ネットワーク構成
オンライン資格確認等の利用を踏まえた基本的なネットワーク構成について解説します。「医療情報システムの安全管理に関するガイドライン第5版」に準拠するため、資格確認端末を設置する構成を想定しています。
基本設計原則
- オンライン資格確認等システムからレセプトコンピュータ等へのアクセスを制限するため、資格確認端末からオンライン資格確認等システムに対してリクエストを投げて情報を取得した上で、レセプトコンピュータ等から資格確認端末に対してリクエストを投げて当該情報を取得する仕組みを想定
- 万が一資格確認端末がウイルス感染した場合における院内/局内への影響/リスクが軽減される
- 外部への情報漏洩のリスクも軽減される
接続方式
IP-VPN接続方式
閉域IP網を利用した接続方式です。レセプトのオンライン請求で実績のあるオンライン請求ネットワークを利用します。
| 項目 | 内容 |
|---|---|
| プロトコル | IPv4(オンライン請求)+ IPv6(オンライン資格確認等)併用 |
| 回線要件 | 光回線に限る |
| 接続方式 | オンライン請求はIPv4でPPPoEセッション利用、オンライン資格確認等はIPv6でIPoEセッション利用 |
特徴
- 閉域IP網による安全な接続
- 2つの異なる接続方式に接続するため、ネットワークインターフェースカード(NIC)の追加等によるLANポートを増設
必要な対応
- 資格確認端末向けネットワークカード追加(施設内ネットワークとオンライン請求ネットワークの接続を分離するための対応策)
- 資格確認端末向け通信許可設定(IPv4・v6の通信許可設定が必要)
- (必要に応じて)ルータ追加・ネットワーク工事等
ルータ要件
- 新規ルータBを導入し外部ネットワークからのアクセスを制限するためのステートフルインスペクション機能の有効化
- オンライン請求システムの接続のためのPPPoEパススルー設定
- 資格確認端末と接続するためのルーティングの設定
- レセプトコンピュータ等から資格確認端末への通信を許可し、資格確認端末からレセプトコンピュータ等への通信を拒否するためのステートフルインスペクション機能の有効化
IPsec+IKE接続方式(ルーター型)
インターネットを経由してIPsecトンネルにより安全な接続を確保する方式です。
| 項目 | 内容 |
|---|---|
| プロトコル | IPv4 |
| 接続方式 | インターネット経由のIPsecトンネル暗号化通信 |
必要な対応
- 回線帯域の増強(オンライン資格確認等を行うに当たり耐えうる帯域に増強が必要)
- (必要に応じて)ルータ追加・ネットワーク工事等
- 資格確認端末と接続するためのルーティングの設定
- ステートフルインスペクション機能の有効化
IPsec+IKE接続方式(クライアント型/PCキー型/USBキー型)
インターネットを経由してIPsecトンネルにより安全な接続を確保する方式です。クライアント端末側でIPsecを実行します。
| 項目 | 内容 |
|---|---|
| プロトコル | IPv4 |
| 接続方式 | クライアント端末側でのIPsec実行 |
必要な対応
- ルータBの導入(導入されていない場合に導入。VPNパススルー設定が必要)、ステートフルインスペクション機能の有効化
- IPsec+IKEの利用
- 資格確認端末と接続するためのルーティングの設定
- ステートフルインスペクション機能の有効化
構成パターン
基本的な構成
主に、小規模の病院、医科診療所、歯科診療所、薬局等を想定した構成です。資格確認端末が1台もしくは複数台のケースに対応します。
オンライン請求と資格確認の兼用構成
オンライン請求未対応の施設がオンライン資格確認等とオンライン請求を併せて開始する場合、資格確認端末とオンライン請求端末を兼用とすることで、新規購入する端末数を削減でき、円滑な導入につながります。
セッション方向の限定による通信制御
- 資格確認端末から資格情報等の要求を行い、オンライン資格確認等システムから当該要求に対して資格情報等を送信する。要求に対して送信されたもののみ許可するように設定
- 要求に対して送信されたファイルでない場合は、通信が許可されない
- レセプトコンピュータ等から、資格確認端末上にファイルが配置されていないか定期的に確認し、配置されていた場合にレセプトコンピュータ等から取得要求を行う