知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5770533
(24)【登録日】2015年7月3日
(45)【発行日】2015年8月26日
(54)【発明の名称】個人情報管理サーバ、プログラムおよびその方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20150806BHJP
G06Q 50/22 20120101ALI20150806BHJP
G06Q 50/24 20120101ALI20150806BHJP
【FI】
G06F21/62 345
G06Q50/22 120
G06Q50/24 110
【請求項の数】9
【全頁数】23
(21)【出願番号】特願2011-119623(P2011-119623)
(22)【出願日】2011年5月27日
(65)【公開番号】特開2012-248027(P2012-248027A)
(43)【公開日】2012年12月13日
【審査請求日】2014年5月21日
(73)【特許権者】
【識別番号】501263809
【氏名又は名称】株式会社コンピュータシステム研究所
(74)【代理人】
【識別番号】100113745
【弁理士】
【氏名又は名称】藤原 英治
(72)【発明者】
【氏名】長尾 良幸
(72)【発明者】
【氏名】佐藤 昌康
(72)【発明者】
【氏名】山崎 公司
(72)【発明者】
【氏名】杉山 淳
【審査官】
宮司 卓佳
(56)【参考文献】
【文献】
国際公開第2010/147077(WO,A1)
【文献】
特開2008−070167(JP,A)
【文献】
特表2008−510983(JP,A)
【文献】
特開2008−092547(JP,A)
【文献】
特開2001−033537(JP,A)
【文献】
特開2001−209742(JP,A)
【文献】
特開2002−092186(JP,A)
【文献】
特開2009−122912(JP,A)
【文献】
特開2004−038607(JP,A)
【文献】
特開2005−243009(JP,A)
【文献】
特開2007−072693(JP,A)
【文献】
特開2011−039674(JP,A)
【文献】
特開2011−028330(JP,A)
【文献】
特開2001−249941(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00−21/88
G06Q 50/22
G06Q 50/24
(57)【特許請求の範囲】
【請求項1】
医療および介護の少なくとも一方の個人情報へのアクセスを情報端末に提供する個人情報管理サーバであって、
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の所在地とを関連付けて格納する記憶部と、
前記情報端末から、前記個人情報へのアクセス要求と、前記情報端末の位置情報とを取得する取得部と、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近した場合、該個人情報の少なくとも一部へのアクセスを許可する、アクセス許可部と、
前記アクセス許可部により許可された場合、前記アクセス要求に基づき、前記情報端末に、許可された個人情報へのアクセスを提供するアクセス提供部と、
を有し、
前記アクセス許可部が、
前前記取得部により取得された前記情報端末の位置情報に示される場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に近くなるほど、アクセス許可される個人情報の範囲を増大させ、該所在地から離れるほど、該アクセス許可される個人情報の範囲を減少させるように制御し、
前期アクセス提供部が、
前記アクセス許可部により許可された場合、前記アクセス要求に基づき、前記アクセス許可部により制御された許可範囲で個人情報へのアクセスを前記情報端末に提供する、
ことを特徴とする個人情報管理サーバ。
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の所在地とを関連付けて格納する記憶部と、
前記情報端末から、前記個人情報へのアクセス要求と、前記情報端末の位置情報とを取得する取得部と、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近した場合、該個人情報の少なくとも一部へのアクセスを許可する、アクセス許可部と、
前記アクセス許可部により許可された場合、前記アクセス要求に基づき、前記情報端末に、許可された個人情報へのアクセスを提供するアクセス提供部と、
を有し、
前記アクセス許可部が、
前前記取得部により取得された前記情報端末の位置情報に示される場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に近くなるほど、アクセス許可される個人情報の範囲を増大させ、該所在地から離れるほど、該アクセス許可される個人情報の範囲を減少させるように制御し、
前期アクセス提供部が、
前記アクセス許可部により許可された場合、前記アクセス要求に基づき、前記アクセス許可部により制御された許可範囲で個人情報へのアクセスを前記情報端末に提供する、
ことを特徴とする個人情報管理サーバ。
【請求項2】
請求項1に記載の個人情報管理サーバにおいて、
前記取得部が、
前記情報端末に外部接続されたGPS装置により測位された位置情報が暗号化された後で、該情報端末に取り込まれたものを、前記情報端末により測位された位置情報として取得する、
ことを特徴とする個人情報管理サーバ。
前記取得部が、
前記情報端末に外部接続されたGPS装置により測位された位置情報が暗号化された後で、該情報端末に取り込まれたものを、前記情報端末により測位された位置情報として取得する、
ことを特徴とする個人情報管理サーバ。
【請求項3】
請求項1または2に記載の個人情報管理サーバにおいて、
前記記憶部が、
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の携帯端末へアクセスするためのアクセス識別子とをさらに関連付けて格納し、
前記アクセス許可部が、アクセス許可を判定する前に、
前記アクセス識別子を用いて、個人情報の帰属すべき人物の携帯端末から所在地情報を取得するように前記取得部を制御し、
前記取得した携帯端末の所在地情報で、前記記憶部に格納されている、当該個人情報の帰属すべき人物の所在地を置換するように、該記憶部を制御する、
ことを特徴とする個人情報管理サーバ。
前記記憶部が、
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の携帯端末へアクセスするためのアクセス識別子とをさらに関連付けて格納し、
前記アクセス許可部が、アクセス許可を判定する前に、
前記アクセス識別子を用いて、個人情報の帰属すべき人物の携帯端末から所在地情報を取得するように前記取得部を制御し、
前記取得した携帯端末の所在地情報で、前記記憶部に格納されている、当該個人情報の帰属すべき人物の所在地を置換するように、該記憶部を制御する、
ことを特徴とする個人情報管理サーバ。
【請求項4】
請求項1〜3のいずれか1項に記載の個人情報管理サーバにおいて、
前記記憶部が、
前記情報端末のユーザと、該ユーザに設定されたアクセス許可レベルとを関連付けてさらに格納し、
前記アクセス許可部が、
前記情報端末のユーザに設定されたアクセス許可レベルに応じて、個人情報の許可範囲をさらに制御する、
ことを特徴とする個人情報管理サーバ。
前記記憶部が、
前記情報端末のユーザと、該ユーザに設定されたアクセス許可レベルとを関連付けてさらに格納し、
前記アクセス許可部が、
前記情報端末のユーザに設定されたアクセス許可レベルに応じて、個人情報の許可範囲をさらに制御する、
ことを特徴とする個人情報管理サーバ。
【請求項5】
請求項1〜4のいずれか1項に記載の個人情報管理サーバにおいて、
前記記憶部に格納されている前記医療および介護の少なくとも一方の個人情報が、
当該個人情報の帰属すべき人物の生体情報を含み、
前記取得部が、
前記情報端末から、該情報端末に設けられた生体情報取得部により取得された当該個人情報の帰属すべき人物の生体情報をさらに取得し、
前記アクセス許可部が、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近し、かつ、
前記取得部により取得された生体情報と、前記記憶部に格納された生体情報とが一致する場合、該個人情報の少なくとも一部へのアクセスを許可する、
ことを特徴とする個人情報管理サーバ。
前記記憶部に格納されている前記医療および介護の少なくとも一方の個人情報が、
当該個人情報の帰属すべき人物の生体情報を含み、
前記取得部が、
前記情報端末から、該情報端末に設けられた生体情報取得部により取得された当該個人情報の帰属すべき人物の生体情報をさらに取得し、
前記アクセス許可部が、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近し、かつ、
前記取得部により取得された生体情報と、前記記憶部に格納された生体情報とが一致する場合、該個人情報の少なくとも一部へのアクセスを許可する、
ことを特徴とする個人情報管理サーバ。
【請求項6】
請求項1〜4のいずれか1項に記載の個人情報管理サーバにおいて、
前記記憶部に格納されている前記医療および介護の少なくとも一方の個人情報が、
当該個人情報の帰属すべき人物の生体情報を含み、
前記取得部が、
携帯端末から、該携帯端末に設けられた生体情報取得部により取得された当該個人情報の帰属すべき人物の生体情報をさらに取得し、
前記アクセス許可部が、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近し、かつ、
前記取得部により取得された生体情報と、前記記憶部に格納された生体情報とが一致する場合、該個人情報の少なくとも一部へのアクセスを許可する、
ことを特徴とする個人情報管理サーバ。
前記記憶部に格納されている前記医療および介護の少なくとも一方の個人情報が、
当該個人情報の帰属すべき人物の生体情報を含み、
前記取得部が、
携帯端末から、該携帯端末に設けられた生体情報取得部により取得された当該個人情報の帰属すべき人物の生体情報をさらに取得し、
前記アクセス許可部が、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近し、かつ、
前記取得部により取得された生体情報と、前記記憶部に格納された生体情報とが一致する場合、該個人情報の少なくとも一部へのアクセスを許可する、
ことを特徴とする個人情報管理サーバ。
【請求項7】
請求項1〜6のいずれか1項に記載の個人情報管理サーバにおいて、
前記記憶部に格納されている前記医療および介護の少なくとも一方の個人情報が、
当該個人情報の帰属すべき人物に対して、医療および介護の少なくとも一方のサービスを提供するべきサービス提供者の生体情報を含み、
前記取得部が、
前記情報端末から、該情報端末に設けられた生体情報取得部により取得された前記サービス提供者の生体情報をさらに取得し、
前記アクセス許可部が、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近し、かつ、
前記取得部により取得された生体情報と、前記記憶部に格納された、前記サービス提供者の生体情報とが一致する場合、或いは、所定の閾値よりも類似度が高い場合、該個人情報の少なくとも一部へのアクセスを許可する、
ことを特徴とする個人情報管理サーバ。
前記記憶部に格納されている前記医療および介護の少なくとも一方の個人情報が、
当該個人情報の帰属すべき人物に対して、医療および介護の少なくとも一方のサービスを提供するべきサービス提供者の生体情報を含み、
前記取得部が、
前記情報端末から、該情報端末に設けられた生体情報取得部により取得された前記サービス提供者の生体情報をさらに取得し、
前記アクセス許可部が、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近し、かつ、
前記取得部により取得された生体情報と、前記記憶部に格納された、前記サービス提供者の生体情報とが一致する場合、或いは、所定の閾値よりも類似度が高い場合、該個人情報の少なくとも一部へのアクセスを許可する、
ことを特徴とする個人情報管理サーバ。
【請求項8】
医療および介護の少なくとも一方の個人情報へのアクセスを情報端末に提供する方法を、コンピュータに実行させる個人情報管理プログラムであって、
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の所在地とを関連付けて記憶部に格納する格納ステップと、
前記情報端末から、前記個人情報へのアクセス要求と、前記情報端末の位置情報とを取得する取得ステップと、
前記取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に近くなるほど、アクセス許可される個人情報の範囲を増大させ、該所在地から離れるほど、該アクセス許可される個人情報の範囲を減少させるように制御する、アクセス許可ステップと、
前記アクセス許可ステップにて許可された場合、前記アクセス要求に基づき、前記アクセス許可ステップにより制御された許可範囲で個人情報へのアクセスを前記情報端末に提供する、アクセス提供ステップと、
を有する個人情報管理プログラム。
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の所在地とを関連付けて記憶部に格納する格納ステップと、
前記情報端末から、前記個人情報へのアクセス要求と、前記情報端末の位置情報とを取得する取得ステップと、
前記取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に近くなるほど、アクセス許可される個人情報の範囲を増大させ、該所在地から離れるほど、該アクセス許可される個人情報の範囲を減少させるように制御する、アクセス許可ステップと、
前記アクセス許可ステップにて許可された場合、前記アクセス要求に基づき、前記アクセス許可ステップにより制御された許可範囲で個人情報へのアクセスを前記情報端末に提供する、アクセス提供ステップと、
を有する個人情報管理プログラム。
【請求項9】
医療および介護の少なくとも一方の個人情報へのアクセスを情報端末に提供する個人情報管理方法であって、
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の所在地とを関連付けて記憶部に格納する格納ステップと、
前記情報端末から、前記個人情報へのアクセス要求と、前記情報端末の位置情報とを取得する取得ステップと、
前記取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に近くなるほど、アクセス許可される個人情報の範囲を増大させ、該所在地から離れるほど、該アクセス許可される個人情報の範囲を減少させるように制御する、アクセス許可ステップと、
前記アクセス許可ステップにて許可された場合、前記アクセス要求に基づき、前記アクセス許可ステップにより制御された許可範囲で個人情報へのアクセスを前記情報端末に提供する、アクセス提供ステップと、
を有する個人情報管理方法。
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の所在地とを関連付けて記憶部に格納する格納ステップと、
前記情報端末から、前記個人情報へのアクセス要求と、前記情報端末の位置情報とを取得する取得ステップと、
前記取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に近くなるほど、アクセス許可される個人情報の範囲を増大させ、該所在地から離れるほど、該アクセス許可される個人情報の範囲を減少させるように制御する、アクセス許可ステップと、
前記アクセス許可ステップにて許可された場合、前記アクセス要求に基づき、前記アクセス許可ステップにより制御された許可範囲で個人情報へのアクセスを前記情報端末に提供する、アクセス提供ステップと、
を有する個人情報管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、医療または介護の個人情報へのアクセスを情報端末に提供する個人情報管理サーバ、プログラムおよびその方法に関するものである。
【背景技術】
【0002】
医療・介護の分野では、個人情報を含む医療カルテや介護プランなどが電子的な情報としてサーバ(コンピュータシステム)に蓄積され、病院内や介護施設内の通信端末により当該情報にアクセスされたり、変更、更新されたりすることが多い。また、最近ではネットワークの発達により、医療カルテや介護プランなどの個人情報は、無線・有線の通信回線を介して、サーバと端末との間でやり取りされる場合が多くなってきている。これらの医療カルテ、介護プラン或いは介護記録などは、個人情報としては最も高い秘匿性、秘密性が要求されるものである。例えば、病院外の端末から病院内の内部ネットワークのサーバにアクセスする場合に、ネットワークを介して患者や受診者の個人情報が、Webページ、電子メール、画像ファイル、文書ファイルなどの電子情報によって病院外に漏れ出す危険性がある。このような医療や介護などの個人情報を保護する従来技術として、特許文献1の技術が提案されている。これは、個人情報のうち秘匿対象となり得る情報を加工処理して、例えば、ダミーデータなどで無効な情報に変換し、情報漏洩の防止を試みるものである。また、個人情報に限らず、情報の秘匿性を確保するために、情報を暗号化することは広く行われている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006-343944号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上述したように、医療カルテ、介護プラン、介護記録などの医療情報や介護情報は、個人情報としては最も高い秘匿性、秘密性が要求されるものであるが、他方、当該情報を知る必要がある立場の人物、例えば、医師や看護師に対しては、患者や被介護者の個人情報であっても適切な範囲で開示する必要がある。特許文献1のような従来技術では、病院外で端末を扱う看護師、医師、介護者が、当該情報を知る必要がある人物(Need-to-know Person)であり、治療や介護のために電子カルテ、ケアプラン、ケアレポートを見たり、記入したりする必要がある場合であっても、当該情報へアクセスできないという事態を招く。また、暗号化の場合は、暗号化で使用したパスワードや復号のパスワードの漏洩や予測が技術的に可能であるため、第三者からの暗号化情報への攻撃を完全に回避することが困難である。また、暗号化の安全性を高めるためにパスワードの定期的な変更が必要であるが、変更作業は管理上面倒であり、使用する医師や看護師などが変更されたパスワードを忘れたり、メモなどにより漏洩したりする危険性を排除することが困難である。
【0005】
そこで、本発明の目的は、位置情報を利用して、医療情報や介護情報を含む個人情報にアクセスする必要がある状況のユーザだけに適切な開示範囲で個人情報へのアクセスを許可する個人情報管理サーバ、プログラムおよびその方法を提供することである。
【課題を解決するための手段】
【0006】
上述した諸課題を解決すべく、第1の発明による個人情報管理サーバ(個人情報管理装置)は、医療および介護の少なくとも一方の個人情報(電子カルテ、MRI図、血圧、体温、心拍数、心電図、X線図などの診断情報、電子クリニックプラン、電子ケアプラン、投薬情報など)へのアクセスを情報端末に提供する個人情報管理サーバであって、
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の所在地とを関連付けて格納する記憶部と、
前記情報端末から、前記個人情報へのアクセス要求と、前記情報端末(GPS機能部(GPSユニット)、無線通信(携帯電話など)の基地局による位置測位部など)の位置情報とを取得する取得部と、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近した場合(例えば、両者の間が所定の距離以下になった場合)、該個人情報の少なくとも一部へのアクセスを許可する、アクセス許可部と、
前記アクセス許可部により許可された場合、前記アクセス要求に基づき、前記情報端末に、許可された個人情報へのアクセスを提供するアクセス提供部と、
を有する。
アクセスを許可された情報端末は、許可された情報を取得(閲覧)し、修正、変更、更新することが可能となる。情報端末や使用するユーザ(医師、看護師など)に設定されたセキュリティレベルに応じて、取得だけを可能にしたり、取得や修正を可能にしたりすることも可能である。
【0007】
また、第2の発明による個人情報管理サーバ(個人情報管理装置)は、前記取得部が、
前記情報端末に外部接続されたGPS装置(例えば、GPS機能部(GPSユニット)およびUSB端子を持つ装置)により測位された位置情報が暗号化された後で、該情報端末に取り込まれたものを、前記情報端末の位置情報として取得する、
ことを特徴とする。
【0008】
また、第3の発明による個人情報管理サーバ(個人情報管理装置)は、前記アクセス許可部が、
前前記取得部により取得された前記情報端末の位置情報に示される場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に近くなるほど、アクセス許可される個人情報の範囲を増大させ、該所在地から離れるほど、該アクセス許可される個人情報の範囲を減少させるように制御(調整)し、
前期アクセス提供部が、
前記アクセス許可部により許可された場合、前記アクセス要求に基づき、前記アクセス許可部により制御された許可範囲で個人情報へのアクセスを前記情報端末に提供する、
ことを特徴とする。
【0009】
また、第4の発明による個人情報管理サーバ(個人情報管理装置)は、前記記憶部が、
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の携帯端末へアクセスするためのアクセス識別子(好適には、例えば、携帯電話番号や携帯端末識別子など)とをさらに関連付けて格納し、
前記アクセス許可部が、アクセス許可を判定する前に、
前記アクセス識別子を用いて、個人情報の帰属すべき人物の携帯端末から所在地情報(携帯端末が有するGPS機能部、無線通信(携帯電話など)の基地局による位置測位部などにより測位された所在地情報)を取得するように前記取得部を制御し、
前記取得した携帯端末の所在地情報で、前記記憶部に格納されている、当該個人情報の帰属すべき人物の所在地を置換するように、該記憶部を制御する、
ことを特徴とする。
【0010】
また、第5の発明による個人情報管理サーバ(個人情報管理装置)は、前記記憶部が、
前記情報端末のユーザと、該ユーザに設定されたアクセス許可レベルとを関連付けてさらに格納し、
前記アクセス許可部が、
前記情報端末のユーザに設定されたアクセス許可レベルに応じて、個人情報の許可範囲をさらに制御する(例えば、全ての情報を読み取り、更新、書き換えを可能にしたり、或いは、投薬情報を読み取り・更新・書き換え可能にし、他の情報は読み取りのみを許可したりするなど)、
ことを特徴とする。
【0011】
また、第6の発明による個人情報管理サーバ(個人情報管理装置)は、前記記憶部に格納されている前記医療および介護の少なくとも一方の個人情報が、
当該個人情報の帰属すべき人物の生体情報(例えば、指紋、静脈、虹彩など)を含み、
前記取得部が、
前記情報端末から、該情報端末に設けられた生体情報取得部により取得された当該個人情報の帰属すべき人物の生体情報をさらに取得し、
前記アクセス許可部が、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近し、かつ、
前記取得部により取得された生体情報と、前記記憶部に格納された生体情報とが一致する場合(或いは、所定の閾値よりも類似度が高い場合)、該個人情報の少なくとも一部へのアクセスを許可する、
ことを特徴とする。
【0012】
また、第7の発明による個人情報管理サーバ(個人情報管理装置)は、前記記憶部に格納されている前記医療および介護の少なくとも一方の個人情報が、
当該個人情報の帰属すべき人物の生体情報(指紋、静脈、虹彩など)を含み、
前記取得部が、
携帯端末から、該携帯端末に設けられた生体情報取得部により取得された当該個人情報の帰属すべき人物の生体情報をさらに取得し、
前記アクセス許可部が、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近し、かつ、
前記取得部により取得された生体情報と、前記記憶部に格納された生体情報とが一致する場合(或いは、所定の閾値よりも類似度が高い場合)、該個人情報の少なくとも一部へのアクセスを許可する、
ことを特徴とする。
【0013】
また、第8の発明による個人情報管理サーバ(個人情報管理装置)は、前記記憶部に格納されている前記医療および介護の少なくとも一方の個人情報が、
当該個人情報の帰属すべき人物に対して、医療および介護の少なくとも一方のサービスを提供するべきサービス提供者の生体情報(例えば、医師や介護者の指紋、静脈、虹彩など)を含み、
前記取得部が、
前記情報端末から、該情報端末に設けられた生体情報取得部により取得された前記サービス提供者の生体情報をさらに取得し、
前記アクセス許可部が、
前記取得部により取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近し、かつ、
前記取得部により取得された生体情報と、前記記憶部に格納された、前記サービス提供者の生体情報とが一致する場合(或いは、所定の閾値よりも類似度が高い場合)、該個人情報の少なくとも一部へのアクセスを許可する、
ことを特徴とする。
個人情報の帰属すべき人物である患者や、サービス提供者である医師の生体情報は、暗号化して記憶部に格納し、端末と装置との間でやり取りする場合も、暗号化しておくことが好適である。また、記憶部の生体情報と、取得された生体情報とを比較する場合は、復号せずに暗号化した情報を比較してもよい。
【0014】
上述したように本発明の解決手段をサーバ(装置)として説明してきたが、本発明はこれらに実質的に相当する方法、プログラム、プログラムを記録した記憶媒体としても実現し得るものであり、本発明の範囲にはこれらも包含されるものと理解されたい。なお、下記の方法やプログラムの各ステップは、データの処理においては必要に応じて、CPU、DSPなどの演算処理装置を使用するものであり、入力したデータや加工・生成したデータなどを磁気テープ、HDD、メモリなどの記憶装置に格納するものである。
【0015】
例えば、本発明をプログラムとして実現させた、第9の発明による個人情報管理プログラムは、医療および介護の少なくとも一方の個人情報(電子カルテ、MRI図、血圧、体温、心拍数、心電図、X線図などの診断情報、電子クリニックプラン、電子ケアプラン、投薬情報など)へのアクセスを情報端末に提供する方法を、コンピュータに実行させる個人情報管理プログラムであって、
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の所在地とを関連付けて記憶部に格納する格納ステップと、
前記情報端末から、前記個人情報へのアクセス要求と、前記情報端末(GPS機能部、無線通信(携帯電話など)の基地局による位置測位部など)の位置情報とを取得する取得ステップと、
前記取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近した場合(例えば、両者の間が所定の距離以下になった場合)、該個人情報の少なくとも一部へのアクセスを許可する、アクセス許可ステップと、
前記アクセス許可ステップにて許可された場合、前記アクセス要求に基づき、前記情報端末に、許可された個人情報へのアクセスを提供するアクセス提供ステップと、
を有する。
【0016】
また、本発明を方法として実現させた、第10の発明による個人情報管理方法は、医療および介護の少なくとも一方の個人情報(電子カルテ、MRI図、血圧、体温、心拍数、心電図、X線図などの診断情報、電子クリニックプラン、電子ケアプラン、投薬情報など)へのアクセスを情報端末に提供する個人情報管理方法であって、
前記医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の所在地とを関連付けて記憶部に格納する格納ステップと、
前記情報端末から、前記個人情報へのアクセス要求と、前記情報端末(GPS機能部、無線通信(携帯電話など)の基地局による位置測位部など)の位置情報とを取得する取得ステップと、
前記取得された前記情報端末の位置情報が示す場所が、前記記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近した場合(例えば、両者の間が所定の距離以下になった場合)、該個人情報の少なくとも一部へのアクセスを許可する、アクセス許可ステップと、
前記アクセス許可ステップにて許可された場合、前記アクセス要求に基づき、前記情報端末に、許可された個人情報へのアクセスを提供するアクセス提供ステップと、
を有する。
【発明の効果】
【0017】
本発明によれば、位置情報を利用して、個人情報にアクセスする必要がある状況のユーザだけに適切な開示範囲で個人情報へのアクセスを許可することが可能となる。
【図面の簡単な説明】
【0018】
【発明を実施するための形態】
【0019】
以降、諸図面を参照しながら、本発明の実施態様を詳細に説明する。
【0020】
<実施態様1>図1は、本発明の実施態様1による個人情報管理サーバ(医療介護個人情報アクセス管理装置)の概要を示すブロック図である。図に示すように、個人情報管理サーバ(PIMS)100は、制御部(CPU)110と、入力部120と、出力部130と、通信部140と、記憶部150と、表示部160とを有する。記憶部150は、医療および介護の少なくとも一方の個人情報(例えば、電子カルテ、MRI図、血圧、体温、心拍数、心電図、X線図などの診断情報、電子クリニックプラン、電子ケアプラン、投薬情報など)と、当該個人情報の帰属すべき人物の所在地(緯度経度の位置情報、住所情報、緯度経度の絶対位置情報と住所情報とを相互に変換するための変換テーブルなど)とを関連付けた、個人情報および所在地の情報PILと、患者や介護者の所在地の所在地から情報端末までの距離が幾つ以下になれば個人情報へのアクセスを許可するのかを規定した許可範囲設定情報PRSを格納する。制御部110は、取得部111とアクセス許可部112とアクセス提供部113を有する。所在地の情報は、患者P1の現住所(例えば、東京都港区虎ノ門x丁目x番地)から緯度経度の絶対位置情報に変換して格納しておくことができるが、患者P1の所持する携帯端末MT1に設けたGPSユニット(図示せず)や携帯端末MT1の接続する基地局の通信状況に関連する情報から絶対位置情報を得て、格納してもよい。
【0021】
個人情報管理サーバ100は、通信部140、ネットワークNETを介して、介護士などの介護従事者や医師D1や看護師などの医療従事者が持つ情報端末IT1、被介護者や患者P1が持つ携帯端末MT1と接続し、情報のやり取りが可能である。出力部130は、プリンタPRNに本サーバに格納される情報や生成された情報を出力することができる。表示部160も、本サーバに格納される情報や生成された情報を表示することができる。入力部120は、マウスMUSやキーボードKBDを介して入力される操作指示や情報入力を受け付ける。
【0022】
取得部111は、情報端末IT1から、例えば患者番号を個人識別子として含む個人情報へのアクセス要求と、情報端末IT1(GPS機能部、無線通信(携帯電話など)の基地局による測位ユニット(位置測位部))により測位された位置情報とを取得する。アクセス要求には、例えば患者番号を個人識別子として含むことが好適であるが、アクセス要求のみであってもよい。アクセス要求のみの場合は、個人情報管理サーバ100は、医師D1が携行する情報端末IT1が接近した所在地に該当する患者の個人情報を抽出して、情報端末IT1からの当該情報へのアクセスを許可することになる。
【0023】
アクセス許可部112は、取得部111により取得された情報端末IT1の位置情報の示す場所が、記憶部150に格納された、患者個人情報の帰属すべき人物の前記所在地に接近した場合(許可範囲設定情報PRSに設定された、例えば、両者の間が所定の距離以下になった場合)、当該個人情報である患者P1の少なくとも一部へのアクセスを許可する。アクセス提供部113は、アクセス許可部112により許可された場合、アクセス要求に基づき、情報端末IT1に許可された個人情報へのアクセスを提供する。
【0024】
図2は、図1に示した個人情報サーバで実行される処理の一例を示すフローチャートである。図に示すように、ステップS11にて、記憶部が個人情報と所在地とを関連付けて格納する。ステップS12では、取得部が、情報端末からアクセス要求と情報端末の位置情報とを取得する。ステップS13では、アクセス許可部が、取得した位置情報の示す場所が、記憶部に格納されている患者(或いは被介護者)の所在地に接近しているか否かを所定の基準(本実施態様では許可範囲設定情報PRS)に基づき判定する。接近していると判定された場合は、個人情報へのアクセスを許可し、ステップS14にて、アクセス提供部が、アクセス要求に基づき、情報端末に許可された個人情報へのアクセスを提供する(具体的には、許可範囲設定情報PRSに基づき、許可された行為(情報読み出し、書き込み、更新など)を許容する)。許可されなかった場合は、必須のステップではないが、ステップS15にて、アクセス許可部は、アクセスを拒否するメッセージを情報端末に返送する。
【0025】
図3は、情報端末と患者所在地との関係を示す説明図である。図に示すように、医師D1が携行する情報端末IT1が、位置LL1に位置する。そして、医師D1に携行される情報端末IT1が、次第に患者P1の所在地に接近していく。これは、一般的な往診時に医師が患者の自宅に訪問するときの動作である。情報端末IT1が、許可範囲設定情報PRSに規定された許可領域RA1内の位置LL2に入ると、情報端末IT1は、患者P1の個人情報へのアクセスを許可される。許可領域は、許可範囲設定情報PRSに規定された許可行為や許可項目などの設定情報によって制限される。このようにして、本実施態様によれば、医師や介護者が、患者や被介護者に接近したときには(許可領域RA1内に位置しているとき)、治療や介護に必要な個人情報へのアクセスが許可され、双方が離れたときには(許可領域RA1内から外に位置しているとき)、アクセスが拒否されるため、情報が必要な人物(Need-to-know Person)に、必要なときだけ個人情報のアクセスを制限することが可能となり、情報漏洩を効果的に抑止することができる。
【0026】
図4は、情報端末IT1の表示部の変化を示す遷移図である。情報端末IT1の表示画面DD11は、図3の位置LL1に情報端末IT1が位置するときの患者P1の電子カルテを表示したものである。表示画面DD11には、患者番号KX999が表示されるが、この位置ではアクセスが許可されないため、個人情報は表示されない。この図では、説明および作図の便宜上、アクセスできなかった個人情報のフィールドは、ハッチングを施した楕円を配置している。表示画面DD12は、図3の位置LL2(即ち、許可領域RA1内)に情報端末IT1が位置するときの患者P1の電子カルテを表示したものである。表示画面DD12には、患者番号KX999と、様々な個人情報(患者氏名、バイタル情報、投薬情報、処置情報、病名、既往症など)とが表示されている。
【0027】
図5は、図1に示した個人情報サーバで実行される処理の一例を示すフローチャートである。このフローでは、双方の位置の距離変化に応じて、アクセス許可される個人情報の範囲を調整する。図に示すように、ステップS21にて、記憶部が個人情報と所在地とを関連付けて格納する。ステップS21などの格納ステップは、一度実施しておけば、その情報が変更されるまでは再実施する必要はない。或いは、格納ステップは、当該情報を格納したROMやフラッシュメモリを装置やコンピュータに搭載することで不要となる。ステップS22では、取得部が、情報端末からアクセス要求と情報端末の位置情報とを取得する。ステップS23では、アクセス許可部が、取得した位置情報の示す場所が、記憶部に格納されている患者(或いは被介護者)の所在地に接近しているか否かを所定の基準(本実施態様では許可範囲設定情報PRS)に基づき判定する。接近していると判定された場合は、個人情報へのアクセスを許可するが、ステップS24にて、アクセス許可部は、取得部により取得された情報端末の位置情報の示す場所が、個人情報の帰属すべき人物の所在地に近くなるほど、許可される個人情報の範囲を増大させ、所在地から離れるほど、許可される個人情報の範囲を減少させるように制御(調整)する。ステップS25にて、アクセス提供部が、アクセス要求に基づき、情報端末に、制御された個人情報の範囲へのアクセスを提供する。許可されなかった場合は、必須のステップではないが、ステップS26にて、アクセス許可部は、アクセスを拒否するメッセージを情報端末に返送する。情報端末の位置が変化する可能性があるため、ステップS23以下のステップは、双方の位置が離れてアクセスが拒否されるまで、所定の周期で繰り返される。
【0028】
図6は、情報端末と患者所在地との関係を示す説明図である。図に示すように、医師D1が携行する情報端末IT1が、位置LL11に位置する。そして、医師D1に携行される情報端末IT1が、次第に患者P1の所在地に接近していく。情報端末IT1が、許可範囲設定情報PRSに規定された許可領域RA11内の位置LL12に入ると、情報端末IT1は、患者P1の個人情報へのアクセスを許可される。アクセスが許可される個人情報の範囲は、許可範囲設定情報PRS1に規定された、許可行為や許可項目などの設定情報によって制限される。情報端末IT1が、許可領域RA12内の位置LL13に位置すると、許可範囲設定情報PRS1に応じて、許可される個人情報の範囲が増大する。さらに、情報端末IT1が、許可領域RA13内の位置LL14に位置すると、許可範囲設定情報PRS1に応じて、許可される個人情報の範囲が増大し、患者P1に関しては本サーバに格納されている全ての範囲の個人情報へのアクセスが許可される。このように情報端末IT1を携行する医師が「患者の所在地」に近づいていく場合には、段階的にアクセス許可される個人情報の範囲が増大していく。反対に、情報端末IT1を携行する医師が「患者の所在地」から離れていく場合には、段階的にアクセス許可される個人情報の範囲が減少していく。このようにして、本実施態様によれば、医師や介護者が、患者や被介護者に接近したときには(許可領域RA1内に位置しているとき)、治療や介護に必要な個人情報へのアクセスが段階的に許可され、双方が離れたときには(許可領域RA1内から外に位置しているとき)、アクセスできる範囲が段階的に減少していくため、情報を知るべき状況(即ち、診察や介護の作業をする場所に位置している状況)にあって、かつ、情報が必要な人物(Need-to-know Person)に、必要な範囲の個人情報のアクセスを提供することが可能となり、情報漏洩を効果的に抑止することができる。作図の便宜上、位置LL11の医師D1は情報端末IT1を携行しているように描画してあり、他の位置LL12,13,14では、医師が携行する情報端末IT1の描画を省略してある。以降の図面でも同様である。
【0029】
図7は、情報端末を携行する医師が患者所在地に接近していくときの様子を説明する説明図である。図に示すように、自動車に乗った医師D1が携行する情報端末IT1が、位置LL21に位置する。そして、医師D1に携行される情報端末IT1が、次第に患者P1の所在地に接近していく。医師D1に携行される情報端末IT1が、矢印AR11に示すように、駐車場PA1に自動車を置き、許可範囲設定情報PRSに規定された許可領域RA11内の位置LL22に入ると、情報端末IT1は、患者P1の個人情報へのアクセスを許可される。アクセスが許可される個人情報の範囲は、許可範囲設定情報PRS1に規定された、許可行為や許可項目などの設定情報によって制限される。情報端末IT1が、患者P1の自宅PHSに訪問し、許可領域RA12内の位置LL23に位置すると、許可範囲設定情報PRS1に応じて、許可される個人情報の範囲が増大する。さらに、情報端末IT1が、患者P1を診察できる許可領域RA13内の位置LL24に位置すると、許可範囲設定情報PRS1に応じて、許可される個人情報の範囲が増大し、患者P1に関しては本サーバに格納されている全ての範囲の個人情報へのアクセスが許可される。このように情報端末IT1を携行する医師D1が「患者の所在地」に近づいていく場合には、段階的にアクセス許可される個人情報の範囲が増大していく。反対に、情報端末IT1を携行する医師D1が「患者の所在地」から離れていく場合には、段階的にアクセス許可される個人情報の範囲が減少していく。このようにして、本実施態様によれば、医師や介護者が、患者や被介護者に接近したときには(許可領域内に位置しているとき)、治療や介護に必要な個人情報へのアクセスが段階的に許可され、双方が離れたときには(許可範囲から外に位置しているとき)、アクセスできる範囲が段階的に減少していくため、情報が必要な人物(Need-to-know Person)に、必要な範囲の個人情報のアクセスを提供することが可能となり、情報漏洩を効果的かつ巧みに抑止することができる。
【0030】
図8は、情報端末IT1が移動したときの表示部の変化を示す遷移図である。情報端末IT1の表示画面DD21は、図7の位置LL21に情報端末IT1が位置するときの患者P1の電子カルテを表示したものである。表示画面DD11には、患者番号KX999が表示されるが、この位置では患者P1の個人情報へのアクセスが許可されないため、個人情報は表示されない。表示画面DD22は、図7の位置LL22(即ち、許可領域RA11内)に情報端末IT1が位置するときの患者P1の電子カルテを表示したものである。表示画面DD12には、患者番号KX999と、個人情報として、患者氏名、処置情報、既往症、が表示されている。この図では、説明および作図の便宜上、アクセスできて新たに表示可能となった個人情報のフィールドは、破線の楕円で囲んである。表示画面DD23は、図7の位置LL23(即ち、許可領域RA12内)に情報端末IT1が位置するときの患者P1の電子カルテを表示したものである。表示画面DD23には、表示画面DD22に表示された情報に加えて、新たにアクセス可能となった個人情報として、バイタル情報、投薬情報が表示される。表示画面DD24は、図7の位置LL24(即ち、許可領域RA13内)に情報端末IT1が位置するときの患者P1の電子カルテを表示したものである。表示画面DD24には、DD23の情報に加えて、新たにアクセス可能となった個人情報として、病名、診断情報が表示される。
【0031】
本サーバ(装置)は、汎用コンピュータ、特定用途コンピュータ、サーバ、PCなどのコンピュータ、或いは、これらコンピュータに本サーバの機能や処理手順(方法)をコンピュータ上で実現(実行)するプログラムモジュールをコンピュータが持つCPUや記憶部に保持したり、外部のサーバやストレージから読み込んだりすることで、コンピュータ上に本サーバを構築することが好適であり、後続の各実施態様においても同様である。
【0032】
<実施態様2>図9は、本発明の実施態様2による個人情報管理サーバ(医療介護個人情報アクセス管理装置)の概要を示すブロック図である。図に示すように、個人情報管理サーバ(PIMS)200は、制御部(CPU)210と、入力部220と、出力部230と、通信部240と、記憶部250と、表示部260とを有する。記憶部250は、医療および介護の少なくとも一方の個人情報電子カルテ、MRI図、血圧、体温、心拍数、心電図、X線図などの診断情報、電子クリニックプラン、電子ケアプラン、投薬情報など)と、当該個人情報の帰属すべき人物の所在地(緯度経度の位置情報、住所情報、緯度経度の絶対位置情報と住所情報とを相互に変換するための変換テーブルなど)とを関連付けた、個人情報および所在地の情報PILと、患者や介護者の所在地の所在地から情報端末までの距離が幾つ以下になれば個人情報へのアクセスを許可するのかを規定した許可範囲設定情報PRSを格納する。本実施態様では、記憶部250は、アクセス識別子AI、ユーザ・アクセス許可レベルテーブルUATをさらに格納する。制御部210は、取得部211とアクセス許可部212とアクセス提供部213を有する。
【0033】
個人情報管理サーバ200は、通信部240、ネットワークNETを介して、介護士などの介護従事者や医師D2や看護師などの医療従事者が持つ情報端末IT2、被介護者や患者P2が持つ携帯端末MT1と接続し、情報のやり取りが可能である。出力部230は、プリンタPRNに本サーバに格納される情報や生成された情報を出力することができる。表示部160も、本サーバに格納される情報や生成された情報を表示することができる。入力部120は、マウスMUSやキーボードKBDを介して入力される操作指示や情報入力を受け付ける。なお、特に指摘や言及しない限り、実施態様2の装置や各部の処理や機能は、実態態様1のそれらと同様であることに注意されたい。
【0034】
本実施態様では、情報端末IT2は、外部のUSB機器を接続するUSB端子と、生体情報取得部BCPT1とを有する。本実施態様では、情報端末IT2のUSB端子には、外部接続されたGPS装置GPS1が接続されている。GPS装置GPS1は、複数のGPS信号を受信して位置を測位するGPSユニットと、測位された位置情報(例えば、地球上の緯度・経度・高度などによる絶対座標)を暗号化する暗号化ユニットと、暗号化された「測位された位置情報」を情報端末IT2に送信するUSB端子とを有する。取得部211は、情報端末IT2から、例えば患者番号を個人識別子として含む個人情報へのアクセス要求と、GPS装置GPS1にて測位・暗号化された位置情報を取得する。このように、情報端末IT2の外部で測位され、かつ、暗号化された状態の位置情報を情報端末IT2が取得するように構成すれば、情報端末IT2が、虚偽の位置情報を生成するようなプログラムやユニットなどを用いて虚偽の位置情報で個人情報管理サーバ200を欺いて、個人情報へのアクセス許可を得ることを防止することが可能である。
【0035】
取得した暗号化された位置情報は、制御部210が有する復号部が復号する。アクセス許可部212は、取得部211により取得され、復号された情報端末IT2の位置情報の示す場所が、記憶部250に格納された、患者個人情報の帰属すべき人物の所在地に接近した場合(許可範囲設定情報PRSに設定された、例えば、両者の間が所定の距離以下になった場合)、当該個人情報である患者P2の少なくとも一部へのアクセスを許可する。アクセス提供部213は、アクセス許可部212により許可された場合、アクセス要求に基づき、情報端末IT2に許可された個人情報へのアクセスを提供する。
【0036】
本実施態様では、記憶部250は、医療および介護の少なくとも一方の個人情報と、当該個人情報の帰属すべき人物の携帯端末へアクセスするためのアクセス識別子(好適には、例えば、携帯電話番号や携帯端末識別子など)とをさらに関連付けて格納している。このアクセス識別子を利用して、情報端末からアクセス要求があったときに、患者などの個人情報の所有者の所在地を確認することで、より情報保持の安全性を高めることが可能である。即ち、アクセス許可部212が、アクセス許可を判定する前に、アクセス識別子AIを用いて、個人情報の帰属すべき人物の携帯端末から所在地情報(携帯端末が有するGPSユニットにより測位された所在地情報)を取得するように取得部211を制御し、取得した携帯端末MT2の所在地情報で、記憶部250に格納されているPILに含まれる、当該個人情報の帰属すべき人物の所在地を置換するように、記憶部250を制御する。これによって、患者や被介護者の現在(最新)の所在地情報で個人情報へのアクセス許可を判断することが可能になる。
【0037】
記憶部250は、情報端末のユーザと、該ユーザに設定されたアクセス許可レベルとを関連付けた情報をユーザ・アクセス許可レベルテーブルUATに格納する。アクセス許可部212が、情報端末のユーザに設定されたセキュリティレベルに応じて、個人情報の許可範囲をさらに制御する(例えば、全ての情報を読み取り、更新、書き換えを可能にしたり、或いは、投薬情報を読み取り・更新・書き換え可能にし、他の情報は読み取りのみを許可したりするなど)。
【0038】
記憶部250に格納されているPILに含まれる個人情報が、当該個人情報の帰属すべき人物の生体情報(指紋、静脈、虹彩など)を含み、取得部211が、情報端末から、情報端末IT2に設けられた生体情報取得部BCPT1(例えば、デジタル撮影できるCCDカメラ、CMOSセンサによるカメラ、静脈センサ、静電式指紋センサなど)により取得された当該個人情報の帰属すべき人物の生体情報をさらに取得する。アクセス許可部212が、取得部により取得された情報端末の位置情報が示す場所が、記憶部に格納された前記個人情報の帰属すべき人物の前記所在地に接近し、かつ、取得部により取得された生体情報と、記憶部に格納された生体情報とが一致する場合(或いは、所定の閾値よりも類似度が高い場合)、該個人情報の少なくとも一部へのアクセスを許可する。このようにして、情報端末IT2は一旦患者P2の生体情報を取得し、また、情報PILには、生体情報が含まれることなり、セキュリティ上やや弱い点である。そこで、情報端末IT2は、暗号化・復号ユニットをさらに有し、暗号化・復号ユニットを用いて、暗号化した生体情報をサーバ200に送信し、情報PILには暗号化した生体情報を格納しておき、暗号化された生体情報同士で一致するか否かを判定して、この結果をアクセス許可部が利用してもよい。或いは、患者P2が持つ携帯端末MT2に生体情報取得部BCPT2を設けて、そこで患者P2自身が取得した生体情報を暗号化ユニットで暗号化して、サーバ200に送信して、その生体情報をそのまま使用して、暗号化された生体情報を比較して一致するか否かを判定してもよいし、サーバ200の復号部214で復号した生体情報で生体情報同士が一致するか否かを判定してもよい。なお、サーバ200では、生体情報は暗号化したまま格納したり、比較したりして、利用した方がより安全であることは言うまでもない。
【0039】
上述した実施態様では、患者自身の生体情報を含む個人情報を記憶部に格納したが、個人情報は、当該個人情報の帰属すべき人物に対して、医療および介護の少なくとも一方のサービスを提供するべきサービス提供者の生体情報(例えば、医師や介護者の指紋、静脈、虹彩など)を含ませてもよい。その場合には、取得部が、情報端末から、該情報端末に設けられた生体情報取得部により取得された前記サービス提供者の生体情報をさらに取得し、アクセス許可部が、取得部により取得された情報端末の位置情報が示す場所が、記憶部に格納された個人情報の帰属すべき人物の所在地に接近し、かつ、取得部により取得された生体情報と、記憶部に格納されたサービス提供者の生体情報とが一致する場合(或いは、所定の閾値よりも類似度が高い場合)、該個人情報の少なくとも一部へのアクセスを許可する、ように構成させることが好適である。
【0040】
図10は、図9に示した個人情報サーバで実行される処理の一例を示すフローチャートである。図に示すように、ステップS31にて、記憶部が個人情報と所在地とを関連付けて格納する。ステップS32では、取得部が、情報端末からアクセス要求と情報端末の位置情報とを取得する。ステップS33では、アクセス許可を判定する前に、アクセス識別子を用いて、患者の携帯端末から現在の所在地情報を取得する。ステップS34では、取得した携帯端末の所在地情報で、記憶部に格納されている所在地情報を置換する。ステップS35では、アクセス許可部が、取得した位置情報の示す場所が、記憶部に格納されている患者(或いは被介護者)の所在地に接近しているか否かを所定の基準(本実施態様では許可範囲設定情報PRS)に基づき判定する。接近していると判定された場合は、個人情報へのアクセスを許可し、ステップS36にて、アクセス提供部が、アクセス要求に基づき、情報端末に許可された個人情報へのアクセスを提供する(具体的には、許可範囲設定情報に基づき、許可された行為(情報読み出し、書き込み、更新など)を許容する)。許可されなかった場合は、必須のステップではないが、ステップS37にて、アクセス許可部は、アクセスを拒否するメッセージを情報端末に返送する。これによって、患者や被介護者の現在(最新)の所在地情報で個人情報へのアクセス許可を判断することが可能になる。即ち、患者や被介護者が不在の場合に、医療従事者や介護者が携行する情報端末により、通常の所在地における個人情報への不適切なアクセスを防止することが可能である。
【0041】
図11は、情報端末と患者所在地との関係を示す説明図である。図に示すように、医師D2が携行する情報端末IT2が、位置LL31に位置する。そして、医師D2に携行される情報端末IT2が、次第に患者P2の「通常の所在地(患者は不在)」に接近していく。情報端末IT2が、許可範囲設定情報PRSに規定された許可領域RA21内の位置LL32に入ると、通常、情報端末IT2は、患者P2の個人情報へのアクセスを許可されるはずであるが、この場合は、携帯端末MT2を携行する患者P2が移動して不在であり、許可領域RA21は無効であるため、情報端末IT2は、患者P2の個人情報へのアクセスを許可されない。次に、医師D2に携行される情報端末IT2が、次第に患者P2の「現在の所在地(患者が滞在している介護施設)」に接近していく。情報端末IT2が、許可領域RA22内の位置LL33に入ると、情報端末IT2は、患者P2の個人情報へのアクセスを許可される。アクセスが許可される個人情報の範囲は、許可範囲設定情報PRSに規定された、許可行為や許可項目などの設定情報によって制限される。このようにして、本実施態様によれば、患者や被介護者が移動した場合であっても、情報を知るべき状況(即ち、診察や介護の作業をする場所に位置している状況)にあって、かつ、情報が必要な人物(Need-to-know Person)に、必要な範囲の個人情報のアクセスを提供することが可能となり、情報漏洩を効果的に抑止することができる。
【0042】
図12は、図9に示した個人情報サーバで実行される処理の一例を示すフローチャートである。図12のステップS42−45は、図10のステップS32−35と同様であるため、説明を省略する。図に示すように、ステップS41にて、記憶部が、個人情報と所在地とを関連付けて格納し、さらに、患者や被介護者の生体情報(暗号化された生体情報とすることが好適である。)を格納する。ステップS42−45を経て、ステップS46にて、取得部が、情報端末または携帯端末の生体取得部により取得された生体情報(暗号化された生体情報とすることが好適である。)を取得する。ステップS47にて、取得された生体情報と、記憶部に格納された生体情報とが一致するか否かを判定する。一致する場合は、ステップS48にて、アクセス提供部が、アクセス要求に基づき、情報端末に許可された個人情報へのアクセスを提供する(具体的には、許可範囲設定情報に基づき、許可された行為(情報読み出し、書き込み、更新など)を許容する)。許可されなかった場合は、必須のステップではないが、ステップS49にて、アクセス許可部は、アクセスを拒否するメッセージを情報端末に返送する。これによって、患者や被介護者の現在(最新)の所在地情報で個人情報へのアクセス許可を判断し、かつ、患者自身の本人確認を行い患者自身が診察や処置を受ける状況にあることを確実に確認することが可能になる。即ち、患者や被介護者が不在の場合に、医療従事者や介護者が携行する情報端末により、通常の所在地における個人情報への不適切なアクセスを防止し、たとえ、患者が所有者の携帯端末が存在する場合であっても、患者本人が生体情報を取得させるという認証作業を行わない限り、個人情報へのアクセスを防止することが可能となる。
【0043】
図13は、情報端末と患者所在地との関係を示す説明図である。図に示すように、医師D2が携行する情報端末IT2は、医師が勤務する病院内の位置LL42に位置する。そして、医師D2に携行される情報端末IT2は、そこに位置したままほぼ静止している。一方、患者P2に携行される携帯端末MT2は、位置Ll41に位置しているが、医師D2の「所在地(病院)」に次第に接近していく。携帯端末MT2の移動によって、相対的に、情報端末IT2が、許可範囲設定情報PRSに規定された許可領域RA31内に入り、情報端末IT2は、本サーバによって患者P2の個人情報へのアクセスを許可される。アクセスが許可される個人情報の範囲は、許可範囲設定情報PRSに規定された、許可行為や許可項目などの設定情報によって制限される。このようにして、本実施態様によれば、患者や被介護者が移動して病院や介護施設に移動してきた場合であっても、情報を知るべき状況(即ち、診察や介護の作業をする場所に位置している状況)にあって、かつ、情報が必要な人物(Need-to-know Person)に、必要な範囲の個人情報のアクセスを提供することが可能となり、個人情報へのアクセスを巧みに管理しながら情報漏洩を効果的に抑止することができる。即ち、本実施態様では、医師などのユーザ側の情報端末による位置と、患者などの携帯端末の位置とをリアルタイム、定期的に、或いは、アクセス要求時に検査することにより、双方間の距離を求め、この距離が許可領域内になったときにアクセス許可を与えることが可能となる。
【0044】
<実施態様3>図14は、本発明の実施態様3による個人情報管理サーバ(医療介護個人情報アクセス管理装置)を包含した情報端末の概要を示すブロック図である。図に示すように、本実施態様では、情報端末IT3が、実際態様1または2の個人情報管理サーバ(PIMS)100(または200)を包含する。包含される個人情報管理サーバ(PIMS)100(または200)は、実態態様1(2)と同様の機能部を持ち、同様の処理が可能である。但し、情報端末IT3が、サーバ100(200)を包含するため、情報端末とサーバ間の情報のやり取りはネットワークを経由せずに、情報端末IT3内で内部的にやり取りされる。本実施態様の利点は、情報端末内に個人情報を格納した場合であっても、医師D3が、患者P3の携行する携帯端末MT3に接近した場合だけ、個人情報へのアクセスを許可されることである。逆に、携帯可能な個人情報管理サーバに情報端末やその機能部を包含させても同様の利点を享受することが可能である。
【0045】
<実施態様4>図15は、本発明の実施態様4による個人情報管理サーバ(医療介護個人情報アクセス管理装置)を包含した情報端末の概要を示すブロック図である。図に示すように、本実施態様では、情報端末IT4は、方位センサ部DSU1、加速度センサ部ASU1をさらに有する。また、携帯端末MT4も、方位センサ部DSU2、加速度センサ部ASU2をさらに有する。実施態様4は、加速度センサ部ASU1、ASU2、方位センサ部DSU1、DSU2を加えた点およびそれに伴う処理の点以外は、実施態様3とほぼ同じ構成および処理を持つ。コンクリートの壁に囲まれた集合住宅の室内では、衛星や地上基準基地局などからのGPS信号が減衰してしまい、室内での測定位置によっては、座標測定(測位)ができないことがある。そのような場合であっても、本実施態様では、加速度センサおよび方位センサを使用して、移動距離や移動方向を測定することによって、情報端末や携帯端末の室内における相対的な位置測定(正確には、GPS装置による測定位置(基準点)からの相対的な位置推定)を継続することが可能となり、端末位置の測位(位置計測)を実質的に行うことできる。例えば、GPS装置のGPSユニットによる測定位置(基準点)と、姿勢センサ部と加速度センサ部による測定値とから、基準点から北西に45mなどの相対的な位置を推定することができ、これを絶対的な地球上の座標(北緯x度y分z、東経a度b分ccc)に変換して情報端末や携帯端末の位置を求めることが可能となる。なお、加速度センサ部および方位センサ部の一方或いは双方は、GPS装置に組み込むことも可能である。
【0046】
<実施態様5>図16は、本発明の実施態様5による個人情報管理サーバ(医療介護個人情報アクセス管理装置)を包含した情報端末の概要を示すブロック図である。図に示すように、本実施態様では、情報端末IT5は、ナビゲーション部NVUをさらに有する。また、携帯端末MT5は、実施態様4の携帯端末MT4と同様である。実施態様5は、情報端末IT5にナビゲーション部NVUを搭載した点およびそれに伴う処理の点以外は、実施態様4とほぼ同じ構成および処理を持つ。ナビゲーション部NVUは、自端末の現在位置を地図上に表示し、付近の患者や被介護者の所在地の建物を地図上に表示し、患者や被介護者の所在地や、患者や被介護者の持つ携帯端末MT5の現在の位置を目標設定すると、当該目標の位置までの道案内(経路誘導)をする機能を持つ。また、その際には、誘導に従って、情報端末の患者(或いは携帯端末)への距離が近くなり、所定の距離範囲内に入ると、個人情報へのアクセスを許可したり、患者への距離が近くなるにしたがって、許可される個人情報が増大するような、実施態様1−3の処理を行うことが可能である。なお、実施態様4、5の加速度ユニット部(3軸加速度センサ)、方位センサ(ホール素子などの地磁気センサ)、ナビゲーション部などは、他の実施態様の情報端末や携帯端末に搭載することが可能である。
【産業上の利用可能性】
【0047】
本発明を諸図面や実施例に基づき説明してきたが、当業者であれば本開示に基づき種々の変形や修正を行うことが容易であることに注意されたい。従って、これらの変形や修正は本発明の範囲に含まれることに留意されたい。例えば、各部、各ステップなどに含まれる処理や機能などは論理的に矛盾しないように再配置可能であり、複数の手段/部やステップなどを1つに組み合わせたり、或いは分割したりすることが可能である。或いは、本発明による装置、方法、プログラムなどの一部の構成要素、機能、処理、ステップなどを遠隔地のサーバなどに配置することも可能であることに注意されたい。各実態態様では、医師、患者、病院という設定で説明したが、介護ヘルパー、被介護者、介護施設といった設定であっても、本発明の構成は同様に機能し得ることに留意されたい。
【符号の説明】
【0048】
100 個人情報管理サーバ(PIMS)110 制御部
111 取得部
112 アクセス許可部
113 アクセス提供部
120 入力部
130 出力部
140 通信部
150 記憶部
160 表示部
200 個人情報管理サーバ(PIMS)
210 制御部
211 取得部
212 アクセス許可部
213 アクセス提供部
214 復号部
220 入力部
230 出力部
240 通信部
250 記憶部
260 表示部
AI アクセス識別子
AR11 矢印
BCPT1 生体情報取得部
BCPT2 生体情報取得部
D1 医師
D2 医師
D3 医師
DD11 表示画面
DD12 表示画面
DD21 表示画面
DD22 表示画面
DD23 表示画面
DD24 表示画面
GPS1 装置
IT1 情報端末
IT2 情報端末
IT3 情報端末
KBD キーボード
LL1 位置
LL11 位置
LL12 位置
LL12,13,14 位置
LL2 位置
LL21 位置
LL22 位置
LL23 位置
LL24 位置
LL31 位置
LL32 位置
LL33 位置
Ll41 位置
LL42 位置
MT1 携帯端末
MT2 携帯端末
MT3 携帯端末
MUS マウス
NET ネットワーク
P1 患者
P2 患者
P3 患者
PA1 駐車場
PHS 自宅
PRN プリンタ
PRS 許可範囲設定情報
PRS1 許可範囲設定情報
RA1 許可領域
RA11 許可領域
RA12 許可領域
RA13 許可領域
RA21 許可領域
RA22 許可領域
RA31 許可領域
UAT ユーザ・アクセス許可レベルテーブル