• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    患者のプライバシを維持しながら、別々の保健情報管理システム間で患者の健康レコードを交換する際に問題があるという欠点を解消するために、本発明は、第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出する工程と、第1の識別子に対応する第2の識別子を生成する工程と、第1の識別子に関連付けられたレコードを要求する旨の要求を、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に送信する工程と、要求されたレコードを、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から受信する工程と、第2の識別子と、要求されたレコードを関連付ける工程とを含む。本願提案の方法の使用は、同じ偽名化サービスを採用する保健情報管理システム全てを統一する必要がないという利点を提供し、患者のプライバシを開示することなく、別々の保健情報管理システム間の保健情報を共有することを容易にする。
    公开号:JP2011508332A
    申请号:JP2010540208
    申请日:2008-12-26
    公开日:2011-03-10
    发明作者:チュイ,ジン;ペトコヴィッチ,ミラン;リー,ホイ
    申请人:コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ;
    IPC主号:G06F21-24
    专利说明:

    [0001] 本発明は、情報交換システムに関し、特に、別々の保健情報管理システム間で保健情報を交換するシステム及び装置に関する。]
    背景技術

    [0002] 近年、保健及び/又は医療情報管理システムは、世界中で確立されている。前述の保健情報管理システム間の患者の保健情報及びプライバシの管理は、非常に重要な課題となっている。西暦1996年に米国国会により、医療保険責任法(HIPAA)が制定された後、研究者、医師及び医療センタは、患者の保健情報及びプライバシを含む、患者のデータを扱ううえで、より注意深くなっている。]
    [0003] ISOによれば、匿名化は、識別するデータセットとデータ主体との関連付けを取り除くプロセスである。偽名化は、識別するデータセットとデータ主体との間の関連付けを取り除き、1つ又は複数の偽名と、データ主体に関する特定の特性の組との間の関連付けを加える特定のタイプの匿名化である。偽名化は、患者のプライバシを保護する重要な手法として認識されている。ISO/TC215は、個人保健情報の保護のための偽名化サービスを使用した要件及び原理に焦点を当てる、新たな仕様である「Pseudonymization practices for the protection of personal health information and health related service (ISO/DTS 25237)」を策定中である。]
    [0004] ISO/DTS 25237に基づいて、HITSP(医療情報技術標準パネル)は、偽名化を実現するための、図1に示すアーキテクチャを開発している。アーキテクチャ100では、4つのエンティティ(すなわち、患者、病院、PIX(患者識別子相互参照)マネージャ、及び偽名化サービス・プロバイダ)が含まれる。工程110では、病院は、患者のための登録サービスを提供する。工程120では、病院はその後、患者情報をPIXマネージャに送出する。患者情報は、患者の実識別子(患者の名前及びID番号)及びこの病院において使用することが可能な患者レコードIDのみを含み得るか、又は、更なる情報(住所、連絡先情報等など)を含み得る。工程130では、PIXマネージャは、患者の識別子を記録する。この工程では、PIXマネージャは更に、病院から送出された患者情報に含まれる更なる情報構成部分(患者の健康レコードID、住所、連絡先情報等など)の少なくとも1つと、患者の識別子を関連付ける。工程140では、PIXマネージャは、偽識別子に対する要求を、偽名化サービス・プロバイダに送出する。要求を受信すると、偽名化サービス・プロバイダは工程150で、患者の偽識別子を割り当て、工程160で、上記偽識別子をPIXマネージャに戻す。次いで、PIXマネージャは、偽識別子を記憶し、患者の識別子と関連付ける。任意的には、PIXマネージャは、病院から受信された患者情報(例えば、患者のID、住所及び連絡先情報)と偽識別子を関連付けることも可能である。工程180では、PIXマネージャは、患者に対して偽証明書を作成し、これを病院に送出する。工程190では、病院は証明書を記録し、工程195では、証明書を患者に送出する。証明書を受信した後、患者はこの証明書を、この証明書のフォーマットが分かるこの病院及び他の病院において使用することが可能である。この証明書を使用することにより、患者は、この証明書のフォーマット及び内容が分かる病院からサービスを得、自分の実識別子の開示を避けることが可能である。] 図1
    [0005] しかし、別々の病院におけるエンティティ全てに利用可能な一意の偽名化サービスの前提条件で、アーキテクチャ100は、1つの保健/医療情報管理システム/領域においてのみ使用することが可能である。病院全てが、共通の偽名化サービス・プロバイダによって発行される偽識別子を含むこの証明書を認識することが可能である。現在、人々は、種々の都市、又は種々の国における種々の病院を訪問する機会が一層増えている。種々の都市及び種々の国における種々の病院が、共通の匿名化サービスを採用するということを仮定するのは不合理である。したがって、患者は、各保健/医療サービス・プロバイダ・システムにおいて、新たな識別子又は証明書を再登録しなければならない。別々のシステム間の相互運用性の方法は存在しないため、別々のシステムに記憶された、先行する保健/医療情報を患者が再使用することは困難である。]
    [0006] したがって、別々の匿名化サービスを採用する別々の保健/医療情報管理システム間で保健/医療情報を交換することができる方法を提供する必要性が存在している。]
    発明が解決しようとする課題

    [0007] 本発明の目的は、情報(特に、保健/医療情報)を、別々の医療/保健情報管理システム(特に、別々の偽名化サービスを使用するシステム)間で交換する方法及び装置を提供することである。]
    課題を解決するための手段

    [0008] 本発明の一実施例によれば、情報交換システムを提供することにより、本発明の第1の局面において、目的及びいくつかの他の目的が得られる。情報交換システムは、第1の識別子、及び署名を含む証明書を読み取るよう構成されたリーダと、第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出し、第1の識別子に対応する第2の識別子を生成するよう構成されたリーダと、第1の識別子を第2の識別子と関連付け、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に、第1の識別子に関連付けられたレコードを要求する旨の要求を送出するよう構成された第1の識別子マネージャと、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から、要求されたレコードを受信し、受信されたレコード及び第2の識別子を関連付けるよう構成された受信器とを含む。]
    [0009] 第1の識別子と関連付けられたレコードは、医療レコード、病歴、第1の識別子によって識別された患者に関する他の保健/医療情報のうちの何れか1つを含むが、患者の実識別情報を容易に覆すことが可能な、自分の識別番号、運転免許証番号、保険番号、又は医療登録番号などの患者の実識別情報を含まない。]
    [0010] 現在の保健/医療情報管理システムに使用される前述のシステムは、別のシステムによって発行された証明書を現在の保健/医療情報管理システムが認識する必要なしで、別の保健/医療情報管理システムから保健情報(例えば、第1の識別子に関連付けられたレコード)が得られるという利点を有する。現在のシステムでは、第2の識別子は、患者の先行レコードと関連付けることが可能である。レコードはよって、一意の偽名化サービスに対する必要なしで、別々のシステム間で交換可能であり得る。]
    [0011] 任意的には、第2の識別子マネージャは更に、第1の識別子を第3の識別子にマッピングするよう構成された識別子マッピング装置と、第3の識別子に関連付けられたレコードを取り出すよう構成されたデータベースと、第1の識別子に関連付けられたレコードとして、取り出されたレコードを受信器に送出するよう構成された送出器とを備える。]
    [0012] 第3の識別子は、自分の実の識別情報に関連付けられたレコードを見つけることができるように、患者の実の識別情報(自分の識別番号、運転免許証番号、保険番号や、医療登録番号など)であり得る。データベースは、スタンドアロン型データベースであり得るか、又は別個の病院が、患者の実の識別情報及びレコードを記憶し得る。]
    [0013] 任意的には、第3の識別子は、偽名化サービス・プロバイダによって生成される偽識別子であってもよい。PIXマネージャであり得る第2の識別子マネージャは、この偽識別子を使用して、データベースからレコードを取り出すことも可能である。]
    [0014] あるいは、サポートしないが、その他の偽名化サービス・プロバイダについての情報を抽出することが可能な別の偽名化サービスを使用して別の保健/医療情報管理システムによって第3の識別子が送出されたということを第2の識別子マネージャが判った場合、第1の識別子は、第3の識別子をその他の偽名化サービスに送出して、レコードを要求することが可能である。前述の再帰的手法を使用することにより、患者によって保持された証明書が何れかの他の保健/医療情報管理システムによって発行されたか否かにかかわらず、患者の健康レコードを記憶した当初システムを見つけることが可能である。]
    [0015] 任意的には、情報交換システムは、識別子を生成するよう構成された第2のサービス・プロバイダを更に備え、リーダ及び第1の識別子マネージャの何れか一方は、第2のサービス・プロバイダに第4の識別子を要求するよう更に構成され、リーダは、受信された第4の識別子を第2の識別子として設定するよう更に構成される。更に、第2のサービス・プロバイダは、現在の保健情報管理システムにおいて患者によって使用することが可能な第2の証明書を生成するよう更に構成される。患者は、前述の手法を使用することにより、現在の保健情報管理システムからレコードを得ることが可能な別の保健情報管理システムにこの第2の証明書を持ち込むことも可能である。]
    [0016] 第1の識別子及び第2の識別子は、自分の実の識別情報を開示することなく、患者を識別するための偽識別子であり得る。患者のプライバシは、何れの保健情報管理システムにおいても保護される。]
    [0017] 第1のサービス・プロバイダによって生成される署名は、例えば、偽名化サービス・プロバイダのような、第1のサービス・プロバイダ及び第2の識別子マネージャの少なくとも一方についての情報を提供する。]
    [0018] 本発明の別の実施例によれば、本発明の第2の局面は、患者を識別するよう構成された証明書を記憶するためのカードを提供する。上記証明書は、偽名化サービス・プロバイダによって生成され、保健情報管理システムにおいて使用されるよう構成された第1の偽識別子と、識別子マネージャ及び偽名化サービス・プロバイダのうちの少なくとも一方についての情報を含むよう構成された偽名化サービス・プロバイダの署名とを含み、識別子マネージャは、第1の偽識別子を識別するよう構成される。]
    [0019] 患者の実の識別情報はこのカードに含まれていないので、自分のプライバシは保護される。上記方法と組み合わせて、患者のレコードを、現在の保健情報管理システムにおいて探索し、使用することが可能である。]
    [0020] 証明書のセキュリティを更に向上させるために(すなわち、証明書と、この証明書を保有している個人との間の関係付け(すなわち、証明書が前述の個人に属するか)を確かめるために)、証明書は任意的には、公開鍵対の公開鍵を更に含み得る。公開鍵は、患者の署名を検証するために使用される。この証明書では、公開鍵が、患者の偽識別子に関連付けられるので、患者は、公開鍵の対の秘密鍵を使用して一部の文書に署名し、他方は、上記証明書における公開鍵を使用して、患者の実の識別情報を開示することなく署名を確かめる。公開鍵はオンラインで(例えば、インターネットを介して)使用することが可能である。]
    [0021] 別の実施例では、更なるデータセットを証明書に含めてセキュリティを向上させることができる。更なるデータセットは秘密sのハッシュであり得、sは、患者に既知のパラメータ、患者の個人情報、又は患者の実の識別情報であり得る。ハッシュ関数は、ゼロ知識証明が存在している一方向関数であるので、自分の識別情報を明らかにすることなく、自分の偽名を備えた証明書が自分のものであるということを患者が他者(例えば、医師)に証明することが可能である。]
    [0022] 別の実施例では、更なるデータセットは、患者を表す少なくとも1つの生体パラメータを含み得る。指紋などの生体パラメータは、証明書を保有する患者を検証するために使用することが可能である。更なる利点は、患者が生体データを常に持っているという点である。生体データは、公開データベースに記憶されておらず、よって、患者の実の識別情報に関係付けることが可能でない一方、証明書を所有していることを証明する機能を維持する。]
    [0023] 別の実施例によれば、本発明の第3の局面は、特に、別々の保健/医療情報管理システムの中から、情報を得る方法を提供することによって達成される。方法は、
    a)第1のサービス・プロバイダの署名及び第1の識別子を証明書から抽出する工程と、
    b)第1の識別子に対応する第2の識別子を生成する工程と、
    c)第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に要求を送出して、第1の識別子に関連付けられたレコードを要求する工程と、
    d)第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から、要求されたレコードを受信する工程と、
    e)要求されたレコードを第2の識別子と関連付ける工程とを含む。]
    [0024] 別の実施例によれば、本発明の第4の局面は、第2の証明書を、特に、患者の実の識別情報を知る必要なく、生成する方法を提供することである。上記方法は、
    a)第1の識別子及び第1のサービス・プロバイダの署名を第1の証明書から抽出する工程と、
    b)第1の識別子及び第1のサービス・プロバイダの署名の少なくとも一方に基づいて第1の識別子の有効性を検査する工程と、
    c)第2のサービス・プロバイダの署名及び第2の識別子を含む第2の証明書を生成する工程とを含み、第2の識別子は第1の識別子に対応する。]
    [0025] 前述の方法の使用により、患者の実の識別情報を知ることなく、偽識別子を含む新たな証明書を作成することが可能であるという利点がもたらされる。]
    [0026] セキュリティを向上させるために、第2の証明書は任意的には、第2の証明書を所有していることを検証するために使用することが可能な、公開鍵、秘密sのハッシュ、生体パラメータ、及び他の情報の何れか1つを更に含み得る。]
    [0027] 任意的には、方法は、第2の識別子に関連付けられたレコードとして第2の識別子と、第1の識別子に関連付けられたレコードとを関連付ける工程を更に含む。]
    図面の簡単な説明

    [0028] HITSPによって開発されたアーキテクチャを示す図である。
    本発明の一実施例による証明書を示す図である。
    本発明の一実施例による情報交換処理を示す図である。
    本発明の一実施例による証明書を生成する方法を示す図である。
    本発明の一実施例による情報交換システムを示すブロック図である。]
    [0029] 本発明の前述及び他の局面、構成、及び/又は効果は、後述する実施例を参照すると、明らかであり、明らかにされるであろう。]
    [0030] 本発明の実施例は、例示の目的のみで説明する。]
    [0031] 図2は、例として、証明書のコンテンツの実施例を示す。証明書は、偽名化サービスの署名及び偽識別子を含む。偽識別子は、偽名化サービス・プロバイダによって生成され、現在の保健/医療情報管理システム(例えば、患者が登録する病院)における患者を識別するために使用される。偽識別子のみから患者の実の識別情報を導き出すことは可能でない。偽名化サービスの署名は、偽名化サービス・プロバイダによって生成され、偽識別子を検証するために使用することが可能である。証明書は、偽名化サービス・プロバイダについての情報を導き出すために使用することも可能である。任意的には、証明書は、現在の偽名化サービス・プロバイダによって生成された新たな偽識別子と、先行する識別子との間の関連付け、及び患者の1つの先行識別子が記憶される識別子マネージャ(例えば、PIXマネージャ)についての情報を導き出すために更に使用することが可能である。先行識別子は、患者の実の識別情報であり得、その場合、病院は、患者にとって最初に登録された病院である。先行識別子は、別の偽名化サービス・プロバイダによって生成された偽識別子でもあり得、その場合、現在の病院は、患者にとっての最初に登録された病院でなく、偽識別子を備えた証明書を持っている患者が現在の病院を訪問する。後者の場合、患者にとって最初に登録された病院を導き出すために再帰的手法を使用することが可能である。] 図2
    [0032] 別の実施例では、証明書は任意的には、公開鍵の対の公開鍵を含み得る。この証明書では、公開鍵が、患者の偽識別子に関連付けられるので、患者は、公開鍵の対の秘密鍵を使用して一部の文書に署名することが可能であり、他者は、公開鍵を使用して、自分の実の識別情報を開示することなく署名を検証することが可能である。公開鍵を使用して患者をオンラインで(例えば、インターネット又は専用イントラネットを介して)検証するということは利点である。この場合、公開鍵は任意的には、偽名化サービスの署名を生成する際に考慮に入れられ、それにより、証明書のセキュリティが更に向上する。]
    [0033] 別の実施例では、証明書は任意的には、証明書が患者に属するというセキュリティを向上させるために使用される更なるデータセットを含む。この場合、更なるデータセットは任意的には、偽名化サービスの署名を生成する際に考慮に入れられ、それにより、証明書のセキュリティが更に向上する。医師が、正しい患者及び正しい健康レコードを扱っているか否かを確かめることが可能であるということは利点である。更なるデータセットは、患者に既知の、秘密sのハッシュであり得る。秘密sは、患者に既知の所定のパラメータ、患者の実の識別情報、又は患者の個人情報(例えば、患者の名前、誕生日、旅券番号等)であり得る。ハッシュ関数は、ゼロ知識証明が存在している一方向関数であるので、患者は、自分の識別情報を明らかにすることなく、自分の偽名を備えた証明書が実際に自分のものであるということを医師に証明することが可能である。ハッシュ関数の結果から、患者の実の識別情報を導き出すことはほとんど不可能である。]
    [0034] 別の実施例では、更なるデータセットは任意的には、1つ又は複数の生体パラメータを含む。指紋、虹彩等などの生体パラメータは、患者の生理的な特性の特徴を表すために使用され、公開データベースには記憶されない。前述の実現形態は2つの利点を有する。第1は生体パラメータが常に、患者の体から入手可能であるという点であり、第2は、生体データを患者の実の識別情報に関係付けることが可能でなく、偽造が困難であるという点である。公開鍵及び更なるデータセットを証明書に組み入れることも可能である。]
    [0035] 図2に示す証明書は、本発明の一実施例による情報交換プロセスを示す図3において使用することが可能である。患者が病院A及びPIXマネージャAに登録し、第1の偽名化サービス・プロバイダによって発行された、偽名化サービスの署名及び偽の第1の識別子を含む証明書を得ているものとする。次に、患者は、別の偽名化サービス及び別の偽識別子システムを採用する別の都市又は国における病院を訪問する。現在訪問している病院(例えば、病院B及びPIXマネージャB)において自分の元の証明書を患者が使用することは面倒である。情報交換プロセスの工程310では、患者は、自分の元の証明書を使用することにより、まず、病院Bに登録する。病院Bでは、証明書を読み取り、第1の識別子及び第1のサービス・プロバイダを抽出するよう構成されたリーダが存在している。工程320では、リーダは第1の識別子及び署名を抽出する。任意的には、リーダは、署名に基づいて第1の識別子の有効性を検査し、又は、第1の識別子及び署名を別のエンティティに送出して、第1の識別子を検証する。工程330では、病院B及びPIXマネージャBにおいて使用することが可能な第2の偽識別子が生成される。工程340では、第1のサービス・プロバイダの署名、第1の識別子、及び第2の識別子は第1の識別子マネージャ(例えば、PIXマネージャB)に送出される。任意的には、第1のサービス・プロバイダの署名に基づいて工程345でPIXマネージャBにおける第1の識別子の有効性が検査される。工程350では、PIXマネージャBは第2の識別子を第1の識別子と関連付ける。実際には、第1の識別子は、病院A/PIXマネージャAにおいて患者によって使用される偽識別子である一方、第2の識別子は、病院B/PIXマネージャBにおいて同じ患者によって使用される別の偽識別子である。工程360では、PIXマネージャBは第2の識別子マネージャ(例えば、PIXマネージャA)についての情報を証明書に基づいて抽出する。第1のサービス・プロバイダの署名及び/又は第1の識別子からの情報を抽出することも可能にする。工程370では、PIXマネージャBは、第1の識別子マネージャ(例えば、PIXマネージャA)に、第1の識別子に関連付けられた元のレコードを要求する。少なくとも第1の識別子が要求に含まれる。第1の識別子のレコードを見つけ、もう一度PIXマネージャBに送出する旨をPIXマネージャBが第1のサービス・プロバイダに要求することも実用的である。これは、特に、PIXマネージャBにより、第2の識別子マネージャを導き出すことが可能でない場合に、更なる利点をもたらす。患者が病院A/PIXマネージャAにおいて登録した後、証明書が第1のサービス・プロバイダによって生成されるので、第1のサービス・プロバイダが病院A及びPIXマネージャAを見つけるのは容易である。PIXマネージャBから要求を受け取ると、PIXマネージャAの識別子マッピング装置は、工程380で、第1の識別子を第3の識別子にマッピングし、工程390で第3の識別子に関連付けられたレコードを要求する旨の要求をデータベース(例えば、病院Aの構成要素)に送出する。第3の識別子に関連付けられたレコードが取り出された後、第2の識別子マネージャにおける送出器は工程395において、病院Bに配置された受信器に第1の識別子に関連付けられた、要求されたレコードとして、取り出されたレコードを送出する。] 図2 図3
    [0036] 図3に示す実施例は、訪問している病院(例えば、病院B/PIXマネージャB)に患者の実の識別情報を送出することが決して可能でないということを明確に示している。よって、後の診断において、必要な健康レコードが利用される一方、患者のプライバシが保護される。] 図3
    [0037] 図3に示す実施例では、第2の識別子マネージャにおける識別子マッピング装置によって求められた第3の識別子は、患者の実の識別情報であり得るが、病院Aにおいて患者によって使用される別の偽識別子でもあり得る。第3の識別子が偽識別子である場合、病院A/PIXマネージャAは、図3の実施例に記載されたものと同様な方法を使用して、偽識別子を発行し、使用する別の病院/PIXマネージャを見つけることが可能である。患者が使用する偽識別子の数にかかわらず、再帰的手法を使用することにより、患者の健康/医療レコードを保持する病院を位置特定することが容易になる。] 図3
    [0038] 図3に示す実施例では、第2の識別子は工程330でリーダによって生成される。図4に示す実施例に示された方法を使用することにより、第2の識別子を生成することも実用的である。第1のサービス・プロバイダの署名及び第1の識別子が工程410でリーダによって抽出された後、リーダは、工程420で、第2の偽識別子を生成する旨の要求を第2の偽名化サービス・プロバイダに送出する。工程430では、第2の偽名化サービス・プロバイダは、病院B及びPIXマネージャBが理解することが可能である第2の偽識別子を生成し、これをもう一度、リーダに送出する。任意的には、第1のサービス・プロバイダの署名及び第1の識別子の有効性は工程425で検査される。有効性検査が首尾良く行われなかった場合、要求を拒否し、その理由(例えば、証明書が偽造されている)をリーダに示すことが合理的である。リーダは、工程440で、第2の識別子を第1の識別子と関係付ける。これまで、患者に関連付けられた第2の識別子が、生成されており、病院Bにおいて使用することが可能である。第1の偽識別子に関連付けられたレコードが利用可能になった後、レコードを工程450で第2の識別子と関連付けることが容易であり、よって、患者の先行するレコードが病院Bで使用可能である。患者の実の識別情報は開示されない。] 図3 図4
    [0039] 図5は、例として、本発明の一実施例による情報交換システムを示す。情報交換システム500は、リーダ510、第1の識別子マネージャ520、及び受信器530を含む。リーダ510は、第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出し、第1の識別子に対応する第2の識別子を生成するよう構成される。第1の識別子マネージャ520は、第1の識別子を第2の識別子と関連付け、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方に、第1の識別子に関連付けられたレコードを要求する旨の要求を送出するよう構成される。第2の識別子マネージャについての情報は、第1の証明書(例えば、第1の識別子、第1のサービス・プロバイダの署名、又はそれらの組合せ)から導き出すことが可能である。受信器530は、第2の識別子マネージャ及び第1のサービス・プロバイダの何れか一方から、要求されたレコードを受信し、要求されたレコ—ドを第2の識別子と関連付けるよう構成される。] 図5
    [0040] システム500は、マッピング装置542、保健/医療情報データベース544、及び送出器546を更に備える第2の識別子マネージャ540を更に備え得る。マッピング装置542は、第3の識別子に第1の識別子マネージャから送出された要求に含まれる第1の識別子をマッピングするよう構成される。データベース544は、第3の識別子に関連付けられたレコードを取り出すよう構成される。送出器546は、第1の識別子に関連付けられた要求されたレコードとして、取り出されたレコードを受信器に送出するよう構成される。]
    [0041] 任意的には、システム500は、偽識別子及び証明書を生成する第1のサービス・プロバイダ550を更に備える。第1のサービス・プロバイダ550は、第1の識別子マネージャ520から要求を受信し、受信された要求に含まれる第1の識別子に対応する第3の識別子を求めるよう更に構成される。第1のサービス・プロバイダ550は次いで、第3の識別子に関連付けられたレコードを求める旨を第2の識別子マネージャ540に要求する。その後、第3の識別子に関連付けられたレコードは、第1の識別子に第1のサービス・プロバイダ550から受信器530に関連付けられたレコードとして送出することが可能である。]
    [0042] 本発明の実施例に開示された方法及び装置を利用することにより、情報の交換という目的(例えば、患者のプライバシの開示を阻止する一方で、別々の保健/医療情報管理システム間での保健/医療レコードの交換という目的)を達成することは容易である。]
    [0043] 本発明は、ハードウェア、ソフトウェア、ファームウェア、又は前述の何れかの組み合わせを含む何れかの適切な形態で実現することができる。本発明、又はその構成の一部はコンピュータ・ソフトウェアとして実現することが可能である。本発明の実施例の構成要素及び構成部分は、何れかの適切なやり方で物理的、機能的、及び論理的に実現することができる。実際に、機能は、単一のユニットで実現しても、複数のユニットで実現しても、他の機能ユニットの一部として実現してもよい。そういうものとして、本発明は、単一のユニットで実現することができるか、又は、別々のユニット及びプロセッサ間で物理的かつ機能的に分散していることがあり得る。]
    実施例

    [0044] 本発明は、特定の実施例に関して説明してきたが、本明細書及び特許請求の範囲記載の特定の形態に限定することを意図するものでない。むしろ、本発明の範囲は、特許請求の範囲によってのみ限定される。特許請求の範囲では、「comprises」という動詞及びその活用形を使用していることは、他の構成要素又は構成工程が存在していることを排除するものでない。個々の構成を別々の請求項に含めていることがあり得るが、これらは、場合によっては、組み合わせることが効果的であり得るものであり、別々の請求項に含めていることは、構成の組み合わせが実施可能でないこと及び/又は効果的でないことを示唆しているものでない。更に、単数形の参照は複数形を排除するものでない。よって、「a」、「an」、「first」、「second」等への参照は複数形を排除するものでない。更に、特許請求の範囲における参照符号は、当該範囲を限定するものと解されるべきでない。]
    权利要求:

    請求項1
    情報交換システムであって、第1のサービス・プロバイダの署名及び第1の識別子を証明書から抽出し、前記第1の識別子に対応する第2の識別子を生成するよう構成されたリーダと、前記第1の識別子を前記第2の識別子と関連付け、前記第1の識別子と関連付けられたレコードを要求する旨の要求を第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方に送出するよう構成された第1の識別子マネージャと、前記第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方から前記要求されたレコードを受信し、前記受信されたレコードを前記第2の識別子と関連付けるよう構成された受信器とを備える情報交換システム。
    請求項2
    請求項1記載の情報交換システムであって、前記第2の識別子マネージャは更に、前記第1の識別子を第3の識別子にマッピングするよう構成された識別子マッピング装置と、前記第3の識別子と関連付けられたレコードを取り出すよう構成されたデータベースと、前記第1の識別子と関連付けられた前記レコードとして、前記取り出されたレコードを前記受信器に送出するよう構成された送出器とを備える情報交換システム。
    請求項3
    請求項1記載の情報交換システムであって、識別子を生成するよう構成された第2のサービス・プロバイダを更に備え、前記リーダ及び前記第1の識別子マネージャの何れか一方は、前記第2のサービス・プロバイダに第4の識別子を要求するよう更に構成され、前記リーダは、受信された第4の識別子を前記第2の識別子として設定するよう更に構成される情報交換システム。
    請求項4
    請求項3記載の情報交換システムであって、前記第2のサービス・プロバイダは、前記第2のサービス・プロバイダの署名及び前記第4の識別子を備える第2の証明書を生成するよう更に構成される情報交換システム。
    請求項5
    請求項4記載の情報交換システムであって、前記リーダは、前記第1の識別子マネージャ及び前記受信器の少なくとも一方に前記第2の証明書を送出するよう更に構成される情報交換子システム。
    請求項6
    請求項1記載の情報交換システムであって、前記第1の識別子及び前記第2の識別子はそれぞれ、対応する偽名化サービス・プロバイダによって生成される偽識別子であり、前記第1のサービス・プロバイダの前記署名は、前記第2の識別子マネージャ及び前記第1のサービス・プロバイダの少なくとも一方についての情報を提供する情報交換システム。
    請求項7
    請求項6記載の情報交換システムであって、前記証明書は、前記証明書と前記患者との間の関係付けを検査するために公開鍵の対の公開鍵を更に備える情報交換システム。
    請求項8
    請求項6記載の情報交換システムであって、前記証明書は前記証明書と前記患者との間の関係付けを検査するために更なるデータセットを更に備える情報交換システム。
    請求項9
    請求項8記載の情報交換システムであって、前記更なるデータセットに基づいた前記関係付けはオフラインで検査される情報交換システム。
    請求項10
    請求項8又は9に記載の情報交換システムであって、前記更なるデータセットは秘密sのハッシュであり、前記sは、前記患者に既知の所定のパラメータ、前記患者の個人情報、及び前記患者の実の識別情報の何れか1つである情報交換システム。
    請求項11
    請求項8又は9に記載の情報交換システムであって、前記更なるデータセットは、前記患者の生理的な特性の特徴を表す少なくとも1つの生体パラメータを含む情報交換システム。
    請求項12
    患者を識別するよう構成された証明書を記憶するカードであって、前記証明書は、偽名化サービス・プロバイダによって生成され、保健情報管理システムに使用するよう構成された第1の偽識別子と、前記偽名化サービス・プロバイダ及び識別子マネージャの少なくとも一方についての情報を含むよう構成された、偽名化サービス・プロバイダの署名とを備え、前記識別子マネージャは、前記第1の偽識別子を識別するよう構成されたカード。
    請求項13
    請求項12記載のカードであって、前記証明書と前記患者との間の関係付けを検査するための公開鍵の対の公開鍵を更に備えるカード。
    請求項14
    請求項12記載のカードであって、前記証明書と前記患者との間の関係付けを検査するために更なるデータセットを更に備えるカード。
    請求項15
    請求項14記載のカードであって、前記更なるデータセットは秘密sのハッシュであり、前記sは、前記患者に既知の所定のパラメータ、前記患者の個人情報、及び前記患者の実の識別情報の何れか1つであるカード。
    請求項16
    請求項15記載のカードであって、前記更なるデータセットは、前記患者の生理的な特性の特徴を表す少なくとも1つの生体パラメータを含むカード。
    請求項17
    情報を取得する方法であって、前記方法は、a)第1の識別子及び第1のサービス・プロバイダの署名を証明書から抽出する工程と、b)前記第1の識別子に対応する第2の識別子を生成する工程と、c)前記第1の識別子に関連付けられたレコードを要求する旨の要求を、第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方に送出する工程と、d)前記第2の識別子マネージャ及び前記第1のサービス・プロバイダの何れか一方から、前記要求されたレコードを受信する工程と、e)前記第2の識別子と、前記要求されたレコードを関連付ける工程とを含む方法。
    請求項18
    請求項17記載の方法であって、f)前記第2の識別子マネージャにおいて第3の識別子に前記第1の識別子をマッピングする工程と、g)前記第3の識別子に関連付けられたレコードを取り出す工程と、h)前記第1の識別子に関連付けられた前記レコードとして、前記取り出されたレコードを受信器に送出する工程とを含む方法。
    請求項19
    請求項18記載の方法であって、前記第3の識別子は、識別番号、運転免許証番号、保険番号、及び医療システムにおける登録番号のうちの何れか1つである方法。
    請求項20
    請求項17記載の方法であって、第2の識別子を生成する工程は、i)前記第2の識別子を要求する旨の要求を第2のサービス・プロバイダに送出する工程と、ii)前記第2のサービス・プロバイダにより、前記第1の識別子に対応する前記第2の識別子を生成する工程とを含む方法。
    請求項21
    請求項20記載の方法であって、前記第1のサービス・プロバイダ及び前記第2のサービス・プロバイダは偽名化サービス・プロバイダであり、前記第1の識別子及び前記第2の識別子は、対応する偽名化サービス・プロバイダによって生成される偽識別子である方法。
    請求項22
    請求項20記載の方法であって、第2の識別子を生成する工程は、前記第2の識別子に対応する第2の証明書を生成する工程を更に含み、前記第2の証明書は、前記第2のサービス・プロバイダの前記署名、及び前記第2の識別子を含む方法。
    請求項23
    請求項22記載の方法であって、前記第2の証明書は、前記第2の証明書を保持する個人と前記第2の証明書との間の関係付けを検査するための更なるデータセット、及び公開鍵の対の公開鍵の何れか一方を更に含む方法。
    請求項24
    第1の証明書に基づいて第2の証明書を生成する方法であって、a)第1の識別子及び第1のサービス・プロバイダの署名を前記第1の証明書から抽出する工程と、b)前記第1の識別子及び前記第1のサービス・プロバイダの前記署名の少なくとも一方に基づいて前記第1の識別子の有効性を検査する工程と、c)第2のサービス・プロバイダの署名及び第2の識別子を含む前記第2の証明書を生成する工程とを含み、前記第2の識別子は前記第1の識別子に対応する方法。
    請求項25
    請求項24記載の方法であって、前記第2の証明書は、公開鍵の対の公開鍵、及び更なるデータセットの何れか一方を更に備え、前記公開鍵の対の前記公開鍵、及び前記更なるデータセットの何れか一方は、前記第2の証明書と、前記第2の証明書を保持している個人との間の関係付けを検査するよう構成される方法。
    請求項26
    請求項24記載の方法であって、前記第1のサービス・プロバイダ及び前記第2のサービス・プロバイダは偽名化サービス・プロバイダであり、前記第1の識別子及び前記第2の識別子はそれぞれ、対応する偽名化サービス・プロバイダによって生成される偽識別子である方法。
    請求項27
    請求項24記載の方法であって、前記第2の識別子に関連付けられた前記レコードとして、前記第2の識別子と、前記第1の識別子に関連付けられた前記レコードを関連付ける工程を更に含む方法。
    类似技术:
    公开号 | 公开日 | 专利标题
    US10678944B2|2020-06-09|Method and system for managing personal information within independent computer systems and digital networks
    US10340038B2|2019-07-02|Healthcare transaction validation via blockchain, systems and methods
    US10706141B2|2020-07-07|Methods and systems for identity creation, verification and management
    US20190258616A1|2019-08-22|Privacy compliant consent and data access management system and methods
    US10326594B2|2019-06-18|Customer due diligence system
    CA2870930C|2017-04-18|System for anonymizing and aggregating protected health information
    US10521623B2|2019-12-31|Digital identity system
    US7945048B2|2011-05-17|Method, system and computer product for securing patient identity
    US8055729B2|2011-11-08|System, method and program product for authenticating an e-mail and/or attachment
    KR101763827B1|2017-08-02|블록체인 기반 의료데이터전송시스템, 방법 및 프로그램
    US7139914B2|2006-11-21|System and method for network security
    JP5008003B2|2012-08-22|System and method for patient re-identification
    Haas et al.2011|Aspects of privacy for electronic health records
    US10579824B2|2020-03-03|Secure access to individual information
    US7170391B2|2007-01-30|Birth and other legal documents having an RFID device and method of use for certification and authentication
    US8042193B1|2011-10-18|Systems and methods for controlling data access by use of a universal anonymous identifier
    US5897989A|1999-04-27|Method, apparatus and system for verification of infectious status of humans
    KR101720268B1|2017-03-27|환자정보 보호를 위한 의료영상의 클라우드 데이터베이스 구축 및 판독 방법
    US10210321B2|2019-02-19|Digital identity
    US20120095923A1|2012-04-19|Systems and methods for constructing a local electronic medical record data store using a remote personal health record server
    Kobayashi et al.2009|Providing integrity and authenticity in DICOM images: a novel approach
    US7519591B2|2009-04-14|Systems and methods for encryption-based de-identification of protected health information
    US7509499B2|2009-03-24|Secure token access distributed database system
    JP6768960B2|2020-10-14|2D barcode processing methods, devices, and systems
    WO2016128568A1|2016-08-18|Authentication of web content
    同族专利:
    公开号 | 公开日
    US8621234B2|2013-12-31|
    US20110016328A1|2011-01-20|
    JP5662158B2|2015-01-28|
    WO2009083922A1|2009-07-09|
    CN101911090B|2014-01-15|
    EP2229650A1|2010-09-22|
    CN101911090A|2010-12-08|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    JPH08263577A|1994-12-30|1996-10-11|Ortho Pharmaceut Corp|System for tracking safety medical test cards|
    JP2002245388A|2001-02-14|2002-08-30|Nippon Telegr & Teleph Corp <Ntt>|ネットワーク上のサービス利用に対する課金決済処理方法及びそのシステム|
    JP2003109053A|2001-09-27|2003-04-11|Amano Corp|カード匿名id出力装置及び各種施設用駐車場管理装置|
    JP2004038270A|2002-06-28|2004-02-05|Ntt Communications Kk|個人情報アクセス制御方法、端末、システム、並びに、プログラム|
    JP2004126887A|2002-10-01|2004-04-22|Ntt Docomo Inc|認証決済方法、端末装置、サービス提供装置、認証決済装置、制御情報提供装置及び認証決済システム|
    JP2004289720A|2003-03-25|2004-10-14|Mitsubishi Electric Information Systems Corp|電子署名システム及びそれをコンピュータに実行させるプログラム|
    JP2004334433A|2003-05-06|2004-11-25|Nippon Telegr & Teleph Corp <Ntt>|オンラインサービスにおける匿名化方法、ユーザの識別子の管理方法、匿名化装置、匿名化プログラム、及びプログラム記憶媒体|
    JP2007148903A|2005-11-29|2007-06-14|Toshiba Corp|属性証明書処理システム、属性証明要求装置、属性証明書発行装置、属性検証装置、属性証明要求方法、属性証明書発行方法、属性検証方法及びプログラム|
    JP2007299396A|2006-04-27|2007-11-15|General Electric Co <Ge>|System and method for patient re-identification|JPWO2014050027A1|2012-09-28|2016-08-22|パナソニックIpマネジメント株式会社|情報管理方法および情報管理システム|US6148342A|1998-01-27|2000-11-14|Ho; Andrew P.|Secure database management system for confidential records using separately encrypted identifier and access request|
    US20020073138A1|2000-12-08|2002-06-13|Gilbert Eric S.|De-identification and linkage of data records|
    US20050043964A1|2001-10-11|2005-02-24|Christian Thielscher|Data processing system for patent data|
    US7543149B2|2003-04-22|2009-06-02|Ge Medical Systems Information Technologies Inc.|Method, system and computer product for securing patient identity|
    US7844717B2|2003-07-18|2010-11-30|Herz Frederick S M|Use of proxy servers and pseudonymous transactions to maintain individual's privacy in the competitive business of maintaining personal history databases|
    AU2004201058B1|2004-03-15|2004-09-09|Lockstep Consulting Pty Ltd|Means and method of issuing Anonymous Public Key Certificates for indexing electronic record systems|
    JP2007531124A|2004-03-26|2007-11-01|コンヴァージェンスシーティー|患者医療データ記録のアクセス及び利用を制御するためのシステム及び方法|
    CN1961605A|2004-05-28|2007-05-09|皇家飞利浦电子股份有限公司|保密信息分发系统|
    US20070027715A1|2005-06-13|2007-02-01|Medcommons, Inc.|Private health information interchange and related systems, methods, and devices|
    CN1956459A|2005-10-27|2007-05-02|日电(中国)有限公司|虚拟用户标识符系统和方法|
    DE102006012311A1|2006-03-17|2007-09-20|Deutsche Telekom Ag|Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten|
    US7853581B2|2006-11-21|2010-12-14|Braincon Handels-Gmbh|Data processing system for the processing of object data|WO2010044014A1|2008-10-14|2010-04-22|Koninklijke Philips Electronics N.V.|Content item identifier|
    WO2010044056A2|2008-10-14|2010-04-22|Koninklijke Philips Electronics N.V.|Method and apparatus for pseudonym generation and authentication|
    US9167028B1|2009-09-10|2015-10-20|AppDynamics, Inc.|Monitoring distributed web application transactions|
    US8938533B1|2009-09-10|2015-01-20|AppDynamics Inc.|Automatic capture of diagnostic data based on transaction behavior learning|
    US10230611B2|2009-09-10|2019-03-12|Cisco Technology, Inc.|Dynamic baseline determination for distributed business transaction|
    CN102262707B|2010-05-28|2016-01-13|南德克萨斯加速研究治疗有限责任公司|用于管理临床研究数据的机器和方法|
    GB201101805D0|2011-02-02|2011-03-16|Oka Bi Ltd|Computer system and method|
    DE102011003784B3|2011-02-08|2012-08-16|Siemens Aktiengesellschaft|Securing access to distributed data in an insecure data network|
    US9311598B1|2012-02-02|2016-04-12|AppDynamics, Inc.|Automatic capture of detailed analysis information for web application outliers with very low overhead|
    KR20130137489A|2012-06-07|2013-12-17|주식회사 케이티|서비스 제공 방법 및 시스템|
    EP2883178A2|2012-08-01|2015-06-17|Koninklijke Philips N.V.|Federated patient guaranteed unique identificationmatching|
    WO2014038034A1|2012-09-06|2014-03-13|富士通株式会社|情報処理システム,情報処理方法,プログラム|
    EP2782041B1|2013-03-22|2018-11-14|F. Hoffmann-La Roche AG|Analysis system ensuring that sensitive data are not accessible|
    JP6079394B2|2013-04-11|2017-02-15|富士通株式会社|Certificate generation method, certificate generation apparatus, information processing apparatus, communication device, and program|
    CN106598965B|2015-10-14|2020-03-20|阿里巴巴集团控股有限公司|一种基于地址信息的账户映射方法及装置|
    EP3176714A1|2015-12-01|2017-06-07|Siemens Healthcare GmbH|Gesichertes teilen von medizinischen bildern|
    US10747901B2|2018-03-16|2020-08-18|Sap Se|High-dimensional data anonymization for in-memory applications|
    法律状态:
    2011-12-22| A621| Written request for application examination|Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111221 |
    2013-07-16| A977| Report on retrieval|Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130716 |
    2013-08-14| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130813 |
    2013-11-12| A601| Written request for extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131111 |
    2013-11-19| A602| Written permission of extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131118 |
    2014-02-14| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140213 |
    2014-05-21| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140520 |
    2014-08-20| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140819 |
    2014-10-31| TRDD| Decision of grant or rejection written|
    2014-11-12| A01| Written decision to grant a patent or to grant a registration (utility model)|Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141111 |
    2014-12-11| A61| First payment of annual fees (during grant procedure)|Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141204 |
    2014-12-12| R150| Certificate of patent or registration of utility model|Ref document number: 5662158 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
    2017-12-19| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2018-12-11| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2019-12-17| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2020-12-08| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    优先权:
    申请号 | 申请日 | 专利标题
    [返回顶部]