JP4744897B2 - Medical device, audit log file output system, and audit log file output program - Google Patents

Medical device, audit log file output system, and audit log file output program Download PDF

Info

Publication number
JP4744897B2
JP4744897B2 JP2005054607A JP2005054607A JP4744897B2 JP 4744897 B2 JP4744897 B2 JP 4744897B2 JP 2005054607 A JP2005054607 A JP 2005054607A JP 2005054607 A JP2005054607 A JP 2005054607A JP 4744897 B2 JP4744897 B2 JP 4744897B2
Authority
JP
Japan
Prior art keywords
audit log
log file
integrity
external medium
audit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005054607A
Other languages
Japanese (ja)
Other versions
JP2006238925A (en
Inventor
敬明 中野
愛 福田
順一 田代
啓 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Canon Medical Systems Corp
Original Assignee
Toshiba Corp
Toshiba Medical Systems Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Medical Systems Corp filed Critical Toshiba Corp
Priority to JP2005054607A priority Critical patent/JP4744897B2/en
Priority to US11/332,217 priority patent/US7827148B2/en
Publication of JP2006238925A publication Critical patent/JP2006238925A/en
Application granted granted Critical
Publication of JP4744897B2 publication Critical patent/JP4744897B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Measuring And Recording Apparatus For Diagnosis (AREA)

Description

本発明は、監査ログを記録することにより患者情報等の個人情報のセキュリティを管理する機能を備えた医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムに係り、特に外部メディアに出力される監査ログファイルの完全性を検証することが可能な医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムに関する。   The present invention relates to a medical device, an audit log file output system, and an audit log file output program having a function of managing security of personal information such as patient information by recording an audit log, and in particular, output to an external medium. The present invention relates to a medical device capable of verifying the integrity of an audit log file, an audit log file output system, and an audit log file output program.

従来、超音波診断装置、X線CT(computed tomography)装置、MRI(magnetic resonance imaging)等の画像診断装置やHIS(hospital information system),RIS(radiology information system)、PACS(picture archiving and communication system)等の医用情報システムといった医用装置においては、病院等の各医療機関が定めるセキュリティポリシーやプライバシーポリシーに従って、患者情報の保護を実現するために操作の監査ログが記録されている。   Conventionally, an ultrasonic diagnostic apparatus, an X-ray CT (computed tomography) apparatus, an image diagnostic apparatus such as an MRI (magnetic resonance imaging), a HIS (hospital information system simulating system), and an RIS (radiologic information system CMS). In a medical apparatus such as a medical information system, an operation audit log is recorded in order to realize protection of patient information in accordance with a security policy and a privacy policy set by each medical institution such as a hospital.

監査ログには、医用装置に対する設定の変更、患者情報等の個人情報に対するアクセスあるいはログイン/ログオフ操作に関する情報等の詳細な情報が記録される。このような監査ログには、医用装置内におけるデータの完全性を確保するために、すなわちデータが正しいことを証明するためにメッセージダイジェストを作成する技術が用いられている(例えば非特許文献1参照)。この技術では、ハッシュ関数を使った演算によりデータから特徴的なパターンを有する固定長のメッセージダイジェストが生成され、生成されたメッセージダイジェストは必要に応じて暗号化されて完全性検査に利用される。   The audit log records detailed information such as setting changes for the medical device, access to personal information such as patient information, or information related to login / logoff operations. For such an audit log, a technique for creating a message digest is used in order to ensure the integrity of data in the medical apparatus, that is, to prove that the data is correct (for example, see Non-Patent Document 1). ). In this technique, a fixed-length message digest having a characteristic pattern is generated from data by an operation using a hash function, and the generated message digest is encrypted as necessary and used for integrity check.

そして、医用装置において生成された監査ログファイルはある一定期間またはある一定容量ごとに医用装置内に保存されるが、適宜、バックアップのために外部メディアや記憶装置に出力されて管理される。そして、セキュリティ管理者により、監査ログファイルを用いて個人情報に対する不正アクセスの有無が監査される。   The audit log file generated in the medical device is stored in the medical device for a certain period or every certain capacity, but is appropriately output to an external medium or a storage device for backup. Then, the security administrator audits whether there is unauthorized access to personal information using the audit log file.

また、近年では、監査ログを解析する手段の1つとして、ログ解析ソフトが市販されている(例えば非特許文献2および非特許文献3)。
デジタル用語辞典2001−2002年版、936頁、日系BP社出版局 BOM(登録商標) for Windows(登録商標)、[online],セイ・テクノロジーズ株式会社(SAY Technologies) 製品情報、[平成16年12月10日検索]、インターネット<URL:http://www.say-tech.co.jp/product/01.html> 監視ソリューション、Windows(登録商標)サーバー、[online],セイ・テクノロジーズ株式会社(SAY Technologies)、[平成16年12月10日検索]、インターネット<URL:http://www.say-tech.co.jp/sol/01.html> In recent years, log analysis software is commercially available as one means for analyzing an audit log (for example, Non-Patent Document 2 and Non-Patent Document 3).
Digital Terminology Dictionary 2001-2002, 936 pages, Japanese BP Publishing Bureau BOM (registered trademark) for Windows (registered trademark), [online], Say Technologies Co., Ltd. (SAY Technologies) product information, [December 10, 2004 search], Internet <URL: http: //www.say -tech.co.jp/product/01.html> Surveillance solution, Windows (registered trademark) server, [online], Say Technologies, Inc., [Searched on December 10, 2004], Internet <URL: http://www.say-tech.co .jp / sol / 01.html>

しかしながら、従来の医用装置におけるセキュリティ管理技術では、監査ログを外部メディアに保存する際に、予め医用装置内において保存された監査ログファイルが変更を加えることなく直接をそのまま外部メディアに出力される。このため、一定時間経過後にある外部メディア内の監査ログファイルを参照した場合に、監査ログファイルの完全性を確認することができないという問題がある。   However, in the conventional security management technology in the medical device, when the audit log is stored in the external medium, the audit log file stored in advance in the medical device is directly output to the external medium as it is without any change. For this reason, when referring to an audit log file in an external medium after a certain time has elapsed, there is a problem that the integrity of the audit log file cannot be confirmed.

例えば医用装置において生成された時の監査ログファイルが何らかの影響で破壊されていた場合や、第三者によって改竄されていたとしてもそのような事実を検知することができない。つまり外部メディアに保存された監査ログファイルがオリジナルのものであるかどうかを確認することができない。   For example, such a fact cannot be detected even if the audit log file generated in the medical device is destroyed by some influence or has been altered by a third party. In other words, it is not possible to confirm whether the audit log file stored in the external medium is the original one.

本発明はかかる従来の事情に対処するためになされたものであり、外部出力された監査ログファイルの完全性を検証することが可能な医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムを提供することを目的とする。   The present invention has been made to cope with such a conventional situation, and includes a medical device, an audit log file output system, and an audit log file output program capable of verifying the integrity of an externally output audit log file. The purpose is to provide.

本発明に係る医用装置は、上述の目的を達成するために、請求項1に記載したように、入力装置による操作の監査ログファイルを生成する監査ログファイル生成手段と、前記監査ログファイルを監査ログ記憶部に記録するための記録手段と、前記監査ログ記憶部から取得された監査ログファイルを外部メディアに記録するためのメディア記録手段と、前記監査ログ記憶部から取得された監査ログファイルを前記外部メディアに記録する際、前記監査ログファイルの完全性を検証するための、端末に読み込ませて起動させる確認用アプリケーションを、前記監査ログ記憶部から取得された監査ログファイルと共に前記外部メディアに記録するように前記メディア記録手段を制御する制御手段と、を有することを特徴とするものである。 Medical device according to the present invention, in order to achieve the above object, as described in claim 1, and the audit log file generating means for generating an audit log file of the operation by the input device, audit the audit log file recording means and the audit log and the media recording means for recording the obtained audit log file in the external medium from the storage unit, audit log file obtained from the audit log storing unit for recording the査log storage unit When the information is recorded on the external medium , a confirmation application for verifying the integrity of the audit log file , which is read by the terminal and activated, is stored together with the audit log file acquired from the audit log storage unit. And a control means for controlling the media recording means so as to record the information .

また、本発明に係る監査ログファイル出力システムは、上述の目的を達成するために、請求項10に記載したように、入力装置による操作の監査ログファイルを生成する監査ログファイル生成手段と、前記監査ログファイルを監査ログ記憶部に記録するための記録手段と、前記監査ログ記憶部から取得された監査ログファイルを外部メディアに記録する際、前記監査ログファイルの完全性を検証するための、端末に読み込ませて起動させる確認用アプリケーションを、前記監査ログ記憶部から取得された監査ログファイルと共に前記外部メディアに記録するように制御する制御手段と、を有することを特徴とするものである。 Moreover, in order to achieve the above-mentioned object, the audit log file output system according to the present invention includes an audit log file generating means for generating an audit log file of an operation by an input device, as described in claim 10 ; and recording means for recording an audit log file in the audit log storing unit, when recording the audit log file obtained from the audit log storing unit in the external medium, for verifying the integrity of the audit log file And a control means for controlling to record the confirmation application to be read by the terminal and started together with the audit log file acquired from the audit log storage unit, on the external medium. .

また、本発明に係る監査ログファイル出力プログラムは、上述の目的を達成するために、請求項11に記載したように、コンピュータを、入力装置による操作の監査ログファイルを生成する監査ログファイル生成手段、前記監査ログファイルを監査ログ記憶部に記録するための記録手段、および前記監査ログ記憶部から取得された監査ログファイルを外部メディアに記録する際、前記監査ログファイルの完全性を検証するための、端末に読み込ませて起動させる確認用アプリケーションを、前記監査ログ記憶部から取得された監査ログファイルと共に前記外部メディアに記録するように制御する制御手段、として機能させることを特徴とするものである。 In order to achieve the above object, an audit log file output program according to the present invention is an audit log file generation means for generating an audit log file of an operation by an input device as described in claim 11. when recording a recording means for recording the audit log file audit log storing unit, and the audit log file obtained from the audit log storing unit in the external medium, to verify the integrity of the audit log file And a control means for controlling the application for confirmation to be read and activated by the terminal so as to be recorded in the external medium together with the audit log file acquired from the audit log storage unit. It is.

本発明に係る医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムにおいては、外部出力された監査ログファイルの完全性を検証することができる。   In the medical device, the audit log file output system, and the audit log file output program according to the present invention, the integrity of the audit log file output externally can be verified.

本発明に係る医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムの実施の形態について添付図面を参照して説明する。   Embodiments of a medical device, an audit log file output system, and an audit log file output program according to the present invention will be described with reference to the accompanying drawings.

図1は本発明に係る医用装置の実施の形態を示す機能ブロック図である。   FIG. 1 is a functional block diagram showing an embodiment of a medical device according to the present invention.

医用装置1は、操作端末2およびメディア保存部3を備え、監査ログファイル出力システム4が搭載される。尚、医用装置1としては、超音波診断装置、X線CT装置、MRI等の画像診断装置や検体装置並びにHIS,RIS、PACS等の医用情報システムとすることが可能であり、医用装置1に応じた機能を備えるための構成要素が設けられるが、ここでは省略する。操作端末2には、情報を入力して操作するための入力装置5および表示装置6が設けられる。   The medical device 1 includes an operation terminal 2 and a media storage unit 3, and an audit log file output system 4 is mounted. The medical device 1 can be an ultrasonic diagnostic device, an X-ray CT device, an image diagnostic device such as an MRI, a specimen device, or a medical information system such as HIS, RIS, PACS, etc. Although the component for providing the function according to this is provided, it abbreviate | omits here. The operation terminal 2 is provided with an input device 5 and a display device 6 for inputting and operating information.

また、メディア保存部3は、監査ログファイル出力システム4から受けた情報を外部メディア7に出力する機能を有する。外部メディア7は、書き込み可能な記憶媒体であり、具体例としてUSB(Universal Serial Bus)(登録商標)メモリ、IC(Integrated Circuit)カード、CD(Compact Disc)、DVD(Digital Versatile Disc)、HDD(Hard Disk Drive)等の記憶媒体が挙げられる。そして、外部メディア7に保存された情報はユーザ端末8に読み込ませて参照することができる。ユーザ端末8は、任意の医用装置の操作端末の他、一般のPC(Personal Computer)を用いることもできる。   Further, the media storage unit 3 has a function of outputting the information received from the audit log file output system 4 to the external media 7. The external medium 7 is a writable storage medium. Specific examples include a USB (Universal Serial Bus) (registered trademark) memory, an IC (Integrated Circuit) card, a CD (Compact Disc), a DVD (Digital Versatile Disc), an HDD ( Hard disk drive). Information stored in the external medium 7 can be read by the user terminal 8 for reference. The user terminal 8 can be a general PC (Personal Computer) as well as an operation terminal of an arbitrary medical device.

監査ログファイル出力システム4は、例えばコンピュータに監査ログファイル出力プログラムを読み込ませて構築することができるが、監査ログファイル出力システム4の全部または一部を回路により構築してもよい。そして、監査ログファイル出力システム4には、医用装置1における監査ログファイルを作成して外部メディア7に出力する機能が備えられる。そのために監査ログファイル出力システム4は、操作データ収集部9、監査ログファイル作成部10、監査ログ記憶部11およびバックアップ制御部12を具備している。   The audit log file output system 4 can be constructed by, for example, causing a computer to read an audit log file output program, but all or part of the audit log file output system 4 may be constructed by a circuit. The audit log file output system 4 has a function of creating an audit log file in the medical apparatus 1 and outputting it to the external medium 7. For this purpose, the audit log file output system 4 includes an operation data collection unit 9, an audit log file creation unit 10, an audit log storage unit 11, and a backup control unit 12.

操作データ収集部9は、ユーザによる入力装置5の操作情報を収集する機能と、収集した操作情報を監査ログファイル作成部10に逐一与える機能を有する。   The operation data collection unit 9 has a function of collecting operation information of the input device 5 by the user and a function of supplying the collected operation information to the audit log file creation unit 10 one by one.

監査ログファイル作成部10は、操作データ収集部9から受けた一定期間のまたは一定の容量の操作情報から監査ログファイルを作成する機能と、作成した監査ログファイルを監査ログ記憶部11に書き込んで保存させる機能を有する。例えば、監査ログファイルには、ハッシュ関数を使った演算により操作情報から生成された特徴的なパターンを有する固定長のメッセージダイジェストが完全性の検証のために付加される。   The audit log file creation unit 10 writes a created audit log file to the audit log storage unit 11 and a function for creating an audit log file from a certain period of time or a certain amount of operation information received from the operation data collection unit 9. It has a function to save. For example, a fixed-length message digest having a characteristic pattern generated from operation information by an operation using a hash function is added to the audit log file for verification of integrity.

そこで、監査ログファイル作成部10は、例えば操作データ記録部10aとメッセージダイジェスト付加部10bとを備えて構成することができる。この場合、操作データ記録部10aには、操作データ収集部9から操作情報を取得して記録する機能が備えられ、メッセージダイジェスト付加部10bには、操作データ記録部10aから一定期間のまたは一定の容量の操作情報を読み込んでメッセージダイジェストを付加することにより監査ログファイルを作成する機能が備えられる。   Therefore, the audit log file creation unit 10 can be configured to include, for example, an operation data recording unit 10a and a message digest addition unit 10b. In this case, the operation data recording unit 10a has a function of acquiring and recording operation information from the operation data collecting unit 9, and the message digest adding unit 10b is provided for a certain period of time or from the operation data recording unit 10a. A function is provided for creating an audit log file by reading capacity operation information and adding a message digest.

メッセージダイジェストは、ある一定期間の操作データをまとめた1つの監査ログファイルに対して1つ付加されるだけでなく、入力装置5の1つ1つの各操作データや、1日分の操作データ、一週間分の操作データというように、1つの監査ログファイル内の操作データを複数の任意の大きさの単位に区切って、各単位それぞれに対して付加することも可能である。これにより、例えば監査ログファイル内の操作データのある一部分の内容が改竄された場合に、改竄がどのタイミングでなされたものかを特定することが可能となり、さらに同一の監査ログファイル内で改竄の影響を受けていない部分の操作データについては問題なく扱うことができる。   Not only one message digest is added to one audit log file that summarizes operation data for a certain period, but also each operation data of the input device 5, operation data for one day, Operation data in one audit log file can be divided into a plurality of units of arbitrary size and added to each unit, such as operation data for one week. As a result, for example, when the contents of a part of the operation data in the audit log file are falsified, it is possible to specify at what timing the falsification was made. The operation data of the unaffected part can be handled without any problem.

ただし、監査ログファイルを作成する際、ハッシュ関数を用いてメッセージダイジェストを作成するという手段に限らず、例えばチェックサムやデジタルタイムスタンプといったファイルの完全性の確認を目的とする同等の他の代替手法を用いて監査ログファイルの完全性を検証するための任意の監査ログ完全性検証情報を作成するように監査ログファイル作成部10を構成することができる。   However, when creating an audit log file, it is not limited to creating a message digest using a hash function, but other equivalent alternatives for the purpose of checking the integrity of the file, such as a checksum or digital time stamp. The audit log file creation unit 10 can be configured to create arbitrary audit log integrity verification information for verifying the integrity of the audit log file using the.

また、必要に応じて監査ログファイルの所望の部位を暗号化することができる。例えば、本文の暗号化したり、本文中に書き込まれた時刻情報等の一部の内容を隠蔽することもできる。これにより、監査ログファイルの改竄の危険性を低減することができる。   Further, a desired part of the audit log file can be encrypted as necessary. For example, it is possible to encrypt the text, or to conceal some contents such as time information written in the text. Thereby, the risk of falsification of the audit log file can be reduced.

監査ログ記憶部11は、監査ログファイル作成部10において作成された監査ログファイルを監査ログ完全性検証情報とともに保存する機能を有する。   The audit log storage unit 11 has a function of storing the audit log file created by the audit log file creation unit 10 together with the audit log integrity verification information.

バックアップ制御部12は、監査ログファイルの外部メディア7への出力要求を入力装置5から受けた場合に、監査ログ記憶部11に保存されている監査ログファイルの一覧をリスト情報として表示装置6に与えて表示させる一方、外部メディア7に出力すべき監査ログファイルの指示を入力装置5から受ける機能と、入力装置5の操作により指定された監査ログファイルを監査ログ記憶部11から取得してメッセージダイジェスト等の監査ログ完全性検証情報の確認により監査ログファイル並びに各操作データの完全性を検証し、完全性が確認された場合には取得した監査ログファイルの完全性を確認した旨の完全性検証情報を作成して監査ログファイルとともにメディア保存部3に与える機能を有する。   When the backup control unit 12 receives a request to output the audit log file to the external medium 7 from the input device 5, the backup control unit 12 displays a list of audit log files stored in the audit log storage unit 11 as list information on the display device 6. A function to receive an instruction of an audit log file to be output to the external medium 7 from the input device 5 and a message obtained by acquiring the audit log file designated by the operation of the input device 5 from the audit log storage unit 11 The integrity of the audit log file and each operation data is verified by checking the audit log integrity verification information such as digest, and if the integrity is confirmed, the integrity that the integrity of the acquired audit log file is confirmed It has a function of creating verification information and giving it to the media storage unit 3 together with the audit log file.

一方で、逆にメッセージダイジェスト等の監査ログ完全性検証情報の確認により、監査ログファイル並びに操作データの完全性が確認できなかった場合には、前記したとおり、該当する監査ログファイル内の操作データ並びに該当する期間および操作を特定することができる。例えば、入力装置5からの1つ1つの操作データに対してメッセージダイジェストを逐一付加した場合、どの操作データが改竄されたものであるかが特定可能である。同様に、1日分の操作データに対してメッセージダイジェストを逐一付加した場合、データ改竄の疑いがある期間(ここでは該当する1日分の操作データ)が特定できる。   On the other hand, if the integrity of the audit log file and operation data could not be confirmed by checking the audit log integrity verification information such as message digest, the operation data in the corresponding audit log file as described above. And the corresponding period and operation can be specified. For example, when a message digest is added to each piece of operation data from the input device 5, it is possible to specify which operation data has been tampered with. Similarly, when a message digest is added to the operation data for one day one by one, the period during which data is suspected to be altered (in this case, the operation data for the corresponding day) can be specified.

そこで、バックアップ制御部12には、監査ログファイル並びに操作データの完全性が確認できなかった場合には、該当する監査ログファイル並びに該当する期間および操作を特定する機能と、特定した監査ログファイル並びに期間および操作に関する情報を表示装置6に与えて表示させることによりユーザへ通知する機能を備えることもできる。   Therefore, when the integrity of the audit log file and the operation data cannot be confirmed, the backup control unit 12 has a function for specifying the corresponding audit log file and the corresponding period and operation, the specified audit log file, It is also possible to provide a function of notifying the user by giving information on the period and operation to the display device 6 for display.

さらに、監査ログファイル内の完全性が確認できなかった部分について、「完全性を確認できなかった」旨のメッセージを監査ログファイルに付加したり、完全性が確認できなかった監査ログファイルを完全性が確認できた監査ログファイルから識別できるように、監査ログファイルのファイル名を通常とは異なる特別なファイル名に変更するといった処理を行えるようにバックアップ制御部12を構成することができる。つまり、バックアップ制御部12に、完全性が確認できなかった監査ログファイルに対して、完全性が確認できなかった旨を示す情報を付加する機能を設けることができる。   In addition, for the part of the audit log file for which integrity could not be confirmed, a message stating that the integrity could not be confirmed was added to the audit log file, or the audit log file for which integrity could not be confirmed The backup control unit 12 can be configured to perform processing such as changing the file name of the audit log file to a special file name that is different from the normal file name so that the audit log file can be identified. That is, the backup control unit 12 can be provided with a function of adding information indicating that the integrity has not been confirmed to the audit log file whose integrity has not been confirmed.

そして、監査ログファイルにメッセージダイジェストが付加されている場合には、監査ログファイルの完全性検証処理の後、監査ログファイルの生成の際に用いた秘密の同一または別の文字列を用いて再びハッシュ関数を適用することにより作成された同一または別のメッセージダイジェストを利用して監査ログファイルに対する完全性の検証が可能な完全性検証情報を作成することができる。   And if a message digest is added to the audit log file, after the audit log file integrity verification process, again using the same or another secret character string used when generating the audit log file Integrity verification information that can verify the integrity of the audit log file can be created using the same or another message digest created by applying the hash function.

このようにバックアップ制御部12は、監査ログファイルの完全性を確認するための完全性検証情報を作成する機能を有する。そして、このようなバックアップ制御部12は、監査ログファイルを外部メディア7に出力するためのバックアップアプリケーションとしてコンピュータ上に実装することができる。   Thus, the backup control unit 12 has a function of creating integrity verification information for confirming the integrity of the audit log file. Such a backup control unit 12 can be implemented on a computer as a backup application for outputting the audit log file to the external medium 7.

尚、監査ログファイルの所望の部位が暗号化された場合には、バックアップ制御部12(バックアップアプリケーション)には、暗号化された部位を解読する機能が具備される。   When a desired part of the audit log file is encrypted, the backup control unit 12 (backup application) has a function of decrypting the encrypted part.

ここで、バックアップ制御部12により作成される完全性検証情報は、ファイル形式で作成された確認用アプリケーション(ソフトウェア)とすることができる。確認用アプリケーションは、単一の外部メディア7に複数の監査ログファイルが出力される場合には、共通に1つ作成され、各監査ログファイルの完全性を確認するための各種機能を設けることが可能である。例えばユーザ端末8に確認用アプリケーション13を読み込ませた場合に、ユーザ端末8を監査ログファイル構成確認部14および監査ログファイル完全性確認部15として機能させることができる。ただし、ユーザ端末8は医用装置1と同様に入力装置8aおよび表示装置8bを備え、医用装置1の操作端末2に相当する機能を具備しているものとする。   Here, the integrity verification information created by the backup control unit 12 can be a confirmation application (software) created in a file format. When a plurality of audit log files are output to a single external medium 7, one confirmation application is created in common, and various functions for confirming the integrity of each audit log file may be provided. Is possible. For example, when the user terminal 8 loads the confirmation application 13, the user terminal 8 can function as the audit log file configuration confirmation unit 14 and the audit log file integrity confirmation unit 15. However, it is assumed that the user terminal 8 includes an input device 8a and a display device 8b as in the medical device 1, and has a function corresponding to the operation terminal 2 of the medical device 1.

この場合、監査ログファイル構成確認部14は、同一の外部メディア7内に保存された監査ログファイルのファイル構成に抜けがないか否かを判定し、ファイル構成に抜けがあると判定された場合には、その旨をユーザに通知するための情報を作成する機能を有し、監査ログファイル完全性確認部15は、同一の外部メディア7内に保存された監査ログファイルの完全性をメッセージダイジェストの確認により検証し、完全性が確認できなかった監査ログファイルをユーザに通知するための情報を作成する機能を有する。   In this case, the audit log file configuration confirmation unit 14 determines whether or not the audit log file saved in the same external medium 7 has a missing file configuration. Has a function of creating information for notifying the user of the fact, and the audit log file integrity confirmation unit 15 uses message digest to check the integrity of the audit log file stored in the same external medium 7. And a function for creating information for notifying the user of an audit log file whose integrity could not be confirmed.

尚、監査ログファイルの所望の部位が暗号化された場合には、確認用アプリケーション13(監査ログファイル完全性確認部15)には、暗号化された部位を解読して完全性を確認したり、本文を表示させたりする機能が具備される。   When a desired part of the audit log file is encrypted, the confirmation application 13 (audit log file integrity confirmation unit 15) can decrypt the encrypted part to confirm the integrity. , A function of displaying a text is provided.

このためメディア保存部3からは、バックアップ制御部12から与えられた監査ログファイルおよび完全性検証情報を外部メディア7に出力することができる。   Therefore, the media storage unit 3 can output the audit log file and the integrity verification information given from the backup control unit 12 to the external medium 7.

次に医用装置1の作用について説明する。   Next, the operation of the medical device 1 will be described.

図2は、図1に示す医用装置1において監査ログを生成し、生成された監査ログを外部メディア7に出力する際の流れを示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。   FIG. 2 is a flowchart showing the flow of generating an audit log in the medical device 1 shown in FIG. 1 and outputting the generated audit log to the external medium 7. In FIG. Each step is shown.

まずステップS1において、ユーザが入力装置5を操作し、医用装置1を操作すると、操作データ収集部9は操作情報として収集して順次監査ログファイル作成部10に与える。   First, in step S <b> 1, when the user operates the input device 5 and operates the medical device 1, the operation data collection unit 9 collects it as operation information and sequentially provides it to the audit log file creation unit 10.

次に、ステップS2において、監査ログファイル作成部10は、操作データ収集部9から受けた一定期間のまたは一定の容量の各操作情報から監査ログファイルを作成し、作成した監査ログファイルを監査ログ記憶部11に書き込んで保存させる。このため、監査ログ記憶部11には、監査ログファイル作成部10において作成された監査ログファイルが、ある一定期間ごと、またはある一定の容量ごとに分割して保存される。   Next, in step S2, the audit log file creation unit 10 creates an audit log file from each period of operation information received from the operation data collection unit 9 or a certain capacity, and the created audit log file is audit log. Write to the storage unit 11 and save it. For this reason, the audit log storage unit 11 stores the audit log file created by the audit log file creation unit 10 by being divided every certain period or every certain capacity.

図3は、図1に示す医用装置1の監査ログファイル作成部10により監査ログファイルを作成する際の詳細手順例を示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。   FIG. 3 is a flowchart showing an example of a detailed procedure for creating an audit log file by the audit log file creating unit 10 of the medical device 1 shown in FIG. 1, and the reference numerals with numerals in the figure indicate steps in the flowchart. Indicates.

まずステップS11において、監査ログファイル作成部10は、監査ログ作業用ファイルを生成し、生成した監査ログ作業用ファイルに操作データ収集部9から順次受け渡された時系列の操作情報を一定の期間または容量で区切って書き込む。   First, in step S11, the audit log file creation unit 10 generates an audit log work file, and the time series operation information sequentially transferred from the operation data collection unit 9 to the generated audit log work file for a certain period of time. Or write them separated by capacity.

次に、ステップS12において、監査ログファイル作成部10は、データの完全性を確認するための情報を監査ログ作業用ファイルに付加する。具体的には、監査ログ作業用ファイルの内容に対してある秘密の文字列でハッシュコードを生成して、操作情報の本文に付帯させる。すなわち、あるハッシュ関数を適用してメッセージダイジェストを生成し、監査ログ作業用ファイルに監査ログ完全性検証情報として付加する。   Next, in step S12, the audit log file creation unit 10 adds information for checking data integrity to the audit log work file. Specifically, a hash code is generated with a secret character string for the contents of the audit log work file and attached to the body of the operation information. That is, a message digest is generated by applying a certain hash function, and is added as audit log integrity verification information to the audit log work file.

次に、ステップS13において、監査ログファイル作成部10は、生成した監査ログ作業用ファイルの内容が監査ログであることを容易に判断されないように、拡張子を変更して監査ログファイルとして生成する。このとき必要に応じて、監査ログファイルの本文は暗号化される。   Next, in step S13, the audit log file creation unit 10 changes the extension to generate an audit log file so that it is not easily determined that the content of the generated audit log work file is an audit log. . At this time, the text of the audit log file is encrypted as necessary.

そして、このように生成された監査ログファイルは、監査ログ記憶部11に書き込まれて保存される。さらに、ユーザは、バックアップアプリケーションを起動して、監査ログ記憶部11に保存された監査ログファイルを外部メディア7に保存することができる。   The audit log file generated in this way is written and stored in the audit log storage unit 11. Further, the user can start the backup application and save the audit log file saved in the audit log storage unit 11 in the external medium 7.

すなわち、図2のステップS3において、バックアップアプリケーションが起動されるとバックアップ制御部12は、入力装置5から指定された監査ログファイルの完全性を検証し、完全性を有する旨の確認が取れた場合には確認用アプリケーション13とともに監査ログファイルをメディア保存部3へ受け渡す。   That is, in step S3 of FIG. 2, when the backup application is started, the backup control unit 12 verifies the integrity of the audit log file designated from the input device 5 and confirms that it has integrity. Then, the audit log file is transferred to the media storage unit 3 together with the confirmation application 13.

図4は、図1に示す医用装置1のバックアップ制御部12により監査ログファイルの完全性を確認し、確認用アプリケーション13とともに外部メディア7に出力させる際の詳細手順例を示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。   FIG. 4 is a flowchart showing an example of a detailed procedure when the backup control unit 12 of the medical apparatus 1 shown in FIG. 1 confirms the integrity of the audit log file and outputs it to the external medium 7 together with the confirmation application 13. The code | symbol which attached | subjected the number to the inside S shows each step of a flowchart.

まずステップS21において、バックアップ制御部12は、入力装置5から監査ログファイルの外部メディア7への出力要求を受けると、監査ログ記憶部11から監査ログファイルをロードする。   First, in step S <b> 21, when the backup control unit 12 receives an output request for an audit log file from the input device 5 to the external medium 7, the backup control unit 12 loads the audit log file from the audit log storage unit 11.

次に、ステップS22において、バックアップ制御部12は、監査ログ記憶部11からロードした監査ログファイルの一覧をリスト情報として表示装置6に与えて表示させる。このため、表示装置6には、外部メディア7に保存すべき監査ログファイルの選択画面が表示される。   Next, in step S22, the backup control unit 12 gives a list of audit log files loaded from the audit log storage unit 11 to the display device 6 as list information for display. Therefore, a screen for selecting an audit log file to be stored in the external medium 7 is displayed on the display device 6.

次に、ステップS23において、バックアップ制御部12は、外部メディア7に保存すべき監査ログファイルの指示の有無を判定する。そして、外部メディア7に保存すべき監査ログファイルの指示が入力装置5から入力されなかった場合には、処理を終了させる。   Next, in step S <b> 23, the backup control unit 12 determines whether there is an instruction for an audit log file to be stored in the external medium 7. Then, when the instruction of the audit log file to be stored in the external medium 7 is not input from the input device 5, the process is terminated.

ユーザが入力装置5から外部メディア7に保存する監査ログファイルを選択し、外部メディア7に保存すべき監査ログファイルの指示がバックアップ制御部12に与えられた場合には、ステップS24において、バックアップ制御部12は、選択された各監査ログファイルに対してメッセージダイジェストを確認することにより情報の完全性を検証した上で、選択された全ての監査ログファイルの完全性が確認できたか否かを判定する。   When the user selects an audit log file to be stored in the external medium 7 from the input device 5 and an instruction of the audit log file to be stored in the external medium 7 is given to the backup control unit 12, backup control is performed in step S24. The unit 12 verifies the integrity of the information by confirming the message digest for each selected audit log file, and then determines whether the integrity of all the selected audit log files has been confirmed. To do.

そして、完全性が確認できなかった監査ログファイルが存在する場合には、ステップS25において、バックアップ制御部12は、完全性が確認できなかった監査ログファイルのリストを表示装置6に与える。さらに、バックアップ制御部12は、完全性の確認できなかった監査ログファイル内に記録された操作データのどの期間またはどの操作に対して完全性が確認できなかったのかを特定し、得られた結果を表示装置6に与えてユーザに通知する。   If there is an audit log file whose completeness could not be confirmed, the backup control unit 12 gives the list of audit log files whose completeness could not be confirmed to the display device 6 in step S25. Further, the backup control unit 12 specifies which period of the operation data recorded in the audit log file whose integrity could not be confirmed or for which operation the integrity could not be confirmed, and the obtained result Is given to the display device 6 to notify the user.

このとき、完全性が確認できなかった部分に対して「完全性が確認できなかった」旨のメッセージを監査ログファイルに付加する。   At this time, a message indicating “completeness could not be confirmed” is added to the audit log file for the portion where completeness could not be confirmed.

次に、ステップS26において、バックアップ制御部12は、完全性が確認できなかった当該監査ログファイルを外部メディア7へ出力するかどうかをユーザに選択させるための画面情報を表示装置6に与えて表示させる。そして、ユーザは、入力装置5の操作により保存の可否を選択指示することができる。さらに、バックアップ制御部12は、入力装置5の操作情報を受けて完全性の確認できている監査ログファイルの部分について外部メディア7に保存するか否かの判定を行う。   Next, in step S26, the backup control unit 12 gives the display device 6 screen information for allowing the user to select whether or not to output the audit log file whose integrity could not be confirmed to the external medium 7, and displays it. Let Then, the user can select and instruct whether to save by operating the input device 5. Further, the backup control unit 12 determines whether or not to save the audit log file portion whose integrity has been confirmed by receiving the operation information of the input device 5 in the external medium 7.

そして、完全性の確認できている監査ログファイルの部分を外部メディア7に保存することをユーザが希望しない場合には、再びステップS22において、監査ログファイルの選択画面が表示装置6に表示され、入力装置5からの選択指示の受付け状態となる。   If the user does not wish to save the portion of the audit log file whose integrity has been confirmed in the external media 7, the audit log file selection screen is displayed again on the display device 6 in step S22, A selection instruction from the input device 5 is accepted.

一方、ステップS26において、完全性の確認できている監査ログファイルの部分を外部メディア7に保存すると判定された場合や、あるいはステップS24において完全性が確認できなかった監査ログファイルが存在しないと判定された場合には、ステップS27において、バックアップ制御部12が監査ログファイルの完全性を確認するための確認用アプリケーション13を生成する。この確認用アプリケーション13は、監査ログファイル作成部10が監査ログファイルの生成の際に使用したハッシュコードを確認するものであり、監査ログファイルの生成の際に用いた秘密の文字列と同一の文字列を使用して生成することができる。   On the other hand, when it is determined in step S26 that the part of the audit log file whose integrity has been confirmed is to be stored in the external medium 7, it is determined that there is no audit log file whose integrity has not been confirmed in step S24. If it is determined, in step S27, the backup control unit 12 generates a confirmation application 13 for confirming the integrity of the audit log file. The confirmation application 13 confirms the hash code used by the audit log file creation unit 10 when generating the audit log file, and is the same as the secret character string used when generating the audit log file. Can be generated using a string.

次に、ステップS28において、バックアップ制御部12は、完全性の確認がとれた各監査ログファイルを確認用アプリケーション13とともにメディア保存部3に与える。このため、メディア保存部3は、バックアップ制御部12から渡される監査ログファイルと確認用アプリケーション13を外部メディア7へ保存する。すなわち、メディア保存部3から各監査ログファイルおよび確認用アプリケーション13が外部メディア7に書き込まれる。   Next, in step S <b> 28, the backup control unit 12 gives each audit log file whose integrity has been confirmed to the media storage unit 3 together with the confirmation application 13. Therefore, the media storage unit 3 stores the audit log file and the confirmation application 13 transferred from the backup control unit 12 in the external medium 7. That is, each audit log file and the confirmation application 13 are written from the media storage unit 3 to the external media 7.

尚、ある1つの外部メディア7内に保存される各監査ログファイルは共通のハッシュ関数によって生成されているため、各監査ログファイルの完全性の確認用の確認用アプリケーション13も1つのメディアに対して1つ共通に生成されることとなる。逆に言えば、単一の外部メディア7内に複数の監査ログファイルを保存する場合には、ハッシュ関数が共通である必要があり、確認用アプリケーション13は1メディアに対してひとつ生成される。   Since each audit log file stored in a certain external medium 7 is generated by a common hash function, the confirmation application 13 for confirming the integrity of each audit log file is also used for one medium. One is generated in common. In other words, when a plurality of audit log files are stored in a single external medium 7, the hash function needs to be common, and one confirmation application 13 is generated for one medium.

そして、ユーザは、外部メディア7に例えばバックアップ用に監査ログファイルを保存し、所望の時期に外部メディア7に保存された監査ログファイルを参照することができる。   Then, the user can save an audit log file for backup, for example, in the external medium 7, and can refer to the audit log file saved in the external medium 7 at a desired time.

外部メディア7から監査ログファイルを参照する場合には、図2のステップS4において、外部メディア7内に保存された監査ログファイルおよび確認用アプリケーション13がユーザ端末8に読み込まれる。そして、確認用アプリケーション13がユーザ端末8上で起動される。   When referring to the audit log file from the external medium 7, the audit log file and the confirmation application 13 stored in the external medium 7 are read into the user terminal 8 in step S <b> 4 of FIG. 2. Then, the confirmation application 13 is activated on the user terminal 8.

図5は、図1に示すユーザ端末8において、外部メディア7から入力した確認用アプリケーション13を起動して監査ログファイルを参照する際の詳細手順例を示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。   FIG. 5 is a flowchart showing a detailed procedure example when the user terminal 8 shown in FIG. 1 starts the confirmation application 13 input from the external medium 7 and refers to the audit log file. Reference numerals attached indicate steps in the flowchart.

まずステップS31において、外部メディア7内に保存された確認用アプリケーション13がユーザ端末8上で起動される。そうすると、ユーザ端末8は監査ログファイル構成確認部14および監査ログファイル完全性確認部15として機能する。   First, in step S <b> 31, the confirmation application 13 stored in the external medium 7 is activated on the user terminal 8. Then, the user terminal 8 functions as the audit log file configuration confirmation unit 14 and the audit log file integrity confirmation unit 15.

次に、ステップS32において、外部メディア7内における監査ログファイルのファイル構成が監査ログファイル構成確認部14により確認される。すなわち監査ログファイル構成確認部14は、同一の外部メディア7内に保存された監査ログファイルのファイル構成に抜けがないか否か、すなわち監査ログファイルが欠落しているか否かを判定する。   Next, in step S <b> 32, the audit log file configuration confirmation unit 14 confirms the file configuration of the audit log file in the external medium 7. That is, the audit log file configuration confirmation unit 14 determines whether there is no omission in the file configuration of the audit log file stored in the same external medium 7, that is, whether the audit log file is missing.

そして、監査ログファイルのファイル構成に抜けがあると判定された場合には、ステップS33において、監査ログファイル構成確認部14がファイル構成に抜けがある旨をユーザに通知するための情報を作成し、ユーザ端末8の画面に表示させる。   If it is determined that the audit log file has a missing file structure, in step S33, the audit log file structure confirmation unit 14 creates information for notifying the user that the file structure is missing. And displayed on the screen of the user terminal 8.

さらに、監査ログファイルのファイル構成に抜けがあると判定されなかった場合または監査ログファイルのファイル構成に抜けがある旨の表示後、ユーザ端末8は参照すべき監査ログファイルの選択待ち受け状態となる。   Further, when it is determined that there is no omission in the audit log file file structure, or after displaying that there is an omission in the audit log file file structure, the user terminal 8 enters a waiting state for selecting an audit log file to be referred to. .

次に、ステップS34において、ユーザ端末8の操作により参照すべき監査ログファイルの選択情報を受けた場合には、監査ログファイル完全性確認部15は、選択された監査ログファイルを外部メディア7からロードする。   Next, in step S34, when the audit log file selection information to be referred to is received by the operation of the user terminal 8, the audit log file integrity confirmation unit 15 sends the selected audit log file from the external medium 7. Load it.

次に、ステップS35において、監査ログファイル完全性確認部15は、外部メディア7からロードされた参照すべき目的の監査ログファイルの完全性を、メッセージダイジェストを確認することにより検証し、監査ログファイルの完全性が確認できたか否かを判定する。   Next, in step S35, the audit log file integrity confirmation unit 15 verifies the integrity of the target audit log file to be referred loaded from the external medium 7 by confirming the message digest, and the audit log file It is determined whether or not the completeness of the data has been confirmed.

そして、監査ログファイルの完全性が確認できなかった場合には、ステップS36において、完全性が確認できなかった監査ログファイルをユーザに通知するための情報を監査ログファイル完全性確認部15が作成する。このため、完全性が確認できなかった監査ログファイルがユーザ端末8の画面に表示され、ユーザ端末8は参照すべき監査ログファイルの選択待ち受け状態となる。   If the integrity of the audit log file cannot be confirmed, the audit log file integrity confirmation unit 15 creates information for notifying the user of the audit log file whose integrity has not been confirmed in step S36. To do. For this reason, the audit log file whose integrity could not be confirmed is displayed on the screen of the user terminal 8, and the user terminal 8 is in a waiting state for selecting an audit log file to be referred to.

一方、監査ログファイルの完全性が確認できた場合には、ステップS37において、選択された監査ログファイルがユーザ端末8の画面に表示される。   On the other hand, if the integrity of the audit log file has been confirmed, the selected audit log file is displayed on the screen of the user terminal 8 in step S37.

このような確認用アプリケーション13によりユーザはユーザ端末8を介して外部メディア7内に保存された監査ログファイルのファイル数を確認してファイル構成に抜けがないかを検証することができる。さらに、外部メディア7内の各監査ログファイルに対してメッセージダイジェストを確認し、確認の取れなかった監査ログファイルについては、破壊もしくは改竄があったと判断することができる。   With such a confirmation application 13, the user can check the number of audit log files stored in the external medium 7 via the user terminal 8 to verify whether the file structure is complete. Further, a message digest is confirmed for each audit log file in the external medium 7, and it can be determined that the audit log file that could not be confirmed has been destroyed or tampered.

図6は、図1に示す医用装置1における監査ログファイルの作成から外部メディア7を介した監査ログファイルの参照までの全体の流れを示す概念図である。   FIG. 6 is a conceptual diagram showing an overall flow from creation of an audit log file to reference of an audit log file via the external medium 7 in the medical apparatus 1 shown in FIG.

医用装置1において監査ログファイル作成部10は、操作データから監査ログ作業用ファイルを作成し、ログファイル作成関数(ハッシュ関数)によりハッシュコードを生成する。この結果、本文である操作データにダイジェストメッセージが付帯された監査ログファイルが生成される。   In the medical device 1, the audit log file creation unit 10 creates an audit log work file from the operation data, and generates a hash code by a log file creation function (hash function). As a result, an audit log file in which a digest message is added to the operation data that is the main text is generated.

そして、監査ログファイルは、医用装置1内の監査ログ記憶部11に保存されるが、ユーザが操作端末2の操作によりバックアップアプリケーションを起動して外部メディア7にバックアップする監査ログファイルを選択すると、選択された各監査ログファイルのダイジェストメッセージがバックアップ制御部12(バックアップアプリケーション)によって確認されて各監査ログファイルの完全性の検証が行われる。   The audit log file is stored in the audit log storage unit 11 in the medical device 1. When the user selects the audit log file to be backed up to the external medium 7 by starting the backup application by operating the operation terminal 2, The digest message of each selected audit log file is confirmed by the backup control unit 12 (backup application), and the integrity of each audit log file is verified.

次に、バックアップアプリケーションは、完全性が確認された各監査ログファイルに共通のハッシュコードチェック用の確認用アプリケーション13を作成して、各監査ログファイルとともに外部メディア7に出力させる。   Next, the backup application creates a hash code check confirmation application 13 common to each audit log file whose integrity has been confirmed, and outputs it to the external medium 7 together with each audit log file.

このため、外部メディア7には、本文とダイジェストメッセージとで構成される単一または複数の監査ログファイルと、1つのハッシュコードチェック用の確認用アプリケーション13が保存される。そして、ユーザはユーザ端末8において、外部メディア7に保存された確認用アプリケーション13を起動して、各監査ログファイルの完全性の検証を行った上で参照することができる。   For this reason, the external medium 7 stores a single or a plurality of audit log files composed of a text and a digest message and one confirmation application 13 for checking a hash code. Then, the user can refer to the user terminal 8 by starting the confirmation application 13 stored in the external medium 7 and verifying the integrity of each audit log file.

つまり、以上のような医用装置1は、監査ログファイルを外部メディア7に出力する際に、監査ログファイルの完全性を確認したうえで完全性の確認用アプリケーション13を生成し、完全性の確認対象となる監査ログファイルとともに確認用アプリケーション13が外部メディア7に保存されるようにしたものである。   In other words, when the medical device 1 as described above outputs the audit log file to the external medium 7, the medical device 1 confirms the integrity of the audit log file, generates the integrity confirmation application 13, and confirms the integrity. The confirmation application 13 is stored in the external medium 7 together with the target audit log file.

このため、医用装置1によれば、ある一定期間後に外部メディア7内に保存された監査ログファイルを参照する場合であっても、同一の外部メディア7内に保存された確認用アプリケーション13を使用することで、外部出力された監査ログファイルが医用装置1において保存された状態を維持しているかどうかを検証することができる。すなわち、監査ログファイルの外部メディア7内への保存時から監査ログファイルの参照時までの期間に情報が破壊または改竄されていないかどうかを確認することができる。   For this reason, according to the medical apparatus 1, even when referring to an audit log file stored in the external medium 7 after a certain period of time, the confirmation application 13 stored in the same external medium 7 is used. By doing so, it is possible to verify whether or not the externally output audit log file maintains the state stored in the medical device 1. That is, it can be confirmed whether or not the information is destroyed or falsified during the period from the time when the audit log file is stored in the external medium 7 to the time when the audit log file is referenced.

また、外部メディア7内に保存される監査ログファイルが複数であっても外部メディア7内に保存される確認用アプリケーション13は1つであり、共通の確認用アプリケーション13によって外部メディア7内における全ての監査ログファイルの完全性の確認処理が行われる。このため、監査ログファイルの完全性の検証だけでなく、外部メディア7内に保存された監査ログファイルのファイル構成(ファイル数)も確認することができる。   Even if there are a plurality of audit log files stored in the external medium 7, there is only one confirmation application 13 stored in the external medium 7. The audit log file integrity check process is performed. For this reason, not only the verification of the integrity of the audit log file but also the file configuration (number of files) of the audit log file stored in the external medium 7 can be confirmed.

本発明に係る医用装置の実施の形態を示す機能ブロック図。The functional block diagram which shows embodiment of the medical device which concerns on this invention. 図1に示す医用装置において監査ログを生成し、生成された監査ログを外部メディアに出力する際の流れを示すフローチャート。The flowchart which shows the flow at the time of producing | generating an audit log in the medical device shown in FIG. 1, and outputting the produced | generated audit log to an external medium. 図1に示す医用装置の監査ログファイル作成部により監査ログファイルを作成する際の詳細手順例を示すフローチャート。The flowchart which shows the example of a detailed procedure at the time of creating an audit log file by the audit log file creation part of the medical device shown in FIG. 図1に示す医用装置のバックアップ制御部により監査ログファイルの完全性を確認し、確認用アプリケーションとともに外部メディアに出力させる際の詳細手順例を示すフローチャート。The flowchart which shows the example of a detailed procedure at the time of making the backup control part of the medical device shown in FIG. 1 confirm the integrity of an audit log file, and making it output to an external medium with a confirmation application. 図1に示すユーザ端末において、外部メディアから入力した確認用アプリケーションを起動して監査ログファイルを参照する際の詳細手順例を示すフローチャート。6 is a flowchart showing a detailed procedure example when a confirmation application input from an external medium is started and an audit log file is referred to in the user terminal shown in FIG. 図1に示す医用装置における監査ログファイルの作成から外部メディアを介した監査ログファイルの参照までの全体の流れを示す概念図。The conceptual diagram which shows the whole flow from preparation of the audit log file in the medical device shown in FIG. 1 to reference of the audit log file via an external medium.

符号の説明Explanation of symbols

1 医用装置
2 操作端末
3 メディア保存部
4 監査ログファイル出力システム
5 入力装置
6 表示装置
7 外部メディア
8 ユーザ端末
8a 入力装置
8b 表示装置
9 操作データ収集部
10 監査ログファイル作成部
10a 操作データ記録部
10b メッセージダイジェスト付加部
11 監査ログ記憶部
12 バックアップ制御部
13 確認用アプリケーション
14 監査ログファイル構成確認部
15 監査ログファイル完全性確認部 DESCRIPTION OF SYMBOLS 1 Medical device 2 Operation terminal 3 Media storage part 4 Audit log file output system 5 Input device 6 Display device 7 External media 8 User terminal 8a Input device 8b Display device 9 Operation data collection part 10 Audit log file creation part 10a Operation data recording part 10b Message digest addition unit 11 Audit log storage unit 12 Backup control unit 13 Confirmation application 14 Audit log file configuration confirmation unit 15 Audit log file integrity confirmation unit

Claims (11)

入力装置による操作の監査ログファイルを生成する監査ログファイル生成手段と、
前記監査ログファイルを監査ログ記憶部に記録するための記録手段と、
前記監査ログ記憶部から取得された監査ログファイルを外部メディアに記録するためのメディア記録手段と、
前記監査ログ記憶部から取得された監査ログファイルを前記外部メディアに記録する際、前記監査ログファイルの完全性を検証するための、端末に読み込ませて起動させる確認用アプリケーションを、前記監査ログ記憶部から取得された監査ログファイルと共に前記外部メディアに記録するように前記メディア記録手段を制御する制御手段と、
を有することを特徴とする医用装置。 An audit log file generating means for generating an audit log file of an operation by the input device;
And recording means for recording the audit log file audit log storing unit,
Media recording means for recording the audit log file acquired from the audit log storage unit on an external medium;
When the audit log file acquired from the audit log storage unit is recorded on the external medium , a verification application that is loaded into the terminal and started to verify the integrity of the audit log file is stored in the audit log storage Control means for controlling the media recording means to record on the external media together with the audit log file acquired from the unit ;
A medical device comprising: 前記制御手段は、前記外部メディアに保存された監査ログファイルの完全性を検証する監査ログファイル完全性確認手段として前記端末を機能させるアプリケーションを前記確認用アプリケーションとするように構成されることを特徴とする請求項1記載の医用装置。 The control means that is configured applications to function the terminal as an audit log file integrity verification means for verifying the integrity of the audit log file stored in the external medium to said confirmation application The medical device according to claim 1, characterized in that: 前記制御手段は、前記外部メディアに保存された監査ログファイルのファイル構成に抜けがないか否かを判定する監査ログファイル構成確認手段と、前記外部メディアに保存された前記監査ログファイルの完全性を検証する監査ログファイル完全性確認手段として前記端末を機能させるアプリケーションを前記確認用アプリケーションとするように構成されることを特徴とする請求項1記載の医用装置。 The control means and determining the audit log file configuration confirmation means whether or not there is missing in the file structure of the audit log file stored in the external media, full of the audit log file stored in the external medium the medical device according to claim 1, characterized in that it is configured applications to function the terminal as an audit log file integrity verification means for verifying sex to said confirmation application. 前記監査ログファイル生成手段は、前記監査ログファイルを暗号化するように構成され
前記制御手段は、前記端末に読み込ませて起動させた場合に前記監査ログファイルの暗号を解読することが可能なアプリケーションを前記確認用アプリケーションとするように構成されることを特徴とする請求項1記載の医用装置。 The audit log file generating means is configured to encrypt the audit log file ;
The control means according to claim 1, characterized in that it consists of an application that can decrypt the audit log file when is started to read the terminal to said check application The medical device described. 前記制御手段は、単一の前記外部メディアに複数の前記監査ログファイルを記録する制御を行う場合、前記複数の監査ログファイルに共通の前記確認用アプリケーションとするように構成されることを特徴とする請求項1記載の医用装置。 The control means is configured to make the confirmation application common to the plurality of audit log files when performing control to record a plurality of the audit log files on a single external medium. The medical device according to claim 1. 前記監査ログファイル生成手段は、前記監査ログファイルの完全性を検証するための監査ログ完全性検証情報を生成するように構成され
前記記録手段前記監査ログ完全性検証情報を保存するように構成され、
前記制御手段は、前記監査ログ記憶部から取得された監査ログファイルに対する前記監査ログ完全性検証情報を確認することにより、前記監査ログファイルの完全性を検証するように構成されることを特徴とする請求項1記載の医用装置。 The audit log file generating means is configured to generate audit log integrity verification information for verifying the integrity of the audit log file ;
The recording means is configured to store the audit log integrity verification information,
The control means is configured to verify the integrity of the audit log file by confirming the audit log integrity verification information for the audit log file acquired from the audit log storage unit. The medical device according to claim 1. 前記監査ログファイル生成手段は、ハッシュ関数を使った演算により文字列を用いてメッセージダイジェストを生成することにより前記監査ログ完全性検証情報を生成するように構成されることを特徴とする請求項記載の医用装置。 The audit log file generating means is characterized and Turkey is configured to generate the audit log integrity verification information by generating the main Tsu message digest using the character string by calculation using the hash function The medical device according to claim 6 . 前記制御手段は、完全性が確認できなかった監査ログファイルに対して、完全性が確認できなかった旨を示す情報を付加するように構成されることを特徴とする請求項記載の医用装置。 Wherein, medical of claim 6, wherein the integrity against audit log files that could not be confirmed, integrity is configured to add information indicating that could not be confirmed apparatus. 前記制御手段は、完全性が確認できなかった監査ログファイルに対して、完全性が確認できなかった旨を示す情報を表示装置に与えて表示させるように構成されることを特徴とする請求項記載の医用装置。 Wherein, with respect to the audit log file integrity can not be verified, characterized in that the integrity is configured so as to display given on the display device information indicating that could not be confirmed according Item 7. The medical device according to Item 6 . 入力装置による操作の監査ログファイルを生成する監査ログファイル生成手段と、
前記監査ログファイルを監査ログ記憶部に記録するための記録手段と、
前記監査ログ記憶部から取得された監査ログファイルを外部メディアに記録する際、前記監査ログファイルの完全性を検証するための、端末に読み込ませて起動させる確認用アプリケーションを、前記監査ログ記憶部から取得された監査ログファイルと共に前記外部メディアに記録するように制御する制御手段と、
を有することを特徴とする監査ログファイル出力システム。 An audit log file generating means for generating an audit log file of an operation by the input device;
And recording means for recording the audit log file audit log storing unit,
When the audit log file acquired from the audit log storage unit is recorded on an external medium , a verification application for verifying the integrity of the audit log file , which is read by a terminal and started, is provided in the audit log storage unit. Control means for controlling to record to the external medium together with the audit log file acquired from
An audit log file output system comprising: コンピュータを、
入力装置による操作の監査ログファイルを生成する監査ログファイル生成手段
前記監査ログファイルを監査ログ記憶部に記録するための記録手段、および
前記監査ログ記憶部から取得された監査ログファイルを外部メディアに記録する際、前記監査ログファイルの完全性を検証するための、端末に読み込ませて起動させる確認用アプリケーションを、前記監査ログ記憶部から取得された監査ログファイルと共に前記外部メディアに記録するように制御する制御手段
として機能させることを特徴とする監査ログファイル出力プログラム。 Computer
An audit log file generating means for generating an audit log file of an operation by the input device;
Said recording means for recording an audit log file in the audit log storing unit, and when recording the audit log file obtained from the audit log storing unit in the external medium, in order to verify the integrity of the audit log file Control means for controlling the application for confirmation to be read by the terminal and recorded on the external medium together with the audit log file acquired from the audit log storage unit ,
Audit log file output program characterized by functioning as
JP2005054607A 2005-01-17 2005-02-28 Medical device, audit log file output system, and audit log file output program Expired - Fee Related JP4744897B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005054607A JP4744897B2 (en) 2005-02-28 2005-02-28 Medical device, audit log file output system, and audit log file output program
US11/332,217 US7827148B2 (en) 2005-01-17 2006-01-17 Medical equipment having audit log managing function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005054607A JP4744897B2 (en) 2005-02-28 2005-02-28 Medical device, audit log file output system, and audit log file output program

Publications (2)

Publication Number Publication Date
JP2006238925A JP2006238925A (en) 2006-09-14
JP4744897B2 true JP4744897B2 (en) 2011-08-10

Family

ID=37045925

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005054607A Expired - Fee Related JP4744897B2 (en) 2005-01-17 2005-02-28 Medical device, audit log file output system, and audit log file output program

Country Status (1)

Country Link
JP (1) JP4744897B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006221617A (en) * 2005-01-17 2006-08-24 Toshiba Corp Medical apparatus with audit log managing function
JP5045489B2 (en) * 2008-02-22 2012-10-10 日本電気株式会社 DATA CHANGE DETECTION DEVICE, DATA CHANGE DETECTION METHOD, AND PROGRAM
CN109408334B (en) * 2018-10-24 2021-11-09 郑州云海信息技术有限公司 Audit log characteristic test method, device, equipment and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001325372A (en) * 2000-03-08 2001-11-22 Fujitsu Ltd System, method, and program for sharing health care data
JP2004164226A (en) * 2002-11-12 2004-06-10 Seer Insight Security Inc Information processor and program
JP2004267273A (en) * 2003-03-05 2004-09-30 Sangaku Renkei Kiko Kyushu:Kk Medical system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001325372A (en) * 2000-03-08 2001-11-22 Fujitsu Ltd System, method, and program for sharing health care data
JP2004164226A (en) * 2002-11-12 2004-06-10 Seer Insight Security Inc Information processor and program
JP2004267273A (en) * 2003-03-05 2004-09-30 Sangaku Renkei Kiko Kyushu:Kk Medical system

Also Published As

Publication number Publication date
JP2006238925A (en) 2006-09-14

Similar Documents

Publication Publication Date Title
JP4389011B2 (en) MEDICAL REPORT CREATION DEVICE, MEDICAL REPORT CREATION METHOD, AND PROGRAM THEREOF
US8909660B2 (en) System and method for secured health record account registration
CN102763108A (en) Medical coordination system
JP2010512579A (en) System and method for file authentication and versioning using unique content identifiers
JP2011248859A (en) Data processing device and data processing system, and control method thereof
JP2008090715A (en) Medical information management system, medical information management device, and medical information management program
JP4744897B2 (en) Medical device, audit log file output system, and audit log file output program
JP4321464B2 (en) Information recording apparatus and program
US20050025390A1 (en) Information processing apparatus and method
JP2007233910A (en) Patent gazette retrieval method and patent gazette retrieval program
JP5305728B2 (en) Medical file management system and medical file management apparatus
JP6822162B2 (en) Data management system and data management method
JP2006221617A (en) Medical apparatus with audit log managing function
US20070136101A1 (en) Image transfer device, an image diagnostic device equipped with the same, an image management server, and an image display device
JP4939763B2 (en) Audit log management system for medical equipment
JP2012098818A (en) Emergency preparedness medical information system
JP2007200047A (en) Access log-displaying system and method
JP2002269535A (en) Medical information recording system
JP2008250791A (en) Medical information processing device and program
WO2002082232A2 (en) A method and process of collecting data of user activities without the user knowing
JP6817481B2 (en) Program and executable file generation method
JP6767526B2 (en) Programs, portable recording media, and usage restriction methods
WO2008026519A1 (en) Medical information providing device, medical information providing system, and program
Carranza et al. Software validation and daubert standard compliance of an open digital forensics model
JP2008129763A (en) Storage device and log management program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110419

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110511

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140520

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4744897

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees