FHIR でのアクセス制御

概要

FHIR アクセス制御は、FHIR ストアの医療データへのアクセスを管理するための包括的なソリューションです。これによって、どのユーザーがどのリソースにアクセスできるか、そのリソースに対してユーザーが行えるアクションを詳細に制御できます。FHIR アクセス制御は、医療データに承認されたユーザーのみがアクセスするようにし、データオーナーの意図に沿った方法で使用されるようにします。

FHIR アクセス制御は、次の原則に基づいています。

  • 粒度: データへのアクセスをきめ細かく制御できます。これにより、組織は特定のニーズに合わせてアクセス ポリシーを定義できます。
  • 柔軟性: 組織の変化するニーズに合わせて適応します。これにより、データ ガバナンスの要件が進化するにつれて、組織はアクセス制御ポリシーを最新の状態に保つことができます。
  • スケーラビリティ: エンドユーザーの同意を管理するための統合された効率的なアプローチを提供します。これにより、オーバーヘッドを最小限に抑えながら、各 EHR オペレーションに組み込みのアクセス制御を適用できます。
  • コンプライアンス: FHIR 仕様に準拠しています。これにより、組織は FHIR 準拠システムで FHIR アクセス制御を使用できます。

FHIR アクセス制御は、次のような幅広いデータ ガバナンスの課題に対処します。

  • 患者の同意: 患者が自分の医療データを使用する同意を適用します。これにより、患者がデータの利用方法を管理できるようになります。
  • データ共有: 組織間での医療データの共有を容易にします。これにより、医療の調整が改善され、研究がサポートされます。
  • 規制遵守: 組織が医療データの保護に関する規制要件を遵守することを支援します。

FHIR アクセス制御には、次のような利点があります。

  • データ セキュリティの向上: 承認されたユーザーのみがデータにアクセスできるようにすることで、医療データのセキュリティを向上させます。
  • データ侵害のリスクの軽減: データアクセス管理の一元化メカニズムを提供することで、データ侵害のリスクを軽減します。
  • コンプライアンスの向上: 組織が医療データの保護に関する規制要件を遵守することを支援します。
  • 患者の信頼の向上: 患者がデータの使用方法を制御できるようにして、患者の信頼を確保します。

同意には、次の 4 つの主要権限が関与します。

  • 管理者権限: 同意権限のフレームワークを確立します。同意できるユーザー、同意契約に含める必要がある情報、同意契約の適用方法も決定されます。
  • 付与者権限: データへのアクセスを許可する個人または組織(患者や管理者など)。ユーザーは同意者に同意契約を付与したり、同意権限を他者に保証したり委任したりできます。
  • システム権限: 権限付与者の ID、アプリケーションのユースケース、環境について信頼できるアサーションを作成する権限。これをゼロトラスト アーキテクチャで使用して、譲受人がデータにアクセスできる権限を持っていることを確認できます。
  • 譲受人権限: データへのアクセスが許可された個人または組織(EHR のアクセサーなど)。ロール、目的、環境に関する情報を提供して、システムが ID と権限を確認できるようにします。

他の形式のアクセス制御と比較した場合、権限の分布、権限を管理するルール、アクセサーとの一致ポリシーの一部としてのデータ要素の評価が同意に固有です。

ほかのアクセス制御システムとの比較

FHIR アクセス制御では詳細なリソースレベルのアクセス制御が可能ですが、Identity and Access Management(IAM)ではプロジェクト、データセット、FHIR ストアの権限に重点を置いています。SMART-on-FHIR は、基本的なポリシーとリクエスト属性を持つ単一権限のユースケースに焦点を当てています。SMART-on-FHIR はある程度の粒度を提供しますが、単一のリクエスト属性による制限があり、FHIR アクセス制御と同じレベルのきめ細かい制御はできません。次の表にすべての比較を示します。

機能 FHIR アクセス制御 IAM SMART on FHIR その他のオンプレミス ソリューション
複数の権限の有効化 サポート対象 サポート対象外の項目 サポート対象外の項目 サポート対象
複数リクエストの属性 サポート対象 固定属性による制限 サポート対象外の項目 サポート対象
動的で詳細なリソース属性 サポート対象 サポート対象外の項目 単一の検索クエリによる制限 データとの継続的な同期が必要
包括的な重複しているポリシー 最大 200 の管理者ポリシー + 患者 1 人あたり 200 の同意 最大 100 人 O(10) サービング パフォーマンスによる制限
パフォーマンスとスケーラビリティ サポート対象 サポート対象外の項目 サポート対象 サポート対象外の項目
組み込みの EHR セキュリティ サポート対象 サポート対象外の項目 サポート対象 サポート対象外の項目
権限の同時変更 可能性はある 可能性はある サポート対象外の項目 可能性はある
ポリシーの管理と監査 サポート対象 サポート対象外の項目 サポート対象外の項目 サポート対象
  • 複数権限の有効化: 境界内の管理者と患者の両方が同意を付与したり、ポリシーを適用したりできるようにします。
  • 複数リクエスト属性: 同意ポリシーに対する評価のための一連の抽象アクター、目的、環境属性のセットとして譲受人を表します。
  • 動的なきめ細かいリソース属性: ポリシーの適用やさまざまなデータ要素(リソースタイプ、データソース、データタグなど)への同意の付与を許可します。データ ミューテーションを使用してアクセスをリアルタイムで変更できます。
  • 包括的な重複しているポリシー: 包括的なアクセス判定ルールにより、1 つのリソースに複数の同意を適用できます。
  • パフォーマンスとスケーラビリティ: すべての EHR のオペレーション(例: patient-$everything、検索)は、最小限のオーバーヘッドでパフォーマンスが高くなります。
  • 組み込みの EHR セキュリティ: すべての EHR のオペレーションは、追加の構成やカスタマイズを必要とせずにサポートされます。
  • 権限の同時変更: 権限が変更されると、既存の発行済み認証情報(アクセス トークンなど)が新しい権限の対象となります。
  • ポリシー管理と監査: 管理者は、監査証跡と監査データへのアクセス権を使用して、ポリシーの下書きの作成と更新を行うことができます(たとえば、誰がどのような目的でどの環境のどのデータにアクセスしようとしたかなど)。

次のステップ