JP2010250756A - Medical information management system - Google Patents
Medical information management system Download PDFInfo
- Publication number
- JP2010250756A JP2010250756A JP2009102197A JP2009102197A JP2010250756A JP 2010250756 A JP2010250756 A JP 2010250756A JP 2009102197 A JP2009102197 A JP 2009102197A JP 2009102197 A JP2009102197 A JP 2009102197A JP 2010250756 A JP2010250756 A JP 2010250756A
- Authority
- JP
- Japan
- Prior art keywords
- medical
- server
- data
- personal attribute
- attribute data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Landscapes
- Medical Treatment And Welfare Office Work (AREA)
Abstract
Description
本発明は、医療情報管理システムに関する。 The present invention relates to a medical information management system.
複数の医療施設に設置され、セキュリティー機能を備えたネットワークを介して医療情報の送受信および指示の送信が可能なクライアント端末と、クライアント端末からネットワークを介して送信された医療情報を受信し、受信した医療情報をそれの管理権を有する医療施設毎に区分して保管する機能および保管された医療情報のクライアント端末による利用を制御する機能を備えたデータセンタサーバとから形成された医療情報管理システムがある(特許文献1参照)。 Received and received a client terminal installed in multiple medical facilities and capable of sending and receiving medical information and sending instructions via a network with security functions, and medical information sent from the client terminal via the network A medical information management system formed from a data center server having a function of storing medical information separately for each medical facility having the management right and a function of controlling the use of stored medical information by a client terminal Yes (see Patent Document 1).
データセンタサーバは、医療施設が管理権を有する医療情報のクライアント端末による利用を予め可能とし、一方の医療施設が管理権を有する医療情報の利用を他方の医療機関に許可することを示す許可指示が一方の医療施設に設置されたクライアント端末から送信されると、許可指示に対応する医療情報の他方の医療施設に設置されたクライアント端末による利用を可能とする。許可指示には、医療情報の利用可能範囲を示す情報と医療情報の利用許可期間を示す情報とが含まれる。医療情報には、医療施設名や患者名、患者の電子カルテ、医用画像データ、診察日、撮影日等が含まれる。 The data center server permits use of medical information managed by a medical facility in advance by a client terminal, and a permission instruction indicating that one medical facility permits the other medical institution to use medical information managed by the medical facility Is transmitted from the client terminal installed in one medical facility, the medical information corresponding to the permission instruction can be used by the client terminal installed in the other medical facility. The permission instruction includes information indicating a usable range of medical information and information indicating a use permission period of medical information. The medical information includes a medical facility name, a patient name, a patient's electronic medical record, medical image data, an examination date, an imaging date, and the like.
前記特許文献1に開示の医療情報管理システムは、他方の医療施設に利用を許可する医療情報について、利用可能範囲や利用許可期間を指定することができるから、医療情報の安全性を向上させることができる。しかし、それら医療情報が各医療施設に設置されたクライアント端末によって独自に管理されており、それら医療情報の各クライアント端末からの持ち出しや盗取を防ぐ手段として、それら医療施設の医師や研究者、従業者等のモラルに頼らざるを得ないことから、それら医療情報が医療施設の各クライアント端末から不正に持ち出される場合やそれら医療情報が外部に不用意に漏出する場合がある。クライアント端末から医療情報が外部に漏洩すると、患者名や病歴等を含む特定の患者のすべての医療情報が第3者に知られてしまう場合があり、特定個人の医療情報の保護を図ることができないのみならず、特定個人のプライバシーを保護することができない。
The medical information management system disclosed in
本発明の目的は、特定個人の医療情報の漏洩を防ぐことができ、特定個人の医療情報の保護を図ることができるとともに、特定個人のプライバシーを保護することができる医療情報管理システムを提供することにある。 An object of the present invention is to provide a medical information management system capable of preventing leakage of medical information of a specific individual, protecting the medical information of the specific individual, and protecting the privacy of the specific individual. There is.
前記課題を解決するための本発明に係る医療情報管理システムは、医療機関に設置された医療機関サーバと、医療機関とは別個独立に存在する第1業者に設置され、医療機関において収集された複数人の匿名医療データを保持する第1業者サーバと、医療機関および第1業者とは別個独立に存在する第2業者に設置され、複数人を個別に特定可能な個人属性データを保持する第2業者サーバとを含み、医療機関サーバが、匿名医療データを第1業者サーバから受信する匿名医療データ受信手段と、匿名医療データ受信手段によって受信した匿名医療データに対応する個人属性データを第2業者サーバから受信する個人属性データ受信手段と、第1業者サーバから受信した匿名医療データに第2業者サーバから受信した個人属性データを適用して特定個人の実名医療データを作成する実名医療データ作成手段と、作成した実名医療データを出力する実名医療データ出力手段とを有することを特徴とする。 The medical information management system according to the present invention for solving the above-mentioned problems is installed in a medical institution server installed in a medical institution and a first contractor that exists independently of the medical institution and collected in the medical institution A first vendor server that holds anonymous medical data of a plurality of people and a second vendor that is installed in a second vendor that exists independently of the medical institution and the first vendor, and that holds personal attribute data that can individually identify the plurality of people. A medical provider server that receives anonymous medical data from the first supplier server, and second personal attribute data corresponding to the anonymous medical data received by the anonymous medical data receiving means. Applying personal attribute data received from the second vendor server to the personal attribute data receiving means received from the vendor server and anonymous medical data received from the first vendor server Characterized in that it has a real name medical data creating means for creating a real name medical data of a particular individual, and a real name medical data output means for outputting a real name medical data created.
本発明に係る医療情報管理システムの一例としては、医療機関サーバが別個独立に存在する複数の医療機関に設置された医療機関第1〜第nサーバを含み、医療機関第1〜第nサーバのうちの少なくとも1つが第1業者サーバから受信した匿名医療データを他の医療機関第1〜第nサーバに転送する匿名医療データ転送手段を有し、他の医療機関第1〜第nサーバが医療機関第1〜第nサーバのうちの少なくとも1つから転送された匿名医療データに対応する個人属性データを第2業者サーバから受信する個人属性データ受信手段を実行しつつ、医療機関第1〜第nサーバから転送された匿名医療データに第2業者サーバから受信した個人属性データを適用して特定個人の実名医療データを作成する実名医療データ作成手段を実行する。 As an example of the medical information management system according to the present invention, the medical institution server includes medical institution first to nth servers installed in a plurality of medical institutions in which the medical institution servers exist separately and independently. At least one of them has anonymous medical data transfer means for transferring the anonymous medical data received from the first trader server to the other medical institution first to nth servers, and the other medical institution first to nth servers are medical. While executing personal attribute data receiving means for receiving personal attribute data corresponding to anonymous medical data transferred from at least one of the first to n-th institution from the second vendor server, The real name medical data creating means for creating the real name medical data of the specific individual by applying the personal attribute data received from the second trader server to the anonymous medical data transferred from the n server is executed.
本発明に係る医療情報管理システムの他の一例としては、第1業者サーバが別個独立に存在する複数の第1業者に設置された第1業者第1〜第nサーバを含み、医療機関サーバが匿名医療データを第1業者第1〜第nサーバのうちの少なくとも2つから受信する匿名医療データ受信手段を実行し、匿名医療データ受信手段によって受信した匿名医療データに対応する個人属性データを第2業者サーバから受信する個人属性データ受信手段を実行しつつ、第1業者第1〜第nサーバから受信した匿名医療データに第2業者サーバから受信した個人属性データを適当して特定個人の実名医療データを作成する実名医療データ作成手段を実行する。 As another example of the medical information management system according to the present invention, the first trader server includes first trader first to nth servers installed in a plurality of first traders where the first trader server exists independently, and the medical institution server is Anonymous medical data receiving means for receiving anonymous medical data from at least two of the first traders 1st to nth servers is executed, and personal attribute data corresponding to the anonymous medical data received by the anonymous medical data receiving means is While executing the personal attribute data receiving means received from the second vendor server, the personal attribute data received from the second vendor server is appropriately applied to the anonymous medical data received from the first vendor first to n-th servers. A real name medical data creating means for creating medical data is executed.
本発明に係る医療情報管理システムの他の一例としては、第1業者サーバが、個人属性データにユニークな個人属性データ識別子を設定し、その個人属性データ識別子を複数人に個別に設定された個人特定識別子に関連付けた状態で保持する個人属性データ識別子保持手段と、個人属性データ識別子に関連付けた状態で匿名医療データを保持する匿名医療データ保持手段と、医療機関サーバが個人特定識別子を提示して匿名医療データの送信を要求したときに、提示された個人特定識別子に対応する個人属性データ識別子を特定しつつ、特定した個人属性データ識別子とその個人属性データ識別子に対応する匿名医療データとを医療機関サーバに送信する匿名医療データ送信手段とを有し、第2業者サーバが、個人属性データ識別子に関連付けた状態で個人属性データを保持する個人属性データ保持手段と、医療機関サーバが匿名医療データに対応する個人属性データ識別子を提示して個人属性データの送信を要求したときに、提示された個人属性データ識別子とその個人属性データ識別子に対応する個人属性データとを医療機関サーバに送信する個人属性データ送信手段とを有し、実名医療データ作成手段が、第1業者サーバから受信した個人属性データ識別子と第2業者サーバから受信した個人属性データ識別子とを比較しつつ、互いに一致する個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて実名医療データを作成する。 As another example of the medical information management system according to the present invention, the first vendor server sets a unique personal attribute data identifier in the personal attribute data, and the individual attribute data identifier is individually set for a plurality of persons. Personal attribute data identifier holding means for holding in a state associated with a specific identifier, anonymous medical data holding means for holding anonymous medical data in a state associated with a personal attribute data identifier, and a medical institution server presenting the personal identification identifier When requesting the transmission of anonymous medical data, the personal attribute data identifier corresponding to the presented personal identification identifier is specified, and the identified personal attribute data identifier and the anonymous medical data corresponding to the personal attribute data identifier are medically treated. Anonymized medical data transmitting means for transmitting to the institution server, and the second vendor server associates with the personal attribute data identifier Personal attribute data holding means for holding the personal attribute data in a state and the personal attribute presented when the medical institution server requests the transmission of the personal attribute data by presenting the personal attribute data identifier corresponding to the anonymous medical data. A personal attribute data transmitting means for transmitting the data identifier and personal attribute data corresponding to the personal attribute data identifier to the medical institution server; Are compared with the personal attribute data identifier received from the second vendor server, and real name medical data is created by combining the personal attribute data corresponding to the personal attribute data identifiers that match each other and the anonymous medical data.
本発明に係る医療情報管理システムの他の一例としては、第1業者サーバが、複数人に個別に設定された個人特定識別子に関連付けた状態で匿名医療データを保持する匿名医療データ保持手段と、個人属性データの各属性項目にユニークな個人属性データ識別子を割り当て、各属性項目と割り当てた個人属性データ識別子とを個人特定識別子に関連付けた状態で保持する個人属性データ識別子保持手段と、割り当てた個人属性データ識別子と個人属性データおよび属性項目とを第2業者サーバに送信する個人属性データ送信手段と、医療機関サーバが個人特定識別子を提示して匿名医療データの送信を要求したときに、提示された個人特定識別子に対応する個人属性データ識別子を特定しつつ、特定した個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データとを医療機関サーバに送信する匿名医療データ送信手段とを有し、第2業者サーバが、属性項目毎に対応する個人属性データ識別子に関連付けた状態で個人属性データを保持する個人属性データ保持手段と、医療機関サーバが匿名医療データに対応する属性項目および個人属性データ識別子を提示して個人属性データの送信を要求したときに、提示された属性項目および個人属性データ識別子とその属性項目および個人属性データ識別子に対応する個人属性データとを医療機関サーバに送信する個人属性データ送信手段とを有し、実名医療データ作成手段が、第1業者サーバから受信した属性項目および個人属性データ識別子と第2業者サーバから受信した属性項目および個人属性データ識別子とを比較しつつ、互いに一致する属性項目および個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて実名医療データを作成する。 As another example of the medical information management system according to the present invention, an anonymous medical data holding unit that holds anonymous medical data in a state in which the first supplier server is associated with a personal identification identifier individually set for a plurality of persons, Personal attribute data identifier holding means for assigning a unique personal attribute data identifier to each attribute item of the personal attribute data, and holding each attribute item and the assigned personal attribute data identifier in association with the personal identification identifier, and the assigned individual Presented when the personal attribute data transmitting means for transmitting the attribute data identifier, the personal attribute data and the attribute item to the second trader server, and when the medical institution server requests the transmission of anonymous medical data by presenting the personal identification identifier. While identifying the personal attribute data identifier corresponding to the personal identification identifier, the identified personal attribute data identifier and its personal attribute An anonymous medical data transmitting means for transmitting the attribute item corresponding to the data identifier and the anonymous medical data to the medical institution server, and the second vendor server associated with the personal attribute data identifier corresponding to each attribute item Personal attribute data holding means for holding personal attribute data and the attributes presented when the medical institution server requests the transmission of personal attribute data by presenting attribute items and personal attribute data identifiers corresponding to anonymous medical data Personal attribute data transmitting means for transmitting the item and personal attribute data identifier and the personal attribute data corresponding to the attribute item and personal attribute data identifier to the medical institution server, and the real name medical data creating means is the first trader server Attribute items and personal attribute data identifiers received from the server and attribute items and personal attribute data received from the second vendor server. While comparing the identifier, creating a real name medical data by combining the personal attribute data and anonymous medical data corresponding to the attribute item and the personal attribute data identifier coincide with each other.
本発明の医療情報管理システムによれば、医療機関において収集された複数人の匿名医療データが第1業者サーバに保持され、複数人を個別に特定可能な個人属性データが第2業者サーバに保持されるから、匿名医療データと個人属性データとが別個独立の業者に分散して保管される。ゆえに、第1業者サーバから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、その医療データにそれに対応する個人属性データが含まれておらず、匿名医療データの人物の実名や住所、電話番号等が判明することはなく、漏洩した匿名医療データから人物を特定することはできない。また、第2業者サーバから個人属性データが不正に持ち出されたり、外部に不用意に漏出したとしても、その個人属性データにそれに対応する医療データが含まれておらず、個人属性データから特定される人物の医療情報が判明することはなく、漏洩した個人属性データから医療情報を特定することはできない。医療情報管理システムは、医療情報の秘匿性を確保することができ、特定個人のプライバシーを保護することができるとともに、第1および第2業者において個人の医療情報という極めて機微な情報の漏洩にかかわる訴訟リスクを回避することができる。また、医療機関が保有する特定個人の医療情報を外部の第1および第2業者に安心して管理させることができる。医療情報管理システムは、医療機関サーバが第1業者サーバから受信した匿名医療データに第2業者サーバから受信した個人属性データを適用して特定個人の実名医療データを作成するから、医療機関において特定の人物の医療情報を確実に取得かつ確認することができる。 According to the medical information management system of the present invention, anonymous medical data of a plurality of persons collected at a medical institution is held in the first trader server, and personal attribute data that can individually identify a plurality of persons is held in the second trader server. Therefore, anonymous medical data and personal attribute data are distributed and stored in separate and independent vendors. Therefore, even if anonymous medical data is illegally taken out from the first supplier server or leaked to the outside carelessly, the corresponding personal attribute data is not included in the medical data, and the anonymous medical data The real name, address, telephone number, etc. are never known, and the person cannot be identified from the leaked anonymous medical data. Even if personal attribute data is illegally taken out from the second vendor server or leaked to the outside, the personal attribute data does not contain the corresponding medical data and is specified from the personal attribute data. The medical information of the person is not identified, and the medical information cannot be identified from the leaked personal attribute data. The medical information management system can secure the confidentiality of medical information, can protect the privacy of a specific individual, and is involved in the leakage of extremely sensitive information such as personal medical information in the first and second contractors. Litigation risk can be avoided. Moreover, the medical information of a specific individual held by a medical institution can be managed with peace of mind by external first and second contractors. The medical information management system creates the real name medical data of a specific individual by applying the personal attribute data received from the second vendor server to the anonymous medical data received from the first vendor server by the medical institution server. It is possible to reliably acquire and confirm medical information of a person.
別個独立に存在する複数の第1〜第n医療機関とそれら医療機関に設置された医療機関第1〜第nサーバとを含み、第1〜第n医療機関のうちの少なくとも1つが第1業者サーバから受信した匿名医療データを他の第1〜第n医療機関に転送する匿名医療データ転送手段を有する医療情報管理システムは、別の医療機関から特定個人の匿名医療データを取得した他の医療機関サーバがその医療データに個人属性データを適用して特定個人の実名医療データを作成することができ、患者を紹介された医療機関や患者の移動先の医療機関においてその患者の医療情報を確実に取得かつ確認することができる。医療情報管理システムは、第1業者サーバから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、その医療データにそれに対応する個人属性データが含まれておらず、匿名医療データの人物の実名や住所、電話番号等が判明することはなく、漏洩した匿名医療データから人物を特定することはできない。また、第2業者サーバから個人属性データが不正に持ち出されたり、外部に不用意に漏出したとしても、その個人属性データにそれに対応する医療データが含まれておらず、個人属性データから特定される人物の医療情報が判明することはなく、漏洩した個人属性データから医療情報を特定することはできない。医療情報管理システムは、医療機関の間において匿名医療データが漏洩したとしても、漏洩した匿名医療データから人物を特定することはできないから、医療機関におけるデータ漏洩のリスクが低減されるとともに、データ漏洩のリスクが低減されることにともなって利便性の高いファイル転送手段によって医療機関の間で医療情報を交換することができる。医療情報管理システムは、医療情報の秘匿性を確保することができるとともに、特定個人のプライバシーを保護することができる。 A plurality of first to n-th medical institutions that exist independently and medical institution first to n-th servers installed in these medical institutions, wherein at least one of the first to n-th medical institutions is a first trader The medical information management system having the anonymous medical data transfer means for transferring the anonymous medical data received from the server to the other first to n-th medical institutions is another medical that has acquired the anonymous medical data of a specific individual from another medical institution. The institution server can apply personal attribute data to the medical data to create real name medical data for a specific individual, and ensure that the patient's medical information is available at the medical institution where the patient was introduced or the medical institution to which the patient was moved Can be obtained and confirmed. Even if anonymous medical data is illegally taken out from the 1st contractor server or leaked to the outside carelessly, the medical information management system does not include personal attribute data corresponding to the medical data, and anonymous medical data is not included. The real name, address, telephone number, etc. of the person in the data are not known, and the person cannot be identified from the leaked anonymous medical data. Even if personal attribute data is illegally taken out from the second vendor server or leaked to the outside, the personal attribute data does not contain the corresponding medical data and is specified from the personal attribute data. The medical information of the person is not identified, and the medical information cannot be identified from the leaked personal attribute data. Even if anonymous medical data leaks between medical institutions, the medical information management system cannot identify a person from the leaked anonymous medical data. Therefore, medical information can be exchanged between medical institutions by a highly convenient file transfer means. The medical information management system can secure the confidentiality of medical information and can protect the privacy of a specific individual.
第1業者サーバが別個独立に存在する複数の第1業者に設置された第1業者第1〜第nサーバを含み、医療機関サーバが匿名医療データを第1業者第1〜第nサーバのうちの少なくとも2つから受信する匿名医療データ受信手段を実行する医療情報管理システムは、匿名医療データを別個独立の第1業者第1〜第nサーバにおいて保持することで、匿名医療データが別々の第1業者に分散して保管される。ゆえに、第1業者サーバのいずれかから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、匿名医療データのうちの一部のみが判明するだけであり、匿名医療データの全内容が判明するリスクを回避することができ、医療情報の秘匿性を確実に確保することができる。医療情報管理システムは、医療機関サーバが各第1業者第1〜第nサーバから受信した匿名医療データに第2業者サーバから受信した個人属性データを適用して特定個人の実名医療データを作成するから、医療機関において特定の人物の医療情報を確実に取得かつ確認することができる。 The first supplier server includes first supplier first to n-th servers installed in a plurality of first suppliers, and the medical institution server sends anonymous medical data to the first supplier first to n-th servers. The medical information management system that executes the anonymous medical data receiving unit that receives from at least two of the first and second servers maintains the anonymous medical data in the first independent first to nth servers. Dispersed and stored in one contractor. Therefore, even if anonymous medical data is illegally taken out from any of the first vendor servers or leaked out to the outside, only a part of the anonymous medical data is found. It is possible to avoid the risk that all contents are found, and to ensure the confidentiality of medical information. The medical information management system creates the real name medical data of a specific individual by applying the personal attribute data received from the second vendor server to the anonymous medical data received by the medical institution server from each of the first vendor first to n-th servers. Therefore, medical information of a specific person can be reliably acquired and confirmed in a medical institution.
第1業者サーバが個人属性データにユニークな個人属性データ識別子を設定し、その個人属性データ識別子を複数人に個別に設定された個人特定識別子に関連付けた状態で保持する医療情報管理システムは、第1業者サーバにおいて個人属性データを個人属性データ識別子に置き換えて保管するから、第1業者サーバが個人属性データそのものを保持することはなく、第1業者サーバから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、その医療データに対応する人物の個人属性データ識別子のみが判明するだけであり、匿名医療データの人物の実名や住所、電話番号等が判明することはなく、漏洩した匿名医療データから人物を特定することはできない。医療情報管理システムは、第1業者サーバから受信した個人属性データ識別子と第2業者サーバから受信した個人属性データ識別子とを比較しつつ、互いに一致する個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて実名医療データを作成するから、医療機関において特定個人の実名医療データを確実に作成することができ、医療機関において特定の人物の医療情報を確実に取得かつ確認することができる。 A medical information management system in which a first trader server sets a unique personal attribute data identifier in personal attribute data and retains the personal attribute data identifier in a state associated with individual identification identifiers individually set for a plurality of persons. Since the personal attribute data is replaced with the personal attribute data identifier and stored in the one trader server, the first trader server does not hold the personal attribute data itself, and anonymous medical data is illegally taken out from the first trader server, Even if it is accidentally leaked outside, only the personal attribute data identifier of the person corresponding to the medical data is found, and the real name, address, telephone number, etc. of the person of anonymous medical data are not found, A person cannot be identified from leaked anonymous medical data. The medical information management system compares the personal attribute data identifier received from the first trader server with the personal attribute data identifier received from the second trader server, and compares the personal attribute data corresponding to the personal attribute data identifiers that match each other and anonymous Real name medical data is created in combination with medical data, so that real name medical data of a specific individual can be created reliably at a medical institution, and medical information of a specific person can be reliably acquired and confirmed at a medical institution it can.
第1業者サーバが個人属性データの各属性項目にユニークな個人属性データ識別子を割り当て、各属性項目と割り当てた個人属性データ識別子とを個人特定識別子に関連付けた状態で保持するとともに、割り当てた個人属性データ識別子と個人属性データおよび属性項目とを第2業者サーバに送信し、第2業者サーバが属性項目毎に対応する個人属性データ識別子に関連付けた状態で個人属性データを保持する医療情報管理システムは、第1業者サーバにおいて個人属性データを各属性項目に割り当てた個人属性データ識別子として保持するから、第1業者サーバが個人属性データそのものを保持することはなく、第1業者サーバから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、その医療データに対応する人物の個人属性データ識別子のみが判明するだけであり、匿名医療データの人物の実名や住所、電話番号等が判明することはなく、漏洩した匿名医療データから人物を特定することはできない。医療情報管理システムは、第1業者サーバが各属性項目と割り当てた個人属性データ識別子とを個人特定識別子に関連付けた状態で保持するから、各個人属性データの組み合わせ情報が第1業者サーバで管理されており、第2業者サーバにおいて個人情報を特定することもできない。医療情報管理システムは、第1業者サーバから受信した属性項目および個人属性データ識別子と第2業者サーバから受信した属性項目および個人属性データ識別子とを比較しつつ、互いに一致する属性項目および個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて実名医療データを作成するから、医療機関において特定個人の実名医療データを確実に作成することができ、医療機関において特定の人物の医療情報を確実に取得かつ確認することができる。 The first vendor server assigns a unique personal attribute data identifier to each attribute item of the personal attribute data, holds each attribute item and the assigned personal attribute data identifier in association with the personal identification identifier, and assigns the assigned personal attribute. A medical information management system that transmits data identifiers, personal attribute data, and attribute items to a second vendor server, and holds the personal attribute data in a state in which the second vendor server is associated with a personal attribute data identifier corresponding to each attribute item. Since the personal attribute data is held as the personal attribute data identifier assigned to each attribute item in the first vendor server, the first vendor server does not hold the personal attribute data itself, and anonymous medical data is received from the first vendor server. Even if it is illegally taken out or is inadvertently leaked outside, the person who corresponds to the medical data The only personal attribute data identifier is only is found, not that person's real name and address of the anonymous medical data, telephone number, etc. is found, it is not possible to identify a person from an anonymous medical data that has leaked. The medical information management system holds each attribute item and the assigned personal attribute data identifier in association with the personal identification identifier, so that the combination information of each personal attribute data is managed by the first vendor server. In addition, personal information cannot be specified in the second vendor server. The medical information management system compares the attribute item and personal attribute data identifier received from the first vendor server with the attribute item and personal attribute data identifier received from the second vendor server, and matches the attribute item and personal attribute data that match each other. Since real name medical data is created by combining personal attribute data corresponding to an identifier and anonymous medical data, real name medical data of a specific individual can be reliably created in a medical institution, and medical information of a specific person in a medical institution Can be obtained and confirmed reliably.
一例として示す医療情報管理システムの構成図である図1等の添付の図面に基づいて、本発明に係る医療情報管理システムの詳細を説明すると、以下のとおりである。このシステム10は、複数の患者(複数人)の各種医療情報を管理する。なお、各サーバ12A,12B,14A,14B,16はインターネットを介してネットワークを形成しているが、インターネットの他に、VPN(Virtual Private Network)やインターネットVPNを介してネットワークを形成していてもよい。
The details of the medical information management system according to the present invention will be described below with reference to the accompanying drawings such as FIG. 1 which is a configuration diagram of a medical information management system shown as an example. This
医療情報管理システム10は、病院11A,11B(医療機関)に設置された医療機関サーバ12A,12B(医療機関第1サーバ〜医療機関第nサーバ)と、病院11A,11Bとは別個独立に存在する第1事業会社13A,13B(第1業者)に設置された第1事業会社サーバ14A,14B(第1業者第1サーバ〜第1業者第nサーバ)と、病院11A,11Bや第1事業会社13A,13Bとは別個独立に存在する第2事業会社15(第2業者)に設置された第2事業会社サーバ16(第2業者サーバ)とから構成されている。
The medical
第1事業会社サーバ14A,14Bには、匿名医療データが電子データとして格納される。匿名医療データには、過去から現在までの診療録(カルテ)や過去から現在までの診療記録、過去から現在までの接見記録、過去から現在までの問診記録等の患者に関するあらゆる医療情報が含まれるが、患者を特定する個人属性データは含まれない。
Anonymized medical data is stored as electronic data in the first
診療録には、年月日、処置や処方、所見、各種オーダ等が含まれ、診療記録には、年月日、画像診断機器によって撮影された画像やメモ、会計記録等が含まれる。接見記録や問診記録には、年月日や接見内容、問診内容等が含まれる。画像診断機器には、フィルムデジタイザやデジタルラジオグラフィ、デジタルフルオログラフィ、X線コンピュータ断層撮影装置、核医学診断装置、超音波診断装置、電子内視鏡、磁気共鳴イメージング装置等がある。 The medical record includes the date, treatment, prescription, findings, various orders, and the like, and the medical record includes the date, images and memos taken by the diagnostic imaging apparatus, accounting records, and the like. Interview records and interview records include date, interview contents, interview contents, and the like. Examples of the diagnostic imaging apparatus include a film digitizer, digital radiography, digital fluorography, X-ray computed tomography apparatus, nuclear medicine diagnostic apparatus, ultrasonic diagnostic apparatus, electronic endoscope, and magnetic resonance imaging apparatus.
第2事業会社サーバ16には、各患者を個別に特定するための個人属性データが電子データとして格納される。個人属性データには、患者の氏名、住所または居所、郵便番号、電話番号、携帯電話番号、電子メールアドレス、URL、生年月日、顔写真画像、血液型、本籍等の患者を特定可能な個人情報が含まれるが、第1事業会社サーバ14A,14Bに格納される匿名医療データは含まれない。なお、個人属性データを例示のそれらに限定するものではなく、患者を特定可能なすべての個人情報が含まれる。
In the second
図1では、それぞれ別個独立に存在する2つの病院11A,11Bを図示するとともに、それぞれ別個独立に存在する2つの第1事業会社13A,13Bを図示しているが、このシステム10を利用する病院や第1事業会社の数に特に限定はなく、このシステム10に3つ以上の病院や第1事業会社が含まれていてもよい。病院11A,11Bには、公立病院や私立病院、大学病院等のすべての種類のそれが含まれる。また、医療機関として病院11A,11Bを例示しているが、医療機関には、病院11A,11Bの他に、診療所、医学研究所、医科・歯科大学、看護学校、医科・歯科専門学校等の医療に関連するすべての機関が含まれる。
FIG. 1 illustrates two
一方の病院11Aには、医療機関第1サーバ12Aが設置され、他方の病院11Bには、医療機関第2サーバ12Bが設置されている。別個独立に病院がそれぞれ第1〜第n存在する場合、第1の病院には医療機関第1サーバが設置され、第2の病院〜第nの病院には医療機関第2サーバ〜医療機関第nサーバが設置される。なお、図1では1台の医療機関第1サーバ12Aと1台の医療機関第2サーバ12Bとを図示しているが、実際には病院11Aに複数台の医療機関第1サーバ12Aが設置され、病院11Bに複数台の医療機関第2サーバ12Bが設置されている。
A medical institution
医療機関第1サーバ12Aと医療機関第2サーバ12Bとは、中央処理部とメモリとを備えたコンピュータであり、大容量ハードディスクが搭載されている。それらサーバ12A,12Bには、キーボード17やマウス18等の入力装置、ディスプレイ19やプリンタ(図示せず)等の出力装置がインターフェイスを介して接続されている。
The medical institution
病院11A,11Bを利用する各患者には、それら患者を特定する患者番号(個人特定識別子)が設定されている。患者番号には、各患者を個別に特定可能な保険証番号や暗証番号、ID番号、その他の識別符号を使用することができる。暗証番号やID番号、識別符号は、病院11A,11Bを訪れた患者に病院11A,11B側で予め設定し、それを患者に通知する場合、または、各患者が自ら決定し、決定した患者番号を病院11A,11Bに申告する場合がある。
Each patient using the
医療機関第1サーバ12Aおよび医療機関第2サーバ12Bのハードディスクには、病院11A,11Bを特定する病院識別番号(病院識別子)やその病院11A,11Bの各部門(呼吸器内科、整形外科、脳外科、泌尿器科等)を特定する部門識別番号(部門識別子)が格納され、病院11A,11Bの複数の患者(複数人)に個別に設定された患者番号が格納されている。
The hard disks of the medical institution
それらサーバ12A,12Bのハードディスクでは、病院識別番号の直近下位に部門識別番号が階層状に連結され、部門識別番号の直近下位に患者番号が階層状に連結されている。それらサーバ12A,12Bでは、特定の部門識別番号を指定することで、指定した部門をディスプレイ19に表示させることができるとともに、その部門において特定の患者番号を指定することで、指定した患者番号の患者をディスプレイ19に表示させる。
In the hard disks of these
医療機関第1サーバ12Aと医療機関第2サーバ12Bとは、ホスト名とそのホスト名に割り当てるIPアドレスとの対応付けを設定するDNSサーバ機能、他のサーバからの要求を受け付けて各種情報を読み書きする機能を提供するデータベースサーバ機能、電子メールの送受信を可能にするメールサーバ機能、作成された文章や画像等の情報をすべて保存してそれらの情報を検索可能にするドキュメントサーバ機能を有する。
The medical institution
医療機関第1サーバ12Aと医療機関第2サーバ12Bとは、DNSサーバ機能を介してインターネット20に接続可能、かつ、第1事業会社サーバ14A,14Bや第2事業会社サーバ16にアクセス可能である。第1および第2サーバ12A,12Bは、インターネット20を介して第1事業会社サーバ14A,14Bや第2事業会社サーバ16へ所定のデータを送信可能かつそれらサーバ14A,14B,16から所定のデータを受信可能である。また、第1および第2サーバ12A,12Bは、インターネット20を介して一方のサーバ12A,12Bから他方のサーバ12A,12Bへ所定のデータを送信可能かつ一方のサーバ12A,12Bが他方のサーバ12A,12Bから所定のデータを受信可能である。
The medical institution
医療機関第1サーバ12Aと医療機関第2サーバ12Bとは、オペレーティングシステムによる制御に基づいて、メモリの命令ファイルに格納された医療情報管理アプリケーションを起動し、そのアプリケーションに従って以下の各手段(各プロセス)を実行する。第1および第2サーバ12A,12Bは、患者の各種医療情報(患者番号(個人特定識別子)を含む)を電子データとして第1事業会社サーバ14Aに送信する医療情報送信手段を実行する。患者の医療情報には、匿名医療データと個人属性データとが含まれる。医療情報送信手段は、患者の医療情報が更新される度毎に実行される。それらサーバ12A,12Bでは、患者番号に対応する患者の氏名を検索することや患者の氏名に対応する患者番号を検索することができる。
The medical institution
医療機関第1サーバ12Aと医療機関第2サーバ12Bとは、個人属性データ識別子と匿名医療データとを第1事業会社サーバ14A,14Bから受信する匿名医療データ受信手段を実行し、匿名医療データ受信手段によって第1事業会社サーバ14A,14Bから受信した個人属性データ識別子と匿名医療データとを他の医療機関サーバ12A,12Bに転送する匿名医療データ転送手段を実行する。なお、匿名医療データ転送手段では、一方の医療機関サーバ12A,12Bから他方の医療機関サーバ12A,12Bに個人属性データ識別子と匿名医療データとを電子メールとして転送することの他、個人属性データ識別子と匿名医療データとを所定のメモリデバイス(USBメモリやディスク等)に格納し、そのメモリデバイスを一方の医療機関11A,11Bが他方の医療機関11A,11Bに渡し、個人属性データ識別子や匿名医療データの転送を行うこともできる。
The medical institution
医療機関第1サーバ12Aと医療機関第2サーバ12Bとは、匿名医療データ受信手段によって受信した匿名医療データに対応する個人属性データを第2事業会社サーバ16から受信する個人属性データ受信手段を実行し、第1事業会社サーバ14A,14Bから受信した匿名医療データに第2事業会社サーバ16から受信した個人属性データを適用して特定個人の実名医療データを作成する実名医療データ作成手段を実行する。さらに、作成した実名医療データを出力装置を介して出力する実名医療データ出力手段を実行する。
The medical institution
第1事業会社13Aには、第1事業会社第1サーバ14Aが設置され、第1事業会社13Bには、第1事業会社第2サーバ14Bが設置されている。別個独立の第1事業会社が第1〜第n社存在する場合、第1の第1事業会社には第1事業会社第1サーバが設置され、第2の第1事業会社〜第nの第1事業会社には第1事業会社第2サーバ〜第1事業会社第nサーバが設置される。なお、図1では1台の第1事業会社第1サーバ14Aと1台の第1事業会社第2サーバ14Bとを図示しているが、実際には第1事業会社13Aに複数台の第1サーバ14Aが設置され、第1事業会社13Bに複数台の第2サーバ14Bが設置されている。
The
第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとは、中央処理部とメモリとを備えたコンピュータであり、大容量ハードディスクが搭載されている。サーバ14A,14Bには、キーボード21やマウス22等の入力装置、ディスプレイ23やプリンタ(図示せず)等の出力装置がインターフェイスを介して接続されている。第1および第2サーバ14A,14Bは、ホスト名とそのホスト名に割り当てるIPアドレスとの対応付けを設定するDNSサーバ機能、他のサーバからの要求を受け付けて各種情報を読み書きする機能を提供するデータベースサーバ機能、電子メールの送受信を可能にするメールサーバ機能、作成された文章や画像等の情報をすべて保存してそれらの情報を検索可能にするドキュメントサーバ機能を有する。
The first business company
第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとは、DNSサーバ機能を介してインターネット20に接続可能、かつ、医療機関サーバ12A,12Bや第2事業会社サーバ16にアクセス可能である。第1および第2サーバ14A,14Bは、インターネット20を介して医療機関サーバ12A,12Bや第2事業会社サーバ16へ所定のデータを送信可能かつそれらサーバ12A,12B,16から所定のデータを受信可能である。また、第1および第2サーバ14A,14Bは、インターネット20を介して一方のサーバ14A,14Bから他方のサーバ14A,14Bへ所定のデータを送信可能かつ一方のサーバ14A,14Bが他方のサーバ14A,14Bから所定のデータを受信可能である。
The first business company
第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとは、オペレーティングシステムによる制御に基づいて、メモリの命令ファイルに格納された医療情報管理アプリケーションを起動し、そのアプリケーションに従って以下の各手段(各プロセス)を実行する。第1サーバ14Aは、医療機関サーバ12A,12Bから送信された患者の各種医療情報を受信する医療情報受信手段を実行し、受信した医療情報を匿名医療データと個人属性データとに区分しつつ、各個人属性データにユニークな個人属性データ識別子を個別に設定する個人属性データ識別子設定手段を実行する。第1サーバ14Aは、それら個人属性データ識別子を各患者に個別に設定された患者番号に関連付けた状態で保持する個人属性データ識別子保持手段を実行し、個人属性データ識別子に関連付けた状態で匿名医療データの一部を保持する匿名医療データ保持手段を実行する。
The first business company
第1事業会社第1サーバ14Aは、匿名医療データの一部と個人属性データ識別子(患者番号を含む)とを第1事業会社第2サーバ14Bに送信する医療情報送信手段を実行する。第1事業会社第2サーバ14Bは、第1サーバ14Aから送信された匿名医療データと個人属性データ識別子(患者番号を含む)とを受信する医療情報受信手段を実行する。第2サーバ14Bは、それら個人属性データ識別子を各患者に個別に設定された患者番号に関連付けた状態で保持する個人属性データ識別子保持手段を実行し、個人属性データ識別子に関連付けた状態で匿名医療データの一部を保持する匿名医療データ保持手段を実行する。
The first business company
第1事業会社第1サーバ14Aは、個人属性データとそれに設定した個人属性データ識別子とを第2事業会社サーバ16に送信する個人属性データ送信手段を実行する。ゆえに、第1および第2サーバ14A,14Bのハードディスクに患者の個人属性データが保持されることはない(個人属性データが格納されることはない)。このシステム10においてそれらサーバ14A,14B単独では、個人属性データ識別子とそれに関連付けられた匿名医療データとを検索することはできるが、個人属性データを検索することはできない。
The first business company first server 14 </ b> A executes personal attribute data transmission means for transmitting the personal attribute data and the personal attribute data identifier set thereto to the second
第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとは、医療機関サーバ12A,12Bがそれらサーバ14A,14Bにアクセスしたときに、医療機関サーバ12A,12Bに認証手続を要求する認証手続要求手段を実行する。第1および第2サーバ14A,14Bは、医療機関サーバ12A,12Bが認証手続を行った後、医療機関サーバ12A,12Bが患者の患者番号を提示して匿名医療データの送信を要求すると、提示された患者番号に対応する個人属性データ識別子を特定しつつ、特定した個人属性データ識別子とその個人属性データ識別子に対応する匿名医療データとを医療機関サーバ12A,12Bに送信する匿名医療データ送信手段を実行する。
The first business company
第2事業会社サーバ16は、中央処理部とメモリとを備えたコンピュータであり、大容量ハードディスクが搭載されている。サーバ16には、キーボード24やマウス25等の入力装置、ディスプレイ26やプリンタ(図示せず)等の出力装置がインターフェイスを介して接続されている。サーバ16は、ホスト名とそのホスト名に割り当てるIPアドレスとの対応付けを設定するDNSサーバ機能、他のサーバからの要求を受け付けて各種情報を読み書きする機能を提供するデータベースサーバ機能、電子メールの送受信を可能にするメールサーバ機能、作成された文章や画像等の情報をすべて保存してそれらの情報を検索可能にするドキュメントサーバ機能を有する。
The second
第2事業会社サーバ16は、DNSサーバ機能を介してインターネット20に接続可能、かつ、医療機関サーバ12A,12Bや第1事業会社サーバ14A,14Bにアクセス可能である。サーバ16は、インターネット20を介して医療機関サーバ12A,12Bや第1事業会社サーバ14A,14Bへ所定のデータを送信可能かつそれらサーバ12A,12B,14A,14Bから所定のデータを受信可能である。なお、図1では1台の第2事業会社サーバ16を図示しているが、実際には第2事業会社15に複数台の第2事業会社サーバ16が設置されている。
The second
第2事業会社サーバ16は、オペレーティングシステムによる制御に基づいて、メモリの命令ファイルに格納された医療情報管理アプリケーションを起動し、そのアプリケーションに従って以下の各手段(各プロセス)を実行する。サーバ16は、第1事業会社第1サーバ14Aから送信された個人属性データとそれに設定された個人属性データ識別子とを受信する個人属性データ受信手段を実行する。第2事業会社サーバ16には匿名医療データは送信されない。
Based on the control by the operating system, the second
第2事業会社サーバ16は、受信した個人属性データを個人属性データ識別子に関連付けた状態で保持する個人属性データ保持手段を実行する。ゆえに、サーバ16のハードディスクには個人属性データ識別子および個人属性データのみが保持され、患者の匿名医療データが保持されることはない(匿名医療データが格納されることはない)。このシステム10においてサーバ16単独では、個人属性データ識別子とそれに関連付けられた個人属性データとを検索することはできるが、匿名医療データを検索することはできない。
The second
第2事業会社サーバ16は、医療機関サーバ12A,12Bがサーバ16にアクセスしたときに、医療機関サーバ12A,12Bに認証手続を要求する認証手続要求手段を実行する。さらに、医療機関サーバ12A,12Bが認証手続を行った後に、医療機関サーバ12A,12Bが匿名医療データに対応する個人属性データ識別子を提示して個人属性データの送信を要求すると、提示された個人属性データ識別子とその個人属性データ識別子に対応する個人属性データとを医療機関サーバ12A,12Bに送信する個人属性データ送信手段を実行する。
When the
図2は、各種医療情報の格納手順の一例を示す説明図であり、図3は、第1事業会社第1サーバ14Aに格納された匿名医療データの一例を示す図である。図4は、第1事業会社第2サーバ14Bに格納された匿名医療データの一例を示す図であり、図5は、第2事業会社サーバ16に格納された個人属性データの一例を示す図である。図2では、医療機関第1サーバ12Aから医療情報が送信される場合を示す。なお、医療機関第2サーバ12Bから医療情報が送信されてもよく、第1および第2サーバ12A,12Bの両者から医療情報が送信されてもよい。
FIG. 2 is an explanatory diagram showing an example of a procedure for storing various medical information, and FIG. 3 is a diagram showing an example of anonymous medical data stored in the first business company first server 14A. 4 is a diagram showing an example of anonymous medical data stored in the first business company
匿名医療データと個人属性データとから形成される医療情報は、病院11Aにおいて個別に収集され、病院11Aの医療機関サーバ12Aのハードディスクに一時保管された後、電子データとして第1事業会社13A,13Bの第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとに送信される。医療機関第1サーバ12Aは、インターネット20に接続した後、第1事業会社第1サーバ14Aにアクセスし、患者番号と個人属性データと過去から現在までの匿名医療データと(医療情報)を第1サーバ14Aに送信する(医療情報送信手段)。
The medical information formed from the anonymous medical data and the personal attribute data is individually collected in the
第1事業会社第1サーバ14Aは、医療機関第1サーバ12Aから送信された医療情報(患者番号、診療録、診療記録、接見記録、問診記録、個人属性データ)を受信し(医療情報受信手段)、受信した医療情報を匿名医療データと個人属性データとに区分しつつ、各個人属性データにユニークな個人属性データ識別子を個別に設定する(個人属性データ識別子設定手段)。第1サーバ14Aは、それら個人属性データ識別子を各患者に個別に設定された患者番号に関連付けた状態で保持する(個人属性データ識別子保持手段)。さらに、匿名医療データのうち、過去から現在までの診療録のみを抽出し、抽出した診療録を個人属性データ識別子に関連付けた状態で保持する(匿名医療データ保持手段)。第1サーバ14Aは、匿名医療データのうち、診療録のみを保持し、診療記録や接見記録、問診記録は保持しない。
The first operating company
第1事業会社第1サーバ14Aのハードディスクには、図3に示すように、患者番号に関連付けられた個人属性データ識別子、個人属性データ識別子に関連付けられた年月日、個人属性データ識別子に関連付けられた処置、個人属性データ識別子に関連付けられた処方、個人属性データ識別子に関連付けられた所見、個人属性データ識別子に関連付けられたオーダが格納されている。なお、第1サーバ14Aは、個人属性データを第2事業会社サーバ16に送信した後、その個人属性データをハードディスクから消去する。
As shown in FIG. 3, the hard disk of the first business company
第1事業会社第1サーバ14Aは、インターネット20に接続した後、第2事業会社サーバ16と第1事業会社第2サーバ14Bとにアクセスし、個人属性データとそれに設定した個人属性データ識別子とを第2事業会社サーバ16に送信する(個人属性データ送信手段)。第1サーバ14Aは、個人属性データに設定した個人属性データ識別子(患者番号を含む)を第1事業会社第2サーバ14Bに送信するとともに、匿名医療データのうち、過去から現在までの診療記録や接見記録、問診記録を第2サーバ14Bに送信する(医療情報送信手段)。
After connecting to the
第1事業会社第2サーバ14Bは、第1事業会社第1サーバ14Aから送信された医療情報(患者番号、個人属性データ識別子、診療記録、接見記録、問診記録)を受信する(医療情報受信手段)。第2サーバ14Bは、それら個人属性データ識別子を各患者に個別に設定された患者番号に関連付けた状態で保持し(個人属性データ識別子保持手段)、個人属性データ識別子に関連付けた状態で過去から現在までの診療記録、接見記録、問診記録を保持する(匿名医療データ保持手段)。
The first business company
第1事業会社第2サーバ14Bのハードディスクには、図4に示すように、患者番号に関連付けられた個人属性データ識別子、個人属性データ識別子に関連付けられた診療記録、個人属性データ識別子に関連付けられた接見記録、個人属性データ識別子に関連付けられた問診記録が格納されている。さらに、診療記録として、個人属性データ識別子に関連付けられた年月日、個人属性データ識別子に関連付けられた撮影画像、個人属性データ識別子に関連付けられたメモ、個人属性データ識別子に関連付けられた会計記録が格納されている。
As shown in FIG. 4, the hard disk of the first operating company
第1事業会社第2サーバ14Bのハードディスクには、接見記録として、個人属性データ識別子に関連付けられた年月日、個人属性データ識別子に関連付けられた内容が格納されている。問診記録として、個人属性データ識別子に関連付けられた年月日、個人属性データ識別子に関連付けられた内容が格納されている。なお、図示はしていないが、第1事業会社が1社のみであって、その第1事業会社のサーバに匿名医療データを格納する場合は、そのサーバのハードディスクに図3,4に示す匿名医療データが纏めて格納される。
The hard disk of the first business company
第2事業会社サーバ16は、第1事業会社第1サーバ14Aから送信された個人属性データとそれに設定された個人属性データ識別子とを受信する(個人属性データ受信手段)。第2事業会社サーバ16は、受信した個人属性データを個人属性データ識別子に関連付けた状態で保持する(個人属性データ保持手段)。
The second
第2事業会社サーバ16のハードディスクには、図5に示すように、個人属性データ識別子に関連付けられた氏名、個人属性データ識別子に関連付けられた住所、個人属性データ識別子に関連付けられた郵便番号、個人属性データ識別子に関連付けられた電話番号、個人属性データ識別子に関連付けられた携帯電話番号、個人属性データ識別子に関連付けられた電子メールアドレス、個人属性データ識別子に関連付けられたURL、個人属性データ識別子に関連付けられた生年月日、個人属性データ識別子に関連付けられた顔写真画像、個人属性データ識別子に関連付けられた血液型、個人属性データ識別子に関連付けられた本籍が格納されている。
As shown in FIG. 5, the hard disk of the second
図6は、医療機関サーバ12Aにおいて患者の実名医療データを作成する手順の一例を示す図であり、図7は、作成された実名医療データの一例を示す図である。図6は、第1事業会社が1社のみの場合の例を示し、医療機関第1サーバ12Aが実名医療データを作成する場合を示す。この場合、第1事業会社第1サーバ14Aのハードディスクには、図3,4に示す匿名医療データが纏めて格納され、第2事業会社サーバ16のハードディスクには、図5に示す個人属性データが格納されている。図7では、各実名医療データの内容の具体的な記載を省略している。なお、図6と同様の手順によって医療機関第2サーバ12Bが実名医療データを作成することもできる。
FIG. 6 is a diagram illustrating an example of a procedure for creating real name medical data of a patient in the
所定の患者の実名医療データを作成する場合、医療機関第1サーバ11Aは、インターネット20に接続し、第1事業会社第1サーバ14AのURLを使用してサーバ14Aにアクセスするとともに、第2事業会社サーバ16のURLを使用してサーバ16にアクセスする。医療機関第1サーバ12Aが第1事業会社第1サーバ14Aにアクセスすると、第1事業会社第1サーバ14Aは、医療機関第1サーバ12Aに認証手続きを要求し、図6に矢印1で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。
When creating real name medical data of a predetermined patient, the medical institution
認証手続では、医療機関第1サーバ12Aに接続されたディスプレイ19に認証画面が表示され、認証画面においてユーザ名やパスワード、アカウントの入力を求める。それらが入力された後、第1事業会社第1サーバ14Aは、入力されたユーザ名やパスワード、アカウントをメモリに格納されたそれらと比較し、それらの正誤を判断する。ユーザ名やパスワード、アカウントが正しく認証結果が正当である場合、サーバ14Aからサーバ12Aへ図3,4の匿名医療データのダウンロードが可能となり、サーバ14Aとサーバ12Aとの間で匿名医療データのダウンロード処理が行われる。
In the authentication procedure, an authentication screen is displayed on the
逆に、認証結果が不当である場合、認証不可メッセージが医療機関第1サーバ12Aのディスプレイ19に表示され、匿名医療データのサーバ14Aからサーバ12Aへのダウンロードを行うことができない。認証手続における認証方式は、パスワード認証であるが、パスワード認証の他に、指紋認証や声紋認証、網膜認証、ICカード認証を行うこともできる。なお、パスワード認証としては、ワンタイムパスワードを採用することもできる。また、外部認証と内部認証とを要する相互認証を行うこともできる。
On the contrary, when the authentication result is invalid, an authentication impossible message is displayed on the
医療機関第1サーバ12Aが第2事業会社サーバ16にアクセスすると、第2事業会社サーバ16は、医療機関第1サーバ12Aに認証手続きを要求し、図6に矢印2で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続では、サーバ12Aに接続されたディスプレイ19に認証画面が表示され、認証画面においてユーザ名やパスワード、アカウントの入力を求める。それらが入力された後、サーバ16は、入力されたユーザ名やパスワード、アカウントをメモリに格納されたそれらと比較し、それらの正誤を判断する。ユーザ名やパスワード、アカウントが正しく認証結果が正当である場合、サーバ16からサーバ12Aへ図5の個人属性データのダウンロードが可能となり、サーバ16とサーバ12Aとの間で個人属性データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージが医療機関第1サーバ12Aのディスプレイ19に表示され、個人属性データのサーバ16からサーバ12Aへのダウンロードを行うことができない。
When the medical institution
匿名医療データのダウンロードが可能となった後、医療機関第1サーバ12Aは、図6に矢印3で示すように、所定の患者の患者番号を提示(患者番号を送信)して匿名医療データの送信を第1事業会社第1サーバ14Aに要求する。医療機関第1サーバ12Aが患者の患者番号を提示して匿名医療データの送信を要求すると、第1事業会社第1サーバ14Aは、提示された患者番号とハードディスクに格納された患者番号とを照合し、その患者番号に対応する個人属性データ識別子を特定する。
After the anonymous medical data can be downloaded, the medical institution
次に、第1事業会社第1サーバ14Aは、特定した個人属性データ識別子とその個人属性データ識別子に対応する過去から現在までの匿名医療データ(診療録、診療記録、接見記録、問診記録)とをハードディスクから抽出し、抽出した個人属性データ識別子と匿名医療データとを医療機関第1サーバ12Aに送信する(匿名医療データ送信手段)。医療機関第1サーバ12Aは、図6に矢印4で示すように、個人属性データ識別子と過去から現在までの匿名医療データとを第1事業会社第1サーバ14Aから受信する(匿名医療データ受信手段)。
Next, the first business company
個人属性データのダウンロードが可能となった後、医療機関第1サーバ12Aは、図6に矢印5で示すように、第1事業会社第1サーバ14Aから受信した匿名医療データに対応する個人属性データ識別子を提示(個人属性データ識別子を送信)して個人属性データの送信を第2事業会社サーバ16に要求する。医療機関第1サーバ12Aが匿名医療データに対応する個人属性データ識別子を提示して個人属性データの送信を要求すると、第2事業会社サーバ16は、提示された個人属性データ識別子とその個人属性データ識別子に対応する個人属性データとを医療機関第1サーバ12Aに送信する(個人属性データ送信手段)。
After the personal attribute data can be downloaded, the medical institution
医療機関第1サーバ12Aは、図6に矢印6で示すように、個人属性データ識別子と個人属性データとを第2事業会社サーバ16から受信する(個人属性データ受信手段)。医療機関第1サーバ12Aは、第1事業会社第1サーバ14Aから受信した匿名医療データに第2事業会社サーバ16から受信した個人属性データを適用して特定個人の実名医療データを作成する(実名医療データ作成手段)。
The medical institution
具体的には、第1事業会社第1サーバ14Aから受信した個人属性データ識別子と第2事業会社サーバ16から受信した個人属性データ識別子とを比較し、互いに一致する個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて実名医療データを作成する。医療機関第1サーバ12Aは、作成した実名医療データをディスプレイ19に表示し(実名医療データ出力手段)、実名医療データをプリンタを介して出力する(実名医療データ出力手段)。
Specifically, the personal attribute data identifier received from the first business company
作成された実名医療データでは、図7に示すように、個人属性データ表示エリア27に個人属性データが表示され、顔写真画像表示エリア28に顔写真画像が表示される。さらに、診療録表示エリア29(カルテ表示エリア)に診療録(医療データ)が表示され、診療記録表示エリア30に診療記録(医療データ)が表示される。接見記録表示エリア31に接見記録(医療データ)が表示され、問診記録表示エリア32に問診記録(医療データ)が表示される。
In the created real name medical data, as shown in FIG. 7, personal attribute data is displayed in the personal attribute data display
個人属性データ表示エリア27では、病院名表示エリアに病院名、部門名表示エリアに部門名、氏名表示エリアに患者の氏名、住所表示エリアに住所、郵便番号表示エリアに郵便番号、電話番号表示エリアに電話番号、携帯電話番号表示エリアに携帯電話番号、電子メールアドレス表示エリアに電子メールアドレス、URL表示エリアにURL、生年月日表示エリアに生年月日、血液型表示エリアに血液型、本籍表示エリアに本籍が表示される。
In the personal attribute data display
診療録表示エリア29には、年月日、処理、処方、所見、オーダ等が表示され、診療記録表示エリア30には、年月日、撮影画像、メモ、会計等が表示される。接見記録表示エリア31には、年月日、内容等が表示され、問診記録表示エリア32には、年月日、内容等が表示される。診療録表示エリア29の年月日表示エリアに表示されたプルダウンリストをクリックし、年月日を指定することによって、現在の診療録のみならず、過去のいずれかの日付や過去の所定期間における診療録を表示させることもでき、全期間表示をクリックすることによって、過去から現在までのすべての診療録を表示させることもできる。
The medical
診療記録表示エリア30の年月日表示エリアに表示されたプルダウンリストをクリックし、年月日を指定することによって、現在の診療記録のみならず、過去の診療記録を表示させることもできる。また、撮影画像表示エリアに表示された撮影画像をクリックすることによって、その撮影画像の拡大画像を表示させることができ、撮影画像表示エリアに表示されたプルダウンリストをクリックすることによってすべての撮影画像を表示させることができる。接見記録表示エリア31の年月日表示エリアに表示されたプルダウンリストをクリックし、年月日を指定することによって、現在の接見記録のみならず、過去の接見記録を表示させることもできる。問診記録表示エリア32の年月日表示エリアに表示されたプルダウンリストをクリックし、年月日を指定することによって、現在の問診記録のみならず、過去の問診記録を表示させることもできる。
By clicking the pull-down list displayed in the date display area of the medical
図6の医療情報管理システム10は、病院11Aにおいて収集された複数人の匿名医療データが第1事業会社第1サーバ14Aに保持され、複数人を個別に特定可能な個人属性データが第2事業会社サーバ16に保持されるから、匿名医療データと個人属性データとが別個独立の事業会社13A,15に分散して保管される。ゆえに、第1事業会社第1サーバ14Aから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、その医療データにそれに対応する個人属性データが含まれておらず、匿名医療データの人物の実名や住所、電話番号等の個人情報が判明することはなく、漏洩した匿名医療データから人物を特定することはできない。また、第2事業会社サーバ16から個人属性データが不正に持ち出されたり、外部に不用意に漏出したとしても、その個人属性データにそれに対応する医療データが含まれておらず、個人属性データから特定される人物の医療情報が判明することはなく、漏洩した個人属性データから医療情報を特定することはできない。
In the medical
この医療情報管理システム10は、医療情報の秘匿性を確保することができるとともに、特定個人のプライバシーを保護することができる。医療情報管理システム10は、医療機関第1サーバ12Aが第1事業会社第1サーバ14Aから受信した匿名医療データに第2事業会社サーバ16から受信した個人属性データを適用して特定個人の実名医療データを作成するから、病院11Aにおいて特定の人物の医療情報を確実に取得かつ確認することができる。
The medical
図8は、医療機関サーバ12Aにおいて患者の実名医療データを作成する手順の他の一例を示す図である。図8は、第1事業会社が2社(第1事業会社サーバが2つ)の場合の例を示す。この場合、第1事業会社第1サーバ14Aのハードディスクには、図3に示す匿名医療データが格納され、第1事業会社第2サーバ14Bのハードディスクには、図4に示す匿名医療データが格納されている。また、第2事業会社サーバ16のハードディスクには、図5に示す個人属性データが格納されている。なお、別個独立の3つ以上の第1事業会社サーバの存在下においてこの医療情報管理システム10を実施することもでき、図8と同様の手順によって医療機関第2サーバ12Bが実名医療データを作成することもできる。
FIG. 8 is a diagram showing another example of a procedure for creating real name medical data of a patient in the
所定の患者の実名医療データを作成する場合、医療機関第1サーバ12Aは、インターネット20に接続し、第1事業会社第1サーバ14AのURLを使用してサーバ14Aにアクセスし、第1事業会社第2サーバ14BのURLを使用してサーバ14Bにアクセスするとともに、第2事業会社サーバ16のURLを使用してサーバ16にアクセスする。
When creating the real name medical data of a predetermined patient, the medical institution
医療機関第1サーバ12Aが第1事業会社第1サーバ14Aにアクセスすると、第1サーバ14Aは、第1サーバ12Aに認証手続きを要求し、図8に矢印1で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。
When the medical institution
認証結果が正当である場合、第1事業会社第1サーバ14Aから医療機関第1サーバ12Aへ図3の匿名医療データのダウンロードが可能となり、サーバ14Aとサーバ12Aとの間で匿名医療データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Aのディスプレイ19に表示され、匿名医療データのサーバ14Aからサーバ12Aへのダウンロードを行うことができない。
When the authentication result is valid, the anonymous medical data in FIG. 3 can be downloaded from the first business company
医療機関第1サーバ12Aが第1事業会社第2サーバ14Bにアクセスすると、第2サーバ14Bは、第1サーバ12Aに認証手続きを要求し、図8に矢印2で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。
When the medical institution
認証結果が正当である場合、第1事業会社第2サーバ14Bから医療機関第1サーバ12Aへ図4の匿名医療データのダウンロードが可能となり、サーバ14Bとサーバ12Aとの間で匿名医療データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Aのディスプレイ19に表示され、匿名医療データのサーバ14Bからサーバ12Aへのダウンロードを行うことができない。
When the authentication result is valid, the anonymous medical data in FIG. 4 can be downloaded from the first business company
医療機関第1サーバ12Aが第2事業会社サーバ16にアクセスすると、サーバ16は、第1サーバ12Aに認証手続きを要求し、図8に矢印3で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。
When the medical institution
認証結果が正当である場合、第2事業会社サーバ16から医療機関第1サーバ12Aへ図5の個人属性データのダウンロードが可能となり、サーバ16とサーバ12Aとの間で個人属性データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Aのディスプレイ19に表示され、個人属性データのサーバ16からサーバ12Aへのダウンロードを行うことができない。
If the authentication result is valid, the personal attribute data in FIG. 5 can be downloaded from the second
匿名医療データのダウンロードが可能となった後、医療機関第1サーバ12Aは、図8に矢印4で示すように、所定の患者の患者番号を提示(患者番号を送信)して匿名医療データの送信を第1事業会社第1サーバ14Aに要求する。医療機関第1サーバ12Aが患者の患者番号を提示して匿名医療データの送信を要求すると、第1事業会社第1サーバ14Aは、提示された患者番号とハードディスクに格納された患者番号とを照合し、その患者番号に対応する個人属性データ識別子を特定する。
After the anonymous medical data can be downloaded, the medical institution
次に、第1事業会社第1サーバ14Aは、特定した個人属性データ識別子とその個人属性データ識別子に対応する過去から現在までの匿名医療データ(診療録)とをハードディスクから抽出し、抽出した個人属性データ識別子と匿名医療データとを医療機関第1サーバ12Aに送信する(匿名医療データ送信手段)。医療機関第1サーバ12Aは、図8に矢印5で示すように、個人属性データ識別子と過去から現在までの匿名医療データとを第1事業会社第1サーバ14Aから受信する(匿名医療データ受信手段)。
Next, the first operating company
匿名医療データのダウンロードが可能となった後であって、第1事業会社第1サーバ14Aから個人属性データ識別子と匿名医療データとを受信した後、医療機関第1サーバ12Aは、図8に矢印6で示すように、受信した個人属性データ識別子を提示(個人属性データ識別子を送信)して匿名医療データの送信を第1事業会社第2サーバ14Bに要求する。
After the anonymous medical data can be downloaded and after receiving the personal attribute data identifier and the anonymous medical data from the first business company
医療機関第1サーバ12Aが個人属性データ識別子を提示して匿名医療データの送信を要求すると、第1事業会社第2サーバ14Bは、その個人属性データ識別子に対応する過去から現在までの匿名医療データ(診療記録、接見記録、問診記録)をハードディスクから抽出し、個人属性データ識別子と抽出した匿名医療データとを医療機関第1サーバ12Aに送信する(匿名医療データ送信手段)。医療機関第1サーバ12Aは、図8に矢印7で示すように、個人属性データ識別子と過去から現在までの匿名医療データとを第1事業会社第2サーバ14Bから受信する(匿名医療データ受信手段)。
When the medical institution
個人属性データのダウンロードが可能となった後、医療機関第1サーバ12Aは、図8に矢印8で示すように、第1事業会社第1サーバ14Aまたは第1事業会社第2サーバ14Bから受信した匿名医療データに対応する個人属性データ識別子を提示(個人属性データ識別子を送信)して個人属性データの送信を第2事業会社サーバ16に要求する。医療機関第1サーバ12Aが匿名医療データに対応する個人属性データ識別子を提示して個人属性データの送信を要求すると、第2事業会社サーバ16は、図8に矢印9で示すように、提示された個人属性データ識別子とその個人属性データ識別子に対応する個人属性データとを医療機関第1サーバ12Aに送信する(個人属性データ送信手段)。
After the personal attribute data can be downloaded, the medical institution
医療機関第1サーバ12Aは、個人属性データ識別子と個人属性データとを第2事業会社サーバ16から受信する(個人属性データ受信手段)。医療機関第1サーバ12Aは、第1事業会社第1サーバ14Aおよび第1事業会社第2サーバ14Bから受信した匿名医療データに第2事業会社サーバ16から受信した個人属性データを適用して特定個人の実名医療データを作成する(実名医療データ作成手段)。
The first
具体的には、第1事業会社第1サーバ14Aおよび第1事業会社第2サーバ14Bから受信した個人属性データ識別子と第2事業会社サーバ16から受信した個人属性データ識別子とを比較し、互いに一致する個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて実名医療データを作成する。医療機関第1サーバ12Aは、作成した実名医療データをディスプレイ19に表示し(実名医療データ出力手段)、実名医療データをプリンタを介して出力する(実名医療データ出力手段)。図7を援用することで、作成された実名医療データの説明は省略する。
Specifically, the personal attribute data identifiers received from the first business company
図8の医療情報管理システム10は、匿名医療データを別個独立の第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとにおいて保持することで、匿名医療データが別々の第1事業会社13A,13Bに分散して保管される。ゆえに、第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとのいずれかから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、匿名医療データのうちの一部のみが判明するだけであり、匿名医療データの全内容が判明するリスクを回避することができる。また、第2事業会社サーバ16から個人属性データが不正に持ち出されたり、外部に不用意に漏出したとしても、その個人属性データにそれに対応する医療データが含まれておらず、個人属性データから特定される人物の医療情報が判明することはなく、漏洩した個人属性データから医療情報を特定することはできない。
The medical
この医療情報管理システム10は、医療情報の秘匿性を確保することができるとともに、特定個人のプライバシーを保護することができる。医療情報管理システム10は、医療機関第1サーバ12Aが第1事業会社第1サーバ14Aや第1事業会社第2サーバ14Bから受信した匿名医療データに第2事業会社サーバ16から受信した個人属性データを適用して特定個人の実名医療データを作成するから、病院11Aにおいて特定の人物の医療情報を確実に取得かつ確認することができる。
The medical
図9は、医療機関サーバ12Bにおいて患者の実名医療データを作成する手順の他の一例を示す図である。図9は、病院が2つ(医療機関サーバが2つ)の場合の例を示し、病院11Aから病院11Bに匿名医療データを転送する例を示す。この場合、第1事業会社第1サーバ14Aのハードディスクには、図3,4に示す匿名医療データが纏めて格納され、第2事業会社サーバ16のハードディスクには、図5に示す個人属性データが格納されている。なお、別個独立の3つ以上の医療機関サーバの存在下においてこの医療情報管理システム10を実施することもできる。最初に、医療機関第1サーバ12Aは、インターネット20に接続し、第1事業会社第1サーバ14AのURLを使用してサーバ14Aにアクセスする。
FIG. 9 is a diagram showing another example of a procedure for creating real name medical data of a patient in the
医療機関第1サーバ12Aが第1事業会社第1サーバ14Aにアクセスすると、第1事業会社第1サーバ14Aは、医療機関第1サーバ12Aに認証手続きを要求し、図9に矢印1で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。
When the medical institution
認証結果が正当である場合、第1事業会社第1サーバ14Aから医療機関第1サーバ12Aへ図3,4の匿名医療データのダウンロードが可能となり、サーバ14Aとサーバ12Aとの間で匿名医療データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Aのディスプレイ19に表示され、匿名医療データのサーバ14Aからサーバ12Aへのダウンロードを行うことができない。
When the authentication result is valid, the anonymous medical data in FIGS. 3 and 4 can be downloaded from the first business company
匿名医療データのダウンロードが可能となった後、医療機関第1サーバ12Aは、図9に矢印2で示すように、所定の患者の患者番号を提示(患者番号を入力)して匿名医療データの送信を第1事業会社第1サーバ14Aに要求する。医療機関第1サーバ12Aが患者の患者番号を提示して匿名医療データの送信を要求すると、第1事業会社第1サーバ14Aは、提示された患者番号とハードディスクに格納された患者番号とを照合し、その患者番号に対応する個人属性データ識別子を特定する。
After the download of the anonymous medical data becomes possible, the medical institution
次に、第1事業会社第1サーバ14Aは、特定した個人属性データ識別子とその個人属性データ識別子に対応する過去から現在までの匿名医療データ(診療録、診療記録、接見記録、問診記録)とをハードディスクから抽出し、抽出した個人属性データ識別子と匿名医療データとを医療機関第1サーバ12Aに送信する(匿名医療データ送信手段)。医療機関第1サーバ12Aは、図9に矢印3で示すように、個人属性データ識別子と過去から現在までの匿名医療データとを第1事業会社第1サーバ14Aから受信する(匿名医療データ受信手段)。
Next, the first business company
医療機関第2サーバ12Bは、インターネット20に接続し、医療機関第1サーバ12AのURLを使用してサーバ12Aにアクセスする。医療機関第2サーバ12Bが医療機関第1サーバ12Aにアクセスすると、第1サーバ12Aは、第2サーバ12Bに認証手続きを要求し、図9に矢印4で示すように、サーバ12Bの正当性を判断する認証手続を行う(認証手続要求手段)。
The medical institution
認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。認証結果が正当である場合、サーバ12Aからサーバ12Bへ図3,4の匿名医療データのダウンロードが可能となり、サーバ12Aとサーバ12Bとの間で匿名医療データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Bのディスプレイ19に表示され、匿名医療データのサーバ12Aからサーバ12Bへのダウンロードを行うことができない。
Since the authentication procedure is the same as that in FIG. 6, that in FIG. 6 is used and the description thereof is omitted. If the authentication result is valid, the anonymous medical data shown in FIGS. 3 and 4 can be downloaded from the
匿名医療データのダウンロードが可能となった後、医療機関第2サーバ12Bは、図9に矢印5で示すように、所定の患者の患者番号を提示(患者番号を送信)して匿名医療データの送信を医療機関第1サーバ12Aに要求する。医療機関第2サーバ12Bが患者の患者番号を提示して匿名医療データの送信を要求すると、医療機関第1サーバ12Aは、提示された患者番号に対応する個人属性データ識別子を特定し、匿名医療データ受信手段によって第1事業会社第1サーバ14Aから受信した個人属性データ識別子と匿名医療データ(診療録、診療記録、接見記録、問診記録)とを医療機関第2サーバ12Bに転送する(匿名医療データ転送手段)。
After the anonymous medical data can be downloaded, the medical institution
医療機関第2サーバ12Bは、図9に矢印6で示すように、個人属性データ識別子と過去から現在までの匿名医療データとを医療機関第1サーバ12Aから受信する(匿名医療データ受信手段)。なお、匿名医療データ転送手段では、個人属性データ識別子と匿名医療データとを所定のメモリデバイスに格納し、そのメモリデバイスを医療機関11Aが医療機関11Bに渡し、個人属性データ識別子や匿名医療データの転送を行ってもよい。
The medical institution
医療機関第1サーバ12Aから個人属性データ識別子と匿名医療データとを受信した医療機関第2サーバ12Bは、第2事業会社サーバ16のURLを使用し、インターネット20を介してサーバ16にアクセスする。医療機関第2サーバ12Bが第2事業会社サーバ16にアクセスすると、第2事業会社サーバ16は、医療機関第2サーバ12Bに認証手続きを要求し、図9に矢印7で示すように、サーバ12Bの正当性を判断する認証手続を行う(認証手続要求手段)。
The medical institution
認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。認証結果が正当である場合、サーバ16からサーバ12Bへ図5の個人属性データのダウンロードが可能となり、サーバ16とサーバ12Bとの間で個人属性データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Bのディスプレイ19に表示され、個人属性データのサーバ16からサーバ12Bへのダウンロードを行うことができない。
Since the authentication procedure is the same as that in FIG. 6, that in FIG. 6 is used and the description thereof is omitted. If the authentication result is valid, the personal attribute data in FIG. 5 can be downloaded from the
個人属性データのダウンロードが可能となった後、医療機関第2サーバ12Bは、図9に矢印8で示すように、医療機関第1サーバ12Aから受信した匿名医療データに対応する個人属性データ識別子を提示(個人属性データ識別子を送信)して個人属性データの送信を第2事業会社サーバ16に要求する。医療機関第2サーバ12Bが匿名医療データに対応する個人属性データ識別子を提示して個人属性データの送信を要求すると、第2事業会社サーバ16は、図9に矢印9で示すように、提示された個人属性データ識別子とその個人属性データ識別子に対応する個人属性データとをサーバ12Bに送信する(個人属性データ送信手段)。
After the personal attribute data can be downloaded, the medical institution
医療機関第2サーバ12Bは、個人属性データ識別子と個人属性データとを第2事業会社サーバ16から受信する(個人属性データ受信手段)。医療機関第2サーバ12Bは、医療機関第1サーバ12Aから受信した匿名医療データに第2事業会社サーバ16から受信した個人属性データを適用して特定個人の実名医療データを作成する(実名医療データ作成手段)。
The medical institution
具体的には、医療機関第1サーバ12Aから受信した個人属性データ識別子と第2事業会社サーバ16から受信した個人属性データ識別子とを比較し、互いに一致する個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて実名医療データを作成する。医療機関第2サーバ12Bは、作成した実名医療データをディスプレイ19に表示し(実名医療データ出力手段)、実名医療データをプリンタを介して出力する(実名医療データ出力手段)。図7を援用することで、作成された実名医療データの説明は省略する。
Specifically, the personal attribute data identifier received from the medical institution
図9の医療情報管理システム10は、医療機関第1サーバ12Aから特定個人の匿名医療データを取得した医療機関第2サーバ12Bがその医療データに個人属性データを適用して特定個人の実名医療データを作成することができ、患者を紹介された病院や患者の移動先の病院においてその患者の医療情報を確実に取得かつ確認することができる。
In the medical
この医療情報管理システム10は、第1事業会社第1サーバ14Aから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、その医療データにそれに対応する個人属性データが含まれておらず、匿名医療データの人物の実名や住所、電話番号等が判明することはなく、漏洩した匿名医療データから人物を特定することはできない。また、第2事業会社サーバ16から個人属性データが不正に持ち出されたり、外部に不用意に漏出したとしても、その個人属性データにそれに対応する医療データが含まれておらず、個人属性データから特定される人物の医療情報が判明することはなく、漏洩した個人属性データから医療情報を特定することはできない。医療情報管理システム10は、医療情報の秘匿性を確保することができるとともに、特定個人のプライバシーを保護することができる。
In this medical
図10は、各種医療情報の格納手順の他の一例を示す説明図であり、図11は、第1事業会社第1サーバ14Aに格納された匿名医療データの他の一例を示す図である。図12は、第2事業会社サーバ16に格納された個人属性データの他の一例を示す図である。図10に示す態様において、医療機関第1サーバ12Aと医療機関第2サーバ12Bとのうちの少なくとも一方は、患者の各種医療情報(患者番号(個人特定識別子)を含む)を電子データとして第1事業会社第1サーバ14Aに送信する医療情報送信手段を実行する。患者の医療情報には、匿名医療データと個人属性データとが含まれる。医療情報送信手段は、患者の医療情報が更新される度毎に実行される。
FIG. 10 is an explanatory diagram showing another example of a procedure for storing various medical information, and FIG. 11 is a diagram showing another example of anonymous medical data stored in the first business company
医療機関第1サーバ12Aと医療機関第2サーバ12Bとは、個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データとを第1事業会社第1サーバ14Aから受信する匿名医療データ受信手段を実行し、匿名医療データ受信手段によって第1事業会社第1サーバ14Aから受信した個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データとを他の医療機関サーバ12A,12Bに転送する匿名医療データ転送手段を実行する。なお、属性項目として、氏名、住所、郵便番号、電話番号、携帯電話番号、電子メールアドレス、URL、生年月日、顔写真画像、血液型、本籍を例示しているが、属性項目をそれらに限定するものではなく、個人情報のすべての項目が含まれる。
The medical institution
医療機関第1サーバ12Aと医療機関第2サーバ12Bとは、匿名医療データ受信手段によって受信した匿名医療データに対応する個人属性データ識別子とその個人属性データ識別子に対応する属性項目および個人属性データとを第2事業会社サーバ16から受信する個人属性データ受信手段を実行し、第1事業会社第1サーバ14Aから受信した匿名医療データに第2事業会社サーバ16から受信した個人属性データを適用して特定個人の実名医療データを作成する実名医療データ作成手段を実行する。さらに、作成した実名医療データを出力装置を介して出力する実名医療データ出力手段を実行する。
The medical institution
第1事業会社第1サーバ14Aは、医療機関サーバ12A,12Bから送信された患者の各種医療情報を受信する医療情報受信手段を実行し、受信した医療情報を匿名医療データと個人属性データとに区分しつつ、患者に個別に設定された患者番号に関連付けた状態で匿名医療データを保持する匿名医療データ保持手段を実行する。サーバ14Aは、個人属性データが属する各属性項目にユニークな個人属性データ識別子を割り当てる個人属性データ識別子割当手段を実行し、各属性項目と割り当てた各個人属性データ識別子とを患者番号に関連付けた状態で保持する個人属性データ識別子保持手段を実行する。
The first operating company
第1事業会社第1サーバ14Aは、割り当てた個人属性データ識別子とその個人属性データ識別子に対応する属性項目および個人属性データとを第2事業会社サーバ16に送信する個人属性データ送信手段を実行する。ゆえに、第1サーバ14Aのハードディスクには、個人属性データ識別子、属性項目、匿名医療データのみが保持され、患者の個人属性データが保持されることはない(個人属性データが格納されることはない)。
The first business company
第1事業会社第1サーバ14Aは、医療機関サーバ12A,12Bがサーバ14Aにアクセスしたときに、医療機関サーバ12A,12Bに認証手続を要求する認証手続要求手段を実行する。第1サーバ14Aは、医療機関サーバ12A,12Bが認証手続を行った後、医療機関サーバ12A,12Bが患者の患者番号を提示して匿名医療データの送信を要求すると、提示された患者番号に対応する個人属性データ識別子を特定しつつ、特定した個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データとを医療機関サーバ12A,12Bに送信する匿名医療データ送信手段を実行する。
When the
第2事業会社サーバ16は、第1事業会社第1サーバ14Aから送信された個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データとを受信する個人属性データ受信手段を実行する。第2事業会社サーバ16には匿名医療データは送信されない。第2事業会社サーバ16は、受信した個人属性データを属性項目毎に区分し、個人属性データをそれが属する属性項目の個人属性データ識別子に関連付けた状態で保持する個人属性データ保持手段を実行する。サーバ16のハードディスクには、個人属性データ識別子、属性項目、個人属性データのみが保持され、患者の匿名医療データが保持されることはない(匿名医療データが格納されることはない)。
The second
第2事業会社サーバ16は、医療機関サーバ12A,12Bがサーバ16にアクセスしたときに、医療機関サーバ12A,12Bに認証手続を要求する認証手続要求手段を実行する。さらに、医療機関サーバ12A,12Bが認証手続を行った後に、医療機関サーバ12A,12Bが匿名医療データに対応する属性項目および個人属性データ識別子を提示して個人属性データの送信を要求すると、提示された属性項目および個人属性データ識別子とその属性項目および個人属性データ識別子に対応する個人属性データとをサーバ12A,12Bに送信する個人属性データ送信手段を実行する。
When the
図10に基づいて匿名医療データおよび個人属性データの格納の他の一例を説明すると、以下のとおりである。医療機関第1サーバ12Aは、インターネット20に接続した後、第1事業会社第1サーバ14Aにアクセスし、患者番号と個人属性データと過去から現在までの匿名医療データと(医療情報)を第1サーバ14Aに送信する(医療情報送信手段)。
Another example of storing anonymous medical data and personal attribute data will be described with reference to FIG. After connecting to the
第1事業会社第1サーバ14Aは、医療機関第1サーバ12Aから送信された医療情報(患者番号、診療録、診療記録、接見記録、問診記録、個人属性データ)を受信し(医療情報受信手段)、受信した医療情報を匿名医療データと個人属性データとに区分しつつ、患者に個別に設定された患者番号に関連付けた状態で匿名医療データを保持する(匿名医療データ保持手段)。サーバ14Aは、個人属性データが属する各属性項目にユニークな個人属性データ識別子を割り当て(個人属性データ識別子割当手段)、各属性項目と割り当てた各個人属性データ識別子とを患者番号に関連付けた状態で保持する(個人属性データ識別子保持手段)。
The first operating company
第1事業会社第1サーバ14Aのハードディスクには、図11に示すように、患者番号に関連付けられた属性項目および個人属性データ識別子、匿名医療データ(診療録、診療記録、接見記録、問診記録)が格納されている。診療録には、年月日、処置、処方、所見、オーダが含まれ、診療記録には、年月日、撮影画像、メモ、会計が含まれる。接見記録および問診記録には、年月日、内容が含まれる。第1事業会社第1サーバ14Aは、インターネット20に接続した後、第2事業会社サーバ16にアクセスし、割り当てた個人属性データ識別子と属性項目および個人属性データとを第2事業会社サーバ16に送信する(個人属性データ送信手段)。なお、第1サーバ14Aは、個人属性データを第2事業会社サーバ16に送信した後、その個人属性データをハードディスクから消去する。
On the hard disk of the first operating company
第2事業会社サーバ16は、第1事業会社第1サーバ14Aから送信された個人属性データ識別子とその個人属性データ識別子に対応する属性項目および個人属性データとを受信する(個人属性データ受信手段)。第2事業会社サーバ16は、受信した個人属性データを属性項目毎に区分し、個人属性データをそれが属する属性項目の個人属性データ識別子に関連付けた状態で保持する(個人属性データ保持手段)。
The second
第2事業会社サーバ16のハードディスクには、図12に示すように、各属性項目毎に区分された個人属性データが個人属性データ識別子に関連付けた状態で格納されている。氏名の属性項目には、個人属性データ識別子(2)(氏名属性項目の2番目のファイル)に実際の氏名が格納され、住所の属性項目には、個人属性データ識別子(5)(住所属性項目の5番目のファイル)に実際の住所が格納されている。郵便番号の属性項目には、個人属性データ識別子(1)(郵便番号属性項目の1番目のファイル)に実際の郵便番号が格納され、電話番号の属性項目には、個人属性データ識別子(1)に実際の電話番号が格納されている。
As shown in FIG. 12, the hard disk of the second
携帯電話番号の属性項目には、個人属性データ識別子(3)(携帯電話番号属性項目の3番目のファイル)に実際の携帯電話番号が格納され、電子メールアドレスの属性項目には、個人属性データ識別子(4)(電子メースアドレス属性項目の4番目のファイル)に実際の電子メールアドレスが格納されている。URLの属性項目には、個人属性データ識別子(2)(URL属性項目の2番目のファイル)に実際のURLが格納され、生年月日の属性項目には、個人属性データ識別子(6)(生年月日属性項目の6番目のファイル)に実際の生年月日が格納されている。顔写真画像の属性項目には、個人属性データ識別子(5)(顔写真画像属性項目の5番目のファイル)に実際の顔写真画像が格納され、血液型の属性項目には、個人属性データ識別子(6)(血液型属性項目の6番目のファイル)に実際の血液型が格納されている。本籍の属性項目には、個人属性データ識別子(1)(本籍属性項目の1番目のファイル)に実際の本籍が格納されている。なお、個人属性データ識別子として、数字を例示しているが、個人属性データ識別子を数字に限定するものではなく、数字の他に、アルファベットや記号、文字等を使用することもできる。 The mobile phone number attribute item stores the actual mobile phone number in the personal attribute data identifier (3) (third file of the mobile phone number attribute item), and the e-mail address attribute item contains the personal attribute data. The actual e-mail address is stored in the identifier (4) (the fourth file of the e-mail address attribute item). In the URL attribute item, the actual URL is stored in the personal attribute data identifier (2) (second file of the URL attribute item), and in the date of birth attribute item, the personal attribute data identifier (6) (birth year) The actual date of birth is stored in the sixth file of the date attribute item). In the attribute item of the face photograph image, the actual face photograph image is stored in the personal attribute data identifier (5) (the fifth file of the face photograph image attribute item), and in the blood type attribute item, the personal attribute data identifier (6) The actual blood type is stored in (sixth file of blood type attribute item). In the attribute item of the permanent address, the actual permanent address is stored in the personal attribute data identifier (1) (first file of the permanent attribute attribute item). In addition, although the number is illustrated as a personal attribute data identifier, a personal attribute data identifier is not limited to a number, In addition to a number, an alphabet, a symbol, a character, etc. can also be used.
図6を援用し、図10,11の匿名医療データや個人属性データから医療機関サーバ12Aが患者の実名医療データを作成する手順の一例を説明すると、以下のとおりである。所定の患者の実名医療データを作成する場合、医療機関第1サーバ12Aは、インターネット20に接続し、第1事業会社第1サーバ14AのURLを使用してサーバ14Aにアクセスするとともに、第2事業会社サーバ16のURLを使用してサーバ16にアクセスする。
With reference to FIG. 6, an example of a procedure in which the medical institution server 12 </ b> A creates the patient's real name medical data from the anonymous medical data and personal attribute data in FIGS. 10 and 11 will be described as follows. When creating the real name medical data of a predetermined patient, the medical institution
医療機関第1サーバ12Aが第1事業会社第1サーバ14Aにアクセスすると、第1事業会社第1サーバ14Aは、医療機関第1サーバ12Aに認証手続きを要求し、図6に矢印1で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続は図6に示すとおりであるから、その説明は省略する。
When the medical institution
認証結果が正当である場合、第1事業会社第1サーバ14Aから医療機関第1サーバ12Aへ図11の匿名医療データのダウンロードが可能となり、サーバ14Aとサーバ12Aとの間で匿名医療データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Aのディスプレイ19に表示され、匿名医療データのサーバ14Aからサーバ12Aへのダウンロードを行うことができない。
If the authentication result is valid, the anonymous medical data in FIG. 11 can be downloaded from the first business company
医療機関第1サーバ12Aが第2事業会社サーバ16にアクセスすると、第2事業会社サーバ16は、医療機関第1サーバ12Aに認証手続きを要求し、図6に矢印2で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続は図6に示すとおりであるから、その説明は省略する。
When the medical institution
認証結果が正当である場合、第2事業会社サーバ16から医療機関第1サーバ12Aへ図5の個人属性データのダウンロードが可能となり、サーバ16とサーバ12Aとの間で個人属性データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Aのディスプレイ19に表示され、個人属性データのサーバ16からサーバ12Aへのダウンロードを行うことができない。
If the authentication result is valid, the personal attribute data in FIG. 5 can be downloaded from the second
匿名医療データのダウンロードが可能となった後、医療機関第1サーバ12Aは、図6に矢印3で示すように、患者の患者番号を提示(患者番号を送信)して匿名医療データの送信を第1事業会社第1サーバ14Aに要求する。サーバ12Aが患者番号を提示して匿名医療データの送信を要求すると、第1事業会社第1サーバ14Aは、提示された患者番号とハードディスクに格納された患者番号とを照合し、その患者番号に対応する個人属性データ識別子を特定しつつ、特定した個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データ(診療録、診療記録、接見記録、問診記録)とをハードディスクから抽出し、抽出した個人属性データ識別子、属性項目、匿名医療データを医療機関第1サーバ12Aに送信する(匿名医療データ送信手段)。医療機関第1サーバ12Aは、図6に矢印4で示すように、個人属性データ識別子とその個人属性データ識別子に対応する属性項目および過去から現在までの匿名医療データとを第1事業会社第1サーバ14Aから受信する(匿名医療データ受信手段)。
After the anonymous medical data can be downloaded, the medical institution
個人属性データのダウンロードが可能となった後、医療機関第1サーバ12Aは、図6に矢印5で示すように、第1事業会社第1サーバ14Aから受信した匿名医療データに対応する属性項目および個人属性データ識別子を提示(属性項目および個人属性データ識別子を送信)して個人属性データの送信を第2事業会社サーバ16に要求する。第1サーバ12Aが匿名医療データに対応する属性項目および個人属性データ識別子を提示して個人属性データの送信を要求すると、第2事業会社サーバ16は、提示された属性項目および個人属性データ識別子とその属性項目および個人属性データ識別子に対応する個人属性データとをハードディスクから抽出し、抽出した個人属性データ識別子、属性項目、個人属性データを第1サーバ12Aに送信する(個人属性データ送信手段)。
After the personal attribute data can be downloaded, the medical institution
医療機関第1サーバ12Aは、図6に矢印6で示すように、個人属性データ識別子とその個人属性データ識別子に対応する属性項目および個人属性データとを第2事業会社サーバ16から受信する(個人属性データ受信手段)。第1サーバ12Aは、第1事業会社第1サーバ14Aから受信した属性項目および個人属性データ識別子と第2事業会社サーバ16から受信した属性項目および個人属性データ識別子とを比較しつつ、互いに一致する属性項目および個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて実名医療データを作成する(実名医療データ作成手段)。
The medical institution
具体的に医療機関第1サーバ12Aは、第1事業会社第1サーバ14Aから受信した属性項目と第2事業会社サーバ16から受信した属性項目とを比較し、互いに一致する属性項目においてそれら属性項目の個人属性データ識別子を比較した後、個人属性データ識別子が一致した場合、第1サーバ14Aから受信した匿名医療データを正当なデータと判断する。次に、各属性項目において個人属性データ識別子どうしを比較し、個人属性データ識別子が一致した場合、サーバ16から受信した各属性項目(ファイル)の個人属性データを正当なデータと判断する。
Specifically, the medical institution
医療機関第1サーバ12Aは、氏名属性項目の個人属性データ識別子(2)(氏名属性項目の2番目のファイル)にある実際の氏名を第1事業会社第1サーバ14Aから受信した氏名属性項目に適用し、住所属性項目の個人属性データ識別子(5)(住所属性項目の5番目のファイル)にある実際の住所を第1サーバ14Aから受信した住所属性項目に適用する。郵便番号属性項目の個人属性データ識別子(1)(郵便番号属性項目の1番目のファイル)にある実際の郵便番号を第1サーバ14Aから受信した郵便番号属性項目に適用し、電話番号属性項目の個人属性データ識別子(1)(電話番号属性項目の1番目のファイル)にある実際の電話番号を第1サーバ14Aから受信した電話番号属性項目に適用する。
The medical institution
医療機関第1サーバ12Aは、携帯電話番号属性項目の個人属性データ識別子(3)(携帯電話番号属性項目の3番目のファイル)にある実際の携帯電話番号を第1サーバ14Aから受信した携帯電話番号属性項目に適用し、電子メールアドレス属性項目の個人属性データ識別子(4)(電子メールアドレス属性項目の4番目のファイル)にある実際の電子メールアドレスを第1サーバ14Aから受信した電子メールアドレス属性項目に適用する。URL属性項目の個人属性データ識別子(2)(URL属性項目の2番目のファイル)にある実際のURLを第1サーバ14Aから受信したURL属性項目に適用し、生年月日属性項目の個人属性データ識別子(6)(生年月日属性項目の4番目のファイル)にある実際の生年月日を第1サーバ14Aから受信した生年月日属性項目に適用する。
The medical institution
医療機関第1サーバ12Aは、顔写真画像属性項目の個人属性データ識別子(5)(顔写真画像属性項目の5番目のファイル)にある実際の顔写真画像を第1サーバ14Aから受信した顔写真画像属性項目に適用し、血液型属性項目の個人属性データ識別子(6)(血液型属性項目の6番目のファイル)にある実際の血液型を第1サーバ14Aから受信した血液型属性項目に適用する。本籍項目の個人属性データ識別子(1)(本籍項目の1番目のファイル)にある実際の本籍を第1サーバ14Aから受信した本籍属性項目に適用する。
The medical institution
医療機関第1サーバ12Aは、属性項目どうしの適用が終了した後、個人属性データと匿名医療データとを組み合わせて実名医療データを作成する。第1サーバ12Aは、作成した実名医療データをディスプレイ19に表示し(実名医療データ出力手段)、実名医療データをプリンタを介して出力する(実名医療データ出力手段)。第1サーバ12Aは、作成した実名医療データをハードディスクに格納することもできる。図7を援用することで、作成された実名医療データの説明は省略する。
After the application of the attribute items is completed, the first
図10の態様の医療情報管理システム10は、病院11Aにおいて収集された複数の患者の匿名医療データが第1事業会社第1サーバ14Aに保持されるとともに、個人属性データが各属性項目に割り当てた個人属性データ識別子として第1サーバ14Aに保持され、各患者の個人属性データが第2事業会社サーバ16に保持されるから、匿名医療データと個人属性データとが別個独立の事業会社13A,15に分散して保管される。ゆえに、第1サーバ14Aから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、その医療データにそれに対応する個人属性データが含まれておらず、匿名医療データの人物の実名や住所、電話番号等の個人情報が判明することはなく、漏洩した匿名医療データから人物を特定することはできない。また、サーバ16から個人属性データが不正に持ち出されたり、外部に不用意に漏出したとしても、その個人属性データにそれに対応する医療データが含まれておらず、個人属性データから特定される人物の医療情報が判明することはなく、漏洩した個人属性データから医療情報を特定することはできない。
In the medical
この医療情報管理システム10は、第1事業会社第1サーバ14Aが各属性項目と割り当てた個人属性データ識別子とを患者番号に関連付けた状態で保持するから、各個人属性データの組み合わせ情報が第1サーバ14Aで管理されており、第2事業会社サーバ16において個人情報を特定することもできない。医療情報管理システム10は、医療情報の秘匿性を確保することができるとともに、特定個人のプライバシーを保護することができる。医療情報管理システム10は、医療機関第1サーバ12Aが第1事業会社第1サーバ14Aから受信した匿名医療データに第2事業会社サーバ16から受信した個人属性データを適用して特定個人の実名医療データを作成するから、病院11Aにおいて特定の患者の医療情報を確実に取得かつ確認することができる。
The medical
図9を援用し、医療機関サーバ12Bにおいて患者の実名医療データを作成する手順の他の一例を説明すると、以下のとおりである。なお、第1事業会社第1サーバ14Aには、図11の匿名医療データが格納され、第2事業会社サーバ16には、図12の個人属性データが格納されている。最初に、医療機関第1サーバ12Aは、インターネット20に接続し、第1事業会社第1サーバ14AのURLを使用してサーバ14Aにアクセスする。
With reference to FIG. 9, another example of the procedure for creating the real name medical data of the patient in the
医療機関第1サーバ12Aが第1事業会社第1サーバ14Aにアクセスすると、第1事業会社第1サーバ14Aは、医療機関第1サーバ12Aに認証手続きを要求し、図9に矢印1で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。
When the medical institution
認証結果が正当である場合、第1事業会社第1サーバ14Aから医療機関第1サーバ12Aへ図11の匿名医療データのダウンロードが可能となり、サーバ14Aとサーバ12Aとの間で匿名医療データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Aのディスプレイ19に表示され、匿名医療データのサーバ14Aからサーバ12Aへのダウンロードを行うことができない。
If the authentication result is valid, the anonymous medical data in FIG. 11 can be downloaded from the first business company
匿名医療データのダウンロードが可能となった後、医療機関第1サーバ12Aは、図9に矢印2で示すように、患者の患者番号を提示(患者番号を入力)して匿名医療データの送信を第1事業会社第1サーバ14Aに要求する。医療機関第1サーバ12Aが患者の患者番号を提示して匿名医療データの送信を要求すると、第1事業会社第1サーバ14Aは、提示された患者番号とハードディスクに格納された患者番号とを照合し、その患者番号に対応する個人属性データ識別子を特定しつつ、特定した個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データ(診療録、診療記録、接見記録、問診記録)とをハードディスクから抽出し、抽出した個人属性データ識別子、属性項目、匿名医療データを医療機関第1サーバ12Aに送信する(匿名医療データ送信手段)。医療機関第1サーバ12Aは、図9に矢印3で示すように、個人属性データ識別子とその個人属性データ識別子に対応する属性項目および過去から現在までの匿名医療データとを第1事業会社第1サーバ14Aから受信する(匿名医療データ受信手段)。
After the anonymous medical data can be downloaded, the medical institution
医療機関第2サーバ12Bは、インターネット20に接続し、医療機関第1サーバ12AのURLを使用してサーバ12Aにアクセスする。医療機関第2サーバ12Bが医療機関第1サーバ12Aにアクセスすると、第1サーバ12Aは、第2サーバ12Bに認証手続きを要求し、図9に矢印4で示すように、サーバ12Bの正当性を判断する認証手続を行う(認証手続要求手段)。
The medical institution
認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。認証結果が正当である場合、サーバ12Aからサーバ12Bへ図3,4の匿名医療データのダウンロードが可能となり、サーバ12Aとサーバ12Bとの間で匿名医療データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Bのディスプレイ19に表示され、匿名医療データのサーバ12Aからサーバ12Bへのダウンロードを行うことができない。
Since the authentication procedure is the same as that in FIG. 6, that in FIG. 6 is used and the description thereof is omitted. If the authentication result is valid, the anonymous medical data shown in FIGS. 3 and 4 can be downloaded from the
匿名医療データのダウンロードが可能となった後、医療機関第2サーバ12Bは、図9に矢印5で示すように、患者の患者番号を提示(患者番号を送信)して匿名医療データの送信を医療機関第1サーバ12Aに要求する。医療機関第2サーバ12Bが患者の患者番号を提示して匿名医療データの送信を要求すると、医療機関第1サーバ12Aは、提示された患者番号に対応する個人属性データ識別子を特定し、匿名医療データ受信手段によって第1事業会社第1サーバ14Aから受信した個人属性データ識別子とその個人属性データ識別子に対応する属性項目および過去から現在までの匿名医療データ(診療録、診療記録、接見記録、問診記録)とを医療機関第2サーバ12Bに転送する(匿名医療データ転送手段)。
After the anonymous medical data can be downloaded, the medical institution
医療機関第2サーバ12Bは、図9に矢印6で示すように、個人属性データ識別子とその個人属性データ識別子に対応する属性項目および過去から現在までの匿名医療データとを医療機関第1サーバ12Aから受信する(匿名医療データ受信手段)。なお、匿名医療データ転送手段では、個人属性データ識別子とその個人属性データ識別子に対応する属性項目および過去から現在までの匿名医療データとを所定のメモリデバイスに格納し、そのメモリデバイスを医療機関11Aが医療機関11Bに渡し、個人属性データ識別子や匿名医療データの転送を行ってもよい。
As shown by the
医療機関第1サーバ12Aから個人属性データ識別子、属性項目、匿名医療データを受信した医療機関第2サーバ12Bは、第2事業会社サーバ16のURLを使用し、インターネット20を介してサーバ16にアクセスする。医療機関第2サーバ12Bが第2事業会社サーバ16にアクセスすると、サーバ16は、第2サーバ12Bに認証手続きを要求し、図9に矢印7で示すように、サーバ12Bの正当性を判断する認証手続を行う(認証手続要求手段)。
The medical institution
認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。認証結果が正当である場合、第2事業会社サーバ16から医療機関第2サーバ12Bへ図12の個人属性データのダウンロードが可能となり、サーバ16とサーバ12Bとの間で個人属性データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Bのディスプレイ19に表示され、個人属性データのサーバ16からサーバ12Bへのダウンロードを行うことができない。
Since the authentication procedure is the same as that in FIG. 6, that in FIG. 6 is used and the description thereof is omitted. If the authentication result is valid, the personal attribute data of FIG. 12 can be downloaded from the second
個人属性データのダウンロードが可能となった後、医療機関第2サーバ12Bは、図9に矢印8で示すように、医療機関第1サーバ12Aから受信した匿名医療データに対応する属性項目および個人属性データ識別子を提示(属性項目および個人属性データ識別子を送信)して個人属性データの送信を第2事業会社サーバ16に要求する。医療機関第2サーバ12Bが匿名医療データに対応する属性項目および個人属性データ識別子を提示して個人属性データの送信を要求すると、第2事業会社サーバ16は、提示された属性項目および個人属性データ識別子とその属性項目および個人属性データ識別子に対応する個人属性データとをハードディスクから抽出し、抽出した個人属性データ識別子、属性項目、個人属性データをサーバ12Bに送信する(個人属性データ送信手段)。
After the personal attribute data can be downloaded, the medical institution
医療機関第2サーバ12Bは、図9に矢印9で示すように、個人属性データ識別子とその個人属性データ識別子に対応する属性項目および個人属性データとを第2事業会社サーバ16から受信する(個人属性データ受信手段)。第2サーバ12Bは、医療機関第1サーバ12Aから受信した属性項目および個人属性データ識別子と第2事業会社サーバ16から受信した属性項目および個人属性データ識別子とを比較しつつ、互いに一致する属性項目および個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて実名医療データを作成する(実名医療データ作成手段)。その具体的な手順は図10の態様のシステムにおいて説明したそれと同一であるから、その詳細な説明は省略する。
The medical institution
第1サーバ12Aは、作成した実名医療データをディスプレイ19に表示し(実名医療データ出力手段)、実名医療データをプリンタを介して出力する(実名医療データ出力手段)。第1サーバ12Aは、作成した実名医療データをハードディスクに格納することもできる。図7を援用することで、作成された実名医療データの説明は省略する。
The
図9を援用しつつ説明した医療情報管理システム10は、医療機関第1サーバ12Aから特定個人の匿名医療データを取得した医療機関第2サーバ12Bがその医療データに個人属性データを適用して特定個人の実名医療データを作成することができ、患者を紹介された病院や患者の移動先の病院においてその患者の医療情報を確実に取得かつ確認することができる。
The medical
この医療情報管理システム10は、第1事業会社第1サーバ14Aから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、その医療データにそれに対応する個人属性データが含まれておらず、匿名医療データの人物の実名や住所、電話番号等が判明することはなく、漏洩した匿名医療データから人物を特定することはできない。また、第2事業会社サーバ16から個人属性データが不正に持ち出されたり、外部に不用意に漏出したとしても、その個人属性データにそれに対応する医療データが含まれておらず、個人属性データから特定される人物の医療情報が判明することはなく、漏洩した個人属性データから医療情報を特定することはできない。医療情報管理システム10は、医療情報の秘匿性を確保することができるとともに、特定個人のプライバシーを保護することができる。
In this medical
図13は、第1事業会社第1サーバ14Aに格納された匿名医療データの他の一例を示す図であり、図14は、第1事業会社第2サーバ14Bに格納された匿名医療データの他の一例を示す図である。図13,14に示す態様において、医療機関第1サーバ12Aと医療機関第2サーバ12Bとのうちの少なくとも一方は、患者の各種医療情報(患者番号(個人特定識別子)を含む)を電子データとして第1事業会社第1サーバ14Aに送信する医療情報送信手段を実行する。患者の医療情報には、匿名医療データと個人属性データとが含まれる。医療情報送信手段は、患者の医療情報が更新される度毎に実行される。
FIG. 13 is a diagram showing another example of anonymous medical data stored in the
医療機関第1サーバ12Aと医療機関第2サーバ12Bとは、個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データとを第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとから受信する匿名医療データ受信手段を実行する。なお、属性項目として、氏名、住所、郵便番号、電話番号、携帯電話番号、電子メールアドレス、URL、生年月日、顔写真画像、血液型、本籍を例示しているが、属性項目をそれらに限定するものではなく、個人情報のすべての項目が含まれる。
The medical institution
医療機関第1サーバ12Aと医療機関第2サーバ12Bとは、匿名医療データ受信手段によって受信した匿名医療データに対応する個人属性データ識別子とその個人属性データ識別子に対応する属性項目および個人属性データとを第2事業会社サーバ16から受信する個人属性データ受信手段を実行し、第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとから受信した匿名医療データに第2事業会社サーバ16から受信した個人属性データを適用して特定個人の実名医療データを作成する実名医療データ作成手段を実行する。さらに、作成した実名医療データを出力装置を介して出力する実名医療データ出力手段を実行する。
The medical institution
第1事業会社第1サーバ14Aは、医療機関サーバ12A,12Bから送信された患者の各種医療情報を受信する医療情報受信手段を実行し、受信した医療情報を匿名医療データと個人属性データとに区分しつつ、患者に個別に設定された患者番号に関連付けた状態で匿名医療データの一部を保持する匿名医療データ保持手段を実行する。サーバ14Aは、個人属性データが属する各属性項目にユニークな個人属性データ識別子を割り当てる個人属性データ識別子割当手段を実行し、各属性項目と割り当てた各個人属性データ識別子とを患者番号に関連付けた状態で保持する個人属性データ識別子保持手段を実行する。
The first operating company
第1事業会社第1サーバ14Aは、匿名医療データの一部と患者番号とを第1事業会社第2サーバ14Bに送信する医療情報送信手段を実行する。第1事業会社第2サーバ14Bは、第1サーバ14Aから送信された匿名医療データと患者番号とを受信する医療情報受信手段を実行する。第2サーバ14Bは、患者番号に関連付けた状態で匿名医療データの一部を保持する匿名医療データ保持手段を実行する。
The first business company
第1事業会社第1サーバ14Aは、割り当てた個人属性データ識別子とその個人属性データ識別子に対応する属性項目および個人属性データとを第2事業会社サーバ16に送信する個人属性データ送信手段を実行する。ゆえに、第1サーバ14Aや第2サーバ14Bのハードディスクには、個人属性データ識別子や属性項目、匿名医療データのみが保持され、患者の個人属性データが保持されることはない(個人属性データが格納されることはない)。
The first business company
第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとは、医療機関サーバ12A,12Bがそれらサーバ14A,14Bにアクセスしたときに、医療機関サーバ12A,12Bに認証手続を要求する認証手続要求手段を実行する。第1および第2サーバ14A,14Bは、医療機関サーバ12A,12Bが認証手続を行った後、医療機関サーバ12A,12Bが患者の患者番号を提示して匿名医療データの送信を要求すると、提示された患者番号に対応する個人属性データ識別子を特定しつつ、特定した個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データとを医療機関サーバ12A,12Bに送信する匿名医療データ送信手段を実行する。
The first business company
第2事業会社サーバ16は、第1事業会社第1サーバ14Aから送信された個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データとを受信する個人属性データ受信手段を実行する。第2事業会社サーバ16には匿名医療データは送信されない。第2事業会社サーバ16は、受信した個人属性データを属性項目毎に区分し、個人属性データをそれが属する属性項目の個人属性データ識別子に関連付けた状態で保持する個人属性データ保持手段を実行する。サーバ16のハードディスクには、個人属性データ識別子、属性項目、個人属性データのみが保持され、患者の匿名医療データが保持されることはない(匿名医療データが格納されることはない)。
The second
第2事業会社サーバ16は、医療機関サーバ12A,12Bがサーバ16にアクセスしたときに、医療機関サーバ12A,12Bに認証手続を要求する認証手続要求手段を実行する。さらに、医療機関サーバ12A,12Bが認証手続を行った後に、医療機関サーバ12A,12Bが匿名医療データに対応する属性項目および個人属性データ識別子を提示して個人属性データの送信を要求すると、提示された属性項目および個人属性データ識別子とその属性項目および個人属性データ識別子に対応する個人属性データとを医療機関サーバ12A,12Bに送信する個人属性データ送信手段を実行する。
When the
図2を援用し、図13,14の匿名医療データの格納手順の他の一例を説明すると、以下のとおりである。医療機関第1サーバ12Aは、インターネット20に接続した後、第1事業会社第1サーバ14Aにアクセスし、患者番号と個人属性データと過去から現在までの匿名医療データと(医療情報)を第1サーバ14Aに送信する(医療情報送信手段)。
With reference to FIG. 2, another example of the procedure for storing the anonymous medical data in FIGS. 13 and 14 will be described as follows. After connecting to the
第1事業会社第1サーバ14Aは、医療機関第1サーバ12Aから送信された医療情報(患者番号、診療録、診療記録、接見記録、問診記録、個人属性データ)を受信し(医療情報受信手段)、受信した医療情報を匿名医療データと個人属性データとに区分しつつ、患者に個別に設定された患者番号に関連付けた状態で匿名医療データのうち、過去から現在までの診療録のみを保持する(匿名医療データ保持手段)。
The first operating company
第1事業会社第1サーバ14Aは、個人属性データが属する各属性項目にユニークな個人属性データ識別子を割り当て(個人属性データ識別子割当手段)、各属性項目と割り当てた各個人属性データ識別子とを患者番号に関連付けた状態で保持する(個人属性データ識別子保持手段)。第1サーバ14Aは、匿名医療データのうち、診療録のみを保持し、診療記録や接見記録、問診記録は保持しない。第1事業会社第1サーバ14Aのハードディスクには、図13に示すように、患者番号に関連付けられた属性項目および個人属性データ識別子、匿名医療データ(診療録)が格納されている。診療録には、年月日、処置、処方、所見、オーダが含まれる。
The first business company
第1事業会社第1サーバ14Aは、インターネット20に接続した後、第2事業会社サーバ16と第1事業会社第2サーバ14Bとにアクセスし、割り当てた個人属性データ識別子と属性項目および個人属性データとを第2事業会社サーバ16に送信する(個人属性データ送信手段)。第1サーバ14Aは、患者番号と匿名医療データのうち、過去から現在までの診療記録や接見記録、問診記録を第2サーバ14Bに送信する(医療情報送信手段)。なお、第1サーバ14Aは、個人属性データを第2事業会社サーバ16に送信した後、その個人属性データをハードディスクから消去する。
After connecting to the
第1事業会社第2サーバ14Bは、第1事業会社第1サーバ14Aから送信された医療情報(患者番号、診療記録、接見記録、問診記録)を受信する(医療情報受信手段)。第2サーバ14Bは、患者番号に関連付けた状態で過去から現在までの診療記録、接見記録、問診記録を保持する(匿名医療データ保持手段)。第1事業会社第2サーバ14Bのハードディスクには、図14に示すように、患者番号に関連付けられた匿名医療データ(診療記録、接見記録、問診記録)が格納されている。診療記録には、年月日、撮影画像、メモ、会計が含まれる。接見記録および問診記録には、年月日、内容が含まれる。
The first business company
第2事業会社サーバ16は、第1事業会社第1サーバ14Aから送信された個人属性データ識別子とその個人属性データ識別子に対応する属性項目および個人属性データとを受信する(個人属性データ受信手段)。第2事業会社サーバ16は、受信した個人属性データを属性項目毎に区分し、個人属性データをそれが属する属性項目の個人属性データ識別子に関連付けた状態で保持する(個人属性データ保持手段)。第2事業会社サーバ16のハードディスクに格納された個人属性データ識別子、属性項目、個人属性データは、図12のそれと同一である。
The second
図8を援用し、医療機関第1サーバ12Aにおいて患者の実名医療データを作成する手順の他の一例を説明すると、以下のとおりである。なお、第1事業会社第1サーバ14Aには、図13の匿名医療データが格納され、第1事業会社第2サーバ14Bには、図14の匿名医療データが格納されている。第2事業会社サーバ16には、図12の個人属性データが格納されている。最初に、医療機関第1サーバ12Aは、インターネット20に接続し、第1事業会社第1サーバ14AのURLを使用してサーバ14Aにアクセスする。
With reference to FIG. 8, another example of the procedure for creating the real name medical data of the patient in the first
医療機関第1サーバ12Aが第1事業会社第1サーバ14Aにアクセスすると、第1サーバ14Aは、第1サーバ12Aに認証手続きを要求し、図8に矢印1で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。
When the medical institution
認証結果が正当である場合、第1事業会社第1サーバ14Aから医療機関第1サーバ12Aへ図13の匿名医療データのダウンロードが可能となり、サーバ14Aとサーバ12Aとの間で匿名医療データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Aのディスプレイ19に表示され、匿名医療データのサーバ14Aからサーバ12Aへのダウンロードを行うことができない。
When the authentication result is valid, the anonymous medical data in FIG. 13 can be downloaded from the first business company
医療機関第1サーバ12Aが第1事業会社第2サーバ14Bにアクセスすると、第2サーバ14Bは、第1サーバ12Aに認証手続きを要求し、図8に矢印2で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。
When the medical institution
認証結果が正当である場合、第1事業会社第2サーバ14Bから医療機関第1サーバ12Aへ図4の匿名医療データのダウンロードが可能となり、サーバ14Bとサーバ12Aとの間で匿名医療データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Aのディスプレイ19に表示され、匿名医療データのサーバ14Bからサーバ12Aへのダウンロードを行うことができない。
When the authentication result is valid, the anonymous medical data in FIG. 4 can be downloaded from the first business company
医療機関第1サーバ12Aが第2事業会社サーバ16にアクセスすると、サーバ16は、第1サーバ12Aに認証手続きを要求し、図8に矢印3で示すように、サーバ12Aの正当性を判断する認証手続を行う(認証手続要求手段)。認証手続は図6のそれと同一であるから、図6のそれを援用し、その説明は省略する。
When the medical institution
認証結果が正当である場合、第2事業会社サーバ16から医療機関第1サーバ12Aへ図5の個人属性データのダウンロードが可能となり、サーバ16とサーバ12Aとの間で個人属性データのダウンロード処理が行われる。逆に、認証結果が不当である場合、認証不可メッセージがサーバ12Aのディスプレイ19に表示され、個人属性データのサーバ16からサーバ12Aへのダウンロードを行うことができない。
If the authentication result is valid, the personal attribute data in FIG. 5 can be downloaded from the second
匿名医療データのダウンロードが可能となった後、医療機関第1サーバ12Aは、図8に矢印4で示すように、所定の患者の患者番号を提示(患者番号を送信)して匿名医療データの送信を第1事業会社第1サーバ14Aに要求する。医療機関第1サーバ12Aが患者の患者番号を提示して匿名医療データの送信を要求すると、第1事業会社第1サーバ14Aは、提示された患者番号とハードディスクに格納された患者番号とを照合し、その患者番号に対応する個人属性データ識別子を特定する。
After the anonymous medical data can be downloaded, the medical institution
次に、第1事業会社第1サーバ14Aは、特定した個人属性データ識別子とその個人属性データ識別子に対応する属性項目および匿名医療データ(診療録)とをハードディスクから抽出し、抽出した個人属性データ識別子、属性項目、匿名医療データを医療機関第1サーバ12Aに送信する(匿名医療データ送信手段)。医療機関第1サーバ12Aは、図8に矢印5で示すように、個人属性データ識別子とその個人属性データ識別子に対応する属性項目および過去から現在までの匿名医療データとを第1事業会社第1サーバ14Aから受信する(匿名医療データ受信手段)。
Next, the first business company
匿名医療データのダウンロードが可能となった後であって、第1事業会社第1サーバ14Aから個人属性データ識別子、属性項目、匿名医療データを受信した後、医療機関第1サーバ12Aは、図8に矢印6で示すように、患者番号を提示(患者番号を送信)して匿名医療データの送信を第1事業会社第2サーバ14Bに要求する。
After the anonymous medical data can be downloaded and after receiving the personal attribute data identifier, attribute item, and anonymous medical data from the first business company
医療機関第1サーバ12Aが患者番号を提示して匿名医療データの送信を要求すると、第1事業会社第2サーバ14Bは、その患者番号に対応する過去から現在までの匿名医療データ(診療記録、接見記録、問診記録)をハードディスクから抽出し、患者番号と抽出した匿名医療データとを医療機関第1サーバ12Aに送信する(匿名医療データ送信手段)。医療機関第1サーバ12Aは、図8に矢印7で示すように、患者番号と過去から現在までの匿名医療データとを第1事業会社第2サーバ14Bから受信する(匿名医療データ受信手段)。
When the medical institution
個人属性データのダウンロードが可能となった後、医療機関第1サーバ12Aは、図8に矢印8で示すように、第1事業会社第1サーバ14Aから受信した匿名医療データに対応する属性項目および個人属性データ識別子を提示(属性項目および個人属性データ識別子を送信)して個人属性データの送信を第2事業会社サーバ16に要求する。医療機関第1サーバ12Aが匿名医療データに対応する属性項目および個人属性データ識別子を提示して個人属性データの送信を要求すると、第2事業会社サーバ16は、提示された属性項目および個人属性データ識別子とその属性項目および個人属性データ識別子に対応する個人属性データとをハードディスクから抽出し、抽出した個人属性データ識別子、属性項目、個人属性データをサーバ12Aに送信する(個人属性データ送信手段)。
After the personal attribute data can be downloaded, the medical institution
医療機関第1サーバ12Aは、図9に矢印9で示すように、個人属性データ識別子とその個人属性データ識別子に対応する属性項目および個人属性データとを第2事業会社サーバ16から受信する(個人属性データ受信手段)。第1サーバ12Aは、第1事業会社第1サーバ14Aから受信した属性項目および個人属性データ識別子と第2事業会社サーバ16から受信した属性項目および個人属性データ識別子とを比較しつつ、互いに一致する属性項目および個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて実名医療データを作成する(実名医療データ作成手段)。その具体的な手順は図10の態様のシステムにおいて説明したそれと同一であるから、その詳細な説明は省略する。
The medical institution
第1サーバ12Aは、作成した実名医療データをディスプレイ19に表示し(実名医療データ出力手段)、実名医療データをプリンタを介して出力する(実名医療データ出力手段)。第1サーバ12Aは、作成した実名医療データをハードディスクに格納することもできる。図7を援用することで、作成された実名医療データの説明は省略する。
The
図8を援用しつつ説明した医療情報管理システム10は、匿名医療データを別個独立の第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとにおいて保持することで、匿名医療データが別々の第1事業会社13A,13Bに分散して保管される。ゆえに、第1事業会社第1サーバ14Aと第1事業会社第2サーバ14Bとのいずれかから匿名医療データが不正に持ち出されたり、外部に不用意に漏出したとしても、匿名医療データのうちの一部のみが判明するだけであり、匿名医療データの全内容が判明するリスクを回避することができる。また、第2事業会社サーバ16から個人属性データが不正に持ち出されたり、外部に不用意に漏出したとしても、その個人属性データにそれに対応する医療データが含まれておらず、個人属性データから特定される人物の医療情報が判明することはなく、漏洩した個人属性データから医療情報を特定することはできない。
The medical
この医療情報管理システム10は、第1事業会社第1サーバ14Aが各属性項目と割り当てた個人属性データ識別子とを患者番号に関連付けた状態で保持するから、各個人属性データの組み合わせ情報が第1サーバ14Aで管理されており、第2事業会社サーバ16において個人情報を特定することもできない。医療情報管理システム10は、医療情報の秘匿性を確保することができるとともに、特定個人のプライバシーを保護することができる。医療情報管理システム10は、医療機関第1サーバ12Aが第1事業会社第1サーバ14Aや第1事業会社第2サーバ14Bから受信した匿名医療データに第2事業会社サーバ16から受信した個人属性データを適用して特定個人の実名医療データを作成するから、病院11Aにおいて特定の人物の医療情報を確実に取得かつ確認することができる。
The medical
10 医療情報管理システム
11A 病院(医療機関)
11B 病院(医療機関)
12A 医療機関第1サーバ(医療機関サーバ)
12B 医療機関第2サーバ(医療機関サーバ)
13A 第1事業会社(第1業者)
13B 第1事業会社(第1業者)
14A 第1事業会社第1サーバ(第1業社サーバ)
14B 第1事業会社第2サーバ(第1業社サーバ)
15 第2事業会社(第2業者)
16 第2事業会社サーバ(第2業者サーバ)
20 インターネット
10 Medical
11B Hospital (medical institution)
12A medical institution first server (medical institution server)
12B medical institution second server (medical institution server)
13A First operating company (first contractor)
13B First operating company (first contractor)
14A First business company first server (first business company server)
14B First business company second server (first business company server)
15 Second Operating Company (Second Contractor)
16 Second operating company server (second supplier server)
20 Internet
Claims (5)
前記医療機関サーバが、前記匿名医療データを前記第1業者サーバから受信する匿名医療データ受信手段と、前記匿名医療データ受信手段によって受信した前記匿名医療データに対応する前記個人属性データを前記第2業者サーバから受信する個人属性データ受信手段と、前記第1業者サーバから受信した匿名医療データに前記第2業者サーバから受信した個人属性データを適用して特定個人の実名医療データを作成する実名医療データ作成手段と、作成した前記実名医療データを出力する実名医療データ出力手段とを有することを特徴とする医療情報管理システム。 A medical institution server installed in a medical institution, a first trader server installed in a first trader that exists independently of the medical institution, and holds anonymous medical data of a plurality of persons collected in the medical institution; A second vendor server installed in a second vendor existing independently from the medical institution and the first vendor, and holding personal attribute data capable of individually specifying the plurality of persons,
The medical institution server receives the anonymous medical data from the first supplier server, and the second medical data receiving means receives the anonymous medical data received by the anonymous medical data receiving means. Personal attribute data receiving means received from a vendor server, and real name medical data for creating real name medical data of a specific individual by applying the personal attribute data received from the second vendor server to the anonymous medical data received from the first vendor server A medical information management system comprising data creation means and real name medical data output means for outputting the created real name medical data.
前記第2業者サーバが、前記個人属性データ識別子に関連付けた状態で前記個人属性データを保持する個人属性データ保持手段と、前記医療機関サーバが前記匿名医療データに対応する個人属性データ識別子を提示して前記個人属性データの送信を要求したときに、提示された個人属性データ識別子とその個人属性データ識別子に対応する個人属性データとを前記医療機関サーバに送信する個人属性データ送信手段とを有し、
前記実名医療データ作成手段が、前記第1業者サーバから受信した個人属性データ識別子と前記第2業者サーバから受信した個人属性データ識別子とを比較しつつ、互いに一致する個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて前記実名医療データを作成する請求項1ないし請求項3いずれかに記載の医療情報管理システム。 Personal attribute data in which the first vendor server sets a unique personal attribute data identifier in the personal attribute data, and holds the personal attribute data identifier in a state associated with individual identification identifiers individually set for the plurality of persons An identifier holding means, an anonymous medical data holding means for holding the anonymous medical data in a state associated with the personal attribute data identifier, and the medical institution server presenting the personal identification identifier and requesting transmission of the anonymous medical data Anonymity is transmitted to the medical institution server while identifying the identified personal attribute data identifier and the anonymous medical data corresponding to the personal attribute data identifier while identifying the personal attribute data identifier corresponding to the presented personal identification identifier Medical data transmission means,
The second merchant server presents personal attribute data holding means for holding the personal attribute data in a state associated with the personal attribute data identifier, and the medical institution server presents a personal attribute data identifier corresponding to the anonymous medical data. Personal attribute data transmitting means for transmitting the presented personal attribute data identifier and the personal attribute data corresponding to the personal attribute data identifier to the medical institution server when the transmission of the personal attribute data is requested. ,
The real name medical data creating means compares the personal attribute data identifier received from the first trader server with the personal attribute data identifier received from the second trader server, and corresponds to the personal attribute data identifiers that match each other. The medical information management system according to any one of claims 1 to 3, wherein the real name medical data is created by combining attribute data and anonymous medical data.
前記第2業者サーバが、前記属性項目毎に対応する前記個人属性データ識別子に関連付けた状態で前記個人属性データを保持する個人属性データ保持手段と、前記医療機関サーバが前記匿名医療データに対応する属性項目および個人属性データ識別子を提示して前記個人属性データの送信を要求したときに、提示された属性項目および個人属性データ識別子とその属性項目および個人属性データ識別子に対応する個人属性データとを前記医療機関サーバに送信する個人属性データ送信手段とを有し、
前記実名医療データ作成手段が、前記第1業者サーバから受信した属性項目および個人属性データ識別子と前記第2業者サーバから受信した属性項目および個人属性データ識別子とを比較しつつ、互いに一致する属性項目および個人属性データ識別子に対応する個人属性データと匿名医療データとを組み合わせて前記実名医療データを作成する請求項1ないし請求項3いずれかに記載の医療情報管理システム。 Anonymized medical data holding means for holding the anonymous medical data in a state in which the first vendor server is associated with individual identification identifiers individually set for the plurality of individuals, and an individual unique to each attribute item of the personal attribute data Personal attribute data identifier holding means for assigning attribute data identifiers and holding each attribute item and the assigned personal attribute data identifier in association with the personal identification identifier, the assigned personal attribute data identifier, the personal attribute data, and the attribute item Corresponding to the personal identification identifier presented when the medical institution server requests the transmission of the anonymous medical data by presenting the personal identification identifier. The personal attribute data identifier to be identified and the identified personal attribute data identifier and the personal attribute data identifier And a anonymous medical data transmission means for transmitting the attribute items and anonymous medical data to the medical institution server,
Personal attribute data holding means for holding the personal attribute data in a state in which the second vendor server is associated with the personal attribute data identifier corresponding to each attribute item, and the medical institution server corresponds to the anonymous medical data When the attribute item and the personal attribute data identifier are presented and the transmission of the personal attribute data is requested, the presented attribute item and the personal attribute data identifier and the personal attribute data corresponding to the attribute item and the personal attribute data identifier Personal attribute data transmission means for transmitting to the medical institution server,
The real name medical data creation means compares the attribute item and personal attribute data identifier received from the first vendor server with the attribute item and personal attribute data identifier received from the second vendor server, and matches the attribute items. The medical information management system according to any one of claims 1 to 3, wherein the real name medical data is created by combining personal attribute data corresponding to the personal attribute data identifier and anonymous medical data.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009102197A JP2010250756A (en) | 2009-04-20 | 2009-04-20 | Medical information management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009102197A JP2010250756A (en) | 2009-04-20 | 2009-04-20 | Medical information management system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010250756A true JP2010250756A (en) | 2010-11-04 |
Family
ID=43312980
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009102197A Ceased JP2010250756A (en) | 2009-04-20 | 2009-04-20 | Medical information management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010250756A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012198846A (en) * | 2011-03-23 | 2012-10-18 | Hitachi Medical Corp | Similar case browsing system and similar case browsing method |
CN110970124A (en) * | 2019-12-02 | 2020-04-07 | 首都医科大学宣武医院 | Disinfection management and tracing system for external medical instruments based on cloud server |
US20230181168A1 (en) * | 2021-12-15 | 2023-06-15 | Ruijin Hospital, Shanghai Jiaotong University School Of Medicine | Distributed ultrasonic scanning system and communication method |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003108676A (en) * | 2001-09-27 | 2003-04-11 | Cna:Kk | Computer system for medical examination information retrieval |
JP2004152213A (en) * | 2002-11-01 | 2004-05-27 | Leisure Inc | System and method for medical check |
JP2007317075A (en) * | 2006-05-29 | 2007-12-06 | Hitachi Ltd | Apparatus and method for dividing personal information |
JP2007330284A (en) * | 2006-06-12 | 2007-12-27 | Matsushita Electric Ind Co Ltd | Home health care system |
JP2008108069A (en) * | 2006-10-25 | 2008-05-08 | Atrris Corp | Information management system |
JP2009037481A (en) * | 2007-08-02 | 2009-02-19 | Toshiba Corp | Patient information management device and patient information management method |
-
2009
- 2009-04-20 JP JP2009102197A patent/JP2010250756A/en not_active Ceased
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003108676A (en) * | 2001-09-27 | 2003-04-11 | Cna:Kk | Computer system for medical examination information retrieval |
JP2004152213A (en) * | 2002-11-01 | 2004-05-27 | Leisure Inc | System and method for medical check |
JP2007317075A (en) * | 2006-05-29 | 2007-12-06 | Hitachi Ltd | Apparatus and method for dividing personal information |
JP2007330284A (en) * | 2006-06-12 | 2007-12-27 | Matsushita Electric Ind Co Ltd | Home health care system |
JP2008108069A (en) * | 2006-10-25 | 2008-05-08 | Atrris Corp | Information management system |
JP2009037481A (en) * | 2007-08-02 | 2009-02-19 | Toshiba Corp | Patient information management device and patient information management method |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012198846A (en) * | 2011-03-23 | 2012-10-18 | Hitachi Medical Corp | Similar case browsing system and similar case browsing method |
CN110970124A (en) * | 2019-12-02 | 2020-04-07 | 首都医科大学宣武医院 | Disinfection management and tracing system for external medical instruments based on cloud server |
CN110970124B (en) * | 2019-12-02 | 2023-09-01 | 首都医科大学宣武医院 | Disinfection management and traceability system of external medical instrument based on cloud server |
US20230181168A1 (en) * | 2021-12-15 | 2023-06-15 | Ruijin Hospital, Shanghai Jiaotong University School Of Medicine | Distributed ultrasonic scanning system and communication method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100750787B1 (en) | System and method for disclosing personal information and system for disclosing medical record information | |
US10249386B2 (en) | Electronic health records | |
US7865735B2 (en) | Method and apparatus for managing personal medical information in a secure manner | |
US7668734B2 (en) | Internet medical information system (IMED) | |
US7797546B2 (en) | Portable storage device for storing and accessing personal data | |
US20060293925A1 (en) | System for storing medical records accessed using patient biometrics | |
US8498884B2 (en) | Encrypted portable electronic medical record system | |
US20040111622A1 (en) | Method of and system for controlling access to personal information records | |
US20220130534A1 (en) | System and method for communicating medical data | |
KR102113806B1 (en) | Method and system for managing personal medical information data | |
US11343330B2 (en) | Secure access to individual information | |
JP6890374B2 (en) | Centralized medical / health information management system using a common patient ID number | |
JP2007094943A (en) | Specific disease medical information management system | |
JP2008029419A (en) | Data management device for diagnostic reading and data management method for diagnostic reading | |
US20190354721A1 (en) | Techniques For Limiting Risks In Electronically Communicating Patient Information | |
Parker et al. | Canadian Association of Radiologists White Paper on De-identification of medical imaging: Part 2, practical considerations | |
US20110125646A1 (en) | Methods and systems for managing personal health records by individuals | |
KR20180076910A (en) | A method of transferring medical records to the third part in an emergency | |
US20050209884A1 (en) | Method, system and computer program product for providing medical information | |
US20060026039A1 (en) | Method and system for provision of secure medical information to remote locations | |
US20040030579A1 (en) | Method, system and computer program product for providing medical information | |
JP2010250756A (en) | Medical information management system | |
JPH11143956A (en) | Method and device for disclosing medical treatment information to other medical clinic | |
JP2007025763A (en) | Information processor and information processing system | |
JP5347580B2 (en) | Authentication system, user authentication medium and social insurance management system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120330 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130408 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130416 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131105 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131220 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140121 |
|
A045 | Written measure of dismissal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A045 Effective date: 20140527 |