JP2007179500A - System and program for generation of anonymous identification information - Google Patents

System and program for generation of anonymous identification information Download PDF

Info

Publication number
JP2007179500A
JP2007179500A JP2005380401A JP2005380401A JP2007179500A JP 2007179500 A JP2007179500 A JP 2007179500A JP 2005380401 A JP2005380401 A JP 2005380401A JP 2005380401 A JP2005380401 A JP 2005380401A JP 2007179500 A JP2007179500 A JP 2007179500A
Authority
JP
Japan
Prior art keywords
information
encrypted
subject
identification information
anonymization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005380401A
Other languages
Japanese (ja)
Other versions
JP4822842B2 (en
Inventor
Yasumasa Hirai
康雅 平井
Masaoki Takamura
昌興 高村
Shinichiro Matsuo
真一郎 松尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2005380401A priority Critical patent/JP4822842B2/en
Publication of JP2007179500A publication Critical patent/JP2007179500A/en
Application granted granted Critical
Publication of JP4822842B2 publication Critical patent/JP4822842B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a system and a program for generation of anonymous identification information, capable of providing necessary information to an analyzer while attaining protection of his/her privacy. <P>SOLUTION: In this system for generation of anonymous identification information 100, a hospital information processing terminal 101 transmits subject identification information specific to each subject that is an object of genetic information analysis and subject relation information showing a relation each between subjects to an anonymizing terminal 102. The anonymizing terminal 102 encrypts, upon receipt of the information, the subject identification information to generate encrypted identification information, and generates encrypted information based on the subject relation information. The anonymizing terminal 102 provides the encrypted information to an analyzer information processing terminal 103 for analysis while protecting the privacy of information related to the subjects. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、遺伝情報解析、特に、家系情報の解析を伴う遺伝情報の解析に適した匿名化識別情報の生成システムに関する。   The present invention relates to a system for generating anonymized identification information suitable for genetic information analysis, in particular, genetic information analysis accompanied by analysis of family information.

近年、オーダーメイド治療などの実現に向け、遺伝子解析等の臨床研究が進められている。また、これら遺伝子解析をより有効なものとするために、医療機関が蓄積する被験者情報(家系情報)等を解析者が把握することは必要不可欠となっている。   In recent years, clinical research such as gene analysis has been promoted to realize tailor-made treatment. Moreover, in order to make these genetic analyzes more effective, it is indispensable for an analyst to understand subject information (family information) and the like accumulated by medical institutions.

しかしながら、家系情報等の被験者情報は個人のプライバシ情報であり、これらの被験者情報と検体識別情報(以下、検体ID)との関連性が解析者に露呈すると、プライバシが侵害されてしまう。   However, subject information such as family information is personal privacy information, and privacy is infringed when the relationship between the subject information and the specimen identification information (hereinafter, specimen ID) is exposed to an analyst.

プライバシの侵害を防止する技術として、特許文献1には、検体の取得、被験者情報の収集等を行う匿名化システムが開示されている。この匿名化システムは、病院等に設置され、検体ID(非匿名)から匿名化識別情報(以下、匿名化ID)に識別情報(以下、ID)を振り替え、そのIDの振替を対応表として保管する。そして、診療情報等から個人特定情報(氏名、住所等)を削除したものを匿名化IDと関連付けた対応表を作成し、病院側が保管しておくことにより、ブライバシ保護を実現している。   As a technique for preventing privacy infringement, Patent Document 1 discloses an anonymization system that performs specimen acquisition, subject information collection, and the like. This anonymization system is installed in a hospital or the like, transfers identification information (hereinafter referred to as ID) from sample ID (non-anonymous) to anonymized identification information (hereinafter referred to as anonymized ID), and stores the transfer of the ID as a correspondence table. To do. Then, privacy protection is realized by creating a correspondence table in which personal identification information (name, address, etc.) is deleted from medical care information and associated with the anonymization ID and stored by the hospital.

また、特許文献2には、病院と解析者の結託による不正行為に対処するために、病院と解析者の間に物理的・論理的に分離された中立な機関として匿名化端末を設置することにより、ブライバシ保護を実現する技術が開示されている。
特開2002‐312361号公報 特開2004‐287847号公報 Further, in Patent Document 2, an anonymization terminal is installed as a neutral institution physically and logically separated between a hospital and an analyst in order to deal with an illegal act caused by a collusion between a hospital and an analyst. Thus, a technique for realizing privacy protection is disclosed.
JP 2002-312361 A JP 2004-287847 A

しかしながら、特許文献1及び特許文献2に開示された方法では、病院から解析者へ解析を依頼する際、或いは、解析者が他の研究機関(解析者)に解析を依頼する際に、匿名化IDを振る必要がある。このため、IDが増加してしまい、管理が煩雑となる。   However, in the methods disclosed in Patent Literature 1 and Patent Literature 2, anonymization is performed when an analysis is requested from a hospital to an analyst, or when an analyst requests an analysis from another research institution (analyst). It is necessary to shake the ID. For this reason, ID increases and management becomes complicated.

さらに、“検体ID(非匿名)と匿名化ID”および“匿名化IDと診療情報”との関連性がわからなくなることによるヒューマンエラーが生じやすくなる。このため、匿名化IDと診療情報との関連性を必要に応じて(関連性を確認してもよいプレーヤが)確認可能な仕組みが必要である。また、IDと診療情報との関連性を隠すために、診療情報を解析者には渡さずに、匿名化システムおよび匿名化端末が常に管理する仕組みとしているため、解析者は家系情報などの解析にとって有益な情報を得る際には、その都度、匿名化システムおよび匿名化端末にアクセスして情報を取得する必要があり、一方、匿名化システムおよび匿名化端末は匿名化IDを元に情報を検索・提供する必要が生じ、解析者および匿名化システム・匿名化端末の負荷が大きい。   Furthermore, human error is likely to occur due to the lack of understanding of the relationship between “sample ID (non-anonymous) and anonymized ID” and “anonymized ID and medical information”. For this reason, there is a need for a mechanism capable of confirming the relevance between the anonymized ID and the medical information as needed (by a player who may confirm the relevance). Also, in order to hide the relationship between the ID and the medical information, the anonymizing system and the anonymized terminal always manage the medical information without passing it to the analyst. When obtaining useful information for each, it is necessary to access the anonymization system and the anonymization terminal each time to obtain information, while the anonymization system and the anonymization terminal obtain information based on the anonymization ID. There is a need to search and provide, and the load on the analyst and the anonymization system / anonymization terminal is large.

そのため、診療情報のプライバシの保護を実現しながら、必要な情報を解析者に提供可能な仕組みが必要である。   Therefore, there is a need for a mechanism that can provide necessary information to the analyst while protecting the privacy of medical information.

この発明は、上記実情に鑑みてなされたものであり、プライバシの保護を実現しながら、必要な情報を解析者に提供可能な仕組みを提供とすることを目的とする。   The present invention has been made in view of the above circumstances, and an object thereof is to provide a mechanism capable of providing necessary information to an analyst while realizing privacy protection.

上記目的を達成するため、本発明の第1の観点に係る遺伝情報解析用の匿名化識別情報生成システムは、遺伝情報を解析する対象の被験者毎に固有の被験者識別情報と、各被験者間の関係を示す被験者関係情報と、を取得する情報取得手段と、前記情報取得手段が取得した前記被験者識別情報を暗号化して暗号化識別情報を生成する識別情報暗号化手段と、前記識別情報暗号化手段が生成した前記暗号化識別情報と、前記情報取得手段が取得した前記被験者関係情報と、に基づいて暗号化情報を生成する暗号化情報生成手段と、前記暗号化情報生成手段が生成した前記暗号化情報を、解析用の他の装置に送信する暗号化情報送信手段と、を備えることを特徴とする。   In order to achieve the above object, the anonymized identification information generation system for genetic information analysis according to the first aspect of the present invention includes subject identification information unique to each subject to be analyzed for genetic information, and between each subject. Subject relationship information indicating a relationship; information acquisition means for acquiring; identification information encryption means for generating encrypted identification information by encrypting the subject identification information acquired by the information acquisition means; and the identification information encryption Encrypted information generating means for generating encrypted information based on the encrypted identification information generated by the means and the subject relationship information acquired by the information acquiring means, and the encrypted information generating means generated by the encrypted information generating means And encryption information transmitting means for transmitting the encryption information to another apparatus for analysis.

また、前記匿名化識別情報生成システムは、前記暗号化情報を復号・解析するための情報処理装置をさらに備え、前記情報処理装置は、前記暗号化情報生成手段により生成された暗号化情報を外部記憶媒体から読み取る暗号化情報読み取り手段と、前記暗号化情報読み取り手段が読み取った前記暗号化情報を復号する暗号化情報復号手段と、前記暗号化情報復号手段が復号した情報に基づいて、前記被験者関係情報を再生成する再生成手段と、を備える、ことを特徴とするようにしてもよい。   The anonymized identification information generation system further includes an information processing device for decrypting and analyzing the encrypted information, and the information processing device externally transmits the encrypted information generated by the encrypted information generating means. Based on the encrypted information reading means read from the storage medium, the encrypted information decrypting means for decrypting the encrypted information read by the encrypted information reading means, and the information decrypted by the encrypted information decrypting means, the subject And regenerating means for regenerating the relationship information.

また、前記匿名化識別情報生成システムは、前記暗号化情報を復号・解析するための情報処理装置をさらに備え、前記情報処理装置は、前記暗号化情報送信手段によって送信された前記暗号化情報を取得する暗号化情報取得手段と、前記暗号化情報取得手段が取得した前記暗号化情報を復号する暗号化情報復号手段と、前記暗号化情報復号手段が復号した情報に基づいて、前記被験者関係情報を再生成する再生成手段と、を備えることを特徴とするようにしてもよい。   The anonymized identification information generation system further includes an information processing device for decrypting and analyzing the encrypted information, and the information processing device receives the encrypted information transmitted by the encrypted information transmitting unit. Based on the information obtained by the encrypted information obtaining means, the encrypted information decrypting means for decrypting the encrypted information obtained by the encrypted information obtaining means, and the information decrypted by the encrypted information decrypting means, the subject relationship information Regenerating means for regenerating.

さらに、前記匿名化識別情報生成システムにおいて、前記被験者関係情報は、前記被験者の遺伝解析に必要な遺伝情報を含む、ことを特徴とするようにしてもよい。   Furthermore, in the anonymized identification information generation system, the subject relation information may include genetic information necessary for genetic analysis of the subject.

また、前記匿名化識別情報生成システムにおいて、前記被験者関係情報における前記被験者間の関係は、前記被験者識別情報に基づいて定義する、ことを特徴とするようにしてもよい。   Moreover, the said anonymization identification information generation system WHEREIN: You may make it define the relationship between the said test subjects in the said test subject relationship information based on the said test subject identification information.

さらに、前記匿名化識別情報生成システムにおいて、前記暗号化情報生成手段は、前記識別情報暗号化手段が生成した前記暗号化識別情報に基づいて、前記情報取得手段が取得した前記被験者関係情報を暗号化し、前記暗号化識別情報を付加して前記暗号化情報を生成する、ことを特徴とするようにしてもよい。   Further, in the anonymized identification information generation system, the encrypted information generation unit encrypts the subject relationship information acquired by the information acquisition unit based on the encrypted identification information generated by the identification information encryption unit. And the encryption identification information is added to generate the encryption information.

上記目的を達成するため、本発明の第2の観点に係るプログラムは、
遺伝情報解析用の匿名化識別情報生成システムのコンピュータに、
遺伝情報を解析する対象の被験者毎に固有の被験者識別情報と、各被験者間の関係を示す被験者関係情報と、を取得する情報取得手順と、
前記情報取得手順で取得した前記被験者識別情報を暗号化して暗号化識別情報を生成する識別情報暗号化手順と、
前記識別情報暗号化手順で生成した前記暗号化識別情報と、前記情報取得手段で取得した前記被験者関係情報と、に基づいて暗号化情報を生成する暗号化情報生成手順と、
前記暗号化情報生成手順で生成した前記暗号化情報を、解析用の他の装置に送信する暗号化情報送信手順と、
を実行させる。 In order to achieve the above object, a program according to the second aspect of the present invention provides:
In the computer of the anonymized identification information generation system for genetic information analysis,
Information acquisition procedure for acquiring subject identification information unique to each subject for which genetic information is analyzed and subject relationship information indicating a relationship between subjects,
An identification information encryption procedure for generating encrypted identification information by encrypting the subject identification information acquired in the information acquisition procedure;
An encryption information generation procedure for generating encryption information based on the encryption identification information generated by the identification information encryption procedure and the subject relationship information acquired by the information acquisition means;
An encryption information transmission procedure for transmitting the encryption information generated in the encryption information generation procedure to another device for analysis;
Is executed.

本発明のシステムによれば、プライバシの保護を実現しながら、必要な情報を解析者に提供することができる。   According to the system of the present invention, necessary information can be provided to an analyst while realizing privacy protection.

本発明の実施の形態に係る匿名化識別情報生成システムについて、図面を参照して説明する。   An anonymized identification information generation system according to an embodiment of the present invention will be described with reference to the drawings.

本実施の形態に係る匿名化識別情報生成システム100は、図1に示すように、ネットワーク104で相互に接続された病院用情報処理端末101と匿名化端末102と解析者用情報処理端末103、外部記憶媒体105とから構成される。   As shown in FIG. 1, the anonymized identification information generation system 100 according to the present embodiment includes a hospital information processing terminal 101, an anonymization terminal 102, and an analyzer information processing terminal 103 that are connected to each other via a network 104. And an external storage medium 105.

病院用情報処理端末101は、病院等に設置され、被験者のID(識別情報)、被験者の家系情報等の個人情報を記憶・管理する。   The hospital information processing terminal 101 is installed in a hospital or the like, and stores and manages personal information such as a subject's ID (identification information) and subject's family information.

解析者用情報処理端末103は、家系情報を解析する解析者により使用され、家系情報の解析に使用される。   The analyst information processing terminal 103 is used by an analyst who analyzes family information, and is used for analyzing family information.

匿名化端末102は、機能的に、病院と解析者の中間に位置し、病院用情報処理端末101から提供される検体情報や家系情報を匿名化して解析者用情報処理端末103に提供する。   The anonymization terminal 102 is functionally located between the hospital and the analyst, and anonymizes the sample information and family information provided from the hospital information processing terminal 101 and provides the information to the information processing terminal 103 for the analyst.

病院用情報処理端末101は、図2(A)に示すように、制御部201と、RAM202と、ROM203と、データベース204と、通信部205と、バス206とから構成される。   As shown in FIG. 2A, the hospital information processing terminal 101 includes a control unit 201, a RAM 202, a ROM 203, a database 204, a communication unit 205, and a bus 206.

制御部201は、CPU(Central Processing Unit)等から構成され、RAM202をワークエリアとして使用して、ROM203に格納された動作プログラムを実行し、データベース204に格納された各被験者の遺伝情報を管理する。また、解析が必要となった遺伝情報を匿名化端末102に送信する。   The control unit 201 includes a CPU (Central Processing Unit) and the like, uses the RAM 202 as a work area, executes an operation program stored in the ROM 203, and manages genetic information of each subject stored in the database 204 . Further, the genetic information that needs to be analyzed is transmitted to the anonymization terminal 102.

RAM202は、制御部201のワークエリアとして機能する。
ROM203は、制御部201の動作プログラムを記憶する。図2(B)に示すように、ROM203が記憶する動作プログラムは、データベース化プログラム210と送信プログラム211とを含む。 The RAM 202 functions as a work area for the control unit 201.
The ROM 203 stores an operation program for the control unit 201. As shown in FIG. 2B, the operation program stored in the ROM 203 includes a database creation program 210 and a transmission program 211.

データベース化プログラム210は、データベース204を更新・維持管理するためのプログラムである。送信プログラム211は、解析対象の被験者のID(検体ID)とその個人情報とを匿名化端末に送信するためのプログラムである。   The database creation program 210 is a program for updating and maintaining the database 204. The transmission program 211 is a program for transmitting the ID (specimen ID) of the subject to be analyzed and its personal information to the anonymization terminal.

データベース204は、被験者別にその個人情報を格納する。各被験者には、識別情報(ID)が付与されている。また、個人情報としては、家系情報、住所・氏名・年齢・性別等の情報、診療情報(病歴、投薬歴、治療歴)などの情報を含む。   The database 204 stores the personal information for each subject. Each subject is given identification information (ID). The personal information includes information such as family information, information such as address / name / age / gender, medical information (medical history, medication history, treatment history).

通信部205は、ネットワーク104を介して匿名化端末102と通信を行う。
バス206は、各部間のデータ送受信を伝送する。 The communication unit 205 communicates with the anonymization terminal 102 via the network 104.
The bus 206 transmits data transmission / reception between the units.

匿名化端末102は、図3(A)に示すように、制御部301と、RAM302と、ROM303と、記憶部304と、通信部305と、バス306と、外部メモリインターフェイス307とから構成される。   As shown in FIG. 3A, the anonymization terminal 102 includes a control unit 301, a RAM 302, a ROM 303, a storage unit 304, a communication unit 305, a bus 306, and an external memory interface 307. .

制御部301は、CPU(Central Processing Unit)等から構成され、RAM302をワークエリアとして使用して、ROM303に格納された動作プログラムを実行し、病院用情報処理端末101から提供された検体IDと家系情報とを匿名化して、解析者用端末103に提供する処理を行う。   The control unit 301 includes a CPU (Central Processing Unit) and the like, uses the RAM 302 as a work area, executes an operation program stored in the ROM 303, and provides the sample ID and family line provided from the hospital information processing terminal 101 The process of anonymizing the information and providing it to the analyzer terminal 103 is performed.

RAM302は、制御部301のワークエリアとして機能する。   The RAM 302 functions as a work area for the control unit 301.

ROM303は、制御部301の動作プログラムを記憶する。図3(B)に示すように、ROM303が記憶する動作プログラムは、匿名化ID生成プログラム310と転送プログラム311とを含む。匿名化ID生成プログラム310は、病院用情報処理端末101から提供された検体IDと家系情報とを匿名化するためのプログラムである。この匿名化IDは、この匿名化IDを用いて家系図情報を再生することはできるが、検体IDを直接導き出すことができない情報である。ただし、匿名化IDの生成ルールを知る者(匿名化端末102)は、匿名化IDから検体IDを特定可能である。転送プログラム311は、生成した匿名化IDを104に提供するためのプログラムである。   The ROM 303 stores an operation program for the control unit 301. As illustrated in FIG. 3B, the operation program stored in the ROM 303 includes an anonymization ID generation program 310 and a transfer program 311. The anonymization ID generation program 310 is a program for anonymizing the specimen ID and family information provided from the hospital information processing terminal 101. This anonymization ID is information that can reproduce family tree information using this anonymization ID, but cannot derive a sample ID directly. However, a person who knows the anonymization ID generation rule (anonymization terminal 102) can specify the sample ID from the anonymization ID. The transfer program 311 is a program for providing the generated anonymization ID to 104.

記憶部304は、生成した匿名化IDとその元となった情報とを蓄積する。
通信部305は、104を介して病院用情報処理端末101及び解析者用情報処理端末103と通信を行う。
バス306は、これら各部の間でデータを伝送する。 The storage unit 304 accumulates the generated anonymization ID and the information that is the basis thereof.
The communication unit 305 communicates with the hospital information processing terminal 101 and the analyzer information processing terminal 103 via 104.
The bus 306 transmits data between these units.

外部メモリインターフェイス307は、制御部301で匿名化された検体IDと家系情報とを、解析者用情報処理端末103に提供する媒体となるカード式メモリ等の外部記憶媒体105に記録するためのインターフェイスである。   The external memory interface 307 is an interface for recording the sample ID and family information anonymized by the control unit 301 in an external storage medium 105 such as a card-type memory serving as a medium provided to the information processing terminal 103 for the analyzer. It is.

解析者用情報処理端末103は、図4(A)に示すように、制御部401と、RAM402と、ROM403と、記憶部404と、通信部405と、表示部406と、入力部407と、バス408と、外部メモリインターフェイス409とから構成される。   As shown in FIG. 4A, the analyzer information processing terminal 103 includes a control unit 401, a RAM 402, a ROM 403, a storage unit 404, a communication unit 405, a display unit 406, an input unit 407, A bus 408 and an external memory interface 409 are included.

制御部401は、CPU(Central Processing Unit)等から構成され、RAM402をワークエリアとして使用して、ROM403に格納された動作プログラムを実行し、匿名化端末102から提供された匿名化IDを用いて家系図を再生し、これを表示部406に表示する。また、入力部407から入力される解析情報などを編集する。   The control unit 401 includes a CPU (Central Processing Unit) and the like, uses the RAM 402 as a work area, executes an operation program stored in the ROM 403, and uses the anonymization ID provided from the anonymization terminal 102. The family tree is reproduced and displayed on the display unit 406. In addition, the analysis information input from the input unit 407 is edited.

RAM402は、制御部401のワークエリアとして機能する。   The RAM 402 functions as a work area for the control unit 401.

ROM403は、制御部401の動作プログラムを記憶する。図5(B)に示すように、ROM403が記憶する動作プログラムは、鍵生成プログラム410とデータ復号化プログラム411と、表示プログラム412と、編集プログラム413とを含む。鍵生成プログラム410は、匿名化IDから家系図を生成する際に使用する鍵を生成する。なお、鍵の技術的意味や生成手順は後述する。   The ROM 403 stores an operation program for the control unit 401. As shown in FIG. 5B, the operation program stored in the ROM 403 includes a key generation program 410, a data decryption program 411, a display program 412, and an editing program 413. The key generation program 410 generates a key used when generating a family tree from the anonymization ID. The technical meaning and generation procedure of the key will be described later.

データ復号化プログラム411は、生成した鍵を用いて、匿名化IDから家系図情報を生成する。
表示プログラム412は、例えば、復号化した家系図情報を含む種々の情報を表示部406に表示する。 The data decryption program 411 generates family tree information from the anonymization ID using the generated key.
The display program 412 displays various information including the decoded family tree information on the display unit 406, for example.

入力部407は、家系図を解析した情報を入力する。
バス408は、各部の間のデータを伝送する。 The input unit 407 inputs information obtained by analyzing the family tree.
The bus 408 transmits data between the units.

外部メモリインターフェイス409は、匿名化端末102から提供されるカード式メモリ等の外部記憶媒体105から、匿名化された検体IDと家系情報とを読み取るためのインターフェイスである。   The external memory interface 409 is an interface for reading the anonymized sample ID and family information from the external storage medium 105 such as a card memory provided from the anonymization terminal 102.

次に、上記構成のシステムを用いて、家系図情報を解析する手法(システムの動作)を説明する。   Next, a method (system operation) of analyzing family tree information using the system configured as described above will be described.

まず、本実施の形態における遺伝情報解析手順の全体像を図5と図6を参照して説明する。   First, an overview of the genetic information analysis procedure in the present embodiment will be described with reference to FIGS.

まず、病院において、ある検査対象者(被験者)にID(検体ID)を割り当てる。この検体IDは、被験者に固有のIDである。   First, in a hospital, an ID (specimen ID) is assigned to a certain test subject (subject). This sample ID is an ID unique to the subject.

また、この被験者の、被験者情報を被験者IDに対応付けてデータベース204に登録する。被験者情報は、被験者のプライバシ情報であり、例えば、家系図情報、住所情報、氏名情報、年齢情報、性別情報、診療情報等の情報(病歴情報、診療履歴情報、投薬履歴情報等)等、個人を特定すると共に被験者の治療などに有効な種々の情報である。このうち、家系図情報は、親子関係等を定義し、家系図を生成できるデータである。   Further, the subject information of the subject is registered in the database 204 in association with the subject ID. The subject information is the subject's privacy information, such as family tree information, address information, name information, age information, gender information, medical information (such as medical history information, medical history information, medication history information), etc. It is various information that is effective for identifying the subject and treating the subject. Of these, the family tree information is data that can define a parent-child relationship and generate a family tree.

ある被験者について、遺伝情報の解析が必要となった場合、医師等は、病院用情報処理端末101を操作して、その被験者の被験者情報のうち解析に必要な情報のみを抽出する。例えば、個人を特定しうる情報を除いた、家系情報、年齢、性別、診療情報の一部などを抽出する。以下では、抽出した被験者情報を抽出被験者情報と呼ぶ。   When genetic information needs to be analyzed for a subject, a doctor or the like operates the hospital information processing terminal 101 to extract only information necessary for analysis from the subject information of the subject. For example, family information, age, sex, a part of medical information, etc. are extracted excluding information that can identify an individual. Hereinafter, the extracted subject information is referred to as extracted subject information.

続いて、遺伝情報の解析を依頼するため、検体IDと抽出被験者情報とを対応付けて病院用情報処理端末101から匿名化端末102に送付する(ステップS1)。   Subsequently, in order to request analysis of genetic information, the specimen ID and the extracted subject information are associated with each other and sent from the hospital information processing terminal 101 to the anonymization terminal 102 (step S1).

例えば、親子の関係にあるAさん(親)とCさん(子)に関する遺伝情報を解析する必要がある場合には、Aさん(親)とCさん(子)の検体IDとAさんとCさんの親子関係を示す家系図情報や、Aさんの性別・年齢・病歴などの情報、Cさんの性別・年齢・病歴などの情報を対応付けて送信する。   For example, if it is necessary to analyze genetic information about A (parent) and C (child) in a parent-child relationship, the sample IDs of A (parent) and C (child), A and C The family tree information indicating the parent-child relationship, the information such as the sex / age / history of Mr. A, and the information such as the sex / age / history of Mr. C are transmitted in association with each other.

匿名化端末102は、送付された情報を受信して記憶部304に格納する。続いて、匿名化端末102は、提供された検体IDから、検体IDとの関連性を示す情報である関連情報を生成し、記憶部304に格納する(ステップS2)。さらに、匿名化端末102は、関連情報を含む任意の匿名化ID’を生成する(ステップS3)。検体IDと匿名化ID’との関連性は、検体IDと匿名化ID’に埋め込まれている関連情報との対応表を持つ者しかわからない。   The anonymization terminal 102 receives the sent information and stores it in the storage unit 304. Subsequently, the anonymization terminal 102 generates related information, which is information indicating the relevance with the sample ID, from the provided sample ID, and stores it in the storage unit 304 (step S2). Furthermore, the anonymization terminal 102 generates an arbitrary anonymization ID ′ including related information (step S3). The relevance between the sample ID and the anonymized ID 'is known only by a person who has a correspondence table between the sample ID and the related information embedded in the anonymized ID'.

続いて、家系図情報を処理して家系情報を生成する(ステップS4)。ここで、家系情報は、家系図情報を処理して、後述する匿名化IDのみから家系図を生成可能とするような情報である。   Subsequently, the family tree information is processed to generate family tree information (step S4). Here, the family tree information is information that enables the family tree information to be generated from only the anonymization ID described later by processing the family tree information.

続いて、匿名化ID’を暗号鍵として用いて、家系情報を含む抽出被験者情報を暗号化し暗号化付加情報を生成する(ステップS5)。   Subsequently, using the anonymized ID 'as an encryption key, the extracted subject information including family information is encrypted to generate encrypted additional information (step S5).

続いて、匿名化ID’と暗号化付加情報とを連結して匿名化IDを生成する(ステップS6)。この匿名化IDは、この匿名化IDから家系情報を再生することはできるが、検体IDを推定することはできない情報である。   Subsequently, the anonymized ID 'and the encrypted additional information are connected to generate an anonymized ID (step S6). The anonymization ID is information that can reproduce the family information from the anonymization ID but cannot estimate the specimen ID.

次に、匿名化端末102は、生成した匿名化IDを外部メモリインターフェイス307を介して外部記憶媒体105に記録する(ステップS7)。そして、匿名化端末102の利用者は、その外部記憶媒体105を解析者用情報処理端末103の利用者に提供する。   Next, the anonymization terminal 102 records the generated anonymization ID in the external storage medium 105 via the external memory interface 307 (step S7). Then, the user of the anonymization terminal 102 provides the external storage medium 105 to the user of the information processing terminal 103 for analyzer.

次に、解析者用情報処理端末103の利用者は、匿名化端末102の利用者から送付された、その外部記憶媒体105を解析者用情報処理端末103の外部メモリインターフェイス409にセットする。そして、解析者用情報処理端末103は、この外部記憶媒体105が外部メモリインターフェイス409にセットされたことを検知して、次のステップS8の処理を開始する。   Next, the user of the information processing terminal for analyzer 103 sets the external storage medium 105 sent from the user of the anonymization terminal 102 to the external memory interface 409 of the information processing terminal for analyzer 103. Then, the information processing terminal 103 for analyst detects that the external storage medium 105 is set in the external memory interface 409, and starts the process of the next step S8.

解析者用情報処理端末103は、外部記憶媒体105に記録された匿名化IDを読み取り、記憶部404に格納し、匿名化ID’と暗号化付加情報とに分割する(ステップS8)。
次に、解析者用情報処理端末103は、匿名化ID’と予め格納されている秘密情報、とから付加情報復号・検証鍵を生成する(ステップS9)。この付加情報復号・検証鍵は、暗号化付加情報から家系情報を復号すると共に復号結果が正しいか否かを検証可能な鍵である。 The analyzer information processing terminal 103 reads the anonymization ID recorded in the external storage medium 105, stores it in the storage unit 404, and divides it into anonymization ID ′ and encrypted additional information (step S8).
Next, the information processing terminal 103 for analyst generates an additional information decryption / verification key from the anonymization ID ′ and the secret information stored in advance (step S9). This additional information decryption / verification key is a key capable of decrypting the family information from the encrypted additional information and verifying whether the decryption result is correct.

ついで、復号及び検証した付加情報から家系図を生成する(ステップS11)。解析用端末103では、家系情報或いは家系図から検体IDを特定することはできず、解析している家系図がどこのだれのものであるか、或いは、どの検体IDに対応するものであるかを特定することができない。   Next, a family tree is generated from the decoded and verified additional information (step S11). The analysis terminal 103 cannot specify the sample ID from the family information or the family tree, and to whom the analyzed family tree belongs or to which sample ID corresponds Cannot be specified.

解析者は、再生した家系図及び家系図に現れる人物の抽出被験者情報から、遺伝情報を解析する(ステップS12)。   The analyst analyzes genetic information from the regenerated family tree and the extracted subject information of the person appearing in the family tree (step S12).

解析者は、解析が終了すると、解析結果を匿名化ID’と共に、外部メモリインターフェイス409を介して、外部記憶媒体105に記録する(図6;ステップS13)。そして、解析者は、その外部記憶媒体105を匿名化端末102の利用者に提供する。   When the analysis is completed, the analyst records the analysis result together with the anonymized ID 'in the external storage medium 105 via the external memory interface 409 (FIG. 6; step S13). Then, the analyst provides the external storage medium 105 to the user of the anonymization terminal 102.

匿名化端末102の利用者は、その外部記憶媒体105を匿名化ID’と共に、解析情報処理装置103から受け取ると、匿名化端末102の外部メモリインターフェイス307にその外部記憶媒体105をセットする。そして、匿名化端末102は、この外部記憶媒体105が外部メモリインターフェイス307にセットされたことを検知して、次のステップS14の処理を開始する。   When the user of the anonymization terminal 102 receives the external storage medium 105 together with the anonymization ID ′ from the analysis information processing apparatus 103, the user sets the external storage medium 105 in the external memory interface 307 of the anonymization terminal 102. Then, the anonymization terminal 102 detects that the external storage medium 105 is set in the external memory interface 307, and starts the process of the next step S14.

匿名化端末102は、匿名化ID’から検体IDを再生し(ステップS14)、再生した検体IDと解析者用情報処理端末103から受け取った解析結果とを病院用情報処理端末101に送信する(ステップS15)。   The anonymization terminal 102 reproduces the sample ID from the anonymization ID ′ (step S14), and transmits the reproduced sample ID and the analysis result received from the analyzer information processing terminal 103 to the hospital information processing terminal 101 ( Step S15).

病院用情報処理端末101は、検体IDと解析結果とを対応付けてデータベース204に格納し(ステップS16)、以後の診療・治療等に活用する。   The hospital information processing terminal 101 stores the sample ID and the analysis result in association with each other in the database 204 (step S16), and uses them for subsequent medical treatment and treatment.

次に、図5と図6を参照して説明した遺伝情報解析手順を、詳細に説明する。   Next, the genetic information analysis procedure described with reference to FIGS. 5 and 6 will be described in detail.

まず、病院用情報処理端末101は、データベース204に、各被験者のID(検体ID)と関連する被験者情報を格納している。前述のように、被験者情報は、被験者のプライバシ情報であり、例えば、家系図情報、住所情報、氏名情報、年齢情報、性別情報、診療情報等の情報(病歴情報、診療履歴情報、投薬履歴情報等)等、個人を特定すると共に被験者の治療などに有効な種々の情報である。このうち、家系図情報は、家系図を検体IDの組み合わせで示したものである。   First, the hospital information processing terminal 101 stores subject information related to the ID (specimen ID) of each subject in the database 204. As described above, the subject information is the subject's privacy information, for example, family tree information, address information, name information, age information, gender information, medical information, etc. (medical history information, medical history information, medication history information) Etc.) and the like, and various information useful for the treatment of the subject and the like. Of these, the family tree information is a family tree represented by a combination of specimen IDs.

図7(a)に検体IDのデータ構成の一例を示す。この例では、各検体IDは、機関区分コード、検体区分コード、日付コード、連番コードから構成される。機関区分コードは病院の識別コードである。検体区分コードは、検体の種別(性別・年齢等の属性)を識別するコードである。日付コードは、その被験者の受付年月日などを特定するコードであるる。連番コードは、その受付日のうちの何番目の受け付け者であるかを示すコードである。ただし、コード体系自体は任意である。   FIG. 7A shows an example of the data structure of the sample ID. In this example, each specimen ID is composed of an engine classification code, a specimen classification code, a date code, and a serial number code. The organization classification code is a hospital identification code. The sample classification code is a code for identifying the type of sample (attributes such as gender and age). The date code is a code that specifies the reception date of the subject. The serial number code is a code indicating what number of acceptors on the acceptance date. However, the code system itself is arbitrary.

また、家系図情報は、家系図を検体IDの組み合わせで示すための情報であり、検体ID同士の関係を示す情報である。
例えば、母Aと父Bと、子C,D、Eがいる場合に、それぞれの検体IDを、ID、ID,ID,ID、IDと表現したときに、家系図は図8(A)に示すように構成される。これが、1ファミリー分の家系図であり、IDとID、及び、IDとIDとIDとがそれぞれ同一の1世代である。 The family tree information is information for indicating the family tree as a combination of sample IDs, and is information indicating the relationship between the sample IDs.
For example, when there are mother A, father B, and children C, D, and E, when the specimen IDs are expressed as ID A , ID B , ID C , ID D , and ID E , the family tree is It is configured as shown in FIG. This is a family tree for one family, and ID A and ID B and ID C , ID D, and ID E are the same generation.

医師などは、遺伝情報の解析が必要になると、解析が必要な被験者の検体IDを特定し、さらに、被験者情報のうち、解析に必要な情報を抽出して抽出被験者情報を生成する。   When analysis of genetic information is necessary, a doctor or the like identifies a specimen ID of a subject who needs analysis, and further extracts information necessary for analysis from the subject information to generate extracted subject information.

例えば、図8(A)の家系図において、AさんとCさんの遺伝情報の分析が必要な場合には、例えば、Bさんを除く、A、C〜Eさんの検体IDと抽出被験者情報とが、匿名化端末102に送信される。必要に応じて、全員の情報を送っても、AさんとCさんの情報のみを送ってもよい。   For example, in the family tree of FIG. 8A, when analysis of genetic information of Mr. A and Mr. C is necessary, for example, sample IDs and extracted subject information of A, C to E, excluding Mr. B, Is transmitted to the anonymization terminal 102. If necessary, all the information may be sent, or only the information of Mr. A and Mr. C may be sent.

次に、病院用情報処理端末101の制御部201は、医師などの操作に従って、検体IDと抽出被験者情報とを対応付けて、通信部205を介して匿名化端末102に送付する(ステップS1)。   Next, the control unit 201 of the hospital information processing terminal 101 associates the sample ID with the extracted subject information according to an operation of a doctor or the like, and sends the sample ID and the extracted subject information to the anonymization terminal 102 via the communication unit 205 (step S1). .

匿名化端末102の制御部301は、病院用情報処理端末101から通信部305を介してこれらの情報を受信し、記憶部304に格納する。   The control unit 301 of the anonymization terminal 102 receives these pieces of information from the hospital information processing terminal 101 via the communication unit 305 and stores them in the storage unit 304.

制御部301は、続いて、匿名化IDを生成する処理(ステップS2〜S6)を実行する。   Subsequently, the control unit 301 executes processing for generating an anonymization ID (steps S2 to S6).

まず、制御部301は、受信した検体IDを所定の一方向性関数に適用して、そのハッシュ値を求め、これを関連情報とする(ステップS2)。制御部301は、検体IDと関連情報との対応関係を示す情報を記憶部304に格納する。この関連情報は、検体IDとの関連性を示す情報である。なお、ハッシュ値を所定のルールで暗号化したり、圧縮したり、乱数を発生してこれを付加してランダム性を持たせたりしてもよい。このようにして、例えば、図7(A)に示す検体IDから、図7(B)に示すような関連情報を生成する。   First, the control unit 301 applies the received sample ID to a predetermined one-way function, obtains a hash value thereof, and sets this as related information (step S2). The control unit 301 stores information indicating the correspondence relationship between the sample ID and the related information in the storage unit 304. This related information is information indicating the relevance with the specimen ID. The hash value may be encrypted according to a predetermined rule, may be compressed, or a random number may be generated and added to give randomness. In this way, for example, related information as shown in FIG. 7B is generated from the sample ID shown in FIG.

次に、制御部301は生成した関連情報を含む任意の匿名化ID’を生成する(ステップS3)。検体IDと匿名化ID’との関係は、検体IDと関連情報の対応表を持つ者(対応関係を知る者)しかわからない。図7(C)に、検体IDの機関区分と検体区分に関連情報を連結して生成した匿名化ID’の例を示す。ただし、関連情報に連結するデータは任意である。また、連結のルールが確定していれば、関連情報は連続している必要はなく、匿名化ID’内で分割されて分散していてもよい。   Next, the control part 301 produces | generates arbitrary anonymization ID 'containing the relevant information produced | generated (step S3). The relationship between the sample ID and the anonymized ID 'is known only by a person having a correspondence table of the sample ID and related information (a person who knows the correspondence). FIG. 7C shows an example of an anonymization ID 'generated by connecting related information to the institution division and sample division of the sample ID. However, the data linked to the related information is arbitrary. In addition, if the connection rule is established, the related information does not need to be continuous, and may be divided and distributed within the anonymization ID '.

次に、制御部301は、家系情報を生成する。即ち、図8(A)に示すような検体IDで定義されている家系情報を、上述と同様の手法により、図8(B)に示すような匿名化ID’で定義される家系情報に変換する。   Next, the control unit 301 generates family information. That is, the family information defined by the sample ID as shown in FIG. 8A is converted into the family information defined by the anonymization ID ′ as shown in FIG. 8B by the same method as described above. To do.

続いて、家系図情報から家系情報を生成する。この家系情報は、匿名化ID’間の関係を示す情報である。
この家系情報の形態は任意であるが、図9(a)、(b)に示すような境界情報Wを用いて形成することができる。
この境界情報の左側が親の情報を、右側が子の情報を示す
例えば、図8(B)の家系図上で、匿名化ID’(ID’も同様である)の家系情報は、図9(a)に示すように、境界情報Wの右側に子供として、匿名化ID’、ID’、ID’がいることを示す。同様に、図8(B)の家系図上で、匿名化ID’(ID’とID’も同様である)の家系情報は、図9(b)に示すように、境界情報Wの左側に親として、匿名化ID’とID’がいることを示す。 Subsequently, family information is generated from the family tree information. This family information is information indicating the relationship between the anonymization ID ′.
The form of the family information is arbitrary, but can be formed using boundary information W as shown in FIGS. 9 (a) and 9 (b).
For example, on the family tree in FIG. 8B, the family information of the anonymized ID A A (ID B ′ is the same) is shown on the left side of the boundary information. As shown in FIG. 9A, it is shown that there are anonymized ID C ′, ID D ′, and ID E ′ as children on the right side of the boundary information W. Similarly, the family information of the anonymized ID C ′ (ID D ′ and ID E ′ is the same) on the family tree of FIG. 8B is the boundary information W as shown in FIG. 9B. It is shown that there are anonymized ID A 'and ID B ' as parents on the left side of.

続いて、制御部301は、匿名化ID’を暗号鍵として用いて、家系情報やその他の抽出被験者情報を暗号化し、これを、暗号化付加情報とする(ステップS5)。さらに、この際、適当なビット数の乱数を付加し、例えば、ElGamal暗号などにより暗号化する。   Subsequently, the control unit 301 encrypts the family line information and other extracted subject information using the anonymized ID 'as an encryption key, and uses this as encrypted additional information (step S5). Further, at this time, a random number having an appropriate number of bits is added and encrypted by, for example, ElGamal encryption.

例えば、注目している被験者がAさんであり、その匿名化ID’が図9(a)に示す内容であったとする。次に、図8(B)の家系図情報によれば、Aさんの匿名化ID’の家系情報は図10(b)に示すように、境界情報Wと匿名化ID’と、匿名化ID’と、匿名化ID’とを連結したものとなる。さらに、ここに、Aさんの性別、年齢、病歴などのその他の被験者情報を結合する。 For example, it is assumed that the subject who is paying attention is Mr. A, and the anonymized ID A ′ is the content shown in FIG. Next, according to the family tree information of FIG. 8 (B), the family tree information of Mr. A's anonymized ID A 'is as shown in FIG. 10 (b), with boundary information W, anonymized ID C ', and anonymous. reduction 'and anonymizing ID E' ID D becomes a concatenation of the. Further, other subject information such as the sex, age, and medical history of Mr. A is combined here.

制御部301は、所定ビット数の乱数を発生し、図10(c)に示すように、この乱数を家系情報に結合する。なお、図10(c)は例示であり、乱数のビット数や連結位置や連結手法は任意である。   The control unit 301 generates a random number having a predetermined number of bits and combines the random number with the family information as shown in FIG. In addition, FIG.10 (c) is an illustration and the bit number of random numbers, a connection position, and a connection method are arbitrary.

続いて、図10(c)に示す乱数が連結された家系情報を図10(a)に示す匿名化ID’で暗号化し、図10(d)に例示するような暗号化付加情報を生成する。 Subsequently, the family information to which the random numbers shown in FIG. 10C are concatenated is encrypted with the anonymization ID A ′ shown in FIG. 10A to generate encrypted additional information as illustrated in FIG. To do.

なお、遺伝情報の解析の対象がAさんとCとの関するものであれば、Cさんに関しても同様の処理を行って、匿名化ID’用の暗号化付加情報を生成する。 If the object of genetic information analysis is related to Mr. A and Mr. C, the same processing is also performed for Mr. C , and encrypted additional information for anonymized ID C ′ is generated.

続いて、匿名化ID’と生成した暗号化付加情報とを連結して図11(a)、(b)に示すように匿名化IDを生成する。即ち、暗号化鍵と暗号化の結果とを結合して匿名化IDを生成する。   Subsequently, the anonymization ID ′ and the generated encrypted additional information are connected to generate an anonymization ID as shown in FIGS. That is, the anonymization ID is generated by combining the encryption key and the encryption result.

制御部301は、このようにして生成した匿名化ID、例えば、IDとIDとを外部メモリインターフェイス307を介して外部記憶媒体105に記録する(ステップS7)。 The control unit 301 records the anonymized ID generated in this way, for example, ID A and ID C , in the external storage medium 105 via the external memory interface 307 (step S7).

解析者用情報処理端末103の制御部401は、外部記憶媒体105に記録された匿名化IDを外部メモリインターフェイス409を介して読み取り、記憶部404に一旦格納する。   The control unit 401 of the analyzer information processing terminal 103 reads the anonymization ID recorded in the external storage medium 105 via the external memory interface 409 and temporarily stores it in the storage unit 404.

続いて、制御部401は、RAM402をワークエリアとして動作して、まず、受信した匿名化IDを、例えば、匿名化ID’と暗号化付加情報とに分割する(ステップS8)。例えば、受信した図11に示す各匿名化IDを匿名化ID’とその暗号化付加情報、及び匿名化ID’とその暗号化付加情報に分割する。これは、匿名化ID’のビット数が予め定められていれば、MSBより所定ビット数を匿名化IDとし、残りを暗号化付加データとすることにより容易に実施可能である。 Subsequently, the control unit 401 operates using the RAM 402 as a work area, and first divides the received anonymization ID into, for example, anonymization ID ′ and encrypted additional information (step S8). For example, each received anonymization ID shown in FIG. 11 is divided into anonymization ID A ′ and its encrypted additional information, and anonymized ID C ′ and its encrypted additional information. If the number of bits of the anonymization ID ′ is determined in advance, this can be easily performed by using the MSB as a predetermined number of bits as an anonymization ID and the rest as encrypted additional data.

次に、権限ある解析端末に予め与えられている「秘密情報」を用いて、暗号化ID’を処理して、付加情報復号・検証鍵を生成する(ステップS9)。
この付加情報復号・検証鍵は、家系情報などを復号すると共に復号結果が正しいかどうか検証可能とする鍵である。
なお、「秘密情報」は、例えば、解析者が作成し、匿名化端末102が承認する方法、匿名化端末102が生成して配布する方法、センタを設けてそこから配布する方法などがある。また、付加情報復号・検証鍵自体を、解析者が作成し、匿名化端末102が承認する方法、匿名化端末102が生成して配布する方法、鍵センタを設けてそこから配布する等の方法をとってもよい。 Next, using the “secret information” given in advance to the authorized analysis terminal, the encryption ID ′ is processed to generate an additional information decryption / verification key (step S9).
This additional information decryption / verification key is a key for decrypting the family information and verifying whether the decryption result is correct.
The “secret information” includes, for example, a method created by an analyst and approved by the anonymization terminal 102, a method generated and distributed by the anonymization terminal 102, and a method of distributing from a center. In addition, an additional information decryption / verification key itself is created by an analyst and approved by the anonymization terminal 102, a method of generation and distribution by the anonymization terminal 102, a method of providing a key center and distribution from there, etc. You may take

次に、この付加情報復号・検証鍵を用いて暗号化付加情報を復号する。さらに、復号した暗号化付加情報をつきあわせることによりその正当性をチェックする。例えば、匿名化ID’と匿名化ID’を考えると、匿名化ID’の暗号化付加情報の復号化情報に含まれている家系情報と、匿名化ID’の暗号化付加情報の復号化情報に含まれている家系情報に矛盾があるか否かを判別し、復号したデータを検証する。 Next, the encrypted additional information is decrypted using the additional information decryption / verification key. Further, the validity is checked by matching the decrypted encrypted additional information. For example, when anonymized ID A ′ and anonymized ID C ′ are considered, the family information included in the decryption information of the encrypted additional information of the anonymized ID A ′ and the encrypted additional information of the anonymized ID C ′ It is determined whether or not there is any contradiction in the family information included in the decryption information, and the decrypted data is verified.

例えば、図8(B)の家系図を前提とすれば、匿名化ID’については、復号化した暗号化付加情報から匿名化ID’が「子」であることを判別でき、一方、匿名化ID’については、復号化した暗号化付加情報からID’が「親」であることを判別できたとすれば、両者に矛盾が無く、検証OKである。従って、図12(又は図8(B))に示すような、家系図を再生することができる。制御部401は、再生した家系図及び各人の性別・年齢や病歴などの情報を記憶部404に格納する。従って、このように復号・検証鍵を匿名化ID’から生成し、それを用いて復号することで、匿名化ID’と付加情報の組み合わせの検証を同時に行うことができ、ヒューマンエラーを防止することができる。 For example, assuming the family tree of FIG. 8B, for the anonymization ID A ′, it can be determined from the decrypted encrypted additional information that the anonymization ID C ′ is “child”, With regard to the anonymized ID C ′, if it can be determined from the decrypted encrypted additional information that ID A ′ is “parent”, there is no contradiction between the two and the verification is OK. Therefore, a family tree as shown in FIG. 12 (or FIG. 8B) can be reproduced. The control unit 401 stores the regenerated family tree and information such as the gender / age and medical history of each person in the storage unit 404. Therefore, by generating the decryption / verification key from the anonymized ID ′ and decrypting it using the decryption / verification key in this way, the combination of the anonymized ID ′ and the additional information can be verified at the same time, and human error is prevented. be able to.

次に、解析者は、再生された家系図及びその他の情報を表示部406に表示させ、遺伝情報を解析する(ステップS12)。また、解析結果を入力部407から入力・編集する。   Next, the analyst causes the reproduced family tree and other information to be displayed on the display unit 406, and analyzes genetic information (step S12). The analysis result is input / edited from the input unit 407.

解析者は、解析結果を、匿名化ID’及び匿名化ID’と共に、外部メモリインターフェイス409を介して外部記憶媒体105に記録する(ステップS13)。そして、解析者は、その外部記憶媒体105を、匿名化端末102の利用者に提供する。 The analyst records the analysis result in the external storage medium 105 via the external memory interface 409 together with the anonymized ID A ′ and the anonymized ID C ′ (step S13). Then, the analyst provides the external storage medium 105 to the user of the anonymization terminal 102.

次に、匿名化端末102の利用者は、その外部記憶媒体105を、匿名化端末102の外部メモリインターフェイス307にセットする。そして、匿名化端末102の制御部201は、外部メモリインターフェイス307を介して、外部記憶媒体105から匿名化ID’と匿名化ID’とを読み取り、その匿名化ID’と匿名化ID’とから、対応データに基づいて、IDとIDとを再生し、これを病院用情報処理端末101に送信する。 Next, the user of the anonymization terminal 102 sets the external storage medium 105 in the external memory interface 307 of the anonymization terminal 102. Then, the control unit 201 of the anonymization terminal 102 reads the anonymization ID A ′ and the anonymization ID C ′ from the external storage medium 105 via the external memory interface 307, and the anonymization ID A ′ and the anonymization ID. Based on the correspondence data, ID A and ID C are reproduced from C ′ and transmitted to the hospital information processing terminal 101.

以上説明した手順により、解析者に個人を特定する情報を与えることなく、遺伝情報の解析が可能となる。また、解析者が病院と仮に結託しても、病院側に匿名化ID’を提供しても検体IDを特定できないので、個人を特定することができない。   According to the procedure described above, genetic information can be analyzed without giving the analyst information for identifying an individual. Further, even if the analyst temporarily collaborates with the hospital, even if the anonymized ID 'is provided to the hospital side, the specimen ID cannot be specified, and therefore the individual cannot be specified.

さらに、解析者は、受信した情報から家系情報を復元し、また、被験者の属性や病歴を知ることができる。即ち、必要な情報がそろった状態で解析作業を行うことができ、作業が容易であり、ミスの発生も少ない。   Further, the analyst can restore the family information from the received information and know the attributes and medical history of the subject. That is, the analysis work can be performed in a state where necessary information is gathered, the work is easy, and there are few mistakes.

なお、この発明は上記実施の形態に限定されず、種々の変形及び応用が可能である。   In addition, this invention is not limited to the said embodiment, A various deformation | transformation and application are possible.

例えば、上記実施の形態においては、家系情報を連結記号と匿名化ID’とを連結することにより形成したが、例えば、匿名化ID’のハッシュ値を用いてもよい。但し、復号時に、匿名化ID’のハッシュ値を求めて、連結されているデータのいずれが、どの匿名化ID’のハッシュ値に一致しているのかを判別することにより、匿名化ID’を特定する必要がある。   For example, in the above embodiment, the family information is formed by concatenating the concatenation symbol and the anonymized ID ′. However, for example, a hash value of the anonymized ID ′ may be used. However, at the time of decryption, the hash value of the anonymized ID ′ is obtained, and the anonymized ID ′ is determined by determining which of the connected data matches the hash value of which anonymized ID ′. Need to be identified.

また、暗号化の手法や復号の手法も任意である。
例えば、次に式で示すような、解析者端末103で暗号化鍵を生成する手法も有効である。
解析者用情報処理端末103は、数1に示すように、0から素数pの整数値からなる集合Zlのうちからランダムに選択して、これを秘密鍵Keypriv1とする。

Figure 2007179500
次に、数2に示すように、位数がpの巡回群Gでの原始元を利用して秘密鍵Keypriv1を暗号化して、公開鍵Keypubを生成する。
Figure 2007179500
 Also, an encryption method and a decryption method are arbitrary.
For example, a method of generating an encryption key by the analyst terminal 103 as shown in the following equation is also effective.
As shown in Equation 1, the analyzer information processing terminal 103 selects at random from a set Zl composed of integer values from 0 to a prime number p, and sets this as a secret key Keypriv1.
Figure 2007179500
 Next, as shown in Equation 2, the secret key Keypriv1 is encrypted using the primitive element in the cyclic group G of order p, and the public key Keypub is generated.
Figure 2007179500

解析記者用情報処理端末103は、この公開鍵を匿名化端末102に送信する。
匿名化端末102は、病院用情報処理端末101より、被験者の検体IDと抽出被験者情報Mprivacyとを受信し、数3で表される匿名化IDを求め、解析者用情報処理端末103へ送る。

Figure 2007179500
The analysis reporter information processing terminal 103 transmits this public key to the anonymization terminal 102.
The anonymization terminal 102 receives the subject's specimen ID and the extracted subject information Mprivacy from the hospital information processing terminal 101, obtains the anonymization ID represented by Equation 3, and sends it to the analyzer information processing terminal 103.
Figure 2007179500

ここで、ID'は 関連情報を埋め込んだ匿名化ID’である。また、||は、データの結合を示す。rは、数4に示すように、集合Zlに属す乱数である。ここで、rGは、位数がqの巡回群Gでの原始元を利用して求められる。mprivacyは、家系図情報等を含む抽出被験者情報である。また、抽出被験者情報mprivacyと排ハッシュ関数H2で暗号化したデータとの排他的論理和(Aで表す)を求める。
H1(ID')は、匿名化ID’を第1のハッシュH1に適用した値である。
(e(Keypub, H1(ID')))は、Keypubと H1(ID')による暗号化である。
さらに、H2(e(Keypub, H1(ID')))は、e(Keypub, H1(ID')) 第2のハッシュ関数H2に適用した値である。

Figure 2007179500
Here, ID ′ is an anonymized ID ′ in which related information is embedded. Also, || indicates data combination. r is a random number belonging to the set Zl as shown in Equation 4. Here, rG is obtained using a primitive element in the cyclic group G of order q. mprivacy is extracted subject information including family tree information and the like. Also, an exclusive OR (represented by A) of the extracted subject information mprivacy and the data encrypted with the exclusion hash function H2 is obtained.
H1 (ID ′) is a value obtained by applying anonymized ID ′ to the first hash H1.
(E (Keypub, H1 (ID ′)) r ) is encryption using Keypub and H1 (ID ′).
Further, H2 (e (Keypub, H1 (ID ′)) r ) is a value applied to e (Keypub, H1 (ID ′)) r second hash function H2.
Figure 2007179500

これに対し、解析者端末103は、匿名化IDを受領して、次のようにして抽出被験者情報を復号する。
数5により、暗号キーcを求める。

Figure 2007179500
続いて、抽出被験者情報mprivacyを数6に従って抽出する。
Figure 2007179500
 On the other hand, the analyzer terminal 103 receives the anonymization ID and decrypts the extracted subject information as follows.
The encryption key c is obtained from Equation 5.
Figure 2007179500
 Subsequently, the extracted subject information mprivacy is extracted according to Equation 6.
Figure 2007179500

このような形態によっても、安全に抽出被験者情報を解析者用情報処理端末103に送信し、かつ、解析者用情報処理端末103で必要な情報を得る得ることができる。   Even in such a form, it is possible to safely transmit the extracted subject information to the information processing terminal 103 for the analyzer and obtain necessary information at the information processing terminal 103 for the analyzer.

また、上記実施の形態においては、解析者用情報処理端末103は、匿名化ID’と予め与えられた秘密情報とに基づいて、暗号化付加情報を復号したが、その手法は任意である。   In the above embodiment, the information processing terminal 103 for the analyst decrypts the encrypted additional information based on the anonymization ID 'and the secret information given in advance, but the method is arbitrary.

上記実施の形態においては、暗号化符号化情報として、連結情報Wに連結した匿名化ID’を連結した。この様な手法は、1ファミリー単位で、暗号化付加情報を匿名化端末102から解析者情報処理端末103へ外部記憶媒体105に記録して提供する場合に、特に有効である。   In the above embodiment, the anonymized ID ′ linked to the linked information W is linked as the encrypted encoded information. Such a method is particularly effective when encrypted additional information is recorded and provided from the anonymization terminal 102 to the analyst information processing terminal 103 in the external storage medium 105 for each family.

但し、この発明はこれに限定されず、例えば、バッチ処理等で実施する場合などにおいて、複数の(又は全ての)IDについてまとめて家系情報を送信するような場合には、個々に匿名化ID’を送信するのではなく、図13に示すように、連結情報にファミリーの識別情報を付すようにしてもよい。
例えば、図13では、ID’〜ID’が、「1」番のファミリーに属しており、ID’とID’に関しては子の情報が存在し、ID’〜ID’に関しては、親の情報が存在することが示されている。
そこで、解析者用情報処理端末103でこれらの情報を復号した後、ファミリー番号が一致するもの同士を組み合わせることにより、家系図情報を再生することができる。 However, the present invention is not limited to this. For example, in the case of carrying out by batch processing or the like, when the family information is transmitted collectively for a plurality (or all) IDs, the anonymization ID is individually set. Instead of transmitting ', family identification information may be attached to the linked information as shown in FIG.
For example, in FIG. 13, ID A ′ to ID E ′ belong to the family “1”, child information exists for ID A ′ and ID B ′, and ID C ′ to ID E ′. Indicates that parent information exists.
Therefore, after decoding these pieces of information by the information processing terminal 103 for the analyst, the family tree information can be reproduced by combining those having the same family number.

この発明の各情報処理端末は、専用装置に限定されない。一般のコンピュータに、コンピュータを上記各端末として動作させるためのコンピュータプログラムを記録媒体などからインストールすることにより、上記各端末を実現することができる。   Each information processing terminal of the present invention is not limited to a dedicated device. Each terminal can be realized by installing a computer program for operating the computer as each terminal in a general computer from a recording medium or the like.

さらに、上記実施の形態においては、解析者用情報処理端末103は、ネットワーク104に接続されていないが、例えば、家系図や関連情報の匿名性確保のレベルが低くても構わない場合は、外部記憶媒体105を用いず、図14のようにネットワーク104を介してデータを授受してもよい。この場合、解析者用情報処理端末103と匿名化端末102は、通信部305、または通信部405を介して、暗号化情報を授受する。   Furthermore, in the above embodiment, the information processing terminal 103 for the analyst is not connected to the network 104. For example, if the level of anonymity securing of the family tree and related information may be low, Data may be exchanged via the network 104 as shown in FIG. 14 without using the storage medium 105. In this case, the analyzer information processing terminal 103 and the anonymization terminal 102 exchange encrypted information via the communication unit 305 or the communication unit 405.

本実施形態に係る匿名化識別情報生成システムの構成を説明するための図である。It is a figure for demonstrating the structure of the anonymization identification information generation system which concerns on this embodiment. 病院用情報処理端末の構成を説明するためのブロック図である。It is a block diagram for demonstrating the structure of the information processing terminal for hospitals. 匿名化端末の構成を説明するためのブロック図である。It is a block diagram for demonstrating the structure of an anonymization terminal. 解析者用情報処理端末の構成を説明するためのブロック図である。It is a block diagram for demonstrating the structure of the information processing terminal for analysts. 本実施形態に係る匿名化識別情報生成システムの全体の動作を説明するための図である。It is a figure for demonstrating the operation | movement of the whole anonymization identification information generation system which concerns on this embodiment. 本実施形態に係る匿名化識別情報生成システムの全体の動作を説明するための図である。It is a figure for demonstrating the operation | movement of the whole anonymization identification information generation system which concerns on this embodiment. 検体IDから匿名化ID’を生成する処理を説明するための図である。It is a figure for demonstrating the process which produces | generates anonymization ID 'from sample ID. (A)は、検体IDで定義されている家系情報を示す図である。(B)は、匿名化ID’で定義される家系情報を示す図である。(A) is a figure which shows the family line information defined by sample ID. (B) is a figure which shows the family line information defined by anonymization ID '. 家系情報における境界情報の一例を示す図である。It is a figure which shows an example of the boundary information in ancestry information. (a)は、関連性検証鍵のビット列の一例を示す図である。(b)(c)は、家系情報のビット列の一例を示す図である。(d)は、暗号化付加情報のビット列の一例を示す図である。(A) is a figure which shows an example of the bit string of a relevance verification key. (B) (c) is a figure which shows an example of the bit string of ancestry information. (D) is a figure which shows an example of the bit sequence of encryption additional information. (a)は、匿名化ID’ビット列の一例を示す図である。(b)は、匿名化ID’cビット列の一例を示す図である。(A) is a diagram showing an example of the anonymous ID 'A bit string. (B) is a figure which shows an example of anonymization ID'c bit sequence. 家系図を生成する場合の家系情報の一例を示す図である。It is a figure which shows an example of the family tree information in the case of generating a family tree. 家系図を生成する場合の家系情報の一例を示す図である。It is a figure which shows an example of the family tree information in the case of generating a family tree. 解析者用情報処理端末をネットワークに接続した場合の実施形態に係る匿名化識別情報生成システムの構成図である。It is a block diagram of the anonymization identification information generation system which concerns on embodiment at the time of connecting the information processing terminal for analyzers to a network.

符号の説明Explanation of symbols

100 匿名化識別情報生成システム
101 病院用情報処理端末
102 匿名化端末
103 解析者用情報処理端末
104 ネットワーク
105 外部記憶媒体 DESCRIPTION OF SYMBOLS 100 Anonymization identification information generation system 101 Information processing terminal 102 for hospitals Anonymization terminal 103 Information processing terminal 104 for analysts Network 105 External storage medium

Claims (7)

遺伝情報を解析する対象の被験者毎に固有の被験者識別情報と、各被験者間の関係を示す被験者関係情報と、を取得する情報取得手段と、
前記情報取得手段が取得した前記被験者識別情報を暗号化して暗号化識別情報を生成する識別情報暗号化手段と、
前記識別情報暗号化手段が生成した前記暗号化識別情報と、前記情報取得手段が取得した前記被験者関係情報と、に基づいて暗号化情報を生成する暗号化情報生成手段と、
前記暗号化情報生成手段が生成した前記暗号化情報を、解析用の他の装置に送信する暗号化情報送信手段と、
を備える、
ことを特徴とする匿名化識別情報生成システム。 Information acquisition means for acquiring subject identification information unique to each subject subject to genetic information analysis and subject relationship information indicating a relationship between subjects;
Identification information encryption means for generating encrypted identification information by encrypting the subject identification information acquired by the information acquisition means;
Encrypted information generating means for generating encrypted information based on the encrypted identification information generated by the identification information encrypting means and the subject relationship information acquired by the information acquiring means;
Encrypted information transmitting means for transmitting the encrypted information generated by the encrypted information generating means to another device for analysis;
Comprising
An anonymized identification information generation system characterized by that. 前記暗号化情報を復号・解析するための情報処理装置をさらに備え、
前記情報処理装置は、
前記暗号化情報生成手段により生成された暗号化情報を外部記憶媒体から読み取る暗号化情報読み取り手段と、
前記暗号化情報読み取り手段が読み取った前記暗号化情報を復号する暗号化情報復号手段と、
前記暗号化情報復号手段が復号した情報に基づいて、前記被験者関係情報を再生成する再生成手段と、
を備える、
ことを特徴とする請求項1に記載の匿名化識別情報生成システム。 An information processing device for decrypting and analyzing the encrypted information;
The information processing apparatus includes:
Encrypted information reading means for reading the encrypted information generated by the encrypted information generating means from an external storage medium;
Encrypted information decrypting means for decrypting the encrypted information read by the encrypted information reading means;
Based on the information decrypted by the encrypted information decrypting means, regenerating means for regenerating the subject relationship information;
Comprising
The anonymized identification information generation system according to claim 1. 前記暗号化情報を復号・解析するための情報処理装置をさらに備え、
前記情報処理装置は、
前記暗号化情報送信手段によって送信された前記暗号化情報を取得する暗号化情報取得手段と、
前記暗号化情報取得手段が取得した前記暗号化情報を復号する暗号化情報復号手段と、
前記暗号化情報復号手段が復号した情報に基づいて、前記被験者関係情報を再生成する再生成手段と、
を備える、
ことを特徴とする請求項1に記載の匿名化識別情報生成システム。 An information processing device for decrypting and analyzing the encrypted information;
The information processing apparatus includes:
Encrypted information acquiring means for acquiring the encrypted information transmitted by the encrypted information transmitting means;
Encrypted information decrypting means for decrypting the encrypted information acquired by the encrypted information acquiring means;
Based on the information decrypted by the encrypted information decrypting means, regenerating means for regenerating the subject relationship information;
Comprising
The anonymized identification information generation system according to claim 1. 前記被験者関係情報は、前記被験者の遺伝解析に必要な遺伝情報を含む、
ことを特徴とする請求項1乃至3のいずれか1項に記載の匿名化識別情報生成システム。 The subject relationship information includes genetic information necessary for genetic analysis of the subject.
The anonymized identification information generation system according to any one of claims 1 to 3. 前記被験者関係情報における前記被験者間の関係は、前記被験者識別情報に基づいて定義する、
ことを特徴とする請求項1乃至4のいずれか1項に記載の匿名化識別情報生成システム。 The relationship between the subjects in the subject relationship information is defined based on the subject identification information.
The anonymized identification information generation system according to any one of claims 1 to 4, wherein 前記暗号化情報生成手段は、
前記識別情報暗号化手段が生成した前記暗号化識別情報に基づいて、前記情報取得手段が取得した前記被験者関係情報を暗号化し、前記暗号化識別情報を付加して前記暗号化情報を生成する、
ことを特徴とする請求項1乃至5のいずれか1項に記載の匿名化識別情報生成システム。 The encrypted information generating means includes
Based on the encrypted identification information generated by the identification information encryption means, the subject relationship information acquired by the information acquisition means is encrypted, and the encrypted identification information is added to generate the encrypted information.
The anonymized identification information generation system according to any one of claims 1 to 5. 遺伝情報解析用の匿名化識別情報生成システムのコンピュータに、
遺伝情報を解析する対象の被験者毎に固有の被験者識別情報と、各被験者間の関係を示す被験者関係情報と、を取得する情報取得手順と、
前記情報取得手順で取得した前記被験者識別情報を暗号化して暗号化識別情報を生成する識別情報暗号化手順と、
前記識別情報暗号化手順で生成した前記暗号化識別情報と、前記情報取得手段で取得した前記被験者関係情報と、に基づいて暗号化情報を生成する暗号化情報生成手順と、
前記暗号化情報生成手順で生成した前記暗号化情報を、解析用の他の装置に送信する暗号化情報送信手順と、
を実行させるプログラム。 In the computer of the anonymized identification information generation system for genetic information analysis,
Information acquisition procedure for acquiring subject identification information unique to each subject for which genetic information is analyzed and subject relationship information indicating a relationship between subjects,
An identification information encryption procedure for generating encrypted identification information by encrypting the subject identification information acquired in the information acquisition procedure;
An encryption information generation procedure for generating encryption information based on the encryption identification information generated by the identification information encryption procedure and the subject relationship information acquired by the information acquisition means;
An encryption information transmission procedure for transmitting the encryption information generated in the encryption information generation procedure to another device for analysis;
A program that executes
JP2005380401A 2005-12-28 2005-12-28 Anonymized identification information generation system and program. Active JP4822842B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005380401A JP4822842B2 (en) 2005-12-28 2005-12-28 Anonymized identification information generation system and program.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005380401A JP4822842B2 (en) 2005-12-28 2005-12-28 Anonymized identification information generation system and program.

Publications (2)

Publication Number Publication Date
JP2007179500A true JP2007179500A (en) 2007-07-12
JP4822842B2 JP4822842B2 (en) 2011-11-24

Family

ID=38304590

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005380401A Active JP4822842B2 (en) 2005-12-28 2005-12-28 Anonymized identification information generation system and program.

Country Status (1)

Country Link
JP (1) JP4822842B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011043418A1 (en) 2009-10-09 2011-04-14 日本電気株式会社 Information management device, data processing method thereof, and computer program
JP2013197642A (en) * 2012-03-16 2013-09-30 Fujitsu Ltd Signal processing method and device
KR101420683B1 (en) * 2007-12-24 2014-07-17 삼성전자주식회사 Method and System of Encrypting/Deciphering Information of Microarray
JP2015032077A (en) * 2013-08-01 2015-02-16 株式会社日立ソリューションズ Anonymization management method and system and program for specimen sample
JP2020203420A (en) * 2019-06-17 2020-12-24 起範 金 Dna profile display body and display method of dna profile

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000285178A (en) * 1999-03-29 2000-10-13 Fujitsu Ltd Maternity passbook information link device and maternity passbook information link program storage medium
JP2001357130A (en) * 2000-06-13 2001-12-26 Hitachi Ltd Clinical information management system
JP2002132749A (en) * 2000-10-24 2002-05-10 Naoyuki Kamatani Sampling bias evaluating/decreasing device
JP2002312361A (en) * 2001-10-16 2002-10-25 Mitsui Knowledge Industry Kk Anonymization clinical research support method and system therefor
JP2003521024A (en) * 1999-06-25 2003-07-08 ジェネサンス・ファーマシューティカルズ・インコーポレーテッド Methods for obtaining and using haplotype data
JP2004287847A (en) * 2003-03-20 2004-10-14 Ntt Data Corp Anonymity authority decentralization system, its method, its equipment, its method and its program
JP2007531116A (en) * 2004-03-26 2007-11-01 セルジーン・コーポレーション System and method for providing a stem cell bank

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000285178A (en) * 1999-03-29 2000-10-13 Fujitsu Ltd Maternity passbook information link device and maternity passbook information link program storage medium
JP2003521024A (en) * 1999-06-25 2003-07-08 ジェネサンス・ファーマシューティカルズ・インコーポレーテッド Methods for obtaining and using haplotype data
JP2001357130A (en) * 2000-06-13 2001-12-26 Hitachi Ltd Clinical information management system
JP2002132749A (en) * 2000-10-24 2002-05-10 Naoyuki Kamatani Sampling bias evaluating/decreasing device
JP2002312361A (en) * 2001-10-16 2002-10-25 Mitsui Knowledge Industry Kk Anonymization clinical research support method and system therefor
JP2004287847A (en) * 2003-03-20 2004-10-14 Ntt Data Corp Anonymity authority decentralization system, its method, its equipment, its method and its program
JP2007531116A (en) * 2004-03-26 2007-11-01 セルジーン・コーポレーション System and method for providing a stem cell bank

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101420683B1 (en) * 2007-12-24 2014-07-17 삼성전자주식회사 Method and System of Encrypting/Deciphering Information of Microarray
WO2011043418A1 (en) 2009-10-09 2011-04-14 日本電気株式会社 Information management device, data processing method thereof, and computer program
US8566357B2 (en) 2009-10-09 2013-10-22 Nec Corporation Information management apparatus, data processing method and computer program
US8849861B2 (en) 2009-10-09 2014-09-30 Nec Corporation Information management apparatus, data processing method and computer program
JP2013197642A (en) * 2012-03-16 2013-09-30 Fujitsu Ltd Signal processing method and device
JP2015032077A (en) * 2013-08-01 2015-02-16 株式会社日立ソリューションズ Anonymization management method and system and program for specimen sample
JP2020203420A (en) * 2019-06-17 2020-12-24 起範 金 Dna profile display body and display method of dna profile

Also Published As

Publication number Publication date
JP4822842B2 (en) 2011-11-24

Similar Documents

Publication Publication Date Title
EP2953053B1 (en) System and method for the protection of de-identification of health care data
US8977572B2 (en) Systems and methods for patient-controlled, encrypted, consolidated medical records
JP4747749B2 (en) Document management system and information processing apparatus
US7770026B2 (en) Document management system, information processing device and method, and computer program
US8607332B2 (en) System and method for the anonymisation of sensitive personal data and method of obtaining such data
US20090193267A1 (en) Secure electronic medical record storage on untrusted portal
US20070192139A1 (en) Systems and methods for patient re-identification
US20040054657A1 (en) Medical information management system
US20090037334A1 (en) Electronic medical record system, method for storing medical record data in the medical record system, and a portable electronic device loading the electronic medical record system therein
Noumeir et al. Pseudonymization of radiology data for research purposes
JP2001357130A (en) Clinical information management system
US20190327311A1 (en) Secure access to individual information
KR20140029984A (en) Medical information management method of medical database operating system
US20230094541A1 (en) Dynamic encryption/decryption of genomic information
JP4822842B2 (en) Anonymized identification information generation system and program.
CN112017761A (en) System and method for embedding medical information into electronic medical image
KR102245886B1 (en) Analytics center and control method thereof, and service providing device and control method thereof in co-operational privacy protection communication environment
US20100235924A1 (en) Secure Personal Medical Process
JP3952270B2 (en) Medical image registration reference method, medical image registration reference system, content registration server, content reference server, program, and recording medium thereof
JP2009134598A (en) Workflow system, flow control apparatus, approval apparatus, program and workflow method
CN113764062B (en) Patient data information processing method, device, system and storage medium
JP4284986B2 (en) Personal information management system and personal information management method
JP4521514B2 (en) Medical information distribution system, information access control method thereof, and computer program
JP2007080041A (en) Electronic medical chart system
Abouakil et al. Data models for the pseudonymization of DICOM data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110906

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110906

R150 Certificate of patent or registration of utility model

Ref document number: 4822842

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140916

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350