第1の態様によれば、分析デバイスへのユーザーアクセスを、分析デバイスに対するユーザーの場所に基づいて制御するためのコンピュータ実装方法が提供される。方法は、
分析デバイスに入力される第1のユーザーのユーザーログオン認証情報を、分析デバイスのログオンプロセスの一部として受信すること、
アクセス制御式施設(access controlled facility)の場所管理システムから、分析デバイスの第1のユーザーの第1の場所認証情報を受信することであって、第1の場所認証情報は、分析デバイスの第1のユーザーの現在の場所を少なくとも部分的に規定する、受信すること、
第1のユーザーの第1の場所認証情報に基づいて、分析デバイスに関連する許可済みユーザーレコード(permitted user record)を更新すること、および、
分析デバイスに入力された受信されたユーザーログオン認証情報が、第1の場所認証情報に基づいて更新された、許可済みユーザーレコードに一致する場合、分析デバイスへのログオンを許可すること
を含む。
これの効果は、特定の分析デバイスへのアクセス制御が改善されることである。特に、許可済みユーザーは、場所管理システムから得られるそのユーザーの場所に基づいて特定の分析デバイスにログオンすることができる。
病院および多くの他のアクセス制御式施設は、アクセスの試みおよびそれらのアクセスの試みを行うユーザーのアイデンティティを中心部(場所管理システム)にレポートするレガシーアクセス制御システムを既に含んでいる。したがって、データ処理エージェントまたはサーバーは、中心部において場所管理システムと統合されて、少量の機器改造によって、アクセス制御式エリアの内部でユーザーの場所に関する情報を得ることができる。本明細書で詳述される手法は、既存のアクセス制御システムにインタフェースして、分析デバイスのシステムへのログオン制御を改善することができる。
本明細書で論じる態様および実施形態による手法は、偶然にまたは故意に失敗させることが難しい。システム分析デバイスの第1のユーザーが、分析デバイスのログオン認証情報を、システムの第2のユーザーと不適切に共有する場合でも、アクセス制御システムから得られる第1および第2のユーザーの場所情報を使用する要件は、ログオン制御手法を失敗させる方法として、ログオン認証情報の共有を実行不可能にする。
それによって、臨床転帰が改善される可能性がある。なぜならば、ユーザーが、それを通じて分析デバイスにログオンすることができる改善された制御が存在するからである。したがって、分析デバイスを操作するユーザーの認定レベルおよび全体的な適切性は、より効率的に制御することができ、例えば、良好な検査結果の品質につながる。
本明細書の技法の仮定は、使用されるログオン認証情報が、所与の分析デバイスにおいてそれらの認証情報を使用する個人を正確に識別する低レベルの確実性が存在する場合があることである。それによって、アクセス制御システムによって得られる、個人の場所にさらに基づく認証ファクター(authentication factor)は、分析デバイスへのユーザーアクセスのより正確な制御を可能にする。
第2の態様によれば、分析デバイスへのユーザーアクセスを、分析デバイスに対するユーザーの場所に基づいて制御するように構成される装置が提供される。装置は、
- 通信インタフェースと、
- 通信インタフェースに結合したプロセッサとを備える。
通信インタフェースは、分析デバイスに入力される第1のユーザーのユーザーログオン認証情報を、分析デバイスのログオンプロセスの一部として受信するように構成される。
通信インタフェースは、アクセス制御式施設の場所管理システムから、分析デバイスの第1のユーザーの第1の場所認証情報を受信するように構成され、第1の場所認証情報は、分析デバイスの第1のユーザーの現在の場所を少なくとも部分的に規定する。
プロセッサは、第1のユーザーの第1の場所認証情報に基づいて、分析デバイスに関連する許可済みユーザーレコードを更新するように構成される。
プロセッサは、分析デバイスに入力されたユーザーログオン認証情報が、第1の場所認証情報に基づいて更新された、許可済みユーザーレコードに一致する場合、分析デバイスへのログオンを許可するように構成される。
第3の態様によれば、分析デバイス管理のために、分析デバイスへのユーザーアクセスを、分析デバイスに対するユーザーの場所に基づいて制御するためのシステムが提供される。システムは、
- 1つまたは複数の分析デバイスと、
- ユーザーが1つまたは複数の分析デバイスの近傍を離れるかまたは近傍に入るときを検出するように構成される場所管理システムと、
- 第1の態様による方法またはその実施形態を、運用中に実施する第2の態様による装置と、
- 1つまたは複数の分析デバイス、場所管理システム、および第2の態様による装置を通信可能に接続するように構成される通信ネットワークと
を備える。
第4の態様によれば、第2の態様による装置を制御するためのコンピュータ可読命令を含むコンピュータプログラム要素が提供され、コンピュータ可読命令は、装置の処理ユニットによって実行されると、第1の態様の方法ステップまたはその実施形態を実施するように構成される。
第5の態様によれば、コンピュータ可読媒体または信号であって、コンピュータ可読媒体または信号上に記憶されたまたはエンコードされた、第4の態様によるコンピュータプログラム要素を有する、コンピュータ可読媒体または信号が提供される。
オプションの実施形態は、読者がここで参照することができ、また、本明細書でさらに論じられる従属請求項において規定される。
特定の用語が、本特許出願において使用されることになり、その用語の形成は、選択された特定の用語によって制限されると解釈されるのではなく、特定の用語の背後の一般的な概念に関連すると解釈されるべきである。
本明細書で使用されるように、用語「備える(comprises)」、「備えている(comprising)」、「含む(includes)」、「含んでいる(including)」、「有する(has)」、「有している(having)」、またはその任意の他の変形は、非網羅的な包含をカバーすることを意図される。
本明細書で論じる技法の態様は方法ステップによるが、提示される幾つかの方法ステップの順序は、必須ではなく、文脈において解釈されるべきである。
用語「患者試料(patient sample)」および「生物学的試料(biological sample)」は、目的の被分析物をおそらくは含むことができる物質(複数可)を指す。患者試料は、血液、唾液、眼内レンズ流体、脳脊髄液、汗、尿、便、精液、母乳、腹水、粘液、滑液、腹腔液、羊水、組織、培養細胞、または同様なものを含む生理液等の任意の生物学的供給源から生じるとすることができる。患者試料は、血液から血漿を調製すること、粘性流体を希釈すること、溶解させること、または同様なことで、使用前に前処理することができる。処理の方法は、濾過、蒸留、濃縮、干渉成分の不活性化、および試薬の添加を含むことができる。患者試料は、供給源から得られると直接使用することができる、または、試料の性質を修正するために、前処理に続いて使用することができる。幾つかの実施形態において、最初に固体または半固体の生物学的物質は、適切な液体媒体を用いてそれを溶解または懸濁させることによって液体にされる。幾つかの実施形態において、試料は、特定の抗原または核酸を含むことが疑われる。
本明細書で使用される用語「分析デバイス(analytical device)」は、患者の症状(medical condition)に関連する測定値を得るための任意の装置を包含する。1つの例において、測定値は、患者試料を得、自動的にまたは半自動的に患者試料を処理するために分析デバイスを使用することによって提供することができる。分析デバイスは、処理される試料内の被分析物の存在を検出することができ、それから、患者の症状の評価を行うことができる。分析デバイスが患者の症状の評価を形成すること-例えば、分析デバイスによって検出される被分析物の要約を、さらなる検討のために医療専門家に提供することができることは必須ではない。別の例において、「分析デバイス」は、患者の症状を示すデジタルデータを得、処理することができる。デジタルデータは、他の分析デバイスからの測定値として、および/または、画像、ビデオ、または音データとして受信することができる。
1つの例において、分析デバイスは、患者の症状に関連する測定値を提供する、患者から得られる生物学的(医学的)試料の分析デバイスであってもよい。例えば、分析デバイスは、測定値を提供するために、光吸収、蛍光、電位、あるいは、反応についての他の物理的または化学的特質を測定することができる。しばしば、そのような患者試料は、分析検査が行われる前に処理される。患者からサンプリングされる血液は、例えば、血清を得るために遠心分離される、または、血漿を得るために抗凝固薬を用いて処理される。
分析デバイスによる分析検査は、例として、患者試料内の被分析物の存在および/または濃度を決定するという目標を有する。用語「被分析物(analyte)」は、それについての存在および/または濃度に関する情報が意図される物質についての一般的な用語である。被分析物の例は、例えば、グルコース、凝固パラメータ、内因性タンパク質(例えば、心筋から放出されるタンパク質)、代謝物質、核酸等である。
患者試料を分析するように構成される分析デバイスによる分析検査は、例として、患者試料内の被分析物の存在および/または濃度を決定するという目標を有する。用語「被分析物」は、それについての存在および/または濃度に関する情報が意図される物質についての一般的な用語である。被分析物の例は、例えば、グルコース、凝固パラメータ、内因性タンパク質(例えば、心筋から放出されるタンパク質)、代謝物質、核酸等である。しかしながら、例えば、カメラセンサによって得られる化学反応のデジタルデータ、または、患者の皮膚の画像を得、処理することは、分析検査の別の例である。
「分析デバイス」が患者の症状に関するデータを得るために必要とされる全てのステップを自動的に実施することは必須ではない。例えば、一部の分析デバイスは、検査を実施する前に、アンプル内の試料内に試薬をピペッティングするまたはスライドを取り付けるようにPOCオペレータ(ユーザー)に要求することができる。他の場合には、「分析デバイス」は、オペレータの介入なしで、試料分析の全てのステップを自動的に実施することができる。他の場合には、「分析デバイス」は、分析のステージにおいて手動で介入するようユーザーに促すことができる。
代替的に、分析デバイスは、患者から測定値を採取するように構成されるセンサを備える手持ち式またはモバイルデバイスである。
「分析デバイス」は、例えば、USB(商標)、WiFi(商標)、またはBluetooth(商標)接続によって、スマートフォン、タブレットPC、スマートウォッチ、または他のコンピューティングデバイスに通信可能に接続することができる携帯装置を備えることができる。そのような携帯装置は、1つのセンサまたはセンサの組み合わせから得られるデータを分析することによって分析検査を実施するように構成することができる。
測定値は、例えば、スマートフォンのセンサから収集されるデータを含むことができる。ほんの一例であるが、測定値は、患者の震えの程度を特徴付けるスマートフォン加速度計によって得られるデータであってもよい。測定値は、スマートフォンカメラを使用して得られる皮膚病変(dermatological condition)の写真であってもよい。測定値は、スマートフォンのマイクロフォンを使用して得られる音記録であってもよい。測定値は、例えば、患者の歩き方(gait)を評価するためにスマートフォンを使用して得られるビデオであってもよい。こうして、スマートフォン、タブレットPC、または他のコンピューティングデバイスの標準的な特徴部は、分析デバイスの機能を実施することができる。スマートフォンまたは他のコンピューティングデバイス上で実行されるアプリケーションは、そのようなデータを得、それをデータ処理エージェントに通信することが可能である。測定値のより広い一揃いは、スマートフォンに通信可能に結合されたエクステンションデバイスによって得ることができる。例えば、エクステンションデバイスはデジタル温度計を備えることができる。
本明細書で使用される用語「患者健康パラメータ(patient health parameter)」は、1つまたは複数の被分析物についての患者試料の分析によって、または、1つのセンサまたはセンサの組み合わせから得られるデータの分析によって、測定可能なまたは指示される患者の生理の任意の局面を包含する。
「分析デバイス」は、患者の病室の近傍で使用可能であるように構成することができ、その場合、「分析デバイス」は、しばしば、「ポイントオブケア(POC:Point of Care)デバイス」と呼ばれる。しかしながら、本明細書で論じる技法は、POCデバイスに限定されず、メッセージデータを生成する多くのタイプの実験室分析システムに適用することができる。
本明細書で使用される用語「ポイントオブケア」POCまたは「ポイントオブケア環境」は、限定はしないが、病院、救急部門、集中治療室、プライマリーケア設定、医療センター、患者家庭、医師のオフィス、薬局、または緊急サイトを含む、医療検査および/または処置等の医学的なまたは医学的に関連するサービスが提供される患者ケアのサイト上のまたはその近くの場所を意味するように規定される。
ベッドサイド検査またはポイントオブケア検査の分野において、検査は、典型的には、本明細書でひとまとめに「オペレータ(operator)」と呼ばれる、看護師、医療ユーザー、または医師によって実施される。しかしながら、要求される認定を所有する誰もがオペレータであってもよい。ポイントオブケア調整者POCC(:point of care coordinator)は、同時に、POC分析器(複数可)のオペレータであるとすることができ、同様に、POC分析器(複数可)のオペレータは、同時に、ポイントオブケア調整者POCC、したがって、携帯コンピューティングデバイス(複数可)のユーザーであってもよい。
本明細書で使用される用語「ポイントオブケア検査」POCT(:point of care testing)は、患者の症状に関する情報を得るために、上記で規定した分析デバイスによって提供されるデータの1つまたは複数のアイテムの分析を包含する。POCTは、しばしば、輸送可能な、携帯型の、および手持ち式の計器の使用を通して達成されるが、スモールベンチ分析器(small bench analyser)または固定機器を、手持ち式デバイスが利用可能でないときに使用することもできる-目標は、患者の場所においてまたはその(比較的)近くで(比較的)短期間で、患者試料を収集し、分析データを得ることである。
或る例において、POCTは、(限定はしないが)グルコース、凝固、血液ガス、尿検査、心臓、および分子検査用の分析器等の種々の分析デバイス(POC分析器)を使用して実施される。結果は、POC分析器(複数可)上で直接観察すること、または、POCTシステムに送信し、実験室情報システムにおいて中央実験室結果と共にまたは病院情報システムにおいて撮像結果と並べて表示することができる。
したがって、分析デバイスは、ポイントオブケア環境で使用されて、(限定はしないが)血糖検査、凝固検査、血液ガスおよび電解液分析、尿検査、心臓マーカー分析、ヘモグロビン診断、感染症検査、コレステロールスクリーニング、または核酸検査(NAT:nucleic acid testing)等の検査を実施することができる。結果は、ポイントオブケア分析器(複数可)上で直接観察することができる、または、結果を、ポイントオブケア検査システムに送信し、実験室情報システムにおいて中央実験室結果と共にまたは病院情報システムにおいて撮像結果と並べて表示することができる。用語「患者健康パラメータ」は、任意選択で、患者の生理の任意の局面に関する情報を提供する画像またはビデオ等のデジタルデータを包含することができる。
或る例において、POCTは、患者の皮膚の一部分の写真、歩いている患者のビデオ、または、音を鳴らす患者の音サンプル等のデジタルデータを得ることによって実施される。
或る例において、POCTは、1つの場所から別の場所に容易に移動することができる任意の電子装置を包含する「携帯コンピューティングデバイス(portable computing device)」、特に、限定はしないが、セルラー電話、衛星電話、ページャー、携帯情報端末(「PDA」)、スマートフォン、ナビゲーションデバイス、スマートブックまたはリーダー、上記デバイスの組み合わせ、タブレットコンピュータ、またはラップトップコンピュータを含む、任意の手持ち式電池駆動式モバイル装置を使用して実施される。
本明細書で使用される用語「ポイントオブケアデバイス管理システム」(POC-DMS:point of care device management system)は、POC調整者がPOCデバイスを管理することを可能にするために、または、保守要員が機器をモニターすることを可能にするために、コンピュータネットワークを介して1つまたは複数のPOCデバイスと通信し、それを管理するように構成されるデータプロセッサを示す。任意選択で、POC-DMSは、POCデバイスが接続される同じネットワークに接続された端末コンピュータである。任意選択で、POC-DMSは、サーバー、バーチャルマシン、または、POCデバイスが接続されるネットワークに遠隔でホストされる仮想化サーバーとして提供することができる。POCデバイス(分析デバイス)が、例えば、POC-DMSとして、同じサブネットまたはネットワークブランチに接続されることは必須ではない。
本明細書で使用される用語「通信ネットワーク(communication network)」は、限定はしないが、WIFI、GMS、UMTS、または他の無線デジタルネットワーク、あるいは、イーサネットまたは同様なもの等の有線ネットワークを含む、任意のタイプの有線または無線ネットワークを包含する。例えば、通信ネットワークは、有線および無線ネットワークの組み合わせを含むことができる。分析デバイス状態データは、通信ネットワークを通じて送信することができる。
用語「サーバー(server)」は、要求を受け付け、相応して応答を与えることが可能な、物理的なまたはバーチャルのプロセッサを有する任意の物理的マシンまたはバーチャルマシンを包含する。マシンという用語が、物理的ハードウェアそれ自身、または、JAVAバーチャルマシン(JVM:JAVA Virtual Machine)等のバーチャルマシン、またはさらに、別個のバーチャルマシンであって、同じ物理的マシン上で異なるオペレーティングシステムを実行し、そのマシンのコンピューティング資源を共有する、別個のバーチャルマシンを指すことができることは、コンピュータプログラミングの当業者にとって明らかであろう。サーバーは、個々にしばしば「サーバー(the server)」とも呼ばれる専用コンピュータを含む任意のコンピュータ、または、バーチャルサーバー等の共有資源上で実行することができる。多くの場合、コンピュータは、幾つかのサービスを提供し、実行中の幾つかのサーバーを有することができる。したがって、用語、サーバーは、1つまたは複数のクライアントプロセスに対して資源を共有する任意のコンピュータ化デバイスを包含するであろう。サーバーは、分析デバイス状態データを受信し、処理し、送信することができる。
用語「サーバーインタフェース(server interface)」は、外部エンティティ(サーバーまたは別のインタフェース等)との通信を可能にするプログラム論理を実行するように動作可能な、任意のハードウェアベースの、ファームウェアベースの、および/またはソフトウェアベースのモジュールを包含する。
用語「データ処理エージェント(data processing agent)」は、サーバー等の1つまたは複数のコンピューティングデバイス上で実行されるコンピュータ実装ソフトウェアモジュールを指し、コンピュータ実装ソフトウェアモジュールは、ポイントオブケアデバイスから分析デバイス状態データを、また、ユーザーからアノテーションデータを受信し、分析デバイス状態データおよびアノテーションデータを関連付けることができる。「データ処理エージェント」は、単一サーバー、または、複数サーバー、および/または、AmazonAWS(商標)またはMicrosoft Azure(商標)等のインターネットベース「クラウド(cloud)」処理サービス上に実装することができる。「データ処理エージェント」またはその一部分は、バーチャルマシン上でホストすることができる。データ処理エージェントは、分析デバイス状態データを送信する、処理する、および/または送信することができる。
用語「ユーザーインタフェース(user interface)」は、限定はしないが、ユーザーからのコマンドを入力として受信するための、また同様に、ユーザーに対してフィードバックを提供し、情報を伝達するためのグラフィカルユーザーインタフェースを含む、ユーザーとマシンとの間の相互作用のためのソフトウェアおよび/またはハードウェアの任意の適切なピースを包含する。同様に、システムおよびデバイスは、異なる種類のユーザーにサーブするために幾つかのインタフェースを公開することができる。ユーザーインタフェースは、分析デバイス状態データを示すグラフィカル要素を表示することができる。
許可済みユーザーレコードは、どのユーザーが所与の分析デバイスにログオンすることを許可されるかを規定するテーブル、データベース、またはデータ構造である。例えば、各分析デバイスについて1つの許可済みユーザーレコードが存在する。或る実施形態において、各分析デバイスについての許可済みユーザーレコードは、許可済みユーザーレコードが参照する分析デバイス上に記憶することができる。或る実施形態において、1つまたは複数の分析デバイスに関する許可済みユーザーレコードの全てまたはサブセットは、サーバーまたはデータ処理エージェント上に記憶することができる。或る実施形態において、許可済みユーザーレコードは、サーバーまたはデータ処理エージェント上に記憶されるだけである。
したがって、病院内でのユーザーの場所に基づいて分析デバイスに対するユーザーのアクセス権を決定するシステムが提案される。任意選択で、アクセス権はまた、ユーザーの認定状態に基づく。病院内でのユーザーの場所は、例えば、ドアおよびゲートアクセス制御システムの助けを借りかつそれと統合して、近似される。例えば、ユーザーが、所与の分析デバイスのアクセス制御ゾーン(エリア)にいるときにのみ、ユーザー名を有するユーザーリストが、分析デバイスへのアクセスを許可するために生成されることになる。ユーザーがアクセス制御ゾーンを離れると、ユーザー認証情報を有するアクセス権は、即座に無効にされる。
本明細書は、データ処理エージェント(例えば、サーバーまたはコンピュートクラウド(compute cloud)上で実行される)と、幾つかのデータベース、および、ゲートまたは他のアクセスシステム(バッジベース(badge-base)アクセスシステム等)との統合を論じる。データ処理エージェントは、ユーザーの認定状態に関する情報にアクセスすることができる。この統合を通して、分析デバイスが位置する病院のアクセス制御ゾーンに1人のユーザーが入ると、ユーザーの名前は、データ管理システムによって生成されるユーザーリストに含まれることになる。任意選択で、ユーザーの認定状態は、ユーザーがユーザーリストに入るか否かを規定することもできる。
「好ましくは(preferably)」、「一般に(commonly)」、および「典型的には(typically)」のような用語が、特許請求される実施形態の範囲を制限するために、または、特許請求される実施形態の構造または機能にとって極めて重要な、必須の、またはさらに重要であることを示唆するために、本明細書で利用されないことが留意される。むしろ、これらの用語は、本開示の特定の実施形態において利用することができるかまたは利用することができない代替のまたは付加的な特徴を強調することを意図されるだけである。
図は、正確な縮尺率で描かれておらず、単に例証として提供され、よりよい理解のためにのみ役立つが、本発明の範囲を規定するためには役立たない。任意の特徴のいずれの制限も、これらの図から推測されるべきではない。
広い範囲の異なるタイプのポイントオブケア(POC)分析器(分析デバイスとしても知られる)が、病院等のヘルスケア施設内に設けられる。血液ガス分析器は、血液ガス内容物の定期的な評価を実施するために病室の近くに設けることができ、一方、より複雑な分析デバイスは、より稀なまたはより複雑な検査プロトコルを実施するために、実験室または病理施設内に設けられる。
特定の分析デバイスへのユーザーのアクセスを制御することが重要である。特に、ユーザーが、訓練されており、所与の分析デバイスを操作することを認定されていることを保証することが重要である。さらに、追跡可能性および品質管理要件を満たすために、ユーザーのログオン認証情報、例えば、ユーザー名が、所与の分析デバイス上で検査を実施するユーザーの正しいアイデンティティに対応することを保証することが重要である。
ユーザーは、分析デバイスに対する自分のログオン認証情報を忘れる場合があり、精神的圧力がかかった環境(pressured environment)で、同僚のログオン認証情報を借りることを頼む場合がある。これは、分析デバイスに迅速にログオンすることを必要とする問題に対する解決策であるが、そのような挙動は、実施される検査の追跡可能性および品質管理要件を満たすという重要なニーズをくじく。所与のユーザーが、所与の分析デバイスにログオンするとき、自分自身の一意のログオン認証情報を使用することが好ましい。
本明細書で論じる解決策の態様は、病院内でのアクセス制御システムの幅広い装備を利用する。病院はアクセス制御式施設の例である。病院の異なるエリア間で個人のアクセスを制御するニーズが既に存在しており、このニーズは、例えば、ドアアクセス制御システムを用いて処理されている。病院のドア、リフト、またはアクセスゲートウェイを通して病院のエリアにアクセスするために、ユーザーは、セキュリティ課題を満たさなければならない。異なるユーザーは、例えば、異なるセキュリティクリアランス(security clearance)を有することができる。
本明細書の技法は、病院における用途に限定されず、産業研究所、軍事施設、大学実験室、および同様なもの等の、アクセス制御式システムの状況で、分析デバイスへのアクセス制御が必要とされる他の状況に適用することができる。或る実施形態によれば、技法は、パーソナルコンピュータまたは他のデータ端末等の、ログオンを必要とする汎用デバイスへのログオンを制御するためのものである。
セキュリティ課題を、スワイプカードシステム、PINエントリーシステム、近距離無線通信(NFC:near field communication)システム、ウィーガンド(wiegand)カードアクセスシステム、顔認識システム、バーコードまたはQRコードスキャンシステム、および多くの他のオプションから、アクセスポイントで提供することができる。ユーザーが、アクセスを得るためにセキュリティ課題を達成する(または、場合によっては達成されない)とき、場所管理システムは、そのユーザーの場所の更新を提供される。場所管理システムは、典型的には、制御システムと電子通信状態にある。
例において、分析デバイスの使用は、以下の場合の1つまたは複数を防止するように制限される必要がある場合がある。以下の場合とは、(A)ユーザーが、別のユーザーの認証情報を使用して、自分がログオンすることを認定されている分析デバイスにログオンすることを防止すること、(B)ユーザーが、別のユーザーの認証情報を使用して、自分がログオンすることを認定されていない分析デバイスにログオンすることを防止すること、(C)認定証の期限満了によってユーザーが、自分がログオンすることを認定されていない分析デバイスにログオンすることを防止すること、(D)ユーザー(認定済みであっても、そうでなくても)が、新しい場所に分析デバイスを移し、分析デバイスが移された場所でデバイスにログオンすることを防止すること、(E)ユーザーが、自分自身の認証情報および認定を使用して分析デバイスにログオンするが、その後、分析デバイスが位置するエリアを離れ、第2のユーザーが(偶然であっても、第1のユーザーと知った上であっても)、第1のユーザーによって確立されたログオンセッションを使用し続けることを可能にすること防止することである。
したがって、ユーザーの場所情報を、場所データの使用に関する関連する適用可能なデータプライバシー規格が満たされていると仮定すると、場所管理システムが検出し、問い掛け、他の目的のために使用することができる。
図1は、分析デバイス管理のためのネットワーク化システム10を概略的に示す。分析デバイス管理のためのネットワーク化システム10は第1のネットワーク10Aを備える。第1のネットワーク10Aは、分析デバイスP1A~P7Aを収容する場所18Aに対応する1つまたは複数のローカルエリアネットワーク(LAN)またはワイドエリアネットワーク(WAN)に分割することができる。ネットワーク化システム10の第1のネットワーク10A内の分析デバイスの数は、本明細書で論じるシステムが機能することにとって必須ではない。
システムは、1つまたは複数の分析デバイスP1A~P7A、任意選択で携帯コンピューティングデバイス25A(スマートフォン等)、および通信ネットワーク16によって通信可能に接続されたサーバー40Aを備える。
サーバー40Aは、例において、第1の態様によるデータ処理エージェント70をホストすることができる。他の例において、データ処理エージェント70は、複数のサーバーおよびコンピューティングデバイスにわたって分配されたクラウドコンピューティングサービスがホストすることができる。特に、通信ネットワーク21は、1つまたは複数の分析デバイスP1A~P7Aを通信可能に結合するように構成される。
例えば、通信ネットワーク21は、例えば、イーサネットネットワーク、WiFiネットワークを通じて提供されるローカルエリアネットワークLAN、および/または、インターネット等のワイドエリアネットワークWANのうちの一方または両方を備えることができる。通信ネットワークは、3G、4G、または5Gシステム、および/または病院PACSネットワーク等の、移動体通信(Mobile Telecommunications)ネットワーク27を備えることができる。
任意選択で、ネットワーク16Aは、サーバー40Aを、分析デバイス(POCデバイス)P1A~P7Aに直接接続することができる。
任意選択で、ネットワーク21は、ヘルスケア施設(病院)18Aの内部通信システム22Aにインタフェースする。内部通信システム22Aは、例えば、イントラネットであると考えることができる。セキュリティおよび機密性を保証するために、当業者に知られているファイアウォールおよび他のセキュリティ対策を、内部通信システム22Aと通信ネットワーク21との間に設置することができる。分析デバイスP1A~P7Aは、例えば、内部通信システム22Aおよび通信ネットワーク16Aを介して通信することによって、サーバー40上でホストされるデータ処理エージェント70と通信することができる。
分析デバイスP1A~P7Aは、1つまたは複数の患者健康パラメータを測定するために、1つまたは複数の患者試料を分析するように、設けられ構成される。開示される実施形態によれば、分析デバイスP1A~P7Aは、輸送可能な、携帯型の、および手持ち式の計器を含むことができるが、同様に、スモールベンチ分析デバイスまたは固定機器14も含むことができる。
簡潔に図4を参照すると、分析デバイスP1A~P3Aは、病院18Aの1階に位置する。示すように、分析デバイスP1A~P3Aは、病理検査実験室T1~T3内に設けることができる。分析デバイスP4A~P7Aは、病院18Aの2階にそれぞれ位置する、病室W1~W4内に設けることができる。
特定の分析デバイスP1A~P7Aを識別するために、各分析デバイスは、特に、バーコード等の識別子タグおよび/またはRFIDタグの形態の分析デバイス識別子コードまたはシリアル番号を備える。任意選択で、そのような識別子は、分析デバイス管理のためのシステムのデータベースへのエントリーに関連付けることができる。
分析デバイス管理のためのネットワーク化システム10Aは、例えば、サーバー40A上でホストされるポイントオブケアデータ管理システム(POC-DMS)をさらに備える。POC-DMSの目的は、規定されたエリアまたはネットワークブランチ内の1つまたは複数の分析デバイスP1A~P7Aをモニターし制御することである。例えば、POC運営者(administrator personnel)は、分析デバイスP1A~P7Aの1つまたは複数の状況を追跡するために、消耗品使用をモニターするために、および多種多様な他の管理活動をモニターするためにサーバー40A上でホストされるPOC-DMSを使用することができる。
分析デバイス管理のためのネットワーク化システム10Aはまた、図1に示すさらなるネットワーク10Bを備える。さらなるネットワーク10Bは、第1のネットワーク10Bと比較して、異なる病院サイトでまたは異なる国でまたは異なる病院部門で運用される分析デバイスのネットワークを示す。ネットワーク10Aに関して上記で提供される個々のコンポーネントの説明はまた、簡潔にするために、さらなるネットワーク10Aの示すコンポーネントに適用される。さらなるネットワーク10Bが、示したアーキテクチャと著しく異なるアーキテクチャを有することができることを当業者は認識するであろう。ネットワーク化システムは、例えば、遠隔システム管理または結果モニタリングを可能にするために遠隔ワークステーション23を備えることができる。
分析デバイス管理のためのネットワーク化システム10Aは、点線8で示すアクセス制御式場所内に設置される。さらに、場所管理システム68は、例えば、ユーザーがいつ、アクセス制御式ドアを通過するか、または、アクセス制御式リフトまたはセキュリティバリアを使用するかに関する情報を含む、ユーザーおよび分析デバイスの場所情報が得られることを可能にするために、ネットワーク10Aに通信可能に結合される。
図2は、分析デバイス20(ポイントオブケア(POC)デバイス)の例を概略的に示す。
分析デバイス20の例は、分析デバイス20に電力を提供するように構成される電源22を備える。電源22は、例えば、分析デバイス20が携帯型であることを可能にするリチウムイオン電池または主電源であってもよい。電源22は、分析デバイス20の他の要素に電気エネルギーを提供する。他の要素は、例えば、センサデバイス24、電気機械サブアセンブリ26、標本処理セクション28、および分析ユニット30を備える。制御および通信サブシステム32は、上記で挙げたモジュールにインタフェースする。通信リンク34は、分析デバイス20への/からのデータ転送を可能にする。
センサデバイス24は、例えば、流体試料を通る光学伝達特性を測定するための光度計を備えることができるが、多くの他のタイプのセンサを、分析デバイス20の用途に応じて使用することができる。
電気機械サブアセンブリ26は、試料アンプルまたはカセットを収納し、それらがセンサデバイス24によって分析されるように、それらを標本処理セクション28内にロードするように構成される。分析に続いて、電気機械サブアセンブリ26は、試料アンプルまたはカセットを吐出することができる。
標本処理セクション28は、撹拌または要求される分析温度までの試料の加熱等の事前分析機能を実施することができる。
分析ユニット30は、標本処理セクション28内に含まれる標本の特徴付けを含むデータをセンサデバイス24から受信することができる。分析ユニット30は、センサデバイス24からのデータに対して1つまたは複数のデータ処理操作を実施することができる。例えば、分析ユニット30は、センサデバイス24からの結果が予想境界(expected boundary)内にあることを保証することができる。
分析に続いて、分析ユニット30は、データを、通信および制御ユニット32を介してセンサデバイス24から、通信ネットワーク21を介して分析デバイス管理のためにシステムに、最終的には、例えばサーバー上でホストされるデータ処理エージェント70に送信することができる。
分析デバイス20の上記説明が、例証のために提供されること、および、実際の分析デバイスがより少数のまたはより多数のモジュールおよび機能を備えることができることを当業者は認識するであろう。特に、電気機械サブアセンブリ、センサデバイス24、および標本処理セクション28は必須ではない。特に、分析デバイス20は、カメラまたはマイクロフォン等のセンサを備えることができ、分析ユニットは、例えば、画像、ビデオ、または音データを受信することができる。或る例において、分析デバイス20は、例えば、カメラまたはマイクロフォンからデータを受信し、医療関連適応(medically relevant indication)のためにデータを分析するように構成される。
或る実施形態において、制御および通信サブシステム32は、許可済みユーザーエンジン82(PUE:Permitted User Engine)および/または許可済みユーザーデータベース(PUDB:permitted user database)をホストするように構成される。PUE82およびPUDBの構成は引き続き論じられる。簡潔に言えば、分析デバイスP1A~P7Aへのユーザーアクセスが、PUE82および/またはPUDBは、分析デバイスに対するユーザーの場所に基づいて制御されることを可能にする。PUE82および/またはPUDBの機能は、サーバー40上で実行されるデータ処理エージェント70によって実施することができるが、分析デバイス上でのログオンレイテンシー(latency)を最小にするために、分析デバイス20上でPUE82および/またはPUDBの機能を実施することが好ましいとすることができる。
或る実施形態において、分析デバイス20の制御および通信サブシステム32は、例えば、認定データベース60、ユーザーデータベース62、分析デバイスデータベース64、建物情報管理データベース66、および場所管理システム68と通信可能に結合される。分析デバイスP1A~P7A上で実行されるデータ処理エージェントは、1つまたは複数のデータベースに直接インタフェースすることができ、データ処理エージェント70を実装するために別個のサーバー40を必要としないとすることができる。
図3は、データ処理エージェントをホストするように構成されるサーバー40(装置)の例を概略的に示す。
この例において、サーバー40は、ランダムアクセスメモリ44、読み出し専用メモリ46、プロセッサ47、入力/出力インタフェース48、データ記憶インタフェース50(不揮発性メモリ41に対するインタフェース等)、ディスプレイインタフェース52、および通信インタフェース54を備えるマザーボード42を備える、しかしながら、多くの異なるタイプのサーバー構成が、他の機能を有するより多数のまたはより少数のモジュールを備えることができることを当業者は認識するであろう。
サーバー40のプロセッサ47は、(例えば)インタフェースされた不揮発性メモリ41から、コンピュータ可読命令を得るように構成され、コンピュータ可読命令は、実行されると、第1の態様によるコンピュータ実装方法またはその実施形態によって規定されるように、分析デバイスへのユーザーアクセスを、分析デバイスに対するユーザーの場所に基づいて制御するためのデータ処理エージェントをインスタンス化する。
データ処理エージェント70は、例えば、ランダムアクセスメモリ44または読み出し専用メモリ46、入力/出力インタフェース48またはデータ記憶インタフェース50から得られるマシン可読命令から、サーバー40上でインスタンス化される。
任意選択で、データ処理エージェント70をホストするサーバー40は、分析デバイスP1A~P7Aの場所および/または少なくとも1人のユーザーの場所を、ローカルディスプレイドライバー56を介して、または、推測した状況を、スマートフォン25A等のさらなるデバイスに通信することによって、ローカルディスプレイ上でユーザーに表示するように構成される。
或る実施形態において、サーバー40(およびサーバー40上で実行されるデータ処理エージェント70)は、通信インタフェース54を介して、例えば、認定データベース60、ユーザーデータベース62、分析デバイスデータベース64、建物情報管理データベース66、および場所管理システム68と通信可能に結合される。或る実施形態において、サーバー40(およびサーバー40上で実行されるデータ処理エージェント70)は、複数の分析デバイスP1A~P7Aと通信可能に結合される。
サーバーが、単一計算デバイスとして設けられることは必須ではない。例えば、或る実施形態において、データ処理エージェント70の機能は、複数のサーバー、および/または、例えば、Microsoft Azure(商標)またはAmazon cloud(商標)等のクラウドコンピューティングサービスの間で共有することができる。
図4は、2つのフロアを有する病院18Aのフロアプランを概略的に示す。病院のフロアプランが例として提供されること、および、多くの他の病院設計が、本明細書で論じる技法に応じて使用される可能性があることが認識されるであろう。
病院の1階は、廊下H1および3つの病理施設T1~T3を備える。T3は分析デバイスP3Aを備え、アクセスポイントD1,4によってアクセス可能である。病理施設T1は分析デバイスP1Aを備え、アクセスポイントD1,2によってアクセス可能である。病理施設T2は分析デバイスP2Aを備え、病理施設T1およびアクセスポイントD1,3によってアクセス可能である。病院の1階はまた、2階へのリフトLおよび階段Sを備える。リフトは、アクセスポイントD1,5によってアクセス可能である。階段は、アクセスポイントD1,6によってアクセス可能である。アクセスポイントのうちの少なくとも1つのアクセスポイントは、アクセス制御デバイスを備えることができる。
例えば、アクセス制御システムは、スワイプまたはRFIDカードアクセスシステム、光彩スキャンシステム、QRまたはバーコードベースアクセスシステム、ウィーガンドアクセスシステム、PINアクセスシステム、フォトIDシステム、エレベータ制御システム、および/または無線ネットワーク追跡システム等のアクセス制御デバイスを提供することができる。
病院の上方フロアは、階段から、アクセスポイントD2,6を介してまたはリフトD2,5を介して、上方廊下H2に入場される。上方廊下H2から、4つの患者病室W1~W4に、それぞれのアクセスポイントD2,1~D2,4を介してアクセスすることができる。それぞれの各患者病室W1~W4は分析デバイスP4A~P7Aを含む。
場所管理システム68は、アクセスポイントのうちの少なくとも1つのアクセスポイントに、そして好ましくは、アクセスポイントの全ておよび他の場所追跡手段に通信可能に結合される。場所管理システム68は、アクセスポイントを通過することを目標とする個人の少なくとも識別子を含む信号を受信するように構成される。個人がアクセスポイントを通ることを許可されるか否かは、場所管理システム68によってホストされるローカルアクセス制御ポリシーによって規定される。個人が、アクセスポイントに識別子を提示し、そのアクセスポイントの通過を否認される場合でも、場所管理システム68は、そのような試みのログをとることができる。
或る実施形態において、識別子がアクセスポイントに提示される時間のログをとることができる。それによって、場所管理システム68は、所与の時間に病院内に存在する、場所管理システム68に登録された要員の詳細な概要を構築することができ、また、登録されたユーザーの存在を、それらのユーザーが自分の識別子を提示する先のアクセスポイント、また任意選択で、それらのユーザーが場所間を移動するのにかかる平均時間に基づいて特定することができる。
第1の態様によれば、分析デバイスP3Aへのユーザーアクセスを、分析デバイスに対するユーザーの場所に基づいて制御するためのコンピュータ実装方法が提供される。方法は、
分析デバイスP3Aに入力される第1のユーザーのユーザーログオン認証情報を、分析デバイスP3Aのログオンプロセスの一部として受信する72こと、
アクセス制御式施設8の場所管理システム68から、分析デバイスP3Aの第1のユーザーの第1の場所認証情報LTEを受信する74ことであって、第1の場所認証情報LTEは、分析デバイスの第1のユーザーの現在の場所を少なくとも部分的に規定する、受信する74こと、
第1のユーザーの第1の場所認証情報LTEに基づいて、分析デバイスP3Aに関連する許可済みユーザーレコードPUDBを更新する76こと、および、
分析デバイスP3Aに入力された受信されたユーザーログオン認証情報が、許可済みユーザーレコードPUDBに一致する場合、分析デバイスへのログオンを許可する78こと
を含む。
典型的には、ユーザーログオン認証情報は、分析デバイス製造業者の占有標準(proprietary standard)によって義務付けられる英数字列等のユーザー名であるが、個人の一意の識別を可能にする任意の他の形式を使用することができる。
ログオン認証情報は、キーパッド、グラフィカルユーザーインタフェース、および同様なものを使用して分析デバイスP3Aに入力することができる。有利には、ログオン認証情報を、物理的接触なしで分析デバイスに転送することができる場合、感染管理(infection control)を改善することができ、したがって、ユーザーログオン認証情報は、NFCプロトコル、RFIDプロトコル、QRコードまたはバーコード、および同様なものを使用して送信することができる。任意選択で、ログオン認証情報は、分析デバイスP3Aに近接するコンピュータデバイスに入力することができる。ログオン認証情報の機能は、分析デバイスP3Aの1人のユーザーを一意に識別することである。
通常、ログオン認証情報は、2つの部分に分割される-例えば、英数字列の形態のユーザー名が入力される。分析デバイスP3Aは、秘密のパスワードを入力するようにユーザーに要求することができる。パスワードは、パスワードポリシーに従って生成することができる。さらに、パスワードを保持し保護することを担当するシステムを、業界標準(industry standard)パスワード保護手法に従って提供することができる。任意選択で、ログオン認証情報は、2要素認証プロセス(two-factor authentication process)を介して得ることができる。
或る実施形態において、ログインプロセスおよびパスワードチェックは、パスワードハッシュ化手法(password hashing approach)を使用するため、ユーザーデータベース62は、全パスワードではなく、ユーザーパスワードの暗号学的にハッシュされたバージョンを記憶する。提示を容易にするため、また、暗号学的ハッシュ化が本明細書の焦点でないため、パスワードハッシュ化は、本明細書で示されないまたは述べられない、しかしながら、パスワードハッシュ化を、本明細書の技法に従って使用することができることを当業者は認識するであろう。
用語「場所認証情報(location credential)」(または場所認証情報データ)は、1人または複数人のユーザーの現在の場所に関する事前情報もまた、ユーザーログオン認証情報に加えて、分析デバイスP3Aを使用するための、許可または不許可におけるファクターであることを規定する。場所認証情報は多くの異なる形式であってもよい。場所認証情報についての最低基準は、分析デバイスの有効なユーザーが、分析デバイスそれ自身(例えば、P3A)と同じアクセス制御ゾーン(例えば、T3)内にあるときを検証することが可能であるべきであることである。アクセス制御ゾーンは、アクセス制御ゾーンに入る/から出るアクセス制御ドアD1,4を有する部屋であってもよい。
場所認証情報が、ユーザーの場所を、所与の数値のメートルまたはグリッド参照(grid reference)および同様なものに対して識別することは必須ではない。さらに、場所認証情報が有効なユーザーを特定の部屋に対して識別することは必須ではない。例えば、セキュリティは、例えば、病院のアクセス制御ゾーン(部屋)の所与のサブセット内にユーザーがいないことを、場所認証情報が規定することができる場合、高めることができる。
任意選択で、「場所認証情報」は、アクセス制御式施設8の少なくとも1つのアクセス制御ゾーンT3内の少なくとも1人のユーザーの場所である。任意選択で、「場所認証情報」は、アクセス制御式施設のアクセス制御ゾーンのセットから選択された、アクセス制御ゾーンのサブセット内の少なくとも1人のユーザーの場所である。
任意選択で、アクセス制御ゾーンのネットワークは、有向グラフ表現(directed graph representation)を使用してモデル化することができ、グラフのエッジはアクセス制御ドアを示し、グラフの頂点は、少なくとも1つの分析デバイスを備えるアクセス制御ゾーン(部屋)を示す。しかしながら、有向グラフ表現が、分析デバイスのアクセシビリティをモデル化するために使用されることは必須ではなく、同様の機能を、例えば、標準的なデータベースにおいてモデル化することができる。しかしながら、建物情報モデルから任意選択でコンパイルされた、アクセル制御スキームの有向グラフ表現は、例えば、大きいアクセス制御ネットワークを探索するときに、計算レイテンシーの低減を可能にすることができる。
許可済みユーザーレコードPUDBを更新する76ことは、分析デバイスP3Aを使用することを許可されるユーザーの一意の識別子を含むデータベース(テーブル)を除去することまたは付加することを含む。任意選択で、データベースPUDBは、分析デバイスP3Aから地理的に遠隔である場合があるサーバー40上でホストされるデータ処理エージェント70によってホストされる。これは、アクセス制御ポリシーの一元化された概要を得ることを容易にする。
別のオプションにおいて、データベースPUDBは、特定の分析デバイスP3A上でホストされる。この場合、ログオンレイテンシーを最小に低減することができる。なぜならば、分析デバイスP3Aの許可済みユーザーのテーブルが分析デバイスそれ自身上でホストされ、ユーザーが分析デバイスP3Aにログオンすることを可能にする前に、高レイテンシーのネットワークルックアップ操作が必要とされないからである。
或る実施形態において、特定の分析デバイスP3A上にローカルに記憶されると、所与の分析デバイスP3A上のローカルの許可済みユーザーレコードPUDB(P3A)は、関連する場所認証情報を有するユーザーのログオン認証情報を記憶する。この場合、PUDB(3A)は、例えば、部屋T3内のユーザーの場所認証情報を記憶する。
データ処理エージェント70は、病院の異なるアクセス制御ゾーン内でユーザーの場所追跡エンジンLTE(:location tracking engine)を維持することができる。データ処理エージェント70は、分析デバイスP3Aをホストする同じアクセス制御ゾーンに許可済みユーザーが入ると、分析デバイスP3Aのローカルの許可済みユーザーレコードPUDB(P3A)にログオン認証情報を提供する(「プッシュする(push)」)ことができる。分析デバイスP3Aをホストするアクセス制御ゾーンを許可済みユーザーが離れたことをデータ処理エージェント70が検出すると、データ処理エージェント70は、分析デバイスP3Aのローカルの許可済みユーザーレコードPUDB(P3A)からログオン認証情報を除去する(「プルする(push)」)ことができる。したがって、場所管理システム68によって得られる場所認証情報は、各分析デバイスP1A~P7Aにおいて保持されるローカルの許可済みユーザーレコードを連続して更新するために使用することができる。
分析デバイスP3Aに提示されるログオン認証情報(例えば、ユーザー名とパスワードの組み合わせ)が分析デバイスP3Aのアクセス制御ゾーン内のユーザーに一致する(属する)場合、分析デバイスP3Aへのユーザーログオンが許可される。これは、例えば、症状を示すバイオマーカーを識別するため、患者から取得した生物学的試料を分析するために、有効なユーザーが、分析デバイスP3Aの機能または機能のサブセットにアクセスすることを可能にする。
分析デバイスP3Aに提示されるログオン認証情報が有効なユーザーの場所に一致しない場合、分析デバイスへのログオンが否認され、任意選択で、少なくともユーザーデータベース62および/または分析デバイスデータベース64のログファイルは、試みられた誤ったアクセスのレコードを作るために更新される。例えば、有効なユーザーに属するログオン認証情報が使用されるが、その有効なユーザーが、分析デバイスP3Aへのログオンの瞬間に、分析デバイスP3Aを含まないアクセス制御ゾーン内にいる場合、分析デバイスP3Aへのログオンは否認されることになる。
図5は、第1の態様によるコンピュータ実装方法を実施することが可能な、任意選択でサーバーまたは分析デバイス上に設けられる、データ処理エージェント70の論理配置の例を概略的に示す。
図5内の要素間のグラフィカルな接続の存在または非存在が制限的でないこと、および、図5の例が、データベース、分析デバイス、および場所管理システムをどのように統合することができるかについて1つの手法を示すことを意図されることを当業者は認識するであろう。本明細書の教示から逸脱することなく、他のトポロジーが可能である。
図5は、例えば、上記で図3に関連して既に論じたように、分析デバイスP3A 20を示す。分析デバイスP3Aは、データ処理エージェント70を実行するように構成されるサーバー40に通信可能に結合される。
特に、データ処理エージェント70は、例えば、外部データベース、1つまたは複数の外部分析デバイスP1A~P7A、ネットワーク化システム10A、および外部場所管理システム68との通信を可能にするサブルーチンを含むデータI/Oハンドラー80を含む。
データI/Oハンドラー80は、許可済みユーザーエンジン82と通信可能に結合される。
許可済みユーザーエンジン82の目的は、所与の分析デバイスP3Aに、その後、関連付けることができる1つまたは複数の許可済みユーザーレコードPUDBを導出するために、複数のデータベースおよび外部場所管理システム68と相互作用することである。
任意選択で、データ処理エージェント70は、1つまたは複数の許可済みユーザーレコードPUDBを関連する分析デバイスP3Aにプッシュすることができる。これは、関連する分析デバイスP3Aにおけるユーザー認証が、正確に、しかし、最小レイテンシーを持って実施されることを可能にする。
任意選択で、関連する分析デバイスP3Aは、データ処理エージェント70をポーリングして、関連する分析デバイスP3Aに関してデータ処理エージェント70が保持する許可済みユーザーレコードPUDBを得ることができる。これは、P3Aにおける正確なユーザー認証を可能にし、データ処理エージェント70が、分析デバイスP1A~P7Aのシステム10A全体の認証状態の概要を維持することを可能にする。
任意選択で、P3Aの許可済みユーザーレコードは、データ処理エージェント70において維持されると共に、関連する分析デバイスP3Aにプッシュされる。任意選択で、関連する分析デバイスP3Aにプッシュされるかまたはデータ処理エージェント70によってホストされる許可済みユーザーレコードは、ホスト病院内の或る場所を通して歩くかまたは走るのにかかる時間と比較して、短い時間間隔でリフレッシュされる。これは、データ処理エージェント70または分析デバイスP3A上で保持される許可済みユーザーデータベースが、首尾一貫しており、ホスト病院内の要員の場所を正確に反映することを保証する。
任意選択で、P3Aの許可済みユーザーレコードは非同期的に更新される。換言すれば、アクセス制御ポイントが、病院内のアクセス制御ゾーン間でのユーザーの場所の変化を識別するとすぐに、許可済みユーザーレコードPUDBを更新するために、ユーザーの場所の非同期更新がデータ処理エージェント70に送信される。これは、許可済みユーザーレコードPUDBが、場所追跡エンジンLTE内で示す場所情報にタイムリーに基づくことを保証する。
任意選択で、許可済みユーザーエンジン82を、サーバー40を必要とすることなく、分析デバイスP3Aがホストすることができる。最新のマイクロプロセッサは、データベースおよび場所管理システム68と直接通信することができる通信インタフェースを装備する分析デバイスP3A内のバックグラウンドプロセスとして許可済みユーザーエンジン82を実行することが十分に可能である。
データ処理エージェント70は場所追跡エンジンLTEを備える。場所追跡エンジンLTEは場所管理システム68から場所情報を得る。場所追跡エンジンLTEの目的は、アクセス制御式施設8内に存在する分析デバイスシステムの登録された各ユーザーの場所の表現を提供することである。用語「場所(location)」は、例えば、建物プランのアクセス制御式ゾーンを意味すると解釈することができる。
場所追跡エンジンLTEの基本的な実装態様は、1つのレコードが一意のユーザー識別子に接続する複数のレコード、および同様に、一意のユーザーIDに関連するユーザーが、場所管理システム68によってそこで最後に識別された、アクセス制御式施設8内のアクセス制御ゾーンを含むことができる。
任意選択で、場所追跡エンジンLTEのより高度な実装態様は、アクセス制御式施設8を、例えば有向グラフとしてモデル化することができる。アクセス制御式場所は、有向グラフの頂点として示すことができる。少なくとも2つのアクセス制御式場所間のアクセス制御ポイントは、有向グラフのエッジによって示すことができる。
有向グラフに基づく場所追跡エンジンLTEは、例えば、建物情報管理データベース66からコンパイルすることができる。建物情報管理データベースは、ウォーターパイプ、緊急時建物脱出部(emergency building escape)、電線路(electrical line)、食料品戸棚、ヒューズ盤、および同様なものの場所等の関連する建物の関連するデータの一元化されたレポジトリーである。建物情報管理データベースは、しばしば、場所制御または場所管理ポイント、ならびに、建物の内部の出入口、階段、セキュリティアクセスポイント、およびリフトに関する情報も含むことになる。したがって、建物情報管理データベースを、病院内のアクセス制御をモデル化するための有向グラフを生成するために自動的に解析することができる。建物情報管理レコードは、コードに似た形式で(例えば、XMLを使用して)書かれ、したがって、グラフにコンパイルすることができる。
病院を有向グラフとしてモデル化することは幾つかの利点を有する。第1のユーザーは、第1のアクセスゾーンセキュリティ分類に割り当てることができる。第2のユーザーは、第2のアクセスゾーンセキュリティ分類に割り当てることができる。第1の部屋は第1セキュリティ分類を備えることができる。第2の部屋は第2セキュリティ分類を備えることができる。第1のユーザーは、第1の部屋にアクセスすることを許可されるが、第2の部屋にアクセスすることを許可されないとすることができる。第2のユーザーは、第2の部屋にアクセスすることを許可されるが、第1の部屋にアクセスすることを許可されないとすることができる。第2のユーザーは、第1の部屋と第2の部屋の両方にアクセスすることを許可される場合がある。システムのユーザーの母集団は、異質または同質アクセス制御ゾーンプロファイルを有することができる。
許可済みユーザーエンジン82を使用して許可済みユーザーレコードPUDBを生成するとき、各ユーザーおよび各アクセス制御ゾーンのセキュリティ認証情報は、例えば、各アクセス制御ゾーンの許可済みユーザーデータベースの計算を簡略化するために使用することができる。
任意選択で、データ処理エージェント70は場所時間インデックス84を含む。場所時間インデックス84は、例えば、アクセス制御場所8内でアクセス制御ゾーンを示す行、および、アクセス制御場所8内でアクセス制御ゾーンを示す少なくとも1つの列を含む。場所時間インデックス84内の各セルは、テーブルの行参照内に示すアクセス制御ゾーンからユーザーが移動するのにかかる時間の推定値、テーブルの列参照内に示すアクセス制御ゾーンまでユーザーが移動するのにかかる時間の推定値を含む。
場所時間インデックス84が、全ての場所の間の全ての時間推定値を再生することは必須ではない。例えば、場所時間インデックステーブルの対角線上の推定値は、常にゼロであることになる。場所時間インデックス84内の多くの他のルートは、実際には、現実世界では存在しないことになる。なぜならば、病院内でそのような場所を接続する廊下が存在しないからである。それによって、場所時間インデックス84は、疎行列(sparse matrix)であってもよい。
場所時間インデックス84の機能は、廊下、階段、リフト、および病院の他のアクセスポイントを通して歩行することによって、病院内の第1の場所から病院内の第2の場所までユーザーが有効に移動したか否かを、許可済みユーザーエンジン82が識別することを可能にすることである。第1のユーザーは、できる限り迅速に分析デバイスP3Aにログオンしたいと欲する場合がある。第1のユーザーは、分析デバイスP3Aを使用する許可を同様に有することができる、病院の別の場所にいる同僚(第2のユーザー)に電話するかまたはメールする場合がある。総意により、または、ソーシャルエンジニアリング(social engineering)により、第1のユーザーは、分析デバイスP3Aへのまたは分析デバイス管理システムPOC-DMSへの自分のログオン詳細を、他の同僚から得ることができる。
そのような場合、データ処理エージェント70は、分析デバイスP3Aにおいて第2のユーザーのログオン認証情報を受信すると、許可済みユーザーエンジン82が場所時間インデックス84に問い掛けることを可能にする。データ処理エージェント70は、第1のユーザーが使用しようと試みている分析デバイスP3Aと同じ場所に第2のユーザーが存在しないことを、場所追跡エンジンLTEから識別し、ログオンを否認することができる。
代替的に、データ処理エージェント70は、第2のユーザーの最後に分かっている場所が、第1のユーザーがアクセスしようとしている分析デバイスP3Aから所与の歩行時間だけ離れていることを場所時間インデックス84から識別することができる。ここで、歩行時間は場所時間インデックス84において規定される。データ処理エージェント70は、第2のユーザーのログオン認証情報を使用する分析デバイスP3Aへのログオンの試みを、分析デバイスP3Aの場所まで第2のユーザーが歩行するためにかかることになる時間量より短い時間量内でログオン認証情報が発生する場合、禁止することができる。
これは、一部の病院において、複数の部門が、少数のアクセス制御ポイントが建物を分離した状態で、種々の小さい建物内に離して配置され、ユーザーの不十分な場所分解をもたらすという問題を解決することができる。分析デバイスP3Aまで歩くのにかかることになる時間量について、第2のユーザーのログオン認証情報を使用するログオンの試みを禁止することによって、第1のユーザーは、第2のユーザーのログオン詳細を採取しようと試みることを阻止されることができるが、第2のユーザーは、分析デバイスP3Aを合法的に使用しようと試みるときに不便を強いられない。
任意選択で、場所管理システムは、第1の態様の一部であるのではなく、データ処理エージェント70が通信可能に結合する第3者アクセス制御システムである。
データ処理エージェント70はユーザーデータベース62に通信可能に結合する。データベースは複数のレコードを含む。複数のレコードの各レコードは、少なくともユーザー識別フィールド62aおよびユーザー認証フィールド62bを含む。ユーザー認証フィールド62bは、プレーンパスワードを記憶するのではなく、例えば、パスワードハッシュの形態の認証データを記憶することもできる。もちろん、ユーザーデータベース62は、典型的なポイントオブケア管理システム(POC-DMS)によって要求されるずっと多くのフィールドタイプを含むことができる。
データ処理エージェント70は分析デバイスデータベース64に通信可能に結合する。このデータベースの目的は、例えば、分析デバイスP1A~P7Aがその中に存在するアクセス制御ゾーンのレコードを記憶することである。したがって、分析デバイスデータベース64は、分析デバイス識別子P1A~P7Aを含むフィールドの第1のセット64aを含む。
分析デバイスデータベース64は、分析デバイスP1A~P7Aの現在のアクセス制御ゾーンを含むフィールドの第2のセット64bを含む。固定のまたはベンチトップ型分析デバイスの場合、分析デバイスの既知の場所は、POCシステムマネジャーによって分析デバイスデータベース64内に永久的に設定することができる。しかしながら、多くの分析デバイスP3Aは、携帯型であり、手を使ってまたはトロリー上で持ち歩くことができる。それによって、POCシステムマネジャーは、所与の分析デバイスP3Aがどのアクセス制御ゾーン内に移動するかを規定するために、モバイルデバイスに関して分析デバイスデータベース64のフィールドを更新することができる。
もちろん、携帯分析デバイスP1A~P7Aの場所を追跡するためのより高度な技法を使用することができる。携帯分析デバイスP1A~P7Aは、ネットワークアドレス、MACアドレス、ファームウェアバージョン番号、および同様なものによって、ネットワーク10A上で識別可能であってもよい。それによって、分析デバイスP1A~P7Aのサブセットのどの移動も、分析デバイスデータベース64のフィールドの第2のセット64b内で自動的に更新することができない。なぜならば、デバイスが病院のアクセス制御ゾーン間で移動するからである。
分析デバイスP1A~P7Aが1つのアクセス制御ゾーン内で静的であることは必須ではない。第1の態様による方法は、1つまたは複数の分析デバイスP1A~P7Aが第1のアクセス制御ゾーンから第2のアクセス制御ゾーンに移転される場合、やはり適用することができる。なぜならば、分析デバイスデータベース64が、1つまたは複数の分析デバイスP1A~P7Aの現在のアクセス制御ゾーンを、分析デバイスが移動するときに追跡することができるからである。次に、これは、ユーザーの場所認証情報が、1つまたは複数の分析デバイスP1A~P7Aが移動するときに、1つまたは複数の分析デバイスP1A~P7Aの現在のアクセス制御ゾーンと比較されることがやはり可能であることを意味する。
分析デバイスデータベース64は、システム10A内の分析デバイスP1A~P7Aに対応するフィールドのセット64cを含むことができる。フィールドのセット64cは、各分析デバイスP1A~P7Aについて、各分析デバイスにログオンするために必要とされる1つまたは複数の認定証を規定する。
データ処理エージェント70は認定データベース60に通信可能に結合する。認定データベース60は、POCシステムの登録されたユーザー60aによって配置された複数のレコードを含む。システム10Aの登録された各ユーザー60aについて、複数のタイプのレコード60bは、POCシステムの登録された各ユーザー68について、システム10A内に存在する分析デバイスP1A~P7Aの操作に関連するどの認定証をユーザーが所有するかを規定する。
任意選択で、認定データベース60の複数のタイプのレコード60b内で認定を規定するために使用される認定のスキームは、分析デバイスデータベース64のフィールドのセット64c内で所与の分析デバイスヘログオンするために必要とされる認定証を規定するために使用される照明のスキームと同じである。
任意選択で、認定データベース60は、各ユーザーレコード60aおよび/または認定データベース60内のユーザーレコードに関連する各認定証タイプについて、有効期限フィールド60cを含む。任意選択で、許可済みユーザーエンジン82は、期限満了した認定を有する所与の分析デバイスP3Aにユーザーがログオンしようと試みる場合、所与の分析デバイスP3Aへのログオンを否認するように構成することができる。
データ処理エージェント70は場所管理システム68に通信可能に結合する。場所管理システム68の装備は、第2の態様の装置またはその実施形態に必須ではない。なぜならば、典型的には、第2の態様による装置がインタフェースすることができる場所管理システム68をアクセス制御式施設8が既に備えているからである。
任意選択で、データ処理エージェント70は、ユーザー場所データが、場所管理システムによって提供されるデータ形式で、データ処理エージェント70によって利用されることを可能にするためにデータ変換を実施し、システム10Aの1人または複数人の登録されたユーザーの場所の識別を可能にするように構成される。
例えば、場所管理システムに登録されたユーザーのユーザー識別インデックスは、通常、ユーザーデータベース62のフィールド60aで規定されるシステム10Aのユーザー識別子と整合しないことになる。なぜならば、外部の場所管理システムがレガシーシステムであるからである。したがって、データ処理エージェント70は、場所管理システム68に登録されたユーザーのユーザー識別インデックスを、ユーザーデータベース62に対して索引付けすることができる形式に変換(transform)または変形(convert)するように構成することができる。
場所管理システム68は、病院18A内の1つまたは複数のアクセス制御モダリティと通信可能に結合される。アクセス制御モダリティは、場所管理システム68が、アクセス制御式施設8の少なくとも1つのアクセス制御ゾーン内に、一意のユーザーが存在しているとき、または、存在したときを推測または検出することを可能にする。
図6は、或る実施形態による、場所ベースアクセス制御の信号送信ダイアグラムを概略的に示す。特に、図6は、許可済みユーザーレコードPUDBに基づく分析デバイスへの成功裏のログオンを示す。示す信号送信の順序は、例示であり、特定の入力信号を、異なる順序で受信することができる。例におけるデバイスの場所は、図4のフロアプランを参照して与えられる。
例えば、図6の上部のボックスの列(row)は、図5における同様に名付けられたかまたはラベル付けされたアイテムに対応する。最初に、ユーザーログオン認証情報は、分析デバイスP3Aから送信され、サーバー40(データ処理エージェント70)によって、任意選択で許可済みユーザーエンジン82によって受信される72。ユーザーログオン認証情報は、ユーザー名およびパスワードを含むことができるが、個人を一意に識別する多くの他のログオン認証情報を使用することができる。或る例では、仮定は、使用されるログオン認証情報が、所与の分析デバイスP3Aにおいてそれらのログオン認証情報を使用して個人を正確に識別するという低い確実性のレベルが存在する場合があることである。
許可済みユーザーエンジン82は、分析デバイスP3Aにログオンしようと試みるユーザーの識別子に関して、場所追跡エンジンLTEに質問する。許可済みユーザーエンジン82は、場所追跡エンジンLTEから、アクセス制御ゾーン8内のユーザーの場所を受信する。アクセス制御ゾーン8内のユーザーの現在の場所を見出すことができない場合、最後に使用された場所を使用することができる。
代替的に、例外処理ルーチンを始動することができる。なぜならば、場所認証情報を場所追跡エンジンLTE内に入力するユーザーの場所を規定するレコードの非存在は、分析デバイスの有効なユーザーがアクセス制御ゾーン内に存在しないこと、および、ログオン認証情報が悪用されていることを示唆するからである。
許可済みユーザーエンジン82は、分析デバイスP3Aの現在の場所を識別するために、分析デバイスデータベース64に質問する。分析デバイスデータベース64は、分析デバイスP3Aの現在の(または、或る例では、最後の知られている)場所を用いて応答する。
この場合、許可済みユーザーエンジン82は、分析デバイスP3Aのアクセス制御ゾーン「T3」と、アクセス制御ゾーン「T3」内のユーザー「3」の場所との間の整合を識別する。したがって、許可済みユーザーエンジン82は、分析デバイスP3Aにユーザー認証情報を提示しているユーザー「3」が本物であると結論付けることができる。許可済みユーザーエンジン82は、許可済みユーザーレコードPUDBを更新し76、また任意選択で、P3Aから肯定応答を受信する。
任意選択で、許可済みユーザーエンジン82は、データ処理エージェント70上で実行され、分析デバイスP3A上でP3Aの許可済みユーザーレコードPUDBのコピーを維持することができる。許可済みユーザーレコードPUDBに対する変更を、分析デバイスP3Aに対してプッシュまたはプルすることができる。これは、本技法のセキュリティの利点を保持しながら、分析デバイスP3Aにおけるログオンレイテンシーの有意の改善を可能にする。
許可済みユーザーエンジン82は、分析デバイスP3Aに入力されたユーザーログオン認証情報を検証するためにユーザーデータベース62に問い掛ける。
ユーザーログオン認証情報が正しく、これらのログオン認証情報が関連するユーザーが許可済みユーザーレコードPUDB内に存在する場合、ログオンは成功し、データ処理エージェント70は、分析デバイスP3Aへのユーザーのログオンを許可する。
ユーザーログオン認証情報が不正であるか、または、ログオン認証情報が関連するユーザーが許可済みユーザーレコードPUDB内に存在しない場合、分析デバイスP3Aへのログオンは許可されない。
図7は、或る実施形態による場所ベースアクセス制御の信号送信ダイアグラムを概略的に示す。特に、図7は、場所認証情報データの欠陥による、許可済みユーザーレコードPUDBに基づく分析デバイスへのログオンの失敗を示す。同様のステップおよびプロセスは、簡潔を支援するために反復されず、以下の実施形態の説明から減じることができる。
例えば、図7のシナリオは、権限のないユーザーがユーザー「2」のログオン認証情報を採取した場合を示す。換言すれば、許可済みユーザーエンジン82は、ユーザーデータベース62に問い掛け、P3Aに関してユーザーの許可済みユーザーIDおよびパスワードが供給されたと結論付ける。
許可済みユーザーエンジン82は、分析デバイスP3Aの現在のまたは最後にわかっている場所を得るために、分析デバイスデータベース64に問い掛ける。
許可済みユーザーエンジン82は、アクセス制御式施設8内でユーザー「2」の現在のまたは最後にわかっている場所を識別するために、場所追跡エンジンLTEに問い掛ける。場所追跡エンジンLTEは、病院のアクセス制御ゾーン「W4」内でユーザー「2」が最後にわかっていたかまたは存在しているという結果を返す。許可済みユーザーエンジン82は、場所追跡エンジンから返されたユーザー「2」の現在の(または最後にわかっている)場所を、ユーザー「2」についてのログオン認証情報が供給された分析デバイスP3Aの現在の(または最後にわかっている)場所と比較する。許可済みユーザーエンジン82は、ユーザー「2」の場所と分析デバイスP3Aの場所が整合しないと結論付ける。
それによって、許可済みユーザーエンジン82は、ユーザー「2」を、P3Aの許可済みユーザーレコードPUDBに入力しない。(許可済みユーザーレコード82内にユーザー「2」のレコードが存在しないため)ユーザーログオン認証情報が許可済みユーザーレコード82と一致しないため、許可済みユーザーエンジン82は、分析デバイスP3Aに対する権限のないユーザーの試みられたログオンを拒否する。
任意選択で、ログエントリーは、例えば、ユーザーデータベース62または分析デバイスデータベース64内に入力することができる、任意選択で、アラームメッセージを、分析デバイス管理システムP3Aに送信することができる。任意選択で、不適合挙動(non-compliant behavior)を思い留まらせようと試みるために、権限のないユーザーがアクセスしようと試みている分析デバイスP3Aに可聴または可視アラームを提供することができる。
或る実施形態によれば、コンピュータ実装方法は、
第2の受信された場所認証情報に基づいて、分析デバイスP3Aを含む制御式エリアを第1のユーザーが離れたことを、場所管理システム68によって検出すること、および、
分析デバイスの許可済みユーザーレコードPUDBから第1のユーザーを除去すること
をさらに含む。
或る実施形態によれば、許可済みユーザーレコードPUDBは、分析デバイスによってホストされ、方法は、第1のユーザーの場所認証情報に基づいて、第1のユーザーが分析デバイスにログオンすることを許可されることを規定するように、許可済みユーザーレコードを更新することをさらに含む。
或る実施形態によれば、許可済みユーザーレコードPUDBは、分析デバイスによってホストされ、方法は、第1のユーザーの場所認証情報に基づいて分析デバイスの許可済みユーザーレコードPUDBから第1のユーザーを削除することをさらに含む。
或る実施形態によれば、許可済みユーザーレコードPUDBは、データ処理エージェント70によってホストされ、方法は、第1のユーザーの場所認証情報に基づいて許可済みユーザーレコードPUDBから第1のユーザーを削除することをさらに含む。
或る実施形態によれば、許可済みユーザーレコードPUDBは、データ処理エージェント70によってホストされ、方法は、第1のユーザーの場所認証情報に基づいて許可済みユーザーレコードPUDBから第1のユーザーを削除することをさらに含む。
或る実施形態によれば、データ処理エージェント70は、例えば、ポーリングすることによって場所追跡エンジンから、更新されたユーザー場所情報を定期的に得る。
或る実施形態によれば、データ処理エージェント70は、イベント-ベース信号送信スキームに従って場所追跡エンジンLTEを更新する。例えば、場所管理システム68(データ処理エンジン70の外部の)によってレポートされるユーザーの場所が変化すると、これがイベントになり、場所追跡エンジンLTEは、そのユーザー場所テーブルを相応して更新する。
データ処理エージェント70は、更新された分析デバイス場所データ64bを、連続方式で、ポーリング方式で、またはイベントトリガー方式で、分析デバイスデータベース64から得る。許可済みユーザーエンジン82は、連続してまたは所定のサンプリング間隔で、ネットワーク10Aに接続された各分析デバイスP1A~P7Aについて、分析デバイス場所データ64bを場所追跡エンジンLTEからのユーザー場所情報と比較する。許可済みユーザーエンジン82は、連続してまたは所定のサンプリング間隔で、各分析デバイスP1A~P7Aについて許可済みユーザーレコードPUDBを更新する。こうして、各分析デバイスP1A~P7Aは、各分析デバイスP1A~P7A内に任意選択で記憶された正確な許可済みユーザーレコードPUDB(P1A)~PUDB(P7A)を含む。これは、分析デバイスP1A~P7Aへのログオンレイテンシーを低減することができる。
或る実施形態によれば、少なくとも1つの分析デバイスP3Aについての許可済みユーザーレコードPUDB(P3A)は、システムのユーザーが或る場所で最後に見た時間に部分的に基づいて生成することができる。実施形態によれば、少なくとも1つの分析デバイスP3Aについての許可済みユーザーレコードPUDB(P3A)は、ユーザーの最後にわかっている場所から少なくとも1つの分析デバイスP3Aの場所までのユーザーの経路の最短継続時間が経過したか否かに基づいて更新することができる。任意選択で、経路の最短継続時間は、最後にわかっている場所と少なくとも1つの分析デバイスP3Aの場所との間での典型的な人間歩行速度によって規定することができる。
図8は、或る実施形態による場所ベースアクセス制御の信号送信ダイアグラムを概略的に示す。特に、図8は、アクセス制御ゾーン間のユーザーの経路時間が、許可される閾値より小さいことによる、許可済みユーザーレコードPUDBに基づく分析デバイスへのログオンの失敗を示す。
図8の例において、認証および場所ルックアップステップは、上記で論じられたようなものである。この場合、ユーザー「4」は、正しいパスワードを提供し、アクセス制御ゾーン「W2」内で場所追跡エンジンLTEによって規定される。分析デバイスP3Aは場所「T3」内で規定される。
この例の変形は、許可済みユーザーエンジン82が、場所時間インデックス84に問い掛けることを可能にする。上記で述べたように、場所時間インデックス84は、アクセス制御式施設8内で第1の場所と第2の場所との間の歩行の近似時間を規定する。場所時間インデックス84は、「T3」から場所「W4」に達する時間が5分の範囲内であることを許可済みユーザーエンジン82にレポートする。ユーザーアカウント「4」の所有者が場所「W4」を離れたが、場所「T3」に到着していないときに、分析デバイスP3Aへのログオンの試みが、ユーザーアカウント「4」の名の下で権限のないユーザーによって行われる場合、正しいユーザーが、そのユーザーの上記でわかっている場所から分析デバイスP3Aの場所に到着するのに時間がないことになると許可済みユーザーエンジン82は推測することができる。
したがって、分析デバイスP3Aに入力されたログオン認証情報がユーザー「4」のログオン認証情報である場合でも、許可済みユーザーエンジン82は、ユーザー「4」が分析デバイスP3Aの場所に存在することができないことを、場所時間インデックス84からの情報に基づいて推測する。応答して、許可済みユーザーエンジン82は、分析デバイスP3Aへのユーザー「4」のログオンを拒否し、また、任意選択で、ユーザーデータベース62または分析デバイスデータベース64内にログを入力することができる、あるいは、任意選択で、上記で述べたように、POC-DMSシステムに警告することができる。
有益なことには、この実施形態は、アクセス制御式施設8のアクセス制御ゾーンのネットワークが、完璧でない、不完全である、または、或る期間の間、LTEに対してユーザーが所在不明になることが起こり得る空白を有するときに、許可済みユーザーレコードPUDBの生成をより復元力のあるもの(resilient)にすることができる。典型的な例は、ユーザーが、アクセス制御なしで或るエリア内で建物間を歩かなければならない、広い屋外サイトにわたって分散した病院の場合である。
或る実施形態において、建物情報モデルデータベース66は、アクセス制御式施設8の一部または全てを表す接続性モデル(connectivity model)を自動的に生成(解析)するために使用することができる。例えば、建物情報モデルデータベースは、フロアプラン、階段、リフト、および、ISO 16739または「openBIM」において規定されたIFC(:Industry Foundation Class、産業基盤クラス)形式で記憶された他の建物アクセス情報を含むことができる。
或る例では、建物情報モデルは、接続性グラフモデルに解析することができる。
或る実施形態によれば、方法は、アクセス制御式施設8のアクセススキームを表す1つまたは複数のノード及びエッジを含む接続性グラフモデルを得ること、および、場所管理システムから受信される第1のユーザーの場所認証情報をグラフモデルにマッピングすることをさらに含む。
図9は、図4に示す病院のアクセスプランの接続性グラフモデルを概略的に示す。
グラフのエッジは少なくとも2つのアクセス制御ゾーン間のアクセスポータルを規定する。グラフの頂点は、分析デバイスの存在を表すトークンを任意選択で含むアクセス制御ゾーンを表す。エッジのアクセスポータルラベル「Dx,y」および頂点のアクセス制御ゾーンラベルは、図4に示す病院のアクセスプランにマッピングする。この場合のグラフへのエントリーは頂点Hからであるが、もちろん、グラフへの多くの異なるエントランスおよびエグジットをモデル化することができる。
接続性グラフがアクセス制御施設8を完全に規定することは必要ではない。しかしながら、生成された接続性グラフが、現実世界のアクセス制御式施設8から変動する程度まで、本明細書で論じるログオン制御スキームに、わずかな不正確さを導入することができる。しかしながら、病院運営(hospital administration)は、アクセス制御式施設8の本物のフロアプランと比較して、接続性グラフがわずかな不正確さを含む場合でも、本明細書で論じる技法が、そのようなシステムが存在しない場合と比較して、分析デバイスアクセス制御の確率(正確さ)をやはり大幅に改善することができるという考え方をすることができる。
任意選択で、データ処理エージェント70は、異なるユーザーに対して異なるアクセスポリシーを実施することができる。
第1のユーザーは、第2のユーザーと比較して、異なるアクセス制御ゾーンに対するアクセスを備えることができる。それによって、建物情報モデルは、複数の接続性グラフを備えることができ、各セキュリティポリシーについて1つの接続性グラフが存在する。任意選択で、許可済みユーザーエンジン82は、第1のユーザーのセキュリティポリシーに整合する接続性グラフにさらに基づいて少なくとも1つの分析デバイスP3Aの許可済みユーザーレコードPUDB(P3A)を更新するように構成される。
有益であることには、病院のアクセス制御ゾーンのモデルとしてグラフを適用することは、2つの頂点の間の経路が効率的にかつ迅速に生成されることを可能にする。さらに、平均歩行時間が計算されることを可能にするために、時間重みをエッジに適用することができる。さらに、グラフは、視覚的に直感的であり、各種の分析デバイスP1A~P7Aを制御するPOC-DMS制御システムのグラフィカルユーザーインタフェース上で表示することができる。
さらに、グラフデータ構造は、異なるフロアプランまたはフロアプラン変更が容易に採用またはモデル化されることを可能にするために、スクリーン上でアイコンをクリックしドラッグすることによって、手動で編集することができる。示すように、アクセス制御施設8のフロアプランのグラフ表現は、導出されると、分析デバイスアクセス制御ポリシーを決定するために柔軟に使用することができる。
或る実施形態によれば、方法は、接続性グラフモデル内の現在のノードのみを、第1のユーザーの前記現在の場所を示すものとしてラベル付けすること、および、許可済みユーザーレコードから第1のユーザーを除去するように許可済みユーザーレコードPUDBを更新することであって、それにより、接続性グラフモデルのラベル付けされていないノードによって示されるアクセス制御式施設の或る場所にある分析デバイスを、第1のユーザーと同じユーザーログオン認証情報を使用する第2のユーザーがアクセスすることができない、更新することをさらに含む。
図10aは、異なる時間に接続性グラフモデル内で示されるユーザーの例を概略的に示す。正規のユーザー86は、廊下Hを介して病院に入り、下方廊下H1を通して、検査施設T1を介して検査施設T2まで進む。(エッジラベルは、明確にするために、図10aのグラフ表現上に示されないが、図9の拡大したグラフ表現と同じである。)。
第1のオプションにおいて、グラフの1つのノード(頂点)を、正規のユーザー86の現在の場所を示すためにラベル付けすることができる。
権限のないユーザー88(訓練を受けていないユーザーまたは正規のユーザー86のパスワードを悪用したユーザー等)が、病室W2内で分析デバイスP7Aを使用しようと試みるとき、分析デバイスP7Aに関連する許可済みユーザーレコードPUDB(7)は正規のユーザー86のレコードを含まない。なぜならば、正規のユーザー86が病室W2のアクセス制御ゾーン内に存在しているとして識別されていないからである(グラフのノードは、正規のユーザー86の現在の場所を示すためにラベル付けされていない)。したがって、権限のないユーザー88は、分析デバイスP7Aにログオンすることができない。
或る実施形態によれば、方法は、第1のユーザーの現在の場所を示す接続性グラフモデルのノードに続いて、接続性グラフモデル内の1つまたは複数のノードをラベル付けすること、および、許可済みユーザーレコードPUDBから第1のユーザーを除去するように許可済みユーザーレコードPUDBを更新することであって、それにより、接続性グラフモデルのラベル付けされていないノードによって示されるアクセス制御式施設の或る場所にある分析デバイスを、第1のユーザーと同じユーザーログオン認証情報を使用する第2のユーザーがアクセスすることができない、更新することをさらに含む。
図10bは、異なる時間に接続性グラフモデル内で示されるユーザーの別の例を概略的に示す。
第2のオプションにおいて、接続性グラフの全てのノード(頂点)をラベル付けすることができる。この表現において、正規のユーザー86の現在の位置から下流の、接続性モデルのラベル付けされたノードは、正規のユーザー86が、正規のユーザーの現在の位置から始めて、最終的に達することが可能であるアクセス制御式施設8のアクセス制御ゾーンを表す。正規のユーザー86がアクセス制御施設8を通して進むにつれて、接続性グラフのノードは、正規のユーザーの現在の場所に基づいて正規のユーザー86がアクセスすることが可能でない場所を示すためにラベル付けされない。
T=1にて、正規のユーザー86は全てのアクセス制御式エリア内にいることが可能である。それによって、病院内の全ての分析デバイスP1A~P7Aの許可済みユーザーデータベースPUDBは、正規のユーザー86のエントリーを含む。
例えば、T=2とT=3との間で、正規のユーザーは廊下H1から検査部屋T1内に移動する。これは、病院の上方フロアにアクセスするために廊下D1,5またはリフトD1,6を使用する可能性を除去し、したがって、病院の上方フロアは、ラベル付けされないかまたはグラフから枝刈りされる(prune)。実際の問題として、接続性グラフのノードがラベル付けされないため、接続性グラフのラベル付けされないノードの場所に対応するアクセス制御ゾーンに位置する分析デバイスの許可済みユーザーデータベースPUDBからエントリーが除去される。
したがって、権限のないユーザー88が、正規のユーザー86の悪用したログオン詳細を使用してW1内の分析デバイスP4Aを使用しようと試みると、分析デバイスP4Aの許可済みユーザーデータベースPUDB(4A)は、正規のユーザー86に関するエントリーを含まず、権限のないユーザー88が分析デバイスP4Aにログオンすることは可能でない。
上記実施形態において、接続性グラフの連続する枝刈りは、接続性グラフが病院フロアプランの完全に正確な表現でない状況に、より適することができる低減手法(reductive approach)を示す。
或る実施形態によれば、場所認証情報は、(i)分析デバイスを含まない第1の非セキュアな場所内での、または、(ii)分析デバイスを実際に含む第2のセキュアな場所内での、ユーザーの存在を規定する。
システムの複雑さが増加し、データ処理エージェント70を管理するために、より多くの部屋、ユーザー、および分析デバイスが存在するため、許可済みユーザーレコードを更新するためのサンプリング間隔は、通信オーバーヘッドの増加をもたらす場合がある。許可済みユーザーデータベースPUDBの各更新についての許容可能なサンプリング間隔は、引き続き論じるように、例えば、建物を通る人間の歩行の速度、PUDB内のユーザーの現在の場所、およびそれぞれのPUDBの現在の場所に関連するとすることができる。
或る実施形態によれば、場所管理システムは、スワイプまたはRFIDカードアクセスシステム、光彩スキャンシステム、顔認識システム、QRまたはバーコードベースアクセスシステム、ウィーガンドアクセスシステム、PINアクセスシステム、フォトIDシステム、エレベータ制御システム、および/または無線ネットワーク追跡システムから場所認証情報を得る。
アクセスをモニターする、あるいは、建物または屋外エリアの第1のアクセス制御ゾーンと第2のアクセス制御ゾーンとの間のアクセスを制御する他のアクセス制御技法は、本明細書の教示から逸脱することなく場所管理システム68と共に使用することができる。さらに、上記で挙げた場所管理(アクセス制御)手法からの信号または情報の任意の組み合わせを、アクセス制御式施設8内のユーザーの場所のより正確な推定値を提供するために組み合わすことができる。
さらに、場所管理システム68の機能は、好ましくは、ユーザーのモバイルフォンを介して、GPSを使用してユーザーの場所をモニターする場所サーバーによって提供することができる。例えば、場所管理システム68は、ユーザーハンドセットの全地球測位システム(GPS:global positioning system)機能と組み合わせてユーザーの場所をモニターする、3G、4G、または5Gモバイル電話ネットワーク(mobile telephone network)の場所追跡サービスにインタフェースすることができる。GPSの分解能は、病院キャンパスにわたってユーザーの場所を追跡するのに十分である。したがって、アクセス制御ゾーンは、ユーザーが、GPSモニタリングを使用する建物に入ったか否かまたはそこを出たか否かによって部分的に規定することができる。
或る実施形態によれば、コンピュータ実装方法71a~71dは、
ユーザー認定データベース60から、分析デバイスの第1のユーザーの認定認証情報60bを得ること、
分析デバイス認定要求データベース64から分析デバイスの認定要求データを得ること、および、
第1のユーザーの認定認証情報が認定要求データと一致する場合、分析デバイスにログオンすることを第1のユーザーに許可すること、または、第1のユーザーの認定認証情報が認定要求データと一致しない場合、分析デバイスP1A~P7Aにログオンする能力を第1のユーザーに与えないこと
をさらに含む。
図11は、或る実施形態による場所ベースアクセス制御の信号送信ダイアグラムを概略的に示す。特に、図11は、不十分な認定状況による、許可済みユーザーレコードに基づく分析デバイスへのログオンの失敗を示す。
特に、少なくとも上記図6に関して述べられた、ユーザー認証情報を受信する72こと、ユーザーの場所認証情報データを受信する74こと、分析デバイスデータベース64から分析デバイスP3Aの場所データを受信する73こと、および、ユーザーデータベース62内のユーザーパスワードを検証する75ことは、簡潔にするために反復されない。
この例によれば、許可済みユーザーエンジン82は、例えば、ユーザー名「3」、を使用して認定データベース62に問い掛ける。この例では、認定データベース62は、分析デバイスP3A(換言すれば、ユーザー名「3」がログオンしようと試みている同じ分析デバイス)上で使用するためのユーザー「3」の認定証が期限満了したという情報を許可済みユーザーエンジン82に返す。このため、許可済みユーザーエンジン82は、分析デバイスP3Aへのログオンの試みを拒否する。任意選択で、許可済みユーザーエンジン82は、ログエントリーを、例えば、認定データベース60、ユーザーデータベース62、または分析デバイスデータベース64に送信する。
或る実施形態によれば、コンピュータ実装方法は、
第1のユーザーが、分析デバイスに対して、ログオンするかまたはログオンしたままであることをもはや認定されないように、第1のユーザーの認定状態が変更されたことを、ユーザー認定データベースによって検出すること、および、
分析デバイスの許可済みユーザーレコードPUDBから第1のユーザーを除去すること
をさらに含む。
それによって、許可済みユーザーエンジン82は、認定データベース60で規定されるユーザーの認定状態に基づいて許可済みユーザーレコードPUDBを動的に更新することができる。例えば、所与のユーザーの所与の認定証が期限満了したことを、許可済みユーザーエンジン82が気付く場合でかつその認定証が分析デバイスP3Aを操作するために必要とされる場合、ユーザーを、分析デバイスP3Aの許可済みユーザーレコードPUDBから除去することができる。
或る実施形態によれば、分析デバイスP1A~P7Aは、症状のバイオマーカーを識別するために生物学的試料を分析するように構成される。
例えば、分析デバイスP1A~P7Aは、患者から得られる生物学的試料に対して検査のうちの1つまたは複数を実施するように構成することができる。
さらなる特定の例がここで論じられる。この例は、図4の例証に直接マッピングしない。
2つのフロアおよび各フロア上の2つのウィング(西ウィングおよび東ウィング)を有する病院を考える。第1のユーザーは、病院の全てのアクセス制御ゾーンに対するアクセス権を有する。病院は、西ウィングの第1のフロア(first floor)上に第1の分析デバイスAを有し、東ウィングの第2のフロア(second floor)上に第2の分析デバイスBを有する。病院は、本明細書で論じるデータ処理エージェント70を実行するポイントオブケアITデータ管理システム(POC-DMS)を収容する。POC-DMS 40Aは、病院内の第1および第2の分析デバイスユーザー訓練レコードおよびそれらのジョブ記述に対するアクセスを制御する。病院はまた、病院の全てのアクセス制御ゾーンの間のドアの開放を制御するドアアクセス制御システムを備える。
少なくとも以下の例のシナリオは、第1の態様によるコンピュータ実装方法またはその実施形態によって処理することができる:
A)「ユーザーは、有効な認定を有し、分析デバイスAのエリアに入る」
ユーザーが、アクセスバッジを使用して、デバイスAを含むアクセス制御ゾーンに入ると、メッセージがPOC-DMSに送信される。POC-DMSは、その情報を、分析デバイスAを使用することをユーザーが認定されていることと組み合わせる。ユーザーが分析デバイスAにログインできるように、POC-DMSから分析デバイスAにメッセージが送信される。
B)「ユーザーは、有効な認定を有し、分析デバイスAを離れる」
ユーザーが、分析デバイスAを含むアクセス制御ゾーンを離れ、ゲート管理システムからPOC-DMSへ、これを確認するメッセージが送信されると、POC-DMSは、ゲート管理システム情報からの情報を、分析デバイスを使用することをユーザーが認定されていることと組み合わせる。分析デバイスAの許可済みユーザーのリストからユーザーを除去するメッセージが分析デバイスAに送信される。
C)「ユーザーは、分析デバイスBについての有効な認定を有さず、分析デバイスBのエリアに入る」
ユーザーが、ユーザーのアクセスバッジを使用して、分析デバイスBのアクセス制御ゾーンに入ると、メッセージがアクセス制御システムからPOC-DMSに送信される。POC-DMSは、その情報を、分析デバイスBを使用することをユーザーが認定されていないことと組み合わせる。許可済みユーザーリストを更新するメッセージが分析デバイスBに送信されず、ユーザーは、分析デバイスBにログオンすることができない。
D)「ユーザーは、分析デバイスBを使用するように訓練されておらず、分析デバイスBのエリアを離れる」
ユーザーが、分析デバイスBのアクセス制御ゾーンを離れると、メッセージがアクセス制御システムからPOC-DMSに送信される。POC-DMSは、その情報を、分析デバイスBを使用することをユーザーが認定されていないことと組み合わせる。情報は分析デバイスBに送信されない。
第2の態様によれば、分析デバイスP1A~P7Aへのユーザーアクセスを、分析デバイスに対するユーザーの場所に基づいて制御するように構成される装置40が提供される。装置は、
- 通信インタフェース54と、
- 通信インタフェース54に動作可能に結合したプロセッサ47とを備える。
通信インタフェース54は、アクセス制御式施設8の場所管理システム68から、分析デバイスの第1のユーザーの第1の場所認証情報LTEを受信するように構成され、第1の場所認証情報LTEは、分析デバイスP1A~P7Aの第1のユーザーの現在の場所を少なくとも部分的に規定する。
プロセッサ47は、第1のユーザーの第1の場所認証情報LTEに基づいて、分析デバイスP1A~P7Aに関連する許可済みユーザーレコードPUDB(i)を更新するように構成される。
通信インタフェース54は、分析デバイスP1A~P7Aに入力される第1のユーザーのユーザーログオン認証情報を、分析デバイスのログオンプロセスの一部として受信するように構成される。
プロセッサ47は、分析デバイスに入力されたユーザーログオン認証情報が、許可済みユーザーレコードPUDBに一致する場合、分析デバイスへのログオンを許可するように構成される。
第3の態様によれば、分析デバイス管理40Aのために、分析デバイスP1A~P7Aへのユーザーアクセスを、分析デバイスに対するユーザーの場所に基づいて制御するためのシステム10Aが提供される。システム10Aは、
- 任意選択で、患者試料を分析するように構成される1つまたは複数の分析デバイスP1A~P7Aと、
- ユーザーが1つまたは複数の分析デバイスP1A~P7Aの近傍を離れるかまたは近傍に入るときを検出するように構成される場所管理システム68と、
- 第1の態様の方法またはその実施形態を、運用中に実施する第2の態様による装置40と、
- 1つまたは複数の分析デバイスP1A~P7A、場所管理システム68、および第2の態様による装置40を通信可能に接続するように構成される通信ネットワーク10A、10Bと
を備える。
第4の態様によれば、第2の態様による装置を制御するためのコンピュータ可読命令を含むコンピュータプログラム要素が提供され、コンピュータ可読命令は、装置の処理ユニットによって実行されると、第1の態様の方法ステップまたはその実施形態を実施するように構成される。
第5の態様によれば、コンピュータ可読媒体または信号であって、コンピュータ可読媒体または信号上に記憶されたまたはエンコードされた、第4の態様によるコンピュータプログラム要素を有する、コンピュータ可読媒体または信号が提供される。
第2の態様による装置の実施形態を、第1の態様によるコンピュータ実装方法の実施形態に従って処理操作を実施するように装置のプロセッサを構成することによって、提供することができること、および、本明細書が、第2の態様のそのような装置の実施形態の開示であることを当業者は認識するであろう。
本開示を、詳細にかつその特定の実施形態を参照して述べたが、添付特許請求項で規定する開示の範囲から逸脱することなく、修正および変形が可能であることが明らかである。より具体的には、本開示の幾つかの態様が、好ましいかまたは特に有利であるとして本明細書で識別されるが、本開示が、必ずしも、本開示のこれらの好ましい態様に制限されるわけではないことが企図される。