使命に奉仕する技術

現場では、接続は例外であって常態ではありません。だからオフラインは、劣化したモードではなく既定の状態です。すべての臨床機能はインターネット接続なしで動作しなければなりません。 ワーカーは、まったく電波がなくても患者を登録し、観察を記録し、緊急度を分類し、フォローアップを記録できます。ネットワークが意味を持つのは後で、すり合わせのときだけです。

チームが同時にオンラインになることはめったにないため、システムは設計上、非同期です。双方向のストア・アンド・フォワード方式です。現場の観察は医師と監督者へ向かい、ケアプラン・フォローアップの推奨・状態の変更は現場へと戻ります。

• ローカルファーストの書き込み。最終的な配信が保証された形で非同期に届けられる
• 双方向同期 — クラウドへプッシュし、医師と監督者の変更を現場へプルして戻す
• エンティティごとのカーソルにより、各テーブルが独立して同期する
• ミューテーションキーによる冪等な配信 — 再試行が記録を重複させることはない
• 行バージョンによる楽観的同時実行制御 — サーバーは古い書き込みを拒否し、マージを再キューする
• フィールド単位の競合権限 — 各アクターが特定のフィールドを所有し、観察は追記のみ

同期エンジンは、システムの中で最も重要な信頼性レイヤーです。臨床の継続性・データの整合性・現場での使いやすさ・拡張性を左右します。

プログラムがテナントであり、セキュリティの境界です。すべての記録はプログラムに属し、すべてのクラウドテーブルでの行レベルセキュリティが、プログラムへの所属を認可の境界にします。これにより各パートナーのデータは分離され、アクセスの判断は単純で監査可能になります。

アクセス(何を見られるか)はプログラム単位で、割り当て(誰がケースの責任者か)は別に追跡されます。だから、可視性と責任が同じである必要はまったくありません。

このアーキテクチャは、ケアが起きる場所に権限を留めるため、標準的な SaaS の前提を反転させます。

モバイル端末こそが記録システムです。クラウドはすり合わせのレイヤーです。

すべてのアクターはローカルのデータベースに対して作業し、クラウドはそれらのデータベース同士をすり合わせます。患者はデフォルトで識別ID（実名なし）で管理され、プログラムは実名を同期するかどうかを選べます。実名は行レベルセキュリティによって、そのプログラムのメンバーにのみ表示されます。だから、地域のパートナーやコミュニティは、最も機微なデータの所有権を構造的に保持します。

AI は臨床上の意思決定の権限から明確に切り離されています。将来の機能は構造化データに作用して摩擦を減らすものであり、臨床上の判断を下すためのものではありません。

• ケースの要約
• 翻訳
• トリアージの提案
• 医師のレビュー用のケアプラン草案
• 集団に関する知見

AI は構造化データに作用するのであって、生の意思決定権を持つのではありません。決めるのは常に有資格の医師です。

データモデルは小さく、縦断的で、追記に適しています。

• プログラム — テナントとセキュリティの境界
• 患者 — 識別IDで管理する縦断的なエンティティ
• ケース — 割り当てと状態のライフサイクルを持つケアのエピソード
• 観察 — 追記のみの臨床データポイント
• 添付 — 暗号化されたメディア証拠(EXIF/GPS を除去、AES-256-GCM)
• ケアプラン — 医師の成果物
• フォローアップ — 時間的な継続のノード
• ケースイベント — 改変不能な活動と監査の記録

真実の単位は個々の受診ではなく、患者のタイムラインです。

• すべてのクラウドテーブルで行レベルセキュリティを備えた、プログラム単位のマルチテナンシー
• 役割ベースの最小権限アクセス(現場ワーカー・医師・監督者・管理者)
• デフォルトは識別IDのみ（実名なし）。実名はプログラムが有効化した場合のみ同期され、行レベルセキュリティで保護される
• 同期成功時に書き込まれるサーバー側の監査ログ
• プログラム単位の添付暗号化により、認可されたレビュアーは現場写真を復号できる
• 電話が紛失または押収された場合の端末のリモートワイプ

プライバシーの完全な根拠はデータ倫理とプライバシーのページにあります。

このシステムは次のものではありません。

• 遠隔医療
• EMR の置き換え
• 予約システム

それは次のものです。

資源の限られた環境での縦断的なケアのために設計された、トリアージ主導でオフラインファーストの臨床調整インフラです。継続に奉仕する技術であり、その代替ではありません。