概要
FHIR アクセス制御は、FHIR ストアの医療データへのアクセスを管理するための包括的なソリューションです。これによって、どのユーザーがどのリソースにアクセスできるか、そのリソースに対してユーザーが行えるアクションを詳細に制御できます。FHIR アクセス制御は、医療データに承認されたユーザーのみがアクセスするようにし、データオーナーの意図に沿った方法で使用されるようにします。
FHIR アクセス制御は、次の原則に基づいて構築されています。
- 粒度: データへのアクセスをきめ細かく制御できます。これにより、組織は特定のニーズに合わせてアクセス ポリシーを定義できます。
- 柔軟性: 組織の変化するニーズに対応します。これにより、データ ガバナンスの要件が進化したときに、アクセス制御ポリシーを最新の状態に維持できます。
- スケーラビリティ: エンドユーザーの同意を管理するための統合された効率的なアプローチを提供します。これにより、EHR オペレーションごとに組み込みのアクセス強制適用が最小限のオーバーヘッドで実現されます。
- コンプライアンス: FHIR 仕様に準拠しています。これにより、組織は FHIR 準拠のシステムで FHIR アクセス制御を使用できるようになります。
FHIR アクセス制御は、次のような幅広いデータ ガバナンスの課題に対応しています。
- 患者の同意: 患者が自分の医療データを使用する同意を適用します。これにより、患者がデータの利用方法を管理できるようになります。
- データ共有: 組織間での医療データの共有を容易にします。これにより、医療の調整が改善され、研究がサポートされます。
- 規制遵守: 組織が医療データの保護に関する規制要件を遵守することを支援します。
FHIR アクセス制御には、次のような利点があります。
- データ セキュリティの向上: 承認されたユーザーのみがデータにアクセスできるようにすることで、医療データのセキュリティを向上させます。
- データ侵害のリスクの低減: データアクセス管理の一元化されたメカニズムを提供することで、データ侵害のリスクを軽減します。
- コンプライアンスの向上: 医療データの保護に関する規制要件の遵守を支援します。
- 患者の信頼の向上: 患者がデータの使用方法を制御できるようにして、患者の信頼を確保します。
同意の権限
同意には、次の 4 つの主要権限が関与します。
- 管理者権限: 同意権限のフレームワークを確立します。同意できるユーザー、同意契約に含める必要がある情報、同意契約の適用方法も決定されます。
- 権限付与者: 患者や管理者など、データへのアクセスに同意する個人または組織。ユーザーは同意者に同意契約を付与したり、同意権限を他者に保証したり委任したりできます。
- システム権限: 権限付与者の ID、アプリケーションのユースケース、環境について信頼できるアサーションを作成する権限。これをゼロトラスト アーキテクチャで使用して、譲受人がデータにアクセスできる権限を持っていることを確認できます。
- 譲受人権限: EHR のアクセサーなど、データへのアクセスが許可された個人または組織。システムがロール、目的、環境に関する情報を提供することで、システムが ID と権限を検証できるようにします。
他の形式のアクセス制御と比較した場合、権限の分布、権限を管理するルール、アクセサーとの一致ポリシーの一部としてのデータ要素の評価が同意に固有です。
ほかのアクセス制御システムとの比較
FHIR アクセス制御では詳細なリソースレベルのアクセス制御が可能ですが、Identity and Access Management(IAM)ではプロジェクト、データセット、FHIR ストアの権限に重点を置いています。SMART-on-FHIR は、基本的なポリシーとリクエスト属性を持つ単一権限のユースケースに焦点を当てています。SMART-on-FHIR はある程度の粒度を提供しますが、単一のリクエスト属性による制限があり、FHIR アクセス制御と同じレベルのきめ細かい制御はできません。次の表にすべての比較を示します。
| 機能 | FHIR アクセス制御 | IAM | SMART on FHIR | その他のオンプレミス ソリューション |
|---|---|---|---|---|
| 複数の権限の有効化 | サポート対象 | サポート対象外の項目 | サポート対象外の項目 | サポート対象 |
| 複数リクエストの属性 | サポート対象 | 固定属性による制限 | サポート対象外の項目 | サポート対象 |
| 動的で詳細なリソース属性 | サポート対象 | サポート対象外の項目 | 単一の検索クエリによる制限 | データとの継続的な同期が必要 |
| 包括的な重複しているポリシー | 最大 200 の管理者ポリシー + 患者 1 人あたり 200 の同意 | 最大 100 人 | O(10) |
サービング パフォーマンスによる制限 |
| パフォーマンスとスケーラビリティ | サポート対象 | サポート対象外の項目 | サポート対象 | サポート対象外の項目 |
| 組み込みの EHR セキュリティ | サポート対象 | サポート対象外の項目 | サポート対象 | サポート対象外の項目 |
| 権限の同時変更 | 可能性はある | 可能性はある | サポート対象外の項目 | 可能性はある |
| ポリシーの管理と監査 | サポート対象 | サポート対象外の項目 | サポート対象外の項目 | サポート対象 |
- 複数権限の有効化: 境界内の管理者と患者の両方が同意を付与したり、ポリシーを適用したりできるようにします。
- 複数リクエスト属性: 同意ポリシーに対する評価のための一連の抽象アクター、目的、環境属性のセットとして譲受人を表します。
- 動的なきめ細かいリソース属性: ポリシーの適用やさまざまなデータ要素(リソースタイプ、データソース、データタグなど)への同意の付与を許可します。データ ミューテーションを使用してアクセスをリアルタイムで変更できます。
- 包括的な重複しているポリシー: 包括的なアクセス判定ルールにより、1 つのリソースに複数の同意を適用できます。
- パフォーマンスとスケーラビリティ: すべての EHR のオペレーション(例: patient-$everything、検索)は、最小限のオーバーヘッドでパフォーマンスが高くなります。
- 組み込みの EHR セキュリティ: すべての EHR のオペレーションは、追加の構成やカスタマイズを必要とせずにサポートされます。
- 権限の同時変更: 権限が変更されると、既存の発行済み認証情報(アクセス トークンなど)が新しい権限の対象となります。
- ポリシー管理と監査: 管理者は、監査証跡と監査データへのアクセス権を使用して、ポリシーの下書きの作成と更新を行うことができます(たとえば、誰がどのような目的でどの環境のどのデータにアクセスしようとしたかなど)。