知医療センター、連携協力機関からなるチームは、秘密分散技術と秘匿通信技術を組み合わせることで、電子カルテデータのセキュアなバックアップと医療機関間での相互参照、災害時の迅速なデータ復元を可能とするシステムを開発したと発表した。衛星回線を通じて数秒で復旧できるという。
SS-MIX形式のデータを分散保管、秘匿通信でセキュリティ担保
2011年の東日本大震災では海岸沿いの医療機関の多くが倒壊、電子カルテもサーバごと流される事態が続出し、現地での医療支援体制に大きな影響を与えた。この教訓から遠隔地にバックアップを用意する必要性(全二重化)が叫ばれているが、現実的には災害時には多くの方を早く診療、治療する必要があり、迅速な復旧のため患者の氏名、住所、生年月日とプロファイリングに必要な投薬、アレルギー情報など必要最小限の項目だけを復元することが求められている。この際、情報の機微性から当然暗号技術を用いた情報の秘匿化も必要とされ、共通のデータ交換規格の採用による可用性の向上も求められるが、これまでこの要件をすべて満たすシステムは存在していなかったという。 研究チームは今回秘密分散技術と秘匿通信技術を組み合わせることにより、電子カルテデータのセキュアなバックアップ、医療機関間での相互参照、災害時を想定した場合に必要とされる医療データ項目の迅速な復元が可能な、保健医療用の長期セキュアデータ保管・交換システム(H-LINCOS: Healthcare long-term integrity and confidentiality protection system)を開発した。 H-LINCOSは、高知医療センターとNICTのテストベッドJGN上の大阪、名古屋、大手町、小金井のアクセスポイントを結ぶ800 km圏のネットワーク上に実装されており、同システムへのアクセス管理には、現状医療者の本人確認システムとして運用されている「HPKI」をベースにした「耐量子-HPKI」※1という新しい認証機能も採用されている。
同システムはまず、電子カルテデータを医療情報の共通交換規格である「SS-MIX」形式のデータに変換し、次にSS-MIXデータの原本を無意味化された複数の分散データに変換し、最後に分散データを遠隔地のデータサーバへ秘匿通信し分散保管する(秘密分散)。この方式であれば一部のサーバが棄損しても、残ったサーバから原本データを復元でき、また一定数の分散データがそろわないと原本データは復元できないため、機密性を高めることができるという。実際の実装では、高知医療センターから提供されたSS-MIXデータを、JGN上の小金井アクセスポイントまで800 kmにわたり秘匿通信し、そこで分散データに変換してから、大阪、名古屋、大手町の各拠点にあるデータサーバまで秘匿通信し、分散保管している。
秘匿通信は、事前に手渡しで配布した物理乱数を種鍵とする共通鍵暗号により構成されている。高知医療センターと小金井アクセスポイントには、NECの回線暗号の送受信装置が設置され、データリンク層で高速の暗号化を行えるようになっており、また、大手町と小金井を含む東京100 km圏では、これとは別に、さらに、量子暗号ネットワークで秘密分散保管が行えるようになっている。この秘匿通信の安全性は、量子コンピュータでも解読が困難とされる「耐量子性」となっており、事実上このシステムでは、どんな計算機でも解読できない「情報理論的安全性」を担保しているとする。
実験結果、データ復旧、表示まで最大9秒
※1 耐量子-HPKI
厚生労働省が推奨している保健医療用の公開鍵認証基盤(HPKI: Healthcare Public Key Infrastructure)を踏襲し、さらに次世代の耐量子-公開鍵認証方式を新たに組み込んで、認証の安全性を量子コンピュータでも解読困難なレベルまで上げているという。認証方式としては、現在アメリカ国立標準技術研究所(NIST)が進めている標準化プロセスの中で有望と期待されている7つの方式、具体的には、ルート証明書を発行するための2方式、鍵交換のための2方式、電子署名のための3方式を組み合わせ、全部で12種類の暗号ツールセット(いわゆる暗号スウィート)を用意。これらをインターネット標準であるトランスポートレイヤセキュリティ(TLS)に準拠する形で実装した。