JPWO2018229867A1 - Personal information protection system - Google Patents

Personal information protection system Download PDF

Info

Publication number
JPWO2018229867A1
JPWO2018229867A1 JP2017552511A JP2017552511A JPWO2018229867A1 JP WO2018229867 A1 JPWO2018229867 A1 JP WO2018229867A1 JP 2017552511 A JP2017552511 A JP 2017552511A JP 2017552511 A JP2017552511 A JP 2017552511A JP WO2018229867 A1 JPWO2018229867 A1 JP WO2018229867A1
Authority
JP
Japan
Prior art keywords
information
public key
node devices
unit
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017552511A
Other languages
Japanese (ja)
Other versions
JP6245782B1 (en
Inventor
太郎 上野
太郎 上野
太祐 市川
太祐 市川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SUSTAINABLE MEDICINE, INC.
Original Assignee
SUSTAINABLE MEDICINE, INC.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SUSTAINABLE MEDICINE, INC. filed Critical SUSTAINABLE MEDICINE, INC.
Application granted granted Critical
Publication of JP6245782B1 publication Critical patent/JP6245782B1/en
Publication of JPWO2018229867A1 publication Critical patent/JPWO2018229867A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/40ICT specially adapted for the handling or processing of patient-related medical or healthcare data for data related to laboratory analysis, e.g. patient specimen analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Medical Informatics (AREA)
  • Bioethics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Epidemiology (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

医療機関端末100において公開鍵および秘密鍵を生成して、一のノード装置300に提供し、複数のノード装置300の全体で合意形成された場合にのみ公開鍵を分散保存する。また、患者端末200が一のノード装置300から公開鍵を取得して生体情報を暗号化して、暗号化生体情報を一のノード装置300に提供し、複数のノード装置300の全体で合意形成された場合にのみ暗号化生体情報を分散保存する。そして、医療機関端末100が一のノード装置300から暗号化生体情報を取得し、公開鍵と共に生成していた秘密鍵によって復号化する。これにより、患者から医療機関に提供される生体情報の真正性(改ざん不能性)と秘匿性(許可された者以外による個人特定の不能性)とを実現することができるようにする。A public key and a secret key are generated in the medical institution terminal 100 and provided to one node device 300, and the public key is distributed and stored only when consensus is established among the plurality of node devices 300. In addition, the patient terminal 200 acquires a public key from one node device 300, encrypts biometric information, provides encrypted biometric information to one node device 300, and forms a consensus among a plurality of node devices 300. The encrypted biometric information is distributed and stored only when the Then, the medical institution terminal 100 acquires the encrypted biometric information from one node device 300 and decrypts it using the secret key that has been generated together with the public key. This makes it possible to realize the authenticity (impairment of infeasibility) and secrecy (indivisibility of individual identification by persons other than authorized persons) of the biometric information provided from the patient to the medical institution.

Description

本発明は、個人情報保護システムに関し、特に、患者の個人情報である生体情報やカルテ情報を保護しつつ患者と医療機関との間でやり取りできるようにするためのシステムに用いて好適なものである。   The present invention relates to a personal information protection system, and is particularly suitable for use in a system for enabling communication between a patient and a medical institution while protecting biological information and medical record information which are personal information of the patient. is there.

近年、医療業界において電子カルテの普及が進みつつある。電子カルテとは、従来
1497319278228_0
が患者の診療情報を記入していた紙の
1497319278228_1
を電子データに置き換えたものである。電子カルテを採用することにより、例えば次のようなことの実現が期待されている。In recent years, electronic medical records are spreading in the medical industry. Electronic medical records are conventionally
1497319278228_0
Of the paper on which the patient's medical care information was entered
1497319278228_1
Is replaced by electronic data. By adopting an electronic medical record, for example, the following things are expected to be realized.

(1)電子カルテデータの2次利用
電子カルテに記録される医療データは、個々の患者に対して行われた診療の記録であると同時に、症例データベースとしての役割も担う。すなわち、種々の症例に関する電子カルテをデータベースに蓄積して共有化することにより、医療の質の向上に役立てることが期待されている。(1) Secondary Use of Electronic Medical Record Data Medical data recorded in an electronic medical record is not only a record of medical treatment performed on individual patients, but also plays a role as a case database. That is, it is expected to be useful for improving the quality of medical treatment by accumulating and sharing electronic medical records concerning various cases in a database.

(2)地域医療連携
電子カルテで患者の診療情報を共有化可能な地域医療ネットワークシステムを構築することにより、複数の医療機関で診療を受けることを希望する患者の利便性の向上を図ることが期待されている。(2) Regional medical cooperation By constructing a regional medical network system capable of sharing medical treatment information of patients with electronic medical records, the convenience of patients wishing to receive medical treatment at a plurality of medical institutions can be improved. It is expected.

(3)遠隔医療
医師間、医師と患者との間をネットワークで結び、電子カルテで患者の診療情報をやり取りできるようにすることにより、患者が医療機関に訪問しなくても診療や健康相談を受けられるようにすることが期待されている。(3) Telemedicine By connecting a doctor, a doctor and a patient with a network so that medical care information of a patient can be exchanged by an electronic medical record, medical care and health consultation can be performed without the patient visiting a medical institution. It is expected to be received.

このように、電子カルテの応用例は様々であるが、電子カルテに記録される情報の真正性は厳格に要求される。そのために、電子カルテに記録される情報の改ざんを防止する仕組みを導入することが必要である。また、医師と患者との間をネットワークで結んだ遠隔医療システムを構築する場合には、医師から提供される電子カルテの改ざんを防止するだけでなく、患者から医師に提供される患者の生体情報(患者の自宅に置かれた医療機器等で測定される情報など)の改ざんを防止することも必要となる。また、患者の生体情報は個人情報であるため、許可された者以外には開示されない秘匿性の実現も求められる。   Thus, although the applications of electronic medical records vary, the authenticity of the information recorded in the electronic medical records is strictly required. Therefore, it is necessary to introduce a mechanism for preventing falsification of information recorded in the electronic medical record. In addition, when constructing a telemedicine system in which a doctor and a patient are connected by a network, in addition to preventing falsification of the electronic medical record provided by the doctor, the patient's biological information provided by the patient to the doctor It is also necessary to prevent falsification (such as information measured by a medical device or the like placed at the patient's home). In addition, since the patient's biological information is personal information, realization of confidentiality that is not disclosed to persons other than authorized persons is also required.

なお、特許文献1,2には、患者の医療データが入力されたカルテデータの改ざんの防止を目的としたシステムに関する発明が開示されている。   Patent Literatures 1 and 2 disclose inventions relating to systems aiming to prevent falsification of medical chart data into which medical data of a patient have been input.

特許文献1に記載のセキュリティ確保方法では、医療機関は、電子カルテの新規作成・カルテ内容の追加・変更・削除事項が発生すると、それを信頼機関に通信する。信頼機関は、通信してきた医療機関に対して日付のタイムスタンプを与える。その後、医療機関は、電子カルテのデータの新規作成・変更・追加・削除事項と、信頼機関から与えられたタイムスタンプとを含む電子カルテのデータを信頼機関へ送る。信頼機関は、当該タイムスタンプとデータとを蓄積した媒体に対して定期的に公証人から確定日付をもらい、封印して保管する。   According to the security ensuring method described in Patent Document 1, when an electronic medical record newly created, an addition, a change, and a deletion of a medical record content occur, the medical institution communicates it to the trusted organization. The relying agency provides a date timestamp to the healthcare provider that has communicated. Thereafter, the medical institution sends the electronic medical record data including the new creation / change / addition / deletion of the electronic medical record data and the time stamp given by the trusted organization to the trusted organization. The trusted organization periodically receives a fixed date from the notary public for the medium storing the time stamp and the data, seals it, and stores it.

特許文献2に記載の電子カルテ記録システムは、信頼性が不確かであるタイムスタンプを利用することなく、電子カルテの改ざんを抑止することを目的として成されたものである。この特許文献2に記載の電子カルテ記録システムは、ユーザ端末から送信されて電子カルテ受信メモリに記録された電子カルテが、保存用電子カルテデータベースに記録されている電子カルテの内容を含んでいるか否かを判定し、全てを含んでいると判定した場合のみ保存用電子カルテデータベースの電子カルテを上書きする。   The electronic medical record recording system described in Patent Document 2 is intended to prevent tampering of the electronic medical record without using a time stamp whose reliability is uncertain. In the electronic medical record recording system described in Patent Document 2, whether the electronic medical record transmitted from the user terminal and recorded in the electronic medical record reception memory contains the content of the electronic medical record recorded in the electronic medical record database for storage. The electronic medical record of the electronic medical record database for storage is overwritten only when it is judged that the data contains all.

しかしながら、特許文献1,2には、電子カルテの改ざんを防止する仕組みは記載されているが、患者からネットワークを介して医療機関医師に提供される患者の生体情報の改ざんを防止する仕組みは記載されていない。また、個人情報である患者の生体情報が許可された者以外には開示されない秘匿性を実現するための仕組みも記載されていない。   However, although the mechanism which prevents falsification of an electronic medical record is described in patent documents 1 and 2, the mechanism which prevents falsification of the patient's living body information provided to a medical institution doctor from a patient via a network is described. It has not been. In addition, a mechanism for realizing secrecy that is not disclosed to persons other than those for whom the patient's biological information as personal information is permitted is not described.

特開平10−320491号公報Japanese Patent Application Laid-Open No. 10-320491 特開2011−103055号公報JP, 2011-103055, A

本発明は、以上説明した実情に鑑みて成されたものであり、患者から医療機関に提供される患者の生体情報の真正性(改ざん不能性)と秘匿性とを実現できるようにすることを目的とする。   The present invention has been made in view of the above-described circumstances, and is to be able to realize the authenticity (non-falsification ability) and confidentiality of patient's biological information provided from the patient to a medical institution. To aim.

上記した課題を解決するために、本発明の個人情報保護システムは、医療機関において使用する医療機関端末と、患者が使用する患者端末と、分散型ネットワークにより接続された複数のノード装置とを備え、医療機関端末において公開鍵および秘密鍵を生成し、一のノード装置に提供する。そして、公開鍵を複数のノード装置の全体で共有するための合意形成処理を行い、合意形成された場合にのみ、複数のノード装置に公開鍵を記憶させるようにする。また、患者端末が一のノード装置から公開鍵を取得し、当該取得した公開鍵によって、患者の生体情報または当該生体情報に付加される個人を特定可能な情報を暗号化し、これにより生成された暗号化生体情報を一のノード装置に提供する。そして、暗号化生体情報を複数のノード装置の全体で共有するための合意形成処理を行い、合意形成された場合にのみ、複数のノード装置に暗号化生体情報を記憶させるようにする。医療機関端末では、一のノード装置から暗号化生体情報を取得し、公開鍵と共に生成していた秘密鍵によって復号化するようにしている。   In order to solve the problems described above, the personal information protection system of the present invention comprises a medical institution terminal used in a medical institution, a patient terminal used by a patient, and a plurality of node devices connected by a distributed network. And generating a public key and a secret key at the medical institution terminal and providing it to one node device. Then, an agreement formation process for sharing the public key among the plurality of node devices is performed, and the public key is stored in the plurality of node devices only when the agreement is formed. In addition, the patient terminal acquires a public key from one node device, and uses the acquired public key to encrypt the patient's biometric information or information that can specify an individual to be added to the biometric information, thereby generating information. The encrypted biometric information is provided to one node device. Then, an agreement formation process for sharing the encrypted biometric information among the plurality of node devices is performed, and the encrypted biometric information is stored in the plurality of node devices only when the agreement is formed. The medical institution terminal acquires encrypted biometric information from one node device and decrypts it using the secret key generated together with the public key.

上記のように構成した本発明によれば、患者から医療機関に提供される患者の生体情報は、それ自体または当該生体情報に付加される個人を特定可能な情報が公開鍵によって暗号化されることにより、秘匿化される。秘匿化された生体情報は、秘密鍵を有している医療機関においてのみ復号化して利用することが可能である。   According to the present invention configured as described above, the patient's biometric information provided from the patient to the medical institution is encrypted by the public key with information that can identify itself or an individual added to the biometric information. It is made secret by this. The concealed biometric information can be decrypted and used only at a medical institution having a secret key.

また、公開鍵は、複数のノード装置間で実行される合意形成処理により正当であることが検証された場合にのみ、各ノード装置に分散して記憶されるので、例えば、ノード装置に悪質なプログラムが仕掛けられることにより、公開鍵自体の改ざんが行われることを防ぐことができる。公開鍵の改ざんが抑止されるので、改ざんされた不正な公開鍵によって生体情報等が暗号化され、不正な秘密鍵により復号されて生体情報が改ざんされるといったことも抑止することができる。   Also, the public key is distributed and stored in each node device only when the public key is verified to be valid by the agreement forming process executed among the plurality of node devices, so that, for example, the node device may be malicious By installing a program, it is possible to prevent the public key itself from being tampered with. Since tampering of the public key is suppressed, it is also possible to prevent the biometric information and the like from being encrypted with the tampered unauthorized public key and then being decoded with the unauthorized private key to tamper with the biometric information.

さらに、公開鍵によって暗号化された生体情報等も、複数のノード装置間で実行される合意形成処理により正当であることが検証された場合にのみ、各ノード装置に分散して記憶されるので、例えば、ノード装置に悪質なプログラムが仕掛けられることにより、暗号化された生体情報等の改ざんが行われることを防ぐことができる。   Furthermore, biometric information encrypted with a public key is also distributed and stored in each node device only when it is verified that the biometric information and the like that are performed among the plurality of node devices are valid. For example, by installing a malicious program in the node device, it is possible to prevent the tampering of the encrypted biological information and the like.

以上により、本発明によれば、患者から医療機関に提供される患者の生体情報の真正性(改ざん不能性)と秘匿性とを実現することが可能となる。   As described above, according to the present invention, it is possible to realize the authenticity (non-falsification ability) and confidentiality of patient's biological information provided from the patient to a medical institution.

第1の実施形態による個人情報保護システムの全体構成例を示す図である。It is a figure showing an example of whole composition of a personal information protection system by a 1st embodiment. 第1の実施形態による医療機関端末の機能構成例を示すブロック図である。It is a block diagram showing an example of functional composition of a medical institution terminal by a 1st embodiment. 第1の実施形態による患者端末の機能構成例を示すブロック図である。It is a block diagram showing an example of functional composition of a patient terminal by a 1st embodiment. 第1の実施形態によるノード装置の機能構成例を示すブロック図である。It is a block diagram showing an example of functional composition of a node device by a 1st embodiment. 医療機関端末からノード装置に公開鍵を送信して記憶させる際の動作例を示すフローチャートである。It is a flowchart which shows the operation example at the time of transmitting a public key to a node apparatus from a medical institution terminal, and making it memorize | store it. 患者の生体情報を暗号化して患者端末からノード装置に送信して記憶させる際の動作例を示すフローチャートである。It is a flowchart which shows the operation example at the time of encrypting the biometric information of a patient, transmitting to a node apparatus from a patient terminal, and storing it. 医療機関端末がノード装置から暗号化生体情報を取得して復号化する際の動作例を示すフローチャートである。It is a flowchart which shows the operation example at the time of a medical institution terminal acquiring and decoding encryption biometric information from a node apparatus. 第2の実施形態による個人情報保護システムの全体構成例を示す図である。It is a figure showing an example of whole composition of a personal information protection system by a 2nd embodiment. 第2の実施形態による第1の医療機関端末の機能構成例を示すブロック図である。It is a block diagram which shows the function structural example of the 1st medical institution terminal by 2nd Embodiment. 第2の実施形態による第2の医療機関端末の機能構成例を示すブロック図である。It is a block diagram which shows the function structural example of the 2nd medical institution terminal by 2nd Embodiment. 第2の実施形態によるノード装置の機能構成例を示すブロック図である。It is a block diagram which shows the function structural example of the node apparatus by 2nd Embodiment.

(第1の実施形態)
以下、本発明の第1の実施形態を図面に基づいて説明する。図1は、第1の実施形態による個人情報保護システムの全体構成例を示す図である。図1に示すように、第1の実施形態による個人情報保護システムは、医療機関において使用する医療機関端末100と、患者が使用する患者端末200と、分散型ネットワークにより接続された複数のノード装置300-1〜300-3(以下、まとめてノード装置300と記すこともある)とを備えて構成されている。First Embodiment
Hereinafter, a first embodiment of the present invention will be described based on the drawings. FIG. 1 is a diagram showing an example of the overall configuration of the personal information protection system according to the first embodiment. As shown in FIG. 1, the personal information protection system according to the first embodiment includes a medical institution terminal 100 used in a medical institution, a patient terminal 200 used by a patient, and a plurality of node devices connected by a distributed network. 300 -1 to 300 -3 are configured with (hereinafter sometimes referred to collectively as the node device 300) and.

医療機関端末100とノード装置300との間は、インターネット等の通信ネットワークにより接続可能に構成されている。図1では、医療機関端末100がノード装置300-3に接続された状態を示しているが、医療機関端末100は分散型ネットワーク内にあるノード装置300-1〜300-3の何れかと任意に接続することが可能である。The medical institution terminal 100 and the node device 300 are configured to be connectable by a communication network such as the Internet. FIG. 1 shows a state in which the medical institution terminal 100 is connected to the node device 300 -3, medical institution terminal 100 may optionally with any of the node devices 300 -1 to 300 -3 within a distributed network It is possible to connect.

また、患者端末200とノード装置300との間も、インターネット等の通信ネットワークにより接続可能に構成されている。図1では、患者端末200がノード装置300-2に接続された状態を示しているが、患者端末200は分散型ネットワーク内にあるノード装置300-1〜300-3の何れかと任意に接続することが可能である。Further, the patient terminal 200 and the node device 300 are also configured to be connectable by a communication network such as the Internet. FIG. 1 shows a state in which the patient terminal 200 is connected to the node device 300 -2, the patient terminal 200 optionally connected to any of node devices 300 -1 to 300 -3 within a distributed network It is possible.

患者端末200は、患者の生体情報を入力可能な端末であり、例えばスマートフォン、パーソナルコンピュータ、タブレット等により構成される。生体情報は、例えば、患者の自宅に置かれた医療機器(図示せず)で測定される情報である。ここで、医療機器と患者端末200とを有線または無線で接続し、医療機器で測定された生体情報を患者端末200に送信することにより、患者端末200が生体情報を入力するようにすることが可能である。または、患者が患者端末200のタッチパネルやキーボード等の操作インタフェースを操作することにより、医療機器で測定された生体情報を患者端末200に入力するようにしてもよい。   The patient terminal 200 is a terminal capable of inputting patient's biological information, and is configured of, for example, a smartphone, a personal computer, a tablet or the like. The biological information is, for example, information measured by a medical device (not shown) placed at the patient's home. Here, the patient terminal 200 may input biological information by connecting the medical device and the patient terminal 200 by wire or wireless and transmitting the biological information measured by the medical device to the patient terminal 200. It is possible. Alternatively, when the patient operates an operation interface such as a touch panel or a keyboard of the patient terminal 200, biological information measured by a medical device may be input to the patient terminal 200.

なお、生体情報は、医療機器で測定される人間の生理に関する情報に限定されない。例えば、感覚や感性などの心理的側面に関する情報、反応や追従などの行動能力や日常生活行動に関する情報など、人間の心理や行動に関する情報であってもよい。これらの生体情報は、例えば、患者が患者端末200のタッチパネルやキーボード等の操作インタフェースを操作することによって入力することが可能である。あるいは、患者端末200にインストールされたアプリケーションプログラムを実行することによって、人間の心理や行動に関する情報をアプリケーションプログラムの機能として入力することも可能である。   The biological information is not limited to information on human physiology measured by a medical device. For example, it may be information on human psychology and behavior, such as information on psychological aspects such as sense and sensitivity, behavior ability such as reaction and follow-up, and information on daily life behavior. These pieces of biometric information can be input, for example, by the patient operating an operation interface such as a touch panel or a keyboard of the patient terminal 200. Alternatively, by executing an application program installed in the patient terminal 200, it is also possible to input information on human psychology and behavior as a function of the application program.

分散型ネットワークにより接続された複数のノード装置300-1〜300-3には、ブロックチェーン技術が導入されている。すなわち、後述するように、ブロックチェーン技術によって、公開鍵や生体情報などのデータが、複数のノード装置300-1〜300-3において共有する態様で保存されている。なお、図示の簡略ため、図1では3つのノード装置300-1〜300-3のみ示しているが、これ以上であってもよい。The plurality of node devices 300 -1 to 300 -3 connected by a distributed network, block chain technology has been introduced. That is, as will be described later, by block chain technique, data such as public keys and biometric information are stored in a manner to be shared in a plurality of node devices 300 -1 to 300 -3. Incidentally, simplified for illustration, it is shown only three node devices 300 -1 to 300 -3 1, or may be more.

本実施形態の個人情報保護システムでは、医療機関端末100において公開鍵および秘密鍵を生成し、これを複数のノード装置300-1〜300-3の中の一のノード装置に提供する。そして、公開鍵を複数のノード装置300-1〜300-3の全体で共有するための合意形成処理を行い、合意形成された場合にのみ、複数のノード装置300-1〜300-3に公開鍵を記憶させるようにする。In the personal information protection system of this embodiment, the medical institution terminal 100 generates a public key and a secret key, and provides them to one node device out of the plurality of node devices 300 -1 to 300 -3 . Then, a consensus process for sharing a public key across the plurality of node devices 300 -1 to 300 -3, only if it is consensus, published in a plurality of node devices 300 -1 to 300 -3 Make the key memorize.

患者端末200では、複数のノード装置300-1〜300-3の中の一のノード装置から公開鍵を取得し、当該取得した公開鍵によって、患者の生体情報または当該生体情報に付加される個人を特定可能な情報を暗号化する。そして、これにより生成された暗号化生体情報を複数のノード装置300-1〜300-3の中の一のノード装置に提供する。患者の生体情報は個人情報に係るものであるため、その秘匿性を確保するために、生体情報を暗号化し、暗号化した生体情報をノード装置300に提供するようにしている。In patient terminal 200, acquires a public key from a node device among the plurality of node devices 300 -1 to 300 -3, the public key the acquired individual being added to the biological information or the biometric information of the patient Encrypt information that can be identified. And, thereby providing the encrypted biometric information generated at one node device among the plurality of node devices 300 -1 to 300 -3. Since the patient's biological information relates to personal information, in order to ensure the secrecy, the biological information is encrypted, and the encrypted biological information is provided to the node device 300.

患者の生体情報を利用する医療機関では、その生体情報が誰のものであるかを把握する必要がある。そのため、患者端末200からノード装置300に提供される生体情報には、患者の個人を特定可能な情報(患者の氏名、性別、年齢、住所などの情報。以下、これを患者情報という)が付加される。患者情報も個人情報に係るものであるため、その秘匿性を確保するために、患者情報を暗号化するようにしてもよい。なお、生体情報およびこれに付加される患者情報の全体を暗号化するようにしてもよいし、生体情報のみ、または患者情報のみを暗号化するようにしてもよい。   In a medical institution that uses patient's biometric information, it is necessary to grasp who the biometric information belongs to. Therefore, to the biological information provided from the patient terminal 200 to the node device 300, information capable of identifying the individual of the patient (information such as patient's name, gender, age, address, etc .; hereinafter referred to as patient information) is added. Be done. Since the patient information also relates to the personal information, the patient information may be encrypted in order to secure the secrecy. Note that the biometric information and the entire patient information added thereto may be encrypted, or only the biometric information or only the patient information may be encrypted.

暗号化生体情報が患者端末200から複数のノード装置300-1〜300-3の中の一のノード装置に提供されると、当該暗号化生体情報を複数のノード装置300-1〜300-3の全体で共有するための合意形成処理を行い、合意形成された場合にのみ、複数のノード装置300-1〜300-3に暗号化生体情報を記憶させるようにする。When the encryption biometric information is provided to one node device among the plurality of node devices 300 -1 to 300 -3 from the patient terminal 200, the encrypted biometric information a plurality of node devices 300 -1 to 300 -3 performs consensus process for sharing entire only if agreed formed, so as to store the encrypted biometric information to a plurality of node devices 300 -1 to 300 -3.

医療機関端末100では、複数のノード装置300-1〜300-3の中の一のノード装置から暗号化生体情報を取得し、公開鍵と共に生成していた秘密鍵によって復号化する。秘密鍵は、これを公開鍵と共に生成した医療機関端末100においてのみ保持しているものである。これにより、個人情報に係る患者の生体情報は、秘密鍵を把握している特定の医療機関端末100においてのみ利用可能となる。In the medical institution terminal 100, and obtains the encrypted biometric information from a node device among the plurality of node devices 300 -1 to 300 -3, and decrypts the secret key that was generated with a public key. The secret key is held only at the medical institution terminal 100 that has generated it along with the public key. As a result, the patient's biological information related to the personal information can be used only at the specific medical institution terminal 100 that knows the secret key.

次に、医療機関端末100、患者端末200およびノード装置300の具体的な構成について、順を追って説明する。図2は、第1の実施形態による医療機関端末100の機能構成例を示すブロック図である。図2に示すように、第1の実施形態による医療機関端末100は、その機能構成として、鍵生成部11、公開鍵提供部12、生体情報取得部13および復号処理部14を備えている。また、第1の実施形態による医療機関端末100は、記憶媒体として、鍵記憶部10を備えている。   Next, specific configurations of the medical institution terminal 100, the patient terminal 200, and the node device 300 will be described in order. FIG. 2 is a block diagram showing an example of a functional configuration of the medical institution terminal 100 according to the first embodiment. As shown in FIG. 2, the medical institution terminal 100 according to the first embodiment includes a key generation unit 11, a public key provision unit 12, a biometric information acquisition unit 13, and a decryption processing unit 14 as its functional configuration. The medical institution terminal 100 according to the first embodiment also includes a key storage unit 10 as a storage medium.

上記各機能ブロック11〜14は、ハードウェア、DSP(Digital Signal Processor)、ソフトウェアの何れによっても構成することが可能である。例えばソフトウェアによって構成する場合、上記各機能ブロック11〜14は、実際にはコンピュータのCPU、RAM、ROMなどを備えて構成され、RAMやROM、ハードディスクまたは半導体メモリ等の記録媒体に記憶されたプログラムが動作することによって実現される。   The functional blocks 11 to 14 can be configured by any of hardware, DSP (Digital Signal Processor), and software. For example, when configured by software, each of the functional blocks 11 to 14 actually comprises a CPU, a RAM, a ROM and the like of a computer, and a program stored in a storage medium such as a RAM, a ROM, a hard disk or a semiconductor memory Is realized by operating.

鍵生成部11は、公開鍵および秘密鍵を生成する。なお、鍵の生成には公知の技術を適用することが可能である。鍵生成部11により生成された公開鍵および秘密鍵(以下、これらをまとめて鍵情報という)は、鍵記憶部10に記憶される。   The key generation unit 11 generates a public key and a secret key. In addition, it is possible to apply a well-known technique to the production | generation of a key. The public key and the secret key (hereinafter collectively referred to as key information) generated by the key generation unit 11 are stored in the key storage unit 10.

公開鍵提供部12は、鍵生成部11により生成された公開鍵を、複数のノード装置300-1〜300-3のうち一のノード装置に提供する。どのノード装置に公開鍵を提供するかは任意である。ノード装置300に提供された公開鍵は、後述するコンセンサス処理を経て、複数のノード装置300-1〜300-3にて分散保存される。そして、ノード装置300に保存された公開鍵が患者端末200にて取得され、公開鍵によって患者の生体情報が暗号化された後、それにより生成された暗号化生体情報が患者端末200からノード装置300に提供される。ノード装置300に提供された暗号化生体情報は、後述するコンセンサス処理を経て、複数のノード装置300-1〜300-3にて分散保存される。Public key providing unit 12 provides a public key generated by the key generation unit 11, the one node device out of the plurality of node devices 300 -1 to 300 -3. It is optional which node device is provided with the public key. Public key provided to the node device 300 via a consensus process to be described later, is distributed stored at a plurality of node devices 300 -1 to 300 -3. Then, after the public key stored in the node device 300 is acquired by the patient terminal 200 and the patient's biological information is encrypted by the public key, the encrypted biological information generated thereby is transmitted from the patient terminal 200 to the node device Provided to 300. Encrypted biometric information provided to the node device 300 via a consensus process to be described later, is distributed stored at a plurality of node devices 300 -1 to 300 -3.

生体情報取得部13は、複数のノード装置300-1〜300-3のうち一のノード装置から暗号化生体情報を取得する。すなわち、生体情報取得部13は、一のノード装置に対して生体情報の取得要求を送信し、この要求に応じて一のノード装置から送信されてくる暗号化生体情報を取得する。Biological information acquisition unit 13 acquires the encrypted biometric information from a node device among the plurality of node devices 300 -1 to 300 -3. That is, the biometric information acquisition unit 13 transmits an acquisition request for biometric information to one node device, and acquires encrypted biometric information transmitted from one node device in response to the request.

復号処理部14は、生体情報取得部13により取得された暗号化生体情報を、鍵生成部11により生成されて鍵記憶部10に記憶された秘密鍵によって復号化する。本実施形態において、暗号化生体情報を復号化できるのは、鍵情報を生成した医療機関端末100だけである。これにより、特定の医療機関と、その医療機関の診療や治療等を受けている特定の患者との間のみで、秘匿性を担保した状態で患者の生体情報をやり取りすることができる。   The decryption processing unit 14 decrypts the encrypted biometric information acquired by the biometric information acquisition unit 13 with the secret key generated by the key generation unit 11 and stored in the key storage unit 10. In the present embodiment, only the medical institution terminal 100 that has generated the key information can decrypt the encrypted biometric information. In this way, it is possible to exchange patient's biological information in a state where secrecy is secured only between a specific medical institution and a specific patient undergoing medical treatment or treatment of the medical institution.

図3は、第1の実施形態による患者端末200の機能構成例を示すブロック図である。図3に示すように、第1の実施形態による患者端末200は、その機能構成として、生体情報入力部21、公開鍵取得部22、暗号処理部23および生体情報提供部24を備えている。   FIG. 3 is a block diagram showing an example of the functional configuration of the patient terminal 200 according to the first embodiment. As shown in FIG. 3, the patient terminal 200 according to the first embodiment includes a biometric information input unit 21, a public key acquisition unit 22, an encryption processing unit 23, and a biometric information provision unit 24 as its functional configuration.

上記各機能ブロック21〜24は、ハードウェア、DSP、ソフトウェアの何れによっても構成することが可能である。例えばソフトウェアによって構成する場合、上記各機能ブロック21〜24は、実際にはコンピュータのCPU、RAM、ROMなどを備えて構成され、RAMやROM、ハードディスクまたは半導体メモリ等の記録媒体に記憶されたプログラムが動作することによって実現される。   Each of the functional blocks 21 to 24 can be configured by any of hardware, DSP, and software. For example, when configured by software, each of the functional blocks 21 to 24 actually comprises a CPU, a RAM, a ROM and the like of a computer, and a program stored in a recording medium such as a RAM, a ROM, a hard disk or a semiconductor memory Is realized by operating.

生体情報入力部21は、患者の生体情報を入力する。上述のように、生体情報は、患者の生理、心理、行動に関する情報の何れか1つまたは複数であり、例えば患者の自宅に置かれた医療機器(図示せず)で測定された情報を入力する。あるいは、患者端末200にインストールされたアプリケーションプログラムの実行を通じて、当該アプリケーションプログラムの機能として生体情報を入力する。このアプリケーションプログラムは、公開鍵取得部22、暗号処理部23および生体情報提供部24の機能を実行するプログラムと同じプログラムであってもよいし、別のプログラムであってもよい。   The living body information input unit 21 inputs living body information of a patient. As described above, the biological information is any one or more of information on the patient's physiology, psychology and behavior, and for example, the information measured by a medical device (not shown) placed at the patient's home is input Do. Alternatively, through execution of an application program installed in the patient terminal 200, biological information is input as a function of the application program. This application program may be the same program as the program that executes the functions of the public key acquisition unit 22, the encryption processing unit 23, and the biometric information provision unit 24, or may be another program.

生体情報入力部21は、入力した生体情報に対して、患者の個人を特定可能な患者情報を付加する。付加する患者情報は、患者が患者端末200のタッチパネルやキーボード等の操作インタフェースを操作することにより、あらかじめ入力して記憶しておく。生体情報入力部21は、あらかじめ記憶されている患者情報を生体情報に付加する。なお、生体情報の入力時に合わせて、患者情報を都度入力するようにしてもよい。   The biometric information input unit 21 adds patient information that can identify the individual of the patient to the input biometric information. The patient information to be added is previously input and stored when the patient operates an operation interface such as a touch panel or a keyboard of the patient terminal 200. The biological information input unit 21 adds patient information stored in advance to the biological information. The patient information may be input each time according to the input of the biological information.

公開鍵取得部22は、複数のノード装置300-1〜300-3に記憶されている公開鍵を一のノード装置から取得する。すなわち、公開鍵取得部22は、一のノード装置に対して公開鍵の取得要求を送信し、この要求に応じて一のノード装置から送信されてくる公開鍵を取得する。Public key acquisition unit 22 acquires the public key stored in the plurality of node devices 300 -1 to 300 -3 from one node device. That is, the public key acquisition unit 22 transmits a public key acquisition request to one node device, and acquires a public key transmitted from one node device in response to the request.

暗号処理部23は、公開鍵取得部22により取得された公開鍵によって、患者の生体情報および当該生体情報に付加される患者情報の少なくとも一方を暗号化することにより、暗号化生体情報を生成する。生体情報提供部24は、暗号処理部23により生成された暗号化生体情報を、複数のノード装置300-1〜300-3のうち一のノード装置に提供する。The encryption processing unit 23 generates encrypted biometric information by encrypting at least one of patient biometric information and patient information added to the biometric information with the public key acquired by the public key acquisition unit 22. . Biometric information providing unit 24 provides the encrypted biometric information generated by the encryption processing unit 23, the one node device out of the plurality of node devices 300 -1 to 300 -3.

図4は、第1の実施形態によるノード装置300の機能構成例を示すブロック図である。なお、ここではノード装置300-1の機能構成例を示しているが、他のノード装置300-2〜300-3も同様に構成されている。FIG. 4 is a block diagram showing an example of a functional configuration of the node device 300 according to the first embodiment. Here, there is shown an example of the functional configuration of the node device 300 -1, it is configured similarly other node devices 300 -2 to 300 -3.

図4に示すように、第1の実施形態によるノード装置300-1は、その機能構成として、公開鍵受信部31、第1のコンセンサス処理部32、公開鍵記憶制御部33、生体情報受信部34、第2のコンセンサス処理部35、生体情報記憶制御部36、公開鍵送信部37および生体情報送信部38を備えている。また、第1の実施形態によるノード装置300-1は、記憶媒体として、データ記憶部30を備えている。As shown in FIG. 4, the node device 300 -1 of the first embodiment, as a functional structure, the public key reception unit 31, the first consensus processing unit 32, a public key storage control unit 33, the biological information receiving unit 34, a second consensus processing unit 35, a biological information storage control unit 36, a public key transmission unit 37, and a biological information transmission unit 38. Also, the node device 300 -1 of the first embodiment, as the storage medium, and a data storage unit 30.

上記各機能ブロック31〜38は、ハードウェア、DSP、ソフトウェアの何れによっても構成することが可能である。例えばソフトウェアによって構成する場合、上記各機能ブロック31〜38は、実際にはコンピュータのCPU、RAM、ROMなどを備えて構成され、RAMやROM、ハードディスクまたは半導体メモリ等の記録媒体に記憶されたプログラムが動作することによって実現される。   Each of the functional blocks 31 to 38 can be configured by any of hardware, DSP, and software. For example, when configured by software, each of the functional blocks 31 to 38 actually comprises a CPU, a RAM, a ROM and the like of a computer, and a program stored in a storage medium such as a RAM, a ROM, a hard disk or a semiconductor memory. Is realized by operating.

公開鍵受信部31は、医療機関端末100の公開鍵提供部12により提供された公開鍵を受信する。第1のコンセンサス処理部32は、医療機関端末100から提供された公開鍵(公開鍵受信部31により受信された公開鍵)を複数のノード装置300-1〜300-3の全体で共有するための合意形成処理を行う。すなわち、ノード装置300-1の第1のコンセンサス処理部32は、公開鍵受信部31により受信された公開鍵を他のノード装置300-2〜300-3に送信し、所定の合意形成処理を行う。The public key receiving unit 31 receives the public key provided by the public key providing unit 12 of the medical institution terminal 100. The first consensus processing unit 32, for sharing a public key provided from the medical institution terminal 100 (public key received by the public key receiver unit 31) across the plurality of node devices 300 -1 to 300 -3 Process of consensus building. That is, the first consensus processor 32 of the node device 300 -1 transmits the public key received by the public key receiver unit 31 to the other node devices 300 -2 to 300 -3, a predetermined consensus process Do.

第1のコンセンサス処理部32が行う合意形成処理として、ブロックチェーン技術で公知のコンセンサスアルゴリズムを用いることが可能である。例えば、第1のコンセンサス処理部32は、PBFT(Practical Byzantine Fault Tolerance)のコンセンサスアルゴリズムを用いて合意形成処理を行うことにより、医療機関端末100から提供された公開鍵の正当性を検証する。   As a consensus forming process performed by the first consensus processing unit 32, a consensus algorithm known in the block chain technology can be used. For example, the first consensus processing unit 32 verifies the legitimacy of the public key provided from the medical institution terminal 100 by performing a consensus forming process using a consensus algorithm of PBFT (Practical Byzantine Fault Tolerance).

公開鍵記憶制御部33は、第1のコンセンサス処理部32により合意形成された場合にのみ、複数のノード装置300-2〜300-3がそれぞれ備えるデータ記憶部30に公開鍵を記憶させる。これにより、複数のノード装置300-1〜300-3において、合意形成された公開鍵が分散して保存される。The public key storage control unit 33 stores the public key in the data storage unit 30 respectively provided in each of the plurality of node devices 300 -2 to 300 -3 only when the first consensus processing unit 32 makes an agreement. Thus, a plurality of node devices 300 -1 to 300 -3, public key consensus is stored dispersed.

生体情報受信部34は、患者端末200の生体情報提供部24により提供された暗号化生体情報を受信する。第2のコンセンサス処理部35は、患者端末200から提供された暗号化生体情報(生体情報受信部34により受信された暗号化生体情報)を複数のノード装置300-1〜300-3の全体で共有するための合意形成処理を行う。この第2のコンセンサス処理部35が行う合意形成処理にも、ブロックチェーン技術で公知のコンセンサスアルゴリズムを用いることが可能である。The living body information receiving unit 34 receives the encrypted living body information provided by the living body information providing unit 24 of the patient terminal 200. The second consensus processing unit 35, the entire patient encrypted biometric information provided from the terminal 200 a plurality of (biological information receiver encrypted biometric information received by 34) the node device 300 -1 to 300 -3 Conduct consensus building process to share. The consensus forming process performed by the second consensus processing unit 35 can also use a consensus algorithm known in the block chain technology.

生体情報記憶制御部36は、第2のコンセンサス処理部35により合意形成された場合にのみ、複数のノード装置300-1〜300-3がそれぞれ備えるデータ記憶部30に暗号化生体情報を記憶させる。これにより、複数のノード装置300-1〜300-3において、合意形成された暗号化生体情報が分散して保存される。The biometric information storage control unit 36 stores the encrypted biometric information in the data storage unit 30 provided for each of the plurality of node devices 300 -1 to 300 -3 only when the second consensus processing unit 35 agrees to form. . Thus, a plurality of node devices 300 -1 to 300 -3, encrypted biometric information which is consensus is preserved dispersed.

公開鍵送信部37は、患者端末200の公開鍵取得部22から送られてくる公開鍵の取得要求に応じて、データ記憶部30に記憶されている公開鍵を患者端末200に送信する。生体情報送信部38は、医療機関端末100の生体情報取得部13から送られてくる生体情報の取得要求に応じて、データ記憶部30に記憶されている暗号化生体情報を医療機関端末100に送信する。   The public key transmission unit 37 transmits the public key stored in the data storage unit 30 to the patient terminal 200 in response to the public key acquisition request sent from the public key acquisition unit 22 of the patient terminal 200. The biometric information transmission unit 38 transmits the encrypted biometric information stored in the data storage unit 30 to the medical institution terminal 100 in response to the biometric information acquisition request sent from the biometric information acquisition unit 13 of the medical institution terminal 100. Send.

次に、以上のように構成した第1の実施形態による個人情報保護システムの動作を説明する。図5は、医療機関端末100からノード装置300に公開鍵を送信して記憶させる際の動作例を示すフローチャートである。   Next, the operation of the personal information protection system according to the first embodiment configured as described above will be described. FIG. 5 is a flowchart showing an operation example when transmitting the public key from the medical institution terminal 100 to the node device 300 and storing it.

まず、医療機関端末100の鍵生成部11が、公開鍵および秘密鍵を生成し(ステップS1)、生成した鍵情報を鍵記憶部10に記憶させる(ステップS2)。次いで、公開鍵提供部12が、鍵生成部11により生成された公開鍵を、複数のノード装置300-1〜300-3のうち一のノード装置に提供する(ステップS3)。First, the key generation unit 11 of the medical institution terminal 100 generates a public key and a secret key (step S1), and stores the generated key information in the key storage unit 10 (step S2). Then, the public key providing unit 12 provides the public key generated by the key generation unit 11, the one node device out of the plurality of node devices 300 -1 to 300 -3 (step S3).

一方、ノード装置300では、医療機関端末100から送信されてきた公開鍵を公開鍵受信部31が受信すると(ステップS11)、第1のコンセンサス処理部32が、当該受信された公開鍵を複数のノード装置300-1〜300-3の全体で共有するための合意形成処理を行う(ステップS12)。On the other hand, in the node device 300, when the public key receiving unit 31 receives the public key transmitted from the medical institution terminal 100 (step S11), the first consensus processing unit 32 generates a plurality of received public keys. performing consensus process for sharing across node 300 -1 to 300 -3 (step S12).

次いで、公開鍵記憶制御部33は、第1のコンセンサス処理部32による合意形成が成功したか否かを判定し(ステップS13)、合意形成された場合にのみ、複数のノード装置300-1〜300-3がそれぞれ備えるデータ記憶部30に公開鍵を記憶させる(ステップS14)。これにより、図5に示すフローチャートの処理が終了する。Next, the public key storage control unit 33 determines whether or not the consensus formation by the first consensus processing unit 32 is successful (step S13), and only when the agreement is formed, the plurality of node devices 300 -1 to 300 -3 stores the public key in the data storage unit 30 with each (step S14). Thus, the process of the flowchart illustrated in FIG. 5 ends.

図6は、患者の生体情報を暗号化して患者端末200からノード装置300に送信して記憶させる際の動作例を示すフローチャートである。まず、患者端末200の公開鍵取得部22は、公開鍵の取得要求をノード装置300に送信する(ステップS21)。ノード装置300の公開鍵送信部37は、公開鍵の取得要求を患者端末200から受信すると(ステップS31)、データ記憶部30に保存されている公開鍵を患者端末200に送信する(ステップS32)。これに応じて、公開鍵取得部22は、ノード装置300から送信されてきた公開鍵を取得する(ステップS22)。   FIG. 6 is a flowchart showing an operation example when encrypting patient's biological information and transmitting it from the patient terminal 200 to the node device 300 for storage. First, the public key acquisition unit 22 of the patient terminal 200 transmits a public key acquisition request to the node device 300 (step S21). When the public key transmission unit 37 of the node device 300 receives a public key acquisition request from the patient terminal 200 (step S31), the public key transmission unit 37 transmits the public key stored in the data storage unit 30 to the patient terminal 200 (step S32). . In response to this, the public key acquisition unit 22 acquires the public key transmitted from the node device 300 (step S22).

また、生体情報入力部21は、患者の生体情報を入力する(ステップS23)。そして、暗号処理部23は、公開鍵取得部22により取得された公開鍵によって、患者の生体情報および患者情報の少なくとも一方を暗号化することにより、暗号化生体情報を生成する(ステップS24)。生体情報提供部24は、暗号処理部23により生成された暗号化生体情報を、複数のノード装置300-1〜300-3のうち一のノード装置に提供する(ステップS25)。Further, the biological information input unit 21 inputs biological information of the patient (step S23). Then, the encryption processing unit 23 generates encrypted biometric information by encrypting at least one of the patient biometric information and the patient information with the public key acquired by the public key acquisition unit 22 (step S24). Biometric information providing unit 24 provides the encrypted biometric information generated by the encryption processing unit 23, the one node device out of the plurality of node devices 300 -1 to 300 -3 (step S25).

なお、ステップS21,S22,S31,S32による公開鍵の取得と、ステップS23による生体情報の入力は、処理の順番を逆としてもよい。また、患者が生体情報を繰り返しノード装置300に提供するような場合において、既に公開鍵を取得済みである場合には、ステップS21,S22,S31,S32による公開鍵の取得を省略することが可能である。   In addition, acquisition of the public key by step S21, S22, S31, S32, and the input of the biometric information by step S23 are good also as reverse order of a process. Further, in the case where the patient repeatedly provides the node apparatus 300 with biological information, if the public key has already been acquired, acquisition of the public key in steps S21, S22, S31, and S32 can be omitted. It is.

ノード装置300では、患者端末200から送信された暗号化生体情報を生体情報受信部34において受信すると(ステップS33)、第2のコンセンサス処理部35が、当該受信した暗号化生体情報を複数のノード装置300-1〜300-3の全体で共有するための合意形成処理を行う(ステップS34)。In the node device 300, when the biometric information receiving unit 34 receives the encrypted biometric information transmitted from the patient terminal 200 (step S33), the second consensus processing unit 35 determines the received encrypted biometric information as a plurality of nodes. performing consensus process for sharing the entire device 300 -1 to 300 -3 (step S34).

次いで、生体情報記憶制御部36は、第2のコンセンサス処理部35による合意形成が成功したか否かを判定し(ステップS35)、合意形成された場合にのみ、複数のノード装置300-1〜300-3がそれぞれ備えるデータ記憶部30に暗号化生体情報を記憶させる(ステップS36)。これにより、図6に示すフローチャートの処理が終了する。Next, the biological information storage control unit 36 determines whether or not the consensus formation by the second consensus processing unit 35 is successful (step S35), and only when the consensus is formed, the plurality of node devices 300 -1 to- 300 -3 stores the encrypted biometric information in the data storage unit 30 with each (step S36). Thus, the process of the flowchart illustrated in FIG. 6 ends.

図7は、医療機関端末100がノード装置300から暗号化生体情報を取得して復号化する際の動作例を示すフローチャートである。まず、医療機関端末100の生体情報取得部13は、生体情報の取得要求をノード装置300に送信する(ステップS41)。ノード装置300の生体情報送信部38は、生体情報の取得要求を医療機関端末100から受信すると(ステップS51)、データ記憶部30に保存されている暗号化生体情報を医療機関端末100に送信する(ステップS52)。これに応じて、生体情報取得部13は、ノード装置300から送信されてきた暗号化生体情報を取得する(ステップS42)。   FIG. 7 is a flowchart showing an operation example when the medical institution terminal 100 acquires encrypted biometric information from the node device 300 and decrypts it. First, the biometric information acquisition unit 13 of the medical institution terminal 100 transmits an acquisition request for biometric information to the node device 300 (step S41). When the biometric information transmission unit 38 of the node device 300 receives the acquisition request of the biometric information from the medical institution terminal 100 (step S51), the biometric information transmission unit 38 transmits the encrypted biometric information stored in the data storage unit 30 to the medical institution terminal 100. (Step S52). In response to this, the biometric information acquisition unit 13 acquires the encrypted biometric information transmitted from the node device 300 (step S42).

次いで、復号処理部14は、鍵記憶部10に記憶されている秘密鍵を取得し(ステップS43)、生体情報取得部13により取得された暗号化生体情報を当該秘密鍵によって復号化する(ステップS44)。これにより、図7に示すフローチャートの処理が終了する。   Next, the decryption processing unit 14 acquires the secret key stored in the key storage unit 10 (step S43), and decrypts the encrypted biometric information acquired by the biometric information acquisition unit 13 using the secret key (step S43). S44). Thus, the process of the flowchart illustrated in FIG. 7 ends.

以上詳しく説明したように、第1の実施形態によれば、患者端末200から医療機関端末100に提供される患者の生体情報は、それ自体または当該生体情報に付加される患者情報が公開鍵によって暗号化されることにより、秘匿化される。秘匿化された生体情報は、秘密鍵を生成した医療機関においてのみ復号化して利用することが可能である。   As described above in detail, according to the first embodiment, the patient's biological information provided from the patient terminal 200 to the medical institution terminal 100 is the patient information added to itself or the biological information by the public key. It is concealed by being encrypted. The concealed biometric information can be decrypted and used only at the medical institution that generated the secret key.

また、公開鍵は、複数のノード装置300間で実行される合意形成処理により正当であることが検証された場合にのみ、各ノード装置300に分散して記憶されるので、例えば、ノード装置300に悪質なプログラムが仕掛けられることにより、公開鍵自体の改ざんが行われることを防ぐことができる。公開鍵の改ざんが抑止されるので、改ざんされた不正な公開鍵によって生体情報等が暗号化され、不正な秘密鍵により復号されて生体情報が改ざんされるといったことも抑止することができる。   In addition, since the public key is distributed and stored in each node device 300 only when it is verified that the public key is valid by the agreement forming process executed among the plurality of node devices 300, for example, the node device 300 By installing a malicious program on the Internet, it is possible to prevent the public key itself from being tampered with. Since tampering of the public key is suppressed, it is also possible to prevent the biometric information and the like from being encrypted with the tampered unauthorized public key and then being decoded with the unauthorized private key to tamper with the biometric information.

さらに、公開鍵によって暗号化された生体情報等も、複数のノード装置300間で実行される合意形成処理により正当であることが検証された場合にのみ、各ノード装置300に分散して記憶されるので、例えば、ノード装置300に悪質なプログラムが仕掛けられることにより、暗号化された生体情報等の改ざんが行われることを防ぐことができる。   Furthermore, biometric information encrypted with a public key is also distributed and stored in each node device 300 only when it is verified that the information is valid by the agreement forming process performed between the plurality of node devices 300. Therefore, for example, by installing a malicious program in the node device 300, it is possible to prevent the falsification of the encrypted biological information and the like from being performed.

以上により、第1の実施形態によれば、患者端末200から医療機関端末100に提供される患者の生体情報の真正性(改ざん不能性)と秘匿性とを実現することができる。   As described above, according to the first embodiment, it is possible to realize the authenticity (non-falsification ability) and the secrecy of the biological information of the patient provided from the patient terminal 200 to the medical institution terminal 100.

(第2の実施形態)
次に、本発明の第2の実施形態を図面に基づいて説明する。図8は、第2の実施形態による個人情報保護システムの全体構成例を示す図である。なお、この図8において、図1に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。Second Embodiment
Next, a second embodiment of the present invention will be described based on the drawings. FIG. 8 is a diagram showing an example of the overall configuration of the personal information protection system according to the second embodiment. In addition, in this FIG. 8, since what attached | subjected the code | symbol same as the code | symbol shown in FIG. 1 has the same function, the description which overlaps here is abbreviate | omitted.

図8に示すように、第2の実施形態による個人情報保護システムは、2つの医療機関において使用する端末として、2つの医療機関端末100A,100Bを備えている。第1の医療機関端末100Aとノード装置300’との間および第2の医療機関端末100Bとノード装置300’との間は、それぞれインターネット等の通信ネットワークにより接続可能に構成されている。   As shown in FIG. 8, the personal information protection system according to the second embodiment includes two medical institution terminals 100A and 100B as terminals used in two medical institutions. The first medical institution terminal 100A and the node device 300 'and the second medical institution terminal 100B and the node device 300' are configured to be connectable by a communication network such as the Internet.

なお、図8では、第1の医療機関端末100Aがノード装置300-3’に接続され、第2の医療機関端末100Bがノード装置300-1’に接続された状態を示しているが、医療機関端末100A,100Bは何れも分散型ネットワーク内にあるノード装置300-1’〜300-3’の何れかと任意に接続することが可能である。Although FIG. 8 shows a state in which the first medical institution terminal 100A is connected to the node device 300 -3 ′ and the second medical institution terminal 100B is connected to the node device 300 -1 ′, institution terminal 100A, 100B are both can be arbitrarily connected to any of node devices 300 -1 '300 3' within a distributed network.

図9は、第2の実施形態による第1の医療機関端末100Aの機能構成例を示すブロック図である。なお、この図9において、図2に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。   FIG. 9 is a block diagram showing an example of a functional configuration of the first medical institution terminal 100A according to the second embodiment. Note that in FIG. 9, the components given the same reference numerals as the reference numerals shown in FIG. 2 have the same functions, and thus redundant description will be omitted here.

図9に示すように、第1の医療機関端末100Aは、その機能構成として、カルテ情報入力部15、カルテ暗号処理部16およびカルテ情報提供部17を更に備えている。これらの機能ブロック15〜17も、ハードウェア、DSP、ソフトウェアの何れによっても構成することが可能である。   As shown in FIG. 9, the first medical institution terminal 100A further includes a medical record information input unit 15, a medical record encryption processing unit 16, and a medical record information provision unit 17 as its functional configuration. These functional blocks 15 to 17 can also be configured by any of hardware, DSP, and software.

カルテ情報入力部15は、患者のカルテ情報を入力する。カルテ情報は、患者の診療や治療等に関する種々の情報を記録したものであり、患者の担当医師が診療や治療等を行う都度、必要な情報を書き込んで保存したものである。作成されたカルテ情報は、担当医師が使用するローカル端末または病院内ネットワークの共有サーバ等に保存される。カルテ情報入力部15は、ローカル端末または共有サーバ等に保存されているカルテ情報を入力する。   The chart information input unit 15 inputs patient's chart information. The chart information is a record of various information related to the medical treatment, treatment, etc. of the patient, and is stored by writing necessary information every time the doctor in charge of the patient performs medical treatment, treatment, etc. The created medical record information is stored in a local terminal used by the doctor in charge, a shared server of the in-hospital network, or the like. The chart information input unit 15 inputs the chart information stored in the local terminal or the shared server.

カルテ暗号処理部16は、鍵生成部11により生成されて鍵記憶部10に記憶された公開鍵によって、カルテ情報入力部15により入力されたカルテ情報を暗号化することにより、暗号化カルテ情報を生成する。なお、カルテ情報の暗号化は、カルテ情報の全体に対して行ってもよいし、カルテ情報内に含まれる患者情報の部分に対してのみ行ってもよい。   The medical record encryption processing unit 16 encrypts the medical chart information by encrypting the medical record information input by the medical record information input unit 15 with the public key generated by the key generation unit 11 and stored in the key storage unit 10. Generate The encryption of the medical record information may be performed on the entire medical record information, or may be performed only on the part of the patient information included in the medical record information.

カルテ情報提供部17は、カルテ暗号処理部16により生成された暗号化カルテ情報を、複数のノード装置のうち一のノード装置300-1〜300-3に提供する。Medical record information providing unit 17 provides the encrypted medical record information generated by the chart encryption unit 16, the one node device 300 -1 to 300 -3 among the plurality of node devices.

図10は、第2の実施形態による第2の医療機関端末100Bの機能構成例を示すブロック図である。図10に示すように、第2の医療機関端末100Bは、その機能構成として、カルテ情報取得部41、カルテ復号処理部42および秘密鍵取得部43を備えている。また、第2の医療機関端末100Bは、記憶媒体として、秘密鍵記憶部40を備えている。これらの機能ブロック41〜43も、ハードウェア、DSP、ソフトウェアの何れによっても構成することが可能である。   FIG. 10 is a block diagram showing an example of a functional configuration of the second medical institution terminal 100B according to the second embodiment. As shown in FIG. 10, the second medical institution terminal 100B includes a medical record information acquisition unit 41, a medical record decryption processing unit 42, and a secret key acquisition unit 43 as its functional configuration. In addition, the second medical institution terminal 100B includes a secret key storage unit 40 as a storage medium. These functional blocks 41 to 43 can also be configured by any of hardware, DSP, and software.

カルテ情報取得部41は、複数のノード装置300-1’〜300-3’のうち一のノード装置から暗号化カルテ情報を取得する。すなわち、カルテ情報取得部41は、一のノード装置に対してカルテ情報の取得要求を送信し、この要求に応じて一のノード装置から送信されてくる暗号化カルテ情報を取得する。Medical record information acquiring unit 41 acquires the encrypted medical record information from one node device out of the plurality of node devices 300 -1 '300 -3'. That is, the chart information acquisition unit 41 transmits a chart information acquisition request to one node device, and acquires encrypted chart information transmitted from one node device in response to the request.

秘密鍵取得部43は、第1の医療機関端末100Aにて生成された秘密鍵を、ノード装置300’を経由しない別の安全なルートを介して取得する。例えば、第1の医療機関端末100Aと第2の医療機関端末100Bとの間に設定したVPN(Virtual Private Network)または専用線を介して、秘密鍵取得部43が第1の医療機関端末100Aから秘密鍵を取得するようにすることが可能である。または、秘密鍵を紙媒体または情報記憶媒体に出力したものを郵送するようにしてもよい。   The secret key acquisition unit 43 acquires the secret key generated by the first medical institution terminal 100A via another secure route not via the node device 300 '. For example, from the first medical institution terminal 100A through the private key acquisition unit 43 via a VPN (Virtual Private Network) or a dedicated line set between the first medical institution terminal 100A and the second medical institution terminal 100B. It is possible to obtain a secret key. Alternatively, the secret key may be output by mail to a paper medium or an information storage medium.

別の方法として、以下のようにしてもよい。すなわち、第2の医療機関端末100Bにて別の公開鍵と別の秘密鍵との組を生成し、別の公開鍵を公開する。そして、第1の医療機関端末100Aで生成した秘密鍵を、第2の医療機関端末100Bで生成された別の公開鍵で暗号化し、暗号化した秘密鍵を第1の医療機関端末100Aから第2の医療機関端末100Bに送信する。秘密鍵取得部43は、第1の医療機関端末100Aから取得した秘密鍵を別の秘密鍵で復号化し、秘密鍵記憶部40に記憶させる。   Alternatively, it may be as follows. That is, a pair of another public key and another secret key is generated at the second medical institution terminal 100B, and another public key is released. Then, the secret key generated by the first medical institution terminal 100A is encrypted with another public key generated by the second medical institution terminal 100B, and the encrypted secret key is transmitted from the first medical institution terminal 100A to the first medical institution terminal 100A. It transmits to 2 medical institution terminal 100B. The secret key acquisition unit 43 decrypts the secret key acquired from the first medical institution terminal 100A with another secret key, and stores the decrypted secret key in the secret key storage unit 40.

カルテ復号処理部42は、カルテ情報取得部41により取得された暗号化カルテ情報を、秘密鍵記憶部40に記憶された秘密鍵によって復号化する。本実施形態において、暗号化カルテ情報を復号化できるのは、秘密鍵を生成した第1の医療機関端末100Aから安全なルートで秘密鍵を取得した第2の医療機関端末100Bだけである。   The medical record decryption processing unit 42 decrypts the encrypted medical record information acquired by the medical record information acquisition unit 41 with the secret key stored in the secret key storage unit 40. In the present embodiment, only the second medical institution terminal 100B that has acquired the secret key through the secure route from the first medical institution terminal 100A that has generated the secret key can decrypt the encrypted medical record information.

図11は、第2の実施形態によるノード装置300’の機能構成例を示すブロック図である。なお、ここではノード装置300-1’の機能構成例を示しているが、他のノード装置300-2’〜300-3’も同様に構成されている。FIG. 11 is a block diagram showing an example of a functional configuration of a node device 300 'according to the second embodiment. Incidentally, 'it is shown an example of the functional configuration of the other nodes 300 - 2' where the node device 300 -1 to 300 -3 'are similarly constructed.

図11に示すように、第2の実施形態によるノード装置300-1’は、その機能構成として、カルテ情報受信部51、第3のコンセンサス処理部52、カルテ情報記憶制御部53およびカルテ情報送信部54を更に備えている。これらの機能ブロック51〜54も、ハードウェア、DSP、ソフトウェアの何れによっても構成することが可能である。As shown in FIG. 11, the node device 300-1 'according to the second embodiment has, as its functional configuration, a medical chart information receiving unit 51, a third consensus processing unit 52, a medical chart information storage control unit 53, and a medical chart information transmission. It further comprises a part 54. These functional blocks 51 to 54 can also be configured by any of hardware, DSP, and software.

カルテ情報受信部51は、第1の医療機関端末100Aのカルテ情報提供部17により提供された暗号化カルテ情報を受信する。第3のコンセンサス処理部52は、第1の医療機関端末100Aから提供された暗号化カルテ情報(カルテ情報受信部51により受信された暗号化カルテ情報)を複数のノード装置300-1’〜300-3’の全体で共有するための合意形成処理を行う。この第3のコンセンサス処理部52が行う合意形成処理にも、ブロックチェーン技術で公知のコンセンサスアルゴリズムを用いることが可能である。The chart information receiving unit 51 receives the encrypted chart information provided by the chart information providing unit 17 of the first medical institution terminal 100A. Third consensus processing unit 52, the first medical institution terminal 100A encrypted medical record information provided from a plurality of node devices (medical record information receiving unit 51 received encrypted medical record information by) 300 -1 '300 Conduct consensus-building process to share the whole of -3 '. The consensus forming process performed by the third consensus processing unit 52 can also use a consensus algorithm known in the block chain technology.

カルテ情報記憶制御部53は、第3のコンセンサス処理部52により合意形成された場合にのみ、複数のノード装置300-1’〜300-3’がそれぞれ備えるデータ記憶部30に暗号化カルテ情報を記憶させる。これにより、複数のノード装置300-1’〜300-3’において、合意形成された暗号化カルテ情報が分散して保存される。Medical record information storage control unit 53, only when it is consensus by the third consensus processing unit 52, the encrypted medical record information a plurality of node devices 300 -1 '300 3' to the data storage unit 30 with each Remember. Thus, a plurality of node devices 300 -1 '300 -3', encrypted medical record information consensus is stored dispersed.

カルテ情報送信部54は、第2の医療機関端末100Bのカルテ情報取得部41から送られてくるカルテ情報の取得要求に応じて、データ記憶部30に記憶されている暗号化カルテ情報を第2の医療機関端末100Bに送信する。   The medical record information transmission unit 54 transmits the encrypted medical record information stored in the data storage unit 30 in response to the medical record information acquisition request sent from the medical record information acquisition unit 41 of the second medical institution terminal 100B. To the medical institution terminal 100B.

以上のように構成した第2の実施形態によれば、第1の医療機関端末100Aと第2の医療機関端末100Bとの間で、患者のカルテ情報の真正性(改ざん不能性)と秘匿性とを担保しながら、カルテ情報の共有を実現することができる。   According to the second embodiment configured as described above, between the first medical institution terminal 100A and the second medical institution terminal 100B, authenticity (non-falsification ability) and confidentiality of the patient's chart information And sharing of medical record information can be realized.

すなわち、第1の医療機関端末100Aから第2の医療機関端末100Bに提供される患者のカルテ情報は、その全体または患者情報の部分が公開鍵によって暗号化されることにより、秘匿化される。秘匿化されたカルテ情報は、第1の医療機関から秘密鍵を取得した第2の医療機関においてのみ復号化して利用することが可能である。   That is, the patient's medical chart information provided from the first medical institution terminal 100A to the second medical institution terminal 100B is concealed by encrypting the whole or a part of the patient information with the public key. The concealed medical record information can be decrypted and used only in the second medical institution that has acquired the secret key from the first medical institution.

また、公開鍵は、複数のノード装置300’間で実行される合意形成処理により正当であることが検証された場合にのみ、各ノード装置300’に分散して記憶されるので、例えば、ノード装置300’に悪質なプログラムが仕掛けられることにより、公開鍵自体の改ざんが行われることを防ぐことができる。公開鍵の改ざんが抑止されるので、改ざんされた不正な公開鍵によってカルテ情報等が暗号化され、不正な秘密鍵により復号されてカルテ情報が改ざんされるといったことも抑止することができる。   Further, the public key is distributed and stored in each node device 300 'only when the public key is verified to be valid by the agreement forming process executed among the plurality of node devices 300'. By installing a malicious program in the device 300 ′, it is possible to prevent the tampering of the public key itself. Since tampering of the public key is suppressed, it is possible to suppress that medical chart information and the like are encrypted with the tampered unauthorized public key, and that the medical chart information is tampered with by being decrypted with the illegal private key.

さらに、公開鍵によって暗号化されたカルテ情報等も、複数のノード装置300’間で実行される合意形成処理により正当であることが検証された場合にのみ、各ノード装置300’に分散して記憶されるので、例えば、ノード装置300’に悪質なプログラムが仕掛けられることにより、暗号化されたカルテ情報等の改ざんが行われることを防ぐことができる。   Furthermore, the medical record information etc. encrypted by the public key is also distributed to each node device 300 ′ only when it is verified that it is valid by the agreement forming process executed among the plurality of node devices 300 ′. Since the information is stored, for example, by installing a malicious program in the node device 300 ′, it is possible to prevent the falsification of the encrypted medical record information and the like from being performed.

以上により、第2の実施形態によれば、第1の医療機関端末100Aから第2の医療機関端末100Bに提供されて共有される患者のカルテ情報の真正性(改ざん不能性)と秘匿性とを実現することができる。   As described above, according to the second embodiment, the authenticity (non-falsification ability) and confidentiality of the patient's chart information provided and shared from the first medical institution terminal 100A to the second medical institution terminal 100B. Can be realized.

なお、ここでは、第1の医療機関端末100Aにて暗号化されたカルテ情報を第2の医療機関端末100Bに提供する例を説明したが、これに限定されない。例えば、第2の医療機関端末100Bが生体情報取得部13および復号処理部14を更に備えることにより、患者端末200にて暗号化された生体情報を第2の医療機関端末100Bに提供することができるようにしてもよい。   Here, although the example which provides the 2nd medical institution terminal 100B the medical chart information encrypted with the 1st medical institution terminal 100A was explained, it is not limited to this. For example, when the second medical institution terminal 100B further includes the biological information acquisition unit 13 and the decryption processing unit 14, the biological information encrypted in the patient terminal 200 can be provided to the second medical institution terminal 100B. It may be possible.

また、上記第2の実施形態において、第2の医療機関端末100Bは、図10に示した構成に加えて、鍵記憶部10、鍵生成部11、公開鍵提供部12、生体情報取得部13、復号処理部14、カルテ情報入力部15、カルテ暗号処理部16およびカルテ情報提供部17を備えてもよい。また、第1の医療機関端末100Aは、図9に示した構成に加えて、秘密鍵記憶部40、カルテ情報取得部41、カルテ復号処理部42および秘密鍵取得部43を備えてもよい。   In the second embodiment, the second medical institution terminal 100B has a key storage unit 10, a key generation unit 11, a public key provision unit 12, a biometric information acquisition unit 13 in addition to the configuration shown in FIG. The decryption processing unit 14, the medical record information input unit 15, the medical record encryption processing unit 16, and the medical record information provision unit 17 may be provided. In addition to the configuration shown in FIG. 9, the first medical institution terminal 100A may include a secret key storage unit 40, a medical record information acquisition unit 41, a medical record decryption processing unit 42, and a secret key acquisition unit 43.

また、上記第2の実施形態において、秘密鍵記憶部40、カルテ情報取得部41、カルテ復号処理部42および秘密鍵取得部43を患者端末200が更に備えるようにしてもよい。このようにすれば、第1の医療機関端末100Aと患者端末200との間で、患者のカルテ情報の真正性(改ざん不能性)と秘匿性とを担保しながら、カルテ情報の共有を実現することができる。   In the second embodiment, the patient terminal 200 may further include the secret key storage unit 40, the medical record information acquisition unit 41, the medical record decryption processing unit 42, and the secret key acquisition unit 43. In this way, sharing of medical chart information is realized between the first medical institution terminal 100A and the patient terminal 200 while securing the authenticity (non-falsification ability) and confidentiality of the patient's medical chart information. be able to.

この場合、第1の医療機関端末100Aにおいて作成されたカルテ情報を、同じく第1の医療機関端末100Aにおいて生成した公開鍵によって暗号化するとともに、第1の医療機関端末100Aに生成した秘密鍵を安全なルートで第1の医療機関端末100Aから患者端末200に提供することになる。これに対し、以下のように構成してもよい。   In this case, the medical record information created at the first medical institution terminal 100A is encrypted with the public key similarly created at the first medical institution terminal 100A, and the secret key created at the first medical institution terminal 100A is used. It will provide from the 1st medical institution terminal 100A to the patient terminal 200 by a safe route. On the other hand, it may be configured as follows.

すなわち、患者端末200にて第2の公開鍵と第2の秘密鍵との組を生成し、第2の公開鍵をノード装置300’に提供する。ノード装置300’では、第2の公開鍵についてコンセンサス処理を行い、合意形成された場合にのみ第2の公開鍵を分散保存する。そして、第1の医療機関端末100Aにおいて作成されたカルテ情報を、第1の医療機関端末100Aがノード装置300’から取得した第2の公開鍵で暗号化し、暗号化カルテ情報を第1の医療機関端末100Aからノード装置300’に提供する。ノード装置300’では、暗号化カルテ情報についてコンセンサス処理を行い、合意形成された場合にのみ当該暗号化カルテ情報を分散保存する。患者端末200では、暗号化カルテ情報をノード装置300’から取得し、第2の公開鍵と共に生成しておいた第2の秘密鍵で復号化する。   That is, a pair of the second public key and the second secret key is generated in the patient terminal 200, and the second public key is provided to the node device 300 '. The node device 300 'performs a consensus process on the second public key, and distributes and stores the second public key only when an agreement is made. Then, the medical record information created in the first medical institution terminal 100A is encrypted with the second public key acquired by the first medical institution terminal 100A from the node device 300 ′, and the encrypted medical record information is used as the first medical care. The engine terminal 100A provides the node device 300 '. The node device 300 'performs a consensus process on the encrypted medical chart information, and disperses and stores the encrypted medical chart information only when the agreement is formed. The patient terminal 200 obtains the encrypted medical record information from the node device 300 'and decrypts it with the second secret key generated along with the second public key.

この場合における個人情報保護システムは、医療機関において使用する医療機関端末と、患者が使用する患者端末と、分散型ネットワークにより接続された複数のノード装置とを備えた個人情報保護システムであって、具体的には以下のように構成される。   The personal information protection system in this case is a personal information protection system including a medical institution terminal used in a medical institution, a patient terminal used by a patient, and a plurality of node devices connected by a distributed network, Specifically, it is configured as follows.

患者端末は、
第2の公開鍵および第2の秘密鍵を生成する第2の鍵生成部と、
上記第2の鍵生成部により生成された上記第2の公開鍵を、上記複数のノード装置のうち一のノード装置に提供する第2の公開鍵提供部と、
上記複数のノード装置のうち一のノード装置から暗号化カルテ情報を取得するカルテ情報取得部と、
上記カルテ情報取得部により取得された上記暗号化カルテ情報を、上記第2の鍵生成部により生成された上記第2の秘密鍵によって復号化する第2の復号処理部とを備える。The patient terminal is
A second key generation unit that generates a second public key and a second secret key;
A second public key providing unit for providing the second public key generated by the second key generation unit to one of the plurality of node devices;
A chart information acquisition unit that acquires encrypted chart information from one of the plurality of node devices;
And a second decryption processing unit that decrypts the encrypted medical chart information acquired by the medical chart information acquisition unit using the second secret key generated by the second key generation unit.

また、複数のノード装置は、
上記患者端末から提供された上記第2の公開鍵を上記複数のノード装置の全体で共有するための合意形成処理を行う第4のコンセンサス処理部と、
上記第4のコンセンサス処理部により合意形成された場合にのみ、上記複数のノード装置がそれぞれ備える上記データ記憶部に上記第2の公開鍵を記憶させる第2の公開鍵記憶制御部と、
上記医療機関端末から提供された上記暗号化カルテ情報を上記複数のノード装置の全体で共有するための合意形成処理を行う第5のコンセンサス処理部と、
上記第5のコンセンサス処理部により合意形成された場合にのみ、上記複数のノード装置がそれぞれ備える上記データ記憶部に上記暗号化カルテ情報を記憶させるカルテ情報記憶制御部とを備える。Also, multiple node devices are
A fourth consensus processing unit that performs agreement formation processing for sharing the second public key provided from the patient terminal among the plurality of node devices;
A second public key storage control unit for storing the second public key in the data storage units respectively provided in the plurality of node devices only when a consensus is formed by the fourth consensus processing unit;
A fifth consensus processing unit that performs agreement formation processing for sharing the encrypted medical record information provided from the medical institution terminal among all of the plurality of node devices;
The medical record information storage control unit is configured to store the encrypted medical record information in the data storage unit provided in each of the plurality of node devices only when the fifth consensus processing unit makes an agreement.

また、医療機関端末は、
上記複数のノード装置に記憶されている上記第2の公開鍵を一のノード装置から取得する第2の公開鍵取得部と、
上記第2の公開鍵取得部により取得された上記第2の公開鍵によってカルテ情報を暗号化することにより、上記暗号化カルテ情報を生成する第2の暗号処理部と、
上記第2の暗号処理部により生成された上記暗号化カルテ情報を、上記複数のノード装置のうち一のノード装置に提供するカルテ情報提供部とを備える。In addition, medical institution terminal
A second public key acquisition unit for acquiring the second public key stored in the plurality of node devices from one node device;
A second encryption processing unit that generates the encrypted medical record information by encrypting the medical record information with the second public key acquired by the second public key acquisition unit;
And a chart information providing unit that provides the one of the plurality of node devices with the encrypted chart information generated by the second encryption processing unit.

また、上記各実施形態では、コンセンサスアルゴリズムの一例としてPBFTを用いる例について説明したが、本発明はこれに限定されない。例えば、Proof of Work、Proof of Stake、Paxos、Raft、Sieveなどの他のコンセンサスアルゴリズムを用いてもよい。   Moreover, although the said each embodiment demonstrated the example which uses PBFT as an example of a consensus algorithm, this invention is not limited to this. For example, other consensus algorithms such as Proof of Work, Proof of Stake, Paxos, Raft, Sieve, etc. may be used.

その他、上述した各実施形態は、何れも本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその要旨、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。   In addition, each of the above-described embodiments is merely an example of the embodiment for carrying out the present invention, and the technical scope of the present invention should not be interpreted in a limited manner by these. . That is, the present invention can be implemented in various forms without departing from the scope or main features of the present invention.

11 鍵生成部
12 公開鍵提供部
13 生体情報取得部
14 復号処理部
15 カルテ情報入力部
16 カルテ暗号処理部
17 カルテ情報提供部
21 生体情報入力部
22 公開鍵取得部
23 暗号処理部
24 生体情報提供部
30 データ記憶部
31 公開鍵受信部
32 第1のコンセンサス処理部
33 公開鍵記憶制御部
34 生体情報受信部
35 第2のコンセンサス処理部
36 生体情報記憶制御部
37 公開鍵送信部
38 生体情報送信部
41 カルテ情報取得部
42 カルテ復号処理部
43 秘密鍵取得部
51 カルテ情報受信部
52 第3のコンセンサス処理部
53 カルテ情報記憶制御部
54 カルテ情報出力部
100,100A,100B 医療機関端末
200 患者端末
300,300’ ノード装置11 key generation unit 12 public key provision unit 13 biometric information acquisition unit 14 decryption processing unit 15 medical record information input unit 16 medical record encryption processing unit 17 medical record information provision unit 21 biometric information input unit 22 public key acquisition unit 23 cryptographic processing unit 24 biometric information Providing unit 30 Data storage unit 31 Public key reception unit 32 First consensus processing unit 33 Public key storage control unit 34 Biological information reception unit 35 Second consensus processing unit 36 Biological information storage control unit 37 Public key transmission unit 38 Biological information Transmission unit 41 medical record information acquisition unit 42 medical record decryption processing unit 43 private key acquisition unit 51 medical record information reception unit 52 third consensus processing unit 53 medical record information storage control unit 54 medical record information output unit 100, 100A, 100B medical institution terminal 200 patient Terminal 300, 300 'node device

Claims (3)

医療機関において使用する医療機関端末と、患者が使用する患者端末と、分散型ネットワークにより接続された複数のノード装置とを備えた個人情報保護システムであって、
上記医療機関端末は、
公開鍵および秘密鍵を生成する鍵生成部と、
上記鍵生成部により生成された上記公開鍵を、上記複数のノード装置のうち一のノード装置に提供する公開鍵提供部と、
上記複数のノード装置のうち一のノード装置から暗号化生体情報を取得する生体情報取得部と、
上記生体情報取得部により取得された上記暗号化生体情報を、上記鍵生成部により生成された上記秘密鍵によって復号化する復号処理部とを備え、
上記複数のノード装置は、
上記医療機関端末から提供された上記公開鍵を上記複数のノード装置の全体で共有するための合意形成処理を行う第1のコンセンサス処理部と、
上記第1のコンセンサス処理部により合意形成された場合にのみ、上記複数のノード装置がそれぞれ備えるデータ記憶部に上記公開鍵を記憶させる公開鍵記憶制御部と、
上記患者端末から提供された上記暗号化生体情報を上記複数のノード装置の全体で共有するための合意形成処理を行う第2のコンセンサス処理部と、
上記第2のコンセンサス処理部により合意形成された場合にのみ、上記複数のノード装置がそれぞれ備える上記データ記憶部に上記暗号化生体情報を記憶させる生体情報記憶制御部とを備え、
上記患者端末は、
上記複数のノード装置に記憶されている上記公開鍵を一のノード装置から取得する公開鍵取得部と、
上記公開鍵取得部により取得された上記公開鍵によって、患者の生体情報または当該生体情報に付加される個人を特定可能な情報を暗号化することにより、上記暗号化生体情報を生成する暗号処理部と、
上記暗号処理部により生成された上記暗号化生体情報を、上記複数のノード装置のうち一のノード装置に提供する生体情報提供部とを備えた
ことを特徴とする個人情報保護システム。A personal information protection system comprising a medical institution terminal used in a medical institution, a patient terminal used by a patient, and a plurality of node devices connected by a distributed network,
The medical institution terminal
A key generation unit that generates a public key and a secret key;
A public key providing unit for providing the public key generated by the key generation unit to one of the plurality of node devices;
A biometric information acquisition unit that acquires encrypted biometric information from one of the plurality of node devices;
A decryption processing unit that decrypts the encrypted biometric information acquired by the biometric information acquisition unit with the secret key generated by the key generation unit;
The plurality of node devices are
A first consensus processing unit for performing an agreement formation process for sharing the public key provided from the medical institution terminal among the plurality of node devices;
A public key storage control unit for storing the public key in data storage units respectively provided in the plurality of node devices only when a consensus is formed by the first consensus processing unit;
A second consensus processing unit that performs agreement formation processing for sharing the encrypted biometric information provided from the patient terminal among the plurality of node devices;
And a biometric information storage control unit for storing the encrypted biometric information in the data storage units respectively provided in the plurality of node devices only when the second consensus processing unit agrees with each other.
The patient terminal is
A public key acquisition unit for acquiring the public key stored in the plurality of node devices from one node device;
An encryption processing unit that generates the encrypted biometric information by encrypting biometric information of a patient or information that can specify an individual added to the biometric information with the public key acquired by the public key acquisition unit When,
A personal information protection system comprising: a biometric information providing unit that provides the one of the plurality of node devices with the encrypted biometric information generated by the encryption processing unit. 上記医療機関端末は、
上記鍵生成部により生成された上記公開鍵によってカルテ情報を暗号化することにより、暗号化カルテ情報を生成するカルテ暗号処理部と、
上記カルテ暗号処理部により生成された上記暗号化カルテ情報を、上記複数のノード装置のうち一のノード装置に提供するカルテ情報提供部とを備え、
上記複数のノード装置は、
上記医療機関端末から提供された上記暗号化カルテ情報を上記複数のノード装置の全体で共有するための合意形成処理を行う第3のコンセンサス処理部と、
上記第3のコンセンサス処理部により合意形成された場合にのみ、上記複数のノード装置がそれぞれ備える上記データ記憶部に上記暗号化カルテ情報を記憶させるカルテ情報記憶制御部とを備えたことを特徴とする請求項1に記載の個人情報保護システム。The medical institution terminal
A chart encryption processor that generates encrypted chart information by encrypting the chart information with the public key generated by the key generator;
And a chart information providing unit for providing the above-mentioned encrypted chart information generated by the above chart encryption processing unit to one of the plurality of node devices.
The plurality of node devices are
A third consensus processing unit that performs agreement formation processing for sharing the encrypted medical record information provided from the medical institution terminal among the plurality of node devices;
And a medical record information storage control unit for storing the encrypted medical record information in the data storage units respectively provided in the plurality of node devices only when the third consensus processing unit makes an agreement. The personal information protection system according to claim 1. 上記患者端末は、
第2の公開鍵および第2の秘密鍵を生成する第2の鍵生成部と、
上記第2の鍵生成部により生成された上記第2の公開鍵を、上記複数のノード装置のうち一のノード装置に提供する第2の公開鍵提供部と、
上記複数のノード装置のうち一のノード装置から暗号化カルテ情報を取得するカルテ情報取得部と、
上記カルテ情報取得部により取得された上記暗号化カルテ情報を、上記第2の鍵生成部により生成された上記第2の秘密鍵によって復号化する第2の復号処理部とを備え、
上記複数のノード装置は、
上記患者端末から提供された上記第2の公開鍵を上記複数のノード装置の全体で共有するための合意形成処理を行う第4のコンセンサス処理部と、
上記第4のコンセンサス処理部により合意形成された場合にのみ、上記複数のノード装置がそれぞれ備える上記データ記憶部に上記第2の公開鍵を記憶させる第2の公開鍵記憶制御部と、
上記医療機関端末から提供された上記暗号化カルテ情報を上記複数のノード装置の全体で共有するための合意形成処理を行う第5のコンセンサス処理部と、
上記第5のコンセンサス処理部により合意形成された場合にのみ、上記複数のノード装置がそれぞれ備える上記データ記憶部に上記暗号化カルテ情報を記憶させるカルテ情報記憶制御部とを備え、
上記医療機関端末は、
上記複数のノード装置に記憶されている上記第2の公開鍵を一のノード装置から取得する第2の公開鍵取得部と、
上記第2の公開鍵取得部により取得された上記第2の公開鍵によってカルテ情報を暗号化することにより、上記暗号化カルテ情報を生成する第2の暗号処理部と、
上記第2の暗号処理部により生成された上記暗号化カルテ情報を、上記複数のノード装置のうち一のノード装置に提供するカルテ情報提供部とを備えたことを特徴とする請求項1に記載の個人情報保護システム。The patient terminal is
A second key generation unit that generates a second public key and a second secret key;
A second public key providing unit for providing the second public key generated by the second key generation unit to one of the plurality of node devices;
A chart information acquisition unit that acquires encrypted chart information from one of the plurality of node devices;
A second decryption processing unit that decrypts the encrypted medical record information acquired by the medical record information acquisition unit using the second secret key generated by the second key generation unit;
The plurality of node devices are
A fourth consensus processing unit that performs agreement formation processing for sharing the second public key provided from the patient terminal among the plurality of node devices;
A second public key storage control unit for storing the second public key in the data storage units respectively provided in the plurality of node devices only when a consensus is formed by the fourth consensus processing unit;
A fifth consensus processing unit that performs agreement formation processing for sharing the encrypted medical record information provided from the medical institution terminal among all of the plurality of node devices;
And a chart information storage control unit for storing the encrypted chart information in the data storage units respectively provided in the plurality of node devices only when the fifth consensus processing unit makes an agreement.
The medical institution terminal
A second public key acquisition unit for acquiring the second public key stored in the plurality of node devices from one node device;
A second encryption processing unit that generates the encrypted medical record information by encrypting the medical record information with the second public key acquired by the second public key acquisition unit;
The medical chart information providing unit for providing the above-mentioned encrypted medical chart information generated by the second cryptographic processing unit to one of the plurality of node devices is provided. Personal information protection system.
JP2017552511A 2017-06-13 2017-06-13 Personal information protection system Active JP6245782B1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/021806 WO2018229867A1 (en) 2017-06-13 2017-06-13 Personal information protection system

Publications (2)

Publication Number Publication Date
JP6245782B1 JP6245782B1 (en) 2017-12-13
JPWO2018229867A1 true JPWO2018229867A1 (en) 2019-06-27

Family

ID=60658994

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017552511A Active JP6245782B1 (en) 2017-06-13 2017-06-13 Personal information protection system

Country Status (2)

Country Link
JP (1) JP6245782B1 (en)
WO (1) WO2018229867A1 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6721903B2 (en) * 2018-01-31 2020-07-15 シビラ株式会社 Data transmitting/receiving method, data transmitting/receiving system, processing device, and computer program
JP7312425B2 (en) * 2018-01-31 2023-07-21 シビラ株式会社 Data transmission/reception method
KR101882207B1 (en) * 2018-03-23 2018-07-26 주식회사 아이라이즈 Hospital security system that stores patient information on a blockchain basis
WO2019187040A1 (en) * 2018-03-30 2019-10-03 株式会社Eyes, JAPAN Biological information management system
KR102048804B1 (en) * 2018-04-13 2019-11-26 김예원 Smart radiation measurement and management system using block chain
US20210183486A1 (en) * 2018-06-19 2021-06-17 Sony Corporation Biological information processing method, biological information processing apparatus, and biological information processing system
JP6566278B1 (en) * 2018-08-08 2019-08-28 株式会社DataSign Personal data management system
KR102532231B1 (en) * 2019-11-26 2023-05-16 라이카 바이오시스템즈 멜버른 피티와이 엘티디 Immutable-ledger-based workflow management for patient samples
JP7329437B2 (en) 2019-12-26 2023-08-18 アイホン株式会社 nurse call system
CN111737340B (en) * 2020-03-11 2024-04-02 西安电子科技大学 Method for encrypting storage on blockchain based on attribute encryption

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007025918A (en) * 2005-07-13 2007-02-01 Ada:Kk Electronic medical chart publication system
JP2014109826A (en) * 2012-11-30 2014-06-12 International Business Maschines Corporation Data management mechanism in emergency for wide-area distributed medical information network
JP2017059913A (en) * 2015-09-14 2017-03-23 株式会社リコー Information processing system, server device, and information processing program

Also Published As

Publication number Publication date
JP6245782B1 (en) 2017-12-13
WO2018229867A1 (en) 2018-12-20

Similar Documents

Publication Publication Date Title
JP6245782B1 (en) Personal information protection system
US11228582B2 (en) Digital certificate with software enabling indication
Fabian et al. Collaborative and secure sharing of healthcare data in multi-clouds
JP5809316B2 (en) Information distribution system, information terminal and program
US7869591B1 (en) System and method for secure three-party communications
CN102037474B (en) For the Identity based encryption of the data item of the secure access to data item
CN102428686A (en) Systems and methods for securing data in the cloud
Garkoti et al. Detection of insider attacks in cloud based e-healthcare environment
EP2898443B1 (en) Controlling access to clinical data analyzed by remote computing resources
US20080028214A1 (en) Secure flash media for medical records
CN103270516A (en) Systems and methods for securing virtual machine computing environments
KR20200032412A (en) Method of data sharing based on blockchain, cloud server for performing the method and data sharing system including the cloud server
KR101701304B1 (en) Method and system for managing medical data using attribute-based encryption in cloud environment
Rubio et al. Analysis of ISO/IEEE 11073 built-in security and its potential IHE-based extensibility
JPH10111897A (en) Clinical consultation information sharing method
CN114065261A (en) Block chain-based distributed trusted data sharing platform, method and system
CN102057379A (en) Method and a system of healthcare data handling
Nait Hamoud et al. Implementing a secure remote patient monitoring system
JP4521514B2 (en) Medical information distribution system, information access control method thereof, and computer program
Chondamrongkul et al. Secure mobile cloud architecture for healthcare application
Ray et al. Design of RSA-CA based E-health system for supporting HIPAA privacy-security regulations
KR20140119324A (en) System and method for monitoring medical information
JP2007025918A (en) Electronic medical chart publication system
JP2007006319A (en) Key exchange system, terminal, and program
Schmierer A Practical Approach for a Decentralized Electronic Health Record

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171005

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20171005

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171107

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20171027

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171113

R150 Certificate of patent or registration of utility model

Ref document number: 6245782

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250