監査ログ管理システム
【課題】 医療機器モダリティそれぞれの収集する監査ログデータの保管容量限界を低く抑えて、収集及び記録保存が安定に行われて、収集した監査ログデータの提示用出力が簡便に行える監査ログの管理システムを提供すること。
【解決手段】 自機の監査ログ情報を作成する複数の医療機器モダリティに、限定されたネットワークを介して接続する監査ログ管理サーバと、前記各モダリティにおいて作成された監査ログ情報それぞれを、予め設定したタイミング毎に、前記ネットワーク及び監査ログ管理サーバを介して転送し、監査ログ一括記憶部の所定領域に識別して記憶する監査ログ一括記録手段と、前記監査ログ一括記録手段の前記所定領域に記録された監査ログ情報を検索して、所定の項目を含む監査ログリストを出力、表示する監査ログ表示手段とを具備することを特徴とする監査ログ管理システム。
【解決手段】 自機の監査ログ情報を作成する複数の医療機器モダリティに、限定されたネットワークを介して接続する監査ログ管理サーバと、前記各モダリティにおいて作成された監査ログ情報それぞれを、予め設定したタイミング毎に、前記ネットワーク及び監査ログ管理サーバを介して転送し、監査ログ一括記憶部の所定領域に識別して記憶する監査ログ一括記録手段と、前記監査ログ一括記録手段の前記所定領域に記録された監査ログ情報を検索して、所定の項目を含む監査ログリストを出力、表示する監査ログ表示手段とを具備することを特徴とする監査ログ管理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、医療機関において、医療機器に対して法的機関から要求される監査ログを提供する技術に関する。
【背景技術】
【0002】
医療機関においては、X線画像装置、CT画像装置、超音波画像装置、MR画像装置、内視鏡画像装置、検体検査装置、血液分析装置、検査オーダ装置などの、種々の医療用機器が利用されている。これ等の機器により収集された被検者の個人情報を含む医用情報は、電子的な処理により、さらに画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)などの画像管理システムとデータの交換を行っている。なお、本願明細書においては、被検者とは、患者を含む上記の医療用機器の対象となる人を、ここでは総称する。
【0003】
一方、これ等の医用機器により得た医用データにより、診断を受ける被検者に対するセキュリティあるいはプライバシーの保護規定が、整備、制定されて、医用機器で診断された被検者の個人情報はもちろん、機器の操作の情報も記録として残した操作ログ情報を、法的機関からの要求に応じて呈示、提出することが義務付けられるようになった。このため、先行しているHIPAA法(米国法、Health Insurance Portability and Accountability Act)に適応した監査ログの出力機能が、X線画像装置、CT画像装置、超音波画像装置、MR画像装置、内視鏡画像装置などの他、さらに検体検査装置、血液分析装置、検査オーダ装置などの医療用機器(本願では、以降、これ等をモダリティと総称する)毎に、装備されることが一般的に行われている(例えば、保守管理に利用する機器の使用状況に関するログデータの作成について、特許文献1参照。)。この監査ログは、これら対象となる装置・機器の操作・作動の記録である操作ログの一部で構成され、そのログデータは、1)装置をログイン/ログアウトした操作者識別とその時刻。2)オリジナル作成操作者以外の操作者識別とその操作内容、特に削除あるいは書き換え。3)データの外部出力先およびその操作者識別。などを主として構成されている。
【0004】
しかしながら、従来、実施時期が不定である監査の性質上、監査の実施が指示された場合に、病院側の対応は、各モダリティを担当している検査技師、あるいはこれ等のシステムの担当者が、モダリティ毎に機器を操作して監査ログを出力し、報告資料等の形態に作成し、これを提示しなくてはならず、多大な時間と人件費を要する。
【0005】
一方、従来のこれらモダリティに装備される監査ログを個々に出力する出力機能には、出力する期間、あるいは取り扱うデータ、例えば医用画像の種類、画像データのデータ容量、および本処理に対応する被検者数などにより、対象の監査ログデータのデータ記憶容量領域の必要容量が、数メガバイトから数十メガバイトまでの広範囲のレンジで異なる。特に、監査ログを出力する期間、言い換えれば保持する期間は、機器の据付先における運用手続に係り、適切な時期毎に、モダリティ毎に蓄積した操作ログの出力が実施されなければ、古い時期の監査ログデータが喪失される。
【特許文献1】特開2003−290224号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
上に述べたモダリティ毎に出力する従来の監査ログの出力機能を有する装置・システムでは、監査の目的とその実施状況に十分な対応、すなわち監査に提示するデータの質・量、およびその対応の迅速性において、人的コストと時間に費やされる損失が大きいことが、問題点となっていた。
【0007】
また、監査の性質上、その実施される時期が不定で、収集したデータの蓄積に、モダリティそれぞれの監査ログデータの記憶容量も不定となるので、これ等のデータ管理にきめ細かな対応を要することも大きな問題となっていた。
【0008】
本発明は上記の問題点に鑑みてなされたもので、監査の性質上、その実施される時期が不定であっても、収集したデータの蓄積に、医療機器モダリティそれぞれの保管容量限界を低く抑えて、収集及び記録保存が安定に行われて、収集した監査ログデータの提示用出力が簡便に行える監査ログの管理システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記の目的を達成するために、本発明の請求項1の監査ログ管理システムは、自機の監査ログ情報を作成する複数の医療機器モダリティに、限定したネットワークを介して接続する監査ログ管理サーバと、前記各モダリティにおいて作成された監査ログ情報それぞれを、予め設定したタイミング毎に、前記ネットワーク及び監査ログ管理サーバを介して転送し、監査ログ一括記憶部の所定領域に識別して記憶する監査ログ一括記録手段と、前記監査ログ一括記録手段の前記所定領域に記録された監査ログ情報を検索して、所定の項目を含む監査ログリストを出力、表示する監査ログ表示手段とを具備することを特徴とするものである。
【0010】
さらに、本発明の請求項2の監査ログ管理システムにおいては、請求項1記載の監査ログ管理サーバが、前記接続の正当性を確保するパスワードを、前記複数の医療機器モダリティに対して、所定の期間毎にランダムな文字符号列で生成、更新し、前記所定の期間の冒頭に告知登録し、前記接続には対応する前記パスワードの検証後に前記転送を実施するログ転送検証手段を具備することを特徴とするものである。
【0011】
さらに、本発明の請求項3の監査ログ管理システムにおいては、請求項2記載のパスワードの前記告知登録が、前記期間の冒頭において、登録が完了するまで、所定の時間間隔毎に繰り返し行うパスワード更新手段を具備することを特徴とするものである。
【0012】
さらに、本発明の請求項4の監査ログ管理システムにおいては、請求項1記載の監査ログ一括記録手段の前記転送が、前記複数の医療機器モダリティそれぞれに備えた転送起動手段によるタイミングにより行われることを特徴とするものである。
【0013】
さらに、本発明の請求項5の監査ログ管理システムにおいては、前記監査ログ一括記録手段の前記転送が、前記複数の医療機器モダリティそれぞれに備え、少なくとも1日の予め設定されたタイマーによる自動転送起動手段によるタイミングにより行われることを特徴とするものである。
【0014】
さらに、本発明の請求項6の監査ログ管理システムにおいては、前記監査ログ一括記録手段の前記転送は、前記監査ログ管理サーバに備え、少なくとも1日の予め設定されたタイマーによる転送要求起動手段によるタイミング設定により、前記監査ログ管理サーバが前記複数の医療機器モダリティそれぞれに転送指示信号を送信し、これに応答して前記複数の医療機器モダリティそれぞれから行われることを特徴とするものである。
【発明の効果】
【0015】
本発明の監査ログ管理システムによれば、医療機器モダリティ毎に出力される監査ログを、これ等のデータ蓄積の容量を低く抑える所定のタイミングで、監査ログを一括記憶する領域に転送する。したがって、監査の性質上、その実施される時期が不定であっても、監査に提示するデータの質・量、およびその対応の迅速性において、監査の目的とその実施状況に十分な対応をする人的コストと時間を抑えて、監査ログデータの提示用出力が簡便に提供できる。
【発明を実施するための最良の形態】
【0016】
以下、本発明の実施形態を図面により詳細に説明する。なお、以降、モダリティの名称で、X線画像装置、CT画像装置、超音波画像装置、MR画像装置、内視鏡画像装置などの他、検体検査装置、血液分析装置、検査オーダ装置などの監査ログの対象となる医療用機器の個々を総称する。
【0017】
(実施形態1)
図1は、本発明の監査ログ管理システムの一実施形態を示す模式的な構成ブロック図である。
【0018】
本実施形態の監査ログ管理システム1は、図1に示すように、医療機関の組織内あるいは構内の通信ネットワークであるイントラネットあるいはLAN(ローカル・エリア・ネットワーク)などの限定されたネットワーク10に接続している監査ログ管理サーバ11と、同じく限定したネットワーク10に接続して監査ログの対象となる各モダリティの医用画像機器である例えば、CT画像機器A21a、CT画像機器B21b、MR画像機器22、X線画像機器23などと、これらの画像機器から出力される画像データを集中的に管理しているネットワーク10に接続している画像サーバ31などから構成される。
【0019】
また、対象となるCT画像機器A21a、CT画像機器B21b、MR画像機器22、X線画像機器23などの各医用機器それぞれには、その稼働状況の記録を、個別の監査ログデータとして出力し、一時的なデータ保管を行う監査ログデータメモリ手段21am、21bm、22m、23mを備えている。
【0020】
監査ログ管理サーバ11には、監査ログに関する操作入力を行うマウスあるいはキーボードなどの入力操作機器13と、専ら監査ログに関する出力を表示するモニタ14aあるいはプリンタ14bなどの監査ログ出力表示機14が接続されている。また、監査ログ管理サーバ11が収集し、表示する各機器の監査ログデータを、前記監査ログ管理サーバ11に接続された監査ログ管理データ部12の一部に監査ログ一括メモリ12mを設けて、記憶している。
【0021】
また、監査ログとは、各モダリティの医用画像機器において記録される操作ログの少なくも、1)対象機器のログイン/ログアウトの操作者のID情報、パスワード情報、2)自機器以外の外部装置への出力先(機器IDを含む識別情報)、およびその操作者(ID、パスワードを含む識別情報)、3)元データ作成操作者以外の操作者(ID、パスワードを含む識別情報)、およびそのデータ書き換え、データ削除の操作内容、および4)これ等の実施された年月日、時刻、の各データから構成されている。
【0022】
図2に、本発明の監査ログ管理システムにおいて行われる監査ログの処理のフローチャートを示す。図2のフローチャートに示す処理は、図1に示す監査ログ管理システムの管理の対象となる、例えば、CT画像機器A21a、CT画像機器B21b、MR画像機器22、X線画像機器23などの各医用機器(以降、これ等をモダリティと呼ぶ)それぞれで、実施される。それぞれのモダリティが、この処理のステップS28において、ステップS21からステップS26によって作成した個々の自機の監査ログデータを、監査ログ管理サーバ11に制御される監査ログ管理データ部12にネットワーク10を介して転送する。
【0023】
図2を用いて、本実施形態の各モダリティにおける作用および動作を、以下に説明する。
【0024】
先ず、ステップS21により、各モダリティ21、22、23の1つにより、医師あるいは検査技師などの操作者の名前あるいは識別ID、およびパスワードが設定されて、本実施形態の監査ログ管理システム1へのログインが行われる。次に、前記モダリティ、例えばCT画像機器A12aにより、被検者(被検者)の診断データの収集を、被検者情報の登録を行って(ステップS22)、撮像(診断画像)データを収集し(ステップS23)、診断画像の再構成あるいは画像の観察、診断し(ステップS24)、前記被検者に対する検査を終了する(ステップS25)。ステップS26で、引き続き検査をする他の被検者がいる場合には、再びステップS22へ戻り、次の被検者の登録を行い、ステップS23以降を繰り返し、同じくステップS26で次の被検者がいなくなれば、次のステップS27へ進めて、前記ステップS21のログインをした操作者によるこのモダリティ21、あるいは22、あるいは23の使用を終えるログアウトを行う。
【0025】
上記のステップS21からステップS27までで、このモダリティに対して行なった操作の内容が、その医用機器のメモリ部の一部に操作ログとして記録される。この記録された操作ログの内容の少なくも、1)対象機器のログイン/ログアウトの操作者のID情報、パスワード情報、2)自機器以外の外部装置への出力先(機器IDを含む識別情報)、およびその操作者(ID、パスワードを含む識別情報)、3)元データ作成操作者以外の操作者(ID、パスワードを含む識別情報)、およびそのデータ書き換え、データ削除の操作内容、さらに、4)これ等の実施された年月日、時刻、の各データを抽出し、これ等のデータから構成された監査ログデータが、同モダリティの、例えばCT画像機器A12aの監査ログデータメモリ手段21amに記憶される。
【0026】
さらに、ある操作者が、ステップS21によりログインして、診断、検査を担当する被検者に対する検査画終了し、ステップS27のログアウトを行なった後、再び、ステップS21のログインが行われると、先のログインと同様に、一連の操作に対する操作ログが記録されて、その一部が監査ログとして同じく監査ログデータメモリ手段21amに記録される。
【0027】
そして、ステップS28により、このモダリティ(21、22、23いずれか)による診断、検査の集中する日中を避けた、例えば、毎日、あるいは所定の曜日、あるいは毎月の所定の日など、いずれかの日の一般的には夜間に設定された転送タイミングの所定の時刻を判定して、ステップS29により各モダリティ21、22、23側から監査ログ管理サーバ11へ、ネットワーク10を介して転送されて、各モダリティ21、22、23の監査ログデータメモリ手段21am、21bm、22m、23mに記録したこれらの監査ログデータが、監査ログ管理サーバ11の下で監査ログ一括メモリ12mに記憶される。これにより、各モダリティ21、22、23において分散して収集された監査ログを、監査ログ管理サーバ11により一元管理することができる。
【0028】
本実施形態によれば、各モダリティに分散して管理されているそれぞれの監査ログデータを、所定の時期に、監査ログ管理サーバ11の監査ログ一括メモリ12mへ自動転送し、これらを一元管理するので、監査ログの出力が監査ログ管理サーバの管理下で行えて、監査時のデータ出力の操作性が向上する。また、各監査ログの操作が、監査ログ管理サーバに一元管理されるので、操作権限をさらに限定することができて、監査ログのセキュリティを高めた管理が行える。
【0029】
(実施形態2)
次に、監査ログ管理サーバが各モダリティから監査ログデータを読み込む手順で、より高い安全性を維持してデータ転送を行うために、各モダリティと監査ログ管理サーバの相互が、パスワードを設定して、このパスワードを確認した後に転送を実施する第2の実施形態に付いて、図3を用いて説明する。
【0030】
図3は、監査ログ管理サーバが所定の時間毎に自動的に実施するパスワードの発行手順のフローチャートを示す。
【0031】
監査ログ管理システムの起動と共に、ステップS31において、パスワードの設定、配信の時刻、あるいは時間間隔、および配信が不成立と成ったときの繰り返し再送信する場合の再送信時間間隔を設定する。
【0032】
ステップS32で、ステップS31で設定した時刻に、あるいは設定した時間間隔の経過を判定する。この判定が「真(Yes)」ならば、ステップS33において、監査ログ管理サーバ11が、例えば、乱数表あるいはランダムに選択した文字列などにより、不規則に生成したパスワードを、監査ログ管理システムの下に接続される各モダリティそれぞれに、モダリティ識別IDと組にして割当て、モダリティ毎に発行する。このパスワードは、次回のパスワードの配信時刻まで、あるいは時間間隔の期間中にのみ有効となる。
【0033】
この発行された各モダリティのパスワードを、ステップS34において、モダリティ毎に前記ネットワーク10を介して配信する。次のステップS35で、配信したパスワードデータを受信したモダリティが受信確認として、これをアンサーバックする応答を受信できた場合は、「配信成功」と判定し、次回の配信時刻まで待機するためにステップS32へ戻る。一方、例えば配信先モダリティが電源投入前で起動されていない場合などで、アンサーバックが受信できず、「配信不可」と判定した場合は、ステップS36へ進め、先のステップS31で設定したて再送信時間間隔の経過した後に、ステップS34に戻り、「配信成功」の得られていないモダリティに対し、再びステップS33で割当てたパスワードを、再送信する。このステップS36を経由するループは、配信成功が受信されるまで、繰り返される。
【0034】
以上の手順により、各モダリティには、所定の期間にのみ有効なパスワードが、その期間毎に、監査ログ管理サーバ11が発行、設定する。
【0035】
本実施形態によれば、各モダリティ毎に、ランダムな数字および文字で構成し、所定の期限で変更されるパスワードが、監査ログ管理サーバにより設定されるので、パスワードの盗用が困難となり、第三者によるこれ等の監査ログへのアクセスを阻止することができる。また、本実施形態では、各モダリティが医療業務の都合上、起動が様々な時間で行われるので、設定したパスワードの受信確認が得られるまで、再送信を繰り返し、対象のモダリティへ設定したパスワードを確実に伝送する手順を有している。
【0036】
(実施形態3)
本発明の第3の実施形態である各モダリティ21、22、23が、モダリティ毎に操作ログの一部を監査ログデータとして、限定したネットワーク10を介して監査ログ管理サーバ11の下で監査ログ一括メモリ12mにへ転送し、これに記憶される手順について、図4〜6を用いて説明する。
【0037】
図4は、各モダリティ21、22、23から個々の監査ログを監査ログ管理サーバ11へネットワーク10を介して転送する手順を概念的に図示したものである。この手順は、図4に示す次の3方法、ステップA、ステップB、ステップCのいずれか1つを設定して、転送が実施される。さらに、図5Aは、ステップAにおいて行う、モダリティの操作者による監査ログの送信を行う手順を示すフローチャートである。図5Bは、ステップBにおいて行う、モダリティに予め設定したタイミングにおいて、モダリティが自動的に監査ログの送信を行う手順を示すフローチャートである。図6は、ステップCにおいて行う、監査ログ管理サーバ11によりモダリティ毎に予め設定した監査ログ問い合せ時刻に、監査ログ管理サーバから各モダリティへ送信要求を指示して、この指示に各モダリティが応答してそれぞれの監査ログを転送する手順を示すフローチャートである。
【0038】
各モダリティから個々の監査ログを転送する本実施形態の詳細を、図4を用いて、先ず転送のタイミングに関して説明する。対象の各モダリティは、従来の技術により、監査ログデータをその操作毎に収集して、各モダリティ自機の監査ログデータメモリ手段に記録しており、この記録内容をステップA、ステップB、ステップCのいずれか1つを設定して、このステップ毎で設定される所定のタイミングで、本願システムである監査ログ管理システムへネットワーク10を介して転送して、これ等を本システムの監査ログ管理サーバ11の監査ログ一括メモリにおいて一元管理する。
【0039】
先ず、本実施形態では、ステップSとして図4のステップS41で示す、監査ログ管理サーバ11から、各モダリティ21、22、23に対し、パスワードの送信の手順が、設定した所定時刻になると行われる。この送信されるパスワードは、図3に示し、上述の第2の実施形態として説明した手順により生成され、パスワードの配信成功が確認されるまで行われる。
【0040】
次に、監査ログ管理サーバを介し、これの制御下にある監査ログ一括メモリへ監査ログデータを転送する作動は、ステップA、ステップB、あるいはステップCの何れか、予め選択して設定される1つのステップが、操作者に転送指示スイッチ操作あるいは所定の転送時刻に、実施される。
【0041】
例えば、ステップAが設定されている場合は、操作者が転送を起動する転送指示スイッチを操作すると、図5Aのフローチャートに示す手順により、この設定が成されたモダリティの監査ログデータが、監査ログ一括メモリ12mの所定の記憶領域へ転送されて、記録される。
【0042】
この手順の詳細は、先ず、図5Aに示すステップS51で、操作者による監査ログの転送要求を、対象のモダリティに備える指示スイッチなどにより入力する。これにより、先にステップSで、図3のフローチャートで示す手順により、対象モダリティに割り当てられたパスワードにより送信要求が出されているかを、ステップS52で判定する。この判定でパスワードが正しい場合に、ステップS53でモダリティは自機の監査ログデータを監査ログ管理サーバ11を介して、監査ログ一括メモリ12mの所定の記憶領域へ転送する。さらに、モダリティは、ステップS54で、監査ログ管理サーバからアンサーバックして来るデータ書き込み終了信号を受信すると、配信成功と判定して監査ログデータの転送処理を終了する。一方、アンサーバックが無い場合は、ステップS56で転送のエラー信号を監査ログ管理サーバ11へ送信する。なお、ステップS52で、パスワードが正しくない場合には、ステップS55へ進めて、監査ログ管理サーバ11へ、「パスワード不一致」の信号を送信し、更新したパスワードの発行を要求する。以上の手順により、ステップAが実施される。
【0043】
また、例えば、ステップBが設定されている場合は、この設定が成されたモダリティの時計情報を判定して、図5Bのフローチャートに示す手順により、対象のモダリティの監査ログデータが、監査ログ一括メモリ12mの所定の記憶領域へ転送されて、記録される。
【0044】
このステップBの詳細は、先ず、図5Bに示すステップS501で、対象のモダリティから監査ログを自動転送する時刻を入力し、これを設定する。ステップS502では、この設定した時刻になった時点を判定する。このステップS502の判定で、設定した時刻になれば、先に行われたステップである図3のフローチャートで示すステップS33の手順により、対象モダリティに割り当てられたパスワードを使用して送信要求が出されているかを、ステップS503で判定する。この判定でパスワードが正しい場合に、ステップS504でモダリティは自機の監査ログデータを監査ログ管理サーバ11を介して、監査ログ一括メモリ12mの所定の記憶領域へ転送する。さらに、モダリティは、ステップS505で、監査ログ管理サーバからアンサーバックして来るデータ書き込み終了信号を受信すると、配信成功と判定して監査ログデータの転送処理を終了する。一方、アンサーバックが無い場合は、ステップS507で転送のエラー信号を監査ログ管理サーバ11へ送信する。なお、ステップS503で、パスワードが正しくない場合には、ステップS506へ進めて、監査ログ管理サーバ11へ、「パスワード不一致」の信号を送信し、更新したパスワードの発行を要求する。以上の手順により、ステップBは実施される。
【0045】
また、ステップCが設定されている場合は、監査ログ管理サーバ11が、時計情報を判定して、図6のフローチャートに示す手順により、先ず対象のモダリティへ監査ログの送信要求を出力し、これを受信した対象モダリティが応答して、そのモダリティの監査ログデータを監査ログ管理サーバ11へ送信し、これが更に監査ログ一括メモリ12mの所定の記憶領域へ転送されて、記録される。
【0046】
ステップCの手順の詳細は、先ず監査ログ管理サーバ側において、図6に示すステップS61で、対象のモダリティに対し、その監査ログを問い合せ、自動転送する時刻を監査ログ管理サーバ11に入力し、これを予め設定しておく。ステップS62では、この設定した時刻になった時点を管理サーバ11が判定する。このステップS62の判定で、設定した時刻になれば、先に行われた図3のフローチャートのステップS33で示す手順により、対象モダリティに割り当てられたパスワードを使用して、対象のモダリティに対し監査ログデータの送信要求をステップS63で送信する。次に、各モダリティ側において、この送信要求を受信した対象のモダリティが、ステップS65で、この送信要求のパスワードが、前述の図4で予め送信して来た最新のパスワードに一致するかを判定する。この判定でパスワードが正しい場合に、ステップS66で対象のモダリティは自機の監査ログデータを監査ログ管理サーバ11を介して、監査ログ一括メモリ12mの所定の記憶領域へ転送する。さらに、モダリティは、ステップS67で、監査ログ管理サーバからアンサーバックして来るデータ書き込み終了信号を受信すると、配信成功と判定して監査ログデータの転送処理を終了すると共に、監査ログ管理サーバ側では、ステップS66で送信された監査ログデータの受信するステップS64を完了して、対象のモダリティ1つに対する転送を終了する。対象のモダリティが他に有る場合は、その対象のモダリティに対し、ステップS62から繰り返し実施して、同様にその監査ログデータを監査ログ一括メモリ12mの所定の記憶領域に取得、記録することを繰り返し実施する。なお、ステップS67で、アンサーバックが無い場合は、ステップS69で転送のエラー信号を監査ログ管理サーバ11へ送信する。また、ステップS65で、パスワードが正しくない場合には、ステップS68へ進めて、監査ログ管理サーバ11へ、「パスワード不一致」の信号を送信し、更新したパスワードの発行を要求する。以上の手順により、ステップCが実施される。
【0047】
上述の監査ログデータ転送手順のステップA、ステップB、ステップCの何れかが、本監査ログ管理システムの下に接続されるモダリティの稼動状況を考慮して、モダリティ毎に予め設定される。すなわち、ステップCにより監査ログ管理サーバからの所定時刻に転送指示を送信し、これに応答してモダリティ毎の監査ログデータの転送を受ける手順が、監査ログ管理システムの運用上、一般には好適であるが、転送指示を送信する時点において指示対象となる各モダリティが稼動中であることが必要となる。例えば、稼働状況が短時間で頻繁に使用されないモダリティでは、ログデータの内容容量も多大と成らないので、稼動が終了する直前の時点で転送を指示するステップAが、好適と成る。また、隔日あるいは午後に限定など、終日ではないが定期的に稼動が行われるモダリティには、ステップBが好適と成る。この設定の状況は、監査ログ管理サーバ11には、モダリティ転送設定リストとして記録されて、特にステップCの対応をするモダリティの検索をする。
【0048】
なお、上記の所定時刻とは、毎日、毎週金曜日、毎月末日などの午後4時50分、或いは午後11時50分など、比較的纏まりのある期間で、各モダリティの監査ログデータを一時的に保存する記憶容量を、この周期間で収集するデータ量が超えないことを予測、加味した周期に基づいて設定される。
【0049】
(実施形態4)
監査ログ管理サーバ11の下でモダリティ毎に転送された各監査ログデータを、監査ログ一括メモリ12mに収集、保管する第4の実施形態について、図7を用いて説明する。
【0050】
各モダリティから転送されてきたそれぞれの監査ログデータは、監査ログ一括メモリ12mに設けたモダリティ毎に区分したフォルダに仕分けて記録される。このフォルダ内には、モダリティの機器名或いは識別記号をファイル名とするリスト形式のファイルにより過去の監査ログデータを蓄積記録している。このファイルは、監査ログの記録として求められる、1)対象機器のログイン/ログアウトの操作者のID情報、パスワード情報、2)自機器以外の外部装置への出力先(機器IDを含む識別情報)、およびその操作者(ID、パスワードを含む識別情報)、3)元データ作成操作者以外の操作者(ID、パスワードを含む識別情報)、およびそのデータ書き換え、データ削除の操作内容、および4)これ等の実施された年月日、時刻、の各データに対し、図7に例示するように、例えば、操作者名、モダリティ名、操作日時、被検者ID、処理者名、処理(内容)、出力先などをデータ項目として、操作日時について例えば昇順に列挙したデータリストと成っている。
【0051】
各モダリティから、上述の第3の実施形態により、監査ログ管理サーバ11を介してこの監査ログ一括メモリ12mに転送された、転送タイミング毎の監査ログデータは、同名のファイルでその前の転送タイミングで転送された監査ログの次に、連なるように接続、統合されて、収集した監査ログの更新が行われる。
【0052】
監査が実施されて、監査ログの提示が求められれば、監査対象の期間について、対応する前記監査ログの操作日時のリストデータを抽出した監査ログを、監査ログ出力表示機14により画面表示若しくは印刷プリントアウトを提示することができる。
【0053】
本実施形態によれば、各モダリティから転送されたそれぞれのモダリティの監査ログを、モダリティ毎に監査ログとして、一元管理する監査ログ管理サーバの下で監査ログ一括メモリ12mに記録、保有しているので、このサーバの処理操作に対応するだけで、法的機関からの提示要求のあった監査対象期間に限って、容易にかつ迅速に出力ができる。
【0054】
また、複数のモダリティに対する監査であっても、単一の監査ログ管理サーバ装置の下のフォルダ間処理により、統合した監査ログの提示も、容易かつ迅速に行える監査ログ管理のシステムを提供できる。
【図面の簡単な説明】
【0055】
【図1】本発明の一実施形態の模式的な構成ブロック図。
【図2】本発明の一実施形態において行われる監査ログの処理を示すフローチャート。
【図3】本発明の第2の実施形態におけるパスワード発行のフローチャート。
【図4】本発明の第3の実施形態におけるステップS、テップA、ステップB、ステップCの転送手順を概念的に示す図。
【図5A】本発明の第3の実施形態におけるテップAの手順を示すフローチャート。
【図5B】本発明の第3の実施形態におけるテップBの手順を示すフローチャート。
【図6】本発明の第3の実施形態におけるステップCの手順を示すフローチャート。
【図7】本発明の第4の実施形態において、監査ログ一括メモリに蓄積記録するリスト形式の監査ログの例示図。
【符号の説明】
【0056】
1・・・監査ログ管理システム、
10・・・ネットワーク、
11・・・監査ログ管理サーバ、
12・・・監査ログ管理データ部、
12m・・・監査ログ一括メモリ、
13・・・入力操作機器、
14・・・監査ログ出力表示機、
14a・・・モニタ、
14b・・・プリンタ、
21、21a、21b・・・CT画像機器、
21am、21bm、22m、23m・・・監査ログデータメモリ手段、
22・・・MR画像機器、
23・・・X線画像機器、
31・・・画像サーバ。
【技術分野】
【0001】
本発明は、医療機関において、医療機器に対して法的機関から要求される監査ログを提供する技術に関する。
【背景技術】
【0002】
医療機関においては、X線画像装置、CT画像装置、超音波画像装置、MR画像装置、内視鏡画像装置、検体検査装置、血液分析装置、検査オーダ装置などの、種々の医療用機器が利用されている。これ等の機器により収集された被検者の個人情報を含む医用情報は、電子的な処理により、さらに画像管理システム(PACS)、放射線情報システム(RIS)、病院情報システム(HIS)などの画像管理システムとデータの交換を行っている。なお、本願明細書においては、被検者とは、患者を含む上記の医療用機器の対象となる人を、ここでは総称する。
【0003】
一方、これ等の医用機器により得た医用データにより、診断を受ける被検者に対するセキュリティあるいはプライバシーの保護規定が、整備、制定されて、医用機器で診断された被検者の個人情報はもちろん、機器の操作の情報も記録として残した操作ログ情報を、法的機関からの要求に応じて呈示、提出することが義務付けられるようになった。このため、先行しているHIPAA法(米国法、Health Insurance Portability and Accountability Act)に適応した監査ログの出力機能が、X線画像装置、CT画像装置、超音波画像装置、MR画像装置、内視鏡画像装置などの他、さらに検体検査装置、血液分析装置、検査オーダ装置などの医療用機器(本願では、以降、これ等をモダリティと総称する)毎に、装備されることが一般的に行われている(例えば、保守管理に利用する機器の使用状況に関するログデータの作成について、特許文献1参照。)。この監査ログは、これら対象となる装置・機器の操作・作動の記録である操作ログの一部で構成され、そのログデータは、1)装置をログイン/ログアウトした操作者識別とその時刻。2)オリジナル作成操作者以外の操作者識別とその操作内容、特に削除あるいは書き換え。3)データの外部出力先およびその操作者識別。などを主として構成されている。
【0004】
しかしながら、従来、実施時期が不定である監査の性質上、監査の実施が指示された場合に、病院側の対応は、各モダリティを担当している検査技師、あるいはこれ等のシステムの担当者が、モダリティ毎に機器を操作して監査ログを出力し、報告資料等の形態に作成し、これを提示しなくてはならず、多大な時間と人件費を要する。
【0005】
一方、従来のこれらモダリティに装備される監査ログを個々に出力する出力機能には、出力する期間、あるいは取り扱うデータ、例えば医用画像の種類、画像データのデータ容量、および本処理に対応する被検者数などにより、対象の監査ログデータのデータ記憶容量領域の必要容量が、数メガバイトから数十メガバイトまでの広範囲のレンジで異なる。特に、監査ログを出力する期間、言い換えれば保持する期間は、機器の据付先における運用手続に係り、適切な時期毎に、モダリティ毎に蓄積した操作ログの出力が実施されなければ、古い時期の監査ログデータが喪失される。
【特許文献1】特開2003−290224号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
上に述べたモダリティ毎に出力する従来の監査ログの出力機能を有する装置・システムでは、監査の目的とその実施状況に十分な対応、すなわち監査に提示するデータの質・量、およびその対応の迅速性において、人的コストと時間に費やされる損失が大きいことが、問題点となっていた。
【0007】
また、監査の性質上、その実施される時期が不定で、収集したデータの蓄積に、モダリティそれぞれの監査ログデータの記憶容量も不定となるので、これ等のデータ管理にきめ細かな対応を要することも大きな問題となっていた。
【0008】
本発明は上記の問題点に鑑みてなされたもので、監査の性質上、その実施される時期が不定であっても、収集したデータの蓄積に、医療機器モダリティそれぞれの保管容量限界を低く抑えて、収集及び記録保存が安定に行われて、収集した監査ログデータの提示用出力が簡便に行える監査ログの管理システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記の目的を達成するために、本発明の請求項1の監査ログ管理システムは、自機の監査ログ情報を作成する複数の医療機器モダリティに、限定したネットワークを介して接続する監査ログ管理サーバと、前記各モダリティにおいて作成された監査ログ情報それぞれを、予め設定したタイミング毎に、前記ネットワーク及び監査ログ管理サーバを介して転送し、監査ログ一括記憶部の所定領域に識別して記憶する監査ログ一括記録手段と、前記監査ログ一括記録手段の前記所定領域に記録された監査ログ情報を検索して、所定の項目を含む監査ログリストを出力、表示する監査ログ表示手段とを具備することを特徴とするものである。
【0010】
さらに、本発明の請求項2の監査ログ管理システムにおいては、請求項1記載の監査ログ管理サーバが、前記接続の正当性を確保するパスワードを、前記複数の医療機器モダリティに対して、所定の期間毎にランダムな文字符号列で生成、更新し、前記所定の期間の冒頭に告知登録し、前記接続には対応する前記パスワードの検証後に前記転送を実施するログ転送検証手段を具備することを特徴とするものである。
【0011】
さらに、本発明の請求項3の監査ログ管理システムにおいては、請求項2記載のパスワードの前記告知登録が、前記期間の冒頭において、登録が完了するまで、所定の時間間隔毎に繰り返し行うパスワード更新手段を具備することを特徴とするものである。
【0012】
さらに、本発明の請求項4の監査ログ管理システムにおいては、請求項1記載の監査ログ一括記録手段の前記転送が、前記複数の医療機器モダリティそれぞれに備えた転送起動手段によるタイミングにより行われることを特徴とするものである。
【0013】
さらに、本発明の請求項5の監査ログ管理システムにおいては、前記監査ログ一括記録手段の前記転送が、前記複数の医療機器モダリティそれぞれに備え、少なくとも1日の予め設定されたタイマーによる自動転送起動手段によるタイミングにより行われることを特徴とするものである。
【0014】
さらに、本発明の請求項6の監査ログ管理システムにおいては、前記監査ログ一括記録手段の前記転送は、前記監査ログ管理サーバに備え、少なくとも1日の予め設定されたタイマーによる転送要求起動手段によるタイミング設定により、前記監査ログ管理サーバが前記複数の医療機器モダリティそれぞれに転送指示信号を送信し、これに応答して前記複数の医療機器モダリティそれぞれから行われることを特徴とするものである。
【発明の効果】
【0015】
本発明の監査ログ管理システムによれば、医療機器モダリティ毎に出力される監査ログを、これ等のデータ蓄積の容量を低く抑える所定のタイミングで、監査ログを一括記憶する領域に転送する。したがって、監査の性質上、その実施される時期が不定であっても、監査に提示するデータの質・量、およびその対応の迅速性において、監査の目的とその実施状況に十分な対応をする人的コストと時間を抑えて、監査ログデータの提示用出力が簡便に提供できる。
【発明を実施するための最良の形態】
【0016】
以下、本発明の実施形態を図面により詳細に説明する。なお、以降、モダリティの名称で、X線画像装置、CT画像装置、超音波画像装置、MR画像装置、内視鏡画像装置などの他、検体検査装置、血液分析装置、検査オーダ装置などの監査ログの対象となる医療用機器の個々を総称する。
【0017】
(実施形態1)
図1は、本発明の監査ログ管理システムの一実施形態を示す模式的な構成ブロック図である。
【0018】
本実施形態の監査ログ管理システム1は、図1に示すように、医療機関の組織内あるいは構内の通信ネットワークであるイントラネットあるいはLAN(ローカル・エリア・ネットワーク)などの限定されたネットワーク10に接続している監査ログ管理サーバ11と、同じく限定したネットワーク10に接続して監査ログの対象となる各モダリティの医用画像機器である例えば、CT画像機器A21a、CT画像機器B21b、MR画像機器22、X線画像機器23などと、これらの画像機器から出力される画像データを集中的に管理しているネットワーク10に接続している画像サーバ31などから構成される。
【0019】
また、対象となるCT画像機器A21a、CT画像機器B21b、MR画像機器22、X線画像機器23などの各医用機器それぞれには、その稼働状況の記録を、個別の監査ログデータとして出力し、一時的なデータ保管を行う監査ログデータメモリ手段21am、21bm、22m、23mを備えている。
【0020】
監査ログ管理サーバ11には、監査ログに関する操作入力を行うマウスあるいはキーボードなどの入力操作機器13と、専ら監査ログに関する出力を表示するモニタ14aあるいはプリンタ14bなどの監査ログ出力表示機14が接続されている。また、監査ログ管理サーバ11が収集し、表示する各機器の監査ログデータを、前記監査ログ管理サーバ11に接続された監査ログ管理データ部12の一部に監査ログ一括メモリ12mを設けて、記憶している。
【0021】
また、監査ログとは、各モダリティの医用画像機器において記録される操作ログの少なくも、1)対象機器のログイン/ログアウトの操作者のID情報、パスワード情報、2)自機器以外の外部装置への出力先(機器IDを含む識別情報)、およびその操作者(ID、パスワードを含む識別情報)、3)元データ作成操作者以外の操作者(ID、パスワードを含む識別情報)、およびそのデータ書き換え、データ削除の操作内容、および4)これ等の実施された年月日、時刻、の各データから構成されている。
【0022】
図2に、本発明の監査ログ管理システムにおいて行われる監査ログの処理のフローチャートを示す。図2のフローチャートに示す処理は、図1に示す監査ログ管理システムの管理の対象となる、例えば、CT画像機器A21a、CT画像機器B21b、MR画像機器22、X線画像機器23などの各医用機器(以降、これ等をモダリティと呼ぶ)それぞれで、実施される。それぞれのモダリティが、この処理のステップS28において、ステップS21からステップS26によって作成した個々の自機の監査ログデータを、監査ログ管理サーバ11に制御される監査ログ管理データ部12にネットワーク10を介して転送する。
【0023】
図2を用いて、本実施形態の各モダリティにおける作用および動作を、以下に説明する。
【0024】
先ず、ステップS21により、各モダリティ21、22、23の1つにより、医師あるいは検査技師などの操作者の名前あるいは識別ID、およびパスワードが設定されて、本実施形態の監査ログ管理システム1へのログインが行われる。次に、前記モダリティ、例えばCT画像機器A12aにより、被検者(被検者)の診断データの収集を、被検者情報の登録を行って(ステップS22)、撮像(診断画像)データを収集し(ステップS23)、診断画像の再構成あるいは画像の観察、診断し(ステップS24)、前記被検者に対する検査を終了する(ステップS25)。ステップS26で、引き続き検査をする他の被検者がいる場合には、再びステップS22へ戻り、次の被検者の登録を行い、ステップS23以降を繰り返し、同じくステップS26で次の被検者がいなくなれば、次のステップS27へ進めて、前記ステップS21のログインをした操作者によるこのモダリティ21、あるいは22、あるいは23の使用を終えるログアウトを行う。
【0025】
上記のステップS21からステップS27までで、このモダリティに対して行なった操作の内容が、その医用機器のメモリ部の一部に操作ログとして記録される。この記録された操作ログの内容の少なくも、1)対象機器のログイン/ログアウトの操作者のID情報、パスワード情報、2)自機器以外の外部装置への出力先(機器IDを含む識別情報)、およびその操作者(ID、パスワードを含む識別情報)、3)元データ作成操作者以外の操作者(ID、パスワードを含む識別情報)、およびそのデータ書き換え、データ削除の操作内容、さらに、4)これ等の実施された年月日、時刻、の各データを抽出し、これ等のデータから構成された監査ログデータが、同モダリティの、例えばCT画像機器A12aの監査ログデータメモリ手段21amに記憶される。
【0026】
さらに、ある操作者が、ステップS21によりログインして、診断、検査を担当する被検者に対する検査画終了し、ステップS27のログアウトを行なった後、再び、ステップS21のログインが行われると、先のログインと同様に、一連の操作に対する操作ログが記録されて、その一部が監査ログとして同じく監査ログデータメモリ手段21amに記録される。
【0027】
そして、ステップS28により、このモダリティ(21、22、23いずれか)による診断、検査の集中する日中を避けた、例えば、毎日、あるいは所定の曜日、あるいは毎月の所定の日など、いずれかの日の一般的には夜間に設定された転送タイミングの所定の時刻を判定して、ステップS29により各モダリティ21、22、23側から監査ログ管理サーバ11へ、ネットワーク10を介して転送されて、各モダリティ21、22、23の監査ログデータメモリ手段21am、21bm、22m、23mに記録したこれらの監査ログデータが、監査ログ管理サーバ11の下で監査ログ一括メモリ12mに記憶される。これにより、各モダリティ21、22、23において分散して収集された監査ログを、監査ログ管理サーバ11により一元管理することができる。
【0028】
本実施形態によれば、各モダリティに分散して管理されているそれぞれの監査ログデータを、所定の時期に、監査ログ管理サーバ11の監査ログ一括メモリ12mへ自動転送し、これらを一元管理するので、監査ログの出力が監査ログ管理サーバの管理下で行えて、監査時のデータ出力の操作性が向上する。また、各監査ログの操作が、監査ログ管理サーバに一元管理されるので、操作権限をさらに限定することができて、監査ログのセキュリティを高めた管理が行える。
【0029】
(実施形態2)
次に、監査ログ管理サーバが各モダリティから監査ログデータを読み込む手順で、より高い安全性を維持してデータ転送を行うために、各モダリティと監査ログ管理サーバの相互が、パスワードを設定して、このパスワードを確認した後に転送を実施する第2の実施形態に付いて、図3を用いて説明する。
【0030】
図3は、監査ログ管理サーバが所定の時間毎に自動的に実施するパスワードの発行手順のフローチャートを示す。
【0031】
監査ログ管理システムの起動と共に、ステップS31において、パスワードの設定、配信の時刻、あるいは時間間隔、および配信が不成立と成ったときの繰り返し再送信する場合の再送信時間間隔を設定する。
【0032】
ステップS32で、ステップS31で設定した時刻に、あるいは設定した時間間隔の経過を判定する。この判定が「真(Yes)」ならば、ステップS33において、監査ログ管理サーバ11が、例えば、乱数表あるいはランダムに選択した文字列などにより、不規則に生成したパスワードを、監査ログ管理システムの下に接続される各モダリティそれぞれに、モダリティ識別IDと組にして割当て、モダリティ毎に発行する。このパスワードは、次回のパスワードの配信時刻まで、あるいは時間間隔の期間中にのみ有効となる。
【0033】
この発行された各モダリティのパスワードを、ステップS34において、モダリティ毎に前記ネットワーク10を介して配信する。次のステップS35で、配信したパスワードデータを受信したモダリティが受信確認として、これをアンサーバックする応答を受信できた場合は、「配信成功」と判定し、次回の配信時刻まで待機するためにステップS32へ戻る。一方、例えば配信先モダリティが電源投入前で起動されていない場合などで、アンサーバックが受信できず、「配信不可」と判定した場合は、ステップS36へ進め、先のステップS31で設定したて再送信時間間隔の経過した後に、ステップS34に戻り、「配信成功」の得られていないモダリティに対し、再びステップS33で割当てたパスワードを、再送信する。このステップS36を経由するループは、配信成功が受信されるまで、繰り返される。
【0034】
以上の手順により、各モダリティには、所定の期間にのみ有効なパスワードが、その期間毎に、監査ログ管理サーバ11が発行、設定する。
【0035】
本実施形態によれば、各モダリティ毎に、ランダムな数字および文字で構成し、所定の期限で変更されるパスワードが、監査ログ管理サーバにより設定されるので、パスワードの盗用が困難となり、第三者によるこれ等の監査ログへのアクセスを阻止することができる。また、本実施形態では、各モダリティが医療業務の都合上、起動が様々な時間で行われるので、設定したパスワードの受信確認が得られるまで、再送信を繰り返し、対象のモダリティへ設定したパスワードを確実に伝送する手順を有している。
【0036】
(実施形態3)
本発明の第3の実施形態である各モダリティ21、22、23が、モダリティ毎に操作ログの一部を監査ログデータとして、限定したネットワーク10を介して監査ログ管理サーバ11の下で監査ログ一括メモリ12mにへ転送し、これに記憶される手順について、図4〜6を用いて説明する。
【0037】
図4は、各モダリティ21、22、23から個々の監査ログを監査ログ管理サーバ11へネットワーク10を介して転送する手順を概念的に図示したものである。この手順は、図4に示す次の3方法、ステップA、ステップB、ステップCのいずれか1つを設定して、転送が実施される。さらに、図5Aは、ステップAにおいて行う、モダリティの操作者による監査ログの送信を行う手順を示すフローチャートである。図5Bは、ステップBにおいて行う、モダリティに予め設定したタイミングにおいて、モダリティが自動的に監査ログの送信を行う手順を示すフローチャートである。図6は、ステップCにおいて行う、監査ログ管理サーバ11によりモダリティ毎に予め設定した監査ログ問い合せ時刻に、監査ログ管理サーバから各モダリティへ送信要求を指示して、この指示に各モダリティが応答してそれぞれの監査ログを転送する手順を示すフローチャートである。
【0038】
各モダリティから個々の監査ログを転送する本実施形態の詳細を、図4を用いて、先ず転送のタイミングに関して説明する。対象の各モダリティは、従来の技術により、監査ログデータをその操作毎に収集して、各モダリティ自機の監査ログデータメモリ手段に記録しており、この記録内容をステップA、ステップB、ステップCのいずれか1つを設定して、このステップ毎で設定される所定のタイミングで、本願システムである監査ログ管理システムへネットワーク10を介して転送して、これ等を本システムの監査ログ管理サーバ11の監査ログ一括メモリにおいて一元管理する。
【0039】
先ず、本実施形態では、ステップSとして図4のステップS41で示す、監査ログ管理サーバ11から、各モダリティ21、22、23に対し、パスワードの送信の手順が、設定した所定時刻になると行われる。この送信されるパスワードは、図3に示し、上述の第2の実施形態として説明した手順により生成され、パスワードの配信成功が確認されるまで行われる。
【0040】
次に、監査ログ管理サーバを介し、これの制御下にある監査ログ一括メモリへ監査ログデータを転送する作動は、ステップA、ステップB、あるいはステップCの何れか、予め選択して設定される1つのステップが、操作者に転送指示スイッチ操作あるいは所定の転送時刻に、実施される。
【0041】
例えば、ステップAが設定されている場合は、操作者が転送を起動する転送指示スイッチを操作すると、図5Aのフローチャートに示す手順により、この設定が成されたモダリティの監査ログデータが、監査ログ一括メモリ12mの所定の記憶領域へ転送されて、記録される。
【0042】
この手順の詳細は、先ず、図5Aに示すステップS51で、操作者による監査ログの転送要求を、対象のモダリティに備える指示スイッチなどにより入力する。これにより、先にステップSで、図3のフローチャートで示す手順により、対象モダリティに割り当てられたパスワードにより送信要求が出されているかを、ステップS52で判定する。この判定でパスワードが正しい場合に、ステップS53でモダリティは自機の監査ログデータを監査ログ管理サーバ11を介して、監査ログ一括メモリ12mの所定の記憶領域へ転送する。さらに、モダリティは、ステップS54で、監査ログ管理サーバからアンサーバックして来るデータ書き込み終了信号を受信すると、配信成功と判定して監査ログデータの転送処理を終了する。一方、アンサーバックが無い場合は、ステップS56で転送のエラー信号を監査ログ管理サーバ11へ送信する。なお、ステップS52で、パスワードが正しくない場合には、ステップS55へ進めて、監査ログ管理サーバ11へ、「パスワード不一致」の信号を送信し、更新したパスワードの発行を要求する。以上の手順により、ステップAが実施される。
【0043】
また、例えば、ステップBが設定されている場合は、この設定が成されたモダリティの時計情報を判定して、図5Bのフローチャートに示す手順により、対象のモダリティの監査ログデータが、監査ログ一括メモリ12mの所定の記憶領域へ転送されて、記録される。
【0044】
このステップBの詳細は、先ず、図5Bに示すステップS501で、対象のモダリティから監査ログを自動転送する時刻を入力し、これを設定する。ステップS502では、この設定した時刻になった時点を判定する。このステップS502の判定で、設定した時刻になれば、先に行われたステップである図3のフローチャートで示すステップS33の手順により、対象モダリティに割り当てられたパスワードを使用して送信要求が出されているかを、ステップS503で判定する。この判定でパスワードが正しい場合に、ステップS504でモダリティは自機の監査ログデータを監査ログ管理サーバ11を介して、監査ログ一括メモリ12mの所定の記憶領域へ転送する。さらに、モダリティは、ステップS505で、監査ログ管理サーバからアンサーバックして来るデータ書き込み終了信号を受信すると、配信成功と判定して監査ログデータの転送処理を終了する。一方、アンサーバックが無い場合は、ステップS507で転送のエラー信号を監査ログ管理サーバ11へ送信する。なお、ステップS503で、パスワードが正しくない場合には、ステップS506へ進めて、監査ログ管理サーバ11へ、「パスワード不一致」の信号を送信し、更新したパスワードの発行を要求する。以上の手順により、ステップBは実施される。
【0045】
また、ステップCが設定されている場合は、監査ログ管理サーバ11が、時計情報を判定して、図6のフローチャートに示す手順により、先ず対象のモダリティへ監査ログの送信要求を出力し、これを受信した対象モダリティが応答して、そのモダリティの監査ログデータを監査ログ管理サーバ11へ送信し、これが更に監査ログ一括メモリ12mの所定の記憶領域へ転送されて、記録される。
【0046】
ステップCの手順の詳細は、先ず監査ログ管理サーバ側において、図6に示すステップS61で、対象のモダリティに対し、その監査ログを問い合せ、自動転送する時刻を監査ログ管理サーバ11に入力し、これを予め設定しておく。ステップS62では、この設定した時刻になった時点を管理サーバ11が判定する。このステップS62の判定で、設定した時刻になれば、先に行われた図3のフローチャートのステップS33で示す手順により、対象モダリティに割り当てられたパスワードを使用して、対象のモダリティに対し監査ログデータの送信要求をステップS63で送信する。次に、各モダリティ側において、この送信要求を受信した対象のモダリティが、ステップS65で、この送信要求のパスワードが、前述の図4で予め送信して来た最新のパスワードに一致するかを判定する。この判定でパスワードが正しい場合に、ステップS66で対象のモダリティは自機の監査ログデータを監査ログ管理サーバ11を介して、監査ログ一括メモリ12mの所定の記憶領域へ転送する。さらに、モダリティは、ステップS67で、監査ログ管理サーバからアンサーバックして来るデータ書き込み終了信号を受信すると、配信成功と判定して監査ログデータの転送処理を終了すると共に、監査ログ管理サーバ側では、ステップS66で送信された監査ログデータの受信するステップS64を完了して、対象のモダリティ1つに対する転送を終了する。対象のモダリティが他に有る場合は、その対象のモダリティに対し、ステップS62から繰り返し実施して、同様にその監査ログデータを監査ログ一括メモリ12mの所定の記憶領域に取得、記録することを繰り返し実施する。なお、ステップS67で、アンサーバックが無い場合は、ステップS69で転送のエラー信号を監査ログ管理サーバ11へ送信する。また、ステップS65で、パスワードが正しくない場合には、ステップS68へ進めて、監査ログ管理サーバ11へ、「パスワード不一致」の信号を送信し、更新したパスワードの発行を要求する。以上の手順により、ステップCが実施される。
【0047】
上述の監査ログデータ転送手順のステップA、ステップB、ステップCの何れかが、本監査ログ管理システムの下に接続されるモダリティの稼動状況を考慮して、モダリティ毎に予め設定される。すなわち、ステップCにより監査ログ管理サーバからの所定時刻に転送指示を送信し、これに応答してモダリティ毎の監査ログデータの転送を受ける手順が、監査ログ管理システムの運用上、一般には好適であるが、転送指示を送信する時点において指示対象となる各モダリティが稼動中であることが必要となる。例えば、稼働状況が短時間で頻繁に使用されないモダリティでは、ログデータの内容容量も多大と成らないので、稼動が終了する直前の時点で転送を指示するステップAが、好適と成る。また、隔日あるいは午後に限定など、終日ではないが定期的に稼動が行われるモダリティには、ステップBが好適と成る。この設定の状況は、監査ログ管理サーバ11には、モダリティ転送設定リストとして記録されて、特にステップCの対応をするモダリティの検索をする。
【0048】
なお、上記の所定時刻とは、毎日、毎週金曜日、毎月末日などの午後4時50分、或いは午後11時50分など、比較的纏まりのある期間で、各モダリティの監査ログデータを一時的に保存する記憶容量を、この周期間で収集するデータ量が超えないことを予測、加味した周期に基づいて設定される。
【0049】
(実施形態4)
監査ログ管理サーバ11の下でモダリティ毎に転送された各監査ログデータを、監査ログ一括メモリ12mに収集、保管する第4の実施形態について、図7を用いて説明する。
【0050】
各モダリティから転送されてきたそれぞれの監査ログデータは、監査ログ一括メモリ12mに設けたモダリティ毎に区分したフォルダに仕分けて記録される。このフォルダ内には、モダリティの機器名或いは識別記号をファイル名とするリスト形式のファイルにより過去の監査ログデータを蓄積記録している。このファイルは、監査ログの記録として求められる、1)対象機器のログイン/ログアウトの操作者のID情報、パスワード情報、2)自機器以外の外部装置への出力先(機器IDを含む識別情報)、およびその操作者(ID、パスワードを含む識別情報)、3)元データ作成操作者以外の操作者(ID、パスワードを含む識別情報)、およびそのデータ書き換え、データ削除の操作内容、および4)これ等の実施された年月日、時刻、の各データに対し、図7に例示するように、例えば、操作者名、モダリティ名、操作日時、被検者ID、処理者名、処理(内容)、出力先などをデータ項目として、操作日時について例えば昇順に列挙したデータリストと成っている。
【0051】
各モダリティから、上述の第3の実施形態により、監査ログ管理サーバ11を介してこの監査ログ一括メモリ12mに転送された、転送タイミング毎の監査ログデータは、同名のファイルでその前の転送タイミングで転送された監査ログの次に、連なるように接続、統合されて、収集した監査ログの更新が行われる。
【0052】
監査が実施されて、監査ログの提示が求められれば、監査対象の期間について、対応する前記監査ログの操作日時のリストデータを抽出した監査ログを、監査ログ出力表示機14により画面表示若しくは印刷プリントアウトを提示することができる。
【0053】
本実施形態によれば、各モダリティから転送されたそれぞれのモダリティの監査ログを、モダリティ毎に監査ログとして、一元管理する監査ログ管理サーバの下で監査ログ一括メモリ12mに記録、保有しているので、このサーバの処理操作に対応するだけで、法的機関からの提示要求のあった監査対象期間に限って、容易にかつ迅速に出力ができる。
【0054】
また、複数のモダリティに対する監査であっても、単一の監査ログ管理サーバ装置の下のフォルダ間処理により、統合した監査ログの提示も、容易かつ迅速に行える監査ログ管理のシステムを提供できる。
【図面の簡単な説明】
【0055】
【図1】本発明の一実施形態の模式的な構成ブロック図。
【図2】本発明の一実施形態において行われる監査ログの処理を示すフローチャート。
【図3】本発明の第2の実施形態におけるパスワード発行のフローチャート。
【図4】本発明の第3の実施形態におけるステップS、テップA、ステップB、ステップCの転送手順を概念的に示す図。
【図5A】本発明の第3の実施形態におけるテップAの手順を示すフローチャート。
【図5B】本発明の第3の実施形態におけるテップBの手順を示すフローチャート。
【図6】本発明の第3の実施形態におけるステップCの手順を示すフローチャート。
【図7】本発明の第4の実施形態において、監査ログ一括メモリに蓄積記録するリスト形式の監査ログの例示図。
【符号の説明】
【0056】
1・・・監査ログ管理システム、
10・・・ネットワーク、
11・・・監査ログ管理サーバ、
12・・・監査ログ管理データ部、
12m・・・監査ログ一括メモリ、
13・・・入力操作機器、
14・・・監査ログ出力表示機、
14a・・・モニタ、
14b・・・プリンタ、
21、21a、21b・・・CT画像機器、
21am、21bm、22m、23m・・・監査ログデータメモリ手段、
22・・・MR画像機器、
23・・・X線画像機器、
31・・・画像サーバ。
【特許請求の範囲】
【請求項1】
自機の監査ログ情報を作成する複数の医療機器モダリティに、限定したネットワークを介して接続する監査ログ管理サーバと、
前記各モダリティにおいて作成された監査ログ情報それぞれを、予め設定したタイミング毎に、前記ネットワーク及び監査ログ管理サーバを介して転送し、監査ログ一括記憶部の所定領域に識別して記憶する監査ログ一括記録手段と、
前記監査ログ一括記録手段の前記所定領域に記録された監査ログ情報を検索して、所定の項目を含む監査ログリストを出力、表示する監査ログ表示手段と、
を具備することを特徴とする監査ログ管理システム。
【請求項2】
前記監査ログ管理サーバは、前記接続の正当性を確保するパスワードを、前記複数の医療機器モダリティに対して、所定の期間毎にランダムな文字符号列で生成、更新し、前記所定の期間の冒頭に告知登録し、前記接続には対応する前記パスワードの検証後に前記転送を実施するログ転送検証手段を具備することを特徴とする請求項1記載の監査ログ管理システム。
【請求項3】
前記パスワードの前記告知登録は、前記期間の冒頭において、登録が完了するまで、所定の時間間隔毎に繰り返し行うパスワード更新手段を具備することを特徴とする請求項2記載の監査ログ管理システム。
【請求項4】
前記監査ログ一括記録手段の前記転送が、前記複数の医療機器モダリティそれぞれに備えた転送起動手段によるタイミングにより行われることを特徴とする請求項1記載の監査ログ管理システム。
【請求項5】
前記監査ログ一括記録手段の前記転送が、前記複数の医療機器モダリティそれぞれに備え、少なくとも1日の予め設定されたタイマーによる自動転送起動手段によるタイミングにより行われることを特徴とする請求項1記載の監査ログ管理システム。
【請求項6】
前記監査ログ一括記録手段の前記転送は、前記監査ログ管理サーバに備え、少なくとも1日の予め設定されたタイマーによる転送要求起動手段によるタイミング設定により、前記監査ログ管理サーバが前記複数の医療機器モダリティそれぞれに転送指示信号を送信し、これに応答して前記複数の医療機器モダリティそれぞれから行われることを特徴とする請求項1記載の監査ログ管理システム。
【請求項1】
自機の監査ログ情報を作成する複数の医療機器モダリティに、限定したネットワークを介して接続する監査ログ管理サーバと、
前記各モダリティにおいて作成された監査ログ情報それぞれを、予め設定したタイミング毎に、前記ネットワーク及び監査ログ管理サーバを介して転送し、監査ログ一括記憶部の所定領域に識別して記憶する監査ログ一括記録手段と、
前記監査ログ一括記録手段の前記所定領域に記録された監査ログ情報を検索して、所定の項目を含む監査ログリストを出力、表示する監査ログ表示手段と、
を具備することを特徴とする監査ログ管理システム。
【請求項2】
前記監査ログ管理サーバは、前記接続の正当性を確保するパスワードを、前記複数の医療機器モダリティに対して、所定の期間毎にランダムな文字符号列で生成、更新し、前記所定の期間の冒頭に告知登録し、前記接続には対応する前記パスワードの検証後に前記転送を実施するログ転送検証手段を具備することを特徴とする請求項1記載の監査ログ管理システム。
【請求項3】
前記パスワードの前記告知登録は、前記期間の冒頭において、登録が完了するまで、所定の時間間隔毎に繰り返し行うパスワード更新手段を具備することを特徴とする請求項2記載の監査ログ管理システム。
【請求項4】
前記監査ログ一括記録手段の前記転送が、前記複数の医療機器モダリティそれぞれに備えた転送起動手段によるタイミングにより行われることを特徴とする請求項1記載の監査ログ管理システム。
【請求項5】
前記監査ログ一括記録手段の前記転送が、前記複数の医療機器モダリティそれぞれに備え、少なくとも1日の予め設定されたタイマーによる自動転送起動手段によるタイミングにより行われることを特徴とする請求項1記載の監査ログ管理システム。
【請求項6】
前記監査ログ一括記録手段の前記転送は、前記監査ログ管理サーバに備え、少なくとも1日の予め設定されたタイマーによる転送要求起動手段によるタイミング設定により、前記監査ログ管理サーバが前記複数の医療機器モダリティそれぞれに転送指示信号を送信し、これに応答して前記複数の医療機器モダリティそれぞれから行われることを特徴とする請求項1記載の監査ログ管理システム。
【図7】
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6】
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6】
【公開番号】特開2007−179464(P2007−179464A)
【公開日】平成19年7月12日(2007.7.12)
【国際特許分類】
【出願番号】特願2005−379812(P2005−379812)
【出願日】平成17年12月28日(2005.12.28)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【出願人】(594164531)東芝医用システムエンジニアリング株式会社 (892)
【Fターム(参考)】
【公開日】平成19年7月12日(2007.7.12)
【国際特許分類】
【出願日】平成17年12月28日(2005.12.28)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【出願人】(594164531)東芝医用システムエンジニアリング株式会社 (892)
【Fターム(参考)】
[ Back to top ]