知財求人 - 知財ポータルサイト「IP Force」
▶ ヒューレット−パッカード デベロップメント カンパニー エル.ピー.の特許一覧
特表2015-532476カスタマイズ可能なコンプライアンス・ポリシーを有する電子カルテシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2015-532476(P2015-532476A)
(43)【公表日】2015年11月9日
(54)【発明の名称】カスタマイズ可能なコンプライアンス・ポリシーを有する電子カルテシステム
(51)【国際特許分類】
G06Q 50/24 20120101AFI20151013BHJP
G06F 21/62 20130101ALI20151013BHJP
【FI】
G06Q50/24 110
G06F21/62 345
【審査請求】有
【予備審査請求】未請求
【全頁数】16
(21)【出願番号】特願2015-534449(P2015-534449)
(86)(22)【出願日】2012年9月30日
(85)【翻訳文提出日】2015年4月28日
(86)【国際出願番号】US2012058194
(87)【国際公開番号】WO2014051631
(87)【国際公開日】20140403
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IS,JP,KE,KG,KM,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LT,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US,UZ,VC
(71)【出願人】
【識別番号】511076424
【氏名又は名称】ヒューレット−パッカード デベロップメント カンパニー エル.ピー.
【氏名又は名称原語表記】Hewlett‐Packard Development Company, L.P.
(74)【代理人】
【識別番号】100087642
【弁理士】
【氏名又は名称】古谷 聡
(74)【代理人】
【識別番号】100082946
【弁理士】
【氏名又は名称】大西 昭広
(74)【代理人】
【識別番号】100121061
【弁理士】
【氏名又は名称】西山 清春
(74)【代理人】
【識別番号】100195693
【弁理士】
【氏名又は名称】細井 玲
(72)【発明者】
【氏名】リ,ジュン
(72)【発明者】
【氏名】ステヴォヴィック,ジョヴァン
(72)【発明者】
【氏名】スワミナサン,ラム
(72)【発明者】
【氏名】モタハリ−ネサド,ハミド,レザ
【テーマコード(参考)】
5L099
【Fターム(参考)】
5L099AA23
(57)【要約】
カスタマイズ可能なコンプライアンス・ポリシーを有する電子カルテ(EHR)システムにより実行される方法であって、第1のデータ管理操作のための第1のデータ管理プロセスであって、該第1のデータ管理操作のための第1のヘルスケア・パーティシパントの第1組のコンプライアンス・ポリシーを定義する、第1のデータ管理プロセスを呼び出し、前記第1のデータ管理操作のための第2のデータ管理プロセスであって、前記第1組のコンプライアンス・ポリシーとは異なる、前記第1のデータ管理操作のための第2のヘルスケア・パーティシパントの第2組のコンプライアンス・ポリシーを定義する、第2のデータ管理プロセスを呼び出す、という各ステップを含む方法。【選択図】図1
【特許請求の範囲】
【請求項1】
カスタマイズ可能なコンプライアンス・ポリシーを有する電子カルテ(EHR)システムにより実行される方法であって、
第1のデータ管理操作のための第1のデータ管理プロセスであって、該第1のデータ管理操作のための第1のヘルスケア・パーティシパントの第1組のコンプライアンス・ポリシーを定義する、第1のデータ管理プロセスを実行し、
前記第1のデータ管理操作のための第2のデータ管理プロセスであって、前記第1組のコンプライアンス・ポリシーとは異なる、前記第1のデータ管理操作のための第2のヘルスケア・パーティシパントの第2組のコンプライアンス・ポリシーを定義する、第2のデータ管理プロセスを実行する、
という各ステップからなる方法。
第1のデータ管理操作のための第1のデータ管理プロセスであって、該第1のデータ管理操作のための第1のヘルスケア・パーティシパントの第1組のコンプライアンス・ポリシーを定義する、第1のデータ管理プロセスを実行し、
前記第1のデータ管理操作のための第2のデータ管理プロセスであって、前記第1組のコンプライアンス・ポリシーとは異なる、前記第1のデータ管理操作のための第2のヘルスケア・パーティシパントの第2組のコンプライアンス・ポリシーを定義する、第2のデータ管理プロセスを実行する、
という各ステップからなる方法。
【請求項2】
前記第1のデータ管理プロセスがEHRストア内の第1のEHRにアクセスし、前記第2のデータ管理プロセスが前記EHRストア内の第2のEHRにアクセスする、請求項1に記載の方法。
【請求項3】
前記第1のデータ管理プロセスがメタデータストア内の第1のメタデータにアクセスし、前記第2のデータ管理プロセスが前記メタデータストア内の第2のメタデータにアクセスする、請求項1に記載の方法。
【請求項4】
前記第1のデータ管理プロセスがデータフィルタリングユニットをコールして第1のデータフィルタリングルールを使用した操作を実行し、前記第2のデータ管理プロセスが前記データフィルタリングユニットをコールして第2のデータフィルタリングルールを使用した操作を実行する、請求項1に記載の方法。
【請求項5】
前記第1のデータ管理プロセスがアクセス権ユニットをコールして第1のアクセス制御ルールを使用した操作を実行し、前記第2のデータ管理プロセスが前記アクセス権ユニットをコールして第2のアクセス制御ルールを使用した操作を実行する、請求項1に記載の方法。
【請求項6】
第1のパーティシパント・システム上で実行される前記第1のヘルスケア・パーティシパントの第1のビジネスプロセスに応じて前記第1のデータ管理プロセスを呼び出し、
第2のパーティシパント・システム上の前記第1のヘルスケア・パーティシパントからの第2のビジネスプロセスに応じて前記第2のデータ管理プロセスを呼び出す、
という各ステップを更に含む、請求項1に記載の方法。
第2のパーティシパント・システム上の前記第1のヘルスケア・パーティシパントからの第2のビジネスプロセスに応じて前記第2のデータ管理プロセスを呼び出す、
という各ステップを更に含む、請求項1に記載の方法。
【請求項7】
前記第1のデータ管理操作が、電子カルテの格納、電子カルテに対するアクセス、電子カルテのメタデータの検索、又は電子カルテに対するアクセス権の承認のうちの少なくとも1つを実行する、請求項1に記載の方法。
【請求項8】
一組をなす1つ以上のプロセッサと、
一組の命令を格納するメモリと
を備えた処理システムであって、該一組の命令が、前記一組のプロセッサにより実行された際に、
第1のデータ管理操作のための第1のデータ管理プロセスであって、該第1のデータ管理操作のための第1のヘルスケア・パーティシパントの第1組のコンプライアンス・ポリシーを定義する、第1のデータ管理プロセスを実行し、
前記第1のデータ管理操作のための第2のデータ管理プロセスであって、前記第1組のコンプライアンス・ポリシーとは異なる、前記第1のデータ管理操作のための第2のヘルスケア・パーティシパントの第2組のコンプライアンス・ポリシーを定義する、第2のデータ管理プロセスを実行する、
という各ステップを前記プロセッサに行わせる、処理システム。
一組の命令を格納するメモリと
を備えた処理システムであって、該一組の命令が、前記一組のプロセッサにより実行された際に、
第1のデータ管理操作のための第1のデータ管理プロセスであって、該第1のデータ管理操作のための第1のヘルスケア・パーティシパントの第1組のコンプライアンス・ポリシーを定義する、第1のデータ管理プロセスを実行し、
前記第1のデータ管理操作のための第2のデータ管理プロセスであって、前記第1組のコンプライアンス・ポリシーとは異なる、前記第1のデータ管理操作のための第2のヘルスケア・パーティシパントの第2組のコンプライアンス・ポリシーを定義する、第2のデータ管理プロセスを実行する、
という各ステップを前記プロセッサに行わせる、処理システム。
【請求項9】
前記第1のデータ管理プロセスがEHRストア内の第1のEHRにアクセスし、前記第2のデータ管理プロセスが前記EHRストア内の第2のEHRにアクセスする、請求項8に記載の処理システム。
【請求項10】
前記第1のデータ管理プロセスがメタデータストア内の第1のメタデータにアクセスし、前記第2のデータ管理プロセスが前記メタデータストア内の第2のメタデータにアクセスする、請求項8に記載の処理システム。
【請求項11】
前記第1のデータ管理プロセスがデータフィルタリングユニットをコールして第1のデータフィルタリングルールを使用した操作を実行し、前記第2のデータ管理プロセスが前記データフィルタリングユニットをコールして第2のデータフィルタリングルールを使用した操作を実行する、請求項8に記載の処理システム。
【請求項12】
前記第1のデータ管理プロセスがアクセス権ユニットをコールして第1のアクセス制御ルールを使用した操作を実行し、前記第2のデータ管理プロセスが前記アクセス権ユニットをコールして第2のアクセス制御ルールを使用した操作を実行する、請求項8に記載の処理システム。
【請求項13】
前記第1のデータ管理操作が、電子カルテの格納、電子カルテに対するアクセス、電子カルテのメタデータの検索、又は電子カルテに対するアクセス権の承認のうちの少なくとも1つを実行する、請求項8に記載の処理システム。
【請求項14】
命令を格納した少なくとも1つのマシン読み取り可能記憶媒体を備えた物品であって、該命令が、処理システムにより実行された際に、
第1のデータ管理操作のための第1のデータ管理プロセスであって、該第1のデータ管理操作のための第1のヘルスケア・パーティシパントの第1組のコンプライアンス・ポリシーを定義する、第1のデータ管理プロセスを実行し、
前記第1のデータ管理操作のための第2のデータ管理プロセスであって、前記第1組のコンプライアンス・ポリシーとは異なる、前記第1のデータ管理操作のための第2のヘルスケア・パーティシパントの第2組のコンプライアンス・ポリシーを定義する、第2のデータ管理プロセスを実行する、
という各ステップを前記処理システムに行わせる物品。
第1のデータ管理操作のための第1のデータ管理プロセスであって、該第1のデータ管理操作のための第1のヘルスケア・パーティシパントの第1組のコンプライアンス・ポリシーを定義する、第1のデータ管理プロセスを実行し、
前記第1のデータ管理操作のための第2のデータ管理プロセスであって、前記第1組のコンプライアンス・ポリシーとは異なる、前記第1のデータ管理操作のための第2のヘルスケア・パーティシパントの第2組のコンプライアンス・ポリシーを定義する、第2のデータ管理プロセスを実行する、
という各ステップを前記処理システムに行わせる物品。
【請求項15】
前記第1のデータ管理操作が、電子カルテの格納、電子カルテに対するアクセス、電子カルテのメタデータの検索、又は電子カルテに対するアクセス権の承認のうちの少なくとも1つを実行する、請求項14に記載の物品。
【発明の詳細な説明】
【背景技術】
【0001】
電子カルテ(EHR:Electronic Health Record)は、ヘルスケア・パーティシパント(participant:関係者)(例えば、患者、ヘルスケア提供者、支払者(payer)、及び研究者)が健康情報に対するケア及びアクセスの統合を改善することを可能にする。
【発明の概要】
【発明が解決しようとする課題】
【0002】
EHRは、ヘルスケア情報へのアクセスを容易にするが、ヘルスケア情報の共有は多くの複雑な技術や法令遵守問題を伴うものである。該法令遵守問題は、一般に、州や国によって異なり得る規制ポリシーを伴うものである。ヘルスケア情報の共有はまた、ヘルスケア・パーティシパントの内部的なビジネス要件に従うべきである。同じポリシーを採用する場合であっても、各ヘルスケア・パーティシパントは、それぞれの内部的なIT(Information Technology)環境においてポリシー及び要件を異なる態様で解釈し実施する可能性がある。これらの問題は、ヘルスケア情報の一貫性、プライバシー、及びセキュリティを確保しつつかかる共有を可能にするための資源及び専門知識を有さないヘルスケア・パーティシパントにとって重荷となり得る。
【図面の簡単な説明】
【0003】
【図1】カスタマイズ可能なコンプライアンス(compliance:準拠)ポリシーを有する電子カルテ格納及び処理環境の一実施形態を示すブロック図である。
【図2】データ管理インタフェイスのサブセットの一実施形態を示すブロック図である。
【図3】データ管理操作のためのデータ管理プロセスを生成し及びセキュリティ及びプライバシーポリシーを生成するための方法の一実施形態を示すブロック図である。
【図4A】電子カルテシステムとの対話の一実施形態を示すブロック図である。
【図4B】電子カルテシステムとの対話の一実施形態を示すブロック図である。
【図5A】データ管理操作を実行するためのデータ管理プロセスの一実施形態を示すブロック図である。
【図5B】データ管理操作を実行するためのデータ管理プロセスの一実施形態を示すブロック図である。
【図6】メタデータツリー及び暗号化データストアの一実施形態を示すブロック図である。
【図7】データ管理プロセス及びポリシーを実行するための処理システムの一実施形態を示すブロック図である。
【図8】ビジネスプロセスを実行するためのパーティシパント・システムの一実施形態を示すブロック図である。
【発明を実施するための形態】
【0004】
以下の詳細な説明で参照する添付図面は該詳細な説明の一部を成すものであり、同図面には、本開示の要旨を実施し得る特定の実施形態が例示されている。本開示の範囲から逸脱することなく他の実施形態を用いること及び構造的又は論理的な変更を行うことが可能であることが理解されよう。よって、以下の詳細な説明は制限的な意味で解釈されるべきではなく、本開示の範囲は特許請求の範囲によって画定されるものである。
【0005】
本書で用いる場合、用語「ヘルスケア・パーティシパント」(「パーティシパント」とも称す)とは、患者、ヘルスケア提供者、支払者、研究者、又は患者に対応するヘルスケア情報を生成し及び/又は使用する該患者のヘルスケアプロセスに関与する他の適当な者を意味する。用語「患者」とは、ヘルスケア提供者から少なくとも1つのヘルスケアサービスを受ける者を意味する。用語「ヘルスケア提供者」(「提供者」とも称す)とは、少なくとも1つのヘルスケアサービスを患者に提供する者及び/又は機関を意味する。
【0006】
用語「電子カルテ(EHR)」とは、ヘルスケア・パーティシパントにより生成されて少なくとも1つのマシン読み取り可能記憶媒体上に電子形式で格納された一組のヘルスケア情報を意味する。用語「暗号化電子カルテ」とは、レコードキー等の暗号化キーで暗号化された電子カルテを意味する。
【0007】
用語「メタデータ」とは、少なくとも1レコード(例えば、1つの電子カルテ)を記述する一組の情報を意味する。用語「メタデータツリー」とは、メタデータを含む一組のノードを意味し、その各ノードは該一組のノード内の少なくとも1つの他のノードと特定の関係を有している。
【0008】
本書で説明するように、EHRシステム用のコンプライアンスを意識した(compliance-aware)データ管理ソリューションが提供される。該システムは、ヘルスケア・パーティシパントが、EHR内のヘルスケアデータに対するアクセス及びその共有を行うための該ヘルスケア・パーティシパント自身のセキュリティ及び規制コンプライアンス・ポリシーを定義することを可能にし、及び他のパーティシパントとデータを共有しつつ要件を実施することを可能にする。データ管理操作は、複数のビジネスプロセスとして表現され、その各ビジネスプロセスの操作は、データ格納及びポリシー実施ポイントにおける低レベル操作のコールへとマッピングされる。その結果として得られるプロセスが、本書で「データ管理プロセス」と称するものであり、人々及び複数のシステム間でのEHR内のデータへのアクセス及びその共有を支配するポリシーを実施する。
【0009】
図1は、カスタマイズ可能なコンプライアンス・ポリシーを有する電子カルテ格納及び処理環境10の一実施形態を示すブロック図である。該環境10は、1つのEHRシステムと一組のヘルスケア・パーティシパントシステム30(1)-30(N)(Nは2以上の整数)を含む。該環境10は、EHRストア20及びパーティシパント・システム30を使用して、カスタマイズ可能なコンプライアンスを意識したポリシーを有する、患者のEHRを共有する能力を提供する。
【0010】
EHRシステム20は、データ管理インタフェイス(DMI)21、各パーティシパント・システム30のための一組22のデータ管理プロセス23、一組の低レベル操作(LLO)24、EHRストア25、メタデータストア26、データフィルタリングユニット27、アクセス権ユニット28、及びログ29を含む。DMI21及びLLO24は、パーティシパント・システム30上のビジネスプロセス32と通信して、該パーティシパント・システム30によるEHRストア25及びメタデータストア26に対するアクセスを管理する。
【0011】
DMI21は、図2の実施形態に示すような、Push Record(レコードのプッシュ)、Get Record(レコードの取得)、Search Metadata(メタデータのサーチ)、及びGrant Access Rights(アクセス権の許可)といった、データ及びルールに関する粒度の細かい(granular)データ管理操作(DMO)40を表すものである。Push Recordインタフェイスは、EHRストア25にEHRを格納してメタデータストア26内に関連するメタデータインスタンスを生成する。Get Recordインタフェイスは、パーティシパント・システム30がEHRの要求及びアクセスを行うことを可能にする。Get Recordインタフェイスは、該要求が権限のあるものである場合には、要求されたEHRを返し、該要求が権限のないものである場合には、拒否ステータスを返し、又は承認が保留中であることを示す待機ステータスを返す。Search Metadataインタフェイスは、要求側のパーティシパント・システム30にアクセスする権限が与えられているメタデータについてサーチクエリと一致するメタデータストア26内のメタデータを返す。Grant Access Rightsインタフェイスは、EHR及びメタデータに対するカテゴリ別のアクセス権又は個々のアクセス権を(おそらくは所定期間にわたって)許可し又は取り消す。他の任意の適当なタイプのDMO40をDMI21で実施することも可能である。
【0012】
各DMO40は、ヘルスケア・パーティシパントが、要素、データ、操作、及びルールのモデリングを使用したデータ管理プロセス23によって実施しカスタマイズする。一実施形態では、DMI21は、BPMN(Business Process Model and Notation)2.0要素をプロセスの定義に使用する。データ管理プロセス23は、データ管理プロセス23内の要素(例えば、BPMN Service Tasks(タスクサービス)要素)によって呼び出されたLLO24を使用してデータ及びルールについて操作を実行する。該操作は、EHRストア25、メタデータストア26、データフィルタリングユニット27、アクセス権ユニット28、及びログ29に対するコールを伴うことが可能である。該操作はまた、ヘルスケア・パーティシパントのプロセスに従ってデータを読み出し、ログを記録し、又はメッセージを送信するために、パーティシパント・システム30等の外部システムに対するコールを伴うことが可能である。
【0013】
EHRシステム20は、ヘルスケア・パーティシパントにより実施される複数組22のデータ管理プロセス23をホストするために、プロセスリポジトリを形成する。ヘルスケア・パーティシパントは、典型的には、各DMO40毎にデータ管理プロセス23を含む。これを実施するために、ヘルスケア・パーティシパントは、EHRシステム20により又は他のパーティシパント・システム30により既に定義されているDMO40のための既存のデータ管理プロセス23をカスタマイズすることが可能であり、又は図3に関して以下で説明する方法を使用してDMO40のためのカスタムデータ管理プロセス23を実施することが可能である。
【0014】
LLO24は、一組のインタフェイスを定義し、該インタフェイスを介して、データ管理プロセス23内のモデリング要素が、データ(例えば、EHRストア25、メタデータストア26、及びログ29)及びルール(例えば、データフィルタリングユニット27及びアクセス権ユニット28)について操作を実行する。LLO24の操作は、EHRストア25、メタデータストア26、データフィルタリングユニット27、アクセス権ユニット28、及びログ29内で定義されている操作へとマッピングされ、及び任意の適当な所定の入出力パラメータを含む。
【0015】
LLO24の操作は、パーティシパント・システム30とのメッセージングチャネルにアクセスするためにも使用される。各パーティシパント・システム30は、それ自体のトピックを定義することが可能であり、及びヘルスケア・パーティシパントの特定の要求を満たすようにカスタムイベント交換プロトコルを実施することが可能である。イベントベースのトピックは、例えば、監査目的で、又は適当な監査人にメッセージを送るために、又は統治のために、使用することが可能である。
【0016】
EHRストア25は、パーティシパント・システム30により生成され提供された患者の暗号化されたEHRを格納する。EHRは、パーティシパント・システム30により、対応するレコードキーを使用して暗号化し復号化することが可能である。EHRストア25は、EHRを格納するための、任意の適当な種類、個数、及び/又は構成のマシン読み取り可能記憶媒体を含む。EHRは、多数のパーティシパント・システム30に対してアクセス可能となる中央場所に格納することが可能である。EHRストア25がEHRのための暗号化キー(すなわちレコードキー)を格納しない場合、該EHRストア25は信頼できるデータストアである必要はない(例えば、EHRストア25は1つ以上の信頼できないサードパーティによって所有され操作されることが可能である)。
【0017】
メタデータストア26は、各患者及び/又はEHRストア25内の各患者レコード毎に、メタデータを格納する。該メタデータは、患者に関する情報及び該患者のEHRを発見するために使用することが可能であり、及び多数のパーティシパント・システム30に対してアクセス可能となる中央場所に格納することが可能である。一実施形態では、メタデータは、患者、発生した事象の説明、該発生の日時、及び該事象のソースを識別するために必要なデータのみを含む。図6に示し以下で説明する別の実施形態では、メタデータストア26は各患者毎のメタデータツリーを格納し、その各メタデータツリーは階層的なツリー構造に配置された複数のノードを有しており、該階層的なツリー構造では複数のリーフノードがEHRストア25内のEHRへの参照を含んでいる。
【0018】
データフィルタリングユニット27(フィルタリングポリシー実施ポイント(FPEP)27とも称す)は、データ管理プロセス23からのコールに応じてデータフィルタリングルールを使用して操作を実行する。ヘルスケア・パーティシパントは、他のヘルスケア・パーティシパントによりアクセスすることができるEHRの部分と、EHRに対するアクセスを可能とする目的とを、データフィルタリングルールを使用して指定することが可能である。例えば、EHRが業務目的又は研究目的で使用される場合に個人情報を隠すことが可能である。
【0019】
アクセス権ユニット28(アクセスポリシー実施ポイント(APEP)28とも称す)は、データ管理プロセス23からのコールに応じてアクセス制御ルールを使用して、EHRストア25内のEHR及びメタデータストア26内のメタデータに対するアクセス制御を提供する。アクセス権ユニット28は、EHR及びメタデータを管理しているヘルスケア・パーティシパントにより提供されたルールに基づいて該ヘルスケア・パーティシパントがアクセス権を許可し又は無効にすることを可能にする。
【0020】
ログ29は、EHR及びメタデータに対するアクセス並びにデータ管理プロセス23の使用に関する任意の適当なログ情報を格納する。ログ29は、監査その他の適当な目的で使用することが可能である。
【0021】
パーティシパント・システム30は、該パーティシパント・システム30上で実行しているヘルスケア・パーティシパントの任意の適当なビジネスプロセス32を使用して、対応するデータ管理プロセス23を呼び出す。
【0022】
環境10において、EHRシステム20及びパーティシパント・システム30は、任意の適当な種類、個数、及び構成の処理システムを用いて実施することが可能であり、その各処理システムは、1つ以上のメモリ(例えば、コンピュータ読み取り可能媒体)に格納されている命令を実行するための1つ以上のプロセッサを含むことが可能である。詳細には、実施形態によっては、EHRストア25、メタデータストア26、データフィルタリングユニット27、アクセス権ユニット28、及びログ29を、複数の異なる処理システムを使用して実施することが可能である。データ管理プロセス23を実行するEHRシステム20の一実施形態を図7に示し、その更なる詳細について以下で説明する。パーティシパント・システム30の一実施形態を図8に示し、その更なる詳細を以下で説明する。また、任意の適当な種類、個数、及び構成の有線及び/又は無線ネットワーク装置(図示せず)を使用して、該処理システムを通信可能なものとすることが可能である。
【0023】
図3は、データ管理操作40のためのデータ管理プロセス23の生成並びにセキュリティ及びプライバシーポリシーの識別及び生成のための方法の一実施形態を示すブロック図である。図3に示す方法は、各データ管理操作40のための各データ管理プロセス23を定義し、変換し、配置し、及び実行するために、各ヘルスケア・パーティシパントにより使用することが可能である。
【0024】
ブロック52に示すように、最高情報責任者(chief information officer)及び/又はヘルスケア・パーティシパントに代わって業務を行っている他の適当な者がビジネス要件を識別する。該ビジネス要件とは、ビジネス固有要件(例えば、対話のフロー)を記述し、及び異なる部門又はヘルスケア・パーティシパントによって履行されるべきフローステップを割り当てるものである。かかる要件は、当事者がEHRシステム20と対話する態様を記述する操作モデルを使用して自然言語で記述することが可能である。
【0025】
ブロック54に示すように、最高コンプライアンス責任者(chief compliance officer)及び/又はヘルスケア・パーティシパントに代わって業務を行っている他の適当な者が、前記ビジネス要件を再検討し、及び組み込むべきコンプライアンス要件並びにセキュリティ及びプライバシーポリシーをコンプライアンス・チェックリストに従って識別する。該最高コンプライアンス責任者は、各ステップで適用される必要のあるセキュリティ及びプライバシーポリシーを定義すること、及び患者の承認なしでデータを開示することができる例外的なケースを識別することが可能である。
【0026】
ブロック56に示すように、ビジネスアナリスト及び/又はヘルスケア・パーティシパントに代わって業務を行っている他の適当な者が、ビジネス要件及びコンプライアンス要件を組み合わせて、従うべき各ステップを記述する高レベル表現を考案することが可能である。ビジネスアナリストはまた、ブロック54で識別された対応するセキュリティ及びプライバシーポリシーを用いて対話ダイアグラムに注釈を付すことが可能である。
【0027】
ブロック58に示すように、ビジネスアナリスト、システムデベロッパー、及び/又はヘルスケア・パーティシパントに代わって業務を行っている他の適当な者(例えば、EHRシステム20の管理者及びヘルスケア・パーティシパントのスタッフ)が、前記高レベル表現を実行可能なデータ管理プロセス23へと変換することが可能である。データ管理プロセス23は、粒度の細かいデータ管理操作40のビジネスロジックを実施する。データ管理プロセス23は、対応するヘルスケア・パーティシパントについて識別されたコンプライアンスを意識したデータ交換対話要件及びポリシーを反映するものである。セキュリティ及びプライバシールールもまた、データ管理プロセス23内に組み込まれ、及びデータフィルタリングユニット27及びアクセス権ユニット28を用いた操作を介して実施される。データ管理プロセス23は、EHRシステム20の共有実行環境内に配置され実行される。
【0028】
実行時に、データ管理プロセス23は、ヘルスケア・パーティシパント及びEHRシステム20を含む多数の人及びシステムの対話を調整する。データ管理プロセス23の複数のプロセスステップは、EHRストア25及びメタデータストア26上で実行される一組の低レベル操作24を介したデータアクセスを定義する。該プロセスステップはまた、定義されたセキュリティ及びプライバシールールをプロセス23内のポリシー実施ポイントで実施するために低レベル操作24を実行する。
【0029】
このように、上記方法は、多数のヘルスケア・パーティシパントにより実行される一連のステップを、一実施形態では、高レベルビジネス要件のコレクションから、低レベルプロセスの実行及びポリシーの実施へと定義する。
【0030】
図4A及び図4Bは、Get Recordデータ管理操作(DMO)40のための異なる複数組のコンプライアンス・ポリシーを有するEHRシステム20との対話の一実施形態を示すブロック図である。該コンプライアンス・ポリシーは、2つの異なる国(例えば、英国及びイタリア)からのものとすることが可能であり、及び、例えば、プライバシー・ポリシー、セキュリティ・ポリシー、及び/又はビジネス固有要件に基づいて異ならせることが可能である。
【0031】
図4Aにおいて、患者2は、矢印70で示すように共有ポリシーを指定し、及び矢印71で示すように問題の記述をヘルスケア提供者4に提供する。ヘルスケア提供者4は、矢印72で示すようにEHRシステム20を使用して別のヘルスケア提供者6に相談要求を提供し、該EHRシステム20は、矢印73で示すように該相談要求をヘルスケア提供者6へ提供する。ヘルスケア提供者6は、矢印74で示すように患者2のEHRをEHRシステム20に要求する。EHRシステム20は、矢印75で示すように要求されたEHRについてポリシーをチェックし、矢印76で示すように要求されたEHRを読み出す。EHRシステム20は、矢印77で示すように要求されたEHR又はアクセス拒否応答をヘルスケア提供者6に提供する。
【0032】
図4Bにおいて、患者2は、矢印81で示すように問題の記述をヘルスケア提供者8に提供する。ヘルスケア提供者8は、矢印82で示すようにEHRシステム20を使用して相談要求をヘルスケア提供者6に提供し、該EHRシステム20が矢印83で示すように該相談要求をヘルスケア提供者6へ提供する。ヘルスケア提供者6は、矢印84で示すように患者2のEHRをEHRシステム20に要求する。EHRシステム20は、矢印85で示すように該要求されたEHRをヘルスケア提供者6に公開するための承認を患者2に要求し、矢印86で示すように患者2から承認又は拒否を受信する。EHRシステム20は、矢印87で示すように、承認された場合には要求されたEHRをヘルスケア提供者6に提供し、拒否された場合にはその旨をヘルスケア提供者6に通知する。
【0033】
図5A及び図5Bは、それぞれ、図4A及び図4Bに示す異なるポリシーを用いたGet Record DMO40を実行するためのデータ管理プロセス23(1),23(2)の実施形態を示すブロック図である。
【0034】
図5Aにおいて、ヘルスケア提供者6のパーティシパント・システム30は、ビジネスプロセス32を使用してヘルスケア提供者4のデータ管理プロセス23(1)を呼び出すことにより、Get Record DMO40を前記ステップ74で開始する。データ管理プロセス23(1)は、イベント開始要素A1で開始して、データ及びルールに対する操作を実行するサービスタスクA2,A4,A5を開始させる。タスクA2は、要求されたEHRについてのアクセス権をアクセス権ユニット28を使用してチェックする。次いでA2のルールチェック結果を使用してA3で排他ゲートウェイ内の適当な判定を行う。サービスタスクA4は、要求されたEHRをEHRストア25から読み出すことによりデータに対する操作を実行する。サービスタスクA5は、カスタムメッセージングチャネルに対する操作を介して提供者4のパーティシパント・システム30と対話する。かかるカスタムチャネルは、パーティシパント・システム30とのメッセージ交換を可能にし、及びリモートデータ又はルールに対する操作とみなすことが可能なものである。詳細には、タスクA5は、要求されたEHRについての承認要求を患者2のパーティシパント・システム30に送信する。患者2は、パーティシパント・システム30を使用して該要求を承認するか拒否するかを返信する。タイマA6は、患者2が承認要求を完了させる必要のある期間を定義する。ゲートウェイA9,A10,A14,A17は、図示のように、併合(merge)、フォーク分岐(fork)、及び結合(join)を実行する。サービスタスクA8,A13,A18は、Get Record DMO40の結果を返し、タスクA8はエラーメッセージを返し、タスクA13は拒否された場合に拒否メッセージを返し、タスクA18は承認された場合に要求されたEHRを返す。サービスタスクA12は、要求されたEHRが承認された後にデータフィルタリングユニット27からの目的ベースのフィルタリングポリシーを適用する。サービスタスクA11,A16は、ログ29を書き込むようデータに対する操作を実行する。
【0035】
図5BのGet Recordデータ管理プロセス23(2)は、モデリング要素を使用する点で図5Aのデータ管理プロセス23(1)とは異なるが、データ及びルールに対する全体的な操作は同じである。図5Bにおいて、ヘルスケア提供者6のパーティシパント・システム30は、ビジネスプロセス32を使用してヘルスケア提供者6のデータ管理プロセス23(2)を呼び出すことにより、Get Record DMO40を前記ステップ84で開始する。データ管理プロセス23(2)は、イベント開始要素B1で開始して、データ及びルールに対する操作を実行するサービスタスクB2,B6,B7,B9を開始させる。タスクB2は、タスクA2と同様に、要求されたEHRについてのアクセス権をアクセス権ユニット28を使用してチェックする。次いでB2のルールチェック結果を使用してB3で排他ゲートウェイ内の適当な判定を行う。サービスタスクB6は、要求されたEHRをEHRストア25から読み出すことによりデータに対する操作を実行する。ゲートウェイB3,B8,B11は、図示のように併合、フォーク分岐、及び結合を実行する。サービスタスクB5,B12は、Get Record DMO40の結果を返し、タスクB5は拒否された場合に拒否メッセージを返し、タスクB12は承認された場合に要求されたEHRを返す。サービスタスクB7は、データフィルタリングユニット27からの目的ベースのフィルタリングポリシーを適用する。サービスタスクB9は、要求されたEHRを暗号化することによりデータに対する操作を実行する。サービスタスクB4,B10は、ログ29を書き込むようデータに対する操作を実行する。
【0036】
図6は、メタデータツリー150を有するメタデータストア26及びEHRストア25の一実施形態を示すブロック図である。メタデータストア26は、各患者毎のメタデータツリー150を含む。図6に示すように、メタデータツリー150は、ルートノード152、任意の個数の中間ノード154、及び各暗号化EHR160毎のシングルリーフ(単葉)ノード156を有する階層的なツリー構造を表しており、その各シングルリーフノード156は、対応する暗号化EHR160に関するメタデータを格納する。ルートノード152は、患者を識別する情報を含むことが可能であり、中間ノード154は、EHR160の論理的な(例えば、提供者による又は治療状態等の患者情報のカテゴリによる)グループ化を表し、及びグループ化を記述する情報を含み、リーフノード156の各々は、暗号化データストア54内の対応する暗号化EHR160に対する単一の一意の参照158、並びに対応する暗号化EHR160を記述する情報を含む。該参照158を使用して暗号化データストア54内の暗号化EHR160にアクセスすることが可能である。一実施形態では、メタデータツリー150全体が、患者及びEHRシステム20に登録されている全ての提供者によってアクセス可能となる。別の実施形態では、他のセキュリティ対策(暗号化など)をメタデータツリー150に適用して、該メタデータツリー150へのアクセスを所望のヘルスケア・パーティシパントに限定することが可能である。
【0037】
メタデータツリー150は、非提携関係にある提供者(例えば、異なる無関係の企業の下で営業している提供者)が、患者の異なる暗号化EHR160を暗号化データストア54に格納することを可能とすることが可能である。暗号化EHR160を異なるレコードキーで暗号化して、所与の1つの暗号化EHR160のレコードキーを別の暗号化EHR160の復号化に使用できないようにすることが可能である。提供者は、該提供者がアクセスする必要がある暗号化EHR160であって、該暗号化EHR160を生成した他の提供者又は患者に対してアクセス(すなわちレコードキー)を要求することができる暗号化EHR160を、メタデータツリー150を使用して判定することが可能である。
【0038】
図7は、図1に示すヘルスケア・パーティシパント・システム30(1)-30(N)の何れか又は全てからデータ管理プロセス23(1)-23(N)の何れか又は全て及び対応するポリシーを実行するための処理システム200の一実施形態を示すブロック図である。処理システム200は、メモリシステム204に格納されている一組の命令を実行するよう構成された一組をなす1つ以上のプロセッサ202、メモリシステム204、及び少なくとも1つの通信装置206を含む。プロセッサ202、メモリシステム204、及び通信装置206は、任意の適当な種類、個数、及び/又は構成のコントローラ、バス、インタフェイス、及び/又はその他の有線又は無線接続手段を含む一組の相互接続手段208を使用して通信する。
【0039】
処理システム200は、サーバコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、デスクトップコンピュータ、処理能力を有する携帯電話(例えば、スマートフォン)、又は処理能力を有する他の適当な種類の電子装置といった、任意の適当な処理装置又は処理装置の一部を表している。各プロセッサ202は、メモリシステム204にアクセスして該メモリシステム204に格納されている命令を実行し、及び該メモリシステム204にアクセスして該メモリシステム204にデータを格納するよう構成される。メモリシステム204は、命令及びデータを格納するよう構成された、任意の適当な種類、個数、及び構成の揮発性又は不揮発性のマシン読み取り可能記憶媒体を含むことが可能である。メモリシステム204内のマシン読み取り可能記憶媒体の例として、ハードディスクドライブ、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、フラッシュメモリドライブ及びカード、並びにその他の適当な種類の磁気ディスク及び/又は光ディスクが挙げられる。マシン読み取り可能記憶媒体は、物品又は製品の一部とみなされるものである。物品又は製品とは、1つ以上の製造された構成要素を意味する。通信装置206は、パーティシパント・システム30が1つ以上の有線又は無線ネットワークを介して通信することを可能にするよう構成された、任意の適当な種類、個数、及び/又は構成の通信装置を含む。
【0040】
各データ管理プロセス23は、プロセッサ202により実行された際に上述したデータ管理プロセス23の機能を該プロセッサ202に実行させる命令を含む。
【0041】
図8は、パーティシパント・システム30を操作するヘルスケア・パーティシパントのビジネスプロセス32を実行するためのパーティシパント・システム30の一実施形態を示すブロック図である。パーティシパント・システム30(1)-30(N)のうちの何れも、図8に示す実施形態を使用して実施することが可能である。
【0042】
パーティシパント・システム30は、メモリシステム214に格納されている一組の命令を実行するよう構成された一組をなす1つ以上のプロセッサ212、メモリシステム214、及び少なくとも1つの通信装置216を含む。プロセッサ212、メモリシステム214、及び通信装置216は、任意の適当な種類、個数、及び/又は構成のコントローラ、バス、インタフェイス、及び/又はその他の有線又は無線接続手段を含む一組の相互接続手段218を使用して通信する。
【0043】
パーティシパント・システム30は、サーバコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、デスクトップコンピュータ、処理能力を有する携帯電話(例えば、スマートフォン)、又は処理能力を有する他の適当な種類の電子装置といった、任意の適当な処理装置又は処理装置の一部を表している。各プロセッサ212は、メモリシステム214にアクセスして該メモリシステム214に格納されている命令を実行し、及び該メモリシステム214にアクセスして該メモリシステム214にデータを格納するよう構成される。メモリシステム214は、命令及びデータを格納するよう構成された、任意の適当な種類、個数、及び構成の揮発性又は不揮発性のマシン読み取り可能記憶媒体を含むことが可能である。メモリシステム214内のマシン読み取り可能記憶媒体の例として、ハードディスクドライブ、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、フラッシュメモリドライブ及びカード、並びにその他の適当な種類の磁気ディスク及び/又は光ディスクが挙げられる。マシン読み取り可能記憶媒体は、物品又は製品の一部とみなされるものである。物品又は製品とは、1つ以上の製造された構成要素を意味する。通信装置216は、パーティシパント・システム30が1つ以上の有線又は無線ネットワークを介して通信することを可能にするよう構成された、任意の適当な種類、個数、及び/又は構成の通信装置を含む。
【0044】
各ビジネスプロセス32は、プロセッサ212により実行された際に上述したビジネスプロセス32の機能を該プロセッサ212に実行させる命令を含む。
【0045】
上記実施形態は、有利にもヘルスケア・パーティシパントが共通のEHRストア内のEHRをセキュアに管理し共有することを可能にする。ヘルスケア・パーティシパントは、各患者に合わせて作成されたデータ管理プロセスを使用して、他のヘルスケア・パーティシパントが患者の所定のEHRにアクセスし及び該EHRを格納する能力を調整する。該データ管理プロセスは、適用可能な規制ポリシー並びに内部的なビジネス要件(セキュリティポリシーなど)に準拠するよう構成することが可能である。
【国際調査報告】