コンテンツにスキップ

パスキーご利用ガイド

最終更新日: 2026-01-19 対象読者: 全ユーザー

はじめに(パスキーとは?)

  • パスキーは、指紋や顔認証など「いつものカギ(スマホ等)」でログインできる、新しい認証の仕組みです。

  • パスワードを覚える必要がなく、なりすまし・フィッシングに非常に強いのが特長です。

  • スマートフォンの生体認証や、端末のPIN/画面ロックを使うため、普段の操作と同じ感覚で安全に使えます。

💡 ヒント: - パスワード自体を入力しないので、盗み見・使い回し・漏えいのリスクを大幅に減らします。 - 仕組みは国際標準の「FIDO2/WebAuthn」。現時点で世界最高峰の実用的な認証方式のひとつです。

どのように動作するか(かんたん解説)

登録(初回設定)

  1. ログイン後、画面の案内に従い「パスキーを登録」を選びます。

  2. スマホでQRコードを読み取り、指紋/顔認証を実行します。

  3. サービス側には「公開鍵」だけが保存され、秘密のカギは端末から外に出ません

ログイン

  1. ログイン画面で「パスキーでログイン」を押します。

  2. スマホやPCが「その場かぎりの質問(チャレンジ)」を受け取り、端末内で署名して回答します。

  3. ドメイン一致などの安全確認により、偽サイトでは使えない仕組みです。

セキュリティが「世界最高峰」である理由

  • パスワード不要: 入力・保管・使い回しのリスクを根本から削減。

  • 強いフィッシング耐性: 本物のサイトだけで機能(ドメインと鍵が紐づき)。

  • 端末内生体認証: 指紋・顔情報は端末外に出ず、漏えいしません。

  • 多要素を一度に満たす: 端末の所有 + 生体/画面ロック = 強固な実認証。

  • 短命チャレンジ: 認証要求は短時間で失効(60秒程度)し、使い回し不可。

  • 通信・リクエストの厳格な検証: 正しい形式(JSON)や正しい接続元(Origin)のみ受付。

  • 試行回数制限: 1分あたりの回数やIP単位の上限を設定し、攻撃を抑止。

  • 端末ごとの細かな管理: 登録数の上限、有効/無効化、削除、利用履歴の追跡が可能。

本サービスでは、以下のような安全策を実装し、設計から安全性を高めています。

  • チャレンジの有効期限(60秒)・ユーザー検証の必須化・許可オリジンの制限・レート制限 など。

厚生労働省ガイドラインへの適合

本サービスは、医療機関での利用を想定し、厚生労働省「医療情報システムの安全管理に関するガイドライン」に準拠した運用・技術要件を満たす構成で提供します。

  • 強固な本人認証(FIDO2/WebAuthn)

  • 通信の保護(TLS)と正当な接続元の検証(Origin制御)

  • アクセス制御(ユーザー権限・ポリシー)

  • レート制限やアカウント保護(試行回数の制御、ロック)

  • 操作・認証の監査ログ(登録/有効化/無効化/削除/認証の記録)

基本の操作手順

ログイン(パスキー)

  1. ログイン画面で「ログイン」を押します。

  2. スマホまたはPCの指紋/顔認証を実行します。

  3. 成功すると、ログインが可能です。

💡 ヒント: - パスキーが見つからない/失敗する場合は、画面の案内に従いパスワードログインへ切り替えできます。 - ブラウザやOSは最新版をお使いください(Chrome / Safari / Edge 等)。

初回設定(パスキー登録)

  1. まず通常ログイン(メール+パスワード)。

  2. 設定画面の「パスキーを登録」から案内に従います。

パスキー設定画面

  1. 表示されたQRコードをスマホで読み取り、指紋/顔認証を実行します。

  2. 完了後、次回からパスキーでログインできます。

⚠️ 注意: Windows PC内蔵のWindows Helloでの登録は、スマホ連携上の都合によりブロック/非推奨となる場合があります。スマホでのQR登録が必須です。

端末の管理(有効/無効・削除・上限)

  • 登録済みの端末(「自分のスマホ」「院内PC」など)を一覧で確認できます。

  • セキュリティ上の理由で、端末を一時的に無効化したり、不要になった端末を削除できます。

  • 登録できる端末数には上限があります(例: 10台)。使わない端末は削除して整理してください。

端末管理画面

よくある質問(FAQ)

Q1. スマホをなくした/壊れたら?

A: 予備として、別のスマホや端末にも「複数のパスキー登録」をお勧めします。紛失時はクリニック管理者/サポートに連絡し、対象端末の無効化/削除を依頼してください。

Q2. 機種変更のときは?

A: 新しい端末で再度「パスキーを登録」してください。古い端末は不要になり次第、無効化/削除します。

Q3. パスキーでうまく認証できないときは?

A: 画面の案内に従い、パスワードログインに切り替えてください。ブラウザ更新や時刻ずれの解消、ネットワーク確認も有効です。

Q4. どのブラウザ/端末で使えますか?

A: 主要なモダンブラウザ(Chrome / Safari / Edge 等)に対応しています。最新版の利用を推奨します。

Q5. だれが自分の端末(パスキー)を削除できますか?

A: 原則として自分自身が管理できます。組織の管理者は、所属メンバーの端末を業務上必要な範囲で管理できます。

トラブルシューティング(困ったとき)

  • 「パスキーが見つからない」: いったんパスワードでログインし、登録状況を確認してください。

  • 「ブラウザが非対応」: 対応ブラウザの最新版をご利用ください。院内端末はITご担当にご確認ください。

  • 「QRが読み取れない」: 画面の明るさを上げ、距離を調整。OS標準カメラやGoogleレンズ等で再試行。

  • 「別サイトに見える」: ブックマークから正規URLにアクセスしてください(偽サイト防止の基本対策)。

用語集

用語 説明
パスキー(Passkey) FIDO2/WebAuthn標準に基づくパスワードレス認証方式
生体認証 指紋/顔などで端末の鍵を使うための本人確認
QRコード登録 PC画面のQRをスマホで読み取り、スマホ側で安全に鍵を作成する登録方法
Origin(オリジン) 接続元の正当性を示す情報。正しいサイトかを判定する重要な要素

お問い合わせ

以上で、パスキーのご利用方法と安全性の概要は完了です。ご不明点があれば、院内の管理者またはサポート窓口までお問い合わせください。