WO2013161297A1

WO2013161297A1 - 医用情報検証システム

Info

Publication number: WO2013161297A1
Application number: PCT/JP2013/002795
Authority: WO
Inventors: 巧吉留
Original assignee: 株式会社東芝; 東芝メディカルシステムズ株式会社
Priority date: 2012-04-25
Filing date: 2013-04-24
Publication date: 2013-10-31
Also published as: CN103597775B; CN103597775A; JP2013242863A; US20130304491A1

Abstract

　低価格で正真性が確保される医用情報検証システムを提供すること。　実施形態の医用情報検証システムは、メディアに記憶される、医用管理対象ファイルの情報に基づいて求められたメディア情報を取得・記憶するメディア情報記憶手段と、複数の異なるメディアのメディア情報を束ねて医用管理対象ファイル群を生成し、この医用管理対象ファイル群に対応する検証識別値を生成する検証識別値生成手段と、前記検証識別値に対するタイムスタンプを認証局から取得するタイムスタンプ取得手段と、前記タイムスタンプのタイムスタンプ情報を、前記医用管理対象ファイル群に対応付けて記憶するタイムスタンプ情報記憶手段と、ネットワークを介して送られてきたタイムスタンプ問い合わせ要求に基づいて、前記タイムスタンプ情報を送信するタイムスタンプ情報送信手段と、を備えるタイムスタンプ管理手段を有する。

Description

医用情報検証システム

　本発明の実施形態は、医用情報の正真性を検証する医用情報検証システムに関する。

　近年、病院間の地域連携下においては、医用画像含む医療情報が格納された可搬メディア（ＤＶＤディスク、ブルーレイディスク、ＵＳＢメモリなど）が情報伝達手段として用いられる。しかし可搬メディアには情報の正真性が求められ，例えば一般財団法人医療情報システム開発センター（MEDIS-DC）発行のＣＡ(Certificate Authority）証明書やＴＳＡ認証局（Time Stamp Authority）発行のタイムスタンプが付与される。　ＣＡ証明書は、「何処で誰が」データを作ったかを証明することが可能であり、タイムスタンプは、さらに「何時以降データ変更が無い」ことを証明できる。通常、ＣＡ証明書の担保期間は約２年であり、タイムスタンプの担保期間は約１０年である。したがってＣＡ証明書にタイムスタンプを付加していくことにより認証期間を延長し、医療情報の正真性を確保することができる。

　ＴＳＡ認証局へのタイムスタンプ発行依頼は従量課金制であり、長期にわたり正真性を検証するかどうか不明である可搬メディアに対してまでタイムスタンプ取得すると、その費用は無駄となる可能性がある。また可搬メディア内の全ての医療情報一つ一つにタイムスタンプを取得するとなると、ＴＳＡ認証のコスト増から利用者の負担が増加することとなる。

　また、ＣＡ証明書やタイムスタンプの有効期限が切れてしまった場合、可搬メディアの正真性をどのように証明するかという問題も生じる。

　さらにセキュリティ上、院内ネットワークに接続されるＨＩＳ（Hospital Information System）、ＰＡＣＳ（Picture Archiving and Communication Systems)、各モダリティなどからは直接タイムスタンプをＴＳＡ認証局へ発行依頼することができないことが多い。このような場合、一旦病院内にある「院内地域連携室」などへ医用画像・診断レポートなどを含む医用情報を移動し、ＣＡ証明書保持者がこの医用情報に対してＴＳＡ認証局からタイムスタンプを取得した後、医用情報とタイムスタンプを同梱して可搬メディアを作成する。

　また、可搬メディア作成の手順においては１時間毎、１日毎など期間を決めてタイムスタンプを取得することが多いため、患者の手元に可搬メディアが届くまでには相当の時間がかかってしまうという問題もある。これでは、患者にとって利便性が失われるとともに、緊急時に対応できない。

　医用情報を可搬メディアなどに保存し、紹介元から紹介先へ医用情報を伝達するものとして以下の特許文献がある。

特開２００７－２４１５５９号公報

　本発明が解決しようとする課題は、上記問題を解決し、低価格で正真性が確保される医用情報検証システムを提供することである。

　上記課題を達成するために、実施形態の医用情報検証システムは、メディアに記憶される、医用管理対象ファイルの情報に基づいて求められたメディア情報を取得・記憶するメディア情報記憶手段と、複数の異なるメディアのメディア情報を束ねて医用管理対象ファイル群を生成し、この医用管理対象ファイル群に対応する検証識別値を生成する検証識別値生成手段と、前記検証識別値に対するタイムスタンプを認証局から取得するタイムスタンプ取得手段と、前記タイムスタンプのタイムスタンプ情報を、前記医用管理対象ファイル群に対応付けて記憶するタイムスタンプ情報記憶手段と、ネットワークを介して送られてきたタイムスタンプ問い合わせ要求に基づいて、前記タイムスタンプ情報を送信するタイムスタンプ情報送信手段と、を備えるタイムスタンプ管理手段を有する。

本実施形態における医用情報検証システムの全体構成図。第1の実施形態におけるメディア作成手段のブロック構成図。同実施形態におけるタイムスタンプ管理手段のブロック構成図。同実施形態におけるメディア検証手段のブロック構成図。同実施形態における可搬メディアに対する正真性検証のフローチャート。同実施形態におけるタイムスタンプ管理部のデータベース例。第２実施形態における追記型可搬メディアに対する正真性検証のフローチャート。同実施形態における追記型可搬メディアに対するタイムスタンプ管理のデータベース例。同実施形態における追加レコードに対するタイムスタンプ取得例。第３の実施形態における医用情報検証システムの全体構成図。同実施形態における可搬メディアに対する正真性検証のフローチャート。同実施形態における追記型可搬メディアに対する正真性検証のフローチャート。

　以下、発明を実施するための実施形態について図１から図１２に示す図面を参照しながら詳細に説明する。本実施形態の医用情報検証システムは、ＨＩＳ、ＲＩＳ（Radiology Information System）、ＰＡＣＳなどのシステムと連携して構築することが可能であり、既存のシステムとの整合性が容易に得られる。

（第１の実施形態）
　従来のように可搬メディア内の医療情報全てタイムスタンプを付与すると、上述したように様々な問題点が存在した。しかし医療情報の正真性について深く考察すれば、可搬メディア作成時の正確な時間は必要でないこと、可搬メディア受領者（患者または紹介状を受けた病院）が閲覧する時点で可搬メディア内の医療情報に改変が無いことを第三者経由で検証できれば十分である。

　したがって本実施形態では、
（１）可搬メディア作成者は、閲覧(検証)時点までにタイムスタンプ提供する。

（２）可搬メディア受領者は、閲覧（検証）時点でタイムスタンプ受領する。

ことが実現可能な医用情報検証システムについて説明する。

　図１は、本実施形態における医用情報検証システムの全体構成図である。図１に示すように、本実施形態の医用情報検証システムは、医用画像や診断レポートなどの医用情報が格納されるＰＡＣＳ１１、これらの医用情報を可搬メディアに格納するメディア作成手段１２、この可搬メディア発行後にタイムスタンプを取得し、可搬メディアのメディア情報および医用情報のタイムスタンプ情報を管理するタイムスタンプ管理手段１３、可搬メディア内に格納されている医療情報の正真性を可搬メディア発行後に検証するメディア検証手段１４、およびＴＳＡ認証局１５から構成されている。これらＰＡＣＳ１１、メディア作成手段１２、タイムスタンプ管理手段１３、メディア検証手段１４、およびＴＳＡ認証局１５は、ネットワーク１６に接続され相互に通信可能な状態に構成される。

　点線矢印で示すように、可搬メディア発行時にはタイムスタンプを取得せず、すぐに可搬メディア受領者に可搬メディアが手渡される。タイムスタンプ管理手段１３は、可搬メディア発行後にタイムスタンプを取得し、可搬メディア受領者は、紹介状を受けた病院にて、メディア検証手段１４を用いて医用情報を可搬メディアから読み出す。この時、メディア検証手段１４はタイムスタンプ管理手段１３にタイムスタンプ要求を行い、このタイムスタンプを用いてＴＳＡ認証局１５へ認証を行うことで医用情報の検証が行える。

　なお、本実施形態では、正真性が求められる医用情報を医用管理対象ファイルと定義し、以下この用語を使用する。医用管理対象ファイルには、医用画像・診断レポートなど各種医療情報を含み、プライバシーやセキュリティなどの観点から可搬メディアに直接格納できない場合などでは医用情報をアクセス可能なリンク情報も含まれる。さらにＤＩＣＯＭ（Digital Imaging and Communication in Medicine）形式に準拠するもの、準拠しないものも含まれるが、ここではＤＩＣＯＭ形式に準拠するファイルについて説明する。

　図２は、本実施形態のメディア作成手段１２のブロック構成図である。図２に示すようにメディア作成手段１２は、画像取得部１２１、ファイル識別値生成部１２２、メディア作成部１２３、メディア情報送信部１２４を有している。なお、メディア検証手段１４は、点線矢印で示すように、後述のアプリケーションの形で画像ビューアに組み込み、可搬メディア内に同梱されていると利便性が高い運用が可能である。また、メディア作成手段１２は、パーソナルコンピュータなどの端末で構成できる。

　画像取得部１２１は、ＰＡＣＳ１１やモダリティなどから患者が可搬すべき医用管理対象ファイルを取得し、可搬メディアが作成されるまで一時的に保存する。

　ファイル識別値生成部１２２は、可搬すべき医用管理対象ファイルのすべてに対して、そのファイルを一意に識別するためのファイル識別値を生成する。本実施形態では、ハッシュ値をファイル識別値とし、以下これをファイルハッシュ値とする。

　メディア作成部１２３は、可搬メディア内に可搬すべき医用管理対象ファイルを格納する。本実施形態では、複数の医用管理対象ファイルをツリー構造体として管理するインデックスファイルを用い、このインデックスファイルをタイムスタンプ管理対象とする。この時、インデックスファイル（例えばＤＩＣＯＭＤＩＲ）内には、ツリー構造下の医用管理対象ファイルのファイル識別値（ファイルハッシュ値）が格納される。

　可搬メディア内には、インデックスファイルと、インデックスファイルのファイル識別値（ファイルハッシュ値）と、ツリー構造下の医用管理対象ファイルが格納され、タイムスタンプは格納されない。また、好ましくは、紹介先の病院で、可搬メディア内の医用管理対象ファイルを閲覧・検証するための画像ビューワ（メディア検証手段１４）が同梱される。可搬メディアには自己を一意に識別するためのメディア識別子が割り当てられており、例えばボリュームラベルをメディア識別子として用いることができる。

　メディア情報送信部１２４は、可搬メディア作成後に、タイムスタンプ管理手段１３に対してメディア識別子、可搬メディア内に格納したインデックスファイル名、およびインデックスファイルのファイル識別値（ファイルハッシュ値）などを含むメディア情報を送信する。

　なお実施形態の変形として、タイムスタンプ管理手段１３に、インデックスファイル本体を送信し、このインデックスファイルからファイル識別値（ファイルハッシュ値）を計算しても良い。また、メディア作成手段１２がタイムスタンプ管理手段１３と同一の場所にある場合には、メディア情報はネットワークを介して送信することなく、タイムスタンプ管理手段１３に直接記憶してもよい。

　図３は、タイムスタンプ管理手段１３のブロック構成図である。図３に示すようにタイムスタンプ管理手段１３は、メディア情報受信部１３１、検証識別値生成部１３２、タイミング発生部１３３、タイムスタンプ取得部１３４、タイムスタンプ保存部１３５、タイムスタンプ送信部１３６、およびタイムスタンプ管理部１３７を有している。

　メディア情報受信部１３１は、メディア作成手段１２のメディア情報送信部１２４からメディア情報を受け取り、一時的に記憶する。メディア情報は、メディア識別子、可搬メディア内に格納したインデックスファイル名、およびインデックスファイルのファイル識別値（ファイルハッシュ値）などである。後述するように、このメディア情報はタイムスタンプと、医用管理対象ファイル群と対応付けられてタイムスタンプ保存部１３５に保存される。

　検証識別値生成部１３２は、ＴＳＡ認証局１５へタイムスタンプ取得の際に使用する検証識別値を作成する。この検証識別値は、タイムスタンプ未取得の可搬メディアを１つ以上束ねて医用管理対象ファイル群とし、これを一意に識別できるものとする。具体的には可搬メディア内の医用管理対象ファイルのファイルハッシュ値やメディア識別子などから作成する。検証識別値においてもハッシュ値を用いる場合、これを検証ハッシュ値とする。このように一つ以上の医用管理対象ファイルを束ねた医用対象ファイル群に対して一つのタイムスタンプを取得するため、タイムスタンプ取得に必要な費用が削減できる。

　タイミング発生部１３３は、ＴＳＡ認証局１５へタイムスタンプを取得するトリガとなるタイミングを発生する。タイミング発生には、（１）タイムスタンプ未取得の可搬メディアがあるかどうかタイムスタンプ保存部１３５のデータベース内に記録されるメディア情報を定期的にチェックし、タイムスタンプ未取得の可搬メディアがあれば、ＴＳＡ認証局１５へタイムスタンプの取得要求を行う定期的なタイマー要求と、（２）メディア検証手段１４からの要求に従ってタイミング発生を行うタイムスタンプ検証時要求が考えられる。なお、定期的タイマー要求では、タイムスタンプ未取得の可搬メディアが所定数あるかどうかをチェックしてタイミング発生を行ってもよい。束ねる可搬メディアの所定数を多くすればするほど、タイムスタンプ取得にかかる費用は少なくなり効率が良いが、紹介先の病院施設のメディア検証手段１４からタイムスタンプ検証時要求が来る前に、タイムスタンプを取得しておくことが望ましいため、タイムスタンプ取得タイミングは実際の稼働状況などから最適値を設定する。

　タイムスタンプ取得部１３４は、タイミング発生部１３３のタイムスタンプ取得タイミングで、ＴＳＡ認証局１５から検証識別値を用いてタイムスタンプを取得する。

　タイムスタンプ保存部１３５は、ＴＳＡ認証局１５から取得したタイムスタンプ情報、検証識別値、およびメディア情報などを医用管理対象ファイル群に対応付けて記憶・保存する。これらの情報を管理情報と称する。

　タイムスタンプ送信部１３６は、メディア検証時にメディア検証手段１４から送信されるタイムスタンプ情報の問い合わせ要求に対して応答し、ＴＳＡ認証局１５から取得したタイムスタンプ情報を、ネットワークを介してメディア検証手段１４に送信する。

　タイムスタンプ管理部１３７は、上記メディア情報受信部１３１、検証識別値生成部１３２、タイミング発生部１３３、タイムスタンプ取得部１３４、タイムスタンプ保存部１３５、およびタイムスタンプ送信部１３６を統合的に制御する。

　図４は、メディア検証手段１４のブロック構成図である。メディア検証手段１４は、ファイル読み出し部１４１、タイムスタンプ問い合わせ部１４２、ファイル識別値計算部１４３、ファイル正真判定部１４４、および画像表示部１４５を有している。このメディア検証手段１４は、パーソナルコンピュータなどの端末で構成し可搬メディア内に同梱される画像ビューワアプリケーションを実行することでその機能が達成される。なお、予め端末に、メディア検証手段１４を有する画像ビューワアプリケーションがインストールされていてもよい。

　ファイル読み出し部１４１は、可搬メディア内の医用管理対象ファイルを読み出す。タイムスタンプ問い合わせ部１４２は、タイムスタンプ管理手段１３のタイムスタンプ送信部１３６からメディア識別値およびファイル識別値を用いて、可搬メディアおよび医用管理対象ファイルに対するタイムスタンプとその生成に用いた検証識別値（検証ハッシュ値）を取得する。取得したタイムスタンプと検証識別値を用いてＴＳＡ認証局１５にタイムスタンプの検証を行う。

　ファイル識別値計算部１４３は、可搬メディア内に格納される医用管理ファイルのファイル識別値（ファイルハッシュ値）を計算する。

　ファイル正真判定部１４４は、ファイル識別値計算部１４３で計算した医用管理対象ファイルのファイル識別値（ファイルハッシュ値）と、インデックスファイル内に記載されたファイル識別値（ファイルハッシュ値）とが同一であることを確認し、さらに取得したタイムスタンプの検証結果から医用管理対象ファイルが有効期限内であることを確認する。そして画像表示部１４５は、医用管理対象ファイルを端末のモニタに表示する。

　次に、以上の構成による医用情報検証システムの動作を説明する。図５は、可搬メディアに対する正真性検証のフローチャートであり、図６は、タイムスタンプ管理部１３７（タイムスタンプ保存部１３５）で管理されるデータベースの例である。

　図６に示すように、メディア作成手段１２、タイムスタンプ管理手段１３、ＴＳＡ認証局１５、およびメディア検証手段１４間の処理の流れを示している。

　まず、ステップＳＴ５０１では、紹介元の医師、医療機関は紹介先の医療機関に手渡す可搬メディアの作成要求をメディア作成手段１２に対して行う。

　ステップＳＴ５０２では、ＰＡＣＳ１１、ＨＩＳ、モダリティなどから必要な医用画像・診断レポートなどの医用管理対象ファイルを取得する。この時、医用管理対象ファイルのファイルハッシュ値を計算する（ステップＳＴ５０３）。さらに医用管理対象ファイルが複数存在する場合には、ＤＩＣＯＭＤＩＲなどのインデックスファイルを作成し（ステップＳＴ５０４）、このインデックスファイルのファイルハッシュ値を計算する（ステップＳＴ５０５）。

　ステップＳＴ５０５では、医用管理対象ファイルのファイルハッシュ値をインデックスファイル内に記述し、ステップＳＴ５０６では、インデックスファイルをルートとする医用管理対象ファイルを可搬メディアに格納して可搬メディアを作成する。本実施形態においては、この時ＣＡ証明書も格納される。また、好ましくはメディア検証手段１４を実行可能な画像ビューワアプリケーションも同時に格納される。

　可搬メディアが作成されると、この可搬メディアは患者に即時発行され、紹介先の病院施設において閲覧される。具体的には、可搬メディア内に同梱された画像ビューワアプリケーションを起動させ、可搬メディアの検証要求をタイムスタンプ管理手段１３に行う。（ステップＳＴ５０７）。

　また、ステップＳＴ５０６の可搬メディア作成後には、メディア作成手段１２はタイムスタンプ管理手段１３対して、作成した可搬メディアのボリュームラベルと、医用管理対象ファイルがツリー構造体を持つ場合には、そのルートであるインデックスファイル（ＤＩＣＯＭＤＩＲ）名、またツリー構造を持たない場合には、医用管理対象ファイル自体の名称などのメディア情報を送信する。

　ステップＳＴ５０８では、タイムスタンプ管理手段１３は、可搬メディアのメディア情報を受信し、タイムスタンプ保存部１３５にメディア情報を格納する。図６に示すように、タイムスタンプ保存部１３５に保存されるデータベースは、メディア識別子（ボリュームラベル）、医用管理対象ファイル名（ツリー構造体の場合はＤＩＣＯＭＤＩＲなどのインデックスファイル）、ファイル識別値（ファイルハッシュ値）、検証識別値（検証ハッシュ値）、タイムスタンプ、およびタイムスタンプ有効期限などのタイムスタンプ情報からなる管理情報を管理している。メディア情報を受信した場合には、メディア識別子（ボリュームラベル）、医用管理対象ファイル名（ツリー構造体の場合はＤＩＣＯＭＤＩＲなどのインデックスファイル名）、ファイル識別値（ファイルハッシュ値）を格納する。例えば、図６の最初のレコードの例で言えば、メディア識別子（ボリュームラベル）は、「Ｓ３Ａ６３５２Ｄ」、医用管理対象ファイル名は「ＤＩＣＯＭＤＩＲ」、ファイル識別値（ファイルハッシュ値）は「１００１０００１１４Ｄ・・・」である。

　ステップＳＴ５０９では、タイムスタンプ取得のためのトリガとなるタイミングを発生する。タイミング発生は、上述のように、タイムスタンプ未取得の可搬メディアがあれば、ＴＳＡ認証局１５へタイムスタンプの取得要求を行う定期的なタイマー要求と、メディア検証手段１４からの要求に従ってタイミング発生を行うタイムスタンプ検証時要求とがある。通常は、ステップＳＴ５０７の画像ビューワが起動される前にタイムスタンプ取得のための定期的なタイマー要求が発生するように設定されることが好ましい。

　ステップＳＴ５１０では、ステップＳＴ５０９のタイミング発生に基づき、タイムスタンプ取得のための検証識別値（検証ハッシュ値）を生成する。この検証ハッシュ値は、複数のタイムスタンプ未取得の可搬メディアをまとめて作成する。例えば、複数の医用管理対象ファイルのファイルハッシュ値からこの検証ハッシュ値を作成してもよい。

　ステップＳＴ５１１では、この検証ハッシュ値を用いて、ＴＳＡ認証局１５からタイムスタンプの取得を行い、取得したタイムスタンプをタイムスタンプ保存部１３５に格納する。図６の最初のレコードの例で言えば、検証ハッシュ値は「６Ｆ３ＦＢ２ＤＤＥＦ３Ｅ・・・」であり、タイムスタンプは「取得」されており、タイムスタンプの有効期限は「２０２０/１２/２３　０９：１５・・・」である。

　メディア検証手段１４のステップＳＴ５１２では、ステップＳＴ５０７の画像ビューワ起動の後、可搬メディア内の医用管理対象ファイルを取得し、そのファイルハッシュ値を、ファイル識別値計算部１４３で計算を行う。また、ステップＳＴ５１３では可搬メディアのボリュームラベルを検索キーとしてタイムスタンプ管理手段１３にタイムスタンプの問い合わせを行い、ボリュームラベルに合致するタイムスタンプとタイムスタンプ取得に使用した検証ハッシュ値を取得する。

　なお、新規医用画像が追加されるなどのメディア更新などでタイムスタンプ保存部１３５のデータベース内に同一のボリュームラベルが複数存在する場合には、ボリュームラベルとともに可搬メディア内の医用管理対象ファイルのファイルハッシュ値を合わせて問い合わせを行ってもよい。このような実施形態については後述する。

　この取得したタイムスタンプと検証ハッシュ値を用いて、可搬メディアの正真性についてＴＳＡ認証局１５へ検証を行う。

　ステップＳＴ５１４では、ステップＳＴ５１２で計算したファイルハッシュ値と、可搬メディア内のインデックスファイル内に記載されているファイルハッシュ値とをファイル正真判定部１４４において比較し、医用管理対象ファイルの同一性を確認する。

　ステップＳＴ５１５では、医用管理対象ファイルをメディア検証手段１４が起動している端末のモニタに表示するとともに、医用管理対象ファイルの同一性とＴＳＡ認証局１５の検証結果と合わせ正真性を証明する。正真性を証明できない場合にはメッセージなどを表示し閲覧者に注意を喚起する。

　また従来、可搬メディアのＣＡ証明書やタイムスタンプの有効期限が切れてしまった場合には、格納される医用情報の正真性を確認するすべがなかったが、ステップＳＴ５１３のタイムスタンプ問い合わせの際に、タイムスタンプ管理手段１３は、タイムスタンプの有効期限を確認し無効であればＴＳＡ認証局１５に対してタイムスタンプの再取得を行う。さらには、有効期限が近くなったら自動的に再取得を行い正真性の継続を行っても良い。

　以上述べたように、第１の実施形態によれば、病院間の情報伝達手段として用いられる医療情報が格納された可搬メディア（ＤＶＤディスク、ブルーレイディスク、ＵＳＢメモリなど）に対して即時タイムスタンプを発行しなくてよいため、患者に可搬メディアを手渡すまでの時間を短縮可能である。

　また、複数の可搬メディアに対してタイムスタンプを１つ取得するために、ＴＳＡ認証のコストを低減することができる。

　さらに、ＣＡ証明書やタイムスタンプの有効期限が切れてしまった場合においても、タイムスタンプ管理手段にアクセスすることにより、タイムスタンプの再取得が可能であることから、可搬メディアの正真性をいつでも証明できる。

（第２の実施形態）
　可搬メディアには追記可能なメディア（追記型可搬メディア）が存在し、紹介先の病院施設で新たな医用情報を追記したい場合がある。このような場合、紹介元のメディア作成手段１２を使用して追記するのは、管理上の問題や利便上の点で好ましくない。

　本実施形態は、このような追記型可搬メディアに対して紹介先のメディア作成手段にて新規医用情報を追加する場合について説明する。

　図７は、追記型可搬メディアに対する正真性検証のフローチャートであり、図８は追記型可搬メディアに対するタイムスタンプ管理のデータベース例である。

　図７に示すように、タイムスタンプ管理手段１３、ＴＳＡ認証局１５、およびメディア検証手段１４、および紹介先施設のメディア作成手段間の処理の流れを示している。

　メディア作成手段とメディア検証手段は同一端末内に実装することが可能なため、ステップＳＴ６０１～ステップＳＴ６０５に示す新規医用管理対象ファイルを追記するステップはメディア検証手段が実装される端末で行ってもよい。

　まず、ステップＳＴ６０１では、紹介先の医師、医療機関のメディア作成手段は、追記型可搬メディアに新規追加する医用管理対象ファイル（新規医用画像、診断レポート）をＰＡＣＳ、ＨＩＳ、あるいはモダリティなどから取得する。

　そしてステップＳＴ６０２では、追記する新規医用管理対象ファイルのファイルハッシュ値を計算する。さらに、新たにＤＩＣＯＭＤＩＲなどのインデックスファイルを作成する（ステップＳＴ６０３）。

　ステップＳＴ６０４では、追記する新規医用管理対象ファイルのファイルハッシュ値をインデックスファイル内に追記し、新たなインデックスファイルのファイルハッシュ値を計算する。

　そしてステップＳＴ６０５では、新たなインデックスファイルをルートとする新規医用管理対象ファイルを可搬メディアに追記する。

　また、ステップＳＴ６０５の可搬メディアに新規医用管理対象ファイルを追記後には、タイムスタンプ管理手段１３対して、追記した可搬メディアのボリュームラベル、新インデックスファイル（新ＤＩＣＯＭＤＩＲ）名、新ファイルハッシュ値、旧ＤＩＣＯＭＤＩＲの旧ファイルハッシュ値などのメディア情報を送信する。

　ステップＳＴ６０６において、タイムスタンプ管理手段１３は受信したメディア情報のうち、ボリュームラベル、新インデックスファイル名、新ファイルハッシュ値を用いて、新しいレコードを作成する。図８の最終レコードに示すように、ボリュームラベル「Ｓ３Ａ６３５２Ｄ」、医用管理対象ファイル名「ＤＩＣＯＭＤＩＲ（２）」、およびファイル識別値（ファイルハッシュ値）「１０ＦＴＫＤ４Ｈ９４Ａ・・・」とする新規レコードを作成する。

　また、ボリュームラベル「Ｓ３Ａ６３５２Ｄ」と旧ＤＩＣＯＭＤＩＲのファイルハッシュ値「１００１０００１１４Ｄ・・・」を検索キーとしてタイムスタンプ保存部１３５のデータベースから過去のレコードを検索する。図８の例では一番上のレコードが検索される。さらに、タイムスタンプ管理手段１３は新規レコードに対して、メディア更新がされていることを示す「メディア更新」フィールドに、メディアが更新されたことを示す情報を格納する。これにより、メディアの更新履歴が管理できることになる。

　ステップＳＴ６０７では、新規レコードに対するタイムスタンプ取得のためのトリガとなるタイミングを発生する。タイミング発生は、第１の実施形態と同様、定期的なタイマー要求と、メディア検証手段１４からの要求に従ってタイミング発生を行うタイムスタンプ検証時要求とがある。

　ステップＳＴ６０８では、ステップＳＴ６０８のタイミング発生に基づき、タイムスタンプ取得のための検証識別値（検証ハッシュ値）を生成する。この検証ハッシュ値は、医用管理対象ファイルの追記によって作成された新規レコードの他、タイムスタンプ未取得の可搬メディアがあればこれらとまとめて作成する。その後、この検証ハッシュ値を用いて、ＴＳＡ認証局１５からタイムスタンプの取得を行い、取得したタイムスタンプをタイムスタンプ保存部１３５に格納する。図９に示す最終レコードのタイムスタンプは「未取得」から「取得」になり、タイムスタンプの有効期限が保存される。

　メディア検証手段１４で、新規追加した医用管理対象ファイルの閲覧・検証方法は、ほぼ第１の実施形態と同じである。ステップＳＴ６０９では、メディア検証手段１４を有する画像ビューワを起動する。ステップＳＴ６１０では、可搬メディア内の医用管理対象ファイルのファイルハッシュ値を、ファイル識別値計算部１４３で計算を行う。

　また、ステップＳＴ６１１では可搬メディアのボリュームラベルを検索キーとしてタイムスタンプ管理手段１３にタイムスタンプの問い合わせを行い、ボリュームラベルに合致するタイムスタンプとタイムスタンプ取得に使用した検証ハッシュ値を取得する。なお、新規医用管理対象ファイルが追加されているため、タイムスタンプ保存部１３５のデータベース内に同一のボリュームラベルが複数存在することになる。ボリュームラベルだけを検索キーとすれば、可搬メディアのすべてのレコードが検索されるので更新履歴情報を取得することができる。ボリュームラベルとともに一番新しい医用管理対象ファイルのファイルハッシュ値を合わせて検索キーとして問い合わせを行えば、最新のタイムスタンプが取得できる。さらに取得した最新のタイムスタンプと検証ハッシュ値を用いて、可搬メディアの正真性についてＴＳＡ認証局１５へ検証を行う。

　ステップＳＴ６１２では、ファイル識別値計算部１４３で計算したファイルハッシュ値と、可搬メディア内のインデックスファイル内に記載されているファイルハッシュ値をファイル正真判定部１４４において比較し、医用管理対象ファイルの同一性を確認する。

　ステップＳＴ６１３では、医用管理対象ファイルを端末のモニタに表示するとともに
ＴＳＡ認証局１５の検証結果を合わせ、医用管理対象ファイルの同一性と正真性を証明する。

　以上述べたように、第２の実施形態によれば、追記型可搬メディアに医用管理対象ファイルを追加しても、ファイルの正真性が検証可能である。

（第３の実施形態）
　上述の実施形態では、医用管理対象ファイルは可搬メディア内に同梱されているものとして説明した。しかし、医用画像の高精細化伴いファイルサイズが大容量化し、必ずしも可搬メディア内にすべての医用管理対象ファイルが保存できるとは限らない。また、医用管理対象ファイルが可搬メディア内に複製されるため、可搬メディアが紛失しないように管理されなければならない。さらに可搬メディア内に、患者もしくは第３者に閲覧させたくない医用画像や診断レポートが保存されることが好ましくない場合もある。このような状況を考慮し、本実施形態は医用管理対象ファイルの１部または全部を可搬メディアに同梱せず、これを地域連携下の病院がアクセス可能な共有サーバに格納して一元的に管理する。従って医用管理対象ファイルが共有サーバ１０１に保存される場合には、可搬メディアには医用管理対象ファイルのファイルハッシュ値と医用管理対象ファイルのリンク情報が格納される。

　図１０は、第３の実施形態における医用情報検証システムの全体構成図である。図１に加え、ネットワーク１６に接続された共有サーバ１０１が追加されている。メディア作成手段１２は、提携下の他病院で閲覧する医用管理対象ファイルをこの共有サーバ１０１に格納する。また、可搬メディア内にはその医用管理対象ファイルをアクセスするためのリンク情報を格納する。共有サーバ１０１は地域連携下の病院に公開されており、地域連携下の病院からは共有サーバ１０１に保存された医用管理対象ファイルをアクセスすることが可能である。共有サーバ１０１の実施形態は病院施設内のＰＡＣＳ、ＨＩＳ、およびＲＩＳなどと連携して動作するオンプレミス型サーバであってもよいし、病院施設外に設置された、いわゆるクラウド型サーバであってもよい。

　図１１は、同実施形態における可搬メディアに対する正真性検証のフローチャートである。図５に加え、メディア作成手段１２から共有サーバ１０１への医用管理対象ファイルの書き込み動作と、メディア検証手段１４における共有サーバ１０１からの医用管理対象ファイルの読み込み動作が追加されている。

　ここでは、ステップＳＴ５０５Ｍ～ＳＴ５０７Ｍについて共有サーバ１０１が追加された時の動作について説明するが、その他のステップの説明は第１の実施形態と同じなため省略する。

　ステップＳＴ５０５Ｍにおいて、メディア作成手段１２は、インデックスファイル内に医用管理対象ファイルのファイルハッシュ値を記述し、さらにこのインデックスファイルのファイルハッシュ値を生成する。そして一部または全部の医用管理対象ファイルを可搬メディアには同梱せず、共有サーバ１０１にアップロードする。そして共有サーバ１０１の格納場所を示すリンク情報を取得する。

　ステップＳＴ５０６Ｍでは、ステップＳＴ５０６と同様に、可搬メディアを作成する。この時、共有サーバ１０１にアップロードされなかった医用管理対象ファイルは、可搬メディア内に同梱されるが、共有サーバ１０１にアップロードした医用管理対象ファイルについてはそのリンク情報がメディア情報として記載される。また、このリンク情報は、共有サーバ１０１の格納場所を示すリンクアドレスの他に、共有サーバ１０１へのアクセス権限が追加されてもよい。

　可搬メディアが作成されると、この可搬メディアは患者に即時発行される。ステップＳＴ５０７Ｍにおいて、この可搬メディアは紹介先の病院施設のメディア検証手段１４において閲覧される。具体的には、可搬メディア内に同梱された画像ビューワアプリケーションを起動させるとともに、可搬メディア内のリンク情報を使用して医用管理対象ファイルを共有サーバ１０１からダウンロードする。そして可搬メディアの検証要求をタイムスタンプ管理手段１３に行う。

　以上述べたように、共有サーバ１０１に医用管理対象ファイルを保存するため、可搬メディア内には医用管理対象ファイルそのものを格納することない。紹介先のメディア検証手段にて医用管理対象ファイルの閲覧と正真性の検証が可能となる。

　また図１２は、同実施形態における追記型可搬メディアに対する正真性検証のフローチャートである。図１２では図７に加え、紹介先のメディア作成手段またはメディア検証手段１４から共有サーバ１０１への書き込み動作と、メディア検証手段１４における共有サーバ１０１からの医用管理対象ファイルの読み込み動作が追加されている。

　ここでは、ステップＳＴ６０４Ｍ、ＳＴ６０５Ｍ、およびＳＴを６０９Ｍ用いて共有サーバ１０１の動作について説明する。その他のステップの説明は第２の実施形態と同じなため省略する。

　ステップＳＴ６０４Ｍでは、ステップＳＴ６０２で求めた追記すべき医用管理対象ファイルのファイルハッシュ値を新たなインデックスファイル内に格納する。そして新たなインデックスファイルのファイルハッシュ値を計算する。そして追記すべき医用管理対象ファイルを同梱しない場合は、その医用管理対象ファイルを共有サーバ１０１にアップロードする。そしてアップロード先のリンク情報を取得する。

　ステップＳＴ６０５Ｍでは、新たなインデックスファイルを可搬メディアに追記する。可搬メディア内には医用管理対象ファイルのファイルハッシュ値と、共有サーバ１０１にアップロードした医用管理対象ファイルのリンク情報が記載される。共有サーバ１０１にアップロードしなかった医用管理対象ファイルは、可搬メディア内に追記同梱される。

そしてタイムスタンプ管理手段１３対して、追記した可搬メディアのボリュームラベル、新インデックスファイル（新ＤＩＣＯＭＤＩＲ）名、新ファイルハッシュ値、旧ＤＩＣＯＭＤＩＲの旧ファイルハッシュ値などのメディア情報を送信する。

　ステップＳＴ６０９では、メディア検証手段１４において画像ビューワを起動する。そして可搬メディアに同梱されていない医用管理対象ファイルについては、そのリンク情報を基に共有サーバ１０１から医用管理対象ファイルを取得する。

　このように、保存容量の少ない可搬メディアに対しても医用管理対象ファイルの追記が可能となる。すなわち、共有サーバを用いた本実施形態によれば、大容量の医用管理対象ファイルを可搬メディア内に同梱する必要がない。従って本実施形態は、例えば保険証のＩＣチップなどの小容量の可搬メディアに適用することが可能である。地域連携下のいずれの病院において、同一の保険証にて医用管理対象ファイルの正真性の検証と履歴管理が可能であるため非常に利便性が向上する。さらには、共有サーバにてアクセスコントロールが可能であるため、医用管理対象ファイルのセキュリティやプライバシーを配慮した運用が可能である。

　なお、以上述べた本実施形態では、タイムスタンプ管理手段１３で取り扱うデータベースは、医用管理対象ファイルそのものを管理していない。すなわち、管理するものは、医用管理対象ファイル名やインデックスファイル名、そのファイルハッシュ値、及び検証ハッシュ値などの管理情報である。したがってタイムスタンプ保存部１３５の保存容量は大容量のものを必要としない。このため、低価格なシステム構成で実現できる。だだし、インデックスファイルや医用管理対象ファイルそのものをデータベースで管理してもよく、管理対象形態を制限するものではない。したがって本実施形態によれば、低価格で正真性が確保される医用情報検証システムを提供できる。

　本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

１１…ＰＡＣＳ、
１２…メディア作成手段、
１３…タイムスタンプ管理手段、
１４…メディア検証手段、
１５…ＴＳＡ認証局、
１６…ネットワーク、
１０１…共有サーバ
１２１…画像取得部、
１２２…ファイル識別値生成部、
１２３…メディア作成部、
１２４…メディア情報送信部、
１３１…メディア情報受信部、
１３２…検証識別値生成部、
１３３…タイミング発生部、
１３４…タイムスタンプ取得部、
１３５…タイムスタンプ保存部、
１３６…タイムスタンプ送信部、
１３７…タイムスタンプ管理部、
１４１…ファイル読み出し部、
１４２…タイムスタンプ問い合わせ部、
１４３…ファイル識別値計算部、
１４４…ファイル正真判定部、
１４５…画像表示部。

Claims

　メディアに記憶される、医用管理対象ファイルの情報に基づいて求められたメディア情報を取得・記憶するメディア情報記憶手段と、
　複数の異なるメディアのメディア情報を束ねて医用管理対象ファイル群を生成し、この医用管理対象ファイル群に対応する検証識別値を生成する検証識別値生成手段と、
　前記検証識別値に対するタイムスタンプを認証局から取得するタイムスタンプ取得手段と
　前記タイムスタンプのタイムスタンプ情報を、前記医用管理対象ファイル群に対応付けて記憶するタイムスタンプ情報記憶手段と、
　ネットワークを介して送られてきたタイムスタンプ問い合わせ要求に基づいて、前記タイムスタンプ情報を送信するタイムスタンプ情報送信手段と、
　を備えるタイムスタンプ管理手段を有する医用情報検証システム。
　前記メディア情報は、医用管理対象ファイル名、前記医用管理対象ファイルを識別可能なファイル識別値、および前記メディアを識別するメディア識別値を含む請求項１記載の医用情報検証システム。
　前記タイムスタンプ管理手段は、前記メディア情報、前記検証識別値、および前記タイムスタンプ情報を含む管理情報を管理する請求項１記載の医用情報検証システム。
　前記タイムスタンプ情報送信手段は、前記医用管理対象ファイルの正真性を検証するメディア検証手段から前記ネットワークを介して送られるタイムスタンプ問い合わせ要求に対して、前記メディア情報に対応するタイムスタンプ情報を送信する請求項１記載の医用情報検証システム。
　前記メディア情報は、前記複数の医用管理対象ファイルをツリー構造体として管理するインデックスファイルとインデックスファイルのファイル識別値をさらに有し、前記インデックスファイル内に前記複数の医用管理対象ファイルのファイル識別値が保存される請求項４記載の医用情報検証システム。
　前記タイムスタンプ管理手段は、前記認証局からタイムスタンプを取得するためのタイムスタンプ取得タイミングを発生するタイミング発生手段をさらに有する請求項５記載の医用情報検証システム。
　前記タイミング発生手段は、定期的なタイマー要求もしくは前記メディア検証手段からの要求に基づき前記タイムスタンプ取得タイミングを発生する請求項６記載の医用情報検証システム。
　前記医用管理対象ファイルの正真性を検証するメディア検証手段をさらに有し、前記メディア検証手段は、前記メディアのメディア識別値および前記メディアに記録されるファイル識別値に対応するタイムスタンプ情報とその検証識別値を前記タイムスタンプ管理手段から取得し、これを用いて前記認証局に問い合わせを行い、前記認証局からタイムスタンプの検証結果を取得するタイムスタンプ問い合わせ手段を有する請求項１記載の医用情報検証システム。
前記メディア検証手段は、前記メディア情報から前記医用管理対象ファイルを読み出すファイル読出手段と、
　この読み出した医用管理対象ファイルから、新たにファイル識別値を計算するファイル識別値計算手段と、
　前記新たに計算したファイル識別値と前記メディア内に記憶されるファイル識別値の同一性と、前記タイムスタンプの検証結果から前記医用管理対象ファイルの正真判定を行うファイル正真判定手段と、
　をさらに有する請求項８記載の医用情報検証システム。
　前記メディアを作成するメディア作成手段をさらに有し、
　前記メディア作成手段は、医用管理対象ファイルを取得する医用管理対象ファイル取得手段と、
　前記医用管理対象ファイルから識別可能なファイル識別値を生成するファイル識別値生成手段と、
　前記メディアが作成された時、前記タイムスタンプ管理手段に前記メディア情報を送信するメディア情報送信手段と、
　を備える請求項９記載の医用情報検証システム。
　前記メディア内に前記メディア検証手段をアプリケーションとして格納する請求項１０記載の医用情報検証システム。
　前記医用管理対象ファイルは、ＤＩＣＯＭ形式に準拠し、前記インデックスファイルはＤＩＣＯＭＤＩＲである請求項１１記載の医用情報検証システム。
　前記メディア識別値は前記メディアのボリュームラベルであり、前記ファイル識別値および前記検証識別値にハッシュ値を用いる請求項１２記載の医用情報検証システム。
　前記タイムスタンプ管理手段は、追記型メディアに新な医用管理対象ファイルが追記・更新された場合、追記したメディア識別値、更新した医用管理対象ファイル名、そのファイル識別値、および更新前のファイル識別値を、前記ネットワークを介して受信、記憶し、前記追記型メディアに更新があったことを記憶するとともに、前記追記型メディア更新後のメディア識別値、ファイル識別値、検証識別値、およびタイムスタンプ情報を含む前記管理情報を管理する請求項３記載の医用情報検証システム。
　前記医用管理対象ファイルを保存する共有サーバをさらに有する請求項１０記載の医用情報検証システム。
　前記メディア検証手段は、前記共有サーバから前記医用管理対象ファイルを読み出すファイル読出手段をさらに有する請求項１５記載の医用情報検証システム。
　前記メディア作成手段は、前記医用管理対象ファイルの一部または全部を前記共有サーバへ書き込むファイル書き込み手段を備える請求項１６記載の医用情報検証システム。
　前記メディア情報は、前記共有サーバから前記医用管理対象ファイルをアクセスするためのリンク情報を含む請求項１７記載の医用情報検証システム。