知財求人 - 知財ポータルサイト「IP Force」
特開2025-11769医用データ送受信システム、送信側システム、受信側システム及びデータ送受信方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2025011769
(43)【公開日】2025-01-24
(54)【発明の名称】医用データ送受信システム、送信側システム、受信側システム及びデータ送受信方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20250117BHJP
H04L 9/14 20060101ALI20250117BHJP
G16H 30/00 20180101ALN20250117BHJP
【FI】
H04L9/32 200B
H04L9/14
G16H30/00
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2023114077
(22)【出願日】2023-07-11
(71)【出願人】
【識別番号】397050545
【氏名又は名称】アレイ株式会社
(74)【代理人】
【識別番号】110001346
【氏名又は名称】弁理士法人MM&A
(72)【発明者】
【氏名】阿部 聡
(72)【発明者】
【氏名】山本 健嗣
(72)【発明者】
【氏名】山中 誠一
【テーマコード(参考)】
5L099
【Fターム(参考)】
5L099AA26
(57)【要約】
【課題】データ送信先の医療機関における診察等を円滑化可能な医用データ送受信システム、送信側システム、受信側システム及びデータ送受信方法を提供する。
【解決手段】医用データ送信側システム10において、受信側システム60の公開鍵で暗号化した暗号化データセットID及び暗号化共通鍵を送信側システム20から受信側システム60に送信する。そして、受信側システム60は、自らの秘密鍵で復号した復号データセットIDを用いて、外部リポジトリ40から暗号化対象データセットを取得し、自らの秘密鍵で復号した復号共通鍵を用いて対象データセットを復号及び展開する。
【選択図】図1
【解決手段】医用データ送信側システム10において、受信側システム60の公開鍵で暗号化した暗号化データセットID及び暗号化共通鍵を送信側システム20から受信側システム60に送信する。そして、受信側システム60は、自らの秘密鍵で復号した復号データセットIDを用いて、外部リポジトリ40から暗号化対象データセットを取得し、自らの秘密鍵で復号した復号共通鍵を用いて対象データセットを復号及び展開する。
【選択図】図1
【特許請求の範囲】
【請求項1】
医用データの送信側の医療機関における送信側システムと、
前記医用データの受信側の医療機関における受信側システムと、
前記医用データを一時的に保存して前記送信側システムから前記受信側システムへのデータ転送を中継する外部リポジトリと
を有する医用データ送受信システムであって、
前記送信側システムは、
送信対象の医用データのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信し、
前記外部リポジトリは、前記送信側システムから受信した前記暗号化対象データセット及び前記非暗号化データセットIDを記録し、
前記受信側システムは、
前記送信側システムから受信した前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記復号データセットIDで特定される前記暗号化対象データセットの送信を前記外部リポジトリに要求し、
前記外部リポジトリは、前記受信側システムから受信した前記復号データセットIDに対応する前記非暗号化データセットIDで特定される前記暗号化対象データセットを前記受信側システムに送信し、
前記受信側システムは、前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各医用データに展開して記録する
ことを特徴とする医用データ送受信システム。
前記医用データの受信側の医療機関における受信側システムと、
前記医用データを一時的に保存して前記送信側システムから前記受信側システムへのデータ転送を中継する外部リポジトリと
を有する医用データ送受信システムであって、
前記送信側システムは、
送信対象の医用データのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信し、
前記外部リポジトリは、前記送信側システムから受信した前記暗号化対象データセット及び前記非暗号化データセットIDを記録し、
前記受信側システムは、
前記送信側システムから受信した前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記復号データセットIDで特定される前記暗号化対象データセットの送信を前記外部リポジトリに要求し、
前記外部リポジトリは、前記受信側システムから受信した前記復号データセットIDに対応する前記非暗号化データセットIDで特定される前記暗号化対象データセットを前記受信側システムに送信し、
前記受信側システムは、前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各医用データに展開して記録する
ことを特徴とする医用データ送受信システム。
【請求項2】
医用データの送信側の医療機関における送信側システムであって、
前記送信側システムは、前記医用データを一時的に保存する外部リポジトリを介して、前記医用データの受信側の医療機関における受信側システムに対して前記医用データを送信するものであり、
さらに、前記送信側システムは、
送信対象の医用データのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信する
ことを特徴とする送信側システム。
前記送信側システムは、前記医用データを一時的に保存する外部リポジトリを介して、前記医用データの受信側の医療機関における受信側システムに対して前記医用データを送信するものであり、
さらに、前記送信側システムは、
送信対象の医用データのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信する
ことを特徴とする送信側システム。
【請求項3】
請求項2に記載の送信側システムにおいて、
前記送信側システムは、前記送信側システムのユーザにより前記対象データセットの送信設定を行う送信設定画面を表示し、
前記送信設定画面は、
複数の前記受信側システムから選択される1つ又は複数の前記対象データセットの送信先を入力する送信先入力欄と、
前記対象データセットに含まれる1つ又は複数の前記送信対象の医用データを入力する医用データ入力欄と、
前記送信先に対して前記対象データセットの送信を指令する送信ボタンと
を含む
ことを特徴とする送信側システム。
前記送信側システムは、前記送信側システムのユーザにより前記対象データセットの送信設定を行う送信設定画面を表示し、
前記送信設定画面は、
複数の前記受信側システムから選択される1つ又は複数の前記対象データセットの送信先を入力する送信先入力欄と、
前記対象データセットに含まれる1つ又は複数の前記送信対象の医用データを入力する医用データ入力欄と、
前記送信先に対して前記対象データセットの送信を指令する送信ボタンと
を含む
ことを特徴とする送信側システム。
【請求項4】
請求項3に記載の送信側システムにおいて、
前記送信設定画面において前記送信ボタンが押されたことを契機として、前記送信側システムは、前記暗号化対象データセット、前記暗号化データセットID及び前記暗号化共通鍵の生成と、前記外部リポジトリに対する前記暗号化対象データセット及び前記非暗号化データセットIDの送信と、前記受信側システムに対する前記暗号化データセットID及び前記暗号化共通鍵の送信とを行う
ことを特徴とする送信側システム。
前記送信設定画面において前記送信ボタンが押されたことを契機として、前記送信側システムは、前記暗号化対象データセット、前記暗号化データセットID及び前記暗号化共通鍵の生成と、前記外部リポジトリに対する前記暗号化対象データセット及び前記非暗号化データセットIDの送信と、前記受信側システムに対する前記暗号化データセットID及び前記暗号化共通鍵の送信とを行う
ことを特徴とする送信側システム。
【請求項5】
医用データの受信側の医療機関における受信側システムであって、
前記受信側システムは、前記医用データを一時的に保存する外部リポジトリを介して、前記医用データの送信側の医療機関における送信側システムから前記医用データを受信するものであり、
さらに、前記受信側システムは、
前記送信側システムの送信対象の医用データのセットである対象データセットの識別符号であるデータセットIDが前記受信側システムの公開鍵により暗号化された暗号化データセットIDと、前記対象データセットの暗号化に用いられた共通鍵が前記受信側システムの公開鍵により暗号化された暗号化共通鍵とを、外部サーバを介して又は直接、前記送信側システムから受信し、
前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記送信側システムにおいて前記共通鍵により暗号化された前記対象データセットである暗号化対象データセットのうち前記復号データセットIDで特定されるものの送信を前記外部リポジトリに要求し、
前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各医用データに展開して記録する
ことを特徴とする受信側システム。
前記受信側システムは、前記医用データを一時的に保存する外部リポジトリを介して、前記医用データの送信側の医療機関における送信側システムから前記医用データを受信するものであり、
さらに、前記受信側システムは、
前記送信側システムの送信対象の医用データのセットである対象データセットの識別符号であるデータセットIDが前記受信側システムの公開鍵により暗号化された暗号化データセットIDと、前記対象データセットの暗号化に用いられた共通鍵が前記受信側システムの公開鍵により暗号化された暗号化共通鍵とを、外部サーバを介して又は直接、前記送信側システムから受信し、
前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記送信側システムにおいて前記共通鍵により暗号化された前記対象データセットである暗号化対象データセットのうち前記復号データセットIDで特定されるものの送信を前記外部リポジトリに要求し、
前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各医用データに展開して記録する
ことを特徴とする受信側システム。
【請求項6】
請求項5に記載の受信側システムにおいて、
前記受信側システムは、前記外部リポジトリを介して1つ又は複数の前記送信側システムからの前記暗号化対象データセットの受信並びにその後の復号及び展開が完了した1つ又は複数の前記対象データセットを選択可能に表示したデータセットリストを含むデータセットリスト画面を表示し、
前記データセットリスト画面において、前記受信側システムのユーザにより前記対象データセットの1つが選択されると、前記受信側システムは、選択された前記対象データセットの詳細情報を含むデータセット詳細情報画面を表示する
ことを特徴とする受信側システム。
前記受信側システムは、前記外部リポジトリを介して1つ又は複数の前記送信側システムからの前記暗号化対象データセットの受信並びにその後の復号及び展開が完了した1つ又は複数の前記対象データセットを選択可能に表示したデータセットリストを含むデータセットリスト画面を表示し、
前記データセットリスト画面において、前記受信側システムのユーザにより前記対象データセットの1つが選択されると、前記受信側システムは、選択された前記対象データセットの詳細情報を含むデータセット詳細情報画面を表示する
ことを特徴とする受信側システム。
【請求項7】
データの送信側における送信側システムと、
前記データの受信側における受信側システムと、
前記データを一時的に保存して前記送信側システムから前記受信側システムへのデータ転送を中継する外部リポジトリと
を有するデータ送受信システムで実行するデータ送受信方法であって、
前記送信側システムは、
送信対象のデータのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信し、
前記外部リポジトリは、前記送信側システムから受信した前記暗号化対象データセット及び前記非暗号化データセットIDを記録し、
前記受信側システムは、
前記送信側システムから受信した前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記復号データセットIDで特定される前記暗号化対象データセットの送信を前記外部リポジトリに要求し、
前記外部リポジトリは、前記受信側システムから受信した前記復号データセットIDに対応する前記非暗号化データセットIDで特定される前記暗号化対象データセットを前記受信側システムに送信し、
前記受信側システムは、前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各データに展開して記録する
ことを特徴とするデータ送受信方法。
前記データの受信側における受信側システムと、
前記データを一時的に保存して前記送信側システムから前記受信側システムへのデータ転送を中継する外部リポジトリと
を有するデータ送受信システムで実行するデータ送受信方法であって、
前記送信側システムは、
送信対象のデータのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信し、
前記外部リポジトリは、前記送信側システムから受信した前記暗号化対象データセット及び前記非暗号化データセットIDを記録し、
前記受信側システムは、
前記送信側システムから受信した前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記復号データセットIDで特定される前記暗号化対象データセットの送信を前記外部リポジトリに要求し、
前記外部リポジトリは、前記受信側システムから受信した前記復号データセットIDに対応する前記非暗号化データセットIDで特定される前記暗号化対象データセットを前記受信側システムに送信し、
前記受信側システムは、前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各データに展開して記録する
ことを特徴とするデータ送受信方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、医用データ送受信システム、送信側システム、受信側システム及びデータ送受信方法に関し、例えば、セキュリティを確保した状態での医用データの送受信に用いられる医用データ送受信システム、送信側システム、受信側システム及びデータ送受信方法に関する。
【背景技術】
【0002】
ある医療機関から別の医療機関に患者を紹介する場合等に、患者の医用データ(例えば医用画像データ)を紹介先の医療機関に送るための技術が開発されている(特許文献1)。
【0003】
特許文献1は、医用画像データ等の容易なインポートを可能にすることを目的としている([0006]、要約)。この目的を達成するため、特許文献1の実施例1(要約、[0013]~[0069])の画像入力装置(211)は、カードから取得したデータを診察券データとしてデータ処理装置(213)に送信して、データ処理装置(213)から有効な診察券又は無効な診察券を示す応答を受信する。有効な診察券を示す応答を受信した場合、画像入力装置(211)は、メディア(16)に医用データが存在するか否かを判定し、メディア(16)に医用データが存在すると判定した場合、メディア(16)から取得した医用データをデータ処理装置(213)に送信する。特許文献1の実施例1において、医用データを記録したメディア(16)は、患者(17)が挿入する、換言すると、患者(17)が携行するものとされている([0040]、[0071]、図2)。
【0004】
また、特許文献1の実施例2([0070]~[0080])では、仮想プライベートネットワーク(VPN)を用いて医用データを送受信する。すなわち、送信元の医療機関(10)及び送信先の医療機関(20)のLAN(15、25)は、VPNルータ(42、43)を介して外部ネットワーク(40)のサーバ装置(41)に接続されている([0072])。
【0005】
そして、医療機関(10)の画像出力装置(11)は、サーバ装置(41)に、患者(17)の医用データをアップロードする(エクスポート処理)。患者(17)は、医療機関(10)の検査課窓口等で自身の医用データを取得するための取得コード(トークン)が記録された伝票を受け取り、メディア(16)の代わりに当該伝票を医療機関(20)に携行する。医療機関(20)において、患者(17)は、受付窓口の指示に従い、医療機関(20)における自身の診察券を画像入力装置(211)の診察券挿入口に挿入し、医用データのインポートを開始する([0073])。インポートに際し、データ処理装置(213)は、トークンをキーにしてサーバ装置(41)から医用データをダウンロードする。その後、データ処理装置(213)は、患者情報の一致判定、患者情報の適合化、PACS(22)へのデータ送信を行う(インポート処理)([0076])。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2017-021535号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
上記のように、特許文献1の実施例2では、VPN及び外部サーバ装置(41)を用いて、送信元の医療機関(10)から送信先の医療機関(20)に医用データを送信する([0070]~[0076]、図2)。この実施例2では、患者(17)の医用データを取得するための取得コード(トークン)を患者(17)が、送信先の医療機関(20)に持ち運ぶ([0072])。そして、送信先の医療機関(20)のインポートシステム(21)のデータ処理装置(213)は、トークンをキーにして及びVPNを介して外部サーバ装置(41)から医用データをダウンロードする([0076])。
【0008】
しかしながら、例えば医用画像データの場合、比較的データサイズが大きく、ダウンロードに時間を要することがある。トークンを患者(17)が持ち運ぶ構成の場合、医用データのダウンロードは、患者(17)がデータ送信先の医療機関(20)に行った後でないと開始できない。そのため、ダウンロードに時間がかかることで診察等が遅れる可能性が生じる。
【0009】
本発明は上記のような課題を考慮してなされたものであり、データ送信先の医療機関における診察等を円滑化可能な医用データ送受信システム、送信側システム、受信側システム及びデータ送受信方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明に係る医用データ送受信システムは、
医用データの送信側の医療機関における送信側システムと、
前記医用データの受信側の医療機関における受信側システムと、
前記医用データを一時的に保存して前記送信側システムから前記受信側システムへのデータ転送を中継する外部リポジトリと
を有するものであって、
前記送信側システムは、
送信対象の医用データのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信し、
前記外部リポジトリは、前記送信側システムから受信した前記暗号化対象データセット及び前記非暗号化データセットIDを記録し、
前記受信側システムは、
前記送信側システムから受信した前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記復号データセットIDで特定される前記暗号化対象データセットの送信を前記外部リポジトリに要求し、
前記外部リポジトリは、前記受信側システムから受信した前記復号データセットIDに対応する前記非暗号化データセットIDで特定される前記暗号化対象データセットを前記受信側システムに送信し、
前記受信側システムは、前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各医用データに展開して記録する
ことを特徴とする。
医用データの送信側の医療機関における送信側システムと、
前記医用データの受信側の医療機関における受信側システムと、
前記医用データを一時的に保存して前記送信側システムから前記受信側システムへのデータ転送を中継する外部リポジトリと
を有するものであって、
前記送信側システムは、
送信対象の医用データのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信し、
前記外部リポジトリは、前記送信側システムから受信した前記暗号化対象データセット及び前記非暗号化データセットIDを記録し、
前記受信側システムは、
前記送信側システムから受信した前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記復号データセットIDで特定される前記暗号化対象データセットの送信を前記外部リポジトリに要求し、
前記外部リポジトリは、前記受信側システムから受信した前記復号データセットIDに対応する前記非暗号化データセットIDで特定される前記暗号化対象データセットを前記受信側システムに送信し、
前記受信側システムは、前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各医用データに展開して記録する
ことを特徴とする。
【0011】
本発明によれば、受信側システムの公開鍵で暗号化した暗号化データセットID及び暗号化共通鍵を送信側システムから受信側システムに送信する。そして、受信側システムは、自らの秘密鍵で復号した復号データセットIDを用いて、外部リポジトリから暗号化対象データセットを取得し、自らの秘密鍵で復号した復号共通鍵を用いて対象データセットを復号及び展開する。これにより、暗号化データセットID(特許文献1でいうところのトークンに代わるもの)を、患者が持ち運ばずに、送信側システムと受信側システムの間の通信により受信側システムに届けることができる。そのため、受信側システムは、患者が医用データの送信先の医療機関に来る前に、医用データをダウンロードしておくことが可能となる。従って、患者が医用データの送信先の医療機関に来てからの診察等を円滑化することが可能となる。
【0012】
さらに、送信対象の医用データのセットである対象データセットについては、共通鍵で暗号化及び復号を行う一方、データセットID及び共通鍵については受信側システムの公開鍵及び秘密鍵で暗号化及び復号を行う。これにより、データサイズが比較的大きくなり得る対象データセットについては共通鍵による暗号化及び復号を用いることでセキュリティを確保しつつ演算負荷を抑制可能となる。その一方、データサイズが比較的小さくなり得るデータセットID及び共通鍵については受信側システムの公開鍵及び秘密鍵による暗号化及び復号を用いることで(及び対象データセットに関する共通鍵暗号方式と組み合わせることで)、より高いセキュリティを確保可能となる。
【0013】
本発明の別の態様に係る送信側システムは、医用データの送信側の医療機関におけるものであって、
前記送信側システムは、前記医用データを一時的に保存する外部リポジトリを介して、前記医用データの受信側の医療機関における受信側システムに対して前記医用データを送信するものであり、
さらに、前記送信側システムは、
送信対象の医用データのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信する
ことを特徴とする。
前記送信側システムは、前記医用データを一時的に保存する外部リポジトリを介して、前記医用データの受信側の医療機関における受信側システムに対して前記医用データを送信するものであり、
さらに、前記送信側システムは、
送信対象の医用データのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信する
ことを特徴とする。
【0014】
前記送信側システムは、前記送信側システムのユーザにより前記対象データセットの送信設定を行う送信設定画面を表示してもよい。また、前記送信設定画面は、複数の前記受信側システムから選択される1つ又は複数の前記対象データセットの送信先を入力する送信先入力欄と、前記対象データセットに含まれる1つ又は複数の前記送信対象の医用データを入力する医用データ入力欄と、前記送信先に対して前記対象データセットの送信を指令する送信ボタンとを含んでもよい。これにより、送信設定画面で、送信先の入力、対象データセットに含まれる送信対象の医用データの入力、及び送信指令それぞれを行うことができる。従って、送信側システムのユーザの操作性を高めることが可能となる。
【0015】
前記送信設定画面において前記送信ボタンが押されたことを契機として、前記送信側システムは、前記暗号化対象データセット、前記暗号化データセットID及び前記暗号化共通鍵の生成と、前記外部リポジトリに対する前記暗号化対象データセット及び前記非暗号化データセットIDの送信と、前記受信側システムに対する前記暗号化データセットID及び前記暗号化共通鍵の送信とを行ってもよい。これにより、送信側システムのユーザの操作性を高めることが可能となる。
【0016】
本発明のさらに別の態様に係る受信側システムは、医用データの受信側の医療機関におけるものであって、
前記受信側システムは、前記医用データを一時的に保存する外部リポジトリを介して、前記医用データの送信側の医療機関における送信側システムから前記医用データを受信するものであり、
さらに、前記受信側システムは、
前記送信側システムの送信対象の医用データのセットである対象データセットの識別符号であるデータセットIDが前記受信側システムの公開鍵により暗号化された暗号化データセットIDと、前記対象データセットの暗号化に用いられた共通鍵が前記受信側システムの公開鍵により暗号化された暗号化共通鍵とを、外部サーバを介して又は直接、前記送信側システムから受信し、
前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記送信側システムにおいて前記共通鍵により暗号化された前記対象データセットである暗号化対象データセットのうち前記復号データセットIDで特定されるものの送信を前記外部リポジトリに要求し、
前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各医用データに展開して記録する
ことを特徴とする。
前記受信側システムは、前記医用データを一時的に保存する外部リポジトリを介して、前記医用データの送信側の医療機関における送信側システムから前記医用データを受信するものであり、
さらに、前記受信側システムは、
前記送信側システムの送信対象の医用データのセットである対象データセットの識別符号であるデータセットIDが前記受信側システムの公開鍵により暗号化された暗号化データセットIDと、前記対象データセットの暗号化に用いられた共通鍵が前記受信側システムの公開鍵により暗号化された暗号化共通鍵とを、外部サーバを介して又は直接、前記送信側システムから受信し、
前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記送信側システムにおいて前記共通鍵により暗号化された前記対象データセットである暗号化対象データセットのうち前記復号データセットIDで特定されるものの送信を前記外部リポジトリに要求し、
前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各医用データに展開して記録する
ことを特徴とする。
【0017】
前記受信側システムは、前記外部リポジトリを介して1つ又は複数の前記送信側システムからの前記暗号化対象データセットの受信並びにその後の復号及び展開が完了した1つ又は複数の前記対象データセットを選択可能に表示したデータセットリストを含むデータセットリスト画面を表示してもよい。また、前記データセットリスト画面において、前記受信側システムのユーザにより前記対象データセットの1つが選択されると、前記受信側システムは、選択された前記対象データセットの詳細情報を含むデータセット詳細情報画面を表示してもよい。
【0018】
これにより、時間がかかる受信(ダウンロード)、復号及び展開が、受信側システムのユーザの操作を待たずに進行するため、遅延を防ぐ効果をさらに高めることが可能となる。また、受信側システムのユーザは、受信、復号及び展開が完了した対象データセットの詳細情報を簡易な操作で確認することが可能となる。
【0019】
本発明のさらに別の態様に係るデータ送受信方法は、
データの送信側における送信側システムと、
前記データの受信側における受信側システムと、
前記データを一時的に保存して前記送信側システムから前記受信側システムへのデータ転送を中継する外部リポジトリと
を有するデータ送受信システムで実行する方法であって、
前記送信側システムは、
送信対象のデータのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信し、
前記外部リポジトリは、前記送信側システムから受信した前記暗号化対象データセット及び前記非暗号化データセットIDを記録し、
前記受信側システムは、
前記送信側システムから受信した前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記復号データセットIDで特定される前記暗号化対象データセットの送信を前記外部リポジトリに要求し、
前記外部リポジトリは、前記受信側システムから受信した前記復号データセットIDに対応する前記非暗号化データセットIDで特定される前記暗号化対象データセットを前記受信側システムに送信し、
前記受信側システムは、前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各データに展開して記録する
ことを特徴とする。
データの送信側における送信側システムと、
前記データの受信側における受信側システムと、
前記データを一時的に保存して前記送信側システムから前記受信側システムへのデータ転送を中継する外部リポジトリと
を有するデータ送受信システムで実行する方法であって、
前記送信側システムは、
送信対象のデータのセットである対象データセットを共通鍵で暗号化して暗号化対象データセットを生成し、
前記対象データセットの識別符号であるデータセットIDと前記共通鍵とを前記受信側システムの公開鍵により暗号化して暗号化データセットID及び暗号化共通鍵を生成し、
前記暗号化対象データセットと、暗号化していないデータセットIDである非暗号化データセットIDとを前記外部リポジトリに送信し、
外部サーバを介して又は直接、前記受信側システムに対して前記暗号化データセットID及び前記暗号化共通鍵を送信し、
前記外部リポジトリは、前記送信側システムから受信した前記暗号化対象データセット及び前記非暗号化データセットIDを記録し、
前記受信側システムは、
前記送信側システムから受信した前記暗号化データセットID及び前記暗号化共通鍵を前記受信側システムの秘密鍵により復号して復号データセットID及び復号共通鍵を生成し、
前記復号データセットIDで特定される前記暗号化対象データセットの送信を前記外部リポジトリに要求し、
前記外部リポジトリは、前記受信側システムから受信した前記復号データセットIDに対応する前記非暗号化データセットIDで特定される前記暗号化対象データセットを前記受信側システムに送信し、
前記受信側システムは、前記外部リポジトリから受信した前記暗号化対象データセットを前記復号共通鍵で復号し、復号した前記対象データセットに含まれる各データに展開して記録する
ことを特徴とする。
【発明の効果】
【0020】
本発明によれば、データ送信先の医療機関における診察等を円滑化可能となる。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施形態に係る医用データ送受信システムの概略構成図である。
【図2】前記実施形態に係る送信側ゲートウェイ端末の概略構成図である。
【図3】前記実施形態に係る受信側ゲートウェイ端末の概略構成図である。
【図4】前記実施形態における医用データ送信時の処理の流れを示す図である。
【図5】前記実施形態における医用データ受信時の処理の流れを示す図である。
【発明を実施するための形態】
【0022】
A.一実施形態
<A-1.本実施形態の構成>
[A-1-1.全体構成]
図1は、本発明の一実施形態に係る医用データ送受信システム10の概略構成図である。医用データ送受信システム10(以下「送受信システム10」ともいう。)は、複数の送信側システム20と、認証サーバ30と、外部リポジトリ40と、メールサーバ50と、複数の受信側システム60とを有する。なお、図1では、送信側システム20及び受信側システム60をそれぞれ1つずつしか示していないことに留意されたい。また、ここでは、理解の容易さを考慮して、送信側システム20と受信側システム60に分けているが、送信側システム20が受信側システム60の機能を有し、受信側システム60が送信側システム20の機能を有することも可能である。送信側システム20は、インターネット等の通信ネットワーク70を介して、認証サーバ30、外部リポジトリ40及びメールサーバ50と通信可能である。また、受信側システム60は、通信ネットワーク70を介して、認証サーバ30、外部リポジトリ40及びメールサーバ50と通信可能である。
<A-1.本実施形態の構成>
[A-1-1.全体構成]
図1は、本発明の一実施形態に係る医用データ送受信システム10の概略構成図である。医用データ送受信システム10(以下「送受信システム10」ともいう。)は、複数の送信側システム20と、認証サーバ30と、外部リポジトリ40と、メールサーバ50と、複数の受信側システム60とを有する。なお、図1では、送信側システム20及び受信側システム60をそれぞれ1つずつしか示していないことに留意されたい。また、ここでは、理解の容易さを考慮して、送信側システム20と受信側システム60に分けているが、送信側システム20が受信側システム60の機能を有し、受信側システム60が送信側システム20の機能を有することも可能である。送信側システム20は、インターネット等の通信ネットワーク70を介して、認証サーバ30、外部リポジトリ40及びメールサーバ50と通信可能である。また、受信側システム60は、通信ネットワーク70を介して、認証サーバ30、外部リポジトリ40及びメールサーバ50と通信可能である。
【0023】
送受信システム10では、送信対象の医用データのセットである対象データセットが、外部リポジトリ40を介して送信側システム20から受信側システム60に送信される。その際、対象データセットは、送信側システム20が生成した共通鍵(セッション鍵)により暗号化された暗号化データセットの形で送信される。
【0024】
また、送信側システム20は、受信側システム60が外部リポジトリ40から暗号化データセットをダウンロードし、その後、復号及び展開を行うための情報(以下「ダウンロード関連情報」という。)を、メールサーバ50を介してデータ送信先の受信側システム60に送信する。ところで、ISO/TS22691では、リポジトリを介して医用データを施設間で交換するために、ダウンロードに必要な情報を記述したHI-TOKEN(Health Information Token)が定義されている。この点を踏まえ、以下では、前記ダウンロード関連情報のことを、「HIトークン」ともいう。HIトークンには、例えば、対象データセットの識別符号であるデータセットIDと、対象データセットの暗号化に用いた共通鍵(セッション鍵)とが含まれる。HIトークンは、データ送信先の受信側システム60の秘密鍵により暗号化された暗号化HIトークンの形で送信される。
【0025】
メールサーバ50を介して送信側システム20から暗号化HIトークンを受信した受信側システム60は、自らの秘密鍵を用いて暗号化HIトークンを復号して復号HIトークンを生成する。そして、復号HIトークンに含まれるデータセットID(復号データセットID)を用いて外部リポジトリ40から暗号化データセットをダウンロードし、その後、復号HIトークンに含まれる共通鍵(復号共通鍵)を用いた復号及び展開を行う。
【0026】
認証サーバ30は、送信側システム20及び受信側システム60が外部リポジトリ40にアクセスする際の認証(アクセス権限付与)を行う。
【0027】
[A-1-2.送信側システム20]
(A-1-2-1.送信側システム20の概要)
送信側システム20は、医用データ(対象データセット)の送信側の医療機関で用いられる。上記のように、送信側システム20は、外部リポジトリ40を介してデータ送信先の受信側システム60に対して、共通鍵で暗号化した医用データ(対象データセット)を送信すると共に、メールサーバ50を介してデータ送信先の受信側システム60に対して、受信側システム60の公開鍵で暗号化したHIトークンを送信する。
(A-1-2-1.送信側システム20の概要)
送信側システム20は、医用データ(対象データセット)の送信側の医療機関で用いられる。上記のように、送信側システム20は、外部リポジトリ40を介してデータ送信先の受信側システム60に対して、共通鍵で暗号化した医用データ(対象データセット)を送信すると共に、メールサーバ50を介してデータ送信先の受信側システム60に対して、受信側システム60の公開鍵で暗号化したHIトークンを送信する。
【0028】
図1に示すように、送信側システム20は、PACS200と、電子カルテシステム210と、SS-MIX標準化ストレージ220と、送信側ゲートウェイ端末230と、ルータ240とを有する。PACS200は、医療用画像管理システムである。PACSは、「Picture Archiving and Communication System」の略語である。電子カルテシステム210は、電子カルテを管理するシステムである。SS-MIX標準化ストレージ220は、「厚生労働省電子的診療情報交換推進事業」(SS-MIX:Standardized Structured Medical Information eXchange)により標準化されたストレージである。送信側ゲートウェイ端末230は、PACS200、電子カルテシステム210及びSS-MIX標準化ストレージ220に蓄積されている医用データを、受信側システム60に送信する。ルータ240は、送信側ゲートウェイ端末230等を通信ネットワーク70(インターネット)に接続するための機器である。本実施形態のルータ240は、VPN(Virtual Private Network)タイプではないが、VPNタイプであってもよい。
【0029】
(A-1-2-2.送信側ゲートウェイ端末230)
図2は、本実施形態に係る送信側ゲートウェイ端末230の概略構成図である。上記のように、送信側ゲートウェイ端末230は、PACS200、電子カルテシステム210及びSS-MIX標準化ストレージ220に蓄積されている医用データを、受信側システム60に送信する。送信側ゲートウェイ端末230としては、例えば、一般的なパーソナルコンピュータ(デスクトップ型、ノート型等)を用いることができる。或いは、送信側ゲートウェイ端末230は、スマートホン、タブレット端末等のその他の情報端末としてもよい。
図2は、本実施形態に係る送信側ゲートウェイ端末230の概略構成図である。上記のように、送信側ゲートウェイ端末230は、PACS200、電子カルテシステム210及びSS-MIX標準化ストレージ220に蓄積されている医用データを、受信側システム60に送信する。送信側ゲートウェイ端末230としては、例えば、一般的なパーソナルコンピュータ(デスクトップ型、ノート型等)を用いることができる。或いは、送信側ゲートウェイ端末230は、スマートホン、タブレット端末等のその他の情報端末としてもよい。
【0030】
図2に示すように、送信側ゲートウェイ端末230は、通信装置2300と、入出力装置2310と、制御装置2320と、記憶装置2330とを有する。これに加えて、送信側ゲートウェイ端末230は、個人認証用の認証デバイス(図示せず)を有してもよい。通信装置2300は、ルータ240及び通信ネットワーク70(図1)を介して認証サーバ30、外部リポジトリ40及びメールサーバ50と通信可能である。入出力装置2310は、送信側ゲートウェイ端末230のユーザ(送信元の医療機関の担当者(医師、システム担当者、助手、事務員等))からの入力を受け付けると共に、ユーザに対して出力を行う。入出力装置2310は、入力装置としてのキーボード2311及びマウス2312と、出力装置としての表示装置2313とを含む。
【0031】
制御装置2320は、送信側ゲートウェイ端末230全体を制御する。本実施形態において、制御装置2320は、医用データの送信に関する処理を行う。記憶装置2330は、制御装置2320が実行するソフトウェア及び各種データを記憶する。
【0032】
図2に示すように、制御装置2320は、エクスポート処理部2321と、アップロードデータ生成部2322と、アップロード部2323と、HIトークン生成部2324と、HIトークン送信先管理部2325と、HIトークン送信部2326とを有する。エクスポート処理部2321は、送信先の医療機関(受信側システム60)に送信する医用データをエクスポートする処理(エクスポート処理)を実行する。アップロードデータ生成部2322は、外部リポジトリ40にアップロードするデータ(対象データセット)を生成する。アップロード部2323は、対象データセットを外部リポジトリ40にアップロードする。HIトークン生成部2324は、HIトークン(後述)を生成する。HIトークン送信先管理部2325は、HIトークンの送信先を管理する。HIトークン送信部2326は、HIトークンを送信する。後述するように、本実施形態では、HIトークンは、暗号化された電子メールの本文として送信される。
【0033】
[A-1-3.認証サーバ30]
認証サーバ30(図1)は、送信側システム20及び受信側システム60が外部リポジトリ40にアクセスする際の認証(アクセス権限付与)を行う。認証サーバ30は、図示しない通信装置、入出力装置、制御装置及び記憶装置を有する。
認証サーバ30(図1)は、送信側システム20及び受信側システム60が外部リポジトリ40にアクセスする際の認証(アクセス権限付与)を行う。認証サーバ30は、図示しない通信装置、入出力装置、制御装置及び記憶装置を有する。
【0034】
[A-1-4.外部リポジトリ40]
上記のように、外部リポジトリ40は、医用データ(対象データセット)を一時的に保存して送信側システム20から受信側システム60へのデータ転送を中継する。外部リポジトリ40は、例えば、ストレージサーバとして構成することができる。或いは、外部リポジトリ40は、Network Attached Storage(NAS)として構成してもよい。外部リポジトリ40は、図示しない通信装置、入出力装置、制御装置及び記憶装置を有する。
上記のように、外部リポジトリ40は、医用データ(対象データセット)を一時的に保存して送信側システム20から受信側システム60へのデータ転送を中継する。外部リポジトリ40は、例えば、ストレージサーバとして構成することができる。或いは、外部リポジトリ40は、Network Attached Storage(NAS)として構成してもよい。外部リポジトリ40は、図示しない通信装置、入出力装置、制御装置及び記憶装置を有する。
【0035】
[A-1-5.メールサーバ50]
メールサーバ50は、送信側システム20から受信側システム60への暗号化HIトークン(暗号化データセットID及び暗号化共通鍵を含む。)の送信を中継する。メールサーバ50は、図示しない通信装置、入出力装置、制御装置及び記憶装置を有する。
メールサーバ50は、送信側システム20から受信側システム60への暗号化HIトークン(暗号化データセットID及び暗号化共通鍵を含む。)の送信を中継する。メールサーバ50は、図示しない通信装置、入出力装置、制御装置及び記憶装置を有する。
【0036】
[A-1-6.受信側システム60]
(A-1-6-1.受信側システム60の概要)
受信側システム60は、医用データ(対象データセット)の受信側の医療機関で用いられる。上記のように、受信側システム60は、メールサーバ50を介して送信側システム20からHIトークンを受信すると共に、外部リポジトリ40を介して送信側システム20から医用データ(対象データセット)を受信する。
(A-1-6-1.受信側システム60の概要)
受信側システム60は、医用データ(対象データセット)の受信側の医療機関で用いられる。上記のように、受信側システム60は、メールサーバ50を介して送信側システム20からHIトークンを受信すると共に、外部リポジトリ40を介して送信側システム20から医用データ(対象データセット)を受信する。
【0037】
図1に示すように、受信側システム60は、ルータ600と、受信側ゲートウェイ端末610と、RIS端末620と、PACS630と、電子カルテシステム640と、SS-MIX標準化ストレージ650とを有する。ルータ600は、受信側ゲートウェイ端末610等を通信ネットワーク70(インターネット)に接続するための機器である。本実施形態のルータ600は、VPNタイプではないが、VPNタイプであってもよい。受信側ゲートウェイ端末610は、送信側システム20からの対象データセットに含まれる各医用データを、PACS630、電子カルテシステム640及びSS-MIX標準化ストレージ650にインポートする。RIS端末620は、放射線科情報システム(Radiology Information System)である。PACS630は、医療用画像管理システムである。電子カルテシステム640は、電子カルテを管理するシステムである。SS-MIX標準化ストレージ650は、SS-MIXにより標準化されたストレージである。
【0038】
(A-1-6-2.受信側ゲートウェイ端末610)
図3は、本実施形態に係る受信側ゲートウェイ端末610の概略構成図である。上記のように、受信側ゲートウェイ端末610は、送信側システム20からの対象データセットに含まれる各医用データを、PACS630、電子カルテシステム640及びSS-MIX標準化ストレージ650にインポートする。受信側ゲートウェイ端末610としては、例えば、一般的なパーソナルコンピュータ(デスクトップ型、ノート型等)を用いることができる。或いは、送信側ゲートウェイ端末230は、スマートホン、タブレット端末等のその他の情報端末としてもよい。
図3は、本実施形態に係る受信側ゲートウェイ端末610の概略構成図である。上記のように、受信側ゲートウェイ端末610は、送信側システム20からの対象データセットに含まれる各医用データを、PACS630、電子カルテシステム640及びSS-MIX標準化ストレージ650にインポートする。受信側ゲートウェイ端末610としては、例えば、一般的なパーソナルコンピュータ(デスクトップ型、ノート型等)を用いることができる。或いは、送信側ゲートウェイ端末230は、スマートホン、タブレット端末等のその他の情報端末としてもよい。
【0039】
図3に示すように、受信側ゲートウェイ端末610は、通信装置6100と、入出力装置6110と、制御装置6120と、記憶装置6130とを有する。これに加えて、受信側ゲートウェイ端末610は、個人認証用の認証デバイス(図示せず)を有してもよい。通信装置6100は、ルータ600及び通信ネットワーク70(図1)を介して、認証サーバ30、外部リポジトリ40及びメールサーバ50と通信可能である。入出力装置6110は、受信側ゲートウェイ端末610のユーザ(送信先の医療機関の担当者(医師、システム担当者、助手、事務員等)からの入力を受け付けると共に、ユーザに対して出力を行う。入出力装置6110は、入力装置としてのキーボード6111及びマウス6112と、出力装置としての表示装置6113とを含む。
【0040】
制御装置6120は、受信側ゲートウェイ端末610全体を制御する。本実施形態において、制御装置6120は、医用データの受信に関する処理を行う。記憶装置6130は、制御装置6120が実行するソフトウェア及び各種データを記憶する。ここでの各種データには、外部リポジトリ40を介して送信側システム20から受信した医用データも含まれる(詳細は後述する。)。
【0041】
図3に示すように、制御装置6120は、HIトークン受信部6121と、ダウンロード部6122と、復号・展開部6123と、受信情報管理部6124と、インポート処理部6125とを有する。HIトークン受信部6121は、メールサーバ50を介して送信側システム20からHIトークン(電子メール)を受信する。ダウンロード部6122は、外部リポジトリ40から暗号化データセットをダウンロードする。復号・展開部6123は、暗号化データセットの復号・展開を行う。受信情報管理部6124は、受信した対象データセット等をインポート処理の前後において管理する。インポート処理部6125は、復号・展開した対象データセット(又はそこに含まれる各医用データ(ファイル)をインポートする処理(インポート処理)を実行する。
【0042】
<A-2.本実施形態における処理>
[A-2-1.概要]
次に本実施形態における処理について説明する。上記のように、本実施形態では、共通鍵暗号方式を用いて且つ外部リポジトリ40を介して送信側システム20から受信側システム60に暗号化データセットを送信する。また、公開鍵暗号方式を用いて且つメールサーバ50を介して送信側システム20から受信側システム60に暗号化HIトークン(暗号化データセットID及び暗号化共通鍵を含む。)を送信する。
[A-2-1.概要]
次に本実施形態における処理について説明する。上記のように、本実施形態では、共通鍵暗号方式を用いて且つ外部リポジトリ40を介して送信側システム20から受信側システム60に暗号化データセットを送信する。また、公開鍵暗号方式を用いて且つメールサーバ50を介して送信側システム20から受信側システム60に暗号化HIトークン(暗号化データセットID及び暗号化共通鍵を含む。)を送信する。
【0043】
[A-2-2.医用データ送信時の処理]
図4は、本実施形態における医用データ送信時の処理の流れを示す図である。図4では、送信側システム20から外部リポジトリ40への暗号化データセットの一時保存のための処理、及びメールサーバ50を介して送信側システム20から受信側システム60への暗号化HIトークン(電子メール)の送信のための処理が含まれる。
図4は、本実施形態における医用データ送信時の処理の流れを示す図である。図4では、送信側システム20から外部リポジトリ40への暗号化データセットの一時保存のための処理、及びメールサーバ50を介して送信側システム20から受信側システム60への暗号化HIトークン(電子メール)の送信のための処理が含まれる。
【0044】
図4のステップS101において、送信側システム20(送信側ゲートウェイ端末230)は、エクスポート処理を行う。エクスポート処理は、送信先の医療機関(受信側システム60)に送信する医用データをエクスポートする処理である。エクスポート処理では、送信側システム20は、送信側システム20のユーザにより対象データセットの送信設定を行うための送信設定画面(図示せず)を表示する。
【0045】
送信設定画面は、例えば、患者名入力欄、検査入力欄、医用データ入力欄、送信先入力欄及び送信ボタン(いずれも図示せず)を含む。患者名入力欄は、送信先の医療機関に医用データを送信すべき患者名の入力欄である。検査入力欄は、送信対象の医用データを特定する検査内容の入力欄である。医用データ入力欄は、対象データセットに含まれる1つ又は複数の送信対象の医用データ(例えば、診療情報提供書のデータ、検査結果を示す画像ファイル、処方データ)を入力するための欄である。送信先入力欄は、複数の受信側システム60から選択される1つ又は複数の対象データセットの送信先を入力するための欄である。
【0046】
患者名入力欄、検査入力欄及び医用データ入力欄への入力に際し、送信側システム20(送信側ゲートウェイ端末230)は、PACS200、電子カルテシステム210又はSS-MIX標準化ストレージ220から適宜データを取得してユーザの入力し易いユーザインタフェースを用いることで、ユーザ入力を補助してもよい。そのようなユーザインタフェースとしては、例えば、キーワードによる検索、画像データのサムネイル表示等を用いることができる。同様に、送信先入力欄への入力に際し、送信側システム20(送信側ゲートウェイ端末230)は、例えば、別の外部サーバ(例えば、各医療機関のアカウント情報を管理するアカウント管理サーバ(図示せず))から送信先の医療機関(受信側システム60)のデータを取得してユーザの入力し易いユーザインタフェースを用いることで、ユーザ入力を補助してもよい。
【0047】
送信ボタンは、送信先に対して対象データセットの送信を指令するボタンである。送信ボタンが押されると、以下のステップS102~S110を送信側システム20等が自動的に行う。なお、エクスポート処理の一部(例えば、送信先の選択、送信対象の医用データ(ファイル)の選択)は、特許文献1と同様に行うことができる。
【0048】
ステップS102において、送信側システム20は、対象データセットを暗号化するためのセッション鍵(共通鍵)及び対象データセットIDを生成する。セッション鍵(共通鍵)としては、例えば、所定の文字数からなるアルファベット、数字及び記号をランダムに組み合わせた文字列としてのパスワードを用いることができる。また、対象データセットIDとしては、例えば、所定の文字数からなるアルファベット、数字及び記号のランダムな組合せを含む文字列を用いることができる。
【0049】
ステップS103において、送信側システム20は、外部リポジトリ40へのアクセス権限を認証サーバ30に対して要求する。当該要求には、送信側システム20の認証情報を含ませる。この認証情報としては、例えば、送信側システム20のアカウント番号及びアカウントパスワードを含ませてもよい。ステップS104において、認証サーバ30は、送信側システム20に対してアクセス権限を付与する。より具体的には、認証サーバ30は、送信側システム20からの要求に含まれる認証情報を用いて、送信側システム20が外部リポジトリ40へのアクセスを許可されているかを確認(認証)する。そして、認証が成功した場合、認証サーバ30は、アクセス権限を示すトークン(アクセストークン)を送信側システム20に対して送信する。
【0050】
ステップS105において、送信側システム20は、対象データセットをセッション鍵(共通鍵)で暗号化して暗号化データセットを生成する。ステップS106において、送信側システム20は、暗号化データセットを外部リポジトリ40に送信する。この際、送信側システム20は、アクセス権限を示すアクセストークンと、暗号化していないデータセットID(非暗号化データセットID)とを付加する。
【0051】
ステップS107において、外部リポジトリ40は、送信側システム20からの暗号化データセットを一時保存する。より具体的には、外部リポジトリ40は、送信側システム20からのアクセストークンに基づいてアクセス権限があることを確認する。次いで、暗号化データセットと非暗号化データセットIDを組み合わせてストレージデバイス(図示せず)に記録する。一時保存が完了したら、その旨を送信側システム20に通知する。当該通知により、送信側システム20は、一時保存の完了を確認することができる。
【0052】
ステップS108において、送信側システム20は、HIトークンを電子メール形式で生成する。HIトークンには、例えば、セッション鍵(共通鍵)及びデータセットIDが含まれる。そして、HIトークンの内容が電子メールの本文として含まれる。HIトークン以外に電子メールに含む内容(例えば、送信先の受信側システム60のメールアドレス)も合わせて生成される。
【0053】
ステップS109において、送信側システム20は、HIトークン(メール本文)を、送信先の受信側システム60の公開鍵で暗号化して暗号化HIトークンを生成する。暗号化HIトークンには、暗号化されたデータセットID及び共通鍵(すなわち、暗号化データセットID及び暗号化共通鍵)が含まれる。送信先の受信側システム60の公開鍵は、例えば、図示しない別の外部ザーバ(例えば、各医療機関の公開鍵を管理する公開鍵管理サーバ(図示せず)又は前記アカウント管理サーバ)から取得する。また、S/MIME(Secure/Multipurpose Internet Mail Extensions)を用いることができる。
【0054】
ステップS110において、送信側システム20は、暗号化HIトークンを含む電子メールをメールサーバ50に送信する。この際、プロトコルとして、SMTPS (SMTP over SSL/TLS)を用いることができる。ステップS111において、メールサーバ50は、送信側システム20からの電子メールを自らのストレージデバイス(図示せず)に一時保存する。
【0055】
ステップS112において、受信側システム60は、所定タイミング(例えば、10分毎)にメールサーバ50にアクセスして新着メールの有無を確認する。ステップS113において、メールサーバ50は、新着メール(暗号化HIトークン)がある場合、受信側システム60に送信(転送)する。ステップS114において、受信側システム60は、メールサーバ50からの新着メール(暗号化HIトークン)を受信する。なお、ステップS112~S114は、医用データ受信時の処理として位置付けることも可能である。
【0056】
[A-2-3.医用データ受信時の処理]
図5は、本実施形態における医用データ受信時の処理の流れを示す図である。図5では、暗号化HIトークン(電子メール)の受信後において、受信側システム60による外部リポジトリ40からの暗号化データセットのダウンロード、復号及び展開のための処理が含まれる。図5のステップS201~S208は、受信側システム60のユーザによる操作を伴うことなく、受信側システム60等で自動的に行われる。
図5は、本実施形態における医用データ受信時の処理の流れを示す図である。図5では、暗号化HIトークン(電子メール)の受信後において、受信側システム60による外部リポジトリ40からの暗号化データセットのダウンロード、復号及び展開のための処理が含まれる。図5のステップS201~S208は、受信側システム60のユーザによる操作を伴うことなく、受信側システム60等で自動的に行われる。
【0057】
ステップS201において、受信側システム60は、メールサーバ50からの新着メール(暗号化HIトークン)を受信する。ステップS201は、図4のステップS114と同じであり、理解の容易さを考慮して、図4及び図5それぞれに記載している。
【0058】
ステップS202において、受信側システム60は、電子メールに含まれる暗号化HIトークン(メール本文)を、自らの秘密鍵で復号して、復号セッション鍵(復号共通鍵)及び復号データセットIDを生成する。
【0059】
ステップS203において、受信側システム60は、外部リポジトリ40へのアクセス権限を認証サーバ30に対して要求する。当該要求には、受信側システム60の認証情報を含ませる。この認証情報としては、例えば、受信側システム60のアカウント番号及びアカウントパスワードを含ませてもよい。ステップS204において、認証サーバ30は、受信側システム60に対してアクセス権限を付与する。より具体的には、認証サーバ30は、受信側システム60からの要求に含まれる認証情報を用いて、受信側システム60が外部リポジトリ40へのアクセスを許可されているかを確認(認証)する。そして、認証が成功した場合、認証サーバ30は、アクセス権限を示すトークン(アクセストークン)を受信側システム60に対して送信する。
【0060】
ステップS205において、受信側システム60は、復号データセットIDに対応する暗号化データセットの送信を外部リポジトリ40に要求する。この際、受信側システム60は、アクセス権限を示すアクセストークンを付加する。
【0061】
ステップS206において、外部リポジトリ40は、受信側システム60からの復号データセットIDに対応する暗号化データセットを自らのデータストレージ(図示せず)から読み出して受信側システム60に送信する。より具体的には、外部リポジトリ40は、受信側システム60からのアクセストークンに基づいてアクセス権限があることを確認する。次いで、受信側システム60からの復号データセットIDに対応する(又は一致する)非暗号化データセットIDで特定される暗号化データセットをデータストレージから読み出して受信側システム60に送信する。
【0062】
ステップS207において、受信側システム60は、外部リポジトリ40から暗号化データセットを受信し、復号セッション鍵(復号共通鍵)で復号した後、展開する。展開された医用データ(ファイル)は、受信側ゲートウェイ端末610の記憶装置6130に記憶される。ステップS208において、受信側システム60は、ダウンロード済の対象データセットに関するリスト(ダウンロード済リスト)を更新する。すなわち、ダウンロード済リストに、今回ダウンロードした対象データセットの情報を追加する。
【0063】
ステップS209において、受信側システム60は、インポート処理を行う。インポート処理は、送信側システム20から受信した対象データセット又はそれに含まれる各医用データ(ここでは特にダウンロード済みの対象データセット又はそれに含まれる各医用データ)をインポートする処理である。
【0064】
インポート処理では、受信側システム60は、インポート対象の対象データセット又はそれに含まれる各医用データを、受信側システム60のユーザにより選択可能なダウンロード済リストを含むダウンロード済リスト画面(データセットリスト画面)(図示せず)を表示する。ダウンロード済リスト画面において、受信側システム60のユーザにより対象データセットの1つが選択されると、受信側システム60は、選択された対象データセットの詳細情報を含むデータセット詳細情報画面(図示せず)を表示する。
【0065】
データセット詳細情報画面は、例えば、送信元の医療機関名、患者名、画像データ(ファイル)のサムネイル表示、対象データセット(又はそれに含まれる各医用データ)の内容表示欄、インポート先入力欄を含むことができる。インポート先としては、画像データの場合、PACS630等が指定され、診療情報提供書、検査結果及び処方は、電子カルテシステム640、SS-MIX標準化ストレージ650等が指定される。
【0066】
また、送信先の医療機関において患者の各データをそれぞれ関連付けて管理するため、本実施形態では、RIS端末620が最上位で患者のデータを管理している。そこで、RIS端末620が管理している患者のデータと、送信側システム20から受信した患者のデータ(対象データセット)を関連付けるため、対象データセット(又はそれに含まれる各医用データ)をインポートする際は、RIS端末620からインポート指令が発行されていることを条件とする。
【0067】
従って、本実施形態では、患者が送信先の医療機関に来る前に、図5のステップS208までを終了させておくことが可能となる。一方、インポート処理については、患者が送信先の医療機関に来た際、RIS端末620から受信側ゲートウェイ端末610に対してインポート指令が発行された後に、受信側システム60側のシステム担当者等により、PACS630、電子カルテシステム640、SS-MIX標準化ストレージ650等へのインポートが行われる。
【0068】
送信先の医療機関にとって患者が初診である場合、当該患者の基本データ(患者ID番号等)がRIS端末620で入力及び記録される。そして、RIS端末620から受信側ゲートウェイ端末610に対してインポート指令が発行される。受信側ゲートウェイ端末610のユーザは、インポート指令で特定される患者と、受信側ゲートウェイ端末610がダウンロード済の対象データセットの患者が同一であることを確認した上で、PACS630、電子カルテシステム640、SS-MIX標準化ストレージ650等へのインポートを行う。
【0069】
送信先の医療機関にとって患者が再診である場合も初診の場合と同様、受信側ゲートウェイ端末610のユーザは、インポート指令で特定される患者と、受信側ゲートウェイ端末610がダウンロード済の対象データセットの患者が同一であることを確認した上で、PACS630、電子カルテシステム640、SS-MIX標準化ストレージ650等へのインポートを行う。或いは、例えば、送信元の医療機関における患者のID情報と、送信先の医療機関における患者のID情報とで関連付けが完了済みであり且つ復号HIトークンに送信元の医療機関における患者のID情報が含まれる場合、受信側ゲートウェイ端末610は、RIS端末620からインポート指令なしに、ダウンロード済みの対象データセットの各医用データを、PACS630、電子カルテシステム640、SS-MIX標準化ストレージ650等にインポートしておいてもよい。この場合、インポートは、ユーザ操作によるもの又は受信側ゲートウェイ端末610が自動で行うもののいずれとすることもできる。
【0070】
なお、上述したRIS端末620の役割を、病院情報システム(HIS:Hospital Information Systems)に担わせてもよい。また、インポート処理の一部は、特許文献1と同様に行うことができる。
【0071】
<A-3.本実施形態の効果>
本実施形態によれば、受信側システム60の公開鍵で暗号化した暗号化データセットID及び暗号化共通鍵を送信側システム20から受信側システム60に送信する(図4のS110~S114)。そして、受信側システム60は、自らの秘密鍵で復号した復号データセットIDを用いて、外部リポジトリ40から暗号化対象データセットを取得し(図5のS205、S206)、自らの秘密鍵で復号した復号共通鍵を用いて対象データセットを復号及び展開する(S207)。これにより、暗号化データセットID(特許文献1でいうところのトークンに代わるもの)を、患者が持ち運ばずに、送信側システム20と受信側システム60の間の通信により受信側システム60に届けることができる。そのため、受信側システム60は、患者が医用データの送信先の医療機関に来る前に、医用データをダウンロードしておくことが可能となる。従って、患者が医用データの送信先の医療機関に来てからの診察等を円滑化することが可能となる。
本実施形態によれば、受信側システム60の公開鍵で暗号化した暗号化データセットID及び暗号化共通鍵を送信側システム20から受信側システム60に送信する(図4のS110~S114)。そして、受信側システム60は、自らの秘密鍵で復号した復号データセットIDを用いて、外部リポジトリ40から暗号化対象データセットを取得し(図5のS205、S206)、自らの秘密鍵で復号した復号共通鍵を用いて対象データセットを復号及び展開する(S207)。これにより、暗号化データセットID(特許文献1でいうところのトークンに代わるもの)を、患者が持ち運ばずに、送信側システム20と受信側システム60の間の通信により受信側システム60に届けることができる。そのため、受信側システム60は、患者が医用データの送信先の医療機関に来る前に、医用データをダウンロードしておくことが可能となる。従って、患者が医用データの送信先の医療機関に来てからの診察等を円滑化することが可能となる。
【0072】
さらに、送信対象の医用データのセットである対象データセットについては、共通鍵で暗号化及び復号を行う一方(図4のS105、図5のS207)、データセットID及び共通鍵については受信側システム60の公開鍵及び秘密鍵で暗号化及び復号を行う(図4のS109、図5のS202)。これにより、データサイズが比較的大きくなり得る対象データセットについては共通鍵による暗号化及び復号を用いることでセキュリティを確保しつつ演算負荷を抑制可能となる。その一方、データサイズが比較的小さくなり得るデータセットID及び共通鍵については受信側システム60の公開鍵及び秘密鍵による暗号化及び復号を用いることで(及び対象データセットに関する共通鍵暗号方式と組み合わせることで)、より高いセキュリティを確保可能となる。
【0073】
本実施形態において、送信側システム20は、送信側システム20のユーザにより対象データセットの送信設定を行う送信設定画面を表示する(図4のS101)。送信設定画面は、複数の受信側システム60から選択される1つ又は複数の対象データセットの送信先を入力する送信先入力欄と、対象データセットに含まれる1つ又は複数の送信対象の医用データを入力する医用データ入力欄と、送信先に対して対象データセットの送信を指令する送信ボタンとを含む(図4のS101)。これにより、送信設定画面で、送信先の入力、対象データセットに含まれる送信対象の医用データの入力、及び送信指令それぞれを行うことができる。従って、送信側システム20のユーザの操作性を高めることが可能となる。
【0074】
本実施形態において、送信設定画面において送信ボタンが押されたことを契機として、送信側システム20は、暗号化対象データセット、暗号化データセットID及び暗号化共通鍵の生成(図4のS102、S105、S108、S109)と、外部リポジトリ40に対する暗号化対象データセット及び非暗号化データセットIDの送信(S106)と、受信側システム60に対する暗号化データセットID及び暗号化共通鍵の送信(S110)とを行う。これにより、送信側システム20のユーザの操作性を高めることが可能となる。
【0075】
本実施形態において、受信側システム60は、外部リポジトリ40を介して1つ又は複数の送信側システム20からの暗号化対象データセットの受信並びにその後の復号及び展開が完了した1つ又は複数の対象データセットを選択可能に表示したデータセットリスト(ダウンロード済リスト)を含むデータセットリスト画面を表示する(図5のS208)。データセットリスト画面において、受信側システム60のユーザにより対象データセットの1つが選択されると、受信側システム60は、選択された対象データセットの詳細情報を含むデータセット詳細情報画面を表示する。これにより、時間がかかる受信(ダウンロード)、復号及び展開が、受信側システム60のユーザの操作を待たずに進行するため、遅延を防ぐ効果をさらに高めることが可能となる。また、受信側システム60のユーザは、受信、復号及び展開が完了した対象データセットの詳細情報を簡易な操作で確認することが可能となる。
【0076】
B.変形例
なお、本発明は、上記実施形態に限らず、本明細書の記載内容に基づき、種々の構成を採り得ることはもちろんである。例えば、以下の構成を採用することができる。
なお、本発明は、上記実施形態に限らず、本明細書の記載内容に基づき、種々の構成を採り得ることはもちろんである。例えば、以下の構成を採用することができる。
【0077】
<B-1.構成>
上記実施形態の送受信システム10は、送信側システム20及び受信側システム60が外部リポジトリ40へのアクセス権限を取得するための認証サーバ30を有するものであった(図1)。しかしながら、例えば、共通鍵暗号方式を用いて暗号化データセットを送信し、公開鍵暗号方式を用いて暗号化データセットID及び暗号化共通鍵を送信する点に着目すれば、これに限らず、認証サーバ30を省略することも可能である。
上記実施形態の送受信システム10は、送信側システム20及び受信側システム60が外部リポジトリ40へのアクセス権限を取得するための認証サーバ30を有するものであった(図1)。しかしながら、例えば、共通鍵暗号方式を用いて暗号化データセットを送信し、公開鍵暗号方式を用いて暗号化データセットID及び暗号化共通鍵を送信する点に着目すれば、これに限らず、認証サーバ30を省略することも可能である。
【0078】
上記実施形態の送受信システム10は、電子メール形式のHIトークンを送信するためのメールサーバ50を有するものであった(図1)。しかしながら、例えば、暗号化データセットとは別の通信経路で、送信側システム20から受信側システム60に暗号化データセットID及び暗号化共通鍵を伝達する点に着目すれば、これに限らない。例えば、メールサーバ50を介さずに送信側システム20と受信側システム60とで通信経路を確立し、両者の直接通信を行うことも可能である。
【0079】
<B-2.制御>
上記実施形態では、図4に示す順番で医用データ(対象データセット)の送信を行った。しかしながら、例えば、共通鍵暗号方式を用いて暗号化データセットを送信し、公開鍵暗号方式を用いて暗号化データセットID及び暗号化共通鍵を送信する点に着目すれば、これに限らない。例えば、HIトークンの生成(S108)を、外部リポジトリ40への暗号化データセットの一時保存(S106、S107)よりも前に行ってもよい。
上記実施形態では、図4に示す順番で医用データ(対象データセット)の送信を行った。しかしながら、例えば、共通鍵暗号方式を用いて暗号化データセットを送信し、公開鍵暗号方式を用いて暗号化データセットID及び暗号化共通鍵を送信する点に着目すれば、これに限らない。例えば、HIトークンの生成(S108)を、外部リポジトリ40への暗号化データセットの一時保存(S106、S107)よりも前に行ってもよい。
【0080】
上記実施形態では、医用データとしての対象データセットを送信側システム20から受信側システム60に送信するものであった(図4)。しかしながら、例えば、共通鍵暗号方式を用いて外部リポジトリ40を介して暗号化データセットを送信し、公開鍵暗号方式を用いて暗号化データセットID及び暗号化共通鍵を送信する点に着目すれば、これに限らない。例えば、送信されるデータは医用データ以外のもの(例えば、映画等のコンテンツデータ)とすることも可能である。
【0081】
上記実施形態では、複数のデータを含み得るデータ(データファイル)のセットとしての対象データセットを送信側システム20から受信側システム60に送信するものであった(図4)。しかしながら、例えば、共通鍵暗号方式を用いて外部リポジトリ40を介して暗号化データを送信し、公開鍵暗号方式を用いて暗号化データのID及び暗号化共通鍵を送信する点に着目すれば、これに限らない。例えば、送信されるデータ(データファイル)は1つのみとすることも可能である。
【0082】
上記実施形態では、1つの送信先としての1つの受信側システム60に対象データセットを送信する場合を想定して説明を行った(図4)。しかしながら、例えば、共通鍵暗号方式を用いて外部リポジトリ40を介して暗号化データセットを送信し、公開鍵暗号方式を用いて暗号化データセットID及び暗号化共通鍵を送信する点に着目すれば、これに限らず、同一の対象データセットを複数の受信側システム60にまとめて送信することも可能である。これにより、例えば、患者に緊急事態が生じ、別の医療機関に至急移動する必要がある場合、移動先の候補となる複数の別の医療機関にまとめて対象データセットを送信することが可能となる。
【0083】
そのように複数の送信先に同一の対象データセットを送信する場合、エクスポート処理(図4のS101)において、同一の対象データセットの送信先として複数の受信側システム60を設定(又は入力)する。そして、複数の送信先に対して共通の共通鍵で暗号化した1つの対象データセット(暗号化データセット)を外部リポジトリ40に一時保存する(S106、S107)。また、複数の送信先(受信側システム60)それぞれの公開鍵を用いて、暗号化HIトークン(暗号化データセットID及び暗号化共通鍵を含む。)を生成し(S109)、各送信先に暗号化HIトークンを送信する(S110)。例えば、送信先A用の暗号化HIトークンは、送信先Aの公開鍵を用いて生成し、送信先Aに送信する。また、送信先B用の暗号化HIトークンは、送信先Bの公開鍵を用いて生成し、送信先Bに送信する。
【0084】
そして、各送信先(受信側システム60)は、自らの秘密鍵を用いて暗号化HIトークンを復号し(図5のS202)、外部リポジトリ40から暗号化データセットをダウンロードし、復号及び展開を行う(S205~S207)。これにより、セキュリティを確保しつつ、同一の対象データセットを複数の送信先にまとめて送信することが可能となる。ここで共通鍵については複数の送信先それぞれで共通化することで、送信側システム20における暗号化データセットの生成の負荷及び外部リポジトリ40に対する暗号化データセットの送信(アップロード)の負荷を軽減することが可能となる。
【0085】
なお、複数の送信先に対して共通の共通鍵を用いる代わりに、複数の送信先に対して別々の共通鍵を用いることも可能である。この場合、送信先毎に(換言すると暗号化データセット毎に)共通鍵が異なるため、外部リポジトリ40への暗号化データセットの保存は、送信先毎に別々に行われる。加えて、外部リポジトリ40において暗号化データセットの特定に用いられるデータセットIDも、送信先毎に(換言すると暗号化データセット毎に)相違させておく必要がある。
【符号の説明】
【0086】
10…医用データ送受信システム 20…送信側システム
30…認証サーバ 40…外部リポジトリ
50…メールサーバ 60…受信側システム
70…通信ネットワーク
30…認証サーバ 40…外部リポジトリ
50…メールサーバ 60…受信側システム
70…通信ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】