JP4546162B2 - 情報提供システムおよびその構成装置 - Google Patents

情報提供システムおよびその構成装置 Download PDF

Info

Publication number
JP4546162B2
JP4546162B2 JP2004172021A JP2004172021A JP4546162B2 JP 4546162 B2 JP4546162 B2 JP 4546162B2 JP 2004172021 A JP2004172021 A JP 2004172021A JP 2004172021 A JP2004172021 A JP 2004172021A JP 4546162 B2 JP4546162 B2 JP 4546162B2
Authority
JP
Japan
Prior art keywords
mode
security badge
badge
information
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004172021A
Other languages
English (en)
Other versions
JP2005352713A (ja
Inventor
孝史 野口
博光 加藤
克己 河野
貴之 野田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi High Tech Corp
Original Assignee
Hitachi High Technologies Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi High Technologies Corp filed Critical Hitachi High Technologies Corp
Priority to JP2004172021A priority Critical patent/JP4546162B2/ja
Publication of JP2005352713A publication Critical patent/JP2005352713A/ja
Application granted granted Critical
Publication of JP4546162B2 publication Critical patent/JP4546162B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Description

本発明は、医療施設、製造施設において、個人情報や製造ノウハウといった機密情報の漏洩を防止する情報提供システムに係わり、特に機密情報を提供する情報提供装置の操作性を維持しつつ、操作による機密情報の漏洩を検出して防止する情報提供システムに関する。ここで情報提供装置は、ワークステーション、パーソナルコンピュータ、ノートパーソナルコンピュータ、医用装置、半導体製造装置、半導体検査装置などを含む。また機密情報は、顧客の住所録や嗜好などを含む顧客情報、病名や疾患の程度を記した患者医療情報、製造レシピや検査レシピなどの製造ノウハウなどを含む。
機密情報の漏洩を防止する従来の技術として、例えばコンピュータシステムに関する特許文献1に記載されている技術がある。特許文献1記載の技術によると、不正操作監視装置が監視対象となるコンピュータシステムから操作履歴を収集する操作履歴収集手段と、コンピュータシステムへの不正操作を発見するための情報である正規操作パターンを登録する正規操作パターン登録手段と、正規操作パターン登録手段で登録された正規操作パターンと操作履歴とを比較して監視対象コンピュータシステムへの不正操作を発見する不正操作監視手段とを含む。これによって不正操作監視装置は、正規にIDとパスワードを与えられた者によるキー入力タイミング、データ入力順番との相違から、IDとパスワードが不正に使用されたことを検出することができる。これによりIDとパスワードが不正に使用されたことを検出した後、例えばこのIDとパスワードを変更することにより、正規にIDとパスワードを与えられていない者によって、IDとパスワードが盗まれて悪用されることにより機密情報が漏洩することを防止することができる。特許文献1は、不正操作監視装置が複数の監視対象の操作履歴をネットワーク経由で一元管理しており、複数の監視対象の操作履歴に基づいて不正を検出できるので、不正の検出精度を向上することが可能である。
一方、認証情報の入力に関する煩雑さを解消する従来の技術としては、例えばセキュリティシステムに関する特許文献2に記載される技術がある。特許文献2記載の技術によると、特許文献1のIDとパスワードの入力作業を行うことなく、電子タグリーダまたは指紋情報リーダを供えた監視装置にタグIDまたは指紋情報を読み込ませるだけでユーザを認証することができる。特に電子タグによる認証方式を適用すれば、ユーザが意識することなく認証が行われるので、情報提供装置の操作がより容易になる。また指紋情報による認証方式とは異なり、生化学検査のように業務中に技師が手袋を着用するような環境においても適用することが容易である。
特開2002−258972号公報
特開2000−276245号公報
近年、IrDA(InfraRed Data Association)やBluetoothなどの近距離無線通信技術が広く普及している。このような近距離無線端末技術を適用すれば、情報提供装置がネットワークに接続されないか、または情報提供装置が部分的にしかネットワークに接続されないシステムにおいても、無線通信技術を適用する小型記憶媒体をユーザの名札などに固定し、任意の情報提供装置から別の情報提供装置へデータを受け渡すための一時的な記憶手段として利用することにより、複数の情報提供装置が記録する操作履歴に基づいて不正を検出し、不正の検出精度を向上することが可能である。
例えば特許文献1記載の不正操作監視装置の機能を情報提供装置に適用し、情報提供装置ごとに操作履歴を解析し、ユーザが情報提供装置に近接した時に、ユーザが保持する記憶媒体が情報提供装置から解析結果を受信して記憶媒体に格納することができる。ユーザが他の情報提供装置に近接した時に、その記憶媒体が情報提供装置に保持する解析結果を送信することができる。これによって複数の情報提供装置間で解析結果を共有することができ、複数の情報提供装置が記録する操作履歴に基づいて不正を検出し、不正の検出精度を向上することが可能である。
しかし上記方式には次のような問題がある。
(1)ユーザが保持する記憶媒体は、特定の情報提供装置が解析した操作履歴の解析結果を共有できるが、各情報提供装置が記録する操作履歴そのものを共有することができない。これによって各情報提供装置に記録される操作履歴について横断的な細かい解析を行うことが困難であり、高い精度で機密情報の漏洩を検出することが困難であった。
(2)ユーザが保持する記憶媒体が操作履歴そのものを共有するとすれば、各記憶媒体から近接する情報提供装置へ送信する操作履歴のデータ量が増大し、通信遅延により操作性が低下するという問題があった。
(3)各情報提供装置にインストールされる解析ソフトウェアを変更したり、判定基準の設定が変更になるたびに各情報提供装置のソフトウェアを変更するという構成管理が容易でなかった。
本発明の目的は、上記問題点を解決することにある。
本発明は、入力される操作コマンドを実行しその実行結果の機密情報を出力する情報提供装置と、情報提供装置へバッジ識別子を送信して認証を受けるセキュリティバッジとを有する情報提供システムに関するものである。本発明のセキュリティバッジは、情報提供装置から操作履歴を受信して記憶領域に蓄積し、蓄積された操作履歴に基づいて機密情報の出力を秘匿するか否かを区分する動作モードを判定し、判定された動作モードを情報提供装置へ送信する。また情報提供装置は、操作コマンドの実行過程を示す操作履歴を作成してセキュリティバッジへ送信し、受信した動作モードに基づいて機密情報を出力する。
本発明によれば、各セキュリティバッジが操作履歴そのものを共有できるので、操作履歴についての細かい解析を行うことが可能であり、高い精度で機密情報の漏洩を検出することが可能である。また各セキュリティバッジが受信した操作履歴を他の情報提供装置へ送信する必要がなく、送受信するデータの量を削減できる。またセキュリティバッジ自体が解析ソフトウェアを保持するので、その変更が比較的容易である。
以下、実施例1について図面を用いて説明する。実施例1の情報提供システムは、個人医療情報を提供する複数の分析装置と、セキュリティバッジとから構成される。セキュリティバッジは、分析装置から技師の操作の履歴を示す作業履歴を収集し、この作業履歴に基づいて機密情報の漏洩および兆候を検出する。
図1は、実施例1の技師が分析装置を利用する様子を説明する図である。ここでは分析装置102が情報提供装置の一例である。技師104は、セキュリティバッジ401を備えた名札105を身に付けて作業を進める。分析装置102は、周辺のセキュリティバッジ401を一意に識別子し、この識別子に応じて個人医療情報へのアクセスを許可する。またセキュリティバッジ401は、分析装置102から技師104の操作履歴を収集し、この操作履歴に基づいて動作モードを決定し、その動作モードを分析装置102へ送信する。分析装置102は、受信した動作モードに基づいて、個人医療情報の表示制御を行う。実施例1では、動作モードが「ノーマルモード」である時には、通常通り個人医療情報を表示し、動作モードが「匿名モード」である時には、検体IDを***などの文字列と置き換えて表示する。
図2は、実施例1の分析装置102のシステムブロック図である。分析装置102は、操作端末201と分析機器202とから構成される。操作端末201は、無線によるセキュリティバッジ401との通信を可能とする通信部219と、表示部203と、プリンタ204と、フロッピー(登録商標)ディスク(以下、FDと呼ぶ)205と、キーボード211と、マウス212と、通信部207と、セキュリティバッジ管理部209と、メッセージ管理部217と、アクセス管理部218と、セキュリティ情報DB208と、分析機器制御部206と、分析関連情報DB210とから構成される。
分析機器202は、通信部213と、検体を管理する検体管理部214と、試薬を管理する試薬管理部215と、反応管理部216とから構成される。実施例1の反応管理部216は、通信部207と通信部213を経由して分析機器制御部206から制御コマンドを受信し、この制御コマンドに基づいて、検体管理部214と、試薬管理部215とを制御することにより、検体と試薬を定められたタイミングで、定められた量だけ反応容器へ注入する。また反応管理部211は、反応容器内の反応過程から反応過程データを算出し、通信部213と通信部207を経由して分析機器制御部206へ反応過程データを送信する。分析機器制御部206は、反応過程データを受信し、検体ID、患者名、性別、アレルギー反応などの情報とともに、分析関連情報DB210に格納する。なお実施例1においては、反応過程データは、時間軸に関して吸光度をプロットしたデータの集合とするが、他の形式であってもよい。
図3は、実施例1の操作端末201のハードウェア構成図である。操作端末201は、通信部219と、表示部203と、プリンタ204と、FD205と、キーボード211と、マウス212と、通信部207と、入出力制御部301と、ハードディスク302と、日付/時刻管理機能を備えた中央処理部306と、ランダム・アクセス・メモリ(以下、RAMと呼ぶ)305とバス303とから構成される。セキュリティバッジ管理部209と、メッセージ管理部217と、アクセス管理部218と、分析機器制御部206とは、プログラムであり、ハードディスク302に格納される。またセキュリティ情報DB208と、分析関連情報DB210とは、データであり、ハードディスク302に格納される。操作端末201に電源が投入されると、中央処理部306は、ハードディスク302に格納されているオペレーティングシステムなどの基本ソフトウェアをRAM305に読み込んで実行する。またオペレーティングシステムは、ハードディスク302に格納されているセキュリティバッジ管理部209と、メッセージ管理部217と、アクセス管理部218と、分析機器制御部206とを読込んで実行する。
図4は、実施例1のセキュリティバッジ401のシステムブロック図である。セキュリティバッジ401は、無線による分析装置102との通信を可能とする通信部405と、メッセージ管理部404と、セキュリティバッジ登録部402と、履歴管理部403と、履歴情報DB406と、セキュリティ情報DB408とから構成される。通信部405は、他のセキュリティバッジ401が分析装置102へ送信する情報を検出して受信することも可能である。
図5は、実施例1のセキュリティバッジ401のハードウェア構成図である。セキュリティバッジ401は、通信部405と、中央処理部501と、RAM502と、不揮発性の記憶媒体503と、入出力制御部505と、バス504とから構成される。メッセージ管理部404と、セキュリティバッジ登録部402と、履歴管理部403とは、プログラムであり、記憶媒体503に格納される。また履歴情報DB406と、セキュリティ情報DB408とは、データであり、記憶媒体503に格納される。セキュリティバッジ401に電源が投入されると、中央処理部501は、記憶媒体503に格納されているオペレーティングシステムなどの基本ソフトウェアをRAM502に読み込んで実行する。またオペレーティングシステムは、記憶媒体503に格納されているメッセージ管理部404と、セキュリティバッジ登録部402と、履歴管理部403とを読込んで実行する。
図20は、実施例1のセキュリティバッジ管理部209が使用するセキュリティバッジ管理テーブル231と、セキュリティバッジ管理バッファ236の構成を示す図である。セキュリティバッジ管理テーブル231は、タグ識別子232と、ユーザID233と、役割234から構成される。セキュリティバッジ管理バッファ236は、セキュリティバッジ識別子格納領域237と、動作モード格納領域238から構成される。実施例1では、セキュリティバッジ管理テーブル231を格納するための領域は、セキュリティ情報DB208に確保される。またセキュリティバッジ管理バッファ236を格納するための領域は、RAM305に確保される。
図21は、実施例1のアクセス管理部218が使用する履歴管理用バッファ241の構成を示す図である。履歴管理用バッファ241は、日付/時刻格納領域242と、装置識別子格納領域243と、履歴識別子格納領域244と、検体ID数格納領域245から構成される。実施例1では、履歴管理用バッファ241を格納するための領域は、RAM305に確保される。
図22は、実施例1のセキュリティバッジ401が使用するセキュリティバッジ関連情報管理テーブル251と、動作モード管理テーブル253の構成を示す図である。セキュリティバッジ関連情報管理テーブル251は、セキュリティバッジ識別子252と、管理者指紋情報256とから構成される。動作モード管理テーブル253は、動作モード格納領域254と、開始日付/時刻格納領域255とから構成される。実施例1では、セキュリティバッジ関連情報管理テーブル251を格納するための領域は、セキュリティ情報DB408に確保される。また動作モード管理テーブル253を格納するための領域は、RAM502に確保される。
図23は、実施例1のセキュリティバッジ401が使用する履歴管理テーブル261の構成を示す図である。履歴管理テーブル261は、日付/時刻262と、装置識別子263と、履歴識別子264と、検体ID数265とから構成される。実施例1では、履歴管理テーブル261を格納するための領域は、履歴情報DB406に確保される。
図6は、実施例1において、操作端末201がセキュリティバッジ401を識別して、セキュリティバッジの動作モードを登録する時の処理フローである。まずセキュリティバッジ管理部209は、操作端末201に対するセキュリティバッジ401の近接状況を管理する変数Nに0を代入する(ステップ601)。次にセキュリティバッジ管理部209は、Nが3であるか否かを判定し(ステップ602)、Nが3でなければ、メッセージ管理部217により識別子を受信しているか否かを判定する(ステップ603)。ステップ603において、セキュリティバッジ管理部209は、識別子を受信していれば、セキュリティバッジ管理テーブル231のタグ識別子232の中から、受信した識別子と一致するタグ識別子が記録されているか否かを検証する(ステップ604)。
ステップ604でタグ識別子が記録されている場合、セキュリティバッジ管理部209は、操作端末201とセキュリティバッジ401間での相互認証処理を実行する(ステップ605)。ここで相互認証処理を実現する技術して「3パス相互認証技術」(RFIDハンドブック、日刊工業新聞社より)が確立されており、実施例1では、本技術に基づいて相互認証処理を実行する。よって実施例1では、相互認証に必要となる秘密鍵がセキュリティ情報DB208と、セキュリティ情報DB408に格納される。
次にセキュリティバッジ管理部209は、相互認証処理が成功したか否かを判定し(ステップ606)、成功した場合には、ステップ603で受信した識別子を登録する(ステップ607)。実施例1のセキュリティバッジ管理部209は、この識別子をセキュリティバッジ管理バッファ236のセキュリティバッジ識別子格納領域237に記録する。次にセキュリティバッジ管理部209は、メッセージ管理部217によりセキュリティバッジ401から動作モードを受信しているか否かを判定する(ステップ608)。ステップ608で動作モードを受信している場合、セキュリティバッジ管理部209は、セキュリティ情報DB208に格納された秘密鍵を使用して、動作モードの復号処理を行う(ステップ609)。
次にセキュリティバッジ管理部209は、受信した動作モードが受付可能な動作モード名称のいずれかと一致するか否かを判定する(ステップ610)。実施例1の動作モードは、「NORMAL」または「ANONYMOUS」のいずれかと一致すべきものとする。ステップ610において、動作モードが「NORMAL」または「ANONYMOUS」のいずれかと一致すると判定した場合、セキュリティバッジ管理部209は、ステップ609で復号化した動作モードを登録して、本処理フローを終了する(ステップ611)。実施例1のセキュリティバッジ管理部209は、この動作モードをセキュリティバッジ管理バッファ236の動作モード格納領域238に記録する。
ステップ603において、セキュリティバッジ管理部209は、識別子を受信していなければ、一定時間の時間が経過した後(ステップ614)、Nに1を加算する(ステップ613)。ステップ602において、Nが3であれば、セキュリティバッジ管理部209は、セキュリティバッジ管理バッファ236のセキュリティバッジ識別子格納領域237と、動作モード格納領域238をゼロクリアし(ステップ615)、本処理フローを終了する。ステップ604において、タグ識別子が記録されていない場合、セキュリティバッジ管理部209は、セキュリティバッジ管理バッファ236のセキュリティバッジ識別子格納領域237と、動作モード格納領域238をゼロクリアし(ステップ617)、本処理フローを終了する。
ステップ606において、相互認証処理に失敗した場合、キュリティバッジ管理部209は、セキュリティバッジ管理バッファ236のセキュリティバッジ識別子格納領域237と、動作モード格納領域238をゼロクリアし(ステップ616)、本処理フローを終了する。ステップ610において、動作モードが「NORMAL」または「ANONYMOUS」のいずれとも一致しないと判定した場合、セキュリティバッジ管理部209は、本処理フローを終了する。
図7は、実施例1において、操作端末201が操作コマンドを実行し、セキュリティバッジ401へ操作履歴を受け渡す時の処理フローである。操作コマンドは、分析処理の実行、表示部203への分析結果の表示、プリンタ204を使用した分析結果の印刷、FD205への分析結果の記録などを行うための指令である。まずアクセス管理部218は、キーボード211、マウス212を経由して操作コマンドを受け付ける(ステップ701)。次にアクセス管理部218は、セキュリティバッジ管理バッファ236のセキュリティバッジ識別子格納領域237と、動作モード格納領域238に、それぞれセキュリティバッジ識別子と動作モードが格納されているか否かを判定し(ステップ702)、登録されていれば入力された操作コマンドを実行する(ステップ703)。分析機器制御部206は、分析結果を分析関連情報DB210に記録する。
次にアクセス管理部218は、この操作コマンドの実行に基づいて操作履歴を作成し、履歴管理用バッファ241に格納する(ステップ704)。日付/時刻格納領域242には、中央処理部306が管理する現在の時刻を格納する。装置識別子格納領域243には、分析装置102に一意に割り当てられた装置識別子を格納する。装置識別子は、ハードディスク302に格納されている。履歴識別子格納領域244には操作履歴の識別子を格納する。実施例1では、表示部203への分析結果の表示、プリンタ204を使用した分析結果の印刷、FD205への分析結果の出力に対して、操作履歴の識別子として、それぞれH01,H02,H03が割り当てられる。検体ID数格納領域245には、操作履歴の識別子がH01であれば表示部203へ検体IDの数を表示し、操作履歴の識別子がH02であればプリンタ204に検体IDの数を印刷し、操作履歴の識別子がH03であればFD205に検体IDの数を格納する。
次にアクセス管理部218は、メッセージ管理部217を介して履歴管理用バッファ241の日付/時刻格納領域242と、装置識別子格納領域243と、履歴識別子格納領域244と、検体ID数格納領域245の内容を、セキュリティバッジ401へ送信する(ステップ705)。次にアクセス管理部218は、セキュリティバッジ401から応答メッセージを受信して、本処理フローを終了する(706)。ステップ702において、動作モード格納領域238にセキュリティバッジ識別子と、動作モードの両方、またはどちらか一方が格納されていなければ、本処理フローを終了する。
図8は、図7に示したステップ703において、操作端末201が操作コマンドを実行し、その出力データを表示部203、プリンタ204、FD205に出力する時の処理フローである。なお操作コマンドに基づいて、表示部203に表示されるデータ、プリンタ204を使用して印刷されるデータ、FD205に記録されるデータを出力データと呼ぶ。まずアクセス管理部218は、分析関連情報DB210から出力データを読み込む(ステップ801)。次にアクセス管理部218は、セキュリティバッジ管理バッファ236のセキュリティバッジ識別子格納領域237と、動作モード格納領域238に、それぞれセキュリティバッジ識別子と動作モードが格納されているか否かを判定し(ステップ802)、登録されていれば動作モード格納領域238に格納されている動作モードが匿名モードか否かを判定する(ステップ803)。ステップ803において、動作モードが匿名モードであれば、出力データに含まれる検体IDを***などの記号と置き換える(ステップ804)。ここで使用する記号は、+++、###などの他の記号であってもよい。また記号の数は3でなくてもよい。また使用する記号が空白であってもよい。次にアクセス管理部218は、出力データを指定された媒体に出力して、本処理フローを終了する(ステップ805)。
ステップ802において、動作モード格納領域238に、セキュリティバッジ識別子と、動作モードの両方、またはどちらか一方が格納されていなければ、本処理フローを終了する。ステップ803において、前記動作モードがノーマルモードであればアクセス管理部218は、ステップ805を実行する。
図9は、実施例1のセキュリティバッジ401がその動作モードを登録する時の処理フローである。まずセキュリティバッジ登録部402は、セキュリティ情報DB408に格納されたセキュリティバッジ関連情報管理テーブル251のセキュリティバッジ識別子252を読み込み、セキュリティバッジ識別子を取得する(ステップ901)。次にセキュリティバッジ登録部402は、メッセージ管理部404を介して取得したセキュリティバッジ識別子を操作端末201へ送信する(ステップ902)。
次にセキュリティバッジ登録部402は、操作端末201から応答を受信したか否かを判定する(ステップ903)。ステップ903において、応答を受信していれば、図6のステップ605にて示した方法により相互認証処理を実行する(ステップ904)。次にセキュリティバッジ登録部402は、相互認証処理が成功したか否かを判定し(ステップ905)、成功した場合には、動作モード管理テーブル253の動作モード格納領域254を読み込むことにより、動作モードを取得する(ステップ906)。次にセキュリティバッジ登録部402は、メッセージ管理部404を介して取得した動作モードを操作端末201へ送信して、本処理フローを終了する(ステップ907)。ステップ903において、応答を受信していなければ、本処理フローを終了する。
図10は、実施例1のセキュリティバッジ401が操作履歴を解析し、その結果に応じてその動作モードを変更する時の処理フローである。履歴管理部403は、操作端末201から操作履歴を受信し、この操作履歴を履歴管理テーブル261の日付/時刻262と、装置識別子263と、履歴識別子264と、検体ID数265に格納する(ステップ311)。次に履歴管理部403は、操作端末201へ応答を送信する(ステップ312)。次に履歴管理部403は、動作モード管理テーブル253の動作モード格納領域254を読み込むことにより動作モードを取得し、この動作モードの種別を判定する(ステップ313)。ステップ313において、動作モードが匿名モードであれば、動作モード管理テーブル253の開始日付/時刻格納領域255を読み込むことにより開始日付/時刻を取得する(ステップ314)。次に履歴管理部403は、その時点の日付/時刻と取得した開始日付/時刻に基づいて、匿名モードに遷移してからその時点までの経過時間を算出し、予め定められた時間を経過しているか否かを判定する(ステップ315)。ステップ315において、予め定められた時間を経過している場合、履歴管理部403は、動作モード管理テーブル253の動作モード格納領域254をNORMALに更新し、動作モード管理テーブル253の開始日付/時刻格納領域255をゼロクリアする(ステップ316)。
次に履歴管理部403は、履歴管理テーブル261の日付/時刻262と、装置識別子263と、履歴識別子264と、検体ID数265を読み込み、解析することにより、出力傾向が定められた範囲にあるか否かを判定する(ステップ317)。解析のアルゴリズムは、公知の技術を使用すればよいので詳述しない。ステップ317において、出力傾向が定められた範囲にある場合、履歴管理部403は、本処理フローを終了する。
ステップ313において、動作モードがノーマルモードであれば、ステップ317を実行する。ステップ317において、出力傾向が定められた範囲にない場合、履歴管理部403は、動作モード管理テーブル253の動作モード格納領域254にANONYMOUSを格納し、動作モード管理テーブル253の開始日付/時刻格納領域255にその時点での日付と時刻を格納し、本処理フローを終了する(ステップ318)。
図11は、実施例1において、セキュリティバッジ401がステップ317で出力傾向が定められた範囲にあるか否かを判定する方法を説明する図である。縦軸は、検体IDを出力した数、横軸は日付を示す。1月15日から1月19日の5日間、検体IDを出力した数が継続して閾値を超えており、かつ1月18日から1月19日にかけて検体IDを出力した数が急激に増加している。これは、患者のプライベートな情報が不正に出力された疑いのあることを示している。このため1月19日の時点で、セキュリティバッジ401は、動作モードを匿名モードに遷移する。
実施例1の情報提供システムおよび分析装置の効果について説明する。実施例1のセキュリティバッジ401は、操作端末201から無線通信部405を介して操作履歴を収集することにより、ネットワークを構築することなく、個人医療情報の漏洩および兆候を検出することができる。またセキュリティバッジ401が1台以上の分析装置から操作履歴を収集して解析することにより、分析装置の使用を許可された技師による個人医療情報の不正な持ち出しおよび兆候を検出することができる。また個人医療情報の不正な持ち出しおよび兆候を検出した時に、セキュリティバッジの動作モードを「匿名モード」とすることにより、個人医療情報の不正な持ち出しを防止することができる。
次に実施例2について図面を用いて説明する。実施例1では、セキュリティバッジ401の動作モードを作業履歴に基づいて「ノーマルモード」または「匿名モード」に遷移させる情報提供システムを示した。実施例2は、動作モードを「ノーマルモード」、「匿名モード」または「不正モード」に遷移させる情報提供システムである。実施例2の操作端末201のシステムブロック図と、ハードウェア構成図は、実施例1の操作端末201のシステムブロック図と、ハードウェア構成図と同様である。
図12は、実施例2のセキュリティバッジ401のシステムブロック図である。図12は、実施例1のセキュリティバッジ401のシステムブロック図に、指紋情報取得機器421が追加される。指紋情報取得機器421は、管理者など特定の役割をもつ者を特定する情報の一例として指紋情報を入力する。
図13は、実施例2のセキュリティバッジ401のハードウェア構成図である。図13は、実施例1のセキュリティバッチ401のシステムブロック図に、指紋情報取得機器421が追加される。
図14は、実施例2の操作端末201が操作コマンドを実行し、セキュリティバッジ401へ操作履歴を受け渡す時の処理フローである。図7に示す実施例1の処理フローにステップ741が追加される。ステップ702において、動作モードが登録されていれば、アクセス管理部218は、セキュリティバッジ管理バッファ236の動作モード格納領域238を読み込むことにより動作モードを取得し、その動作モードがノーマルモードまたは匿名モードであるか否かを判定する(ステップ741)。ステップ741で動作モードがノーマルモードまたは匿名モードであれば、ステップ703を実行する。ステップ741で動作モードが不正モードであれば、操作コマンドを実行することなく本処理フローを終了する。
図15は、実施例2のセキュリティバッジ401がその動作モードを変更する時の処理フローである。図10に示す実施例1の処理フローでステップ313が変更される。またステップ351、ステップ352およびステップ353が追加される。ステップ313で動作モードがノーマルモードまたは不正モードであれば、ステップ317を実行する。またステップ318において、履歴管理部403は、動作モード管理テーブル253の動作モード格納領域254にANONYMOUSを格納し、開始日付/時刻格納領域255にその時点での日付と時刻を格納する。次にステップ351において、履歴管理部403は、匿名モードへの遷移回数を管理する変数Mに1を加算する。この変数Mは、履歴情報DB406に格納される変数であり、0クリアされて出荷される。次に履歴管理部403は、変数Mが3と等しいか否かを判定する(ステップ352)。ステップ352で変数Mが3と等しくなければ、本処理フローを終了する。ステップ352で変数Mが3と等しければ、履歴管理部403は、動作モード管理テーブル253の動作モード格納領域254に不正モードを示すWRONGを格納し、開始日付/時刻格納領域255をゼロクリアして(ステップ353)、本処理フローを終了する。
図16は、管理者など特定の役割をもつ者の承認により「匿名モード」または「不正モード」であるセキュリティバッジ401の動作モードを、「ノーマルモード」に遷移させる時のセキュリティバッジ401による処理フローである。まずセキュリティバッジ登録部402は、指紋情報取得機器421を使用して、管理者など役割をもつ者の指紋情報を取得する(ステップ361)。次にセキュリティ登録部402は、この指紋情報と、セキュリティバッジ関連情報管理テーブル251の管理者指紋情報256を比較することにより、両者が一致するか否かを判定する(ステップ362)。ステップ362において、指紋情報と管理者指紋情報256が一致する場合は、動作モード管理テーブル253の動作モード格納領域254にNORMALを格納し、開始日付/時刻格納領域255をゼロクリアする(ステップ363)。次に変数Mに0を代入する(ステップ364)。
実施例2の情報提供システムおよび分析装置の効果について述べる。実施例2では、セキュリティバッチ401が動作モードとして、ノーマルモードと匿名モードに加えて不正モードを備えることにより、個人医療情報の漏洩および兆候を検出した時に、より確実に個人医療情報の漏洩を防止することができる。またセキュリティバッジ401が認証情報取得機器421とセキュリティバッジ関連情報管理テーブル251を備えることにより、管理者の許可があれば、セキュリティバッジ401を匿名モードまたは不正モードからノーマルモードに復旧させることができる。
次に実施例3について図面を用いて説明する。実施例1では、作業履歴に基づいて個人医療情報の不正な持ち出しおよび兆候を検出する情報提供システムを示した。実施例3では、分析装置の表示部に表示された個人医療情報の盗み見および兆候を検出する情報提供システムを示す。なお操作端末201と、セキュリティバッチ401のシステムブロック図と、ハードウェア構成図は、実施例1と同様である。
図17は、実施例3の操作端末201がセキュリティバッジ401を識別して、セキュリティバッジの動作モードを登録する時の処理フローである。図6に示した処理フローにステップ681が追加される。セキュリティバッジ管理部209は、ステップ607で受信した識別子を登録した後、ステップ681でハードディスク302から分析装置の識別子を読み込み、セキュリティバッジ401へこの分析装置識別子を送信する。
図18は、実施例3のセキュリティバッジ401が周辺に存在するセキュリティバッジを認識して、履歴として記録するときの処理フローである。まず履歴管理部403は、メッセージ管理部404を介して分析装置の識別子を受信する(ステップ691)。次に履歴管理部403は、メッセージ管理部404を介してステップ902で他のセキュリティバッジ401が送信するセキュリティバッジの識別子を受信する(ステップ692)。次に履歴管理部403は、日付/時刻、分析装置識別子およびセキュリティバッジ識別子を対応づけて履歴管理テーブル261に格納する(ステップ693)。次に履歴管理部403は、履歴管理テーブル261の情報を解析することにより、分析装置102の表示部に表示される機密情報の盗み見あるいはその兆候を検出する(ステップ694)。
実施例3では、セキュリティバッジ401は、縦軸を特定日付における時刻、横軸を分析装置の識別子とし、周辺のセキュリティバッジの存在をプロットするグラフにより、特定のセキュリティバッジの動向を分析する。分析方法については詳述しない。これによりセキュリティバッジ401は、分析装置にアクセスしている最中に、周辺に頻繁に存在するセキュリティバッジを検出する。ステップ694において、分析装置102の表示部に表示された機密情報の盗み見あるいはその兆候を検出しなければ、本処理フローを終了する。ステップ694において、分析装置102の表示部に表示された機密情報の盗み見あるいはその兆候を検出した場合は、履歴管理部403は、操作端末201へ不正通知を送信する(ステップ695)。不正通知を受信した操作端末201は、特定の個人が盗み見したかその兆候を検出したことを示すメッセージを表示部203に表示する。
図19は、実施例3の処理フローのステップ694において、周辺のセキュリティバッジの存在をプロットするグラフの例を示す図である。縦軸は特定日付における時刻、横軸は分析装置の識別子を示す。この例では、SB01の識別子をもつセキュリティバッジが4つの分析装置102に亘って存在し、他の技師104が扱っている機密情報を盗み見した疑いがあることを示している。
実施例3の情報提供システムおよび分析装置の効果について述べる。実施例3では、セキュリティバッジ401が操作端末201にアクセスしているとき、他セキュリティバッジの存在履歴に基づいてその動向を解析することにより、情報提供装置の表示部に表示される機密情報の盗み見あるいはその兆候を検出することができる。
実施例1の技師が分析装置を利用する様子を説明する図である。 実施例1の分析装置のシステムブロック図である。 実施例1の操作端末201のハードウェア構成図である。 実施例1のセキュリティバッジ401のシステムブロック図である。 実施例1のセキュリティバッジ401のハードウェア構成図である。 実施例1の操作端末201がセキュリティバッジの動作モードを登録する時の処理のフローチャートである。 実施例1の操作端末201が操作コマンドを実行し、セキュリティバッジ401へ操作履歴を受け渡す時の処理のフローチャートである。 実施例1の操作端末201が出力データを出力するときの処理のフローチャートである。 実施例1のセキュリティバッジ401がその動作モードを登録する時の処理のフローチャートである。 実施例1のセキュリティバッジ401がその動作モードを変更する時の処理のフローチャートである。 実施例1のセキュリティバッジ401が出力傾向を判定する方法を説明する図である。 実施例2のセキュリティバッジ401のシステムブロック図である。 実施例2のセキュリティバッジ401のハードウェア構成図である。 実施例2の操作端末201が操作コマンドを実行し、セキュリティバッジ401へ操作履歴を受け渡す時の処理のフローチャートである。 実施例2のセキュリティバッジ401がその動作モードを変更する時の処理のフローチャートである。 実施例2において「匿名モード」または「不正モード」であるセキュリティバッジ401の動作モードを「ノーマルモード」に遷移させる時の処理のフローチャートである。 実施例3の操作端末201がセキュリティバッジ401を識別して、セキュリティバッジの動作モードを登録する時の処理のフローチャートである。 実施例3のセキュリティバッジ401が周辺に存在するセキュリティバッジを認識して、履歴として記録するときの処理のフローチャートである。 実施例3において、周辺のセキュリティバッジの存在をプロットするグラフの例を示す図である。 実施例1のセキュリティバッジ管理テーブル231とセキュリティバッジ管理バッファ236の構成を示す図である。 実施例1の履歴管理用バッファ241の構成を示す図である。 実施例1のセキュリティバッジ関連情報管理テーブル251と、動作モード管理テーブル253の構成を示す図である。 実施例1の履歴管理テーブル261の構成を示す図である。
符号の説明
102:分析装置、201:操作端末、208:セキュリティ情報DB、209:セキュリティバッジ管理部、210:分析関連情報DB、218:アクセス管理部、401:セキュリティバッジ、402:セキュリティバッジ登録部、403:履歴管理部、406:履歴情報DB、408:セキュリティ情報DB

Claims (13)

  1. 入力される操作コマンドを実行しその実行結果の機密情報を出力する情報提供装置と、前記情報提供装置へバッジ識別子を送信して認証を受けるセキュリティバッジとを有する情報提供システムにおいて、
    前記セキュリティバッジは、前記情報提供装置から、検体を識別するための検体識別情報の数を含む操作履歴を受信して記憶領域に蓄積する手段と、蓄積された前記操作履歴に含まれる前記検体識別情報の数があらかじめ定められた範囲内の値であるか否かを判定することにより、秘匿した状態で前記機密情報を出力するか否かを区分する動作モードを判定し、判定された前記動作モードを前記情報提供装置へ送信する手段とを有し、
    前記情報提供装置は、前記操作コマンドの実行過程を示す前記操作履歴を作成して前記セキュリティバッジへ送信する手段と、受信した前記動作モードが、秘匿した状態で前記機密情報を出力する匿名モードであるか否かを判定し、前記動作モードが前記匿名モードであると判定した場合、秘匿した状態で前記機密情報を出力する手段とを有することを特徴とする情報提供システム。
  2. 前記動作モードは、前記匿名モードと秘匿しない状態で前記機密情報を出力するノーマルモードとを含み、前記セキュリティバッジは、さらに前記匿名モードのまま所定時間が経過したとき前記動作モードを前記匿名モードから前記ノーマルモードに移行させる手段を有することを特徴とする請求項1記載の情報提供システム。
  3. 前記動作モードは、前記匿名モードと秘匿しない状態で前記機密情報を出力するノーマルモードとを含み、前記セキュリティバッジは、前記操作履歴に含まれる前記検体識別情報の数があらかじめ定められた範囲内の値であるか否かを判定することにより、前記匿名モードにするか前記ノーマルモードにするかを判定することを特徴とする請求項1記載の情報提供システム。
  4. 前記動作モードは、前記匿名モードと、秘匿しない状態で前記機密情報を出力するノーマルモードと、前記操作コマンドの実行を拒否する不正モードとを含み、前記情報提供装置は、受信した前記動作モードが前記不正モードのとき前記操作コマンドの実行を拒否することを特徴とする請求項1記載の情報提供システム。
  5. 前記セキュリティバッジは、さらに前記セキュリティバッジの利用者が管理者であるか否かを判定し、前記セキュリティバッジの利用者が管理者であると判定した場合に、前記動作モードを前記不正モードから前記ノーマルモードへ移行させることを特徴とする請求項4記載の情報提供システム。
  6. 前記情報提供装置は、前記セキュリティバッジから前記バッジ識別子を受信したとき当該情報提供装置の装置識別子を送信元の前記セキュリティバッジへ送信する手段と、前記セキュリティバッジから不正通知を受信して出力する手段とを有し、
    前記セキュリティバッジは、当該セキュリティバッジとは異なる他のセキュリティバッジからバッジ識別子を受信し、前記装置識別子を受信したとき当該セキュリティバッジとは異なる他のセキュリティバッジのバッジ識別子を検出する手段と、受信した前記装置識別子と検出した他のセキュリティバッジのバッジ識別子とを対応づけた履歴を記録する手段と、前記履歴を解析し、前記他のセキュリティバッジのバッジ識別子が複数の前記装置識別子に対応付けられているか否かを判定することにより、前記他のセキュリティバッジが不正に関与したか否かを判定する手段と、不正と判定されたとき前記情報提供装置へ前記不正通知を送信する手段とを有することを特徴とする請求項1記載の情報提供システム。
  7. 入力される操作コマンドを実行しその実行結果の機密情報を出力する情報提供装置と、前記情報提供装置へバッジ識別子を送信して認証を受けるセキュリティバッジとを有する情報提供システムのうちの前記情報提供装置であって、前記情報提供装置は、
    検体を識別するための検体識別情報の数を含み、前記操作コマンドの実行過程を示す操作履歴を作成して前記セキュリティバッジへ送信する手段と、前記セキュリティバッジから前記操作履歴に含まれる前記検体識別情報の数があらかじめ定められた範囲内の値であるか否かが判定され、秘匿した状態で前記機密情報を出力するか否かを区分するための動作モードを受信する手段と、受信した前記動作モードが、秘匿した状態で前記機密情報を出力する匿名モードであるか否かを判定し、前記動作モードが前記匿名モードであると判定した場合、秘匿した状態で前記機密情報を出力する手段とを有することを特徴とする情報提供装置。
  8. 前記動作モードは、前記匿名モードと、秘匿しない状態で前記機密情報を出力するノーマルモードと、前記操作コマンドの実行を拒否する不正モードとを含み、前記情報提供装置は、受信した前記動作モードが前記不正モードのとき前記操作コマンドの実行を拒否する手段を有することを特徴とする請求項7記載の情報提供装置。
  9. 入力される操作コマンドを実行しその実行結果の機密情報を出力する情報提供装置と、前記情報提供装置へバッジ識別子を送信して認証を受けるセキュリティバッジとを有する情報提供システムのうちの前記セキュリティバッジであって、前記セキュリティバッジは、
    前記情報提供装置から、検体を識別するための検体識別情報の数を含み、前記操作コマンドの実行過程を示す操作履歴を受信して記憶領域に蓄積する手段と、蓄積された前記操作履歴に含まれる前記検体識別情報の数があらかじめ定められた範囲内の値であるか否かを判定することにより、秘匿した状態で前記機密情報を出力するか否かを区分する動作モードを判定する手段と、判定された前記動作モードに従って前記機密情報の出力が行われるように前記動作モードを前記情報提供装置へ送信する手段とを有することを特徴とするセキュリティバッジ。
  10. 前記動作モードは、前記匿名モードと秘匿しない状態で前記機密情報を出力するノーマルモードとを含み、前記セキュリティバッジは、さらに前記匿名モードのまま所定時間が経過したとき前記動作モードを前記匿名モードから前記ノーマルモードに移行させる手段を有することを特徴とする請求項9記載のセキュリティバッジ。
  11. 前記動作モードは、前記匿名モードと秘匿しない状態で前記機密情報を出力するノーマルモードとを含み、前記セキュリティバッジは、前記操作履歴に含まれる前記検体識別情報の数があらかじめ定められた範囲内の値であるか否かを判定することにより、前記匿名モードにするか前記ノーマルモードにするかを判定することを特徴とする請求項9記載のセキュリティバッジ。
  12. 前記動作モードは、前記匿名モードと、秘匿しない状態で前記機密情報を出力するノーマルモードと、前記操作コマンドの実行を拒否する不正モードとを含み、前記セキュリティバッジは、さらに前記セキュリティバッジの利用者が管理者であるか否かを判定し、前記セキュリティバッジの利用者が管理者であると判定した場合に、前記動作モードを前記不正モードから前記ノーマルモードへ移行させる手段を有することを特徴とする請求項9記載のセキュリティバッジ。
  13. 前記セキュリティバッジは、当該セキュリティバッジとは異なる他のセキュリティバッジからバッジ識別子を受信し、前記情報提供装置から当該情報提供装置の装置識別子を受信する手段と、前記装置識別子を受信したとき当該セキュリティバッジとは異なる他のセキュリティバッジのバッジ識別子を検出する手段と、受信した前記装置識別子と検出した他のセキュリティバッジのバッジ識別子とを対応づけた履歴を記録する手段と、前記履歴を解析し、前記他のセキュリティバッジのバッジ識別子が複数の前記装置識別子に対応付けられているか否かを判定することにより、前記他のセキュリティバッジが不正に関与したか否かを判定する手段と、不正と判定されたとき前記情報提供装置に出力するために前記情報提供装置へ前記不正通知を送信する手段とを有することを特徴とする請求項9記載のセキュリティバッジ。
JP2004172021A 2004-06-10 2004-06-10 情報提供システムおよびその構成装置 Expired - Fee Related JP4546162B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004172021A JP4546162B2 (ja) 2004-06-10 2004-06-10 情報提供システムおよびその構成装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004172021A JP4546162B2 (ja) 2004-06-10 2004-06-10 情報提供システムおよびその構成装置

Publications (2)

Publication Number Publication Date
JP2005352713A JP2005352713A (ja) 2005-12-22
JP4546162B2 true JP4546162B2 (ja) 2010-09-15

Family

ID=35587154

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004172021A Expired - Fee Related JP4546162B2 (ja) 2004-06-10 2004-06-10 情報提供システムおよびその構成装置

Country Status (1)

Country Link
JP (1) JP4546162B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007011521A (ja) * 2005-06-29 2007-01-18 Matsushita Electric Ind Co Ltd 情報漏洩防止システム、情報漏洩防止サーバ、情報漏洩防止端末及び情報漏洩防止方法
JP2008112284A (ja) * 2006-10-30 2008-05-15 Fujitsu Ltd 資源管理方法、資源管理システム、およびコンピュータプログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11137536A (ja) * 1997-10-29 1999-05-25 Soc Appl Gen Electr Mec <Sagem> アクセスチェック装置及び該装置と連携するアクセスバッジ
JP2004021923A (ja) * 2002-06-20 2004-01-22 Matsushita Electric Ind Co Ltd 情報処理装置と情報処理方法
JP2004038270A (ja) * 2002-06-28 2004-02-05 Ntt Communications Kk 個人情報アクセス制御方法、端末、システム、並びに、プログラム
JP2004078302A (ja) * 2002-08-09 2004-03-11 Hitachi Ltd コンテンツ閲覧許可システム、該システムに用いる閲覧許可装置、媒体及び閲覧許可データ登録方法
JP2004145483A (ja) * 2002-10-22 2004-05-20 Toshiba Corp 情報共有支援装置および情報共有支援方法
JP2005196508A (ja) * 2004-01-08 2005-07-21 Hitachi Ltd 処理装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11137536A (ja) * 1997-10-29 1999-05-25 Soc Appl Gen Electr Mec <Sagem> アクセスチェック装置及び該装置と連携するアクセスバッジ
JP2004021923A (ja) * 2002-06-20 2004-01-22 Matsushita Electric Ind Co Ltd 情報処理装置と情報処理方法
JP2004038270A (ja) * 2002-06-28 2004-02-05 Ntt Communications Kk 個人情報アクセス制御方法、端末、システム、並びに、プログラム
JP2004078302A (ja) * 2002-08-09 2004-03-11 Hitachi Ltd コンテンツ閲覧許可システム、該システムに用いる閲覧許可装置、媒体及び閲覧許可データ登録方法
JP2004145483A (ja) * 2002-10-22 2004-05-20 Toshiba Corp 情報共有支援装置および情報共有支援方法
JP2005196508A (ja) * 2004-01-08 2005-07-21 Hitachi Ltd 処理装置

Also Published As

Publication number Publication date
JP2005352713A (ja) 2005-12-22

Similar Documents

Publication Publication Date Title
AU2006203517B2 (en) Using Promiscuous and Non-Promiscuous Data to Verify Card and Reader Identity
EP1584035B1 (en) Authorized anonymous authentication
EP2732579B1 (en) Event driven second factor credential authentication
US9400879B2 (en) Method and system for providing authentication through aggregate analysis of behavioral and time patterns
US6957338B1 (en) Individual authentication system performing authentication in multiple steps
EP2546774B1 (en) Authentication system and method
EP1811412A1 (en) Computer control method using externally connected device and computer control system
EP1672557A1 (en) Two factor token identification
TWI414669B (zh) Out of the room management system and out of the room management methods
US20070079133A1 (en) Portable storage device having a subject identification information and a configuration method thereof
US8570142B2 (en) Facilities controlling system and method
US7540019B2 (en) Processing device capable of implementing flexible access control
JP4546162B2 (ja) 情報提供システムおよびその構成装置
JP2008107936A (ja) 認証装置、認証装置の認証方法および認証装置の認証プログラム
JP7178681B1 (ja) ログイン管理システムおよびプログラム
JP2008158778A (ja) 個人認証プログラム、個人認証方法および個人認証システム
US8935758B2 (en) System and method for checking the authenticity of the identity of a person accessing data over a computer network
US11479209B2 (en) Input information management system
CN106534215A (zh) 服务安装与服务登录的方法及装置
JP5534514B2 (ja) 情報処理装置、情報処理方法、及びプログラム
JP2008181231A (ja) コンピュータ成りすまし使用防止システム、コンピュータ成りすまし使用防止方法、およびコンピュータ成りすまし使用防止プログラム
JP2008533605A (ja) 保護されたオブジェクトの生体保護
US20020169843A1 (en) Data managing apparatus for analytical device
JPH11306143A (ja) コンピュータ端末装置
JP2006031074A (ja) 認証システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070201

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070201

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100615

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100701

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130709

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4546162

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees