レセプトオンライン請求

前提知識→（ネットワークの仕組み）

オンライン請求の前の準備

オンライン請求の申請を行う前に、下記が準備されているかを確認しましょう。

• パソコン1台
  →スペック：オンラインシステム動作環境
• LANケーブル
  →PCとモデムをつなぐため
• ネット回線契約
  →オンライン請求及びオンライン資格確認接続回線事業者（IP-VPN、ISDN、IP-sec+IKE対応事業者）

オンライン請求開始および変更申請

オンライン請求を行うためには予め支払基金に申請を行っておく必要があります。

オンライン請求開始および変更申請は医療機関等向け総合ポータルサイトから行います。

topページ→オンライン資格確認/オンライン請求→オンライン請求→各種申請一覧→オンライン請求の申請画面に進む→利用開始・変更申請→オンライン請求に関する届け出画面へ進む

初めて開始の際は、開始を選択、PCの変更の際は、変更を選択する。（変更例：pharnesの場合。ipv6変更の場合ipv6に対応しているプロバイダ契約および対応ルータが必要）

ISDN接続を選択している場合は「ISDNダイヤルアップ番号」が入力必須となります。

IP-sec+IKE接続を選択している場合は「インターネット接続Ipsec+IKE提供事業者名」が入力必須となります。

IP-VPNでもフレッツ光ではなく、CTCまたはQTnetの利用者は、「1: IP-VPN接続【IPv4】」を選択してください。

お客様IDのCAFやCOPはフレッツ契約IDのことなので契約書を見て選んでください。オンライン資格確認等システムと同じ回線を通常は使用します。

支払基金のサーバーのファイアウォールはアクセスしてきたデータに対して「お前はどの光回線（CAF等お客様ID）から来たんだ？」と、NTTの回線情報を直接読み取るシステム（回線認証）を持っています。事前にオンライン請求の利用申請書で「うちの薬局のCAF番号はこれです」と登録しておくことで、支払基金側が「あ、このCAF番号からのアクセスなら本物の薬局だ。通してヨシ！」と許可を出します。

「IP-sec+IKE接続」と「IP-VPN接続」

この2つの決定的な違いは、「公共のインターネットを通るか、通らないか」になります。

• IP-VPN接続（閉域網接続）・・・通信事業者（NTTなど）が用意した、関係者しか入れない「専用のトンネル（閉域網）」を通って支払基金（国保連合会）へ直結。回線自体には暗号化のための電子証明書設定は不要。
• IP-sec+IKE接続（インターネット接続）・・・通常のWebサイトを見るのと同じ、公共のインターネット回線（公道）を使用。ただし、そのままでは誰でも覗き見できてしまうため、「IPsec」と「IKE」という暗号化技術を使い、インターネット上に「強力な鍵のかかった仮想的なトンネル」を構築します。電子証明書を使って通信を暗号化することで、IP-VPNと同等のセキュリティを確保する仕組みです。

道のりがIP-VPNであれIPsec+IKEであれ、最終的に「支払基金・国保連合会のサーバー」にアクセスしてレセプト（請求データ）を送信するためには、データを送るパソコン側に「電子証明書（クライアント証明書）」がインストールされている必要があります。

この電子証明書は、「このデータは、間違いなく〇〇薬局から送られた本物です」と証明するための、強力なデジタル身分証（実印のようなもの）です。

電子証明書（クライアント証明書）は発行に4000円の手数料がかかります。なお、有効期限が3年間なので、継続して利用する場合は3年に1度、4000円払って再度電子証明書をダウンロードしてPCにインストールする必要があります。

IP-sec+IKE接続の機器認証用の電子証明書はIPsec+IKE接続サービス提供事業者が提供するルーターに最初から組み込まれていたり、事業者側からネットワーク経由で自動設定・自動更新されたりするため自身で何かを行う必要はないし、費用もかかりません。

CTCまたはQTnetの利用者がIP-VPN接続【IPv4】しか使えない訳

オンライン請求における「IP-VPN（IPv6）」という接続方式は、NTT東西のフレッツ光（光コラボ含む）のNGN網（次世代ネットワーク）専用に作られた仕組みです。

そのため、独自回線を持っているCTC（ビジネスコミュファ光等）やQTnet（BBIQ）、NURO光などでは、そもそもこの「IPv6の閉域網」に入ることができないためです。

オンライン請求の手続き

例えば4月からオンライン請求をしたいとすると、

• １、2月20日までに届出書類（通常は、電子情報処理組織の使用による費用の請求に関する届出と電子証明書（発行・失効）依頼書の２つ）を提出
• ２、3月12日～15日までに設定ツール等が到着
• ３、3月15日～月末まで（国保連合会は15日～25日）に設定作業と確認試験（任意）を行う。
• ４、4月5日～10日までにオンライン請求

という流れになる。

オンライン請求を利用する場合は、安全対策規定を策定しておく必要があります。（安全対策の規定の策定（例））

オンライン請求の設定

次はネットワークの設定について触れます。

請求開始・変更の項で説明したように、私たちがオンライン請求を利用できる回線として、ダイヤルアップとIP-VPN、IPsec+IKEの3つのパターンがあります。

ISDNのダイヤルアップを使っている人はほぼいないと思います。ADSLや光の回線はISDNとは同時には引けない（引かない）ので、これらを使ってネットをしていれば、あなたは該当しません。

IPsec+IKEは、インターネット網に暗号化した通信経路を提供するサービス提供業者と契約することで利用できます。もう少し詳しく言えば、あなたはフレッツと契約して回線を使用する権限を得て、プロバイダ（ぷららとかニフティとか）と契約してインターネットを利用することが今現在可能かもしれません。

IPsec+IKEサービス提供業者は別のプロバイダと考えてください。このプロバイダはインターネットを利用させてくれるわけではなく、専用の暗号化通信経路を利用させてくれるわけです。それゆえ、もしインターネットも利用したいならば、インターネットサービスプロバイダとIPsec+IKEプロバイダの2つと契約する必要がありコストがかかるというデメリットがあります。

そこで、最後のIP-VPNを利用している薬局が多いのではないでしょうか？

IP-VPNは支払基金とNTTが共同で構築してる閉域IP網を利用して接続する方式です。フレッツを利用してさえすればこの回線網は無料で利用できます（IPsecのように別プロバイダと契約する必要もありません。ただし、オンライン請求だけでなくインターネット接続もしたい場合は別途プロバイダ契約が必要となります。インターネットをしないならフレッツのみの契約でOKということです。）。

具体的な接続方法（IP-VPNの場合）

今のルータは、IPv6のIP-VPNとIPv4のインターネット接続に同時アクセス（スプリット・トンネリング）」する能力を持っているため、昔のように「ルータにアクセスして切断と接続を切り替える」ようなことはしなくても、同時接続することは可能です。

しかし、オンライン請求のシステムは「レセプトという超機密データの塊を送信している最中は、絶対に他の通信を許さない」というルールで動くため、レセプト請求の間はインターネットへの道は全て遮断するように設定されています。

一方で、オンライン資格確認においてはマイナンバーカードで暗号化されており、リスクが低いため同時アクセス可の設定となっています。

１、IP-VPN回線への切り替え

ここからが最も難しく重要な部分です。

詳しくは以下に説明があります。

• 「手順書・マニュアル」の一覧（ポータルサイト）
  • オンライン資格確認等システム接続ガイド(IP-VPN接続方式）（PDF）
  • 接続方式別の導入例（PDF）
• YAMAHAテクニカルノーツ

現在のオンライン請求対応ルーター（YAMAHAのルーター）は、以下のような「ルーティング（経路制御）」を自動で行うように設定されています。（NTT側はこれによって何か特別なことはしません）

• インターネットを見たい時（Yahooなど）： 「あ、これは外の世界への通信だ」とルーターが判断し、プロバイダ（ISP）側の回線へデータを流す。
• オンライン請求をする時（支払基金など）： 「あ、これは支払基金宛てのURL/IPアドレスだ」とルーターが判断し、自動的にNTTのIPv6閉域網（NGN）側へデータを流す。具体的には、YAMAHAルーターの中に以下のようなルール（ルーティングテーブル）が書き込まれています。
  • DNSの振り分け: 「もし *.oqs.mhlw.go.jp（オンライン資格確認のURL）のIPアドレスを聞かれたら、プロバイダのDNSではなく、NTT閉域網（NGN）内の専用DNSサーバーに聞きに行きなさい」
  • 通信の振り分け: 「もし宛先のIPアドレスが 10.x.x.x や特定のIPv6アドレス（支払基金のサーバー群）だったら、プロバイダへ繋がる出口（PPPoEやIPoE）ではなく、NTTの閉域網（NGN）へ直結している出口からデータを流しなさい」

このように、回線は常に両方とも繋がりっぱなし（常時接続）であり、ルーターが宛先を見て賢くデータを振り分けているのが現在の姿です。

YAMAHAルータ内のルーティングルール

ルーターの中では、大きく分けて以下の2つの仕掛けが連動して動いています。

• 1. DNSルーティング（名前解決の振り分け）：URLの末尾がオンライン請求や資格確認の専用ドメイン（例：*.oqs.mhlw.go.jp など）だった場合のみ、インターネットには出ず、NTTの閉域網（NGN）内にいる「専用DNSサーバー」に質問を投げる。
• 2. スタティックルーティング（通信の通り道の振り分け）：DNSサーバーから返ってきた「IPアドレス（宛先）」を見て、宛先のIPアドレスが「支払基金のサーバーのIPアドレス帯（例：10.x.x.x などの特定の範囲）」だった場合のみ、インターネット用の出口ではなく「NTT閉域網（NGN）へ直結している出口」から直接送り出す。

では、この複雑な条件分岐を薬局や病院のルーターにどうやって設定しているのかというと、「手作業で一つ一つ打ち込むことは、現在ではほぼありません」。

主に以下の2つのパターンのどちらかで設定されます。

• パターンA：公式の「設定ツール」を使う（自力でやる場合）：
  支払基金のポータルサイトでは、YAMAHA等の特定機種向けに「ルーター設定ツール（Windows用ソフト）」が配布されています。 パソコンとルーターを繋いでこのソフトを実行し、画面の案内に従ってお客様IDなどを入力するだけで、先ほどの複雑な「DNSの振り分け」や「IPアドレスの振り分け」のプログラム（コンフィグ）が、ルーターへ全自動で流し込まれる仕組みになっています。
• パターンB：ベンダーが事前に設定済みのルーターを設置する：
  レセコンメーカーやネットワーク業者がルーターを提供する場合は、あらかじめ自社のセンターでこの「振り分け設定（コンフィグ）」を書き込んだ状態のルーターを薬局に持ち込みます。そのため、現場ではLANケーブルを所定のポート（LAN1、LAN2など）に挿すだけで、勝手に経路が分かれるようになっています。

接続障害への対処法

まずはipconfig /allで確認。

• PC ～ ルーター間の障害（LAN側）
  • 確認箇所: デフォルトゲートウェイ
  • 状態: ここが空欄、または正しく取得できていない場合、PCはルーターを見失っています。（※IPv6の場合、デフォルトゲートウェイは fe80:: から始まる「リンクローカルアドレス」になるのが正常です）
  • 原因: LANケーブルの抜け、ハブ（L2スイッチ）の故障、PCのネットワーク設定の不具合など。
• ルーター ～ NTT（支払基金）間の障害（WAN側）
  • 確認箇所: IPv6アドレス および 一時IPv6アドレス
  • 状態: fe80::（ローカル用）のアドレスしかなく、2001: や 2404: 等から始まる「グローバルなIPv6アドレス」が表示されていない場合。
  • 原因: NTT網（NGN）からルーターに対して、プレフィックス（ネットワークの住所）が降りてきていません。ルーターのWAN側の異常、またはNTT回線自体の障害です。

ipconfigが問題ないようなら、ルーターが正しく振り分けできていないことが原因の可能性があるため、

• ① nslookup （名前解決の振り分けテスト）・・・ルーターが「専用DNSサーバー」へ正しく質問を投げ分けているかを確認します。
  • 使い方: nslookup (オンライン資格確認や請求システムのURL)
  • 正常（成功）: 支払基金側の閉域網IPアドレス（例：10.x.x.x のような特殊なアドレスや、特定のIPv6アドレス）が返ってくれば、DNSの振り分けは完璧に機能しています。
  • 異常（失敗）: 「サーバーが見つかりません（Non-existent domain）」などと出た場合、ルーターが普通のインターネット用DNSに質問を投げてしまっており、専用DNSへの振り分け（DNSルーティング）が壊れています。
• ② tracert または tracert -6 （通信経路の振り分けテスト）・・・DNSでIPアドレスが分かった後、ルーターが「正しい出口（NTT閉域網側）」へデータを流しているか、実際のルートを可視化します。
  • 使い方:tracert -d (オンライン請求システムのURL または IPアドレス) （※IPv6の場合は tracert -6 -d (宛先)）
  • このコマンドは、宛先までに通過するルーター（関所）を順番に表示します。
  • 1行目: 必ず自分のルーターのIPアドレスになります。
  • 2行目以降: ここが重要です。通常のインターネット（Yahooなど）へtracertした時と、違う経路（IPアドレス）に進んでいれば、ルーターの経路振り分け（スタティックルーティング）は正常に動いています。
  • もし、Yahoo行きと全く同じプロバイダ側の経路を通ろうとして途中で行き止まりになっている場合は、ルーターの経路設定が飛んでしまっています。

２、IP-VPN回線の開通（IPv6使用の場合）

予め、IP-VPN接続のための特別な契約（NTTやCTC、QTnetとの契約でIPv6を利用するならフレッツ光のv6プラス一択）はすでに完了しておく必要があります。

昔のIPv4を使ったIP-VPNの時は、PPPoEの認証設定をパソコン側でやるかルータでやるかの2択で行っておりましたが、IPv6を使ったIP-VPNでは接続のための認証作業自体が存在せず、IDやアクセスキーも使いません。

IPv6のIP-VPN接続は、IDとパスワードを使って電話をかけるような「PPPoE方式」ではなく、LANケーブルを挿すだけで繋がる「IPoE方式」を採用しているからです。「IPoE（IP over Ethernet）方式」は混雑しやすい従来のPPPoE接続（接続ポイント）を回避し、夜間でも安定・高速なインターネット通信を行うことができます。

NTT側で「この物理回線は〇〇薬局さんのものだ」と回線そのものを自動で識別する「回線認証」が行われます。回線認証は自動で行われるため、ユーザー側で何かIDやパスワードを入力したりする必要はありません。

IP-VPNを使う通信にはプロバイダは不要です。では、プロバイダがないのに、誰がIPv6プレフィックスを割り振るのか？

プロバイダを通さずにNTTの巨大な閉域網（NGN）に直結しているため、NTT側のルーター設備が、薬局のルーター（またはPC）に対して「RA（ルーター広告）」を投げます。

RAはプレフィックスを含んだ「町内放送（メッセージ）」のようなもので「こちらは〇〇町です！郵便番号は123-4567ですよ！案内所（NGN内にある専用DNSサーバー）はあそこですよ！」という定期的なアナウンスです。

• プレフィックス（ネットワークの住所＝郵便番号）
• デフォルトゲートウェイ（外に出る時の最初の関所）
• DNSサーバーの情報（案内所の場所）など

以上がNTTからのRAに含まれる情報になります。

IP-VPNでなく、普通のインターネットの場合は、プロバイダから「この住所の束を使いなさい」と指示を受けた家庭内ルータが家のPCやスマホに向けてRAを投げます。

これを受け取り、SLAAC（またはDHCPv6）の仕組みを使って、機器が自力でIPv6アドレスを生成します。

SLAAC（スラック）はIPv6アドレスのプレフィックス（前半）に、PCがランダムに作成したインターフェースID（後半）を組み合わせて1つの完全なIPv6アドレスを完成させる仕組みです。

DNSサーバーの情報は、Google（8.8.8.8）のようなインターネット用のものではなく、「閉域網専用のDNSサーバー」です。このDNSサーバーは、インターネットのサイト（Yahooなど）の場所は全く知りませんが、「支払基金」や「国保連合会」の閉域網内専用URLだけは知っており、それを正しいIPv6アドレスに変換してくれます。

通常はベンダー（レセコン会社）が提供するルータはIPv6に対応しているはずで、レセコンの方からインターネット回線とオンライン請求回線の切り替えを行えるようになっているはずなので、それに従います。

３、オンライン請求システムへのログイン

ここで初めて、支払基金から届いたIDとパスワード、そして電子証明書を使用します。

IP-VPN接続後、電子証明書を使って社保もしくは国保へログイン→請求ボタンから詳細画面へログインIDとパスワードを使ってログイン→「オンライン請求システム」の【トップページ】画面が表示と言う風に進みます。

オンライン資格確認

認証方法や回線はオンライン請求と全く同じ。（【オンライン資格確認】利用開始・変更申請）

ただ、オンライン請求では選べる回線にISDNやIPv4でのIP-VPNを利用できたのに、オンライン資格確認ではIPv6での接続しか受け付けないのでフレッツv6オプションの契約が必須となっています。

オンライン資格確認等システムへのログイン方法については、管理アカウントでのオンライン資格確認等システムへのログイン方法について等を参照。ここでIDとパスワードが必要になります。

コメントor補足情報orご指摘あればをお願いします。

• << 前のページ
• 次のページ >>