Changes between Version 10 and Version 11 of Archtectural Overview Security

Timestamp:

Nov 21, 2007, 10:33:44 PM (16 years ago)

Author:

KOBAYASHI, Shinji

Comment:

--

Archtectural Overview Security

@@ -16 +16 @@
 Privacy, Confidentiality and Consent
 
-プライバシー（個人データを閲覧できる人を限定する権利）及び機密保護（開示されたデータのプライバシーの尊重についての閲覧者の責務）は、e-ヘルス・システムに関する多くの利用者の主要な関心事である。広く受け容れられた原則は、ケアの過程において患者からの信頼に基づいて医療専門職に提供された情報（直接か、検体等の観察や検査によるものかを問わず）は、患者が承認した場合にのみ第三者に手渡され、またその利用に供せられるべきである、より簡潔には、「データ共有には患者の同意による統制が必須」ということである。患者によってはさらに複雑な追加要件があって、健康情報の部分毎に異なるアクセスを許す、たとえば、大部分の健康情報は比較的オープンにアクセスを許容するが、性または精神関連の健康項目についてはアクセスを制限するということがある。健康情報の内部関係性がこのことを難しくしている。たとえば、診断が秘匿されていても、投薬リストによってセンシティブな状態が明らかになってしまうことがよくある。にもかかわらず、すべからく安全な治療にはリストが必要であり、多くの臨床専門職にとって現在の投薬内容（及びアレルギー）情報が利用できなければごく基本的なケアを行うためにも大きな問題となろう。
+プライバシー（個人データを閲覧できる人を限定する権利）及び機密保護（開示されたデータのプライバシーの尊重についての閲覧者の責務）は、eHealthシステムに関する多くの利用者の主要な関心事である。広く受け容れられた原則は、ケアの過程において患者からの信頼に基づいて医療専門職に提供された情報（直接か、検体等の観察や検査によるものかを問わず）は、患者が承認した場合にのみ第三者に手渡され、またその利用に供せられるべきである、より簡潔には、「データ共有には患者の同意による統制が必須」ということである。患者によってはさらに複雑な追加要件があって、健康情報の部分毎に異なるアクセスを許す、たとえば、大部分の健康情報は比較的オープンにアクセスを許容するが、性または精神関連の健康項目についてはアクセスを制限するということがある。健康情報の内部関係性がこのことを難しくしている。たとえば、診断が秘匿されていても、投薬リストによってセンシティブな状態が明らかになってしまうことがよくある。にもかかわらず、すべからく安全な治療には投薬内容のリストが必要であり、多くの臨床専門職にとって現在の投薬内容（及びアレルギー）情報が利用できなければごく基本的なケアを行うためにも大きな問題となろう。
 
 Privacy (the right to limit who sees the personal data) and confidentiality (the obligation of others to respect the privacy of disclosed data) are primary concerns of many consumers with respect to e-Health systems. A widely accepted principle is that information provided (either directly or due to observation or testing of specimens etc.) in confidence by a patient to health professionals during an episode of care should only be passed on or otherwise become available to other parties if the patient agrees; put more simply: data sharing must be controlled by patient consent. A more complex sub-requirement for some patients is allowing differential access to parts of their health record, for example, relatively open access rights to most of the health record, but limited access to sexual or mental health items. The interrelatedness of health information can make this difficult. For example the medication list will often give away sensitive conditions even if the diagnosis is hidden, yet is needed for any safe treatment, and many health professionals would see the unavailability of current medications (and allergies) information as highly problematic for giving even basic care.
@@ -36 +36 @@
 Specifying Access Control
 
-理論的には、患者や一部の医療専門職にとって、誰が患者レコードを見ることができるかを特定することは容易なことであろう。場合によっては、直接識別による特定、たとえば患者が長期の主治医を提供者IDでノミネートするといったことが可能である。除外設定なども同じやり方でできるかもしれない。たとえば、以前の医師について患者との個人的な関係に問題が生じた場合である。
+理論的には、患者や一部の医療専門職にとって、誰が患者レコードを見ることができるかを特定することは容易なことであろう。場合によっては、直接識別による特定、たとえば患者が長期の主治医を提供者IDで指名するといったことが可能である。除外設定なども同じやり方でできるかもしれない。たとえば、以前の医師について患者との個人的な関係に問題が生じた場合である。
 
 In theory, it should be easy for the patient or some clinical professional to specify who can see the patient record. In some cases it is can be done by direct identification, e.g. the patient might nominate their long-term GP by provider id. Some exclusions could potentially be made this way as well, for example a previous doctor with whom the patient has a problematic personal relationship.
 
-だが、提供者側を個別に特定することは、患者が多数のスタッフが働くヘルスケア・システムに組み込まれていったり、及び／または、あらかじめ構築された関係が全くないような場合には、直ちに困難になる。e-処方箋やe-調剤の出現は、e-ヘルスのマトリックス上にさらに大量の医療及び医療周辺従事者をもたらし、誰が患者データを見るべきかの個別指定という課題を実行不可能なものにしている。さらに、「定住しない」人々（軍人、芸能人、NGO職員、国際ビジネスマン、旅行業者、スポーツ選手…）のカテゴリーが大量にいて、かつ増加しており、この人たちについてはどこの国でケアが必要になるかさえ予知できない。この結果、カデゴリーやロール・タイプによって指定されるべきある種のアクセス制御が、不可避的に必要なものとなる。
+だが、提供者側を個別に特定することは、患者が多数のスタッフが働くヘルスケアシステムに組み込まれていったり、及び／または、あらかじめ構築された関係が全くないような場合には、直ちに困難になる。e-処方箋やe-調剤の出現は、eHealthのマトリックス上にさらに大量の医療及び医療周辺従事者をもたらし、誰が患者データを見るべきかの個別指定という課題を実行不可能なものにしている。さらに、「定住しない」人々（軍人、芸能人、NGO職員、国際ビジネスマン、旅行業者、スポーツ選手…）のカテゴリーが大量にいて、かつ増加しており、この人たちについてはどこの国でケアが必要になるかさえ予知できない。この結果、カデゴリーやロール・タイプによって指定されるべきある種のアクセス制御が、不可避的に必要なものとなる。
 
 However it soon becomes difficult to identify provider parties individually when the patient moves into parts of the healthcare system where there are many staff, and/or where there is no previously established relationship. The advent of e-prescribing and e-pharmacy will bring even larger numbers of health and allied health workers into the e-Health matrix, making the problem of individual identification of who should see the patient's data infeasible. Further, there is a large and growing category of "very mobile" people (the military, entertainers, NGO workers, international business and tourism professionals, athletes....) who cannot predict even in which country they may require care. As a consequence, the need for some access control to be specified in terms of categories or role types appears inescapable.
@@ -48 +48 @@
 The Problem of Roles
 
-健康情報へのアクセス制御を実装するための困難な課題のひとつは、「ロール」すなわち、アクセス権付与が決定される時点におけるレコード上のユーザのステータスの定義である。原則としては、ロールはあらかじめ判明していてしかるべきである。たとえば、「看護士」、「一般内科医（GP)」、「精神科医」といったラベルは、比較的容易に個人にアサイン可能である。だが、もっと重要な種類のラベルは、（たとえば）個人的ケア提供者（例：主治医）、他のケア提供スタッフ（例：看護士や老人介護士）、サポート・スタッフ（例：病理医、放射線技師）といった人たちを区別するためのものである。患者へのケア提供という観点からすると、ヘルスケア専門職の専門レベルよりも、彼または彼女のその患者への現時点でのケア・プロセスとの関係性の方がおそらく重要のはずだ。
+健康情報へのアクセス制御を実装するための困難な課題のひとつは、「ロール」すなわち、アクセス権付与が決定される時点におけるレコード上のユーザのステータスの定義である。原則としては、ロールはあらかじめ判明していてしかるべきである。たとえば、「看護師」、「一般内科医（GP)」、「精神科医」といったラベルは、比較的容易に個人にアサイン可能である。だが、もっと重要な種類のラベルは、（たとえば）個人的ケア提供者（例：主治医）、他のケア提供スタッフ（例：看護師や老人介護士）、サポート・スタッフ（例：病理医、放射線技師）といった人たちを区別するためのものである。患者へのケア提供という観点からすると、ヘルスケア専門職の専門レベルよりも、彼または彼女のその患者への現時点でのケア・プロセスとの関係性の方がおそらく重要のはずだ。
 
 One of the difficult challenges to implementing access control to health information is that of defining "roles", i.e. the status of users of the record at the time when right of access is being determined. In principle, roles ought to be knowable in advance. For example, the labels "nurse", "GP" and "psychiatrist" can be relatively easily assigned to individuals. However, the kinds of labels that are of more importance are those that differentiate among (for example) personal carers (e.g. primary GP), other care delivery staff (e.g. nurses, aged carers) and support staff (e.g. pathologists, radiographers). In a patient care delivery-oriented view of the world, the professional level of a health care professional is probably less important than his or her relationship to the current care process for the patient.
 
-どの個人がいつの時期にこれらのカテゴリーのどれに当てはまるのか、あるいはこのような用語は異なるサイトや所轄においてもいかように定義されるのか、といったことは常に明白というわけではない。現実的には、「ケア提供者」といったロール・カテゴリーを、特定日における病棟看護士のそれといった特定のアイデンティティとして評価することは、EHRの中ではなく個別のケア提供環境の中で行われなければならない。従って、EHR内の情報へのアクセスの意志決定は、所与の患者のケア・プロセスにおいてスタッフが能動的に関与している提供サイトのナレッジにある程度依存することになろう。
+どの個人がいつの時期にこれらのカテゴリーのどれに当てはまるのか、あるいはこのような用語は異なるサイトや所轄においてもいかように定義されるのか、といったことは常に明白というわけではない。現実的には、「ケア提供者」といったロール・カテゴリーを、特定日における病棟看護師のそれといった特定のアイデンティティとして評価することは、EHRの中ではなく個別のケア提供環境の中で行われなければならない。従って、EHR内の情報へのアクセスの意志決定は、所与の患者のケア・プロセスにおいてスタッフが能動的に関与している提供サイトのナレッジにある程度依存することになろう。
 
 It will not always be clear which individuals fall into any of these categories at any time, or how such terms are even defined in different sites and jurisdictions. Realistically, the evaluation of a role category such as "care deliverer" into particular identities such as those of nurses on the ward on a particular day must be done in each care delivery environment, not in the EHR. Access decisions for information in the EHR therefore will have some dependence on provider site knowledge of which staff are actively involved in the care process of a given patient. 
@@ -134 +134 @@
   * Anonymity: the content of the health record is separate from identifying demographic information. This can be configured such that theft of the EHR provides no direct clue to the identity of the owning patient (indirect clues are of course harder to control). Stealing an identified EHR involves theft of data from two servers, or even theft of two physical computers, depending on deployment configuration. 
 
+=== アクセス制御 ===
+
 Access Control 
+
+ * アクセスリスト：アクセス制御のもっとも重要な原則は，ユーザーのアイデンティティ（誰が患者をケアしているのか）と時間（現在のケアのエピソードが継続され，どのくらい持続するのが妥当か，あとどのくらい続けられるのか）の双方について「関連性」を持つことである。EHRで定義することができるアクセス制御リストは，識別された個人やカテゴリーを示すものであり，カテゴリーにはロールタイプや特定のスタッフグループが示されるものである。
+
   * Access list: the overriding principle of access control must be "relevance" both in terms of user identity (who is delivering care to the patient) and time (during the current episode of care, and for some reasonable, limited time afterward). An access control list can be defined for the EHR, indicating both identified individuals and categories, the latter of which might be role types, or particular staff groups. 
   * Access control of access settings: a gate-keeper controls access to the EHR access control settings. The gate-keeper is established at the time of EHR creation as being one of the identities known in the EHR, usually the patient for mentally competent adults, otherwise a parent, legal guardian, advocate or other responsible person. The gate-keeper determines who can make changes to the access control list. All changes to the list are audit-trailed as for normal data (achieved due to normal versioning).