医疗系统、网络装置、医疗装置以及检查信息处理方法

摘要

医疗系统具有用于观察被检体的医疗装置以及能够与医疗装置进行通信的网络装置。网络装置生成与检查信息对应的识别信息，将检查信息与识别信息相关联地存储到存储部的第一存储区域中，向医疗装置发送识别信息。医疗装置接收由网络装置发送出的识别信息，将识别信息与所生成的与被检体有关的医疗图像以相关联的方式发送到网络装置。网络装置接收由医疗装置以相关联的方式发送出的识别信息和医疗图像，将与同医疗图像相关联的识别信息相对应的存储在第一存储区域中的检查信息与医疗图像相关联地存储到存储部的第二存储区域中。

说明书

技术领域

本发明涉及具有医疗装置和网络装置的医疗系统、医疗装置、网络装置以及在医疗系统中执行的检查信息处理方法。

背景技术

以往的内窥镜系统具有在该系统所具备的视频处理器等医疗装置中保存PHI(Protected Health Information：受保护的健康信息)信息的功能，将在检查中拍摄到的图像与患者信息相关联地保存到医疗装置中并且传送到服务器等网络装置。在此，PHI信息是指HIPAA(Health Insurance Portability and Accountability Act：健康保险携带和责任法案)所规定的应受保护的医疗信息，患者信息是PHI信息的一例。

在近年来的法律法规中，要求针对来自外部的网络攻击保护PHI信息，例如需要数据的加密、通信的加密等手段。另外，在发现了针对OS(Operating System：操作系统)、加密手段的漏洞的情况下，要求进行迅速的应对。

然而，医疗装置的更新并不容易，难以迅速地应对法律法规。这是由于，与民生产品的情况不同，医疗装置的情况下取决于以下因素：需要进行用于确认更新不会对医疗装置的动作造成影响的性能试验等、进行医疗装置的更新的人仅限于受过训练的特定的人等。

作为防止个人信息的泄漏的医疗装置，例如已知专利文献1所公开的医用图像诊断装置。该装置具备：输入部，其用于输入要被进行检查的被检体的个人信息；通信部，其与保管从输入部输入的个人信息的个人信息管理服务器进行通信；判定部，其判定是否能够向个人信息管理服务器发送个人信息；以及检查信息存储部，其保管检查结果的信息，其中，通信部基于判定部的判定结果，将从输入部输入的个人信息发送到个人信息管理服务器，接收用于不能确定地识别出响应于该发送而从个人信息管理服务器回复的个人信息的个人识别信息，检查信息存储部将利用通信部接收到的个人识别信息保管到检查信息存储部中。

现有技术文献

专利文献

专利文献1：日本特开2011-150699号公报

发明内容

发明要解决的问题

本发明鉴于上述实际情况，其目的在于提供一种能够在维持以往的使用便利性的同时迅速地应对网络安全的要求的医疗系统、网络装置、医疗装置以及检查信息处理方法。

用于解决问题的方案

本发明的第1方式是一种医疗系统，具有用于观察被检体的医疗装置以及能够与所述医疗装置进行通信的网络装置，所述医疗系统的特征在于，所述网络装置具备：识别信息生成部，其生成与检查信息对应的识别信息；关联部，其进行与所述检查信息的关联；存储部，其具有第一存储区域和第二存储区域；以及第一通信部，其与所述医疗装置进行通信，所述医疗装置具备：第二通信部，其与所述网络装置进行通信；以及图像生成部，其生成与所述被检体有关的医疗图像，其中，所述关联部将所述检查信息与所述识别信息相关联地存储到所述第一存储区域中，所述第一通信部向所述医疗装置发送所述识别信息，所述第二通信部接收由所述第一通信部发送出的所述识别信息，并将所述识别信息与所述医疗图像以相关联的方式发送到所述网络装置，所述第一通信部接收由所述第二通信部以相关联的方式发送出的所述识别信息和所述医疗图像，所述关联部将与同所述医疗图像相关联的所述识别信息相对应的存储在所述第一存储区域中的所述检查信息与所述医疗图像相关联地存储到所述第二存储区域中。

本发明的第2方式的特征在于，在第1方式中，所述网络装置还具备加密部，所述加密部对所述检查信息中包含的患者信息以及所述识别信息进行加密，所述第一通信部向所述医疗装置发送被加密的所述患者信息和所述识别信息，所述医疗装置是被连接内窥镜的内窥镜装置，所述医疗装置还具备显示控制部，所述显示控制部使显示装置显示包含所述医疗图像和所述患者信息的显示图像。

本发明的第3方式的特征在于，在第2方式中，所述第二通信部接收由所述第一通信部发送出的被加密的所述患者信息和所述识别信息，所述医疗装置还具备解密部，所述解密部对被加密的所述患者信息和所述识别信息进行解密。

本发明的第4方式的特征在于，在第2方式中，所述医疗系统还具有解密装置，所述解密装置接收由所述第一通信部发送出的被加密的所述患者信息和所述识别信息，对被加密的所述患者信息和所述识别信息进行解密后将所述患者信息和所述识别信息发送到所述医疗装置，所述第二通信部接收由所述解密装置发送出的所述患者信息和所述识别信息。

本发明的第5方式的特征在于，在第2方式中，所述医疗装置还具备存储设定部，所述存储设定部能够设定是否将所述患者信息存储到本装置内部的存储区域中。

本发明的第6方式的特征在于，在第5方式中，所述医疗装置在利用所述内窥镜进行的检查结束之后，将所述患者信息从本装置内部的存储区域删除。

本发明的第7方式的特征在于，在第6方式中，所述网络装置与多个所述医疗装置以能够通信的方式连接，来获取各个所述医疗装置的所述存储设定部中的设定内容，在多个所述医疗装置中的所述设定内容为将所述患者信息存储到本装置内部这一设定内容和不将所述患者信息存储到本装置内部这一设定内容混在一起的情况下，向用户进行告知。

本发明的第8方式的特征在于，在第1方式中，所述关联部还将相关联的所述检查信息和所述医疗图像存储到与所述网络装置连接的外部存储装置中。

本发明的第9方式是一种医疗系统，具有用于观察被检体的医疗装置以及能够与所述医疗装置进行通信的服务器，所述医疗系统的特征在于，所述服务器具备：识别信息生成部，其生成与检查信息对应的识别信息；存储部，其将所述检查信息与所述识别信息相关联地进行存储；以及第一通信部，其与所述医疗装置进行通信，所述医疗装置具备：第二通信部，其与所述服务器进行通信；以及图像生成部，其生成与所述被检体有关的医疗图像，其中，所述第一通信部向所述医疗装置发送所述识别信息，所述第二通信部接收由所述第一通信部发送出的所述识别信息，并将所述识别信息与所述医疗图像以相关联的方式发送到所述服务器，所述第一通信部接收由所述第二通信部以相关联的方式发送出的所述识别信息和所述医疗图像。

本发明的第10方式的特征在于，在第9方式中，所述存储部还将与同所述医疗图像相关联的所述识别信息相对应的所述检查信息与所述医疗图像相关联地进行存储。

本发明的第11方式的特征在于，在第10方式中，所述存储部还存储所述医疗图像以及与该医疗图像相关联的所述识别信息。

本发明的第12方式是一种网络装置，能够与用于观察被检体的医疗装置进行通信，所述网络装置的特征在于，具备：识别信息生成部，其生成与检查信息对应的识别信息；关联部，其进行与所述检查信息的关联；存储部，其具有第一存储区域和第二存储区域；以及通信部，其与所述医疗装置进行通信，其中，所述关联部将所述检查信息与所述识别信息相关联地存储到所述第一存储区域中，所述通信部向所述医疗装置发送所述识别信息，所述通信部接收由所述医疗装置以相关联的方式发送出的所述识别信息以及与所述被检体有关的医疗图像，所述关联部将与同所述医疗图像相关联的所述识别信息相对应的存储在所述第一存储区域中的所述检查信息与所述医疗图像相关联地存储到所述第二存储区域中。

本发明的第13方式是一种医疗装置，用于观察被检体，其特征在于，具备：通信部，其与网络装置进行通信；以及图像生成部，其生成与所述被检体有关的医疗图像，其中，所述通信部接收由所述网络装置发送出的、与检查信息对应的识别信息，并将所述识别信息与所述医疗图像以相关联的方式发送到所述网络装置。

本发明的第14方式是一种检查信息处理方法，是在医疗系统中执行的检查信息处理方法，所述医疗系统具有用于观察被检体的医疗装置以及能够与所述医疗装置进行通信的网络装置，所述检查信息处理方法的特征在于，所述网络装置生成与检查信息对应的识别信息，所述网络装置将所述检查信息与所述识别信息相关联地存储到存储部的第一存储区域中，所述网络装置向所述医疗装置发送所述识别信息，所述医疗装置接收由所述网络装置发送出的所述识别信息，并将所述识别信息与所生成的与所述被检体有关的医疗图像以相关联的方式发送到所述网络装置，所述网络装置接收由所述医疗装置以相关联的方式发送出的所述识别信息和所述医疗图像，所述网络装置将与同所述医疗图像相关联的所述识别信息相对应的存储在所述第一存储区域中的所述检查信息与所述医疗图像相关联地存储到所述存储部的第二存储区域中。

发明的效果

根据本发明，起到能够在维持以往的使用便利性的同时迅速地应对网络安全的要求这样的效果。

附图说明

图1是示出第一实施方式所涉及的医疗系统的结构例的图。

图2是监视器上显示的监视器输出图像的一例。

图3是示出硬件结构的一例的图。

图4是示出在服务器中执行的与第二实施方式所涉及的功能有关的处理的流程的一例的流程图。

图5是示出在服务器中执行的处理、是使用户对安全设定管理部中的设定在多个视频处理器中不同的情况下执行的处理内容进行设定的处理的流程的一例的流程图。

图6是示出第一实施方式的变形例所涉及的医疗系统的结构例的图。

具体实施方式

下面，参照附图来说明本发明的实施方式。

<第一实施方式>

图1是示出第一实施方式所涉及的医疗系统的结构例的图。

如图1所示，医疗系统1具有视频处理器5和服务器6，其中，该视频处理器5连接有内窥镜(也称为“观测器”)2、监视器3以及周边设备4。视频处理器5和服务器6被连接于例如LAN(Local Area Network：局域网)等网络。网络是由有线和无线中的一方或双方构成的网络。

内窥镜2具备摄像部21和操作部22。

摄像部21具备CCD(Charge Coupled Device：电荷耦合器件)等摄像元件。摄像部21利用摄像元件对作为被摄体的被检体内进行摄像，并输出与被摄体相应的影像信号。

操作部22包括用于进行释放指示的释放按钮，例如响应于释放按钮被按下而输出释放指示信号。释放指示信号也是记录指示信号。在本实施方式中，将释放指示信号设为是针对静止图像的记录指示信号。

视频处理器5是用于观察被检体的医疗装置的一例，也是内窥镜装置的一例。视频处理器5具备图像质量调整部51、安全设定管理部52、监视器输出图像生成部53、图像记录/传送处理部54、存储部55、通信部56以及解密部57。

图像质量调整部51对从内窥镜2输入的影像信号进行图像质量调整处理，并输出图像质量调整处理后的影像信号。

安全设定管理部52对监视器输出图像生成部53设定是否使患者信息显示于监视器3。另外，安全设定管理部52对图像记录/传送处理部54设定是否记录/传送患者信息。这些设定是基于用户对视频处理器5的未图示的操作面板的输入操作进行的。即，用户能够自由地设定是否使患者信息显示于监视器3以及是否记录/传送患者信息。此外，安全设定管理部52是能够设定是否将患者信息存储到医疗装置内部的存储区域的存储设定部的一例。

另外，安全设定管理部52在被从内窥镜2输入了释放指示信号时，将表示被进行了释放指示的释放指示信息输出到监视器输出图像生成部53和图像记录/传送处理部54。

监视器输出图像生成部53根据由安全设定管理部52进行的设定以及有无释放指示信息的输入，来如下那样生成监视器输出图像，并将表示所生成的监视器输出图像的影像信号输出到监视器3和图像记录/传送处理部54。

监视器输出图像生成部53在被进行了不显示患者信息的设定(以下也称为“患者信息非显示设定”)的情况下被输入了释放指示信息时，基于从图像质量调整部51输入的影像信号来生成不包含患者信息的监视器输出图像，并将表示该监视器输出图像的影像信号输出到监视器3和图像记录/传送处理部54。此外，在不包含患者信息的监视器输出图像的生成中，进行除患者信息以外的字符信息与影像信号所表示的内窥镜图像的叠加处理等。由此，在被进行了患者信息非显示设定的情况下释放按钮被按下时，输出不包含患者信息的影像信号。

另一方面，监视器输出图像生成部53在被进行了患者信息非显示设定且没有被输入释放指示信息的情况下，或者在被进行了显示患者信息的设定(以下也称为“患者信息显示设定”)的情况下，基于从图像质量调整部51输入的影像信号和从解密部57输入的患者信息来生成包含患者信息的监视器输出图像，并将表示该监视器输出图像的影像信号输出到监视器3和图像记录/传送处理部54。此外，在包含患者信息的监视器输出图像的生成中，进行包含患者信息的字符信息与影像信号所表示的内窥镜图像的叠加处理等。由此，在被进行了患者信息非显示设定且释放按钮没有被按下的情况下，或者在被进行了患者信息显示设定的情况下，输出包含患者信息的影像信号。

此外，监视器输出图像是与被检体有关的医疗图像的一例，监视器输出图像生成部53是使显示装置显示包含医疗图像和患者信息的显示图像的显示控制部的一例。

图像记录/传送处理部54在被输入了释放指示信息时进行以下处理：根据由安全设定管理部52进行的设定，如下那样将固有ID(identifier：标识符)或患者信息与监视器输出图像相关联地记录到存储部55中并且传送到服务器6。

图像记录/传送处理部54在被进行了不记录/传送患者信息的设定(以下也称为“安全模式设定”)的情况下被输入了释放指示信息时，进行以下处理：将从解密部57输入的固有ID与从监视器输出图像生成部53输入的影像信号所表示的监视器输出图像相关联地记录到存储部55中并且传送到服务器6。由此，在被进行了安全模式设定的情况下释放按钮被按下时，将固有ID与监视器输出图像相关联地记录到存储部55中并且传送到服务器6。

另一方面，图像记录/传送处理部54在被进行了记录/传送患者信息的设定的情况下被输入了释放指示信息时，进行以下处理：将从解密部57输入的患者信息与从监视器输出图像生成部53输入的影像信号所表示的监视器输出图像相关联地记录到存储部55中并且传送到服务器6。由此，在被进行了记录/传送患者信息的设定的情况下释放按钮被按下时，将患者信息与监视器输出图像相关联地记录到存储部55中并且传送到服务器6。

存储部55是非易失性的存储装置，例如是硬盘装置。存储部55记录相关联的监视器输出图像和固有ID、或者监视器输出图像和患者信息。

通信部56是用于与服务器6等外部装置进行通信的通信接口。通信部56例如向服务器6发送由图像记录/传送处理部54以相关联的方式传送的监视器输出图像和固有ID、或者监视器输出图像和患者信息。另外，通信部56例如接收由服务器6发送出的被加密的固有ID和患者ID。

解密部57对通信部56所接收到的被加密的固有ID和患者ID进行解密后将固有ID和患者信息输出到图像记录/传送处理部54，并且将患者信息输出到监视器输出图像生成部53和周边设备4。

监视器3是显示装置的一例，例如是LCD(Liquid Crystal Display：液晶显示器)。监视器3显示从监视器输出图像生成部53输入的影像信号所表示的监视器输出图像。

周边设备4例如是用于打印由解密部57输出的患者信息的打印装置。

服务器6是能够与医疗装置进行通信的网络装置的一例。服务器6具备命令管理部61、固有ID生成部62、加密部63、通信部64、检查信息关联部65、存储部66以及IF(interface：接口)67。

命令管理部61对检查命令信息进行存储等，并对检查命令信息进行一维管理。检查命令信息包含检查信息。检查信息包含患者信息以及与检查日期、检查类别等有关的信息。患者信息包含与患者ID、患者的姓名等有关的信息。命令管理部61例如响应于用户对服务器6的输入操作，将与接下来要实施的内窥镜检查有关的检查命令信息中包含的检查信息输出到固有ID生成部62，并且将该检查信息中包含的患者信息输出到加密部63。

固有ID生成部62生成与由命令管理部61输出的检查信息对应的固有ID。此外，固有ID也是检查信息的识别信息。另外，固有ID生成部62将所生成的固有ID和检查信息输出到检查信息关联部65，并且将所生成的固有ID输出到加密部63。

加密部63对由命令管理部61输出的患者信息和由固有ID生成部62输出的固有ID进行加密。

通信部64是用于与视频处理器5等外部装置进行通信的通信接口。通信部64例如将由加密部63进行了加密的患者信息和固有ID发送到视频处理器5。另外，通信部64例如接收由视频处理器5以相关联的方式发送出的监视器输出图像和固有ID、或者监视器输出图像和患者信息。

检查信息关联部65将由固有ID生成部62输出的固有ID与检查信息相关联地存储到存储部66的第一存储区域66a中。另外，检查信息关联部65从存储部66的第一存储区域66a读出与同由通信部64接收到的监视器输出图像相关联的固有ID或患者信息对应的检查信息，并将所读出的检查信息与监视器输出图像相关联地存储到第二存储区域66b中。另外，检查信息关联部65还能够将相关联的检查信息和监视器输出图像输出到IF 67，并存储到与IF 67连接的EMR(Electronic Medical Record：电子病历)等外部存储装置中。

存储部66是非易失性的存储装置，例如是硬盘装置。如上所述，存储部66具有用于将固有ID与检查信息相关联地进行存储的第一存储区域66a以及用于将检查信息与监视器输出图像相关联地进行存储的第二存储区域66b。

IF 67是用于连接EMR等外部存储装置的连接接口。

接着，对在医疗系统1中执行的处理进行说明。

在医疗系统1中，例如响应于用户对视频处理器5的输入操作，安全设定管理部52对监视器输出图像生成部53设定是否使患者信息显示于监视器3，并且对图像记录/传送处理部54设定是否记录/传送患者信息。

另外，在医疗系统1中，例如当命令管理部61响应于用户对服务器6的输入操作而将与接下来要实施的内窥镜检查有关的检查命令信息中包含的检查信息输出到固有ID生成部62、并且将该检查信息中包含的患者信息输出到加密部63时，执行下面的处理。

固有ID生成部62当获取到由命令管理部61输出的检查信息时，生成与检查信息对应的固有ID，将固有ID和检查信息输出到检查信息关联部65，并且将固有ID输出到加密部63。

检查信息关联部65当获取到由固有ID生成部62输出的固有ID和检查信息时，将固有ID与检查信息相关联地存储到存储部66的第一存储区域66a中。

加密部63当获取到由命令管理部61输出的患者信息和由固有ID生成部62输出的固有ID时，对患者信息和固有ID进行加密。然后，通信部64将被加密的患者信息和固有ID发送到视频处理器5。

在视频处理器5中，当通信部56接收到由服务器6发送出的被加密的患者信息和固有ID时，解密部57对被加密的患者信息和固有ID进行解密后将患者信息和固有ID输出到图像记录/传送处理部54，并且将患者信息输出到监视器输出图像生成部53和周边设备4。例如，作为周边设备4的打印装置对解密部57输出的患者信息进行打印。

之后，当与由命令管理部61输出的检查信息有关的内窥镜检查开始时，在视频处理器5中开始进行以下处理：图像质量调整部51对从内窥镜2输入的影像信号进行图像质量调整处理后输出到监视器输出图像生成部53。另外，当被从内窥镜2输入了释放指示信号时，安全设定管理部52将释放指示信息输出到监视器输出图像生成部53和图像记录/传送处理部54。

监视器输出图像生成部53根据由安全设定管理部52进行的设定以及有无释放指示信息的输入，如上所述那样生成监视器输出图像，并将表示所生成的监视器输出图像的影像信号输出到监视器3和图像记录/传送处理部54。

监视器3显示从监视器输出图像生成部53输入的影像信号所表示的监视器输出图像。

图2是示出监视器3中显示的监视器输出图像的一例的图。

在图2中，左侧示出的监视器输出图像31是在监视器输出图像生成部53中的设定为患者信息显示设定的情况下、或者在监视器输出图像生成部53中的设定为患者信息非显示设定且释放按钮没有被按下的情况下显示于监视器3的监视器输出图像，是包含患者信息的监视器输出图像。

另一方面，右侧示出的监视器输出图像32是在监视器输出图像生成部53中的设定为患者信息非显示设定的情况下释放按钮被按下时显示于监视器3的监视器输出图像，是不包含患者信息的监视器输出图像。

图像记录/传送处理部54当被输入了释放指示信息时进行以下处理：根据由安全设定管理部52进行的设定，如上所述那样将固有ID或患者信息与监视器输出图像相关联地记录到存储部55中并且传送到服务器6。向服务器6的传送是根据由通信部56向服务器6的发送来进行的。

在服务器6中，当通信部64接收到由视频处理器5发送出的相关联的固有ID和监视器输出图像或者患者信息和监视器输出图像时，检查信息关联部65从存储部66的第一存储区域66a读出与同监视器输出图像相关联的固有ID或患者信息对应的检查信息，并将所读出的检查信息与监视器输出图像相关联地存储到第二存储区域66b中。另外，检查信息关联部65也可以将相关联的检查信息和监视器输出图像输出到IF 67，并存储到与IF 67连接的EMR等外部存储装置中。

然后，当内窥镜检查结束后视频处理器5的电源开关断开时，视频处理器5将存储部55等本装置内部的存储区域中存储的患者信息全部删除。

如上所述，根据本实施方式，通过预先对监视器输出图像生成部53进行患者信息非显示设定，并且对图像记录/传送处理部54进行安全模式设定，能够不在视频处理器内部记录患者信息。另外，能够使用并非PHI信息的固有ID，将视频处理器5中生成的监视器输出图像在服务器6中与包含患者信息的检查信息相关联。

在该情况下，视频处理器5不保存作为PHI信息的患者信息，不保有应该保护其免受网络攻击的数据，因此减少了针对网络安全的要求事项。另一方面，由于在服务器6中进行患者信息等的记录，因此虽然要应对针对网络安全的要求事项，但相比于作为医疗设备的视频处理器5而言服务器6的更新更容易，因此能够迅速地进行应对。

另外，根据本实施方式，预先对监视器输出图像生成部53进行患者信息显示设定，并且对图像记录/传送处理部54进行记录/传送患者信息的设定，由此，还能够如以往那样显示、记录/传送患者信息，因此还能够维持以往的使用便利性。另外，还能够如以往那样将患者信息输出到周边设备4。

此外，在本实施方式中，能够进行各种变形。

例如也可以设为以下结构：在监视器输出图像生成部53中，在被进行了患者信息非显示设定的情况下，与有无释放指示信息的输入无关地一律生成不包含患者信息的监视器输出图像，并将表示该监视器输出图像的影像信号输出到监视器3和图像记录/传送处理部54。由此，在患者信息非显示设定时，能够一律输出不包含患者信息的影像信号。

另外，例如也可以设为以下结构：在监视器输出图像生成部53中，在被进行了患者信息非显示设定的情况下，仅在从指示内窥镜检查开始起直到指示内窥镜检查结束为止的期间生成不包含患者信息的监视器输出图像，并将表示该监视器输出图像的影像信号输出到监视器3和图像记录/传送处理部54。由此，在患者信息非显示设定时，能够仅在检查中的期间输出不包含患者信息的影像信号。

另外，例如也可以设为以下结构：在监视器输出图像生成部53中，在被进行了患者信息非显示设定的情况下，仅在从指示运动图像记录开始起直到指示运动图像记录结束为止的期间生成不包含患者信息的监视器输出图像，并将表示该监视器输出图像的影像信号输出到监视器3和图像记录/传送处理部54。由此，在患者信息非显示设定时，能够仅在运动图像记录中的期间输出不包含患者信息的影像信号。另外，在该情况下，也可以设为以下结构：将由图像记录/传送处理部54记录/传送的监视器输出图像设为基于在从指示运动图像记录开始起直到指示运动图像记录结束为止的期间从监视器输出图像生成部53输入的视频信号的运动图像。

另外，例如也可以从视频处理器5中省去解密部57，取而代之，在视频处理器5与服务器6之间设置能够与该两者进行通信的解密装置。在该情况下，解密装置接收由服务器6发送出的被加密的患者信息和固有ID，对被加密的患者信息和固有ID进行解密后将患者信息和固有ID发送到视频处理器5。在视频处理器5中，通信部56接收由解密装置发送出的患者信息和固有ID，将患者信息和固有ID输出到图像记录/传送处理部54，并将患者信息输出到监视器输出图像生成部53和周边设备4。由此，在发现了针对加密的漏洞的情况下，仅通过解密装置和服务器6的更新就能够应对。

另外，例如也可以设为以下结构：在医疗系统1中，根据用户对视频处理器5的输入操作，能够检索在服务器6中管理的检查命令信息。另外，例如也可以设为以下结构：根据用户对视频处理器5的输入操作，向服务器6指示与下一个内窥镜检查有关的检查命令信息。另外，例如也可以设为以下结构：通过用户对视频处理器5输入患者ID，视频处理器5从服务器6获取与所输入的患者ID有关的信息。

另外，例如考虑在内窥镜检查中由于更换内窥镜2等而导致视频处理器5的电源被断开的情况，视频处理器5也可以设为以下结构：只要固有ID不被覆盖、即只要不从服务器6获取下一个固有ID，就保持固有ID，并使用所保持的固有ID进行图像记录/传送处理部54的处理。

另外，例如也可以设为以下结构：在医疗系统1中，不从服务器6向视频处理器5发送患者信息。在该情况下，也可以设为以下结构：从服务器6省去加密部63，并且从视频处理器5省去解密部57，不将固有ID加密而从服务器6发送到视频处理器5。在该情况下，通信部64发送固有ID，通信部56接收固有ID。另外，也可以设为以下结构：不进行由安全设定管理部52针对监视器输出图像生成部53和图像记录/传送处理部54的设定，在监视器输出图像生成部53中，作为监视器输出图像的生成，仅进行不包含患者信息的监视器输出图像的生成，在图像记录/传送处理部54中，作为与监视器输出图像的关联，仅进行监视器输出图像与固有ID的关联。

另外，例如，视频处理器5中的图像质量调整部51、安全设定管理部52、监视器输出图像生成部53、图像记录/传送处理部54以及解密部57也可以通过例如FPGA(field-programmable gate array：现场可编程门阵列)、ASIC(application specificintegrated circuit：专用集成电路)等电路来实现。

另外，例如视频处理器5也可以通过图3所例示的硬件结构来实现。

图3是示出硬件结构的一例的图。

图3示出的硬件结构具备CPU 71、存储器72、输入输出装置73、输入输出IF 74、存储装置75、用于收纳便携式记录介质78的便携式记录介质驱动装置76以及通信IF 77，它们经由总线79相互连接。

CPU 71是执行用于由视频处理器5进行的处理的程序的运算装置。存储器72是RAM和ROM，RAM被用作CPU 71的工作区等，ROM非易失性地存储程序、执行程序所需的信息。

输入输出装置73是操作面板、触摸面板、键盘等输入装置以及显示面板等输出装置。

输入输出IF 74是用于与内窥镜2、监视器3、周边设备4等之间进行信号的发送和接收的接口。

存储装置75是非易失性地存储程序和执行程序所需的信息、通过执行程序所获取到的信息等的存储设备。存储装置75例如是硬盘装置。便携式记录介质驱动装置76驱动便携式记录介质78，来访问其记录内容。便携式记录介质78是存储器设备、软盘、光盘、磁光盘等。该便携式记录介质78还包括CD-ROM(Compact Disk Read Only Memory：光盘只读存储器)、DVD(Digital Versatile Disk：数字通用光盘)、USB(Universal Serial Bus：通用串行总线)存储器等。便携式记录介质78也与存储装置75同样是非易失性地存储程序和执行程序所需的信息、通过执行程序所获取到的信息等的存储设备。

通信IF 77是连接于网络、且用于与服务器6等外部装置进行通信的接口。

另外，也可以是，例如，服务器6也通过图3示出的硬件结构来实现。在该情况下，在图3示出的硬件结构中，CPU 71是执行用于由服务器6进行的处理的程序的运算装置。输入输出装置73是键盘、鼠标、触摸面板等输入装置以及显示装置等输出装置。输入输出IF 74是用于与EMR等外部存储装置等之间进行信号的发送和接收的接口。通信IF 77是连接于网络、且用于与视频处理器5等外部装置进行通信的接口。

<第二实施方式>

接着，对第二实施方式进行说明。

在第二实施方式的说明中，对与第一实施方式相同的构成要素标注相同的附图标记来进行说明。

在第二实施方式所涉及的医疗系统1中，多个视频处理器5连接于网络，服务器6与各视频处理器5以能够经由网络进行通信的方式连接。各视频处理器5例如如图1所示那样与内窥镜2、监视器3及周边设备4连接。

在各视频处理器5中，如在第一实施方式中所说明的那样，用户能够自由地对监视器输出图像生成部53设定是否使患者信息显示于监视器3以及对图像记录/传送处理部54设定是否记录/传送患者信息。即，用户能够设定是否将患者信息记录到视频处理器5中。

另一方面，是否将患者信息记录到视频处理器5中取决于用户进行的设定，因此从安全的观点出发，需要一种掌握多个视频处理器5中的设定状况并根据需要进行适当的应对的结构。

因此，在第二实施方式所涉及的医疗系统1中，服务器6还具有以下功能。从各视频处理器5获取由安全设定管理部52针对监视器输出图像生成部53和图像记录/传送处理部54的设定(以下也称为“安全设定管理部52中的设定”)的功能、判定安全设定管理部52中的设定在多个视频处理器5中是否不同的功能、以及在安全设定管理部52中的设定在多个视频处理器5中不同的情况下能够进行告知、通知以及通信切断中的任一个以上的动作的功能等。

图4是示出在服务器6中执行的与上述功能有关的处理的流程的一例的流程图。

如图4所示，在该处理中，首先，在S401中，服务器6对在后述的S404的判定结果为“是”的情况下执行的处理内容进行加载。此外，S404的判定结果为“是”的情况如后所述那样是指安全设定管理部52中的设定在多个视频处理器5中不同的情况。另外，所加载的处理内容是通过执行后述的图5所示的处理而在用户的选择下对服务器6设定的处理内容。

接着，在S402中，服务器6判定是否检测到与视频处理器5的通信连接。

在S402的判定结果为“否”的情况下，重复进行本判定。

另一方面，在S402的判定结果为“是”的情况下，在S403中，服务器6从检测到通信连接的视频处理器5获取安全设定管理部52中的设定。例如，在S402中检测到与多个视频处理器5的通信连接的情况下，从各视频处理器5获取安全设定管理部52中的设定。

然后，在S404中，服务器6判定在通过S402检测到通信连接的多个视频处理器5中是否存在安全设定管理部52中的设定不同的视频处理器5。此外，在通过S402检测到通信连接的视频处理器5仅为一个的情况下，S404的判定结果设为“否”进行处理。

在S404的判定结果为“否”的情况下，返回到S402。

另一方面，在S404的判定结果为“是”的情况下，在S405中，服务器6执行按照在S401中加载的处理内容的处理，返回到S402。

图5是示出在服务器6中执行的处理、是使用户对安全设定管理部52中的设定在多个视频处理器5中不同的情况下执行的处理内容进行设定的处理的流程的一例的流程图。

如图5所示，在该处理中，首先，在S501中，服务器6使用户选择是否在安全设定管理部52中的设定为将患者信息存储到本装置内部的设定的视频处理器5的显示面板上告知消息。此外，将患者信息存储到本装置内部的设定是指针对监视器输出图像生成部53的患者信息显示设定和/或针对图像记录/传送处理部54的记录/传送患者信息的设定。

在步骤S501中的用户的选择为“否”的情况下，进入步骤S505。

另一方面，在S501中的用户的选择为“是”的情况下，在S502中，服务器6使用户选择将该视频处理器5的显示面板所要告知的消息设为(a)还是设为(b)。消息(a)是用于提醒用户注意安全设定管理部52中的设定是否错误的消息。消息(b)是用于使用户将安全设定管理部52中的设定变更为不将患者信息存储到本装置内部的设定的催促消息。此外，不将患者信息存储到本装置内部的设定是指针对监视器输出图像生成部53的患者信息非显示设定以及针对图像记录/传送处理部54的安全模式设定。

在S502中的用户的选择为(a)的情况下，在S503中，服务器6进行用于执行在该视频处理器5的显示面板上显示消息(a)的处理的设定，进入S505。

另一方面，在S502中的用户的选择为(b)的情况下，在S504中，服务器6进行用于执行在该视频处理器5的显示面板上显示消息(b)的处理的设定，进入S505。

在S505中，服务器6使用户选择是否在与安全设定管理部52中的设定为将患者信息存储到本装置内部的设定的视频处理器5连接的监视器3上告知消息。

在步骤S505中的用户的选择为“否”的情况下，进入步骤S509。

另一方面，在S505中的用户的选择为“是”的情况下，在S506中，服务器6使用户选择将与该视频处理器5连接的监视器3所要告知的消息设为(c)还是设为(d)。消息(c)与上述的消息(a)相同。消息(d)与上述的消息(b)相同。

在S506中的用户的选择为(c)的情况下，在S507中，服务器6进行用于执行在与该视频处理器5连接的监视器3上显示消息(c)的处理的设定，进入S509。

另一方面，在S506中的用户的选择为(d)的情况下，在S508中，服务器6进行用于执行在与该视频处理器5连接的监视器3上显示消息(d)的处理的设定，进入S509。

在S509中，服务器6使用户选择是否向管理者通知安全设定管理部52中的设定在多个视频处理器5中不同。在此，管理者例如是医疗系统1的管理者或者服务器6的管理者。

在步骤S509中的用户的选择为“否”的情况下，进入步骤S514。

另一方面，在S509中的用户的选择为“是”的情况下，在S510中，服务器6使用户选择是否在服务器6所具备的显示装置上显示消息来作为向管理者的通知。此外，也可以代替服务器6所具备的显示装置，而设为经由网络来与服务器6连接的终端装置的显示装置。

在S510中的用户的选择为“否”的情况下，进入S512。

另一方面，在S510中的用户的选择为“是”的情况下，在S511中，服务器6进行用于执行使服务器6的显示装置显示用于提醒注意的消息的处理的设定来作为向管理者的通知，进入S512。

在步骤S512中，服务器6使用户选择是否向管理者的电子邮箱进行通知来作为向管理者的通知。

在步骤S512中的用户的选择为“否”的情况下，进入步骤S514。

另一方面，在S512中的用户的选择为“是”的情况下，在S513中，服务器6进行用于执行向事先登记的管理者的电子邮箱进行通知的处理的设定来作为向管理者的通知，进入S514。

在S514中，服务器6使用户选择是否自动地切断与安全设定管理部52中的设定为将患者信息存储到本装置内部的设定的视频处理器5之间的通信连接。

在S514中的用户的选择为“否”的情况下，图5所示的处理结束。

另一方面，在S514中的用户的选择为“是”的情况下，在S515中，服务器6进行用于执行自动地切断与安全设定管理部52中的设定为将患者信息存储到本装置内部的设定的视频处理器5之间的通信连接的处理的设定，图5所示的处理结束。

如上所述，根据第二实施方式，在医疗系统1中，在安全设定管理部52中的设定在多个视频处理器5中不同的情况下，能够进行上述的告知、通知以及通信切断中的任一个以上的动作。由此，在多个视频处理器5中，促进将安全设定管理部52中的设定统一成不将患者信息存储到本装置内部的设定，因此，例如能够进一步减轻视频处理器5受到网络攻击时的患者信息泄漏的风险。

以上，叙述了第一实施方式和第二实施方式。

在各实施方式中，作为医疗装置的一例，采用了作为内窥镜装置的一例的视频处理器来进行说明，但作为医疗装置的其它例子，也可以采用超声波观测装置等其它医疗图像摄影装置。

另外，在第一实施方式中，例如也可以将内窥镜系统1的结构如图6所示那样进行变形，对从视频处理器5向服务器6传送的数据进行加密。

图6是示出第一实施方式的变形例所涉及的内窥镜系统1的结构例的图。

图6示出的内窥镜系统1相对于图1示出的内窥镜系统1而言不同点在于，视频处理器5还具备加密部58，并且服务器6还具备解密部68。

加密部58设置在图像记录/传送处理部54与通信部56之间，对通过图像记录/传送处理部54的处理而传送的数据进行加密。被加密的数据通过通信部56被发送到服务器6。

解密部68设置在通信部64与检查信息关联部65之间，通信部64当接收到该被加密的数据时，对该被加密的数据进行解密后输出到检查信息关联部65。

由此，从视频处理器5向服务器6传送的数据、即相关联的固有ID和监视器输出图像或者患者信息和监视器输出图像被进行加密，因此能够保护其数据。

另外，在第一实施方式中，服务器6的存储部66也可以还存储监视器输出图像以及与该监视器输出图像相关联的固有ID。在该情况下，例如，存储部66也可以还具有第三存储区域，在该第三存储区域中存储监视器输出图像以及与该监视器输出图像相关联的固有ID。

以上，本发明不仅限定于上述实施方式，在实施阶段能够在不脱离其主旨的范围内对构成要素进行变形并具体化。另外，通过上述实施方式所公开的多个构成要素的适当组合，能够形成各种发明。例如，也可以删除实施方式所示的全部构成要素中的几个构成要素。还可以将不同的实施方式所涉及的构成要素适当组合。

附图标记说明

1：医疗系统；2：内窥镜；3：监视器；4：周边设备；5：视频处理器；6：服务器；21：摄像部；22：操作部；31、32：监视器输出图像；51：图像质量调整部；52：安全设定管理部；53：监视器输出图像生成部；54：图像记录/传送处理部；55：存储部；56：通信部；57：解密部；58：加密部；61：命令管理部；62：固有ID生成部；63：加密部；64：通信部；65：检查信息关联部；66：存储部；66a：第一存储区域；66b：第二存储区域；67：IF；68：解密部；71：CPU；72：存储器；73：输入输出装置；74：输入输出IF；75：存储装置；76：便携式记录介质驱动装置；77：通信IF；78：便携式记录介质；79：总线。