情報セキュリティスペシャリスト試験（平成23年秋期午後II問1）を題材にした、Z病院の電子カルテ導入プロジェクトを解説する動画です。長文問題を読み解くための3つのレンズを切り口に、要件定義からBCP対策までを学べます。さらに2026年の最新技術であるゼロトラストやパスキーへのアップデートも紹介します。

この動画で学習すべき重要なキーワードとその概念について説明します。まず初めに理解しておきたいのが情報セキュリティの3要素です。これは機密性、完全性、可用性のことであり、システムの要件や長文問題を読み解き、整理する際の基本のレンズとなります。完全性に関連しては、電子カルテの作成責任者を証明し、改ざんや偽造を防ぐための電子署名と秘密鍵が挙げられます。秘密鍵がコピーされたり盗まれたりすると、なりすまし署名などの深刻な脅威を招くため、秘密鍵を格納するICカードには内部データを物理的かつ論理的に守る耐タンパ性が求められます。また、カルテの法定保存期間は5年以上と長い一方で電子証明書の有効期限は約2年であるため、ディジタル署名の有効期限が切れる前に署名検証に必要な情報を含むアーカイブタイムスタンプを付与し、長期間にわたって検証可能な状態を延長し続ける技術も重要です。機密性についてはアクセス制御が鍵となります。医師といった職種という大枠だけで一律に許可するロールベースの制御だけでは不十分であり、患者や家族の意向に合わせて特定の診療科の医師に限定するなど、個別の利用者ごとや電子カルテのデータ項目ごとに細かく権限を制御する属性ベースの制御が必要になります。アクセス権限は机上の空論ではなく、現場の業務フローやユースケースに完全に一致させることが求められます。可用性の観点からは、災害時やシステム障害時に備える事業継続計画であるBCPが極めて重要です。サーバが停止した場合でも、直るまでの間に最低限どうやって医療業務を継続するかを考え、平時から患者ごとに見読可能な画像データを生成してUSBディスクに書き出しておくなどの代替手段を準備しておく必要があります。非常時に外部から応援の医師が駆けつけた際にもセキュリティの原則を守り、本人確認や資格確認の方法、権限付与のルールを事前に規定しておくことが不可欠です。最後に2026年の最新技術として、パスワードに依存しないFIDO2やパスキーを用いた認証やゼロトラスト、災害時でも別拠点のクラウドから参照可能にするマルチリージョン構成、長期の完全性を担保するブロックチェーンや不変ストレージといった概念も併せて学習することで、実務に活かせるアーキテクチャ設計を深く理解することができます。 www.youtube.com