JP2005505863A - 患者データのデータ処理システム - Google Patents
患者データのデータ処理システム Download PDFInfo
- Publication number
- JP2005505863A JP2005505863A JP2003536953A JP2003536953A JP2005505863A JP 2005505863 A JP2005505863 A JP 2005505863A JP 2003536953 A JP2003536953 A JP 2003536953A JP 2003536953 A JP2003536953 A JP 2003536953A JP 2005505863 A JP2005505863 A JP 2005505863A
- Authority
- JP
- Japan
- Prior art keywords
- data
- patient
- health
- processing system
- health data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
- G16H10/60—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
- G16H10/65—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records stored on portable record carriers, e.g. on smartcards, RFID tags or CD
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Human Resources & Organizations (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Primary Health Care (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Epidemiology (AREA)
- Health & Medical Sciences (AREA)
- Marketing (AREA)
- Public Health (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Medical Treatment And Welfare Office Work (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Measuring And Recording Apparatus For Diagnosis (AREA)
Abstract
本発明は健康データを格納するデータベース(4)を各々に有する一つまたは幾つかの中央局(3)と、前記中央データベース(4)から健康データを検索するため、および/または前記中央データベース(4)に健康データをアップロードするために、前記データベース(4)に接続された端末装置(1)と、を備えた、それぞれの患者の個人識別データおよび対応する健康データを含む患者データを処理するためのデータ処理システムにおいて、健康データGDが個人識別データへの割当無しに前記中央データベース(4)に格納され、それぞれの患者の健康データセットにデータ記録識別コード(DIC)が割り当てられ、健康データセットの検索には対応するデータ記録識別コードの入力が必要である、ことを特徴とするデータ処理システムに関する。本発明は例えば患者データ記録を管理するシステムのために使用されることができる。
【選択図】図2
【選択図】図2
Description
【技術分野】
【0001】
本発明は、各患者の個人識別データおよび対応する健康データを含む患者データの処理用のデータ処理システムに関する。該システムは一つまたは幾つかの中央位置を含む。各中央位置は、健康データを格納するデータベースおよびデータベースにリンクされた入力装置から成る。患者の健康データはデータベースから検索し、かつ/または入力装置を介してデータベースに格納することができる。
【背景技術】
【0002】
近年、健康データ、すなわち各個別患者の健康状態および治療について記述したデータの最適処理を通して、患者の治療を費用効率的に改善しようとする健康サービスにおける試みが増大している。それを受けて、相互リンクされたデータ処理システムが有用であり、それを通して一患者の治療に関与する様々な健康専門家、例えば医師、薬剤師、のみならず健康保険のような治療の支払い者も、彼らが必要とする特定の健康データにより効率的にアクセスすることができる。そのようなシステムは、キーワード「電子カルテ」の下で現在検討されている。
【0003】
しかし、患者の健康データは高度の機密事項であり、したがって、治療に関与する無許可者または他の者が格納された健康データにアクセスすることを防止するために、非常に厳格なデータ保護下に置かなければならない。
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明の根底にある技術的な課題は、無許可アクセスに対する非常に高度の保護を備えた中央データベースに健康データを格納して成る、患者データの処理用の独自データ処理システムを提供することである。
【課題を解決するための手段】
【0005】
本発明は、請求項1の特徴を備えたデータ処理システムを提供することによって、この課題を解決する。このシステムでは、健康データは個人的患者データへの割当無しにそれぞれの中央データベースに格納され、無許可者には、たとえ彼らがデータベースから健康データを検索することができたとしても、そのデータを特定の個人に割り当てることができないようにする。
【0006】
それぞれの患者の健康データの許可検索は、患者に割り当てられた個人データ記録識別コードの入力を必要とする。具体的にこのコードを通して、対応する健康データ記録を中央データベースから検索することができるが、このコードは個人識別データから切り離されている。これは、検索された健康データをこのコードだけで特定の個人に割り当てることができないことを意味する。このようにして、検索された健康データを、個人の協力および/または承認無しに特定の個人に割り当てることができないことが達成される。承認を与えるために、適切な承認手段を患者に利用させることができ、それにより患者はそれぞれのデータ記録識別コードを使用して、例えば医師に必要な健康データを中央データベースから検索させることができる。本発明により、一方で健康データ記録用の効率的な中央格納および管理システムが達成され、それは他方で無許可者が個人化健康データにアクセスすることに対する非常に高度の保護を提供する。
【0007】
本発明のさらなる態様では、請求項2に従って、それぞれの健康データ記録の検索に必要なデータ記録識別コードは、電子患者カードに格納された患者カードコードに加えて、患者が入力すべき患者識別コード(PIN)を含む。したがって、データの検索には、患者を通しての電子患者カードの充当、および患者による彼/彼女の患者識別コードの入力の両方が必要である。その結果、データ検索は患者の二重に保護された協力によって保護される。
【0008】
本発明のさらなる態様では、請求項3に従って、データ記録識別コードは電子患者カードに格納された患者カードコードに加えて、データを要求する健康専門家を識別する健康専門家、例えば医師の識別コードを含む。健康データの検索に健康専門家の識別コードの追加入力を要求することによって、システムはどの健康専門家がいつ健康データを要求したかを検査することができる。
【0009】
本発明のさらなる態様では、請求項4に従って、データ記録識別コードの転送および/または中央データベースから検索された健康データの転送が暗号化モードで実行される。これは、データ記録識別コードおよび/またはデータベースから検索された健康データの不正傍受の防止をもたらし、それによってデータ保護をさらに増強する。
【0010】
本発明のさらなる態様では、請求項5に従って、システムは端末装置のエンドユーザ、特に健康専門家、例えば医師に、許可されていることがデータ記録識別コードを通して決定されかつ患者が参加しなければならないログインまたは検索の後に、患者の新規または更新健康データ記録を中央データベースにアップロードする、時間によって限定された許可を与える。このプロセスは、治療に関与する健康専門家が、患者を診察した後、特定の期間内に、例えば数週間または数ヶ月以内に、データの入力時に患者の立ち会いを必要とせずに、中央データベースに新しい健康データを入力することを可能にする。
【0011】
本発明のさらなる態様では、請求項6に従って、電子患者カードは個人を識別する画像を含む。治療に関与する健康専門家は、個人のアイデンティティを立証するために、カードを彼に提示した人物とこの画像を照合することができる。これはカードの悪用を防止する。
【0012】
さらなる態様では、システムは請求項7に従って、中央システム内に偽名化コンピュータを含む。このコンピュータは物理的に中央データベースから分離され、すなわちこのデータベースとオンライン接続されていない。偽名化コンピュータは、一方に個人識別データおよび他方にデータ記録識別コードの照合表を含む。それぞれの患者の健康データを中央データベースに入力するために、健康データは、好ましくは暗号化されて、それぞれの個人識別データと一緒に中央システムの偽名化コンピュータに送信される。次いで偽名化コンピュータは個人識別データを対応するデータ記録識別コードに置き換え、このコードを受信した健康データと一緒に、それぞれの中央カルテデータベースにオフライン送信するように提供し、それは後で検索できるように該データベースに格納される。偽名化コンピュータをカルテデータベースから物理的に分離することにより、無許可者は、たとえ彼らがデータベースのデータへの侵入に成功しても、個人に割り当てられた健康データを得ることが不可能になる。
【0013】
本発明のさらなる態様では、請求項8に従って、中央位置の偽名化コンピュータから物理的に離して入力コンピュータまたはゲートウェイシステムを設ける。ユーザ側端末はゲートウェイシステムにオンライン接続することができる。ゲートウェイシステムは、好ましくは暗号化され上述したデータ入力の時間制限許可により送信された、格納すべき健康データを、ユーザ側端末からの対応する個人識別データと一緒に受信する。ゲートウェイシステムは、偽名化コンピュータへのオフライン送信のために出力にデータを提供する。この方法により、偽名化コンピュータはユーザ側端末および対応するデータネットワークから物理的に完全に分離される。これは、個人識別データをデータ記録識別コードに割り当てる格納されたテーブルが、無許可オンラインアクセスから完全に保護されることを確実にする。
【0014】
システムのさらなる態様では、請求項9に従って、中央データベースに格納される患者の個人健康データの一部分は、患者カードにも直接検索可能に格納される。これは、例えば緊急時に、患者が中央データベースへのアクセスを許諾することに協力できない場合に、治療に関与する健康専門家に、カードを通して患者の健康状態について知る機会を提供する。
【0015】
緊急の場合に関連する本発明のさらなる態様では、請求項10に従って、システムは緊急通報センタを含む。この通報センタは、緊急時に、患者が彼のカルテへのアクセスを許諾するために協力できないときに、データの要求および読出しのために中央データベースにアクセスすることを許可されており、そのようなデータを治療に関与する健康専門家に提供する。健康専門家は、適切な証明手段を用いて、自らを通報センタに証明しなければならない。
【0016】
本発明の有利な実施形態を図に提示し、以下で説明する。
図面の簡単な記述
図1は患者データを処理するためのシステムからデータ要求するための関連構成要素の略ブロック図である。
図2は図1のシステムの代替例の略ブロック図である。
図3は図1および図2に係るシステム内にデータを入力するための関連構成要素の略ブロック図である。
【発明を実施するための最良の形態】
【0017】
図1は、データを読み出すために必要な患者データを処理するためのデータ処理システムの関連構成要素、およびそれらによって実行されるデータ読出しプロセスを概略的に示す。システムは、オンライン接続2を介して中央システム3に接続された複数のユーザ側端末装置、通常は多数のユーザ側端末装置を含むデータネットワークを含む。図1では、パーソナルコンピュータ(PC)1の形で唯一の端末装置1だけが代表的に図示されている。中央システム3は、中央健康データベースとして機能するソースコンピュータ4を含む。必要に応じて、それぞれのデータベースを備えた多数の中央システムを、非集中的分散システムとしてセットアップすることができる。健康データベース4には、それぞれの患者の健康データがコールアップモードで健康データ記録として、個別に割り当てられたデータ記録識別コードと一緒にファイルされる。健康データは電子処方箋、ドクターズレター、ラボデータ、レントゲン写真等から構成することができる。データ記録識別コードは、その知識だけでは患者のアイデンティティを参照することができないように構成される。この方法で、無許可者には、たとえ彼が無許可でデータベース4からのデータを要求することができても、どの患者の健康データが格納されており、どの健康データが特定の患者に属するかを識別することができないことを確実にすることができる。
【0018】
検索された健康データの特定の患者へのこの割当には、以下で述べる緊急の場合を除き、それぞれの患者の積極的な協力が必要である。緊急の場合用に、該システムは特定の設計を有する。この目的のために、図1に示す基本バージョンのシステムは、各患者用の電子患者カード5を含む。このカードには患者カードコード5aが格納される。このコードは患者のカード番号として記述することもできる。データ保護のさらなる改善のために、全ての患者は、システムのユーザとして、患者自身だけが知る個人識別番号またはコード(PIN)を受け取る。このPINは、ユーザ検索健康データがそれぞれの患者を参照することを確実にするのを助ける。すなわち、患者のカード5を不正所有しても、健康データ記録を要求することができない。そのようなPINの代わりに、個人を確実に識別する代替コード、例えば特定の生体測定学的な個人的特徴を含むコードを使用することができる。
【0019】
カード番号5aおよびPINは一緒にデータ記録識別コード(DIC)を形成し、それと一緒に適切な健康データ記録が中央データベース4に格納され、それは成功するデータ検索のために送信される。その目的のために、患者カード5は、カード番号5aを読み取るために、例えば診察室にあるユーザ側端末装置に挿入される。加えて、患者は彼/彼女のPINを入力する。端末装置1は、それぞれの患者の健康データ記録の折返し送信を要求するために、カード番号5aに加えてPINをDICとして中央システム3に送信する。
【0020】
中央システム3は、送信されたDICが格納されたDICの一つと一致するか、データベースソースコンピュータ4で検査し、一致が判明した場合、対応する健康データ記録GD(DIC)を要求した端末装置1に送信する。たとえこのデータ転送が無許可者によってモニタされても、それには個人識別情報が含まれていないので、彼/彼女は健康データGD(DIC)を特定の個人に割り当てることができない。たとえ無許可者がどうにかしてDICを入手しても、これはデータベース4からその特定のDICに属する健康データへのアクセスを可能にするだけであって、彼または彼女はその健康データが誰に属するものであるかを決定することはできない。
【0021】
たとえ無許可者が治療に関与する健康専門家によって配置された端末装置(1)に侵入しても、専門家および彼の端末装置1は患者のカード番号5aも患者のPINも知らないので、無許可者がデータの匿名性を突破することはできない。
【0022】
患者カード5は、例えばトラストセンタ、すなわち信頼できる証明書を発行することを認可された機関を通して、または健康保険機関または何らかの公的機関を通して、要求により配布することができる。したがって、患者データ用のこのデータ処理システムは、データへの無許可アクセスに対して充分に保護される。必要に応じて、さらなるデータ保護措置を実現することができ、続いてその幾つかについて説明する。
【0023】
例えば、セキュリティ強化オプションとして、治療に関与する健康専門家が、患者によって彼に提示されたカード5が実際に患者自身のものであるかどうか検査することができるように、患者カードに個人識別画像5bを含めることができ、それは悪用および間違いを排除する。
【0024】
図2は、図1のシステムの変形を示す。この場合、治療に関与する健康専門家(例えば医師)は、健康専門家識別コード6aを含む彼または彼女自身の健康専門家カード6を備える。中央データベース4から患者データが要求されると、健康専門家が彼のカード6を端末装置に挿入しなければならず、次いで端末装置が健康専門家識別コード6aを読み取り、それに加えて患者識別コード5aおよび患者のPINを、好ましくは暗号化された形で、中央システム3に送信することを除いては、要求は図1の場合と同様に処理される。この措置を通して、どの医師または他の健康専門家(薬剤師、健康保険等)がどのデータをどの時点で要求したかを監視することができる。
【0025】
どちらの形態でも、オンライン接続(2)を通してのデータ転送は、暗号化された形で行なわれることが好ましいが、必ずしもそうでなくてもよい。要求するコードデータ5aの転送、患者PIN、健康専門家コード6a、および検索される健康データGDの両方とも暗号化されることが好ましい。その目的のために、従来の暗号化手段を使用することができる。
【0026】
本願の場合、非常に高度のデータ保護付きの特に効率的な方法は、電子患者カード5に暗号化アルゴリズム5cを実現することである(オプションとして図2の破線部を参照されたい)。この場合、患者カード5は、装置1に挿入した後、それが患者によって打ち込まれたPINおよび利用可能な場合には健康専門家識別コード6aを読み取るように、設計される。次いで、暗号化アルゴリズム5cが、例えばランダムに生成されたコードを使用して、患者カード番号5a、PIN、および健康専門家識別コード6a、例えば健康専門家カード番号を全て暗号化された形で含む暗号化情報を生成する。この暗号化情報は、端末装置1を介して中央システム3に送信される。中央システム3では対応する解読アルゴリズムが実行され、送信された情報を解読する。この解決法は、患者のカード番号5aをカード5から読み出すことができないように実現することができるという利点を持つ。したがって、カード番号5aは完全に機密に維持される。この設計により、患者カード番号5aは、端末1の読取器によって読み取ることができず、端末(1)を通して患者のカード番号5aを不正傍受することは不可能なままである。
【0027】
例えば要求された健康データの折返し転送のために、従来の暗号化システムを、ユーザ用の秘密コード鍵(「秘密鍵」)および中央システム用の特定に非機密キー(「公開鍵」)と共に使用することができる。この場合、偽名の形態の全ての許可された端末装置(1)、全ての健康専門家およびデータ記録識別コード(DIC)それぞれの公開鍵は、中央システム3に存在する。中央システム3は、特定の公開鍵を用いて暗号化された健康データ(GD)を要求端末装置1に送信する。端末1で、データはそれぞれの秘密鍵を用いて復号される。特定の秘密鍵は、患者カード(5)および設けられている場合には健康専門家カード6の秘密鍵から構成することができる。この機密保護プロセス後に、健康データ(GD)を表示し、分析することができる。
【0028】
図3は、端末装置1から中央システム3の中央データベース4に新しい健康データを入力する場合の高度データ保護に関する非常に有利なシステム解決法の関連構成要素を示す。この解決法では、中央システム3は、ソースコンピュータ4+偽名化コンピュータ(匿名化コンピュータともいう)7+入力コンピュータサーバ8を形成するデータベースを含む。偽名化コンピュータ7がソースコンピュータ4および入力サーバ8から物理的に離れていることが、この解決法の特徴である。したがって、入力サーバ8から偽名化コンピュータ7へ、およびそこからソースコンピュータ4へのデータ転送は、特定のオフライン接続10、11のみを介して、例えば従来のバッチ処理で処理される。このシステム設計は、偽名化コンピュータ7への無許可オンラインアクセスを防止する。
【0029】
偽名化コンピュータ7の主なタスクは、個人識別データおよび対応する健康データを含む到来データにおいて、個人識別データをそれぞれの患者のDICに置換することである。その目的は、データベース4にファイルするために完全に偽名化されたそれぞれ匿名の健康データを出力に提供することである。許可された要求の場合には、DICを使用して偽名化データを正しい患者に割り当てることができる。
【0030】
システムの基本バージョンでは、患者の新しい健康データは患者を識別するデータと共に、健康専門家によって彼の端末1からオンライン接続9を介して中央システム3に伝送される。このオンライン接続9は、データ要求または他のネットワークの接続に使用される接続2と同一とすることができる。入力サーバ8は個人識別データおよび健康データを受け取り、それを偽名化コンピュータ7へのオフラインエクスポートのために提供する。
【0031】
偽名化システム7はオフライン送信データを受け取り、さらなる転送のために健康データをデータ記録識別コード(DIC)と一緒に出力に提供するために、上述した通り、個人識別データをそれぞれの患者のDICに置換する。この目的のために、個人識別データ(氏名、出生日等)をそれぞれの患者の個別DICに割り当てる割当または変換テーブルが偽名化コンピュータ7内に実現される。データは、個人識別データを自動的に削除し、それをDICと置換することが可能な形式で送信される。次のステップで、健康データおよびコードはオフライン接続11を介してデータベース4に伝送され、そこにファイルされる。中央データベース4から、特定の患者の健康データを必要に応じて、かつ図1および2で説明したように、許可された要求を通して検索することができる。そのような要求は正しいデータ記録識別コードDICを含まなければならない。
【0032】
健康専門家に、患者の診察後、特定の期間にだけ中央データベース4にカルテをファイルする機会を与えるために、データ保護をさらに増強したバージョンのシステムは、中央システム3が、患者が立ち会っている間に健康専門家が要求した健康データGDと一緒に個別のデータ入力許可コードを、好ましくは暗号化された形で送信するように構成される。このデータ入力許可コードは、調整可能な期間だけ、例えば数週間または数ヶ月間有効である。それは健康専門家に、この期間内に、たとえ患者が立ち会っていなくても、図3で説明した方法で、彼の患者の健康データを中央データベース4に転送して、そこにそれをファイルする機会を与える。
【0033】
このプロセスは、図3のその基本バージョンで説明したデータアップロードとは異なる。健康データを個人識別データと一緒に送信する代わりに、健康データをそれぞれの健康専門家の患者の個別データ入力許可コードと共に端末装置1から入力サーバ8に送信し、かつそこからオフラインモードで偽名化コンピュータ7に送信する。コンピュータ7は、それに対応してそこに格納されている割当テーブルを使用して、時間によって制限されているデータ入力許可コードを患者のDICに置換する。健康専門家が、彼の許可が終了した後で中央データベース4に健康データをアップロードしようとする場合、これは別の安全プロセスで、例えばメールで健康記録を送信することによって、または別の高度に保護された電子データ転送モードで実行しなければならない。メールの場合、それは中央システム3で電子的に処理される。
【0034】
健康専門家に健康データを中央データベース4にアップロードするために時間制限を与える代わりに、またはそれに加えて、例えば図1および2で説明した暗号化アルゴリズムの一つによって、データを暗号化してオンライン接続9で送信することによって、さらに高度のデータ保護を達成するために、図3で説明したプロセスを変形することができる。
【0035】
これまで説明したシステム設計は、個々の患者の立会いの下でのみ、健康専門家が中央データベース4からデータを検索することを可能にする。いつでも緊急時には健康専門家が必要な健康データを利用できるようにするために、システムは一つまたは幾つかの適切な緊急措置を含む。
【0036】
救急措置では、緊急時に患者に通常必要な健康データが、例えば血液型、アレルギ、現在服用している薬剤/医薬品、緊急時の関連診断等のデータが、検索できるように電子患者カード5に直接格納される。緊急時には、健康専門家は患者カードのみによって関連データにアクセスすることができる。
【0037】
さらなる緊急措置として、システムは、中央データベース4に格納された各患者の健康データの少なくとも緊急関連部分へのアクセスの許可を有する緊急通報センタを含むことができる。緊急の場合に、健康専門家は彼の認証を通報センタに立証しなければならない。この目的のために、全ての健康専門家は個別認証コードを受け取る。認証後、彼は必要な緊急健康データを受け取る。充分なデータ保護を維持するために、患者が彼の健康データへのこの緊急アクセス権に事前に同意しなければならないことは重要である。加えて、患者に全ての緊急要求について事後に知らせなければならない。
【0038】
患者のカードまたは健康専門家のカードを紛失した場合、これらのカードは、例えばクレジットカードから公知の従来の方法で、所有者によって無効にされる。例えば、所有者は中央システム3に電話を掛け、中央システムは(例えば折返し電話および/または呼者だけが知るセキュリティ情報を通して)呼者の認証を検査する。
【0039】
上述した実施形態から、本発明が、実用的な形でいわゆる電子カルテによる患者データの処理用のデータ処理システムを提供し、かつそのようなデータに要求される極めて高度のデータ保護基準を満たすことは明らかである。
【図面の簡単な説明】
【0040】
【図1】患者データを処理するためのシステムからデータ要求するための関連構成要素の略ブロック図である。
【図2】図1のシステムの代替例の略ブロック図である。
【図3】図1および図2に係るシステム内にデータを入力するための関連構成要素の略ブロック図である。
【0001】
本発明は、各患者の個人識別データおよび対応する健康データを含む患者データの処理用のデータ処理システムに関する。該システムは一つまたは幾つかの中央位置を含む。各中央位置は、健康データを格納するデータベースおよびデータベースにリンクされた入力装置から成る。患者の健康データはデータベースから検索し、かつ/または入力装置を介してデータベースに格納することができる。
【背景技術】
【0002】
近年、健康データ、すなわち各個別患者の健康状態および治療について記述したデータの最適処理を通して、患者の治療を費用効率的に改善しようとする健康サービスにおける試みが増大している。それを受けて、相互リンクされたデータ処理システムが有用であり、それを通して一患者の治療に関与する様々な健康専門家、例えば医師、薬剤師、のみならず健康保険のような治療の支払い者も、彼らが必要とする特定の健康データにより効率的にアクセスすることができる。そのようなシステムは、キーワード「電子カルテ」の下で現在検討されている。
【0003】
しかし、患者の健康データは高度の機密事項であり、したがって、治療に関与する無許可者または他の者が格納された健康データにアクセスすることを防止するために、非常に厳格なデータ保護下に置かなければならない。
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明の根底にある技術的な課題は、無許可アクセスに対する非常に高度の保護を備えた中央データベースに健康データを格納して成る、患者データの処理用の独自データ処理システムを提供することである。
【課題を解決するための手段】
【0005】
本発明は、請求項1の特徴を備えたデータ処理システムを提供することによって、この課題を解決する。このシステムでは、健康データは個人的患者データへの割当無しにそれぞれの中央データベースに格納され、無許可者には、たとえ彼らがデータベースから健康データを検索することができたとしても、そのデータを特定の個人に割り当てることができないようにする。
【0006】
それぞれの患者の健康データの許可検索は、患者に割り当てられた個人データ記録識別コードの入力を必要とする。具体的にこのコードを通して、対応する健康データ記録を中央データベースから検索することができるが、このコードは個人識別データから切り離されている。これは、検索された健康データをこのコードだけで特定の個人に割り当てることができないことを意味する。このようにして、検索された健康データを、個人の協力および/または承認無しに特定の個人に割り当てることができないことが達成される。承認を与えるために、適切な承認手段を患者に利用させることができ、それにより患者はそれぞれのデータ記録識別コードを使用して、例えば医師に必要な健康データを中央データベースから検索させることができる。本発明により、一方で健康データ記録用の効率的な中央格納および管理システムが達成され、それは他方で無許可者が個人化健康データにアクセスすることに対する非常に高度の保護を提供する。
【0007】
本発明のさらなる態様では、請求項2に従って、それぞれの健康データ記録の検索に必要なデータ記録識別コードは、電子患者カードに格納された患者カードコードに加えて、患者が入力すべき患者識別コード(PIN)を含む。したがって、データの検索には、患者を通しての電子患者カードの充当、および患者による彼/彼女の患者識別コードの入力の両方が必要である。その結果、データ検索は患者の二重に保護された協力によって保護される。
【0008】
本発明のさらなる態様では、請求項3に従って、データ記録識別コードは電子患者カードに格納された患者カードコードに加えて、データを要求する健康専門家を識別する健康専門家、例えば医師の識別コードを含む。健康データの検索に健康専門家の識別コードの追加入力を要求することによって、システムはどの健康専門家がいつ健康データを要求したかを検査することができる。
【0009】
本発明のさらなる態様では、請求項4に従って、データ記録識別コードの転送および/または中央データベースから検索された健康データの転送が暗号化モードで実行される。これは、データ記録識別コードおよび/またはデータベースから検索された健康データの不正傍受の防止をもたらし、それによってデータ保護をさらに増強する。
【0010】
本発明のさらなる態様では、請求項5に従って、システムは端末装置のエンドユーザ、特に健康専門家、例えば医師に、許可されていることがデータ記録識別コードを通して決定されかつ患者が参加しなければならないログインまたは検索の後に、患者の新規または更新健康データ記録を中央データベースにアップロードする、時間によって限定された許可を与える。このプロセスは、治療に関与する健康専門家が、患者を診察した後、特定の期間内に、例えば数週間または数ヶ月以内に、データの入力時に患者の立ち会いを必要とせずに、中央データベースに新しい健康データを入力することを可能にする。
【0011】
本発明のさらなる態様では、請求項6に従って、電子患者カードは個人を識別する画像を含む。治療に関与する健康専門家は、個人のアイデンティティを立証するために、カードを彼に提示した人物とこの画像を照合することができる。これはカードの悪用を防止する。
【0012】
さらなる態様では、システムは請求項7に従って、中央システム内に偽名化コンピュータを含む。このコンピュータは物理的に中央データベースから分離され、すなわちこのデータベースとオンライン接続されていない。偽名化コンピュータは、一方に個人識別データおよび他方にデータ記録識別コードの照合表を含む。それぞれの患者の健康データを中央データベースに入力するために、健康データは、好ましくは暗号化されて、それぞれの個人識別データと一緒に中央システムの偽名化コンピュータに送信される。次いで偽名化コンピュータは個人識別データを対応するデータ記録識別コードに置き換え、このコードを受信した健康データと一緒に、それぞれの中央カルテデータベースにオフライン送信するように提供し、それは後で検索できるように該データベースに格納される。偽名化コンピュータをカルテデータベースから物理的に分離することにより、無許可者は、たとえ彼らがデータベースのデータへの侵入に成功しても、個人に割り当てられた健康データを得ることが不可能になる。
【0013】
本発明のさらなる態様では、請求項8に従って、中央位置の偽名化コンピュータから物理的に離して入力コンピュータまたはゲートウェイシステムを設ける。ユーザ側端末はゲートウェイシステムにオンライン接続することができる。ゲートウェイシステムは、好ましくは暗号化され上述したデータ入力の時間制限許可により送信された、格納すべき健康データを、ユーザ側端末からの対応する個人識別データと一緒に受信する。ゲートウェイシステムは、偽名化コンピュータへのオフライン送信のために出力にデータを提供する。この方法により、偽名化コンピュータはユーザ側端末および対応するデータネットワークから物理的に完全に分離される。これは、個人識別データをデータ記録識別コードに割り当てる格納されたテーブルが、無許可オンラインアクセスから完全に保護されることを確実にする。
【0014】
システムのさらなる態様では、請求項9に従って、中央データベースに格納される患者の個人健康データの一部分は、患者カードにも直接検索可能に格納される。これは、例えば緊急時に、患者が中央データベースへのアクセスを許諾することに協力できない場合に、治療に関与する健康専門家に、カードを通して患者の健康状態について知る機会を提供する。
【0015】
緊急の場合に関連する本発明のさらなる態様では、請求項10に従って、システムは緊急通報センタを含む。この通報センタは、緊急時に、患者が彼のカルテへのアクセスを許諾するために協力できないときに、データの要求および読出しのために中央データベースにアクセスすることを許可されており、そのようなデータを治療に関与する健康専門家に提供する。健康専門家は、適切な証明手段を用いて、自らを通報センタに証明しなければならない。
【0016】
本発明の有利な実施形態を図に提示し、以下で説明する。
図面の簡単な記述
図1は患者データを処理するためのシステムからデータ要求するための関連構成要素の略ブロック図である。
図2は図1のシステムの代替例の略ブロック図である。
図3は図1および図2に係るシステム内にデータを入力するための関連構成要素の略ブロック図である。
【発明を実施するための最良の形態】
【0017】
図1は、データを読み出すために必要な患者データを処理するためのデータ処理システムの関連構成要素、およびそれらによって実行されるデータ読出しプロセスを概略的に示す。システムは、オンライン接続2を介して中央システム3に接続された複数のユーザ側端末装置、通常は多数のユーザ側端末装置を含むデータネットワークを含む。図1では、パーソナルコンピュータ(PC)1の形で唯一の端末装置1だけが代表的に図示されている。中央システム3は、中央健康データベースとして機能するソースコンピュータ4を含む。必要に応じて、それぞれのデータベースを備えた多数の中央システムを、非集中的分散システムとしてセットアップすることができる。健康データベース4には、それぞれの患者の健康データがコールアップモードで健康データ記録として、個別に割り当てられたデータ記録識別コードと一緒にファイルされる。健康データは電子処方箋、ドクターズレター、ラボデータ、レントゲン写真等から構成することができる。データ記録識別コードは、その知識だけでは患者のアイデンティティを参照することができないように構成される。この方法で、無許可者には、たとえ彼が無許可でデータベース4からのデータを要求することができても、どの患者の健康データが格納されており、どの健康データが特定の患者に属するかを識別することができないことを確実にすることができる。
【0018】
検索された健康データの特定の患者へのこの割当には、以下で述べる緊急の場合を除き、それぞれの患者の積極的な協力が必要である。緊急の場合用に、該システムは特定の設計を有する。この目的のために、図1に示す基本バージョンのシステムは、各患者用の電子患者カード5を含む。このカードには患者カードコード5aが格納される。このコードは患者のカード番号として記述することもできる。データ保護のさらなる改善のために、全ての患者は、システムのユーザとして、患者自身だけが知る個人識別番号またはコード(PIN)を受け取る。このPINは、ユーザ検索健康データがそれぞれの患者を参照することを確実にするのを助ける。すなわち、患者のカード5を不正所有しても、健康データ記録を要求することができない。そのようなPINの代わりに、個人を確実に識別する代替コード、例えば特定の生体測定学的な個人的特徴を含むコードを使用することができる。
【0019】
カード番号5aおよびPINは一緒にデータ記録識別コード(DIC)を形成し、それと一緒に適切な健康データ記録が中央データベース4に格納され、それは成功するデータ検索のために送信される。その目的のために、患者カード5は、カード番号5aを読み取るために、例えば診察室にあるユーザ側端末装置に挿入される。加えて、患者は彼/彼女のPINを入力する。端末装置1は、それぞれの患者の健康データ記録の折返し送信を要求するために、カード番号5aに加えてPINをDICとして中央システム3に送信する。
【0020】
中央システム3は、送信されたDICが格納されたDICの一つと一致するか、データベースソースコンピュータ4で検査し、一致が判明した場合、対応する健康データ記録GD(DIC)を要求した端末装置1に送信する。たとえこのデータ転送が無許可者によってモニタされても、それには個人識別情報が含まれていないので、彼/彼女は健康データGD(DIC)を特定の個人に割り当てることができない。たとえ無許可者がどうにかしてDICを入手しても、これはデータベース4からその特定のDICに属する健康データへのアクセスを可能にするだけであって、彼または彼女はその健康データが誰に属するものであるかを決定することはできない。
【0021】
たとえ無許可者が治療に関与する健康専門家によって配置された端末装置(1)に侵入しても、専門家および彼の端末装置1は患者のカード番号5aも患者のPINも知らないので、無許可者がデータの匿名性を突破することはできない。
【0022】
患者カード5は、例えばトラストセンタ、すなわち信頼できる証明書を発行することを認可された機関を通して、または健康保険機関または何らかの公的機関を通して、要求により配布することができる。したがって、患者データ用のこのデータ処理システムは、データへの無許可アクセスに対して充分に保護される。必要に応じて、さらなるデータ保護措置を実現することができ、続いてその幾つかについて説明する。
【0023】
例えば、セキュリティ強化オプションとして、治療に関与する健康専門家が、患者によって彼に提示されたカード5が実際に患者自身のものであるかどうか検査することができるように、患者カードに個人識別画像5bを含めることができ、それは悪用および間違いを排除する。
【0024】
図2は、図1のシステムの変形を示す。この場合、治療に関与する健康専門家(例えば医師)は、健康専門家識別コード6aを含む彼または彼女自身の健康専門家カード6を備える。中央データベース4から患者データが要求されると、健康専門家が彼のカード6を端末装置に挿入しなければならず、次いで端末装置が健康専門家識別コード6aを読み取り、それに加えて患者識別コード5aおよび患者のPINを、好ましくは暗号化された形で、中央システム3に送信することを除いては、要求は図1の場合と同様に処理される。この措置を通して、どの医師または他の健康専門家(薬剤師、健康保険等)がどのデータをどの時点で要求したかを監視することができる。
【0025】
どちらの形態でも、オンライン接続(2)を通してのデータ転送は、暗号化された形で行なわれることが好ましいが、必ずしもそうでなくてもよい。要求するコードデータ5aの転送、患者PIN、健康専門家コード6a、および検索される健康データGDの両方とも暗号化されることが好ましい。その目的のために、従来の暗号化手段を使用することができる。
【0026】
本願の場合、非常に高度のデータ保護付きの特に効率的な方法は、電子患者カード5に暗号化アルゴリズム5cを実現することである(オプションとして図2の破線部を参照されたい)。この場合、患者カード5は、装置1に挿入した後、それが患者によって打ち込まれたPINおよび利用可能な場合には健康専門家識別コード6aを読み取るように、設計される。次いで、暗号化アルゴリズム5cが、例えばランダムに生成されたコードを使用して、患者カード番号5a、PIN、および健康専門家識別コード6a、例えば健康専門家カード番号を全て暗号化された形で含む暗号化情報を生成する。この暗号化情報は、端末装置1を介して中央システム3に送信される。中央システム3では対応する解読アルゴリズムが実行され、送信された情報を解読する。この解決法は、患者のカード番号5aをカード5から読み出すことができないように実現することができるという利点を持つ。したがって、カード番号5aは完全に機密に維持される。この設計により、患者カード番号5aは、端末1の読取器によって読み取ることができず、端末(1)を通して患者のカード番号5aを不正傍受することは不可能なままである。
【0027】
例えば要求された健康データの折返し転送のために、従来の暗号化システムを、ユーザ用の秘密コード鍵(「秘密鍵」)および中央システム用の特定に非機密キー(「公開鍵」)と共に使用することができる。この場合、偽名の形態の全ての許可された端末装置(1)、全ての健康専門家およびデータ記録識別コード(DIC)それぞれの公開鍵は、中央システム3に存在する。中央システム3は、特定の公開鍵を用いて暗号化された健康データ(GD)を要求端末装置1に送信する。端末1で、データはそれぞれの秘密鍵を用いて復号される。特定の秘密鍵は、患者カード(5)および設けられている場合には健康専門家カード6の秘密鍵から構成することができる。この機密保護プロセス後に、健康データ(GD)を表示し、分析することができる。
【0028】
図3は、端末装置1から中央システム3の中央データベース4に新しい健康データを入力する場合の高度データ保護に関する非常に有利なシステム解決法の関連構成要素を示す。この解決法では、中央システム3は、ソースコンピュータ4+偽名化コンピュータ(匿名化コンピュータともいう)7+入力コンピュータサーバ8を形成するデータベースを含む。偽名化コンピュータ7がソースコンピュータ4および入力サーバ8から物理的に離れていることが、この解決法の特徴である。したがって、入力サーバ8から偽名化コンピュータ7へ、およびそこからソースコンピュータ4へのデータ転送は、特定のオフライン接続10、11のみを介して、例えば従来のバッチ処理で処理される。このシステム設計は、偽名化コンピュータ7への無許可オンラインアクセスを防止する。
【0029】
偽名化コンピュータ7の主なタスクは、個人識別データおよび対応する健康データを含む到来データにおいて、個人識別データをそれぞれの患者のDICに置換することである。その目的は、データベース4にファイルするために完全に偽名化されたそれぞれ匿名の健康データを出力に提供することである。許可された要求の場合には、DICを使用して偽名化データを正しい患者に割り当てることができる。
【0030】
システムの基本バージョンでは、患者の新しい健康データは患者を識別するデータと共に、健康専門家によって彼の端末1からオンライン接続9を介して中央システム3に伝送される。このオンライン接続9は、データ要求または他のネットワークの接続に使用される接続2と同一とすることができる。入力サーバ8は個人識別データおよび健康データを受け取り、それを偽名化コンピュータ7へのオフラインエクスポートのために提供する。
【0031】
偽名化システム7はオフライン送信データを受け取り、さらなる転送のために健康データをデータ記録識別コード(DIC)と一緒に出力に提供するために、上述した通り、個人識別データをそれぞれの患者のDICに置換する。この目的のために、個人識別データ(氏名、出生日等)をそれぞれの患者の個別DICに割り当てる割当または変換テーブルが偽名化コンピュータ7内に実現される。データは、個人識別データを自動的に削除し、それをDICと置換することが可能な形式で送信される。次のステップで、健康データおよびコードはオフライン接続11を介してデータベース4に伝送され、そこにファイルされる。中央データベース4から、特定の患者の健康データを必要に応じて、かつ図1および2で説明したように、許可された要求を通して検索することができる。そのような要求は正しいデータ記録識別コードDICを含まなければならない。
【0032】
健康専門家に、患者の診察後、特定の期間にだけ中央データベース4にカルテをファイルする機会を与えるために、データ保護をさらに増強したバージョンのシステムは、中央システム3が、患者が立ち会っている間に健康専門家が要求した健康データGDと一緒に個別のデータ入力許可コードを、好ましくは暗号化された形で送信するように構成される。このデータ入力許可コードは、調整可能な期間だけ、例えば数週間または数ヶ月間有効である。それは健康専門家に、この期間内に、たとえ患者が立ち会っていなくても、図3で説明した方法で、彼の患者の健康データを中央データベース4に転送して、そこにそれをファイルする機会を与える。
【0033】
このプロセスは、図3のその基本バージョンで説明したデータアップロードとは異なる。健康データを個人識別データと一緒に送信する代わりに、健康データをそれぞれの健康専門家の患者の個別データ入力許可コードと共に端末装置1から入力サーバ8に送信し、かつそこからオフラインモードで偽名化コンピュータ7に送信する。コンピュータ7は、それに対応してそこに格納されている割当テーブルを使用して、時間によって制限されているデータ入力許可コードを患者のDICに置換する。健康専門家が、彼の許可が終了した後で中央データベース4に健康データをアップロードしようとする場合、これは別の安全プロセスで、例えばメールで健康記録を送信することによって、または別の高度に保護された電子データ転送モードで実行しなければならない。メールの場合、それは中央システム3で電子的に処理される。
【0034】
健康専門家に健康データを中央データベース4にアップロードするために時間制限を与える代わりに、またはそれに加えて、例えば図1および2で説明した暗号化アルゴリズムの一つによって、データを暗号化してオンライン接続9で送信することによって、さらに高度のデータ保護を達成するために、図3で説明したプロセスを変形することができる。
【0035】
これまで説明したシステム設計は、個々の患者の立会いの下でのみ、健康専門家が中央データベース4からデータを検索することを可能にする。いつでも緊急時には健康専門家が必要な健康データを利用できるようにするために、システムは一つまたは幾つかの適切な緊急措置を含む。
【0036】
救急措置では、緊急時に患者に通常必要な健康データが、例えば血液型、アレルギ、現在服用している薬剤/医薬品、緊急時の関連診断等のデータが、検索できるように電子患者カード5に直接格納される。緊急時には、健康専門家は患者カードのみによって関連データにアクセスすることができる。
【0037】
さらなる緊急措置として、システムは、中央データベース4に格納された各患者の健康データの少なくとも緊急関連部分へのアクセスの許可を有する緊急通報センタを含むことができる。緊急の場合に、健康専門家は彼の認証を通報センタに立証しなければならない。この目的のために、全ての健康専門家は個別認証コードを受け取る。認証後、彼は必要な緊急健康データを受け取る。充分なデータ保護を維持するために、患者が彼の健康データへのこの緊急アクセス権に事前に同意しなければならないことは重要である。加えて、患者に全ての緊急要求について事後に知らせなければならない。
【0038】
患者のカードまたは健康専門家のカードを紛失した場合、これらのカードは、例えばクレジットカードから公知の従来の方法で、所有者によって無効にされる。例えば、所有者は中央システム3に電話を掛け、中央システムは(例えば折返し電話および/または呼者だけが知るセキュリティ情報を通して)呼者の認証を検査する。
【0039】
上述した実施形態から、本発明が、実用的な形でいわゆる電子カルテによる患者データの処理用のデータ処理システムを提供し、かつそのようなデータに要求される極めて高度のデータ保護基準を満たすことは明らかである。
【図面の簡単な説明】
【0040】
【図1】患者データを処理するためのシステムからデータ要求するための関連構成要素の略ブロック図である。
【図2】図1のシステムの代替例の略ブロック図である。
【図3】図1および図2に係るシステム内にデータを入力するための関連構成要素の略ブロック図である。
Claims (10)
- 健康データを格納するデータベース(4)を各々に有する一つまたは幾つかの中央局(3)と、
前記中央データベース(4)から健康データを検索するため、および/または前記中央データベース(4)に健康データをアップロードするために、前記データベース(4)に接続された端末装置(1)と、
を備えた、それぞれの患者の個人識別データおよび対応する健康データを含む患者データを処理するためのデータ処理システムにおいて、
健康データGDが個人識別データへの割当無しに前記中央データベース(4)に格納され、それぞれの患者の健康データセットにデータ記録識別コード(DIC)が割り当てられ、健康データセットの検索には対応するデータ記録識別コードの入力が必要である、
ことを特徴とするデータ処理システム。 - DICが、電子患者カード(5)に格納された患者カードコード(5a)および患者によって入力される個人識別コード(PIN)を含むことを特徴とする、請求項1に記載のデータ処理システム。
- DICが、電子患者カード(5)に格納された患者カードコード(5a)および健康専門化識別コード(6a)を含むことを特徴とする、請求項1または2に記載のデータ処理システム。
- DICの暗号化転送のための手段および/または中央データベースから検索された健康データの暗号化転送のための手段を特徴とする、請求項2または3に記載のデータ処理システム。
- データ入力コードが時間によって制限され、健康データを検索するときに、該コードが前記中央システム(3)によってそれぞれの健康データと一緒に要求端末装置(1)に送信されることを特徴とする、請求項1ないし4のいずれか一項に記載のデータ処理システム。
- 前記患者カードが患者識別画像(5b)を含むことを特徴とする、請求項2ないし5のいずれか一項に記載のデータ処理システム。
- 前記中央システム(3)が、前記中央データベース(4)から物理的に離れた偽名化コンピュータ(7)を含み、該偽名化コンピュータが一方に個人識別データおよび他方に対応するDICの割当テーブルを含み、それが健康データ入力を対応する個人識別データと一緒に受け取り、個人識別データを対応するDICに置換し、健康データを対応するDICと一緒に前記中央データベース(4)にファイルするために出力することを特徴とする、請求項1ないし6のいずれか一項に記載のデータ処理システム。
- 前記中央システムが、前記偽名化コンピュータ(7)から物理的に離れた入力サーバ(8)を含み、そこに前記端末装置(1)がオンラインリンク(9)を介して接続され、前記入力サーバが前記端末装置によって送信されたデータを、前記偽名化コンピュータ(7)へのオフライン転送のためにその出力側に提供することを特徴とする、請求項7に記載のデータ処理システム。
- それぞれの患者の健康データの選択可能な部分が直接検索できるように前記患者カードに格納されることを特徴とする、請求項2ないし8のいずれか一項に記載のデータ処理システム。
- 各患者の健康データの少なくとも緊急関連部分の許可検索ができるように緊急通報センタを前記中央局に接続し、健康専門家が健康データの許可された緊急読出しを要求するために、前記緊急通報センタで健康専門家を認証するための認証手段を設けることを特徴とする、請求項1ないし9のいずれか一項に記載のデータ処理システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10150008 | 2001-10-11 | ||
| DE10209780A DE10209780B4 (de) | 2001-10-11 | 2002-02-27 | Datenverarbeitungssystem für Patientendaten |
| PCT/EP2002/011305 WO2003034294A2 (de) | 2001-10-11 | 2002-10-09 | Datenverarbeitungssystem für patientendaten |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005505863A true JP2005505863A (ja) | 2005-02-24 |
| JP2005505863A5 JP2005505863A5 (ja) | 2006-01-05 |
Family
ID=26010338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003536953A Pending JP2005505863A (ja) | 2001-10-11 | 2002-10-09 | 患者データのデータ処理システム |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20050043964A1 (ja) |
| EP (1) | EP1451736A2 (ja) |
| JP (1) | JP2005505863A (ja) |
| CN (1) | CN1602495A (ja) |
| CA (1) | CA2462981A1 (ja) |
| TW (1) | TWI254233B (ja) |
| WO (1) | WO2003034294A2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007536833A (ja) * | 2004-05-05 | 2007-12-13 | アイエムエス ソフトウェア サービシズ リミテッド | マルチ・ソース型の長期患者レベルのデータ暗号化処理 |
| JP2008130094A (ja) * | 2006-11-22 | 2008-06-05 | General Electric Co <Ge> | 電子医療記録データのフリーテキスト検索のシステムおよび方法 |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030233256A1 (en) * | 2002-06-13 | 2003-12-18 | Rodolfo Cardenas | Secure medical prescription |
| DE10347431B4 (de) * | 2003-10-13 | 2012-03-22 | Siemens Ag | Fernwartungssystem unter Zugriff auf autorisierungsbedürftige Daten |
| US20050101844A1 (en) * | 2003-11-07 | 2005-05-12 | Duckert David W. | System and method for linking patient monitoring data to patient identification |
| US7949545B1 (en) | 2004-05-03 | 2011-05-24 | The Medical RecordBank, Inc. | Method and apparatus for providing a centralized medical record system |
| EP1603070A3 (en) * | 2004-06-01 | 2007-09-05 | Kabushiki Kaisha Toshiba | Medical image storage apparatus protecting personal information |
| DE102004051296B3 (de) * | 2004-10-20 | 2006-05-11 | Compugroup Health Services Gmbh | Computersystem und Verfahren zur Speicherung von Daten |
| US8000979B2 (en) * | 2004-11-24 | 2011-08-16 | Blom Michael G | Automated patient management system |
| US20070179812A1 (en) * | 2006-01-27 | 2007-08-02 | Joseph Chapman | Health history formatting method and system for the same |
| WO2007090466A1 (de) * | 2006-02-08 | 2007-08-16 | Vita-X Ag | Computersystem und verfahren zur speicherung von daten |
| DE102006012311A1 (de) * | 2006-03-17 | 2007-09-20 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten |
| UA101469C2 (uk) * | 2006-08-01 | 2013-04-10 | К'Юпей Холдінгс Лімітед | Система авторизації транзакцій та спосіб її застосування |
| US20080071577A1 (en) * | 2006-09-14 | 2008-03-20 | Highley Robert D | Dual-access security system for medical records |
| US20080114689A1 (en) * | 2006-11-03 | 2008-05-15 | Kevin Psynik | Patient information management method |
| AT503291B1 (de) * | 2006-11-21 | 2007-09-15 | Braincon Handels Gmbh | Datenverarbeitungssystem zur verarbeitung von objektdaten |
| US8589179B2 (en) * | 2006-12-20 | 2013-11-19 | Qsi Management, Llc | Methods and apparatus for responding to request for clinical information |
| GB2446624A (en) * | 2007-02-13 | 2008-08-20 | Ali Guryel | Secure network used in educational establishments |
| DE102007017291A1 (de) * | 2007-04-12 | 2008-10-16 | Quasi-Niere Ggmbh | Vorrichtung zum Depseudonymisieren von pseudonymen Patientendaten |
| DE102007018403B4 (de) | 2007-04-17 | 2009-06-25 | Vita-X Ag | Computersystem und Verfahren zur Speicherung von Daten |
| US8407112B2 (en) * | 2007-08-01 | 2013-03-26 | Qpay Holdings Limited | Transaction authorisation system and method |
| US20090077024A1 (en) * | 2007-09-14 | 2009-03-19 | Klaus Abraham-Fuchs | Search system for searching a secured medical server |
| CN101911090B (zh) * | 2007-12-28 | 2014-01-15 | 皇家飞利浦电子股份有限公司 | 信息交换系统及设备 |
| US8353018B2 (en) * | 2008-11-13 | 2013-01-08 | Yahoo! Inc. | Automatic local listing owner authentication system |
| US20110314561A1 (en) * | 2010-06-21 | 2011-12-22 | Roland Brill | Server implemented method and system for securing data |
| US20120029938A1 (en) * | 2010-07-27 | 2012-02-02 | Microsoft Corporation | Anonymous Healthcare and Records System |
| US8616438B2 (en) | 2011-03-30 | 2013-12-31 | Hill-Rom Services, Inc. | Optical detector at point of care |
| US20120296674A1 (en) * | 2011-05-20 | 2012-11-22 | Cerner Innovation, Inc. | Medical record card and integration of health care |
| US20130006867A1 (en) * | 2011-06-30 | 2013-01-03 | Microsoft Corporation | Secure patient information handling |
| US8844820B2 (en) | 2011-08-24 | 2014-09-30 | Hill-Rom Services, Inc. | Multi-directional optical reader for a patient support |
| FR2982052B1 (fr) * | 2011-10-31 | 2013-11-22 | Novatec | Procede et dispostif pour le stockage en base de donnees et la consultation de donnees confidentielles |
| KR101300475B1 (ko) * | 2011-12-27 | 2013-09-02 | 서울대학교산학협력단 | 유전자 정보 관리 장치 및 방법 |
| TWI493496B (zh) * | 2012-07-11 | 2015-07-21 | Mackay Memorial Hospital | 醫療資訊交換管理系統 |
| US20160292453A1 (en) * | 2015-03-31 | 2016-10-06 | Mckesson Corporation | Health care information system and method for securely storing and controlling access to health care data |
| US20160292456A1 (en) * | 2015-04-01 | 2016-10-06 | Abbvie Inc. | Systems and methods for generating longitudinal data profiles from multiple data sources |
| US11616825B2 (en) * | 2015-12-18 | 2023-03-28 | Aetna Inc. | System and method of aggregating and interpreting data from connected devices |
| SI25850A (sl) * | 2019-05-22 | 2020-11-30 | Univerza V Mariboru | Metoda in naprava za shranjevanje, nadzor nad vpogledom in pridobitev podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe |
| EP4125094A1 (en) * | 2021-07-29 | 2023-02-01 | Siemens Healthcare GmbH | Pseudonymized storage and retrieval of medical data and information |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5065315A (en) * | 1989-10-24 | 1991-11-12 | Garcia Angela M | System and method for scheduling and reporting patient related services including prioritizing services |
| US6283761B1 (en) * | 1992-09-08 | 2001-09-04 | Raymond Anthony Joao | Apparatus and method for processing and/or for providing healthcare information and/or healthcare-related information |
| GB9402935D0 (en) * | 1994-02-16 | 1994-04-06 | British Telecomm | A method for controlling access to a database |
| US5659741A (en) * | 1995-03-29 | 1997-08-19 | Stuart S. Bowie | Computer system and method for storing medical histories using a carrying size card |
| US5924074A (en) * | 1996-09-27 | 1999-07-13 | Azron Incorporated | Electronic medical records system |
| US6275824B1 (en) * | 1998-10-02 | 2001-08-14 | Ncr Corporation | System and method for managing data privacy in a database management system |
| AU6491300A (en) * | 1999-07-19 | 2001-02-05 | Data Card Corporation | System and method for storing, managing, and retrieving healthcare information on a smart card |
| DE19951070A1 (de) * | 1999-10-22 | 2001-04-26 | Systemform Mediacard Gmbh & Co | Verifikationseinrichtung, Verifikationssystem und Verifikationsverfahren für Krankenversichertenkarten |
| US6397224B1 (en) * | 1999-12-10 | 2002-05-28 | Gordon W. Romney | Anonymously linking a plurality of data records |
| US20020116227A1 (en) * | 2000-06-19 | 2002-08-22 | Dick Richard S. | Method and apparatus for requesting, retrieving, and obtaining de-identified medical informatiion |
| US7587368B2 (en) * | 2000-07-06 | 2009-09-08 | David Paul Felsher | Information record infrastructure, system and method |
| US7698154B2 (en) * | 2000-07-20 | 2010-04-13 | Marfly 1, LP | Patient-controlled automated medical record, diagnosis, and treatment system and method |
| US8150710B2 (en) * | 2002-02-08 | 2012-04-03 | Panasonic Corporation | Medical information system |
| DE10247153A1 (de) * | 2002-10-09 | 2004-04-22 | Siemens Ag | Anonymer e-Health Commerce |
-
2002
- 2002-10-09 TW TW091123258A patent/TWI254233B/zh not_active IP Right Cessation
- 2002-10-09 CN CNA028245547A patent/CN1602495A/zh active Pending
- 2002-10-09 US US10/492,298 patent/US20050043964A1/en not_active Abandoned
- 2002-10-09 JP JP2003536953A patent/JP2005505863A/ja active Pending
- 2002-10-09 WO PCT/EP2002/011305 patent/WO2003034294A2/de active Application Filing
- 2002-10-09 EP EP02774694A patent/EP1451736A2/de not_active Ceased
- 2002-10-09 CA CA002462981A patent/CA2462981A1/en not_active Abandoned
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007536833A (ja) * | 2004-05-05 | 2007-12-13 | アイエムエス ソフトウェア サービシズ リミテッド | マルチ・ソース型の長期患者レベルのデータ暗号化処理 |
| JP2008130094A (ja) * | 2006-11-22 | 2008-06-05 | General Electric Co <Ge> | 電子医療記録データのフリーテキスト検索のシステムおよび方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050043964A1 (en) | 2005-02-24 |
| WO2003034294A2 (de) | 2003-04-24 |
| TWI254233B (en) | 2006-05-01 |
| EP1451736A2 (de) | 2004-09-01 |
| CA2462981A1 (en) | 2003-04-24 |
| WO2003034294A3 (de) | 2004-06-03 |
| CN1602495A (zh) | 2005-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2005505863A (ja) | 患者データのデータ処理システム | |
| US20240419838A1 (en) | Records Access and Management | |
| AU761680B2 (en) | A secure database management system for confidential records | |
| KR100269527B1 (ko) | 저장및정보송신시스템과,정보송신및판독방법 | |
| US20160188805A1 (en) | Privacy compliant consent and data access management system and methods | |
| US20060293925A1 (en) | System for storing medical records accessed using patient biometrics | |
| US8607332B2 (en) | System and method for the anonymisation of sensitive personal data and method of obtaining such data | |
| US20020083215A1 (en) | Individual information managing device | |
| WO2013177297A2 (en) | Encrypting and storing biometric information on a storage device | |
| EP2671181A2 (en) | Secure access to personal health records in emergency situations | |
| CN102160060A (zh) | 用于从本地生成代理存取例如定制医疗文件等记名数据的过程 | |
| US7100206B1 (en) | Method for secured access to data in a network | |
| WO2014201599A1 (zh) | 一种用于信息的认证授权和安全使用的方法与系统 | |
| JP2000331101A (ja) | 医療関連情報管理システム及びその方法 | |
| CN1525684B (zh) | 由不同用户对数据进行加密和解密的方法 | |
| WO2024104901A1 (en) | Method and system for re-associating anonymised data with a data owner | |
| Huda et al. | Privacy-aware access to patient-controlled personal health records in emergency situations | |
| EP4292003A1 (en) | Personal data anonymization system (pdas) with customized token | |
| JP2004287774A (ja) | 医療情報管理システム、方法およびプログラム | |
| DE10209780B4 (de) | Datenverarbeitungssystem für Patientendaten | |
| US7853581B2 (en) | Data processing system for the processing of object data | |
| KR101047140B1 (ko) | 지문 인식을 이용한 무인 의료 접수 및 정보 제공시스템과 그 방법 | |
| Nair et al. | EHR SECURITY AND PRIVACY: ENCOUNTERING HONEST-BUT-CURIOUS ATTACKS THROUGH SELECTIVE MULTI-LEVEL ACCESS CONTROL POLICY | |
| DRINGS et al. | Data security and protection in cross-institutional electronic patient records | |
| Alqudah | EHR security and privacy: Encountering honest-but-curious attacks through selective multi-level access control policy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050921 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050921 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080509 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081014 |