図1には、本発明の実施形態に係る情報処理システムとしての医療情報管理システムの一例が示されている。医療情報管理システムは、例えば、情報処理装置としての医療情報管理装置10と端末装置12,14とを含む。医療情報管理装置10と端末装置12,14は、ネットワーク等の通信経路Nに接続されている。
医療情報管理装置10は、医療情報としての文書データを管理し、要求に応じて文書データを提供する機能を備えている。医療情報は、例えば、電子化された医療カルテ(電子カルテ)、医療機関の紹介状を示す情報、医療画像(例えばX線CT画像やレントゲン画像等)、医療費明細書を示す情報、等である。例えば、電子カルテのデータ、紹介状のデータ、医療画像データ、医療費明細書のデータ等が、文書データとして管理される。また、医療カルテ、紹介状、医療費明細書等が用紙によって作成されている場合、その用紙上の画像がスキャナによって読み取られ、これによって生成された文書データ(画像データ)が管理されてもよい。
端末装置12,14は、例えば、PC(パーソナルコンピュータ)、タブレットPC、スマートフォン、携帯電話等の装置であり、他の装置との間でデータを送受信する機能を備えている。端末装置12,14は、例えば、大学病院、診療所、クリニック、個人病院、等の医療機関に設置されている。端末装置12は、例えば、文書データの公開元において利用される装置であり、端末装置14は、文書データの公開先において利用される装置である。図1には、1つの端末装置12と2つの端末装置14が通信経路Nに接続されているが、これは一例に過ぎない。公開元にて利用される複数の端末装置12が通信経路Nに接続されてもよいし、公開先にて利用される1又は複数の端末装置14が通信経路Nに接続されてもよい。
本実施形態に係る医療情報管理システムにおいては、医師等のユーザが端末装置12を利用して、公開対象の文書データと当該文書データの公開先を指定する。医療情報管理装置10は、その指定に応じて、当該文書データへのアクセスを制御するためのアクセス制御情報を作成する。また、医師等のユーザが端末装置14を利用して文書データへのアクセスを要求した場合、医療情報管理装置10は、アクセス制御情報を利用して、文書データへのアクセスを制御する。
以下、図2を参照して、医療情報管理装置10の構成について詳しく説明する。図2には、医療情報管理装置10の構成が示されている。
通信部16は通信インターフェースであり、他の装置にデータを送信する機能、及び、他の装置からデータを受信する機能を備えている。
医療情報DB(医療情報データベース)18はハードディスク等の記憶装置である。医療情報DB18には、医療情報としての文書データが記憶されている。文書データには、当該文書データを管理するための文書管理情報が対応付けられている。文書管理情報は、例えば、文書データを識別するための文書識別情報(例えば文書ID)、文書データの版を示す情報(例えば版番号)、文書の種別を示す文書種別情報(例えば文書種別コード)、文書のタイトルを示す情報、文書データの作成日を示す情報、等を含む。また、文書データには、患者情報が対応付けられている。患者情報は、例えば、患者を識別するための患者識別情報(例えば氏名や患者ID)、患者の性別を示す情報、患者の生年月日を示す情報、患者の年齢を示す情報、等を含む。例えば、電子カルテ等の文書データが作成される度に、当該文書データが医療情報DB18に記憶される。医療情報DBに記憶されている文書データは、例えば、公開元において共有される。つまり、医療情報DBに記憶されている文書データは、端末装置12からのアクセスが許可されたデータである。
一例として、医療情報DB18には、HL7(医療情報交換のための標準規約)によって規定された診療文書規格(HL7 CDA(Clinical Document Architecture) R2)に準拠した医療情報が記憶されている。CDA規格においては、HL7によって規定された情報が、CDA本体と称されるXMLデータに記録される。例えば、受診者情報(患者情報)、報告書作成機関情報、検査情報、問診情報、等が、XMLデータに記録される。また、電子カルテや紹介状等の医療情報は、XMLデータの添付文書として扱われる。例えば、医療情報(文書データ)がPDF(Portable Document Format)データとして作成され、そのPDFデータはXMLデータの添付文書として扱われる。PDFデータに電子署名が適用された場合、その電子署名に係るハッシュ情報がXMLデータに記述される。また、XMLデータにはXAdES等によって電子署名が適用される。
また、医療情報DB18には、医療情報管理システムに登録されている医療機関に関する医療機関情報が記憶されている。その医療機関は、文書データの公開先候補の医療機関である。医療機関情報は、例えば、医療機関を識別するための医療機関識別情報(例えば施設名や施設ID)等を含む。なお、医療機関情報は、他の記憶装置に記憶されていてもよい。
なお、医療情報DB18は、医療情報管理装置10に設けられておらず、通信経路Nに接続された他の装置に設けられていてもよい。
アクセス制御情報作成部20は、公開対象の文書データ(例えばPDFデータ)へのアクセスを制御するためのアクセス制御情報(ACL:Access Control List)を作成する機能を備えている。アクセス制御情報作成部20は、例えば、文書データ毎にアクセス制御情報を作成する。アクセス制御情報は、公開先に関する公開先情報を含む。公開元と公開先は、例えば、医療機関、医療機関における診療科、都道府県や市町村等のエリア、等である。
公開先情報は、例えば、公開先を識別するための公開先識別情報(例えば公開先名や公開先ID)等を含む。公開先の単位が、病院、診療所、クリニック等の医療機関の場合、公開先情報には、公開先識別情報として、その医療機関を識別するための医療機関識別情報(例えば医療機関名や医療機関ID)が含まれる。公開先の単位が診療科の場合、公開先情報には、公開先識別情報として、その診療科が属する医療機関を識別するための医療機関識別情報(例えば医療機関名や医療機関ID)と、その診療科を識別するための診療科識別情報(例えば診療科名や診療科ID)と、が含まれる。公開先の単位がエリアの場合、公開先情報には、公開先識別情報として、そのエリアを識別するためのエリア識別情報(例えばエリア名やエリアID)が含まれる。公開先情報は、公開先から医療情報管理装置10に予め送信され、医療情報管理装置10の医療情報DB18に予め記憶されている。例えば、公開先候補の医療機関や診療科を医療情報管理システムに登録するときに、公開先情報が公開先候補から医療情報管理装置10に送信されて記憶される。
例えば、公開元において医師等のユーザが端末装置12を利用して、公開対象の文書データと当該文書データの公開先を指定すると、アクセス制御情報作成部20は、その指定に応じて、当該文書データへのアクセスを制御するためのアクセス制御情報を作成する。
アクセス制御情報作成部20は、公開対象の文書データと当該文書データについてのアクセス制御情報とを対応付けて公開情報DB(公開情報データベース)24に記憶させる。CDA規格に準拠する場合、XMLデータと、添付の文書データとしてのPDFデータと、アクセス制御情報(ACL)と、が対応付けられて公開情報DB24に記憶される。
電子署名処理部22は、文書データに対して電子署名を適用する機能を備えている。電子署名として、例えば公知の技術が適用される。CDA規格に準拠する場合、電子署名処理部22は、文書データとしてのPDFデータに電子署名を適用するとともに、XMLデータに電子署名を適用する。PDFデータに電子署名が適用された場合、XMLデータにそのハッシュ情報が記述される。また、XMLデータにはXAdES等によって電子署名が適用される。電子署名処理部22は、アクセス制御情報(ACL)に電子署名を適用しない。
また、電子署名処理部22は、文書データに対してタイムスタンプ処理を適用してもよい。例えば、公知のタイムスタンプ処理が適用される。CDA規格に準拠する場合、電子署名処理部22は、文書データとしてのPDFデータにタイムスタンプ処理を適用するとともに、XMLデータにタイムスタンプ処理を適用する。電子署名処理部22は、アクセス制御情報(ACL)にタイムスタンプ処理を適用しない。
公開情報DB24はハードディスク等の記憶装置である。公開情報DB24には、公開対象の文書データと当該文書データについてのアクセス制御情報(ACL)とが対応付けられて記憶される。その文書データには電子署名やタイムスタンプ処理が適用されている。CDA規格に準拠する場合、公開情報DB24には、XMLデータと、添付の文書データとしてのPDFデータと、アクセス制御情報(ACL)と、が対応付けられて記憶される。XMLデータとPDFデータには電子署名やタイムスタンプ処理が適用されている。アクセス制御情報(ACL)には電子署名やタイムスタンプ処理は適用されてない。
制御部26は、医療情報管理装置10の各部の動作を制御する機能を備えている。また、制御部26はアクセス制御部28を含む。
アクセス制御部28は、アクセス制御情報(ACL)を用いて文書データ(例えばPDFデータ)へのアクセスを制御する機能を備えている。例えば、医師等のユーザが端末装置14を利用して文書データへのアクセスを要求した場合、アクセス制御部28は、アクセス要求の対象となっている文書データに対応付けられているアクセス制御情報を用いて、当該文書データへのアクセスを制御する。そのアクセス要求が公開先からのアクセス要求である場合、当該文書データへのアクセスは許可される。一方、そのアクセス要求が公開先からのアクセス要求ではない場合、当該文書データへのアクセスは禁止される。
以下、図3を参照して、端末装置12,14の構成について詳しく説明する。図3には、端末装置12の構成が示されている。端末装置14は端末装置12と同じ構成を備えている。通信部30は通信インターフェースであり、他の装置にデータを送信する機能、及び、他の装置からデータを受信する機能を備えている。記憶部32はハードディスク等の記憶装置である。UI部34はユーザインターフェースであり、表示部と操作部とを含む。表示部は、例えば液晶ディスプレイ等の表示装置である。操作部は、例えばタッチパネルやキーボード等の入力装置である。制御部36は、端末装置12の各部の動作を制御する。
以下、図4を参照して、医療情報管理システムにおける処理について説明する。図4には、その処理を説明するための図が示されている。
一例として、CDA規格に準拠する場合について説明する。この場合、CDA情報38が作成されて医療情報DB18に記憶される。CDA情報38は、文書データとしてのPDFデータ40と、CDA規格によって規定された情報を含むXMLデータ42と、を含む。PDFデータ40は、例えば、電子カルテや紹介状等のデータである。XMLデータ42は、例えば、受診者情報(患者情報)、報告書作成機関情報、検査情報、問診情報、等を含む。PDFデータ40はXMLデータ42の添付文書として扱われる。PDFデータ40を公開対象の文書データとして登録する場合、アクセス制御情報(ACL)44がアクセス制御情報作成部20によって作成され、CDA情報38に対応付けられる。例えば、公開元のユーザによって、公開対象のPDFデータ40と公開先が指定される。図4に示す例では、公開先としてユーザAが指定されている。つまり、ユーザAからPDFデータ40へのアクセスは許可されるが、ユーザBからPDFデータ40へのアクセスは許可されない。この場合、アクセス制御情報(ACL)44には、公開先情報として、ユーザAを識別するための識別情報(例えばユーザID)が含まれる。
電子署名処理部22は、CDA情報38に対して電子署名とタイムスタンプ処理を適用する。これにより、PDFデータ40とXMLデータ42に対して電子署名とタイムスタンプ処理が適用される。もちろん、電子署名が適用されてタイムスタンプ処理が適用されなくてもよいし、タイムスタンプ処理が適用されて電子署名が適用されなくてもよい。一方、電子署名処理部22は、アクセス制御情報(ACL)44には電子署名とタイムスタンプ処理を適用しない。
公開情報DB24には、電子署名とタイムスタンプ処理とが適用されたCDA情報38(PDFデータ40とXMLデータ42)と、電子署名とタイムスタンプ処理とが適用されていないアクセス制御情報(ACL)44と、が対応付けられて記憶される。
ユーザが端末装置14を利用してPDFデータ40へのアクセスを要求した場合、アクセス制御部28は、アクセス制御情報(ACL)44を用いてそのアクセスを制御する。例えば、ユーザを識別するための識別情報が端末装置14から医療情報管理装置10に送信される。その識別情報がアクセス制御情報(ACL)44に含まれている場合、PDFデータ40へのアクセスは許可され、その識別情報がアクセス制御情報(ACL)44に含まれていない場合、PDFデータ40へのアクセスは許可されない。例えば、ユーザAからのアクセスは許可され、ユーザBからのアクセスは許可されない。
以上のように、本実施形態によると、医療情報としての文書データに電子署名やタイムスタンプ処理が適用され、これにより、文書データの偽造や改ざんが防止される。CDA規格に準拠する場合、CDA情報38(PDFデータ40とXMLデータ42)に電子署名とタイムスタンプ処理が適用されるので、CDA情報38の偽造や改ざんが防止される。一方、アクセス制御情報(ACL)44には、電子署名とタイムスタンプ処理が適用されない。これにより、文書データ(例えばPDFデータ40)に対するアクセス制御が変更されてアクセス制御情報(ACL)44が変更された場合であっても、文書データの偽造や改ざんを防止するために、その変更に伴って電子署名やタイムスタンプ処理を適用せずに済む。電子署名を適用する場合、ハッシュ情報の計算や認証局へのアクセス等を実行する必要があるため、その分、処理効率が低下する。本実施形態では、アクセス制御情報(ACL)44の変更に伴って電子署名やタイムスタンプ処理を適用する必要がないため、電子署名やタイムスタンプ処理に伴う処理効率の低下が防止される。
以下、図5及び図6を参照して、比較例について説明する。図5及び図6には、比較例に係る処理を説明するための図が示されている。
比較例においても、CDA規格に準拠する場合について説明する。図5に示すように、比較例においては、XMLデータ42にアクセス制御情報(ACL)が記述され、PDFデータ40とXMLデータ42に電子署名とタイムスタンプ処理が適用される。PDFデータ40とXMLデータ42は公開情報DB24に記憶される。図5に示す例では、PDFデータ40はユーザAに公開され、ユーザBには公開されていない。
図6には、比較例において、PDFデータ40をユーザBにも公開する場合の処理が示されている。PDFデータ40をユーザA,Bに公開する場合、アクセス制御情報(ACL)が変更される。アクセス制御情報(ACL)はXMLデータ42に記述されているため、XMLデータ42に含まれるアクセス制御情報(ACL)が変更される。XMLデータ42の偽造や改ざんを防止するために、変更後のXMLデータ42に対して電子署名とタイムスタンプ処理が適用される。このように、比較例においては、アクセス制御が変更される度に、その変更に伴って電子署名とタイムスタンプ処理を適用する必要がある。
本実施形態では、アクセス制御情報(ACL)44がCDA情報38(PDFデータ40とXMLデータ42)から独立して作成されるので、アクセス制御が変更される度に、その変更に伴って電子署名とタイムスタンプ処理を適用する必要がない。それ故、比較例と比べて、処理効率の低下が防止される。例えば、PDFデータ40をユーザBに公開する場合であっても、CDA情報38から独立したアクセス制御情報44を変更すれば済み、電子署名とタイムスタンプ処理が不要となる。
例えば、公開先が頻繁に変更される場合、アクセス制御情報(ACL)を頻繁に変更する必要がある。XMLデータ42自体にアクセス制御情報(ACL)を記述した場合、アクセス制御情報(ACL)の変更に伴って、XMLデータ42に対して電子署名を適用する必要がある。文書データとしてのPDFデータ40自体が変更されていない場合であっても、アクセス制御情報(ACL)がXMLデータ42に記述されているため、アクセス制御情報(ACL)の変更に伴ってXMLデータ42に対して電子署名を適用する必要がある。それ故、処理効率が低下する。
一方、本実施形態では、アクセス制御情報(ACL)44をXMLデータ42に記述せずに、XMLデータ42とは別のデータとして作成し、電子署名やタイムスタンプ処理の対象としていない。それ故、公開先が変更されてアクセス制御情報(ACL)44が変更されても、CDA情報38に対して電子署名やタイムスタンプ処理を適用する必要がない。公開先が頻繁に変更された場合であっても、その都度、CDA情報38の偽造や改ざんを防止するために電子署名やタイムスタンプ処理を適用する必要がないため、CDA情報38にアクセス制御情報(ACL)を記述する場合と比較して、処理効率の低下が防止される。
アクセス制御情報(ACL)は頻繁に変更されることが想定される情報であるため、このアクセス制御情報(ACL)を電子署名とタイムスタンプ処理の適用から外すことにより、頻繁に発生し得る電子署名とタイムスタンプ処理による処理効率の低下が防止される。
なお、公開情報DB24に記憶されているアクセス制御情報(ACL)44が更新された場合、更新前のアクセス制御情報(ACL)44は削除されずに、公開情報DB24に記憶されていてもよい。この場合、更新後のアクセス制御情報(ACL)44に従って、文書データへのアクセスが制御される。
XMLデータ42にアクセス制御情報(ACL)が記述されるとともに、CDA情報38から独立してアクセス制御情報(ACL)44が作成されてCDA情報38に対応付けられてもよい。アクセス制御情報(ACL)44には電子署名やタイムスタンプ処理は適用されない。この場合、CDA情報38から独立したアクセス制御情報(ACL)44が優先的に利用され、そのアクセス制御情報(ACL)44に従って文書データへのアクセスが制御される。
(変形例)
以下、変形例について説明する。図7には、変形例に係る医療情報管理システムが示されている。変形例においては、複数の端末装置12(例えば3つの端末装置12)と複数の端末装置14(例えば3つの端末装置14)が、通信経路Nに接続されている。変形例に係る医療情報管理装置10は、上述した実施形態に係る医療情報管理装置10の構成と同じ構成を備えている。以下、変形例について詳しく説明する。
変形例においては、アクセス制御情報作成部20は、公開対象の文書データの公開元のグループ毎に異なるアクセス制御情報を作成する。1つの文書データに対して1つのアクセス制御情報が作成される場合もあれば、1つの文書データに対して複数のアクセス制御情報が作成される場合もある。例えば、ある文書データについて、1つの公開元のグループによってアクセス制御が設定された場合、その文書データに対して1つのアクセス制御情報が作成される。一方、ある文書データについて、複数の公開元のグループによってアクセス制御が設定された場合、その文書データに対して複数のアクセス制御情報が作成される。この場合、公開元のグループ毎にアクセス制御情報が作成され、その結果、公開元のグループと同じ数のアクセス制御情報が作成される。
アクセス制御情報は、例えば、公開元のグループに関する公開元情報、公開対象の文書データについての文書管理情報、当該文書データに対応付けられている患者情報、及び、公開先に関する公開先情報、を含む。公開元のグループと公開先は、例えば、医療機関、医療機関における診療科、都道府県や市町村等のエリア、等である。
公開元情報は、例えば、公開元のグループを識別するための公開元識別情報(例えば公開元名や公開元ID)、公開設定者を識別するための公開設定者識別情報(例えば公開元氏名や公開元ユーザID)、等を含む。公開元のグループの単位が、病院、診療所、クリニック等の医療機関の場合、公開元情報には、公開元識別情報として、その医療機関を識別するための医療機関識別情報(例えば医療機関名や医療機関ID)が含まれる。公開元のグループの単位が診療科の場合、公開元情報には、公開元識別情報として、その診療科が属する医療機関を識別するための医療機関識別情報(例えば医療機関名や医療機関ID)と、その診療科を識別するための診療科識別情報(例えば診療科名や診療科ID)と、が含まれる。公開元のグループの単位がエリアの場合、公開元情報には、公開元識別情報として、そのエリアを識別するためのエリア識別情報(例えばエリア名やエリアID)が含まれる。公開元情報は、例えば、公開処理時に、公開元のグループによって利用される端末装置12から医療情報管理装置10に送信されてもよいし、医療情報管理装置10の医療情報DB18に予め記憶されていてもよい。
公開先情報は、上述した実施形態に係る公開先情報と同じ情報である。
例えば、公開元のグループにおいて医師等のユーザが端末装置12を利用して、公開対象の文書データと当該文書データの公開先を指定すると、アクセス制御情報作成部20は、その指定に応じて、当該文書データへのアクセスを制御するためのアクセス制御情報を作成する。
上述したように、アクセス制御情報は、患者情報と公開元情報とを含む。アクセス制御情報作成部20は、アクセス制御情報に含まれる公開元情報が示すグループによる当該アクセス制御情報の変更を許可し、当該公開元情報が示すグループ以外のグループによる当該アクセス制御情報の変更を禁止する。例えば、アクセス制御情報に含まれる公開元情報に、診療科Aを示す診療科識別情報が含まれている場合、診療科Aに属する医師による当該アクセス制御情報の変更が許可され、診療科A以外の診療科に属する医師による当該アクセス制御情報の変更が禁止される。例えば、医師等のユーザが端末装置12を利用して患者情報と公開元情報とを入力してアクセス制御情報へのアクセスを要求した場合、アクセス制御情報作成部20は、入力された患者情報と公開元情報とを含むアクセス制御情報へのアクセスを許可し、そのアクセス制御情報の変更を許可する。一方、アクセス制御情報作成部20は、入力された患者情報と公開元情報とを含まないアクセス制御情報へのアクセスを禁止し、そのアクセス制御情報の変更を禁止する。このように、アクセス制御情報はグループ毎に個別的に管理される。
変形例においても、上述した実施形態と同様に、電子署名処理部22は、文書データに対して電子署名を適用する。CDA規格に準拠する場合、電子署名処理部22は、文書データとしてのPDFデータに電子署名を適用するとともに、XMLデータに電子署名を適用する。電子署名処理部22は、アクセス制御情報(ACL)に電子署名を適用しない。また、電子署名処理部22は、文書データに対してタイムスタンプ処理を適用してもよい。CDA規格に準拠する場合、電子署名処理部22は、文書データとしてのPDFデータにタイムスタンプ処理を適用すると共に、XMLデータにタイムスタンプ処理を適用する。電子署名処理部22は、アクセス制御情報(ACL)にタイムスタンプ処理を適用しない。
以下、図8を参照して、変形例に係る医療情報管理システムにおける処理の概略について説明する。図8には、その処理の概略を説明するための図が示されている。
端末装置12A,12B,12Cは、端末装置12の一例であり、例えば公開元の医療機関(例えば大学病院)において利用される端末装置である。循環器内科と老年高血圧内科は、大学病院における診療科の一例であり、公開元のグループの一例に相当する。端末装置12A,12Bは、大学病院における循環器内科において利用される端末装置であり、端末装置12Cは、同一の大学病院における老年高血圧内科において利用される端末装置である。
端末装置14Y,14T,14Wは、端末装置14の一例であり、公開先の医療機関において利用される端末装置である。より具体的には、端末装置14Yは、医療機関としてのXクリニックにて利用される端末装置であり、端末装置14Tは、医療機関としてのS診療所にて利用される端末装置であり、端末装置14Wは、医療機関としてのVクリニックにて利用される端末装置である。Xクリニック、S診療所及びVクリニックについての公開先情報(医療機関情報)は、予め医療情報管理装置10の医療情報DB18に記憶されている。
例えば患者Pに対して診療等が施され、文書データ(医療情報)として、心臓CT画像46、手術記録情報48、退院時要約情報50及び検体検査報告書52が作成されたものとする。心臓CT画像46、手術記録情報48、退院時要約情報50及び検体検査報告書52は、それぞれ患者Pの患者情報に対応付けられて医療情報DB18に記憶される。これらの文書データは、例えば大学病院において共有されるデータであり、端末装置12A,12B,12Cからのアクセスが許可されたデータである。CDA規格に準拠する場合、心臓CT画像46、手術記録情報48、退院時要約情報50及び検体検査報告書52は、それぞれXMLデータが対応付けられて医療情報DB18に記憶される。心臓CT画像46、手術記録情報48、退院時要約情報50及び検体検査報告書52に、電子署名とタイムスタンプ処理が適用される。また、各文書データに対応付けられているXMLデータにも、電子署名とタイムスタンプ処理が適用される。
心臓CT画像46、手術記録情報48及び退院時要約情報50は、公開文書グループ54に属する文書データであり、退院時要約情報50及び検体検査報告書52は、公開文書グループ56に属する文書データである。
公開文書グループ54に属する文書データは、循環器内科に属する医師A,Bによって、公開文書データとして指定されたデータである。公開文書グループ56に属する文書データは、老年高血圧内科に属する医師Cによって、公開文書データとして指定された文書データである。図8に示す例では、退院時要約情報50が、公開文書グループ54と公開文書グループ56の両方に属している。つまり、退院時要約情報50は、循環器内科の医師と老年高血圧内科の医師の両方によって、公開対象の文書データとして指定されている。
循環器内科に属する医師A,Bによって、公開先の医療機関として、XクリニックとS診療所が指定されている。それ故、公開文書グループ54に属する文書データは、Xクリニック(端末装置14Y)とS診療所(端末装置14T)からのアクセスが許可されたデータである。
また、老年高血圧内科に属する医師Cによって、公開先の医療機関として、Vクリニックが指定されている。それ故、公開文書グループ56に属する文書データは、Vクリニック(端末装置14W)からのアクセスが許可されたデータである。
以上のように、公開元の診療科と、公開対象の文書データと、公開先の医療機関と、が対応付けられ、公開元の診療科毎に、公開対象の文書データと公開先の医療機関とが個別に設定される。
以下、変形例に係る医療情報管理装置10について更に詳しく説明する。
図9を参照して、医療情報管理システムに登録されている医療機関の一例について説明する。図9には、医療機関管理テーブルの一例が示されている。この医療機関管理テーブルは医療機関情報の一例であり、そのデータは例えば予め作成されて医療情報DB18に記憶される。公開元の診療科は、文書データの公開元のグループの一例である。公開元の診療科として、一例として、循環器内科と老年高血圧内科が登録されている。この循環器内科と老年高血圧内科は、例えば、同一大学病院における診療科である。公開先候補の医療機関は、文書データの公開先候補の医療機関である。公開先候補の医療機関として、一例として、Xクリニック、S診療所、Zハートクリニック及びVクリニックが予め登録されている。図9に示す例では、循環器内科と、Xクリニック、S診療所及びZハートクリニックと、が対応付けられており、老年高血圧内科とVクリニックとが対応付けられている。つまり、循環器内科に属する医師等のユーザによって公開される文書データの公開先候補の医療機関として、Xクリニック、S診療所及びZハートクリニックが登録されており、老年高血圧内科に属する医師等のユーザによって公開される文書データの公開先候補の医療機関として、Vクリニックが登録されている。公開先の医療機関を選択する場合、循環器内科に属するユーザは、Xクリニック、S診療所及びZハートクリニックの中から、公開先の医療機関を選択することになる。老年高血圧内科に属するユーザは、Vクリニックを公開先の医療機関として選択することになる。
以下、図10を参照して、アクセス制御情報について詳しく説明する。図10には、アクセス制御情報(ACL)の一例が示されている。アクセス制御情報は、公開元のユーザの指示に従って作成され、公開情報DB24に記憶される。公開元のグループ毎に異なるアクセス制御情報が作成される。公開元のグループの単位が診療科の場合、診療科毎に異なるアクセス制御情報が作成される。図10に示す例では、公開元の循環器内科に属するユーザによって、患者Pの公開対象の文書データとして、心臓CT画像46、手術記録情報48及び退院時要約情報50が指定され、公開先の医療機関として、XクリニックとS診療所が指定されている。これにより、循環器内科に属するユーザの指示に従って作成されたアクセス制御情報においては、患者Pの患者情報と、循環器内科の公開元情報と、公開対象の文書データ(心臓CT画像46、手術記録情報48及び退院時要約情報50)についての文書管理情報と、公開先の医療機関(XクリニックとS診療所)の公開先情報と、が対応付けられる。また、公開元の老年高血圧内科に属するユーザによって、患者Pの公開対象の文書データとして、退院時要約情報50と検体検査報告書52が指定され、公開先の医療機関として、Vクリニックが指定されている。これにより、老年高血圧内科に属するユーザの指示に従って作成されたアクセス制御情報においては、患者Pの患者情報と、老年高血圧内科の公開元情報と、公開対象の文書データ(退院時要約情報50と検体検査報告書52)についての文書管理情報と、公開先の医療機関(Vクリニック)の公開先情報と、が対応付けられる。このように、循環器内科と老年高血圧内科とで、異なるアクセス制御情報が作成される。アクセス制御部28は、これらのアクセス制御情報を参照することにより、文書データに対する公開先の医療機関からのアクセスを制御する。
図11には、文書データとアクセス制御情報(ACL)との対応関係の一例が示されている。公開対象の文書データ毎にアクセス制御情報が作成され、文書データとアクセス制御情報とが対応付けられて公開情報DB24に記憶される。
例えば、心臓CT画像46と、その心臓CT画像46へのアクセスを制御するためのACL58と、が対応付けられて公開情報DB24に記憶される。ACL58は、患者Pの患者情報と、公開元の循環器内科の公開元情報と、心臓CT画像46の文書管理情報と、公開先の医療機関(XクリニックとS診療所)の公開先情報と、を含む。CDA規格に準拠する場合、心臓CT画像46とXMLデータに対して電子署名とタイムスタンプ処理が適用される。ACL58には、電子署名とタイムスタンプ処理は適用されない。
同様に、手術記録情報48と、その手術記録情報48へのアクセスを制御するためのACL60と、が対応付けられて公開情報DB24に記憶される。ACL60は、患者Pの患者情報と、公開元の循環器内科の公開元情報と、手術記録情報48の文書管理情報と、公開先の医療機関(XクリニックとS診療所)の公開先情報と、を含む。CDA規格に準拠する場合、手術記録情報48とXMLデータに対して電子署名とタイムスタンプ処理が適用される。ACL60には、電子署名とタイムスタンプ処理は適用されない。
同様に、退院時要約情報50と、その退院時要約情報50へのアクセスを制御するためのACL62,64と、が対応付けられて公開情報DB24に記憶される。図8,10を参照して説明したように、退院時要約情報50は、循環器内科の医師と老年高血圧内科の医師の両方によって、公開対象の文書データとして指定されている。それ故、循環器内科用のACL62と老年高血圧内科用のACL64が作成される。ACL62は、患者Pの患者情報と、公開元の循環器内科の公開元情報と、退院時要約情報50の文書管理情報と、公開先の医療機関(XクリニックとS診療所)の公開先情報と、を含む。また、ACL64は、患者Pの患者情報と、公開元の老年高血圧内科の公開元情報と、退院時要約情報50の文書管理情報と、公開先の医療機関(Vクリニック)の公開先情報と、を含む。CDA規格に準拠する場合、退院時要約情報50とXMLデータに対して電子署名とタイムスタンプ処理が適用される。ACL62,64には、電子署名とタイムスタンプ処理は適用されない。
なお、ACL62,64は同一のACLに含まれてもよい。この場合、1つのACL中において、ACL62が記述された部分には、循環器内科に属するユーザからのアクセスが許可され、その部分の変更が許可される。一方、1つのACL中において、ACL64が記述された部分には、老年高血圧内科に属するユーザからのアクセスが許可され、その部分の変更が許可される。
同様に、検体検査報告書52と、その検体検査報告書52へのアクセスを制御するためのACL66と、が対応付けられて公開情報DB24に記憶される。ACL66は、患者Pの患者情報と、公開元の老年高血圧内科の公開元情報と、検体検査報告書52の文書管理情報と、公開先の医療機関(Vクリニック)の公開先情報と、を含む。CDA規格に準拠する場合、検体検査報告書52とXMLデータに電子署名とタイムスタンプ処理が適用される。ACL66には、電子署名とタイムスタンプ処理は適用されない。
以下、図12を参照して、変形例に係る医療情報管理システムにおける処理について詳しく説明する。図12には、その処理を示すシーケンス図が示されている。
まず、公開元のユーザが端末装置12を利用して医療情報管理装置10にログインする(S01)。例えば、循環器内科の医者Aが、循環器内科用のユーザIDとパスワードを利用して医療情報管理装置10にログインしたものとする。ログイン時の認証は、例えば、医療情報管理装置10の制御部26によって行われる。医療情報管理装置10に予め登録されているユーザID及びパスワードと、端末装置12から入力されたユーザID及びパスワードと、が一致した場合、ログインが許可される。それらが一致しない場合、ログインは許可されない。
次に、公開元のユーザ(循環器内科の医師A)が端末装置12を利用して、公開対象の文書データを指定する(S02)。例えば、医療情報DB18に記憶されている文書データの一覧が、端末装置12のUI部34に表示され、ユーザ(循環器内科の医師A)によって、その一覧の中から公開対象の文書データが指定される。
また、公開元のユーザ(循環器内科の医師A)が端末装置12を利用して、公開先を指定する(S03)。例えば、医療情報管理システムに登録されている医療機関群の中から公開先の医療機関が指定される。公開元のユーザが循環器内科の医者Aである場合、循環器内科に対応する公開先候補の医療機関群の中から公開先の医療機関が指定される。図9に示す例では、Xクリニック、S診療所及びZハートクリニックが、循環器内科に対応する公開先候補の医療機関として登録されている。例えば、公開先候補の医療機関の一覧が、端末装置12のUI部34に表示され、ユーザ(循環器内科の医師A)によって、その一覧の中から公開先の医療機関が指定される。
次に、公開元のユーザ(循環器内科の医師A)が端末装置12を利用して、文書データの公開を指示する(S04)。
医療情報管理装置10においては、アクセス制御情報作成部20がアクセス制御情報(ACL)を作成する(S05)。例えば図10に示すように、循環器内科の医者Aによって、公開対象の文書データとして、心臓CT画像46、手術記録情報48及び退院時要約情報50が指定され、各文書データについて、公開先の医療機関として、XクリニックとS診療所が指定されたものとする。この場合、アクセス制御情報作成部20は、心臓CT画像46用のアクセス制御情報(ACL)と、手術記録情報48用のアクセス制御情報(ACL)と、退院時要約情報50用のアクセス制御情報(ACL)を作成する。例えば図11に示すように、心臓CT画像46用にACL58が作成され、手術記録情報48用にACL60が作成され、退院時要約情報50用にACL62が作成される。
次に、電子署名処理部22は、心臓CT画像46、手術記録情報48及び退院時要約情報50に、電子署名とタイムスタンプ処理を適用する(S06)。ACL58,60,62には電子署名とタイムスタンプ処理は適用されない。CDA規格に準拠する場合、電子署名処理部22は、各文書データに対応付けられているXMLデータにも、電子署名とタイムスタンプ処理を適用する。
公開対象の文書データは、当該文書データについてのアクセス制御情報に対応付けられて公開情報DB24に記憶される(S07)。CDA規格に準拠する場合、XMLデータも文書データに対応付けられて公開情報DB24に記憶される。
なお、老年高血圧内科の医師Cによって文書データが公開される場合も、上記と同様の処理が実行される。これにより、老年高血圧内科用のアクセス制御情報が作成される。例えば図10に示すように、老年高血圧内科の医師Cによって、公開対象の文書データとして、退院時要約情報50と検体検査報告書52が指定され、各文書データについて、公開先の医療機関として、Vクリニックが指定されたものとする。この場合、アクセス制御情報作成部20は、退院時要約情報50用のアクセス制御情報(ACL)と、検体検査報告書52用のアクセス制御情報(ACL)を作成する。例えば図11に示すように、退院時要約情報50用にACL64が作成され、検体検査報告書52用にACL66が作成される。この場合も、退院時要約情報50と検体検査報告書52に電子署名とタイムスタンプ処理が適用され、ACL64,66には電子署名とタイムスタンプ処理は適用されない。CDA規格に準拠する場合、退院時要約情報50用のXMLデータと検体検査報告書52用のXMLデータが作成され、各XMLデータに電子署名とタイムスタンプ処理が適用される。
公開先のユーザが文書データにアクセスする場合、公開先のユーザは端末装置14を利用して医療情報管理装置10にログインする(S08)。例えば、Xクリニックの医師Yが、ユーザIDとパスワードを利用して医療情報管理装置10にログインしたものとする。ログイン時の認証は、例えば、医療情報管理装置10の制御部26によって行われる。医療情報管理装置10に予め登録されているユーザID及びパスワードと、端末装置14から入力されたユーザID及びパスワードと、が一致した場合、ログインが許可される。それらが一致しない場合、ログインは許可されない。
次に、公開先のユーザ(Xクリニックの医師Y)は端末装置14を利用して、当該ユーザに対して閲覧が許可された文書データのリストを要求する(S09)。このとき、公開先情報が端末装置14から医療情報管理装置10に送信される。この公開先情報には、Xクリニックを識別するための医療機関識別情報(例えば、Xクリニックの名称やID)が含まれる。
医療情報管理装置10においては、アクセス制御部28が、公開情報DB24に記憶されているアクセス制御情報(ACL)を解釈する(S10)。これにより、アクセス制御部28は、公開先のユーザ(Xクリニックの医師Y)に対して閲覧が許可された文書データを特定する。具体的には、アクセス制御部28は、端末装置14から送信された医療機関識別情報を公開先情報として含むアクセス制御情報を参照し、その医療機関識別情報に対応付けられている文書データを、公開先のユーザに対して閲覧が許可された文書データとして特定する。次に、アクセス制御部28は、公開先のユーザに対して閲覧が許可された文書データのリストのデータを端末装置14に送信する(S11)。端末装置14のUI部34には、閲覧が許可された文書データのリストが表示される(S12)。
例えば図10に示すように、Xクリニックに対しては、心臓CT画像46、手術記録情報48及び退院時要約情報50が公開されている。従って、心臓CT画像46、手術記録情報48及び退院時要約情報50へのアクセスが許可される。この場合、アクセス制御部28は、Xクリニックへの公開が許可された文書データのリストのデータを端末装置14に送信する。これにより、Xクリニックの端末装置14のUI部34には、心臓CT画像46、手術記録情報48及び退院時要約情報50のリストが表示される。
次に、公開先のユーザ(Xクリニックの医師Y)は端末装置14を利用して、UI部34に表示されている文書データのリストの中から取得対象の文書データを指定し、その文書データの取得を要求する(S13)。これにより、ユーザによって指定された文書データを識別するための情報が、端末装置14から医療情報管理装置10に送信される。
医療情報管理装置10においては、アクセス制御部28が、ユーザによって指定された取得対象の文書データを公開情報DB24から取得し、その文書データを端末装置14に送信する(S14)。端末装置14においては、UI部34に、その文書データが表示される(S15)。
例えば、Xクリニックの医師Yによって心臓CT画像46が指定された場合、心臓CT画像46のデータ(文書データ)が、医療情報管理装置10から端末装置14に送信され、端末装置14のUI部34に心臓CT画像46が表示される。
なお、S診療所の医師TやVクリニックの医師Wが公開先のユーザの場合であっても、上記と同様の処理が実行される。例えば、S診療所の医師Tによって文書データの取得が要求された場合、端末装置14のUI部34には、閲覧が許可された文書データのリストとして、心臓CT画像46、手術記録情報48及び退院時要約情報50のリストが表示される。Vクリニックの医師Wによって文書データの取得が要求された場合、端末装置14のUI部34には、閲覧が許可された文書データのリストとして、退院時要約情報50と検体検査報告書52のリストが表示される。
以上のように、変形例では、公開元のグループ毎に異なるアクセス制御情報が生成され、そのアクセス制御情報に基づいて文書データへのアクセスが制御される。アクセス制御情報はグループ毎に個別的に管理され、自身のグループによって設定されたアクセス制御情報への他のグループからのアクセスが禁止される。これにより、自身のグループによって設定されたアクセス制御情報は、他のグループによって変更されない。それ故、文書データの公開元のグループ毎に、当該文書データへのアクセス制御が実現される。
例えば、自身の診療科に属する医師によって設定されたアクセス制御情報は、他の診療科に属する医師によって変更されない。これにより、文書データの公開元の診療科毎に、当該文書データへのアクセス制御が実現される。例えば、同一病院内において各診療科が独立している場合において、同一の医療情報管理システムを利用した場合であっても、文書データに対するアクセス制御について、各診療科の独立性が担保される。
また、アクセス制御情報がグループ毎に作成された場合、グループ毎にアクセス制御情報が変更されるため、アクセス制御情報の変更の頻度が増大すると想定される。変形例においても、アクセス制御情報(ACL)には、電子署名とタイムスタンプ処理が適用されない。それ故、グループ毎のアクセス制御情報が頻繁に変更された場合であっても、その都度、電子署名やタイムスタンプ処理を適用する必要がないため、CDA情報にアクセス制御情報を記述する場合と比較して、処理効率の低下が防止される。
なお、上記の例では、診療科が公開元のグループであり、個々の診療科毎にアクセス制御情報が作成されているが、公開元のグループが医療機関やエリア等であっても、診療科と同様に、文書データに対するアクセス制御について、個々のグループ毎の独立性が担保される。例えば、複数の医療機関が公開元のグループとして医療情報管理システムに登録されている場合、個々の医療機関毎にアクセス制御情報が作成され、自身の医療機関によって設定されたアクセス制御情報は、他の医療機関によって変更されない。これにより、同一の医療情報管理システムを利用した場合であっても、文書データに対するアクセス制御について、各医療機関の独立性が担保される。
公開元のグループが医療機関やエリアの場合、変形例に係る医療情報管理システムは、地域医療に適用されることが想定される。この場合、変形例に係る医療情報管理システムを利用することにより、地域医療において医療情報に対するアクセス制御が実現される。
本実施形態及び変形例においては、文書データ自体を更新せずにアクセス制御情報を更新することにより、文書データへのアクセス制御が変更される。例えば、複数の公開元のグループが、同一の文書データに対するアクセス制御を各グループの都合に合わせて設定する場合、文書データ自体を更新せずに、各グループの都合に合わせてアクセス制御情報を作成又は変更すれば済む。
上述した実施形態及び変形例において、医療情報DB18に記憶されている文書データに対して公開処理を適用する場合に、デフォルト公開文書種というテンプレートを利用してもよい。デフォルト公開文書種は、公開対象の文書データの種別であり、テンプレートには、その種別が示されている。例えば、公開元のグループに属するユーザが医療情報管理装置10にログインし、公開処理の適用を指示すると、アクセス制御情報作成部20は、テンプレートを参照することにより、公開対象の文書データの種別を特定し、デフォルト公開文書種に該当する文書データを公開対象として扱う。文書データの文書管理情報には、文書種を示す文書種別コードが含まれている。その文書種別コードを参照することにより、文書データの種別が特定される。公開元のグループについてのアクセス制御情報には、デフォルト公開文書種に該当する文書データの文書管理情報と、公開元のグループに属するユーザによって指定された公開先の公開先情報と、が含まれる。これにより、デフォルト公開文書種に該当する文書データへの公開先からのアクセスが許可される。例えば、デフォルト公開文書種が電子カルテの場合、電子カルテが公開対象として扱われる。デフォルト公開文書種を利用することにより、それを用いない場合と比較して、公開処理に関するユーザの作業が容易になる。
別の例として、医療情報DB18に将来登録される文書データに対して公開処理を適用する場合に、自動公開文書種というテンプレートを利用してもよい。自動公開文書種は、公開対象の文書データの種別であり、テンプレートには、その種別が示されている。新たに文書データが医療情報DB18に記憶されると、アクセス制御情報作成部20は、テンプレートを参照することにより、公開対象の文書データの種別を特定する。新たに登録された文書データの種別が公開文書種に該当する場合、アクセス制御情報作成部20は、その文書データを公開対象として扱う。この場合、アクセス制御情報には、その文書データの文書管理情報が含まれる。自動公開文書種を利用することにより、それを利用しない場合と比較して、公開処理に関するユーザの作業が容易になる。
また、文書データの公開期間が設定されてもよい。公開期間は、公開先から文書データへのアクセスが許可される期間である。アクセス制御部28は、その公開期間中における公開先から文書データへのアクセスを許可し、公開期間外における公開先から文書データへのアクセスを禁止する。公開期間を示す情報はアクセス制御情報に含まれる。アクセス制御部28は、その情報を参照することにより、公開期間によるアクセスを制御する。これにより、公開期間が過ぎれば文書データへのアクセスが自動的に禁止され、公開元のユーザが公開停止作業を行わなくて済む。
公開元のグループ、公開対象の文書データ、及び、公開先における状態の中の少なくとも1つが変更された場合、その変更に関わるアクセス制御情報が更新される、又は、新たなアクセス制御情報が作成される。例えば、文書データの公開フラグ、公開期間、公開先(医療機関、診療科、エリア等)、公開元のグループにて公開が許可された公開先、公開先施設マスター、自動公開文書種、自動公開期間、公開元のグループにおけるデフォルト公開文書種、公開元のグループにて公開が許可された文書種、定義済み文書種、診療科、患者やユーザ、文書データ、文書データの版、文書データの公開タグ、文書種別、等の状態が変更された場合、その状態変更に関わるアクセス制御情報が更新される、又は、新たなアクセス制御情報が作成される。上記の状態変更に関わらない他のアクセス制御情報は影響を受けず、その状態変更に伴って更新されない。つまり、個々のアクセス制御情報は他のアクセス制御情報から独立しており、あるアクセス制御情報に関わる状態が変更された場合であっても、他のアクセス制御情報は影響を受けず、その状態変更に伴って更新されない。
なお、文書データの公開を停止する場合、公開停止対象の文書データを公開情報DB24から削除し、その文書データに対応付けられているアクセス制御情報を公開情報DB24に残しておいてもよい。これにより、公開停止対象の文書データの漏洩が防止されるとともに、公開先に対して、アクセス制御に関する情報が提供され得る。
上記の医療情報管理装置10は、一例としてハードウェア資源とソフトウェアとの協働により実現される。具体的には、医療情報管理装置10は、図示しないCPU等のプロセッサを備えている。当該プロセッサが、図示しない記憶装置に記憶されたプログラムを読み出して実行することにより、医療情報管理装置10の各部の機能が実現される。上記プログラムは、CDやDVD等の記録媒体を経由して、又は、ネットワーク等の通信経路を経由して、記憶装置に記憶される。または、医療情報管理装置10の各部は、例えばプロセッサや電子回路等のハードウェア資源により実現されてもよい。その実現においてメモリ等のデバイスが利用されてもよい。別の例として、医療情報管理装置10の各部は、DSP(Digital Signal Processor)やFPGA(Field Programmable Gate Array)等によって実現されてもよい。