今回のシステムを作るのにあたり、セキュリティの面では最低限の機能は欲しいなと思っている。

SSHを使ってセキュアにサーバへアップロード
電子カルテから吐き出されたデータをWebサーバにFTPでアップロードする必要があるのだが、Webサーバはホスティングサービスを使っているので、インターネットを経由してアップロードしなければならない。つまり、元データをインターネットに平文（FTP）で流すことになるというわけだ。システム的に配慮してもこれでは元も子も無い。
なので、SSHセッションを張って、Port-Forwardingしてサーバにアップロードしたい。
ここには問題点があって、ホスティングプロバイダがSSHを許可してくれているかという問題があるのだ。後日聞いてみる。

HTTPセッションをSSLで暗号化
このシステムではブラウザで患者情報の一部の検索が出来るものなので、立派な個人情報。
なので、検索にかかわるセッションも暗号化したい。
SSL使うのがセオリーでしょう。だからそのつもり。
ただね、携帯電話対応なので、携帯で検索したパケットはSSLで暗号化かけられないんだよね。だから片手落ちなのではあるのだけれど・・・。