同一施設内で同一アカウントを共有しても良いの？

昨晩は台風が千葉西エリアで猛威をふるっており、夜中の3時あたりから寝た気がしません。ここまで激しいとは予想していなかった（というか何も考えていなかった）、雨戸も全解放でした…何か飛んできたら確実にガラスが割れるなとハラハラしながらも、結局暴風の中サッシを開けて雨戸を閉じて…という勇気が無く、そのまま朝まで放置。パッと見た感じ窓への被害はないですが、毎年芝生を貫通して元気よく咲いてくる彼岸花の多くがへし折れていて、ちょっと寂しい気分です。

さて、最近「パスワードの定期変更はやらない方が良い」という趣旨の記事を多く見かけるようになったと感じます。うちでも既に一年以上前の記事へのアクセスが増えており、多くの方々が気にされているトピックなのかな、と思います。今回は、それと同じくらい重要な、アカウントの共有についてです。多施設共同臨床研究あるあるなのですが、YACHI_HOSPITAL_CRCのようなアカウントを作成し、該当施設の全てのCRCに共同で利用してもらおう！と言うものです。

先に結論：絶対に止めて下さい
危うさを理解すべき
一部例外ありって？
そもそも何故こんなことが起きるのか
1. いいね:

先に結論：絶対に止めて下さい

読む時間が無い方々でもこれだけは目に止まるように敢えて結論を前に持ってきますが、一部の例外を除いては、アカウントの共有はNGです。例外というのは、例えばそもそも足の付きようが読み取り専用のアカウント、そして緊急時の対応等で使うROOT、SYSTEM、ADMIN等のシステム既定のアカウントです。それ以外は共有は厳禁です。

当然のように共有しない、が原則

危うさを理解すべき

臨床研究のデータ入力システムは、法や指針、あらゆる要求を満たしていなければなりません。本ブログでたびたびテーマに上がってきます「監査証跡」というのが、その１つです。個人的には、これが全てだと考えています。この監査証跡というのは、誰がいつ何をやったのか（変更したのか）という履歴なのですが、当然この「誰が」の部分は「現在ログイン中のユーザーである」ということになります。これが特定の人物でない場合、この前提が崩れてしまうのがまず大きな問題としてあります。

「決まりだからダメなの？」と言われれば、まー、そうなのですが…実際に問題があった場合に共通アカウントで作業をしていたら、何がどうだったのかの再現が難しく（あるいは不可能に）なります。たとえば、ある時点でなりすましが発覚したとしても、どこまでが担当者によるアクセスか、どこからが不正アクセスかが、わかりづらくなります。共有アカウントということは、パスワードも複数ユーザー間で共有していると言うことになりますので、どこから漏れたかなんて確証は持てません。

不正アクセスとまで行かずとも、例えばモニタリングの過程で入力データに矛盾が見付かった場合も、そもそもの入力者が不明のため誰に確認すれば良いのかわからないです。「A介は7月しかアクセスしてないけどB子は8月も使ってたと思うよ」；そしてB子に聞くと「いや、前半はアタシじゃなくてD司だったよ。任期付きだったから彼はもういないけど…」という笑えないコントが発生します。

誰が握ったかがわかる安心感

一部例外ありって？

先に、一部の例外について触れましたが、どちらかというと「なんとか許容できる」が正確です。読み取り専用のユーザーは、性質上入力データの変更は出来ないので、場合によっては必要になってくるかもわかりません。緊急時などに使用する各システム既定の最上位の権限を有するアカウントも、パスワードを封筒にしまって金庫に保管、緊急時にのみ開封…という運用も考えられます。当然、この場合は、誰がいつこのアカウントを使ったかは別の媒体で保管しておく必要があります。

ですが、繰り返しになりますが、ベストはどんなアカウントでも、ユーザー固有のものを用意することです。

そもそも何故こんなことが起きるのか

こう言ったことが臨床研究で起きていることに驚かれる方々も居るかも知れません。こう言ったことが起きる背景には色々考えられます。単純に認識不足で、「こんな感じで良いでしょ！」と捉えているパターン。最初は固有のアカウントでやっていたけど、結局担当医師が自分のアカウント情報を事務方さんに渡して入力をさせてしまう…それなら最初から施設単位でアカウントを作っても変わんないじゃん、となるパターン。そして、多施設共同臨床研究のデータセンターの負担を減らすべく、管理しなければいけないユーザーアカウント数を減らしたい…なので各施設に１アカウントの運用にするパターン。

データセンターの負担は、馬鹿に出来ないものではあり、ユーザーアカウントが増えれば増えるほど、データセンターへの問い合わせも増えてしまいますし、各アカウントの「生き死に」も確認しなくてはならなくなります。事前に有効期限を設定する、パスワードを忘れた際の再発行はデータセンターの介入無しで出来るようにするなど、システムによって対処方法はことなりますが、やりようはあるはずなので迷わずベンダーに相談しましょう。