情報交換システム及び装置
患者のプライバシを維持しながら、別々の保健情報管理システム間で患者の健康レコードを交換する際に問題があるという欠点を解消するために、本発明は、第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出する工程と、第1の識別子に対応する第2の識別子を生成する工程と、第1の識別子に関連付けられたレコードを要求する旨の要求を、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に送信する工程と、要求されたレコードを、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から受信する工程と、第2の識別子と、要求されたレコードを関連付ける工程とを含む。本願提案の方法の使用は、同じ偽名化サービスを採用する保健情報管理システム全てを統一する必要がないという利点を提供し、患者のプライバシを開示することなく、別々の保健情報管理システム間の保健情報を共有することを容易にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報交換システムに関し、特に、別々の保健情報管理システム間で保健情報を交換するシステム及び装置に関する。
【背景技術】
【0002】
近年、保健及び/又は医療情報管理システムは、世界中で確立されている。前述の保健情報管理システム間の患者の保健情報及びプライバシの管理は、非常に重要な課題となっている。西暦1996年に米国国会により、医療保険責任法(HIPAA)が制定された後、研究者、医師及び医療センタは、患者の保健情報及びプライバシを含む、患者のデータを扱ううえで、より注意深くなっている。
【0003】
ISOによれば、匿名化は、識別するデータセットとデータ主体との関連付けを取り除くプロセスである。偽名化は、識別するデータセットとデータ主体との間の関連付けを取り除き、1つ又は複数の偽名と、データ主体に関する特定の特性の組との間の関連付けを加える特定のタイプの匿名化である。偽名化は、患者のプライバシを保護する重要な手法として認識されている。ISO/TC215は、個人保健情報の保護のための偽名化サービスを使用した要件及び原理に焦点を当てる、新たな仕様である「Pseudonymization practices for the protection of personal health information and health related service (ISO/DTS 25237)」を策定中である。
【0004】
ISO/DTS 25237に基づいて、HITSP(医療情報技術標準パネル)は、偽名化を実現するための、図1に示すアーキテクチャを開発している。アーキテクチャ100では、4つのエンティティ(すなわち、患者、病院、PIX(患者識別子相互参照)マネージャ、及び偽名化サービス・プロバイダ)が含まれる。工程110では、病院は、患者のための登録サービスを提供する。工程120では、病院はその後、患者情報をPIXマネージャに送出する。患者情報は、患者の実識別子(患者の名前及びID番号)及びこの病院において使用することが可能な患者レコードIDのみを含み得るか、又は、更なる情報(住所、連絡先情報等など)を含み得る。工程130では、PIXマネージャは、患者の識別子を記録する。この工程では、PIXマネージャは更に、病院から送出された患者情報に含まれる更なる情報構成部分(患者の健康レコードID、住所、連絡先情報等など)の少なくとも1つと、患者の識別子を関連付ける。工程140では、PIXマネージャは、偽識別子に対する要求を、偽名化サービス・プロバイダに送出する。要求を受信すると、偽名化サービス・プロバイダは工程150で、患者の偽識別子を割り当て、工程160で、上記偽識別子をPIXマネージャに戻す。次いで、PIXマネージャは、偽識別子を記憶し、患者の識別子と関連付ける。任意的には、PIXマネージャは、病院から受信された患者情報(例えば、患者のID、住所及び連絡先情報)と偽識別子を関連付けることも可能である。工程180では、PIXマネージャは、患者に対して偽証明書を作成し、これを病院に送出する。工程190では、病院は証明書を記録し、工程195では、証明書を患者に送出する。証明書を受信した後、患者はこの証明書を、この証明書のフォーマットが分かるこの病院及び他の病院において使用することが可能である。この証明書を使用することにより、患者は、この証明書のフォーマット及び内容が分かる病院からサービスを得、自分の実識別子の開示を避けることが可能である。
【0005】
しかし、別々の病院におけるエンティティ全てに利用可能な一意の偽名化サービスの前提条件で、アーキテクチャ100は、1つの保健/医療情報管理システム/領域においてのみ使用することが可能である。病院全てが、共通の偽名化サービス・プロバイダによって発行される偽識別子を含むこの証明書を認識することが可能である。現在、人々は、種々の都市、又は種々の国における種々の病院を訪問する機会が一層増えている。種々の都市及び種々の国における種々の病院が、共通の匿名化サービスを採用するということを仮定するのは不合理である。したがって、患者は、各保健/医療サービス・プロバイダ・システムにおいて、新たな識別子又は証明書を再登録しなければならない。別々のシステム間の相互運用性の方法は存在しないため、別々のシステムに記憶された、先行する保健/医療情報を患者が再使用することは困難である。
【0006】
したがって、別々の匿名化サービスを採用する別々の保健/医療情報管理システム間で保健/医療情報を交換することができる方法を提供する必要性が存在している。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の目的は、情報(特に、保健/医療情報)を、別々の医療/保健情報管理システム(特に、別々の偽名化サービスを使用するシステム)間で交換する方法及び装置を提供することである。
【課題を解決するための手段】
【0008】
本発明の一実施例によれば、情報交換システムを提供することにより、本発明の第1の局面において、目的及びいくつかの他の目的が得られる。情報交換システムは、第1の識別子、及び署名を含む証明書を読み取るよう構成されたリーダと、第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出し、第1の識別子に対応する第2の識別子を生成するよう構成されたリーダと、第1の識別子を第2の識別子と関連付け、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に、第1の識別子に関連付けられたレコードを要求する旨の要求を送出するよう構成された第1の識別子マネージャと、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から、要求されたレコードを受信し、受信されたレコード及び第2の識別子を関連付けるよう構成された受信器とを含む。
【0009】
第1の識別子と関連付けられたレコードは、医療レコード、病歴、第1の識別子によって識別された患者に関する他の保健/医療情報のうちの何れか1つを含むが、患者の実識別情報を容易に覆すことが可能な、自分の識別番号、運転免許証番号、保険番号、又は医療登録番号などの患者の実識別情報を含まない。
【0010】
現在の保健/医療情報管理システムに使用される前述のシステムは、別のシステムによって発行された証明書を現在の保健/医療情報管理システムが認識する必要なしで、別の保健/医療情報管理システムから保健情報(例えば、第1の識別子に関連付けられたレコード)が得られるという利点を有する。現在のシステムでは、第2の識別子は、患者の先行レコードと関連付けることが可能である。レコードはよって、一意の偽名化サービスに対する必要なしで、別々のシステム間で交換可能であり得る。
【0011】
任意的には、第2の識別子マネージャは更に、第1の識別子を第3の識別子にマッピングするよう構成された識別子マッピング装置と、第3の識別子に関連付けられたレコードを取り出すよう構成されたデータベースと、第1の識別子に関連付けられたレコードとして、取り出されたレコードを受信器に送出するよう構成された送出器とを備える。
【0012】
第3の識別子は、自分の実の識別情報に関連付けられたレコードを見つけることができるように、患者の実の識別情報(自分の識別番号、運転免許証番号、保険番号や、医療登録番号など)であり得る。データベースは、スタンドアロン型データベースであり得るか、又は別個の病院が、患者の実の識別情報及びレコードを記憶し得る。
【0013】
任意的には、第3の識別子は、偽名化サービス・プロバイダによって生成される偽識別子であってもよい。PIXマネージャであり得る第2の識別子マネージャは、この偽識別子を使用して、データベースからレコードを取り出すことも可能である。
【0014】
あるいは、サポートしないが、その他の偽名化サービス・プロバイダについての情報を抽出することが可能な別の偽名化サービスを使用して別の保健/医療情報管理システムによって第3の識別子が送出されたということを第2の識別子マネージャが判った場合、第1の識別子は、第3の識別子をその他の偽名化サービスに送出して、レコードを要求することが可能である。前述の再帰的手法を使用することにより、患者によって保持された証明書が何れかの他の保健/医療情報管理システムによって発行されたか否かにかかわらず、患者の健康レコードを記憶した当初システムを見つけることが可能である。
【0015】
任意的には、情報交換システムは、識別子を生成するよう構成された第2のサービス・プロバイダを更に備え、リーダ及び第1の識別子マネージャの何れか一方は、第2のサービス・プロバイダに第4の識別子を要求するよう更に構成され、リーダは、受信された第4の識別子を第2の識別子として設定するよう更に構成される。更に、第2のサービス・プロバイダは、現在の保健情報管理システムにおいて患者によって使用することが可能な第2の証明書を生成するよう更に構成される。患者は、前述の手法を使用することにより、現在の保健情報管理システムからレコードを得ることが可能な別の保健情報管理システムにこの第2の証明書を持ち込むことも可能である。
【0016】
第1の識別子及び第2の識別子は、自分の実の識別情報を開示することなく、患者を識別するための偽識別子であり得る。患者のプライバシは、何れの保健情報管理システムにおいても保護される。
【0017】
第1のサービス・プロバイダによって生成される署名は、例えば、偽名化サービス・プロバイダのような、第1のサービス・プロバイダ及び第2の識別子マネージャの少なくとも一方についての情報を提供する。
【0018】
本発明の別の実施例によれば、本発明の第2の局面は、患者を識別するよう構成された証明書を記憶するためのカードを提供する。上記証明書は、偽名化サービス・プロバイダによって生成され、保健情報管理システムにおいて使用されるよう構成された第1の偽識別子と、識別子マネージャ及び偽名化サービス・プロバイダのうちの少なくとも一方についての情報を含むよう構成された偽名化サービス・プロバイダの署名とを含み、識別子マネージャは、第1の偽識別子を識別するよう構成される。
【0019】
患者の実の識別情報はこのカードに含まれていないので、自分のプライバシは保護される。上記方法と組み合わせて、患者のレコードを、現在の保健情報管理システムにおいて探索し、使用することが可能である。
【0020】
証明書のセキュリティを更に向上させるために(すなわち、証明書と、この証明書を保有している個人との間の関係付け(すなわち、証明書が前述の個人に属するか)を確かめるために)、証明書は任意的には、公開鍵対の公開鍵を更に含み得る。公開鍵は、患者の署名を検証するために使用される。この証明書では、公開鍵が、患者の偽識別子に関連付けられるので、患者は、公開鍵の対の秘密鍵を使用して一部の文書に署名し、他方は、上記証明書における公開鍵を使用して、患者の実の識別情報を開示することなく署名を確かめる。公開鍵はオンラインで(例えば、インターネットを介して)使用することが可能である。
【0021】
別の実施例では、更なるデータセットを証明書に含めてセキュリティを向上させることができる。更なるデータセットは秘密sのハッシュであり得、sは、患者に既知のパラメータ、患者の個人情報、又は患者の実の識別情報であり得る。ハッシュ関数は、ゼロ知識証明が存在している一方向関数であるので、自分の識別情報を明らかにすることなく、自分の偽名を備えた証明書が自分のものであるということを患者が他者(例えば、医師)に証明することが可能である。
【0022】
別の実施例では、更なるデータセットは、患者を表す少なくとも1つの生体パラメータを含み得る。指紋などの生体パラメータは、証明書を保有する患者を検証するために使用することが可能である。更なる利点は、患者が生体データを常に持っているという点である。生体データは、公開データベースに記憶されておらず、よって、患者の実の識別情報に関係付けることが可能でない一方、証明書を所有していることを証明する機能を維持する。
【0023】
別の実施例によれば、本発明の第3の局面は、特に、別々の保健/医療情報管理システムの中から、情報を得る方法を提供することによって達成される。方法は、
a)第1のサービス・プロバイダの署名及び第1の識別子を証明書から抽出する工程と、
b)第1の識別子に対応する第2の識別子を生成する工程と、
c)第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に要求を送出して、第1の識別子に関連付けられたレコードを要求する工程と、
d)第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から、要求されたレコードを受信する工程と、
e)要求されたレコードを第2の識別子と関連付ける工程とを含む。
【0024】
別の実施例によれば、本発明の第4の局面は、第2の証明書を、特に、患者の実の識別情報を知る必要なく、生成する方法を提供することである。上記方法は、
a)第1の識別子及び第1のサービス・プロバイダの署名を第1の証明書から抽出する工程と、
b)第1の識別子及び第1のサービス・プロバイダの署名の少なくとも一方に基づいて第1の識別子の有効性を検査する工程と、
c)第2のサービス・プロバイダの署名及び第2の識別子を含む第2の証明書を生成する工程とを含み、第2の識別子は第1の識別子に対応する。
【0025】
前述の方法の使用により、患者の実の識別情報を知ることなく、偽識別子を含む新たな証明書を作成することが可能であるという利点がもたらされる。
【0026】
セキュリティを向上させるために、第2の証明書は任意的には、第2の証明書を所有していることを検証するために使用することが可能な、公開鍵、秘密sのハッシュ、生体パラメータ、及び他の情報の何れか1つを更に含み得る。
【0027】
任意的には、方法は、第2の識別子に関連付けられたレコードとして第2の識別子と、第1の識別子に関連付けられたレコードとを関連付ける工程を更に含む。
【図面の簡単な説明】
【0028】
【図1】HITSPによって開発されたアーキテクチャを示す図である。
【図2】本発明の一実施例による証明書を示す図である。
【図3】本発明の一実施例による情報交換処理を示す図である。
【図4】本発明の一実施例による証明書を生成する方法を示す図である。
【図5】本発明の一実施例による情報交換システムを示すブロック図である。
【発明を実施するための形態】
【0029】
本発明の前述及び他の局面、構成、及び/又は効果は、後述する実施例を参照すると、明らかであり、明らかにされるであろう。
【0030】
本発明の実施例は、例示の目的のみで説明する。
【実施例】
【0031】
図2は、例として、証明書のコンテンツの実施例を示す。証明書は、偽名化サービスの署名及び偽識別子を含む。偽識別子は、偽名化サービス・プロバイダによって生成され、現在の保健/医療情報管理システム(例えば、患者が登録する病院)における患者を識別するために使用される。偽識別子のみから患者の実の識別情報を導き出すことは可能でない。偽名化サービスの署名は、偽名化サービス・プロバイダによって生成され、偽識別子を検証するために使用することが可能である。証明書は、偽名化サービス・プロバイダについての情報を導き出すために使用することも可能である。任意的には、証明書は、現在の偽名化サービス・プロバイダによって生成された新たな偽識別子と、先行する識別子との間の関連付け、及び患者の1つの先行識別子が記憶される識別子マネージャ(例えば、PIXマネージャ)についての情報を導き出すために更に使用することが可能である。先行識別子は、患者の実の識別情報であり得、その場合、病院は、患者にとって最初に登録された病院である。先行識別子は、別の偽名化サービス・プロバイダによって生成された偽識別子でもあり得、その場合、現在の病院は、患者にとっての最初に登録された病院でなく、偽識別子を備えた証明書を持っている患者が現在の病院を訪問する。後者の場合、患者にとって最初に登録された病院を導き出すために再帰的手法を使用することが可能である。
【0032】
別の実施例では、証明書は任意的には、公開鍵の対の公開鍵を含み得る。この証明書では、公開鍵が、患者の偽識別子に関連付けられるので、患者は、公開鍵の対の秘密鍵を使用して一部の文書に署名することが可能であり、他者は、公開鍵を使用して、自分の実の識別情報を開示することなく署名を検証することが可能である。公開鍵を使用して患者をオンラインで(例えば、インターネット又は専用イントラネットを介して)検証するということは利点である。この場合、公開鍵は任意的には、偽名化サービスの署名を生成する際に考慮に入れられ、それにより、証明書のセキュリティが更に向上する。
【0033】
別の実施例では、証明書は任意的には、証明書が患者に属するというセキュリティを向上させるために使用される更なるデータセットを含む。この場合、更なるデータセットは任意的には、偽名化サービスの署名を生成する際に考慮に入れられ、それにより、証明書のセキュリティが更に向上する。医師が、正しい患者及び正しい健康レコードを扱っているか否かを確かめることが可能であるということは利点である。更なるデータセットは、患者に既知の、秘密sのハッシュであり得る。秘密sは、患者に既知の所定のパラメータ、患者の実の識別情報、又は患者の個人情報(例えば、患者の名前、誕生日、旅券番号等)であり得る。ハッシュ関数は、ゼロ知識証明が存在している一方向関数であるので、患者は、自分の識別情報を明らかにすることなく、自分の偽名を備えた証明書が実際に自分のものであるということを医師に証明することが可能である。ハッシュ関数の結果から、患者の実の識別情報を導き出すことはほとんど不可能である。
【0034】
別の実施例では、更なるデータセットは任意的には、1つ又は複数の生体パラメータを含む。指紋、虹彩等などの生体パラメータは、患者の生理的な特性の特徴を表すために使用され、公開データベースには記憶されない。前述の実現形態は2つの利点を有する。第1は生体パラメータが常に、患者の体から入手可能であるという点であり、第2は、生体データを患者の実の識別情報に関係付けることが可能でなく、偽造が困難であるという点である。公開鍵及び更なるデータセットを証明書に組み入れることも可能である。
【0035】
図2に示す証明書は、本発明の一実施例による情報交換プロセスを示す図3において使用することが可能である。患者が病院A及びPIXマネージャAに登録し、第1の偽名化サービス・プロバイダによって発行された、偽名化サービスの署名及び偽の第1の識別子を含む証明書を得ているものとする。次に、患者は、別の偽名化サービス及び別の偽識別子システムを採用する別の都市又は国における病院を訪問する。現在訪問している病院(例えば、病院B及びPIXマネージャB)において自分の元の証明書を患者が使用することは面倒である。情報交換プロセスの工程310では、患者は、自分の元の証明書を使用することにより、まず、病院Bに登録する。病院Bでは、証明書を読み取り、第1の識別子及び第1のサービス・プロバイダを抽出するよう構成されたリーダが存在している。工程320では、リーダは第1の識別子及び署名を抽出する。任意的には、リーダは、署名に基づいて第1の識別子の有効性を検査し、又は、第1の識別子及び署名を別のエンティティに送出して、第1の識別子を検証する。工程330では、病院B及びPIXマネージャBにおいて使用することが可能な第2の偽識別子が生成される。工程340では、第1のサービス・プロバイダの署名、第1の識別子、及び第2の識別子は第1の識別子マネージャ(例えば、PIXマネージャB)に送出される。任意的には、第1のサービス・プロバイダの署名に基づいて工程345でPIXマネージャBにおける第1の識別子の有効性が検査される。工程350では、PIXマネージャBは第2の識別子を第1の識別子と関連付ける。実際には、第1の識別子は、病院A/PIXマネージャAにおいて患者によって使用される偽識別子である一方、第2の識別子は、病院B/PIXマネージャBにおいて同じ患者によって使用される別の偽識別子である。工程360では、PIXマネージャBは第2の識別子マネージャ(例えば、PIXマネージャA)についての情報を証明書に基づいて抽出する。第1のサービス・プロバイダの署名及び/又は第1の識別子からの情報を抽出することも可能にする。工程370では、PIXマネージャBは、第1の識別子マネージャ(例えば、PIXマネージャA)に、第1の識別子に関連付けられた元のレコードを要求する。少なくとも第1の識別子が要求に含まれる。第1の識別子のレコードを見つけ、もう一度PIXマネージャBに送出する旨をPIXマネージャBが第1のサービス・プロバイダに要求することも実用的である。これは、特に、PIXマネージャBにより、第2の識別子マネージャを導き出すことが可能でない場合に、更なる利点をもたらす。患者が病院A/PIXマネージャAにおいて登録した後、証明書が第1のサービス・プロバイダによって生成されるので、第1のサービス・プロバイダが病院A及びPIXマネージャAを見つけるのは容易である。PIXマネージャBから要求を受け取ると、PIXマネージャAの識別子マッピング装置は、工程380で、第1の識別子を第3の識別子にマッピングし、工程390で第3の識別子に関連付けられたレコードを要求する旨の要求をデータベース(例えば、病院Aの構成要素)に送出する。第3の識別子に関連付けられたレコードが取り出された後、第2の識別子マネージャにおける送出器は工程395において、病院Bに配置された受信器に第1の識別子に関連付けられた、要求されたレコードとして、取り出されたレコードを送出する。
【0036】
図3に示す実施例は、訪問している病院(例えば、病院B/PIXマネージャB)に患者の実の識別情報を送出することが決して可能でないということを明確に示している。よって、後の診断において、必要な健康レコードが利用される一方、患者のプライバシが保護される。
【0037】
図3に示す実施例では、第2の識別子マネージャにおける識別子マッピング装置によって求められた第3の識別子は、患者の実の識別情報であり得るが、病院Aにおいて患者によって使用される別の偽識別子でもあり得る。第3の識別子が偽識別子である場合、病院A/PIXマネージャAは、図3の実施例に記載されたものと同様な方法を使用して、偽識別子を発行し、使用する別の病院/PIXマネージャを見つけることが可能である。患者が使用する偽識別子の数にかかわらず、再帰的手法を使用することにより、患者の健康/医療レコードを保持する病院を位置特定することが容易になる。
【0038】
図3に示す実施例では、第2の識別子は工程330でリーダによって生成される。図4に示す実施例に示された方法を使用することにより、第2の識別子を生成することも実用的である。第1のサービス・プロバイダの署名及び第1の識別子が工程410でリーダによって抽出された後、リーダは、工程420で、第2の偽識別子を生成する旨の要求を第2の偽名化サービス・プロバイダに送出する。工程430では、第2の偽名化サービス・プロバイダは、病院B及びPIXマネージャBが理解することが可能である第2の偽識別子を生成し、これをもう一度、リーダに送出する。任意的には、第1のサービス・プロバイダの署名及び第1の識別子の有効性は工程425で検査される。有効性検査が首尾良く行われなかった場合、要求を拒否し、その理由(例えば、証明書が偽造されている)をリーダに示すことが合理的である。リーダは、工程440で、第2の識別子を第1の識別子と関係付ける。これまで、患者に関連付けられた第2の識別子が、生成されており、病院Bにおいて使用することが可能である。第1の偽識別子に関連付けられたレコードが利用可能になった後、レコードを工程450で第2の識別子と関連付けることが容易であり、よって、患者の先行するレコードが病院Bで使用可能である。患者の実の識別情報は開示されない。
【0039】
図5は、例として、本発明の一実施例による情報交換システムを示す。情報交換システム500は、リーダ510、第1の識別子マネージャ520、及び受信器530を含む。リーダ510は、第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出し、第1の識別子に対応する第2の識別子を生成するよう構成される。第1の識別子マネージャ520は、第1の識別子を第2の識別子と関連付け、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に、第1の識別子に関連付けられたレコードを要求する旨の要求を送出するよう構成される。第2の識別子マネージャについての情報は、第1の証明書(例えば、第1の識別子、第1のサービス・プロバイダの署名、又はそれらの組合せ)から導き出すことが可能である。受信器530は、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から、要求されたレコードを受信し、要求されたレコ―ドを第2の識別子と関連付けるよう構成される。
【0040】
システム500は、マッピング装置542、保健/医療情報データベース544、及び送出器546を更に備える第2の識別子マネージャ540を更に備え得る。マッピング装置542は、第3の識別子に第1の識別子マネージャから送出された要求に含まれる第1の識別子をマッピングするよう構成される。データベース544は、第3の識別子に関連付けられたレコードを取り出すよう構成される。送出器546は、第1の識別子に関連付けられた要求されたレコードとして、取り出されたレコードを受信器に送出するよう構成される。
【0041】
任意的には、システム500は、偽識別子及び証明書を生成する第1のサービス・プロバイダ550を更に備える。第1のサービス・プロバイダ550は、第1の識別子マネージャ520から要求を受信し、受信された要求に含まれる第1の識別子に対応する第3の識別子を求めるよう更に構成される。第1のサービス・プロバイダ550は次いで、第3の識別子に関連付けられたレコードを求める旨を第2の識別子マネージャ540に要求する。その後、第3の識別子に関連付けられたレコードは、第1の識別子に第1のサービス・プロバイダ550から受信器530に関連付けられたレコードとして送出することが可能である。
【0042】
本発明の実施例に開示された方法及び装置を利用することにより、情報の交換という目的(例えば、患者のプライバシの開示を阻止する一方で、別々の保健/医療情報管理システム間での保健/医療レコードの交換という目的)を達成することは容易である。
【0043】
本発明は、ハードウェア、ソフトウェア、ファームウェア、又は前述の何れかの組み合わせを含む何れかの適切な形態で実現することができる。本発明、又はその構成の一部はコンピュータ・ソフトウェアとして実現することが可能である。本発明の実施例の構成要素及び構成部分は、何れかの適切なやり方で物理的、機能的、及び論理的に実現することができる。実際に、機能は、単一のユニットで実現しても、複数のユニットで実現しても、他の機能ユニットの一部として実現してもよい。そういうものとして、本発明は、単一のユニットで実現することができるか、又は、別々のユニット及びプロセッサ間で物理的かつ機能的に分散していることがあり得る。
【0044】
本発明は、特定の実施例に関して説明してきたが、本明細書及び特許請求の範囲記載の特定の形態に限定することを意図するものでない。むしろ、本発明の範囲は、特許請求の範囲によってのみ限定される。特許請求の範囲では、「comprises」という動詞及びその活用形を使用していることは、他の構成要素又は構成工程が存在していることを排除するものでない。個々の構成を別々の請求項に含めていることがあり得るが、これらは、場合によっては、組み合わせることが効果的であり得るものであり、別々の請求項に含めていることは、構成の組み合わせが実施可能でないこと及び/又は効果的でないことを示唆しているものでない。更に、単数形の参照は複数形を排除するものでない。よって、「a」、「an」、「first」、「second」等への参照は複数形を排除するものでない。更に、特許請求の範囲における参照符号は、当該範囲を限定するものと解されるべきでない。
【技術分野】
【0001】
本発明は、情報交換システムに関し、特に、別々の保健情報管理システム間で保健情報を交換するシステム及び装置に関する。
【背景技術】
【0002】
近年、保健及び/又は医療情報管理システムは、世界中で確立されている。前述の保健情報管理システム間の患者の保健情報及びプライバシの管理は、非常に重要な課題となっている。西暦1996年に米国国会により、医療保険責任法(HIPAA)が制定された後、研究者、医師及び医療センタは、患者の保健情報及びプライバシを含む、患者のデータを扱ううえで、より注意深くなっている。
【0003】
ISOによれば、匿名化は、識別するデータセットとデータ主体との関連付けを取り除くプロセスである。偽名化は、識別するデータセットとデータ主体との間の関連付けを取り除き、1つ又は複数の偽名と、データ主体に関する特定の特性の組との間の関連付けを加える特定のタイプの匿名化である。偽名化は、患者のプライバシを保護する重要な手法として認識されている。ISO/TC215は、個人保健情報の保護のための偽名化サービスを使用した要件及び原理に焦点を当てる、新たな仕様である「Pseudonymization practices for the protection of personal health information and health related service (ISO/DTS 25237)」を策定中である。
【0004】
ISO/DTS 25237に基づいて、HITSP(医療情報技術標準パネル)は、偽名化を実現するための、図1に示すアーキテクチャを開発している。アーキテクチャ100では、4つのエンティティ(すなわち、患者、病院、PIX(患者識別子相互参照)マネージャ、及び偽名化サービス・プロバイダ)が含まれる。工程110では、病院は、患者のための登録サービスを提供する。工程120では、病院はその後、患者情報をPIXマネージャに送出する。患者情報は、患者の実識別子(患者の名前及びID番号)及びこの病院において使用することが可能な患者レコードIDのみを含み得るか、又は、更なる情報(住所、連絡先情報等など)を含み得る。工程130では、PIXマネージャは、患者の識別子を記録する。この工程では、PIXマネージャは更に、病院から送出された患者情報に含まれる更なる情報構成部分(患者の健康レコードID、住所、連絡先情報等など)の少なくとも1つと、患者の識別子を関連付ける。工程140では、PIXマネージャは、偽識別子に対する要求を、偽名化サービス・プロバイダに送出する。要求を受信すると、偽名化サービス・プロバイダは工程150で、患者の偽識別子を割り当て、工程160で、上記偽識別子をPIXマネージャに戻す。次いで、PIXマネージャは、偽識別子を記憶し、患者の識別子と関連付ける。任意的には、PIXマネージャは、病院から受信された患者情報(例えば、患者のID、住所及び連絡先情報)と偽識別子を関連付けることも可能である。工程180では、PIXマネージャは、患者に対して偽証明書を作成し、これを病院に送出する。工程190では、病院は証明書を記録し、工程195では、証明書を患者に送出する。証明書を受信した後、患者はこの証明書を、この証明書のフォーマットが分かるこの病院及び他の病院において使用することが可能である。この証明書を使用することにより、患者は、この証明書のフォーマット及び内容が分かる病院からサービスを得、自分の実識別子の開示を避けることが可能である。
【0005】
しかし、別々の病院におけるエンティティ全てに利用可能な一意の偽名化サービスの前提条件で、アーキテクチャ100は、1つの保健/医療情報管理システム/領域においてのみ使用することが可能である。病院全てが、共通の偽名化サービス・プロバイダによって発行される偽識別子を含むこの証明書を認識することが可能である。現在、人々は、種々の都市、又は種々の国における種々の病院を訪問する機会が一層増えている。種々の都市及び種々の国における種々の病院が、共通の匿名化サービスを採用するということを仮定するのは不合理である。したがって、患者は、各保健/医療サービス・プロバイダ・システムにおいて、新たな識別子又は証明書を再登録しなければならない。別々のシステム間の相互運用性の方法は存在しないため、別々のシステムに記憶された、先行する保健/医療情報を患者が再使用することは困難である。
【0006】
したがって、別々の匿名化サービスを採用する別々の保健/医療情報管理システム間で保健/医療情報を交換することができる方法を提供する必要性が存在している。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の目的は、情報(特に、保健/医療情報)を、別々の医療/保健情報管理システム(特に、別々の偽名化サービスを使用するシステム)間で交換する方法及び装置を提供することである。
【課題を解決するための手段】
【0008】
本発明の一実施例によれば、情報交換システムを提供することにより、本発明の第1の局面において、目的及びいくつかの他の目的が得られる。情報交換システムは、第1の識別子、及び署名を含む証明書を読み取るよう構成されたリーダと、第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出し、第1の識別子に対応する第2の識別子を生成するよう構成されたリーダと、第1の識別子を第2の識別子と関連付け、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に、第1の識別子に関連付けられたレコードを要求する旨の要求を送出するよう構成された第1の識別子マネージャと、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から、要求されたレコードを受信し、受信されたレコード及び第2の識別子を関連付けるよう構成された受信器とを含む。
【0009】
第1の識別子と関連付けられたレコードは、医療レコード、病歴、第1の識別子によって識別された患者に関する他の保健/医療情報のうちの何れか1つを含むが、患者の実識別情報を容易に覆すことが可能な、自分の識別番号、運転免許証番号、保険番号、又は医療登録番号などの患者の実識別情報を含まない。
【0010】
現在の保健/医療情報管理システムに使用される前述のシステムは、別のシステムによって発行された証明書を現在の保健/医療情報管理システムが認識する必要なしで、別の保健/医療情報管理システムから保健情報(例えば、第1の識別子に関連付けられたレコード)が得られるという利点を有する。現在のシステムでは、第2の識別子は、患者の先行レコードと関連付けることが可能である。レコードはよって、一意の偽名化サービスに対する必要なしで、別々のシステム間で交換可能であり得る。
【0011】
任意的には、第2の識別子マネージャは更に、第1の識別子を第3の識別子にマッピングするよう構成された識別子マッピング装置と、第3の識別子に関連付けられたレコードを取り出すよう構成されたデータベースと、第1の識別子に関連付けられたレコードとして、取り出されたレコードを受信器に送出するよう構成された送出器とを備える。
【0012】
第3の識別子は、自分の実の識別情報に関連付けられたレコードを見つけることができるように、患者の実の識別情報(自分の識別番号、運転免許証番号、保険番号や、医療登録番号など)であり得る。データベースは、スタンドアロン型データベースであり得るか、又は別個の病院が、患者の実の識別情報及びレコードを記憶し得る。
【0013】
任意的には、第3の識別子は、偽名化サービス・プロバイダによって生成される偽識別子であってもよい。PIXマネージャであり得る第2の識別子マネージャは、この偽識別子を使用して、データベースからレコードを取り出すことも可能である。
【0014】
あるいは、サポートしないが、その他の偽名化サービス・プロバイダについての情報を抽出することが可能な別の偽名化サービスを使用して別の保健/医療情報管理システムによって第3の識別子が送出されたということを第2の識別子マネージャが判った場合、第1の識別子は、第3の識別子をその他の偽名化サービスに送出して、レコードを要求することが可能である。前述の再帰的手法を使用することにより、患者によって保持された証明書が何れかの他の保健/医療情報管理システムによって発行されたか否かにかかわらず、患者の健康レコードを記憶した当初システムを見つけることが可能である。
【0015】
任意的には、情報交換システムは、識別子を生成するよう構成された第2のサービス・プロバイダを更に備え、リーダ及び第1の識別子マネージャの何れか一方は、第2のサービス・プロバイダに第4の識別子を要求するよう更に構成され、リーダは、受信された第4の識別子を第2の識別子として設定するよう更に構成される。更に、第2のサービス・プロバイダは、現在の保健情報管理システムにおいて患者によって使用することが可能な第2の証明書を生成するよう更に構成される。患者は、前述の手法を使用することにより、現在の保健情報管理システムからレコードを得ることが可能な別の保健情報管理システムにこの第2の証明書を持ち込むことも可能である。
【0016】
第1の識別子及び第2の識別子は、自分の実の識別情報を開示することなく、患者を識別するための偽識別子であり得る。患者のプライバシは、何れの保健情報管理システムにおいても保護される。
【0017】
第1のサービス・プロバイダによって生成される署名は、例えば、偽名化サービス・プロバイダのような、第1のサービス・プロバイダ及び第2の識別子マネージャの少なくとも一方についての情報を提供する。
【0018】
本発明の別の実施例によれば、本発明の第2の局面は、患者を識別するよう構成された証明書を記憶するためのカードを提供する。上記証明書は、偽名化サービス・プロバイダによって生成され、保健情報管理システムにおいて使用されるよう構成された第1の偽識別子と、識別子マネージャ及び偽名化サービス・プロバイダのうちの少なくとも一方についての情報を含むよう構成された偽名化サービス・プロバイダの署名とを含み、識別子マネージャは、第1の偽識別子を識別するよう構成される。
【0019】
患者の実の識別情報はこのカードに含まれていないので、自分のプライバシは保護される。上記方法と組み合わせて、患者のレコードを、現在の保健情報管理システムにおいて探索し、使用することが可能である。
【0020】
証明書のセキュリティを更に向上させるために(すなわち、証明書と、この証明書を保有している個人との間の関係付け(すなわち、証明書が前述の個人に属するか)を確かめるために)、証明書は任意的には、公開鍵対の公開鍵を更に含み得る。公開鍵は、患者の署名を検証するために使用される。この証明書では、公開鍵が、患者の偽識別子に関連付けられるので、患者は、公開鍵の対の秘密鍵を使用して一部の文書に署名し、他方は、上記証明書における公開鍵を使用して、患者の実の識別情報を開示することなく署名を確かめる。公開鍵はオンラインで(例えば、インターネットを介して)使用することが可能である。
【0021】
別の実施例では、更なるデータセットを証明書に含めてセキュリティを向上させることができる。更なるデータセットは秘密sのハッシュであり得、sは、患者に既知のパラメータ、患者の個人情報、又は患者の実の識別情報であり得る。ハッシュ関数は、ゼロ知識証明が存在している一方向関数であるので、自分の識別情報を明らかにすることなく、自分の偽名を備えた証明書が自分のものであるということを患者が他者(例えば、医師)に証明することが可能である。
【0022】
別の実施例では、更なるデータセットは、患者を表す少なくとも1つの生体パラメータを含み得る。指紋などの生体パラメータは、証明書を保有する患者を検証するために使用することが可能である。更なる利点は、患者が生体データを常に持っているという点である。生体データは、公開データベースに記憶されておらず、よって、患者の実の識別情報に関係付けることが可能でない一方、証明書を所有していることを証明する機能を維持する。
【0023】
別の実施例によれば、本発明の第3の局面は、特に、別々の保健/医療情報管理システムの中から、情報を得る方法を提供することによって達成される。方法は、
a)第1のサービス・プロバイダの署名及び第1の識別子を証明書から抽出する工程と、
b)第1の識別子に対応する第2の識別子を生成する工程と、
c)第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に要求を送出して、第1の識別子に関連付けられたレコードを要求する工程と、
d)第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から、要求されたレコードを受信する工程と、
e)要求されたレコードを第2の識別子と関連付ける工程とを含む。
【0024】
別の実施例によれば、本発明の第4の局面は、第2の証明書を、特に、患者の実の識別情報を知る必要なく、生成する方法を提供することである。上記方法は、
a)第1の識別子及び第1のサービス・プロバイダの署名を第1の証明書から抽出する工程と、
b)第1の識別子及び第1のサービス・プロバイダの署名の少なくとも一方に基づいて第1の識別子の有効性を検査する工程と、
c)第2のサービス・プロバイダの署名及び第2の識別子を含む第2の証明書を生成する工程とを含み、第2の識別子は第1の識別子に対応する。
【0025】
前述の方法の使用により、患者の実の識別情報を知ることなく、偽識別子を含む新たな証明書を作成することが可能であるという利点がもたらされる。
【0026】
セキュリティを向上させるために、第2の証明書は任意的には、第2の証明書を所有していることを検証するために使用することが可能な、公開鍵、秘密sのハッシュ、生体パラメータ、及び他の情報の何れか1つを更に含み得る。
【0027】
任意的には、方法は、第2の識別子に関連付けられたレコードとして第2の識別子と、第1の識別子に関連付けられたレコードとを関連付ける工程を更に含む。
【図面の簡単な説明】
【0028】
【図1】HITSPによって開発されたアーキテクチャを示す図である。
【図2】本発明の一実施例による証明書を示す図である。
【図3】本発明の一実施例による情報交換処理を示す図である。
【図4】本発明の一実施例による証明書を生成する方法を示す図である。
【図5】本発明の一実施例による情報交換システムを示すブロック図である。
【発明を実施するための形態】
【0029】
本発明の前述及び他の局面、構成、及び/又は効果は、後述する実施例を参照すると、明らかであり、明らかにされるであろう。
【0030】
本発明の実施例は、例示の目的のみで説明する。
【実施例】
【0031】
図2は、例として、証明書のコンテンツの実施例を示す。証明書は、偽名化サービスの署名及び偽識別子を含む。偽識別子は、偽名化サービス・プロバイダによって生成され、現在の保健/医療情報管理システム(例えば、患者が登録する病院)における患者を識別するために使用される。偽識別子のみから患者の実の識別情報を導き出すことは可能でない。偽名化サービスの署名は、偽名化サービス・プロバイダによって生成され、偽識別子を検証するために使用することが可能である。証明書は、偽名化サービス・プロバイダについての情報を導き出すために使用することも可能である。任意的には、証明書は、現在の偽名化サービス・プロバイダによって生成された新たな偽識別子と、先行する識別子との間の関連付け、及び患者の1つの先行識別子が記憶される識別子マネージャ(例えば、PIXマネージャ)についての情報を導き出すために更に使用することが可能である。先行識別子は、患者の実の識別情報であり得、その場合、病院は、患者にとって最初に登録された病院である。先行識別子は、別の偽名化サービス・プロバイダによって生成された偽識別子でもあり得、その場合、現在の病院は、患者にとっての最初に登録された病院でなく、偽識別子を備えた証明書を持っている患者が現在の病院を訪問する。後者の場合、患者にとって最初に登録された病院を導き出すために再帰的手法を使用することが可能である。
【0032】
別の実施例では、証明書は任意的には、公開鍵の対の公開鍵を含み得る。この証明書では、公開鍵が、患者の偽識別子に関連付けられるので、患者は、公開鍵の対の秘密鍵を使用して一部の文書に署名することが可能であり、他者は、公開鍵を使用して、自分の実の識別情報を開示することなく署名を検証することが可能である。公開鍵を使用して患者をオンラインで(例えば、インターネット又は専用イントラネットを介して)検証するということは利点である。この場合、公開鍵は任意的には、偽名化サービスの署名を生成する際に考慮に入れられ、それにより、証明書のセキュリティが更に向上する。
【0033】
別の実施例では、証明書は任意的には、証明書が患者に属するというセキュリティを向上させるために使用される更なるデータセットを含む。この場合、更なるデータセットは任意的には、偽名化サービスの署名を生成する際に考慮に入れられ、それにより、証明書のセキュリティが更に向上する。医師が、正しい患者及び正しい健康レコードを扱っているか否かを確かめることが可能であるということは利点である。更なるデータセットは、患者に既知の、秘密sのハッシュであり得る。秘密sは、患者に既知の所定のパラメータ、患者の実の識別情報、又は患者の個人情報(例えば、患者の名前、誕生日、旅券番号等)であり得る。ハッシュ関数は、ゼロ知識証明が存在している一方向関数であるので、患者は、自分の識別情報を明らかにすることなく、自分の偽名を備えた証明書が実際に自分のものであるということを医師に証明することが可能である。ハッシュ関数の結果から、患者の実の識別情報を導き出すことはほとんど不可能である。
【0034】
別の実施例では、更なるデータセットは任意的には、1つ又は複数の生体パラメータを含む。指紋、虹彩等などの生体パラメータは、患者の生理的な特性の特徴を表すために使用され、公開データベースには記憶されない。前述の実現形態は2つの利点を有する。第1は生体パラメータが常に、患者の体から入手可能であるという点であり、第2は、生体データを患者の実の識別情報に関係付けることが可能でなく、偽造が困難であるという点である。公開鍵及び更なるデータセットを証明書に組み入れることも可能である。
【0035】
図2に示す証明書は、本発明の一実施例による情報交換プロセスを示す図3において使用することが可能である。患者が病院A及びPIXマネージャAに登録し、第1の偽名化サービス・プロバイダによって発行された、偽名化サービスの署名及び偽の第1の識別子を含む証明書を得ているものとする。次に、患者は、別の偽名化サービス及び別の偽識別子システムを採用する別の都市又は国における病院を訪問する。現在訪問している病院(例えば、病院B及びPIXマネージャB)において自分の元の証明書を患者が使用することは面倒である。情報交換プロセスの工程310では、患者は、自分の元の証明書を使用することにより、まず、病院Bに登録する。病院Bでは、証明書を読み取り、第1の識別子及び第1のサービス・プロバイダを抽出するよう構成されたリーダが存在している。工程320では、リーダは第1の識別子及び署名を抽出する。任意的には、リーダは、署名に基づいて第1の識別子の有効性を検査し、又は、第1の識別子及び署名を別のエンティティに送出して、第1の識別子を検証する。工程330では、病院B及びPIXマネージャBにおいて使用することが可能な第2の偽識別子が生成される。工程340では、第1のサービス・プロバイダの署名、第1の識別子、及び第2の識別子は第1の識別子マネージャ(例えば、PIXマネージャB)に送出される。任意的には、第1のサービス・プロバイダの署名に基づいて工程345でPIXマネージャBにおける第1の識別子の有効性が検査される。工程350では、PIXマネージャBは第2の識別子を第1の識別子と関連付ける。実際には、第1の識別子は、病院A/PIXマネージャAにおいて患者によって使用される偽識別子である一方、第2の識別子は、病院B/PIXマネージャBにおいて同じ患者によって使用される別の偽識別子である。工程360では、PIXマネージャBは第2の識別子マネージャ(例えば、PIXマネージャA)についての情報を証明書に基づいて抽出する。第1のサービス・プロバイダの署名及び/又は第1の識別子からの情報を抽出することも可能にする。工程370では、PIXマネージャBは、第1の識別子マネージャ(例えば、PIXマネージャA)に、第1の識別子に関連付けられた元のレコードを要求する。少なくとも第1の識別子が要求に含まれる。第1の識別子のレコードを見つけ、もう一度PIXマネージャBに送出する旨をPIXマネージャBが第1のサービス・プロバイダに要求することも実用的である。これは、特に、PIXマネージャBにより、第2の識別子マネージャを導き出すことが可能でない場合に、更なる利点をもたらす。患者が病院A/PIXマネージャAにおいて登録した後、証明書が第1のサービス・プロバイダによって生成されるので、第1のサービス・プロバイダが病院A及びPIXマネージャAを見つけるのは容易である。PIXマネージャBから要求を受け取ると、PIXマネージャAの識別子マッピング装置は、工程380で、第1の識別子を第3の識別子にマッピングし、工程390で第3の識別子に関連付けられたレコードを要求する旨の要求をデータベース(例えば、病院Aの構成要素)に送出する。第3の識別子に関連付けられたレコードが取り出された後、第2の識別子マネージャにおける送出器は工程395において、病院Bに配置された受信器に第1の識別子に関連付けられた、要求されたレコードとして、取り出されたレコードを送出する。
【0036】
図3に示す実施例は、訪問している病院(例えば、病院B/PIXマネージャB)に患者の実の識別情報を送出することが決して可能でないということを明確に示している。よって、後の診断において、必要な健康レコードが利用される一方、患者のプライバシが保護される。
【0037】
図3に示す実施例では、第2の識別子マネージャにおける識別子マッピング装置によって求められた第3の識別子は、患者の実の識別情報であり得るが、病院Aにおいて患者によって使用される別の偽識別子でもあり得る。第3の識別子が偽識別子である場合、病院A/PIXマネージャAは、図3の実施例に記載されたものと同様な方法を使用して、偽識別子を発行し、使用する別の病院/PIXマネージャを見つけることが可能である。患者が使用する偽識別子の数にかかわらず、再帰的手法を使用することにより、患者の健康/医療レコードを保持する病院を位置特定することが容易になる。
【0038】
図3に示す実施例では、第2の識別子は工程330でリーダによって生成される。図4に示す実施例に示された方法を使用することにより、第2の識別子を生成することも実用的である。第1のサービス・プロバイダの署名及び第1の識別子が工程410でリーダによって抽出された後、リーダは、工程420で、第2の偽識別子を生成する旨の要求を第2の偽名化サービス・プロバイダに送出する。工程430では、第2の偽名化サービス・プロバイダは、病院B及びPIXマネージャBが理解することが可能である第2の偽識別子を生成し、これをもう一度、リーダに送出する。任意的には、第1のサービス・プロバイダの署名及び第1の識別子の有効性は工程425で検査される。有効性検査が首尾良く行われなかった場合、要求を拒否し、その理由(例えば、証明書が偽造されている)をリーダに示すことが合理的である。リーダは、工程440で、第2の識別子を第1の識別子と関係付ける。これまで、患者に関連付けられた第2の識別子が、生成されており、病院Bにおいて使用することが可能である。第1の偽識別子に関連付けられたレコードが利用可能になった後、レコードを工程450で第2の識別子と関連付けることが容易であり、よって、患者の先行するレコードが病院Bで使用可能である。患者の実の識別情報は開示されない。
【0039】
図5は、例として、本発明の一実施例による情報交換システムを示す。情報交換システム500は、リーダ510、第1の識別子マネージャ520、及び受信器530を含む。リーダ510は、第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出し、第1の識別子に対応する第2の識別子を生成するよう構成される。第1の識別子マネージャ520は、第1の識別子を第2の識別子と関連付け、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に、第1の識別子に関連付けられたレコードを要求する旨の要求を送出するよう構成される。第2の識別子マネージャについての情報は、第1の証明書(例えば、第1の識別子、第1のサービス・プロバイダの署名、又はそれらの組合せ)から導き出すことが可能である。受信器530は、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から、要求されたレコードを受信し、要求されたレコ―ドを第2の識別子と関連付けるよう構成される。
【0040】
システム500は、マッピング装置542、保健/医療情報データベース544、及び送出器546を更に備える第2の識別子マネージャ540を更に備え得る。マッピング装置542は、第3の識別子に第1の識別子マネージャから送出された要求に含まれる第1の識別子をマッピングするよう構成される。データベース544は、第3の識別子に関連付けられたレコードを取り出すよう構成される。送出器546は、第1の識別子に関連付けられた要求されたレコードとして、取り出されたレコードを受信器に送出するよう構成される。
【0041】
任意的には、システム500は、偽識別子及び証明書を生成する第1のサービス・プロバイダ550を更に備える。第1のサービス・プロバイダ550は、第1の識別子マネージャ520から要求を受信し、受信された要求に含まれる第1の識別子に対応する第3の識別子を求めるよう更に構成される。第1のサービス・プロバイダ550は次いで、第3の識別子に関連付けられたレコードを求める旨を第2の識別子マネージャ540に要求する。その後、第3の識別子に関連付けられたレコードは、第1の識別子に第1のサービス・プロバイダ550から受信器530に関連付けられたレコードとして送出することが可能である。
【0042】
本発明の実施例に開示された方法及び装置を利用することにより、情報の交換という目的(例えば、患者のプライバシの開示を阻止する一方で、別々の保健/医療情報管理システム間での保健/医療レコードの交換という目的)を達成することは容易である。
【0043】
本発明は、ハードウェア、ソフトウェア、ファームウェア、又は前述の何れかの組み合わせを含む何れかの適切な形態で実現することができる。本発明、又はその構成の一部はコンピュータ・ソフトウェアとして実現することが可能である。本発明の実施例の構成要素及び構成部分は、何れかの適切なやり方で物理的、機能的、及び論理的に実現することができる。実際に、機能は、単一のユニットで実現しても、複数のユニットで実現しても、他の機能ユニットの一部として実現してもよい。そういうものとして、本発明は、単一のユニットで実現することができるか、又は、別々のユニット及びプロセッサ間で物理的かつ機能的に分散していることがあり得る。
【0044】
本発明は、特定の実施例に関して説明してきたが、本明細書及び特許請求の範囲記載の特定の形態に限定することを意図するものでない。むしろ、本発明の範囲は、特許請求の範囲によってのみ限定される。特許請求の範囲では、「comprises」という動詞及びその活用形を使用していることは、他の構成要素又は構成工程が存在していることを排除するものでない。個々の構成を別々の請求項に含めていることがあり得るが、これらは、場合によっては、組み合わせることが効果的であり得るものであり、別々の請求項に含めていることは、構成の組み合わせが実施可能でないこと及び/又は効果的でないことを示唆しているものでない。更に、単数形の参照は複数形を排除するものでない。よって、「a」、「an」、「first」、「second」等への参照は複数形を排除するものでない。更に、特許請求の範囲における参照符号は、当該範囲を限定するものと解されるべきでない。
【特許請求の範囲】
【請求項1】
情報交換システムであって、
第1のサービス・プロバイダの署名及び第1の識別子を証明書から抽出し、前記第1の識別子に対応する第2の識別子を生成するよう構成されたリーダと、
前記第1の識別子を前記第2の識別子と関連付け、前記第1の識別子と関連付けられたレコードを要求する旨の要求を第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方に送出するよう構成された第1の識別子マネージャと、
前記第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方から前記要求されたレコードを受信し、前記受信されたレコードを前記第2の識別子と関連付けるよう構成された受信器と
を備える情報交換システム。
【請求項2】
請求項1記載の情報交換システムであって、前記第2の識別子マネージャは更に、
前記第1の識別子を第3の識別子にマッピングするよう構成された識別子マッピング装置と、
前記第3の識別子と関連付けられたレコードを取り出すよう構成されたデータベースと、
前記第1の識別子と関連付けられた前記レコードとして、前記取り出されたレコードを前記受信器に送出するよう構成された送出器と
を備える情報交換システム。
【請求項3】
請求項1記載の情報交換システムであって、
識別子を生成するよう構成された第2のサービス・プロバイダ
を更に備え、
前記リーダ及び前記第1の識別子マネージャの何れか一方は、前記第2のサービス・プロバイダに第4の識別子を要求するよう更に構成され、前記リーダは、受信された第4の識別子を前記第2の識別子として設定するよう更に構成される情報交換システム。
【請求項4】
請求項3記載の情報交換システムであって、前記第2のサービス・プロバイダは、前記第2のサービス・プロバイダの署名及び前記第4の識別子を備える第2の証明書を生成するよう更に構成される情報交換システム。
【請求項5】
請求項4記載の情報交換システムであって、前記リーダは、前記第1の識別子マネージャ及び前記受信器の少なくとも一方に前記第2の証明書を送出するよう更に構成される情報交換子システム。
【請求項6】
請求項1記載の情報交換システムであって、前記第1の識別子及び前記第2の識別子はそれぞれ、対応する偽名化サービス・プロバイダによって生成される偽識別子であり、前記第1のサービス・プロバイダの前記署名は、前記第2の識別子マネージャ及び前記第1のサービス・プロバイダの少なくとも一方についての情報を提供する情報交換システム。
【請求項7】
請求項6記載の情報交換システムであって、前記証明書は、前記証明書と前記患者との間の関係付けを検査するために公開鍵の対の公開鍵を更に備える情報交換システム。
【請求項8】
請求項6記載の情報交換システムであって、前記証明書は前記証明書と前記患者との間の関係付けを検査するために更なるデータセットを更に備える情報交換システム。
【請求項9】
請求項8記載の情報交換システムであって、前記更なるデータセットに基づいた前記関係付けはオフラインで検査される情報交換システム。
【請求項10】
請求項8又は9に記載の情報交換システムであって、前記更なるデータセットは秘密sのハッシュであり、前記sは、前記患者に既知の所定のパラメータ、前記患者の個人情報、及び前記患者の実の識別情報の何れか1つである情報交換システム。
【請求項11】
請求項8又は9に記載の情報交換システムであって、前記更なるデータセットは、前記患者の生理的な特性の特徴を表す少なくとも1つの生体パラメータを含む情報交換システム。
【請求項12】
患者を識別するよう構成された証明書を記憶するカードであって、前記証明書は、
偽名化サービス・プロバイダによって生成され、保健情報管理システムに使用するよう構成された第1の偽識別子と、
前記偽名化サービス・プロバイダ及び識別子マネージャの少なくとも一方についての情報を含むよう構成された、偽名化サービス・プロバイダの署名と
を備え、前記識別子マネージャは、前記第1の偽識別子を識別するよう構成されたカード。
【請求項13】
請求項12記載のカードであって、前記証明書と前記患者との間の関係付けを検査するための公開鍵の対の公開鍵を更に備えるカード。
【請求項14】
請求項12記載のカードであって、前記証明書と前記患者との間の関係付けを検査するために更なるデータセットを更に備えるカード。
【請求項15】
請求項14記載のカードであって、前記更なるデータセットは秘密sのハッシュであり、前記sは、前記患者に既知の所定のパラメータ、前記患者の個人情報、及び前記患者の実の識別情報の何れか1つであるカード。
【請求項16】
請求項15記載のカードであって、前記更なるデータセットは、前記患者の生理的な特性の特徴を表す少なくとも1つの生体パラメータを含むカード。
【請求項17】
情報を取得する方法であって、前記方法は、
a)第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出する工程と、
b)前記第1の識別子に対応する第2の識別子を生成する工程と、
c)前記第1の識別子に関連付けられたレコードを要求する旨の要求を、第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方に送出する工程と、
d)前記第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方から、前記要求されたレコードを受信する工程と、
e)前記第2の識別子と、前記要求されたレコードを関連付ける工程とを含む方法。
【請求項18】
請求項17記載の方法であって、
f)前記第2の識別子マネージャにおいて第3の識別子に前記第1の識別子をマッピングする工程と、
g)前記第3の識別子に関連付けられたレコードを取り出す工程と、
h)前記第1の識別子に関連付けられた前記レコードとして、前記取り出されたレコードを受信器に送出する工程と
を含む方法。
【請求項19】
請求項18記載の方法であって、前記第3の識別子は、識別番号、運転免許証番号、保険番号、及び医療システムにおける登録番号のうちの何れか1つである方法。
【請求項20】
請求項17記載の方法であって、第2の識別子を生成する工程は、
i)前記第2の識別子を要求する旨の要求を第2のサービス・プロバイダに送出する工程と、
ii)前記第2のサービス・プロバイダにより、前記第1の識別子に対応する前記第2の識別子を生成する工程と
を含む方法。
【請求項21】
請求項20記載の方法であって、前記第1のサービス・プロバイダ及び前記第2のサービス・プロバイダは偽名化サービス・プロバイダであり、前記第1の識別子及び前記第2の識別子は、対応する偽名化サービス・プロバイダによって生成される偽識別子である方法。
【請求項22】
請求項20記載の方法であって、第2の識別子を生成する工程は、前記第2の識別子に対応する第2の証明書を生成する工程を更に含み、前記第2の証明書は、前記第2のサービス・プロバイダの前記署名、及び前記第2の識別子を含む方法。
【請求項23】
請求項22記載の方法であって、前記第2の証明書は、前記第2の証明書を保持する個人と前記第2の証明書との間の関係付けを検査するための更なるデータセット、及び公開鍵の対の公開鍵の何れか一方を更に含む方法。
【請求項24】
第1の証明書に基づいて第2の証明書を生成する方法であって、
a)第1の識別子及び第1のサービス・プロバイダの署名を前記第1の証明書から抽出する工程と、
b)前記第1の識別子及び前記第1のサービス・プロバイダの前記署名の少なくとも一方に基づいて前記第1の識別子の有効性を検査する工程と、
c)第2のサービス・プロバイダの署名及び第2の識別子を含む前記第2の証明書を生成する工程とを含み、前記第2の識別子は前記第1の識別子に対応する方法。
【請求項25】
請求項24記載の方法であって、前記第2の証明書は、公開鍵の対の公開鍵、及び更なるデータセットの何れか一方を更に備え、前記公開鍵の対の前記公開鍵、及び前記更なるデータセットの何れか一方は、前記第2の証明書と、前記第2の証明書を保持している個人との間の関係付けを検査するよう構成される方法。
【請求項26】
請求項24記載の方法であって、前記第1のサービス・プロバイダ及び前記第2のサービス・プロバイダは偽名化サービス・プロバイダであり、前記第1の識別子及び前記第2の識別子はそれぞれ、対応する偽名化サービス・プロバイダによって生成される偽識別子である方法。
【請求項27】
請求項24記載の方法であって、前記第2の識別子に関連付けられた前記レコードとして、前記第2の識別子と、前記第1の識別子に関連付けられた前記レコードを関連付ける工程を更に含む方法。
【請求項1】
情報交換システムであって、
第1のサービス・プロバイダの署名及び第1の識別子を証明書から抽出し、前記第1の識別子に対応する第2の識別子を生成するよう構成されたリーダと、
前記第1の識別子を前記第2の識別子と関連付け、前記第1の識別子と関連付けられたレコードを要求する旨の要求を第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方に送出するよう構成された第1の識別子マネージャと、
前記第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方から前記要求されたレコードを受信し、前記受信されたレコードを前記第2の識別子と関連付けるよう構成された受信器と
を備える情報交換システム。
【請求項2】
請求項1記載の情報交換システムであって、前記第2の識別子マネージャは更に、
前記第1の識別子を第3の識別子にマッピングするよう構成された識別子マッピング装置と、
前記第3の識別子と関連付けられたレコードを取り出すよう構成されたデータベースと、
前記第1の識別子と関連付けられた前記レコードとして、前記取り出されたレコードを前記受信器に送出するよう構成された送出器と
を備える情報交換システム。
【請求項3】
請求項1記載の情報交換システムであって、
識別子を生成するよう構成された第2のサービス・プロバイダ
を更に備え、
前記リーダ及び前記第1の識別子マネージャの何れか一方は、前記第2のサービス・プロバイダに第4の識別子を要求するよう更に構成され、前記リーダは、受信された第4の識別子を前記第2の識別子として設定するよう更に構成される情報交換システム。
【請求項4】
請求項3記載の情報交換システムであって、前記第2のサービス・プロバイダは、前記第2のサービス・プロバイダの署名及び前記第4の識別子を備える第2の証明書を生成するよう更に構成される情報交換システム。
【請求項5】
請求項4記載の情報交換システムであって、前記リーダは、前記第1の識別子マネージャ及び前記受信器の少なくとも一方に前記第2の証明書を送出するよう更に構成される情報交換子システム。
【請求項6】
請求項1記載の情報交換システムであって、前記第1の識別子及び前記第2の識別子はそれぞれ、対応する偽名化サービス・プロバイダによって生成される偽識別子であり、前記第1のサービス・プロバイダの前記署名は、前記第2の識別子マネージャ及び前記第1のサービス・プロバイダの少なくとも一方についての情報を提供する情報交換システム。
【請求項7】
請求項6記載の情報交換システムであって、前記証明書は、前記証明書と前記患者との間の関係付けを検査するために公開鍵の対の公開鍵を更に備える情報交換システム。
【請求項8】
請求項6記載の情報交換システムであって、前記証明書は前記証明書と前記患者との間の関係付けを検査するために更なるデータセットを更に備える情報交換システム。
【請求項9】
請求項8記載の情報交換システムであって、前記更なるデータセットに基づいた前記関係付けはオフラインで検査される情報交換システム。
【請求項10】
請求項8又は9に記載の情報交換システムであって、前記更なるデータセットは秘密sのハッシュであり、前記sは、前記患者に既知の所定のパラメータ、前記患者の個人情報、及び前記患者の実の識別情報の何れか1つである情報交換システム。
【請求項11】
請求項8又は9に記載の情報交換システムであって、前記更なるデータセットは、前記患者の生理的な特性の特徴を表す少なくとも1つの生体パラメータを含む情報交換システム。
【請求項12】
患者を識別するよう構成された証明書を記憶するカードであって、前記証明書は、
偽名化サービス・プロバイダによって生成され、保健情報管理システムに使用するよう構成された第1の偽識別子と、
前記偽名化サービス・プロバイダ及び識別子マネージャの少なくとも一方についての情報を含むよう構成された、偽名化サービス・プロバイダの署名と
を備え、前記識別子マネージャは、前記第1の偽識別子を識別するよう構成されたカード。
【請求項13】
請求項12記載のカードであって、前記証明書と前記患者との間の関係付けを検査するための公開鍵の対の公開鍵を更に備えるカード。
【請求項14】
請求項12記載のカードであって、前記証明書と前記患者との間の関係付けを検査するために更なるデータセットを更に備えるカード。
【請求項15】
請求項14記載のカードであって、前記更なるデータセットは秘密sのハッシュであり、前記sは、前記患者に既知の所定のパラメータ、前記患者の個人情報、及び前記患者の実の識別情報の何れか1つであるカード。
【請求項16】
請求項15記載のカードであって、前記更なるデータセットは、前記患者の生理的な特性の特徴を表す少なくとも1つの生体パラメータを含むカード。
【請求項17】
情報を取得する方法であって、前記方法は、
a)第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出する工程と、
b)前記第1の識別子に対応する第2の識別子を生成する工程と、
c)前記第1の識別子に関連付けられたレコードを要求する旨の要求を、第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方に送出する工程と、
d)前記第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方から、前記要求されたレコードを受信する工程と、
e)前記第2の識別子と、前記要求されたレコードを関連付ける工程とを含む方法。
【請求項18】
請求項17記載の方法であって、
f)前記第2の識別子マネージャにおいて第3の識別子に前記第1の識別子をマッピングする工程と、
g)前記第3の識別子に関連付けられたレコードを取り出す工程と、
h)前記第1の識別子に関連付けられた前記レコードとして、前記取り出されたレコードを受信器に送出する工程と
を含む方法。
【請求項19】
請求項18記載の方法であって、前記第3の識別子は、識別番号、運転免許証番号、保険番号、及び医療システムにおける登録番号のうちの何れか1つである方法。
【請求項20】
請求項17記載の方法であって、第2の識別子を生成する工程は、
i)前記第2の識別子を要求する旨の要求を第2のサービス・プロバイダに送出する工程と、
ii)前記第2のサービス・プロバイダにより、前記第1の識別子に対応する前記第2の識別子を生成する工程と
を含む方法。
【請求項21】
請求項20記載の方法であって、前記第1のサービス・プロバイダ及び前記第2のサービス・プロバイダは偽名化サービス・プロバイダであり、前記第1の識別子及び前記第2の識別子は、対応する偽名化サービス・プロバイダによって生成される偽識別子である方法。
【請求項22】
請求項20記載の方法であって、第2の識別子を生成する工程は、前記第2の識別子に対応する第2の証明書を生成する工程を更に含み、前記第2の証明書は、前記第2のサービス・プロバイダの前記署名、及び前記第2の識別子を含む方法。
【請求項23】
請求項22記載の方法であって、前記第2の証明書は、前記第2の証明書を保持する個人と前記第2の証明書との間の関係付けを検査するための更なるデータセット、及び公開鍵の対の公開鍵の何れか一方を更に含む方法。
【請求項24】
第1の証明書に基づいて第2の証明書を生成する方法であって、
a)第1の識別子及び第1のサービス・プロバイダの署名を前記第1の証明書から抽出する工程と、
b)前記第1の識別子及び前記第1のサービス・プロバイダの前記署名の少なくとも一方に基づいて前記第1の識別子の有効性を検査する工程と、
c)第2のサービス・プロバイダの署名及び第2の識別子を含む前記第2の証明書を生成する工程とを含み、前記第2の識別子は前記第1の識別子に対応する方法。
【請求項25】
請求項24記載の方法であって、前記第2の証明書は、公開鍵の対の公開鍵、及び更なるデータセットの何れか一方を更に備え、前記公開鍵の対の前記公開鍵、及び前記更なるデータセットの何れか一方は、前記第2の証明書と、前記第2の証明書を保持している個人との間の関係付けを検査するよう構成される方法。
【請求項26】
請求項24記載の方法であって、前記第1のサービス・プロバイダ及び前記第2のサービス・プロバイダは偽名化サービス・プロバイダであり、前記第1の識別子及び前記第2の識別子はそれぞれ、対応する偽名化サービス・プロバイダによって生成される偽識別子である方法。
【請求項27】
請求項24記載の方法であって、前記第2の識別子に関連付けられた前記レコードとして、前記第2の識別子と、前記第1の識別子に関連付けられた前記レコードを関連付ける工程を更に含む方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2011−508332(P2011−508332A)
【公表日】平成23年3月10日(2011.3.10)
【国際特許分類】
【出願番号】特願2010−540208(P2010−540208)
【出願日】平成20年12月26日(2008.12.26)
【国際出願番号】PCT/IB2008/055541
【国際公開番号】WO2009/083922
【国際公開日】平成21年7月9日(2009.7.9)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成23年3月10日(2011.3.10)
【国際特許分類】
【出願日】平成20年12月26日(2008.12.26)
【国際出願番号】PCT/IB2008/055541
【国際公開番号】WO2009/083922
【国際公開日】平成21年7月9日(2009.7.9)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]