JP2019057822A - 医療データ検索システム、医療データ検索方法および医療データ検索プログラム - Google Patents
医療データ検索システム、医療データ検索方法および医療データ検索プログラム Download PDFInfo
- Publication number
- JP2019057822A JP2019057822A JP2017180966A JP2017180966A JP2019057822A JP 2019057822 A JP2019057822 A JP 2019057822A JP 2017180966 A JP2017180966 A JP 2017180966A JP 2017180966 A JP2017180966 A JP 2017180966A JP 2019057822 A JP2019057822 A JP 2019057822A
- Authority
- JP
- Japan
- Prior art keywords
- search
- information
- encryption
- medical data
- medical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000013500 data storage Methods 0.000 claims abstract description 14
- 238000007726 management method Methods 0.000 claims description 89
- 230000008569 process Effects 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000011160 research Methods 0.000 claims description 9
- 108090000623 proteins and genes Proteins 0.000 description 76
- 230000001575 pathological effect Effects 0.000 description 45
- 238000010827 pathological analysis Methods 0.000 description 43
- 238000003745 diagnosis Methods 0.000 description 35
- 230000002068 genetic effect Effects 0.000 description 31
- 238000012545 processing Methods 0.000 description 28
- 230000006870 function Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 13
- 239000000284 extract Substances 0.000 description 9
- 238000004891 communication Methods 0.000 description 5
- 230000007170 pathology Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000012252 genetic analysis Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 101150111660 53 gene Proteins 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
- G16H10/60—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/156—Query results presentation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H40/00—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
- G16H40/60—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/88—Medical equipments
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Bioethics (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Epidemiology (AREA)
- Primary Health Care (AREA)
- Public Health (AREA)
- Library & Information Science (AREA)
- Data Mining & Analysis (AREA)
- Biomedical Technology (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Medical Treatment And Welfare Office Work (AREA)
- Storage Device Security (AREA)
Abstract
【課題】ユーザの属性情報に応じた個人情報および医療データの閲覧制御を実現する医療データ検索システム、方法及びプログラムを提供する。【解決手段】個人情報記憶部に記憶されている個人検索用ID511と個人暗号化ID512と暗号化個人情報513には、個人情報の開示範囲が埋め込まれている。また、医療データ記憶部に記憶されている医療検索用IDと医療暗号化IDには、医療データの開示範囲が埋め込まれている。検索クエリ生成部は、ユーザから取得した検索対象の検索匿名IDを、ユーザの属性情報を埋め込んで暗号化した検索クエリQを生成する。そして、検索部は、検索クエリQを用いて、個人検索用ID511と医療検索用ID521とに対して秘匿検索を実行する。検索部は、ユーザの属性情報と個人情報の開示範囲と医療データの開示範囲とに基づいて得られた検索結果を出力する。【選択図】図13
Description
本発明は、医療データ検索システム、医療データ検索方法および医療データ検索プログラムに関する。特に、病理診断情報あるいは遺伝子診断情報といった医療データを秘匿検索する医療データ検索システム、医療データ検索方法および医療データ検索プログラムに関する。
近年、遺伝子解析が安価にできるようになってきている。一方で、適切な診断、および、遺伝子解析の知見を増やすためには、遺伝子情報を他の様々な人の遺伝子情報と比較する、あるいは、様々な人の遺伝子情報の分析が必要不可欠となっている。
遺伝子情報のような医療データを扱う際には、プライバシーへの配慮が必要となる。データを暗号化したまま分析する方法もあるが、医療データはデータ量が膨大となるため、分析に長い時間が掛かる。よって、データを暗号化したまま分析する方法を医療データに適用することは、現状は困難である。そこで、医療データは平文であるが、一見誰の医療データかはわからなくしつつ、必要に応じて医療データを抽出する匿名ID(IDentifier)管理技術のニーズが高まっている。
遺伝子情報のような医療データを扱う際には、プライバシーへの配慮が必要となる。データを暗号化したまま分析する方法もあるが、医療データはデータ量が膨大となるため、分析に長い時間が掛かる。よって、データを暗号化したまま分析する方法を医療データに適用することは、現状は困難である。そこで、医療データは平文であるが、一見誰の医療データかはわからなくしつつ、必要に応じて医療データを抽出する匿名ID(IDentifier)管理技術のニーズが高まっている。
匿名ID管理技術は、個人名ではなく、仮のIDを振ってデータを管理する技術である。確定的に生成されるハッシュ値を利用した仮のIDで管理する場合は、誰でもハッシュ値を計算できる。このため、ハッシュ値の入力を色々と試して計算をすることで、個人名が推測される危険性がある。また、一般的な共通鍵暗号の暗号文を利用する技術では、データの登録者全員に同じ鍵を渡す必要があり、鍵漏洩のリスクが大きくなる。また、一般的な公開鍵暗号の暗号文を利用する技術では、ユーザ数に依存した秘密鍵および暗号文の管理が必要となり、管理対象数が膨大となる。
特許文献1には、秘匿検索技術と呼ばれる暗号化したままデータを検索できる暗号技術を使って医療データを管理する手法が開示されている。特許文献1の技術では、仮のIDは確率的に暗号化されているが、検索クエリを用いて結合可能である。そして、特許文献1の技術では、主治医のような権限のあるユーザが、個人情報と医療データを連結できる。
特許文献1では、ユーザに応じたデータ開示およびデータ連結といった制御が困難である。また、特許文献1では、ユーザ数の増加に伴い、公開鍵と秘密鍵のペアおよび暗号文の数も増加し、鍵管理および情報管理の負担が増大してしまう。
本発明は、ユーザに応じたデータ開示およびデータ連結を可能としつつ、鍵管理および情報管理の負担を軽減することができる医療データ検索システムを提供することを目的とする。
本発明に係る医療データ検索システムは、
個人情報を識別する匿名ID(IDentifier)を、前記個人情報の開示範囲を埋め込んで暗号化した個人検索用IDであって秘匿検索に用いる個人検索用IDと、前記匿名IDおよび前記個人情報を、前記個人情報の開示範囲を埋め込んで暗号化した個人暗号化IDおよび暗号化個人情報とを記憶する個人情報記憶部と、
前記匿名IDを、前記個人情報に対応する医療データの開示範囲を埋め込んで暗号化した医療検索用IDであって秘匿検索に用いる医療検索用IDと、前記匿名IDを、前記医療データの開示範囲を埋め込んで暗号化した医療暗号化IDと、前記医療データとを記憶する医療データ記憶部と
を有する管理装置と、
ユーザから検索対象の匿名IDを検索匿名IDとして取得し、前記検索匿名IDを、前記ユーザの属性情報を埋め込んで暗号化した検索クエリを生成する検索クエリ生成部と、
前記検索クエリを用いて、前記個人検索用IDと前記医療検索用IDとに対して秘匿検索を実行し、前記ユーザの属性情報と前記個人情報の開示範囲と前記医療データの開示範囲とに基づいて得られた検索結果を出力する検索部と
を有する検索装置とを備えた。
個人情報を識別する匿名ID(IDentifier)を、前記個人情報の開示範囲を埋め込んで暗号化した個人検索用IDであって秘匿検索に用いる個人検索用IDと、前記匿名IDおよび前記個人情報を、前記個人情報の開示範囲を埋め込んで暗号化した個人暗号化IDおよび暗号化個人情報とを記憶する個人情報記憶部と、
前記匿名IDを、前記個人情報に対応する医療データの開示範囲を埋め込んで暗号化した医療検索用IDであって秘匿検索に用いる医療検索用IDと、前記匿名IDを、前記医療データの開示範囲を埋め込んで暗号化した医療暗号化IDと、前記医療データとを記憶する医療データ記憶部と
を有する管理装置と、
ユーザから検索対象の匿名IDを検索匿名IDとして取得し、前記検索匿名IDを、前記ユーザの属性情報を埋め込んで暗号化した検索クエリを生成する検索クエリ生成部と、
前記検索クエリを用いて、前記個人検索用IDと前記医療検索用IDとに対して秘匿検索を実行し、前記ユーザの属性情報と前記個人情報の開示範囲と前記医療データの開示範囲とに基づいて得られた検索結果を出力する検索部と
を有する検索装置とを備えた。
前記医療データ検索システムは、
秘匿検索用の公開鍵と、前記ユーザの属性情報が埋め込まれた秘匿検索用の秘密鍵とを記憶する秘匿検索用鍵記憶部と、
暗号化用の公開鍵と、前記ユーザの属性情報が埋め込まれた暗号化用の秘密鍵とを記憶する暗号化用鍵記憶部と、
前記個人情報の開示範囲と前記医療データの開示範囲とを含む権限設定情報を記憶する情報記憶部と、
前記秘匿検索用の公開鍵と、前記暗号化用の公開鍵と、前記権限設定情報とを含む公開鍵情報を送信する公開鍵情報送信部と
を有する鍵管理装置を備えた。
秘匿検索用の公開鍵と、前記ユーザの属性情報が埋め込まれた秘匿検索用の秘密鍵とを記憶する秘匿検索用鍵記憶部と、
暗号化用の公開鍵と、前記ユーザの属性情報が埋め込まれた暗号化用の秘密鍵とを記憶する暗号化用鍵記憶部と、
前記個人情報の開示範囲と前記医療データの開示範囲とを含む権限設定情報を記憶する情報記憶部と、
前記秘匿検索用の公開鍵と、前記暗号化用の公開鍵と、前記権限設定情報とを含む公開鍵情報を送信する公開鍵情報送信部と
を有する鍵管理装置を備えた。
前記医療データ検索システムは、
前記公開鍵情報に含まれる前記秘匿検索用の公開鍵と前記権限設定情報とを用いて、前記個人情報の開示範囲を埋め込んで、前記匿名IDを前記個人検索用IDとして暗号化する個人検索用暗号化部と、
前記公開鍵情報に含まれる前記暗号化用の公開鍵と前記権限設定情報とを用いて、前記個人情報の開示範囲を埋め込んで、前記個人情報および前記匿名IDを前記暗号化個人情報および前記個人暗号化IDとして暗号化する個人復号用暗号化部と
を有する個人情報登録装置を備えた。
前記公開鍵情報に含まれる前記秘匿検索用の公開鍵と前記権限設定情報とを用いて、前記個人情報の開示範囲を埋め込んで、前記匿名IDを前記個人検索用IDとして暗号化する個人検索用暗号化部と、
前記公開鍵情報に含まれる前記暗号化用の公開鍵と前記権限設定情報とを用いて、前記個人情報の開示範囲を埋め込んで、前記個人情報および前記匿名IDを前記暗号化個人情報および前記個人暗号化IDとして暗号化する個人復号用暗号化部と
を有する個人情報登録装置を備えた。
前記医療データ検索システムは、
前記公開鍵情報に含まれる前記秘匿検索用の公開鍵と前記権限設定情報とを用いて、前記医療データの開示範囲を埋め込んで、前記匿名IDを前記医療検索用IDとして暗号化する医療検索用暗号化部と、
前記公開鍵情報に含まれる前記暗号化用の公開鍵と前記権限設定情報とを用いて、前記医療データの開示範囲を埋め込んで、前記匿名IDを前記医療暗号化IDとして暗号化する医療復号用暗号化部と
を有する医療情報登録装置を備えた。
前記公開鍵情報に含まれる前記秘匿検索用の公開鍵と前記権限設定情報とを用いて、前記医療データの開示範囲を埋め込んで、前記匿名IDを前記医療検索用IDとして暗号化する医療検索用暗号化部と、
前記公開鍵情報に含まれる前記暗号化用の公開鍵と前記権限設定情報とを用いて、前記医療データの開示範囲を埋め込んで、前記匿名IDを前記医療暗号化IDとして暗号化する医療復号用暗号化部と
を有する医療情報登録装置を備えた。
前記検索クエリ生成部は、
前記秘匿検索用の秘密鍵を用いて、前記ユーザの属性情報が埋め込まれた前記検索クエリを生成する。
前記秘匿検索用の秘密鍵を用いて、前記ユーザの属性情報が埋め込まれた前記検索クエリを生成する。
前記検索部は、
前記検索クエリに埋め込まれた前記ユーザの属性情報が前記個人情報の開示範囲を満たす前記個人検索用IDに対応する前記個人暗号化IDと前記暗号化個人情報とを、前記検索結果として出力する。
前記検索クエリに埋め込まれた前記ユーザの属性情報が前記個人情報の開示範囲を満たす前記個人検索用IDに対応する前記個人暗号化IDと前記暗号化個人情報とを、前記検索結果として出力する。
前記検索部は、
前記検索クエリに埋め込まれた前記ユーザの属性情報が前記医療データの開示範囲を満たす前記医療検索用IDに対応する前記医療暗号化IDと前記医療データを、前記検索結果として出力する。
前記検索クエリに埋め込まれた前記ユーザの属性情報が前記医療データの開示範囲を満たす前記医療検索用IDに対応する前記医療暗号化IDと前記医療データを、前記検索結果として出力する。
前記医療データ記憶部は、
前記匿名IDを暗号化した前記医療検索用IDであって前記医療データを研究目的に使用して良いか否かを表す前記医療検索用IDと、前記匿名IDを暗号化した前記医療暗号化IDであって前記医療データを研究目的に使用して良いか否かを表す前記医療暗号化IDと、前記医療データとを記憶する。
前記匿名IDを暗号化した前記医療検索用IDであって前記医療データを研究目的に使用して良いか否かを表す前記医療検索用IDと、前記匿名IDを暗号化した前記医療暗号化IDであって前記医療データを研究目的に使用して良いか否かを表す前記医療暗号化IDと、前記医療データとを記憶する。
前記医療データ検索システムは、
前記検索結果として出力された前記個人暗号化IDと前記医療暗号化IDとを復号し、前記個人暗号化IDと前記医療暗号化IDとの復号結果が等しい場合に、前記検索結果として出力された前記暗号化個人情報と前記医療データとを結果情報として結合する情報生成部を備えた。
前記検索結果として出力された前記個人暗号化IDと前記医療暗号化IDとを復号し、前記個人暗号化IDと前記医療暗号化IDとの復号結果が等しい場合に、前記検索結果として出力された前記暗号化個人情報と前記医療データとを結果情報として結合する情報生成部を備えた。
前記情報生成部は、
前記暗号化用の秘密鍵を用いて、前記結果情報を閲覧情報に復号する。
前記暗号化用の秘密鍵を用いて、前記結果情報を閲覧情報に復号する。
本発明に係る医療データ検索方法は、
管理装置の個人情報記憶部が、個人情報を識別する匿名ID(IDentifier)を、前記個人情報の開示範囲を埋め込んで暗号化した個人検索用IDであって秘匿検索に用いる個人検索用IDと、前記匿名IDおよび前記個人情報を、前記個人情報の開示範囲を埋め込んで暗号化した個人暗号化IDおよび暗号化個人情報とを記憶し、
管理装置の医療データ記憶部が、前記匿名IDを、前記個人情報に対応する医療データの開示範囲を埋め込んで暗号化した医療検索用IDであって秘匿検索に用いる医療検索用IDと、前記匿名IDを、前記医療データの開示範囲を埋め込んで暗号化した医療暗号化IDと、前記医療データとを記憶し、
検索装置の検索クエリ生成部が、ユーザから検索対象の匿名IDを検索匿名IDとして取得し、前記検索匿名IDを、前記ユーザの属性情報を埋め込んで暗号化した検索クエリを生成し、
検索装置の検索部が、前記検索クエリを用いて、前記個人検索用IDと前記医療検索用IDとに対して秘匿検索を実行し、前記ユーザの属性情報と前記個人情報の開示範囲と前記医療データの開示範囲とに基づいて得られた検索結果を出力する。
管理装置の個人情報記憶部が、個人情報を識別する匿名ID(IDentifier)を、前記個人情報の開示範囲を埋め込んで暗号化した個人検索用IDであって秘匿検索に用いる個人検索用IDと、前記匿名IDおよび前記個人情報を、前記個人情報の開示範囲を埋め込んで暗号化した個人暗号化IDおよび暗号化個人情報とを記憶し、
管理装置の医療データ記憶部が、前記匿名IDを、前記個人情報に対応する医療データの開示範囲を埋め込んで暗号化した医療検索用IDであって秘匿検索に用いる医療検索用IDと、前記匿名IDを、前記医療データの開示範囲を埋め込んで暗号化した医療暗号化IDと、前記医療データとを記憶し、
検索装置の検索クエリ生成部が、ユーザから検索対象の匿名IDを検索匿名IDとして取得し、前記検索匿名IDを、前記ユーザの属性情報を埋め込んで暗号化した検索クエリを生成し、
検索装置の検索部が、前記検索クエリを用いて、前記個人検索用IDと前記医療検索用IDとに対して秘匿検索を実行し、前記ユーザの属性情報と前記個人情報の開示範囲と前記医療データの開示範囲とに基づいて得られた検索結果を出力する。
本発明に係る医療データ検索プログラムは、
個人情報を識別する匿名ID(IDentifier)を、前記個人情報の開示範囲を埋め込んで暗号化した個人検索用IDであって秘匿検索に用いる個人検索用IDと、前記匿名IDおよび前記個人情報を、前記個人情報の開示範囲を埋め込んで暗号化した個人暗号化IDおよび暗号化個人情報とを記憶する個人情報記憶部と、
前記匿名IDを、前記個人情報に対応する医療データの開示範囲を埋め込んで暗号化した医療検索用IDであって秘匿検索に用いる医療検索用IDと、前記匿名IDを、前記医療データの開示範囲を埋め込んで暗号化した医療暗号化IDと、前記医療データとを記憶する医療データ記憶部と
を検索する検索装置の医療データ検索プログラムにおいて、
ユーザから検索対象の匿名IDを検索匿名IDとして取得し、前記検索匿名IDを、前記ユーザの属性情報を埋め込んで暗号化した検索クエリを生成する検索クエリ生成処理と、
前記検索クエリを用いて、前記個人検索用IDと前記医療検索用IDとに対して秘匿検索を実行し、前記ユーザの属性情報と前記個人情報の開示範囲と前記医療データの開示範囲とに基づいて得られた検索結果を出力する秘匿検索処理と
をコンピュータである検索装置に実行させる。
個人情報を識別する匿名ID(IDentifier)を、前記個人情報の開示範囲を埋め込んで暗号化した個人検索用IDであって秘匿検索に用いる個人検索用IDと、前記匿名IDおよび前記個人情報を、前記個人情報の開示範囲を埋め込んで暗号化した個人暗号化IDおよび暗号化個人情報とを記憶する個人情報記憶部と、
前記匿名IDを、前記個人情報に対応する医療データの開示範囲を埋め込んで暗号化した医療検索用IDであって秘匿検索に用いる医療検索用IDと、前記匿名IDを、前記医療データの開示範囲を埋め込んで暗号化した医療暗号化IDと、前記医療データとを記憶する医療データ記憶部と
を検索する検索装置の医療データ検索プログラムにおいて、
ユーザから検索対象の匿名IDを検索匿名IDとして取得し、前記検索匿名IDを、前記ユーザの属性情報を埋め込んで暗号化した検索クエリを生成する検索クエリ生成処理と、
前記検索クエリを用いて、前記個人検索用IDと前記医療検索用IDとに対して秘匿検索を実行し、前記ユーザの属性情報と前記個人情報の開示範囲と前記医療データの開示範囲とに基づいて得られた検索結果を出力する秘匿検索処理と
をコンピュータである検索装置に実行させる。
本発明に係る医療データ検索システムでは、個人情報記憶部が、秘匿検索に用いる個人検索用IDと、復号用の個人暗号化IDおよび暗号化個人情報とを記憶する。個人検索用IDと個人暗号化IDと暗号化個人情報には、個人情報の開示範囲が埋め込まれている。また、医療データ記憶部が、秘匿検索に用いる医療検索用IDと、復号用の医療暗号化IDとを記憶する。医療検索用IDと医療暗号化IDとには、個人情報に対応する医療データの開示範囲が埋め込まれている。検索クエリ生成部は、ユーザから取得した検索対象の検索匿名IDを、ユーザの属性情報を埋め込んで暗号化した検索クエリを生成する。そして、検索部は、検索クエリを用いて、個人検索用IDと医療検索用IDとに対して秘匿検索を実行する。検索部は、ユーザの属性情報と個人情報の開示範囲と医療データの開示範囲とに基づいて得られた検索結果を出力する。本発明に係る医療データ検索システムによれば、ユーザの属性情報と個人情報の開示範囲と医療データの開示範囲とに基づくアクセス制御付きの秘匿検索を実行することができる。よって、ユーザの属性情報に応じた個人情報および医療データの閲覧制御を実現することができる。
以下、本発明の実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、その説明を適宜省略または簡略化する。
実施の形態1.
***構成の説明***
図1を用いて、本実施の形態に係る医療データ検索システム100の構成の概要について説明する。医療データ検索システム100では、医療データは匿名ID管理技術により管理されている。匿名IDは、個人情報を識別する匿名のIDである。個人情報とは、個人の氏名、年齢、および住所といった情報である。医療データとは、個人が医療機関で受けた病理診断情報、および、医療機関による所見データである遺伝子診断情報といった情報である。
***構成の説明***
図1を用いて、本実施の形態に係る医療データ検索システム100の構成の概要について説明する。医療データ検索システム100では、医療データは匿名ID管理技術により管理されている。匿名IDは、個人情報を識別する匿名のIDである。個人情報とは、個人の氏名、年齢、および住所といった情報である。医療データとは、個人が医療機関で受けた病理診断情報、および、医療機関による所見データである遺伝子診断情報といった情報である。
医療データ検索システム100は、鍵管理装置200と、個人情報登録装置310と、医療データ登録装置320と、検索装置400と、管理装置500と、ユーザ装置600とを備える。鍵管理装置200と、個人情報登録装置310と、医療データ登録装置320と、検索装置400と、管理装置500と、ユーザ装置600とは、ネットワークを経由して接続される。ネットワークは、具体的には、インターネット、あるいは、LAN(Local Area Network)であり、他の種類のネットワークが用いられてもよい。なお、医療データ検索システム100の各装置は、ネットワークを経由せずに接続されていてもよい。また、医療データ検索システム100の各装置のうち複数の装置が、1つのコンピュータ内に搭載されていてもよい。
図2を用いて、本実施の形態に係る鍵管理装置200の構成について説明する。
鍵管理装置200は、コンピュータである。鍵管理装置200は、確定的鍵記憶部210と、秘匿検索用鍵記憶部220と、暗号化用鍵記憶部230と、情報記憶部240と、公開鍵情報送信部250と、鍵送信部260とを有する。
確定的鍵記憶部210は、確定的暗号化のための公開鍵Kpおよび秘密鍵Ksを記憶する。確定的暗号化のための公開鍵Kpおよび秘密鍵Ksは、匿名IDの暗号化および復号に用いられる。
秘匿検索用鍵記憶部220は、秘匿検索用の公開鍵SKpおよびユーザの属性情報が埋め込まれた秘匿検索用の秘密鍵SKsを記憶する。ユーザの属性情報とは、例えば、ユーザの職業である。具体的には、ユーザの属性情報は、主治医、遺伝子カウンセラー、および研究者といった医療データを扱う職業を表す情報である。秘匿検索用鍵記憶部220に記憶された公開鍵SKpは、管理装置500の中にデータを登録したい時に、登録したいワードを検索してもよいユーザの属性情報とともに暗号化する時に用いられる。また秘匿検索用鍵記憶部220に記憶された秘密鍵SKsは、管理装置500の中に登録された暗号化データを検索したい時に、検索したいデータを暗号化するために用いられる。
なお、登録データの暗号化時に含めるユーザの属性情報と、秘密鍵SKsに含まれるユーザの属性情報が一致する、かつ登録データと検索データが同じ場合は、これらのデータは一致していることを暗号化したまま判定することができる。一方で、登録データの暗号化時に含めるユーザの属性情報と、秘密鍵SKsに含まれるユーザの属性情報が異なる場合は、登録データと検索データが同じであっても、これらのデータは一致していないと判定される。
暗号化用鍵記憶部230は、暗号化用の公開鍵CKpおよびユーザの属性情報が埋め込まれた暗号化用の秘密鍵CKsを記憶する。暗号化用鍵記憶部230に記憶された公開鍵CKpは、管理装置500の中にデータを登録したい時に、登録したいワードを検索してもよいユーザの属性情報とともに暗号化する時に用いられる。暗号化用鍵記憶部230に記憶された秘密鍵CKsは、管理装置500の中に登録された暗号化データを復号するために用いられる。
なお、登録された暗号化データに含まれるユーザの属性情報と、秘密鍵CKsに含まれるユーザの属性情報が一致する場合は、その暗号化データを復号できる。
情報記憶部240は、個人情報の開示範囲と医療データの開示範囲とを含む権限設定情報241を記憶する。
公開鍵情報送信部250は、秘匿検索用の公開鍵SKpと、暗号化用の公開鍵CKpと、権限設定情報241とを含む公開鍵情報251を送信する。公開鍵情報251には、確定的暗号化のための公開鍵Kpも含まれる。
鍵送信部260は、確定的暗号の公開鍵Kpと、ユーザの属性情報に対応する秘密鍵SKs,CKsとを検索装置400に送信する。
鍵管理装置200は、コンピュータである。鍵管理装置200は、確定的鍵記憶部210と、秘匿検索用鍵記憶部220と、暗号化用鍵記憶部230と、情報記憶部240と、公開鍵情報送信部250と、鍵送信部260とを有する。
確定的鍵記憶部210は、確定的暗号化のための公開鍵Kpおよび秘密鍵Ksを記憶する。確定的暗号化のための公開鍵Kpおよび秘密鍵Ksは、匿名IDの暗号化および復号に用いられる。
秘匿検索用鍵記憶部220は、秘匿検索用の公開鍵SKpおよびユーザの属性情報が埋め込まれた秘匿検索用の秘密鍵SKsを記憶する。ユーザの属性情報とは、例えば、ユーザの職業である。具体的には、ユーザの属性情報は、主治医、遺伝子カウンセラー、および研究者といった医療データを扱う職業を表す情報である。秘匿検索用鍵記憶部220に記憶された公開鍵SKpは、管理装置500の中にデータを登録したい時に、登録したいワードを検索してもよいユーザの属性情報とともに暗号化する時に用いられる。また秘匿検索用鍵記憶部220に記憶された秘密鍵SKsは、管理装置500の中に登録された暗号化データを検索したい時に、検索したいデータを暗号化するために用いられる。
なお、登録データの暗号化時に含めるユーザの属性情報と、秘密鍵SKsに含まれるユーザの属性情報が一致する、かつ登録データと検索データが同じ場合は、これらのデータは一致していることを暗号化したまま判定することができる。一方で、登録データの暗号化時に含めるユーザの属性情報と、秘密鍵SKsに含まれるユーザの属性情報が異なる場合は、登録データと検索データが同じであっても、これらのデータは一致していないと判定される。
暗号化用鍵記憶部230は、暗号化用の公開鍵CKpおよびユーザの属性情報が埋め込まれた暗号化用の秘密鍵CKsを記憶する。暗号化用鍵記憶部230に記憶された公開鍵CKpは、管理装置500の中にデータを登録したい時に、登録したいワードを検索してもよいユーザの属性情報とともに暗号化する時に用いられる。暗号化用鍵記憶部230に記憶された秘密鍵CKsは、管理装置500の中に登録された暗号化データを復号するために用いられる。
なお、登録された暗号化データに含まれるユーザの属性情報と、秘密鍵CKsに含まれるユーザの属性情報が一致する場合は、その暗号化データを復号できる。
情報記憶部240は、個人情報の開示範囲と医療データの開示範囲とを含む権限設定情報241を記憶する。
公開鍵情報送信部250は、秘匿検索用の公開鍵SKpと、暗号化用の公開鍵CKpと、権限設定情報241とを含む公開鍵情報251を送信する。公開鍵情報251には、確定的暗号化のための公開鍵Kpも含まれる。
鍵送信部260は、確定的暗号の公開鍵Kpと、ユーザの属性情報に対応する秘密鍵SKs,CKsとを検索装置400に送信する。
鍵管理装置200は、例えば、ユーザからパラメータを取得し、確定的暗号化のための公開鍵Kpおよび秘密鍵Ks、検索に利用する公開鍵SKpおよび秘密鍵SKs、および暗号化に利用する公開鍵CKpおよび秘密鍵Cksを作成してもよい。あるいは、鍵管理装置200は、鍵管理装置200の外部で作成された鍵を取得し、内部に記憶してもよい。具体的には、個人情報登録装置310により生成された鍵を取得し、内部に記憶してもよい。
確定的鍵記憶部210と秘匿検索用鍵記憶部220と暗号化用鍵記憶部230とは、鍵DB(データベース)の例である。
確定的鍵記憶部210と秘匿検索用鍵記憶部220と暗号化用鍵記憶部230とは、鍵DB(データベース)の例である。
また、権限設定情報241には、例えば、以下のような情報が含まれる。
図1に示すように、ユーザ装置600は、具体的には、主治医、遺伝子カウンセラー、および研究者により利用される装置である。主治医、遺伝子カウンセラー、および研究者の各々は、以下のような権限を有する。
主治医は、患者の個人情報と病理診断情報と遺伝子診断情報とを連結して閲覧可能である。
遺伝子カウンセラーは、患者の個人情報と遺伝子診断情報とを連結して閲覧可能であるが、病理診断情報は見ることができない。
研究者は、医療データを二次利用するユーザである。研究者は、患者の同意があれば、病理診断情報と遺伝子診断情報とを連結して閲覧可能である。しかし、研究者は、患者の同意がなければ、病理診断情報と遺伝子診断情報とを連結できない。
図1に示すように、ユーザ装置600は、具体的には、主治医、遺伝子カウンセラー、および研究者により利用される装置である。主治医、遺伝子カウンセラー、および研究者の各々は、以下のような権限を有する。
主治医は、患者の個人情報と病理診断情報と遺伝子診断情報とを連結して閲覧可能である。
遺伝子カウンセラーは、患者の個人情報と遺伝子診断情報とを連結して閲覧可能であるが、病理診断情報は見ることができない。
研究者は、医療データを二次利用するユーザである。研究者は、患者の同意があれば、病理診断情報と遺伝子診断情報とを連結して閲覧可能である。しかし、研究者は、患者の同意がなければ、病理診断情報と遺伝子診断情報とを連結できない。
図3を用いて、本実施の形態に係る管理装置500の構成について説明する。
管理装置500は、具体的には、大容量の記憶装置を有するコンピュータである。管理装置500は、個人情報記憶部51と、医療データ記憶部501とを有する。医療データ記憶部501は、病理情報記憶部52と、遺伝子情報記憶部53とを有する。
個人情報記憶部51には、匿名個人情報510が記憶されている。病理情報記憶部52には、匿名病理情報520が記憶されている。遺伝子情報記憶部53には、匿名遺伝子情報530が記憶されている。
管理装置500は、具体的には、大容量の記憶装置を有するコンピュータである。管理装置500は、個人情報記憶部51と、医療データ記憶部501とを有する。医療データ記憶部501は、病理情報記憶部52と、遺伝子情報記憶部53とを有する。
個人情報記憶部51には、匿名個人情報510が記憶されている。病理情報記憶部52には、匿名病理情報520が記憶されている。遺伝子情報記憶部53には、匿名遺伝子情報530が記憶されている。
匿名個人情報510には、個人検索用ID511と、個人暗号化ID512と、暗号化個人情報513とが対応付けられている。個人検索用ID511は、秘匿検索に用いられる。個人検索用ID511は、個人情報を識別する匿名IDを、個人情報の開示範囲を埋め込んで暗号化した情報である。また、個人暗号化ID512および暗号化個人情報513は、匿名IDおよび個人情報を、個人情報の開示範囲を埋め込んで暗号化した情報である。
個人検索用ID511が秘匿検索により抽出されると、個人暗号化ID512は復号され、個人情報、病理診断情報、および遺伝子診断情報を連結する際に用いられる。
個人検索用ID511が秘匿検索により抽出されると、個人暗号化ID512は復号され、個人情報、病理診断情報、および遺伝子診断情報を連結する際に用いられる。
匿名病理情報520には、病理検索用ID521と、病理暗号化ID522と、病理診断情報523とが対応付けられている。病理検索用ID521は、秘匿検索に用いられる。病理検索用ID521は、匿名IDを、個人情報に対応する病理診断情報523の開示範囲を埋め込んで暗号化した情報である。病理暗号化ID522は、匿名IDを、病理診断情報523の開示範囲を埋め込んで暗号化した情報である。医療データである病理診断情報523は暗号化せずに記憶されている。
病理検索用ID521が秘匿検索により抽出されると、病理暗号化ID522は復号され、個人情報、病理診断情報、および遺伝子診断情報を連結する際に用いられる。
病理検索用ID521が秘匿検索により抽出されると、病理暗号化ID522は復号され、個人情報、病理診断情報、および遺伝子診断情報を連結する際に用いられる。
匿名遺伝子情報530には、遺伝子検索用ID531と、遺伝子暗号化ID532と、遺伝子診断情報533とが対応付けられている。遺伝子検索用ID531は、秘匿検索に用いられる。遺伝子検索用ID531は、匿名IDを、個人情報に対応する遺伝子診断情報533の開示範囲を埋め込んで暗号化した情報である。遺伝子暗号化ID532は、匿名IDを、遺伝子診断情報533の開示範囲を埋め込んで暗号化した情報である。医療データである遺伝子診断情報533は暗号化せずに記憶されている。
遺伝子検索用ID531が秘匿検索により抽出されると、遺伝子暗号化ID532は復号され、個人情報、病理診断情報、および遺伝子診断情報を連結する際に用いられる。
遺伝子検索用ID531が秘匿検索により抽出されると、遺伝子暗号化ID532は復号され、個人情報、病理診断情報、および遺伝子診断情報を連結する際に用いられる。
病理検索用ID521と遺伝子検索用ID531とは、医療検索用ID5011の例である。病理暗号化ID522と遺伝子暗号化ID532とは、医療暗号化ID5012の例である。また、個人情報記憶部51と、医療データ記憶部501とは、医療DBの例である。
図4を用いて、本実施の形態に係る個人情報登録装置310の構成について説明する。
個人情報登録装置310は、個人情報を管理装置500に登録する。個人情報登録装置310は、具体的には、被験者リクルート機関である。なお、被験者リクルート機関である個人情報登録装置310が鍵管理装置200に鍵を登録してもよい。
個人情報登録装置310は、公開鍵取得部311と、確定的暗号化部312と、個人検索用暗号化部313と、個人復号用暗号化部314と、登録部315とを有する。
個人情報登録装置310は、個人情報を管理装置500に登録する。個人情報登録装置310は、具体的には、被験者リクルート機関である。なお、被験者リクルート機関である個人情報登録装置310が鍵管理装置200に鍵を登録してもよい。
個人情報登録装置310は、公開鍵取得部311と、確定的暗号化部312と、個人検索用暗号化部313と、個人復号用暗号化部314と、登録部315とを有する。
公開鍵取得部311は、鍵管理装置200から公開鍵情報251を取得する。公開鍵情報251には、公開鍵Kp、秘匿検索用の公開鍵SKp、暗号化用の公開鍵CKp、および権限設定情報241が含まれる。
確定的暗号化部312は、公開鍵Kpを用いて匿名IDを匿名ID’に暗号化する。
個人検索用暗号化部313は、公開鍵情報251に含まれる秘匿検索用の公開鍵SKpと権限設定情報241とを用いて、個人情報の開示範囲を埋め込んで、匿名ID’を個人検索用ID511として暗号化する。
個人復号用暗号化部314は、公開鍵情報251に含まれる暗号化用の公開鍵CKpと権限設定情報241とを用いて、個人情報の開示範囲を埋め込んで、個人情報および匿名ID’を暗号化個人情報513および個人暗号化ID512として暗号化する。
登録部315は、個人検索用ID511、個人暗号化ID512、および暗号化個人情報513を管理装置500に登録する。
確定的暗号化部312は、公開鍵Kpを用いて匿名IDを匿名ID’に暗号化する。
個人検索用暗号化部313は、公開鍵情報251に含まれる秘匿検索用の公開鍵SKpと権限設定情報241とを用いて、個人情報の開示範囲を埋め込んで、匿名ID’を個人検索用ID511として暗号化する。
個人復号用暗号化部314は、公開鍵情報251に含まれる暗号化用の公開鍵CKpと権限設定情報241とを用いて、個人情報の開示範囲を埋め込んで、個人情報および匿名ID’を暗号化個人情報513および個人暗号化ID512として暗号化する。
登録部315は、個人検索用ID511、個人暗号化ID512、および暗号化個人情報513を管理装置500に登録する。
図5を用いて、本実施の形態に係る医療データ登録装置320の構成について説明する。
医療データ登録装置320は、医療データを管理装置500に登録する。医療データ登録装置320は、具体的には、複数の医療機関の各々である。医療データ登録装置320は、例えば、病理診断情報を管理装置500に登録する医療機関Aおよび遺伝子診断情報を管理装置500に登録する医療機関Bといった複数の医療機関の各々である。
医療データ登録装置320は、公開鍵取得部321と、確定的暗号化部322と、医療検索用暗号化部323と、医療復号用暗号化部324と、登録部325とを有する。
医療データ登録装置320は、医療データを管理装置500に登録する。医療データ登録装置320は、具体的には、複数の医療機関の各々である。医療データ登録装置320は、例えば、病理診断情報を管理装置500に登録する医療機関Aおよび遺伝子診断情報を管理装置500に登録する医療機関Bといった複数の医療機関の各々である。
医療データ登録装置320は、公開鍵取得部321と、確定的暗号化部322と、医療検索用暗号化部323と、医療復号用暗号化部324と、登録部325とを有する。
公開鍵取得部321は、鍵管理装置200あるいは個人情報登録装置310から公開鍵情報251を取得する。公開鍵情報251には、公開鍵Kp、秘匿検索用の公開鍵SKp、暗号化用の公開鍵CKp、および権限設定情報241が含まれる。
確定的暗号化部322は、公開鍵Kpを用いて匿名IDを匿名ID’に暗号化する。
確定的暗号化部322は、公開鍵Kpを用いて匿名IDを匿名ID’に暗号化する。
上述したように、医療機関Aでは病理診断情報523を扱う。よって、医療機関Aの医療データ登録装置320の機能は以下の通りである。
医療検索用暗号化部323は、公開鍵情報251に含まれる秘匿検索用の公開鍵SKpと権限設定情報241とを用いて、病理診断情報523の開示範囲を埋め込んで、匿名ID’を病理検索用ID521として暗号化する。
医療復号用暗号化部324は、公開鍵情報251に含まれる暗号化用の公開鍵CKpと権限設定情報241とを用いて、病理診断情報523の開示範囲を埋め込んで、匿名ID’を病理暗号化ID522として暗号化する。
登録部325は、病理検索用ID521、病理暗号化ID522、および病理診断情報523を管理装置500に登録する。
医療検索用暗号化部323は、公開鍵情報251に含まれる秘匿検索用の公開鍵SKpと権限設定情報241とを用いて、病理診断情報523の開示範囲を埋め込んで、匿名ID’を病理検索用ID521として暗号化する。
医療復号用暗号化部324は、公開鍵情報251に含まれる暗号化用の公開鍵CKpと権限設定情報241とを用いて、病理診断情報523の開示範囲を埋め込んで、匿名ID’を病理暗号化ID522として暗号化する。
登録部325は、病理検索用ID521、病理暗号化ID522、および病理診断情報523を管理装置500に登録する。
また、上述したように、医療機関Bでは遺伝子診断情報533を扱う。よって、医療機関Bの医療データ登録装置320の機能は以下の通りである。
医療検索用暗号化部323は、公開鍵情報251に含まれる秘匿検索用の公開鍵SKpと権限設定情報241とを用いて、遺伝子診断情報533の開示範囲を埋め込んで、匿名ID’を遺伝子検索用ID531として暗号化する。
医療復号用暗号化部324は、公開鍵情報251に含まれる暗号化用の公開鍵CKpと権限設定情報241とを用いて、遺伝子診断情報533の開示範囲を埋め込んで、匿名ID’を遺伝子暗号化ID532として暗号化する。
登録部325は、遺伝子検索用ID531、遺伝子暗号化ID532、および遺伝子診断情報533を管理装置500に登録する。
医療検索用暗号化部323は、公開鍵情報251に含まれる秘匿検索用の公開鍵SKpと権限設定情報241とを用いて、遺伝子診断情報533の開示範囲を埋め込んで、匿名ID’を遺伝子検索用ID531として暗号化する。
医療復号用暗号化部324は、公開鍵情報251に含まれる暗号化用の公開鍵CKpと権限設定情報241とを用いて、遺伝子診断情報533の開示範囲を埋め込んで、匿名ID’を遺伝子暗号化ID532として暗号化する。
登録部325は、遺伝子検索用ID531、遺伝子暗号化ID532、および遺伝子診断情報533を管理装置500に登録する。
病理検索用ID521と遺伝子検索用ID531は医療検索用ID5011の一例である。病理暗号化ID522と遺伝子暗号化ID532は医療暗号化ID5012の一例である。
図6を用いて、本実施の形態に係る検索装置400の構成について説明する。
検索装置400は、認証部401と、鍵取得部406と、確定的暗号化部402と、検索クエリ生成部403と、検索部404と、情報生成部405とを有する。
認証部401は、ユーザ装置600からユーザを認証するためのユーザ情報を取得し、ユーザを認証する。
鍵取得部406は、確定的暗号の公開鍵Kpと、ユーザの属性情報に対応する秘密鍵SKs,CKsとを、鍵管理装置200に要求する。そして、鍵取得部406は、鍵管理装置200から送信された公開鍵Kpと秘密鍵SKs,CKsとを取得する。
確定的暗号化部312は、ユーザから検索対象の匿名IDを検索匿名IDとして取得し、公開鍵Kpを用いて検索匿名IDを暗号化する。
検索クエリ生成部403は、ユーザから検索対象の匿名IDを検索匿名IDとして取得し、検索匿名IDを、ユーザの属性情報を埋め込んで暗号化した検索クエリQを生成する。検索クエリ生成部403は、秘匿検索用の秘密鍵SKsを用いて、ユーザの属性情報が埋め込まれた検索クエリQを生成する。
検索部404は、検索クエリQを用いて、個人検索用ID511と医療検索用ID5011とに対して秘匿検索を実行する。検索部404は、ユーザの属性情報と個人情報の開示範囲と医療データの開示範囲とに基づいて得られた検索結果を出力する。
情報生成部405は、検索結果として出力された個人暗号化ID512と医療暗号化ID5012とを、秘密鍵CKsを用いて復号する。情報生成部405は、個人暗号化ID512と医療暗号化ID5012との復号結果が等しい場合に、検索部404から出力された検索結果を結果情報として結合する。情報生成部405は、秘密鍵CKsを用いて、結果情報を平文の閲覧情報に復号する。
検索装置400は、認証部401と、鍵取得部406と、確定的暗号化部402と、検索クエリ生成部403と、検索部404と、情報生成部405とを有する。
認証部401は、ユーザ装置600からユーザを認証するためのユーザ情報を取得し、ユーザを認証する。
鍵取得部406は、確定的暗号の公開鍵Kpと、ユーザの属性情報に対応する秘密鍵SKs,CKsとを、鍵管理装置200に要求する。そして、鍵取得部406は、鍵管理装置200から送信された公開鍵Kpと秘密鍵SKs,CKsとを取得する。
確定的暗号化部312は、ユーザから検索対象の匿名IDを検索匿名IDとして取得し、公開鍵Kpを用いて検索匿名IDを暗号化する。
検索クエリ生成部403は、ユーザから検索対象の匿名IDを検索匿名IDとして取得し、検索匿名IDを、ユーザの属性情報を埋め込んで暗号化した検索クエリQを生成する。検索クエリ生成部403は、秘匿検索用の秘密鍵SKsを用いて、ユーザの属性情報が埋め込まれた検索クエリQを生成する。
検索部404は、検索クエリQを用いて、個人検索用ID511と医療検索用ID5011とに対して秘匿検索を実行する。検索部404は、ユーザの属性情報と個人情報の開示範囲と医療データの開示範囲とに基づいて得られた検索結果を出力する。
情報生成部405は、検索結果として出力された個人暗号化ID512と医療暗号化ID5012とを、秘密鍵CKsを用いて復号する。情報生成部405は、個人暗号化ID512と医療暗号化ID5012との復号結果が等しい場合に、検索部404から出力された検索結果を結果情報として結合する。情報生成部405は、秘密鍵CKsを用いて、結果情報を平文の閲覧情報に復号する。
図7を用いて、鍵管理装置200と個人情報登録装置310と医療データ登録装置320と検索装置400と管理装置500との各装置のハードウェア構成の一例について説明する。以下において、鍵管理装置200と個人情報登録装置310と医療データ登録装置320と検索装置400と管理装置500との各装置を、医療データ検索システム100の各装置と記載する場合がある。また、図2から図6に記載した医療データ検索システム100の各装置の各部を、医療データ検索システム100の各装置の「部」と記載する場合がある。なお、各装置の「部」には、「記憶部」は含まれないものとする。
鍵管理装置200と個人情報登録装置310と医療データ登録装置320と検索装置400と管理装置500との各装置はコンピュータである。
鍵管理装置200と個人情報登録装置310と医療データ登録装置320と検索装置400と管理装置500との各装置は、プロセッサ901、補助記憶装置902、メモリ903、通信装置904、入力インタフェース905、出力インタフェース906といったハードウェアを備える。
プロセッサ901は、信号線910を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
鍵管理装置200と個人情報登録装置310と医療データ登録装置320と検索装置400と管理装置500との各装置は、プロセッサ901、補助記憶装置902、メモリ903、通信装置904、入力インタフェース905、出力インタフェース906といったハードウェアを備える。
プロセッサ901は、信号線910を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
入力インタフェース905は、入力装置907に接続されている。
出力インタフェース906は、出力装置908に接続されている。
出力インタフェース906は、出力装置908に接続されている。
プロセッサ901は、演算処理を行うIC(Integrated Circuit)である。プロセッサ901は、具体例は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
補助記憶装置902は、具体例は、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)である。
メモリ903は、具体例は、RAM(Random Access Memory)である。
補助記憶装置902は、具体例は、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)である。
メモリ903は、具体例は、RAM(Random Access Memory)である。
通信装置904は、データを受信するレシーバー9041およびデータを送信するトランスミッター9042を含む。通信装置904は、具体例は、通信チップまたはNIC(Network Interface Card)である。
入力インタフェース905は、入力装置907のケーブル911が接続されるポートである。入力インタフェース905は、具体例は、USB(Universal Serial Bus)端子である。
出力インタフェース906は、出力装置908のケーブル912が接続されるポートである。出力インタフェース906は、具体例は、USB端子またはHDMI(登録商標)(High Definition Multimedia Interface)端子である。
入力装置907は、具体例は、マウス、キーボードまたはタッチパネルである。
出力装置908は、具体例は、ディスプレイであり、例えばLCD(Liquid Crystal Display)である。
出力インタフェース906は、出力装置908のケーブル912が接続されるポートである。出力インタフェース906は、具体例は、USB端子またはHDMI(登録商標)(High Definition Multimedia Interface)端子である。
入力装置907は、具体例は、マウス、キーボードまたはタッチパネルである。
出力装置908は、具体例は、ディスプレイであり、例えばLCD(Liquid Crystal Display)である。
各装置の補助記憶装置902には、各装置の「部」の機能を実現するプログラムが記憶されている。なお、各装置の「記憶部」は、補助記憶装置902、あるいは、メモリ903に設けられる。
「部」の機能を実現するプログラムは、1つのプログラムであってもよいし、複数のプログラムから構成されていてもよい。
このプログラムは、メモリ903にロードされ、プロセッサ901に読み込まれ、プロセッサ901によって実行される。
このプログラムは、メモリ903にロードされ、プロセッサ901に読み込まれ、プロセッサ901によって実行される。
更に、補助記憶装置902には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がメモリ903にロードされ、プロセッサ901はOSを実行しながら、「部」の機能を実現するプログラムを実行する。
図7では、1つのプロセッサ901が図示されているが、各装置が複数のプロセッサ901を備えていてもよい。そして、複数のプロセッサ901が各装置の「部」の機能を実現するプログラムを連携して実行してもよい。
また、「部」の処理の結果を示す情報とデータと信号値と変数値との少なくともいずれかが、メモリ903、補助記憶装置902、または、プロセッサ901内のレジスタまたはキャッシュメモリに記憶される。
また、「部」の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の記憶媒体に記憶される。
そして、OSの少なくとも一部がメモリ903にロードされ、プロセッサ901はOSを実行しながら、「部」の機能を実現するプログラムを実行する。
図7では、1つのプロセッサ901が図示されているが、各装置が複数のプロセッサ901を備えていてもよい。そして、複数のプロセッサ901が各装置の「部」の機能を実現するプログラムを連携して実行してもよい。
また、「部」の処理の結果を示す情報とデータと信号値と変数値との少なくともいずれかが、メモリ903、補助記憶装置902、または、プロセッサ901内のレジスタまたはキャッシュメモリに記憶される。
また、「部」の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の記憶媒体に記憶される。
「部」を「プロセッシングサーキットリー」で提供してもよい。
また、「部」を「回路」または「工程」または「手順」または「処理」に読み替えてもよい。
「回路」および「プロセッシングサーキットリー」は、プロセッサ901だけでなく、ロジックICまたはGA(Gate Array)またはASIC(Application Specific Integrated Circuit)またはFPGA(Field−Programmable Gate Array)といった他の種類の処理回路をも包含する概念である。
また、「部」を「回路」または「工程」または「手順」または「処理」に読み替えてもよい。
「回路」および「プロセッシングサーキットリー」は、プロセッサ901だけでなく、ロジックICまたはGA(Gate Array)またはASIC(Application Specific Integrated Circuit)またはFPGA(Field−Programmable Gate Array)といった他の種類の処理回路をも包含する概念である。
***動作の説明***
次に、本実施の形態に係る医療データ検索システム100における医療データ検索方法610、および、医療データ検索プログラム620による医療データ検索処理S100について説明する。
医療データ検索処理S100は、個人情報登録処理S110と、医療データ登録処理S120と、検索処理S130とを有する。
次に、本実施の形態に係る医療データ検索システム100における医療データ検索方法610、および、医療データ検索プログラム620による医療データ検索処理S100について説明する。
医療データ検索処理S100は、個人情報登録処理S110と、医療データ登録処理S120と、検索処理S130とを有する。
図8は、本実施の形態に係る個人情報登録処理S110のフローチャートである。
図9は、本実施の形態に係る医療データ登録処理S120のフローチャートである。
図10は、個人情報登録処理S110と医療データ登録処理S120と示す模式図である。
図9は、本実施の形態に係る医療データ登録処理S120のフローチャートである。
図10は、個人情報登録処理S110と医療データ登録処理S120と示す模式図である。
<個人情報登録処理S110>
個人情報登録処理S110は、個人情報登録装置310により実行される。
ステップS111において、公開鍵取得部311は、鍵管理装置200から公開鍵情報251を取得する。具体的には、図10の(1)のように、鍵管理装置200が、公開鍵情報251を個人情報登録装置310に送付する。
ステップS112において、確定的暗号化部312は、公開鍵情報251に含まれる公開鍵Kpを用いて匿名IDを匿名ID’に暗号化する。ステップS112は、図10の(2)に対応する。
個人情報登録処理S110は、個人情報登録装置310により実行される。
ステップS111において、公開鍵取得部311は、鍵管理装置200から公開鍵情報251を取得する。具体的には、図10の(1)のように、鍵管理装置200が、公開鍵情報251を個人情報登録装置310に送付する。
ステップS112において、確定的暗号化部312は、公開鍵情報251に含まれる公開鍵Kpを用いて匿名IDを匿名ID’に暗号化する。ステップS112は、図10の(2)に対応する。
ステップS113において、個人検索用暗号化部313は、公開鍵情報251に含まれる秘匿検索用の公開鍵SKpと権限設定情報241とを用いて、匿名ID’を個人検索用ID511として暗号化する。
ステップS114において、個人復号用暗号化部314は、公開鍵情報251に含まれる暗号化用の公開鍵CKpと権限設定情報241とを用いて、匿名ID’および個人情報を個人暗号化ID512および暗号化個人情報513として暗号化する。
具体的には、図10の(3)で、個人検索用暗号化部313は、個人情報の開示範囲である主治医と遺伝子カウンセラーを埋め込んで、匿名ID’を個人検索用ID511として暗号化する。また、個人復号用暗号化部314は、個人情報の開示範囲である主治医と遺伝子カウンセラーを埋め込んで、匿名ID’を個人暗号化ID512として暗号化する。また、図10の(4)では、個人情報が生成される。図10の(5)では、個人復号用暗号化部314は、個人情報の開示範囲である主治医と遺伝子カウンセラーを埋め込んで、個人情報を暗号化個人情報513として暗号化する。
ステップS115において、登録部315は、個人検索用ID511、個人暗号化ID512、および暗号化個人情報513を管理装置500に送信する。具体的には、図10の(6)で、管理装置500に、匿名個人情報510の行が登録される。図10の(7)で、公開鍵情報251が医療データ登録装置320である医療機関Aに送付される。なお、公開鍵情報251は、鍵管理装置200から医療データ登録装置320である医療機関Aに送付されてもよい。
ステップS114において、個人復号用暗号化部314は、公開鍵情報251に含まれる暗号化用の公開鍵CKpと権限設定情報241とを用いて、匿名ID’および個人情報を個人暗号化ID512および暗号化個人情報513として暗号化する。
具体的には、図10の(3)で、個人検索用暗号化部313は、個人情報の開示範囲である主治医と遺伝子カウンセラーを埋め込んで、匿名ID’を個人検索用ID511として暗号化する。また、個人復号用暗号化部314は、個人情報の開示範囲である主治医と遺伝子カウンセラーを埋め込んで、匿名ID’を個人暗号化ID512として暗号化する。また、図10の(4)では、個人情報が生成される。図10の(5)では、個人復号用暗号化部314は、個人情報の開示範囲である主治医と遺伝子カウンセラーを埋め込んで、個人情報を暗号化個人情報513として暗号化する。
ステップS115において、登録部315は、個人検索用ID511、個人暗号化ID512、および暗号化個人情報513を管理装置500に送信する。具体的には、図10の(6)で、管理装置500に、匿名個人情報510の行が登録される。図10の(7)で、公開鍵情報251が医療データ登録装置320である医療機関Aに送付される。なお、公開鍵情報251は、鍵管理装置200から医療データ登録装置320である医療機関Aに送付されてもよい。
<医療データ登録処理S120>
医療データ登録処理S120は、医療データ登録装置320により実行される。
ステップS121において、公開鍵取得部321は、個人情報登録装置310から公開鍵情報251を取得する。
ステップS122において、確定的暗号化部322は、公開鍵Kpを用いて匿名IDを匿名ID’に暗号化する。ステップS122は、図10の(8)および(14)に対応する。
医療データ登録処理S120は、医療データ登録装置320により実行される。
ステップS121において、公開鍵取得部321は、個人情報登録装置310から公開鍵情報251を取得する。
ステップS122において、確定的暗号化部322は、公開鍵Kpを用いて匿名IDを匿名ID’に暗号化する。ステップS122は、図10の(8)および(14)に対応する。
ステップS123において、医療検索用暗号化部323は、公開鍵情報251に含まれる秘匿検索用の公開鍵SKpと権限設定情報241とを用いて、医療データの開示範囲を埋め込んで、匿名ID’を医療検索用ID5011として暗号化する。
ステップS124において、医療復号用暗号化部324は、公開鍵情報251に含まれる暗号化用の公開鍵CKpと権限設定情報241とを用いて、医療データの開示範囲を埋め込んで、匿名ID’を医療暗号化ID5012として暗号化する。
ここで、医療検索用ID5011および医療暗号化ID5012の各々には、医療データを研究目的に使用して良いか否かを表すインフォームドコンセント(以下、ICと表記する)に応じて開示範囲を決めてもよい。
ステップS124において、医療復号用暗号化部324は、公開鍵情報251に含まれる暗号化用の公開鍵CKpと権限設定情報241とを用いて、医療データの開示範囲を埋め込んで、匿名ID’を医療暗号化ID5012として暗号化する。
ここで、医療検索用ID5011および医療暗号化ID5012の各々には、医療データを研究目的に使用して良いか否かを表すインフォームドコンセント(以下、ICと表記する)に応じて開示範囲を決めてもよい。
ICとは、研究者が医療データを研究目的に使用することを許可(同意)しているか否かを表す情報である。すなわち、ICの内容に応じて研究目的に使う研究者も開示範囲に含めるか否かを決めてもよい。もし、ICが許可を表している場合は、研究者の属性情報を埋め込んで暗号化する。一方で、ICが不許可を表している場合は、研究者の属性情報を埋め込まずに暗号化する。この時、医療検索用ID5011および医療暗号化ID5012は、研究者が検索や復号できるデータと、研究者でも検索や復号できないデータのいずれかになる。このような方法により、医療検索用ID5011および医療暗号化ID5012の各々が、医療データを研究目的に使用して良いか否かを表すようにしてもよい。
以下において、ICが同意あるいは許可を表すことを、ICがOKであると記載する場合がある。また、ICが非同意あるいは不許可を表すことを、ICがNGであると記載する場合がある。
以下において、ICが同意あるいは許可を表すことを、ICがOKであると記載する場合がある。また、ICが非同意あるいは不許可を表すことを、ICがNGであると記載する場合がある。
医療機関Aでは、図10の(9)で、医療検索用暗号化部323は、病理診断情報の開示範囲を有する主治医と研究者を埋め込んで、匿名ID’を病理検索用ID521として暗号化する。医療復号用暗号化部324は、病理診断情報の開示範囲を有する主治医と研究者を埋め込んで、匿名ID’を病理暗号化ID522として暗号化する。このとき、研究者は、ICが病理診断情報の利用を許可する場合のみ埋め込まれる。研究者は、ICが病理診断情報の利用を許可しない場合は埋め込まれない。つまり、ICがNGの場合は、開示範囲として主治医のみが埋め込まれる。したがって、医療検索用暗号化部323は、主治医と研究者(ICがNGの場合は主治医のみ)を埋め込んで、匿名ID’を病理検索用ID521として暗号化する。医療復号用暗号化部324は、主治医と研究者(ICがNGの場合は主治医のみ)を埋め込んで、匿名ID’を病理暗号化ID522として暗号化する。
また、医療機関Bでは、図10の(15)で、医療検索用暗号化部323は、主治医と遺伝子カウンセラーと研究者(ICがNGの場合は主治医と遺伝子カウンセラーのみ)を埋め込んで、匿名ID’を遺伝子検索用ID531として暗号化する。医療復号用暗号化部324は、主治医と遺伝子カウンセラーと研究者(ICがNGの場合は主治医と遺伝子カウンセラーのみ)を埋め込んで、匿名ID’を遺伝子暗号化ID532として暗号化する。
また、医療機関Bでは、図10の(15)で、医療検索用暗号化部323は、主治医と遺伝子カウンセラーと研究者(ICがNGの場合は主治医と遺伝子カウンセラーのみ)を埋め込んで、匿名ID’を遺伝子検索用ID531として暗号化する。医療復号用暗号化部324は、主治医と遺伝子カウンセラーと研究者(ICがNGの場合は主治医と遺伝子カウンセラーのみ)を埋め込んで、匿名ID’を遺伝子暗号化ID532として暗号化する。
図10の(11)において、病理診断情報523が生成される。図10の(17)において、遺伝子診断情報533が生成される。医療機関Bは、遺伝子診断情報533を生成するために、病理診断情報523を図10の(13)で公開鍵情報251とともに受け取ってもよい。また、医療機関Bは、遺伝子診断情報533を生成するために、病理診断情報523を管理装置500から受け取ってもよい。
ステップS125において、登録部325は、医療検索用ID5011、医療暗号化ID5012、および暗号化していない医療データを管理装置500に送信する。具体的には、図10の(12)で、登録部325は、病理検索用ID521、病理暗号化ID522、および病理診断情報523を匿名病理情報520の行として管理装置500に登録する。そして、図10の(13)で、公開鍵情報251が医療データ登録装置320である医療機関Bに送付される。なお、公開鍵情報251は、鍵管理装置200から医療データ登録装置320である医療機関Bに送付されてもよい。また、図10の(18)で、登録部325は、遺伝子検索用ID531、遺伝子暗号化ID532、および遺伝子診断情報533を匿名遺伝子情報530の行として管理装置500に登録する。
ステップS125において、登録部325は、医療検索用ID5011、医療暗号化ID5012、および暗号化していない医療データを管理装置500に送信する。具体的には、図10の(12)で、登録部325は、病理検索用ID521、病理暗号化ID522、および病理診断情報523を匿名病理情報520の行として管理装置500に登録する。そして、図10の(13)で、公開鍵情報251が医療データ登録装置320である医療機関Bに送付される。なお、公開鍵情報251は、鍵管理装置200から医療データ登録装置320である医療機関Bに送付されてもよい。また、図10の(18)で、登録部325は、遺伝子検索用ID531、遺伝子暗号化ID532、および遺伝子診断情報533を匿名遺伝子情報530の行として管理装置500に登録する。
<検索処理S130>
図11は、本実施の形態に係る検索処理S130のフローチャートである。
図12は、主治医がユーザとして管理装置500を検索する場合を表す模式図である。
検索処理S130は、検索装置400により実行される。ここでは、ユーザが主治医の場合の検索処理S130について説明する。
図11は、本実施の形態に係る検索処理S130のフローチャートである。
図12は、主治医がユーザとして管理装置500を検索する場合を表す模式図である。
検索処理S130は、検索装置400により実行される。ここでは、ユーザが主治医の場合の検索処理S130について説明する。
ステップS131において、認証部401は、ユーザ情報に基づいて、ユーザを認証する。ステップS131は、図12の(1)に対応する。
ステップS132において、認証が成功すると、ユーザである主治医が検索に用いる検索キーとして検索匿名IDを入力する。ユーザ装置600は、検索匿名IDを含む検索要求を検索装置400に送信する。ステップS132は、図12の(2),(3)に対応する。
ステップS133において、鍵取得部406は、確定的暗号の公開鍵Kpと、ユーザの属性情報に対応する秘密鍵SKs,CKsとを、鍵管理装置200に要求する。鍵取得部406は、鍵管理装置200の鍵送信部260から送信された確定的暗号の公開鍵Kpと、ユーザの属性を表す属性情報に対応する秘密鍵SKs,CKsとを取得する。ステップS133は、図12の(4),(5)に対応する。具体的には、鍵取得部406は、公開鍵Kpおよび主治医に対応する秘密鍵SKs,CKsを、鍵管理装置200から取得する。
ステップS132において、認証が成功すると、ユーザである主治医が検索に用いる検索キーとして検索匿名IDを入力する。ユーザ装置600は、検索匿名IDを含む検索要求を検索装置400に送信する。ステップS132は、図12の(2),(3)に対応する。
ステップS133において、鍵取得部406は、確定的暗号の公開鍵Kpと、ユーザの属性情報に対応する秘密鍵SKs,CKsとを、鍵管理装置200に要求する。鍵取得部406は、鍵管理装置200の鍵送信部260から送信された確定的暗号の公開鍵Kpと、ユーザの属性を表す属性情報に対応する秘密鍵SKs,CKsとを取得する。ステップS133は、図12の(4),(5)に対応する。具体的には、鍵取得部406は、公開鍵Kpおよび主治医に対応する秘密鍵SKs,CKsを、鍵管理装置200から取得する。
ステップS134において、確定的暗号化部402は、公開鍵Kpを用いて、検索匿名IDに対して確定的暗号化を実行する。ステップS134は、図12の(6)に対応する。
ステップS135において、検索クエリ生成部403は、秘匿検索用の秘密鍵SKsを用いて、ユーザの属性情報が埋め込まれた検索クエリQを生成する。図12の(7)では、検索匿名IDとして111(確定的暗号化後)が埋め込まれ、ユーザの属性情報として主治医が埋め込まれた検索クエリQが生成される。
ステップS135において、検索クエリ生成部403は、秘匿検索用の秘密鍵SKsを用いて、ユーザの属性情報が埋め込まれた検索クエリQを生成する。図12の(7)では、検索匿名IDとして111(確定的暗号化後)が埋め込まれ、ユーザの属性情報として主治医が埋め込まれた検索クエリQが生成される。
ステップS136において、検索部404は、検索クエリQを用いて、個人検索用ID511と医療検索用ID5011とに対して秘匿検索を実行する。検索部404は、ユーザの属性情報と個人情報の開示範囲と医療データの開示範囲とに基づいて得られた検索結果を出力する。具体的には、検索部404は、検索クエリQに埋め込まれたユーザの属性情報が、個人情報の開示範囲を満たす個人検索用ID511に対応する個人暗号化ID512と暗号化個人情報513を、検索結果(9)−1として出力する。また、検索部404は、検索クエリQに埋め込まれたユーザの属性情報が医療データの開示範囲を満たす医療検索用ID5011に対応する医療暗号化ID5012と医療データを、検索結果(9)−2,(9)−3として出力する。
図12の(8),(9)では、検索部404は、検索匿名IDが111(確定的暗号化後)で、かつ、主治医の検索クエリQを用いて、匿名個人情報510と匿名病理情報520と匿名遺伝子情報530を検索する。
匿名個人情報510には主治医が開示範囲に含まれる。よって、検索部404は、個人検索用ID511が111の個人暗号化ID512と暗号化個人情報513とを検索結果として抽出する。
また、匿名病理情報520には主治医が開示範囲に含まれる。よって、検索部404は、病理検索用ID521が111の病理暗号化ID522と病理診断情報523とを検索結果として抽出する。
また、匿名遺伝子情報530には主治医が開示範囲に含まれる。よって、検索部404は、遺伝子検索用ID531が111の遺伝子暗号化ID532と遺伝子診断情報533とを検索結果として抽出する。
匿名個人情報510には主治医が開示範囲に含まれる。よって、検索部404は、個人検索用ID511が111の個人暗号化ID512と暗号化個人情報513とを検索結果として抽出する。
また、匿名病理情報520には主治医が開示範囲に含まれる。よって、検索部404は、病理検索用ID521が111の病理暗号化ID522と病理診断情報523とを検索結果として抽出する。
また、匿名遺伝子情報530には主治医が開示範囲に含まれる。よって、検索部404は、遺伝子検索用ID531が111の遺伝子暗号化ID532と遺伝子診断情報533とを検索結果として抽出する。
ステップS137において、情報生成部405は、検索結果として出力された個人暗号化ID512と医療暗号化ID5012とを復号する。情報生成部405は、個人暗号化ID512と医療暗号化ID5012との復号結果が等しい場合に、検索結果として出力された暗号化個人情報513と医療データとを結果情報71として結合する。すなわち、個人暗号化ID512と医療暗号化ID5012とは、個人情報あるいは医療データを結合する際に用いられる情報である。
図12では、(9)−1の暗号化個人情報513と、(9)−2の病理診断情報523と、(9)−3の遺伝子診断情報533とが検索結果として出力される。図12の(10)では、情報生成部405は、(9)−1の個人暗号化ID512と、(9)−2の病理暗号化ID522と、(9)−3の遺伝子暗号化ID532とを主治医用の秘密鍵で復号する。情報生成部405は、(9)−1の個人暗号化ID512と、(9)−2の病理暗号化ID522と、(9)−3の遺伝子暗号化ID532との復号結果が全て111であれば、(9)−1の暗号化個人情報513と、(9)−2の病理診断情報523と、(9)−3の遺伝子診断情報533とを結果情報71として結合する。情報生成部405は、暗号化用の主治医の秘密鍵CKsを用いて、結果情報71を閲覧情報72に復号する。図12の(11)では、情報生成部405は、結果情報71のうち暗号化個人情報513を平文に復号する。病理診断情報523と遺伝子診断情報533は平文のままである。そして、情報生成部405は、閲覧情報72を主治医のユーザ装置600に送信する。
図12では、(9)−1の暗号化個人情報513と、(9)−2の病理診断情報523と、(9)−3の遺伝子診断情報533とが検索結果として出力される。図12の(10)では、情報生成部405は、(9)−1の個人暗号化ID512と、(9)−2の病理暗号化ID522と、(9)−3の遺伝子暗号化ID532とを主治医用の秘密鍵で復号する。情報生成部405は、(9)−1の個人暗号化ID512と、(9)−2の病理暗号化ID522と、(9)−3の遺伝子暗号化ID532との復号結果が全て111であれば、(9)−1の暗号化個人情報513と、(9)−2の病理診断情報523と、(9)−3の遺伝子診断情報533とを結果情報71として結合する。情報生成部405は、暗号化用の主治医の秘密鍵CKsを用いて、結果情報71を閲覧情報72に復号する。図12の(11)では、情報生成部405は、結果情報71のうち暗号化個人情報513を平文に復号する。病理診断情報523と遺伝子診断情報533は平文のままである。そして、情報生成部405は、閲覧情報72を主治医のユーザ装置600に送信する。
次に、図13を用いて、遺伝子カウンセラーがユーザとして管理装置500を検索する場合について説明する。
図13の(1)では、認証部401が、ユーザである遺伝子カウンセラーを認証する。
図13の(2),(3)では、ユーザである遺伝子カウンセラーが検索する検索キーとして検索匿名IDを入力する。ユーザ装置600は、検索匿名IDを含む検索要求を検索装置400に送信する。
図13の(4),(5)では、具体的には、鍵取得部406は、公開鍵Kpと、遺伝子カウンセラーに対応する秘密鍵SKs,CKsとを、鍵管理装置200から取得する。
図13の(6)では、確定的暗号化部402は、公開鍵Kpを用いて、検索匿名IDに対して確定的暗号化を実行する。
図13の(7)では、検索匿名IDとして111(確定的暗号化後)が埋め込まれ、ユーザの属性情報として遺伝子カウンセラーが埋め込まれた検索クエリQが生成される。
図13の(8),(9)では、検索部404は、検索匿名IDが111(確定的暗号化後)で、かつ、遺伝子カウンセラーの検索クエリQを用いて、匿名個人情報510と匿名病理情報520と匿名遺伝子情報530を秘匿検索する。
匿名個人情報510には遺伝子カウンセラーが開示範囲に含まれる。よって、検索部404は、個人検索用ID511が111の個人暗号化ID512と暗号化個人情報513とを検索結果(9)−1として抽出する。
また、匿名病理情報520には遺伝子カウンセラーが開示範囲に含まれない。よって、検索部404は、匿名病理情報520ではヒットしない。
また、匿名遺伝子情報530には遺伝子カウンセラーが開示範囲に含まれる。よって、検索部404は、遺伝子検索用ID531が111の遺伝子暗号化ID532と遺伝子診断情報533とを検索結果(9)−3として抽出する。
図13では、(9)−1の暗号化個人情報513と、(9)−3の遺伝子診断情報533とが検索結果として出力される。
図13の(10)では、情報生成部405は、(9)−1の個人暗号化ID512と、(9)−3の遺伝子暗号化ID532との復号結果が全て111であれば、(9)−1の暗号化個人情報513と、(9)−3の遺伝子診断情報533とを結果情報71として結合する。
図13の(11)では、情報生成部405は、暗号化用の遺伝子カウンセラーの秘密鍵CKsを用いて、結果情報71を閲覧情報72に復号する。そして、情報生成部405は、閲覧情報72を遺伝子カウンセラーのユーザ装置600に送信する。
図13の(1)では、認証部401が、ユーザである遺伝子カウンセラーを認証する。
図13の(2),(3)では、ユーザである遺伝子カウンセラーが検索する検索キーとして検索匿名IDを入力する。ユーザ装置600は、検索匿名IDを含む検索要求を検索装置400に送信する。
図13の(4),(5)では、具体的には、鍵取得部406は、公開鍵Kpと、遺伝子カウンセラーに対応する秘密鍵SKs,CKsとを、鍵管理装置200から取得する。
図13の(6)では、確定的暗号化部402は、公開鍵Kpを用いて、検索匿名IDに対して確定的暗号化を実行する。
図13の(7)では、検索匿名IDとして111(確定的暗号化後)が埋め込まれ、ユーザの属性情報として遺伝子カウンセラーが埋め込まれた検索クエリQが生成される。
図13の(8),(9)では、検索部404は、検索匿名IDが111(確定的暗号化後)で、かつ、遺伝子カウンセラーの検索クエリQを用いて、匿名個人情報510と匿名病理情報520と匿名遺伝子情報530を秘匿検索する。
匿名個人情報510には遺伝子カウンセラーが開示範囲に含まれる。よって、検索部404は、個人検索用ID511が111の個人暗号化ID512と暗号化個人情報513とを検索結果(9)−1として抽出する。
また、匿名病理情報520には遺伝子カウンセラーが開示範囲に含まれない。よって、検索部404は、匿名病理情報520ではヒットしない。
また、匿名遺伝子情報530には遺伝子カウンセラーが開示範囲に含まれる。よって、検索部404は、遺伝子検索用ID531が111の遺伝子暗号化ID532と遺伝子診断情報533とを検索結果(9)−3として抽出する。
図13では、(9)−1の暗号化個人情報513と、(9)−3の遺伝子診断情報533とが検索結果として出力される。
図13の(10)では、情報生成部405は、(9)−1の個人暗号化ID512と、(9)−3の遺伝子暗号化ID532との復号結果が全て111であれば、(9)−1の暗号化個人情報513と、(9)−3の遺伝子診断情報533とを結果情報71として結合する。
図13の(11)では、情報生成部405は、暗号化用の遺伝子カウンセラーの秘密鍵CKsを用いて、結果情報71を閲覧情報72に復号する。そして、情報生成部405は、閲覧情報72を遺伝子カウンセラーのユーザ装置600に送信する。
次に、図14を用いて、研究者がユーザとして管理装置500を検索する場合について説明する。図14の匿名病理情報520と匿名遺伝子情報530では、説明を分かり易くするために、ICがOKであるかNGであるかを表している。すなわち、ICがOKの場合は研究者が開示範囲として埋め込まれているが、ICがNGの場合は研究者が開示範囲として埋め込まれていない。
図14の(1)では、認証部401が、ユーザである研究者を認証する。
図14の(2),(3)では、ユーザである研究者が検索する検索キーとして病理診断を入力する。ユーザ装置600は、病理診断を含む検索要求を検索装置400に送信する。ここでは、研究者が検索したい病理診断として「かぜ」が入力されたものとする。
図14の(4),(5)では、具体的には、確定的暗号化部402は、公開鍵Kpと、研究者に対応する秘密鍵SKs,CKsとを、鍵管理装置200から取得する。なお、研究者が、匿名IDではなく、病理診断あるいは遺伝子診断を検索キーとして検索する場合には、公開鍵Kpは取得しなくてもよい。
図14の(6)では、検索部404は、「かぜ」を検索キーとして匿名病理情報520を検索する。検索部404は、病理診断情報523に「かぜ」を含む行を抽出する。抽出された行には、病理検索用ID521と病理暗号化ID522と病理診断情報523が含まれる。
図14の(6)では、検索部404は、秘匿検索ではなく、病理診断を検索キーとする単純な検索を実行している。よって、検索部404は、病理診断情報523に「かぜ」を含む行を全て抽出する。図14の(7)では、検索部404は、匿名ID’が222でICがNGの行と、匿名ID’が333でICがOKの行とを抽出している。
図14の(2),(3)では、ユーザである研究者が検索する検索キーとして病理診断を入力する。ユーザ装置600は、病理診断を含む検索要求を検索装置400に送信する。ここでは、研究者が検索したい病理診断として「かぜ」が入力されたものとする。
図14の(4),(5)では、具体的には、確定的暗号化部402は、公開鍵Kpと、研究者に対応する秘密鍵SKs,CKsとを、鍵管理装置200から取得する。なお、研究者が、匿名IDではなく、病理診断あるいは遺伝子診断を検索キーとして検索する場合には、公開鍵Kpは取得しなくてもよい。
図14の(6)では、検索部404は、「かぜ」を検索キーとして匿名病理情報520を検索する。検索部404は、病理診断情報523に「かぜ」を含む行を抽出する。抽出された行には、病理検索用ID521と病理暗号化ID522と病理診断情報523が含まれる。
図14の(6)では、検索部404は、秘匿検索ではなく、病理診断を検索キーとする単純な検索を実行している。よって、検索部404は、病理診断情報523に「かぜ」を含む行を全て抽出する。図14の(7)では、検索部404は、匿名ID’が222でICがNGの行と、匿名ID’が333でICがOKの行とを抽出している。
図14の(8)では、情報生成部405は、暗号化用の研究者の秘密鍵CKsで、抽出した行の匿名ID’(病理暗号化ID522)を復号する。このとき、図14の(8)−1のように、ICがNGの行の病理暗号化ID522には、研究者が埋め込まれていないため、匿名ID’を復号することはできない。また、図14の(8)−2では、ICがOKであり、病理暗号化ID522に研究者が埋め込まれているため、匿名ID’を復号することができる。
図14の(9)では、復号された匿名ID’である333が埋め込まれ、かつ、ユーザの属性情報として研究者が埋め込まれた検索クエリQが生成される。
図14の(10),(11)では、検索部404は、匿名ID’として333と、開示範囲として研究者とが埋め込まれた検索クエリQを用いて、匿名個人情報510と匿名遺伝子情報530を秘匿検索する。
匿名個人情報510には研究者が開示範囲に含まれない。よって、図14の(11)−1のように、検索部404は、匿名個人情報510ではヒットしない。
また、匿名遺伝子情報530にはICがOKの研究者が開示範囲に含まれる。よって、検索部404は、図14の(11)−2のように、遺伝子検索用ID531が333の行の遺伝子暗号化ID532と遺伝子診断情報533とを検索結果として抽出する。遺伝子検索用ID531が222の行は、ICがNGであり、遺伝子暗号化ID532に研究者が埋め込まれていないため、抽出されない。
図14では、(8)−1の病理診断情報523、(8)−2の病理暗号化ID522および病理診断情報523、および(11)−2の遺伝子暗号化ID532および遺伝子診断情報533が検索結果として出力される。
図14の(12)では、情報生成部405は、(8)−2の病理暗号化ID522と、(11)−2の遺伝子暗号化ID532との復号結果が等しければ、(8)−2の病理診断情報523と、(11)−2の遺伝子診断情報533とを結果情報71aとして結合する。(8)−1の病理診断情報523は匿名IDが不明であるため、他の情報と結合することはできない。
そして、検索装置400は、結果情報71と、(8)−1の病理診断情報523とを合わせて閲覧情報72aとして、研究者のユーザ装置600に送信する。
図14の(10),(11)では、検索部404は、匿名ID’として333と、開示範囲として研究者とが埋め込まれた検索クエリQを用いて、匿名個人情報510と匿名遺伝子情報530を秘匿検索する。
匿名個人情報510には研究者が開示範囲に含まれない。よって、図14の(11)−1のように、検索部404は、匿名個人情報510ではヒットしない。
また、匿名遺伝子情報530にはICがOKの研究者が開示範囲に含まれる。よって、検索部404は、図14の(11)−2のように、遺伝子検索用ID531が333の行の遺伝子暗号化ID532と遺伝子診断情報533とを検索結果として抽出する。遺伝子検索用ID531が222の行は、ICがNGであり、遺伝子暗号化ID532に研究者が埋め込まれていないため、抽出されない。
図14では、(8)−1の病理診断情報523、(8)−2の病理暗号化ID522および病理診断情報523、および(11)−2の遺伝子暗号化ID532および遺伝子診断情報533が検索結果として出力される。
図14の(12)では、情報生成部405は、(8)−2の病理暗号化ID522と、(11)−2の遺伝子暗号化ID532との復号結果が等しければ、(8)−2の病理診断情報523と、(11)−2の遺伝子診断情報533とを結果情報71aとして結合する。(8)−1の病理診断情報523は匿名IDが不明であるため、他の情報と結合することはできない。
そして、検索装置400は、結果情報71と、(8)−1の病理診断情報523とを合わせて閲覧情報72aとして、研究者のユーザ装置600に送信する。
***他の構成***
本実施の形態では、医療データ検索システム100の各装置の「部」の機能がソフトウェアで実現されるが、変形例として、医療データ検索システム100の各装置の「部」の機能がハードウェアで実現されてもよい。医療データ検索システム100の各装置は、プロセッサ901に替えて処理回路を備えていてもよい。
本実施の形態では、医療データ検索システム100の各装置の「部」の機能がソフトウェアで実現されるが、変形例として、医療データ検索システム100の各装置の「部」の機能がハードウェアで実現されてもよい。医療データ検索システム100の各装置は、プロセッサ901に替えて処理回路を備えていてもよい。
処理回路は、上述した各装置の「部」の機能を実現する専用の電子回路である。処理回路は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、または、FPGA(Field−Programmable Gate Array)である。
医療データ検索システム100の各装置の「部」の機能は、1つの処理回路で実現されてもよいし、複数の処理回路に分散して実現されてもよい。
別の変形例として、医療データ検索システム100の各装置の「部」の機能がソフトウェアとハードウェアとの組合せで実現されてもよい。即ち、各装置の一部の機能が専用のハードウェアで実現され、残りの機能がソフトウェアで実現されてもよい。
プロセッサ901、記憶装置920、および処理回路を、総称して「プロセッシングサーキットリー」という。つまり、医療データ検索システム100の各装置の「部」の機能は、プロセッシングサーキットリーにより実現される。
「部」を「工程」または「手順」または「処理」に読み替えてもよい。また、「部」の機能をファームウェアで実現してもよい。
***本実施の形態の効果の説明***
本実施の形態に係る医療データ検索システム100では、管理装置に記憶された個人情報および医療データに、開示範囲を埋め込みつつ秘匿検索技術により暗号化した匿名IDを対応付けている。よって、本実施の形態に係る医療データ検索システム100によれば、匿名IDを暗号化したままアクセス制御付きの秘匿検索をすることができる。よって、ユーザに応じて、データの部分的な開示、あるいは、データの部分的な連結が可能となる。また、鍵管理および暗号文管理も煩雑にならず、管理の負担を軽減することができる。
本実施の形態に係る医療データ検索システム100では、管理装置に記憶された個人情報および医療データに、開示範囲を埋め込みつつ秘匿検索技術により暗号化した匿名IDを対応付けている。よって、本実施の形態に係る医療データ検索システム100によれば、匿名IDを暗号化したままアクセス制御付きの秘匿検索をすることができる。よって、ユーザに応じて、データの部分的な開示、あるいは、データの部分的な連結が可能となる。また、鍵管理および暗号文管理も煩雑にならず、管理の負担を軽減することができる。
本実施の形態に係る医療データ検索システム100では、個人情報および医療データの開示範囲を設定した権限設定情報に基づいて、個人情報および医療データを管理装置に登録できる。よって、本実施の形態に係る医療データ検索システム100によれば、個人情報および医療データの開示範囲の変更が容易となる。
本実施の形態に係る医療データ検索システム100では、医療データを研究目的に使用して良いか否かを表すICに応じて情報を暗号化できる。よって、本実施の形態に係る医療データ検索システム100によれば、きめ細やかなアクセス制御が可能となる。
本実施の形態に係る医療データ検索システム100では、秘匿検索用及び復号用のどちらの匿名IDもアクセス制御付きの秘匿検索技術により暗号化している。よって、本実施の形態に係る医療データ検索システム100によれば、セキュリティ性が高く、かつ、的確なアクセス制御が可能となる。
また、本実施の形態では、医療データ検索システムは、鍵管理装置、個人情報登録装置、医療データ登録装置、検索装置、および管理装置を備え、各装置が1つのコンピュータである場合について説明した。しかし、例えば、鍵管理装置と個人情報登録装置とが1つのコンピュータであってもよい。また、検索装置と管理装置とが1つのコンピュータであってもよい。また、全ての装置が1つのコンピュータで実現されていても構わない。上記の実施の形態で説明した機能を実現することができれば、医療データ検索システムの各装置をどのように組み合わせて医療データ検索システムを構成しても構わない。
また、医療データ検索システムの各装置において、「部」として説明するもののうち、いずれか1つのみを採用してもよいし、いくつかの任意の組合せを採用してもよい。つまり、医療データ検索システムの各装置の機能ブロックは、上記の実施の形態で説明した機能を実現することができれば、任意である。これらの機能ブロックを、どのような組合せで各装置を構成しても構わない。
また、本実施の形態のうち、複数を部分的に組合せて実施しても構わない。あるいは、本実施の形態のうち、1つの発明を部分的に実施しても構わない。その他、本実施の形態を、全体としてあるいは部分的に、どのように組合せて実施しても構わない。
なお、上記の実施の形態は、本質的に好ましい例示であって、本発明、その適用物や用途の範囲を制限することを意図するものではなく、必要に応じて種々の変更が可能である。
なお、上記の実施の形態は、本質的に好ましい例示であって、本発明、その適用物や用途の範囲を制限することを意図するものではなく、必要に応じて種々の変更が可能である。
100 医療データ検索システム、200 鍵管理装置、210 確定的鍵記憶部、220 秘匿検索用鍵記憶部、230 暗号化用鍵記憶部、240 情報記憶部、241 権限設定情報、250 公開鍵情報送信部、251 公開鍵情報、260 鍵送信部、310 個人情報登録装置、311,321 公開鍵取得部、312,322,402 確定的暗号化部、313 個人検索用暗号化部、314 個人復号用暗号化部、315,325 登録部、320 医療データ登録装置、323 医療検索用暗号化部、324 医療復号用暗号化部、400 検索装置、401 認証部、403 検索クエリ生成部、404 検索部、405 情報生成部、406 鍵取得部、500 管理装置、600 ユーザ装置、51 個人情報記憶部、501 医療データ記憶部、52 病理情報記憶部、53 遺伝子情報記憶部、510 匿名個人情報、511 個人検索用ID、512 個人暗号化ID、513 暗号化個人情報、520 匿名病理情報、521 病理検索用ID、522 病理暗号化ID、523 病理診断情報、530 匿名遺伝子情報、531 遺伝子検索用ID、532 遺伝子暗号化ID、533 遺伝子診断情報、5011 医療検索用ID、5012 医療暗号化ID、610 医療データ検索方法、620 医療データ検索プログラム、71,71a 結果情報、72,72a 閲覧情報、901 プロセッサ、902 補助記憶装置、903 メモリ、904 通信装置、9041 レシーバー、9042 トランスミッター、905 入力インタフェース、906 出力インタフェース、907 入力装置、908 出力装置、911,912 ケーブル、S100 医療データ検索処理、S110 個人情報登録処理、S120 医療データ登録処理、S130 検索処理、Q 検索クエリ、Kp,SKp,CKp 公開鍵、Ks,SKs,CKs 秘密鍵。
Claims (12)
- 個人情報を識別する匿名ID(IDentifier)を、前記個人情報の開示範囲を埋め込んで暗号化した個人検索用IDであって秘匿検索に用いる個人検索用IDと、前記匿名IDおよび前記個人情報を、前記個人情報の開示範囲を埋め込んで暗号化した個人暗号化IDおよび暗号化個人情報とを記憶する個人情報記憶部と、
前記匿名IDを、前記個人情報に対応する医療データの開示範囲を埋め込んで暗号化した医療検索用IDであって秘匿検索に用いる医療検索用IDと、前記匿名IDを、前記医療データの開示範囲を埋め込んで暗号化した医療暗号化IDと、前記医療データとを記憶する医療データ記憶部と
を有する管理装置と、
ユーザから検索対象の匿名IDを検索匿名IDとして取得し、前記検索匿名IDを、前記ユーザの属性情報を埋め込んで暗号化した検索クエリを生成する検索クエリ生成部と、
前記検索クエリを用いて、前記個人検索用IDと前記医療検索用IDとに対して秘匿検索を実行し、前記ユーザの属性情報と前記個人情報の開示範囲と前記医療データの開示範囲とに基づいて得られた検索結果を出力する検索部と
を有する検索装置と
を備えた医療データ検索システム。 - 前記医療データ検索システムは、
秘匿検索用の公開鍵と、前記ユーザの属性情報が埋め込まれた秘匿検索用の秘密鍵とを記憶する秘匿検索用鍵記憶部と、
暗号化用の公開鍵と、前記ユーザの属性情報が埋め込まれた暗号化用の秘密鍵とを記憶する暗号化用鍵記憶部と、
前記個人情報の開示範囲と前記医療データの開示範囲とを含む権限設定情報を記憶する情報記憶部と、
前記秘匿検索用の公開鍵と、前記暗号化用の公開鍵と、前記権限設定情報とを含む公開鍵情報を送信する公開鍵情報送信部と
を有する鍵管理装置を備えた請求項1に記載の医療データ検索システム。 - 前記医療データ検索システムは、
前記公開鍵情報に含まれる前記秘匿検索用の公開鍵と前記権限設定情報とを用いて、前記個人情報の開示範囲を埋め込んで、前記匿名IDを前記個人検索用IDとして暗号化する個人検索用暗号化部と、
前記公開鍵情報に含まれる前記暗号化用の公開鍵と前記権限設定情報とを用いて、前記個人情報の開示範囲を埋め込んで、前記個人情報および前記匿名IDを前記暗号化個人情報および前記個人暗号化IDとして暗号化する個人復号用暗号化部と
を有する個人情報登録装置を備えた請求項2に記載の医療データ検索システム。 - 前記医療データ検索システムは、
前記公開鍵情報に含まれる前記秘匿検索用の公開鍵と前記権限設定情報とを用いて、前記医療データの開示範囲を埋め込んで、前記匿名IDを前記医療検索用IDとして暗号化する医療検索用暗号化部と、
前記公開鍵情報に含まれる前記暗号化用の公開鍵と前記権限設定情報とを用いて、前記医療データの開示範囲を埋め込んで、前記匿名IDを前記医療暗号化IDとして暗号化する医療復号用暗号化部と
を有する医療情報登録装置を備えた請求項2または3に記載の医療データ検索システム。 - 前記検索クエリ生成部は、
前記秘匿検索用の秘密鍵を用いて、前記ユーザの属性情報が埋め込まれた前記検索クエリを生成する請求項2から4のいずれか1項に記載の医療データ検索システム。 - 前記検索部は、
前記検索クエリに埋め込まれた前記ユーザの属性情報が前記個人情報の開示範囲を満たす前記個人検索用IDに対応する前記個人暗号化IDと前記暗号化個人情報とを、前記検索結果として出力する請求項5に記載の医療データ検索システム。 - 前記検索部は、
前記検索クエリに埋め込まれた前記ユーザの属性情報が前記医療データの開示範囲を満たす前記医療検索用IDに対応する前記医療暗号化IDと前記医療データを、前記検索結果として出力する請求項5または6に記載の医療データ検索システム。 - 前記医療データ記憶部は、
前記匿名IDを暗号化した前記医療検索用IDであって前記医療データを研究目的に使用して良いか否かを表す前記医療検索用IDと、前記匿名IDを暗号化した前記医療暗号化IDであって前記医療データを研究目的に使用して良いか否かを表す前記医療暗号化IDと、前記医療データとを記憶する請求項7に記載の医療データ検索システム。 - 前記医療データ検索システムは、
前記検索結果として出力された前記個人暗号化IDと前記医療暗号化IDとを復号し、前記個人暗号化IDと前記医療暗号化IDとの復号結果が等しい場合に、前記検索結果として出力された前記暗号化個人情報と前記医療データとを結果情報として結合する情報生成部を備えた請求項7または8に記載の医療データ検索システム。 - 前記情報生成部は、
前記暗号化用の秘密鍵を用いて、前記結果情報を閲覧情報に復号する請求項9に記載の医療データ検索システム。 - 管理装置の個人情報記憶部が、個人情報を識別する匿名ID(IDentifier)を、前記個人情報の開示範囲を埋め込んで暗号化した個人検索用IDであって秘匿検索に用いる個人検索用IDと、前記匿名IDおよび前記個人情報を、前記個人情報の開示範囲を埋め込んで暗号化した個人暗号化IDおよび暗号化個人情報とを記憶し、
管理装置の医療データ記憶部が、前記匿名IDを、前記個人情報に対応する医療データの開示範囲を埋め込んで暗号化した医療検索用IDであって秘匿検索に用いる医療検索用IDと、前記匿名IDを、前記医療データの開示範囲を埋め込んで暗号化した医療暗号化IDと、前記医療データとを記憶し、
検索装置の検索クエリ生成部が、ユーザから検索対象の匿名IDを検索匿名IDとして取得し、前記検索匿名IDを、前記ユーザの属性情報を埋め込んで暗号化した検索クエリを生成し、
検索装置の検索部が、前記検索クエリを用いて、前記個人検索用IDと前記医療検索用IDとに対して秘匿検索を実行し、前記ユーザの属性情報と前記個人情報の開示範囲と前記医療データの開示範囲とに基づいて得られた検索結果を出力する医療データ検索方法。 - 個人情報を識別する匿名ID(IDentifier)を、前記個人情報の開示範囲を埋め込んで暗号化した個人検索用IDであって秘匿検索に用いる個人検索用IDと、前記匿名IDおよび前記個人情報を、前記個人情報の開示範囲を埋め込んで暗号化した個人暗号化IDおよび暗号化個人情報とを記憶する個人情報記憶部と、
前記匿名IDを、前記個人情報に対応する医療データの開示範囲を埋め込んで暗号化した医療検索用IDであって秘匿検索に用いる医療検索用IDと、前記匿名IDを、前記医療データの開示範囲を埋め込んで暗号化した医療暗号化IDと、前記医療データとを記憶する医療データ記憶部と
を検索する検索装置の医療データ検索プログラムにおいて、
ユーザから検索対象の匿名IDを検索匿名IDとして取得し、前記検索匿名IDを、前記ユーザの属性情報を埋め込んで暗号化した検索クエリを生成する検索クエリ生成処理と、
前記検索クエリを用いて、前記個人検索用IDと前記医療検索用IDとに対して秘匿検索を実行し、前記ユーザの属性情報と前記個人情報の開示範囲と前記医療データの開示範囲とに基づいて得られた検索結果を出力する秘匿検索処理と
をコンピュータである検索装置に実行させる医療データ検索プログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017180966A JP6619401B2 (ja) | 2017-09-21 | 2017-09-21 | データ検索システム、データ検索方法およびデータ検索プログラム |
| US16/647,857 US20200218826A1 (en) | 2017-09-21 | 2018-09-04 | Data searching system, data searching method and computer readable medium |
| PCT/JP2018/032706 WO2019058952A1 (ja) | 2017-09-21 | 2018-09-04 | 医療データ検索システム、医療データ検索方法および医療データ検索プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017180966A JP6619401B2 (ja) | 2017-09-21 | 2017-09-21 | データ検索システム、データ検索方法およびデータ検索プログラム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2019057822A true JP2019057822A (ja) | 2019-04-11 |
| JP2019057822A5 JP2019057822A5 (ja) | 2019-09-19 |
| JP6619401B2 JP6619401B2 (ja) | 2019-12-11 |
Family
ID=65810700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017180966A Active JP6619401B2 (ja) | 2017-09-21 | 2017-09-21 | データ検索システム、データ検索方法およびデータ検索プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20200218826A1 (ja) |
| JP (1) | JP6619401B2 (ja) |
| WO (1) | WO2019058952A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022107406A1 (ja) * | 2020-11-17 | 2022-05-27 | 株式会社日立製作所 | 情報処理システム、情報処理方法及び計算機 |
| WO2024090585A1 (ja) * | 2022-10-28 | 2024-05-02 | 京セラ株式会社 | 解析装置、解析方法、解析プログラム及び記録媒体 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11477182B2 (en) * | 2019-05-07 | 2022-10-18 | International Business Machines Corporation | Creating a credential dynamically for a key management protocol |
| CN110929292B (zh) * | 2019-12-10 | 2022-04-26 | 清华大学 | 一种医疗数据的搜索方法及装置 |
| US11983286B2 (en) * | 2020-04-13 | 2024-05-14 | Ketch Kloud, Inc. | Managing queries with data processing permits |
| CN116502254B (zh) * | 2023-06-29 | 2023-09-19 | 极术(杭州)科技有限公司 | 可查得统计的匿踪查询方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5412414B2 (ja) * | 2010-12-08 | 2014-02-12 | 株式会社日立製作所 | 検索可能暗号処理システム |
-
2017
- 2017-09-21 JP JP2017180966A patent/JP6619401B2/ja active Active
-
2018
- 2018-09-04 WO PCT/JP2018/032706 patent/WO2019058952A1/ja active Application Filing
- 2018-09-04 US US16/647,857 patent/US20200218826A1/en not_active Abandoned
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022107406A1 (ja) * | 2020-11-17 | 2022-05-27 | 株式会社日立製作所 | 情報処理システム、情報処理方法及び計算機 |
| AU2021384046B2 (en) * | 2020-11-17 | 2023-10-05 | Hitachi, Ltd. | Information processing system, information processing method, and computer |
| WO2024090585A1 (ja) * | 2022-10-28 | 2024-05-02 | 京セラ株式会社 | 解析装置、解析方法、解析プログラム及び記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200218826A1 (en) | 2020-07-09 |
| WO2019058952A1 (ja) | 2019-03-28 |
| JP6619401B2 (ja) | 2019-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6619401B2 (ja) | データ検索システム、データ検索方法およびデータ検索プログラム | |
| Sun et al. | Blockchain-based secure storage and access scheme for electronic medical records in IPFS | |
| US10454901B2 (en) | Systems and methods for enabling data de-identification and anonymous data linkage | |
| Ayday et al. | Privacy-preserving processing of raw genomic data | |
| EP3096245B1 (en) | Retrievable cryptograph processing system and retrievable cryptograph processing method | |
| Salam et al. | Implementation of searchable symmetric encryption for privacy-preserving keyword search on cloud storage | |
| US10013575B2 (en) | Method to manage raw genomic data in a privacy preserving manner in a biobank | |
| US10361840B2 (en) | Server apparatus, search system, terminal apparatus, search method, non-transitory computer readable medium storing server program, and non-transitory computer readable medium storing terminal program | |
| US20150302148A1 (en) | Method and system for securing electronic health records | |
| EP2743842A1 (en) | Secure search processing system and secure search processing method | |
| EP2778952A1 (en) | Database device, method and program | |
| Sharma et al. | RSA based encryption approach for preserving confidentiality of big data | |
| JP2017022697A (ja) | リレーショナル暗号化を利用する同等性確認方法、コンピュータプログラム及び記憶媒体 | |
| JP6925686B1 (ja) | 情報処理システム、情報処理装置、情報処理方法、および、情報処理プログラム | |
| US11595209B2 (en) | Information processing system, information processing method, and information processing apparatus | |
| Ribeiro et al. | XDS-I outsourcing proxy: ensuring confidentiality while preserving interoperability | |
| JP6961324B2 (ja) | 検索可能暗号処理システム | |
| Niu et al. | A data-sharing scheme that supports multi-keyword search for electronic medical records | |
| Chhabra et al. | Obfuscated AES cryptosystem for secure medical imaging systems in IoMT edge devices | |
| Ayday | Cryptographic solutions for genomic privacy | |
| EP3410630B1 (en) | General data protection method for multicentric sensitive data storage and sharing | |
| Abouakil et al. | Data models for the pseudonymization of DICOM data | |
| JP7132506B2 (ja) | 秘密情報検索システム、秘密情報検索プログラム、および秘密情報検索方法 | |
| JP6381861B2 (ja) | 登録先決定装置、登録装置、秘匿検索システム、登録先決定方法及び登録先決定プログラム | |
| Ray et al. | Preserving healthcare data: from traditional encryption to cognitive deep learning perspective |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190806 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190806 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191029 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191114 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6619401 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |