JP2006121440A - 医療システム、医療データ管理方法、及び医療データ管理用通信プログラム - Google Patents
医療システム、医療データ管理方法、及び医療データ管理用通信プログラム Download PDFInfo
- Publication number
- JP2006121440A JP2006121440A JP2004307253A JP2004307253A JP2006121440A JP 2006121440 A JP2006121440 A JP 2006121440A JP 2004307253 A JP2004307253 A JP 2004307253A JP 2004307253 A JP2004307253 A JP 2004307253A JP 2006121440 A JP2006121440 A JP 2006121440A
- Authority
- JP
- Japan
- Prior art keywords
- protocol
- medical data
- encryption
- data
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Medical Treatment And Welfare Office Work (AREA)
Abstract
【課題】 個人情報や電子カルテなどを管理する医療システムにおいて、クライアント、サーバ間のデータの傍受、クライアント、サーバへの不正侵入やデータの抜き取りを効果的に防ぐ。
【解決手段】 クライアント、サーバ構成でデータを管理する医療システムにおいて、トランスポート層に位置するプロトコルを暗号化して通信を行うとともに、暗号化されたままで記憶させて管理し、個人情報やカルテなどの情報を暗号化された情報として管理し、通信上はもちろんコンピュータ上から個人情報などを抜き取られることや、不正使用を防止したシステムを実現する。
【選択図】 図7
【解決手段】 クライアント、サーバ構成でデータを管理する医療システムにおいて、トランスポート層に位置するプロトコルを暗号化して通信を行うとともに、暗号化されたままで記憶させて管理し、個人情報やカルテなどの情報を暗号化された情報として管理し、通信上はもちろんコンピュータ上から個人情報などを抜き取られることや、不正使用を防止したシステムを実現する。
【選択図】 図7
Description
本発明は、医療システム、医療データ管理方法、及びそれを実現するための医療データ管理用通信プログラムに関する。
近年、インターネットを含むネットワークを利用した医療システムの構築は、急速に普及拡大している。一方、普及拡大に伴って、ハッカー(hacker)やクラッカー(Cracker)が医療システム用のコンピュータシステムや医療機関インフラストラクチャ用コンピュータシステムやその端末機器、及び、RFタグ、ICカード、バイオメトリックスなどの認証機器に侵入して、ソフトウエアやデータを盗み見たり、改竄や破壊を行ったりする。また、内部犯行によるデータをコピーして持ち出し、転売してしまう、または、恐喝する行為が、社会問題も大きくなっている。
具体的な不正妨害のケースとしては、まず第1に、中心的なシステムが使えなくなるように、ネットワークから大量のメッセージを送りつけコンピュータシステムの運用を妨害するシステム妨害がある。この妨害によってホストが過負荷になるとシステムダウンに陥ってしまうことも起こりうる。
また、ホストのパスワードを入手し、医療システムデータを含む機密情報を盗んだり、情報の改竄や破壊を行ったりする「不正アクセスとなりすまし」の不正妨害がある。
また、サイト若しくはサーバの運営元で、意図的に個人情報を盗むといった行為や、社内に潜むスパイなどによるサイバーテロ(Cyber terrorism)といった危機も全くないとはいえない状況である。
また、サイト若しくはサーバの運営元で、意図的に個人情報を盗むといった行為や、社内に潜むスパイなどによるサイバーテロ(Cyber terrorism)といった危機も全くないとはいえない状況である。
このため、従来のTCP/IP(Transmission Control Protocol/Internet Protocol)を利用したインターネット上での通信において、データの「漏洩」「改竄」等を防ぐ機能として、IPsec(アイピーセック:Security Architecture for Internet Protocol)やSSL(Secure Socket Layer)といわれる暗号化通信が利用されている。但し、IPsecは、SSLと違い、非常に多くの設定が必要となり、高度なスキルを要求されるため、誰でも使用できるわけでない。また、ネットワーク環境での制限が多く、どこからでも使用できるということはない。また、SSLは、米ネットスケープ社(現在AOLに吸収合併)の開発したセキュリティ機能付HTTPプロトコルであり、これを利用することによりクライアントとサーバがネットワーク上でお互いを認証できるようになり、クレジットカード情報などの機密性の高い情報を暗号化してやり取りすることが可能となる。これにより、データの盗聴、再送攻撃(ネットワーク上に流れたデータを盗聴して何度も繰り返して送ってくる攻撃)、なりすまし(本人の振りをして通信する)、データの改竄などを防止することができる。
図9は、従来のSSLを用いた暗号化通信を行う場合のプロトコルスタックの例を示している。図9に示すように、OSI参照モデルは、最下層(第1層)が物理層、第2層がデータリンク層、第3層がネットワーク層、第4層がトランスポート層、第5層がセッション層、第6層がプレゼンテーション層、最上層(第7層)がアプリケーション層になっている。図9では、第6層と第7層は省略してある。このOSI参照モデルにおける7階層は、通信機能を7段階に分けたものであり、その階層毎に標準的な機能モジュールを定めている。プロトコルスタックとは、ネットワークの各階層における機能を実現するためのプロトコルを選び、階層状に積み上げたソフトウエア群である。
まず、OSI参照モデルについて概略を説明すると、第1層の物理層は、信号線の物理的な電気特性や符号の変調方法などを規定した層である。ただ、この層だけが単独で定義・実装されることは少なく、通常は、第2層のデータリンク層と共に、たとえばイーサネットの規格、などとして定義される。
第2層のデータリンク層は、データのパケット化や物理的なノードアドレス、パケットの送受信方法などを規定する層である。この層は、物理的な通信媒体を通して、2つのノード間でパケットをやり取りするためのプロトコルを規定するものであり、各ノードに対して、何らかのアドレスを付け、そのアドレスに基づいてパケットの送信先を特定し、パケットを通信媒体上に送信する。通信媒体としては、銅配線や無線、光ファイバなど、多様なものがある。また、接続形態(トポロジー)も、1対1の対向接続だけでなく、バス型やスター型、リング型など多くの種類がある。通信媒体上に送信されたパケットは、受信側ノードに到着した時点でそのノードに取り込まれ、さらに上位のプロトコル層へと渡される。
物理層とデータリンク層に渡って配置されるNIC(Network Interface Card)ドライバは、パソコンやプリンタなどを構内ネットワーク(LAN)につなぐための拡張ボードである。単にネットワークカードという場合はイーサネットにつなぐ場合が多い。このNICドライバにより、データを送信したいノード(機器)がケーブルの空き状況を監視して、ケーブルが空くと送信を開始するようにしている。このとき、もし複数のノードが同時に送信を開始するとケーブル内でデータが衝突して破壊されるので、両者は送信を中止し、ランダムな時間を待って送信を再開するのである。これによって一本のケーブルを複数のノードが共有して互いに通信することができる。
第3層のネットワーク層は、任意の2つのノード間での通信方法を規定する層である。TCP/IPでいえばIP層に相当する。データリンク層では、同一ネットワーク媒体上のノード間での通信を行うことができるが、その機能を使って、ネットワーク上に存在する任意の2つのノード間で、ルーティング(routing)を行いながら通信するのがこのネットワーク層の役目である。ここで、ルーティングとはTCP/IPネットワークにおいて目的のホストまでパケットを送信するときに、最適な経路を選択して送信することをいう。例えば、イーサネットでは、同一セグメント上のノード同士でしかお互いに通信できないが、ネットワーク層では、2つのイーサネットセグメント間でパケットをルーティングすることによって通信を行う。また、電話回線を通じてコンピュータをネットワーク(イーサネット)に接続するダイヤルアップPPP(Point to Point Protocol)回線へのルーティング、また、光ファイバを使った専用線へのルーティングなど、物理的なネットワーク媒体によらずにパケットをルーティングすることができる。この目的のため、通常は、物理媒体に依存しないアドレス(TCP/IPならば、IPアドレス)を各ノードに割り当て、これに基づいてルーティングを行っている。
第4層のトランスポート層は、各ノード上で実行されている2つのプロセス間で、エラーのない、仮想的な通信路を実現するためのプロトコル層である。TCP/IPでいえばTCP層に相当する。ネットワーク層では、2つのノード間での通信を行う機能を提供しているが、これを使って、2つのプロセス(アプリケーション)間で、エラーのない、仮想的な通信路を提供するのがこの層の役目である。すなわち、ネットワーク層ではデータを送ることはできるが、そのデータが確実に相手に届くという保証はない。また、送信した順に正しくデータが届くという保証もない。そこで、アプリケーションにとって使いやすくするために、エラーのない通信路を提供するのがこの層である。必要ならばデータの再送・回復処理などを行う。この第4層のトランスポート層に暗号化処理を施した例は、今まで存在していない。
第5層のセッション層は、セッション(通信の開始から終了まで)の手順を規定する層であり、アプリケーション間でコネクションを開設して通信ができる状態にする層である。この層に配置されるソケット(socket)は、コンピュータが持つネットワーク内の住所に当たるIPアドレスと、IPアドレスのサブアドレスであるポート番号を組み合わせたネットワークアドレスを意味している。コンピュータ同士を接続する場合は、必ずソケット(IPアドレスとポート番号の組)を指定して行う。図9に示すように、従来の代表的な暗号化通信技術であるSSLは、このセッション層で暗号化通信を実現している。
図9では、第6層と第7層については省略してあるが、簡単に説明すると、第6層のプレゼンテーション層は、セッション(通信の開始から終了まで)でやり取りするデータの表現方法や符号化、暗号化などを規定する層である。TCP/IPプロトコルでは、この層に相当する部分はなく、通常はアプリケーション自身でストリームデータの処理をハンドリングしている。
第7層のアプリケーション層は、アプリケーション間でのデータのやり取りを規定するための層であり、TCP/IPプロトコルではこの層に相当する部分はない。例えば、電子メールのフォーマットや、文書の内部構造など、アプリケーション間で相互にデータをやり取りする場合に必要な、共通のデータ構造などを規定する層である。
図9は、暗号化処理プロトコルとしてSSLを具備した標準プロトコルの例である。
従来の代表的な暗号化通信技術の中で、SSLでは、互いの認証レベルではRSA(Rivest Shamir Adleman:公開鍵暗号方式を開発者3人の頭文字)公開鍵暗号技術を用いたデジタル証明書が用いられ、データの暗号化ではDESなどの共通鍵暗号技術が用いられている。このSSLは第5層のセッション層にあるため、特定のアプリケーションに依存することになる。
従来の代表的な暗号化通信技術の中で、SSLでは、互いの認証レベルではRSA(Rivest Shamir Adleman:公開鍵暗号方式を開発者3人の頭文字)公開鍵暗号技術を用いたデジタル証明書が用いられ、データの暗号化ではDESなどの共通鍵暗号技術が用いられている。このSSLは第5層のセッション層にあるため、特定のアプリケーションに依存することになる。
SSLは、第5層のセッション層における暗号化技術であり、現在インターネットで広く使われているWWW(World Wide Web)などのデータを暗号化して、プライバシーに係る情報や企業秘密情報などを安全に送受信するためのものである。但し、ハッカーやクラッカーといわれるネットワークの不正侵入者によるTCP/IPへのさまざまな攻撃、いわゆるDoS攻撃(Denial of Service:サービスを停止させる攻撃)に対しては、SSLは無力である。TCP/IPプロトコルスタックへのDoS攻撃、例えば、TCP切断攻撃が行われると、TCPセッションが切れてしまいSSLのサービスは停止してしまうのである。SSLは、TCP/IP(第4層、第3層)より上の層(第5層)に実装されている暗号化プロトコルであるため、TCP/IPへのDoS攻撃を防ぐことができない。
また、SSLは、TCPの特定のポートしかサポートしていないため、TCP全てのポートを暗号通信することができない。SSLは、ソース単位(URL単位、フォルダー単位)で制御することになる。
また、SSLは、TCPの特定のポートしかサポートしていないため、TCP全てのポートを暗号通信することができない。SSLは、ソース単位(URL単位、フォルダー単位)で制御することになる。
さらに、SSLはアプリケーションに対する互換性を持たない点において問題がある。アプリケーションは、インターネット通信を行う際にソケット(第5層)をプログラムインターフェースとして使用する。このため、アプリケーションがSSL(第5層)を使用する場合には、このソケットインターフェースをSSLインターフェースに変更しなければならない。従って、SSLにアプリケーションの互換性はない。
SSLは、通信上は、暗号化してセキュリティを確保しているが、一旦ホストコンピュータに受信されると復号化してしまうため、ホストコンピュータ内でのセキュリティを確保することがでない。
図10は、従来のSSLを用いた通信システムによる医療システム構成図である。この例では、医療システムサーバとしてのコンピュータ装置80と、医療システムクライアントとしてのコンピュータ装置90とで構成してあり、インターネットなどの通信手段を介して、サーバ側コンピュータ装置80と、クライアント側コンピュータ装置90との間で双方向に通信ができる状態に接続されている。通信路としては、有線,無線のいずれでもよく、インターネットなどを経由しない専用回線で接続される場合もある。サーバ側コンピュータ装置80は、例えば、医療用カルテのデータなどの各種医療データを管理する地域ごとの医療センタや大病院などに設置される。クライアント側コンピュータ装置90は、例えば病院内などに設置されて、医者、看護士、検査技師などが操作する。
クライアント側コンピュータ装置90には、通信を暗号化及び復号化するSSLの機能を実現する暗号化部91と、医療システムプログラムを実行するアプリケーション実行部92と、医療システムプログラムの操作,個人情報を含む医療データの入力などを行うキー入力部94と、医療データなどを表示する表示部93とで構成される。図示はしないが、データを記憶するメモリなども備える。
サーバ側コンピュータ装置80には、通信を暗号化及び復号化するSSLの機能を実現する暗号化部85と、医療システムプログラムを実行するアプリケーション実行部83と、医療データを格納する磁気メモリ84と、医療データなどを表示する表示部81と、プリンタ82とで構成される。サーバ側がキー入力部を備えてもよい。
この図10に示した構成では、サーバ側コンピュータ装置80側の暗号化部85と、クライアント側コンピュータ装置90の暗号化部91とのは、暗号化されたデータが転送される。従って、サーバとクライアントとの間を接続した通信路の途中でデータが不正に読み取られても、個人情報などの医療データが暗号化されているので、不正使用を防止できる。このSSLの機能を利用した場合、クライアント側のアプリケーション実行部92では、暗号化されていないデータである平文(clear text)として扱われる。同様に、サーバ側のアプリケーション実行部83でも、暗号化されていないデータである平文として扱われ、メモリ84に医療データを記憶させる際にも、平文で記憶されるのが一般的である。
図11及び図12は、従来のSSLを用いた通信システムによる医療データの流れを示すフローチャートである。図11、図12の左側はサーバでの処理を示し、図11、図12の右側はクライアントでの処理を示す。ここでは、サーバには各患者の個人情報や病歴などが記載されたカルテのデータが電子化されて蓄積され、図11では、クライアント側のコンピュータ装置を検査技師が操作するものとし、図12では、クライアント側のコンピュータ装置を医師又は看護士が操作するものとする。図13は、そのSSLを用いた通信システムによる実際のデータの流れを示した図であり、データ101〜131は、それぞれの状態で送られるデータを示している。
以下、図11〜図13に従って処理例を説明すると、まずサーバでは、認証のための処理が開始されて(ステップS11)、認証が完了すると認証局より認証情報(サーバ証明書)を取得する(ステップS12、データ101)。その後、サーバとクライアントとの間で通信が開始されると(ステップS13、S31)、クライアントではサーバから認証情報が取得される(ステップS32、データ102)。ここで、取得された認証情報に基づいて正しい相手であるか否か判断され(ステップS33)、正しい相手でない場合には通信処理が終了する(ステップS34)。
正しい相手であると認識できた場合には、クライアントで検査を行う患者についての個人情報を入力し(ステップS35、データ103)、その個人についての病歴などが記載されたカルテの問い合わせ処理を行う送信データを作成する(ステップS36、データ104)。その作成された問い合わせ情報を、SSLで暗号化してサーバに送信する(ステップS37、データ105)。
サーバでは、暗号化されたデータ105を受信すると復号化し(ステップS14)、復号化された平文の個人情報106を得(ステップS15)、その個人情報に基づいて、記憶された該当する患者のカルテのデータ107,108を取り出し(ステップS16)、暗号化部にデータ109を送ってSSLで暗号化する(ステップS17)。暗号化されたカルテのデータ110は、クライアントに送る(ステップS18)。
クライアントでは、暗号化されたカルテのデータ110を受信すると、復号化したカルテのデータ111とし、そのカルテのデータに基づいて、医療システムプログラムが検査指示表示データ112を作成して、そのデータに基づいた表示を行い、検査技師に確認させる(ステップS39)。その確認した指示に基づいて検査を実行した後(ステップS40)、検査技師が検査データ113を入力すると(ステップS41)、医療システムプログラムがカルテに検査データを書き込ませるデータ処理を行い(ステップS42)、検査データが含まれたカルテデータ114が得られる。このカルテデータ114は、SSLで暗号化されたデータ115となり、サーバに送信させて(ステップS43、データ115)、クライアントでの処理を終了する(ステップS44)。
サーバに送信されたデータ115は平文に復号化され(ステップS19)、その復号化されたデータ116を医療システムプログラムに送って検査データを取り込ませ(ステップS20)、医療システムプログラムの制御で保存用のデータ117,118としてメモリに記憶させ(ステップS21)、サーバとしての処理を終了する(ステップS22)。このとき記憶されたデータは、暗号化されていない平文のデータである。
次に、図12に示した医師又は看護士がカルテを取り出す際の処理について説明すると、まずサーバでは、認証のための処理が開始されて(ステップS51)、認証が完了すると認証局より認証情報(サーバ証明書)を取得する(ステップS52、)。但し、ここではデータ101として既に取得した認証情報を使用する。そして、サーバとクライアントとの間で通信が開始されると(ステップS53、S71)、クライアントではサーバから認証情報が取得される(ステップS72、データ119)。ここで、取得された認証情報に基づいて正しい相手であるか否か判断され(ステップS73)、正しい相手でない場合には通信処理が終了する(ステップS74)。
正しい相手であると認識できた場合には、クライアントで患者についての個人情報を入力し(ステップS75)、その個人のカルテの問い合わせ処理を行う送信データを作成する(ステップS76)。その作成された問い合わせ情報を、SSLで暗号化してサーバに送信する(ステップS77)。なお、図13では、カルテの問い合わせ処理のデータの流れについては省略してある。
サーバでは、暗号化されたカルテの問い合わせデータを受信すると復号化し(ステップS54)、復号化された平文の個人情報を得(ステップS55)、その個人情報に基づいて、記憶された該当する患者のカルテのデータ120,121を取り出し(ステップS56)、暗号化部にデータ122を送ってSSLで暗号化する(ステップS57)。暗号化されたカルテのデータ123は、クライアントに送る(ステップS58)。
クライアントでは、暗号化されたカルテのデータ123を受信すると、復号化したカルテのデータ124とし(ステップS78)、そのカルテのデータに基づいて、医療システムプログラムがカルテ表示データ125を作成して、そのデータに基づいた表示を行い、医師又は看護士に確認させる(ステップS79)。その後、医師が患者の診察などを行い(ステップS80)、医師又は看護士が診察結果などを入力すると(ステップS81)、医療システムプログラムがカルテに入力データ126を書き込ませるデータ処理を行い(ステップS82)、入力データが含まれたカルテデータ127が得られる。このカルテデータ126は、SSLで暗号化されたデータ128となり、サーバに送信させて(ステップS83)、クライアントでの処理を終了する(ステップS84)。
サーバに送信されたデータ128は平文に復号化され(ステップS59)、その復号化されたデータ129を医療システムプログラムに送ってカルテを取り込ませ(ステップS60)、医療システムプログラムの制御で保存用のデータ130,131としてメモリに記憶させ(ステップ61)、サーバとしての処理を終了する(ステップS62)。このとき記憶されるデータは、暗号化されていない平文のデータである。
特許文献1には、SSLを暗号化処理で使用してデータ通信を行うことについての開示がある。
特開2004−48458号公報
ところが、SSLを使用した従来の医療データの伝送処理では、確かにサーバとクライアントとの間での伝送路上ではデータは暗号化されているので、伝送途中でのデータの安全は確保されるが、クライアント内やサーバ内に保存された個人情報については、暗号化されていないので、その保存された個人情報やカルテが不正に抜き取られるようなことがあると、個人情報や病歴などが流出してしまう問題がある。従来の医療用システムに適用されている暗号化処理では、このような不正には対処できなかった。
即ち、例えば図13に示すように、クライアントでは、入力されたデータがメモリに格納されて、暗号化部に送られるまでは、全て平文であり、サーバでも、受信したデータを復号化した後は、全て平文で処理される。従って、例えばクライアントで、検査データと共に抜き取られた個人情報で、個人の病状を第三者が、知ることが可能になる。また、入力された個人情報は、SSLで暗号するまで平文としてクライアントに存在するため、プログラム改竄などの手口でデータを抜き取られる可能性を否定することも出来ない。
さらにサーバでは、復号化された後は、平文の個人情報として医療プログラムに取り込まれ、記憶(記録)される。このようにサーバに蓄積されたデータは、データごと抜き取られることがあると、大量の個人情報や病歴が流出することになり、しばしば社会的問題となっている。このようにクライアント側、サーバ側のいたるところに個人情報が平文で存在し、抜き取られ、改竄される危険性があり問題となっている。
本発明の目的は、上述のような問題に鑑みてなされたものであり、医療情報の管理を電子的に行う際に、クライアント、サーバ間のデータの傍受、クライアント、サーバへの不正侵入を防ぎ、更には、クライアント、サーバ上でのデータの抜き取りを防ぐようにすることを目的とする。
本発明は、クライアントコンピュータとサーバコンピュータとの間で、個人情報を含む医療データの通信を行って、医療データの管理を実行する場合において、クライアントコンピュータとサーバコンピュータとのそれぞれで、トランスポート層に位置するプロトコルを暗号化して通信を行うために、通信路の両端で対応する暗号化及び復号化ロジックを事前にもしくは動的に取り決め、送受信する情報単位としてのパケットのうち、少なくともプロトコルのペイロードを取り決めた暗号化ロジックに従って暗号化して送信するプロトコル暗号化を行うとともに、受信した暗号化されたプロトコルを取決めにより取り決めた復号化ロジックに従って復号化するプロトコル復号化を行うようにして、トランスポート層のプロトコルを用いて暗号化及び復号化ロジックに基づいた通信を行う処理を適用する。
このような処理を適用した上で、クライアントコンピュータでは、トランスポート層で暗号化された個人情報を含む医療データを暗号化されたままで保存し、その保存された医療データをサーバコンピュータに送信する。
また、サーバコンピュータでは、受信した暗号化された個人情報を含む医療データを暗号化されたままで保存し、医療データが必要な際に、トランスポート層のプロトコルを用いて復号化して取り出すようにした。
本発明によると、医療データの管理を行う際に、クライアント側、サーバ側のいずれでも平文の個人情報などの医療データがなくなり、個人情報や病歴などのデータが盗難、改竄される危険性を効果的に低減させることができる。
即ち、クライアント側で個人情報を含む医療データが暗号化された状態で保存され、クライアント内に保存された個人情報などが盗難、改竄される危険性がなくなる。また、サーバ側でも個人情報を含む医療データが暗号化された状態で保存され、クライアント内に保存された個人情報などが盗難、改竄される危険性がなくなる。
以下、本発明の一実施の形態を、図1〜図8を参照して説明する。本実施の形態においては、医療データ管理用のサーバコンピュータを、管理センタ、大病院などに設置し、そのサーバに、医師、看護士、検査技師などが操作するクライアントコンピュータから、インターネット或いは専用回線を介してアクセスして、電子カルテのデータのやり取りが出来るようにしたものである。
図1は、本例のシステム構成図である。この例では、サーバとしてのコンピュータ装置10と、クライアントとしてのコンピュータ装置20とで構成してあり、本出願人が先に提案したTCP2(商標登録出願中)と称される、トランスポート層に位置するプロトコルを暗号化して通信を行う処理を適用したものである。以下の説明では、本例での暗号化をTCP2と称する場合もある。TCP2による暗号化処理の詳細については後述する。
まず図1を参照して、本例のサーバコンピュータ装置10とクライアントコンピュータ装置20の構成について説明すると、サーバ側コンピュータ装置10には、データをトランスポート層で暗号化し復号化するTCP2の機能を実現する暗号化部15と、医療システム用プログラムを実行するアプリケーション実行部13と、カルテや個人情報などの各種データを格納する磁気メモリ14と、各種状態などを表示する表示部11と、プリンタ12とで構成される。ここでは、トランスポート層よりも下の層の通信処理についても、暗号化部15で行うものとする。サーバ側がキー入力部を備えてもよい。磁気メモリ14についても、その他の記憶(記録)手段でデータを格納する構成としてもよい。磁気メモリ14などの記憶手段に記憶されるデータとしては、TCP2の機能を実現する暗号化部15で暗号化されたデータを、TCP2機能で暗号化されたままで記憶させることも可能な構成としてある。例えば、患者を特定するための個人情報や、カルテのデータについては、TCP2の機能で暗号化させて記憶させるようにしてある。暗号化されたままのデータを記憶させた場合には、例えばその記憶データは暗号化部15が管理する。
そして、クライアント側コンピュータ装置20には、データをトランスポート層で暗号化し復号化するTCP2の機能を実現する暗号化部21と、医療システム用プログラムを実行するアプリケーション実行部22と、患者情報やカルテなどを表示する表示部23と、個人情報や検査データなどの入力などを行うキー入力部24と、個人情報などを記憶する磁気メモリ25とで構成される。ここでは、トランスポート層よりも下の層の通信処理についても、暗号化部21で行うものとする。このメモリに記憶されるデータとしては、本例の場合、TCP2の機能を実現する暗号化部21で暗号化されたデータを、暗号化されたままで記憶させることも可能な構成としてある。例えば、患者を特定するための個人情報については、TCP2の機能で暗号化させて記憶させるようにしてある。暗号化されたままのデータを記憶させた場合には、例えばその記憶データは暗号化部21が管理する。
なお、ここでサーバ側コンピュータ装置10及びクライアント側コンピュータ装置20として示した構成は、本例での医療システムで必要な機能から見た構成であり、実際には汎用のパーソナルコンピュータ装置やサーバ用のコンピュータ装置などを使用して、それらのコンピュータ装置が備える演算処理手段や記憶手段を利用して、暗号化部,アプリケーション実行部,メモリなどが構成される。但し、汎用のコンピュータ装置を利用するのではなく、本例の医療システムに特化した専用のデータ処理装置として構成してもよい。
また、サーバ側コンピュータ装置10とクライアント側コンピュータ装置20とで、TCP2の暗号化処理を行って通信を行う場合には、図1に示すように、予めネットワーク上に用意されたTCP2インストールサーバ30を利用して、TCP2の暗号化処理に必要なデータをインストールしておく必要がある。そのインストール処理の詳細についても後述する。
次に、各コンピュータ装置10,20での暗号化部15,12で行われるTCP2の暗号化処理について説明する。図2は、本実施の形態に用いられるプロトコルスタックを示すものである。
本例で用いられるプロトコルスタックは、図2に示すように、OSI7階層の物理層(第1層)とデータリンク層(第2層)に相当する階層に、NIC(Network Interface Card)のドライバ1が配列される。このドライバ1は、既に述べたように、コンピュータなどのハードウエアをネットワークに接続するためのインターフェースカードのドライバであり、その内容はデータ送受信制御ソフトウエアである。例えばEthernet(商標)に接続するためのLANボードまたはLANカードがこれに相当するものである。
第3層のネットワーク層には、IP2が存在している。このIP2の上層のトランスポート層(第4層)には、TCPエミュレータ3が配置されている。TCPエミュレータ3は、暗号化通信を行うプロトコルである「TCPsec」3bと、通常の通信プロトコルである「TCP」3aを用途に応じて切り替えて使う働きをする。
本例の処理で最も特徴とするべき点は、このトランスポート層(第4層)に、TCPsec3bの暗号化通信プロトコルを搭載したTCP2を用いた医療データの伝送を行うことである。
このトランスポート層(第4層)の上層のセッション層(第5層)には、TCP及びUDP等のプロトコルとデータのやりとりを行うソケット(socket)インターフェース4が設けられている。このソケットの意味は、既に述べたようにコンピュータが持つネットワーク内の住所に当たるIPアドレスと、IPアドレスのサブアドレスであるポート番号を組み合わせたネットワークアドレスを意味しており、実際には、一連のヘッダの追加ないし削除をまとめて行う、単一のソフトウエアプログラムモジュール(実行プログラム等)あるいは単一のハードウエアモジュール(電子回路、電子部品等)からなっている。
このソケットインターフェース4は、さらに上位のアプリケーションからの統一的なアクセス方式を提供するものであり、引数の種類や型など従来と同様のインターフェースを保つようにしている。
TCPエミュレータ3は、トランスポート層において、データの漏洩・改竄の防止の機能、すなわち暗号化、完全性認証及び相手認証等の機能を持つTCPsec3bと、このような暗号化、完全性認証、及び相手認証等の機能を持たない通常のプロトコルTCP3aのいずれかにパケットを振り分ける働きをもっている。また、TCPエミュレータ3は上位層であるソケットとのインターフェースの役割も果たしている。なお、TCP2の基本的な暗号化処理については、本出願人による特願2003−290822号に詳細が記載されている。
次に、本実施の形態によるシステム構成で、クライアントとサーバとの間で医療用データのやり取りを行う際の処理例を、図3〜図5のフローチャート及び図6〜図8のデータ伝送例の図を参照して説明する。なお、以下の説明では、201以降の符号を付したデータなどが、図6〜図8のデータ伝送例に示した状態に対応する。
まず、本実施の形態の医療システムによるデータ伝送を開始するまでの準備の過程を、図3のフローチャート及び図6のデータ伝送例を参照して説明する。図3の左側はサーバでの処理を示し、図3の右側はクライアントでの処理を示す。
サーバでは、準備処理が開始されると(ステップS101)、図6に示すように、サーバからTCP2インストールサーバ30に対して登録要求201,202を行い、TCP2インストールサーバ30から、TCP2の暗号化処理に必要なインストールデータ203を取得して、インストールする(ステップS102)。このとき、サーバのハード情報、管理者の個人情報、ネットワークの情報、アプリケーションの情報の認証207を行い、暗号化部15(図1)内部に暗号化したデータ208として保存し(ステップS103)、サーバの認証処理を終了する(ステップS104)。サーバ10の暗号化部15は、この情報を認証情報として使用し、TCP2が有効とするコンピュータであるか、有効とするネットワーク環境であるか、有効とする人物がコンピュータを操作しているか、有効としているアプリケーションプログラムかを判断することが出来る。
またクライアントでは、準備処理が開始されると(ステップS105)、図6に示すように、クライアントからTCP2インストールサーバ30に対して登録要求204,205を行い、TCP2インストールサーバ30から、TCP2の暗号化処理に必要なインストールデータ206を取得して、インストールする(ステップS106)。このとき、クライアントのハード情報、管理者の個人情報、ネットワークの情報の認証209を行い、暗号化部21(図1)内部に暗号化したデータ210として保存し(ステップS107)、クライアントの認証処理を終了する(ステップS108)。クライアント20の暗号化部21は、この情報を認証情報として使用し、TCP2が有効とするコンピュータであるか、有効とするネットワーク環境であるか、有効とする人物がコンピュータを操作しているか、有効としているアプリケーションプログラムかを判断することが出来る。
次に、本例の医療システムで、検査データのやり取りを行った場合の処理を、図4のフローチャート及び図7のデータ伝送例を参照して説明する。図4の左側はサーバでの処理を示し、図4の右側はクライアントでの処理を示す。
サーバでは、開始処理として(ステップS111)、ログイン操作があり(ステップS112)、そのログインされた入力データ211から、TCP2の暗号化部15で正しいユーザであるか否か判断され(ステップS113)、正しいユーザでない場合には、処理を終了する(ステップS114)。正しいユーザであれば、TCP2の暗号化部15を起動し、サーバの通信機能を有効にする(ステップS115)。
クライアントでも、開始処理として(ステップS131)、ログイン操作があり(ステップS132)、そのログインされた入力データ212から、TCP2の暗号化部21で正しい利用者(ここでは例えば検査技師)であるか否か判断され(ステップS133)、正しいユーザでない場合には、処理を終了する(ステップS134)。正しいユーザであれば、TCP2の暗号化部21を起動し、クライアントの通信機能を有効にする(ステップS135)。
この状態で、クライアント内では、患者を特定する個人情報を取得する。ここでは、暗号化されて記憶されている個人データ213を、医療プログラムが暗号化されたままで読み出したデータ214とし(ステップS136)、その暗号化された個人情報215をサーバに送信する(ステップS137)。
サーバでは、個人情報215を受信すると、暗号化されたままのデータ216として医療システムプログラムに送り(ステップS116)、TCP2の暗号化部15に個人情報217の復号化を依頼する(ステップS117)。ここで、暗号化部15では、正しく認証されて起動しているプログラムからの復号化の依頼であるか否か判断する(ステップS118)。正しくない場合には、復号化をしないで終了する(ステップS119)。
正しく認証されていることを確認すると、受信した個人情報を平文のデータ218に復号化し、医療システムプログラムに送る(ステップS120)。医療システムプログラムが平文の個人情報218を取得すると、医療システムプログラムがその個人情報で指定された個人について記憶されたカルテのデータ219を、メモリから読み出し、ファイルシステムを介してデータ220をプログラムに送る(ステップS121)。このとき、カルテのデータ219は暗号化されて記憶され、暗号化されたままで読み出される。
そして、その暗号化されたカルテのデータ220、221、222を、送信要求があったクライアントに送る(ステップS122)。クライアントでは、その送信されたカルテのデータ223を受信すると(ステップS138)、プログラムでは、暗号化されたままTCP2の暗号化部21に送り、カルテのデータ224の復号化を依頼する(ステップS139)。ここで、暗号化部21では、正しく認証されて起動しているプログラムからの復号化の依頼であるか否か判断する(ステップS140)。正しくない場合には、復号化をしないで終了する(ステップS141)。
正しく認証されていることを確認すると、受信したカルテのデータを平文のデータ225に復号化し、医療システムプログラムに送る(ステップS142)。医療システムプログラムが平文のカルテのデータを取得すると、医療システムプログラムがそのデータ中の検査指示を表示させるデータ226を作成して、表示部23に表示させる(ステップS143)。
その指示に基づいた検査が行われると(ステップS144)、検査技師は検査データ227を入力し(ステップS145)、医療システムプログラムが検査データをカルテに加える。そのカルテのデータ228をTCP2の暗号化部21に送り、カルテのデータ228を暗号化したデータ229としてサーバに送信し(ステップS146)、クライアントでの処理を終了する(ステップS147)。
サーバでカルテのデータ229を受信すると(ステップS148)、暗号化されたままのデータ230,231,232としてメモリまで送って記憶させ(ステップS149)、診察用のデータとしておく。
次に、診察が行われる際の処理を、図5のフローチャート及び図8のデータ伝送例を参照して説明する。図4の左側はサーバでの処理を示し、図4の右側はクライアントでの処理を示す。
サーバでは、開始処理として(ステップS151)、ログイン操作があり(ステップS152)、そのログインされた入力データ241から、TCP2の暗号化部15で正しいユーザであるか否か判断され(ステップS153)、正しいユーザでない場合には、処理を終了する(ステップS154)。正しいユーザであれば、TCP2の暗号化部15を起動し、サーバの通信機能を有効にする(ステップS155)。
クライアントでも、開始処理として(ステップS171)、ログイン操作があり(ステップS172)、そのログインされた入力データ242から、TCP2の暗号化部21で正しい利用者(ここでは例えば医師又は看護士)であるか否か判断され(ステップS173)、正しいユーザでない場合には、処理を終了する(ステップS174)。正しいユーザであれば、TCP2の暗号化部21を起動し、クライアントの通信機能を有効にする(ステップS175)。
この状態で、クライアント内では、患者を特定する個人情報を取得する。ここでは、暗号化されて記憶されている個人データ243を、医療プログラムが暗号化されたままで読み出したデータ244とし(ステップS176)、その暗号化された個人情報245をサーバに送信する(ステップS177)。
サーバでは、個人情報245を受信すると、暗号化されたままのデータ246として医療システムプログラムに送り(ステップS156)、TCP2の暗号化部15に個人情報247の復号化を依頼する(ステップS157)。ここで、暗号化部15では、正しく認証されて起動しているプログラムからの復号化の依頼であるか否か判断する(ステップS158)。正しくない場合には、復号化をしないで終了する(ステップS159)。
正しく認証されていることを確認すると、受信した個人情報を平文のデータ248に復号化し、医療システムプログラムに送る(ステップS160)。医療システムプログラムが平文の個人情報248を取得すると、医療システムプログラムがその個人情報で指定された個人について記憶されたカルテのデータ249を、メモリから読み出し、ファイルシステムを介してデータ250をプログラムに送る(ステップS161)。このとき、カルテのデータ249は暗号化されて記憶され、暗号化されたままで読み出される。
そして、その暗号化されたカルテのデータ250、251、252を、送信要求があったクライアントに送る(ステップS162)。クライアントでは、その送信されたカルテのデータ253を受信すると(ステップS178)、プログラムでは、暗号化されたままTCP2の暗号化部21に送り、カルテのデータ254の復号化を依頼する(ステップS179)。ここで、暗号化部21では、正しく認証されて起動しているプログラムからの復号化の依頼であるか否か判断する(ステップS180)。正しくない場合には、復号化をしないで終了する(ステップS181)。
正しく認証されていることを確認すると、受信したカルテのデータを平文のデータ255に復号化し、医療システムプログラムに送る(ステップS182)。医療システムプログラムが平文のカルテのデータを取得すると、医療システムプログラムがそのカルテを表示させるデータ256を作成して、表示部23に表示させる(ステップS183)。
その表示されたカルテに基づいた診察が行われると(ステップS184)、医師又は看護士は診察した結果のデータ257を入力し(ステップS185)、医療システムプログラムが新たな入力データをカルテに加える。そのカルテのデータ258をTCP2の暗号化部21に送り、カルテのデータ258を暗号化したデータ259としてサーバに送信し(ステップS186)、クライアントでの処理を終了する(ステップS187)。
サーバでカルテのデータ259を受信すると(ステップS163)、暗号化されたままのデータ260,261,262としてメモリまで送って記憶させ(ステップS164)、該当する患者のカルテデータを記憶させ、終了する(ステップS165)。
このようにして処理されることで、個人情報やカルテのデータのやり取りを行う際には、クライアント側とサーバ側のいずれでも個人情報やカルテなどのデータが平文の状態で蓄積されることがなく、極めて安全性の高いシステムが構築される。次に示す表1:「SSLとTCP2のリスク比較」は、従来例として示したSSLを使用したシステム(図9〜図13の例)と、本実施の形態によるTCP2を使用した医療システムとを、個人情報のリスクについて比較した表である。
以下に表1について説明する。
「(1)TCPプロトコルスタックへのDoS攻撃」の比較では、SSLは、TCPプロトコルスタックの上位に位置しているため、TCPへのDoS攻撃に対して無力である。これに対して、TCP2は、TCPプロトコルで鍵を必要とするため、鍵を持っていないパケットを排除することが出来る。従って、DoS攻撃を排除することが出来る。
「(2)クライアントの画面から個人情報をのぞき見る」の比較では、SSLを使用したシステムでは、表示している個人情報を覗き見たり、発生する電磁波を傍受することが出来る。これに対して、TCP2を使用した商取引システムの場合、個人情報を入力する必要が無く、表示することが無いため、覗き見たり、発生する電磁波を傍受することが出来ない。
「(3)クライアントの商取引プログラムから個人情報を抜き取る」の比較では、入力した画面からSSLで暗号化するまでの間が平文であるためプログラムを改竄されたり、トロイの木馬プログラムが起動していると、個人情報を抜き取ることが出来る。これに対して、TCP2から個人情報を取り出す際に、プログラムが改竄されていないかチェックすることが出来、更には、取り出した個人情報が暗号化されているため、個人情報を抜き取ることが出来ないばかりか、その個人情報が暗号化されているため、データを抜き取ることが出来ない。
「(4)通信上での傍受」の比較では、SSLは、暗号化しているため傍受することが出来ない。TCP2も暗号化しているため傍受することが出来ない。
「(5)サーバの商取引プログラムからから個人情報を抜き取る」の比較では、SSLで受信した後の個人情報が平文になるためプログラムを改竄されたり、トロイの木馬プログラムが起動していると、データを抜き取ることが出来る。これに対して、TCP2は、クライアントから送られてきた個人情報をTCP2で受信した後、その個人情報を復号化しないため、データを抜き取ることが出来ない。また、TCP2が、プログラムの改竄をチェックすることが出来、個人情報を抜き取ることが出来ない。
「(6)サーバの磁気保存媒体から個人情報を抜き取る」の比較では、SSLで受信した後の個人情報が平文になる。従って磁気媒体への記録も、平文であるため抜き取ることが出来る。これに対して、TCP2は、暗号文で保存しているため個人情報を抜き取ることが出来ない。
「(1)TCPプロトコルスタックへのDoS攻撃」の比較では、SSLは、TCPプロトコルスタックの上位に位置しているため、TCPへのDoS攻撃に対して無力である。これに対して、TCP2は、TCPプロトコルで鍵を必要とするため、鍵を持っていないパケットを排除することが出来る。従って、DoS攻撃を排除することが出来る。
「(2)クライアントの画面から個人情報をのぞき見る」の比較では、SSLを使用したシステムでは、表示している個人情報を覗き見たり、発生する電磁波を傍受することが出来る。これに対して、TCP2を使用した商取引システムの場合、個人情報を入力する必要が無く、表示することが無いため、覗き見たり、発生する電磁波を傍受することが出来ない。
「(3)クライアントの商取引プログラムから個人情報を抜き取る」の比較では、入力した画面からSSLで暗号化するまでの間が平文であるためプログラムを改竄されたり、トロイの木馬プログラムが起動していると、個人情報を抜き取ることが出来る。これに対して、TCP2から個人情報を取り出す際に、プログラムが改竄されていないかチェックすることが出来、更には、取り出した個人情報が暗号化されているため、個人情報を抜き取ることが出来ないばかりか、その個人情報が暗号化されているため、データを抜き取ることが出来ない。
「(4)通信上での傍受」の比較では、SSLは、暗号化しているため傍受することが出来ない。TCP2も暗号化しているため傍受することが出来ない。
「(5)サーバの商取引プログラムからから個人情報を抜き取る」の比較では、SSLで受信した後の個人情報が平文になるためプログラムを改竄されたり、トロイの木馬プログラムが起動していると、データを抜き取ることが出来る。これに対して、TCP2は、クライアントから送られてきた個人情報をTCP2で受信した後、その個人情報を復号化しないため、データを抜き取ることが出来ない。また、TCP2が、プログラムの改竄をチェックすることが出来、個人情報を抜き取ることが出来ない。
「(6)サーバの磁気保存媒体から個人情報を抜き取る」の比較では、SSLで受信した後の個人情報が平文になる。従って磁気媒体への記録も、平文であるため抜き取ることが出来る。これに対して、TCP2は、暗号文で保存しているため個人情報を抜き取ることが出来ない。
このように本実施の形態によると、従来システムのクライアント側、サーバ側のいたるところにあった平文の個人情報がなくなり、個人情報やカルテのデータが盗難、改竄される危険性がなくなり、医療情報の管理の安全性が確保される。
なお、本発明は、以上説明した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において、さらに多くの実施形態を含むものであることは言うまでもない。また、上述した実施の形態では、サーバやクライアントを構成するコンピュータ装置に、医療システム用のプログラムが実装された状態として説明したが、上述した実施の形態で説明した処理を行う医療システム用のプログラムを用意して、各種コンピュータ装置にそのプログラムをインストールして、同様の機能を実現するようにしてもよい。この場合、医療システム用のプログラムは、各種ディスクやメモリなどの媒体でユーザに配布したり、或いはインターネットなどで伝送して配付するようにしてもよい。
1…NICドライバ、2…IP、3…TCPエミュレータ、3a…TCP、3b…TCPsec、4…ソケット、10…サーバコンピュータ装置、11…表示部、12…プリンタ、13…アプリケーション実行部、14…磁気メモリ、15…暗号化部(TCP2暗号化処理)、20…クライアントコンピュータ装置、21…暗号化部(TCP2暗号化処理)、22…アプリケーション実行部、23…表示部、24…キー入力部、25…磁気メモリ、30…TCP2インストールサーバ、80…サーバコンピュータ装置、81…表示部、82…プリンタ、83…アプリケーション実行部、84…磁気メモリ、85…暗号化部(SSL暗号化処理)、90…クライアントコンピュータ装置、91…暗号化部(SSL暗号化処理)、92…アプリケーション実行部、93…表示部、94…キー入力部
Claims (9)
- クライアントコンピュータとサーバコンピュータとの間で、個人情報を含む医療データの通信を行って、医療データの管理を行う医療システムにおいて、
前記クライアントコンピュータと前記サーバコンピュータとのそれぞれで、トランスポート層に位置するプロトコルを暗号化して通信を行うために、
通信路の両端で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
送受信する情報単位としてのパケットのうち、少なくとも前記プロトコルのペイロードを前記取決め手段により取り決めた暗号化ロジックに従って暗号化して送信するプロトコル暗号化手段と、
受信した前記暗号化されたプロトコルのペイロードを前記取決め手段により取り決めた復号化ロジックに従って復号化するプロトコル復号化手段とを備え、
前記トランスポート層のプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行うとともに、前記クライアントコンピュータは、前記トランスポート層で暗号化された個人情報を含む医療データを暗号化されたままで保存し、その保存された医療データを相手のサーバコンピュータに送信することを特徴とする医療システム。 - クライアントコンピュータとサーバコンピュータとの間で、個人情報を含む医療データの通信を行って、医療データの管理を行う医療システムにおいて、
前記クライアントコンピュータと前記サーバコンピュータとのそれぞれで、トランスポート層に位置するプロトコルを暗号化して通信を行うために、
通信路の両端で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
送受信する情報単位としてのパケットのうち、少なくとも前記プロトコルのペイロードを前記取決め手段により取り決めた暗号化ロジックに従って暗号化して送信するプロトコル暗号化手段と、
受信した前記暗号化されたプロトコルのペイロードを前記取決め手段により取り決めた復号化ロジックに従って復号化するプロトコル復号化手段とを備え、
前記トランスポート層のプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行うとともに、前記サーバコンピュータは、受信した暗号化された個人情報を含む医療データを暗号化されたままで保存し、保存された医療データが必要な際に、前記トランスポート層のプロトコルを用いて復号化して取り出すことを特徴とする医療システム。 - 前記トランスポート層に位置するプロトコルはTCP又はUDPであり、該TCP又はUDPに暗号化及び復号化のための処理を施すことを特徴とする請求項1又は請求項2に記載の医療システム。
- 前記プロトコル復号化手段は、当該コンピュータが正しく認証処理された場合にだけ、保存された医療データの復号化を行うことを特徴とする請求項1又は請求項2に記載の医療システム。
- クライアントコンピュータとサーバコンピュータとの間で、個人情報を含む医療データの通信を行って、医療データの管理を行う医療データ管理方法において、
前記クライアントコンピュータと前記サーバコンピュータとのそれぞれで、トランスポート層に位置するプロトコルを暗号化して通信を行うために、
通信路の両端で対応する暗号化及び復号化ロジックを事前にもしくは動的に取り決める取り決めステップと、
送受信する情報単位となるパケットのうち、少なくともTCP又はUDPのペイロードに該当するプロトコルを前記取決めステップにより取り決めた暗号化ロジックに従って暗号化して送信するプロトコル暗号化ステップと、
受信した暗号化されたプロトコルを前記取決めステップにより取り決めた復号化ロジックに従って復号化するプロトコル復号化ステップとを具備し、
前記トランスポート層のプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行うとともに、前記クライアントコンピュータは、前記トランスポート層で暗号化された個人情報を含む医療データを暗号化されたままで保存し、その保存された医療データを相手のサーバコンピュータに送信することを特徴とする医療データ管理方法。 - クライアントコンピュータとサーバコンピュータとの間で、個人情報を含む医療データの通信を行って、医療データの管理を行う医療データ管理方法において、
前記クライアントコンピュータと前記サーバコンピュータとのそれぞれで、トランスポート層に位置するプロトコルを暗号化して通信を行うために、
通信路の両端で対応する暗号化及び復号化ロジックを事前にもしくは動的に取り決める取り決めステップと、
送受信する情報単位となるパケットのうち、少なくともTCP又はUDPのペイロードに該当するプロトコルを前記取決めステップにより取り決めた暗号化ロジックに従って暗号化して送信するプロトコル暗号化ステップと、
受信した暗号化されたプロトコルを前記取決めステップにより取り決めた復号化ロジックに従って復号化するプロトコル復号化ステップとを具備し、
前記トランスポート層のプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行うとともに、前記サーバコンピュータは、受信した暗号化された個人情報を含む医療データを暗号化されたままで保存し、保存された医療データが必要な際に、前記トランスポート層のプロトコルを用いて復号化して取り出すことを特徴とする医療データ管理方法。 - 前記プロトコル復号化ステップは、当該コンピュータが正しく認証処理された場合にだけ、保存された医療データの復号化を行うことを特徴とする請求項5又は請求項6に記載の医療データ管理方法。
- クライアントコンピュータとサーバコンピュータとの間で、個人情報を含む医療データの通信を行って、医療データの管理を実現させる医療データ管理用通信プログラムにおいて、
前記クライアントコンピュータと前記サーバコンピュータとのそれぞれで、トランスポート層に位置するプロトコルを暗号化して通信を行うために、
通信路の両端で対応する暗号化及び復号化ロジックを事前にもしくは動的に取り決める機能と、
送受信する情報単位となるパケットのうち、少なくともTCP又はUDPのペイロードに該当するプロトコルを前記取決めにより取り決めた暗号化ロジックに従って暗号化して送信するプロトコル暗号化機能と、
受信した暗号化されたプロトコルを前記取決めにより取り決めた復号化ロジックに従って復号化するプロトコル復号化機能とを具備し、
前記トランスポート層のプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行うとともに、前記クライアントコンピュータは、前記トランスポート層で暗号化された個人情報を含む医療データを暗号化されたままで保存し、その保存された医療データを相手のサーバコンピュータに送信する機能を備えることを特徴とする医療データ管理用通信プログラム。 - クライアントコンピュータとサーバコンピュータとの間で、個人情報を含む医療データの通信を行って、医療データの管理を実現させる医療データ管理用通信プログラムにおいて、
前記クライアントコンピュータと前記サーバコンピュータとのそれぞれで、トランスポート層に位置するプロトコルを暗号化して通信を行うために、
通信路の両端で対応する暗号化及び復号化ロジックを事前にもしくは動的に取り決める機能と、
送受信する情報単位となるパケットのうち、少なくともTCP又はUDPのペイロードに該当するプロトコルを前記取決めにより取り決めた暗号化ロジックに従って暗号化して送信するプロトコル暗号化機能と、
受信した暗号化されたプロトコルを前記取決めステップにより取り決めた復号化ロジックに従って復号化するプロトコル復号化機能とを具備し、
前記トランスポート層のプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行うとともに、前記サーバコンピュータは、受信した暗号化された個人情報を含む医療データを暗号化されたままで保存し、保存された医療データが必要な際に、前記トランスポート層のプロトコルを用いて復号化して取り出す機能を備えたことを特徴とする医療データ管理用通信プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004307253A JP2006121440A (ja) | 2004-10-21 | 2004-10-21 | 医療システム、医療データ管理方法、及び医療データ管理用通信プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004307253A JP2006121440A (ja) | 2004-10-21 | 2004-10-21 | 医療システム、医療データ管理方法、及び医療データ管理用通信プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006121440A true JP2006121440A (ja) | 2006-05-11 |
Family
ID=36538905
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004307253A Pending JP2006121440A (ja) | 2004-10-21 | 2004-10-21 | 医療システム、医療データ管理方法、及び医療データ管理用通信プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006121440A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007324726A (ja) * | 2006-05-30 | 2007-12-13 | Ttt Kk | ファイル共有サーバ装置、クライアント装置、印刷装置、ファイル共有システム、ファイル共有プログラム |
| JP2009213064A (ja) * | 2008-03-06 | 2009-09-17 | E-Trial Co Ltd | 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム |
| JP2017041843A (ja) * | 2015-08-21 | 2017-02-23 | Necプラットフォームズ株式会社 | 情報処理システム、情報処理装置、情報記憶装置、端末装置及び情報処理方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05327694A (ja) * | 1992-05-21 | 1993-12-10 | Nec Corp | スター型衛星通信ネットワークにおける暗号化方式 |
| JPH07245606A (ja) * | 1994-03-02 | 1995-09-19 | Nec Corp | インタフェース変換装置 |
| JP2000124900A (ja) * | 1998-10-16 | 2000-04-28 | Nec Corp | 課金徴収方法とその装置及び通信システム |
| JP2001101319A (ja) * | 1999-09-29 | 2001-04-13 | Nec Corp | 電子診療録システムにおける診療録情報登録抽出制御装置及び方法並びにこれに用いる記録媒体 |
| JP2002203045A (ja) * | 2000-12-28 | 2002-07-19 | Olympus Optical Co Ltd | 医療データ管理システムおよび医療データ管理装置 |
| JP2002269243A (ja) * | 2001-03-14 | 2002-09-20 | Fuji Photo Film Co Ltd | 医療情報管理システムおよび方法並びにプログラム |
| JP2002351993A (ja) * | 2001-05-29 | 2002-12-06 | Nec Soft Ltd | 健康指導システム、健康指導方法及び同システム用プログラム |
| JP2004227608A (ja) * | 2004-05-10 | 2004-08-12 | Kameda Iryo Joho Kenkyusho:Kk | 双方向通信ネットワークによる医療情報提供・取得システム及び方法並びにコンピュータプログラム |
-
2004
- 2004-10-21 JP JP2004307253A patent/JP2006121440A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05327694A (ja) * | 1992-05-21 | 1993-12-10 | Nec Corp | スター型衛星通信ネットワークにおける暗号化方式 |
| JPH07245606A (ja) * | 1994-03-02 | 1995-09-19 | Nec Corp | インタフェース変換装置 |
| JP2000124900A (ja) * | 1998-10-16 | 2000-04-28 | Nec Corp | 課金徴収方法とその装置及び通信システム |
| JP2001101319A (ja) * | 1999-09-29 | 2001-04-13 | Nec Corp | 電子診療録システムにおける診療録情報登録抽出制御装置及び方法並びにこれに用いる記録媒体 |
| JP2002203045A (ja) * | 2000-12-28 | 2002-07-19 | Olympus Optical Co Ltd | 医療データ管理システムおよび医療データ管理装置 |
| JP2002269243A (ja) * | 2001-03-14 | 2002-09-20 | Fuji Photo Film Co Ltd | 医療情報管理システムおよび方法並びにプログラム |
| JP2002351993A (ja) * | 2001-05-29 | 2002-12-06 | Nec Soft Ltd | 健康指導システム、健康指導方法及び同システム用プログラム |
| JP2004227608A (ja) * | 2004-05-10 | 2004-08-12 | Kameda Iryo Joho Kenkyusho:Kk | 双方向通信ネットワークによる医療情報提供・取得システム及び方法並びにコンピュータプログラム |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007324726A (ja) * | 2006-05-30 | 2007-12-13 | Ttt Kk | ファイル共有サーバ装置、クライアント装置、印刷装置、ファイル共有システム、ファイル共有プログラム |
| JP2009213064A (ja) * | 2008-03-06 | 2009-09-17 | E-Trial Co Ltd | 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム |
| JP2017041843A (ja) * | 2015-08-21 | 2017-02-23 | Necプラットフォームズ株式会社 | 情報処理システム、情報処理装置、情報記憶装置、端末装置及び情報処理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8904178B2 (en) | System and method for secure remote access | |
| US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
| CN1833403B (zh) | 通信***、通信装置、通信方法 | |
| US8275989B2 (en) | Method of negotiating security parameters and authenticating users interconnected to a network | |
| WO2003038622A1 (en) | Monitoring system for a corporate network | |
| JP4855147B2 (ja) | クライアント装置、メールシステム、プログラム及び記録媒体 | |
| CN105119894B (zh) | 基于硬件安全模块的通信***及通信方法 | |
| EP1384370A1 (en) | Method and system for authenticating a personal security device vis-a-vis at least one remote computer system | |
| CN113904809A (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| CN107276996A (zh) | 一种日志文件的传输方法及*** | |
| US8046820B2 (en) | Transporting keys between security protocols | |
| CN113904767A (zh) | 一种基于ssl建立通信的*** | |
| KR101089269B1 (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
| Sangster et al. | A posture transport protocol over TLS (PT-TLS) | |
| JP2006121440A (ja) | 医療システム、医療データ管理方法、及び医療データ管理用通信プログラム | |
| JP4866150B2 (ja) | Ftp通信システム、ftp通信プログラム、ftpクライアント装置及びftpサーバ装置 | |
| Cam-Winget et al. | PT-EAP: Posture Transport (PT) Protocol for Extensible Authentication Protocol (EAP) Tunnel Methods | |
| US20040158635A1 (en) | Secure terminal transmission system and method | |
| WO2023151427A1 (zh) | 量子密钥传输方法、装置及*** | |
| JP2007324726A (ja) | ファイル共有サーバ装置、クライアント装置、印刷装置、ファイル共有システム、ファイル共有プログラム | |
| JP2006115417A (ja) | 電子商取引システム、電子商取引方法、及び電子商取引用通信プログラム | |
| JP2006115418A (ja) | 著作権データ配信システム、著作権データ配信方法、及び著作権データ配信用通信プログラム | |
| JP2007329750A (ja) | 暗号化通信システム | |
| Luo et al. | defeating Active Phishing Attacks for Web-based transactions | |
| Sangster et al. | RFC 6876: A Posture Transport Protocol over TLS (PT-TLS) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070918 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20080313 |
|
| A072 | Dismissal of procedure [no reply to invitation to correct request for examination] |
Free format text: JAPANESE INTERMEDIATE CODE: A073 Effective date: 20090106 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100928 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110208 |