JP4896054B2 - Personal information management device, personal information management program, and personal information management system - Google Patents

Personal information management device, personal information management program, and personal information management system Download PDF

Info

Publication number
JP4896054B2
JP4896054B2 JP2008056518A JP2008056518A JP4896054B2 JP 4896054 B2 JP4896054 B2 JP 4896054B2 JP 2008056518 A JP2008056518 A JP 2008056518A JP 2008056518 A JP2008056518 A JP 2008056518A JP 4896054 B2 JP4896054 B2 JP 4896054B2
Authority
JP
Japan
Prior art keywords
personal information
key
information management
file
subject
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008056518A
Other languages
Japanese (ja)
Other versions
JP2009213064A (en
Inventor
建平 劉
Original Assignee
イートライアル株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by イートライアル株式会社 filed Critical イートライアル株式会社
Priority to JP2008056518A priority Critical patent/JP4896054B2/en
Publication of JP2009213064A publication Critical patent/JP2009213064A/en
Application granted granted Critical
Publication of JP4896054B2 publication Critical patent/JP4896054B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、個人情報を取扱う事業者の施設において、当該個人情報を管理するために用いられる個人情報管理装置,コンピュータをかかる個人情報管理装置として機能させる個人情報管理プログラム,および個人情報管理装置及びサーバ装置からなる個人情報管理システムに、関する。   The present invention relates to a personal information management device used for managing personal information in a facility of a business operator handling personal information, a personal information management program that causes a computer to function as the personal information management device, and a personal information management device. The present invention relates to a personal information management system composed of server devices.

個人情報は、様々な事業者において収集されて利用されているが、憲法13条の保障するプライバシー権にかかわる重要な情報であるために、その取り扱いには厳重な注意が必要であり、特に、個人情報が外部に流出することは避けなければならない。そこで、我が国は、近年、個人情報の保護に関する法律を制定し、個人情報取扱事業者(同法第2条第3項)に対して、個人情報の利用目的の通知等(同法18条),本人の同意無き第三者への個人データ提供の禁止(同法23条)等の義務を、課している。   Personal information is collected and used by various business operators, but since it is important information related to the privacy rights guaranteed by Article 13 of the Constitution, its handling requires strict attention. Personal information should not be leaked outside. Therefore, in recent years, Japan has enacted a law concerning the protection of personal information, and notifies personal information usage purposes (Article 2, Paragraph 3 of the Act) of the purpose of using personal information (Article 18 of the Act). , Imposes obligations such as prohibition of provision of personal data to third parties without consent (Article 23).

従って、個人情報取扱事業者は、管理している個人情報を本人の同意無く外部に開示したり、漏洩せぬように、個人情報の漏洩防止措置を講じなければならない(同法第20条)。
特開2004−30143号公報 Accordingly, a business operator handling personal information must take measures to prevent the leakage of personal information so that the personal information it manages is not disclosed or leaked without the consent of the individual (Article 20 of the Act). .
JP 2004-30143 A

ところが、当該施設において個人情報にアクセスする全ての職員が同法の規定内容を理解して、これを遵守する意思を有していれば、かかる個人情報の漏洩防止措置としては簡単な仕組みのものでも足りるが、現実には、全職員にそれを期待することには無理がある。だからといって、個人情報の漏洩防止措置を強化して、例えば、暗号化手段によって更新の都度鍵を用いて個人情報を暗号化するとともに、閲覧の間だけ復号化してディスプレイ表示するように構成してしまうと、(1)個人情報管理装置のシステムダウン等の原因に因り暗号化された個人情報が破損していた場合に、平文のまま個人情報を保管する場合に比べてもなお個人情報の復旧が困難となる問題,並びに、(2)必ずしも情報処理の専門家でない職員によって不適切な管理がなされた結果として暗号化された個人情報を格納した個人情報ファイルと鍵とが一緒に漏洩される可能性があるので、その結果として外部において個人情報が復号化されてしまう問題がある。   However, if all employees who access personal information at the facility understand the contents of the law and are willing to comply with the provisions of the law, the personal information leakage prevention measures are simple. However, in reality, it is impossible to expect that from all staff. However, the personal information leakage prevention measure is strengthened, for example, the encryption unit encrypts the personal information using the key every time it is updated, and decrypts it only during browsing and displays it on the display. (1) If the encrypted personal information is damaged due to a system down of the personal information management device, the personal information can still be recovered compared to storing the personal information in plain text. Difficult problems, and (2) Personal information files containing encrypted personal information and keys may be leaked together as a result of inappropriate management by personnel who are not necessarily information processing specialists Therefore, there is a problem that personal information is decrypted outside as a result.

そこで、本発明の課題は、個人情報を取り扱う施設に設置された個人情報管理装置(個人情報管理用のコンピュータ)において、個人情報ファイルに格納されるべき個人情報を更新する都度暗号化することにより個人情報の保護を図るとともに、暗号化された個人情報を格納した個人情報ファイルを、復号化できぬ態様で当該個人情報管理装置(個人情報管理用のコンピュータ)外に退避させることによって、当該個人情報管理装置(個人情報管理用のコンピュータ)のシステムダウン等に因るデータ喪失の危険を回避することとする。   Accordingly, an object of the present invention is to encrypt each time the personal information to be stored in the personal information file is updated in a personal information management apparatus (a computer for personal information management) installed in a facility that handles personal information. By protecting personal information and saving the personal information file storing the encrypted personal information outside the personal information management device (computer for personal information management) in a manner that cannot be decrypted, The risk of data loss due to system down of the information management apparatus (personal information management computer) is avoided.

上述した課題を解決するための本発明による個人情報管理装置及び個人情報管理プログラムを実行するコンピュータは、鍵を発行する鍵発行手段と、入力装置を通じて入力される情報に従って、個人情報ファイルに格納すべき個人情報の更新を行う個人情報更新手段と、個人情報更新手段による個人情報に対する更新を行った後に、鍵発行手段によって発行された鍵を用いて、個人情報を暗号化する暗号化手段と、当該暗号化手段によって暗号化された個人情報を格納した個人情報ファイルを通信装置を用いてサーバ装置にアップロードするアップロード手段と、入力装置を通じて入力される情報に従って、サーバ装置から、個人情報ファイルをダウンロードするダウンロード手段と、サーバ装置から所定のマスターキーをダウンロードするマスターキーダウンロード手段と、鍵発行手段によって発行された鍵をマスターキーを用いて暗号化する鍵暗号化手段と、鍵暗号化手段によって暗号化された鍵を記憶装置に保存する鍵保存手段と、記憶装置に保存されている鍵を取り出し、マスターキーを用いて復号化する鍵復号化手段と、鍵復号化手段によって復号化された鍵を用いて、ダウンロード手段によってダウンロードされた個人情報ファイル中の暗号化された個人情報を復号化する復号化手段と、復号化手段によって復号化された個人情報の内容を出力する出力装置とを、備える
A computer that executes a personal information management apparatus and a personal information management program according to the present invention for solving the above-described problems is stored in a personal information file in accordance with key issuing means for issuing a key and information input through the input apparatus. Personal information updating means for updating the personal information, and encryption means for encrypting the personal information using the key issued by the key issuing means after updating the personal information by the personal information updating means, The personal information file storing the personal information encrypted by the encryption means is uploaded to the server device using the communication device, and the personal information file is downloaded from the server device according to the information input through the input device. Download means to download and a predetermined master key from the server device Star key download means, key encryption means for encrypting the key issued by the key issuing means using the master key, key storage means for storing the key encrypted by the key encryption means in the storage device, The key stored in the storage device is taken out and decrypted using the master key, and the key decrypted by the key decrypting unit is used to download the personal information file downloaded by the downloading unit. Decryption means for decrypting the encrypted personal information, and an output device for outputting the contents of the personal information decrypted by the decryption means .

以上のように機能することにより、個人情報ファイルは、個人情報管理装置(コンピュータ)において個人情報の更新(追加、変更等)を行う場合のみ、サーバ装置からダウンロードされ、そこに格納された個人情報が、当該個人情報管理装置(コンピュータ)内で発行された暗号化用の鍵を復号化用の鍵として用いて復号化され、更新後に、再度上記暗号化用の鍵を用いて暗号化されて、個人情報ファイルに格納されてサーバ装置にアップロードされる。従って、常時には、平文の個人情報は個人情報管理装置(コンピュータ)内に存在していないので、当該個人情報管理装置(コンピュータ)が設置された施設内であっても、アクセス権限の無い者やアクセス制限があっても適正な手順を踏まない者は、個人情報の内容を盗み見ることができない。また、個人情報は、暗号化されて個人情報ファイルに格納された状態でサーバ装置にアップロードされて保管され、個人情報管理装置(コンピュータ)において当該個人情報にアクセスする必要が生じる毎に、サーバ装置から個人情報管理装置(コンピュータ)へダウンロードされて、使用される。従って、個人情報管理装置(コンピュータ)においてシステムダウン等の障害が発生したとしても、個人情報が失われてしまうことを防止することができる。なお、サーバ装置にアップロードされている個人情報ファイル中の個人情報を復号化するための鍵は、アップロード元の個人
情報管理装置(コンピュータ)内にのみ存在し、サーバ装置内には存在しない。従って、サーバ措置において当該個人情報ファイル中の個人情報にアクセスしようとしても復号化することができない。以上のように、個人情報の内容を見るには、個人情報管理装置(コンピュータ)において復号化用の鍵を用いて復号する以外にないので、個人情報の保護強化を図ることができる。
By functioning as described above, the personal information file is downloaded from the server device and stored in the personal information file only when the personal information is updated (added, changed, etc.) in the personal information management device (computer). but be decoded have use the key of the personal information managing apparatus for encryption issued in (computer) as the key for decrypt, updated in, is encrypted using a key for re the encrypted And stored in the personal information file and uploaded to the server device. Accordingly, since the plaintext personal information does not always exist in the personal information management device (computer), even in the facility where the personal information management device (computer) is installed, Even if there are access restrictions, those who do not follow proper procedures cannot steal the contents of personal information. The personal information is uploaded and stored in the server device in a state where it is encrypted and stored in the personal information file, and each time the personal information management device (computer) needs to access the personal information, the server device Downloaded to a personal information management device (computer) and used. Therefore, even if a failure such as a system failure occurs in the personal information management apparatus (computer), it is possible to prevent the personal information from being lost. The key for decrypting the personal information in the personal information file uploaded to the server device exists only in the uploading personal information management device (computer), and does not exist in the server device. Therefore, even if it is attempted to access the personal information in the personal information file in the server measure, it cannot be decrypted. As described above, since the contents of the personal information can be viewed only by using the decryption key in the personal information management apparatus (computer), the protection of the personal information can be enhanced.

また、本発明によれば、個人情報管理装置(コンピュータ)において、鍵が不正に使用されて個人情報が不正に復号化されてしまうことを、防止することができる。
 Further , according to the present invention , it is possible to prevent the personal information from being decrypted illegally by using the key illegally in the personal information management apparatus (computer).

さらに、正式なアクセス権限を有する操作者が個人情報管理装置(コンピュータ)を操作してサーバ装置にアクセスしなければ、マスターキーをダウンロードすることができないので、個人情報の保護を更に強化することができる。 Furthermore, if access to the server operator has a formal access rights by operating the personal information management apparatus (a computer), it is not possible to download the master key further to strengthen the protection of personal information Can do.

以上のように構成された本発明によると、個人情報ファイルに格納されるべき個人情報を更新する都度暗号化することにより個人情報の保護を図ることができるとともに、暗号化された個人情報を格納した個人情報ファイルを、復号化できぬ態様で当該個人情報管理装置(個人情報管理用のコンピュータ)外に退避させることによって、当該個人情報管理
装置(個人情報管理用のコンピュータ)のシステムダウン等に因るデータ喪失の危険を回避することができる。 According to the present invention configured as described above, it is possible to protect personal information by encrypting it every time the personal information to be stored in the personal information file is updated, and to store the encrypted personal information. The personal information file is saved outside the personal information management device (personal information management computer) in a manner that cannot be decrypted, so that the system of the personal information management device (personal information management computer) is down. Therefore, the risk of data loss can be avoided.

1.以下、図面に基づいて、本発明による個人情報管理システムの実施の形態であるコンピュータネットワークの実施形態を、説明する。なお、以下の実施形態は、かかる個人情報管理装置及び個人情報管理システムが、製薬会社等の治験依頼者からの依頼に従って多数の医療機関が参加して行われる治験(臨床試験)によって得られる臨床データをデータセンターに集約するために、EDC(Electronic Data Capture)システムと併用される
例である。 1. Hereinafter, an embodiment of a computer network which is an embodiment of a personal information management system according to the present invention will be described with reference to the drawings. In the following embodiments, the personal information management apparatus and the personal information management system are clinically obtained by clinical trials in which a large number of medical institutions participate in accordance with requests from clinical trial clients such as pharmaceutical companies. This is an example used together with an EDC (Electronic Data Capture) system in order to aggregate data in a data center.

即ち、治験に参加する医療機関(以下、「試験参加施設」という)においては、治験依頼者から渡された治験計画書に従って、被験者が選択・特定され、特定された被験者に対して、指定された治験対象の処置(薬品投与,施術,等)が実施されるとともに、その処置の前後において夫々検査や問診が行われて被験者の状態が記録される。そこで、試験参加施設には、個人情報管理システムが動作する端末が設置され、かかる被験者毎の処置の実施記録及び検査や問診の記録(以下、「臨床データ」という)が、それら被験者の個人情報(氏名,イニシャル等)とともにデータベース(被験者個人情報データベース)に保存して管理されている。   In other words, in a medical institution participating in a clinical trial (hereinafter referred to as “study participation facility”), subjects are selected and specified according to the clinical trial plan delivered from the sponsor, and designated for the specified subject. In addition, the treatment (medicine administration, treatment, etc.) of the subject of the trial is performed, and the state of the subject is recorded by performing examinations and interviews before and after the treatment. Therefore, a terminal on which a personal information management system operates is installed in the study participating facility, and the execution records of such treatments for each subject and the records of examinations and interviews (hereinafter referred to as “clinical data”) are the personal information of those subjects. (Name, initial, etc.) are stored and managed in a database (subject personal information database).

なお、試験参加施設においても、各被験者の臨床データは、各被験者毎に一意に割り当てられた識別番号(被験者識別ID)によって識別されるのであるが、これに加えて各被験者の個人情報たる氏名をも臨床データに対応付けられているのは、被験者に対するコミュニケーションは、被験者の氏名に基づいて行わざるを得ないからである。また、当該試験参加施設内で使用されている限りは、被験者の個人情報の通常の使用目的範囲内であると合理的に判断できるからである。   In addition, in the study participating facility, clinical data of each subject is identified by an identification number (subject identification ID) uniquely assigned to each subject, but in addition to this, the name as personal information of each subject Is also associated with clinical data because communication with the subject must be performed based on the name of the subject. Moreover, as long as it is used in the test participating facility, it can be reasonably determined that the subject's personal information is within the normal intended purpose range.

このようにして被験者個人情報データベースに蓄積された臨床データは、EDCシステムを用いてデータセンターに収集され、データセンター内において、様々な視点から集計及び解析がなされる。この集計・解析に際しては、各被験者の性別,身体的特徴がパラメータとして用いられるが、データ集計・解析は客観的になされるので、特定の個人と結びつけるための個人情報はそもそも必要がない。従って、個人情報をデータセンターに通知することは、通常の使用目的外であるといえる。そのため、EDCシステムを通じて各医療機関からデータセンターへ送信される臨床データには、各被験者の個人情報は含まれていない。   The clinical data accumulated in the subject personal information database in this way is collected in the data center using the EDC system, and is aggregated and analyzed from various viewpoints in the data center. In this tabulation / analysis, the gender and physical characteristics of each subject are used as parameters, but since the data tabulation / analysis is performed objectively, personal information for linking with a specific individual is not necessary in the first place. Accordingly, it can be said that notifying the data center of personal information is outside the normal purpose of use. Therefore, the clinical data transmitted from each medical institution to the data center through the EDC system does not include personal information of each subject.

なお、個人情報管理システムは、データセンターに設置されているサーバ装置と連動して運用することも可能であるし、ローカルに運用することも可能である。前者の場合には、個人情報管理システムとEDCシステムとを連動させて、個人情報管理システムによって管理されている治験データを、必要なデータを自動抽出してデータセンターへ送信することが可能となる。   The personal information management system can be operated in conjunction with a server apparatus installed in the data center, or can be operated locally. In the former case, it becomes possible to link the personal information management system and the EDC system, automatically extract necessary data from the clinical trial data managed by the personal information management system, and transmit it to the data center. .

2.システム構成
図1は、本発明の実施の形態であるコンピュータネットワークの概略構成を示すブロック図である。この図1に示されているように、このコンピュータネットワークは、インターネット,専用線等の広域ネットワークNを通じて相互に接続可能に構築された臨床試験データセンター側のシステム1と、各試験参加施設側のシステム2とから、構成されている。 2. System Configuration FIG. 1 is a block diagram showing a schematic configuration of a computer network according to an embodiment of the present invention. As shown in FIG. 1, this computer network is composed of a system 1 on the clinical trial data center side constructed so as to be connected to each other through a wide area network N such as the Internet, a dedicated line, etc. The system 2 is configured.

臨床試験データセンター側のシステム1は、図2に示すように、ルータ3を通じて広域
ネットワークNに接続されたLAN(ローカルネットワーク)上の複数のサーバ装置(ウェブサーバ装置11,データベースサーバ12,等)から、構成されている。また、各試験参加施設側システム2も、ルータ3を通じて広域ネットワークNに接続されるとともに夫々の試験参加施設内に構築されているLAN上の複数のコンピュータ(ファイルサーバ装置21,端末22)から、構成されている。 As shown in FIG. 2, the system 1 on the clinical trial data center side includes a plurality of server devices (web server device 11, database server 12, etc.) on a LAN (local network) connected to a wide area network N through a router 3. Is made up of. Each test participation facility side system 2 is also connected to the wide area network N through the router 3 and from a plurality of computers (file server device 21, terminal 22) on the LAN constructed in each test participation facility. It is configured.

これら各サーバ装置11,12,21は、サーバ装置として通常備えているハードウェア(プログラム及び各種データを格納するディスク装置であるハードディスク24,ハードディスク24に格納されているプログラムを読み込んで実行し、別途読み込むか外部から入力されたデータに対してプログラムに従った処理を施すCPU23,CPU23が上記処理を実行する際の作業領域が展開される主記憶装置であるRAM17,LANとの間で通信プロトコルに従ったデータ変換を行う通信アダプタ25,等)を有している。また、各端末22も、端末装置として通常備えているハードウェア(サーバ装置について説明したものと同様のハードディスク29[記憶装置に相当],CPU26,RAM27,通信アダプタ18[通信装置に相当]の他、操作者によって操作されることによってCPU26にコマンド又はデータを入力するキーボードやポインティングデバイス等の入力装置19,CPU26による処理結果を画面出力するディスプレイ28[出力装置に相当])を有している。   Each of these server devices 11, 12, and 21 reads and executes hardware normally provided as a server device (a hard disk 24 that is a disk device that stores programs and various data, and a program stored in the hard disk 24). A CPU 23 that performs processing according to a program for data read or input from the outside, a RAM 17 that is a main storage device in which a work area when the CPU 23 executes the processing described above, and a LAN are used as communication protocols. And a communication adapter 25 for performing data conversion in accordance with the data. Each terminal 22 is also equipped with hardware normally provided as a terminal device (hard disk 29 [corresponding to storage device] similar to that described for the server device, CPU 26, RAM 27, communication adapter 18 [corresponding to communication device], etc.) , An input device 19 such as a keyboard or a pointing device for inputting a command or data to the CPU 26 when operated by an operator, and a display 28 [corresponding to an output device] for outputting a processing result by the CPU 26 to the screen.

なお、各試験参加施設2において、端末22は複数台設置されており、夫々、治験を実施する医師又は治験コーディネータ(CRC)によって操作される。   In each trial participating facility 2, a plurality of terminals 22 are installed, and each terminal 22 is operated by a doctor who conducts a clinical trial or a clinical trial coordinator (CRC).

図1には、各システム1,2を構成する各コンピュータ11,12,21,22毎に、夫々のハードディスク24,29に格納されている各種プログラム及び各種データのソフトウェア構成(論理構成)が、示されている。そこで、次に、各コンピュータ上で各種プログラムによって実現される機能及びデータの説明を行う。   FIG. 1 shows the software configuration (logical configuration) of various programs and various data stored in the hard disks 24 and 29 for each of the computers 11, 12, 21, and 22 constituting the systems 1 and 2. It is shown. Therefore, next, functions and data realized by various programs on each computer will be described.

先ず、データベースサーバ12は、ハードディスク24に格納されたデータベース管理ソフトをCPU23が読み込んで実行することにより、ハードディスク24内に各種データベースを構築し、外部からの要求に応じて各データベースにデータを蓄積し、また、外部からの要求に応じて各データベースを検索してデータを抽出するコンピュータである。ここでは、データベースサーバ12のハードディスク24内には、3つのデータベース(EDCユーザデータベース121,臨床試験データベース122,試験参加施設マスターキーデータベース123)が、構築されている。   First, the database server 12 builds various databases in the hard disk 24 by the CPU 23 reading and executing the database management software stored in the hard disk 24, and stores the data in each database in response to an external request. In addition, the computer extracts data by searching each database in response to a request from the outside. Here, in the hard disk 24 of the database server 12, three databases (EDC user database 121, clinical trial database 122, trial participation facility master key database 123) are constructed.

EDCユーザデータベース121は、EDCシステムにアクセスする権限を有する個々の医師(以下、「試験参加医師」という)及び個々の治験コーディネータ毎に、個人識別情報であるID,パスワード及びそれが帰属する試験参加施設を識別するための施設IDの組(即ち、アカウント)を格納しているデータベースである。   The EDC user database 121 includes an ID, a password, and a trial participation to which the ID belongs, for each doctor who has authority to access the EDC system (hereinafter referred to as “study doctor”) and each clinical coordinator. It is a database storing a set of facility IDs (ie, accounts) for identifying facilities.

また、臨床試験データベース122は、臨床試験計画書に規定される処置に関する各被験者についての臨床データ(但し、個人情報は含まれていない)を格納しているデータベースである。   The clinical trial database 122 is a database that stores clinical data (but not including personal information) for each subject related to the treatment specified in the clinical trial plan.

また、試験参加施設マスターキーデータベース123は、各試験参加施設の施設IDに対応付けて、その試験参加施設に対して一意に発行された「施設マスターキー(詳細については後述するが、各試験参加施設において被験者個人情報データベースファイル212を暗号化するために用いた鍵[施設セッションキー]を、更に暗号化するために用いられる鍵)」を保存するデータベースである。   Further, the test participation facility master key database 123 is associated with the facility ID of each test participation facility and is uniquely issued to the test participation facility “facility master key (details will be described later. This is a database for storing a key [facility session key] used for encrypting the subject personal information database file 212 in the facility and a key used for further encrypting.

次に、ウェブサーバ11は、ハードディスク24に格納されたウェブサーバサービスソフトウェアをCPU23が読み込んで実行することにより、クライアントから要求されたメッセージ(HTTPリクエストメッセージ)に応じたデータを応答するコンピュータである。ウェブサーバ11のハードディスク24には、上記ウェブサーバサービスソフトウェアの他、図1に示したEDCサーバソフトウェア111,被験者個人情報管理クライアントソフトインストールプログラム112,被験者個人情報管理サーバソフトウェア113,及び、各試験参加施設2(個人情報管理システムをサーバ113と連動させて運用しているものに限る)毎の施設被験者個人情報データベースのコピー114が、含まれている。   Next, the web server 11 is a computer that responds with data corresponding to a message (HTTP request message) requested by a client when the CPU 23 reads and executes web server service software stored in the hard disk 24. In addition to the above web server service software, the hard disk 24 of the web server 11 includes the EDC server software 111, the subject personal information management client software installation program 112, the subject personal information management server software 113 shown in FIG. A copy 114 of the facility subject personal information database for each facility 2 (limited to those in which the personal information management system is operated in conjunction with the server 113) is included.

EDCサーバソフトウェア111は、EDCシステムを実現するための各種CGIプログラムやサーブレットから構成されるプログラム又はプログラム群である。即ち、当該EDCサーバソフトウェア111を読み込んだCPU23は、EDCサービスのURL宛のメッセージを受信すると、図6に示す入口画面を端末22のディスプレイ28上に表示させる画面データを応答する。それ以後、EDCサービスの何れかの画面のURL宛のメッセージを受信すると、対応する画面を表示させる画面データを応答し、臨床データをパラメータとして含むデータ登録要求メッセージを受信すると、当該臨床データの臨床試験データベース122への登録を、データベースサーバ12に指示する。さらに、当該EDCサーバソフトウェア111を読み込んだCPU23は、各端末22から、被験者個人情報管理クライアントソフトインストールプログラム112のダウンロード要求メッセージを受信すると、これをハードディスク24から読み出して、メッセージ送信元端末22へ応答する。   The EDC server software 111 is a program or a program group including various CGI programs and servlets for realizing an EDC system. That is, when the CPU 23 that has read the EDC server software 111 receives a message addressed to the URL of the EDC service, the CPU 23 responds with screen data for displaying the entrance screen shown in FIG. 6 on the display 28 of the terminal 22. Thereafter, when a message addressed to the URL of any screen of the EDC service is received, screen data for displaying the corresponding screen is responded. When a data registration request message including clinical data as a parameter is received, the clinical data of the clinical data is received. Registration to the test database 122 is instructed to the database server 12. Further, upon receiving the download request message of the subject personal information management client software installation program 112 from each terminal 22, the CPU 23 that has read the EDC server software 111 reads it from the hard disk 24 and responds to the message transmission source terminal 22. To do.

当該被験者個人情報管理クライアントソフトインストールプログラム112は、実施される臨床試験毎及び試験参加施設毎に準備され、これをダウンロードした端末22のCPU26に対して、ハードディスク29に被験者個人情報管理クライアントソフトウェア222及びシステム設定情報ファイル223をインストールさせるプログラムである。そのため、当該被験者個人情報管理クライアントソフトインストールプログラム112には、圧縮された被験者個人情報管理クライアントソフトウェア222,システム設定情報ファイル223及びインストーラが含まれている。この被験者個人情報管理クライアントソフトインストールプログラム112の機能については、端末22の説明箇所において説明する。   The subject personal information management client software installation program 112 is prepared for each clinical trial to be performed and for each trial participating facility, and is downloaded to the hard disk 29 for the subject personal information management client software 222 and the CPU 26 of the terminal 22 that has downloaded the program. This is a program for installing the system setting information file 223. Therefore, the subject personal information management client software installation program 112 includes compressed subject personal information management client software 222, a system setting information file 223, and an installer. The function of the subject personal information management client software installation program 112 will be described in the explanation part of the terminal 22.

被験者個人情報管理サーバソフトウェア113は、各端末22にインストールされた被験者個人情報管理クライアントソフトウェア222と連動し、当該被験者個人情報管理クライアントソフトウェア222を実行している端末22のCPU26からマスターキーの要求メッセージを受信すると、当該端末22が属する試験参加施設に一意に対応した施設マスターキーを、データベースサーバ12の試験参加施設マスターキーデータベース123から読み出して応答し、同様に被験者個人情報データベース212のコピー(暗号化ファイル)のアップロード要求メッセージを受信すると、当該端末22からFTP(File Transfer Protocol)等のプロトコルによって送信されてくる同コピー114を、ハードディスク24に格納する。また、何れかの端末22から、被験者個人情報データベース212のコピー(暗号化ファイル)のダウンロード要求メッセージを受信すると、当該端末22が属する試験参加施設2に対応する被験者個人情報データベース212のコピー(暗号化ファイル)を、ハードディスク24から読み出して応答する。   The subject personal information management server software 113 is linked with the subject personal information management client software 222 installed in each terminal 22, and a master key request message from the CPU 26 of the terminal 22 executing the subject personal information management client software 222. , The facility master key uniquely corresponding to the test participating facility to which the terminal 22 belongs is read out from the test participating facility master key database 123 of the database server 12 and responded, and similarly, a copy (encryption) of the subject personal information database 212 is encrypted. When the upload request message is received, the copy 114 transmitted from the terminal 22 by a protocol such as FTP (File Transfer Protocol) is stored in the hard disk 24. Further, when a download request message for a copy (encrypted file) of the subject personal information database 212 is received from any terminal 22, a copy (encryption) of the subject personal information database 212 corresponding to the test participating facility 2 to which the terminal 22 belongs. ) Is read from the hard disk 24 and responds.

次に、各試験参加施設2のファイルサーバ21は、ハードディスク24に公知のファイルサーバプログラムを格納し、CPU23によって当該ファイルサーバプログラムを実行するコンピュータである。そして、このファイルサーバ21のCPU23は、上記ファイルサーバプログラムの機能に従い、ハードディスク24内部を、論理的に、相互にツリー
構造をなす多階層且つ多数のディレクトリに区切る。そのうちの一つが、データディレクトリであり、ローカルユーザデータベース211及び被験者個人情報データベース212が、構築され且つ格納される。ここに、被験者個人情報データベース212は、各被験者毎に、その個人情報及び臨床データを格納しているデータベースであり、後述する施設セッションキーによって常時暗号化された状態でファイル化されてハードディスク24内に格納されており、各端末22がアクセスする間のみ同施設セッションキーによって復号化される。ローカルユーザデータベース211は、当該試験参加施設2において個人情報管理システムがローカルで運用されている場合にのみ利用されるデータベースであり、端末22を操作することによって被験者個人情報データベース212にアクセスできる権限を有する利用者(医師,治験コーディネータ)のユーザID及びパスワード(ローカルアカウント)が、登録されている。 Next, the file server 21 of each test participating facility 2 is a computer that stores a known file server program in the hard disk 24 and executes the file server program by the CPU 23. Then, the CPU 23 of the file server 21 divides the inside of the hard disk 24 logically into a multi-hierarchy and a large number of directories having a tree structure with each other in accordance with the function of the file server program. One of them is a data directory, and a local user database 211 and a subject personal information database 212 are constructed and stored. Here, the subject personal information database 212 is a database storing the personal information and clinical data for each subject, and is filed in a state of being always encrypted by a facility session key described later and stored in the hard disk 24. And is decrypted by the facility session key only while each terminal 22 accesses. The local user database 211 is a database that is used only when the personal information management system is operated locally at the test participating facility 2, and has the authority to access the subject personal information database 212 by operating the terminal 22. The user ID and password (local account) of the user (doctor, clinical trial coordinator) are registered.

次に、各試験参加施設2の端末22は、ハードディスク29内にウェブブラウザープログラム221を格納しており、このウェブブラウザープログラムをCPU26が読み込んで実行することにより、ウェブザーバ11にメッセージを送信して、EDCサーバソフトウェア111を起動させ、所望の画面データを取得してディスプレイ28上に当該画面データに基づく画面を表示するとともに、この画面内の入力欄に入力された情報をウェブサーバ11へ送信することができる。また、端末22は、ウェブブラウザープログラム221の機能に従って、ウェブサーバ11から被験者個人情報管理クライアントソフトインストールプログラム112をダウンロードする。この被験者個人情報管理クライアントソフトインストールプログラム112をCPU26が読み込んで実行すると、ハードディスク29内の所定ディレクトリに、被験者個人情報管理クライアントソフトウェア222及びシステム設定情報ファイル223がインストールされる。   Next, the terminal 22 of each test participating facility 2 stores a web browser program 221 in the hard disk 29, and the CPU 26 reads and executes this web browser program to transmit a message to the web server 11. Activating the EDC server software 111, obtaining desired screen data, displaying a screen based on the screen data on the display 28, and transmitting information input in an input field in the screen to the web server 11. Can do. Further, the terminal 22 downloads the subject personal information management client software installation program 112 from the web server 11 according to the function of the web browser program 221. When the CPU 26 reads and executes the subject personal information management client software installation program 112, the subject personal information management client software 222 and the system setting information file 223 are installed in a predetermined directory in the hard disk 29.

このシステム設定情報ファイル223は、システムID(即ち、実施される臨床試験を一意に識別するための識別情報である試験ID),EDCサーバソフトウェア111によって実現されるEDCシステムのURL,被験者個人情報管理サーバソフトウェア113のURL,及び内蔵マスターキーを、格納している。なお、内蔵マスターキーは、当該試験参加施設において個人情報管理システムがローカルで運用される場合に、後述する施設セッションキーを暗号化及び復号化するために用いられる。但し、このシステム設定情報ファイルは、臨床試験データセンター1側において、予め、これに対応した被験者個人情報管理クライアントソフトウェア222を実行するCPU26のみが解読できる非公開フォーマットによって暗号化されている。そして、被験者個人情報管理クライアントソフトウェア222は解読したこれら情報を外部出力しないので、特に内蔵マスターキーが冒用されて、後述する施設セッションキーが不正に復号化されて被験者個人情報データベース212が不正利用されるおそれがない。   This system setting information file 223 includes a system ID (that is, a test ID that is identification information for uniquely identifying a clinical trial to be performed), a URL of an EDC system realized by the EDC server software 111, and subject personal information management. The URL of the server software 113 and the built-in master key are stored. The built-in master key is used for encrypting and decrypting a facility session key, which will be described later, when the personal information management system is operated locally in the test participating facility. However, this system setting information file is previously encrypted on the clinical trial data center 1 side in a secret format that can be decrypted only by the CPU 26 that executes the corresponding subject personal information management client software 222. Since the subject personal information management client software 222 does not externally output the decrypted information, the built-in master key is exploited, the facility session key described later is illegally decrypted, and the subject personal information database 212 is illegally used. There is no fear of being done.

被験者個人情報管理クライアントソフトウェア222を読み込んだCPU26は、先ず、ユーザから入力される情報に基づいて施設設定ファイル274をハードディスク29内に生成する。この施設設定ファイル274は、当該試験参加施設を一意に識別するための識別情報である施設ID,当該試験参加施設の施設名,当該試験参加施設2内において独自に生成されて被験者個人情報データベース214を暗号化及び復号化するために用いられる施設セッションキー(暗号化用の鍵及び復号化用の鍵に相当),被験者個人情報データベース214のデータディレクトリ,当該試験参加施設における運用形式(データセンターとの連動運用であるかローカル運用であるか)を、格納している。なお、施設セッションキーは、被験者個人情報管理クライアントソフトウェア222に従った処理を通じて、ローカル運用の場合には内蔵マスターキーを用いて、データセンターとの連動運用の場合には被験者個人情報データベース212に対するデータアクセスの都度、臨床試験データセンター1から通知された施設マスターキー(臨床試験データセンター1側において各試験参加施設2毎に予め作成されている暗号化鍵)を用いて暗号化されて、当該施設設定
ファイル224に格納されている。なお、被験者個人情報管理クライアントソフトウェア222は、臨床試験データセンター1から通知された施設マスターキーを外部出力しないので、施設セッションキーが不正に復号化されて被験者個人情報データベース212が不正利用されるおそれがない。また、施設設定ファイル224は、施設マスターキーまたは内臓マスターキーで暗号化されているので、安心してリムーバブル記憶媒体にコピーされる等して、バックアップされ、また、当該施設参加施設2内の他の端末2に配布される。但し、この施設設定ファイル224は、臨床試験データセンター1へは提供されないので、臨床データセンター1において施設マスターキーによって施設セッションキーが復号化され、後述するようにアップロードされている被験者個人情報データベースのコピー114中の個人情報が不正に復号化されて、被験者の個人情報が漏洩してしまうことが防止される。 The CPU 26 that has read the subject personal information management client software 222 first generates a facility setting file 274 in the hard disk 29 based on information input from the user. The facility setting file 274 is uniquely generated in the facility ID, which is identification information for uniquely identifying the test participating facility, the facility name of the test participating facility, and the test participating facility 2, and is stored in the subject personal information database 214. The facility session key used to encrypt and decrypt the data (corresponding to the encryption key and the decryption key), the data directory of the subject personal information database 214, and the operation format (data center and Whether it is linked operation or local operation). Note that the facility session key is a data stored in the subject personal information database 212 in the case of local operation using the built-in master key in the case of local operation and through processing according to the subject personal information management client software 222. Each access is encrypted using the facility master key notified from the clinical trial data center 1 (an encryption key created in advance for each trial participating facility 2 on the clinical trial data center 1 side) It is stored in the setting file 224. Since the subject personal information management client software 222 does not externally output the facility master key notified from the clinical trial data center 1, the subject session information key 212 may be illegally decrypted and the subject personal information database 212 may be illegally used. There is no. In addition, since the facility setting file 224 is encrypted with the facility master key or the built-in master key, the facility setting file 224 is backed up by copying it to a removable storage medium with peace of mind, and other facilities in the facility participating facility 2 Distributed to the terminal 2. However, since this facility setting file 224 is not provided to the clinical trial data center 1, the facility session key is decrypted by the facility master key in the clinical data center 1 and uploaded as described later. It is possible to prevent the personal information in the copy 114 from being illegally decrypted and leaking the personal information of the subject.

被験者個人情報管理クライアントソフトウェア222を読み込んだCPU26は、内蔵マスターキー又は施設マスターキーを用いて施設設定ファイル224中の施設セッションキーを復号化し、この施設セッションキーを用いて被験者個人情報データベース212を復号化し、被験者個人操作者(医師,治験コーディネータ)によって入力された被験者の個人情報を登録する。かかる登録後、被験者個人情報管理クライアントソフトウェア222を読み込んだCPU26は、被験者個人情報データベース212を再度復号化し、データセンターとの連動運用がなされている場合には、暗号化された被験者個人情報データベース212のコピー114を格納したファイル(個人情報ファイル)を、臨床試験データセンター1のウェブサーバ11にアップロードする(アップロードされたコピー114を格納したファイルは、次に何れかの端末22が被験者個人情報管理クライアントソフトウェア222を起動した時に、ダウンロードされて、ファイルサーバ21上の被験者個人情報データベース212のファイルに上書きされる。)。   The CPU 26 that has read the subject personal information management client software 222 decrypts the facility session key in the facility setting file 224 using the built-in master key or the facility master key, and decrypts the subject personal information database 212 using the facility session key. The personal information of the subject input by the subject individual operator (doctor, clinical trial coordinator) is registered. After such registration, the CPU 26 that has read the test subject personal information management client software 222 decrypts the test subject personal information database 212 again, and if the linked operation with the data center is performed, the encrypted test subject personal information database 212. A file (personal information file) in which a copy 114 of this is stored is uploaded to the web server 11 of the clinical trial data center 1 (the file storing the uploaded copy 114 is then managed by any one of the terminals 22 by the subject personal information management). When the client software 222 is activated, it is downloaded and overwritten on the file of the subject personal information database 212 on the file server 21.)

3.処理
次に、本実施形態に係る個人情報管理システムを実現するために、上述した各種プログラムを読み込んだ各装置11,12,21,22が実行する処理を、図3乃至図5のフローチャートに基づいて説明する。 3. Processing Next, in order to realize the personal information management system according to the present embodiment, processing executed by each of the devices 11, 12, 21, and 22 that have read the various programs described above is based on the flowcharts of FIGS. I will explain.

(1)ウェブブラウザーソフトウェア221による被験者個人情報クライアントソフトインストールプログラム112のダウンロード
ウェブブラウザーソフトウェア221は市販のものであるので、URLが直接入力された場合に当該URL宛にHTTPリクエストメッセージを送信し、これに応じて応答されたHTTPレスポンスメッセージを受信して、当該メッセージによって送信されてくる画面データに基づいてディスプレイ28上に画面表示を行う。また、例えば、かかる画面データ中にリンクアイテム(アンカータグ)が含まれている場合に、操作者によって当該リンクアイテムが操作された場合には、当該リンクアイテムに組み込まれたリンク先URL宛にHTTPリクエストメッセージを送信する。また、画面データ中に送信ボタンが含まれている場合に、操作者によって、操当該送信ボタンに対応したテキストボックス,チェックボックス,ラジオボタン等に情報が設定された状態で送信ボタンが操作された場合には、これらの情報をパラメータとして含むHTTPリクエストメッセージを、当該送信ボタンに組み込まれたURL宛に送信する。 (1) Download of the subject personal information client software installation program 112 by the web browser software 221 Since the web browser software 221 is commercially available, when a URL is directly input, an HTTP request message is transmitted to the URL. In response to the response, the HTTP response message is received, and the screen is displayed on the display 28 based on the screen data transmitted by the message. Further, for example, when a link item (anchor tag) is included in the screen data and the link item is operated by an operator, the HTTP is addressed to the link destination URL incorporated in the link item. Send a request message. In addition, when the send button is included in the screen data, the operator operates the send button with information set in the text box, check box, radio button, etc. corresponding to the send button. In such a case, an HTTP request message including these pieces of information as parameters is transmitted to the URL incorporated in the transmission button.

そこで、操作者が、端末22の入力装置19を操作して、ウェブブラウザーソフトウェア221に適宜コマンドを入力することにより、EDCシステムのURL宛にHTTPリクエストメッセージ(EDC起動メッセージ)を送信する。すると、このEDC起動要求メッセージは、臨床試験データセンター1のウェブサーバ11により受信され、当該ウェブサーバ11のCPU23(以下、単に、「ウェブサーバ11」という)が、メッセージ中のURLを解析することにより、EDCサーバソフトウェア111を起動する。   Therefore, the operator operates the input device 19 of the terminal 22 and inputs an appropriate command to the web browser software 221 to transmit an HTTP request message (EDC activation message) to the URL of the EDC system. Then, the EDC activation request message is received by the web server 11 of the clinical trial data center 1, and the CPU 23 of the web server 11 (hereinafter simply referred to as “web server 11”) analyzes the URL in the message. Thus, the EDC server software 111 is activated.

EDCサーバソフトウェア111を起動したウェブサーバ11は、当該EDCサーバソフトウェア111に従い、ウェブブラウザーソフトウェア221を実行している端末22のCPU26が読み込むことによってそのディスプレイ28上に図6に示す入口画面を表示させる画面データを、要求元端末22へ送信する。以下、斯様に画面データを端末22へ送信することを、単に、「〜画面を端末22に表示させる」と、表現する。   The web server 11 that has started up the EDC server software 111 displays the entrance screen shown in FIG. 6 on its display 28 when the CPU 26 of the terminal 22 executing the web browser software 221 reads in accordance with the EDC server software 111. The screen data is transmitted to the request source terminal 22. Hereinafter, such transmission of the screen data to the terminal 22 is simply expressed as “˜display the screen on the terminal 22”.

図6に示す入口画面には、ID記入欄30,パスワード記入欄31及びログインボタン32が含まれている。そして、その画面データには、操作者が端末22の入力装置19を用いて各欄30,31に夫々文字列を書き込んだ状態でログインボタン32を操作した時に、ウェブブラウザーソフトウェア221を実行している端末22のCPU26に対して、各欄30,31に記入された文字列を、夫々ID及びパスワードを示すパラメータとして包含するHTTPリクエストメッセージ(ログイン要求メッセージ)をウェブサーバ11へ送信させる設定が、含まれている。   The entrance screen shown in FIG. 6 includes an ID entry field 30, a password entry field 31, and a login button 32. The screen data includes the web browser software 221 that is executed when the operator operates the login button 32 with the character strings written in the fields 30 and 31 using the input device 19 of the terminal 22, respectively. The setting of causing the CPU 26 of the terminal 22 to transmit to the web server 11 an HTTP request message (login request message) that includes the character strings entered in the fields 30 and 31 as parameters indicating the ID and password, respectively. include.

このようにして端末22から送信されたログイン要求メッセージを受信したウェブサーバ11は、受信したログイン要求メッセージからID及びパスワードを抽出して、これらID及びパスワードと同じアカウントがEDCユーザデータベース121に登録されているかどうかをチェックする。そして、かかるアカウントが登録されていない場合には不正なアクセスがなされたとして警告画面を端末22に表示させるが、かかるアカウントが登録されている場合には、ウェブサーバ11は、図7に示すメニュー画面を、端末22に表示させる。図7に示すように、このメニュー画面には、臨床データ入力ボタン33,ダウンロードボタン34及びログアウトボタン35が含まれており、その画面データには、各ボタン33〜35が操作された場合にその旨のメッセージをウェブサーバ11へ送信させる設定が、組み込まれている。   Thus, the web server 11 that has received the login request message transmitted from the terminal 22 extracts the ID and password from the received login request message, and the same account as the ID and password is registered in the EDC user database 121. Check if it is. If such an account is not registered, a warning screen is displayed on the terminal 22 as an unauthorized access, but if such an account is registered, the web server 11 displays the menu shown in FIG. A screen is displayed on the terminal 22. As shown in FIG. 7, this menu screen includes a clinical data input button 33, a download button 34, and a logout button 35. The screen data includes the data when each button 33-35 is operated. A setting for transmitting the message to the web server 11 is incorporated.

このメニュー画面を表示している端末22から、ダウンロードボタン34が操作された旨のメッセージを受信すると、ウェブサーバ11は、被験者個人情報管理クライアントソフトインストールプログラム112を、当該端末22へ送信する。   When receiving a message indicating that the download button 34 has been operated from the terminal 22 displaying this menu screen, the web server 11 transmits the subject personal information management client software installation program 112 to the terminal 22.

その後、メニュー画面を表示している端末22から、ログアウトボタン35が操作された旨のメッセージを受信すると、ウェブサーバ11は、EDCサーバソフトウェア111による処理を終了する。   Thereafter, when receiving a message indicating that the logout button 35 has been operated from the terminal 22 displaying the menu screen, the web server 11 ends the processing by the EDC server software 111.

(2)被験者個人情報管理クライアントソフトインストールプログラム112による被験者個人情報管理クライアントソフトウェア222のインストール
一方、被験者個人情報管理クライアントソフトインストールプログラム112をダウンロードした端末22において、当該被験者個人情報管理クライアントソフトインストールプログラム112が実行されると、上記インストーラの機能により、操作者に対してインストール先ディレクトリを問い合わせるダイアログが表示され、当該ダイアログから操作者がインストール先ディレクトリを選択すると、選択されたディレクトリに、被験者個人情報管理クライアントプログラム222およびシステム設定情報ファイル223がインストールされる。 (2) Installation of the subject personal information management client software 222 by the subject personal information management client software installation program 112 On the other hand, in the terminal 22 that has downloaded the subject personal information management client software installation program 112, the subject personal information management client software installation program 112 When the installer is executed, the installer function displays a dialog asking the operator for the installation destination directory. When the operator selects the installation destination directory from the dialog, the subject personal information management is performed in the selected directory. The client program 222 and the system setting information file 223 are installed.

(3)被験者個人情報管理クライアントソフトウェア222によるシステム初期設定
以上のようにして被験者個人情報管理クライアントソフトウェア222およびシステム設定情報ファイル223がインストールされた端末22において、操作者が入力装置19を用いて当該被験者個人情報管理クライアントソフトウェア222の起動コマンドを入力すると、当該端末22のCPU26が当該被験者個人情報管理クライアントソフトウェア222を読み込んで、当該被験者個人情報管理クライアントソフトウェア222に従って
、図3乃至図5のフローチャートに示す処理を実行する。 (3) System Initial Setting by Subject Personal Information Management Client Software 222 In the terminal 22 in which the subject personal information management client software 222 and the system setting information file 223 are installed as described above, the operator uses the input device 19 to When the activation command for the subject personal information management client software 222 is input, the CPU 26 of the terminal 22 reads the subject personal information management client software 222, and in accordance with the subject personal information management client software 222, the flowcharts of FIGS. The process shown is executed.

この処理を開始して最初のS001では、被験者個人情報管理クライアントソフトウェア222に従って動作している端末22のCPU26(以下、単に「端末22」と表記する)は、ハードディスク29に施設設定ファイル224が存在しているかどうかをチェックする。そして、既に施設設定ファイル224が存在している場合には、当該被験者個人情報管理クライアントソフトウェア222を過去に起動してS002からS016の処理を既に完了しているものと判断して、処理を直ちにS101へ進める。   In the first step S001 after starting this processing, the CPU 26 of the terminal 22 operating in accordance with the subject personal information management client software 222 (hereinafter simply referred to as “terminal 22”) has the facility setting file 224 in the hard disk 29. Check if you are doing. If the facility setting file 224 already exists, the subject personal information management client software 222 is activated in the past, and it is determined that the processing from S002 to S016 has already been completed. Proceed to S101.

これに対して、未だ施設設定ファイル224が存在していない場合には、端末22は、当該被験者個人情報管理クライアントソフトウェア222を初めて起動するのであると判断して、処理をS002へ進める。S002では、端末22は、図8に示す施設設定ファイルチェック画面を、ディスプレイ28上に表示する。図8に示すように、この施設設定ファイルチェック画面には、施設設定ファイル224を新規作成するのか他の端末22において既に作成された施設設定ファイル224をコピーして用いるのかを選択するための施設設定ファイルオプションボタン群36,当該施設設定ファイルオプションボタン36にて既存のファイルのコピーが選択された場合に、コピー元の施設設定ファイルが存在している位置(例えば、当該端末22に一時的に装着されたリムーバブルメディア)へのパスが指定されるファイル位置指定欄37,作成ボタン38及びキャンセルボタン39が含まれている。そして、端末22は、キャンセルボタン39が操作された場合にはこの被験者個人情報管理クライアントソフトウェア222に従った処理を終了し、施設設定ファイルオプションボタン群36によって「新規作成」が選択されている状態で作成ボタン38が操作された場合には、処理をS005へ進め、施設設定ファイルオプションボタン群36によって「既存のファイルをコピー」が選択されているとともにファイル位置指定欄37にパスが指定されている状態で作成ボタン38が操作された場合には、処理をS004へ進める。   On the other hand, if the facility setting file 224 does not yet exist, the terminal 22 determines that the subject personal information management client software 222 is activated for the first time, and advances the process to S002. In S002, the terminal 22 displays the facility setting file check screen shown in FIG. As shown in FIG. 8, on this facility setting file check screen, a facility for selecting whether to newly create a facility setting file 224 or to copy and use a facility setting file 224 already created in another terminal 22 When a copy of an existing file is selected by the setting file option button group 36 or the facility setting file option button 36, the location where the copy source facility setting file exists (for example, temporarily in the terminal 22). A file position designation field 37 for specifying a path to the (removable media loaded), a creation button 38 and a cancel button 39 are included. When the cancel button 39 is operated, the terminal 22 finishes the process according to the subject personal information management client software 222, and “newly created” is selected by the facility setting file option button group 36. If the creation button 38 is operated, the process proceeds to S005, “Copy existing file” is selected by the facility setting file option button group 36, and the path is designated in the file location designation field 37. If the creation button 38 is operated in the state of being, the process proceeds to S004.

S004では、端末22は、ファイル位置指定欄にて指定されたパスに相当する場所から、施設設定ファイル242を読み出して、ハードディスク29における当該被験者個人情報管理クライアントソフトウェア222と同じフォルダにコピーする。S004を完了すると、端末22は、処理をそのままS016へ進める。   In S 004, the terminal 22 reads the facility setting file 242 from the location corresponding to the path specified in the file location specification field, and copies it to the same folder as the subject personal information management client software 222 in the hard disk 29. When S004 is completed, the terminal 22 advances the process to S016 as it is.

一方、S005では、端末22は、図9に示すシステム初期設定画面をディスプレイ28上に表示する。図9に示すように、当該システム初期設定画面には、システム運用方式選択オプションボタン群40,データ保存先記入欄41,施設ID記入欄42及びシステム初期化ボタン57を、含んでいる。   On the other hand, in S005, the terminal 22 displays the system initial setting screen shown in FIG. As shown in FIG. 9, the system initial setting screen includes a system operation method selection option button group 40, a data storage destination entry field 41, a facility ID entry field 42, and a system initialization button 57.

システム運用方式選択オプションボタン群40は、被験者個人情報管理システムをサーバと連携して運営するか連携させる事無くローカルで運営するかを選択するための複数のオプションボタンから構成されている。また、保存先記入欄41は、当該試験参加施設2におけるファイルサーバ21の上記データ保存ディレクトリのURLが入力される欄である。また、施設ID記入欄42は、当該試験参加施設のIDとして予め臨床試験データセンター1から指定されている文字列が入力される欄である。端末22は、各欄41〜42に文字列が入力された状態でシステム初期化ボタン57が操作されると、各欄41〜42に入力されている情報及びシステム運用方式選択オプションボタン群40により選択されたシステム運用方式の種別を、「設定データ」として、RAM27に待避させてから、処理をS006へ進める。   The system operation method selection option button group 40 includes a plurality of option buttons for selecting whether to operate the subject personal information management system in cooperation with the server or to operate it locally without cooperation. The storage destination entry column 41 is a column in which the URL of the data storage directory of the file server 21 in the test participating facility 2 is input. The facility ID entry column 42 is a column in which a character string designated in advance from the clinical trial data center 1 is input as the ID of the trial participating facility. When the system initialization button 57 is operated while the character string is input in each column 41 to 42, the terminal 22 uses the information input in each column 41 to 42 and the system operation method selection option button group 40. The type of the selected system operation method is set as “setting data” in the RAM 27, and the process proceeds to S006.

S006では、端末22は、乱数を発生して当該乱数に基づいて施設セッションキーを作成するとともに(鍵発行手段に相当)、RAM27上に、初期値の被験者個人情報デー
タベース212を生成する。 In S006, the terminal 22 generates a random number, creates a facility session key based on the random number (corresponding to a key issuing means), and generates an initial subject personal information database 212 on the RAM 27.

次のS007では、端末22は、S005にてRAM27に待避された設定データに含まれるシステム運用方式の種別をチェックし、「サーバと連動」が選択されている場合には処理をS012へ進め、「ローカル」が選択されている場合には処理をS008へ進める。   In the next S007, the terminal 22 checks the type of the system operation method included in the setting data saved in the RAM 27 in S005, and proceeds to S012 if “link with server” is selected, If “local” is selected, the process proceeds to S008.

S008では、端末22は、ファイルサーバ21の上記データ保存ディレクトリ内に、ローカルユーザデータベース211の初期ファイルを生成する。既に、過去に作成したローカルユーザデータベース211のファイルが残存している場合には、これを初期化する。   In S008, the terminal 22 generates an initial file of the local user database 211 in the data storage directory of the file server 21. If the file of the local user database 211 created in the past already exists, it is initialized.

次のS009では、端末22は、図10に示すローカルユーザ設定画面をディスプレイ28上に表示する。図10に示すように、このローカルユーザ設定画面には、各行に夫々当該試験参加機関においてアクセス権限が認められた個々の医師及び治験コーディネータのユーザID,パスワード,氏名(ユーザ名)等の情報を入力することができる表43及び保存完了ボタン44が、含まれている。操作者が、当該試験参加施設2においてアクセス権限が認められる各医師及び治験コーディネータについて、夫々、表43の各行にユーザID,パスワード及びユーザ名を入力した状態で保存完了ボタン44を操作すると、端末22は、表43に入力された情報に基づいて、当該試験参加施設においてアクセス権限が認められる各医師及び治験コーディネータのローカルアカウントを生成して、ローカルユーザデータベース211に登録する。   In the next S009, the terminal 22 displays the local user setting screen shown in FIG. As shown in FIG. 10, in this local user setting screen, information such as the user ID, password, and name (user name) of each doctor and the study coordinator who are authorized to access in the study participating institution is shown in each row. A table 43 that can be entered and a save complete button 44 are included. When the operator operates the save completion button 44 in the state where the user ID, password, and user name are entered in each row of Table 43 for each doctor and clinical trial coordinator who are authorized to access in the study participating facility 2, the terminal 22 generates a local account of each doctor and clinical trial coordinator who is authorized to access at the trial participating facility based on the information input in the table 43 and registers it in the local user database 211.

次のS010では、端末22は、上述したように非公開フォーマットにて暗号化されているシステム設定情報ファイル223を一時的に復号化して、内蔵マスターキーを読み出し、当該内蔵マスターキーを用いて、S006にて生成した施設セッションキーのコピーを暗号化する。なお、かかる暗号化を完了し次第、システム設定情報ファイル223は元に戻され、読み出された内蔵マスターキーは端末22内から完全に消去される。端末22は、このようにして暗号化した施設セッションキーを、S005にてRAM27に待避された設定データと一緒に施設設定ファイル224内に保存して、ハードディスク29内に格納する。   In the next S010, the terminal 22 temporarily decrypts the system setting information file 223 encrypted in the private format as described above, reads the built-in master key, and uses the built-in master key. A copy of the facility session key generated in S006 is encrypted. As soon as the encryption is completed, the system setting information file 223 is returned to the original state, and the read-in built-in master key is completely erased from the terminal 22. The terminal 22 saves the encrypted facility session key in the facility setting file 224 together with the setting data saved in the RAM 27 in S005 and stores it in the hard disk 29.

次のS011では、端末22は、上記施設セッションキーのオリジナルを用いて、ファイルサーバ21中のローカルユーザデータベース211を暗号化する。S011を完了すると、端末22は、処理をS015へ進める。   In the next S011, the terminal 22 encrypts the local user database 211 in the file server 21 using the original facility session key. When S011 is completed, the terminal 22 advances the process to S015.

一方、「サーバと連動」が選択されている場合に実行されるS012では、端末22は、図11に示すシステム初期化ログイン画面をディスプレイ28上に表する。図11に示すように、このシステム初期化ログイン画面には、ID記入欄54,パスワード記入欄55及びログインボタン56が含まれている。   On the other hand, in S012, which is executed when “interlock with server” is selected, the terminal 22 displays the system initialization login screen shown in FIG. As shown in FIG. 11, the system initialization login screen includes an ID entry field 54, a password entry field 55, and a login button 56.

そして、端末22は、操作者が端末22の入力装置19を用いてシステム初期ログイン画面中の各欄54,55に夫々文字列を書き込んだ状態でログインボタン56を操作すると、次のS013において、ウェブブラウザーソフトウェア221を起動して、各欄54,55に記入された文字列を、夫々ID及びパスワードを示すパラメータとして包含するHTTPリクエストメッセージ(施設マスターキー要求メッセージ)をウェブサーバ11へ送信させる。この施設マスターキー要求メッセージを受信したウェブサーバ11は、被験者個人情報管理サーバソフトウェア113を起動する。そして、当該被験者個人情報管理サーバソフトウェア113に従って、連携要求メッセージに含まれるものと同じユーザID及びパスワードを含むアカウントがEDCユーザデータベース121に登録されてい
るかどうかチェックする。そして、かかるアカウントが登録されている場合には、当該アカウントから施設IDを読み出し、試験参加施設マスターキーデータベース123から、当該施設IDに対応した施設マスターキーを読み出して、メッセージ送信元端末22へ応答する。 Then, when the operator operates the login button 56 in a state where the character strings are respectively written in the fields 54 and 55 in the system initial login screen using the input device 19 of the terminal 22 in the terminal 22, in the next S013, The web browser software 221 is activated, and an HTTP request message (facility master key request message) including the character strings entered in the fields 54 and 55 as parameters indicating ID and password is transmitted to the web server 11. The web server 11 that has received the facility master key request message activates the subject personal information management server software 113. Then, according to the subject personal information management server software 113, it is checked whether an account including the same user ID and password as those included in the cooperation request message is registered in the EDC user database 121. If such an account is registered, the facility ID is read from the account, the facility master key corresponding to the facility ID is read from the test participating facility master key database 123, and the response is sent to the message transmission source terminal 22. To do.

次のS014では、端末22は、S013にて取得した施設マスターキーを用いて、S006にて生成した施設セッションキーのコピーを暗号化する(鍵暗号化手段)。端末22は、このようにして暗号化した施設セッションキーを、S005にてRAM27に待避された設定データと一緒に施設設定ファイル224内に保存して、ハードディスク29内に格納する(鍵保存手段)。S014を完了すると、端末22は、処理をS015へ進める。   In the next S014, the terminal 22 encrypts the copy of the facility session key generated in S006 using the facility master key acquired in S013 (key encryption means). The terminal 22 stores the encrypted facility session key in the facility setting file 224 together with the setting data saved in the RAM 27 in S005, and stores it in the hard disk 29 (key storage means). . When S014 is completed, the terminal 22 advances the process to S015.

S015では、施設セッションキーのオリジナルを用いて、RAM27上の被験者個人情報データベース211を暗号化するとともに、これをファイル化してファイルサーバ21の上記データ保存ディレクトリ内に保存する。かかる暗号化を完了すると、端末22は、施設セッションキーのオリジナル及び内蔵マスターキー又は施設マスターキーを、直ちに消去する。このようにして、S015を完了すると、端末22は、処理をS016へ進める。   In S015, the subject personal information database 211 on the RAM 27 is encrypted using the original facility session key, and is converted into a file and stored in the data storage directory of the file server 21. When the encryption is completed, the terminal 22 immediately deletes the original facility key and the built-in master key or the facility master key. Thus, when S015 is completed, the terminal 22 advances the process to S016.

S016では、端末22は、図12に示すシステム初期設定画面を、ディスプレイ28上に表示する。図12に示すように、このシステム初期設定画面には、OKボタン48が含まれており、このOKボタン48が操作されると、端末22は、処理をS101へ進める。   In S016, the terminal 22 displays the system initial setting screen shown in FIG. As shown in FIG. 12, this system initial setting screen includes an OK button 48. When this OK button 48 is operated, the terminal 22 advances the processing to S101.

S101では、端末22は、ファイルサーバ21上の被験者個人情報データベース212のファイルに対する排他ロックの設定を試みる。その結果、ファイルサーバ21上の被験者個人情報データベース212のファイルが他の端末22によって排他ロック中であれば、排他ロックの設定に失敗したことになるので、端末22は、S102において、図14に示すシステム使用中メッセージをディスプレイ28上に表示した後に、この被験者個人情報管理クライアントソフトウェア222に従った処理を終了する。   In S <b> 101, the terminal 22 tries to set an exclusive lock on the file in the subject personal information database 212 on the file server 21. As a result, if the file of the subject personal information database 212 on the file server 21 is in an exclusive lock by another terminal 22, the setting of the exclusive lock has failed, so the terminal 22 in FIG. After the system busy message shown is displayed on the display 28, the process according to the subject personal information management client software 222 is terminated.

これに対して、ファイルサーバ21上の被験者個人情報データベース212のファイルが他の端末22によって排他ロック中でなければ、これを排他ロックの設定が成功するので、端末22は、処理をS103へ進める。   On the other hand, if the file in the subject personal information database 212 on the file server 21 is not in an exclusive lock by another terminal 22, the exclusive lock is successfully set for this, and the terminal 22 advances the process to S103. .

S103では、端末22は、施設設定ファイル224中の設定データから、データ保存ディレクトリ及びシステム運用方式の種別を読み出す。   In S <b> 103, the terminal 22 reads the data storage directory and the system operation method type from the setting data in the facility setting file 224.

S104では、端末22は、図13に示すシステムログイン画面をディスプレイ28上に表示する。図13に示すように、このシステムログイン画面には、ID記入欄45,パスワード記入欄46及びログインボタン47が含まれている。そして、端末22は、操作者が端末22の入力装置19を用いてシステムログイン画面中の各欄45,46に夫々文字列を書き込んだ状態でログインボタン47を操作すると、各欄45,46に書き込まれた情報をRAM27に待避させた後に、処理をS105へ進める。   In S104, the terminal 22 displays the system login screen shown in FIG. As shown in FIG. 13, the system login screen includes an ID entry field 45, a password entry field 46, and a login button 47. When the operator operates the login button 47 in a state where a character string is written in each of the columns 45 and 46 in the system login screen using the input device 19 of the terminal 22, the terminal 22 displays the columns 45 and 46. After the written information is saved in the RAM 27, the process proceeds to S105.

S105では、端末22は、S103で読み出したシステム運用方式の種別をチェックし、「サーバと連動」が選択されている場合には処理をS109へ進め、「ローカル」が選択されている場合には処理をS106へ進める。   In S105, the terminal 22 checks the type of the system operation method read in S103, and proceeds to S109 if “interlock with server” is selected, and if “local” is selected. The process proceeds to S106.

S106では、端末22は、上述したように非公開フォーマットにて暗号化されている
システム設定情報ファイル223を一時的に復号化して、内蔵マスターキーを読み出すとともに、施設設定ファイル224から、暗号化された施設セッションキーを読み出す。そして、端末22は、復号化された内蔵マスターキーを用いて、施設セッションキーを復号化する。なお、かかる復号化を完了し次第、システム設定情報ファイル223は元に戻され、読み出された内蔵マスターキーは端末22内から完全に消去される。 In S106, the terminal 22 temporarily decrypts the system setting information file 223 encrypted in the private format as described above, reads out the built-in master key, and encrypts it from the facility setting file 224. Read the facility session key. Then, the terminal 22 decrypts the facility session key using the decrypted internal master key. As soon as the decryption is completed, the system setting information file 223 is restored to the original state, and the read internal master key is completely erased from the terminal 22.

次のS107では、端末22は、ファイルサーバにおけるS103にて読み出したデータ保存ディレクトリに格納されているローカルユーザデータベース211のファイルをRAM27上に読み込んで、S106にて復号化した施設セッションキーを用いて復号化する。   In the next S107, the terminal 22 reads the file of the local user database 211 stored in the data storage directory read in S103 in the file server on the RAM 27, and uses the facility session key decrypted in S106. Decrypt.

次のS108では、端末22は、S104にてRAM27に待避させておいたものと同じユーザID及びパスワードを含むローカルアカウントが、S107にて復号化したローカルユーザデータベース211に格納されているかどうかをチェックする。そして、かかるローカルアカウントが登録されていなければ、ID及びパスワードを再入力させるために、処理をS104へ戻す。これに対して、かかるアカウントが登録されている場合には、端末22は、処理をS114へ進める。   In the next step S108, the terminal 22 checks whether or not the local account including the same user ID and password stored in the RAM 27 in step S104 is stored in the local user database 211 decrypted in step S107. To do. If the local account is not registered, the process returns to S104 to re-enter the ID and password. On the other hand, if such an account is registered, the terminal 22 advances the process to S114.

一方、「サーバと連動」が選択されている場合に実行されるS109では、端末22は、ウェブブラウザーソフトウェア221を起動して、各欄45,46に記入された文字列を、夫々ID及びパスワードを示すパラメータとして包含するHTTPリクエストメッセージ(認証要求メッセージ)を、ウェブサーバ11へ送信させる。この認証要求メッセージを受信したウェブサーバ11は、被験者個人情報管理サーバソフトウェア113を起動する。そして、当該被験者個人情報管理サーバソフトウェア113に従って、認証要求メッセージに含まれるものと同じユーザID及びパスワードを含むアカウントがEDCユーザデータベース121に登録されているかどうかチェックする。そして、かかるアカウントが登録されている場合には、アカウントが有効である旨のレスポンスを要求元端末22へ応答し、かかるアカウントが登録されていない場合には、アカウントが無効である旨のレスポンスを要求元端末22へ応答する。   On the other hand, in S109, which is executed when “Synchronize with server” is selected, the terminal 22 activates the web browser software 221, and uses the character strings entered in the fields 45 and 46 as the ID and password, respectively. An HTTP request message (authentication request message) included as a parameter indicating “” is transmitted to the web server 11. The web server 11 that has received the authentication request message activates the subject personal information management server software 113. Then, according to the subject personal information management server software 113, it is checked whether an account including the same user ID and password as those included in the authentication request message is registered in the EDC user database 121. If such an account is registered, a response indicating that the account is valid is returned to the request source terminal 22, and if such an account is not registered, a response indicating that the account is invalid is returned. It responds to the request source terminal 22.

端末22は、次のS110において、ウェブサーバ11からのレスポンスの内容をチェックし、アカウントが無効である旨のレスポンスであれば、ID及びパスワードを再入力させるために処理をS104へ戻し、アカウントが有効である旨のレスポンスであれば、処理をS111へ進める。   In step S110, the terminal 22 checks the content of the response from the web server 11. If the response indicates that the account is invalid, the terminal 22 returns the processing to step S104 to re-enter the ID and password. If the response is valid, the process proceeds to S111.

S111では、端末22は、施設マスターキーを要求する旨のHTTPリクエストメッセージ(施設マスターキー要求メッセージ)を、ウェブサーバ11へ送信する(マスターキーダウンロード手段に相当)。この施設マスターキー要求メッセージを受信したウェブサーバ11は、当該被験者個人情報管理サーバソフトウェア113に従って、上記アカウントに含まれる施設IDに対応した施設マスターキーを試験参加施設マスターキーデータベース123から読み出し、要求元端末22へ応答する。   In S111, the terminal 22 transmits an HTTP request message (facility master key request message) for requesting a facility master key to the web server 11 (corresponding to a master key download unit). The web server 11 that has received this facility master key request message reads out the facility master key corresponding to the facility ID included in the account from the test participating facility master key database 123 according to the subject personal information management server software 113, and sends the request source It responds to the terminal 22.

端末22は、次のS112において、施設設定ファイル224から、暗号化された施設セッションキーを読み出す。そして、端末22は、S111にてウェブサーバ11から取得した施設マスターキーを用いて、施設セッションキーを復号化する(鍵復号化手段に相当)。   In the next step S112, the terminal 22 reads the encrypted facility session key from the facility setting file 224. Then, the terminal 22 decrypts the facility session key using the facility master key acquired from the web server 11 in S111 (corresponding to a key decryption unit).

次のS113では、端末22は、施設被験者個人情報データベースのコピー114を要求する旨のHTTPリクエストメッセージ(被験者個人情報データベース要求メッセージ)を、ウェブサーバ11へ送信する(ダウンロード手段に相当)。この被験者個人情報デ
ータベース要求メッセージを受信したウェブサーバ11は、被験者個人情報管理サーバソフトウェア113に従って、上記アカウントに含まれる施設IDに対応した施設被験者個人情報データベース212のコピー114のファイルを読み出して、要求元端末22へ応答する。端末22は、このようにしてダウンロードした被験者個人情報データベース212のコピー114のファイルを、ファイルサーバにおけるS103にて読み出したデータ保存ディレクトリに上書きする。S113を完了すると、端末22は、処理をS114へ進める。 In the next S113, the terminal 22 transmits an HTTP request message (subject personal information database request message) for requesting a copy 114 of the facility subject personal information database to the web server 11 (corresponding to download means). The web server 11 that has received the subject personal information database request message reads out the file 114 of the copy of the facility subject personal information database 212 corresponding to the facility ID included in the account according to the subject personal information management server software 113, and requests it. It responds to the former terminal 22. The terminal 22 overwrites the data storage directory read out in S103 in the file server with the file of the copy 114 of the subject personal information database 212 downloaded in this way. When S113 is completed, the terminal 22 advances the process to S114.

S114では、端末22は、ファイルサーバ21におけるS103にて読み出したデータ保存ディレクトリに存在するファイル中の被験者個人情報データベース212をRAM27上に読み込んで、S106又はS112にて復号化された施設セッションキーを用いて復号化する(復号化手段に相当)。   In S114, the terminal 22 reads the subject personal information database 212 in the file existing in the data storage directory read in S103 in the file server 21 on the RAM 27, and uses the facility session key decrypted in S106 or S112. And decrypting it (corresponding to decryption means).

次のS201では、端末22は、S114にて復号化した被験者個人情報データベース212のファイルから各被験者の個人情報を読み込んで、図15に示す被験者個人情報管理画面を、ディスプレイ28上に表示する。この被験者個人情報管理画面には、被験者個人情報データベース212から読み込んだ各被験者毎の個人情報を各行に表示するための表50,当該表50に追加されるべき新規被験者の個人情報を書き込むための複数のテキストボックスを備えた個人情報入力領域58,データ検索ボタン51,新規発行ボタン52,被験者識別ID欄59,EDC登録ボタン49,保存終了ボタン53を、含んでいる。   In the next S201, the terminal 22 reads the personal information of each subject from the file of the subject personal information database 212 decrypted in S114, and displays the subject personal information management screen shown in FIG. In this subject personal information management screen, a table 50 for displaying personal information for each subject read from the subject personal information database 212 in each row, and personal information of a new subject to be added to the table 50 are written. A personal information input area 58 having a plurality of text boxes, a data search button 51, a new issue button 52, a subject identification ID field 59, an EDC registration button 49, and a save end button 53 are included.

個々の被験者に対応した表50の各行には、夫々、「連番」,「被験者識別ID」,「患者氏名」,「カルテ番号」,「イニシャル姓」,「イニシャル名」,「性別」,「生年月日」,「疾患」,「省令登録番号」の各フィールドが、含まれている。このうち、連番とは、当該表における行の通し番号である。また、被験者識別IDとは、当該試験参加施設2において一意の被験者識別番号である。また、患者氏名とは被験者の実名である。また、カルテ番号とは、当該試験参加施設において当該被験者に対して行われた診断・治療の記録(カルテ)に付された識別番号である。また、イニシャル姓とは、被験者の姓のローマ字の頭文字であり、イニシャル名とは、被験者の名のローマ字の頭文字である。また、疾患とは、当該被験者が現在罹患している疾患名である。また、症例登録番号とは、上記疾患に対応した識別番号である。これらのうち、患者氏名,イニシャル姓及びイニシャル名は、個人を特定できる情報にあたり、これを含むことで当該被験者の個人情報が保護すべき個人情報となるため、常時被験者個人情報データベース212に格納されて暗号化されているのである。   In each row of the table 50 corresponding to each subject, “serial number”, “subject identification ID”, “patient name”, “medical chart number”, “initial last name”, “initial name”, “sex”, The fields of “date of birth”, “disease”, and “Ministry Ordinance Registration Number” are included. Among these, the serial number is a serial number of the row in the table. The subject identification ID is a unique subject identification number in the test participating facility 2. The patient name is the real name of the subject. The medical record number is an identification number attached to a record (medical record) of diagnosis / treatment performed on the subject in the test participating facility. The initial surname is a Roman initial of the subject's last name, and the initial name is the Roman initial of the subject's first name. The disease is the name of the disease that currently affects the subject. The case registration number is an identification number corresponding to the disease. Among these, the patient's name, initial surname, and initial name are information that can identify an individual, and by including this, personal information of the subject becomes personal information that should be protected. It is encrypted.

個人情報入力領域58には、表50に登録される各種情報のうち、患者氏名,イニシャル姓,イニシャル名,生年月日,性別及び疾患を夫々入力するための7個のテキストボックスを含んでいる。操作者が、入力装置19を用いてこれら各テキストボックス内に値を書き込んだ状態で新規発行ボタン52を入力すると、新規の被験者識別IDが生成され、この新規被験者識別ID及び各テキストボックス内に書き込まれた値からなる新規被験者の個人情報が、RAM27上の被験者個人情報データベース212に追記されるとともに、追記された個人情報を表示した新規レコード(行)が、表50に追加される。   The personal information input area 58 includes seven text boxes for inputting the patient's name, initial surname, initial name, date of birth, sex, and disease, among various information registered in the table 50. . When the operator inputs a new issue button 52 in a state where values are written in these text boxes using the input device 19, a new subject identification ID is generated, and this new subject identification ID and each text box are displayed. The personal information of the new subject consisting of the written value is added to the subject personal information database 212 on the RAM 27, and a new record (row) displaying the added personal information is added to the table 50.

個人情報入力領域58中の何れかのダイアログボックスに対応する種類の個人情報が入力された状態,若しくは、被験者識別ID欄59に何れかの被験者の被験者識別IDが入力された状態でデータ検索ボタン51が操作されると、表50がスクロールされて、入力された情報に合致する行が、ハイライトされた状態で表示される。   A data search button in a state in which personal information of a type corresponding to any one of the dialog boxes in the personal information input area 58 has been input, or a subject identification ID of any subject has been input in the subject identification ID field 59 When 51 is operated, the table 50 is scrolled, and the line that matches the input information is displayed in a highlighted state.

端末22は、次のS202において、S201にて表示された被験者個人情報管理画面
上において何らかの操作がなされるのを待つ。そして、EDC登録ボタン49が操作された場合には、S203において、その時点で新規入力被験者識別ID欄54に入力されている被験者識別IDに相当する被験者の個人情報(但し、被験者氏名,イニシャル姓,イニシャル名を除く)を表50から抽出し、ウェブブラウザーソフトウェア221を起動して、このウェブブラウザーソフトウェア221の機能を用いて、ウェブサーバ11上のEDCサーバソフトウェア111へ送信する。以後、ウェブブラウザーソフトウェア221とEDCサーバソフトウェア111との間でデータ授受がなされることにより、端末22の操作者が、上記被験者についての治験情報を上記個人情報とともに臨床試験データベース122に登録する処理,及び、上記個人情報に対応付けて臨床試験データベース122に登録されている治験情報を更新する処理を、実行できるようになる。S203を完了すると、端末22は、処理をS202に戻す。以上説明したS201乃至S204の処理が、個人情報更新手段に相当する。 In the next S202, the terminal 22 waits for some operation on the subject personal information management screen displayed in S201. If the EDC registration button 49 is operated, the personal information of the subject corresponding to the subject identification ID inputted in the new input subject identification ID column 54 at that time (however, the subject's name, initial surname) , Excluding the initial name) is extracted from the table 50, the web browser software 221 is activated, and is transmitted to the EDC server software 111 on the web server 11 using the function of the web browser software 221. Thereafter, data exchange between the web browser software 221 and the EDC server software 111 allows the operator of the terminal 22 to register clinical trial information about the subject in the clinical trial database 122 together with the personal information. And the process which updates the clinical trial information registered in the clinical trial database 122 in association with the personal information can be executed. When S203 is completed, the terminal 22 returns the process to S202. The processes of S201 to S204 described above correspond to personal information update means.

また、被験者個人情報管理画面上においてデータ検索ボタン51,新規発行ボタン52が操作された場合には、端末22は、S204において、上述した如き処理を行った後に、処理をS202に戻す。   When the data search button 51 and the new issue button 52 are operated on the subject personal information management screen, the terminal 22 returns the process to S202 after performing the process as described above in S204.

これに対して、被験者個人情報管理画面上において保存終了ボタン53が操作された場合には、端末22は、処理をS205へ進める。S205では、端末22は、S201にてRAM27上に読み込まれた被験者個人情報データベース212のファイルの内容(個人情報)に変化があったかどうかをチェックする。そして、個人情報に変化がなければ、端末22は、処理をそのままS207へ進める。これに対して、個人情報に変化があれば、端末22は、S206において、S106又はS112にて復号化された施設セッションキーを用いて、RAM27上に存在する被験者個人情報データベース212を暗号化し(暗号化手段に相当)、これをファイル化してファイルサーバ21上のデータ保存ディレクトリに上書きする。S206の完了後、端末22は、処理をS207へ進める。   On the other hand, when the save end button 53 is operated on the subject personal information management screen, the terminal 22 advances the process to S205. In S205, the terminal 22 checks whether there has been a change in the contents (personal information) of the file in the subject personal information database 212 read into the RAM 27 in S201. If there is no change in the personal information, the terminal 22 advances the process to S207 as it is. On the other hand, if there is a change in the personal information, the terminal 22 encrypts the subject personal information database 212 existing on the RAM 27 in S206 using the facility session key decrypted in S106 or S112 ( This corresponds to encryption means), and is converted into a file and overwritten on the data storage directory on the file server 21. After completing S206, the terminal 22 advances the process to S207.

S207では、端末22は、S103で読み出したシステム運用方式の種別をチェックし、「サーバと連動」が選択されている場合には処理をS210へ進め、「ローカル」が選択されている場合には処理をS208へ進める。   In S207, the terminal 22 checks the type of the system operation method read in S103, and proceeds to S210 if “interlock with server” is selected, and if “local” is selected. The process proceeds to S208.

S208では、端末22は、S107にてRAM27上に読み込まれたローカルユーザデータベース211のファイルの内容に変化があったかどうかをチェックする。そして、変化がなければ、端末22は、処理をそのままS212へ進め、変化があれば、S209において、S106にて復号化された施設セッションキーを用いて、RAM27上に存在するローカルユーザデータベース211のファイルを暗号化し、ファイルサーバ21上のデータ保存ディレクトリに上書きした後に、処理をS212へ進める。   In S208, the terminal 22 checks whether there is a change in the contents of the file of the local user database 211 read into the RAM 27 in S107. If there is no change, the terminal 22 proceeds directly to S212. If there is a change, the terminal 22 uses the facility session key decrypted in S106 in S209 to store the local user database 211 in the RAM 27. After encrypting the file and overwriting the data storage directory on the file server 21, the process proceeds to S212.

これに対して、S210では、端末22は、ウェブブラウザーソフトウェア221を起動して、接続を要求するHTTPリクエストメッセージ(接続要求メッセージ)を、ウェブサーバ11へ送信させる。   On the other hand, in S210, the terminal 22 activates the web browser software 221 and transmits an HTTP request message (connection request message) for requesting connection to the web server 11.

次のS211では、端末22は、ウェブブラウザーソフトウェア221の機能を用いて、ファイルサーバ21上のデータ保存ディレクトリに存在する被験者個人情報データベース212のコピー114を格納したファイルを、被験者個人情報管理サーバソフトウェアを実行しているウェブサーバ11へアップロードする(アップロード手段に相当)。S211を完了すると、端末22は、処理をS212へ進める。   In next step S211, the terminal 22 uses the function of the web browser software 221 to store a file storing a copy 114 of the subject personal information database 212 existing in the data storage directory on the file server 21 with the subject personal information management server software. Is uploaded to the web server 11 (corresponding to upload means). When S211 is completed, the terminal 22 advances the process to S212.

S212では、端末22は、ファイルサーバ21上の被験者個人情報データベース212のファイルに対する排他ロックを解除する。S212を完了すると、端末22は、この
被験者個人情報管理クライアントソフトウェア222に従った処理を終了する。このように被験者個人情報管理クライアントソフトウェア222に従った処理が終了すると、当該端末22のRAM27に残された平文の被験者個人情報データベース212は、消滅する。 In S <b> 212, the terminal 22 releases the exclusive lock on the file of the subject personal information database 212 on the file server 21. When S212 is completed, the terminal 22 ends the process according to the subject personal information management client software 222. Thus, when the process according to the subject personal information management client software 222 is completed, the plaintext subject personal information database 212 left in the RAM 27 of the terminal 22 disappears.

4.実施形態による動作
以上のように構成された本実施形態による個人情報管理システムによると、試験参加施設2において、治験コーディネータ又は主任の医師が、治験依頼者から治験計画書を受け取ると、当該治験コーディネータ又は主任の医師は、当該試験参加施設2に通院又は入院している患者若しくは当該試験参加施設2外からスカウトしてきた者の中から、治験計画書に従って適切な者を所定人数選択し、これらの者の了解を取り付けた上で、これらの者を当該治験における被験者として決定する。 4). Operation According to Embodiment According to the personal information management system according to the present embodiment configured as described above, when the study coordinator or the principal doctor receives the study plan from the study sponsor at the study participating facility 2, the study coordinator Or, the chief physician selects a certain number of appropriate persons according to the clinical trial plan from patients who are hospitalized or hospitalized at the study participating facility 2 or who have been scouted from outside the study participating facility 2. With their consent, these individuals are determined as subjects in the trial.

その上で、当該治験コーディネータ又は主任の医師は、当該試験参加施設2において自己が使用している端末22を操作することにより、上述したように、ウェブサーバ11(EDCサーバソフトウェア111)から被験者個人情報管理クライアントインストールプログラム112をダウンロードし、被験者個人情報管理クライアントインストールプログラム112を端末22上で実行することにより、被験者個人情報管理クライアントソフトウェア222及びシステム設定情報ファイル223を、ハードディスク29における所定のフォルダにインストールする。このように、端末を個人情報管理装置として機能させる被験者個人情報管理クライアントソフトウェア222は、インターネット,専用線等の広域ネットワークNを介して臨床試験データセンター1からダウンロードされるので、簡単に利用することができる。   Then, the clinical trial coordinator or the chief physician operates the terminal 22 used by the self in the trial participation facility 2 to thereby make the individual test subject from the web server 11 (EDC server software 111) as described above. By downloading the information management client installation program 112 and executing the subject personal information management client installation program 112 on the terminal 22, the subject personal information management client software 222 and the system setting information file 223 are stored in a predetermined folder in the hard disk 29. install. As described above, the subject personal information management client software 222 that causes the terminal to function as a personal information management device is downloaded from the clinical trial data center 1 through the wide area network N such as the Internet or a dedicated line, so that it can be easily used. Can do.

次に、当該治験コーディネータ又は主任の医師は、端末22上で被験者個人情報管理クライアントソフトウェア222を実行する。このとき、ファイルサーバ212のデータ保存ディレクトリには、未だ当該治験についての被験者個人情報データベース212のファイルは格納されていないので、施設設定ファイルチェック画面(図8)が、ディスプレイ28上に表示される(S001:yes,S002)。但し、この時点では、試験参加施設2内には、当該治験についての施設設定ファイル224は存在していないので、当該治験コーディネータ又は主任の医師は、当然に、「新規作成」を選択して、作成ボタン38を操作することになる(S003:新規作成)。すると、ディスプレイ28上に、システム初期設定画面(図9)が表示される(S005)。   Next, the trial coordinator or the chief physician executes the subject personal information management client software 222 on the terminal 22. At this time, since the file of the subject personal information database 212 for the trial is not yet stored in the data storage directory of the file server 212, the facility setting file check screen (FIG. 8) is displayed on the display 28. (S001: yes, S002). However, at this time, since there is no facility setting file 224 for the trial in the study participating facility 2, the study coordinator or the chief doctor naturally selects “Create New” The creation button 38 is operated (S003: new creation). Then, a system initial setting screen (FIG. 9) is displayed on the display 28 (S005).

当該治験コーディネータ又は主任の医師が、当該システム初期設定画面(図9)のデータ保存先記入欄41にファイルサーバ21における所定のデータ保存ディレクトリのパスを記入し、施設ID記入欄42に当該試験参加施設2の識別情報を記入するとともに、システム運用形式の種別を適宜選択して、システム初期化ボタン57を操作すると、乱数に基づいて当該試験参加施設内部でのみ使用可能な施設セッションキーが生成されるとともに、RAM27上に、初期値の被験者個人情報データベース212が生成される(S006)。なお、以下の説明は、システム運用形式の種別として「EDCサーバと連動」が選択された場合を例にとって進めることとする(S007:サーバと連動)。   The clinical trial coordinator or chief physician enters the path of a predetermined data storage directory in the file server 21 in the data storage destination entry field 41 of the system initial setting screen (FIG. 9), and participates in the trial in the facility ID entry field 42 When the identification information of the facility 2 is entered, the type of system operation format is appropriately selected, and the system initialization button 57 is operated, a facility session key that can be used only within the test participating facility is generated based on a random number. At the same time, an initial subject personal information database 212 is generated on the RAM 27 (S006). In the following description, the case where “linked with EDC server” is selected as the type of system operation format will be described as an example (S007: linked with server).

すると、次に、端末22のディプレイ上には、システム初期ログイン画面(図10)が表示される(S012)。そこで、当該治験コーディネータ又は主任の医師は、予め臨床試験データセンター1によって割り当てられている自己のユーザID及びパスワードを、当該システム初期ログイン画面中の各欄54,55に夫々入力した状態でログインボタン56を操作する。すると、これらユーザID及びパスワードを受信したウェブサーバ11(被験者個人情報管理サーバソフトウェア113)が、これらユーザID及びパスワードの組合せと同じアカウントがEDCユーザデータベース121に登録されているかどうか
の認証を行い、登録されているならば、認証が成功したものとして、当該アカウントに含まれる当該試験参加施設2の識別情報に対応した施設マスターキーを、試験参加施設マスターキーデータベース123から読み出して、要求元端末22に送信する(S013)。 Then, a system initial login screen (FIG. 10) is displayed on the display of the terminal 22 (S012). Therefore, the clinical trial coordinator or the chief physician enters the login button in the state where the user ID and password assigned in advance by the clinical trial data center 1 are entered in the respective fields 54 and 55 in the system initial login screen. 56 is operated. Then, the web server 11 (subject personal information management server software 113) that has received these user IDs and passwords authenticates whether the same account as the combination of these user IDs and passwords is registered in the EDC user database 121, If registered, it is assumed that the authentication is successful, and the facility master key corresponding to the identification information of the test participating facility 2 included in the account is read from the test participating facility master key database 123, and the request source terminal 22 (S013).

端末22は、このようにして臨床試験データセンター1から取得した当該試験参加施設2に専用の施設マスターキーを用いて、先ず、施設セッションキーをコピーして、施設マスターキーを用いて当該コピーを暗号化し、施設設定ファイル224にファイル化した状態で、ハードディスク29の同一ディレクトリに保存する(S014)。また、施設セッションキーのオリジナルを用いて被験者個人情報データベース212を暗号化した後に、当該施設セッションキーのオリジナル及び施設マスターキーを廃棄する(S015)。   The terminal 22 first copies the facility session key to the trial participating facility 2 acquired from the clinical trial data center 1 in this way, using the facility master key, and then copies the copy using the facility master key. The data is encrypted and stored in the facility setting file 224 in the same directory on the hard disk 29 (S014). Further, after encrypting the subject personal information database 212 using the original facility session key, the original facility session key and the facility master key are discarded (S015).

以上のようにして、当該治験コーディネータ又は主任の医師が使用する端末22内には施設設定ファイル224が作成され、ファイルサーバ21には被験者個人情報データベース212のファイルが作成されるので、当該端末22からは、以後、被験者個人情報データベース212に対するアクセス,即ち、被験者の臨床データの登録が可能となる(S101〜)。   As described above, the facility setting file 224 is created in the terminal 22 used by the clinical trial coordinator or the chief doctor, and the file of the subject personal information database 212 is created in the file server 21. Therefore, the terminal 22 From then on, it becomes possible to access the subject personal information database 212, that is, to register the clinical data of the subject (S101).

また、治験コーディネータ又は主任の医師は、端末22のハードディスク29から施設設定ファイル224をリムーバブルメディアにコピーして、これを当該試験参加施設2内の他の端末22に配布することができる。即ち、他の端末22において、EDCユーザデータベース121に登録されている治験コーディネータ又は医師が上述したのと同じ操作を行えば、被験者個人情報管理クライアントソフトインストールプログラム112をウェブサーバ11(EDCサーバソフトウェア111)からダウンロードして実行することにより、被験者個人情報管理クライアントソフトウェア222を、その端末22のハードディスク29にインストールすることができる。そして、被験者個人情報管理クライアントソフトウェア222を立ち上げ、施設設定ファイルチェック画面(S002,図8)において「既存のファイルをコピー」を選択し、ファイル位置指定欄37に上記リムーバブルメディア内における施設設定ファイル224を保存したディレクトリのパスを記入して、作成ボタン38を操作すれば、当該リムーバブルメディア内から施設設定ファイル224が、当該他の端末22におけるハードディスク29における所定のディレクトリにコピーされる(S004)。これにより、当該他の端末22でも、上記治験コーディネータ又は主任の医師が使用する端末22におけるのと同様に、被験者個人情報データベース212に対するアクセス,即ち、被験者の臨床データの登録が可能となる(S101〜)。   In addition, the clinical trial coordinator or the chief doctor can copy the facility setting file 224 from the hard disk 29 of the terminal 22 to a removable medium and distribute it to the other terminals 22 in the trial participating facility 2. That is, if the trial coordinator or doctor registered in the EDC user database 121 performs the same operation as described above on the other terminal 22, the subject personal information management client software installation program 112 is downloaded to the web server 11 (EDC server software 111). The personal information management client software 222 for the subject can be installed in the hard disk 29 of the terminal 22. Then, the subject personal information management client software 222 is started, “Copy existing file” is selected on the facility setting file check screen (S002, FIG. 8), and the facility setting file in the removable medium is displayed in the file location designation field 37. If the path of the directory storing 224 is entered and the creation button 38 is operated, the facility setting file 224 is copied from the removable medium to a predetermined directory on the hard disk 29 in the other terminal 22 (S004). . As a result, the other terminal 22 can access the subject personal information database 212, that is, register the clinical data of the subject, similarly to the terminal 22 used by the clinical trial coordinator or the principal doctor (S101). ~).

また、以上のようにして被験者個人情報管理クライアントソフトウェア222及び施設設定ファイル224を既に備えている端末22において 当該被験者個人情報管理クライアントソフトウェア222が2度目以降に起動されると、S002からS016の処理が
スキップされて(S001:yes)、直ちに、被験者個人情報データベース212に対するアクセス,即ち、被験者の臨床データの登録が可能となる(S101〜)。 Further, when the subject personal information management client software 222 is started for the second time or later in the terminal 22 that already has the subject personal information management client software 222 and the facility setting file 224 as described above, the processing from S002 to S016 is performed. Is skipped (S001: yes), the subject personal information database 212 can be immediately accessed, that is, the clinical data of the subject can be registered (S101-).

被験者個人情報データベース212に対するアクセスをする際には、端末22は、他の端末22が排他ロックしていないことを条件に、当該被験者個人情報データベース212のファイルを排他ロックし(S101:成功)、ウェブサーバ11(被験者個人情報管理サーバソフトウェア113)から施設マスターキーを取得し(S111)、当該施設マスターキーを用いて施設セッションキーを復号化するとともに(S112)、当該試験参加施設の施設被験者個人情報データベース212のコピー114を格納したファイルをダウンロードして、これをファイルサーバ21に上書きし(S113)、復号化された施設セッションキーを用いてRAM27上で当該被験者個人情報データベース212を復号化する(S114)。以上の手続きを踏むことにより、ウェブサーバ11によって保管されていた被験者個人情報データベース212へのアクセスが可能となる。即ち、被験者個人情
報管理画面(図15)中の表50にその内容を表示させて、この被験者個人情報管理画面(図15)を通じて、被験者個人情報データベース212に各被験者の個人情報を追加することが可能となる(S201〜S204)。 When accessing the subject personal information database 212, the terminal 22 exclusively locks the file of the subject personal information database 212 on the condition that the other terminal 22 is not exclusively locked (S101: success), The facility master key is acquired from the web server 11 (subject personal information management server software 113) (S111), the facility session key is decrypted using the facility master key (S112), and the facility subject individual of the test participating facility A file storing a copy 114 of the information database 212 is downloaded, overwritten on the file server 21 (S113), and the subject personal information database 212 is decrypted on the RAM 27 using the decrypted facility session key. (S114). By following the above procedure, it is possible to access the subject personal information database 212 stored by the web server 11. That is, the contents are displayed on the table 50 in the subject personal information management screen (FIG. 15), and the personal information of each subject is added to the subject personal information database 212 through the subject personal information management screen (FIG. 15). (S201 to S204).

以上のようにして被験者個人情報データベース212中の各被験者の個人情報の更新がなされた場合には(S205:あり)、端末22は、更新後の被験者個人情報データベース212を暗号化してファイル化したファイルをファイルサーバ21に上書きするとともに(S206)、これをウェブサーバ11(被験者個人情報管理サーバソフトウェア113)にアップロードする。そして、その後、当該被験者個人情報管理クライアントソフトウェア222による処理が終了すると、RAM27上に残された平文の被験者個人情報データベース212が消去される。   When the personal information of each subject in the subject personal information database 212 is updated as described above (S205: Yes), the terminal 22 encrypts the updated subject personal information database 212 into a file. The file is overwritten on the file server 21 (S206), and this is uploaded to the web server 11 (subject personal information management server software 113). After that, when the processing by the subject personal information management client software 222 ends, the plaintext subject personal information database 212 remaining on the RAM 27 is erased.

このように、本実施形態によると、試験参加施設2において、被験者個人情報データベース212は、常時暗号化されてファイル化された状態でファイルサーバ21に保管されているので、アクセス権限を有さない(即ち、個人IDが臨床試験センター1のEDCユーザデータベース121に登録されていない)者や、アクセス権限を有していても正当な手順を踏まない者が被験者個人情報データベース212にアクセスしても、その内容を知ることができない。   As described above, according to the present embodiment, in the test participation facility 2, the subject personal information database 212 is stored in the file server 21 in a state of being always encrypted and filed, and thus has no access authority. Even if a person (whose personal ID is not registered in the EDC user database 121 of the clinical trial center 1) or a person who has access authority but does not follow the proper procedure accesses the subject personal information database 212 , Can not know the contents.

また、被験者個人情報データベース212を復号化するための施設セッションキーは、暗号化された状態で施設設定ファイル224内に保管されているので、アクセス権限を有さない者や、アクセス権限を有していても正当な手順を踏まない者は、復号化に用いられる平文の施設セッションキーを入手することができないので、被験者個人情報データベース212が不正に復号化されることが防止される。このように暗号化された施設セッションキーは、被験者個人情報データベース212を復号化することができないので、リムーバブルメディアを用いて当該試験参加施設内で配布したり、紛失に備えて当該試験参加施設内にバックアップしておくことが可能となる。   In addition, since the facility session key for decrypting the subject personal information database 212 is stored in the facility setting file 224 in an encrypted state, the facility session key has no access authority or has access authority. However, since a person who does not follow the proper procedure cannot obtain the plaintext facility session key used for decryption, the subject personal information database 212 is prevented from being decrypted illegally. The facility session key encrypted in this manner cannot be decrypted in the subject personal information database 212, so that it can be distributed within the test participating facility using removable media, or in the test participating facility in preparation for loss. Can be backed up.

また、暗号化された被験者個人情報ベース212のコピー114は、臨床試験データセンター1(ウェブサーバ11)にアップロードされてバックアップされているので、試験参加施設においてファイルサーバ21上の被験者個人情報データベース212が誤って消去されたり破壊された場合であっても、臨床試験データセンター1(ウェブサーバ11)にバックアップされているコピー114を用いて、正しい被験者個人情報データベース212を復元することができる。このようにして臨床試験データセンター1(ウェブサーバ11)にバックアップされている被験者個人情報ベース212のコピー114は、施設セッションキーを用いて暗号化されているので、かかる施設セッションキーが存在していない臨床試験データセンター1(ウェブサーバ11)側では、たとえ当該試験参加施設の施設マスターキーが入手可能であったとしても、これを復号化してその内容を盗み見ることはできない。ましてや、臨床試験データセンター1(ウェブサーバ11)から違法に当該被験者個人情報ベース212のコピー114を盗んだ者は、従って、その内容を盗み見ることはできない。その結果、本実施形態によると、試験参加施設において取得された被験者の個人情報を強固に保護することが可能になるのである。   Since the encrypted copy 114 of the subject personal information base 212 is uploaded to the clinical trial data center 1 (web server 11) and backed up, the subject personal information database 212 on the file server 21 at the trial participating facility. Even if it is accidentally deleted or destroyed, the correct subject personal information database 212 can be restored using the copy 114 backed up in the clinical trial data center 1 (web server 11). Since the copy 114 of the subject personal information base 212 backed up in the clinical trial data center 1 (web server 11) in this way is encrypted using the facility session key, the facility session key exists. On the side of the clinical trial data center 1 (web server 11) that does not exist, even if the facility master key of the trial participating facility is available, it cannot be decrypted and the contents cannot be seen. Moreover, a person who illegally stole a copy 114 of the subject personal information base 212 from the clinical trial data center 1 (web server 11) cannot therefore steal the contents. As a result, according to the present embodiment, it is possible to strongly protect the personal information of the subject acquired at the test participating facility.

本発明による実施の形態であるコンピュータネットワークの概略ソフトウェア構成を示すブロック図The block diagram which shows the schematic software structure of the computer network which is embodiment by this invention 本発明による実施の形態であるコンピュータネットワークの概略ハードウェア構成を示すブロック図1 is a block diagram showing a schematic hardware configuration of a computer network according to an embodiment of the present invention. 被験者個人情報管理クライアントソフトウェアによる処理を示すフローチャートFlow chart showing processing by subject personal information management client software 被験者個人情報管理クライアントソフトウェアによる処理を示すフローチャートFlow chart showing processing by subject personal information management client software 被験者個人情報管理クライアントソフトウェアによる処理を示すフローチャートFlow chart showing processing by subject personal information management client software EDCシステムの入口画面を示す図The figure which shows the entrance screen of the EDC system メニュー画面を示す図Figure showing the menu screen 施設設定ファイルチェック画面を示す図Figure showing the facility settings file check screen システム初期設定画面を示す図Figure showing the system initial settings screen ローカルユーザ設定画面を示す図Figure showing the local user setting screen システム初期ログイン画面を示す図Figure showing the system initial login screen システム初期設定画面を示す図Figure showing the system initial settings screen システムログイン画面を示す図Figure showing the system login screen システム使用中画面を示す図Figure showing the system busy screen 被験者個人情報管理画面を示す図Figure showing the subject personal information management screen

符号の説明Explanation of symbols

1 臨床試験データセンター
2 試験参加施設
11 ウェブサーバ
12 データベースサーバ
21 ファイルサーバ
22 端末
112 被験者個人情報管理クライアントソフトインストールプログラム
113 被験者個人情報管理サーバソフトウェア
121 EDCユーザデータベース
123 試験参加施設マスターキーデータベース
212 被験者個人情報データベース
221 ウェブブラウザーソフトウェア
222 被験者個人情報管理クライアントソフトウェア
224 施設設定ファイル 1 Clinical Trial Data Center 2 Study Participating Facility 11 Web Server 12 Database Server 21 File Server 22 Terminal 112 Subject Personal Information Management Client Software Installation Program 113 Subject Personal Information Management Server Software 121 EDC User Database 123 Study Participating Facility Master Key Database 212 Subject Individual Information database 221 Web browser software 222 Subject personal information management client software 224 Facility setting file

Claims (4)

個人情報を個人情報ファイルに格納して保管するための個人情報管理装置であって、
ネットワークを介してサーバ装置と通信可能な通信装置と、
入力装置と、
記憶装置と、
を発行する鍵発行手段と、
前記入力装置を通じて入力される情報に従って、前記個人情報ファイルに格納すべき個人情報の更新を行う個人情報更新手段と、
前記個人情報更新手段による前記個人情報に対する更新を行った後に、前記鍵発行手段によって発行された前記鍵を用いて、前記個人情報を暗号化する暗号化手段と、
当該暗号化手段によって暗号化された前記個人情報を格納した個人情報ファイルを前記通信装置を用いて前記サーバ装置にアップロードするアップロード手段と、
前記入力装置を通じて入力される情報に従って、前記サーバ装置から、前記個人情報ファイルをダウンロードするダウンロード手段と、
前記サーバ装置から所定のマスターキーをダウンロードするマスターキーダウンロード手段と、
前記鍵発行手段によって発行された鍵を前記マスターキーを用いて暗号化する鍵暗号化手段と、
前記鍵暗号化手段によって暗号化された鍵を前記記憶装置に保存する鍵保存手段と、
前記記憶装置に保存されている鍵を取り出し、前記マスターキーを用いて復号化する鍵復号化手段と、
前記鍵復号化手段によって復号化された鍵を用いて、前記ダウンロード手段によってダウンロードされた前記個人情報ファイル中の暗号化された個人情報を復号化する復号化手段と、
前記復号化手段によって復号化された前記個人情報の内容を出力する出力装置と
を備えたことを特徴とする個人情報管理装置。 A personal information management device for storing and storing personal information in a personal information file,
A communication device capable of communicating with a server device via a network;
An input device;
A storage device;
And key issue means for issuing a key,
Personal information updating means for updating personal information to be stored in the personal information file in accordance with information input through the input device;
An encryption means for encrypting the personal information using the key issued by the key issuing means after updating the personal information by the personal information updating means;
Upload means for uploading the personal information file storing the personal information encrypted by the encryption means to the server device using the communication device;
Download means for downloading the personal information file from the server device in accordance with information input through the input device;
Master key download means for downloading a predetermined master key from the server device;
Key encryption means for encrypting the key issued by the key issuing means using the master key;
Key storage means for storing the key encrypted by the key encryption means in the storage device;
A key decryption means for extracting a key stored in the storage device and decrypting the key using the master key;
Decryption means for decrypting the encrypted personal information in the personal information file downloaded by the download means using the key decrypted by the key decryption means;
A personal information management device comprising: an output device that outputs the content of the personal information decrypted by the decrypting means. 前記鍵暗号化手段は、前記鍵を暗号化した後に前記マスターキーを破棄する
ことを特徴とする請求項1記載の個人情報管理装置。 The key encryption means, according to claim 1 Symbol placement of personal information management apparatus, characterized in that discarding the master key after encrypting the key. ネットワークを介してサーバ装置と通信可能な通信装置,出力装置,入力装置を有する
コンピュータを、
を発行する鍵発行手段,
前記入力装置を通じて入力される情報に従って、個人情報ファイルに格納すべき個人情報の更新を行う個人情報更新手段,
前記個人情報更新手段による前記個人情報に対する更新を行った後に、前記鍵発行手段によって発行された前記鍵を用いて、前記個人情報を暗号化する暗号化手段,
当該暗号化手段によって暗号化された前記個人情報を格納した個人情報ファイルを前記通信装置を用いて前記サーバ装置にアップロードするアップロード手段,
前記入力装置を通じて入力される情報に従って、前記サーバ装置から、前記個人情報ファイルをダウンロードするダウンロード手段,
前記鍵発行手段によって発行された鍵を前記マスターキーを用いて暗号化する鍵暗号化手段,
前記鍵暗号化手段によって暗号化された鍵を前記記憶装置に保存する鍵保存手段,
前記記憶装置に保存されている鍵を取り出し、前記マスターキーを用いて復号化する鍵復号化手段,
前記鍵復号化手段によって復号化された鍵を用いて、前記ダウンロード手段によってダウンロードされた前記個人情報ファイル中の暗号化された個人情報ファイルを復号化する復号化手段,及び
前記復号化手段によって復号化された前記個人情報ファイルの内容を前記出力装置を用いて出力する出力手段
として機能させる個人情報管理プログラム。 A computer having a communication device, an output device, and an input device capable of communicating with a server device via a network,
The key issue means for issuing a key,
Personal information updating means for updating personal information to be stored in the personal information file in accordance with information input through the input device;
An encryption means for encrypting the personal information using the key issued by the key issuing means after updating the personal information by the personal information updating means;
Upload means for uploading the personal information file storing the personal information encrypted by the encryption means to the server device using the communication device;
Download means for downloading the personal information file from the server device in accordance with information input through the input device;
Key encryption means for encrypting the key issued by the key issuing means using the master key;
Key storage means for storing the key encrypted by the key encryption means in the storage device;
Key decrypting means for extracting a key stored in the storage device and decrypting the key using the master key;
Decrypting means for decrypting an encrypted personal information file in the personal information file downloaded by the downloading means using the key decrypted by the key decrypting means, and decrypting by the decrypting means The personal information management program which functions as an output means for outputting the contents of the personalized information file using the output device. 個人情報を格納した個人情報ファイルを管理するために、ネットワークを介して相互に接続された個人情報管理装置とサーバ装置とからなる個人情報管理システムであって、
前記サーバ装置は、
前記個人情報管理装置からの各要求に応じて、夫々、所定のマスターキーを前記個人情報管理装置に応答し、前記個人情報管理装置によってアップロードされた暗号化済の前記個人情報ファイルをディスク装置に保存し、前記個人情報管理装置によってダウンロード要求された暗号化済の前記個人情報ファイルを前記ディスク装置から読み出して当該個人情報管理装置へ送信し、
前記個人情報管理装置は、
ネットワークを介してサーバ装置と通信可能な通信装置と、
入力装置と、
記憶装置と、
鍵を発行する鍵発行手段と、
前記サーバ装置から前記マスターキーをダウンロードするマスターキーダウンロード手段と、
前記入力装置を通じて入力される情報に従って、前記個人情報ファイルに格納すべき個
人情報の更新を行う個人情報更新手段と、
前記個人情報更新手段による前記個人情報に対する更新を行った後に、前記鍵を用いて、 前記個人情報を暗号化する個人情報暗号化手段と、
当該個人情報暗号化手段によって暗号化された前記個人情報を格納した個人情報ファイルを前記通信装置を用いて前記サーバ装置にアップロードするアップロード手段と、
前記マスターキーダウンロード手段によって前記サーバ装置からダウンロードしたマスターキーを用いて、前記鍵を暗号化する鍵暗号化手段と、
前記鍵暗号化手段によって暗号化された鍵を前記記憶装置に保存する鍵保存手段と、
前記入力装置を通じて入力される情報に従って、前記サーバ装置から、前記個人情報ファイルをダウンロードするダウンロード手段と、
前記記憶装置に保存されている鍵を取り出して、マスターキーを用いて復号化する鍵復号化手段と、
前記鍵復号化手段によって復号化された鍵を用いて、前記ダウンロード手段によってダウンロードされた前記個人情報ファイル中の暗号化された個人情報を復号化する個人情報復号化手段と、
前記個人情報復号化手段によって復号化された前記個人情報の内容を出力する出力装置と
を備えていることを特徴とする個人情報管理システム。 A personal information management system comprising a personal information management device and a server device connected to each other via a network in order to manage a personal information file storing personal information,
The server device
In response to each request from the personal information management device, a predetermined master key is responded to the personal information management device, and the encrypted personal information file uploaded by the personal information management device is stored in the disk device. Storing, reading the encrypted personal information file requested to be downloaded by the personal information management device from the disk device, and transmitting it to the personal information management device;
The personal information management device includes:
A communication device capable of communicating with a server device via a network;
An input device;
A storage device;
A key issuing means for issuing a key;
Master key download means for downloading the master key from the server device;
Personal information updating means for updating personal information to be stored in the personal information file in accordance with information input through the input device;
Personal information encryption means for encrypting the personal information using the key after updating the personal information by the personal information update means;
Upload means for uploading the personal information file storing the personal information encrypted by the personal information encryption means to the server device using the communication device;
Key encryption means for encrypting the key using the master key downloaded from the server device by the master key download means;
Key storage means for storing the key encrypted by the key encryption means in the storage device;
Download means for downloading the personal information file from the server device in accordance with information input through the input device;
Key decryption means for taking out a key stored in the storage device and decrypting the key using a master key;
Personal information decrypting means for decrypting encrypted personal information in the personal information file downloaded by the downloading means, using the key decrypted by the key decrypting means;
A personal information management system, comprising: an output device that outputs the content of the personal information decrypted by the personal information decrypting means.
JP2008056518A 2008-03-06 2008-03-06 Personal information management device, personal information management program, and personal information management system Expired - Fee Related JP4896054B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008056518A JP4896054B2 (en) 2008-03-06 2008-03-06 Personal information management device, personal information management program, and personal information management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008056518A JP4896054B2 (en) 2008-03-06 2008-03-06 Personal information management device, personal information management program, and personal information management system

Publications (2)

Publication Number Publication Date
JP2009213064A JP2009213064A (en) 2009-09-17
JP4896054B2 true JP4896054B2 (en) 2012-03-14

Family

ID=41185739

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008056518A Expired - Fee Related JP4896054B2 (en) 2008-03-06 2008-03-06 Personal information management device, personal information management program, and personal information management system

Country Status (1)

Country Link
JP (1) JP4896054B2 (en)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
US9547771B2 (en) 2013-02-12 2017-01-17 Amazon Technologies, Inc. Policy enforcement with associated data
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US20140229732A1 (en) * 2013-02-12 2014-08-14 Amazon Technologies, Inc. Data security service
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US10210341B2 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US9300464B1 (en) 2013-02-12 2016-03-29 Amazon Technologies, Inc. Probabilistic key rotation
US9832171B1 (en) 2013-06-13 2017-11-28 Amazon Technologies, Inc. Negotiating a session with a cryptographic domain
US9397835B1 (en) 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
US9438421B1 (en) 2014-06-27 2016-09-06 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06175905A (en) * 1992-12-03 1994-06-24 Fujitsu Ltd Ciphered file sharing method
TW396308B (en) * 1997-04-01 2000-07-01 Tumbleweed Software Corp Document delivery system
JP2003005645A (en) * 2001-06-19 2003-01-08 Toshitada Kameda Method, system and apparatus encrypting, apparatus for decrypting and computer program
JP4227358B2 (en) * 2002-05-08 2009-02-18 富士通株式会社 Encryption key distribution system for wireless communication, encryption key distribution method for wireless communication, and user terminal program for encryption key distribution system for wireless communication
JP2006065717A (en) * 2004-08-30 2006-03-09 Sony Corp Information processing system, information processor and information processing method, recording medium and program
JP2006121440A (en) * 2004-10-21 2006-05-11 Ttt Kk Medical system, medical data management method and communications program for medical data management
JP2007067630A (en) * 2005-08-30 2007-03-15 Ancl Inc Data transmission system using network and its method
JP2007080041A (en) * 2005-09-15 2007-03-29 Hitachi Medical Corp Electronic medical chart system

Also Published As

Publication number Publication date
JP2009213064A (en) 2009-09-17

Similar Documents

Publication Publication Date Title
JP4896054B2 (en) Personal information management device, personal information management program, and personal information management system
US11887705B2 (en) Apparatus, system and method for patient-authorized secure and time-limited access to patient medical records utilizing key encryption
CN101401104B (en) Digital rights management for retrieving medical data from a server
US20140136840A1 (en) Computer system for storing and retrieval of encrypted data items using a tablet computer and computer-implemented method
US10841286B1 (en) Apparatus, system and method for secure universal exchange of patient medical records utilizing key encryption technology
WO2020000825A1 (en) Medical treatment data processing method and system, computer device and readable storage medium
CN109934012A (en) Medical records secure storage access method based on block chain network
JP4904109B2 (en) Interpretation data management device and interpretation data management method
CN105339949A (en) System for managing access to medical data
CN104239820A (en) Secure storage device
US20140156988A1 (en) Medical emergency-response data management mechanism on wide-area distributed medical information network
CN103154965B (en) Manage the method, apparatus and system that the user to file system accesses safely
WO2002006948A1 (en) Method for protecting the privacy, security, and integrity of sensitive data
WO2018225746A1 (en) System login method
US10754979B2 (en) Information management terminal device
JP2005242740A (en) Program, storage medium and information processor in information security system
JPH09282393A (en) Cooperation method for health insurance medical care card and on-line data base
CN103971063A (en) Transfer medium for security-critical medical image contents
JP2003131929A (en) Information terminal, information network system and program thereof
JP7279760B2 (en) Information processing system, information processing device and program
JP2000331101A (en) System and method for managing information related to medical care
KR100945819B1 (en) Personal health record service method and system using mobile devices
JP4521514B2 (en) Medical information distribution system, information access control method thereof, and computer program
JP2008134871A (en) Medical information providing system and providing server
JP7368184B2 (en) Risk management support device

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20101104

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110906

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111206

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111220

R150 Certificate of patent or registration of utility model

Ref document number: 4896054

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150106

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees