携帯情報端末権限管理システム及び該システムを具備した医用診断装置
【課題】高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、情報の取り扱い場所に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる携帯情報端末権限管理システム及び該システムを具備した医用診断装置を提供する。
【解決手段】携帯情報端末1が存在する場所を識別する場所識別手段3b及び場所識別手段3bによって識別された携帯情報端末1の場所情報を権限判定情報として取得する権限判定情報取得手段3cを設ける権限管理手段3と、権限管理手段3より送信された権限判定情報から携帯情報端末1に格納されている情報にアクセスする権限の有無を判断する業務管理手段2とを備える。
【解決手段】携帯情報端末1が存在する場所を識別する場所識別手段3b及び場所識別手段3bによって識別された携帯情報端末1の場所情報を権限判定情報として取得する権限判定情報取得手段3cを設ける権限管理手段3と、権限管理手段3より送信された権限判定情報から携帯情報端末1に格納されている情報にアクセスする権限の有無を判断する業務管理手段2とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、携帯情報端末権限管理システム及び該システムを具備した医用診断装置に関する。
【背景技術】
【0002】
近年では、例えば、患者の検査結果をデータ処理してモニタに表示したり、従来は紙で保存していた診療録等の電子媒体による保存(いわゆる電子カルテ)のように、診察や検査に際して情報端末や情報端末の持つ機能を搭載した医用診断装置を使用することが広く行われるようになってきた。それに伴って、医師や看護師等の医療従事者が往診等、医療機関の外で診察や検査等を行う場合もこれらの電子的に蓄積された医療情報を使用することがある。このような場合、いわば医療情報を医療機関外に持ち出すことになるため、最も機密性の高い個人情報の一つである医療情報へのアクセスは厳重に管理されなければならない。
【0003】
この点に関して、被保護対象を利用するときに、取得された自身の位置情報に基づき比較暗号を生成するとともに、生成された比較暗号と予め初期設定のときに生成されている基準暗号とを比較し、これら基準暗号と比較暗号とを照合して一致した場合に限って被保護対象を利用可能とする提案がなされている(特許文献1参照)。この発明では、被保護対象の初期設定を行う際に位置情報を使用して基準暗号を生成するとされており、被保護対象が初期設定の場所から盗難等により離れた場合に装置を使用できなくすることによって被保護対象の持ち出しや盗難の被害を防ぐものである。
【0004】
また、予め医療情報等の秘匿情報が利用可能なエリアを許容エリアとして登録しておき、秘匿情報が格納されている端末装置が盗難或いは、紛失され、端末装置が取得した位置情報からこの許容エリア外にこの端末装置が存在する場合には、端末装置に格納されている秘匿情報を削除することで不正使用を未然に防止することができる端末装置等も提案されている(特許文献2参照)。
【特許文献1】特開2004−178209号公報
【特許文献2】特開2005−339255号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示されている発明では、被保護対象に使用に当たっては、基準暗号と比較暗号とが一致、すなわち基準暗号が生成された場所と同一の場所でなければ使用することができず、被保護対象が携帯情報端末である場合には用いることができない。特に、上述のように、医療従事者が往診等において携帯情報端末を使用する場合は、患者の自宅等、医療機関外での使用が前提となるため、基準暗号が生成された場所と同一場所での使用に限定されると往診等の際には電子的に蓄積された医療情報を使用することができず不都合が生じる場合が発生する。
【0006】
また、特許文献2において開示されている発明では、予め許容エリアとして登録されている場所以外では秘匿情報が削除されてしまうため、許容エリア外で医療情報を使用することができないことになる。従って、例えば急患等、緊急時に携帯情報端末内に格納された医療情報を使用しての診察等ができなくなる。
【0007】
さらに、いずれの発明においても高度なセキュリティーを確保するため、被保護対象そのものの使用を禁止する、或いは、秘匿情報を削除する等する。このことは、情報の利用に関していわば、情報を利用できるか利用できないかの二者択一にしか選択することができず、適切な利用者が情報の取り扱い場所や状況に合わせて利用することができる医療情報を限定する等、きめ細かな対応をとることまでは考慮されていない。
【0008】
本発明は上記課題を解決するためになされたものであり、本発明の目的は、高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、情報の取り扱い場所に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる携帯情報端末権限管理システム及び該システムを具備した医用診断装置を提供することである。
【課題を解決するための手段】
【0009】
本発明の実施の形態に係る特徴は、携帯情報端末権限管理システムにおいて、携帯情報端末が存在する場所を識別する場所識別手段及び場所識別手段によって識別された携帯情報端末の場所情報を権限判定情報として取得する権限判定情報取得手段を設ける権限管理手段と、権限管理手段より送信された権限判定情報から携帯情報端末に格納されている情報にアクセスする権限の有無を判断する業務管理手段とを備える。
【発明の効果】
【0010】
本発明によれば、高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、情報の取り扱い場所に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる携帯情報端末権限管理システム及び該システムを具備した医用診断装置を提供することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態について図面を参照して詳細に説明する。
【0012】
(第1の実施の形態)
本発明の実施の形態における携帯情報端末権限管理システムにおいて使用される携帯情報端末1は、図1に示すように、CPU(Central Processing Unit)1aと、ROM(Read Only Memory)1bと、RAM(Random Access Memory)1c及び入出力インターフェイス1dがバス1eを介して接続されている。入出力インターフェイス1dには、入力手段1fと、表示手段1gと、通信制御手段1hと、記憶手段1iと、リムーバブルディスク1jとが接続されている。
【0013】
なお、以下の説明においては、携帯情報端末権限管理システムを携帯情報端末1に搭載した場合を例に挙げて説明を行うが、この携帯情報端末権限管理システムを、例えば、移動可能な携帯型超音波診断装置等の医用診断装置に搭載されて使用されても良い。
【0014】
CPU1aは、入力手段1fからの入力信号に基づいてROM1bから携帯情報端末1を起動するためのブートプログラムを読み出して実行し、記憶手段1iに格納されている各種オペレーティングシステムを読み出す。さらにCPU1aは、入力手段1fや入出力インターフェイス1dを介しての図1においては図示していない外部機器からの入力信号に基づいて各種装置の制御を行ったり、RAM1cや記憶手段1i等に記憶されたプログラム及びデータを読み出してRAM1cにロードするとともに、RAM1cから読み出されたプログラムのコマンドに基づいて、データの計算または加工等、一連の処理を実現する処理装置である。
【0015】
入力手段1fは、携帯情報端末1の利用者が各種の操作を入力するキーボード、マウス等の入力デバイスにより構成されており、利用者の操作に基づいて入力信号を作成しバス1eを介してCPU1aに送信される。表示手段1gは、例えば液晶ディスプレイであり、例えばCPU1aからバス1eを介して出力信号を受信し、CPU1aの処理結果等を表示する手段である。
【0016】
通信制御手段1hは、LANカードやモデム等の手段であり、携帯情報端末1をインターネットやLAN等の通信ネットワークに接続する手段である。通信制御手段1hを介して通信ネットワークと送受信したデータは入力信号または出力信号として、入出力インターフェイス1d及びバス1eを介してCPU1aに送受信する。
【0017】
記憶手段1iは、半導体や磁気ディスクで構成されており、CPU1aで実行されるプログラムやデータが記憶されている。リムーバブルディスク1jは、光ディスクやフレキシブルディスクのことであり、ディスクドライブによって読み書きされた信号は、入出力インターフェイス1d及びバス1eを介してCPU1aに送受信される。
【0018】
本発明の実施の形態における携帯情報端末1の記憶手段1iには、例えば、電子カルテプログラム、看護システムプログラム等のプログラムやデータが格納された業務アプリケーションが記憶される。また、電子カルテプログラム等が携帯情報端末1のCPU1aに読み込まれ実行されることにより、業務管理手段2及び権限管理手段3が携帯情報端末1に実装される。また、携帯情報端末1を利用する利用者に対する権限判定を行うために基礎となる権限情報等も記憶手段1iに記憶される。
【0019】
なお、以下においては、業務アプリケーションや権限情報等が記憶手段1iに記憶されている場合を例にとって説明するが、業務アプリケーションや権限情報等はリムーバブルディスク1jに格納されていても良い。
【0020】
業務管理手段2は、図2に示すように、入力手段2aと、権限要求手段2bと、権限判定手段2cと、制御手段2dと、出力手段2eとから構成される。
【0021】
権限要求手段2bは、業務管理手段2がCPU1aに実装され、例えば、業務アプリケーション内の電子カルテプログラムが起動された場合に、後述する権限管理手段3に対して、利用者にこのプログラムの利用権限があるか否かの問い合わせを行う。
【0022】
権限判定手段2cは、問い合わせしたプログラムの利用権限の有無についての回答である権限判定情報を権限管理手段3から入力手段2aを介して受信し、携帯情報端末1の利用者の利用権限の有無を判定する。制御手段2dは、権限判定手段2cによって判断された権限の有無に基づいて対象となるプログラムを起動させるか否かを出力手段2eを介して制御する。
【0023】
権限管理手段3は、図3に示すように、入力手段3aと、場所識別手段3bと、権限判定情報取得手段3cと、出力手段3dとから構成される。
【0024】
場所識別手段3bは、携帯情報端末1の入出力インターフェイス1dに外部から接続される、例えばGPS(Global Positioning System)装置等の場所情報検出手段4から場所情報を入手する。そしてこの場所情報から、携帯情報端末1が現在どの場所にあるかを識別する(図1参照)。また、権限判定情報取得手段3cは、場所識別手段3bが識別した場所の情報を、携帯情報端末1を利用する利用者が対象となるプログラムを利用することができるか否かの権限の有無を判定する情報として取得し、出力手段3dを介して業務管理手段2内の権限判定手段2cに送信する。
【0025】
ここで、携帯情報端末1を利用する利用者に対する権限判定を行うために基礎となる権限情報を記憶手段1iに記憶(登録)させることについて説明する。図4に示す画面10は、権限情報を登録するための画面の例を示した模式図である。
【0026】
図4に示した項目は、登録項目の一例であるが、第1の領域11は携帯情報端末1を利用する医師や看護師等の医療従事者に関する情報を登録する領域であり、第2の領域12は、患者に関する情報を登録する領域である。
【0027】
まず、第1の領域11において、「利用者」とは携帯情報端末1を利用する医師や看護師等の医療従事者であり、利用者を一意に識別することのできるスタッフID或いは氏名等を入力する。「対象データ種別」には電子カルテプログラム、看護システムプログラム等の利用者が利用することの可能なデータを入力する。入力されたデータの管理には、例えば、カルテデータ、看護記録データ等のデータ名や、或いは、カルテ患者氏名、看護記録、患者の身長や体重等の体の基本的な情報であるバイタル情報等のより詳細なデータ属性名を用いても良い。
【0028】
「アクセス権限」としては、参照(読み取り)を意味する「R」、編集(書き込み)の「W」が選択できるようにされている。なお、「アクセス権限」として例えば、医療従事者が往診する時間帯のみアクセスすることができるように時間によるアクセスの制限やカルテ等に表示される項目を限定することによる制限を設定することも可能である。
【0029】
第2の領域12では、「対象者」とは表示させるカルテや看護記録等の対象となる患者のことであり、患者を一意に識別することのできる患者ID或いは氏名等を入力する。「場所代表名」は、入力された「対象者」と関連付けて入力される場所の名称であり、例えば、「対象者」の自宅等である。
【0030】
上述した権限情報を入力或いはプルダウンメニューより選択して登録することにより、記憶手段1iに権限情報が登録される。
【0031】
次に本発明の実施の形態における携帯情報端末の権限管理の流れについて以下、図5及び図6のフローチャートを利用して説明する。
【0032】
医療従事者が患者宅等に往診に出かけた先で電子カルテ等を携帯情報端末1に表示させつつ診察等を行う場合がある。この場合、医療従事者は携帯情報端末1の電源を投入しログイン手続を行って携帯情報端末1を起動させ、さらにこの携帯情報端末1の記憶手段1i内に予め格納されている業務アプリケーションを起動させる。なお、以下の説明においては、業務アプリケーション内に格納されている例えば、電子カルテプログラムを医療従事者が利用する場合を例にとって説明する。
【0033】
業務管理手段2がCPU1aに実装され業務アプリケーションが起動されると(ST1)、携帯情報端末1の表示手段1gにはログイン画面が表示され、利用者である医療従事者によるパスワード等の入力が受け付けられる(ST2)。そのパスワード等が適正なものであった場合にそのログインが承認され(ST3)、記憶手段1i内に格納されている業務アプリケーションの各プログラムが表示手段1gに表示される。
【0034】
この業務アプリケーション内には様々なプログラムが格納されており、医療従事者はその中から必要なプログラムを選択する。本発明の実施の形態においては、例えば電子カルテプログラムが選択され、さらにいずれの患者の電子カルテを表示させるか選択される(入力表示画面選択)(ST4)。この状態で、業務管理手段2内の権限要求手段2bが、CPU1aに実装された権限管理手段3に対して、携帯情報端末1の存在する場所が表示手段1gにある患者の電子カルテを表示させるのに適した場所であるかについて問い合わせを行う(権限要求)(ST5)。すなわち、第1の実施の形態においては、この権限要求は携帯情報端末1の場所情報を要求している。
【0035】
権限要求手段2bからの権限要求があると権限管理手段3では、権限判定情報を取得して業務管理手段2に回答する(ST10)。この権限管理手段3では図5に示すフローチャートの流れに従って権限判定情報を取得している。
【0036】
権限管理手段3が入力手段3aを介して権限要求手段2bからの権限要求を受信すると(ST11)、場所識別手段3bが場所情報検出手段4に対して、この携帯情報端末1が現在どの場所にあるかを検出する旨の要求を出す(ST12)。ここで場所情報検出手段4は携帯情報端末1の外部に取り付けられており、入出力インターフェイス1dを介して場所識別手段3bに携帯情報端末1の現在位置の情報を送信する(図1参照)。また、この場所情報検出手段4としては、例えば、GPS装置、現在位置を示す情報を記憶したICカードの内容を読み取るICタグ受信機、または現在位置を示す情報を記憶した磁気カードの内容を読み取るカードリーダを好適に使用することができる。
【0037】
なお、本発明の実施の形態においては、携帯情報端末1の外部に場所情報検出手段4を接続しているが、携帯情報端末1の内部に上述した機器と同様の機能を持たせても良い。また、携帯情報端末1に場所情報検出手段4を接続することの他に、利用者が携帯情報端末1に直接場所情報を入力することにより場所識別手段3bに場所情報を送信しても良い。
【0038】
場所情報検出手段4がそれぞれの機器の特性に合わせて携帯情報端末1の場所を検出(場所情報を取得)すると(ST13)、この場所情報を場所識別手段3bが受信し、権限判定情報取得手段3cへ送信する(ST14)。権限判定情報取得手段3cは、受信した場所情報及び記憶手段1i内に格納されている場所権限情報から携帯情報端末1の現在場所を特定し、この場所を権限判定情報として取得する(ST15)。
【0039】
記憶手段1i内に格納されている場所権限情報は、図7に示すように「場所代表名」、「場所情報種別」、「場所情報」の3つに分けて格納されている。「場所代表名」は、携帯情報端末1が使用される場所として予め登録されている場所の名称である。図7では、「(患者)Aの自宅」と「(患者)Bの自宅」が「場所代表名」として示されている。「場所情報種別」とは、場所情報を検出する手段の種別を示すものであり、例えば、「GPS」、「ICタグ」、「手入力」等、携帯情報端末1に接続される可能性がある場所情報検出手段4が示されている。「場所情報」は「場所代表名」が「場所情報種別」ごとに持つ携帯情報端末1の場所を示す情報である。例えば、図7に示す場所権限情報において、その最上欄では「場所情報」が「012−3456−789A」であると規定されている。
【0040】
すなわち、「場所情報種別」と「場所情報」に「場所代表名」が関連付けられており、場所識別手段3bから送信されてきた情報のうち、場所情報を検出した「場所情報種別」が「GPS」であり、「場所情報」が「012−3456−789A」であるすると、権限判定情報取得手段3cは、これらの情報と記憶手段1i内に格納されている場所権限情報によって携帯情報端末1が現在位置する場所は「A自宅」であることを特定することができる。また、場所情報を検出する手段(場所情報種別)が「ICタグ」であって「場所情報」が「12345678」である場合は、同じように携帯情報端末1が現在位置する場所が「A自宅」であることを特定することができる。複数の場所情報種別を1つの場所代表名に関連付けることにより様々な装置構成を採用することができ、より柔軟な運用を行うことができる。
【0041】
権限判定情報取得手段3cは、上述のようにして携帯情報端末1の現在位置を特定し、この場所情報を権限判定情報として取得し、業務管理手段2からの権限要求に対する回答として出力手段3dを介して業務管理手段2へ送信する(ST16)。
【0042】
権限管理手段3から送信された権限判定情報を受信した業務管理手段2内の権限判定手段2cでは、送信されてきた権限判定情報に含まれる「場所代表名」を基に、記憶手段1i内に格納されている業務権限情報を検索する。この業務権限情報は、例えば図8に示すように、「場所代表名」、「対象データ種別」及び「アクセス権限」の3つのデータがあり、「場所代表名」及び「対象データ種別」に「アクセス権限」が関連付けられている。
【0043】
「対象データ種別」とは業務アプリケーションの中に格納されている携帯情報端末1の利用者が使用しようとしているデータの種別であり、例えば、電子カルテプログラムの場合は「カルテ」、看護記録プログラムの場合は「看護記録」と記憶されている。また、「アクセス権限」とは、起動したプログラムに対してどのレベルでアクセスする権限があるかを示したものである。本発明の実施の形態においては、例えば、読み取り専用(Read:「R」と表示)である場合と、読み取り(「R」)及び書き込み(Write:「W」と表示)のいずれも可能である場合と、図8には示していないが閲覧のみ可能とする場合とが定められている。
【0044】
本発明の実施の形態においては、図8の業務権限情報の最上欄に示されているように、例えば、権限管理手段3から送信された権限判定情報に含まれる場所情報である「場所代表名」は、「A自宅」であり、「対象データ種別」は「カルテ」であって、電子カルテプログラムが選択されている。この場合には、「アクセス権限」は「R/W」である。従って、Aの自宅で携帯情報端末1を用いて電子カルテプログラムを起動した場合、このAの電子カルテに対して読み取り及び書き込みのいずれもができる。
【0045】
一方、「B自宅」にいる場合において、「対象データ種別」として「看護記録」は登録されていないことから、携帯情報端末1の利用者(医療従事者)がBの自宅で看護記録を開く権限はないことになり、当然このBの看護記録に対して読み取り及び書き込みを行うことはできない。
【0046】
このように権限判定手段2cは「場所代表名」及び「対象データ種別」から「アクセス権限」の有無を判定し(ST6)、認められたアクセス権限に従って制御手段2dが業務アプリケーションを制御する(ST7)。例えば、上述した図8の最上欄に示されている場合については、患者Aの電子カルテに対して読み取りも書き取りも行うことができるとされているので、この場合には携帯情報端末1の利用者から患者Aのカルテへの入力を受け付ける(ST8)。
【0047】
図9は、アクセス権限が認められて表示手段1gに表示される画面の例を示す模式図である。この画面例では、上部に「患者ID」、「患者氏名」、「年齢」等、患者の個人情報が表示され、下部に例えば、診療記録を記入する欄や医用診断装置で検査した結果を表示させることができる。
【0048】
また、「患者ID」を除く患者個人に関する情報については非表示とする、或いは非表示とさせることもできる。これはアクセス権限の有無について判断する際(図5のST6)に、併せて表示項目についての権限についてもその権限の有無を判断することができるように設定することができるからである。例えば上述したように医療従事者が図4に示した権限情報を登録するための画面を開いた場合において、「アクセス権限」の項目を入力する際に個人情報の表示・非表示も併せて指定することで、診察等に不要な個人情報を表示させないことができる。
【0049】
また、図8には示していないが、例えば「場所代表名」が「F自宅」である場合であって何らかのカルテや看護記録を参照したい場合には、その医療従事者はアクセス権限があるものの、参照の際に不要な個人情報に含まれる項目ついては非表示とすることも可能である。
【0050】
なお、いずれの場合においても非表示とする項目については予め設定しておくことができる。但し、患者IDに関しては、表示させる対象データ種別との関係で必須の項目となることから、常に表示される。
【0051】
そして、カルテの読み取りや書き込みが終わり、患者Aに対する診療が終わるとログアウトが行われ、電子カルテプログラムは閉じられる(ST9)。
【0052】
上述のような設定を行うことで、患者Aの自宅で誤って患者Bのカルテを参照、編集してしまうことや、カルテを盗み見られる危険性がなくなる。また、カルテ等に含まれる患者の個人情報へのアクセスについてもその権限の有無を判断した上で表示、或いは非表示とすることができるため、情報流出等の危険性を防止しうる。さらに、たとえ携帯情報端末1が紛失、盗難された場合に、何らかの方法で業務アプリケーションへのログインに成功したとしても、権限判定情報取得手段3cが取得する場所代表名が記憶手段1iに記憶されている場所権限情報に場所代表名として登録されていなければ、アクセス権限はないものと判断される。そのため携帯情報端末1の不正利用や記憶されている各種情報の流出を防ぐことが可能となる。
【0053】
従って、高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、携帯情報端末1の情報の取り扱い場所に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる携帯情報端末権限管理システムを提供することができる。
【0054】
また、携帯型超音波診断装置等、持ち運び可能な医用診断装置に上述の携帯情報端末権限管理システムを搭載することにより、高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、情報の取り扱い場所(医用診断装置の存在する場所)に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる医用診断装置を提供することができる。
【0055】
(第2の実施の形態)
次に本発明における第2の実施の形態について説明する。なお、第2の実施の形態において、上述の第1の実施の形態において説明した構成要素と同一の構成要素には同一の符号を付し、同一の構成要素の説明は重複するので省略する。
【0056】
第2の実施の形態においては、第1の実施の形態とは異なり、携帯情報端末1を利用する利用者自身の情報をも権限を判定する上で参照する情報とし、権限判定情報を増やした点に特徴がある。すなわち権限判定情報取得手段3cは、第1の実施の形態においては場所識別手段3bから送信されてくる場所情報のみを権限判定情報として取得し、業務管理手段2に送信していたが(図5のST10、図6を参照)、第2の実施の形態においては併せて利用者識別情報をも権限判定情報として取得する。
【0057】
「利用者識別情報」とは、携帯情報端末1を利用する医師や看護師等の医療従事者を識別する情報であり、利用者を一意に識別することのできるスタッフID或いは氏名等を入力する。この情報は、業務アプリケーションを起動する際に行うログインの手続(図5のST2参照)において入力される上記スタッフID等を利用する。
【0058】
権限管理手段3が業務管理手段2から権限要求を受信すると(ST11)、図10のフローチャートに示すように、権限判定情報取得手段3cは利用者識別情報から携帯情報端末1内に格納されている業務アプリケーションの利用者を特定する(ST21)。場所識別手段3bは、場所情報検出手段4に対して場所を検出するように要求し(ST22)、場所情報検出手段4からの場所情報を取得し、権限判定情報取得手段3cへ送信する(ST23)。権限判定情報取得手段3cは場所識別手段3bから送信された場所情報と利用者情報とを併せて権限判定情報として取得し(ST24)、これらの権限判定情報を業務管理手段2に送信する(ST16)。
【0059】
権限管理手段3から送信された権限判定情報を受信した業務管理手段2内の権限判定手段2cでは、送信されてきた権限判定情報に含まれる「場所代表名」及び「利用者識別情報」を基に、記憶手段1i内に格納されている業務権限情報を検索する。この業務権限情報には、例えば図11に示すように大きく「場所代表名」、「利用者」及び「対象データ」の3つの情報が含まれており、「場所代表名」及び「利用者」に「対象データ」が関連付けられている。また、「対象データ」の項目の中には細項目として、例えば、「対象者名」、「対象データ種別」及び「アクセス権限」の3つのデータがある。
【0060】
「対象データ種別」とは業務アプリケーションの中に格納されている携帯情報端末1の利用者が使用しようとしているデータの種別であり、例えば、電子カルテプログラムの場合は「カルテ」、看護記録プログラムの場合は「看護記録」と記憶されている。また、「アクセス権限」とは、起動したプログラムに対してどのレベルでアクセスする権限があるかを示したものである。本発明の実施の形態においては、例えば、読み取り専用(R)である場合と、読み取り及び書き込み(R/W)のいずれも可能である場合と、図11には示していないが閲覧のみ可能とする場合とが定められている。
【0061】
例えば、権限管理手段3から業務管理手段2へ送信された権限判定情報としての「場所代表名」及び「利用者」の情報がそれぞれ「(患者)A自宅」と「医師α」である場合を例にとって説明する。図11の業務権限情報の最上欄に示されている項目からはこの例の場合、対象となるデータは、「対象者名」は「(患者)A」、「対象データ種別」は「カルテ」、「アクセス権限」は「R/W」である。従って、Aの自宅で医師αが携帯情報端末1を用いて電子カルテプログラムを起動させた場合、医師αはこのAの電子カルテに対して読み取り及び書き込みのいずれもができる。
【0062】
一方、医師αが「A自宅」にいる場合において、「対象者名」として「(患者)B」についてのデータは対象データとして登録されていないので、Aの自宅で医師αがBの電子カルテを開く権限はないことになり、当然に医師αはこのBのカルテに対して読み取り及び書き込みを行うことはできない。
【0063】
また、「看護師β」が「患者Aの自宅」にいる場合においては、カルテを開く際に、アクセス権限としては「R」のみが認められていることから、看護師βはAのカルテに書き込みを行うことはできない。
【0064】
このように、場所情報以外に携帯情報端末1の利用者自身を示す利用者識別情報をも権限判定情報として取り扱うことにより、これまで以上に高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、携帯情報端末1の情報の取り扱い場所に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる携帯情報端末権限管理システムを提供することができる。また、携帯型超音波診断装置等、持ち運び可能な医用診断装置に上述の携帯情報端末権限管理システムを搭載することにより、高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、情報の取り扱い場所(医用診断装置の存在する場所)に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる医用診断装置を提供することができる。
【0065】
なお、この発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施の形態に開示されている複数の構成要素を適宜組み合わせることにより種々の発明を形成できる。例えば、実施の形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施の形態に亘る構成要素を適宜組み合わせてもよい。
【0066】
また、上記実施の形態においては業務アプリケーション起動後ログイン手続を設けた例を挙げて説明したが、業務アプリケーション起動時にはログイン手続を要求しないことや、業務アプリケーション起動時にはログイン手続を要求せずに携帯情報端末を起動する際に要求されるログイン手続で入力されたパスワード等を利用者情報として用いて権限判定情報とすることも可能である。
【図面の簡単な説明】
【0067】
【図1】本発明の実施の形態にかかる携帯情報端末の内部構成を示すブロック図である。
【図2】本発明の実施の形態にかかる業務管理手段の内部構成を示すブロック図である。
【図3】本発明の実施の形態にかかる権限管理手段の内部構成を示すブロック図である。
【図4】本発明の実施の形態にかかる権限情報を登録するための画面の例を示した模式図である。
【図5】本発明の第1の実施の形態にかかる携帯情報端末の権限管理の流れの例を示したフローチャートである。
【図6】本発明の第1の実施の形態にかかる権限判定情報を取得する流れの例を示したフローチャートである。
【図7】本発明の第1の実施の形態にかかる記憶手段内に格納されている場所権限情報の例を示した説明図である。
【図8】本発明の第1の実施の形態にかかる記憶手段内に格納されている業務権限情報の例を示した説明図である。
【図9】アクセス権限が認められて表示手段に表示される画面の例を示す模式図である。
【図10】本発明の第2の実施の形態にかかる権限判定情報を取得する流れの例を示したフローチャートである。
【図11】本発明の第2の実施の形態にかかる記憶手段内に格納されている業務権限情報の例を示した説明図である。
【符号の説明】
【0068】
1 携帯情報端末
2 業務管理手段
2b 権限要求手段
2c 権限判定手段
2d 制御手段
3 権限管理手段
3b 場所識別手段
3c 権限判定情報取得手段
4 場所情報検出手段
【技術分野】
【0001】
本発明は、携帯情報端末権限管理システム及び該システムを具備した医用診断装置に関する。
【背景技術】
【0002】
近年では、例えば、患者の検査結果をデータ処理してモニタに表示したり、従来は紙で保存していた診療録等の電子媒体による保存(いわゆる電子カルテ)のように、診察や検査に際して情報端末や情報端末の持つ機能を搭載した医用診断装置を使用することが広く行われるようになってきた。それに伴って、医師や看護師等の医療従事者が往診等、医療機関の外で診察や検査等を行う場合もこれらの電子的に蓄積された医療情報を使用することがある。このような場合、いわば医療情報を医療機関外に持ち出すことになるため、最も機密性の高い個人情報の一つである医療情報へのアクセスは厳重に管理されなければならない。
【0003】
この点に関して、被保護対象を利用するときに、取得された自身の位置情報に基づき比較暗号を生成するとともに、生成された比較暗号と予め初期設定のときに生成されている基準暗号とを比較し、これら基準暗号と比較暗号とを照合して一致した場合に限って被保護対象を利用可能とする提案がなされている(特許文献1参照)。この発明では、被保護対象の初期設定を行う際に位置情報を使用して基準暗号を生成するとされており、被保護対象が初期設定の場所から盗難等により離れた場合に装置を使用できなくすることによって被保護対象の持ち出しや盗難の被害を防ぐものである。
【0004】
また、予め医療情報等の秘匿情報が利用可能なエリアを許容エリアとして登録しておき、秘匿情報が格納されている端末装置が盗難或いは、紛失され、端末装置が取得した位置情報からこの許容エリア外にこの端末装置が存在する場合には、端末装置に格納されている秘匿情報を削除することで不正使用を未然に防止することができる端末装置等も提案されている(特許文献2参照)。
【特許文献1】特開2004−178209号公報
【特許文献2】特開2005−339255号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示されている発明では、被保護対象に使用に当たっては、基準暗号と比較暗号とが一致、すなわち基準暗号が生成された場所と同一の場所でなければ使用することができず、被保護対象が携帯情報端末である場合には用いることができない。特に、上述のように、医療従事者が往診等において携帯情報端末を使用する場合は、患者の自宅等、医療機関外での使用が前提となるため、基準暗号が生成された場所と同一場所での使用に限定されると往診等の際には電子的に蓄積された医療情報を使用することができず不都合が生じる場合が発生する。
【0006】
また、特許文献2において開示されている発明では、予め許容エリアとして登録されている場所以外では秘匿情報が削除されてしまうため、許容エリア外で医療情報を使用することができないことになる。従って、例えば急患等、緊急時に携帯情報端末内に格納された医療情報を使用しての診察等ができなくなる。
【0007】
さらに、いずれの発明においても高度なセキュリティーを確保するため、被保護対象そのものの使用を禁止する、或いは、秘匿情報を削除する等する。このことは、情報の利用に関していわば、情報を利用できるか利用できないかの二者択一にしか選択することができず、適切な利用者が情報の取り扱い場所や状況に合わせて利用することができる医療情報を限定する等、きめ細かな対応をとることまでは考慮されていない。
【0008】
本発明は上記課題を解決するためになされたものであり、本発明の目的は、高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、情報の取り扱い場所に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる携帯情報端末権限管理システム及び該システムを具備した医用診断装置を提供することである。
【課題を解決するための手段】
【0009】
本発明の実施の形態に係る特徴は、携帯情報端末権限管理システムにおいて、携帯情報端末が存在する場所を識別する場所識別手段及び場所識別手段によって識別された携帯情報端末の場所情報を権限判定情報として取得する権限判定情報取得手段を設ける権限管理手段と、権限管理手段より送信された権限判定情報から携帯情報端末に格納されている情報にアクセスする権限の有無を判断する業務管理手段とを備える。
【発明の効果】
【0010】
本発明によれば、高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、情報の取り扱い場所に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる携帯情報端末権限管理システム及び該システムを具備した医用診断装置を提供することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態について図面を参照して詳細に説明する。
【0012】
(第1の実施の形態)
本発明の実施の形態における携帯情報端末権限管理システムにおいて使用される携帯情報端末1は、図1に示すように、CPU(Central Processing Unit)1aと、ROM(Read Only Memory)1bと、RAM(Random Access Memory)1c及び入出力インターフェイス1dがバス1eを介して接続されている。入出力インターフェイス1dには、入力手段1fと、表示手段1gと、通信制御手段1hと、記憶手段1iと、リムーバブルディスク1jとが接続されている。
【0013】
なお、以下の説明においては、携帯情報端末権限管理システムを携帯情報端末1に搭載した場合を例に挙げて説明を行うが、この携帯情報端末権限管理システムを、例えば、移動可能な携帯型超音波診断装置等の医用診断装置に搭載されて使用されても良い。
【0014】
CPU1aは、入力手段1fからの入力信号に基づいてROM1bから携帯情報端末1を起動するためのブートプログラムを読み出して実行し、記憶手段1iに格納されている各種オペレーティングシステムを読み出す。さらにCPU1aは、入力手段1fや入出力インターフェイス1dを介しての図1においては図示していない外部機器からの入力信号に基づいて各種装置の制御を行ったり、RAM1cや記憶手段1i等に記憶されたプログラム及びデータを読み出してRAM1cにロードするとともに、RAM1cから読み出されたプログラムのコマンドに基づいて、データの計算または加工等、一連の処理を実現する処理装置である。
【0015】
入力手段1fは、携帯情報端末1の利用者が各種の操作を入力するキーボード、マウス等の入力デバイスにより構成されており、利用者の操作に基づいて入力信号を作成しバス1eを介してCPU1aに送信される。表示手段1gは、例えば液晶ディスプレイであり、例えばCPU1aからバス1eを介して出力信号を受信し、CPU1aの処理結果等を表示する手段である。
【0016】
通信制御手段1hは、LANカードやモデム等の手段であり、携帯情報端末1をインターネットやLAN等の通信ネットワークに接続する手段である。通信制御手段1hを介して通信ネットワークと送受信したデータは入力信号または出力信号として、入出力インターフェイス1d及びバス1eを介してCPU1aに送受信する。
【0017】
記憶手段1iは、半導体や磁気ディスクで構成されており、CPU1aで実行されるプログラムやデータが記憶されている。リムーバブルディスク1jは、光ディスクやフレキシブルディスクのことであり、ディスクドライブによって読み書きされた信号は、入出力インターフェイス1d及びバス1eを介してCPU1aに送受信される。
【0018】
本発明の実施の形態における携帯情報端末1の記憶手段1iには、例えば、電子カルテプログラム、看護システムプログラム等のプログラムやデータが格納された業務アプリケーションが記憶される。また、電子カルテプログラム等が携帯情報端末1のCPU1aに読み込まれ実行されることにより、業務管理手段2及び権限管理手段3が携帯情報端末1に実装される。また、携帯情報端末1を利用する利用者に対する権限判定を行うために基礎となる権限情報等も記憶手段1iに記憶される。
【0019】
なお、以下においては、業務アプリケーションや権限情報等が記憶手段1iに記憶されている場合を例にとって説明するが、業務アプリケーションや権限情報等はリムーバブルディスク1jに格納されていても良い。
【0020】
業務管理手段2は、図2に示すように、入力手段2aと、権限要求手段2bと、権限判定手段2cと、制御手段2dと、出力手段2eとから構成される。
【0021】
権限要求手段2bは、業務管理手段2がCPU1aに実装され、例えば、業務アプリケーション内の電子カルテプログラムが起動された場合に、後述する権限管理手段3に対して、利用者にこのプログラムの利用権限があるか否かの問い合わせを行う。
【0022】
権限判定手段2cは、問い合わせしたプログラムの利用権限の有無についての回答である権限判定情報を権限管理手段3から入力手段2aを介して受信し、携帯情報端末1の利用者の利用権限の有無を判定する。制御手段2dは、権限判定手段2cによって判断された権限の有無に基づいて対象となるプログラムを起動させるか否かを出力手段2eを介して制御する。
【0023】
権限管理手段3は、図3に示すように、入力手段3aと、場所識別手段3bと、権限判定情報取得手段3cと、出力手段3dとから構成される。
【0024】
場所識別手段3bは、携帯情報端末1の入出力インターフェイス1dに外部から接続される、例えばGPS(Global Positioning System)装置等の場所情報検出手段4から場所情報を入手する。そしてこの場所情報から、携帯情報端末1が現在どの場所にあるかを識別する(図1参照)。また、権限判定情報取得手段3cは、場所識別手段3bが識別した場所の情報を、携帯情報端末1を利用する利用者が対象となるプログラムを利用することができるか否かの権限の有無を判定する情報として取得し、出力手段3dを介して業務管理手段2内の権限判定手段2cに送信する。
【0025】
ここで、携帯情報端末1を利用する利用者に対する権限判定を行うために基礎となる権限情報を記憶手段1iに記憶(登録)させることについて説明する。図4に示す画面10は、権限情報を登録するための画面の例を示した模式図である。
【0026】
図4に示した項目は、登録項目の一例であるが、第1の領域11は携帯情報端末1を利用する医師や看護師等の医療従事者に関する情報を登録する領域であり、第2の領域12は、患者に関する情報を登録する領域である。
【0027】
まず、第1の領域11において、「利用者」とは携帯情報端末1を利用する医師や看護師等の医療従事者であり、利用者を一意に識別することのできるスタッフID或いは氏名等を入力する。「対象データ種別」には電子カルテプログラム、看護システムプログラム等の利用者が利用することの可能なデータを入力する。入力されたデータの管理には、例えば、カルテデータ、看護記録データ等のデータ名や、或いは、カルテ患者氏名、看護記録、患者の身長や体重等の体の基本的な情報であるバイタル情報等のより詳細なデータ属性名を用いても良い。
【0028】
「アクセス権限」としては、参照(読み取り)を意味する「R」、編集(書き込み)の「W」が選択できるようにされている。なお、「アクセス権限」として例えば、医療従事者が往診する時間帯のみアクセスすることができるように時間によるアクセスの制限やカルテ等に表示される項目を限定することによる制限を設定することも可能である。
【0029】
第2の領域12では、「対象者」とは表示させるカルテや看護記録等の対象となる患者のことであり、患者を一意に識別することのできる患者ID或いは氏名等を入力する。「場所代表名」は、入力された「対象者」と関連付けて入力される場所の名称であり、例えば、「対象者」の自宅等である。
【0030】
上述した権限情報を入力或いはプルダウンメニューより選択して登録することにより、記憶手段1iに権限情報が登録される。
【0031】
次に本発明の実施の形態における携帯情報端末の権限管理の流れについて以下、図5及び図6のフローチャートを利用して説明する。
【0032】
医療従事者が患者宅等に往診に出かけた先で電子カルテ等を携帯情報端末1に表示させつつ診察等を行う場合がある。この場合、医療従事者は携帯情報端末1の電源を投入しログイン手続を行って携帯情報端末1を起動させ、さらにこの携帯情報端末1の記憶手段1i内に予め格納されている業務アプリケーションを起動させる。なお、以下の説明においては、業務アプリケーション内に格納されている例えば、電子カルテプログラムを医療従事者が利用する場合を例にとって説明する。
【0033】
業務管理手段2がCPU1aに実装され業務アプリケーションが起動されると(ST1)、携帯情報端末1の表示手段1gにはログイン画面が表示され、利用者である医療従事者によるパスワード等の入力が受け付けられる(ST2)。そのパスワード等が適正なものであった場合にそのログインが承認され(ST3)、記憶手段1i内に格納されている業務アプリケーションの各プログラムが表示手段1gに表示される。
【0034】
この業務アプリケーション内には様々なプログラムが格納されており、医療従事者はその中から必要なプログラムを選択する。本発明の実施の形態においては、例えば電子カルテプログラムが選択され、さらにいずれの患者の電子カルテを表示させるか選択される(入力表示画面選択)(ST4)。この状態で、業務管理手段2内の権限要求手段2bが、CPU1aに実装された権限管理手段3に対して、携帯情報端末1の存在する場所が表示手段1gにある患者の電子カルテを表示させるのに適した場所であるかについて問い合わせを行う(権限要求)(ST5)。すなわち、第1の実施の形態においては、この権限要求は携帯情報端末1の場所情報を要求している。
【0035】
権限要求手段2bからの権限要求があると権限管理手段3では、権限判定情報を取得して業務管理手段2に回答する(ST10)。この権限管理手段3では図5に示すフローチャートの流れに従って権限判定情報を取得している。
【0036】
権限管理手段3が入力手段3aを介して権限要求手段2bからの権限要求を受信すると(ST11)、場所識別手段3bが場所情報検出手段4に対して、この携帯情報端末1が現在どの場所にあるかを検出する旨の要求を出す(ST12)。ここで場所情報検出手段4は携帯情報端末1の外部に取り付けられており、入出力インターフェイス1dを介して場所識別手段3bに携帯情報端末1の現在位置の情報を送信する(図1参照)。また、この場所情報検出手段4としては、例えば、GPS装置、現在位置を示す情報を記憶したICカードの内容を読み取るICタグ受信機、または現在位置を示す情報を記憶した磁気カードの内容を読み取るカードリーダを好適に使用することができる。
【0037】
なお、本発明の実施の形態においては、携帯情報端末1の外部に場所情報検出手段4を接続しているが、携帯情報端末1の内部に上述した機器と同様の機能を持たせても良い。また、携帯情報端末1に場所情報検出手段4を接続することの他に、利用者が携帯情報端末1に直接場所情報を入力することにより場所識別手段3bに場所情報を送信しても良い。
【0038】
場所情報検出手段4がそれぞれの機器の特性に合わせて携帯情報端末1の場所を検出(場所情報を取得)すると(ST13)、この場所情報を場所識別手段3bが受信し、権限判定情報取得手段3cへ送信する(ST14)。権限判定情報取得手段3cは、受信した場所情報及び記憶手段1i内に格納されている場所権限情報から携帯情報端末1の現在場所を特定し、この場所を権限判定情報として取得する(ST15)。
【0039】
記憶手段1i内に格納されている場所権限情報は、図7に示すように「場所代表名」、「場所情報種別」、「場所情報」の3つに分けて格納されている。「場所代表名」は、携帯情報端末1が使用される場所として予め登録されている場所の名称である。図7では、「(患者)Aの自宅」と「(患者)Bの自宅」が「場所代表名」として示されている。「場所情報種別」とは、場所情報を検出する手段の種別を示すものであり、例えば、「GPS」、「ICタグ」、「手入力」等、携帯情報端末1に接続される可能性がある場所情報検出手段4が示されている。「場所情報」は「場所代表名」が「場所情報種別」ごとに持つ携帯情報端末1の場所を示す情報である。例えば、図7に示す場所権限情報において、その最上欄では「場所情報」が「012−3456−789A」であると規定されている。
【0040】
すなわち、「場所情報種別」と「場所情報」に「場所代表名」が関連付けられており、場所識別手段3bから送信されてきた情報のうち、場所情報を検出した「場所情報種別」が「GPS」であり、「場所情報」が「012−3456−789A」であるすると、権限判定情報取得手段3cは、これらの情報と記憶手段1i内に格納されている場所権限情報によって携帯情報端末1が現在位置する場所は「A自宅」であることを特定することができる。また、場所情報を検出する手段(場所情報種別)が「ICタグ」であって「場所情報」が「12345678」である場合は、同じように携帯情報端末1が現在位置する場所が「A自宅」であることを特定することができる。複数の場所情報種別を1つの場所代表名に関連付けることにより様々な装置構成を採用することができ、より柔軟な運用を行うことができる。
【0041】
権限判定情報取得手段3cは、上述のようにして携帯情報端末1の現在位置を特定し、この場所情報を権限判定情報として取得し、業務管理手段2からの権限要求に対する回答として出力手段3dを介して業務管理手段2へ送信する(ST16)。
【0042】
権限管理手段3から送信された権限判定情報を受信した業務管理手段2内の権限判定手段2cでは、送信されてきた権限判定情報に含まれる「場所代表名」を基に、記憶手段1i内に格納されている業務権限情報を検索する。この業務権限情報は、例えば図8に示すように、「場所代表名」、「対象データ種別」及び「アクセス権限」の3つのデータがあり、「場所代表名」及び「対象データ種別」に「アクセス権限」が関連付けられている。
【0043】
「対象データ種別」とは業務アプリケーションの中に格納されている携帯情報端末1の利用者が使用しようとしているデータの種別であり、例えば、電子カルテプログラムの場合は「カルテ」、看護記録プログラムの場合は「看護記録」と記憶されている。また、「アクセス権限」とは、起動したプログラムに対してどのレベルでアクセスする権限があるかを示したものである。本発明の実施の形態においては、例えば、読み取り専用(Read:「R」と表示)である場合と、読み取り(「R」)及び書き込み(Write:「W」と表示)のいずれも可能である場合と、図8には示していないが閲覧のみ可能とする場合とが定められている。
【0044】
本発明の実施の形態においては、図8の業務権限情報の最上欄に示されているように、例えば、権限管理手段3から送信された権限判定情報に含まれる場所情報である「場所代表名」は、「A自宅」であり、「対象データ種別」は「カルテ」であって、電子カルテプログラムが選択されている。この場合には、「アクセス権限」は「R/W」である。従って、Aの自宅で携帯情報端末1を用いて電子カルテプログラムを起動した場合、このAの電子カルテに対して読み取り及び書き込みのいずれもができる。
【0045】
一方、「B自宅」にいる場合において、「対象データ種別」として「看護記録」は登録されていないことから、携帯情報端末1の利用者(医療従事者)がBの自宅で看護記録を開く権限はないことになり、当然このBの看護記録に対して読み取り及び書き込みを行うことはできない。
【0046】
このように権限判定手段2cは「場所代表名」及び「対象データ種別」から「アクセス権限」の有無を判定し(ST6)、認められたアクセス権限に従って制御手段2dが業務アプリケーションを制御する(ST7)。例えば、上述した図8の最上欄に示されている場合については、患者Aの電子カルテに対して読み取りも書き取りも行うことができるとされているので、この場合には携帯情報端末1の利用者から患者Aのカルテへの入力を受け付ける(ST8)。
【0047】
図9は、アクセス権限が認められて表示手段1gに表示される画面の例を示す模式図である。この画面例では、上部に「患者ID」、「患者氏名」、「年齢」等、患者の個人情報が表示され、下部に例えば、診療記録を記入する欄や医用診断装置で検査した結果を表示させることができる。
【0048】
また、「患者ID」を除く患者個人に関する情報については非表示とする、或いは非表示とさせることもできる。これはアクセス権限の有無について判断する際(図5のST6)に、併せて表示項目についての権限についてもその権限の有無を判断することができるように設定することができるからである。例えば上述したように医療従事者が図4に示した権限情報を登録するための画面を開いた場合において、「アクセス権限」の項目を入力する際に個人情報の表示・非表示も併せて指定することで、診察等に不要な個人情報を表示させないことができる。
【0049】
また、図8には示していないが、例えば「場所代表名」が「F自宅」である場合であって何らかのカルテや看護記録を参照したい場合には、その医療従事者はアクセス権限があるものの、参照の際に不要な個人情報に含まれる項目ついては非表示とすることも可能である。
【0050】
なお、いずれの場合においても非表示とする項目については予め設定しておくことができる。但し、患者IDに関しては、表示させる対象データ種別との関係で必須の項目となることから、常に表示される。
【0051】
そして、カルテの読み取りや書き込みが終わり、患者Aに対する診療が終わるとログアウトが行われ、電子カルテプログラムは閉じられる(ST9)。
【0052】
上述のような設定を行うことで、患者Aの自宅で誤って患者Bのカルテを参照、編集してしまうことや、カルテを盗み見られる危険性がなくなる。また、カルテ等に含まれる患者の個人情報へのアクセスについてもその権限の有無を判断した上で表示、或いは非表示とすることができるため、情報流出等の危険性を防止しうる。さらに、たとえ携帯情報端末1が紛失、盗難された場合に、何らかの方法で業務アプリケーションへのログインに成功したとしても、権限判定情報取得手段3cが取得する場所代表名が記憶手段1iに記憶されている場所権限情報に場所代表名として登録されていなければ、アクセス権限はないものと判断される。そのため携帯情報端末1の不正利用や記憶されている各種情報の流出を防ぐことが可能となる。
【0053】
従って、高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、携帯情報端末1の情報の取り扱い場所に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる携帯情報端末権限管理システムを提供することができる。
【0054】
また、携帯型超音波診断装置等、持ち運び可能な医用診断装置に上述の携帯情報端末権限管理システムを搭載することにより、高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、情報の取り扱い場所(医用診断装置の存在する場所)に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる医用診断装置を提供することができる。
【0055】
(第2の実施の形態)
次に本発明における第2の実施の形態について説明する。なお、第2の実施の形態において、上述の第1の実施の形態において説明した構成要素と同一の構成要素には同一の符号を付し、同一の構成要素の説明は重複するので省略する。
【0056】
第2の実施の形態においては、第1の実施の形態とは異なり、携帯情報端末1を利用する利用者自身の情報をも権限を判定する上で参照する情報とし、権限判定情報を増やした点に特徴がある。すなわち権限判定情報取得手段3cは、第1の実施の形態においては場所識別手段3bから送信されてくる場所情報のみを権限判定情報として取得し、業務管理手段2に送信していたが(図5のST10、図6を参照)、第2の実施の形態においては併せて利用者識別情報をも権限判定情報として取得する。
【0057】
「利用者識別情報」とは、携帯情報端末1を利用する医師や看護師等の医療従事者を識別する情報であり、利用者を一意に識別することのできるスタッフID或いは氏名等を入力する。この情報は、業務アプリケーションを起動する際に行うログインの手続(図5のST2参照)において入力される上記スタッフID等を利用する。
【0058】
権限管理手段3が業務管理手段2から権限要求を受信すると(ST11)、図10のフローチャートに示すように、権限判定情報取得手段3cは利用者識別情報から携帯情報端末1内に格納されている業務アプリケーションの利用者を特定する(ST21)。場所識別手段3bは、場所情報検出手段4に対して場所を検出するように要求し(ST22)、場所情報検出手段4からの場所情報を取得し、権限判定情報取得手段3cへ送信する(ST23)。権限判定情報取得手段3cは場所識別手段3bから送信された場所情報と利用者情報とを併せて権限判定情報として取得し(ST24)、これらの権限判定情報を業務管理手段2に送信する(ST16)。
【0059】
権限管理手段3から送信された権限判定情報を受信した業務管理手段2内の権限判定手段2cでは、送信されてきた権限判定情報に含まれる「場所代表名」及び「利用者識別情報」を基に、記憶手段1i内に格納されている業務権限情報を検索する。この業務権限情報には、例えば図11に示すように大きく「場所代表名」、「利用者」及び「対象データ」の3つの情報が含まれており、「場所代表名」及び「利用者」に「対象データ」が関連付けられている。また、「対象データ」の項目の中には細項目として、例えば、「対象者名」、「対象データ種別」及び「アクセス権限」の3つのデータがある。
【0060】
「対象データ種別」とは業務アプリケーションの中に格納されている携帯情報端末1の利用者が使用しようとしているデータの種別であり、例えば、電子カルテプログラムの場合は「カルテ」、看護記録プログラムの場合は「看護記録」と記憶されている。また、「アクセス権限」とは、起動したプログラムに対してどのレベルでアクセスする権限があるかを示したものである。本発明の実施の形態においては、例えば、読み取り専用(R)である場合と、読み取り及び書き込み(R/W)のいずれも可能である場合と、図11には示していないが閲覧のみ可能とする場合とが定められている。
【0061】
例えば、権限管理手段3から業務管理手段2へ送信された権限判定情報としての「場所代表名」及び「利用者」の情報がそれぞれ「(患者)A自宅」と「医師α」である場合を例にとって説明する。図11の業務権限情報の最上欄に示されている項目からはこの例の場合、対象となるデータは、「対象者名」は「(患者)A」、「対象データ種別」は「カルテ」、「アクセス権限」は「R/W」である。従って、Aの自宅で医師αが携帯情報端末1を用いて電子カルテプログラムを起動させた場合、医師αはこのAの電子カルテに対して読み取り及び書き込みのいずれもができる。
【0062】
一方、医師αが「A自宅」にいる場合において、「対象者名」として「(患者)B」についてのデータは対象データとして登録されていないので、Aの自宅で医師αがBの電子カルテを開く権限はないことになり、当然に医師αはこのBのカルテに対して読み取り及び書き込みを行うことはできない。
【0063】
また、「看護師β」が「患者Aの自宅」にいる場合においては、カルテを開く際に、アクセス権限としては「R」のみが認められていることから、看護師βはAのカルテに書き込みを行うことはできない。
【0064】
このように、場所情報以外に携帯情報端末1の利用者自身を示す利用者識別情報をも権限判定情報として取り扱うことにより、これまで以上に高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、携帯情報端末1の情報の取り扱い場所に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる携帯情報端末権限管理システムを提供することができる。また、携帯型超音波診断装置等、持ち運び可能な医用診断装置に上述の携帯情報端末権限管理システムを搭載することにより、高度なセキュリティーを確保しつつ、併せて情報へのアクセスについて権限管理を行い、情報の取り扱い場所(医用診断装置の存在する場所)に合わせて権限レベルを変更することにより、利用者が情報に容易にアクセスすることができる医用診断装置を提供することができる。
【0065】
なお、この発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施の形態に開示されている複数の構成要素を適宜組み合わせることにより種々の発明を形成できる。例えば、実施の形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施の形態に亘る構成要素を適宜組み合わせてもよい。
【0066】
また、上記実施の形態においては業務アプリケーション起動後ログイン手続を設けた例を挙げて説明したが、業務アプリケーション起動時にはログイン手続を要求しないことや、業務アプリケーション起動時にはログイン手続を要求せずに携帯情報端末を起動する際に要求されるログイン手続で入力されたパスワード等を利用者情報として用いて権限判定情報とすることも可能である。
【図面の簡単な説明】
【0067】
【図1】本発明の実施の形態にかかる携帯情報端末の内部構成を示すブロック図である。
【図2】本発明の実施の形態にかかる業務管理手段の内部構成を示すブロック図である。
【図3】本発明の実施の形態にかかる権限管理手段の内部構成を示すブロック図である。
【図4】本発明の実施の形態にかかる権限情報を登録するための画面の例を示した模式図である。
【図5】本発明の第1の実施の形態にかかる携帯情報端末の権限管理の流れの例を示したフローチャートである。
【図6】本発明の第1の実施の形態にかかる権限判定情報を取得する流れの例を示したフローチャートである。
【図7】本発明の第1の実施の形態にかかる記憶手段内に格納されている場所権限情報の例を示した説明図である。
【図8】本発明の第1の実施の形態にかかる記憶手段内に格納されている業務権限情報の例を示した説明図である。
【図9】アクセス権限が認められて表示手段に表示される画面の例を示す模式図である。
【図10】本発明の第2の実施の形態にかかる権限判定情報を取得する流れの例を示したフローチャートである。
【図11】本発明の第2の実施の形態にかかる記憶手段内に格納されている業務権限情報の例を示した説明図である。
【符号の説明】
【0068】
1 携帯情報端末
2 業務管理手段
2b 権限要求手段
2c 権限判定手段
2d 制御手段
3 権限管理手段
3b 場所識別手段
3c 権限判定情報取得手段
4 場所情報検出手段
【特許請求の範囲】
【請求項1】
携帯情報端末が存在する場所を識別する場所識別手段及び前記場所識別手段によって識別された携帯情報端末の場所情報を権限判定情報として取得する権限判定情報取得手段を設ける権限管理手段と、
前記権限管理手段より送信された権限判定情報から前記携帯情報端末に格納されている情報にアクセスする権限の有無を判断する業務管理手段と、
を備えることを特徴とする携帯情報端末権限管理システム。
【請求項2】
前記権限判定情報取得手段では、前記場所識別手段からの携帯情報端末の場所情報とともに前記携帯情報端末を利用する利用者の情報も権限判定情報として取得することを特徴とする請求項1に記載の携帯情報端末権限管理システム。
【請求項3】
請求項1または請求項2のいずれかに記載の携帯情報端末権限管理システムを備えることを特徴とする医用診断装置。
【請求項1】
携帯情報端末が存在する場所を識別する場所識別手段及び前記場所識別手段によって識別された携帯情報端末の場所情報を権限判定情報として取得する権限判定情報取得手段を設ける権限管理手段と、
前記権限管理手段より送信された権限判定情報から前記携帯情報端末に格納されている情報にアクセスする権限の有無を判断する業務管理手段と、
を備えることを特徴とする携帯情報端末権限管理システム。
【請求項2】
前記権限判定情報取得手段では、前記場所識別手段からの携帯情報端末の場所情報とともに前記携帯情報端末を利用する利用者の情報も権限判定情報として取得することを特徴とする請求項1に記載の携帯情報端末権限管理システム。
【請求項3】
請求項1または請求項2のいずれかに記載の携帯情報端末権限管理システムを備えることを特徴とする医用診断装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2009−122912(P2009−122912A)
【公開日】平成21年6月4日(2009.6.4)
【国際特許分類】
【出願番号】特願2007−295511(P2007−295511)
【出願日】平成19年11月14日(2007.11.14)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【Fターム(参考)】
【公開日】平成21年6月4日(2009.6.4)
【国際特許分類】
【出願日】平成19年11月14日(2007.11.14)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【Fターム(参考)】
[ Back to top ]