以下、図面を参照しながら、匿名化装置、および匿名化システムの実施形態について詳細に説明する。
(第1の実施形態)
図1は、第1の実施形態に係る匿名化システムS1の全体構成の一例を示す図である。図1に示すように、匿名化システムS1は、匿名化装置100と、医用画像診断装置200と、情報処理装置300a,300b(以下、特に区別しない場合には単に情報処理装置300という)とを備える。匿名化装置100と、医用画像診断装置200とは、病院内に設置され、例えば、院内LAN(Local Area Network)等のネットワークによって接続している。
なお、匿名化システムS1は、医用画像診断装置200を含まなくとも良い。あるいは、匿名化システムS1は、情報処理装置300を含まなくとも良い。また、匿名化システムS1は、医療用画像管理システム(Picture Archiving and Communication Systems:PACS)等の医療用画像管理をさらに含む構成であっても良い。
また、情報処理装置300は、病院外に設けられ、匿名化装置100とインターネット等のネットワークによって接続している。情報処理装置300は、例えば、院外医師30aや、医療機器メーカーの技術者30bによって使用される。院外医師30aや、医療機器メーカーの技術者30bを、情報処理装置300のユーザともいう。情報処理装置300は、例えば、PC(Personal Computer)またはタブレット端末等である。情報処理装置300は、外部装置の一例である。
医用画像診断装置200は、患者の医用画像を撮像する装置であり、例えば、MRI(Magnetic Resonance Imaging)装置、X線CT(Computed Tomography)装置、X線診断装置、超音波診断装置、PET(Positron Emission Tomography)装置、SPECT(Single Photon Emission Computed Tomography)装置等であるが、これらに限定されるものではない。医用画像診断装置200は、モダリティともいう。
医用画像診断装置200は、撮像した医用画像40に、付帯情報41を対応付けて、匿名化装置100に送信する。
付帯情報41は、医用画像40に付帯する情報であり、該医用画像40を撮像した医用画像診断装置200によって生成される。付帯情報41は、複数の属性情報を含む。属性情報は、医用画像40または医用画像40の撮像対象の患者に関する情報である。複数の属性情報の中には、例えば、医用画像40の被写体である患者の患者氏名や患者ID等の個人情報が含まれる場合がある。
本実施形態においては、医用画像40および該医用画像40に対応付けられた付帯情報41は、DICOM(Digital Imaging and Communication in Medicine)規格に準拠したデータ形式とするが、データ形式はこれに限定されるものではない。また、本実施形態においては、医用画像40と、該医用画像40に対応付けられた付帯情報41とを総称する場合は、医用情報400という。
図2は、本実施形態に係る医用情報400の内容の一例を示す図である。図2に示すように、医用情報400は、医用画像40と、付帯情報41とが対応付けられている。
医用情報400に含まれる医用画像40および付帯情報に含まれる複数の属性情報の各々は、「データ要素」という。図2では、1レコードが1データ要素を示す。また、付帯情報に含まれる個々の「データ要素」のそれぞれは、属性情報である。付帯情報41は、換言すれば、属性情報の集合である。また、個々のデータ要素は、DICOM規格に定義された「タグ番号」で識別される。このため、データ要素のことを「タグ」ともいう。
また、各タグ番号には、「タグ名称」(Attribute Name)が対応付けられている。タグ名称は、各タグ番号が付与されたデータ要素の説明である。また、図2に示す「値」は、タグに格納されるデータ本体である。例えば、図2に示すように、タグ番号(0010,0010)は「患者氏名」が入力されるタグであり、値としては“Taro Yamada”等の患者氏名の文字列が入力される。
なお、医用画像診断装置200の設定等に応じて、値が登録されるタグ番号が異なるため、各タグ番号に対応する値が必ず設定されているとは限らない。例えば、タグ番号(0010,1010)の“患者の年齢”の値は、nullの場合がある。
また、医用画像40は、タグ番号(7FE0,0010)の「画素データ(ピクセルデータ)」として、医用情報400に含まれる。
なお、図2に記載の医用情報400の内容は一例であり、これに限定されるものではない。また、医用情報400は、DICOM規格に定義された他の項目等をさらに含むものとしても良い。
図1に戻り、匿名化装置100は、医用画像診断装置200から取得した医用情報400を、医用画像40の利用目的に応じて匿名化する。匿名化装置100は、例えば、PCまたはサーバ装置等である。
本実施形態において、匿名化とは、付帯情報に含まれる属性情報の値を変換または削除することにより、元の値を特定できない状態にすることである。
より具体的には、匿名化装置100は、医用画像40の利用目的に応じて、医用画像40に対応付けられた付帯情報41に含まれる複数の属性情報の中から、匿名化の対象となる1以上の属性情報を特定し、該1以上の属性情報を匿名化する。
本実施形態においては、匿名化装置100による匿名化された1以上の属性情報を含む付帯情報を、匿名化済付帯情報42という。また、本実施形態においては、医用画像40と、該医用画像40に対応付けられた匿名化済付帯情報42とを総称する場合、匿名化済医用情報401という。また、匿名化済付帯情報42が対応付けられた医用画像40を、匿名化後の医用画像40という。
また、匿名化装置100は、匿名化済医用情報401を、院外医師30aやメーカーの技術者30bに提供する。例えば、病院が、院外医師30aや医療機器メーカーの技術者30bに、医用画像診断装置200で撮像された医用画像40を用いた解析や診断(スクリーニング)を依頼する場合がある。このような場合、匿名化装置100は、医用画像40の医用目的および要求される匿名化レベルに応じて、医用画像40に付帯する付帯情報の一部または全部を匿名化した上で、病院から院外医師30aや医療機器のメーカーの技術者30bに医用画像40と匿名化済付帯情報42とを提供する。なお、本実施形態においては、解析や診断を総称して、臨床解析という。
例えば、匿名化装置100が匿名化済医用情報401を、情報処理装置300a,300bに送信することにより、情報処理装置300a,300bのユーザである院外医師30aやメーカーの技術者30bが、匿名化済医用情報401を利用可能となる。
また、情報処理装置300は、例えば、匿名化済医用情報401に基づいて医用画像40の臨床解析を行なうための複数の解析用アプリケーション(以下、単にアプリという)を備える。図1では、情報処理装置300が備えるアプリの例として、アプリA、アプリB、アプリCを示す。各アプリはそれぞれ異なる臨床解析を目的としており、例えば、アプリAは心機能解析、アプリBは冠動脈解析、アプリCは脳血流解析を目的とする。
次に、図3を用いて、本実施形態に係る匿名化装置100および情報処理装置300の機能の詳細を説明する。図3は、本実施形態に係る匿名化装置100および情報処理装置300の構成の一例を示す図である。
図3に示すように、本実施形態の匿名化装置100は、NW(Network)インタフェース110と、記憶回路120と、入力インタフェース130と、ディスプレイ140と、処理回路150とを備える。
NWインタフェース110は、処理回路150に接続されており、匿名化装置100と、医用画像診断装置200または情報処理装置300との間で行われる各種データの伝送および通信を制御する。具体的には、NWインタフェース110は、匿名化装置100と医用画像診断装置200との間で院内LAN等のネットワークN2を介して行われる各種データの伝送および通信を制御する。また、NWインタフェース110は、匿名化装置100と情報処理装置300との間でインターネット等のネットワークN2を介して行われる各種データの伝送および通信を制御する。NWインタフェース110は、例えば、ネットワークカードやネットワークアダプタ、NIC(Network Interface Controller)等によって実現される。
記憶回路120は、処理回路150で使用される各種の情報を予め記憶する。本実施形態においては、記憶回路120は、利用目的別重要度情報と、レベル定義情報とを記憶する。利用目的別重要度情報とレベル定義情報の詳細については後述する。また、記憶回路120は、各種のプログラムを記憶する。記憶回路120は、記憶部の一例である。
入力インタフェース130は、例えば、マウス、キーボード、トラックボール、スイッチボタン、操作面へ触れることで入力操作を行うタッチパッド、表示画面とタッチパッドとが一体化されたタッチスクリーン、光学センサを用いた非接触入力回路、または音声入力回路等であり、操作者からの各種の入力操作を受け付け、受け付けた入力操作を電気信号に変換して処理回路150に出力する。なお、本明細書において入力インタフェース130はマウス、キーボードなどの物理的な操作部品を備えるものだけに限られない。例えば、匿名化装置100とは別体に設けられた外部の入力機器から入力操作に対応する電気信号を受け取り、この電気信号を処理回路150へ出力する電気信号の処理回路も入力インタフェース130の例に含まれる。
ディスプレイ140は、例えば、液晶ディスプレイ(LCD:Liquid Crystal Display)、有機ELディスプレイ(OEL:Organic Electro-Luminescence)等である。ディスプレイ140は、表示部の一例である。
処理回路150は、記憶回路120からプログラムを読み出し、実行することで各プログラムに対応する機能を実現するプロセッサである。本実施形態の処理回路150は、表示制御機能151と、取得機能152と、第1の特定機能153と、匿名化処理機能154と、送信機能155とを備える。表示制御機能151は、表示制御部の一例である。取得機能152は、取得部の一例である。なお、取得機能152を、受付機能と称し、受付部の一例としても良い。第1の特定機能153は、第1の特定部の一例である。また、第1の特定機能153を単に特定機能と称し、特定部の一例としても良い。匿名化処理機能154は、匿名化処理部の一例である。送信機能155は、送信部の一例である。
ここで、例えば、処理回路150の構成要素である表示制御機能151と、取得機能152と、第1の特定機能153と、匿名化処理機能154と、送信機能155とは、コンピュータによって実行可能なプログラムの形態で記憶回路120に記憶されている。処理回路150は、各プログラムを記憶回路120から読み出し、読み出した各プログラムを実行することで、各プログラムに対応する機能を実現する。換言すると、各プログラムを読み出した状態の処理回路150は、図3の処理回路150内に示された各機能を有することとなる。なお、図3においては、単一の処理回路150にて、表示制御機能151、取得機能152、第1の特定機能153、匿名化処理機能154、および送信機能155の各処理機能が実現されるものとして説明したが、複数の独立したプロセッサを組み合わせて処理回路150を構成し、各プロセッサが各プログラムを実行することにより各処理機能を実現するものとしても良い。
表示制御機能151は、利用目的および匿名化レベルの入力画面を、ディスプレイ140に表示する。
図4は、本実施形態に係る入力画面90の一例を示す図である。入力画面90は、提供先における匿名化後の医用画像40の利用目的と、要求される匿名化レベルとをユーザが入力可能な画面である。
図4に示す例では、入力画面90は、目的入力欄91と、匿名化レベル入力欄92とを有する。目的入力欄91には、ユーザがいずれか1つの利用目的を選択可能なチェックボックスが設けられている。また、匿名化レベル入力欄92には、匿名化レベルの高さをユーザが設定可能なメーターが設けられている。
利用目的は、匿名化後の医用画像40の提供先における該医用画像40を利用する目的または用途である。利用目的は、例えば、心機能解析、冠動脈解析、脳血流解析等であるが、これらに限定されるものではない。
匿名化レベルは、医用画像40を外部に提供するにあたって要求される匿名化の高さの度合を表す。匿名化レベルが高いほど、匿名化の対象となる付帯情報の数が多くなる。例えば、本実施形態においては、匿名化レベルは“1”、“2”、“3”、“Max”の5段階で定義される。匿名化レベルが“1”、“2”、“3”、“Max”の順に高くなるほど、匿名化の対象となる付帯情報の数が多くなる。なお、図4に示す匿名化レベルの単位や表現形式はこれに限定されるものではない。
本実施形態において、匿名化レベルは、ユーザによって任意に設定可能である。匿名化レベルは、例えば、提供先に応じて異なるものとしても良いし、提供対象の医用画像40によって異なるものとしても良い。また、匿名化レベルは、法規または病院のガイドライン等によって定められるものとしても良い。なお、匿名化レベルが提供先名によって特定可能な場合は、表示制御機能151は、入力画面90に、提供先名を入力または選択可能な欄を設けても良い。
取得機能152は、ネットワークN2およびNWインタフェース110を介して、医用画像診断装置200から、医用情報400、すなわち医用画像40および該医用画像40に対応付けられた付帯情報41を取得し、記憶回路120に保存する。
また、取得機能152は、医用情報400を院外医師30aや医療機器メーカーの技術者30b等に提供するにあたって要求される匿名化レベルと、提供先における匿名化後の医用画像40の利用目的とを取得する。
例えば、取得機能152は、ユーザによって入力画面90に入力された利用目的と匿名化レベルとを、入力インタフェース130を介して受け付ける。匿名化装置100のユーザは、例えば、匿名化装置100が設置された病院内の医師や職員等であるが、これらに限定されるものではない。取得機能152は、取得した利用目的と匿名化レベルとを、第1の特定機能153に送出する。
なお、本実施形態において、「取得機能152が利用目的を取得する」という場合、取得機能152が直接的に利用目的を取得する場合だけではなく、取得機能152が利用目的を特定可能な情報を取得する場合も含むものとする。例えば、アプリと利用目的とが1対1の関係で対応する場合、取得機能152は、アプリの識別情報を、利用目的を特定可能な情報として取得しても良い。
また、取得機能152は、入力インタフェース130を介して、ユーザから入力された匿名化処理の開始の指示を取得する。取得機能152は、匿名化処理の開始の指示を取得した場合、表示制御機能151に、当該指示を取得したことを通知する。
第1の特定機能153は、取得機能152によって取得された利用目的に応じて、医用画像40に対応付けられた付帯情報41に含まれる複数の属性情報の中から、1以上の属性情報を特定する。第1の特定機能153によって特定される1以上の属性情報は、匿名化対象の属性情報である。
より詳細には、第1の特定機能153は、匿名化対象情報に基づいて、取得機能152によって取得された利用目的に対応付けられた1以上の属性情報を特定する。そして、第1の特定機能153は、特定した該1以上の属性情報に基づいて、医用画像40に対応付けられた付帯情報41に含まれる複数の属性情報の中から、匿名化対象の1以上の属性情報を特定する。
匿名化対象情報は、複数の利用目的ごとに1以上の属性情報が対応付けられている。より詳細には、匿名化対象情報は、複数の利用目的と複数の匿名化レベルとが1対1で対応付けられた複数の組み合わせの各々に、1以上の属性情報が対応付けられている。
具体的には、本実施形態においては、第1の特定機能153は、利用目的別重要度情報と、レベル定義情報とに基づいて、取得機能152により取得された利用目的と匿名化レベルとの組み合わせに対応する1以上の属性情報を特定する。
利用目的別重要度情報とレベル定義情報は、本実施形態における匿名化対象情報の一例である。ここで、図5、6を用いて、利用目的別重要度情報とレベル定義情報について説明する。
図5は、本実施形態に係る利用目的別重要度情報121の一例を示す図である。図5に示すように、利用目的別重要度情報121は、複数の属性情報のタグ番号およびタグ名称と、利用目的別の重要度とが対応付けられている。
利用目的別の重要度は、医用画像40を各利用目的に基づいて利用する場合における複数の属性情報の各々の重要度である。
例えば、利用目的が“心機能解析”である場合、タグ番号(0010,0010)によって特定される属性情報“患者氏名”の重要度は“低”である。これは、院外医師30aや医療機器メーカーの技術者30bが医用画像40を心機能解析に利用する場合に、“患者氏名”があまり重要ではないことを示している。また、利用目的が“心機能解析”である場合、タグ番号(0018,9118)によって特定される属性情報“心電同期シーケンス”の重要度は“高”である。これは、院外医師30aや医療機器メーカーの技術者30bが医用画像40を心機能解析に利用する場合に、“心電同期シーケンス”の重要度が高いことを示している。
例えば、各利用目的において、「参考程度の情報として使用される場合はあるが、匿名化されても臨床解析に支障がない属性情報」の重要度は“低”、「任意の情報として使用される場合はあるが、臨床解析において必須ではない属性情報」の重要度は“中”、「臨床解析において有用であり、基本的に必須となる属性情報」は“高”となる。なお、利用目的別の重要度の定義は、図5に示す例に限定されるものではなく、例えば、重要度の度合の高さが数値で定義されても良い。また、特に臨床解析に必須の属性情報については、“高”よりも高い重要度がさらに設定されても良い。
各属性情報の重要度は、利用目的によって異なる。例えば、利用目的が“心機能解析”である場合には、“心電同期シーケンス”の重要度は“高”であるが、利用目的が“脳血流解析”である場合には、“心電同期シーケンス”の重要度は“低”である。このような重要度の違いは、各利用目的によって、院外医師30aや医療機器メーカーの技術者30b等に必要とされる属性情報の種類が異なるために生じる。一例として、各利用目的によって、院外医師30aや医療機器メーカーの技術者30b等が使用する臨床解析用のアプリが異なり、各アプリで使用される属性情報の種類が異なることにより、利用目的ごとに属性情報の重要度に差異が生じる。
図6は、本実施形態に係るレベル定義情報122の一例を示す図である。図6に示すように、レベル定義情報122は、匿名化レベルと、匿名化対象の属性情報を特定する情報とが対応付けられている。
匿名化対象の属性情報を特定する情報は、各匿名化レベルがユーザに設定された場合に匿名化の対象となる属性情報を特定可能な情報であり、本実施形態においては、図6に示すように、匿名化の対象となる属性情報の重要度である。
具体的には、匿名化レベルが“1”の場合は、重要度が“低”の属性情報が匿名化の対象となる。匿名化レベルが“2”の場合は、重要度が“低”から“中”の属性情報が匿名化の対象となる。匿名化レベルが“3”の場合は、重要度が“低”から“高”の属性情報が匿名化の対象となる。匿名化レベルが“Max”の場合は、全ての属性情報が匿名化の対象となる。図6に記載の重要度は、図5で説明した利用目的別の重要度である。すなわち、利用目的別重要度情報121およびレベル定義情報122に登録された内容によって、取得機能152により取得された利用目的と匿名化レベルとの組み合わせに応じた匿名化対象の属性情報が特定可能となる。
第1の特定機能153は、特定した1以上の属性情報を、匿名化処理機能154に送出する。より詳細には、第1の特定機能153は、特定した1以上の属性情報を特定可能な1以上のタグ番号を、匿名化処理機能154に送出する。本実施形態においては、第1の特定機能153によって匿名化対象として特定された属性情報を匿名化対象の属性情報という。また、第1の特定機能153によって匿名化対象として特定されていない属性情報を、匿名化対象外の属性情報という。
なお、図5、6では、利用目的別重要度情報121と、レベル定義情報122とを2つのテーブルに分ける構成を例示したが、利用目的別重要度情報121と、レベル定義情報122とが1つのテーブルに統合される構成であっても良い。
図3に戻り、匿名化処理機能154は、第1の特定機能153によって特定された1以上の属性情報を匿名化する。例えば、匿名化処理機能154は、第1の特定機能153から取得したタグ番号に基づいて、記憶回路120から、匿名化対象の属性情報の値を読み出し、読み出した値を、匿名化前の値を特定できない値に変換する。匿名化処理機能154は、ハッシュ関数等を用いて変換処理を実行しても良いし、所定の文字列に置換しても良い。また、匿名化処理機能154は、匿名化対象の属性情報の値を削除しても良い。
本実施形態においては、匿名化の手法は、属性情報によってそれぞれ異なるものとする。例えば、属性情報のタグ番号と、該属性情報の匿名化の手法とを対応付けた匿名化方法の情報が、記憶回路120に予め保存されていても良い。あるいは、属性情報のタグ番号と、該属性情報の匿名化の手法とを対応付けた情報は、匿名化処理機能154の処理内に予め定義されていても良い。
図7は、本実施形態に係る匿名化前後の付帯情報の一例を示す図である。図7に示す例では、ユーザによって利用目的“心機能解析”、匿名化レベル“2”が選択されたものとする。
この場合、図5の利用目的別重要度情報121の設定では、タグ番号(0018,9118)の“心臓同期シーケンス”およびタグ番号(0008,0030)の“スキャン時刻”は重要度が“高”となり、タグ番号(0010,0040)の“性別”は重要度が“低”となる。また、図6のレベル定義情報122の設定では、重要度が“低”から“中”の付帯情報が匿名化の対象となる。
このため、図7に示す例では、タグ番号(0010,0040)の“性別”が匿名化の対象となる。匿名化前の“性別”の値は、“男性”を示す“M”である。匿名化処理機能154は、“性別”の値を、“その他”を示す“O”に変換することにより、“性別”を匿名化する。
匿名化処理機能154は、匿名化済医用情報401を、送信機能155に送出する。具体的には、匿名化処理機能154は、医用画像40と、匿名化した1以上の属性情報を含む匿名化済付帯情報42とを対応付けて送信機能155に送出する。
匿名化済付帯情報42においては、第1の特定機能153によって匿名化対象として特定された属性情報が匿名化処理機能154によって匿名化された状態であり、第1の特定機能153によって匿名化対象として特定されていない属性情報は匿名化されていない状態である。
図3に戻り、送信機能155は、匿名化済医用情報401を、情報処理装置300に送信する。より詳細には、送信機能155は、医用画像40と、匿名化済付帯情報42とを対応付けて情報処理装置300に送信する。
次に、本実施形態の情報処理装置300の構成について説明する。図3に示すように、情報処理装置300は、NWインタフェース310と、記憶回路320と、入力インタフェース330と、ディスプレイ340と、処理回路350とを備える。
処理回路350は、記憶回路320からプログラムを読み出し、実行することで各プログラムに対応する機能を実現するプロセッサである。本実施形態の処理回路350は、受信機能351と、表示制御機能352と、第1の解析機能353aと、第2の解析機能353bと、第3の解析機能353cとを備える。受信機能351は、受信部の一例である。表示制御機能352は、表示制御部の一例である。第1の解析機能353a、第2の解析機能353b、第3の解析機能353c(以下、特に区別しない場合は単に解析機能353という)は、解析部の一例である。
受信機能351は、匿名化装置100から、匿名化済医用情報401を受信する。より詳細には、受信機能351は、匿名化装置100から、医用画像40と、該医用画像40に対応付けられた匿名化済付帯情報42とを受信する。また、表示制御機能352は、医用画像40、解析機能353による解析結果、または各種の操作画面等をディスプレイ340に表示する。
また、第1の解析機能353a、第2の解析機能353b、第3の解析機能353cは、それぞれ、図1に示したアプリA、アプリB、アプリCによって実行される機能であり、匿名化装置100から送信された医用画像40および匿名化済付帯情報42を臨床解析する。なお、情報処理装置300が備える解析用アプリケーションおよび解析機能353の数および種類は、図1、3に記載の例に限定されるものではない。
例えば、処理回路350の各構成要素は、コンピュータによって実行可能なプログラムの形態で記憶回路320に記憶されている。処理回路350は、各プログラムを記憶回路320から読み出し、読み出した各プログラムを実行することで、各プログラムに対応する機能を実現する。なお、処理回路350の各構成要素は、単一の処理回路350にて実現されても良いし、複数の独立したプロセッサによって実現されても良い。
上記匿名化装置100および情報処理装置300についての説明において用いた「プロセッサ」という文言は、例えば、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、或いは、特定用途向け集積回路(Application Specific Integrated Circuit:ASIC)、プログラマブル論理デバイス(例えば、単純プログラマブル論理デバイス(Simple Programmable Logic Device:SPLD)、複合プログラマブル論理デバイス(Complex Programmable Logic Device:CPLD)、およびフィールドプログラマブルゲートアレイ(Field Programmable Gate Array:FPGA))等の回路を意味する。なお、記憶回路120または記憶回路320にプログラムを保存する代わりに、プロセッサの回路内にプログラムを直接組み込むように構成しても構わない。この場合、プロセッサは回路内に組み込まれたプログラムを読み出し実行することで機能を実現する。
次に、以上のように構成された匿名化装置100で実行される匿名化処理の流れを説明する。図8は、本実施形態に係る匿名化処理の流れの一例を示すフローチャートである。
まず、取得機能152は、ネットワークN2およびNWインタフェース110を介して、医用画像診断装置200から医用情報400(すなわち、医用画像40および該医用画像40に対応付けられた付帯情報41)を取得する(S1)。取得機能152は、取得した医用情報400を記憶回路120に保存する。
次に、取得機能152は、ユーザから匿名化処理の開始の指示を取得したか否かを判断する(S2)。取得機能152は、匿名化処理の開始の指示を取得していないと判断した場合(S2“No”)、S2の処理を繰り返して、ユーザから指示が入力されることを待機する。
また、取得機能152は、匿名化処理の開始の指示を取得したと判断した場合(S2“Yes”)、表示制御機能151に、当該指示を取得したことを通知する。この場合、表示制御機能151は、入力画面90を、ディスプレイ140に表示する(S3)。
そして、取得機能152は、ユーザが入力画面90に入力した利用目的と、匿名化レベルとを取得する(S4)。取得機能152は、取得した利用目的と匿名化レベルとを、第1の特定機能153に送出する。
次に、第1の特定機能153は、利用目的別重要度情報121と、レベル定義情報122とに基づいて、取得機能152により取得された利用目的と匿名化レベルとの組み合わせに対応する1以上の属性情報を特定する(S5)。第1の特定機能153は、特定した1以上の属性情報を、匿名化処理機能154に送出する。
次に、匿名化処理機能154は、第1の特定機能153によって特定された匿名化対象の属性情報を匿名化する(S6)。そして、匿名化処理機能154は、医用画像40と、匿名化済付帯情報42とを対応付けて送信機能155に送出する。
そして、送信機能155は、匿名化済医用情報401(すなわち、医用画像40と、匿名化済付帯情報42)を情報処理装置300に送信する(S7)。ここで、このフローチャートの処理は終了する。
図8では、医用情報400の取得から、匿名化済医用情報401の送信までを一連の流れで記載したが、医用情報400は予め取得されて匿名化装置100の記憶回路120に保存されているものとしても良い。また、匿名化処理機能154によって匿名化された匿名化済医用情報401は、すぐに情報処理装置300に送信されるのではなく、匿名化装置100の記憶回路120に保存されても良い。
このように、本実施形態の匿名化装置100は、医用画像40の匿名化後の利用目的に応じて、医用画像40に対応付けられた付帯情報41に含まれる複数の属性情報の中から1以上の属性情報を特定し、特定した1以上の属性情報を匿名化する。このため、本実施形態の匿名化装置100によれば、匿名化後の医用画像40の利用目的に応じて医用画像40の付帯情報41を匿名化することができる。
近年、日本における個人情報の保護に関する法律(いわゆる、個人情報保護法)の改定や、欧州におけるGDPR(General Data Protection Regulation:EU一般データ保護規則)の施行等により、医療分野においても、患者の個人情報を保護することの重要性が高まっている。例えば、病院内で撮像された医用画像を外部に提供する場合に、医用画像の付帯情報に含まれる患者の個人情報等を秘匿化することが求められる。
また、例えば、病院が、海外在住や在宅診療が可能な院外医師に対して、予め匿名化された匿名化済医用情報を渡す場合、匿名化されていない医用情報を渡すよりも、情報漏洩規約や契約条件のハードルを下げることができる。このため、医用情報の匿名化が求められる場面が多く想定される。
しかしながら、個人情報保護に関する法規等を確実に順守するために多くの属性情報を一律で匿名化すると、医用画像の提供先である医師やメーカー等が当該医用画像の解析に必要な情報を得ることが困難になる場合がある。また、医用画像の解析に必要な情報を確実に提供するために、匿名化の対象となる属性情報を一律で削減すると、必要以上の個人情報が付帯した状態で医用画像を外部に提供してしまう恐れがある。これに対して、本実施形態の匿名化装置100は、匿名化後の医用画像の利用目的に応じて医用画像40の付帯情報41を匿名化するため、医用画像40の提供先である院外医師30aや医療機器メーカーの技術者30bに医用画像40が医用画像40の解析が可能な範囲で、患者の個人情報を保護することができる。
また、例えば、利用目的が同じであっても、提供先との守秘義務に関する契約の内容や、提供先と提供元の病院との関係性等によって、提供可能な個人情報の内容が異なる場合がある。そこで、本実施形態の匿名化装置100は、利用目的別重要度情報121とレベル定義情報122とに基づいて、取得された利用目的と匿名化レベルとの組み合わせに対応する1以上の属性情報を特定する。このため、本実施形態の匿名化装置100によれば、匿名化レベルの高さを調整した上で、利用目的に応じて医用画像40の付帯情報41を匿名化することができる。
また、本実施形態の匿名化装置100は、ユーザによって入力された利用目的と、匿名化レベルとを受け付けるため、ユーザが利用目的と匿名化レベルとを任意に設定することができる。また、本実施形態の匿名化装置100によれば、ユーザは、匿名化対象の属性情報を個別に指定する必要がないため、DICOMのタグ等に関する知識がないユーザでも、付帯情報41に対して容易に適切な匿名化を施すことができる。
なお、本実施形態においては、匿名化装置100の取得機能152は、医用画像診断装置200からの医用情報400の取得と、入力インタフェース130を介したユーザによって入力された各種の情報または指示の取得の両方の機能を有するものとしたが、本実施形態の取得機能152の機能を、取得機能と受付機能の2つの機能に分離しても良い。
なお、本実施形態においては、匿名化装置100は、医用画像40の匿名化後の利用目的と、匿名化レベルの両方を取得するものとしたが、利用目的のみを取得するものとしても良い。当該構成を採用する場合、匿名化対象情報においては複数の利用目的と1以上の属性情報とが対応付けられているものとし、第1の特定機能153が、該匿名化対象情報に基づいて、取得された利用目的に対応する1以上の属性情報を特定しても良い。
また、本実施形態においては、匿名化装置100は、医用画像診断装置200から、医用情報400を取得するものとしたが、医用情報400の取得元はこれに限定されるものではない。匿名化装置100は、例えば、医用画像管理装置等から、医用情報400を取得しても良い。
なお、本実施形態では、匿名化装置100は、ネットワークを介して情報処理装置300と接続するものとするが、匿名化装置100と情報処理装置300とが接続していない構成を採用しても良い。当該構成を採用する場合は、例えば、匿名化装置100は、匿名化済医用情報401を、CD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に保存するものとしても良い。該記録媒体が情報処理装置300によって読み取られることにより、情報処理装置300a,300bのユーザである院外医師30aやメーカーの技術者30bが、匿名化済医用情報401を利用可能となる。当該構成を採用する場合、匿名化装置100は、送信機能155の代わりに、匿名化済医用情報401をコンピュータで読み取り可能な記録媒体に出力する出力機能を備えても良い。出力機能は、出力部の一例である。
また、本実施形態においては、医用画像40および付帯情報41は、DICOM規格に準拠するものとしたが、他の標準規格等の形式であっても良い。
(第2の実施形態)
上述の第1の実施形態においては、病院内の匿名化装置100のユーザが、利用目的および匿名化レベルを入力するものとしたが、この第2の実施形態では、病院外に設けられた情報処理装置のユーザが、利用目的および匿名化レベルを入力することができる。
図9は、本実施形態に係る匿名化装置1100および情報処理装置1300の構成の一例を示す図である。図9に示すように、本実施形態の匿名化システムS2は、第1の実施形態と同様に、匿名化装置1100と、医用画像診断装置200と、情報処理装置1300とを備える。医用画像診断装置200は、第1の実施形態と同様の機能を備える。
本実施形態の匿名化装置1100は、第1の実施形態と同様に、NWインタフェース110と、記憶回路120と、入力インタフェース130と、ディスプレイ140と、処理回路150とを備える。
本実施形態の処理回路150は、表示制御機能151と、取得機能1152と、第1の特定機能153と、匿名化処理機能154と、送信機能1155とを備える。表示制御機能151と、第1の特定機能153と、匿名化処理機能154とは、第1の実施形態と同様の機能を備える。
取得機能1152は、第1の実施形態の機能を備えた上で、情報処理装置1300から、利用目的および匿名化レベルを取得する。
また、取得機能1152は、入力インタフェース330を介して、ユーザによって入力された匿名化処理の開始の指示を取得する。
送信機能1155は、第1の実施形態の機能を備えた上で、入力画面90の定義情報を情報処理装置1300に送信する。入力画面90の定義情報は、例えば、情報処理装置1300において入力画面90をディスプレイ340に表示するために使用されるHTMLファイルや画像データ等である。送信機能1155は、例えば、Webブラウザ等の公知の技術を採用可能である。
また、本実施形態の情報処理装置1300は、第1の実施形態と同様に、NWインタフェース310と、記憶回路320と、入力インタフェース330と、ディスプレイ340と、処理回路350とを備える。
本実施形態の処理回路350は、受信機能1351と、表示制御機能1352と、第1の解析機能353aと、第2の解析機能353bと、第3の解析機能353cと、取得機能354と、送信機能355とを備える。取得機能354は、取得部の一例である。送信機能355は、送信部の一例である。第1の解析機能353aと、第2の解析機能353bと、第3の解析機能353cとは、第1の実施形態と同様の機能を備える。
受信機能1351は、第1の実施形態の機能を備えた上で、匿名化装置1100から、入力画面90の定義情報を受信する。
表示制御機能1352は、第1の実施形態の機能を備えた上で、入力画面90を、ディスプレイ340に表示する。入力画面90は、第1の実施形態と同様に、利用目的と匿名化レベルとをユーザが入力可能な画面である。
取得機能354は、ユーザによって入力画面90に入力された利用目的と匿名化レベルとを取得し、送信機能355に送出する。また、取得機能354は、入力インタフェース330を介して、ユーザから入力された匿名化処理の開始の指示を取得する。取得機能354は、匿名化処理の開始の指示を取得した場合、送信機能355に、当該指示を取得したことを通知する。
なお、必ずしも情報処理装置1300のユーザが「匿名化処理の開始の指示」を自覚的に入力しなくとも良く、例えば、ユーザが「医用画像40の送信要求」等を入力した場合に、情報処理装置1300の送信機能355または匿名化装置1100の取得機能1152が「匿名化処理の開始の指示を取得した」と判断しても良い。
送信機能355は、取得機能354によって取得された利用目的と匿名化レベルとを、匿名化装置1100に送信する。また、送信機能355は、取得機能354によって取得された匿名化処理の開始の指示を、匿名化装置1100に送信する。
次に、以上のように構成された匿名化装置1100および情報処理装置1300で実行される匿名化処理の流れを説明する。図10は、本実施形態に係る匿名化処理の流れの一例を示すフローチャートである。
匿名化装置1100におけるS1の医用情報400の取得の処理は、第1の実施形態と同様である。
また、本実施形態の情報処理装置1300の取得機能354は、院外医師30aまたは医療機器メーカーの技術者30b等のユーザから匿名化処理の開始の指示を取得したか否かを判断する(S31)。取得機能354は、匿名化処理の開始の指示を取得していないと判断した場合(S31“No”)、S31の処理を繰り返して、ユーザから指示が入力されることを待機する。
また、取得機能354は、匿名化処理の開始の指示を取得したと判断した場合(S31“Yes”)、送信機能355に、当該指示を取得したことを通知する。この場合、情報処理装置1300の送信機能355は、取得機能354によって取得された匿名化処理の開始の指示を、情報処理装置1300に送信する(S32)。
そして、匿名化装置1100の取得機能1152は、情報処理装置1300から、匿名化処理の開始の指示を取得する(S21)。取得機能1152は、匿名化処理の開始の指示を取得したことを、送信機能1155に通知する。
次に、匿名化装置1100の送信機能1155は、入力画面90の定義情報を情報処理装置1300に送信する(S22)。
そして、情報処理装置1300の受信機能1351は、匿名化装置1100から、入力画面90の定義情報を受信する。情報処理装置1300の表示制御機能1352は、受信機能1351が受信した定義情報に基づいて、入力画面90を、ディスプレイ340に表示する(S33)。
次に、情報処理装置1300の取得機能354は、ユーザによって入力画面90に入力された利用目的と匿名化レベルとを取得する(S34)。そして、情報処理装置1300の送信機能355は、取得機能354によって取得された利用目的と匿名化レベルとを、情報処理装置1300に送信する(S35)。
そして、匿名化装置1100の取得機能1152は、情報処理装置1300から、情報処理装置1300のユーザが入力画面90に入力した利用目的と、匿名化レベルとを取得する(S23)。取得機能1152は、取得した利用目的と匿名化レベルとを、第1の特定機能153に送出する。
S5の匿名化対象の属性情報の特定の処理から、S7の匿名化済医用情報401(すなわち、医用画像40と、匿名化済付帯情報42)の送信処理までは、第1の実施形態と同様である。
そして、情報処理装置1300の受信機能1351は、匿名化装置1100から、匿名化済医用情報401を受信する。そして、情報処理装置1300の解析機能353は、受信機能1351によって受信された匿名化済医用情報401の解析処理を実行する(S36)。ここで、このフローチャートの処理は終了する。
このように、本実施形態の匿名化装置1100は、情報処理装置1300から、利用目的を取得し、医用画像40と、匿名化処理機能154によって匿名化された1以上の属性情報を含む匿名化済付帯情報42とを対応付けて情報処理装置1300に送信する。このため、本実施形態の匿名化装置1100によれば、実際に医用画像40および匿名化済付帯情報42を利用する院外医師30aや医療機器メーカーの技術者30b等が、利用目的に応じた匿名化済医用情報401を容易に取得することができる。
なお、本実施形態においては、病院外に設けられた情報処理装置1300のユーザが利用目的および匿名化レベルを入力するものとしたが、利用目的のみを入力する構成を採用しても良い。例えば、匿名化レベルは、匿名化装置1100側で、情報処理装置1300が設置された提供先、または情報処理装置1300のユーザに応じて特定されても良い。
(第3の実施形態)
上述の第2の実施形態においては、情報処理装置1300のユーザが入力画面90から医用画像40の利用目的を入力するものとしたが、この第3の実施形態では、匿名化装置が、情報処理装置の利用状態に基づいて、医用画像40の利用目的を特定する。
図11は、本実施形態に係る匿名化システムS3の全体構成の一例を示す図である。図11に示すように、本実施形態の匿名化システムS3は、匿名化装置2100と、医用画像診断装置200と、情報処理装置2300c〜2300e(以下、特に区別しない場合は単に情報処理装置2300という)とを備える。医用画像診断装置200は、第1、第2の実施形態と同様の機能を備える。
情報処理装置2300は、第1、第2の実施形態と同様に、匿名化装置2100が設置された病院とは異なる病院や、医療機器メーカー等に設置される。
本実施形態の情報処理装置2300は、提供先における医用画像40の利用目的を表す利用目的情報31c〜31e(以下、特に区別しない場合は単に利用目的情報31という)を、匿名化装置2100に送信する。
利用目的情報31は、例えば、情報処理装置2300において匿名化後の医用画像40を利用するアプリケーション(例えば、アプリA〜C等)の識別情報である。
本実施形態の匿名化装置2100は、第1、第2の実施形態と同様に、NWインタフェース110と、記憶回路120と、入力インタフェース130と、ディスプレイ140と、処理回路150とを備える。
本実施形態の処理回路150は、第1の実施形態と同様に、表示制御機能151と、取得機能152と、第1の特定機能153と、匿名化処理機能154と、送信機能155とを備える。表示制御機能151と、第1の特定機能153と、匿名化処理機能154と、送信機能155とは、第1の実施形態と同様の機能を備える。
本実施形態の取得機能152は、第1の実施形態の機能を備えた上で、情報処理装置2300から、利用目的情報31を取得する。より具体的には、取得機能152は、情報処理装置2300において匿名化後の医用画像40を利用するアプリケーションの識別情報を情報処理装置2300から取得する。
また、取得機能152は、アプリケーション別利用目的情報に基づいて、取得したアプリケーションの識別情報に対応する利用目的を特定する。本実施形態においては、取得機能152が取得したアプリケーションの識別情報に対応する利用目的を特定することを、取得機能152が利用目的を取得する、という。
図12は、本実施形態に係るアプリケーション別利用目的情報123の一例を示す図である。図12に示すように、アプリケーション別利用目的情報123は、アプリケーションの識別情報と医用画像40の匿名化後の利用目的とが対応付けられている。図12に示すアプリケーション名は、アプリケーションの識別情報の一例である。
また、取得機能152は、提供先別匿名化レベル情報に基づいて、匿名化後の医用画像40の提供先に対応する利用目的を特定する。
図13は、本実施形態に係る提供先別匿名化レベル情報124の一例を示す図である。図13に示すように、提供先別匿名化レベル情報124は、提供先の識別情報と、匿名化レベルとが対応付けられている。図13に示す提供先名は、提供先の識別情報の一例である。
取得機能152は、特定した利用目的と、匿名化レベルとを第1の特定機能153に送出する。
また、本実施形態の情報処理装置2300は、第1、第2の実施形態と同様に、NWインタフェース310と、記憶回路320と、入力インタフェース330と、ディスプレイ340と、処理回路350とを備える。
本実施形態の記憶回路320は、第1〜3の実施形態と同様の内容に加えて、利用目的情報31を記憶する。
本実施形態の処理回路350は、第2の実施形態と同様に、受信機能1351と、表示制御機能1352と、第1の解析機能353aと、第2の解析機能353bと、第3の解析機能353cと、取得機能354と、送信機能355とを備える。表示制御機能1352は、第1の実施形態と同様の機能を備える。また、第1の解析機能353aと、第2の解析機能353bと、第3の解析機能353cとは、第1、2の実施形態と同様の機能を備える。
本実施形態の取得機能354は、入力インタフェース330を介して、ユーザから入力された匿名化処理の開始の指示を取得する。取得機能354は、匿名化処理の開始の指示を取得した場合、送信機能355に、当該指示を取得したことを通知する。
また、本実施形態の取得機能354は、第1の解析機能353a、第2の解析機能353b、第3の解析機能353cの起動状態、つまり、各解析機能353を実現するアプリケーションの起動状態を取得し、起動中のアプリケーションの識別情報を、匿名化後の医用画像40を利用するアプリケーションの識別情報として、利用目的情報31に登録する。
本実施形態の取得機能354によって取得された匿名化処理の開始の指示を、情報処理装置2300に送信する。また、送信機能355は、利用目的情報31を、情報処理装置2300に送信する。
次に、以上のように構成された匿名化装置2100および情報処理装置2300で実行される匿名化処理の流れを説明する。図14は、本実施形態に係る匿名化処理の流れの一例を示すフローチャートである。
匿名化装置2100におけるS1の医用情報400の取得の処理は、第1、第2の実施形態と同様である。また、情報処理装置2300におけるS31の匿名化処理の開始の指示の取得の判断処理は、第2の実施形態と同様である。
また、情報処理装置1300の取得機能354が匿名化処理の開始の指示を取得したと判断した場合(S31“Yes”)、送信機能355は、取得機能354によって取得された匿名化処理の開始の指示と、利用目的情報31とを情報処理装置2300に送信する(S41)。
匿名化装置2100の取得機能152は、情報処理装置2300から、匿名化処理の開始の指示と、利用目的情報31とを取得する(S51)。
また、取得機能152は、取得した利用目的情報31と、アプリケーション別利用目的情報123とに基づいて利用目的を特定する。また、取得機能152は、取得した匿名化処理の開始の指示の送信元である情報処理装置2300が設置された提供先の識別情報と、提供先別匿名化レベル情報124とに基づいて、匿名化レベルを特定する(S52)。
S5の匿名化対象の属性情報の特定の処理から、S7の匿名化済医用情報401(すなわち、医用画像40と、匿名化済付帯情報42)の送信処理までは、第1、第2の実施形態と同様である。また、S36の解析処理の実行は、第2の実施形態と同様である。ここで、このフローチャートの処理は終了する。
このように、本実施形態の匿名化装置2100は、匿名化後の医用画像40を利用するアプリケーションの識別情報を情報処理装置2300から取得し、アプリケーション別利用目的情報123に基づいて、情報処理装置2300から取得したアプリケーションの識別情報に対応する利用目的を特定する。このため、本実施形態の匿名化装置2100によれば、情報処理装置2300のユーザが利用目的を入力する作業をしなくとも、匿名化後の医用画像40の利用目的を自動的に判断し、適切な匿名化を実行することができる。
なお、本実施形態においては、利用目的情報31は、匿名化後の医用画像40を利用するアプリケーションの識別情報としたが、利用目的情報31の内容は、これに限定されるものではなく、直接的に、利用目的が記載されていても良い。
また、利用目的情報31は、さらに、匿名化レベルを示す情報を含むものであっても良い。利用目的と匿名化レベルの両方を含む場合、利用目的情報31は、例えば、「相手先情報」と称されても良い。また、この場合、匿名化装置2100は、提供先に基づいて匿名化レベルを特定するのではなく、利用目的情報31に含まれる匿名化レベルを示す情報に基づいて匿名化レベルを特定しても良い。
なお、利用目的情報31は、複数のアプリケーションの識別情報を含むものであっても良い。この場合、匿名化装置2100は、複数のアプリケーションの識別情報の各々に対応付けられた利用目的に応じて匿名化した複数の匿名化済医用情報401を生成する。また、匿名化装置2100は、複数の匿名化済医用情報401を、利用目的と対応付けて、情報処理装置2300に送信する。
また、本実施形態においては、情報処理装置2300において起動中のアプリケーションの識別情報を、匿名化後の医用画像40を利用するアプリケーションの識別情報としたが、情報処理装置2300にインストールされたアプリケーションの識別情報を、匿名化後の医用画像40を利用するアプリケーションの識別情報としても良い。
また、本実施形態においては、情報処理装置2300から匿名化装置2100に匿名化処理の開始の指示を送信するタイミングで、情報処理装置2300から匿名化装置2100に利用目的情報31を送信するものとしたが、送信タイミングはこれに限定されるものではない。例えば、情報処理装置2300は、定期的に匿名化装置2100に利用目的情報31を送信するものとしても良いし、利用目的情報31が変更されたタイミングで匿名化装置2100に利用目的情報31を送信するものとしても良い。あるいは、匿名化装置2100が匿名化処理をする際に、利用目的情報31に保存された利用目的情報31を参照するものとしても良い。
なお、本実施形態においては、匿名化装置2100の取得機能152が利用目的と匿名化レベルとを特定するものとしたが、該特定の機能は、第1の特定機能153が実現しても良い。
また、本実施形態においては、利用目的情報31は情報処理装置2300に保存され、情報処理装置2300から匿名化装置2100に送信されるものとしたが、利用目的情報31の保存場所はこれに限定されるものではなく、例えば、クラウド上に格納されても良い。当該構成を採用する場合、情報処理装置2300は、所定のタイミングでクラウド上に格納された利用目的情報31を取得し、匿名化処理を実行しても良い。
(第4の実施形態)
この第4の実施形態においては、さらに、受信済みの匿名化済医用情報401に関連する他の匿名化済医用情報401を追加で送信するよう、情報処理装置が匿名化装置に対して要求をすることができる。
図15は、本実施形態に係る匿名化システムS4の全体構成の一例を示す図である。図15に示すように、本実施形態の匿名化システムS4は、匿名化装置3100と、医用画像診断装置200と、情報処理装置3300と、医用画像管理装置500とを備える。医用画像診断装置200は、第1〜3の実施形態と同様の機能を備える。
医用画像管理装置500は、例えば、医療用画像管理システム(PACS)等であり、医用画像診断装置200によって撮像された複数の医用情報400a〜400n(以下、特に区別しない場合は単に医用情報400という)を保管する。医用画像管理装置500は、複数の医用情報400a〜400nを匿名化されていない状態で保存する。例えば、複数の医用情報400a〜400nの付帯情報41a〜41nには、患者名“太郎”という患者の個人情報が、匿名化されない状態で含まれている。
病院内の医師60等は、院内に設置されたPC等の院内情報処理装置600によって、医用画像管理装置500に保管された複数の医用情報400a〜400nに含まれる医用画像40a〜40n(以下、特に区別しない場合は単に医用画像40という)を参照可能である。
情報処理装置3300のユーザは、例えば、外部医師30dである。第1〜3の実施形態と同様に、情報処理装置3300は、匿名化装置3100から、匿名化済医用情報401aを取得する。
ここで、外部医師30dが、情報処理装置3300が受信済みの匿名化済医用情報401aに含まれる医用画像40aに関連する他の医用画像40をさらに所望する場合がある。例えば、匿名化済医用情報401aに含まれる医用画像40aが非造影画像である場合に、外部医師30dが血管の狭窄や動脈瘤の診断のために、造影画像である医用画像40bを要望する場合がある。
このような場合、外部医師30dは、情報処理装置3300に、受信済みの匿名化済医用情報401aに含まれる医用画像40aに関連する他の医用画像40bの要求を入力する。例えば、外部医師30dは、「医用画像40aと同じ患者識別情報(例えば、患者IDまたは患者名)に対応付けられた造影画像」の追加依頼を入力する。
なお、追加対象の他の医用画像40を指定する手法は特に限定されるものではない。例えば、外部医師30dは、例えば、受信済みの医用画像40aに関連する全ての医用画像40の要求を入力しても良いし、「造影画像」等の画像の種類や、撮像部位等によって要求対象の医用画像40を指定しても良い。
匿名化装置3100は、情報処理装置3300から、受信済みの匿名化済医用情報401aに含まれる医用画像40aに関連する他の医用画像40の要求を受けた場合に、要求された他の医用情報400bを医用画像管理装置500から取得し、匿名化処理をした上で、情報処理装置3300に送信する。
図16は、本実施形態に係る匿名化装置3100および情報処理装置3300の構成の一例を示す図である。
本実施形態の情報処理装置3300は、第1〜3の実施形態と同様に、NWインタフェース310と、記憶回路320と、入力インタフェース330と、ディスプレイ340と、処理回路350とを備える。
本実施形態の処理回路350は、受信機能351と、表示制御機能352と、第1の解析機能353aと、第2の解析機能353bと、第3の解析機能353cと、取得機能1354と、送信機能1355とを備える。受信機能351と、表示制御機能352と、第1の解析機能353aと、第2の解析機能353bと、第3の解析機能353cとは、第1〜3の実施形態と同様の機能を備える。
本実施形態の取得機能1354は、ユーザによって入力された医用画像40の追加要求を取得する。より具体的には、例えば、取得機能1354は、受診済みの医用画像40を特定する情報と、該医用画像40に関連する追加対象の医用画像40を指定する情報とを取得する。受診済みの医用画像40aを特定する情報は、例えば、医用画像40aを含む医用情報400のファイル名等である。
追加対象の医用画像40を指定する情報は、特に限定されるものではないが、例えば、「受診済みの医用画像40と同じ患者識別情報に対応づけられた全ての医用画像」、「受診済みの医用画像40と同じ患者識別情報に対応付けられた造影画像」等である。なお、受診済みの医用画像40に関連する追加対象の医用画像を指定する情報の内容は、「造影画像」等の画像の種類だけではなく、撮像部位や、撮像に使用されたモダリティを指定するものであっても良い。取得機能1354は、取得した情報を、送信機能1355に送出する。
本実施形態の送信機能1355は、取得機能1354が取得した情報に基づいて、匿名化装置3100に、医用画像40の追加要求を送信する。より詳細には、送信機能1355は、匿名化装置3100に、受診済みの医用画像40を特定する情報と、該医用画像40に関連する追加対象の医用画像40を指定する情報とを送信する。
本実施形態の匿名化装置3100は、第1〜3の実施形態と同様に、NWインタフェース110と、記憶回路120と、入力インタフェース130と、ディスプレイ140と、処理回路150とを備える。
本実施形態のNWインタフェース110は、第1〜3の実施形態の機能を備えた上で、ネットワークN2を介して、医用画像管理装置500から医用情報400を受信する。
本実施形態の記憶回路120は、第1の実施形態と同様の内容に加えて、匿名化前後の対応付け情報を記憶する。図17は、本実施形態に係る匿名化前後の対応付け情報125の一例を示す図である。匿名化前後の対応付け情報125は、匿名化前後の医用画像の対応関係が定義された情報である。例えば、図17に示すように、匿名化前後の対応付け情報125は、匿名化前の医用情報400のファイル名と、該医用情報400を匿名化した匿名化済医用情報401のファイル名とが対応付けられている。ファイル名は各情報の識別情報の一例である。
図16に戻り、本実施形態の処理回路150は、表示制御機能151と、取得機能2152と、第1の特定機能153と、匿名化処理機能154と、送信機能155と、を備える。表示制御機能151と、第1の特定機能153と、匿名化処理機能154と、送信機能155とは、第1の実施形態と同様の機能を備える。
取得機能2152は、第1の実施形態の機能を備えた上で、情報処理装置3300から、医用画像40の追加要求を取得する。より詳細には、取得機能2152は、情報処理装置3300から、情報処理装置3300が受診済みの医用画像40を特定する情報と、該医用画像40に関連する追加対象の医用画像40を指定する情報とを取得する。
また、取得機能2152は、取得した追加要求に基づいて、医用画像管理装置500から、追加対象の医用画像40および該医用画像に対応付けられた付帯情報41を取得する。具体的には、取得機能2152は、取得した追加要求に含まれる情報処理装置3300が受診済みの匿名化済医用情報401のファイル名で匿名化前後の対応付け情報125を検索し、匿名化前の医用情報400のファイル名を特定する。そして、取得機能2152は、特定した匿名化前の医用情報400のファイル名と、取得した追加要求に含まれる追加対象の医用画像40を指定する情報に基づいて、医用画像管理装置500に保存された複数の医用情報400のうち、追加対象の医用情報400を特定し、取得する。
次に、以上のように構成された匿名化装置3100および情報処理装置3300で実行される匿名化処理に流れを説明する。
図18は、本実施形態に係る匿名化処理の流れの一例を示すフローチャートである。このフローチャートの処理の前提として、匿名化装置3100から情報処理装置3300に1以上の匿名化済医用情報401が送信済みであるものとする。なお、匿名化装置3100から情報処理装置3300に匿名化済医用情報401を送信する処理の流れは、第1〜3の処理のいずれを適用しても良い。
情報処理装置3300の取得機能1354は、ユーザから、医用画像40の追加要求を取得したか否かを判断する(S61)。取得機能1354は、医用画像40の追加要求を取得していないと判断した場合は(S61“NO”)、S61の処理を繰り返して待機する。
取得機能1354は、医用画像40の追加要求を取得したと判断した場合は(S61“Yes”)、取得した情報を、送信機能1355に送出する。この場合、送信機能1355は、取得機能1354が取得した情報に基づいて、匿名化装置3100に、医用画像40の追加要求を送信する(S62)。
そして、匿名化装置3100の取得機能2152は、情報処理装置3300から、医用画像40の追加要求を取得する(S71)。次に、取得機能2152は、取得した追加要求に基づいて、医用画像管理装置500から、追加対象の医用画像40を含む医用情報400、すなわち、追加対象の医用画像40および該医用画像40に対応付けられた付帯情報41を取得する(S72)。
次に、第1の特定機能153は、取得機能2152によって医用画像管理装置500から取得された医用画像40の利用目的と、匿名化レベルとを特定する(S73)。利用目的と匿名化レベルとの特定の手法は、第1〜3の処理のいずれを適用しても良い。また、第1の特定機能153は、情報処理装置3300が受診済みの匿名化済医用情報401と同じ利用目的および匿名化レベルを、追加対象の医用情報400の利用目的および匿名化レベルとして特定しても良い。
S5の匿名化対象の属性情報の特定から、S6の匿名化対象の属性情報の匿名化の処理までは、第1の実施形態と同様である。次に、匿名化装置3100の送信機能155は、匿名化処理機能154によって匿名化された匿名化済医用情報401を、情報処理装置3300に送信する(S74)。S36の解析処理の実行は、第2の実施形態と同様である。ここで、このフローチャートの処理は終了する。
このように、本実施形態の匿名化システムS4によれば、情報処理装置3300が、匿名化装置3100に、受診済みの医用画像40に関連する医用画像40の追加要求を送信し、匿名化装置3100が追加要求に基づいて特定した追加対象の匿名化済医用情報401を情報処理装置3300に送信することにより、情報処理装置3300のユーザが所望の医用画像40を追加で取得することができる。
情報処理装置3300が有する匿名化済医用情報401aにおいては、匿名化済付帯情報42aに含まれる個人情報が匿名化されているため、情報処理装置3300は、匿名化前の患者識別情報等を特定することはできない。本実施形態では匿名化装置3100が、匿名化済医用情報401が匿名化される前の医用情報400を特定することにより、匿名化前の付帯情報41等に基づいて、関連する他の医用情報400を特定することができる。
また、本実施形態においては、匿名化前の医用情報400を保存する医用画像管理装置500と、匿名化前後の対応付け情報125を保存する匿名化装置3100とを異なる装置としているため、医用画像管理装置500が外部の情報処理装置3300と直接的に接続しなくとも、医用画像40の追加依頼に対応することができる。このため、医用画像管理装置500に保存された匿名化前の医用情報400の保管におけるセキュリティを向上させることができる。
(第5の実施形態)
上述の第1〜4の実施形態においては、外部医師30d等に診断等のために医用情報400を提供する場合を例として説明した。これに対して、この第5の実施形態においては、予め撮像された複数の医用画像40を、機械学習用の学習データや、分析用のデータとして外部に提供する場合を例とする。
図19は、本実施形態に係る匿名化システムS5の全体構成の一例を示す図である。図19に示すように、本実施形態の匿名化システムS5は、学習装置700と、匿名化装置4100と、医用画像管理装置500とを備える。なお、学習装置700と、匿名化装置4100とを匿名化システムS5としても良いし、匿名化装置4100と、医用画像管理装置500とを匿名化システムS5としても良い。
学習装置700は、例えば、PCまたはサーバ等であり、NWインタフェースと、記憶回路と、入力インタフェースと、ディスプレイと、処理回路とを備える。
学習装置700は、AI(Artificial Intelligence)等の機能を備え、例えば、学習データを匿名化装置4100から収集し、機械学習を実行する。例えば、学習装置700は、匿名化装置4100に対して、“頭部の造影データ取得”等の医用画像40の利用目的を指定して、学習用データを要求する。学習装置700が実行する学習処理の内容は特に限定されるものではなく、公知の機械学習または深層学習の技術を適用可能である。学習装置700は、本実施形態における外部装置の一例である。また、第1〜4の実施形態の情報処理装置300,1300,2300,3300が、学習装置700の機能を備えるものとしても良い。
本実施形態の匿名化装置4100は、学習装置700から要求された利用目的に応じて、医用画像管理装置500から、医用情報400を取得する。図19に示す例では、匿名化装置4100は、医用画像管理装置500に保存された複数の医用情報400d〜400iの中から、撮像部位が“頭部”であり、医用画像40の種類が“造影画像”である医用情報400d〜400fを取得する。
匿名化装置4100は、取得した複数の医用情報400d〜400iを匿名化し、匿名化済医用情報401d〜401eを、学習装置700に送信する。
図20は、本実施形態に係る匿名化装置4100および学習装置700の構成の一例を示す図である。
本実施形態の匿名化装置4100は、第1〜4の実施形態と同様に、NWインタフェース110と、記憶回路120と、入力インタフェース130と、ディスプレイ140と、処理回路150とを備える。
本実施形態のNWインタフェース110は、第1の実施形態の機能を備えた上で、ネットワークN2を介して、学習装置700と通信する。
本実施形態の記憶回路120は、第1の実施形態と同様の内容に加えて、目的別医用画像情報を記憶する。
本実施形態の処理回路150は、表示制御機能151と、取得機能3152と、第1の特定機能1153と、匿名化処理機能1154と、送信機能2155と、第2の特定機能156と、前処理機能157とを備える。表示制御機能151とは、第1の実施形態と同様の機能を備える。第2の特定機能156は、第2の特定部の一例である。前処理機能157は、前処理部の一例である。
本実施形態の取得機能3152は、第1の実施形態と同様の機能を備えた上で、学習装置700から、学習用データの要求を取得する。学習用データの要求は、医用画像40の利用目的の情報を含む。
また、本実施形態の取得機能3152は、第2の特定機能156によって特定された1以上の医用画像40を含む1以上の医用情報400を、医用画像管理装置500から取得する。
第2の特定機能156は、目的別医用画像情報に基づいて、医用画像管理装置500に保存された複数の医用画像40の中から、取得機能3152によって取得された利用目的に対応する1以上の医用画像40を特定する。
図21は、本実施形態に係る目的別医用画像情報126の一例を示す図である。目的別医用画像情報は、利用目的と該利用目的に適した提供対象の医用画像40を特定可能な情報とが対応付けられている。提供対象の医用画像40を特定可能な情報は、例えば、撮像対象部位や、造影画像か非造影画像か等についての情報であるが、これらに限定されるものではない。第2の特定機能156は、特定結果を、取得機能3152に送出する。
本実施形態の第1の特定機能1153は、第1の実施形態と同様の機能を備えた上で、第2の特定機能156によって特定された1以上の医用画像40に対応付けられた付帯情報41に含まれる複数の属性情報の中から、1以上の属性情報を、匿名化対象として特定する。
本実施形態における匿名化レベルの取得の手法は、第1〜4の実施形態のいずれかの手法を適用しても良い。例えば、本実施形態においては、匿名化レベルは、例えば、ユーザによって設定されても良いし、学習装置700から取得されても良い。
前処理機能157は、匿名化処理機能1154による匿名化処理の前に、取得機能3152によって医用画像管理装置500から取得された1以上の医用情報400に対して前処理を施す。
例えば、前処理機能157は、複数の医用情報400のうち、特異な属性情報を含むものを、提供対象から除外する。例えば、属性情報に含まれる患者の年齢が“110歳”である場合、該当する患者の絶対数が少ないため、個人を特定可能な可能性がある。しかしながら、利用目的または匿名化レベルによっては、患者の年齢が匿名化対象ではない場合がある。このような場合、前処理機能157は、当該特異な属性情報を含む医用情報400を提供情報から除外する。
前処理機能157は、例えば、医用情報400に含まれるいずれかの属性情報の値が患者の母集団における平均値または中央値から所定の閾値以上乖離している場合、または、いずれかの属性情報の値の出現頻度が患者の母集団における所定の閾値以下である場合等に、該属性情報を、特異な属性情報であると判定する。なお、特異な属性情報の判定条件はこれに限定されるものでは無い。
本実施形態の匿名化処理機能1154は、第1の実施形態と同様の機能を備えた上で、取得機能3152によって医用画像管理装置500から取得された医用情報400のうち前処理機能157によって除外されなかった1以上の医用情報400に対応付けられた付帯情報41に対して匿名化処理を実行する。より詳細には、匿名化処理機能1154は、該付帯情報41に含まれる複数の属性情報のうち、第1の特定機能1153によって特定された1以上の属性情報を匿名化する。
本実施形態の送信機能2155は、第1の実施形態と同様の機能を備えた上で、匿名化処理機能1154によって匿名化された匿名化済医用情報401を、学習装置700に送信する。
次に、以上のように構成された匿名化装置4100および学習装置700で実行される匿名化処理の流れを説明する。図22は、本実施形態に係る匿名化処理の流れの一例を示すフローチャートである。
まず、学習装置700は、匿名化装置4100に対して、医用画像40の利用目的を指定して、学習用データを要求する(S81)。
そして、匿名化装置4100の取得機能3152は、学習装置700から、学習用データの要求を取得する(S91)。このとき、取得機能3152は、学習用データの要求に含まれる利用目的を取得する。
次に、匿名化装置4100の第2の特定機能156は、目的別医用画像情報126に基づいて、医用画像管理装置500に保存された複数の医用画像40の中から、学習用データの要求内容に応じた1以上の医用画像40を特定する(S92)。
次に、匿名化装置4100の第1の特定機能1153は、第2の特定機能156によって特定された1以上の医用画像40に対応付けられた付帯情報41に含まれる複数の属性情報の中から、1以上の属性情報を、匿名化対象として特定する(S93)。
次に、匿名化装置4100の前処理機能157は、取得機能3152によって医用画像管理装置500から取得された1以上の医用情報400に対して前処理を施し、例えば、特異な属性情報を含む医用情報400を除外する(S94)。
そして、匿名化装置4100の匿名化処理機能1154は、前処理機能157によって除外されなかった1以上の医用情報400に対応付けられた付帯情報41に含まれる複数の属性情報のうち、第1の特定機能1153によって特定された匿名化対象の属性情報を匿名化する(S95)。
次に、匿名化装置4100の送信機能2155は、匿名化処理機能1154によって匿名化された匿名化済医用情報401を、学習装置700に送信する(S96)。
そして、学習装置700は、匿名化装置4100から取得した匿名化済医用情報401を学習データとして、学習処理を実行する(S82)。ここで、このフローチャートの処理は終了する。
このように、本実施形態の匿名化装置4100は、目的別医用画像情報126に基づいて、予め撮像された複数の医用画像40の中から、取得した利用目的に対応する1以上の医用画像40を特定し、特定した1以上の医用画像40に対応付けられた1以上の付帯情報41に含まれる複数の属性情報の中から、1以上の属性情報を特定する。このため、本実施形態の匿名化装置4100によれば、利用目的に応じて自動的に提供対象の医用画像40を特定し、匿名化の上、提供することができる。このため、例えば、提供先が大量の学習データを収集する場合に、個々の医用画像40の指定を受けなくとも、利用目的に応じた医用画像40を提供することができる。
本実施形態においては、匿名化装置4100は、学習装置700に学習データを提供するために匿名化済医用情報401を生成するものとしたが、提供先および匿名化済医用情報401の生成の目的はこれに限定されるものではない。
例えば、情報処理装置300,1300,2300,3300のユーザが、分析等のために、多数の匿名化済医用情報401を要望する場合がある。一例として、匿名化装置4100は、第1〜4の実施形態のように、情報処理装置300,1300,2300,3300と接続し、情報処理装置300,1300,2300,3300から送信された要求に基づいて、医用画像管理装置500に保存された複数の医用情報400d〜400iの中から、要求に応じた医用情報400を特定し、匿名化処理の上、情報処理装置300,1300,2300,3300に送信しても良い。
また、匿名化装置4100の匿名化処理の開始のトリガが学習装置700からの要求に限定されるものではない。例えば、匿名化装置4100は、一定期間ごとに、医用画像管理装置500に保存された複数の医用画像40から、所定の利用目的に対応付けられた1以上の医用画像40を取得し、匿名化処理の上、学習装置700または情報処理装置300,1300,2300,3300に送信しても良い。
また、匿名化装置4100が学習装置700等に送信する学習データは、DICOM規格に準拠した形式ではなくとも良い。例えば、匿名化装置4100の匿名化処理機能1154は、利用目的または提供先の学習装置700からの要求等に応じて、DICOM規格に準拠したデータ以外のデータを、匿名化済医用情報401に付加しても良い。一例として、DICOM規格では、“20代”、“30代”等の患者の年代の情報を属性情報として登録するためのタグは無いが、匿名化処理機能1154は、タグ番号(0010,1010)の“患者の年齢”が“20”〜“29”である場合に、“20代”という患者の年代の情報を、匿名化済医用情報401に対応付けても良い。
(変形例1)
上述の第1〜5の実施形態では、付帯情報41に含まれる属性情報を匿名化していたが、さらに、医用画像40に描出された情報を匿名化しても良い。
例えば、医用画像40上に、患者ID等の属性情報と同じ文字列が描出されている場合がある。
このため、第1の特定機能153は、匿名化対象として特定した1以上の属性情報と同じ文字列が描出された第1の画像領域を医用画像40から特定しても良い。第1の画像領域は、例えば、特定された1以上の属性情報と同じ文字列を含む矩形の画像領域とするが、これに限定されるものではない。
また、匿名化処理機能154は、第1の特定機能153によって特定された第1の画像領域の画素データを、文字列を特定できない画素データに変換することにより、医用画像40に描出された情報を匿名化しても良い。
文字列を特定できない画素データは、例えば、黒色の画素データである。匿名化処理機能154は、第1の画像領域を黒色に塗りつぶすようにマスクしても良い。また、匿名化処理機能154は、第1の画像領域がモザイク状になるように、画素データを変換しても良い。
このように、本変形例の匿名化装置100によれば、特定した1以上の属性情報と同じ文字列が描出された第1の画像領域の画素データを、文字列を特定できない画素データに変換することで、医用画像40に描出された情報を匿名化し、個人情報をさらに保護することができる。
また、医用画像40自体が、患者の顔など個人を特定可能な画像を含む場合がある。
このため、第1の特定機能153は、医用画像40において個人を特定可能な画像が描出された第2の画像領域を特定しても良い。第2の画像領域は、例えば患者の顔面を含む画像領域であるが、これに限定されるものではない。
例えば、第1の特定機能153は、医用画像40の利用目的と撮像部位置の重要度とが対応付けられた情報に基づいて、第2の画像領域に描出された画像の重要度が低い場合に、個人を特定可能な画像が描出された画像領域を、匿名化対象の第2の画像領域として特定する。例えば、患者の頭部を撮像した医用画像40には患者の顔が映り込む場合があるが、該医用画像40の利用目的が、例えば“脳血流解析”であれば、該患者の顔の重要度は低い。
また、該医用画像40の利用目的が、例えば“顔面の腫瘍の診断”であれば、該患者の顔の重要度は高い。このような場合は、第1の特定機能153は、医用画像40に描出された顔の画像を、匿名化対象ではないと判定する。
医用画像40の利用目的と撮像部位置の重要度とが対応付けられた情報は、例えば、記憶回路120に保存されるものとする。
また、匿名化処理機能154は、第1の特定機能153によって特定された第2の画像領域の画素データを、個人を特定できない画像の画素データに変換しても良い。
例えば、匿名化処理機能154は、第2の画像領域を黒色に塗りつぶしても良いし、変換前の第2の画像領域に描出された画像を変形させても良い。例えば、第2の画像領域に描出された画像が被検体の顔である場合、匿名化処理機能154は、当該顔の凹凸を変形させても良い。
このように、本変形例の匿名化装置100によれば、医用画像40において個人を特定可能な画像が描出された第2の画像領域の画素データを、個人を特定できない画像の画素データに変換するため、個人情報をさらに保護することができる。
(変形例2)
また、上述の第1〜5の実施形態では、付帯情報41に含まれる標準の属性情報を例として説明したが、匿名化対象はこれに限定されるものではない。例えば、匿名化装置100は、モダリティのメーカーに応じて設定されたプライベートタグを、匿名化の対象としても良い。
例えば、第1の特定機能153は、付帯情報41に含まれるプライベートタグから、匿名化対象として特定した1以上の属性情報と同じ文字列を、匿名化対象として特定しても良いし、全てのプライベートタグを匿名化対象として特定しても良い。
匿名化処理機能154は、例えば、第1の特定機能153によって特定されたプライベートタグの中の文字列を変換または削除しても良いし、全てのプライベートタグを削除することにより、プライベートタグを匿名化しても良い。
以上説明した少なくとも1つの実施形態によれば、匿名化後の医用画像40の利用目的に応じて、医用画像40の付帯情報41を匿名化することができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。