JP5142581B2 - 医療情報管理システム、アクセス制御装置、及び医療情報管理方法 - Google Patents
医療情報管理システム、アクセス制御装置、及び医療情報管理方法 Download PDFInfo
- Publication number
- JP5142581B2 JP5142581B2 JP2007110627A JP2007110627A JP5142581B2 JP 5142581 B2 JP5142581 B2 JP 5142581B2 JP 2007110627 A JP2007110627 A JP 2007110627A JP 2007110627 A JP2007110627 A JP 2007110627A JP 5142581 B2 JP5142581 B2 JP 5142581B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- medical
- patient
- medical facility
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Medical Treatment And Welfare Office Work (AREA)
Description
本発明は、各医療施設が保管する医療情報を管理し、任意の医療施設から他の医療施設が保管する医療情報へのアクセスを制御する技術に関する。
昨今、患者の医療情報を一元的に管理し、医療施設からでも共通に利用出来る医療情報管理システム、所謂EHR(Electronic Health Record)の仕組みが構築されはじめている。医療情報管理システム内のどの医療施設に来院しても、他の医療施設で受けた過去の診療結果を参照できるため、診療行為が効率的となり、また診療の質も向上する。
この医療情報管理システムは、電子ドキュメントの態様を有する医療情報を参照するため、医療情報自体はその医療情報を作成した医療施設内の情報保管装置で維持管理し、その医療情報を検索するためのリンクを中央サーバに格納する方法がとられている。
各医療施設は、地域で共有する医療情報を自己の情報保管装置に保存して、そのアクセス情報を含めて中央サーバがデータベース形式で管理する。医療情報を参照したい医師や患者等のユーザは、中央サーバに対して医療情報の所在を問い合わせ、得られた医療情報の所在を表すパス等のアクセス情報をもとに、その医療情報を保管先の医療施設の情報保管装置から取得して、閲覧する。
ところで、医療情報には、プライバシーに関わる個人情報が格納されている。医療情報をネットワーク経由してアクセスするシステムとして、アクセスする際に利用者の確認、利用者が使用する情報閲覧装置の確認、個人情報の取り扱いの確認は非常に重要である。
例えば、この医療情報管理システムのセキュリティ技術としては、医療情報へアクセスできる利用者の制限や、アクセスできる情報閲覧装置の制限、医療情報を取得したユーザの記録等によるトレーサビリティの管理などが挙げられ、従来から様々なユーザ認証技術や、アクセス制御技術が考案されている。
また、その患者の医療情報を他の医療施設で利用することを目的として、医療施設から他の医療施設に医療情報の取得及び閲覧を許可することを表わす指示を送信し、中央サーバがこの指示を受信して他の医療施設からの利用を制御することにより安全性を確保する技術も提示されている(例えば、「特許文献1」参照。)。
従来のセキュリティ技術で担保されるのは、医療情報管理システム外からの不正なアクセスに対してのみである。従って、医療情報管理システム内の医療施設からは、他の医療施設が保管する医療情報へのアクセスが自由となっているため簡単に全ての医療情報が閲覧でき、悪意のある利用者からの個人情報漏洩リスクを伴うといった問題がある。例えば、悪意のある利用者が診療行為を担当していない患者の医療情報を閲覧することができてしまう。
上記の特開2002−269243号公報のセキュリティ技術では、医療情報送信時に特定医療施設に対して利用許可を制御することができるので、一定範囲については個人情報漏洩リスクを低減させることはできる。しかしながら、医療情報管理システムは、不特定多数の医療施設に医療情報を公開することを前提とした仕組みであり、患者毎に利用を許可する医療施設や利用可能期間を送信時に指定することは事実上不可能である。
このように、医療情報管理システムの従来のセキュリティ技術では、医療情報管理システムに属する医療施設の悪意のあるユーザによって医療情報が目的外利用されるおそれがあり、十分な個人情報保護を図ることができない。
本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、患者の医療情報を一元的に管理し、どの医療施設からでも共通に利用出来る仕組みにおいて、患者の診療行為が必要な医療施設の医療情報の取得および閲覧は許可し、患者の診療行為が必要でない医療施設の医療情報の取得及び閲覧は禁止する技術を提供することにある。
上記課題を解決するための請求項1記載の本発明は、複数の医療施設がネットワークで接続され、自己以外の他の医療施設に保管された医療情報を取得して表示する情報閲覧装置と自己の医療施設で発生した医療情報を保管する保管装置とを各医療施設に有する医療情報管理システムであって、各医療施設の所在地を表す所在地情報を予め記憶する登録部と、患者識別情報を取得する患者識別情報取得部と、患者の現在位置情報を取得する来院先情報取得部と、前記現在位置情報に該当する前記所在地情報を前記登録部から検索する照合部と、前記照合部で検索された所在地情報に対応する医療施設の情報閲覧装置からの、前記患者識別情報で表される患者の医療情報へのアクセスを許可するアクセス制御部と、を備えること、を特徴とする。
また、請求項7記載の本発明は、複数の医療施設がネットワークで接続され、自己以外の他の医療施設に保管された医療情報を取得して表示する情報閲覧装置と自己の医療施設で発生した医療情報を保管する保管装置とを各医療施設に有する医療情報管理システムに配置されたアクセス制御装置であって、各医療施設の所在地を表す所在地情報を予め記憶する登録部と、患者識別情報と患者の現在位置情報とを受信する受信部と、前記現在位置情報に該当する前記所在地情報を前記登録部から検索する照合部と、前記照合部で検索された所在地情報に対応する医療施設の情報閲覧装置からの、前記患者識別情報で表される患者の医療情報への、アクセスを許可するアクセス制御部と、を備えること、を特徴とする。
また、請求項12記載の本発明は、複数の医療施設がネットワークで接続され、自己以外の他の医療施設に保管された医療情報を取得して表示する情報閲覧装置と自己の医療施設で発生した医療情報を保管する保管装置とを各医療施設に有する医療情報管理システムの医療情報管理方法であって、各医療施設の所在地を表す所在地情報を予め記憶しておき、患者識別情報を取得し、患者の現在位置情報を取得し、前記現在位置情報に該当する前記所在地情報を検索し、前記検索された所在地情報に対応する医療施設の情報閲覧装置からの、前記患者識別情報で表される患者の医療情報へのアクセスを許可すること、を特徴とする。
また、請求項13記載の本発明は、複数の医療施設がネットワークで接続され、自己以外の他の医療施設に保管された医療情報を取得して表示する情報閲覧装置と自己の医療施設で発生した医療情報を保管する保管装置とを各医療施設に有する医療情報管理システムに配置されたアクセス制御装置の医療情報管理方法であって、各医療施設の所在地を表す所在地情報を予め記憶し、患者識別情報と患者の現在位置情報とを受信し、前記現在位置情報に該当する前記所在地情報を検索し、前記照合部で検索された所在地情報に対応する医療施設の情報閲覧装置からの、前記患者識別情報で表される患者の医療情報へのアクセスを許可すること、を特徴とする。
前記各請求項記載の本発明によれば、患者が来院している医療施設のみが患者の医療情報を取得することができる。これにより、患者の診療行為が必要な時だけ許可された施設からのみ医療情報が利用でき、患者の診療行為が必要でない施設から医療情報が利用される問題が解消され、個人情報保護のレベルを向上させることができる。
以下、本発明に係る一の医療施設からの他の医療施設が保管する医療情報へのアクセスを制御する技術の好適な各実施形態について、図面を参照しながら具体的に説明する。
図1は、一の医療施設からの他の医療施設が保管する医療情報へのアクセスを制御する医療情報管理システムの構成を示す図である。
医療情報管理システム1は、患者の医療情報を一元的に管理し、どの医療施設Mからでも共通に医療情報を利用できる仕組み、所謂EHR(Electronic Health Record)である。この医療情報管理システム1は、複数の医療施設MをネットワークNで接続し、このネットワークNを管理する中央サーバ2が配された構成を有する。
医療施設Mには、それぞれコンピュータで構成された患者受付端末3と情報保管装置4と情報閲覧装置5が配されている。情報保管装置4は、設置されている医療施設Mで発生した医療情報を記憶しているローカルリポジトリ(Local Document Repository)である。情報閲覧装置5は、設置されている医療施設M又はネットワークN上の他の医療施設Mに設置されている情報保管装置4から医療情報を取得してモニタ等に視認可能に表示する。情報閲覧装置5は、取得する医療情報を検索させるために中央サーバ2に医療情報を検索する検索キーを送信する。
中央サーバ2は、ネットワークN内の各情報保管装置4に記憶されている医療情報のデータベースを有し、このデータベースによって医療情報管理システム1内の医療情報を管理するコンピュータで構成された中央レジストリ(Center Document Registry)である。中央サーバ2は、データベースを参照して検索キーと一致する医療情報を検索し、検索キーを送信した情報閲覧装置5に医療情報の所在を提示する。
情報閲覧装置5は、中央サーバ2から提示された医療情報の所在を参照して、その所在に対応する医療施設Mの情報保管装置4から医療情報を取得する。
この医療情報管理システム1では、情報閲覧装置5による医療情報へのアクセスのときに、医療情報に対する医療施設Mのアクセス権限を判断してアクセスが許可されている場合に限ってアクセスを許可する。医療情報管理システム1は、医療情報の情報主体である患者が、医療情報を取得しようとする医療施設Mに来院しているか否かによって、アクセスが許可されているか否かを判断する。医療情報へのアクセスとは、中央サーバ2への医療情報の検索クエリーの送信に対応する医療情報の検索と医療情報の取得の過程をいう。
このアクセスの許可は、医療情報管理システム1に属する患者受付端末3とコンピュータで構成されたアクセス制御装置6とによりなされる。アクセス制御装置6は、中央サーバ2の一部として設置される。患者受付端末3は、患者の来院先を識別するための来院先識別情報を中央サーバ2に送信し、アクセス制御装置6は、患者受付端末3から受信した来院先識別情報をもとに医療情報へのアクセスを許可する医療施設Mを決定する。
図2は、患者受付端末3の詳細構成を示す図である。
患者受付端末3は、患者識別情報取得部31と、来院先情報取得部32と、アクセス要求情報生成部33と、アクセス要求情報送信部34とにより構成される。
患者識別情報取得部31は、患者識別情報を取得する。患者識別情報は、例えば患者を識別する患者IDであり、医療施設内でのみ識別可能なローカルIDや、複数施設間で識別可能なグローバルIDなどを使用する。
来院先情報取得部32は、患者側から提供される来院先を識別するための来院先識別情報を取得する。この患者側から提供される来院先識別情報は、GPS情報等の患者の現在位置を示す現在位置情報、又は患者の診察券を発行した医療施設Mを識別する医療施設識別情報である。医療施設識別情報は、医療施設M毎に一意に割り当てられた符号列である。現在位置情報は、緯度及び経度、又は緯度及び経度で示される場所を含むエリアを地図上の記載場所として表したエリアコードである。アクセス制御装置6は、現在位置情報で表される現在位置に所在する医療施設Mに来院しているとして、アクセスを許可する医療施設Mを決定する。また、アクセス制御装置6は、医療施設識別情報で表される医療施設Mに来院しているとして、アクセスを許可する医療施設を決定する。
アクセス要求情報生成部33は、アクセス要求情報を生成する。アクセス要求情報は、患者識別情報で表される患者の医療情報へのアクセス許可の設定を要求するコマンドに、患者識別情報と患者側から提供された来院先識別情報とを付随する。アクセス要求情報は、例えば、患者識別情報と患者側から提供された来院先識別情報をコロン区切りで結合した文字列をコマンドの引数とすることで生成される。また、この文字列には、詐称対策として、公開鍵又は秘密鍵を用いて作成された署名が追記される。
アクセス要求情報送信部34は、アクセス要求情報をネットワークNを介してアクセス制御装置6へ送信する。アクセス要求情報送信部34は、アクセス制御装置6のIPアドレスを、入力により又は予め記憶することにより取得する。入力された接続先又は予め記憶している接続先を示す情報がアクセス制御装置6のホスト名であれば、ホスト名からIPアドレスを取得する。
このアクセス要求情報の送信は、例えばTCP/IP上のソケット通信による独自プロトコルで行う。なお、RPC(Remote Procedure Call)や、SOAP(Simple Object Access Protocol)、IIOP(Internet Inter-ORB Protocol)、RMI(Remote Method Invocation)などの標準化された通信プロトコルを使用してもよい。また、ネットワーク上を流れるデータの安全性を確保するため、SSL(Secure Socket Layer)/TLS(Transport Layer Security)等による暗号化通信を行うようにしても良い。
図3は、アクセス制御装置6の詳細構成を示す図である。
アクセス制御装置6は、受信部61と、登録部62と、照合部63と、アクセス制御部64とにより構成される。
受信部61は、ネットワークNを介してアクセス要求情報を受信する。アクセス要求情報を受信すると、アクセス要求情報から患者側から提供された来院先識別情報を抽出して照合部63に渡し、アクセス要求情報から患者識別情報を抽出してアクセス制御部64に渡す。アクセス要求情報に署名が追記されている場合には、対になっているもう一方の鍵を用いて署名を複号し、予め記憶している各医療施設Mの真正の署名と比較する。署名が真正でなければ、アクセス要求情報を破棄する。
登録部62は、医療施設Mを表す医療施設M毎に割り当てられた医療施設識別情報を記憶する。この医療施設M毎に割り当てられた医療施設識別情報は、医療施設Mに一意に割り当てられた医療施設Mを識別する符号、又は医療施設Mの所在地情報である。来院先識別情報は、この医療施設識別情報と同種の情報を有する。
照合部63は、登録部62を参照して、患者側から提供された来院先識別情報と登録部62に記憶された医療施設識別情報とを照合する。
アクセス制御部64は、照合部63の照合の結果、来院先識別情報と一致する医療施設識別情報が割り当てられた医療施設Mに対して、患者識別情報で表される患者の医療情報へのアクセスを所定時間に限って許可する。このアクセス制御部64は、アクセス権限を設定するアクセス権設定部65と、アクセス権の有無を判定するアクセス権判定部66とを有する。
アクセス権設定部65は、患者識別情報と照合部63で検索された医療施設Mとを対にしたアクセス許可情報を作成する。
アクセス権判定部66は、アクセス許可情報の一覧にない組み合わせのアクセスを拒絶し、アクセス許可情報の一覧にある組み合わせのアクセスに対しては、アクセスを許可する。アクセス権判定部66は、アクセス要求情報の受信から所定期間内のアクセス許可情報を参照する。アクセスが許可されると、中央サーバ2は、医療情報を検索して検索結果を提示し、また医療情報への取得を許容する。アクセス権判定部66は、アクセスを拒絶するとき、医療情報の検索要求或いは検索結果送信、又は医療情報の送信要求或いは医療情報の送信を遮断する。
図4は、この患者受付端末3の第1の具体例を示す模式図である。
第1の具体例に係る患者受付端末3は、磁気カード71を読み取る読取端末301と、ネットワークNに接続されたコンピュータ302とにより構成される。患者が有する診察券等の磁気カード71には、患者識別情報と、来院先識別情報としてその診察券を発行した医療施設Mの医療施設識別情報が記憶されている。
読取端末301は、患者が所持する磁気カード71を読み取り、患者識別情報と来院先識別情報を読み取る患者識別情報取得部31及び来院先情報取得部32である。
コンピュータ302は、患者識別情報と来院先識別情報が読取装置301から入力されると、入力された患者識別情報と来院先識別情報を含めたアクセス要求情報を生成し、アクセス制御装置6へ送信するアクセス要求情報生成部33及びアクセス要求情報送信部34である。コンピュータ302にアクセス要求情報を生成するプログラムとアクセス要求情報を送信するプログラムとをインストールすることで、コンピュータ302は、アクセス要求情報生成部33とアクセス要求情報送信部34として機能する。
図5は、この患者受付端末3の第2の具体例を示す模式図である。
第2の具体例に係る患者受付端末3は、ICカード72を読み取る読取端末303と、ネットワークNに接続されたコンピュータ302とにより構成される。患者が有する診察券等のICカード72には、患者識別情報と、来院先識別情報としてその診察券を発行した医療施設Mの医療施設識別情報が記憶されている。
読取端末301は、患者が所持するICカード72を読み取り、患者識別情報と来院先識別情報を読み取る患者識別情報取得部31及び来院先情報取得部32からなる。
コンピュータ302は、患者識別情報と来院先識別情報が読取装置301から入力されると、入力された患者識別情報と来院先識別情報を含めたアクセス要求情報を生成し、アクセス制御装置6へ送信するアクセス要求情報生成部33及びアクセス要求情報送信部34である。コンピュータ302にアクセス要求情報を生成するプログラムとアクセス要求情報を送信するプログラムとをインストールすることで、コンピュータ302は、アクセス要求情報生成部33とアクセス要求情報送信部34として機能する。
図6は、患者受付端末3の第3の具体例を示す模式図である。
第3の具体例に係る患者受付端末3は、キーボード等の入力デバイス304と、ネットワークNに接続されたコンピュータ302とにより構成される。患者は、セキュアカード73を診察券として所持している。セキュアカード73には、文字列が刻々と変更されながら表示されている。この文字列は、一定期間有効な患者識別情報と、一定期間有効な来院先識別情報である診察券を発行した医療施設Mの医療施設識別情報、或いは認証パスワードである。
入力デバイス304は、刻々と変更される来院先識別情報と患者識別情報とが入力される患者識別情報取得部31及び来院先情報取得部32である。
コンピュータ302は、入力デバイス304から患者識別情報と来院先識別情報が入力されると、入力された患者識別情報と来院先識別情報を含めたアクセス要求情報を生成し、アクセス制御装置6へ送信する。コンピュータ302にアクセス要求情報を生成するプログラムとアクセス要求情報を送信するプログラムとをインストールすることで、コンピュータ302は、アクセス要求情報生成部33とアクセス要求情報送信部34として機能する。
第1乃至第3の具体例では、アクセス制御装置6の登録部62には、医療施設識別情報が医療施設M毎に記憶されている。第1乃至第3の具体例では、患者受付端末3から送信された来院先識別情報を登録部62から検索することで、アクセス制御装置6側からは、患者受付端末3から送信された医療施設識別情報に対応する医療施設Mに患者が来院しているということがわかる。第3の具体例では、登録部62に記憶されている医療施設識別情報は、セキュアカードに表示される医療施設識別情報の変更と同期して同一の内容に変更される。
第1及び第2の具体例では、患者識別情報取得部31は、磁気カード71又はICカード72に予め記憶された患者識別情報を、読み取りによって取得する。又は、キーボード等の記号の入力が可能な入力デバイスをコンピュータ302に接続し、この入力デバイスを患者識別情報取得部31として患者識別情報が入力されることによって取得する。
図7は、患者受付端末3の第4の具体例を示す模式図である。
第4の具体例に係る患者受付端末3は、GPS装置305とコンピュータ302を搭載した携帯端末である。この携帯端末には、予め患者識別情報が記憶されている。
GPS装置305は、GPS信号を受信し、受信したGPS信号を用いて携帯端末の現在位置を示すGPS情報を取得する。このGPS情報は、患者の現在位置を示す現在位置情報であり、来院先識別情報である。即ち、GPS装置305は、来院先情報取得部32である。
コンピュータ302は、GPS装置305から現在位置情報が入力されると、この現在位置情報と予め記憶している患者識別情報とを含めたアクセス要求情報を生成し、アクセス制御装置6へ送信する患者識別情報取得部31とアクセス要求情報生成部33とアクセス要求情報送信部34である。
第4の具体例では、アクセス制御装置6の登録部62には、医療施設識別情報として医療施設Mの所在地を示す所在地情報が記憶されている。第4の具体例では、患者受付端末3から送信された現在地情報と一致する所在地情報を登録部62から検索することで、アクセス制御装置6側からは、検索された所在地情報に対応する医療施設Mに患者が来院しているということがわかる。
第1乃至第4の具体例を併用する場合には、アクセス要求情報生成部33は、来院先識別情報が現在位置情報であるか、磁気カード由来の医療施設識別情報であるか、ICカード由来の医療施設識別情報であるか、セキュアカード由来の医療施設情報識別情報であるか、その情報種別をアクセス要求情報に含める。
図8は、医療情報管理システム1のアクセス許可を設定する動作を示すフローチャートである。
まず、患者受付端末3では、患者識別情報取得し(S01)、来院先識別情報を取得する(S02)。
患者識別情報取得部31及び来院先情報取得部32が磁気カード71を読み取る読取端末301である場合、患者が所持する磁気カード71を読取端末301に挿入してもらう。患者識別情報取得部31及び来院先情報取得部32がICカード72を読み取る読取端末303である場合、患者が所持するICカード72を読取端末301にかざしてもらう。磁気カード71が挿入され、又はICカード72がかざされると、読取端末301,303は、磁気カード71又はICカード72から患者識別情報と医療施設識別情報を読み取る。
患者識別情報取得部31及び来院先情報取得部32が入力デバイス304である場合、患者の患者識別情報を入力デバイス304を用いて入力してもらい、さらにセキュアカード73に表示された医療施設識別情報を入力デバイス304を用いて入力してもらう。
患者識別情報取得部31及び来院先情報取得部32がGPS装置305とコンピュータ302を備えた携帯端末である場合、携帯端末を用いて現在位置情報を取得してもらう。
患者識別情報と来院先識別情報を取得すると、患者受付端末3では、アクセス要求情報生成部33により、取得した患者識別情報と来院先識別情報と来院先識別情報の情報種別を含むアクセス要求情報が生成される(S03)。患者受付端末3では、アクセス要求情報が生成されると、このアクセス要求情報をアクセス制御装置6にネットワークNを介して送信する(S04)。
アクセス制御装置6では、受信部61によってアクセス要求情報を受信すると(S05)、照合部63により、受信した来院先識別情報と一致する医療施設識別情報を登録部62から検索する(S06)。
患者受付端末3で生成されてアクセス制御装置6に送信されるアクセス要求情報の具体例を図9に示す。
アクセス要求情報には、「T00001」等の患者識別情報、「F00001」等の受信した来院先識別情報、及び「磁気カード」、「GPS」、「ICカード」、又は「セキュアカード」等の来院先識別情報の情報種別とが対になったデータ構成を有する。アクセス制御装置6では、このアクセス要求情報に対してアクセス要求情報を受信した受付日時を対にして一つのレコードとして記憶しておく。そして、照合部63は、受信したアクセス要求情報を中央サーバ2の他の処理の邪魔とならないように一定時間プールしておいてまとめて照合処理をおこなう。
登録部62に記憶されている医療施設識別情報をはじめとする情報の具体例を図10に示す。
登録部62には、医療施設Mを表す「F00001」等の医療施設コードと、「A病院」等の医療施設名と、「P514X4」等の情報種別毎に医療施設Mに一意に割り当てられた医療施設識別情報と、医療施設識別情報の情報種別とが対になって記憶されている。
照合部63は、アクセス要求情報に含まれる情報種別を内容とするレコードを登録部62から検索し、抽出されたレコードからアクセス要求情報に含まれる来院先識別情報と一致する医療施設識別情報を内容とするレコードをさらに検索する。来院先識別情報と一致する医療施設識別情報を内容とするレコードに含まれる医療施設コードと受付日時を取得する。
例えば、患者がA病院に来院して現在位置情報を取得すると、GPS情報として「P514X4」がアクセス制御装置6に送信される。アクセス制御装置6では、A病院の医療施設コード「F00001」や医療施設名と所在地情報である「P514X4」が対になって予め記憶されている。GPS情報として「P514X4」を「2006年12月18日11時2分6秒」に受信すると、照合部63は、現在地情報を情報種別として含む登録部62内のレコードから「P514X4」を所在地情報に含むレコードを検索する。そして、A病院の医療施設コードや医療施設名と所在地情報である「P514X4」が対になったレコードを抽出し、このレコードからA病院の医療施設コード「F00001」と受付日時「2006年12月18日11時2分6秒」を取得する。
この一連の動作で患者が来院している医療施設Mが特定される。
アクセス制御装置6では、患者が来院している医療施設Mの医療施設コードと受付日時が取得されると、アクセス権設定部65により、アクセス許可情報が作成される(S07)。
図11に示すように、アクセス許可情報は、受信した患者識別情報と、照合部63で取得された医療施設コードと、受付日時とを対にして作成される。例えば、「T000001」なる患者識別情報を含んだアクセス要求情報を「2006年12月18日11時2分6秒」に受信し、照合部63がA病院の医療施設コード「F00001」の医療施設コードを取得すると、これら情報が対にされてアクセス許可情報が作成される。
この一連の動作により、患者が来院している医療施設Mとその患者とが受付日時より所定時間結びつけられる。このアクセス許可情報をアクセス権限テーブルとして用いることにより、患者が来院している医療施設Mに対して、その患者の医療情報へのアクセスが受付日時から所定時間に限って許可される。
尚、医療施設識別情報については、医療施設コードと同一の符号を用いて患者受付端末3から送信し、登録部62に登録させておいてもよい。この場合、レコードから医療施設コードを取得する処理を省き、アクセス権設定部65は、受信した医療施設識別情報を医療施設コードとしてアクセス許可情報の作成に用いる。
図12は、この医療情報管理システム1によるアクセス制御の動作の一例を示すフローチャートである。
まず、情報閲覧装置5では、医療情報を閲覧しようとするオペレータにより入力デバイスを用いて患者の検索条件が入力される(S11)。情報閲覧装置5には、患者の検索条件として、患者の氏名、年齢、性別、住所のうちの何れかの組み合わせ、又は患者IDが入力される。
検索条件が入力されると、情報閲覧装置5は、入力された検索条件での検索クエリーを生成する(S12)。そして、この検索クエリーと情報閲覧装置5が設置されている医療施設Mの医療施設コードを中央サーバ2に送信する(S13)。医療施設コードは、予め情報閲覧装置5に記憶されている。
中央サーバ2では、予め記憶しているデータベースを参照して、受信した検索条件に該当する患者の医療情報を検索する(S14)。該当する患者の医療情報が見つかると、アクセス制御装置6のアクセス権判定部66は、この患者の医療情報のレコードから患者識別情報の項目を抽出する(S15)。
アクセス権判定部66は、受付日時を参照してアクセス要求情報の受信から所定時間内のアクセス許可情報を読み出し(S16)、中央サーバ2に送信されてきた医療施設コードと抽出した患者識別情報との組み合わせがアクセス許可情報の一覧に存在するか検索する(S17)。
アクセス許可情報の一覧に存在する場合(S17,Yes)、アクセス権判定部66は、中央サーバ2による検索された医療情報の所在の送信を許容し、検索された医療情報の所在が情報閲覧装置5に送信される(S18)。送信の許容では、アクセス権判定部66は、中央サーバ2の検索によって見つかった医療情報のレコードの送信を通過させる。医療情報のレコードには、医療情報の所在、即ち医療情報のパスが含まれている。
送信されてきた医療施設コードと抽出した患者識別情報との組み合わせがアクセス許可情報の一覧に存在しない場合(S17,No)、アクセス権判定部66は、中央サーバ2によって検索された医療情報のレコードを破棄し、情報閲覧装置5には、検索結果として空文字列、即ちNull値が送信される(S20)。
医療情報の所在が送信されてきた場合には(S18)、情報閲覧装置5は、受信した医療情報の所在場所から医療情報を取得し、取得した医療情報をモニタに表示させる(S19)。一方、空文字列が送信されてきた場合には(S21)、空文字列の検索結果を受けてモニタに例えば「#Null!」等のNull表示をさせる(S22)。
尚、情報閲覧装置5から送信されてきた検索条件が患者識別情報である患者IDならば、データベース検索の前にアクセス許可情報を参照してアクセスが許可されているか否かを判定するようにしてもよい。この場合、アクセスを拒絶する場合には、中央サーバ2へ検索クエリーを通過させず、アクセス権判定部66によって空文字列の検索結果を生成して情報閲覧装置5に送信する。
また、本実施形態では、アクセス権判定部66は、受付日時を参照して所定時間内に生成されたアクセス許可情報のみを参照して、送信されてきた医療施設コードと抽出した患者識別情報との組み合わせのアクセス許可情報が存在するかの検索を行うようにした。これによりアクセス許可情報をログとして残すことができる。この他にも、アクセス権設定部65は、アクセス許可情報を一定間隔で監視し、受付日時から所定時間が経過したアクセス許可情報を破棄するようにし、アクセス権判定部66は、記憶されているアクセス許可情報の全てを参照するようにしてもよい。
以上の実施形態では、アクセス制御装置6は中央サーバ2の一部として設置され、患者受付端末3は医療施設M内に設置される場合を例にした。この実施形態の他にもアクセス制御装置6と患者受付端末3は各種の態様で設置することができる。図13乃至図16に医療情報管理システムのバリエーション例を示す。
図13に示すように、患者受付端末3は、患者が所持する携帯端末である。携帯端末は、GPS装置305とコンピュータ302を有し、GPS情報を受信し、アクセス要求情報を生成して中央サーバ2に送信するアプリがインストールされている。
また、図14に示すように、アクセス制御装置6は、中央サーバ2と別体のコンピュータとしてネットワークNに接続されている。患者受付端末3は、アクセス要求情報をアクセス制御装置6へ送信する。中央サーバ2から送信される検索結果は、アクセス制御装置6を介して情報閲覧装置5へ送信される。アクセス制御装置6は、検索結果に含まれる患者識別情報と送信先の情報閲覧装置5の医療施設コードとの組み合わせとアクセス許可情報とを参照して、検索結果をフィルタリングする。即ち、患者識別情報と医療施設コードの組み合わせがアクセス許可情報に存在しなければ、検索結果に含まれる医療情報のレコード、特に医療情報の所在を表す文字列を破棄し、空文字列とする。
また、図15に示すように、アクセス制御装置6は、情報保管装置4の一部として設置されている。例えば、情報保管装置4にアクセス制御装置6として機能させるプログラムをインストールする。この実施形態では、中央サーバ2の検索結果はフィルタリングされずに情報閲覧装置5に送信される。
一方で、情報閲覧装置5から他の医療施設Mの情報保管装置4へアクセスするとき、アクセスされる情報保管装置4は、取得する医療情報を表す患者識別情報と医療施設コードを付帯した医療情報の取得コマンドに対して、アクセス制御装置6としてアクセス許可が存在するか否かを判断する。アクセス許可がなければ、取得コマンドを破棄し、空文字列を返す。
また、図16に示すように、アクセス制御装置6は、情報閲覧装置5の一部として設置される。例えば、情報閲覧装置5にアクセス制御装置6として機能させるプログラムをインストールする。この実施形態では、中央サーバ2の検索結果はフィルタリングされずに情報閲覧装置5に送信される。
一方で、情報閲覧装置5から他の医療施設Mの情報保管装置4へアクセスするときに、アクセスされる情報保管装置4が設置されている医療施設Mの情報閲覧装置5を介する。アクセスされる医療施設Mの情報閲覧装置5は、取得する医療情報を表す患者識別情報と医療施設コードを付帯した医療情報の取得コマンドに対して、アクセス制御装置6として、アクセス許可が存在するか否かを判断する。アクセス許可がなければ、取得コマンドを破棄し、空文字列を返す。
尚、アクセス制御装置6が医療施設Mに設置される場合には、一の医療施設Mから送信されたアクセス要求情報は、各医療施設Mのアクセス制御装置6に送信される。
次に、図17に、登録部62に情報の変形例を示す。
登録部62には、アクセス許可情報の作成に参照されるメインの医療施設Mの医療施設コードと医療施設名と情報種別と医療施設識別情報と、地域の医療施設Mの医療施設コードと医療施設名や、紹介先又は紹介元の医療施設Mの医療施設コードと医療施設名の関連づけが記憶されている。
照合部63は、来院先識別情報と一致する医療施設識別情報を見つけると、その医療施設識別情報を内容とするレコードから、メインの医療施設Mの医療施設コードと、地域の医療施設Mや紹介先又は紹介元の医療施設Mの医療施設コードを取得する。アクセス権設定部65は、照合部63で取得されたこれら医療施設コードを含めたアクセス許可情報を作成する。即ち、患者が来院した医療施設Mと、その医療施設Mが所在する地域の他の医療施設Mや、患者が来院した医療施設Mの紹介先又は紹介元となる医療施設Mが、医療施設Mに来院した患者の医療情報を閲覧可能となる。
このように、この医療情報管理システム1によっては、患者が来院している医療施設又はこれに加えてその関連の医療施設のみが患者の医療情報を取得することができる。これにより、患者の診療行為が必要でない医療施設の悪意のあるユーザによって医療情報が利用されるおそれが低減し、個人情報保護のレベルを向上させることができる。
1 医療情報管理システム
2 中央サーバ
3 患者受付端末
31 患者識別情報取得部
32 来院先情報取得部
33 アクセス要求情報生成部
34 アクセス要求情報送信部
301,303 読取端末
302 コンピュータ
304 入力デバイス
305 GPS装置
4 情報保管装置
5 情報閲覧装置
6 アクセス制御装置
61 受信部
62 登録部
63 照合部
64 アクセス制御部
65 アクセス権設定部
66 アクセス権判定部
71 磁気カード
72 ICカード
73 セキュアカード
M 医療施設
N ネットワーク
2 中央サーバ
3 患者受付端末
31 患者識別情報取得部
32 来院先情報取得部
33 アクセス要求情報生成部
34 アクセス要求情報送信部
301,303 読取端末
302 コンピュータ
304 入力デバイス
305 GPS装置
4 情報保管装置
5 情報閲覧装置
6 アクセス制御装置
61 受信部
62 登録部
63 照合部
64 アクセス制御部
65 アクセス権設定部
66 アクセス権判定部
71 磁気カード
72 ICカード
73 セキュアカード
M 医療施設
N ネットワーク
Claims (13)
- 複数の医療施設がネットワークで接続され、自己以外の他の医療施設に保管された医療情報を取得して表示する情報閲覧装置と自己の医療施設で発生した医療情報を保管する保管装置とを各医療施設に有する医療情報管理システムであって、
各医療施設の所在地を表す所在地情報を予め記憶する登録部と、
患者識別情報を取得する患者識別情報取得部と、
患者の現在位置情報を取得する来院先情報取得部と、
前記現在位置情報に該当する前記所在地情報を前記登録部から検索する照合部と、
前記照合部で検索された所在地情報に対応する医療施設の情報閲覧装置からの、前記患者識別情報で表される患者の医療情報へのアクセスを許可するアクセス制御部と、
を備えること、
を特徴とする医療情報管理システム。 - 前記来院先情報取得部は、患者が所持するGPS信号受信端末であること、
を特徴とする請求項1記載の医療情報管理システム。 - 前記アクセス制御部は、所定時間内のアクセスを許可すること、
を特徴とする請求項1記載の医療情報管理システム。 - 前記登録部は、医療施設間の関連づけを予めさらに記憶し、
前記アクセス制御部は、前記照合部で検索された前記所在地情報に該当する医療施設に関連づけられた医療施設の操作端末からの、前記患者識別情報で表される患者の医療情報へのアクセスをさらに許可すること、
を特徴とする請求項1記載の医療情報管理システム。 - 前記登録部は、同一地域内の医療施設を関連づけた情報を記憶すること、
を特徴とする請求項4記載の医療情報管理システム。 - 前記登録部は、紹介元又は紹介先の医療施設を関連づけた情報を記憶すること、
を特徴とする請求項4記載の医療情報管理システム。 - 複数の医療施設がネットワークで接続され、自己以外の他の医療施設に保管された医療情報を取得して表示する情報閲覧装置と自己の医療施設で発生した医療情報を保管する保管装置とを各医療施設に有する医療情報管理システムに配置されたアクセス制御装置であって、
各医療施設の所在地を表す所在地情報を予め記憶する登録部と、
患者識別情報と患者の現在位置情報とを受信する受信部と、
前記現在位置情報に該当する前記所在地情報を前記登録部から検索する照合部と、
前記照合部で検索された所在地情報に対応する医療施設の情報閲覧装置からの、前記患者識別情報で表される患者の医療情報への、アクセスを許可するアクセス制御部と、
を備えること、
を特徴とするアクセス制御装置。 - 前記アクセス制御部は、所定時間内のアクセスを許可すること、
を特徴とする請求項7記載のアクセス制御装置。 - 前記登録部は、医療施設間の関連づけを予めさらに記憶し、
前記アクセス制御部は、前記照合部で検索された前記所在地情報に該当する医療施設に関連づけられた医療施設の操作端末からの、前記患者識別情報で表される患者の医療情報へのアクセスをさらに許可すること、
を特徴とする請求項7記載のアクセス制御装置。 - 前記登録部は、同一地域内の医療施設を関連づけた情報を記憶すること、
を特徴とする請求項9記載のアクセス制御装置。 - 前記登録部は、紹介元又は紹介先の医療施設を関連づけた情報を記憶すること、
を特徴とする請求項9記載のアクセス制御装置。 - 複数の医療施設がネットワークで接続され、自己以外の他の医療施設に保管された医療情報を取得して表示する情報閲覧装置と自己の医療施設で発生した医療情報を保管する保管装置とを各医療施設に有する医療情報管理システムの医療情報管理方法であって、
各医療施設の所在地を表す所在地情報を予め記憶しておき、
患者識別情報を取得し、
患者の現在位置情報を取得し、
前記現在位置情報に該当する前記所在地情報を検索し、
前記検索された所在地情報に対応する医療施設の情報閲覧装置からの、前記患者識別情報で表される患者の医療情報へのアクセスを許可すること、
を特徴とする医療情報管理方法。 - 複数の医療施設がネットワークで接続され、自己以外の他の医療施設に保管された医療情報を取得して表示する情報閲覧装置と自己の医療施設で発生した医療情報を保管する保管装置とを各医療施設に有する医療情報管理システムに配置されたアクセス制御装置の医療情報管理方法であって、
各医療施設の所在地を表す所在地情報を予め記憶し、
患者識別情報と患者の現在位置情報とを受信し、
前記現在位置情報に該当する前記所在地情報を検索し、
前記照合部で検索された所在地情報に対応する医療施設の情報閲覧装置からの、前記患者識別情報で表される患者の医療情報へのアクセスを許可すること、
を特徴とする医療情報管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007110627A JP5142581B2 (ja) | 2007-04-19 | 2007-04-19 | 医療情報管理システム、アクセス制御装置、及び医療情報管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007110627A JP5142581B2 (ja) | 2007-04-19 | 2007-04-19 | 医療情報管理システム、アクセス制御装置、及び医療情報管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008269239A JP2008269239A (ja) | 2008-11-06 |
| JP5142581B2 true JP5142581B2 (ja) | 2013-02-13 |
Family
ID=40048664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007110627A Active JP5142581B2 (ja) | 2007-04-19 | 2007-04-19 | 医療情報管理システム、アクセス制御装置、及び医療情報管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5142581B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5616293B2 (ja) * | 2011-06-03 | 2014-10-29 | 日本電信電話株式会社 | 情報流通システム及び情報流通制御方法 |
| KR101467447B1 (ko) * | 2012-06-29 | 2014-12-02 | 인텔렉추얼디스커버리 주식회사 | 의료정보 공유방법 |
| US20150100348A1 (en) | 2013-10-08 | 2015-04-09 | Ims Health Incorporated | Secure Method for Health Record Transmission to Emergency Service Personnel |
| US11437150B2 (en) * | 2018-05-31 | 2022-09-06 | Inspire Medical Systems, Inc. | System and method for secured sharing of medical data generated by a patient medical device |
| JP6892093B2 (ja) * | 2019-08-20 | 2021-06-18 | 株式会社サテライトオフィス | 医療情報管理クラウドシステム、医療情報管理クラウドシステムのプログラム |
| JP6814859B1 (ja) * | 2019-09-20 | 2021-01-20 | 株式会社Windy | 調剤薬局側システムに蓄積された患者服薬関連情報を活用した医師診療支援システム及び方法 |
| JP7427520B2 (ja) * | 2020-05-01 | 2024-02-05 | 功治 永江 | 医療情報管理システム |
| JP7200196B2 (ja) * | 2020-11-25 | 2023-01-06 | 楽天グループ株式会社 | 情報処理装置、情報処理方法、及びプログラム |
| CN118658634A (zh) * | 2024-08-20 | 2024-09-17 | 南昌红谷滩普瑞眼科医院有限责任公司 | 一种医疗信息管理方法及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002063274A (ja) * | 2000-08-23 | 2002-02-28 | Masaru Watanabe | 提携病院・提携診療所等共同利用型医療機関連携支援情報システム |
| JP2003006341A (ja) * | 2001-06-22 | 2003-01-10 | Fuji Electric Co Ltd | 地域医療情報システム、医療情報共有方法、および医療情報アクセス方法 |
| JP2004046450A (ja) * | 2002-07-10 | 2004-02-12 | Fujitsu Ten Ltd | 救急搬送システム |
| JP4024116B2 (ja) * | 2002-09-12 | 2007-12-19 | 宏文 平野 | 医用データ管理システム |
| JP2005196533A (ja) * | 2004-01-08 | 2005-07-21 | Canon Inc | 連携診断装置 |
| JP4615255B2 (ja) * | 2004-05-31 | 2011-01-19 | エムエム・ホールディングス株式会社 | 医療情報アクセス管理システムならびに同システムにおけるアクセス権限管理方法 |
| JP2007025763A (ja) * | 2005-07-12 | 2007-02-01 | Duskin Healthcare:Kk | 情報処理装置、及び、情報処理システム |
| JP2007058694A (ja) * | 2005-08-25 | 2007-03-08 | Fuji Xerox Co Ltd | スケジュール管理システム、スケジュール管理方法及びプログラム |
-
2007
- 2007-04-19 JP JP2007110627A patent/JP5142581B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008269239A (ja) | 2008-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5142581B2 (ja) | 医療情報管理システム、アクセス制御装置、及び医療情報管理方法 | |
| US10860743B2 (en) | Encryption scheme for making secure patient data available to authorized parties | |
| CN105339949B (zh) | 用于管理对医学数据的访问的系统 | |
| TW510997B (en) | Privacy and security method and system for a world-wide-web site | |
| EP1459251B1 (en) | Portable storage device for storing and accessing personal data | |
| US20110288874A1 (en) | System and Method for Providing Authentication of Medical Data Through Biometric Identifier | |
| US20040111622A1 (en) | Method of and system for controlling access to personal information records | |
| CN105339977A (zh) | 安全实时健康记录交换 | |
| KR20050037471A (ko) | 의료 정보 관리 시스템 | |
| US20120065995A1 (en) | System and method for providing electronic records | |
| US11328048B2 (en) | Method for logging in to system | |
| JP2007286879A (ja) | 医用機器のセキュリティ管理システム、医用機器、及び医用機器のセキュリティ管理方法 | |
| US9100244B2 (en) | Registration method and registration apparatus | |
| US20140156988A1 (en) | Medical emergency-response data management mechanism on wide-area distributed medical information network | |
| US20060271482A1 (en) | Method, server and program for secure data exchange | |
| KR101298548B1 (ko) | 개인용 치아 병력 관리 시스템 및 치아 병력 관리 방법 | |
| JP7279760B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
| JP6350659B2 (ja) | 薬歴情報管理装置および方法、登録端末装置および方法、並びにプログラム | |
| JP2005524168A (ja) | 機密情報の記憶 | |
| JP2000331101A (ja) | 医療関連情報管理システム及びその方法 | |
| JP2007094819A (ja) | 情報配信システム、方法、装置、およびプログラム | |
| US10847258B2 (en) | System, methods, and apparatuses for medication records tracking | |
| KR20090101561A (ko) | 휴대 단말기를 이용한 개인건강기록 서비스 방법 및 그에따른 시스템 | |
| KR101047140B1 (ko) | 지문 인식을 이용한 무인 의료 접수 및 정보 제공시스템과 그 방법 | |
| JP4645084B2 (ja) | データ管理システム、データ管理方法及びそのためのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090220 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100414 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120306 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120425 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121023 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121120 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151130 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5142581 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |