JP2022075337A - 情報処理方法、情報処理システム及びコンピュータプログラム - Google Patents

情報処理方法、情報処理システム及びコンピュータプログラム Download PDF

Info

Publication number
JP2022075337A
JP2022075337A JP2020186064A JP2020186064A JP2022075337A JP 2022075337 A JP2022075337 A JP 2022075337A JP 2020186064 A JP2020186064 A JP 2020186064A JP 2020186064 A JP2020186064 A JP 2020186064A JP 2022075337 A JP2022075337 A JP 2022075337A
Authority
JP
Japan
Prior art keywords
data
information
identification information
value
acquired
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020186064A
Other languages
English (en)
Other versions
JP7399838B2 (ja
Inventor
みさき 小松
Misaki Komatsu
嘉一 花谷
Kiichi Hanatani
つかさ 小美濃
Tsukasa Omino
智子 米村
Tomoko Yonemura
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2020186064A priority Critical patent/JP7399838B2/ja
Priority to US17/469,436 priority patent/US20220147655A1/en
Publication of JP2022075337A publication Critical patent/JP2022075337A/ja
Application granted granted Critical
Publication of JP7399838B2 publication Critical patent/JP7399838B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

【課題】対象データの識別情報を変更する場合にも変更前後の識別情報の関係を正しく管理する。【解決手段】本実施形態に係る情報処理方法は、対象データと前記対象データに関する第1識別情報とを含む保管要求を受信した場合に、前記第1識別情報と異なる第2識別情報を生成し、前記第2識別情報と前記対象データとを含む第1仮名化データを生成し、前記第1仮名化データを第1データ保管部で保管し、前記第1識別情報と前記第2識別情報とを対応づけた第1仮名対応データを生成し、前記第1仮名対応データを第1記憶部に記憶し、前記第1仮名対応データに基づく演算により第1値を算出し、前記第1値と、前記第1識別情報に基づく第1情報とを含む第1記録情報を、前記第1記録情報を記憶する記憶システムに提供する。【選択図】図1

Description

本実施形態は、情報処理方法、情報処理システム及びコンピュータプログラムに関する。
ストレージに記録されたデータが改ざんされているか否かを検査する方法としてブロックチェーンを用いた方法が知られている。ストレージにデータを記録した際、記録されたデータのハッシュ値をブロックチェーンに記録しておく。ストレージからデータを読み出す際には、読み出したデータのハッシュ値と、ブロックチェーンに記録されたハッシュ値とを比較する。これにより、ストレージに記録されたデータが改ざんされているか否かを検査する。
データには当該データに関する識別情報(例えば個人を特定可能な識別情報)が含まれる。この識別情報を管理用の識別情報に変更する仮名化を行い、仮名化されたデータをストレージに保存する方法がある。この方法を用いた場合、前述した技術により仮名化されたデータの改ざんの有無を検査することが可能であるが、管理用の識別情報と元の識別情報との関係を正しく管理できる仕組みが必要である。
特許第6731783号公報
本発明の実施形態は、対象データの識別情報を変更する場合にも変更前後の識別情報の関係を正しく管理することを可能とする情報処理方法、情報処理システム及びコンピュータプログラムを提供する。
本実施形態に係る情報処理方法は、対象データと前記対象データに関する第1識別情報とを含む保管要求を受信した場合に、前記第1識別情報と異なる第2識別情報を生成し、前記第2識別情報と前記対象データとを含む第1仮名化データを生成し、前記第1仮名化データを第1データ保管部で保管し、前記第1識別情報と前記第2識別情報とを対応づけた第1仮名対応データを生成し、前記第1仮名対応データを第1記憶部に記憶し、前記第1仮名対応データに基づく演算により第1値を算出し、前記第1値と、前記第1識別情報に基づく第1情報とを含む第1記録情報を、前記第1記録情報を記憶する記憶システムに提供する。
第1の実施形態に係るデータ管理システムの構成例を示すブロック図。 第1の実施形態に係るデータ管理装置の機能ブロック図。 仮名対応データ及び仮名化データとの一例を示す。 仮名対応データ及び仮名化データとの他の例を示す。 記録処理部によって生成されたデータ受領記録情報の例を示す図。 ブロックチェーンに追加するブロックの例を示す図。 データ管理装置の動作の一例を示すフローチャート。 データ管理装置の動作の他の例を示すフローチャート。 第2の実施形態に係るデータ管理装置のブロック図。 仮名化処理部による仮名化処理の一例を説明するための図。 記録処理部によって生成されたデータ分析記録情報の例を示す図。 ブロックチェーンに追加するブロックの例を示す図。 データ管理装置の動作の一例を示すフローチャート。 データ管理装置の動作の他の例を示すフローチャート。 複数の個人データを利用したデータ分析を行う例を示す図。 複数の個人データを利用したデータ分析を行う他の例を示す図。 変形例3に係るデータ分析記録情報の一例を示す図。 ブロックチェーンに追加するブロックの例を示す図。 データ管理装置(情報処理装置)のハードウェア構成を示す図。
以下、図面を参照して、本発明の実施形態について説明する。
(第1の実施形態)
図1は、第1の実施形態に係る情報処理システムであるデータ管理システムの構成例を示すブロック図である。図1のデータ管理システムは、本実施形態に係る情報処理装置であるデータ管理装置10、ブロックチェーンシステム20及び情報装置30を備える。データ管理装置10は、通信ネットワークを介して情報装置30より受信した対象となるデータの識別情報を管理用の識別情報に変換して保管するとともに、識別情報と変換後の識別情報との関係を管理する。ブロックチェーンシステム20は、データ管理装置10に保管されたデータ及び当該関係が改ざんされているか否かを検証するための情報又はデータを記録する。データ管理装置10とブロックチェーンシステム20は、通信ネットワークを介して安全な通信が可能である。通信路上でのデータの盗聴を防止し、データの改ざん検知が可能な安全な通信を実現する技術として、SSL/TLS、IPsecなど様々な技術が知られている。情報装置30は任意の事業者又は個人により管理される装置である。情報装置30は図では1台のみ示されているが、複数台の情報装置30が設けられていてもよい。
各通信ネットワークは、インターネット又はモバイルネットワーク等のワイドエリアネットワークでも、イーサネット又は無線LAN等のローカルエリアネットワークでもよいし、シリアル通信ケーブル等のケーブルでもよい。データ管理装置10は、一例としてCPU等のプロセッサ及びメモリ等を含むコンピュータにより構成される。
ブロックチェーンシステム20は、情報を含むトランザクションを1つ又は複数格納したブロックを時系列に沿って連結したデータ構造を有するブロックチェーンを、複数のノード(端末)で同期して管理するシステムである。ブロックチェーンは、ブロックに記録された情報の改ざんが困難であるという性質を有する。ブロックチェーンシステムの実現方法は様々知られているが、本実施形態ではどのような方法を用いてもよい。
ブロックチェーンシステム20は、情報又はデータを記憶するシステムの一例であり、ブロックチェーンシステム20の代わりに、データベースを用いてよい。ブロックチェーンシステム20及びデータベースは記憶システムの一例である。
図2は、第1の実施形態に係るデータ管理装置10の機能ブロック図である。図2のデータ管理装置10は、入力部101と、匿名化管理部102と、データ保管部103と、出力部105とを備える。データ管理装置の事業者(保管事業者又は保管機関)は、他の保管事業者から当該他の保管事業者が保有している個人データを取得、または個人から個人データを取得し、取得した個人データを保管する。データ管理装置の事業者がある企業とした場合、他の保管事業者は健康保険組合、医療機関、保険会社などの機関又は組織等である。
入力部101は、情報装置30からデータ保管要求を受信する。データ保管要求は、個人データと、データ保管要求元の事業者(提供者)を識別する提供者情報とを含む。
個人データは、保管対象となる対象データと、対象データに関する識別情報(第1識別情報)と、対象データのデータ項目(属性)の情報とを含む。対象データに関する識別情報は、一例として、対象データの所有者である個人の個人識別情報である。本実施形態では、対象データに関する識別情報が個人識別情報である場合を想定するが、これに限定されない。例えば、グループ又は組織の識別情報でもよいし、対象データが所属していたファイルディレクトリの識別情報でもよい。
提供者情報は、事業者名(提供者名)、提供者ID等を含む。提供者情報が示す提供者は事業者に限定されず、個人でもよい。
データ保管要求には、その他の情報が含まれていてもよい。例えば個人識別情報に含まれるデータ項目の情報が含まれていてもよい。
入力部101は、データ保管要求を受信した場合、データ保管要求を匿名化管理部102に送る。
匿名化管理部102の仮名化処理部1021は、データ保管要求に含まれる個人データに仮名化処理を行い、仮名化データ(第1仮名化データ)と仮名対応データ(第1仮名対応データ)とを生成する。
具体的には、仮名化処理部1021は、個人データに対して、個人識別情報と異なる管理用の識別情報である管理識別子(第2識別情報)を生成する。管理識別子の生成方法は任意でよい。一例として、カウンタで一定値ずつ上昇する値に基づき管理識別子を生成してもよいし、乱数により管理識別子を生成してもよい。また乱数は、個人データ又は個人識別情報等を入力とする関数により生成してもよいし、その他の方法で生成してもよい。
仮名化処理部1021は、生成した管理識別子と、個人データに含まれる個人識別情報とを対応づけることにより仮名対応データ(第1仮名対応データ)を生成する。生成した仮名対応データを対応関係記憶部1022に送り、対応関係記憶部1022は仮名対応データを、対応関係記憶部1022内の仮名化対応テーブルに格納する。
また、仮名化処理部1021は、生成した管理識別子と、個人データに含まれる対象データとを対応付けることにより仮名化データ(第1仮名化データ)を生成する。仮名化データをデータ保管部103に送り、データ保管部103は仮名化データを、内部の仮名化テーブルに格納する。データ保管部103は、仮名化データを記憶又は保持する第1データ保管部に対応する。
匿名化管理部102は、個人識別情報(例えば氏名等)に対してブロックチェーンシステムから個人ユーザのブロックチェーンユーザID(BCユーザID)を取得する。匿名化管理部102は、個人識別情報と、ブロックチェーンユーザID(BCユーザID)とをセットとしてユーザ情報記憶部1028のユーザテーブルに格納する。BCユーザIDは、ブロックチェーンにおける管理用のIDであり、保管事業者の個人ユーザ(本装置10の保管事業者に個人データを預ける個人、他の保管事業者に個人データを預ける個人)のIDである。BCユーザIDは、個人ユーザ毎にユニークなIDである。ユーザテーブルに既にBCユーザIDが存在する場合は、新たにBCユーザIDを取得しなくてもよい。あるいはあらかじめ、個人識別情報と、ブロックチェーンユーザID(BCユーザID)とを対応付けてユーザテーブルを保持しておいてもよい。この場合、BCユーザIDの取得は不要である。
仮名化処理部1021による仮名化処理の一例を、図3を用いて説明する。
図3は、データ保管要求に含まれる個人データと、個人データに対して仮名化処理により生成された仮名対応データ及び仮名化データとの一例を示す。
図3の個人データは、複数のデータ項目である氏名、性別、生年月日、被保険者番号及び診療報酬明細と、各データ項目の値である“AAAA”、“男性”、“1900/01/01”、“BBBB”及び“CCCC”を含む。氏名及び被保険者番号は、個人を特定可能なプライバシー情報であり、個人識別情報に対応する。性別、被保険者番号及び診療報酬明細は、保管の対象データに対応する。図の例ではデータ項目はテキストによって示されているが、データ保管要求に含まれるデータ項目の情報は、データ項目の種類を表すデータ項目IDによって表されていてもよい。
仮名化処理部1021は、個人データに対して、管理識別子を生成する。図の例では、氏名“AAAA”と被保険者番号“BBBB”との組に対して、管理識別子“z10001”を生成している。
仮名化処理部1021は、生成した管理識別子を、氏名と被保険者番号に対応づけることにより、仮名対応データを生成する。図3に示す仮名対応データは、管理識別子“z10001”と、氏名“AAAA”と、被保険者番号“BBBB”とを含む。
仮名化処理部1021は、管理識別子と、個人データに含まれる対象データ(性別と、年月日と、診療報酬明細)とを対応づけて、仮名化データを生成する。図3に示す仮名化データは、管理識別子“z10001”と、性別“男性”と、年月日“1900/01/01”と、診療報酬明細“CCCC”とを含む。
仮名化データに含まれる管理識別子は、仮名対応データに含まれる管理識別子と同じである。仮名化データと仮名対応データとの両方を用いることで、元の個人データを復元できる。
仮名化処理部1021による仮名化処理の他の例を、図4を用いて説明する。
図4は、個人データと、個人データに対して仮名化処理により生成された仮名対応データ及び仮名化データとの一例を示す。
図4に示す個人データは、氏名、性別、生年月日、被保険者番号、健康診断結果を含む。氏名、誕生日(生年月日のうちの月日)、被保険者番号は、個人を特定可能なプライバシー情報であり、個人識別情報に対応する。性別、生年、健康診断結果は、保管の対象データに対応する。
仮名化処理部1021は、個人データに対して管理識別子を生成し、生成した管理識別子を、個人データに含まれる個人識別情報に対応づけることにより、仮名対応データを生成する。図4の中央に示す仮名対応データは、管理識別子“z10002”と、氏名“DDDD”と、誕生日“01/01”と、被保険者番号“EEEE”とを含む。
仮名化処理部1021は、生成した管理識別子を、個人データに含まれる対象データに対応づけることにより、仮名化データを生成する。図4に示す仮名化データは、管理識別子“z10002”と、性別“女性”と、生年“1900”と、健康診断結果“FFFF”とを含む。
仮名化データに含まれる管理識別子は、仮名対応データに含まれる管理識別子と同じである。仮名化データと仮名対応データとの両方を用いることで、元の個人データを復元できる。
図3及び図4に示した匿名化処理は一例であり、図3及び図4に例示した方法に限定されない。また個人データのフォーマットも図3及び図4の例に限定されない。また個人データに含まれるどの部分のデータが個人識別情報に相当するかも、特定の方法に限定されない。
仮名化処理部1021は、仮名対応データ(第1仮名対応データ)を対応関係記憶部1022に送る。仮名化処理部1021は、仮名化データをデータ保管部103に送る。また、仮名化処理部1021は、仮名対応データと仮名化データとをハッシュ化処理部1023に送る。
同意情報記憶部1027は、個人データの所有者である個人の同意情報を含む同意情報テーブルを保持している。同意情報は、個人が個人データの受領(受信)、保有(保管又は保持)、及び分析等に関する同意の有無などをまとめた情報である。同意情報は、一例として、同意ID、署名者ID、年月日、本人ID(個人のBCユーザID)、受領者ID(受領者のBCユーザID)、データ項目、受領者による受領の同意の可否、提供者ID(提供者のBCユーザID)、受領者の利用目的、受領者による利用の同意の可否、受領者による保有(保管又は保持)の同意の可否、などを含む。受領者は、データ管理装置10の事業者である。提供者はデータ保管要求を送信した事業者(個人の場合もあり得る)である。同意の可否が“同意”の場合は個人が同意していることを意味し、“撤回”の場合は同意していないこと(例えばいったん同意したが、その後に同意を撤回したこと)を意味する。“利用”とは、個人データを分析に利用したり、第3者に提供したりすることを意味する。
データ保管部103は、仮名化処理部1021で生成された仮名化データを内部の仮名化テーブルに格納する。仮名化データの保管は、個人データの所有者である個人が個人データの保管に同意していることを当該個人の同意情報に基づき確認したことを条件として行う。この場合、データ保管要求に含まれる個人識別情報から上述のユーザテーブルに基づき個人の本人ID(個人のBCユーザID)を特定し、本人IDから、合致する同意情報を取得する。個人識別情報が本人IDを含んでいてもよく、この場合、個人識別情報に含まれる本人IDを用いてもよい。
対応関係記憶部1022は、仮名化処理部1021から受けた仮名対応データを内部の仮名化対応テーブルに格納する。仮名化データの保管の場合と同様、仮名対応データの保管は、個人データの所有者である個人が個人データの保管に同意していることを当該個人の同意情報に基づき確認したことを条件として行ってもよい。対応関係記憶部1022は、メモリ、ハードウェア又は光装置などの任意の記録媒体により構成される。対応関係記憶部1022及びデータ保管部103が同一の記録媒体であってもよい。対応関係記憶部1022は、仮名対応データを記憶又は保持する第1記憶部に対応する。
ハッシュ化処理部1023は、仮名対応データに基づく演算により、仮名対応データのハッシュ値(仮名対応データに基づく第1値)を算出する。つまり仮名対応データをハッシュ関数に入力として与え、ハッシュ関数の出力として仮名対応データのハッシュ値を得る。仮名対応データのハッシュ値(第1値)は、仮名対応データが改ざんされているか否かを検査するための情報である。ハッシュ値は、仮名対応データに暗号学的ハッシュ関数を用いることで計算できる。また、ハッシュ値は一例であり、仮名対応データに基づく演算による値であれば、他の値を算出してもよい。この際、出力値の予測不可能性を持つ関数、一方向関数又は疑似乱数発生器を用いることができる。
また、ハッシュ化処理部1023は、仮名化データに基づく演算により、仮名化データのハッシュ値(仮名化データに基づく第2値)を算出する。つまり仮名化データをハッシュ関数に入力として与え、ハッシュ関数の出力として仮名化データのハッシュ値を得る。仮名化データのハッシュ値(第2値)は、仮名化データが改ざんされているか否かを検査するための情報である。ハッシュ値は、仮名化データに暗号学的ハッシュ関数を用いることで計算できる。また、ハッシュ値は一例であり、仮名化データに基づく演算による値であれば、他の値を算出してもよい。この際、出力値の予測不可能性を持つ関数、一方向関数又は疑似乱数発生器を用いることができる。
記録処理部1024は、受領年月日と、同意IDと、提供者IDと、対象データのデータ項目と、仮名対応データのハッシュ値と、仮名化データのハッシュ値とを含むデータ受領記録情報(第1記録情報)を生成する。同意IDは、仮名化データの保管可否の判定に用いた同意情報に含まれる同意IDを用いる。同意IDは、個人識別情報に対応する第1情報の一例である。受領年月日は、データ保管要求に含まれている年月日を用いてもよいし、データ保管要求を受信した年月日を用いてもよい。データ受領記録情報には、上述した項目以外の項目を追加してよい。
図5は、記録処理部1024によって生成されたデータ受領記録情報の例を示す。図示のデータ受領記録情報は、受領年月日、同意ID、提供者ID、データ項目ID(データ種別ID)、仮名対応データのハッシュ値(対応データ検査値)と、仮名化データのハッシュ値(仮名化データ検査値)を含む。提供者IDは、名称、住所、代表者(事業者)と紐づいている。
記録処理部1024は、生成したデータ受領記録情報を含むトランザクションを生成する。記録処理部1024は、トランザクションをブロックに追加することを依頼する依頼情報を、ブロックチェーンシステム20に送信する。ブロックチェーンシステム20は、依頼情報によって示されるトランザクション(データ受領記録情報)を含むブロックを生成し、生成したブロックを新規ブロックとしてブロックチェーンに追加する。あるいは、記録処理部1024はトランザクションを含むブロックを生成し、ブロックを新規ブロックとして追加することを依頼する依頼情報をブロックチェーンシステム20に送信してもよい。
図6は、記録処理部1024又はブロックチェーンシステム20によって生成されたブロックの例を示す。トランザクションにはデータ受領記録情報、トランザクションを識別する情報(BCトランザクションID又は記録ID)、保管事業者のBCユーザIDが含まれる。トランザクションIDはブロックチェーンシステム20の管理サーバに問い合わせることによって取得する。またトランザクションは、BCユーザIDで特定される保管事業者(BCのユーザ)に対応するBC用秘密鍵で生成されたデジタル署名を含む。記録処理部1024又はブロックチェーンシステム20によって生成されるブロックには、ブロックチェーンにおける1つ前のブロックのハッシュ値が、前ブロック検査値として含められる。
記録処理部1024はブロックチェーンシステム20からトランザクションの受領又はブロックが追加されたことを示す応答情報を受信する。出力部105は、応答情報が受信された後、データ保管要求の送信元の情報装置30にデータ保管が完了したことを通知する情報を送信する。
入力部101は、情報装置30から対象データの検査要求(データ検査要求)を受信する。データ検査要求は、データ管理装置10に保管されている対象データが改ざんされていないかどうかを確認する要求である。データ検査要求は、対象データを特定するための情報として検査対象特定情報を含む。検査対象特定情報は、一例として対象データに係る個人識別情報を含む。その他、検査対象特定情報は、対象データをデータ管理装置に提供した事業者(対象データの保管要求を行った事業者)を識別する情報(提供者ID)、又は、検査要求の送信元の事業者のID(分析依頼者ID)を含んでもよい。入力部101は、データ検査要求を受信した場合、受信したデータ検査要求を匿名化管理部102に送る。
なお、データ検査要求を行う事業者と対象データの保管要求を行った事業者は同じでもよいし、異なってもよい。すなわち、データ検査要求を送信した情報装置30と、データ保管要求を送信した情報装置30とは同じ事業者の装置であっても、互いに異なる事業者の装置であってもよい。検査要求を行う事業者は、監査を行う監査機関でもよいし、データ保管を要求した事業者でもよい。
匿名化管理部102の参照処理部1026は、データ検査要求に含まれる検査対象特定情報(ここでは個人識別情報)に基づき、ブロックチェーンシステム20からデータ受領記録情報を取得する。
具体的には、参照処理部1026は、対応関係記憶部1022の仮名化対応テーブルから、当該個人識別情報を含む仮名対応データを取得する。検査対象特定情報は、一例として、個人の氏名と被保険者番号とのデータ項目及び値を含む。データ項目は1つでもよい。上述の図3の例において、検査対象特定情報が氏名“AAAA”及び被保険者番号“BBBB”を指定する場合、これらのデータ項目として“AAAA”と“BBBB”の組を含む仮名対応データを取得する。検査対象特定情報は、複数人分の個別識別情報を指定してもよいし、1人について複数の個別識別情報を指定してもよい。被保険者番号を値の範囲で指定してもよい。また、検査対象特定情報は、氏名、誕生日及び秘本保険者番号の組、又はこれら3つの値のうちの少なくとも1つを指定してもよい(図4参照)。誕生日を値の範囲で指定してもよい。
参照処理部1026は、取得した仮名対応データに含まれる管理識別子を特定し、管理識別子を含む仮名化データを、データ保管部103の仮名化テーブルから取得する。そして、取得した仮名化データに含まれる対象データのデータ項目を特定する。上述した図3の例において、“AAAA”と“BBBB”の組を含む仮名対応データが取得された場合、仮名対応データに含まれる“z10001”を特定し、“z10001”を含む仮名化データ(図3の一番下に示す仮名化データ)を取得する。取得した仮名化データに含まれるデータ項目として性別、生年月日及び診療報酬明細を特定する。
なお、“AAAA”と“BBBB”の組を含む仮名対応データが複数存在する場合は、複数の仮名対応データのそれぞれから管理識別子を特定すればよい。そして、特定した管理識別子ごとに、仮名化データの取得と、対象データのデータ項目の特定とを行えばよい。
匿名化管理部102の参照処理部1026は、データ検査要求に含まれる個人識別情報(氏名等)に対応するBCユーザIDを、ユーザ情報記憶部1028のユーザテーブルから取得する。取得したBCユーザIDを本人IDとして含む同意情報を同意情報記憶部1027の同意情報テーブルから取得し、取得した同意情報に含まれる同意IDを特定する。
参照処理部1026は、特定した同意IDと、上記で取得したデータ項目とに基づき、データ受領記録情報の検索(取得)を依頼する依頼情報をブロックチェーンシステム20に送信する。
ブロックチェーンシステム20は、依頼情報に含まれる同意ID及びデータ項目を有するトランザクションを特定する。ブロックチェーンシステム20は、特定したトランザクションをデータ管理装置10に送信する。
参照処理部1026はブロックチェーンシステム20からトランザクションを受信すると、デジタル署名の検証を行い、トランザクションに含まれるデータ受領記録情報が公正に作成されたことを確認する。参照処理部1026は、データ受領記録情報をデータ検査部1025に渡す。
データ検査部1025は、参照処理部1026で取得された上記の仮名対応データと仮名化データとを取得し、ハッシュ化処理部1023に仮名対応データのハッシュ値と、仮名化データのハッシュ値とを算出させ、取得する。
データ検査部1025は、取得した仮名対応データのハッシュ値と仮名化データのハッシュ値とが、データ受領記録情報に含まれる仮名対応データのハッシュ値と仮名化データのハッシュ値とに一致するか否かを検査(改ざん検査)する。すなわち両者が一致するかに基づき、データ管理装置10に保管されている個人識別情報及び対象データの少なくとも一方の改ざんの有無(正当性)を判定する。
両者とも一致する場合は、仮名対応データ及び仮名化データの改ざんが行われていないと判定する。すなわち、個人データ(個人識別情報及び対象データ)の改ざんが行われていないと判断する。
いずれか一方が一致しない場合に、個人データの改ざんが行われたと判定してもよい。具体的には、仮名対応データのハッシュ値が一致しない場合は、仮名対応データ又は個人識別情報の改ざんが行われたと判定してもよい。仮名化データのハッシュ値が一致しない場合は、仮名化データ又は対象データの改ざんが行われたと判定してもよい。
ブロックチェーンシステム20から複数のトランザクションが受信された場合、受信したすべてのトランザクションについて仮名対応データのハッシュ値と仮名化データのハッシュ値とに基づく改ざん検査を行う。いずれかのトランザクションに、ハッシュ化処理部1023で取得されたこれらのハッシュ値と同じハッシュ値が含まれていれば、仮名対応データ及び仮名化データの改ざんは行われていないと判定する。
出力部105は、データ検査要求の送信元の情報装置30に改ざん検査の結果情報を送信する。
図7は、入力部101が情報装置30から対象データの保管要求(データ保管要求)を受信した場合のデータ管理装置10とブロックチェーンシステム20の動作の一例を示すフローチャートである。
入力部101は、情報装置30からデータ保管要求を受信する(S11)。データ保管要求は、一例として、個人データと、データ保管要求元の事業者(提供者)を識別する情報(提供者ID等)とを含む。個人データは、個人を識別可能な個人識別情報(第1識別情報)と、保管対象となる対象データと、対象データのデータ項目の情報等を含む。
匿名化管理部102の仮名化処理部1021は、データ保管要求に含まれる個人データに仮名化処理を行い、仮名化データ(第1仮名化データ)と仮名対応データ(第1仮名対応データ)とを生成する(S12~S15)。具体的には、匿名化管理部102は、個人識別情報(例えば氏名等)に対して個人ユーザのブロックチェーンユーザID(BCユーザID)を取得し、個人識別情報とBCユーザIDとをセットとしてデータ保管部103のユーザテーブルに保持する。また、BCユーザIDを含む同意情報を同意情報テーブルから取得し、個人データの所有(保管)に関する同意を確認する。仮名化処理部1021は、個人データに対して、個人識別情報と異なる識別情報である管理識別子(第2識別情報)を生成する(S12)。仮名化処理部1021は、生成した管理識別子と、個人データに含まれる個人識別情報とを対応づけることにより仮名対応データ(第1仮名対応データ)を生成し、対応関係記憶部1022内の対応関係テーブルで保持する(S13)。また、仮名化処理部1021は、生成した管理識別子と、個人データに含まれる対象データとを対応付けることにより仮名化データ(第1仮名化データ)を生成し、仮名化データをデータ保管部103内の仮名化テーブルで保持する(S14)。
匿名化管理部102のハッシュ化処理部1023は、仮名対応データのハッシュ値(仮名対応データに基づく第1値)を算出する(S15)。また、ハッシュ化処理部1023は、仮名化データのハッシュ値(仮名化データに基づく第2値)を算出する(同S15)。
記録処理部1024は、受領年月日と、同意IDと、提供者IDと、対象データのデータ項目と、仮名対応データのハッシュ値と、仮名化データのハッシュ値等を含むデータ受領記録情報を生成する(S16)。
記録処理部1024は、生成したデータ受領記録情報、BCトランザクションID、BCユーザID、デジタル署名等を含むトランザクションを生成、又は当該トランザクションを含むブロックを生成する(S17)。記録処理部1024は、トランザクションをブロックに追加すること又は生成したブロックを追加する依頼情報をブロックチェーンシステム20に送信する(同S17)。ブロックチェーンシステム20は、依頼情報に基づいて、トランザクションを含むブロックをブロックチェーンに追加する(同S17)。
図8は、入力部101が、情報装置30から対象データの検査要求(データ検査要求)を受信した場合のデータ管理装置10及びブロックチェーンシステム20の動作の一例を示すフローチャートである。
入力部101は、情報装置30から対象データの検査要求(データ検査要求)を受信する(S21)。データ検査要求は、対象データを特定するための情報として検査対象特定情報(個人識別情報等)を含む。検査対象特定情報は、対象データを提供した事業者(対象データの保管要求を行った事業者)を識別する情報(提供者ID又はユーザID)を含んでもよい。検査対象特定情報は、検査要求の送信元の事業者のID(分析依頼者ID)を含んでもよい。
参照処理部1026は、対応関係記憶部1022の仮名化対応テーブルから、当該個人識別情報を含む仮名対応データを取得する(S22)。参照処理部1026は、取得した仮名対応データに含まれる管理識別子を特定し、管理識別子を含む仮名化データを、データ保管部103の仮名化テーブルから取得する(S23)。そして、取得した仮名化データに含まれる対象データのデータ項目を特定する。
参照処理部1026は、データ検査要求に含まれる個人識別情報(氏名等)からユーザテーブルに基づきBCユーザIDを特定し、BCユーザIDを含む同意情報を同意情報テーブルから取得する。参照処理部1026は、同意情報に含まれる同意IDを特定し、特定した同意IDと、上述のデータ項目に基づき、データ受領記録情報の検索(取得)を依頼する依頼情報をブロックチェーンシステム20に送信する。参照処理部1026は、ブロックチェーンシステム20から依頼情報に基づき検索されたトランザクションを受信する(S24)。参照処理部1026はトランザクションに含まれるデジタル署名の検証を行った後、トランザクションに含まれるデータ受領記録情報を取得する。
ハッシュ化処理部1023は、上記で取得された仮名対応データからハッシュ値を算出し、さらに、上記で取得された仮名化データからハッシュ値を算出する(S25)。データ検査部1025は、算出したこれらのハッシュ値が、データ受領記録情報に含まれる仮名対応データのハッシュ値と仮名化データのハッシュ値とに一致するか否かを検査(改ざん検査)する(S26)。
両者とも一致する場合は(S27のYES)、仮名対応データ及び仮名化データの改ざんが行われていないと判定する(S28)。すなわち、個人データ(個人識別情報及び対象データ)の改ざんが行われていないと判断する。いずれか一方が一致しない場合に(S27のNO)、個人データの改ざんが行われたと判定する。(S29)具体的には、仮名対応データのハッシュ値が一致しない場合は、仮名対応データ又は個人識別情報の改ざんが行われたと判定する。仮名化データのハッシュ値が一致しない場合は、仮名化データ又は対象データの改ざんが行われたと判定する。出力部105は、データ検査要求の送信元の情報装置30に改ざん検査の結果情報を送信する。
(変形例1)
上述した実施形態では仮名化データと仮名対応データとの両方を改ざんの有無の検出対象としたが、仮名対応データのみを改ざんの有無の検出対象としてもよい。この場合、仮名対応データのハッシュ値のみを算出し、仮名対応データのハッシュ値のみをデータ受領記録情報に格納してもよい。
(変形例2)
同意情報及びデータ受領記録情報に所有者(個人)を識別する所有者IDを含めてもよい。所有者IDは、個人のBCユーザIDでもよいし、他のIDでもよい。この場合、データ受領記録情報の取得を依頼する依頼情報に、同意IDに代えて又は同意IDとともに、所有者IDを含めてもよい。データ保管要求及びデータ検査要求の少なくとも一方に所有者IDを含めてもよい。同意ID及び所有者IDの少なくとも一方は、個人識別情報に基づく第1情報の一例に相当する。上述した実施形態における同意情報テーブル及びユーザテーブルは、個人識別情報と第1情報とを対応付けた第1対応情報データの一例である。個人識別情報(第1識別情報)に基づく第1情報は、第1情報が個人識別情報そのものである場合(第1情報及び個人識別情報がいずれも所有者IDである場合など)と、第1情報が第1対応情報データにおいて個人識別情報に対応付けられている場合(個人識別情報が氏名等であり、第1情報が同意IDである場合など)とのいずれの場合も含む。
以上、第1実施形態によれば、対象データに対応する個人識別情報を管理識別子に変更する仮名化を行う場合に、個人識別情報と管理識別子とを含む仮名対応データを対応関係記憶部に記憶するとともに、仮名対応データのハッシュ値をブロックチェーンシステムに記録する。この仮名対応データの正当性(改ざんの有無)を検査したい場合には、ブロックチェーンシステムからハッシュ値を読み出すとともに、対応関係記憶部から読み出した仮名対応データのハッシュ値を計算する。計算したハッシュ値と、ブロックチェーンシステムから読み出したハッシュ値とが一致する場合は、仮名対応データは改ざんされていないと判定する。これにより仮名化を行った場合にも、対象データの個人識別情報を正しく特定できる。
さらに、本実施形態によれば、対象データを管理識別子と対応づけた仮名化データをデータ保管部に記憶するとともに、仮名化データのハッシュ値をブロックチェーンシステムに記録する。この仮名化データの正当性(改ざんの有無)を検査したい場合には、ブロックチェーンシステムから仮名化データのハッシュ値を読み出すとともに、データ保管部から読み出した仮名化データのハッシュ値を計算する。計算したハッシュ値と、ブロックチェーンシステムから読み出したハッシュ値とが一致する場合は、仮名化データは改ざんされていないと判定する。これにより仮名化を行った場合に、対象データの正当性(改ざんの有無)を判定できる。
(変形例3)
同意情報記憶部1027が保持する、個人データの所有者である個人の同意情報をブロックチェーンシステムに記録するように構成してもよい。
その場合、匿名化管理部102の参照処理部1026は、データ検査要求に含まれる個人識別情報(氏名等)に対応するBCユーザIDを、ユーザ情報記憶部1028のユーザテーブルから取得する。取得したBCユーザIDを本人IDとして含む同意情報をブロックチェーンシステムから取得し、取得した同意情報に含まれる同意IDを特定する。
(第2の実施形態)
第1の実施形態ではデータ管理装置10が情報装置30からデータ保管要求を受信した場合の形態を記載したが、第2の実施形態では、データ分析要求を受信した場合の形態を記載する。
図9は、第2の実施形態に係るデータ管理装置10のブロック図を示す。第1の実施形態のブロック図にデータ分析部104が追加されている。第1の実施形態と同様のブロックには同一の符号を付して、適宜説明を省略する。第1の実施形態と同様、各種処理の変形・拡張が可能であるが、これらの説明は第1の実施形態の説明から自明であるため省略する。
入力部101は、情報装置30からデータ分析要求を受信する。情報装置30の事業者、すなわちデータ分析要求の送信元の事業者は分析依頼業者である。データ分析要求は、個人データ(対象データ)に基づくデータの分析を要求する。分析対象特定情報は、一例として、分析に用いる個人データの個人を特定する個人識別情報、分析対象となるデータ項目、分析方法を特定する情報(分析方法特定情報)、及び分析事業者(本実施形態ではデータ管理装置の事業者)を識別する情報(分析者ID)等を含む。分析対象特定情報は、分析依頼業者を識別する情報(分析依頼者ID)を含んでいてもよい。入力部101は、データ分析要求を受信した場合、データ分析要求を匿名化管理部102に送る。
匿名化管理部102の仮名化処理部1021は、データ分析要求に含まれる分析対象特定情報に基づき、データ保管部103の仮名化テーブルから、分析の対象となる仮名化データを取得する。仮名化処理部1021は、データ分析部104に、取得した仮名化データと分析方法特定情報とを送る。
データ分析部104は、仮名化データに含まれる対象データ、例えば分析対象特定情報で特定されるデータ項目のデータに対して、分析方法特定情報で特定される分析方法により分析処理を行うことにより、分析結果データを生成する。この際、匿名化管理部102は、分析に用いる対象データの所有者(個人)のBCユーザIDをユーザ情報記憶部1028のユーザテーブルから取得し、同意情報記憶部1027の同意情報テーブルから個人のBCユーザIDを含む同意情報を取得する。取得した同意情報において、個人が分析に同意している場合にのみ、分析処理を行う。
匿名化管理部102の仮名化処理部1021は、仮名化データに含まれていた管理識別子(管理識別子Aと記載する)を仮管理識別子とし、仮管理識別子を分析結果データに対応づけた仮管理識別子付き分析結果データを生成する。仮管理識別子(管理識別子A)とは異なる新たな管理識別子(管理識別子Bと記載する)を生成する。仮管理識別子(管理識別子A)は、個人を特定可能なプライバシー情報に相当する。管理識別子Bの生成方法は第1の実施形態で記載した管理識別子の生成方法と同様でよい。
仮名化処理部1021は、仮管理識別子付き分析結果データの仮管理識別子を管理識別子Bに入れ替えることにおり、管理識別子Bを分析結果データに対応づけた、管理識別子付き分析結果データ(第2仮名化データ)を生成する。また仮名化処理部1021は、管理識別子付き分析結果データを、データ保管部103の内部の分析結果テーブルに格納する。管理識別子Bは、分析結果データを識別する第3識別情報に対応する。データ保管部103は第2仮名化データを保管する第2データ保管部に対応する。
また仮名化処理部1021は管理識別子Bと管理識別子Aとを対応づけた分析対応データ(第2仮名対応データ)を生成する。仮名化処理部1021は、対応関係記憶部1022の内部の分析対応テーブルに分析対応データを格納する。対応関係記憶部102は、第2仮名対応データを記憶する第2記憶部に対応する。
仮名化処理部1021による仮名化処理の一例を、図10を用いて説明する。
図10は、仮名化処理部1021による仮名化処理の一例を説明するための図である。データ分析要求に応じて取得された仮名化データに含まれるデータ項目に対してデータ分析により分析結果データが生成されている。仮名化データは、管理識別子、性別、生年、健康診断結果を含む。仮名化データに含まれる管理識別子“z10002”は上述の管理識別子Aに相当する。分析対象となるデータ項目は性別、生年及び健康診断結果である。分析方法特定情報で生活習慣病リスク判定手法とがん罹患リスク判定分析手法が指定されている。データ分析結果として、生活習慣病リスクは“中“、がん罹患リスクは“低”である。 “z10002”を仮管理識別子とし、“z10002”を分析結果データに対応づけた仮管理識別子付き分析結果データが生成される。仮名化処理により、新たに管理識別子Bとして管理識別子“a10003”が生成され、管理識別子“a10003”をデータ分析結果に対応づけて、管理識別子付き分析結果データが生成されている。また管理識別子“a10003”を“z10002”に対応づけて、分析対応データが生成されている。分析対応データは対応関係記憶部1022の分析対応テーブルに格納され、管理識別子付き分析結果データはデータ保管部103の分析結果テーブルに格納される。
匿名化管理部102のハッシュ化処理部1023は、分析対応データに基づく演算により、分析対応データのハッシュ値(分析対応データに基づく第3値)を算出する。分析対応データのハッシュ値は、分析対応データが改ざんされているか否かを検査するための情報である。ハッシュ値は、分析対応データに暗号学的ハッシュ関数を用いることで計算できる。また、ハッシュ値は一例であり、分析対応データに基づく演算による値であれば、他の値を算出してもよい。この際、出力値の予測不可能性を持つ関数、一方向関数又は疑似乱数発生器を用いることができる。
また、ハッシュ化処理部1023は、管理識別子付き分析結果データに基づく演算により、管理識別子付き分析結果データのハッシュ値(管理識別子付き分析結果データに基づく第4値)を算出する。管理識別子付き分析結果データのハッシュ値は、管理識別子付き分析結果データが改ざんされているか否かを検査するための情報である。ハッシュ値は、管理識別子付き分析結果データに暗号学的ハッシュ関数を用いることで計算できる。また、ハッシュ値は一例であり、管理識別子付き分析結果データに基づく演算による値であれば、他の値を算出してもよい。この際、出力値の予測不可能性を持つ関数、一方向関数又は疑似乱数発生器を用いることができる。
匿名化管理部102の記録処理部1024は、分析対応データのハッシュ値および管理識別子付き分析結果データのハッシュ値を含むデータ分析記録情報(第2記録情報)を生成する。より詳細には、記録処理部1024は、分析年月日と、同意IDと、分析者IDと、分析対象のデータ項目(データ種別ID)と、分析対応データのハッシュ値と、管理識別子付き分析結果データのハッシュ値とを含むデータ分析記録情報を生成する。例えば分析年月日は、データ分析要求に含まれている。データ分析記録情報には、他にも様々な項目を追加することができる。同意IDは、データ分析に対する個人の同意の確認に用いた同意情報に含まれる同意IDである。
図11は、記録処理部1024によって生成されたデータ分析記録情報の例を示す。図示のデータ分析記録情報は、分析年月日、同意ID、分析者ID、データ項目ID(データ種別ID)、分析対応データのハッシュ値(対応データ検査値)と、管理識別子付き分析結果データのハッシュ値(分析データ検査値)を含む。分析者IDは、名称、住所、代表者(事業者)と紐づいている。
記録処理部1024は、生成したデータ分析記録情報を含むトランザクションを生成する。トランザクションにはデータ分析記録情報(図11参照)、トランザクションを識別する情報(BCトランザクションID又は記録ID)、分析事業者のBCユーザIDが含まれる。またトランザクションは、BCユーザIDで特定されるユーザ(分析事業者)のBC用秘密鍵で生成されたデジタル署名を含む。記録処理部1024は、トランザクションをブロックに追加することを依頼する依頼情報を、ブロックチェーンシステム20に送信する。ブロックチェーンシステム20は、依頼情報によって示されるトランザクションを含むブロックを生成し、生成したブロックを新規ブロックとしてブロックチェーンに追加する。あるいは、記録処理部1024はトランザクションを含むブロックを生成し、ブロックを新規ブロックとして追加することを依頼する依頼情報をブロックチェーンシステム20に送信してもよい。
図12は、記録処理部1024又はブロックチェーンシステム20によって生成されるブロックの例を示す。ブロックにはトランザクションと、ブロックには1つ前のブロックのハッシュ値(前ブロック検査値)とが含められる。前ブロック検査値を記録処理部1024が追加する場合、ブロックチェーンシステム20に問い合わせることによって前ブロック検査値を取得する。
入力部101は、情報装置30から検査対象の分析結果データのデータ検査要求を受信する。データ検査要求は、データ管理装置10に保管されている分析結果データが改ざんされていないかどうかを要求する。データ検査要求は、検査対象の分析結果データを特定するための情報を、検査対象特定情報として含む。検査対象特定情報は、一例として、データ分析に用いたデータ項目とデータ項目の値、対象データの分析を行った事業者を識別する情報(分析者ID)とを含む。また、検査対象特定情報は、分析結果データの生成元となった個人データの個人の個人識別情報を含んでもよい。検査対象特定情報は、データ分析に用いた手法の情報を含んでもよい。入力部101は、データ検査要求を受信した場合、受信したデータ検査要求を匿名化管理部102に送る。
なお、データ検査要求を行う事業者とデータ分析要求を行った事業者は同じでもよいし、異なってもよい。すなわち、データ検査要求を送信した情報装置30と、データ分析要求を送信した情報装置30とは同じ事業者の装置であっても、互いに異なる事業者の装置であってもよい。
匿名化管理部102の参照処理部1026は、データ検査要求に含まれる検査対象特定情報に基づき、ブロックチェーンシステム20からデータ分析記録情報を取得する。
具体的には、参照処理部1026は、データ保管部103の仮名化テーブルから、検査対象特定情報によって特定されるデータ項目とデータ項目の値とを含む仮名化データを取得する。上述の図10の例において、検査対象特定情報が性別“女性”、生年“1900”、及び健康診断結果“FFFF”を指定する場合、“女性”と“1900”と“FFFF”との組を含む仮名化データを取得する。検査対象特定情報が個人を指定している場合は、当該個人に関する仮名化データを取得してもよい。
参照処理部1026は、取得した仮名対応データに含まれる管理識別子を仮管理識別子(管理識別子A)として特定し、仮管理識別子を含む分析対応データを、データ保管部103の分析対応テーブルから取得する。分析対応データにおいて仮管理識別子に対応する管理識別子(管理識別子B)を特定する。特定した管理識別子(管理識別子B)を含む管理識別子付き分析結果データをデータ保管部103の分析結果テーブルから取得する。取得した管理識別子付き分析結果データに含まれる対象データのデータ項目を特定する。上述した図10の例において、取得した仮名対応データから仮管理識別子(管理識別子A)として“z10002”が特定された場合、“z10002”に対応する“a10003”が管理識別子(管理識別子B)として特定される。a10003”を含む管理識別子付き分析結果データが取得され、データ項目として生活習慣病リスクとがん罹患リスクが特定される。
匿名化管理部102の参照処理部1026は、仮名化データの個人の氏名(個人識別情報)に基づき、ユーザ情報記憶部1028のユーザテーブルからBCユーザIDを取得する。参照処理部1026は、取得したBCユーザIDを本人IDとして含む同意情報を、同意情報記憶部1027の同意情報テーブルから取得し、同意情報に含まれる同意IDを特定する。
参照処理部1026は、取得した同意IDと、上述のデータ項目(例えば生活習慣病リスクとがん罹患リスク)とに基づき、データ分析記録情報の検索(取得)を依頼する依頼情報をブロックチェーンシステム20に送信する。
ブロックチェーンシステム20は、依頼情報に含まれる同意ID及びデータ項目を有するトランザクションを特定する。ブロックチェーンシステム20は、特定したトランザクションをデータ管理装置10に送信する。
参照処理部1026はブロックチェーンシステム20からトランザクションを受信すると、デジタル署名の検証を行い、トランザクションに含まれるデータ分析記録情報が公正に作成されたことを確認する。参照処理部1026は、データ分析記録情報をデータ検査部1025に渡す。
データ検査部1025は、参照処理部1026で取得された上記の分析対応データと管理識別子付き分析結果データとを取得し、ハッシュ化処理部1023に、分析対応データのハッシュ値と、管理識別子付き分析結果データのハッシュ値とを算出させ、取得する。
データ検査部1025は、取得した分析対応データのハッシュ値と管理識別子付き分析結果データのハッシュ値とが、データ分析記録情報に含まれる分析対応データのハッシュ値と管理識別子付き分析結果データのハッシュ値とに一致するか否かを検査する。すなわち両者が一致するかに基づき、データ管理装置10に保管されている分析結果データの改ざんの有無(正当性)を判定する。
両者とも一致する場合は、分析対応データ及び管理識別子付き分析結果データの改ざんが行われていないと判定する。すなわち、分析結果データの改ざんが行われていないと判断する。いずれか一方が一致しない場合に、分析結果データ又は分析対応データ等の改ざんが行われたと判定してもよい。具体的には、分析対応データのハッシュ値が一致しない場合は、分析対応データの改ざんが行われたと判定する。管理識別子付き分析結果データのハッシュ値が一致しない場合は、仮名化データ又は分析結果データの改ざんが行われたと判定する。
出力部105は、検査要求の送信元の情報装置30に改ざん検査の結果情報を送信する。なお、出力部105は、同意情報に同意を撤回する情報が含まれていた場合、データ分析
及びデータ分析結果の保存の同意が撤回された旨の情報を送信してもよい。
図13は、入力部101が情報装置30からデータ分析要求を受信した場合のデータ管理装置10とブロックチェーンシステム20の動作の一例を示すフローチャートである。
入力部101は、情報装置30からデータ分析要求を受信する(S31)。データ分析要求は、分析対象のデータを特定する情報(分析対象特定情報)を含む。分析対象特定情報は、一例として、分析対象となるデータ項目、分析方法を特定する情報(分析方法特定情報)、及び分析事業者(本実施形態ではデータ管理装置の事業者)を識別する情報(分析者ID)等を含む。分析対象特定情報は、個人を特定する個人識別情報を含んでいてもよい。分析対象特定情報は、分析依頼業者を識別する情報(分析依頼者ID)を含んでいてもよい。
匿名化管理部102の仮名化処理部1021は、データ分析要求に含まれる分析対象特定情報に基づき、データ保管部103の仮名化テーブルから、対象となる仮名化データを取得する(S32)。仮名化処理部1021は、データ分析部104に、取得した仮名化データと分析方法特定情報とを送る。
データ分析部104は、仮名化データに含まれる対象データ、例えば分析対象特定情報で特定されるデータ項目のデータに対して、分析処理を行うことにより、分析結果データを生成する(S33)。この際、匿名化管理部102は、分析に用いる対象データの所有者(個人)のBCユーザIDをユーザ情報記憶部1028のユーザテーブルから取得し、同意情報記憶部1027の同意情報テーブルから個人のBCユーザIDを含む同意情報を取得する。取得した同意情報において、個人が分析に同意している場合にのみ、分析処理を行う。
匿名化管理部102の仮名化処理部1021は、仮名化データに含まれていた管理識別子を仮管理識別子とし、分析結果データに対して新たな管理識別子を生成する(S34)。仮名化処理部1021は、新たな管理識別子を分析結果データに対応づけた、管理識別子付き分析結果データを生成する(S35)。仮名化処理部1021は、管理識別子付き分析結果データをデータ保管部103の分析結果テーブルにおいて保持する(同S35)。また仮名化処理部1021は仮名化データに含まれていた管理識別子を仮管理識別子とし、仮管理識別子と新たな管理識別子とを対応付けた分析対応データを生成する(S36)。仮名化処理部1021は、分析対応データを対応関係記憶部1022の分析対応テーブルにおいて保持する(同S36)。
匿名化管理部102のハッシュ化処理部1023は、分析対応データのハッシュ値を算出する(S37)。また、ハッシュ化処理部1023は、管理識別子付き分析結果データのハッシュ値を算出する(同S37)。
記録処理部1024は、分析年月日と、同意IDと、分析者IDと、分析対象のデータ項目と、分析対応データのハッシュ値と、管理識別子付き分析結果データのハッシュ値等を含むデータ分析記録情報を生成する(S38)。同意IDは、データ分析に対する個人の同意の確認に用いた同意情報に含まれる同意IDである。
記録処理部1024は、生成したデータ分析記録情報、BCトランザクションID、分析事業者のBCユーザID、デジタル署名等を含むトランザクションを生成、又は当該トランザクションを含むブロックを生成する(S39)。記録処理部1024は、トランザクションをブロックに追加すること又は生成したブロックを追加する依頼情報をブロックチェーンシステム20に送信する(同S39)。ブロックチェーンシステム20は、依頼情報に基づいて、当該トランザクションを含むブロックをブロックチェーンに追加する(同S39)。
図14は、入力部101が情報装置30からデータ検査要求を受信した場合のデータ管理装置10とブロックチェーンシステム20の動作の一例を示すフローチャートである。
入力部101は、情報装置30から検査対象の分析結果データのデータ検査要求を受信する(S41)。データ検査要求は、検査対象の分析結果データを特定するための情報を、検査対象特定情報として含む。検査対象特定情報は、一例として、データ分析に用いたデータ項目とデータ項目の値、対象データの分析を行った事業者を識別する情報(分析者ID)とを含む。データ分析に用いた手法の情報を含んでもよい。データ分析の要求時に個人識別情報を指定した場合は、個人を識別する個人識別情報を含んでいてもよい。
参照処理部1026は、データ保管部103の仮名化テーブルから、検査対象特定情報によって特定されるデータ項目とデータ項目の値とを含む仮名化データを取得する(S42)。上述の図10の例において、検査対象特定情報が性別“女性”、生年“1900”、及び健康診断結果“FFFF”を指定する場合、 “女性”と“1900”と“FFFF”との組を含む仮名化データを取得する。検査対象特定情報が特定の個人を指定している場合は、当該個人に関する仮名化データを取得する。
参照処理部1026は、取得した仮名化データに含まれる管理識別子を仮管理識別子(管理識別子A)として特定し、仮管理識別子を含む分析対応データを、データ保管部103の分析対応テーブルから取得する(S43)。分析対応データにおいて仮管理識別子に対応する管理識別子(管理識別子B)を特定する(S44)。特定した管理識別子(管理識別子B)を含む管理識別子付き分析結果データをデータ保管部103の分析結果テーブルから取得する(S45)。取得した管理識別子付き分析結果データに含まれる対象データのデータ項目を特定する(同S45)。
匿名化管理部102の参照処理部1026は、上述の仮名化データに対応する仮名対応データの個人識別情報(個人の氏名等)に基づき、ユーザ情報記憶部1028のユーザテーブルからBCユーザIDを取得する。参照処理部1026は、取得したBCユーザIDを本人IDとして含む同意情報を、同意情報記憶部1027の同意情報テーブルから取得し、同意情報に含まれる同意IDを特定する。参照処理部1026は、同意IDと、上記で特定されたデータ項目とを含むデータ分析記録情報を有するトランザクションの検索(取得)の依頼情報をブロックチェーンシステム20に送信する。参照処理部1026は、ブロックチェーンシステム20から依頼情報に基づき検索されたトランザクションを受信する(S46)。参照処理部1026はトランザクションに含まれるデジタル署名の検証を行った後、トランザクションに含まれるデータ分析記録情報を取得する。
ハッシュ化処理部1023は上記の分析対応データのハッシュ値と、上記の管理識別子付き分析結果データのハッシュ値とを算出する(S47)。ハッシュ化処理部1023を用いて、分析対応データのハッシュ値と、管理識別子付き分析結果データのハッシュ値とを取得する。
データ検査部1025は、取得した分析対応データのハッシュ値と管理識別子付き分析結果データのハッシュ値とが、データ分析記録情報に含まれる分析対応データのハッシュ値と管理識別子付き分析結果データのハッシュ値とに一致するか否かを検査する(S48)。
両者とも一致する場合は(S49のYES)、分析対応データ及び管理識別子付き分析結果データの改ざんが行われていないと判定する(S50)。すなわち、すなわち、分析結果データの改ざんが行われていないと判断する。いずれか一方が一致しない場合に(S49のNO)、分析結果データ又は分析対応データ等の改ざんが行われたと判定する(S51)。具体的には、分析対応データのハッシュ値が一致しない場合は、分析対応データの改ざんが行われたと判定してもよい。管理識別子付き分析結果データのハッシュ値が一致しない場合は、仮名化データ又は分析結果データの改ざんが行われたと判定してもよい。出力部105は、データ検査要求の送信元の情報装置30に改ざん検査の結果情報を送信する。
以上、第2実施形態によれば、対象データを分析して分析結果データを生成した場合に、仮名化として管理識別子を生成し、管理識別子を対象データの識別情報と対応づけた分析対応データを対応関係記憶部に記憶する。また分析対応データのハッシュ値をブロックチェーンシステムに記録する。この分析対応データの正当性(改ざんの有無)を検査したい場合には、ブロックチェーンシステムからハッシュ値を読み出すとともに、対応関係記憶部から読み出した分析対応データのハッシュ値を計算する。計算したハッシュ値と、ブロックチェーンシステムから読み出したハッシュ値とが一致する場合は、分析対応データは改ざんされていないと判定する。これにより分析結果データの仮名化を行った場合にも、データ分析の元となった対象データの識別を正しく行うことができる。
さらに、本実施形態によれば、分析結果データを管理識別子と対応づけた管理識別子付き分析結果データをデータ保管部に記憶するとともに、管理識別子付き分析結果データのハッシュ値をブロックチェーンシステムに記録する。この管理識別子付き分析結果データの正当性(改ざんの有無)を検査したい場合には、ブロックチェーンシステムから管理識別子付き分析結果データのハッシュ値を読み出す。読み出した管理識別子付き分析結果データのハッシュ値を計算する。計算したハッシュ値を、ブロックチェーンシステムから読み出したハッシュ値と比較し、両者が一致する場合は、管理識別子付き分析結果データは改ざんされていないと判定する。これにより仮名化を行った場合に、分析結果データの正当性(改ざんの有無)を判定できる。
(変形例1)
データ分析部104が複数の個人データを利用したデータ分析を行ってもよい。例えば複数人の個人データのあるデータ項目に対する統計処理がある。また、複数の個人データを学習データとしてAI(人工知能)モデルを構築する学習処理がある。複数の個人データ(仮名化データ)に対して複数の分析処理を行い、複数の分析結果を得る場合もある。
図15は、データ分析部104が複数の個人データ(仮名化データ)を利用したデータ分析を行う例を示す。
データ分析部104は、管理識別子、性別、生年、健康診断結果を含む複数の仮名化データに対して、分析方法特定情報で指定された生活習慣病リスク判定手法とガン罹患リスク判定分析手法を適用する。生活習慣病リスク平均とガン罹患リスク平均とを分析結果データとして算出する。新たに生成した管理識別子(図のa10003)を、分析結果データに対応づけて、管理識別子付き分析結果データを得る。
管理識別子(図のa10003)と、データ分析に用いた全ての仮名化データの管理識別子とを含む分析対応データを生成する。管理識別子付き分析結果データはデータ保管部103の分析結果テーブルに記憶され、分析対応データは対応関係記憶部1022の分析対応テーブルに記憶される。
管理識別子付き分析結果データを分析対応データと併せて用いることで、データ分析に用いた仮名化データ全てを特定できる。これにより、通常時はプライバシーを保護した状態で分析結果データを管理できる。分析結果の再現実験を行ったり、分析結果の妥当性を検証したりする必要が生じた際に、分析結果を得るために用いた個人データの特定も容易となる。なお、上記はあくまでも一例であり、複数の個人データを用いたデータ分析は平均値に限られるものではない。任意の統計処理、AIモデル作成処理、AIを用いた推論処理を行ってもよい。
(変形例2)
図16は、データ分析部104が複数の個人データ(仮名化データ)を利用したデータ分析を行う他の例を示す。
データ分析部104は、管理識別子、性別、生年、健康診断結果を含む複数の仮名化データに対して、分析方法特定情報で指定された生活習慣病リスク判定とガン罹患リスク判定分析手法を適用する。生活習慣病リスク平均とガン罹患リスク平均とを分析結果データとして算出する。管理識別子として仮管理識別子“a10003”を生成し、生成した仮管理識別子を、分析結果データに対応づけて、仮管理識別子付き分析結果データを得る。
また、データ分析部104は、仮管理識別子“a10003”と、分析に用いた全ての仮名化データの管理識別子とを対応付けた仮分析対応データを生成する。
データ分析部104は、新たな管理識別子“b10004”を生成し、生成した管理識別子を、仮管理識別子付き分析結果データの仮管理識別子“a10003”と入れ替えることで、管理識別子付き分析結果データを生成する。また、生成した管理識別子“b10004”を、仮分析対応データの仮管理識別子“a10003”と入れ替えることで、分析対応データを生成する。管理識別子付き分析結果データはデータ保管部103の分析結果テーブルに格納され、分析対応データは対応関係記憶部1022の分析対応テーブルに格納される。
このように仮管理識別子を介在させて管理識別子を付与することで、管理識別子の秘匿性をより高め、より強固なプライバシー保護を実現できる可能性がある。
(変形例3)
上述した変形例1又は変形例2において複数の個人データ(仮名化データ)を分析した場合に生成するデータ分析記録情報の一例を説明する。
図17は、変形例3に係るデータ分析記録情報の一例を示す。データ分析記録情報は、分析年月日、同意ID又はリスト、分析者ID、データ項目ID(データ種別ID)と、分析対応データのハッシュ値(対応データ検査値)と、管理識別子付き分析結果データのハッシュ値(分析データ検査値)とを含む。個人ごとにデータ分析記録情報を記憶する場合は各個人の同意IDを用い、人数分のデータ分析記録情報を生成する。複数人分をまとめたデータ分析記録情報を記憶する場合は、各個人の同意IDをまとめたリストを用いる。
(変形例4)
同意情報記憶部1027が保持する、個人データの所有者である個人の同意情報をブロックチェーンシステムに記録するように構成してもよい。
その場合、匿名化管理部102は、分析に用いる対象データの所有者(個人)のBCユーザIDをユーザ情報記憶部1028のユーザテーブルから取得し、ブロックチェーンシステムから個人のBCユーザIDを含む同意情報を取得する。取得した同意情報において、個人が分析に同意している場合にのみ、分析処理を行う。
図18は、記録処理部1024又はブロックチェーンシステム20によって生成されるブロックの例を示す。ブロックの構成は上述した第2の実施形態と同様である。すなわち、ブロックは、トランザクションと、1つ前のブロックのハッシュ値(前ブロック検査値)とが含められる。トランザクションには、BCトランザクションIDと、分析事業者のBCユーザIDと、データ分析記録情報と、デジタル署名とが含まれる。
(ハードウェア構成)
図19は、データ管理装置10(情報処理装置)のハードウェア構成を示す。データ管理装置10は、コンピュータ600により構成される。コンピュータ600は、CPU601と、入力インタフェース602と、表示装置603と、通信装置604と、主記憶装置605と、外部記憶装置606とを備え、これらはバス607により相互に接続されている。
CPU(中央演算装置)601は、主記憶装置605上で、コンピュータプログラムである情報処理プログラムを実行する。情報処理プログラムは、データ管理装置10の上述の各機能構成を実現するプログラムのことである。情報処理プログラムは、1つのプログラムではなく、複数のプログラムやスクリプトの組み合わせにより実現されていてもよい。CPU601が、情報処理プログラムを実行することにより、各機能構成は実現される。
入力インタフェース602は、キーボード、マウス、及びタッチパネルなどの入力装置からの操作信号を、データ管理装置10に入力するための回路である。
表示装置603は、データ管理装置10から出力されるデータを表示する。表示装置603は、例えば、LCD(液晶ディスプレイ)、有機エレクトロルミネッセンスディスプレイ、CRT(ブラウン管)、又はPDP(プラズマディスプレイ)であるが、これに限られない。
通信装置604は、データ管理装置10が外部装置と無線又は有線で通信するための回路である。データは、通信装置604を介して外部装置から入力することができる。外部装置から入力したデータを、主記憶装置605や外部記憶装置606に格納することができる。通信装置604は、図1の入力部101、出力部105、記録処理部1024及び参照処理部1026等が備える送受信機能に相当する。
主記憶装置605は、情報処理プログラム、情報処理プログラムの実行に必要なデータ、及び情報処理プログラムの実行により生成されたデータなどを記憶する。情報処理プログラムは、主記憶装置605上で展開され、実行される。主記憶装置605は、例えば、RAM、DRAM、SRAMであるが、これに限られない。データ管理装置10のデータ保管部103は、主記憶装置605上に構築されてもよい。
外部記憶装置606は、情報処理プログラム、情報処理プログラムの実行に必要なデータ、及び情報処理プログラムの実行により生成されたデータなどを記憶する。これらの情報処理プログラムやデータは、情報処理プログラムの実行の際に、主記憶装置605に読み出される。外部記憶装置606は、例えば、ハードディスク、光ディスク、フラッシュメモリ、及び磁気テープであるが、これに限られない。データ管理装置10のデータ保管部103は、外部記憶装置606上に構築されてもよい。
なお、情報処理プログラムは、コンピュータ600にあらかじめインストールされていてもよいし、CD-ROMなどの記憶媒体に記憶されていてもよい。また、情報処理プログラムは、インターネット上にアップロードされていてもよい。
また、データ管理装置10は、単一のコンピュータ600により構成されてもよいし、相互に接続された複数のコンピュータ600からなるシステムとして構成されてもよい。
なお、本発明は上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素を適宜組み合わせることによって種々の発明を形成できる。また例えば、各実施形態に示される全構成要素からいくつかの構成要素を削除した構成も考えられる。さらに、異なる実施形態に記載した構成要素を適宜組み合わせてもよい。
10 データ管理装置
20 ブロックチェーンシステム
30 情報装置
101 入力部
102 匿名化管理部
103 データ保管部
104 データ分析部
105 出力部
600 コンピュータ
602 入力インタフェース
603 表示装置
604 通信装置
605 主記憶装置
606 外部記憶装置
607 バス
1021 仮名化処理部
1022 対応関係記憶部
1023 ハッシュ化処理部
1024 記録処理部
1025 データ検査部
1026 参照処理部
1027 同意情報記憶部
1028 ユーザ情報記憶部

Claims (21)

  1. 対象データと前記対象データに関する第1識別情報とを含む保管要求を受信した場合に、前記第1識別情報と異なる第2識別情報を生成し、
    前記第2識別情報と前記対象データとを含む第1仮名化データを生成し、前記第1仮名化データを第1データ保管部で保管し、
    前記第1識別情報と前記第2識別情報とを対応づけた第1仮名対応データを生成し、前記第1仮名対応データを第1記憶部に記憶し、
    前記第1仮名対応データに基づく演算により第1値を算出し、
    前記第1値と、前記第1識別情報に基づく第1情報とを含む第1記録情報を、前記第1記録情報を記憶する記憶システムに提供する
    コンピュータによる情報処理方法。
  2. 前記第1識別情報を含む検査要求を受信した場合に、前記第1データ保管部から、前記第1識別情報を含む第1仮名対応データを取得し、
    前記第1識別情報に基づく第1情報を含む前記第1記録情報を、前記記憶システムから取得し、
    取得した前記第1仮名対応データに基づく演算により第1値を算出し、
    算出した前記第1値と、前記第1記録情報に含まれる第1値とに基づいて、取得した前記第1仮名対応データの正当性を検証する
    請求項1に記載の情報処理方法。
  3. 前記保管要求を受信した場合に生成した前記第1仮名化データに基づく演算により第2値を算出し、
    前記記憶システムに提供する前記第1記録情報は、前記第2値をさらに含み、
    前記検査要求を受信した場合に取得した前記第1仮名対応データに含まれる前記第2識別情報を特定し、特定した前記第2識別情報を含む第1仮名化データを、前記第1データ保管部から取得し、
    取得した前記第1仮名化データに基づく演算により第2値を算出し、
    前記第2値と、前記第1記録情報に含まれる第2値とに基づいて、取得した前記第1仮名化データの正当性を検証する
    請求項2に記載の情報処理方法。
  4. 分析対象のデータを特定する第2情報を含む分析要求を受信した場合に、前記第1データ保管部から前記第2情報に応じた前記対象データを含む前記第1仮名化データを取得し、
    取得した前記第1仮名化データに含まれる前記対象データのうち前記第2情報により特定されるデータを用いてデータ分析を行い、
    前記データ分析の結果データを識別する第3識別情報を生成し、
    前記第3識別情報を前記結果データに対応づけた第2仮名化データを生成し、前記第2仮名化データを第2データ保管部に保管し、
    前記第3識別情報を、取得した前記第1仮名化データに含まれる前記第2識別情報に対応づけた第2仮名対応データを生成し、前記第2仮名対応データを第2記憶部に記憶し、
    前記第2仮名対応データに基づく演算により第3値を算出し、
    前記分析要求を受信した場合に取得した前記第1仮名化データに含まれる前記第2識別情報に対応する前記第1識別情報を、前記第2識別情報を含む前記第1仮名対応データに基づき特定し、
    前記第3値と、特定した前記第1識別情報に基づく第1情報とを含む第2記録情報を前記記憶システムに提供する
    請求項1~3のいずれか一項に記載の情報処理方法。
  5. 前記第2情報を含む検査要求を受信した場合に、前記第1データ保管部から、前記第2情報に応じた前記対象データを含む前記第1仮名化データを取得し、
    取得した前記第1仮名化データに含まれる前記第2識別情報を含む第2仮名対応データを、前記第2記憶部から取得し、
    取得した前記第2仮名対応データに基づく演算により第3値を算出し、
    取得した前記第1仮名化データに含まれる前記第2識別情報に対応する第1識別情報を、前記第2識別情報を含む前記第1仮名対応データに基づき特定し、特定した前記第1識別情報に対応する第1情報を含む第2記録情報を、前記記憶システムから取得し、
    算出した前記第3値と、前記記憶システムから取得した前記第2記録情報に含まれる第3値とに基づいて、取得した前記第2仮名対応データの正当性を検証する
    請求項4に記載の情報処理方法。
  6. 前記分析要求を受信した場合に生成した前記第2仮名化データに基づく演算により第4値を算出し、
    前記記憶システムに提供する前記第2記録情報は、前記第4値をさらに含み、
    前記検査要求を受信した場合に取得された前記第2仮名対応データに含まれる第3識別情報を特定し、前記第3識別情報を含む第2仮名化データを、前記第2データ保管部から取得し、
    取得した前記第2仮名化データに基づく演算により第4値を算出し、
    算出した前記第4値と、前記記憶システムから取得した前記第2記録情報に含まれる第4値とに基づいて、取得した前記第2仮名化データの正当性を検証する
    請求項5に記載の情報処理方法。
  7. 前記分析要求を受信した場合に複数の前記第1仮名化データを取得し、
    前記第2仮名対応データは、前記第3識別情報を、複数の前記第1仮名化データに含まれる複数の前記第2識別情報に対応づける
    請求項4~6のいずれか一項に記載の情報処理方法。
  8. 前記第1識別情報は、前記対象データの所有者を識別する情報である
    請求項1~7のいずれか一項に記載の情報処理方法。
  9. 前記第1情報は、前記対象データの受信、保持及び分析の少なくとも1つに関する前記対象データの所有者の同意の有無を表した同意情報を識別する同意IDである
    請求項1~8のいずれか一項に記載の情報処理方法。
  10. 前記第1識別情報と前記第1情報とを対応付けた第1対応情報データに基づき、前記第1識別情報に対応する第1情報を取得し、取得した前記第1情報を、前記第1識別情報に基づく第1情報とする
    請求項1~9のいずれか一項に記載の情報処理方法。
  11. 算出した前記第1値と、前記第1記録情報に含まれる第1値とが一致する場合、取得した前記第1仮名対応データは正当であると判定し、一致しない場合、取得した前記第1仮名対応データは正当でないと判定する
    請求項2に記載の情報処理方法。
  12. 算出した前記第2値と、前記第1記録情報に含まれる第2値とが一致する場合、取得した前記第1仮名化データは正当であると判定し、一致しない場合、取得した前記第1仮名化データは正当でないと判定する
    請求項3に記載の情報処理方法。
  13. 算出した前記第3値と、前記第2記録情報に含まれる第3値とが一致する場合、取得した前記第2仮名対応データは正当であると判定し、一致しない場合、取得した前記第2仮名対応データは正当でないと判定する
    請求項5に記載の情報処理方法。
  14. 算出した前記第4値と、前記第2記録情報に含まれる第4値とが一致する場合、取得した前記第2仮名化データは正当であると判定し、一致しない場合、取得した前記第2仮名化データは正当でないと判定する
    請求項6に記載の情報処理方法。
  15. 前記第1値として、前記第1仮名対応データのハッシュ値を算出する
    請求項1~10のいずれか一項に記載の情報処理方法。
  16. 前記第2値として、前記第1仮名化データのハッシュ値を算出する
    請求項3に記載の情報処理方法。
  17. 前記第3値として、前記第2仮名対応データのハッシュ値を算出する
    請求項4~7のいずれか一項に記載の情報処理方法。
  18. 前記第4値として、前記第2仮名化データのハッシュ値を算出する
    請求項6に記載の情報処理方法。
  19. 前記記憶システムは、ブロックチェーンシステムである、
    請求項1~18のいずれか一項に記載の情報処理方法。
  20. 対象データと前記対象データに関する第1識別情報とを含む保管要求を受信した場合に、前記第1識別情報と異なる第2識別情報を生成するステップと、
    前記第2識別情報と前記対象データとを含む第1仮名化データを生成するステップと、
    前記第1仮名化データを第1データ保管部で保管するステップと、
    前記第1識別情報と前記第2識別情報とを対応づけた第1仮名対応データを生成するステップと、
    前記第1仮名対応データを第1記憶部に記憶するステップと、
    前記第1仮名対応データに基づく演算により第1値を算出するステップと、
    前記第1値と、前記第1識別情報に基づく第1情報とを含む第1記録情報を、前記第1記録情報を記憶する記憶システムに提供するステップと
    をコンピュータに実行させるためのコンピュータプログラム。
  21. データ管理装置と、前記データ管理装置とネットワークを介して接続されたブロックチェーンシステムとを備え、
    前記データ管理装置は
    対象データと前記対象データに関する第1識別情報とを含む保管要求を受信した場合に、前記第1識別情報と異なる第2識別情報を生成し、前記第2識別情報と前記対象データとを含む第1仮名化データを生成し、前記第1識別情報と前記第2識別情報とを対応づけた第1仮名対応データを生成し、前記第1仮名対応データに基づく演算により第1値を算出する処理部と、
    前記第1仮名化データを保管する第1データ保管部と、
    前記第1仮名対応データを記憶する第1記憶部と、
    前記第1値と、前記第1識別情報に基づく第1情報とを含む第1記録情報をブロックチェーンに追加することを依頼する依頼情報を、ブロックチェーンシステムに送信する記録処理部と、
    を備え、
    前記ブロックチェーンシステムは、前記依頼情報に基づき前記第1記録情報を含むブロックを前記ブロックチェーンに追加する
    情報処理システム。
JP2020186064A 2020-11-06 2020-11-06 情報処理方法、情報処理システム及びコンピュータプログラム Active JP7399838B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020186064A JP7399838B2 (ja) 2020-11-06 2020-11-06 情報処理方法、情報処理システム及びコンピュータプログラム
US17/469,436 US20220147655A1 (en) 2020-11-06 2021-09-08 Information processing method, information processing system, and non-transitory computer readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020186064A JP7399838B2 (ja) 2020-11-06 2020-11-06 情報処理方法、情報処理システム及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2022075337A true JP2022075337A (ja) 2022-05-18
JP7399838B2 JP7399838B2 (ja) 2023-12-18

Family

ID=81454589

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020186064A Active JP7399838B2 (ja) 2020-11-06 2020-11-06 情報処理方法、情報処理システム及びコンピュータプログラム

Country Status (2)

Country Link
US (1) US20220147655A1 (ja)
JP (1) JP7399838B2 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090012816A1 (en) 2007-07-06 2009-01-08 General Electric Company Systems and methods for clinical analysis integration services
WO2019054043A1 (ja) * 2017-09-14 2019-03-21 ソニー株式会社 情報処理装置、情報処理方法およびプログラム
US11816191B2 (en) * 2018-02-13 2023-11-14 Sony Corporation Information processing apparatus, information processing method, electronic device, and information processing system for period management of a license used in the electronic device
JP6494004B1 (ja) 2018-06-18 2019-04-03 Necソリューションイノベータ株式会社 個人情報管理システム、サービス提供システム、方法およびプログラム
PT115479B (pt) 2019-04-29 2021-09-15 Mediceus Dados De Saude Sa Sistema de computador e método de operação para gerir dados pessoais anonimizados

Also Published As

Publication number Publication date
JP7399838B2 (ja) 2023-12-18
US20220147655A1 (en) 2022-05-12

Similar Documents

Publication Publication Date Title
US10705801B2 (en) Data processing systems for identity validation of data subject access requests and related methods
US10776518B2 (en) Consent receipt management systems and related methods
US10949565B2 (en) Data processing systems for generating and populating a data inventory
US11593761B2 (en) Distributed data store for managing media
US20200183655A1 (en) Data processing systems for integration of consumer feedback with data subject access requests and related methods
US10997318B2 (en) Data processing systems for generating and populating a data inventory for processing data access requests
US20210240849A1 (en) Data processing systems and methods for populating and maintaining a centralized database of personal data
US20210248216A1 (en) Consent receipt management systems and related methods
US10430740B2 (en) Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
US10353673B2 (en) Data processing systems for integration of consumer feedback with data subject access requests and related methods
US11449633B2 (en) Data processing systems and methods for automatic discovery and assessment of mobile software development kits
US20180341784A1 (en) Data processing systems for the identification and deletion of personal data in computer systems
CN113642040B (zh) 审计项存储方法、装置以及系统
US11004548B1 (en) System for providing de-identified mortality indicators in healthcare data
US20200242597A1 (en) Auditing system using a trusted and cryptographically secure database
JP2020013175A (ja) データ管理プログラム、データ管理方法及びデータ管理装置
US10776514B2 (en) Data processing systems for the identification and deletion of personal data in computer systems
US11334681B2 (en) Application privacy scanning systems and related meihods
WO2019028405A1 (en) DATA PROCESSING SYSTEMS FOR THE IDENTIFICATION AND DELETION OF PERSONAL DATA IN COMPUTER SYSTEMS
EP4165530A1 (en) Distributed ledger interface system for background verification of an individual
US20210241215A1 (en) Data processing systems for generating and populating a data inventory
JP7399838B2 (ja) 情報処理方法、情報処理システム及びコンピュータプログラム
JP2022075328A (ja) データ管理方法、コンピュータプログラム及びデータ管理システム
US20230177207A1 (en) Information processing apparatus, information processing method, and non-transitory computer readable medium
US20230421570A1 (en) Accessing data on a blockchain with proof of data verification

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231206

R151 Written notification of patent or utility model registration

Ref document number: 7399838

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151