能動的移植型医療デバイス上の体内データセキュリティの提供
能動的移植型医療デバイス(103、112)上の体内データセキュリティを提供するためのシステム(130)および方法(170)が提示される。データ(191)は、能動的移植型医療デバイス(103、112)を通して保管される。無線でインターフェース接続される少なくとも1つの他の能動的移植型医療デバイス(103、112)との間のデータ(191)は、能動的移植型医療デバイス(103、112)上で保護される。他の能動的移植型医療デバイス(103、112)によるデータ(191)へのアクセス、およびその使用のうちの少なくとも1つは、制限される。データ(191)の形態への未承認の変更は、防止される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概して、能動的移植型医療デバイスに関し、具体的には、能動的移植型医療デバイス上で体内データセキュリティを提供するためのシステムおよび方法に関する。
【背景技術】
【0002】
European Economic Community Directive 90/385/EECに定義されるような能動的移植型医療デバイス(AIMD)は、電気または自動提供エネルギーに依存する医療デバイスである。AIMDは、概して、完全または部分的に、生体内に導入されることが意図される。AIMDは、人工内耳およびインスリンポンプ等の個別的なデバイスと、多構成要素デバイス、例えば、有線心内圧センサを備える移植型細動除去器(ICD)の両方を含む。さらに他の種類のAIMDも可能である。
【0003】
AIMDは、プログラムされた自動または遠隔制御動作を通して、体内、すなわち、原位置において、療法または生理機能的監視を提供する。恒久的に移植されたAIMDは、診断、故障修理、および再プログラミングのため、かつ格納されたパラメータおよび生理学的データを交換するために、プログラマおよび患者操作可能通信機等の外部デバイスと周期的にインターフェース接続されなければならない一方、一時的に移植されたAIMDは、自動的に機能するか、または外部コントローラを通して、相互動作可能に動作する。
【0004】
AIMDは、利用可能資源、特に、電力、記憶容量、およびサイズと対照して、所望の能力の平衡を保つ必要がある。データセキュリティは、例えば、AIMDの主要な役割に対して二次的な機能を果たし、インプリシットにのみ処理される。例えば、誘導性または無線周波数テレメトリを通して提供される無線データ交換は、1対1を本質とする相互接続に依存し、機密性、完全性、および信頼性を保証する。
【0005】
それでもなお、独立したAIMDは、外部システムと通信する場合、または構成要素が体内で通信する場合、潜在的に、互いに干渉する可能性がある。インプリシットデータセキュリティ単独では、外部デバイスが許容されるAIMDのみとインターフェース接続することが許可されることを保証するためには不十分である。加えて、インプリシットデータセキュリティは、機密性を保証することができない。Health Insurance Portability and Accountability Act(HIPAA)およびEuropean Privacy Directive(EPD)等の法的検討は、患者のプライバシー、特に、健康および医療関連情報によって特定の個人を識別する患者健康情報(PHI)の保護を命じている。
【0006】
2001年4月24日発行の特許文献1は、体内情報転送デバイスについて開示する。伝送デバイスは、人体の近傍に配設された伝送電極に変調される、時変信号を出力するための信号源を含む。別の伝送電極は、伝送デバイスのための基準電圧に接続され、人体から外側に配設される。類似の個別的な装置が、信号受信のために提供される。通信は、人体誘導性電場によって、および空気を介して、2つの独立の信号経路を通して提供される。しかしながら、データは、データセキュリティ制御または保護を伴わずに、開放的に交換される。
【0007】
2001年4月21日発行の特許文献2は、圧力センサと、心臓腔内外への血流に関する情報を収集するためのセンサとを含む、心内システムについて開示する。センサは、ステントとともに形成される、またはそれに接着されることが可能である。センサは、電線を介して、データ中継デバイスに接続される。体外処理ユニットは、有線または無線相互接続を介して、中継された情報を収集する。しかしながら、データは、センサとデータ中継デバイスとの間、またはデータ中継デバイスと体外処理ユニットとの間の1対1でのみ交換されるため、データセキュリティは、インプリシットである。
【0008】
2004年6月20日発行の特許文献3は、圧力または他の生理学的パラメータを測定する、移植型圧力センサについて開示する。外部変換器は、患者の身体内に音波信号を伝送し、蓄電器を励起させる。音波送受信機は、電気と音波エネルギーとの間でエネルギーを変換する。蓄電器は、送受信機によって変換された電気エネルギーを格納し、電気エネルギーを提供し、センサを作動させ、音波信号として、圧力データを送信する。製造番号を使用して、複数のデバイスを区別することが可能であるが、データは、センサと外部変換器との間で1対1でのみ交換され、相互動作可能な移植型センサ間では交換されない。
【0009】
2002年6月20日公開の特許文献4(係属中)、および2002年11月28日公開の特許文献5(係属中)は両方とも、外部音波変換器を介してインターフェース接続可能な移植型センサについて記載する。センサは、自動的に機能し、圧力または生理学的パラメータを監視する。音波変換器は、患者の身体内に音波信号を伝送し、移植型センサとインターフェース接続し、センサによって記録される圧力測定値をダウンロードする。しかしながら、データは、センサと外部音波変換器との間で1対1でのみ交換され、相互動作可能な移植型センサ間では交換されない。
【0010】
最後に、2002年6月27日公開の特許文献6(係属中)、および2005年1月27日公開の特許文献7(係属中)は両方とも、ネットワーク実装型遠隔患者管理方式について記載する。医療デバイスは、ロバストな相互接続ネットワークを介して、無線周波数テレメトリ等の無線技術を通して、生理学的データをアップロードし、データは、データベース内に格納、処理、分析、または表示のために提示されることが可能である。また、医療デバイスは、互いに通信し得る。医療プロバイダのアクセスは、検証または認証され、場合に応じて、公共ネットワークを介したデータ転送は、セキュリティを維持するために暗号化される。しかしながら、医療デバイス間の通信は、非保護のままであって、ソースの信頼性およびデータ完全性は、仮定される。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】米国特許第6,223,018号明細書
【特許文献2】米国特許第6,277,078号明細書
【特許文献3】米国特許第6,764,446号明細書
【特許文献4】米国特許出願公開第2002/0077673号明細書
【特許文献5】米国特許出願公開第2002/0177782号明細書
【特許文献6】米国特許出願公開第2002/0082480号明細書
【特許文献7】米国特許出願公開第2005/0021370号明細書
【発明の概要】
【発明が解決しようとする課題】
【0012】
したがって、内部体内および外部体外データ通信のために、データセキュリティをAIMDに提供するためのアプローチの必要性が存在する。そのようなアプローチは、AIMDまたは他のデバイスによって、あるいはその間で、電子的に格納可能、交換可能、もしくは操作可能な患者データ、コマンド、および任意の他の種類の情報を含む、あらゆるデータ形態を保護する必要があるであろう。
【0013】
さらに、承認デバイスにのみデータの利用可能性およびセキュリティを保証し、また、複数の独立したAIMDが、患者の身体内外からの干渉なく、機能することを可能にするためのアプローチの必要性が存在する。
【課題を解決するための手段】
【0014】
一実施形態は、能動的移植型医療デバイス上の体内データセキュリティを提供するためのシステムおよび方法を提供する。データは、能動的移植型医療デバイスを通して保管される。データは、無線でインターフェース接続される少なくとも1つの他の能動的移植型医療デバイスとの間で、能動的移植型医療デバイス上で保護される。他の能動的移植型医療デバイスによるデータへのアクセス、およびその使用のうちの少なくとも1つは、制限される。データの形態への未承認の変更は、防止される。
【0015】
さらに他の実施形態は、以下の詳細な説明から、当業者には容易に明白となるであろうが、本発明の実施形態は、本発明を実行するために企図される最良の形態の例証として記載される。理解されるように、本発明は、その他および異なる実施形態が可能であって、そのいくつかの詳細は、すべて本発明の精神および範囲から逸脱することなく、種々の明白な点において修正可能である。故に、図面および詳細な説明は、本質的に、例証としてみなされ、制限としてみなされるものではない。
【図面の簡単な説明】
【0016】
【図1】図1は、一例として、個別的な、および構成要素を成す、能動的移植型医療デバイスを示す、ブロック図である。
【図2】図2は、一実施形態による、能動的移植型医療デバイス上の体内データセキュリティを提供するためのシステムを示す、機能的ブロック図である。
【図3】図3は、図2のシステム内で使用するための、階層通信構造に構成される体内デバイスを示す、ブロック図である。
【図4】図4は、図2のシステム内で使用するための、ピアツーピア通信構造に構成される体内デバイスを示す、ブロック図である。
【図5A】図5A−Dは、図2のシステム内で使用するための、体内デバイス間のデータ交換の形態を示す、ブロック図である。
【図5B】図5A−Dは、図2のシステム内で使用するための、体内デバイス間のデータ交換の形態を示す、ブロック図である。
【図5C】図5A−Dは、図2のシステム内で使用するための、体内デバイス間のデータ交換の形態を示す、ブロック図である。
【図5D】図5A−Dは、図2のシステム内で使用するための、体内デバイス間のデータ交換の形態を示す、ブロック図である。
【図6】図6は、一実施形態による、能動的移植型医療デバイス上の体内データセキュリティを提供するための方法を示す、プロセスフロー図である。
【図7】図7は、図6の方法において使用するための、データ機密性セキュリティ制御を示す、プロセスフロー図である。
【図8】図8は、図6の方法において使用するための、データ完全性セキュリティ制御を示す、プロセスフロー図である。
【図9】図9は、図6の方法において使用するための、ソース認証セキュリティ制御を示す、プロセスフロー図である。
【図10】図10は、図6の方法において使用するための、データ利用可能性セキュリティ制御を示す、プロセスフロー図である。
【発明を実施するための形態】
【0017】
本願では、主に、心臓および心肺診断、療法、または監視を提供するために意図されるAIMDに関連して記載されるが、記載される実施形態は、概して、遠隔に問い合わせまたはプログラム可能なあらゆる形態のAIMDに適用される。
【0018】
能動的IMD(AIMD)は、European Economic Community Directive 90/385/EECに定義されており、その開示は、参照することによって組み込まれる。概して、AIMDは、療法送達、感知、診断、監視、および他の目的のために、電気エネルギーまたは自動提供エネルギーに依存し、外科的または内科的に生体内に、あるいは医療的介入によって自然開口内に、完全または部分的に導入されることが意図される。図1は、一例として、個別的かつ構成要素を成す、AIMD103、112を示す、ブロック図である。両AIMDは、ヒト患者101の胴体100内に移植されるが、一時的および恒久的の両方において、他の移植部位も可能である。また、AIMDは、類似目的のために、動物の身体内に導入可能である。
【0019】
患者101は、一対の独立したAIMDおよび従来の外部医療デバイス118の両方を受容している。一方のAIMDは、電磁波、音波、振動、化学、または光テレメトリを通して等、無線で相互通信する個別的な体内構成要素104、109a、109bを含む、心内監視のための多構成要素AIMD103である。無線通信の他の形態も可能である。各構成要素104、109a、109bは、自動駆動かつ自給式である。中継デバイス104は、大胸筋上に皮下移植される。中継デバイス104は、それぞれ、患者の心臓102の右心房110および心室111内に移植される、2つの遠隔心内圧センサ109a、109bに体内で無線でインターフェース接続される。また、監視デバイス104は、図2を参照して以下に詳述されるように、プログラマ、患者操作可能通信機、またはサーバ等の外部デバイスに体外で無線でインターフェース接続可能である。
【0020】
中継デバイス104の筐体は、制御回路105と、テレメトリ回路106と、メモリ107と、バッテリ108とを含む。制御回路105は、マイクロプロセッサベースのコントローラと、信号フィルタと、外部デバイスによるその後の読み出しおよび分析のために、メモリ107内に格納される、生の心内データ信号を処理するための増幅器とを含む。テレメトリ回路106は、中継デバイス104とセンサ109a、109bとの間の無線体内インターフェース、ならびに外部デバイスとの無線体外インターフェースを提供する。バッテリ108は、有限の電源を提供する。また、センサ109a、109bは、制御回路と、体内テレメトリ回路と、バッテリと、メモリと、圧力サンプリング回路(図示せず)を含む。他の体内構成要素および多構成要素AIMDも可能である。
【0021】
他のAIMDは、肺監視のための個別的なAIMD112である。自給式肺内センサ113は、右肺下葉上に皮下移植される。センサ113は、図2を参照して以下に後述されるように、外部デバイスに体外で無線でインターフェース接続可能である。しかしながら、センサ113を伴う通信は、中継デバイス104およびセンサ109a、109bを伴うものと異なる。
【0022】
センサ113の筐体は、同様に、制御回路114と、テレメトリ回路115と、メモリ116と、バッテリ117とを含む。制御回路114は、マイクロプロセッサベースのコントローラと、サンプリング回路と、雑音フィルタと、外部デバイスによる後の読み出しおよび分析のために、メモリ116内に格納される、生の心内データ信号をサンプリングおよび処理するための増幅器とを含む。テレメトリ回路115は、センサ113と外部デバイスとの間の無線インターフェースを提供する。バッテリ117は、有限の電源を提供する。他の個別的なAIMDも可能である。
【0023】
従来の外部医療デバイス118は、インスリンポンプであって、中空内腔を伴う取り外し可能なステント120、および遠位に配向されるインスリン送達プローブ121を含む。プローブ121は、一時的療法使用のために、介護者または患者によって、皮下導入される。インスリンポンプ筐体119は、患者の身体外に残り、インスリン療法を送達するための中空内腔を通して、ステント120と連通する。インスリンポンプ筐体119は、制御回路と、バッテリと、を含み、療法プログラミング命令を実行する。インスリンポンプ118を伴う通信は、完全に体外であって、したがって、AIMD103、112を伴うものと異なる。他の外部医療デバイスも可能である。
【0024】
移植型および外部AIMDは、自動または遠隔制御を通して、療法送達、感知、診断、監視、および関連機能を行なう。体内データセキュリティは、これらの機能が、他のAIMDを含む、他のソースからの干渉なく、正確かつ安全に行なわれることを保証するために必要である。図2は、一実施形態による、AIMD上で体内データセキュリティを提供するためのシステム130を示す、機能的ブロック図である。体内データセキュリティは、AIMD上に格納される際、かつ体内を通過中、特に、無線で伝送される場合のデータの保護を含む。概して、データは、患者データ、コマンド、およびAIMDまたは他のデバイスによって、あるいはそれらの間で電子的に格納可能、交換可能、もしくは操作可能な任意の他の種類の情報を含む。メタデータは、例えば、データに関するデータである。
【0025】
患者データは、広義に定義され、AIMDによって測定される生の生理機能測定値から記録または導出された定量的生理機能的データを含む。また、患者データは、AIMD自体の状態および動作特徴に関するパラメータデータ報告等の非患者情報と、周囲温度または時刻等の非AIMD関連情報を含む環境データとを含む。患者データは、個人的健康状態または生活の質の主観的印象等の定性的データ値をさらに含む。さらに他の種類の患者データも可能である。
【0026】
コマンドは、特定の種類の命令データであって、制御、動作結果を誘起、および通信するために発行される。コマンドは、AIMDまたは他のデバイスによって発生され、AIMDまたは他のデバイスによって、実行または使用される指図、指令、応答、受領通知、および他の形態の動作情報を伝達する、プログラムまたは命令コードおよびメッセージを含むことが可能である。さらに他の種類のコマンドも可能である。コマンドは、発行および伝送、ならびにその完全性のセキュリティを必要とする。
【0027】
データは、患者データ、コマンド、または他のデータにかかわらず、患者の身体内に恒久的または一時的に導入される、1つ以上の多構成要素または個別的なAIMDから生じることが可能である。これらのデバイスは、患者の身体内に完全に導入されるAIMD132、133を含み、ペースメーカー、移植型細動除去器、心臓再同期療法デバイス、薬物ポンプ、および神経刺激装置等の療法送達デバイスと、心臓モニタおよび肺モニタ等の生理機能的監視デバイスとを含む。また、これらのデバイスは、患者の身体内に部分的に導入されるAIMDを含み、体外コントローラおよび移植型ボーラス送達デバイスから成る遠隔制御インスリンポンプ等の療法送達デバイス134と、体外記録デバイスおよび硬膜下または大脳皮質内に配置される電極から成る脳波レコーダ等の生理機能的監視デバイス135とを含む。他の種類のAIMDも可能である。多構成要素AIMDは、それぞれ、図3および4を参照して以下に詳述されるように、マスタ−スレーブ式またはピアツーピア的構成要素として、階層的に構造化可能である。加えて、情報は、図5を参照して以下に詳述されるように、ポイントツーポイント、エンドツーエンド、ブロードキャスト、およびマルチキャスト通信形態として、多構成要素AIMDの構成要素間で交換可能である。
【0028】
また、データは、従来の完全体外医療デバイス136から生じることが可能である。これらのデバイスは、ホルターモニタ等、患者の身体と接触させたままの外部センサと、血圧カフ、体重計、肺活量計等、患者が、使用、操作、または試験を行うことが可能な種々の医療および非医療デバイスとを含む。患者関連目的を有する他の種類の体外デバイスも可能である。
【0029】
概して、恒久的に導入される、または完全に移植される、それらのAIMDは、データを問い合わせるあるいは読み出し、原位置にある間、AIMDの動作のプログラミングを提供するために、体外インターフェース接続を必要とする。これらの種類のAIMDへの体外インターフェース接続は、誘導性、または無線周波数、あるいは、例えば、「強固な」Bluetooth(登録商標)またはIEEE 802.11インターフェース接続規格に基づく他の形態の無線テレメトリ等、有線もしくは無線手段を通して、AIMDにインターフェース接続される、プログラマ137、患者操作可能通信機138、または類似デバイス等の従来の問い合わせデバイスを通して提供可能である。AIMD問い合わせおよびプログラミングのための他の種類のデバイスも可能である。
【0030】
データセキュリティ制御がない限り、データは、患者の身体内外から生じる危険、傍受、干渉、および破損を含む、種々の潜在的危害を被る。従来のデータ交換において使用されるデータセキュリティアプローチは、様々な成功度を伴って、AIMDと外部問い合わせデバイスとの間のような体外データ交換に適用されていた。しかしながら、完全体内通信もまた、図6を参照して以下に詳述されるように、データ機密性の保護、ならびにデータ完全性、ソース認証、およびデータ利用可能性の保証を通して、最も効果的に提供され得る、データセキュリティを必要とする。
【0031】
さらなる実施形態では、体外インターフェース接続は、AIMDと直接に、または中間インターフェースを介して、ネットワーク139上で遠隔にインターフェース接続されるサーバ140を通して提供可能である。構造的に、サーバ140は、例えば、中央演算装置(CPU)、メモリ、ネットワークインターフェース、永続記憶装置、およびそのような構成要素を相互接続するための種々の構成要素等、計算デバイス内で従来見られるそれらの構成要素を含む、単一、多数、または分散処理システムとして構成される、サーバ級の計算プラットホームである。サーバ140は、データベース141または他の記憶手段を含み、読み出されたデータ142と、介護者による検討および分析、ならびに他の承認用途のための他の情報とを保管することが可能である。ネットワーク139は、通信制御プロトコル/インターネットプロトコル(TCP/IP)のプロトコル群に基づくが、他のプロトコル群も可能である。加えて、他のネットワークトポロジおよび構成も可能である。
【0032】
さらなる実施形態では、データは、2002年1月8日発行のBardyの関連する共同所有の米国特許第6,336,903号、2002年4月9日発行のBardyの米国特許第6,368,284号、2002年6月4日発行のBardyの米国特許第6,398,728号、2002年6月25日発行のBardyの米国特許第6,411,840号、および2002年8月27日発行のBardyの米国特許第6,440,066号に記載され、参照することによって組み込まれる、1つ以上の慢性または急性健康状態の発現に対して評価可能である。
【0033】
さらに他の実施形態では、データは、収集、組み立て、評価、伝送、および記憶の間を含む、第3者への未承認開示から体外で安全防護され、患者のプライバシーを保護し、Health Insurance Portability and Accountability Act(HIPAA)およびEuropean Privacy Directive等の近年制定された医療情報プライバシー法に準拠する。最低でも、健康および医療関連情報によって、特定の個人を識別する患者健康情報は、保護されるべきとして処理されるが、特定の患者健康情報に加えて、またはその代わりに、他の種類の機密情報もまた、保護されるべきできであり得る。
【0034】
多構成要素AIMDは、体外インターフェース接続デバイス、完全体外医療デバイス、および他のAIMDを含む、他のデバイスから独立して動作する、体内データネットワークを構成する。したがって、個々の構成要素は、体系的に構造化され、安全なデータ記憶および交換を可能にしなければならない。
【0035】
多構成要素AIMD構造化の最も単純な形態の1つは、階層的なものである。図3は、図2のシステム130内での使用のための、階層的通信構造150で構成される、体内デバイス152、153a−cを示す、ブロック図である。構造150は、ノードによって表される構成要素およびノード間の経路によって表される相互接続を伴う、ツリー構造の形態である。各構成要素は、図4を参照して以下に詳述されるように、データセキュリティ制御を実装し、ツリー構造内のノードに割り当てられる。構成要素のうちの1つは、マスタデバイス152として指定され、他の構成要素は、スレーブデバイス153a−cとして指定される。マスタデバイス152およびスレーブデバイス153a−cは、階層的層151を形成し、デバイス間の全データ通信は、マスタデバイス152を通してチャネリングされる、またはそれによって裁定される。異なる物理的構成要素が、マスタデバイス152として機能可能であるが、さらなる競合解決機構がない限り、1つの構成要素のみ、任意の所与の時間において、マスタデバイス152として指定可能である。加えて、連続的マスタおよびスレーブデバイスの複数の階層的層が形成され得、親ノードは、子ノードとして表されるそれらの構成要素に対するマスタデバイスとして機能する。他の形態の階層構造も可能である。
【0036】
単純ではあるが、階層構造は、拡張が不十分であって、マスタデバイスの処理、記憶、および電源を不均衡に課し得る。非階層構造は、通信の負担を分散化することによって、これらの欠点の緩和を試みる。図4は、図2のシステム130内での使用のための、ピアツーピア通信構造155に構成される、体内デバイス157a−cを示す、ブロック図である。構造155は、頂点によって表される構成要素および頂点間の稜線によって表される相互接続を伴う、完全に接続されているが、必ずしも完全である必要はない、図式の形態である。各構成要素157a−cは、図4を参照して以下に後述されるように、データセキュリティ制御を実装し、図式中の頂点に割り当てられる。非裁定通信を可能にするために、各構成要素157a−cは、同等のデータ交換機能を実装し、データ通信は、最も近い経路156に沿って、受信側ピアデバイスにチャネリングされる。構造155が、完全な図式を形成する場合、全通信は、受信側ピアデバイスに直接送信されなければならない。そうでなければ、通信は、ピア構成要素によって、連続的中継を通して、送信されなければならない。他の形態の階層構造も可能である。
【0037】
データ交換は、多構成要素AIMDによって生成される体内データネットワーク内において、1つ以上の形態で生じることが可能である。図5A−Dは、図2のシステム内で使用するための、体内デバイス間のデータ交換の形態を示す、ブロック図である。データセキュリティは、使用される通信の形態に基づいて、各構成要素に提供される。
【0038】
最初に、図5Aを参照すると、ポイントツーポイントデータ交換160は、互いに体内で直接情報を送信する一対の構成要素を伴う。ソース認証制御は、図9を参照して以下に後述されるように、データソースが既知であって、体内ネットワークトポロジに基づいて、推測的に信頼されるため、ポイントツーポイントデータ交換には必要ではないが場合がある。しかしながら、それぞれ、図7、8、および10を参照して以下に詳述されるように、データ機密性、データ完全性、およびデータ利用可能性制御が必要とされる。
【0039】
次に、図5Bを参照すると、エンドツーエンドデータ交換161は、2つ以上の構成要素を伴う。端点に対して中間的なそれらの構成要素、すなわち、送信側および受信側構成要素は、データ中継として作用する。ソース認証制御は、ポイントツーポイント認証が提供されず、インプリシットでもない場合、端点で必要とされる場合がある。データ機密性、データ完全性、およびデータ利用可能性制御が必要とされる。
【0040】
次に、図5Cを参照すると、ブロードキャストデータ交換162は、送信側構成要素から複数の受信側構成要素への情報の一方向伝送を伴う。概して、全データセキュリティ制御が必要とされる。
【0041】
最後に、図5Dを参照すると、マルチキャストデータ交換163は、同一時間の間に1つ以上の構成要素に情報を送信する複数の構成要素を伴う。概して、全データセキュリティ制御、特に、データ競合の潜在性のため、データ完全性制御が必要とされる。他の形態の通信も可能である。
【0042】
体内環境では、データセキュリティは、AIMD内に格納される際、および構成要素間または従来の問い合わせデバイス等の体外デバイス間で通過中、データを保護するために必要である。コマンドは、その発行および伝送、ならびにその完全性を保護するために、付加的セキュリティを必要とする。また、データセキュリティは、同一患者内での動作において、完全体外医療デバイスおよび他のAIMDからの干渉を防止するために必要とされる。図6は、一実施形態による、AIMD上で体内データセキュリティを提供するための方法170を示す、プロセスフロー図である。方法170は、個別的なAIMDまたは多構成要素AIMDの一部であるかにかかわらず、各AIMD構成要素によって行なわれ、体内データセキュリティを生じさせる。
【0043】
体内データセキュリティは、4つのセキュリティ制御のセット(動作171)を通して提供される。制御のそれぞれが、完全データセキュリティを保証するために必要であるが、制御のいずれかが失敗または利用可能でない場合、安全的ではないが、構成要素の潜在機能は依然として実施され得る。最初に、データ機密性(動作172)は、図7を参照して以下に詳述されるように、従来の問い合わせデバイス、完全体外医療デバイス、および他のAIMDを含む他のデバイスによるデータへのアクセスと、それらによるデータの使用を制限する。データ完全性(動作173)は、図8を参照して以下に詳述されるように、構成要素によって格納される際、または通過中、データの形態への未承認の変更を防止する。ソース認証(動作174)は、図9を参照して以下に詳述されるように、無線でインターフェース接続を試みる他のデバイスの身元を検証する。最後に、(動作175)は、図10を参照して以下に詳述されるように、データおよびAIMD構成要素が利用可能であって、データセキュリティ制御が機能していることを保証する。上述のセキュリティ制御に加え得て、またはその代わりに、他のセキュリティ制御も可能である。
【0044】
データ機密性は、データが、適切な権限が付与された他のデバイスによってのみアクセス可能であることを保証する。そのようなデバイスは、従来の問い合わせデバイス、完全体外医療デバイス、および他のAIMD、ならびに他の種類の医療および非医療デバイスを含む。図7は、図6の方法170において使用するためのデータ機密性セキュリティ制御180を示す、プロセスフロー図である。制御は、個別的なAIMDおよび多構成要素AIMDの各構成要素の両方によって実装される。加えて、同等のデータセキュリティ制御が、アクセス用デバイスによって必要とされる場合がある。
【0045】
データ機密性(動作182)は、格納される間または通過中、各AIMDによって、全体的あるいは部分的に、データ181上で実行される。データ機密性は、適切な権限のない、データ181のアクセス(動作183)、使用(動作184)、複製(動作185)、または開示(動作186)の試みに広がる。他の動作も可能である。
【0046】
データ機密性は、いくつかの手段を通して導入可能である。例えば、AIMDは、承認デバイスのアクセスリストおよび許容動作を保管可能である。同様に、データ181は、Advanced Encryption Standard(AES)等の対称暗号化を使用することによって、あるいはRivest、Shamir、Adleman(RSA)またはElliptic Curve Cryptography(ECC)方式等の公開鍵基盤における公開と私有の鍵の対を使用する非対称暗号化を使用することによって、暗号化可能である。その結果、データ181は、有効な復号暗号および鍵を保有するそれらのデバイスに対してのみ利用可能となるであろう。また、データ機密性は、制限またはオープンアクセスによって、チャネル上で達成可能である。さらに他の形態のデータ機密性制御も可能である。
【0047】
データ機密性がアクセスに焦点を当てるのに対し、データ完全性は、意図的または偶発的であるかにかかわらず、適切な権限のない他のデバイスによってデータの形態が変更され得ないことを保証する。例えば、データは、マルウェアによって、悪意を持って削除され得る、または伝送エラーのため、送信中に非意図的に変更され得る。図8は、図6の方法170において使用するためのデータ完全性セキュリティ制御190を示す、プロセスフロー図である。制御は、個別的なAIMDおよび多構成要素AIMDの各構成要素の両方によって実装される。同等のデータセキュリティ制御は、データが他のデバイスによって受信されている際にのみ、他のデバイスによって実装される必要がある。
【0048】
したがって、データ完全性(動作192)は、単にデータ191のコンテンツに配慮するだけではない。データ完全性は、データ191の形態が、別のデバイスまたはAIMD自体であり得る、発信元によって意図される状態のままであることを確認するステップを伴う。コマンドの場合、データ完全性は、コマンドの発行および伝送、ならびにコマンド自体の完全性を保護するステップを含む。基本形態では、データ完全性は、典型的には、その後の完全性確認を可能にするために、データのチェック、マーカ、または他の識別子を含めるステップを伴う。データ完全性は、データ191が、意図的、非意図的、または偶発的かにかかわらず、未承認の新規「データ」196として生成(動作193)、未承認の改ざん「データ」197に変更(動作194)、または結果的に損失された「データ」198となって削除(動作195)されていないという保証を提供する。他の動作も可能である。
【0049】
また、データ完全性は、いくつかの手段を通して導入可能である。例えば、パリティ検査、巡回冗長コード、およびエラー訂正コード等の従来のエラー検出および訂正方式が、交換されるコマンドおよびデータ内に組み込まれ得る。同様に、デバイス製造番号等の固有の識別子が、製造時に割り当てられ、コマンドおよびデータ、ならびにタイムスタンプおよび未承の危険に対して情報を「ロック」する他の保護とともに含められることが可能である。また、データ完全性は、公開鍵基盤を通して提供されるデジタル証明書内に含まれる暗号署名等、データ機密性機構を通して供給可能である。さらに他の形態のデータ完全性制御も可能である。
【0050】
ソース認証、または単なる「認証」は、他のデバイスによって、AIMDに提示される身元の主張を検証する。結果として、ソース認証は、認証されていないデバイスがAIMDに要求を行なう場合は常に必要とされる。図9は、図6の方法170において使用するためのソース認証セキュリティ制御200を示す、プロセスフロー図である。制御は、個別的なAIMDおよび多構成要素AIMDの各構成要素の両方によって実装される。同等のデータセキュリティ制御は、受信側AIMDによる認証を可能にするために必要な範囲において、他のデバイスによって実装されなければならない。
【0051】
ソース認証(動作202)は、従来の問い合わせデバイス、完全体外医療デバイス、および他のAIMD等の別のデバイス204からのコマンドまたはデータ201の要求に応答して、体内デバイス203によって行なわれる。
【0052】
ソース認証は、要求側デバイスと受信側AIMDとの間で相互に構築される信頼形態である。信頼は、いくつかの手段を通して構築可能である。例えば、信頼は、X.509デジタル証明書等のデジタル証明書内に含まれる暗号署名等、データ機密性機構を通して構築可能であって、証明書206として、要求205とともに含められる。受信側体内デバイス203は、証明機関、または信頼できるエージェント、あるいは製造業者等の仲介業者から以前に受信した信頼できる証明書208と対照して、証明書206を認証するであろう。より単純な形態では、体内デバイス203は、既知かつ信頼されるそれらのデバイスを識別するアクセスリスト209を保管することが可能である。アクセスリスト209によって、要求側デバイス204は、証明書206のセットとともに要求205を提示することのみが必要とされ、また、デジタル的に署名も可能である。さらに他の形態のソース認証制御も可能である。
【0053】
データ利用可能性は、データアクセスおよび利用規程よりもセキュリティ懸念は低い。本制御は、データおよびその責任AIMDが、機能するセキュリティ制御とともにオンライン状態にあることを保証する。図10は、図6の方法170において使用するためのデータ利用可能性セキュリティ制御210を示す、プロセスフロー図である。制御は、個別的なAIMDおよび多構成要素AIMDの各構成要素の両方によって実装される。
【0054】
データ利用可能性(動作211)は、データ212および関連付けられた体内デバイス213の両方が、例えば、ネットワーク139(図2に図示)を介して、他のデバイスに利用可能な場合、セキュリティ制御214が適切に機能していることが保証される。セキュリティ制御214は、論じられたデータ機密性182、データ完全性192、およびソース認証202セキュリティ制御を含むが、さらに他のセキュリティ制御も可能である。
【0055】
データ利用可能性は、セキュリティ制御の一部として提供可能である。したがって、データ212および体内デバイス213へのアクセスは、セキュリティ制御214が動作不可能または別様にオフラインである場合、拒否される。さらに他の形態のデータ利用可能性制御も可能である。
【0056】
本発明は、特に、その実施形態を参照して図示および説明されたが、当業者は、形態および詳細の上述ならびに他の変更が、本発明の精神および範囲から逸脱することなく、本明細書において成され得ることを理解するであろう。
【技術分野】
【0001】
本発明は、概して、能動的移植型医療デバイスに関し、具体的には、能動的移植型医療デバイス上で体内データセキュリティを提供するためのシステムおよび方法に関する。
【背景技術】
【0002】
European Economic Community Directive 90/385/EECに定義されるような能動的移植型医療デバイス(AIMD)は、電気または自動提供エネルギーに依存する医療デバイスである。AIMDは、概して、完全または部分的に、生体内に導入されることが意図される。AIMDは、人工内耳およびインスリンポンプ等の個別的なデバイスと、多構成要素デバイス、例えば、有線心内圧センサを備える移植型細動除去器(ICD)の両方を含む。さらに他の種類のAIMDも可能である。
【0003】
AIMDは、プログラムされた自動または遠隔制御動作を通して、体内、すなわち、原位置において、療法または生理機能的監視を提供する。恒久的に移植されたAIMDは、診断、故障修理、および再プログラミングのため、かつ格納されたパラメータおよび生理学的データを交換するために、プログラマおよび患者操作可能通信機等の外部デバイスと周期的にインターフェース接続されなければならない一方、一時的に移植されたAIMDは、自動的に機能するか、または外部コントローラを通して、相互動作可能に動作する。
【0004】
AIMDは、利用可能資源、特に、電力、記憶容量、およびサイズと対照して、所望の能力の平衡を保つ必要がある。データセキュリティは、例えば、AIMDの主要な役割に対して二次的な機能を果たし、インプリシットにのみ処理される。例えば、誘導性または無線周波数テレメトリを通して提供される無線データ交換は、1対1を本質とする相互接続に依存し、機密性、完全性、および信頼性を保証する。
【0005】
それでもなお、独立したAIMDは、外部システムと通信する場合、または構成要素が体内で通信する場合、潜在的に、互いに干渉する可能性がある。インプリシットデータセキュリティ単独では、外部デバイスが許容されるAIMDのみとインターフェース接続することが許可されることを保証するためには不十分である。加えて、インプリシットデータセキュリティは、機密性を保証することができない。Health Insurance Portability and Accountability Act(HIPAA)およびEuropean Privacy Directive(EPD)等の法的検討は、患者のプライバシー、特に、健康および医療関連情報によって特定の個人を識別する患者健康情報(PHI)の保護を命じている。
【0006】
2001年4月24日発行の特許文献1は、体内情報転送デバイスについて開示する。伝送デバイスは、人体の近傍に配設された伝送電極に変調される、時変信号を出力するための信号源を含む。別の伝送電極は、伝送デバイスのための基準電圧に接続され、人体から外側に配設される。類似の個別的な装置が、信号受信のために提供される。通信は、人体誘導性電場によって、および空気を介して、2つの独立の信号経路を通して提供される。しかしながら、データは、データセキュリティ制御または保護を伴わずに、開放的に交換される。
【0007】
2001年4月21日発行の特許文献2は、圧力センサと、心臓腔内外への血流に関する情報を収集するためのセンサとを含む、心内システムについて開示する。センサは、ステントとともに形成される、またはそれに接着されることが可能である。センサは、電線を介して、データ中継デバイスに接続される。体外処理ユニットは、有線または無線相互接続を介して、中継された情報を収集する。しかしながら、データは、センサとデータ中継デバイスとの間、またはデータ中継デバイスと体外処理ユニットとの間の1対1でのみ交換されるため、データセキュリティは、インプリシットである。
【0008】
2004年6月20日発行の特許文献3は、圧力または他の生理学的パラメータを測定する、移植型圧力センサについて開示する。外部変換器は、患者の身体内に音波信号を伝送し、蓄電器を励起させる。音波送受信機は、電気と音波エネルギーとの間でエネルギーを変換する。蓄電器は、送受信機によって変換された電気エネルギーを格納し、電気エネルギーを提供し、センサを作動させ、音波信号として、圧力データを送信する。製造番号を使用して、複数のデバイスを区別することが可能であるが、データは、センサと外部変換器との間で1対1でのみ交換され、相互動作可能な移植型センサ間では交換されない。
【0009】
2002年6月20日公開の特許文献4(係属中)、および2002年11月28日公開の特許文献5(係属中)は両方とも、外部音波変換器を介してインターフェース接続可能な移植型センサについて記載する。センサは、自動的に機能し、圧力または生理学的パラメータを監視する。音波変換器は、患者の身体内に音波信号を伝送し、移植型センサとインターフェース接続し、センサによって記録される圧力測定値をダウンロードする。しかしながら、データは、センサと外部音波変換器との間で1対1でのみ交換され、相互動作可能な移植型センサ間では交換されない。
【0010】
最後に、2002年6月27日公開の特許文献6(係属中)、および2005年1月27日公開の特許文献7(係属中)は両方とも、ネットワーク実装型遠隔患者管理方式について記載する。医療デバイスは、ロバストな相互接続ネットワークを介して、無線周波数テレメトリ等の無線技術を通して、生理学的データをアップロードし、データは、データベース内に格納、処理、分析、または表示のために提示されることが可能である。また、医療デバイスは、互いに通信し得る。医療プロバイダのアクセスは、検証または認証され、場合に応じて、公共ネットワークを介したデータ転送は、セキュリティを維持するために暗号化される。しかしながら、医療デバイス間の通信は、非保護のままであって、ソースの信頼性およびデータ完全性は、仮定される。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】米国特許第6,223,018号明細書
【特許文献2】米国特許第6,277,078号明細書
【特許文献3】米国特許第6,764,446号明細書
【特許文献4】米国特許出願公開第2002/0077673号明細書
【特許文献5】米国特許出願公開第2002/0177782号明細書
【特許文献6】米国特許出願公開第2002/0082480号明細書
【特許文献7】米国特許出願公開第2005/0021370号明細書
【発明の概要】
【発明が解決しようとする課題】
【0012】
したがって、内部体内および外部体外データ通信のために、データセキュリティをAIMDに提供するためのアプローチの必要性が存在する。そのようなアプローチは、AIMDまたは他のデバイスによって、あるいはその間で、電子的に格納可能、交換可能、もしくは操作可能な患者データ、コマンド、および任意の他の種類の情報を含む、あらゆるデータ形態を保護する必要があるであろう。
【0013】
さらに、承認デバイスにのみデータの利用可能性およびセキュリティを保証し、また、複数の独立したAIMDが、患者の身体内外からの干渉なく、機能することを可能にするためのアプローチの必要性が存在する。
【課題を解決するための手段】
【0014】
一実施形態は、能動的移植型医療デバイス上の体内データセキュリティを提供するためのシステムおよび方法を提供する。データは、能動的移植型医療デバイスを通して保管される。データは、無線でインターフェース接続される少なくとも1つの他の能動的移植型医療デバイスとの間で、能動的移植型医療デバイス上で保護される。他の能動的移植型医療デバイスによるデータへのアクセス、およびその使用のうちの少なくとも1つは、制限される。データの形態への未承認の変更は、防止される。
【0015】
さらに他の実施形態は、以下の詳細な説明から、当業者には容易に明白となるであろうが、本発明の実施形態は、本発明を実行するために企図される最良の形態の例証として記載される。理解されるように、本発明は、その他および異なる実施形態が可能であって、そのいくつかの詳細は、すべて本発明の精神および範囲から逸脱することなく、種々の明白な点において修正可能である。故に、図面および詳細な説明は、本質的に、例証としてみなされ、制限としてみなされるものではない。
【図面の簡単な説明】
【0016】
【図1】図1は、一例として、個別的な、および構成要素を成す、能動的移植型医療デバイスを示す、ブロック図である。
【図2】図2は、一実施形態による、能動的移植型医療デバイス上の体内データセキュリティを提供するためのシステムを示す、機能的ブロック図である。
【図3】図3は、図2のシステム内で使用するための、階層通信構造に構成される体内デバイスを示す、ブロック図である。
【図4】図4は、図2のシステム内で使用するための、ピアツーピア通信構造に構成される体内デバイスを示す、ブロック図である。
【図5A】図5A−Dは、図2のシステム内で使用するための、体内デバイス間のデータ交換の形態を示す、ブロック図である。
【図5B】図5A−Dは、図2のシステム内で使用するための、体内デバイス間のデータ交換の形態を示す、ブロック図である。
【図5C】図5A−Dは、図2のシステム内で使用するための、体内デバイス間のデータ交換の形態を示す、ブロック図である。
【図5D】図5A−Dは、図2のシステム内で使用するための、体内デバイス間のデータ交換の形態を示す、ブロック図である。
【図6】図6は、一実施形態による、能動的移植型医療デバイス上の体内データセキュリティを提供するための方法を示す、プロセスフロー図である。
【図7】図7は、図6の方法において使用するための、データ機密性セキュリティ制御を示す、プロセスフロー図である。
【図8】図8は、図6の方法において使用するための、データ完全性セキュリティ制御を示す、プロセスフロー図である。
【図9】図9は、図6の方法において使用するための、ソース認証セキュリティ制御を示す、プロセスフロー図である。
【図10】図10は、図6の方法において使用するための、データ利用可能性セキュリティ制御を示す、プロセスフロー図である。
【発明を実施するための形態】
【0017】
本願では、主に、心臓および心肺診断、療法、または監視を提供するために意図されるAIMDに関連して記載されるが、記載される実施形態は、概して、遠隔に問い合わせまたはプログラム可能なあらゆる形態のAIMDに適用される。
【0018】
能動的IMD(AIMD)は、European Economic Community Directive 90/385/EECに定義されており、その開示は、参照することによって組み込まれる。概して、AIMDは、療法送達、感知、診断、監視、および他の目的のために、電気エネルギーまたは自動提供エネルギーに依存し、外科的または内科的に生体内に、あるいは医療的介入によって自然開口内に、完全または部分的に導入されることが意図される。図1は、一例として、個別的かつ構成要素を成す、AIMD103、112を示す、ブロック図である。両AIMDは、ヒト患者101の胴体100内に移植されるが、一時的および恒久的の両方において、他の移植部位も可能である。また、AIMDは、類似目的のために、動物の身体内に導入可能である。
【0019】
患者101は、一対の独立したAIMDおよび従来の外部医療デバイス118の両方を受容している。一方のAIMDは、電磁波、音波、振動、化学、または光テレメトリを通して等、無線で相互通信する個別的な体内構成要素104、109a、109bを含む、心内監視のための多構成要素AIMD103である。無線通信の他の形態も可能である。各構成要素104、109a、109bは、自動駆動かつ自給式である。中継デバイス104は、大胸筋上に皮下移植される。中継デバイス104は、それぞれ、患者の心臓102の右心房110および心室111内に移植される、2つの遠隔心内圧センサ109a、109bに体内で無線でインターフェース接続される。また、監視デバイス104は、図2を参照して以下に詳述されるように、プログラマ、患者操作可能通信機、またはサーバ等の外部デバイスに体外で無線でインターフェース接続可能である。
【0020】
中継デバイス104の筐体は、制御回路105と、テレメトリ回路106と、メモリ107と、バッテリ108とを含む。制御回路105は、マイクロプロセッサベースのコントローラと、信号フィルタと、外部デバイスによるその後の読み出しおよび分析のために、メモリ107内に格納される、生の心内データ信号を処理するための増幅器とを含む。テレメトリ回路106は、中継デバイス104とセンサ109a、109bとの間の無線体内インターフェース、ならびに外部デバイスとの無線体外インターフェースを提供する。バッテリ108は、有限の電源を提供する。また、センサ109a、109bは、制御回路と、体内テレメトリ回路と、バッテリと、メモリと、圧力サンプリング回路(図示せず)を含む。他の体内構成要素および多構成要素AIMDも可能である。
【0021】
他のAIMDは、肺監視のための個別的なAIMD112である。自給式肺内センサ113は、右肺下葉上に皮下移植される。センサ113は、図2を参照して以下に後述されるように、外部デバイスに体外で無線でインターフェース接続可能である。しかしながら、センサ113を伴う通信は、中継デバイス104およびセンサ109a、109bを伴うものと異なる。
【0022】
センサ113の筐体は、同様に、制御回路114と、テレメトリ回路115と、メモリ116と、バッテリ117とを含む。制御回路114は、マイクロプロセッサベースのコントローラと、サンプリング回路と、雑音フィルタと、外部デバイスによる後の読み出しおよび分析のために、メモリ116内に格納される、生の心内データ信号をサンプリングおよび処理するための増幅器とを含む。テレメトリ回路115は、センサ113と外部デバイスとの間の無線インターフェースを提供する。バッテリ117は、有限の電源を提供する。他の個別的なAIMDも可能である。
【0023】
従来の外部医療デバイス118は、インスリンポンプであって、中空内腔を伴う取り外し可能なステント120、および遠位に配向されるインスリン送達プローブ121を含む。プローブ121は、一時的療法使用のために、介護者または患者によって、皮下導入される。インスリンポンプ筐体119は、患者の身体外に残り、インスリン療法を送達するための中空内腔を通して、ステント120と連通する。インスリンポンプ筐体119は、制御回路と、バッテリと、を含み、療法プログラミング命令を実行する。インスリンポンプ118を伴う通信は、完全に体外であって、したがって、AIMD103、112を伴うものと異なる。他の外部医療デバイスも可能である。
【0024】
移植型および外部AIMDは、自動または遠隔制御を通して、療法送達、感知、診断、監視、および関連機能を行なう。体内データセキュリティは、これらの機能が、他のAIMDを含む、他のソースからの干渉なく、正確かつ安全に行なわれることを保証するために必要である。図2は、一実施形態による、AIMD上で体内データセキュリティを提供するためのシステム130を示す、機能的ブロック図である。体内データセキュリティは、AIMD上に格納される際、かつ体内を通過中、特に、無線で伝送される場合のデータの保護を含む。概して、データは、患者データ、コマンド、およびAIMDまたは他のデバイスによって、あるいはそれらの間で電子的に格納可能、交換可能、もしくは操作可能な任意の他の種類の情報を含む。メタデータは、例えば、データに関するデータである。
【0025】
患者データは、広義に定義され、AIMDによって測定される生の生理機能測定値から記録または導出された定量的生理機能的データを含む。また、患者データは、AIMD自体の状態および動作特徴に関するパラメータデータ報告等の非患者情報と、周囲温度または時刻等の非AIMD関連情報を含む環境データとを含む。患者データは、個人的健康状態または生活の質の主観的印象等の定性的データ値をさらに含む。さらに他の種類の患者データも可能である。
【0026】
コマンドは、特定の種類の命令データであって、制御、動作結果を誘起、および通信するために発行される。コマンドは、AIMDまたは他のデバイスによって発生され、AIMDまたは他のデバイスによって、実行または使用される指図、指令、応答、受領通知、および他の形態の動作情報を伝達する、プログラムまたは命令コードおよびメッセージを含むことが可能である。さらに他の種類のコマンドも可能である。コマンドは、発行および伝送、ならびにその完全性のセキュリティを必要とする。
【0027】
データは、患者データ、コマンド、または他のデータにかかわらず、患者の身体内に恒久的または一時的に導入される、1つ以上の多構成要素または個別的なAIMDから生じることが可能である。これらのデバイスは、患者の身体内に完全に導入されるAIMD132、133を含み、ペースメーカー、移植型細動除去器、心臓再同期療法デバイス、薬物ポンプ、および神経刺激装置等の療法送達デバイスと、心臓モニタおよび肺モニタ等の生理機能的監視デバイスとを含む。また、これらのデバイスは、患者の身体内に部分的に導入されるAIMDを含み、体外コントローラおよび移植型ボーラス送達デバイスから成る遠隔制御インスリンポンプ等の療法送達デバイス134と、体外記録デバイスおよび硬膜下または大脳皮質内に配置される電極から成る脳波レコーダ等の生理機能的監視デバイス135とを含む。他の種類のAIMDも可能である。多構成要素AIMDは、それぞれ、図3および4を参照して以下に詳述されるように、マスタ−スレーブ式またはピアツーピア的構成要素として、階層的に構造化可能である。加えて、情報は、図5を参照して以下に詳述されるように、ポイントツーポイント、エンドツーエンド、ブロードキャスト、およびマルチキャスト通信形態として、多構成要素AIMDの構成要素間で交換可能である。
【0028】
また、データは、従来の完全体外医療デバイス136から生じることが可能である。これらのデバイスは、ホルターモニタ等、患者の身体と接触させたままの外部センサと、血圧カフ、体重計、肺活量計等、患者が、使用、操作、または試験を行うことが可能な種々の医療および非医療デバイスとを含む。患者関連目的を有する他の種類の体外デバイスも可能である。
【0029】
概して、恒久的に導入される、または完全に移植される、それらのAIMDは、データを問い合わせるあるいは読み出し、原位置にある間、AIMDの動作のプログラミングを提供するために、体外インターフェース接続を必要とする。これらの種類のAIMDへの体外インターフェース接続は、誘導性、または無線周波数、あるいは、例えば、「強固な」Bluetooth(登録商標)またはIEEE 802.11インターフェース接続規格に基づく他の形態の無線テレメトリ等、有線もしくは無線手段を通して、AIMDにインターフェース接続される、プログラマ137、患者操作可能通信機138、または類似デバイス等の従来の問い合わせデバイスを通して提供可能である。AIMD問い合わせおよびプログラミングのための他の種類のデバイスも可能である。
【0030】
データセキュリティ制御がない限り、データは、患者の身体内外から生じる危険、傍受、干渉、および破損を含む、種々の潜在的危害を被る。従来のデータ交換において使用されるデータセキュリティアプローチは、様々な成功度を伴って、AIMDと外部問い合わせデバイスとの間のような体外データ交換に適用されていた。しかしながら、完全体内通信もまた、図6を参照して以下に詳述されるように、データ機密性の保護、ならびにデータ完全性、ソース認証、およびデータ利用可能性の保証を通して、最も効果的に提供され得る、データセキュリティを必要とする。
【0031】
さらなる実施形態では、体外インターフェース接続は、AIMDと直接に、または中間インターフェースを介して、ネットワーク139上で遠隔にインターフェース接続されるサーバ140を通して提供可能である。構造的に、サーバ140は、例えば、中央演算装置(CPU)、メモリ、ネットワークインターフェース、永続記憶装置、およびそのような構成要素を相互接続するための種々の構成要素等、計算デバイス内で従来見られるそれらの構成要素を含む、単一、多数、または分散処理システムとして構成される、サーバ級の計算プラットホームである。サーバ140は、データベース141または他の記憶手段を含み、読み出されたデータ142と、介護者による検討および分析、ならびに他の承認用途のための他の情報とを保管することが可能である。ネットワーク139は、通信制御プロトコル/インターネットプロトコル(TCP/IP)のプロトコル群に基づくが、他のプロトコル群も可能である。加えて、他のネットワークトポロジおよび構成も可能である。
【0032】
さらなる実施形態では、データは、2002年1月8日発行のBardyの関連する共同所有の米国特許第6,336,903号、2002年4月9日発行のBardyの米国特許第6,368,284号、2002年6月4日発行のBardyの米国特許第6,398,728号、2002年6月25日発行のBardyの米国特許第6,411,840号、および2002年8月27日発行のBardyの米国特許第6,440,066号に記載され、参照することによって組み込まれる、1つ以上の慢性または急性健康状態の発現に対して評価可能である。
【0033】
さらに他の実施形態では、データは、収集、組み立て、評価、伝送、および記憶の間を含む、第3者への未承認開示から体外で安全防護され、患者のプライバシーを保護し、Health Insurance Portability and Accountability Act(HIPAA)およびEuropean Privacy Directive等の近年制定された医療情報プライバシー法に準拠する。最低でも、健康および医療関連情報によって、特定の個人を識別する患者健康情報は、保護されるべきとして処理されるが、特定の患者健康情報に加えて、またはその代わりに、他の種類の機密情報もまた、保護されるべきできであり得る。
【0034】
多構成要素AIMDは、体外インターフェース接続デバイス、完全体外医療デバイス、および他のAIMDを含む、他のデバイスから独立して動作する、体内データネットワークを構成する。したがって、個々の構成要素は、体系的に構造化され、安全なデータ記憶および交換を可能にしなければならない。
【0035】
多構成要素AIMD構造化の最も単純な形態の1つは、階層的なものである。図3は、図2のシステム130内での使用のための、階層的通信構造150で構成される、体内デバイス152、153a−cを示す、ブロック図である。構造150は、ノードによって表される構成要素およびノード間の経路によって表される相互接続を伴う、ツリー構造の形態である。各構成要素は、図4を参照して以下に詳述されるように、データセキュリティ制御を実装し、ツリー構造内のノードに割り当てられる。構成要素のうちの1つは、マスタデバイス152として指定され、他の構成要素は、スレーブデバイス153a−cとして指定される。マスタデバイス152およびスレーブデバイス153a−cは、階層的層151を形成し、デバイス間の全データ通信は、マスタデバイス152を通してチャネリングされる、またはそれによって裁定される。異なる物理的構成要素が、マスタデバイス152として機能可能であるが、さらなる競合解決機構がない限り、1つの構成要素のみ、任意の所与の時間において、マスタデバイス152として指定可能である。加えて、連続的マスタおよびスレーブデバイスの複数の階層的層が形成され得、親ノードは、子ノードとして表されるそれらの構成要素に対するマスタデバイスとして機能する。他の形態の階層構造も可能である。
【0036】
単純ではあるが、階層構造は、拡張が不十分であって、マスタデバイスの処理、記憶、および電源を不均衡に課し得る。非階層構造は、通信の負担を分散化することによって、これらの欠点の緩和を試みる。図4は、図2のシステム130内での使用のための、ピアツーピア通信構造155に構成される、体内デバイス157a−cを示す、ブロック図である。構造155は、頂点によって表される構成要素および頂点間の稜線によって表される相互接続を伴う、完全に接続されているが、必ずしも完全である必要はない、図式の形態である。各構成要素157a−cは、図4を参照して以下に後述されるように、データセキュリティ制御を実装し、図式中の頂点に割り当てられる。非裁定通信を可能にするために、各構成要素157a−cは、同等のデータ交換機能を実装し、データ通信は、最も近い経路156に沿って、受信側ピアデバイスにチャネリングされる。構造155が、完全な図式を形成する場合、全通信は、受信側ピアデバイスに直接送信されなければならない。そうでなければ、通信は、ピア構成要素によって、連続的中継を通して、送信されなければならない。他の形態の階層構造も可能である。
【0037】
データ交換は、多構成要素AIMDによって生成される体内データネットワーク内において、1つ以上の形態で生じることが可能である。図5A−Dは、図2のシステム内で使用するための、体内デバイス間のデータ交換の形態を示す、ブロック図である。データセキュリティは、使用される通信の形態に基づいて、各構成要素に提供される。
【0038】
最初に、図5Aを参照すると、ポイントツーポイントデータ交換160は、互いに体内で直接情報を送信する一対の構成要素を伴う。ソース認証制御は、図9を参照して以下に後述されるように、データソースが既知であって、体内ネットワークトポロジに基づいて、推測的に信頼されるため、ポイントツーポイントデータ交換には必要ではないが場合がある。しかしながら、それぞれ、図7、8、および10を参照して以下に詳述されるように、データ機密性、データ完全性、およびデータ利用可能性制御が必要とされる。
【0039】
次に、図5Bを参照すると、エンドツーエンドデータ交換161は、2つ以上の構成要素を伴う。端点に対して中間的なそれらの構成要素、すなわち、送信側および受信側構成要素は、データ中継として作用する。ソース認証制御は、ポイントツーポイント認証が提供されず、インプリシットでもない場合、端点で必要とされる場合がある。データ機密性、データ完全性、およびデータ利用可能性制御が必要とされる。
【0040】
次に、図5Cを参照すると、ブロードキャストデータ交換162は、送信側構成要素から複数の受信側構成要素への情報の一方向伝送を伴う。概して、全データセキュリティ制御が必要とされる。
【0041】
最後に、図5Dを参照すると、マルチキャストデータ交換163は、同一時間の間に1つ以上の構成要素に情報を送信する複数の構成要素を伴う。概して、全データセキュリティ制御、特に、データ競合の潜在性のため、データ完全性制御が必要とされる。他の形態の通信も可能である。
【0042】
体内環境では、データセキュリティは、AIMD内に格納される際、および構成要素間または従来の問い合わせデバイス等の体外デバイス間で通過中、データを保護するために必要である。コマンドは、その発行および伝送、ならびにその完全性を保護するために、付加的セキュリティを必要とする。また、データセキュリティは、同一患者内での動作において、完全体外医療デバイスおよび他のAIMDからの干渉を防止するために必要とされる。図6は、一実施形態による、AIMD上で体内データセキュリティを提供するための方法170を示す、プロセスフロー図である。方法170は、個別的なAIMDまたは多構成要素AIMDの一部であるかにかかわらず、各AIMD構成要素によって行なわれ、体内データセキュリティを生じさせる。
【0043】
体内データセキュリティは、4つのセキュリティ制御のセット(動作171)を通して提供される。制御のそれぞれが、完全データセキュリティを保証するために必要であるが、制御のいずれかが失敗または利用可能でない場合、安全的ではないが、構成要素の潜在機能は依然として実施され得る。最初に、データ機密性(動作172)は、図7を参照して以下に詳述されるように、従来の問い合わせデバイス、完全体外医療デバイス、および他のAIMDを含む他のデバイスによるデータへのアクセスと、それらによるデータの使用を制限する。データ完全性(動作173)は、図8を参照して以下に詳述されるように、構成要素によって格納される際、または通過中、データの形態への未承認の変更を防止する。ソース認証(動作174)は、図9を参照して以下に詳述されるように、無線でインターフェース接続を試みる他のデバイスの身元を検証する。最後に、(動作175)は、図10を参照して以下に詳述されるように、データおよびAIMD構成要素が利用可能であって、データセキュリティ制御が機能していることを保証する。上述のセキュリティ制御に加え得て、またはその代わりに、他のセキュリティ制御も可能である。
【0044】
データ機密性は、データが、適切な権限が付与された他のデバイスによってのみアクセス可能であることを保証する。そのようなデバイスは、従来の問い合わせデバイス、完全体外医療デバイス、および他のAIMD、ならびに他の種類の医療および非医療デバイスを含む。図7は、図6の方法170において使用するためのデータ機密性セキュリティ制御180を示す、プロセスフロー図である。制御は、個別的なAIMDおよび多構成要素AIMDの各構成要素の両方によって実装される。加えて、同等のデータセキュリティ制御が、アクセス用デバイスによって必要とされる場合がある。
【0045】
データ機密性(動作182)は、格納される間または通過中、各AIMDによって、全体的あるいは部分的に、データ181上で実行される。データ機密性は、適切な権限のない、データ181のアクセス(動作183)、使用(動作184)、複製(動作185)、または開示(動作186)の試みに広がる。他の動作も可能である。
【0046】
データ機密性は、いくつかの手段を通して導入可能である。例えば、AIMDは、承認デバイスのアクセスリストおよび許容動作を保管可能である。同様に、データ181は、Advanced Encryption Standard(AES)等の対称暗号化を使用することによって、あるいはRivest、Shamir、Adleman(RSA)またはElliptic Curve Cryptography(ECC)方式等の公開鍵基盤における公開と私有の鍵の対を使用する非対称暗号化を使用することによって、暗号化可能である。その結果、データ181は、有効な復号暗号および鍵を保有するそれらのデバイスに対してのみ利用可能となるであろう。また、データ機密性は、制限またはオープンアクセスによって、チャネル上で達成可能である。さらに他の形態のデータ機密性制御も可能である。
【0047】
データ機密性がアクセスに焦点を当てるのに対し、データ完全性は、意図的または偶発的であるかにかかわらず、適切な権限のない他のデバイスによってデータの形態が変更され得ないことを保証する。例えば、データは、マルウェアによって、悪意を持って削除され得る、または伝送エラーのため、送信中に非意図的に変更され得る。図8は、図6の方法170において使用するためのデータ完全性セキュリティ制御190を示す、プロセスフロー図である。制御は、個別的なAIMDおよび多構成要素AIMDの各構成要素の両方によって実装される。同等のデータセキュリティ制御は、データが他のデバイスによって受信されている際にのみ、他のデバイスによって実装される必要がある。
【0048】
したがって、データ完全性(動作192)は、単にデータ191のコンテンツに配慮するだけではない。データ完全性は、データ191の形態が、別のデバイスまたはAIMD自体であり得る、発信元によって意図される状態のままであることを確認するステップを伴う。コマンドの場合、データ完全性は、コマンドの発行および伝送、ならびにコマンド自体の完全性を保護するステップを含む。基本形態では、データ完全性は、典型的には、その後の完全性確認を可能にするために、データのチェック、マーカ、または他の識別子を含めるステップを伴う。データ完全性は、データ191が、意図的、非意図的、または偶発的かにかかわらず、未承認の新規「データ」196として生成(動作193)、未承認の改ざん「データ」197に変更(動作194)、または結果的に損失された「データ」198となって削除(動作195)されていないという保証を提供する。他の動作も可能である。
【0049】
また、データ完全性は、いくつかの手段を通して導入可能である。例えば、パリティ検査、巡回冗長コード、およびエラー訂正コード等の従来のエラー検出および訂正方式が、交換されるコマンドおよびデータ内に組み込まれ得る。同様に、デバイス製造番号等の固有の識別子が、製造時に割り当てられ、コマンドおよびデータ、ならびにタイムスタンプおよび未承の危険に対して情報を「ロック」する他の保護とともに含められることが可能である。また、データ完全性は、公開鍵基盤を通して提供されるデジタル証明書内に含まれる暗号署名等、データ機密性機構を通して供給可能である。さらに他の形態のデータ完全性制御も可能である。
【0050】
ソース認証、または単なる「認証」は、他のデバイスによって、AIMDに提示される身元の主張を検証する。結果として、ソース認証は、認証されていないデバイスがAIMDに要求を行なう場合は常に必要とされる。図9は、図6の方法170において使用するためのソース認証セキュリティ制御200を示す、プロセスフロー図である。制御は、個別的なAIMDおよび多構成要素AIMDの各構成要素の両方によって実装される。同等のデータセキュリティ制御は、受信側AIMDによる認証を可能にするために必要な範囲において、他のデバイスによって実装されなければならない。
【0051】
ソース認証(動作202)は、従来の問い合わせデバイス、完全体外医療デバイス、および他のAIMD等の別のデバイス204からのコマンドまたはデータ201の要求に応答して、体内デバイス203によって行なわれる。
【0052】
ソース認証は、要求側デバイスと受信側AIMDとの間で相互に構築される信頼形態である。信頼は、いくつかの手段を通して構築可能である。例えば、信頼は、X.509デジタル証明書等のデジタル証明書内に含まれる暗号署名等、データ機密性機構を通して構築可能であって、証明書206として、要求205とともに含められる。受信側体内デバイス203は、証明機関、または信頼できるエージェント、あるいは製造業者等の仲介業者から以前に受信した信頼できる証明書208と対照して、証明書206を認証するであろう。より単純な形態では、体内デバイス203は、既知かつ信頼されるそれらのデバイスを識別するアクセスリスト209を保管することが可能である。アクセスリスト209によって、要求側デバイス204は、証明書206のセットとともに要求205を提示することのみが必要とされ、また、デジタル的に署名も可能である。さらに他の形態のソース認証制御も可能である。
【0053】
データ利用可能性は、データアクセスおよび利用規程よりもセキュリティ懸念は低い。本制御は、データおよびその責任AIMDが、機能するセキュリティ制御とともにオンライン状態にあることを保証する。図10は、図6の方法170において使用するためのデータ利用可能性セキュリティ制御210を示す、プロセスフロー図である。制御は、個別的なAIMDおよび多構成要素AIMDの各構成要素の両方によって実装される。
【0054】
データ利用可能性(動作211)は、データ212および関連付けられた体内デバイス213の両方が、例えば、ネットワーク139(図2に図示)を介して、他のデバイスに利用可能な場合、セキュリティ制御214が適切に機能していることが保証される。セキュリティ制御214は、論じられたデータ機密性182、データ完全性192、およびソース認証202セキュリティ制御を含むが、さらに他のセキュリティ制御も可能である。
【0055】
データ利用可能性は、セキュリティ制御の一部として提供可能である。したがって、データ212および体内デバイス213へのアクセスは、セキュリティ制御214が動作不可能または別様にオフラインである場合、拒否される。さらに他の形態のデータ利用可能性制御も可能である。
【0056】
本発明は、特に、その実施形態を参照して図示および説明されたが、当業者は、形態および詳細の上述ならびに他の変更が、本発明の精神および範囲から逸脱することなく、本明細書において成され得ることを理解するであろう。
【特許請求の範囲】
【請求項1】
能動的移植型医療デバイス(103、112)上の体内データセキュリティを提供するためのシステム(130)であって、
能動的移植型医療デバイス(103、112)を通して保管される、データ(191)と、
無線でインターフェース接続される少なくとも1つの他の能動的移植型医療デバイス(103、112)との間で、該能動的移植型医療デバイス(103、112)上の該データ(191)を保護するためセキュリティ制御(190)と
を備え、
該セキュリティ制御(190)は、該他の能動的移植型医療デバイス(103、112)による、該データ(191)へのアクセス(183)および該データ(191)の使用(184)のうちの少なくとも1つを制限するためのデータ機密性(172)制御と、該データ(191)の形態への未承認の変更を防止するためのデータ完全性(173)制御とを備える、
システム(130)。
【請求項2】
前記他の能動的移植型医療デバイス(103、112)の身元を検証するためのソース認証(174)制御と、
前記データ(191)および該能動的移植型医療デバイス(103、112)が利用可能であり、かつデータセキュリティが機能していることを保証するためのデータ利用可能性(175)制御と
をさらに備える、請求項1に記載のシステム(130)。
【請求項3】
移植に先立って、前記能動的移植型医療デバイス(103、112)に割り当てられた固有の識別子をさらに備え、該固有の識別子は、該能動的移植型医療デバイス(103、112)との前記データ(191)の各通信と関連付けられている、請求項1に記載のシステム(130)。
【請求項4】
前記データ(191)の使用は、前記他の能動的移植型医療デバイス(103、112)による該データ(191)の複製(185)、および該他の能動的移植型医療デバイス(103、112)への該データ(191)の開示(186)のうちの1つ以上をさらに備える、請求項1に記載のシステム(130)。
【請求項5】
前記能動的移植型医療デバイス(103、112)との前記データ(191)の各通信に付随する完全性チェック(192)をさらに備え、該データ(191)の形態は、該完全性チェック(192)を該通信に適用することによって確認される、請求項1に記載のシステム(130)。
【請求項6】
前記データ(191)の形態の変更は、該データ(191)を生成(192)、修正(194)、および削除(195)するステップのうちの1つ以上をさらに備える、請求項1に記載のシステム(130)。
【請求項7】
認証されたデバイスの信頼できる証明書(208)およびアクセスリスト(209)のうちの少なくとも1つと対照して、前記他の能動的移植型医療デバイス(103、112)の身元を確認するためのアクセス制御をさらに備える、請求項1に記載のシステム(130)。
【請求項8】
前記データ(191)が利用可能でない、前記能動的移植型医療デバイス(103、112)が利用可能でない、または前記データセキュリティ制御(190)が機能していない場合、該能動的移植型医療デバイス(103、112)との通信を拒否するためのロック制御をさらに備える、請求項1に記載のシステム(130)。
【請求項9】
階層構造であって、
マスタデバイス(152)として構成される前記能動的移植型医療デバイス(103、112)のうちの1つと、スレーブデバイス(153a−c)として構成される前記他の能動的移植型医療デバイス(103、112)とを含み、該マスタデバイス(152)は、該能動的移植型医療デバイス(103、112)間の通信を裁定する、
階層構造と、
ピアツーピア構造であって、
ピアデバイス(157a−c)として構成される該能動的移植型医療デバイス(103、112)を含み、該能動的移植型医療デバイス(103、112)間の通信は、自己制御される、
ピアツーピア構造と
のうちの少なくとも1つを含む、体内ネットワーク構造を
さらに備える、請求項1に記載のシステム(130)。
【請求項10】
前記能動的移植型医療デバイス(103、112)は、療法、感知、診断、および監視のうちの1つ以上から成る群から選択される機能を行なう、請求項1に記載のシステム(130)。
【請求項11】
前記能動的移植型医療デバイス(103、112)は、個別的なシステム(112)および複数の相互動作する体内デバイスを含むシステムの分離された構成要素のうちの1つを備える、請求項1に記載のシステム(130)。
【請求項12】
前記データ(191)は、ポイントツーポイント(160)、エンドツーエンド(161)、ブロードキャスト(162)、およびマルチキャスト(163)通信のうちの1つ以上によって、前記他のデバイスと交換される、請求項1に記載のシステム(130)。
【請求項13】
前記能動的移植型医療デバイス(103、112)が、電磁波、音波、振動、化学、および光テレメトリのうちの1つ以上により、前記他のデバイスと通信するための無線インターフェースをさらに備える、請求項1に記載のシステム(130)。
【請求項14】
前記データ(191)は、コマンド、患者データ、メタデータ、および他のデータ(191)から成る群から選択される、請求項1に記載のシステム(130)。
【請求項15】
前記コマンドの発行、伝送、および完全性を安全にすることをさらに備える、請求項14に記載のシステム(130)。
【請求項16】
能動的移植型医療デバイス(103、112)上の体内データセキュリティを提供するための方法(170)であって、
能動的移植型医療デバイス(103、112)を通して、データ(191)を保管するステップと、
無線でインターフェース接続される少なくとも1つの他の能動的移植型医療デバイス(103、112)との間で、該能動的移植型医療デバイス(103、112)上の該データ(191)を保護するステップと
を含み、
該保護するステップは、該他の能動的移植型医療デバイス(103、112)による、該データ(191)へのアクセス(183)および該データ(191)の使用(184)のうちの少なくとも1つを制限するステップと、該データ(191)の形態への未承認の変更を防止するステップとを含む、
方法(170)。
【請求項17】
前記他の能動的移植型医療デバイス(103、112)の身元を検証するステップと、
前記データ(191)および該能動的移植型医療デバイス(103、112)が利用可能であり、かつデータセキュリティが機能していることを保証するステップと
をさらに含む、請求項16に記載の方法(170)。
【請求項18】
移植に先立って、前記能動的移植型医療デバイス(103、112)に固有の識別子を割り当てるステップと、
該固有の識別子を該能動的移植型医療デバイス(103、112)との前記データ(191)の各通信と関連付けるステップと
をさらに含む、請求項16に記載の方法(170)。
【請求項19】
前記データ(191)の使用は、前記他の能動的移植型医療デバイス(103、112)により該データ(191)を複製するステップ(185)、および該他の能動的移植型医療デバイス(103、112)へ該データ(191)を開示するステップ(186)のうちの1つ以上をさらに含む、請求項16に記載の方法(170)。
【請求項20】
前記能動的移植型医療デバイス(103、112)との前記データ(191)の各通信の完全性チェック(192)を含むステップと、
該完全性チェック(192)を該通信に適用することによって、該データ(191)の形態を確認するステップと
をさらに含む、請求項16に記載の方法(170)。
【請求項21】
前記データ(191)の形態の変更は、前記データ(191)の生成(193)、修正(194)、および削除(195)するステップのうちの1つ以上をさらに含む、請求項16に記載の方法(170)。
【請求項22】
認証されたデバイスの信頼できる証明書(208)およびアクセスリスト(209)のうちの少なくとも1つに照らして、前記他の能動的移植型医療デバイス(103、112)の身元を確認するステップをさらに含む、請求項16に記載の方法(170)。
【請求項23】
前記データ(191)が利用可能でない、前記能動的移植型医療デバイス(103、112)が利用可能でない、または前記データセキュリティ制御(190)が機能していない場合、該能動的移植型医療デバイス(103、112)との通信を拒否するステップをさらに含む、請求項16に記載の方法(170)。
【請求項24】
前記能動的移植型医療デバイス(103、112)のうちの1つをマスタデバイス(152)として、前記他の能動的移植型医療デバイス(103、112)をスレーブデバイス(153a−c)として構成するステップであって、該マスタデバイス(152)は、該能動的移植型医療デバイス(103、112)間の通信を裁定する、ステップと、
該能動的移植型医療デバイス(103、112)をピアデバイス(157a−c)として構成するステップであって、該能動的移植型医療デバイス(103、112)間の通信は、自己制御される、ステップと
のうちの少なくとも1つをさらに含む、請求項16に記載の方法(170)。
【請求項25】
前記能動的移植型医療デバイス(103、112)は、療法、感知、診断、および監視のうちの1つ以上から成る群から選択される機能を行なう、請求項16に記載の方法(170)。
【請求項26】
前記能動的移植型医療デバイス(103、112)は、個別的なシステム(112)および複数の相互動作する体内デバイスを含むシステムの分離された構成要素のうちの1つを含む、請求項16に記載の方法(170)。
【請求項27】
ポイントツーポイント(160)、エンドツーエンド(161)、ブロードキャスト(162)、およびマルチキャスト(163)通信のうちの1つ以上によって、前記他のデバイスと前記データ(191)を交換するステップをさらに含む、請求項16に記載の方法(170)。
【請求項28】
電磁波、音波、振動、化学、および光テレメトリのうちの1つ以上により、前記能動的移植型医療デバイス(103、112)を前記他のデバイスと無線でインターフェース接続するステップをさらに含む、請求項16に記載の方法(170)。
【請求項29】
前記データ(191)は、コマンド、患者データ、メタデータ、および他のデータ(191)から成る群から選択される、請求項16に記載の方法(170)。
【請求項30】
前記コマンドの発行、伝送、および完全性を安全にするステップをさらに含む、請求項29に記載の方法(170)。
【請求項31】
請求項16に記載の方法(170)を行なうためのコードを保持する、コンピュータ可読記憶媒体。
【請求項32】
能動的移植型医療デバイス(103、112)上の体内データセキュリティを提供するための装置であって、
能動的移植型医療デバイス(103、112)を通して、データ(191)を保管する手段と、
無線でインターフェース接続される少なくとも1つの他の能動的移植型医療デバイス(103、112)との間で、該能動的移植型医療デバイス(103、112)上の該データ(191)を保護する手段と
を含み、
該保護する手段は、該他の能動的移植型医療デバイス(103、112)による該データ(191)へのアクセス、および該データ(191)の使用のうちの少なくとも1つを制限する手段と、該データ(191)の形態への未承認の変更を防止する手段とを含む、
装置。
【請求項1】
能動的移植型医療デバイス(103、112)上の体内データセキュリティを提供するためのシステム(130)であって、
能動的移植型医療デバイス(103、112)を通して保管される、データ(191)と、
無線でインターフェース接続される少なくとも1つの他の能動的移植型医療デバイス(103、112)との間で、該能動的移植型医療デバイス(103、112)上の該データ(191)を保護するためセキュリティ制御(190)と
を備え、
該セキュリティ制御(190)は、該他の能動的移植型医療デバイス(103、112)による、該データ(191)へのアクセス(183)および該データ(191)の使用(184)のうちの少なくとも1つを制限するためのデータ機密性(172)制御と、該データ(191)の形態への未承認の変更を防止するためのデータ完全性(173)制御とを備える、
システム(130)。
【請求項2】
前記他の能動的移植型医療デバイス(103、112)の身元を検証するためのソース認証(174)制御と、
前記データ(191)および該能動的移植型医療デバイス(103、112)が利用可能であり、かつデータセキュリティが機能していることを保証するためのデータ利用可能性(175)制御と
をさらに備える、請求項1に記載のシステム(130)。
【請求項3】
移植に先立って、前記能動的移植型医療デバイス(103、112)に割り当てられた固有の識別子をさらに備え、該固有の識別子は、該能動的移植型医療デバイス(103、112)との前記データ(191)の各通信と関連付けられている、請求項1に記載のシステム(130)。
【請求項4】
前記データ(191)の使用は、前記他の能動的移植型医療デバイス(103、112)による該データ(191)の複製(185)、および該他の能動的移植型医療デバイス(103、112)への該データ(191)の開示(186)のうちの1つ以上をさらに備える、請求項1に記載のシステム(130)。
【請求項5】
前記能動的移植型医療デバイス(103、112)との前記データ(191)の各通信に付随する完全性チェック(192)をさらに備え、該データ(191)の形態は、該完全性チェック(192)を該通信に適用することによって確認される、請求項1に記載のシステム(130)。
【請求項6】
前記データ(191)の形態の変更は、該データ(191)を生成(192)、修正(194)、および削除(195)するステップのうちの1つ以上をさらに備える、請求項1に記載のシステム(130)。
【請求項7】
認証されたデバイスの信頼できる証明書(208)およびアクセスリスト(209)のうちの少なくとも1つと対照して、前記他の能動的移植型医療デバイス(103、112)の身元を確認するためのアクセス制御をさらに備える、請求項1に記載のシステム(130)。
【請求項8】
前記データ(191)が利用可能でない、前記能動的移植型医療デバイス(103、112)が利用可能でない、または前記データセキュリティ制御(190)が機能していない場合、該能動的移植型医療デバイス(103、112)との通信を拒否するためのロック制御をさらに備える、請求項1に記載のシステム(130)。
【請求項9】
階層構造であって、
マスタデバイス(152)として構成される前記能動的移植型医療デバイス(103、112)のうちの1つと、スレーブデバイス(153a−c)として構成される前記他の能動的移植型医療デバイス(103、112)とを含み、該マスタデバイス(152)は、該能動的移植型医療デバイス(103、112)間の通信を裁定する、
階層構造と、
ピアツーピア構造であって、
ピアデバイス(157a−c)として構成される該能動的移植型医療デバイス(103、112)を含み、該能動的移植型医療デバイス(103、112)間の通信は、自己制御される、
ピアツーピア構造と
のうちの少なくとも1つを含む、体内ネットワーク構造を
さらに備える、請求項1に記載のシステム(130)。
【請求項10】
前記能動的移植型医療デバイス(103、112)は、療法、感知、診断、および監視のうちの1つ以上から成る群から選択される機能を行なう、請求項1に記載のシステム(130)。
【請求項11】
前記能動的移植型医療デバイス(103、112)は、個別的なシステム(112)および複数の相互動作する体内デバイスを含むシステムの分離された構成要素のうちの1つを備える、請求項1に記載のシステム(130)。
【請求項12】
前記データ(191)は、ポイントツーポイント(160)、エンドツーエンド(161)、ブロードキャスト(162)、およびマルチキャスト(163)通信のうちの1つ以上によって、前記他のデバイスと交換される、請求項1に記載のシステム(130)。
【請求項13】
前記能動的移植型医療デバイス(103、112)が、電磁波、音波、振動、化学、および光テレメトリのうちの1つ以上により、前記他のデバイスと通信するための無線インターフェースをさらに備える、請求項1に記載のシステム(130)。
【請求項14】
前記データ(191)は、コマンド、患者データ、メタデータ、および他のデータ(191)から成る群から選択される、請求項1に記載のシステム(130)。
【請求項15】
前記コマンドの発行、伝送、および完全性を安全にすることをさらに備える、請求項14に記載のシステム(130)。
【請求項16】
能動的移植型医療デバイス(103、112)上の体内データセキュリティを提供するための方法(170)であって、
能動的移植型医療デバイス(103、112)を通して、データ(191)を保管するステップと、
無線でインターフェース接続される少なくとも1つの他の能動的移植型医療デバイス(103、112)との間で、該能動的移植型医療デバイス(103、112)上の該データ(191)を保護するステップと
を含み、
該保護するステップは、該他の能動的移植型医療デバイス(103、112)による、該データ(191)へのアクセス(183)および該データ(191)の使用(184)のうちの少なくとも1つを制限するステップと、該データ(191)の形態への未承認の変更を防止するステップとを含む、
方法(170)。
【請求項17】
前記他の能動的移植型医療デバイス(103、112)の身元を検証するステップと、
前記データ(191)および該能動的移植型医療デバイス(103、112)が利用可能であり、かつデータセキュリティが機能していることを保証するステップと
をさらに含む、請求項16に記載の方法(170)。
【請求項18】
移植に先立って、前記能動的移植型医療デバイス(103、112)に固有の識別子を割り当てるステップと、
該固有の識別子を該能動的移植型医療デバイス(103、112)との前記データ(191)の各通信と関連付けるステップと
をさらに含む、請求項16に記載の方法(170)。
【請求項19】
前記データ(191)の使用は、前記他の能動的移植型医療デバイス(103、112)により該データ(191)を複製するステップ(185)、および該他の能動的移植型医療デバイス(103、112)へ該データ(191)を開示するステップ(186)のうちの1つ以上をさらに含む、請求項16に記載の方法(170)。
【請求項20】
前記能動的移植型医療デバイス(103、112)との前記データ(191)の各通信の完全性チェック(192)を含むステップと、
該完全性チェック(192)を該通信に適用することによって、該データ(191)の形態を確認するステップと
をさらに含む、請求項16に記載の方法(170)。
【請求項21】
前記データ(191)の形態の変更は、前記データ(191)の生成(193)、修正(194)、および削除(195)するステップのうちの1つ以上をさらに含む、請求項16に記載の方法(170)。
【請求項22】
認証されたデバイスの信頼できる証明書(208)およびアクセスリスト(209)のうちの少なくとも1つに照らして、前記他の能動的移植型医療デバイス(103、112)の身元を確認するステップをさらに含む、請求項16に記載の方法(170)。
【請求項23】
前記データ(191)が利用可能でない、前記能動的移植型医療デバイス(103、112)が利用可能でない、または前記データセキュリティ制御(190)が機能していない場合、該能動的移植型医療デバイス(103、112)との通信を拒否するステップをさらに含む、請求項16に記載の方法(170)。
【請求項24】
前記能動的移植型医療デバイス(103、112)のうちの1つをマスタデバイス(152)として、前記他の能動的移植型医療デバイス(103、112)をスレーブデバイス(153a−c)として構成するステップであって、該マスタデバイス(152)は、該能動的移植型医療デバイス(103、112)間の通信を裁定する、ステップと、
該能動的移植型医療デバイス(103、112)をピアデバイス(157a−c)として構成するステップであって、該能動的移植型医療デバイス(103、112)間の通信は、自己制御される、ステップと
のうちの少なくとも1つをさらに含む、請求項16に記載の方法(170)。
【請求項25】
前記能動的移植型医療デバイス(103、112)は、療法、感知、診断、および監視のうちの1つ以上から成る群から選択される機能を行なう、請求項16に記載の方法(170)。
【請求項26】
前記能動的移植型医療デバイス(103、112)は、個別的なシステム(112)および複数の相互動作する体内デバイスを含むシステムの分離された構成要素のうちの1つを含む、請求項16に記載の方法(170)。
【請求項27】
ポイントツーポイント(160)、エンドツーエンド(161)、ブロードキャスト(162)、およびマルチキャスト(163)通信のうちの1つ以上によって、前記他のデバイスと前記データ(191)を交換するステップをさらに含む、請求項16に記載の方法(170)。
【請求項28】
電磁波、音波、振動、化学、および光テレメトリのうちの1つ以上により、前記能動的移植型医療デバイス(103、112)を前記他のデバイスと無線でインターフェース接続するステップをさらに含む、請求項16に記載の方法(170)。
【請求項29】
前記データ(191)は、コマンド、患者データ、メタデータ、および他のデータ(191)から成る群から選択される、請求項16に記載の方法(170)。
【請求項30】
前記コマンドの発行、伝送、および完全性を安全にするステップをさらに含む、請求項29に記載の方法(170)。
【請求項31】
請求項16に記載の方法(170)を行なうためのコードを保持する、コンピュータ可読記憶媒体。
【請求項32】
能動的移植型医療デバイス(103、112)上の体内データセキュリティを提供するための装置であって、
能動的移植型医療デバイス(103、112)を通して、データ(191)を保管する手段と、
無線でインターフェース接続される少なくとも1つの他の能動的移植型医療デバイス(103、112)との間で、該能動的移植型医療デバイス(103、112)上の該データ(191)を保護する手段と
を含み、
該保護する手段は、該他の能動的移植型医療デバイス(103、112)による該データ(191)へのアクセス、および該データ(191)の使用のうちの少なくとも1つを制限する手段と、該データ(191)の形態への未承認の変更を防止する手段とを含む、
装置。
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【図6】
【図7】
【図8】
【図9】
【図10】
【公表番号】特表2010−536420(P2010−536420A)
【公表日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願番号】特願2010−521055(P2010−521055)
【出願日】平成20年5月15日(2008.5.15)
【国際出願番号】PCT/US2008/063769
【国際公開番号】WO2009/023328
【国際公開日】平成21年2月19日(2009.2.19)
【出願人】(505003528)カーディアック ペースメイカーズ, インコーポレイテッド (466)
【Fターム(参考)】
【公表日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願日】平成20年5月15日(2008.5.15)
【国際出願番号】PCT/US2008/063769
【国際公開番号】WO2009/023328
【国際公開日】平成21年2月19日(2009.2.19)
【出願人】(505003528)カーディアック ペースメイカーズ, インコーポレイテッド (466)
【Fターム(参考)】
[ Back to top ]