医用装置および不正アクセス監査システム
【課題】医用分野に特有の不正アクセスの監査を支援することが可能な医用装置および不正アクセス監査システムである。
【解決手段】不正アクセス監査システムは、医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、監査ログ取得部により取得された監査ログを解析し、所望の対象を集計することにより解析結果を得る監査ログ解析部と、監査ログ解析部により得られた解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有する。
【解決手段】不正アクセス監査システムは、医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、監査ログ取得部により取得された監査ログを解析し、所望の対象を集計することにより解析結果を得る監査ログ解析部と、監査ログ解析部により得られた解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、患者情報等の個人情報のセキュリティを管理する機能を備えた医用装置および不正アクセス監査システムに係り、特に個人情報に対する不正アクセスの有無の監査を支援することが可能な医用装置および不正アクセス監査システムに関する。
【背景技術】
【0002】
従来、超音波診断装置、X線CT(computed tomography)装置、MRI(magnetic resonance imaging)等の医用装置やHIS(hospital information system),RIS(radiology information system)、PACS(picture archiving and communication system)等の医用情報システムでは監査ログが記録されている。監査ログには、医用装置に対する設定の変更、患者情報等の個人情報に対するアクセスあるいはログイン/ログオフ操作に関する情報等の詳細な情報が記録される。
【0003】
そして、医用装置や医用情報システムに保存された個人情報のセキュリティを管理するセキュリティ管理者は、監査ログを用いて個人情報に対する不正アクセスの有無を監査する。
【0004】
しかし、監査ログは、単なる時系列の情報であり、膨大な量の情報である。従って、くまなく全ての監査ログを確認することが事実上不可能であると言える。そこで、監査ログを解析する手段の1つとして、市販されているログ解析ソフトの利用が考えられる。
【0005】
近年のログ解析ソフトとしては、例えば非特許文献1や非特許文献2に参照されるものがある。
【非特許文献1】BOM(登録商標) for Windows(登録商標)、[online],セイ・テクノロジーズ株式会社(SAY Technologies) 製品情報、[平成16年12月10日検索]、インターネット<URL:http://www.say-tech.co.jp/product/01.html>
【非特許文献2】監視ソリューション、Windows(登録商標)サーバー、[online],セイ・テクノロジーズ株式会社(SAY Technologies)、[平成16年12月10日検索]、インターネット<URL:http://www.say-tech.co.jp/sol/01.html>
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、医用装置や医用情報システムに保存される個人情報に対する不正アクセスには、医用向け以外の一般の情報システムに対する不正アクセスとは異なる特徴を有するものがある。
【0007】
第1の例として、ユーザ登録されていない緊急ユーザが医用装置や医用情報システムにログオンする場合があるという事情がある。すなわち、医用装置は、緊急で検査を行う必要が生じ得ることから、事前にユーザ登録されていない放射線技師等の医療従事者であっても操作できるようにしておく必要がある。そこで、このような場合に備えて、特別なユーザとして緊急ユーザを用意し、登録されていないユーザであっても医用装置を操作できるようにする案が提案されている。
【0008】
しかし、その場合には、この緊急ユーザであればアクセスできるという事情を悪用して、不正アクセスが行われる恐れがある。
【0009】
第2の例として、特定の個人情報に対して正規の登録ユーザのアクセスが集中するという不正アクセスが起こり得る。一般の医用向け以外の情報システムにおいては、正規のアクセス権を付与され、ユーザ登録された特定のユーザのみが個人情報にアクセスすることができるようにされている。このため、ユーザ登録された特定のユーザが、多数の個人情報を取得して外部にするという不正アクセスが起こり得る。すなわち、一般の医用向け以外の情報システムにおける不正アクセスは、一人のユーザが多数の個人情報を不正に取得するという特徴がある。
【0010】
これに対して、医用装置や医用情報システムに対する不正アクセスの場合には、このような特定の登録ユーザが多数の個人情報を不正に取得して漏洩するという不正アクセスに加え、正規のアクセス権限を持った多くの登録ユーザが、興味本位で特定のVIP()患者の医用画像等の個人情報にアクセスするという不正アクセスが発生する恐れがある。
【0011】
そして、このような医用装置や医用情報システムに特有の不正アクセスに対する監査は、従来の一般の情報システム向けのログ解析ソフトでは十分に行うことができない。そこで、医用装置や医用情報システムに特有の不正アクセスの有無を監査する場合に、監査を支援するツールの開発が望まれる。
【0012】
本発明はかかる従来の事情に対処するためになされたものであり、医用分野に特有の不正アクセスの監査を支援することが可能な医用装置および不正アクセス監査システムを提供することを目的とする。
【課題を解決するための手段】
【0013】
本発明に係る不正アクセス監査システムは、上述の目的を達成するために、請求項1に記載したように、医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、所望の対象を集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【0014】
また、本発明に係る不正アクセス監査システムは、上述の目的を達成するために、請求項2に記載したように、医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、前記医用装置および前記医用情報システムの少なくとも一方へのログイン権限を付与するためのユーザ登録がなされていない緊急ユーザのログインの回数、ログイン時間およびログイン中に検査画像を参照した回数の少なくとも1つを集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【0015】
また、本発明に係る不正アクセス監査システムは、上述の目的を達成するために、請求項3に記載したように、医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、患者ごとの検査画像を表示させた回数別に前記医用装置および前記医用情報システムの少なくとも一方のユーザの数を集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【0016】
また、本発明に係る医用装置は、上述の目的を達成するために、請求項7に記載したように、監査ログを作成して記録する医用装置において、前記監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、所望の対象を集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【0017】
また、本発明に係る医用装置は、上述の目的を達成するために、請求項8に記載したように、監査ログを作成して記録する医用装置において、前記監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、前記医用装置および前記医用情報システムの少なくとも一方へのログイン権限を付与するためのユーザ登録がなされていない緊急ユーザのログインの回数、ログイン時間およびログイン中に検査画像を参照した回数の少なくとも1つを集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【0018】
また、本発明に係る医用装置は、上述の目的を達成するために、請求項9に記載したように、監査ログを作成して記録する医用装置において、前記監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、患者ごとの検査画像を表示させた回数別に前記医用装置および前記医用情報システムの少なくとも一方のユーザの数を集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【発明の効果】
【0019】
本発明に係る医用装置および不正アクセス監査システムにおいては、医用分野に特有の不正アクセスの監査を支援することができる。
【発明を実施するための最良の形態】
【0020】
本発明に係る医用装置および不正アクセス監査システムの実施の形態について添付図面を参照して説明する。
【0021】
図1は本発明に係る医用装置および不正アクセス監査システムの第1の実施形態を示す機能ブロック図である。
【0022】
医用装置1は、超音波診断装置、X線CT装置、MRI等の任意の装置であり、入力装置2、表示装置3、監査ログ記録部4および監査ログデータベース5(DB)を備える。また、医用装置1には、不正アクセス監査システム6が内蔵される。ただし、不正アクセス監査システム6を医用装置1から独立したシステムとし、任意の医用装置1と接続してもよい。
【0023】
さらに、医用装置1のみならず、不正アクセス監査システム6をHIS,RIS、PACS等の任意の医用情報システムと接続したり、あるいは医用情報システムに内蔵することもできる。ここでは、不正アクセス監査システム6を医用装置1に内蔵した例について説明する。
【0024】
不正アクセス監査システム6は、コンピュータに不正アクセス監査プログラムを読み込ませて構築することができる。但し、不正アクセス監査システム6の全部あるいは一部を回路で構成してもよい。不正アクセス監査システム6は、監査ログ取得部7、監査ログ解析部8、解析結果情報作成部の一例としてのグラフ作成部9、不正アクセス検出部10を有する。
【0025】
監査ログ記録部4は、入力装置2から医用装置1に入力された情報に基づいて、必要に応じて認証を行い、不正アクセスの監査に用いるための監査ログを作成する機能と、作成した監査ログを監査ログデータベース5に書き込む機能とを有する。このため、監査ログデータベース5には、時系列の監査ログが記録される。
【0026】
図2は、図1に示す監査ログデータベース5に保存される監査ログの一例を示す図である。
【0027】
図2に示すように監査ログは、例えば操作者(ユーザ)の識別情報であるユーザID(UserID)、イベント内容の識別情報であるイベントID(Logon,検査画像表示、Logoff等)、医用装置1の識別情報である装置ID、アクションの対象を特定するアクション対象情報(患者の識別情報であるPatient IDや検査の識別情報であるStudy UID等)がアクセス日時に関連付けて作成される。ただし、監査ログを構成する一部の情報を省略したり、逆に他の任意の情報を付加して監査ログを構成してもよい。
【0028】
例えば、ユーザがユーザ登録されていない緊急ユーザであるか否かを識別するための情報を付加することができる。ただし、ユーザIDから緊急ユーザであるか否かを識別できるようにすることもできる。
【0029】
監査ログ取得部7は、入力装置2から入力された監査条件を受け取り、監査条件に従って監査に必要な監査ログを監査ログデータベース5から取得する機能と、取得した監査ログを監査ログ解析部8に与える機能とを有する。
【0030】
ここで、監査条件の例としては、監査対象となる監査ログのファイル名やディレクトリ名、監査期間、緊急ユーザの利用状況や特定個人情報へのアクセス状況といった監査の内容、監査ログの表示間隔(日毎、月毎、3ヶ月毎、半年毎、1年毎等)等の条件が挙げられる。
【0031】
監査ログ解析部8は、監査ログ取得部7から受けた監査ログの解析を行う機能と、解析結果をグラフ作成部9および不正アクセス検出部10に与える機能を有する。このとき、解析内容として、例えば緊急ユーザによる医用装置1の利用状況(アクセス情報)および特定の個人情報に対するアクセス状況の一方および双方から入力装置2の操作により選択することができるように構成される。
【0032】
グラフ作成部9は、監査ログ解析部8から受けた監査ログの解析結果をグラフとして作成する機能と、作成したグラフを画像情報として表示装置3に与えることにより、表示装置3にグラフを表示させる機能とを有する。
【0033】
不正アクセス検出部10は、監査ログ解析部8から受けた監査ログの解析結果と、不正アクセスとみなされる条件に従って、不正アクセスの有無、回数、頻度等の不正アクセスの監査に有用な情報を求める機能と、求めた結果を画像情報として表示装置3に与えることにより表示させる機能とを有する。
【0034】
次に、医用装置1および不正アクセス監査システム6の作用について説明する。
【0035】
図3は、図1に示す医用装置1および不正アクセス監査システム6により、監査ログを取得してグラフを出力することによって、不正アクセスの有無の監査の支援を行う際の流れを示すシーケンス図であり、図中Sに数字を付した符号はシーケンス図の各ステップを示す。
【0036】
まずステップS1において、医用装置1に保存された個人情報に対する不正アクセスを監査するユーザであるセキュリティ・アドミニストレータは、入力装置2にユーザIDやパスワードを入力してログインした後、入力装置2に監査条件を入力することにより監査ログの解析を要求する。このため、監査条件が入力装置2から監査ログ取得部7に与えられる。
【0037】
次にステップS2において、監査ログ取得部7は、入力装置2から受けた監査条件に従って、監査ログデータベース5から監査に必要な監査ログを取得する。
【0038】
図4は、図1に示す不正アクセス監査システム6の監査ログ取得部7により取得された監査ログの一例を示す図である。
【0039】
図4に示すように監査条件に従って監査ログが監査ログ取得部7により取得される。図4に示す監査ログの例によれば、ユーザ(操作者)である「Yamada Taro」が2004年9月29日の10時12分35秒に「XXX Hospital」の医用装置「CT001」にログオン(Logon)し、11時13分35秒にPatient IDが「1.2.5.1213.1」で特定される検査画像を表示したことが分かる。さらに、12時14分35秒にPatient IDが「1.2.5.1213.2」で特定される検査画像を表示した後、13時15分35秒にログオフ(Logoff)したことが分かる。
【0040】
監査ログ取得部7は、図4に示すような各監査ログを監査条件に従って監査ログデータベース5から取得する。
【0041】
次にステップS3において、監査ログ取得部7は、取得した監査ログを監査ログ解析部8に与える。
【0042】
次にステップS4において、入力装置2から所望の解析内容についての監査ログの解析指示が監査ログ解析部8に入力されると、監査ログ解析部8は監査ログ取得部7から受けた監査ログを用いて指定された解析内容について監査ログの解析を行う。
【0043】
解析内容が、緊急ユーザによる医用装置1の利用状況の解析である場合には、監査ログ解析部8が監査ログ取得部7から受けた監査ログをパース(解析)し、1アクションずつ監査ログが予め定められた条件に合致するか否かを判定する。そして、監査ログ解析部8は、条件に合致していると判定された監査ログを抽出する。
【0044】
監査ログの抽出のための判定条件としては、例えば監査条件として指定された監査期間内の監査ログのイベントがログオン、ログオフ、検査画像表示のいずれかに該当するか否かとすることができる。
【0045】
次に、監査ログ解析部8は、抽出した監査ログを用いてユーザ(操作者)別に、例えばログオン回数、ログオン時間、検査画像の表示回数を集計する。尚、ログオン時間は、ログオン終了時刻からログオン開始時刻を差分することにより求めることができる。集計の期間は、入力装置2から指定することが可能であり、日毎、月毎、3ヶ月毎、半年毎、1年毎のように任意に設定することができる。
【0046】
図5は、図1に示す不正アクセス監査システム6の監査ログ解析部8により得られたユーザ別のログオン回数の集計結果の一例を示す図、図6は、図1に示す不正アクセス監査システム6の監査ログ解析部8により得られたユーザ別のログオン時間の集計結果の一例を示す図、図7は、図1に示す不正アクセス監査システム6の監査ログ解析部8により得られたユーザ別の検査画像の表示回数の集計結果の一例を示す図である。
【0047】
図5に示すように、指定された監査期間においてユーザごとにログオン回数が集計される。例えば、2004年の9月1日に、ユーザ「Yamada Taro」が1回ログオンし、緊急ユーザが10回ログオンしていることが集計結果として得られているのが分かる。
【0048】
同様に、図6によれば、ユーザ別のログオン時間の集計結果が確認でき、図7によればユーザ別の検査画像の表示回数の集計結果が確認できる。
【0049】
一方、解析内容が、特定個人情報へのアクセス状況の解析である場合には、監査ログ解析部8が監査ログ取得部7から受けた監査ログをパースし、1アクションずつ監査ログが予め定められた条件に合致するか否かを判定する。そして、監査ログ解析部8は、条件に合致していると判定された監査ログを抽出する。
【0050】
監査ログの抽出のための判定条件としては、例えば監査条件として指定された監査期間内の監査ログのイベントが検査画像表示であるか否かとすることができる。
【0051】
次に、監査ログ解析部8は、抽出した監査ログを用いて、例えば検査画像の対象である患者別に、各ユーザ(操作者)の検査画像の表示回数を集計する。
【0052】
図8は、図1に示す不正アクセス監査システム6の監査ログ解析部8により得られた、患者別の各ユーザの検査画像の表示回数を集計して得られた結果の一例を示す図である。
【0053】
図8によれば、例えば患者「AAAAA」の検査画像をユーザ「Yamada Taro」が1回表示させたことが確認できる。また、例えば、患者「CCCCC」の検査画像をユーザ「Sato hana」が2回表示させたことが確認できる。
【0054】
さらに、監査ログ解析部8は、抽出した監査ログを利用して、例えば、各患者の検査画像を1回表示したユーザ、2回表示したユーザ、・・・、n回以上表示したユーザの数を日毎に集計する。
【0055】
次に、ステップS5において、監査ログ解析部8は、得られた監査ログの解析結果をグラフ作成部9に与える。
【0056】
また、ステップS6において、監査ログ解析部8は、得られた監査ログの解析結果を不正アクセス検出部10に与える。
【0057】
次に、ステップS7において、グラフ作成部9は、監査ログ解析部8から受けた監査ログの解析結果に基づいてグラフを作成する。
【0058】
図9は図1に示す不正アクセス監査システム6のグラフ作成部9により作成された緊急ユーザの日毎のログオン回数を示すグラフの一例を示す図である。
【0059】
図9において縦軸は、緊急ユーザのログオン回数を示し、横軸は日付を示す。図9によれば、日毎の緊急ユーザのログオン回数の推移を容易に確認することができる。
【0060】
図10は図1に示す不正アクセス監査システム6のグラフ作成部9により作成された緊急ユーザの日毎のログオン時間を示すグラフの一例を示す図である。
【0061】
図10において縦軸は、緊急ユーザのログオン時間を示し、横軸は日付を示す。図10によれば、日毎の緊急ユーザのログオン時間の推移を容易に確認することができる。
【0062】
図11は図1に示す不正アクセス監査システム6のグラフ作成部9により作成された緊急ユーザの日毎の検査画像の表示回数を示すグラフの一例を示す図である。
【0063】
図11において縦軸は、緊急ユーザによる検査画像の表示回数を示し、横軸は日付を示す。図11によれば、日毎の緊急ユーザによる検査画像の表示回数の推移を容易に確認することができる。
【0064】
図12は図1に示す不正アクセス監査システム6のグラフ作成部9により作成された特定の患者の個人情報への日毎のアクセス状況を示すグラフの一例を示す図である。
【0065】
図12において縦軸は、患者の検査画像を表示させたユーザの数を示し、横軸は日付を示す。また、図12中の菱形印は検査画像を1回表示させたユーザの数を、四角印は検査画像を2回表示させたユーザの数を、三角印は検査画像を3回表示させたユーザの数を、ばつ印は検査画像を4回以上表示させたユーザの数をそれぞれ示す。
【0066】
図12によれば、ある患者の検査画像を表示させたユーザの数の推移を表示回数別に確認することができる。例えば、5日には、検査画像を1回表示させたユーザが15人いたことが確認できる。また、例えば、9日には、検査画像を4回以上表示させたユーザが1人いたことが確認できる。
【0067】
また、ステップS8において、不正アクセス検出部10は、監査ログ解析部8から受けた監査ログの解析結果に基づいて、予め定められた基準に従って不正アクセスの有無、回数または頻度を検出する。これらの不正アクセスの検出方法としては、例えば閾値を設定し、ログイン回数や検査画像の表示回数等の集計結果を閾値と比較することにより行う方法が挙げられる。
【0068】
図13は図1に示す不正アクセス監査システム6の不正アクセス検出部10により、ログオン回数の集計結果に基づいて検出された不正アクセスの結果の例を示す図である。
【0069】
図13において縦軸は、緊急ユーザのログオン回数を示し、横軸は日付を示す。また図13において一点鎖線は不正アクセスを検出する際の基準となる閾値を示す。図13によれば、緊急ユーザのログオン回数が閾値である3回以上となる日が3日、4日、6日であり、点線で示す期間において継続的に緊急ユーザが個人情報に多数回アクセスしている可能性があることが確認できる。したがって、緊急ユーザによる不正アクセスの疑いがあるか、または医用装置1が正しく利用されていないと推察することができる。
【0070】
図14は図1に示す不正アクセス監査システム6の不正アクセス検出部10により、検査画像の表示回数の集計結果に基づいて検出された不正アクセスの結果の例を示す図である。
【0071】
図14において縦軸は、検査画像の表示回数を示し、横軸は日付を示す。また図14において一点鎖線は不正アクセスを検出する際の基準となる閾値を示す。図14によれば、緊急ユーザによる検査画像の表示回数が閾値である4回以上となる日(3日)が存在し、点線で示す日付において緊急ユーザが個人情報に多数回アクセスしている可能性があることが確認できる。このため、3日に緊急ユーザによる不正アクセスの疑いがあると推察することができる。
【0072】
尚、ログオン回数等の集計結果が閾値を超える、あるいは閾値以上となる頻度に対して、更に閾値を設定し、頻度が閾値を超えたか否か、あるいは閾値以上となるか否かを判定することもできる。
【0073】
図15は図1に示す不正アクセス監査システム6の不正アクセス検出部10により、特定の患者の個人情報への日毎のアクセス状況の集計結果に基づいて検出された不正アクセスの結果の例を示す図である。
【0074】
図15において縦軸は、患者の検査画像を表示させたユーザの数を示し、横軸は日付を示す。また、図15中の菱形印は検査画像を1回表示させたユーザの数を、四角印は検査画像を2回表示させたユーザの数を、三角印は検査画像を3回表示させたユーザの数を、ばつ印は検査画像を4回以上表示させたユーザの数をそれぞれ示す。さらに、図15中の点線は不正アクセスを検出する際の基準となるユーザの数の閾値を示す。
【0075】
図15によれば、一点鎖線で示すように、5日に検査画像を少ない回数(1回または2回)表示させたユーザの数が閾値である9人を超えている。従って、多くのユーザが特定の患者の検査画像を閲覧していることが分かる。このため、多くのユーザが特定の個人情報に不正にアクセスしている疑いがある。
【0076】
また、図15によれば、二点鎖線で示すように8日から9日にかけて、特定の患者の検査画像が3回または4回以上と多数回表示されていることが分かる。従って、特定のユーザが不正にあるいは過剰に患者の個人情報にアクセスしている疑いがある。このように、検査画像の表示回数に閾値を設定することもできる。
【0077】
そして、不正アクセス検出部10は、不正アクセスの有無、回数、頻度等の不正アクセスの検出結果を表示させるための画像情報を作成する。不正アクセスの検出結果の表示方法としては、例えば、文章としてテキスト形式で検出結果を表示させる方法の他、カラーにより特定の部分を強調表示する方法や、図13、図14、図15に示すように図形や記号により表示させる方法が挙げられる。
【0078】
次に、ステップS9において、グラフ作成部9は、グラフを画像情報として表示装置3に与える。
【0079】
また、ステップS10において、不正アクセス検出部10は、不正アクセスの検出結果を表示させるための画像情報を表示装置3に与える。
【0080】
次に、ステップS11において、表示装置3は、グラフ作成部9および不正アクセス検出部10から受けた画像情報を用いて、グラフおよび不正アクセスの検出結果を表示させる。この結果、図9、図10、図11、図12に示すようなグラフが表示装置3に表示される。さらに、不正アクセス検出部10が不正アクセスの検出結果として枠を表示させる場合には、図13、図14、図15に示すようにグラフとともに不正アクセスの検出結果が表示される。
【0081】
このため、セキュリティ・アドミニストレータは、表示装置3に表示されたグラフおよび不正アクセスの検出結果から不正アクセスの有無、回数、頻度等の情報を容易に確認することができる。
【0082】
つまり、以上のような医用装置1および不正アクセス監査システム6は、医用装置1に保持されている個人情報を保護するために、監査ログを取得して分析することにより、緊急ユーザの利用状況、特定個人情報へのアクセス状況をグラフとして表示することことができるようにしたものである。
【0083】
このように医用装置1および不正アクセス監査システム6を構成することで、個人情報に対する医用分野に特有の不正アクセスの有無を容易に確認して監査することが可能となる。
【0084】
尚、解析結果情報作成部としてグラフを作成するグラフ作成部9を医用装置1ないし不正アクセス監査システム6に設けたが、グラフに限らず表形式や数値等のように任意の形式で監査ログの解析結果を表示するための情報を作成し、表示装置3で表示させてもよい。
【0085】
また、不正アクセス監査システム6の一部の機能を省略してもよい。例えば、不正アクセス検出部10を省略して、グラフのみ表示装置3に表示させ、ユーザがグラフから不正アクセスの有無を判断するように構成してもよい。
【0086】
ところで、以上のような不正アクセス監査システム6は、様々なシステムや機器に搭載することが可能である。そこで、不正アクセス監査システム6の構成例を列挙する。尚、不正アクセス監査システム6は、以下に示す構成例以外の構成をとることも可能である。
【0087】
図16は本発明に係る医用装置および不正アクセス監査システムの第2の実施形態を示す機能ブロック図である。
【0088】
図16に示された、医用装置1Aおよび不正アクセス監査システム6Aでは、医用装置1Aがネットワークを介して監査ログを一括管理するレポジトリ20、例えばsyslogサーバと接続される一方、不正アクセス監査システム6Aをレポジトリ20の一機能として設けた構成が図1に示す医用装置1および不正アクセス監査システム6と相違する。他の構成および作用については図1に示す医用装置1および不正アクセス監査システム6と実質的に異ならないため同様な機能を有する構成については同符号を付して説明を省略する。
【0089】
医用装置1Aには、送信部21が設けられる。送信部21はネットワークを介してレポジトリ20と接続され、監査ログデータベース5に保存された監査ログをレポジトリ20に送信することができる。また、レポジトリ20には、受信部が監査ログ取得部7として設けられる。そしてレポジトリ20の監査ログ取得部7により、単一または複数の医用装置1Aから監査ログがネットワークを介して自動的に取得され、各監査ログはレポジトリ20において一括管理される。
【0090】
レポジトリ20には、不正アクセス監査システム6Aが設けられる。不正アクセス監査システム6Aには、図1に示す不正アクセス監査システム6と同様な構成要素に加え、解析結果データベース22が設けられる。そして、監査ログ解析部8は、監査ログ取得部7から監査ログを受けると、監査ログの取得をトリガとして自動的に監査ログの解析を行い、解析結果を解析結果データベース22に書き込むように構成される。
【0091】
そして、不正アクセス監査システム6Aでは、レポジトリ20の入力装置2からグラフ作成部9および不正アクセス検出部10にグラフの作成指示および不正アクセスの検出指示が入力された場合に、グラフ作成部9および不正アクセス検出部10が入力装置2からの指示をトリガとして解析結果データベース22から監査ログの解析結果を取得して、グラフの作成および不正アクセスの検出を行う。
【0092】
図17は本発明に係る医用装置および不正アクセス監査システムの第3の実施形態を示す機能ブロック図である。
【0093】
図17に示された、医用装置1Bおよび不正アクセス監査システム6Bでは、メディア30に監査ログを書き込むための記録部31が医用装置1Bに設けられる一方、不正アクセス監査システム6Bを例えばセキュリティ・アドミニストレータ等のユーザが利用するPC(personal computer)32の一機能として設けた構成が図1に示す医用装置1および不正アクセス監査システム6と相違する。他の構成および作用については図1に示す医用装置1および不正アクセス監査システム6と実質的に異ならないため同様な機能を有する構成については同符号を付して説明を省略する。
【0094】
医用装置1Bの監査ログデータベース5に記録された監査ログは、記録部31によりメディア30に書き込むことができる。このため、セキュリティ・アドミニストレータ等のユーザは、監査に先立って医用装置1Bの監査ログをメディア30に記録する。そして、監査の際にはPC32の入力装置2を操作し、不正アクセス監査システム6Bに読出部として設けられた監査ログ取得部7を用いて監査ログをPC32に入力する。
【0095】
次に、入力装置2からの指示により、監査ログは監査ログ取得部7から監査ログ解析に与えられ、図1に示す不正アクセス監査システム6と同様な流れにより監査ログの解析、グラフの作成、不正アクセスの検出、グラフおよび不正アクセスの検出結果の表示が行われる。
【0096】
図18は本発明に係る医用装置および不正アクセス監査システムの第4の実施形態を示す機能ブロック図である。
【0097】
図18に示された、医用装置1Cおよび不正アクセス監査システム6Cでは、不正アクセス監査システム6Cを独立したシステムとし、医用装置1Cと不正アクセス監査システム6Cとの間で様々な手法で情報伝達が行えるようにした点が図1に示す医用装置1および不正アクセス監査システム6と相違する。他の構成および作用については図1に示す医用装置1および不正アクセス監査システム6と実質的に異ならないため同様な機能を有する構成については同符号を付して説明を省略する。
【0098】
医用装置1C、不正アクセス監査システム6Cおよびレポジトリ20はネットワークを介して互いに接続される。医用装置1Cには、送信部21および記録部31が設けられる。医用装置1Cの送信部21は、ネットワークを介してレポジトリ20および不正アクセス監査システム6Cと接続される。そして、送信部21により、監査ログデータベース5に保存された監査ログをレポジトリ20や不正アクセス監査システム6CにFTP(File Transfer Protocol)、HTTP(Hyper Text Transfer Protocol)、DICOM(digital imaging and communications in medicine)等の通信プロトコルを利用して送信することができる。
【0099】
また、医用装置1Cの記録部31は、監査ログデータベース5に保存された監査ログをメディア30に書き込むことができる。
【0100】
不正アクセス監査システム6Cの監査ログ取得部7には、読出部7aと受信部7bとが設けられ、メディア30から読出部7aにより監査ログを取得することができる。また、受信部7bによりレポジトリ20や医用装置1Cの送信部21からネットワークを介して監査ログを受信することができる。
【0101】
そして、不正アクセス監査システム6Cにおいて、入力装置2からの指示により、図1に示す不正アクセス監査システム6と同様な流れにより監査ログの解析、グラフの作成、不正アクセスの検出、グラフおよび不正アクセスの検出結果の表示が行われる。
【0102】
図19は本発明に係る医用装置および不正アクセス監査システムの第5の実施形態を示す機能ブロック図である。
【0103】
図19に示された、医用装置1Dおよび不正アクセス監査システム6Dでは、不正アクセス監査システム6Cを独立したシステムとし、医用装置1Cと不正アクセス監査システム6Cとをネットワークにより情報伝達が行えるようにした点並びに不正アクセス監査システム6Dの動作トリガが図1に示す医用装置1および不正アクセス監査システム6と相違する。他の構成および作用については図1に示す医用装置1および不正アクセス監査システム6と実質的に異ならないため同様な機能を有する構成については同符号を付して説明を省略する。
【0104】
医用装置1Cの監査ログデータベース5に保存された監査ログは送信部21からネットワークを介して、不正アクセス監査システム6Cに受信部として設けられた監査ログ取得部7に送信することができる。監査ログは、例えば定期的に医用装置1Dの送信部21から不正アクセス監査システム6Cの監査ログ取得部7に送信され、監査ログ取得部7において受信された監査ログは自動的に監査ログ解析部8に与えられる。
【0105】
監査ログ解析部8は、監査ログ取得部7から監査ログを受けると自動的に監査ログの解析を行う。不正アクセス監査システム6Cには、解析結果データベース22が設けられ、監査ログ解析部8は、監査ログの解析結果を解析結果データベース22に書き込んで保存する。
【0106】
そして、セキュリティ・アドミニストレータ等のユーザが入力装置2から、グラフ作成部9および不正アクセス検出部10にグラフの作成指示および不正アクセスの検出指示が入力された場合に、グラフ作成部9および不正アクセス検出部10が入力装置2からの指示をトリガとして解析結果データベース22から監査ログの解析結果を取得して、グラフの作成および不正アクセスの検出を行う。
【0107】
このように、医用装置1Dにおいて監査ログが生成され、不正アクセス監査システム6Cが監査ログを取得した時点で予め監査ログの解析を行い、監査ログの解析結果を解析結果データベース22に保存しておいてもよい。
【0108】
以上のような各種不正アクセス監査システム6、6A、6B、6C、6Dのようなシステム構成の他、Webサービスとして実現することもできる。
【0109】
次に、不正アクセス監査システム6に他の機能を付加した構成例について説明する。
【0110】
図20は本発明に係る医用装置および不正アクセス監査システムの第6の実施形態を示す機能ブロック図である。
【0111】
図20に示された、医用装置1Eおよび不正アクセス監査システム6Eでは、医用装置1Eに画像管理情報データベース40および検査オーダ情報データベース41が設けられる点および不正アクセス監査システム6Eの詳細機能が図1に示す医用装置1および不正アクセス監査システム6と相違する。他の構成および作用については図1に示す医用装置1および不正アクセス監査システム6と実質的に異ならないため同様な機能を有する構成については同符号を付して説明を省略する。
【0112】
医用装置1Eには、画像管理情報データベース40および検査オーダ情報データベース41が設けられる。画像管理情報データベース40には、監査ログに含まれるアクション対象情報であるStudy UIDと患者の識別情報とを関連付けた画像管理情報が保存される一方、検査オーダ情報データベース41には、患者ごとの検査の予約を管理する検査オーダ情報が保存される。検査オーダ情報では、Study UIDと患者の識別情報とが関連付けられている。
【0113】
そして、不正アクセス監査システム6Eの監査ログ解析部8は、監査ログを解析する際に、画像管理情報データベース40に保存された画像管理情報および検査オーダ情報データベース41に保存された検査オーダ情報のうち任意の情報を参照して患者を特定する。つまり、監査ログの解析により患者を特定して集計する必要がある場合に、監査ログに直接患者を特定する情報が含まれていれば容易に集計を行うことができるが、検査の識別情報であるStudy UID等のような患者を特定するための間接的な情報しか含まれていない場合には、患者を特定することが困難である。
【0114】
図21は、監査ログ解析部8による解析対象となる監査ログに、患者を直接特定するための情報が含まれていない場合の例を示す図である。
【0115】
図21に示す監査ログでは、検査画像表示というイベントのアクション対象情報としてStudy UIDが記録されている。このため、監査ログから表示された検査画像がどの患者のものであるかを直接特定することができない。
【0116】
そこで、このような場合には、監査ログ解析部8が画像管理情報データベース40に保存された画像管理情報および検査オーダ情報データベース41に保存された検査オーダ情報を参照して患者を特定する。
【0117】
図22は、図20に示す画像管理情報データベース40に保存された画像管理情報の一例を示す図である。
【0118】
図22に示すように、画像管理情報データベース40にはStudy UIDと患者の識別情報とが関連付けられて、画像管理情報として保存されている。図22の例では、Study UIDが「1.2.35.687.3」に対応する患者は「AAAAA」であることが分かる。
【0119】
図23は、図20に示す検査オーダ情報データベース41に保存された検査オーダ情報の一例を示す図である。
【0120】
図23に示すように、検査オーダ情報データベース41には、検査の予約情報として予約日、患者識別情報およびStudy UIDが関連付けられた検査オーダ情報が保存されている。図23の例からも、Study UIDが「1.2.35.687.3」に対応する患者は「AAAAA」であることが分かる。
【0121】
このように、監査ログ解析部8が画像管理情報データベース40に保存された画像管理情報および検査オーダ情報データベース41に保存された検査オーダ情報を参照すれば、監査ログに患者を直接特定する情報が含まれていない場合であっても患者を特定することが可能となる。さらに、監査ログに含まれる情報と患者の識別情報とが関連付けられた情報であれば、検査オーダ情報や画像管理情報に限らずに、監査ログ解析部8が他の情報を参照できるようにしてもよい。
【0122】
尚、以上のような各実施形態における医用装置1、1A、1B、1C、1D、1Eや不正アクセス監査システム6、6A、6B、6C、6D、6Eを互いに組み合わせて構成したり、一部の機能を省略して構成してもよい。
【図面の簡単な説明】
【0123】
【図1】本発明に係る医用装置および不正アクセス監査システムの第1の実施形態を示す機能ブロック図。
【図2】図1に示す監査ログデータベースに保存される監査ログの一例を示す図。
【図3】図1に示す医用装置および不正アクセス監査システムにより、監査ログを取得してグラフを出力することによって、不正アクセスの有無の監査の支援を行う際の流れを示すシーケンス図。
【図4】図1に示す不正アクセス監査システムの監査ログ取得部により取得された監査ログの一例を示す図。
【図5】図1に示す不正アクセス監査システムの監査ログ解析部により得られたユーザ別のログオン回数の集計結果の一例を示す図。
【図6】図1に示す不正アクセス監査システムの監査ログ解析部により得られたユーザ別のログオン時間の集計結果の一例を示す図。
【図7】図1に示す不正アクセス監査システムの監査ログ解析部により得られたユーザ別の検査画像の表示回数の集計結果の一例を示す図。
【図8】図1に示す不正アクセス監査システムの監査ログ解析部により得られた、患者別の各ユーザの検査画像の表示回数を集計して得られた結果の一例を示す図。
【図9】図1に示す不正アクセス監査システムのグラフ作成部により作成された緊急ユーザの日毎のログオン回数を示すグラフの一例を示す図。
【図10】図1に示す不正アクセス監査システムのグラフ作成部により作成された緊急ユーザの日毎のログオン時間を示すグラフの一例を示す図。
【図11】図1に示す不正アクセス監査システムのグラフ作成部により作成された緊急ユーザの日毎の検査画像の表示回数を示すグラフの一例を示す図。
【図12】図1に示す不正アクセス監査システムのグラフ作成部により作成された特定の患者の個人情報への日毎のアクセス状況を示すグラフの一例を示す図。
【図13】図1に示す不正アクセス監査システムの不正アクセス検出部により、ログオン回数の集計結果に基づいて検出された不正アクセスの結果の例を示す図。
【図14】図1に示す不正アクセス監査システムの不正アクセス検出部により、検査画像の表示回数の集計結果に基づいて検出された不正アクセスの結果の例を示す図。
【図15】図1に示す不正アクセス監査システムの不正アクセス検出部により、特定の患者の個人情報への日毎のアクセス状況の集計結果に基づいて検出された不正アクセスの結果の例を示す図。
【図16】本発明に係る医用装置および不正アクセス監査システムの第2の実施形態を示す機能ブロック図。
【図17】本発明に係る医用装置および不正アクセス監査システムの第3の実施形態を示す機能ブロック図。
【図18】本発明に係る医用装置および不正アクセス監査システムの第4の実施形態を示す機能ブロック図。
【図19】本発明に係る医用装置および不正アクセス監査システムの第5の実施形態を示す機能ブロック図。
【図20】本発明に係る医用装置および不正アクセス監査システムの第6の実施形態を示す機能ブロック図。
【図21】監査ログ解析部による解析対象となる監査ログに、患者を直接特定するための情報が含まれていない場合の例を示す図。
【図22】図20に示す画像管理情報データベースに保存された画像管理情報の一例を示す図。
【図23】図20に示す検査オーダ情報データベースに保存された検査オーダ情報の一例を示す図。
【符号の説明】
【0124】
1、1A、1B、1C、1D、1E 医用装置
2 入力装置
3 表示装置
4 監査ログ記録部
5 監査ログデータベース(DB)
6、6A、6B、6C、6D、6E 不正アクセス監査システム
7 監査ログ取得部
7a 読出部
7b 受信部
8 監査ログ解析部
9 グラフ作成部
10 不正アクセス検出部
20 レポジトリ
21 送信部
22 解析結果データベース(DB)
30 メディア
31 記録部
32 PC(personal computer)
40 画像管理情報データベース
41 検査オーダ情報データベース
【技術分野】
【0001】
本発明は、患者情報等の個人情報のセキュリティを管理する機能を備えた医用装置および不正アクセス監査システムに係り、特に個人情報に対する不正アクセスの有無の監査を支援することが可能な医用装置および不正アクセス監査システムに関する。
【背景技術】
【0002】
従来、超音波診断装置、X線CT(computed tomography)装置、MRI(magnetic resonance imaging)等の医用装置やHIS(hospital information system),RIS(radiology information system)、PACS(picture archiving and communication system)等の医用情報システムでは監査ログが記録されている。監査ログには、医用装置に対する設定の変更、患者情報等の個人情報に対するアクセスあるいはログイン/ログオフ操作に関する情報等の詳細な情報が記録される。
【0003】
そして、医用装置や医用情報システムに保存された個人情報のセキュリティを管理するセキュリティ管理者は、監査ログを用いて個人情報に対する不正アクセスの有無を監査する。
【0004】
しかし、監査ログは、単なる時系列の情報であり、膨大な量の情報である。従って、くまなく全ての監査ログを確認することが事実上不可能であると言える。そこで、監査ログを解析する手段の1つとして、市販されているログ解析ソフトの利用が考えられる。
【0005】
近年のログ解析ソフトとしては、例えば非特許文献1や非特許文献2に参照されるものがある。
【非特許文献1】BOM(登録商標) for Windows(登録商標)、[online],セイ・テクノロジーズ株式会社(SAY Technologies) 製品情報、[平成16年12月10日検索]、インターネット<URL:http://www.say-tech.co.jp/product/01.html>
【非特許文献2】監視ソリューション、Windows(登録商標)サーバー、[online],セイ・テクノロジーズ株式会社(SAY Technologies)、[平成16年12月10日検索]、インターネット<URL:http://www.say-tech.co.jp/sol/01.html>
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、医用装置や医用情報システムに保存される個人情報に対する不正アクセスには、医用向け以外の一般の情報システムに対する不正アクセスとは異なる特徴を有するものがある。
【0007】
第1の例として、ユーザ登録されていない緊急ユーザが医用装置や医用情報システムにログオンする場合があるという事情がある。すなわち、医用装置は、緊急で検査を行う必要が生じ得ることから、事前にユーザ登録されていない放射線技師等の医療従事者であっても操作できるようにしておく必要がある。そこで、このような場合に備えて、特別なユーザとして緊急ユーザを用意し、登録されていないユーザであっても医用装置を操作できるようにする案が提案されている。
【0008】
しかし、その場合には、この緊急ユーザであればアクセスできるという事情を悪用して、不正アクセスが行われる恐れがある。
【0009】
第2の例として、特定の個人情報に対して正規の登録ユーザのアクセスが集中するという不正アクセスが起こり得る。一般の医用向け以外の情報システムにおいては、正規のアクセス権を付与され、ユーザ登録された特定のユーザのみが個人情報にアクセスすることができるようにされている。このため、ユーザ登録された特定のユーザが、多数の個人情報を取得して外部にするという不正アクセスが起こり得る。すなわち、一般の医用向け以外の情報システムにおける不正アクセスは、一人のユーザが多数の個人情報を不正に取得するという特徴がある。
【0010】
これに対して、医用装置や医用情報システムに対する不正アクセスの場合には、このような特定の登録ユーザが多数の個人情報を不正に取得して漏洩するという不正アクセスに加え、正規のアクセス権限を持った多くの登録ユーザが、興味本位で特定のVIP()患者の医用画像等の個人情報にアクセスするという不正アクセスが発生する恐れがある。
【0011】
そして、このような医用装置や医用情報システムに特有の不正アクセスに対する監査は、従来の一般の情報システム向けのログ解析ソフトでは十分に行うことができない。そこで、医用装置や医用情報システムに特有の不正アクセスの有無を監査する場合に、監査を支援するツールの開発が望まれる。
【0012】
本発明はかかる従来の事情に対処するためになされたものであり、医用分野に特有の不正アクセスの監査を支援することが可能な医用装置および不正アクセス監査システムを提供することを目的とする。
【課題を解決するための手段】
【0013】
本発明に係る不正アクセス監査システムは、上述の目的を達成するために、請求項1に記載したように、医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、所望の対象を集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【0014】
また、本発明に係る不正アクセス監査システムは、上述の目的を達成するために、請求項2に記載したように、医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、前記医用装置および前記医用情報システムの少なくとも一方へのログイン権限を付与するためのユーザ登録がなされていない緊急ユーザのログインの回数、ログイン時間およびログイン中に検査画像を参照した回数の少なくとも1つを集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【0015】
また、本発明に係る不正アクセス監査システムは、上述の目的を達成するために、請求項3に記載したように、医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、患者ごとの検査画像を表示させた回数別に前記医用装置および前記医用情報システムの少なくとも一方のユーザの数を集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【0016】
また、本発明に係る医用装置は、上述の目的を達成するために、請求項7に記載したように、監査ログを作成して記録する医用装置において、前記監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、所望の対象を集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【0017】
また、本発明に係る医用装置は、上述の目的を達成するために、請求項8に記載したように、監査ログを作成して記録する医用装置において、前記監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、前記医用装置および前記医用情報システムの少なくとも一方へのログイン権限を付与するためのユーザ登録がなされていない緊急ユーザのログインの回数、ログイン時間およびログイン中に検査画像を参照した回数の少なくとも1つを集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【0018】
また、本発明に係る医用装置は、上述の目的を達成するために、請求項9に記載したように、監査ログを作成して記録する医用装置において、前記監査ログを取得する監査ログ取得部と、前記監査ログ取得部により取得された前記監査ログを解析し、患者ごとの検査画像を表示させた回数別に前記医用装置および前記医用情報システムの少なくとも一方のユーザの数を集計することにより解析結果を得る監査ログ解析部と、前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部とを有することを特徴とするものである。
【発明の効果】
【0019】
本発明に係る医用装置および不正アクセス監査システムにおいては、医用分野に特有の不正アクセスの監査を支援することができる。
【発明を実施するための最良の形態】
【0020】
本発明に係る医用装置および不正アクセス監査システムの実施の形態について添付図面を参照して説明する。
【0021】
図1は本発明に係る医用装置および不正アクセス監査システムの第1の実施形態を示す機能ブロック図である。
【0022】
医用装置1は、超音波診断装置、X線CT装置、MRI等の任意の装置であり、入力装置2、表示装置3、監査ログ記録部4および監査ログデータベース5(DB)を備える。また、医用装置1には、不正アクセス監査システム6が内蔵される。ただし、不正アクセス監査システム6を医用装置1から独立したシステムとし、任意の医用装置1と接続してもよい。
【0023】
さらに、医用装置1のみならず、不正アクセス監査システム6をHIS,RIS、PACS等の任意の医用情報システムと接続したり、あるいは医用情報システムに内蔵することもできる。ここでは、不正アクセス監査システム6を医用装置1に内蔵した例について説明する。
【0024】
不正アクセス監査システム6は、コンピュータに不正アクセス監査プログラムを読み込ませて構築することができる。但し、不正アクセス監査システム6の全部あるいは一部を回路で構成してもよい。不正アクセス監査システム6は、監査ログ取得部7、監査ログ解析部8、解析結果情報作成部の一例としてのグラフ作成部9、不正アクセス検出部10を有する。
【0025】
監査ログ記録部4は、入力装置2から医用装置1に入力された情報に基づいて、必要に応じて認証を行い、不正アクセスの監査に用いるための監査ログを作成する機能と、作成した監査ログを監査ログデータベース5に書き込む機能とを有する。このため、監査ログデータベース5には、時系列の監査ログが記録される。
【0026】
図2は、図1に示す監査ログデータベース5に保存される監査ログの一例を示す図である。
【0027】
図2に示すように監査ログは、例えば操作者(ユーザ)の識別情報であるユーザID(UserID)、イベント内容の識別情報であるイベントID(Logon,検査画像表示、Logoff等)、医用装置1の識別情報である装置ID、アクションの対象を特定するアクション対象情報(患者の識別情報であるPatient IDや検査の識別情報であるStudy UID等)がアクセス日時に関連付けて作成される。ただし、監査ログを構成する一部の情報を省略したり、逆に他の任意の情報を付加して監査ログを構成してもよい。
【0028】
例えば、ユーザがユーザ登録されていない緊急ユーザであるか否かを識別するための情報を付加することができる。ただし、ユーザIDから緊急ユーザであるか否かを識別できるようにすることもできる。
【0029】
監査ログ取得部7は、入力装置2から入力された監査条件を受け取り、監査条件に従って監査に必要な監査ログを監査ログデータベース5から取得する機能と、取得した監査ログを監査ログ解析部8に与える機能とを有する。
【0030】
ここで、監査条件の例としては、監査対象となる監査ログのファイル名やディレクトリ名、監査期間、緊急ユーザの利用状況や特定個人情報へのアクセス状況といった監査の内容、監査ログの表示間隔(日毎、月毎、3ヶ月毎、半年毎、1年毎等)等の条件が挙げられる。
【0031】
監査ログ解析部8は、監査ログ取得部7から受けた監査ログの解析を行う機能と、解析結果をグラフ作成部9および不正アクセス検出部10に与える機能を有する。このとき、解析内容として、例えば緊急ユーザによる医用装置1の利用状況(アクセス情報)および特定の個人情報に対するアクセス状況の一方および双方から入力装置2の操作により選択することができるように構成される。
【0032】
グラフ作成部9は、監査ログ解析部8から受けた監査ログの解析結果をグラフとして作成する機能と、作成したグラフを画像情報として表示装置3に与えることにより、表示装置3にグラフを表示させる機能とを有する。
【0033】
不正アクセス検出部10は、監査ログ解析部8から受けた監査ログの解析結果と、不正アクセスとみなされる条件に従って、不正アクセスの有無、回数、頻度等の不正アクセスの監査に有用な情報を求める機能と、求めた結果を画像情報として表示装置3に与えることにより表示させる機能とを有する。
【0034】
次に、医用装置1および不正アクセス監査システム6の作用について説明する。
【0035】
図3は、図1に示す医用装置1および不正アクセス監査システム6により、監査ログを取得してグラフを出力することによって、不正アクセスの有無の監査の支援を行う際の流れを示すシーケンス図であり、図中Sに数字を付した符号はシーケンス図の各ステップを示す。
【0036】
まずステップS1において、医用装置1に保存された個人情報に対する不正アクセスを監査するユーザであるセキュリティ・アドミニストレータは、入力装置2にユーザIDやパスワードを入力してログインした後、入力装置2に監査条件を入力することにより監査ログの解析を要求する。このため、監査条件が入力装置2から監査ログ取得部7に与えられる。
【0037】
次にステップS2において、監査ログ取得部7は、入力装置2から受けた監査条件に従って、監査ログデータベース5から監査に必要な監査ログを取得する。
【0038】
図4は、図1に示す不正アクセス監査システム6の監査ログ取得部7により取得された監査ログの一例を示す図である。
【0039】
図4に示すように監査条件に従って監査ログが監査ログ取得部7により取得される。図4に示す監査ログの例によれば、ユーザ(操作者)である「Yamada Taro」が2004年9月29日の10時12分35秒に「XXX Hospital」の医用装置「CT001」にログオン(Logon)し、11時13分35秒にPatient IDが「1.2.5.1213.1」で特定される検査画像を表示したことが分かる。さらに、12時14分35秒にPatient IDが「1.2.5.1213.2」で特定される検査画像を表示した後、13時15分35秒にログオフ(Logoff)したことが分かる。
【0040】
監査ログ取得部7は、図4に示すような各監査ログを監査条件に従って監査ログデータベース5から取得する。
【0041】
次にステップS3において、監査ログ取得部7は、取得した監査ログを監査ログ解析部8に与える。
【0042】
次にステップS4において、入力装置2から所望の解析内容についての監査ログの解析指示が監査ログ解析部8に入力されると、監査ログ解析部8は監査ログ取得部7から受けた監査ログを用いて指定された解析内容について監査ログの解析を行う。
【0043】
解析内容が、緊急ユーザによる医用装置1の利用状況の解析である場合には、監査ログ解析部8が監査ログ取得部7から受けた監査ログをパース(解析)し、1アクションずつ監査ログが予め定められた条件に合致するか否かを判定する。そして、監査ログ解析部8は、条件に合致していると判定された監査ログを抽出する。
【0044】
監査ログの抽出のための判定条件としては、例えば監査条件として指定された監査期間内の監査ログのイベントがログオン、ログオフ、検査画像表示のいずれかに該当するか否かとすることができる。
【0045】
次に、監査ログ解析部8は、抽出した監査ログを用いてユーザ(操作者)別に、例えばログオン回数、ログオン時間、検査画像の表示回数を集計する。尚、ログオン時間は、ログオン終了時刻からログオン開始時刻を差分することにより求めることができる。集計の期間は、入力装置2から指定することが可能であり、日毎、月毎、3ヶ月毎、半年毎、1年毎のように任意に設定することができる。
【0046】
図5は、図1に示す不正アクセス監査システム6の監査ログ解析部8により得られたユーザ別のログオン回数の集計結果の一例を示す図、図6は、図1に示す不正アクセス監査システム6の監査ログ解析部8により得られたユーザ別のログオン時間の集計結果の一例を示す図、図7は、図1に示す不正アクセス監査システム6の監査ログ解析部8により得られたユーザ別の検査画像の表示回数の集計結果の一例を示す図である。
【0047】
図5に示すように、指定された監査期間においてユーザごとにログオン回数が集計される。例えば、2004年の9月1日に、ユーザ「Yamada Taro」が1回ログオンし、緊急ユーザが10回ログオンしていることが集計結果として得られているのが分かる。
【0048】
同様に、図6によれば、ユーザ別のログオン時間の集計結果が確認でき、図7によればユーザ別の検査画像の表示回数の集計結果が確認できる。
【0049】
一方、解析内容が、特定個人情報へのアクセス状況の解析である場合には、監査ログ解析部8が監査ログ取得部7から受けた監査ログをパースし、1アクションずつ監査ログが予め定められた条件に合致するか否かを判定する。そして、監査ログ解析部8は、条件に合致していると判定された監査ログを抽出する。
【0050】
監査ログの抽出のための判定条件としては、例えば監査条件として指定された監査期間内の監査ログのイベントが検査画像表示であるか否かとすることができる。
【0051】
次に、監査ログ解析部8は、抽出した監査ログを用いて、例えば検査画像の対象である患者別に、各ユーザ(操作者)の検査画像の表示回数を集計する。
【0052】
図8は、図1に示す不正アクセス監査システム6の監査ログ解析部8により得られた、患者別の各ユーザの検査画像の表示回数を集計して得られた結果の一例を示す図である。
【0053】
図8によれば、例えば患者「AAAAA」の検査画像をユーザ「Yamada Taro」が1回表示させたことが確認できる。また、例えば、患者「CCCCC」の検査画像をユーザ「Sato hana」が2回表示させたことが確認できる。
【0054】
さらに、監査ログ解析部8は、抽出した監査ログを利用して、例えば、各患者の検査画像を1回表示したユーザ、2回表示したユーザ、・・・、n回以上表示したユーザの数を日毎に集計する。
【0055】
次に、ステップS5において、監査ログ解析部8は、得られた監査ログの解析結果をグラフ作成部9に与える。
【0056】
また、ステップS6において、監査ログ解析部8は、得られた監査ログの解析結果を不正アクセス検出部10に与える。
【0057】
次に、ステップS7において、グラフ作成部9は、監査ログ解析部8から受けた監査ログの解析結果に基づいてグラフを作成する。
【0058】
図9は図1に示す不正アクセス監査システム6のグラフ作成部9により作成された緊急ユーザの日毎のログオン回数を示すグラフの一例を示す図である。
【0059】
図9において縦軸は、緊急ユーザのログオン回数を示し、横軸は日付を示す。図9によれば、日毎の緊急ユーザのログオン回数の推移を容易に確認することができる。
【0060】
図10は図1に示す不正アクセス監査システム6のグラフ作成部9により作成された緊急ユーザの日毎のログオン時間を示すグラフの一例を示す図である。
【0061】
図10において縦軸は、緊急ユーザのログオン時間を示し、横軸は日付を示す。図10によれば、日毎の緊急ユーザのログオン時間の推移を容易に確認することができる。
【0062】
図11は図1に示す不正アクセス監査システム6のグラフ作成部9により作成された緊急ユーザの日毎の検査画像の表示回数を示すグラフの一例を示す図である。
【0063】
図11において縦軸は、緊急ユーザによる検査画像の表示回数を示し、横軸は日付を示す。図11によれば、日毎の緊急ユーザによる検査画像の表示回数の推移を容易に確認することができる。
【0064】
図12は図1に示す不正アクセス監査システム6のグラフ作成部9により作成された特定の患者の個人情報への日毎のアクセス状況を示すグラフの一例を示す図である。
【0065】
図12において縦軸は、患者の検査画像を表示させたユーザの数を示し、横軸は日付を示す。また、図12中の菱形印は検査画像を1回表示させたユーザの数を、四角印は検査画像を2回表示させたユーザの数を、三角印は検査画像を3回表示させたユーザの数を、ばつ印は検査画像を4回以上表示させたユーザの数をそれぞれ示す。
【0066】
図12によれば、ある患者の検査画像を表示させたユーザの数の推移を表示回数別に確認することができる。例えば、5日には、検査画像を1回表示させたユーザが15人いたことが確認できる。また、例えば、9日には、検査画像を4回以上表示させたユーザが1人いたことが確認できる。
【0067】
また、ステップS8において、不正アクセス検出部10は、監査ログ解析部8から受けた監査ログの解析結果に基づいて、予め定められた基準に従って不正アクセスの有無、回数または頻度を検出する。これらの不正アクセスの検出方法としては、例えば閾値を設定し、ログイン回数や検査画像の表示回数等の集計結果を閾値と比較することにより行う方法が挙げられる。
【0068】
図13は図1に示す不正アクセス監査システム6の不正アクセス検出部10により、ログオン回数の集計結果に基づいて検出された不正アクセスの結果の例を示す図である。
【0069】
図13において縦軸は、緊急ユーザのログオン回数を示し、横軸は日付を示す。また図13において一点鎖線は不正アクセスを検出する際の基準となる閾値を示す。図13によれば、緊急ユーザのログオン回数が閾値である3回以上となる日が3日、4日、6日であり、点線で示す期間において継続的に緊急ユーザが個人情報に多数回アクセスしている可能性があることが確認できる。したがって、緊急ユーザによる不正アクセスの疑いがあるか、または医用装置1が正しく利用されていないと推察することができる。
【0070】
図14は図1に示す不正アクセス監査システム6の不正アクセス検出部10により、検査画像の表示回数の集計結果に基づいて検出された不正アクセスの結果の例を示す図である。
【0071】
図14において縦軸は、検査画像の表示回数を示し、横軸は日付を示す。また図14において一点鎖線は不正アクセスを検出する際の基準となる閾値を示す。図14によれば、緊急ユーザによる検査画像の表示回数が閾値である4回以上となる日(3日)が存在し、点線で示す日付において緊急ユーザが個人情報に多数回アクセスしている可能性があることが確認できる。このため、3日に緊急ユーザによる不正アクセスの疑いがあると推察することができる。
【0072】
尚、ログオン回数等の集計結果が閾値を超える、あるいは閾値以上となる頻度に対して、更に閾値を設定し、頻度が閾値を超えたか否か、あるいは閾値以上となるか否かを判定することもできる。
【0073】
図15は図1に示す不正アクセス監査システム6の不正アクセス検出部10により、特定の患者の個人情報への日毎のアクセス状況の集計結果に基づいて検出された不正アクセスの結果の例を示す図である。
【0074】
図15において縦軸は、患者の検査画像を表示させたユーザの数を示し、横軸は日付を示す。また、図15中の菱形印は検査画像を1回表示させたユーザの数を、四角印は検査画像を2回表示させたユーザの数を、三角印は検査画像を3回表示させたユーザの数を、ばつ印は検査画像を4回以上表示させたユーザの数をそれぞれ示す。さらに、図15中の点線は不正アクセスを検出する際の基準となるユーザの数の閾値を示す。
【0075】
図15によれば、一点鎖線で示すように、5日に検査画像を少ない回数(1回または2回)表示させたユーザの数が閾値である9人を超えている。従って、多くのユーザが特定の患者の検査画像を閲覧していることが分かる。このため、多くのユーザが特定の個人情報に不正にアクセスしている疑いがある。
【0076】
また、図15によれば、二点鎖線で示すように8日から9日にかけて、特定の患者の検査画像が3回または4回以上と多数回表示されていることが分かる。従って、特定のユーザが不正にあるいは過剰に患者の個人情報にアクセスしている疑いがある。このように、検査画像の表示回数に閾値を設定することもできる。
【0077】
そして、不正アクセス検出部10は、不正アクセスの有無、回数、頻度等の不正アクセスの検出結果を表示させるための画像情報を作成する。不正アクセスの検出結果の表示方法としては、例えば、文章としてテキスト形式で検出結果を表示させる方法の他、カラーにより特定の部分を強調表示する方法や、図13、図14、図15に示すように図形や記号により表示させる方法が挙げられる。
【0078】
次に、ステップS9において、グラフ作成部9は、グラフを画像情報として表示装置3に与える。
【0079】
また、ステップS10において、不正アクセス検出部10は、不正アクセスの検出結果を表示させるための画像情報を表示装置3に与える。
【0080】
次に、ステップS11において、表示装置3は、グラフ作成部9および不正アクセス検出部10から受けた画像情報を用いて、グラフおよび不正アクセスの検出結果を表示させる。この結果、図9、図10、図11、図12に示すようなグラフが表示装置3に表示される。さらに、不正アクセス検出部10が不正アクセスの検出結果として枠を表示させる場合には、図13、図14、図15に示すようにグラフとともに不正アクセスの検出結果が表示される。
【0081】
このため、セキュリティ・アドミニストレータは、表示装置3に表示されたグラフおよび不正アクセスの検出結果から不正アクセスの有無、回数、頻度等の情報を容易に確認することができる。
【0082】
つまり、以上のような医用装置1および不正アクセス監査システム6は、医用装置1に保持されている個人情報を保護するために、監査ログを取得して分析することにより、緊急ユーザの利用状況、特定個人情報へのアクセス状況をグラフとして表示することことができるようにしたものである。
【0083】
このように医用装置1および不正アクセス監査システム6を構成することで、個人情報に対する医用分野に特有の不正アクセスの有無を容易に確認して監査することが可能となる。
【0084】
尚、解析結果情報作成部としてグラフを作成するグラフ作成部9を医用装置1ないし不正アクセス監査システム6に設けたが、グラフに限らず表形式や数値等のように任意の形式で監査ログの解析結果を表示するための情報を作成し、表示装置3で表示させてもよい。
【0085】
また、不正アクセス監査システム6の一部の機能を省略してもよい。例えば、不正アクセス検出部10を省略して、グラフのみ表示装置3に表示させ、ユーザがグラフから不正アクセスの有無を判断するように構成してもよい。
【0086】
ところで、以上のような不正アクセス監査システム6は、様々なシステムや機器に搭載することが可能である。そこで、不正アクセス監査システム6の構成例を列挙する。尚、不正アクセス監査システム6は、以下に示す構成例以外の構成をとることも可能である。
【0087】
図16は本発明に係る医用装置および不正アクセス監査システムの第2の実施形態を示す機能ブロック図である。
【0088】
図16に示された、医用装置1Aおよび不正アクセス監査システム6Aでは、医用装置1Aがネットワークを介して監査ログを一括管理するレポジトリ20、例えばsyslogサーバと接続される一方、不正アクセス監査システム6Aをレポジトリ20の一機能として設けた構成が図1に示す医用装置1および不正アクセス監査システム6と相違する。他の構成および作用については図1に示す医用装置1および不正アクセス監査システム6と実質的に異ならないため同様な機能を有する構成については同符号を付して説明を省略する。
【0089】
医用装置1Aには、送信部21が設けられる。送信部21はネットワークを介してレポジトリ20と接続され、監査ログデータベース5に保存された監査ログをレポジトリ20に送信することができる。また、レポジトリ20には、受信部が監査ログ取得部7として設けられる。そしてレポジトリ20の監査ログ取得部7により、単一または複数の医用装置1Aから監査ログがネットワークを介して自動的に取得され、各監査ログはレポジトリ20において一括管理される。
【0090】
レポジトリ20には、不正アクセス監査システム6Aが設けられる。不正アクセス監査システム6Aには、図1に示す不正アクセス監査システム6と同様な構成要素に加え、解析結果データベース22が設けられる。そして、監査ログ解析部8は、監査ログ取得部7から監査ログを受けると、監査ログの取得をトリガとして自動的に監査ログの解析を行い、解析結果を解析結果データベース22に書き込むように構成される。
【0091】
そして、不正アクセス監査システム6Aでは、レポジトリ20の入力装置2からグラフ作成部9および不正アクセス検出部10にグラフの作成指示および不正アクセスの検出指示が入力された場合に、グラフ作成部9および不正アクセス検出部10が入力装置2からの指示をトリガとして解析結果データベース22から監査ログの解析結果を取得して、グラフの作成および不正アクセスの検出を行う。
【0092】
図17は本発明に係る医用装置および不正アクセス監査システムの第3の実施形態を示す機能ブロック図である。
【0093】
図17に示された、医用装置1Bおよび不正アクセス監査システム6Bでは、メディア30に監査ログを書き込むための記録部31が医用装置1Bに設けられる一方、不正アクセス監査システム6Bを例えばセキュリティ・アドミニストレータ等のユーザが利用するPC(personal computer)32の一機能として設けた構成が図1に示す医用装置1および不正アクセス監査システム6と相違する。他の構成および作用については図1に示す医用装置1および不正アクセス監査システム6と実質的に異ならないため同様な機能を有する構成については同符号を付して説明を省略する。
【0094】
医用装置1Bの監査ログデータベース5に記録された監査ログは、記録部31によりメディア30に書き込むことができる。このため、セキュリティ・アドミニストレータ等のユーザは、監査に先立って医用装置1Bの監査ログをメディア30に記録する。そして、監査の際にはPC32の入力装置2を操作し、不正アクセス監査システム6Bに読出部として設けられた監査ログ取得部7を用いて監査ログをPC32に入力する。
【0095】
次に、入力装置2からの指示により、監査ログは監査ログ取得部7から監査ログ解析に与えられ、図1に示す不正アクセス監査システム6と同様な流れにより監査ログの解析、グラフの作成、不正アクセスの検出、グラフおよび不正アクセスの検出結果の表示が行われる。
【0096】
図18は本発明に係る医用装置および不正アクセス監査システムの第4の実施形態を示す機能ブロック図である。
【0097】
図18に示された、医用装置1Cおよび不正アクセス監査システム6Cでは、不正アクセス監査システム6Cを独立したシステムとし、医用装置1Cと不正アクセス監査システム6Cとの間で様々な手法で情報伝達が行えるようにした点が図1に示す医用装置1および不正アクセス監査システム6と相違する。他の構成および作用については図1に示す医用装置1および不正アクセス監査システム6と実質的に異ならないため同様な機能を有する構成については同符号を付して説明を省略する。
【0098】
医用装置1C、不正アクセス監査システム6Cおよびレポジトリ20はネットワークを介して互いに接続される。医用装置1Cには、送信部21および記録部31が設けられる。医用装置1Cの送信部21は、ネットワークを介してレポジトリ20および不正アクセス監査システム6Cと接続される。そして、送信部21により、監査ログデータベース5に保存された監査ログをレポジトリ20や不正アクセス監査システム6CにFTP(File Transfer Protocol)、HTTP(Hyper Text Transfer Protocol)、DICOM(digital imaging and communications in medicine)等の通信プロトコルを利用して送信することができる。
【0099】
また、医用装置1Cの記録部31は、監査ログデータベース5に保存された監査ログをメディア30に書き込むことができる。
【0100】
不正アクセス監査システム6Cの監査ログ取得部7には、読出部7aと受信部7bとが設けられ、メディア30から読出部7aにより監査ログを取得することができる。また、受信部7bによりレポジトリ20や医用装置1Cの送信部21からネットワークを介して監査ログを受信することができる。
【0101】
そして、不正アクセス監査システム6Cにおいて、入力装置2からの指示により、図1に示す不正アクセス監査システム6と同様な流れにより監査ログの解析、グラフの作成、不正アクセスの検出、グラフおよび不正アクセスの検出結果の表示が行われる。
【0102】
図19は本発明に係る医用装置および不正アクセス監査システムの第5の実施形態を示す機能ブロック図である。
【0103】
図19に示された、医用装置1Dおよび不正アクセス監査システム6Dでは、不正アクセス監査システム6Cを独立したシステムとし、医用装置1Cと不正アクセス監査システム6Cとをネットワークにより情報伝達が行えるようにした点並びに不正アクセス監査システム6Dの動作トリガが図1に示す医用装置1および不正アクセス監査システム6と相違する。他の構成および作用については図1に示す医用装置1および不正アクセス監査システム6と実質的に異ならないため同様な機能を有する構成については同符号を付して説明を省略する。
【0104】
医用装置1Cの監査ログデータベース5に保存された監査ログは送信部21からネットワークを介して、不正アクセス監査システム6Cに受信部として設けられた監査ログ取得部7に送信することができる。監査ログは、例えば定期的に医用装置1Dの送信部21から不正アクセス監査システム6Cの監査ログ取得部7に送信され、監査ログ取得部7において受信された監査ログは自動的に監査ログ解析部8に与えられる。
【0105】
監査ログ解析部8は、監査ログ取得部7から監査ログを受けると自動的に監査ログの解析を行う。不正アクセス監査システム6Cには、解析結果データベース22が設けられ、監査ログ解析部8は、監査ログの解析結果を解析結果データベース22に書き込んで保存する。
【0106】
そして、セキュリティ・アドミニストレータ等のユーザが入力装置2から、グラフ作成部9および不正アクセス検出部10にグラフの作成指示および不正アクセスの検出指示が入力された場合に、グラフ作成部9および不正アクセス検出部10が入力装置2からの指示をトリガとして解析結果データベース22から監査ログの解析結果を取得して、グラフの作成および不正アクセスの検出を行う。
【0107】
このように、医用装置1Dにおいて監査ログが生成され、不正アクセス監査システム6Cが監査ログを取得した時点で予め監査ログの解析を行い、監査ログの解析結果を解析結果データベース22に保存しておいてもよい。
【0108】
以上のような各種不正アクセス監査システム6、6A、6B、6C、6Dのようなシステム構成の他、Webサービスとして実現することもできる。
【0109】
次に、不正アクセス監査システム6に他の機能を付加した構成例について説明する。
【0110】
図20は本発明に係る医用装置および不正アクセス監査システムの第6の実施形態を示す機能ブロック図である。
【0111】
図20に示された、医用装置1Eおよび不正アクセス監査システム6Eでは、医用装置1Eに画像管理情報データベース40および検査オーダ情報データベース41が設けられる点および不正アクセス監査システム6Eの詳細機能が図1に示す医用装置1および不正アクセス監査システム6と相違する。他の構成および作用については図1に示す医用装置1および不正アクセス監査システム6と実質的に異ならないため同様な機能を有する構成については同符号を付して説明を省略する。
【0112】
医用装置1Eには、画像管理情報データベース40および検査オーダ情報データベース41が設けられる。画像管理情報データベース40には、監査ログに含まれるアクション対象情報であるStudy UIDと患者の識別情報とを関連付けた画像管理情報が保存される一方、検査オーダ情報データベース41には、患者ごとの検査の予約を管理する検査オーダ情報が保存される。検査オーダ情報では、Study UIDと患者の識別情報とが関連付けられている。
【0113】
そして、不正アクセス監査システム6Eの監査ログ解析部8は、監査ログを解析する際に、画像管理情報データベース40に保存された画像管理情報および検査オーダ情報データベース41に保存された検査オーダ情報のうち任意の情報を参照して患者を特定する。つまり、監査ログの解析により患者を特定して集計する必要がある場合に、監査ログに直接患者を特定する情報が含まれていれば容易に集計を行うことができるが、検査の識別情報であるStudy UID等のような患者を特定するための間接的な情報しか含まれていない場合には、患者を特定することが困難である。
【0114】
図21は、監査ログ解析部8による解析対象となる監査ログに、患者を直接特定するための情報が含まれていない場合の例を示す図である。
【0115】
図21に示す監査ログでは、検査画像表示というイベントのアクション対象情報としてStudy UIDが記録されている。このため、監査ログから表示された検査画像がどの患者のものであるかを直接特定することができない。
【0116】
そこで、このような場合には、監査ログ解析部8が画像管理情報データベース40に保存された画像管理情報および検査オーダ情報データベース41に保存された検査オーダ情報を参照して患者を特定する。
【0117】
図22は、図20に示す画像管理情報データベース40に保存された画像管理情報の一例を示す図である。
【0118】
図22に示すように、画像管理情報データベース40にはStudy UIDと患者の識別情報とが関連付けられて、画像管理情報として保存されている。図22の例では、Study UIDが「1.2.35.687.3」に対応する患者は「AAAAA」であることが分かる。
【0119】
図23は、図20に示す検査オーダ情報データベース41に保存された検査オーダ情報の一例を示す図である。
【0120】
図23に示すように、検査オーダ情報データベース41には、検査の予約情報として予約日、患者識別情報およびStudy UIDが関連付けられた検査オーダ情報が保存されている。図23の例からも、Study UIDが「1.2.35.687.3」に対応する患者は「AAAAA」であることが分かる。
【0121】
このように、監査ログ解析部8が画像管理情報データベース40に保存された画像管理情報および検査オーダ情報データベース41に保存された検査オーダ情報を参照すれば、監査ログに患者を直接特定する情報が含まれていない場合であっても患者を特定することが可能となる。さらに、監査ログに含まれる情報と患者の識別情報とが関連付けられた情報であれば、検査オーダ情報や画像管理情報に限らずに、監査ログ解析部8が他の情報を参照できるようにしてもよい。
【0122】
尚、以上のような各実施形態における医用装置1、1A、1B、1C、1D、1Eや不正アクセス監査システム6、6A、6B、6C、6D、6Eを互いに組み合わせて構成したり、一部の機能を省略して構成してもよい。
【図面の簡単な説明】
【0123】
【図1】本発明に係る医用装置および不正アクセス監査システムの第1の実施形態を示す機能ブロック図。
【図2】図1に示す監査ログデータベースに保存される監査ログの一例を示す図。
【図3】図1に示す医用装置および不正アクセス監査システムにより、監査ログを取得してグラフを出力することによって、不正アクセスの有無の監査の支援を行う際の流れを示すシーケンス図。
【図4】図1に示す不正アクセス監査システムの監査ログ取得部により取得された監査ログの一例を示す図。
【図5】図1に示す不正アクセス監査システムの監査ログ解析部により得られたユーザ別のログオン回数の集計結果の一例を示す図。
【図6】図1に示す不正アクセス監査システムの監査ログ解析部により得られたユーザ別のログオン時間の集計結果の一例を示す図。
【図7】図1に示す不正アクセス監査システムの監査ログ解析部により得られたユーザ別の検査画像の表示回数の集計結果の一例を示す図。
【図8】図1に示す不正アクセス監査システムの監査ログ解析部により得られた、患者別の各ユーザの検査画像の表示回数を集計して得られた結果の一例を示す図。
【図9】図1に示す不正アクセス監査システムのグラフ作成部により作成された緊急ユーザの日毎のログオン回数を示すグラフの一例を示す図。
【図10】図1に示す不正アクセス監査システムのグラフ作成部により作成された緊急ユーザの日毎のログオン時間を示すグラフの一例を示す図。
【図11】図1に示す不正アクセス監査システムのグラフ作成部により作成された緊急ユーザの日毎の検査画像の表示回数を示すグラフの一例を示す図。
【図12】図1に示す不正アクセス監査システムのグラフ作成部により作成された特定の患者の個人情報への日毎のアクセス状況を示すグラフの一例を示す図。
【図13】図1に示す不正アクセス監査システムの不正アクセス検出部により、ログオン回数の集計結果に基づいて検出された不正アクセスの結果の例を示す図。
【図14】図1に示す不正アクセス監査システムの不正アクセス検出部により、検査画像の表示回数の集計結果に基づいて検出された不正アクセスの結果の例を示す図。
【図15】図1に示す不正アクセス監査システムの不正アクセス検出部により、特定の患者の個人情報への日毎のアクセス状況の集計結果に基づいて検出された不正アクセスの結果の例を示す図。
【図16】本発明に係る医用装置および不正アクセス監査システムの第2の実施形態を示す機能ブロック図。
【図17】本発明に係る医用装置および不正アクセス監査システムの第3の実施形態を示す機能ブロック図。
【図18】本発明に係る医用装置および不正アクセス監査システムの第4の実施形態を示す機能ブロック図。
【図19】本発明に係る医用装置および不正アクセス監査システムの第5の実施形態を示す機能ブロック図。
【図20】本発明に係る医用装置および不正アクセス監査システムの第6の実施形態を示す機能ブロック図。
【図21】監査ログ解析部による解析対象となる監査ログに、患者を直接特定するための情報が含まれていない場合の例を示す図。
【図22】図20に示す画像管理情報データベースに保存された画像管理情報の一例を示す図。
【図23】図20に示す検査オーダ情報データベースに保存された検査オーダ情報の一例を示す図。
【符号の説明】
【0124】
1、1A、1B、1C、1D、1E 医用装置
2 入力装置
3 表示装置
4 監査ログ記録部
5 監査ログデータベース(DB)
6、6A、6B、6C、6D、6E 不正アクセス監査システム
7 監査ログ取得部
7a 読出部
7b 受信部
8 監査ログ解析部
9 グラフ作成部
10 不正アクセス検出部
20 レポジトリ
21 送信部
22 解析結果データベース(DB)
30 メディア
31 記録部
32 PC(personal computer)
40 画像管理情報データベース
41 検査オーダ情報データベース
【特許請求の範囲】
【請求項1】
医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、所望の対象を集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする不正アクセス監査システム。
【請求項2】
医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、前記医用装置および前記医用情報システムの少なくとも一方へのログイン権限を付与するためのユーザ登録がなされていない緊急ユーザのログインの回数、ログイン時間およびログイン中に検査画像を参照した回数の少なくとも1つを集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする不正アクセス監査システム。
【請求項3】
医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、患者ごとの検査画像を表示させた回数別に前記医用装置および前記医用情報システムの少なくとも一方のユーザの数を集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする不正アクセス監査システム。
【請求項4】
前記解析結果情報作成部は、前記解析結果をグラフとして表示装置に表示させるための画像情報を作成するグラフ作成部を備えることを特徴とする請求項1ないし3のいずれか1項に記載の不正アクセス監査システム。
【請求項5】
前記監査ログ解析部は、前記監査ログに含まれる情報と患者の識別情報とを関連付けた情報を参照することにより、患者ごとに所望の対象を集計するように構成したことを特徴とする請求項1ないし3のいずれか1項に記載の不正アクセス監査システム。
【請求項6】
前記監査ログ解析部により得られた前記解析結果から不正アクセスとみなされる条件に従って、不正アクセスの有無、回数および頻度の少なくとも1つを求め、求めた結果を不正アクセス検出結果として表示装置に表示させるための画像情報を作成する不正アクセス検出部を設けたことを特徴とする請求項1ないし3のいずれか1項に記載の不正アクセス監査システム。
【請求項7】
監査ログを作成して記録する医用装置において、
前記監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、所望の対象を集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする医用装置。
【請求項8】
監査ログを作成して記録する医用装置において、
前記監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、前記医用装置および前記医用情報システムの少なくとも一方へのログイン権限を付与するためのユーザ登録がなされていない緊急ユーザのログインの回数、ログイン時間およびログイン中に検査画像を参照した回数の少なくとも1つを集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする医用装置。
【請求項9】
監査ログを作成して記録する医用装置において、
前記監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、患者ごとの検査画像を表示させた回数別に前記医用装置および前記医用情報システムの少なくとも一方のユーザの数を集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする医用装置。
【請求項1】
医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、所望の対象を集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする不正アクセス監査システム。
【請求項2】
医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、前記医用装置および前記医用情報システムの少なくとも一方へのログイン権限を付与するためのユーザ登録がなされていない緊急ユーザのログインの回数、ログイン時間およびログイン中に検査画像を参照した回数の少なくとも1つを集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする不正アクセス監査システム。
【請求項3】
医用装置および医用情報システムの少なくとも一方に保存された監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、患者ごとの検査画像を表示させた回数別に前記医用装置および前記医用情報システムの少なくとも一方のユーザの数を集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする不正アクセス監査システム。
【請求項4】
前記解析結果情報作成部は、前記解析結果をグラフとして表示装置に表示させるための画像情報を作成するグラフ作成部を備えることを特徴とする請求項1ないし3のいずれか1項に記載の不正アクセス監査システム。
【請求項5】
前記監査ログ解析部は、前記監査ログに含まれる情報と患者の識別情報とを関連付けた情報を参照することにより、患者ごとに所望の対象を集計するように構成したことを特徴とする請求項1ないし3のいずれか1項に記載の不正アクセス監査システム。
【請求項6】
前記監査ログ解析部により得られた前記解析結果から不正アクセスとみなされる条件に従って、不正アクセスの有無、回数および頻度の少なくとも1つを求め、求めた結果を不正アクセス検出結果として表示装置に表示させるための画像情報を作成する不正アクセス検出部を設けたことを特徴とする請求項1ないし3のいずれか1項に記載の不正アクセス監査システム。
【請求項7】
監査ログを作成して記録する医用装置において、
前記監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、所望の対象を集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする医用装置。
【請求項8】
監査ログを作成して記録する医用装置において、
前記監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、前記医用装置および前記医用情報システムの少なくとも一方へのログイン権限を付与するためのユーザ登録がなされていない緊急ユーザのログインの回数、ログイン時間およびログイン中に検査画像を参照した回数の少なくとも1つを集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする医用装置。
【請求項9】
監査ログを作成して記録する医用装置において、
前記監査ログを取得する監査ログ取得部と、
前記監査ログ取得部により取得された前記監査ログを解析し、患者ごとの検査画像を表示させた回数別に前記医用装置および前記医用情報システムの少なくとも一方のユーザの数を集計することにより解析結果を得る監査ログ解析部と、
前記監査ログ解析部により得られた前記解析結果を表示装置に表示させるための解析結果情報を作成する解析結果情報作成部と、
を有することを特徴とする医用装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【公開番号】特開2006−195634(P2006−195634A)
【公開日】平成18年7月27日(2006.7.27)
【国際特許分類】
【出願番号】特願2005−5115(P2005−5115)
【出願日】平成17年1月12日(2005.1.12)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【Fターム(参考)】
【公開日】平成18年7月27日(2006.7.27)
【国際特許分類】
【出願日】平成17年1月12日(2005.1.12)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【Fターム(参考)】
[ Back to top ]