JP2004192173A - Personal information management system and personal information management method - Google Patents

Personal information management system and personal information management method Download PDF

Info

Publication number
JP2004192173A
JP2004192173A JP2002357417A JP2002357417A JP2004192173A JP 2004192173 A JP2004192173 A JP 2004192173A JP 2002357417 A JP2002357417 A JP 2002357417A JP 2002357417 A JP2002357417 A JP 2002357417A JP 2004192173 A JP2004192173 A JP 2004192173A
Authority
JP
Japan
Prior art keywords
card
anonymized
server
information
personal information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002357417A
Other languages
Japanese (ja)
Other versions
JP4284986B2 (en
JP2004192173A5 (en
Inventor
Takanobu Osaki
高伸 大崎
Hideyuki Ban
伴  秀行
Hiroyuki Kuriyama
裕之 栗山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2002357417A priority Critical patent/JP4284986B2/en
Publication of JP2004192173A publication Critical patent/JP2004192173A/en
Publication of JP2004192173A5 publication Critical patent/JP2004192173A5/ja
Application granted granted Critical
Publication of JP4284986B2 publication Critical patent/JP4284986B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a personal information management system for accumulating data under a first-person informed consent so as to be usable while protecting personal information. <P>SOLUTION: Personal identification information 164 and anonymized ID information 165 are retained in an IC card 103-1. When personal information is registered in a server 101 from a terminal 102, it is anonymized by use of the anonymized ID information of the IC card 103-1 and then transmitted to the server 101. In the access to the information in the server 101, its own information is acquired on the basis of the anonymized ID information 165. The risk of leakage of personal information can be reduced, and an information provider can utilize its own information. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、サーバ上で個人情報を管理する個人情報管理システム及び個人情報管理方法に関する。
【0002】
【従来の技術】
医学の発展を目指し、遺伝子情報、健診情報、診療録など医療・健康関係の情報を用いた研究が進められている。その一方、これらの情報はプライバシーを含む個人情報であるため、その取り扱いについては個人情報保護への十分な対応が求められている。従来、このような個人情報を管理・活用するシステムとしては、例えば、遺伝子情報を解析するシステムなどがある。遺伝子情報を扱う場合の運用の基準として、文部科学省、厚生労働省、経済産業省よりヒトゲノム・遺伝子解析研究に関する倫理指針が示されている(非特許文献1参照)。この中では、個人情報を利用するためには情報提供者本人の自由意志による同意を得る必要があることや、個人を特定する情報を含む情報を扱うコンピュータは、他のコンピュータから切り離す必要があることなどが示されている。
【0003】
【非特許文献1】
平成13年3月文部科学省・厚生労働省・経済産業省告示第1号
【0004】
【発明が解決しようとする課題】
上述したシステムを運用するためには、情報提供者から書面で同意を得る作業や、収集したデータを専用のコンピュータで氏名や住所などを取り除く匿名化作業が必要であった。従って、従来のシステムではこれらの作業に手間を要し、大量のデータを集めてそれを活用することは困難であった。また、個人を特定できるデータを持つコンピュータはネットワークから切り離されているため、提供した情報を情報提供者自身が活用できるようにすることは考慮されていなかった。
【0005】
本発明の目的は、情報提供者から活用に関する同意の得られた情報を、個人情報を保護しながら容易に蓄積・活用できる個人情報管理システムを提供することにある。本発明の他の目的は、蓄積した個人情報を、情報提供者本人が容易に活用できる個人情報管理システムを提供することにある。
【0006】
【課題を解決するための手段】
上記課題を解決するため、本発明の個人情報管理システムは、個人情報を匿名化してサーバで管理し、サーバにアクセスする場合にICカードを用いるシステムであって、以下の特徴を有している。(1)ICカードが、ICカードの所有者本人を特定する本人特定情報と、ICカードの所有者が匿名化されたときのIDを示す匿名化ID情報とを保持していること。(2)ICカードの本人特定情報を用いて、ICカードを使用している人が、ICカードの所有者本人であることを確認する本人確認手段と、ICカードの匿名化ID情報を用いて、ICカードの所有者本人と、サーバ上にある匿名化された個人の一人が一致することを確認する匿名化ID確認手段とを有すること。(3)個人情報から個人を特定する氏名や住所などの情報を削除し、ICカードの匿名化ID情報を付加して匿名化を行う匿名化手段と、匿名化された個人情報をサーバに送るサーバアクセス手段を有すること。(4)匿名化ID確認手段で一致した匿名化された個人の個人情報をサーバから取得するサーバアクセス手段を有すること。(5)匿名化ID確認手段で一致した匿名化された個人の個人情報をサーバから削除するサーバアクセス手段を有すること。
【0007】
本発明の個人情報管理方法は、個人情報を匿名化してサーバで管理し、サーバにアクセスする場合にICカードを用い、ICカードに記録された本人特定情報によって、ICカードの使用者がICカードの所有者と一致することを確認する本人認証ステップと、ICカードに記録された匿名化ID情報を用いて、ICカードの所有者が、サーバ上の匿名化された個人と一致することを確認する匿名化ID認証ステップと、ICカードの所有者の個人情報から、個人を特定する情報を削除してICカードに記録された匿名化ID情報を付与する匿名化ステップと、匿名化された個人情報をサーバに登録する登録ステップとを有することを特徴としている。
【0008】
また、本発明の個人情報管理方法は、個人情報を匿名化してサーバで管理し、サーバにアクセスする場合にICカードを用い、ICカードに記録された本人特定情報によって、ICカードの使用者がICカードの所有者と一致することを確認する本人認証ステップと、ICカードに記録された匿名化ID情報を用いて、ICカードの所有者が、サーバ上の匿名化された個人と一致することを確認する匿名化ID認証ステップと、ICカードの所有者と一致する匿名化された個人の情報を取得する情報取得ステップを有することを特徴としている。
【0009】
また、本発明の個人情報管理方法は、個人情報を匿名化してサーバで管理し、サーバにアクセスする場合にICカードを用い、ICカードに記録された本人特定情報によって、ICカードの使用者がICカードの所有者と一致することを確認する本人認証ステップと、ICカードに記録された匿名化ID情報を用いて、ICカードの所有者が、サーバ上の匿名化された個人と一致することを確認する匿名化ID認証ステップと、ICカードの所有者と一致する匿名化された個人の情報をサーバから削除する取り消しステップを有することを特徴としている。
【0010】
【発明の実施の形態】
以下、図を用いて本発明の実施の形態を詳細に説明する。ここでは、個人情報として健診結果の情報を扱う場合を例にとって説明する。
【0011】
図1は、本発明の実施例の個人情報管理システムの一構成例を示す図である。
個人情報管理システムは、サーバ101、端末102、複数のICカード103−1〜103−3から構成される。サーバ101は、蓄積した個人情報をもとに研究を行う研究施設等に設置される。また、端末102は健診施設等に設置され、施設内で行った健診結果を管理している。複数のICカード103−1〜103−3は、健診を受診した人それぞれに一枚ずつ配布される。サーバ101は、処理を行うCPU111、ディスプレイ等の出力装置112、マウスやキーボード等の入力装置113、他の装置と通信を行うネットワークインターフェイス114、メモリやハードディスク等の記憶装置115等から構成される。
【0012】
端末102は、処理を行うCPU121、ディスプレイ等の出力装置122、マウスやキーボード等の入力装置123、他の装置と通信を行うネットワークインターフェイス124、メモリやハードディスク等の記憶装置125、そして、ICカードと情報の入出力を行うICカードリーダライタ装置126から構成される。ICカード103−1〜103−3は、処理を行うCPU131、ICカードリーダライタ装置との入出力を行う入出力インターフェイス132、ICカード上のメモリである記憶装置133から構成される。サーバ101の記憶装置115、端末102の記憶装置125、ICカード103−1〜103―3の記憶装置133には、プログラムやデータが記録されており、必要に応じてCPU(111、121、131)に読み出して処理を実行する。サーバ101の記憶装置115は、プログラムである匿名化ID確認手段141、匿名化データ管理手段142、データ分析手段143と、データとして匿名化された個人情報である匿名化データ144を保持している。端末102の記憶装置125は、プログラムとして本人確認手段151、匿名化手段152、サーバアクセス手段153と、データとして個人情報154を保持している。ICカード103−1〜103−3の記憶装置133は、プログラムとして本人確認手段161、匿名化ID確認手段162、匿名化手段163と、データとしてICカード所有者を特定する本人特定情報164と、サーバ101の匿名化データ144の中でICカード所有者のデータに付与されている匿名化IDを記録した匿名化ID情報165を保持している。
【0013】
図4は、本発明の実施例において、サーバで管理する匿名化データの一例を説明する図である。サーバ101の匿名化データ144は、例えば、図4に示すテーブルで匿名化した個人情報である健診結果を管理している。テーブルには、通し番号401、匿名化ID402、健診結果403が記録されている。
【0014】
図5は、本発明の実施例において、端末が保持する個人情報の一例を説明する図である。端末102の個人情報154は、例えば、図5に示すような形式で個人の健診結果を管理している。○山○男氏の健診結果501−1の他、その施設で健診を受けた人の健診結果501−2、501−3等を管理している。
【0015】
図6は、本発明の実施例において、ICカードが保持する本人特定情報と匿名化ID情報の一例を説明する図である。ICカード103−1の本人特定情報164と匿名化ID情報165は、例えば、図6に示すような形で保持している。
本人特定情報601は、氏名やID番号のほかパスワードを記録している。また、匿名化ID情報602では、○山○男氏のデータに対して、サーバ101の匿名化データ144の中で割り当てている匿名化ID402を記録している。
【0016】
次に、フローチャートを用いて、具体的な処理の手順について説明する。
【0017】
図2は、本発明の実施例において、端末から個人情報をサーバに登録する手順の一例を説明するフローチャートであり、端末102にある個人情報154をサーバ101に登録する方法の一例を示している。ここでは、○山○男氏が△年△月△日に受診した健診結果501−1をサーバ101に登録する手順を例に説明する。この開始時点では、サーバ101の匿名化データ144には、図4に示すNo.5001の行404は存在しないものとする。
【0018】
健診施設で健診を受けた結果、健診施設の端末102には、健診結果501−1が保持されている。この健診結果505−1を、研究施設のサーバ101に登録して研究に活用することに同意する場合、○山○男氏は、自分のICカード103−1を端末102のICカードリーダライタ126に挿入する。すると、本人認証ステップ201で、ICカード103−1の使用者と、ICカード103−1の本人特定情報164で示すICカード所有者とが一致することを確認する。ここでは、本人特定情報601にあるパスワードを用いて本人確認を行う。端末102の本人確認手段151は、ディスプレイ122にパスワード入力画面を表示し、データの活用に同意する場合には、パスワードを入力するように促す。
○山○男氏が、キーボード123を用いてパスワードを入力すると、本人確認手段151は、入力されたパスワードをICカードリーダライタ装置126を介してICカード103−1に送る。ICカード103−1では、入出力I/F132でパスワード情報を受け取り、本人確認手段161が本人特定情報601のパスワードと比較して本人であることを確認して、結果を端末102に送り返す。
端末102の本人確認手段154では、結果を受け取り、ICカード103−1の使用者が、正しい○山○男氏であることを確認する。
【0019】
次に、匿名化ID認証ステップ202で、ICカード103−1の匿名化ID情報165で示されるユーザが、サーバ101の匿名化データ144の中に存在する人と一致することを確認する。ここでは、ICカード103−1の匿名化ID確認手段162が、匿名化ID情報602にある匿名化ID00010を取り出して、入出力I/F132から端末に送る。端末102は、ICカードリーダライタ装置126で受け取った匿名化IDをネットワークI/F124を介してサーバ101に送る。サーバ101の匿名化ID確認手段141は、ネットワークI/F114で匿名化IDを受け取ると、匿名化データの匿名化ID402の中から同一のIDを探し、No.2に同一の匿名化IDがあることを確認して、ICカードの所有者が匿名化IDが00010の人であることを確認する。
【0020】
次に、匿名化ステップ203で、個人情報154から個人を特定する氏名、住所、電話番号等の情報を取り除き、匿名化ID情報165の情報を付加する処理を行う。ここでは、匿名化手段152によって、健診結果501−1から氏名、電話番号、住所を削除し、代わりにICカード103−1の匿名化手段163から取得した匿名化ID情報602の匿名化ID000010を付加する。そして、登録ステップ204で、匿名化した個人情報をサーバに登録する。ここでは、端末102のサーバアクセス手段153により、ネットワークI/F124を介してサーバ101に送信する。サーバ101の匿名化データ管理手段142は、ネットワークI/F114で受信した匿名化済みの健診結果を、匿名化データ144の中の新しい行404として保存する。
【0021】
以上説明したように、本発明の個人情報管理システムでは、ICカードの挿入によって個人情報の活用の同意を取るので、サーバ側では本人の同意が確実に取れたデータのみを使用できる効果がある。更に、ICカードの中に本人を特定する情報と、匿名化後のIDを保持しているので、ICカードを使用した場合にのみ、本人と匿名化後のデータを連結できる効果がある。また、サーバと端末間の通信上のデータも、サーバで管理するデータも、個人を特定する情報を含んでいないので、サーバで情報を扱う人には誰の情報か分からず、個人のプライバシーを侵害するリスクを低減できる効果がある。更に、ICカードに記録されている匿名化IDを付与した情報をサーバに送るので、サーバが以前から保存している情報に対して情報を追加する場合にも、正確に同一人物であることを確認して追加ができる効果がある。また、個人を特定する情報を付けずにデータをサーバに送るので、個人が研究等のために個人情報を提供する場合でも、個人情報の安全性に対して安心感を持って情報を提供できる効果がある。
【0022】
図3は、本発明の実施例において、端末でサーバの個人情報を参照する手順の一例を説明するフローチャートである。図3に示すフローチャートを用いて、サーバで保存されている個人情報を参照する方法の例について説明する。○山○男氏がサーバに保存されているデータを参照する場合、健診施設等にある端末102で、ディスプレイ122に表示されたメニューから、入力手段123を用いて健診情報の参照を選択し、ICカード103−1を端末102のICカードリーダライタ装置126に挿入する。
【0023】
すると、本人認証ステップ301で、ICカード103−1の使用者とICカード所有者とが一致することを確認する。ここでは、端末102の本人確認手段151は、ディスプレイ122にパスワード入力画面を表示し、データの活用に同意する場合には、パスワードを入力するように促す。○山○男氏が、キーボード123を用いてパスワードを入力すると、本人確認手段151は、入力されたパスワードをICカードリーダライタ装置126を介してICカード103−1に送る。ICカード103−1では、入出力I/F132でパスワード情報を受け取り、本人確認手段161が本人特定情報601のパスワードと比較して本人であることを確認して、結果を端末102に送り返す。端末102の本人確認手段154では、結果を受け取り、ICカード103−1の使用者が、正しい○山○男氏であることを確認する。
【0024】
次に、匿名化ID認証ステップ302で、ICカード103−1の匿名化ID情報165で示されるユーザが、サーバ101の匿名化データ144の中に存在する人であることを確認する。ここでは、ICカード103−1の匿名化ID確認手段が、匿名化ID情報602にある匿名化ID00010を取り出して、入出力I/F132から端末に送る。端末102は、ICカードリーダライタ装置126で受け取った匿名化IDをネットワークI/F124を介してサーバ101に送る。サーバ101の匿名化ID確認手段141は、ネットワークI/F114で匿名化IDを受け取ると、匿名化データの匿名化ID402の中から同一のIDを探し、図4に示すNo.2に同一の匿名化IDがあることを確認して、ICカードの所有者が、匿名化IDが00010の人であることを確認する。
【0025】
次に、情報取得ステップ303で、端末102は、サーバ101からデータを取得する。ここでは、端末102のサーバアクセス手段153が、ネットワークI/F124を介してサーバ101に匿名化ID00010の健診結果を送るように要求する。サーバ101の匿名化データ管理手段は、ネットワークI/F114で要求を受信すると、匿名化データ144の中から、匿名化ID00010のデータとして、受診日○年○月○日と×年×月×日の2つの健診結果を取り出し、ネットワークI/F114を介して端末102に送信する。サーバアクセス手段153では、ネットワークI/F124で受信した健診結果を、ディスプレイ122に表示する。
【0026】
以上説明したように、本発明の個人情報管理システムでは、ICカードに保存されている匿名化IDを用いてサーバにアクセスするので、サーバに蓄積されている情報が匿名化されていても、情報提供者本人が自分の情報にアクセスできる効果がある。
【0027】
図7は、本発明の実施例において、個人情報活用に対する同意を取り消す手順の一例を説明するフローチャートである。図7に示すフローチャートを用いて、サーバで保存されている個人情報を削除する方法の例について説明する。○山○男氏は、自分のデータがサーバで保存されていることや、研究等に活用されることに対して同意を取り消したい場合も存在する。そのような場合、端末102で、ディスプレイ122に表示されたメニューから、入力手段123を用いて健診情報保存・活用の同意取り消しを選択し、ICカード103−1を端末102のICカードリーダライタ装置126に挿入する。すると、本人認証ステップ701で、ICカード103−1の使用者とICカード所有者とが一致することを確認する。ここでは、端末102の本人確認手段151は、ディスプレイ122にパスワード入力画面を表示し、データの活用に対する同意を取り消す場合には、パスワードを入力するように促す。○山○男氏が、キーボード123を用いてパスワードを入力すると、本人確認手段151は、入力されたパスワードをICカードリーダライタ装置126を介してICカード103−1に送る。ICカード103−1では、入出力I/F132でパスワード情報を受け取り、本人確認手段161が本人特定情報601のパスワードと比較して本人であることを確認して、確認結果を端末102に送り返す。端末102の本人確認手段154では、結果を受け取り、ICカード103−1の使用者が、正しい○山○男氏であることを確認する。
【0028】
次に、匿名化ID認証ステップ702で、ICカード103−1の匿名化ID情報165で示されるユーザが、サーバ101の匿名化データ144の中に存在する人であることを確認する。ここでは、ICカード103−1の匿名化ID確認手段が、匿名化ID情報602にある匿名化IDを取り出して、入出力I/F132から端末に送る。端末102は、ICカードリーダライタ装置126で受け取った匿名化IDをネットワークI/F124を介してサーバ101に送る。
サーバ101の匿名化ID確認手段141は、ネットワークI/F114で匿名化IDを受け取ると、匿名化データの匿名化ID402の中から同一のIDを探し、No.2に同一の匿名化IDがあることを確認して、ICカードの所有者が、匿名化IDが00010の人であることを確認する。
【0029】
そして、取り消しステップ703で、サーバにある指定の個人情報を削除する。ここでは、端末102のサーバアクセス手段153が、ネットワークI/F124を介してサーバ101に匿名化ID00010の健診結果を削除するように要求する。サーバ101の匿名化データ管理手段142は、ネットワークI/F114で要求を受信すると、匿名化データ144の中から、匿名化ID00010のデータを削除する。
【0030】
以上説明したように、本発明の個人情報管理システムでは、ICカードに保存されている匿名化IDを用いてサーバのデータを削除するように指定するので、個人情報の提供者本人が、自分の情報の活用に対して行った同意を取り消すことができる効果がある。
【0031】
サーバ101に蓄積した健診結果を基に、疫学研究等を行う場合には、研究者がデータ分析手段143を使用して統計処理等を行う。この時、これまで述べた方法により,サーバにあるデータは全て情報提供者本人の同意が得られたデータであり、更に、匿名化された状態となっている。従って、研究者自身が個人を特定する情報に触れることなく研究を行うことができ,研究者が個人情報を漏洩する危険を低減することができる。
【0032】
以上説明した実施例では、ICカードに保存した匿名化IDを用いてサーバのデータと個人とを結び付ける方法について示したが、他の情報も組み合わせて用いるようにしてもよい。例えば、公開鍵暗号方式など暗号化技術と組み合わせて使用してもよい。202,302,702の匿名化ID認証ステップにおいて,送付データのハッシュデータや乱数を生成し,これを匿名化IDとを組み合わせて匿名化IDの秘密鍵で暗号化した電子署名を作成する。そして,この電子署名をサーバ送付し,サーバで匿名化IDの公開鍵で解読し,匿名化IDが正しいことを確認する。この方法により,ICカード所有者に付与された匿名化IDと,サーバで管理する匿名化IDを正確に一致させることができる。
さらに,202,302,702の匿名化ID認証ステップや,登録ステップ204,情報取得ステップ303,取り消しステップ703において,通信するデータをサーバの公開鍵や,一時的に生成した共通鍵を用いて暗号化してもよい。
この方法により,通信系路上などにおける情報の漏洩を防止することができる。
【0033】
また、以上説明した実施例では、端末の匿名化手段152で、健診結果から個人を特定する情報を取り除き匿名化IDを付与する例について示したが、これを、ICカードの匿名化手段163で行うようにしてもよい。更に、上述した電子署名の方法をICカード内で実行してからサーバに送るようにしてもよい。この方法により、匿名化ID情報をICカードから外に出さずに匿名化の処理を実行でき、ICカード使用者と匿名化IDの関係が漏洩する危険を低減することができる。
【0034】
以上説明した実施例では、本人特定情報として、パスワードをICカードに保持させる方法について説明したが、パスワード以外の他の情報を用いてもよい。
例えば、指紋や目の虹彩や血管パターン等のバイオメトリクス情報をICカード内に記録し、本人確認を実行することで、より正確に本人確認を実行できる。
【0035】
また、以上説明した実施例では、健診施設に端末を設置する方法について説明したが、健診施設以外の場所に設置してもよい。例えば、病院に端末を設置し、病気を発症した時に、これまでの健診の結果を医師に見せるような形で使用してもよい。これにより、医師は蓄積された過去の健診結果が参照して治療を実行でき、よりきめ細かい診療が期待できる。また、家庭にあるパーソナルコンピュータが端末の役割をするようにしてもよい。健診の結果等を自分で参照し、健康づくりに役立てることができる。また、以上説明した実施例では、端末が一つの例について示したが、複数の施設に端末を設置してもよい。例えば、複数の健診施設に端末を設置した場合、受診者が健診施設を移動した場合でも、サーバでは同一の人のデータとして扱うことができる。
【0036】
以上説明した実施例では、個人情報として健診情報を用いる例について説明したが、他の個人情報を用いるようにしてもよい。例えば、病院の診療録、診療報酬明細等の健康・病気等,遺伝子情報などに関するあらゆる情報に適用できる。
また、健康や病気の情報以外でも、あらゆる個人情報に対して適用できる。
【0037】
以上説明した実施例では、取り消しステップはサーバから指定された個人情報を削除する方法について示したが、他の方法を用いてもよい。例えば、個人情報を管理するテーブルに使用禁止を示すフラグを付加するようにしてもよい。また、使用停止のデータを格納するテーブルを設け、データをそちらに移動するようにしてもよい。このようにした場合、情報提供者が情報の活用に再度同意した場合に、新たにデータを登録し直すことなくデータを活用できる。また,以上説明したの実施例では,匿名化IDを認証する場合に匿名化データのテーブルから匿名化IDを一致させる方法について説明したが,匿名化IDを管理するテーブルを設けるようにしてもよい。この方法により,匿名化IDを効率よく一致させることができる。
【0038】
以上説明したように、本発明の個人情報管理システム及び個人情報管理方法は、ICカードの挿入によって個人情報の活用の同意を取るので、サーバ側では本人の同意が確実に取れたデータのみを使用できる効果がある。更に、ICカードの中に本人を特定する情報と、匿名化後のIDを保持しているので、ICカードを使用した場合にのみ、本人と匿名化後のデータを連結できる効果がある。また、サーバと端末間の通信上のデータとサーバで管理するデータは、個人を特定する情報が含まれていないので、個人のプライバシーを侵害するリスクを低減できる効果がある。更に、ICカードに記録されている匿名化IDを付与した情報をサーバに送るので、サーバが以前から保存している情報に対して情報を追加する場合にも、正確に同一人物であることを確認して追加ができる効果がある。また、個人を特定する情報を付けずにデータをサーバに送るので、個人が研究等のために個人情報を提供する場合でも、個人情報の安全性に対して安心感を持って情報を提供できる効果がある。更に、ICカードに保存されている匿名化IDを用いてサーバにアクセスするので、情報提供者本人が自分の情報を活用できる効果がある。即ち、匿名化された個人情報を管理するので個人情報漏洩のリスクを低減でき、情報提供者も自分の情報を活用できる。
【0039】
【発明の効果】
本発明によれば、情報提供者から活用に関する同意の得られた情報を、個人情報を保護しながら容易に蓄積・活用できる個人情報管理システム及び個人情報管理方法を提供できる。また、本発明によれば、蓄積した個人情報を、情報提供者本人が容易に活用できる個人情報管理システム及び個人情報管理方法を提供できる。
【図面の簡単な説明】
【図1】本発明の実施例の個人情報管理システムの一構成例を示す図。
【図2】本発明の実施例において、端末から個人情報をサーバに登録する手順の一例を説明するフローチャート。
【図3】本発明の実施例において、端末でサーバの個人情報を参照する手順の一例を説明するフローチャート。
【図4】本発明の実施例において、サーバで管理する匿名化データの一例を説明する図。
【図5】本発明の実施例において、端末が保持する個人情報の一例を説明する図。
【図6】本発明の実施例において、ICカードが保持する本人特定情報と匿名化ID情報の一例を説明する図。
【図7】本発明の実施例において、個人情報活用に対する同意を取り消す手順の一例を説明するフローチャート。
【符号の説明】
101…サーバ、102…端末、103−1〜103−3…ICカード、111、121、131…CPU、112、122…出力装置、113、123…入力装置、114、124…ネットワークインターフェイス、115、125、133…記憶装置、126…ICカードリーダライタ装置、132…入出力インターフェイス、141、162…匿名化ID確認手段、142…匿名化データ管理手段、143…データ分析手段、144…匿名化データ、151、161…本人確認手段、152、163…匿名化手段、153…サーバアクセス手段、154…個人情報、164…本人特定情報、165…匿名化ID情報、401…通し番号、402…匿名化ID、403…健診結果、501−1〜501−3…健診結果、601…本人特定情報、602…匿名化ID情報。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a personal information management system and a personal information management method for managing personal information on a server.
[0002]
[Prior art]
Aiming at the development of medicine, research using medical and health-related information such as genetic information, medical examination information, medical records, etc. is being advanced. On the other hand, since such information is personal information including privacy, sufficient handling of personal information protection is required for the handling thereof. Conventionally, as a system for managing and utilizing such personal information, for example, there is a system for analyzing genetic information. Ethical guidelines for human genome and gene analysis research are shown by the Ministry of Education, Culture, Sports, Science and Technology, the Ministry of Health, Labor and Welfare, and the Ministry of Economy, Trade and Industry as operational standards when handling genetic information (see Non-Patent Document 1). In this, in order to use personal information, it is necessary to obtain the consent of the information provider himself / herself, and it is necessary to separate the computer that handles information including information that identifies an individual from other computers That is shown.
[0003]
[Non-patent document 1]
March 2001 Notification No. 1 of Ministry of Education, Culture, Sports, Science and Technology, Ministry of Health, Labor and Welfare and Ministry of Economy, Trade and Industry
[0004]
[Problems to be solved by the invention]
In order to operate the above-mentioned system, it was necessary to obtain a written consent from an information provider and to perform anonymization of removing the collected data from a name and address using a dedicated computer. Therefore, in the conventional system, these operations are troublesome, and it is difficult to collect and utilize a large amount of data. In addition, since a computer having personally identifiable data is disconnected from the network, it has not been considered that the provided information can be used by the information provider itself.
[0005]
SUMMARY OF THE INVENTION An object of the present invention is to provide a personal information management system that can easily accumulate and utilize information for which consent for utilization has been obtained from an information provider while protecting personal information. Another object of the present invention is to provide a personal information management system in which an information provider himself can easily use accumulated personal information.
[0006]
[Means for Solving the Problems]
In order to solve the above-mentioned problems, a personal information management system of the present invention is a system in which personal information is anonymized and managed by a server, and an IC card is used when accessing the server, and has the following features. . (1) The IC card holds personal identification information for identifying the owner of the IC card and anonymized ID information indicating an ID when the owner of the IC card is anonymized. (2) Using personal identification means for confirming that the person using the IC card is the owner of the IC card using personal identification information of the IC card, and using anonymized ID information of the IC card And an anonymized ID confirming means for confirming that the owner of the IC card matches one of the anonymized individuals on the server. (3) Anonymizing means for deleting information such as a name and an address for identifying an individual from personal information, adding anonymous ID information of an IC card to perform anonymization, and sending the anonymized personal information to a server. Have server access means. (4) A server access unit for acquiring personal information of the anonymized individual matched by the anonymized ID confirmation unit from the server. (5) A server access means for deleting personal information of the anonymized individual who has been matched by the anonymized ID confirmation means from the server.
[0007]
The personal information management method according to the present invention is an anonymous method for managing personal information in a server, using an IC card when accessing the server, and identifying the user of the IC card by using personal identification information recorded in the IC card. Using the identity authentication step of confirming that the owner of the IC card matches the anonymous ID and the anonymized ID information recorded on the IC card, confirming that the owner of the IC card matches the anonymized individual on the server Anonymized ID authentication step; anonymizing step of deleting information identifying the individual from the personal information of the IC card owner and adding anonymized ID information recorded on the IC card; Registering information in the server.
[0008]
In addition, the personal information management method of the present invention uses an anonymous personal information managed by a server, uses an IC card when accessing the server, and allows the user of the IC card to use the personal identification information recorded on the IC card. Using the identity authentication step of confirming that the IC card matches the owner of the IC card and using the anonymized ID information recorded on the IC card, the owner of the IC card matching the anonymized individual on the server And an information acquisition step of acquiring anonymized personal information that matches the owner of the IC card.
[0009]
In addition, the personal information management method of the present invention uses an anonymous personal information managed by a server, uses an IC card when accessing the server, and allows the user of the IC card to use the personal identification information recorded on the IC card. Using the identity authentication step of confirming that the IC card matches the owner of the IC card and using the anonymized ID information recorded on the IC card, the owner of the IC card matching the anonymized individual on the server And a canceling step of deleting from the server anonymized personal information that matches the owner of the IC card.
[0010]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Here, a case will be described as an example where information of a medical examination result is handled as personal information.
[0011]
FIG. 1 is a diagram illustrating a configuration example of a personal information management system according to an embodiment of the present invention.
The personal information management system includes a server 101, a terminal 102, and a plurality of IC cards 103-1 to 103-3. The server 101 is installed in a research facility or the like that conducts research based on accumulated personal information. The terminal 102 is installed in a medical examination facility or the like, and manages a result of a medical examination performed in the facility. The plurality of IC cards 103-1 to 103-3 are distributed one by one to each person who has undergone a medical examination. The server 101 includes a CPU 111 that performs processing, an output device 112 such as a display, an input device 113 such as a mouse and a keyboard, a network interface 114 that communicates with other devices, and a storage device 115 such as a memory and a hard disk.
[0012]
The terminal 102 includes a CPU 121 for processing, an output device 122 such as a display, an input device 123 such as a mouse and a keyboard, a network interface 124 for communicating with other devices, a storage device 125 such as a memory and a hard disk, and an IC card. It comprises an IC card reader / writer device 126 for inputting and outputting information. Each of the IC cards 103-1 to 103-3 includes a CPU 131 that performs processing, an input / output interface 132 that performs input and output with an IC card reader / writer, and a storage device 133 that is a memory on the IC card. Programs and data are stored in the storage device 115 of the server 101, the storage device 125 of the terminal 102, and the storage device 133 of the IC cards 103-1 to 103-3, and the CPU (111, 121, 131) is stored as necessary. ) And execute the processing. The storage device 115 of the server 101 holds anonymized ID confirmation means 141, anonymized data management means 142, and data analysis means 143, which are programs, and anonymized data 144, which is anonymized personal information as data. . The storage device 125 of the terminal 102 holds a personal identification unit 151, an anonymization unit 152, a server access unit 153 as a program, and personal information 154 as data. The storage device 133 of each of the IC cards 103-1 to 103-3 includes a personal identification unit 161, an anonymized ID confirmation unit 162, and an anonymization unit 163 as programs, and personal identification information 164 that identifies an IC card owner as data. In the anonymized data 144 of the server 101, anonymized ID information 165 in which an anonymized ID given to the data of the IC card owner is stored.
[0013]
FIG. 4 is a diagram illustrating an example of anonymized data managed by the server in the embodiment of the present invention. The anonymized data 144 of the server 101 manages, for example, a medical examination result which is anonymized personal information in a table shown in FIG. In the table, a serial number 401, an anonymized ID 402, and a medical examination result 403 are recorded.
[0014]
FIG. 5 is a diagram illustrating an example of personal information held by the terminal in the embodiment of the present invention. The personal information 154 of the terminal 102 manages an individual's medical examination result in a format as shown in FIG. 5, for example. ○ In addition to the medical examination result 501-1 of Mr. Yamao, it manages the medical examination results 501-2, 501-3, etc. of the persons who have undergone medical examination at the facility.
[0015]
FIG. 6 is a diagram illustrating an example of the personal identification information and the anonymized ID information held by the IC card in the embodiment of the present invention. The personal identification information 164 and the anonymized ID information 165 of the IC card 103-1 are held, for example, in a form as shown in FIG.
The personal identification information 601 records a password in addition to a name and an ID number. Further, in the anonymized ID information 602, the anonymized ID 402 assigned in the anonymized data 144 of the server 101 is recorded for the data of Mr. Oyama * O.
[0016]
Next, a specific processing procedure will be described using a flowchart.
[0017]
FIG. 2 is a flowchart illustrating an example of a procedure for registering personal information from the terminal to the server in the embodiment of the present invention, and illustrates an example of a method for registering personal information 154 in the terminal 102 to the server 101. . Here, a description will be given of an example of a procedure of registering, in the server 101, a medical examination result 501-1 received by Mr. Yamayama on {///}. At this start point, the anonymized data 144 of the server 101 includes the No. shown in FIG. It is assumed that the row 404 of 5001 does not exist.
[0018]
As a result of receiving a medical examination at the medical examination facility, the terminal 102 of the medical examination facility holds a medical examination result 501-1. If he / she agrees to register this medical checkup result 505-1 in the server 101 of the research facility and use it for research, Mr. Oyama uses his IC card 103-1 as an IC card reader / writer of the terminal 102. Insert at 126. Then, in the personal authentication step 201, it is confirmed that the user of the IC card 103-1 matches the IC card owner indicated by the personal identification information 164 of the IC card 103-1. Here, personal identification is performed using the password in the personal identification information 601. The personal identification means 151 of the terminal 102 displays a password input screen on the display 122, and prompts the user to input a password when agreeing to use of the data.
When Mr. Oyama inputs a password using the keyboard 123, the identity verification unit 151 sends the input password to the IC card 103-1 via the IC card reader / writer device 126. In the IC card 103-1, the password information is received by the input / output I / F 132, the personal identification means 161 compares the password with the personal identification information 601 to confirm the identity, and sends the result back to the terminal 102.
The identity confirmation means 154 of the terminal 102 receives the result and confirms that the user of the IC card 103-1 is the correct Mr. Oyama * O.
[0019]
Next, in the anonymized ID authentication step 202, it is confirmed that the user indicated by the anonymized ID information 165 of the IC card 103-1 matches the person existing in the anonymized data 144 of the server 101. Here, the anonymized ID confirmation unit 162 of the IC card 103-1 extracts the anonymized ID 00010 in the anonymized ID information 602 and sends it to the terminal from the input / output I / F 132. The terminal 102 sends the anonymized ID received by the IC card reader / writer 126 to the server 101 via the network I / F 124. Upon receiving the anonymized ID at the network I / F 114, the anonymized ID confirmation unit 141 of the server 101 searches for the same ID from the anonymized ID 402 of the anonymized data. It is confirmed that the same anonymized ID exists in No. 2 and that the owner of the IC card has the anonymized ID of 00010.
[0020]
Next, in the anonymization step 203, a process of removing information such as a name, an address, and a telephone number identifying the individual from the personal information 154 and adding the information of the anonymization ID information 165 is performed. Here, the anonymization means 152 deletes the name, telephone number, and address from the medical examination result 501-1, and replaces the anonymization ID 000010 of the anonymization ID information 602 acquired from the anonymization ID information 163 of the IC card 103-1. Is added. Then, in registration step 204, the anonymized personal information is registered in the server. Here, the data is transmitted to the server 101 via the network I / F 124 by the server access unit 153 of the terminal 102. The anonymized data management unit 142 of the server 101 stores the anonymized medical examination result received by the network I / F 114 as a new line 404 in the anonymized data 144.
[0021]
As described above, in the personal information management system of the present invention, since the consent of utilizing personal information is obtained by inserting the IC card, there is an effect that the server side can use only the data whose personal consent is surely obtained. Further, since the information for identifying the user and the ID after the anonymization are held in the IC card, there is an effect that the user and the data after the anonymization can be connected only when the IC card is used. Neither the data on the communication between the server and the terminal nor the data managed by the server contains information that identifies the individual, so the person handling the information on the server does not know who the information is, and protects the privacy of the individual. This has the effect of reducing the risk of infringement. Furthermore, since the information with the anonymized ID recorded on the IC card is sent to the server, even when the server adds information to the information stored previously, it is necessary to confirm that the server is the same person. There is an effect that you can check and add. In addition, since the data is sent to the server without the information for identifying the individual, even when the individual provides the personal information for research or the like, the information can be provided with a sense of security for the security of the personal information. effective.
[0022]
FIG. 3 is a flowchart illustrating an example of a procedure for referring to personal information of a server by a terminal in the embodiment of the present invention. An example of a method for referring to personal information stored in the server will be described with reference to the flowchart shown in FIG. ○ When Mr. Yamao refers to the data stored in the server, the terminal 102 at the medical examination facility or the like selects reference to the medical examination information from the menu displayed on the display 122 using the input unit 123. Then, the IC card 103-1 is inserted into the IC card reader / writer 126 of the terminal 102.
[0023]
Then, in the personal authentication step 301, it is confirmed that the user of the IC card 103-1 matches the owner of the IC card. Here, the personal identification means 151 of the terminal 102 displays a password input screen on the display 122, and prompts the user to input a password when agreeing to use of the data. When Mr. Oyama inputs a password using the keyboard 123, the identity verification unit 151 sends the input password to the IC card 103-1 via the IC card reader / writer device 126. In the IC card 103-1, the password information is received by the input / output I / F 132, the personal identification means 161 compares the password with the personal identification information 601 to confirm the identity, and sends the result back to the terminal 102. The identity confirmation means 154 of the terminal 102 receives the result and confirms that the user of the IC card 103-1 is the correct Mr. Oyama * O.
[0024]
Next, in anonymized ID authentication step 302, it is confirmed that the user indicated by anonymized ID information 165 of IC card 103-1 is a person existing in anonymized data 144 of server 101. Here, the anonymized ID confirmation unit of the IC card 103-1 extracts the anonymized ID 00010 in the anonymized ID information 602 and sends it to the terminal from the input / output I / F 132. The terminal 102 sends the anonymized ID received by the IC card reader / writer 126 to the server 101 via the network I / F 124. Upon receiving the anonymized ID via the network I / F 114, the anonymized ID confirmation unit 141 of the server 101 searches for the same ID from the anonymized ID 402 of the anonymized data, and the No. 1 shown in FIG. 2 confirms that the same anonymized ID exists, and confirms that the owner of the IC card is an anonymized ID of 00010.
[0025]
Next, in an information acquisition step 303, the terminal 102 acquires data from the server 101. Here, the server access means 153 of the terminal 102 requests the server 101 via the network I / F 124 to send the medical examination result of the anonymized ID00010. Upon receiving the request through the network I / F 114, the anonymized data management means of the server 101 converts the anonymized data 144 into data of the anonymized ID 00010, as follows: Are extracted and transmitted to the terminal 102 via the network I / F 114. The server access unit 153 displays the result of the medical examination received by the network I / F 124 on the display 122.
[0026]
As described above, in the personal information management system of the present invention, since the server is accessed using the anonymized ID stored in the IC card, even if the information stored in the server is anonymized, There is an effect that the provider himself can access his / her information.
[0027]
FIG. 7 is a flowchart illustrating an example of a procedure for canceling consent to use personal information in the embodiment of the present invention. An example of a method for deleting personal information stored in the server will be described with reference to the flowchart shown in FIG. ○ Mr. Yamao sometimes wants to revoke his consent for his data being stored on the server or being used for research. In such a case, on the terminal 102, from the menu displayed on the display 122, the input means 123 is used to select the cancellation of the consent of storing and utilizing the medical examination information, and the IC card 103-1 is transferred to the IC card reader / writer of the terminal 102. Insert into device 126. Then, in the personal authentication step 701, it is confirmed that the user of the IC card 103-1 matches the owner of the IC card. Here, the personal identification means 151 of the terminal 102 displays a password input screen on the display 122, and prompts the user to input a password when canceling consent to use the data. When Mr. Oyama inputs a password using the keyboard 123, the identity verification unit 151 sends the input password to the IC card 103-1 via the IC card reader / writer device 126. In the IC card 103-1, the password information is received by the input / output I / F 132, the personal identification means 161 compares the password with the personal identification information 601 to confirm the identity, and sends the confirmation result back to the terminal 102. The identity confirmation means 154 of the terminal 102 receives the result and confirms that the user of the IC card 103-1 is the correct Mr. Oyama * O.
[0028]
Next, in anonymized ID authentication step 702, it is confirmed that the user indicated by anonymized ID information 165 of IC card 103-1 is a person existing in anonymized data 144 of server 101. Here, the anonymized ID confirming means of the IC card 103-1 extracts the anonymized ID in the anonymized ID information 602 and sends it to the terminal from the input / output I / F 132. The terminal 102 sends the anonymized ID received by the IC card reader / writer 126 to the server 101 via the network I / F 124.
Upon receiving the anonymized ID at the network I / F 114, the anonymized ID confirmation unit 141 of the server 101 searches for the same ID from the anonymized ID 402 of the anonymized data. 2 confirms that the same anonymized ID exists, and confirms that the owner of the IC card is an anonymized ID of 00010.
[0029]
Then, in a cancellation step 703, the designated personal information in the server is deleted. Here, the server access unit 153 of the terminal 102 requests the server 101 via the network I / F 124 to delete the medical examination result of the anonymized ID00010. Upon receiving the request through the network I / F 114, the anonymized data management unit 142 of the server 101 deletes the data of the anonymized ID 00010 from the anonymized data 144.
[0030]
As described above, in the personal information management system of the present invention, the data of the server is specified to be deleted using the anonymized ID stored in the IC card. The effect is that the consent given to the use of information can be canceled.
[0031]
When performing an epidemiological study or the like based on the medical examination results accumulated in the server 101, the researcher performs statistical processing or the like using the data analysis unit 143. At this time, according to the method described above, all the data in the server is data obtained with the consent of the information provider, and is further anonymized. Therefore, the researcher can conduct the research without touching the information identifying the individual, and the risk of the researcher leaking the personal information can be reduced.
[0032]
In the embodiment described above, the method of connecting the server data and the individual using the anonymized ID stored in the IC card has been described, but other information may be used in combination. For example, it may be used in combination with an encryption technique such as a public key cryptosystem. In an anonymized ID authentication step of 202, 302, and 702, hash data and a random number of transmission data are generated, and this is combined with the anonymized ID to create an electronic signature encrypted with the secret key of the anonymized ID. Then, the electronic signature is sent to the server and decrypted by the server using the public key of the anonymized ID, and it is confirmed that the anonymized ID is correct. According to this method, the anonymized ID given to the IC card owner can be made to exactly match the anonymized ID managed by the server.
Further, in the anonymized ID authentication steps 202, 302, and 702, the registration step 204, the information acquisition step 303, and the cancellation step 703, the data to be communicated is encrypted using the server's public key or a temporarily generated common key. It may be.
According to this method, it is possible to prevent information leakage on a communication path or the like.
[0033]
Further, in the above-described embodiment, an example has been described in which the anonymization means 152 of the terminal removes the information for identifying the individual from the medical examination result and assigns the anonymization ID. May be performed. Further, the electronic signature method described above may be executed in the IC card and then sent to the server. According to this method, the anonymization process can be performed without leaving the anonymized ID information out of the IC card, and the risk of the relationship between the IC card user and the anonymized ID leaking can be reduced.
[0034]
In the embodiment described above, the method of storing the password in the IC card as the personal identification information has been described. However, information other than the password may be used.
For example, by recording biometric information such as a fingerprint, an iris of an eye, and a blood vessel pattern in an IC card and performing identity verification, the identity verification can be performed more accurately.
[0035]
Further, in the above-described embodiment, the method of installing the terminal in the medical examination facility has been described. However, the terminal may be installed in a place other than the medical examination facility. For example, a terminal may be installed in a hospital so that when a disease occurs, the terminal may be used in such a manner that the results of the previous medical examination are shown to a doctor. As a result, the doctor can refer to the accumulated results of the past medical examination to execute the treatment, and can expect more detailed medical treatment. Also, a personal computer at home may serve as a terminal. You can refer to the results of medical examinations yourself and use them for health promotion. Further, in the embodiment described above, one terminal is shown as an example, but the terminal may be installed in a plurality of facilities. For example, when terminals are installed in a plurality of medical examination facilities, and even when a patient moves from one of the medical examination facilities, the server can handle the same person's data.
[0036]
In the embodiment described above, an example in which medical examination information is used as personal information has been described, but other personal information may be used. For example, the present invention can be applied to all kinds of information related to health and illnesses such as medical records of hospitals, medical fee details, and genetic information.
Further, the present invention can be applied to any personal information other than health and illness information.
[0037]
In the embodiment described above, the canceling step has been described with respect to a method of deleting the designated personal information from the server, but another method may be used. For example, a flag indicating use prohibition may be added to a table for managing personal information. Further, a table for storing the data of the suspension of use may be provided, and the data may be moved there. In this case, if the information provider again agrees to the use of the information, the data can be used without newly registering the data. Further, in the embodiment described above, the method of matching the anonymized ID from the table of the anonymized data when authenticating the anonymized ID has been described, but a table for managing the anonymized ID may be provided. . With this method, the anonymized ID can be efficiently matched.
[0038]
As described above, the personal information management system and the personal information management method of the present invention obtain the consent of utilizing personal information by inserting an IC card. There is an effect that can be done. Furthermore, since the information for identifying the user and the ID after the anonymization are stored in the IC card, there is an effect that the user and the anonymized data can be connected only when the IC card is used. In addition, since data for communication between the server and the terminal and data managed by the server do not include information for identifying an individual, there is an effect that the risk of invading the privacy of the individual can be reduced. Further, since the information with the anonymized ID recorded on the IC card is sent to the server, even when the server adds information to the information stored previously, it is necessary to confirm that the same person is exactly the same. There is an effect that you can check and add. Also, since the data is sent to the server without information for identifying the individual, even when the individual provides the personal information for research or the like, the information can be provided with a sense of security for the security of the personal information. effective. Further, since the server is accessed using the anonymized ID stored in the IC card, there is an effect that the information provider can use his / her own information. That is, since the anonymized personal information is managed, the risk of personal information leakage can be reduced, and the information provider can utilize his / her own information.
[0039]
【The invention's effect】
ADVANTAGE OF THE INVENTION According to this invention, the personal information management system and the personal information management method which can easily accumulate and utilize the information in which the consent about utilization was obtained from the information provider, protecting personal information can be provided. Further, according to the present invention, it is possible to provide a personal information management system and a personal information management method in which the information provider can easily utilize the accumulated personal information.
[Brief description of the drawings]
FIG. 1 is a diagram showing an example of the configuration of a personal information management system according to an embodiment of the present invention.
FIG. 2 is a flowchart illustrating an example of a procedure for registering personal information in a server from a terminal in the embodiment of the present invention.
FIG. 3 is a flowchart illustrating an example of a procedure in which a terminal refers to personal information of a server in an embodiment of the present invention.
FIG. 4 is a view for explaining an example of anonymized data managed by a server in the embodiment of the present invention.
FIG. 5 is a view for explaining an example of personal information held by the terminal in the embodiment of the present invention.
FIG. 6 is a view for explaining an example of personal identification information and anonymized ID information held by an IC card in the embodiment of the present invention.
FIG. 7 is a flowchart illustrating an example of a procedure for canceling consent to use personal information in the embodiment of the present invention.
[Explanation of symbols]
101 server, 102 terminal, 103-1 to 103-3 IC card, 111, 121, 131 CPU, 112, 122 output device, 113, 123 input device, 114, 124 network interface, 115, 125, 133: storage device, 126: IC card reader / writer device, 132: input / output interface, 141, 162: anonymized ID confirmation unit, 142: anonymized data management unit, 143: data analysis unit, 144: anonymized data .., 151, 161... Identity verification means, 152, 163... Anonymization means, 153... Server access means, 154... Personal information, 164. , 403: medical examination result, 501-1 to 501-3: medical examination result, 601: identification of the individual Broadcast, 602 ... anonymous ID information.

Claims (8)

個人情報を匿名化してサーバで管理し、前記サーバにアクセスする場合にICカードを用いる個人情報管理システムであって、前記ICカードは、前記ICカードの所有者本人を特定する本人特定情報と、前記ICカードの所有者が匿名化されたときのIDを示す匿名化ID情報とを保持することを特徴とする個人情報管理システム。A personal information management system in which personal information is anonymized and managed by a server, and an IC card is used when accessing the server, wherein the IC card includes personal identification information for identifying the owner of the IC card; A personal information management system characterized by holding anonymized ID information indicating an ID when the owner of the IC card is anonymized. 請求項1に記載の個人情報管理システムにおいて、前記ICカードの前記本人特定情報を用いて、前記ICカードの使用者が、前記ICカードの所有者本人であることを確認する本人確認手段と、前記ICカードの前記匿名化ID情報を用いて、前記ICカードの所有者本人と、前記サーバ上にある匿名化された個人の一人が一致することを確認する匿名化ID確認手段とを有することを特徴とする個人情報管理システム。2. The personal information management system according to claim 1, wherein the personal identification means for confirming that the user of the IC card is the owner of the IC card using the personal identification information of the IC card; Using the anonymized ID information of the IC card, having an anonymized ID confirming means for confirming that the owner of the IC card matches one of the anonymized individuals on the server Personal information management system characterized by the following. 請求項2に記載の個人情報管理システムにおいて、個人情報から個人を特定する氏名や住所などの情報を削除し、前記ICカードの前記匿名化ID情報を付加して匿名化を行う匿名化手段と、匿名化された個人情報を前記サーバに送るサーバアクセス手段を有することを特徴とする個人情報管理システム。3. The personal information management system according to claim 2, wherein anonymizing means for deleting information such as a name and an address specifying the individual from the personal information and adding the anonymized ID information of the IC card to perform anonymization. Personal information management system comprising server access means for sending anonymized personal information to the server. 請求項2に記載の個人情報管理システムにおいて、前記匿名化ID確認手段で一致した匿名化された個人の個人情報を前記サーバから取得するサーバアクセス手段を有することを特徴とする個人情報管理システム。3. The personal information management system according to claim 2, further comprising a server access unit for acquiring from the server the personal information of the anonymized individual who has been matched by the anonymization ID confirmation unit. 請求項2に記載の個人情報管理システムにおいて、前記匿名化ID確認手段で一致した匿名化された個人の個人情報を前記サーバから削除するサーバアクセス手段を有することを特徴とする個人情報管理システム。3. The personal information management system according to claim 2, further comprising server access means for deleting, from the server, personal information of the anonymized individual matched by the anonymization ID confirmation means. 個人情報を匿名化してサーバで管理し、前記サーバにアクセスする場合にICカードを用いる個人情報管理方法であって、前記ICカードに記録された本人特定情報によって、前記ICカードの使用者が前記ICカード所有者と一致することを確認する本人認証ステップと、前記ICカードに記録された匿名化ID情報を用いて、前記ICカードの所有者が、前記サーバ上の匿名化された個人と一致することを確認する匿名化ID認証ステップと、前記ICカードの所有者の個人情報から、個人を特定する情報を削除して前記ICカードに記録された匿名化ID情報を付与する匿名化ステップと、匿名化された個人情報をサーバに登録する登録ステップとを有することを特徴とする個人情報管理方法。A personal information management method using an IC card when anonymizing personal information and managing the server and accessing the server, wherein the user of the IC card uses the personal identification information recorded on the IC card to identify the user. An identity authentication step of confirming that it matches the IC card owner, and using the anonymized ID information recorded on the IC card, the owner of the IC card matches the anonymized individual on the server. An anonymization ID authentication step of confirming that the identification is performed, and an anonymization step of deleting information for identifying an individual from the personal information of the IC card owner and adding anonymization ID information recorded on the IC card. A registration step of registering anonymized personal information in a server. 個人情報を匿名化してサーバで管理し、前記サーバにアクセスする場合にICカードを用いる個人情報管理方法であって、前記ICカードに記録された本人特定情報によって、前記ICカードの使用者が前記ICカード所有者と一致することを確認する本人認証ステップと、前記ICカードに記録された匿名化ID情報を用いて、前記ICカードの所有者が、前記サーバ上の匿名化された個人と一致することを確認する匿名化ID認証ステップと、前記ICカードの所有者と一致する匿名化された個人の情報を取得する情報取得ステップを有することを特徴とする個人情報管理方法。A personal information management method using an IC card when anonymizing personal information and managing the server and accessing the server, wherein the user of the IC card uses the personal identification information recorded on the IC card to identify the user. An identity authentication step of confirming that it matches the IC card owner, and using the anonymized ID information recorded on the IC card, the owner of the IC card matches the anonymized individual on the server. A personal information management method, comprising: an anonymized ID authentication step of confirming that the information is to be stored; and an information obtaining step of obtaining information of an anonymized individual that matches the owner of the IC card. 個人情報を匿名化してサーバで管理し、前記サーバにアクセスする場合にICカードを用いる個人情報管理方法であって、前記ICカードに記録された本人特定情報によって、前記ICカードの使用者が前記ICカードの所有者と一致することを確認する本人認証ステップと、前記ICカードに記録された匿名化ID情報を用いて、前記ICカードの所有者が、前記サーバ上の匿名化された個人と一致することを確認する匿名化ID認証ステップと、前記ICカードの所有者と一致する匿名化された個人の情報を前記サーバから削除する取り消しステップを有することを特徴とする個人情報管理方法。A personal information management method using an IC card when anonymizing personal information and managing the server and accessing the server, wherein the user of the IC card uses the personal identification information recorded on the IC card to identify the user. Using an anonymized ID information recorded on the IC card to identify the owner of the IC card with an anonymized individual on the server, A personal information management method, comprising: an anonymized ID authentication step of confirming a match; and a canceling step of deleting, from the server, anonymized personal information matching the IC card owner.
JP2002357417A 2002-12-10 2002-12-10 Personal information management system and personal information management method Expired - Lifetime JP4284986B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002357417A JP4284986B2 (en) 2002-12-10 2002-12-10 Personal information management system and personal information management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002357417A JP4284986B2 (en) 2002-12-10 2002-12-10 Personal information management system and personal information management method

Publications (3)

Publication Number Publication Date
JP2004192173A true JP2004192173A (en) 2004-07-08
JP2004192173A5 JP2004192173A5 (en) 2006-01-05
JP4284986B2 JP4284986B2 (en) 2009-06-24

Family

ID=32757423

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002357417A Expired - Lifetime JP4284986B2 (en) 2002-12-10 2002-12-10 Personal information management system and personal information management method

Country Status (1)

Country Link
JP (1) JP4284986B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006048516A (en) * 2004-08-06 2006-02-16 Medical Communities Medical examination and treatment information providing system
WO2006068352A1 (en) * 2004-12-21 2006-06-29 Electronics And Telecommunications Research Institute System for managing and protecting personal information on internet and method thereof
WO2008069011A1 (en) * 2006-12-04 2008-06-12 Nec Corporation Information management system, anonymizing method, and storage medium
WO2008126460A1 (en) * 2007-03-30 2008-10-23 Fujitsu Limited Electronic data authentication method, electronic data authentication program, and electronic data authentication system
JP2009146367A (en) * 2007-12-14 2009-07-02 Toru Amamiya System for protecting member personal information with limited leak of individual non-specification information even in database information leak by writing information for treatment, contraindicated drug or individual specification into electronic information storage area of ic chip type member card in easily browsable, confirmable and changeable manner at medical institution and by storing only individual non-specification information in external disclosure database
JP2010237811A (en) * 2009-03-30 2010-10-21 Nec Corp Personal information management system and personal information management method
JP2014139736A (en) * 2013-01-21 2014-07-31 Dainippon Printing Co Ltd Id identifier generating method and id identifier generating system
JP2015531096A (en) * 2012-06-11 2015-10-29 インタートラスト テクノロジーズ コーポレイション Data collection and analysis system and method

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000293603A (en) * 1999-04-09 2000-10-20 Hitachi Ltd Area medical information system and electronic patient card
JP2001325372A (en) * 2000-03-08 2001-11-22 Fujitsu Ltd System, method, and program for sharing health care data
JP2002092184A (en) * 2000-09-20 2002-03-29 Nec Corp Method and system for managing medical information and recording medium with its control program recorded
JP2002170035A (en) * 2000-11-30 2002-06-14 Hitachi Ltd Information providing method, executing device therefor, and storage medium with data therefor stored
JP2002269243A (en) * 2001-03-14 2002-09-20 Fuji Photo Film Co Ltd Medical information control system, method and program
JP2002279062A (en) * 2001-03-19 2002-09-27 Toshiba Corp System and method for managing personal information
JP2002312361A (en) * 2001-10-16 2002-10-25 Mitsui Knowledge Industry Kk Anonymization clinical research support method and system therefor
JP2002342492A (en) * 2001-05-21 2002-11-29 Hitachi Ltd System, method and program for managing medical information and recording medium recording medical information managing program
JP2003067506A (en) * 2001-08-27 2003-03-07 Ntt Communications Kk Medical/health information common use system, data control center, terminal, medical/health information common use method, recording medium recorded with medical/health information common program, medical/ health information common program, and its recording medium
JP2003085493A (en) * 2001-09-10 2003-03-20 Nippon Telegr & Teleph Corp <Ntt> Individual information integrated managing system, program therefor and medium recording program

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000293603A (en) * 1999-04-09 2000-10-20 Hitachi Ltd Area medical information system and electronic patient card
JP2001325372A (en) * 2000-03-08 2001-11-22 Fujitsu Ltd System, method, and program for sharing health care data
JP2002092184A (en) * 2000-09-20 2002-03-29 Nec Corp Method and system for managing medical information and recording medium with its control program recorded
JP2002170035A (en) * 2000-11-30 2002-06-14 Hitachi Ltd Information providing method, executing device therefor, and storage medium with data therefor stored
JP2002269243A (en) * 2001-03-14 2002-09-20 Fuji Photo Film Co Ltd Medical information control system, method and program
JP2002279062A (en) * 2001-03-19 2002-09-27 Toshiba Corp System and method for managing personal information
JP2002342492A (en) * 2001-05-21 2002-11-29 Hitachi Ltd System, method and program for managing medical information and recording medium recording medical information managing program
JP2003067506A (en) * 2001-08-27 2003-03-07 Ntt Communications Kk Medical/health information common use system, data control center, terminal, medical/health information common use method, recording medium recorded with medical/health information common program, medical/ health information common program, and its recording medium
JP2003085493A (en) * 2001-09-10 2003-03-20 Nippon Telegr & Teleph Corp <Ntt> Individual information integrated managing system, program therefor and medium recording program
JP2002312361A (en) * 2001-10-16 2002-10-25 Mitsui Knowledge Industry Kk Anonymization clinical research support method and system therefor

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006048516A (en) * 2004-08-06 2006-02-16 Medical Communities Medical examination and treatment information providing system
WO2006068352A1 (en) * 2004-12-21 2006-06-29 Electronics And Telecommunications Research Institute System for managing and protecting personal information on internet and method thereof
WO2008069011A1 (en) * 2006-12-04 2008-06-12 Nec Corporation Information management system, anonymizing method, and storage medium
WO2008126460A1 (en) * 2007-03-30 2008-10-23 Fujitsu Limited Electronic data authentication method, electronic data authentication program, and electronic data authentication system
JP2009146367A (en) * 2007-12-14 2009-07-02 Toru Amamiya System for protecting member personal information with limited leak of individual non-specification information even in database information leak by writing information for treatment, contraindicated drug or individual specification into electronic information storage area of ic chip type member card in easily browsable, confirmable and changeable manner at medical institution and by storing only individual non-specification information in external disclosure database
JP2010237811A (en) * 2009-03-30 2010-10-21 Nec Corp Personal information management system and personal information management method
JP2015531096A (en) * 2012-06-11 2015-10-29 インタートラスト テクノロジーズ コーポレイション Data collection and analysis system and method
JP2014139736A (en) * 2013-01-21 2014-07-31 Dainippon Printing Co Ltd Id identifier generating method and id identifier generating system

Also Published As

Publication number Publication date
JP4284986B2 (en) 2009-06-24

Similar Documents

Publication Publication Date Title
US8185411B2 (en) Method, system, and apparatus for patient controlled access of medical records
US8607332B2 (en) System and method for the anonymisation of sensitive personal data and method of obtaining such data
JP2008204378A (en) Medical data sharing server, medical data sharing method, and medical data filing device
US20040054657A1 (en) Medical information management system
RU2510968C2 (en) Method of accessing personal data, such as personal medical file, using local generating component
EP1948005A2 (en) Method and apparatus for managing personal medical information in a secure manner
JP2001357130A (en) Clinical information management system
US20050159984A1 (en) Medical data management system
JP2006260521A (en) Document management system, information processing apparatus, method, and computer program
US20190327311A1 (en) Secure access to individual information
JP2011039710A (en) Information management system
KR20110066576A (en) Medical information management system and method for clinical research or clinical trial
EP4026135B1 (en) System for protecting and anonymizing personal data
JP2002024385A (en) System and method for managing gene information
JPH09282393A (en) Cooperation method for health insurance medical care card and on-line data base
JP4284986B2 (en) Personal information management system and personal information management method
JP2006331261A (en) Medical image management system
JP2002169898A (en) Information storage card, medical information processing system, computer system in database center, medical information processing method and medical information storage processing method
JP4822842B2 (en) Anonymized identification information generation system and program.
JP2005025674A (en) Information processing system, information processing method, and information processing program operated on computer
JP3472690B2 (en) Method and apparatus for disclosing medical information to other medical institutions
WO2021062310A1 (en) Utilizing a user&#39;s health data stored over a health care network for disease prevention
KR101068687B1 (en) Method and apparatus for accessing a patient information using identification of a patient and a hospital organization
JP2005049961A (en) Personal information control system
US20170206339A1 (en) Method and data processing system for data collection for a clinical study

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051111

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051111

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060420

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090303

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090316

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120403

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4284986

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120403

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120403

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130403

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140403

Year of fee payment: 5

EXPY Cancellation because of completion of term