JPH09282393A - 保健医療カードとオンラインデータベースの連携方法 - Google Patents

保健医療カードとオンラインデータベースの連携方法

Info

Publication number
JPH09282393A
JPH09282393A JP9111796A JP9111796A JPH09282393A JP H09282393 A JPH09282393 A JP H09282393A JP 9111796 A JP9111796 A JP 9111796A JP 9111796 A JP9111796 A JP 9111796A JP H09282393 A JPH09282393 A JP H09282393A
Authority
JP
Japan
Prior art keywords
card
data
health care
database
care card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP9111796A
Other languages
English (en)
Inventor
Kunihiko Kido
邦彦 木戸
Koichi Sano
耕一 佐野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP9111796A priority Critical patent/JPH09282393A/ja
Publication of JPH09282393A publication Critical patent/JPH09282393A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Medical Treatment And Welfare Office Work (AREA)

Abstract

(57)【要約】 【課題】画像などの大容量データの蓄積保存を可能にす
るとともに、従来のオフライン型保健医療カードと同じ
安全性を確保する。また、カードを紛失したときにオン
ラインデータベースから安全にカードの内容を復元す
る。 【解決手段】マスタ鍵をカードごとに割り振って、IC
カードに保存する。患者データは、ワーク鍵で暗号化し
データベースに登録した後、データを保存するデータベ
ースのネットワーク上でのアドレスとデータベース上の
データを特定する識別子(ファイル名)をICカードに
保存する。次に、所定のハッシュ関数を利用してデータ
の認証コードを作成し、これもICカードに保存する。
また、データを登録する病院には、ICカードのIDと
ともにデータを暗号化するために使用したワーク鍵をカ
ードのマスタ鍵で暗号化したものや、鍵暗号鍵を記録す
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、保健医療カードシ
ステムをオンラインデータベースと連携させた場合に
も、盗聴、改竄等にさらされないように安全性を確保す
ることができる保健医療カードとオンラインデータベー
スの連携方法に関する。
【0002】
【従来の技術】従来より、保健医療カードは、患者の病
歴、薬歴をICカードに記録しておくことによって、患
者の健康状態の変化を経時的に観察することができるた
め、質の高い診療や医療相談等に役立つ点で注目されて
いた。保健医療カードのその他の利点としては、異なる
病院間にまたがって診察、治療を行っている患者に関し
て、処方された薬品や実施された検査データが記録され
ているため、薬品の重複投与や重複検査がさけられるこ
とである。また、薬品に関しては、異なる病院で処方さ
れた薬品に、薬品相互作用を引き起こす組み合わせがな
いか否かをチェックすることができるため、薬品相互作
用による薬害を防止することが可能である。しかしなが
ら、保健医療カードは、個人の健康状態に関するデータ
が蓄積されているため、その内容を不特定の第3者に知
られると、プライバシー保護の観点から望ましくない。
従って、通常は、カードにアクセスするための認証処理
を行っている。認証処理としてアクセスチェックを行う
ためには、カード自体にマイクロプロセッサを埋め込
み、そのマイクロプロセッサによりアクセス権のチェッ
クを行うことができるようなICカードが必要となる。
【0003】
【発明が解決しようとする課題】しかしながら、現在の
ところ、ICカードの記憶容量は、画像のような大容量
データを蓄積保存するには小さ過ぎるため、記録される
データとしては文字テキストベースの数値データや医師
等の所見が主である。同様な理由により、ワードプロセ
ッサ等で記述されたカルテのような非定型的なデータ
を、ICカードにファイルの形で蓄積することも難し
い。そこで、大容量のデータはネットワークにつながれ
たオンラインデータベースに登録しておき、そのアドレ
ス情報はICカード側で管理して、ICカードとオンラ
インデータベースと連携させることにより大容量データ
に対応する手法が考えられる。ただし、単純にオンライ
ンデータベースのアドレスをICカードで管理しただけ
では、患者のプライバシーが守れない。このように、I
Cカードという物理的に安全な媒体に患者情報を記録す
ることによって、患者のプライバシーが守れるのに対し
て、このICカードをオンライン環境と連携するときに
は、安全性が崩れてしまうという問題が生じる。オンラ
イン環境における脅威としては、ネットワークにつなが
れたデータベース上にあるデータが改竄されること、お
よびネットワーク上あるいはデータベース上での盗聴な
どが挙げられる。ここで、特に問題になる点は、患者デ
ータが登録されるデータベースを管理している正当なユ
ーザが、自分に不都合なデータを改竄することも考慮し
なければならないことである。例えば、誤診などで訴訟
を起こされた病院が、データを操作する場合などが考え
られる。なお、従来のオフライン型の保健医療カードで
は、普段は患者がカード自体を所持しているため、上記
のようなネットワーク上あるいはデータベース上の不正
は不可能である。本発明の目的は、このような課題を解
決し、従来のオフライン型保健医療カードと同じ安全性
を、オンラインデータベースと連携した保健医療カード
システムに対して実現できるような保健医療カードとオ
ンラインデータベースの連携方法を提供することにあ
る。また、本発明の他の目的は、ICカードを紛失した
ときにも、オンラインデータベースから安全にそのIC
カードの内容を復元することができる保健医療カードと
オンラインデータベースの連携方法を提供することにあ
る。
【0004】
【課題を解決するための手段】上記目的を達成するた
め、本発明による保健医療カードとオンラインデータベ
ースの連携方法では、(a)複数の医療機関(図1の1
01,102)に分散設置された通信端末装置(図2の
201)と、該通信端末装置との間で情報の授受を行う
保健医療カード(図1の107,108)と、該通信端
末装置を結合する通信網と、該通信網に接続され、上記
複数の医療機関によって共有される複数のデータベース
とを有する保健医療カードとオンラインデータベースの
連携方法において、上記保健医療カードには、上記デー
タベースの少なくとも一つに登録されるデータごとに設
定され、該データを登録したデ−タベ−スを通信網(図
1の103)において特定するネットワークアドレス情
報(図1の112)と、該データベース内の当該データ
の詳細な所在を特定するファイル名情報(図1の11
2)と、上記データベースに登録したデータから予め定
められた一方向性ハッシュ関数により計算した数値の認
証子(図1の113)と、上記データベースに登録する
データに施す暗号処理に使用したワーク鍵情報(図1の
114)とを格納することを特徴としている。 (b)また、前記複数のデータベースの少なくとも一つ
には、当該データが格納されている保健医療カードごと
に一意に付与されたID番号(図5の509、IDc)
と、当該データを暗号化するために使用したワーク鍵情
報を該カードのマスタ鍵情報で暗号化した情報(kK
M(KW))、あるいは該マスタ鍵情報を暗号化して該ワ
ーク鍵情報を生成するために使用した鍵暗号鍵情報(同
Ks)と、該データベース内の当該データの詳細な所在
を特定するファイル名情報(同filename)とを
記録しておくことも特徴としている。
【0005】(c)また、データ暗号化のための前記ワ
ーク鍵情報の生成処理、データの暗号化処理、および認
証子の生成・検証処理を上記保健医療カード内で行うこ
となく、全て端末通信装置で行う場合(図4(3)の場
合)には、前記複数のデータベースの少なくとも一つに
は、当該データが格納されている保健医療カードごとに
一意に付与されたID番号(IDc)と、当該データを
暗号化するために使用したワーク鍵情報を該カードのマ
スタ鍵情報で暗号化した情報(KM(KW))と、該デー
タベース内の当該データの詳細な所在を特定するファイ
ル名情報(filename)とを記録しておくことも
特徴としている。 (d)また、前記複数のデータベースの少なくとも一つ
(図1の105)に登録されたデータ(図1の106)
は、ある医療機関(図1の101)からの検索要求によ
り、当該データが登録されているデ−タベ−スを通信網
において特定するネットワークアドレス情報と、該デー
タベース内の当該データの詳細な所在を特定するファイ
ル名情報とに基づいて、該データベースから通信網(図
1の103)を介し検索要求を行った医療機関の通信端
末装置に転送(図6の605)されることも特徴として
いる。 (e)また、前記検索要求を行った医療機関は、登録さ
れたデータベースから転送してきた当該データを受け取
ると(図6の605)、当該データに対して、データベ
ース登録時に施され、暗号処理に用いられたワーク鍵情
報を予めカードから得ておき、該ワーク鍵情報を基に復
号処理を施す(図6の607)ことも特徴としている。 (f)また、前記検索要求を行った医療機関は、上記復
号処理(図6の607)を行ったデータに対して、予め
定められた一方向性ハッシュ関数により認証子を計算し
(図6の608)、該認証子と保健医療カード登録され
ている認証子とを比較し、比較の結果、同一と判定され
たときには、上記復号処理を行ったデータは正しいもの
として該医療機関のメモリに格納する(図6の608)
ことも特徴としている。
【0006】(g)また、当該保健医療カードの媒体
(図8のカード)は、上記データベース(図8のセン
タ)と通信網を介して接続し、該データベースの一つに
登録する各データごとに、該データベース内の当該デー
タの詳細な所在を特定するファイル名情報(図8のim
age0)を入手して、自媒体内に格納するが、その際
に、該ファイル名情報を該保健医療カードと該データベ
ースとが共有する鍵情報(Kt)により暗号化して(K
t(image0))通信する(図8の804)ことも
特徴としている。 (h)また、前記保健医療カードと当該データベースと
が共有する鍵情報により暗号化して通信する際の暗号処
理(図6の607)は、該保健医療カード(図7の70
4)の内部で行う(図4(1))ことも特徴としてい
る。 (i)また、前記複数の医療機関によって共有される少
なくとも一つのデータベース(図8のセンタ)には、保
健医療カードごとに一意に付与されたID番号(図8の
807のIDc)とともに、当該データの詳細な所在を
特定するファイル名情報(同807のimage0)を
記録しておき、上記共有されるデータベースとは異なる
各医療機関等のデータベース(図8の端末)には、該共
有データベースの一つに登録されるデータに施す暗号処
理に必要な少なくとも2つの鍵情報のうちの一つ(図8
の806のKs)とともに、上記保健医療カードごとに
一意に付与されたID番号(同IDc)を記録しておく
ことも特徴としている。 (j)前記共有されるデータベースとは異なる各医療機
関等のデータベース(図8の端末)には、該共有データ
ベースの一つに登録されるデータに施す暗号処理に使用
したワーク鍵情報(KW)とともに、上記保健医療カー
ドごとに一意に付与されたID番号(IDc)を記録し
ておく(図8の806)ことも特徴としている。
【0007】
【発明の実施の形態】本発明においては、データの盗聴
を防止する対策としてデータ自身を暗号化する。データ
を暗号化する際には鍵が必要であるが、この鍵(以下、
ワーク鍵と呼ぶ)を生成するためのマスタ鍵をカードご
とにユニークに割り振る。そして、ICカードのID番
号とともに、各自に割り振られたマスタ鍵をICカード
に保存する。以上の作業は、地方自治体等の信頼できる
第3者機関が行うことにより、住民にカードを発行す
る。信頼できる第3者機関では、カード発行に際してカ
ード所有者とICカードのID番号およびマスタ鍵を、
第3者に知られぬように厳重に管理し保管しておく。次
に、ある患者がある病院で診療を受け、その時に生じた
患者データをデータベースに登録する際には、データを
ワーク鍵で暗号化してデータベースに登録した後、その
データを保存するデータベースのネットワーク上でのア
ドレスとデータベース上のデータを特定するための識別
子であるファイル名をICカードに保存する。次に、デ
ータ改竄を検知するために、所定のハッシュ関数を利用
してデータの認証コードを作成しこれをICカードに保
存する。データのもともとの所有者である病院には、I
CカードのID番号とともにデータを暗号化するために
使用したワーク鍵をカードのマスタ鍵で暗号化したも
の、あるいはマスタ鍵を暗号化してワーク鍵を生成する
のに使用した鍵暗号鍵の記録を保持しておく。
【0008】以下、本発明の実施の形態を説明する。実
施の形態としては、医療分野における保健医療カードと
病院内のデータベースに保存されたカルテ情報を例にし
て説明する。図1は、本発明の第1の実施例を示す保健
医療カード処理システム全体の構成図である。図1で
は、病院101と病院102の二つのエンティティ(実
体)間での画像データの転送を想定している。病院10
1と病院102は、病院外部のネットワーク103に公
開されたファイルサーバ104、105を備える。ファ
イルサーバ104、105には、病院で診察治療を受け
た患者のカルテデータが登録されている。例えば、ファ
イルサーバ105には、ある患者のカルテ情報106が
登録されていると想定する。また、患者は、保健医療カ
ード107を所持している。この保健医療カード107
の記憶領域には、保健医療カードの内容108に示すよ
うな患者基本情報109、画像データ部110、カード
所有者ごとに定められたマスタ鍵115、およびカード
ID番号116の各項目が割り付けられている。すなわ
ち、氏名、生年月日等の患者基本情報109に加えて、
画像データ部110があるが、この画像データ部110
には、実際に画像データのある病院の名称、その住所、
画像が撮影された日付、撮影部位、撮影装置などの属性
情報111、ネットワーク103につながれたファイル
サーバを識別するアドレス情報112(これには、ファ
イル名も含まれる)、カルテ情報のメッセージダイジェ
スト(メッセージを凝縮したもの)である認証子11
3、およびワーク鍵114が含まれている。ここで、認
証子113とは、コードデータとして配列された各値の
うち、最初の値と次の値を演算し、その演算結果と次の
値を演算し、その演算結果と次の値を演算し、順次繰り
返し演算して、最終の演算結果を認証子113とするも
のである。
【0009】図2は、図1における医療従事者端末の外
観図である。図2に示すように、端末201にはカード
リーダ装置202が接続されており、患者が所有する保
健医療カードを挿入することにより、そのカードに情報
を読み書きすることができる。また、医療従事者端末2
01から病院内部のネットワークを介して図1に示した
ファイルサーバ104,105にアクセスすることが可
能である。なお、図2では、カードリーダ装置202は
1台だけが接続されているが、通常は2台接続されてい
ることによって、保健医療カードと後述の操作者カード
との間のやりとりの操作が容易となる。すなわち、カー
ドとカードのやりとりを行う場合、1台のカードリーダ
装置202だけのときには、交互にカードを出し入れす
る必要があるが、2台のカードリーダ装置202があれ
ば、挿入したままでやりとりができる。最初に、保健医
療カードに対するアクセス権について説明する。保健医
療カードでは、個人の病歴等が記述されているため、カ
ードに対して誰でもアクセスすることが可能であると、
個人のプライバシーが守れなくなる。そこで、アクセス
についてある程度制限を設ける必要性が生じる。通常、
保健医療カードに対しては、医師、看護婦、検査技師等
の職種によって扱うデータが特定される。従って、職種
ごとにアクセス権を設定することができるので、本実施
例でも、職種ごとにアクセスできるデータを異ならせ
る。また、保健医療カードに対してある種の操作を行う
場合には、最初に操作者の認証とそのアクセス権を検証
する必要がある。ここで、操作者の認証とは、該当する
保健医療カードに関係するグループに属しているか否か
(例えば、その患者の担当グループであるか否か)を識
別することであり、保健医療カードのアクセス権とは、
そのカードに登録されたデータにアクセスすることがで
きる資格者か否か(例えば、医師であるか否か)を識別
することである。操作者認証については種々の手法が存
在するが、以下では操作者が保健医療カードとは異なる
操作者カードを利用して行う方法について説明する。ま
ず、保健医療カードには、職種毎に定められたマスタ鍵
の全てを、カードアクセス者の全てに対して読み出すこ
とも書き込むこともできないシークレットゾーンに埋め
込まれている。所持者本人も、カードのどこに埋め込ま
れているかを知ることができない。例えば、医師につい
てはKD、看護婦についてはKN、放射線技師についてはKT
のように、職種毎に異なるマスタ鍵が保健医療カードに
埋め込まれている。次に、操作者カードについては、そ
の操作者の職種に応じたマスタ鍵のみがカードのシーク
レットゾーンに埋め込まれる。例えば、医師であるなら
ばマスタ鍵KDのみが医師の操作者カードに埋め込まれて
いる。
【0010】図3は、本発明の実施例における保健医療
カードとオペレーションカード(操作カード)との間の
操作者認証処理を示すシーケンスチャートである。保健
医療カードと操作者カードとの間に次のやりとりを行う
ことにより、お互いが正当なアクセス者であることを認
証する。なお、図2のカードリーダ装置202が2台接
続されているものとする。以下で説明する方法は、3パ
ス相手認証と呼ばれているよく知られた方法である。こ
こでは、操作者が医師であるものとして説明する。すな
わち、オペレーションカードのシークレットゾーンに
は、医師のアクセス権を検証するためのマスタ鍵KM
2,操作者の認証を行うためのマスタ鍵KDが埋め込ま
れているのに対して、保健医療カードのシークレットゾ
ーンには、職種毎のマスタ鍵KD,KN,KTとアクセ
ス権検証のためのマスタ鍵KM1が埋め込まれている。
なお、ここには示されていないが、保健医療カードのI
DであるIDc、操作者カードのIDであるIDoが、
それぞれのカードに埋め込まれている。 「操作者認証処理」 [ステップ301]保健医療カードは乱数RCを生成
し、これを操作者カードに送信する。 [ステップ302]操作者カードは乱数ROを生成し、
ステップ301で受け取ったRCと、操作者カードのI
DであるIDoを医師のマスタ鍵KDで暗号化し、医師を
表すフラグDocとともに保健医療カードに送信する。
なお、医師を表すフラグDocは、保健医療カード側に
対して確かに医師であることを知らせるためのフラグで
ある。
【0011】[ステップ303]保健医療カードはステ
ップ302で送られてきた電文から、医師を表すフラグ
Docによりマスタ鍵KDを選択し、暗号化された部分を
復号化してRC、RO、IDoを得る。復号化されたR
Cを先に生成したRCと比較して、ステップ302で電
文を送信してきた相手が医師であることを認証する。 [ステップ304]ステップ303で得られたRC、R
Oと保健医療カードのIDであるIDc、そして保健医
療カード内で生成したテンポラリ鍵Ktをマスタ鍵KDで
暗号化し、操作者カードに送信する。なお、テンポラリ
鍵Ktは、同じ鍵を用いてやりとりする場合に、セッシ
ョンごとに内容の異なる鍵Ktを送信することにより、
安全性を保持する。 [ステップ305]操作者カードはステップ304で送
られてきた電文を、マスタ鍵KDで復号化しRC、RO、
IDc、Ktを得る。復号化されたROを先に発生した
ROと比較し、ステップ303で電文を送信してきた相
手が正当な保健医療カードであることを認証する。この
手続きにより、保健医療カード側は操作者が医師である
ことを認証することができる。
【0012】次に、病院102において、ファイルサー
バ105に画像データ106を登録する処理について説
明する。図4は、医療従事者端末側と保健医療カード側
における登録処理のモジュール構成図であって、3通り
のパタンを図示したものである。パタン(1)は暗号化
のためのワーク鍵の生成403や暗号化処理402、な
らびに認証子の生成検証404をすべてカード側で行う
ものである。このパタンでは、暗号化処理402をカー
ドで行うことにより暗号鍵が一時的でもカードの外に漏
れることがないので安全性が極めて高い。パタン(2)
では、パタン(1)の暗号化処理402のみを医療従事
者端末側に移したものである。画像のような大容量デー
タの暗号化処理には、大きな計算処理能力が必要とされ
る。カード側のマイクロプロセッサは、通常その計算処
理能力に限界があるため、大きな計算処理能力が必要と
される処理を医療従事者端末側に移すことにより、カー
ド側の負担を軽くできる。しかし、カードで生成したワ
ーク鍵が医療従事者端末側に一時的に漏れるため、この
ワーク鍵を記録しておき、その後に不正を行うことが可
能であり、その結果、安全性が低くなる。パタン(3)
では、暗号化のためのワーク鍵の生成403や暗号化処
理402、ならびに認証子の生成検証404をすべて医
療従事者端末側で行うものである。このタイプでは、ワ
ーク鍵の生成から暗号処理まで全て端末側で行うため安
全性は低い。しかし、運用面での効率を高めることがで
きる。パタン(1)(2)のタイプでは、患者の保健医
療カードがない限り、暗号化のワーク鍵が生成できない
ので、暗号化処理ができない。従って、複数患者のデー
タを前もって暗号化しておくことができないため、デー
タ登録処理のスループットも上げることができない。一
方、パタン(3)のタイプでは、暗号化処理に必要なワ
ーク鍵は端末側で生成しており、保健医療カードはこの
ワーク鍵を登録するだけであるため、端末側で複数患者
データを一括処理しておくことが可能である。
【0013】図5は、図4における登録処理のためのデ
ータのフローを示した図である。画像データを図1のフ
ァイルサーバ105に登録するために、まず、患者の所
有する保健医療カード107を、図2の医療従事者の端
末201に接続されたカードリーダ202にセットす
る。 「登録処理」 [ステップ501]前述した「操作者認証処理」を図4
のカードアクセスマネージャ406を介し、アクセス権
チェックモジュール401で行うことにより操作者を認
証する。なお、アクセス権チェックモジュール401
は、操作者認証処理およびアクセス権チェックの両方を
行う。以下のステップ502以降は、操作者が医師、看
護婦、放射線技師でないと進めない。 [ステップ502]登録処理を行うことを図4のカード
アクセスマネージャ406が認識すると、記憶領域40
5中の画像データ部(図1の110)の領域内に、新規
登録の画像のための領域(斜線部分)を確保する。 [ステップ503]図4のカードにおけるワーク鍵生成
モジュール403は鍵暗号鍵Ksを生成し、カードに記
憶されたマスタ鍵(図1の115)により暗号化して、
ワーク鍵を生成する。 [ステップ504]ステップ503で生成したワーク鍵
を、ステップ502で確保した図4の記憶領域405の
ワーク鍵領域(図1の114)に登録する。 [ステップ505]図4のカードアクセスマネージャ4
06は、図2の画像データを端末201のディスク装置
(図5の右側部分)から読み込みマネージャ内のバッフ
ァに蓄積する。 [ステップ506]図4のカードアクセスマネージャ4
06は、ステップ505で読み込んだ画像データをカー
ド側の認証子生成検証モジュール404に送出する。図
4の認証子生成検証モジュール404では、画像データ
からあらかじめ定めたハッシュ関数により認証子を計算
し、ステップ502で確保した図4の記憶領域405の
認証子領域(図1の113)に登録する。
【0014】[ステップ507]図4のカードアクセス
マネージャ406は、ステップ505で読み込んだ画像
データをカード側の暗号処理モジュール402に送出す
る。図4の暗号処理モジュール402では、ステップ5
03で生成したワーク鍵により画像データを暗号化す
る。 [ステップ508]ステップ507で暗号化された画像
は、図4のカードからカードアクセスマネージャ406
を介して公開ファイルサーバ(公開サーバストレージ)
(図1の105)に登録される。この時、図4のカード
アクセスマネージャ406は、登録する画像のファイル
名image0を自動的に付与し、この名前で公開ファイルサ
ーバ(図1の105)に登録するとともに、ファイルサ
ーバ(図1の105)のアドレス情報とファイル名imag
e0をステップ502で確保した図4の記憶領域405の
アドレス部(図1の112)に登録する。 [ステップ509]図2の端末201のディスク装置
に、保健医療カード(図1の107)のIDであるID
cとステップ503で生成した鍵暗号鍵Ksとステップ
505で付与されたファイル名image0の組[IDc,K
s,image0]を保存する。このようにして、もし図1の
ファイルサーバ105に登録する画像データが複数存在
する場合には、ステップ502からステップ509まで
の処理を登録する画像データの個数分だけ繰り返す。上
記実施例を、図4(3)のタイプのカードシステムで実
装した場合には、ステップ509における鍵暗号鍵Ks
のかわりに、画像を暗号化する時に使った、ワーク鍵を
カードのマスタ鍵で暗号化したもの(つまり、K
M(KW)=KM(KM(KM)))を保存する必要がある。
【0015】次に、上記の登録処理の効果について述べ
る。図1において、少なくとも病院102のシステム管
理者は、ファイルサーバ105上のファイルを自由に読
み書きすることができると考えるのが普通である。従っ
て、病院がデータを都合のいいように書き換えてしまう
ことが考えられるので、データ改竄を何らかの方法で検
知する必要がある。従来より、データのメッセージダイ
ジェストをハッシュ関数で計算し、それをワーク鍵で暗
号化してファイルに添付しておく方法が良く取られる。
これにより、ワーク鍵を知らない限り、改竄の事実を隠
すようにファイルに細工をすることは不可能である。し
かしながら、図4(3)のように殆んどの処理を端末側
で行うカードシステムを採用すると、ワーク鍵が病院側
に知れてしまうので、ファイルに認証子を付加する方法
は有効ではない。すなわち、ファイルに認証子を付加す
るだけでは、ファイルサーバ105に登録した画像を改
竄して、所定のハッシュ関数で計算したメッセージダイ
ジェストを上記ワーク鍵で暗号化して改竄画像に付加
し、それをファイルサーバ105の登録画像と入れ替え
ればよいからである。一方、暗号処理の高速化を図った
り、画像登録処理のスループットを上げるために、図4
(3)のような構成を採用することが必要となる。そこ
で、本実施例のようにファイルサーバ105に登録する
画像の認証子をカード側に登録しておけば、図4(3)
のモデルを採用しても、認証子を改竄することは事実上
不可能であるため、病院側にワーク鍵が知れても全く問
題はない。
【0016】図5のステップ505では、画像を暗号化
して図1のファイルサーバ105に登録するが、このよ
うに暗号化する理由は、ファイルサーバ105がネット
ワーク103に公開されていることから、病院外部の第
3者にデータを盗聴されないようにするためである。次
に、患者が自分の保健医療カード107を紛失してしま
った時のことを考える。患者は、カードを紛失したこと
をカードを発行した機関に届け、再びカードを発行して
くれるよう要請する。ここで、カードを発行した第3者
機関は、初めにカードを発行した際のマスタ鍵を、カー
ドのIDとともに厳重に管理している。従って、カード
再発行の要請に対して、カードのIDとマスタ鍵は復元
することができる。患者は再発行された保健医療カード
を持参して病院102に行き、保健医療カードのIDで
あるIDcにもとづき、図5のステップ509で保存し
た[IDc,Ks,image0]から、ファイル名image0に関
する画像情報について、その認証子を除いたカード内情
報は復元することが可能である。この場合、第3者機関
のカード再発行処理は、厳しい運用規則の下で行われる
ことが必要である。何故ならば、第3者の他人にカード
を発行してしまうと、その第3者は上記データ復元処理
で他人のデータを収集することが可能になってしまうた
めである。従って、カードの再発行処理は、本人自から
が再発行を要請していることを十分確認した上で行われ
ることが必要である。
【0017】いま仮に、医療従事者以外の第3者が、あ
る患者になりすましてカードを偽造し、上記データ復元
処理によりデータを不正に入手することを試みたとす
る。この場合にも、データの機密性は確保できることを
説明する。まず、カードID番号はネットワーク上に漏
れることがあるので、何らかの方法で第3者が入手する
ことは可能である。従って、このIDを偽造カードに埋
め込み、上記データ復元処理のプロセスを踏めば、デー
タの所在であるファイル名と鍵暗号鍵であるKsが入手
できる。しかし、この不正入手したファイル名からデー
タを盗んだとしても、データの内容を見るためには、鍵
暗号鍵Ksと不正入手したIDに対応するマスタ鍵から
ワーク鍵を生成する必要がある。しかし、マスタ鍵はネ
ットワークに漏れないこと、また、第3者機関が厳重に
管理していることから、医療関係者以外が不正に入手す
ることは事実上不可能である。従って、医療従事者以外
の第3者が、データの内容を見ることは事実上不可能で
ある。図4(3)のタイプのカードシステムで実装した
場合にも、上述と同様な理由で、ワーク鍵をマスタ鍵で
暗号化したものとファイル名を不正に入手できたとして
も、ワーク鍵本体を知るためにマスタ鍵が必要である。
従って、データの内容を見ることは事実上不可能であ
る。なお、図4(1)のように暗号化処理モジュール4
02をカード内部に実装している場合には、図5のステ
ップ509で端末201のディスク装置に、保健医療カ
ード107のIDであるIDcと、ステップ503で生
成した鍵暗号鍵Ksと、ステップ505で付与されたフ
ァイル名image0、ステップ506で計算した認証子をス
テップ503で生成したワーク鍵で暗号化したKw(code)
の組[IDc,Ks, image0,Kw(code)]を保存してもよ
い。このときは、カード紛失時に認証子も復元すること
ができる。なお、codeは、認証子のコードを示す。
【0018】次に、図1の病院101に来院した患者に
対して、他病院での診察情報を検索する時の検索処理に
ついて説明する。図6は、本発明における検索処理につ
いてのフローを示した説明図である。ここでは、図1の
病院102にあるネットワーク103につながれたファ
イルサーバ105に保存されたファイルimage0を検索
し、病院101のファイルサーバ104にダウンロード
することを想定して説明する。検索処理に対しても図4
(1),(2),(3)のそれぞれのタイプが考えられ
るが、登録処理と同じようにそれぞれのタイプについて
安全性の面では違いがあるものの、処理自体は基本的に
変わらないので、ここでは図4(1)のタイプについて
説明する。まず、患者の所有する保健医療カード107
を、医療従事者の端末201に接続されたカードリーダ
202にセットする。 「検索処理」 [ステップ601]前述した「操作者認証処理」を、図
4のカードアクセスマネージャ406を介してアクセス
権チェックモジュール401で行うことにより、操作者
を認証する。次のステップ602以降は、操作者が医
師、放射線技師でないと進めない。 [ステップ602]図1の保健医療カード107の画像
データ部110に含まれる属性情報111が記憶された
領域のデータを、図2のカードリーダ202を介して読
み込み、医療従事者端末201の画面に表示する。
【0019】[ステップ603]表示された属性情報か
ら、たとえば日付、撮影部位などの情報をもとに端末操
作者が検索する画像を画面から選択する。 [ステップ604]ステップ603で選択された画像に
対して、図4のカードアクセスマネージャ406は画像
データ部(図1の110)に含まれるアドレス情報11
2を保健医療カード107から読み込む。そして、カー
ドアクセスマネージャ406は、読み込んだアドレス情
報をネットワークマネージャ407に送る。ここでは、
図1の病院102のファイルサーバ105のアドレスお
よびファイルimage0を選んだものとして、以下の説明を
進める。 [ステップ605]ステップ603で得たアドレス情報
をもとに、図4のネットワークマネージャ407はネッ
トワーク103上にあるファイルサーバ105にアクセ
スを試み、該当ファイルを図1の病院101にあるファ
イルサーバ104にダウンロードする。この場合、病院
102にあるファイルサーバ105のファイルimage0
が、ネットワーク103を通じて病院101にあるファ
イルサーバ104にダウンロードされることになる。 [ステップ606]図4のネットワークマネージャ40
7は、ステップ605でファイルサーバ104にダウン
ロードした画像データを図2の医療従事者端末201に
取り込んだ後、カードアクセスマネージャ406に送
り、カードアクセスマネージャ406は画像データをカ
ード内部の暗号処理モジュール402に送り込む。
【0020】[ステップ607]図4の暗号処理モジュ
ール402では、ステップ606で取り込んだ画像デー
タを、図1の画像データ部110に含まれる当該画像デ
ータのワーク鍵領域114に登録されたワーク鍵をもと
に復号処理を行う。そして、復号された画像を、認証子
生成検証モジュール404に送り込む。 [ステップ608]図4の認証子生成検証モジュール4
04では、上記復号処理で復号された画像データに対し
て、あらかじめ定められたハッシュ関数により認証子を
計算する。次に、この認証子と図1の画像データ部11
0に含まれる当該画像データの認証子領域113に登録
されたものとを比較する。比較した結果、同じと判定さ
れれば復号した画像データを端末に接続されたローカル
なディスクに吐き出す。本検索処理の効果について以下
説明する。まず、本検索処理により、ネットワーク上の
ファイルサーバにあるデータを、カードに記録されたア
ドレス情報からダウンロードすることができるので、あ
たかもカード内に記録されたデータのように入手するこ
とが可能になる。また、ステップ605では、図1のネ
ットワーク103を通じてデータをダウンロードする
が、データは登録処理によってあらかじめ暗号化されて
いるので盗聴の心配はない。また、ネットワーク上での
改竄も、ステップ608における認証子の検証により、
改竄が検知できる。従って、オフライン型の保健医療カ
ードと同様の安全性を確保することができる。
【0021】前実施例では、患者データをその発生源で
分散管理する方式で説明した。次の実施例では、必要に
応じて地域毎に設置されたサーバにデータを保管できる
方式について説明する。図7は、本発明の他の実施例を
示すカード処理システムの全体構成図であり、図8は、
図7におけるデータ登録処理のシーケンスチャートであ
る。図7に示すように、地域医療情報センタ701には
ファイルサーバ702が設けられており、このサーバ7
02に対して地域全体の医療機関からアクセスされるこ
とによって、患者データの共有化を図ることができる。
このファイルサーバ702は、各病院と独立であるが、
地域自治体の管理下におかれているため、内部の人間に
蓄積されたデータを盗聴されたり改竄されたりする可能
性があると仮定する。本実施例では、病院703がある
患者の画像データを地域医療情報センタ701のファイ
ルサーバ702に登録する処理について説明する。本実
施例では、カードシステムとしては図4(1)のタイプ
を採用しなければならない。以下、図8に従ってデータ
登録処理の手順を説明する。 「登録処理」 [ステップ801]図3で説明した「操作者認証処理」
を、図4のカードアクセスマネージャ406を介してア
クセス権チェックモジュール401で行うことにより、
病院703側にある患者の保健医療カード704と地域
医療情報センタ701のファイルサーバ702との認証
処理を行う。すなわち、図7の医療従事者端末における
カードアクセスマネージャ406が、カードリーダに挿
入されたカード704に対して操作者の認証処理を行
う。このとき、端末側より医療情報センタおよびカード
にテンポラリ鍵Ktを送出する。認証処理に失敗した場
合には、以下のステップには進めない。 [ステップ802]図5に示した「登録処理」のステッ
プ502からステップ507を実行する。これらの処理
ステップにより、暗号処理、認証子生成処理が行われ
て、ワーク鍵Kw,認証子code、データdataが
カード側へ、またデータをワーク鍵で暗号化したKw
(data)がセンタ側へ、それぞれ送出される。 [ステップ803]図4の端末におけるカードアクセス
マネージャ406は、地域医療情報センタ701のファ
イルサーバ702にファイル名を要求する。
【0022】[ステップ804]センタ701のファイ
ルサーバ702は、この要求に対して「操作者認証処
理」で得られたテンポラリ鍵Ktを暗号鍵としてファイ
ル名image0を暗号化し、Kt(image0)を図4のカード
アクセスマネージャ406を経由して端末706の保健
医療カード704に送る。暗号化されたファイル名Kt
(image0)を受信した保健医療カード704は、「操作
者認証処理」でKtを知っているので、暗号化されたフ
ァイル名Kt(image0)を復号して元のファイル名imag
e0を知る。そして、ファイルサーバ702のアドレス情
報と得られたファイル名image0を、ステップ502で確
保した図4の記憶領域405のアドレス部(図1の11
2)に登録する。 [ステップ805]図5のステップ506で生成した認
証子をステップ503で生成したワーク鍵Kwで暗号化
し、さらにテンポラリ鍵Ktにより暗号化Kt(Kw
(code))して、カード704からカードアクセス
マネージャ406に送る。そして、Kt(Kw(cod
e))と暗号化画像をネットワークマネージャ407を
介してセンタ701のファイルサーバ702に送信す
る。ファイルサーバ702に送られてきた暗号化画像
は、上記ファイルサーバ702で発行されたファイル名
image0でファイルサーバ702に登録される。同時に、
暗号化された認証子Kw(code),暗号化画像Kw
(data)もファイルに蓄積される。 [ステップ806]保健医療カード704は、鍵暗号鍵
Ksを病院703の保護されたディスク装置706に保
健医療カードのIDであるIDcとともに保存してお
く。 [ステップ807]ファイルサーバ702は、図3に示
す「操作者認証処理」のステップ305で得られた保健
医療カード704のIDであるIDcとともに、ステッ
プ803で得たファイル名image0、ステップ805で得
たKt(Kw(code))をKtで復号化したKw(c
ode)を保存しておく。
【0023】次に、図7の実施例の効果を説明する。本
実施例を採用することにより、患者データは地域保健医
療情報センタ701で一括管理されているため、データ
を登録した病院、あるいはその病院の医師が証拠隠滅の
ためにデータを消去してしまうことが不可能となる。ま
た、本実施例のような集中管理のメリットとしては、各
病院のファイルサーバの記憶容量を削減することができ
る等が挙げられる。一方、地域保健医療情報センタ70
1には、地域住民の患者データが集中するので、プライ
バシー保護の観点からあまり好ましくない。また、上記
の前提で述べたように、地域医療情報センタの内部の人
間がファイルサーバに蓄積されたデータを盗聴したり改
竄したりする可能性もある。しかし、地域保健医療情報
センタ701のファイルサーバ702のデータは、患者
の保健医療カード704に保存されたワーク鍵で暗号化
されているため、ワーク鍵を入手しない限りそのデータ
の内容を見ることはできない。また、改竄したとして
も、保健医療カードの認証子を検証することにより、そ
の改竄を検知することができる。
【0024】ここでは、患者が自分の保健医療カードを
紛失した場合を想定し、その対策方法を説明する。この
場合には、図7の地域医療情報センタ701と病院70
3、そして患者が合意することによって、病院703に
おける患者のデータを復元することができる。患者は、
カードを紛失したことをカードを発行した機関に届け、
カードの再発行を要請する。前実施例と同じように、カ
ードを発行した機関は、初めにカードを発行した際のマ
スタ鍵を、カードのIDとともに厳重に管理している。
従って、カード再発行の要請に対しても、カードのID
とマスタ鍵は復元することができる。図8のステップ8
07で、図7のファイルサーバ702は、保健医療カー
ドのIDであるIDcとともにファイルサーバ702に
登録するデータのファイル名(image0)とワーク鍵Kw
で暗号化された認証子(Kw(code))を保存しておくの
で、このIDをもとにしてファイル名とワーク鍵Kwで
暗号化された認証子をファイルサーバ702から収集し
てくることが可能である。また、ステップ806で、図
7のファイルサーバ705は、保健医療カードのIDで
あるIDcとともに鍵暗号鍵Ksを保存しておくので、
このIDをもとにして鍵暗号鍵Ksをファイルサーバ7
05から収集してくることが可能である。従って、新し
く発行された保健医療カードのマスタ鍵Msとファイル
サーバ705から集めた鍵暗号鍵Ksにより、全てのワ
ーク鍵を復元することができるので、暗号化された認証
子(Kw(code))も復元することが可能になる。
【0025】前の実施例と同じように、医療関係者を含
む第3者がカードを偽造し、本人になりすましてデータ
を不正入手したり、その内容を盗み見ることは事実上不
可能である。何故ならば、本実施例では、カードシステ
ムとして図4(1)を採用しているので、医療関係者で
さえもマスタ鍵を知ることはできない。そして、マスタ
鍵がない限りワーク鍵を知ることもできないことから、
地域医療情報センタ701に登録されたデータを復号す
ることができないためである。なお、ステップ806で
は、病院703の保護されたディスク装置706に、ワ
ーク鍵を生成するのに使用した鍵暗号鍵Ksを保存して
いるが、これとは別の場所にカードのIDとともにワー
ク鍵を保存しておくことを考える。この場合、病院側が
ワーク鍵を知っていてもデータの秘密が漏れる必配のな
いことは、前述の通りである。すなわち、前の実施例の
登録処理の効果において説明したように、認証子をカー
ドに登録するため、データが改竄された場合には、認証
子を用いて検証すれば確実にこれを検知できるためであ
る。ただし、上記カード復元のプロセスにおいて、この
ワーク鍵を絶対にカード紛失者(カード偽造者になり得
る者)に知らせてはならないことに注意すべきである。
上記のように別の場所にワーク鍵を保存する形態をとる
メリットは、ある緊急事態、例えば患者がカードを所有
していないときに事故に遭遇した場合などに、患者の過
去の医療情報が知りたいとき、患者の同意を得られれば
カードがなくとも、地域医療情報センタ701は患者の
IDとともに緊急を知らされる情報を含んだ電文を全国
に同報通信しワーク鍵を病院から入手して患者情報を復
号し、他の病院に緊急にこのデータを送信することが可
能になることである。
【0026】前述のように、オフライン型保健医療カー
ドでは、カードに記録されたデータを見たり、データに
ある種の操作を加えるためには、患者が保健医療カード
を医師などに渡してデータの権利を委譲することが必須
事項となる。従って、カードに対するアクセス管理がし
っかりしていれば、安全性はかなり強固であると言え
る。これに対して、保健医療カードシステムをオンライ
ンデータベースと連携させると、患者データの一部がネ
ットワーク上のデータベースに蓄積されることになるた
め、どうしても盗聴、改竄などの脅威にさらされること
になる。また、オンラインデータベースと連携させる
と、通常は正当なシステム管理者やユーザが何らかの原
因により突然に不正者になった場合には、データを不正
に操作することが可能になる。本発明においては、オン
ラインデータベースと連携させることにより生じる上述
のような特有な問題を解消することができるので、従来
のオフライン型保健医療カードと同じ安全性を、オンラ
インデータベースと連携した保健医療カードシステムで
も実現可能となる。そして、オフライン型保健医療カー
ドでは実現が難しい、カードを紛失したときにその内容
を復元する方法を実現することができる。
【0027】
【発明の効果】以上説明したように、本発明によれば、
従来のオフライン型保健医療カードと同じ安全性を、オ
ンラインデータベースと連携した保健医療カードシステ
ムでも実現することができるとともに、カードを紛失し
たときにも、オンラインデータベースから安全にカード
の内容を復元することができる。
【図面の簡単な説明】
【図1】本発明の一実施例を示す保健医療カード処理シ
ステム構成およびカードの内容を示す図である。
【図2】図1における医療従事者端末とカードリーダの
概観図である。
【図3】本発明の一実施例を示す保健医療カードとオペ
レーションカード間の認証処理のシーケンスチャートで
ある。
【図4】本発明の一実施例を示すカード内部と医療従事
者端末のモジュール構成図である。
【図5】本発明の一実施例を示すデータ登録処理のフロ
ーを説明する図である。
【図6】本発明の他の実施例を示すデータ検索処理のフ
ローを説明する図である。
【図7】本発明の他の実施例を示す保健医療カードシス
テムの構成図である。
【図8】図7におけるデータ登録処理のシーケンスチャ
ートである。
【符号の説明】
101:病院、102:病院、103:ネットワーク、
104,105:ファイルサーバ、106:電子カル
テ、107:保健医療カード、108:保健医療カード
の内容、109:患者基本情報、110:画像データ
部、111:属性情報、112:アドレス、113:認
証子、114:ワーク鍵、115:マスタ鍵、116:
ID、201:医療従事者端末、202:カードリー
ダ、401:アクセス権チェックモジュール、402:
暗号処理モジュール、403:ワーク鍵生成モジュー
ル、404:認証子生成検証モジュール、405:記憶
領域、406:カードアクセスマネージャ、407:ネ
ットワークマネージャ、501:相手認証処理、50
7:暗号処理、 502:カード内記憶領域の確保処理、503:ワーク
鍵生成処理、504:ワーク鍵登録処理、505:デー
タのロード、509:ログ記録処理、 506:認証子生成処理、601:相手認証処理、60
3:データ選択処理、508:公開サーバへのデータ登
録処理とカードへのファイル名の登録処理、602:カ
ード内記憶内容の表示、806:病院におけるログ記録
処理、604:データアドレスをネットワークマネジャ
ーに通知、605:データのダウンロード、607:暗
号処理、702:ファイルサーバ、 701:地域医療情報センタ、703:病院、704:
保健医療カード、606:カード内部の暗号処理モジュ
ールにダウンロードしたデータ送信、807:地域医療
情報センタにおけるログ記録処理、705:ファイルサ
ーバ、 608:認証子検証処理およびローカルディスク上への
データの送信、706:保護されたディスク装置、80
1:相手認証処理、802:暗号処理、認証子生成処
理、803:ファイル名の要求、804:ファイル名の
付与とカードへの送信、805:画像および鍵暗号鍵に
より暗号化された認証子の地域医療情報センターファイ
ルサーバへの送信。

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】複数の医療機関に分散設置された通信端末
    装置と、該通信端末装置との間で情報の授受を行う保健
    医療カードと、該通信端末装置を結合する通信網と、該
    通信網に接続され、上記複数の医療機関によって共有さ
    れる複数のデータベースとを有する保健医療カードとオ
    ンラインデータベースの連携方法において、 上記保健医療カードには、上記データベースの少なくと
    も一つに登録されるデータごとに設定され、該データを
    登録したデ−タベ−スを通信網において特定するネット
    ワークアドレス情報と、 該データベース内の当該データの詳細な所在を特定する
    ファイル名情報と、 上記データベースに登録したデータから予め定められた
    一方向性ハッシュ関数により計算した数値の認証子と、 上記データベースに登録するデータに施す暗号処理に使
    用したワーク鍵情報とを格納することを特徴とする保健
    医療カードとオンラインデータベースとの連携方法。
  2. 【請求項2】請求項1に記載の保健医療カードとオンラ
    インデータベースの連携方法において、 前記複数のデータベースの少なくとも一つには、当該デ
    ータが格納されている保健医療カードごとに一意に付与
    されたID番号と、 当該データを暗号化するために使用したワーク鍵情報を
    該カードのマスタ鍵情報で暗号化した情報、あるいは該
    マスタ鍵情報を暗号化して該ワーク鍵情報を生成するた
    めに使用した鍵暗号鍵情報と、 該データベース内の当該データの詳細な所在を特定する
    ファイル名情報とを記録しておくことを特徴とする保健
    医療カードとオンラインデータベースの連携方法。
  3. 【請求項3】請求項1または2に記載の保健医療カード
    とオンラインデータベースの連携方法において、 データ暗号化のための前記ワーク鍵情報の生成処理、デ
    ータの暗号化処理、および認証子の生成・検証処理を上
    記保健医療カード内で行うことなく、全て端末通信装置
    で行う場合には、 前記複数のデータベースの少なくとも一つには、当該デ
    ータが格納されている保健医療カードごとに一意に付与
    されたID番号と、 当該データを暗号化するために使用したワーク鍵情報を
    該カードのマスタ鍵情報で暗号化した情報と、 該データベース内の当該データの詳細な所在を特定する
    ファイル名情報と を記録しておくことを特徴とする保健医療カードとオン
    ラインデータベースの連携方法。
  4. 【請求項4】請求項1に記載の保健医療カードとオンラ
    インデータベースの連携方法において、 前記複数のデータベースの少なくとも一つに登録された
    データは、ある医療機関からの検索要求により、当該デ
    ータが登録されているデ−タベ−スを通信網において特
    定するネットワークアドレス情報と、 該データベース内の当該データの詳細な所在を特定する
    ファイル名情報とに基づいて、該データベースから通信
    網を介し検索要求を行った医療機関の通信端末装置に転
    送されることを特徴とする保健医療カードとオンライン
    データベースの連携方法。
  5. 【請求項5】請求項1または3に記載の保健医療カード
    とオンラインデータベースの連携方法において、 前記検索要求を行った医療機関は、登録されたデータベ
    ースから転送してきた当該データを受け取ると、 当該データに対して、データベース登録時に施され、暗
    号処理に用いられたワーク鍵情報を予めカードから得て
    おき、 該ワーク鍵情報を基に復号処理を施すことを特徴とする
    保健医療カードとオンラインデータベースとの連携方
    法。
  6. 【請求項6】請求項1,3または4に記載の保健医療カ
    ードとオンラインデータベースの連携方法において、 前記検索要求を行った医療機関は、請求項4に記載の復
    号処理を行ったデータに対して、予め定められた一方向
    性ハッシュ関数により認証子を計算し、 該認証子と保健医療カード登録されている認証子とを比
    較し、 比較の結果、同一と判定されたときには、上記復号処理
    を行ったデータは正しいものとして該医療機関のメモリ
    に格納することを特徴とする保健医療カードとオンライ
    ンデータベースの連携方法。
  7. 【請求項7】複数の医療機関に分散設置された通信端末
    装置と、該通信端末装置との間で情報の授受を行う保健
    医療カードと、該通信端末装置を結合する通信網と、該
    通信網に接続され、上記複数の医療機関によって共有さ
    れる少なくとも一つのデータベースとを有する保健医療
    カードとオンラインデータベースの連携方法において、 当該保健医療カードの媒体は、上記データベースと通信
    網を介して接続し、該データベースの一つに登録する各
    データごとに、該データベース内の当該データの詳細な
    所在を特定するファイル名情報を入手して、自媒体内に
    格納するが、 その際に、該ファイル名情報を該保健医療カードと該デ
    ータベースとが共有する鍵情報により暗号化して通信す
    ることを特徴とする保健医療カードとオンラインデータ
    ベースとの連携方法。
  8. 【請求項8】請求項7に記載の保健医療カードとオンラ
    インデータベースの連携方法において、 前記保健医療カードと当該データベースとが共有する鍵
    情報により暗号化して通信する際の暗号処理は、該保健
    医療カードの内部で行うことを特徴する保健医療カード
    とオンラインデータベースとの連携方法。
  9. 【請求項9】請求項7に記載の保健医療カードとオンラ
    インデータベースの連携方法において、 前記複数の医療機関によって共有される少なくとも一つ
    のデータベースには、保健医療カードごとに一意に付与
    されたID番号とともに当該データの詳細な所在を特定
    するファイル名情報を記録しておき、 上記共有されるデータベースとは異なる各医療機関等の
    データベースには、該共有データベースの一つに登録さ
    れるデータに施す暗号処理に必要な少なくとも2つの鍵
    情報のうちの一つとともに、上記保健医療カードごとに
    一意に付与されたID番号を記録しておくことを特徴と
    する保健医療カードとオンラインデータベースとの連携
    方法。
  10. 【請求項10】請求項9に記載の保健医療カードとオン
    ラインデータベースの連携方法において、 前記共有されるデータベースとは異なる各医療機関等の
    データベースには、該共有データベースの一つに登録さ
    れるデータに施す暗号処理に使用したワーク鍵情報とと
    もに、上記保健医療カードごとに一意に付与されたID
    番号を記録しておくことを特徴とする保健医療カードと
    オンラインデータベースとの連携方法。
JP9111796A 1996-04-12 1996-04-12 保健医療カードとオンラインデータベースの連携方法 Pending JPH09282393A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP9111796A JPH09282393A (ja) 1996-04-12 1996-04-12 保健医療カードとオンラインデータベースの連携方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP9111796A JPH09282393A (ja) 1996-04-12 1996-04-12 保健医療カードとオンラインデータベースの連携方法

Publications (1)

Publication Number Publication Date
JPH09282393A true JPH09282393A (ja) 1997-10-31

Family

ID=14017585

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9111796A Pending JPH09282393A (ja) 1996-04-12 1996-04-12 保健医療カードとオンラインデータベースの連携方法

Country Status (1)

Country Link
JP (1) JPH09282393A (ja)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1077415A1 (en) * 1999-08-19 2001-02-21 Humetrix, Inc. System and method for remotely accessing user data records
JP2001175795A (ja) * 1999-12-22 2001-06-29 Nec Corp 診療録作成者認証システム、診療録記憶装置、作成者認証装置および診療録作成者認証方法
KR20010089056A (ko) * 2000-03-21 2001-09-29 이기한 디지털 전자카드를 이용한 의료정보 시스템
JP2001325569A (ja) * 2000-03-08 2001-11-22 R & D Associates:Kk 電子錠、電子錠システム、及び電子錠が設けられた被施錠物の利用サービス提供方法
JP2001350848A (ja) * 2000-06-08 2001-12-21 Ge Yokogawa Medical Systems Ltd 医用情報提供方法、医用情報提供システム、送信端末、受信端末、仲介端末、配信端末および記憶媒体
JP2001357130A (ja) * 2000-06-13 2001-12-26 Hitachi Ltd 診療情報管理システム
JP2004505389A (ja) * 2000-07-27 2004-02-19 レール・リキード−ソシエテ・アノニム・ア・ディレクトワール・エ・コンセイユ・ドゥ・スールベイランス・プール・レテュード・エ・レクスプロワタシオン・デ・プロセデ・ジョルジュ・クロード 目的物に関するデータを供給する設備
KR100425370B1 (ko) * 2000-12-28 2004-03-30 광주과학기술원 인터넷 상에서 개인의료정보 관리 및 처방전 전달 방법
AU776068B2 (en) * 2001-04-30 2004-08-26 Smart Card Products Pty Ltd Patient medical data recordal system
WO2006018890A1 (ja) * 2004-08-20 2006-02-23 Mitsubishi Denki Kabushiki Kaisha メモリカード、データ交換システム及びデータ交換方法
JP2006260521A (ja) * 2005-02-18 2006-09-28 Fuji Xerox Co Ltd ドキュメント管理システム、情報処理装置、および方法、並びにコンピュータ・プログラム
JP2007080289A (ja) * 2006-11-15 2007-03-29 Miyata Tadanori 医療データ管理システム
CN1308862C (zh) * 2001-02-02 2007-04-04 瑞午电讯股份有限公司 使用信息通讯网络的医疗保险管理***
JP2009211727A (ja) * 2009-06-22 2009-09-17 Sony Corp コンテンツ利用デバイス、および情報処理方法
US7996335B2 (en) 2002-10-09 2011-08-09 Sony Corporation Information processing device, contents distribution server, license server, and method and computer program
JP2011524564A (ja) * 2008-06-04 2011-09-01 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療データを処理する方法及びシステム
JP2011208493A (ja) * 2000-03-08 2011-10-20 R & D Associates:Kk 電子錠、電子錠システム、及び電子錠が設けられた被施錠物の利用サービス提供方法
CN113393925A (zh) * 2021-05-11 2021-09-14 福建升腾资讯有限公司 一种医疗卡信息统一化***
WO2023188855A1 (ja) * 2022-03-30 2023-10-05 国立研究開発法人情報通信研究機構 暗号鍵共有システム

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1077415A1 (en) * 1999-08-19 2001-02-21 Humetrix, Inc. System and method for remotely accessing user data records
JP2001175795A (ja) * 1999-12-22 2001-06-29 Nec Corp 診療録作成者認証システム、診療録記憶装置、作成者認証装置および診療録作成者認証方法
JP2011208493A (ja) * 2000-03-08 2011-10-20 R & D Associates:Kk 電子錠、電子錠システム、及び電子錠が設けられた被施錠物の利用サービス提供方法
JP2001325569A (ja) * 2000-03-08 2001-11-22 R & D Associates:Kk 電子錠、電子錠システム、及び電子錠が設けられた被施錠物の利用サービス提供方法
KR20010089056A (ko) * 2000-03-21 2001-09-29 이기한 디지털 전자카드를 이용한 의료정보 시스템
JP2001350848A (ja) * 2000-06-08 2001-12-21 Ge Yokogawa Medical Systems Ltd 医用情報提供方法、医用情報提供システム、送信端末、受信端末、仲介端末、配信端末および記憶媒体
JP4656467B2 (ja) * 2000-06-08 2011-03-23 Geヘルスケア・ジャパン株式会社 医用情報提供システム、送信端末、受信端末および仲介端末
JP2001357130A (ja) * 2000-06-13 2001-12-26 Hitachi Ltd 診療情報管理システム
JP2004505389A (ja) * 2000-07-27 2004-02-19 レール・リキード−ソシエテ・アノニム・ア・ディレクトワール・エ・コンセイユ・ドゥ・スールベイランス・プール・レテュード・エ・レクスプロワタシオン・デ・プロセデ・ジョルジュ・クロード 目的物に関するデータを供給する設備
KR100425370B1 (ko) * 2000-12-28 2004-03-30 광주과학기술원 인터넷 상에서 개인의료정보 관리 및 처방전 전달 방법
CN1308862C (zh) * 2001-02-02 2007-04-04 瑞午电讯股份有限公司 使用信息通讯网络的医疗保险管理***
AU776068B2 (en) * 2001-04-30 2004-08-26 Smart Card Products Pty Ltd Patient medical data recordal system
US7996335B2 (en) 2002-10-09 2011-08-09 Sony Corporation Information processing device, contents distribution server, license server, and method and computer program
CN100447764C (zh) * 2004-08-20 2008-12-31 三菱电机株式会社 存储卡、数据交换***和数据交换方法
JPWO2006018890A1 (ja) * 2004-08-20 2008-05-01 三菱電機株式会社 メモリカード、データ交換システム及びデータ交換方法
US8074266B2 (en) 2004-08-20 2011-12-06 Mitsubishi Electric Corporation Memory card, data exchange system, and data exchange method
JP4485528B2 (ja) * 2004-08-20 2010-06-23 三菱電機株式会社 メモリカード、データ交換システム及びデータ交換方法
WO2006018890A1 (ja) * 2004-08-20 2006-02-23 Mitsubishi Denki Kabushiki Kaisha メモリカード、データ交換システム及びデータ交換方法
JP2006260521A (ja) * 2005-02-18 2006-09-28 Fuji Xerox Co Ltd ドキュメント管理システム、情報処理装置、および方法、並びにコンピュータ・プログラム
JP2007080289A (ja) * 2006-11-15 2007-03-29 Miyata Tadanori 医療データ管理システム
JP4577523B2 (ja) * 2006-11-15 2010-11-10 宮田 忠宣 医療データ管理システム
JP2011524564A (ja) * 2008-06-04 2011-09-01 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療データを処理する方法及びシステム
US9881128B2 (en) 2008-06-04 2018-01-30 Koninklijke Philips N.V. Method and a system of healthcare data handling
JP4544366B2 (ja) * 2009-06-22 2010-09-15 ソニー株式会社 コンテンツ利用デバイス、および情報処理方法
JP2009211727A (ja) * 2009-06-22 2009-09-17 Sony Corp コンテンツ利用デバイス、および情報処理方法
CN113393925A (zh) * 2021-05-11 2021-09-14 福建升腾资讯有限公司 一种医疗卡信息统一化***
CN113393925B (zh) * 2021-05-11 2022-08-16 福建升腾资讯有限公司 一种医疗卡信息统一化***
WO2023188855A1 (ja) * 2022-03-30 2023-10-05 国立研究開発法人情報通信研究機構 暗号鍵共有システム

Similar Documents

Publication Publication Date Title
EP0869460B1 (en) Method and apparatus for storing and controlling access to information
JPH09282393A (ja) 保健医療カードとオンラインデータベースの連携方法
Flores Zuniga et al. Biometrics for electronic health records
US8347101B2 (en) System and method for anonymously indexing electronic record systems
JP4519963B2 (ja) 生体情報の暗号化・復号化方法および装置並びに、生体情報を利用した本人認証システム
US8607332B2 (en) System and method for the anonymisation of sensitive personal data and method of obtaining such data
WO2020000825A1 (zh) 医疗数据处理方法、***、计算机设备及可读存储介质
CN111261250B (zh) 一种基于区块链技术的医疗数据共享方法、装置、电子设备及存储介质
JP4747749B2 (ja) ドキュメント管理システムおよび情報処理装置
CN102037474B (zh) 用于对数据项的安全访问的数据项的基于身份的加密
US20040054657A1 (en) Medical information management system
JP2005505863A (ja) 患者データのデータ処理システム
CN112017761B (zh) 一种电子医学影像中嵌入医疗信息的***及方法
US20060265328A1 (en) Electronic information management system
JP2014508456A (ja) 緊急時の個人健康記録へのセキュアなアクセス
US20140156988A1 (en) Medical emergency-response data management mechanism on wide-area distributed medical information network
US20060271482A1 (en) Method, server and program for secure data exchange
Rubio et al. Analysis of ISO/IEEE 11073 built-in security and its potential IHE-based extensibility
JPH10111897A (ja) 診療情報共有化方法
JP2005242740A (ja) 情報セキュリティシステムのプログラム、記憶媒体、及び情報処理装置
CN112398920A (zh) 一种基于区块链技术的医疗隐私数据保护方法
CN111274592A (zh) 一种基于区块链和生物特征的电子病历***
CN109067702B (zh) 一种实名制网络身份生成和保护的方法
JP2000331101A (ja) 医療関連情報管理システム及びその方法
CN115547441B (zh) 一种基于个人健康医疗数据的安全获取方法及***