JP2009271943A - 監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラム - Google Patents
監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラム Download PDFInfo
- Publication number
- JP2009271943A JP2009271943A JP2009189875A JP2009189875A JP2009271943A JP 2009271943 A JP2009271943 A JP 2009271943A JP 2009189875 A JP2009189875 A JP 2009189875A JP 2009189875 A JP2009189875 A JP 2009189875A JP 2009271943 A JP2009271943 A JP 2009271943A
- Authority
- JP
- Japan
- Prior art keywords
- access
- audit trail
- recording
- predetermined
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Medical Treatment And Welfare Office Work (AREA)
Abstract
【課題】 監査証跡のデータ量を抑制することができる監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラムを提供する。
【解決手段】 所定情報へのアクセスがあった場合に、そのアクセス者が所定の者であるか否かを判断するステップと、アクセス者が前記所定の者である場合を除き、そのアクセス履歴を所定の形式で記録するステップと、を備える。これにより、例えば、不正なアクセスを構成し得ないアクセス者のアクセス履歴のデータ量をゼロ、あるいは小さなものとすることができるため、アクセス履歴全体としてのデータ量を効果的に抑制することができる。
【選択図】図1
【解決手段】 所定情報へのアクセスがあった場合に、そのアクセス者が所定の者であるか否かを判断するステップと、アクセス者が前記所定の者である場合を除き、そのアクセス履歴を所定の形式で記録するステップと、を備える。これにより、例えば、不正なアクセスを構成し得ないアクセス者のアクセス履歴のデータ量をゼロ、あるいは小さなものとすることができるため、アクセス履歴全体としてのデータ量を効果的に抑制することができる。
【選択図】図1
Description
本発明は、個人情報等へのアクセス履歴を記録する監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラムに関し、とくに監査証跡のデータ量を抑制できる監査証跡の記録方法等に関する。
近年、個人情報保護の機運が高まっており、例えば、医療機関においては、患者の個人情報に対するアクセス履歴としての監査証跡を記録する医療情報システムが導入されてきている。このようなシステムでは、何時、誰が、どのような目的(更新、参照、削除等)で患者の個人情報にアクセスしたかをデータとして記録している。このようなアクセス履歴を記録に残すことで、個人情報に対する不正なアクセスを容易に発見できるとともに、アクセス履歴を記録している事実を予め知らせておくことで、不正なアクセスを効果的に抑止することが可能となる。図5はこのような従来の医療情報システムにおけるアクセス履歴の記録手順を示すフローチャートである。個人情報へのアクセスがあった場合(ステップS21;Yes)には、個人情報の更新(ステップS22;Yes)、参照(ステップS24;Yes)、削除(ステップS25;Yes)のそれぞれの場合について、アクセス履歴を記録している(ステップS23、ステップS26、ステップS29)。
しかし、このようなシステムでは後での検索表示に必要な長期間のデータを保存する必要があるため、記録すべきデータ量が膨大なものとなり、システムが高価になるという問題がある。
例えば、所望の個人情報を検索するときは、まず、候補となる複数の個人情報を検索して一覧表示させ、その中から所望の個人情報を選択する操作が必要となる。そのため、所望する個人情報を1度だけ参照したい場合であっても、この所望の個人情報に複数回アクセスする結果となる。また、例えば、検査情報の一種である画像に基づき診断を行うに際して、同一患者の過去の画像との比較が必要な場合には、今回の画像および過去の画像に対して多数回にわたりアクセスすることになる。したがって、アクセスの度に一定の形式でデータを記録する従来のシステムでは、保存の対象となるデータ量が膨大なものとなる。
また、監査証跡を記録するのは、保存されている監査証跡を調べることで、不正の可能性のあるアクセスを見つけ出すためである。つまり、監査証跡の中から、正当な理由で患者の個人情報を取得する等の目的以外でのアクセスを発見することが、監査証跡を記録する目的である。したがって、該当する診療科の主治医が担当患者の個人情報を何度参照していたとしても、このアクセス記録は不正の可能性を示す情報にはなり得ない。つまり、このような記録を残しても監査証跡としての意味がない。
本発明の目的は、監査証跡のデータ量を抑制することができる監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラムを提供することにある。
本発明の監査証跡の記録方法等は、情報へのアクセス履歴を記録する監査証跡の記録方法において、所定情報へのアクセスがあった場合に、同一のアクセス者による前記所定情報に対する前回のアクセスから今回のアクセスまでの時間を算出するステップと、算出された前記時間に応じて、異なる形式で今回のアクセス履歴を記録するステップと、を備えることを特徴とする。
この監査証跡の記録方法等によれば、所定情報に同一のアクセス者からアクセスがあった場合には、前回のアクセスから今回のアクセスまでの時間に応じて、異なる形式で今回のアクセス履歴を記録する。このため、例えば、前回のアクセスから今回のアクセスまでの時間が短い場合には、データ量がより小さくなる形式で今回のアクセス履歴を記録することにより、同一人が同一情報に対し繰り返しアクセスした場合などに記録されるアクセス履歴のデータ量を小さくすることができる。
算出された前記時間が所定時間よりも短い場合には、データ量がより小さくなる形式で今回のアクセス履歴を記録してもよい。
この場合には、前回のアクセスから今回のアクセスまでの時間が所定時間よりも短い場合には、データ量がより小さくなる形式で今回のアクセス履歴が記録される。このため、同一人が同一情報に対し繰り返しアクセスした場合に記録されるアクセス履歴のデータを効果的に抑制できる。
この場合には、前回のアクセスから今回のアクセスまでの時間が所定時間よりも短い場合には、データ量がより小さくなる形式で今回のアクセス履歴が記録される。このため、同一人が同一情報に対し繰り返しアクセスした場合に記録されるアクセス履歴のデータを効果的に抑制できる。
算出された前記時間が所定時間よりも短い場合には、前記所定情報へのアクセス回数を更新記録してもよい。
この場合には、前回のアクセスから今回のアクセスまでの時間が所定時間よりも短い場合には、所定情報へのアクセス回数を更新記録することで、今回のアクセス履歴としている。したがって、今回のアクセスに際しては、前回のアクセス時に記録されたアクセス回数をインクリメントするだけでよいため、アクセス履歴のデータ量を増加させずに済む。このため、同一人が同一情報に対し繰り返しアクセスした場合に記録されるアクセス履歴のデータ量を効果的に抑制できる。
この場合には、前回のアクセスから今回のアクセスまでの時間が所定時間よりも短い場合には、所定情報へのアクセス回数を更新記録することで、今回のアクセス履歴としている。したがって、今回のアクセスに際しては、前回のアクセス時に記録されたアクセス回数をインクリメントするだけでよいため、アクセス履歴のデータ量を増加させずに済む。このため、同一人が同一情報に対し繰り返しアクセスした場合に記録されるアクセス履歴のデータ量を効果的に抑制できる。
本発明の監査証跡の記録方法等は、情報へのアクセス履歴を記録する監査証跡の記録方法において、所定情報へのアクセスがあった場合に、同一のアクセス者による前記所定情報に対する前回のアクセスの有無を判断するステップと、前記判断に応じて、異なる形式で今回のアクセス履歴を記録するステップと、を備えることを特徴とする。
この監査証跡の記録方法等によれば、所定情報に同一のアクセス者からアクセスがあった場合には、そのようなアクセスがなかった場合とは異なる形式で今回のアクセス履歴を記録する。このため、例えば、そのようなアクセスがあった場合には、データ量がより小さくなる形式で今回のアクセス履歴を記録することにより、同一人が同一情報に対し複数回アクセスした場合に記録されるアクセス履歴のデータ量を小さくすることができる。
この監査証跡の記録方法等によれば、所定情報に同一のアクセス者からアクセスがあった場合には、そのようなアクセスがなかった場合とは異なる形式で今回のアクセス履歴を記録する。このため、例えば、そのようなアクセスがあった場合には、データ量がより小さくなる形式で今回のアクセス履歴を記録することにより、同一人が同一情報に対し複数回アクセスした場合に記録されるアクセス履歴のデータ量を小さくすることができる。
前回のアクセスがあると判断された場合には、データ量がより小さくなる形式で今回のアクセス履歴を記録してもよい。
この場合には、同一のアクセス者による所定情報に対する前回のアクセスがある場合には、データ量がより小さくなる形式で今回のアクセス履歴が記録される。このため、同一人が同一情報に対し複数回アクセスした場合に記録されるアクセス履歴のデータを効果的に抑制できる。
この場合には、同一のアクセス者による所定情報に対する前回のアクセスがある場合には、データ量がより小さくなる形式で今回のアクセス履歴が記録される。このため、同一人が同一情報に対し複数回アクセスした場合に記録されるアクセス履歴のデータを効果的に抑制できる。
前回のアクセスがあると判断された場合には、前記所定情報へのアクセス回数を更新記録してもよい。
この場合には、同一のアクセス者による所定情報に対する前回のアクセスがある場合には、所定情報へのアクセス回数を更新記録することで、今回のアクセス履歴としている。したがって、今回のアクセスに際しては、前回のアクセス時に記録されたアクセス回数をインクリメントするだけでよいため、アクセス履歴のデータ量を増加させずに済む。このため、同一人が同一情報に対し繰り返しアクセスした場合に記録されるアクセス履歴のデータ量を効果的に抑制できる。
この場合には、同一のアクセス者による所定情報に対する前回のアクセスがある場合には、所定情報へのアクセス回数を更新記録することで、今回のアクセス履歴としている。したがって、今回のアクセスに際しては、前回のアクセス時に記録されたアクセス回数をインクリメントするだけでよいため、アクセス履歴のデータ量を増加させずに済む。このため、同一人が同一情報に対し繰り返しアクセスした場合に記録されるアクセス履歴のデータ量を効果的に抑制できる。
本発明の監査証跡の記録方法等は、情報へのアクセス履歴を記録する監査証跡の記録方法において、所定情報へのアクセスがあった場合に、そのアクセス者が所定の者であるか否かを判断するステップと、アクセス者が前記所定の者である場合を除き、そのアクセス履歴を所定の形式で記録するステップと、を備えることを特徴とする。
この監査証跡の記録方法等によれば、アクセス者が所定の者でない場合には、そのアクセス履歴を所定の形式で記録する。一方、アクセス者が所定の者である場合には、そのアクセス履歴の記録を省略し、または、データ量のより小さな形式でアクセス履歴を記録することができる。このため、例えば、不正なアクセスを構成し得ないアクセス者のアクセス履歴のデータ量をゼロ、あるいは小さなものとすることができるため、アクセス履歴全体としてのデータ量を効果的に抑制できる。
この監査証跡の記録方法等によれば、アクセス者が所定の者でない場合には、そのアクセス履歴を所定の形式で記録する。一方、アクセス者が所定の者である場合には、そのアクセス履歴の記録を省略し、または、データ量のより小さな形式でアクセス履歴を記録することができる。このため、例えば、不正なアクセスを構成し得ないアクセス者のアクセス履歴のデータ量をゼロ、あるいは小さなものとすることができるため、アクセス履歴全体としてのデータ量を効果的に抑制できる。
本発明の監査証跡の記録方法は、情報へのアクセス履歴を記録する監査証跡の記録方法において、所定権限を有する者による、所定情報に対するアクセス履歴の記録/非記録の指示を受け付けるステップと、前記所定情報へのアクセスがあった場合に、前記指示の内容を判断するステップと、前記所定情報に対するアクセス履歴の非記録が指示されていると判断される場合を除き、そのアクセス履歴を所定の形式で記録するステップと、を備えることを特徴とする。
この監査証跡の記録方法等によれば、所定権限を有する者による、所定情報に対するアクセス履歴の記録/非記録の指示を受け付けるので、例えば、アクセス履歴の記録が必要になった場合には、その時点で指示を「非記録」から「記録」に変更することで、以降のアクセスは所定の形式で記録されることになる。したがって、アクセス履歴の有無を状況に応じて変更することが可能となる。
この監査証跡の記録方法等によれば、所定権限を有する者による、所定情報に対するアクセス履歴の記録/非記録の指示を受け付けるので、例えば、アクセス履歴の記録が必要になった場合には、その時点で指示を「非記録」から「記録」に変更することで、以降のアクセスは所定の形式で記録されることになる。したがって、アクセス履歴の有無を状況に応じて変更することが可能となる。
本発明の監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラムによれば、状況に応じてアクセス履歴の記録形式あるいは記録の有無を変更することができるので、監査証跡のデータ量を効果的に抑制することができる。
以下、図1〜図3を参照して、本発明による監査証跡の記録方法の第1の実施形態について説明する。本実施形態は本発明を医療情報システムに適用した例を示すものである。
図1は本実施形態の監査証跡の記録方法を実行するための医療情報システムの構成を示すブロック図である。図1に示すように、この医療情報システムは、患者の個人情報を格納するサーバ1と、通信回線2を介してサーバ1に接続される複数の端末装置3とを備える。このシステムでは、端末装置3を使用することで、サーバ1に記録されている患者の個人情報にアクセスし、これを更新、参照し、あるいは削除することができるように構成されている。また、サーバ1は、何時、誰が、どのような目的(更新、参照、削除等)で患者の個人情報にアクセスしたかを監査証跡として記録する機能を有する。
サーバ1には、個人情報を格納する個人情報記憶部11と、監査証跡を記憶する監査証跡記憶部12と、現在時刻を取得するためのタイマー13と、サーバ1における各種処理を実行する制御部14と、アクセス者の認証を行う認証機能部15が設けられている。制御部14は通信回線2を介して端末装置3との間で必要な通信を行い、個人情報の新規作成、更新、参照、削除等の処理を実行する。また、制御部14は、端末装置3を介して患者の個人情報に対するアクセスがあった場合に、アクセス履歴を監査証跡として監査証跡記憶部12に記録する。なお、個人情報へのアクセスは、アクセス者に対する認証行為が完了した後に可能となる。
図2はサーバ1における監査証跡の記録処理を示すフローチャートである。この処理は所定のプログラムに基づく制御部14の制御により実行される。この処理では、まず、図2のステップS1において、患者の個人情報へのアクセスの有無を判断し、アクセスがあったと判断されるのを待ってステップS2へ進む。ステップS2では、個人情報が更新されたか否か判断し、判断が肯定されればステップS3へ進む。
ステップS3では、アクセス時刻、アクセス者名、更新の対象となった個人情報を特定する情報等をアクセス履歴として監査証跡記憶部12に追加記録する。
図3は、アクセス履歴の内容を示す監査証跡テーブルを例示する図である。図3に示す例では、アクセスの時刻を示す「アクセス時刻」、アクセス者を特定する「アクセス者名」、患者を特定する「患者ID」および「患者氏名」、実施された検査を特定する「検査ID」、アクセスの目的となった行為(更新、参照、削除のいずれか)を示す「行為」などのカラムが1つのレコードを構成している。ステップS3の処理では、このようなレコードを監査証跡テーブルに追加記録する。また、ステップS3の処理は、個人情報が更新された場合に対応しているので、「行為」のカラムには「更新」を示す情報が記録される。
なお、個人情報へのアクセスに際しては、アクセス者に対して個人IDおよびパスワードの入力を要求するなどの方法により個人認証を行っており、上記ステップS3では個人認証に際して入力された情報に基づいて「アクセス者名」を特定することができる。「アクセス時刻」はタイマー13により取得する。その他のカラムの情報も、アクセス時の入力情報あるいはアクセスの対象となった個人情報から取得される。
また、このテーブル内にある「回数」のカラムは、「参照」を目的としてアクセスした場合のアクセス回数を示すカラムとして使用されるものであり、「更新」の場合(ステップS3)には、このカラムへ「1」が記録される。「回数」のカラムの取り扱いについては、さらに後述する。アクセス履歴の記録処理(ステップS3)が終了した後、ステップS1へ戻る。
一方、ステップS2の判断が否定されればステップS4へ進み、個人情報が参照されたか否か判断し、判断が否定されればステップS5へ進む。ステップS5では、個人情報が削除されたか否か判断し、判断が肯定されればアクセス時刻、アクセス者名、更新の対象となった個人情報を特定する情報等をアクセス履歴として監査証跡記憶部12に記録する(ステップS6)。ステップS6では、ステップS3における処理と同様、「アクセス時刻」、「アクセス者名」、「患者ID」、「患者氏名」、「検査ID」、「行為」などの情報を1つのレコードとして、監査証跡テーブルに追加記録する。ステップS6の処理は、個人情報が削除された場合に対応しているので、「行為」のカラムには「削除」を示す情報が記録される。また、「回数」のカラムには「1」が記録される。アクセス履歴の記録処理(ステップS6)が終了した後、ステップS1へ戻る。
一方、ステップS4において判断が肯定された場合、すなわち、個人情報が参照されたと判断された場合には、ステップS7へ進む。
ステップS7では、特定の既レコードが監査証跡テーブルに記録されているか否か判断する。ここで、特定の既レコードとは、現在時刻から一定時間以内に、同一のアクセス者が同一の個人情報に対してアクセスしたことを示す直近のレコードである。すなわち、同一のアクセス者が同一の個人情報に対して過去にアクセスしており、かつ、この過去のアクセスのうち直近のアクセスから今回のアクセスまでの時間が一定時間内にある場合に、ステップS7の判断が肯定される。ここで、同一の個人情報と判断されるのは、図3に示すレコードの「アクセス者」、「患者ID」、「患者氏名」および「検査ID」のカラムの情報がすべて同一である場合である。また、直近のアクセスの時刻は、そのレコードの「アクセス時刻」により取得することができ、現在時刻と比較することで前回のアクセスから今回のアクセスまでの時間が算出される。さらに、算出された時間に基づいて今回のアクセスが前回のアクセスから一定時間内にされたか否かが判断される。
そして、ステップS7の判断が否定された場合には、アクセス時刻、アクセス者名、更新の対象となった個人情報を特定する情報等をアクセス履歴として監査証跡記憶部12に記録する(ステップS9)。ステップS9では、ステップS3における処理と同様、「アクセス時刻」、「アクセス者名」、「患者ID」、「患者氏名」、「検査ID」、「行為」などの情報を1つのレコードとして、監査証跡テーブルに追加記録する。ステップS9の処理は、個人情報が参照された場合に対応しているので、「行為」のカラムには「参照」を示す情報が記録される。また、「回数」のカラムには「1」が記録される。アクセス履歴の記録処理(ステップS9)が終了した後、ステップS1へ戻る。
一方、ステップS7の判断が肯定された場合には、ステップS8において、上記既レコードの「回数」カラムの値を1つインクリメントするとともに、アクセス時刻を更新する。そして、ステップS7の処理では、新たなレコードを追加記録しない。このため、監査証跡のデータ量を増加させることなく、既に記録済みのレコードの「回数」カラムの値のみが更新される。その後、ステップS8からステップS1へ戻る。
このように、本実施形態では、特定の既レコードが存在する場合、すなわち、現在時刻から一定時間以内に、同一のアクセス者が同一の個人情報に対して参照を目的としてアクセスしている場合には、新たなレコードを追加記録せず、既レコードの「回数」カラムの値をインクリメントしている。このため、例えば、所望の個人情報を検索するときや同一患者の複数の画像を比較するときのように、個人情報に連続して何度もアクセスするような場合には、2回目のアクセスからは既レコードの「回数」カラムの値が更新されるのみとなる。このため、監査証跡のデータ量をいたずらに増加させることがない。したがって、監査証跡のデータ量を抑制することでシステムを安価なものとすることができる。なお、通常、患者の個人情報へのアクセス数は、他の行為(更新、削除)を目的とする場合に比べて参照目的が多い。このため、本実施形態によれば記録されるレコード数を効果的に抑制できる。また、個人情報に変更が加えられる場合、すなわち、個人情報の更新および削除の場合には詳細なアクセス履歴が記録されることが望ましいため、本実施形態では、これらを目的とするアクセスに際しては、新たなレコードを追加記録している。
上記一定時間としては、とくに制限はないが、例えば、1分間〜1時間程度に設定することができる。システムの使用状況等に応じて、適宜、好ましい時間長に設定することができる。
以下、本発明による監査証跡の記録方法の第2の実施形態について説明する。
第2の実施形態の監査証跡の記録方法は、上記第1の実施形態におけるステップS7(図2)の判断内容を変更したものである。これにより、監査証跡のデータ量をさらに抑制することができる。
第2の実施形態の監査証跡の記録方法は、上記第1の実施形態におけるステップS7(図2)の判断内容を変更したものである。これにより、監査証跡のデータ量をさらに抑制することができる。
本実施形態では、第1の実施形態におけるステップS7(図2)の判断処理から、一定時間以内のアクセスか否かの判断を省略し、判断が肯定されるための条件が緩和されている。すなわち、ステップS7に対応する処理では、特定の既レコードが監査証跡テーブルに記録されているか否か判断する点は同じだが、本実施形態では、特定の既レコードとは、同一のアクセス者が同一の個人情報に対してアクセスしたことを示すレコードである。すなわち、同一のアクセス者が同一の個人情報に対して過去にアクセスしている場合には、前回のアクセスから経過した時間長に関係なく、ステップS7の判断が肯定される。このため、第1の実施形態よりも監査証跡のデータ量を抑制できる。また、ステップS8(図2)に対応する処理では、既レコードの「回数」カラムをインクリメントするのみで、アクセス時刻を更新しない。したがって、既レコードには最初のアクセスのアクセス時刻が残ることになる。
以下、本発明による監査証跡の記録方法の第3の実施形態について、図4を参照しつつ、第1の実施形態との相違点を中心に説明する。
本実施形態は、本発明を医療情報システムに適用したものであり、このシステムは図1に示す構成(第1の実施形態と同じ構成)を備えている。
図4はサーバ1における監査証跡の記録処理を示すフローチャートである。この処理は所定のプログラムに基づく制御部14の制御により実行される。この処理では、まず、図4のステップS11において、患者の個人情報へのアクセスの有無を判断し、アクセスがあったと判断されるのを待ってステップS12へ進む。ステップS12では、個人情報が更新されたか否か判断し、判断が肯定されればステップS13へ進む。
ステップS13では、アクセス時刻、アクセス者名、更新の対象となった個人情報を特定する情報等をアクセス履歴として監査証跡記憶部12に追加記録する。
アクセス履歴は、図3に示したものとほぼ同様の監査証跡テーブルの形式で記録される。この監査証跡テーブルは、アクセスの時刻を示す「アクセス時刻」、アクセス者を特定する「アクセス者名」、患者を特定する「患者ID」および「患者氏名」、実施された検査を特定する「検査ID」、アクセスの目的となった行為(更新、参照、削除のいずれか)を示す「行為」などのカラムが1つのレコードを構成している。ステップS13の処理では、このようなレコードを監査証跡テーブルに追加記録する。また、ステップS13の処理は、個人情報が更新された場合に対応しているので、「行為」のカラムには「更新」を示す情報が記録される。アクセス履歴の記録処理(ステップS13)が終了した後、ステップS11へ戻る。
一方、ステップS12の判断が否定されればステップS14へ進み、個人情報が参照されたか否か判断し、判断が否定されればステップS15へ進む。ステップS15では、個人情報が削除されたか否か判断し、判断が肯定されればアクセス時刻、アクセス者名、更新の対象となった個人情報を特定する情報等をアクセス履歴として監査証跡記憶部12に記録する(ステップS16)。ステップS16では、ステップS13における処理と同様、「アクセス時刻」、「アクセス者名」、「患者ID」、「患者氏名」、「検査ID」、「行為」などの情報を1つのレコードとして、監査証跡テーブルに追加記録する。ステップS16の処理は、個人情報が削除された場合に対応しているので、「行為」のカラムには「削除」を示す情報が記録される。アクセス履歴の記録処理(ステップS16)が終了した後、ステップS11へ戻る。
一方、ステップS14において判断が肯定された場合、すなわち、個人情報が参照されたと判断された場合には、ステップS17へ進む。
ステップS17では、参照の対象となる患者の個人情報から、その患者の主治医を示す情報を読み込み、現在のアクセス者が「主治医」と同一の者か否かを判断する。なお、現在のアクセス者を認識する方法はとくに限定されないが、例えば、個人情報へのアクセスに際してアクセス者に対して個人IDおよびパスワードの入力を要求するなどの方法により個人認証を行っている場合には、個人認証に際して入力された情報に基づいてアクセス者を認識することができる。
そして、ステップS17の判断が否定された場合には、アクセス時刻、アクセス者名、更新の対象となった個人情報を特定する情報等をアクセス履歴として監査証跡記憶部12に記録する(ステップS19)。ステップS19では、ステップS13における処理と同様、「アクセス時刻」、「アクセス者名」、「患者ID」、「患者氏名」、「検査ID」、「行為」などの情報を1つのレコードとして、監査証跡テーブルに追加記録する。ステップS19の処理は、個人情報が参照された場合に対応しているので、「行為」のカラムには「参照」を示す情報が記録される。アクセス履歴の記録処理(ステップS19)が終了した後、ステップS11へ戻る。
一方、ステップS17の判断が肯定された場合には、アクセス履歴の記録処理を実行することなく、ステップS11へ戻る。すなわち、ステップS17の判断が肯定される場合とは、個人情報への現在のアクセス者がその患者の主治医である場合である。そして、このようなアクセスを監査証跡として記録したとしても、この記録は不正の可能性を示す情報にはなり得ず監査証跡としての意味がない。このため、本実施形態では、患者を担当する主治医がその患者の個人情報に参照目的でアクセスした場合には、アクセス履歴の記録を省略することにより、監査証跡のデータ量を抑制している。
このように、本実施形態では、アクセス者が特定の者の場合、すなわち、不正なアクセスを構成し得ないと考えられる場合には、アクセス履歴の記録を省略することにより、監査証跡のデータがいたずらに増加することを防止している。このため、監査証跡のデータ量を抑制することでシステムを安価なものとすることができる。なお、通常、患者の個人情報へのアクセス数は、他の行為(更新、削除)を目的とする場合に比べて参照目的が多い。このため、本実施形態によれば記録されるレコード数を効果的に抑制できる。また、個人情報に変更が加えられる場合、すなわち、個人情報の更新および削除の場合には詳細なアクセス履歴が記録されることが望ましいため、本実施形態では、これらを目的とするアクセスに際しては、アクセス者が主治医であっても新たなレコードを追加記録している。
上記実施形態では、アクセス履歴が省略される場合として、アクセス者が主治医である場合を例示したが、システムの使用状況等に応じて、アクセス履歴を省略する条件を適宜、設定することができる。また、患者の主治医等の情報を個人情報に含ませず、別のテーブルとして記憶してもよい。
以下、本発明による監査証跡の記録方法の第4の実施形態について、第3の実施形態との相違点を中心に説明する。
本実施形態は、本発明を医療情報システムに適用したものであり、このシステムは図1に示す構成(第3の実施形態と同じ構成)を備えている。
第4の実施形態の監査証跡の記録方法は、上記第3の実施形態におけるステップS17(図4)の判断内容を変更したものである。これにより、読影医が読影のために個人情報を参照する際のアクセスについて監査証跡のデータ量を減らすことができる。
本実施形態では、図4のステップS17において、アクセス者が読影医であるか否か、および読影完了フラグがオンしているか否か、の2点について判断し、両者が肯定された場合には、アクセス履歴の記録処理を実行することなく、ステップS11へ戻る。
ステップS17のいずれかの判断が否定された場合には、アクセス時刻、アクセス者名、更新の対象となった個人情報を特定する情報等をアクセス履歴として監査証跡記憶部12に記録する(ステップS19)。
上記読影完了フラグは、例えば、患者の個人情報に含むことができ、このフラグをオン/オフする権限を有する読影医(アクセス者)によってのみフラグを書き換えることができる。読影完了フラグは読影が完了したときに、権限を有する読影医がオンする。このフラグの初期値はオフに設定されている。
通常、医療機関では、診療科の医師(主治医)が診察する際に、医用画像診断装置で撮影した画像で診断した方がより正確な診断ができると判断した場合、放射線科に画像の撮影を依頼する。医用画像診断装置で撮影した画像の画像データはその患者の個人情報として格納される。比較的大規模の病院等では、読影医が画像の分析を担当しており、格納された画像データを参照して読影レポートを作成し、画像データとは別の検査情報として個人情報に格納する。主治医は画像データや読影レポートを個人情報にアクセスして参照し、これに基づいて患者の診察を行うことができる。
読影の際は、1人の医師とは限らず、複数の読影医が画像を診る場合がある。この場合には、通常、読影が完了したか否かを判断する医者(例えば、ベテランの医師)がおり、画像データの分析が終了したと判断すれば、その画像データは読影完了したものとして取り扱われる。
上記実施形態では、読影完了の有無を判断する医師に上記権限を与えることにより、読影完了の場合には読影完了フラグをオフからオンに書き換える。そして、読影完了フラグがオフの間であって、アクセス者が読影医である場合には、参照のためのアクセス履歴の記録を省略している。すなわち、このようなアクセスを監査証跡として記録したとしても、この記録は不正の可能性を示す情報にはなり得ない。このため、本実施形態では、読影医が画像データの読影を目的として患者の個人情報に参照目的でアクセスした場合には、アクセス履歴の記録を省略することにより、監査証跡のデータ量を抑制している。
画像データは、主治医の他、複数の読影医によって何度も参照される場合があるため、個人情報への参照を目的とするアクセスごとに1つのレコードを作成した場合には、監査証跡のデータ量が著しく増大する。このため、本実施形態では、読影完了までの間に所定の読影医が対応する患者の個人情報に参照目的でアクセスした場合にはアクセス履歴の記録を省略することで、監査証跡のデータ量を抑制するようにしている。一方、読影完了の後は、基本的には画像データの読影を目的としたアクセスはないため、アクセス履歴を新たなレコードとして記録している。
読影完了フラグの書き換えは、所定の権限を有する者(特定の読影医)のみに与えられるが、権限の有無は、例えば端末装置3を介してシステムにアクセスした者の個人ID等に基づいて判断することができる。そして、アクセス者に権限があれば、読影完了フラグの書き換えを受け付け、権限がなければ読影完了フラグの書き換えを受け付けない。読影完了フラグの書き換えは端末装置3を介しての操作により実行することができる。
また、ステップS7におけるアクセス者が読影医であるか否かの判断も、アクセス者の個人ID等に基づいて行うことができる。ここでの判断は、読影完了フラグの書き換えを受け付ける条件とは異なり、例えば、医療機関に属するすべての読影医について、判断が肯定されるようにしてもよい。ステップS17における読影完了フラグがオンしているか否かの判断は、個人情報に含まれる読影完了フラグを読み込むことにより行うことができる。なお、読影完了フラグを患者の個人情報に含ませず、患者と対応付けた別のテーブルとして記憶してもよい。
上記各実施形態では、本発明を医療情報システムに適用した例を示したが、本発明は医療関連のみならず、監査証跡を記録するシステムに対し広く適用することができる。
3 端末装置(指示受付手段)
12 監査証跡記憶部(記録手段)
13 タイマー(時間算出手段)
14 制御部(時間算出手段、判断手段、指示受付手段)
12 監査証跡記憶部(記録手段)
13 タイマー(時間算出手段)
14 制御部(時間算出手段、判断手段、指示受付手段)
Claims (6)
- 情報へのアクセス履歴を記録する監査証跡の記録方法において、
所定情報へのアクセスがあった場合に、そのアクセス者が所定の者であるか否かを判断するステップと、
アクセス者が前記所定の者である場合を除き、そのアクセス履歴を所定の形式で記録するステップと、
を備えることを特徴とする監査証跡の記録方法。 - 所定権限を有する者による、所定情報に対するアクセス履歴の記録/非記録の指示を受け付けるステップを有し、
前記アクセス履歴を所定の形式で記録するステップは、前記所定情報へのアクセスがあった場合に、前記指示の内容を判断するステップと、前記所定情報に対するアクセス履歴の非記録が指示されていると判断される場合を除き、そのアクセス履歴を記録するステップとよりなることを特徴とする請求項1に記載の監査証跡の記録方法。 - 情報へのアクセス履歴を記録する監査証跡の記録装置において、
所定情報へのアクセスがあった場合に、そのアクセス者が所定の者であるか否かを判断する判断手段と、
アクセス者が前記所定の者である場合を除き、そのアクセス履歴を所定の形式で記録する記録手段と、
を備えることを特徴とする監査証跡の記録装置。 - 所定権限を有する者による、所定情報に対するアクセス履歴の記録/非記録の指示を受け付ける指示受付手段を有し、
前記判断手段は、前記所定情報へのアクセスがあった場合に、前記指示の内容を判断するとともに、
前記記録手段は、前記判断手段が前記所定情報に対するアクセス履歴の非記録が指示されていると判断した場合を除き、そのアクセス履歴を記録することを特徴とする請求項3に記載の監査証跡の記録装置。 - 情報へのアクセス履歴を記録する監査証跡の記録を実行するためのプログラムであって、
コンピュータに、
所定情報へのアクセスがあった場合に、そのアクセス者が所定の者であるか否かを判断するステップと、
アクセス者が前記所定の者である場合を除き、そのアクセス履歴を所定の形式で記録するステップと、
を実行させることを特徴とするプログラム。 - コンピュータに、
所定権限を有する者による、所定情報に対するアクセス履歴の記録/非記録の指示を受け付けるステップと、
前記アクセス者が所定の者であるか否かを判断するステップであって、前記所定情報へのアクセスがあった場合に、前記指示の内容を判断するステップと、
前記アクセス履歴を所定の形式で記録するステップであって、前記所定情報に対するアクセス履歴の非記録が指示されていると判断される場合を除き、そのアクセス履歴を記録するステップと、
を実行させることを特徴とする請求項5に記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009189875A JP2009271943A (ja) | 2009-08-19 | 2009-08-19 | 監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009189875A JP2009271943A (ja) | 2009-08-19 | 2009-08-19 | 監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004183195A Division JP4389164B2 (ja) | 2004-06-22 | 2004-06-22 | 監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009271943A true JP2009271943A (ja) | 2009-11-19 |
Family
ID=41438376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009189875A Pending JP2009271943A (ja) | 2009-08-19 | 2009-08-19 | 監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009271943A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013250873A (ja) * | 2012-06-01 | 2013-12-12 | Nippon Telegr & Teleph Corp <Ntt> | 情報流通システム、情報処理装置及び方法 |
| JP2014174635A (ja) * | 2013-03-06 | 2014-09-22 | Japan Medical Solutions Inc | 診療情報表示システム |
| JP2016189980A (ja) * | 2015-03-31 | 2016-11-10 | フクダ電子株式会社 | 生体情報のレポートサーバおよびその制御方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06187213A (ja) * | 1992-12-17 | 1994-07-08 | Fuji Xerox Co Ltd | ファイルアクセス履歴管理方式 |
-
2009
- 2009-08-19 JP JP2009189875A patent/JP2009271943A/ja active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06187213A (ja) * | 1992-12-17 | 1994-07-08 | Fuji Xerox Co Ltd | ファイルアクセス履歴管理方式 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013250873A (ja) * | 2012-06-01 | 2013-12-12 | Nippon Telegr & Teleph Corp <Ntt> | 情報流通システム、情報処理装置及び方法 |
| JP2014174635A (ja) * | 2013-03-06 | 2014-09-22 | Japan Medical Solutions Inc | 診療情報表示システム |
| JP2016189980A (ja) * | 2015-03-31 | 2016-11-10 | フクダ電子株式会社 | 生体情報のレポートサーバおよびその制御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Borofsky et al. | Surgical decompression is associated with decreased mortality in patients with sepsis and ureteral calculi | |
| US9904798B2 (en) | Focused personal identifying information redaction | |
| US9043929B2 (en) | Minimizing sensitive data exposure during preparation of redacted documents | |
| JP5954666B2 (ja) | 情報処理装置、及び、情報処理方法 | |
| US20060206360A1 (en) | Medical information management apparatus and method, and medical information management program | |
| EP2404259A1 (en) | Specifying an access control policy | |
| US20050159984A1 (en) | Medical data management system | |
| US11581073B2 (en) | Dynamic database updates using probabilistic determinations | |
| US8145683B2 (en) | Data structure and method for creating and storing a file | |
| US9009075B2 (en) | Transfer system for security-critical medical image contents | |
| CN109522705B (zh) | 一种权限管理方法、装置、电子设备及介质 | |
| Hiller et al. | Kidney stone care and the COVID-19 pandemic: challenges and opportunities | |
| JP2009271943A (ja) | 監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラム | |
| Masterson et al. | Using artificial intelligence to predict surgical shunts in men with ischemic priapism | |
| JP4389164B2 (ja) | 監査証跡の記録方法、監査証跡の記録装置および監査証跡を記録するためのプログラム | |
| CN109948638B (zh) | 对象匹配方法、装置、设备及计算机可读存储介质 | |
| JP5204520B2 (ja) | 支払情報統合システム | |
| JP2006149659A (ja) | 医用機器及び医用データアクセス制御方法 | |
| JP6344046B2 (ja) | 情報処理装置及び情報処理プログラム | |
| JP2013205987A (ja) | 決定プログラム、および決定装置 | |
| KR101969907B1 (ko) | 외국인을 위한 의료 지원 시스템 및 기록매체에 저장된 외국인 의료지원용 컴퓨터 어플리케이션 | |
| CN104217383A (zh) | 用于关于患者的医疗报告的状态通知的方法 | |
| KR20230076936A (ko) | 의료 정보 분석 시스템이 업데이트에 따른 인허가 필요성을 판단하는 방법 | |
| Cepeda et al. | Risk Factors for Interstitial Cystitis in the General Population and in Individuals With Depression | |
| JP2019049988A (ja) | 情報処理装置、情報処理システム、情報処理方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090819 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110616 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110725 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110811 |