ホーム > 特許ランキング > 株式会社イードクトル
特開2023-47392サービスログインユーザと電子署名者との同一性判定方法およびコンピュータシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023047392
(43)【公開日】2023-04-06
(54)【発明の名称】サービスログインユーザと電子署名者との同一性判定方法およびコンピュータシステム
(51)【国際特許分類】
G06F 21/33 20130101AFI20230330BHJP
G06F 21/41 20130101ALI20230330BHJP
G06F 21/34 20130101ALI20230330BHJP
【FI】
G06F21/33
G06F21/41
G06F21/34
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2021156284
(22)【出願日】2021-09-27
(71)【出願人】
【識別番号】510072009
【氏名又は名称】株式会社イードクトル
(74)【代理人】
【識別番号】100099977
【弁理士】
【氏名又は名称】佐野 章吾
(74)【代理人】
【識別番号】100104259
【弁理士】
【氏名又は名称】寒川 潔
(72)【発明者】
【氏名】木原 庸介
(72)【発明者】
【氏名】正田 直人
(57)【要約】
【課題】ログインユーザと電子署名者との同一性を担保できるコンピュータシステムを提供する。
【解決手段】クライアント端末2と、ユーザを認証するユーザ認証サーバ3と、ユーザ認証によってシングルサインオンでログイン可能なサービス提供サーバ4とを有し、サービス提供サーバ4のサービスにユーザの電子署名を必要とするサービスを含んだコンピュータシステム1において、認証可能なユーザとICカード100bの所有者とを一対一で対応付けるユーザ対応付けデータを備えさせ、サービス提供サーバ4にログイン中にユーザがカードリーダ6を使って電子署名用のデータの読出処理を実行すると、ユーザ認証サーバ3が、ユーザ対応付けデータを用いて、ログイン中のユーザとカードリーダ6を使用したICカード100bの所有者とが一致しているか否かを判定する処理を実行する。
【選択図】 図1
【解決手段】クライアント端末2と、ユーザを認証するユーザ認証サーバ3と、ユーザ認証によってシングルサインオンでログイン可能なサービス提供サーバ4とを有し、サービス提供サーバ4のサービスにユーザの電子署名を必要とするサービスを含んだコンピュータシステム1において、認証可能なユーザとICカード100bの所有者とを一対一で対応付けるユーザ対応付けデータを備えさせ、サービス提供サーバ4にログイン中にユーザがカードリーダ6を使って電子署名用のデータの読出処理を実行すると、ユーザ認証サーバ3が、ユーザ対応付けデータを用いて、ログイン中のユーザとカードリーダ6を使用したICカード100bの所有者とが一致しているか否かを判定する処理を実行する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
電子署名に必要なデータが格納されたユーザ所有デバイスから電子署名用のデータを読み出すためのデータ読出手段を備えたクライアント端末と、
複数の認証要素を用いて前記クライアント端末のユーザを認証するユーザ認証サーバと、
前記ユーザ認証サーバの認証によってシングルサインオンでログイン可能な複数のサービス提供サーバとを有し、
前記サービス提供サーバが提供するサービスのなかに前記ユーザの電子署名が必要なサービスが含まれるコンピュータシステムにおいて、
前記認証要素が登録されている認証可能なユーザと前記ユーザ所有デバイスの所有者とを一対一で対応付けるユーザ対応付けデータを備えさせ、
前記クライアント端末のユーザが前記シングルサインオンを利用して前記サービス提供サーバにログイン中に前記データ読出手段を介して前記ユーザ所有デバイスからデータの読み出し処理が実行されると、前記ユーザ対応付けデータを用いて、前記シングルサインオンでログイン中のユーザと前記データ読出手段でデータの読み出し処理を実行したユーザ所有デバイスの所有者とが一致しているか否かを判定するユーザ同一性判定処理を実行する
ことを特徴とするサービスログインユーザと電子署名者との同一性判定方法。
複数の認証要素を用いて前記クライアント端末のユーザを認証するユーザ認証サーバと、
前記ユーザ認証サーバの認証によってシングルサインオンでログイン可能な複数のサービス提供サーバとを有し、
前記サービス提供サーバが提供するサービスのなかに前記ユーザの電子署名が必要なサービスが含まれるコンピュータシステムにおいて、
前記認証要素が登録されている認証可能なユーザと前記ユーザ所有デバイスの所有者とを一対一で対応付けるユーザ対応付けデータを備えさせ、
前記クライアント端末のユーザが前記シングルサインオンを利用して前記サービス提供サーバにログイン中に前記データ読出手段を介して前記ユーザ所有デバイスからデータの読み出し処理が実行されると、前記ユーザ対応付けデータを用いて、前記シングルサインオンでログイン中のユーザと前記データ読出手段でデータの読み出し処理を実行したユーザ所有デバイスの所有者とが一致しているか否かを判定するユーザ同一性判定処理を実行する
ことを特徴とするサービスログインユーザと電子署名者との同一性判定方法。
【請求項2】
前記ユーザ同一性判定処理の結果、ログイン中のユーザとユーザ所有デバイスの所有者とが不一致の場合、前記データ読出手段を介してデータの読み出し処理が実行された前記クライアント端末に対して、前記シングルサインオンによる前記サービス提供サーバへのログインの再実行の要求処理を実行することを特徴とする請求項1に記載のサービスログインユーザと電子署名者との同一性判定方法。
【請求項3】
クライアント端末と、
複数の認証要素を用いて前記クライアント端末のユーザを認証するユーザ認証サーバと、
前記ユーザ認証サーバの認証によってシングルサインオンでログイン可能な複数のサービス提供サーバとを有し、
前記サービス提供サーバが提供するサービスのなかに前記ユーザの電子署名が必要なサービスが含まれるコンピュータシステムであって、
前記クライアント端末は、前記電子署名に必要なデータが格納されたユーザ所有デバイスから電子署名用のデータを読み出すためのデータ読出手段を備え、
前記ユーザ認証サーバは、前記認証要素が登録されている認証可能なユーザと前記ユーザ所有デバイスの所有者とを一対一で対応付けるユーザ対応付けデータを有し、
前記クライアント端末のユーザが前記シングルサインオンを利用して前記サービス提供サーバにログイン中に前記データ読出手段を介して前記ユーザ所有デバイスからデータの読み出し処理を実行すると、前記ユーザ認証サーバが前記ユーザ対応付けデータを用いて、前記シングルサインオンでログイン中のユーザと前記データ読出手段でデータの読み出し処理を実行したユーザ所有デバイスの所有者とが一致しているか否かを判定するユーザ同一性判定処理を実行する
ことを特徴とするコンピュータシステム。
複数の認証要素を用いて前記クライアント端末のユーザを認証するユーザ認証サーバと、
前記ユーザ認証サーバの認証によってシングルサインオンでログイン可能な複数のサービス提供サーバとを有し、
前記サービス提供サーバが提供するサービスのなかに前記ユーザの電子署名が必要なサービスが含まれるコンピュータシステムであって、
前記クライアント端末は、前記電子署名に必要なデータが格納されたユーザ所有デバイスから電子署名用のデータを読み出すためのデータ読出手段を備え、
前記ユーザ認証サーバは、前記認証要素が登録されている認証可能なユーザと前記ユーザ所有デバイスの所有者とを一対一で対応付けるユーザ対応付けデータを有し、
前記クライアント端末のユーザが前記シングルサインオンを利用して前記サービス提供サーバにログイン中に前記データ読出手段を介して前記ユーザ所有デバイスからデータの読み出し処理を実行すると、前記ユーザ認証サーバが前記ユーザ対応付けデータを用いて、前記シングルサインオンでログイン中のユーザと前記データ読出手段でデータの読み出し処理を実行したユーザ所有デバイスの所有者とが一致しているか否かを判定するユーザ同一性判定処理を実行する
ことを特徴とするコンピュータシステム。
【請求項4】
前記ユーザ所有デバイスはICチップが組み込まれたICカードの形態とされ、前記データ読出手段は前記ICチップからデータの読み出しが可能なICカードリーダで構成されていることを特徴とする請求項3に記載のコンピュータシステム。
【請求項5】
前記ユーザ同一性判定処理の結果、ログイン中のユーザとユーザ所有デバイスの所有者とが不一致の場合、前記ユーザ認証サーバは、前記データ読出手段を介してデータの読み出し処理が実行された前記クライアント端末に対して、前記シングルサインオンによる前記サービス提供サーバへのログインの再実行の要求処理を実行することを特徴とする請求項3または4にコンピュータシステム。
【請求項6】
前記ユーザ所有デバイスは、当該ユーザ所有デバイスに備えられた記憶領域に所有者の特定に用いる一意のデータが記憶されており、このデータが前記ユーザ対応付けデータにおいて前記認証可能なユーザと一対一で対応付けられていることを特徴とする請求項3から5のいずれかに記載のコンピュータシステム。
【請求項7】
前記ユーザ所有デバイスは、前記電子署名に必要なデータとして電子証明書のデータを有しており、この電子証明書のデータが前記ユーザ対応付けデータにおいて前記認証可能なユーザと一対一で対応付けられていることを特徴とする請求項3から5のいずれかに記載のコンピュータシステム。
【発明の詳細な説明】
【技術分野】
【0001】
この発明はサービスログインユーザと電子署名者との同一性判定方法およびコンピュータシステムに関し、より詳細には、サービスへのログイン中のユーザと電子署名の署名者との同一性を担保する技術に関する。
【背景技術】
【0002】
近年、病院などの医療機関では診療録(いわゆるカルテ)の電子化が急速に進んでいる。カルテの電子化は、カルテの内容を電子データとして保存・管理するものであり、このサービスは電子カルテシステムによって提供される。
【0003】
電子カルテシステムは、カルテの電子データを備えた電子カルテサーバと、電子カルテサーバからサービスの提供を受ける複数のクライアント端末と、クライアント端末のユーザを認証するユーザ認証サーバとを主要部として備えており、クライアント端末のユーザは、ユーザ認証サーバによる認証を経て電子カルテサーバにログインすることによって、電子カルテサーバが提供するサービスを受けること(たとえば、カルテの閲覧や更新など)ができるようになっている。
【0004】
ところで、このような電子カルテには、データの電子保存に求められる3基準(真正性、見読性、保存性)が要求されることから、クライアント端末のユーザ(たとえば、医師)が診療によって得た新たな情報をカルテに加筆するなど、カルテの内容を更新する場合にはユーザの電子署名が求められるようになっている(たとえば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006-260305号公報の段落[0065]参照
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、このような従来のやり方には以下のような問題があった。
すなわち、従来の電子カルテシステムでは、電子カルテシステムへのログインの管理と電子署名の署名者の管理とが独立して行われるため、電子カルテシステムへのログインユーザと異なるユーザが電子署名を行うことが可能であった。
すなわち、従来の電子カルテシステムでは、電子カルテシステムへのログインの管理と電子署名の署名者の管理とが独立して行われるため、電子カルテシステムへのログインユーザと異なるユーザが電子署名を行うことが可能であった。
【0007】
すなわち、電子カルテシステムにログインしてカルテを閲覧しているユーザが離席している際に、他のユーザ(ログインした医師とは別の医師)がカルテの内容を修正して電子署名を行うことが可能であり、電子カルテシステムのログインユーザと電子署名の署名者の同一性を担保することができなかった。つまり、電子カルテシステムのログインユーザとは異なるユーザが電子署名を行っても電子署名自体が適正であればそれを発見することはできなかった。
【0008】
本発明は、このような問題点に鑑みてなされたものであって、その目的とするところは、サービスログインユーザと電子署名者との同一性を判定することによってログインユーザと電子署名者との同一性を担保できるコンピュータシステムを提供することにある。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明に係るサービスログインユーザと電子署名者との同一性判定方法は、
電子署名に必要なデータが格納されたユーザ所有デバイスから電子署名用のデータを読み出すためのデータ読出手段を備えたクライアント端末と、
複数の認証要素を用いて上記クライアント端末のユーザを認証するユーザ認証サーバと、
上記ユーザ認証サーバの認証によってシングルサインオンでログイン可能な複数のサービス提供サーバとを有し、
上記サービス提供サーバが提供するサービスのなかに上記ユーザの電子署名が必要なサービスが含まれるコンピュータシステムにおいて、
上記認証要素が登録されている認証可能なユーザと上記ユーザ所有デバイスの所有者とを一対一で対応付けるユーザ対応付けデータを備えさせ、
上記クライアント端末のユーザが上記シングルサインオンを利用して上記サービス提供サーバにログイン中に上記データ読出手段を介して前記ユーザ所有デバイスからデータの読み出し処理が実行されると、上記ユーザ対応付けデータを用いて、上記シングルサインオンでログイン中のユーザと上記データ読出手段でデータの読み出し処理を実行したユーザ所有デバイスの所有者とが一致しているか否かを判定するユーザ同一性判定処理を実行する
ことを特徴とする。
電子署名に必要なデータが格納されたユーザ所有デバイスから電子署名用のデータを読み出すためのデータ読出手段を備えたクライアント端末と、
複数の認証要素を用いて上記クライアント端末のユーザを認証するユーザ認証サーバと、
上記ユーザ認証サーバの認証によってシングルサインオンでログイン可能な複数のサービス提供サーバとを有し、
上記サービス提供サーバが提供するサービスのなかに上記ユーザの電子署名が必要なサービスが含まれるコンピュータシステムにおいて、
上記認証要素が登録されている認証可能なユーザと上記ユーザ所有デバイスの所有者とを一対一で対応付けるユーザ対応付けデータを備えさせ、
上記クライアント端末のユーザが上記シングルサインオンを利用して上記サービス提供サーバにログイン中に上記データ読出手段を介して前記ユーザ所有デバイスからデータの読み出し処理が実行されると、上記ユーザ対応付けデータを用いて、上記シングルサインオンでログイン中のユーザと上記データ読出手段でデータの読み出し処理を実行したユーザ所有デバイスの所有者とが一致しているか否かを判定するユーザ同一性判定処理を実行する
ことを特徴とする。
【0010】
そして、その好適な実施態様として、
前記ユーザ同一性判定処理の結果、ログイン中のユーザとユーザ所有デバイスの所有者とが不一致の場合、前記データ読出手段を介してデータの読み出し処理が実行された前記クライアント端末に対して、前記シングルサインオンによる前記サービス提供サーバへのログインの再実行の要求処理を実行することを特徴とする。
前記ユーザ同一性判定処理の結果、ログイン中のユーザとユーザ所有デバイスの所有者とが不一致の場合、前記データ読出手段を介してデータの読み出し処理が実行された前記クライアント端末に対して、前記シングルサインオンによる前記サービス提供サーバへのログインの再実行の要求処理を実行することを特徴とする。
【0011】
また、本発明に係るコンピュータシステムは、
クライアント端末と、
複数の認証要素を用いて上記クライアント端末のユーザを認証するユーザ認証サーバと、
上記ユーザ認証サーバの認証によってシングルサインオンでログイン可能な複数のサービス提供サーバとを有し、
上記サービス提供サーバが提供するサービスのなかに上記ユーザの電子署名が必要なサービスが含まれるコンピュータシステムであって、
上記クライアント端末は、上記電子署名に必要なデータが格納されたユーザ所有デバイスから電子署名用のデータを読み出すためのデータ読出手段を備え、
上記ユーザ認証サーバは、上記認証要素が登録されている認証可能なユーザと上記ユーザ所有デバイスの所有者とを一対一で対応付けるユーザ対応付けデータを有し、
上記クライアント端末のユーザが上記シングルサインオンを利用して上記サービス提供サーバにログイン中に上記データ読出手段を介して前記ユーザ所有デバイスからデータの読み出し処理を実行すると、上記ユーザ認証サーバが上記ユーザ対応付けデータを用いて、上記シングルサインオンでログイン中のユーザと上記データ読出手段でデータの読み出し処理を実行したユーザ所有デバイスの所有者とが一致しているか否かを判定するユーザ同一性判定処理を実行する
ことを特徴とする。
クライアント端末と、
複数の認証要素を用いて上記クライアント端末のユーザを認証するユーザ認証サーバと、
上記ユーザ認証サーバの認証によってシングルサインオンでログイン可能な複数のサービス提供サーバとを有し、
上記サービス提供サーバが提供するサービスのなかに上記ユーザの電子署名が必要なサービスが含まれるコンピュータシステムであって、
上記クライアント端末は、上記電子署名に必要なデータが格納されたユーザ所有デバイスから電子署名用のデータを読み出すためのデータ読出手段を備え、
上記ユーザ認証サーバは、上記認証要素が登録されている認証可能なユーザと上記ユーザ所有デバイスの所有者とを一対一で対応付けるユーザ対応付けデータを有し、
上記クライアント端末のユーザが上記シングルサインオンを利用して上記サービス提供サーバにログイン中に上記データ読出手段を介して前記ユーザ所有デバイスからデータの読み出し処理を実行すると、上記ユーザ認証サーバが上記ユーザ対応付けデータを用いて、上記シングルサインオンでログイン中のユーザと上記データ読出手段でデータの読み出し処理を実行したユーザ所有デバイスの所有者とが一致しているか否かを判定するユーザ同一性判定処理を実行する
ことを特徴とする。
【0012】
そして、本発明はその好適な実施態様として、以下の構成を備えている。
(1)上記ユーザ所有デバイスはICチップが組み込まれたICカードの形態とされ、上記データ読出手段は上記ICチップからデータの読み出しが可能なICカードリーダで構成されていることを特徴とする。
(1)上記ユーザ所有デバイスはICチップが組み込まれたICカードの形態とされ、上記データ読出手段は上記ICチップからデータの読み出しが可能なICカードリーダで構成されていることを特徴とする。
【0013】
(2)上記ユーザ同一性判定処理の結果、ログイン中のユーザとユーザ所有デバイスの所有者とが不一致の場合、上記ユーザ認証サーバは、上記データ読出手段を介してデータの読み出し処理が実行された上記クライアント端末に対して、上記シングルサインオンによる上記サービス提供サーバへのログインの再実行の要求処理を実行することを特徴とする。
【0014】
(3)上記ユーザ所有デバイスは、当該ユーザ所有デバイスに備えられた記憶領域に所有者の特定に用いる一意のデータが記憶されており、このデータが上記ユーザ対応付けデータにおいて上記認証可能なユーザと一対一で対応付けられていることを特徴とする。
【0015】
(4)上記ユーザ所有デバイスは、上記電子署名に必要なデータとして電子証明書のデータを有しており、この電子証明書のデータが上記ユーザ対応付けデータにおいて上記認証可能なユーザと一対一で対応付けられていることを特徴とする。
【発明の効果】
【0016】
本発明によれば、クライアント端末のユーザがユーザ認証サーバの認証によるシングルサインオンを利用してサービス提供サーバにログイン中に、電子署名に必要なデータが格納されたユーザ所有デバイスからデータの読み出し処理が実行されると、ユーザ認証サーバに認証要素が登録されている認証可能なユーザとユーザ所有デバイスの所有者とを一対一で対応付けるユーザ対応付けデータを用いて、シングルサインオンでログイン中のユーザとデータの読み出し処理を実行したユーザ所有デバイスの所有者とが一致しているか否かを判定するユーザ同一性判定処理が実行されるので、サービス提供サーバへのログイン中のユーザと異なるユーザによる電子署名を検出することができる。そのため、本発明によれば、サービスログインユーザと電子署名者との同一性を担保するコンピュータシステムを提供することができる。
【0017】
また、ユーザ同一性判定処理の結果、ログイン中のユーザとユーザ所有デバイスの所有者とが不一致の場合に、クライアント端末に対して、シングルサインオンによるサービス提供サーバへのログインの再実行を要求する処理を実行することにより、サービスログインユーザと電子署名者との不一致を是正し、ユーザの同一性を担保することができる。
【図面の簡単な説明】
【0018】
【図1】本発明に係るコンピュータシステムの概略構成の一例を示すシステム構成図である。
【図2】同コンピュータシステムのユーザ認証サーバにおけるユーザ認証手順の一例を示すフローチャートである。
【図3】同コンピュータシステムの電子カルテシステムにおけるカルテの更新手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0019】
以下、本発明の実施形態を図面に基づいて詳細に説明する。なお、図面全体にわたって同一の符号は同一の構成部材または要素を示している。
【0020】
図1は、本発明に係るコンピュータシステム1の概略構成を示している。
図1に示すように、本発明に係るコンピュータシステム1は、クライアント端末2と、ユーザ認証サーバ3と、複数のサービス提供サーバ4とを含んで構成され、これらがネットワーク5を介して通信可能に接続される。
図1に示すように、本発明に係るコンピュータシステム1は、クライアント端末2と、ユーザ認証サーバ3と、複数のサービス提供サーバ4とを含んで構成され、これらがネットワーク5を介して通信可能に接続される。
【0021】
より詳細には、図1は本発明に係るコンピュータシステム1を病院などの医療機関に適用した場合を示しており、クライアント端末2として複数のクライアント端末2a,2b,…2xを備えるとともに、サービス提供サーバ4として、電子カルテシステムを提供する電子カルテシステムサーバ4aと、オーダリングシステムを提供するオーダリングシステムサーバ4bと、医事会計システムを提供する医事会計システムサーバ4cとを有している。
【0022】
クライアント端末2は、ネットワーク5に接続可能な情報処理装置で構成される。具体的には、サービス提供サーバ4が提供するサービスを利用できるように、少なくとも、文字や図形などを表示する表示装置、文字や図形などを入力する入力装置、サービスの利用に必要なプログラムやデータなどを記憶する記憶装置、プログラムに基づいた各種演算を行う演算装置、ネットワーク5への通信接続を行うネットワークI/Fなどを備えたコンピュータ、たとえば、デスクトップ型、ノートブック型、タブレット型のコンピュータ、ネットワーク5への接続機能を備えたスマートフォン、携帯情報端末(PDA)などで構成される。
【0023】
そして、クライアント端末2には、外部のデバイスに記録・保存されたデータを読み出すためのデータ読出手段としてICカードリーダ6が備えられる。ICカードリーダ6は、周知のとおり、ICカード100のICチップ101に記録された情報を読み出すための装置であって、本実施形態では非接触で情報の読み出しが可能な非接触式のICカードリーダが採用されている。なお、図示例では、ICカードリーダ6をクライアント端末2とは別体に構成した場合を示したが、ICカードリーダ6はクライアント端末2に内蔵されていてもよい。
【0024】
ユーザ認証サーバ3は、クライアント端末2のユーザを認証するサーバであって、ユーザを認証するための認証要素として複数の要素(たとえば、パスワードやPINコードなどの知識情報、ICカードやハードウェアトークンなどから読み出す所持情報、指紋・静脈パタン・顔などの生体情報などの組み合わせ)を用いるように構成されている。
【0025】
ユーザ認証サーバ3はサーバコンピュータで構成されており、本実施形態では、クライアント端末2と同様に、文字や図形などを表示する表示装置、文字や図形などを入力する入力装置、ユーザ認証に必要なプログラムやデータを記憶する記憶装置、プログラムに基づいた各種演算を行う演算装置、ネットワーク5への通信接続を行うネットワークI/Fなどを備えている。
【0026】
そして、ユーザ認証サーバ3には、ユーザの認証機能に関連して、認証可能なユーザに関する情報(たとえば、認証可能なユーザのIDと認証可能なユーザの認証要素とが対応付けられた情報)があらかじめ登録(記憶)されており、クライアント端末2にユーザの情報(たとえば、ユーザのIDと認証要素と)が入力されると、入力されたユーザの情報(入力されたユーザのIDとその認証要素)と登録された認証可能なユーザの情報(認証可能なユーザのIDとその認証要素)とを照合することによって、ユーザ認証の許否を判定するように構成されている。なお、本実施形態では、ユーザ認証サーバ3は、認証要素として、ICカードに記憶された所持情報と知識情報としてのパスワードの2要素を用いている。
【0027】
また、ユーザ認証サーバ3は、クライアント端末2を利用するユーザがシングルサインオンでサービス提供サーバ4にログインできるように、サービス提供サーバ4に対してシングルサインオン用のAPI(Application Programming Interface)を提供する。これにより、クライアント端末2のユーザは、ユーザ認証サーバ3によるユーザ認証を受けることでシングルサインオン用のAPIが提供されたサービス提供サーバ4に対してシングルサインオンでログイン、すなわち、その都度認証要素を入力することなくログインすることができる。たとえば、電子カルテシステムサーバ4aとオーダリングシステムサーバ4bとにシングルサインオン用のAPIが提供されている場合、ユーザ認証サーバ3によるユーザ認証を受けたユーザは、電子カルテシステムとオーダリングシステムとにシングルサインオンでログインすることができる。
【0028】
サービス提供サーバ4は、クライアント端末2に対してサービスを提供するサーバであって、本実施形態では、サービス提供サーバ4として、電子化されたカルテの閲覧・更新などを可能にする電子カルテシステムを提供する電子カルテシステムサーバ4aと、処方箋や検査のオーダを管理するオーダリングシステムを提供するオーダリングシステムサーバ4bと、レセプトの作成・請求書の発行など医事会計に関する処理を行う医事会計システムを提供する医事会計サーバ4cとが備えられており、これらサービス提供サーバ4がネットワーク5を介してクライアント端末2に対してサービスを提供するようになっている。
【0029】
これらサービス提供サーバ4は、いずれもサーバコンピュータで構成される。すなわち、ユーザ認証サーバ3と同様に、文字や図形などを表示する表示装置、文字や図形などを入力する入力装置、サービスの提供に必要なプログラムやデータを記憶する記憶装置、プログラムに基づいた各種演算を行う演算装置、ネットワーク5への通信接続を行うネットワークI/Fなどを備えたコンピュータで構成される。
【0030】
ここで、電子カルテシステムサーバ4a、オーダリングシステムサーバ4bおよび医事会計サーバ4cの詳細は周知であるためこれらの詳細な説明は省略するが、これらサービスのうち、少なくとも、電子カルテシステムサーバ4aが提供する電子カルテでは、ユーザがカルテの内容に変更を加える場合には、変更を加えたユーザの電子署名が要求されるようになっている。すなわち、電子カルテシステムにログイン中のユーザが、たとえば、電子カルテに新たな診療の記録を書き加え、書き加えた後のカルテを保存する場合には、書き換え後のデータの保存前に当該ユーザの電子署名を求めるように電子カルテシステムがプログラムされている。
【0031】
この電子署名に関して、本実施形態の電子カルテシステム4aでは公開鍵暗号方式の電子署名を求めるように構成されている。そのため、ユーザは電子署名を行うためのデータ(電子証明書)が記憶・格納された所定のデバイス(ユーザ所有デバイス)を携行し、電子署名を行う際にこのデバイスに格納されたデータを用いて電子署名を行うようになっている。なお、本実施形態では、ユーザ所有デバイスとして電子証明書を記憶したICカード100を用いている。
【0032】
ここで、ICカード100について説明する。本実施形態に示すコンピュータシステム1では、ICカード100として、ユーザ認証用の所持情報を記憶したICカードと、電子署名用の電子証明書を記憶したICカードが用いられる。ICカード100は、周知のとおり、データの記録や演算を行うICチップ101が組み込まれたカードであるから、ユーザ認証用の所持情報と電子署名用の電子証明書の双方を一つのICチップ101に記憶・格納させることで、ユーザ認証と電子署名の両方を1枚のICカードで行えるようにすることも可能であるが、本実施形態では、ユーザ認証用のICカード100aと電子署名用のICカード100bは異なるカードで構成している。
【0033】
すなわち、本実施形態では、ユーザ認証用の所持情報が記憶されたユーザ認証用のICカード100aと、電子証明用の電子証明書が記憶された電子署名用のICカード100bの2種類のカードを用いる。ユーザ認証用のICカードとしては、たとえば、医療機関の職員証を兼ねたICカード(私的な身分・資格などを証明するカード)が用いられる。一方、電子署名用のICカードとしては、医師や薬剤師など医療従事者の国家資格などを公的に証明するHPKI(Healthcare Public Key Infrastructure)カードが用いられる。
【0034】
そして、本実施形態に示すコンピュータシステム1では、ICカード100bによる電子署名に関連して、ユーザ認証用の認証要素が登録されている認証可能なユーザとICカード100bの所有者とを一対一で対応付けるユーザ対応付けデータが、ユーザ認証サーバ3に記憶されている。このユーザ対応付けデータは、電子カルテシステムサーバ4aにログイン中のユーザと電子署名を行うユーザとの同一性を確認するために用いられるデータであって、たとえば、認証可能なユーザのIDとICカード100bの所有者とを対応付けたデータで構成される。
【0035】
ここで、ICカード100bの所有者の特定は、たとえば、ICカード100bのICチップ101に備えられた記憶領域に所有者の特定に用いる一意のデータをあらかじめ記憶させておいたり、あるいは、ICカード100bに記憶された電子署名用の電子証明書のデータを用いたりすることにより行われ、これら一意のデータまたは電子署名用のデータを、認証可能なユーザのIDと一対一で対応付けておくことによって、認証可能なユーザとICカード100bの所有者との対応付けが行われるようにしている。
【0036】
ネットワーク5は、クライアント端末2、ユーザ認証サーバ3およびサービス提供サーバ4を通信接続するコンピュータネットワークであって、本実施形態では、医療機関内のLAN(Local Area Network)で構成されている。なお、このネットワーク5は、有線LANおよび無線LANが適宜単独で、または両者の併用によって構成される。
【0037】
【0038】
<電子カルテの閲覧>
電子カルテを閲覧する場合、ユーザはユーザ認証サーバ3によるユーザ認証を受けて電子カルテシステムにログインする。
電子カルテを閲覧する場合、ユーザはユーザ認証サーバ3によるユーザ認証を受けて電子カルテシステムにログインする。
【0039】
本実施形態では、ユーザ認証サーバ3はユーザの認証要素として、ICカードに記憶された所持情報と知識情報としてのパスワードを用いているので、ログインにあたり、クライアント端末2には、ユーザのIDと認証用のパスワードの入力を求めるユーザ認証画面が表示される。ユーザ認証画面の指示に応じて、ユーザがクライアント端末2にIDとパスワードを入力すると、ユーザ認証サーバ3は、入力されたIDとパスワードの組み合わせを、あらかじめ登録された認証可能なユーザのIDとパスワードの組み合わせと照合する(図2S1参照)。
【0040】
照合の結果、一致するIDとパスワードの組み合わせがあれば、ユーザ認証サーバ3は、次の認証要素の照合を行う。具体的には、クライアント端末2に第2の認証要素の入力を求める第2のユーザ認証画面が表示される。本実施形態では、第2の認証要素はICカード100aに記憶された所持情報であるので、所持情報が記憶されたICカード100aをICカードリーダ6に読み取らせることを求める画面がクライアント端末2に表示される。一方、上記の照合の結果、一致するIDとパスワードの組み合わせがないときは、クライアント端末2にユーザのIDと認証用のパスワードの入力を求めるユーザ認証画面を再び表示される。
【0041】
第2のユーザ認証画面の要求に応じてICカード100aに記憶された所持情報がクライアント端末2に読み出されると、ユーザ認証サーバ3は、この読み出された所持情報とユーザのIDの組み合わせと、あらかじめ登録された認証可能なユーザのIDと所持情報の組み合わせと照合する(図2S2参照)。
【0042】
この照合の結果、一致するIDと所持情報の組み合わせがあれば、ユーザ認証サーバ3は、ユーザの認証を許可する(図2S3参照)。具体的には、クライアント端末2に対してサービス提供サーバ4へのアクセスを許可するアクセストークンを発行するなど、シングルサインオンでのログインを可能にするための処理を実行する。これにより、クライアント端末2を操作中のユーザは電子カルテシステムおよびオーダリングシステムに認証要素の入力を省略してログインすることができるようになり、電子カルテの閲覧が可能になる。なお、IDと所持情報の組み合わせの照合の結果、一致するIDと所持情報の組み合わせがないときは、クライアント端末2にはICカード100aをICカードリーダ6に読み取らせることを求める第2のユーザ認証画面が再び表示される。
【0043】
<電子カルテの更新>
次に、電子カルテシステムへのログイン中における電子カルテの更新について説明する。
次に、電子カルテシステムへのログイン中における電子カルテの更新について説明する。
【0044】
本実施形態に示す電子カルテシステムは、上述したように、ユーザが電子カルテの内容に変更を加えて保存する(更新する)場合には、電子カルテの内容を変更したユーザが所持するICカード100bを使って電子署名を行うようになっている。この点に関し、本発明に係るコンピュータシステム1では、電子署名に際して、電子署名を行うユーザと電子カルテシステムにログインしているユーザとが同一であるか否かを判定するように構成されている。
【0045】
具体的には、たとえば、電子カルテに新規な事項を書き加え、その内容を保存しようとする場合(図3S1で「Yes」参照)、電子カルテに新規な事項を書き加えたユーザは、当該ユーザが所持するICカード100bをクライアント端末2に備えられたICカードリーダ6にかざして、ICカード100bに記憶された電子署名に必要なデータの読み出し処理を実行する(図3S2参照)。本発明に係るコンピュータシステム1では、この電子署名に必要なデータの読み出し処理のタイミング、つまり、ICカード100bからのデータの読み出し処理を実行する際に、電子署名を一旦保留状態とし、この状態でユーザ認証サーバ3が、あらかじめ記憶しているユーザ対応付けデータを用いて、シングルサインオンで電子カルテシステムにログイン中のユーザとICカードリーダ6で電子署名用のデータの読み出し処理を実行したICカード100bの所有者とが一致しているか否かを判定するユーザ同一性判定処理を実行する(図3S3参照)。
【0046】
そして、ユーザ同一性判定処理の結果、ログイン中のユーザとICカード100bの所有者とが一致した場合には、ユーザ認証サーバ3は、電子署名の保留状態を解除して電子署名を実行させ、電子カルテの更新(変更内容の上書き記憶)を完了させる(図3S5参照)。
【0047】
これに対し、ユーザ同一性判定処理の結果、ログイン中のユーザとICカード100bの所有者とが一致しない(不一致の)場合には、ユーザ認証サーバ3は、ICカード100bの読み出し処理が実行されたクライアント端末2に対して、シングルサインオンによるサービス提供サーバ4へのログインの再実行の要求処理、すなわち、当該クライアント端末2に対して、ユーザのIDと認証用のパスワードの入力を求めるユーザ認証画面を表示させる(図3S6参照)。つまり、本実施形態のコンピュータシステム1では、ログイン中のユーザと電子署名用のICカード100bの所有者とが不一致の場合、シングルサインオンのやり直しを促すことによって、電子署名を行うユーザとログイン中のユーザの不一致を解消するようにしている。
【0048】
そして、ユーザの再ログインによって、ログイン中のユーザとICカード100bの所有者とが一致することにより、ユーザ認証サーバ3は、電子署名の保留状態を解除して電子署名を実行させ、電子カルテの更新(変更内容の上書き記憶)を完了させる(図3S5参照)。
【0049】
このように、本発明に係るコンピュータシステム1では、クライアント端末2のユーザがユーザ認証サーバ3の認証によるシングルサインオンを利用してサービス提供サーバ4にログイン中に、ICカード100bからデータの読み出し処理が実行されると、ユーザ認証サーバ3に認証要素が登録されている認証可能なユーザとICカード100bの所有者とを一対一で対応付けるユーザ対応付けデータを用いて、シングルサインオンでログイン中のユーザとデータの読み出し処理を実行したICカード100bの所有者とが一致しているか否かを判定するユーザ同一性判定処理が実行されるので、サービス提供サーバ4へのログイン中のユーザと異なるユーザによる電子署名を検出することができる。そのため、本発明によれば、サービスログインユーザと電子署名者との同一性を担保することができる。
【0050】
特に、本実施形態では、ユーザ同一性判定処理の結果、ログイン中のユーザとICカード100bの所有者とが不一致の場合、クライアント端末2に対して、シングルサインオンによるログインの再実行を要求する処理を実行されるので、サービスログインユーザと電子署名者との不一致を是正することができ、ユーザの同一性を担保することができる。
【0051】
なお、上述した実施形態はあくまでも本発明の好適な実施態様を示すものであって、本発明はこれらに限定されることなくその範囲内で種々の設計変更が可能である。
【0052】
たとえば、上述した実施形態では、コンピュータシステム1を医療機関に適用した場合を示したが、本発明は、クライアント端末2と、複数の認証要素を用いてクライアント端末2のユーザを認証するユーザ認証サーバ3と、ユーザ認証サーバの認証3によってシングルサインオンでログイン可能な複数のサービス提供サーバ4とを有し、かつ、サービス提供サーバ4が提供するサービスのなかにユーザの電子署名が必要なサービスを含んだコンピュータシステムであれば、医療機関以外のコンピュータシステムにも適用可能である。
【0053】
また、上述した実施形態では、サービス提供サーバ4として、電子カルテサーバ4aとオーダリングシステムサーバ4bと医事会計システムサーバ4cとを備えた場合を示したが、これら以外のサーバを備えたり、あるは複数のサービスを統合したサーバを備えていたりしてもよい。
【0054】
また、上述した実施形態では、ユーザ認証サーバ3の認証要素として、ICカードに記録された所持情報と知識情報としてのパスワードの2要素を用いた場合を示しているが、ICカード以外の所持情報を用いたり、パスワード以外の知識情報を用いることができるのは勿論のこと、これら以外の認証要素(たとえば、生体情報として指紋や静脈パタンなど)を用いてユーザ認証を行うように構成することも可能である。
【0055】
また、上述した実施形態では、電子署名用のデータ読出手段として、ICカードリーダ6を用いた場合を示したが、電子署名用のデータがICカード以外のデバイス(たとえば、USBトークンなど)に記憶されている場合には、当該デバイスからデータを読み出す装置がクライアント端末2に付加される。
【0056】
また、上述した実施形態では、認証可能なユーザとICカード100bの所有者とを一対一で対応付けるユーザ対応付けデータをユーザ認証サーバ3に記憶させた場合を示したが、ユーザ対応付けデータは、ユーザ認証サーバ3が利用可能であれば他のコンピュータや記憶装置に記憶するように構成してもよい。さらに、上述した実施形態では、ユーザ対応付けデータを用いたユーザ同一性判定処理をユーザ認証サーバ3が行うように構成した場合を示したが、ユーザ同一性判定処理は、ネットワーク5を介してクライアント端末2と通信可能に構成された他のコンピュータで実行するように構成することも可能である。
【符号の説明】
【0057】
1 コンピュータシステム
2 クライアント端末
3 ユーザ認証サーバ
4 サービス提供サーバ
4a 電子カルテシステムサーバ
4b オーダリングシステムサーバ
4c 医事会計システムサーバ
5 ネットワーク
6 ICカードリーダ(データ読出手段)
100 ICカード
100a ICカード(ユーザ認証用)
100b ICカード(電子署名用)
2 クライアント端末
3 ユーザ認証サーバ
4 サービス提供サーバ
4a 電子カルテシステムサーバ
4b オーダリングシステムサーバ
4c 医事会計システムサーバ
5 ネットワーク
6 ICカードリーダ(データ読出手段)
100 ICカード
100a ICカード(ユーザ認証用)
100b ICカード(電子署名用)
【図1】
【図2】
【図3】