JP5361993B2 - ヘルスケアシステム - Google Patents

ヘルスケアシステム Download PDF

Info

Publication number
JP5361993B2
JP5361993B2 JP2011508230A JP2011508230A JP5361993B2 JP 5361993 B2 JP5361993 B2 JP 5361993B2 JP 2011508230 A JP2011508230 A JP 2011508230A JP 2011508230 A JP2011508230 A JP 2011508230A JP 5361993 B2 JP5361993 B2 JP 5361993B2
Authority
JP
Japan
Prior art keywords
shared information
encrypted
unit
biometric data
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011508230A
Other languages
English (en)
Other versions
JPWO2010116678A1 (ja
Inventor
真佐男 野仲
なつめ 松崎
秀樹 松島
裕一 布田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2011508230A priority Critical patent/JP5361993B2/ja
Publication of JPWO2010116678A1 publication Critical patent/JPWO2010116678A1/ja
Application granted granted Critical
Publication of JP5361993B2 publication Critical patent/JP5361993B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61BDIAGNOSIS; SURGERY; IDENTIFICATION
    • A61B5/00Measuring for diagnostic purposes; Identification of persons
    • A61B5/0002Remote monitoring of patients using telemetry, e.g. transmission of vital signals via a communication network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Description

本発明は、患者が計測装置にて計測した体重又は血圧などの生体データの秘匿性を保護することが可能なヘルスケアシステムに関する。
近年、高齢化社会が急速に進んでおり、それにより病院で何らかの処置(診察や手術など)を行う必要のある患者の数が増加している。しかし、一方で、医療費の削減により、特に地方を中心に、医者及び病床数は増えていない。そのため、将来、増え続ける患者の数に対して、入院に必要な病床数が不足することから、病院側はできるだけ患者の入院期間を短くするようになると予想される。そこで具体的にとられる施策としては、患者の自宅での在宅ケアが考えられる。その際、下記のようなヘルスケアシステムの利用方法が考えられる。まず患者は、体重、血圧及び体組成などの生体データを計測できる各種計測装置を病院からレンタルする。患者は、それらを使って、毎日の生体データを計測し、計測した生体データをそれらに蓄積する。そして、定期的に、病院から派遣される看護師が患者宅を訪問し、それら計測装置に蓄積された生体データを収集し、収集した生体データを病院の管理しているサーバ装置に登録する。それと同時に、収集した生体データを踏まえて、看護師は健康に関する指導及びアドバイスを患者に対して行う。また、サーバに登録された生体データは、担当医が確認し、必要に応じて看護師に対して適切な指示を行う。このような在宅サービスにより、病院への入院期間を短くすることができ、病床不足も解消される。
一方、患者の生体データは当該患者にとってはプライベートな個人情報であるから、情報漏洩に対する対策が必須となる。例えば、看護師が患者から入手した生体データを記録した情報端末を紛失してしまう可能性がある。そのような脅威に対処するための1つの手段として、生体データの計測時に、生体データの送り先であるサーバ装置が復号できるような形で、患者の生体データを暗号化することが考えられる。つまり、計測装置とサーバ装置とは予め秘密鍵を共有しているとし、計測装置は生体データをその秘密鍵で暗号化して送信し、受信したサーバ装置は同じ秘密鍵で復号し、元の生体データを得る。これにより、生体データを受け渡しする看護師が保持する情報端末を紛失しても、生体データが露呈してしまう恐れはない。
しかし、上記のように、計測装置が、サーバ装置と共有している秘密鍵で生体データを暗号化して送信する場合、看護師が保持する情報端末には秘密鍵が記憶されていないためその情報端末では生体データを復号できない。このため、看護師は、その情報端末を使って患者の生体データを参照することができず、不便が生じる。しかしながら、看護師の情報端末で患者の生体データが常に参照できるようにすると、その情報端末を紛失した際に、生体データが第三者に露呈してしまう。このような操作者の利便性と機密データの秘匿性との2つの要求を満たすための1つの技術として、例えば特許文献1で述べられているような、秘密分散法を用いるシステムが知られている。このシステムを構成する複数の装置は、それぞれ異なる分散情報を保持し、各装置単体では秘密情報は得られないが、複数の分散情報を組み合わせることにより、秘密情報を得ることができる。このような秘密分散法を利用することにより、看護師が保持する情報端末単体では秘密情報は得られないが、看護師が保持する情報端末と患者が保持する計測装置が揃った場合に、秘密情報が得られるようなシステムを構築することが可能である。このようなシステムにより、先の2つの要求を満たすことができる。
特開2003−348065号公報
特許文献1には、システムを構成する複数の装置がそれぞれ直接通信可能な状況において、どのように分散情報を配布するか、及びどのように秘密情報を復元するかについての技術が開示されている。
しかしながら、複数の装置が存在する場合に、ある装置と別の装置が直接通信できない場合が考えられる。例えば、上述の例の場合、患者の保持する計測装置と病院が管理するサーバ装置は、直接通信できない。より具体的には、計測装置とサーバ装置は看護師が保持する共通の情報端末と通信できるが、計測装置からサーバ装置に分散情報を送信したい場合、看護師が保持する情報端末を介して行われることになる。このとき、看護師がその情報端末を紛失してしまうと分散情報が第三者に露呈してしまう恐れがある。
そこで、本発明では、上記課題に鑑みてなされたものであって、計測装置からサーバ装置に直接分散情報を送信することができない場合であっても、安全に分散情報を配布することが可能なヘルスケアシステムを提供することを目的とする。
上記目的を達成するために、本発明のある局面に係るヘルスケアシステムは、生体データを計測するヘルスケアシステムであって、生体データを計測する計測装置と、前記生体データを収集するサーバ装置と、前記計測装置から前記生体データを受信し、受信した前記生体データを前記サーバ装置に送信する中間装置とを備え、前記計測装置は、患者の生体データを計測する計測部と、前記生体データを所定の暗号鍵で暗号化することにより暗号化生体データを生成する生体データ暗号部と、前記暗号化生体データを復号するための復号鍵から、互いに異なる2つの分散情報が揃った場合にのみ前記復号鍵を復元することが可能な前記2つの分散情報である第一分散情報及び第二分散情報を生成する分散部と、前記分散部により生成された前記第二分散情報を、前記サーバ装置が有する復号鍵に対応する暗号鍵で暗号化することにより暗号化第二分散情報を生成する第二分散情報暗号部と、前記生体データ暗号部により生成された前記暗号化生体データ、前記分散部により生成された第一分散情報及び前記第二分散情報暗号部により生成された前記暗号化第二分散情報を、前記中間装置に送信する第一通信部とを備え、前記中間装置は、前記計測装置から、前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を受信する第二通信部と、前記第二通信部が受信した前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を、前記サーバ装置に送信する第三通信部とを備え、前記サーバ装置は、前記中間装置から、前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を受信する第四通信部と、前記第四通信部が受信した前記暗号化第二分散情報を前記サーバ装置が有する前記復号鍵で復号することにより、前記第二分散情報を生成する分散情報復号部と、前記第四通信部が受信した前記第一分散情報と前記分散情報復号部により生成された第二分散情報とから、前記暗号化生体データを復号するための前記復号鍵を復元する復元部と、前記復元部で復元された前記復号鍵を用いて、前記第四通信部が受信した前記暗号化生体データを復号することにより前記生体データを生成する生体データ復号部とを備える。
この構成によると、計測した生体データを暗号化する際に用いた暗号鍵に対応する復号鍵が第一分散情報及び第二分散情報に分散される。このうち、第二分散情報がサーバ装置が有する復号鍵に対応する暗号鍵で暗号化され、暗号化第二分散情報が第一分散情報とともに中間装置を介してサーバ装置に送信される。暗号化第二分散情報はサーバ装置しか復号することができず、第一分散情報と第二分散情報とが揃わなければ復号鍵を復元することができないことより、第一分散情報と暗号化第二分散情報とを有する中間装置は、復号鍵を復元することができない。一方、サーバ装置は、暗号化第二分散情報を復号することにより第二分散情報を生成し、第一分散情報と第二分散情報とから復号鍵を復元することができる。このため、サーバ装置は、復号鍵を用いて暗号化生体データを復号することができる。よって、仮に中間装置を紛失した場合であっても、復号鍵を復元することはできない。そのため、計測装置からサーバ装置に直接分散情報を送信することができない場合であっても、安全に分散情報を配布することができる。
好ましくは、前記第一通信部は、さらに、前記第二分散情報を前記中間装置に送信し、前記第二通信部は、さらに、前記計測装置から前記第二分散情報を受信し、前記中間装置は、さらに、前記第二通信部が受信した前記第一分散情報のみを記憶している記憶部と、前記記憶部に記憶されている前記第一分散情報と前記第二通信部が受信した第二分散情報とから、前記暗号化生体データを復号するための前記復号鍵を復元し、復元した前記復号鍵を用いて前記第二通信部が受信した前記暗号化生体データを復号することにより前記生体データを生成する中間装置側生体データ復号部と、前記中間装置側生体データ復号部で生成された前記生体データを表示する表示部とを備える。
この構成によると、中間装置は、第一分散情報のみを記憶しており、計測装置から第二分散情報を受信すると、第一分散情報及び第二分散情報が揃い、復号鍵を復元することができる。このため、中間装置は、暗号化生体データを復号鍵を用いて復号し、生体データを表示部に表示することができる。中間装置が記憶しているのは第一分散情報のみであり、中間装置は計測装置から第二分散情報を受信した場合にのみ生体データを表示することができる。そのため、計測装置と中間装置とが揃わないと生体データを表示部に表示することができない。その結果、中間装置単独で用いても生体データを確認できず、計測装置を利用する患者が関知しない所で生体データを他人に見られるのを防止できる。
また、計測装置と中間装置とが揃わないと生体データを中間装置の表示部に表示させることができないので、中間装置を紛失しても生体データが漏洩するのを防止できる。
さらに、秘密分散法を用いることで、秘密漏洩のリスクを完全に防止できる。
さらに好ましくは、前記ヘルスケアシステムは、さらに、前記中間装置から前記生体データを受信し、受信した前記生体データを前記サーバ装置に送信するアクセス装置を備え、前記分散部は、さらに、前記暗号化生体データを復号するための復号鍵から、互いに異なる2つの分散情報が揃った場合にのみ前記復号鍵を復元することが可能な、前記第一分散情報及び前記第二分散情報と異なる第三分散情報を生成し、前記計測装置は、さらに、前記分散部により生成された前記第三分散情報を、前記アクセス装置が有する復号鍵に対応する暗号鍵で暗号化することにより暗号化第三分散情報を生成する第三分散情報暗号部を備え、前記第一通信部は、さらに、前記暗号化第三分散情報を前記中間装置に送信し、前記第二通信部は、さらに、前記計測装置から、前記暗号化第三分散情報を受信し、前記第三通信部は、前記第二通信部が受信した前記暗号化生体データ、前記第一分散情報、前記暗号化第二分散情報及び前記暗号化第三分散情報を、前記アクセス装置に送信し、前記アクセス装置は、前記中間装置から、前記暗号化生体データ、前記第一分散情報、前記暗号化第二分散情報及び前記暗号化第三分散情報を受信する第五通信部と、前記第五通信部が受信した前記暗号化第三分散情報を前記アクセス装置が有する前記復号鍵で復号することにより、前記第三分散情報を生成する第三分散情報復号部と、前記第五通信部が受信した前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を、前記サーバ装置に送信する第六通信部とを備え、前記第四通信部は、前記アクセス装置から、前記暗号化生体データ、前記第一分散情報、及び前記暗号化第二分散情報を受信する。
第三分散情報は、計測装置で暗号化され、暗号化第三分散情報として、中間装置に送信される。しかし、暗号化第三分散情報は、アクセス装置のみしか復号することができない。このため、中間装置は、単体では2つの分散情報を取得することができない。また、第一分散情報は中間装置で暗号化され、第二暗号化第一分散情報としてアクセス装置に送信される。暗号化第三分散情報はアクセス装置で復号可能であるが、第二暗号化第一分散情報は、サーバ装置のみしか復号することができない。このため、アクセス装置は、単体では2つの分散情報を取得することができない。よって、仮に中間装置又はアクセス装置を紛失した場合であっても、復号鍵を復元することはできない。そのため、計測装置からサーバ装置に直接分散情報を送信することができない場合であっても、安全に分散情報を配布することができる。
また、中間装置は第一分散情報を有し、アクセス装置は第三分散情報を有していることより、両装置が揃えば、2つの分散情報が揃い、復号鍵を復元することができる。このため、中間装置は、暗号化生体データを復号鍵を用いて復号し、生体データを表示部に表示することができる。
さらに好ましくは、前記サーバ装置は、さらに、前記第二分散情報を保持している保持部と、前記保持部に保持されている前記第二分散情報を、前記計測装置とは異なる前記計測装置と同一の構成を有する他の計測装置に供給する供給部を備える。
この構成によると、計測装置の紛失又は故障等により、計測装置中の第二分散情報がなくなった場合でも、サーバ装置が他の計測装置に第二分散情報を供給することにより、他の計測装置が第二分散情報を取得できる。このため、中間装置が有する第一分散情報と合わせれば、他の計測装置を用いても暗号化生体データの復号が可能となる。
また、前記サーバ装置は、さらに、前記第一分散情報を保持している保持部と、前記保持部に保持されている前記第一分散情報を、前記中間装置とは異なる前記中間装置と同一の構成を有する他の中間装置に供給する供給部を備えていてもよい。
この構成によると、中間装置の紛失又は故障等により、中間装置中の第一分散情報がなくなった場合でも、サーバ装置が他の中間装置に第一分散情報を供給することにより、他の中間装置が第一分散情報を取得できる。このため、計測装置が有する第二分散情報と合わせれば、他の中間装置を用いても暗号化生体データの復号が可能となる。
また、前記サーバ装置は、さらに、前記復元部で復元された前記復号鍵から、前記第一分散情報及び前記第二分散情報とは異なり、かつ前記計測装置とは異なる前記計測装置と同一の構成を有する他の計測装置に対応付けられた1つの分散情報を生成し、生成した前記1つの分散情報を前記他の計測装置に供給する供給部を備えていてもよい。
この構成によると、計測装置の紛失又は故障等により、計測装置中の第二分散情報がなくなった場合でも、サーバ装置が他の計測装置に分散情報を供給することにより、他の計測装置が分散情報を取得できる。このため、中間装置が有する第一分散情報と合わせれば、他の計測装置を用いても暗号化生体データの復号が可能となる。また、サーバ装置が供給する分散情報は第一分散情報及び第二分散情報と異なり、かつ他の計測装置と対応付けられている。このため、他の計測装置から外部に分散情報が流出した場合に、どの計測装置から流出したのかを特定することが可能となる。
また、前記サーバ装置は、さらに、前記復元部で復元された前記復号鍵から、前記第一分散情報及び前記第二分散情報とは異なり、かつ前記中間装置とは異なる前記中間装置と同一の構成を有する他の中間装置に対応付けられた1つの分散情報を生成し、生成した前記1つの分散情報を前記他の中間装置に供給する供給部を備えていてもよい。
この構成によると、中間装置の紛失又は故障等により、中間装置中の第一分散情報がなくなった場合でも、サーバ装置が他の中間装置に分散情報を供給することにより、他の中間装置が分散情報を取得できる。このため、計測装置が有する第二分散情報と合わせれば、他の中間装置を用いても暗号化生体データの復号が可能となる。また、サーバ装置が供給する分散情報は第一分散情報及び第二分散情報と異なり、かつ他の中間装置と対応付けられている。このため、他の中間装置から外部に分散情報が流出した場合に、どの中間装置から流出したのかを特定することが可能となる。
また、前記計測装置は、計測端末と管理端末とを含み、前記計測端末は、前記計測部と、前記生体データ暗号部と、前記分散部と、前記第一分散情報暗号部と、前記暗号化生体データ、前記暗号化第一分散情報及び前記第二分散情報を前記管理端末に送信する送信部とを備え、前記管理端末は、前記計測端末から、前記暗号化生体データ、前記暗号化第一分散情報及び前記第二分散情報を受信する受信部と、第二分散情報暗号部と、前記第一通信部とを備え、前記第二分散情報暗号部は、前記受信部が受信した前記第二分散情報を、前記サーバ装置が有する復号鍵に対応する暗号鍵で暗号化することにより前記暗号化第二分散情報を生成してもよい。
この構成によると、計測装置を、計測端末と管理端末とに分離し、第一分散情報が計測端末で暗号化され、第二分散情報は管理端末で暗号化される。このように、2つの分散情報を暗号化する端末を異ならせているため、データが外部に流出した場合であっても、分散情報を復元しにくくすることができる。
なお、本発明は、このような特徴的な処理部を備えるヘルスケアシステムとして実現することができるだけでなく、ヘルスケアシステムに含まれる特徴的な処理部が実行する処理をステップとする生体データ計測方法として実現したり、生体データ計測方法に含まれる特徴的なステップをコンピュータに実行させるプログラムとして実現したりすることもできる。そして、そのようなプログラムを、CD−ROM(Compact Disc−Read Only Memory)等のコンピュータ読取可能な不揮発性の記録媒体やインターネット等の通信ネットワークを介して流通させることができるのは、言うまでもない。
本発明によれば、計測装置からサーバ装置に直接分散情報を送信することができない場合であっても、安全に分散情報を配布することが可能なヘルスケアシステムを提供することができる。
図1は、本発明の実施の形態1に係るヘルスケアシステムの構成を示すブロック図である。 図2は、計測装置の構成を示すブロック図である。 図3は、秘密分散法の説明図である。 図4は、計測装置の第一格納部の構成を示す図である。 図5は、計測装置の第一格納部の分散データDBの構成を示す図である。 図6は、計測装置の第一格納部の生体データDBの構成を示す図である。 図7は、計測装置の第一格納部の暗号鍵DBの構成を示す図である。 図8は、計測装置の第一格納部の装置情報DBの構成を示す図である。 図9は、第一データFDの構成を示す図である。 図10は、中間装置の構成を示すブロック図である。 図11は、中間装置の第二格納部の構成を示す図である。 図12は、中間装置の第二格納部の第二分散データDBの構成を示す図である。 図13は、中間装置の第二格納部の第二生体データDBの構成を示す図である。 図14は、中間装置の第二格納部の第二装置情報DBの構成を示す図である。 図15は、第二データSDの構成を示す図である。 図16は、サーバ装置の構成を示すブロック図である。 図17は、サーバ装置の第三格納部の構成を示す図である。 図18は、サーバ装置の第四格納部の構成を示す図である。 図19は、サーバ装置の第五格納部の構成を示す図である。 図20は、サーバ装置の第五格納部の第三生体データDBの構成を示す図である。 図21は、サーバ装置の第五格納部の第二暗号鍵DBの構成を示す図である。 図22は、サーバ装置の第五格納部の第三装置情報DBの構成を示す図である。 図23は、ヘルスケアシステムの概念を示す図である。 図24は、ヘルスケアシステムの動作例の概念を示す図である。 図25は、ヘルスケアシステムでの計測時の動作例を示すフローチャートである。 図26は、計測装置の「計測処理」の詳細を示すフローチャートである。 図27は、計測装置の「暗号処理」の詳細を示すフローチャートである。 図28は、計測装置の「送信処理」の詳細を示すフローチャートである。 図29は、中間装置の「送受信処理」の詳細を示すフローチャートである。 図30は、サーバ装置の「受信処理」の詳細を示すフローチャートである。 図31は、ヘルスケアシステムでの生体データ表示時の動作例を示すフローチャートである。 図32Aは、中間装置の「要求処理」の詳細を示すフローチャートである。 図32Bは、中間装置の「表示処理」の詳細を示すフローチャートである。 図33は、計測装置の「応答処理」の詳細を示すフローチャートである。 図34は、ヘルスケアシステムの動作の概念を示す別の図である。 図35は、ヘルスケアシステムでの代替計測装置設定時の動作例を示すフローチャートである。 図36Aは、計測装置の「第一設定処理」の詳細を示すフローチャートである。 図36Bは、計測装置の「第一反映処理」の詳細を示すフローチャートである。 図37は、サーバ装置の「第一設定応答処理」の詳細を示すフローチャートである。 図38は、ヘルスケアシステムの動作の概念を示すさらに別の図である。 図39は、ヘルスケアシステムでの代替中間装置設定時の動作例を示すフローチャートである。 図40Aは、中間装置の「第二設定処理」の詳細を示すフローチャートである。 図40Bは、中間装置の「第二反映処理」の詳細を示すフローチャートである。 図41は、サーバ装置の「第二設定応答処理」の詳細を示すフローチャートである。 図42は、本発明の実施の形態2に係るヘルスケアシステムの構成を示すブロック図である。 図43は、計測装置の構成を示すブロック図である。 図44は、計測装置の第一格納部の構成を示す図である。 図45は、計測装置の第一格納部の分散データDBの構成を示す図である。 図46は、計測装置の第一格納部の生体データDBの構成を示す図である。 図47は、計測装置の第一格納部の暗号鍵DBの構成を示す図である。 図48は、計測装置の第一格納部の装置情報DBの構成を示す図である。 図49は、第一データFDの構成を示す図である。 図50は、中間装置の構成を示すブロック図である。 図51は、中間装置の第二格納部の構成を示す図である。 図52は、中間装置の第二格納部の第二分散データDBの構成を示す図である。 図53は、中間装置の第二格納部の第二生体データDBの構成を示す図である。 図54は、中間装置の第二格納部の第二装置情報DBの構成を示す図である。 図55は、第二データSDの構成を示す図である。 図56は、アクセス装置の構成を示すブロック図である。 図57は、第六格納部の構成を示す図である。 図58は、第六格納部の分散データDBの構成を示す図である。 図59は、第六格納部の装置情報DBの構成を示す図である。 図60は、第三データTDの構成を示す図である。 図61は、サーバ装置の構成を示すブロック図である。 図62は、サーバ装置の第三格納部の構成を示す図である。 図63は、サーバ装置の第四格納部の構成を示す図である。 図64は、サーバ装置の第五格納部の構成を示す図である。 図65は、サーバ装置の第五格納部の第三生体データDBの構成を示す図である。 図66は、サーバ装置の第五格納部の第二暗号鍵DBの構成を示す図である。 図67は、サーバ装置の第五格納部の第三装置情報DBの構成を示す図である。 図68は、サーバ装置の第七格納部の構成を示す図である。 図69は、ヘルスケアシステムの動作の概念を示す図である。 図70は、ヘルスケアシステムの動作例の概念を示す図である。 図71は、ヘルスケアシステムでの計測時の動作例を示すフローチャートである。 図72は、計測装置の「計測処理」の詳細を示すフローチャートである。 図73は、計測装置の「暗号処理」の詳細を示すフローチャートである。 図74は、計測装置の「送信処理」の詳細を示すフローチャートである。 図75は、中間装置の「送受信処理」の詳細を示すフローチャートである。 図76は、アクセス装置の「第二送受信処理」の詳細を示すフローチャートである。 図77は、サーバ装置の「受信処理」の詳細を示すフローチャートである。 図78は、ヘルスケアシステムでの生体データ表示時の動作例を示すフローチャートである。 図79Aは、中間装置の「要求処理」の詳細を示すフローチャートである。 図79Bは、中間装置の「表示処理」の詳細を示すフローチャートである。 図80は、計測装置の「応答処理」の詳細を示すフローチャートである。 図81は、ヘルスケアシステムの動作を示す別の図である。 図82Aは、中間装置の「第二設定処理」の詳細を示すフローチャートである。 図82Bは、中間装置の「第二反映処理」の詳細を示すフローチャートである。 図83は、サーバ装置の「第二設定応答処理」の詳細を示すフローチャートである。 図84は、ヘルスケアシステムの動作を示すさらに別の図である。 図85Aは、計測装置の「第一設定処理」の詳細を示すフローチャートである。 図85Bは、計測装置の「第一反映処理」の詳細を示すフローチャートである。 図86は、サーバ装置の「第一設定応答処理」の詳細を示すフローチャートである。 図87は、ヘルスケアシステムの動作を示すさらに別の図である。 図88Aは、中間装置の「要求処理」の詳細を示すフローチャートである。 図88Bは、中間装置の「表示処理」の詳細を示すフローチャートである。 図89は、アクセス装置の「応答処理」の詳細を示すフローチャートである。 図90は、ヘルスケアシステムでの代替アクセス設定時の動作例を示すフローチャートである。 図91Aは、中間装置の「第三設定処理」の詳細を示すフローチャートである。 図91Bは、中間装置の「第三反映処理」の詳細を示すフローチャートである。 図92は、サーバ装置の「第三設定応答処理」の詳細を示すフローチャートである。 図93は、変形例(3)における分散データDBの構成を示す図である。 図94は、変形例(3)における暗号鍵DBの構成を示す図である。 図95は、変形例(4)におけるヘルスケアシステムの構成を示すブロック図である。 図96は、変形例(4)における計測端末の構成を示すブロック図である。 図97は、変形例(4)における管理端末の構成を示すブロック図である。
(実施の形態1)
以下、本発明の実施の形態1について、図面を参照しながら説明する。
図1は、ヘルスケアシステム1の構成を示す構成図である。
ヘルスケアシステム1は、計測装置11、中間装置13、及びサーバ装置15を備えている。計測装置11及び中間装置13は、第一通信路12を介して接続され、中間装置13及びサーバ装置15は、第二通信路14を介して接続されている。計測装置11は、患者が保持する装置であり、患者の体温などの生体データを計測する機能を有する。中間装置13は、看護師が保持する装置であり、計測装置11で計測した生体データを、サーバ装置15へ受け渡す役目を有する。また、中間装置13は、看護師が患者宅を訪問した際に、患者の過去の生体データを閲覧できる機能を有する。これにより、看護師は患者に適切なアドバイスを行うことができる。サーバ装置15は、病院が管理する装置であり、中間装置13を経由して計測装置11より収集された患者の生体データを管理する。ここで管理される生体データは、病院の担当医により閲覧される。
まずは第一通信路12と第二通信路14について述べ、続いて計測装置11、中間装置13、及びサーバ装置15の構成について図を用いて説明する。
<第一通信路12の構成>
第一通信路12は、計測装置11と中間装置13との間で、各種データを送受信するための通信路である。例えば、Bluetooth(登録商標)などで実現される無線接続のための通信路、又はUSB(Universal Serial Bus)などで実現される有線接続のための通信路である。
<第二通信路14の構成>
第二通信路14は、中間装置13とサーバ装置15との間で、各種データを送受信するための通信路である。例えばADSL(Asymmetric Distal Subscriber Line)、電話線、又は専用線などによって実現される。
<計測装置11の構成>
次に、計測装置11の構成について説明する。
図2は、計測装置11の構成を示すブロック図である。図2に示す通り、計測装置11は、計測部110、鍵生成部111、分散部112、第一格納部113、第一暗号部114、第一通信部115、第一送受信処理部116、復元応答処理部117、及び第一設定処理部118を備えている。これらの構成要素のうち、必須の構成要素は、計測部110、分散部112、第一暗号部114、及び第一通信部115である。
なお、計測部110、分散部112及び第一通信部115は、請求の範囲の計測部、分散部及び第一通信部にそれぞれ対応する。また、第一暗号部114は、請求の範囲の生体データ暗号部と、第一分散情報暗号部と、第二分散情報暗号部とに対応する。
(1)計測部110
計測部110は、患者の生体データVDを計測する。生体データVDは例えば、体重、体脂肪、体温、血圧、血糖値、脈拍数、心拍数、歩数、又は運動量などである。例えば生体データVDが体温の場合、生体データVDのデータサイズは3バイト(十の位、一の位、小数第一位がそれぞれ1バイト)である。計測装置11は「計測ボタン」を有し、計測部110は、そのボタンが押された際に生体データVDを計測する機能を有する。なお、計測部110は時計機能を有し、生体データVDに計測時間を加えてもよい。例として、2008年10月16日11時26分に計測された体温が36.5℃の場合、生体データVDは「2008/10/16 11:26 365」となる。計測部110は、生成した生体データVDを他の機能ブロックに出力する。
(2)鍵生成部111
鍵生成部111は、第一格納部113の暗号鍵DBに、暗号化鍵PKと復号鍵SKが設定されていない場合、公開鍵暗号の鍵ペアである暗号化鍵PKと復号鍵SKを作成する。公開鍵暗号は、例えばRSA(Rivest Shamir Adleman)方式又は楕円曲線暗号方式などの暗号である。RSA方式及び楕円曲線暗号方式、並びにそれら方式の鍵生成方法については公知なので、その詳細な説明は繰り返さない。鍵生成部111は、その暗号化鍵PKと復号鍵SKを、第一格納部113の暗号鍵DBに格納する。例えば、鍵生成部111は、計測装置11を最初に起動した際に、暗号化鍵PKと復号鍵SKを生成してもよいし、計測部110で最初に生体データVDを計測する前に生成してもよい。なお、鍵生成部111は、必ずしも計測装置11に備えられていなくても良い。つまり、計測装置11は外部の装置より暗号化鍵PKと復号鍵SKとを受信しても良い。
(3)分散部112
分散部112は、鍵生成部111が鍵ペアを生成したあとに、第一格納部113の暗号鍵DBに設定されている復号鍵SKから、秘密分散法を用いて、互いに異なる2つの分散情報を作成する。秘密分散法とは、あるデータをn個に分割し、そのうちの互いに異なるk個が揃ったらもとのデータが復元できるといった手法であり、非特許文献1及び2に詳しい。ここで、k、nはそれぞれ自然数であり、k≦nを満たす。
Bruce Schneier,"APPLIED CRYPTOGRAPHY Second edition",WILEY,1996,PP528−529. 岡本龍明、山本博資、"現代暗号"、産業図書、1997、PP214−215. 秘密分散についてもう少し詳細に説明する。秘密分散は、秘密を複数の分散情報(シェアと呼ぶ)に分散し、そのうち、任意の分散情報が閾値であるk個揃うことにより、元の秘密が復元できるといった手法である。以降では、閾値kが3の場合を例に挙げて説明する。図3を参照して、定数項(図3では切片)を元の秘密dとした任意の2次多項式f[x]=ax2+bx+d(a,bは任意に定める)を定める。このとき、i番目の分散情報はこの2次多項式のxにiを設定したf[x]、つまり図3の座標図では、x座標にiを設定したときの、y座標値に相当する。なお、2次多項式上の3点がそろえば2次多項式が決定し、その切片である秘密dが復元される。なお、ここでは、分散情報を計測回数iに対応したf[i]で示されるy座標としているが、多項式上の点(x座標とy座標とのペア)であってもよい。
ここで互いに異なる2つの分散データはそれぞれ、第一分散情報FSDと第二分散情報SSDと呼ぶ。これらは、どちらか1つの分散情報しか持たない場合、復号鍵SKを復元できないようにし、2つの分散情報が揃った場合、復号鍵SKを復元できるようにする。そして、第一分散情報FSDと第二分散情報SSDを、第一格納部113の分散データDBに格納する。その際、鍵送信フラグSFの初期値は「No」とする。
(4)第一格納部113
第一格納部113は、図4のように、分散データDB170、生体データDB171、暗号鍵DB172、及び装置情報DB173を保持している。
分散データDB170は、図5のように、第一分散情報FSD(図5では第一分散情報200)と、第二分散情報SSD(図5では第二分散情報201)と、鍵送信フラグSF(図5では鍵送信フラグ202)とを含む。第一分散情報FSDと第二分散情報SSDは、鍵生成部111で生成される復号鍵SKが分散された値であり、分散部112で生成される。鍵送信フラグSFは、第一分散情報FSDと第二分散情報SSDを、中間装置13へ既に渡しているかを示す値であり、Yesは送信済、Noは未送信を表す。これは、計測装置11が中間装置13へ、第一分散情報FSDと第二分散情報SSDを送信するかどうか判断する際に用いる。
生体データDB171は、図6のように、一以上の生体データVD(図6では生体データ210a、210b及び210c)を含む。各生体データVDは、計測部110で計測された生体データである。
暗号鍵DB172は、図7のように、暗号化鍵PK(図7では暗号化鍵220)と、復号鍵SK(図7では復号鍵221)とを含む。この暗号化鍵PKと復号鍵SKは、鍵生成部111で生成される。
装置情報DB173は、図8のように、ユーザ識別子ID(図8ではユーザ識別子270)と、中間装置暗号化鍵CPK(図8では中間装置暗号化鍵271)と、サーバ装置暗号化鍵(図8ではサーバ装置暗号化鍵272)とを含む。ユーザ識別子IDは、計測装置11を保持する患者を特定する番号である。中間装置暗号化鍵CPKは、中間装置13が持つ中間装置復号鍵CSKに対応する鍵であり、サーバ装置暗号化鍵SPKは、サーバ装置15が持つサーバ装置復号鍵SSKに対応する鍵である。
(5)第一暗号部114
第一暗号部114は、2つの機能を有する。
A.生体データVDの暗号化
第一暗号部114は、他の機能ブロックから生体データVDを受け取ったら、第一格納部113の暗号鍵DB172にアクセスし、暗号化鍵PKを取得する。そして、第一暗号部114は、その暗号化鍵PKを使って、生体データVDを暗号化する。暗号化された生体データVDを暗号化生体データEVDとする。暗号化方式は、鍵生成部111で鍵ペアを生成する際に用いた方式と同じものにする。例えば、RSA方式又は楕円曲線暗号方式である。そして、第一暗号部114は、暗号化生体データEVDを他の機能ブロックに出力する。
B.分散情報の暗号化
第一暗号部114は、他の機能ブロックから第一分散情報FSDと第二分散情報SSDを受け取ったら、第一格納部113の装置情報DB173にアクセスし、中間装置暗号化鍵CPKを取得する。そして、第一暗号部114は、その中間装置暗号化鍵CPKを用いて、第一分散情報FSDを暗号化する。その後、第一暗号部114は、再度第一格納部113の装置情報DB173にアクセスし、サーバ装置暗号化鍵SPKを取得する。そして、第一暗号部114は、そのサーバ装置暗号化鍵SPKを用いて、第二分散情報SSDを暗号化する。暗号化した第一分散情報FSD、及び暗号化した第二分散情報SSDを、それぞれ暗号化第一分散情報EFSD、及び暗号化第二分散情報ESSDとする。暗号化方式は、例えば、RSA方式又は楕円曲線暗号方式である。そして、第一暗号部114は、暗号化第一分散情報EFSDと暗号化第二分散情報ESSDを他の機能ブロックに出力する。
(6)第一通信部115
第一通信部115は、他の機能ブロックからの要求に応じて、第一通信路12を介して、中間装置13との間で各種データを送受信する機能を有する。
(7)第一送受信処理部116
第一送受信処理部116は、外部からの要求に応じて、図9で示すような、ユーザ識別子IDと一以上の暗号化生体データEVDとを含む第一データFDを生成する。例えば、計測装置11が「送信ボタン」を有し、第一送受信処理部116は、そのボタンが押された際に第一データFDを生成する。第一送受信処理部116は、ユーザ識別子IDを第一格納部113の装置情報DB173から取得する。暗号化生体データEVDは、第一暗号部114で生体データVDを暗号化することにより得られるデータである。暗号化の際、第一送受信処理部116は、第一格納部113の分散データDB170に格納されている鍵送信フラグSFが「No」の場合、さらに第一暗号部114に依頼して、暗号化第一分散情報EFSDと暗号化第二分散情報ESSDを生成させる。そして、第一送受信処理部116は、第一データFDに、暗号化第一分散情報EFSDと暗号化第二分散情報ESSDを含める。そして、第一送受信処理部116は、生成した第一データFDを、第一通信部115を介して、中間装置13へ送信する。
(8)復元応答処理部117
復元応答処理部117は、第一通信部115を介して、中間装置13からユーザ識別子IDを受け取った場合、まず、第一格納部113の装置情報DB173にアクセスし、受け取ったユーザ識別子IDと装置情報DB173に格納されているユーザ識別子IDとが同じかどうかを確認する。両者が同じである場合、復元応答処理部117は、第一格納部113の分散データDB170から、第二分散情報SSDを取得し、第一通信部115を介して、中間装置13へ送信する。
(9)第一設定処理部118
第一設定処理部118は、外部から入力されるデータに基づいて第一格納部113の装置情報DB173にユーザ識別子ID、中間装置暗号化鍵CPK、サーバ装置暗号化鍵SPKを設定できる機能を有する。例えば、第一設定処理部118は、キーボードから入力されるデータに基づいてこれらの情報を設定してもよいし、SD(Secure Digital)カード等のメモリーカードに記憶されているデータに基づいてこれらの情報を設定してもよい。また、第一設定処理部118は、所定の認証機能(例えばパスワード認証)を有し、計測装置11がサーバ装置15と接続した際に、認証を行う。その所定の認証が成功した場合に、サーバ装置15は、第一設定処理部118を介して、第一格納部113の分散データDB170に第一分散情報FSDと第二分散情報SSDと鍵送信フラグSFとを設定できる。
<中間装置13の構成>
次に、中間装置13の構成について説明する。図10は、中間装置13の構成を示すブロック図である。図10に示す通り、中間装置13は、第二通信部130、第二格納部131、表示部132、第一復号部133、制御部134、第二暗号部135、第三通信部136、第二送受信処理部137、復元要求処理部138、及び第二設定処理部139を備えている。これらの構成要素のうち、必須の構成要素は、第二通信部130と、第三通信部136である。
なお、第二通信部130、表示部132及び第三通信部136は、請求の範囲の第二通信部、表示部及び第三通信部にそれぞれ対応する。また、第二格納部131は、請求の範囲の記憶部に対応する。さらに、第一復号部133は、請求の範囲の中間装置側生体データ復号部に対応する。さらにまた、第二暗号部135は、請求の範囲の第一分散情報復号部に対応する。
(1)第二通信部130
第二通信部130は、第一通信路12を介して、計測装置11との間で各種データを送受信する機能を有する。
(2)第二格納部131
第二格納部131は、図11のように、第二分散データDB180、第二生体データDB181、及び第二装置情報DB182を保持している。
第二分散データDB180は、図12のように、ユーザ識別子ID(図12ではユーザ識別子300)と、第一分散情報FSD(図12では第一分散情報301)とを含む。
第二生体データDB181は、図13のように、ユーザ識別子ID(図13ではユーザ識別子310)と、一以上の暗号化生体データEVD(暗号化生体データ311a、311bお及び311c)とを含む。
第二装置情報DB182は、図14のように、中間装置復号鍵CSK(図14では中間装置復号鍵320)と、サーバ装置暗号化鍵SPK(図14ではサーバ装置暗号化鍵321)とを含む。
(3)表示部132
表示部132は、生体データVDを表示する機能を有する。例えば、表示部132は、複数の生体データVDをグラフ又は表にして表示する。
(4)第一復号部133
第一復号部133は、第一分散情報FSDと第二分散情報SSDと暗号化生体データEVDを受け取った場合、まず秘密分散法を用いて、第一分散情報FSDと第二分散情報SSDから、復号鍵SKを復元する。そして、第一復号部133は、その復号鍵SKを用いて、暗号化生体データEVDを復号し、生体データVDを取得する。第一復号部133は、その生体データVDを出力する機能を有する。
(5)制御部134
制御部134は、外部からユーザ識別子IDを受け取った場合、復元要求処理部138に対してユーザ識別子IDを出力する。例えば、中間装置13が「閲覧ボタン」と「キーボード」を有しており、そのボタンとキーボードを介してユーザ識別子IDが入力される。そうすると、制御部134は、復元要求処理部138から第二分散情報SSDを取得する。また、制御部134は、第二格納部131の第二分散データDB180から、ユーザ識別子IDに対応する第一分散情報FSDを取得する。さらに、制御部134は、第二格納部131の第二生体データDB181から、ユーザ識別子IDに対応する暗号化生体データEVDを取得する。そして、制御部134は、第一分散情報FSDと第二分散情報SSDと暗号化生体データEVDを、第一復号部133に出力し、第一復号部133から生体データVDを得る。制御部134は、その生体データVDを、表示部132に表示させる機能を有する。
(6)第二暗号部135
第二暗号部135は、ユーザ識別子IDと暗号化第一分散情報EFSDを受け取った場合、第二格納部131の第二装置情報DB182から、中間装置復号鍵CSKを取得する。そして、第二暗号部135は、その中間装置復号鍵CSKを用いて、暗号化第一分散情報EFSDを復号する。第二暗号部135は、復号結果である第一分散情報FSDを、ユーザ識別子IDに対応させる形で、第二格納部131の第二分散データDB180に格納する。その後、第二暗号部135は、第二格納部131の第二装置情報DB182から、サーバ装置暗号化鍵SPKを取得する。そして、第二暗号部135は、第一分散情報FSDをサーバ装置暗号化鍵SPKで暗号化する。その結果を第二暗号化第一分散情報E2FSDとする。最後に、第二暗号部135は、第二暗号化第一分散情報E2FSDを他の機能ブロックに出力する。
(7)第三通信部136
第三通信部136は、第二通信路14を介して、サーバ装置15との間で、各種データを送受信する機能を有する。
(8)第二送受信処理部137
第二送受信処理部137は、計測装置11から第一データFDを受け取った場合、まず第一データFDに含まれるユーザ識別子IDと暗号化生体データEVDを、第二格納部131の第二生体データDB181に格納する。その後、第一データFDに暗号化第一分散情報EFSDと第二暗号化第一分散情報E2FSDが含まれていたら、第二送受信処理部137は、ユーザ識別子IDと暗号化第一分散情報EFSDを第二暗号部135へ出力し、第二暗号化第一分散情報E2FSDを取得する。そして、図15で示すように、第二送受信処理部137は、第一データFDのうち、暗号化第一分散情報EFSDを第二暗号化第一分散情報E2FSDに置き換えた第二データSDを生成する。そして、第二送受信処理部137は、その第二データSDを、第三通信部136を介して、サーバ装置15へ送信する。第一データFDに暗号化第一分散情報EFSDと第二暗号化第一分散情報E2FSDが含まれていなかったら、第二送受信処理部137は、第一データFDを第二データSDとして、第三通信部136を介して、サーバ装置15へ送信する。
(9)復元要求処理部138
復元要求処理部138は、他の機能ブロックからユーザ識別子IDを受け取ったら、そのユーザ識別子IDを、第二通信部130を介して、計測装置11へ送信する。その後、復元要求処理部138は、第二通信部130を介して、計測装置11から、暗号化第二分散情報ESSDを受信する。復元要求処理部138は、その暗号化第二分散情報ESSDを第一復号部133へ出力する。
(10)第二設定処理部139
第二設定処理部139は、外部から入力されるデータに基づいて第二格納部131の第二装置情報DB182に中間装置復号鍵CSK、サーバ装置暗号化鍵SPKを設定できる。例えば中間装置13はキーボードを備えており、第二設定処理部139は、キーボードを介して入力されるデータに基づいてこれらの情報を設定することができる。また、第二設定処理部139は、所定の認証機能(例えばパスワード認証)を有し、中間装置13がサーバ装置15と接続した際に、認証を行う。その所定の認証が成功した場合に、サーバ装置15は、第二設定処理部139を介して、第二格納部131の第二分散データDB180にユーザ識別子IDと第一分散情報FSDを設定できる。
<サーバ装置15の構成>
最後に、サーバ装置15の構成について説明する。
図16は、サーバ装置15の構成を示すブロック図である。図16に示す通り、サーバ装置15は、第四通信部150、第二復号部151、第三格納部152、第四格納部153、第五格納部154、第三暗号部155、第三送受信処理部156、及び第三設定処理部157を備えている。これらの構成要素のうち、必須の構成要素は、第四通信部150と、第二復号部151と、第三暗号部155とである。
なお、第四通信部150は、請求の範囲の第四通信部に対応する。また、第二復号部151は、請求の範囲の復元部及び生体データ復号部に対応する。さらに、第三格納部152は、請求の範囲の保持部に対応する。さらにまた、第三暗号部155は、請求の範囲の分散情報復号部に対応する。また、第三設定処理部157は、請求の範囲の供給部に対応する。
(1)第四通信部150
第四通信部150は、第二通信路14を介して、中間装置13との間で、各種データを送受信する機能を有する。
(2)第二復号部151
第二復号部151は、2つの機能を有する。
A.分散情報からの復号鍵の復元
第二復号部151は、他の機能ブロックから第一分散情報FSDと第二分散情報SSDを受け取った場合、秘密分散法を用いて、復号鍵SKを復元し、他の機能ブロックに出力する機能を有する。
B.暗号化生体データの復号
第二復号部151は、他の機能ブロックから暗号化生体データEVDと復号鍵SKを受け取った場合、その復号鍵SKを用いて、暗号化生体データEVDを復号し、その結果である生体データVDを他の機能ブロックに出力する機能を有する。
(3)第三格納部152
第三格納部152は、図17のように、ユーザ識別子ID(図17ではユーザ識別子400)と、第一分散情報FSD(図17では第一分散情報401)とを保持している。
(4)第四格納部153
第四格納部153は、図18のように、ユーザ識別子ID(図18ではユーザ識別子410)と、第二分散情報SSD(図18では第二分散情報411)とを保持している。
(5)第五格納部154
第五格納部154は、図19のように、第三生体データDB190と、第二暗号鍵DB191と、第三装置情報DB192とを保持している。
第三生体データDB190は、図20のように、ユーザ識別子ID(図20ではユーザ識別子420)と、生体データVD(図20では生体データ421a、421b及び421c)とを含む。
第二暗号鍵DB191は、図21のように、ユーザ識別子ID(図21ではユーザ識別子430)と、復号鍵SK(図21では復号鍵431)とを含む。
第三装置情報DB192は、図22のように、サーバ装置復号鍵SSK(図21ではサーバ装置復号鍵440)を含む。
(6)第三暗号部155
第三暗号部155は、他の機能ブロックから、サーバ装置復号鍵SSKと第二暗号化第一分散情報E2FSDと暗号化第二分散情報ESSDとを受け取ったら、サーバ装置復号鍵SSKを用いて、第二暗号化第一分散情報E2FSDと暗号化第二分散情報ESSDを両方とも復号し、第一分散情報FSDと第二分散情報SSDを得る。そして、第三暗号部155は、第一分散情報FSDと第二分散情報SSDを他の機能ブロックに出力する。
(7)第三送受信処理部156
第三送受信処理部156は、第四通信部150を介して、中間装置13から、第二データSDを受信した場合、最初に第二データSDに第二暗号化第一分散情報E2FSDが含まれるか確認する。第二暗号化第一分散情報E2FSDが含まれていたら、第三送受信処理部156は、第五格納部154の第三装置情報DB192から、サーバ装置復号鍵SSKを取得する。そして、第三送受信処理部156は、第二データSDから、第二暗号化第一分散情報E2FSDと暗号化第二分散情報ESSDを抽出し、サーバ装置復号鍵SSKと第二暗号化第一分散情報E2FSDと暗号化第二分散情報ESSDを第三暗号部155へ出力し、第三暗号部155から第一分散情報FSDと第二分散情報SSDを得る。その後、第三送受信処理部156は、第一分散情報FSDと第二分散情報SSDを第二復号部151へ出力し、第二復号部151から復号鍵SKを得る。第三送受信処理部156は、その復号鍵SKを、第五格納部154の第二暗号鍵DB191に格納する。以上が、第二データSDに第二暗号化第一分散情報E2FSDが含まれる場合に行う追加の動作である。そして、第三送受信処理部156は、第五格納部154の第二暗号鍵DB191から取得した復号鍵SKと、第二データSDに含まれる暗号化生体データEVDを、第二復号部151へ出力し、第二復号部151から生体データVDを得る。第三送受信処理部156は、得られた生体データVDを第五格納部154の第三生体データDB190に格納する。
(8)第三設定処理部157
第三設定処理部157は、外部から入力されるデータに基づいて第五格納部154の第三装置情報DB192にサーバ装置復号鍵SSKを設定できる機能を有する。例えば、第三設定処理部157は、キーボードから入力されるデータに基づいてサーバ装置復号鍵SSKを設定できる。
また、第三設定処理部157は、計測装置11がサーバ装置15に直接接続された場合に、計測装置11に第二分散情報SSDを設定する機能を有する。さらに、第三設定処理部157は、中間装置13がサーバ装置15に直接接続された場合に、中間装置13に第一分散情報FSDを設定する機能を有する。
以上が各構成要素の説明である。以後各構成装置の動作例について説明する。まずは、本動作例の概要、及び実現できる機能について説明する。
図23を参照して、まず計測装置11は、患者が最初に利用する際に、暗号化鍵PK、復号鍵SK、及び復号鍵SKに対応する2つの分散情報(第一分散情報FSDと第二分散情報SSD)を生成する。そして、計測装置11は、患者が「計測ボタン」を押した際に生体データVDを計測し、生体データVDを暗号化鍵PKで暗号化した形で蓄積する。そして、あるタイミングで看護師が患者宅を訪問した際、看護師が計測装置11の「送信ボタン」を押すと、計測装置11は、第一分散情報FSDを、中間装置13だけが復号できる形で暗号化し、第二分散情報SSDを、サーバ装置15だけが復号できる形で暗号化する。計測装置11は、それぞれ暗号化された第一分散情報FSD及び第二分散情報SSDを、暗号化された生体データVDとともに、看護師が持参した中間装置13に送信する。これらのデータを受信した中間装置13は、まず暗号化された生体データVDを蓄積する。また、中間装置13は、暗号化された第一分散情報FSDを復号し、第一分散情報FSDを蓄積する。そして、中間装置13は、その第一分散情報FSDを、さらにサーバ装置15だけが復号できる形で暗号化し、一時的に蓄積する。看護師が病院に戻った後、中間装置13は、サーバ装置15に対して、それぞれ暗号化された第一分散情報FSDと第二分散情報SSDと生体データVDを送信する。サーバ装置15は、それぞれ暗号化された第一分散情報FSDと第二分散情報SSDを復号し、第一分散情報FSDと第二分散情報SSDを得て、第一分散情報FSDと第二分散情報SSDから復号鍵SKを得る。そして、サーバ装置15は、復号鍵SKを用いて、暗号化された生体データVDを復号し、生体データVDを得る。このようにしてサーバ装置15は、生体データVDを得ることができる。
図24を参照して、その後のタイミングで、看護師が患者宅を訪問した場合、看護師が以前に測定された生体データVDを閲覧したいとする。その際、看護師が、看護師自身が保持する中間装置13の「閲覧ボタン」を押下し、患者のユーザ識別子IDを入力すると、中間装置13は、計測装置11にアクセスし、第二分散情報SSDを得る。そして、中間装置13は、計測装置11から取得した第二分散情報SSDと中間装置13が保持する第一分散情報FSDとを組み合わせて、復号鍵SKを復元する。中間装置13は、復元した復号鍵SKを用いて、保持する暗号化された生体データVDを復号し、生体データVDを得る。これにより、中間装置13も、計測装置11と連携すると、生体データVDを閲覧することができる。
さらに、あるタイミングで、患者が利用していた計測装置11が故障した場合を考える。その場合、まず、システム管理者は、計測装置11と同様の構成を有する別の計測装置11xに対して、ユーザ識別子IDなどを設定する。その後、サーバ装置15が計測装置11xにアクセスし、サーバ装置15が保持する第一分散情報FSD及び第二分散情報SSDを計測装置11xに対して出力する。このように、サーバ装置15は、復号鍵SKを復元後も第一分散情報FSD及び第二分散情報SSDを保持しておくことにより、計測装置11が故障した場合でも、別の計測装置11xに対して、同じ第一分散情報FSD及び第二分散情報SSDを設定することができるようになる。なお、サーバ装置15は、第二分散情報SSDのみを計測装置11xに対して設定するようにしても良い。なお、サーバ装置15は、第一分散情報FSD及び第二分散情報SSDのいずれとも異なる2つの分散情報を復号鍵SKから生成し、生成した2つの分散情報を計測装置11xに対して出力するようにしても良い。このとき、計測装置11xと各分散情報とが一意に対応付けられるようにしておくことで、計測装置11xから外部に分散情報が流出した場合に、どの計測装置11xから流出したのかを特定することが可能となる。
最後に、あるタイミングで、看護師が利用していた中間装置13が故障した場合を考える。その場合、まず、システム管理者は、中間装置13と同様の構成を有する別の中間装置13yに対して、ユーザ識別子IDなどを設定する。その後、サーバ装置15が中間装置13yにアクセスし、サーバ装置15が保持する第一分散情報FSDを出力する。このように、サーバ装置15は、復号鍵SKを復元後も第一分散情報FSDを保持しておくことにより、中間装置13が故障した場合でも、別の中間装置13yに対して、同じ第一分散情報FSDを設定することができるようになる。なお、サーバ装置15は、第一分散情報FSD及び第二分散情報SSDのいずれとも異なる分散情報を復号鍵SKから生成し、生成した分散情報を中間装置13yに対して出力するようにしても良い。このとき、中間装置13yと分散情報とが一意に対応付けられるようにしておくことで、中間装置13yから外部に分散情報が流出した場合に、どの中間装置13yから流出したのかを特定することが可能となる。
上記が動作の概要である。以下、動作の詳細について説明する。ここでは、(i)計測装置11における生体データ計測時、及び生体データ送信時の動作、(ii)中間装置13での生体データ表示時の動作、(iii)計測装置11故障時の、他の計測装置11xへの分散情報設定時の動作、(iv)中間装置13故障時の、他の中間装置13yへの分散情報設定時の動作、に分けて説明を行う。
<(i)計測装置11における生体データ計測時、及び生体データ送信時の動作>
以下、図25のフローチャートを参照しながら、計測装置11における生体データ計測時、及び生体データ送信時の動作について説明する。
計測装置11は、「計測処理(ステップS100)」を行う。
計測装置11は、「暗号処理(ステップS101)」を行う。
計測装置11は、「送信処理(ステップS102)」を行う。
中間装置13は、「送受信処理(ステップS103)」を行う。
サーバ装置15は、「受信処理(ステップS104)」を行い、処理を終了する。
次に、計測装置11の各動作の詳細について説明する。
<計測処理(ステップS100)の詳細:図26参照>
計測部110は、生体データVDを生成する(ステップS1001)。
計測部110は、生体データVDを第一格納部113の生体データDB171に格納する(ステップS1002)。
<暗号処理(ステップS101)の詳細:図27参照>
第一暗号部114は、第一格納部113の暗号鍵DB172から、暗号化鍵PKを取得する(ステップS1011)。
第一暗号部114は、暗号化鍵PKを用いて、生体データVDを暗号化する(ステップS1012)。
<送信処理(ステップS102)の詳細:図28参照>
第一送受信処理部116は、第一格納部113の装置情報DB173から、ユーザ識別子IDを取得する(ステップS1021)。
第一送受信処理部116は、第一データFDを生成する(ステップS1022)。
鍵送信フラグSFが「No」ならば(ステップS1023でYes)、第一暗号部114は、第一分散情報FSDと第二分散情報SSDを暗号化する(ステップS1024)。
第一送受信処理部116は、暗号化第一分散情報EFSDと暗号化第二分散情報ESSDを第一データFDに追加する(ステップS1025)。
鍵送信フラグSFが「Yes」か(ステップS1023でNo)又はステップS1025の処理の後、第一送受信処理部116は、第一データFDを中間装置13へ送信する(ステップS1026)。
次に、中間装置13の各動作の詳細について説明する。
<送受信処理(ステップS103)の詳細:図29参照>
第二送受信処理部137は、計測装置11から第一データFDを受信する(ステップS1030)。
第二送受信処理部137は、ユーザ識別子IDと暗号化生体データEVDを、第二格納部131の第二生体データDB181に格納する(ステップS1031)。
第一データFDに暗号化第一分散情報EFSDが含まれていれば(ステップS1032でYes)、第二暗号部135は、暗号化第一分散情報EFSDを復号する(ステップS1033)。
第二暗号部135は、第一分散情報FSDを暗号化する(ステップS1034)。
第二送受信処理部137は、第一データFDに含まれる暗号化第一分散情報EFSDを、第二暗号化第一分散情報E2FSDに置き換えた第二データSDを生成する(ステップS1035)。
第二送受信処理部137は、サーバ装置15へ第二データSDを送信し、処理を終了する(ステップS1036)。
第一データFDに暗号化第一分散情報EFSDが含まれていなければ(ステップS1032でNo)、第二送受信処理部137は、サーバ装置15へ、第一データFDを第二データSDとして送信し、処理を終了する(ステップS1037)。
最後に、サーバ装置15の各動作の詳細について説明する。
<受信処理(ステップS104)の詳細:図30参照>
第三送受信処理部156は、中間装置13から第二データSDを受信する(ステップS1040)。
第三送受信処理部156は、第二データSDに第二暗号化第一分散情報E2FSDが含まれるか否かを確認する(ステップS1041)。
第二データSDに第二暗号化第一分散情報E2FSDが含まれる場合(ステップS1041でYes)、第三送受信処理部156は、第五格納部154の第三装置情報DB192から、サーバ装置復号鍵SSKを取得する(ステップS1042)。
第三暗号部155は、サーバ装置復号鍵SSKを使って、第二暗号化第一分散情報E2FSDと暗号化第二分散情報ESSDを復号する(ステップS1043)。
第二復号部151は、第一分散情報FSDと第二分散情報SSDを使って、復号鍵SKを得る。第二復号部151は、得られた復号鍵SKを、第五格納部154の第二暗号鍵DB191に格納する(ステップS1044)。
ステップS1044の処理の後、又は第二データSDに第二暗号化第一分散情報E2FSDが含まれていない場合(ステップS1041でNo)、第二復号部151は、第五格納部154の第二暗号鍵DB191から取得した復号鍵SKを使って(ステップS1045)、暗号化生体データEVDを復号し生体データVDを得る。第二復号部151は、生体データVDを第五格納部154の第三生体データDB190に格納し、処理を終了する(ステップS1046)。
<(ii)中間装置13での生体データ表示時の動作>
以下、図31のフローチャートを参照しながら、中間装置13での生体データ表示時の動作について説明する。
中間装置13は、「要求処理(ステップS110)」を行う。
計測装置11は、「応答処理(ステップS111)」を行う。
中間装置13は、「表示処理(ステップS112)」を行い、処理を終了する。
次に、中間装置13での生体データ表示時の各構成要素の動作について説明する。
<応答処理(ステップS110)の詳細:図32A参照>
制御部134には、外部からユーザ識別子IDが入力される(ステップS1101)。
復元要求処理部138は、ユーザ識別子IDを計測装置11へ送信する(ステップS1102)。
<表示処理(ステップS112)の詳細:図32B参照>
制御部134は、第二分散情報SSDを受信する(ステップS1120)。
制御部134は、第二格納部131の第二分散データDB180から、ユーザ識別子IDに対応する第一分散情報FSDを取得する(ステップS1121)。
制御部134は、第二格納部131の第二生体データDB181から、ユーザ識別子IDに対応する暗号化生体データEVDを取得する(ステップS1122)。
第一復号部133は、第一分散情報FSDと第二分散情報SSDとから、復号鍵SKを復元する(ステップS1123)。
第一復号部133は、復号鍵SKを用いて、暗号化生体データEVDを復号し、生体データVDを取得する(ステップS1124)。
表示部132は、生体データVDを、表示する(ステップS1125)。
<応答処理(ステップS111)の詳細:図33>
復元応答処理部117は、中間装置13からユーザ識別子IDを受信する(ステップS1110)。
復元応答処理部117は、第一格納部113の分散データDB170から、第二分散情報SSDを取得する(ステップS1111)。
復元応答処理部117は、第二分散情報SSDを中間装置13へ送信する(ステップS1112)。
<(iii)計測装置故障時の、他の計測装置11xへの分散情報設定時の動作>
以下、代替計測装置設定時の動作について説明する。まずは図34を使って、本動作の背景についてもう一度詳しく説明する。ここでは、計測装置11が故障したとする。その際、患者は代替品である計測装置11xを入手するが、以前計測した生体データVDを、中間装置13を保持する看護師は、引き続き閲覧したいと考える。そこで、本実施の形態では、サーバ装置15が持つデータを計測装置11xへコピーすることにより実現する。
次に、図35のフローチャートを参照しながら、代替計測装置設定時の動作を説明する。
計測装置11xは、「第一設定処理(ステップS120)」を行う。
サーバ装置15は、「第一設定応答処理(ステップS121)」を行う。
計測装置11xは、「第一反映処理(ステップS122)」を行い、処理を終了する。
次に、各構成要素の詳細動作について説明する。
<第一設定処理(ステップS120)の詳細:図36A>
第一設定処理部118は、認証情報の入力を受け付ける(ステップS1200)。
認証情報が正しければ、第一設定処理部118は、さらにユーザ識別子IDの入力を受け付ける(ステップS1201)。
第一設定処理部118は、ユーザ識別子IDを、第一格納部113の装置情報DB173に格納する(ステップS1202)。
第一設定処理部118は、ユーザ識別子IDを、サーバ装置15に送信する(ステップS1203)。
<第一反映処理(ステップS122)の詳細:図36B>
第一設定処理部118は、サーバ装置15から、第一分散情報FSDと第二分散情報SSDと鍵送信フラグSFを受信する(ステップS1220)。
第一設定処理部118は、第一分散情報FSDと第二分散情報SSDと鍵送信フラグSFを、第一格納部113の分散データDB170に格納する(ステップS1221)。
<第一設定応答処理(ステップS121)の詳細:図37>
第三設定処理部157は、計測装置11xから、ユーザ識別子IDを受信する(ステップS1210)。
第三設定処理部157は、第三格納部152から、ユーザ識別子IDに対応する第一分散情報FSDを取得する(ステップS1211)。
第三設定処理部157は、第四格納部153から、ユーザ識別子IDに対応する第二分散情報SSDを取得する(ステップS1212)。
第三設定処理部157は、値がYesとなる、鍵送信フラグSFを作成する(ステップS1213)。
第三設定処理部157は、第一分散情報FSDと第二分散情報SSDと鍵送信フラグSFを、計測装置11xへ送信する(ステップS1214)。
<(iv)中間装置故障時の、他の中間装置13yへの分散情報設定時の動作>
以下、代替中間装置設定時の動作について説明する。まずは図38を使って、本動作の背景についてもう一度詳しく説明する。ここでは、中間装置13が故障したとする。その際、看護師は代替品である中間装置13yを入手するが、以前計測した生体データVDを、同じ計測装置11と通信した際に、引き続き閲覧したいと考える。ここでは、サーバ装置15が持つデータを中間装置13yへコピーすることにより、それを実現する。
以下、図39のフローチャートを参照しながら、代替中間装置設定時の動作について説明する。
中間装置13yは、「第二設定処理(ステップS130)」を行う。
サーバ装置15は、「第二設定応答処理(ステップS131)」を行う。
中間装置13yは、「第二反映処理(ステップS132)」を行い、処理を終了する。
次に、代替中間装置設定時の各構成要素の動作について説明する。
<第二設定処理(ステップS130)の詳細:図40A>
第二設定処理部139は、認証情報の入力を受け付ける(ステップS1300)。
認証情報が正しければ、第二設定処理部139は、さらにユーザ識別子IDの入力を受け付ける(ステップS1301)。
第二設定処理部139は、ユーザ識別子IDを、サーバ装置15に送信する(ステップS1302)。
<第二反映処理(ステップS132)の詳細:図40B>
第二設定処理部139は、サーバ装置15から、第一分散情報FSDを受信する(ステップS1320)。
第二設定処理部139は、ユーザ識別子IDと第一分散情報FSDを、第二格納部131の第二分散データDB180に格納する(ステップS1321)。
<第二設定応答処理(ステップS131)の詳細:図41>
第三設定処理部157は、中間装置13yから、ユーザ識別子IDを受信する(ステップS1310)。
第三設定処理部157は、第三格納部152から、ユーザ識別子IDに対応する第一分散情報FSDを取得する(ステップS1311)。
第三設定処理部157は、第一分散情報FSDを、中間装置13yへ送信する(ステップS1312)。
以上が、ヘルスケアシステムの構成要素である計測装置11、中間装置13、サーバ装置15の動作である。
(実施の形態1の効果)
計測装置11は第一分散情報FSDを保持し、中間装置13は第二分散情報SSDを保持し、サーバ装置15は第一分散情報FSD及び第二分散情報SSDを保持する。これにより、サーバ装置15は、第一分散情報FSD及び第二分散情報SSDから復号鍵SKを再現できるため、暗号化鍵PKで暗号化された生体データVDを再現できる。一方、中間装置13は、第二分散情報SSDのみを保持するので、復号鍵SKを再現できない。中間装置13は、計測装置11から第一分散情報FSDを取得すると、第一分散情報FSD及び第二分散情報SSDが揃い、復号鍵SKを再現し、暗号化鍵PKで暗号化された生体データVDを再現して表示できる。即ち、中間装置13に保存されるのは分散情報の中の第二分散情報SSDに過ぎず、中間装置13は計測装置11から第一分散情報FSDを取得した場合にのみ生体データVDを再現できる。そのため、計測装置11と中間装置13とが揃わないと生体データVDを中間装置13の表示部132に表示させることができない。その結果、中間装置13単独で生体データVDを確認できず、計測装置11の患者が関知しない所で生体データVDを他人に見られるのを防止できる。そのため、計測装置11からサーバ装置15に直接分散情報を送信することができない場合であっても、安全に分散情報を配布することができる。また、計測装置11と中間装置13とが揃わないと生体データVDを中間装置13の表示部に表示させることができないので、中間装置13を紛失しても生体データVDが外部に漏洩するのを防止できる。さらに、秘密分散法の技術を用いることで、秘密漏洩のリスクを完全に防止できる。
また、サーバ装置15は、復号鍵SKを再現した後も、第一分散情報FSDと第二分散情報SSDを保持する。それにより、適切な別の計測装置11xに対して、第一分散情報FSDを設定することができ、さらに、適切な別の中間装置13yに対して、第二分散情報SSDを設定することができるようになる。これにより、計測装置11又は中間装置13が故障した場合でも、別の中間装置13yに対して、同じ第二分散情報SSDを設定することができるようになる。これにより、患者が利用していた計測装置11、又は看護師が利用していた中間装置13が故障した場合であっても、同様の方法で生体データVDの閲覧を制御することができるようになる。
(実施の形態2)
以下、本発明の実施の形態2について、図面を参照しながら説明する。
図42は、ヘルスケアシステム2の構成を示す構成図である。
ヘルスケアシステム2は、計測装置21、中間装置23、サーバ装置25、及びアクセス装置26を備えている。計測装置21及び中間装置23は、第一通信路22を介して接続されている。中間装置23及びアクセス装置26は、第二通信路24を介して接続されている。アクセス装置26及びサーバ装置25は、第三通信路27を介して接続されている。実施の形態1との大きな違いは、アクセス装置26が追加されている点である。このアクセス装置26は、例えば、看護師の派遣会社(看護ステーション)又は看護師の自宅に設置されているものである。機能は大きく2つあり、計測装置21から中間装置23に渡されたデータを、サーバ装置25へ渡す機能と、中間装置23とアクセス装置26が通信することにより、患者の生体データが閲覧できるようになる機能とがある。
まずは第一通信路22と第二通信路24と第三通信路27について述べ、続いて計測装置21、中間装置23、サーバ装置25、及びアクセス装置26の構成について図を用いて説明する。
<第一通信路22の構成>
第一通信路22は、計測装置21と中間装置23との間で、各種データを送受信するための通信路である。例えば、Bluetooth(登録商標)などで実現される無線接続のための通信路、又はUSB(Universal Serial Bus)などで実現される有線接続のための通信路である。
<第二通信路24の構成>
第二通信路24は、中間装置23とアクセス装置26との間で、各種データを送受信するための通信路である。例えば、Bluetooth(登録商標)などで実現される無線接続のための通信路、又はUSB(Universal Serial Bus)などで実現される有線接続のための通信路である。
<第三通信路27の構成>
第三通信路27は、アクセス装置26とサーバ装置25との間で、各種データを送受信するための通信路である。例えば、ADSL(Asymmetric Distal Subscriber Line)、電話線、又は専用線などで実現される。
<計測装置21の構成>
次に、計測装置21の構成について説明する。
図43は、計測装置21の構成を示すブロック図である。図43に示す通り、計測装置21は、計測部210、鍵生成部211、分散部212、第一格納部213、第一暗号部214、第一通信部215、第一送受信処理部216、復元応答処理部217、及び第一設定処理部218を備えている。これらの構成要素のうち、必須の構成要素は、計測部210、分散部212、第一暗号部214、及び第一通信部215である。
なお、計測部210、分散部212及び第一通信部215は、請求の範囲の計測部、分散部及び第一通信部にそれぞれ対応する。また、第一暗号部214は、請求の範囲の生体データ暗号部と、第一分散情報暗号部と、第二分散情報暗号部と、第三分散情報暗号部とに対応する。
(1)計測部210
計測部210は、患者の生体データVDを計測する。生体データVDは例えば、体重、体脂肪、体温、血圧、血糖値、脈拍数、心拍数、歩数、又は運動量などである。例えば生体データVDが体温の場合、生体データVDのデータサイズは3バイト(十の位、一の位、小数第一位がそれぞれ1バイト)である。計測装置21は「計測ボタン」を有し、計測部210は、そのボタンが押された際に生体データVDを計測する機能を有する。なお、計測部210は時計機能を有し、生体データVDに計測時間を加えてもよい。例として、2008年10月16日11時26分に計測された体温が36.5℃の場合、生体データVDは「2008/10/16 11:26 365」となる。計測部210は、生成した生体データVDを他の機能ブロックに出力する。
(2)鍵生成部211
鍵生成部211は、第一格納部213の暗号鍵DBに、暗号化鍵PKと復号鍵SKが設定されていない場合、公開鍵暗号の鍵ペアである暗号化鍵PKと復号鍵SKを作成する。公開鍵暗号は、例えばRSA(Rivest Shamir Adleman)方式又は楕円曲線暗号方式などの暗号である。RSA方式及び楕円曲線暗号方式、並びにそれら方式の鍵生成方法については公知なので、その詳細な説明は繰り返さない。鍵生成部111は、その暗号化鍵PKと復号鍵SKを、第一格納部213の暗号鍵DBに格納する。例えば、鍵生成部211は、計測装置21を最初に起動した際に、暗号化鍵PKと復号鍵SKを生成してもよいし、計測部210で最初に生体データVDを計測する前に生成してもよい。なお、鍵生成部211は、必ずしも計測装置21に備えられていなくても良い。つまり、計測装置21は外部の装置より暗号化鍵PKと復号鍵SKとを受信しても良い。
(3)分散部212
分散部212は、鍵生成部211が鍵ペアを生成したあとに、第一格納部213の暗号鍵DBに設定されている復号鍵SKから、秘密分散法を用いて、互いに異なる3つの分散情報を作成する。ここでは、3つの分散情報のうち、2つの分散情報が得られれば、元の情報が復元できるようにする。
(4)第一格納部213
第一格納部213は、図44のように、分散データDB500、生体データDB501、暗号鍵DB502、及び装置情報DB503を保持している。
分散データDB500は、図45のように、第一分散情報FSD(図45では第一分散情報600)と、第二分散情報SSD(図45では第二分散情報601)と、第三分散情報TSD(図45では第三分散情報603)と、鍵送信フラグSF(図45では鍵送信フラグ602)とを含む。互いに異なる第一分散情報FSDと第二分散情報SSDと第三分散情報TSDは、鍵生成部211で生成される復号鍵SKが分散された値であり、分散部212で生成される。鍵送信フラグSFは、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを、中間装置23へ既に渡しているかを示す値であり、Yesは送信済、Noは未送信を表す。これは、計測装置21が中間装置23へ、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを送信するかどうか判断する際に用いる。
生体データDB501は、図46のように、一以上の生体データVD(図46では生体データ610a、610b及び610c)を含む。各生体データVDは、計測部210で計測された生体データである。
暗号鍵DB502は、図47のように、暗号化鍵PK(図47では暗号化鍵620)と、復号鍵SK(図47では復号鍵621)とを含む。この暗号化鍵PKと復号鍵SKは、鍵生成部211で生成される。
装置情報DB503は、図48のように、ユーザ識別子ID(図48ではユーザ識別子630)と、中間装置暗号化鍵CPK(図48では中間装置暗号化鍵631)と、サーバ装置暗号化鍵(図48ではサーバ装置暗号化鍵632)と、アクセス装置暗号化鍵(図48ではアクセス装置暗号化鍵633)とを含む。ユーザ識別子IDは、計測装置21を保持する患者を特定する番号である。中間装置暗号化鍵CPKは、中間装置23が持つ中間装置復号鍵CSKに対応する鍵であり、サーバ装置暗号化鍵SPKは、サーバ装置25が持つサーバ装置復号鍵SSKに対応する鍵である。アクセス装置暗号化鍵APKは、アクセス装置26が持つアクセス装置復号鍵ASKに対応する鍵である。
(5)第一暗号部214
第一暗号部214は、2つの機能を有する。
A.生体データVDの暗号化
第一暗号部214は、他の機能ブロックから生体データVDを受け取ったら、第一格納部213の暗号鍵DB502にアクセスし、暗号化鍵PKを取得する。そして、第一暗号部214は、その暗号化鍵PKを使って、生体データVDを暗号化する。暗号化された生体データVDを暗号化生体データEVDとする。暗号化方式は、鍵生成部211で鍵ペアを生成する際に用いた方式と同じものにする。例えば、RSA方式又は楕円曲線暗号方式である。そして、第一暗号部214は、暗号化生体データEVDを他の機能ブロックに出力する。
B.分散情報の暗号化
第一暗号部214は、他の機能ブロックから第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを受け取ったら、第一格納部213の装置情報DB503にアクセスし、中間装置暗号化鍵CPKを取得する。そして、第一暗号部214は、その中間装置暗号化鍵CPKを用いて、第一分散情報FSDを暗号化する。その後、第一暗号部214は、再度第一格納部213の装置情報DB503にアクセスし、サーバ装置暗号化鍵SPKを取得する。そして、第一暗号部214は、そのサーバ装置暗号化鍵SPKを用いて、第二分散情報SSDを暗号化する。最後に、再度第一格納部213の装置情報DB503にアクセスし、アクセス装置暗号化鍵APKを取得する。そして、第一暗号部214は、そのアクセス装置暗号化鍵APKを用いて、第三分散情報TSDを暗号化する。暗号化した第一分散情報FSD、暗号化した第二分散情報SSD、及び暗号化した第三分散情報TSDを、それぞれ暗号化第一分散情報EFSD、暗号化第二分散情報ESSD、及び暗号化第三分散情報ETSDとする。暗号化方式は、例えば、RSA方式又は楕円曲線暗号方式である。そして、第一暗号部214は、暗号化第一分散情報EFSDと暗号化第二分散情報ESSDと暗号化第三分散情報ETSDを他の機能ブロックに出力する。
(6)第一通信部215
第一通信部215は、他の機能ブロックからの要求に応じて、第一通信路22を介して、中間装置23との間で各種データを送受信する機能を有する。
(7)第一送受信処理部216
第一送受信処理部216は、外部からの要求に応じて、図49で示すような、ユーザ識別子IDと一以上の暗号化生体データEVDとを含む第一データFDを生成する。例えば、計測装置21が「送信ボタン」を有し、第一送受信処理部216は、そのボタンが押された際に第一データFDを生成する。第一送受信処理部216は、ユーザ識別子IDを第一格納部213の装置情報DB503から取得する。暗号化生体データEVDは、第一暗号部214で生体データVDを暗号化することにより得られるデータである。暗号化の際、第一送受信処理部216は、第一格納部213の分散データDB500に格納されている鍵送信フラグSFが「No」の場合、さらに第一暗号部214に依頼して、暗号化第一分散情報EFSDと暗号化第二分散情報ESSDと暗号化第三分散情報ETSDとを生成させる。そして、第一送受信処理部216は、第一データFDに、暗号化第一分散情報EFSDと暗号化第二分散情報ESSDと暗号化第三分散情報ETSDを含める。そして、第一送受信処理部216は、生成した第一データFDを、第一通信部215を介して、中間装置23へ送信する。
(8)復元応答処理部217
復元応答処理部217は、第一通信部215を介して、中間装置23からユーザ識別子IDを受け取った場合、まず、第一格納部213の装置情報DB503にアクセスし、受け取ったユーザ識別子IDと装置情報DB503に格納されているユーザ識別子IDとが同じかどうかを確認する。両者が同じである場合、復元応答処理部217は、第一格納部213の分散データDB500から、第二分散情報SSDを取得し、第一通信部215を介して、中間装置23へ送信する。
(9)第一設定処理部218
第一設定処理部218は、外部から入力されるデータに基づいて第一格納部213の装置情報DB503にユーザ識別子ID、中間装置暗号化鍵CPK、サーバ装置暗号化鍵SPKを設定できる機能を有する。例えば、第一設定処理部218は、キーボードから入力されるデータに基づいてこれらの情報を設定してもよいし、SD(Secure Digital)カード等のメモリーカードに記憶されているデータに基づいてこれらの情報を設定してもよい。また、第一設定処理部218は、所定の認証機能(例えばパスワード認証)を有し、計測装置21がサーバ装置25と接続した際に、認証を行う。その所定の認証が成功した場合に、サーバ装置25は、第一設定処理部218を介して、第一格納部213の分散データDB500に第一分散情報FSDと第二分散情報SSDと第三分散情報TSDと鍵送信フラグSFを設定できる。
<中間装置23の構成>
次に、中間装置23の構成について説明する。図50は、中間装置23の構成を示すブロック図である。図50に示す通り、中間装置23は、第二通信部230、第二格納部231、表示部232、第一復号部233、制御部234、第二暗号部235、第三通信部236、第二送受信処理部237、復元要求処理部238、及び第二設定処理部239を備えている。これらの構成要素のうち、必須の構成要素は、第二通信部230と、第三通信部236である。
なお、第二通信部230、表示部232及び第三通信部236は、請求の範囲の第二通信部、表示部及び第三通信部にそれぞれ対応する。また、第二格納部231は、請求の範囲の記憶部に対応する。さらに、第一復号部233は、請求の範囲の中間装置側生体データ復号部に対応する。さらにまた、第二暗号部235は、請求の範囲の第一分散情報復号部に対応する。
(1)第二通信部230
第二通信部230は、第一通信路22を介して、計測装置21との間で各種データを送受信する機能を有する。
(2)第二格納部231
第二格納部231は、図51のように、第二分散データDB510、第二生体データDB511、及び第二装置情報DB512を保持している。
第二分散データDB510は、図52のように、ユーザ識別子ID(図52ではユーザ識別子700)と、第一分散情報FSD(図52では第一分散情報701)とを含む。
第二生体データDB511は、図53のように、ユーザ識別子ID(図53ではユーザ識別子710)と、一以上の暗号化生体データEVD(暗号化生体データ711a、711b及び711c)とを含む。
第二装置情報DB512は、図54のように、中間装置復号鍵CSK(図54では中間装置復号鍵720)と、サーバ装置暗号化鍵SPK(図54ではサーバ装置暗号化鍵721)と、アクセス装置暗号化鍵APK(図54ではアクセス装置暗号化鍵722)とを含む。
(3)表示部232
表示部232は、生体データVDを表示する機能を有する。例えば、表示部232は、複数の生体データVDをグラフ又は表にして表示する。
(4)第一復号部233
第一復号部233は、暗号化生体データEVDと、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDのうち2つを受け取った場合、まず秘密分散法を用いて、その2つの分散情報から、復号鍵SKを復元する。そして、その復号鍵SKを用いて、暗号化生体データEVDを復号し、生体データVDを取得する。第一復号部233は、その生体データVDを出力する機能を有する。
(5)制御部234
制御部234は、外部からユーザ識別子IDを受け取った場合、復元要求処理部138に対してユーザ識別子IDを出力する。例えば、中間装置23が「閲覧ボタン」と「キーボード」を有しており、そのボタンとキーボードを介してユーザ識別子IDが入力される。そうすると、制御部234は、復元要求処理部238から第二分散情報SSD、又は第三分散情報TSDを取得する。また、制御部234は、第二格納部231の第二分散データDB510から、ユーザ識別子IDに対応する第一分散情報FSDを取得する。さらに、制御部234は、第二格納部231の第二生体データDB511から、ユーザ識別子IDに対応する暗号化生体データEVDを取得する。そして、制御部234は、第一分散情報FSDと、暗号化生体データEVDと、第二分散情報SSD又は第三分散情報TSDを、第一復号部233に出力し、第一復号部233から生体データVDを得る。その生体データVDを、表示部232に表示させる機能を有する。
(6)第二暗号部235
第二暗号部235は、ユーザ識別子IDと暗号化第一分散情報EFSDを受け取った場合、第二格納部231の第二装置情報512から、中間装置復号鍵CSKを取得する。そして、第二暗号部235は、その中間装置復号鍵CSKを用いて、暗号化第一分散情報EFSDを復号する。第二暗号部235は、復号結果である第一分散情報FSDを、ユーザ識別子IDに対応させる形で、第二格納部231の第二分散データDB510に格納する。その後、第二暗号部235は、第二格納部231の第二装置情報DB512から、サーバ装置暗号化鍵SPKを取得する。そして、第二暗号部235は、第一分散情報FSDをサーバ装置暗号化鍵SPKで暗号化する。その結果を第二暗号化第一分散情報E2FSDとする。最後に、第二暗号部235は、第二暗号化第一分散情報E2FSDを他の機能ブロックに出力する。
(7)第三通信部236
第三通信部236は、第二通信路24を介して、アクセス装置26との間で、各種データを送受信する機能を有する。
(8)第二送受信処理部237
第二送受信処理部237は、計測装置21から第一データFDを受け取った場合、まず第一データFDに含まれるユーザ識別子IDと暗号化生体データEVDを、第二格納部231の第二生体データDB511に格納する。その後、第一データFDに暗号化第一分散情報EFSDと第二暗号化第一分散情報E2FSDと暗号化第三分散情報ETSDとが含まれていたら、第二送受信処理部237は、ユーザ識別子IDと暗号化第一分散情報EFSDを第二暗号部235へ出力し、第二暗号化第一分散情報E2FSDを取得する。そして、図55で示すように、第二送受信処理部237は、第一データFDのうち、暗号化第一分散情報EFSDを第二暗号化第一分散情報E2FSDに置き換えた第二データSDを生成する。そして、第二送受信処理部237は、その第二データSDを、第三通信部236を介して、アクセス装置26へ送信する。第一データFDに暗号化第一分散情報EFSDと第二暗号化第一分散情報E2FSDと暗号化第三分散情報ETSDが含まれていなかったら、第二送受信処理部237は、第一データFDを第二データSDとして、第三通信部236を介して、アクセス装置26へ送信する。
(9)復元要求処理部238
下記2つの機能を有する。
1.中間装置23と計測装置21が第一通信路22を介して通信可能な場合、復元要求処理部238は、他の機能ブロックからユーザ識別子IDを受け取り、そのユーザ識別子IDを、第二通信部230を介して、計測装置21へ送信する。その後、復元要求処理部238は、第二通信部230を介して、計測装置21から、暗号化第二分散情報ESSDを受信する。復元要求処理部238は、その暗号化第二分散情報ESSDを第一復号部233へ出力する。
2.中間装置23とアクセス装置26が第二通信路24を介して通信可能な場合、復元要求処理部238は、他の機能ブロックからユーザ識別子IDを受け取り、そのユーザ識別子IDを、第三通信部236を介して、アクセス装置26へ送信する。その後、復元要求処理部238は、第三通信部236を介して、アクセス装置26から、暗号化第三分散情報ETSDを受信する。復元要求処理部238は、その暗号化第三分散情報ETSDを第一復号部233へ出力する。
(10)第二設定処理部239
第二設定処理部239は、外部から入力されるデータに基づいて第二格納部231の第二装置情報DB512に中間装置復号鍵CSK、サーバ装置暗号化鍵SPK、アクセス装置暗号化鍵APKを設定できる。例えば中間装置23はキーボードを備えており、第二設定処理部239は、キーボードを介して入力されるデータに基づいてこれらの情報を設定することができる。また、第二設定処理部239は、所定の認証機能(例えばパスワード認証)を有し、中間装置23がサーバ装置25と接続した際に、認証を行う。その所定の認証が成功した場合に、サーバ装置25は、第二設定処理部239を介して、第二格納部231の第二分散データDB510にユーザ識別子IDと第一分散情報FSDを設定できる。
<アクセス装置26の構成>
次に、アクセス装置26の構成について説明する。
図56は、アクセス装置26の構成を示すブロック図である。図56に示す通り、アクセス装置26は、第五通信部260、第六格納部263、第四暗号部264、第六通信部265、第四送受信処理部266、復元応答処理部267、及び第四設定処理部268を備えている。これらの構成要素のうち、必須の構成要素は、第五通信部260と、第四暗号部264と、第六通信部265とである。
なお、第五通信部260及び第六通信部265は、請求の範囲の第五通信部及び第六通信部に対応する。また、第四暗号部264は、請求の範囲の第三分散情報復号部に対応する。
(1)第五通信部260
第五通信部260は、他の機能ブロックからの要求に応じて、第二通信路24を介して、中間装置23との間で各種データを送受信する機能を有する。
(2)第六格納部263
第六格納部263は、図57のように、分散データDB520、装置情報DB523を保持している。
分散データDB520は、図58のように、第三分散情報TSD(図58では第三分散情報703)を含む。
装置情報DB523は、図59のように、ユーザ識別子ID(図59ではユーザ識別子730)と、中間装置暗号化鍵CPK(図59では中間装置暗号化鍵731)と、サーバ装置暗号化鍵SPK(図59ではサーバ装置暗号化鍵732)と、アクセス装置復号鍵ASK(図59ではアクセス装置復号鍵733)とを含む。ユーザ識別子IDは、アクセス装置26を特定する番号である。中間装置暗号化鍵CPKは、中間装置23が持つ中間装置復号鍵CSKに対応する鍵であり、サーバ装置暗号化鍵SPKは、サーバ装置25が持つサーバ装置復号鍵SSKに対応する鍵である。アクセス装置復号鍵ASKは、アクセス装置26が持つ復号鍵である。
(3)第四暗号部264
第四暗号部264は、ユーザ識別子IDと暗号化第三分散情報ETSDを受け取った場合、第六格納部263の装置情報DB523から、アクセス装置復号鍵ASKを取得する。そして、第四暗号部264は、そのアクセス装置復号鍵ASKを用いて、暗号化第三分散情報ETSDを復号する。第四暗号部264は、復号結果である第三分散情報TSDを、ユーザ識別子IDに対応させる形で、第六格納部263の分散データDB520に格納する。その後、第四暗号部264は、第六格納部263の装置情報DB523から、サーバ装置暗号化鍵SPKを取得する。そして、第四暗号部264は、第三分散情報TSDをサーバ装置暗号化鍵SPKで暗号化する。その結果を第二暗号化第三分散情報E2TSDとする。最後に、第四暗号部264は、第二暗号化第三分散情報E2TSDを他の機能ブロックに出力する。
(4)第六通信部265
第六通信部265は、他の機能ブロックからの要求に応じて、第三通信路27を介して、サーバ装置25との間で各種データを送受信する機能を有する。
(5)第四送受信処理部266
第四送受信処理部266は、中間装置23から第二データSDを受け取った場合、第二データSDに暗号化第一分散情報EFSDと第二暗号化第一分散情報E2FSDと暗号化第三分散情報ETSDとが含まれていたら、ユーザ識別子IDと暗号化第三分散情報ETSDを第四暗号部264へ出力し、第四暗号部264から第二暗号化第三分散情報E2TSDを取得する。そして、第四送受信処理部266は、図60で示すように、第二データSDのうち、暗号化第三分散情報ETSDを第二暗号化第三分散情報E2TSDに置き換えた第三データTDを生成する。そして、第四送受信処理部266は、その第三データTDを、第六通信部265を介して、サーバ装置25へ送信する。第二データSDに暗号化第一分散情報EFSDと第二暗号化第一分散情報E2FSDと暗号化第三分散情報ETSDが含まれていなかったら、第四送受信処理部266は、第二データSDをそのまま第三データTDとして、第六通信部265を介して、サーバ装置25へ送信する。
(6)復元応答処理部267
復元応答処理部267は、第五通信部260を介して、中間装置23からユーザ識別子IDを受け取った場合、まず、第六格納部263の装置情報DB523にアクセスし、受け取ったユーザ識別子IDと装置情報DB523に格納されているユーザ識別子IDとが同じかどうかを確認する。両者が同じである場合、復元応答処理部267は、第六格納部263の分散データDB520から、第三分散情報TSDを取得し、第五通信部260を介して、中間装置23へ送信する。
(7)第四設定処理部268
第四設定処理部268は、外部から入力されるデータに基づいて第一格納部213の装置情報DB523にユーザ識別子ID、中間装置暗号化鍵CPK、サーバ装置暗号化鍵SPK、アクセス装置復号鍵ASKを設定できる機能を有する。例えば、第四設定処理部268は、キーボード介して入力されるデータに基づいてこれらの情報を設定してもよいし、SD(Secure Digital)カード等のメモリーカードに記憶されているデータに基づいてこれらの情報を設定してもよい。また、第四設定処理部268は、所定の認証機能(例えばパスワード認証)を有し、アクセス装置26がサーバ装置25と接続した際に、認証を行う。その所定の認証が成功した場合に、サーバ装置25は、第四設定処理部268を介して、第六格納部263の分散データDB520に第三分散情報TSDを設定できる。
<サーバ装置25の構成>
最後に、サーバ装置25の構成について説明する。
図61は、サーバ装置25の構成を示すブロック図である。図61に示す通り、サーバ装置25は、第四通信部250、第二復号部251、第三格納部252、第四格納部253、第五格納部254、第三暗号部255、第三送受信処理部256、第三設定処理部257、及び第七格納部258を備えている。これらの構成要素のうち、必須の構成要素は、第四通信部250と、第二復号部251と、第三暗号部255とである。
なお、第四通信部250は、請求の範囲の第四通信部に対応する。また、第二復号部251は、請求の範囲の復元部及び生体データ復号部に対応する。さらに、第三格納部252は、請求の範囲の保持部に対応する。さらにまた、第三暗号部255は、請求の範囲の分散情報復号部に対応する。また、第三設定処理部257は、請求の範囲の供給部に対応する。
(1)第四通信部250
第四通信部250は、第三通信路27を介して、アクセス装置26との間で、各種データを送受信する機能を有する。
(2)第二復号部251
第二復号部251は、2つの機能を有する。
A.分散情報からの復号鍵の復元
第二復号部251は、他の機能ブロックから第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを受け取った場合、秘密分散法を用いて、そのうち2つの分散情報から復号鍵SKを復元し、他の機能ブロックに出力する機能を有する。
B.暗号化生体データの復号
第二復号部251は、他の機能ブロックから暗号化生体データEVDと復号鍵SKを受け取った場合、その復号鍵SKを用いて、暗号化生体データEVDを復号し、その結果である生体データVDを他の機能ブロックに出力する機能を有する。
(3)第三格納部252
第三格納部252は、図62のように、ユーザ識別子ID(図62ではユーザ識別子800)と、第一分散情報FSD(図62では第一分散情報801)とを保持している。
(4)第四格納部253
第四格納部253は、図63のように、ユーザ識別子ID(図62ではユーザ識別子810)と、第二分散情報SSD(図62では第二分散情報811)とを保持している。
(5)第五格納部254
第五格納部254は、図64のように、第三生体データDB820と、第二暗号鍵DB821と、第三装置情報DB822とを保持している。
第三生体データDB820は、図65のように、ユーザ識別子ID(図65ではユーザ識別子900)と、生体データVD(図65では生体データ901a、901b及び901c)とを含む。
第二暗号鍵DB821は、図66のように、ユーザ識別子ID(図66ではユーザ識別子910)と、復号鍵SK(図66では復号鍵911)とを含む。
第三装置情報DB822は、図67のように、サーバ装置復号鍵SSK(図67ではサーバ装置復号鍵920)を含む。
(6)第三暗号部255
第三暗号部255は、他の機能ブロックから、サーバ装置復号鍵SSKと第二暗号化第一分散情報E2FSDと暗号化第二分散情報ESSDと第二暗号化第三分散情報E2TSDとを受け取ったら、サーバ装置復号鍵SSKを用いて、第二暗号化第一分散情報E2FSDと暗号化第二分散情報ESSDと第二暗号化第三分散情報E2TSDを全て復号し、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを得る。そして、第三暗号部255は、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを他の機能ブロックに出力する。
(7)第三送受信処理部256
第三送受信処理部256は、第四通信部250を介して、アクセス装置26から、第三データTDを受信した場合、最初に第三データTDに第二暗号化第一分散情報E2FSDが含まれるか確認する。第二暗号化第一分散情報E2FSDが含まれていたら、第三送受信処理部256は、第五格納部254の第三装置情報DB822から、サーバ装置復号鍵SSKを取得する。そして、第三送受信処理部256は、第三データTDから、第二暗号化第一分散情報E2FSDと暗号化第二分散情報ESSDと第二暗号化第三分散情報E2TSDを抽出し、サーバ装置復号鍵SSKと第二暗号化第一分散情報E2FSDと暗号化第二分散情報ESSDと第二暗号化第三分散情報E2TSDを第三暗号部255へ出力し、第三暗号部255から第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを得る。その後、第三送受信処理部256は、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを第二復号部251へ出力し、第二復号部251から復号鍵SKを得る。第三送受信処理部256は、その復号鍵SKを、第五格納部254の第二暗号鍵DB821に格納する。以上が、第三データTDに第二暗号化第一分散情報E2FSDが含まれる場合に行う追加の動作である。そして、第三送受信処理部256は、第五格納部254の第二暗号鍵DB821から取得した復号鍵SKと、第二データSDに含まれる暗号化生体データEVDを、第二復号部251へ出力し、第二復号部251から生体データVDを得る。第三送受信処理部256は、得られた生体データVDを第五格納部254の第三生体データDB820に格納する。
(8)第三設定処理部257
第三設定処理部257は、外部から入力されるデータに基づいて第五格納部254の第三装置情報DB822にサーバ装置復号鍵SSKを設定できる機能を有する。例えば、第三設定処理部257は、キーボードから入力されるデータに基づいてサーバ装置復号鍵SSKを設定できる。
また、第三設定処理部257は、計測装置21がサーバ装置25に直接接続された場合に、計測装置21に第二分散情報SSDを設定する機能を有する。さらに、第三設定処理部257は、中間装置23がサーバ装置25に直接接続された場合に、中間装置23に第一分散情報FSDを設定する機能を有する。さらに、第三設定処理部257は、アクセス装置26がサーバ装置25に直接接続された場合に、アクセス装置26に第三分散情報TSDを設定する機能を有する。
(9)第七格納部258
第七格納部258は、図68のように、ユーザ識別子ID(図68ではユーザ識別子930)と、第三分散情報TSD(図68では第三分散情報931)とを保持している。
以上が各構成要素の説明である。以後各構成装置の動作例について説明する。まずは、本動作例の概要、及び実現できる機能について説明する。
図69を参照して、まず計測装置21は、患者が最初に利用する際に、暗号化鍵PK、復号鍵SK、及び復号鍵SKに対応する3つの分散情報(第一分散情報FSDと第二分散情報SSDと第三分散情報TSD)を生成する。ここでは、3つの分散情報のうち2つが揃えば、元の復号鍵SKが得られるとする。そして、計測装置21は、患者が「計測ボタン」を押した際に生体データVDを計測し、生体データVDを暗号化鍵PKで暗号化した形で蓄積する。そして、あるタイミングで看護師が患者宅を訪問した際、看護師が計測装置21の「送信ボタン」を押すと、計測装置21は、第一分散情報FSDを、中間装置23だけが復号できる形で暗号化し、第二分散情報SSDを、サーバ装置25だけが復号できる形で暗号化し、第三分散情報TSDを、アクセス装置26だけが復号できる形で暗号化する。計測装置21は、それぞれ暗号化された第一分散情報FSD、第二分散情報SSD及び第三分散情報TSDを、暗号化された生体データVDとともに、看護師が持参した中間装置23に送信する。これらのデータを受信した中間装置23は、まず暗号化された生体データVDを蓄積する。また、中間装置23は、暗号化された第一分散情報FSDを復号し、第一分散情報FSDを蓄積する。そして、中間装置23は、その第一分散情報FSDを、さらにサーバ装置25だけが復号できる形で暗号化し、一時的に蓄積する。看護師が看護ステーションや自宅に戻った後、中間装置23は、アクセス装置26に対して、それぞれ暗号化された第一分散情報FSDと第二分散情報SSDと第三分散情報TSDと生体データVDを送信する。アクセス装置26は、暗号化された第三分散情報TSDを復号し、第三分散情報TSDを蓄積する。そして、アクセス装置26は、その第三分散情報TSDを、サーバ装置25だけが復号できる形で暗号化し、それぞれ暗号化された第一分散情報FSDと第二分散情報SSDと第三分散情報TSDと生体データVDとをサーバ装置25へ送信する。サーバ装置25は、それぞれ暗号化された第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを復号し、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを得て、そのうち2つの分散情報から復号鍵SKを得る。そして、サーバ装置25は、復号鍵SKを用いて、暗号化された生体データVDを復号し、生体データVDを得る。このようにしてサーバ装置25は、生体データVDを得ることができる。
図70を参照して、その後のタイミングで、看護師が患者宅を訪問した場合、看護師が以前に測定された生体データVDを閲覧したいとする。その際、看護師が、看護師自身が保持する中間装置23の「閲覧ボタン」を押下し、患者のユーザ識別子IDを入力すると、中間装置23は、計測装置21にアクセスし、第二分散情報SSDを得る。そして、中間装置23は、計測装置21から取得した第二分散情報SSDと中間装置23が保持する第一分散情報FSDとを組み合わせて、復号鍵SKを復元する。中間装置23は、復元した復号鍵SKを用いて、保持する暗号化された生体データVDを復号し、生体データVDを得る。これにより、中間装置23も、計測装置21と連携すると、生体データVDを閲覧することができる。
また、別のタイミングで、看護師が看護ステーションや自宅に居る場合、看護師が以前に測定された生体データVDを閲覧したいとする。その際、看護師が、看護師自身が保持する中間装置23の「閲覧ボタン」を押下し、患者のユーザ識別子IDを入力すると、中間装置23は、アクセス装置26にアクセスし、第三分散情報TSDを得る。そして、中間装置23は、第三分散情報TSDと中間装置23が保持する第一分散情報FSDと組み合わせて、復号鍵SKを復元する。中間装置23は、復元した復号鍵SKを用いて、保持する暗号化された生体データVDを復号し、生体データVDを得る。これにより、中間装置23も、アクセス装置26と連携すると、生体データVDを閲覧することができる。
さらに、あるタイミングで、患者が利用していた計測装置21が故障した場合を考える。その場合、まず、システム管理者は、計測装置21と同様の構成を有する別の計測装置21xに対して、ユーザ識別子IDなどを設定する。その後、サーバ装置25が計測装置21xにアクセスし、サーバ装置25が保持する第二分散情報SSDを計測装置21xに出力する。このように、サーバ装置25は、復号鍵SKを復元後も第二分散情報SSDを保持しておくことにより、計測装置21が故障した場合でも、別の計測装置21xに対して、同じ第二分散情報SSDを設定することができるようになる。なお、サーバ装置25は、第一分散情報FSD、第二分散情報SSD及び第三分散情報TSDのいずれとも異なる分散情報を復号鍵SKから生成し、生成した分散情報を計測装置21xに対して出力するようにしても良い。このとき、計測装置21xと分散情報とが一意に対応付けられるようにしておくことで、計測装置21xから外部に分散情報が流出した場合に、どの計測装置21xから流出したのかを特定することが可能となる。
また、あるタイミングで、看護師が利用していた中間装置23が故障した場合を考える。その場合、まず、システム管理者は、中間装置23yと同様の構成を有する別の中間装置23yに対して、ユーザ識別子IDなどを設定する。その後、サーバ装置25が中間装置23yにアクセスし、サーバ装置25が保持する第一分散情報FSDを出力する。このように、サーバ装置25は、復号鍵SKを復元後も第一分散情報FSDを保持しておくことにより、中間装置23が故障した場合でも、別の中間装置23yに対して、同じ第一分散情報FSDを設定することができるようになる。なお、サーバ装置25は、第一分散情報FSD、第二分散情報SSD及び第三分散情報TSDのいずれとも異なる分散情報を復号鍵SKから生成し、生成した分散情報を中間装置23yに対して出力するようにしても良い。このとき、中間装置23yと分散情報とが一意に対応付けられるようにしておくことで、中間装置23yから外部に分散情報が流出した場合に、どの中間装置23yから流出したのかを特定することが可能となる。
最後に、あるタイミングで、看護ステーションや自宅に設置されているアクセス装置26が故障した場合を考える。その場合、まず、システム管理者は、アクセス装置26と同様の構成を有する別のアクセス装置26zに対して、ユーザ識別子IDなどを設定する。その後、サーバ装置25がアクセス装置26zにアクセスし、サーバ装置25が保持する第三分散情報TSDを出力する。このように、サーバ装置25は、復号鍵SKを復元後も第三分散情報TSDを保持しておくことにより、アクセス装置26が故障した場合でも、別のアクセス装置26zに対して、同じ第三分散情報TSDを設定することができるようになる。なお、サーバ装置25は、第一分散情報FSD、第二分散情報SSD及び第三分散情報TSDのいずれとも異なる分散情報を復号鍵SKから生成し、生成した分散情報をアクセス装置26zに対して出力するようにしても良い。このとき、アクセス装置26zと分散情報とが一意に対応付けられるようにしておくことで、アクセス装置26zから外部に分散情報が流出した場合に、どのアクセス装置26zから流出したのかを特定することが可能となる。
上記が動作の概要である。以下、動作の詳細について説明する。ここでは、(i)計測装置21における生体データ計測時、及び生体データ送信時の動作、(ii)計測装置21を使った中間装置23での生体データ表示時の動作、(iii)中間装置故障時の、他の中間装置23yへの分散情報設定時の動作、(iv)計測装置故障時の、他の計測装置21xへの分散情報設定時の動作、(v)アクセス装置26を使った中間装置23での生体データ表示時の動作、(vi)アクセス装置故障時の、他のアクセス装置26zへの分散情報設定時の動作、に分けて説明を行う。
<(i)計測装置21における生体データ計測時、及び生体データ送信時の動作>
以下、図71のフローチャートを参照しながら、計測装置21における生体データ計測時、及び生体データ送信時の動作について説明する。
計測装置21は、「計測処理(ステップS200)」を行う。
計測装置21は、「暗号処理(ステップS201)」を行う。
計測装置21は、「送信処理(ステップS202)」を行う。
中間装置23は、「送受信処理(ステップS203)」を行う。
アクセス装置26は、「第二送受信処理(ステップS205)」を行う。
サーバ装置25は、「受信処理(ステップS204)」を行い、処理を終了する。
次に、計測装置21の各動作の詳細について説明する。
<計測処理(ステップS200)の詳細:図72参照>
計測部210は、生体データVDを生成する(ステップS2001)。
計測部210は、生体データVDを第一格納部213の生体データDB501に格納する(ステップS2002)。
<暗号処理(ステップS201)の詳細:図73参照>
第一暗号部214は、第一格納部213の暗号鍵DB502から、暗号化鍵PKを取得する(ステップS2011)。
第一暗号部214は、暗号化鍵PKを用いて、生体データVDを暗号化する(ステップS2012)。
<送信処理(ステップS202)の詳細:図74参照>
第一送受信処理部216は、第一格納部213の装置情報DB503から、ユーザ識別子IDを取得する(ステップS2021)。
第一送受信処理部216は、第一データFDを生成する(ステップS2022)。
鍵送信フラグSFが「No」ならば(ステップS2023でYes)、第一暗号部214は、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを暗号化する(ステップS2024)。
第一送受信処理部216は、暗号化第一分散情報EFSDと暗号化第二分散情報ESSDと暗号化第三分散情報ETSDとを第一データFDに追加する(ステップS2025)。
鍵送信フラグSFが「Yes」か(ステップS2023でNo)又はステップS205の処理の後、第一送受信処理部216は、第一データFDを中間装置23へ送信する(ステップS2026)。
次に、中間装置23の各動作の詳細について説明する。
<送受信処理(ステップS203)の詳細:図75参照>
第二送受信処理部237は、計測装置21から第一データFDを受信する(ステップS2030)。
第二送受信処理部237は、ユーザ識別子IDと暗号化生体データEVDを、第二格納部231の第二生体データDB511に格納する(ステップS2031)。
第一データFDに暗号化第一分散情報EFSDが含まれていれば(ステップS2032でYes)、第二暗号部235は、暗号化第一分散情報EFSDを復号する(ステップS2033)。
第二暗号部235は、第一分散情報FSDを暗号化する(ステップS2034)。
第二送受信処理部237は、第一データFDに含まれる暗号化第一分散情報EFSDを、第二暗号化第一分散情報E2FSDに置き換えた第二データSDを生成する(ステップS2035)。
第二送受信処理部237は、アクセス装置26へ第二データSDを送信し、処理を終了する(ステップS2036)。
第一データFDに暗号化第一分散情報EFSDが含まれていなければ(ステップS2032でNo)、第二送受信処理部237は、アクセス装置26へ、第一データFDを第二データSDとして送信し、処理を終了する(ステップS2037)。
次に、アクセス装置26の各動作の詳細について説明する。
<第二送受信処理(ステップS205)の詳細:図76参照>
第四送受信処理部266は、中間装置23から第二データSDを受信する(ステップS2050)。
第二データSDに、暗号化第一分散情報EFSDが含まれていれば(ステップS2051でYes)、第四暗号部264は、暗号化第三分散情報ETSDを復号する(ステップS2052)。
第四暗号部264は、第三分散情報TSDを暗号化する(ステップS2053)。
第四送受信処理部266は、第二データSDに含まれる暗号化第三分散情報ETSDを、第二暗号化第三分散情報E2TSDに置き換えた第三データTDを生成する(ステップS2054)。
第四送受信処理部266は、サーバ装置25へ第三データTDを送信し、処理を終了する(ステップS2055)。
第二データSDに、暗号化第一分散情報EFSDが含まれていなければ(ステップS2051でNo)、第四送受信処理部266は、サーバ装置25へ、第二データSDを第三データTDとして送信し、処理を終了する(ステップS2056)。
最後に、サーバ装置25の各動作の詳細について説明する。
<受信処理(ステップS204)の詳細:図77参照>
第三送受信処理部256は、アクセス装置26から第三データTDを受信する(ステップS2040)。
第三送受信処理部256は、第三データTDに第二暗号化第一分散情報E2FSDが含まれるか否かを確認する(ステップS2041)。
第三データTDに第二暗号化第一分散情報E2FSDが含まれる場合(ステップS2041でYes)、第三送受信処理部256は、第五格納部254の第三装置情報DB822から、サーバ装置復号鍵SSKを取得する(ステップS2042)。
第三暗号部255は、サーバ装置復号鍵SSKを使って、第二暗号化第一分散情報E2FSDと暗号化第二分散情報ESSDと第二暗号化第三分散情報E2TSDを復号する(ステップS2043)。
第二復号部251は、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDを使って、復号鍵SKを得る。第二復号部251は、得られた復号鍵SKを、第五格納部254の第二暗号鍵DB821に格納する(ステップS2044)。
ステップS2044の処理の後、又は第三データTDに第二暗号化第一分散情報E2FSDが含まれていない場合(ステップS2041でNo)、第二復号部251は、第五格納部254の第二暗号鍵DB821から取得した復号鍵SKを使って(ステップS2045)、暗号化生体データEVDを復号し生体データVDを得る。第二復号部251は、生体データVDを第五格納部254の第三生体データDB820に格納し、処理を終了する(ステップS2046)。
<(ii)計測装置21を使った中間装置23での生体データ表示時の動作>
以下、図78のフローチャートを参照しながら、中間装置23での生体データ表示時の動作について説明する。
中間装置23は、「要求処理(ステップS210)」を行う。
計測装置21は、「応答処理(ステップS211)」を行う。
中間装置23は、「表示処理(ステップS212)」を行い、処理を終了する。
次に、中間装置23での生体データ表示時の各構成要素の動作について説明する。
<要求処理(ステップS210)の詳細:図79A参照>
制御部234には、外部からユーザ識別子IDが入力される(ステップS2101)。
復元要求処理部238は、ユーザ識別子IDを計測装置21へ送信する(ステップS2102)。
<表示処理(ステップS212)の詳細:図79B参照>
制御部234は、第二分散情報SSDを受信する(ステップS2120)。
制御部234は、第二格納部231の第二分散データDB510から、ユーザ識別子IDに対応する第一分散情報FSDを取得する(ステップS2121)。
制御部234は、第二格納部231の第二生体データDB511から、ユーザ識別子IDに対応する暗号化生体データEVDを取得する(ステップS2122)。
第一復号部233は、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDとから、復号鍵SKを復元する(ステップS2123)。
第一復号部233は、復号鍵SKを用いて、暗号化生体データEVDを復号し、生体データVDを取得する(ステップS2124)。
表示部232は、生体データVDを、表示する(ステップS2125)。
<応答処理(ステップS211)の詳細:図80>
復元応答処理部217は、中間装置23からユーザ識別子IDを受信する(ステップS2110)。
復元応答処理部217は、第一格納部213の分散データDB500から、第二分散情報SSDを取得する(ステップS2111)。
復元応答処理部217は、第二分散情報SSDを中間装置23へ送信する(ステップS2112)。
<(iii)中間装置故障時の、他の中間装置23yへの分散情報設定時の動作>
以下、図81のフローチャートを参照しながら、代替中間装置設定時の動作を説明する。
中間装置23yは、「第二設定処理(ステップS230)」を行う。
サーバ装置25は、「第二設定応答処理(ステップS231)」を行う。
中間装置23yは、「第二反映処理(ステップS232)」を行い、処理を終了する。
次に、代替中間装置設定時の各構成要素の詳細動作について説明する。
<第二設定処理(ステップS230)の詳細:図82A>
第二設定処理部239は、認証情報の入力を受け付ける(ステップS2300)。
認証情報が正しければ、第二設定処理部239は、さらにユーザ識別子IDの入力を受け付ける(ステップS2301)。
第二設定処理部239は、ユーザ識別子IDを、サーバ装置25に送信する(ステップS2302)。
<第二反映処理(ステップS232)の詳細:図82B>
第二設定処理部239は、サーバ装置25から、第一分散情報FSDを受信する(ステップS2320)。
第二設定処理部239は、第一分散情報FSDを、第二格納部231の第二分散データDB510に格納する(ステップS2321)。
<第二設定応答処理(ステップS231)の詳細:図83>
第三設定処理部257は、中間装置23yから、ユーザ識別子IDを受信する(ステップS2310)。
第三設定処理部257は、第三格納部252から、ユーザ識別子IDに対応する第一分散情報FSDを取得する(ステップS2311)。
第三設定処理部257は、第一分散情報FSDを、中間装置23yへ送信する(ステップS2312)。
<(iv)計測装置故障時の、他の計測装置21xへの分散情報設定時の動作>
以下、図84のフローチャートを参照しながら、代替計測装置設定時の動作について説明する。
計測装置21xは、「第一設定処理(ステップS220)」を行う。
サーバ装置25は、「第一設定応答処理(ステップS221)」を行う。
計測装置21xは、「第一反映処理(ステップS222)」を行い、処理を終了する。
次に、代替計測装置設定時の各構成要素の動作について説明する。
<第一設定処理(ステップS220)の詳細:図85A>
第一設定処理部218は、認証情報の入力を受け付ける(ステップS2200)。
認証情報が正しければ、第一設定処理部218は、さらにユーザ識別子IDの入力を受け付ける(ステップS2201)。
第一設定処理部218は、ユーザ識別子IDを、第一格納部213の装置情報DB503に格納する(ステップS2202)。
第一設定処理部218は、ユーザ識別子IDを、サーバ装置25に送信する(ステップS2203)。
<第一反映処理(ステップS222)の詳細:図85B>
第一設定処理部218は、サーバ装置25から、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDと鍵送信フラグSFを受信する(ステップS2220)。
第一設定処理部218は、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDと鍵送信フラグSFを、第一格納部213の分散データDB500に格納する(ステップS2221)。
<第一設定応答処理(ステップS221)の詳細:図86>
第三設定処理部257は、計測装置21xから、ユーザ識別子IDを受信する(ステップS2210)。
第三設定処理部257は、第三格納部252から、ユーザ識別子IDに対応する第一分散情報FSDを取得する(ステップS2211)。
第三設定処理部257は、第四格納部253から、ユーザ識別子IDに対応する第二分散情報SSDを取得する(ステップS2212)。
第三設定処理部257は、第五格納部254から、ユーザ識別子IDに対応する第三分散情報TSDを取得する(ステップS2213)。
第三設定処理部257は、「Yes(送信済)」を表す鍵送信フラグSFを生成する(ステップS2214)。
第三設定処理部257は、第一分散情報FSDと第二分散情報SSDと第三分散情報TSDと鍵送信フラグSFを、計測装置21xへ送信する(ステップS2215)。
<(v)アクセス装置26を使った中間装置23での生体データ表示時の動作>
以下、図87のフローチャートを参照しながら、中間装置23での生体データ表示時の動作について説明する。
中間装置23は、「要求処理(ステップS250)」を行う。
アクセス装置26は、「応答処理(ステップS251)」を行う。
中間装置23は、「表示処理(ステップS252)」を行い、処理を終了する。
次に、中間装置23での生体データ表示時の各構成要素の動作について説明する。
<応答処理(ステップS250)の詳細:図88A参照>
制御部234には、外部からユーザ識別子IDが入力される(ステップS2501)。
復元要求処理部238は、ユーザ識別子IDをアクセス装置26へ送信する(ステップS2502)。
<表示処理(ステップS252)の詳細:図88B参照>
制御部234は、第三分散情報TSDを受信する(ステップS2520)。
制御部234は、第二格納部231の第二分散データDB510から、ユーザ識別子IDに対応する第一分散情報FSDを取得する(ステップS2521)。
制御部234は、第二格納部231の第二生体データDB511から、ユーザ識別子IDに対応する暗号化生体データEVDを取得する(ステップS2522)。
第一復号部233は、第一分散情報FSDと第三分散情報TSDとから、復号鍵SKを復元する(ステップS2523)。
第一復号部233は、復号鍵SKを用いて、暗号化生体データEVDを復号し、生体データVDを取得する(ステップS2524)。
表示部232は、生体データVDを、表示する(ステップS2525)。
<応答処理(ステップS251)の詳細:図89>
復元応答処理部267は、中間装置23からユーザ識別子IDを受信する(ステップS2510)。
復元応答処理部267は、第六格納部263の分散データDB520から、第三分散情報TSDを取得する(ステップS2511)。
復元応答処理部267は、第三分散情報TSDを中間装置23へ送信する(ステップS2512)。
<(vi)アクセス装置故障時の、他のアクセス装置26zへの分散情報設定時の動作>
以下、図90のフローチャートを参照しながら、代替アクセス装置設定時の動作について説明する。
アクセス装置26zは、「第三設定処理(ステップS260)」を行う。
サーバ装置25は、「第三設定応答処理(ステップS261)」を行う。
アクセス装置26zは、「第三反映処理(ステップS262)」を行い、処理を終了する。
次に、代替アクセス装置設定時の各構成要素の動作について説明する。
<第三設定処理(ステップS260)の詳細:図91A>
次に、各構成要素の詳細動作について説明する。
第四設定処理部268は、認証情報の入力を受け付ける(ステップS2600)。
認証情報が正しければ、第四設定処理部268は、さらにユーザ識別子IDの入力を受け付ける(ステップS2601)。
第四設定処理部268は、ユーザ識別子IDを、サーバ装置25に送信する(ステップS2602)。
<第二反映処理(ステップS262)の詳細:図91B>
第四設定処理部268は、サーバ装置25から、第三分散情報TSDを受信する(ステップS2620)。
第四設定処理部268は、ユーザ識別子IDと第三分散情報TSDを、第六格納部263の分散データDB520に格納する(ステップS2621)。
<第二設定応答処理(ステップS261)の詳細:図92>
第三設定処理部257は、アクセス装置26zから、ユーザ識別子IDを受信する(ステップS2610)。
第三設定処理部257は、第七格納部258から、ユーザ識別子IDに対応する第三分散情報TSDを取得する(ステップS2611)。
第三設定処理部257は、第三分散情報TSDを、アクセス装置26zへ送信する(ステップS2612)。
以上が、ヘルスケアシステムの構成要素である計測装置21、中間装置23、サーバ装置25、アクセス装置26の動作である。
(実施の形態2の効果)
実施の形態1に加え、さらにアクセス装置26が第三分散情報TSDを保持する。これにより、中間装置23は、アクセス装置26から第三分散情報TSDを取得すると、第二分散情報SSD及び第三分散情報TSDが揃い、復号鍵を再現し、暗号鍵で暗号化された生体データを再現して表示できる。計測装置21とアクセス装置26が揃っても、生体データVDを中間装置23の表示部232で確認できるようになるため、中間装置23の操作者の利便性が向上しつつ、中間装置23紛失による生体データVD漏洩を防止できる。
なお、アクセス装置は、単体では2つの分散情報を取得することができない、よって、仮にアクセス装置を紛失した場合であっても、復号鍵を復元することはできない。そのため、計測装置からサーバ装置に直接分散情報を送信することができない場合であっても、安全に分散情報を配布することができる。
<変形例>
上記に説明した実施の形態は、本発明の実施の形態の一例であり、本発明はこれらの実施の形態に何ら限定されるものではなく、その旨を逸脱しない範囲において主な態様で実施し得るものである。以下のような場合も本発明に含まれる。
(1)各分散情報の配布方法については、上記で述べた方法に限らない。例えば、装置の数を増やし、分散情報の数を増やすことにより、中間装置が生体データを閲覧できる機会を増やすことができる。
(2)分散情報の個数については、上記実施の形態の分散情報で開示している内容に限らない。例えば、実施の形態1の場合であっても、(2×N)個の分散情報を生成して、中間装置と計測装置にN個ずつを配ってもよい(Nは2以上の自然数)。
(3)上記実施の形態では、各計測装置は1組の暗号化鍵と復号鍵を保持していたが、これに限らない。例えば、時間ごとに、それら暗号化鍵と復号鍵を更新していってもよい。その場合、暗号化鍵と復号鍵のペアに、鍵識別子を付与することにより実現できる。例えば、分散データDBは、図93のように、鍵識別子と、第一分散情報FSDと、第二分散情報SSDと、鍵送信フラグSFとの組を一以上(図93では3つ)含む。例えば、そのうちの1つの組が、鍵識別子200aと、第一分散情報201aと、第二分散情報202aと、鍵送信フラグ203aとからなる組である。また、暗号鍵DB172は、図94のように、鍵識別子と、暗号化鍵PKと、復号鍵SKと、有効期間との組を一以上(図94では3つ)含む。例えば、そのうちの1つの組が、鍵識別子220aと、暗号化鍵221aと、復号鍵222aと、有効期間223aとからなる組である。
(4)計測装置は、少なくとも1つの計測端末と、各計測装置で計測された生体データを収集し、中間装置に送信する管理装置とからなっていても良い。図95は、このような計測装置を備えるヘルスケアシステムの構成を示すブロック図である。計測装置11は、少なくとも1つの計測端末11aと、各計測端末11aに接続された管理端末11bとを備える。
図96は、計測端末11aの構成を示すブロック図である。計測端末11aは、計測部110と、鍵生成部111と、分散部112と、第一格納部113と、第一分散情報暗号部114aと、送信部115aとを含む。計測部110、鍵生成部111、分散部112及び第一格納部113の構成は、実施の形態1に示したのと同様である。第一分散情報暗号部114aは、実施の形態1に示した第一暗号部114が実施する処理のうち、生体データVDの暗号化と、第一分散情報FSDの暗号化とを実施する。送信部115aは、暗号化生体データEVDと、暗号化第一分散情報EFSDと、第二分散情報SSDとを、管理端末11bに送信する。
図97は、管理端末11bの構成を示すブロック図である。管理端末11bは、受信部115bと、第一送受信処理部116と、復元応答処理部117と、第一設定処理部118と、第二分散情報暗号部114bと、第一通信部115とを含む。第一送受信処理部116と、復元応答処理部117と、第一設定処理部118と、第一通信部115とは、実施の形態1に示したのと同様である。受信部115bは、計測端末11aから、暗号化生体データEVDと、暗号化第一分散情報EFSDと、第二分散情報SSDとを受信する。第二分散情報暗号部114bは、実施の形態1に示した第一暗号部114が実施する処理のうち、第二分散情報SSDの暗号化を実施する。
このように、2つの分散情報を暗号化する端末を異ならせているため、データが外部に流出した場合であっても、分散情報を復元しにくくすることができる。
(5)上記実施の形態では、計測装置から中間装置へ送信する第一分散情報FSDと、中間装置からサーバ装置へ送信する第一分散情報FSDとを暗号化していたが、この暗号化は省略しても良い。また、アクセス装置26からサーバ装置25へ送信する第三分散情報TSDを暗号化していたが、この暗号化も省略しても良い。
(6)上記実施の形態では、暗号方式として、公開鍵暗号方式を使っていたが、これに限らない。例えば、暗号化鍵と復号鍵が等しい秘密鍵暗号方式を使ってもよい。例えばAES(Advanced Encryption Standard)方式でもよい。
(7)上記実施の形態では、生体データを公開鍵暗号を用いて暗号化していたが、これに限らない。例えば、ハイブリッド型暗号を用いて暗号化してもよい。具体的には、生体データは秘密鍵暗号を用いて、一時的に生成したセッション鍵で暗号化し、その一時的に生成したセッション鍵を、公開鍵の暗号化鍵で暗号化して、その暗号化鍵に対応する復号鍵を分散してもよい。
(8)上記実施の形態では、生体データを暗号化することに主眼をおいていたが、これに限るものではない。例えば、ある一定個数以上の分散情報が集まった場合に、生体データのディジタル署名が生成できるようにしてもよい。
(9)上記実施の形態で述べた秘密分散法は、上述のものに限らない。同様の機能を有するものであれば、それに置き換えてもよい。
(10)上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAM又はハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(11)上記の各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。
(12)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
(13)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるディジタル信号であるとしてもよい。
(14)また、本発明は、前記コンピュータプログラム又は前記ディジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記ディジタル信号であるとしてもよい。
(15)また、本発明は、前記コンピュータプログラム又は前記ディジタル信号を、電気通信回線、無線若しくは有線通信回線、インターネットを代表とするネットワーク、又はデータ放送等を経由して伝送するものとしてもよい。
(16)また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。
(17)また、前記プログラム又は前記ディジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記ディジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(18)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
本発明は、特に、機密データの秘匿性と操作者の利便性を両立したヘルスケアシステム等に適用できる。
1、2 ヘルスケアシステム
11、21 計測装置
12、22 第一通信路
13、23 中間装置
14、24 第二通信路
15、25 サーバ装置
26 アクセス装置
110、210 計測部
111、211 鍵生成部
112、212 分散部
113、213 第一格納部
114、214 第一暗号部
115、215 第一通信部
116、216 第一送受信処理部
117、217 復元応答処理部
118、218 第一設定処理部
130、230 第二通信部
131、231 第二格納部
132、232 表示部
133、233 第一復号部
134、234 制御部
135、235 第二暗号部
136、236 第三通信部
137、237 第二送受信処理部
138、238 復元要求処理部
139、239 第二設定処理部
150、250 第四通信部
151、251 第二復号部
152、252 第三格納部
153、253 第四格納部
154、254 第五格納部
155、255 第三暗号部
156、256 第三送受信処理部
157、257 第三設定処理部
258 第七格納部
260 第五通信部
263 第六格納部
264 第四暗号部
265 第六通信部
266 第四送受信処理部
267 復元応答処理部
268 第四設定処理部

Claims (21)

  1. 生体データを計測するヘルスケアシステムであって、
    生体データを計測する計測装置と、
    前記生体データを収集するサーバ装置と、
    前記計測装置から前記生体データを受信し、受信した前記生体データを前記サーバ装置に送信する中間装置とを備え、
    前記計測装置は、
    患者の生体データを計測する計測部と、
    前記生体データを所定の暗号鍵で暗号化することにより暗号化生体データを生成する生体データ暗号部と、
    前記暗号化生体データを復号するための復号鍵から、互いに異なる2つの分散情報が揃った場合にのみ前記復号鍵を復元することが可能な前記2つの分散情報である第一分散情報及び第二分散情報を生成する分散部と、
    前記分散部により生成された前記第二分散情報を、前記サーバ装置が有する復号鍵に対応する暗号鍵で暗号化することにより暗号化第二分散情報を生成する第二分散情報暗号部と、
    前記生体データ暗号部により生成された前記暗号化生体データ、前記分散部により生成された第一分散情報及び前記第二分散情報暗号部により生成された前記暗号化第二分散情報を、前記中間装置に送信する第一通信部とを備え、
    前記中間装置は、
    前記計測装置から、前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を受信する第二通信部と、
    前記第二通信部が受信した前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を、前記サーバ装置に送信する第三通信部とを備え、
    前記サーバ装置は、
    前記中間装置から、前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を受信する第四通信部と、
    前記第四通信部が受信した前記暗号化第二分散情報を前記サーバ装置が有する前記復号鍵で復号することにより、前記第二分散情報を生成する分散情報復号部と、
    前記第四通信部が受信した前記第一分散情報と前記分散情報復号部により生成された第二分散情報とから、前記暗号化生体データを復号するための前記復号鍵を復元する復元部と、
    前記復元部で復元された前記復号鍵を用いて、前記第四通信部が受信した前記暗号化生体データを復号することにより前記生体データを生成する生体データ復号部とを備える
    ヘルスケアシステム。
  2. 前記第一通信部は、さらに、前記第二分散情報を前記中間装置に送信し、
    前記第二通信部は、さらに、前記計測装置から前記第二分散情報を受信し、
    前記中間装置は、さらに、
    前記第二通信部が受信した前記第一分散情報のみを記憶している記憶部と、
    前記記憶部に記憶されている前記第一分散情報と前記第二通信部が受信した第二分散情報とから、前記暗号化生体データを復号するための前記復号鍵を復元し、復元した前記復号鍵を用いて前記第二通信部が受信した前記暗号化生体データを復号することにより前記生体データを生成する中間装置側生体データ復号部と、
    前記中間装置側生体データ復号部で生成された前記生体データを表示する表示部とを備える
    請求項1記載のヘルスケアシステム。
  3. 前記計測装置は、さらに、
    前記分散部により生成された前記第一分散情報を、前記中間装置が有する復号鍵に対応する暗号鍵で暗号化することにより暗号化第一分散情報を生成する第一分散情報暗号部を備え、
    前記第一通信部は、前記生体データ暗号部により生成された前記暗号化生体データ、前記第一分散情報暗号部により生成された前記暗号化第一分散情報及び前記第二分散情報暗号部により生成された前記暗号化第二分散情報を、前記中間装置に送信し、
    前記第二通信部は、前記計測装置から、前記暗号化生体データ、前記暗号化第一分散情報及び前記暗号化第二分散情報を受信し、
    前記中間装置は、さらに、
    前記第二通信部が受信した前記暗号化第一分散情報を前記中間装置が有する前記復号鍵で復号することにより、前記第一分散情報を生成する第一分散情報復号部を備える
    請求項1又は2記載のヘルスケアシステム。
  4. 前記第一分散情報復号部は、さらに、前記第一分散情報復号部が生成した前記第一分散情報を、前記サーバ装置が有する前記復号鍵に対応する前記暗号鍵で暗号化することにより、第二暗号化第一分散情報を生成し、
    前記第三通信部は、前記第二通信部が受信した前記暗号化生体データ、前記第一分散情報復号部が生成した前記第二暗号化第一分散情報及び前記第二通信部が受信した前記暗号化第二分散情報を、前記サーバ装置に送信し、
    前記第四通信部は、前記中間装置から、前記暗号化生体データ、前記第二暗号化第一分散情報及び前記暗号化第二分散情報を受信し、
    前記分散情報復号部は、さらに、前記第二暗号化第一分散情報を前記サーバ装置が有する前記復号鍵で復号することにより、前記第一分散情報を生成し、
    前記復元部は、前記分散情報復号部により生成された前記第一分散情報及び前記第二分散情報から、前記暗号化生体データを復号するための前記復号鍵を復元する
    請求項3記載のヘルスケアシステム。
  5. 前記ヘルスケアシステムは、さらに、
    前記中間装置から前記生体データを受信し、受信した前記生体データを前記サーバ装置に送信するアクセス装置を備え、
    前記分散部は、さらに、前記暗号化生体データを復号するための復号鍵から、互いに異なる2つの分散情報が揃った場合にのみ前記復号鍵を復元することが可能な、前記第一分散情報及び前記第二分散情報と異なる第三分散情報を生成し、
    前記計測装置は、さらに、
    前記分散部により生成された前記第三分散情報を、前記アクセス装置が有する復号鍵に対応する暗号鍵で暗号化することにより暗号化第三分散情報を生成する第三分散情報暗号部を備え、
    前記第一通信部は、さらに、前記暗号化第三分散情報を前記中間装置に送信し、
    前記第二通信部は、さらに、前記計測装置から、前記暗号化第三分散情報を受信し、
    前記第三通信部は、前記第二通信部が受信した前記暗号化生体データ、前記第一分散情報、前記暗号化第二分散情報及び前記暗号化第三分散情報を、前記アクセス装置に送信し、
    前記アクセス装置は、
    前記中間装置から、前記暗号化生体データ、前記第一分散情報、前記暗号化第二分散情報及び前記暗号化第三分散情報を受信する第五通信部と、
    前記第五通信部が受信した前記暗号化第三分散情報を前記アクセス装置が有する前記復号鍵で復号することにより、前記第三分散情報を生成する第三分散情報復号部と、
    前記第五通信部が受信した前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を、前記サーバ装置に送信する第六通信部とを備え、
    前記第四通信部は、前記アクセス装置から、前記暗号化生体データ、前記第一分散情報、及び前記暗号化第二分散情報を受信する
    請求項1〜4のいずれか1項に記載のヘルスケアシステム。
  6. 前記第三分散情報復号部は、さらに、生成した前記第三分散情報を前記サーバ装置が有する前記復号鍵に対応する暗号鍵で暗号化することにより第二暗号化第三分散情報を生成し、
    前記第六通信部は、さらに、前記第三分散情報復号部が生成した前記第二暗号化第三分散情報を、前記サーバ装置に送信し、
    前記第四通信部は、さらに、前記アクセス装置から、前記第二暗号化第三分散情報を受信し、
    前記分散情報復号部は、さらに、前記第四通信部が受信した前記第二暗号化第三分散情報を前記サーバ装置が有する前記復号鍵で復号することにより、前記第三分散情報を生成し、
    前記復元部は、前記第四通信部が受信した前記第一分散情報と前記分散情報復号部により生成された前記第二分散情報及び前記第三分散情報との内の、2つから前記暗号化生体データを復号するための前記復号鍵を復元する
    請求項5記載のヘルスケアシステム。
  7. 前記サーバ装置は、さらに、
    前記第二分散情報を保持している保持部と、
    前記保持部に保持されている前記第二分散情報を、前記計測装置とは異なる前記計測装置と同一の構成を有する他の計測装置に供給する供給部を備える
    請求項1〜6のいずれか1項に記載のヘルスケアシステム。
  8. 前記サーバ装置は、さらに、
    前記第一分散情報を保持している保持部と、
    前記保持部に保持されている前記第一分散情報を、前記中間装置とは異なる前記中間装置と同一の構成を有する他の中間装置に供給する供給部を備える
    請求項1〜6のいずれか1項に記載のヘルスケアシステム。
  9. 前記サーバ装置は、さらに、
    前記復元部で復元された前記復号鍵から、前記第一分散情報及び前記第二分散情報とは異なり、かつ前記計測装置とは異なる前記計測装置と同一の構成を有する他の計測装置に対応付けられた1つの分散情報を生成し、生成した前記1つの分散情報を前記他の計測装置に供給する供給部を備える
    請求項1〜6のいずれか1項に記載のヘルスケアシステム。
  10. 前記サーバ装置は、さらに、
    前記復元部で復元された前記復号鍵から、前記第一分散情報及び前記第二分散情報とは異なり、かつ前記中間装置とは異なる前記中間装置と同一の構成を有する他の中間装置に対応付けられた1つの分散情報を生成し、生成した前記1つの分散情報を前記他の中間装置に供給する供給部を備える
    請求項1〜6のいずれか1項に記載のヘルスケアシステム。
  11. 前記計測装置は、計測端末と管理端末とを含み、
    前記計測端末は、
    前記計測部と、
    前記生体データ暗号部と、
    前記分散部と、
    前記第一分散情報暗号部と、
    前記暗号化生体データ、前記暗号化第一分散情報及び前記第二分散情報を前記管理端末に送信する送信部とを備え、
    前記管理端末は、
    前記計測端末から、前記暗号化生体データ、前記暗号化第一分散情報及び前記第二分散情報を受信する受信部と、
    第二分散情報暗号部と、
    前記第一通信部とを備え、
    前記第二分散情報暗号部は、前記受信部が受信した前記第二分散情報を、前記サーバ装置が有する復号鍵に対応する暗号鍵で暗号化することにより前記暗号化第二分散情報を生成する
    請求項3記載のヘルスケアシステム。
  12. 前記第一分散情報及び前記第二分散情報の各々は、複数のデータの組である
    請求項1〜11のいずれか1項に記載のヘルスケアシステム。
  13. 生体データを計測する生体データ計測方法であって、
    計測装置が患者の生体データを計測し、
    前記計測装置が前記生体データを所定の暗号鍵で暗号化することにより暗号化生体データを生成し、
    前記計測装置が前記暗号化生体データを復号するための復号鍵から、互いに異なる2つの分散情報が揃った場合にのみ前記復号鍵を復元することが可能な前記2つの分散情報である第一分散情報及び第二分散情報を生成し、
    前記計測装置が前記第二分散情報を、サーバ装置が有する復号鍵に対応する暗号鍵で暗号化することにより暗号化第二分散情報を生成し、
    前記計測装置が前記暗号化生体データ、第一分散情報及び前記暗号化第二分散情報を、中間装置に送信し、
    前記中間装置が前記計測装置から、前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を受信し、
    前記中間装置が前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を、前記サーバ装置に送信し、
    前記サーバ装置が前記中間装置から、前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を受信し、
    前記サーバ装置が前記暗号化第二分散情報を前記サーバ装置が有する前記復号鍵で復号することにより、前記第二分散情報を生成し、
    前記サーバ装置が前記第一分散情報と第二分散情報とから、前記暗号化生体データを復号するための前記復号鍵を復元し、
    前記サーバ装置が前記復号鍵を用いて、前記暗号化生体データを復号することにより前記生体データを生成する
    生体データ計測方法。
  14. 生体データを計測する計測装置であって、
    患者の生体データを計測する計測部と、
    前記生体データを所定の暗号鍵で暗号化することにより暗号化生体データを生成する生体データ暗号部と、
    前記暗号化生体データを復号するための復号鍵から、互いに異なる2つの分散情報が揃った場合にのみ前記復号鍵を復元することが可能な前記2つの分散情報である第一分散情報及び第二分散情報を生成する分散部と、
    前記分散部により生成された前記第二分散情報を、サーバ装置が有する復号鍵に対応する暗号鍵で暗号化することにより暗号化第二分散情報を生成する第二分散情報暗号部と、
    前記生体データ暗号部により生成された前記暗号化生体データ、前記分散部により生成された第一分散情報及び前記第二分散情報暗号部により生成された前記暗号化第二分散情報を、中間装置に送信する第一通信部と
    を備える計測装置。
  15. 生体データを計測する計測方法であって、
    計測装置が、患者の生体データを計測し、
    前記計測装置が、前記生体データを所定の暗号鍵で暗号化することにより暗号化生体データを生成し、
    前記計測装置が、前記暗号化生体データを復号するための復号鍵から、互いに異なる2つの分散情報が揃った場合にのみ前記復号鍵を復元することが可能な前記2つの分散情報である第一分散情報及び第二分散情報を生成し、
    前記計測装置が、生成された前記第二分散情報を、サーバ装置が有する復号鍵に対応する暗号鍵で暗号化することにより暗号化第二分散情報を生成し、
    前記計測装置が、生成された前記暗号化生体データ、第一分散情報及び前記暗号化第二分散情報を、外部に送信する
    計測方法。
  16. コンピュータにより実現される計測装置が実行する、生体データを計測するためのプログラムであって、
    前記計測装置は、メモリと、プロセッサとを備え、
    前記プロセッサが、患者の生体データを計測し、計測した前記生体データを前記メモリに書き込むステップと
    前記プロセッサが、前記メモリに記憶されている前記生体データを、前記メモリに記憶されている所定の暗号鍵で暗号化することにより暗号化生体データを生成し、生成した前記暗号化生体データを前記メモリに書き込むステップと、
    前記プロセッサが、前記メモリに記憶されている復号鍵であって、前記暗号化生体データを復号するための前記復号鍵から、互いに異なる2つの分散情報が揃った場合にのみ前記復号鍵を復元することが可能な前記2つの分散情報である第一分散情報及び第二分散情報を生成し、生成した前記第一分散情報及び前記第二分散情報を前記メモリに書き込むステップと、
    前記プロセッサが、前記メモリに記憶されている生成された前記第二分散情報を、サーバ装置が有する復号鍵に対応し、かつ前記メモリに記憶されている暗号鍵で暗号化することにより暗号化第二分散情報を生成し、生成した前記暗号化第二分散情報を前記メモリに書き込むステップと、
    前記プロセッサが、前記メモリに記憶されている、生成された前記暗号化生体データ、第一分散情報及び前記暗号化第二分散情報を、外部に送信するステップと
    をコンピュータに実行させるためのプログラム。
  17. 生体データを計測する集積回路であって、
    患者の生体データを計測する計測部と、
    前記生体データを所定の暗号鍵で暗号化することにより暗号化生体データを生成する生体データ暗号部と、
    前記暗号化生体データを復号するための復号鍵から、互いに異なる2つの分散情報が揃った場合にのみ前記復号鍵を復元することが可能な前記2つの分散情報である第一分散情報及び第二分散情報を生成する分散部と、
    前記分散部により生成された前記第二分散情報を、サーバ装置が有する復号鍵に対応する暗号鍵で暗号化することにより暗号化第二分散情報を生成する第二分散情報暗号部と、
    前記生体データ暗号部により生成された前記暗号化生体データ、前記分散部により生成された第一分散情報及び前記第二分散情報暗号部により生成された前記暗号化第二分散情報を、中間装置に送信する第一通信部と
    を備える集積回路。
  18. 計測装置で計測された生体データをサーバ装置へ中継する中間装置であって、
    前記計測装置から、(i)生体データを暗号化した暗号化生体データと、(ii)互いに異なる2つの分散情報が揃った場合にのみ前記暗号化生体データを復号するための復号鍵を復元することが可能な前記2つの分散情報のうちの一方の分散情報である第一分散情報と、(iii)前記2つの分散情報のうちの他方の分散情報である第二分散情報を暗号化した暗号化第二分散情報とを受信する受信部と、
    前記受信部が受信した前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を、前記サーバ装置に送信する送信部と、
    前記受信部が受信した前記第一分散情報のみを記憶している記憶部と
    を備え、
    前記受信部は、さらに、前記計測装置から前記第二分散情報を受信し、
    前記中間装置は、さらに、
    前記記憶部に記憶されている前記第一分散情報と前記受信部が受信した第二分散情報とから、前記暗号化生体データを復号するための前記復号鍵を復元し、復元した前記復号鍵を用いて前記受信部が受信した前記暗号化生体データを復号することにより前記生体データを生成する中間装置側生体データ復号部と、
    前記中間装置側生体データ復号部で生成された前記生体データを表示する表示部と
    を備える中間装置。
  19. 計測装置で計測された生体データをサーバ装置へ中継する中継方法であって、
    中間装置が、前記計測装置から、(i)生体データを暗号化した暗号化生体データと、(ii)互いに異なる2つの分散情報が揃った場合にのみ前記暗号化生体データを復号するための復号鍵を復元することが可能な前記2つの分散情報のうちの一方の分散情報である第一分散情報と、(iii)前記2つの分散情報のうちの他方の分散情報である第二分散情報を暗号化した暗号化第二分散情報とを受信する受信ステップと、
    前記中間装置が、受信された前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を、前記サーバ装置に送信する送信ステップと
    を含み、
    前記受信ステップでは、さらに、前記中間装置が、前記計測装置から前記第二分散情報を受信し、
    前記中継方法は、さらに、
    前記中間装置が、記憶部に記憶されている前記第一分散情報と受信した第二分散情報とから、前記暗号化生体データを復号するための前記復号鍵を復元し、復元した前記復号鍵を用いて受信した前記暗号化生体データを復号することにより前記生体データを生成する中間装置側生体データ復号ステップと、
    前記中間装置が、生成された前記生体データを表示する表示ステップとを含む
    中継方法。
  20. コンピュータにより実現される中間装置が実行する、計測装置で計測された生体データをサーバ装置へ中継するためのプログラムであって、
    前記中間装置は、メモリと、プロセッサとを備え、
    前記プロセッサが、前記計測装置から、(i)生体データを暗号化した暗号化生体データと、(ii)互いに異なる2つの分散情報が揃った場合にのみ前記暗号化生体データを復号するための復号鍵を復元することが可能な前記2つの分散情報のうちの一方の分散情報である第一分散情報と、(iii)前記2つの分散情報のうちの他方の分散情報である第二分散情報を暗号化した暗号化第二分散情報とを受信し、受信した前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を前記メモリに書き込む受信ステップと、
    前記プロセッサが、前記メモリに記憶されている受信された前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を、前記サーバ装置に送信する送信ステップと
    前記コンピュータに実行させ、
    前記受信ステップでは、さらに、前記プロセッサが、前記計測装置から前記第二分散情報を受信し、受信した前記第二分散情報を前記メモリに書き込み、
    前記プログラムは、さらに、
    前記プロセッサが、前記メモリに記憶されている前記第一分散情報と前記第二分散情報とから、前記暗号化生体データを復号するための前記復号鍵を復元し、復元した前記復号鍵を用いて前記メモリに記憶されている受信した前記暗号化生体データを復号することにより前記生体データを生成する中間装置側生体データ復号ステップと、
    前記プロセッサが、生成された前記生体データを表示する表示ステップとを前記コンピュータに実行させるための
    プログラム。
  21. 計測装置で計測された生体データをサーバ装置へ中継する集積回路であって、
    前記計測装置から、(i)生体データを暗号化した暗号化生体データと、(ii)互いに異なる2つの分散情報が揃った場合にのみ前記暗号化生体データを復号するための復号鍵を復元することが可能な前記2つの分散情報のうちの一方の分散情報である第一分散情報と、(iii)前記2つの分散情報のうちの他方の分散情報である第二分散情報を暗号化した暗号化第二分散情報とを受信する受信部と、
    前記受信部が受信した前記暗号化生体データ、前記第一分散情報及び前記暗号化第二分散情報を、前記サーバ装置に送信する送信部と、
    前記受信部が受信した前記第一分散情報のみを記憶している記憶部と
    を備え、
    前記受信部は、さらに、前記計測装置から前記第二分散情報を受信し、
    前記集積回路は、さらに、
    前記記憶部に記憶されている前記第一分散情報と前記受信部が受信した第二分散情報とから、前記暗号化生体データを復号するための前記復号鍵を復元し、復元した前記復号鍵を用いて前記受信部が受信した前記暗号化生体データを復号することにより前記生体データを生成する中間装置側生体データ復号部と、
    前記中間装置側生体データ復号部で生成された前記生体データを表示する表示部と
    を備える集積回路。
JP2011508230A 2009-03-30 2010-03-30 ヘルスケアシステム Expired - Fee Related JP5361993B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011508230A JP5361993B2 (ja) 2009-03-30 2010-03-30 ヘルスケアシステム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009083662 2009-03-30
JP2009083662 2009-03-30
JP2011508230A JP5361993B2 (ja) 2009-03-30 2010-03-30 ヘルスケアシステム
PCT/JP2010/002296 WO2010116678A1 (ja) 2009-03-30 2010-03-30 ヘルスケアシステム

Publications (2)

Publication Number Publication Date
JPWO2010116678A1 JPWO2010116678A1 (ja) 2012-10-18
JP5361993B2 true JP5361993B2 (ja) 2013-12-04

Family

ID=42935977

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011508230A Expired - Fee Related JP5361993B2 (ja) 2009-03-30 2010-03-30 ヘルスケアシステム

Country Status (5)

Country Link
US (1) US8886936B2 (ja)
EP (1) EP2416522A1 (ja)
JP (1) JP5361993B2 (ja)
CN (1) CN102349263B (ja)
WO (1) WO2010116678A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130107837A (ko) * 2012-03-23 2013-10-02 전자부품연구원 생체 정보를 가지는 데이터 통신의 보안을 위한 시스템 및 방법
KR102001215B1 (ko) * 2012-07-20 2019-07-17 삼성전자주식회사 컨텐트 공유 방법 및 시스템, 그 기기 및 기록 매체
US9430655B1 (en) * 2012-12-28 2016-08-30 Emc Corporation Split tokenization
CN103997504B (zh) * 2014-06-13 2017-11-10 谭知微 身份验证系统及身份验证方法
US9571464B2 (en) * 2014-08-11 2017-02-14 Intel Corporation Network-enabled device provisioning
US10263959B2 (en) * 2014-11-28 2019-04-16 Samsung Electronics Co., Ltd. Method for communicating medical data
US20160342797A1 (en) * 2015-05-22 2016-11-24 Darren Quintana System and method of concealing a user's measurements
CN108432203B (zh) * 2015-12-17 2021-07-23 费森尤斯维尔公司 用于服务器与医疗设备之间的密钥分发的方法和系统
WO2018009612A1 (en) * 2016-07-06 2018-01-11 Patient Doctor Technologies, Inc. Secure and zero knowledge data sharing for cloud applications
CN109663173A (zh) * 2017-10-16 2019-04-23 费森尤斯卡比健源(长沙)医疗科技有限公司 输液监护系统及其中继设备和数据处理装置
US10771245B2 (en) * 2018-04-20 2020-09-08 Mastercard International Incorporated Systems and methods for use in computer network security
JP7242513B2 (ja) * 2019-11-19 2023-03-20 株式会社東芝 情報管理方法
IT202100011624A1 (it) * 2021-05-06 2022-11-06 Ludovico Minati Sistema e metodo per il monitoraggio a distanza di parametri fisiologici dell’apparato respiratorio di una persona
CN114785618B (zh) * 2022-06-16 2022-08-30 广州万协通信息技术有限公司 基于相邻节点二次认证的数据通信方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002261746A (ja) * 2000-12-28 2002-09-13 Sony Corp 配信方法及び配信システム
WO2005104430A1 (ja) * 2004-04-23 2005-11-03 Matsushita Electric Industrial Co., Ltd. 個人情報管理装置、分散鍵記憶装置、個人情報管理システム
JP2006127161A (ja) * 2004-10-28 2006-05-18 Nippon Telegr & Teleph Corp <Ntt> ヘルスケアシステムおよび同システムにおける情報収集方法
US20070180259A1 (en) * 2006-01-20 2007-08-02 Bulot Earl J Secure Personal Medical Process
US20080097908A1 (en) * 2006-10-24 2008-04-24 Kent Dicks Systems and methods for processing and transmittal of medical data through an intermediary device
JP2008132101A (ja) * 2006-11-28 2008-06-12 Konica Minolta Medical & Graphic Inc 医用画像管理システム、医用画像管理装置及びプログラム
JP2008136778A (ja) * 2006-12-05 2008-06-19 Ministry Of National Defense Chung Shan Inst Of Science & Technology 医療情報と映像を結ぶ遠隔監視システム及びその方法
WO2009119079A1 (ja) * 2008-03-25 2009-10-01 パナソニック株式会社 データ暗号化装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6439706B1 (en) 1999-05-25 2002-08-27 Silverbrook Research Pty Ltd. Printer cartridge with binder
US7421082B2 (en) 2000-12-28 2008-09-02 Sony Corporation Data delivery method and data delivery system using sets of passkeys generated by dividing an encryption key
JP2003348065A (ja) 2002-05-23 2003-12-05 Japan Datacom Co Ltd データ分散保管システム
JP2005198043A (ja) 2004-01-07 2005-07-21 Nec Corp コンテンツ配信システム、その方法、サーバ、ユーザ端末、暗号化装置、管理装置およびストリーミング装置
US20060182277A1 (en) * 2005-02-14 2006-08-17 Tricipher, Inc. Roaming utilizing an asymmetric key pair
US8515070B2 (en) * 2007-10-12 2013-08-20 Emc Corporation Access control for implanted medical devices

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002261746A (ja) * 2000-12-28 2002-09-13 Sony Corp 配信方法及び配信システム
WO2005104430A1 (ja) * 2004-04-23 2005-11-03 Matsushita Electric Industrial Co., Ltd. 個人情報管理装置、分散鍵記憶装置、個人情報管理システム
JP2006127161A (ja) * 2004-10-28 2006-05-18 Nippon Telegr & Teleph Corp <Ntt> ヘルスケアシステムおよび同システムにおける情報収集方法
US20070180259A1 (en) * 2006-01-20 2007-08-02 Bulot Earl J Secure Personal Medical Process
US20080097908A1 (en) * 2006-10-24 2008-04-24 Kent Dicks Systems and methods for processing and transmittal of medical data through an intermediary device
JP2008132101A (ja) * 2006-11-28 2008-06-12 Konica Minolta Medical & Graphic Inc 医用画像管理システム、医用画像管理装置及びプログラム
JP2008136778A (ja) * 2006-12-05 2008-06-19 Ministry Of National Defense Chung Shan Inst Of Science & Technology 医療情報と映像を結ぶ遠隔監視システム及びその方法
WO2009119079A1 (ja) * 2008-03-25 2009-10-01 パナソニック株式会社 データ暗号化装置

Also Published As

Publication number Publication date
CN102349263A (zh) 2012-02-08
CN102349263B (zh) 2014-03-05
JPWO2010116678A1 (ja) 2012-10-18
US8886936B2 (en) 2014-11-11
WO2010116678A1 (ja) 2010-10-14
EP2416522A1 (en) 2012-02-08
US20110314280A1 (en) 2011-12-22

Similar Documents

Publication Publication Date Title
JP5361993B2 (ja) ヘルスケアシステム
CN102713995B (zh) 隐匿检索系统以及密码处理系统
JP6245782B1 (ja) 個人情報保護システム
CN102037474B (zh) 用于对数据项的安全访问的数据项的基于身份的加密
CN100576792C (zh) 文件加密共享的方法
CN111128322A (zh) 基于区块链的医疗数据处理方法、服务器及系统
KR20200006375A (ko) 블록체인을 기반으로 한 의료데이터 서비스 시스템 및 이를 이용한 의료데이터 서비스 방법
JP2009111974A (ja) ヘルスケアシステム、鍵管理サーバ及びその方法、並びに暗号化装置及びその方法
KR20050114187A (ko) 디바이스와 휴대형 저장장치간에 디지털 권리객체의형식을 변환하여 주고받는 장치 및 방법
CN103946910B (zh) 密码处理系统、密码处理方法以及密钥生成装置
KR20200032412A (ko) 블록체인 기반의 데이터 공유 방법, 이를 수행하기 위한 클라우드 서버 및 이를 포함하는 데이터 공유 시스템
JP2015534343A (ja) 遠隔計算リソースにより分析される臨床データへのアクセス制御
JP6151140B2 (ja) 情報の暗号化・復号化方法、情報提供システムおよびプログラム
Zhou et al. A secure role-based cloud storage system for encrypted patient-centric health records
CN105850072A (zh) 数据处理系统、加密装置、解密装置以及程序
RU95106218A (ru) Способ криптозащиты системы телекоммуникационных технологий и устройство для его осуществления
CN102057379A (zh) 保健数据处理的方法和系统
CN109858283B (zh) 一种基于Chaum-Pedersen的云存储安全数据共享方法
CN110750326A (zh) 一种虚拟机的磁盘加解密方法以及系统
JP7272439B2 (ja) 暗号システム、関数値計算方法及びプログラム
Daukantas et al. General data format security extensions for biomedical signals
EP4261809A1 (en) Service provision system
JP2007080041A (ja) 電子カルテシステム
US8369518B2 (en) Electronic data encryption and encrypted data decryption system, and its method
US11924339B2 (en) System and method for secure end-to-end electronic communication using a privately shared table of entropy

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130521

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130621

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130806

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130903

R150 Certificate of patent or registration of utility model

Ref document number: 5361993

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees