JP4773878B2 - Information management system and information management method - Google Patents
Information management system and information management method Download PDFInfo
- Publication number
- JP4773878B2 JP4773878B2 JP2006141301A JP2006141301A JP4773878B2 JP 4773878 B2 JP4773878 B2 JP 4773878B2 JP 2006141301 A JP2006141301 A JP 2006141301A JP 2006141301 A JP2006141301 A JP 2006141301A JP 4773878 B2 JP4773878 B2 JP 4773878B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- concealed
- concealment
- therapeutic agent
- patient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Medical Treatment And Welfare Office Work (AREA)
- Storage Device Security (AREA)
Description
本発明は、情報セキュリティ技術の応用分野に関し、特に、異なる管理対象が相互に関連する処理の履歴を管理するシステムでのプライバシ漏洩を防止する技術に関する。 The present invention relates to an application field of information security technology, and more particularly to technology for preventing privacy leakage in a system that manages processing histories related to different management targets.
無線タグ技術は主に物流管理、物品管理等の分野において注目されているが、近年この技術を医療分野ヘ適用する方法が検討されている(例えば、非特許文献1参照)。特に、ここ数年頻発している医療過誤を防ぐために、様々な工夫が行われており(例えば、非特許文献2参照)、ここにも無線タグを利用する方法が考えられている。このような方法の1つに、患者の情報が格納された無線タグを当該患者に取り付け、看護師や診断治療剤の情報が格納された無線タグを当該看護師や診断治療剤容器に取り付ける方法がある(従来法1)。この方法では、投薬時に、看護師がリーダ装置を用いて各無線タグ装置から各情報を読み取り、読み取った情報を照合することにより、その患者に対し、担当者及び投与する薬剤が正しいか否かを確認する。 The wireless tag technology has attracted attention mainly in the fields of physical distribution management, article management, and the like, but in recent years, a method of applying this technology to the medical field has been studied (for example, see Non-Patent Document 1). In particular, various devices have been devised in order to prevent medical errors that have occurred frequently in recent years (see, for example, Non-Patent Document 2), and a method using a wireless tag is also considered here. As one of such methods, a method of attaching a wireless tag storing patient information to the patient and attaching a wireless tag storing nurse or diagnostic therapeutic agent information to the nurse or diagnostic therapeutic agent container (Conventional method 1). In this method, at the time of medication, a nurse reads each information from each RFID tag device using a reader device, and collates the read information to determine whether the person in charge and the medicine to be administered are correct. Confirm.
また、投薬等の医療行為の記録を残すため、デー夕ベース等に記録することが必要となるが、記録する情報は患者のプライバシに直接かかわる情報であるため、慎重に取り扱わなければならない。プライバシを考慮しつつ情報をデー夕ベースヘ記録する従来方法としては、例えば、記録する情報を複数のデー夕ベースに分散し、それぞれに格納された情報をデータIDによって管理することで、 デー夕ベースから情報が漏洩した場合でも被害を少なくする方法がある(従来法2)。
しかし、従来の技術では、無線タグのメモリに格納された情報から、患者のプライバシが侵害されてしまう恐れがある。
一般に、無線タグに格納された情報は、リーダ装置を持っているものであれば誰でも読み取ることができる。例えば、従来法1の場合、第三者がリーダ装置を用い、投薬が為されている患者やその診断治療剤容器等にそれぞれ取り付けられている無線タグ装置から各情報を読み取ることもできる。この場合、読み取られた情報から、その患者の病状等のプライバシ情報が当該第三者に知られてしまう恐れがある。
However, in the conventional technology, there is a possibility that the privacy of the patient is infringed from information stored in the memory of the wireless tag.
In general, anyone who has a reader device can read information stored in a wireless tag. For example, in the case of the
これに対し、例えば、無線タグにはプライバシ情報に対応するID情報のみを格納し、プライバシ情報をデータベースに格納することで、プライバシ情報が無線タグから直接第三者に読み取られてしまうことを防ぐ技術も存在する(従来法3)。しかし、この従来技術では、事前に、攻撃者がID情報とそのID情報を読み取った無線タグが取り付けられているものを示す情報とを関連つけたリストを生成しておき、この攻撃者が再度何処かでID情報を読み取った際、生成しておいたリストを用い、読み取ったID情報が如何なるものに対応するものを特定する攻撃(ホットリスト攻撃(hotlisting))を防ぐことはできない。なお、ホットリスト攻撃については、例えば、「D. Molnar, D. Wagner, "Privacy and Security in Library RFID Issues, Practices, and Architectures," the 11th ACM conference on Computer and communications security, Washington DC, pp.210-219, http://www.cs.berkeley.edu/~daw/papers/librfid-ccs04.pdf, 2004」等参照。 On the other hand, for example, only ID information corresponding to privacy information is stored in a wireless tag, and privacy information is stored in a database to prevent the privacy information from being directly read by a third party from the wireless tag. Technology also exists (conventional method 3). However, in this conventional technique, a list in which an attacker associates ID information with information indicating that a wireless tag that has read the ID information is attached is generated in advance, and the attacker again When the ID information is read somewhere, it is impossible to prevent an attack (hotlisting) that uses the generated list to identify what the read ID information corresponds to. It should be noted that, for the hot list attacks, for example, "D. Molnar, D. Wagner," Privacy and Security in Library RFID Issues, Practices, and Architectures, "the 11 th ACM conference on Computer and communications security, Washington DC, pp. 210-219, http://www.cs.berkeley.edu/~daw/papers/librfid-ccs04.pdf, 2004 ".
また、例えば、従来データベースに医療行為に関する情報(投薬であれば、患者名、病室番号、担当医・看護師名、薬品名・投与量、投与方法、投与時間等)を記録管理する場合、データベースからプライバシ情報が漏洩する恐れがある。例えば、従来法2の場合、データベースに記録された情報が漏洩すると、容易に分散された情報の関連付けができてしまうし、従来法3の場合には、データベースに記録された情報が漏洩した時点でプライバシ情報が特定されてしまう。
このような問題は、無線タグ技術を医療分野ヘ適用する場合にのみ生じる問題ではなく、異なる管理対象が相互に関連する処理の履歴を管理するシステムにおいて同様に発生する問題である。
Also, for example, in the case of recording and managing information related to medical practices in a conventional database (for medication, patient name, room number, name of doctor / nurse in charge, drug name / dose, administration method, administration time, etc.) Privacy information may leak. For example, in the case of the
Such a problem is not a problem that occurs only when the wireless tag technology is applied to the medical field, but a problem that similarly occurs in a system in which different management targets manage the history of processing related to each other.
本発明はこのような点に鑑みてなされたものであり、異なる管理対象が相互に関連する処理の履歴を管理するシステムにおいて、プライバシ情報の漏洩を防止することが可能な技術を提供することを目的とする。 This invention is made in view of such a point, and provides the technique which can prevent the leakage of privacy information in the system which manages the log | history of the process from which a different management object relates mutually. Objective.
本発明では上記課題を解決するために、第1管理対象を識別するための第1ID情報を秘匿化した第1秘匿化ID情報が格納された第1秘匿化IDメモリを具備する第1識別装置を、当該第1管理対象に取り付けておき、第2管理対象を識別するための第2ID情報、又は、当該第2ID情報を秘匿化した第2秘匿化ID情報を出力可能な第2識別装置を、当該第2管理対象に取り付けておく。ここで、第1秘匿化IDメモリに格納された第1秘匿化ID情報は、任意の設定条件によって定まる契機で、当該第1秘匿化ID情報との関連性を見出すことが困難な他の第1秘匿化ID情報に更新される。そして、第1管理対象と第2管理対象とが相互に関連する処理が行われた際、(a)読取端末装置の読取受信部が、第1識別装置の第1送信部から無線送信された第1秘匿化ID情報を受信する過程と、(b)読取端末装置の読取入力部が、第2識別装置から出力された第2ID情報又は第2秘匿化ID情報の入力を受け付ける過程と、(c)読取端末装置の読取情報送信部が、第1秘匿化ID情報又は当該第1秘匿化ID情報に対応する第1ID情報と、第2ID情報又は第2秘匿化ID情報とを関連付けた処理履歴情報を送信する過程と、(d)処理履歴情報に対応する、第1秘匿化ID情報又は第1ID情報と、第2ID情報又は第2秘匿化ID情報とを第1データベース装置に関連付けて格納する過程とを実行する。なお、「処理履歴情報」を構成する第2ID情報は、読取入力部に入力された第2ID情報であっても良いし、読取入力部に入力された第2秘匿化ID情報を復元することにより得られたものであってもよい。 In the present invention, in order to solve the above-described problem, a first identification device including a first concealed ID memory storing first concealed ID information in which the first ID information for identifying the first management target is concealed. Is attached to the first management target, and a second identification device capable of outputting the second ID information for identifying the second management target or the second concealed ID information concealing the second ID information is provided. And attached to the second management target. Here, the first concealment ID information stored in the first concealment ID memory is an opportunity determined by an arbitrary setting condition, and it is difficult to find the relevance with the first concealment ID information. Updated to 1 concealment ID information. And when the process in which the 1st management object and the 2nd management object were related mutually was performed, the reading reception part of the reading terminal device was wirelessly transmitted from the 1st transmission part of the 1st discriminating device. A process of receiving the first concealed ID information; and (b) a process in which the reading input unit of the reading terminal apparatus receives the input of the second ID information or the second concealed ID information output from the second identification apparatus; c) Processing history in which the reading information transmission unit of the reading terminal device associates the first ID information or the first ID information corresponding to the first ID information and the second ID information or the second ID information. A process of transmitting information; and (d) first confidential ID information or first ID information and second ID information or second confidential ID information corresponding to the processing history information are stored in association with the first database device. Execute the process. The second ID information constituting the “processing history information” may be the second ID information input to the reading input unit, or by restoring the second concealment ID information input to the reading input unit. It may be obtained.
ここで、第1秘匿化IDメモリに格納される第1秘匿化ID情報は、上述の契機で、当該第1秘匿化ID情報との関連性を見出すことが困難な他の第1秘匿化ID情報に更新される。そのため、攻撃者が、ある時点で第1識別装置から読み取った第1秘匿化ID情報と、当該第1識別装置が取り付けられた第1管理対象との関係をリスト化したとしても、このリストを用いた第1管理対象に対するホットリスト攻撃を行うことはできない。
また、本発明において、第2識別装置が、第2秘匿化ID情報を格納する第2秘匿化IDメモリと、当該第2秘匿化ID情報を無線送信する第2送信部とを具備し、読取入力部が、第2識別装置から無線送信された第2秘匿化ID情報を受信することとしてもよい。そして、この場合、第2秘匿化IDメモリに格納された第2秘匿化ID情報は、任意の設定条件によって定まる契機で、当該第2秘匿化ID情報との関連性を見出すことが困難な他の第2秘匿化ID情報に更新される。これにより、第1管理対象及び第2管理対象に対するホットリスト攻撃をより強固に防止することができる。
Here, the first concealment ID information stored in the first concealment ID memory is another first concealment ID for which it is difficult to find an association with the first concealment ID information due to the above-mentioned opportunity. Updated with information. Therefore, even if an attacker lists the relationship between the first concealment ID information read from the first identification device at a certain point in time and the first management target to which the first identification device is attached, A hot list attack cannot be performed on the used first management target.
In the present invention, the second identification device includes a second concealment ID memory that stores the second concealment ID information, and a second transmission unit that wirelessly transmits the second concealment ID information. The input unit may receive the second concealment ID information wirelessly transmitted from the second identification device. In this case, the second concealment ID information stored in the second concealment ID memory is difficult to find the relevance with the second concealment ID information at an opportunity determined by an arbitrary setting condition. To the second concealment ID information. Thereby, the hot list attack with respect to the 1st management object and the 2nd management object can be prevented more firmly.
また、本発明において、好ましくは、第1データベース装置は、処理履歴情報に対応する第1ID情報と第2秘匿化ID情報とを関連付けて格納して、第1ID情報を検索キーとしたデータベースを構築するか、或いは、処理履歴情報に対応する第1秘匿化ID情報と第2ID情報とを関連付けて格納して、第2ID情報を検索キーとしたデータベースを構築する。 In the present invention, it is preferable that the first database device stores the first ID information corresponding to the processing history information and the second concealment ID information in association with each other, and constructs a database using the first ID information as a search key. Alternatively, the first concealment ID information and the second ID information corresponding to the processing history information are stored in association with each other, and a database using the second ID information as a search key is constructed.
ここで、第1データベース装置では、第1ID情報及び第2ID情報の何れか一方を秘匿化したデータベースを構築する。そのため、第1データベース装置に格納された情報が漏洩しても、第1管理対象と第2管理対象とが相互に関連する処理の履歴が第三者に知られることはない。また、第1ID情報及び第2ID情報の何れか一方のみを秘匿化し、秘匿化されていないほうの情報を検索キーとしてデータベースを構築するため、データベースの検索処理を容易に行うことができる。すなわち、第1秘匿化ID情報と第2秘匿化ID情報とを関連付けてデータベースを構成してしまうと、検索キーとなる第1秘匿化ID情報と第2秘匿化ID情報から第1ID情報又は第2ID情報を逐一復元し、検索を行わなければならない。第1秘匿化ID情報と第2秘匿化ID情報とは、秘匿化され、なおかつ、上述のように更新される情報であるため、第1秘匿化ID情報又は第2秘匿化ID情報をそのままの状態で検索キーとして利用することはできないからである。 Here, in the first database device, a database in which one of the first ID information and the second ID information is concealed is constructed. Therefore, even if the information stored in the first database device leaks, the history of processing in which the first management target and the second management target are mutually related is not known to a third party. Further, since either one of the first ID information and the second ID information is concealed and the database is constructed using the information that is not concealed as a search key, the database search process can be easily performed. That is, if the database is configured by associating the first concealment ID information and the second concealment ID information, the first ID information or the second concealment ID information or the second concealment ID information is used as a search key. The 2ID information must be restored one by one and searched. Since the first concealment ID information and the second concealment ID information are information that is concealed and updated as described above, the first concealment ID information or the second concealment ID information is used as it is. This is because it cannot be used as a search key in the state.
ここで、より好ましくは、第1データベース装置が第1ID情報を検索キーとしたデータベースを構築する場合、処理履歴情報に対応する第1秘匿化ID情報と第2ID情報とを関連付けて格納して、第2ID情報を検索キーとしたデータベースを構築し、第1データベース装置が第2ID情報を検索キーとしたデータベースを構築する場合、処理履歴情報に対応する第1ID情報と第2秘匿化ID情報とを関連付けて格納して、第1ID情報を検索キーとしたデータベースを構築する、第2データベース装置をさらに有する。 Here, more preferably, when the first database device constructs a database using the first ID information as a search key, the first concealment ID information corresponding to the processing history information and the second ID information are stored in association with each other, When a database using the second ID information as a search key is constructed and the first database device constructs a database using the second ID information as a search key, the first ID information corresponding to the processing history information and the second concealed ID information are obtained. The apparatus further includes a second database device that stores the database in association with each other and constructs a database using the first ID information as a search key.
このように、検索キーとなるID情報が異なる2つのデータベースを設けた場合、第1ID情報と第2ID情報の何れか一方のみを知っていれば、第1管理対象と第2管理対象とが相互に関連する処理の履歴を検索することができる。また、第1データベースと第2データベースとの情報が漏洩しても、各処理に対応する第1ID情報及び第2ID情報の組合せの情報が漏洩することはない。 As described above, when two databases having different ID information serving as search keys are provided, if only one of the first ID information and the second ID information is known, the first management target and the second management target are mutually connected. It is possible to search the history of processing related to the. Moreover, even if information on the first database and the second database is leaked, information on a combination of the first ID information and the second ID information corresponding to each process will not be leaked.
本発明では、異なる管理対象が相互に関連する処理の履歴を管理するシステムにおいてプライバシ情報の漏洩を防止することができる。 According to the present invention, it is possible to prevent leakage of privacy information in a system that manages processing histories related to different management targets.
以下、本発明を実施するための最良の形態を図面を参照して説明する。
前述のように、本発明は、異なる管理対象が相互に関連する処理の履歴を管理するシステム一般に適用可能なものである。しかし、以下の各実施の形態では、説明の便宜上、医療行為処理の履歴を管理するシステムに本発明を適用した場合を例にとって説明する。すなわち、各実施の形態における「第1管理対象」は薬品等の「診断治療剤」であり、「第2管理対象」は「患者」であり、「異なる管理対象が相互に関連する処理」は、「診断治療剤」を用いた「患者」への投薬行為である。
The best mode for carrying out the present invention will be described below with reference to the drawings.
As described above, the present invention can be applied to a general system that manages the history of processes in which different management targets are related to each other. However, in the following embodiments, for convenience of explanation, a case where the present invention is applied to a system for managing a history of medical practice processing will be described as an example. That is, the “first management target” in each embodiment is a “diagnostic treatment agent” such as a drug, the “second management target” is “patient”, and the “process in which different management targets are related to each other” This is a medication action to a “patient” using a “diagnostic therapeutic agent”.
〔第1の実施の形態〕
次に、本発明における第1の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」を「バーコード提示部」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用し、投薬行為が行われた「診断治療剤」及び「患者」に対応する「診断治療剤ID情報」及び「患者ID情報」を関連付けた履歴情報をデータベース装置に格納する例である。なお、無線タグ装置については、例えば「EPC global, Inc.、”EPCglobal”、インターネット<http://www.epcglobalinc.org/>」等参照。
[First Embodiment]
Next, a first embodiment of the present invention will be described.
In this embodiment, the “first identification device” is “wireless tag device”, the “second identification device” is “barcode presentation unit”, the “first ID information” is “diagnostic treatment agent ID information”, and the “first identification device” The present invention is applied with “2 ID information” as “patient ID information”, and “diagnostic treatment agent information” and “patient” information corresponding to “diagnostic treatment agent” and “patient” in which the medication is performed are associated with each other. This is an example of storing history information in a database device. For the wireless tag device, see, for example, “EPC global, Inc.,“ EPCglobal ”, Internet <http://www.epcglobalinc.org/>”, etc.
<構成>
図1は、第1の実施の形態の情報管理システム100の全体構成を例示した概念図である。
図1に例示するように、本形態の情報管理システム100は、無線タグ装置110(「第1識別装置」に相当)と、バーコード提示部120(「第2識別装置」に相当)と、タグリーダライタ装置131(「読取受信部」に相当)と、バーコードリーダ装置132(「読取入力部」に相当)を具備する読取端末装置130と、セキュリティサーバ装置140、データベース装置150と、管理装置160とを有する。本形態の例の場合、無線タグ装置110は各診断治療剤4の容器に取り付けられ、バーコード提示部120はリストバンド2によって患者1に取り付けられる。また、各診断治療剤4は通常は薬棚5に収納され、患者1への投薬を行う際に患者1の近傍に運ばれる。また、読取端末装置130とセキュリティサーバ装置140とデータベース装置150と管理装置160とは、LAN(Local Area Network)等のネットワーク170を通じ、通信可能に構成されている。
<Configuration>
FIG. 1 is a conceptual diagram illustrating the overall configuration of the information management system 100 according to the first embodiment.
As illustrated in FIG. 1, the information management system 100 of the present embodiment includes a wireless tag device 110 (corresponding to a “first identification device”), a barcode presenting unit 120 (corresponding to a “second identification device”), A reading
図2は、第1の実施の形態における無線タグ装置110の構成を例示したブロック図である。
図2に例示するように、本形態の無線タグ装置110は、メモリ111(第1秘匿化IDメモリ)と、インタフェース112(「第1送信部」に相当)と、制御部113とを有している。ここで、メモリ111は、診断治療剤(「第1管理対象」に相当)を識別するための診断治療剤ID情報(「第1ID情報」に相当)を秘匿化した秘匿化診断治療剤ID情報111ba(「第1秘匿化ID情報」に相当)を格納する記憶領域111bと、秘匿化診断治療剤ID情報111baの生成や診断治療剤ID情報の復元に必要な秘密情報である「鍵」に対応する鍵ID情報111aaを格納する記憶領域111aとを有している。なお、メモリ111は、例えば、EEPROM(Electronically Erasable and Programmable Read Only Memory)、FeRAM(Ferroelectric Random Access Memory)、フラッシュメモリ、NV(Nonvolatile)RAM等の読み書き可能なメモリによって構成できる。また、インタフェース112は、例えば、符号化・復号化回路、変・復調回路、アンテナなどを有し、長波帯やISM帯(Industry Science Medical band)の周波数を用いて信号の送受信を行うハードウェアである。また、制御部113は、無線タグ装置110の処理を制御する集積回路等である。
FIG. 2 is a block diagram illustrating the configuration of the
As illustrated in FIG. 2, the
図3は、第1の実施の形態における読取端末装置130の構成を例示したブロック図である。
図3に例示するように、本形態の読取端末装置130は、タグリーダライタ装置131と、バーコードリーダ装置132と、CPU(Central Processing Unit)133と、ROM134と、RAM135と、液晶表示部等の表示部136と、ネットワークカード等の通信部137(「読取情報送信部」に相当)と、内部時計138と、これらを通信可能に接続するバス139とを有している。なお、RAM135に格納されるデータや、CPU133に読み込まれるデータの詳細については後述する。
FIG. 3 is a block diagram illustrating the configuration of the reading
As illustrated in FIG. 3, the reading
図4は、第1の実施の形態におけるセキュリティサーバ装置140の構成を例示したブロック図である。
図4に例示するように、本形態のセキュリティサーバ装置140は、CPU141と、RAM142と、ROM143と、ハードディスク装置等の外部記憶装置144と、通信部145と、これらを通信可能に接続するバス146とを有している。また、外部記憶装置144は、データの読み書きを行う読み書き部144aと各種データが格納される記憶部144bとを有している。なお、記憶部144bに格納されるデータや、CPU141に読み込まれるデータの詳細については後述する。
FIG. 4 is a block diagram illustrating the configuration of the
As illustrated in FIG. 4, the
図5は、第1の実施の形態におけるデータベース装置150の構成を例示したブロック図である。
図5に例示するように、本形態のデータベース装置150は、CPU151と、RAM152と、ROM153と、外部記憶装置154と、通信部155と、これらを通信可能に接続するバス156とを有している。また、外部記憶装置154は、データの読み書きを行う読み書き部154aと各種データが格納される記憶部154bとを有している。なお、記憶部154bに格納されるデータや、CPU151に読み込まれるデータの詳細については後述する。
FIG. 5 is a block diagram illustrating the configuration of the
As illustrated in FIG. 5, the
<処理>
次に、情報管理システム100の処理について説明する。
[前提・前処理]
患者1及び診断治療剤4には、それぞれを識別するための個別のIDが与えられており、それぞれ患者ID及び診断治療剤IDと呼ぶことにする。また、患者IDを特定するための情報を患者ID情報と呼び、診断治療剤IDを特定するための情報を診断治療剤ID情報と呼ぶことにする。各患者1と各診断治療剤IDとの対応関係、及び、各診断治療剤4と各診断治療剤ID情報との対応関係は、例えば、テーブルとして管理装置160内のメモリに格納される。
<Processing>
Next, processing of the information management system 100 will be described.
[Prerequisite / Preprocessing]
Individual IDs for identifying each of the
また、本形態の場合、各患者1にはそれそれリストバンド2を携帯させる。このリストバンド2には、それを携帯する患者1の患者ID情報を示すバーコードを表示するバーコード提示部120が取り付けられている。そして、このバーコードによって患者ID情報を出力する構成になっている。なお、本形態では、バーコードによって患者ID情報を出力する構成であるが、2次元バーコード表示や文字表示等によって患者ID情報を出力する構成であってもよい。また、患者ID情報を表示するバーコード等は、印刷等によって固定的に形成されたものであってもよいし、液晶ディスプレイ等を用いて表示内容を変更できるものであってもよい。また、リストバンド2を用いてバーコード提示部120を患者1に取り付けるのではなく、バーコード提示部120を付した名札を患者1に取り付けることとしてもよく、患者1のベッドにバーコード提示部120を取り付けてもよい。
In the case of this embodiment, each
また、本形態の場合、各診断治療剤4の容器には、それぞれ、無線タグ装置110が取り付けられる。無線タグ装置110のメモリ111の記憶領域111bには、その無線タグ装置110が取り付けられる診断治療剤4に対応する診断治療剤ID情報を秘匿化した秘匿化診断治療剤ID情報111bが格納される(図2参照)。ここで、秘匿化診断治療剤ID情報111bは、以下の性質をもつ情報である。
(性質1)所定の秘密情報を有する者のみが診断治療剤ID情報を復元でき、この秘密情報を有しないものは、秘匿化診断治療剤ID情報から診断治療剤ID情報を復元することは困難である。
(性質2)同一の診断治療剤ID情報に対し、複数種類の秘匿化診断治療剤ID情報を生成した場合、所定の秘密情報を有しない者は、生成された複数の秘匿化診断治療剤ID情報が、同一の診断治療剤ID情報に対応するか否かを判断することが困難である。
In the case of this embodiment, the
(Characteristic 1) Only those who have predetermined secret information can restore diagnostic therapeutic agent ID information, and those who do not have this secret information cannot easily restore diagnostic therapeutic agent ID information from concealed diagnostic therapeutic agent ID information. It is.
(Characteristic 2) When multiple types of concealed diagnostic therapeutic agent ID information are generated for the same diagnostic therapeutic agent ID information, those who do not have the predetermined secret information can generate a plurality of concealed diagnostic therapeutic agent IDs. It is difficult to determine whether the information corresponds to the same diagnostic / treatment agent ID information.
このような(性質1)及び(性質2)を満たす秘匿化診断治療剤ID情報111bの生成方法には特に制限はないが、例えば、参考文献1,2に記載された方法を用いることができる。
<参考文献1>特開2004−318478号公報
<参考文献2>木下真吾他,“ローコストRFIDプライバシ保護方法,”情報学論 vol.45,no.8
<参考文献3>Philippe Golle, Markus Jakobsson, Ari Juels, and Paul Syverson, "Universal re-encryption for mixnets," In Proceedings of the 2004 RSA Conference, Cryptographer's track, San Francisco, USA, February 2004.等参照)>
There is no particular limitation on the method for generating the concealed diagnostic therapeutic
<
<
本形態では、一例として、診断治療剤ID情報を暗号化したものを秘匿化診断治療剤ID情報111bとする。各診断治療剤ID情報の暗号化は、例えば、前処理において、セキュリティ装置が行う。そして本形態の場合、各診断治療剤ID情報の暗号化に用いた暗号鍵とそれぞれに対応する復号鍵とは、鍵ID情報に関連付けられ、セキュリティサーバ装置140の外部記憶装置144の記憶部144bに、鍵テーブル144baとして格納される(図4参照)。なお、鍵テーブル144baの情報は安全に管理され、病院関係者等、許可を得たもののみが読み出すことができるものとする。また、各無線タグ装置110のメモリ111の記憶領域111aには、それぞれの記憶領域111bに格納された秘匿化診断治療剤ID情報111bに対応する鍵ID情報111aaが格納される(図2参照)。
In this embodiment, as an example, encrypted diagnostic therapeutic agent ID information is referred to as concealed diagnostic therapeutic
その他の前処理として、読取端末装置130のRAM135には、タグリーダライタ装置131の処理を制御するための制御プログラム135aが格納される。具体的には、例えば、読取端末装置130を起動させた際に、ROM134からRAM135に制御プログラム135aが読み込まれる。また、セキュリティサーバ装置140の外部記憶装置144の記憶部144bには、秘匿化診断治療剤ID情報を再秘匿化(本形態の例では、再暗号化)するためのID情報再秘匿化プログラム144bbと、秘匿化診断治療剤ID情報から診断治療剤ID情報を復元(本形態の例では、復号)するためのID情報復元プログラム144bcと、セキュリティサーバ装置140の処理を制御するための制御プログラム144bdが格納される。さらに、データベース装置150の外部記憶装置154の記憶部154bには、データベース装置150の処理を制御するための制御プログラム154bbが格納される。
As other preprocessing, the
[投薬処理]
次に、投薬行為に伴う処理(「投薬処理」と呼ぶ)を説明する。
本形態の場合、担当医の医療指示(投薬日時、担当医、担当看護師、対象患者、病棟・病室・ベッド番号、投与薬品名、投薬量、投薬方法等の情報が含まれる)は、電子カルテとして管理装置160内のメモリに格納される。なお、電子カルテシステムについては、例えば、非特許文献2に記載されているものを用いる。
看護師は、患者に投薬行為を行う際、例えば、この管理装置160の画面に表示された医療指示に従い、投薬を行う診断治療剤4を薬棚5から取り出す。なお、このとき、タグリーダライタ装置131を用い、診断治療剤4に付随する無線タグ装置110に格納されている秘匿化診断治療剤ID情報111bを読み込み、取り出す診断治療剤が間違っていないかどうかチェックする構成であってもよい。
[Medication treatment]
Next, processing (referred to as “medicine processing”) associated with the medication action will be described.
In the case of this form, the medical instruction of the doctor in charge (including information such as medication date / time, doctor in charge, nurse in charge, target patient, ward / ward / bed number, medication name, dosage, dosage method, etc.) is electronic The medical record is stored in the memory in the
When a nurse performs a medication action on a patient, for example, according to a medical instruction displayed on the screen of the
この場合、例えば、読取端末装置130が、タグリーダライタ装置131を用い、秘匿化診断治療剤ID情報とそれに対応する診断治療剤ID情報とを無線タグ装置110のメモリ111から読み込む。読取端末装置130は、これらの秘匿化診断治療剤ID情報と診断治療剤ID情報とを、ネットワーク170を通じてセキュリティサーバ装置140に送信し、秘匿化診断治療剤ID情報の復号を依頼する。セキュリティサーバ装置140は、送られた診断治療剤IDに対応する復号鍵を記憶部144bの鍵テーブル144baから読み込み、それを用い、送られた秘匿化診断治療剤ID情報を復号して診断治療剤ID情報を生成し、ネットワーク170を通じて読取端末装置130に返信する(なお、秘匿化診断治療剤ID情報の復号処理は、後述の投薬処理後(ステップS5)にも行われる。秘匿化診断治療剤ID情報の復号処理の詳細は、その際に説明する。)。読取端末装置130は、さらに、ネットワーク170を通じて管理装置160から医療指示が示す投薬すべき診断治療剤に対応する診断治療剤ID情報を受信し、これらをセキュリティサーバ装置140から受け取った診断治療剤ID情報と比較する。そして、セキュリティサーバ装置140から受け取った診断治療剤ID情報が、管理装置160から受け取った診断治療剤ID情報に含まれなかった場合には、例えば、読取端末装置130の表示部136からエラー表示がなされる。これにより、看護師3は、薬棚5から取り出す診断治療剤が間違っていないかどうかチェックすることができる。
In this case, for example, the reading
また、この際、読取端末装置130が、ネットワーク170を通じ、セキュリティサーバ装置140に秘匿化診断治療剤ID情報の再秘匿化を依頼し、セキュリティサーバ装置140で、元の秘匿化診断治療剤ID情報との関連性を見出すことが困難な他の秘匿化診断治療剤ID情報に再秘匿化し、再秘匿化された秘匿化診断治療剤ID情報とそれに対応する鍵ID情報とを、該当する無線タグ装置110のメモリ111に上書き保存する構成であってもよい(なお、このような秘匿化診断治療剤ID情報の更新処理は、後述の投薬処理後にも行われる(後述のステップS9〜S12)。秘匿化診断治療剤ID情報の更新処理の詳細は、その際に説明する。)。これにより、攻撃者が、事前に、薬棚5に収納されている各診断治療剤4の容器に取り付けられた無線タグ装置110から秘匿化診断治療剤ID情報を読み取り、それらと、診断治療剤4の容器の表示から読み取った診断治療剤を特定する情報(診断治療剤名等)とからなるリストを生成し、そのリストを用いて診断治療剤に関する情報を権限無く取得するホットリスト攻撃を防止できる。なぜなら、投薬処理前に無線タグ装置110の秘匿化診断治療剤ID情報を更新することにより、患者1への診断治療剤4の投薬処理時には、事前に生成されたリストが役に立たなくなっている(秘匿化診断治療剤ID情報と診断治療剤との対応関係を示さない)からである。
At this time, the reading
次に、看護師3は、医療指示通りに投薬処理を行うため、上述のように薬棚5から取り出した各診断治療剤4をワゴン等に載せ、医療指示が示す患者のいるベッドまで持っていく。図6は、投薬時における情報管理システム100の処理を説明するためのシーケンス図である。以下、投薬時における情報管理システム100の処理を説明する。
まず、看護師3は、投薬に用いる診断治療剤4の近傍にタグリーダライタ装置131を配置した状態で読取端末装置130を操作し、読取端末装置130に読み取り指示を与える。これに対し、読取端末装置130は、制御プログラム135aが読み込まれたCPU133の制御のもと、タグリーダライタ装置131がID読取要求を出力する(ステップS1)。このID読取要求は、無線タグ装置110(投薬に用いる診断治療剤4の容器に取り付けられた無線タグ装置)のインタフェース112で受信される。ID読取要求を受信したことを検知した無線タグ装置110の制御部113は、メモリ111の記憶領域111a,111bにそれぞれ格納されている鍵ID情報111a及び秘匿化診断治療剤ID情報111baを読み出し、これらをインタフェース122から送信させる(ステップS2)。これらは、読取端末装置130のタグリーダライタ装置131で受信され、鍵ID情報135c及び秘匿化診断治療剤ID情報135dとしてRAM135に格納される。次に、看護師3がバーコードリーダ装置132を操作し、バーコードリーダ装置132が、投薬を行う患者1の取り付けられているバーコード提示部120から出力されたバーコード情報(「患者ID情報」に相当)を読み込む(ステップS3)。読み込まれた患者ID情報は、患者ID情報135eとしてRAM135に格納される。
Next, in order to perform the medication process according to the medical instruction, the
First, the
なお、投薬等の医療行為は、複数の患者に連続して行うことが多く、ワゴンには複数の患者向けに複数の診断治療剤が載ることが多々ある。よって患者の取り違え等の医療過誤を防ぐため、投薬直前にも秘匿化診断治療剤ID情報と患者ID情報とを医療指示と照合することが望ましい。具体的には、読取端末装置130が、秘匿化診断治療剤ID情報の復号をセキュリティサーバ装置140に実行させて診断治療剤ID情報を取得し、さらに、管理装置160から医療指示が示す診断治療剤ID情報、患者ID情報とを取得し、これらを比較することによって、投薬を行おうとする診断治療剤4と患者1とが医療指示に適合しているか否かを検証する。なお、秘匿化診断治療剤ID情報の復号をセキュリティサーバ装置140に実行させて診断治療剤ID情報を取得する処理については、後述のステップS4〜6で詳しく説明する。
A medical practice such as medication is often performed continuously for a plurality of patients, and a plurality of diagnostic and therapeutic agents are often placed on a wagon for a plurality of patients. Therefore, in order to prevent medical errors such as patient misunderstandings, it is desirable that the concealed diagnostic therapeutic agent ID information and the patient ID information are collated with medical instructions immediately before the medication. Specifically, the reading
投薬等の医療行為が終了した後、医療行為の履歴を記録するため、看護師3は読取端末装置130を操作し、医療行為の履歴のデータベース登録を行う旨の指示を与える。これに対し、制御プログラム135aが読み込まれたCPU133は、RAM135から、鍵ID情報135c及び秘匿化診断治療ID情報135dを読み込み、これらを通信部137からネットワーク170を介し、セキュリティサーバ装置140宛に送信し、秘匿化診断治療ID情報135dの復号を要求する(ステップS4)。この要求情報は、セキュリティサーバ装置140(図4)の通信部145で受信され、RAM142に格納される。次に、ID情報復元プログラム144bcが読み込まれたCPU141は、RAM142から鍵ID情報135cを読み込み、これを用い、外部記憶装置144の記憶部144bに格納された鍵テーブル144baを検索し、鍵ID情報135cに対応する復号鍵を読み出す。次に、このCPU141は、RAM142から読み出した秘匿化診断治療ID情報135dをこの復号鍵を用いて復号し、診断治療ID情報を得る(ステップS5)。得られた診断治療ID情報は、通信部145から読取端末装置130宛にネットワーク170を通じて送信される(ステップS6)。この診断治療ID情報は、読取端末装置130の通信部137で受信され、診断治療ID情報135fとしてRAM135に格納される。
After the medical action such as medication is completed, the
次に、制御プログラム135aが読み込まれたCPU133は、RAM135から読み出した患者ID情報135eと診断治療ID情報135fとを関連付けた処理履歴情報を生成する。なお、これらの情報に当該投薬行為に関連する情報(例えば、内部時計138から読み込んだ投薬日時やRAM135に格納しておいた担当看護師3の氏名等)を関連付けたものを処理履歴情報としてもよい。生成された処理履歴情報は、通信部137から、データベース装置150宛にネットワーク170を通じて送信される(ステップS7)。
Next, the
処理履歴情報は、データベース装置150の通信部155で受信され、RAM152に格納される。制御プログラム154bbが読み込まれたCPU151は、このRAM152に格納された処理履歴情報を、治療履歴データベース(DB)154baの1レコードとして、外部記憶装置154の記憶部154bに格納する(ステップS8)。図5の治療履歴DB154baは、「患者ID情報」と「秘匿化診断治療ID情報」と「担当看護師の氏名」と「投薬日時」とを処理履歴情報の要素とした場合の例であり、この処理履歴情報の各要素が、治療履歴DB154baのカラム「患者」「投与薬」「看護師」「投与日時」の各要素となっている。また「患者ID情報」を検索キーとする。なお、医療行為の記録を保持するデータベースには、医療指示と同様に投薬日時、担当医、担当看護師、対象患者、病棟・病室・ベッド番号、投与薬品名、投薬量、投薬方法等の情報を記録しておくことが望ましい。特に、投与薬品に関する情報についでは、投与した薬品に問題が発生した際の追跡調査に利用するため、薬品名だけでなく、製造ロット番号等の情報も記録しておく必要がある。ロット番号まで含めた細かな分類に対して診断治療剤ID情報を割り当てておくことにより、決め細かな情報管理が可能となる。本形態では、患者名や病棟番号等、患者に関する情報を患者ID情報に関連付け、薬品名や製造ロット番号等、診断治療剤に関する情報を診断治療剤ID情報に関連付けたテーブルを管理装置160に格納しておくことにより、このようなきめ細かな管理が可能となる。
The processing history information is received by the communication unit 155 of the
次に、読取端末装置130のRAM135に格納されている鍵ID情報135cと秘匿化診断治療剤ID情報135dとが、制御プログラム135aが読み込まれたCPU133によって読み込まれる。そして、このCPU133は、これらの情報を通信部137からネットワーク170を通じてセキュリティサーバ装置140に送信し、再秘匿化要求を行う(ステップS9)。これらの鍵ID情報135cと秘匿化診断治療剤ID情報135dは、セキュリティサーバ装置140の通信部145において受信され、RAM142に格納される。ID情報再秘匿化プログラム144bbが読み込まれたCPU141は、RAM142から鍵ID情報135cを読み込み、これと鍵テーブル144baの情報とを用い、秘匿化診断治療剤ID情報135dを再秘匿化した秘匿化診断治療剤ID情報を生成する(ステップS10)。なお、再秘匿化した秘匿化診断治療剤ID情報は、鍵テーブル144baの情報を用いない限り、元の秘匿化診断治療剤ID情報135dとの関連性を見出すことが困難な情報である。このような再秘匿化方法としては、秘匿化診断治療剤ID情報をElGamal暗号等の確率暗号の性質(同じ平文を暗号化して得られる暗号文同士の関連性が、復号化の権限を持たないものにはわからない性質)を持つ暗号文とし、当該秘匿化診断治療剤ID情報と、鍵テーブル144baから抽出した鍵ID情報135cに対応する暗号化鍵(公開鍵)とを用い、秘匿化診断治療剤ID情報を再暗号化する方法を例示できる(例えば、参考文献1〜3参照)。また、鍵テーブル144baから抽出した鍵ID情報135cに対応する復号鍵を用いて秘匿化診断治療剤ID情報を復号して診断治療剤ID情報を取得し、その後ランダムに新たな鍵ID情報を選択し、それに対応する暗号鍵で診断治療剤ID情報を暗号化したものを再暗号化された秘匿化診断治療剤ID情報としてもよい。
Next, the
再秘匿化した秘匿化診断治療剤ID情報は、それに対応する鍵ID情報とともに通信部145に送られ、そこからネットワーク170を介して、読取端末装置130に送信される(ステップS11)。これらの情報は、読取端末装置130の通信部137で受信されRAM135に格納される。次に、これらの再秘匿化した秘匿化診断治療剤ID情報と、それに対応する鍵ID情報とは、タグリーダライタ装置131に送られ、そこから元の秘匿化診断治療剤ID情報が格納されていた無線タグ装置110に送信される。再秘匿化した秘匿化診断治療剤ID情報と、それに対応する鍵ID情報とは、それぞれ、当該無線タグ装置110のインタフェース112で受信され、それぞれ、メモリ111の記憶領域111bと111aに上書き保存される。
The reconcealed concealment diagnostic therapeutic agent ID information is sent to the
これ以降、当該無線タグ装置110は、ID読取要求に対し、更新された新たな秘匿化診断治療剤ID情報を出力することになる。その結果、ホットリスト攻撃を行うために攻撃者が作成してあったリスト(秘匿化診断治療剤ID情報と診断医療剤名等とを関連付けたリスト)は、実際に無線タグ装置110から出力される秘匿化診断治療剤ID情報に対応しないものとなり、当該リストを用いてホットリスト攻撃を行うことができなくなる。
なお、使用した診断治療剤4やその容器をその後廃棄する場合には、再秘匿化した秘匿化診断治療剤ID情報を無線タグ装置110に格納するのではなく、復号された診断治療剤ID情報(RAM135に格納してあった診断治療剤ID情報135f)を無線タグ装置110に格納してもよい。この場合、セキュリティサーバ装置140を介すことなくローカルに無線タグ装置110から診断治療剤ID情報を取得できるため、診断治療剤ID情報を用い、廃棄物の分別やリサイクル等の処理を効率的に行うことができる。
Thereafter, the
When the used diagnostic
<その他の変形例>
本形態では、読取端末装置130が秘匿化診断治療剤ID情報をセキュリティサーバ装置140に送信し、秘匿化診断治療剤ID情報の再秘匿化を行っていた。しかし、読取端末装置130が秘匿化診断治療剤ID情報を復元した診断治療剤ID情報をセキュリティサーバ装置140に送信し、セキュリティサーバ装置140が診断治療剤ID情報を秘匿化し、それを再秘匿化された秘匿化診断治療剤ID情報として無線タグ装置110に格納する構成であってもよい。
<Other variations>
In this embodiment, the reading
例えば、前述のように、無線タグ装置110から読み出された秘匿化診断治療剤ID情報を用い、薬棚5から取り出された診断治療剤4が間違っていないか否かをチェックする場合、読み出された秘匿化診断治療剤ID情報を診断治療剤ID情報に復元しなければならない。この際得られた診断治療剤ID情報をセキュリティサーバ装置140に送信し、セキュリティサーバ装置140が診断治療剤ID情報を秘匿化し、それを再秘匿化された秘匿化診断治療剤ID情報として無線タグ装置110に格納してもよい。また、例えば、ステップS9において、読取端末装置130がセキュリティサーバ装置140に秘匿化診断治療剤ID情報を送信し、その再秘匿化を要求する代わりに、読取端末装置130がセキュリティサーバ装置140にステップS6で得られた診断治療剤ID情報を送信し、セキュリティサーバ装置140で診断治療剤ID情報を秘匿化し、それを再秘匿化された秘匿化診断治療剤ID情報としてもよい。さらには、例えば、何れかのタイミングでセキュリティサーバ装置140に秘匿化診断治療剤ID情報の復元を要求する際に、併せて、最秘匿化された秘匿化診断治療剤ID情報の生成をも要求する構成であってもよい。
For example, as described above, the concealment diagnostic therapeutic agent ID information read from the
また、診断治療剤4が薬棚5に収納されている間は、その診断治療剤4の容器に取り付けられた無線タグ装置110に秘匿化していない診断治療剤ID情報のみを格納しておく構成でもよい。この場合、看護師3が薬棚5から診断治療剤4を取り出す際に、タグリーダライタ装置131を用い、当該診断治療剤4の容器に取り付けられている無線タグ装置110から診断治療剤ID情報を読み取る。そして、読取端末装置130がこれをセキュリティサーバ装置140に送信してその秘匿化を要求し、セキュリティサーバ装置140おいて秘匿化された秘匿化診断治療剤ID情報とその鍵ID情報とを、タグリーダライタ装置131を用い、無線タグ装置110に格納する。逆に、看護師3が診断治療剤4を薬棚5にしまう際には、タグリーダライタ装置131を用い、当該診断治療剤4の容器に取り付けられている無線タグ装置110から秘匿化診断治療剤ID情報とその鍵ID情報とを読み取る。そして、読取端末装置130がこれをセキュリティサーバ装置140に送信してその復号を要求し、セキュリティサーバ装置140おいて復号された診断治療剤ID情報を、タグリーダライタ装置131を用い、無線タグ装置110に格納する。このような構成であってもよい。
Further, while the diagnostic
また、本形態では、バーコード提示部120に患者ID情報を示すバーコードを表示することとしたが、患者ID情報を秘匿化した秘匿化患者ID情報と、その鍵ID情報とを格納する構成であってもよい。この場合、バーコードリーダ装置132で読み込まれたこれらの情報は、セキュリティサーバ装置140に送られ、そこで秘匿化患者ID情報を患者ID情報に復元してから、投薬直前での医療指示との照合や、投薬後のデータベースへの履歴格納等を行う。
In this embodiment, the barcode indicating the patient ID information is displayed on the barcode presenting unit 120. However, the concealed patient ID information obtained by concealing the patient ID information and the key ID information are stored. It may be. In this case, these pieces of information read by the
〔第2の実施の形態〕
次に、本発明における第2の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」を「バーコード提示部」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用する点では第1の実施の形態と共通する。しかし、投薬行為が行われた「診断治療剤」及び「患者」に対応する「診断治療剤ID情報」及び「患者ID情報」を関連付けた履歴情報をそのままデータベース装置に格納するのではなく、「診断治療剤ID情報」を秘匿化した「診断治療剤ID情報(第1秘匿化ID情報)」と「患者ID情報(第2ID情報)」とを関連付け、患者ID情報を検索キーとしたデータベースを構築する点で、第1の実施の形態と相違する。以下では、第1の実施の形態との相違点を中心に説明し、第1の実施の形態と共通する事項については説明を省略する。
[Second Embodiment]
Next, a second embodiment of the present invention will be described.
In this embodiment, the “first identification device” is “wireless tag device”, the “second identification device” is “barcode presentation unit”, the “first ID information” is “diagnostic treatment agent ID information”, and the “first identification device” The point that the present invention is applied with “2 ID information” as “patient ID information” is common to the first embodiment. However, instead of storing the history information associating the “diagnostic therapeutic agent ID information” and “patient ID information” corresponding to the “diagnostic therapeutic agent” and “patient” in which the medication has been performed, A database in which “diagnostic agent ID information (first concealment ID information)” concealing “diagnostic agent ID information” and “patient ID information (second ID information)” are associated and patient ID information is used as a search key. It differs from the first embodiment in the point of construction. Below, it demonstrates centering around difference with 1st Embodiment, and abbreviate | omits description about the matter which is common in 1st Embodiment.
<構成>
本形態の情報管理システムは、第1の実施の形態の情報管理システム100のデータベース装置150を図7のデータベース装置250に置換したものである。なお、図7において、第1の実施の形態のデータベース装置150と共通する部分については、図5と同じ符号を付した。図7に示すように、本形態のデータベース装置250と、第1の実施の形態のデータベース装置150との相違点は治療履歴DBのデータ構成である。以下、このデータ構成に関連する処理を中心に説明し、その他は、第1の実施の形態と同様であるため説明を省略する。
<Configuration>
The information management system of this embodiment is obtained by replacing the
<処理>
図8は、投薬時における本形態の情報管理システムの処理を説明するためのシーケンス図である。以下、投薬時における情報管理システムの処理を説明する。
ステップS21からS23までの処理は、第1の実施の形態のステップS1からS3までの処理と同じである。しかし、その後、第1の実施の形態のように秘匿化診断治療剤IDの復元は行われない。すなわち、読取端末装置130は、無線タグ装置110から読み取った秘匿化診断治療剤ID情報と、バーコード提示部120から読み取った患者ID情報とを関連付けた情報(又は、さらにこれらの情報に当該投薬行為に関連する情報を関連付けた情報)を処理履歴情報とし、これをデータベース装置250に送信する(ステップS24)。この処理履歴情報は、データベース装置250の通信部155で受信され、RAM152に格納される。制御プログラム154bbが読み込まれたCPU151は、このRAM152に格納された処理履歴情報を、治療履歴DB254baの1レコードとして、外部記憶装置154の記憶部154bに格納する(ステップS25)。なお、図7の治療履歴DB154baは、「患者ID情報」と「秘匿化診断治療ID情報」と「担当看護師の氏名」と「投薬日時」とを処理履歴情報の要素とした場合の例であり、この処理履歴情報の各要素が、治療履歴DB254baのカラム「患者」「投与薬」「看護師」「投与日時」の各要素となっている。そして、「患者ID情報」が検索キーとなっている。すなわち、本形態の治療履歴DB254baは、投薬処理(「第1管理対象及び第2管理対象の双方に関連する処理の履歴を示す情報」に相当)を1レコードとし、当該投薬処理に用いた診断治療剤(「第1管理対象」)を識別するための診断治療剤ID情報(「第1ID情報」に相当)を秘匿化した秘匿化診断治療剤ID情報(「第1秘匿化ID情報」に相当)と、当該投薬がなされた患者(「第2管理対象」)を識別するための患者ID情報(「第2ID情報」)とを関連付け、患者ID情報を検索キーとして設定したデータベースである。
<Processing>
FIG. 8 is a sequence diagram for explaining processing of the information management system of this embodiment at the time of medication. Hereinafter, processing of the information management system at the time of medication will be described.
The process from step S21 to S23 is the same as the process from step S1 to S3 of the first embodiment. However, after that, the concealment diagnostic therapeutic agent ID is not restored as in the first embodiment. That is, the reading
このようなデータ構成とすることにより、たとえ、治療履歴DB254baが外部に漏洩し、さらに、患者ID情報と患者との対応や、診断治療剤ID情報と診断治療剤との対応が外部に知られたとしても、秘匿化診断治療剤ID情報を復元できない攻撃者は、診断治療剤ID情報を復元できないため、各レコードが示す医療行為を特定することができない。これにより、プライバシ保護が図れる。また、患者ID情報を秘匿化せずに治療履歴DB254baを構成し、患者ID情報を検索キーとすることにより、治療履歴DB254baの検索が容易となる。検索時に検索キーを復元する処理が不要だからである。 With such a data structure, even if the treatment history DB 254ba leaks to the outside, the correspondence between the patient ID information and the patient, and the correspondence between the diagnostic treatment agent ID information and the diagnostic treatment agent are known to the outside. Even so, an attacker who cannot restore the concealed diagnostic / therapeutic agent ID information cannot restore the diagnostic / therapeutic agent ID information, and thus cannot specify the medical practice indicated by each record. Thereby, privacy protection can be achieved. Further, the treatment history DB 254ba is configured without concealing the patient ID information, and the patient ID information is used as a search key, so that the treatment history DB 254ba can be easily searched. This is because there is no need to restore the search key during the search.
また、本形態でも第1の実施の形態のステップS9からS12と同じ処理が行われ(ステップS26からS29)、無線タグ装置110のメモリ111内の秘匿化診断治療剤ID情報が更新される。そして、本形態では、このように更新される秘匿化診断治療剤ID情報をそのまま治療履歴DB254baの要素としている。そのため、同じ診断治療剤に対応する秘匿化診断治療剤ID情報であっても、治療履歴DB254baには別の記号列が要素として記録される。そのため、たとえ治療履歴DB254baのデータが漏洩したとしても、秘匿化診断治療剤ID情報の同一性から患者の投薬傾向が推測されることもない。
Also in this embodiment, the same processing as steps S9 to S12 of the first embodiment is performed (steps S26 to S29), and the concealed diagnostic therapeutic agent ID information in the memory 111 of the
<その他の変形例>
また、本形態では、患者ID情報と秘匿化診断治療剤ID情報とを関連付けたものをレコードとし、患者ID情報を検索キーとする治療履歴DB254baを構築することとしたが、秘匿化患者ID情報と診断治療剤ID情報とを関連付けたものをレコードとし、診断治療剤ID情報を検索キーとする治療履歴DBを構築することとしてもよい。また、無線タグ装置110に格納された秘匿化診断治療剤ID情報をそのまま治療履歴DB254baの要素とするのではなく、別の秘匿化診断治療剤ID情報に再秘匿化してから治療履歴DB254baの要素としてもよい。さらに、この際の秘匿化方式として、確率暗号のような性質を持つ暗号を用いることによって、攻撃者が秘匿化されたデータ間の関連性を導き出すことについでも防ぐことができる。また、単純に、秘匿化患者ID情報と秘匿化診断治療剤ID情報とを関連付けたものをレコードした治療履歴DBを構築してもよいし、患者ID情報や診断治療剤ID情報以外の一部の要素を検索キーとするデータベースを構築してもよい。
<Other variations>
In this embodiment, the treatment history DB 254ba with the patient ID information associated with the concealed diagnostic therapeutic agent ID information as a record and the patient ID information as a search key is constructed. It is good also as constructing | assembling treatment history DB which uses as a search key the record which linked | related the diagnostic therapeutic agent ID information as a record, and uses diagnostic diagnostic agent ID information as a search key. Further, the concealed diagnostic therapeutic agent ID information stored in the
〔第3の実施の形態〕
次に、本発明における第3の実施の形態について説明する。
本形態は、「第1識別装置」を「無線タグ装置」とし、「第2識別装置」も「無線タグ装置」とし、「第1ID情報」を「診断治療剤ID情報」とし、「第2ID情報」を「患者ID情報」として本発明を適用する。そして、診断治療剤ID情報を検索キーとするデータベースと、患者ID情報を検索キーとするデータベースとを構築する。なお、以下では、これまで説明した各実施の形態との相違点を中心に説明する。
[Third Embodiment]
Next, a third embodiment of the present invention will be described.
In this embodiment, “first identification device” is “wireless tag device”, “second identification device” is also “wireless tag device”, “first ID information” is “diagnostic treatment agent ID information”, and “second ID” The present invention is applied with “information” as “patient ID information”. And the database which uses diagnostic therapeutic agent ID information as a search key, and the database which uses patient ID information as a search key are constructed | assembled. In the following description, differences from the embodiments described above will be mainly described.
<構成>
図9は、第3の実施の形態の情報管理システム300の全体構成を例示した概念図である。なお、以下において第1,2の実施の形態と共通する部分については、第1,2の実施の形態で用いたのと同じ符号を付した。
図9に例示するように、本形態の情報管理システム300は、無線タグ装置110(「第1識別装置」に相当)、無線タグ装置320(「第2識別装置」に相当)、タグリーダライタ装置131(「読取受信部」及び「読取入力部」に相当)を具備する読取端末装置330、セキュリティサーバ装置140、データベース装置350,450及び管理装置160を有する。本形態の例の場合、無線タグ装置110は各診断治療剤4の容器に取り付けられ、無線タグ装置320はリストバンド2によって患者1に取り付けられる。また、読取端末装置330とセキュリティサーバ装置140とデータベース装置350,450と管理装置160とは、LAN(Local Area Network)等のネットワーク170を通じ、通信可能に構成されている。
<Configuration>
FIG. 9 is a conceptual diagram illustrating the overall configuration of the information management system 300 according to the third embodiment. In the following description, the same reference numerals as those used in the first and second embodiments are assigned to portions common to the first and second embodiments.
As illustrated in FIG. 9, the information management system 300 of this embodiment includes a wireless tag device 110 (corresponding to “first identification device”), a wireless tag device 320 (corresponding to “second identification device”), and a tag reader / writer device. A reading
図10(a)は、第3の実施の形態における無線タグ装置320の構成を例示したブロック図である。
図10(a)に例示するように、本形態の無線タグ装置320は、メモリ321(第2秘匿化IDメモリ)と、インタフェース322(「第2送信部」に相当)と、制御部323とを有している。
FIG. 10A is a block diagram illustrating the configuration of the
As illustrated in FIG. 10A, the
図11は、第3の実施の形態における読取端末装置330の構成を例示したブロック図である。
図11に例示するように、本形態の読取端末装置330は、タグリーダライタ装置131と、CPU133と、ROM134と、RAM135と、液晶表示部等の表示部136と、通信部137(「読取情報送信部」に相当)と、内部時計138と、これらを通信可能に接続するバス139とを有している。なお、RAM135に格納されるデータや、CPU133に読み込まれるデータの詳細については後述する。
FIG. 11 is a block diagram illustrating the configuration of the reading
As illustrated in FIG. 11, the reading
図12は、第3の実施の形態におけるデータベース装置350の構成を例示したブロック図である。
図12に例示するように、本形態のデータベース装置350は、CPU351と、RAM352と、ROM353と、外部記憶装置354と、通信部355と、これらを通信可能に接続するバス356とを有している。また、外部記憶装置354は、データの読み書きを行う読み書き部354aと各種データが格納される記憶部354bとを有している。なお、記憶部354bに格納されるデータや、CPU351に読み込まれるデータの詳細については後述する。
FIG. 12 is a block diagram illustrating a configuration of the
As illustrated in FIG. 12, the
図13は、第3の実施の形態におけるデータベース装置450の構成を例示したブロック図である。
図13に例示するように、本形態のデータベース装置450は、CPU451と、RAM452と、ROM453と、外部記憶装置454と、通信部455と、これらを通信可能に接続するバス456とを有している。また、外部記憶装置454は、データの読み書きを行う読み書き部454aと各種データが格納される記憶部454bとを有している。なお、記憶部454bに格納されるデータや、CPU451に読み込まれるデータの詳細については後述する。
FIG. 13 is a block diagram illustrating the configuration of the
As illustrated in FIG. 13, the
<処理>
[前処理]
前処理として、無線タグ装置320のメモリ321に、無線タグ装置320を取り付ける患者1の患者ID情報321aを格納しておく。また、読取端末装置330のRAM135に、読取端末装置330を制御するための制御プログラム135aと、暗号化を行うための暗号化プログラム335eと、そのための暗号鍵335fとを格納しておく。また、データベース装置350の外部記憶装置354の記憶部354bに、データベース装置350の処理を制御するための制御プログラム354bbと、読取端末装置330に格納された暗号鍵に対応する復号鍵354bdと、復号鍵354bdを用いて暗号文を復号するための復号プログラム354beとを格納しておく。さらに、データベース装置450の外部記憶装置454の記憶部454bに、データベース装置450の処理を制御するための制御プログラム454bbを格納しておく。なお、無線タグ装置110及びセキュリティサーバ装置140の前処理は、第1の実施の形態と同様である。
<Processing>
[Preprocessing]
As preprocessing, the
[投薬処理]
次に、本形態の投薬処理を説明する。図14,15は、投薬時における情報管理システム300の処理を説明するためのシーケンス図である。なお、看護師3が薬棚5から取り出した各診断治療剤4をワゴン等に載せ、医療指示が示す患者のいるベッドまで持っていくところまでは、第1の実施の形態と同じであるため説明を省略する。以下、投薬時における情報管理システム300の処理を説明する。
まず、看護師3は、投薬に用いる診断治療剤4及び投薬を行う患者1にそれぞれ取り付けられた無線タグ装置110,320の近傍にタグリーダライタ装置131を配置した状態で読取端末装置330を操作し、読取端末装置330に読み取り指示を与える。これに対し、読取端末装置330は、制御プログラム135aが読み込まれたCPU133の制御のもと、タグリーダライタ装置331がID読取要求を出力する(ステップS41)。このID読取要求は、無線タグ装置110(投薬に用いる診断治療剤4の容器に取り付けられた無線タグ装置)のインタフェース112、及び、無線タグ装置320(投薬を行おうとする患者1に取り付けられた無線タグ装置)のインタフェース322で受信される。ID読取要求を受信したことを検知した無線タグ装置110の制御部113は、メモリ111の記憶領域111a,111bにそれぞれ格納されている鍵ID情報111a及び秘匿化診断治療剤ID情報111baを読み出し、これらをインタフェース122から送信させる(ステップS42)。また、ID読取要求を受信したことを検知した無線タグ装置320の制御部323は、メモリ321に格納されている患者ID情報321aを読み出し、これをインタフェース322から送信させる(ステップS43)。これらは、読取端末装置330のタグリーダライタ装置131で受信され、鍵ID情報135c、秘匿化診断治療剤ID情報135d及び患者ID情報135eとしてRAM135に格納される。その後、第1の実施の形態と同様に、患者の取り違え等の医療過誤を防ぐため、好ましくは、投薬直前にも秘匿化診断治療剤ID情報と患者ID情報とを医療指示と照合する。
[Medication treatment]
Next, the medication process of this embodiment will be described. 14 and 15 are sequence diagrams for explaining processing of the information management system 300 at the time of medication. It is the same as in the first embodiment until the
First, the
そして、投薬等の医療行為が終了した後、医療行為の履歴を記録するため、看護師3は読取端末装置330を操作し、医療行為の履歴のデータベース登録を行う旨の指示を与える。これに対し、暗号化プログラム335eが読み込まれたCPU133は、RAM335から患者ID情報135eと暗号鍵335fとを読み込み、暗号鍵335fを用いて患者ID情報135eを暗号化した暗号化患者ID情報335gを生成し、RAM335に格納する(ステップS44)。
Then, after the medical action such as medication is completed, the
次に、制御プログラム135aが読み込まれたCPU133は、RAM335から読み込んだ鍵ID情報135cと秘匿化診断治療剤ID情報135dと暗号化患者ID情報355gとを関連付けた処理履歴情報を生成する。なお、これらの情報に当該投薬行為に関連する情報(例えば、内部時計138から読み込んだ投薬日時やRAM135に格納しておいた担当看護師3の氏名等)を関連付けたものを処理履歴情報としてもよい。
生成された処理履歴情報は、通信部137から、データベース装置350,450宛にネットワーク170を通じて送信される(ステップS45)。
Next, the
The generated processing history information is transmitted from the
データベース装置350に送信された処理履歴情報は、通信部355で受信され、RAM352に格納される。復号プログラム354beが読み込まれたCPU351は、記憶部354bから読み込んだ復号鍵354bdを用い、RAM352に格納された処理履歴情報が具備する暗号化患者ID情報を復号して患者ID情報を生成する。生成された患者ID情報はRAM352に格納される(ステップS46)。次に、制御プログラム154bbが読み込まれたCPU351は、このRAM352に格納された患者ID情報と、処理履歴情報を構成する情報とを関連付けた情報を、治療履歴データベース(DB)354baの1レコードとし、外部記憶装置354の記憶部354bに格納する(ステップS47)。なお、図12の例では、「患者ID情報」と「秘匿化診断治療ID情報」と「担当看護師の氏名」と「投薬日時」とを、カラム「患者」「投与薬」「看護師」「投与日時」の各要素とし、「患者ID情報」を検索キーとする。
The processing history information transmitted to the
データベース装置450に送信された処理履歴情報は、通信部455で受信され、RAM452に格納される。次に、制御プログラム454bbが読み込まれたCPU451は、RAM452から、処理履歴情報を構成する鍵ID情報及び秘匿化診断治療ID情報を読み込み、これらを通信部455からネットワーク170を介し、セキュリティサーバ装置140宛に送信し、秘匿化診断治療ID情報の復号を要求する(ステップS48)。
The processing history information transmitted to the
この要求情報は、セキュリティサーバ装置140(図4)の通信部145で受信され、RAM142に格納される。次に、ID情報復元プログラム144bcが読み込まれたCPU141は、RAM142から鍵ID情報135cを読み込み、これを用い、外部記憶装置144の記憶部144bに格納された鍵テーブル144baを検索し、鍵ID情報135cに対応する復号鍵を読み出す。次に、このCPU141は、RAM142から読み出した秘匿化診断治療ID情報135dをこの復号鍵を用いて復号し、診断治療ID情報を得る(ステップS49)。得られた診断治療ID情報は、通信部145から読取端末装置330宛にネットワーク170を通じて送信される(ステップS50)。
This request information is received by the
この診断治療ID情報は、データベース装置450の通信部455で受信され、RAM452に格納される。そして、制御プログラム454bbが読み込まれたCPU451は、このRAM452に格納された診断治療ID情報と、処理履歴情報を構成する暗号化患者ID情報等とを関連付けたものを治療履歴DB454baの1レコードとして、外部記憶装置454の記憶部454bに格納する(ステップS51)。なお、図13の例では、「診断治療ID情報」「暗号化患者ID情報」「看護師名」「投薬日時」を、カラム「患者」「投与薬」「看護師」「投与日時」の各要素とし、診断治療ID情報を検索キーとしている。
その後、本形態でも第1の実施の形態のステップS9からS12と同じ処理が行われ(ステップS52からS55)、無線タグ装置110のメモリ111内の秘匿化診断治療剤ID情報が更新される。
This diagnostic treatment ID information is received by the communication unit 455 of the
Thereafter, also in this embodiment, the same processing as steps S9 to S12 of the first embodiment is performed (steps S52 to S55), and the concealed diagnostic therapeutic agent ID information in the memory 111 of the
以上のように、本形態では、処理履歴を、平文の患者ID情報を検索キーとし、診断治療剤ID情報を秘匿化した治療履歴DB354ba(データベース装置350に格納)と、平文の診断治療剤ID情報を検索キーとし、患者ID情報を暗号化した治療履歴DB454ba(データベース装置450に格納)とを分散生成することとした。これにより、何れかのデータベースを用いれば、患者ID情報及び診断治療剤IDの何れを検索条件としても容易に処理履歴を検索することができる。さらに、何れのデータベースの情報が漏洩しても、復号鍵を知らない第三者は、各投薬処理に対応する患者ID情報と診断治療剤ID情報との組合せも知ることができない。これにより、データベース検索時の利便性と、プライバシ保護の向上との両立を図ることができる。 As described above, in the present embodiment, the processing history is treated as a search key using plain text patient ID information, and the treatment history DB 354ba (stored in the database device 350) in which the diagnostic treatment ID information is concealed, and the plain text diagnostic treatment ID. The treatment history DB 454ba (stored in the database device 450) in which the information is used as a search key and the patient ID information is encrypted is distributedly generated. Thereby, if any database is used, a process history can be easily searched regardless of any of patient ID information and diagnostic therapeutic agent ID as a search condition. Furthermore, even if information in any database leaks, a third party who does not know the decryption key cannot know the combination of the patient ID information and the diagnostic treatment ID information corresponding to each medication process. As a result, it is possible to achieve both convenience in database search and improvement in privacy protection.
なお、読取端末装置330によって行われる患者ID情報の暗号化は、確率暗号の性質を持つ暗号化方式を用いて行われることが望ましい。これにより、同じ患者ID情報に対し、異なる暗号化患者ID情報を生成することが可能となる。その結果、データベース装置450の治療履歴DB454aが外部に漏洩したとしても、暗号化患者ID情報の復号鍵を知らない第三者は、治療履歴DB454aから同一の患者ID情報に対応する複数のレコードの関連性を見出すことが困難となる。
Note that the encryption of the patient ID information performed by the reading
〔第3の実施の形態の変形例〕
次に、第3の実施の形態の変形例について説明する。この変形例では、患者1に取り付けられる無線タグ装置320に秘匿化患者ID情報を格納するものである。以下、第3の実施の形態との相違点を中心に説明する。
<構成>
無線タグ装置320以外の構成は、第3の実施の形態と同じである。以下では、本変形例の無線タグ装置320の構成のみを説明する。
図10(b)は、第3の実施の形態の変形例における無線タグ装置320の構成を例示したブロック図である。前述した図10(a)の構成との相違点は、メモリ321に患者ID情報321aを格納するのではなく、それを秘匿化した秘匿化患者ID情報321baを記憶領域321bに格納し、その秘匿化に用いた鍵ID情報321aaを記憶領域321aに格納する。その他は、図10(a)の構成と同様である。なお、これらの情報のメモリ321への格納は、前処理によって行われる。また、無線タグ装置110の場合と同様、秘匿化患者ID情報321baの秘匿化に用いた暗号鍵と、それに対応する鍵ID情報及び復号鍵は、セキュリティサーバ装置140の鍵テーブル144baに格納される。
[Modification of Third Embodiment]
Next, a modification of the third embodiment will be described. In this modification, concealment patient ID information is stored in the
<Configuration>
The configuration other than the
FIG. 10B is a block diagram illustrating the configuration of the
<処理>
次に、本形態の投薬処理を説明する。図16,17は、投薬時における本変形例の情報管理システムの処理を説明するためのシーケンス図である。なお、看護師3が薬棚5から取り出した各診断治療剤4をワゴン等に載せ、医療指示が示す患者のいるベッドまで持っていくところまでは、第1の実施の形態と同じであるため説明を省略する。以下、投薬時における本変形例の情報管理システムの処理を説明する。
<Processing>
Next, the medication process of this embodiment will be described. 16 and 17 are sequence diagrams for explaining the processing of the information management system of the present modification example at the time of medication. It is the same as in the first embodiment until the
まず、看護師3は、投薬に用いる診断治療剤4及び投薬を行う患者1にそれぞれ取り付けられた無線タグ装置110,320の近傍にタグリーダライタ装置131を配置した状態で読取端末装置330を操作し、読取端末装置330に読み取り指示を与える。これに対し、読取端末装置330は、制御プログラム135aが読み込まれたCPU133の制御のもと、タグリーダライタ装置331がID読取要求を出力する(ステップS61)。このID読取要求は、無線タグ装置110(投薬に用いる診断治療剤4の容器に取り付けられた無線タグ装置)のインタフェース112、及び、無線タグ装置320(投薬を行おうとする患者1に取り付けられた無線タグ装置)のインタフェース322で受信される。ID読取要求を受信したことを検知した無線タグ装置110の制御部113は、メモリ111の記憶領域111a,111bにそれぞれ格納されている鍵ID情報111a及び秘匿化診断治療剤ID情報111baを読み出し、これらをインタフェース122から送信させる(ステップS62)。また、ID読取要求を受信したことを検知した無線タグ装置320の制御部323は、メモリ321に格納されている鍵ID情報321aa及び秘匿化患者ID情報321baを読み出し、これらをインタフェース322から送信させる(ステップS63)。これらの鍵ID情報111a及び秘匿化診断治療剤ID情報111baと、鍵ID情報321aa及び秘匿化患者ID情報321baとは、読取端末装置330のタグリーダライタ装置131で受信されRAM135に格納される。その後、第1の実施の形態と同様に、患者の取り違え等の医療過誤を防ぐため、好ましくは、投薬直前にも秘匿化診断治療剤ID情報と患者ID情報とを医療指示と照合する。
First, the
そして、投薬等の医療行為が終了した後、医療行為の履歴を記録するため、看護師3は読取端末装置330を操作し、医療行為の履歴のデータベース登録を行う旨の指示を与える。これに対し、暗号化プログラム335eが読み込まれたCPU133は、RAM335から、鍵ID情報111a及び秘匿化診断治療剤ID情報111baと、鍵ID情報321aa及び秘匿化患者ID情報321baとを読み込み、これらを関連付けた処理履歴情報を生成する。なお、これらの情報に当該投薬行為に関連する情報(例えば、内部時計138から読み込んだ投薬日時やRAM135に格納しておいた担当看護師3の氏名等)を関連付けたものを処理履歴情報としてもよい。生成された処理履歴情報は、読取端末装置330の通信部137から、データベース装置350,450宛にネットワーク170を通じて送信される(ステップS64)。
Then, after the medical action such as medication is completed, the
データベース装置350に送信された処理履歴情報は、通信部355で受信され、RAM352に格納される。次に、制御プログラム354bbが読み込まれたCPU351は、RAM352から、処理履歴情報を構成する鍵ID情報321aa及び秘匿化患者ID情報321baを読み込み、これらを通信部355からネットワーク170を介し、セキュリティサーバ装置140宛に送信し、秘匿化患者ID情報321baの復号を要求する(ステップS65)。
The processing history information transmitted to the
この要求情報は、セキュリティサーバ装置140(図4)の通信部145で受信され、RAM142に格納される。次に、ID情報復元プログラム144bcが読み込まれたCPU141は、RAM142から鍵ID情報321aaを読み込み、これを用い、外部記憶装置144の記憶部144bに格納された鍵テーブル144baを検索し、鍵ID情報135cに対応する復号鍵を読み出す。次に、このCPU141は、RAM142から読み出した秘匿化患者ID情報321baをこの復号鍵を用いて復号し、患者ID情報を得る(ステップS66)。得られた患者ID情報は、通信部145から読取端末装置330宛にネットワーク170を通じて送信される(ステップS67)。
This request information is received by the
この患者ID情報は、データベース装置350の通信部355で受信され、RAM352に格納される。そして、制御プログラム354bbが読み込まれたCPU351は、このRAM352に格納された患者ID情報と、処理履歴情報を構成する秘匿化診断治療剤ID情報等とを関連付けたものを治療履歴DB354baの1レコードとして、外部記憶装置354の記憶部354bに格納する(ステップS68)。
また、処理履歴情報が送信されたデータベース装置450は、第3の実施の形態のステップS48からS51と同様な処理により、診断治療ID情報と、処理履歴情報を構成する秘匿化患者ID情報等とを関連付けたものを治療履歴DB454baの1レコードとして、外部記憶装置454の記憶部454bに格納する(ステップS69からS72)。
This patient ID information is received by the communication unit 355 of the
Further, the
その後、本形態でも第1の実施の形態のステップS9からS12と同じ処理が行われ(ステップS73からS75)、無線タグ装置110のメモリ111内の秘匿化診断治療剤ID情報が更新される。さらに、ステップS9からS12と同様な処理により、秘匿化患者ID情報の再秘匿化も行われ、再秘匿化された秘匿化患者ID情報と、それに対応する鍵ID情報とが、無線タグ装置320のメモリ321の記憶領域321b,321aにそれぞれ上書きされる(ステップS76)。
Thereafter, also in this embodiment, the same processing as steps S9 to S12 of the first embodiment is performed (steps S73 to S75), and the concealed diagnostic therapeutic agent ID information in the memory 111 of the
このように、無線タグ装置320に格納される秘匿化患者ID情報をも再秘匿化することにより、ホットリスト攻撃に対する耐性がより向上する。また、本変形例では、更新される秘匿化診断治療剤ID情報や秘匿化患者ID情報をそのままデータベース装置350,450に構築される治療履歴DB354a,454aの要素として用いた。ここで、復号鍵を知らない第三者は、更新前後の秘匿化診断治療剤ID情報や秘匿化患者ID情報の関係を見出すことが困難である。そのため、治療履歴DB354a,454aの情報が外部に漏洩したとしても、秘匿化診断治療剤ID情報や秘匿化患者ID情報の復号鍵を知らない第三者は、治療履歴DB354a,454aの情報から、同一の患者ID情報に対応する複数のレコードの関連性や、同一の診断治療剤ID情報に対応する複数のレコードの関連性を見出すことはできない。これにより、プライバシの漏洩を防止できる。その他、第3の実施の形態と同様な効果も得られる。
In this way, by concealing the concealed patient ID information stored in the
〔変形例等〕
なお、本発明は上述の実施の形態に限定されるものではない。
例えば、上述の各実施の形態では、再暗号化によって秘匿化診断治療剤ID情報や秘匿化患者ID情報の再秘匿化を行った。しかし、無線タグ装置から秘匿化診断治療剤ID情報や秘匿化患者ID情報が出力されるたびに、ハッシュ・チェイン(Hash-Chain)方式によって秘匿化診断治療剤ID情報や秘匿化患者ID情報の秘匿化や再秘匿化を行ってもよい。ハッシュ・チェイン方式の場合には、無線タグ装置から秘匿化診断治療剤ID情報(或いは秘匿化患者ID情報)が出力されるたびに、各無線タグ装置によって秘匿化診断治療剤ID情報(或いは秘匿化患者ID情報)が更新される。なお、ハッシュ・チェイン方式については、例えば、M. Ohkubo et al., "Cryptographic Approach to a Privacy Friendly Tag," RFID Privacy Workshop@MIT, http://www.rfidprivacy.org/papers/ohokubo.pdf, 2003等に詳しい。
[Modifications, etc.]
The present invention is not limited to the embodiment described above.
For example, in each of the above-described embodiments, the concealment diagnostic therapeutic agent ID information and the concealment patient ID information are reconcealed by re-encryption. However, every time concealed diagnostic therapeutic agent ID information or concealed patient ID information is output from the wireless tag device, the concealed diagnostic therapeutic agent ID information or the concealed patient ID information is stored in a hash chain method. Concealment or re-concealment may be performed. In the case of the hash chain method, every time the confidential diagnosis therapeutic agent ID information (or concealed patient ID information) is output from the wireless tag device, the confidential diagnosis therapeutic agent ID information (or confidential information) is output by each wireless tag device. Updated patient ID information). For the hash chain method, see, for example, M. Ohkubo et al., “Cryptographic Approach to a Privacy Friendly Tag,” RFID Privacy Workshop @ MIT, http://www.rfidprivacy.org/papers/ohokubo.pdf, It is familiar with 2003 etc.
また、暗号化やハッシュ・チェイン方式以外の方法によって各IDの秘匿化・再秘匿化を行ってもよい。例えば、診断治療剤ID情報や患者ID情報に対応付けた乱数を秘匿化診断治療剤ID情報や秘匿化患者ID情報とし、その対応関係を変更することで再秘匿化を行う構成であってもよい。 Further, each ID may be concealed and re-concealed by a method other than encryption or a hash chain method. For example, a random number associated with diagnostic therapeutic agent ID information or patient ID information is used as concealed diagnostic therapeutic agent ID information or concealed patient ID information, and re-concealment is performed by changing the correspondence. Good.
各実施の形態では、「異なる管理対象が相互に関連する処理」の一例として「ある患者にある診断治療剤を投薬する医療行為」に対し、本発明を適用することとしたが、異なる管理対象が相互に関連する処理の履歴を管理する用途であれば、どのような用途に本発明を適用してもよい。また、第1管理対象と第2管理対象とは、「人」と「物」、「人」と「人」、「物」と「人」、「物」と「物」のいずれの組合せであってもよい。また、「識別装置」としては、無線タグ装置やバーコード提示部の他、ICカード、携帯電話、磁気カード等を利用することも可能である。
また、再秘匿化を行うタイミングや処理の順序等、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。その他、上述した各実施の形態や変形例を適宜組み合わせてシステムを構成してもよい。
In each embodiment, the present invention is applied to “medical practice of administering a diagnostic therapeutic agent in a patient” as an example of “a process in which different management targets are related to each other”. The present invention may be applied to any application as long as it is an application for managing the history of processes related to each other. The first management target and the second management target are any combination of “person” and “thing”, “person” and “person”, “thing” and “person”, and “thing” and “thing”. There may be. Further, as the “identification device”, an IC card, a mobile phone, a magnetic card, or the like can be used in addition to the wireless tag device and the bar code presentation unit.
In addition, it goes without saying that the timing of re-concealment and the order of processing can be appropriately changed without departing from the spirit of the present invention. In addition, the system may be configured by appropriately combining the above-described embodiments and modifications.
また、読取端末装置、セキュリティサーバ装置、データベース装置の処理内容を記述したプログラムは、それぞれ、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよいが、具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。 The programs describing the processing contents of the reading terminal device, the security server device, and the database device can be recorded on a computer-readable recording medium. The computer-readable recording medium may be any medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, or a semiconductor memory. Specifically, for example, the magnetic recording device may be a hard disk device or a flexible Discs, magnetic tapes, etc. as optical disks, DVD (Digital Versatile Disc), DVD-RAM (Random Access Memory), CD-ROM (Compact Disc Read Only Memory), CD-R (Recordable) / RW (ReWritable), etc. As the magneto-optical recording medium, MO (Magneto-Optical disc) or the like can be used, and as the semiconductor memory, EEP-ROM (Electronically Erasable and Programmable-Read Only Memory) or the like can be used.
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。 A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。 In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.
本発明の利用分野としては、上述のような医療分野での医療管理システムへの適用の他、例えば、製造工程における半製品の管理や、レンタルビデオの管理システム等を例示できる。 As a field of use of the present invention, in addition to the application to the medical management system in the medical field as described above, for example, the management of semi-finished products in the manufacturing process, the management system of rental video, and the like can be exemplified.
100,300 情報管理システム 100,300 Information management system
Claims (3)
第1管理対象を識別するための第1ID情報を秘匿化した第1秘匿化ID情報を格納する第1秘匿化IDメモリと、当該第1秘匿化ID情報を無線送信する第1送信部とを具備し、当該第1管理対象に取り付けられる第1識別装置と、
第2管理対象を識別するための第2ID情報、又は、当該第2ID情報を秘匿化した第2秘匿化ID情報を出力可能であり、当該第2管理対象に取り付けられる第2識別装置と、
上記第1識別装置から無線送信された上記第1秘匿化ID情報を受信する読取受信部と、上記第2識別装置から出力された上記第2ID情報又は上記第2秘匿化ID情報が入力される読取入力部と、上記第1秘匿化ID情報と上記第2ID情報又は上記第2秘匿化ID情報とを関連付けた処理履歴情報を送信する読取情報送信部と、を具備する読取端末装置と、
上記処理履歴情報に対応する上記第1秘匿化ID情報を、当該第1秘匿化ID情報との関連性を見出すことが困難な新たな第1秘匿化ID情報に更新した後、当該新たな第1秘匿化ID情報と上記処理履歴情報に対応する上記第2ID情報とを関連付けて格納して、上記第2ID情報を検索キーとしたデータベースを構築する第1データベース装置と、を有し、
上記第1秘匿化IDメモリに格納された上記第1秘匿化ID情報は、
任意の設定条件によって定まる契機で、当該第1秘匿化ID情報との関連性を見出すことが困難な他の第1秘匿化ID情報に更新される、
ことを特徴とする情報管理システム。 An information management system for managing a history of processes related to different management targets,
A first concealment ID memory for storing the first concealment ID information in which the first ID information for identifying the first management target is concealed; and a first transmission unit for wirelessly transmitting the first concealment ID information. And a first identification device attached to the first management target,
Second ID information for identifying the second management target or second concealment ID information concealing the second ID information can be output, and a second identification device attached to the second management target;
A reading and receiving unit that receives the first concealment ID information wirelessly transmitted from the first identification device, and the second ID information or the second concealment ID information output from the second identification device are input. a reading input unit, and the first privileged ID information and reading terminal comprising a a reading information transmitting unit transmits the process history information associated with the above-described first 2ID information or the second concealed ID information device,
On SL first concealed ID information corresponding to the processing history information, after updating to the first privileged ID information and the first privileged ID information that a new difficulty is to find the relevance, the new stored in association with the first 2ID information corresponding to the first concealed ID information and the processing history information, a first and a database apparatus for constructing a database that the search key the first 2ID information, and
The first concealment ID information stored in the first concealment ID memory is:
Updated to other first concealment ID information that is difficult to find the relevance with the first concealment ID information at an opportunity determined by an arbitrary setting condition;
An information management system characterized by that.
上記第2識別装置は、
上記第2秘匿化ID情報を格納する第2秘匿化IDメモリと、当該第2秘匿化ID情報を無線送信する第2送信部とを具備し、
上記読取入力部は、
上記第2識別装置から無線送信された上記第2秘匿化ID情報を受信し、
上記第2秘匿化IDメモリに格納された上記第2秘匿化ID情報は、
任意の設定条件によって定まる契機で、当該第2秘匿化ID情報との関連性を見出すことが困難な他の第2秘匿化ID情報に更新され、
当該情報管理システムは、
上記処理履歴情報に対応する上記第2秘匿化ID情報を、当該第2秘匿化ID情報との関連性を見出すことが困難な新たな第2秘匿化ID情報に更新した後、上記処理履歴情報に対応する上記第1ID情報と当該新たな第2秘匿化ID情報とを関連付けて格納して、上記第1ID情報を検索キーとしたデータベースを構築する、第2データベース装置をさらに有する、
ことを特徴とする情報管理システム。 The information management system according to claim 1,
The second identification device is
A second concealment ID memory for storing the second concealment ID information; and a second transmission unit for wirelessly transmitting the second concealment ID information,
The reading input unit is
Receiving the second concealment ID information wirelessly transmitted from the second identification device;
The second concealed ID information stored in the second concealed ID memory is
It is updated to other second concealment ID information that is difficult to find the relevance with the second concealment ID information at an opportunity determined by an arbitrary setting condition ,
The information management system
After updating the second concealed ID information corresponding to the process history information to new second concealed ID information that is difficult to find the relevance with the second concealed ID information, the process history information Further comprising a second database device that associates and stores the first ID information corresponding to the new second concealed ID information and constructs a database using the first ID information as a search key.
An information management system characterized by that.
第1管理対象を識別するための第1ID情報を秘匿化した第1秘匿化ID情報が格納された第1秘匿化IDメモリを具備する第1識別装置を、当該第1管理対象に取り付けておき、
第2管理対象を識別するための第2ID情報、又は、当該第2ID情報を秘匿化した第2秘匿化ID情報を出力可能な第2識別装置を、当該第2管理対象に取り付けておき、
上記第1秘匿化IDメモリに格納された上記第1秘匿化ID情報は、任意の設定条件によって定まる契機で、当該第1秘匿化ID情報との関連性を見出すことが困難な他の第1秘匿化ID情報に更新され、
上記第1管理対象と上記第2管理対象とが相互に関連する処理が行われた際、
上記第1識別装置の第1送信部が、上記第1秘匿化ID情報を無線送信する過程と、
上記第2識別装置の第2送信部が、上記第2ID情報又は上記第2秘匿化ID情報を無線送信する過程と、
上記読取端末装置の読取受信部が、上記第1識別装置の上記第1送信部から無線送信された上記第1秘匿化ID情報を受信する過程と、
上記読取端末装置の読取入力部が、上記第2識別装置の上記第2送信部から出力された上記第2ID情報又は上記第2秘匿化ID情報の入力を受け付ける過程と、
上記読取端末装置の読取情報送信部が、上記第1秘匿化ID情報と上記第2ID情報又は上記第2秘匿化ID情報とを関連付けた処理履歴情報を送信する過程と、
上記第1データベース装置の読み書き部が、上記処理履歴情報に対応する上記第1秘匿化ID情報を、当該第1秘匿化ID情報との関連性を見出すことが困難な新たな第1秘匿化ID情報に更新した後、当該新たな第1秘匿化ID情報と上記処理履歴情報に対応する上記第2ID情報とを関連付けて上記第1データベース装置の記憶部に格納して、上記第2ID情報を検索キーとしたデータベースを構築する過程と、を実行する、
ことを特徴とする情報管理方法。 An information management method that is executed in an information management system having a first identification device, a second identification device, a reading terminal device, and a first database device, and that manages the history of processes related to different management targets,
A first identification device including a first concealed ID memory storing first concealed ID information in which the first ID information for identifying the first management target is concealed is attached to the first management target. ,
A second identification device for identifying the second management object or a second identification device capable of outputting the second concealed ID information concealing the second ID information is attached to the second management object,
The first concealment ID information stored in the first concealment ID memory is another time when it is difficult to find the relevance with the first concealment ID information when triggered by an arbitrary setting condition. Updated to concealment ID information,
When a process in which the first management target and the second management target are related to each other is performed,
A process in which the first transmitter of the first identification device wirelessly transmits the first concealed ID information;
A process in which the second transmission unit of the second identification device wirelessly transmits the second ID information or the second concealed ID information;
Reading receiver of the reading terminal device, the method comprising: receiving a wireless transmitted the first privileged ID information from the first transmission portion of the first identification device,
Reading input portion of the upper Symbol reading terminal device, the method comprising receiving an input of the second identification device of the above output from the second transmitting unit the 2ID information or the second concealed ID information,
A step of reading information transmitting section of the upper Symbol reading terminal device transmits the process history information that associates with the first privileged ID information and the second 2ID information or the second concealed ID information,
Reading section of the first database device, the processing on the Symbol first concealed ID information corresponding to the history information, the first privileged ID information to the first concealment it is difficult new finding relevance After updating to the ID information, the new first concealed ID information and the second ID information corresponding to the processing history information are associated with each other and stored in the storage unit of the first database device , and the second ID information is stored. The process of building a database as a search key is executed.
An information management method characterized by that.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006141301A JP4773878B2 (en) | 2006-05-22 | 2006-05-22 | Information management system and information management method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006141301A JP4773878B2 (en) | 2006-05-22 | 2006-05-22 | Information management system and information management method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007310779A JP2007310779A (en) | 2007-11-29 |
| JP4773878B2 true JP4773878B2 (en) | 2011-09-14 |
Family
ID=38843552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006141301A Expired - Fee Related JP4773878B2 (en) | 2006-05-22 | 2006-05-22 | Information management system and information management method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4773878B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6196565B2 (en) * | 2014-02-26 | 2017-09-13 | 東芝テック株式会社 | Drug registration device and program |
| US20200160959A1 (en) * | 2017-05-12 | 2020-05-21 | Yuyama Mfg. Co., Ltd. | Drug dispensing device, control program for drug dispensing device, and recording medium with recorded control program |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004246887A (en) * | 2003-01-24 | 2004-09-02 | Sougoushouken Inc | Merchandise identification system |
| JP2006048259A (en) * | 2004-08-03 | 2006-02-16 | Olympus Corp | Hospital information system and program |
| JP2006119732A (en) * | 2004-10-19 | 2006-05-11 | Nippon Telegr & Teleph Corp <Ntt> | Lending management system and lending management program |
| JP2006126930A (en) * | 2004-10-26 | 2006-05-18 | I'llb Solutions Co Ltd | Administration circumstance monitoring system and information processor |
-
2006
- 2006-05-22 JP JP2006141301A patent/JP4773878B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007310779A (en) | 2007-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10949558B2 (en) | Secure access to healthcare information | |
| TW510997B (en) | Privacy and security method and system for a world-wide-web site | |
| US6131090A (en) | Method and system for providing controlled access to information stored on a portable recording medium | |
| JP4896054B2 (en) | Personal information management device, personal information management program, and personal information management system | |
| JP4747749B2 (en) | Document management system and information processing apparatus | |
| Gonçalves et al. | Security architecture for mobile e-health applications in medication control | |
| JPWO2004025530A1 (en) | Medical information management system | |
| US20070180259A1 (en) | Secure Personal Medical Process | |
| KR20140029984A (en) | Medical information management method of medical database operating system | |
| US20100332260A1 (en) | Personal record system with centralized data storage and distributed record generation and access | |
| US20140156988A1 (en) | Medical emergency-response data management mechanism on wide-area distributed medical information network | |
| US20060271482A1 (en) | Method, server and program for secure data exchange | |
| Özcanhan et al. | Cryptographically supported NFC tags in medication for better inpatient safety | |
| JP2001325372A (en) | System, method, and program for sharing health care data | |
| JPH09282393A (en) | Cooperation method for health insurance medical care card and on-line data base | |
| US20100114781A1 (en) | Personal record system with centralized data storage and distributed record generation and access | |
| KR20200134744A (en) | Method and system for accessing information of medical treatment for patients | |
| JP4773878B2 (en) | Information management system and information management method | |
| US20080084998A1 (en) | Encryption key management device and encryption key management method | |
| JP2002032473A (en) | System and program storage medium for medical information processing | |
| EP4035095A1 (en) | Utilizing a user's health data stored over a health care network for disease prevention | |
| JP2003005645A (en) | Method, system and apparatus encrypting, apparatus for decrypting and computer program | |
| JP4521514B2 (en) | Medical information distribution system, information access control method thereof, and computer program | |
| JP2007179500A (en) | System and program for generation of anonymous identification information | |
| JP2000293603A (en) | Area medical information system and electronic patient card |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080804 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110214 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110222 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110422 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110614 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110624 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140701 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |