オンライン資格確認を実現するには、まず、ネットワークについてをどうするかを考えないといけません。
一番複雑で、既存のレセコンなどの保守などの絡みもありますので、むやみやたらに変更できないことと、今まで業者に丸投げしたままの組織ですと、
- どこが何を使っていて、どのようにアクセスを確保しておけば良いのか、わからないこと
- これからは、何が追加されて、どのように出来れば問題ないのか、わからないこと
- 全ての組織でいろいろな事情があり、標準的なモデルがないこと
という、事で、ここが一番、コストがかかります。
是非とも、どこに依頼するとしても、「どこが何を使っていて、どのようにアクセスを確保しておけば良いのか」については、事前に整理しておくことをおすすめします。
まずは、大前提として、オンライン請求を自組織でやっているかどうかで分かれてきます。自組織でオンライン請求をしていない(医師会に依頼して代行更新してもらっているなど)の場合には、新たにインターネット回線( 常時接続回線 )をNTT東日本もしくは西日本のFlet’s光を導入することをおすすめいたします。
NTTの代理店な訳でも、回し者な訳でもないですが、NTT Flet’s光であれは、この仕組み(オンライン資格確認)も、オンライン請求も、そして、通常のインターネットも、場合によっては電話回線も 1つにまとめることでコストを下げることが出来ます。
新たに引く場合には、是非とも1Gbpsのメニューから選んでください。早いほうが良いからと言って、10Gbpsのメニューを選ぶと、現状では繋がらない可能性もあります。ご注意ください。
オンライン請求はしていない、だけど、オンライン診療しているから、フレッツよりも早いインターネット使っているよ! という組織の方は、アドバイスが難しいです。可能であれば、Flet’sの1Gbpsを新規に引くのが簡単では無いかと思います。
オンライン請求しているけど、フレッツじゃないよ! 三菱とかのVPN使っているんだよ。と言う組織の方は、オンライン請求を導入したときの業者などに問い合わせるのが良いかと思います。
何が追加されて、どのようにすれば問題ないのか?
このことについて、解説していきます。基本的には、Flet’s光を使う方法を前提に解説していきます。
レセプトのオンライン請求では、レセプト提出等使用するときだけ、専用のPPPoEのコネクションを接続して、外部と隔離されたネットワークに接続して、アクセスする方法でした。
しかし、今回のオンライン資格確認では、常時通信のやりとりが発生するために、その時だけ接続ということはなく、常時接続している状態になります。そのために、ipv6というネットワークが使用されます。
そして、Flet’s光で常時接続で安定したipv6を使用するために、フレッツ光ネクストのオプションでv6オプションというのを使用します。技術的に深く話すといろいろとv6オプションについてはあるのですが、この場では、「フレッツ光ネクストを契約してv6オプションが付いていないと、オンライン資格確認が使用できない。」と考えていただければ平気です。
次に、ipv6でオンライン資格確認のサーバーと接続する専用のWindows10端末を設置します。このWindows10の端末を「オンライン資格確認端末」と呼びます。オンライン資格確認端末は、ipv6を使用して、支払基金が管理するオンライン資格確認サーバーと通信を行います。ipv4での通信については、「オンライン資格確認」の機能としては不要です。
そして、オンライン資格確認端末は、既存の院内のネットワークにアクセスすることはありません。しかし、そのままだとオンライン資格確認の情報は取れないために、院内のネットワークからオンライン資格確認端末へのアクセスをして、資格確認などの情報を取得します。
つまり、院内ネットワークから オンライン資格確認端末へのアクセスは許可する必要があります。
まとめると以下のようになります。
- オンライン資格確認端末から ipv6インターネットへのアクセスは許可する。
- ipv6からオンライン資格確認端末へのアクセスは禁止する。
- 院内LANからオンライン資格確認端末へのアクセスは許可する。
- オンライン資格確認端末から院内LANへのアクセスは禁止する。
基本的には、このようなルールでアクセス制限がかけられていれば、問題ありません。
基本的には、オンライン資格確認端末がDMZ的な(でも、外部からはアクセスされない)位置づけと考えれば、ネットワークに組み込みやすくなるとは思います。
しかし、ここで、問題が複雑になるのが、外部へはipv6でのアクセスだが、既存の院内LANとのアクセスはipv4であるというケースが一般的な話であるかと思います。さらに既存の院内LANが外部インターネットへの通信には、ipv4を利用しているとなると、配線的には、どう組むか? ネットワーク図で表現するのも大変な感じになってきます。
更に、高度なネットワークの場合には、院内LANですでにipv6のインターネットを利用している場合になります。ただipv6が付いているというわけではなく、理由があって外部のipv6アドレスをLAN内にも配布しているような場合です。そのような高度なネットワークを組んでいるような場合には、ネットワーク管理者がいるので、対処できるかと思うので、組織内のネットワーク管理者に相談するのが良いかと思います。
では、具体的にどう組めば良いのか、と言う話の前に、それぞれの要件をさらに詳しく解説したいと思います。
院内LANとオンライン資格確認端末の通信要件
これらの情報がなかなかなくて、困りました。
一番近いのが、連携アプリケーション操作手順書_1.00版.pdf(PDF:1.0 MB) に記載されている P.2の図です。
どうやら、「オンライン資格確認端末」と「既存システム」というのは、図を見る限り、ファイルでのやりとりがなされるようです。
連携アプリケーション導入手順書_1.05版.pdf(PDF:3.2 MB) をみると、連携アプリケーションについては、フォルダを共有する手順があるので、cifs、windowsファイル共有によって、やりとりがなされることがわかりました。
以下の場所に、googleで検索できるそれらしい物がありました。
オンライン資格確認等システム「外部インターフェイス仕様書」
ただし、これは、検索で引っかかっただけなので、そのうち消されるかもしれませんし、バージョンが現行かわかりません。ただ、全く外れているわけではないので、参考になるかとは思います。
既存システムと書かれた、既存のLANから オンライン資格確認端末への windowsファイル共有が (オンライン資格確認端末がサーバーというか、共有フォルダになっている)アクセスできるようにネットワークを組めば良いと判断しました。
オンライン資格確認端末と オンライン資格確認サーバーの通信要件
このサーバーへの通信要件は、わりと簡単に判明します。以下の文章に全て書かれています。
オンライン資格確認等システム接続ガイド(IP-VPN接続方式)1.2版.pdf(PDF:2.2 MB)
- ipv6オプションを使用した、ipv6のネットワークを使用する。(リンクローカルアドレスではないアドレスがオンライン資格確認端末に振られるようにする)
- ipv6のDNSが指定されている物を利用する。
- 指定されたサイトのアドレスがnslookupで引けるか確認
- お客様ID(回線ID)を確認して、事前申請する。その後、回線認証を行う。
最終的なネットワーク構成
先ほどまでに説明した、各部分でのネットワーク要件を理解しつつ、ipv4とipv6のアドレス範囲などを考慮しながら、以下の文書を読むことによって、どのようなネットワークを組めば良いかがわかると思います。
医療機関・薬局への導入におけるオンライン資格確認等システムとの接続に係るネットワーク連携のパターンの参考例(PDF:815.7 KB)
参考になるかどうか不明ですが、私が関与した組織では以下のようにしました。基本的には、P.3の構成をベースに考えました。前提条件としては以下のような条件の場合に利用できるかもしれません。
- オンライン資格確認端末は1台
- 今までも NTTのFlet’sを使用していた。オンライン請求も行っていた。フレッツを使用したインターネットも一部の端末で利用してた。
- ipv6は今まで一切使用せず、ipv4で利用。 ipv6は今回のオンライン資格確認端末のみで利用
- ルーターを利用してインターネットに接続していたが、外部から、レセコンなどの業者がアクセスするために、大きなネットワーク変更は出来ない。外部からのアクセスは、引き続きそのまま利用したい。
記載の特記事項以外は、ネットワーク連携のパターンの参考例P.3 記載の事項を守るようにセキュリティ対策などを行いました。
