JP2007310779A - 情報管理システム、情報管理方法及びデータベースのデータ構造 - Google Patents
情報管理システム、情報管理方法及びデータベースのデータ構造 Download PDFInfo
- Publication number
- JP2007310779A JP2007310779A JP2006141301A JP2006141301A JP2007310779A JP 2007310779 A JP2007310779 A JP 2007310779A JP 2006141301 A JP2006141301 A JP 2006141301A JP 2006141301 A JP2006141301 A JP 2006141301A JP 2007310779 A JP2007310779 A JP 2007310779A
- Authority
- JP
- Japan
- Prior art keywords
- information
- concealed
- concealment
- database
- patient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Medical Treatment And Welfare Office Work (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】診断治療剤を識別するための診断治療剤ID情報を秘匿化した秘匿化診断治療剤ID情報を格納した無線タグ装置110を、当該診断治療剤に取り付けておき、患者を識別するための患者ID情報等を出力可能なバーコード提示部120を、当該患者に取り付けておく。ここで、無線タグ装置110内の秘匿化診断治療剤ID情報は、任意の設定条件によって定まる契機で更新される。そして、診断治療剤を用いた患者への医療行為が行われた際、当該診断治療剤に取り付けられている無線タグ装置110から読み出した秘匿化診断治療剤ID情報と、当該患者に取り付けられているバーコード提示部120から読み出した患者ID情報等を用い、治療履歴を示すデータベースを構築する。
【選択図】図6
Description
板垣朝子,"5th Floor医療とコンピューター:人のからだに入り込むコンピューター," TDK Techno Magazine, [online] ,2005年8月, [2006年5月15日検索] ,インターネット<http://www.tdk.co.jp/techmag/salon/ubiquitous/ubi050826a.htm> 小塚数人,"解説ますます広がる"電子カルテ"[II・完]−大学病院における電子カルテ導入・運用における課題−",信学誌Vol.88,No.2,2005
一般に、無線タグに格納された情報は、リーダ装置を持っているものであれば誰でも読み取ることができる。例えば、従来法1の場合、第三者がリーダ装置を用い、投薬が為されている患者やその診断治療剤容器等にそれぞれ取り付けられている無線タグ装置から各情報を読み取ることもできる。この場合、読み取られた情報から、その患者の病状等のプライバシ情報が当該第三者に知られてしまう恐れがある。
このような問題は、無線タグ技術を医療分野ヘ適用する場合にのみ生じる問題ではなく、異なる管理対象が相互に関連する処理の履歴を管理するシステムにおいて同様に発生する問題である。
また、本発明において、第2識別装置が、第2秘匿化ID情報を格納する第2秘匿化IDメモリと、当該第2秘匿化ID情報を無線送信する第2送信部とを具備し、読取入力部が、第2識別装置から無線送信された第2秘匿化ID情報を受信することとしてもよい。そして、この場合、第2秘匿化IDメモリに格納された第2秘匿化ID情報は、任意の設定条件によって定まる契機で、当該第2秘匿化ID情報との関連性を見出すことが困難な他の第2秘匿化ID情報に更新される。これにより、第1管理対象及び第2管理対象に対するホットリスト攻撃をより強固に防止することができる。
前述のように、本発明は、異なる管理対象が相互に関連する処理の履歴を管理するシステム一般に適用可能なものである。しかし、以下の各実施の形態では、説明の便宜上、医療行為処理の履歴を管理するシステムに本発明を適用した場合を例にとって説明する。すなわち、各実施の形態における「第1管理対象」は薬品等の「診断治療剤」であり、「第2管理対象」は「患者」であり、「異なる管理対象が相互に関連する処理」は、「診断治療剤」を用いた「患者」への投薬行為である。
次に、本発明における第1の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」を「バーコード提示部」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用し、投薬行為が行われた「診断治療剤」及び「患者」に対応する「診断治療剤ID情報」及び「患者ID情報」を関連付けた履歴情報をデータベース装置に格納する例である。なお、無線タグ装置については、例えば「EPC global, Inc.、”EPCglobal”、インターネット<http://www.epcglobalinc.org/>」等参照。
図1は、第1の実施の形態の情報管理システム100の全体構成を例示した概念図である。
図1に例示するように、本形態の情報管理システム100は、無線タグ装置110(「第1識別装置」に相当)と、バーコード提示部120(「第2識別装置」に相当)と、タグリーダライタ装置131(「読取受信部」に相当)と、バーコードリーダ装置132(「読取入力部」に相当)を具備する読取端末装置130と、セキュリティサーバ装置140、データベース装置150と、管理装置160とを有する。本形態の例の場合、無線タグ装置110は各診断治療剤4の容器に取り付けられ、バーコード提示部120はリストバンド2によって患者1に取り付けられる。また、各診断治療剤4は通常は薬棚5に収納され、患者1への投薬を行う際に患者1の近傍に運ばれる。また、読取端末装置130とセキュリティサーバ装置140とデータベース装置150と管理装置160とは、LAN(Local Area Network)等のネットワーク170を通じ、通信可能に構成されている。
図2に例示するように、本形態の無線タグ装置110は、メモリ111(第1秘匿化IDメモリ)と、インタフェース112(「第1送信部」に相当)と、制御部113とを有している。ここで、メモリ111は、診断治療剤(「第1管理対象」に相当)を識別するための診断治療剤ID情報(「第1ID情報」に相当)を秘匿化した秘匿化診断治療剤ID情報111ba(「第1秘匿化ID情報」に相当)を格納する記憶領域111bと、秘匿化診断治療剤ID情報111baの生成や診断治療剤ID情報の復元に必要な秘密情報である「鍵」に対応する鍵ID情報111aaを格納する記憶領域111aとを有している。なお、メモリ111は、例えば、EEPROM(Electronically Erasable and Programmable Read Only Memory)、FeRAM(Ferroelectric Random Access Memory)、フラッシュメモリ、NV(Nonvolatile)RAM等の読み書き可能なメモリによって構成できる。また、インタフェース112は、例えば、符号化・復号化回路、変・復調回路、アンテナなどを有し、長波帯やISM帯(Industry Science Medical band)の周波数を用いて信号の送受信を行うハードウェアである。また、制御部113は、無線タグ装置110の処理を制御する集積回路等である。
図3に例示するように、本形態の読取端末装置130は、タグリーダライタ装置131と、バーコードリーダ装置132と、CPU(Central Processing Unit)133と、ROM134と、RAM135と、液晶表示部等の表示部136と、ネットワークカード等の通信部137(「読取情報送信部」に相当)と、内部時計138と、これらを通信可能に接続するバス139とを有している。なお、RAM135に格納されるデータや、CPU133に読み込まれるデータの詳細については後述する。
図4に例示するように、本形態のセキュリティサーバ装置140は、CPU141と、RAM142と、ROM143と、ハードディスク装置等の外部記憶装置144と、通信部145と、これらを通信可能に接続するバス146とを有している。また、外部記憶装置144は、データの読み書きを行う読み書き部144aと各種データが格納される記憶部144bとを有している。なお、記憶部144bに格納されるデータや、CPU141に読み込まれるデータの詳細については後述する。
図5に例示するように、本形態のデータベース装置150は、CPU151と、RAM152と、ROM153と、外部記憶装置154と、通信部155と、これらを通信可能に接続するバス156とを有している。また、外部記憶装置154は、データの読み書きを行う読み書き部154aと各種データが格納される記憶部154bとを有している。なお、記憶部154bに格納されるデータや、CPU151に読み込まれるデータの詳細については後述する。
次に、情報管理システム100の処理について説明する。
[前提・前処理]
患者1及び診断治療剤4には、それぞれを識別するための個別のIDが与えられており、それぞれ患者ID及び診断治療剤IDと呼ぶことにする。また、患者IDを特定するための情報を患者ID情報と呼び、診断治療剤IDを特定するための情報を診断治療剤ID情報と呼ぶことにする。各患者1と各診断治療剤IDとの対応関係、及び、各診断治療剤4と各診断治療剤ID情報との対応関係は、例えば、テーブルとして管理装置160内のメモリに格納される。
(性質1)所定の秘密情報を有する者のみが診断治療剤ID情報を復元でき、この秘密情報を有しないものは、秘匿化診断治療剤ID情報から診断治療剤ID情報を復元することは困難である。
(性質2)同一の診断治療剤ID情報に対し、複数種類の秘匿化診断治療剤ID情報を生成した場合、所定の秘密情報を有しない者は、生成された複数の秘匿化診断治療剤ID情報が、同一の診断治療剤ID情報に対応するか否かを判断することが困難である。
<参考文献1>特開2004−318478号公報
<参考文献2>木下真吾他,“ローコストRFIDプライバシ保護方法,”情報学論 vol.45,no.8
<参考文献3>Philippe Golle, Markus Jakobsson, Ari Juels, and Paul Syverson, "Universal re-encryption for mixnets," In Proceedings of the 2004 RSA Conference, Cryptographer's track, San Francisco, USA, February 2004.等参照)>
次に、投薬行為に伴う処理(「投薬処理」と呼ぶ)を説明する。
本形態の場合、担当医の医療指示(投薬日時、担当医、担当看護師、対象患者、病棟・病室・ベッド番号、投与薬品名、投薬量、投薬方法等の情報が含まれる)は、電子カルテとして管理装置160内のメモリに格納される。なお、電子カルテシステムについては、例えば、非特許文献2に記載されているものを用いる。
看護師は、患者に投薬行為を行う際、例えば、この管理装置160の画面に表示された医療指示に従い、投薬を行う診断治療剤4を薬棚5から取り出す。なお、このとき、タグリーダライタ装置131を用い、診断治療剤4に付随する無線タグ装置110に格納されている秘匿化診断治療剤ID情報111bを読み込み、取り出す診断治療剤が間違っていないかどうかチェックする構成であってもよい。
まず、看護師3は、投薬に用いる診断治療剤4の近傍にタグリーダライタ装置131を配置した状態で読取端末装置130を操作し、読取端末装置130に読み取り指示を与える。これに対し、読取端末装置130は、制御プログラム135aが読み込まれたCPU133の制御のもと、タグリーダライタ装置131がID読取要求を出力する(ステップS1)。このID読取要求は、無線タグ装置110(投薬に用いる診断治療剤4の容器に取り付けられた無線タグ装置)のインタフェース112で受信される。ID読取要求を受信したことを検知した無線タグ装置110の制御部113は、メモリ111の記憶領域111a,111bにそれぞれ格納されている鍵ID情報111a及び秘匿化診断治療剤ID情報111baを読み出し、これらをインタフェース122から送信させる(ステップS2)。これらは、読取端末装置130のタグリーダライタ装置131で受信され、鍵ID情報135c及び秘匿化診断治療剤ID情報135dとしてRAM135に格納される。次に、看護師3がバーコードリーダ装置132を操作し、バーコードリーダ装置132が、投薬を行う患者1の取り付けられているバーコード提示部120から出力されたバーコード情報(「患者ID情報」に相当)を読み込む(ステップS3)。読み込まれた患者ID情報は、患者ID情報135eとしてRAM135に格納される。
なお、使用した診断治療剤4やその容器をその後廃棄する場合には、再秘匿化した秘匿化診断治療剤ID情報を無線タグ装置110に格納するのではなく、復号された診断治療剤ID情報(RAM135に格納してあった診断治療剤ID情報135f)を無線タグ装置110に格納してもよい。この場合、セキュリティサーバ装置140を介すことなくローカルに無線タグ装置110から診断治療剤ID情報を取得できるため、診断治療剤ID情報を用い、廃棄物の分別やリサイクル等の処理を効率的に行うことができる。
本形態では、読取端末装置130が秘匿化診断治療剤ID情報をセキュリティサーバ装置140に送信し、秘匿化診断治療剤ID情報の再秘匿化を行っていた。しかし、読取端末装置130が秘匿化診断治療剤ID情報を復元した診断治療剤ID情報をセキュリティサーバ装置140に送信し、セキュリティサーバ装置140が診断治療剤ID情報を秘匿化し、それを再秘匿化された秘匿化診断治療剤ID情報として無線タグ装置110に格納する構成であってもよい。
次に、本発明における第2の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」を「バーコード提示部」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用する点では第1の実施の形態と共通する。しかし、投薬行為が行われた「診断治療剤」及び「患者」に対応する「診断治療剤ID情報」及び「患者ID情報」を関連付けた履歴情報をそのままデータベース装置に格納するのではなく、「診断治療剤ID情報」を秘匿化した「診断治療剤ID情報(第1秘匿化ID情報)」と「患者ID情報(第2ID情報)」とを関連付け、患者ID情報を検索キーとしたデータベースを構築する点で、第1の実施の形態と相違する。以下では、第1の実施の形態との相違点を中心に説明し、第1の実施の形態と共通する事項については説明を省略する。
本形態の情報管理システムは、第1の実施の形態の情報管理システム100のデータベース装置150を図7のデータベース装置250に置換したものである。なお、図7において、第1の実施の形態のデータベース装置150と共通する部分については、図5と同じ符号を付した。図7に示すように、本形態のデータベース装置250と、第1の実施の形態のデータベース装置150との相違点は治療履歴DBのデータ構成である。以下、このデータ構成に関連する処理を中心に説明し、その他は、第1の実施の形態と同様であるため説明を省略する。
図8は、投薬時における本形態の情報管理システムの処理を説明するためのシーケンス図である。以下、投薬時における情報管理システムの処理を説明する。
ステップS21からS23までの処理は、第1の実施の形態のステップS1からS3までの処理と同じである。しかし、その後、第1の実施の形態のように秘匿化診断治療剤IDの復元は行われない。すなわち、読取端末装置130は、無線タグ装置110から読み取った秘匿化診断治療剤ID情報と、バーコード提示部120から読み取った患者ID情報とを関連付けた情報(又は、さらにこれらの情報に当該投薬行為に関連する情報を関連付けた情報)を処理履歴情報とし、これをデータベース装置250に送信する(ステップS24)。この処理履歴情報は、データベース装置250の通信部155で受信され、RAM152に格納される。制御プログラム154bbが読み込まれたCPU151は、このRAM152に格納された処理履歴情報を、治療履歴DB254baの1レコードとして、外部記憶装置154の記憶部154bに格納する(ステップS25)。なお、図7の治療履歴DB154baは、「患者ID情報」と「秘匿化診断治療ID情報」と「担当看護師の氏名」と「投薬日時」とを処理履歴情報の要素とした場合の例であり、この処理履歴情報の各要素が、治療履歴DB254baのカラム「患者」「投与薬」「看護師」「投与日時」の各要素となっている。そして、「患者ID情報」が検索キーとなっている。すなわち、本形態の治療履歴DB254baは、投薬処理(「第1管理対象及び第2管理対象の双方に関連する処理の履歴を示す情報」に相当)を1レコードとし、当該投薬処理に用いた診断治療剤(「第1管理対象」)を識別するための診断治療剤ID情報(「第1ID情報」に相当)を秘匿化した秘匿化診断治療剤ID情報(「第1秘匿化ID情報」に相当)と、当該投薬がなされた患者(「第2管理対象」)を識別するための患者ID情報(「第2ID情報」)とを関連付け、患者ID情報を検索キーとして設定したデータベースである。
また、本形態では、患者ID情報と秘匿化診断治療剤ID情報とを関連付けたものをレコードとし、患者ID情報を検索キーとする治療履歴DB254baを構築することとしたが、秘匿化患者ID情報と診断治療剤ID情報とを関連付けたものをレコードとし、診断治療剤ID情報を検索キーとする治療履歴DBを構築することとしてもよい。また、無線タグ装置110に格納された秘匿化診断治療剤ID情報をそのまま治療履歴DB254baの要素とするのではなく、別の秘匿化診断治療剤ID情報に再秘匿化してから治療履歴DB254baの要素としてもよい。さらに、この際の秘匿化方式として、確率暗号のような性質を持つ暗号を用いることによって、攻撃者が秘匿化されたデータ間の関連性を導き出すことについでも防ぐことができる。また、単純に、秘匿化患者ID情報と秘匿化診断治療剤ID情報とを関連付けたものをレコードした治療履歴DBを構築してもよいし、患者ID情報や診断治療剤ID情報以外の一部の要素を検索キーとするデータベースを構築してもよい。
次に、本発明における第3の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」も「無線タグ装置」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用する。そして、診断治療剤ID情報を検索キーとするデータベースと、患者ID情報を検索キーとするデータベースとを構築する。なお、以下では、これまで説明した各実施の形態との相違点を中心に説明する。
図9は、第3の実施の形態の情報管理システム300の全体構成を例示した概念図である。なお、以下において第1,2の実施の形態と共通する部分については、第1,2の実施の形態で用いたのと同じ符号を付した。
図9に例示するように、本形態の情報管理システム300は、無線タグ装置110(「第1識別装置」に相当)、無線タグ装置320(「第2識別装置」に相当)、タグリーダライタ装置131(「読取受信部」及び「読取入力部」に相当)を具備する読取端末装置330、セキュリティサーバ装置140、データベース装置350,450及び管理装置160を有する。本形態の例の場合、無線タグ装置110は各診断治療剤4の容器に取り付けられ、無線タグ装置320はリストバンド2によって患者1に取り付けられる。また、読取端末装置330とセキュリティサーバ装置140とデータベース装置350,450と管理装置160とは、LAN(Local Area Network)等のネットワーク170を通じ、通信可能に構成されている。
図10(a)に例示するように、本形態の無線タグ装置320は、メモリ321(第2秘匿化IDメモリ)と、インタフェース322(「第2送信部」に相当)と、制御部323とを有している。
図11に例示するように、本形態の読取端末装置330は、タグリーダライタ装置131と、CPU133と、ROM134と、RAM135と、液晶表示部等の表示部136と、通信部137(「読取情報送信部」に相当)と、内部時計138と、これらを通信可能に接続するバス139とを有している。なお、RAM135に格納されるデータや、CPU133に読み込まれるデータの詳細については後述する。
図12に例示するように、本形態のデータベース装置350は、CPU351と、RAM352と、ROM353と、外部記憶装置354と、通信部355と、これらを通信可能に接続するバス356とを有している。また、外部記憶装置354は、データの読み書きを行う読み書き部354aと各種データが格納される記憶部354bとを有している。なお、記憶部354bに格納されるデータや、CPU351に読み込まれるデータの詳細については後述する。
図13に例示するように、本形態のデータベース装置450は、CPU451と、RAM452と、ROM453と、外部記憶装置454と、通信部455と、これらを通信可能に接続するバス456とを有している。また、外部記憶装置454は、データの読み書きを行う読み書き部454aと各種データが格納される記憶部454bとを有している。なお、記憶部454bに格納されるデータや、CPU451に読み込まれるデータの詳細については後述する。
[前処理]
前処理として、無線タグ装置320のメモリ321に、無線タグ装置320を取り付ける患者1の患者ID情報321aを格納しておく。また、読取端末装置330のRAM135に、読取端末装置330を制御するための制御プログラム135aと、暗号化を行うための暗号化プログラム335eと、そのための暗号鍵335fとを格納しておく。また、データベース装置350の外部記憶装置354の記憶部354bに、データベース装置350の処理を制御するための制御プログラム354bbと、読取端末装置330に格納された暗号鍵に対応する復号鍵354bdと、復号鍵354bdを用いて暗号文を復号するための復号プログラム354beとを格納しておく。さらに、データベース装置450の外部記憶装置454の記憶部454bに、データベース装置450の処理を制御するための制御プログラム454bbを格納しておく。なお、無線タグ装置110及びセキュリティサーバ装置140の前処理は、第1の実施の形態と同様である。
次に、本形態の投薬処理を説明する。図14,15は、投薬時における情報管理システム300の処理を説明するためのシーケンス図である。なお、看護師3が薬棚5から取り出した各診断治療剤4をワゴン等に載せ、医療指示が示す患者のいるベッドまで持っていくところまでは、第1の実施の形態と同じであるため説明を省略する。以下、投薬時における情報管理システム300の処理を説明する。
まず、看護師3は、投薬に用いる診断治療剤4及び投薬を行う患者1にそれぞれ取り付けられた無線タグ装置110,320の近傍にタグリーダライタ装置131を配置した状態で読取端末装置330を操作し、読取端末装置330に読み取り指示を与える。これに対し、読取端末装置330は、制御プログラム135aが読み込まれたCPU133の制御のもと、タグリーダライタ装置331がID読取要求を出力する(ステップS41)。このID読取要求は、無線タグ装置110(投薬に用いる診断治療剤4の容器に取り付けられた無線タグ装置)のインタフェース112、及び、無線タグ装置320(投薬を行おうとする患者1に取り付けられた無線タグ装置)のインタフェース322で受信される。ID読取要求を受信したことを検知した無線タグ装置110の制御部113は、メモリ111の記憶領域111a,111bにそれぞれ格納されている鍵ID情報111a及び秘匿化診断治療剤ID情報111baを読み出し、これらをインタフェース122から送信させる(ステップS42)。また、ID読取要求を受信したことを検知した無線タグ装置320の制御部323は、メモリ321に格納されている患者ID情報321aを読み出し、これをインタフェース322から送信させる(ステップS43)。これらは、読取端末装置330のタグリーダライタ装置131で受信され、鍵ID情報135c、秘匿化診断治療剤ID情報135d及び患者ID情報135eとしてRAM135に格納される。その後、第1の実施の形態と同様に、患者の取り違え等の医療過誤を防ぐため、好ましくは、投薬直前にも秘匿化診断治療剤ID情報と患者ID情報とを医療指示と照合する。
生成された処理履歴情報は、通信部137から、データベース装置350,450宛にネットワーク170を通じて送信される(ステップS45)。
その後、本形態でも第1の実施の形態のステップS9からS12と同じ処理が行われ(ステップS52からS55)、無線タグ装置110のメモリ111内の秘匿化診断治療剤ID情報が更新される。
次に、第3の実施の形態の変形例について説明する。この変形例では、患者1に取り付けられる無線タグ装置320に秘匿化患者ID情報を格納するものである。以下、第3の実施の形態との相違点を中心に説明する。
<構成>
無線タグ装置320以外の構成は、第3の実施の形態と同じである。以下では、本変形例の無線タグ装置320の構成のみを説明する。
図10(b)は、第3の実施の形態の変形例における無線タグ装置320の構成を例示したブロック図である。前述した図10(a)の構成との相違点は、メモリ321に患者ID情報321aを格納するのではなく、それを秘匿化した秘匿化患者ID情報321baを記憶領域321bに格納し、その秘匿化に用いた鍵ID情報321aaを記憶領域321aに格納する。その他は、図10(a)の構成と同様である。なお、これらの情報のメモリ321への格納は、前処理によって行われる。また、無線タグ装置110の場合と同様、秘匿化患者ID情報321baの秘匿化に用いた暗号鍵と、それに対応する鍵ID情報及び復号鍵は、セキュリティサーバ装置140の鍵テーブル144baに格納される。
次に、本形態の投薬処理を説明する。図16,17は、投薬時における本変形例の情報管理システムの処理を説明するためのシーケンス図である。なお、看護師3が薬棚5から取り出した各診断治療剤4をワゴン等に載せ、医療指示が示す患者のいるベッドまで持っていくところまでは、第1の実施の形態と同じであるため説明を省略する。以下、投薬時における本変形例の情報管理システムの処理を説明する。
また、処理履歴情報が送信されたデータベース装置450は、第3の実施の形態のステップS48からS51と同様な処理により、診断治療ID情報と、処理履歴情報を構成する秘匿化患者ID情報等とを関連付けたものを治療履歴DB454baの1レコードとして、外部記憶装置454の記憶部454bに格納する(ステップS69からS72)。
なお、本発明は上述の実施の形態に限定されるものではない。
例えば、上述の各実施の形態では、再暗号化によって秘匿化診断治療剤ID情報や秘匿化患者ID情報の再秘匿化を行った。しかし、無線タグ装置から秘匿化診断治療剤ID情報や秘匿化患者ID情報が出力されるたびに、ハッシュ・チェイン(Hash-Chain)方式によって秘匿化診断治療剤ID情報や秘匿化患者ID情報の秘匿化や再秘匿化を行ってもよい。ハッシュ・チェイン方式の場合には、無線タグ装置から秘匿化診断治療剤ID情報(或いは秘匿化患者ID情報)が出力されるたびに、各無線タグ装置によって秘匿化診断治療剤ID情報(或いは秘匿化患者ID情報)が更新される。なお、ハッシュ・チェイン方式については、例えば、M. Ohkubo et al., "Cryptographic Approach to a Privacy Friendly Tag," RFID Privacy Workshop@MIT, http://www.rfidprivacy.org/papers/ohokubo.pdf, 2003等に詳しい。
また、再秘匿化を行うタイミングや処理の順序等、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。その他、上述した各実施の形態や変形例を適宜組み合わせてシステムを構成してもよい。
Claims (6)
- 異なる管理対象が相互に関連する処理の履歴を管理する情報管理システムであって、
第1管理対象を識別するための第1ID情報を秘匿化した第1秘匿化ID情報を格納する第1秘匿化IDメモリと、当該第1秘匿化ID情報を無線送信する第1送信部とを具備し、当該第1管理対象に取り付けられる第1識別装置と、
第2管理対象を識別するための第2ID情報、又は、当該第2ID情報を秘匿化した第2秘匿化ID情報を出力可能であり、当該第2管理対象に取り付けられる第2識別装置と、
上記第1識別装置から無線送信された上記第1秘匿化ID情報を受信する読取受信部と、上記第2識別装置から出力された上記第2ID情報又は上記第2秘匿化ID情報が入力される読取入力部と、上記第1秘匿化ID情報又は当該第1秘匿化ID情報に対応する第1ID情報と、上記第2ID情報又は上記第2秘匿化ID情報とを関連付けた処理履歴情報を送信する読取情報送信部と、を具備する読取端末装置と、
上記処理履歴情報に対応する、上記第1秘匿化ID情報又は上記第1ID情報と、上記第2ID情報又は上記第2秘匿化ID情報と、を関連付けて格納する第1データベース装置と、を有し、
上記第1秘匿化IDメモリに格納された上記第1秘匿化ID情報は、
任意の設定条件によって定まる契機で、当該第1秘匿化ID情報との関連性を見出すことが困難な他の第1秘匿化ID情報に更新される、
ことを特徴とする情報管理システム。 - 請求項1に記載の情報管理システムであって、
上記第2識別装置は、
上記第2秘匿化ID情報を格納する第2秘匿化IDメモリと、当該第2秘匿化ID情報を無線送信する第2送信部とを具備し、
上記読取入力部は、
上記第2識別装置から無線送信された上記第2秘匿化ID情報を受信し、
上記第2秘匿化IDメモリに格納された上記第2秘匿化ID情報は、
任意の設定条件によって定まる契機で、当該第2秘匿化ID情報との関連性を見出すことが困難な他の第2秘匿化ID情報に更新される、
ことを特徴とする情報管理システム。 - 請求項1又は2に記載の情報管理システムであって、
上記第1データベース装置は、
上記処理履歴情報に対応する上記第1ID情報と上記第2秘匿化ID情報とを関連付けて格納して、上記第1ID情報を検索キーとしたデータベースを構築するか、或いは、上記処理履歴情報に対応する上記第1秘匿化ID情報と上記第2ID情報とを関連付けて格納して、上記第2ID情報を検索キーとしたデータベースを構築する、
ことを特徴とする情報管理システム。 - 請求項3に記載の情報管理システムであって、
上記第1データベース装置が上記第1ID情報を検索キーとしたデータベースを構築する場合、上記処理履歴情報に対応する上記第1秘匿化ID情報と上記第2ID情報とを関連付けて格納して、上記第2ID情報を検索キーとしたデータベースを構築し、上記第1データベース装置が上記第2ID情報を検索キーとしたデータベースを構築する場合、上記処理履歴情報に対応する上記第1ID情報と上記第2秘匿化ID情報とを関連付けて格納して、上記第1ID情報を検索キーとしたデータベースを構築する、第2データベース装置をさらに有する、
ことを特徴とする情報管理システム。 - 異なる管理対象が相互に関連する処理の履歴を管理する情報管理方法であって、
第1管理対象を識別するための第1ID情報を秘匿化した第1秘匿化ID情報が格納された第1秘匿化IDメモリを具備する第1識別装置を、当該第1管理対象に取り付けておき、
第2管理対象を識別するための第2ID情報、又は、当該第2ID情報を秘匿化した第2秘匿化ID情報を出力可能な第2識別装置を、当該第2管理対象に取り付けておき、
上記第1秘匿化IDメモリに格納された上記第1秘匿化ID情報は、任意の設定条件によって定まる契機で、当該第1秘匿化ID情報との関連性を見出すことが困難な他の第1秘匿化ID情報に更新され、
上記第1管理対象と上記第2管理対象とが相互に関連する処理が行われた際、
(a)読取端末装置の読取受信部が、上記第1識別装置の第1送信部から無線送信された上記第1秘匿化ID情報を受信する過程と、
(b)上記読取端末装置の読取入力部が、上記第2識別装置から出力された上記第2ID情報又は上記第2秘匿化ID情報の入力を受け付ける過程と、
(c)上記読取端末装置の読取情報送信部が、上記第1秘匿化ID情報又は当該第1秘匿化ID情報に対応する第1ID情報と、上記第2ID情報又は上記第2秘匿化ID情報とを関連付けた処理履歴情報を送信する過程と、
(d)上記処理履歴情報に対応する、上記第1秘匿化ID情報又は上記第1ID情報と、上記第2ID情報又は上記第2秘匿化ID情報とを第1データベース装置に関連付けて格納する過程と、を実行する、
ことを特徴とする情報管理方法。 - 異なる管理対象が相互に関連する処理の履歴を格納するデータベースのデータ構造であって、
第1管理対象及び第2管理対象の双方に関連する処理の履歴を示す情報を1レコードとし、当該第1管理対象を識別するための第1ID情報を秘匿化した第1秘匿化ID情報と、当該第2管理対象を識別するための第2ID情報とを関連付け、当該第2ID情報を検索キーとして設定したデータベースのデータ構造。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006141301A JP4773878B2 (ja) | 2006-05-22 | 2006-05-22 | 情報管理システム及び情報管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006141301A JP4773878B2 (ja) | 2006-05-22 | 2006-05-22 | 情報管理システム及び情報管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007310779A true JP2007310779A (ja) | 2007-11-29 |
JP4773878B2 JP4773878B2 (ja) | 2011-09-14 |
Family
ID=38843552
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006141301A Expired - Fee Related JP4773878B2 (ja) | 2006-05-22 | 2006-05-22 | 情報管理システム及び情報管理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4773878B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015162014A (ja) * | 2014-02-26 | 2015-09-07 | 東芝テック株式会社 | 薬剤登録装置およびプログラム |
JPWO2018207868A1 (ja) * | 2017-05-12 | 2020-03-12 | 株式会社湯山製作所 | 薬剤払出装置、薬剤払出装置の制御プログラム、および制御プログラムを記録した記録媒体 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004246887A (ja) * | 2003-01-24 | 2004-09-02 | Sougoushouken Inc | 商品識別システム |
JP2006048259A (ja) * | 2004-08-03 | 2006-02-16 | Olympus Corp | 病院情報システム及びプログラム |
JP2006119732A (ja) * | 2004-10-19 | 2006-05-11 | Nippon Telegr & Teleph Corp <Ntt> | 貸出管理システム及び貸出管理プログラム |
JP2006126930A (ja) * | 2004-10-26 | 2006-05-18 | I'llb Solutions Co Ltd | 投薬状況監視システム及び情報処理装置 |
-
2006
- 2006-05-22 JP JP2006141301A patent/JP4773878B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004246887A (ja) * | 2003-01-24 | 2004-09-02 | Sougoushouken Inc | 商品識別システム |
JP2006048259A (ja) * | 2004-08-03 | 2006-02-16 | Olympus Corp | 病院情報システム及びプログラム |
JP2006119732A (ja) * | 2004-10-19 | 2006-05-11 | Nippon Telegr & Teleph Corp <Ntt> | 貸出管理システム及び貸出管理プログラム |
JP2006126930A (ja) * | 2004-10-26 | 2006-05-18 | I'llb Solutions Co Ltd | 投薬状況監視システム及び情報処理装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015162014A (ja) * | 2014-02-26 | 2015-09-07 | 東芝テック株式会社 | 薬剤登録装置およびプログラム |
JPWO2018207868A1 (ja) * | 2017-05-12 | 2020-03-12 | 株式会社湯山製作所 | 薬剤払出装置、薬剤払出装置の制御プログラム、および制御プログラムを記録した記録媒体 |
JP7358686B2 (ja) | 2017-05-12 | 2023-10-11 | 株式会社湯山製作所 | 薬剤払出装置、薬剤払出装置の制御プログラム、および制御プログラムを記録した記録媒体 |
Also Published As
Publication number | Publication date |
---|---|
JP4773878B2 (ja) | 2011-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10949558B2 (en) | Secure access to healthcare information | |
JP4747749B2 (ja) | ドキュメント管理システムおよび情報処理装置 | |
JP4896054B2 (ja) | 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム | |
Gonçalves et al. | Security architecture for mobile e-health applications in medication control | |
US20070180259A1 (en) | Secure Personal Medical Process | |
JPWO2004025530A1 (ja) | 医療情報管理システム | |
US20210005296A1 (en) | System and method for determining best practices for third parties accessing a health care network | |
Özcanhan et al. | Cryptographically supported NFC tags in medication for better inpatient safety | |
JPH09282393A (ja) | 保健医療カードとオンラインデータベースの連携方法 | |
JPH10111897A (ja) | 診療情報共有化方法 | |
JP2003091456A (ja) | データ破壊や不正閲覧防止策を施された個人的電子健康ファイルシステム | |
KR20200134744A (ko) | 환자에 대한 진료정보 액세스 방법 및 시스템 | |
JP4773878B2 (ja) | 情報管理システム及び情報管理方法 | |
JP2002032473A (ja) | 医療情報処理システムおよび医療情報処理プログラム記憶媒体 | |
AU2015346644A1 (en) | System and method for securely storing and sharing information | |
TWM569002U (zh) | Medical record sharing system | |
EP4035095A1 (en) | Utilizing a user's health data stored over a health care network for disease prevention | |
WO2021067141A1 (en) | System and method for providing access of a user's health information to third parties | |
JP2003005645A (ja) | 暗号方法、暗号システム、暗号化装置、復号化装置及びコンピュータプログラム | |
JP2007179500A (ja) | 匿名化識別情報生成システム、及び、プログラム。 | |
JP2000293603A (ja) | 地域医療情報システム及び電子患者カード | |
US20210005302A1 (en) | System and method for managing off-label drug use within a health care network | |
Abdulsalam et al. | Enhanced tiny encryption algorithm for secure electronic health authentication system | |
US7853581B2 (en) | Data processing system for the processing of object data | |
JP2003242263A (ja) | 半導体記録媒体を用いた医療情報管理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080804 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110214 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110222 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110422 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110614 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110624 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140701 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |