JP6561761B2 - 医療情報管理システム及び管理サーバー - Google Patents

医療情報管理システム及び管理サーバー Download PDF

Info

Publication number
JP6561761B2
JP6561761B2 JP2015206842A JP2015206842A JP6561761B2 JP 6561761 B2 JP6561761 B2 JP 6561761B2 JP 2015206842 A JP2015206842 A JP 2015206842A JP 2015206842 A JP2015206842 A JP 2015206842A JP 6561761 B2 JP6561761 B2 JP 6561761B2
Authority
JP
Japan
Prior art keywords
information
key
data
medical
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015206842A
Other languages
English (en)
Other versions
JP2017078973A (ja
Inventor
直一 桑山
直一 桑山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Konica Minolta Inc
Original Assignee
Konica Minolta Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Konica Minolta Inc filed Critical Konica Minolta Inc
Priority to JP2015206842A priority Critical patent/JP6561761B2/ja
Priority to US15/286,183 priority patent/US20170116375A1/en
Publication of JP2017078973A publication Critical patent/JP2017078973A/ja
Application granted granted Critical
Publication of JP6561761B2 publication Critical patent/JP6561761B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16ZINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS, NOT OTHERWISE PROVIDED FOR
    • G16Z99/00Subject matter not provided for in other main groups of this subclass
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Description

本発明は、医療情報管理システム及び管理サーバーに関する。
近年、医療技術の多様化に伴い、特定機能を持つ病院や診療所等の複数の医療施設が医療情報を共有し、連携して患者の検査や治療を行う医療連携が普及しつつある。例えば、通信ネットワークを介して接続されたサーバーに、連携先からしか参照できない医療情報をアップロードし、必要な時に医療情報をダウンロードするシステムが利用されている。
また、複数の医療施設が保有する診療データを蓄積するためのデータ共有DBを備えた診療データ共有サーバーにおいて、各医療施設からアップロードされた診療データと同一患者の過去の診療データが既に登録済みか否かを判定し、既に登録済みの場合には、診療データを患者毎に割り当てた管理IDに関連付けて登録し、未登録の場合には、診療データを新規の管理IDに関連付けて登録する技術が提案されている(特許文献1参照)。
特開2008−204378号公報
上記のような従来のシステムは、複数の医療施設間で医療情報を共有することで業務の効率化を図るものであるが、一方で、共有される医療情報が漏洩しないように、参照又は外部に出力できる情報を制限したい、という要望があった。
例えば、医療情報を特定の連携グループ間で共有する場合は、個人情報が必要になる場合もあるが、個人情報が必要ない医療情報を共有する場合は、医療情報を匿名化した状態で提供することが望まれる。
また、モバイル端末等のクライアント端末から医療情報を参照した場合、クライアント端末にダウンロードされた医療情報が残っていると、端末を紛失したり、保存されている医療情報がコピーされたりして、情報が漏洩する恐れがある。
また、特定のクライアント端末に対してのみ医療情報の参照・出力を許可したり、参照は許可するが出力は許可しないように制御したりする等、端末毎に制限を設けることができると、データの安全性が向上する。
本発明は、上記の従来技術における問題に鑑みてなされたものであって、医療情報を共有可能なシステムにおいて、医療情報の漏洩を防止するとともに、医療情報の参照・出力を制限することを課題とする。
上記課題を解決するために、請求項1に記載の発明は、複数の医療施設において生成された医療情報を管理する管理サーバーと、前記複数の医療施設に設置された複数のクライアント端末と、がデータ通信可能に接続された医療情報管理システムであって、前記管理サーバーは、前記医療情報毎に、公開先を含む認可情報を記憶する第1記憶手段と、前記公開先の候補となる前記医療情報を共有する連携先毎に、連携先鍵を記憶する第2記憶手段と、前記複数のクライアント端末のいずれかから前記医療情報のダウンロード要求があった場合に、当該医療情報がダウンロードされる度にコンテンツ鍵を生成し、当該医療情報を当該生成されたコンテンツ鍵を用いて暗号化して第1情報を生成する第1生成手段と、前記コンテンツ鍵及び当該コンテンツ鍵により暗号化された医療情報に対応する認可情報を、当該認可情報に含まれる公開先に対応する連携先鍵を用いて暗号化して第2情報を生成する第2生成手段と、前記ダウンロード要求があったクライアント端末に前記第1情報及び前記第2情報を提供する提供手段と、を備え、前記複数のクライアント端末のそれぞれは、前記連携先鍵を取得する第1取得手段と、前記管理サーバーから取得された前記第2情報を、前記第1取得手段により取得された連携先鍵を用いて復号して前記コンテンツ鍵及び前記認可情報を取得する第2取得手段と、前記第2取得手段により取得された認可情報に応じた権限の範囲内で、前記管理サーバーから取得された前記第1情報を、前記第2取得手段により取得されたコンテンツ鍵を用いて復号して前記医療情報を取得する第3取得手段と、を備える。
請求項2に記載の発明は、請求項1に記載の医療情報管理システムにおいて、前記連携先鍵は、ユーザー毎に用意されたユーザー鍵、前記クライアント端末毎に用意された端末鍵、又は、前記医療情報に係る患者毎に用意された患者鍵である。
請求項3に記載の発明は、請求項1又は2に記載の医療情報管理システムにおいて、前記認可情報には、さらに、前記医療情報の有効期間又は認可種別が含まれる。
請求項4に記載の発明は、請求項1から3のいずれか一項に記載の医療情報管理システムにおいて、前記複数のクライアント端末のそれぞれは、前記第2取得手段により取得された認可情報において暗号化出力が認可されている場合に、前記管理サーバーから取得された前記第1情報及び前記第2情報を記録メディアに書き込む書込手段を備える。
請求項5に記載の発明は、複数の医療施設に設置された複数のクライアント端末とデータ通信可能に接続され、前記複数の医療施設において生成された医療情報を管理する管理サーバーであって、前記医療情報毎に、公開先を含む認可情報を記憶する第1記憶手段と、前記公開先の候補となる前記医療情報を共有する連携先毎に、連携先鍵を記憶する第2記憶手段と、前記複数のクライアント端末のいずれかから前記医療情報のダウンロード要求があった場合に、当該医療情報がダウンロードされる度にコンテンツ鍵を生成し、当該医療情報を当該生成されたコンテンツ鍵を用いて暗号化して第1情報を生成する第1生成手段と、前記コンテンツ鍵及び当該コンテンツ鍵により暗号化された医療情報に対応する認可情報を、当該認可情報に含まれる公開先に対応する連携先鍵を用いて暗号化して第2情報を生成する第2生成手段と、前記ダウンロード要求があったクライアント端末に前記第1情報及び前記第2情報を提供する提供手段と、を備える。
本発明によれば、医療情報の漏洩を防止するとともに、医療情報の参照・出力を制限することができる。
本発明の第1の実施の形態における医療情報管理システムのシステム構成図である。 管理サーバーの機能的構成を示すブロック図である。 認可情報の例を示す図である。 (a)は、連携データの暗号化を示すイメージ図である。(b)は、コンテンツ鍵及び認可情報の暗号化を示すイメージ図である。 クライアント端末の機能的構成を示すブロック図である。 (a)は、暗号データの復号を示すイメージ図である。(b)は、暗号化連携データの復号を示すイメージ図である。 端末登録シーケンスを示すラダーチャートである。 利用者登録シーケンスを示すラダーチャートである。 アップロードシーケンスを示すラダーチャートである。 ダウンロードシーケンスを示すラダーチャートである。 ダウンロードシーケンスを示すラダーチャートである。 表示シーケンスを示すラダーチャートである。 クライアント端末において実行される出力シーケンスを示すフローチャートである。 本発明の第2の実施の形態における医療情報管理システムのシステム構成図である。 患者登録シーケンスを示すラダーチャートである。 患者鍵使用時のダウンロードシーケンスを示すラダーチャートである。 患者鍵使用時のダウンロードシーケンスを示すラダーチャートである。
[第1の実施の形態]
まず、図を参照して本発明に係る医療情報管理システムの第1の実施の形態について説明する。なお、本発明は、図示例に限定されるものではない。
図1に、第1の実施の形態における医療情報管理システム100のシステム構成を示す。
図1に示すように、医療情報管理システム100は、データセンターに設置された管理サーバー10と、連携先医療施設に設置されたクライアント端末20と、第三者認証局30と、を備えて構成されている。管理サーバー10、クライアント端末20、第三者認証局30は、インターネット等の通信ネットワークNを介してデータ通信可能に接続されている。
なお、医療情報管理システム100を構成する連携先医療施設の数や、各連携先医療施設内のクライアント端末20の数は、特に限定されない。
管理サーバー10は、複数の連携先医療施設において生成された医療情報を蓄積し、管理する。また、管理サーバー10は、医療施設間の医療連携サービスを提供するものであり、各医療施設からの要求に応じて、他の医療施設において実施された検査の結果や撮影画像の画像データ等を提供する。
医療情報は、各患者の診療の過程で生成される情報である。医療情報として、例えば、医用画像データ、検体検査データ、電子カルテデータ、読影レポート、病理診断レポート等が挙げられる。また、医療情報は、患者を撮影して得られた医用画像にDICOM(Digital Imaging and Communications in Medicine)規格に則って患者情報や検査情報等の付帯情報を付帯させた画像データの他、PDF、PNG、Excel、Word等、様々なデータ形式を取り得る。
管理サーバー10は、端末情報テーブルT1、利用者情報テーブルT2、連携情報テーブルT3、認可情報テーブルT4、暗号化履歴テーブルT5を備える。
クライアント端末20は、医療施設が他の医療施設と医療の連携を行うために用いるコンピューターである。クライアント端末20は、通信ネットワークNを介して管理サーバー10にアクセスし、管理サーバー10へ医療情報をアップロードしたり、管理サーバー10に格納されている医療情報をダウンロードしたりする際に用いられる。
クライアント端末20は、LAN(Local Area Network)等の施設内ネットワークにより、医療施設内に設置されたPACS(Picture Archiving and Communication System)とデータ通信可能に接続されており、PACSから医療情報を取り込む。PACSは、医療施設内のモダリティーにより生成された医用画像の画像データ等の医療情報を患者情報や検査情報と対応付けて記憶する施設内サーバーである。モダリティーとして、例えば、CR(Computed Radiography)、FPD(Flat Panel Detector)、CT(Computed Tomography)、MRI(Magnetic Resonance Imaging)等が用いられる。
クライアント端末20は、ユーザー証明書V1が記憶されているICカード(Integrated Circuit Card)C1から情報を取得する。
クライアント端末20は、端末証明書V2、連携データ情報V3、鍵情報V4等の情報を記憶する。
クライアント端末20は、出力対象の医療情報を記録メディア(以下、単にメディアという。)M1に書き込む。
第三者認証局30は、クライアント端末20からの依頼に応じて端末鍵を生成する。また、第三者認証局30は、管理サーバー10からの依頼に応じて端末鍵の検証を行う。
図2に、管理サーバー10の機能的構成を示す。
図2に示すように、管理サーバー10は、制御部11、RAM(Random Access Memory)12、通信部13、記憶部14等を備えて構成されており、各部はバス15により接続されている。
制御部11は、CPU(Central Processing Unit)等により構成され、管理サーバー10の各部の処理動作を統括的に制御する。制御部11は、記憶部14に記憶されている各種プログラムを読み出してRAM12に展開し、当該プログラムとの協働により各種処理を実行する。
RAM12は、制御部11により実行制御される各種処理において、記憶部14から読み出された各種プログラム、入力若しくは出力データ及びパラメーター等を一時的に記憶するワークエリアを形成する。
通信部13は、ネットワークインターフェース等により構成され、通信ネットワークNを介して接続された外部機器との間でデータの送受信を行う。例えば、通信部13は、クライアント端末20から送信された医療情報を受信する。また、通信部13は、医療情報のダウンロード要求があったクライアント端末20に医療情報を送信する。
記憶部14は、HDD(Hard Disk Drive)や半導体の不揮発性メモリー等により構成される。記憶部14は、制御部11により実行される各種プログラムを記憶しているほか、各種プログラムを実行するために必要なパラメーターやデータを記憶している。具体的に、記憶部14には、サーバープログラムP1、アプリケーションプログラムP2、端末情報テーブルT1、利用者情報テーブルT2、連携情報テーブルT3、認可情報テーブルT4、暗号化履歴テーブルT5が記憶されている。
サーバープログラムP1は、管理サーバー10におけるデータ管理処理、連携先医療施設への医療情報の提供処理等を実行するためのプログラムである。
アプリケーションプログラムP2は、クライアント端末20によりダウンロードされ、クライアント端末20において使用されるプログラムである。
端末情報テーブルT1には、管理サーバー10にアクセス可能なクライアント端末20毎の情報が格納される。端末情報テーブルT1には、「端末ID」に対して、「鍵有効期間」、「端末鍵」が対応付けられている(第2記憶手段)。各クライアント端末20は、医療情報を共有する連携先として設定可能であり、医療情報の公開先の候補となる。
「端末ID」は、クライアント端末20を識別するための識別情報である。
「鍵有効期間」は、「端末ID」により特定されるクライアント端末20に対して生成された「端末鍵」の有効期間である。
「端末鍵」は、「端末ID」により特定されるクライアント端末20に対して用意された、各クライアント端末20に固有の鍵である。「端末鍵」は、例えば、第三者認証局30によって生成される。
利用者情報テーブルT2には、医療情報管理システム100の利用者毎の情報が格納される。利用者情報テーブルT2には、「ユーザーID」に対して、「利用者情報」、「ユーザー有効期間」、「パスワード」、「ユーザー鍵」が対応付けられている(第2記憶手段)。各利用者(ユーザー)は、医療情報を共有する連携先として設定可能であり、医療情報の公開先の候補となる。
「ユーザーID」は、ユーザーを識別するための識別情報である。
「利用者情報」は、利用者(ユーザー)に関する情報であり、ユーザーが所属する組織名、権限等を含む。
「ユーザー有効期間」は、「ユーザーID」により特定されるユーザーが医療情報管理システム100の利用を許可された期間である。
「パスワード」は、医療情報管理システム100の利用時に、ユーザー認証の際に入力を求められるパスワードである。
「ユーザー鍵」は、「ユーザーID」により特定されるユーザーに対して用意された、各ユーザーに固有の鍵である。
連携情報テーブルT3には、クライアント端末20から医療情報が送信される送信単位毎(連携毎)の情報が格納される。連携情報テーブルT3には、「連携ID」に対して、「送信元ユーザーID」が対応付けられている。
「連携ID」は、クライアント端末20から管理サーバー10に対して送信される医療情報の送信単位毎(連携毎)に付与される識別情報である。
「送信元ユーザーID」は、医療情報の送信元のユーザーを示すユーザーIDである。
認可情報テーブルT4には、連携データ毎の認可情報が格納される(第1記憶手段)。認可情報テーブルT4には、「連携データID」に対して、「連携ID」、「認可情報」が対応付けられている。連携データは、医療情報管理システム100において医療情報を共有する際に1単位として扱われる一纏まりの情報であり、一又は複数のファイルから構成される。
「連携データID」は、一つのコンテンツ鍵で暗号化される医療情報の単位(連携データ)毎に付与される識別情報である。
「認可情報」は、医療情報(連携データ)毎に設定された、当該医療情報に対する権限を示す情報である。「認可情報」には、処理を許可されたユーザーやクライアント端末20等の公開先、医療情報の有効期間等が含まれる。
図3に、認可情報の例を示す。
認可情報は、連携データID毎に、各認可種別に対して、有効期間、ユーザーID、端末ID、匿名化要否が対応付けられている。図3に示す患者鍵使用可否については、第1の実施の形態では使用しないので、第2の実施の形態において説明する。
認可種別は、連携データに対して行われる処理を分類したものである。ここでは、認可種別として、画像参照、患者参照、外部出力、暗号化出力を用いる。画像参照は、連携データの画像部分の参照(表示)である。患者参照は、連携データの患者情報部分の参照(表示)である。外部出力は、連携データのメディアM1への出力(書き込み)である。暗号化出力は、暗号化された連携データのメディアM1への出力(書き込み)である。
有効期間は、参照・出力が許可されている期間である。
認可情報に含まれるユーザーIDは、参照・出力が許可されているユーザーに対応するユーザーIDである。
認可情報に含まれる端末IDは、参照・出力が許可されているクライアント端末20に対応する端末IDである。
匿名化要否は、連携データ内の患者情報等の個人情報の匿名化が必要であるか否かを示す情報である。
図3に示す例では、連携データID「D001」の連携データの「画像参照」は、ユーザーID「U001」、「U002」、「U003」のユーザーによって可能である。また連携データID「D001」の連携データの「画像参照」については、有効期間、端末IDは指定されていないため、いつでも、どのクライアント端末20からでも画像を参照することができる。
また、連携データID「D001」の連携データの「患者参照」は、「2015/5/1〜2015/5/15」の間、ユーザーID「U001」、「U002」のユーザーによって可能である。
また、連携データID「D001」の連携データの「外部出力」は、「2015/5/1〜2015/5/5」の間、ユーザーID「U001」のユーザーによって、端末ID「T001」のクライアント端末20からのみ可能である。
また、連携データID「D001」の連携データの「暗号化出力」は、「2015/5/1〜2015/5/15」の間、ユーザーID「U001」のユーザーによって、端末ID「T001」のクライアント端末20からのみ可能である。
また、連携データID「D002」の連携データの「画像参照」については、「2015/5/1〜2015/5/15」の間であれば、誰でも、どのクライアント端末20からでも参照可能となっている。
暗号化履歴テーブルT5には、ダウンロード毎の情報が格納される。暗号化履歴テーブルT5には、「ダウンロードコンテンツID」に対して、「連携データID」、「コンテンツ鍵」、「有効期間」が対応付けられている。
「ダウンロードコンテンツID」は、医療情報(連携データ)がダウンロードされる度に付与される識別情報である。
「連携データID」は、ダウンロードの対象となる連携データに対応する連携データIDである。
「コンテンツ鍵」は、ダウンロード毎に生成される鍵である。
「有効期間」は、「コンテンツ鍵」の有効期間である。
制御部11は、記憶部14に記憶されているサーバープログラムP1に従って、クライアント端末20から送信された医療情報を管理し、クライアント端末20からの要求に応じて医療情報を提供する。
制御部11は、複数のクライアント端末20のいずれかから医療情報(連携データ)のダウンロード要求があった場合に、当該医療情報がダウンロードされる度にコンテンツ鍵を生成し、当該医療情報を当該生成されたコンテンツ鍵を用いて暗号化して第1情報としての暗号化連携データを生成する。すなわち、制御部11は、第1生成手段として機能する。
図4(a)は、連携データの暗号化を示すイメージ図である。連携データをコンテンツ鍵を用いて暗号化して、暗号化連携データが得られる。
制御部11は、コンテンツ鍵により暗号化された医療情報(連携データ)に対応する認可情報を、記憶部14に記憶されている認可情報テーブルT4から取得する。
また、制御部11は、取得した認可情報に含まれる公開先(端末ID・ユーザーID)に対応する連携先鍵(端末鍵・ユーザー鍵)を、記憶部14に記憶されている端末情報テーブルT1、利用者情報テーブルT2から取得する。
制御部11は、コンテンツ鍵及びコンテンツ鍵により暗号化された医療情報(連携データ)に対応する認可情報を、当該認可情報に含まれる公開先に対応する連携先鍵を用いて暗号化して第2情報としての暗号データを生成する。すなわち、制御部11は、第2生成手段として機能する。
図4(b)は、コンテンツ鍵及び認可情報の暗号化を示すイメージ図である。ここでは、対象となる連携データに対して、端末ID「T001」のクライアント端末20から、ユーザーID「U001」、「U002」のユーザーによる処理が許可されていることとする。まず、コンテンツ鍵及び認可情報を端末ID「T001」に対応する端末鍵で暗号化して、暗号データ1を生成する。次に、暗号データ1をユーザーID「U001」に対応するユーザー鍵で暗号化して、暗号データ2を生成するとともに、暗号データ1をユーザーID「U002」に対応するユーザー鍵で暗号化して、暗号データ3を生成する。コンテンツ鍵及び認可情報は、各処理工程において、連携データIDと対応付けられて管理される。
制御部11は、通信部13を介して、ダウンロード要求があったクライアント端末20に暗号化連携データ及び暗号データを提供する。すなわち、制御部11は、提供手段として機能する。管理サーバー10では、連携データがダウンロードされる度に、暗号化履歴テーブルT5にコンテンツ鍵を保存するため、暗号化連携データについては、管理サーバー10内に保存する必要はない。
図5に、クライアント端末20の機能的構成を示す。
図5に示すように、クライアント端末20は、制御部21、RAM22、通信部23、操作部24、表示部25、ICカードリーダー・ライター26、データ書込部27、記憶部28等を備えて構成され、各部はバス29等により接続されている。
制御部21は、CPU等により構成され、クライアント端末20の各部の処理動作を統括的に制御する。制御部21は、記憶部28に記憶されている各種プログラムを読み出してRAM22に展開し、当該プログラムとの協働により各種処理を実行する。
RAM22は、制御部21により実行制御される各種処理において、記憶部28から読み出された各種プログラム、入力若しくは出力データ及びパラメーター等を一時的に記憶するワークエリアを形成する。
通信部23は、ネットワークインターフェース等により構成され、通信ネットワークNや施設内ネットワークを介して接続された外部機器との間でデータの送受信を行う。例えば、通信部23は、管理サーバー10に医療情報を送信し、管理サーバー10から医療情報を受信する。
操作部24は、カーソルキー、数字入力キー及び各種機能キー等を備えたキーボードと、マウス等のポインティングデバイスを備えて構成され、キーボードに対するキー操作やマウス操作により入力された操作信号を制御部21に出力する。例えば、操作部24は、クライアント端末20を操作するユーザーが管理サーバー10にアップロードする医療情報を指定する際や、管理サーバー10からダウンロードする医療情報を指定する際に用いられる。
表示部25は、LCD(Liquid Crystal Display)等のモニターを備えて構成されており、制御部21から入力される表示信号の指示に従って、各種画面を表示する。
ICカードリーダー・ライター26は、ICカードC1から各種データを読み取り、読み取ったデータを制御部21に出力する。
ICカードC1は、各ユーザーが所持するカードであり、各ユーザーに対応するユーザー証明書V1が記憶されている。ユーザー証明書V1は、「ユーザーID」、「利用者情報」、「ユーザー鍵」を含む。
データ書込部27は、制御部21からの制御信号に基づき、CD−R、DVD−R等のメディアM1に各種データを書き込む書込手段である。
記憶部28は、HDDや半導体の不揮発性メモリー等により構成される。記憶部28は、制御部21により実行される各種プログラムを記憶しているほか、各種プログラムを実行するために必要なパラメーターやデータを記憶している。具体的に、記憶部28には、アプリケーションプログラムP2、端末証明書V2、連携データ情報V3、鍵情報V4等が記憶されている。
アプリケーションプログラムP2は、クライアント端末20において、医療情報のアップロード処理やダウンロード処理等を実行するためのプログラムである。アプリケーションプログラムP2は、管理サーバー10からダウンロードされ、使用される。
端末証明書V2は、クライアント端末20が管理サーバー10へのアクセスを許可された端末であることを示す情報であり、「端末ID」、「鍵有効期間」、「端末鍵」を含む。
連携データ情報V3は、管理サーバー10からダウンロードされた医療情報(連携データ)に関する情報であり、「連携ID」、「連携データID」、「暗号化連携データ」、「有効期間」を含む。
鍵情報V4は、暗号化連携データを復号するための鍵に関する情報であり、「連携データID」、「暗号データ(暗号化されたコンテンツ鍵・認可情報)」、「有効期間」を含む。
制御部21は、医療情報のアップロード時、操作部24から指定された医療情報(連携データ)を、通信部23を介して管理サーバー10に送信する。
制御部21は、医療情報のダウンロード時、連携データIDと、当該連携データIDと対応付けられている暗号化連携データ(暗号化された連携データ)及び暗号データ(暗号化されたコンテンツ鍵・認可情報)の全てを、通信部23を介して管理サーバー10から取得する。
制御部21は、ICカードリーダー・ライター26を制御して、ICカードC1に記憶されているユーザー鍵(連携先鍵)を取得する。また、制御部21は、記憶部28に記憶されている端末証明書V2から端末鍵(連携先鍵)を取得する。すなわち、制御部21は、第1取得手段として機能する。
制御部21は、管理サーバー10から取得された暗号データに対して、クライアント端末20が持っている鍵で復号できるか、確かめる。ユーザー鍵、端末鍵、又は、ユーザー鍵及び端末鍵の両方のいずれにより暗号化されるかは、管理サーバー10とクライアント端末20との間で予め決められている。ユーザー鍵及び端末鍵の両方を用いる場合には、その順番も予め決められている。
制御部21は、管理サーバー10から取得された暗号データを、ICカードC1のユーザー証明書V1から取得されたユーザー鍵、記憶部28の端末証明書V2から取得された端末鍵を用いて復号してコンテンツ鍵及び認可情報を取得する。すなわち、制御部21は、第2取得手段として機能する。
図6(a)は、暗号データの復号を示すイメージ図である。ここでは、使用中のクライアント端末20の端末IDが「T001」、使用中のユーザーのユーザーIDが「U001」であることとする。また、暗号データ2,3については、図4(b)のように生成されたものである。暗号データ2に対し、ユーザーID「U001」に対応するユーザー鍵を用いて復号を試みると、復号することができ、暗号データ1が得られる。一方、暗号データ3は、ユーザーID「U002」に対応するユーザー鍵で暗号化されたものであるから、ユーザーID「U001」に対応するユーザー鍵を用いて復号を試みても、復号することはできない。次に、暗号データ1に対し、端末ID「T001」に対応する端末鍵を用いて復号を試みると、復号することができ、コンテンツ鍵及び認可情報が得られる。
制御部21は、取得された認可情報に応じた権限の範囲内で、管理サーバー10から取得された暗号化連携データを、取得されたコンテンツ鍵を用いて復号して医療情報(連携データ)を取得する。すなわち、制御部21は、第3取得手段として機能する。
図6(b)は、暗号化連携データの復号を示すイメージ図である。暗号化連携データをコンテンツ鍵を用いて復号して、連携データが得られる。
制御部21は、取得された認可情報において暗号化出力が認可されている場合に、データ書込部27を制御して、管理サーバー10から取得された暗号化連携データ及び暗号データをメディアM1に書き込ませる。
なお、コンテンツ鍵、端末鍵、ユーザー鍵は、暗号化と復号に同じ鍵を使う共通鍵暗号方式であってもよいし、暗号化と復号に別個の鍵(公開鍵と秘密鍵の組み合わせ)を使う公開鍵暗号方式であってもよい。
次に、医療情報管理システム100における動作について説明する。以下の処理において、管理サーバー10における処理は、制御部11と記憶部14に記憶されているサーバープログラムP1との協働によるソフトウェア処理によって実現され、クライアント端末20における処理は、制御部21と記憶部28に記憶されているアプリケーションプログラムP2との協働によるソフトウェア処理によって実現される。
<端末登録シーケンス>
図7は、端末登録シーケンスを示すラダーチャートである。端末登録シーケンスは、医療情報管理システム100において、クライアント端末20が正規の端末であることを証明するための電子証明書(端末証明書V2)を生成する際の手順を示している。この操作を行える利用者は、通常システム運用上で制限をかけるが(連携先医療施設における管理者等)、制限をかけなくてもよい。
まず、クライアント端末20において、制御部21は、乱数を発生させる等して、他のクライアント端末20と重複しないような端末IDを生成する(ステップS1)。例えば、端末IDとして、「FEA92C15-6EE4-4665-A0B0-C491E30B85E7」が用いられる。
次に、制御部21は、通信部23を介して第三者認証局30にアクセスし、端末IDに対応する端末鍵の生成を要求し、第三者認証局30から端末鍵を取得する(ステップS2)。第三者認証局30には、端末IDと端末鍵とが対応付けられて記憶される。
次に、制御部21は、通信部23を介して管理サーバー10に対して、端末ID及び端末鍵を送信し(ステップS3)、クライアント端末20の登録を要求する。
管理サーバー10では、通信部13を介してクライアント端末20から端末ID及び端末鍵を受信すると、制御部11は、端末情報テーブルT1を参照し、端末IDがテーブル内で重複していないことを確認する(ステップS4)。端末IDが重複している場合には、制御部11は、クライアント端末20に対し、端末IDの生成からやり直しを要求する。
次に、制御部11は、通信部13を介して第三者認証局30にアクセスし、端末鍵の検証を要求する(ステップS5)。第三者認証局30は、端末IDと端末鍵の組み合わせが正しいものであることを管理サーバー10に通知する。
次に、制御部11は、端末鍵の有効期間(鍵有効期間)を決定する(ステップS6)。鍵有効期間として、予め定められている期間を用いてもよいし、所定の条件に基づいて期間を決定することとしてもよい。
次に、制御部11は、端末情報テーブルT1に、クライアント端末20から受信された端末ID及び端末鍵、ステップS6で決定された鍵有効期間を対応付けて保存する(ステップS7)。これらの情報は、医療情報管理システム100のサーバープログラムP1を用いなければ、参照できない状態で保存される。
次に、制御部11は、通信部13を介してクライアント端末20に、鍵有効期間を送信する(ステップS8)。
クライアント端末20において、制御部21は、記憶部28に端末証明書V2として、ステップS1で生成された端末ID、管理サーバー10から受信された鍵有効期間、ステップS2で取得された端末鍵を保存する(ステップS9)。これらの情報は、クライアント端末20を使用する権限がなければ、参照できない状態で保存される。
以上で、端末登録シーケンスが終了する。
<利用者登録シーケンス>
図8は、利用者登録シーケンスを示すラダーチャートである。利用者登録シーケンスは、医療情報管理システム100において、正規の利用者であることを登録する際の手順を示している。
まず、クライアント端末20において、ユーザーは、操作部24からユーザーID、利用者情報、パスワードを入力し、制御部21は、入力されたこれらの情報を取得する(ステップS11,S12,S13)。
次に、制御部21は、ICカードリーダー・ライター26によりICカードC1を読み取らせ、ユーザー証明書V1からユーザー鍵を取得する(ステップS14)。なお、ユーザーID及び利用者情報についても、ユーザー証明書V1から取得することとしてもよい。
次に、制御部21は、通信部23を介して管理サーバー10に対して、ユーザーID、利用者情報、パスワード及びユーザー鍵を送信し(ステップS15)、利用者の登録を要求する。
管理サーバー10では、通信部13を介してクライアント端末20からユーザーID、利用者情報、パスワード及びユーザー鍵を受信すると、制御部11は、ユーザー鍵の有効期間(ユーザー有効期間)を決定する(ステップS16)。ユーザー有効期間として、予め定められている期間を用いてもよいし、所定の条件に基づいて期間を決定することとしてもよい。
次に、制御部11は、利用者情報テーブルT2に、クライアント端末20から受信されたユーザーID、利用者情報、パスワード及びユーザー鍵、ステップS16で決定されたユーザー有効期間を対応付けて保存する(ステップS17)。これらの情報は、医療情報管理システム100のサーバープログラムP1を用いなければ、参照できない状態で保存される。
以上で、利用者登録シーケンスが終了する。
以下、処理の前提として、クライアント端末20において管理サーバー10にアクセスする場合には、クライアント端末20からユーザーIDとパスワードが入力され、管理サーバー10においてユーザー認証が行われる。
なお、利用者情報テーブルT2において、ユーザーIDに対応するユーザー有効期間が期限切れとなっている場合には、当該ユーザーIDに対応するユーザーによる管理サーバー10に対するアクセスが拒否される。
<アップロードシーケンス>
図9は、アップロードシーケンスを示すラダーチャートである。アップロードシーケンスは、クライアント端末20から管理サーバー10に対して医療情報をアップロードする際の手順を示している。クライアント端末20では、医療情報をアップロードする際、医療情報を参照・出力するための条件となる認可情報が設定される。
まず、クライアント端末20において、制御部21は、ユーザーによる操作部24からの操作に応じて、医療施設内に設置されたPACS等からアップロードの対象となる連携データ(医療情報)を取り込む(ステップS21)。
次に、制御部21は、ユーザーによる操作部24からの操作に応じて、送信する連携データ毎に、認可情報を設定する(ステップS22)。認可情報には、連携データを参照・出力可能な有効期間、連携データを参照・出力可能なユーザーのユーザーID、連携データを参照・出力可能な端末の端末ID、匿名化要否等が含まれる。また、図3に示す例のように、認可種別毎に権限を設定してもよい。クライアント端末20の表示部25には、連携データの公開先をユーザー毎に設定するか、端末毎に設定するか、又は、それらの組み合わせとするか等を選択・設定するための操作画面が表示される。
次に、制御部21は、通信部23を介して管理サーバー10に対して、連携データと認可情報を対応付けて送信し(ステップS23)、連携データのアップロードを要求する。
管理サーバー10では、通信部13を介して連携データ及び認可情報を受信すると、制御部11は、クライアント端末20から送信された送信単位(一又は複数の連携データを含む。)に対し、連携IDを付与する(ステップS24)。
次に、制御部11は、連携情報テーブルT3に、ステップS24で付与された連携ID、クライアント端末20を使用中のユーザーに対応する送信元ユーザーIDを対応付けて保存する(ステップS25)。
次に、制御部11は、連携データ毎に、連携データIDを付与する(ステップS26)。
次に、制御部11は、連携データ毎に、認可情報テーブルT4に、ステップS24で付与された連携ID、ステップS26で付与された当該連携データに対応する連携データID、クライアント端末20から受信された当該連携データに対応する認可情報を対応付けて保存する(ステップS27)。
次に、制御部11は、連携データ毎に、当該連携データを、連携ID、連携データIDと対応付けて保存する(ステップS28)。例えば、制御部11は、記憶部14において、「連携ID」の名称のフォルダーを作成し、このフォルダーの下位階層に各連携データに対応する「連携データID」の名称のフォルダーを作成し、各連携データを当該連携データに対応するフォルダーに格納する。DICOM画像に関しては、画像データ部分と患者情報等の付帯情報部分とに分割して保存される。
以上で、アップロードシーケンスが終了する。
<ダウンロードシーケンス>
図10及び図11は、ダウンロードシーケンスを示すラダーチャートである。ダウンロードシーケンスは、クライアント端末20が管理サーバー10から医療情報をダウンロードする際の手順を示している。
クライアント端末20では、制御部21が、使用中のユーザーに基づいて、管理サーバー10から入手可能な医療情報(連携ID)のリストを取得し、取得したリストを表示部25に表示させる。
ユーザーが操作部24からの操作により連携IDを指定すると、制御部21は、指定された連携IDに基づいて、通信部23を介して管理サーバー10に、ダウンロード要求を送信する(ステップS31)。
管理サーバー10では、通信部13を介してクライアント端末20からダウンロード要求を受信すると、制御部11は、連携情報テーブルT3から指定された連携IDに対応する送信元ユーザーIDを取得する(ステップS32)。
ここで、「送信元ユーザーID」に対応する送信元ユーザーが、クライアント端末20においてログイン中のユーザー本人でない場合、認可情報テーブルT4から連携IDに対応する連携データID及び認可情報を取得する(ステップS33)。連携IDに対応する連携データIDが複数存在する場合には、クライアント端末20に候補を提示し、ユーザーにより選択された連携データIDに対応する連携データをダウンロードの対象とする。
なお、クライアント端末20においてログイン中のユーザー本人がアップロードした情報については、参照・出力が可能であるため、説明を省略する。
次に、制御部11は、今回のダウンロードに対して、ダウンロードコンテンツIDを生成する(ステップS34)。
また、制御部11は、今回のダウンロードに対して、乱数を利用して、連携データの暗号化に用いるコンテンツ鍵を生成する(ステップS35)。
また、制御部11は、ステップS33において取得された認可情報から有効期間を取得する(ステップS36)。具体的には、認可情報に含まれる認可種別毎の有効期間を全て含む範囲を、連携データに対応する有効期間とする。
次に、制御部11は、暗号化履歴テーブルT5に、ステップS34で生成されたダウンロードコンテンツID、ダウンロードの対象となる連携データに対応する連携データID、ステップS35で生成されたコンテンツ鍵、ステップS36で取得された有効期間を対応付けて保存する(ステップS37)。
次に、制御部11は、ダウンロードの対象となる連携データをコンテンツ鍵で暗号化し、暗号化連携データを生成する(ステップS38)。この際、連携データに対応する認可情報において、全ての認可種別について匿名化要否が「YES」の場合には、連携データに含まれる患者情報等の個人情報をアスタリスク等で置き換えて匿名化した後、匿名化後の連携データをコンテンツ鍵で暗号化する。
次に、制御部11は、ステップS35で生成されたコンテンツ鍵と、ステップS33で取得された認可情報と、を端末鍵及びユーザー鍵を用いて暗号化し、暗号データを生成する(ステップS39)。具体的には、まず、制御部11は、認可情報において参照又は出力が許可されている端末IDを取得し、端末情報テーブルT1からこの端末IDに対応する端末鍵を取得し、この端末鍵を用いて、コンテンツ鍵と認可情報を暗号化する。認可情報において複数の端末IDに対して参照又は出力が許可されている場合には、各端末IDに対応する各端末鍵を用いて、コンテンツ鍵と認可情報を暗号化する。続いて、制御部11は、認可情報において参照又は出力が許可されているユーザーIDを取得し、利用者情報テーブルT2からこのユーザーIDに対応するユーザー鍵を取得し、このユーザー鍵を用いて、端末鍵で暗号化されたコンテンツ鍵と認可情報を暗号化する。認可情報において複数のユーザーIDに対して参照又は出力が許可されている場合には、各ユーザーIDに対応する各ユーザー鍵を用いて、端末鍵で暗号化されたコンテンツ鍵と認可情報を暗号化する。
なお、端末情報テーブルT1において、端末IDに対応する鍵有効期間が期限切れとなっている場合には、当該端末IDに対応する端末鍵の使用は不可とする。
次に、図11に移り、制御部11は、通信部13を介してクライアント端末20に、暗号化連携データ及び暗号データを連携データIDと対応付けて送信する(ステップS40)。暗号データについては、認可情報により指定されている各端末IDと各ユーザーIDの組み合わせ毎に生成された全ての暗号データが送信される。
クライアント端末20では、通信部23を介して連携データID、暗号化連携データ及び暗号データを受信すると、制御部21は、ICカードリーダー・ライター26によりICカードC1のユーザー証明書V1からユーザー鍵を取得し、記憶部28に記憶されている端末証明書V2から端末鍵を取得する。そして、制御部21は、ユーザー鍵及び端末鍵を用いて暗号データの復号を試みる。
なお、端末証明書V2において、端末鍵に対応する鍵有効期間が期限切れとなっている場合には、当該端末鍵の使用は不可とする。
クライアント端末20のユーザー及びクライアント端末20に対して参照又は出力が許可されている場合には、制御部21は、ユーザー鍵及び端末鍵を用いて暗号データを復号し、コンテンツ鍵及び認可情報を取得する(ステップS41)。
次に、制御部21は、取得された認可情報から有効期間を取得する(ステップS42)。具体的には、認可情報に含まれる認可種別毎の有効期間を全て含む範囲を、連携データに対応する有効期間とする。
次に、制御部21は、ステップS31で指定された連携ID、ダウンロード対象の連携データに対応する連携データID、管理サーバー10から受信された暗号化連携データ、ステップS42で取得された有効期間を、連携データ情報V3として記憶部28に保存する(ステップS43)。
次に、制御部21は、ダウンロード対象の連携データに対応する連携データID、管理サーバー10から受信された暗号データ(暗号化されたコンテンツ鍵・認可情報)、ステップS42で取得された有効期間を、鍵情報V4として記憶部28に保存する(ステップS44)。
以上で、ダウンロードシーケンスが終了する。
なお、連携データに対応する認可情報において、全ての認可種別において、ユーザーID、端末IDが指定されていない場合には、暗号化されずにそのままダウンロードされる。この場合には、コンテンツ鍵も生成されない。クライアント端末20では、鍵情報V4に「鍵は存在しない」旨の情報が保存される。
また、認可情報において、連携データに対応する匿名化要否が「YES」であって、ユーザーID、端末IDが指定されていない場合には、連携データに対し匿名化は行われるが、暗号化はされない。
<表示シーケンス>
図12は、表示シーケンスを示すラダーチャートである。表示シーケンスは、ダウンロード済みの医療情報を表示する際の手順を示している。
クライアント端末20において、ユーザーが操作部24からの操作により連携IDを指定すると(ステップS51)、制御部21は、記憶部28に記憶されている連携データ情報V3から、指定された連携IDに対応する連携データID及び暗号化連携データを取得する(ステップS52)。
次に、制御部21は、記憶部28に記憶されている鍵情報V4から、ステップS52において取得された連携データIDに対応する暗号データ(暗号化されたコンテンツ鍵・認可情報)を取得する(ステップS53)。
次に、制御部21は、ユーザー証明書V1に含まれるユーザー鍵、及び、端末証明書V2に含まれる端末鍵を用いて暗号データの復号を試みる(ステップS54)。
ユーザー鍵及び端末鍵を用いた暗号データの復号が成功し、コンテンツ鍵を取得することができた場合には(ステップS55;YES)、制御部21は、暗号データの復号により取得された認可情報に基づいて、連携データの参照について有効期間内であるか否かを判断する(ステップS56)。連携データの参照について、認可種別が「画像参照」、「患者参照」等、複数存在する場合には、該当する認可種別に対応する情報により判断すればよい。
ステップS55において、コンテンツ鍵を取得することができなかった場合(ステップS55;NO)、又は、ステップS56において、連携データの参照について有効期間内でない場合には(ステップS56;NO)、クライアント端末20及び管理サーバー10は、ダウンロードシーケンス(図10及び図11参照)を実行する(ステップS57)。
クライアント端末20では、再ダウンロード後、制御部21は、対象の連携データを参照可能であるか否かを判断する(ステップS58)。具体的には、制御部21は、ユーザー証明書V1のユーザー鍵、端末証明書V2の端末鍵を用いて暗号データの復号ができるか否かを試みる。ユーザー鍵及び端末鍵を用いた暗号データの復号が成功した場合には、制御部21は、コンテンツ鍵及び認可情報を取得する。そして、制御部21は、認可情報において、クライアント端末20のユーザー及び端末に対して参照が許可され、かつ、有効期間内である場合には、対象の連携データを参照可能であると判断する。一方、制御部21は、クライアント端末20のユーザー又は端末に対して参照が許可されていない場合、有効期間内でない場合、又は、ユーザー鍵及び端末鍵を用いた暗号データの復号ができなかった場合には、対象の連携データを参照可能でないと判断する。
対象の連携データを参照可能である場合(ステップS58;YES)、又は、ステップS56において、連携データの参照について有効期間内である場合には(ステップS56;YES)、制御部21は、コンテンツ鍵を用いて暗号化連携データを復号し、連携データを取得する(ステップS59)。
制御部21は、取得された連携データを表示部25に表示させる(ステップS60)。
ステップS60の後、又は、ステップS58において、対象の連携データを参照可能でない場合には(ステップS58;NO)、表示シーケンスが終了する。
なお、上記の説明では、管理サーバー10とクライアント端末20とが通信可能に接続されていることとしたが、クライアント端末20側に暗号化連携データと暗号データが保存されていれば、オフラインであっても、クライアント端末20が利用可能な鍵(ユーザー鍵・端末鍵)を用いて、データを参照することができる。
<出力シーケンス>
図13は、クライアント端末20において実行される出力シーケンスを示すフローチャートである。出力シーケンスは、医療情報をメディアM1に出力する際の手順を示している。
ステップS61〜ステップS64の処理は、図12のステップS51〜ステップS54の処理と同様であるため、説明を省略する。
次に、ユーザー鍵及び端末鍵を用いた暗号データの復号が成功し、コンテンツ鍵を取得することができた場合には(ステップS65;YES)、制御部21は、暗号データの復号により取得された認可情報に基づいて、連携データの外部出力が可能であるか否かを判断する(ステップS66)。具体的には、制御部21は、認可情報の認可種別「外部出力」において、有効期間内であって、クライアント端末20を使用中のユーザーに対応するユーザーID及びクライアント端末20に対応する端末IDが指定されている場合には、連携データの外部出力が可能であると判断する。
連携データの外部出力が可能である場合には(ステップS66;YES)、制御部21は、暗号データの復号により取得されたコンテンツ鍵を用いて暗号化連携データを復号し、連携データを取得する(ステップS67)。
次に、制御部21は、認可情報に基づいて、外部出力について匿名化が必要であるか否かを判断する(ステップS68)。具体的には、制御部21は、認可情報の認可種別「外部出力」において、匿名化要否が「YES」の場合には、外部出力について匿名化が必要であると判断する。
外部出力について匿名化が必要である場合には(ステップS68;YES)、制御部21は、連携データを匿名化し(ステップS69)、データ書込部27を制御して、匿名化された連携データをメディアM1に書き込ませる(ステップS70)。
ステップS68において、外部出力について匿名化が必要でない場合には(ステップS68;NO)、制御部21は、データ書込部27を制御して、連携データをメディアM1に書き込ませる(ステップS71)。
ステップS66において、連携データの外部出力が可能でない場合には(ステップS66;NO)、制御部21は、認可情報に基づいて、連携データの暗号化出力が可能であるか否かを判断する(ステップS72)。具体的には、制御部21は、認可情報の認可種別「暗号化出力」において、有効期間内であって、クライアント端末20を使用中のユーザーに対応するユーザーID及びクライアント端末20に対応する端末IDが指定されている場合には、連携データの暗号化出力が可能であると判断する。
連携データの暗号化出力が可能である場合には(ステップS72;YES)、制御部21は、データ書込部27を制御して、出力対象の連携データに対応する連携データ情報V3及び鍵情報V4をメディアM1に書き込ませる(ステップS73)。
ステップS70、ステップS71、ステップS73の後、ステップS65において、コンテンツ鍵を取得することができなかった場合(ステップS65;NO)、又は、ステップS72において、連携データの暗号化出力が可能でない場合には(ステップS72;NO)、出力シーケンスが終了する。
以上説明したように、第1の実施の形態の医療情報管理システム100によれば、連携データがダウンロードされる度にコンテンツ鍵を生成し、連携データをコンテンツ鍵を用いて暗号化して暗号化連携データを生成し、コンテンツ鍵及び連携データに対応する認可情報を、認可情報に含まれる公開先(端末ID・ユーザーID)に対応する連携先鍵(端末鍵・ユーザー鍵)を用いて暗号化して暗号データを生成し、ダウンロード要求があったクライアント端末20に暗号化連携データ及び暗号データを提供するので、連携データの漏洩を防止するとともに、連携データの参照・出力を制限することができる。
クライアント端末20では、連携データを管理サーバー10からダウンロードした後も、連携データやコンテンツ鍵は暗号化された状態で保存されるので、許可されたクライアント端末20を許可されたユーザーが使用している場合のみ、復号を可能とすることで、セキュリティーレベルを向上させることができる。例えば、コンテンツ鍵がユーザー鍵で暗号化されている場合には、そのユーザー鍵が保存されたICカードC1がなければ、連携データを取得することはできない。
また、オフラインであっても、権限を有するユーザー及びクライアント端末20であれば、クライアント端末20において取得可能なユーザー鍵・端末鍵により暗号データを復号し、コンテンツ鍵を取得することができる。
また、クライアント端末20において、外部出力は認可されていないが、暗号化出力は認可されている場合には、暗号化されたデータ(連携データ情報V3及び鍵情報V4)をそのまま出力することができる。他のクライアント端末では、メディアM1から連携データ情報V3及び鍵情報V4を取得することで、オフラインであっても、他のクライアント端末20のユーザー・端末が連携データの参照・出力を許可されていれば、他のクライアント端末20において取得可能なユーザー鍵・端末鍵により暗号データを復号し、コンテンツ鍵を取得することができる。
また、認可情報に有効期間が設定されているので、ダウンロード対象の連携データの公開を時間的に制限することができる。
[第2の実施の形態]
次に、本発明を適用した第2の実施の形態について説明する。
図14に、第2の実施の形態における医療情報管理システム200のシステム構成を示す。医療情報管理システム200は、第1の実施の形態に示した医療情報管理システム100に対して患者鍵を用いた医療情報の参照・出力制御を付加したものである。
なお、管理サーバー10の機能的構成、クライアント端末20の機能的構成については、図2及び図5に示したものと同様であるため、同一の構成については同一の符号を用いて、図示及び説明を省略する。
以下、第2の実施の形態に特徴的な構成及び処理について説明する。
管理サーバー10は、端末情報テーブルT1、利用者情報テーブルT2、連携情報テーブルT3、認可情報テーブルT4、暗号化履歴テーブルT5に加え、患者情報テーブルT6を備える。患者情報テーブルT6は、記憶部14に記憶されている。
患者情報テーブルT6には、医療情報管理システム200において、複数の連携先医療施設において共有される医療情報に係る患者毎の情報が格納される。患者情報テーブルT6には、「患者UUID」に対して、「患者情報」、「有効期間」、「患者鍵」が対応付けられている(第2記憶手段)。各患者は、医療情報を共有する連携先として設定可能であり、医療情報の公開先の候補となる。
「患者UUID」は、患者を識別するための識別情報である。
「患者情報」は、患者に関する情報であり、患者の氏名、生年月日、性別等を含む。
「有効期間」は、「患者UUID」に対応する「患者鍵」の利用を許可された期間である。
「患者鍵」は、「患者UUID」により特定される患者に対して用意された、各患者に固有の鍵である。
第2の実施の形態では、図3に示す認可情報において、連携データID毎に、各認可種別(画像参照、患者参照、外部出力、暗号化出力)に対して、有効期間、ユーザーID、端末ID、匿名化要否に加え、患者鍵使用可否が対応付けられている(第1記憶手段)。
患者鍵使用可否は、対応する連携データに対して患者鍵を使用可能であるか否かを示す情報である。患者鍵使用可否が「YES」の場合には、連携データがダウンロードされた場合に、患者鍵を使用してコンテンツ鍵を取得することができる。つまり、患者鍵使用可否が「YES」の場合には、認可情報に、公開先として「医療情報(連携データ)に係る患者」が含まれていることになる。第2の実施の形態では、認可情報の患者鍵使用可否が「YES」の場合について説明する。
制御部11は、複数のクライアント端末20のいずれかから医療情報(連携データ)のダウンロード要求があった場合に、当該医療情報がダウンロードされる度にコンテンツ鍵を生成し、当該医療情報を当該生成されたコンテンツ鍵を用いて暗号化して暗号化連携データを生成する。すなわち、制御部11は、第1生成手段として機能する。
制御部11は、コンテンツ鍵により暗号化された医療情報(連携データ)に対応する認可情報を、記憶部14に記憶されている認可情報テーブルT4から取得する。
制御部11は、取得した認可情報に含まれる公開先(医療情報に係る患者)に対応する連携先鍵(患者鍵)、すなわち、コンテンツ鍵により暗号化された医療情報に係る患者に対応する患者鍵を、記憶部14に記憶されている患者情報テーブルT6から取得する。
制御部11は、コンテンツ鍵及びコンテンツ鍵により暗号化された医療情報(連携データ)に対応する認可情報を、患者鍵を用いて暗号化して第2情報としての患者鍵暗号データを生成する。すなわち、制御部11は、第2生成手段として機能する。
制御部11は、通信部13を介して、ダウンロード要求があったクライアント端末20に暗号化連携データ及び患者鍵暗号データを提供する。すなわち、制御部11は、提供手段として機能する。
クライアント端末20は、ICカードC2から情報を取得する。ICカードC2は、各患者が所持するカードであり、各患者に対応する患者証明書V5が記憶されている。患者証明書V5は、「患者UUID」、「患者情報」、「有効期間」、「患者鍵」を含む。
クライアント端末20は、端末証明書V2、連携データ情報V3、鍵情報V4に加え、患者鍵情報V6等の情報を記憶する。患者鍵情報V6は、記憶部28に記憶されている。
患者鍵情報V6は、患者鍵を利用して暗号化連携データを復号するための鍵に関する情報であり、「患者UUID」、「患者鍵暗号データ(患者鍵で暗号化されたコンテンツ鍵・認可情報)」、「有効期間」を含む。
ICカードリーダー・ライター26は、ICカードC2から各種データを読み取り、読み取ったデータを制御部21に出力する。また、ICカードリーダー・ライター26は、ICカードC2に対して各種データを書き込む。
制御部21は、医療情報のアップロード時、操作部24から指定された医療情報(連携データ)を、通信部23を介して管理サーバー10に送信する。この時の処理については、図9に示したアップロードシーケンスと同様であるが、ステップS22において認可情報を設定する際に、さらに、患者鍵使用可否を設定する。
制御部21は、医療情報のダウンロード時、連携データIDと、当該連携データIDと対応付けられている暗号化連携データ(暗号化された連携データ)、暗号データ(端末鍵・ユーザー鍵で暗号化されたコンテンツ鍵・認可情報)の全て、患者鍵暗号データ(患者鍵で暗号化されたコンテンツ鍵・認可情報)を、通信部23を介して管理サーバー10から取得する。
制御部21は、ICカードリーダー・ライター26を制御して、ICカードC2に記憶されている患者鍵(連携先鍵)を取得する。すなわち、制御部21は、第1取得手段として機能する。
制御部21は、管理サーバー10から取得された患者鍵暗号データに対して、クライアント端末20が持っている患者鍵で復号できるか、確かめる。
制御部21は、管理サーバー10から取得された患者鍵暗号データを、ICカードC2から取得された患者鍵を用いて復号してコンテンツ鍵及び認可情報を取得する。すなわち、制御部21は、第2取得手段として機能する。
制御部21は、取得された認可情報に応じた権限の範囲内で、管理サーバー10から取得された暗号化連携データを、取得されたコンテンツ鍵を用いて復号して医療情報(連携データ)を取得する。すなわち、制御部21は、第3取得手段として機能する。
次に、医療情報管理システム200における動作について説明する。以下の処理において、管理サーバー10における処理は、制御部11と記憶部14に記憶されているサーバープログラムP1との協働によるソフトウェア処理によって実現され、クライアント端末20における処理は、制御部21と記憶部28に記憶されているアプリケーションプログラムP2との協働によるソフトウェア処理によって実現される。
<患者登録シーケンス>
図15は、患者登録シーケンスを示すラダーチャートである。患者登録シーケンスは、医療情報管理システム200において、正規の患者であることを登録する際の手順を示している。
まず、クライアント端末20において、ユーザーは、操作部24から患者情報及び有効期間を入力し、制御部21は、入力されたこれらの情報を取得する(ステップS81,S82)。
次に、制御部21は、通信部23を介して管理サーバー10に対して、患者情報及び有効期間を送信し(ステップS83)、患者の登録を要求する。
管理サーバー10では、通信部13を介してクライアント端末20から患者情報及び有効期間を受信すると、制御部11は、登録対象の患者に対して、他の患者と重複しないような患者UUIDを発行する(ステップS84)。
次に、制御部11は、登録対象の患者に対して、患者鍵を発行する(ステップS85)。
次に、制御部11は、患者情報テーブルT6に、ステップS84で発行された患者UUID、ステップS85で発行された患者鍵、クライアント端末20から受信された患者情報及び有効期間を対応付けて保存する(ステップS86)。
次に、制御部11は、通信部13を介してクライアント端末20に、患者UUID及び患者鍵を送信する(ステップS87)。
クライアント端末20において、制御部21は、管理サーバー10から受信された患者UUID及び患者鍵、ステップS81で入力された患者情報、ステップS82で入力された有効期間から患者証明書V5を生成し、ICカードリーダー・ライター26を制御して、ICカードC2に患者証明書V5を書き込ませ、患者証明書V5を登録する(ステップS88)。
以上で、患者登録シーケンスが終了する。
医療情報(連携データ)がアップロードされる際、連携データは、当該連携データに係る患者の患者UUIDと対応付けられて、管理サーバー10の記憶部14に記憶される。
<患者鍵の使用を含むダウンロードシーケンス>
図16及び図17は、患者鍵の使用を含むダウンロードシーケンスを示すラダーチャートである。患者鍵の使用を含むダウンロードシーケンスは、ダウンロードの対象となる医療情報(連携データ)に対応する認可情報において、患者鍵使用可否が「YES」の場合に実行される処理である。患者鍵が使用される状況としては、例えば、患者がICカードC2を持参して医療施設を訪問し、訪問先の医師にICカードC2を提示して、医師がICカードC2をクライアント端末20のICカードリーダー・ライター26にセットした場合等が挙げられる。ここでは、第1の実施の形態と異なる処理を中心に説明する。
ステップS91〜ステップS99の処理は、図10のステップS31〜ステップS39の処理と同様であるため、説明を省略する。
次に、管理サーバー10において、制御部11は、ステップS95で生成されたコンテンツ鍵と、ステップS93で取得された認可情報と、を患者鍵を用いて暗号化し、患者鍵暗号データを生成する(ステップS100)。具体的には、制御部11は、連携データに対応する患者UUIDを取得し、患者情報テーブルT6からこの患者UUIDに対応する患者鍵を取得し、この患者鍵を用いてコンテンツ鍵と認可情報を暗号化する。
なお、患者情報テーブルT6において、患者UUIDに対応する有効期間が期限切れとなっている場合には、当該患者UUIDに対応する患者鍵の使用は不可とする。
次に、図17に移り、制御部11は、通信部13を介してクライアント端末20に、ステップS98で生成された暗号化連携データ、ステップS99で生成された暗号データ、ステップS100で生成された患者鍵暗号データ、連携データに対応する患者UUID及びステップS96で取得された有効期間を連携データIDと対応付けて送信する(ステップS101)。ステップS101では、図11のステップS40の処理に加えて、患者鍵暗号データ、患者UUID及び有効期間が管理サーバー10からクライアント端末20に送信されている。
ステップS102〜ステップS105の処理は、図11のステップS41〜ステップS44の処理と同様であるため、説明を省略する。
次に、クライアント端末20では、制御部21は、管理サーバー10から受信された患者UUID、患者鍵暗号データ(患者鍵で暗号化されたコンテンツ鍵・認可情報)及び有効期間を、患者鍵情報V6として記憶部28に保存する(ステップS106)。
以上で、患者鍵の使用を含むダウンロードシーケンスが終了する。
クライアント端末20において、ダウンロードされた暗号化連携データの参照・出力を行う場合には、制御部21は、処理対象となる連携データ(連携データID)を指定して、管理サーバー10から連携データに対応する患者UUIDを取得し、この患者UUIDに対応する患者鍵暗号データを患者鍵情報V6から取得する。
次に、制御部21は、ICカードリーダー・ライター26を制御して、ICカードC2に記憶されている患者証明書V5から患者鍵を取得し、患者鍵を用いて患者鍵暗号データの復号を試みる。ここで、患者鍵暗号データの復号が成功し、コンテンツ鍵及び認可情報を取得することができた場合には、ユーザー鍵及び端末鍵を用いた暗号データの復号が不要となる。つまり、患者鍵を利用可能な状況であれば、ユーザー鍵や端末鍵を持っていなくても、コンテンツ鍵を取得することができる。患者鍵による患者鍵暗号データの復号ができなかった場合には、第1の実施の形態と同様、ユーザー鍵及び端末鍵を用いて暗号データを復号すればよい。
以上説明したように、第2の実施の形態の医療情報管理システム200によれば、連携データがダウンロードされる度にコンテンツ鍵を生成し、連携データをコンテンツ鍵を用いて暗号化して暗号化連携データを生成し、コンテンツ鍵及び連携データに対応する認可情報を患者鍵を用いて暗号化して患者鍵暗号データを生成し、ダウンロード要求があったクライアント端末20に暗号化連携データ及び患者鍵暗号データを提供するので、連携データの漏洩を防止するとともに、連携データの参照・出力を制限することができる。
例えば、ある患者を担当することになった医師(ユーザー)のもとで、患者証明書V5が登録されたICカードC2を読み取ることで、患者鍵を使用可能となる。
なお、上記各実施の形態における記述は、本発明に係る医療情報管理システムの例であり、これに限定されるものではない。システムを構成する各装置の細部構成及び細部動作に関しても本発明の趣旨を逸脱することのない範囲で適宜変更可能である。
例えば、上記各実施の形態では、医療情報を扱う単位として連携データを用いて説明したが、医療情報を暗号化する際の単位については、特に限定されない。
また、第1の実施の形態では、ユーザー鍵及び端末鍵を用いてコンテンツ鍵及び認可情報を暗号化する場合について説明し、第2の実施の形態では、ユーザー鍵及び端末鍵を用いてコンテンツ鍵及び認可情報を暗号化するとともに、患者鍵を用いてコンテンツ鍵及び認可情報を暗号化する場合について説明したが、使用する鍵(ユーザー鍵、端末鍵、患者鍵)の組み合わせについては任意に選択可能である。
10 管理サーバー
11 制御部
13 通信部
14 記憶部
20 クライアント端末
21 制御部
23 通信部
24 操作部
25 表示部
26 ICカードリーダー・ライター
27 データ書込部
28 記憶部
100 医療情報管理システム
200 医療情報管理システム
M1 メディア
N 通信ネットワーク
P1 サーバープログラム
P2 アプリケーションプログラム
T1 端末情報テーブル
T2 利用者情報テーブル
T3 連携情報テーブル
T4 認可情報テーブル
T5 暗号化履歴テーブル
T6 患者情報テーブル
V1 ユーザー証明書
V2 端末証明書
V3 連携データ情報
V4 鍵情報
V5 患者証明書
V6 患者鍵情報

Claims (5)

  1. 複数の医療施設において生成された医療情報を管理する管理サーバーと、前記複数の医療施設に設置された複数のクライアント端末と、がデータ通信可能に接続された医療情報管理システムであって、
    前記管理サーバーは、
    前記医療情報毎に、公開先を含む認可情報を記憶する第1記憶手段と、
    前記公開先の候補となる前記医療情報を共有する連携先毎に、連携先鍵を記憶する第2記憶手段と、
    前記複数のクライアント端末のいずれかから前記医療情報のダウンロード要求があった場合に、当該医療情報がダウンロードされる度にコンテンツ鍵を生成し、当該医療情報を当該生成されたコンテンツ鍵を用いて暗号化して第1情報を生成する第1生成手段と、
    前記コンテンツ鍵及び当該コンテンツ鍵により暗号化された医療情報に対応する認可情報を、当該認可情報に含まれる公開先に対応する連携先鍵を用いて暗号化して第2情報を生成する第2生成手段と、
    前記ダウンロード要求があったクライアント端末に前記第1情報及び前記第2情報を提供する提供手段と、
    を備え、
    前記複数のクライアント端末のそれぞれは、
    前記連携先鍵を取得する第1取得手段と、
    前記管理サーバーから取得された前記第2情報を、前記第1取得手段により取得された連携先鍵を用いて復号して前記コンテンツ鍵及び前記認可情報を取得する第2取得手段と、
    前記第2取得手段により取得された認可情報に応じた権限の範囲内で、前記管理サーバーから取得された前記第1情報を、前記第2取得手段により取得されたコンテンツ鍵を用いて復号して前記医療情報を取得する第3取得手段と、
    を備える医療情報管理システム。
  2. 前記連携先鍵は、ユーザー毎に用意されたユーザー鍵、前記クライアント端末毎に用意された端末鍵、又は、前記医療情報に係る患者毎に用意された患者鍵である請求項1に記載の医療情報管理システム。
  3. 前記認可情報には、さらに、前記医療情報の有効期間又は認可種別が含まれる請求項1又は2に記載の医療情報管理システム。
  4. 前記複数のクライアント端末のそれぞれは、
    前記第2取得手段により取得された認可情報において暗号化出力が認可されている場合に、前記管理サーバーから取得された前記第1情報及び前記第2情報を記録メディアに書き込む書込手段を備える請求項1から3のいずれか一項に記載の医療情報管理システム。
  5. 複数の医療施設に設置された複数のクライアント端末とデータ通信可能に接続され、前記複数の医療施設において生成された医療情報を管理する管理サーバーであって、
    前記医療情報毎に、公開先を含む認可情報を記憶する第1記憶手段と、
    前記公開先の候補となる前記医療情報を共有する連携先毎に、連携先鍵を記憶する第2記憶手段と、
    前記複数のクライアント端末のいずれかから前記医療情報のダウンロード要求があった場合に、当該医療情報がダウンロードされる度にコンテンツ鍵を生成し、当該医療情報を当該生成されたコンテンツ鍵を用いて暗号化して第1情報を生成する第1生成手段と、
    前記コンテンツ鍵及び当該コンテンツ鍵により暗号化された医療情報に対応する認可情報を、当該認可情報に含まれる公開先に対応する連携先鍵を用いて暗号化して第2情報を生成する第2生成手段と、
    前記ダウンロード要求があったクライアント端末に前記第1情報及び前記第2情報を提供する提供手段と、
    を備える管理サーバー。
JP2015206842A 2015-10-21 2015-10-21 医療情報管理システム及び管理サーバー Active JP6561761B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015206842A JP6561761B2 (ja) 2015-10-21 2015-10-21 医療情報管理システム及び管理サーバー
US15/286,183 US20170116375A1 (en) 2015-10-21 2016-10-05 Medical information management system and management server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015206842A JP6561761B2 (ja) 2015-10-21 2015-10-21 医療情報管理システム及び管理サーバー

Publications (2)

Publication Number Publication Date
JP2017078973A JP2017078973A (ja) 2017-04-27
JP6561761B2 true JP6561761B2 (ja) 2019-08-21

Family

ID=58559098

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015206842A Active JP6561761B2 (ja) 2015-10-21 2015-10-21 医療情報管理システム及び管理サーバー

Country Status (2)

Country Link
US (1) US20170116375A1 (ja)
JP (1) JP6561761B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019036221A (ja) * 2017-08-19 2019-03-07 栗原 智之 医療連携システム
CN110519315A (zh) * 2018-05-21 2019-11-29 陈立新 文件远控系统
TWI690823B (zh) * 2018-05-21 2020-04-11 立新 陳 文件遠控系統
US11437150B2 (en) * 2018-05-31 2022-09-06 Inspire Medical Systems, Inc. System and method for secured sharing of medical data generated by a patient medical device
CN109508556A (zh) * 2018-09-27 2019-03-22 量子云未来(北京)信息科技有限公司 一种应用于医疗行业的文件存储及传输方法及系统
CN109548018B (zh) * 2019-01-11 2021-11-23 腾讯科技(深圳)有限公司 无线网络接入方法、装置、设备及系统
CN109981282A (zh) * 2019-01-28 2019-07-05 平安科技(深圳)有限公司 提高影像数据传输安全的方法、装置、系统及存储介质
US11182086B2 (en) * 2019-07-19 2021-11-23 Cignet Technology, Inc. Method and system for application-based management of user data storage rights

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6226618B1 (en) * 1998-08-13 2001-05-01 International Business Machines Corporation Electronic content delivery system
JP2000293603A (ja) * 1999-04-09 2000-10-20 Hitachi Ltd 地域医療情報システム及び電子患者カード
US20020004727A1 (en) * 2000-07-03 2002-01-10 Knaus William A. Broadband computer-based networked systems for control and management of medical records
JP2002251328A (ja) * 2000-11-02 2002-09-06 Hitachi Ltd コンテンツ蓄積管理方法
JP4634751B2 (ja) * 2004-07-08 2011-02-16 株式会社東芝 記憶媒体処理方法、記憶媒体処理装置及びプログラム
JP4161043B2 (ja) * 2005-01-31 2008-10-08 三洋電機株式会社 コンテンツ利用情報記憶装置
US20090254997A1 (en) * 2005-09-21 2009-10-08 Fathy Fouad Yassa Method and apparatus for content rights management
US20090193267A1 (en) * 2008-01-28 2009-07-30 Chiasen Chung Secure electronic medical record storage on untrusted portal
US20160117448A1 (en) * 2013-06-28 2016-04-28 Koninklijke Philips N.V. System for managing access to medical data
US9467450B2 (en) * 2013-08-21 2016-10-11 Medtronic, Inc. Data driven schema for patient data exchange system

Also Published As

Publication number Publication date
US20170116375A1 (en) 2017-04-27
JP2017078973A (ja) 2017-04-27

Similar Documents

Publication Publication Date Title
JP6561761B2 (ja) 医療情報管理システム及び管理サーバー
US11087021B2 (en) Secure access to individual information
US11144660B2 (en) Secure data sharing
US11531781B2 (en) Encryption scheme for making secure patient data available to authorized parties
US10249386B2 (en) Electronic health records
US20220198419A1 (en) System and method for managing payments for accessing patients' information
US9390228B2 (en) System and method for securely storing and sharing information
US20090193267A1 (en) Secure electronic medical record storage on untrusted portal
EP2329424B1 (en) System and method of encryption for dicom volumes
JP2016529768A (ja) 医療データへのアクセスを管理するシステム
US20170091464A1 (en) Systems and methods for linking medical records with images for distribution
US10893027B2 (en) Secure access to individual information
US11343330B2 (en) Secure access to individual information
EP3219048A1 (en) System and method for securely storing and sharing information
US20180032684A1 (en) Accessing an interoperable medical code
WO2021067141A1 (en) System and method for providing access of a user's health information to third parties
US11361257B2 (en) Method and system for managing diagnostic imaging orders
JP2006113704A (ja) 医用システムのパスワード管理方法及び医用装置用パスワード管理システム
KR102350614B1 (ko) 블록체인 레지스트리를 이용한 건강데이터 교류 시스템 및 방법과 이를 수행하기 위한 프로그램을 기록한 기록매체
KR20220015073A (ko) 유비쿼터스 환경을 이용한 의료 정보 공유 전산시스템 및 방법
Gawlik et al. Requirements for Integrating End-to-End Security into Large-Scale EHR Systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180910

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190531

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190625

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190708

R150 Certificate of patent or registration of utility model

Ref document number: 6561761

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150