この問題は以下の製品のすべてのバージョンに影響します。
- InterSystems IRIS® for Health
- InterSystems Health Connect™
- HealthShare Unified Care Record®
- HealthShare® Information Exchange
問題発生の要件
- InterSystems FHIR サーバとウェブゲートウェイを使用
既定のウェブゲートウェイコンテナが使用するログ書式ではアクセスログにPHI情報が含まれる場合があり、管理者がその情報を参照することができます。FHIR標準ではクエリURLに(PHIを含む)クエリパラメータを使用することが可能です。
対象システムのお客様はクエリ文字列および機密情報を含むフィールドがログに含まれないようにウェブゲートウェイのログ設定の見直しと修正を推奨します。可能であれば、URLパラメータではなくFHIR POSTクエリでリクエストボディに機密情報を含むパラメータを格納することを推奨します。詳細な情報はFHIRの検索仕様をご確認ください。