導入資料
2014年10月8日 9.0版
Agenda
1.全体スケジュール
2. との接続
3.運用検討
4.広報活動
5.接続テスト
6.操作説明
7.閲覧施設テスト
8.本稼動
9.閲覧施設展開
1.全体スケジュール
作業内容 分担 2ヶ月前 1ヶ月前 S-In後
Internet 環境準備 病院
Gateway環境構築 HIS, NEFI, SEC 運用検討 ・開示データの選定 ・地域連携ボタン ・同意の取得方法 病院、HIS、SEC 広報活動 ・ 院内、連携先他 病院 接続テスト ・オーダー・電子カル テ ・DICOM Q/R ・各種レポート HIS、 SEC 操作指導 病院、HIS 閲覧施設テスト 病院、HIS 本稼動 病院、HIS、SEC 閲覧施設展開 病院 ※閲覧施設の総数によりますが、先方の都合もあるため、S-In後順次展開するのが望ましいと考えます。
2. との接続(全体)
INTERNET Trust UnTrust DMZ 1 2 4 3 1 2 3 4 Internet接続、ADSLモデム、ONU F/W装置(VPN装置)ID-Link Gateway Server (以降、Gateway) L3 スイッチ 5 HIS ネットワーク 6 PACS、他部門 ネットワーク 6 開示施設内
以下のような構成で サービスをご利用頂きます。
5 7 Internet VPN 機器 Or 常時接続VPN 機器 7 クライアントID-Link Appliance Server (以降、Appliance)
インターネット接続、ADSLモデム、ONUについて
1 ONU等は、通信キャリア が推奨する機器を使用してください。 PACS画像を開示する場合は、光ケーブルによる接続回線(光フレッツネクスト等)を推奨します。 既設の光回線がある場合、ISPへマルチセッションの申し込みをして頂き、HUBを介し ID-Link 用 のVPN接続に割り当てることも可能です。(下図 右側)回線引き込み工事、ONUの費用は、
Appliance構築費用、 の月額使用料に含まれません。
1 2 Internet VPN Or 常時接続VPN HUB 既設 Router or FireWall 1 2 Internet VPN Or 常時接続VPN 新規 or 既設の回線と共用しない場合 既設の回線を分岐させて利用する場合2. との接続(インターネット回線)
常時接続VPN について
NTT-DATAが提供する、厚生労働省のガイドラインに準拠※1した、閉域網接続です。 閉域網との接続用Routerは、冗長構成(Active、Standby)をとります。(緑点線枠囲みの部分) この機器の費用は、閉域網の利用料に含まれます。 閉域網接続用Routerと、DMZ、Trust 接続を接続するためのFirewall(以下、F/W) が必要です。 F/Wは、Applianceの見積もりに含まれています。 NTT-光フレッツネクストの契約が必要ですが、グローバルIPは不要です。閉域網との接続費用は、
Appliance構築費用、 の月額使用料に含まれません。
HUB 閉域網接続用Router Standby 2 閉域網接続用Router Active HUB 1 2 4 3 F/W2. との接続(常時接続VPN)
インターネット接続業者との契約が必要です。
(プロバイダーの制限はありません。CATV経由でも構いません) グローバルIPが1つ必要です。
Internet と、DMZ、Trust 接続を接続するためのF/Wが必要です。F/Wは、Applianceの見積もりに 含まれています。 F/WのConfig 作成にあたり、 ISPへの接続時のアカウント名、パスワードが必要です。
インターネット接続業者が請求する接続費用は、
Appliance構築費用、 の月額使用料に含まれません。
2 1 4 3Internet VPN について
2 F/W2. との接続(Internet VPN)
2
F/W装置について(Internet VPN、常時接続VPN 共通)
F/W装置を現地へ設置する際、弊社SEが現地を訪問します。 接続対象システムへの接続情報(IPAddress, Port)が必要です。 ・RDBSのView公開方式の場合は、サーバのIPアドレス、RDBSで必要なPort番号。 ・PACSでQuery/Retrieveを受けつける、DICOMサーバーのIPアドレス、Q/R用のPort番号。 ・読影レポートが格納されたサーバーのIPアドレス、接続に必要なPort番号。 ・各種データが格納されたサーバーのIPアドレス、接続に必要なPort番号。 Appliance の各IPアドレスは、SECにて指定します。 ・基本的に10.XXX.x.x を割り当てますが、現地環境に合わせ重複しないアドレスを設定します。2. との接続(F/W装置)
Appliance Server について
Applianceには、ID-Link がHIS、PACSからデータ収集をするLinuxVM、HIS端末から ID-Link へ 接続するProxyサーバ(LinuxVM)が組込済みです。 ラックの空き、UPSの共用、スイッチボックスの共有、接続ケーブルの手配が必要かどうか、ご判断 下さい。 3 Linux VM Jboss
Application Server Proxy Server Squid
DICOM Viewer dcm4chee PACS GatewayService Apache Web Server 仮想マシン オープンソース /ミドルウエア SEC 保守範囲 NECフィールディング HW保守範囲 Linux VM VMWare ESXi 仮想化ソフト 以下に、アプリケーションスタックと、SEC、NECフィールディング の保守範囲を示します。 Windows VM SS-MIX2 標準化/拡張Storage NIC1(DMZ) NIC2(Trusted) SS-MIXストレージについては、原則各システムベンダー様にご用意いただきますが、ご用 意いただけない場合は、オプションとして 部分を付加して出荷することも可能です。 ※ 部分については、バックアップは用意しておりませんので、サーバー障害時 (データ消失時)には、各システムよりデータの再送が必要になります。ネットワーク上は、
2. との接続(Appliance Server)
Windows VM ApplianceServerL3 スイッチについて
Gatewayから、 への通信を可能にするための Config 変更が必要です。 4Networkベンダーの対応費用は、Appliance構築費に含まれません。
Trust DMZ 2 4 3 5 6 10.XXX.x.100 10.XXX.x.10 Windows Server LinuxVM Gateway ネットワークベンダー から付与 5 6 7 10.XXX.x.254 3 UnTrust ISP/閉域網 から付与2. との接続(L3スイッチ)
Cv
L3スイッチについて(HIS側を自施設で保護するための方法)
HIS側LANと、ID-Link との接続境界にHIS側ファイアウォールを設置したり、VLANも別にすること など、セキュリティ強度を高める方法についてはHIS側ネットワークベンダー様とご検討ください。 4 ID-Link データセンター HIS側LAN ファイアウォール Gateway HIS側 ファイアウォール ID-Link側LAN VLAN01 VLAN02 VLAN03 VLAN992. との接続(L3スイッチ)
L3スイッチについて(既存の外部ネットワーク接続がある場合について)
原則、”他の外部ネットワークと接続することは禁止される“ と規定がある既存ネットワークと接続 する場合には、それぞれの側に対する内側のファイアウォールを設置し、お互いの情報が他へ流 れ出さないようご検討をお願いします。 弊社が、 、 の範囲に対してのみ限定的な通信を行うことで、原則禁止の例外申請を行っ て下さい。 4 XXXXnet管理範囲 ID-Link側 内部 ファイアウォール XXXXnet XXXXnet接続用 ルーター XXXXnet接続用 サーバー サーバー等 病院情報 SEC 施設側構築管理範囲 ファイアウォール Gateway XXXXnet側 内部 ファイアウォール2. との接続(L3スイッチ)
Proxy Server(LinuxVM) IP Address 10.xxx.xxx.88
Port xxxx
L3 スイッチについて(HIS端末からの接続)
Internet 接続が出来ないHIS端末からも、Gateway 上のProxyServerを経由し
を利用する事ができますが、 HIS端末から、 の Proxy Server へ通信を可能にする為、 L3スイッチのConfig 変更が必要です。 ProxyServerを利用するためには、HIS端末のWebブラウザのProxy設定が必要です。 http://www.mykarte.org/idlink/downloads.html にある、HIS端末へのプロキシ設定.doc をご参照下さい。 4
Networkベンダーへの費用は、Appliance構築費に含まれません。
7 3 4 2 4 3 ネットワークベンダー から付与 7 DMZ 10.XXX.x.254 Internet2. との接続(L3スイッチ)
HIS側について(RDBMS のView を介しPULL型で接続するパターン)
Gateway から、HIS側のRDBMS を読み取り専用 Viewで設定して頂きます。Gateway は、各社 HIS の RDBMS 毎にModule を用意し View 経由でデータを取り込みます。
5 2 4 3 5 TABLE TABLE VIEW Oracle JDBC B社
Module Module C社 Module D社
SQL Server JDBC PostgreSQL JDBC A社 Module TABLE TABLE VIEW TABLE TABLE VIEW SQL Server JDBC Oracle JDBC PostgreSQL JDBC LinuxVM Gateway
2. との接続(システム連携)
5
HIS側について(インタフェースサーバーを経由し会話型接続するパターン)
Gateway は、各社 HIS の インタフェースサーバー 毎にModule を用意し、SOAPプロトコルでデータ を取り込みます。 2 4 3 5 SOAP Engine X社
Module Module Y社 Module Z社 W社 Module TABLE TABLE TABLE TABLE TABLE TABLE SOAP Engine RDBMS HIS ベンダーが設置した インタフェースサーバー LinuxVM Gateway ※インタフェース仕様、SAMPLEプログラムは、http://www.mykarte.org/idlink/index.html からダウンロード可能です。 HIS Module
2. との接続(システム連携)
5
HIS側について(HIS側でSS-MIX2標準化/拡張ストレージを介し接続するパターン)
Gateway が、HISベンダーが用意したSS-MIX標準化ストレージを参照しデータを取り込みます。 2 4 3 5 SS-MIX 処方 Module SS-MIX 注射 Module SS-MIX 基本情 報 Module SS-MIX 標準化/拡張Storage LinuxVM Gateway・・・
Vfs Engine HIS http://www.hci-bc.com/ss-mix/ に参加しているHISベンダーであれば情報の出力が可能です。HL7フォーマット以外の データの場合は、拡張ストレージの仕様に基づき出力することになります。2. との接続(システム連携)
5
ID-Link 側でSS-MIX2標準化/拡張ストレージを介し接続するパターン)
HISベンダーは、Gateway上のSS-MIX標準化ストレージにデータを出力します。 Gateway上のSS-MIX標準化ストレージを参照しデータを取り込みます。 2 4 3 SS-MIX 処方 Module SS-MIX 注射 Module SS-MIX 基本情 報 Module HIS LinuxVM Gateway・・・
Vfs Engine NIC1(DMZ) NIC2(Trusted) SS-MIX 標準化/拡張Storage http://www.hci-bc.com/ss-mix/ に参加しているHISベンダーであれば情報の出力が可能です。HL7フォーマット以外の データの場合は、拡張ストレージの仕様に基づき出力することになります。2. との接続(システム連携)
5
HIS側について(Web参照サーバからJPEGを生成するPULL接続パターン)
LinuxVM Gateway の、HTMLレンダリングエンジンが HTTP GET のレスポンスから、Web参照時の HTML表示イメージをJPEG 画像として生成します。 2 4 3 5 HTML Renderring Engine T社
Module Module U社 Module V社 S社 Module TABLE TABLE TABLE TABLE TABLE TABLE HTTP Server RDBMS Web参照サーバー LinuxVM Gateway 注)この方式は、Web参照サーバへのURLQueryStringの生成方法や、HTMLの複雑性により、ID-Link が正確な 表示イメージを生成出来ない可能性が高く、推奨できません。この方式で接続したい場合は事前にご相談ください。
2. との接続(システム連携)
PACS(DICOMサーバ接続)について
画像を取得するためには、DICOMサーバへ AETitle (通信設定)が必要です。 AETitle の設定、テスト費用はPACSベンダーに対して見積りが必要です。 6PACSベンダーへの費用は、Appliance構築費に含まれません。
2. との接続(DICOM Q/R)
PACS(DICOM Q/R の動作)について
Q/R の要求は、外部医療機関から、随時実行されます。
6
Gateway にデータが無ければ、全てのStudy を要求しますが、その後は、Gateway と PACS の差分のStudy を要求します。 5名/日の全てのStudy を要求。(これまでの導入実績からの平均値です) 30名/日の差分のStudy を要求。 (これまでの導入実績からの平均値です) Studyを要求される対象は、患者さんからの同意を得た方のみです。(地域連携室等で設定) ※PACSのレスポンスが悪化した実績はありません。 INTERNET PACS 画像同期要求 (SOAP) Gateway Query (DICOM通信Study Level ) Retrieve (DICOM通信 C-MOVE) 外部医療機関
2. との接続(DICOM Q/R)
PACS(画像閲覧時の動作)について
画像閲覧要求は、Gateway が応答するため、PACSの負荷は全く生じません。 6 Q/R が実行されたのちの、画像閲覧要求に対しては、Gatewayが応答します。 INTERNET PACS 画像閲覧要求(HTTP) Gateway 外部医療機関2. との接続(DICOM Q/R)
PACS(読影レポート、キー画像なし)について
11頁の方式で、読影レポートをキー画像なしの文字情報ので公開する場合は、以下の例を参考に RDBMSのView公開を検討してください。
6
PACS(読影レポート、キー画像付き)について
キー画像を含むかたちで公開する場合は、汎 用メッセージoverSOAPのインタフェースプログラ ムの作成をお願いします。また、ファイル形式は、 PDFに限定します。 汎用メッセージoverSOAPは、 http://www.mykarte.org/idlink/index.html よりサ ンプルプログラムをダウンロード出来ます。 6 232. との接続(DICOM Q/R)
電子カルテ連動について
電子カルテの画面から、 のページへ遷移する機能を設定できます。 MIRAIsシリーズ の場合は、設定(ini)ファイルの変更が必要です。
MegaOakHRの場合は、連携モジュールの提供を受けてください。
その他のベンダーの場合は、I が提供する、WebLauncher.exe を提供します。
Windows のコマンドシェルから、WebLauncher.exe 職員ID 患者ID と、2つの引数を電子カルテ から、引渡すだけで、電子カルテにログインしているユーザーが、 へのログインと、 患者選択をした状態でカレンダー画面へ遷移します。 必須の機能ではありませんが、お客様のご要望に応じて、この対応を行うには、 電子カルテ担当 SEの作業費が発生します。 7 ※電子カルテ担当SE費用は、Appliance構築費に含まれません。
2. との接続(HIS連動)
データ開示に対して
データ開示に関する患者向け広報(院内掲示、リーフレット作成)手段の検討、スケジュール。 患者から同意を得た記録をどう残すか? ※同意書に直筆のサインをいただき、保管するのが一般的。 データ開示範囲 ・投薬(処方、注射)、検査(検体検査結果、細菌検査結果、画像指示等) ・DICOM画像 ※非DICOM画像の場合は、そのデータを持つベンダーが開示することが前提。 ・読影レポート ※読影レポートベンダーがデータ開示することが前提。 ・文書 ※開示したい文書種別(退院時要約等)を選択し、そのデータを持つベンダーが開示 することが前提。 閲覧側施設からも、文書等のアップロードを可能にするか?開示したいデータが個別にある場合はご相談ください。
3.運用検討
データ開示に対して
3.運用検討
HISや部門システムとの開示方式により、開示コンテンツが異なります。 http://www.mykarte.org/idlink/downloads.htmlの「ID-Link導入における調査票(システム構築 編)」の[開示コンテンツ情報]をご参照下さい。 ※下記は、SS-MIX2標準化ストレージおよび拡張ストレージの場合の開示コンテンツです。 コンテンツ 患者基本情報(ADT-00) 入院実施(ADT-22) 退院実施(ADT-52) 処方依頼(OMP-01) 注射依頼(OMP-02) ★ 注射実施(OMP-12) ★ 検体検査結果(OML-11) 放射線画像依頼(OMG-01) 内視鏡画像依頼(OMG-02) 生理検査画像依頼(OMG-03) 病名情報(PPR-01) アレルギー情報(ADT-61) 食事情報(OMD) コンテンツ 詳細 文書情報 返書/報告書 文書情報 診療情報提供書 文書情報 看護サマリ 文書情報 退院サマリ 文書情報 手術記録 文書情報 健診記録 文書情報 その他文書 細菌検査結果 バイタル情報 ★注射については、依頼か実施の 何れか一方を選択して下さい。 -- 標準ストレージ -- -- 拡張ストレージ -- ※公開期間についても、指定できますので 別途ご相談下さい。院内の体制
の運用(患者登録、アクセス権設定)を行っていただく部署を明確にする。 連携先施設からの問い合わせ先を明確にする。(地域医療連携室、情報システム部門 など) 開示データの承認(例. 退院サマリは開示するか等)を院内調整する部署を明確にする。 本稼動後、閲覧施設への展開(証明書のインストール、操作指導)はどの部門が行なうか。3.運用検討
院内の体制
を利用する職員を選定する。導入時に限りますが、職員情報をExcelシートで戴き、 一括登録を行います。 Excelシートには、以下の5項目をご用意ください。 1. 職員ID(30文字以内。大文字、小文字も区別されます。) 2. 氏名 3. カナ氏名(半角カナ、全角カナのどちらでも可) 4. 性別(男:男、女:女、 男:M 女:F、男:0 女:1 のいずれでも可) 5. 生年月日(半角英数字。S.53-03-25、S530325、1978.03.25 のいずれでも良いです。) 以下の単位で住所情報をご提供頂ければ、移行しますが、無い場合は病院住所を設定します。 ・郵便番号(ハイフン(-)を入れずに入力してください。例:100-0014の場合→1000014) ・都道府県 ・市、区、郡、町、村 ・大字、町、丁目 ・番地、マンション名、その他 以下の単位で電話情報をご提供頂ければ、移行しますが、無い場合は、病院電話情報を設定します。 ・市外局番 ・局番3.運用検討
連携施設に対して、連携サービス開始時期とその内容を通知。 医局に対して、連携サービス開始時期とその内容を通知。 医師会に対して、連携サービス開始時期とその内容を通知。 患者に対して、連携サービス開始時期とその内容の通知。 ※連携先を選定した場合、その理由や、選定外施設から、連携を希望する申し出があった場合に どう応じるかも、広報に際して事前検討しておく必要があります。
4.広報活動
各種テストは、SECからGatewayにリモート接続して実施します。
実際の電子カルテと に取り込んだデータに相違がないかを確認して頂きます。 HIS端末からの接続を行う場合は、http://www.mykarte.com/mykarte/ をWebブラウザの アドレスバーに入力し、ログインページが表示される事を確認します。
HIS連動を行う場合は、HIS上のボタンを押し、カレンダー画面が表示することを確認します。
5.接続テスト
(閲覧施設)
閲覧施設の接続方式は、OD-VPNによる接続、SSLクライアント証明書による接続の2種類があり、 以降のスライドで接続図イメージ、注意点を記載します。 閲覧施設の展開前に、事前に数カ所の閲覧施設を選定し、接続テストをしておくことをお薦めします。 閲覧施設PCのOS(Windows、Mac) と、Webブラウザーの組み合わせは、以下のとおりです。 Internet Explorer11(Windows8またはWindows7) Internet Explorer10(Windows8またはWindows7) Internet Explorer9(Windows7) Internet Explorer8(Windows7) Internet Explorer7(Windows7) FireFox(Windows) FireFox(Mac) FireFoxPortable Safari(MacOS10.7) Safari(MacOS10.6) Safari(MacOS10.4) iPad ※ 下記の環境で動作確認済みです。 (お使いのパソコンの環境や設定状況によりご使用になれな い場合があります) OS:WindowsVISTA以降 または MacOS10.4以降 ブラウザ:IE6以降、 Firefox3以降(Windows) Safari4以降、Firefox3以降(MacOS)5.接続テスト
(閲覧施設)
OD-VPN アダプター HUB Internet OD-VPN アダプター HUB InternetOD-VPNの場合
OD-VPNは、厚生労働省の医療情報システムの安全管理に関するガイドライン 第4.2版(平成25年10月)に準拠した接続方式です。 他Internet サイト 他Internet サイト OD-VPN ON クライアントPCで、OD-VPN 接続がOFF時は、Internet 接続に制限はありません。 複数台のPCをがInternetに接続されている場合、1台のPCがVPN接続中は他のPCの接続も、 VPN側に向けられるため、他のInternetサイトへの接続が出来なくなります。 閲覧施設 閲覧施設5.接続テスト
(閲覧施設)
SSLクライアント証明書による接続の場合は、上記組み合わせ、ServicePak の適用状況に よって、接続時に警告が出たりする場合があります。 回避策については、説明資料を送付します。 HUB Internet 他Internet サイトSSLの場合
閲覧施設内の全てのPCは 常時 Internet に接続出来ますが、SSLクライアント証明書がイントー ルされているPCのみ、ID-Link へ接続が可能です。 閲覧施設開示施設に対しては、特に時間をとることなく、簡単な資料配布で十分と思われます。 閲覧施設に対しては、 ・ご挨拶を兼ね、訪問して説明する方法。 ・操作説明会に集まって頂き、一度に説明する方法。 の2つがありますが、訪問する方法では、証明書のインストールと現地確認が同時に出来る こと、顔の見える関係になることが出来るため、お勧めです。 開示施設の地域連携室又は情報システム室に対しては、職員登録、患者ID登録他、管理面 の機能を覚えて頂くため、1時間/回の時間を必要とします。
6.操作説明
閲覧施設から、数箇所を選定して、実際の紹介患者のやりとりを行なうことは、運用上の問題点 を把握するうえで有効です。 閲覧施設やタイミングにもよりますが、実際の紹介患者が現れない場合もありますので、 テスト対象の施設選定は、そのあたりを考慮して行なってください。 また、テスト期間を延長(1ヶ月程度)することも有効です。
7.閲覧施設テスト
基幹システムと異なり、利用頻度が高くないため、本稼動としての特別な準備を必要としません。 弊社が本番立会いする必要があるかどうかについては、ご相談させてください。
閲覧施設展開とは、訪問してID-Linkへの接続設定と操作説明です。 接続設定は、SSLクライアント証明書の場合と、OD-VPNによる接続方式で異なります。 事前に各閲覧施設のクライアントPCの環境、ネットワーク環境を調査しておく事をお薦めします。 閲覧施設との訪問スケジュール調整に時間がかかりますので、閲覧施設数に応じてスケジュール を立てる必要があります。1~2施設/日、1〜2時間/施設が展開時の目安です。
9.閲覧施設展開
SEC Gateway を保有しない閲覧施設がアップロードを行うためには、アップロード先のGatewayをどこに するか事前に決定する必要があります。閲覧施設から、開示施設へ依頼し、開示施設がそれを許 可する必要があります。 ID-Link のデータセンターで、閲覧施設とそのアップロード先開示施設の定義情報を設定するとに アップロードの機能が有効になり、カレンダー、文書一覧、ファイル一覧に “新規作成” ボタンが表 に示されます。
補足資料
文書
/ファイルのアップロード機能について
閲覧施設X PC 開示病院 A サーバー等 Gateway 開示病院 B サーバー等 閲覧施設Y PC アップロード元 アップロード先 開示施設X 開示病院B 閲覧施設Y 開示病院A 定義情報 文書アップロードが有効なファイル拡張子は、 jpg、jpeg、png、gif、pdf、swf、xhtml、html、odt、sxw、doc、docx、rtf、wpd、txt、wiki、ods、 sxc、xls、xlsx、csv、tsv、odp、sxi、ppt、pptx、odg、svgです。ID-Link データセンターのVPN装置内で、AntiVirus を行っています。万が一、他施設が AntiVirus に未対応の場合にも、HIS側へのVirusの侵入を防ぎます。
