医用情報管理システム
【課題】医用情報を取得する操作者の属性に基づいて、複雑な隠蔽条件に対応し、応答操作性の速やかな医用情報管理システムを提供すること。
【解決手段】患者毎の医用情報を、その患者の個人情報を維持したオリジナル医用情報と、このオリジナル医用情報における前記個人情報の一部を識別不可能に置き換える変換して作成した変換後医用情報とを、記憶し管理するデータ管理手段と、操作者の識別情報または属性に応じて権限者と非権限者が分けられた権限管理リストを保持する権限情報管理手段と、入力される操作者の前記識別情報または属性から、前記権限管理リストを参照して権限者か非権限者かを判別し、それに応じて前記オリジナル医用情報または変換後医用情報を出力するデータ出力手段とを具備することを特徴とする医用情報管理システム。
【解決手段】患者毎の医用情報を、その患者の個人情報を維持したオリジナル医用情報と、このオリジナル医用情報における前記個人情報の一部を識別不可能に置き換える変換して作成した変換後医用情報とを、記憶し管理するデータ管理手段と、操作者の識別情報または属性に応じて権限者と非権限者が分けられた権限管理リストを保持する権限情報管理手段と、入力される操作者の前記識別情報または属性から、前記権限管理リストを参照して権限者か非権限者かを判別し、それに応じて前記オリジナル医用情報または変換後医用情報を出力するデータ出力手段とを具備することを特徴とする医用情報管理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、医療機関で行う診療行為の一環として収集される医用画像情報や検査結果を管理する医用情報管理システムにおいて、所定の条件の下に患者当人を特定できる情報を隠蔽して表示する個人情報保護の技術を備える医用情報管理システムに関する。
【背景技術】
【0002】
医療行為を行う場合に使用される種々の診断装置や検査装置において、デジタル化が成されている。さらに、これ等により得た診断情報や検査データの管理においても病院内のシステム化が進み、院内で様々なシステムが稼働する様になってきた。例えば、画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)等の医用情報を管理するシステムがネットワークに接続され、ネットワーク上のクライアント端末を用いてこれらシステムと通信を行う。このクライアント端末は、システムとの通信によって医用情報を受信し、モニタに表示する。
【0003】
例えば、放射線部門で利用するオーダ情報、検査実施情報、あるいは検査画像については、病院・部門によって管理されているホストの情報システム・サーバに保存されている。医師が患者の診断を行う場合、多くは、一人の患者に担当の一人の医師が診断を行うが、超音波画像診断、あるいは内視鏡画像診断などの他の診断情報を得るための他部門へのオーダ情報の発信、または、他部門の画像診断専門医師の診断意見を依頼し、連携した患者一人ひとりの医用情報の管理が行われ、これ等を種々の部門から検索、縦覧される。一方、カンファレス(院内会議)や教育の場で利用する場合、遠隔医療あるいは在宅医療の場での説明において利用されるなどもある。
【0004】
このような病院内のシステムによって送受信される医用情報には、氏名、年齢、住所、病状などの種々のプライバシーに関する情報が多く含まれている。しかし、これらの情報を、モニタ、あるいは外部メディアや外部情報機器に出力する場合、個人情報保護の観点から患者情報などをマスクするなどの対策、技術的安全措置を取って、漏洩防止に努める必要がある。
【0005】
医用情報の漏洩防止技術としては、専門的な診断を依頼する依頼医が操作する一方の端末からネットワークを介して診断医が操作する他方の端末へ医用情報を含む診断依頼票を送信する場合、依頼医が操作する端末で診断依頼票に表示する医用情報の範囲を設定又は変更して、診断医に不必要な医用情報については隠蔽するものがある(例えば、特許文献1参照)。この技術は、診断依頼票で開示する医用情報と隠蔽する医用情報とが予め一律に設定されており、設定変更が手動により可能となっている。
【特許文献1】特開2003−323496号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
上に述べた従来の検査実施情報、医用情報を管理するシステムには、
1)個人を特定する情報を隠蔽する技術はあったが、これが情報の出力の直前に実施されるので、この操作の回避により容易に見える。
【0007】
2)複数のシステムが設置されている場合、システム利用者毎、所属部門・依頼科毎、あるいはグループごと等、きめ細かい制御は複雑で、容易ではない。
【0008】
3)表示モニタ以外への外部出力(例えば、DVD、プリンタ、他システム等)に対しては、制御されない。
【0009】
4)出力要求が輻輳すると、隠蔽処理のために出力の遅延が生じる。
【0010】
という問題があった。
【0011】
本発明は上記の問題点に鑑みてなされたもので、医用情報を取得する操作者の属性に基づいて、複雑な隠蔽条件に対応した個人情報の漏洩防止と、速やかな出力処理による応答操作性の向上を図った医用情報管理システムを提供することを目的とする。
【課題を解決するための手段】
【0012】
上記の目的を達成するために、本発明の医用情報管理システムは、患者毎の医用情報を、その患者の個人情報を維持したオリジナル医用情報と、このオリジナル医用情報における前記個人情報の一部を識別不可能に置き換える変換して作成した変換後医用情報とを、記憶し管理するデータ管理手段と、操作者の識別情報または属性に応じて権限者と非権限者が分けられた権限管理リストを保持する権限情報管理手段と、入力される操作者の前記識別情報または属性から、前記権限管理リストを参照して権限者か非権限者かを判別し、それに応じて前記オリジナル医用情報または変換後医用情報を出力するデータ出力手段とを具備することを特徴とするものである。
【0013】
また、本発明の医用情報管理システムは、患者毎の医用情報を、その患者の所定の識別項目を含む患者個人情報を維持したオリジナル医用情報を、所定の記憶領域に保存するオリジナル医用情報メモリ手段と、さらに前記患者の医用情報を、前記所定の識別項目を維持し、これ以外の全部あるいは一部の項目を識別不可能に置き換える変換して作成した変換後医用情報を、所定の記憶領域に保存する変換後医用情報メモリ手段と、操作者の識別情報毎に設定した複数の属性に対し、権限者または非権限者のいずれかを予め割り付けた操作者権限リストを備える権限情報管理メモリ手段と、入力された前記操作者の前記識別情報あるいはその指定された属性から、前記操作者権限リストを参照して、割り付けが権限者の場合に、前記オリジナル医用情報メモリ手段に保存する当該患者のオリジナル医用情報を読み出し、非権限者の場合に、前記変換後医用情報メモリ手段に保存する当該患者の変換後医用情報を読み出す出力情報管理手段とを具備することを特徴とするものである。
【0014】
また、本発明の医用情報管理システムは、患者毎の医用情報を、その患者の所定の識別項目を含む患者個人情報を維持したオリジナル医用情報を、所定の識別コードで区分した記憶領域に保存するオリジナル医用情報メモリ手段と、さらに該患者の医用情報を、前記患者個人情報の前記所定の識別項目を維持し、これ以外の全部あるいは一部の項目を識別不可能に置き換える変換して作成した変換後医用情報を、所定の識別コードで区分した記憶領域に保存する変換後医用情報メモリ手段と、操作者の識別情報毎に、複数の属性区分に対し予め設定された属性を仕分ける操作者属性リストと、前記属性区分毎の属性と前記医用情報の出力先あるいは出力方法の組み合わせ毎に、記憶領域を区分した前記識別コードに対応した区分コードを、操作者の権限条件に対応させ、予め設定した権限管理リストとを備える権限情報管理メモリ手段と、入力された前記操作者の個人識別情報、処理権限の属性区分、及び出力先又は方法のそれぞれに基づいて、前記操作者属性リスト及び権限管理リストを参照して、前記区分コードの1つを決定する権限認証手段と、この決定された区分コードと、前記オリジナル情報メモリ手段又は変換後情報メモリ手段いずれかの前記識別コードと一致する記憶領域を検索し、そこに保存するオリジナル医用情報あるいは変換後医用情報を読み出す出力情報管理手段と、この読み出された医用情報を、前記入力された出力先又は出力方法へ出力する外部出力制御手段とを具備することを特徴とするものである。
【0015】
さらに、上記本発明の個人情報保護する医用情報管理システムにおいては、前記医用情報が、X線画像装置、CT画像装置、超音波画像装置、MR画像装置、内視鏡画像装置、検体検査装置、血液分析装置、検査依頼装置、画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)、あるいは検査オーダ装置の少なくも1つから出力される医学的な所見データあるいは指示データであることを特徴とするものである。
【0016】
さらに、上記本発明の個人情報保護する医用情報管理システムにおいては、前記患者個人情報が、患者自身のID番号若しくはカルテ符号の項目と、患者氏名、患者生年月日、患者性別、患者住所、患者連絡先電話番号、受診診療科名、患者既往病歴、患者親族病歴の項目の少なくも1つとにより構成される患者個人を識別するデータであることを特徴とするものである。
【0017】
さらに、上記本発明の個人情報保護する医用情報管理システムにおいては、患者の前記所定の識別項目が、前記個人情報の患者自身のID番号、若しくはカルテ符号であることを特徴とするものである。
【0018】
さらに、上記本発明の個人情報保護する医用情報管理システムにおいては、前記操作者属性リストの複数の属性区分が、操作者氏名、所属科名、依頼先科名、医療資格名、役職名、特命許可グループの少なくも1つの区分を含むことを特徴とするものである。
【0019】
さらに、上記本発明の個人情報保護する医用情報管理システムにおいては、前記変換後医用情報メモリ手段の前記記憶領域が、前記患者個人情報の前記所定の識別項目以外で、さらに識別不可能に隠蔽変換する個人情報の項目の組毎に、複数の異なる所定の識別コードで区分され、前記権限管理リストの予め設定した区分コードも前記複数の異なる識別コードに対応して、複数が設けられ、前記属性区分毎の属性と前記医用情報の出力先あるいは出力方法の組み合わせ毎に、予め設定される前記患者個人情報の前記所定の識別項目以外で、さらに識別不可能に隠蔽変換する個人情報の項目の組毎に、複数の異なる所定の識別コードで区分され、前記権限管理リストの予め設定した区分コードも前記複数の異なる識別コードに対応して、複数が設けられ、前記属性区分毎の属性と前記医用情報の出力先あるいは出力方法の組み合わせ毎に、予め設定されることを特徴とするものである。
【発明の効果】
【0020】
本発明による放射線情報管理システムによれば、本システムの外部に対して隠匿したい情報を、無意味な情報で表示出力でき、個人情報の保護を安全に確保できる。また、個人情報の複雑な隠蔽条件に対応に対し、その設定が容易で、操作者の属性と出力方法の相互に対する隠蔽条件に基づく設定を行うことができ、高い秘匿性能を実現できる。
【発明を実施するための最良の形態】
【0021】
以下、本発明の実施形態を図面により詳細に説明する。
【0022】
(実施形態1)
図1は、本発明の個人情報を保護する医用情報管理システムの一実施形態を示す機能構成図である。
【0023】
本実施形態は、図1に示すように、大きくは、管理システム本体部1、患者情報データ入力部2、外部出力機器3から構成される。
【0024】
さらに、管理システム本体部1は、データ管理部11とデータ出力部12から成るシステム管理部10、システム制御及びメンテナンス部13、及びシステム制御IF14に接続された入力機器であるマウス15、キーボード16、システムモニタ17により構成される。
【0025】
このデータ管理部11は、患者情報データ入力部2から入力されるデータをそのまま保持記憶するメモリ部112mを有するオリジナル情報部112と、前記入力データの所定の項目に対し所定の変換操作する変換後情報生成制御部111と、この変換後のデータを保持記憶するメモリ部113mを有する変換後情報部113とから構成される。
【0026】
さらに、データ出力部12は、操作者が入力するデータに基づいて、権限データを保持記憶するメモリ部121mを有する権限情報管理部121、その権限情報より認証を行う認証キー管理部122、この認証キーにより前記オリジンナル情報あるいは前記変換後情報のいずれか一方を出力するセッション情報管理部123と、この出力を外部出力機器3のいずれの機器に出力するかを制御する外部出力制御部124とから構成される。
【0027】
また、患者情報データ入力部2は、モダリティのX線画像装置21、CT画像装置22、超音波画像装置23、MR画像装置24、内視鏡画像装置25などの他、検体検査装置26、血液分析装置27、及び医用情報システム29、さらに患者ID個人情報28などに接続し、各画像診断データや検査結果データと個人情報が、これを介して、システム管理部10へ入力される。このシステム管理部10の出力は、外部出力機器3の表示装置31、他システム32、DVD装置33、プリンタ34などに接続して、表示、データ転送、あるいは記録を行う。
【0028】
上記のように構成した本実施形態のシステム管理部10は、先ず、データ管理部11により、対象となる患者の情報(データ)を収集する「データ管理」を行ない、その後、医師が、この収集したデータ(患者の情報と同義であるが、以降、記録された結果を区別してデータと呼ぶ)を読み出し、診断や治療などの医療行為を行うための「データ出力」を行う。
【0029】
以下に、本実施形態の行なう前記「データ管理」及び「データ出力」について、作用、動作を、図2〜6を用いて、説明する。
【0030】
図2(a)には、本実施形態のデータ管理部11における、「データ管理」の処理の概念を図示した。同図(b)は、この「データ管理」の処理の手順を示すフロー図である。
【0031】
図2(b)のフロー図に示すように、対象患者の医用画像、検査結果、あるいは検査オーダなどの医療情報と対象患者個人に関する識別情報が、STARTと共に、患者情報データ入力部2からデータ管理部11に入力されると、先ず、ステップS21が実施される。このステップS21において、入力された全てのデータがそのまま、すなわち、医療情報に一般的に添付された患者の個人情報である患者ID、患者氏名、患者性別、生年月日、疾病・疾患名、罹病歴、家族関係、家族罹病歴なども一切変更されていないデータが、オリジナル情報として、データ管理部11のメモリ112mに、記録される。
【0032】
この記録と共に、変換後情報作成がステップS22で行われる。この変換後情報作成(ステップS22)では、患者個人を容易に識別できる項目、あるいは患者が秘匿したい項目である所定の項目について、その公表を阻むために、該当する項目のデータ値を、図2(a)の「変換」に示すように、システム自動生成、あるいは規則に基づく生成、あるいはランダムな生成のいずれかにより、オリジナル情報を変換後情報に変換する。この変換については、可逆、非可逆のいずれでもよいが、秘匿性を高める上で非可逆とすることが好適となる。具体的なこの変換の例としては、例えば、「*****」あるいは「――――」などの所定の文字列、「ABC・・」あるいは「123・・」などの無意味で、項目の内容を識別不可能な文字列、元のデータ文字列の一部が「*」などの伏せ字で置き換えた文字列などである。なお、情報(データ)を変換した対象の患者を識別するため、変換後データを特定できる患者自身の個人情報の1項目は非変換とする。この非変換とする項目については、個人情報の中で、対象患者の他の項目に関連付けられことがなく、さらに一般的にはシステム内では唯一に発行される項目である「患者ID」を非変換として、識別に使用することが好適である。
【0033】
ステップS22で生成された変換後データは、次のステップS23において、患者ID以外の全ての個人情報データが、前記の所定の変換が行われて、すなわち、患者氏名、患者性別、生年月日、疾病・疾患名、罹病歴、家族関係、家族罹病歴など各項目が無意味なあるいは識別不可能なデータに置き換えられ、医用画像、あるいは検査結果などの医療情報は元のままのデータが、変換後情報として、データ管理部11のメモリ113mに、前述のオリジナル情報とは異なるメモリに新たに記録される。
【0034】
また、患者毎のこれ等オリジナル情報あるいは変換後情報それぞれは、これ等を記録するメモリ112mあるいはメモリ113mにおいて、後述する認証キーに基づいて設定される所定のコードデータを含む識別された所定の領域、例えばフォルダ、あるいはファイル名の一部として形成される領域に、分別して記録される。後述するこの認証キーのコードデータの例として、例えば、オリジナル情報に対してはコード0011を、変換後情報にはコード0001を設定する。
【0035】
このようなオリジナルデータや変換後データを格納する保存領域を識別するコードデータを、ここでは、後述の認証キーのコードデータと区別して、識別コードと呼び、後述の認証キーを区分コードと呼ぶ。
【0036】
上述のように、本願発明の実施形態においては、データ管理部11により行なわれる医療情報の記録において、所定の患者の個人情報が正しく全て添付されて保管されたオリジナル情報と、少なくとも1つ、例えば患者IDを患者識別のデータとして残し、他の個人情報に関わるデータは、所定の変換手法により元のデータを想定し得ないデータ値に変換し、当該医療情報に添付した変換後情報との2つの医用検査情報を同時に記録している。そしてこれ等の2つの情報は、異なるコードデータにより、識別されて記録される。
【0037】
本実施形態によれば、オリジナル情報と、個人情報の一部が無意味なデータに書き換えた変換後情報とに分離され、それぞれが異なる記憶場所に記録されるので、これ等の記録データへのアクセス先の特定において、外部から探索が容易でなく、記憶場所から情報が引き出されても、個人が特定できない。
【0038】
また、データの読み出しにおいても、隠蔽の変換処理が、オリジナル情報の処理の時点で変換後情報として予め変換が実施されるので、都度に変換が行われる従来の隠蔽処理に比べて、応答が速やかに行われる。特に、従来システムにおいて、隠蔽処理を要するデータ検索の錯綜時にも、本実施形態よれば短時間の応答のデータ提供ができる。
【0039】
(実施形態2)
上述のように、本実施形態のデータ管理部11に記録されたオリジナル情報、あるいは変換後情報は、その後さらに、医師などの医療関係者の操作により、診断や治療などの医療行為を行うために、この記録したデータの一部が読み出される。
【0040】
本実施形態においては、図1に示すデータ出力部12において、この「データ出力」を行う。次に、図3及び図4を用いて、本実施形態の行う「データ出力」における作用、動作を、以下に説明する。
【0041】
図3は、本実施形態のデータ出力部12における、「データ出力」の処理のフロー図を示す。また、図4(a)及び(b)は、本実施形態のデータ出力部12における情報区分の仕分けを行う処理の概念を図示したものである。
【0042】
本実施形態における「データ出力」の作用、動作、すなわち、医師などの医療関係者による当該患者の病状を診断するため、医療情報の照会、カンファレンス(病院内会議)閲覧などに、本実施形態が画像情報や検査結果などのデータ出力を提供する手順を、図3により説明する。
【0043】
図3に示すように、本実施形態における医療情報の閲覧あるいは出力には、先ず、閲覧者である操作者への情報提供に関する制限を判定する権限認証を、ステップS31〜S33により以下に示すように行う。
【0044】
最初のステップS31において、操作者は、本実施形態のシステム本体部1に備えるシステムモニタ17の表示を見ながら、マウス15あるいはキーボード16により、操作者の氏名、操作者ID、操作パスワードなどの操作者情報を、入力する。あるいは、煩雑になるので図示をしていないIDカードリーダをシステム制御IF14に接続して、前記操作者情報が予め書き込まれている操作者自身のIDカードを読み取らせて、入力しても良い。
【0045】
さらに、ステップS31において、操作者は、認証属性区分、及び出力事項(出力形態)をそれぞれ入力指示する。この認証属性区分とは、例えば、個人別(氏名)、所属科(名)、依頼先科(名)、医療資格(名)、役職(名)、特命許可グループ指定などの属性グループに対する区分で、後述する図5(a)の権限管理リストの第1行に当たり、その各列には、配列した操作者自身の権限に関するその属性区分の属性が設定される。また、出力事項とは、同じく図5(b)あるいは(c)の権限管理リストの第1行の項目である、例えば、放射線管理システムなどの出力先システム、DVD出力あるいはモニタ出力などの出力先機種、「カレント患者以外」のような院内会議・院内教育など、すなわちカンファレンス、読影、教育現場、遠隔医療、あるいは在宅医療等において利用可能な、用途別出力先などである。認証属性及び出力事項の各項目は、本実施形態のシステムを設置する医療機関毎に、予め選択、設定するので、プルダウンメニューの形態で表示し、これ等の項目を、操作者が指示する入力形態で行ってもよい。このような入力手段によれば、入力操作が簡便に行えて、好適であることは、言うまでもない。
【0046】
次に、ステップS31による操作者属性、認証属性、出力先が入力されると、ステップS32において、これ等を解析する。この解析には、図5(a)に例示する操作者属性リスト、及び図5(b)、(c)に同じく例示する権限管理リストを、予め設定して、これをシステム管理部10に備えるデータ出力部12の権限情報管理部121に設けたメモリ部121mに記録し、これ等を照会、参照して行う。
【0047】
図5(a)に例示した操作者属性リストは、操作者であるシステムのユーザ個人氏名、例えば、佐藤、高橋、鈴木などを縦項目の第1列とし、横項目の第1行には、各操作者の所属や関連事項、例えば、依頼先の診療科名、所属資格、特別設定のグループなど属性区分の項目で構成して、これらの属性区分の下欄(セル)に属性項目(データ)が設定されている。なお、この第1行の属性区分は、本実施形態の医用情報管理システム1が医用情報として管理する画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)等の接続構成とその運用手法により、本実施形態のシステムを運用する医療機関あるいは病院毎に予め設定される属性項目の区分で、上記以外に、システム所属科(名)、依頼先科(名)、医療資格(名)、役職(名)、特命許可グループ指定などがある。
【0048】
図5(b)、(c)に例示した権限管理リストの列にあたる縦項目は、前記操作者属性リストの複数の属性区分(横項目)の一つひとつがそれぞれに対応し、その属性区分名が割り当てられ、例えば、操作者名の佐藤、高橋、鈴木など、あるいは依頼先の放射線科、内科、整形外科などである。権限管理リストの行にあたる横項目には、本実施形態の医用情報管理システム1に予め設定した、操作者が操作したり、あるいは閲覧しようとする医用情報を出力する出力先システム、あるいは出力手段(機器)のそれぞれがリストされている。上述のように列及び行が設定され、列の項目に各属性区分属性をそれぞれ設定した各権限管理リストのデータフィールドの各セルには、医用情報の表示の認証キーとして、データ管理部11に記録された患者個人情報の表示組み合わせの異なる医用情報のいずれかを指定するコードデータを予め設定して、記録してある。
【0049】
このコードデータは、実施形態1で説明した患者個人情報の表示の組み合わせ毎に生成した医用情報例の保存領域を識別するデータコード(識別コード)と、表示の条件を基に対となる区分コードとなっている。
【0050】
例えば、図5(b)あるいは(c)に示すそれぞれの権限管理リストの4ビットデータの「0011」は、データ管理部11に備えるオリジナル情報部112のメモリ部112mにアクセスする権限のコードデータを示し、「0001」は変換後情報部113のメモリ部113mにアクセスする権限のコードデータを示している。
【0051】
ステップS32では、操作者がステップS31で入力した認証属性により、データ出力部12に設けた権限情報管理部121のメモリ部121mに記録した複数の権限管理リストの中から、この認証属性を縦項目とする当該権限管理リストを参照し、同じくステップS31で入力した出力事項(出力形態)に該当する横項目の1列を先ず参照する。次に、同じくメモリ部121mに記録する操作者属性リストの前記同名の認証属性の列と、当該操作者氏名の行の交差するセルの属性名を検知する。
【0052】
さらに、データ出力部12の認証キー管理部122が、ステップS33において、ステップS32で得た前記出力事項(出力形態)に該当する横項目の1列と、前記の権限管理リストの縦項目を参照して見つけた属性の1行との交差するセルにおけるコードデータ(区分コード)を、認証キー管理部122が認証キーのデータとして取得する。
【0053】
また、ステップS33における認証キーの取得では、認証キー取得の概念を模式的に図示した図5に示すように、データ管理部11に記録される2種の医用情報のアクセス先を制御する前述のコードデータと共に、対象の患者の識別をする患者氏名のコードデータも同時に付与し、これらを連結した1連のコードデータとして認証キーを取得する。この患者氏名に関する部分のコードデータは、例えば、同図に図示するように、患者IDなどの患者を特定できるデータより変換して得た5ビットのコードで、前述のデータ管理部11における該患者の医用情報を記録においても、識別して設定したコードデータと同一のコードを用いる。
【0054】
ステップS34において、ステップS33までの手順で取得した認証キーのコードデータにより、データ管理部11に記録された医用情報にアクセスする。このアクセスは、データ出力部12の認証キー管理部122からセッション情報管理部123を介して、データ管理部11のオリジナル情報部112のメモリ112mあるいは変換後情報部113のメモリ部113mへ、認証キーのコードデータと同コード名のフォルダあるいはファイルを検索する(ステップS35、あるいはステップS36)。データ管理部11における医用情報の記録の仕分けにおいて、この検索により、ステップS37で、メモリ112m、113mのいずれかから同コードデータのフォルダあるいはファイルの医用情報のデータが読み出される。この読み出されたデータは、ステップS38において、外部出力制御部124により、ステップS31で指示した出力システムあるいは出力手段に接続して、データが出力される。
【0055】
本実施形態によれば、操作者個人(氏名あるいは個人ID)毎に、患者情報の開示に係る所属科あるいは役務の属性を関係付ける操作者属性リスト、及びその属性に対し、患者の医用情報の出力先あるいは出力手段の種別毎に、出力できる医用情報の区別(情報出力の権限)を関係付ける権限管理リストにより、これ等のリストを組み合わせて、出力先毎の複雑な操作者の個人情報の表示に対する権限を設定し、個人情報の呈示、非呈示の複雑な組み合わせを実施できる。
【0056】
(実施形態3)
上述の実施形態1および2に示した医用情報に表示される患者個人情報の非表示となる所定の項目は、例えば、患者ID以外の全ての項目である。しかし、医用情報を診断や治療のために処理する現場においては、例えば、患者の年齢(生年月日)、性別、既往病歴などの情報を必要とする場合もあり、表示/非表示の項目の設定に異なる組み合わせ項目による複数の表示パターンを要する場合も有る。
【0057】
以下に示す第3の実施形態では、医用情報に添付する患者個人情報の表示内容が異なる個人情報のN種類の表示形態を設定できる医用情報管理システムについて、説明する。
【0058】
本実施形態のデータ管理部では、前述の全ての患者個人情報を、変更せずにそのままの各データを、該患者の医用情報に添付し、オリジナル情報として、これを識別する、例えばデータコード「0011」のアドレスを有する保存メモリに、記録する。
【0059】
次に、患者個人情報の例えば患者IDをそのままとし、これ以外の患者個人情報を所定の変換手段で変換し、添付した該患者の医用情報を、変換後第1情報とする。さらに、これを識別する、例えばデータコード「0001」のアドレスを有する保存メモリに、この変換後第1情報を記録する。
【0060】
また、前記変換後第1情報に非変換で残された個人情報(患者ID)と異なる他の項目、例えば、患者年齢(生年月日)をそのままとし、これ以外の患者個人情報を所定の変換手段で変換し、添付した該患者の医用情報を、変換後第2情報とする。さらに、これを識別する、例えば既に設定している以外のデータコード「0101」のアドレスを有する保存メモリに、記録する。
【0061】
さらに、非変換で残す個人情報が異なる変換後第n情報をそれぞれ変換し、これを識別するデータコードが重複しないように設定して、そのアドレスを有する保存メモリに、順次、記録していく。
【0062】
予め設定する表示/非表示の組み合わせがなくなれば、この変換後第N情報の記録を終了して、対象患者のオリジナル情報、及び変換後第1情報以下、変換後第N情報までが、データ管理部にデータコードを識別して記録される。
【0063】
また、本実施形態のデータ出力に設けたメモリ部備える権限管理リストは、前述と同様に、操作者であるシステムのユーザ個人氏名、例えば、佐藤、高橋、鈴木などを縦項目とし、横項目には、各操作者の所属や関連事項、例えば、依頼先の診療科名、所属資格、特別設定のグループなど属性区分で構成している。この権限管理リストの属性区分の下欄(セル)には、本実施形態の前記データ管理部に記録する医用情報、すなわちオリジナル情報、及び変換後第1情報以下、変換後第N情報までの前記設定された複数のデータコード、すなわち区分コードの1つが、割り当てられる。この割り当ては、縦項目の各属性事項とその出力先あるいは出力手段との関係に基づいて、予め設定した患者個人情報の表示/非表示の対応が前記変換後第n情報のそれと合致する識別コードと同値となるコードデータとして各セルに設定し、記録してある。
【0064】
このように構成した本実施形態では、操作者が医用情報を閲覧あるいは出力する場合に、操作者による閲覧の権限区分と出力先/形態を入力指示するだけで、予め設定された表示範囲(表示内容)の個人情報のみが添付された医用情報を出力することができる。
【0065】
この予め設定された個人情報の表示範囲は、本実施形態のデータ管理部において、操作者毎の属性と医用情報の出力形態に対応して、予め表示/非表示の項目をそれぞれ設定し、個人情報の一部を変換し無かった項目の情報が含まれる。したがって、本実施形態で出力される変換後第n情報は、この医用情報により診断や処置対応を行う場合に、当該患者の年齢や性別、あるいは既往病歴などの個人情報の一部を知り得て医療行為を行うことができ、医療行為に関与しない個人情報が伏せられて、きめ細かな個人情報の保護の対応が取れる医用情報が提供できる。
【0066】
本実施形態によれば、医用情報に添付され、表示される個人情報の項目の組み合わせを複数組設定ができて、各医療現場において必要とする最小限の項目に限定した複数の表示項目組の1つを閲覧の権限に設定でき、個人情報の開示を種々に設定できる効果がある。
【0067】
また、従来の隠蔽処理が都度変換で行われるシステムでは、出力時の一時的な変換処理プログラムの変更で、秘匿を容易に逃れられる。これに対し、本実施形態では、これ等の秘匿を逃れるには、個人情報の隠蔽を設定する操作者属性リスト及び権限管理リストのデータ変更により、オリジナル情報へのアクセス権限の設定変更でのみ実行される。したがって、本実施形態においては、これ等リストのセキュリティーを高めることにより、個人情報の秘匿性を高めることが容易に行える利点もあり、情報保護の点からも安全性の高い医用情報管理システムを提供できる。
【図面の簡単な説明】
【0068】
【図1】本発明の医用情報管理システムの一実施形態の構成を示す模式図。
【図2】本発明の実施形態のオリジナル情報及び変換後情報の生成を示す概念図、及び生成のフロー図。
【図3】本発明の実施形態の個人情報保護を実施する外部出力時のフロー図。
【図4】本実施形態におけるコードデータの生成概念を示す図。
【図5】本実施形態の操作者属性リスト及び権限管理リストの例を示す図。
【符号の説明】
【0069】
1・・・管理システム本体部、
2・・・患者情報データ入力部、
3・・・外部出力機器、
10・・・システム管理部、
11・・・データ管理部、
12・・・データ出力部、
13・・・システム制御・メンテナンス部、
14・・・システム制御IF、
15・・・マウス、
16・・・キーボード、
17・・・システムモニタ、
21・・・X線画像装置、
22・・・CT画像装置、
23・・・超音波画像装置、
24・・・MR画像装置、
25・・・内視鏡画像装置、
26・・・検体検査装置、
27・・・血液分析装置、
28・・・患者ID個人情報、
29・・・医用情報システム、
31・・・表示装置、
32・・・他システム、
33・・・DVD装置、
34・・・プリンタ、
111・・・変換後情報生成制御部、
112・・・オリジナル情報部、
113・・・変換後情報部、
121・・・権限情報管理部、
122・・・認証キー管理部、
123・・・セッション情報管理部、
124・・・外部出力制御部、
112m、113m、121m・・・メモリ部。
【技術分野】
【0001】
本発明は、医療機関で行う診療行為の一環として収集される医用画像情報や検査結果を管理する医用情報管理システムにおいて、所定の条件の下に患者当人を特定できる情報を隠蔽して表示する個人情報保護の技術を備える医用情報管理システムに関する。
【背景技術】
【0002】
医療行為を行う場合に使用される種々の診断装置や検査装置において、デジタル化が成されている。さらに、これ等により得た診断情報や検査データの管理においても病院内のシステム化が進み、院内で様々なシステムが稼働する様になってきた。例えば、画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)等の医用情報を管理するシステムがネットワークに接続され、ネットワーク上のクライアント端末を用いてこれらシステムと通信を行う。このクライアント端末は、システムとの通信によって医用情報を受信し、モニタに表示する。
【0003】
例えば、放射線部門で利用するオーダ情報、検査実施情報、あるいは検査画像については、病院・部門によって管理されているホストの情報システム・サーバに保存されている。医師が患者の診断を行う場合、多くは、一人の患者に担当の一人の医師が診断を行うが、超音波画像診断、あるいは内視鏡画像診断などの他の診断情報を得るための他部門へのオーダ情報の発信、または、他部門の画像診断専門医師の診断意見を依頼し、連携した患者一人ひとりの医用情報の管理が行われ、これ等を種々の部門から検索、縦覧される。一方、カンファレス(院内会議)や教育の場で利用する場合、遠隔医療あるいは在宅医療の場での説明において利用されるなどもある。
【0004】
このような病院内のシステムによって送受信される医用情報には、氏名、年齢、住所、病状などの種々のプライバシーに関する情報が多く含まれている。しかし、これらの情報を、モニタ、あるいは外部メディアや外部情報機器に出力する場合、個人情報保護の観点から患者情報などをマスクするなどの対策、技術的安全措置を取って、漏洩防止に努める必要がある。
【0005】
医用情報の漏洩防止技術としては、専門的な診断を依頼する依頼医が操作する一方の端末からネットワークを介して診断医が操作する他方の端末へ医用情報を含む診断依頼票を送信する場合、依頼医が操作する端末で診断依頼票に表示する医用情報の範囲を設定又は変更して、診断医に不必要な医用情報については隠蔽するものがある(例えば、特許文献1参照)。この技術は、診断依頼票で開示する医用情報と隠蔽する医用情報とが予め一律に設定されており、設定変更が手動により可能となっている。
【特許文献1】特開2003−323496号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
上に述べた従来の検査実施情報、医用情報を管理するシステムには、
1)個人を特定する情報を隠蔽する技術はあったが、これが情報の出力の直前に実施されるので、この操作の回避により容易に見える。
【0007】
2)複数のシステムが設置されている場合、システム利用者毎、所属部門・依頼科毎、あるいはグループごと等、きめ細かい制御は複雑で、容易ではない。
【0008】
3)表示モニタ以外への外部出力(例えば、DVD、プリンタ、他システム等)に対しては、制御されない。
【0009】
4)出力要求が輻輳すると、隠蔽処理のために出力の遅延が生じる。
【0010】
という問題があった。
【0011】
本発明は上記の問題点に鑑みてなされたもので、医用情報を取得する操作者の属性に基づいて、複雑な隠蔽条件に対応した個人情報の漏洩防止と、速やかな出力処理による応答操作性の向上を図った医用情報管理システムを提供することを目的とする。
【課題を解決するための手段】
【0012】
上記の目的を達成するために、本発明の医用情報管理システムは、患者毎の医用情報を、その患者の個人情報を維持したオリジナル医用情報と、このオリジナル医用情報における前記個人情報の一部を識別不可能に置き換える変換して作成した変換後医用情報とを、記憶し管理するデータ管理手段と、操作者の識別情報または属性に応じて権限者と非権限者が分けられた権限管理リストを保持する権限情報管理手段と、入力される操作者の前記識別情報または属性から、前記権限管理リストを参照して権限者か非権限者かを判別し、それに応じて前記オリジナル医用情報または変換後医用情報を出力するデータ出力手段とを具備することを特徴とするものである。
【0013】
また、本発明の医用情報管理システムは、患者毎の医用情報を、その患者の所定の識別項目を含む患者個人情報を維持したオリジナル医用情報を、所定の記憶領域に保存するオリジナル医用情報メモリ手段と、さらに前記患者の医用情報を、前記所定の識別項目を維持し、これ以外の全部あるいは一部の項目を識別不可能に置き換える変換して作成した変換後医用情報を、所定の記憶領域に保存する変換後医用情報メモリ手段と、操作者の識別情報毎に設定した複数の属性に対し、権限者または非権限者のいずれかを予め割り付けた操作者権限リストを備える権限情報管理メモリ手段と、入力された前記操作者の前記識別情報あるいはその指定された属性から、前記操作者権限リストを参照して、割り付けが権限者の場合に、前記オリジナル医用情報メモリ手段に保存する当該患者のオリジナル医用情報を読み出し、非権限者の場合に、前記変換後医用情報メモリ手段に保存する当該患者の変換後医用情報を読み出す出力情報管理手段とを具備することを特徴とするものである。
【0014】
また、本発明の医用情報管理システムは、患者毎の医用情報を、その患者の所定の識別項目を含む患者個人情報を維持したオリジナル医用情報を、所定の識別コードで区分した記憶領域に保存するオリジナル医用情報メモリ手段と、さらに該患者の医用情報を、前記患者個人情報の前記所定の識別項目を維持し、これ以外の全部あるいは一部の項目を識別不可能に置き換える変換して作成した変換後医用情報を、所定の識別コードで区分した記憶領域に保存する変換後医用情報メモリ手段と、操作者の識別情報毎に、複数の属性区分に対し予め設定された属性を仕分ける操作者属性リストと、前記属性区分毎の属性と前記医用情報の出力先あるいは出力方法の組み合わせ毎に、記憶領域を区分した前記識別コードに対応した区分コードを、操作者の権限条件に対応させ、予め設定した権限管理リストとを備える権限情報管理メモリ手段と、入力された前記操作者の個人識別情報、処理権限の属性区分、及び出力先又は方法のそれぞれに基づいて、前記操作者属性リスト及び権限管理リストを参照して、前記区分コードの1つを決定する権限認証手段と、この決定された区分コードと、前記オリジナル情報メモリ手段又は変換後情報メモリ手段いずれかの前記識別コードと一致する記憶領域を検索し、そこに保存するオリジナル医用情報あるいは変換後医用情報を読み出す出力情報管理手段と、この読み出された医用情報を、前記入力された出力先又は出力方法へ出力する外部出力制御手段とを具備することを特徴とするものである。
【0015】
さらに、上記本発明の個人情報保護する医用情報管理システムにおいては、前記医用情報が、X線画像装置、CT画像装置、超音波画像装置、MR画像装置、内視鏡画像装置、検体検査装置、血液分析装置、検査依頼装置、画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)、あるいは検査オーダ装置の少なくも1つから出力される医学的な所見データあるいは指示データであることを特徴とするものである。
【0016】
さらに、上記本発明の個人情報保護する医用情報管理システムにおいては、前記患者個人情報が、患者自身のID番号若しくはカルテ符号の項目と、患者氏名、患者生年月日、患者性別、患者住所、患者連絡先電話番号、受診診療科名、患者既往病歴、患者親族病歴の項目の少なくも1つとにより構成される患者個人を識別するデータであることを特徴とするものである。
【0017】
さらに、上記本発明の個人情報保護する医用情報管理システムにおいては、患者の前記所定の識別項目が、前記個人情報の患者自身のID番号、若しくはカルテ符号であることを特徴とするものである。
【0018】
さらに、上記本発明の個人情報保護する医用情報管理システムにおいては、前記操作者属性リストの複数の属性区分が、操作者氏名、所属科名、依頼先科名、医療資格名、役職名、特命許可グループの少なくも1つの区分を含むことを特徴とするものである。
【0019】
さらに、上記本発明の個人情報保護する医用情報管理システムにおいては、前記変換後医用情報メモリ手段の前記記憶領域が、前記患者個人情報の前記所定の識別項目以外で、さらに識別不可能に隠蔽変換する個人情報の項目の組毎に、複数の異なる所定の識別コードで区分され、前記権限管理リストの予め設定した区分コードも前記複数の異なる識別コードに対応して、複数が設けられ、前記属性区分毎の属性と前記医用情報の出力先あるいは出力方法の組み合わせ毎に、予め設定される前記患者個人情報の前記所定の識別項目以外で、さらに識別不可能に隠蔽変換する個人情報の項目の組毎に、複数の異なる所定の識別コードで区分され、前記権限管理リストの予め設定した区分コードも前記複数の異なる識別コードに対応して、複数が設けられ、前記属性区分毎の属性と前記医用情報の出力先あるいは出力方法の組み合わせ毎に、予め設定されることを特徴とするものである。
【発明の効果】
【0020】
本発明による放射線情報管理システムによれば、本システムの外部に対して隠匿したい情報を、無意味な情報で表示出力でき、個人情報の保護を安全に確保できる。また、個人情報の複雑な隠蔽条件に対応に対し、その設定が容易で、操作者の属性と出力方法の相互に対する隠蔽条件に基づく設定を行うことができ、高い秘匿性能を実現できる。
【発明を実施するための最良の形態】
【0021】
以下、本発明の実施形態を図面により詳細に説明する。
【0022】
(実施形態1)
図1は、本発明の個人情報を保護する医用情報管理システムの一実施形態を示す機能構成図である。
【0023】
本実施形態は、図1に示すように、大きくは、管理システム本体部1、患者情報データ入力部2、外部出力機器3から構成される。
【0024】
さらに、管理システム本体部1は、データ管理部11とデータ出力部12から成るシステム管理部10、システム制御及びメンテナンス部13、及びシステム制御IF14に接続された入力機器であるマウス15、キーボード16、システムモニタ17により構成される。
【0025】
このデータ管理部11は、患者情報データ入力部2から入力されるデータをそのまま保持記憶するメモリ部112mを有するオリジナル情報部112と、前記入力データの所定の項目に対し所定の変換操作する変換後情報生成制御部111と、この変換後のデータを保持記憶するメモリ部113mを有する変換後情報部113とから構成される。
【0026】
さらに、データ出力部12は、操作者が入力するデータに基づいて、権限データを保持記憶するメモリ部121mを有する権限情報管理部121、その権限情報より認証を行う認証キー管理部122、この認証キーにより前記オリジンナル情報あるいは前記変換後情報のいずれか一方を出力するセッション情報管理部123と、この出力を外部出力機器3のいずれの機器に出力するかを制御する外部出力制御部124とから構成される。
【0027】
また、患者情報データ入力部2は、モダリティのX線画像装置21、CT画像装置22、超音波画像装置23、MR画像装置24、内視鏡画像装置25などの他、検体検査装置26、血液分析装置27、及び医用情報システム29、さらに患者ID個人情報28などに接続し、各画像診断データや検査結果データと個人情報が、これを介して、システム管理部10へ入力される。このシステム管理部10の出力は、外部出力機器3の表示装置31、他システム32、DVD装置33、プリンタ34などに接続して、表示、データ転送、あるいは記録を行う。
【0028】
上記のように構成した本実施形態のシステム管理部10は、先ず、データ管理部11により、対象となる患者の情報(データ)を収集する「データ管理」を行ない、その後、医師が、この収集したデータ(患者の情報と同義であるが、以降、記録された結果を区別してデータと呼ぶ)を読み出し、診断や治療などの医療行為を行うための「データ出力」を行う。
【0029】
以下に、本実施形態の行なう前記「データ管理」及び「データ出力」について、作用、動作を、図2〜6を用いて、説明する。
【0030】
図2(a)には、本実施形態のデータ管理部11における、「データ管理」の処理の概念を図示した。同図(b)は、この「データ管理」の処理の手順を示すフロー図である。
【0031】
図2(b)のフロー図に示すように、対象患者の医用画像、検査結果、あるいは検査オーダなどの医療情報と対象患者個人に関する識別情報が、STARTと共に、患者情報データ入力部2からデータ管理部11に入力されると、先ず、ステップS21が実施される。このステップS21において、入力された全てのデータがそのまま、すなわち、医療情報に一般的に添付された患者の個人情報である患者ID、患者氏名、患者性別、生年月日、疾病・疾患名、罹病歴、家族関係、家族罹病歴なども一切変更されていないデータが、オリジナル情報として、データ管理部11のメモリ112mに、記録される。
【0032】
この記録と共に、変換後情報作成がステップS22で行われる。この変換後情報作成(ステップS22)では、患者個人を容易に識別できる項目、あるいは患者が秘匿したい項目である所定の項目について、その公表を阻むために、該当する項目のデータ値を、図2(a)の「変換」に示すように、システム自動生成、あるいは規則に基づく生成、あるいはランダムな生成のいずれかにより、オリジナル情報を変換後情報に変換する。この変換については、可逆、非可逆のいずれでもよいが、秘匿性を高める上で非可逆とすることが好適となる。具体的なこの変換の例としては、例えば、「*****」あるいは「――――」などの所定の文字列、「ABC・・」あるいは「123・・」などの無意味で、項目の内容を識別不可能な文字列、元のデータ文字列の一部が「*」などの伏せ字で置き換えた文字列などである。なお、情報(データ)を変換した対象の患者を識別するため、変換後データを特定できる患者自身の個人情報の1項目は非変換とする。この非変換とする項目については、個人情報の中で、対象患者の他の項目に関連付けられことがなく、さらに一般的にはシステム内では唯一に発行される項目である「患者ID」を非変換として、識別に使用することが好適である。
【0033】
ステップS22で生成された変換後データは、次のステップS23において、患者ID以外の全ての個人情報データが、前記の所定の変換が行われて、すなわち、患者氏名、患者性別、生年月日、疾病・疾患名、罹病歴、家族関係、家族罹病歴など各項目が無意味なあるいは識別不可能なデータに置き換えられ、医用画像、あるいは検査結果などの医療情報は元のままのデータが、変換後情報として、データ管理部11のメモリ113mに、前述のオリジナル情報とは異なるメモリに新たに記録される。
【0034】
また、患者毎のこれ等オリジナル情報あるいは変換後情報それぞれは、これ等を記録するメモリ112mあるいはメモリ113mにおいて、後述する認証キーに基づいて設定される所定のコードデータを含む識別された所定の領域、例えばフォルダ、あるいはファイル名の一部として形成される領域に、分別して記録される。後述するこの認証キーのコードデータの例として、例えば、オリジナル情報に対してはコード0011を、変換後情報にはコード0001を設定する。
【0035】
このようなオリジナルデータや変換後データを格納する保存領域を識別するコードデータを、ここでは、後述の認証キーのコードデータと区別して、識別コードと呼び、後述の認証キーを区分コードと呼ぶ。
【0036】
上述のように、本願発明の実施形態においては、データ管理部11により行なわれる医療情報の記録において、所定の患者の個人情報が正しく全て添付されて保管されたオリジナル情報と、少なくとも1つ、例えば患者IDを患者識別のデータとして残し、他の個人情報に関わるデータは、所定の変換手法により元のデータを想定し得ないデータ値に変換し、当該医療情報に添付した変換後情報との2つの医用検査情報を同時に記録している。そしてこれ等の2つの情報は、異なるコードデータにより、識別されて記録される。
【0037】
本実施形態によれば、オリジナル情報と、個人情報の一部が無意味なデータに書き換えた変換後情報とに分離され、それぞれが異なる記憶場所に記録されるので、これ等の記録データへのアクセス先の特定において、外部から探索が容易でなく、記憶場所から情報が引き出されても、個人が特定できない。
【0038】
また、データの読み出しにおいても、隠蔽の変換処理が、オリジナル情報の処理の時点で変換後情報として予め変換が実施されるので、都度に変換が行われる従来の隠蔽処理に比べて、応答が速やかに行われる。特に、従来システムにおいて、隠蔽処理を要するデータ検索の錯綜時にも、本実施形態よれば短時間の応答のデータ提供ができる。
【0039】
(実施形態2)
上述のように、本実施形態のデータ管理部11に記録されたオリジナル情報、あるいは変換後情報は、その後さらに、医師などの医療関係者の操作により、診断や治療などの医療行為を行うために、この記録したデータの一部が読み出される。
【0040】
本実施形態においては、図1に示すデータ出力部12において、この「データ出力」を行う。次に、図3及び図4を用いて、本実施形態の行う「データ出力」における作用、動作を、以下に説明する。
【0041】
図3は、本実施形態のデータ出力部12における、「データ出力」の処理のフロー図を示す。また、図4(a)及び(b)は、本実施形態のデータ出力部12における情報区分の仕分けを行う処理の概念を図示したものである。
【0042】
本実施形態における「データ出力」の作用、動作、すなわち、医師などの医療関係者による当該患者の病状を診断するため、医療情報の照会、カンファレンス(病院内会議)閲覧などに、本実施形態が画像情報や検査結果などのデータ出力を提供する手順を、図3により説明する。
【0043】
図3に示すように、本実施形態における医療情報の閲覧あるいは出力には、先ず、閲覧者である操作者への情報提供に関する制限を判定する権限認証を、ステップS31〜S33により以下に示すように行う。
【0044】
最初のステップS31において、操作者は、本実施形態のシステム本体部1に備えるシステムモニタ17の表示を見ながら、マウス15あるいはキーボード16により、操作者の氏名、操作者ID、操作パスワードなどの操作者情報を、入力する。あるいは、煩雑になるので図示をしていないIDカードリーダをシステム制御IF14に接続して、前記操作者情報が予め書き込まれている操作者自身のIDカードを読み取らせて、入力しても良い。
【0045】
さらに、ステップS31において、操作者は、認証属性区分、及び出力事項(出力形態)をそれぞれ入力指示する。この認証属性区分とは、例えば、個人別(氏名)、所属科(名)、依頼先科(名)、医療資格(名)、役職(名)、特命許可グループ指定などの属性グループに対する区分で、後述する図5(a)の権限管理リストの第1行に当たり、その各列には、配列した操作者自身の権限に関するその属性区分の属性が設定される。また、出力事項とは、同じく図5(b)あるいは(c)の権限管理リストの第1行の項目である、例えば、放射線管理システムなどの出力先システム、DVD出力あるいはモニタ出力などの出力先機種、「カレント患者以外」のような院内会議・院内教育など、すなわちカンファレンス、読影、教育現場、遠隔医療、あるいは在宅医療等において利用可能な、用途別出力先などである。認証属性及び出力事項の各項目は、本実施形態のシステムを設置する医療機関毎に、予め選択、設定するので、プルダウンメニューの形態で表示し、これ等の項目を、操作者が指示する入力形態で行ってもよい。このような入力手段によれば、入力操作が簡便に行えて、好適であることは、言うまでもない。
【0046】
次に、ステップS31による操作者属性、認証属性、出力先が入力されると、ステップS32において、これ等を解析する。この解析には、図5(a)に例示する操作者属性リスト、及び図5(b)、(c)に同じく例示する権限管理リストを、予め設定して、これをシステム管理部10に備えるデータ出力部12の権限情報管理部121に設けたメモリ部121mに記録し、これ等を照会、参照して行う。
【0047】
図5(a)に例示した操作者属性リストは、操作者であるシステムのユーザ個人氏名、例えば、佐藤、高橋、鈴木などを縦項目の第1列とし、横項目の第1行には、各操作者の所属や関連事項、例えば、依頼先の診療科名、所属資格、特別設定のグループなど属性区分の項目で構成して、これらの属性区分の下欄(セル)に属性項目(データ)が設定されている。なお、この第1行の属性区分は、本実施形態の医用情報管理システム1が医用情報として管理する画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)等の接続構成とその運用手法により、本実施形態のシステムを運用する医療機関あるいは病院毎に予め設定される属性項目の区分で、上記以外に、システム所属科(名)、依頼先科(名)、医療資格(名)、役職(名)、特命許可グループ指定などがある。
【0048】
図5(b)、(c)に例示した権限管理リストの列にあたる縦項目は、前記操作者属性リストの複数の属性区分(横項目)の一つひとつがそれぞれに対応し、その属性区分名が割り当てられ、例えば、操作者名の佐藤、高橋、鈴木など、あるいは依頼先の放射線科、内科、整形外科などである。権限管理リストの行にあたる横項目には、本実施形態の医用情報管理システム1に予め設定した、操作者が操作したり、あるいは閲覧しようとする医用情報を出力する出力先システム、あるいは出力手段(機器)のそれぞれがリストされている。上述のように列及び行が設定され、列の項目に各属性区分属性をそれぞれ設定した各権限管理リストのデータフィールドの各セルには、医用情報の表示の認証キーとして、データ管理部11に記録された患者個人情報の表示組み合わせの異なる医用情報のいずれかを指定するコードデータを予め設定して、記録してある。
【0049】
このコードデータは、実施形態1で説明した患者個人情報の表示の組み合わせ毎に生成した医用情報例の保存領域を識別するデータコード(識別コード)と、表示の条件を基に対となる区分コードとなっている。
【0050】
例えば、図5(b)あるいは(c)に示すそれぞれの権限管理リストの4ビットデータの「0011」は、データ管理部11に備えるオリジナル情報部112のメモリ部112mにアクセスする権限のコードデータを示し、「0001」は変換後情報部113のメモリ部113mにアクセスする権限のコードデータを示している。
【0051】
ステップS32では、操作者がステップS31で入力した認証属性により、データ出力部12に設けた権限情報管理部121のメモリ部121mに記録した複数の権限管理リストの中から、この認証属性を縦項目とする当該権限管理リストを参照し、同じくステップS31で入力した出力事項(出力形態)に該当する横項目の1列を先ず参照する。次に、同じくメモリ部121mに記録する操作者属性リストの前記同名の認証属性の列と、当該操作者氏名の行の交差するセルの属性名を検知する。
【0052】
さらに、データ出力部12の認証キー管理部122が、ステップS33において、ステップS32で得た前記出力事項(出力形態)に該当する横項目の1列と、前記の権限管理リストの縦項目を参照して見つけた属性の1行との交差するセルにおけるコードデータ(区分コード)を、認証キー管理部122が認証キーのデータとして取得する。
【0053】
また、ステップS33における認証キーの取得では、認証キー取得の概念を模式的に図示した図5に示すように、データ管理部11に記録される2種の医用情報のアクセス先を制御する前述のコードデータと共に、対象の患者の識別をする患者氏名のコードデータも同時に付与し、これらを連結した1連のコードデータとして認証キーを取得する。この患者氏名に関する部分のコードデータは、例えば、同図に図示するように、患者IDなどの患者を特定できるデータより変換して得た5ビットのコードで、前述のデータ管理部11における該患者の医用情報を記録においても、識別して設定したコードデータと同一のコードを用いる。
【0054】
ステップS34において、ステップS33までの手順で取得した認証キーのコードデータにより、データ管理部11に記録された医用情報にアクセスする。このアクセスは、データ出力部12の認証キー管理部122からセッション情報管理部123を介して、データ管理部11のオリジナル情報部112のメモリ112mあるいは変換後情報部113のメモリ部113mへ、認証キーのコードデータと同コード名のフォルダあるいはファイルを検索する(ステップS35、あるいはステップS36)。データ管理部11における医用情報の記録の仕分けにおいて、この検索により、ステップS37で、メモリ112m、113mのいずれかから同コードデータのフォルダあるいはファイルの医用情報のデータが読み出される。この読み出されたデータは、ステップS38において、外部出力制御部124により、ステップS31で指示した出力システムあるいは出力手段に接続して、データが出力される。
【0055】
本実施形態によれば、操作者個人(氏名あるいは個人ID)毎に、患者情報の開示に係る所属科あるいは役務の属性を関係付ける操作者属性リスト、及びその属性に対し、患者の医用情報の出力先あるいは出力手段の種別毎に、出力できる医用情報の区別(情報出力の権限)を関係付ける権限管理リストにより、これ等のリストを組み合わせて、出力先毎の複雑な操作者の個人情報の表示に対する権限を設定し、個人情報の呈示、非呈示の複雑な組み合わせを実施できる。
【0056】
(実施形態3)
上述の実施形態1および2に示した医用情報に表示される患者個人情報の非表示となる所定の項目は、例えば、患者ID以外の全ての項目である。しかし、医用情報を診断や治療のために処理する現場においては、例えば、患者の年齢(生年月日)、性別、既往病歴などの情報を必要とする場合もあり、表示/非表示の項目の設定に異なる組み合わせ項目による複数の表示パターンを要する場合も有る。
【0057】
以下に示す第3の実施形態では、医用情報に添付する患者個人情報の表示内容が異なる個人情報のN種類の表示形態を設定できる医用情報管理システムについて、説明する。
【0058】
本実施形態のデータ管理部では、前述の全ての患者個人情報を、変更せずにそのままの各データを、該患者の医用情報に添付し、オリジナル情報として、これを識別する、例えばデータコード「0011」のアドレスを有する保存メモリに、記録する。
【0059】
次に、患者個人情報の例えば患者IDをそのままとし、これ以外の患者個人情報を所定の変換手段で変換し、添付した該患者の医用情報を、変換後第1情報とする。さらに、これを識別する、例えばデータコード「0001」のアドレスを有する保存メモリに、この変換後第1情報を記録する。
【0060】
また、前記変換後第1情報に非変換で残された個人情報(患者ID)と異なる他の項目、例えば、患者年齢(生年月日)をそのままとし、これ以外の患者個人情報を所定の変換手段で変換し、添付した該患者の医用情報を、変換後第2情報とする。さらに、これを識別する、例えば既に設定している以外のデータコード「0101」のアドレスを有する保存メモリに、記録する。
【0061】
さらに、非変換で残す個人情報が異なる変換後第n情報をそれぞれ変換し、これを識別するデータコードが重複しないように設定して、そのアドレスを有する保存メモリに、順次、記録していく。
【0062】
予め設定する表示/非表示の組み合わせがなくなれば、この変換後第N情報の記録を終了して、対象患者のオリジナル情報、及び変換後第1情報以下、変換後第N情報までが、データ管理部にデータコードを識別して記録される。
【0063】
また、本実施形態のデータ出力に設けたメモリ部備える権限管理リストは、前述と同様に、操作者であるシステムのユーザ個人氏名、例えば、佐藤、高橋、鈴木などを縦項目とし、横項目には、各操作者の所属や関連事項、例えば、依頼先の診療科名、所属資格、特別設定のグループなど属性区分で構成している。この権限管理リストの属性区分の下欄(セル)には、本実施形態の前記データ管理部に記録する医用情報、すなわちオリジナル情報、及び変換後第1情報以下、変換後第N情報までの前記設定された複数のデータコード、すなわち区分コードの1つが、割り当てられる。この割り当ては、縦項目の各属性事項とその出力先あるいは出力手段との関係に基づいて、予め設定した患者個人情報の表示/非表示の対応が前記変換後第n情報のそれと合致する識別コードと同値となるコードデータとして各セルに設定し、記録してある。
【0064】
このように構成した本実施形態では、操作者が医用情報を閲覧あるいは出力する場合に、操作者による閲覧の権限区分と出力先/形態を入力指示するだけで、予め設定された表示範囲(表示内容)の個人情報のみが添付された医用情報を出力することができる。
【0065】
この予め設定された個人情報の表示範囲は、本実施形態のデータ管理部において、操作者毎の属性と医用情報の出力形態に対応して、予め表示/非表示の項目をそれぞれ設定し、個人情報の一部を変換し無かった項目の情報が含まれる。したがって、本実施形態で出力される変換後第n情報は、この医用情報により診断や処置対応を行う場合に、当該患者の年齢や性別、あるいは既往病歴などの個人情報の一部を知り得て医療行為を行うことができ、医療行為に関与しない個人情報が伏せられて、きめ細かな個人情報の保護の対応が取れる医用情報が提供できる。
【0066】
本実施形態によれば、医用情報に添付され、表示される個人情報の項目の組み合わせを複数組設定ができて、各医療現場において必要とする最小限の項目に限定した複数の表示項目組の1つを閲覧の権限に設定でき、個人情報の開示を種々に設定できる効果がある。
【0067】
また、従来の隠蔽処理が都度変換で行われるシステムでは、出力時の一時的な変換処理プログラムの変更で、秘匿を容易に逃れられる。これに対し、本実施形態では、これ等の秘匿を逃れるには、個人情報の隠蔽を設定する操作者属性リスト及び権限管理リストのデータ変更により、オリジナル情報へのアクセス権限の設定変更でのみ実行される。したがって、本実施形態においては、これ等リストのセキュリティーを高めることにより、個人情報の秘匿性を高めることが容易に行える利点もあり、情報保護の点からも安全性の高い医用情報管理システムを提供できる。
【図面の簡単な説明】
【0068】
【図1】本発明の医用情報管理システムの一実施形態の構成を示す模式図。
【図2】本発明の実施形態のオリジナル情報及び変換後情報の生成を示す概念図、及び生成のフロー図。
【図3】本発明の実施形態の個人情報保護を実施する外部出力時のフロー図。
【図4】本実施形態におけるコードデータの生成概念を示す図。
【図5】本実施形態の操作者属性リスト及び権限管理リストの例を示す図。
【符号の説明】
【0069】
1・・・管理システム本体部、
2・・・患者情報データ入力部、
3・・・外部出力機器、
10・・・システム管理部、
11・・・データ管理部、
12・・・データ出力部、
13・・・システム制御・メンテナンス部、
14・・・システム制御IF、
15・・・マウス、
16・・・キーボード、
17・・・システムモニタ、
21・・・X線画像装置、
22・・・CT画像装置、
23・・・超音波画像装置、
24・・・MR画像装置、
25・・・内視鏡画像装置、
26・・・検体検査装置、
27・・・血液分析装置、
28・・・患者ID個人情報、
29・・・医用情報システム、
31・・・表示装置、
32・・・他システム、
33・・・DVD装置、
34・・・プリンタ、
111・・・変換後情報生成制御部、
112・・・オリジナル情報部、
113・・・変換後情報部、
121・・・権限情報管理部、
122・・・認証キー管理部、
123・・・セッション情報管理部、
124・・・外部出力制御部、
112m、113m、121m・・・メモリ部。
【特許請求の範囲】
【請求項1】
患者毎の医用情報を、その患者の個人情報を維持したオリジナル医用情報と、このオリジナル医用情報における前記個人情報の一部を識別不可能に置き換える変換して作成した変換後医用情報とを、記憶し管理するデータ管理手段と、
操作者の識別情報または属性に応じて権限者と非権限者が分けられた権限管理リストを保持する権限情報管理手段と、
入力される操作者の前記識別情報または属性から、前記権限管理リストを参照して権限者か非権限者かを判別し、それに応じて前記オリジナル医用情報または変換後医用情報を出力するデータ出力手段と、
を具備することを特徴とする医用情報管理システム。
【請求項2】
患者毎の医用情報を、その患者の所定の識別項目を含む患者個人情報を維持したオリジナル医用情報を、所定の記憶領域に保存するオリジナル医用情報メモリ手段と、
さらに前記患者の医用情報を、前記所定の識別項目を維持し、これ以外の全部あるいは一部の項目を識別不可能に置き換える変換して作成した変換後医用情報を、所定の記憶領域に保存する変換後医用情報メモリ手段と、
操作者の識別情報毎に設定した複数の属性に対し、権限者または非権限者のいずれかを予め割り付けた操作者権限リストを備える権限情報管理メモリ手段と、
入力された前記操作者の前記識別情報あるいはその指定された属性から、前記操作者権限リストを参照して、割り付けが権限者の場合に、前記オリジナル医用情報メモリ手段に保存する当該患者のオリジナル医用情報を読み出し、非権限者の場合に、前記変換後医用情報メモリ手段に保存する当該患者の変換後医用情報を読み出す出力情報管理手段と、
を具備することを特徴とする医用情報管理システム。
【請求項3】
患者毎の医用情報を、その患者の所定の識別項目を含む患者個人情報を維持したオリジナル医用情報を、所定の識別コードで区分した記憶領域に保存するオリジナル医用情報メモリ手段と、
さらに該患者の医用情報を、前記患者個人情報の前記所定の識別項目を維持し、これ以外の全部あるいは一部の項目を識別不可能に置き換える変換して作成した変換後医用情報を、所定の識別コードで区分した記憶領域に保存する変換後医用情報メモリ手段と、
操作者の識別情報毎に、複数の属性区分に対し予め設定された属性を仕分ける操作者属性リストと、前記属性区分毎の属性と前記医用情報の出力先あるいは出力方法の組み合わせ毎に、記憶領域を区分した前記識別コードに対応した区分コードを、操作者の権限条件に対応させ、予め設定した権限管理リストとを備える権限情報管理メモリ手段と、
入力された前記操作者の個人識別情報、処理権限の属性区分、及び出力先又は方法のそれぞれに基づいて、前記操作者属性リスト及び権限管理リストを参照して、前記区分コードの1つを決定する権限認証手段と、
この決定された区分コードと、前記オリジナル情報メモリ手段又は変換後情報メモリ手段いずれかの前記識別コードと一致する記憶領域を検索し、そこに保存するオリジナル医用情報あるいは変換後医用情報を読み出す出力情報管理手段と、
この読み出された医用情報を、前記入力された出力先又は出力方法へ出力する外部出力制御手段と、
を具備することを特徴とする医用情報管理システム。
【請求項4】
前記医用情報は、X線画像装置、CT画像装置、超音波画像装置、MR画像装置、内視鏡画像装置、検体検査装置、血液分析装置、検査依頼装置、画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)、あるいは検査オーダ装置の少なくも1つから出力される医学的な所見データあるいは指示データであることを特徴とする請求項1乃至3のいずれかに記載の医用情報管理システム。
【請求項5】
前記患者の個人情報は、患者自身のID番号若しくはカルテ符号の項目と、患者氏名、患者生年月日、患者性別、患者住所、患者連絡先電話番号、受診診療科名、患者既往病歴、患者親族病歴の項目の少なくも1つとにより構成される患者個人を識別するデータであることを特徴とする請求項1乃至3のいずれかに記載の医用情報管理システム。
【請求項6】
該患者の前記所定の識別項目は、前記個人情報の患者自身のID番号、若しくはカルテ符号であることを特徴とする請求項2または3記載の個人情報保護する医用情報管理システム。
【請求項7】
前記操作者属性リストの複数の属性区分は、操作者氏名、所属科名、依頼先科名、医療資格名、役職名、特命許可グループの少なくも1つの区分を含むことを特徴とする請求項3記載の医用情報管理システム。
【請求項8】
前記変換後医用情報メモリ手段の前記記憶領域は、前記患者個人情報の前記所定の識別項目以外で、さらに識別不可能に隠蔽変換する個人情報の項目の組毎に、複数の異なる所定の識別コードで区分され、前記権限管理リストの予め設定した区分コードも前記複数の異なる識別コードに対応して、複数が設けられ、前記属性区分毎の属性と前記医用情報の出力先あるいは出力方法の組み合わせ毎に、予め設定されることを特徴とする請求項3記載の医用情報管理システム。
【請求項1】
患者毎の医用情報を、その患者の個人情報を維持したオリジナル医用情報と、このオリジナル医用情報における前記個人情報の一部を識別不可能に置き換える変換して作成した変換後医用情報とを、記憶し管理するデータ管理手段と、
操作者の識別情報または属性に応じて権限者と非権限者が分けられた権限管理リストを保持する権限情報管理手段と、
入力される操作者の前記識別情報または属性から、前記権限管理リストを参照して権限者か非権限者かを判別し、それに応じて前記オリジナル医用情報または変換後医用情報を出力するデータ出力手段と、
を具備することを特徴とする医用情報管理システム。
【請求項2】
患者毎の医用情報を、その患者の所定の識別項目を含む患者個人情報を維持したオリジナル医用情報を、所定の記憶領域に保存するオリジナル医用情報メモリ手段と、
さらに前記患者の医用情報を、前記所定の識別項目を維持し、これ以外の全部あるいは一部の項目を識別不可能に置き換える変換して作成した変換後医用情報を、所定の記憶領域に保存する変換後医用情報メモリ手段と、
操作者の識別情報毎に設定した複数の属性に対し、権限者または非権限者のいずれかを予め割り付けた操作者権限リストを備える権限情報管理メモリ手段と、
入力された前記操作者の前記識別情報あるいはその指定された属性から、前記操作者権限リストを参照して、割り付けが権限者の場合に、前記オリジナル医用情報メモリ手段に保存する当該患者のオリジナル医用情報を読み出し、非権限者の場合に、前記変換後医用情報メモリ手段に保存する当該患者の変換後医用情報を読み出す出力情報管理手段と、
を具備することを特徴とする医用情報管理システム。
【請求項3】
患者毎の医用情報を、その患者の所定の識別項目を含む患者個人情報を維持したオリジナル医用情報を、所定の識別コードで区分した記憶領域に保存するオリジナル医用情報メモリ手段と、
さらに該患者の医用情報を、前記患者個人情報の前記所定の識別項目を維持し、これ以外の全部あるいは一部の項目を識別不可能に置き換える変換して作成した変換後医用情報を、所定の識別コードで区分した記憶領域に保存する変換後医用情報メモリ手段と、
操作者の識別情報毎に、複数の属性区分に対し予め設定された属性を仕分ける操作者属性リストと、前記属性区分毎の属性と前記医用情報の出力先あるいは出力方法の組み合わせ毎に、記憶領域を区分した前記識別コードに対応した区分コードを、操作者の権限条件に対応させ、予め設定した権限管理リストとを備える権限情報管理メモリ手段と、
入力された前記操作者の個人識別情報、処理権限の属性区分、及び出力先又は方法のそれぞれに基づいて、前記操作者属性リスト及び権限管理リストを参照して、前記区分コードの1つを決定する権限認証手段と、
この決定された区分コードと、前記オリジナル情報メモリ手段又は変換後情報メモリ手段いずれかの前記識別コードと一致する記憶領域を検索し、そこに保存するオリジナル医用情報あるいは変換後医用情報を読み出す出力情報管理手段と、
この読み出された医用情報を、前記入力された出力先又は出力方法へ出力する外部出力制御手段と、
を具備することを特徴とする医用情報管理システム。
【請求項4】
前記医用情報は、X線画像装置、CT画像装置、超音波画像装置、MR画像装置、内視鏡画像装置、検体検査装置、血液分析装置、検査依頼装置、画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)、あるいは検査オーダ装置の少なくも1つから出力される医学的な所見データあるいは指示データであることを特徴とする請求項1乃至3のいずれかに記載の医用情報管理システム。
【請求項5】
前記患者の個人情報は、患者自身のID番号若しくはカルテ符号の項目と、患者氏名、患者生年月日、患者性別、患者住所、患者連絡先電話番号、受診診療科名、患者既往病歴、患者親族病歴の項目の少なくも1つとにより構成される患者個人を識別するデータであることを特徴とする請求項1乃至3のいずれかに記載の医用情報管理システム。
【請求項6】
該患者の前記所定の識別項目は、前記個人情報の患者自身のID番号、若しくはカルテ符号であることを特徴とする請求項2または3記載の個人情報保護する医用情報管理システム。
【請求項7】
前記操作者属性リストの複数の属性区分は、操作者氏名、所属科名、依頼先科名、医療資格名、役職名、特命許可グループの少なくも1つの区分を含むことを特徴とする請求項3記載の医用情報管理システム。
【請求項8】
前記変換後医用情報メモリ手段の前記記憶領域は、前記患者個人情報の前記所定の識別項目以外で、さらに識別不可能に隠蔽変換する個人情報の項目の組毎に、複数の異なる所定の識別コードで区分され、前記権限管理リストの予め設定した区分コードも前記複数の異なる識別コードに対応して、複数が設けられ、前記属性区分毎の属性と前記医用情報の出力先あるいは出力方法の組み合わせ毎に、予め設定されることを特徴とする請求項3記載の医用情報管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2007−148510(P2007−148510A)
【公開日】平成19年6月14日(2007.6.14)
【国際特許分類】
【出願番号】特願2005−338519(P2005−338519)
【出願日】平成17年11月24日(2005.11.24)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【出願人】(594164531)東芝医用システムエンジニアリング株式会社 (892)
【Fターム(参考)】
【公開日】平成19年6月14日(2007.6.14)
【国際特許分類】
【出願日】平成17年11月24日(2005.11.24)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【出願人】(594164531)東芝医用システムエンジニアリング株式会社 (892)
【Fターム(参考)】
[ Back to top ]