JP4939763B2 - 医用機器における監査ログ管理システム - Google Patents

医用機器における監査ログ管理システム Download PDF

Info

Publication number
JP4939763B2
JP4939763B2 JP2005062940A JP2005062940A JP4939763B2 JP 4939763 B2 JP4939763 B2 JP 4939763B2 JP 2005062940 A JP2005062940 A JP 2005062940A JP 2005062940 A JP2005062940 A JP 2005062940A JP 4939763 B2 JP4939763 B2 JP 4939763B2
Authority
JP
Japan
Prior art keywords
log
file
audit log
audit
medical device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005062940A
Other languages
English (en)
Other versions
JP2006244410A (ja
Inventor
啓 森
順一 田代
愛 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Canon Medical Systems Corp
Original Assignee
Toshiba Corp
Toshiba Medical Systems Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Medical Systems Corp filed Critical Toshiba Corp
Priority to JP2005062940A priority Critical patent/JP4939763B2/ja
Publication of JP2006244410A publication Critical patent/JP2006244410A/ja
Application granted granted Critical
Publication of JP4939763B2 publication Critical patent/JP4939763B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Medical Treatment And Welfare Office Work (AREA)

Description

病院での医用機器において、医用機器起動中にいつ、誰が、何を、どのように行なったかの内容を監査用ログとして記録し、医用機器内に保存、あるいは外部に転送する監査ログシステムに係り、特に、医用機器に突然発生したシステムダウン後に監査ログを復旧させる医用機器における監査ログ管理システムに関する。
画像診断医用機器、HIS(Hospital Information System)、RIS(Radiology Information System)、PACS(Picture archiving communication system)等の医用機器がもつ患者情報は、画像データ等の診断情報に、患者IDあるいは患者名、当該機器に関する情報、疾患名、疾患部位、検査種、撮影等の日時等の付帯情報を付加した情報として管理される。患者情報は、読影担当の医師、病理的診断担当の医師、主事医師等によって必要な情報が適宜読み出され、使用される。各医師は、読み出した患者情報を観察等しながら、自らの所見を別途電子カルテ等に記入することで、医用情報の共有化が実現される。
医用機器では、患者のプライバシー保護の観点から、患者の個人情報が適切に扱われていることを検証するために、監査ログと呼ばれる患者情報管理のための履歴が記録される。ここで、監査ログとは、例えば医用機器において、患者情報を扱ったイベントに関する情報を5W1H方式で記録したものである。また、監査ログに関するファイルは、監査ログファイルと呼ばれる。医用機器の起動中に個人情報に対する操作(アクセス)、又はシステム情報に対する操作が行なわれた場合、監査ログファイルにそれら操作に関する内容が漏れなく記録される。その記録に際して、監査ログファイルに個人情報やシステム情報に対する操作内容を記録する。個人情報に対する操作が行なわれる毎に、同ファイルに操作内容を追記していく。
作成された監査ログファイルは、一旦医用機器内に保管される。医用機器内に保管された監査ログファイルは、当該医用機器の管理者又はサービスエンジニアによって、定期的に外部メディアにバックアップされ、外部サーバに転送され、当該医用機器の外部において管理される。ある期間における疑わしい行動を検出する段階で、当該医用機器そのもの又は外部コンピュータ等を利用してバックアップされた監査ログファイルを閲覧することで、監査として利用されている。
なお、医用画像診断装置の特定機能に対しネットワーク経由で誤作動を生じる可能性や患者のプライバシーを侵害する恐れを解消し、利便性を教授する医用画像診断装置及びそのセキュリティ管理方法並びにその保守管理方法が提供されている(例えば、特許文献1参照。)。
特開2001−344349号公報
医用機器起動中のシステム情報や患者の個人情報に対する操作が行なわれる毎に、監査ログファイルへのアクセスが頻繁に行なわれることとなる。よって、監査ログファイルへのアクセス中に医用機器の強制終了や強制電源断によるシステムダウンが発生することがある。システムダウンが発生した場合、監査ログファイルに不整合な書き途中のログ(一部欠落した不完全なログ)が記録されたり、ひいては監査ログファイル自体が破壊されたり、また、多くの情報が参照不可能になることもある。患者のプライバシー保護の観点から、監査ログには医用機器の起動中の個人情報に対するアクセスが漏れなく記録される必要があるが、システムダウンの発生から監査ログが復旧されるまでの間のアクセス状況が管理できなかった。
また、システムダウンが発生してアクセス状況の管理が不十分である時間帯が生じた場合、アクセスを記録できなかった旨を当該医用機器の管理者又はサービスエンジニアに伝達する必要がある。
本発明では、上述した事情を考慮してなされたもので、監査ログの安全性を確保し、病院の個人情報の保護機能を補充することができる医用機器における監査ログ管理システムを提供することを目的とする。
本発明に係る医用機器における監査ログ管理システムは、上述した課題を解決するために、患者情報を扱う医用機器において、前記医用機器内で稼働するアプリケーションから監査ログ記録要求イベントを受け付けるイベント受付手段と、前記イベント受付手段が受け取ったイベント監査ログとして記憶装置に記録するログ記録処理手段と、前記医療機器のシステムダウン又はトラブル発生により、前記監査ログの前記記憶装置への記録が行なえなかった場合、前記記憶装置に記憶されたシステムダウン又はトラブル発生の直前の監査ログファイルに基づいて監査ログファイルの復旧を行ない、前記システムダウン又はトラブル発生の後の、前記監査ログファイルの記録を残せなかった時間の情報をメッセージとして付加するログ復旧処理手段と、を有する
本発明に係る医用機器における監査ログ管理システムによると、監査ログの安全性を確保し、病院の個人情報の保護機能を補充することができる。
本発明に係る医用機器における監査ログ管理システムの実施の形態について、添付図面を参照して説明する。
図1は、本発明に係る医用機器における監査ログ管理システムの実施の形態を示す図である。
図1は、患者情報を扱う医用機器における監査ログ管理システム10を示す。この監査ログ管理システム10は、X線コンピュータ断層医用機器、超音波診断医用機器、磁気共鳴イメージング医用機器、核医学診断医用機器等の画像診断医用機器や、HIS(Hospital Information System)、RIS(Radiology Information System)、PACS(Picture archiving communication system)その他の医用機器(医用画像機器に拘泥されず、患者情報を使用する全ての機器を含む)に内蔵されるか、単体の医用機器として、当該医用機器とネットワークを介して接続され使用される。以下、医用機器に内蔵して用いられる監査ログ管理システム10を例にとって説明する。
また、患者情報は、診断情報と、少なくとも患者ID(又は患者名)及び検査種を含む付帯情報とから構成されるものとする。よって、通信規格としてDICOM(Digital Imaging and Communications in Medicine)を用いた場合には、患者情報は、画像に関する情報(診断情報)と、少なくとも患者ID(又は患者名)及びスタディ(検査種)・ユニークIDを含む付帯情報とから構成されることになる。
監査ログ管理システム10には、医用機器内で稼働するアプリケーション100からの監査ログ記録要求イベントを受け付けるイベント受付手段11と、このイベント受付手段11からの監査ログ記録要求に応答して、各イベント発生時の監査ログを記録するログ記録処理手段12と、このログ記録処理手段12の処理状態を記憶する処理状態記憶手段13と、ログ記録処理手段12による所定のタイミングの記録が不完全である場合、所定のタイミングで処理状態記憶手段13が記憶するログ記録処理手段12の処理状態に応じて、監査ログの復旧処理を実行するか否かを管理するログ復旧処理管理手段14と、このログ復旧処理管理手段14からの復旧の要求に基づいて監査ログファイルを復旧するログ復旧処理手段15とが備えられる。
ログ記録処理手段12には、イベント受付手段11からの監査ログ記録要求に応答した監査ログに関する監査ログファイル及びそれと同種の監査ログ予備ファイルを作成するログファイル作成手段21と、監査ログファイルの改竄検出を目的として、改竄検出のための仕組みを監査ログファイルに適用するログファイル改竄検出手段22と、テンポラリファイルとして作成されている監査ログファイルをバックアップ用としてファイル化するログファイルバックアップ手段23と、バックアップされた監査ログファイルに対して、閲覧権限者のみをアクセス可能とするように監査ログを暗号化するログ暗号化手段24と、監査ログファイルを圧縮するログファイル圧縮手段25と、監査ログファイルを格納する外部記憶媒体(図示しない)に監査ログファイルを転送するログファイル転送手段26とが設けられる。
処理状態記憶手段13は、ログ記録処理手段12の処理状態に関する略リアルタイムな情報を刻々記憶することで、ログ記録処理手段12の処理状態を時系列で監視する。処理状態記憶手段13は、ログ記録処理手段12がログ記録を行なっているか、また、ログ記録を行なっている場合はログ記録処理手段12内の中のどの手段でどのような処理が行なわれているかについての情報を刻々記憶する。なお、処理状態記憶手段13は、システムの電源断等によってログ記録処理手段12の処理状態に関する情報を損失したり参照不可になったりすることがないように、ログ記録処理手段12とは電源を異にする記憶媒体とすることが望ましい。例えば処理状態記憶手段13として、不揮発性メモリ等の安全性が確保された記憶媒体を用いる。
監査ログ復旧処理の実行時、例えば医用機器のシステムダウン後の再起動時、その再起動処理の中で、ログ復旧処理管理手段14は、処理状態記憶手段13に問い合わせを行なう。ログ復旧処理管理手段14は、所定のタイミング、例えば医用機器のシステムダウン発生直前、のログ記録処理手段12の処理状態に関する情報を処理状態記憶手段13から取得する。処理状態記憶手段13から取得した情報によって、システムダウンがログ記録処理手段12の非処理中に発生したと判断された場合、ログ復旧処理管理手段14は、監査ログファイルの復旧処理は不要と判断し、医用機器の一般的な再起動処理を実行する。
ログ復旧処理手段15には、ログファイル復旧手段31、ログファイル改竄検出手段32、ログファイルバックアップ手段33、ログ暗号化手段34、ログファイル圧縮手段35及びログファイル転送手段36が具備される。処理状態記憶手段13から取得した情報によって、医用機器のシステムダウンがログ記録処理手段12の処理中に発生したと判断された場合、ログ復旧処理管理手段14は、ログ記録処理手段12内のどの手段の処理中にシステムダウンが発生したかを識別する。そして、システムダウン発生直前のログ記録処理手段12の処理状態によって、ログ復旧処理管理手段14は、ログ復旧処理手段15内のログファイル復旧手段31、ログファイル改竄検出手段32、ログファイルバックアップ手段33、ログ暗号化手段34、ログファイル圧縮手段35及びログファイル転送手段36のうち少なくとも1手段に監査ログファイルの復旧処理を要求する。その場合、医用機器の再起動の中で、監査ログの復旧処理を実行する。
ログファイル復旧手段31は、ログ復旧処理管理手段14からの復旧処理の要求に基づいて、ログ記録処理手段12の監査ログファイル及び監査ログ予備ファイルを利用して、記録が不完全であり監査ログの一部を欠くログメッセージを取り除いて監査ログファイルをリストアし、監査ログファイルを復旧する。
ログファイル改竄検出手段32は、ログ復旧処理管理手段14からの復旧処理の要求に基づいて、監査ログファイルの改竄検出を目的として、改竄検出のための仕組みを監査ログファイルに適用する。ログファイル改竄検出手段32は、メッセージダイジェスト付加やチェックサム等、監査ログファイルの一貫性を検証できる機能を有している。
ログファイルバックアップ手段33は、ログ復旧処理管理手段14からの復旧処理の要求に基づいて、監査ログファイルをバックアップ用としてファイル化して、監査ログバックアップファイルを生成する。なお、ログ記録処理手段12のログファイルバックアップ手段23がイベント発生時に生成する監査ログバックアップファイルと、ログファイルバックアップ手段33で生成する監査ログバックアップファイルは明確に区別されることが望ましく、ログファイルバックアップ手段33で生成する監査ログバックアップファイルを、ログファイルバックアップ手段23が生成する監査ログバックアップファイルとは異なるディレクトリに保存する。又は、ログファイルバックアップ手段33で生成する監査ログバックアップファイルを、ログファイルバックアップ手段23が生成する監査ログバックアップファイルとは異なる命名規則にて保存する。
ログ暗号化手段34は、ログ復旧処理管理手段14からの復旧処理の要求に基づいて、監査ログバックアップファイルに対して、閲覧権限者のみをアクセス可能とするように監査ログを暗号化する。
ログファイル圧縮手段35は、ログ復旧処理管理手段14からの復旧処理の要求に基づいて、監査ログファイルを圧縮する。
ログファイル転送手段36は、ログ復旧処理管理手段14からの復旧処理の要求に基づいて、監査ログファイルを格納するための外部記憶媒体に監査ログファイルを転送する。
続いて、イベント発生時、医用機器における監査ログ管理システム10で実行される各処理の流れを、図2に示されたフローチャートを用いて説明する。
医用機器を用いて検査を行なう際、医用機器の起動、患者の登録、患者の検査画像の保存、患者の検査画像の閲覧等、システム情報や患者の個人情報へのアクセスが適宜行なわれる。アクセスが行なわれた際、医用機器内の該当操作対象のアプリケーション100によって、それぞれ監査ログ発行イベントが発行される。
監査ログ管理システム10では、イベント受付手段11を介してアプリケーション100からの監査ログ記録要求イベントが受け付けられる(ステップS1)。イベントが発行されるとログ記録処理手段12に通常処理が要求され、ログ記録処理手段12に設けるログファイル作成手段21で監査ログに関する監査ログファイルとそれと同種の監査ログ予備ファイルが作成され(ステップS2)、ログファイル改竄検出手段22で前記監査ログファイルの改竄検出を目的として、改竄検出のための仕組みが監査ログファイルに適用される(ステップS3)。次いで、ログファイルバックアップ手段23でテンポラリファイルとして作成されている監査ログファイルをバックアップ用としてファイル化して監査ログバックアップファイルが生成され(ステップS4)、ログ暗号化手段24で監査ログバックアップファイルに対して、閲覧権限者のみをアクセス可能とするように監査ログが暗号化される(ステップS5)。次いで、ログファイル圧縮手段25で監査ログファイルが圧縮され(ステップS6)、ログファイル転送手段26で監査ログファイルを格納するための外部記憶媒体に監査ログバックアップファイルが転送される(ステップS7)。
処理状態記憶手段13は、ログ記録処理手段12の処理状態に関する略リアルタイムな情報を刻々記憶することで、ログ記録処理手段12の処理状態を時系列で監視する。処理状態記憶手段13は、ログ記録処理手段12がログ記録を行なっているか、また、ログ記録を行なっている場合はログ記録処理手段12内のどの手段が実行されているかの情報を時系列で記憶する(ステップS8)。
続いて、医用機器の強制終了あるいは停電等によるシステムダウン発生時、医用機器における監査ログ管理システム10で実行される各処理の流れを、図3に示されたフローチャートを用いて説明する。
医用機器起動中には、医師や医用検査技師等の医用診断機器ユーザによって行なわれる検査/診断/読影/レポート等の作業中に患者情報に対する操作が頻繁に発生するため、監査ログファイルへのアクセス中にシステムがダウンして監査ログファイルが破壊される等の問題が発生することがある。
処理状態記憶手段13では、システムダウン発生直前に至るまでのログ記録処理手段12の処理状態が時系列で記憶されているので、処理状態記憶手段13には、システムダウンの発生直前、ログ記録処理手段12がどのような処理状態にあったかに関する情報が記憶されている。
監視ログ復旧処理の実行時、例えば医用機器のシステムダウン発生後の再起動時、その再起動処理の中で、ログ復旧処理管理手段14は、処理状態記憶手段13に問い合わせを行なう(ステップS9)。ログ復旧処理管理手段14では、所定のタイミング、例えば医用機器のシステムダウン発生直前、におけるログ記録処理手段12の処理状態に関する情報が取得される(ステップS10)。処理状態記憶手段13から取得したシステムダウン直前の情報によって、ログ復旧処理管理手段14は、システムダウンがログ記録処理手段12の非処理中に発生したのか処理中に発生したのかを判断する(ステップS11)。システムダウンがログ記録処理手段12の非処理中に発生したと判断された場合、監査ログファイルの復旧処理は不要と判断され、医用機器の一般的な再起動処理が実行される。
一方、処理状態記憶手段13から取得した情報によって、ログ復旧処理管理手段14は、システムダウンがログ記録処理手段12の処理中に発生したと判断した場合、ログ記録処理手段12内のどの手段の処理中にシステムダウンが発生したかによって、ログファイル復旧手段31、ログファイル改竄検出手段32、ログファイルバックアップ手段33、ログ暗号化手段34、ログファイル圧縮手段35及びログファイル転送手段26のうち少なくとも1手段に監査ログファイルの復旧処理が要求される。その場合、医用機器の再起動の中で、監査ログファイルの復旧処理が実行される。なお、起動処理の中で監査ログの復旧を実施する場合に限定されるものではない。
例えば、ログ復旧処理管理手段14によって、監査ログファイルへのログメッセージ記録処理中にシステムダウンが発生したと判断された場合、ログ復旧処理管理手段14からログ復旧処理手段15のログファイル復旧手段31に復旧処理が要求される(ステップS12)。ログ記録処理手段12における監査ログファイルへのログメッセージ記録処理中にシステムダウンが発生した場合、監査ログファイルの末尾には、記録が不完全なログメッセージが残ることになり、監査ログファイルに不整合が発生する可能性がある。また、システムダウンが監査ログファイルへのログメッセージ記録処理中に発生した場合、ファイルへのアクセス中なので、監査ログファイルが破壊されることもある。
よって、ログファイル復旧手段31に復旧処理が要求されると、ログファイル復旧手段31では、処理状態記憶手段13が記憶するシステムダウン発生直前の監査ログファイル及び監査ログ予備ファイルを利用して、記録が不完全なログメッセージを取り除いて監査ログファイルがリストアされる(ステップS13)。具体的には、医用装置再起動中に監査ログ予備ファイルによって、監査ログファイルの内容を上書きすることにより、監査ログファイルの復旧処理が実行される。
また、例えば、ログ復旧処理管理手段14によって、ログメッセージの記録が完了し、そのログメッセージに対して改竄の検出のための仕組みを追記するために監査ログファイルを解析している最中にシステムダウンが発生したと判断した場合、ログ復旧処理管理手段14からログ復旧処理手段15のログファイル改竄検出手段32に復旧処理が要求される(ステップS14)。ログファイル改竄検出手段32に復旧処理が要求されると、ログファイル改竄検出手段32では、監査ログファイルの改竄検出を目的とした改竄の検出のための仕組みが監査ログファイルに適用される(ステップS15)。ログファイル改竄検出手段32は、メッセージダイジェスト付加やチェックサム等、監査ログファイルの一貫性を検証できる機能を有していればよい。ログファイル改竄検出手段32では、監査ログファイルが再解析され、その解析結果が監査ログに追記される。
また、解析後に解析結果を監査ログファイルに付与している最中にシステムダウンが発生した場合、ログファイル改竄検出手段32では、まず、記録が不完全な解析結果のログメッセージが取り除かれ、監査ログファイルが記録前の状態にリストアされる。次いで、ログファイル改竄検出手段32では、監査ログファイルが再解析され、その解析結果が監査ログに追記される。
さらに、ログ復旧処理管理手段14によって、テンポラリファイルとして作成されている監査ログファイルからバックアップ用へのファイルにファイル化処理中にシステムダウンが発生したと判断された場合、ログ復旧処理管理手段14からログ復旧処理手段15のログファイルバックアップ手段33に復旧処理が要求される(ステップS16)。ログファイルバックアップ手段33に復旧処理が要求された場合、ログファイルバックアップ手段33では、バックアップ用として装置操作者に見える形に監査ログファイルがファイル化され、監査ログバックアップファイルが生成される(ステップS17)。
なお、ログ記録処理手段12のログファイルバックアップ手段23がイベント発生時に生成する監査ログバックアップファイルと、ログファイルバックアップ手段33で生成する監査ログバックアップファイルとは明確に区別されることが望ましい。その場合、ログファイルバックアップ手段33で生成する監査ログバックアップファイルが、ログファイルバックアップ手段23で生成する監査ログバックアップファイルと異なるディレクトリに保存される。又は、ログファイルバックアップ手段33で生成する監査ログバックアップファイルが、ログファイルバックアップ手段23で生成する監査ログバックアップファイルと異なる命名規則にて保存される。
例えば、ログ記録処理手段12のログファイルバックアップ手段23が生成する監査ログバックアップファイルの保存ディレクトリが『*:\AuditLog\BackUp』の場合、ログファイルバックアップ手段33で生成する監査ログバックアップファイルの保存ディレクトリを『*:\AuditLog\BackUp\CorruptBackUp』とすることで、両者を明確に区別することができる。又は、ログファイルバックアップ手段23が生成する監査ログバックアップファイルの保存ファイル名が『AuditLog.yyyymmddhhmmsssss』の場合、ログファイルバックアップ手段33で生成する監査ログバックアップファイル名を『Corrupt_AuditLog.yyyymmddhhmmsssss』とすることで、両者を明確に区別することができる。また、監査ログバックアップファイル名には、生成時間を付与することもでき、その場合、ファイルの管理が容易となる。なお、ログファイルバックアップ手段33の処理は、ログファイル改竄検出手段32の処理と連携して行なわれてもよい。
加えて、ログ復旧処理管理手段14によって、バックアップされた監査ログファイルに対して、閲覧権限者のみをアクセス可能とするような監査ログの暗号化処理中にシステムダウンが発生したと判断された場合、ログ復旧処理管理手段14からログ復旧処理手段15のログ暗号化手段34に復旧処理が要求される(ステップS18)。ログ暗号化手段34に復旧処理が要求された場合、ログ暗号化手段34では、バックアップされた監査ログファイルについて、閲覧権限者のみをアクセス可能とするように監査ログが暗号化される(ステップS19)。なお、ログ暗号化手段34の処理は、ログファイル改竄検出手段32、ログファイルバックアップ手段33、ログファイル圧縮35及びログファイル転送手段36の処理と連携して行なわれてもよい。
また、ログ復旧処理管理手段14によって、監査ログファイルの圧縮処理中にシステムダウンが発生したと判断された場合、ログ復旧処理管理手段14からログ復旧処理手段15のログファイル圧縮手段35に復旧処理が要求される(ステップS20)。ログファイル圧縮手段35に復旧処理が要求された場合、ログファイル圧縮手段35では、監査ログファイルが圧縮される(ステップS21)。
さらに、ログ復旧処理管理手段14によって、監査ログファイルを格納する外部記憶媒体への監査ログファイルの転送処理中にシステムダウンが発生したと判断された場合、ログ復旧処理管理手段14からログ復旧処理手段15のログファイル転送手段36に復旧処理が要求される(ステップS22)。ログファイル転送手段36に復旧処理が要求された場合、ログファイル転送手段36は、監査ログファイルを格納する外部記憶媒体に監査ログファイルを転送する(ステップS23)。
なお、ログファイル圧縮手段35及びログファイル転送手段36の処理は、ログファイル改竄検出手段32、ログファイルバックアップ手段33又はログ暗号化手段34の処理と連携して行なわれてもよい。
ここで、医用機器における監査ログ管理手段10のログ復旧処理手段15には、ログファイル復旧手段31で復旧された監査ログファイルに、監査ログ記録が正常に終了しなかった旨と、所定のタイミングから前記監査ログの復旧処理実行時までの監査ログを残せなかった時間情報とのうち少なくとも一方をメッセージとして付加するメッセージ付加手段40が具備されると共に、このメッセージ付加手段40で付加したメッセージをログ復旧処理管理手段14の要求により表示するメッセージ表示手段41が設けられる。
監査ログを残せなかった時間情報を得るために、処理状態記憶手段13に、ログ記録処理手段12内の各手段における処理状態の情報として、例えば、
(イ)ログ記録処理手段12のAvailability(正常運転状態又は縮退運転状態)
の情報を記憶させる。(イ)として正常運転状態の情報が記憶される場合、
(ロ)ログ記録処理手段12が正常運転状態である場合の監査ログの記録処理が開始された時間(Start_TimeStamp)
が記憶される一方、(イ)として縮退運転状態の情報が記憶される場合、
(ハ)ログ記録処理手段12が縮退運転状態である場合の、その原因となったトラブルが発生した時間(Start_TimeStamp_Degenerate)
が記憶される。
処理状態記憶手段13にはログ記録処理手段12に関する(イ)の情報が記憶されているので、その(イ)の情報によってログ復旧処理管理手段14は、システムの再起動処理の中で、(ロ)の情報又は(ハ)の情報を取得する。
ログ記録処理手段12の正常運転状態でシステムダウンが発生した場合は、ログファイル復旧手段31では、所定のタイミングであるシステムダウン発生直前の(ロ)の情報が取得される。その場合、ログファイル復旧手段31によって監査ログファイルが復旧され(ステップS13)、その復旧された監査ログファイルに、図4に示すようなメッセージがメッセージ付加手段40によって付加される。ここで付加されるメッセージは、処理状態記憶手段13に記憶された(ロ)の情報と、付加を行なった時間(End_TimeStamp)の情報とからなる。よって、ログ記録処理手段12の処理が開始された時間からメッセージが付加される時間までの監査ログの記録を行なえなかった時間情報が、監査ログを残せなかった時間情報として、復旧された監査ログファイルに付加されることになる。
一方、ログ記録処理手段12のトラブル発生後の縮退運転状態でシステムダウンが発生した場合は、ログファイル復旧手段31では、所定のタイミングであるシステムダウン発生直前の(ハ)の情報が取得される。その場合、監査ログファイルに、図5に示すようなメッセージがメッセージ付加手段40によって付加される。ここで付加されるメッセージは、処理状態記憶手段13に記憶された(ハ)の情報と、付加を行なった時間(End_TimeStamp)の情報とからなる。よって、ログ記録処理手段12のトラブルが発生した時間からメッセージが付加される時間までの監査ログの記録を行なえなかった時間情報が、監査ログを残せなかった時間情報として、監査ログファイルに付加されることになる。
メッセージ表示手段41では、ログ復旧処理管理手段14からメッセージ表示を要求された場合、メッセージ付加手段40で付加したメッセージから表示用のメッセージが作成される。よって、メッセージ表示手段41の画面上には、ログ記録が正常に終了しなかった旨と、システムダウン発生時又はトラブル発生時から監査ログの復旧処理実行時までのログを残せなかった時間情報とが表示される。また、メッセージ表示手段41の画面上には、(イ)の情報が表示される。
また、メッセージ表示手段41に、監査ログの復旧を実行させるタイミングをユーザに選択させるGUI(Graphical User Interface)を備えてもよい。例えば、緊急検査を行なう場合等、起動処理に時間がかかることが致命的となるこも考えられるので、ユーザがGUIを操作することにより、監査ログを手動復旧させるようにする。その場合、ユーザはメッセージ表示手段41から「監査ログの自動復旧処理をスキップ」を選択し、検査終了後に復旧処理を実行することができる。
図1に示された医用機器における監査ログ管理手段10によると、突然のシステムダウンの発生によって引き起こされる監査ログデータの破壊や監査ログデータの不整合から監査ログを自動又は手動復旧することが可能となるので、監査ログの安全性を確保し、病院の個人情報の保護機能を補充することができる。
また、医用機器における監査ログ管理手段10によると、システムダウン発生による監査ログ不全の詳細についてユーザに通知することが可能となるので、監査ログの安全性を確保し、病院の個人情報の保護機能を補充することができる。
本発明に係る医用機器における監査ログ管理システムの実施の形態を示す図。 イベント発生時、本発明に係る医用機器における監査ログ管理システムで実行される各処理の流れを示すフローチャート。 システムダウン発生時、本発明に係る医用機器における監査ログ管理システムで実行される各処理の流れを示すフローチャート。 システムダウン発生時から監査ログの復旧処理実行時までの時間情報のメッセージ。 トラブル発生時から監査ログの復旧処理実行時までの時間情報のメッセージ。
符号の説明
10 医用機器における監査ログ管理システム
11 イベント受付手段
12 ログ記録処理手段
13 処理状態記憶手段
14 ログ復旧処理管理手段
15 ログ復旧処理手段
21 ログファイル作成手段
22,32 ログファイル改竄検出手段
23,33 ログファイルバックアップ手段
24,34 ログ暗号化手段
25,35 ログファイル圧縮手段
26,36 ログファイル転送手段
31 ログファイル復旧手段
40 メッセージ付加手段
41 メッセージ表示手段

Claims (13)

  1. 患者情報を扱う医用機器において、
    前記医用機器内で稼働するアプリケーションから監査ログ記録要求イベントを受け付けるイベント受付手段と、
    前記イベント受付手段が受け取ったイベント監査ログとして記憶装置に記録するログ記録処理手段と、
    前記医療機器のシステムダウン又はトラブル発生により、前記監査ログの前記記憶装置への記録が行なえなかった場合、前記記憶装置に記憶されたシステムダウン又はトラブル発生の直前の監査ログファイルに基づいて監査ログファイルの復旧を行ない、前記システムダウン又はトラブル発生の後の、前記監査ログファイルの記録を残せなかった時間の情報をメッセージとして付加するログ復旧処理手段と、
    を有することを特徴とする医用機器における監査ログ管理システム
  2. 前記ログ復旧処理手段で付加したメッセージを表示装置に表示させるメッセージ表示手段をさらに有することを特徴とする請求項1に記載の医用機器における監査ログ管理システム
  3. 前記ログ記録処理手段は、前記監査ログファイル及びそれと同種であり、前記医療機器のシステムダウン又はトラブル発生の後に前記監査ログファイルを復旧させるための監査ログ予備ファイルを作成するログファイル作成手段を有し、前記ログ復旧処理手段は、前記医療機器のシステムダウン又はトラブル発生の後に前記監査ログ予備ファイルによって前記監査ログファイルの内容を上書きして前記監査ログファイルを復旧するログファイル復旧手段を有することを特徴とする請求項1または2に記載の医用機器における監査ログ管理システム
  4. 前記メッセージ表示手段は、前記監査ログの復旧処理を実行させるタイミングを選択するためのGUI(Graphical User Interface)を有することを特徴とする請求項1または2に記載の医用機器における監査ログ管理システム
  5. 前記ログ記録処理手段は、前記監査ログファイルの改竄検出を目的として、改竄検出のための仕組みを前記監査ログファイルに適用するログファイル改竄検出手段を有し、前記ログ復旧処理手段は、前記ログファイル改竄検出手段を有することを特徴とする請求項3に記載の医用機器における監査ログ管理システム
  6. 前記ログファイル改竄検出手段は、メッセージダイジェスト付加機能又はチェックサム機能を有することを特徴とする請求項5に記載の医用機器における監査ログ管理システム
  7. 前記ログ記録処理手段は、テンポラリファイルとして作成されている前記監査ログファイルをバックアップ用としてファイル化して監査ログバックアップファイルを生成するログファイルバックアップ手段を有し、前記ログ復旧処理手段は、前記ログファイルバックアップ手段を有することを特徴とする請求項3に記載の医用機器における監査ログ管理システム
  8. 前記ログ復旧処理手段のログファイルバックアップ手段で生成した監査ログバックアップファイルを、前記ログ記録処理手段のログファイルバックアップ手段で生成した監査ログバックアップファイルとは異なるディレクトリに保存することを特徴とする請求項7に記載の医用機器における監査ログ管理システム
  9. 前記ログ復旧処理手段のログファイルバックアップ手段で生成した監査ログバックアップファイル名を、前記ログ記録処理手段のログファイルバックアップ手段で生成した監査ログバックアップファイル名と異なる名前で記録することを特徴とする請求項7に記載の医用機器における監査ログ管理システム
  10. 前記監査ログバックアップファイル名に生成時間を付与することを特徴とする請求項9に記載の医用機器における監査ログ管理システム
  11. 前記ログ記録処理手段は、前記監査ログバックアップファイルに対して閲覧権限者のみをアクセス可能とするように監査ログを暗号化するログ暗号化手段を有し、前記ログ復旧処理手段は、前記ログ暗号化手段有することを特徴とする請求項7に記載の医用機器における監査ログ管理システム
  12. 前記ログ記録処理手段は、前記監査ログファイルを圧縮するログファイル圧縮手段を有し、前記ログ復旧処理手段は、前記ログファイル圧縮手段を有することを特徴とする請求項3に記載の医用機器における監査ログ管理システム
  13. 前記ログ記録処理手段は、前記ファイル記憶装置に前記監査ログバックアップファイルを転送するログファイル転送手段を有し、前記ログ復旧処理手段は、前記ログファイル転送手段を有することを特徴とする請求項3に記載の医用機器における監査ログ管理システム
JP2005062940A 2005-03-07 2005-03-07 医用機器における監査ログ管理システム Active JP4939763B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005062940A JP4939763B2 (ja) 2005-03-07 2005-03-07 医用機器における監査ログ管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005062940A JP4939763B2 (ja) 2005-03-07 2005-03-07 医用機器における監査ログ管理システム

Publications (2)

Publication Number Publication Date
JP2006244410A JP2006244410A (ja) 2006-09-14
JP4939763B2 true JP4939763B2 (ja) 2012-05-30

Family

ID=37050741

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005062940A Active JP4939763B2 (ja) 2005-03-07 2005-03-07 医用機器における監査ログ管理システム

Country Status (1)

Country Link
JP (1) JP4939763B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013054485A1 (ja) 2011-10-11 2013-04-18 オリンパスメディカルシステムズ株式会社 医療情報管理システムおよび管理装置
ITUB20153453A1 (it) * 2015-09-07 2017-03-07 Inpeco Holding Ltd Sistema integrato per il riconoscimento positivo del paziente, la raccolta automatica, la memorizzazione e la fruizione di dati clinici.
CN115310881B (zh) * 2022-10-11 2023-02-03 北京珞安科技有限责任公司 一种工业生产维护系统、方法及终端设备

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003143139A (ja) * 2001-11-07 2003-05-16 Fujitsu Ltd デジタルデータ記憶・検証プログラムおよびデジタルデータ記憶・検証方法
JP2003288250A (ja) * 2002-03-28 2003-10-10 Sanyo Electric Co Ltd ファイル管理方法
JP2004157794A (ja) * 2002-11-07 2004-06-03 Csi Co Ltd 電子カルテシステム

Also Published As

Publication number Publication date
JP2006244410A (ja) 2006-09-14

Similar Documents

Publication Publication Date Title
US7827148B2 (en) Medical equipment having audit log managing function
US20060129434A1 (en) System and method for disseminating healthcare data from a database
US20080130966A1 (en) Method of image acquisition notification
JP4868862B2 (ja) 画像診断装置、医用システムおよびプロトコル管理方法
JP2009506405A (ja) データアーカイブシステム
JP5640841B2 (ja) 医用情報管理システム及びプログラム
JP2016048530A (ja) デジタル医療用画像データ記憶システム
US20110214041A1 (en) Method For Transferring A Number Of Medical Image Data Records And System For Managing Image Data Records
JP4939763B2 (ja) 医用機器における監査ログ管理システム
WO2007105444A1 (ja) 医用画像管理システム
JP4651562B2 (ja) 電子カルテ管理装置及び電子カルテ管理方法
JP2008129685A (ja) 作業内容記録システムおよびその方法、ならびにそのプログラム
JP2004334789A (ja) 情報処理装置及び情報処理方法
EP3783618A1 (en) Device, system and method for storing clinical-surgical data
JP2006221617A (ja) 監査ログ管理機能を有する医用機器
JP5159063B2 (ja) 医用画像保管装置
JP4744897B2 (ja) 医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラム
US20070136101A1 (en) Image transfer device, an image diagnostic device equipped with the same, an image management server, and an image display device
JP6822162B2 (ja) データ管理システム及びデータ管理方法
JP2008287653A (ja) 医用画像管理装置及びプログラム
JP2008234420A (ja) コンピュータ装置の診断修復方法
JP3888995B2 (ja) 情報管理システム
Liu et al. A HIPAA-compliant architecture for securing clinical images
JP2017199227A (ja) 医用画像管理システム及び画像管理装置
JP2009037370A (ja) 端末装置利用時間管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080304

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100727

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100927

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110606

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20111201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120131

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120227

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150302

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4939763

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350