知財求人 - 知財ポータルサイト「IP Force」
▶ エフ ホフマン−ラ ロッシュ アクチェン ゲゼルシャフトの特許一覧
特許6185868機密データにアクセス不能であることを確実にする方法およびシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6185868
(24)【登録日】2017年8月4日
(45)【発行日】2017年8月23日
(54)【発明の名称】機密データにアクセス不能であることを確実にする方法およびシステム
(51)【国際特許分類】
G06F 21/60 20130101AFI20170814BHJP
G06Q 50/24 20120101ALI20170814BHJP
【FI】
G06F21/60
G06Q50/24
【請求項の数】17
【外国語出願】
【全頁数】19
(21)【出願番号】特願2014-57983(P2014-57983)
(22)【出願日】2014年3月20日
(65)【公開番号】特開2014-186733(P2014-186733A)
(43)【公開日】2014年10月2日
【審査請求日】2016年3月30日
(31)【優先権主張番号】13160595.8
(32)【優先日】2013年3月22日
(33)【優先権主張国】EP
(73)【特許権者】
【識別番号】501205108
【氏名又は名称】エフ ホフマン−ラ ロッシュ アクチェン ゲゼルシャフト
(74)【代理人】
【識別番号】110001896
【氏名又は名称】特許業務法人朝日奈特許事務所
(74)【代理人】
【識別番号】100098464
【弁理士】
【氏名又は名称】河村 洌
(74)【代理人】
【識別番号】100149630
【弁理士】
【氏名又は名称】藤森 洋介
(74)【代理人】
【識別番号】100184826
【弁理士】
【氏名又は名称】奥出 進也
(72)【発明者】
【氏名】アンジェイ ナフェル
【審査官】
金沢 史明
(56)【参考文献】
【文献】
特開2005−339255(JP,A)
【文献】
国際公開第2006/115048(WO,A1)
【文献】
国際公開第2011/114617(WO,A1)
【文献】
特開2009−189541(JP,A)
【文献】
特開2007−310822(JP,A)
【文献】
特開2006−003996(JP,A)
【文献】
特開2004−056508(JP,A)
【文献】
特開2008−112279(JP,A)
【文献】
特開2012−248027(JP,A)
【文献】
米国特許出願公開第2004/0190715(US,A1)
【文献】
米国特許出願公開第2011/0191862(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00−21/88
G06Q 50/24
(57)【特許請求の範囲】
【請求項1】
権限を有しない者が携帯機器の記憶媒体に記憶された機密データにアクセスできないことを保証するための方法であって、前記機密データは患者データを含み、前記方法が、
前記携帯機器が、その現在位置を判定し、
前記携帯機器が、その現在位置が、分析システムの分析器を囲む、所定のセキュリティー境界内に存在するかどうかを判定し、
前記現在位置がセキュリティー境界の外に存在すると判定された場合、前記携帯機器は自動的に前記機密データを前記記憶媒体から消去する
ことを含み、
前記消去が、1つまたは2つ以上の規則に従って実行され、前記規則の少なくとも1つがユーザに依存する消去ポリシーを含み、前記方法がさらに、
前記携帯機器が前記ユーザの識別子を受け取り、
前記規則を実行し、それにより、前記ユーザ識別子、判定された前記現在位置および前記セキュリティー境界をインプットとして得ることを含み、
前記現在位置がセキュリティー境界の外に存在することが判定される場合に、ユーザに特有の消去が実行され、消去される機密データの量および/または種類が前記ユーザ識別子に依存することを特徴とする方法。
前記携帯機器が、その現在位置を判定し、
前記携帯機器が、その現在位置が、分析システムの分析器を囲む、所定のセキュリティー境界内に存在するかどうかを判定し、
前記現在位置がセキュリティー境界の外に存在すると判定された場合、前記携帯機器は自動的に前記機密データを前記記憶媒体から消去する
ことを含み、
前記消去が、1つまたは2つ以上の規則に従って実行され、前記規則の少なくとも1つがユーザに依存する消去ポリシーを含み、前記方法がさらに、
前記携帯機器が前記ユーザの識別子を受け取り、
前記規則を実行し、それにより、前記ユーザ識別子、判定された前記現在位置および前記セキュリティー境界をインプットとして得ることを含み、
前記現在位置がセキュリティー境界の外に存在することが判定される場合に、ユーザに特有の消去が実行され、消去される機密データの量および/または種類が前記ユーザ識別子に依存することを特徴とする方法。
【請求項2】
権限を有しない者が携帯機器の記憶媒体に記憶された機密データにアクセスできないことを保証するための方法であって、前記機密データは患者データを含み、前記方法が、
前記携帯機器が、その現在位置を判定し、
前記携帯機器が、その現在位置が、分析システムの分析器を囲む、所定のセキュリティー境界内に存在するかどうかを判定し、
前記現在位置がセキュリティー境界の外に存在すると判定された場合、前記携帯機器は自動的に前記機密データを前記記憶媒体から消去する
ことを含み、
前記方法がさらに、
前記セキュリティー境界内に現在存在している前記携帯機器が、前記携帯機器と前記セキュリティー境界の境界線の間の現在の距離が、距離のしきい値より小さいことを自動的に判定し、
前記判定に応じて、前記携帯機器のユーザインターフェースを介してユーザに通知を出力することを含み、
前記通知が、ユーザがセキュリティー境界を出ようとしていること、およびこの場合に前記機密データが消去されてしまうことを示すことを特徴とする方法。
前記携帯機器が、その現在位置を判定し、
前記携帯機器が、その現在位置が、分析システムの分析器を囲む、所定のセキュリティー境界内に存在するかどうかを判定し、
前記現在位置がセキュリティー境界の外に存在すると判定された場合、前記携帯機器は自動的に前記機密データを前記記憶媒体から消去する
ことを含み、
前記方法がさらに、
前記セキュリティー境界内に現在存在している前記携帯機器が、前記携帯機器と前記セキュリティー境界の境界線の間の現在の距離が、距離のしきい値より小さいことを自動的に判定し、
前記判定に応じて、前記携帯機器のユーザインターフェースを介してユーザに通知を出力することを含み、
前記通知が、ユーザがセキュリティー境界を出ようとしていること、およびこの場合に前記機密データが消去されてしまうことを示すことを特徴とする方法。
【請求項3】
前記記憶媒体から前記機密データを消去することが、
前記記憶媒体をフォーマットすることにより、または前記機密データを含むパーティションをフォーマットすることにより前記機密データを消去すること、または
前記機密データを変更せずに、前記機密データへのポインターを除去することにより前記機密データを消去すること、または
前記機密データへのポインターを除去し、自動的に生成されたデータパターンで前記機密データを上書きすることにより、前記機密データを消去すること、または
暗号化形式で前記記憶媒体に記憶されている前記機密データを解読するために要求される解読キーを変更または削除すること
を含む請求項1または2記載の方法。
前記記憶媒体をフォーマットすることにより、または前記機密データを含むパーティションをフォーマットすることにより前記機密データを消去すること、または
前記機密データを変更せずに、前記機密データへのポインターを除去することにより前記機密データを消去すること、または
前記機密データへのポインターを除去し、自動的に生成されたデータパターンで前記機密データを上書きすることにより、前記機密データを消去すること、または
暗号化形式で前記記憶媒体に記憶されている前記機密データを解読するために要求される解読キーを変更または削除すること
を含む請求項1または2記載の方法。
【請求項4】
前記方法が、
分析前、分析もしくは分析後検査装置、または検査室情報システムであるデータソースから、前記携帯機器が前記機密データを要求し、その現在位置が、要求実行時に前記セキュリティー境界内に存在する場合のみ、前記携帯機器が機密データを要求し、
前記携帯機器が、要求された前記機密データを前記データソースから受け取ること
をさらに含む請求項1〜3のいずれか1項に記載の方法。
分析前、分析もしくは分析後検査装置、または検査室情報システムであるデータソースから、前記携帯機器が前記機密データを要求し、その現在位置が、要求実行時に前記セキュリティー境界内に存在する場合のみ、前記携帯機器が機密データを要求し、
前記携帯機器が、要求された前記機密データを前記データソースから受け取ること
をさらに含む請求項1〜3のいずれか1項に記載の方法。
【請求項5】
前記消去することが、
前記機密データを含むデータセットを評価し、前記データセットの残りを記憶媒体に保持しながら、前記機密データを選択的に消去すること
を含む請求項1〜4のいずれか1項に記載の方法。
前記機密データを含むデータセットを評価し、前記データセットの残りを記憶媒体に保持しながら、前記機密データを選択的に消去すること
を含む請求項1〜4のいずれか1項に記載の方法。
【請求項6】
前記消去することが、
前記携帯機器の現在位置がセキュリティー境界内に存在するという、前記携帯機器による以降の判定の際に、消去されたデータ記録を修復することが可能になるように、消去される前記機密データのデータ記録の識別子を前記記憶媒体に記憶すること
を含む請求項1〜5のいずれか1項に記載の方法。
前記携帯機器の現在位置がセキュリティー境界内に存在するという、前記携帯機器による以降の判定の際に、消去されたデータ記録を修復することが可能になるように、消去される前記機密データのデータ記録の識別子を前記記憶媒体に記憶すること
を含む請求項1〜5のいずれか1項に記載の方法。
【請求項7】
前記携帯機器はユーザに対し検査装置の操作データを表示し、
前記携帯機器は、表示された前記検査装置の操作データに基づいてユーザインターフェースを介して前記ユーザによって入力された制御インプットデータを受け取り、
前記携帯機器が、その現在位置が前記セキュリティー境界内に存在する場合のみ、入力された前記制御インプットデータに従って制御コマンドを検査装置に送る
請求項1〜6のいずれか1項に記載の方法。
前記携帯機器は、表示された前記検査装置の操作データに基づいてユーザインターフェースを介して前記ユーザによって入力された制御インプットデータを受け取り、
前記携帯機器が、その現在位置が前記セキュリティー境界内に存在する場合のみ、入力された前記制御インプットデータに従って制御コマンドを検査装置に送る
請求項1〜6のいずれか1項に記載の方法。
【請求項8】
前記携帯機器が、加えて、以下の事象:
前記携帯機器の電源オフの際、
前記携帯機器からのユーザのログオフの際、
前記携帯機器上で実行され、請求項1〜8のいずれか1項に記載の方法を実行するアプリケーションプログラムのシャットダウンの際、
前記アプリケーションプログラムからの前記ユーザのログオフの際、
前記携帯機器と相互作用する前記ユーザによってトリガーされた消去コマンドを受け取る際、
前記携帯機器が、前記セキュリティー境界内に位置するデータ処理システムによって送られた消去コマンドを受け取る際、
のうちの任意の1つに対して前記機密データの消去を実行する請求項1〜7のいずれか1項に記載の方法。
前記携帯機器の電源オフの際、
前記携帯機器からのユーザのログオフの際、
前記携帯機器上で実行され、請求項1〜8のいずれか1項に記載の方法を実行するアプリケーションプログラムのシャットダウンの際、
前記アプリケーションプログラムからの前記ユーザのログオフの際、
前記携帯機器と相互作用する前記ユーザによってトリガーされた消去コマンドを受け取る際、
前記携帯機器が、前記セキュリティー境界内に位置するデータ処理システムによって送られた消去コマンドを受け取る際、
のうちの任意の1つに対して前記機密データの消去を実行する請求項1〜7のいずれか1項に記載の方法。
【請求項9】
前記現在位置の判定、および前記機密データが消去されるか否かの判定が、継続的に繰り返される請求項1〜8のいずれか1項に記載の方法。
【請求項10】
前記携帯機器の前記現在位置が前記セキュリティー境界内に存在するかどうかの判定が、
前記携帯機器が、前記記憶媒体または前記携帯機器に動作可能に接続された更なる記憶装置に記憶される、前記セキュリティー境界を特定する位置座標を含む地理データにアクセスし、
判定された現在位置の位置座標が前記セキュリティー境界の前記位置座標内に存在するかどうかを判定すること
を含む請求項1〜9のいずれか1項に記載の方法。
前記携帯機器が、前記記憶媒体または前記携帯機器に動作可能に接続された更なる記憶装置に記憶される、前記セキュリティー境界を特定する位置座標を含む地理データにアクセスし、
判定された現在位置の位置座標が前記セキュリティー境界の前記位置座標内に存在するかどうかを判定すること
を含む請求項1〜9のいずれか1項に記載の方法。
【請求項11】
前記機密データが消去されるか否かの判定および前記データの消去が、前記携帯機器上で実行される第1のアプリケーションプログラムによって実行され、前記第1のアプリケーションプログラムは、データ処理装置上で実行される第2のアプリケーションプログラムと相互運用可能であり、前記第1および第2のアプリケーションプログラムは相互作用して、前記ユーザが、
前記憶媒体に記憶された前記機密データを分析すること、および/または
前記携帯機器のインターフェースを経由して、前記携帯機器の前記記憶媒体に記憶された前記機密データのそれぞれのデータ記録の編集または削除をし、前記データ記録に対するいかなる変更も、中央記憶媒体に記憶された前記機密データのコピーに自動的に伝達されて同期されること、および/または
前記第1のアプリケーションプログラムのグラフィカルユーザインターフェースを経由して前記ユーザに提供された前記機密データに基づいて、患者サンプルの分析前、分析または分析後の処理を、停止し、開始し、またはリスケジュールするために検査装置を制御すること、および/または
患者サンプルの分析前、分析または分析後の処理を実行する検査装置をモニタリングすること
を可能にする請求項1〜10のいずれか1項に記載の方法。
前記憶媒体に記憶された前記機密データを分析すること、および/または
前記携帯機器のインターフェースを経由して、前記携帯機器の前記記憶媒体に記憶された前記機密データのそれぞれのデータ記録の編集または削除をし、前記データ記録に対するいかなる変更も、中央記憶媒体に記憶された前記機密データのコピーに自動的に伝達されて同期されること、および/または
前記第1のアプリケーションプログラムのグラフィカルユーザインターフェースを経由して前記ユーザに提供された前記機密データに基づいて、患者サンプルの分析前、分析または分析後の処理を、停止し、開始し、またはリスケジュールするために検査装置を制御すること、および/または
患者サンプルの分析前、分析または分析後の処理を実行する検査装置をモニタリングすること
を可能にする請求項1〜10のいずれか1項に記載の方法。
【請求項12】
前記機密データが消去されるか否かの判定、前記データの消去、前記モニタリングおよび/または制御が、前記ユーザ識別子または役割識別子に依存して、かつ、判定された前記現在位置に依存した方法で実行され、前記依存は前記第1のアプリケーションプログラムによって実行された規則によって実現される請求項11記載の方法。
【請求項13】
前記携帯機器が所定の前記セキュリティー境界内にある間、前記携帯機器の前記記憶媒体に記憶された機密データは、サーバの更なる記憶媒体と継続的に同期され、それにより、前記携帯機器上で変更された機密データが、前記サーバの更なる前記記憶媒体に記憶可能となり、変更された前記機密データが所定の前記セキュリティー境界の外の権限あるユーザによってアクセスされ得ることを特徴とする請求項1または2記載の方法。
【請求項14】
携帯機器のプロセッサによって実行されるときに、請求項1〜13のいずれか1項に記載の方法を前記プロセッサに実行させる指示を含む、コンピュータによって読み取り可能な記憶媒体。
【請求項15】
機密データが権限のない者にアクセスできないことを保証する分析システムであって、前記機密データは患者データを含み、前記分析システムは生物学的サンプルを分析するための少なくとも1つの分析器を備え、前記分析システムが、
プロセッサ、
前記機密データを含む記憶媒体、
携帯機器の現在位置を判定するように操作可能な位置判定手段、
コンピュータが読み取り可能なアプリケーションプログラムの指示
を有する携帯機器をさらに備え、
前記コンピュータが読み取り可能なアプリケーションプログラムの指示が、前記プロセッサにより実行される際に、
前記現在位置の判定をトリガーすることと、
前記現在位置が少なくとも1つの分析器を囲むセキュリティー境界の外に存在することが判定された場合、前記携帯機器が前記記憶媒体から前記機密データを自動的に消去させることと
を含む方法を、アプリケーションプログラムに実行させ、
前記消去が、1つまたは2つ以上の規則に従って実行され、前記規則の少なくとも1つがユーザに依存する消去ポリシーを含み、前記方法がさらに、
前記携帯機器が前記ユーザの識別子を受け取り、
前記規則を実行し、それにより、前記ユーザ識別子、判定された前記現在位置および前記セキュリティー境界をインプットとして得ることを含み、
前記現在位置がセキュリティー境界の外に存在することが判定される場合に、ユーザに特有の消去が実行され、消去される機密データの量および/または種類が前記ユーザ識別子に依存することを特徴とする分析システム。
プロセッサ、
前記機密データを含む記憶媒体、
携帯機器の現在位置を判定するように操作可能な位置判定手段、
コンピュータが読み取り可能なアプリケーションプログラムの指示
を有する携帯機器をさらに備え、
前記コンピュータが読み取り可能なアプリケーションプログラムの指示が、前記プロセッサにより実行される際に、
前記現在位置の判定をトリガーすることと、
前記現在位置が少なくとも1つの分析器を囲むセキュリティー境界の外に存在することが判定された場合、前記携帯機器が前記記憶媒体から前記機密データを自動的に消去させることと
を含む方法を、アプリケーションプログラムに実行させ、
前記消去が、1つまたは2つ以上の規則に従って実行され、前記規則の少なくとも1つがユーザに依存する消去ポリシーを含み、前記方法がさらに、
前記携帯機器が前記ユーザの識別子を受け取り、
前記規則を実行し、それにより、前記ユーザ識別子、判定された前記現在位置および前記セキュリティー境界をインプットとして得ることを含み、
前記現在位置がセキュリティー境界の外に存在することが判定される場合に、ユーザに特有の消去が実行され、消去される機密データの量および/または種類が前記ユーザ識別子に依存することを特徴とする分析システム。
【請求項16】
機密データが権限のない者にアクセスできないことを保証する分析システムであって、前記機密データは患者データを含み、前記分析システムは生物学的サンプルを分析するための少なくとも1つの分析器を備え、前記分析システムが、
プロセッサ、
前記機密データを含む記憶媒体、
携帯機器の現在位置を判定するように操作可能な位置判定手段、
コンピュータが読み取り可能なアプリケーションプログラムの指示
を有する携帯機器をさらに備え、
前記コンピュータが読み取り可能なアプリケーションプログラムの指示が、前記プロセッサにより実行される際に、
前記現在位置の判定をトリガーすることと、
前記現在位置が少なくとも1つの分析器を囲むセキュリティー境界の外に存在することが判定された場合、前記携帯機器が前記記憶媒体から前記機密データを自動的に消去させることと
を含む方法を、アプリケーションプログラムに実行させ、
前記方法がさらに、
前記セキュリティー境界内に現在存在している前記携帯機器が、前記携帯機器と前記セキュリティー境界の境界線の間の現在の距離が、距離のしきい値より小さいことを自動的に判定し、
前記判定に応じて、前記携帯機器のユーザインターフェースを介してユーザに通知を出力することを含み、
前記通知が、ユーザがセキュリティー境界を出ようとしていること、およびこの場合に前記機密データが消去されてしまうことを示すことを特徴とする分析システム。
プロセッサ、
前記機密データを含む記憶媒体、
携帯機器の現在位置を判定するように操作可能な位置判定手段、
コンピュータが読み取り可能なアプリケーションプログラムの指示
を有する携帯機器をさらに備え、
前記コンピュータが読み取り可能なアプリケーションプログラムの指示が、前記プロセッサにより実行される際に、
前記現在位置の判定をトリガーすることと、
前記現在位置が少なくとも1つの分析器を囲むセキュリティー境界の外に存在することが判定された場合、前記携帯機器が前記記憶媒体から前記機密データを自動的に消去させることと
を含む方法を、アプリケーションプログラムに実行させ、
前記方法がさらに、
前記セキュリティー境界内に現在存在している前記携帯機器が、前記携帯機器と前記セキュリティー境界の境界線の間の現在の距離が、距離のしきい値より小さいことを自動的に判定し、
前記判定に応じて、前記携帯機器のユーザインターフェースを介してユーザに通知を出力することを含み、
前記通知が、ユーザがセキュリティー境界を出ようとしていること、およびこの場合に前記機密データが消去されてしまうことを示すことを特徴とする分析システム。
【請求項17】
サンプル処理システムをさらに備え、前記機密データの少なくとも一部は、少なくとも1つの分析器から集められ、前記サンプル処理システムが、
前記セキュリティー境界内に存在し、集められた前記機密データをネットワークを介して前記携帯機器のアプリケーションプログラムに転送するように操作可能なデータ処理ユニット、および
第1のユーザまたは第2のユーザが、前記セキュリティー境界の位置座標を特定し、および/または、前記消去がどのように行われるかを決定するユーザ特有のおよび/または位置特有の規則を設定することを可能にするコンフィギュレーションユニット
を備える請求項15または16に記載の分析システム。
前記セキュリティー境界内に存在し、集められた前記機密データをネットワークを介して前記携帯機器のアプリケーションプログラムに転送するように操作可能なデータ処理ユニット、および
第1のユーザまたは第2のユーザが、前記セキュリティー境界の位置座標を特定し、および/または、前記消去がどのように行われるかを決定するユーザ特有のおよび/または位置特有の規則を設定することを可能にするコンフィギュレーションユニット
を備える請求項15または16に記載の分析システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、生物学的サンプル分析システムの分野、特に患者の機密データを不正アクセスから守る分析システムに関するものである。
【背景技術】
【0002】
機密データ、例えば、患者の生物学的サンプルを分析した分析システムによって作られた生物医学的測定データは不正アクセスから保護されなければならない。検査室の職員は、機密データを解析するため、および/または、検査室の機器または他の検査室に関連するアイテムやタスクを管理し、モニタリングし、操作するため、ノートパソコン、タブレットPC、スマートフォンのような携帯処理装置を使うことがますます増加している。携帯機器は検査室内の異なる部屋で使用できるが、例えば携帯機器が仕事中だけでなく、自宅から個人的に使用されるような場合など、検査室の建物、会社や大学の敷地内から外へ持ち運ぶこともできる。この場合、例えば、研究員が公共交通機関で通勤する時に、携帯機器が失われるか、または盗まれるというリスクを負う。それゆえ、携帯機器に蓄積された機密データが、権限のない第三者にアクセス可能になる可能性がある。
【0003】
パスワードによる認証をベースとするロックメカニズムのような携帯機器のデータ保護の方法は、携帯機器のハードウェアにアクセスする、特定の知識と十分な時間を有する個人によって容易に抜け道が考えだされる。例えば暗号化キーをベースとしたより安全なロックメカニズムはしばしば使用には非実用的で複雑なキー管理が必要となり得る。
【0004】
特許文献1には、要求の発信者の位置に基づいて、要求されたデータにアクセスすることを制限するシステムおよび方法が記載されている。記載されたシステムと方法は要求に応答するシステムがアップされ実行されていることを必要とする。携帯機器が失われまたは盗まれた場合や、権限のない者が保護されるべきデータを含むハードウェアを所有した場合は、保護がなされない。
【0005】
特許文献2には、ストレージクリーニングメカニズムで登録されたアプリケーションの、データ保護方法およびシステムが開示されている。登録されたアプリケーションは、ストレージクリーニングシステムからの差し迫ったストレージクリーニングオペレーションの通知を受け取ることができる。通知を受け取るとすぐに、登録されたアプリケーションはストレージを解放するか、または参照されないようにすることができ、データのクリーニングが行われる。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】米国特許出願公開第2011/0191862号明細書
【特許文献2】米国特許第7912455号明細書
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の目的は、携帯機器に記憶された患者の機密データを保護する、改良された分析システムおよび方法を提供することである。この目的は、独立請求項の特徴によって解決される。発明の好ましい実施形態は従属請求項に示す。明確に別段の表示がない場合は、発明の実施形態は互いに自由に組み合わせることができる。
【課題を解決するための手段】
【0008】
本明細書において用いられる「ユーザ」とは、ユーザに一意的に割り当てられたユーザIDによって表され、識別される人間のことである。ユーザは検査室のIT−インフラストラクチャーの一部であるプログラムロジックに登録されていてもよい。
【0009】
本明細書において用いられる「生物学的サンプル」もしくは「サンプル」とは、血液、尿、唾液、組織片等のような、検査室における分析もしくは、分析前および分析後処理に使用するための、ある特定の量の生物学的物質のことである。
【0010】
本明細書において用いられる用語「分析器」および「分析用検査装置」は測定値を得るために生物学的サンプルと試薬の反応を引き起こす装置または装置の構成部分を含む。分析器は、多様な化学的、生物学的、物理学的、光学的または他の技術的手順を介して、サンプルまたはその成分のパラメータ値を測定するために操作可能である。分析器はサンプルもしくは少なくとも1つの分析物のパラメータを測定し、得られた測定値を戻す操作が可能である。分析器によって戻された分析結果のリストには、サンプル中の分析物の濃度、サンプル中の分析物の存在を示すデジタル(イエスかノー)の結果(検出レベルを超える濃度に相当する)、光学パラメータ、DNAまたはRNA配列、タンパク質もしくは代謝生成物の質量分光測定法から得られたデータおよび多様なタイプの物理的もしくは化学的パラメータが含まれるが、これらに限定されるものではない。本明細書において用いられる分析器という用語は、ある生理学的、生化学的、または診断に関連した特徴を示すサンプルからのデータを抽出するために操作できる顕微鏡および他の種類の検査装置をも含む。
【0011】
「分析前検査装置」は、1つまたは2つ以上の生物学的サンプルについて1つまたは2つ以上の分析前処理ステップを実行するための操作ができる検査装置である。それによって1つまたは2つ以上の次に続く分析テストのためのサンプルが用意される。分析前処理ステップは、例えば遠心分離ステップ、キャッピング、デキャッピングまたはリキャッピングステップ、分注ステップ、サンプルに緩衝液を加えるステップ等であってもよい。
【0012】
「分析後検査装置」は、1つまたは2つ以上の分析された生物学的サンプルを自動的に処理および/または保管するために操作可能な検査装置である。分析後処理ステップは、リキャッピングステップ、分析器からサンプルを取り出すステップ、保管ユニットまたは生物学的廃棄物の収集のためのユニットへサンプルを転送するステップを備えていてもよい。
【0013】
本明細書において用いられる「分析システム」は、1つまたは2つ以上の分析器を備える。加えて、それは1つまたは2つ以上の分析前および/または分析後検査装置を備えていてもよい。分析システムは、分析器および/または分析前および/または分析後検査装置の性能をモニターし、および/または制御するために操作可能な1つまたは2つ以上の制御ユニットを備えていてもよい。制御ユニットは、集めた分析データを評価および/または処理するため、分析器へのおよび/または分析器からの、サンプルの搭載、保管および/または離脱を制御するため、および分析を開始するため、または分析のためのサンプル、試料管もしくは試薬などを調製するために使用される分析システムのハードウェアもしくはソフトウェアの作業を開始するなどのために操作可能であってもよい。1つまたは2つ以上の制御ユニットは、それらの現在位置に関係なく、分析装置の一部であるとみなされる1つまたは2つ以上の携帯機器にインストールされたアプリケーションプログラムを備えるか、またはアプリケーションプログラムとして実行されてもよい。
【0014】
本明細書において用いられる用語「機密データ」は、患者を識別可能な患者データを含む。患者データは、患者の名前、誕生日、住所もしくは住所の一部、および/または患者識別子(例えば、社会保障番号もしくは健康保険番号、患者の診断記録識別子、イーメールアドレスまたは他の一意的な識別子)を含む。加えて、機密データは、診断および/または技術データ、例えば検査装置運転データおよび/または患者と関連付けられた測定データなどを含んでいてもよい。測定データは患者の生物学的サンプルを処理することにより得られる。測定データは同様にX線またはNMR画像のような画像データ、染色された組織片画像などであってもよい。機密データはさらに測定値を含み、以前のまたは現在の診断および治療の情報、患者の住所の情報、患者IDなどもまた含んでいてもよい。検査装置運転データは、検査装置のタイプ、運転状態および/または性能を示している。例えば、検査装置運転データは時間当たりの処理サンプル数、分析の質を示すエラー統計とパラメータを含んでいてもよい。検査装置運転データは、検査装置が試薬もしくは消耗品を使い果たしたかまたは技術的エラーに起因して停止されたかを示してもよい。
【0015】
「規則」とは、少なくとも1つの動作を含み、1つまたは複数の条件を含むコンピュータが解釈可能な、一組の指示であって、従って少なくとも1つの動作の実行は、1つまたは2つ以上の入力値に関する1つまたは2つ以上の条件の評価に依存する。規則を実行することは、入力値についての前記条件を評価することおよび評価結果に依存する少なくとも1つの動作を実行することを意味する。
【0016】
本明細書において用いられる「携帯機器」は人間によって持ち運ばれる任意のデータ処理装置である。例えば、携帯機器とはノートブック型コンピュータ、タブロイド、携帯電話、特にスマートフォンなどであってよい。
【0017】
「生物学的サンプル」という用語は、人間または任意の他の生物に由来する任意の種類の組織または体液を含む。特に、生物学的サンプルは全血、血清、血漿、尿、脳脊髄液もしくは唾液サンプルまたはそれらの派生物であり得る。
【0018】
「セキュリティー境界」とは、その境界が携帯機器の記憶媒体に記憶されまたは携帯機器によってアクセス可能な地理的なおよび/または空間的な領域のことであり、データの安全性に関する保護域として考えられる領域である。セキュリティー境界は分析システムの分析器を取り囲み、そして、分析器周辺の所定のエリアを含む。セキュリティー境界によって画定されたエリアは、任意の形と大きさのものであって、分析器の実施形態と場所に従って、はっきりと画定されたまたはおおよそに画定された境界線を有し得る。実施形態によると、セキュリティー境界は、所定の中心および半径を有する円として、1つまたは2つ以上の建物の一組として、建物内の1つまたは2つ以上の部屋などとして特定され得る。特に、セキュリティー境界は研究所、大学、病院などの敷地周辺の領域であってもよい。セキュリティー境界は、例えば、地理的位置座標または送られた信号(分析器の中または近くの装置から送られるようなもの)の範囲によって特定され、携帯機器によるそれらの損失は、境界を越えていることを示す。代わりに、セキュリティー境界は、境界が越えられてしまっていることを示す携帯機器に、信号を供給する送信器によって特定される。かかる送信器は、携帯機器を持ち運んでいる人が分析器付近を去るときに通過する分析器の周囲の1つまたは2つ以上の部屋に位置する送信器となり得る。
【0019】
一形態において、本発明は、権限を有しない者が携帯機器の記憶媒体に記憶された機密データにアクセスできないことを確実にするための方法に関する。機密データは患者データを含む。携帯機器はその現在位置を判定し、その現在位置が所定のセキュリティー境界内に存在するかどうかを判定する。所定のセキュリティーパラメータは、それが分析システムの分析器を囲むように決定される。現在位置がセキュリティー境界の外に存在すると判定された場合、携帯機器は自動的に機密データを記憶媒体から消去する。
【0020】
前記特徴は、携帯機器が失われ、または盗まれた場合、およびセキュリティー境界の外へ移動された場合に位置依存性のトリガー機構により記憶媒体から機密データを積極的に取り除き、それによって、ハードウェアにアクセスしている権限のないユーザが不十分な安全対策を破ることおよび機密データにアクセスできることの可能性を排除することを保証することができる。
【0021】
実施形態によると、現在位置は例えばGPS座標(地理的位置サービス)のような、地理的位置であってもよい。同様に、現在位置は所定の地図要素または座標システムに対する、機器の位置の任意の表示器であってもよい。現在位置はまた、部屋番号および/または建物番号、部門または検査室の識別子などであってもよい。
【0022】
実施形態によれば、前記方法はさらに、1つまたは2つ以上の患者の生物学的サンプルを分析する分析器を備え、それにより分析測定データを作成する。分析測定データはネットワークを経由して分析器から携帯機器へ送られる。携帯機器は、生物学的サンプルが得られた患者で、かつ機密データに含まれた患者データによって識別された患者の機密データと関連付けて分析測定データを記憶する。携帯機器のユーザは患者の分析測定データを評価し、そしてさらなる分析前の、分析のまたは分析後のサンプル処理ステップをモニタリングおよび/または制御するための命令を携帯機器から分析システムへ送るために前記評価を使用してもよい。
【0023】
ある実施形態によれば、消去は1つまたは2つ以上の規則に従って実行される。規則は例えば携帯機器の記憶装置に記憶されてもよいし、または中央サーバに記憶されてもよく、必要に応じてサーバから動的に検索されても構わない。少なくとも規則の1つはユーザ依存の消去ポリシーを備える。携帯機器はユーザの識別子を受け取る。本明細書においてユーザIDとしても言及される識別子を、例えば携帯機器にまたは、携帯機器上で動作しているアプリケーションプログラムにログインし、上記方法を実行する際に受け取ってもよい。携帯機器はこれらの規則を実行し、それによって、ユーザ識別子、判定された現在位置およびセキュリティー境界をインプットとする。ユーザIDはいくつかのユーザに特有の規則を選択するために使用されてもよい。現在位置がセキュリティー境界の外に存在することが判定される場合に、ユーザに特有の消去が実行され、消去される機密データの量および/または種類はユーザ識別子に依存する。規則は例えばコンパイルされたプログラムコードまたはプログラムスクリプトの形式で実行されてもよい。それらは携帯機器上で実行されたアプリケーションの一部として実行されてもよい。
【0024】
ある実施形態によれば、それぞれのユーザは役割および対応する役割IDを割り当てられる。少なくとも規則のいくつかは、役割に特有のものであり、役割に特有の消去ポリシーを実行する。実施形態によれば、役割と対応規則は、ASTM基準(米国材料試験協会)E1986−09および/またはISO/TS22600−1:2006、ISO/TS22600−2:2006、ISO/DIS22600−2、ISO/TS22600−3:2009およびISO/DIS22600−3などのISO規格に従って実行される。
【0025】
いつくかの実施形態によれば、携帯機器の記憶媒体は不揮発性記憶媒体である。これは、停電の場合に、その間携帯機器がセキュリティー境界の外へ移動されないという条件で、データが不揮発性記憶媒体から容易に回復され得るという利点を有する。
【0026】
他の実施形態によれば、記憶媒体は揮発性記憶媒体である。機密データは不揮発性記憶媒体に限られるものではない。これはさらに安全性を増し、機密データの消去の処理をスピードアップすることができる。
【0027】
そのうえさらなる実施形態によれば、記憶媒体は機密データまたはその一部を記憶している揮発性記憶媒体および不揮発性記憶媒体を備える。機密データを消去することは、揮発性記憶媒体からおよび不揮発性記憶媒体から機密データを消去することを含む。消去ポリシーは両種類の記憶媒体によって異なっていてもよい。実施形態によれば、揮発性記憶媒体は携帯機器のメインメモリであり、不揮発性記憶媒体は例えば電磁記憶装置のようなハードディスクである。
【0028】
いくつかの実施形態によれば、記憶媒体から機密データを消去することは、以下を含む。記憶媒体をフォーマットすること、または機密データを含むパーティションをフォーマットすることにより機密データを消去すること、これは特に消去手順を減らすことができる;または
機密データを変更せずに、機密データへのポインターを除去することにより機密データを消去すること、これは特に迅速な消去手順を提供することができる;または
機密データへのポインターを除去し、自動的に生成されたデータパターンで機密データを上書きすることにより、機密データを消去すること、ここで、自動的に生成されたデータパターンは、例えば無作為なデータパターンであってもよく、これは、1回または複数回の上書きが実行された後、以前に記憶された機密データ上の物理メモリブロックにおいて未だ含まれているかもしれない任意の情報が取り除かれるので、特に消去手順を減らすことができる;または
暗号化形式で記憶媒体に記憶される機密データを解読するために要求される解読キーを変更または削除すること、これは速く、かつ、安全な方法のデータの消去を提供することができる。
【0029】
いくつかの実施形態では、多数の消去方法が組み合わされてもよく、例えば、解読キーが削除されてもよいし、さらに記憶媒体がフォーマットされてもよい。
【0030】
いくつかの実施形態によれば、携帯機器はデータソースから機密データを要求する。データソースは例えば分析前の、分析のもしくは分析後の検査装置、または室情報システム(LIS)のような検査装置となり得る。携帯機器は、要求を実行するときにその現在位置がセキュリティー境界内に存在するときのみ、機密データを要求する。その後、携帯機器は要求された機密データをデータソースから受け取る。データを受け取るためにセキュリティー境界内に存在するという携帯機器の要件は、データ伝送もまた安全な領域内で実行されることが保証されるので、安全性を増すことができる。
【0031】
LISをホスティングする検査装置もしくはサーバは、セキュリティー境界の外または内に存在してもよく、携帯機器が携帯機器とデータ交換することを可能にするインターフェースを備えていてもよい。加えて、またはこれに代えて、検査装置およびLISは携帯機器からのデータ管理用コマンド、装置管理用コマンドおよび/または制御コマンドを受け取ってもよい。
【0032】
機密データまたはその一部である、例えば測定データは、最初にデータを集めた検査装置から、代表的にはLISの一部となっているコンピュータであるデータ処理装置に伝送される。データ処理装置は他の多数の検査室のコンピュータおよび検査装置のためのインフォメーションハブとして、および/または検査装置で指示された制御コマンドを受け取るための共通のインターフェースとして働いてもよい。データ処理装置は検査装置から受け取った測定データ、モニタリングデータおよび/またはステータス情報を集めてもよい。伝送は例えば検査室インターネットのようなネットワークを経由して、または例えばUSBスティックのようなポータブルデータキャリアを介して実行されてもよい。データ処理装置は、データを機密データとしてセキュリティー境界内で要求している携帯機器へ送ってもよい。加えて、またはこれに代えて、データ処理装置は、制御コマンドを受け取ってもよく、携帯機器からのさらなる機密データなどを要求し、そしてデータ処理操作を制御するためにおよび/または検査装置の操作を制御するために受け取ったコマンドを使用してもよい。
【0033】
いくつかの実施形態によれば、前記消去は、機密データを含むデータセットの評価を含む。消去は、データセット(例えば、対応する患者を識別しない患者記録の識別子、検査装置および試薬に関する統計および識別子、アラートメッセ―ジなど)の残りを記憶媒体に保持しながら、機密データを選択的に消去することを含んでいてもよい。加えて、またはこれに代えて、前記方法は、記憶媒体から消去される機密データのデータ記録の識別子を記憶し、または保持し続けることを含んでいてもよい。記憶または保持し続けることは、携帯機器の現在位置がセキュリティー境界内に存在するという、以降の判定の際に、消去されたデータ記録を修復することが可能になるように実行される。前記方法はさらに、その現在位置が再びセキュリティー境界内に存在することを判定し、消されていない記録の識別子を基に、消去されたデータ記録を修復する携帯機器を備えていてもよい。データ記録は、例えば記録識別子を含む要求を携帯機器からデータソース、例えばLISのデータベースサーバとして機能するデータ処理装置へ送ること、およびデータソースから記録識別子を経由して識別されたそれぞれの記録を検索することによって、修復されてもよい。これは、携帯機器上に任意の機密データを残すことなく、データ記録の復元および再読み込みを早めることができるため、有利である。
【0034】
他の実施形態では、消去することは、消去されたデータを修復する可能性がある場合またはない場合の、データセット中の全てのデータを消去することを含んでいてもよい。
【0035】
いくつかの実施形態によれば、携帯機器はユーザに対し検査装置の操作データを表示し、そしてユーザインターフェースを介してユーザによって入力された制御インプットデータを受け取る。ユーザインターフェースはキーボード、マイクロフォン、タッチスクリーンなどでよい。制御インプットデータは、表示された検査装置操作データに基づいて入力され、インプットデータを受け取ると、携帯機器は、その現在位置がセキュリティー境界内に存在する場合に限り、入力された制御インプットデータに従って制御コマンドを検査装置に送る。
【0036】
いくつかの実施形態によれば、携帯機器は、携帯機器上のユーザのある動作に基づいて、データソースからさらなる機密データを相互に要求し、および受け取り続ける。相互の要求・応答オペレーションは、データソースによって提供されるサーバプログラム、および携帯機器上で動作しているクライアントプログラムによって実行されてもよい。携帯機器の現在位置がセキュリティー境界内に存在することが判定される限り、携帯機器のアプリケーションはその記憶媒体に受け取った機密データを記憶する。現在位置がセキュリティー境界の外であることを判定すると、アプリケーションは機密データを消去する。
【0037】
いくつかの実施形態によれば、セキュリティー境界内に現在存在している携帯機器は、携帯機器とセキュリティー境界の境界線の間の現在の距離が、距離のしきい値より低いことを自動的に判定する。これは、セキュリティー境界の境界線に近づいている携帯機器をユーザが持ち運んでいるとき、例えば就業日の終わりに検査室から去るときに起こり得る。判定に応じて、携帯機器は、携帯機器のユーザインターフェースを介してユーザに通知を出力する。この通知は、ユーザがセキュリティー境界を出ようとしていること、およびこの場合に機密データが消去されることを示す。従って、彼もしくは彼女が携帯機器を介して機密データを扱う仕事を現在している場合およびセキュリティー境界を偶発的に出るに至ってしまった場合、ユーザは即座に動作を停止することができる。セキュリティー境界の外に偶発的に踏み出ることによるデータ喪失は、このようにして避けることができる。インターフェースはグラフィックインターフェース、音響インターフェースなどであってもよい。
【0038】
いくつかの実施形態によれば、携帯機器は、加えて、以下のいずれかの事象のうちの任意の1つに対して機密データの消去を実行する:携帯機器の電源オフに際して;携帯機器からユーザがログオフする際;携帯機器上で実行され、前記実施形態のいずれか1つの方法を実行するアプリケーションプログラムのシャットダウンの際;アプリケーションプログラムからユーザがログオフする際;携帯機器と相互作用するユーザによってトリガーされた消去コマンドを受け取る際;携帯機器が、セキュリティー境界内に位置するデータ処理装置によって送られた消去コマンドを受け取る際。
【0039】
実施形態によれば、現在位置の判定、および機密データが消去されるか否かの判定は継続的に、例えば所定の時間間隔で繰り返される。加えて、位置に依存する消去がユーザのアクション、例えばボタンのクリック、携帯機器のその軸に沿った加速、などを受け取る際に実行されてもよい。
【0040】
いくつかの実施形態によれば、携帯機器の現在位置がセキュリティー境界内に存在するか否かの判定は、携帯機器が、記憶媒体または携帯機器と操作可能に接続された更なる記憶装置に記憶されている地理データにアクセスすることを含む。地理データは、セキュリティー境界を特定する位置座標、例えばGPSデータ、1つまたは2つ以上の部屋IDおよび/または建物IDなどを含み;それから携帯機器は、携帯機器の現在位置が判定された現在位置の地理座標がセキュリティー境界の位置座標内に存在するかどうか判定する。いくつかの実施形態によれば、セキュリティー境界を特定している位置座標は、セキュリティー境界の境界線の再決定を容易にするために、例えばグラフィカルインターフェースを介して、ユーザまたはオペレータによって編集可能とされてもよい。
【0041】
機密データが消去されるか否かの判定およびデータ消去は、携帯機器上で実行された第1のアプリケーションプログラムによって実行されてもよい。携帯機器は携帯電話でもよいし、アプリケーションプログラムはいわゆる「アプリ」であってもよい。アプリはネイティブアプリとして実行され、アプリの明確なストレージ機能が実行されない限りは、データは携帯機器の記憶媒体に記憶されない。代わりに、アプリはネットワークを経由したデータ処理装置上で動作している第2のアプリケーションによって提供されたウェブアプリを実行しているインターネットブラウザとして実行される。データ処理装置は中央サーバまたは1つの検査装置であってもよい。一般的にブラウザーはいくつかの受け取ったデータをキャッシュメモリに入れるが、機密データの消去を実行すると、前記キャッシュは空にされる。
【0042】
第1のアプリケーションプログラムはデータ処理装置上で実行される第2のアプリケーションプログラムと相互運用可能である。データ処理装置はセキュリティー境界の内または外に存在し得る。
【0043】
第1のおよび第2のアプリケーションプログラムは、相互作用して、ユーザが1つまたは2つ以上の以下のステップを実行することを可能にする。携帯機器の記憶媒体に記憶された機密データを分析すること;および/または
携帯機器のインターフェースを経由して、携帯機器の記憶媒体に記憶された機密データのそれぞれのデータ記録を編集または削除すること、ここで、前記データ記録に対するいかなる変更も、中央記憶媒体に蓄えられた機密データのコピーに自動的に伝達され、かつ同期され、中央記憶媒体はLISの一部であって、遠隔操作によって携帯機器からアクセス可能となり得る;および/または
第1のアプリケーションプログラムのグラフィカルユーザインターフェースを経由して、ユーザに提供された機密データに基づいて患者サンプルの分析前、分析または分析後の処理を停止し、開始しまたはリスケジュールするために検査装置を制御すること;および/または
患者サンプルの分析前、分析または分析後の処理を実行している検査装置をモニタリングすること。
【0044】
第2のアプリケーションプログラムをホスティングしているデータ処理装置はLISコンピュータ、検査装置のプロセッサ、装置制御コンピュータなどであってもよい。データ処理装置はまた、携帯機器に機密データを供給するデータソースとして動作し、または前記データソースを備える。データ処理装置は中央記憶媒体を備えるか、または中央記憶媒体と操作可能に接続されてもよい。
【0045】
いくつかの実施形態によれば、機密データが消去されるか否かの判定、データ消去、モニタリングおよび/または制御は、ユーザに依存し、判定された現在位置に依存した方法で実行される。この依存は、第1のアプリケーションプログラムによって実行された規則によって実行されてもよい。
【0046】
さらなる形態において、本発明は、携帯機器のプロセッサによって実行されるときに、上述の実施形態のいずれかの方法をプロセッサに実行させる指示を含むコンピュータによって読み取り可能な記憶媒体に関する。
【0047】
さらなる態様において、本発明は、権限のない者が機密データにアクセスできないことを保証する分析システムに関する。機密データは少なくとも患者データを含む。分析システムは、生物学的サンプルを分析するための少なくとも1つの分析器および携帯機器を備える。携帯機器はプロセッサおよび機密データを含む記憶媒体を備える。携帯機器はさらに、携帯機器の現在位置を判定する操作が可能な位置判定手段を備える。位置決め手段は、GPSセンサ、ローカル測位システム(LPS)モジュールなどとして実行されてもよい。携帯機器はさらに、コンピュータが読み取り可能なアプリケーションプログラムの指示を備え、これらの指示は、プロセッサによる実行の際に、携帯機器の現在位置の判定をトリガーすること;現在位置が少なくとも1つの分析器を囲むセキュリティー境界の外に存在することが判定された場合、携帯機器に記憶媒体からの機密データを自動的に消去させることを含む方法をアプリケーションプログラムに実行させる。
【0048】
実施形態に応じて、分析器はセキュリティー境界の中央またはセキュリティー境界内の任意の他のエリアに配置されてもよい。
【0049】
いくつかの実施形態によれば、位置判定手段は携帯機器の製造業者によって供給される位置特定サービスである。例えば携帯機器は携帯電話であってもよく、位置特定サービスは内蔵のハードウェア機能として携帯電話の製造業者によって供給されてもよい。
【0050】
いくつかの実施形態によれば、分析システムはさらに1つまたは2つ以上の追加のサンプル処理検査装置、例えば分析前および/または分析後の検査装置を備える。追加のサンプル処理検査装置はセキュリティー境界内にまたはセキュリティー境界の外に存在してもよい。追加の検査装置は患者の生物学的サンプルから追加の機密データを集めるため、および機密データを分析システムから携帯機器へ送るために使用されてもよい。追加的に集められた機密データは測定データであってもよい。
【0051】
サンプル処理システムはさらに以下を備えていてもよい。集められた機密データをネットワークを介して携帯機器のアプリケーションプログラムに転送するように操作可能なデータ処理ユニット。いくつかの実施形態によれば、このデータ処理ユニットは、分析器の一部または追加の検査装置であってもよく、それにより、分析器または追加の検査装置がデータソースとして稼働し、機密データを携帯機器に直接転送することが可能となる。
第1のユーザまたは第2のユーザが、セキュリティー境界の位置座標を特定すること、および/または、消去がどのように行われるか決定する、ユーザ特有のおよび/もしくは位置特有の規則を設定することを可能にするコンフィギュレーションユニット。このコンフィギュレーションユニットは、携帯機器の一部であってもよく、および/または、ネットワークを経由して携帯機器に接続されたデータ処理装置によってホストされてもよい。
【0052】
コンフィギュレーションは、遠隔操作で検査室のオペレータによって、または携帯機器のインターフェースを介して携帯機器のユーザによって実行されてもよい。コンフィギュレーションは、ユーザまたはオペレータがLISおよび/または携帯機器上で動作するアプリケーションプログラムで認証することを必要としてもよい。優先的には、携帯機器のインターフェースを経由したコンフィギュレーションは、もし携帯機器の現在位置がセキュリティー境界の外に存在する場合、携帯機器によって禁止されている。
【0053】
以下の発明の実施形態は、図面を参照して、例示のみによって詳細に説明される。
【図面の簡単な説明】
【0054】
【図1】携帯機器、サーバ、分析器および更なる検査装置を備える分析システムを示す。
【図2】携帯機器のブロック図である。
【図3】携帯機器によって実行される方法のフローチャートである。
【図4】互いにインターフェース接続される2つのアプリケーションプログラムのブロック図を示す。
【図5】セキュリティー境界の外へ移動した携帯機器を示す。
【図6】移動のプロセス図である。
【発明を実施するための形態】
【0055】
図1は、権限のない者がユーザ102の携帯機器104の記憶媒体に記憶された機密データにアクセス不可であることを保証する分散型分析システム100を示す。これは、ユーザ102がセキュリティー境界110を出ると、携帯機器がその記憶媒体から機密データを自動的に消去することで保証される。セキュリティー境界とは、ここでは、携帯機器に記憶された機密データが安全であると考えられる地理的領域と考えられる。
【0056】
システムはデータ処理ユニット122とコンフィギュレーションユニット124を有するサーバ120を備える。サーバはさらに、携帯機器上で動作しているアプリケーションプログラムとインターフェース接続しているアプリケーションプログラム128を備える。オペレータ126は、サーバまたは携帯機器に記憶された、データ消去の責任を負っているある規則を設定するためにコンフィギュレーションユニットを使用することができる。システム100はさらに一人または二人以上の患者のいくつかの生物学的サンプル114を分析するために操作可能な分析器112を備える。分析器によって集められた測定データはサーバに伝送される。生物学的サンプルは、分析前検査装置130による分析のために準備されてもよいし、またいくつかの患者に関するデータをサーバ120に送ってもよい。サーバはセキュリティー境界の内(分析器として)または外(分析前検査装置として)に存在しうる1つまたは2つ以上の検査装置から機密データを集める。次にサーバは、ユーザ102、例えば看護師もしくは他の医療のプロ、専門家が、機密データを評価することをおよび/または進行中の分析前、分析、もしくは分析後サンプル処理をモニターもしくは制御することを可能にするために、集めた機密データを携帯機器104に伝送してもよい。データ伝送は携帯電話接続を経由して実行されてもよい。サーバ120やデータソースとして機能する任意の検査装置は、セキュリティー境界110内でまたは当初から機密データを保護するための他の保護域内に優先的に存在している。他の実施形態ではデータソースとして機能する1つまたは2つ以上の検査装置は直接携帯機器とインターフェース接続することができる。
【0057】
自身の携帯機器104を持ち運んでいるユーザ102は2つの違う場所116、106に描かれている。携帯機器が、その位置決めユニットを用いてその現在位置116がセキュリティー境界110内に存在することを判定したとき、ユーザ102が機密データを評価できるようにするために、サーバから携帯機器の記憶媒体に機密データを少なくとも一時的に記憶するために、機密データは携帯機器へ伝送される。携帯機器がその現在位置106がセキュリティー境界の外に存在することを判定したときは、携帯機器はその記憶媒体に記憶された機密データを自動的に消去する。
【0058】
図2は携帯機器104とそのコンポーネントのブロック図を示す。携帯機器はその現在位置を判定するための位置決めユニット218、この場合GPSセンサ、を備える。携帯機器はプロセッサ204とメインメモリ206を備える。ユーザ102によって携帯機器に入力されていてもよい、および/またはサーバ120から受け取っていてもよい機密データ210は、メインメモリに記憶される。それに加えて、携帯機器について示された実施形態では、機密データ210またはその一部のコピーを含んでいる不揮発性記憶媒体208を備える。記憶媒体208はまた、位置決めユニット218がセキュリティー境界の外に携帯機器があることを判定したとき、メインメモリから、および/または不揮発性記憶媒体208から機密データ210を消去するためのいくつかの規則212を備えていてもよい。コンフィギュレーションモジュール214は携帯機器104のユーザインターフェースを介して携帯機器内に記憶された規則、および/またはセキュリティー境界の境界線をユーザが設定することを可能にする。加えてもしくは代わりに、規則および/またはセキュリティー境界の境界線は分析システムのオペレータ126によって遠隔操作で設定されてもよい。
【0059】
アプリケーションプログラム216は、位置決めユニット218から受け取った入力に従って、機密データを消去するための規則を実行する操作が可能である。アプリケーションプログラム216は、規則212への入力としてのユーザIDを提供するため、およびユーザ特有の方式でそれらを実行するためにユーザ102から利用者識別子を受け取ることができる。例えば、何人かのユーザは特に信頼できるとみなされ、そして、この場合におけるデータの消去は機密データの特に極秘な部分集合に限定され得る。
【0060】
図3は、携帯機器104の記憶媒体206、208に記憶された機密データが権限のない者によってアクセスできないことを保証するために、1つの実施形態に従って携帯機器によって実行される方法のフローチャートを示している。ステップ302では、携帯機器はその現在位置を判定する。ステップ304では、携帯機器は、その現在位置が分析システムの分析器を囲んでいる所定のセキュリティー境界内に存在するかどうかを判定する。これは例えば携帯機器の現在位置を、セキュリティー境界を判定する一組の位置座標と比較することによって行われ得る。一組の位置座標は地理的な地図の形式を有していてもよい。携帯機器の現在位置がセキュリティー境界の外に存在すると判定された場合は、ステップ306において、例えばある規則212の実行により、携帯機器は機密データを携帯機器の記憶媒体から消去する。
【0061】
図4は、他の実施形態によるサーバ120および携帯機器104のいくつかのコンポーネントを示す。アプリケーションプログラム216は、インターフェース408.bを備え、サーバ120により動作し、対応するインターフェース408.aを備えるサーバアプリケーションプログラム128から、機密データを受け取る。アプリケーションプログラム216と128は、データソースとして機能するサーバから携帯機器へ機密データを伝送するために相互運用可能である。それによって、アプリケーションプログラム128はサーバアプリケーションプログラムとして機能し、アプリケーションプログラム216は、対応するクライアントアプリケーションプログラムとして機能し得る。図6において詳細に図示されるように両方のアプリケーションプログラムは要求とそれぞれの応答を交換してもよい。
【0062】
図5はセキュリティー境界110の内、境界そして外における3つの異なった位置での個々の携帯機器104を示す。携帯機器は、携帯機器の現在位置を判定するためのアプリケーションプログラム216によって呼び出すことができる位置特定サービス502の形式での位置決めユニットを備える。アプリケーションプログラム216の呼び出しを受けるとすぐに、位置特定サービスはポジショニングモジュール218を実行し、そして、現在位置をアプリケーションプログラム216に返す。アプリケーションプログラム216は、セキュリティー境界110の境界を特定する所定のおよび優先的に設定可能な一組の位置座標にアクセスできる。位置座標は携帯機器の内部記憶媒体または、携帯機器によってアクセス可能な外部記憶媒体に記憶されてもよい。セキュリティー境界の位置座標と現在位置を比較することで、アプリケーションプログラム216は、それが現在セキュリティー境界内に存在することを判定し、そして機密データ210は安全性のリスクが全くなく、記憶媒体504に記憶されまたは記憶され続けることが可能となる。記憶媒体504は、揮発性もしくは不揮発性またはそれらの組み合わせでも構わない。
【0063】
矢印508は携帯機器のユーザがセキュリティー境界の境界に近づくことを示す。アプリケーションプログラム216は位置特定サービス502を定期的に、例えば秒毎に、呼び出しすることができる。携帯機器の現在位置とセキュリティー境界の位置座標とを比較することにより、アプリケーションプログラムは携帯機器がセキュリティー境界の境界線から所定のおよび設定可能な最小限の距離よりも少ない距離を置いて離れているかどうかを判定することができる。この場合、もしユーザがセキュリティー境界の境界線に接近し続けた場合、アプリケーションプログラム216はユーザ102に、機密データ210が記憶媒体504から消去されることの通知512を出力する。例えば、セキュリティー境界は、健康管理機構内の地球表面のある一点の周辺の、200メートルの半径を有する円形領域であってもよい。最少距離は20メートルであってもよい。このように、ユーザがセキュリティー境界の外に偶発的に出ることによって、偶発的に機密データが消去されないようにすることができる。もしユーザが意図的にセキュリティー境界を去りたい場合は、データ解析を終了して、評価結果または制御コマンドを、セキュリティー境界内の処理装置上で動作し、携帯機器のアプリケーションプログラム216とインターフェース接続しているアプリケーションプログラム128へ送ってもよい。矢印510に示すようにユーザがセキュリティー境界を去るとすぐに、機密データはアプリケーションプログラム216により消去される。「外側」の位置にいるとき、記憶媒体504はもはや機密データ210を含まない。
【0064】
図6では、セキュリティー境界110の外で携帯機器を持ち運んでいるユーザによって実行され得る要求とそれぞれの応答を交換するサーバ120と携帯機器104のプロセス図を示す。はじめに、サーバ120のオペレータは遠隔操作で規則、および/またはセキュリティー境界を特定する位置座標を設定する。コンフィギュレーションデータを含む対応するメッセージ602はサーバ120から携帯機器104へ伝送される。コンフィギュレーションデータは、携帯機器のアプリケーションプログラム216によってアクセス可能な記憶媒体に記憶されたセキュリティー境界の位置座標を設定するために使用される。
【0065】
それから、セキュリティー境界内に存在している携帯機器のクライアントアプリケーションプログラム216は、データ要求604をサーバに送る。そしてそれぞれの応答606に含まれたいくつかの機密データ210を受け取る。受け取った機密データはユーザ102によって処理され、そして評価され得る。受け取りおよび/または処理された機密データは、ステップ610で携帯機器の記憶媒体504に記憶される。位置特定サービス502は定期的に呼び出されてもよい。ユーザと携帯機器がセキュリティー境界内に存在する限りは、携帯機器とユーザが機密データを処理および/または評価をしている間、追加のデータ要求604とそれぞれの応答が携帯機器とサーバ間で交換され得る。加えて、検査装置により生物学的サンプルの処理を制御するため、ユーザアクションに応答して、サーバへ携帯機器によって送られるいくつかの制御コマンドがあってもよい。加えてまたは代わりに、モニタリング情報が、直接にまたはサーバ120を経由して1つまたは2つ以上の検査装置または分析器から携帯機器によって受け取られてもよい。
【0066】
携帯機器のクライアントアプリケーションプログラム216が、ユーザがセキュリティー境界を去ろうとしていることを判定した場合、機密データは偶発的に消去されず、かつ評価結果が、セキュリティー境界を去る前に間に合ってサーバ120に送ることができなかったため、失われてしまわないことを確実にするため、ステップ612でユーザに通知が出力される。通知は音声シグナルでも、警告メッセージの表示などでもよい。
【0067】
次に、携帯機器が、その現在位置がセキュリティー境界の外に存在することを判定した場合、携帯機器(より詳細に言えば:そのアプリケーションプログラム216)は携帯機器の記憶媒体504に記憶された機密データをステップ614で消去する。最後にステップ616において、ユーザは機密データが消去されたことの通知を受ける。加えてまたは代わりに、ステップ618において、機密データが消去されたことをサーバに通知するためにメッセージが携帯機器からサーバに送られる。
【0068】
ある実施形態によれば、サーバの、またはサーバと動作可能に接続された記憶媒体402は、機密データを備え、携帯機器上で評価されおよび編集された機密データと記憶媒体402上の機密データとの同期化は、バックグラウンドで実行される自動化された要求応答サイクルを経由して実行される。このように、記憶媒体402上の機密データは、携帯機器の記憶媒体に記憶されたユーザによって変更され得る機密データと継続的に同期される。ユーザがセキュリティー境界を去ってしまい、かつ、ユーザが適切な特権を有する場合、ステップ622でユーザはネットワーク接続624を経由して記憶媒体402に記憶された機密データにアクセスすることができる。
【符号の説明】
【0069】
100 システム102 ユーザ
104 携帯機器
110 セキュリティー境界
112 分析器
114 生物学的サンプル
120 サーバ
122 データ処理ユニット
124 コンフィギュレーションユニット
128 アプリケーションプログラム
126 オペレータ
130 分析前検査装置
204 プロセッサ
206 メインメモリ
208 記憶媒体
210 機密データ
212 規則
214 コンフィギュレーションモジュール
216 アプリケーションプログラム
218 位置決めユニット
408.b インターフェース
408.a インターフェース
502 位置特定サービス
504 記憶媒体
512 通知
602 メッセージ
604 データ要求
606 応答
624 ネットワーク接続