五十嵐健夫、守屋潔、芦原貴司、八尾武憲、永田啓、高田雅弘、鈴木亨、坂地広之、中沢一雄,
ID付きペンによるオペレーションレベルでの個人認証,
第3回日本医療情報学会学術大会, Nov 2002.
病院での電子カルテやオーダリングシステムを対象とした個人認証のシステムで、タブレットでの操作を念頭においたシステムです。仕組みは簡単で、個々の医者がIDのついたペンを持つということです.
タブレットで使うペンにそれぞれIDがついており、各ユーザは異なるIDを持つペンを持ち歩くことで認証される。とあります.というわけで、よく言えば「所有物認証」ではあるが、悪く言うと「なにも個人を認証していない」と言うこともできます.ただし、注目すべき点があります.それは「操作レベルでユーザを特定する(認証する)ことが大事」だという点です。論文にも書かれていますが、一般に認証とはセッション単位で行われており、ひとたびユーザが認証されると「操作が終わったよ」とユーザが明言するまでそのユーザによる操作であるという前提に立っています(persistent authentication).しかし、そうでない可能性(セッション利用中に他人が操作するなどの脅威)が存在するのも事実です.また論文にあるような状況では、複数人による操作において各操作のユーザ同定が必要になります.そういう意味で、よりきめ細やかな個人認証が必要な状況が存在するということを再認識したのと、認証により操作を許可する「範囲」(セッション単位、操作単位)という点を考慮すべきということを再認識しました.
しかし各ユーザがID付きのペンを持ち歩く...というのは病院では自然なんだろうか? お医者さんは胸とかにペンをたくさんさして持ち歩いているから普通なのかな?
Posted by z at February 18, 2004 02:48 AM