JP2005524168A - 機密情報の記憶 - Google Patents

機密情報の記憶 Download PDF

Info

Publication number
JP2005524168A
JP2005524168A JP2004502113A JP2004502113A JP2005524168A JP 2005524168 A JP2005524168 A JP 2005524168A JP 2004502113 A JP2004502113 A JP 2004502113A JP 2004502113 A JP2004502113 A JP 2004502113A JP 2005524168 A JP2005524168 A JP 2005524168A
Authority
JP
Japan
Prior art keywords
identifier
database
data
request
communication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2004502113A
Other languages
English (en)
Inventor
イルキ マイヤラ、
エサ レハト、
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MEDIWEB Oy
Original Assignee
MEDIWEB Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MEDIWEB Oy filed Critical MEDIWEB Oy
Publication of JP2005524168A publication Critical patent/JP2005524168A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本発明は、必要な場合に機密情報を、例えば余分な識別子無しに識別番号を用いて容易に検索可能なように、機密情報を記憶し、しかし、機密情報を個人に関連できないように記憶する方法と、システムと、通信サーバと、ネットワークノードに関するものである。本発明は、1つの内部識別子および2つの別個のデータベースを用いることに基づいており、記憶すべきデータと、記憶すべきデータに関連する個人を識別する第1の識別子とを含んだ記憶要求(700)を受けたときに、第2の識別子をその値が第1の識別子に依存しないように生成し、第1の識別子および第2の識別子を第1のデータベースに、第1の識別子を第2の識別子に結合させることによって記憶させ、記憶すべきデータを第2のデータベースに第2の識別子とともに記憶させる。

Description

発明の分野
本発明は、個人に関する機密情報の記憶、とくに患者の処方箋および/または他の患者データの記憶に関するものである。
発明の背景
従来、処方箋データは紙の処方箋に、もしくは可能性としては医者が用いる閉鎖データシステムのデータベースに記憶されるだけであった。同様に、患者のデータは、患者の記録として公知の用紙、およびそれに加えて可能性としては診療所、健康センターおよび/または病院の閉鎖データシステムに保存されて記憶されている。外部の組織はこれらのデータにはアクセスしない。通信接続が改善されたため、例えば、さまざまな処方箋伝達システムが開発されており、そのほとんどは薬を出す薬局への処方箋の直接送信を基本にしており、したがって、処方箋のデータベースは全く蓄積されていない。しかし、このような方式における問題は、処方箋を書く時、人は、利用すべき薬局を決める必要があることである。
この問題に対する解決策として集中式データベースが提案され、データベースに処方箋を記憶し、どの薬局でもデータベースから処方箋の検索を行なうことができる。しかし、このようなデータベースにおける問題は、データの機密性を保証する必要がある、すなわち、外部者が特定の患者に対してどのような処方が書かれているのかを知る方法がないことである。
この問題を解決する方法は、処方箋のデータを個人に関連する外部識別子と一緒に記憶するが、識別子は個人の識別を不可能にし、データへのアクセスは上記外部識別子だけによることである。外部識別子を、指紋などの例えばバイオメトリック識別子、個人用のスマートカードのコードにすることができる。しかし、外部識別子を利用することは、記憶先とデータ検索先の両方でコード読取り器を必要とし、さらには個人が別個のカードもしくはそれと同様のものに、コードを持ち歩く必要がある。
他の方法は、強力な暗号化によってデータを保護することである。強力な暗号化における問題は、時間とともに古くなり、それによって保護されなくなることである。処方箋および患者のデータは数十年間にわたって守秘される必要がある。暗号化もやはりデータの記憶中に暗号化プログラムの利用と、データの分解中に解読プログラムの利用を必要とする。これらのプログラムはさまざまな暗号化方法ごとに異なる。前記方法における他の欠点は、どのように暗号化キーを使用し、記憶し、変更するかに関しての協定を作る必要があることである。さらに、強力に暗号化したデータの検索に関する利用および他の同様の利用は非常に困難であり、公開鍵暗号を用いた場合は実際には不可能である。
発明の簡単な説明
したがって、本発明は方法と、その方法を実行する装置を提供して、個人が一般的に使用されている識別番号などの個々の識別子を用いて機密情報の検索を行なうことを可能にするが、機密情報をいずれの個人にも結びつけることができないように機密情報を記憶することを目的とする。本発明の目的は、独立請求項に記載されることを特徴とする方法と、通信サーバと、ネットワークノードと、システムによって達成される。本発明の好ましい実施例は従属請求項に記載する。
本発明は、個人の識別データを第1のデータベースに、さらに機密情報を第2のデータベースに記憶させ、これらの情報を第2の識別子よって結合させることによって、処方箋に含まれる薬の処方などの機密情報と、識別番号などの個人の識別データとを記憶段階で互いに分離することに基づいている。第2の識別子は、第2の識別子を特定の個人に結びつけるようなものは含んでいない。このようにして、機密情報は個人の識別子データによって検索可能になり、同時にこれを個人の識別子データ無しに調べることができる。ここで、望ましくは薬の処方箋はその処方箋に全ての投薬データを含む。すなわち、本発明は、2つの別々のデータベースを、内部識別子を用いて使用することを基本としている。
本発明の利点は、機密情報を含んでいる第2のデータベースが、許可有りもしくは許可無しに関わらず、情報を調査するいずれの人に対しても、機密情報と結び付けられる個人を明らかにするものは何も含んでいないので、機密情報を暗号化する必要がないことである。さらに、機密情報は、誰のプライバシへの危険もなく、および/または情報を利用可能な形式に分解できるであろう研究者もしくは権威者に対して何の秘密情報を与える必要もなく、研究者および権威者の利用に供される。他の利点は、特定の個人に関する情報の記憶もしくは検索中に、システムのユーザが別個の読取り装置もしくはそのようなものを持つ必要がないばかりでなく、またその個人が、余分の情報を含んでいるスマートカードなどの識別装置を持ち歩く、またはそれを購入する必要もないことである。さらに他の利点は、データ検索において用いられる識別子は、システム内部の識別子であるので、システムのエンドユーザがデータ機密保護システムの動作に注意を払う必要がないことである。
次に、添付の図面を参照して、本発明の好ましい実施例を詳細に説明する。
発明の詳細な説明
以下に、ヘルスセンタもしくは個人経営の診療所などの処方箋が書かれる場所から、処方箋データベースを介して、処方箋を薬局へ送信することを一例として、本発明を説明する。しかし、本発明はこの特定の方式に限定されることはなく、患者の履歴、投薬履歴、その他などのどのような機密情報の記憶にも、さらに必要ならばどこにでもそれを送信することにも適用可能である。本発明を適用する他の例は、ヘルスセンタからの情報および個人診療所の情報の両方からの患者の共通履歴の生成と、ヘルスセンタもしくは個人診療所のいずれかにおいての患者の共通履歴の利用である。本発明はまた、例えばインターネット取引における請求情報および/または購入情報の記憶にも適用可能である。
図1は、本発明の典型的な実施例を説明するために必要な要素だけを示す簡略化したシステムのアーキテクチャを示す。図1に示すネットワークノードは論理ユニットであり、その実施を、説明することとは異なるようにすることができる。このシステムは、ここでは詳細に説明する必要はない他の機能および構成を含んでもよいことは当業者には明らかである。
システムは、ヘルスセンタシステム1と、薬局システム2と、2つのネットワークノード3、4とを含む。2つのネットワークノード3、4は双方ともにデータベースおよび2つの通信ネットワーク5、5’を有し、これを介してネットワークノード3、4がヘルスセンタシステム1および薬局システム2へ接続される。システムにおいて、無線データ転送、固定接続に基づくデータ転送、もしくはこれらの両方を用いることができる。
図1の典型的な実施例において、ヘルスセンタシステム1は少なくとも、1つの処方箋記憶区分11と、1つの通信サーバ12とを含む。処方箋記憶区分11を手段およびユーザインタフェースUIと見なし、これが処方箋の生成と、通信サーバを介しての複数の処方箋を含んでいるデータベースへの転送とを可能にする。典型的な実施例による通信サーバは図4および図7に関連して詳細に説明する。
図1の典型的な実施例において、薬局システム2は通信サーバ22と処方箋処理区分21とを含み、通信サーバ22によって複数の処方箋を含んでいるデータベースから処方箋を検索し、さらにこれを介してその処方箋に書き込むべき注意事項があればそれを記憶することができ、処方箋処理区分21は処方箋の内容を、ユーザインタフェースUI’を介して薬局の職員へ表示し、これを介して職員が、その処方箋の送付に関連する情報を例えば記憶することができる。典型的な実施例において、薬局システムにおける通信サーバ22はヘルスセンタシステムの通信サーバ12と類似である。本発明の他の実施例において、通信サーバの諸機能をさまざまにすることができる。
ヘルスセンタシステム1および薬局システム2の双方が、実際の本発明に関連のないためにここでは詳細に説明していない他のサブシステムおよび/または区分を含んでいることは当業者には明らかである。これらの例には、例えば許可された人だけが情報を記憶/呼出しすることができることを保証するさまざまな識別システムおよびファイアウォールが含まれる。複数のヘルスセンタシステムおよび薬局システム、および/またはこれらが含む複数の要素があってもよいことも当業者には明らかである。
図1の典型的な実施例は2つの別個のネットワークノード3、4を有し、これらの双方が1つのデータベースDB1、DB2を含んでいる。これらのデータベースは、機密情報、すなわち発明の典型的な実施例における薬処方箋を一方のデータベースに、個人を識別するデータを他方に記憶する点で互いに異なっている。データベースの構造は図2および3に関連して、さらに典型的な実施例におけるその動作は図5および6に関連して詳細に説明する。本発明の他の実施例において、これらのデータベースを同一のネットワークノード内に物理的に配置することができるが、別個のデータベースになるようにする。これらのデータベース、もしくはこれらのうちの一方を複数の相互接続したデータベースにすることができ、これらをさまざまなネットワークノード内に物理的に配置することさえでき、これらのネットワークノードを閉鎖もしくは開放ネットワークの一部にすることができる。相互接続したデータベースもさまざまなデータを含むことができる。例えば、1つの開放データベースが複数の相互接続データベースを含んで、1つの連結データベースが薬処方箋データと、第2の実験データと、第3の年令、期間および体重データとを含むようにすることができる。エンドユーザに対しては、これらの相互接続データベースは1つの統合したデータベースとして作用する。
1つのデータベースを含む双方のネットワークノードは通信ネットワーク5、5’を介して通信サーバ12、22へ接続される。複数の中間ネットワークが基づく通信システム、およびそれらが同一のシステムまたはさまざまなシステムに基づくかについては本発明には関係ない。これらのネットワークを、例えばインタネットネットワーク、電話ネットワーク、もしくは移動ネットワークにすることができる。
本発明の典型的な実施例において通信サーバは、データを通信サーバがデータベースから送信する相手であるサブシステムの一部である、あるいはデータを通信サーバがデータベースへ送信する送信元であるサブシステムの一部であると想定しているが、通信サーバを別個のネットワークノードとして配設する、もしくはいずれかのデータベースを含むノード内に配設することができることは当業者には明らかである。通信サーバをサブシステムの一部にすることによって、機密情報を共通のネットワークにおいて識別番号とともに送る必要がなくなるという利点を生む。これによってさらに個人のデータ機密保護が改善される。
図2は、複数の識別子を含むデータベース、いわゆる識別子データベース、すなわち典型的な実施例によるネットワークノード3を示し、これが接続部31と、アプリケーション部32と、個人データを含んでいるデータベースDB1とを含んでいる。
個人データを含んだデータベースDB1はレコード33を含み、レコード33では、識別番号IDNOをその特定の識別番号用に生成される識別子IDENTIFIERに接続する。識別番号は個人を明白に識別するのに用いる識別子である。生成された識別子は望ましくは機密データを含むデータベース内では曖昧にならないようにして、機密データを含むデータベースにおいて1つの生成された識別子の1つの数値を1個人だけに関連させることができるようにしている。1個人が複数の生成された識別子を有することができるが、典型的な実施例においては1個人が1つの生成された識別子しか持たないという前提に立っている。データベースは、データベースのデータに対してアクセス権限を有する通信サーバに関する情報を、例えばリスト(図2には示さない)として含んでもよい。
接続部31は薬局システムの通信サーバおよびヘルスセンタシステムの通信サーバの両方からのさまざまな要求を受け、それらの要求に対する返答を送信する。これらの要求は、代表的には特定の識別番号に関連する生成識別子に関して問い合わせるデータ検索要求である。接続部31も、要求を送信してきた通信サーバに関する情報をアプリケーション部32へ送信するようにしてもよい。
アプリケーション部32は、識別番号に対応する生成識別子を探すために、データベースを検索し、それを接続部31を介して、それについて要求した通信サーバに対して返す。アプリケーション部32もやはり、データについて問い合わせた通信サーバが許可された通信サーバであるか否か、すなわち例えばデータベースDB1のリストに載っているか否かを、生成識別子を検索する前にデータベースから点検し、通信サーバが許可されていないならば、例えば単なる空白データ、もしくは否定応答のいずれかを、データについて問い合わせた通信サーバに対して送るように構成することもできる。アプリケーション部32はさらに、新規の通信サーバをデータベースの許可通信サーバのリストに加えるようにすることもできる。本発明の典型的な実施例において、アプリケーション部32は、生成した識別子が見付からない場合は、生成した識別子について問い合わせた通信サーバに対して否定通知を送り、通信サーバから受信した生成要求に応答して識別子を生成して、それを識別番号とともにレコード33としてデータベースDB1に記憶し、さらにそのようにして生成した識別子を、接続部31を介して、生成要求を発信した通信サーバに対して送信するように構成することもできる。生成した識別子を、例えば通し番号にすることができる。しかし、本発明は決してその生成識別子の形式および/または内容を限定するものではない。例えば、当該通信サーバまたはその他の通話者が生成識別子の生成に携わるようにしている本発明の他の実施例において、アプリケーション部32を、生成識別子が見付からない場合に、例えば単なる空白データもしくは否定通知を生成識別子について問い合わせた通信サーバに対して送るように構成している。本発明のさらに他の実施例において、アプリケーション部を、識別番号に対して見つからなかった生成識別子に応答して、生成識別子を生成し、それを識別番号と一緒にレコードとしてデータベースDB1に記憶し、さらにそのようにして生成した識別子を、接続部21を介してそれについて問い合わせた通信サーバに対して送信するように構成することができる。
典型的な実施例においては識別子データベースだけが、所定の生成された識別子を所定の個人に関連させることができるので、機密データは第2のデータベースに守秘され、それによって個人のデータ機密保持を保証している。
本発明の他の実施例において、識別子データベースが識別番号ばかりでなく、住所もしくは他の人口統計学的データなどのある程度の少ない識別用データも含むようにすることができる。
本発明の他の実施例において、識別子データベースを同意管理に関連したデータを含むようにすることもできる。そのような実施例において、例えば患者の同意は、患者の薬の処方箋をデータベースに記憶させること、および/またはどの種類のデータまでデータベースに記憶させることができるのかに関して問われる。
本発明の他の実施例において、機密データを含んでいるデータベースにおいてデータを処理するために、副識別子を有するものの権利を決めるために用いる副識別子を識別子データベースが含むようにすることもできる。副識別子の例としては、広告主の識別子がある。広告主の広告を、広告主の識別子が添付された識別子の所有者に送付することができる。
本発明の他の実施例において、アプリケーション部32は、実施例に関連した諸機能を行うように構成している。
図3は、機密データを含んでいるデータベース、すなわち典型的な実施例によるネットワークノード4を示すが、これは接続部41と、アプリケーション部42と、処方箋データベースDB2とを含んでいる。
接続部41は薬局のシステムの通信サーバおよびヘルスセンタのシステムの通信サーバの両方からさまざまな要求を受信し、それらの要求に対する応答もしくは通知を送信する。これらの要求は典型的には、データ検索要求、データ記憶要求、もしくはデータ編集要求である。接続部41をさらに、要求を発した通信サーバに関する情報をアプリケーション部42へ送信するように配設することができる。
処方箋を含むデータベースDB2はレコード43を含んでおり、レコード43では、識別子に関連する全ての薬処方箋およびその他のデータが、典型的な実施例における生成された識別子IDENTIFIERへ接続される。すなわち、データを記憶するときに、対応する識別子を含んでいるレコードを検索し、そこにすでに存在するデータに加えて、データをそこに記憶する。本発明の他の実施例において、データは、その特定の時間に記憶した識別子およびデータを含んだ、より小さなレコードに記憶される。この実施例においては、データを検索する場合、上記識別子を含んだ全てのレコードがデータベースから検索される。最も簡易な場合、処方箋を含むデータベースは、開かれた処方箋、すなわちまだ配送されていない、または一部しか配送されていない処方箋だけを含んでいる。処方箋を含むデータベースにはさらに、例えば投薬履歴と、患者の履歴と、年齢、体重、喫煙、その他などの患者のさまざまな背景データと、投薬の副作用の情報と、研究所試験結果および/またはアレルギーに関する情報を含ませることができる。データベースにはさらに、例えばリストとして(図3に示さない)、データベースのデータへのアクセス権限を有する通信サーバに関する情報を含ませることもできる。通信サーバもやはり、要求された識別子に関連したデータだけを取得する権限を有するものと、識別子を含んでいない要求(すなわち大量情報)に対するだけの権限を有するものと、全てのデータへのアクセス権限を有する通信サーバのように、リストに入れることもできる。データベースにさらに、データベースのデータを処理するために、副識別子を所有するものが有する権限を例えば決めるために使用可能な複数の副識別子を含ませることができる。
アプリケーション部42は、互いに異なる要求を区別し、それらにしたがって機能するように構成されている。アプリケーション部42は、したがって、そのデータベースを、生成された識別子に対応する処方箋について検索し、それらを接続部41を介して、それらを要求した通信サーバへ送り戻し、生成された識別子に関連した新規の処方箋を記憶し、処方箋をデータベースにおいて編集するように構成されている。アプリケーション部42をさらに、開かれた処方箋の検索、編集および/または記録前に、情報を要求している通信サーバが許可された通信サーバであるか否かについて、すなわち例えばそれがデータベースDB2中に、このような情報を受信することを許可されたものの一覧表中に見つかるか否かについて点検し、さらに通信サーバが許可されていないならば、要求を行った通信サーバへ、単なる白紙データもしくは否定通知のいずれかを送信するように構成することもできる。アプリケーション部42をさらに、データベース内の許可されている通信サーバの一覧表に新規の通信サーバを追加するように構成することもできる。アプリケーション部42を、副識別子を生成および/または記憶するように構成することもできる。本発明の典型的な実施例において、アプリケーション部42はさらに、さまざまなデータベースの検索を行なうように構成されている。データベースの検索を、例えば、国内あるいはヘルシンキ内のいずれかにおいて先月いくつの処方箋(薬の処方箋)が書かれているか、過去10年間でリューマチの治療用に最も頻繁に処方された薬の組み合わせはどれか、過去3年間に患者Aに対していくつの処方箋が書かれたか、または薬Xを含む昨年書かれた処方箋の100分率を調査するのに用いることもできる。アプリケーション部42を、副識別子を生成するように構成することもできる。
図4は、本発明の典型的な実施例による通信サーバ12のブロック図を示す。通信サーバを個人の別個のサーバにすること、もしくは例えばシステムへ連結されるソフトウェアモジュールにすることができる。本発明の典型的な実施例においては、1種類だけの通信サーバをシステムに用いており、本発明によるデータベースを用いたそれぞれのサブシステムへ通信サーバを加えることを想定している。すなわち、典型的な実施例において同一種の通信サーバを、データベースにおいてデータを検索および/またはデータを記憶する全てのサブシステムへ加える。本発明の他の実施例においては、例えば識別子無しで図3のデータベースから大量データを直接検索するなどの、サブシステムにおいて必要な機能だけを実行するように、複数の通信サーバを合わせてもよい。
典型的な実施例においては、サブシステムの一部として通信サーバが動作し、サブシステムは、複数のユーザおよび通信命令を認証して、許可された個人/装置だけがそれを使用できることを通信サーバが確信できるようにしていることを想定している。本発明の他のいくつかの実施例において、通信サーバがさまざまなユーザおよび/または装置の認証機能および/または認証装置をデータ機密保持のために含むことができる。
図4を参照すると、典型的な実施例による通信サーバ12は2つの別個の接続部121、121'と、これらの間にアプリケーション部122とを含んでいる。
第1の接続部121はサブシステムと通信するように構成されており、サブシステムの一部が通信サーバである。これがユーザから要求を受信し、それらをさらにアプリケーション部へ送り、アプリケーション部から、要求に対する応答を受信し、それらをさらにユーザに対してユーザインタフェースを介して送信する。
第2の接続部121'は、識別子データベースと、さらに機密データ、すなわち処方箋データベースを含んだデータベースと通信するように構成されている。第2の接続部は、アプリケーション部から受信したデータ検索要求もしくはデータ記憶要求、またはそれらに基づいて生成された要求を、データベースを含む複数のネットワークノードへ送り、そこから応答を受け、それをさらにアプリケーション部へ送る。
典型的な実施例によるアプリケーション部122は、図7に関連して詳細に実行される機能を行なうように構成されている。手短に説明すると、識別番号を含んだ要求に応じて、アプリケーション部122は、識別番号に対する生成識別子を見つけて、要求に応じて、生成識別子に基づいて機密情報を記録、編集、または検索するように構成されている。同様に、識別番号を含まない要求に応答して、このアプリケーション部は要求を、機密情報を含むデータベースへ送るように構成されている。さらに、典型的な実施例によるアプリケーション部122は識別番号に対する識別子を、それがデータベースに見つからない場合、生成するか否かについてユーザに問い合わせ、ユーザがそのように望む場合は識別子を生成させる要求を行なうように構成されている。本発明の他の実施例において、識別番号を含んだ要求に応答して、アプリケーション部を、要求を行なっている要求通話者の権限を点検し、要求通話者が、要求を行なう権限を持っている場合のみ、要求によって要求される機能を行なうように構成することができる。
本発明の他の実施例において、通信サーバは、記憶装置を含んでもよい。これに対して所定の数の生成した識別子もしくは所定の識別子空間を割り当て、これから識別子を生成するようにすることができる。この実施例において、識別子データベースから受けた空応答もしくは否定通知に応じて、アプリケーション部122が識別番号に対する生成識別子を生成し、送り出すべき要求にそれを用い、要求がデータ記憶要求である場合、識別子データベースに記憶するためにそれを送るように構成されている。所定の識別子もしくは識別子空間により、何らかの他の通信が他のなんらかの識別番号に対して生成している識別子を生成しないという利点を生む。
本発明の他の実施例において、通信サーバがローカル識別子データベースを含むようにすることができる。このような実施例において、通信サーバは、先ず生成された識別子に関してデータベースを検索し、それが見つからない場合のみ、それを実識別子データベースから要求するように構成される。この実施例において、通信サーバはさらに、望ましくはそのローカル識別子データベースをできる限り頻繁に(例えば一時間ごとに)、もしくは必要な場合に(常に新規の識別子の生成後)実識別子データベースと同期するように構成される。
図5は、典型的な実施例による識別子データベースを含むネットワークノードの作動を流れ図によって示す。典型的な実施例においては、データベースもデータベース内のデータを呼び出す通信サーバの一覧表を含んでいることを前提にしている。
ネットワークノードが要求をステップ500において受けた場合、ネットワークノードは、要求が検索要求であるか否かをステップ501において点検する。そうである場合、ネットワークノードは、要求が識別番号idnoを含んでいるか否かについてステップ502において点検する。要求が識別番号を含んでいる場合、ネットワークノードはステップ503において、要求がデータベースのデータを呼び出している通信サーバから受けたものであるか否かについて点検する。換言すれば、ネットワークノードは、通信サーバが許可されたサーバであるか否かについて点検する。そうである場合、ステップ504において、識別番号に対応する生成されている識別子について識別子データベースが検索される。識別子がデータベースで見つかった場合(ステップ505)、それは要求に対する応答としてステップ506において送られる。
検索要求に関係ない場合(ステップ501)、本発明の典型的な実施例においては、識別子生成要求に関係があり、その結果、識別子がステップ507で生成され、それがステップ508において識別番号と一緒にレコードとして識別子データベースに記憶され、ステップ506において要求に対する応答として送られる。
要求が識別番号を含んでいない場合(ステップ502)またはそのサーバが許可されていない場合(ステップ504)または識別子が全く見つからない場合(ステップ505)、ステップ509において否定通知が送られる。
図6は、典型的な実施例による処方箋データベース、すなわち機密情報を含んだネットワークノードの作動を流れ図により示す。典型的な実施例において、データベースもやはりデータベースのデータを呼び出す通信サーバのリストを含んで、生成した識別子に基づいてデータベースを検索する権限を有する通信サーバおよびそのような権限を持たないものとを別々にリストしないことを前提にしている。本発明の典型的な実施例において、特定の個人に関連するデータに対する要求は、要求内の識別子に基づいて大量のデータ要求から分離されることを前提にしている。
明確化のために、図6の実施例においては、要求されたデータが見つかることを前提にしている。要求データが見つからない場合は、要求に対しては、例えば否定通知を送付することによって応答が行なわれ、否定通知は理由を含めることができることは当業者には明らかである。
図6を参照すると、ネットワークノードがステップ601において要求を受信した場合、ステップ602において要求が、データベースのデータを呼び出す通信サーバから受信されたものであるか否かについて点検を行なう。すなわち、通信サーバが、許可されているサーバか否かについて点検する。そうである場合、ステップ603において、個人のデータに関連する要求、もしくは大量のデータ要求に関係があるか否かについての点検が行なわれる。要求が識別子を含んでいた場合、ステップ604において、要求がデータ検索要求であるか否かについての点検が行なわれる。そうである場合、ステップ605において、要求されたデータが検索され、ステップ606においてデータがその識別子に添付され、応答がステップ607において通信サーバに対して送信される。
検索要求に関係ない場合(ステップ604)、ステップ608において記憶要求に関係があるか否かについて点検が行なわれる。そうである場合、ステップ609において要求のデータが識別子とともにデータベースに記憶され、ステップ610において肯定応答が通信サーバに対して送られる。典型的な実施例において、各識別子が1つのレコードを有し、その中にデータが、既にそこに含まれているかもしれないデータに加えて、記憶される。
記憶要求にも関係ない場合(ステップ608)、典型的な実施例においては記憶済データ編集要求に関係があり、したがって、ステップ611において所望の変更が識別子および要求によってともに指示されたデータに記憶され、肯定応答がステップ610において通信サーバに対して送信される。
要求が識別子を含んでいない場合(ステップ603)は、大きなデータ集団と関連した検索要求に関係があり、このような事例は上述したが、ステップ621において要求データ集団がデータベースから検索され、ステップ607において応答として通信サーバに対して送信される。
許可されているサーバに関係ない場合(ステップ602)、否定通知がステップ613において通信サーバに対し送信される。
図7は、典型的な実施例による通信サーバの作動を示す。典型的な実施例においては、許可されたユーザだけが通信サーバに接続することができることを前提としている。本発明の他の実施例においては、通信サーバがさまざまな認証手段を行なうように構成してもよい。使用されるデータベースが配置されているネットワークノードのアドレスは、典型的な実施例による識別子データベース内に配列される。さらに、典型的な実施例においては、生成すべき識別子は、データベースを含むネットワークノード内で生成されることを前提にしている。
通信サーバがステップ700においてユーザの要求を受信した場合、通信サーバは、ステップ701において要求が識別番号idnoを含んでいるか否かについて点検する。そうである場合、ステップ702において通信サーバは識別番号をユーザの要求から分離して、ステップ703において、分離した識別番号を含んだ検索要求を、データベースを含んでいるネットワークノードに対して送る。
ステップ704において識別子データベースを含んでいるネットワークノードから応答を受け、応答が、生成された識別子を含んでいた場合(ステップ705)、通信サーバはそれをユーザの要求へステップ706において加え、ステップ707においてユーザの要求を、処方箋データベースを含むネットワークノードに対して送信する。送信されるユーザの要求は、生成された識別子を含み、識別番号を含まない。
ステップ708において、通信サーバは、処方箋データベースを含むネットワークノードから応答を受け、ステップ709において、生成された識別子を、受信した応答から消去し、ステップ710において識別番号を応答へ加え、応答をステップ711においてユーザへ送る。通信サーバはこのようにして応答の内容に関係なく作動する。同時に、通信サーバはその記憶装置からそこに臨時に記憶した識別番号を消去する。本発明の他の好ましい実施例において、通信によってローカル識別子データベースを収集することができ、そこに識別番号を、関連する生成された識別子とともに記憶する。
ユーザの要求が識別番号を含まない場合(ステップ701)、ステップ712において通信サーバはユーザの要求を、処方箋データベースを含むネットワークノードへ送る。それからの応答をステップ713において受信した後、ステップ714において通信サーバは応答を、応答の内容に関係なく、ユーザに対して送信する。
識別子データベースから受けた応答が識別子を含んでいない場合(ステップ705)、ステップ715において通信サーバはユーザに対して、ユーザは識別子が識別番号に対して生成されることを望んでいるか否かを質問する。ユーザが、識別子が生成されることを望んでいる場合(ステップ716)、通信サーバはステップ717において生成要求を、識別子データベースを含んでいるネットワークノードに対して送信し、それに対する応答をステップ704において受信し、そこから処理が上述のように進んで行く。
ユーザが、識別子が生成されることを望まない場合(ステップ716)、通信サーバはステップ718において、情報を受信した旨の肯定応答をユーザに対して送る。同時に、通信サーバはその記憶装置から、そこに仮に記録した識別番号を削除する。
本発明の他の好ましい実施例において、通信サーバは識別子を一時的にも記憶しない。そして、この実施例においては、通信サーバは、ステップ709および710間において生成された識別子を用いて識別番号を要求するように構成される。この実施例において、識別子データベースを含むネットワークノードは、この識別番号を、生成された識別子の受信に応答して通信サーバに対して送り戻すように構成される。
図5、6および7に説明したステップは、完全には発生順になっておらず、上記のものとは異なる順序で実行することができる。ユーザの承認や、同意の管理に関する手段などの他の機能も上記のステップ間で行なうことができる。例えば、どちらかのデータベースを含む通信サーバもしくはネットワークノードは、接触相手がデータに対するアクセス権限を有するか否かを、すなわち接触相手が所定のヘルスセンタ、所定の医者、許可されている広告主、もしくは薬剤師であるか否かについて点検することができる。通信サーバが許可されているか否かについての点検などの本図において説明したいくつかのステップを省略することもできる。通信サーバを要求から直接識別すること、どのような要求に関係しているかを識別することも可能であり、それによって識別番号もしくは生成された識別子を要求が含んでいるか否かについて調べる必要がなくなる。同様に、識別子データベースを含むネットワークノードが、例えば検索要求の構造から検索要求が、識別子が見つからない場合にそれに対して識別子を生成できるものであるか否かを識別することができ、それによって図5に説明したステップの順序を変え、いくつかのステップを省略し、新規のステップを含めることができる。
以上、本発明を、1つの生成された識別子だけを1つの識別番号に関連させることを前提にして説明したが、本発明を、複数の生成された識別子を1つの識別番号に関連させるようにしている方式にも適用可能であることは当業者には明らかである。上記の説明により、これらの実施例におけるデータベースの使用方法は当業者には明らかである。
非常に簡易化した実施例を用いてデータベースの利用方法を上記では説明していることに注意すべきでもあり、また、非常に複雑なデータベースの問い合せおよびデータの更新を、本発明の原理に従って本発明によるデータベースにおいて実行することができることは当業者には明らかである。例えば、医薬の番号付けの変更を、番号付けが変わる薬を含んでいる全ての処方箋において、機密情報を含むデータベースで一括実行として直接行なうことができる。
データ転送および記憶すべき機密情報は暗号化しないことを上記では前提としているが、本発明はそのような方式に限定されない。機密情報もしくはその一部を暗号化形式で記憶することができる。データ転送もしくはその一部も暗号化形式で実行することができる。
以上、本発明を患者の個人データが保護されることを前提に説明したが、本発明は、医者の識別子に対する生成識別子を生成することによって、さらにそれを特定のもしくは同一の識別子データベースに記憶することによって、処方箋を書く医者の個人データを同様に保護することにも適用できる。
本発明を上記では、個人を識別する識別子として識別番号を用いて説明したが、個人を十分な精度で識別する他の識別子を代わりに用いる、もしくは識別番号と平行に使用することができることは当業者には明らかである。
本発明の機能を実行するシステムと、そのネットワークノードと、システムの部品は、従来技術の手段ばかりでなく、以上に詳細に説明した諸機能を実行する手段も含んでいる。それらには、本発明の諸機能において利用可能な処理装置と記憶装置が含まれる。本発明を実施するために必要なすべての処理手段と、他の手段と、変更と、追加を、追加のもしくは更新したソフトウェアのルーチンとして、処理装置として、および/または、さまざまなアプリケーション回路(ASIC)として実行できる。
技術の進歩とともに、本発明の基本概念をさまざまな方法で実行できることは当業者には明らかである。したがって、本発明およびその実施例は上述の実施例に限定されることはなく、特許請求の範囲内で変化させることができる。
図1は、簡易化したシステムアーキテクチャの典型的な実施例を示す。 図2は、上記典型的な実施例による識別子データベースを含むネットワークノードのブロック図を示す。 図3は、上記典型的な実施例による機密情報を含んでいるデータベースを含むネットワークノードのブロック図を示す。 図4は、上記典型的な実施例による通信サーバのブロック図を示す。 図5は、上記典型的な実施例による識別子データベースを含むネットワークノードの動作の流れ図である。 図6は、上記典型的な実施例による機密情報を含んでいるデータベースを含むネットワークノードの動作を示す流れ図である。 図7は、上記典型的な実施例による通信サーバの動作を示す流れ図である。

Claims (10)

  1. 2つのデータベースを含むシステムに機密情報を記憶する方法であって、
    該方法は、前記記憶すべき情報と、該記憶すべき情報に関係している個人を識別する第1の識別子とを含む記憶要求を受信するステップを少なくとも含む方法において、
    第2の識別子を、その値が前記第1の識別子に依存しないように生成し(507)、
    該第1の識別子が該第2の識別子に結合するように、該第1の識別子および該第2の識別子を前記第1のデータベースに記憶し(508)、
    前記記憶すべき情報を前記第2のデータベースに前記第2の識別子とともに記憶することを特徴とする方法。
  2. 請求項1に記載の方法において、該方法はさらに、
    前記第2の識別子を生成する前に、第2の識別子が前記第1の識別子に対して生成されているかを前記第1のデータベースにおいて検査し(505)、
    生成されていれば、該第1のデータベースにおいて前記第2の識別子を使用し、
    生成されていなければ、前記第2の識別子を生成するステップを含むことを特徴とする方法。
  3. 請求項1または2に記載の方法において、該方法はさらに、
    前記第1の識別子を含む検索要求を受信し、
    該第1の識別子に対応する前記第2の識別子を前記第1のデータベースから検索し、
    前記要求された情報を該第2の識別子を用いて前記第2のデータベースから検索するステップを含むことを特徴とする方法。
  4. 請求項3に記載の方法において該方法はさらに、前記要求に対して、前記要求された情報および前記第1の識別子を含む応答を送信するステップを含むことを特徴とする方法。
  5. 少なくとも2つのデータベースと、記憶すべき情報を生成するシステムとを含むデータシステムにおける通信サーバ(12、22)であって、該通信サーバは、
    要求、すなわち前記記憶すべき情報と、該記憶される情報に関連している個人を識別する第1の識別子とを含む要求を受信する受信手段(121)を含む通信サーバにおいて、該通信サーバ(12、22)はさらに、
    前記第1の識別子に対応する第2の識別子を前記データシステムの第1のデータベースにおいて決定し、該第2の識別子は、その値が前記第1の識別子に依存しないように生成される第1の処理手段(122)と、
    前記記憶すべき情報を前記第2の識別子とともに前記データシステムの第2のデータベースに記憶する第2の処理手段(122)とを含むことを特徴とする通信サーバ。
  6. 請求項5に記載の通信サーバ(12、22)において、
    前記受信手段(121)はさらに、データ検索要求を受信し、これを前記記憶要求から分離するように配設され、
    前記第2の処理手段(122)も、前記第2の識別子とともに記憶した前記データを前記データシステムの第2のデータベースから前記データ検索要求に応じて検索し、前記第2の識別子を持たない該検索されたデータを、該データ検索要求を発した通話者に対して送ることを特徴とする通信サーバ。
  7. 少なくとも2つのデータベースと、記憶したデータを含むシステムとを含むデータシステムにおける通信サーバ(12、22)であって、
    要求を受信する受信手段(121)を含み、該要求は、前記記憶したデータに関連しており、該記憶されたデータに関連する個人を識別する第1の識別子を含んでいる通信サーバにおいて、該通信サーバはさらに、
    前記第1の識別子に対応する第2の識別子を前記データシステムの第1のデータベースにおいて決定し、該第2の識別子は、その値が該第1の識別子に依存しないように生成される第1の処理手段(122)と、
    前記記憶したデータを前記第2の識別子とともに前記データシステムの第2のデータベースから検索する第2の処理手段(122)とを含むことを特徴とする通信サーバ。
  8. データを記憶するデータベース(DB1)と、
    該データベースに向けられた要求を受信し、該要求にある第1の識別子を分離し、該第1の識別子は、前記記憶すべきデータに関係のある個人を識別する受信手段(31)とを含むネットワークノードにおいて、該ネットワークノードはさらに、
    第2の識別子の値が前記第1の識別子に依存しないように、前記第1の識別子に対して該第2の識別子を生成する生成手段(32)と、
    該第1の識別子が該第2の識別子に結合するように、該第1の識別子および第2の識別子を前記データベースに記憶する記憶手段(32)と、
    該第2の識別子を前記要求に応じて返送する応答手段(31)とを含むことを特徴とするネットワークノード。
  9. 請求項8に記載のネットワークノードにおいて、
    該ネットワークノードはさらに、前記データベースが前記第1の識別子用の第2の識別子を含んでいるかを検査して、含んでいない場合は、前記生成手段を作動させる処理手段(32)を含み、
    前記生成手段(32)は、該処理手段に応答可能に構成されていることを特徴とするネットワークノード。
  10. 少なくとも1つの通信サーバ(12、22)と、
    少なくとも2つのデータベース(DB1、DB2)を含むデータシステムにおいて、
    該第1のデータベース(DB1)は記録を含み、該記録においては、個人を識別する第1の識別子は少なくとも1つの第2の識別子に連結しており、該第2の識別子は、単独では個人を識別せず、該第2の識別子の値は、その値が前記第1の識別子に依存しないように生成され、
    前記第2のデータベース(DB2)は機密情報を含み、該情報は、個人情報の各断片を、対応する前記第2の識別子へ結合させるように記録されており、
    該通信サーバ(12、22)は、前記第1の識別子を含有する要求に応じて、前記データベースにおいて該第1の識別子に対応する第2の識別子を決定し、該第1の識別子を前記要求から削除し、該第2の識別子を該要求に対して加えた後に、該要求を前記第2のデータベースへ送ることを特徴とするデータシステム。
JP2004502113A 2002-04-29 2003-04-28 機密情報の記憶 Withdrawn JP2005524168A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20020808A FI20020808A (fi) 2002-04-29 2002-04-29 Arkaluontoisten tietojen tallentaminen
PCT/FI2003/000332 WO2003093956A1 (en) 2002-04-29 2003-04-28 Storing sensitive information

Publications (1)

Publication Number Publication Date
JP2005524168A true JP2005524168A (ja) 2005-08-11

Family

ID=8563847

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004502113A Withdrawn JP2005524168A (ja) 2002-04-29 2003-04-28 機密情報の記憶

Country Status (6)

Country Link
US (1) US20060106799A1 (ja)
EP (1) EP1499937A1 (ja)
JP (1) JP2005524168A (ja)
AU (1) AU2003236238A1 (ja)
FI (1) FI20020808A (ja)
WO (1) WO2003093956A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020010410A (ja) * 2019-07-18 2020-01-16 株式会社東海理化電機製作所 サーバ、認証装置、及び認証システム

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI116170B (fi) * 2003-04-11 2005-09-30 Jouko Kronholm Menetelmä palautteen välittämisessä palautejärjestelmästä sekä tietojen välitysjärjestelmä
WO2005091138A1 (en) * 2004-03-16 2005-09-29 Grid Analytics Llc System and method for aggregation and analysis of information from multiple disparate sources while assuring source and record anonymity using an exchange hub
SE0500541L (sv) * 2005-03-08 2006-09-09 Inator Kb Auktorisationssystem och metod
DE102006025763A1 (de) * 2006-05-31 2007-12-06 Siemens Ag Verfahren zur Identifikation eines Patienten zum späteren Zugriff auf eine elektronische Patientenakte des Patienten mittels einer Kommunikationseinrichtung einer anfragenden Person
US8966381B2 (en) * 2007-04-10 2015-02-24 Microsoft Corporation Time intelligence for application programs
US20090320092A1 (en) * 2008-06-24 2009-12-24 Microsoft Corporation User interface for managing access to a health-record
DE102009009276A1 (de) * 2009-02-17 2010-08-19 Az Direct Gmbh Verfahren zum Missbrauchsschutz von Adressendateien
FR2961616B1 (fr) * 2010-06-17 2013-03-01 Thales Sa Dispositif et procede de stockage securise de donnees biometriques
US20130086579A1 (en) * 2011-09-30 2013-04-04 Virtual Bridges, Inc. System, method, and computer readable medium for improving virtual desktop infrastructure performance
KR102144509B1 (ko) * 2014-03-06 2020-08-14 삼성전자주식회사 근접 통신 방법 및 장치
EP3195106B1 (en) * 2014-09-15 2020-10-21 Demandware, Inc. Secure storage and access to sensitive data
KR20200092471A (ko) * 2019-01-09 2020-08-04 현대자동차주식회사 클라우드 기반의 edr 데이터 관리 방법 및 시스템

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE501128C2 (sv) * 1993-11-30 1994-11-21 Anonymity Prot In Sweden Ab Anordning och metod för lagring av datainformation
GB9712459D0 (en) * 1997-06-14 1997-08-20 Int Computers Ltd Secure database system
US6148342A (en) * 1998-01-27 2000-11-14 Ho; Andrew P. Secure database management system for confidential records using separately encrypted identifier and access request
EP1026603A3 (en) * 1999-02-02 2002-01-30 SmithKline Beecham Corporation Apparatus and method for depersonalizing information
GB9920644D0 (en) * 1999-09-02 1999-11-03 Medical Data Service Gmbh Novel method
US6954753B1 (en) * 1999-10-20 2005-10-11 Hewlett-Packard Development Company, L.P. Transparent electronic safety deposit box
US6449621B1 (en) * 1999-11-03 2002-09-10 Ford Global Technologies, Inc. Privacy data escrow system and method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020010410A (ja) * 2019-07-18 2020-01-16 株式会社東海理化電機製作所 サーバ、認証装置、及び認証システム

Also Published As

Publication number Publication date
AU2003236238A1 (en) 2003-11-17
FI20020808A (fi) 2003-10-30
FI20020808A0 (fi) 2002-04-29
WO2003093956A1 (en) 2003-11-13
EP1499937A1 (en) 2005-01-26
US20060106799A1 (en) 2006-05-18

Similar Documents

Publication Publication Date Title
US11240251B2 (en) Methods and systems for virtual file storage and encryption
CA2432141C (en) Computer oriented record administration system
US6874085B1 (en) Medical records data security system
TW510997B (en) Privacy and security method and system for a world-wide-web site
US7788222B2 (en) Information exchange engine providing a critical infrastructure layer and methods of use thereof
TWI388183B (zh) 用以使敏感資料及關聯記錄無法識別之系統和方法
US20130218599A1 (en) Dual-access security system for medical records
US7810145B2 (en) Distributed data consolidation network
JPWO2018124297A1 (ja) Bcn(ブロックチェーンネットワーク)を使用したデータ利用方法、システムおよびそのプログラム
JP2008527478A (ja) 医療情報を照会および参照するための仲介サーバ、方法およびネットワーク
JPH1145304A (ja) 医療支援システム
WO2008005640A2 (en) Data vault depository and associated methodology providing secured access pursuant to compliance standard conformity
WO2018009979A1 (en) A computer implemented method for secure management of data generated in an ehr during an episode of care and a system therefor
KR20050032690A (ko) 개인 정보를 보호하고 의료 연구를 지원하기 위한 의료정보 시스템 및 의료 정보 제공 방법
JP2005524168A (ja) 機密情報の記憶
US20060271482A1 (en) Method, server and program for secure data exchange
JP2001325372A (ja) ヘルスケアデータ共有システム,ヘルスケアデータ共有方法およびヘルスケアデータ共有プログラム
JP2001257668A (ja) 認証システム、携帯端末、認証方法及び記録媒体
JP4550087B2 (ja) 検索仲介システム
CN115019920A (zh) 基于智能识别技术的医疗档案管理***
JP7308631B2 (ja) 情報連携システムおよび情報管理方法
JP2000293603A (ja) 地域医療情報システム及び電子患者カード
JP4900469B2 (ja) 検索仲介システム
Pukas et al. Software based on blockchain technology for consolidation the medical data about the patients examination
JP2016157394A (ja) データ管理システム及びid管理方法

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20060704