JP2007310779A - 情報管理システム、情報管理方法及びデータベースのデータ構造 - Google Patents
情報管理システム、情報管理方法及びデータベースのデータ構造 Download PDFInfo
- Publication number
- JP2007310779A JP2007310779A JP2006141301A JP2006141301A JP2007310779A JP 2007310779 A JP2007310779 A JP 2007310779A JP 2006141301 A JP2006141301 A JP 2006141301A JP 2006141301 A JP2006141301 A JP 2006141301A JP 2007310779 A JP2007310779 A JP 2007310779A
- Authority
- JP
- Japan
- Prior art keywords
- information
- concealed
- concealment
- database
- patient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Medical Treatment And Welfare Office Work (AREA)
- Storage Device Security (AREA)
Abstract
【課題】異なる管理対象が相互に関連する処理の履歴を管理するシステムにおいて、プライバシ情報の漏洩を防止する。
【解決手段】診断治療剤を識別するための診断治療剤ID情報を秘匿化した秘匿化診断治療剤ID情報を格納した無線タグ装置110を、当該診断治療剤に取り付けておき、患者を識別するための患者ID情報等を出力可能なバーコード提示部120を、当該患者に取り付けておく。ここで、無線タグ装置110内の秘匿化診断治療剤ID情報は、任意の設定条件によって定まる契機で更新される。そして、診断治療剤を用いた患者への医療行為が行われた際、当該診断治療剤に取り付けられている無線タグ装置110から読み出した秘匿化診断治療剤ID情報と、当該患者に取り付けられているバーコード提示部120から読み出した患者ID情報等を用い、治療履歴を示すデータベースを構築する。
【選択図】図6
【解決手段】診断治療剤を識別するための診断治療剤ID情報を秘匿化した秘匿化診断治療剤ID情報を格納した無線タグ装置110を、当該診断治療剤に取り付けておき、患者を識別するための患者ID情報等を出力可能なバーコード提示部120を、当該患者に取り付けておく。ここで、無線タグ装置110内の秘匿化診断治療剤ID情報は、任意の設定条件によって定まる契機で更新される。そして、診断治療剤を用いた患者への医療行為が行われた際、当該診断治療剤に取り付けられている無線タグ装置110から読み出した秘匿化診断治療剤ID情報と、当該患者に取り付けられているバーコード提示部120から読み出した患者ID情報等を用い、治療履歴を示すデータベースを構築する。
【選択図】図6
Description
本発明は、情報セキュリティ技術の応用分野に関し、特に、異なる管理対象が相互に関連する処理の履歴を管理するシステムでのプライバシ漏洩を防止する技術に関する。
無線タグ技術は主に物流管理、物品管理等の分野において注目されているが、近年この技術を医療分野ヘ適用する方法が検討されている(例えば、非特許文献1参照)。特に、ここ数年頻発している医療過誤を防ぐために、様々な工夫が行われており(例えば、非特許文献2参照)、ここにも無線タグを利用する方法が考えられている。このような方法の1つに、患者の情報が格納された無線タグを当該患者に取り付け、看護師や診断治療剤の情報が格納された無線タグを当該看護師や診断治療剤容器に取り付ける方法がある(従来法1)。この方法では、投薬時に、看護師がリーダ装置を用いて各無線タグ装置から各情報を読み取り、読み取った情報を照合することにより、その患者に対し、担当者及び投与する薬剤が正しいか否かを確認する。
また、投薬等の医療行為の記録を残すため、デー夕ベース等に記録することが必要となるが、記録する情報は患者のプライバシに直接かかわる情報であるため、慎重に取り扱わなければならない。プライバシを考慮しつつ情報をデー夕ベースヘ記録する従来方法としては、例えば、記録する情報を複数のデー夕ベースに分散し、それぞれに格納された情報をデータIDによって管理することで、 デー夕ベースから情報が漏洩した場合でも被害を少なくする方法がある(従来法2)。
板垣朝子,"5th Floor医療とコンピューター:人のからだに入り込むコンピューター," TDK Techno Magazine, [online] ,2005年8月, [2006年5月15日検索] ,インターネット<http://www.tdk.co.jp/techmag/salon/ubiquitous/ubi050826a.htm> 小塚数人,"解説ますます広がる"電子カルテ"[II・完]−大学病院における電子カルテ導入・運用における課題−",信学誌Vol.88,No.2,2005
板垣朝子,"5th Floor医療とコンピューター:人のからだに入り込むコンピューター," TDK Techno Magazine, [online] ,2005年8月, [2006年5月15日検索] ,インターネット<http://www.tdk.co.jp/techmag/salon/ubiquitous/ubi050826a.htm> 小塚数人,"解説ますます広がる"電子カルテ"[II・完]−大学病院における電子カルテ導入・運用における課題−",信学誌Vol.88,No.2,2005
しかし、従来の技術では、無線タグのメモリに格納された情報から、患者のプライバシが侵害されてしまう恐れがある。
一般に、無線タグに格納された情報は、リーダ装置を持っているものであれば誰でも読み取ることができる。例えば、従来法1の場合、第三者がリーダ装置を用い、投薬が為されている患者やその診断治療剤容器等にそれぞれ取り付けられている無線タグ装置から各情報を読み取ることもできる。この場合、読み取られた情報から、その患者の病状等のプライバシ情報が当該第三者に知られてしまう恐れがある。
一般に、無線タグに格納された情報は、リーダ装置を持っているものであれば誰でも読み取ることができる。例えば、従来法1の場合、第三者がリーダ装置を用い、投薬が為されている患者やその診断治療剤容器等にそれぞれ取り付けられている無線タグ装置から各情報を読み取ることもできる。この場合、読み取られた情報から、その患者の病状等のプライバシ情報が当該第三者に知られてしまう恐れがある。
これに対し、例えば、無線タグにはプライバシ情報に対応するID情報のみを格納し、プライバシ情報をデータベースに格納することで、プライバシ情報が無線タグから直接第三者に読み取られてしまうことを防ぐ技術も存在する(従来法3)。しかし、この従来技術では、事前に、攻撃者がID情報とそのID情報を読み取った無線タグが取り付けられているものを示す情報とを関連つけたリストを生成しておき、この攻撃者が再度何処かでID情報を読み取った際、生成しておいたリストを用い、読み取ったID情報が如何なるものに対応するものを特定する攻撃(ホットリスト攻撃(hotlisting))を防ぐことはできない。なお、ホットリスト攻撃については、例えば、「D. Molnar, D. Wagner, "Privacy and Security in Library RFID Issues, Practices, and Architectures," the 11th ACM conference on Computer and communications security, Washington DC, pp.210-219, http://www.cs.berkeley.edu/~daw/papers/librfid-ccs04.pdf, 2004」等参照。
また、例えば、従来データベースに医療行為に関する情報(投薬であれば、患者名、病室番号、担当医・看護師名、薬品名・投与量、投与方法、投与時間等)を記録管理する場合、データベースからプライバシ情報が漏洩する恐れがある。例えば、従来法2の場合、データベースに記録された情報が漏洩すると、容易に分散された情報の関連付けができてしまうし、従来法3の場合には、データベースに記録された情報が漏洩した時点でプライバシ情報が特定されてしまう。
このような問題は、無線タグ技術を医療分野ヘ適用する場合にのみ生じる問題ではなく、異なる管理対象が相互に関連する処理の履歴を管理するシステムにおいて同様に発生する問題である。
このような問題は、無線タグ技術を医療分野ヘ適用する場合にのみ生じる問題ではなく、異なる管理対象が相互に関連する処理の履歴を管理するシステムにおいて同様に発生する問題である。
本発明はこのような点に鑑みてなされたものであり、異なる管理対象が相互に関連する処理の履歴を管理するシステムにおいて、プライバシ情報の漏洩を防止することが可能な技術を提供することを目的とする。
本発明では上記課題を解決するために、第1管理対象を識別するための第1ID情報を秘匿化した第1秘匿化ID情報が格納された第1秘匿化IDメモリを具備する第1識別装置を、当該第1管理対象に取り付けておき、第2管理対象を識別するための第2ID情報、又は、当該第2ID情報を秘匿化した第2秘匿化ID情報を出力可能な第2識別装置を、当該第2管理対象に取り付けておく。ここで、第1秘匿化IDメモリに格納された第1秘匿化ID情報は、任意の設定条件によって定まる契機で、当該第1秘匿化ID情報との関連性を見出すことが困難な他の第1秘匿化ID情報に更新される。そして、第1管理対象と第2管理対象とが相互に関連する処理が行われた際、(a)読取端末装置の読取受信部が、第1識別装置の第1送信部から無線送信された第1秘匿化ID情報を受信する過程と、(b)読取端末装置の読取入力部が、第2識別装置から出力された第2ID情報又は第2秘匿化ID情報の入力を受け付ける過程と、(c)読取端末装置の読取情報送信部が、第1秘匿化ID情報又は当該第1秘匿化ID情報に対応する第1ID情報と、第2ID情報又は第2秘匿化ID情報とを関連付けた処理履歴情報を送信する過程と、(d)処理履歴情報に対応する、第1秘匿化ID情報又は第1ID情報と、第2ID情報又は第2秘匿化ID情報とを第1データベース装置に関連付けて格納する過程とを実行する。なお、「処理履歴情報」を構成する第2ID情報は、読取入力部に入力された第2ID情報であっても良いし、読取入力部に入力された第2秘匿化ID情報を復元することにより得られたものであってもよい。
ここで、第1秘匿化IDメモリに格納される第1秘匿化ID情報は、上述の契機で、当該第1秘匿化ID情報との関連性を見出すことが困難な他の第1秘匿化ID情報に更新される。そのため、攻撃者が、ある時点で第1識別装置から読み取った第1秘匿化ID情報と、当該第1識別装置が取り付けられた第1管理対象との関係をリスト化したとしても、このリストを用いた第1管理対象に対するホットリスト攻撃を行うことはできない。
また、本発明において、第2識別装置が、第2秘匿化ID情報を格納する第2秘匿化IDメモリと、当該第2秘匿化ID情報を無線送信する第2送信部とを具備し、読取入力部が、第2識別装置から無線送信された第2秘匿化ID情報を受信することとしてもよい。そして、この場合、第2秘匿化IDメモリに格納された第2秘匿化ID情報は、任意の設定条件によって定まる契機で、当該第2秘匿化ID情報との関連性を見出すことが困難な他の第2秘匿化ID情報に更新される。これにより、第1管理対象及び第2管理対象に対するホットリスト攻撃をより強固に防止することができる。
また、本発明において、第2識別装置が、第2秘匿化ID情報を格納する第2秘匿化IDメモリと、当該第2秘匿化ID情報を無線送信する第2送信部とを具備し、読取入力部が、第2識別装置から無線送信された第2秘匿化ID情報を受信することとしてもよい。そして、この場合、第2秘匿化IDメモリに格納された第2秘匿化ID情報は、任意の設定条件によって定まる契機で、当該第2秘匿化ID情報との関連性を見出すことが困難な他の第2秘匿化ID情報に更新される。これにより、第1管理対象及び第2管理対象に対するホットリスト攻撃をより強固に防止することができる。
また、本発明において、好ましくは、第1データベース装置は、処理履歴情報に対応する第1ID情報と第2秘匿化ID情報とを関連付けて格納して、第1ID情報を検索キーとしたデータベースを構築するか、或いは、処理履歴情報に対応する第1秘匿化ID情報と第2ID情報とを関連付けて格納して、第2ID情報を検索キーとしたデータベースを構築する。
ここで、第1データベース装置では、第1ID情報及び第2ID情報の何れか一方を秘匿化したデータベースを構築する。そのため、第1データベース装置に格納された情報が漏洩しても、第1管理対象と第2管理対象とが相互に関連する処理の履歴が第三者に知られることはない。また、第1ID情報及び第2ID情報の何れか一方のみを秘匿化し、秘匿化されていないほうの情報を検索キーとしてデータベースを構築するため、データベースの検索処理を容易に行うことができる。すなわち、第1秘匿化ID情報と第2秘匿化ID情報とを関連付けてデータベースを構成してしまうと、検索キーとなる第1秘匿化ID情報と第2秘匿化ID情報から第1ID情報又は第2ID情報を逐一復元し、検索を行わなければならない。第1秘匿化ID情報と第2秘匿化ID情報とは、秘匿化され、なおかつ、上述のように更新される情報であるため、第1秘匿化ID情報又は第2秘匿化ID情報をそのままの状態で検索キーとして利用することはできないからである。
ここで、より好ましくは、第1データベース装置が第1ID情報を検索キーとしたデータベースを構築する場合、処理履歴情報に対応する第1秘匿化ID情報と第2ID情報とを関連付けて格納して、第2ID情報を検索キーとしたデータベースを構築し、第1データベース装置が第2ID情報を検索キーとしたデータベースを構築する場合、処理履歴情報に対応する第1ID情報と第2秘匿化ID情報とを関連付けて格納して、第1ID情報を検索キーとしたデータベースを構築する、第2データベース装置をさらに有する。
このように、検索キーとなるID情報が異なる2つのデータベースを設けた場合、第1ID情報と第2ID情報の何れか一方のみを知っていれば、第1管理対象と第2管理対象とが相互に関連する処理の履歴を検索することができる。また、第1データベースと第2データベースとの情報が漏洩しても、各処理に対応する第1ID情報及び第2ID情報の組合せの情報が漏洩することはない。
本発明では、異なる管理対象が相互に関連する処理の履歴を管理するシステムにおいてプライバシ情報の漏洩を防止することができる。
以下、本発明を実施するための最良の形態を図面を参照して説明する。
前述のように、本発明は、異なる管理対象が相互に関連する処理の履歴を管理するシステム一般に適用可能なものである。しかし、以下の各実施の形態では、説明の便宜上、医療行為処理の履歴を管理するシステムに本発明を適用した場合を例にとって説明する。すなわち、各実施の形態における「第1管理対象」は薬品等の「診断治療剤」であり、「第2管理対象」は「患者」であり、「異なる管理対象が相互に関連する処理」は、「診断治療剤」を用いた「患者」への投薬行為である。
前述のように、本発明は、異なる管理対象が相互に関連する処理の履歴を管理するシステム一般に適用可能なものである。しかし、以下の各実施の形態では、説明の便宜上、医療行為処理の履歴を管理するシステムに本発明を適用した場合を例にとって説明する。すなわち、各実施の形態における「第1管理対象」は薬品等の「診断治療剤」であり、「第2管理対象」は「患者」であり、「異なる管理対象が相互に関連する処理」は、「診断治療剤」を用いた「患者」への投薬行為である。
〔第1の実施の形態〕
次に、本発明における第1の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」を「バーコード提示部」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用し、投薬行為が行われた「診断治療剤」及び「患者」に対応する「診断治療剤ID情報」及び「患者ID情報」を関連付けた履歴情報をデータベース装置に格納する例である。なお、無線タグ装置については、例えば「EPC global, Inc.、”EPCglobal”、インターネット<http://www.epcglobalinc.org/>」等参照。
次に、本発明における第1の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」を「バーコード提示部」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用し、投薬行為が行われた「診断治療剤」及び「患者」に対応する「診断治療剤ID情報」及び「患者ID情報」を関連付けた履歴情報をデータベース装置に格納する例である。なお、無線タグ装置については、例えば「EPC global, Inc.、”EPCglobal”、インターネット<http://www.epcglobalinc.org/>」等参照。
<構成>
図1は、第1の実施の形態の情報管理システム100の全体構成を例示した概念図である。
図1に例示するように、本形態の情報管理システム100は、無線タグ装置110(「第1識別装置」に相当)と、バーコード提示部120(「第2識別装置」に相当)と、タグリーダライタ装置131(「読取受信部」に相当)と、バーコードリーダ装置132(「読取入力部」に相当)を具備する読取端末装置130と、セキュリティサーバ装置140、データベース装置150と、管理装置160とを有する。本形態の例の場合、無線タグ装置110は各診断治療剤4の容器に取り付けられ、バーコード提示部120はリストバンド2によって患者1に取り付けられる。また、各診断治療剤4は通常は薬棚5に収納され、患者1への投薬を行う際に患者1の近傍に運ばれる。また、読取端末装置130とセキュリティサーバ装置140とデータベース装置150と管理装置160とは、LAN(Local Area Network)等のネットワーク170を通じ、通信可能に構成されている。
図1は、第1の実施の形態の情報管理システム100の全体構成を例示した概念図である。
図1に例示するように、本形態の情報管理システム100は、無線タグ装置110(「第1識別装置」に相当)と、バーコード提示部120(「第2識別装置」に相当)と、タグリーダライタ装置131(「読取受信部」に相当)と、バーコードリーダ装置132(「読取入力部」に相当)を具備する読取端末装置130と、セキュリティサーバ装置140、データベース装置150と、管理装置160とを有する。本形態の例の場合、無線タグ装置110は各診断治療剤4の容器に取り付けられ、バーコード提示部120はリストバンド2によって患者1に取り付けられる。また、各診断治療剤4は通常は薬棚5に収納され、患者1への投薬を行う際に患者1の近傍に運ばれる。また、読取端末装置130とセキュリティサーバ装置140とデータベース装置150と管理装置160とは、LAN(Local Area Network)等のネットワーク170を通じ、通信可能に構成されている。
図2は、第1の実施の形態における無線タグ装置110の構成を例示したブロック図である。
図2に例示するように、本形態の無線タグ装置110は、メモリ111(第1秘匿化IDメモリ)と、インタフェース112(「第1送信部」に相当)と、制御部113とを有している。ここで、メモリ111は、診断治療剤(「第1管理対象」に相当)を識別するための診断治療剤ID情報(「第1ID情報」に相当)を秘匿化した秘匿化診断治療剤ID情報111ba(「第1秘匿化ID情報」に相当)を格納する記憶領域111bと、秘匿化診断治療剤ID情報111baの生成や診断治療剤ID情報の復元に必要な秘密情報である「鍵」に対応する鍵ID情報111aaを格納する記憶領域111aとを有している。なお、メモリ111は、例えば、EEPROM(Electronically Erasable and Programmable Read Only Memory)、FeRAM(Ferroelectric Random Access Memory)、フラッシュメモリ、NV(Nonvolatile)RAM等の読み書き可能なメモリによって構成できる。また、インタフェース112は、例えば、符号化・復号化回路、変・復調回路、アンテナなどを有し、長波帯やISM帯(Industry Science Medical band)の周波数を用いて信号の送受信を行うハードウェアである。また、制御部113は、無線タグ装置110の処理を制御する集積回路等である。
図2に例示するように、本形態の無線タグ装置110は、メモリ111(第1秘匿化IDメモリ)と、インタフェース112(「第1送信部」に相当)と、制御部113とを有している。ここで、メモリ111は、診断治療剤(「第1管理対象」に相当)を識別するための診断治療剤ID情報(「第1ID情報」に相当)を秘匿化した秘匿化診断治療剤ID情報111ba(「第1秘匿化ID情報」に相当)を格納する記憶領域111bと、秘匿化診断治療剤ID情報111baの生成や診断治療剤ID情報の復元に必要な秘密情報である「鍵」に対応する鍵ID情報111aaを格納する記憶領域111aとを有している。なお、メモリ111は、例えば、EEPROM(Electronically Erasable and Programmable Read Only Memory)、FeRAM(Ferroelectric Random Access Memory)、フラッシュメモリ、NV(Nonvolatile)RAM等の読み書き可能なメモリによって構成できる。また、インタフェース112は、例えば、符号化・復号化回路、変・復調回路、アンテナなどを有し、長波帯やISM帯(Industry Science Medical band)の周波数を用いて信号の送受信を行うハードウェアである。また、制御部113は、無線タグ装置110の処理を制御する集積回路等である。
図3は、第1の実施の形態における読取端末装置130の構成を例示したブロック図である。
図3に例示するように、本形態の読取端末装置130は、タグリーダライタ装置131と、バーコードリーダ装置132と、CPU(Central Processing Unit)133と、ROM134と、RAM135と、液晶表示部等の表示部136と、ネットワークカード等の通信部137(「読取情報送信部」に相当)と、内部時計138と、これらを通信可能に接続するバス139とを有している。なお、RAM135に格納されるデータや、CPU133に読み込まれるデータの詳細については後述する。
図3に例示するように、本形態の読取端末装置130は、タグリーダライタ装置131と、バーコードリーダ装置132と、CPU(Central Processing Unit)133と、ROM134と、RAM135と、液晶表示部等の表示部136と、ネットワークカード等の通信部137(「読取情報送信部」に相当)と、内部時計138と、これらを通信可能に接続するバス139とを有している。なお、RAM135に格納されるデータや、CPU133に読み込まれるデータの詳細については後述する。
図4は、第1の実施の形態におけるセキュリティサーバ装置140の構成を例示したブロック図である。
図4に例示するように、本形態のセキュリティサーバ装置140は、CPU141と、RAM142と、ROM143と、ハードディスク装置等の外部記憶装置144と、通信部145と、これらを通信可能に接続するバス146とを有している。また、外部記憶装置144は、データの読み書きを行う読み書き部144aと各種データが格納される記憶部144bとを有している。なお、記憶部144bに格納されるデータや、CPU141に読み込まれるデータの詳細については後述する。
図4に例示するように、本形態のセキュリティサーバ装置140は、CPU141と、RAM142と、ROM143と、ハードディスク装置等の外部記憶装置144と、通信部145と、これらを通信可能に接続するバス146とを有している。また、外部記憶装置144は、データの読み書きを行う読み書き部144aと各種データが格納される記憶部144bとを有している。なお、記憶部144bに格納されるデータや、CPU141に読み込まれるデータの詳細については後述する。
図5は、第1の実施の形態におけるデータベース装置150の構成を例示したブロック図である。
図5に例示するように、本形態のデータベース装置150は、CPU151と、RAM152と、ROM153と、外部記憶装置154と、通信部155と、これらを通信可能に接続するバス156とを有している。また、外部記憶装置154は、データの読み書きを行う読み書き部154aと各種データが格納される記憶部154bとを有している。なお、記憶部154bに格納されるデータや、CPU151に読み込まれるデータの詳細については後述する。
図5に例示するように、本形態のデータベース装置150は、CPU151と、RAM152と、ROM153と、外部記憶装置154と、通信部155と、これらを通信可能に接続するバス156とを有している。また、外部記憶装置154は、データの読み書きを行う読み書き部154aと各種データが格納される記憶部154bとを有している。なお、記憶部154bに格納されるデータや、CPU151に読み込まれるデータの詳細については後述する。
<処理>
次に、情報管理システム100の処理について説明する。
[前提・前処理]
患者1及び診断治療剤4には、それぞれを識別するための個別のIDが与えられており、それぞれ患者ID及び診断治療剤IDと呼ぶことにする。また、患者IDを特定するための情報を患者ID情報と呼び、診断治療剤IDを特定するための情報を診断治療剤ID情報と呼ぶことにする。各患者1と各診断治療剤IDとの対応関係、及び、各診断治療剤4と各診断治療剤ID情報との対応関係は、例えば、テーブルとして管理装置160内のメモリに格納される。
次に、情報管理システム100の処理について説明する。
[前提・前処理]
患者1及び診断治療剤4には、それぞれを識別するための個別のIDが与えられており、それぞれ患者ID及び診断治療剤IDと呼ぶことにする。また、患者IDを特定するための情報を患者ID情報と呼び、診断治療剤IDを特定するための情報を診断治療剤ID情報と呼ぶことにする。各患者1と各診断治療剤IDとの対応関係、及び、各診断治療剤4と各診断治療剤ID情報との対応関係は、例えば、テーブルとして管理装置160内のメモリに格納される。
また、本形態の場合、各患者1にはそれそれリストバンド2を携帯させる。このリストバンド2には、それを携帯する患者1の患者ID情報を示すバーコードを表示するバーコード提示部120が取り付けられている。そして、このバーコードによって患者ID情報を出力する構成になっている。なお、本形態では、バーコードによって患者ID情報を出力する構成であるが、2次元バーコード表示や文字表示等によって患者ID情報を出力する構成であってもよい。また、患者ID情報を表示するバーコード等は、印刷等によって固定的に形成されたものであってもよいし、液晶ディスプレイ等を用いて表示内容を変更できるものであってもよい。また、リストバンド2を用いてバーコード提示部120を患者1に取り付けるのではなく、バーコード提示部120を付した名札を患者1に取り付けることとしてもよく、患者1のベッドにバーコード提示部120を取り付けてもよい。
また、本形態の場合、各診断治療剤4の容器には、それぞれ、無線タグ装置110が取り付けられる。無線タグ装置110のメモリ111の記憶領域111bには、その無線タグ装置110が取り付けられる診断治療剤4に対応する診断治療剤ID情報を秘匿化した秘匿化診断治療剤ID情報111bが格納される(図2参照)。ここで、秘匿化診断治療剤ID情報111bは、以下の性質をもつ情報である。
(性質1)所定の秘密情報を有する者のみが診断治療剤ID情報を復元でき、この秘密情報を有しないものは、秘匿化診断治療剤ID情報から診断治療剤ID情報を復元することは困難である。
(性質2)同一の診断治療剤ID情報に対し、複数種類の秘匿化診断治療剤ID情報を生成した場合、所定の秘密情報を有しない者は、生成された複数の秘匿化診断治療剤ID情報が、同一の診断治療剤ID情報に対応するか否かを判断することが困難である。
(性質1)所定の秘密情報を有する者のみが診断治療剤ID情報を復元でき、この秘密情報を有しないものは、秘匿化診断治療剤ID情報から診断治療剤ID情報を復元することは困難である。
(性質2)同一の診断治療剤ID情報に対し、複数種類の秘匿化診断治療剤ID情報を生成した場合、所定の秘密情報を有しない者は、生成された複数の秘匿化診断治療剤ID情報が、同一の診断治療剤ID情報に対応するか否かを判断することが困難である。
このような(性質1)及び(性質2)を満たす秘匿化診断治療剤ID情報111bの生成方法には特に制限はないが、例えば、参考文献1,2に記載された方法を用いることができる。
<参考文献1>特開2004−318478号公報
<参考文献2>木下真吾他,“ローコストRFIDプライバシ保護方法,”情報学論 vol.45,no.8
<参考文献3>Philippe Golle, Markus Jakobsson, Ari Juels, and Paul Syverson, "Universal re-encryption for mixnets," In Proceedings of the 2004 RSA Conference, Cryptographer's track, San Francisco, USA, February 2004.等参照)>
<参考文献1>特開2004−318478号公報
<参考文献2>木下真吾他,“ローコストRFIDプライバシ保護方法,”情報学論 vol.45,no.8
<参考文献3>Philippe Golle, Markus Jakobsson, Ari Juels, and Paul Syverson, "Universal re-encryption for mixnets," In Proceedings of the 2004 RSA Conference, Cryptographer's track, San Francisco, USA, February 2004.等参照)>
本形態では、一例として、診断治療剤ID情報を暗号化したものを秘匿化診断治療剤ID情報111bとする。各診断治療剤ID情報の暗号化は、例えば、前処理において、セキュリティ装置が行う。そして本形態の場合、各診断治療剤ID情報の暗号化に用いた暗号鍵とそれぞれに対応する復号鍵とは、鍵ID情報に関連付けられ、セキュリティサーバ装置140の外部記憶装置144の記憶部144bに、鍵テーブル144baとして格納される(図4参照)。なお、鍵テーブル144baの情報は安全に管理され、病院関係者等、許可を得たもののみが読み出すことができるものとする。また、各無線タグ装置110のメモリ111の記憶領域111aには、それぞれの記憶領域111bに格納された秘匿化診断治療剤ID情報111bに対応する鍵ID情報111aaが格納される(図2参照)。
その他の前処理として、読取端末装置130のRAM135には、タグリーダライタ装置131の処理を制御するための制御プログラム135aが格納される。具体的には、例えば、読取端末装置130を起動させた際に、ROM134からRAM135に制御プログラム135aが読み込まれる。また、セキュリティサーバ装置140の外部記憶装置144の記憶部144bには、秘匿化診断治療剤ID情報を再秘匿化(本形態の例では、再暗号化)するためのID情報再秘匿化プログラム144bbと、秘匿化診断治療剤ID情報から診断治療剤ID情報を復元(本形態の例では、復号)するためのID情報復元プログラム144bcと、セキュリティサーバ装置140の処理を制御するための制御プログラム144bdが格納される。さらに、データベース装置150の外部記憶装置154の記憶部154bには、データベース装置150の処理を制御するための制御プログラム154bbが格納される。
[投薬処理]
次に、投薬行為に伴う処理(「投薬処理」と呼ぶ)を説明する。
本形態の場合、担当医の医療指示(投薬日時、担当医、担当看護師、対象患者、病棟・病室・ベッド番号、投与薬品名、投薬量、投薬方法等の情報が含まれる)は、電子カルテとして管理装置160内のメモリに格納される。なお、電子カルテシステムについては、例えば、非特許文献2に記載されているものを用いる。
看護師は、患者に投薬行為を行う際、例えば、この管理装置160の画面に表示された医療指示に従い、投薬を行う診断治療剤4を薬棚5から取り出す。なお、このとき、タグリーダライタ装置131を用い、診断治療剤4に付随する無線タグ装置110に格納されている秘匿化診断治療剤ID情報111bを読み込み、取り出す診断治療剤が間違っていないかどうかチェックする構成であってもよい。
次に、投薬行為に伴う処理(「投薬処理」と呼ぶ)を説明する。
本形態の場合、担当医の医療指示(投薬日時、担当医、担当看護師、対象患者、病棟・病室・ベッド番号、投与薬品名、投薬量、投薬方法等の情報が含まれる)は、電子カルテとして管理装置160内のメモリに格納される。なお、電子カルテシステムについては、例えば、非特許文献2に記載されているものを用いる。
看護師は、患者に投薬行為を行う際、例えば、この管理装置160の画面に表示された医療指示に従い、投薬を行う診断治療剤4を薬棚5から取り出す。なお、このとき、タグリーダライタ装置131を用い、診断治療剤4に付随する無線タグ装置110に格納されている秘匿化診断治療剤ID情報111bを読み込み、取り出す診断治療剤が間違っていないかどうかチェックする構成であってもよい。
この場合、例えば、読取端末装置130が、タグリーダライタ装置131を用い、秘匿化診断治療剤ID情報とそれに対応する診断治療剤ID情報とを無線タグ装置110のメモリ111から読み込む。読取端末装置130は、これらの秘匿化診断治療剤ID情報と診断治療剤ID情報とを、ネットワーク170を通じてセキュリティサーバ装置140に送信し、秘匿化診断治療剤ID情報の復号を依頼する。セキュリティサーバ装置140は、送られた診断治療剤IDに対応する復号鍵を記憶部144bの鍵テーブル144baから読み込み、それを用い、送られた秘匿化診断治療剤ID情報を復号して診断治療剤ID情報を生成し、ネットワーク170を通じて読取端末装置130に返信する(なお、秘匿化診断治療剤ID情報の復号処理は、後述の投薬処理後(ステップS5)にも行われる。秘匿化診断治療剤ID情報の復号処理の詳細は、その際に説明する。)。読取端末装置130は、さらに、ネットワーク170を通じて管理装置160から医療指示が示す投薬すべき診断治療剤に対応する診断治療剤ID情報を受信し、これらをセキュリティサーバ装置140から受け取った診断治療剤ID情報と比較する。そして、セキュリティサーバ装置140から受け取った診断治療剤ID情報が、管理装置160から受け取った診断治療剤ID情報に含まれなかった場合には、例えば、読取端末装置130の表示部136からエラー表示がなされる。これにより、看護師3は、薬棚5から取り出す診断治療剤が間違っていないかどうかチェックすることができる。
また、この際、読取端末装置130が、ネットワーク170を通じ、セキュリティサーバ装置140に秘匿化診断治療剤ID情報の再秘匿化を依頼し、セキュリティサーバ装置140で、元の秘匿化診断治療剤ID情報との関連性を見出すことが困難な他の秘匿化診断治療剤ID情報に再秘匿化し、再秘匿化された秘匿化診断治療剤ID情報とそれに対応する鍵ID情報とを、該当する無線タグ装置110のメモリ111に上書き保存する構成であってもよい(なお、このような秘匿化診断治療剤ID情報の更新処理は、後述の投薬処理後にも行われる(後述のステップS9〜S12)。秘匿化診断治療剤ID情報の更新処理の詳細は、その際に説明する。)。これにより、攻撃者が、事前に、薬棚5に収納されている各診断治療剤4の容器に取り付けられた無線タグ装置110から秘匿化診断治療剤ID情報を読み取り、それらと、診断治療剤4の容器の表示から読み取った診断治療剤を特定する情報(診断治療剤名等)とからなるリストを生成し、そのリストを用いて診断治療剤に関する情報を権限無く取得するホットリスト攻撃を防止できる。なぜなら、投薬処理前に無線タグ装置110の秘匿化診断治療剤ID情報を更新することにより、患者1への診断治療剤4の投薬処理時には、事前に生成されたリストが役に立たなくなっている(秘匿化診断治療剤ID情報と診断治療剤との対応関係を示さない)からである。
次に、看護師3は、医療指示通りに投薬処理を行うため、上述のように薬棚5から取り出した各診断治療剤4をワゴン等に載せ、医療指示が示す患者のいるベッドまで持っていく。図6は、投薬時における情報管理システム100の処理を説明するためのシーケンス図である。以下、投薬時における情報管理システム100の処理を説明する。
まず、看護師3は、投薬に用いる診断治療剤4の近傍にタグリーダライタ装置131を配置した状態で読取端末装置130を操作し、読取端末装置130に読み取り指示を与える。これに対し、読取端末装置130は、制御プログラム135aが読み込まれたCPU133の制御のもと、タグリーダライタ装置131がID読取要求を出力する(ステップS1)。このID読取要求は、無線タグ装置110(投薬に用いる診断治療剤4の容器に取り付けられた無線タグ装置)のインタフェース112で受信される。ID読取要求を受信したことを検知した無線タグ装置110の制御部113は、メモリ111の記憶領域111a,111bにそれぞれ格納されている鍵ID情報111a及び秘匿化診断治療剤ID情報111baを読み出し、これらをインタフェース122から送信させる(ステップS2)。これらは、読取端末装置130のタグリーダライタ装置131で受信され、鍵ID情報135c及び秘匿化診断治療剤ID情報135dとしてRAM135に格納される。次に、看護師3がバーコードリーダ装置132を操作し、バーコードリーダ装置132が、投薬を行う患者1の取り付けられているバーコード提示部120から出力されたバーコード情報(「患者ID情報」に相当)を読み込む(ステップS3)。読み込まれた患者ID情報は、患者ID情報135eとしてRAM135に格納される。
まず、看護師3は、投薬に用いる診断治療剤4の近傍にタグリーダライタ装置131を配置した状態で読取端末装置130を操作し、読取端末装置130に読み取り指示を与える。これに対し、読取端末装置130は、制御プログラム135aが読み込まれたCPU133の制御のもと、タグリーダライタ装置131がID読取要求を出力する(ステップS1)。このID読取要求は、無線タグ装置110(投薬に用いる診断治療剤4の容器に取り付けられた無線タグ装置)のインタフェース112で受信される。ID読取要求を受信したことを検知した無線タグ装置110の制御部113は、メモリ111の記憶領域111a,111bにそれぞれ格納されている鍵ID情報111a及び秘匿化診断治療剤ID情報111baを読み出し、これらをインタフェース122から送信させる(ステップS2)。これらは、読取端末装置130のタグリーダライタ装置131で受信され、鍵ID情報135c及び秘匿化診断治療剤ID情報135dとしてRAM135に格納される。次に、看護師3がバーコードリーダ装置132を操作し、バーコードリーダ装置132が、投薬を行う患者1の取り付けられているバーコード提示部120から出力されたバーコード情報(「患者ID情報」に相当)を読み込む(ステップS3)。読み込まれた患者ID情報は、患者ID情報135eとしてRAM135に格納される。
なお、投薬等の医療行為は、複数の患者に連続して行うことが多く、ワゴンには複数の患者向けに複数の診断治療剤が載ることが多々ある。よって患者の取り違え等の医療過誤を防ぐため、投薬直前にも秘匿化診断治療剤ID情報と患者ID情報とを医療指示と照合することが望ましい。具体的には、読取端末装置130が、秘匿化診断治療剤ID情報の復号をセキュリティサーバ装置140に実行させて診断治療剤ID情報を取得し、さらに、管理装置160から医療指示が示す診断治療剤ID情報、患者ID情報とを取得し、これらを比較することによって、投薬を行おうとする診断治療剤4と患者1とが医療指示に適合しているか否かを検証する。なお、秘匿化診断治療剤ID情報の復号をセキュリティサーバ装置140に実行させて診断治療剤ID情報を取得する処理については、後述のステップS4〜6で詳しく説明する。
投薬等の医療行為が終了した後、医療行為の履歴を記録するため、看護師3は読取端末装置130を操作し、医療行為の履歴のデータベース登録を行う旨の指示を与える。これに対し、制御プログラム135aが読み込まれたCPU133は、RAM135から、鍵ID情報135c及び秘匿化診断治療ID情報135dを読み込み、これらを通信部137からネットワーク170を介し、セキュリティサーバ装置140宛に送信し、秘匿化診断治療ID情報135dの復号を要求する(ステップS4)。この要求情報は、セキュリティサーバ装置140(図4)の通信部145で受信され、RAM142に格納される。次に、ID情報復元プログラム144bcが読み込まれたCPU141は、RAM142から鍵ID情報135cを読み込み、これを用い、外部記憶装置144の記憶部144bに格納された鍵テーブル144baを検索し、鍵ID情報135cに対応する復号鍵を読み出す。次に、このCPU141は、RAM142から読み出した秘匿化診断治療ID情報135dをこの復号鍵を用いて復号し、診断治療ID情報を得る(ステップS5)。得られた診断治療ID情報は、通信部145から読取端末装置130宛にネットワーク170を通じて送信される(ステップS6)。この診断治療ID情報は、読取端末装置130の通信部137で受信され、診断治療ID情報135fとしてRAM135に格納される。
次に、制御プログラム135aが読み込まれたCPU133は、RAM135から読み出した患者ID情報135eと診断治療ID情報135fとを関連付けた処理履歴情報を生成する。なお、これらの情報に当該投薬行為に関連する情報(例えば、内部時計138から読み込んだ投薬日時やRAM135に格納しておいた担当看護師3の氏名等)を関連付けたものを処理履歴情報としてもよい。生成された処理履歴情報は、通信部137から、データベース装置150宛にネットワーク170を通じて送信される(ステップS7)。
処理履歴情報は、データベース装置150の通信部155で受信され、RAM152に格納される。制御プログラム154bbが読み込まれたCPU151は、このRAM152に格納された処理履歴情報を、治療履歴データベース(DB)154baの1レコードとして、外部記憶装置154の記憶部154bに格納する(ステップS8)。図5の治療履歴DB154baは、「患者ID情報」と「秘匿化診断治療ID情報」と「担当看護師の氏名」と「投薬日時」とを処理履歴情報の要素とした場合の例であり、この処理履歴情報の各要素が、治療履歴DB154baのカラム「患者」「投与薬」「看護師」「投与日時」の各要素となっている。また「患者ID情報」を検索キーとする。なお、医療行為の記録を保持するデータベースには、医療指示と同様に投薬日時、担当医、担当看護師、対象患者、病棟・病室・ベッド番号、投与薬品名、投薬量、投薬方法等の情報を記録しておくことが望ましい。特に、投与薬品に関する情報についでは、投与した薬品に問題が発生した際の追跡調査に利用するため、薬品名だけでなく、製造ロット番号等の情報も記録しておく必要がある。ロット番号まで含めた細かな分類に対して診断治療剤ID情報を割り当てておくことにより、決め細かな情報管理が可能となる。本形態では、患者名や病棟番号等、患者に関する情報を患者ID情報に関連付け、薬品名や製造ロット番号等、診断治療剤に関する情報を診断治療剤ID情報に関連付けたテーブルを管理装置160に格納しておくことにより、このようなきめ細かな管理が可能となる。
次に、読取端末装置130のRAM135に格納されている鍵ID情報135cと秘匿化診断治療剤ID情報135dとが、制御プログラム135aが読み込まれたCPU133によって読み込まれる。そして、このCPU133は、これらの情報を通信部137からネットワーク170を通じてセキュリティサーバ装置140に送信し、再秘匿化要求を行う(ステップS9)。これらの鍵ID情報135cと秘匿化診断治療剤ID情報135dは、セキュリティサーバ装置140の通信部145において受信され、RAM142に格納される。ID情報再秘匿化プログラム144bbが読み込まれたCPU141は、RAM142から鍵ID情報135cを読み込み、これと鍵テーブル144baの情報とを用い、秘匿化診断治療剤ID情報135dを再秘匿化した秘匿化診断治療剤ID情報を生成する(ステップS10)。なお、再秘匿化した秘匿化診断治療剤ID情報は、鍵テーブル144baの情報を用いない限り、元の秘匿化診断治療剤ID情報135dとの関連性を見出すことが困難な情報である。このような再秘匿化方法としては、秘匿化診断治療剤ID情報をElGamal暗号等の確率暗号の性質(同じ平文を暗号化して得られる暗号文同士の関連性が、復号化の権限を持たないものにはわからない性質)を持つ暗号文とし、当該秘匿化診断治療剤ID情報と、鍵テーブル144baから抽出した鍵ID情報135cに対応する暗号化鍵(公開鍵)とを用い、秘匿化診断治療剤ID情報を再暗号化する方法を例示できる(例えば、参考文献1〜3参照)。また、鍵テーブル144baから抽出した鍵ID情報135cに対応する復号鍵を用いて秘匿化診断治療剤ID情報を復号して診断治療剤ID情報を取得し、その後ランダムに新たな鍵ID情報を選択し、それに対応する暗号鍵で診断治療剤ID情報を暗号化したものを再暗号化された秘匿化診断治療剤ID情報としてもよい。
再秘匿化した秘匿化診断治療剤ID情報は、それに対応する鍵ID情報とともに通信部145に送られ、そこからネットワーク170を介して、読取端末装置130に送信される(ステップS11)。これらの情報は、読取端末装置130の通信部137で受信されRAM135に格納される。次に、これらの再秘匿化した秘匿化診断治療剤ID情報と、それに対応する鍵ID情報とは、タグリーダライタ装置131に送られ、そこから元の秘匿化診断治療剤ID情報が格納されていた無線タグ装置110に送信される。再秘匿化した秘匿化診断治療剤ID情報と、それに対応する鍵ID情報とは、それぞれ、当該無線タグ装置110のインタフェース112で受信され、それぞれ、メモリ111の記憶領域111bと111aに上書き保存される。
これ以降、当該無線タグ装置110は、ID読取要求に対し、更新された新たな秘匿化診断治療剤ID情報を出力することになる。その結果、ホットリスト攻撃を行うために攻撃者が作成してあったリスト(秘匿化診断治療剤ID情報と診断医療剤名等とを関連付けたリスト)は、実際に無線タグ装置110から出力される秘匿化診断治療剤ID情報に対応しないものとなり、当該リストを用いてホットリスト攻撃を行うことができなくなる。
なお、使用した診断治療剤4やその容器をその後廃棄する場合には、再秘匿化した秘匿化診断治療剤ID情報を無線タグ装置110に格納するのではなく、復号された診断治療剤ID情報(RAM135に格納してあった診断治療剤ID情報135f)を無線タグ装置110に格納してもよい。この場合、セキュリティサーバ装置140を介すことなくローカルに無線タグ装置110から診断治療剤ID情報を取得できるため、診断治療剤ID情報を用い、廃棄物の分別やリサイクル等の処理を効率的に行うことができる。
なお、使用した診断治療剤4やその容器をその後廃棄する場合には、再秘匿化した秘匿化診断治療剤ID情報を無線タグ装置110に格納するのではなく、復号された診断治療剤ID情報(RAM135に格納してあった診断治療剤ID情報135f)を無線タグ装置110に格納してもよい。この場合、セキュリティサーバ装置140を介すことなくローカルに無線タグ装置110から診断治療剤ID情報を取得できるため、診断治療剤ID情報を用い、廃棄物の分別やリサイクル等の処理を効率的に行うことができる。
<その他の変形例>
本形態では、読取端末装置130が秘匿化診断治療剤ID情報をセキュリティサーバ装置140に送信し、秘匿化診断治療剤ID情報の再秘匿化を行っていた。しかし、読取端末装置130が秘匿化診断治療剤ID情報を復元した診断治療剤ID情報をセキュリティサーバ装置140に送信し、セキュリティサーバ装置140が診断治療剤ID情報を秘匿化し、それを再秘匿化された秘匿化診断治療剤ID情報として無線タグ装置110に格納する構成であってもよい。
本形態では、読取端末装置130が秘匿化診断治療剤ID情報をセキュリティサーバ装置140に送信し、秘匿化診断治療剤ID情報の再秘匿化を行っていた。しかし、読取端末装置130が秘匿化診断治療剤ID情報を復元した診断治療剤ID情報をセキュリティサーバ装置140に送信し、セキュリティサーバ装置140が診断治療剤ID情報を秘匿化し、それを再秘匿化された秘匿化診断治療剤ID情報として無線タグ装置110に格納する構成であってもよい。
例えば、前述のように、無線タグ装置110から読み出された秘匿化診断治療剤ID情報を用い、薬棚5から取り出された診断治療剤4が間違っていないか否かをチェックする場合、読み出された秘匿化診断治療剤ID情報を診断治療剤ID情報に復元しなければならない。この際得られた診断治療剤ID情報をセキュリティサーバ装置140に送信し、セキュリティサーバ装置140が診断治療剤ID情報を秘匿化し、それを再秘匿化された秘匿化診断治療剤ID情報として無線タグ装置110に格納してもよい。また、例えば、ステップS9において、読取端末装置130がセキュリティサーバ装置140に秘匿化診断治療剤ID情報を送信し、その再秘匿化を要求する代わりに、読取端末装置130がセキュリティサーバ装置140にステップS6で得られた診断治療剤ID情報を送信し、セキュリティサーバ装置140で診断治療剤ID情報を秘匿化し、それを再秘匿化された秘匿化診断治療剤ID情報としてもよい。さらには、例えば、何れかのタイミングでセキュリティサーバ装置140に秘匿化診断治療剤ID情報の復元を要求する際に、併せて、最秘匿化された秘匿化診断治療剤ID情報の生成をも要求する構成であってもよい。
また、診断治療剤4が薬棚5に収納されている間は、その診断治療剤4の容器に取り付けられた無線タグ装置110に秘匿化していない診断治療剤ID情報のみを格納しておく構成でもよい。この場合、看護師3が薬棚5から診断治療剤4を取り出す際に、タグリーダライタ装置131を用い、当該診断治療剤4の容器に取り付けられている無線タグ装置110から診断治療剤ID情報を読み取る。そして、読取端末装置130がこれをセキュリティサーバ装置140に送信してその秘匿化を要求し、セキュリティサーバ装置140おいて秘匿化された秘匿化診断治療剤ID情報とその鍵ID情報とを、タグリーダライタ装置131を用い、無線タグ装置110に格納する。逆に、看護師3が診断治療剤4を薬棚5にしまう際には、タグリーダライタ装置131を用い、当該診断治療剤4の容器に取り付けられている無線タグ装置110から秘匿化診断治療剤ID情報とその鍵ID情報とを読み取る。そして、読取端末装置130がこれをセキュリティサーバ装置140に送信してその復号を要求し、セキュリティサーバ装置140おいて復号された診断治療剤ID情報を、タグリーダライタ装置131を用い、無線タグ装置110に格納する。このような構成であってもよい。
また、本形態では、バーコード提示部120に患者ID情報を示すバーコードを表示することとしたが、患者ID情報を秘匿化した秘匿化患者ID情報と、その鍵ID情報とを格納する構成であってもよい。この場合、バーコードリーダ装置132で読み込まれたこれらの情報は、セキュリティサーバ装置140に送られ、そこで秘匿化患者ID情報を患者ID情報に復元してから、投薬直前での医療指示との照合や、投薬後のデータベースへの履歴格納等を行う。
〔第2の実施の形態〕
次に、本発明における第2の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」を「バーコード提示部」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用する点では第1の実施の形態と共通する。しかし、投薬行為が行われた「診断治療剤」及び「患者」に対応する「診断治療剤ID情報」及び「患者ID情報」を関連付けた履歴情報をそのままデータベース装置に格納するのではなく、「診断治療剤ID情報」を秘匿化した「診断治療剤ID情報(第1秘匿化ID情報)」と「患者ID情報(第2ID情報)」とを関連付け、患者ID情報を検索キーとしたデータベースを構築する点で、第1の実施の形態と相違する。以下では、第1の実施の形態との相違点を中心に説明し、第1の実施の形態と共通する事項については説明を省略する。
次に、本発明における第2の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」を「バーコード提示部」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用する点では第1の実施の形態と共通する。しかし、投薬行為が行われた「診断治療剤」及び「患者」に対応する「診断治療剤ID情報」及び「患者ID情報」を関連付けた履歴情報をそのままデータベース装置に格納するのではなく、「診断治療剤ID情報」を秘匿化した「診断治療剤ID情報(第1秘匿化ID情報)」と「患者ID情報(第2ID情報)」とを関連付け、患者ID情報を検索キーとしたデータベースを構築する点で、第1の実施の形態と相違する。以下では、第1の実施の形態との相違点を中心に説明し、第1の実施の形態と共通する事項については説明を省略する。
<構成>
本形態の情報管理システムは、第1の実施の形態の情報管理システム100のデータベース装置150を図7のデータベース装置250に置換したものである。なお、図7において、第1の実施の形態のデータベース装置150と共通する部分については、図5と同じ符号を付した。図7に示すように、本形態のデータベース装置250と、第1の実施の形態のデータベース装置150との相違点は治療履歴DBのデータ構成である。以下、このデータ構成に関連する処理を中心に説明し、その他は、第1の実施の形態と同様であるため説明を省略する。
本形態の情報管理システムは、第1の実施の形態の情報管理システム100のデータベース装置150を図7のデータベース装置250に置換したものである。なお、図7において、第1の実施の形態のデータベース装置150と共通する部分については、図5と同じ符号を付した。図7に示すように、本形態のデータベース装置250と、第1の実施の形態のデータベース装置150との相違点は治療履歴DBのデータ構成である。以下、このデータ構成に関連する処理を中心に説明し、その他は、第1の実施の形態と同様であるため説明を省略する。
<処理>
図8は、投薬時における本形態の情報管理システムの処理を説明するためのシーケンス図である。以下、投薬時における情報管理システムの処理を説明する。
ステップS21からS23までの処理は、第1の実施の形態のステップS1からS3までの処理と同じである。しかし、その後、第1の実施の形態のように秘匿化診断治療剤IDの復元は行われない。すなわち、読取端末装置130は、無線タグ装置110から読み取った秘匿化診断治療剤ID情報と、バーコード提示部120から読み取った患者ID情報とを関連付けた情報(又は、さらにこれらの情報に当該投薬行為に関連する情報を関連付けた情報)を処理履歴情報とし、これをデータベース装置250に送信する(ステップS24)。この処理履歴情報は、データベース装置250の通信部155で受信され、RAM152に格納される。制御プログラム154bbが読み込まれたCPU151は、このRAM152に格納された処理履歴情報を、治療履歴DB254baの1レコードとして、外部記憶装置154の記憶部154bに格納する(ステップS25)。なお、図7の治療履歴DB154baは、「患者ID情報」と「秘匿化診断治療ID情報」と「担当看護師の氏名」と「投薬日時」とを処理履歴情報の要素とした場合の例であり、この処理履歴情報の各要素が、治療履歴DB254baのカラム「患者」「投与薬」「看護師」「投与日時」の各要素となっている。そして、「患者ID情報」が検索キーとなっている。すなわち、本形態の治療履歴DB254baは、投薬処理(「第1管理対象及び第2管理対象の双方に関連する処理の履歴を示す情報」に相当)を1レコードとし、当該投薬処理に用いた診断治療剤(「第1管理対象」)を識別するための診断治療剤ID情報(「第1ID情報」に相当)を秘匿化した秘匿化診断治療剤ID情報(「第1秘匿化ID情報」に相当)と、当該投薬がなされた患者(「第2管理対象」)を識別するための患者ID情報(「第2ID情報」)とを関連付け、患者ID情報を検索キーとして設定したデータベースである。
図8は、投薬時における本形態の情報管理システムの処理を説明するためのシーケンス図である。以下、投薬時における情報管理システムの処理を説明する。
ステップS21からS23までの処理は、第1の実施の形態のステップS1からS3までの処理と同じである。しかし、その後、第1の実施の形態のように秘匿化診断治療剤IDの復元は行われない。すなわち、読取端末装置130は、無線タグ装置110から読み取った秘匿化診断治療剤ID情報と、バーコード提示部120から読み取った患者ID情報とを関連付けた情報(又は、さらにこれらの情報に当該投薬行為に関連する情報を関連付けた情報)を処理履歴情報とし、これをデータベース装置250に送信する(ステップS24)。この処理履歴情報は、データベース装置250の通信部155で受信され、RAM152に格納される。制御プログラム154bbが読み込まれたCPU151は、このRAM152に格納された処理履歴情報を、治療履歴DB254baの1レコードとして、外部記憶装置154の記憶部154bに格納する(ステップS25)。なお、図7の治療履歴DB154baは、「患者ID情報」と「秘匿化診断治療ID情報」と「担当看護師の氏名」と「投薬日時」とを処理履歴情報の要素とした場合の例であり、この処理履歴情報の各要素が、治療履歴DB254baのカラム「患者」「投与薬」「看護師」「投与日時」の各要素となっている。そして、「患者ID情報」が検索キーとなっている。すなわち、本形態の治療履歴DB254baは、投薬処理(「第1管理対象及び第2管理対象の双方に関連する処理の履歴を示す情報」に相当)を1レコードとし、当該投薬処理に用いた診断治療剤(「第1管理対象」)を識別するための診断治療剤ID情報(「第1ID情報」に相当)を秘匿化した秘匿化診断治療剤ID情報(「第1秘匿化ID情報」に相当)と、当該投薬がなされた患者(「第2管理対象」)を識別するための患者ID情報(「第2ID情報」)とを関連付け、患者ID情報を検索キーとして設定したデータベースである。
このようなデータ構成とすることにより、たとえ、治療履歴DB254baが外部に漏洩し、さらに、患者ID情報と患者との対応や、診断治療剤ID情報と診断治療剤との対応が外部に知られたとしても、秘匿化診断治療剤ID情報を復元できない攻撃者は、診断治療剤ID情報を復元できないため、各レコードが示す医療行為を特定することができない。これにより、プライバシ保護が図れる。また、患者ID情報を秘匿化せずに治療履歴DB254baを構成し、患者ID情報を検索キーとすることにより、治療履歴DB254baの検索が容易となる。検索時に検索キーを復元する処理が不要だからである。
また、本形態でも第1の実施の形態のステップS9からS12と同じ処理が行われ(ステップS26からS29)、無線タグ装置110のメモリ111内の秘匿化診断治療剤ID情報が更新される。そして、本形態では、このように更新される秘匿化診断治療剤ID情報をそのまま治療履歴DB254baの要素としている。そのため、同じ診断治療剤に対応する秘匿化診断治療剤ID情報であっても、治療履歴DB254baには別の記号列が要素として記録される。そのため、たとえ治療履歴DB254baのデータが漏洩したとしても、秘匿化診断治療剤ID情報の同一性から患者の投薬傾向が推測されることもない。
<その他の変形例>
また、本形態では、患者ID情報と秘匿化診断治療剤ID情報とを関連付けたものをレコードとし、患者ID情報を検索キーとする治療履歴DB254baを構築することとしたが、秘匿化患者ID情報と診断治療剤ID情報とを関連付けたものをレコードとし、診断治療剤ID情報を検索キーとする治療履歴DBを構築することとしてもよい。また、無線タグ装置110に格納された秘匿化診断治療剤ID情報をそのまま治療履歴DB254baの要素とするのではなく、別の秘匿化診断治療剤ID情報に再秘匿化してから治療履歴DB254baの要素としてもよい。さらに、この際の秘匿化方式として、確率暗号のような性質を持つ暗号を用いることによって、攻撃者が秘匿化されたデータ間の関連性を導き出すことについでも防ぐことができる。また、単純に、秘匿化患者ID情報と秘匿化診断治療剤ID情報とを関連付けたものをレコードした治療履歴DBを構築してもよいし、患者ID情報や診断治療剤ID情報以外の一部の要素を検索キーとするデータベースを構築してもよい。
また、本形態では、患者ID情報と秘匿化診断治療剤ID情報とを関連付けたものをレコードとし、患者ID情報を検索キーとする治療履歴DB254baを構築することとしたが、秘匿化患者ID情報と診断治療剤ID情報とを関連付けたものをレコードとし、診断治療剤ID情報を検索キーとする治療履歴DBを構築することとしてもよい。また、無線タグ装置110に格納された秘匿化診断治療剤ID情報をそのまま治療履歴DB254baの要素とするのではなく、別の秘匿化診断治療剤ID情報に再秘匿化してから治療履歴DB254baの要素としてもよい。さらに、この際の秘匿化方式として、確率暗号のような性質を持つ暗号を用いることによって、攻撃者が秘匿化されたデータ間の関連性を導き出すことについでも防ぐことができる。また、単純に、秘匿化患者ID情報と秘匿化診断治療剤ID情報とを関連付けたものをレコードした治療履歴DBを構築してもよいし、患者ID情報や診断治療剤ID情報以外の一部の要素を検索キーとするデータベースを構築してもよい。
〔第3の実施の形態〕
次に、本発明における第3の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」も「無線タグ装置」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用する。そして、診断治療剤ID情報を検索キーとするデータベースと、患者ID情報を検索キーとするデータベースとを構築する。なお、以下では、これまで説明した各実施の形態との相違点を中心に説明する。
次に、本発明における第3の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」も「無線タグ装置」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用する。そして、診断治療剤ID情報を検索キーとするデータベースと、患者ID情報を検索キーとするデータベースとを構築する。なお、以下では、これまで説明した各実施の形態との相違点を中心に説明する。
<構成>
図9は、第3の実施の形態の情報管理システム300の全体構成を例示した概念図である。なお、以下において第1,2の実施の形態と共通する部分については、第1,2の実施の形態で用いたのと同じ符号を付した。
図9に例示するように、本形態の情報管理システム300は、無線タグ装置110(「第1識別装置」に相当)、無線タグ装置320(「第2識別装置」に相当)、タグリーダライタ装置131(「読取受信部」及び「読取入力部」に相当)を具備する読取端末装置330、セキュリティサーバ装置140、データベース装置350,450及び管理装置160を有する。本形態の例の場合、無線タグ装置110は各診断治療剤4の容器に取り付けられ、無線タグ装置320はリストバンド2によって患者1に取り付けられる。また、読取端末装置330とセキュリティサーバ装置140とデータベース装置350,450と管理装置160とは、LAN(Local Area Network)等のネットワーク170を通じ、通信可能に構成されている。
図9は、第3の実施の形態の情報管理システム300の全体構成を例示した概念図である。なお、以下において第1,2の実施の形態と共通する部分については、第1,2の実施の形態で用いたのと同じ符号を付した。
図9に例示するように、本形態の情報管理システム300は、無線タグ装置110(「第1識別装置」に相当)、無線タグ装置320(「第2識別装置」に相当)、タグリーダライタ装置131(「読取受信部」及び「読取入力部」に相当)を具備する読取端末装置330、セキュリティサーバ装置140、データベース装置350,450及び管理装置160を有する。本形態の例の場合、無線タグ装置110は各診断治療剤4の容器に取り付けられ、無線タグ装置320はリストバンド2によって患者1に取り付けられる。また、読取端末装置330とセキュリティサーバ装置140とデータベース装置350,450と管理装置160とは、LAN(Local Area Network)等のネットワーク170を通じ、通信可能に構成されている。
図10(a)は、第3の実施の形態における無線タグ装置320の構成を例示したブロック図である。
図10(a)に例示するように、本形態の無線タグ装置320は、メモリ321(第2秘匿化IDメモリ)と、インタフェース322(「第2送信部」に相当)と、制御部323とを有している。
図10(a)に例示するように、本形態の無線タグ装置320は、メモリ321(第2秘匿化IDメモリ)と、インタフェース322(「第2送信部」に相当)と、制御部323とを有している。
図11は、第3の実施の形態における読取端末装置330の構成を例示したブロック図である。
図11に例示するように、本形態の読取端末装置330は、タグリーダライタ装置131と、CPU133と、ROM134と、RAM135と、液晶表示部等の表示部136と、通信部137(「読取情報送信部」に相当)と、内部時計138と、これらを通信可能に接続するバス139とを有している。なお、RAM135に格納されるデータや、CPU133に読み込まれるデータの詳細については後述する。
図11に例示するように、本形態の読取端末装置330は、タグリーダライタ装置131と、CPU133と、ROM134と、RAM135と、液晶表示部等の表示部136と、通信部137(「読取情報送信部」に相当)と、内部時計138と、これらを通信可能に接続するバス139とを有している。なお、RAM135に格納されるデータや、CPU133に読み込まれるデータの詳細については後述する。
図12は、第3の実施の形態におけるデータベース装置350の構成を例示したブロック図である。
図12に例示するように、本形態のデータベース装置350は、CPU351と、RAM352と、ROM353と、外部記憶装置354と、通信部355と、これらを通信可能に接続するバス356とを有している。また、外部記憶装置354は、データの読み書きを行う読み書き部354aと各種データが格納される記憶部354bとを有している。なお、記憶部354bに格納されるデータや、CPU351に読み込まれるデータの詳細については後述する。
図12に例示するように、本形態のデータベース装置350は、CPU351と、RAM352と、ROM353と、外部記憶装置354と、通信部355と、これらを通信可能に接続するバス356とを有している。また、外部記憶装置354は、データの読み書きを行う読み書き部354aと各種データが格納される記憶部354bとを有している。なお、記憶部354bに格納されるデータや、CPU351に読み込まれるデータの詳細については後述する。
図13は、第3の実施の形態におけるデータベース装置450の構成を例示したブロック図である。
図13に例示するように、本形態のデータベース装置450は、CPU451と、RAM452と、ROM453と、外部記憶装置454と、通信部455と、これらを通信可能に接続するバス456とを有している。また、外部記憶装置454は、データの読み書きを行う読み書き部454aと各種データが格納される記憶部454bとを有している。なお、記憶部454bに格納されるデータや、CPU451に読み込まれるデータの詳細については後述する。
図13に例示するように、本形態のデータベース装置450は、CPU451と、RAM452と、ROM453と、外部記憶装置454と、通信部455と、これらを通信可能に接続するバス456とを有している。また、外部記憶装置454は、データの読み書きを行う読み書き部454aと各種データが格納される記憶部454bとを有している。なお、記憶部454bに格納されるデータや、CPU451に読み込まれるデータの詳細については後述する。
<処理>
[前処理]
前処理として、無線タグ装置320のメモリ321に、無線タグ装置320を取り付ける患者1の患者ID情報321aを格納しておく。また、読取端末装置330のRAM135に、読取端末装置330を制御するための制御プログラム135aと、暗号化を行うための暗号化プログラム335eと、そのための暗号鍵335fとを格納しておく。また、データベース装置350の外部記憶装置354の記憶部354bに、データベース装置350の処理を制御するための制御プログラム354bbと、読取端末装置330に格納された暗号鍵に対応する復号鍵354bdと、復号鍵354bdを用いて暗号文を復号するための復号プログラム354beとを格納しておく。さらに、データベース装置450の外部記憶装置454の記憶部454bに、データベース装置450の処理を制御するための制御プログラム454bbを格納しておく。なお、無線タグ装置110及びセキュリティサーバ装置140の前処理は、第1の実施の形態と同様である。
[前処理]
前処理として、無線タグ装置320のメモリ321に、無線タグ装置320を取り付ける患者1の患者ID情報321aを格納しておく。また、読取端末装置330のRAM135に、読取端末装置330を制御するための制御プログラム135aと、暗号化を行うための暗号化プログラム335eと、そのための暗号鍵335fとを格納しておく。また、データベース装置350の外部記憶装置354の記憶部354bに、データベース装置350の処理を制御するための制御プログラム354bbと、読取端末装置330に格納された暗号鍵に対応する復号鍵354bdと、復号鍵354bdを用いて暗号文を復号するための復号プログラム354beとを格納しておく。さらに、データベース装置450の外部記憶装置454の記憶部454bに、データベース装置450の処理を制御するための制御プログラム454bbを格納しておく。なお、無線タグ装置110及びセキュリティサーバ装置140の前処理は、第1の実施の形態と同様である。
[投薬処理]
次に、本形態の投薬処理を説明する。図14,15は、投薬時における情報管理システム300の処理を説明するためのシーケンス図である。なお、看護師3が薬棚5から取り出した各診断治療剤4をワゴン等に載せ、医療指示が示す患者のいるベッドまで持っていくところまでは、第1の実施の形態と同じであるため説明を省略する。以下、投薬時における情報管理システム300の処理を説明する。
まず、看護師3は、投薬に用いる診断治療剤4及び投薬を行う患者1にそれぞれ取り付けられた無線タグ装置110,320の近傍にタグリーダライタ装置131を配置した状態で読取端末装置330を操作し、読取端末装置330に読み取り指示を与える。これに対し、読取端末装置330は、制御プログラム135aが読み込まれたCPU133の制御のもと、タグリーダライタ装置331がID読取要求を出力する(ステップS41)。このID読取要求は、無線タグ装置110(投薬に用いる診断治療剤4の容器に取り付けられた無線タグ装置)のインタフェース112、及び、無線タグ装置320(投薬を行おうとする患者1に取り付けられた無線タグ装置)のインタフェース322で受信される。ID読取要求を受信したことを検知した無線タグ装置110の制御部113は、メモリ111の記憶領域111a,111bにそれぞれ格納されている鍵ID情報111a及び秘匿化診断治療剤ID情報111baを読み出し、これらをインタフェース122から送信させる(ステップS42)。また、ID読取要求を受信したことを検知した無線タグ装置320の制御部323は、メモリ321に格納されている患者ID情報321aを読み出し、これをインタフェース322から送信させる(ステップS43)。これらは、読取端末装置330のタグリーダライタ装置131で受信され、鍵ID情報135c、秘匿化診断治療剤ID情報135d及び患者ID情報135eとしてRAM135に格納される。その後、第1の実施の形態と同様に、患者の取り違え等の医療過誤を防ぐため、好ましくは、投薬直前にも秘匿化診断治療剤ID情報と患者ID情報とを医療指示と照合する。
次に、本形態の投薬処理を説明する。図14,15は、投薬時における情報管理システム300の処理を説明するためのシーケンス図である。なお、看護師3が薬棚5から取り出した各診断治療剤4をワゴン等に載せ、医療指示が示す患者のいるベッドまで持っていくところまでは、第1の実施の形態と同じであるため説明を省略する。以下、投薬時における情報管理システム300の処理を説明する。
まず、看護師3は、投薬に用いる診断治療剤4及び投薬を行う患者1にそれぞれ取り付けられた無線タグ装置110,320の近傍にタグリーダライタ装置131を配置した状態で読取端末装置330を操作し、読取端末装置330に読み取り指示を与える。これに対し、読取端末装置330は、制御プログラム135aが読み込まれたCPU133の制御のもと、タグリーダライタ装置331がID読取要求を出力する(ステップS41)。このID読取要求は、無線タグ装置110(投薬に用いる診断治療剤4の容器に取り付けられた無線タグ装置)のインタフェース112、及び、無線タグ装置320(投薬を行おうとする患者1に取り付けられた無線タグ装置)のインタフェース322で受信される。ID読取要求を受信したことを検知した無線タグ装置110の制御部113は、メモリ111の記憶領域111a,111bにそれぞれ格納されている鍵ID情報111a及び秘匿化診断治療剤ID情報111baを読み出し、これらをインタフェース122から送信させる(ステップS42)。また、ID読取要求を受信したことを検知した無線タグ装置320の制御部323は、メモリ321に格納されている患者ID情報321aを読み出し、これをインタフェース322から送信させる(ステップS43)。これらは、読取端末装置330のタグリーダライタ装置131で受信され、鍵ID情報135c、秘匿化診断治療剤ID情報135d及び患者ID情報135eとしてRAM135に格納される。その後、第1の実施の形態と同様に、患者の取り違え等の医療過誤を防ぐため、好ましくは、投薬直前にも秘匿化診断治療剤ID情報と患者ID情報とを医療指示と照合する。
そして、投薬等の医療行為が終了した後、医療行為の履歴を記録するため、看護師3は読取端末装置330を操作し、医療行為の履歴のデータベース登録を行う旨の指示を与える。これに対し、暗号化プログラム335eが読み込まれたCPU133は、RAM335から患者ID情報135eと暗号鍵335fとを読み込み、暗号鍵335fを用いて患者ID情報135eを暗号化した暗号化患者ID情報335gを生成し、RAM335に格納する(ステップS44)。
次に、制御プログラム135aが読み込まれたCPU133は、RAM335から読み込んだ鍵ID情報135cと秘匿化診断治療剤ID情報135dと暗号化患者ID情報355gとを関連付けた処理履歴情報を生成する。なお、これらの情報に当該投薬行為に関連する情報(例えば、内部時計138から読み込んだ投薬日時やRAM135に格納しておいた担当看護師3の氏名等)を関連付けたものを処理履歴情報としてもよい。
生成された処理履歴情報は、通信部137から、データベース装置350,450宛にネットワーク170を通じて送信される(ステップS45)。
生成された処理履歴情報は、通信部137から、データベース装置350,450宛にネットワーク170を通じて送信される(ステップS45)。
データベース装置350に送信された処理履歴情報は、通信部355で受信され、RAM352に格納される。復号プログラム354beが読み込まれたCPU351は、記憶部354bから読み込んだ復号鍵354bdを用い、RAM352に格納された処理履歴情報が具備する暗号化患者ID情報を復号して患者ID情報を生成する。生成された患者ID情報はRAM352に格納される(ステップS46)。次に、制御プログラム154bbが読み込まれたCPU351は、このRAM352に格納された患者ID情報と、処理履歴情報を構成する情報とを関連付けた情報を、治療履歴データベース(DB)354baの1レコードとし、外部記憶装置354の記憶部354bに格納する(ステップS47)。なお、図12の例では、「患者ID情報」と「秘匿化診断治療ID情報」と「担当看護師の氏名」と「投薬日時」とを、カラム「患者」「投与薬」「看護師」「投与日時」の各要素とし、「患者ID情報」を検索キーとする。
データベース装置450に送信された処理履歴情報は、通信部455で受信され、RAM452に格納される。次に、制御プログラム454bbが読み込まれたCPU451は、RAM452から、処理履歴情報を構成する鍵ID情報及び秘匿化診断治療ID情報を読み込み、これらを通信部455からネットワーク170を介し、セキュリティサーバ装置140宛に送信し、秘匿化診断治療ID情報の復号を要求する(ステップS48)。
この要求情報は、セキュリティサーバ装置140(図4)の通信部145で受信され、RAM142に格納される。次に、ID情報復元プログラム144bcが読み込まれたCPU141は、RAM142から鍵ID情報135cを読み込み、これを用い、外部記憶装置144の記憶部144bに格納された鍵テーブル144baを検索し、鍵ID情報135cに対応する復号鍵を読み出す。次に、このCPU141は、RAM142から読み出した秘匿化診断治療ID情報135dをこの復号鍵を用いて復号し、診断治療ID情報を得る(ステップS49)。得られた診断治療ID情報は、通信部145から読取端末装置330宛にネットワーク170を通じて送信される(ステップS50)。
この診断治療ID情報は、データベース装置450の通信部455で受信され、RAM452に格納される。そして、制御プログラム454bbが読み込まれたCPU451は、このRAM452に格納された診断治療ID情報と、処理履歴情報を構成する暗号化患者ID情報等とを関連付けたものを治療履歴DB454baの1レコードとして、外部記憶装置454の記憶部454bに格納する(ステップS51)。なお、図13の例では、「診断治療ID情報」「暗号化患者ID情報」「看護師名」「投薬日時」を、カラム「患者」「投与薬」「看護師」「投与日時」の各要素とし、診断治療ID情報を検索キーとしている。
その後、本形態でも第1の実施の形態のステップS9からS12と同じ処理が行われ(ステップS52からS55)、無線タグ装置110のメモリ111内の秘匿化診断治療剤ID情報が更新される。
その後、本形態でも第1の実施の形態のステップS9からS12と同じ処理が行われ(ステップS52からS55)、無線タグ装置110のメモリ111内の秘匿化診断治療剤ID情報が更新される。
以上のように、本形態では、処理履歴を、平文の患者ID情報を検索キーとし、診断治療剤ID情報を秘匿化した治療履歴DB354ba(データベース装置350に格納)と、平文の診断治療剤ID情報を検索キーとし、患者ID情報を暗号化した治療履歴DB454ba(データベース装置450に格納)とを分散生成することとした。これにより、何れかのデータベースを用いれば、患者ID情報及び診断治療剤IDの何れを検索条件としても容易に処理履歴を検索することができる。さらに、何れのデータベースの情報が漏洩しても、復号鍵を知らない第三者は、各投薬処理に対応する患者ID情報と診断治療剤ID情報との組合せも知ることができない。これにより、データベース検索時の利便性と、プライバシ保護の向上との両立を図ることができる。
なお、読取端末装置330によって行われる患者ID情報の暗号化は、確率暗号の性質を持つ暗号化方式を用いて行われることが望ましい。これにより、同じ患者ID情報に対し、異なる暗号化患者ID情報を生成することが可能となる。その結果、データベース装置450の治療履歴DB454aが外部に漏洩したとしても、暗号化患者ID情報の復号鍵を知らない第三者は、治療履歴DB454aから同一の患者ID情報に対応する複数のレコードの関連性を見出すことが困難となる。
〔第3の実施の形態の変形例〕
次に、第3の実施の形態の変形例について説明する。この変形例では、患者1に取り付けられる無線タグ装置320に秘匿化患者ID情報を格納するものである。以下、第3の実施の形態との相違点を中心に説明する。
<構成>
無線タグ装置320以外の構成は、第3の実施の形態と同じである。以下では、本変形例の無線タグ装置320の構成のみを説明する。
図10(b)は、第3の実施の形態の変形例における無線タグ装置320の構成を例示したブロック図である。前述した図10(a)の構成との相違点は、メモリ321に患者ID情報321aを格納するのではなく、それを秘匿化した秘匿化患者ID情報321baを記憶領域321bに格納し、その秘匿化に用いた鍵ID情報321aaを記憶領域321aに格納する。その他は、図10(a)の構成と同様である。なお、これらの情報のメモリ321への格納は、前処理によって行われる。また、無線タグ装置110の場合と同様、秘匿化患者ID情報321baの秘匿化に用いた暗号鍵と、それに対応する鍵ID情報及び復号鍵は、セキュリティサーバ装置140の鍵テーブル144baに格納される。
次に、第3の実施の形態の変形例について説明する。この変形例では、患者1に取り付けられる無線タグ装置320に秘匿化患者ID情報を格納するものである。以下、第3の実施の形態との相違点を中心に説明する。
<構成>
無線タグ装置320以外の構成は、第3の実施の形態と同じである。以下では、本変形例の無線タグ装置320の構成のみを説明する。
図10(b)は、第3の実施の形態の変形例における無線タグ装置320の構成を例示したブロック図である。前述した図10(a)の構成との相違点は、メモリ321に患者ID情報321aを格納するのではなく、それを秘匿化した秘匿化患者ID情報321baを記憶領域321bに格納し、その秘匿化に用いた鍵ID情報321aaを記憶領域321aに格納する。その他は、図10(a)の構成と同様である。なお、これらの情報のメモリ321への格納は、前処理によって行われる。また、無線タグ装置110の場合と同様、秘匿化患者ID情報321baの秘匿化に用いた暗号鍵と、それに対応する鍵ID情報及び復号鍵は、セキュリティサーバ装置140の鍵テーブル144baに格納される。
<処理>
次に、本形態の投薬処理を説明する。図16,17は、投薬時における本変形例の情報管理システムの処理を説明するためのシーケンス図である。なお、看護師3が薬棚5から取り出した各診断治療剤4をワゴン等に載せ、医療指示が示す患者のいるベッドまで持っていくところまでは、第1の実施の形態と同じであるため説明を省略する。以下、投薬時における本変形例の情報管理システムの処理を説明する。
次に、本形態の投薬処理を説明する。図16,17は、投薬時における本変形例の情報管理システムの処理を説明するためのシーケンス図である。なお、看護師3が薬棚5から取り出した各診断治療剤4をワゴン等に載せ、医療指示が示す患者のいるベッドまで持っていくところまでは、第1の実施の形態と同じであるため説明を省略する。以下、投薬時における本変形例の情報管理システムの処理を説明する。
まず、看護師3は、投薬に用いる診断治療剤4及び投薬を行う患者1にそれぞれ取り付けられた無線タグ装置110,320の近傍にタグリーダライタ装置131を配置した状態で読取端末装置330を操作し、読取端末装置330に読み取り指示を与える。これに対し、読取端末装置330は、制御プログラム135aが読み込まれたCPU133の制御のもと、タグリーダライタ装置331がID読取要求を出力する(ステップS61)。このID読取要求は、無線タグ装置110(投薬に用いる診断治療剤4の容器に取り付けられた無線タグ装置)のインタフェース112、及び、無線タグ装置320(投薬を行おうとする患者1に取り付けられた無線タグ装置)のインタフェース322で受信される。ID読取要求を受信したことを検知した無線タグ装置110の制御部113は、メモリ111の記憶領域111a,111bにそれぞれ格納されている鍵ID情報111a及び秘匿化診断治療剤ID情報111baを読み出し、これらをインタフェース122から送信させる(ステップS62)。また、ID読取要求を受信したことを検知した無線タグ装置320の制御部323は、メモリ321に格納されている鍵ID情報321aa及び秘匿化患者ID情報321baを読み出し、これらをインタフェース322から送信させる(ステップS63)。これらの鍵ID情報111a及び秘匿化診断治療剤ID情報111baと、鍵ID情報321aa及び秘匿化患者ID情報321baとは、読取端末装置330のタグリーダライタ装置131で受信されRAM135に格納される。その後、第1の実施の形態と同様に、患者の取り違え等の医療過誤を防ぐため、好ましくは、投薬直前にも秘匿化診断治療剤ID情報と患者ID情報とを医療指示と照合する。
そして、投薬等の医療行為が終了した後、医療行為の履歴を記録するため、看護師3は読取端末装置330を操作し、医療行為の履歴のデータベース登録を行う旨の指示を与える。これに対し、暗号化プログラム335eが読み込まれたCPU133は、RAM335から、鍵ID情報111a及び秘匿化診断治療剤ID情報111baと、鍵ID情報321aa及び秘匿化患者ID情報321baとを読み込み、これらを関連付けた処理履歴情報を生成する。なお、これらの情報に当該投薬行為に関連する情報(例えば、内部時計138から読み込んだ投薬日時やRAM135に格納しておいた担当看護師3の氏名等)を関連付けたものを処理履歴情報としてもよい。生成された処理履歴情報は、読取端末装置330の通信部137から、データベース装置350,450宛にネットワーク170を通じて送信される(ステップS64)。
データベース装置350に送信された処理履歴情報は、通信部355で受信され、RAM352に格納される。次に、制御プログラム354bbが読み込まれたCPU351は、RAM352から、処理履歴情報を構成する鍵ID情報321aa及び秘匿化患者ID情報321baを読み込み、これらを通信部355からネットワーク170を介し、セキュリティサーバ装置140宛に送信し、秘匿化患者ID情報321baの復号を要求する(ステップS65)。
この要求情報は、セキュリティサーバ装置140(図4)の通信部145で受信され、RAM142に格納される。次に、ID情報復元プログラム144bcが読み込まれたCPU141は、RAM142から鍵ID情報321aaを読み込み、これを用い、外部記憶装置144の記憶部144bに格納された鍵テーブル144baを検索し、鍵ID情報135cに対応する復号鍵を読み出す。次に、このCPU141は、RAM142から読み出した秘匿化患者ID情報321baをこの復号鍵を用いて復号し、患者ID情報を得る(ステップS66)。得られた患者ID情報は、通信部145から読取端末装置330宛にネットワーク170を通じて送信される(ステップS67)。
この患者ID情報は、データベース装置350の通信部355で受信され、RAM352に格納される。そして、制御プログラム354bbが読み込まれたCPU351は、このRAM352に格納された患者ID情報と、処理履歴情報を構成する秘匿化診断治療剤ID情報等とを関連付けたものを治療履歴DB354baの1レコードとして、外部記憶装置354の記憶部354bに格納する(ステップS68)。
また、処理履歴情報が送信されたデータベース装置450は、第3の実施の形態のステップS48からS51と同様な処理により、診断治療ID情報と、処理履歴情報を構成する秘匿化患者ID情報等とを関連付けたものを治療履歴DB454baの1レコードとして、外部記憶装置454の記憶部454bに格納する(ステップS69からS72)。
また、処理履歴情報が送信されたデータベース装置450は、第3の実施の形態のステップS48からS51と同様な処理により、診断治療ID情報と、処理履歴情報を構成する秘匿化患者ID情報等とを関連付けたものを治療履歴DB454baの1レコードとして、外部記憶装置454の記憶部454bに格納する(ステップS69からS72)。
その後、本形態でも第1の実施の形態のステップS9からS12と同じ処理が行われ(ステップS73からS75)、無線タグ装置110のメモリ111内の秘匿化診断治療剤ID情報が更新される。さらに、ステップS9からS12と同様な処理により、秘匿化患者ID情報の再秘匿化も行われ、再秘匿化された秘匿化患者ID情報と、それに対応する鍵ID情報とが、無線タグ装置320のメモリ321の記憶領域321b,321aにそれぞれ上書きされる(ステップS76)。
このように、無線タグ装置320に格納される秘匿化患者ID情報をも再秘匿化することにより、ホットリスト攻撃に対する耐性がより向上する。また、本変形例では、更新される秘匿化診断治療剤ID情報や秘匿化患者ID情報をそのままデータベース装置350,450に構築される治療履歴DB354a,454aの要素として用いた。ここで、復号鍵を知らない第三者は、更新前後の秘匿化診断治療剤ID情報や秘匿化患者ID情報の関係を見出すことが困難である。そのため、治療履歴DB354a,454aの情報が外部に漏洩したとしても、秘匿化診断治療剤ID情報や秘匿化患者ID情報の復号鍵を知らない第三者は、治療履歴DB354a,454aの情報から、同一の患者ID情報に対応する複数のレコードの関連性や、同一の診断治療剤ID情報に対応する複数のレコードの関連性を見出すことはできない。これにより、プライバシの漏洩を防止できる。その他、第3の実施の形態と同様な効果も得られる。
〔変形例等〕
なお、本発明は上述の実施の形態に限定されるものではない。
例えば、上述の各実施の形態では、再暗号化によって秘匿化診断治療剤ID情報や秘匿化患者ID情報の再秘匿化を行った。しかし、無線タグ装置から秘匿化診断治療剤ID情報や秘匿化患者ID情報が出力されるたびに、ハッシュ・チェイン(Hash-Chain)方式によって秘匿化診断治療剤ID情報や秘匿化患者ID情報の秘匿化や再秘匿化を行ってもよい。ハッシュ・チェイン方式の場合には、無線タグ装置から秘匿化診断治療剤ID情報(或いは秘匿化患者ID情報)が出力されるたびに、各無線タグ装置によって秘匿化診断治療剤ID情報(或いは秘匿化患者ID情報)が更新される。なお、ハッシュ・チェイン方式については、例えば、M. Ohkubo et al., "Cryptographic Approach to a Privacy Friendly Tag," RFID Privacy Workshop@MIT, http://www.rfidprivacy.org/papers/ohokubo.pdf, 2003等に詳しい。
なお、本発明は上述の実施の形態に限定されるものではない。
例えば、上述の各実施の形態では、再暗号化によって秘匿化診断治療剤ID情報や秘匿化患者ID情報の再秘匿化を行った。しかし、無線タグ装置から秘匿化診断治療剤ID情報や秘匿化患者ID情報が出力されるたびに、ハッシュ・チェイン(Hash-Chain)方式によって秘匿化診断治療剤ID情報や秘匿化患者ID情報の秘匿化や再秘匿化を行ってもよい。ハッシュ・チェイン方式の場合には、無線タグ装置から秘匿化診断治療剤ID情報(或いは秘匿化患者ID情報)が出力されるたびに、各無線タグ装置によって秘匿化診断治療剤ID情報(或いは秘匿化患者ID情報)が更新される。なお、ハッシュ・チェイン方式については、例えば、M. Ohkubo et al., "Cryptographic Approach to a Privacy Friendly Tag," RFID Privacy Workshop@MIT, http://www.rfidprivacy.org/papers/ohokubo.pdf, 2003等に詳しい。
また、暗号化やハッシュ・チェイン方式以外の方法によって各IDの秘匿化・再秘匿化を行ってもよい。例えば、診断治療剤ID情報や患者ID情報に対応付けた乱数を秘匿化診断治療剤ID情報や秘匿化患者ID情報とし、その対応関係を変更することで再秘匿化を行う構成であってもよい。
各実施の形態では、「異なる管理対象が相互に関連する処理」の一例として「ある患者にある診断治療剤を投薬する医療行為」に対し、本発明を適用することとしたが、異なる管理対象が相互に関連する処理の履歴を管理する用途であれば、どのような用途に本発明を適用してもよい。また、第1管理対象と第2管理対象とは、「人」と「物」、「人」と「人」、「物」と「人」、「物」と「物」のいずれの組合せであってもよい。また、「識別装置」としては、無線タグ装置やバーコード提示部の他、ICカード、携帯電話、磁気カード等を利用することも可能である。
また、再秘匿化を行うタイミングや処理の順序等、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。その他、上述した各実施の形態や変形例を適宜組み合わせてシステムを構成してもよい。
また、再秘匿化を行うタイミングや処理の順序等、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。その他、上述した各実施の形態や変形例を適宜組み合わせてシステムを構成してもよい。
また、読取端末装置、セキュリティサーバ装置、データベース装置の処理内容を記述したプログラムは、それぞれ、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよいが、具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
本発明の利用分野としては、上述のような医療分野での医療管理システムへの適用の他、例えば、製造工程における半製品の管理や、レンタルビデオの管理システム等を例示できる。
100,300 情報管理システム
Claims (6)
- 異なる管理対象が相互に関連する処理の履歴を管理する情報管理システムであって、
第1管理対象を識別するための第1ID情報を秘匿化した第1秘匿化ID情報を格納する第1秘匿化IDメモリと、当該第1秘匿化ID情報を無線送信する第1送信部とを具備し、当該第1管理対象に取り付けられる第1識別装置と、
第2管理対象を識別するための第2ID情報、又は、当該第2ID情報を秘匿化した第2秘匿化ID情報を出力可能であり、当該第2管理対象に取り付けられる第2識別装置と、
上記第1識別装置から無線送信された上記第1秘匿化ID情報を受信する読取受信部と、上記第2識別装置から出力された上記第2ID情報又は上記第2秘匿化ID情報が入力される読取入力部と、上記第1秘匿化ID情報又は当該第1秘匿化ID情報に対応する第1ID情報と、上記第2ID情報又は上記第2秘匿化ID情報とを関連付けた処理履歴情報を送信する読取情報送信部と、を具備する読取端末装置と、
上記処理履歴情報に対応する、上記第1秘匿化ID情報又は上記第1ID情報と、上記第2ID情報又は上記第2秘匿化ID情報と、を関連付けて格納する第1データベース装置と、を有し、
上記第1秘匿化IDメモリに格納された上記第1秘匿化ID情報は、
任意の設定条件によって定まる契機で、当該第1秘匿化ID情報との関連性を見出すことが困難な他の第1秘匿化ID情報に更新される、
ことを特徴とする情報管理システム。 - 請求項1に記載の情報管理システムであって、
上記第2識別装置は、
上記第2秘匿化ID情報を格納する第2秘匿化IDメモリと、当該第2秘匿化ID情報を無線送信する第2送信部とを具備し、
上記読取入力部は、
上記第2識別装置から無線送信された上記第2秘匿化ID情報を受信し、
上記第2秘匿化IDメモリに格納された上記第2秘匿化ID情報は、
任意の設定条件によって定まる契機で、当該第2秘匿化ID情報との関連性を見出すことが困難な他の第2秘匿化ID情報に更新される、
ことを特徴とする情報管理システム。 - 請求項1又は2に記載の情報管理システムであって、
上記第1データベース装置は、
上記処理履歴情報に対応する上記第1ID情報と上記第2秘匿化ID情報とを関連付けて格納して、上記第1ID情報を検索キーとしたデータベースを構築するか、或いは、上記処理履歴情報に対応する上記第1秘匿化ID情報と上記第2ID情報とを関連付けて格納して、上記第2ID情報を検索キーとしたデータベースを構築する、
ことを特徴とする情報管理システム。 - 請求項3に記載の情報管理システムであって、
上記第1データベース装置が上記第1ID情報を検索キーとしたデータベースを構築する場合、上記処理履歴情報に対応する上記第1秘匿化ID情報と上記第2ID情報とを関連付けて格納して、上記第2ID情報を検索キーとしたデータベースを構築し、上記第1データベース装置が上記第2ID情報を検索キーとしたデータベースを構築する場合、上記処理履歴情報に対応する上記第1ID情報と上記第2秘匿化ID情報とを関連付けて格納して、上記第1ID情報を検索キーとしたデータベースを構築する、第2データベース装置をさらに有する、
ことを特徴とする情報管理システム。 - 異なる管理対象が相互に関連する処理の履歴を管理する情報管理方法であって、
第1管理対象を識別するための第1ID情報を秘匿化した第1秘匿化ID情報が格納された第1秘匿化IDメモリを具備する第1識別装置を、当該第1管理対象に取り付けておき、
第2管理対象を識別するための第2ID情報、又は、当該第2ID情報を秘匿化した第2秘匿化ID情報を出力可能な第2識別装置を、当該第2管理対象に取り付けておき、
上記第1秘匿化IDメモリに格納された上記第1秘匿化ID情報は、任意の設定条件によって定まる契機で、当該第1秘匿化ID情報との関連性を見出すことが困難な他の第1秘匿化ID情報に更新され、
上記第1管理対象と上記第2管理対象とが相互に関連する処理が行われた際、
(a)読取端末装置の読取受信部が、上記第1識別装置の第1送信部から無線送信された上記第1秘匿化ID情報を受信する過程と、
(b)上記読取端末装置の読取入力部が、上記第2識別装置から出力された上記第2ID情報又は上記第2秘匿化ID情報の入力を受け付ける過程と、
(c)上記読取端末装置の読取情報送信部が、上記第1秘匿化ID情報又は当該第1秘匿化ID情報に対応する第1ID情報と、上記第2ID情報又は上記第2秘匿化ID情報とを関連付けた処理履歴情報を送信する過程と、
(d)上記処理履歴情報に対応する、上記第1秘匿化ID情報又は上記第1ID情報と、上記第2ID情報又は上記第2秘匿化ID情報とを第1データベース装置に関連付けて格納する過程と、を実行する、
ことを特徴とする情報管理方法。 - 異なる管理対象が相互に関連する処理の履歴を格納するデータベースのデータ構造であって、
第1管理対象及び第2管理対象の双方に関連する処理の履歴を示す情報を1レコードとし、当該第1管理対象を識別するための第1ID情報を秘匿化した第1秘匿化ID情報と、当該第2管理対象を識別するための第2ID情報とを関連付け、当該第2ID情報を検索キーとして設定したデータベースのデータ構造。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006141301A JP4773878B2 (ja) | 2006-05-22 | 2006-05-22 | 情報管理システム及び情報管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006141301A JP4773878B2 (ja) | 2006-05-22 | 2006-05-22 | 情報管理システム及び情報管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007310779A true JP2007310779A (ja) | 2007-11-29 |
| JP4773878B2 JP4773878B2 (ja) | 2011-09-14 |
Family
ID=38843552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006141301A Expired - Fee Related JP4773878B2 (ja) | 2006-05-22 | 2006-05-22 | 情報管理システム及び情報管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4773878B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015162014A (ja) * | 2014-02-26 | 2015-09-07 | 東芝テック株式会社 | 薬剤登録装置およびプログラム |
| JPWO2018207868A1 (ja) * | 2017-05-12 | 2020-03-12 | 株式会社湯山製作所 | 薬剤払出装置、薬剤払出装置の制御プログラム、および制御プログラムを記録した記録媒体 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004246887A (ja) * | 2003-01-24 | 2004-09-02 | Sougoushouken Inc | 商品識別システム |
| JP2006048259A (ja) * | 2004-08-03 | 2006-02-16 | Olympus Corp | 病院情報システム及びプログラム |
| JP2006119732A (ja) * | 2004-10-19 | 2006-05-11 | Nippon Telegr & Teleph Corp <Ntt> | 貸出管理システム及び貸出管理プログラム |
| JP2006126930A (ja) * | 2004-10-26 | 2006-05-18 | I'llb Solutions Co Ltd | 投薬状況監視システム及び情報処理装置 |
-
2006
- 2006-05-22 JP JP2006141301A patent/JP4773878B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004246887A (ja) * | 2003-01-24 | 2004-09-02 | Sougoushouken Inc | 商品識別システム |
| JP2006048259A (ja) * | 2004-08-03 | 2006-02-16 | Olympus Corp | 病院情報システム及びプログラム |
| JP2006119732A (ja) * | 2004-10-19 | 2006-05-11 | Nippon Telegr & Teleph Corp <Ntt> | 貸出管理システム及び貸出管理プログラム |
| JP2006126930A (ja) * | 2004-10-26 | 2006-05-18 | I'llb Solutions Co Ltd | 投薬状況監視システム及び情報処理装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015162014A (ja) * | 2014-02-26 | 2015-09-07 | 東芝テック株式会社 | 薬剤登録装置およびプログラム |
| JPWO2018207868A1 (ja) * | 2017-05-12 | 2020-03-12 | 株式会社湯山製作所 | 薬剤払出装置、薬剤払出装置の制御プログラム、および制御プログラムを記録した記録媒体 |
| JP7358686B2 (ja) | 2017-05-12 | 2023-10-11 | 株式会社湯山製作所 | 薬剤払出装置、薬剤払出装置の制御プログラム、および制御プログラムを記録した記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4773878B2 (ja) | 2011-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10949558B2 (en) | Secure access to healthcare information | |
| JP4747749B2 (ja) | ドキュメント管理システムおよび情報処理装置 | |
| JP4896054B2 (ja) | 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム | |
| Gonçalves et al. | Security architecture for mobile e-health applications in medication control | |
| US20070180259A1 (en) | Secure Personal Medical Process | |
| JPWO2004025530A1 (ja) | 医療情報管理システム | |
| US20210005296A1 (en) | System and method for determining best practices for third parties accessing a health care network | |
| Özcanhan et al. | Cryptographically supported NFC tags in medication for better inpatient safety | |
| JPH09282393A (ja) | 保健医療カードとオンラインデータベースの連携方法 | |
| JPH10111897A (ja) | 診療情報共有化方法 | |
| JP2003091456A (ja) | データ破壊や不正閲覧防止策を施された個人的電子健康ファイルシステム | |
| KR20200134744A (ko) | 환자에 대한 진료정보 액세스 방법 및 시스템 | |
| JP4773878B2 (ja) | 情報管理システム及び情報管理方法 | |
| JP2002032473A (ja) | 医療情報処理システムおよび医療情報処理プログラム記憶媒体 | |
| AU2015346644A1 (en) | System and method for securely storing and sharing information | |
| TWM569002U (zh) | Medical record sharing system | |
| EP4035095A1 (en) | Utilizing a user's health data stored over a health care network for disease prevention | |
| WO2021067141A1 (en) | System and method for providing access of a user's health information to third parties | |
| JP2003005645A (ja) | 暗号方法、暗号システム、暗号化装置、復号化装置及びコンピュータプログラム | |
| JP2007179500A (ja) | 匿名化識別情報生成システム、及び、プログラム。 | |
| JP2000293603A (ja) | 地域医療情報システム及び電子患者カード | |
| US20210005302A1 (en) | System and method for managing off-label drug use within a health care network | |
| Abdulsalam et al. | Enhanced tiny encryption algorithm for secure electronic health authentication system | |
| US7853581B2 (en) | Data processing system for the processing of object data | |
| JP2003242263A (ja) | 半導体記録媒体を用いた医療情報管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080804 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110214 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110222 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110422 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110614 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110624 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140701 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |