JP2011133958A - Information processing system for calculating index value of degree of anonymity and method for calculating index value of degree of anonymity - Google Patents
Information processing system for calculating index value of degree of anonymity and method for calculating index value of degree of anonymity Download PDFInfo
- Publication number
- JP2011133958A JP2011133958A JP2009290489A JP2009290489A JP2011133958A JP 2011133958 A JP2011133958 A JP 2011133958A JP 2009290489 A JP2009290489 A JP 2009290489A JP 2009290489 A JP2009290489 A JP 2009290489A JP 2011133958 A JP2011133958 A JP 2011133958A
- Authority
- JP
- Japan
- Prior art keywords
- input
- data
- information
- index value
- item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、個人情報を含む電子データの一部または全部を例えば統計等の目的で利用可能とする場合に、利用されるデータの匿名化の度合いを数値化して提示することが可能な情報処理システムと、匿名度の算出方法に関する。 The present invention provides information processing capable of presenting the degree of anonymization of data to be used in numerical form when part or all of electronic data including personal information can be used for statistical purposes, for example. The present invention relates to a system and a method for calculating anonymity.
近年、医療の分野においても、いわゆる電子カルテシステムなどの情報処理システムの導入が進み、患者の病気や診療内容などの、患者のプライバシーに関わる情報がコンピュータで管理されることが一般的となっている。また、症例報告、学術研究、または統計的な利用に供する目的で、実際の患者情報の一部または全部が電子カルテシステムから抽出され、二次利用されることもある。そのような場合に、患者のプライバシーを保護するという観点から、二次利用に提供される情報から患者個人を特定できないようにすることが、極めて重要な課題となっている。 In recent years, in the medical field, information systems such as so-called electronic medical record systems have been introduced, and information related to patient privacy, such as patient illness and medical treatment contents, is generally managed by a computer. Yes. In addition, some or all of the actual patient information may be extracted from the electronic medical record system and used for secondary purposes for the purpose of providing case reports, academic research, or statistical use. In such a case, from the viewpoint of protecting the privacy of the patient, it is extremely important to make it impossible to identify an individual patient from information provided for secondary use.
このような状況を鑑み、例えば、日本の外科関連学会協議会では、症例報告を含む医学論文や学会研究会における学術発表においての患者プライバシー保護に関する指針を作成している。この指針においては、患者個人を特定可能な項目(例えば、氏名、入院番号、イニシャルまたは呼び名)を症例報告に記載しないこと、とされている。また、患者の住所は原則記載せず、疾患の発生場所が病態等に関与する場合であっても区域まで(例えば、県名または市名など)に限定して記載すること、とされている。 In view of this situation, for example, the Japanese Association for Surgical Association has created guidelines for protecting patient privacy in medical papers including case reports and academic presentations at academic societies. In this guideline, an item (for example, name, hospitalization number, initials or name) that can identify an individual patient is not described in the case report. In addition, the patient's address is not stated in principle, and even if the place where the disease occurs is related to the pathology, etc., it is said that it should be limited to the area (for example, prefecture name or city name) .
また、上述のようなガイドラインを策定するだけでなく、コンピュータシステム上で、患者のプライバシーを保護するための対策をとることも提案されている。例えば、特開2005−115917号公報(特許文献1)においては、患者の医療情報を医療研究用で使う際に、患者の個人識別情報と分離した非−個人識別情報を診療コードと共に提供することにより、患者の個人情報流出を防止しようとするコンピュータシステムが提案されている。 In addition to formulating the above guidelines, it has also been proposed to take measures to protect patient privacy on a computer system. For example, in Japanese Patent Application Laid-Open No. 2005-115917 (Patent Document 1), when using medical information of a patient for medical research, non-personal identification information separated from the patient's personal identification information is provided together with a medical code. Thus, a computer system that attempts to prevent the leakage of personal information of patients has been proposed.
しかしながら、患者の氏名等の項目を秘匿したとしても、なお、個人の特定が可能な場合がある。例えば、一項目のデータ単独では患者個人の特定が困難であっても、他の項目のデータとの組み合わせによっては、患者個人をほぼ特定可能なレベルまで絞り込める場合があることに注意を要する。例えば、学術研究の目的のために、年齢、性別、病名、処方薬、居住区域(例えば県名)等の項目を含む患者データが病院から第三者に提供された場合を想定する。つまり、この患者データには、患者の氏名は含まれていない。しかし、この場合に、例えば、「病名」のデータが非常に罹患率の低い疾病を表していた場合、他の項目のデータと組み合わせることで、患者個人が特定されてしまう蓋然性が極めて高くなる。具体例を示せば、「病名」が、日本全国での罹患率が非常に低い疾病である場合、「居住区域」のデータとの組み合わせにより、患者個人を極めて比較的高い精度で特定できてしまう。また、例えば、上記の項目に「薬の処方日」という項目が加わると、この項目のデータと「処方薬」の項目のデータとを組み合わせ、さらに、その日の当該地区の薬局の顧客リストを入手してそれと照らし合わせることにより、患者個人が特定されてしまう蓋然性は格段に高くなる。 However, even if items such as the patient's name are concealed, it may still be possible to identify an individual. For example, even if it is difficult to identify individual patients with only one item of data, it should be noted that depending on the combination with the data of other items, it may be possible to narrow down the individual patient to a level that can be almost identified. For example, it is assumed that patient data including items such as age, sex, disease name, prescription drug, residential area (for example, prefecture name) is provided from a hospital to a third party for the purpose of academic research. That is, the patient data does not include the patient's name. However, in this case, for example, when the “disease name” data represents a disease with a very low morbidity rate, the probability that an individual patient will be specified becomes extremely high by combining with data of other items. For example, if “disease name” is a disease with a very low morbidity rate throughout Japan, it is possible to identify individual patients with a relatively high accuracy by combining with the “residential area” data. . In addition, for example, when an item “drug prescription date” is added to the above item, the data of this item and the data of the item of “prescription drug” are combined, and further, a customer list of pharmacies in that district on that day is obtained. By contrasting with this, the probability that an individual patient will be specified becomes much higher.
したがって、患者の個人情報を含む電子データの一部または全部を、症例報告や統計等の二次利用に提供する場合に、提供されるデータが、その個人を容易には特定できない程度に十分に匿名化されているか否かをチェックできる仕組みが望まれる。 Therefore, when providing a part or all of electronic data including patient's personal information for secondary use such as case reports and statistics, the data provided is sufficiently high that the individual cannot be easily identified. It is desirable to have a mechanism that can check whether anonymization has been performed.
本発明はこのような課題を鑑み、個人情報の匿名化の度合い、言い換えると、個人が特定されてしまう蓋然性、を数値化して提示することができる情報処理システムを提供することを目的とする。 In view of such problems, an object of the present invention is to provide an information processing system capable of quantifying and presenting the degree of anonymization of personal information, in other words, the probability that an individual will be specified.
上記の目的を達成するために、本発明の一形態は、匿名度の指標値を算出するための情報処理システムであって、個人情報に含まれ得る項目のそれぞれについて、当該項目に入力され得るデータが表す事象の情報量を格納した情報量記憶手段と、個人情報に含める項目として指定された項目名と当該項目のデータの入力欄とを含む入力画面を表示する入力画面表示手段と、操作者に前記入力画面における前記入力欄へデータを入力させるデータ入力手段と、前記入力画面において前記入力欄にデータが入力された項目の全てについて、入力されたデータが表す事象の情報量を前記情報量記憶手段から抽出して加算し、当該加算結果を、前記個人情報の匿名度の指標値として提示する指標値算出手段とを備えたことを特徴とする。 In order to achieve the above object, one aspect of the present invention is an information processing system for calculating an index value of anonymity, and each item that can be included in personal information can be input to the item An information storage means for storing the information amount of the event represented by the data, an input screen display means for displaying an input screen including an item name specified as an item to be included in personal information and an input field for data of the item, and an operation Data input means for allowing a user to input data into the input field on the input screen, and the information amount of the event represented by the input data for all items for which data has been input into the input field on the input screen. It is characterized by comprising index value calculation means for extracting and adding from the quantity storage means and presenting the addition result as an index value of anonymity of the personal information.
なお、匿名度の指標値とは、個人が特定されてしまう蓋然性を、少なくとも相対的な数値として表すことができれば良い。すなわち、匿名度指標値は、匿名度が高いほど大きな値をとるような尺度で表しても良いし、その逆に、匿名度が高いほど小さな値をとるような尺度で表しても良い。 The anonymity index value only needs to represent the probability that an individual will be identified as at least a relative numerical value. That is, the anonymity index value may be expressed with a scale that takes a larger value as the anonymity level is higher, and vice versa.
上記の個人情報処理システムにおいて、前記データが表す事象の発生確率をP(E)とし、当該データが表す事象の情報量をI(E)とすると、 In the above personal information processing system, when the occurrence probability of the event represented by the data is P (E) and the information amount of the event represented by the data is I (E),
I(E)=−logP(E)
が成り立つことが好ましい。さらに、前記データが表す事象の発生確率として、疾患の罹患率、地域別人口分布、および、年齢分布の少なくとも一つを用いることが好ましい。
I (E) =-logP (E)
Is preferably satisfied. Furthermore, it is preferable to use at least one of a disease prevalence, a regional population distribution, and an age distribution as the occurrence probability of the event represented by the data.
また、本発明の他の形態は、コンピュータを用いて匿名度の指標値を算出する方法であって、個人情報に含まれ得る項目のそれぞれについて、当該項目に入力され得るデータが表す事象の情報量を、コンピュータからアクセス可能な記憶手段に格納する情報量記憶工程と、個人情報に含める項目として指定された項目名と当該項目のデータの入力欄とを含む入力画面を、コンピュータのディスプレイに表示する入力画面表示工程と、前記入力画面における前記入力欄へのデータ入力を受け付けるデータ入力工程と、前記入力画面において前記入力欄にデータが入力された項目の全てについて、入力されたデータが表す事象の情報量を前記記憶手段から抽出して加算し、当該加算結果を、前記コンピュータのディスプレイ上で、前記個人情報の匿名度の指標値として提示する指標値算出工程とを含むことを特徴とする。 Further, another embodiment of the present invention is a method for calculating an anonymity index value using a computer, and for each item that can be included in personal information, event information represented by data that can be input to the item An input screen including an information amount storing step for storing the amount in a storage means accessible from a computer, an item name designated as an item to be included in personal information, and an input field for data of the item is displayed on a computer display. An input screen display step, a data input step for accepting data input to the input field on the input screen, and an event represented by the input data for all items for which data has been input to the input field on the input screen The amount of information is extracted from the storage means and added, and the addition result is added to the personal information on the computer display. Characterized in that it comprises a index value calculation step of presenting as an index value in the name of.
本発明によれば、個人情報を含むデータについて、個人情報の匿名化の度合い(個人が特定されてしまう蓋然性)を数値化して提示することができる情報処理システムを提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the information processing system which can quantify and show the degree of anonymization of personal information (probability that an individual is specified) about data including personal information can be provided.
以下、本発明の一実施形態にかかる情報処理システムの具体例について、図面を参照しながら説明する。 Hereinafter, a specific example of an information processing system according to an embodiment of the present invention will be described with reference to the drawings.
本実施形態にかかる情報処理システムは、例えばパーソナルコンピュータ等のスタンドアローンシステムとして構築できるが、これに限らず、サーバ・クライアントシステムとして構成することも可能である。本実施形態にかかる情報処理システムは、例えば電子カルテシステム等から取得可能な患者情報を、症例報告、学術研究、または、統計等の二次利用の目的に提供する前に、その患者情報から個人が特定されてしまう蓋然性を数値化して表示する機能を有する。ここでは、個人が特定されてしまう蓋然性を数値化したものを、「匿名度指標値」と称する。 The information processing system according to the present embodiment can be constructed as a stand-alone system such as a personal computer, but is not limited thereto, and can be configured as a server / client system. The information processing system according to the present embodiment, for example, provides patient information that can be acquired from an electronic medical record system or the like for the purpose of secondary use such as case reports, academic research, or statistics, and then uses the patient information. It has a function to display the probability that the user will be specified in numerical form. Here, a numerical value of the probability that an individual is specified is referred to as an “anonymity index value”.
本実施形態にかかる情報処理システムは、電子カルテシステムの一部(一機能)として実現することもできるし、電子カルテシステムに接続された外部システム、あるいは、電子カルテシステムとは全く独立したシステムとして実現することもできる。電子カルテシステムの一部として実現する場合は、既存の電子カルテシステムへ、プラグインとして組み込むことも可能である。 The information processing system according to the present embodiment can be realized as a part (one function) of the electronic medical record system, or as an external system connected to the electronic medical record system or a system completely independent of the electronic medical record system. It can also be realized. When realized as part of an electronic medical record system, it can be incorporated as a plug-in into an existing electronic medical record system.
ここで、図1〜図4に、本実施形態にかかる情報処理システムの画面表示例を示す。図1〜図4に示す例では、画面100に、データを入力するために、年齢入力欄101、性別入力欄102、疾病名入力欄103、処方日付入力欄104、処方薬名入力欄105、居住地域入力欄106が表示されている。なお、上記の各入力欄へのデータ入力は、キーボードまたはテンキー等を用いた直接入力によっても良いし、ドロップダウンリスト等を用いて、予め設定されたデータ候補から選択入力する手法によっても良い。また、ドロップダウンリストに表示されるデータ候補を、電子カルテシステムのデータベース等から取り込むようにしても良い。あるいは、電子カルテシステムのデータベース等から、上記の各入力欄への入力データを直接に取り込むようにすることも可能である。
Here, FIGS. 1 to 4 show screen display examples of the information processing system according to the present embodiment. In the example shown in FIGS. 1 to 4, in order to input data on the
これらの入力欄にデータが入力されると、各入力欄の右隣に設けられているビット表示欄107〜111に、各項目について入力されたデータの情報量がビット単位で表示される。この情報量を各項目について算出する方法については、後述する。さらに、指標値表示欄112には、ビット表示欄107〜111に表示された情報量を合算した値が、匿名度の指標値として表示される。また、評価結果表示欄113には、指標値表示欄112に表示された匿名度指標値が所定の基準を満たすか否かが、例えば「○」または「×」の記号を用いて表示される。これにより、本実施形態にかかる情報処理システムの利用者は、患者情報から、その患者個人が特定されてしまう蓋然性を数値によって客観的に把握することができる。また、匿名度指標値が所定の基準を満たすか否かも、容易に理解することができる。
When data is input to these input fields, the information amount of the data input for each item is displayed in bit units in the
ここで、図1〜図4を参照しながら、入力欄101〜106への入力データの変化によって、匿名度指標値がどのように変化するかを説明する。前述したように、入力欄101〜106へデータを入力すると、個々の入力データに対する情報量がビット表示欄107〜110へ入力される。そして、ビット表示欄107〜111に表示された情報量を合算した値が、匿名度指標値として、指標値表示欄112に表示される。なお、ここに示した例においては、入力欄101〜106のそれぞれへの入力データが互いに独立な事象に関するものであるとして、ビット表示欄107〜111に表示された情報量を単純に合算することにより、匿名度指標値を求めている。しかし、入力欄への入力データの表す事象のうち2つないしそれ以上が互いに相関を持つ場合は、後に説明するが、相関関数を用いることにより、相関による影響を反映させることも好ましい。
Here, with reference to FIGS. 1 to 4, how the anonymity index value changes due to the change of the input data in the
図1に示したデータ例では、ビット表示欄107〜111に表示された情報量の合計は21.4となり、この匿名度指標値は基準を満たしているものとして、評価結果表示欄113に「○」記号が表示されている。ここでは、匿名度指標値の閾値が24.0に設定されているものと仮定する。なお、「24.0」という情報量は、2の24乗が約800万であり、母集団の人数が1億人であった場合に、この情報量に基づいても、まだ10人程度にしか該当者を絞り込めないことから設定された数値である。そして、ビット表示欄107〜111に表示された情報量を合算して得られた匿名度指標値がこの閾値よりも小さければ基準を満たしており、超えていれば基準を満たしていないと判断される。
In the data example shown in FIG. 1, the total amount of information displayed in the
ここで、図2に示すように、疾病名入力欄103の疾病名を、「マルファン症候群」に変更したものとする。なお、マルファン症候群とは、図1に示された「糖尿病」よりもはるかに罹患率の低い疾病である。このように疾病名入力欄103の疾病名を変更したことにより、疾病名の項目の情報量は4.5から11.5まで上昇する。その結果、ビット表示欄107〜111に表示された情報量の合計は28.4となる。この数値は、閾値である24.0を超えているので、基準を満たさないものとして、評価結果表示欄113に「×」記号が表示される。
Here, as shown in FIG. 2, it is assumed that the disease name in the disease
ここで、操作者が、図3に示すように、年齢入力欄101のデータを、「45」から、幅を持たせた「40−49」に変更したものとする。この操作により、年齢入力欄101のデータの情報量は、図2に示した「6.0」から、図3に示すように「2.5」まで減少する。したがって、図3に示したデータ例では、全ての入力データの情報量を合算して得られる匿名度指標値は、24.9まで低くなる。しかし、この数値はまだ閾値である24.0を超えているので、基準を満たさないものとして、評価結果表示欄113に「×」記号が表示される。
Here, it is assumed that the operator changes the data in the
そこで、操作者がさらに、図4に示すように、居住地域入力欄106のデータを削除したものとする。これにより、この項目の情報量はゼロとなる。その結果、全ての入力データの情報量を合算して得られる匿名度指標値は、閾値である24.0よりも低い20.2まで下がる。この結果、図4の例においては、評価結果表示欄113には「○」記号が表示されている。
Therefore, it is assumed that the operator further deletes the data in the residential
以上のように、本実施形態にかかる情報処理システムによれば、入力画面において各項目へ入力したデータが、匿名度指標値に関する基準を満たすか否かを総合的に判断することができる。したがって、例えば図2に示したように、匿名度指標値に関する基準を満たさないとの判断結果が示された場合には、図3および図4に示したように、入力項目のデータを変更または削除しながら、匿名度の基準が満たされるか否かを確認することができる。なお、図1〜図4の例においては、入力項目のデータを変更または削除する毎に、入力画面の表示が自動的にリフレッシュされて、指標値表示欄112および評価結果表示欄113の数値が更新される。ただし、入力画面に「更新」等のボタンを設けて、このボタンがクリックされたときに、指標値表示欄112および評価結果表示欄113の数値が更新されるようにしても良い。
As described above, according to the information processing system according to the present embodiment, it is possible to comprehensively determine whether the data input to each item on the input screen satisfies the criterion regarding the anonymity index value. Therefore, for example, as shown in FIG. 2, when the determination result that the criterion regarding the anonymity index value is not satisfied is shown, as shown in FIGS. 3 and 4, the data of the input item is changed or While deleting, it is possible to confirm whether or not the criterion of anonymity is satisfied. 1 to 4, the input screen display is automatically refreshed every time the input item data is changed or deleted, and the numerical values in the index
以下、上記の匿名度指標値の算出機能を実現するための情報処理システムの概略構成について、図面を参照しながら説明する。図5は、本実施形態にかかる情報処理システムの機能的構成を示すブロック図である。図5に示すように、本実施形態にかかる情報処理システム1は、項目データベース11と、入力画面表示部(入力画面表示手段)12と、データ入力部(データ入力手段)13と、情報量データベース(情報量記憶手段)14と、指標値算出部(指標値算出手段)15とを備えている。
Hereinafter, a schematic configuration of an information processing system for realizing the above-described anonymity index value calculation function will be described with reference to the drawings. FIG. 5 is a block diagram showing a functional configuration of the information processing system according to the present embodiment. As shown in FIG. 5, the information processing system 1 according to the present embodiment includes an
項目データベース11には、情報処理システム1において入力項目として用いられる項目の名称が予め登録されている。項目データベース11に登録される入力項目としては、例えば、図1〜図4に示したような、年齢、性別、疾病名、処方日付、処方薬名、居住地域などの他に、任意の項目が含まれる。なお、項目データベース11に新たな入力項目を追加したり、既存の入力項目を削除したり、項目名称を変更したりすることも可能である。なお、項目データベース11に登録されている項目は、電子カルテシステムで用いられている項目と同じであっても良いし、電子カルテシステムで用いられている項目の一部であっても良い。すなわち、項目データベース11として、電子カルテシステムの項目データベースをそのまま流用しても良いし、電子カルテシステムの項目データベースから一部の項目を抽出し、項目データベース11へコピーしても良い。
In the
入力画面表示部12は、項目データベース11から操作者が選択した入力項目に対する入力欄が適宜に配置された入力画面を構成し、ディスプレイに表示する。入力画面の表示例は、図1〜図4に示したとおりであるが、この例にのみ限定されない。なお、操作者が、入力画面に配置すべき入力項目を、項目データベース11から任意に選択して追加したり、入力画面から入力項目を削除したり、入力画面に配置されている入力項目の位置を変更したりすることも可能である。
The input
データ入力部13は、キーボード等の任意の入力デバイスから、入力画面の入力欄へのデータ入力を受け付ける。
The
情報量データベース14は、項目データベース11に登録されている項目のそれぞれについて、当該項目に入力され得るデータが表す事象の情報量を格納している。なお、本実施例においては、情報量データベース14に、ビット換算された情報量が格納されているものとするが、情報量データベース14に元のデータを格納しておき、元のデータからビット数に換算するようにしても良い。なお、情報量としては、選択情報量(自己エントロピー)を用いることができる。すなわち、各項目に入力され得るデータが表す事象Eが起こる確率をP(E)とすると、選択情報量I(E)は下記の式で表すことができる。
The
I(E)=−logP(E) I (E) =-logP (E)
指標値算出部15は、入力欄のそれぞれに入力されたデータにしたがって情報量データベース14を検索し、そのデータの情報量を取得して、ビット表示欄107〜111に表示する。
The index
「年齢」の入力項目を例に挙げると、情報量データベース14には、母集団(例えば日本人)の年齢分布から得られた各年齢の情報量が格納されている。例えば、年齢が45歳の場合、母集団中において45歳の人が占める割合をビット数に換算して得られた情報量「6.0」が、情報量データベース14に格納されている。したがって、図1および図2に示すように、年齢入力欄101に年齢「45」が入力された場合、そのビット情報量「6.0」が情報量データベース14から抽出され、ビット表示欄107に表示される。
Taking the input item of “age” as an example, the
同様に、情報量データベース14には、性別が「男」または「女」である場合の情報量としてそれぞれ「1.0」が格納されている。したがって、図1および図2に示すように、性別入力欄102に「男」が入力された場合、指標値算出部15が情報量データベース14からこの値を抽出することにより、ビット表示欄108に「1.0」が表示される。なお、ここでは、性別が「男」または「女」である場合の情報量をそれぞれ「1.0」としたが、母集団中の男女の人口比率にしたがって、性別が「男」である場合の情報量と、性別が「女」である場合の情報量とを、互いに異なる値に規定しても良い。
Similarly, the
また、「疾病名」の入力項目については、情報量データベース14には、様々な疾病の罹患率をビット換算したものが格納されている。なお、この罹患率としては、例えば、厚生労働省や各種の研究団体などが発表している公的なデータを用いることができる。
As for the input item of “disease name”, the
薬の処方に関する情報量、すなわち、処方日付入力欄104および処方薬名入力欄105への入力データに対する情報量も、情報量データベース14に格納されている。薬の処方に関する情報量は、例えば、ある大規模な病院の病院情報システムからサンプルデータを抽出することによって生成することができる。このように生成された薬の処方に関する情報量は、情報量データベース14にあらかじめ格納される。この情報量は、例えば、前記の病院情報システムを検索して、特定の薬が処方された患者の人数、その人数が患者全体数に対して占める割合、または、特定の日に特定の薬が処方された患者の人数、といったデータを抽出することによって得ることができる。
The information amount relating to the prescription of the drug, that is, the information amount for the input data in the prescription
「居住地域」のビット情報量は、居住地域入力欄106へ入力される地域の人口にしたがって求められる。すなわち、情報量データベース14には、母集団(例えば日本全体)の人口に対する都道府県および市区町村別の人口を情報量に換算した値が格納されている。例えば、図1および図2に示した例においては、居住地域入力欄106に「静岡県」というデータが入力され、日本の全人口に対する静岡県の人口比率をビット換算した値である「4.7」が、情報量データベース14に格納されている。指標値算出部15は、この情報量を情報量データベース14から抽出し、ビット表示欄111に表示する。
The bit information amount of “residential area” is obtained according to the population of the area input to the residential
指標値算出部15は、さらに、ビット表示欄107〜111に表示された情報量を加算し、入力画面に表示されているデータの全体としての匿名度指標値を求める。
The index
さらに、指標値算出部15は、各項目の情報量を加算して得られた匿名度指標値を、所定の閾値と比較することにより、匿名度指標値が所定の基準を満たしているか否かを判断する。そして、その判断結果が、評価結果表示欄113において、記号によって表示される。なお、前記の閾値は、母集団の大きさを表すビット数や、要求される匿名度レベル等に応じて、任意に設定することができる。
Further, the index
ここで、図6および図7に、データ入力画面の他の例を示す。図6および図7に示す例においては、症例報告等の二次利用の目的に提供されるデータが、検査に関する項目を含んでいる。つまり、図6に示したデータ入力画面では、2008年10月1日に行われた検査と、2008年11月26日に行われた検査との2回分の検査に関するデータを入力するために、検索日入力欄114,117、検査項目入力欄115,118、検査結果入力欄116,119を有している。図6の例においては、検査日入力欄114,117に、検査を行った年月日が入力されている。検査項目入力欄115,118には実施された検査の項目が入力される。検査入力欄116,119には検査結果の数値が入力される。 Here, FIGS. 6 and 7 show other examples of the data input screen. In the examples shown in FIGS. 6 and 7, data provided for the purpose of secondary use such as a case report includes items related to examination. That is, in the data input screen shown in FIG. 6, in order to input data related to two inspections, the inspection performed on October 1, 2008 and the inspection performed on November 26, 2008, Search date input fields 114 and 117, inspection item input fields 115 and 118, and inspection result input fields 116 and 119 are provided. In the example of FIG. 6, the date of inspection is entered in the inspection date input fields 114 and 117. In the inspection item input fields 115 and 118, items of the inspection that has been performed are input. In the inspection input fields 116 and 119, numerical values of inspection results are input.
図6に示すように、検査日入力欄114,117に検査を行った年月日を入力した場合は、1回目の検査に関するデータの情報量を表すビット表示欄120には、「12.0」という値が示される。また、2回目の検査に関するデータの情報量を表すビット表示欄121には、「8.0」という値が示される。
As shown in FIG. 6, when the date of inspection is input in the inspection date input fields 114 and 117, “12.0” is displayed in the
ビット表示欄120の12.0という情報量は、例えば、ある大規模な病院の病院情報システムからサンプルデータを抽出することによって生成することができる。なお、生成された情報量は、情報量データベース14にあらかじめ格納されている。この情報量は、例えば以下のようにして求められる。まず、前記の病院情報システムを検索して、2008年10月1日にHbA1cという検査を行い、その結果が8.5であった患者の人数を求める。次に、その人数が、病院情報システムに登録されている患者全体数に対して占める割合を求める。この割合をP(E)とすると、その情報量I(E)を、次の式によって求めることができる。
The amount of information of 12.0 in the
I(E)=−logP(E) I (E) =-logP (E)
なお、ビット表示欄121の8.0という情報量も、上記と同様にして、ある大規模な病院の病院情報システムからサンプルデータを抽出することによって生成することができる。
Note that the amount of information of 8.0 in the
ここで、ビット表示欄107〜109,120,121の情報量を全て加算すると、これによって得られた匿名度指標値は28.0となる。これは、閾値である24.0よりも高いので、図6の例においては、評価結果表示欄113に「×」記号が表示される。
Here, when all the information amounts in the
そこで、図7に示すように、検査日入力欄114,117に、1回目の検査日から2回目の検査日までの経過日数を入力し、指標値表示欄112に表示される匿名度指標値がどの程度になるかを試してみる。図7の例においては、1回目の検査日を入力するための検査日入力欄114を空白とし、2回目の検査日を入力するための検査日入力欄117に、1回目の検査日からの経過日数が8週間であることを表す「+8W」というデータが入力されている。なお、この入力フォーマットは一例にすぎず、適宜の入力フォーマットを用いることができる。この場合、図7に示すように、1回目の検査に関するデータの情報量を表すビット表示欄120の数値が「7.0」まで下がる。これにより、指標値表示欄112に表示される匿名度指標値は23.0まで下がり、閾値である24.0よりも低くなるので、評価結果表示欄113に「○」記号が表示される。このように、検査日の日付を年月日ではなく前回の検査日からの経過日数で表すことによって、匿名度指標値の閾値条件を充足させることができる。
Therefore, as shown in FIG. 7, the number of days elapsed from the first examination date to the second examination date is input in the examination date input fields 114 and 117, and the anonymity index value displayed in the index
以上、本発明の実施の形態を説明したが、上述した実施の形態は本発明を実施するための例示に過ぎない。よって、本発明は上述した実施の形態に限定されることなく、その趣旨を逸脱しない範囲内で上述した実施の形態を適宜変形して実施することが可能である。 While the embodiments of the present invention have been described above, the above-described embodiments are merely examples for carrying out the present invention. Therefore, the present invention is not limited to the above-described embodiment, and can be implemented by appropriately modifying the above-described embodiment without departing from the spirit thereof.
例えば、上述の具体例においては、入力欄101〜106のそれぞれへの入力データが互いに独立な事象に関するものであるものとして、ビット表示欄107〜111に表示された情報量を単純に合算することにより、匿名度指標値を求めている。しかし、入力データの少なくとも一部が互いに相関性を有する事象に関するものである場合は、ビット表示欄に表示された情報量を単純に合算するのではなく、相関関数などを用いることにより、相関による影響を反映させることが好ましい。
For example, in the above-described specific example, the amount of information displayed in the
例えば、年齢と性別とは互いに独立な事象であるが、年齢と疾病との間には相関がある場合もある。このような場合、互いに相関を持つ2つ以上の事象のビット表示欄に表示された情報量を合算する際に、相関関数を用いて、合算値に上限値を設定すること等が考えられる。 For example, age and gender are independent events, but there may be a correlation between age and disease. In such a case, when adding the information amount displayed in the bit display column of two or more events having a correlation with each other, an upper limit value may be set for the total value using a correlation function.
Claims (4)
個人情報に含める項目として指定された項目名と当該項目のデータの入力欄とを含む入力画面を表示する入力画面表示手段と、
操作者に前記入力画面における前記入力欄へデータを入力させるデータ入力手段と、
前記入力画面において前記入力欄にデータが入力された項目の全てについて、入力されたデータが表す事象の情報量を前記情報量記憶手段から抽出して加算し、当該加算結果を、前記個人情報の匿名度の指標値として提示する指標値算出手段とを備えたことを特徴とする情報処理システム。 For each item that can be included in the personal information, an information amount storage means that stores an information amount of an event represented by data that can be input to the item;
An input screen display means for displaying an input screen including an item name designated as an item to be included in personal information and an input field for data of the item;
Data input means for allowing an operator to input data into the input field on the input screen;
The information amount of the event represented by the input data is extracted from the information amount storage means for all the items for which data has been input in the input field on the input screen, and the addition result is added to the personal information. An information processing system comprising index value calculation means for presenting as an index value of anonymity.
I(E)=−logP(E)
が成り立つ、請求項1に記載の情報処理システム。 When the occurrence probability of the event represented by the data is P (E) and the information amount of the event represented by the data is I (E),
I (E) =-logP (E)
The information processing system according to claim 1, wherein:
個人情報に含まれ得る項目のそれぞれについて、当該項目に入力され得るデータが表す事象の情報量を、コンピュータからアクセス可能な記憶手段に格納する情報量記憶工程と、
個人情報に含める項目として指定された項目名と当該項目のデータの入力欄とを含む入力画面を、コンピュータのディスプレイに表示する入力画面表示工程と、
前記入力画面における前記入力欄へのデータ入力を受け付けるデータ入力工程と、
前記入力画面において前記入力欄にデータが入力された項目の全てについて、入力されたデータが表す事象の情報量を前記記憶手段から抽出して加算し、当該加算結果を、前記コンピュータのディスプレイ上で、前記個人情報の匿名度の指標値として提示する指標値算出工程とを含むことを特徴とする方法。 A method of calculating an anonymity index value using a computer,
For each item that can be included in the personal information, an information amount storage step of storing an information amount of an event represented by data that can be input to the item in a storage means accessible from a computer;
An input screen display step for displaying an input screen including an item name designated as an item to be included in personal information and an input field for data of the item on a computer display;
A data input step for receiving data input to the input field on the input screen;
For all items for which data has been input in the input field on the input screen, the information amount of the event represented by the input data is extracted from the storage means and added, and the addition result is displayed on the computer display. And an index value calculating step of presenting as an index value of anonymity of the personal information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009290489A JP2011133958A (en) | 2009-12-22 | 2009-12-22 | Information processing system for calculating index value of degree of anonymity and method for calculating index value of degree of anonymity |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009290489A JP2011133958A (en) | 2009-12-22 | 2009-12-22 | Information processing system for calculating index value of degree of anonymity and method for calculating index value of degree of anonymity |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011133958A true JP2011133958A (en) | 2011-07-07 |
Family
ID=44346658
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009290489A Pending JP2011133958A (en) | 2009-12-22 | 2009-12-22 | Information processing system for calculating index value of degree of anonymity and method for calculating index value of degree of anonymity |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011133958A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013031997A1 (en) * | 2011-09-02 | 2013-03-07 | 日本電気株式会社 | De-identification device and de-identification method |
WO2015122403A1 (en) * | 2014-02-13 | 2015-08-20 | 株式会社 東芝 | Anonymization index calculation system |
WO2016002086A1 (en) * | 2014-07-04 | 2016-01-07 | 株式会社日立製作所 | Anonymized data providing device and method |
JP2017076170A (en) * | 2015-10-13 | 2017-04-20 | Kddi株式会社 | Risk evaluation device, risk evaluation method and risk evaluation program |
US11948669B2 (en) | 2018-08-29 | 2024-04-02 | Canon Medical Systems Corporation | Medical information management apparatus and medical information management system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004287846A (en) * | 2003-03-20 | 2004-10-14 | Ntt Data Corp | Individual specification preventing device, individual specification preventing method and program |
JP2006085631A (en) * | 2004-09-17 | 2006-03-30 | Toshiba Corp | Virtual patient system and medical information provision system |
JP2006202130A (en) * | 2005-01-21 | 2006-08-03 | Hitachi Medical Corp | Privacy information display system |
JP2008217425A (en) * | 2007-03-05 | 2008-09-18 | Hitachi Ltd | Information output device, information output method, and information output program |
-
2009
- 2009-12-22 JP JP2009290489A patent/JP2011133958A/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004287846A (en) * | 2003-03-20 | 2004-10-14 | Ntt Data Corp | Individual specification preventing device, individual specification preventing method and program |
JP2006085631A (en) * | 2004-09-17 | 2006-03-30 | Toshiba Corp | Virtual patient system and medical information provision system |
JP2006202130A (en) * | 2005-01-21 | 2006-08-03 | Hitachi Medical Corp | Privacy information display system |
JP2008217425A (en) * | 2007-03-05 | 2008-09-18 | Hitachi Ltd | Information output device, information output method, and information output program |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013031997A1 (en) * | 2011-09-02 | 2013-03-07 | 日本電気株式会社 | De-identification device and de-identification method |
JPWO2013031997A1 (en) * | 2011-09-02 | 2015-03-23 | 日本電気株式会社 | Anonymization device and anonymization method |
WO2015122403A1 (en) * | 2014-02-13 | 2015-08-20 | 株式会社 東芝 | Anonymization index calculation system |
JP2015153106A (en) * | 2014-02-13 | 2015-08-24 | 株式会社東芝 | Anonymizing index calculating system |
US10346639B2 (en) | 2014-02-13 | 2019-07-09 | Kabushiki Kaisha Toshiba | Anonymization identifier computing system |
WO2016002086A1 (en) * | 2014-07-04 | 2016-01-07 | 株式会社日立製作所 | Anonymized data providing device and method |
JPWO2016002086A1 (en) * | 2014-07-04 | 2017-04-27 | 株式会社日立製作所 | Anonymized data providing apparatus and method |
JP2017076170A (en) * | 2015-10-13 | 2017-04-20 | Kddi株式会社 | Risk evaluation device, risk evaluation method and risk evaluation program |
US11948669B2 (en) | 2018-08-29 | 2024-04-02 | Canon Medical Systems Corporation | Medical information management apparatus and medical information management system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Elbogen | The process of violence risk assessment: A review of descriptive research | |
Sriharan et al. | COVID-19-related occupational burnout and moral distress among nurses: a rapid scoping review. | |
Riffe et al. | Data resource profile: COVerAGE-DB: a global demographic database of COVID-19 cases and deaths | |
Plaza-Ruíz et al. | Impact of COVID-19 on the knowledge and attitudes of dentists toward teledentistry | |
Dhanani et al. | A meta-analysis of COVID-19 vaccine attitudes and demographic characteristics in the United States | |
Hohl et al. | The effect of early in‐hospital medication review on health outcomes: a systematic review | |
Bachhav et al. | Systematic review of drug utilization studies & the use of the drug classification system in the WHO-SEARO Region | |
Vasiliadis et al. | Factors associated with suicide in the month following contact with different types of health services in Quebec | |
McKenzie et al. | Classifying external causes of injury: history, current approaches, and future directions | |
Tase et al. | Evaluation of the risk of misidentification of women in a public maternity hospital | |
Truong et al. | Assessing the effect of socio-economic features of low-income communities and COVID-19 related cases: an empirical study of New York City | |
JP2011133958A (en) | Information processing system for calculating index value of degree of anonymity and method for calculating index value of degree of anonymity | |
Muldoon et al. | COVID-19 and perinatal intimate partner violence: a cross-sectional survey of pregnant and postpartum individuals in the early stages of the COVID-19 pandemic | |
Belk et al. | Patient and treatment pathways for toxoplasmosis in the United States: data analysis of the Vizient Health Systems Data from 2011 to 2017 | |
Guerra et al. | Gender differences in youth suicide and healthcare service use | |
Bisson et al. | Monitoring of long-term toxicities of HIV treatments: an international perspective | |
Larson et al. | Assessing intensity of nursing care needs using electronically available data | |
Mirkowski et al. | Caregiver availability for severe stroke results in improved functional ability at discharge from inpatient rehabilitation | |
Barthélemy et al. | Neurotrauma surveillance in national registries of low-and middle-income countries: a scoping review and comparative analysis of data dictionaries | |
Khairulnissa et al. | Emerging themes in Facebook and twitter before movement control order (MCO) in Malaysia | |
Yin et al. | Spatial analysis of primary and secondary syphilis incidence in China, 2004-2010 | |
Vera-Alanis et al. | Nursing staff mortality during the Covid-19 pandemic, scoping review | |
Vermeulen et al. | Patient safety in South Africa: PICU adverse event registration | |
Moe et al. | Epidemiologic trends in substance and opioid misuse-related emergency department visits in Alberta: a cross-sectional time-series analysis | |
Li et al. | A review of models applied to the geographic spread of Zika virus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110824 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120802 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120807 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121204 |