JP2014123309A - プログラム、方法、および情報処理装置 - Google Patents
プログラム、方法、および情報処理装置 Download PDFInfo
- Publication number
- JP2014123309A JP2014123309A JP2012279904A JP2012279904A JP2014123309A JP 2014123309 A JP2014123309 A JP 2014123309A JP 2012279904 A JP2012279904 A JP 2012279904A JP 2012279904 A JP2012279904 A JP 2012279904A JP 2014123309 A JP2014123309 A JP 2014123309A
- Authority
- JP
- Japan
- Prior art keywords
- information
- user
- electronic medical
- information processing
- medical record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】システムを操作しているユーザと、システムにログインしたユーザとの同一性または整合性を監視する。
【解決手段】電子カルテ・システムのユーザの同一性または不正性を監視するためのプログラムは、現在のユーザによる操作に関する操作情報が、電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定し(1232,410)、操作情報が職種、所属または参照操作形態と整合しないと判定された場合、認証情報入力用の画面情報を提示させ(1234,482)、ログインしたユーザの認証情報が入力されなかった場合に、操作情報に対する警告を表す情報を格納する(1234,484-486)処理を実行させる。
【選択図】図4
【解決手段】電子カルテ・システムのユーザの同一性または不正性を監視するためのプログラムは、現在のユーザによる操作に関する操作情報が、電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定し(1232,410)、操作情報が職種、所属または参照操作形態と整合しないと判定された場合、認証情報入力用の画面情報を提示させ(1234,482)、ログインしたユーザの認証情報が入力されなかった場合に、操作情報に対する警告を表す情報を格納する(1234,484-486)処理を実行させる。
【選択図】図4
Description
本発明は、例えば電子カルテ・システムのようなシステムのユーザの監視に関する。
電子カルテ・システムは、患者のカルテの情報を電子的に記録し保存し管理するものであり、さらに、例えば、オーダリング機能を含み、画像、検査、看護に関する情報を含む総合医療管理システムであってもよい。電子カルテ・システムにおいて、患者のカルテ情報は、例えば、医師、看護師、薬剤師、技師、事務員、等によって記録され、閲覧され、管理される。電子カルテは、日本政府によって、真正性、見読性、保存性の確保が求められている。真正性の確保とは、故意または過失による虚偽入力、書き換え、消去および混同を防止し、情報作成の責任の所在を明確にすることである。保存性の確保とは、法令で定められた保存期間において復元可能な状態で保存することであり、診療録の保存期間は5年である。見読性の確保とは、情報の内容を必要に応じて肉眼で見読可能な状態に容易にでき、情報の内容を必要に応じて直ちに書面にできることである。
既知の或る画像処理装置では、1つのユーザIDに対して複数のパスワードが対応付けられており、ユーザが入力したユーザIDとパスワードによってユーザに対する第1の個人認証を行い、ユーザの生体情報に基づいて第2の個人認証を行う。また、その画像処理装置は、その第1と第2の個人認証結果に応じて、機密文書等の画像データに対して、認証結果を示す認証情報を電子透かしに付加して出力するか、または強制的にログアウトさせる。
既知の或る情報セキュリティ管理システムは、事業目的遂行のために構成された組織での情報防御のために管理対象を管理する。また、そのシステムは、組織が順守すべき複数項目のセキュリティ・ポリシーの作成を支援し、セキュリティ・ポリシーのデータをその項目の内容に従って管理対象別適用部分に小分けし、情報処理操作が適正であるかを判定し、それが不適正の場合に不適正の報知をする。また、そのシステムは、その判定結果に基づいて組織内情報保護体制の不備を診断し、診断結果に基づいて組織内情報保護体制についての監査レポートを作成する。また、そのシステムは、診断結果に応じて小分けされていないセキュリティ・ポリシーのデータを更新し、その更新データ部分が管理対象別の小分けセキュリティ・ポリシー・データのいずれに対応しているかに応じて、対応小分けセキュリティ・ポリシー・データを更新データ部分の内容に自動更新する。
既知の画像処理装置では、ユーザの操作を監視し、その操作に関する情報をユーザの操作履歴と比較することによって個人認証を行う。しかし、そのような画像処理装置では、操作履歴情報に基づいてユーザ個人を特定することはできない。
また、既知の情報セキュリティ管理システムでは、一般的な情報操作に基づいて操作パターンを学習する。しかし、そのようなシステムでは、例えばなりすましなどによるユーザの非同一性または不正性を検出することはできない。
一方、発明者は、電子カルテ・システムの特性を利用すれば、認証を行ったユーザと、現時点でシステムを操作しているユーザとの同一性または整合性を識別することができる、と認識した。
実施形態の目的は、システムを操作しているユーザと、システムにログインしたユーザとの同一性または整合性を監視することである。
実施形態の一観点によれば、記憶装置を含む情報処理装置上で動作する電子カルテ・システムのユーザの不正性を監視するためのプログラムであって、前記電子カルテ・システムの現在のユーザによる或る情報処理端末の操作に関する操作情報が、前記或る情報処理端末を操作して前記電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定し、前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定された場合に、認証情報入力用の画面情報を前記或る情報処理端末に提示させ、前記認証入力用の画面情報に対して、前記ログインしたユーザの認証情報が入力されなかった場合に、前記操作情報に対する警告を表す情報を前記記憶装置に格納する処理を前記情報処理装置に実行させるためのプログラムが提供される。
実施形態の一観点によれば、電子カルテ・システムの特性を利用して、認証を行ったユーザと、現時点でシステムを操作しているユーザとの同一性または整合性を識別できることができる。
発明の目的および利点は、請求の範囲に具体的に記載された構成要素および組み合わせによって実現され達成される。
前述の一般的な説明および以下の詳細な説明は、典型例および説明のためのものであって、本発明を限定するためのものではない、と理解される。
前述の一般的な説明および以下の詳細な説明は、典型例および説明のためのものであって、本発明を限定するためのものではない、と理解される。
本発明の非限定的な実施形態を、図面を参照して説明する。図面において、同様のコンポーネントおよび要素には同じ参照番号が付されている。
前述の見読性と保存性の確保は、電子カルテ・システムの機能によって実現することができる。一方、真正性の確保のために、電子カルテ・システムでは、電子カルテに患者の診療記録を入力した或る専門職種の担当者が記録される。特定の専門職種の本来の担当者によって行われる入力を別の者が代行して行う場合には、電子カルテ・システムでは、担当者による権限移譲の明示と、その代行者による入力の範囲とを記録することになる。しかし、真正性の確保は、病院毎の電子カルテ・システムの運用規定に一部依存し、ユーザ同士の電子カルテ・システムの運用上のマナーにも一部依存し、不充分なことがある。従って、真正性の確保は、既知の電子カルテ・システムの機能では不充分である。
電子カルテ・システムでは、例えば、情報処理端末が概して24時間連続的に稼働状態にされ、複数の医師および看護師がユーザ認証を行った上で同じ情報処理端末を使用し、また、情報処理端末の操作および入力が、アプリケーション・プログラムによる管理下で行われる。例えば、或る医師がユーザ認証を行って電子カルテ・システムにログインして或る患者の電子カルテにアクセスして情報を入力し、その後でログオフせずに他の医師または看護師がその電子カルテに別の情報を入力する場合に、他の医師または看護師による或る医師へのなりすましが発生する。従って、既知の電子カルテ・システムでは、ログイン後に実際に入力を行ったユーザ個人を適切に識別することは実際には困難である。また、システム管理者が、既知の電子カルテ・システムの操作ログを監査することによって、ユーザの非同一性または不正性を適時に検出することは、その操作ログの量が膨大なので、困難である。
また、電子カルテ・システムにおいて、ユーザ認証のレベルを高くすると、認証機能が複雑化しその認証のための操作が煩雑化して、そのシステムの使い勝手が悪くなる。一方、電子カルテ・システムにおいて、ユーザ認証のレベルを低くすると、例えばなりすまし等のユーザ自身が関与した不正な操作が行われる可能性が高くなる。
発明者は、電子カルテ・システムの業務の特性を利用すれば、認証を行ったユーザと、現時点でシステムを操作しているユーザとが整合または一致するかどうかを容易に識別することができる、と認識した。また、発明者は、例えば、電子カルテ・システムのユーザの職種、利用場所、利用機能、アクセスされた患者情報、および利用機能の操作形態に関する情報を統計的に処理して、ユーザ毎の参照用の操作形態の特徴を抽出または生成することができる、と認識した。また、発明者は、ユーザ毎の現在の操作または操作形態の特徴と、ユーザの参照用の操作形態の特徴との整合性を判定し、両者の整合性が低い場合に、ユーザの非同一性または不正性の可能性が高いと判定することができる、と認識した。
図1は、実施形態による、例えば病院内のイントラネットのようなネットワーク5に接続される、サーバ装置10、モバイル型の情報処理端末30、34、所定の場所に配置された情報処理端末32、36を含むシステムの概略的な構成(configuration)の例を示している。図1のシステムは、例えばインターネットのようなネットワーク7に接続されるモバイル型の情報処理端末40を含んでいてもよい。ネットワーク7が、仮想プライベート・ネットワーク(VPN)装置またはゲートウェイ(GW)6を介してネットワーク5に接続されてもよい。
情報処理端末30〜36は、ネットワーク5を介してサーバ装置10に接続される。情報処理端末30は、アクセス・ポイント(無線基地局)52を介して無線でネットワーク5に接続されてもよい。モバイル型の情報処理端末40は、ネットワーク7を介し、仮想プライベート・ネットワーク装置またはゲートウェイ6を介し、ネットワーク5を介してサーバ装置10に接続される。
図1において、サーバ装置10は、情報処理装置であり、例えば、プロセッサ102、メモリ104、内部バス、ネットワーク・インタフェース(NW I/F)108、等を含むコンピュータであってもよい。サーバ装置10は、例えば、複数のサーバ・ユニットまたはサーバ・ブレードを含むものであってもよい。サーバ装置10は、さらに、内部バスに結合された、記録媒体読み取り用のドライブ106、およびデータベース162を含むハードディスク・ドライブ(HDD)のような記憶装置16を含んでいる。
ドライブ106は、ソフトウェアが記録された例えば光ディスクのような記録媒体164を読み取るために設けられている。そのソフトウェアは、例えば、OS、データベース管理システム(DBMS)、アプリケーション・プログラム、等を含んでいてもよい。
プロセッサ102は、コンピュータ用のCPU(Central Processing Unit)であってもよい。メモリ104には、例えば、主記憶装置および半導体メモリ等が含まれる。
プロセッサ102は、メモリ104および/または記憶装置16に格納されたそのソフトウェアまたはその一部に従って動作するものであってもよい。そのソフトウェアは、記録媒体164に格納されていて、ドライブ106によって記録媒体164から読み出されてサーバ装置10にインストールされてもよい。また、代替形態として、プロセッサ102は、上述のソフトウェアの機能の少なくとも一部を含む例えば集積回路として実装された専用のプロセッサであってもよい。
モバイル型の情報処理端末30、34は、例えば、低送信出力のPHS(Personal Handy-phone System)または無線LAN(Local Area Network)の規格による病院内のアクセス・ポイント52を介してサーバ装置10に接続することができる。また、情報処理端末34は、外来用のモバイル端末であってもよく、例えば、外来用の診察室に配置されたLAN端子に接続することができる。情報処理端末32は、例えば、病棟の各室に配置されたLAN端子を介してサーバ装置10に接続することができる。情報処理端末36は、例えば、看護部、薬局、検査室、事務室、リハビリ部等の各部門に配置されたLAN端子を介してサーバ装置10に接続することができる。モバイル型の情報処理端末40は、病院外用のモバイル端末であってもよく、例えば、研究機関または大学の研究室またはユーザ宅に配置されたLAN端子を介しインターネット7を介してサーバ装置10に接続することができる。
情報処理端末30〜36、40とサーバ装置10とは、クライアント−サーバ・システムを形成してもよい。また、情報処理端末30〜36、40は、シンクライアントであってもよい。
図2は、サーバ装置10のプロセッサ102の概略的な構成(configuration)の例を示している。
プロセッサ102は、制御部1220を含み、さらに、アプリケーション部1224、電子カルテ・システム部1226、操作監視部1230、部門別処理部1240、その他の処理部1250を含み、またはその一部を含んでいてもよい。操作監視部1230は、電子カルテ・システム部1226またはアプリケーション部1224の一部であってもよい。操作監視部1230は、整合性判定部1232、不整合処理部1234および統計処理部1236を含んでいてもよい。制御部1220は、アプリケーション部1224、電子カルテ・システム部1226、操作監視部1230、部門別処理部1240、処理部1250に制御信号を供給して、これらの要素の動作を制御してもよい。
電子カルテ・システム部1226は、例えば、情報処理端末30〜36、40からアクセスされた場合に、ユーザの識別情報(ID)およびパスワード、さらに生体情報を利用したユーザ認証機能を含んでいてもよい。また、電子カルテ・システム部1226は、例えば、或る時間期間にわたって操作が無い場合にスクリーン・セーバを表示し、操作が再開される場合に再度認証を行う機能を含んでいてもよい。また、電子カルテ・システム部1226は、例えば、ユーザおよび職種に応じて、電子カルテの診療情報へのアクセス範囲および利用ツールを許容しおよび制限する機能を含んでいてもよい。また、電子カルテ・システム部1226は、例えば、特定の職種の担当者に代わって他の者が情報処理端末を代行操作する場合に、その担当者または依頼者および代行操作者を記録させる監査機能を含んでいてもよい。
電子カルテ・システム部1226は、利用可能な機能またはツールとして、例えば、患者検索ツール、診療行為入力ツール、実施項目入力ツール、および補助機能ツールを含んでいてもよい。電子カルテ・システム部1226は、利用可能な機能として、さらに、例えば、処方オーダ・ツール、検査オーダ・ツール、予約オーダ・ツール、再診予約ツール、病名登録ツール、患者スケジュール・ツール、インチャージ・シート・ツール、および処方受付ツールを含んでいてもよい。処方オーダ・ツールは、例えば、薬剤処方オーダ、注射オーダ、処置オーダ、食事オーダを含んでいてもよい。
例えば、処方オーダ・ツール、検査オーダ・ツールおよび病名登録ツールは、医師によって使用され、看護師のようなその他の職種によって使用されることはない。例えば、インチャージ・シート・ツールおよび経過表は、看護師によって使用され、医師、技師のようなその他の職種によって使用される可能性は低い。例えば、処方受付ツールは、薬剤師によって使用され、医師または技師のようなその他の職種によって使用される可能性は低い。このように、各ツールの使用の可能性は職種によって異なることがある。また、各ツールの使用の形態、習慣および頻度は、同じ職種でもユーザによって異なることがある。
図3A〜3Eは、データベース162に格納される各情報テーブルのデータ構造およびデータの例を示している。
図3Aの表1は、電子カルテ・システムへのログインと電子カルテへのアクセスに関するログの記録のテーブルの例を示している。表1は、操作ログから抽出された、ユーザID、情報処理端末ID、ログイン日時、およびアクセス患者IDのフィールドを含んでいる。
表1は、例えば、ユーザID“XXXXXXXX”のユーザによって、情報処理端末ID“AAA”で、日時“2012年7月30日13時”にログインが行われ、患者ID“12345678”のカルテ情報がアクセスされたことを示す記録を含んでいる。
表1は、例えば、ユーザID“XXXXXXXX”のユーザによって、情報処理端末ID“AAA”で、日時“2012年7月30日13時”にログインが行われ、患者ID“12345678”のカルテ情報がアクセスされたことを示す記録を含んでいる。
図3Bの表2は、電子カルテ操作時の特徴に関するログの記録のテーブルの例を示している。表2は、ログから抽出された、ユーザID、電子カルテ・システムにおける使用ツールの種別、ツール使用の開始時間および終了時間、および電子カルテ・システムの使用場所または位置のフィールドを含んでいる。
表2は、例えば、ユーザID“XXXXXXXX”のユーザによって、使用ツール“処方オーダ・ツール”が、日時“2012年7月30日9時〜9時2分12秒”に、使用場所“内科第1診察室”で使用されたことを示す記録を含んでいる。また、表2は、例えば、ユーザID“XXXXXXXX”によって、“再診予約ツール”が、 “2012年7月30日9時4分30秒〜9時8分5秒”に、“内科第2診察室”で使用されたことを示す記録を含んでいる。また、表2は、例えば、ユーザID“YYYYYYYY”のユーザによって、“患者スケジュール・ツール”が、“2012年7月30日9時〜9時10分”に、“西第5病棟”で使用されたことを示す記録を含んでいる。
表2は、例えば、ユーザID“XXXXXXXX”のユーザによって、使用ツール“処方オーダ・ツール”が、日時“2012年7月30日9時〜9時2分12秒”に、使用場所“内科第1診察室”で使用されたことを示す記録を含んでいる。また、表2は、例えば、ユーザID“XXXXXXXX”によって、“再診予約ツール”が、 “2012年7月30日9時4分30秒〜9時8分5秒”に、“内科第2診察室”で使用されたことを示す記録を含んでいる。また、表2は、例えば、ユーザID“YYYYYYYY”のユーザによって、“患者スケジュール・ツール”が、“2012年7月30日9時〜9時10分”に、“西第5病棟”で使用されたことを示す記録を含んでいる。
図3Cの表3は、ユーザ・マスタ・ファイルのテーブルの例を示している。表3は、ユーザID、職種の識別情報、所属診療科、および所属病棟のフィールドを含んでいる。
表3は、例えば、ユーザID“XXXXXXXX”のユーザが、職種“医師”、所属診療科“内科”、および所属病棟“西6階”に対応付けられていることを示している。
表3は、例えば、ユーザID“XXXXXXXX”のユーザが、職種“医師”、所属診療科“内科”、および所属病棟“西6階”に対応付けられていることを示している。
図3Dの表4は、端末マスタ・ファイルのテーブルの例を示している。表4は、情報処理端末ID、および設置場所のフィールドを含んでいる。
表4は、例えば、情報処理端末ID“AAA”の情報処理端末が、設置場所“内科第1診療室”に配置されていることを示す登録情報を含んでいる。
表4は、例えば、情報処理端末ID“AAA”の情報処理端末が、設置場所“内科第1診療室”に配置されていることを示す登録情報を含んでいる。
図3Eの表5は、患者IDと入院診療科の記録のテーブルの例を示している。表5は、患者ID、診療科の受診歴、および入院病棟の診療科のフィールドを含んでいる。表5は、さらに、患者の担当医IDおよび/または担当看護師IDの記録を含んでいてもよい。
表5は、例えば、患者ID“12345678”の患者が、受診歴“内科”、入院病棟の診療科“内科”で受診したことを示す記録を含んでいる。
表5は、例えば、患者ID“12345678”の患者が、受診歴“内科”、入院病棟の診療科“内科”で受診したことを示す記録を含んでいる。
図4は、サーバ装置10のプロセッサ102によって実行される、電子カルテ・システムにおけるユーザの操作を監視するための処理のフローチャートの例を示している。
ユーザは、情報処理端末30〜36、40のいずれかを操作して、ログイン画面にユーザIDおよびパスワード等の認証情報を入力して、サーバ装置10の電子カルテ・システムへのログインを実行する。この場合、ユーザは、電子カルテ・システムへのアクセスを行う権限のある例えば病院の或る職種の者または職員である。情報処理端末30〜36、40は、そのユーザの操作に応答して、その認証情報を送信し、さらに、情報処理端末30〜36、40の情報処理端末ID、および/またはMAC(Media Access Control)アドレス、および/またはIPアドレス等をサーバ装置10に送信してもよい。
図4を参照すると、ステップ400において、サーバ装置10のプロセッサ102(またはその電子カルテ・システム部1226)は、情報処理端末30〜36、40から受信した認証情報に基づいてそのユーザの認証処理を行う。プロセッサ102(電子カルテ・システム部1226または操作監視部1230)は、例えば図3Aのようなそのログインに関するログの記録をデータベース162に記録する。
プロセッサ102(電子カルテ・システム部1226)は、その認証に成功すると、電子カルテ・システムを起動して、情報処理端末30〜36、40に特定の患者の電子カルテ等を選択するための画面を表示させる。その際、プロセッサ102は、データベース162に登録された各情報処理端末の情報処理端末IDまたはMACアドレスおよび/またはIPアドレスと場所の関係に基づいて、対応する情報処理端末30〜36、40の使用場所を特定してもよい。それによって、受信した情報処理端末IDまたはMACアドレスおよび/またはIPアドレスに対応する情報処理端末30〜36、40の使用場所が特定される。その使用場所の特定は、プロセッサ102の操作監視部1230の整合性判定部1232によって実行されてもよい。ユーザは、情報処理端末30〜36、40における患者ID入力画面上で、患者IDを入力して電子カルテの選択を実行しサーバ装置10に送信する。プロセッサ102(電子カルテ・システム部1226)は、その患者IDに基づいて、データベース162の患者の電子カルテ情報を抽出して複数のツール・ボタンと共にカルテ表示画面中に組み込んで表示画面を組み立て、その表示画面をユーザの情報処理端末30〜36、40に提示させまたは送信して表示させる。
ステップ402において、プロセッサ102(整合性判定部1232)は、そのユーザの参照操作形態またはパターンおよび履歴情報に関する情報をデータベース162からダウンロードする。参照操作形態またはパターンは、後で説明するように、各ユーザの過去の操作のログを統計的に処理して得られ、同じユーザの現在の操作の特徴若しくは操作項目、または操作形態若しくはパターンとの比較のための参照用として用いられる。
ユーザは、情報処理端末30〜36、40を操作して、患者のカルテ表示画面上で、各機能または各ツールを選択して起動し、診療の経過、処方オーダ、再診予約、病名登録、患者スケジュール、インチャージ・シート、処方受付、等の情報を入力する。情報処理端末30〜36、40は、その入力操作の情報をサーバ装置10に送信する。その操作情報は、例えば、入力キー・コード、クリック発生、アクティブ化されたボタン情報、座標情報、日時、等の情報を含んでいてもよい。
ステップ404において、プロセッサ102(電子カルテ・システム部1226)は、ユーザの操作情報を受信し、受信した操作情報に従って電子カルテ・システムの各機能または各ツールの選択および実行、文字の入力、等を実行する。
ステップ406において、プロセッサ102(整合性判定部1232)は、受信した操作情報のログをデータベース162に記録する。操作情報のログには、例えば、ユーザID、使用機能またはツール、機能またはツールの開始時間および終了時間、および電子カルテ・システムを使用している情報処理端末のIDおよび/または使用場所が含まれていてもよい。
ステップ408において、プロセッサ102(整合性判定部1232)は、操作情報のログの各操作の特徴または各操作項目をチェックまたは検証する。その操作の特徴は、例えば、情報処理端末のIDまたは使用場所、アクセスされた電子カルテの患者ID、使用機能またはツール、ユーザの各機能またはツールの操作の形態またはパターンの特徴であってもよい。その操作の形態は、例えば、ユーザ毎および1回の診療毎に、選択されたオーダの種別とその選択の順序または遷移経路であってもよい。また、その操作の形態は、例えば、各ツールにおけるユーザの各オーダの操作形態、および各ツールにおけるユーザのキーボードおよびポインティング・デバイスの操作の形態であってもよい。また、その操作の形態は、例えば、ユーザの各薬剤のオーダ間の操作時間間隔、入力文中の特徴的用語、またはユーザの各オーダにおけるキーまたはソフトウェア・ボタンの操作速度であってもよい。
ステップ410において、プロセッサ102(整合性判定部1232)は、各操作の特徴が、ユーザの属性または特徴、履歴、参照操作形態またはパターン、等と整合するかどうかを判定する。その操作の特徴がユーザの属性または特徴、履歴、参照操作形態またはパターン、等と整合すると判定された場合は、手順はステップ404に戻る。その操作の特徴がユーザの属性または特徴、履歴、参照操作形態またはパターン、等と整合しないと判定された場合は、手順はステップ482に進む。ユーザの属性または特徴は、例えば、ユーザの職種、所属診療科、所属病棟であってもよい。
ステップ482において、プロセッサ102(またはその不整合処理部1234)は、電子カルテ・システムのユーザの非同一性、不整合性または不正性の発生に対する処理を実行する。そのために、プロセッサ102(不整合処理部1234)は、その操作の特徴がユーザの属性または特徴、履歴、参照操作形態またはパターン、等と整合しないことを表す警告またはメッセージを発生情報処理端末30〜36、40に送信して表示させる。その表示は、表示装置で視覚的に行われてもまたはスピーカで音響的に行われてもよい。それによって、現在のユーザの可能性ある不正な者による操作に対して警告を与えることができる。
次いで、プロセッサ102(不整合処理部1234)は、再度の認証情報の入力をユーザに要求するメッセージを含む認証情報入力画面のファイルを情報処理端末30〜36、40に送信して表示させる。この場合、現在のユーザが最初にログインしたユーザであれば、ユーザは、情報処理端末30〜36、40において、再度、ユーザIDおよびパスワード等の認証情報を入力してサーバ装置10に送信する。プロセッサ102(電子カルテ・システム部1226)は、情報処理端末30〜36、40から受信した認証情報に基づいて再度そのユーザの認証処理を行う。それによって、現在のユーザが正規の者であった場合に、そのユーザの操作を継続させることができる。
ステップ484において、プロセッサ102(整合性判定部1232)は、認証が成功したかどうかを判定する。認証が成功したと判定された場合には、手順はステップ404に戻る。認証が失敗したと判定された場合には、手順はステップ486に進む。例えば、ログインしたユーザのユーザIDおよびパスワードが入力された場合は、ユーザは認証に成功する。例えば、或る時間が経過するまでに、ログインしたユーザのユーザIDおよびパスワードが入力されない場合、またはログインしたユーザのユーザIDおよびパスワードと異なるユーザIDまたはパスワードが入力された場合は、ユーザは認証に失敗する。
ステップ486において、プロセッサ102(不整合処理部1234)は、ログインしたおよび/または異なる認証情報を入力したユーザについて、その警告の発生を履歴情報としてデータベース162に記録する。さらに、プロセッサ102(電子カルテ・システム部1226)は、その警告が発生した場合、電子カルテ・システムを強制的にログオフしてもよい。この場合、最初に電子カルテ・システムにログインしたユーザ(例えば、医師)と異なるユーザ(例えば、別の医師または看護師)によって電子カルテ・システムがログインされて、同じ患者の電子カルテ情報がアクセスされてもよい。代替形態として、電子カルテ・システムがログオフされることなく、手順はステップ404に戻ってもよい。プロセッサ102(不整合処理部1234)は、定期的に、そのような警告の発生が記録された操作を抽出して不正アクセスの可能性のある操作ログとして監査報告書を作成して、例えば情報処理端末36上でシステム管理者に提示してもよい。
図5は、図4のステップ410のより詳細なフローチャートの例を示している。
図5を参照すると、図4のステップ408の後のステップ420において、プロセッサ102(整合性判定部1232)は、ユーザによる情報処理端末30〜36、40の使用場所がチェック(判定)済みかどうかを判定する。使用場所がチェック済みであると判定された場合は、手順はステップ430に進む。使用場所がチェック済みでないと判定された場合は、手順はステップ422に進む。最初は、使用場所がチェック済みでないので、手順はステップ422に進む。
図5を参照すると、図4のステップ408の後のステップ420において、プロセッサ102(整合性判定部1232)は、ユーザによる情報処理端末30〜36、40の使用場所がチェック(判定)済みかどうかを判定する。使用場所がチェック済みであると判定された場合は、手順はステップ430に進む。使用場所がチェック済みでないと判定された場合は、手順はステップ422に進む。最初は、使用場所がチェック済みでないので、手順はステップ422に進む。
ステップ422において、プロセッサ102(整合性判定部1232)は、図3Cのようなユーザ・マスタ・ファイルおよびユーザ履歴情報に基づいて、ユーザによる情報処理端末30〜36、40の使用場所が、例えば、ユーザの職種、所属診療科、所属病棟のようなユーザの属性または特徴、および履歴情報と整合するかどうかを判定する。使用場所がユーザの属性または特徴および履歴情報と整合すると判定された場合は、手順はステップ430に進む。一方、使用場所がユーザの属性または特徴および履歴情報と整合しないと判定された場合は、ステップ424において、プロセッサ102(整合性判定部1232)は、パラメータとしての“不整合性”に或る値“1”を加算する。或る値は、操作の特徴に応じた重み付けされた値であってもよい。その後、手順はステップ430に進む。
例えば、ユーザの情報処理端末の使用場所が“内科の診療室”であり、ユーザの職種が“医師”であり、所属診療科が“内科”であった場合、使用場所がユーザの属性または特徴と整合すると判定される。具体的には、例えば、図3Aのログの記録におけるユーザID“XXXXXXXX”に対応付けられた情報処理端末ID“AAA”に基づいて、図3Dの端末マスタ・ファイル中の設置場所“内科第1診療室”が取り出されてもよい。さらに、ユーザID“XXXXXXXX”に基づいて、図3Cのユーザ・マスタ・ファイル中の対応する所属診療科“内科”が取り出されてもよい。この場合、設置場所“内科第1診療室”とユーザの所属診療科“内科”とが比較されて、使用場所がユーザの属性または特徴と整合すると判定される。
また、例えば、ユーザの情報処理端末の場所が“整形外科の診療室”であるが、ユーザの職種が“医師”であり、所属診療科が“内科”であった場合、使用場所がユーザの属性または特徴と整合しないと判定される。また、例えば、ユーザの情報処理端末の場所が“外科の診療室”であるが、ユーザの職種が“医師”であり、所属診療科が“内科”であり、ユーザの履歴情報に過去の情報処理端末の場所“外科の診療室”が含まれていた場合、使用場所がユーザの属性または特徴と整合すると判定されてもよい。
ステップ430において、プロセッサ102(整合性判定部1232)は、ユーザによってアクセスされた電子カルテの患者はチェック済みかどうかを判定する。患者がチェック済みであると判定された場合は、手順はステップ442に進む。患者がチェック済みでないと判定された場合は、手順はステップ432に進む。最初は、患者がチェック済みでないので、手順はステップ432に進む。
ステップ432において、プロセッサ102(整合性判定部1232)は、図3Cのようなユーザ・マスタ・ファイルおよびユーザの履歴情報と、図3Eのような患者と入力診療科の記録とに基づいて、ユーザによってアクセスされた患者のカルテ情報が、例えば、ユーザの職種、所属診療科、所属病棟、履歴情報のようなユーザの属性または特徴と整合するかどうかを判定する。患者のカルテ情報がユーザの属性または特徴および履歴情報と整合すると判定された場合は、手順はステップ442に進む。一方患者のカルテ情報がユーザの属性または特徴および履歴情報と整合しないと判定された場合は、ステップ434において、プロセッサ102(整合性判定部1232)は、“不整合性”に或る値“1”を加算する。或る値は、操作の特徴に応じた重み付けされた値であってもよい。その後、手順はステップ442に進む。
例えば、患者の受診歴が“内科”であり、入院病棟の診療科が“内科”であり、ユーザの職種が“医師”であり、所属診療科が“内科”である場合、患者のカルテ情報がユーザの属性または特徴と整合すると判定される。具体的には、例えば、図3Aのログの記録におけるユーザID“XXXXXXXX”に対応付けられたアクセス患者ID“1234578”に基づいて、図3Eの受診歴“内科”および入院病棟“内科”が取り出される。さらに、ユーザID“XXXXXXXX”に基づいて、図3Cのユーザ・マスタ・ファイル中の対応する所属診療科“内科”および所属病棟“西6階”が取り出される。この場合、患者の受診歴“内科”および入院病棟“内科”が、ユーザの所属診療科“内科”および所属病棟“西6階”と比較されて、患者のカルテ情報がユーザの属性または特徴と整合すると判定される。
例えば、患者の受診歴が“整形外科”であり、入院病棟の診療科が“整形外科”であり、ユーザの職種が“医師”であり、所属診療科が“内科”である場合、患者のカルテ情報がユーザの属性または特徴と整合しないと判定される。例えば、患者の受診歴が“外科”であり、入院病棟の診療科が“外科”であり、ユーザの職種が“医師”であり、所属診療科が“内科”であり、ユーザの履歴情報に同じ患者の“内科”での診療歴があった場合、患者のカルテ情報がユーザの属性または特徴と整合すると判定されてもよい。
ステップ442において、プロセッサ102(整合性判定部1232)は、ユーザの現在の操作の特徴が、ユーザの参照操作形態またはパターンまたはその特徴と整合するかどうかを判定する。その操作の特徴が参照操作形態またはパターンと整合すると判定された場合は、手順は図4のステップ450に進む。その操作の特徴が参照操作形態またはパターンと整合しないと判定された場合は、手順はステップ444に進む。ステップ444において、プロセッサ102(整合性判定部1232)は、“不整合性”に或る値“1”を加算する。或る値は、操作の特徴に応じた重み付けされた値であってもよい。その後、手順はステップ450に進む。
その操作の特徴は、例えば、ユーザ毎および1回の診療毎の選択されたオーダ(指示)の種別とそのオーダの選択の順序または遷移経路を含んでいてもよい。また、その操作の特徴は、例えば、各処方オーダ・ツールの使用時間長、オーダ・ツールにおける各オーダ間の操作時間間隔、入力文中の特徴的用語、およびキーまたはソフトウェア・ボタンの操作速度を含んでいてもよい。
例えば、図3BのユーザID“XXXXXXXX”に基づいて、使用ツール“処方オーダ”の開始時間“2012年8月6日20時35分”から終了時間“2012年8月6日20時39分”までの使用時間長“4分”が操作の特徴として求められる。さらに、その操作の特徴としての使用時間長“4分”が、過去1カ月の履歴情報における同じユーザの同じ病名の用語に関する同じ使用ツール“処方オーダ”の参照用の平均使用時間長“4分15秒”の±10%の範囲と比較される。この場合、使用時間長“4分”は参照用の平均の使用時間長“4分15秒”の±10%の範囲内なので、その処方オーダに関する操作の特徴に整合性があると判定されてもよい。その他の操作の特徴として、ユーザの各オーダ間の操作時間間隔、ユーザの各オーダにおけるキーまたはソフトウェア・ボタンの操作速度が採用されてもよい。
操作の特徴の整合性について、例えば、操作の特徴としての、ユーザの処方オーダ・ツールの使用時間長、各オーダ間の操作時間間隔、キーまたはソフトウェア・ボタンの操作速度の値が、対応する参照操作形態またはパターンの値の許容誤差範囲を超えて異なる場合に、整合性なしと判定される。
その他の操作の特徴の整合性について、例えば、操作の特徴として使用ツールまたは機能の種別が採用されてもよい。例えば、ユーザによって検査オーダ・ツールが選択されてアクティブにされ、ログインしたユーザの職種が看護師であった場合、操作の特徴がユーザの属性または特徴と整合しないと判定されてもよい。また、例えば、操作の特徴としてインチャージ・シート・ツールが選択されてアクティブにされ、ログインしたユーザの職種が医師であった場合、操作の特徴がユーザの属性または特徴と整合しないと判定されてもよい。
ステップ450において、プロセッサ102(整合性判定部1232)は、不整合性の累積値を閾値と比較して、不整合性の累積値が閾値より大きいかどうかを判定する。閾値は、例えば値“5”であってもよい。この場合、電子カルテ・システムを操作しているユーザの6個以上の操作の特徴が、ログインしたユーザの属性または特徴、履歴、参照操作形態、等と整合しない場合に、ユーザの非同一性、不整合性または不正性が発生したものとして処理される。不整合性の累積値が閾値より大きいと判定された場合は、手順は図4のステップ482に進む。不整合性の累積値が閾値より大きくないと判定された場合は、手順は図4のステップ404に戻る。
図6A〜6Cは、或る患者の電子カルテの表示画面の例を示している。
図6Aの或る患者の電子カルテの表示画面において、ユーザが、ポインティング・デバイスでソフトウェア・ボタン“オーダ”および“外来処方”にカーソルを置いてクリックしてそれらの項目を選択する。この時点で、プロセッサ102(整合性判定部1232)は、使用ツールとして“処方オーダ”の開始時間を記録してもよい。
図6Aの或る患者の電子カルテの表示画面において、ユーザが、ポインティング・デバイスでソフトウェア・ボタン“オーダ”および“外来処方”にカーソルを置いてクリックしてそれらの項目を選択する。この時点で、プロセッサ102(整合性判定部1232)は、使用ツールとして“処方オーダ”の開始時間を記録してもよい。
次いで、プロセッサ102(電子カルテ・システム部1226)は、例えば図6Bのような薬剤処方の画面を表示する。ユーザは、その画面において、例えば、ポインティング・デバイスでソフトウェア・ボタンである処方種別“院外処方”、服用方法“内服”、薬剤の調整場所“院内製剤(内服・院外可)”を選択する。
次いで、ユーザは、例えば図6Cの画面のように、第1の薬剤を選択し数量、単位、1日の摂取回数を入力し、第2の薬剤を選択し数量、単位、1日の摂取回数を入力し、第3の薬剤を選択し数量、単位、1日の摂取回数を入力する。ユーザの複数の薬剤オーダの各入力完了の時間間隔またはその平均値が、そのユーザの各薬剤オーダの形態の特徴として記録されてもよい。例えば図6Cの画面において全ての薬剤オーダについて入力が完了すると、ユーザは、ポインティング・デバイスでソフトウェア・ボタン“確定”を選択し実行(クリック)する。この時点で、プロセッサ102(整合性判定部1232)は、使用ツールとして“処方オーダ”の終了時間を記録してもよい。
図7は、サーバ装置10によって実行される、各操作の特徴との比較に用いられるユーザ毎の参照操作形態またはパターンを生成するための処理のフローチャートの例を示している。
ステップ502において、プロセッサ102(統計処理部1236)は、電子カルテ・システム部1226のログオフが発生したかまたは統計処理を実行する時間かどうかを判定する。ログオフが発生するかまたは統計処理を実行する時間が来るまで、ステップ502が繰り返し実行される。統計処理を実行する時間は、例えば毎日午前2時であってもよい。ログオフが発生するかまたは統計処理を実行する時間が来たと判定された場合、手順はステップ504に進む。
ステップ504において、プロセッサ102(統計処理部1236)は、データベース162からログオフを発生させたユーザまたは各ユーザの、例えば図3Bの表示2のような操作ログの記録を取り出す。
ステップ506において、プロセッサ102(統計処理部1236)は、操作ログの記録から情報処理端末の使用場所を決定しまたは抽出する。使用場所は、取得された情報処理端末IDまたはマックアドレスおよび/またはIPアドレスに基づいて、例えば図3Dの表4のような予め登録された対応する設置場所を決定してもよい。モバイル型の情報処理端末30の使用場所は、アクセス・ポイント52の設置場所に基づいて決定してもよい。
ステップ510において、プロセッサ102(統計処理部1236)は、過去の或る時間期間における操作ログを統計的に処理する。それによって、例えば、ユーザ毎および1回の診療毎に、選択されたオーダの種別とその選択の順序または遷移経路が、その度数または頻度と共に、操作形態またはパターンとして求められる。さらに、例えば、各処方オーダ・ツールの使用時間長、オーダ・ツールにおける各オーダ間の操作時間間隔、入力文中の特徴的用語、キーまたはソフトウェア・ボタンの操作速度等の操作の特徴が求められる。さらに、それらの操作の特徴が、例えば、ユーザ毎、職種別、利用場所毎、外来・入院の種別、診療科毎、使用ツールまたは機能毎に統計的に処理され、過去の最近の連続する或る月数の期間におけるそれらの平均値が操作形態またはパターンとして求められる。キーまたはソフトウェア・ボタンの操作速度は、例えば、単位時間当たりのキーまたはソフトウェア・ボタンの操作数であってもよい。各オーダの使用時間長および操作間隔の測定または検出において、例えば、閾値時間を超える時間、例えば2分より長い時間は、思考時間として除外してもよい。プロセッサ102(統計処理部1236)は、さらに、ユーザによる電子カルテの利用期間(月数、週数)、各患者の電子カルテへのアクセス回数を求めてもよい。ユーザの電子カルテの操作形態または操作パターンは、新しい所属への異動からの期間経過とともに、徐々に習熟度が高くなり、徐々に変化する傾向があり、従って定期的に更新することが好ましい。
ステップ512において、プロセッサ102(統計処理部1236)は、その形態またはパターンの特徴を、参照操作形態またはパターンの各特徴として決定して、データベース162に保存する。
このように、実施形態によれば、例えば、各ユーザの職種、使用場所毎の各使用ツールまたは機能の利用回数、各ツールまたは機能の操作形態、等に関する統計情報からユーザの特徴を抽出して参照操作形態またはパターンを決定することができる。また、現在の操作において、ユーザの参照操作形態または履歴情報の特徴と整合しない操作形態が発生した場合、ユーザに対して可視的または可聴的に警告を発生させ、また、詳細な操作記録と組み合わせて不正アクセスの可能性のある操作を抽出して監査報告書を作成することができる。
従来技術では、電子カルテ・システムにおいて操作ログを分析しても不正アクセスの可能性のあるユーザを特定することは困難であったが、実施形態によれば、電子カルテ・システムにおけるユーザ毎の操作ログを処理することによって、ユーザの同一性または整合性を監視することできる。それによって、電子カルテ・システムの不正利用を抑止できるようになる。
ここで挙げた全ての例および条件的表現は、発明者が技術促進に貢献した発明および概念を読者が理解するのを助けるためのものであり、ここで具体的に挙げたそのような例および条件に限定することなく解釈され、また、明細書におけるそのような例の編成は本発明の優劣を示すこととは関係ない、と理解される。本発明の実施形態を詳細に説明したが、本発明の精神および範囲から逸脱することなく、それに対して種々の変更、置換および変形を施すことができる、と理解される。
以上の実施例を含む実施形態に関して、さらに以下の付記を開示する。
(付記1)記憶装置を含む情報処理装置上で動作する電子カルテ・システムのユーザの不正性を監視するためのプログラムであって、
前記電子カルテ・システムの現在のユーザによる或る情報処理端末の操作に関する操作情報が、前記或る情報処理端末を操作して前記電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定し、
前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定された場合に、認証情報入力用の画面情報を前記或る情報処理端末に提示させ、
前記認証入力用の画面情報に対して、前記ログインしたユーザの認証情報が入力されなかった場合に、前記操作情報に対する警告を表す情報を前記記憶装置に格納する
処理を前記情報処理装置に実行させるためのプログラム。
(付記2)前記操作情報が、前記記憶装置に格納された前記職種、所属または参照操作形態と整合するかどうかを判定する処理は、
前記操作情報としての各操作の特徴が、前記職種、所属または参照操作形態と整合しないと判定された場合に、不整合性を表す度合に或る値を加算し、
前記不整合性を表す度合が閾値を超えた場合に、前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定する処理を含むものであることを特徴とする、付記1に記載のプログラム。
(付記3)前記操作情報が、前記カルテ・システムにおける或るオーダ機能における、前記或るオーダ機能の使用時間、各オーダ間の操作時間間隔、またはキーまたはボタンの操作速度を表す情報であり、
前記参照操作形態が、それに対応する前記ログインしたユーザの、過去の或る時間期間における、前記或るオーダ機能の平均使用時間、各オーダ間の平均操作時間間隔、またはキーまたはボタンの平均操作速度を表す参照情報であることを特徴とする、付記1または2に記載のプログラム。
(付記4)前記操作情報が前記カルテ・システムにおけるオーダ機能の種別を表す情報であることを特徴とする、付記1または2に記載のプログラム。
(付記5)前記操作情報が、前記記憶装置に格納された前記職種、所属または参照操作形態と整合するかどうかを判定する処理は、
前記或る情報処理端末の識別情報または位置情報と、前記記憶装置に格納された前記職種または前記所属とが整合するかどうか判定する処理を含むものであることを特徴とする、付記1または2に記載のプログラム。
(付記6)前記操作情報が、前記記憶装置に格納された前記職種、所属または参照操作形態と整合するかどうかを判定する処理は、
前記操作情報の電子カルテ情報の患者識別情報と、前記記憶装置に格納された前記職種、所属または参照操作形態とが整合するかどうか判定する処理を含むものであることを特徴とする、付記1または2に記載のプログラム。
(付記7)記憶装置を含む情報処理装置において、電子カルテ・システムのユーザの同一性または不正性を監視する方法であって、
前記情報処理装置が、
前記電子カルテ・システムの現在のユーザによる或る情報処理端末の操作に関する操作情報が、前記或る情報処理端末を操作して前記電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定し、
前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定された場合に、認証情報入力用の画面情報を前記或る情報処理端末に提示させ、
前記認証入力用の画面情報に対して、前記ログインしたユーザの認証情報が入力されなかった場合に、前記操作情報に対して警告を表す情報を前記記憶装置に格納する処理を実行する、方法。
(付記8)電子カルテ・システムの現在のユーザによる或る情報処理端末の操作に関する操作情報が、前記或る情報処理端末を操作して前記電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定する判定部と、
前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定された場合に、認証情報入力用の画面情報を前記或る情報処理端末に提示させ、前記認証入力用の画面情報に対して、前記ログインしたユーザの認証情報が入力されなかった場合に、前記操作情報に対する警告を表す情報を前記記憶装置に格納する不整合処理部と、
を含む情報処理装置。
(付記1)記憶装置を含む情報処理装置上で動作する電子カルテ・システムのユーザの不正性を監視するためのプログラムであって、
前記電子カルテ・システムの現在のユーザによる或る情報処理端末の操作に関する操作情報が、前記或る情報処理端末を操作して前記電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定し、
前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定された場合に、認証情報入力用の画面情報を前記或る情報処理端末に提示させ、
前記認証入力用の画面情報に対して、前記ログインしたユーザの認証情報が入力されなかった場合に、前記操作情報に対する警告を表す情報を前記記憶装置に格納する
処理を前記情報処理装置に実行させるためのプログラム。
(付記2)前記操作情報が、前記記憶装置に格納された前記職種、所属または参照操作形態と整合するかどうかを判定する処理は、
前記操作情報としての各操作の特徴が、前記職種、所属または参照操作形態と整合しないと判定された場合に、不整合性を表す度合に或る値を加算し、
前記不整合性を表す度合が閾値を超えた場合に、前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定する処理を含むものであることを特徴とする、付記1に記載のプログラム。
(付記3)前記操作情報が、前記カルテ・システムにおける或るオーダ機能における、前記或るオーダ機能の使用時間、各オーダ間の操作時間間隔、またはキーまたはボタンの操作速度を表す情報であり、
前記参照操作形態が、それに対応する前記ログインしたユーザの、過去の或る時間期間における、前記或るオーダ機能の平均使用時間、各オーダ間の平均操作時間間隔、またはキーまたはボタンの平均操作速度を表す参照情報であることを特徴とする、付記1または2に記載のプログラム。
(付記4)前記操作情報が前記カルテ・システムにおけるオーダ機能の種別を表す情報であることを特徴とする、付記1または2に記載のプログラム。
(付記5)前記操作情報が、前記記憶装置に格納された前記職種、所属または参照操作形態と整合するかどうかを判定する処理は、
前記或る情報処理端末の識別情報または位置情報と、前記記憶装置に格納された前記職種または前記所属とが整合するかどうか判定する処理を含むものであることを特徴とする、付記1または2に記載のプログラム。
(付記6)前記操作情報が、前記記憶装置に格納された前記職種、所属または参照操作形態と整合するかどうかを判定する処理は、
前記操作情報の電子カルテ情報の患者識別情報と、前記記憶装置に格納された前記職種、所属または参照操作形態とが整合するかどうか判定する処理を含むものであることを特徴とする、付記1または2に記載のプログラム。
(付記7)記憶装置を含む情報処理装置において、電子カルテ・システムのユーザの同一性または不正性を監視する方法であって、
前記情報処理装置が、
前記電子カルテ・システムの現在のユーザによる或る情報処理端末の操作に関する操作情報が、前記或る情報処理端末を操作して前記電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定し、
前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定された場合に、認証情報入力用の画面情報を前記或る情報処理端末に提示させ、
前記認証入力用の画面情報に対して、前記ログインしたユーザの認証情報が入力されなかった場合に、前記操作情報に対して警告を表す情報を前記記憶装置に格納する処理を実行する、方法。
(付記8)電子カルテ・システムの現在のユーザによる或る情報処理端末の操作に関する操作情報が、前記或る情報処理端末を操作して前記電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定する判定部と、
前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定された場合に、認証情報入力用の画面情報を前記或る情報処理端末に提示させ、前記認証入力用の画面情報に対して、前記ログインしたユーザの認証情報が入力されなかった場合に、前記操作情報に対する警告を表す情報を前記記憶装置に格納する不整合処理部と、
を含む情報処理装置。
5、7 ネットワーク
52 アクセス・ポイント
10 サーバ装置
16 記憶装置
102 プロセッサ
104 メモリ
30、32、34、36、40 情報処理端末
52 アクセス・ポイント
10 サーバ装置
16 記憶装置
102 プロセッサ
104 メモリ
30、32、34、36、40 情報処理端末
Claims (6)
- 記憶装置を含む情報処理装置上で動作する電子カルテ・システムのユーザの不正性を監視するためのプログラムであって、
前記電子カルテ・システムの現在のユーザによる或る情報処理端末の操作に関する操作情報が、前記或る情報処理端末を操作して前記電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定し、
前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定された場合に、認証情報入力用の画面情報を前記或る情報処理端末に提示させ、
前記認証入力用の画面情報に対して、前記ログインしたユーザの認証情報が入力されなかった場合に、前記操作情報に対する警告を表す情報を前記記憶装置に格納する
処理を前記情報処理装置に実行させるためのプログラム。 - 前記操作情報が、前記記憶装置に格納された前記職種、所属または参照操作形態と整合するかどうかを判定する処理は、
前記操作情報としての操作の各特徴が、前記職種、所属または参照操作形態と整合しないと判定された場合に、不整合性を表す度合に或る値を加算し、
前記不整合性を表す度合が閾値を超えた場合に、前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定する処理を含むものであることを特徴とする、請求項1に記載のプログラム。 - 前記操作情報が、前記カルテ・システムにおける或るオーダ機能における、前記或るオーダ機能の使用時間、各オーダ間の操作時間間隔、またはキーまたはボタンの操作速度を表す情報であり、
前記参照操作形態が、それに対応する前記ログインしたユーザの、過去の或る時間期間における、前記或るオーダ機能の平均使用時間、各オーダ間の平均操作時間間隔、またはキーまたはボタンの平均操作速度を表す参照情報であることを特徴とする、請求項1または2に記載のプログラム。 - 前記操作情報が前記カルテ・システムにおけるオーダ機能の種別を表す情報であることを特徴とする、請求項1または2に記載のプログラム。
- 記憶装置を含む情報処理装置において、電子カルテ・システムのユーザの不正性を監視する方法であって、
前記情報処理装置が、
前記電子カルテ・システムの現在のユーザによる或る情報処理端末の操作に関する操作情報が、前記或る情報処理端末を操作して前記電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定し、
前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定された場合に、認証情報入力用の画面情報を前記或る情報処理端末に提示させ、
前記認証入力用の画面情報に対して、前記ログインしたユーザの認証情報が入力されなかった場合に、前記操作情報に対して警告を表す情報を前記記憶装置に格納する処理を実行する方法。 - 電子カルテ・システムの現在のユーザによる或る情報処理端末の操作に関する操作情報が、前記或る情報処理端末を操作して前記電子カルテ・システムにログインしたユーザの職種、所属または参照操作形態に関する情報と整合するかどうかを判定する判定部と、
前記操作情報が、前記ログインしたユーザの前記職種、所属または参照操作形態と整合しないと判定された場合に、認証情報入力用の画面情報を前記或る情報処理端末に提示させ、前記認証入力用の画面情報に対して、前記ログインしたユーザの認証情報が入力されなかった場合に、前記操作情報に対する警告を表す情報を前記記憶装置に格納する不整合処理部と、
を含む情報処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012279904A JP2014123309A (ja) | 2012-12-21 | 2012-12-21 | プログラム、方法、および情報処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012279904A JP2014123309A (ja) | 2012-12-21 | 2012-12-21 | プログラム、方法、および情報処理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014123309A true JP2014123309A (ja) | 2014-07-03 |
Family
ID=51403721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012279904A Pending JP2014123309A (ja) | 2012-12-21 | 2012-12-21 | プログラム、方法、および情報処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2014123309A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019036296A (ja) * | 2017-07-12 | 2019-03-07 | ザ・ボーイング・カンパニーThe Boeing Company | モバイルセキュリティ対策 |
| JP7180073B2 (ja) | 2018-01-04 | 2022-11-30 | 富士通株式会社 | 判定プログラム、判定方法、および判定装置 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001109562A (ja) * | 1999-10-05 | 2001-04-20 | Murata Mach Ltd | 情報処理装置及び記録媒体 |
| JP2003067506A (ja) * | 2001-08-27 | 2003-03-07 | Ntt Communications Kk | 医療・健康情報共有利用システム、データ管理センタ、端末、医療・健康情報共有利用方法、医療・健康情報共有利用プログラムを記録した記録媒体、医療・健康情報検索プログラム及びその記録媒体 |
| JP2005327139A (ja) * | 2004-05-17 | 2005-11-24 | Hitachi Eng Co Ltd | ログインユーザ認証装置 |
| JP2006243947A (ja) * | 2005-03-01 | 2006-09-14 | Ricoh Co Ltd | 情報入力装置、情報入力方法及び記録媒体 |
| JP2009048410A (ja) * | 2007-08-20 | 2009-03-05 | Toshiba Corp | 不正アクセス検出システム及び該システムを備える医用診断装置 |
| JP2009175984A (ja) * | 2008-01-23 | 2009-08-06 | Nippon Telegr & Teleph Corp <Ntt> | 本人認証装置、本人認証方法および本人認証プログラム |
| JP2009533735A (ja) * | 2006-04-10 | 2009-09-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ユーザ‐ブラウザ対話分析認証システム |
| JP2010097467A (ja) * | 2008-10-17 | 2010-04-30 | Nomura Research Institute Ltd | リスクベース認証システムおよびリスクベース認証方法 |
| JP2010515175A (ja) * | 2006-12-29 | 2010-05-06 | アマゾン テクノロジーズ インコーポレイテッド | ユーザのインタラクションに関する分析による不正行為探知 |
| JP2010237940A (ja) * | 2009-03-31 | 2010-10-21 | Nec Corp | 個人認証装置、個人認証方法、プログラム及び記録媒体 |
| JP2010250502A (ja) * | 2009-04-14 | 2010-11-04 | Nec Corp | 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム |
| JP2011198170A (ja) * | 2010-03-23 | 2011-10-06 | Oki Software Co Ltd | ユーザ同定システム、ユーザ同定サーバ、携帯機器、ユーザ同定プログラム及び携帯機器のプログラム |
-
2012
- 2012-12-21 JP JP2012279904A patent/JP2014123309A/ja active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001109562A (ja) * | 1999-10-05 | 2001-04-20 | Murata Mach Ltd | 情報処理装置及び記録媒体 |
| JP2003067506A (ja) * | 2001-08-27 | 2003-03-07 | Ntt Communications Kk | 医療・健康情報共有利用システム、データ管理センタ、端末、医療・健康情報共有利用方法、医療・健康情報共有利用プログラムを記録した記録媒体、医療・健康情報検索プログラム及びその記録媒体 |
| JP2005327139A (ja) * | 2004-05-17 | 2005-11-24 | Hitachi Eng Co Ltd | ログインユーザ認証装置 |
| JP2006243947A (ja) * | 2005-03-01 | 2006-09-14 | Ricoh Co Ltd | 情報入力装置、情報入力方法及び記録媒体 |
| JP2009533735A (ja) * | 2006-04-10 | 2009-09-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ユーザ‐ブラウザ対話分析認証システム |
| JP2010515175A (ja) * | 2006-12-29 | 2010-05-06 | アマゾン テクノロジーズ インコーポレイテッド | ユーザのインタラクションに関する分析による不正行為探知 |
| JP2009048410A (ja) * | 2007-08-20 | 2009-03-05 | Toshiba Corp | 不正アクセス検出システム及び該システムを備える医用診断装置 |
| JP2009175984A (ja) * | 2008-01-23 | 2009-08-06 | Nippon Telegr & Teleph Corp <Ntt> | 本人認証装置、本人認証方法および本人認証プログラム |
| JP2010097467A (ja) * | 2008-10-17 | 2010-04-30 | Nomura Research Institute Ltd | リスクベース認証システムおよびリスクベース認証方法 |
| JP2010237940A (ja) * | 2009-03-31 | 2010-10-21 | Nec Corp | 個人認証装置、個人認証方法、プログラム及び記録媒体 |
| JP2010250502A (ja) * | 2009-04-14 | 2010-11-04 | Nec Corp | 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム |
| JP2011198170A (ja) * | 2010-03-23 | 2011-10-06 | Oki Software Co Ltd | ユーザ同定システム、ユーザ同定サーバ、携帯機器、ユーザ同定プログラム及び携帯機器のプログラム |
Non-Patent Citations (1)
| Title |
|---|
| 金西 計英: "利用を限定したWebサイトにおける個人モデルを利用したセキュリティについて", 情報処理学会研究報告, vol. 2000, no. 66, JPN6016027672, 19 July 2000 (2000-07-19), JP, pages 1 - 8, ISSN: 0003362418 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019036296A (ja) * | 2017-07-12 | 2019-03-07 | ザ・ボーイング・カンパニーThe Boeing Company | モバイルセキュリティ対策 |
| JP7182924B2 (ja) | 2017-07-12 | 2022-12-05 | ザ・ボーイング・カンパニー | モバイルセキュリティ対策 |
| JP7180073B2 (ja) | 2018-01-04 | 2022-11-30 | 富士通株式会社 | 判定プログラム、判定方法、および判定装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11837344B2 (en) | Systems and methods for securely storing patient information and providing access thereto | |
| McLeod et al. | Cyber-analytics: Modeling factors associated with healthcare data breaches | |
| US8180654B2 (en) | Method and system for creating, assembling, managing, utilizing, and securely storing portable personal medical records | |
| JP5745933B2 (ja) | 病歴診断システムおよび方法 | |
| US8108311B2 (en) | Systems and methods for constructing a local electronic medical record data store using a remote personal health record server | |
| US9208284B1 (en) | Medical professional application integration into electronic health record system | |
| US20130179176A1 (en) | Computer implemented method for determining the presence of a disease in a patient | |
| US20070294112A1 (en) | Systems and methods for identification and/or evaluation of potential safety concerns associated with a medical therapy | |
| US20040054657A1 (en) | Medical information management system | |
| Vimalachandran et al. | Ensuring data integrity in electronic health records: A quality health care implication | |
| Britton et al. | Privacy and security issues surrounding the protection of data generated by continuous glucose monitors | |
| US20150248540A1 (en) | Method and system for monitoring medication adherence | |
| Boysen et al. | Refining the threat calculus of technology threat avoidance theory | |
| Svendsen et al. | Pros and cons of eHealth: A systematic review of the literature and observations in Denmark | |
| Vavilis et al. | Impact of ICT on home healthcare | |
| King et al. | Log your CRUD: design principles for software logging mechanisms | |
| Kline et al. | Prospective study of clinician-entered research data in the emergency department using an Internet-based system after the HIPAA Privacy Rule | |
| US20040030579A1 (en) | Method, system and computer program product for providing medical information | |
| US20150379204A1 (en) | Patient application integration into electronic health record system | |
| CN104008265A (zh) | 链接用于信息管理的保健应用 | |
| JP2014123309A (ja) | プログラム、方法、および情報処理装置 | |
| Ondiege et al. | Health care professionals’ perception of security of personal health devices | |
| JP6852379B2 (ja) | 操作ログ出力プログラム、操作ログ出力方法、および情報処理装置 | |
| Handler | Data Sharing Defined—Really! | |
| Shoewu et al. | Design and Development of Health Centre Management System with Fingerprint Identification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150804 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160713 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160726 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160926 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170116 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170314 |