【課題】アクセスする権限を有しない第三者に、秘匿性を要する情報が漏洩されるおそれがあった。
【解決手段】ＩＤカードと、端末装置とを含み、ＩＤカードは、勤務者を識別する識別情報であって、患者情報を利用の許否を決定するために用いられる識別情報を、一の秘密鍵により暗号化する暗号化部と、暗号化された識別情報を端末装置へ送信する送信部と、を有し、端末装置は、一の秘密鍵と同一の他の秘密鍵を記憶しており、ＦｅＲＡＭから外部へ他の秘密鍵を読み出すことが行われたならば、当該ＦｅＲＡＭから他の秘密鍵が消去されるＦｅＲＡＭと、前記ＩＤカードから前記暗号化された識別情報を受信する受信部と、受信された、一の暗号鍵により暗号化された識別情報を、ＦｅＲＡＭに記憶されているはずの他の秘密鍵により復号化する復号化部と、を有する。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、患者等についての秘匿性を要するデータを管理する病院システム、介護施設システム、及び運動施設システム等に関する。
【背景技術】
【０００２】
下記の特許文献１に記載された医療情報管理システムと技術分野が共通する、図９に図示された従来の病院システムＨ１００は、サーバ装置ＳＶ１００及び端末装置ＴＭ１００からなるデータ管理システムを含み、さらに、ＩＤカードＣＤ１００（Ｃ）及びＩＤカードＣＤ１００（Ｄ）を含む。
【０００３】
サーバ装置ＳＶ１００は、病院ＨＳ１００から隔たった場所に設置されており、送受信部１００と、暗号復号部１１０と、制御部１２０と、第１のデータベース部１３０と、第２のデータベース部１４０と、記憶部１５０と、を有する。
【０００４】
第１のデータベース部１３０は、当該病院ＨＳ１００に勤務する医師Ｄその他の複数の医師（図示せず。）に関する、秘匿性を要する情報（医師情報）からなる第１のデータベースＤＢ１３０を記憶している。他方で、第２のデータベース部１４０は、当該病院ＨＳ１００に通院する患者Ｃその他の複数の患者（図示せず。）に関する、秘匿性を要する情報（患者情報）からなる第２のデータベースＤＢ１４０を記憶している。第２のデータベース部１４０は、前記第２のデータベースＤＢ１４０の一部として、例えば、患者Ｃの患者情報ＩＮ１００（Ｃ）を記憶している。
【０００５】
記憶部１５０は、後述の秘密鍵方式の下で通信を行うべく、第１の暗号鍵ＫＹ１及び第２の暗号鍵ＫＹ２を記憶している。
【０００６】
前記サーバ装置ＳＶ１００は、前記第１、第２のデータベースＤＢ１３０、ＤＢ１４０へのアクセス管理を行うべく、かつ、前記医師情報及び患者情報の盗聴の防止を秘密鍵方式、即ち、共通鍵方式（暗号化のための鍵と復号化のための鍵が共通である方式）の下で行うべく、送受信部１００と、暗号復号部１１０と、制御部１２０と、を有する。以下では、説明及び理解を容易にすべく、送信のときには、暗号鍵（秘密鍵）による暗号化が伴い、また、受信のときには、前記暗号鍵による復号化が伴うことを前提とする。
【０００７】
端末装置ＴＭ１００は、病院ＨＳ１００内に設置されており、例えば、前記サーバ装置ＳＶ１００の第２のデータベース部１４０に記憶されている患者Ｃの患者情報の、医師Ｄによる閲覧及び印刷等の利用に供すべく、送受信部２００と、暗号復号部２１０と、印刷部２２０と、表示部２３０と、制御部２４０と、第１の記憶部２５０と、第２の記憶部２６０と、を有する。ここで、第１の記憶部２５０は、例えば、ハードディスク、ＳＲＡＭ、ＤＲＡＭ等であり、さらに、ハードディスク、ＳＲＡＭ、ＤＲＡＭ等の各々は、データ（例えば、後述される患者Ｃの患者情報ＩＮ１００（Ｃ））を記憶するための記憶領域、及び、当該記憶領域を管理するための情報（管理情報）を記憶するための管理領域（例えば、ＦＡＴ（File Allocation Tables））からなる。また、第２の記憶部２６０は、例えば、ハードディスク、ＲＯＭ等であり、第１の暗号鍵ＫＹ１及び第２の暗号鍵ＫＹ２を記憶している。
【０００８】
ＩＤカードＣＤ１００（Ｃ）は、患者Ｃにより携帯されており、主に、前記端末装置ＴＭ１００との間で、当該患者Ｃを識別するための患者ＩＤ（患者識別番号）をやりとりすべく、送受信部３００と、暗号復号部３１０と、制御部３２０と、記憶部３３０とを有する。当該記憶部３３０は、第１の暗号鍵ＫＹ１及び患者ＩＤを記憶している。
【０００９】
同様にして、ＩＤカードＣＤ１００（Ｄ）は、医師Ｄにより携帯されており、主に、前記端末装置ＴＭ１００との間で、当該医師Ｄを識別するための医師ＩＤ（医師識別番号）をやりとりすべく、送受信部４００と、暗号復号部４１０と、制御部４２０と、記憶部４３０とを有する。当該記憶部４３０は、第２の暗号鍵ＫＹ２及び医師ＩＤを記憶している。
【００１０】
病院システムＨ１００では、患者Ｃが、病院ＨＳ１００に来院すると、医師Ｄは、当該医師ＤのＩＤカードＣＤ１００（Ｄ）の医師ＩＤ、及び、前記患者ＣのＩＤカードＣＤ１００（Ｃ）中の患者ＩＤを端末装置ＴＭ１００に送信し、即ち、入力し、当該端末装置ＴＭ１００は、当該医師ＩＤ及び患者ＩＤをサーバ装置ＳＶ１００へ転送する。
【００１１】
サーバ装置ＳＶ１００は、端末装置ＴＭ１００を介して前記医師ＩＤ及び前記患者ＩＤを受信すると、当該医師ＩＤに基づき第１のデータベースＤＢ１３０を参照することにより、前記医師Ｄが第２のデータベース部１４０をアクセスする権限を有するか否かを確認する。サーバ装置ＳＶ１００は、前記医師Ｄが前記第２のデータベース部１４０へのアクセス権限を有することを確認することができると、前記受信した患者ＩＤに基づき第２のデータベースＤＢ１４０を参照することにより、患者Ｃの患者情報ＩＮ１００（Ｃ）を端末装置ＴＭ１００へ送信する。
【００１２】
端末装置ＴＭ１００は、前記患者Ｃの患者情報ＩＮ１００（Ｃ）を受信すると、当該患者情報ＩＮ１００（Ｃ）を第１の記憶部２５０に一時的に記憶しておく。医師Ｄは、端末装置ＴＭ１００を操作することにより、前記第１の記憶部２５０に記憶されている前記患者情報ＩＮ１００（Ｃ）を表示部２３０に表示することにより、または、印刷部２２０により印刷することにより、前記患者情報ＩＮ１００（Ｃ）を閲覧可能にする。
【００１３】
【特許文献１】特開２００１−２９０８８９号公報
【発明の開示】
【発明が解決しようとする課題】
【００１４】
しかしながら、上記した端末装置ＴＭ１００では、病院システムＨ１００へのアクセス権限を有しない第三者Ｔが、前記端末装置ＴＭ１００内の前記第２の記憶部２６０から、前記第２の暗号鍵ＫＹ２を不正目的のために読み出し、かつ、別ルートで医師ＩＤの医師ＩＤを盗み出すことにより、医師Ｄが所有するＩＤカードＣＤ１００（Ｄ）と機能的に同一な偽ＩＤカードＣＤ１００（Ｄ）’を作成することができるおそれがある。その結果、前記第三者Ｔは、前記医師Ｄと同様に、当該医師Ｄの正規なＩＤカードＣＤ１００（Ｄ）の代わりに、当該偽ＩＤカードＣＤ１００（Ｄ）’を用いて前記端末装置ＴＭ１００経由でサーバ装置ＳＶ１００にアクセスすることによって、より詳細には、偽ＩＤカードＣＤ１００（Ｄ）’が、前記端末装置ＴＭ１００へ医師ＩＤを第２の暗号鍵ＫＹ２で暗号化して送信し、かつ、端末装置ＴＭ１００が第２の記憶部２６０に記憶されている第２の暗号鍵ＫＹ２を用いて復号化することによって、前記第三者Ｔは、前記患者Ｃの患者情報ＩＮ１００（Ｃ）を閲覧することができてしまい、即ち、前記患者Ｃの患者情報ＩＮ１００（Ｃ）が当該第三者Ｔに漏洩されるおそれがあるという問題があった。
【課題を解決するための手段】
【００１５】
本発明に係る病院システム、介護施設システム、及び運動施設システムは、以下の適用例により実現される。
【００１６】
［適用例１］
病院に勤務する勤務者を識別するためのＩＤカードと、前記病院で治療を受ける患者に関する患者情報が記憶されている端末装置とを含み、
前記ＩＤカードは、
前記勤務者を識別する識別情報であって、前記患者情報を利用の許否を決定するために用いられる前記識別情報を、一の秘密鍵により暗号化する暗号化部と、
前記暗号化された識別情報を前記端末装置へ送信する送信部と、を有し、
前記端末装置は、
前記一の秘密鍵と同一の他の秘密鍵を記憶しているＦｅＲＡＭであって、当該ＦｅＲＡＭから外部へ前記他の秘密鍵を読み出すことが行われたならば、当該ＦｅＲＡＭから前記他の秘密鍵が消去される前記ＦｅＲＡＭと、
前記ＩＤカードから前記暗号化された識別情報を受信する受信部と、
前記受信された、前記一の暗号鍵により暗号化された識別情報を、前記ＦｅＲＡＭに記憶されているはずの前記他の秘密鍵により復号化する復号化部と、を有することを特徴とする病院システム。
【００１７】
［適用例２］
介護施設システムは、
介護施設に勤務する勤務者を識別するためのＩＤカードと、前記介護施設で介護を受ける被介護者に関する被介護者情報が記憶されている端末装置とを含み、
前記ＩＤカードは、
前記勤務者を識別する識別情報であって、前記被介護者情報を利用の許否を決定するために用いられる前記識別情報を、一の秘密鍵により暗号化する暗号化部と、
前記暗号化された識別情報を前記端末装置へ送信する送信部と、を有し、
前記端末装置は、
前記一の秘密鍵と同一の他の秘密鍵を記憶しているＦｅＲＡＭであって、当該ＦｅＲＡＭから外部へ前記他の秘密鍵を読み出すことが行われたならば、当該ＦｅＲＡＭから前記他の秘密鍵が消去される前記ＦｅＲＡＭと、
前記ＩＤカードから前記暗号化された識別情報を受信する受信部と、
前記受信された、前記一の暗号鍵により暗号化された識別情報を、前記ＦｅＲＡＭに記憶されているはずの前記他の秘密鍵により復号化する復号化部と、を有する。
【００１８】
［適用例３］
運動施設システムは、
運動施設に勤務する勤務者を識別するためのＩＤカードと、前記運動施設で運動する運動者に関する運動者情報が記憶されている端末装置とを含み、
前記ＩＤカードは、
前記勤務者を識別する識別情報であって、前記運動者情報を利用の許否を決定するために用いられる前記識別情報を、一の秘密鍵により暗号化する暗号化部と、
前記暗号化された識別情報を前記端末装置へ送信する送信部と、を有し、
前記端末装置は、
前記一の秘密鍵と同一の他の秘密鍵を記憶しているＦｅＲＡＭであって、当該ＦｅＲＡＭから外部へ前記他の秘密鍵を読み出すことが行われたならば、当該ＦｅＲＡＭから前記他の秘密鍵が消去される前記ＦｅＲＡＭと、
前記ＩＤカードから前記暗号化された識別情報を受信する受信部と、
前記受信された、前記一の暗号鍵により暗号化された識別情報を、前記ＦｅＲＡＭに記憶されているはずの前記他の秘密鍵により復号化する復号化部と、を有する。
【００１９】
上記した病院システム、介護施設システム、及び運動施設システムによれば、外部、即ち、悪意の者によって、前記ＦｅＲＡＭから前記他の暗号鍵が読み出されたならば、当該他の秘密鍵は前記ＦｅＲＡＭから消去される。これにより、前記悪意の者が、前記他の秘密鍵を含む、偽ＩＤカードを作成し、当該偽ＩＤカードを用いて、前記端末装置との通信を試みても、前記端末装置では、前記復号化部は、前記偽ＩＤカードから受信する識別情報を復号化することができず、その結果、前記悪意の者は、前記端末装置から前記患者情報、被介護者情報、又は、運動者情報を入手することができず、即ち、当該患者情報、被介護者情報、及び、運動者情報が、当該悪意の者に漏洩するという事態を回避することが可能となる。
【発明を実施するための最良の形態】
【００２０】
《実施例》
データ管理システムを備える病院システムの実施例について図面を参照して説明する。
【００２１】
《構成》
図１は、実施例の病院システムの構成を示す。実施例の病院システムＨは、病院ＨＳで採用されており、当該病院ＨＳには、医師Ｄ０３が勤務し、また、患者Ｃ３４が通院している。実施例の病院システムＨは、秘匿性を確保されるべき患者Ｃ３１〜Ｃ３４の患者情報ＩＮ（Ｃ３１）〜ＩＮ（Ｃ３４）（図３に図示。）を秘密に管理すべく、サーバ装置ＳＶと、端末装置ＴＭと、ＩＤカードＣＤ（Ｃ）と、ＩＤカードＣＤ（Ｄ）とを含む。
【００２２】
〈サーバ装置ＳＶ〉
サーバ装置ＳＶは、図１に示されるように、病院ＨＳから離れた場所に設置されており、送受信部１０と、暗号復号部１１と、制御部１２と、第１のデータベース部１３と、第２のデータベース部１４と、記憶部１５とを有する。
【００２３】
送受信部１０は、無線通信又は有線通信により、端末装置ＴＭ内の送受信部２０から、医師Ｄ０３の医師ＩＤ、患者Ｃ３４の患者ＩＤを受信し、他方で、当該送受信部２０へ、患者Ｃ３４に関する情報（以下「患者情報」という。）ＩＮ（Ｃ３４）を送信する。
【００２４】
暗号復号部１１は、暗号化のための鍵と復号化のための鍵とが同一であるという秘密鍵方式（例えば、ＤＥＳ方式）の下、前記端末装置ＴＭへ送信すべき前記患者Ｃ３４の患者情報ＩＮ（Ｃ３４）を暗号化し、また、端末装置ＴＭから受信した、暗号化された前記医師Ｄ０３の医師ＩＤ及び前記患者Ｃ３４の患者ＩＤを復号化する。
【００２５】
制御部１２は、例えば、ＣＰＵであり、予め用意されたプログラム（図示せず。）に従って、サーバ装置ＳＶの全体の動作を制御し、かつ、当該全体の動作を監視する。
【００２６】
第１のデータベース部１３は、例えば、ハードディスクからなり、第１のデータベースＤＢ１を記憶している。第１のデータベースＤＢ１は、図２に示されるように、医師Ｄ０１〜医師Ｄ０４に関する情報（以下「医師情報」という。）ＩＮ（Ｄ０１）〜ＩＮ（Ｄ０３）からなる。例えば、医師情報ＩＮ（Ｄ０３）は、医師ＩＤ「Ｄ０３」、氏名「ＥＦ」、属性「内科医」、権限「第２のデータベースＤＢ２の閲覧及び更新が可能」から構成されている。
【００２７】
第２のデータベース部１４もまた、例えば、ハードディスクからなり、第２のデータベースＤＢ２を記憶している。第２のデータベースＤＢ２は、図３に示されるように、患者Ｃ３１〜Ｃ３４の患者情報ＩＮ（Ｃ３１）〜ＩＮ（Ｃ３４）からなる。例えば、患者情報ＩＮ（Ｃ３４）は、患者ＩＤ「Ｃ３４」、氏名「ＵＶ」、診療履歴「麻しん」、薬歴「ｄ」から構成されている。
【００２８】
記憶部１５は、例えば、ＲＯＭからなり、秘密鍵である第１の暗号鍵ＫＹ１、及び、秘密鍵である第２の暗号鍵ＫＹ２を記憶している。
【００２９】
〈端末装置ＴＭ〉
端末装置ＴＭは、図１に示されるように、送受信部２０と、暗号復号部２１と、印刷部２２と、表示部２３と、制御部２４と、記憶部２５と、ＦｅＲＡＭ２６とを有する。
【００３０】
送受信部２０は、無線通信により、サーバ装置ＳＶの送受信部１０との間で、ＩＤカードＣＤ（Ｃ）の送受信部３０との間で、及び、ＩＤカードＣＤ（Ｄ）の送受信部４０との間で、医師Ｄ０３の医師ＩＤ、患者Ｃ３４の患者ＩＤ、及び患者Ｃ３４の患者情報ＩＮ（Ｃ３４）のやりとりを行う。
【００３１】
暗号復号部２１は、上記した秘密鍵方式の下、第１の暗号鍵ＫＹ１又は第２の暗号鍵ＫＹ２を用いて暗号化又は復号化を行う。
【００３２】
印刷部２２及び表示部２３は、例えば、プリンタ及びモニター（液晶モニター、ＣＲＴモニター）であり、記憶部２５に一時的に記憶されている患者情報、例えば、患者情報ＩＮ（Ｃ３４）を印刷するために、または、表示部２３に表示させるために用いられる。
【００３３】
制御部２４は、例えば、ＣＰＵからなり、予め定められたプログラム（図示せず。）に従って、端末装置ＴＭの全体の動作を制御し、また、当該全体の動作を監視する。当該制御及び監視に加えて、制御部２４は、サーバ装置ＳＶから受信した患者情報、例えば、患者Ｃ３４の患者情報ＩＮ（Ｃ３４）を記憶部２５に書き込み、当該記憶部２５に一時的に記憶させる。
【００３４】
記憶部２５は、前記制御部２４が、患者情報、例えば、図４に示されるように、サーバ装置ＳＶから受信した患者Ｃ３４の患者情報ＩＮ（Ｃ３４）を一時的に記憶領域に記憶するために用いられる。
【００３５】
ＦｅＲＡＭ２６は、サーバ装置ＳＶ内の記憶部１５、ＩＤカードＣＤ（Ｃ）内の記憶部３３、及び、ＩＤカードＣＤ（Ｄ）内の記憶部４３に記憶されていると同一な第１の暗号鍵ＫＹ１及び第２の暗号鍵ＫＹ２を記憶している。ＦｅＲＡＭ２６が、外部（例えば、制御部２４）から、当該ＦｅＲＡＭ２６からの読み出し及び当該ＦｅＲＡＭ２６への再書き込みを受けるとき、当該読み出し及び当該再書き込みが行われる前からＦｅＲＡＭ２６に記憶されていた情報（例えば、第２の暗号鍵ＫＹ２）は、そのまま記憶され続け、対照的に、ＦｅＲＡＭ２６からの読み出しを受けるものの、再書込みを受けないとき、当該読み出しが行われる前からＦｅＲＡＭ２６に記憶されていた情報（例えば、第２の暗号鍵ＫＹ２）は、ＦｅＲＡＭ２６から消去される。
【００３６】
〈ＩＤカードＣＤ（Ｃ）〉
ＩＤカードＣＤ（Ｃ）は、患者Ｃ３４により所有され、かつ、携帯されており、送受信部３０と、暗号復号部３１と、制御部３２と、記憶部３３とを有する。
【００３７】
送受信部３０は、無線通信により、端末装置ＴＭの送受信部２０との間で、患者ＩＤのやりとりを行う。
【００３８】
暗号復号部３１は、秘密鍵方式の下、端末装置ＴＭへ送信すべき患者ＩＤを、第１の暗号鍵ＫＹ１を用いて暗号化し、また、端末装置ＴＭから暗号化された情報を受信したときには、第１の暗号鍵ＫＹ１を用いて復号化する。
【００３９】
制御部３２は、例えば、ＣＰＵからなり、記憶部３３に記憶されている所定のプログラム（図示せず。）に従って、ＩＤカードＣＤ（Ｃ）の全体の動作を制御し、また、当該全体の動作を監視する。
【００４０】
記憶部３３は、例えば、ＲＯＭからなり、図５に示されるような患者ＩＤ「Ｃ３４」、及び第１の暗号鍵ＫＹ１を記憶している。
【００４１】
〈ＩＤカードＣＤ（Ｄ）〉
ＩＤカードＣＤ（Ｄ）は、医師Ｄ０３である医師Ｄにより所有され、かつ、携帯されており、上記したＩＤカードＣＤ（Ｃ）と同様に、送受信部４０と、暗号復号部４１と、制御部４２と、記憶部４３とを有する。
【００４２】
送受信部４０は、無線通信により、端末装置ＴＭの送受信部２０との間で、医師ＩＤとのやりとりを行う。
【００４３】
暗号復号部４１は、秘密鍵方式の下、端末装置ＴＭへ送信すべき医師ＩＤを第２の暗号鍵ＫＹ２を用いて暗号化し、また、端末装置ＴＭから暗号化された情報を受信したときには、第２の暗号鍵ＫＹ２を用いて復号化する。
【００４４】
制御部４２は、例えば、ＣＰＵからなり、記憶部４３に記憶されている所定のプログラム（図示せず。）に従って、ＩＤカードＣＤ（Ｄ）の全体の動作を制御し、また、当該全体の動作を監視する。
【００４５】
記憶部４３は、例えば、ＲＯＭからなり、図６に示されるような医師ＩＤ「Ｄ０３」、及び、第２の暗号鍵ＫＹ２を記憶している。
【００４６】
《動作（その１）》
図７は、実施例の病院システムの動作（正当なアクセス時の動作）を示すフローチャートである。以下、実施例の病院システムの動作について、図７のフローチャートに沿って説明する。
【００４７】
ステップＳ１：患者Ｃ３４が病院ＨＳに来院する。
【００４８】
ステップＳ２：患者Ｃ３４が来院すると、医師Ｄ０３は、端末装置ＴＭに、当該医師Ｄ０３のＩＤカードＣＤ（Ｄ）を使って、医師Ｄ０３の医師ＩＤ「Ｄ０３」（図６に図示。）を送信（入力）し、また、患者Ｃ３４のＩＤカードＣＤ（Ｃ）を使って、患者Ｃ３４の患者ＩＤ「Ｃ３４」（図５に図示。）を送信（入力）する。
【００４９】
換言すると、医師Ｄ０３が携帯しているＩＤカードＣＤ（Ｄ）では、暗号復号部４１は、記憶部４３に記憶されている医師ＩＤ「Ｄ０３」を、第２の暗号鍵ＫＹ２で暗号化し、送受信部４０は、当該当該暗号化された医師ＩＤ「Ｄ０３」を端末装置ＴＭに向けて送信する。同様にして、患者Ｃ３４が携帯しているＩＤカードＣＤ（Ｃ）では、暗号復号部３１は、記憶部３３に記憶されている患者ＩＤ「Ｃ３４」を、第１の暗号鍵ＫＹ１で暗号化し、送受信部３０は、当該当該暗号化された患者ＩＤ「Ｃ３４」を端末装置ＴＭに向けて送信する。
【００５０】
端末装置ＴＭでは、前記ＩＤカードＣＤ（Ｄ）及びＩＤカードＣＤ（Ｃ）から、前記医師ＩＤ「Ｄ０３」及び前記患者ＩＤ「Ｃ３４」を受信すると、暗号復号部２１は、ＦｅＲＡＭ２６に記憶されている第１の暗号鍵ＫＹ１、第２の暗号鍵ＫＹ２を用いて復号化を行い、かつ、”当該復号化に成功”したときには再び暗号化を行う。その結果、送受信部２０は、第１の暗号鍵ＫＹ１で暗号化された医師ＩＤ「Ｄ０３」、及び、第２の暗号鍵ＫＹ２で暗号化された患者ＩＤ「Ｃ３４」をサーバ装置ＳＶへ転送する。
【００５１】
ステップＳ３：サーバ装置ＳＶでは、送受信部１０が、前記端末装置ＴＭを介して、前記暗号化された医師ＩＤ「Ｄ０３」及び患者ＩＤ「Ｃ３４」を受信すると、暗号復号部１１は、前記暗号化された医師ＩＤ「Ｄ０３」を第２の暗号鍵ＫＹ２により復号化することにより、医師ＩＤ「Ｄ０３」を再生し、同様にして、前記暗号化された患者ＩＤ「Ｃ３４」を第１の暗号鍵ＫＹ１により復号化することにより、患者ＩＤ「Ｃ３４」を再生する。
【００５２】
サーバ装置ＳＶでは、制御部１２は、前記復号化に引き続き、前記医師ＩＤ「Ｄ０３」に基づき、第１のデータベース部１３内の第１のデータベースＤＢ１（図２に図示。）を参照することにより、医師ＩＤ「Ｄ０３」の医師が、権限「第２のデータベースＤＢ２の閲覧、更新」を有することを認識し、即ち、医師Ｄ０３による第２のデータベースＤＢ２のアクセスを事実上許可する。
【００５３】
サーバ装置ＳＶは、前記認識の後、患者Ｃ３４の患者情報ＩＮ（Ｃ３４）（図３に図示。）を端末装置ＴＭへ送信する。
【００５４】
換言すれば、サーバ装置ＳＶでは、暗号復号部１１は、患者Ｃ３４の患者情報ＩＮ（Ｃ３４）を第１の暗号鍵ＫＹ１で暗号化し、送受信部１０は、当該暗号化された患者Ｃ３４の患者情報ＩＮ（Ｃ３４）を端末装置ＴＭに向けて送信する。
【００５５】
ステップＳ４：端末装置ＴＭでは、送受信部２０が、前記暗号化された患者Ｃ３４の患者情報ＩＮ（Ｃ３４）を受信すると、暗号復号部２１が、当該暗号化された患者Ｃ３４の患者情報ＩＮ（Ｃ３４）を第１の暗号鍵ＫＹ１を用いて復号化し、制御部２４は、再生された患者Ｃ３４の患者情報ＩＮ（Ｃ３４）を記憶部２５に書き込み、記憶部２５に一時的に記憶させる。
【００５６】
ステップＳ５：医師Ｄ０３は、端末装置ＴＭを操作することにより、患者Ｃ３４の患者情報ＩＮ（Ｃ３４）を、表示部２３で表示し又は印刷部２２で印刷することにより、閲覧を可能にする。
ステップＳ５の後、医師Ｄ０３は、患者Ｃ３４の患者情報ＩＮ（Ｃ３４）を閲覧しながら、患者Ｃ３４に診療（例えば、病状「腹痛」に対し薬「ｂ」を投与）を行う。
【００５７】
《動作（その２）》
図８は、実施例の病院システムの動作（不正なアクセス時の動作）を示すフローチャートである。以下、実施例の病院システムの動作について、図８のフローチャートに沿って説明する。
【００５８】
ステップＳ１１：病院システムＨへのアクセス権限を有せず、しかも、不正アクセスを企図する悪意の第三者Ｔは、端末装置ＴＭ内のＦｅＲＡＭ２６から第２の暗号鍵ＫＹ２を読み出すことにより、盗み出す。前記第三者Ｔは、第２の暗号鍵ＫＹ２の読見出しのみを行うものの、再書き込みを行わないことから、ＦｅＲＡＭ２６から、前記第２の暗号鍵ＫＹ２が消去される。
【００５９】
ステップＳ１２：第三者Ｔは、ステップＳ１１による方法以外の方法、例えば、ナースセンター（図示せず。）内に保管されている職員名簿（図示せず。）から、医師Ｄ０３の医師ＩＤを盗み出す。第三者Ｔは、上記の盗み出した、第２の暗号鍵ＫＹ２及び医師ＩＤを用いて、正規のＩＤカードＣＤ（Ｄ）と構成及び機能が同一である、偽ＩＤカードＣＤ（Ｄ）’を作成する。即ち、図１に示されるように、偽ＩＤカードＣＤ（Ｄ）’は、正規のＩＤカードＣＤ（Ｄ）と同様に、送受信部５０と、暗号復号部５１と、制御部５２と、記憶部５３とを含み、さらに、当該記憶部５３には、盗み出された第２の暗号鍵ＫＹ２及び医師ＩＤが記憶されている。
【００６０】
ステップＳ１３：第三者Ｔは、上記したステップＳ２と実質的に同様に、前記偽ＩＤカードＣＤ（Ｄ）’を用いて、端末装置ＴＭ経由でサーバ装置ＳＶへの医師ＩＤを送信する。
【００６１】
ステップＳ１４：端末装置ＴＭでは、上記したステップＳ１１の段階で、ＦｅＲＡＭ２６から前記第２の暗号鍵ＫＹ２が既に消去されていることから、暗号復号部２１は、偽ＩＤカードＣＤ（Ｄ）’から受信した、第２の暗号鍵ＫＹ２で暗号化された医師ＩＤの”復号化に失敗”する。
【００６２】
《効果》
上述したように、実施例の病院システムＨでは、アクセス権限無き第三者Ｔが、端末装置ＴＭ内のＦｅＲＡＭ２６から第２の暗号鍵ＫＹ２を読み出すことにより盗み出し、当該第２の暗号鍵ＫＹ２及び医師ＩＤが記憶されている偽ＩＤカードＣＤ（Ｄ）’を作成し、当該偽ＩＤカードＣＤ（Ｄ）’を用いてサーバ装置ＳＶにアクセスしようとして、第２の暗号鍵ＫＹ２で暗号化された医師ＩＤを端末装置ＴＭへ送信しても、既に、端末装置ＴＭ内のＦｅＲＡＭ２６から前記第２の暗号鍵ＫＹ２が消去されていることから、端末装置ＴＭは、前記第２の暗号鍵ＫＹ２で暗号化されている医師ＩＤの”復号化に失敗”する。これにより、前記第三者Ｔは、サーバ装置ＳＶから、サーバ装置ＳＶ内の第２のデータベースＤＢ２へのアクセス許可を得られない。その結果、例えば、患者Ｃ３４の患者情報ＩＮ（Ｃ３４）が、当該第三者Ｔに漏洩することを回避することが可能となる。
【００６３】
《変形例》
上記した実施例の病院システムＨにおける「病院ＨＳ」及び「患者情報ＩＮ（Ｃ３４）等」に代えて、例えば、「介護施設」及び「被介護者に関する情報」（被介護者の氏名、住所、家族状況、症状、介護等に関する情報）、「運動施設（例えば、フィットネスクラブ）」及び「運動する者に関する情報」（運動者の氏名、住所、身長、体重、運動の目的、運動のプログラム等）を用いることによって「介護施設システム」及び「運動施設システム」を構築することにより、上記したと同様な効果を得ることができる。
【図面の簡単な説明】
【００６４】
【図１】実施例の病院システムの構成を示す図。
【図２】実施例の第１のデータベースの内容を示す図。
【図３】実施例の第２のデータベースの内容を示す図。
【図４】実施例のＦｅＲＡＭ及び第２のデータベースの内容の変遷を示す図。
【図５】実施例のＩＤカードＣＤ（Ｃ）に記憶された内容を示す図。
【図６】実施例のＩＤカードＣＤ（Ｄ）に記憶された内容を示す図。
【図７】実施例の病院システムの動作（正当なアクセス時の動作）を示すフローチャート。
【図８】実施例の病院システムの動作（不正なアクセス時の動作）を示すフローチャート。
【図９】従来の病院システムの構成を示す図。
【符号の説明】
【００６５】
Ｈ…病院システム、ＨＳ…病院、ＳＶ…サーバ装置、ＴＭ…端末装置、ＣＤ（Ｃ）…患者ＩＤカード、ＣＤ（Ｄ）…医師ＩＤカード、１４…第２のデータベース部、２０…送受信部、２１…暗号復号部、２２…印刷部、２３…表示部、２４…制御部、２５…記憶部、２６…ＦｅＲＡＭ、ＩＮ（Ｃ３４）…患者情報。

【特許請求の範囲】
【請求項１】
病院に勤務する勤務者を識別するためのＩＤカードと、前記病院で治療を受ける患者に関する患者情報が記憶されている端末装置とを含み、
前記ＩＤカードは、
前記勤務者を識別する識別情報であって、前記患者情報を利用の許否を決定するために用いられる前記識別情報を、一の秘密鍵により暗号化する暗号化部と、
前記暗号化された識別情報を前記端末装置へ送信する送信部と、を有し、
前記端末装置は、
前記一の秘密鍵と同一の他の秘密鍵を記憶しているＦｅＲＡＭであって、当該ＦｅＲＡＭから外部へ前記他の秘密鍵を読み出すことが行われたならば、当該ＦｅＲＡＭから前記他の秘密鍵が消去される前記ＦｅＲＡＭと、
前記ＩＤカードから前記暗号化された識別情報を受信する受信部と、
前記受信された、前記一の暗号鍵により暗号化された識別情報を、前記ＦｅＲＡＭに記憶されているはずの前記他の秘密鍵により復号化する復号化部と、を有することを特徴とする病院システム。
【請求項２】
介護施設に勤務する勤務者を識別するためのＩＤカードと、前記介護施設で介護を受ける被介護者に関する被介護者情報が記憶されている端末装置とを含み、
前記ＩＤカードは、
前記勤務者を識別する識別情報であって、前記被介護者情報を利用の許否を決定するために用いられる前記識別情報を、一の秘密鍵により暗号化する暗号化部と、
前記暗号化された識別情報を前記端末装置へ送信する送信部と、を有し、
前記端末装置は、
前記一の秘密鍵と同一の他の秘密鍵を記憶しているＦｅＲＡＭであって、当該ＦｅＲＡＭから外部へ前記他の秘密鍵を読み出すことが行われたならば、当該ＦｅＲＡＭから前記他の秘密鍵が消去される前記ＦｅＲＡＭと、
前記ＩＤカードから前記暗号化された識別情報を受信する受信部と、
前記受信された、前記一の暗号鍵により暗号化された識別情報を、前記ＦｅＲＡＭに記憶されているはずの前記他の秘密鍵により復号化する復号化部と、を有することを特徴とする介護施設システム。
【請求項３】
運動施設に勤務する勤務者を識別するためのＩＤカードと、前記運動施設で運動する運動者に関する運動者情報が記憶されている端末装置とを含み、
前記ＩＤカードは、
前記勤務者を識別する識別情報であって、前記運動者情報を利用の許否を決定するために用いられる前記識別情報を、一の秘密鍵により暗号化する暗号化部と、
前記暗号化された識別情報を前記端末装置へ送信する送信部と、を有し、
前記端末装置は、
前記一の秘密鍵と同一の他の秘密鍵を記憶しているＦｅＲＡＭであって、当該ＦｅＲＡＭから外部へ前記他の秘密鍵を読み出すことが行われたならば、当該ＦｅＲＡＭから前記他の秘密鍵が消去される前記ＦｅＲＡＭと、
前記ＩＤカードから前記暗号化された識別情報を受信する受信部と、
前記受信された、前記一の暗号鍵により暗号化された識別情報を、前記ＦｅＲＡＭに記憶されているはずの前記他の秘密鍵により復号化する復号化部と、を有することを特徴とする運動施設システム。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【公開番号】特開２００９−４４２１４（Ｐ２００９−４４２１４Ａ）
【公開日】平成２１年２月２６日（２００９．２．２６）
【国際特許分類】
【出願番号】特願２００７−２０３８７５（Ｐ２００７−２０３８７５）
【出願日】平成１９年８月６日（２００７．８．６）
【出願人】（０００００２３６９）セイコーエプソン株式会社 (51,324)
【Ｆターム（参考）】