JP2014199589A - 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム - Google Patents

匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム Download PDF

Info

Publication number
JP2014199589A
JP2014199589A JP2013074897A JP2013074897A JP2014199589A JP 2014199589 A JP2014199589 A JP 2014199589A JP 2013074897 A JP2013074897 A JP 2013074897A JP 2013074897 A JP2013074897 A JP 2013074897A JP 2014199589 A JP2014199589 A JP 2014199589A
Authority
JP
Japan
Prior art keywords
information
anonymous
distribution
anonymous information
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013074897A
Other languages
English (en)
Other versions
JP6104674B2 (ja
Inventor
秀暢 小栗
Hidenobu Oguri
秀暢 小栗
敦史 黒政
Atsushi Kuromasa
敦史 黒政
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nifty Corp
Original Assignee
Nifty Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nifty Corp filed Critical Nifty Corp
Priority to JP2013074897A priority Critical patent/JP6104674B2/ja
Publication of JP2014199589A publication Critical patent/JP2014199589A/ja
Application granted granted Critical
Publication of JP6104674B2 publication Critical patent/JP6104674B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】個人情報に係る状況が変化した場合でも再演算することなく必要な匿名性を満たした状態で匿名情報を配信可能にする技術を提供する。【解決手段】配信ポリシーに基づいて個人情報を匿名化処理した匿名情報を配信する際、前記個人情報、前記配信ポリシー又は前記匿名情報の配信状況が変更された場合に、当該変更によって匿名化処理時点の前記配信ポリシーを満たさなくなった情報をフィルタ条件としてフィルタ用記憶部に記憶させ、匿名情報記憶部から読み出した匿名情報のうち前記フィルタ条件に該当する情報を除外して配信可能な匿名化情報を取得する、又は前記フィルタ条件に該当しない匿名情報を前記匿名情報記憶部にリクエストして配信可能な匿名情報を取得し、前記配信可能な匿名情報を配信する。【選択図】図2

Description

本発明は、個人情報を匿名化又は多様化して利用する技術に関する。
情報処理技術の発展に伴い、日常の多くの場面で情報が収集され、この収集された情報を用いた処理が行われている。例えば、消費者が店舗の会員となって商品を購入する場合、会員登録時に消費者の氏名、年齢、性別、住所、メールアドレス等を登録することが多い。そして、消費者が商品を購入すると、店舗側のシステムが、この消費者と購入した商品の情報を対応付けて記録する。このように購入した商品の情報を蓄積して分析すると、当該消費者の嗜好が推定でき、この消費者が好む新商品が発売されたような場合にダイレクトメールを発送するといったサービスを行うことができる。更に、多くの消費者の情報について分析することで、20代女性の好む商品や関東エリアで好まれる商品といった情報を導くことができ、マーケティング等に利用される。
これらの情報は、当該店舗だけでなく、商品を製造するメーカや、他の企業にとっても利用価値が高く、例えば広告やクーポン等のレコメンドに用いたいという要求があった。
しかし、店舗が有する消費者の個人情報を各消費者の許諾を得ずに、他者へ提供することはできない。同様に医療機関等で患者が診療を受けた際の情報(診療情報)を利用したいという要求があるが、機微情報でもある診療情報を各患者の許諾を得ずに、他者へ提供することはできない。
このため個人から収集した情報を匿名化して他の事業者等に提供し、他の事業者からの広告を各個人へ仲介するシステムが提案されている。例えば、特開2005−346248号公報(特許文献5)では、診療情報(個人特定情報及び診断結果情報)から氏名等を除外して匿名化個人情報とし、匿名化個人情報を登録事業者に提供し、登録事業者から前記匿名化個人情報に対する広告メールを受け付け、当該広告メールを匿名化個人情報と対応する各個人のメールアドレス宛てに転送する情報仲介装置が提案されている。
特開2003−196391号公報 特開2003−233551号公報 特開2005−100408号公報 特開2004−086383号公報 特開2005−346248号公報
特許文献5のシステムは、氏名等を除外することで、匿名化を行っているが、単に氏名を伏せるだけでは、匿名化が不十分な場合がある。
例えば、年齢と病名が記載されているデータに25歳で病名Xの人が一人だけであると、25歳の知人がその病名Xの患者であることを知った時点で、その人を特定できることになる。即ち、25歳で病名Xという属性を持つ人が一人だけであると、他の情報と照らし合わせることで、個人を特定できる可能性が高い。
そこで、患者データの年齢の記載を10歳区切りに抽象化し、20代で病名Xの人が3人のように同じ属性を持つ人が複数人となるようにすれば、3人のうちの誰であるかを特定できなくなる。このように同じ属性を持つ人がk人以上いる状態を、「k-匿名性」を満たすと称し、そのようにデータを加工することを「k-匿名化」と称する。
このように個人情報を「k-匿名化」を満たすように処理して、匿名化済データとした上で他の事業者等に提供すれば、高い匿名性を確保することができる。
しかし、「k-匿名化」を満たすことを条件として匿名化済データを配信する場合、匿名化する個人情報等が変化すると、匿名化処理をやり直さなければならず、匿名化済データを円滑に配信できなくなることがあった。
例えば、会員情報を匿名化して、同じ属性を持つ会員がk人以上いる状態とした匿名情報を提供するときに、会員が退会して同じ属性を持つ会員がk未満となった場合、この匿名情報は配信できなくなってしまう。
また、年齢、性別、居住地、病名等の属性からなる個人情報を匿名化し、同じ属性を持つ人がk人以上いる状態とした匿名情報を提供するときに、居住地の情報を提供しないようにポリシーの変更があった場合、この居住地の情報を含めて「k-匿名化」の処理を行った匿名情報は配信できなくなってしまう。
このように会員の変動やポリシーの変更によって、「k-匿名化」を満たさなくなった場合や、「k-匿名化」を満たしているか否かが確認できなくなった場合等、個人情報に係る状況が変化した場合には、再演算して「k-匿名化」を確認する必要があるが、一般に匿名化処理には多大な時間を要するため、個人情報に係る状況が変化する毎に匿名化処理の再演算を行ったのでは、匿名化済データを円滑に配信することは困難である。
そこで本発明は、個人情報に係る状況が変化した場合でも再演算することなく必要な匿名性を満たした状態で匿名情報を配信可能にする技術を提供する。
上記課題を解決するため、本発明の匿名情報配信システムは、
配信ポリシーに基づいて個人情報を匿名化処理した匿名情報を配信するシステムであって、
前記個人情報、前記配信ポリシー又は前記匿名情報の配信状況が変更された場合に、当該変更によって匿名化処理時点の前記配信ポリシーを満たさなくなった情報をフィルタ条件としてフィルタ用記憶部に記憶させるフィルタ設定部と、
匿名情報記憶部から読み出した匿名情報のうち前記フィルタ条件に該当する情報を除外して配信可能な匿名化情報を取得する、又は前記フィルタ条件に該当しない匿名情報を前記匿名情報記憶部にリクエストして配信可能な匿名情報を取得する取得部と、
前記配信可能な匿名情報を配信する配信部と、
を備える。
前記匿名情報配信システムは、特定の属性値に係る利用を拒否するように配信ポリシーが変更された場合に、当該特定の属性値を含む匿名情報の利用を制限しても良い。
前記匿名情報配信システムは、前記匿名情報が、属性の情報と、当該属性の情報を持つ個人の人数を含み、
特定の属性値に係る利用を拒否するように配信ポリシーが変更された場合に、当該特定の属性値を含む匿名情報の人数を減算して所定値未満となった場合、当該匿名情報の利用
を制限しても良い。
また、上記課題を解決するため、本発明の匿名情報配信方法は、
配信ポリシーに基づいて個人情報を匿名化処理した匿名情報を配信する方法であって、
前記個人情報、前記配信ポリシー又は前記匿名情報の配信状況が変更された場合に、当該変更によって匿名化処理時点の前記配信ポリシーを満たさなくなった情報をフィルタ条件としてフィルタ用記憶部に記憶させるステップと、
匿名情報記憶部から読み出した匿名情報のうち前記フィルタ条件に該当する情報を除外して配信可能な匿名化情報を取得する、又は前記フィルタ条件に該当しない匿名情報を前記匿名情報記憶部にリクエストして配信可能な匿名情報を取得するステップと、
前記配信可能な匿名情報を配信するステップと、
をコンピュータが実行する。
また、本発明は、上記匿名情報配信方法をコンピュータに実行させるためのプログラムであっても良い。更に、前記匿名情報配信プログラムは、コンピュータが読み取り可能な記録媒体に記録されていても良い。
ここで、コンピュータが読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記録媒体をいう。このような記録媒体の内コンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD-ROM、CD-R/W、DVD、DAT、8mmテープ、メモリカード等がある。
また、コンピュータに固定された記録媒体としてハードディスクやROM(リードオンリーメモリ)等がある。
本発明は、個人情報に係る状況が変化した場合でも再演算することなく必要な匿名性を満たした状態で匿名情報を配信可能にする技術を提供できる。
図1は匿名化処理の説明図である。 図2は匿名情報配信システムの機能ブロック図である。 図3は病院情報サーバのハードウェア構成を示す図である。 図4は医療情報DBの一例を示す図である。 図5は配信ポリシーの例を示す図である。 図6は配信ポリシーの例を示す図である。 図7は匿名情報DBの一例を示す図である。 図8はフィルタDBに記憶されるフィルタ条件の例を示す図である。 図9は匿名価値評価システムの概略構成図である。 図10は検索情報蓄積DBの一例を示す図である。 図11は対象データにおける年齢の項目の一部の例を示す図である。 図12は年齢について検索情報蓄積DBから取得する価値データの一例を示す図である。 図13は年齢の項目の価値を示す図である。 図14は年齢の項目の価値を示す図である。 図15は抽象化候補における年齢の項目の一部の例を示す図である。 図16は年代について取得する各ワードの価値データの一例を示す図である。 図17は年代の項目の価値を示す図である。 図18は年代の項目の価値を示す図である。 図19は配信情報管理システムの概略構成図である。 図20は配信情報管理システムが、他の事業者の端末から受信する要求情報の一例を示す図である。 図21は匿名情報配信システムによる匿名化処理の説明図である。 図22は候補パターンの説明図である。 図23は配信ポリシー等の変更を受け付けた場合にフィルタ条件を設定する処理の説明図である。 図24は匿名情報を他の事業者へ配信する処理の説明図である。 図25は匿名情報を他の事業者へ配信する処理の説明図である。 図26は匿名情報配信システムが患者(ユーザ)に対して配信情報を出力する処理の説明図である。 図27は患者側配信ポリシーを変更した例を示す図である。 図28はシステム側配信ポリシーを変更した例を示す図である。 図29は配信情報の対象に係るシステム側配信ポリシーを変更した例を示す図である。
以下、図面を参照して本発明を実施するための形態について説明する。以下の実施の形態の構成は例示であり、本発明は実施の形態の構成に限定されない。
〈実施形態1〉
図1は匿名化処理の説明図、図2は匿名情報配信システムの機能ブロック図である。
図1(A)は、姓、年齢、性別の項目を含む会員情報から姓の項目を削除した例を示す。図1(A)に示すように年齢が記載されている会員情報に16歳の女性が一人だけであると、16歳の女性が、この会員であることが分かった時点で、その人を特定できる。即ち、16歳・女性という属性を持つ人が一人だけであると、他の情報と照らし合わせることで、個人を特定できる可能性がある。
図1(B)では、会員リストの年齢の記載を抽象化し、0代(10歳未満)、10代、20代のように年代別とした。しかし、この場合でも10代女性は一人だけであり、図1(A)と同様に個人が特定できてしまい匿名化としては不十分である。
そこで、図1(C)では、更に抽象化し、10代以下(19歳以下)と20代のように年代の区切りを変更した。図1(C)の場合、10代以下の女性が2人であり、[10代以下]及び[女性]という属性が単一では無くなる。このため前述のように16歳の女性が、この会員であることが分かったとしても、どちらが当該16歳女性のデータであるかは特定できない。このように同じ属性を持つ人がk人(本例では2人)以上いる状態を、「k-匿名性」を満たすと称し、そのようにデータを加工することを「k-匿名化」と称する。
図2に示すように匿名情報配信システム100は、病院情報システム(HIS:Hospital Information System)10や、匿名価値評価システム20、配信情報管理システム3
0を有する。病院情報システム10は、病院や健診センター等の医療機関に設けられ、治療や診断を受ける者(以下に患者又はユーザと称す)の医療情報(個人情報)を管理するシステムである。匿名価値評価システム20は、検索エンジン40で検索に用いられたキーワードの統計情報に基づいて抽象化した語の価値を求め、この抽象化した語で構成される匿名情報の価値を算出するシステムである。配信情報管理システム30は、匿名情報を他の事業者(配信情報の発信者)へ提供及び当該事業者から匿名情報に対する配信情報を受信し、各患者に配信するシステムである。
本実施形態1の匿名情報配信システム100は、病院情報システム10が、医療情報を「k-匿名性」が満たされるように抽象化して複数の抽象化候補データ(以下単に抽象化候補とも称す)とする。また、病院情報システム10は、この複数の抽象化候補の価値を匿名価値評価システム20から取得し、この抽象化後の価値に基づいて選択した抽象化候補を匿名情報とし、配信情報管理システム30を介して他の事業者に提供する。そして、匿名情報配信システム100は、他の事業者の端末50から当該匿名情報に対する広告やクーポン等の配信情報を受信して、この配信情報を当該匿名情報に対応する各ユーザ宛てに出力する。
即ち、本実施形態1の匿名情報配信システム100は、医療情報を匿名情報とすることで他の事業者への提供を可能とすると共に、当該匿名情報に基づき特定の属性情報を持つ個人、例えば血圧が高い、介護が必要等といった属性情報を持つ個人をターゲットとした配信情報を他の事業者から受信し、この配信情報と対応する属性情報を持つユーザへ仲介することにより、各個人の匿名性を保ったまま配信情報を配信できる。
なお、個人情報を匿名化して配信することの許可は、各ユーザや、匿名情報配信システム100の管理者、病院情報システム10の管理者が、配信ポリシーとして設定している。即ち、匿名情報配信システム100は、配信ポリシーに従って、配信に利用できる個人情報を抽出して匿名化を行っている。このため匿名化後、個人情報や、配信ポリシー、匿名情報の配信に係る状況(配信状況)といった配信に係る情報(以下、単に配信ポリシー等とも称す)が変更されると、変更前の条件で匿名化処理を行った匿名情報は配信ポリシーを満たさなくなる可能性があり、配信に利用できなくなってしまう。
例えば、変更前に同じ属性を持つユーザがk人以上いた場合でも、配信ポリシー等の変更によって一部の医療情報が利用できなくなったことで、同じ属性を持つユーザがk未満となる可能性がある。
この場合、配信ポリシー等の変更に応じて「k-匿名性」を満たすように再演算することになるが、多量の医療情報を演算処理するためには相応の時間がかかるため、一般に、このような匿名化の演算処理は、個人情報(医療情報)の新規入力や配信ポリシーの変更等のデータ更新が無い夜間や休日を用いた定期的なバッチ処理で行われる。なお、本実施形態の匿名情報配信システム100は、一日一回の夜間バッチによって匿名化の演算処理を行っている。配信ポリシー等が変更される毎に、次のバッチ処理が終わる翌日まで匿名情報を提供できないのでは、円滑にサービスを実施できないので、本実施形態の匿名情報配信システム100では、配信ポリシー等の変更によって利用できなくなった情報をフィルタリングして、配信可能な匿名情報を配信する。
病院情報システム10は、患者の来院時に受け付けを行う受付機101や、患者に係る医療情報を入出力する入出力端末102、入出力端末102から入力された医療情報を管理する病院情報サーバ103、ウェブサーバ104を有する。
受付機101は、患者の診察券を読み取る読取装置や、受付番号を記載した受付レシートを印刷出力するプリンタを備える情報処理装置である。
入出力端末102は、パーソナルコンピュータ等の情報処理装置であり、患者のカルテ(診療記録)等の情報を病院情報サーバ103から読み出して表示出力する表示部や、医師の診断結果や検査結果、薬の処方、検査のオーダ等の情報を病院情報サーバ103へ入力する入力部を有している。
また、入出力端末102は、会計の処理を行う端末や、調剤の受け付けを行う端末として用いられても良い。
ウェブサーバ104は、ネットワークを介して患者等の端末7と接続し、端末7からの要求に応じて病院に関する情報をウェブページで提供する。ウェブサーバ104は、病院のウェブサイトとして機能し、例えば患者の端末7に予約の入力フォームを提供し、入力フォームに従って入力されたデータを当該端末7から受信して予約を受け付ける。また、ウェブサーバ104は、患者の端末7に配信ポリシーの入力フォームを提供し、入力フォームに従って入力されたデータを当該端末7から受信して配信ポリシーの入力を受け付ける。
病院情報サーバ103は、医療情報DB(データベース)19、匿名情報DB18、ポリシーDB68、フィルタDB69、データ更新部15、データ受付部16、出力制御部17、ポリシー受付部61、フィルタ設定部62等の機能部を備えている。
データ受付部16は、個人と対応付けられた複数の項目を含む対象データを医療情報DB19から読み出し(受信し)、匿名情報DB18に記憶させる。
データ更新部15は、匿名情報DB18に記憶させた対象データ(個人情報)の各項目の値を後述の抽象化候補に基づいて抽象化した値に更新することにより、対象データを匿名情報とする。
出力制御部17は、配信情報管理システム30から受信した配信情報を患者に対して出力させる。ここで、配信情報の出力とは、表示装置による表示出力や、プリンタによる印刷出力、他の装置への送信、記憶媒体への書き込み等である。例えば、出力制御部17は、配信情報を受付機101に送信し、受付機101のプリンタによって受付レシートに配信情報を印刷させる。本実施形態において出力制御部17は、配信情報を患者(個人)へ配信する配信部の一形態である。
これに限らず、患者に対する出力は、受付機101のコントロールパネル(不図示)への表示出力や、会計時のレシートや予約票への印刷出力、会計を行う端末(不図示)のディスプレイへの表示出力、当該患者のメールアドレス宛てに電子メールを送信することであっても良い。また、患者への出力とは、当該患者が配信情報を受け取ることができれば、当該患者のみに限定して出力することに限らず、患者を含む不特定の人に対して出力することでも良い。
例えば、当該患者が会計を待っている間に待合室に設置したデジタルサイネージに広告を表示出力することや、当該患者が薬局で調剤を依頼した際に、薬局内に広告を音声出力することでも良い。なお、配信情報は、上記出力方法によって出力可能な形式のデータであれば良く、例えば、テキスト、画像、動画、音データ等であっても良い。
ポリシー受付部61は、各ユーザや、病院情報システム10の管理者(担当者)、匿名情報配信システム100の管理者(担当者)による配信ポリシーの入力を受け付け、ポリシーDB68に記憶させる。
フィルタ設定部62は、個人情報、配信ポリシー又は匿名情報の配信状況が変更された場合に、当該変更によって匿名化処理時点の配信ポリシーを満たさなくなった情報をフィルタ条件としてフィルタDB69に記憶させる。
配信制御部63は、匿名情報DB18から読み出した匿名情報のうちフィルタDB69
に設定されたフィルタ条件に該当する情報を除外して配信可能な匿名化情報を取得する、又は前記フィルタ条件に該当しない匿名情報を匿名情報DBにリクエストして配信可能な匿名情報を取得する。本実施形態において配信制御部63は、配信情報を患者(個人)へ配信する配信部の一形態である。
医療情報DB19は、入出力端末102によって入力された各患者の医療情報を記憶する。この医療情報は、例えば患者の診察時に入出力端末102によって読み出され、電子カルテとして利用される。また、医療情報DB19の医療情報は、データ受付部16によって匿名化の対象データとして読み出される。
匿名情報DB18は、個人情報(対象データ)が入力され、データ更新部15により抽象化候補に基づいて対象データの各項目の値が、抽象化した値に書き換えられ、匿名情報として保持する。なお、匿名情報DB18は、個人情報のうち、メールアドレスやFAX番号等の宛先情報を匿名情報と対応付けて保持しておき、出力制御部17が、配信情報の配信先として読み出せるようにしても良い。
また、匿名価値評価システム20は、抽象化部11、検定部13、選択部14、価値データ取得部21、価値判定部22、ワードカテゴリ分析部23、価値計算部24、検索情報蓄積DB25等の機能部を備えている。
抽象化部11は、対象データを匿名化或いは多様化する際に、対象データ中の項目の値であるワード(語)を抽象化したワードに替えて抽象化候補を生成する。本実施形態においてワード(語)は、単語や句など、一まとまりの言葉であり、位置情報や電話番号等の数値、メールアドレスやIPアドレス等の識別情報、言葉と同様の意味を持つ記号等を含んでも良い。
検定部13は、抽象化候補の一個人と対応する項目の値の組み合わせが、当該抽象化候補中で単一でないことを条件として検定する。例えば検定部13は、抽象化候補がk−匿名性を満たしているかを検定する。
選択部14は、前記検定の条件を満たした抽象化候補を匿名価値評価システム20の価値判定部22で算出した価値に基づいて抽象化候補を選択する。例えば、選択部14は、k−匿名性を満たした複数の抽象化候補から価値が高い順に所定数の抽象化候補を選択する。
価値データ取得部21は、抽象化候補に含まれるワードの価値データを検索情報蓄積DBから取得(受信)する。また、価値データ取得部21は、検索情報蓄積DB25に前記ワードの価値データが登録されていない場合に、他の装置例えば検索エンジン40にリクエストし、取得した価値データを検索情報蓄積DB25に登録する機能(データリクエスト)や、定期的に他の装置を巡回して最新の価値データを取得し、検索情報蓄積DB25に登録されている価値データを更新する機能(データクローラ)を有する。
本実施形態では、この価値データとして検索エンジン40から各ワードの統計情報を受信する。ここで、各ワードの統計情報は、例えばSEMの広告単価(クリック単価)や、クリック率、平均掲載順位、1日の表示回数、1日のクリック数等である。なお、価値の取得先は、検索エンジンに限らず、ウェブページやSNS等であっても良い。この場合、例えばウェブページやSNSにおける各ワードの使用頻度を価値としても良い。
価値判定部22は、抽象化候補に含まれるワードの価値に基づいて当該抽象化候補の価値を求める。また、価値判定部22は、求めた抽象化候補の価値を病院情報サーバ103
に通知しても良い。
ワードカテゴリ分析部23は、ウェブサイト等のデータを分析して、新規のワードや、当該ワードを抽象化したワード(カテゴリ)を求め、検索情報蓄積DBに登録する。
価値計算部24は、価値データ取得部21で取得したワードの価値に基づき、ワードの価値の年平均や月平均、週平均など、ワードの価値の統計情報を求める。
検索情報蓄積DB25は、価値データ取得部21で取得したワードの価値や、ワードカテゴリ分析部23で求めたワードやカテゴリの情報、価値計算部24で求めた価値の統計情報などを記憶する。
また、図2において、配信情報管理システム30は、匿名データ出力部31、配信データ受付部(配信情報受付部)32を備えている。
匿名データ出力部31は、病院情報サーバ103の匿名情報DB18から匿名情報を読み出して他の事業者の端末50へ送信する。ここで端末50への送信は、各端末50のアドレス宛てに電子メール等を送信するものでも良いし、匿名情報をウェブページとして提供するものでも良い。
例えば、他の事業者が要求する情報の条件(以下、要求条件とも称す)を端末50から受信した場合に、匿名データ出力部31が、この要求条件と適合した匿名情報を匿名情報DB18から読み出す。このとき匿名データ出力部31は、匿名情報記憶部から読み出した匿名情報のうち前記フィルタ条件に該当する情報を除外して配信可能な匿名化情報を取得する、又は前記フィルタ条件に該当しない匿名情報を前記匿名情報記憶部にリクエストして配信可能な匿名情報を取得する。そして匿名データ出力部31は、匿名情報を要求元の端末50に電子メール等で送信する。
また、匿名データ出力部31は、端末50からの閲覧要求に対して、匿名情報が記載されたウェブページ、即ちHTML等で記述されたファイルをレスポンスとして返信するものでも良い。このように匿名データ出力部31は、本実施形態において、匿名情報を配信する配信部の一形態である。
配信データ受付部32は、他の事業者の端末50から前記匿名情報の特定の属性値に対する配信情報を受信し、この配信情報を病院情報サーバ103に送信する。
また、図2中、検索エンジン40は、インターネット等のネットワーク上に存在する情報の検索機能を提供するサイト(コンピュータ)である。即ち、検索エンジン40は、ユーザ端末から検索するキーワードを受信すると、このキーワードを含むウェブページのURL等のリストを検索結果として提供し、ユーザ端末に表示させる。
また、検索エンジン40は、この検索機能を利用し、検索結果にキーワードと連動した広告を表示させることや、キーワードに応じた広告料を支払ったスポンサーサイトへのリンクを表示させることも行う。このため、検索エンジン40は、検索されたワード毎に、1日の検索回数(表示回数)、検索結果の広告がクリックされた回数(クリック数)、1クリック当たりの広告料(クリック単価)等をワードの統計情報として記憶する。
また、これらの情報に基づき、検索エンジン40は、表示回数をクリック数で除したクリック率や、1日のクリック数にクリック単価を乗じた値(1日の費用)、広告の申し込み時(広告オークション時)に提示した費用に応じた広告の掲載順位等も求める。
検索エンジン40は、匿名価値評価システム20に対し、上記クリック数、表示回数、掲載順位、1日の費用、クリック率、クリック単価等の情報を提供するデータ出力部41や、これらワードに関する情報を記憶する検索ワード蓄積DB42を備える。
図3は病院情報サーバ103のハードウェア構成を示す図である。病院情報サーバ103は、演算処理部1、通信制御部3、記憶装置4、入出力インタフェース5を有する所謂情報処理装置(コンピュータ)である。
演算処理部1は、CPUやメインメモリを有し、CPUが、メインメモリに実行可能に展開されたプログラムを実行することで、前述の抽象化部11、検定部13、選択部14、データ更新部15、データ受付部16、出力制御部17、ポリシー受付部61、フィルタ設定部62の機能を提供する。
メインメモリは、主記憶装置ということもできる。メインメモリは、例えば、CPUが実行するプログラムや、通信制御部3を介して受信したデータ、記憶装置4から読み出したデータ、その他のデータ等を記憶する。
通信制御部3は、ネットワークを介して他の装置、例えば受付機101や入出力端末102と接続し、当該装置との通信を制御する。
入出力インタフェース5は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。ドライブ装置は、着脱可能な記憶媒体の読み書き装置であり、例えば、フラッシュメモリカードの入出力装置、USBメモリを接続するUSBのアダプタ等である。また、着脱可能な記憶媒体は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、ブルーレイディスク(Blu-ray(登録商標) Disc)等のディスク媒体であってもよい。ドライブ装置は、着脱可能な記憶媒体からプログラムを読み出し、記憶装置4に格納させる。
記憶装置4は、外部記憶装置(補助記憶装置)ということもできる。記憶装置4としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置4は、ドライブ
装置との間で、データを授受する。例えば、記憶装置4は、ドライブ装置からインストールされる情報処理プログラム等を記憶する。また、記憶装置4は、プログラムやデータが演算処理部1により読み出されて、メインメモリに引き渡す。本実施形態では、記憶装置4が前述の医療情報DB19や匿名情報DB18、ポリシーDB68、フィルタDB69を格納している。
なお、受付機101、入出力端末102についても基本的なハードウェア構成は、図3と同様であり、受付機101、入出力端末102は、演算処理部、通信制御部、記憶装置、入出力インタフェースを有する情報処理装置である。例えば、受付機101は、入出力インタフェースに診察券の読取装置が接続され、演算処理部が読取装置を制御して診察券から患者の識別情報(患者ID)を読み取り、通信制御部を介して病院情報サーバ103へ送信する。また、受付機101は、入出力インタフェースにプリンタが接続され、受付番号と配信情報を印刷したレシートを出力する。
入出力端末102は、演算処理部が通信制御部を介して病院情報サーバ103から患者の医療情報を読み出して表示装置に表示させると共に、医師がキーボードやマウスを操作して診察の結果を入力し、通信制御部を介して病院情報サーバ103へ送信して医療情報DB19に記憶させる。
図4は医療情報DB19の一例を示す図である。図4の医療情報DB19は、医療情報として、患者毎に、患者ID、氏名、年齢、性別、住所、メールアドレス、診療履歴の項目を夫々対応付けて記憶している。
患者IDは、患者を一意に識別する情報であり、例えば診察件番号や保険証の番号などである。
メールアドレスは、配信情報の配信先となる患者の連絡先を示す情報であり、電話番号やFAX番号などでも良い。
診療履歴は、過去の診療の内容を診療日と共に記録した履歴情報であり、図4では直近の3回分の診療内容を示している。なお、診療履歴は、全ての履歴が記録されたものでも良いし、一部の履歴(例えば所定期間の履歴)を抽出したものでも良い。また、診療の内容は、傷病の名称、傷病の部位、受診した科(内科・外科等)、検査結果、処方された薬の名称などを含んでも良い。
図5,図6はポリシーDB68に記憶される配信ポリシーの例を示す図である。図5の配信ポリシーは、匿名情報の属性値毎の配信の可否を示す。図5の配信ポリシーは、例えば、性別、年齢、住所、診療履歴等の属性値毎に、配信を許可する場合には○、配信を拒否する場合には×といった配信可否が記録される。
図6の配信ポリシーは、配信情報毎の配信の可否を示す。図6の配信ポリシーは、例えば、タクシー、医療機器、マッサージ、宗教、クーポン、広告といった配信情報の内容毎に、配信を許可する場合には○、配信を拒否する場合には×といった配信可否が記録される。
なお、図5,図6の配信ポリシーは、各患者が自身のポリシーとして設定する患者側ポリシーと、病院情報システム10又は匿名情報配信システム100全体のポリシー、即ち全患者に適用するポリシーとして病院情報システム10又は匿名情報配信システム100の管理者が設定するシステム側ポリシーがある。
図7は匿名情報DB18の一例を示す図であり、図7(A)は対象データを書き込んだ直後の例を示す図、図7(B)は匿名情報の例を示す図、図7(C)は各患者と匿名情報との対応関係を示す図である。図7(B)に示すように匿名情報DB18では、匿名情報として、属性IDや、属性種類、存在数、許可配信情報を対応付けて記憶している。ここで、属性種類(匿名情報種類)は、匿名性を満たすように抽象化したワードの組み合わせである。属性IDは、属性種類毎に割り当てる識別情報である。存在数は、対応する属性種類を持つユーザの人数を示す情報である。許可配信情報は、配信を許可している配信情報を示す情報である。
図7(C)は、患者IDや、メールアドレス(連絡先)、属性種類を対応付けて記憶している。
図8は、フィルタDB69に記憶されるフィルタ条件の例を示す図である。図8に示すように、フィルタDB69は、フィルタ条件として被変更者や属性種類の項目を夫々対応付けて記憶している。被変更者は、変更となった患者を示す情報であり、特定の患者の配信ポリシー等が変更となった場合には、当該患者の患者IDが記憶され、システム側配信ポリシーが変更となった場合には、全ての患者であることが記憶される。
フィルタDB69の属性種類は、配信ポリシー等の変更により配信できなくなった属性
種類を示す情報である。
図9は匿名価値評価システム20の概略構成図である。匿名価値評価システム20は、演算処理部201、通信制御部203、記憶装置204、入出力インタフェース205を有する所謂情報処理装置(コンピュータ)である。
演算処理部201は、CPUやメインメモリを有し、CPUが、メインメモリに実行可能に展開されたプログラムを実行することで、前述の抽象化部11、検定部13、選択部14、価値データ取得部21、価値判定部22、ワードカテゴリ分析部23、価値計算部24の機能を提供する。
メインメモリは、主記憶装置ということもできる。メインメモリは、例えば、CPUが実行するプログラムや、通信制御部203を介して受信したデータ、記憶装置204から読み出したデータ、その他のデータ等を記憶する。
通信制御部203は、ネットワークを介して他の装置、例えば病院情報サーバ103と接続し、当該装置との通信を制御する。
入出力インタフェース205は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。
記憶装置204は、外部記憶装置(補助記憶装置)ということもできる。記憶装置204としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置204
は、ドライブ装置との間で、データを授受する。例えば、記憶装置204は、ドライブ装置からインストールされる情報処理プログラム等を記憶する。また、記憶装置4は、プログラムを読み出し、メモリに引き渡す。本実施形態では、記憶装置204が前述の検索情報蓄積DB25を格納している。
図10は、検索情報蓄積DB25の一例を示す図である。検索情報蓄積DB25は、検索エンジン40から取得したワードとその価格(単価)を対応付けて価値データとして記憶している。この各ワードの価値データに基づいて、各抽象化候補の価値を求め、
次に図11−図18を用いて本実施形態におけるデータの価値について説明する。図11は対象データにおける年齢の項目の一部の例を示す図である。図11に示すように対象データは、年齢si毎に人数ciを有している。例えば、18歳(s1)の人数(c1)が30人、19歳(s2)の人数(c2)が10人である。
図12は、年齢siについて検索情報蓄積DB25から取得する価値データの一例を示す。図12の価値データは、年齢si毎にSEM単価eiを有している。図12の例では、ワードの価値として、検索エンジン40が広告費等の基準として提供しているSEM単価eiを用いている。
この年齢siの価値は、SEM単価eiに人数ciを乗じた値であり、式1で示される。
si=ci×ei ・・・(式1)
そして、図13に示すように年齢の項目S(e)の価値は、各年齢siの総計であり、式2で示される。なお、図13においてnは5である。従って、年齢の項目S(e)の価値は、図14に示すように、2446円である。また、対象データにおける全ての項目の価値を合計したものが対象データの価値である。
一方、図15は抽象化候補における年齢の項目の一部の例を示す図である。図15に示
すように抽象化候補は、年代ki毎に人数ciを有している。例えば、10代(k1)の人数(c1)が40人、20代(k2)の人数(c2)が22人である。
図16は、年代kiについて取得する各ワードの価値データの一例を示す。図16の価値データは、年代ki毎にSEM単価eiを有している。
この年代kiの価値は、SEM単価eiに人数ciを乗じた値であり、式3で示される。
ki=ci×ei ・・・(式3)
そして、図17に示すように年代の項目S(k)の価値は、各年代kiの総計であり、式4で示される。なお、図17においてnは2である。従って、年代の項目S(k)の価値は、図18に示すように、2134円である。即ち、年齢の項目を年代に抽象化したことにより、価値が312円減損したことになる。また、抽象化候補における全ての項目の価値を合計したものが抽象化候補の価値である。
そして、ステップS150で求める抽象化候補の価値として、例えば式5に示すように、抽象化候補の価値を抽象化候補の価値と対象データの価値の合計で除した減損率M(k)を求める。
M(k)=S(k)/(S(k)+S(e)) ・・・(式5)
図19は配信情報管理システム30の概略構成図である。配信情報管理システム30は、演算処理部301、通信制御部303、記憶装置304、入出力インタフェース305を有する所謂情報処理装置(コンピュータ)である。
演算処理部301は、CPUやメインメモリを有し、CPUが、メインメモリに実行可能に展開されたプログラムを実行することで、前述の匿名データ出力部31及び配信データ受付部32の機能を提供する。
メインメモリは、主記憶装置ということもできる。メインメモリは、例えば、CPUが実行するプログラムや、通信制御部303を介して受信したデータ、記憶装置204から読み出したデータ、その他のデータ等を記憶する。
通信制御部303は、ネットワークを介して他の装置、例えば病院情報サーバ103や他の事業者の端末50と接続し、当該装置との通信を制御する。
入出力インタフェース305は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。
記憶装置304は、外部記憶装置(補助記憶装置)ということもできる。記憶装置304としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置304
は、ドライブ装置との間で、データを授受する。例えば、記憶装置304は、ドライブ装置からインストールされる情報処理プログラム等を記憶する。
図20は、配信情報管理システム30が、他の事業者の端末50から受信する要求情報の一例を示す図である。図20の要求情報は、事業者名、アドレス、適合条件、単価を夫々対応付けて記憶している。
事業者名は、事業者を識別する情報であり、名称に限らずID等であっても良い。
アドレスは、匿名情報の送信先を示す情報であり、メールアドレスの他、IPアドレス
、FAX番号など、送信先を特定できる情報であれば良い。
適合条件は、配信情報をリコメンドする匿名情報の属性の条件であり、図20の例では傷病名やその部位等を示すワードである。
単価は、配信情報を患者へ配信した場合に事業者から匿名情報配信システム100側に支払われる1件あたりの価格(対価)である。
配信情報の概要は、配信情報の対象や種別などを示す情報である。図20の例では、タクシーや血圧計、食事指導、宗教等を対象とし、クーポンや広告、情報提供等の種別を示す。
上記のように本実施形態1では、病院情報システム10、匿名価値評価システム20、配信情報管理システム30を別の情報処理装置で構成したが、これら病院情報システム10、匿名価値評価システム20、配信情報管理システム30を一つの情報処理装置で構成しても良い。
図21は、匿名情報配信システム100による匿名化処理の説明図である。病院情報サーバ103は、夜間のバッチ処理など、所定のタイミングでプログラムを起動し、図21の処理を開始する。
病院情報サーバ103は、先ずポリシーDB68を参照し、配信情報の配信への利用が許可された対象データを病院医療情報DB19から読み出す(ステップS10)。即ち、CPUが記憶装置4から対象データを取得する。なお、病院情報サーバ103は、対象データを内部の記憶装置4から読み出す構成に限らず、外部のファイルサーバ等から対象データを受信する構成であっても良い。対象データは、1日、1カ月、1年など、所定期間内の医療情報を抽出したものでも良いし、内科、外科、循環器科など、所定の属性値を持つデータを抽出したものでも良い。
次に病院情報サーバ103は、読み出した対象データの表記の揺れや各項目のデータ長、順序などが所定形式となるよう正規化して、匿名情報DB18に登録し、匿名価値評価システム20に通知する(ステップS20)。
匿名価値評価システム20は、匿名情報DB18から対象データを読み出し(ステップS30)、対象データ中の各ワードについて、価値データが検索情報蓄積DB25に存在するか否かを判定する(ステップS40)。匿名価値評価システム20は、全てのワードの価値データが検索情報蓄積DB25に存在する場合にはステップS60へ移行し(ステップS40,Yes)、足りない価値データがある場合(ステップS40,No)、当該ワードの価値データを外部の装置、本例では検索エンジン40から取得する(ステップS50)。なお、検索エンジンから取得した価値データ以外、即ち検索情報蓄積DB25に存在したワードの価値情報は、検索情報蓄積DB25から取得する(ステップS60)。
また、匿名価値評価システム20は、匿名性を満たすため対象データの各項目を抽象化したワード(カテゴリ)に置き換えて抽象化候補を作成する(ステップS70)。なお、抽象化可能な項目が複数存在する場合には、各項目を抽象化した場合と抽象化しない場合の全てのパターンを作成する。例えば対象データに三つの項目A,B,Cが含まれ、全項目について抽象化が可能で、抽象化した項目をA´,B´,C´とした場合、図22に示すように、項目Aだけを抽象化した場合A´,B,C、項目A,Bを抽象化した場合A´,B´,Cなど、七つの候補パターンが作成できる。また、全項目を用いるものに限らず、A´,BやB´,Cなど、一部の項目を用いた候補パターンを作成しても良い。
次に匿名価値評価システム20は、抽象化候補に含まれる各ワードの価値データに基づいて各パターンの抽象化候補の価値を算出し(ステップS80)、この抽象化候補の価値に基づいて検定の順番を決定する(ステップS90)。例えばこの価値が高い順(降順)に検定の順番を決定する。なお、全ての候補パターンについて検定を行うことが望ましいが、この抽象化候補の価値に基づき、価値の低過ぎる抽象化候補を順番から外しても良い。例えば、価値の高い順番で、所定番目以降或いは半分未満など所定割合未満の抽象化候補を外しても良い。また、抽象化候補の価値が対象データの価値に対して所定割合未満となった抽象化候補を外しても良い。これにより検定数が少なくなり、処理時間の短縮化が図れる。
この検定の順番に従い、匿名価値評価システム20は、抽象化候補の匿名性を検定する(ステップS100)。例えば、k−匿名性を検定するため、一個人と対応付けられた異なる項目の値の組み合わせが当該抽象化候補中に存在する数(存在数)を求める。或いは、l多様性を検定するため、一個人と対応付けられた同じ項目の値の組み合わせが当該抽象化候補中に存在する数(存在数)を求める。そして、この存在数のうち最小のものを最低出現数(k値)として求め(ステップS110)、この最低出現数が1を超えているか否かを判定する(ステップS120)。即ち、ここでk値が1を超えていればk−匿名性を満たし、1であればk−匿名性を満たさない。同様にl値が1を超えていればl−多様性を満たし、1であればl−多様性を満たさない。
最低出現数(k値/l値)が1を超えていない場合(ステップS120,No)、匿名価値評価システム20は、抽象化候補のうち、少なくとも一つの項目の値を更に抽象化する、即ち抽象化したワードに置き換え(ステップS130)、ステップS100に戻る。例えば、「足骨折、15歳、男」という属性値を持つ患者が一人であった場合、「足傷病、15歳、男」のように抽象化する。
一方、最低出現数(k値/l値)が1を超えている場合(ステップS120,Yes)、匿名価値評価システム20は、当該抽象化候補の価値と元の対象データの価値との差分を求め(ステップS140)、この差分や、この差分に基づく値、例えば対象データの価値に対する差分の割合、対象データの価値に対する抽象化候補の価値の割合を当該抽象化候補の価値として決定する(ステップS150)。
また、匿名価値評価システム20は、検定していない候補パターンがあるか否かを判定し(ステップS160)、検定していない候補パターンがあれば(ステップS160,Yes)、ステップS90で決定した順番に従って、次の順番の抽象化候補を特定し(ステップS170)、ステップS100に戻って次の抽象化候補について検定を行う。
このように各パターンの抽象化候補について検定を繰り返し、次の候補パターンが無くなった場合(ステップS160,No)、匿名価値評価システム20は、ステップS150で求各抽象化候補の価値に基づいて、採用すべき抽象化候補を選択し、病院情報サーバ103に通知する(ステップS180)。
抽象化候補の選択は、例えば、全候補パターンの中で価値の高い順に所定数の抽象化候補を選択する。即ち、匿名化情報は、1パターンに限らず、複数パターン作成しても良い。
また、匿名価値評価システム20は、配信情報管理システム30から、要求情報を取得し、要求情報と合致する候補パターンの中で価値の高い順に所定数の抽象化候補を選択しても良い。更に、匿名価値評価システム20は、全候補パターンの中から価値の高い順に
複数の抽象化候補を出力し、この出力された抽象化候補の中から操作者が適切だと思う抽象化候補を指定し、この指定された抽象化候補を選択しても良い。
病院情報サーバ103は、選択された抽象化候補を匿名情報として匿名情報DB18に記憶させ、匿名情報DB18を更新する(ステップS190)。なお、本実施形態では、図7(B)のように匿名情報が、属性種類毎に、その存在数や許可配信情報と対応付けて記憶される。
図23は、配信ポリシー等の変更を受け付けた場合にフィルタ条件を設定する処理の説明図である。
病院情報サーバ103は、患者や、病院情報システム10の管理者、他の事業者から配信ポリシー等の入力を受けると図23の処理を開始し、先ず、配信ポリシー等を受け付ける(ステップS210)。例えば、患者が端末7を操作してウェブサーバ104に接続し、患者IDやパスワード等の認証情報を入力して病院のウェブサイトにログインし、配信ポリシーの設定を選択すると、ウェブサーバ104が患者側配信ポリシーの入力フォームを端末7へ送信する。端末7が入力フォームを表示し、患者が図5,図6に示すように属性や配信情報毎に配信可否を入力してウェブサーバ104に送信すると、ウェブサーバ104が病院情報サーバ103へ送り、ポリシー受付部61が受け付けてポリシーDB68に記憶させる。
また、病院情報システム10の管理者が、入出力端末102からシステム側配信ポリシーを入力し、病院情報サーバ103へ送り、ポリシー受付部61が受け付けてポリシーDB68に記憶させる。
更に病院の医師や検査担当者が、入出力端末102から診療内容や検査結果等の診療履歴を入力した場合や、病院情報システム10の管理者が、入出力端末102から患者の住所や生活習慣等を入力した場合、入出力端末102が、これら診療履歴や住所、生活習慣等の医療情報を病院情報サーバ103へ送り、ポリシー受付部61が受け付けてポリシーDB68に記憶させる。
また、他の事業者の端末50から、要求情報が配信情報管理システム30に送られた場合に、配信情報管理システム30が、この配信情報の対象や種別、事業者名等の情報を配信状況(匿名情報の利用目的を示す情報)として病院情報サーバ103へ送り、ポリシー受付部61が受け付けてポリシーDB68に記憶させる。
次にフィルタ設定部62が、ステップS210で受け付けた配信ポリシー等と、前回の匿名化処理時点の配信ポリシー等とを比較して配信ポリシー等の変更箇所を求める(ステップS220)。
また、フィルタ設定部62は、ステップS220で求めた配信ポリシーの変更によって匿名化処理時点の配信ポリシーを満たさなくなった情報をフィルタ条件としてフィルタDB69に記憶させる(ステップS230)。
例えば、フィルタ設定部62は、患者ID=101001の配信ポリシーのうち、年齢の項目(属性値)が許可から拒否に変更された場合、図7(C)の対応データから患者IDと対応する属性IDを求め、この属性IDと対応する属性種類のうち、変更された属性値(本例では年齢)を含む属性種類を図7(B)に示す匿名情報から抽出する。フィルタ設定部62は、この抽出した属性種類の属性IDと患者IDとを対応付けてフィルタ条件とし、フィルタDB69に登録する。
また、フィルタ設定部62は、システム側配信ポリシーのうち、住所の項目が許可から拒否に変更された場合、変更された属性値(本例では住所)を含む属性種類を図7(B)に示す匿名情報から抽出する。フィルタ設定部62は、この抽出した属性種類の属性IDと被変更者が全患者であることを対応付けてフィルタ条件とし、フィルタDB69に登録する。
なお、変更された属性値を含む属性種類を抽出する場合、変更された属性値(ワード)と一致する属性値に限らず、抽象化した属性値(ワード)が含まれている場合にも抽出する。例えば、変更された属性値が年齢の場合、15歳、45歳のような年齢に限らず、10代、20代、若年、中年、未成年、成年、幼児、中人、大人など、年齢を抽象化したワードが含まれている属性種類を抽出しても良い。
更に、配信状況として医療機器や食事指導について許可する配信ポリシーに基づいて匿名化を行った場合に、配信状況の異なる要求情報を受信した場合、例えば配信情報の対象が「宗教」である要求を受けた場合、フィルタ設定部62は、先ずポリシーDB68から「宗教」について配信を拒否している患者IDを抽出する。そしてフィルタ設定部62は、図7(C)の対応データから抽出した患者IDと対応する属性IDを求め、この属性IDと患者IDとを対応付けてフィルタ条件とし、フィルタDB69に登録する。
図24は、匿名情報を他の事業者へ配信する処理の説明図である。配信情報管理システム30は、他の事業者の端末50から要求情報を受信した場合、この要求情報を記憶部304に記憶すると共に、配信状況として病院情報サーバ103へ送信する(ステップS310)。
次に配信情報管理システム30は、ステップS310で受信した要求情報に適合する匿名情報を匿名情報DB18から読み出す(ステップS320)。ここで匿名情報と要求情報との適合は、足の傷病、高血圧など匿名情報が有する属性値と要求情報の条件に含まれるワードが一致した場合に適合としても良い。また、匿名情報が有する属性値と要求情報の条件に含まれるワードが完全に一致した場合に限らず、部分的に一致した場合や、シソーラス等を参照して、匿名情報の属性値と要求情報のワードが、上位/下位関係、部分/全体関係、同義関係、類義関係などの所定の関係にある語であった場合に適合と判定しても良い。
また、配信情報管理システム30は、病院情報サーバ103のフィルタDB69からフィルタ条件を取得する(ステップS330)。
そして、配信情報管理システム30は、ステップS320で読み出した匿名情報から、フィルタ条件に該当する情報を除外する(ステップS340)。
ステップS340の除外後、匿名情報の属性種類毎の存在数が所定数(k)以上か否かを判定する(ステップS350)。ここで、存在数が所定値未満であった場合(ステップS350,No)、即ちk匿名性を満たさなくなった場合、当該匿名情報の属性種類を除外する(ステップS360)。
このフィルタリング後、配信情報管理システム30は、配信可能な匿名情報があるか否かを判定し(ステップS370)、配信可能な匿名情報が無ければ(ステップS370,No)、処理を終了し、配信可能な匿名情報があれば(ステップS370,Yes)、この配信可能な匿名情報を要求元の端末50へ配信する(ステップS380)。
なお、図24の例では、匿名情報を読み出した後、フィルタ条件に該当する情報を除去して配信可能な匿名情報を得る例を示したが、これに限らず、図25に示すようにフィルタ条件を取得し(ステップS325)、このフィルタ条件に該当しない匿名情報を匿名情報DBから取得する(ステップS335)処理としても良い。なお、図25の処理において、この他のステップは、図24の処理と同じである。
他の事業者は、配信された匿名情報に基づいて、広告などの配信対象とする属性値を指定して配信情報を配信情報管理システム30へ送信する。ここで配信情報は、配信対象を示す属性値と、患者に対して出力する広告やクーポン等の配信内容とを有している。例えば、属性値が「足傷病」、配信内容が「タクシークーポン」である配信情報を端末50が送信し、この配信情報を配信情報管理システム30が受信する。
配信情報管理システム30は、受信した配信情報、即ち配信対象の属性値と配信内容を記憶部304に記憶すると共に、病院情報サーバ103に送信する。
図26は、匿名情報配信システム100が患者(ユーザ)に対して配信情報を出力する処理の説明図である。
病院情報サーバ103は、各患者の来院時等の所定のタイミングで図26の処理を開始し、まず、配信情報を出力する患者の患者IDを取得する(ステップS410)。
例えば、患者が診察券を受付機101に読み取らせて受付を行った場合に、受付機101が読み取った患者ID(診察券番号)を病院情報サーバ103に送信することで、病院情報サーバ103が患者IDを取得する。
また、患者が端末7を操作し、ウェブサーバ104に接続し、患者IDやパスワードを入力して病院のウェブサイトにログインした場合に、ウェブサーバ104がこの患者IDを病院情報サーバ103に送信することで、病院情報サーバ103が患者IDを取得する。
病院情報サーバ103は、匿名情報DB18を参照し、ステップS410で取得した患者IDに対する属性IDを図7(C)のデータから求める(ステップS420)。
また、病院情報サーバ103は、ステップS410で求めた属性IDに対応する匿名情報の属性種類を図7(B)のデータから求め、当該属性種類に適合する配信情報を配信情報管理システム30から取得する(ステップS430)。例えば、属性種類に含まれる属性値を有する配信情報を取得する。ここで属性種類と配信情報との適合は、足の傷病、高血圧など配信情報が有する属性値と属性種類に含まれるワードが一致した場合に適合としても良い。また、配信情報が有する属性値と属性種類に含まれるワードが完全に一致した場合に限らず、部分的に一致した場合や、シソーラス等を参照して、匿名情報の属性値と要求情報のワードが、上位/下位関係、部分/全体関係、同義関係、類義関係などの所定の関係にある語であった場合に適合と判定しても良い。
次に病院情報サーバ103は、フィルタDB69からフィルタ条件を取得する(ステップS440)。
そして、病院情報サーバ103は、ステップS440で読み出した属性種類から、フィルタ条件に該当する情報を除外する(ステップS450)。
ステップS450の除外後、匿名情報の属性種類毎の存在数が所定数(k)以上か否か
を判定する(ステップS460)。ここで、存在数が所定値未満であった場合(ステップS460,No)、即ちk匿名性を満たさなくなった場合、当該匿名情報の属性種類を除外する(ステップS470)。
このフィルタリング後、病院情報サーバ103は、配信可能な情報があるか否かを判定し(ステップS480)、配信可能な情報が無ければ(ステップS480,No)、処理を終了し、配信可能な匿名情報があれば(ステップS480,Yes)、この配信可能な匿名情報に対する配信情報の配信内容を前記患者が操作している受付機101や端末7などの装置へ配信する、即ち配信内容を患者に対して出力する(ステップS490)。
例えば、病院情報サーバ103の出力制御部17は、配信内容を受付機101へ送信し、当該患者の受付シートに配信内容を印刷させる。また、ウェブサーバ104は、配信内容をウェブページ内のバナー等として端末7へ送信して表示させる。
更に、患者に対する出力は、これに限らず、会計用の入出力端末で診察券番号を読み取り会計処理を行う際に、入出力端末102から病院情報サーバ103へ診察券番号を送信し、病院情報サーバ103の出力制御部17が、受信した診察券番号(患者ID)と対応する配信内容を入出力端末102へ返信し、入出力端末102の表示装置に会計金額と共に配信情報を表示して当該患者に提示しても良い。
また、患者に対する出力は、会計用の入出力端末102で診察券番号を読み取って会計処理を行う際に、会計の待合室に設置したデジタルサイネージに配信内容を出力し、当該患者を含む不特定の人に対して配信情報を出力することでも良い。
《具体例1》
図27は、患者側配信ポリシーを変更した例を示す図である。図27の表8Aが変更前の配信ポリシーを示し、表8Bが変更後の配信ポリシーを示す。本例では、表8A,8Bに示されるように、住所の項目が許可から拒否に変更されている。
このため、当該患者と対応付けられた匿名情報の属性種類のうち、住所を含むものを除外するようにフィルタ条件をフィルタDB69に設定する。
なお、当該患者と対応付けられた匿名情報を表8Cに示した。
表8Cの匿名情報のうち、属性ID=1の属性種類は、住所を含まないため、フィルタリングされない。
属性ID=2の属性種類は、住所=新宿区を含むため、存在数から当該患者一人分を減算(除外)する。この結果、存在数が所定値(例えばk=2)を下回り、匿名性が保たれなくなったので、この属性ID=2の匿名情報は、配信されない。
一方、属性ID=3,4の属性種類は、住所=東京都,関東を含むため、存在数から当該患者一人分を減算(除外)するが、存在数が所定値(例えばk=2)を下回らないため、この属性ID=3,4の匿名情報は、配信に利用可能である。
《具体例2》
図28は、システム側配信ポリシーを変更した例を示す図である。図28の表8Dが変更前のシステム側配信ポリシーを示し、表8Eが変更後のシステム側配信ポリシーを示す。本例では、表8D,8Eに示されるように、住所の項目が許可から拒否に変更されている。このため、住所の項目を含む匿名情報は、全て除外するようにフィルタ条件をフィルタDB69に設定する。
表8Cの匿名情報のうち、属性ID=1の属性種類は、住所を含まないため配信可能である。
一方、属性ID=2〜4の属性種類は、住所=新宿区,東京都,関東を含むため、フィルタリングされ、配信に利用されない。
《具体例3》
図29は、配信情報の対象に係るシステム側配信ポリシーを変更した例を示す図である。図29の表8Fが変更前のシステム側配信ポリシーを示し、表8Gが変更後のシステム側配信ポリシーを示す。本例では、表8F,8Gに示されるように、宗教の項目が許可から拒否に変更されている。このため、宗教に係る配信情報の配信には利用されないようにフィルタ条件をフィルタDB69に設定する。
表8Hの要求情報のうち、ID=1,2,4の情報は、許可された配信情報のため配信可能である。
一方、ID=3の情報は、宗教に係る情報のため、フィルタリングされ、配信に利用されない。
以上のように本実施形態の匿名情報配信システム100は、配信ポリシー等が変更された場合でも、匿名化の再演算を行うことなく、配信可能な匿名情報を配信に利用することができる。
〈その他〉
本発明は、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
1 演算処理部
3 通信制御部
4 記憶装置
5 入出力インタフェース
7 端末
10 病院情報システム
11 抽象化部
13 検定部
14 選択部
15 データ更新部
16 データ受付部
17 出力制御部
20 匿名価値評価システム
21 価値データ取得部
22 価値判定部
23 ワードカテゴリ分析部
24 価値計算部
30 配信情報管理システム
31 匿名データ出力部
32 配信データ受付部
40 検索エンジン
41 データ出力部
50 端末
61 ポリシー受付部
62 フィルタ設定部
63 配信制御部
100 匿名情報配信システム
101 受付機
102 入出力端末
103 病院情報サーバ
104 ウェブサーバ
201 演算処理部
203 通信制御部
204 記憶装置
205 入出力インタフェース
301 演算処理部
303 通信制御部
304 記憶装置
304 記憶部
305 入出力インタフェース

Claims (5)

  1. 配信ポリシーに基づいて個人情報を匿名化処理した匿名情報を配信する匿名情報配信システムであって、
    前記個人情報、前記配信ポリシー又は前記匿名情報の配信状況が変更された場合に、当該変更によって匿名化処理時点の前記配信ポリシーを満たさなくなった情報をフィルタ条件としてフィルタ用記憶部に記憶させるフィルタ設定部と、
    匿名情報記憶部から読み出した匿名情報のうち前記フィルタ条件に該当する情報を除外して配信可能な匿名化情報を取得する、又は前記フィルタ条件に該当しない匿名情報を前記匿名情報記憶部にリクエストして配信可能な匿名情報を取得する取得部と、
    前記配信可能な匿名情報を配信する配信部と、
    を備える匿名情報配信システム。
  2. 特定の属性値に係る利用を拒否するように配信ポリシーが変更された場合に、当該特定の属性値を含む匿名情報の利用を制限する請求項1に記載の匿名情報配信システム。
  3. 前記匿名情報が、属性の情報と、当該属性の情報を持つ個人の人数を含み、
    特定の属性値に係る利用を拒否するように配信ポリシーが変更された場合に、当該特定の属性値を含む匿名情報の人数を減算して所定値未満となった場合、当該匿名情報の利用を制限する請求項1に記載の匿名情報配信システム。
  4. 配信ポリシーに基づいて個人情報を匿名化処理した匿名情報を配信する匿名情報配信方法であって、
    前記個人情報、前記配信ポリシー又は前記匿名情報の配信状況が変更された場合に、当該変更によって匿名化処理時点の前記配信ポリシーを満たさなくなった情報をフィルタ条件としてフィルタ用記憶部に記憶させるステップと、
    匿名情報記憶部から読み出した匿名情報のうち前記フィルタ条件に該当する情報を除外して配信可能な匿名化情報を取得する、又は前記フィルタ条件に該当しない匿名情報を前記匿名情報記憶部にリクエストして配信可能な匿名情報を取得するステップと、
    前記配信可能な匿名情報を配信するステップと、
    をコンピュータが実行する匿名情報配信方法。
  5. 配信ポリシーに基づいて個人情報を匿名化処理した匿名情報を配信する匿名情報配信プログラムであって、
    前記個人情報、前記配信ポリシー又は前記匿名情報の配信状況が変更された場合に、当該変更によって匿名化処理時点の前記配信ポリシーを満たさなくなった情報をフィルタ条件としてフィルタ用記憶部に記憶させるステップと、
    匿名情報記憶部から読み出した匿名情報のうち前記フィルタ条件に該当する情報を除外して配信可能な匿名化情報を取得する、又は前記フィルタ条件に該当しない匿名情報を前記匿名情報記憶部にリクエストして配信可能な匿名情報を取得するステップと、
    前記配信可能な匿名情報を配信するステップと、
    をコンピュータに実行させるための匿名情報配信プログラム。
JP2013074897A 2013-03-29 2013-03-29 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム Active JP6104674B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013074897A JP6104674B2 (ja) 2013-03-29 2013-03-29 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013074897A JP6104674B2 (ja) 2013-03-29 2013-03-29 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム

Publications (2)

Publication Number Publication Date
JP2014199589A true JP2014199589A (ja) 2014-10-23
JP6104674B2 JP6104674B2 (ja) 2017-03-29

Family

ID=52356436

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013074897A Active JP6104674B2 (ja) 2013-03-29 2013-03-29 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム

Country Status (1)

Country Link
JP (1) JP6104674B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016200962A (ja) * 2015-04-09 2016-12-01 ニフティ株式会社 機器間通信の情報配信装置
JP2017156816A (ja) * 2016-02-29 2017-09-07 ソニー株式会社 情報処理装置および方法、情報処理システム、並びにプログラム
JP2020024611A (ja) * 2018-08-08 2020-02-13 Kddi株式会社 広告制御装置及び広告制御方法
WO2021085519A1 (ja) * 2019-10-31 2021-05-06 国立大学法人大阪大学 パーソナルデータ流通管理システム及びその方法
JP2021128596A (ja) * 2020-02-14 2021-09-02 トッパン・フォームズ株式会社 情報処理装置、情報処理方法、及びプログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009181207A (ja) * 2008-01-29 2009-08-13 Hitachi Ltd 情報管理装置、プログラム及び情報管理方法。
WO2011142327A1 (ja) * 2010-05-10 2011-11-17 日本電気株式会社 情報処理装置、制御方法及びプログラム
WO2012063546A1 (ja) * 2010-11-09 2012-05-18 日本電気株式会社 匿名化装置及び匿名化方法
WO2012067213A1 (ja) * 2010-11-16 2012-05-24 日本電気株式会社 情報処理システム及び匿名化方法
JP2013041536A (ja) * 2011-08-19 2013-02-28 Fujitsu Ltd 情報処理方法及び装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009181207A (ja) * 2008-01-29 2009-08-13 Hitachi Ltd 情報管理装置、プログラム及び情報管理方法。
WO2011142327A1 (ja) * 2010-05-10 2011-11-17 日本電気株式会社 情報処理装置、制御方法及びプログラム
WO2012063546A1 (ja) * 2010-11-09 2012-05-18 日本電気株式会社 匿名化装置及び匿名化方法
WO2012067213A1 (ja) * 2010-11-16 2012-05-24 日本電気株式会社 情報処理システム及び匿名化方法
JP2013041536A (ja) * 2011-08-19 2013-02-28 Fujitsu Ltd 情報処理方法及び装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016200962A (ja) * 2015-04-09 2016-12-01 ニフティ株式会社 機器間通信の情報配信装置
JP2017156816A (ja) * 2016-02-29 2017-09-07 ソニー株式会社 情報処理装置および方法、情報処理システム、並びにプログラム
JP2020024611A (ja) * 2018-08-08 2020-02-13 Kddi株式会社 広告制御装置及び広告制御方法
JP7001562B2 (ja) 2018-08-08 2022-01-19 Kddi株式会社 広告制御装置及び広告制御方法
WO2021085519A1 (ja) * 2019-10-31 2021-05-06 国立大学法人大阪大学 パーソナルデータ流通管理システム及びその方法
JP2021128596A (ja) * 2020-02-14 2021-09-02 トッパン・フォームズ株式会社 情報処理装置、情報処理方法、及びプログラム
JP7454784B2 (ja) 2020-02-14 2024-03-25 Toppanホールディングス株式会社 情報処理装置、情報処理方法、及びプログラム

Also Published As

Publication number Publication date
JP6104674B2 (ja) 2017-03-29

Similar Documents

Publication Publication Date Title
US9760735B2 (en) Anonymous information exchange
US20170039555A1 (en) Anonymized access to online data
US10600088B2 (en) Targeting online ads based on healthcare demographics
AU2010216147B2 (en) Characterizing user information
JP6104674B2 (ja) 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム
US20140317756A1 (en) Anonymization apparatus, anonymization method, and computer program
US20140108029A1 (en) Matching Mobile Device Enabled Electronic Medical Consultations with Relevant Advertisements and Messages
US11586756B2 (en) Article management system
JP6471699B2 (ja) 情報判定装置、情報判定方法及びプログラム
US8645163B1 (en) Systems and methods for determining information regarding drugs
JP6214167B2 (ja) 情報処理システム、情報処理方法、及び情報処理プログラム
KR20200102065A (ko) 맞춤형 광고 콘텐츠 및 피드백 기반 실시간 광고 변경 플랫폼을 이용한 타겟 광고 서비스 제공 시스템 및 방법
Ratwani et al. A descriptive analysis of an on-demand telehealth approach for remote COVID-19 patient screening
JP6214150B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
US10229422B2 (en) Management of personalized advertisements through the mass media
JP2015141642A (ja) 利用同意管理装置
Buchanich et al. Underascertainment of deaths using social security records: a recommended solution to a little-known problem
US8666797B2 (en) Information collection program, information collection apparatus, and information collection method
Samha et al. The influencing factors of digital health passport adoption and acceptance during COVID-19 in Saudi Arabia
JP6310112B2 (ja) 情報処理システム、情報処理方法、及び情報処理プログラム
North et al. Self-triage use, subsequent healthcare utilization, and diagnoses: a retrospective study of process and clinical outcomes following self-triage and self-scheduling for ear or hearing symptoms
JP7086365B2 (ja) 情報収集システム
US20160078177A1 (en) Information processing system and information processing method
KR20160110333A (ko) 템플릿을 기반으로 하는 멀티미디어 네트워크 서비스 시스템 및 방법
JP2021022403A (ja) 情報選択装置、情報選択方法および情報選択プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160318

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170301

R150 Certificate of patent or registration of utility model

Ref document number: 6104674

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350