医用情報管理システム
【課題】ネットワークに医用情報が流れる前に医用情報に含まれる所定項目の情報が隠蔽され、ネットワークの途中で送信している医用情報が盗まれても情報の機密を保つことができる技術を提供し、その上で的確な医用情報の開示又は非開示を実現できる技術を提供する。
【解決手段】サーバは、クライアント端末3が取得しようとする医用情報に含まれる所定項目の情報に対して隠蔽処理を施し、隠蔽処理が施された項目の情報を含む医用情報を含めてクライアント端末2に送信する。隠蔽処理部23では、所定項目の情報を復号不可能に変換する変換部23aと、所定項目の情報を復号可能に暗号化する暗号化部23bと、隠蔽処理する項目の特定及び特定された項目に対する隠蔽処理方式を選択する選択部23cと、隠蔽設定テーブル24を備える。
【解決手段】サーバは、クライアント端末3が取得しようとする医用情報に含まれる所定項目の情報に対して隠蔽処理を施し、隠蔽処理が施された項目の情報を含む医用情報を含めてクライアント端末2に送信する。隠蔽処理部23では、所定項目の情報を復号不可能に変換する変換部23aと、所定項目の情報を復号可能に暗号化する暗号化部23bと、隠蔽処理する項目の特定及び特定された項目に対する隠蔽処理方式を選択する選択部23cと、隠蔽設定テーブル24を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、医用情報を管理し、クライアント端末に医用情報を送信する技術に関し、特に医用情報を隠蔽してから送信する技術に関する。
【背景技術】
【0002】
病院内のシステム化が進み、院内で様々なシステムが稼働する様になってきた。例えば、画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)等の医用情報管理システムがネットワークに接続され、これらシステムが備えるサーバとクライアント端末が通信を行う。クライアント端末は、医用情報を管理するサーバとの通信によって医用情報を受信し、モニタに表示する。またはメディアに保存する。
【0003】
病院内のシステムによって送受信される医用情報には、プライバシーに関する項目が多く、漏洩防止に努める必要がある。
【0004】
医用情報の漏洩防止技術としては、操作パネルから入力する医用情報を、超音波断層像と共に表示および印刷する超音波診断装置において、予め定められた第一の入力信号を検出すると、操作パネルから入力される文字が表示されることを抑止することにより、医用情報を隠蔽する制御を行なう技術が開示されている(例えば、特許文献1参照)。この技術は、医用情報を表示する装置が当該医用情報の各項目に隠蔽処理を施すものである。
【0005】
【特許文献1】特開平5−49636号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
医用情報を表示する装置が当該医用情報の各項目に隠蔽処理を施す技術を、ネットワークを介して医用情報をクライアント端末へ送信するシステムに適用した場合、ネットワーク上を流れる医用情報に対しては何らの隠蔽措置が採られない。万一、ネットワーク上を流れる医用情報を第三者に取得された場合、当該医用情報が全て第三者に漏洩してしまう。
【0007】
また、第三者に対しては医用情報を厳重に隠蔽しなくてはならないが、同時にクライアント端末の利用者に対しても必要以上の項目を閲覧させてはならない。すなわち、クライアント端末へ送信する医用情報のサーバ上での隠蔽は、隠蔽範囲の異なる第三者とクライアント端末の利用者の両方を考慮して行わなくてはならない。
【0008】
本発明は、以上の問題点に鑑みてなされたものであって、その目的は、ネットワークに医用情報が流れる前に医用情報の所定の項目が隠蔽され、ネットワークの途中で送信している医用情報が盗まれても情報の機密を保つことができる技術を提供することにある。また、医用情報の各項目に対する隠蔽に柔軟性を付与し、ネットワーク上における情報の機密性を確保した上で的確な医用情報の開示又は非開示を実現できる技術を提供することにある。
【課題を解決するための手段】
【0009】
上記課題を解決するための、請求項1記載の発明は、複数項目の情報を含む医用情報を記憶するサーバと当該サーバから医用情報を取得して表示するクライアント端末を備える医用情報管理システムであって、前記サーバは、前記クライアント端末から取得要求された医用情報に含まれる所定項目の情報に対して隠蔽処理を施す隠蔽手段と、隠蔽処理が施された項目の情報を含む前記取得要求された医用情報を前記クライアント端末に送信する送信手段と、を備えること、を特徴とする。
【0010】
前記隠蔽手段は、前記項目の情報を復号不可能に変換する隠蔽処理を行う変換手段と、前記項目の情報を復号可能に暗号化する隠蔽処理を行う暗号化手段と、隠蔽処理の要否と前記変換と前記暗号化を含む隠蔽処理方式を医用情報に含まれる項目に応じて定義するテーブルと、前記テーブルに基づき、隠蔽処理する項目の特定及び特定された項目の情報に対する隠蔽処理方式の選択を行う選択手段と、を含むようにしてもよい(請求項2記載の発明に相当)。
【0011】
前記サーバは、前記取得要求した前記クライアント端末の利用者の識別情報に基づき医用情報の閲覧権限レベルを取得する閲覧権限レベル取得手段をさらに備え、前記隠蔽手段は、前記項目の情報を復号不可能に変換する隠蔽処理を行う変換手段と、前記項目の情報を復号可能に暗号化する隠蔽処理を行う暗号化手段と、医用情報に含まれる項目に応じて隠蔽処理方式を選択する選択手段と、医用情報に含まれる項目に応じて隠蔽の対象となるレベルを定義するテーブルと、前記閲覧権限レベルと前記テーブルに基づき、置き換え又は暗号化の隠蔽処理方式が選択された項目の隠蔽処理の要否を決定して、前記選択手段の選択を確定する確定手段と、を含むようにしてもよい(請求項3記載の発明に相当)。
【発明の効果】
【0012】
本発明では、複数項目の情報を含む医用情報を記憶するサーバと当該サーバから医用情報を取得して表示するクライアント端末を備える医用情報管理システムであって、前記サーバは、前記クライアント端末から取得要求された医用情報に含まれる所定項目の情報に対して隠蔽処理を施す隠蔽手段と、隠蔽処理が施された項目の情報を含む前記取得要求された医用情報を前記クライアント端末に送信する送信手段と、を備えるようにした。これにより、ネットワークに医用情報が流れる前に医用情報に含まれる所定項目が隠蔽され、ネットワークの途中で送信している医用情報が盗まれても情報の機密を保つことができる。
【0013】
また、隠蔽手段に、項目の情報を復号不可能に変換する隠蔽処理を行う変換手段と、前記項目の情報を復号可能に暗号化する隠蔽処理を行う暗号化手段と、隠蔽処理の要否と前記変換と前記暗号化を含む隠蔽処理方式を医用情報に含まれる項目に応じて定義するテーブルと、前記テーブルに基づき、隠蔽処理する項目の特定及び特定された項目の情報に対する隠蔽処理方式の選択を行う選択手段と、を含むようにすることで、医用情報の隠蔽に柔軟性を付与し、ネットワーク上における情報の機密性を確保した上で的確な医用情報の開示又は非開示を実現できる。
【発明を実施するための最良の形態】
【0014】
(第1の実施形態)
図1は、医用情報管理システムの構成を示すブロック図である。医用情報管理システム1は、医用情報を記憶・管理するサーバ2と医用情報を取得・閲覧するクライアント端末3とをネットワークNを介して接続して備える。
【0015】
サーバ2は、クライアント端末3への医用情報送信前処理として医用情報のうち予め定められた項目に隠蔽処理を施す。クライアント端末3で隠蔽処理された項目は隠蔽されて表示される。またはメディアに保存される。
【0016】
医用情報は、医用画像、検査状況情報、検査オーダー情報、患者情報等の病院内で治療又は診断に関連して発生する情報である。図2は、医用情報が医用画像である場合の一例である。医用画像Pのデータは、図2に示すように、DICOM(Digital Imaging and Communications in Medicine)規格によって、各情報の項目で構成される。医用画像Pの項目は、画像データ部P1に記述される画像情報と付帯情報部P2に記述される各種付帯情報4に大別される。付帯情報4は、例えば患者氏名、患者ID、生年月日、性別、検査日付、検査時刻、検査に使用されたモダリティの種類、検査部位である。付帯情報部P2には、DICOM規格によって付帯情報4の種類を識別するタグ4aが記述されており、タグ4a以下に対応する付帯情報4が記述される。
【0017】
隠蔽処理は、医用情報の所定項目を構成する文字列を当該文字列とは異なる伏せ字に復号不可能に変換する処理、又は所定項目を構成する文字列を復号可能に暗号化する処理である。サーバ2は、医用情報に含まれる項目毎に隠蔽処理の要否と伏せ字変換と暗号化とを含む隠蔽処理方式を判断するための情報を定義したテーブルを記憶し、当該テーブルに従って隠蔽処理を行う。
【0018】
図3は、医用情報の項目毎に隠蔽処理方式を定義した隠蔽設定テーブル2aを示す図であり、医用情報が医用画像Pである場合を例としている。隠蔽設定テーブル2aには、タグ4aに対応するタグ名4bが記述され、このタグ名4bと対にして隠蔽処理方式5を定義している。定義される隠蔽処理方式5は、隠蔽処理無し、伏せ字へ復号不可能な変換、及び暗号化である。
【0019】
また、隠蔽設定テーブル2aで伏せ字の指定6や暗号化の方式7をさらに定義することもできる。伏せ字は、項目を構成する文字列とは異なる別の文字若しくは数値又は記号の列であり、例えば所定長連続したX(エックス)が挙げられる。暗号化は、DES(Data Encryption Standard)等の共有鍵暗号方式、又はRSA等の公開鍵暗号方式が挙げられる。
【0020】
図3に示す隠蔽設定テーブル2aによると(0010,0010)、(0010,0020)、(0010,0030)、(0010,4000)のタグ名4bと対になって定義されている隠蔽処理方式5は、それぞれ「隠蔽処理無し」、「伏せ字変換」、「暗号化」、「暗号化」である。サーバ2は、送信前処理として、図4に示すように、(0010,0020)のタグ4a以下の付帯情報4を隠蔽処理の対象として特定して伏せ字変換を選択し所定長連続したX(エックス)でなる伏せ字に変換する。同様に(0010,0030)(0010,4000)のタグ4a以下の付帯情報4,4を暗号化する。
【0021】
この隠蔽処理の後、サーバ2は、隠蔽処理を施した付帯情報4,4をクライアント端末3に送信する。図5に示すように、クライアント端末3は、伏せ字に変換された付帯情報4を伏せ字のまま表示またはメディアに保存し、暗号化された医用情報を復号化できる復号鍵を保持している場合には復号して表示またはメディアに保存する(ここでは復号の結果、暗号化により変換された文字列「VWXYZ」が元の付帯情報4である「19950707」に復号され、暗号化により変換された文字列「DEFGH」が元の付帯情報4である「末期癌」に復号される)。
【0022】
このような医用情報管理システム1が備えるサーバ2についてさらに詳細に説明する。図6は、サーバ2の構成を示すブロック図である。サーバ2は、処理部2A、主記憶部2B、外部記憶部2C、送受信部2Dで構成されるコンピュータである。尚、サーバ2は、本実施形態のように1筐体のコンピュータで構成してもよいが、複数筐体のコンピュータで構成し、医用情報を格納するためのネットワークストレージを備えるようにしてもよい。
【0023】
処理部2Aは、いわゆるCPUであり、プログラムに従った演算を行い、各周辺部を制御する。主記憶部2Bは、例えば半導体メモリ等のRAMであり、処理部2Aの作業領域として、プログラム、若しくは処理部2Aの演算による演算結果、又はデータが展開される。送受信部2Dは、例えばLANやモデム等のネットワークアダプタであり、ネットワークNに接続するクライアント端末3に対して医用情報を送信する。
【0024】
外部記憶部2Cは、サーバ2を医用情報管理及び医用情報隠蔽を行う装置として動作させるプログラム(以下、「本プログラム」という)及びオペレーティングシステムプログラム(OS)を記憶している。この外部記憶部2Cには、医用情報のデータベースと医用情報が格納されている。サーバ2が複数筐体のコンピュータから構成されてネットワークストレージを備える場合には、医用情報をネットワークストレージに記憶するようにしてもよく、ネットワークストレージを医用除法隠蔽を行う装置として適用してもよい。
【0025】
図7は、サーバ2の機能ブロック図である。サーバ2は、本プログラムに従った処理を実行することで、医用情報を格納する医用情報格納部21、医用情報を管理する医用情報管理部22、医用情報に含まれる所定項目を隠蔽する医用情報隠蔽部23を備える。また、医用情報隠蔽部23は、伏せ字への復号不可能な変換を行う伏せ字変換部23aと暗号化を行う暗号化部23bと医用情報に含まれる隠蔽処理する項目の特定及び特定された項目に対する隠蔽処理方式を選択する選択部23cと隠蔽設定テーブル2aを記憶する隠蔽設定テーブル記憶部24を備える。
【0026】
医用情報格納部21は、外部記憶部2Cで構成され、医用情報を格納する。サーバ2がネットワークストレージを備える場合、医用情報格納部21は、ネットワークストレージで構成される。
【0027】
医用情報管理部22は、医用情報のデータベースへの登録、格納制御及び送信制御を行う。医用情報は、超音波や放射線や磁気等により被検体内を画像化して医用画像を作成する医用画像作成装置や医用画像以外の医用情報を作成する端末によって作成されて、登録及び格納のためにサーバ2へ送信されている。
【0028】
登録処理及び格納制御では、送信された医用情報をデータベース登録し、医用情報格納部21又へ格納する制御を行い、医用情報を閲覧可能にする。送信制御では、クライアント端末3から医用情報のクエリーリトリーブ(Query/Retrieve:Q/R)等の検索及び送信要求が行われると、データベースを検索して該当する医用情報を医用情報格納部21からクライアント端末3へ送信する制御を行う。
【0029】
医用情報隠蔽部23は、送信する医用情報に予め定められた項目が存在する場合、その項目に隠蔽処理を行う。尚、医用情報隠蔽部23はネットワークストレージに備えるようにしてもよい。隠蔽処理では、伏せ字変換部23aにより伏せ字への復号不可能な変換を行い、暗号化部23bにより復号可能に変換する暗号化を行う。
【0030】
また、選択部23cでは、医用情報に含まれる隠蔽処理する項目を特定し隠蔽処理の方式を選択する。医用情報が医用画像Pである場合、選択部23cは、隠蔽設定テーブル2aから医用画像Pの付帯情報部P2に記述されたタグ4aと一致するタグ名4bを検索し、対にして定義された隠蔽処理方式5を読み出す。隠蔽処理方式5が伏せ字変換の場合、検索に用いたタグ4aを指定して当該タグ4a以下の付帯情報4に対する伏せ字変換部23aの処理を制御する。隠蔽処理方式5が暗号化の場合、検索に用いたタグ4aを指定して当該タグ4a以下の付帯情報4に対する暗号化部23bの処理を制御する。
【0031】
この医用情報管理システム1の動作を図8に基づき説明する。図8は、医用情報管理システム1の動作を示すフローチャート図である。尚、本説明において医用情報は、医用画像Pである。
【0032】
まずクライアント端末3は、サーバ2に所望する医用画像Pの検索・送信要求をネットワークNを介して行う(S01)。サーバ2は、検索・送信要求に対応する医用画像Pをデータベースから検索して外部記憶部2C又はネットワークストレージから取得する(S02)。
【0033】
サーバ2は、医用画像Pを取得すると、付帯情報部P2からタグ4a,4a・・・を順次読み出す(S03)。次に読み出したタグ4a,4a・・・に対応するタグ名4b,4b・・・を隠蔽設定テーブル2aから順次検索する(S04)。該当するタグ名4b,4b・・・が隠蔽設定テーブル2aから検索されると、該当するタグ名4b,4b・・・に対にして定義されている隠蔽処理方式5,5・・・を順次読み出す(S05)。
【0034】
読み出した隠蔽処理方式5が伏せ字による変換であれば(S06,Yes)、タグ名4bに対にして定義されている伏せ字指定6を読み出し(S07)、付帯情報部P2から読み出したタグ4a以下に記述されている付帯情報4を、指定された伏せ字に変換する(S08)。
【0035】
読み出した隠蔽処理方式5が暗号化であれば(S09,Yes)、タグ名4bに対にして定義されている暗号化方式7を読み出し(S10)、付帯情報部P2から読み出したタグ4a以下に記述されている付帯情報4を、指定された暗号化方式で暗号化する(S11)。隠蔽処理方式5が暗号化でない場合(S09,No)、隠蔽処理無しとしてS12に進む。
【0036】
隠蔽処理する付帯情報4に対する処理が全て終了するまでS06〜S11を繰り返し(S12,No)、隠蔽処理する付帯情報4に対する処理が全て終了すると(S12,Yes)、サーバ2は、伏せ字変換及び暗号化が施された医用画像PをネットワークNを介してクライアント端末3に送信する(S13)。クライアント端末3では、医用画像Pを受信すると、暗号化の方式に合った復号鍵を保持している場合(S14,Yes)、復号鍵を用いて暗号化された付帯情報4を復号し(S15)、医用画像に含まれる画像データに対応する画像及び医用画像に含まれる付帯情報4,4・・・をモニタに表示する(S16)。またはメディアに保存する。
【0037】
表示の結果、クライアント端末3では、伏せ字変換された付帯情報は隠蔽され、クライアント端末3が暗号化の方式に合った復号鍵を保持している場合にのみ暗号化された付帯情報4を表示できる。またはメディアに保存できる。
【0038】
このように、本実施形態の医用情報管理システム1では、ネットワークNに医用情報が流れる前に所定の項目が隠蔽され、ネットワークNの途中で送信している医用情報が盗まれても情報の機密を保つことができる。さらに、伏せ字変換と暗号化の組み合わせによって情報の機密性を2段階のレベルに分けることができ、医用情報の隠蔽に柔軟性を付与し、ネットワーク上における情報の機密性を確保した上で的確な医用情報の開示又は非開示を実現できる。
【0039】
医用画像以外の病院内で治療又は診断に関連して発生する情報の場合、隠蔽設定テーブル24aには、医用情報に含まれる項目の種別名を記述するようにすればよい。医用情報に含まれる項目の種別名とタグ名4bは隠蔽設定テーブル2aに混在させて記述することができる。
【0040】
(第2の実施形態)
次に医用情報管理システム1の第2の実施形態について詳細に説明する。尚、第1の実施形態と同一の構成についてはその詳細な説明を省略する。本実施形態の医用情報管理システム1は、システムを利用する利用者によって隠蔽する医用情報を可変するものである。
【0041】
図9は、サーバ2の機能ブロック図である。サーバ2は、外部記憶部2Cに記憶されている本プログラムに従った処理を実行することで、医用情報格納部21、医用情報管理部22、医用情報隠蔽部23、利用者の医用情報の閲覧権限レベルを取得する権限レベル取得部25を備える。また、医用情報隠蔽部23は、伏せ字変換部23a、暗号化部23b、選択部23c、隠蔽設定テーブル記憶部24、隠蔽処理の要否を決定して選択部23cの選択を確定する確定部23dを備える。権限レベル取得部25は、医用情報の閲覧権限レベルを利用者毎に定義するテーブルを記憶する権限レベルテーブル記憶部26を備える。
【0042】
権限レベル取得部25は、本システムの利用者の識別情報を取得し、レベルテーブル記憶部26に記憶された医用情報の閲覧権限レベルを利用者毎に定義するテーブルから利用者の医用情報の閲覧権限レベルを取得する。
【0043】
権限レベルテーブル記憶部26は、外部記憶部2Cで構成され、図10に示す権限レベルテーブル26aが記憶されている。図10は、権限レベルテーブル26aの一例を示す図である。権限レベルテーブル26aは、利用者の識別情報に医用情報の閲覧権限レベル26bを定義する。閲覧権限レベル26bは、権限に対応して数値化され、例えばAdministrator(システム管理者)、医師(主治医)、医師(放射線医)、医師(研修医)、看護師、放射線技師、臨床検査技師、理学療法士、作業療法士、薬剤師、事務員等の権限に対応している。
【0044】
また、図11は、本実施形態の隠蔽設定テーブル記憶部24に記憶されている隠蔽設定テーブル2bを示す。隠蔽設定テーブル2bは、隠蔽処理方式5の定義に加え、伏せ字変換を行う対象となる隠蔽レベル8及び暗号化を行う対象となる隠蔽レベル9が定義されている。
【0045】
医用情報隠蔽部23において、確定部23dは、隠蔽処理方式5が伏せ字変換であれば伏せ字変換を行う隠蔽レベル8と閲覧権限レベル26bを比較し、隠蔽処理方式5が暗号化であれば暗号化を行う隠蔽レベル9と閲覧権限レベル26bを比較する。一致すれば、選択部23cの隠蔽処理の選択を確定し、選択部23cによる制御が開始される。
【0046】
例えば、図10に示す権限レベルテーブル26aにおいて、放射線技師の閲覧権限レベル26bは「5」であり、(0010,0020)のタグ名4bに対応する隠蔽レベル8の「9又は10」とは一致せず、選択部23cによる伏せ字変換の選択は確定されず伏せ字変換は行われない。(0010,0030)のタグ名4bに対応する隠蔽レベル8の「5乃至10の何れか」とは一致して暗号化の選択が確定されて暗号化が施される。
【0047】
また、隠蔽設定テーブル2bには、隠蔽処理5の定義として、「暗号化優先」を定義してもよい。この場合、例えば図11に示す(0010,4000)のタグ名4bのように、隠蔽レベル8,9が両方定義される。隠蔽レベル9と閲覧権限レベル26bが一致すれば暗号化を施し、閲覧権限レベル26bが隠蔽レベル9と一致せず、隠蔽レベル8と一致すれば伏せ字変換を行う。図10に示す権限レベルテーブル26aにおいて(0010,4000)のタグ4aに対応する付帯情報4を医師(放射線医)、医師(研修医)、看護師が閲覧しようとする場合は、当該付帯情報4は暗号化され、Administrator以外は伏せ字変換される。
【0048】
本実施形態の医用情報管理システム1の動作を図12に基づき説明する。図12は、本実施形態の医用情報管理システム1の動作を示すフローチャート図である。尚、本説明において医用情報は、医用画像Pである。
【0049】
まずクライアント端末3では、ログイン入力画面が表示され、ログイン入力に従ってシステム利用者がアカウントを入力すると、当該アカウントが識別情報としてサーバ2に送信される(S20)。サーバ2は、権限レベルテーブル26aを読み出して、クライアント端末3で入力された識別情報を検索し(S21)、該当する識別情報に定義された閲覧権限レベル26bを取得する(S22)。
【0050】
次に、クライアント端末3からサーバ2に所望する医用画像Pの検索・送信要求をネットワークNを介して行われると(S23)、サーバ2は、検索・送信要求に対応する医用画像Pをデータベースから検索して外部記憶部2C又はネットワークストレージから取得する(S24)。
【0051】
サーバ2は、医用画像Pを取得すると、付帯情報部P2からタグ4a,4a・・・を順次読み出す(S25)。次に読み出したタグ4a,4a・・・に対応するタグ名4b,4b・・・を隠蔽設定テーブル2bから順次検索する(S26)。該当するタグ名4b,4b・・・が隠蔽設定テーブル2bから検索されると、該当するタグ名4b,4b・・・に対にして定義されている隠蔽処理方式5,5・・・を順次読み出す(S27)。
【0052】
読み出した隠蔽処理方式5が暗号化又は暗号化優先であれば(S28,Yes)、主記憶部2Bから閲覧権限レベル26bを読み出し、該当するタグ名4bに定義されている暗号化を行う隠蔽レベル9と閲覧権限レベル26bとを比較する(S29)。閲覧権限レベル26bが隠蔽レベル9と一致すれば(S29,Yes)、タグ名4bに対にして定義されている暗号化方式7を読み出し(S30)、付帯情報部P2から読み出したタグ4a以下に記述されている付帯情報4を、指定された暗号化方式で暗号化する(S31)。閲覧権限レベル26bが隠蔽レベル9と一致しない場合は暗号化を行わないが、読み出した隠蔽処理方式5が暗号化優先であれば(S32,Yes)、S34の処理を行う。
【0053】
読み出した隠蔽処理方式5が伏せ字による変換であれば(S33,Yes)、主記憶部2Bから閲覧権限レベル26bを読み出し、タグ名4bに定義されている伏せ字変換を行う隠蔽レベル8と閲覧権限レベル26bとを比較する(S34)。閲覧権限レベル26bが隠蔽レベル8と一致すれば(S34,Yes)、タグ名4bに対にして定義されている伏せ字指定6を読み出し(S35)、付帯情報部P2から読み出したタグ4a以下に記述されている付帯情報4を、指定された伏せ字に変換する(S36)。閲覧権限レベル26bが隠蔽レベル8と一致しない場合は伏せ字変換を行わない。
【0054】
隠蔽処理する付帯情報4に対する処理が全て終了するまでS28〜S36を繰り返し(S37,No)、隠蔽処理する付帯情報4に対する処理が全て終了すると(S37,Yes)、サーバ2は、伏せ字変換及び暗号化が施された付帯情報4,4・・・を含む医用画像PをネットワークNを介してクライアント端末3に送信する(S38)。クライアント端末3では、医用画像Pを受信すると、暗号化の方式に合った復号鍵を保持している場合(S39,Yes)、復号鍵を用いて暗号化された付帯情報4を復号し(S40)、医用画像Pに含まれる画像データに対応する画像及び付帯情報4,4・・・をモニタに表示する(S41)。またはメディアに保存する。
【0055】
このように、本実施形態の医用情報管理システム1では、利用者毎に医用情報の閲覧権限にレベルを設けるとともに、医用情報の隠蔽処理する項目に隠蔽レベルを設けたため、さらに情報の機密性を複数段階のレベルに分けることができ、医用情報の隠蔽に柔軟性を付与し、利用者に応じた的確な医用情報の開示又は非開示を実現できる。
【0056】
尚、本実施形態では、閲覧権限レベルと隠蔽レベルの一致を判断して隠蔽処理を行うか否かを決定したが、例えば隠蔽レベルよりも閲覧権限レベルが上回る又は下回ることをもって隠蔽処理の判断としてもよい。
【0057】
また、医用情報管理システム1が複数のクライアント端末3,3・・・を備える場合には、権限レベルテーブル26aの閲覧権限レベル26bの定義をクライアント端末3,3・・・を識別できる情報毎に行ってもよい。クライアント端末3との通信時、サーバ2は、クライアント端末3からAEタイトル等のクライアント端末3を識別できる情報を取得し、この情報と権限レベルテーブル26aとから閲覧権限レベル26bを取得する。
【図面の簡単な説明】
【0058】
【図1】本実施形態に係る医用情報管理システムの構成を示すブロック図である。
【図2】医用画像のデータ構造である。
【図3】第1の実施形態の隠蔽設定テーブルを示す図である。
【図4】サーバにおいて隠蔽処理された医用画像のデータ構造を示す図である。
【図5】クライアント端末において復号鍵により復号された付帯情報を含む医用画像のデータ構造を示す図である。
【図6】サーバの構成を示すブロック図である。
【図7】第1の実施形態のサーバの機能を示す機能ブロック図である。
【図8】第1の実施形態の医用情報管理システムの動作を示すフローチャート図である。
【図9】第2の実施形態のサーバの機能を示す機能ブロック図である。
【図10】権限レベルテーブルを示す図である。
【図11】第2の実施形態の隠蔽設定テーブルを示す図である。
【図12】第2の実施形態の医用情報管理システムの動作を示すフローチャート図である。
【符号の説明】
【0059】
1 医用情報管理システム
2 サーバ
2a,2b 隠蔽設定テーブル
21 医用情報格納部
22 医用情報管理部
23 医用情報隠蔽部
23a 伏せ字変換部
23b 暗号化部
23c 選択部
23d 確定部
24 隠蔽設定テーブル記憶部
25 権限レベル取得部
26 権限レベルテーブル記憶部
26a 権限レベルテーブル
3 クライアント端末
【技術分野】
【0001】
本発明は、医用情報を管理し、クライアント端末に医用情報を送信する技術に関し、特に医用情報を隠蔽してから送信する技術に関する。
【背景技術】
【0002】
病院内のシステム化が進み、院内で様々なシステムが稼働する様になってきた。例えば、画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)等の医用情報管理システムがネットワークに接続され、これらシステムが備えるサーバとクライアント端末が通信を行う。クライアント端末は、医用情報を管理するサーバとの通信によって医用情報を受信し、モニタに表示する。またはメディアに保存する。
【0003】
病院内のシステムによって送受信される医用情報には、プライバシーに関する項目が多く、漏洩防止に努める必要がある。
【0004】
医用情報の漏洩防止技術としては、操作パネルから入力する医用情報を、超音波断層像と共に表示および印刷する超音波診断装置において、予め定められた第一の入力信号を検出すると、操作パネルから入力される文字が表示されることを抑止することにより、医用情報を隠蔽する制御を行なう技術が開示されている(例えば、特許文献1参照)。この技術は、医用情報を表示する装置が当該医用情報の各項目に隠蔽処理を施すものである。
【0005】
【特許文献1】特開平5−49636号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
医用情報を表示する装置が当該医用情報の各項目に隠蔽処理を施す技術を、ネットワークを介して医用情報をクライアント端末へ送信するシステムに適用した場合、ネットワーク上を流れる医用情報に対しては何らの隠蔽措置が採られない。万一、ネットワーク上を流れる医用情報を第三者に取得された場合、当該医用情報が全て第三者に漏洩してしまう。
【0007】
また、第三者に対しては医用情報を厳重に隠蔽しなくてはならないが、同時にクライアント端末の利用者に対しても必要以上の項目を閲覧させてはならない。すなわち、クライアント端末へ送信する医用情報のサーバ上での隠蔽は、隠蔽範囲の異なる第三者とクライアント端末の利用者の両方を考慮して行わなくてはならない。
【0008】
本発明は、以上の問題点に鑑みてなされたものであって、その目的は、ネットワークに医用情報が流れる前に医用情報の所定の項目が隠蔽され、ネットワークの途中で送信している医用情報が盗まれても情報の機密を保つことができる技術を提供することにある。また、医用情報の各項目に対する隠蔽に柔軟性を付与し、ネットワーク上における情報の機密性を確保した上で的確な医用情報の開示又は非開示を実現できる技術を提供することにある。
【課題を解決するための手段】
【0009】
上記課題を解決するための、請求項1記載の発明は、複数項目の情報を含む医用情報を記憶するサーバと当該サーバから医用情報を取得して表示するクライアント端末を備える医用情報管理システムであって、前記サーバは、前記クライアント端末から取得要求された医用情報に含まれる所定項目の情報に対して隠蔽処理を施す隠蔽手段と、隠蔽処理が施された項目の情報を含む前記取得要求された医用情報を前記クライアント端末に送信する送信手段と、を備えること、を特徴とする。
【0010】
前記隠蔽手段は、前記項目の情報を復号不可能に変換する隠蔽処理を行う変換手段と、前記項目の情報を復号可能に暗号化する隠蔽処理を行う暗号化手段と、隠蔽処理の要否と前記変換と前記暗号化を含む隠蔽処理方式を医用情報に含まれる項目に応じて定義するテーブルと、前記テーブルに基づき、隠蔽処理する項目の特定及び特定された項目の情報に対する隠蔽処理方式の選択を行う選択手段と、を含むようにしてもよい(請求項2記載の発明に相当)。
【0011】
前記サーバは、前記取得要求した前記クライアント端末の利用者の識別情報に基づき医用情報の閲覧権限レベルを取得する閲覧権限レベル取得手段をさらに備え、前記隠蔽手段は、前記項目の情報を復号不可能に変換する隠蔽処理を行う変換手段と、前記項目の情報を復号可能に暗号化する隠蔽処理を行う暗号化手段と、医用情報に含まれる項目に応じて隠蔽処理方式を選択する選択手段と、医用情報に含まれる項目に応じて隠蔽の対象となるレベルを定義するテーブルと、前記閲覧権限レベルと前記テーブルに基づき、置き換え又は暗号化の隠蔽処理方式が選択された項目の隠蔽処理の要否を決定して、前記選択手段の選択を確定する確定手段と、を含むようにしてもよい(請求項3記載の発明に相当)。
【発明の効果】
【0012】
本発明では、複数項目の情報を含む医用情報を記憶するサーバと当該サーバから医用情報を取得して表示するクライアント端末を備える医用情報管理システムであって、前記サーバは、前記クライアント端末から取得要求された医用情報に含まれる所定項目の情報に対して隠蔽処理を施す隠蔽手段と、隠蔽処理が施された項目の情報を含む前記取得要求された医用情報を前記クライアント端末に送信する送信手段と、を備えるようにした。これにより、ネットワークに医用情報が流れる前に医用情報に含まれる所定項目が隠蔽され、ネットワークの途中で送信している医用情報が盗まれても情報の機密を保つことができる。
【0013】
また、隠蔽手段に、項目の情報を復号不可能に変換する隠蔽処理を行う変換手段と、前記項目の情報を復号可能に暗号化する隠蔽処理を行う暗号化手段と、隠蔽処理の要否と前記変換と前記暗号化を含む隠蔽処理方式を医用情報に含まれる項目に応じて定義するテーブルと、前記テーブルに基づき、隠蔽処理する項目の特定及び特定された項目の情報に対する隠蔽処理方式の選択を行う選択手段と、を含むようにすることで、医用情報の隠蔽に柔軟性を付与し、ネットワーク上における情報の機密性を確保した上で的確な医用情報の開示又は非開示を実現できる。
【発明を実施するための最良の形態】
【0014】
(第1の実施形態)
図1は、医用情報管理システムの構成を示すブロック図である。医用情報管理システム1は、医用情報を記憶・管理するサーバ2と医用情報を取得・閲覧するクライアント端末3とをネットワークNを介して接続して備える。
【0015】
サーバ2は、クライアント端末3への医用情報送信前処理として医用情報のうち予め定められた項目に隠蔽処理を施す。クライアント端末3で隠蔽処理された項目は隠蔽されて表示される。またはメディアに保存される。
【0016】
医用情報は、医用画像、検査状況情報、検査オーダー情報、患者情報等の病院内で治療又は診断に関連して発生する情報である。図2は、医用情報が医用画像である場合の一例である。医用画像Pのデータは、図2に示すように、DICOM(Digital Imaging and Communications in Medicine)規格によって、各情報の項目で構成される。医用画像Pの項目は、画像データ部P1に記述される画像情報と付帯情報部P2に記述される各種付帯情報4に大別される。付帯情報4は、例えば患者氏名、患者ID、生年月日、性別、検査日付、検査時刻、検査に使用されたモダリティの種類、検査部位である。付帯情報部P2には、DICOM規格によって付帯情報4の種類を識別するタグ4aが記述されており、タグ4a以下に対応する付帯情報4が記述される。
【0017】
隠蔽処理は、医用情報の所定項目を構成する文字列を当該文字列とは異なる伏せ字に復号不可能に変換する処理、又は所定項目を構成する文字列を復号可能に暗号化する処理である。サーバ2は、医用情報に含まれる項目毎に隠蔽処理の要否と伏せ字変換と暗号化とを含む隠蔽処理方式を判断するための情報を定義したテーブルを記憶し、当該テーブルに従って隠蔽処理を行う。
【0018】
図3は、医用情報の項目毎に隠蔽処理方式を定義した隠蔽設定テーブル2aを示す図であり、医用情報が医用画像Pである場合を例としている。隠蔽設定テーブル2aには、タグ4aに対応するタグ名4bが記述され、このタグ名4bと対にして隠蔽処理方式5を定義している。定義される隠蔽処理方式5は、隠蔽処理無し、伏せ字へ復号不可能な変換、及び暗号化である。
【0019】
また、隠蔽設定テーブル2aで伏せ字の指定6や暗号化の方式7をさらに定義することもできる。伏せ字は、項目を構成する文字列とは異なる別の文字若しくは数値又は記号の列であり、例えば所定長連続したX(エックス)が挙げられる。暗号化は、DES(Data Encryption Standard)等の共有鍵暗号方式、又はRSA等の公開鍵暗号方式が挙げられる。
【0020】
図3に示す隠蔽設定テーブル2aによると(0010,0010)、(0010,0020)、(0010,0030)、(0010,4000)のタグ名4bと対になって定義されている隠蔽処理方式5は、それぞれ「隠蔽処理無し」、「伏せ字変換」、「暗号化」、「暗号化」である。サーバ2は、送信前処理として、図4に示すように、(0010,0020)のタグ4a以下の付帯情報4を隠蔽処理の対象として特定して伏せ字変換を選択し所定長連続したX(エックス)でなる伏せ字に変換する。同様に(0010,0030)(0010,4000)のタグ4a以下の付帯情報4,4を暗号化する。
【0021】
この隠蔽処理の後、サーバ2は、隠蔽処理を施した付帯情報4,4をクライアント端末3に送信する。図5に示すように、クライアント端末3は、伏せ字に変換された付帯情報4を伏せ字のまま表示またはメディアに保存し、暗号化された医用情報を復号化できる復号鍵を保持している場合には復号して表示またはメディアに保存する(ここでは復号の結果、暗号化により変換された文字列「VWXYZ」が元の付帯情報4である「19950707」に復号され、暗号化により変換された文字列「DEFGH」が元の付帯情報4である「末期癌」に復号される)。
【0022】
このような医用情報管理システム1が備えるサーバ2についてさらに詳細に説明する。図6は、サーバ2の構成を示すブロック図である。サーバ2は、処理部2A、主記憶部2B、外部記憶部2C、送受信部2Dで構成されるコンピュータである。尚、サーバ2は、本実施形態のように1筐体のコンピュータで構成してもよいが、複数筐体のコンピュータで構成し、医用情報を格納するためのネットワークストレージを備えるようにしてもよい。
【0023】
処理部2Aは、いわゆるCPUであり、プログラムに従った演算を行い、各周辺部を制御する。主記憶部2Bは、例えば半導体メモリ等のRAMであり、処理部2Aの作業領域として、プログラム、若しくは処理部2Aの演算による演算結果、又はデータが展開される。送受信部2Dは、例えばLANやモデム等のネットワークアダプタであり、ネットワークNに接続するクライアント端末3に対して医用情報を送信する。
【0024】
外部記憶部2Cは、サーバ2を医用情報管理及び医用情報隠蔽を行う装置として動作させるプログラム(以下、「本プログラム」という)及びオペレーティングシステムプログラム(OS)を記憶している。この外部記憶部2Cには、医用情報のデータベースと医用情報が格納されている。サーバ2が複数筐体のコンピュータから構成されてネットワークストレージを備える場合には、医用情報をネットワークストレージに記憶するようにしてもよく、ネットワークストレージを医用除法隠蔽を行う装置として適用してもよい。
【0025】
図7は、サーバ2の機能ブロック図である。サーバ2は、本プログラムに従った処理を実行することで、医用情報を格納する医用情報格納部21、医用情報を管理する医用情報管理部22、医用情報に含まれる所定項目を隠蔽する医用情報隠蔽部23を備える。また、医用情報隠蔽部23は、伏せ字への復号不可能な変換を行う伏せ字変換部23aと暗号化を行う暗号化部23bと医用情報に含まれる隠蔽処理する項目の特定及び特定された項目に対する隠蔽処理方式を選択する選択部23cと隠蔽設定テーブル2aを記憶する隠蔽設定テーブル記憶部24を備える。
【0026】
医用情報格納部21は、外部記憶部2Cで構成され、医用情報を格納する。サーバ2がネットワークストレージを備える場合、医用情報格納部21は、ネットワークストレージで構成される。
【0027】
医用情報管理部22は、医用情報のデータベースへの登録、格納制御及び送信制御を行う。医用情報は、超音波や放射線や磁気等により被検体内を画像化して医用画像を作成する医用画像作成装置や医用画像以外の医用情報を作成する端末によって作成されて、登録及び格納のためにサーバ2へ送信されている。
【0028】
登録処理及び格納制御では、送信された医用情報をデータベース登録し、医用情報格納部21又へ格納する制御を行い、医用情報を閲覧可能にする。送信制御では、クライアント端末3から医用情報のクエリーリトリーブ(Query/Retrieve:Q/R)等の検索及び送信要求が行われると、データベースを検索して該当する医用情報を医用情報格納部21からクライアント端末3へ送信する制御を行う。
【0029】
医用情報隠蔽部23は、送信する医用情報に予め定められた項目が存在する場合、その項目に隠蔽処理を行う。尚、医用情報隠蔽部23はネットワークストレージに備えるようにしてもよい。隠蔽処理では、伏せ字変換部23aにより伏せ字への復号不可能な変換を行い、暗号化部23bにより復号可能に変換する暗号化を行う。
【0030】
また、選択部23cでは、医用情報に含まれる隠蔽処理する項目を特定し隠蔽処理の方式を選択する。医用情報が医用画像Pである場合、選択部23cは、隠蔽設定テーブル2aから医用画像Pの付帯情報部P2に記述されたタグ4aと一致するタグ名4bを検索し、対にして定義された隠蔽処理方式5を読み出す。隠蔽処理方式5が伏せ字変換の場合、検索に用いたタグ4aを指定して当該タグ4a以下の付帯情報4に対する伏せ字変換部23aの処理を制御する。隠蔽処理方式5が暗号化の場合、検索に用いたタグ4aを指定して当該タグ4a以下の付帯情報4に対する暗号化部23bの処理を制御する。
【0031】
この医用情報管理システム1の動作を図8に基づき説明する。図8は、医用情報管理システム1の動作を示すフローチャート図である。尚、本説明において医用情報は、医用画像Pである。
【0032】
まずクライアント端末3は、サーバ2に所望する医用画像Pの検索・送信要求をネットワークNを介して行う(S01)。サーバ2は、検索・送信要求に対応する医用画像Pをデータベースから検索して外部記憶部2C又はネットワークストレージから取得する(S02)。
【0033】
サーバ2は、医用画像Pを取得すると、付帯情報部P2からタグ4a,4a・・・を順次読み出す(S03)。次に読み出したタグ4a,4a・・・に対応するタグ名4b,4b・・・を隠蔽設定テーブル2aから順次検索する(S04)。該当するタグ名4b,4b・・・が隠蔽設定テーブル2aから検索されると、該当するタグ名4b,4b・・・に対にして定義されている隠蔽処理方式5,5・・・を順次読み出す(S05)。
【0034】
読み出した隠蔽処理方式5が伏せ字による変換であれば(S06,Yes)、タグ名4bに対にして定義されている伏せ字指定6を読み出し(S07)、付帯情報部P2から読み出したタグ4a以下に記述されている付帯情報4を、指定された伏せ字に変換する(S08)。
【0035】
読み出した隠蔽処理方式5が暗号化であれば(S09,Yes)、タグ名4bに対にして定義されている暗号化方式7を読み出し(S10)、付帯情報部P2から読み出したタグ4a以下に記述されている付帯情報4を、指定された暗号化方式で暗号化する(S11)。隠蔽処理方式5が暗号化でない場合(S09,No)、隠蔽処理無しとしてS12に進む。
【0036】
隠蔽処理する付帯情報4に対する処理が全て終了するまでS06〜S11を繰り返し(S12,No)、隠蔽処理する付帯情報4に対する処理が全て終了すると(S12,Yes)、サーバ2は、伏せ字変換及び暗号化が施された医用画像PをネットワークNを介してクライアント端末3に送信する(S13)。クライアント端末3では、医用画像Pを受信すると、暗号化の方式に合った復号鍵を保持している場合(S14,Yes)、復号鍵を用いて暗号化された付帯情報4を復号し(S15)、医用画像に含まれる画像データに対応する画像及び医用画像に含まれる付帯情報4,4・・・をモニタに表示する(S16)。またはメディアに保存する。
【0037】
表示の結果、クライアント端末3では、伏せ字変換された付帯情報は隠蔽され、クライアント端末3が暗号化の方式に合った復号鍵を保持している場合にのみ暗号化された付帯情報4を表示できる。またはメディアに保存できる。
【0038】
このように、本実施形態の医用情報管理システム1では、ネットワークNに医用情報が流れる前に所定の項目が隠蔽され、ネットワークNの途中で送信している医用情報が盗まれても情報の機密を保つことができる。さらに、伏せ字変換と暗号化の組み合わせによって情報の機密性を2段階のレベルに分けることができ、医用情報の隠蔽に柔軟性を付与し、ネットワーク上における情報の機密性を確保した上で的確な医用情報の開示又は非開示を実現できる。
【0039】
医用画像以外の病院内で治療又は診断に関連して発生する情報の場合、隠蔽設定テーブル24aには、医用情報に含まれる項目の種別名を記述するようにすればよい。医用情報に含まれる項目の種別名とタグ名4bは隠蔽設定テーブル2aに混在させて記述することができる。
【0040】
(第2の実施形態)
次に医用情報管理システム1の第2の実施形態について詳細に説明する。尚、第1の実施形態と同一の構成についてはその詳細な説明を省略する。本実施形態の医用情報管理システム1は、システムを利用する利用者によって隠蔽する医用情報を可変するものである。
【0041】
図9は、サーバ2の機能ブロック図である。サーバ2は、外部記憶部2Cに記憶されている本プログラムに従った処理を実行することで、医用情報格納部21、医用情報管理部22、医用情報隠蔽部23、利用者の医用情報の閲覧権限レベルを取得する権限レベル取得部25を備える。また、医用情報隠蔽部23は、伏せ字変換部23a、暗号化部23b、選択部23c、隠蔽設定テーブル記憶部24、隠蔽処理の要否を決定して選択部23cの選択を確定する確定部23dを備える。権限レベル取得部25は、医用情報の閲覧権限レベルを利用者毎に定義するテーブルを記憶する権限レベルテーブル記憶部26を備える。
【0042】
権限レベル取得部25は、本システムの利用者の識別情報を取得し、レベルテーブル記憶部26に記憶された医用情報の閲覧権限レベルを利用者毎に定義するテーブルから利用者の医用情報の閲覧権限レベルを取得する。
【0043】
権限レベルテーブル記憶部26は、外部記憶部2Cで構成され、図10に示す権限レベルテーブル26aが記憶されている。図10は、権限レベルテーブル26aの一例を示す図である。権限レベルテーブル26aは、利用者の識別情報に医用情報の閲覧権限レベル26bを定義する。閲覧権限レベル26bは、権限に対応して数値化され、例えばAdministrator(システム管理者)、医師(主治医)、医師(放射線医)、医師(研修医)、看護師、放射線技師、臨床検査技師、理学療法士、作業療法士、薬剤師、事務員等の権限に対応している。
【0044】
また、図11は、本実施形態の隠蔽設定テーブル記憶部24に記憶されている隠蔽設定テーブル2bを示す。隠蔽設定テーブル2bは、隠蔽処理方式5の定義に加え、伏せ字変換を行う対象となる隠蔽レベル8及び暗号化を行う対象となる隠蔽レベル9が定義されている。
【0045】
医用情報隠蔽部23において、確定部23dは、隠蔽処理方式5が伏せ字変換であれば伏せ字変換を行う隠蔽レベル8と閲覧権限レベル26bを比較し、隠蔽処理方式5が暗号化であれば暗号化を行う隠蔽レベル9と閲覧権限レベル26bを比較する。一致すれば、選択部23cの隠蔽処理の選択を確定し、選択部23cによる制御が開始される。
【0046】
例えば、図10に示す権限レベルテーブル26aにおいて、放射線技師の閲覧権限レベル26bは「5」であり、(0010,0020)のタグ名4bに対応する隠蔽レベル8の「9又は10」とは一致せず、選択部23cによる伏せ字変換の選択は確定されず伏せ字変換は行われない。(0010,0030)のタグ名4bに対応する隠蔽レベル8の「5乃至10の何れか」とは一致して暗号化の選択が確定されて暗号化が施される。
【0047】
また、隠蔽設定テーブル2bには、隠蔽処理5の定義として、「暗号化優先」を定義してもよい。この場合、例えば図11に示す(0010,4000)のタグ名4bのように、隠蔽レベル8,9が両方定義される。隠蔽レベル9と閲覧権限レベル26bが一致すれば暗号化を施し、閲覧権限レベル26bが隠蔽レベル9と一致せず、隠蔽レベル8と一致すれば伏せ字変換を行う。図10に示す権限レベルテーブル26aにおいて(0010,4000)のタグ4aに対応する付帯情報4を医師(放射線医)、医師(研修医)、看護師が閲覧しようとする場合は、当該付帯情報4は暗号化され、Administrator以外は伏せ字変換される。
【0048】
本実施形態の医用情報管理システム1の動作を図12に基づき説明する。図12は、本実施形態の医用情報管理システム1の動作を示すフローチャート図である。尚、本説明において医用情報は、医用画像Pである。
【0049】
まずクライアント端末3では、ログイン入力画面が表示され、ログイン入力に従ってシステム利用者がアカウントを入力すると、当該アカウントが識別情報としてサーバ2に送信される(S20)。サーバ2は、権限レベルテーブル26aを読み出して、クライアント端末3で入力された識別情報を検索し(S21)、該当する識別情報に定義された閲覧権限レベル26bを取得する(S22)。
【0050】
次に、クライアント端末3からサーバ2に所望する医用画像Pの検索・送信要求をネットワークNを介して行われると(S23)、サーバ2は、検索・送信要求に対応する医用画像Pをデータベースから検索して外部記憶部2C又はネットワークストレージから取得する(S24)。
【0051】
サーバ2は、医用画像Pを取得すると、付帯情報部P2からタグ4a,4a・・・を順次読み出す(S25)。次に読み出したタグ4a,4a・・・に対応するタグ名4b,4b・・・を隠蔽設定テーブル2bから順次検索する(S26)。該当するタグ名4b,4b・・・が隠蔽設定テーブル2bから検索されると、該当するタグ名4b,4b・・・に対にして定義されている隠蔽処理方式5,5・・・を順次読み出す(S27)。
【0052】
読み出した隠蔽処理方式5が暗号化又は暗号化優先であれば(S28,Yes)、主記憶部2Bから閲覧権限レベル26bを読み出し、該当するタグ名4bに定義されている暗号化を行う隠蔽レベル9と閲覧権限レベル26bとを比較する(S29)。閲覧権限レベル26bが隠蔽レベル9と一致すれば(S29,Yes)、タグ名4bに対にして定義されている暗号化方式7を読み出し(S30)、付帯情報部P2から読み出したタグ4a以下に記述されている付帯情報4を、指定された暗号化方式で暗号化する(S31)。閲覧権限レベル26bが隠蔽レベル9と一致しない場合は暗号化を行わないが、読み出した隠蔽処理方式5が暗号化優先であれば(S32,Yes)、S34の処理を行う。
【0053】
読み出した隠蔽処理方式5が伏せ字による変換であれば(S33,Yes)、主記憶部2Bから閲覧権限レベル26bを読み出し、タグ名4bに定義されている伏せ字変換を行う隠蔽レベル8と閲覧権限レベル26bとを比較する(S34)。閲覧権限レベル26bが隠蔽レベル8と一致すれば(S34,Yes)、タグ名4bに対にして定義されている伏せ字指定6を読み出し(S35)、付帯情報部P2から読み出したタグ4a以下に記述されている付帯情報4を、指定された伏せ字に変換する(S36)。閲覧権限レベル26bが隠蔽レベル8と一致しない場合は伏せ字変換を行わない。
【0054】
隠蔽処理する付帯情報4に対する処理が全て終了するまでS28〜S36を繰り返し(S37,No)、隠蔽処理する付帯情報4に対する処理が全て終了すると(S37,Yes)、サーバ2は、伏せ字変換及び暗号化が施された付帯情報4,4・・・を含む医用画像PをネットワークNを介してクライアント端末3に送信する(S38)。クライアント端末3では、医用画像Pを受信すると、暗号化の方式に合った復号鍵を保持している場合(S39,Yes)、復号鍵を用いて暗号化された付帯情報4を復号し(S40)、医用画像Pに含まれる画像データに対応する画像及び付帯情報4,4・・・をモニタに表示する(S41)。またはメディアに保存する。
【0055】
このように、本実施形態の医用情報管理システム1では、利用者毎に医用情報の閲覧権限にレベルを設けるとともに、医用情報の隠蔽処理する項目に隠蔽レベルを設けたため、さらに情報の機密性を複数段階のレベルに分けることができ、医用情報の隠蔽に柔軟性を付与し、利用者に応じた的確な医用情報の開示又は非開示を実現できる。
【0056】
尚、本実施形態では、閲覧権限レベルと隠蔽レベルの一致を判断して隠蔽処理を行うか否かを決定したが、例えば隠蔽レベルよりも閲覧権限レベルが上回る又は下回ることをもって隠蔽処理の判断としてもよい。
【0057】
また、医用情報管理システム1が複数のクライアント端末3,3・・・を備える場合には、権限レベルテーブル26aの閲覧権限レベル26bの定義をクライアント端末3,3・・・を識別できる情報毎に行ってもよい。クライアント端末3との通信時、サーバ2は、クライアント端末3からAEタイトル等のクライアント端末3を識別できる情報を取得し、この情報と権限レベルテーブル26aとから閲覧権限レベル26bを取得する。
【図面の簡単な説明】
【0058】
【図1】本実施形態に係る医用情報管理システムの構成を示すブロック図である。
【図2】医用画像のデータ構造である。
【図3】第1の実施形態の隠蔽設定テーブルを示す図である。
【図4】サーバにおいて隠蔽処理された医用画像のデータ構造を示す図である。
【図5】クライアント端末において復号鍵により復号された付帯情報を含む医用画像のデータ構造を示す図である。
【図6】サーバの構成を示すブロック図である。
【図7】第1の実施形態のサーバの機能を示す機能ブロック図である。
【図8】第1の実施形態の医用情報管理システムの動作を示すフローチャート図である。
【図9】第2の実施形態のサーバの機能を示す機能ブロック図である。
【図10】権限レベルテーブルを示す図である。
【図11】第2の実施形態の隠蔽設定テーブルを示す図である。
【図12】第2の実施形態の医用情報管理システムの動作を示すフローチャート図である。
【符号の説明】
【0059】
1 医用情報管理システム
2 サーバ
2a,2b 隠蔽設定テーブル
21 医用情報格納部
22 医用情報管理部
23 医用情報隠蔽部
23a 伏せ字変換部
23b 暗号化部
23c 選択部
23d 確定部
24 隠蔽設定テーブル記憶部
25 権限レベル取得部
26 権限レベルテーブル記憶部
26a 権限レベルテーブル
3 クライアント端末
【特許請求の範囲】
【請求項1】
複数項目の情報を含む医用情報を記憶するサーバと当該サーバから医用情報を取得して表示するクライアント端末を備える医用情報管理システムであって、
前記サーバは、
前記クライアント端末から取得要求された医用情報に含まれる所定項目の情報に対して隠蔽処理を施す隠蔽手段と、
隠蔽処理が施された項目の情報を含む前記取得要求された医用情報を前記クライアント端末に送信する送信手段と、
を備えること、
を特徴とする医用情報管理システム。
【請求項2】
前記隠蔽手段は、
前記項目の情報を復号不可能に変換する隠蔽処理を行う変換手段と、
前記項目の情報を復号可能に暗号化する隠蔽処理を行う暗号化手段と、
隠蔽処理の要否と前記変換と前記暗号化を含む隠蔽処理方式を医用情報に含まれる項目に応じて定義するテーブルと、
前記テーブルに基づき、隠蔽処理する項目の特定及び特定された項目の情報に対する隠蔽処理方式の選択を行う選択手段と、
を含むこと、
を特徴とする請求項1記載の医用情報管理システム。
【請求項3】
前記サーバは、
前記取得要求した前記クライアント端末の利用者の識別情報に基づき医用情報の閲覧権限レベルを取得する閲覧権限レベル取得手段をさらに備え、
前記隠蔽手段は、
前記項目の情報を復号不可能に変換する隠蔽処理を行う変換手段と、
前記項目の情報を復号可能に暗号化する隠蔽処理を行う暗号化手段と、
医用情報に含まれる項目に応じて隠蔽処理方式を選択する選択手段と、
医用情報に含まれる項目に応じて隠蔽の対象となるレベルを定義するテーブルと、
前記閲覧権限レベルと前記テーブルに基づき、置き換え又は暗号化の隠蔽処理方式が選択された項目の隠蔽処理の要否を決定して、前記選択手段の選択を確定する確定手段と、
を含むこと、
を特徴とする請求項1記載の医用情報管理システム。
【請求項4】
前記クライアント端末は、前記暗号化手段により暗号化された医用情報を復号する復号手段を備えること、
を特徴とする請求項2又は3記載の医用情報管理システム。
【請求項1】
複数項目の情報を含む医用情報を記憶するサーバと当該サーバから医用情報を取得して表示するクライアント端末を備える医用情報管理システムであって、
前記サーバは、
前記クライアント端末から取得要求された医用情報に含まれる所定項目の情報に対して隠蔽処理を施す隠蔽手段と、
隠蔽処理が施された項目の情報を含む前記取得要求された医用情報を前記クライアント端末に送信する送信手段と、
を備えること、
を特徴とする医用情報管理システム。
【請求項2】
前記隠蔽手段は、
前記項目の情報を復号不可能に変換する隠蔽処理を行う変換手段と、
前記項目の情報を復号可能に暗号化する隠蔽処理を行う暗号化手段と、
隠蔽処理の要否と前記変換と前記暗号化を含む隠蔽処理方式を医用情報に含まれる項目に応じて定義するテーブルと、
前記テーブルに基づき、隠蔽処理する項目の特定及び特定された項目の情報に対する隠蔽処理方式の選択を行う選択手段と、
を含むこと、
を特徴とする請求項1記載の医用情報管理システム。
【請求項3】
前記サーバは、
前記取得要求した前記クライアント端末の利用者の識別情報に基づき医用情報の閲覧権限レベルを取得する閲覧権限レベル取得手段をさらに備え、
前記隠蔽手段は、
前記項目の情報を復号不可能に変換する隠蔽処理を行う変換手段と、
前記項目の情報を復号可能に暗号化する隠蔽処理を行う暗号化手段と、
医用情報に含まれる項目に応じて隠蔽処理方式を選択する選択手段と、
医用情報に含まれる項目に応じて隠蔽の対象となるレベルを定義するテーブルと、
前記閲覧権限レベルと前記テーブルに基づき、置き換え又は暗号化の隠蔽処理方式が選択された項目の隠蔽処理の要否を決定して、前記選択手段の選択を確定する確定手段と、
を含むこと、
を特徴とする請求項1記載の医用情報管理システム。
【請求項4】
前記クライアント端末は、前記暗号化手段により暗号化された医用情報を復号する復号手段を備えること、
を特徴とする請求項2又は3記載の医用情報管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2006−330832(P2006−330832A)
【公開日】平成18年12月7日(2006.12.7)
【国際特許分類】
【出願番号】特願2005−149735(P2005−149735)
【出願日】平成17年5月23日(2005.5.23)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【出願人】(594164531)東芝医用システムエンジニアリング株式会社 (892)
【Fターム(参考)】
【公開日】平成18年12月7日(2006.12.7)
【国際特許分類】
【出願日】平成17年5月23日(2005.5.23)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【出願人】(594164531)東芝医用システムエンジニアリング株式会社 (892)
【Fターム(参考)】
[ Back to top ]