セキュリティ

Pubcareのセキュリティ対応と情報管理体制

Pubcareは、厚生労働省「医療情報システムの安全管理に関するガイドライン」および「3省2ガイドライン」に準拠し、安全な情報共有体制を構築しています。
制度に基づく対策に加え、現場で安心して使えるよう設計されたセキュリティ機能についてご紹介します。

Pubcareでは、医療・介護情報を安全に取り扱うために、各種ガイドラインに準拠した体制を構築しています。
以下の3つの柱を中心に、信頼性の高い運用を継続しています。

Pubcareは、厚生労働省・経済産業省・総務省が定める「医療情報システムの安全管理に関する2つのガイドライン」に準拠して開発されています。
開発には外部の医療IT専門家による監修を受けており、法制度の変化に合わせて継続的な対応を実施しています。

データは、信頼性の高いAWSサーバー環境で運用しており、24時間365日の監視体制を構築。
この体制は、プライバシーマークの取得に際して外部審査機関によっても認定されました。

2024年7月、弊社は個人情報保護の第三者認証制度「プライバシーマーク」を取得しました。
取得にあたっては、外部審査機関による現地調査と書面審査をクリアしており、今後も継続的な改善と運用を進めてまいります。

非公開型（招待制）システム
　→ Pubcareは招待制・非公開型の情報共有ツールです。関係者からの承認がない限り、トークルームや患者情報へのアクセスはできません。
管理者権限とPHRの個人管理
　→ 管理者は各トークルームの情報共有範囲をコントロールでき、PHR（パーソナル・ヘルス・レコード）は患者自身が共有範囲を設定できます。
通信の完全暗号化（TLS 1.2以上）
　→ 通信はTLS1.2以上のプロトコルで暗号化されており、「TLS暗号設定ガイドライン3.0.1版」の高セキュリティ型設定に準拠しています。
二要素認証（2FA）による安全なアクセス
　→ Google Authenticatorを用いたワンタイムパスワードによって、1分ごとに変化するアクセスキーが生成され、不正アクセスを防止します。

今後もPubcareは、制度対応と現場視点の両立を図りながら、医療・介護の現場で安心してご利用いただける仕組みづくりを継続してまいります。

Pubcareでは、すべての利用者に対して「正規の施設所属に基づいたID発行と権限設定」を行っています。
これは、医療情報システムの適切な運用と、安全な情報共有体制を構築するうえで不可欠なステップです。

厚生労働省の「医療情報システムの安全管理に関するガイドライン（企画管理編）」では、
利用者のID発行やアクセス権限の設定は、“所属する医療機関との関係”を明確にしたうえで行うことが必要とされています。

これは、なりすましや誤共有の防止、そして情報管理責任の明確化を目的としています。

所属と責任主体の明確化
　→ すべてのIDは、代表加盟施設または加盟施設単位で発行されます。
　　利用者は、正規の所属施設に紐づいた形でPubcareを利用することで、
　　情報操作の責任主体が明確になります。
利用者認証の適正化
　→ 利用者の登録は、施設管理者によって職種ごとにロール設定され、承認制で管理。
　　医師・看護師・薬剤師など、職務に応じた適切なアクセス制限が可能です。
情報連携の信頼性向上
　→ 情報共有には履歴が残り、誰が・いつ・どの情報にアクセスしたかを追跡可能。
　　これにより、連携の正当性と透明性が担保されます。

代表加盟施設・加盟施設の登録を行うことで、以下のような制度準拠かつ安全な情報連携体制が実現できます。

こうした体制は、法的・制度的要請に対応するだけでなく、現場の安心と信頼にも直結する仕組みです。