プライバシー、セキュリティ、スケーラビリティはビデオ通話の基本です。このドキュメントでは、ビデオ通話による相談を大規模に安全かつプライベートに行う方法について説明します。

ビデオ通話は 4 つの重要な概念に基づいています。

• プライバシー- 1988 年連邦プライバシー法およびオーストラリア プライバシー原則に基づいて、個人情報を適切に収集、使用、開示、および保存する義務を定義します。
• セキュリティ- ビデオ通話は不正アクセスや不正使用から保護され、データは信頼性が高く、正確で、使用可能です。
• データ主権- オーストラリアのプライバシー規制により、患者情報は海外に転送されてはならない
• スケーラビリティ– 全国的な機能としてのビデオ通話は、従来のビデオ会議インフラストラクチャのセットアップを必要とせずに、大量のビデオ相談を処理できるようにアーキテクチャ的にスケーラブルです。

これら 4 つの概念は、ビデオ通話の設計の基本です。ネットワーク アーキテクチャは、新しい機能と性能が引き続き必要な標準を満たすことを保証する設計保証プロセスによってカバーされています。

まとめ

ビデオ通話は、Web リアルタイム通信 (WebRTC) テクノロジーに基づいて構築されています。WebRTC の組み込みセキュリティでは、完全に暗号化された接続が使用されます。

ビデオ通話は、WebRTC テクノロジーを通じて実行されるサーバーとアプリケーションで構成された総合的な遠隔医療エコシステムとして設計されています。

healthdirect Video Call は、サイバー セキュリティ ガイドラインとしてオーストラリア政府情報セキュリティ マニュアル (ISM) のEssential Eightベースラインと医療保険の携行性と責任に関する法律 ( HIPAA ) に準拠しており、デジタル フットプリントを残さずにプライバシーを保護します。Video Call プラットフォームはISO 27001 認証も取得しています。

他のビデオ相談プラットフォームでは、通話録音を含む通話の詳細が、ビデオ サービス プロバイダーがアクセスできる中央サーバー (通常はオーストラリア国外) に保存されるため、患者の同意を得ずに臨床医がプライバシー法に違反するリスクが生じる可能性があります。

WebRTC ベースのシステムを真に安全かつプライベートにするために、追加のセキュリティ対策が適用されています。

• 仮想ルーム、ピア、セッションは、ユーザーが通信するための安全な環境を提供します。
• ビデオ通話では、デフォルトでは個人を特定できる情報や保護された健康情報は保存されません。
• 最先端のネットワーク セキュリティにより、盗聴や中間者攻撃を防止します。
• 負荷テストとコードレビューにより、高いレベルのアプリケーション セキュリティが実現します。

このページでは、ビデオ相談が安全、セキュリティ保護され、プライベートかつスケーラブルであることを保証するためにどのような手順が実行されるかについて説明しています。

健康レベルのプライバシー、セキュリティ、データ保護は、ビデオ通話の設計の基本です。

セキュリティコール

WebRTC ビデオ通話のメディア トラフィックは、Web ブラウザー間の AES 128 ビットまたは AES 256 ビット暗号化で保護されています。これは、ビデオ通話などの WebRTC ベースのサービスの標準です。ただし、このセキュリティはピアツーピア通話にのみ適用され、システム インフラストラクチャには適用されません。WebRTC ビデオ通話のインフラストラクチャ要素のいくつかは攻撃される可能性があり、ビデオ通話はこれらの攻撃ベクトルを阻止するために開発されました。

たとえば、標準的な WebRTC 通話暗号化では、通話のどちらかの側で攻撃者がユーザーになりすますのを阻止できません。また、暗号化では、シグナリング、アプリケーション、リレー (TURN) サーバーの乗っ取りを防ぐこともできません。

ビデオ通話には、以下の脅威から保護するための重要なプライバシーとセキュリティ対策が適用されています。

• 誰かがなりすまし、オンラインクリニックに不正にアクセスして患者と相談する。
• ビデオ通話シグナリングまたは TURN サーバーに不正アクセスするために誰かが違法に傍受すること。
• 患者のデバイスまたは監視サーバー上の通話ログにアクセスする第三者による通話履歴の観察。
• ビデオ通話のプライバシーとセキュリティ モデルにより、次のことが保証されます。
• クリニックの認可されたサービス提供者と管理者のみが患者にサービスを提供できる。
• すべての患者との相談はプライベートな1回限りのビデオセッションで実施できます。
• 1回限りのビデオセッションは、永続的なビデオルームとは区別されます（後者はクリニック内部の目的で使用できます）。
• ビデオ通話中またはビデオルームで交換された患者データは、診察終了後は保存されません。または、クリニックが保存することを決定した場合は、クリニックのみが利用できる復号化キーを使用して暗号化された形式で保存されます。
• シグナリングサーバーとリレーサーバーは暗号化されたメディアトラフィックのみを処理します。
• 最先端のセキュリティ設定と手順が採用されており、サーバーインフラストラクチャがハッキングされて医師になりすましたり、診察を観察したりすることができないようになっています。
• アプリケーションのセキュリティを最大限に高めるために、すべてのソフトウェア パッチのピア コード レビューが実行されます。

データセキュリティ

ライブビデオ通話だけでなく、すべてのデータが暗号化されます。

Video Call は、サービス プロバイダーの情報とパスワードを Amazon RDS (リレーショナル データベース サービス) に安全に保存します。パスワードは TLS ( トランスポート層セキュリティ) を使用して送信され、プレーン テキストで保存されることはありません。Video Call は、ハッシュ化およびソルト化されたパスワード ハッシュのみを RDS に保存し、ユーザー認証および承認の現在の業界標準を満たしています。

ビデオ通話では、個人を特定できる情報や保護された健康情報は保存されません。

ネットワークセキュリティー

ライブビデオ通話中に交換されるすべての音声データ、ビデオデータ、およびその他のすべてのデータは暗号化されます。

ビデオ通話では、すべての接続と WebRTC 実装に最先端のセキュリティ メカニズムが使用されています。ブラウザーとアプリケーション サーバー、シグナリング サーバー、または STUN/TURN 間の接続はすべて TLS で暗号化および認証されており、強力な暗号化と適切な証明書チェックが行われています。STUN/TURN ネゴシエーションの TLS 保護により、ビデオ通話通信の再ルーティングが行われないことが保証されます。

WebRTC 通信のセキュリティは、シグナリング サーバーがブラウザー間通信の暗号化設定を容易にすることで強化されます。ブラウザーは、すべてのデータ チャネルに対して共有キーを安全に確立します。

アプリケーションセキュリティ

分散システムであるため、ビデオ通話エコシステムのすべてのコンポーネントは攻撃に対して強化されています。

• プロトコル ファジング- シグナリング サーバーはカスタム プロトコルを使用してメッセージを転送するため、予期しない動作や望ましくない動作につながるコード パスがないことを確認するためにプロトコル ファジングが実行されています。ビデオ通話のブラウザー実装も同様のプロトコル ファジングが実行されています。
• 侵入テスト (ペンテスト) - 侵入を防ぐために、アプリケーション サーバーと通話監視システムがペンテストされています。ペンテストは定期的に実施されます。
• ブラウザのセキュリティ– WebRTC はブラウザをピアツーピアで接続します。プロトコル ファジングを使用して、ビデオ通話ブラウザの実装をテストします。
• 監視セキュリティ– 通信はブラウザから通話モニターへの一方向のみで行われます。ブラウザは通話モニターに情報を送信するだけで、通話モニターから情報を取得したり受信したりすることはできません。通話モニターは、一般的な脅威から保護するために、侵入テストとファジングが行われています。

プライバシー

ビデオ通話はオーストラリア政府のプライバシー ポリシーに準拠しています。

ビデオ通話のインフラストラクチャとサービスは、 1988 年連邦プライバシー法、データ主権に関するオーストラリア プライバシー原則 (第 8 条) 、および可能な限りオーストラリア政府情報セキュリティ マニュアル (ISM)のガイドラインに準拠しています。 

ビデオ通話の接続はピアツーピア (中央のビデオ インフラストラクチャを経由しないブラウザー間) で行われます。参加者間の実際の通話で共有されるデータは、通話に参加しているエンドポイントでのみ、復号化された形式で利用できます。通話を転送する他のすべての仲介者は、暗号化されたデータのみを見ることができます。これは、オーディオ データとビデオ データだけでなく、チャット メッセージやドキュメントなど、セッションで交換されるすべての情報にも適用されます。ビデオ通話では、デフォルトでは通話の共有データは保存されません。

患者は信頼できるサービス プロバイダーの Web サイトから待合室に入り、自分専用のビデオ ルームで待機します。たとえば、別の患者との診察が時間超過したためにサービス プロバイダーが遅れた場合でも、患者同士がぶつかることはありません。ビデオ通話によって作成されたルームは、診察後に削除されます。

患者は、クリニックへのアクセスを許可されたサービス プロバイダーまたはクリニック管理者が診察できます。許可は、固有のログインとプラットフォーム内で割り当てられた役割によって定義されます。クリニック管理者は、スタッフにこのようなアクセスを割り当てる責任があります。

デフォルトでは、ビデオ通話では患者を特定できる情報は保持されません。患者はプラットフォーム上にデジタルフットプリントを残しません。

データ主権

オーストラリアのデータまたはデータ管理が海外に移されると、オーストラリア国内で管理されなくなり、外国の法律または外国企業の慣行の対象となります。外国企業によるオーストラリア人のデータへのアクセスと管理は、プライバシーとデータが適切に保護されるというオーストラリア人の既存の権利を認めるものではありません。

したがって、オーストラリア国民に関する機密データは、外国の主体による情報アクセスが不可能であることを保証できる ASD (オーストラリア信号局) 認定クラウドに保存する必要があります。

Video Call は、厳格なアプローチで AWS ( Amazon Web Services ) クラウド内でのみホスティングを行います。このクラウドは、ASD の IRAP ( Information Security Registered Assessors Program ) によって認定されており、ISM ( Australian Government Information Security Manual ) で要求される適用可能な制御が AWS に導入されていることを保証します。

Video Call では、オーストラリアのユーザーについて次のことが確認できます。

• 個人の健康データはオーストラリアの法域内でのみ使用されます。
• すべてのデータストレージは陸上のデータセンターに限定され、
• セキュリティ プロトコルとシステムはオーストラリア国内で ASD 要件の範囲内に維持されます。

スケーラビリティ

ピアツーピア通話は、ブラウザ間で、また医療サービス プロバイダーとそのクライアント間で直接行われます。これにより、中間のビデオ サーバーが不要になり、無制限の数の同時通話が可能になります。

ピアツーピア通話が企業のファイアウォールの内側で停止してしまうことがあります。このため、リレー サーバー (STUN/TURN) が設置され、オーディオ、ビデオ、およびデータ ストリームを企業境界外の受信者に転送します。リレー サーバーは飽和状態になるまでかなりの負荷を処理できますが、スケーラブルな方法で展開することが重要です。ビデオ通話は AWS クラウドに展開されているため、リレー サーバーが監視され、高い負荷が検出されると、追加のリレー サーバーが生成され、追加のリレー作業を透過的に引き継ぎます。これは「負荷分散」と呼ばれます。

シグナリング サーバーはビデオ通話の設定に関係するため、スケーラブルなシグナリング インフラストラクチャの導入に特に注意が払われています。ビデオ通話シグナリング サーバーで負荷テストが行われ、数十万の同時通話をサポートできるようになりました。さらに、シグナリング サーバーのネットワークがさまざまな AWS ロケーションに導入され、最も近いシグナリング サーバーを選択して通話シグナリングを提供することで、ビデオ通話のエンドポイントとシグナリング サーバー間のレイテンシーが短縮されています。

Web アプリケーションは、アプリケーション サーバーから Web ブラウザーに配布されます。多数のユーザーが Video Call を使用し始めると、Web アプリケーション サーバーも非常に混雑する可能性があります。Video Call では、アプリケーション サーバーの負荷分散を実装しています。

Video Call は拡張性を考慮して設計されています。すべてのデータベースとサーバー インフラストラクチャはステートレス マイクロサービス アーキテクチャを使用して設計されているため、各コンポーネントはフォールト トレラントであり、特定の時点での各サービスの負荷に合わせて個別に水平に拡張できます。

組織のサポート

WebRTC ベース - WebRTCコンポーネントは、多くの Web および通信業界のセキュリティ専門家の指導とレビューの下、オープン ソース プロジェクトから Chrome、Firefox、Safari に実装されています。

医療向けに設計 - ビデオ通話環境は定期的にレビューされ、医療向けに最適化されています。他の通信サービスに存在する脆弱性の露出は、ビデオ通話では制限されています。

完全に Web 経由でアクセス - Video Call は最新バージョンの Chrome、Firefox、Safari で動作するように更新されています (Microsoft Edge のサポートは、blink エンジンへの移行に伴い予定されています)。これらのブラウザは定期的にセキュリティ更新を実行するため、Video Call の更新を待つ必要はありません。

ブラウザ限定アプリケーション - ビデオ通話は Web ブラウザ内で安全に実行され、Web ブラウザに実装されている標準のセキュリティ対策により、コンピュータのデスクトップ環境や使用中のモバイル デバイスへの影響が制限されます。

ネットワーク セキュリティ - ビデオ通話には、デスクトップ、ラップトップ、またはモバイル デバイスからいくつかの標準 HTTPS および安全なメディア ポートへのアクセスのみが必要です。詳細については、リソース センターのネットワークの基本ページをご覧ください。

Web プロキシ サービス - ビデオ通話の Web トラフィックでは、既存の Web プロキシ サービスとセキュリティ ポリシーが使用されます。

通話品質プロファイル - ビデオ通話品質プロファイルを設定することで、臨床医はネットワーク リンクに対するメディアの要求を下げて、特定の制限内に収めることができます。

アクセシビリティ - ビデオ通話は、すべてのユーザーがユニバーサルにアクセスできるように努めており、すべてのサービス プロバイダーとその患者が可能な限り最高のエクスペリエンスを得られるようにしています。視覚障害のあるユーザーをサポートするために、Web アプリケーションはスクリーン リーダーでアクセス可能で、ズーム ツールも使用できます。ビデオ通話は 3 者間通話や 4 者間通話でも使用できるため、手話通訳者がライブ ビデオ セッションに参加し、聴覚障害のあるユーザーを ASLAN 手話でサポートできます。