JP4435979B2 - データ取得方法 - Google Patents

データ取得方法 Download PDF

Info

Publication number
JP4435979B2
JP4435979B2 JP2000552568A JP2000552568A JP4435979B2 JP 4435979 B2 JP4435979 B2 JP 4435979B2 JP 2000552568 A JP2000552568 A JP 2000552568A JP 2000552568 A JP2000552568 A JP 2000552568A JP 4435979 B2 JP4435979 B2 JP 4435979B2
Authority
JP
Japan
Prior art keywords
data
access system
area access
data area
acquisition method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000552568A
Other languages
English (en)
Other versions
JP2002517812A (ja
Inventor
ペレ,ポール
Original Assignee
ペレ,ポール
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ペレ,ポール filed Critical ペレ,ポール
Publication of JP2002517812A publication Critical patent/JP2002517812A/ja
Application granted granted Critical
Publication of JP4435979B2 publication Critical patent/JP4435979B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Bioethics (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Nitrogen And Oxygen Or Sulfur-Condensed Heterocyclic Ring Systems (AREA)

Description

本発明は、ネットワークのデータへの安全なアクセスを行う方法に関するものであり、詳しくは、情報センターと少なくとも一つのデータエリアアクセスシステムとを含むネットワークに関する。データエリアアクセスシステムとの用語は、格納スペース(データエリア)を供給し、格納されたデータへのアクセスを許可する装置を意味するものと解される。
【0001】
近い将来、いわゆる「診療所ネットワーク」が、例えば健康管理における公共または私有の部門の異なった興味のグループ、例えば疾病保険代理店、健康省、医療団体等のために開発されることになる。これらの診療所ネットワークの基本概念は、異なった医師の診療所および/または病院間のより良い伝達の基本に基づいて、現在でもなお行われているしばしば余分な医学検査の数を減らすことができるということである。この例として、容易にアクセス可能で最近撮られた患者の肺のX線画像の助けを借りて、例えば異なる医師による新しい診断が可能であれば、この患者の肺のX線画像をさらに作製する必要がなくなる。健康のための費用を減らすことは公共の関心事でもあり、また保険会社の関心事でもある。この理由により、特に後者は、患者により良くより費用対効果の高い医療を提供するために、その患者の異なる医師が、彼らの同僚によってすでに用意されたこの患者のデータにアクセスすることができる援助によって自主的な医療ネットワークを構築することを望んでいる。
【0002】
すでに構築されたテストモデルにおいて、主な問題は、安全な伝達を確実にするという問題である。医師医療の構成単位にアクセスする方法は様々なものが知られているが、それらは主として、例えば放射線技師等の、あるグループの医師に限られており、例えば当然処方されるX線板のような特定のタイプの情報/データに限られる。
【0003】
例えばX線板のためのDICOM、患者データのBDT、医療設備により生成される医療データのGDTのように、例えば電気的な心臓運動計やその他の装置により、医学データを生成して転送する方法を規定するいくつかの国内および国際的な基準がすでに存在している。これらのケースでは、医学データの安全な転送という点について特に必要な事項はない。というのは、これは様々な知られている暗号化メカニズムに基づいており、今日ではもはや問題ではないからである。
【0004】
医学データの転送の一つの特別な仕事は、患者の個人の権利を安全に守ることである。今日では、医学情報の転送は、それが例えば病院や医師の診療所などの閉じた医学グループに限定されない場合は常に違法である。数百の異なる診療所を持った診療所と病院のネットワークを閉じたグループとして記述することは、患者の個人の権利の回避として、おそらく法律的な意味に解釈する必要がある。このケースでは、患者は、グループの全メンバーを知ることができず、例えば異なる病院のように、異なるグループを選ぶ権利をほとんど活用できない。
【0005】
WO98/15910Aは、多くの参加者のいるシステムで医学データの安全で秘密の交換を行う方法を開示している。このシステムでは、参加者のデータへのアクセスは、このアクセスがパスワードによって正当と認められたときだけ可能である。
【0006】
本発明の目的は、データへの権利を持つ者だけがこれらのデータに自由にアクセスできるような、ネットワークのデータに安全にアクセスする方法を詳述することにある。
【0007】
この目的は、特許クレーム1の特徴を持った方法により、本発明によって実現される。この方法の有利な展開は従属特許クレームに見いだされるであろう。
【0008】
本発明に係る方法によれば、あるデータへの権利を有する者だけがこれらのデータへのアクセス権を規定することができる。一旦格納されると、データは、それが格納されたところにとどまり、中央位置に集められることはない。このような格納されたデータへのアクセスは、これらのデータへの権利を有する者の許可のある場合だけ可能である。医学データとしては、これは例えば、それが準備されたところにとどまり、他の医師は、各患者の許可を持った場合だけこれらのデータにアクセスすることができることを意味する。このような許可は、一般に、個々のケースに対してのみ認められるある医師かその他に対して認めることが可能である。
【0009】
一旦認めても、再び許可を取り消すことも可能である。
【0010】
本発明と有利な展開は、図面を参照して例に基づき以下により詳細に説明される。
【0011】
本発明に係る方法は、診療所ネットワークを例にとって以下に説明する。ここでは、システムは、医師グループにその患者の医学記録を供給するためのサービスを行う。
【0012】
本システムは、多くの医師によりアクセス可能である。彼らはそれぞれ、データエリアアクセスシステムアクセスする必要がある。これらのデータエリアアクセスシステムに加えて、本システムは、情報センターが含まれる。簡単のために、図1において、このシステムは、データエリアアクセスシステム1、2の二つだけを示し、それらの一つは識別番号DRZS1を持ち、他方は識別番号DRZ2を有する。このようなデータエリアアクセスシステム1、2は、一人かそれ以上の医師を前提として構築される。例えば、図1には、データエリアアクセスシステム2は医師Bの診療所に構築され、データエリアアクセスシステム1は医師Aがその病院へのアクセス許可権を持っている病院に構築されている。各データエリアアクセスシステム1、2は、情報センター3やもう一方のデータエリアアクセスシステム1、2と、ネットワーク4を介して通信することができる。
【0013】
各データエリアアクセスシステム1、2は、安全なデータメモリを含んでおり、そこには患者の医学データが格納される。このメモリは本発明に係る方法の手段によってのみ発生しうるデータアクセスにより、アクセスが守られる。その結果、このメモリに格納されたデータの誤用が不可能である。さらに、本発明に係る方法により、新規データのみが格納される。すなわち、もう一方のデータエリアアクセスシステム1、2にすでに格納されているデータは格納されない。さらに、各医師と患者の両方が、データエリアアクセスシステム1、2を介して、互いに独立して、一方の医師だけがデータを格納できるネットワーク4に接続された情報センター3やもう一方のデータエリアアクセスシステム1、2に伝達することができる。
【0014】
情報センター3では、患者データや患者や医師の関連身分証明情報のデータへの問い合わせが中央位置に格納される。
【0015】
このシステム内の個々のデータ転送の安全性は、全ての参加者間のデータ転送の暗号化によって保証される。これは、システム内で転送される情報の各項目がデジタル署名とともに供給されることと関連がある。各アクセスのケースにおいて、許可が要求され、全てのデータが、暗号化された形式で転送および格納される。各参加者、例えば医師や患者は、情報センターやデータエリアアクセスシステム同様、データエンコーディングのための公開のコードと秘密のコードとのペアを2つ持っている。これらのコードの一つのペアは、暗号化コードとして知られており、安全なデータ転送のために用いられるものであり、他方は、署名コードであり、転送情報をデジタル署名とともに供給するものであり、それゆえ送信者を確定するものである。秘密のコードは、各参加者、情報センター、データエリアアクセスシステムにのみ知られており、公開のコードは、全ての参加者アクセス可能である。すなわち、システムの各参加者は、他のいずれの参加者の公開のコードをも入手できる。参加者がネットワークへ情報の項目を送信するときは常に、以下の方法が実行される。
【0016】
1. 送信者は、自分によってデジタル署名とともに送信される情報の項目を、自分の秘密署名コードを用いて供給する。その結果、送信者は模倣されず、受信者は、公開の署名コードの助けを借りて、用いられているデジタル署名を確認することができる。もし、例えば、データエリアアクセスシステムが患者に関する情報を情報センターに送ると、この情報は、同様に、そのデータが生成されたときにこの患者の秘密署名コードとともに供給される必要がある。このことは、情報が患者本人に実際に帰属し、この患者がこの情報の転送に同意することを確実なものにする。
【0017】
2. 送信者は、転送される全てのデータを、データが転送される先の受信者の公開の暗号コードを用いて暗号化する。その結果、これらの転送データは、受信者の秘密の暗号コードを用いてのみ解読することができる。
【0018】
3. 参加者がシステムにアクセスしたときはいつでも、その参加者は、許可されなければならず、その人の身分証明を確認してもらわなければならない。例えばスマートカードのような特定のデータ媒体が、参加者の身分証明を転送するために供される。もちろん、例えば音声認識、画像認識、指紋認識など、個々にあるいは併用して用いられうる他の個人身分証明方法を用いることもできる。
【0019】
参加者の秘密コードや他の個人情報の安全な記憶のために、例えばスマートカードのような特定のデータ媒体を同様に用いることができる。
【0020】
参加者、情報センター3、個々のデータエリアアクセスシステム1、2の公開コードは、例えば、情報センター3に集中して格納することができる。
【0021】
図2は、患者のデータの生成とこれらのデータがシステムで利用可能になる過程を示している。
【0022】
例えば、患者Nがある日Xに医師Aを訪ね、例えばX線画像のような新規な医学データ構成単位が用意される。もし患者Nが所望すれば、このデータ構成単位は、診療所ネットワークの他の医師に利用可能になる。この場合、第1ステップS1において、格納しようとするX線画像データが、電子的な形式で、データのタイプを含む電子的なフォームとともに、識別番号がDRZS1である医師Aのデータエリアアクセスシステム1に格納される。このケースのデータタイプは、それが患者NのX線画像であり、医師Aが日Xに撮ったものであるという情報を含んでいる。このデータタイプとしては、これらの情報項目の一方のみを含むようにすることもできるし、また、他の情報、例えばデータを格納したデータエリアアクセスシステム1の識別番号DRZS1を追加することもできる。X線画像データは、電子的なフォームとともにデータエリアアクセスシステム1の安全なデータメモリに格納される。データの格納は、これらのデータへの権利を有する者の許可がある場合のみ可能である。この目的は、例えば、患者のスマートカードによって達成される。
【0023】
第2ステップS2では、新規データ、すなわち患者NのX線画像を持っているデータエリアアクセスシステム1が、情報センター3に通知を行う。このような通知は、新規データの格納後直接に、あるいは、間に合うようにある時点で、例えばある日時に定期的に行われる。もちろん、情報センター3が、間に合うある時点で、各データエリアアクセスシステム1、2に対し、新規データが格納されたか否かの問い合わせを送ってもよい。
【0024】
第3ステップS3では、情報センター3が、日Xの患者NのX線画像が存在することを、データエリアアクセスシステム1での利用性とともに登録し、例えばNXAXのような、これらのデータに固有の識別符号を割り当てる。その後、この識別符号は、通知確認と共に、情報センター3からデータエリアアクセスシステム1へ転送される。データエリアアクセスシステム1では、このように割り当てられた識別符号を関連データの管理に用い、その関連データに付す。データがシステムで複製されないことを、適切な構成によって保証することができる。最後に、データが情報センター3に登録されたとき、患者による、データ格納の許可がここで確認される。許可しない場合は、これらのデータへのアクセス権はどの参加者にも許可されない。
【0025】
図2およびそれに続く図では、中空の矢印が、システムへのデータ転送すなわち新規データのデータエリアアクセスシステム1、2での格納を表している。通常の矢印は、例えば通知要求のような、ネットワーク4での伝達をそれぞれ表している。したがって、図2からわかるように、上記システムでは、医学データは情報センター3へコピーされず、常に、それらが格納された後データエリアアクセスシステム1にとどまる。情報センター3は、これらのデータへの問い合わせのみを保持しており、データ自体は保持していない。さらに、ネットワーク4を介したデータ転送は、図中、通常の矢印に隣接して描かれ、転送されるデータがそれぞれ特定される箱で示されている。
【0026】
図3は、診療所ネットワークを介してデータをアクセスする試みを示している。
【0027】
ある日Yに、患者が、識別番号がDRZS2データエリアアクセスシステム2を持つ医師Bを訪れる。この医師Bは、例えば患者Nの現在のX線画像を必要としている。それゆえ、ステップS4において、医師は、彼のデータエリアアクセスシステム2から、情報センター3へ、患者NのX線画像の要求を送信する。情報センター3は、全体としてのシステムに現在存在している患者Nの全てのX線画像、すなわち、接続されている全てのデータエリアアクセスシステムに格納されて情報センター3に登録されている患者Nの全てのX線画像への問い合わせリストを用意する。続いて、情報センター3は、患者NのX線画像の要求の送り元である医師Bについて、このリストに示されるそのデータへのアクセス権を確認する。そして、ステップS5において、このケースで彼のデータへの権利を有している者である患者Nが、医師Bアクセス権を認めた、患者NのX線画像の問い合わせだけが転送される。このケースでは、例えば、彼のX線画像へのアクセス権が患者Nによって規定されていないので、このリストは空である。それゆえ、情報センター3は「データが見つかりません」とのメッセージをデータエリアアクセスシステム2へ送る。データエリアアクセスシステム2は、このメッセージを医師Bに出力する。
【0028】
したがって、格納データへの権利を持つ者である患者のアクセス権なしでは、医師はシステム内のデータの存在を認識できない。アクセス権が特に規定されているあるデータに対し、例えば、患者Nがあらかじめ、ある医師に、その患者の全てのデータまたはあるデータへの一般的なアクセス権を与えておいたような場合にのみ、この保護システムを破ることが可能である。しかしながら、この場合でも、患者自身が、誰が自分のデータにアクセスできるかを決める。すなわち、ここでも、患者のデータ保護権が尊重される。
【0029】
図4は、情報センター3における患者のアクセス権の規定を表している。
【0030】
ステップS6においては、患者Nは、例えば、情報センター3から、データエリアアクセスシステム2を介して、全体としてのシステムで現在利用できる彼の全てのデータのリストを検索することができる。また、彼は、あるデータのリストのみを検索することもできる。ステップS7において、情報センターは、この要求を処理し、それぞれ要求されたリストをデータエリアアクセスシステム2へ送信する。すると、患者Nは、そのリストによって示されるデータへのアクセス権を決めることができる。もし、例えば、彼が自分の全てのX線画像のリストを要求すれば、彼は、医師Bおよび/または他の医師あるいはあるグループの医師が、識別符号がNXAXで医師Aにより日Xに撮影されたX線画像アクセスできることを規定することができる。このようなアクセス権は、限定された時間または限定されない時間に対して存在するようにしてもよい。アクセス権は、将来利用できるデータに対してあらかじめ認めておくようにしてもよい。一旦患者Nが所望の全てのアクセス権を規定したら、彼は、ステップS8において、データエリアアクセスシステム2を介して、情報センター3においてアクセス権の更新を行うことができる。ステップS9において、情報センター3は、その変化を格納し、データエリアアクセスシステム2へ確認を返す。
【0031】
これらのアクセス権は、代わりに、データエリアアクセスシステム1、2で新規データが格納される時点で認めるようにしてもよい。データエリアアクセスシステム1、2に格納されたデータへの権利を持つ患者またはその他の者は、いずれかの所望のデータエリアアクセスシステム1、2から、アクセス権を認めることができる。例えば、このようなデータエリアアクセスシステム1、2としては、医師の診療所や病院に設置する以外にも、薬局も考えられる。また、診療所ネットワークへのアクセスとしては、インターネットも可能であり、それにより、インターネットに接続可能な全てのコンピュータが、データエリアアクセスシステムや、少なくとも、格納スペースは提供しないアクセスシステムになることが可能である。データエリアアクセスシステム1、2に格納されたデータへの権利を持つ者、すなわちこのケースでは患者は、自分の権限身分証明とに基づき、情報センター3アクセス権を確認することができる、および/または、情報センター3でそのアクセス権を修正できる、唯一の人間である。
【0032】
図5は、あるデータへうまくアクセスするために必要な手順を示している。
【0033】
医師Aにより日Xに撮影された患者NのX線画像へのアクセス権が、識別符号NXAXとともに患者Nによって医師Bに対して規定された後、医師Bは、ステップS10において、患者NのX線画像への全ての問い合わせを特定するために、新しくした要求を情報センターへ発信する。ステップS11において、情報センターは、全てのデータエリアアクセスシステムにおける現在の患者Nの全てのX線画像の問い合わせのリストを集め、医師Bが情報センターへ要求を送ってきたデータエリアアクセスシステム2へ関連問い合わせを転送するために、要求をしている医師Bに関してアクセス許可を確認し、医師Bによりアクセス可能なX線画像のみを選択する。このケースでは、例えば、医師Aにより日Xに生成された患者NのX線画像の識別符号NXAXだけが、記憶位置/アドレスこのケースでは識別番号がDRZS1データエリアアクセスシステム1の記憶位置/アドレス)とともに、データエリアアクセスシステム2へ転送され、データエリアアクセスシステム2は、医師Bへこの情報を表示する。したがって、医師Bは、患者Nが医師Bに対してアクセス権を認めたデータへの問い合わせのみを見ることができる。その問い合わせは、例えばデータのタイプすなわちこのケースではX線画像、検査日すなわちこのケースでは日X、検査を行った医師すなわちこのケースでは医師A、データの記憶位置すなわちこのケースではデータエリアアクセスシステム1を、識別番号DRZS1とともに、またはさらにその他のデータとともに含んでいる。ステップS12において、医師Bは、識別符号がNXAXX線画像を選択する。すると、データエリアアクセスシステム2は、医師Bの、識別符号がNXAXX線画像の要求を、識別番号がDRZS1データエリアアクセスシステム、この場合はデータエリアアクセスシステム1へ送る。ステップS13において、データエリアアクセスシステム1は、それから、医師Bが、識別符号がNXAXX線画像へのアクセス権を有していることを確認するために、問い合わせを情報センター3へ送る。情報センター3は、ステップS14において、確認の返事を送る。すると、ステップS15において、データエリアアクセスシステム1は、識別符号がNXAXX線画像のデータをデータエリアアクセスシステム2へ転送する。後者は、受け取ったX線画像データを、受領可能な形式で表すこと、および/または、医師Bがさらなる処理を行うためにそのデータを格納することを許可する。このような格納は、データエリアアクセスシステム2の保護メモリにではなく他の格納媒体に行う。これは、そうしないと、そのデータがシステム内で複製されてしまうからである。
【0034】
一旦許可を受けた人が、受領したデータを更なる処理のための格納すると、この人は、もちろん、その格納したデータに繰り返しアクセスできる。しかしながら、診療所ネットワークを介してのアクセスは、これらのデータへの権利を持つ者がそれをアクセス権の定義によって許可している限りにおいてのみ可能である。
【0035】
したがって、本発明に係る方法は、あるデータの格納が、これらのデータへの権利を持つ者の許可がある場合のみ可能であり、このようなデータの検索は、これらのデータへの権利を持つ者の許可があるときのみ可能であるので、例えば患者の個人の権利が尊重される。本システムは、個々の利用者が安全性や転送処理の知識を持つ必要がなく、どの利用者にとっても完全に明らかな方法で処理を行う。送信されるデータの暗号化は、許可されていない人が「盗み見」することができないという効果を持っており、また、権利を持つ者があるデータのあるアクセス権の定義を行うことは、これらのデータへの許可されていないアクセスが不可能になるという効果を持っている。
【0036】
データを転送するときに、元のデータのコンテキストにおけるこれらのデータの転送のアクセス権を持つ者により定められる使途をこれらのデータとともに「電子すかし」の形で転送し、これらのデータに、元のデータの特定使途のコピーであることを示す印を視覚的に付加すると、特に有益である。
【0037】
ここでは、個々のデータの分配を調節するシステムを提案しているのであるため、ネットワークのデータへの安全なアクセスのための本発明に係る方法は、もちろん、他の非医学的なネットワークにも適用できる。他の適用分野としては、例えば、身分証明目的のための個人のデータの分配があり、それにより、例えば個々の市民の一点集中的なデータベース無しに、異なった管理権限者間でのこれらのデータの転送をより柔軟なものにすることができる。本発明に係るシステムは、関係市民が自分の個人データの配置について唯一権限を持っているという効果を有している。
【図面の簡単な説明】
【図1】 本発明に係る方法が用いられるネットワークの構築を例により示す。
【図2】 本発明に係る方法によるデータの生成および格納を示す。
【図3】 あるデータに対する失敗した要求例を示す。
【図4】 あるデータへのアクセス権の、これらのデータへの権利を持つ者による検索および許可を示す。
【図5】 成功したデータ要求とその要求位置への転送の例を示す。

Claims (18)

  1. 情報センターと、他のデータエリアアクセスシステムがアクセス可能にデータを格納するための保護メモリをそれぞれ備えた複数のデータエリアアクセスシステムとが接続されたネットワークにおける、データの格納側のデータエリアアクセスシステムに格納されているデータを、データの要求側のデータエリアアクセスシステムが取得するデータ取得方法であって、
    上記情報センターには、上記格納側のデータエリアアクセスシステムに格納されているデータの識別符号と、当該データの属性を示す情報であって、権利を持つ者、予め設定された分類、作成者、及び作成日の少なくとも1つを示すデータタイプと、当該格納側のデータエリアアクセスシステムのアドレスと、当該データへのアクセスが許可されたユーザを規定したアクセス権とが登録されており、
    上記要求側のデータエリアアクセスシステムが、上記情報センターに対して、取得対象のデータの上記データタイプの一部を特定して、要求を送信するステップと、
    上記情報センターが、上記要求にて特定された上記データタイプの一部を含むデータタイプを有するデータから、上記要求を送信した上記要求側のデータエリアアクセスシステムのユーザがアクセス権を有するデータを選択し、該選択したデータの識別符号、および該データを格納している上記格納側のデータエリアアクセスシステムのアドレスを、上記要求側のデータエリアアクセスシステムに対して送信するステップと、
    上記要求側のデータエリアアクセスシステムが、上記情報センターから受信した上記識別符号を有するデータの要求を、上記情報センターから受信した上記アドレスを有する上記格納側のデータエリアアクセスシステムへ送信するステップと、
    上記要求側のデータエリアアクセスシステムが、上記要求したデータを上記格納側のデータエリアアクセスシステムから受信し、自らの上記保護メモリ以外の格納媒体に、他のデータエリアアクセスシステムからはアクセス不可能に格納することを特徴とするデータ取得方法。
  2. 上記格納側のデータエリアアクセスシステムへの上記データの格納の際、および、上記情報センターへの上記データのアクセス権の登録の際、当該データの権利を持つ者の身分証明の確認を行うことを特徴とする請求項1に記載のデータ取得方法。
  3. 上記要求側のデータエリアアクセスシステムが、上記識別符号を有するデータの要求を、上記格納側のデータエリアアクセスシステムへ送信した後、
    上記格納側のデータエリアアクセスシステムが、上記要求された上記識別符号を有するデータのアクセス権を上記要求側のデータエリアアクセスシステムが持っているかどうかの問い合わせを、上記情報センターに行うステップをさらに含むことを特徴とする請求項1または2に記載のデータ取得方法。
  4. 上記格納側のデータエリアアクセスシステムが、上記要求された上記識別符号を有するデータのアクセス権を上記要求側のデータエリアアクセスシステムが持っているかどうかの問い合わせを、上記情報センターに行った後、
    上記格納側のデータエリアアクセスシステムは、上記情報センターから肯定的な確認が得られた場合のみ、当該データへのアクセスを認めるステップをさらに含むことを特徴とする請求項3に記載のデータ取得方法。
  5. 上記格納側のデータエリアアクセスシステムに新しいデータが格納されたとき、上記格納側のデータエリアアクセスシステムが、上記新しいデータおよび該データの上記データタイプを、上記情報センターへ通知するステップをさらに含むことを特徴とする請求項1から4のいずれか1項に記載のデータ取得方法。
  6. 上記格納側のデータエリアアクセスシステムが、上記新しいデータおよび該データの上記データタイプを、上記情報センターへ通知した後、
    上記情報センターが、当該データに上記識別符号を割り当てるとともに、該識別符号を上記格納側のデータエリアアクセスシステムへ通知するステップをさらに含むことを特徴とする請求項5に記載のデータ取得方法。
  7. 上記情報センターが、上記要求にて特定された上記データタイプの一部を含むデータタイプを有するデータから、上記要求を送信した上記要求側のデータエリアアクセスシステムのユーザに対してアクセスが許可されたデータを選択し、該選択したデータの識別符号、および該データを格納している上記格納側のデータエリアアクセスシステムのアドレスを、上記要求側のデータエリアアクセスシステムに対して送信する上記ステップでは、上記要求側のデータエリアアクセスシステムに対して送信するための、上記選択したデータ毎に、該データを格納している上記格納側のデータエリアアクセスシステムのアドレスを対応付けたリストを作成することを特徴とする請求項1から6のいずれか1項に記載のデータ取得方法。
  8. 上記格納側のデータエリアアクセスシステムに格納されている上記データのアクセス権は、上記情報センターに、該データの識別符号、および、該データを格納している上記格納側のデータエリアアクセスシステムのアドレスが登録された後、該データの権利を持つ者により決定可能であるとともに、決定後、変更可能であることを特徴とする請求項1から7のいずれか1項に記載のデータ取得方法。
  9. 上記格納側のデータエリアアクセスシステムに格納されている上記データのアクセス権は、該データの権利を持つ者により、該データが上記格納側のデータエリアアクセスシステムに格納されるときに、当該データの権利を持つ者が、当該データへのアクセスを許可する者に設定されることを特徴とする請求項1から8のいずれか1項に記載のデータ取得方法。
  10. 上記情報センターと上記格納側のデータエリアアクセスシステム、上記情報センターと上記要求側のデータエリアアクセスシステム、および、上記格納側のデータエリアアクセスシステムと上記要求側のデータエリアアクセスシステムのそれぞれの間における情報の伝達が、暗号化された形式で行われることを特徴とする請求項1から9のいずれか1項に記載のデータ取得方法。
  11. 上記情報センターと上記格納側のデータエリアアクセスシステム、上記情報センターと上記要求側のデータエリアアクセスシステム、および、上記格納側のデータエリアアクセスシステムと上記要求側のデータエリアアクセスシステムのそれぞれの間における情報の伝達では、
    上記情報を送信する側の装置が、該情報を、秘密の署名コードを用いてデジタル署名にて供給し、
    該情報を受信する側の装置が、該情報を、上記秘密の署名コードに対応する公開の署名コードを用いて確認することを特徴とする請求項10に記載のデータ取得方法。
  12. 上記情報センターと上記格納側のデータエリアアクセスシステム、上記情報センターと上記要求側のデータエリアアクセスシステム、および、上記格納側のデータエリアアクセスシステムと上記要求側のデータエリアアクセスシステムのそれぞれの間における情報の伝達では、
    上記情報を送信する側の装置が、該情報を受信する側の公開の暗号化コードで該情報を符号化し、
    上記情報を受信する側の装置が、上記公開の暗号化コードに対応する秘密の暗号化コードで該情報を復号化することを特徴とする請求項10または11に記載のデータ取得方法。
  13. 上記データの権利を持つ者、および、上記データの権利を持つ者によってアクセスが許可されている者が、秘密の署名コード、秘密の暗号化コード、公開の署名コード、公開の暗号化コードを持つことを特徴とする請求項10から12のいずれか1項に記載のデータ取得方法。
  14. 秘密の署名コードと秘密の暗号化コード、公開の署名コードと上記データの権利を持つ者の公開の暗号化コード、および、公開の署名コードと上記データの権利を持つ者によってアクセスが許可されている者の公開の暗号化コードの少なくとも何れかが、データ媒体に格納されることを特徴とする請求項13に記載のデータ取得方法。
  15. 上記ネットワークにアクセスする、上記データの権利を持つ者、および、上記データの権利を持つ者によってアクセスが許可されている者は、身分が上記情報センターにより確認されることを特徴とする請求項1から14のいずれか1項に記載のデータ取得方法。
  16. 上記データの権利を持つ者、および、上記データの権利を持つ者によってアクセスが許可されている者の身分証明のための情報は、データ媒体にあらかじめ格納されており、該データ媒体から読み出されて上記情報センターに送信されることを特徴とする請求項15に記載のデータ取得方法。
  17. 上記データを格納することの許可は、該データへの権利を持つ者により、該データが、上記格納側のデータエリアアクセスシステムに格納されるときに与えられ、
    上記情報センターは、正しい許可無しでは、その後の該データへのアクセスを許可しないことを特徴とする請求項1から16のいずれか1項に記載のデータ取得方法。
  18. 上記データを、該データの使途を示す電子すかしを付加して転送することを特徴とする請求項1から17のいずれか1項に記載のデータ取得方法。
JP2000552568A 1998-06-03 1999-06-02 データ取得方法 Expired - Fee Related JP4435979B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19824787A DE19824787C2 (de) 1998-06-03 1998-06-03 Verfahren zum abgesicherten Zugriff auf Daten in einem Netzwerk
DE19824787.7 1998-06-03
PCT/EP1999/003839 WO1999063420A1 (de) 1998-06-03 1999-06-02 Verfahren zum abgesicherten zugriff auf daten in einem netwerk

Publications (2)

Publication Number Publication Date
JP2002517812A JP2002517812A (ja) 2002-06-18
JP4435979B2 true JP4435979B2 (ja) 2010-03-24

Family

ID=7869772

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000552568A Expired - Fee Related JP4435979B2 (ja) 1998-06-03 1999-06-02 データ取得方法

Country Status (8)

Country Link
US (1) US7100206B1 (ja)
EP (1) EP1084465B1 (ja)
JP (1) JP4435979B2 (ja)
AT (1) ATE314685T1 (ja)
CA (1) CA2333993C (ja)
DE (1) DE19824787C2 (ja)
DK (1) DK1084465T3 (ja)
WO (1) WO1999063420A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19925910B4 (de) * 1999-06-07 2005-04-28 Siemens Ag Verfahren zum Be- oder Verarbeiten von Daten
AU2606801A (en) * 1999-12-30 2001-07-16 B4Bpartner, Inc. Electronic safe deposit box
US7177841B2 (en) * 2000-01-28 2007-02-13 Canon Kabushiki Kaisha Digital contents distribution system, digital contents distribution method, roaming server, information processor, and information processing method
US6826609B1 (en) * 2000-03-31 2004-11-30 Tumbleweed Communications Corp. Policy enforcement in a secure data file delivery system
JP2003044342A (ja) * 2001-07-30 2003-02-14 Ppp Design Corp データ漏洩防止システム及びその入出力端末機、並びにインターネット通信におけるデータ送信方法
DE10144443A1 (de) * 2001-09-05 2003-03-20 Deutsche Telekom Ag Verfahren zur Ermittlung des Aufenthaltortes einer Personengruppe
DE10209780B4 (de) * 2001-10-11 2004-04-08 Symbasis Gmbh Datenverarbeitungssystem für Patientendaten
DE10156877B4 (de) * 2001-11-20 2007-07-26 M Net Gmbh Medizinisches Datensystem Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
DE10312774A1 (de) 2003-03-21 2004-10-14 Deutsche Telekom Ag Verfahren und Kommunikationssystem zur Freigabe einer Datenverarbeitungseinheit
AU2003902422A0 (en) * 2003-05-19 2003-06-05 Intellirad Solutions Pty. Ltd Access security system
DE10349792B4 (de) * 2003-10-24 2012-03-22 Deutsche Telekom Ag Verfahren zur Datenübertragung über ein Telekommunikationsnetz zwischen einem ersten und mindestens einem zweiten Telekommunikationsteilnehmer
US20060074718A1 (en) * 2004-05-20 2006-04-06 Idexx Laboratories, Inc. Portable veterinary medical record apparatus and method of use
US8275632B2 (en) * 2004-07-23 2012-09-25 Privit, Inc. Privacy compliant consent and data access management system and methods
US20060177114A1 (en) * 2005-02-09 2006-08-10 Trongtum Tongdee Medical digital asset management system and method
US20070203754A1 (en) * 2006-01-26 2007-08-30 Harrington David G Network health record and repository systems and methods
WO2007120754A2 (en) * 2006-04-11 2007-10-25 Medox Exchange, Inc. Relationship-based authorization
AT504141B1 (de) * 2006-11-10 2008-03-15 Siemens Ag Oesterreich Verfahren zur vergabe von zugriffsrechten auf daten
US20110296176A1 (en) * 2008-05-27 2011-12-01 Agency For Science, Technology And Research Method and system for sharing data
DE102017202183A1 (de) * 2017-02-10 2018-08-16 Bundesdruckerei Gmbh Zugriffsverwaltungssystem zum Export von Datensätzen

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0398492B1 (en) * 1989-05-15 1997-01-22 International Business Machines Corporation A flexible interface to authentication services in a distributed data processing system
JPH0378045A (ja) * 1989-08-21 1991-04-03 Nippon Denki Computer Syst Kk 計算機システム
JPH05189290A (ja) * 1992-01-09 1993-07-30 Fujitsu Ltd 分散データベース処理システムにおけるリンクセンサ管理方法
JPH0812632B2 (ja) * 1992-04-30 1996-02-07 インターナショナル・ビジネス・マシーンズ・コーポレイション 情報化システムおよび情報化方法
JPH06266600A (ja) * 1993-03-12 1994-09-22 Hitachi Ltd 分散ファイルシステム
EP0674283A3 (en) 1994-03-24 1996-03-27 At & T Global Inf Solution Order and download computerized repository resources.
CA2125300C (en) * 1994-05-11 1999-10-12 Douglas J. Ballantyne Method and apparatus for the electronic distribution of medical information and patient services
US5694471A (en) * 1994-08-03 1997-12-02 V-One Corporation Counterfeit-proof identification card
US5706349A (en) * 1995-03-06 1998-01-06 International Business Machines Corporation Authenticating remote users in a distributed environment
US5678041A (en) * 1995-06-06 1997-10-14 At&T System and method for restricting user access rights on the internet based on rating information stored in a relational database
US5787175A (en) * 1995-10-23 1998-07-28 Novell, Inc. Method and apparatus for collaborative document control
FR2744542B1 (fr) * 1996-02-07 1998-03-06 Bull Sa Procede de controle d'acces a la base d'informations de gestion via l'infrastructure de communications d'une application ou d'un utilisateur d'une application
US5760917A (en) * 1996-09-16 1998-06-02 Eastman Kodak Company Image distribution method and system
JPH10111897A (ja) * 1996-10-07 1998-04-28 Hitachi Ltd 診療情報共有化方法
WO1998015910A1 (en) 1996-10-09 1998-04-16 Schultz Myron G Global electronic medical record
US6234964B1 (en) * 1997-03-13 2001-05-22 First Opinion Corporation Disease management system and method
US6055506A (en) * 1997-04-25 2000-04-25 Unitron Medical Communications, Inc. Outpatient care data system
US6463417B1 (en) * 2000-02-22 2002-10-08 Carekey.Com, Inc. Method and system for distributing health information
US6651060B1 (en) * 2000-11-01 2003-11-18 Mediconnect.Net, Inc. Methods and systems for retrieval and digitization of records

Also Published As

Publication number Publication date
JP2002517812A (ja) 2002-06-18
DK1084465T3 (da) 2006-05-22
CA2333993A1 (en) 1999-12-09
US7100206B1 (en) 2006-08-29
CA2333993C (en) 2011-07-26
DE19824787C2 (de) 2000-05-04
ATE314685T1 (de) 2006-01-15
DE19824787A1 (de) 1999-12-16
EP1084465A1 (de) 2001-03-21
WO1999063420A1 (de) 1999-12-09
EP1084465B1 (de) 2005-12-28

Similar Documents

Publication Publication Date Title
JP4435979B2 (ja) データ取得方法
EP0869460B1 (en) Method and apparatus for storing and controlling access to information
CN102693357B (zh) 记录访问和管理
JP2005505863A (ja) 患者データのデータ処理システム
US20030023562A1 (en) Secure records storage and retrieval system and method
US10893027B2 (en) Secure access to individual information
US20060288210A1 (en) System of personal data spaces and a method of governing access to personal data spaces
JPWO2004025530A1 (ja) 医療情報管理システム
EP1997053A2 (en) Digital rights management for retrieving medical data from a server
US20070180259A1 (en) Secure Personal Medical Process
US20090106823A1 (en) System and method for remote access data security and integrity
KR100716649B1 (ko) 권한관리 구조 기반의 의료 정보 관리 방법 및 시스템
CN112735552A (zh) 一种基于区块链及ipfs的电子病历夹信息系统
JPH09282393A (ja) 保健医療カードとオンラインデータベースの連携方法
JPH10111897A (ja) 診療情報共有化方法
EP3219048A1 (en) System and method for securely storing and sharing information
JP2022000819A (ja) 情報処理システム、情報処理装置及びプログラム
CN113722731A (zh) 一种医疗数据共享方法、装置、电子设备及存储介质
CN102057379A (zh) 保健数据处理的方法和系统
JP2000331101A (ja) 医療関連情報管理システム及びその方法
JP2002279062A (ja) 個人情報管理システム及び個人情報管理方法
KR100760955B1 (ko) 전자 의무 기록 관리 시스템 및 전자 의무 기록 생성 방법
Huda et al. Privacy-aware access to patient-controlled personal health records in emergency situations
Deborah et al. Blockchain: a possible alternative to achieving health information exchange (hie)
JP2000293603A (ja) 地域医療情報システム及び電子患者カード

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081104

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090202

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090202

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090305

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090507

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090825

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091215

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091225

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140108

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees