メディトクは、医療機関・行政機関に関わる大切な情報を取り扱うサービスを提供するにあたり、「守るべきデータの性質」と「現場で続けやすい運用」の両立を重要視しています。以下は、サービス設計・運用の観点から取り組んでいるセキュリティの要点です。
OVERVIEW
セキュリティ概要
患者・健診・行政手続き等に関わる情報は、一度の操作ミスや不正アクセスでも大きな影響が及びます。当社は、認証強化、アクセス制御、通信・保管の保護、監査可能性の確保、そしてインシデントに備えた運用までを一連の設計として捉え、継続的に改善しています。
ACCESS
認証・アクセス制御
MFA(多要素認証)
TOTPに対応した多要素認証により、パスワード単独でのログインリスクを低減します。
PIN認証
院内端末等の利用シーンに合わせ、PIN認証による利用制御を設計できます。
ロールベースアクセス制御
管理者・スタッフ等の役割に応じた権限設計により、必要最小限の情報アクセスに留めます。
セッション管理
自動ログアウトやセッション有効期限の設計により、共有端末・離席時のリスク低減を図ります。
DATA PROTECTION
データ保護
- 通信暗号化(TLS/SSL):ブラウザとサーバー間の通信を暗号化し、盗聴・改ざんリスクに備えます。
- PDF限定共有:書類はPDF形式での送受信・共有を基本とし、閲覧環境の互換性と整合性の確保に寄与します。
- データ保管(AWS):データはAWS上の適切な構成のもとで管理し、アクセス制御と監査の仕組みを組み合わせます。
GOVERNANCE
監査・コンプライアンス
- 監査ログ:重要操作の記録により、事後確認と説明責任の発揮を支援します。
- 既読確認:書類の閲覧状況の追跡により、連絡・手続きの進行管理を補助します。
- 期限管理:書類の有効期限設定と自動失効により、不要な長期保存リスクを抑えます。
OPERATIONS
運用体制
- 定期的なセキュリティレビュー:脅威や要件の変化に応じ、設計・設定・手順を見直します。
- インシデント対応体制:検知・初動・復旧・再発防止までを想定し、関係者連携を含めて整備します。
- バックアップ体制:可用性と復旧の観点から、バックアップ方針を運用します(利用者側の重要データ保全も併せて推奨します)。
FAQ
セキュリティに関するよくある質問
多要素認証(MFA)は必須ですか?
運用ポリシーや契約内容、利用環境に応じて要件が異なります。導入時に最適な認証方針(MFAの適用対象、PIN併用等)をご相談ください。
データはどこに保存されますか?
当社のクラウド基盤(AWS)上で管理します。具体的な構成や保存領域は、契約・サービス種別により異なる場合があります。
PDF以外の形式は利用できますか?
セキュリティと互換性の観点から、書類の送受信・共有はPDFを基本とする設計が多いです。詳細は個別機能の仕様をご確認ください。
操作履歴は誰が確認できますか?
監査ログ等の参照範囲は、組織内の権限設計(管理者/スタッフ等)に基づき制御されます。
セキュリティに関する詳細資料は入手できますか?
対策の概要に加え、導入判断に必要な観点(認証、保管、ログ、委託管理等)について、お問い合わせに応じて情報提供が可能です。