情報流通システムとそのアクセス制御方法
【課題】ユーザの役割と属性、さらには上記データの状況変化に応じて、当該データに対し適切なアクセス制御ルールに従いアクセス制御できるようにする。
【解決手段】要求側サーバ1からの登録要求に対し、提供側サーバ2がサービス対象となる紹介状等のデータに関連付けて、当該データに係るユーザが差出人、受取人、対象者の何れであるかを表す役割情報と、当該ユーザの所属組織と資格を表す属性情報と、当該データに対するアクセスの状況の変化を表すステータスを記憶する。またそれと共に、上記役割情報、属性情報及び更新後のステータスに基づいて設定されたアクセス制御ルールを記憶する。そして、要求側サーバ1からアクセス要求が送信されると、サービス対象となるデータに対するアクセス制御に先立ちアクセス制御ルールを確認し、このアクセス制御ルールに従い上記サービス対象となるデータに対するアクセス制御を実行する。
【解決手段】要求側サーバ1からの登録要求に対し、提供側サーバ2がサービス対象となる紹介状等のデータに関連付けて、当該データに係るユーザが差出人、受取人、対象者の何れであるかを表す役割情報と、当該ユーザの所属組織と資格を表す属性情報と、当該データに対するアクセスの状況の変化を表すステータスを記憶する。またそれと共に、上記役割情報、属性情報及び更新後のステータスに基づいて設定されたアクセス制御ルールを記憶する。そして、要求側サーバ1からアクセス要求が送信されると、サービス対象となるデータに対するアクセス制御に先立ちアクセス制御ルールを確認し、このアクセス制御ルールに従い上記サービス対象となるデータに対するアクセス制御を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、複数の情報処理装置間でサービス対象データを流通させる情報流通システムとそのアクセス制御方法に関する。
【背景技術】
【0002】
近年、複数の医療機関がネットワークを介して連携し、医療サービスを市民に提供するサービスシステムが普及している。この種のシステムでは、個々の病院がそれぞれサーバを運用し、これらのサーバ間で情報をやり取りする。例えば、中核病院により検査した結果であるレントゲン写真やカルテの情報を、診療所等のかかりつけ医に開示することにより、中核病院とかかりつけ医が連携しながら治療を行なう場合には、双方で患者の情報を閲覧できなければならない。しかし、患者の情報は個人情報であるため、取り扱いを慎重にしなければならない。このため、個人情報に対して様々なアクセス制御方法が提案されている(例えば特許文献1、2又は3を参照)。
【0003】
また、中核病院と診療所で同じ患者の治療にあたるにしても、対象病原以外の情報を見せる必要はなく、適切なアクセス制御を設定することによってデータの開示範囲を絞ることが求められる。さらに、ガイドライン等により方針を制定されている例もある(例えば非特許文献1を参照)。
【0004】
一方、医療のIT化は益々進んでおり、取り扱える書類の種類も増え続けている。電子化するにあたり、フォーマットをどのようにしたらよいかといった議論が進んでおり、現時点ではフォーマット化されていなくても、近い将来正式フォーマットとしてシステムで取り扱わざるを得なくなる可能性もある(例えば非特許文献2を参照)。
【0005】
また、一般にユーザが様々なデータを作成して特定のサーバに格納し、この格納されたデータを別のユーザが閲覧するといったサービスはよく知られている。ブログやTwitter(登録商標)はその一例である。医療分野においても、ある病院で撮影されたレントゲン写真や診療カルテの情報を他の病院に開示してその閲覧権限を与えることにより、医療の質を向上させる試みがなされている(例えば非特許文献3を参照)。
【0006】
例えば、紹介状は紹介元の病院の医師によって作成され、紹介先の病院の医師が閲覧できる文書であるが、紹介先の病院の医師は自由に閲覧できても、書き込むことはできないといったアクセス制御が必要となる。現在の運用では、紹介状は封書により紹介元の医師から患者に渡される。ここで、患者は紹介状の中身を閲覧することはできないと仮定すると、紹介状サービスをITにより実現するには、患者に対しては自分宛の紹介状の有無を検索できても中身を閲覧できないようにするアクセス制御を行う必要がある。
【0007】
一方、処方箋については、発行された時点では患者がどの調剤薬局から薬を購入するかが分からないため、特定の人を指定することができない。すなわち、薬剤師という資格を持った人であれば、誰でも処方箋の電子データを閲覧できるようにしておかなければならない。また、長期に渡って服用する薬の場合には、量を分けて複数回に渡り購入できるようにすることも必要である。このとき、常に同じ薬剤師から購入しなければならないといった制約はないため、ここでも薬剤師という資格を持った人であれば誰でも処方箋の電子データにアクセスできるようにしなければならないし、薬を渡すたびに量や具体的な薬名を追記できるようにしなければならない。また、処方量をすべて渡し終わった後には、それ以上薬が渡らないような制約をかけなければならない。すなわち、閲覧や書き込みに対するアクセス制御も必要となる。処方箋は、処方されている期間には患者が閲覧できるようにしておかなければならないが、すべての薬を受領した後の処方箋は薬剤師が管理することになっているため、患者からは閲覧できないようにする必要がある。
【0008】
すなわち、紹介状や処方箋といったサービス対象データの種類によって、当該サービス対象データに対するアクセス制御ルールを異ならせる必要がある。また、アクセス制御ルールは、データの種類に止まらず、アクセスするユーザの役割や属性等によっても異ならせる必要がある。
【0009】
このうち、ユーザの役割に応じてアクセス制御を実施する方法としては、ロールベースアクセス制御が知られている。この技術は、会社等の組織内におけるロールに対するアクセスを割り当てるものとなっている。このため、紹介状や処方箋等のように、同一組織に所属しているとは限らないユーザについては適用できない。
【0010】
またアクセス制御ルールは、時間の経過、つまりデータをやり取りする段階によっても変化する。そのため、依頼された要求に対して、適切なアクセス権限を判断する処理を実施したうえで、本来やるべき処理を実行しなければならない。例えば紹介状であれば、受取人が紹介状を開封し、患者の治療を引き受ける状況になった時点で、紹介先病院の医師は紹介元病院の診療カルテやレントゲン撮影画像等の治療に必要な関係文書にアクセスできるようにしなければならない。しかし現状では、紹介元の医師が患者に対して紹介状と共に治療に必要なデータを手渡しし、患者が紹介状とこのデータを自ら紹介先の医師に持参することが一般的である。このため、診療データは個人情報であるにもかかわらず、紹介先病院の医師に安全に提示することが困難である。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特開2011−100361号公報
【特許文献2】特開2011−100362号公報
【特許文献3】特開2011−107779号公報
【非特許文献】
【0012】
【非特許文献1】「保存が義務付けられた診療録等の電子保存ガイドライン(第3版)」、一般社団法人 保健医療福祉情報システム工業会 セキュリティ委員会 電子保存WG、2011年4月、[平成23年10月31日検索]、インターネット<URL: http://www.jahis.jp/wp-content/uploads/st11-001.pdf>
【非特許文献2】「処方せんの電子化について」、厚生労働省 医療情報ネットワーク基盤検討会、平成20年7月、[平成23年10月31日検索]、インターネット<URL: http://www.mhlw.go.jp/shingi/2008/08/dl/s0801-6a.pdf>
【非特許文献3】NPO法人長崎地域医療連携ネットワークシステム、[平成23年10月31日検索]、インターネット<URL: http://www.ajisai-net.org/ajisai/>
【発明の概要】
【発明が解決しようとする課題】
【0013】
以上述べたように既存の技術では、サービス対象のデータをネットワークを介して流通させようとする際に、アクセスするユーザの役割や属性、さらには上記データの状況変化に対して適切なアクセス制御を行うことができない。
この発明は上記事情に着目してなされたもので、その目的とするところは、ユーザの役割と属性、さらには上記データの状況変化に応じて、当該データに対し適切なアクセス制御ルールに従いアクセス制御できるようにした情報流通システムとそのアクセス制御方法を提供することにある。
【課題を解決するための手段】
【0014】
上記目的を達成するためにこの発明の1つの観点は、サービスの要求側となる第1の情報処理装置と、サービスの提供側となる第2の情報処理装置と、これら第1及び第2の情報処理装置間をネットワークを介して連携させる第3の情報処理装置とを具備する情報流通システムにおいて、上記第2の情報処理装置により、はじめに上記第1の情報処理装置からの登録要求に応じ、サービス対象となるデータに関連付けて、当該データに係るユーザの役割を表す役割情報と、当該ユーザの属性情報と、当該データに対するアクセスの状況を表すステータス情報を記憶する。また上記サービス対象となるデータに対するアクセス制御が行われた場合には、その結果に応じて、上記記憶されているステータス情報を更新する。そしてこの状態で、上記第1の情報処理装置からアクセス要求が送信されると、サービス対象となるデータに対するアクセス制御に先立ち、上記アクセス要求の内容と、上記記憶された役割情報、属性情報及び更新後のステータス情報に基づいて、上記サービス対象となるデータに対するアクセス制御ルールを決定し、この決定されたアクセス制御ルールに従い上記サービス対象となるデータに対するアクセス制御を実行するようにしたものである。
【0015】
具体的には、上記役割情報としてユーザが差出人、受取人及び対象者の何れであるかを表す情報を記憶し、かつ属性情報として当該ユーザの所属組織を表す情報と所有資格を表す情報を記憶する。
【0016】
また、サービス対象となるデータの種類又はその電子フォーマットの種類が異なる場合には、この種類ごとにユーザの役割を表す役割情報、当該ユーザの属性情報及びアクセスの状況を表すステータス情報を記憶する。
【発明の効果】
【0017】
したがって、ユーザの操作に応じて要求側の情報処理装置からサービス対象データに対するアクセス要求が発生すると、予め記憶されたユーザの役割を表す情報と当該ユーザの属性情報をもとに適切なアクセス制御ルールが決定され、サービス対象データに対するアクセス制御が実行される。このため、ユーザの役割、例えば差出人、受取人及び対象者の何れであるのかと、属性、例えば所属組織又は資格を考慮してアクセス制御ルールが決定され、このアクセス制御ルールに従いサービス対象データに対するアクセス制御を実行することが可能となる。このアクセス制御の種類には、例えば記憶された情報リストの検索のみ、内容の閲覧のみ、或いは閲覧+編集が考えられる。
【0018】
また、アクセス制御ルールを決定する際には、サービス対象データに対する最新のアクセス状況を表すステータス情報も考慮される。このため、ユーザの役割や属性が変わらなくても、サービス対象データに対する現在のアクセス状況(例えば作成済、閲覧済、編集済)が変化した場合には、この変化に応じてその時々で適切なアクセス制御を実行することが可能となる。
【0019】
さらに、サービス対象データ又はその電子フォーマットが複数種類ある場合には、これらの種類ごとにユーザの役割、属性及びステータス情報が記憶され、アクセス制御ルールが決定されるので、サービス対象データ又はその電子フォーマットの種類が異なる場合でも、それに応じた適切なアクセス制御を実行することが可能となる。
【0020】
すなわちこの発明によれば、ユーザの役割と属性、さらには上記データの状況変化に応じて、当該データに対し適切なアクセス制御ルールに従いアクセス制御できるようにした情報流通システムとそのアクセス制御方法を提供することができる。
【図面の簡単な説明】
【0021】
【図1】この発明の一実施形態に係る情報流通システムの機能構成を示すブロック図。
【図2】図1に示したシステムのサーバに記憶される紹介状管理データの一例を示す図。
【図3】図1に示したシステムのサーバに記憶される紹介状属性データの一例を示す図。
【図4】図1に示したシステムの連携サーバに記憶される紹介状アプリケーションアクセス制御ファイルの一例を示す図。
【図5】図1に示したシステムの要求側サーバに記憶される紹介状アプリケーションアクセス制御ファイルの一例を示す図。
【図6】図1に示したシステムの提供側サーバに記憶される紹介状アプリケーションアクセス制御ファイルの一例を示す図。
【図7】紹介状アプリケーション設定ファイルの一例を示す図。
【図8】図1に示したシステムによる紹介状サービスの概要を示す図。
【図9】図1に示したシステムにおいて実行される、医師による紹介状登録・閲覧権限付与処理のシーケンスを示す図。
【図10】図1に示したシステムにおいて実行される、患者に対する紹介状サービス処理のシーケンスを示す図。
【発明を実施するための形態】
【0022】
以下、図面を参照してこの発明に係わる実施形態を説明する。
[構成]
図1は、この発明の一実施形態に係る情報流通システムの機能構成を示すブロック図である。
情報流通システムは、クライアント端末4が接続される複数の要求側サーバ1と、サービスを提供する複数の提供側サーバ2と、連携サーバ3とを具備し、これらのサーバ1,2,3はネットワーク5を介して相互に通信可能となっている。
【0023】
クライアント端末4は、例えば医師や患者等のユーザが使用するパーソナル・コンピュータからなり、Webブラウザ41を有している。ユーザは、Webブラウザ41を使って要求側サーバ1及び提供側サーバ2にアクセスする。
【0024】
要求側サーバ1は、例えば病院のポータルサーバ或いは患者が利用する医療ポータルサーバからなり、クライアント端末4からの要求を受け付けると、この要求を自サーバが処理できる場合には対応するサービスを実行し、処理できない場合には該当する提供側サーバ2に上記要求を転送する。
【0025】
この機能を実現するために要求側サーバ1は、送受信部11と、アクセス制御部12と、データアクセス部13と、ユーザ情報格納部14と、アプリケーションデータ格納部15を備える。送受信部11は、クライアント端末4、提供側サーバ2及び連携サーバ3との間でネットワーク5を介して各種データの送受信を行う。
【0026】
アクセス制御部12は、Webアクセス抽出部121及びアクセス制御判定部122を有する。Webアクセス抽出部121は、クライアント端末4のWebブラウザ41から要求されたHTTPリクエストを受け付け、リクエストの内容を解析する。アクセス制御判定部122は、ユーザのデータへのアクセス可否を判断する。このアクセス可否の判断のため、データアクセス部13を介してユーザ情報格納部14に対し問い合わせを行う。ユーザ情報格納部14は、上記アクセス可否の判断に必要なユーザの個人情報を格納しており、上記問い合わせに対する回答をデータアクセス部13を介してアクセス制御判定部122に返す。アプリケーションデータ格納部15には、自サーバ上で実行されるアプリケーションが用いるアクセス制御ファイル、設定ファイル及び個別データが格納されている。
【0027】
提供側サーバ2は、例えば医療情報の流通サービスを提供するサービス事業者が運用するサーバであり、上記要求側サーバ1とほぼ同じ機能、つまり送受信部21と、アクセス制御部22と、データアクセス部23と、ユーザ情報格納部24と、アプリケーションデータ格納部25を備えている。
【0028】
連携サーバ3は、上記要求側サーバ1と提供側サーバ2との間を連携させるためのもので、送受信部31と、アクセス制御判定部32と、データアクセス部33と、ユーザ情報格納部34と、アプリケーションデータ格納部35と、システム情報格納部36と、マスタ情報格納部37を備えている。
【0029】
システム情報格納部36には、情報流通システムを構成する各サーバが有するシステム情報や使用する認証方式を表す情報が格納されている。マスタ情報格納部37には、情報流通システムに対し利用登録した全てのユーザについて、そのユーザIDに関連付けて当該ユーザが所属する組織や資格を表す属性情報がマスタ情報として格納される。登録済のユーザが新たに資格を取得した場合には、上記マスタ情報が更新される。ユーザ情報格納部34には、上記マスタ情報格納部37に格納されたマスタ情報のうちユーザの属性情報が格納され、さらにユーザが利用できるサービスのリストが格納される。アプリケーションデータ格納部35には、自サーバ上で実行されるアプリケーションが用いるアクセス制御ファイル、設定ファイル及び個別データが格納される。
【0030】
連携サーバ3は、要求側サーバ1又は提供側サーバ2から、ユーザが利用可能なサービスについての問い合わせを受信すると、上記ユーザ情報格納部34に格納されたサービスリストを検索して、当該ユーザが要求するサービスを利用可能か否かを判断し、その結果を要求元の要求側サーバ1又は提供側サーバ2へ回答する。
【0031】
なお、以上述べた要求側サーバ1、提供側サーバ2及び連携サーバ3による基本的な機能とその動作については、特開2010−86080号公報「分散情報連携システムおよび分散情報連携方法」に詳しく記載されている。
【0032】
次に、本実施形態に係る情報流通システムが例えば医療従事者用インターネットサービスを実施する上で使用する各種管理データの構成を説明する。
提供側サーバ2がサービスを提供する医療従事者用インターネットサービスのうち、紹介状に関するサービスを利用するユーザは、紹介状を発行する医師、紹介状を受領する医師、紹介状を発行される患者の3ユーザである。
【0033】
紹介状サービスでは、医師にはその属性として組織と資格が付与される。一方、患者は個人ではあるもののある組織に所属していたり資格を持っていることもあるが、紹介状サービスを利用するに当たっては、どこの組織にも属さずまた資格の有無も関係しないため、これらの情報を属性として持たない。また、医療従事者用インターネットサービスには様々なサービスがあるが、そのうちの紹介状サービスを利用するユーザには当該紹介状サービスのみを利用可能な権限を与える。このユーザを自動認証ユーザと呼称する。紹介状サービスを提供するシステムが信頼するのはこの自動認証ユーザだけであり、自動認証ユーザは組織も資格も持たない特別なユーザという扱いとする。
【0034】
紹介状管理データ、紹介状属性データ及びアプリケーション検索設定ファイルといった、特定のアプリケーションを実行するときに用いる設定ファイルは、提供するサービス種別に依存するため提供側サーバ2のアプリケーションデータ格納部25に格納される。これに対しアクセス制御ファイルは、要求側サーバ1、提供側サーバ2及び連携サーバ3がそれぞれアクセス制御判定処理を実施するときに用いるため、それぞれのサーバ1,2,3のアプリケーションデータ格納部15,25,35に格納される。こちらのアプリケーションデータ格納部15,25,35に格納される各管理データは、紹介状サービスを提供するに際に事前にユーザにより設定され、必要に応じて適宜アクセス制御項目の登録、更新、削除が行なわれる。
【0035】
図2及び図3は、それぞれ紹介状サービスを提供する提供側サーバ2に格納される紹介状管理データ及び紹介状属性データの記述例を示すものである。同図に示すように紹介状管理データは、データの状態を表すステータスと、実行ユーザ名と、文書IDと、シーケンス番号と、フォーマット種別と、実データと、署名者のユーザIDと、登録日時及び更新日時と、削除フラグとから構成される。また紹介状属性データは、データの状態を表すステータスと、実行ユーザ名と、文書IDと、差出人のユーザIDと、差出人の組織IDと、受取人のユーザIDと、受取人の組織IDと、対象者のユーザIDと、対象者の組織IDと、状態と、発行日時と、登録日時及び更新日時と、アクセス制御ルール番号とから構成される。
【0036】
一方図4、図5及び図6は、それぞれ連携サーバ3、病院Xのサーバ(要求側サーバ1)及び提供側サーバ2に格納される紹介状アプリケーションアクセス制御ファイルの記述例を示すものである。同図に示すように紹介状アプリケーションアクセス制御ファイルは、データの状態を表すステータスと、実行ユーザ名と、アクセス制御ルール名と、ルール格納場所と、アクセス対象のデータ名と、開示先となる条件ユーザと、開示先となる条件組織と、開示先の資格と、検索の可否及び更新の可否を表すフラグとを含む。なお、このうち図4及び図5に記述されている、ユーザの役割や属性、ステータス等の前提条件に対するアクセス制御ルールは、紹介状データを閲覧する許可を与えたタイミングで更新される。また、図6に記述されているアクセス制御ルールは、紹介状管理データを提供側サーバ2に登録するタイミングで更新される。
【0037】
[動作]
次に、以上のように構成された情報流通システムによるアクセス制御動作を説明する。
ここでは、例えば図8に示すように、病院Xの医師Bが患者Aの紹介状を作成して紹介状サービスに登録し、この紹介状を紹介先の病院Yの医師Cが紹介状サービス受け取ると共に、患者Aが自身の紹介状の流通状態を確認する場合を例にとって説明を行う。
【0038】
(1)紹介状データの登録・閲覧権限付与
図9は、医師Bが患者Aの紹介状を発行し登録する場合の処理手順と処理内容を示すフローチャートである。なお、システムを起動すると、連携サーバ3、要求側サーバ1及び提供側サーバ2では、先ず図4、図5及び図7に示した紹介状アプリケーションアクセス制御ファイル及び紹介状アプリケーション設定ファイルが各格納部から読込まれる。
【0039】
この状態で、医師Bが自身のクライアント端末4において患者Aの紹介状を作成し、病院Xのポータルサーバ(要求側サーバ1)に対しWebアクセスすると、要求側サーバ1から提供側サーバ2に対して紹介状を登録するために必要となる文書IDの払い出し要求が送られる。提供側サーバ2は、要求された文書IDを払い出した後、図2に示す照会状管理データに当該文書IDと重複するIDが登録されていないか否かを確認する。その結果、重複があればエラーメッセージを要求側サーバ1へ返送して処理を終了する。
【0040】
これに対し重複がないことが確認されると、提供側サーバ2は紹介状属性データ(図3に例示)に、文書ID、実行ユーザ名、ステータス及び紹介状の中身である実データ等の必要な項目データを書き込む。また、この作成した紹介状に対して誰がアクセスしてよいかを判断するためのアクセス制御ルールを、紹介状アプリケーションアクセス制御ファイル(図6)に追記する。さらに、ユーザの役割を表す紹介状の差出人、受取人及び対象者のユーザIDとその所属組織のIDを、紹介状属性データ(図3)に登録する。そして、最後に要求側サーバ1が、個々の紹介状に対して、関連のある診療データや検査結果を閲覧してもよいかどうかを制御するためのアクセス制御ルールを、紹介状アプリケーションアクセス制御ファイル(図5)に追記する。
【0041】
以上の処理をもう少し詳しく説明する。
紹介元の医師Bが、自身が使用するクライアント端末4のWebブラウザ41を操作して、病院Xのポータルサーバ(要求側サーバ1)にログインし、Webメニューから紹介状サービスを選択したとする。そうすると要求側サーバ1は、紹介状サービスを利用するために連携サーバ3に医師Bのユーザ情報を転送する。連携サーバ3は、転送された医師Bのユーザ情報をユーザ情報格納部34に格納されているユーザ情報と照合することにより医師Bが当該紹介状サービスを利用可能か否かを判定し、この判定結果を要求側サーバ1に返送する。要求側サーバ1は、上記判定の結果医師Bの正当性が確認されると、紹介状サービスを提供する提供側サーバ1に対し紹介状サービスの提供を依頼する。
【0042】
この実施形態では、図8に例示したように紹介状の差出人が医師B、受取人が医師C、対象者は患者Aであるため、紹介状属性データ(図3)には差出人のユーザIDと組織ID、受取人のユーザIDと組織ID、対象者のユーザIDからなる5種類のデータが事前に記述される。なお、患者Aは組織に属さないため、紹介状属性データ(図3)には患者Aの組織IDは記述されていない。
【0043】
また、紹介状アプリケーションアクセス制御ファイル(図6)には、アクセス権限として、差出人にはデータ登録・更新・削除を、また受取人にはデータ検索・参照をそれぞれ許可し、かつ対象者には紹介状データの検索権限のみを許可するように設定されたアクセス制御ルールが記述される。なお、このアクセス制御ルールは、紹介状サービスに対し事前に利用登録された自動認証ユーザに対してのみ設定される。
【0044】
なお、処方箋の場合は、例えば差出人は医師B、受取人は調剤薬局Zの薬剤師D、対象者は患者Aとなる。処方箋属性データは、紹介状属性データと同じデータ構造となる。処方箋に対しては、アクセス権限として、差出人にはデータ登録・更新・削除を、また受取人にはデータ検索・更新・参照をそれぞれ許可し、対象者にはデータ検索・参照のみを許可するように設定されたアクセス制御ルールが、アプリケーションアクセス制御ファイル(図6)に記述される。なお、紹介状の場合と同じく、差出人のデータ削除は状態によって変更する必要がある。
【0045】
提供側サーバ2は、要求側サーバ1において紹介状が作成され、当該紹介状データが転送されると、紹介状アプリケーション設定ファイルに、上記紹介状データの受け渡しに必要な情報を記述する。図7はその一例を示すものである。すなわち、紹介状を受け渡す準備として、先ずcheckポイントにおいて、差出人と受取人の情報に基づき現在のステータスに対するアクセス権限を確認する処理を呼び出す。checkポイントの時点では、まだ紹介状アプリケーションアクセス制御ファイル(図6)への登録は行なわれていない。アクセス権限が確認された後に、以下のregistポイントへ遷移し、紹介状管理データ及び紹介状属性データに関連する情報と、紹介状アプリケーションアクセス制御ファイル(図6)にデータが登録される。
【0046】
なお、他サーバから要求が来たときに独自のアクセス権限を設定する方法について以下に述べる。
提供側サーバ2では、様々なアプリケーションを提供しており、一般に他サーバ(要求側サーバ1)からの依頼に対して、アクセス制御ルールを用いて処理を実行している。しかし、要求側サーバ1からの要求に対し、信頼できるかどうか疑わしい場合がある。そこで、要求を実施する前に判定する方法として、サービスタイプという概念を導入する。これは使用したいサービスを表す識別子のことを指す。紹介状サービスのサービスタイプを"ReferralService"とする。
【0047】
サービス提供者は、紹介状独自のアクセス権限に基づき処理をすることをサービスタイプリストに記述する。ユーザがWebブラウザ41から紹介状サービスを利用する場合は、ユーザが入力する情報に加えてサービスタイプも合わせて提供側サーバ2に転送する。提供側サーバ2は、アクセス制御判定部222においてサービスタイプリストを検索し、"ReferralService"に対応する処理を呼び出して実行する。なお、サービスタイプリストの中に上記要求されたサービスタイプが存在しなければ、サービスタイプリストが途中で書き換えられた可能性があるため、処理を中断する。
【0048】
以上のように登録を行うことで、紹介状データを閲覧した紹介先の医師Cが、必要に応じて患者Aの診療データを見ながら、より詳細な診断を行なうことが可能となる。
【0049】
(3)患者による紹介状の閲覧
図10は、患者Aが自身についての紹介状を閲覧しようとする場合の処理手順と処理内容を示すフローチャートである。なお、このサービスを利用するに当たり、サーバ1を起動した時点で図4、図5及び図7に示した各ファイルが読み込まれる。
【0050】
紹介元病院Xの医師Bに罹っている患者Aが、自身のクライアント端末を操作して医療ポータルサーバ(要求側サーバ1)に対しWebアクセスし、これにより自身の紹介状の検索要求を入力したとする。このとき、紹介状検索要求の入力項目としては、患者自身の名前、紹介元病院Xにおける患者番号(診察券に印字されている番号)、医師情報(病院Xの担当医師B)が入力される。上記検索要求を受け取ると要求側サーバ1は、当該紹介状の検索要求を、紹介状サービスを提供している提供側サーバ2に転送する。
【0051】
上記紹介状検索要求を受け取った提供側サーバ2は、先ず連携サーバ3に対し要求元の患者Aについて問い合わせる。連携サーバ3は、上記問い合わせに対しユーザ情報格納部34を検索することにより要求元の患者Aの資格を確認する。そして、その結果を提供側サーバ2に返送する。
【0052】
提供側サーバ2は、上記連携サーバ3から問い合わせに対する確認結果を受け取り、この情報により患者Aが医師の資格を持たないと判定すると、続いてアクセス制御判定部222において紹介状アプリケーションアクセス制御ファイル(図6)をもとにアクセス制御ルールの記載内容を確認する。このとき、アクセス制御ルールとしては、「医師の資格を持たないユーザからのアクセス権限は検索結果リストのみ表示で内容は閲覧させない」旨が記載されている。このため提供側サーバ2は、図2に示した紹介状管理データから紹介状が発行されているかどうかのみを検索し、その検索結果をリスト化して要求側サーバ1に送信する。要求側サーバ1は、上記検索結果を表すリストを受け取ると、このリストを要求元の患者Aのクライアント端末4へ送信して表示させる。
【0053】
すなわち、提供側サーバ2は、検索を依頼したユーザの資格やアクセス権限の情報を最初に調べ、その結果に基づき紹介状データの検索を実行する。検索を行なう前のチェックで実行する処理と確認結果後の処理はデータの種類(電子フォーマット)に依存することから、電子フォーマットの種類を指定することで、実行処理の中で振り分けることが可能となる。
【0054】
[実施形態の効果]
以上詳述したようにこの実施形態では、要求側サーバ1からの登録要求に対し、提供側サーバ2がサービス対象となる紹介状等のデータに関連付けて、当該データに係るユーザが差出人、受取人、対象者の何れであるかを表す役割情報と、当該ユーザの所属組織と資格を表す属性情報と、当該データに対するアクセスの状況の変化を表すステータスを記憶する。またそれと共に、上記役割情報、属性情報及び更新後のステータスに基づいて設定されたアクセス制御ルールを記憶する。そしてこの状態で、要求側サーバ1からアクセス要求が送信されると、サービス対象となるデータに対するアクセス制御に先立ちアクセス制御ルールを確認し、このアクセス制御ルールに従い上記サービス対象となるデータに対するアクセス制御を実行するようにしている。
【0055】
したがって、ユーザの操作に応じて要求側サーバ1から紹介状データに対するアクセス要求が発生すると、ユーザの役割が差出人、受取人及び対象者の何れであるのかと、所属組織又は資格を考慮して設定されたアクセス制御ルールに従い、紹介状データに対するアクセス制御を適切に実行することができる。しかも、アクセス制御ルールは、紹介状データに対する最新のアクセス状況を表すステータスも考慮される。このため、ユーザの役割や属性が変わらなくても、紹介状データに対するアクセス状況(例えば作成済、閲覧済、編集済)が変化した場合には、この変化に応じて適切なアクセス制御を実行することが可能となる。さらに、サービス対象データの電子フォーマット種別を記憶しておくことで、サービス対象データ(紹介状、処方箋など)が複数種類ある場合でも、これらの種類ごとに、それに応じた適切なアクセス制御を実行することが可能となる。
【0056】
なお、この発明は上記実施形態に限定されるものではない。例えば、この発明のシステムは医療情報を流通するシステムに限るものではなく、サービス対象データについても紹介状や処方箋に限定されるものではない。例えば、会社で決裁文書を起案した場面において、起案者から自部署の部長に決裁確認をとるのであれば、差出人と対象者が起案者、受取人が自部署の部長になる。さらに自部署の部長決裁が完了した後で、次に総務部長に決裁を依頼する処理フローであれば、差出人が自部署の部長、受取人が総務部長、進捗を確認する起案者が対象者となる。すなわち、様々な場面で適用できるモデルであり、このモデルを適用することで、様々な種類の電子フォーマットに対して関係する人々の属性データおよび、各々の人に対するファイルのアクセス制御ルールを設定できる。
【0057】
その他、ネットワークの種類、各情報処理装置の種類や構成、その処理手順及び処理内容、図2乃至図6に示したデータの構成や項目の内容(電子フォーマットの構成)等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
【0058】
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0059】
1…要求側サーバ、2…提供側サーバ、3…連携サーバ、4…クライアント端末、5…ネットワーク、11,21,31…送受信部、12,21…アクセス制御部、121,221…Webアクセス抽出部、122,222,32…アクセス制御判定部、13,23,33…データアクセス部、14,24,34…ユーザ情報格納部、15,25,35…アプリケーションデータ格納部、36…システム情報格納部、37…マスタ情報格納部。
【技術分野】
【0001】
この発明は、複数の情報処理装置間でサービス対象データを流通させる情報流通システムとそのアクセス制御方法に関する。
【背景技術】
【0002】
近年、複数の医療機関がネットワークを介して連携し、医療サービスを市民に提供するサービスシステムが普及している。この種のシステムでは、個々の病院がそれぞれサーバを運用し、これらのサーバ間で情報をやり取りする。例えば、中核病院により検査した結果であるレントゲン写真やカルテの情報を、診療所等のかかりつけ医に開示することにより、中核病院とかかりつけ医が連携しながら治療を行なう場合には、双方で患者の情報を閲覧できなければならない。しかし、患者の情報は個人情報であるため、取り扱いを慎重にしなければならない。このため、個人情報に対して様々なアクセス制御方法が提案されている(例えば特許文献1、2又は3を参照)。
【0003】
また、中核病院と診療所で同じ患者の治療にあたるにしても、対象病原以外の情報を見せる必要はなく、適切なアクセス制御を設定することによってデータの開示範囲を絞ることが求められる。さらに、ガイドライン等により方針を制定されている例もある(例えば非特許文献1を参照)。
【0004】
一方、医療のIT化は益々進んでおり、取り扱える書類の種類も増え続けている。電子化するにあたり、フォーマットをどのようにしたらよいかといった議論が進んでおり、現時点ではフォーマット化されていなくても、近い将来正式フォーマットとしてシステムで取り扱わざるを得なくなる可能性もある(例えば非特許文献2を参照)。
【0005】
また、一般にユーザが様々なデータを作成して特定のサーバに格納し、この格納されたデータを別のユーザが閲覧するといったサービスはよく知られている。ブログやTwitter(登録商標)はその一例である。医療分野においても、ある病院で撮影されたレントゲン写真や診療カルテの情報を他の病院に開示してその閲覧権限を与えることにより、医療の質を向上させる試みがなされている(例えば非特許文献3を参照)。
【0006】
例えば、紹介状は紹介元の病院の医師によって作成され、紹介先の病院の医師が閲覧できる文書であるが、紹介先の病院の医師は自由に閲覧できても、書き込むことはできないといったアクセス制御が必要となる。現在の運用では、紹介状は封書により紹介元の医師から患者に渡される。ここで、患者は紹介状の中身を閲覧することはできないと仮定すると、紹介状サービスをITにより実現するには、患者に対しては自分宛の紹介状の有無を検索できても中身を閲覧できないようにするアクセス制御を行う必要がある。
【0007】
一方、処方箋については、発行された時点では患者がどの調剤薬局から薬を購入するかが分からないため、特定の人を指定することができない。すなわち、薬剤師という資格を持った人であれば、誰でも処方箋の電子データを閲覧できるようにしておかなければならない。また、長期に渡って服用する薬の場合には、量を分けて複数回に渡り購入できるようにすることも必要である。このとき、常に同じ薬剤師から購入しなければならないといった制約はないため、ここでも薬剤師という資格を持った人であれば誰でも処方箋の電子データにアクセスできるようにしなければならないし、薬を渡すたびに量や具体的な薬名を追記できるようにしなければならない。また、処方量をすべて渡し終わった後には、それ以上薬が渡らないような制約をかけなければならない。すなわち、閲覧や書き込みに対するアクセス制御も必要となる。処方箋は、処方されている期間には患者が閲覧できるようにしておかなければならないが、すべての薬を受領した後の処方箋は薬剤師が管理することになっているため、患者からは閲覧できないようにする必要がある。
【0008】
すなわち、紹介状や処方箋といったサービス対象データの種類によって、当該サービス対象データに対するアクセス制御ルールを異ならせる必要がある。また、アクセス制御ルールは、データの種類に止まらず、アクセスするユーザの役割や属性等によっても異ならせる必要がある。
【0009】
このうち、ユーザの役割に応じてアクセス制御を実施する方法としては、ロールベースアクセス制御が知られている。この技術は、会社等の組織内におけるロールに対するアクセスを割り当てるものとなっている。このため、紹介状や処方箋等のように、同一組織に所属しているとは限らないユーザについては適用できない。
【0010】
またアクセス制御ルールは、時間の経過、つまりデータをやり取りする段階によっても変化する。そのため、依頼された要求に対して、適切なアクセス権限を判断する処理を実施したうえで、本来やるべき処理を実行しなければならない。例えば紹介状であれば、受取人が紹介状を開封し、患者の治療を引き受ける状況になった時点で、紹介先病院の医師は紹介元病院の診療カルテやレントゲン撮影画像等の治療に必要な関係文書にアクセスできるようにしなければならない。しかし現状では、紹介元の医師が患者に対して紹介状と共に治療に必要なデータを手渡しし、患者が紹介状とこのデータを自ら紹介先の医師に持参することが一般的である。このため、診療データは個人情報であるにもかかわらず、紹介先病院の医師に安全に提示することが困難である。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特開2011−100361号公報
【特許文献2】特開2011−100362号公報
【特許文献3】特開2011−107779号公報
【非特許文献】
【0012】
【非特許文献1】「保存が義務付けられた診療録等の電子保存ガイドライン(第3版)」、一般社団法人 保健医療福祉情報システム工業会 セキュリティ委員会 電子保存WG、2011年4月、[平成23年10月31日検索]、インターネット<URL: http://www.jahis.jp/wp-content/uploads/st11-001.pdf>
【非特許文献2】「処方せんの電子化について」、厚生労働省 医療情報ネットワーク基盤検討会、平成20年7月、[平成23年10月31日検索]、インターネット<URL: http://www.mhlw.go.jp/shingi/2008/08/dl/s0801-6a.pdf>
【非特許文献3】NPO法人長崎地域医療連携ネットワークシステム、[平成23年10月31日検索]、インターネット<URL: http://www.ajisai-net.org/ajisai/>
【発明の概要】
【発明が解決しようとする課題】
【0013】
以上述べたように既存の技術では、サービス対象のデータをネットワークを介して流通させようとする際に、アクセスするユーザの役割や属性、さらには上記データの状況変化に対して適切なアクセス制御を行うことができない。
この発明は上記事情に着目してなされたもので、その目的とするところは、ユーザの役割と属性、さらには上記データの状況変化に応じて、当該データに対し適切なアクセス制御ルールに従いアクセス制御できるようにした情報流通システムとそのアクセス制御方法を提供することにある。
【課題を解決するための手段】
【0014】
上記目的を達成するためにこの発明の1つの観点は、サービスの要求側となる第1の情報処理装置と、サービスの提供側となる第2の情報処理装置と、これら第1及び第2の情報処理装置間をネットワークを介して連携させる第3の情報処理装置とを具備する情報流通システムにおいて、上記第2の情報処理装置により、はじめに上記第1の情報処理装置からの登録要求に応じ、サービス対象となるデータに関連付けて、当該データに係るユーザの役割を表す役割情報と、当該ユーザの属性情報と、当該データに対するアクセスの状況を表すステータス情報を記憶する。また上記サービス対象となるデータに対するアクセス制御が行われた場合には、その結果に応じて、上記記憶されているステータス情報を更新する。そしてこの状態で、上記第1の情報処理装置からアクセス要求が送信されると、サービス対象となるデータに対するアクセス制御に先立ち、上記アクセス要求の内容と、上記記憶された役割情報、属性情報及び更新後のステータス情報に基づいて、上記サービス対象となるデータに対するアクセス制御ルールを決定し、この決定されたアクセス制御ルールに従い上記サービス対象となるデータに対するアクセス制御を実行するようにしたものである。
【0015】
具体的には、上記役割情報としてユーザが差出人、受取人及び対象者の何れであるかを表す情報を記憶し、かつ属性情報として当該ユーザの所属組織を表す情報と所有資格を表す情報を記憶する。
【0016】
また、サービス対象となるデータの種類又はその電子フォーマットの種類が異なる場合には、この種類ごとにユーザの役割を表す役割情報、当該ユーザの属性情報及びアクセスの状況を表すステータス情報を記憶する。
【発明の効果】
【0017】
したがって、ユーザの操作に応じて要求側の情報処理装置からサービス対象データに対するアクセス要求が発生すると、予め記憶されたユーザの役割を表す情報と当該ユーザの属性情報をもとに適切なアクセス制御ルールが決定され、サービス対象データに対するアクセス制御が実行される。このため、ユーザの役割、例えば差出人、受取人及び対象者の何れであるのかと、属性、例えば所属組織又は資格を考慮してアクセス制御ルールが決定され、このアクセス制御ルールに従いサービス対象データに対するアクセス制御を実行することが可能となる。このアクセス制御の種類には、例えば記憶された情報リストの検索のみ、内容の閲覧のみ、或いは閲覧+編集が考えられる。
【0018】
また、アクセス制御ルールを決定する際には、サービス対象データに対する最新のアクセス状況を表すステータス情報も考慮される。このため、ユーザの役割や属性が変わらなくても、サービス対象データに対する現在のアクセス状況(例えば作成済、閲覧済、編集済)が変化した場合には、この変化に応じてその時々で適切なアクセス制御を実行することが可能となる。
【0019】
さらに、サービス対象データ又はその電子フォーマットが複数種類ある場合には、これらの種類ごとにユーザの役割、属性及びステータス情報が記憶され、アクセス制御ルールが決定されるので、サービス対象データ又はその電子フォーマットの種類が異なる場合でも、それに応じた適切なアクセス制御を実行することが可能となる。
【0020】
すなわちこの発明によれば、ユーザの役割と属性、さらには上記データの状況変化に応じて、当該データに対し適切なアクセス制御ルールに従いアクセス制御できるようにした情報流通システムとそのアクセス制御方法を提供することができる。
【図面の簡単な説明】
【0021】
【図1】この発明の一実施形態に係る情報流通システムの機能構成を示すブロック図。
【図2】図1に示したシステムのサーバに記憶される紹介状管理データの一例を示す図。
【図3】図1に示したシステムのサーバに記憶される紹介状属性データの一例を示す図。
【図4】図1に示したシステムの連携サーバに記憶される紹介状アプリケーションアクセス制御ファイルの一例を示す図。
【図5】図1に示したシステムの要求側サーバに記憶される紹介状アプリケーションアクセス制御ファイルの一例を示す図。
【図6】図1に示したシステムの提供側サーバに記憶される紹介状アプリケーションアクセス制御ファイルの一例を示す図。
【図7】紹介状アプリケーション設定ファイルの一例を示す図。
【図8】図1に示したシステムによる紹介状サービスの概要を示す図。
【図9】図1に示したシステムにおいて実行される、医師による紹介状登録・閲覧権限付与処理のシーケンスを示す図。
【図10】図1に示したシステムにおいて実行される、患者に対する紹介状サービス処理のシーケンスを示す図。
【発明を実施するための形態】
【0022】
以下、図面を参照してこの発明に係わる実施形態を説明する。
[構成]
図1は、この発明の一実施形態に係る情報流通システムの機能構成を示すブロック図である。
情報流通システムは、クライアント端末4が接続される複数の要求側サーバ1と、サービスを提供する複数の提供側サーバ2と、連携サーバ3とを具備し、これらのサーバ1,2,3はネットワーク5を介して相互に通信可能となっている。
【0023】
クライアント端末4は、例えば医師や患者等のユーザが使用するパーソナル・コンピュータからなり、Webブラウザ41を有している。ユーザは、Webブラウザ41を使って要求側サーバ1及び提供側サーバ2にアクセスする。
【0024】
要求側サーバ1は、例えば病院のポータルサーバ或いは患者が利用する医療ポータルサーバからなり、クライアント端末4からの要求を受け付けると、この要求を自サーバが処理できる場合には対応するサービスを実行し、処理できない場合には該当する提供側サーバ2に上記要求を転送する。
【0025】
この機能を実現するために要求側サーバ1は、送受信部11と、アクセス制御部12と、データアクセス部13と、ユーザ情報格納部14と、アプリケーションデータ格納部15を備える。送受信部11は、クライアント端末4、提供側サーバ2及び連携サーバ3との間でネットワーク5を介して各種データの送受信を行う。
【0026】
アクセス制御部12は、Webアクセス抽出部121及びアクセス制御判定部122を有する。Webアクセス抽出部121は、クライアント端末4のWebブラウザ41から要求されたHTTPリクエストを受け付け、リクエストの内容を解析する。アクセス制御判定部122は、ユーザのデータへのアクセス可否を判断する。このアクセス可否の判断のため、データアクセス部13を介してユーザ情報格納部14に対し問い合わせを行う。ユーザ情報格納部14は、上記アクセス可否の判断に必要なユーザの個人情報を格納しており、上記問い合わせに対する回答をデータアクセス部13を介してアクセス制御判定部122に返す。アプリケーションデータ格納部15には、自サーバ上で実行されるアプリケーションが用いるアクセス制御ファイル、設定ファイル及び個別データが格納されている。
【0027】
提供側サーバ2は、例えば医療情報の流通サービスを提供するサービス事業者が運用するサーバであり、上記要求側サーバ1とほぼ同じ機能、つまり送受信部21と、アクセス制御部22と、データアクセス部23と、ユーザ情報格納部24と、アプリケーションデータ格納部25を備えている。
【0028】
連携サーバ3は、上記要求側サーバ1と提供側サーバ2との間を連携させるためのもので、送受信部31と、アクセス制御判定部32と、データアクセス部33と、ユーザ情報格納部34と、アプリケーションデータ格納部35と、システム情報格納部36と、マスタ情報格納部37を備えている。
【0029】
システム情報格納部36には、情報流通システムを構成する各サーバが有するシステム情報や使用する認証方式を表す情報が格納されている。マスタ情報格納部37には、情報流通システムに対し利用登録した全てのユーザについて、そのユーザIDに関連付けて当該ユーザが所属する組織や資格を表す属性情報がマスタ情報として格納される。登録済のユーザが新たに資格を取得した場合には、上記マスタ情報が更新される。ユーザ情報格納部34には、上記マスタ情報格納部37に格納されたマスタ情報のうちユーザの属性情報が格納され、さらにユーザが利用できるサービスのリストが格納される。アプリケーションデータ格納部35には、自サーバ上で実行されるアプリケーションが用いるアクセス制御ファイル、設定ファイル及び個別データが格納される。
【0030】
連携サーバ3は、要求側サーバ1又は提供側サーバ2から、ユーザが利用可能なサービスについての問い合わせを受信すると、上記ユーザ情報格納部34に格納されたサービスリストを検索して、当該ユーザが要求するサービスを利用可能か否かを判断し、その結果を要求元の要求側サーバ1又は提供側サーバ2へ回答する。
【0031】
なお、以上述べた要求側サーバ1、提供側サーバ2及び連携サーバ3による基本的な機能とその動作については、特開2010−86080号公報「分散情報連携システムおよび分散情報連携方法」に詳しく記載されている。
【0032】
次に、本実施形態に係る情報流通システムが例えば医療従事者用インターネットサービスを実施する上で使用する各種管理データの構成を説明する。
提供側サーバ2がサービスを提供する医療従事者用インターネットサービスのうち、紹介状に関するサービスを利用するユーザは、紹介状を発行する医師、紹介状を受領する医師、紹介状を発行される患者の3ユーザである。
【0033】
紹介状サービスでは、医師にはその属性として組織と資格が付与される。一方、患者は個人ではあるもののある組織に所属していたり資格を持っていることもあるが、紹介状サービスを利用するに当たっては、どこの組織にも属さずまた資格の有無も関係しないため、これらの情報を属性として持たない。また、医療従事者用インターネットサービスには様々なサービスがあるが、そのうちの紹介状サービスを利用するユーザには当該紹介状サービスのみを利用可能な権限を与える。このユーザを自動認証ユーザと呼称する。紹介状サービスを提供するシステムが信頼するのはこの自動認証ユーザだけであり、自動認証ユーザは組織も資格も持たない特別なユーザという扱いとする。
【0034】
紹介状管理データ、紹介状属性データ及びアプリケーション検索設定ファイルといった、特定のアプリケーションを実行するときに用いる設定ファイルは、提供するサービス種別に依存するため提供側サーバ2のアプリケーションデータ格納部25に格納される。これに対しアクセス制御ファイルは、要求側サーバ1、提供側サーバ2及び連携サーバ3がそれぞれアクセス制御判定処理を実施するときに用いるため、それぞれのサーバ1,2,3のアプリケーションデータ格納部15,25,35に格納される。こちらのアプリケーションデータ格納部15,25,35に格納される各管理データは、紹介状サービスを提供するに際に事前にユーザにより設定され、必要に応じて適宜アクセス制御項目の登録、更新、削除が行なわれる。
【0035】
図2及び図3は、それぞれ紹介状サービスを提供する提供側サーバ2に格納される紹介状管理データ及び紹介状属性データの記述例を示すものである。同図に示すように紹介状管理データは、データの状態を表すステータスと、実行ユーザ名と、文書IDと、シーケンス番号と、フォーマット種別と、実データと、署名者のユーザIDと、登録日時及び更新日時と、削除フラグとから構成される。また紹介状属性データは、データの状態を表すステータスと、実行ユーザ名と、文書IDと、差出人のユーザIDと、差出人の組織IDと、受取人のユーザIDと、受取人の組織IDと、対象者のユーザIDと、対象者の組織IDと、状態と、発行日時と、登録日時及び更新日時と、アクセス制御ルール番号とから構成される。
【0036】
一方図4、図5及び図6は、それぞれ連携サーバ3、病院Xのサーバ(要求側サーバ1)及び提供側サーバ2に格納される紹介状アプリケーションアクセス制御ファイルの記述例を示すものである。同図に示すように紹介状アプリケーションアクセス制御ファイルは、データの状態を表すステータスと、実行ユーザ名と、アクセス制御ルール名と、ルール格納場所と、アクセス対象のデータ名と、開示先となる条件ユーザと、開示先となる条件組織と、開示先の資格と、検索の可否及び更新の可否を表すフラグとを含む。なお、このうち図4及び図5に記述されている、ユーザの役割や属性、ステータス等の前提条件に対するアクセス制御ルールは、紹介状データを閲覧する許可を与えたタイミングで更新される。また、図6に記述されているアクセス制御ルールは、紹介状管理データを提供側サーバ2に登録するタイミングで更新される。
【0037】
[動作]
次に、以上のように構成された情報流通システムによるアクセス制御動作を説明する。
ここでは、例えば図8に示すように、病院Xの医師Bが患者Aの紹介状を作成して紹介状サービスに登録し、この紹介状を紹介先の病院Yの医師Cが紹介状サービス受け取ると共に、患者Aが自身の紹介状の流通状態を確認する場合を例にとって説明を行う。
【0038】
(1)紹介状データの登録・閲覧権限付与
図9は、医師Bが患者Aの紹介状を発行し登録する場合の処理手順と処理内容を示すフローチャートである。なお、システムを起動すると、連携サーバ3、要求側サーバ1及び提供側サーバ2では、先ず図4、図5及び図7に示した紹介状アプリケーションアクセス制御ファイル及び紹介状アプリケーション設定ファイルが各格納部から読込まれる。
【0039】
この状態で、医師Bが自身のクライアント端末4において患者Aの紹介状を作成し、病院Xのポータルサーバ(要求側サーバ1)に対しWebアクセスすると、要求側サーバ1から提供側サーバ2に対して紹介状を登録するために必要となる文書IDの払い出し要求が送られる。提供側サーバ2は、要求された文書IDを払い出した後、図2に示す照会状管理データに当該文書IDと重複するIDが登録されていないか否かを確認する。その結果、重複があればエラーメッセージを要求側サーバ1へ返送して処理を終了する。
【0040】
これに対し重複がないことが確認されると、提供側サーバ2は紹介状属性データ(図3に例示)に、文書ID、実行ユーザ名、ステータス及び紹介状の中身である実データ等の必要な項目データを書き込む。また、この作成した紹介状に対して誰がアクセスしてよいかを判断するためのアクセス制御ルールを、紹介状アプリケーションアクセス制御ファイル(図6)に追記する。さらに、ユーザの役割を表す紹介状の差出人、受取人及び対象者のユーザIDとその所属組織のIDを、紹介状属性データ(図3)に登録する。そして、最後に要求側サーバ1が、個々の紹介状に対して、関連のある診療データや検査結果を閲覧してもよいかどうかを制御するためのアクセス制御ルールを、紹介状アプリケーションアクセス制御ファイル(図5)に追記する。
【0041】
以上の処理をもう少し詳しく説明する。
紹介元の医師Bが、自身が使用するクライアント端末4のWebブラウザ41を操作して、病院Xのポータルサーバ(要求側サーバ1)にログインし、Webメニューから紹介状サービスを選択したとする。そうすると要求側サーバ1は、紹介状サービスを利用するために連携サーバ3に医師Bのユーザ情報を転送する。連携サーバ3は、転送された医師Bのユーザ情報をユーザ情報格納部34に格納されているユーザ情報と照合することにより医師Bが当該紹介状サービスを利用可能か否かを判定し、この判定結果を要求側サーバ1に返送する。要求側サーバ1は、上記判定の結果医師Bの正当性が確認されると、紹介状サービスを提供する提供側サーバ1に対し紹介状サービスの提供を依頼する。
【0042】
この実施形態では、図8に例示したように紹介状の差出人が医師B、受取人が医師C、対象者は患者Aであるため、紹介状属性データ(図3)には差出人のユーザIDと組織ID、受取人のユーザIDと組織ID、対象者のユーザIDからなる5種類のデータが事前に記述される。なお、患者Aは組織に属さないため、紹介状属性データ(図3)には患者Aの組織IDは記述されていない。
【0043】
また、紹介状アプリケーションアクセス制御ファイル(図6)には、アクセス権限として、差出人にはデータ登録・更新・削除を、また受取人にはデータ検索・参照をそれぞれ許可し、かつ対象者には紹介状データの検索権限のみを許可するように設定されたアクセス制御ルールが記述される。なお、このアクセス制御ルールは、紹介状サービスに対し事前に利用登録された自動認証ユーザに対してのみ設定される。
【0044】
なお、処方箋の場合は、例えば差出人は医師B、受取人は調剤薬局Zの薬剤師D、対象者は患者Aとなる。処方箋属性データは、紹介状属性データと同じデータ構造となる。処方箋に対しては、アクセス権限として、差出人にはデータ登録・更新・削除を、また受取人にはデータ検索・更新・参照をそれぞれ許可し、対象者にはデータ検索・参照のみを許可するように設定されたアクセス制御ルールが、アプリケーションアクセス制御ファイル(図6)に記述される。なお、紹介状の場合と同じく、差出人のデータ削除は状態によって変更する必要がある。
【0045】
提供側サーバ2は、要求側サーバ1において紹介状が作成され、当該紹介状データが転送されると、紹介状アプリケーション設定ファイルに、上記紹介状データの受け渡しに必要な情報を記述する。図7はその一例を示すものである。すなわち、紹介状を受け渡す準備として、先ずcheckポイントにおいて、差出人と受取人の情報に基づき現在のステータスに対するアクセス権限を確認する処理を呼び出す。checkポイントの時点では、まだ紹介状アプリケーションアクセス制御ファイル(図6)への登録は行なわれていない。アクセス権限が確認された後に、以下のregistポイントへ遷移し、紹介状管理データ及び紹介状属性データに関連する情報と、紹介状アプリケーションアクセス制御ファイル(図6)にデータが登録される。
【0046】
なお、他サーバから要求が来たときに独自のアクセス権限を設定する方法について以下に述べる。
提供側サーバ2では、様々なアプリケーションを提供しており、一般に他サーバ(要求側サーバ1)からの依頼に対して、アクセス制御ルールを用いて処理を実行している。しかし、要求側サーバ1からの要求に対し、信頼できるかどうか疑わしい場合がある。そこで、要求を実施する前に判定する方法として、サービスタイプという概念を導入する。これは使用したいサービスを表す識別子のことを指す。紹介状サービスのサービスタイプを"ReferralService"とする。
【0047】
サービス提供者は、紹介状独自のアクセス権限に基づき処理をすることをサービスタイプリストに記述する。ユーザがWebブラウザ41から紹介状サービスを利用する場合は、ユーザが入力する情報に加えてサービスタイプも合わせて提供側サーバ2に転送する。提供側サーバ2は、アクセス制御判定部222においてサービスタイプリストを検索し、"ReferralService"に対応する処理を呼び出して実行する。なお、サービスタイプリストの中に上記要求されたサービスタイプが存在しなければ、サービスタイプリストが途中で書き換えられた可能性があるため、処理を中断する。
【0048】
以上のように登録を行うことで、紹介状データを閲覧した紹介先の医師Cが、必要に応じて患者Aの診療データを見ながら、より詳細な診断を行なうことが可能となる。
【0049】
(3)患者による紹介状の閲覧
図10は、患者Aが自身についての紹介状を閲覧しようとする場合の処理手順と処理内容を示すフローチャートである。なお、このサービスを利用するに当たり、サーバ1を起動した時点で図4、図5及び図7に示した各ファイルが読み込まれる。
【0050】
紹介元病院Xの医師Bに罹っている患者Aが、自身のクライアント端末を操作して医療ポータルサーバ(要求側サーバ1)に対しWebアクセスし、これにより自身の紹介状の検索要求を入力したとする。このとき、紹介状検索要求の入力項目としては、患者自身の名前、紹介元病院Xにおける患者番号(診察券に印字されている番号)、医師情報(病院Xの担当医師B)が入力される。上記検索要求を受け取ると要求側サーバ1は、当該紹介状の検索要求を、紹介状サービスを提供している提供側サーバ2に転送する。
【0051】
上記紹介状検索要求を受け取った提供側サーバ2は、先ず連携サーバ3に対し要求元の患者Aについて問い合わせる。連携サーバ3は、上記問い合わせに対しユーザ情報格納部34を検索することにより要求元の患者Aの資格を確認する。そして、その結果を提供側サーバ2に返送する。
【0052】
提供側サーバ2は、上記連携サーバ3から問い合わせに対する確認結果を受け取り、この情報により患者Aが医師の資格を持たないと判定すると、続いてアクセス制御判定部222において紹介状アプリケーションアクセス制御ファイル(図6)をもとにアクセス制御ルールの記載内容を確認する。このとき、アクセス制御ルールとしては、「医師の資格を持たないユーザからのアクセス権限は検索結果リストのみ表示で内容は閲覧させない」旨が記載されている。このため提供側サーバ2は、図2に示した紹介状管理データから紹介状が発行されているかどうかのみを検索し、その検索結果をリスト化して要求側サーバ1に送信する。要求側サーバ1は、上記検索結果を表すリストを受け取ると、このリストを要求元の患者Aのクライアント端末4へ送信して表示させる。
【0053】
すなわち、提供側サーバ2は、検索を依頼したユーザの資格やアクセス権限の情報を最初に調べ、その結果に基づき紹介状データの検索を実行する。検索を行なう前のチェックで実行する処理と確認結果後の処理はデータの種類(電子フォーマット)に依存することから、電子フォーマットの種類を指定することで、実行処理の中で振り分けることが可能となる。
【0054】
[実施形態の効果]
以上詳述したようにこの実施形態では、要求側サーバ1からの登録要求に対し、提供側サーバ2がサービス対象となる紹介状等のデータに関連付けて、当該データに係るユーザが差出人、受取人、対象者の何れであるかを表す役割情報と、当該ユーザの所属組織と資格を表す属性情報と、当該データに対するアクセスの状況の変化を表すステータスを記憶する。またそれと共に、上記役割情報、属性情報及び更新後のステータスに基づいて設定されたアクセス制御ルールを記憶する。そしてこの状態で、要求側サーバ1からアクセス要求が送信されると、サービス対象となるデータに対するアクセス制御に先立ちアクセス制御ルールを確認し、このアクセス制御ルールに従い上記サービス対象となるデータに対するアクセス制御を実行するようにしている。
【0055】
したがって、ユーザの操作に応じて要求側サーバ1から紹介状データに対するアクセス要求が発生すると、ユーザの役割が差出人、受取人及び対象者の何れであるのかと、所属組織又は資格を考慮して設定されたアクセス制御ルールに従い、紹介状データに対するアクセス制御を適切に実行することができる。しかも、アクセス制御ルールは、紹介状データに対する最新のアクセス状況を表すステータスも考慮される。このため、ユーザの役割や属性が変わらなくても、紹介状データに対するアクセス状況(例えば作成済、閲覧済、編集済)が変化した場合には、この変化に応じて適切なアクセス制御を実行することが可能となる。さらに、サービス対象データの電子フォーマット種別を記憶しておくことで、サービス対象データ(紹介状、処方箋など)が複数種類ある場合でも、これらの種類ごとに、それに応じた適切なアクセス制御を実行することが可能となる。
【0056】
なお、この発明は上記実施形態に限定されるものではない。例えば、この発明のシステムは医療情報を流通するシステムに限るものではなく、サービス対象データについても紹介状や処方箋に限定されるものではない。例えば、会社で決裁文書を起案した場面において、起案者から自部署の部長に決裁確認をとるのであれば、差出人と対象者が起案者、受取人が自部署の部長になる。さらに自部署の部長決裁が完了した後で、次に総務部長に決裁を依頼する処理フローであれば、差出人が自部署の部長、受取人が総務部長、進捗を確認する起案者が対象者となる。すなわち、様々な場面で適用できるモデルであり、このモデルを適用することで、様々な種類の電子フォーマットに対して関係する人々の属性データおよび、各々の人に対するファイルのアクセス制御ルールを設定できる。
【0057】
その他、ネットワークの種類、各情報処理装置の種類や構成、その処理手順及び処理内容、図2乃至図6に示したデータの構成や項目の内容(電子フォーマットの構成)等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
【0058】
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0059】
1…要求側サーバ、2…提供側サーバ、3…連携サーバ、4…クライアント端末、5…ネットワーク、11,21,31…送受信部、12,21…アクセス制御部、121,221…Webアクセス抽出部、122,222,32…アクセス制御判定部、13,23,33…データアクセス部、14,24,34…ユーザ情報格納部、15,25,35…アプリケーションデータ格納部、36…システム情報格納部、37…マスタ情報格納部。
【特許請求の範囲】
【請求項1】
サービスの要求側となる第1の情報処理装置と、サービスの提供側となる第2の情報処理装置と、これら第1及び第2の情報処理装置間をネットワークを介して連携させる第3の情報処理装置とを具備する情報流通システムにおいて、
前記第2の情報処理装置は、
前記第1の情報処理装置からの登録要求に応じ、サービス対象となるデータに関連付けて、当該データに係るユーザの役割を表す役割情報と、当該ユーザの属性情報と、当該データに対するアクセスの状況を表すステータス情報を記憶する記憶手段と、
前記サービス対象となるデータに対するアクセス制御の結果に応じて、前記記憶されているステータス情報を更新する更新手段と、
前記第1の情報処理装置からのアクセス要求に応じ、サービス対象となるデータに対するアクセス制御に先立ち、前記アクセス要求の内容と、前記記憶された役割情報、属性情報及び更新後のステータス情報に基づいて、前記サービス対象となるデータに対するアクセス制御ルールを決定する決定手段と、
前記決定されたアクセス制御ルールに従い、前記サービス対象となるデータに対するアクセス制御を実行する実行手段と
を具備することを特徴とする情報流通システム。
【請求項2】
前記記憶手段は、前記役割情報としてユーザが差出人、受取人及び対象者の何れであるかを表す情報を記憶し、かつ属性情報として当該ユーザの所属組織を表す情報と所有する資格を表す情報を記憶することを特徴とする請求項1記載の情報流通システム。
【請求項3】
前記記憶手段は、サービス対象となるデータ又はその電子フォーマットが複数種類存在する場合に、この種類ごとにユーザの役割を表す役割情報、当該ユーザの属性情報及びアクセスの状況を表すステータス情報を記憶することを特徴とする請求項1又は2記載の情報流通システム。
【請求項4】
サービスの要求側となる第1の情報処理装置と、サービスの提供側となる第2の情報処理装置と、これら第1及び第2の情報処理装置間をネットワークを介して連携させる第3の情報処理装置とを具備する情報流通システムで使用されるアクセス制御方法において、
前記第1の情報処理装置が、ユーザによる情報登録要求を受付け、当該登録要求を前記ネットワークを介して前記第2の情報処理装置へ送信する過程と、
前記第2の情報処理装置が、前記第1の情報処理装置から送られた登録要求に応じ、サービス対象となるデータに関連付けて、当該データに係るユーザの役割を表す役割情報と、当該ユーザの属性情報と、当該データに対するアクセスの状況を表すステータス情報を、記憶手段に記憶させる過程と、
前記第2の情報処理装置が、前記サービス対象となるデータに対するアクセス制御の結果に応じて、前記記憶手段に記憶されているステータス情報を更新する過程と、
前記第1の情報処理装置が、ユーザによるデータアクセス要求を受付け、当該データアクセス要求を前記ネットワークを介して前記第2の情報処理装置へ送信する過程と、
前記第2の情報処理装置が、前記アクセス要求元のユーザについての認証要求を前記ネットワークを介して前記第3の情報処理装置へ送信し、その認証結果を表す情報を受信する過程と、
前記第2の情報処理装置が、前記認証結果をもとに要求元のユーザの正当性が確認された場合に、前記サービス対象となるデータに対するアクセス制御に先立ち、前記アクセス要求の内容と、前記記憶された役割情報、属性情報及び更新後のステータス情報に基づいて、前記サービス対象となるデータに対するアクセス制御ルールを決定する過程と、
前記第2の情報処理装置が、前記決定されたアクセス制御ルールに従い、前記サービス対象となるデータに対するアクセス制御を実行する過程と
を具備することを特徴とするアクセス制御方法。
【請求項5】
前記記憶させる過程は、前記役割情報としてユーザが差出人、受取人及び対象者の何れであるかを表す情報を記憶手段に記憶させ、かつ属性情報として当該ユーザの所属組織を表す情報と所有する資格を表す情報を記憶手段に記憶させることを特徴とする請求項4記載のアクセス制御方法。
【請求項6】
前記記憶させる過程は、サービス対象となるデータ又はその電子フォーマットが複数種類存在する場合には、この種類ごとに前記ユーザの役割を表す役割情報、当該ユーザの属性情報及びアクセスの状況を表すステータス情報を記憶することを特徴とする請求項4又は5記載のアクセス制御方法。
【請求項1】
サービスの要求側となる第1の情報処理装置と、サービスの提供側となる第2の情報処理装置と、これら第1及び第2の情報処理装置間をネットワークを介して連携させる第3の情報処理装置とを具備する情報流通システムにおいて、
前記第2の情報処理装置は、
前記第1の情報処理装置からの登録要求に応じ、サービス対象となるデータに関連付けて、当該データに係るユーザの役割を表す役割情報と、当該ユーザの属性情報と、当該データに対するアクセスの状況を表すステータス情報を記憶する記憶手段と、
前記サービス対象となるデータに対するアクセス制御の結果に応じて、前記記憶されているステータス情報を更新する更新手段と、
前記第1の情報処理装置からのアクセス要求に応じ、サービス対象となるデータに対するアクセス制御に先立ち、前記アクセス要求の内容と、前記記憶された役割情報、属性情報及び更新後のステータス情報に基づいて、前記サービス対象となるデータに対するアクセス制御ルールを決定する決定手段と、
前記決定されたアクセス制御ルールに従い、前記サービス対象となるデータに対するアクセス制御を実行する実行手段と
を具備することを特徴とする情報流通システム。
【請求項2】
前記記憶手段は、前記役割情報としてユーザが差出人、受取人及び対象者の何れであるかを表す情報を記憶し、かつ属性情報として当該ユーザの所属組織を表す情報と所有する資格を表す情報を記憶することを特徴とする請求項1記載の情報流通システム。
【請求項3】
前記記憶手段は、サービス対象となるデータ又はその電子フォーマットが複数種類存在する場合に、この種類ごとにユーザの役割を表す役割情報、当該ユーザの属性情報及びアクセスの状況を表すステータス情報を記憶することを特徴とする請求項1又は2記載の情報流通システム。
【請求項4】
サービスの要求側となる第1の情報処理装置と、サービスの提供側となる第2の情報処理装置と、これら第1及び第2の情報処理装置間をネットワークを介して連携させる第3の情報処理装置とを具備する情報流通システムで使用されるアクセス制御方法において、
前記第1の情報処理装置が、ユーザによる情報登録要求を受付け、当該登録要求を前記ネットワークを介して前記第2の情報処理装置へ送信する過程と、
前記第2の情報処理装置が、前記第1の情報処理装置から送られた登録要求に応じ、サービス対象となるデータに関連付けて、当該データに係るユーザの役割を表す役割情報と、当該ユーザの属性情報と、当該データに対するアクセスの状況を表すステータス情報を、記憶手段に記憶させる過程と、
前記第2の情報処理装置が、前記サービス対象となるデータに対するアクセス制御の結果に応じて、前記記憶手段に記憶されているステータス情報を更新する過程と、
前記第1の情報処理装置が、ユーザによるデータアクセス要求を受付け、当該データアクセス要求を前記ネットワークを介して前記第2の情報処理装置へ送信する過程と、
前記第2の情報処理装置が、前記アクセス要求元のユーザについての認証要求を前記ネットワークを介して前記第3の情報処理装置へ送信し、その認証結果を表す情報を受信する過程と、
前記第2の情報処理装置が、前記認証結果をもとに要求元のユーザの正当性が確認された場合に、前記サービス対象となるデータに対するアクセス制御に先立ち、前記アクセス要求の内容と、前記記憶された役割情報、属性情報及び更新後のステータス情報に基づいて、前記サービス対象となるデータに対するアクセス制御ルールを決定する過程と、
前記第2の情報処理装置が、前記決定されたアクセス制御ルールに従い、前記サービス対象となるデータに対するアクセス制御を実行する過程と
を具備することを特徴とするアクセス制御方法。
【請求項5】
前記記憶させる過程は、前記役割情報としてユーザが差出人、受取人及び対象者の何れであるかを表す情報を記憶手段に記憶させ、かつ属性情報として当該ユーザの所属組織を表す情報と所有する資格を表す情報を記憶手段に記憶させることを特徴とする請求項4記載のアクセス制御方法。
【請求項6】
前記記憶させる過程は、サービス対象となるデータ又はその電子フォーマットが複数種類存在する場合には、この種類ごとに前記ユーザの役割を表す役割情報、当該ユーザの属性情報及びアクセスの状況を表すステータス情報を記憶することを特徴とする請求項4又は5記載のアクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2013−114598(P2013−114598A)
【公開日】平成25年6月10日(2013.6.10)
【国際特許分類】
【出願番号】特願2011−262588(P2011−262588)
【出願日】平成23年11月30日(2011.11.30)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【公開日】平成25年6月10日(2013.6.10)
【国際特許分類】
【出願日】平成23年11月30日(2011.11.30)
【出願人】(000004226)日本電信電話株式会社 (13,992)
[ Back to top ]