JP4429619B2 - 情報提供装置 - Google Patents
情報提供装置 Download PDFInfo
- Publication number
- JP4429619B2 JP4429619B2 JP2003110281A JP2003110281A JP4429619B2 JP 4429619 B2 JP4429619 B2 JP 4429619B2 JP 2003110281 A JP2003110281 A JP 2003110281A JP 2003110281 A JP2003110281 A JP 2003110281A JP 4429619 B2 JP4429619 B2 JP 4429619B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- personal information
- information
- database system
- search
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000003860 storage Methods 0.000 claims description 42
- 230000005540 biological transmission Effects 0.000 claims description 37
- 238000000605 extraction Methods 0.000 claims description 9
- 239000000284 extract Substances 0.000 claims description 7
- 230000006870 function Effects 0.000 description 123
- 230000036541 health Effects 0.000 description 95
- 230000008520 organization Effects 0.000 description 63
- 238000011156 evaluation Methods 0.000 description 43
- 238000010586 diagram Methods 0.000 description 35
- 238000000034 method Methods 0.000 description 35
- 238000012545 processing Methods 0.000 description 32
- 238000004458 analytical method Methods 0.000 description 20
- 201000010099 disease Diseases 0.000 description 18
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 18
- 230000007246 mechanism Effects 0.000 description 16
- 230000008569 process Effects 0.000 description 14
- 238000012790 confirmation Methods 0.000 description 11
- 238000007726 management method Methods 0.000 description 11
- 244000205754 Colocasia esculenta Species 0.000 description 10
- 235000006481 Colocasia esculenta Nutrition 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 8
- 238000010276 construction Methods 0.000 description 7
- 238000012423 maintenance Methods 0.000 description 7
- 230000006872 improvement Effects 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000013523 data management Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 4
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 3
- 230000003862 health status Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000036772 blood pressure Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 208000008589 Obesity Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000000386 athletic effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 208000032839 leukemia Diseases 0.000 description 1
- 235000016709 nutrition Nutrition 0.000 description 1
- 235000020824 obesity Nutrition 0.000 description 1
- 230000005586 smoking cessation Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、分散型データベースシステムに関する。また、ネットワークを通じて情報を提供する情報提供装置に関する。例えば、個人情報を送信する分散型データベースシステムに関する。また、例えば、ネットワークを通じて個人情報を提供する情報提供装置に関する。
【0002】
【従来の技術】
実社会では、組織ごとに、さまざまな個人情報を収集し、保有・管理している。これら個人情報の多くはプライバシーに関わる情報を含んでいる。したがって、情報を保有・管理する組織は、個人情報に対する守秘義務を負っている。そのため、個人情報を含まない情報さえも開示できない状況にある。しかしながら、個人情報は、組み合せて分析等を行うことで新たな意味や価値を持ち、経済効果、学術的進歩を生む可能性を有する。
しかし、実データの入手にともなう守秘義務は情報提供者と利用者間の信頼関係に負う部分が大きい。また、個人情報を保護する法により、個人情報の取り扱いに規制がなされ、各組織が蓄積した情報の開示が停滞することも生じ得る。そのため、個人情報の有効な活用がなされていない。
【0003】
従来の技術(例えば、特許文献1)では、個人情報を有するデータ提供者(データプロバイダ)が信託機関に個人情報の一部である個人識別情報を送り、個人識別情報を受け取った信託機関が識別子を生成し、信託機関が生成した識別子をもとに個人情報を「非個人化された形式」(個人の身元を明らかにすることのない形式)で個人情報を利用する技術が開示されている。
しかし、データ提供者が第三者である信託機関に個人情報を送るとすれば、個人の匿名性(プライバシー)を確保できない可能性が高くなる。
また、第三者である信託機関を別途設立するとなれば、その維持、管理等の必要が生じる。
【0004】
【特許文献1】
特開2000−324094号公報
【特許文献2】
特開2002−175432号公報
【特許文献3】
特開平5−63696号公報
【特許文献4】
特開平10−254807号公報
【0005】
【発明が解決しようとする課題】
本発明は、個人情報に関してプライバシーを高度に確保して、個人情報の有効な利用を可能とする分散データベースシステムの提供を目的とする。
また、本発明は、複数のデータベースシステムに格納された個人の情報を関連付けることにより、個人情報の有効な利用を可能とするデータベースシステムの提供を目的とする。
また、本発明は、第三者の介在を必要とすることなく、個人情報を提供する情報提供者と、個人情報を利用する情報利用者との2者間における個人情報の有効な利用を可能とするデータベースシステムの提供を目的とする。
【0006】
【課題を解決するための手段】
この発明に係る情報提供装置は、
ネットワークを介してアクセス装置と通信可能であり、アクセス装置からの要求に基づきアクセス装置に情報提供を行う情報提供装置において、
個人に関する個人情報を記憶する個人情報記憶部と、
前記アクセス装置から個人情報を検索する検索条件を含む個人情報送信要求を受信する受信部と、
前記受信部が受信した個人情報送信要求に含まれる検索条件を確認し、前記個人情報送信要求に含まれる検索条件の中に個人を特定可能な条件が含まれるときは前記個人を特定可能な条件を削除し前記個人を特定可能な条件を削除した検索条件を確認後検索条件として出力し、前記個人情報送信要求に含まれる検索条件の中に個人を特定可能な条件が含まれないときは前記個人情報送信要求に含まれる検索条件をそのまま確認後検索条件として出力する検索条件確認部と、
前記検索条件確認部の出力した確認後検索条件を入力し入力した確認後検索条件に基づいて前記個人情報記憶部を検索し個人情報を抽出する個人情報抽出部と、
前記個人情報抽出部の抽出した個人情報を用いて、前記抽出した個人情報を識別するためのデータIDを所定の規則により生成し、生成したデータIDを前記抽出した個人情報に付与するデータID生成部と、
前記個人情報抽出部が抽出しデータIDが付与された個人情報から個人の特定が可能か否かを所定の規則により判断し、個人の特定が不可能と判断したときは前記データIDが付与された個人情報を前記アクセス装置に送信する検索結果判断部とを備えたことを特徴とする。
【0007】
【発明の実施の形態】
実施の形態1.
実施の形態1は、個人情報を格納しているデータベースシステムに対して、外部システムから個人情報の送信を要求するアクセスがあったときに、前記データベースシステムは、格納する個人情報をアノニマス化(匿名化)し、および、データIDを生成し、匿名化した個人情報に生成したデータIDを付与してアクセスしてきた外部システムに返信するシステムに関する。
【0008】
実社会では、勤務している会社やかかりつけの病院、健康保険組合等が、さまざまな個人情報を「組織ごと」に収集し、保有・管理している。これら情報の多くはプライバシーに関わる個人情報を含んでいるため、情報を保有・管理する組織は個人情報に対する守秘義務を負っており、個人情報を含まない情報についても効果的に外部へ開示できない状況にある。しかしながら、各組織が保有する情報は、「組み合せ」て分析等を行うことにより新たな意味や価値を持ち、情報を保有・管理する組織が想定していなかった経済効果や学術的進歩を生む可能性を秘めている。
しかし、学術・研究的な分野では実世界のデータをサンプルデータとして匿名性を確保した形態で取り扱っているが、実データの入手にともなう守秘義務は情報提供者(個人・組織)と利用者間の信頼関係に負う部分が大きい。しかし、個人情報を保護する法により、個人情報の取り扱いに規制がなされ、各組織が蓄積した情報の開示が停滞することも生じ得る。
各組織が持つ情報の開示を促進するためには、プライバシーの確保を技術的に保証するプラットフォームを実現するとともに、このようなプラットフォームが社会的に認知されることが必要である。そうすることにより、新たなサービス事業の展開が期待でき、当該環境そのものが新たなサービスになりうる。
以下の実施の形態1は、プライバシーの確保を個人データに対する匿名性の保証ととらえ、プライバシーを確保しながら、複数のデータベースシステムに格納された個人の情報を関連付けるデータベースシステムを構築するためのものである。
【0009】
以下に示す実施の形態1におけるシステムでは、「プライバシーの確保」と「複数データベースに格納されている個人情報の関連付け」の2つを同時に実現することを目的とする。
まず、「プライバシーの確保」について説明する。
以下に示す実施の形態1におけるシステムでは、プラットフォームが各データの匿名性を保証することによりプライバシーの確保を図る。データの匿名性は、「個人の特定」に繋がる情報を外部システムに引き渡す情報から削除することにより保証する。個人を特定する情報の削除は各データベースシステム側装置で実施し、基本ルールは予め用意するものの、どの情報を「個人の特定」に繋がると位置付けるか否かについては、各データベースシステム側装置にパラメータ設定できる機能を付与する。
大きくは下記3つの機能からなる。
第1に、データベースシステムへのデータ検索条件から「個人の特定」に繋がる検索条件を削除する機能である。
第2に、検索結果から「個人の特定」に繋がる情報を削除する機能である。
第3に、検索結果が少数(絶対数が少数、あるいは比率が少数)の場合に、データを返送しない機能である。
次に、「データの関連付け」について説明する。各データベースシステムに蓄積されているデータを有意に分析するためには、複数データベースに格納されているデータを関連付ける必要がある(例えば、データベースシステム1に格納されている個人Aの情報と、データベースシステム2に格納されている個人Aの情報を組み合せることを実施する必要がある)。ただし、複数データベースシステム間のデータ関連付けは、前述の「プライバシーの確保」と同時に実現する必要がある。
実施の形態1におけるシステムでは、関連付けるべきデータにそのデータを生み出した個人を特定する識別子(以下、データIDともいう。)を付与する。データIDは、「個人」を特定することが目的ではなく、同じ個人から発生した「データ」であることを特定することが目的である。よって、データIDから個人を特定できる情報が生成できる必要はなく、むしろ出来てはならない。
データIDの生成手段として、各データベースシステムが等しく保持している個人名、性別、生年月日、住所等から所定の規則にしたがって生成する手段を想定している。
【0010】
実施の形態1におけるシステムの構成例を以下に説明する。
図1は、実施の形態1の対象となるシステムの構成例を示す。複数のデータベースシステム310、320、330と、これらデータベースシステムにアクセスするアクセス装置340がデータを相互にやり取り可能なネットワーク350上に接続されている。ここで、図1のデータベースシステム310、320、330は、組織が管理・運営するシステムそのもの、あるいはその一部であり、各組織にとってはデータベースシステム単体で情報、および、機能が充足している。例えばデータベースシステムは、データベースシステム310のように、アクセス端末311と、データベース313と、もう一つのデータベース314と、ネットワーク312とによりネットワークシステムを形成したデータベースシステムでもよい。各データベースシステム310、320、330には、その組織内において有用な情報が個人情報を含んだ形式で蓄積されている。従来は、このような各データベースシステムを有する複数の事業者間で個人情報を含むデータの連携を行うような活用は出来なかった。
ここで、各データベースシステム310、320、330とアクセス装置340が接続されるネットワーク350には想定される制約は特になく、専用回線、公衆回線、インターネットWAN/LAN等が考えられる。さらに、それぞれのネットワーク350に対して有線/無線の形態が想定可能である。
【0011】
図2は、実施の形態1におけるシステムの実装の概要を示す図である。図2において、各データベースシステム310、320、330に外部システムからのアクセス用インタフェース360を定義し、他システムに対して公開するとともに、当該アクセス用インタフェース360を介してのみ外部システムからのアクセスを許すものとする(後述するエージェント方式においても、エージェント440が当該アクセス用インタフェース360を利用する)。当該アクセス用インタフェース360は下記機能を有する。
第1に、プライバシーに関わる検索条件の排除機能を有する。
第2に、データID(匿名性を保持しながらデータ所有者を特定するID)の生成、および、付与機能を有する。
第3に、検索結果にプライバシーに関わる情報が含まれているかのチェック、および、該当データ項目削除機能(特異点の削除機能を含む)を有する。
第4に、アクセス装置340やアクセス者の認証機能(必要に応じて)を有する。
第5に、通信データの暗号化・復号化機能(検索条件の暗号化・復号化機能含む)を有する。例えば、通信データを公開鍵、秘密鍵等で暗号化し、公開鍵、秘密鍵等で復号する。
第6に、データIDから個人を特定可能な情報生成機能(データベースシステム側装置のみ搭載)を有する。以下に、これら第1から第6の機能について説明する。
【0012】
まず、前記第1の機能について説明する。外部システムから個人情報を要求するアクセスがあった場合に、アクセス用インタフェース360は、氏名や生年月日、住所等、個人やその家族を特定可能な条件が、外部システムからの検索条件に含まれているかどうかを、データベースシステム310、320、330の側の装置にてチェックする。検索条件に個人やその家族を特定可能な条件が含まれていた場合、アクセス用インタフェース360は、その条件を削除、あるいは、緩やかな条件に変更する。どのような条件を削除し、どのような条件をどのような条件に変換するかについては、各データベースシステム310、320、330の側にて予め設定しておくものとする(各データベースシステム310、320、330の側にて規則を変更可)。
プライバシーに関わる検索条件の排除機能の例を以下として、次のようなものが挙げられる。
例えば、「名字が田中」と言う検索条件があれば当該条件を削除する。また、「住所が神戸市兵庫区○○町△△丁目□□番地」と言う検索条件があれば、当該条件を削除、あるいは、「神戸在住」等の予め定められた規則に従って、検索条件を変換する。
【0013】
次に、アクセス用インタフェース360の第2の機能である、データID(匿名性を保持しながらデータ所有者を特定するID)の生成、および、付与機能について説明する。
アクセス用インタフェース360は、データの発生源である個人を特定するためのデータIDを所定の規則に従って生成し、該当するデータに付与する。データIDの生成手段については、前記の「データの関連付け」において説明したように、個人名、性別、生年月日、住所等から所定の規則にしたがって生成する。
【0014】
次に、アクセス用インタフェース360の第3の機能である、検索結果からプライバシーに関わる情報が含まれているかのチェック機能と該当データ項目の削除機能について説明する。
検索結果には、検索キーとして使用された項目以外にも個人のプライバシーに関連する情報が含まれている可能性が高い。このため、アクセス用インタフェース360は、検索結果に個人を特定可能な情報項目が含まれているかをチェックし、該当する情報項目を各データベースシステム側装置にて検索結果から削除する。
さらに、検索結果が所定件数(あるいは、比率)以下である場合は、当該検索結果に対応する個人は特異点であり、個人の推測が可能となる場合のあることを考慮し、アクセス用インタフェース360は、当該検索結果を返答しない仕組みを備える。
どのような情報項目を対象とするか、どのような検索結果を特異点とするかについては、各データベースシステム側にて予め設定しておくものとする(各データベースシステム310、320、330の側にて変更可)。
【0015】
次に、アクセス用インタフェース360の第4の機能である、アクセス装置340やアクセス者の認証機能について説明する。
認証機能により、データベースシステムへのアクセス者管理を適切に実施する。アクセス者管理の目的は、主に下記2点がある。
第1に、許可してないアクセス装置340、アクセス者の排除を行うことである。
第2に、アクセス者の権限管理を行うことである。
【0016】
次に、アクセス用インタフェース360の第5の機能である、通信データの暗号化・復号化機能(検索条件の暗号化・復号化機能含む)について説明する。
アクセス用インタフェース360では、データの「盗聴」に対する防御を実現するために、データの匿名性を確保した上で他システムにデータを送付する場合は暗号化する。データの盗聴は、ネットワーク350を流れるデータ、アクセス装置340内に保存されているデータ、他データベースシステム310、320、330内に処理の関係上「一時」保存されるデータが対象となる。また、盗聴のみでなく、データの「改ざん」に対する防御についても考慮する。
当該暗号化の特徴としては、下記2点がある。
第1に、検索条件を暗号化し、検索対象のデータベースシステムでのみ検索条件を参照可能な仕組みを付与する。
第2に、データフィールド毎に暗号化キーを変更し、データを受信したアクセス装置340においても操作者の権限にしたがって参照可能な情報を制御できる仕組みを付与する。
【0017】
次に、アクセス用インタフェース360の第6の機能であるデータIDから個人を特定可能な情報を生成する機能(データベースシステム側装置のみ搭載)について説明する。
各データベースシステム310、320、330では、コンサルティング会社等から分析結果としてデータIDを渡される状況が想定できる。この際にデータベースシステム310、320、330側では、データIDから個人を特定したい場合があり、当該機能が必要となる。本実施の形態1は、データIDから個人を特定する情報に変換できないと想定する。よって、所定規則にしたがって、全データからデータIDを生成し、逐次比較するなどの手段を用いることが考えられる。
ただし、当該機能はアクセス装置340上に搭載してはならず、データ検索を行うためのアクセス装置340の備えるアクセス用インタフェース361と、当該機能が共存できない仕組みを埋め込む。
【0018】
図3は、実施の形態1に係る情報提供装置100の構成を示す。実施の形態1における各データベースシステム310、320、330等は、情報提供装置100を備える。各データベースシステム310、320、330等は、情報提供装置100の機能により、前記アクセス用インタフェース360の機能を実現することができる。
情報提供装置100は、受信部10と、検索条件確認部20と、個人情報抽出部30と、個人情報記憶部40と、データID生成部50と、検索結果判断部60と、規則記憶部70と、課金部80とを備える。
さらに、受信部10は認証部11と復号部12とを備える。データID生成部50は対比ID生成部51を備える。検索結果判断部60は暗号作成部61と送信部62とを備える。
【0019】
図4は、アクセス装置340から情報提供装置100が個人情報の送信要求を受けた場合のフローを示す図である。以下、図4を用いて、図2におけるデータベースシステム310、320等が個人情報の送信要求を受けた場合の情報提供装置100の動作について説明する。例えば、データベースシステム310の備える情報提供装置100が個人情報の送信要求を受信した場合を想定する。
S10において、情報提供装置100の受信部10が、アクセス装置340からの個人情報の送信要求(個人情報送信要求)を受信する。アクセス装置340は、個人情報の送信要求に個人情報を検索するための複数の検索条件を含めることができる。そして、含めた検索条件のそれぞれを異なる暗号化手段で暗号化して送信することができる。暗号化の手段としては、検索条件ごとに異なるアルゴリズムを用いることや、異なる暗号鍵を用いる。
S20において、認証部11は個人情報の送信要求の認証を行う。認証した場合はS30に進む。
S30において、データ受信の処理を開始する。受信したデータ(個人情報送信要求)が署名、暗号化されている場合は、復号部12は公開鍵、秘密鍵等を用いて受信データの復号を行う。
S40において、認証部11は、外部システムからのアクセスかどうかを確認する。外部システムからのアクセスのときは、S50に進む。
S50において、検索条件確認部20は、プライバシーに関わる検索条件の有無を確認する。すなわち、個人情報の送信要求に含まれる個人情報の検索条件の中に、個人を特定可能な検索条件があるかどうかを確認する。個人を特定可能な検索条件がある場合は、検索条件確認部20は、その検索条件を削除する。この場合、特定できない条件に変更する場合も削除に含むものとする。いかなる検索条件を削除するかという規則は、予め規則記憶部70に記憶されているものとする。プライバシーに関わる削除するべき検索条件がない場合、あるいは検索条件確認部20が検索条件のうちプライバシーに関わる条件を削除した場合は、S60に進む。
S60において、個人情報抽出部30は個人情報記憶部40を参照して検索条件にしたがって個人情報を抽出する。
S70において、検索結果判断部60は、検索結果に対して個人ID(データID)が生成されているかを確認し、生成されていなければデータIDを生成する(S80)。そして、抽出された個人情報に個人ID(データID)を付与する(S90)。さらに、検索結果判断部60は、抽出された個人情報の中にプライバシーに関わる情報が含まれていないかどうか(個人を特定可能な情報が含まれていないかどうか)を確認する(S100)。データIDは、データID生成部50が、個人情報抽出部30の抽出した個人情報に基づいて生成する。データIDを作成する規則は、規則記憶部70が記憶しており、データID生成部50は当該規則を参照するものとする。また、検索結果判断部60がプライバシーに関わる情報を確認するに際して、いかなる情報が該当するかということも予め規則記憶部70が記憶しているものとする。検索結果判断部60は、抽出された個人情報から個人の特定が不可能であると判断したときは、前記データIDを付して個人情報をアクセス装置340に送信する。このとき、暗号作成部61は、必要があれば、送信する個人情報を暗号化する(S110)。送信するべき匿名化された個人情報が複数のデータ項目より形成されている場合、検索結果判断部60の暗号作成部61は、データ項目ごとに異なる暗号手段を用いて、データ項目のそれぞれを暗号化することが可能である。異なる暗号化の手段としては、異なるアルゴリズムを用いることや、データ項目ごとに異なる暗号鍵を用いて暗号化することが考えられる。
また、検索結果判断部60は、抽出された個人情報から個人の特定が可能であると判断したときは、個人の特定が可能なデータを削除してアクセス装置340へ送信する。あるいは、個人の特定が可能なデータが存在する場合は、アクセス装置340へ送信を行わないものとする。いかなる処理を行うかは、予め規則として規則記憶部70に記憶しておくことができる。
S110において個人情報をアクセス装置340に送信すると、S120で処理が終了する。
【0020】
前記ではアクセス装置340と一つのデータベースシステムとが通信する場合を説明した。以下では、図2において、アクセス装置340がデータベースシステム310、320、300の複数とやりとりした場合における、前記データベースシステム310、320、330から受けとった複数の各個人情報の関連付けについて説明する。
各データベースシステム310、320、330は、情報提供装置100を備ている。そして、各データベースシステム310、320、330に備えられた情報提供装置100のデータID生成部50は、同一の生成規則によりデータIDを生成する。各データベースシステム310、320、330は、同一の生成規則により生成されたデータIDを匿名化した個人情報に付して、アクセス装置340に送信する。アクセス装置340は、各データベースシステム310、320、330から送信された個人情報について、付与されているデータIDにより、同じ個人から発生した個人情報であることを知ることができる。このように、各データベースシステム310、320、330において同一の生成規則により生成されたデータIDによって、アクセス装置340は、複数の個人情報の関連付けをすることが可能となる。
ここで、同一の生成規則により生成されるデータIDは、それぞれが同一であってもよいし、また、同じ個人から発生した個人情報であることがわかるものであれば、同一でなくとも構わない。
なお、図3の情報提供装置100の対比ID生成部は、アクセス装置340からデータIDが送信された場合は、個人情報記憶部40の記憶する個人情報を用いて対比IDを生成する。「対比ID」とは、前記アクセス装置340から送信されたデータIDと対比するために生成されるIDである。データIDと対比IDとは同じ規則で生成されるので、データIDと対比IDとを対比すれば、アクセス装置340より送信されたデータIDから個人を特定することができる。通常データIDと対比IDは同一であるが、データIDと対比IDとが同一人に係ることがわかるものであれば、同一でなくとも構わない。
また、情報提供装置100は、課金部80を備えている。例えば、課金部80は、アクセス装置340からの検索履歴を保存し、アクセス回数、検索結果のデータ量等からアクセス側に対して課金の処理を行う。
【0021】
次に、データ(個人情報)を収集する場合のデータ収集方式について説明する。
システム実装時における各データベースシステム310、320、330からのデータ収集方式について述べる。
システムの実装概要を示す図2において、各データベースシステム310、320、330からアクセス装置340がデータを収集する代表的な方式として下記2方式が考えられる。
第1に、データベースシステム310、320等とアクセス装置340が1対1で収集する方式である。
第2に、エージェント方式(収集対象の情報を指示するとエージェントが各データベースシステムを周って、情報を集めアクセス装置340に帰ってくる)が考えられる。なお、エージェントについては、実施の形態4で詳述する。
エージェント方式を採用した場合、各データベースシステム310、320、330において検索結果を得た時点で、当該データベースシステム310、320、330に対する検索条件を破棄する等の処理により、前段のデータベースシステムで得られた検索結果が、どのような検索条件で抽出されたかを伝達しないようにしてセキュリティ度を向上する処理を行うことも可能である。
【0022】
図2に示したシステムは、次のような事業への適用が考えられる。
例えば、環境提供サービスである。匿名性を保証するプラットフォームの運用、販売、リース、保守等のサービスを提供する。
また、介入サービスである。医療機関、健康保険組合、個人が所属する会社等を接続し、健康保険組合、個人等の特定集団に対して健康に関するアドバイスを実施するサービスを提供する。
また、介入サービス評価である。複数の介入サービスを適用した集団単位や個人単位でその介入サービスの適用効果を評価するサービスを提供する。
【0023】
図5は、図2に示す実装概要を、前記に述べたサービス事業のうち、介入サービスに適用した具体例を示すものである。
前記適用例のうち、図5を用いて、より具体的に、ある集団の健康に対する介入サービス、および、介入サービスに対するコンサルティングサービスを例に説明する。
図5において、健康保険組合は、コンサルティング会社に「どのような個人に(誰にではない)」、「どのような介入サービス」を実施すればよいかを分析・調査するよう依頼する。その分析・調査のために、健康保険組合データベースシステム370の保有する情報(レセプト情報(診療報酬情報)等)と会社の人事データベースシステム380の保有する情報(勤怠情報等)と産業医データベースシステム390の保有する情報(身長、体重、血圧等の健診情報、疾病履歴、問診情報等)をコンサルティング会社(アクセス装置340)に開示する。
当該例の登場者は、コンサルティング会社、介入サービス委託の主体者である健康保険組合、情報の提供者である会社(人事)、産業医である。
当該システムを適用することにより、特定集団に対して、医療費と勤務時間と肥満の関係等を調査することが可能となるとともに、問診結果の情報とも比較することにより生活習慣病や成人病の予備軍を洗い出す等の分析が期待できる。
実施の形態1は、このようなシステムの構築に有効である。実施の形態1を適用することにより、コンサルティング会社ではデータの所有者個人を特定できないことは当然であるが、あるデータベースシステムの保有する情報が他のデータベースシステムにおいて参照できない仕組みを構築することができる(例えば、健康保険組合データベースシステム370のレセプト情報が人事データベースシステム380や産業医データベースシステム390から参照できない)。さらに、組織全体の傾向等を分析するために、各組織が保有する情報を「発生源」である個人を軸に関連付けることが可能となる。
【0024】
以下に、前記介入サービスに適用した場合の処理の過程を説明する。
各データベースシステム370、380、390、および、コンサルティング会社にあるアクセス装置340に実施の形態1のシステムを適用する。例えば、コンサルティング会社(アクセス装置340)から人事データベースシステム380に対して、図6に示すような、「東京都在住の30歳以上の三菱さん(人の氏)で、取得休暇日数が10日以下の人」という検索要求が発行された場合を仮定する。アクセス装置340から各データベースシステム370、380、390への(検索条件を含む)検索依頼送信時に依頼情報も暗号化することが想定される。
認証やアクセス経路に問題が無ければ(図4におけるS10〜S40)、プライバシーに関わる検索条件の削除を行う(S50)。氏名を特定することはプライバシーの侵害にあたるため、実施の形態1の適用により検索条件は、図7に示すように、「東京都在住の30歳以上の社員で、休暇を10日以上取得した人」と変更され、当該検索条件を用いて人事データベースシステム380を検索(S60)することとなる。プライバシーに関わる検索条件の排除が発生した場合の要求依頼者への通知は、当該検索結果返送時、あるいは、別途手段により行うものとする。また、プライバシーに関わる検索条件には、氏名、誕生日、住所、電話番号は当然当てはまると考えられるが、特別疾病、賞罰等も当該範疇であると考えている。どのような情報をプライバシーに関わる情報ととらえるかは、データを提供する各データベースシステム側で設定(変更)可能とする。
その結果、図8のような情報が検索されたとする。
次にデータIDを生成(S80,S90)し、各データに付与する。図9に、データIDを付与した場合を示す。データIDは数字(10進、16進等には依存しない)であっても、アルファベット等の文字であっても、数字、文字の組み合せであってもかまわない。データIDの生成手段については、前記の「データの関連付け」で述べた手段等が考えられる。
次に、検索結果に対して、プライバシーに関わる情報を削除する(S100)。図10に、プライバシーに関わる情報を削除した場合を示す。ここで、前述した通りどのような情報をプライバシーに関わる情報ととらえるかは、データを提供する各データベースシステム側で設定(変更)可能とするとするが、当該指定のない情報は検索依頼者へ返送される。
図10に示す情報をコンサルティング会社(アクセス装置340)に対して人事データベースシステム380が検索結果として返送する(S110)こととなる。ここで、アクセス装置340では、データIDである「Dasf104」から「三菱太郎」という名前は生成できない。ただし、「三菱太郎」の情報が他データベースシステム(例えば、産業医データベースシステム390)から検索結果として返される場合は、データIDとして「Dasf104」が付与されて返されるため、異なるデータベースシステムに格納されている同一個人から発生したデータを関連づけることが可能となる。この際、コンサルティング会社(アクセス装置340)から人事データベースシステム380等のデータベースシステム側にデータを返送した場合、権限のないデータ項目は内容を見ることが出来ないようにすることもできる。データは各フィールド単位で暗号化可能であり、例えば、人事データベースシステムでは、返送データに疾病情報が入っていても観る権限がないので、復号化できない。
データの返送時には、データの暗号化を行う。ここでいう暗号化は、ネットワーク350を介してデータの授受を行うために第三者がデータの参照を行うことを排除するためにデータ全体に施す暗号化と、アクセス装置340と操作者のそれぞれに許可(あるいは、その組み合せにより許可)された情報のみを参照可能とする暗号化を想定する。例えば、当該例では、人事データベースシステム380では、暗号化を性別、所得休暇数、職級等の項目ごとに施し、コンサルティング会社(アクセス装置340)に返送する。
例えば、人事データベースシステム380からのデータが故意の有無に関わらず、健康保険組合データベースシステム370に送付された場合でも暗号キーが異なるために健康保険組合の端末からはデータの参照ができない。さらに、コンサルティング会社にあるアクセス装置340へ適切に返送された場合でもログイン者の権限に従って参照可能なデータ項目を制限する仕組みを加える。
各データベースシステム370、380、390上では、データIDから個人を特定することが可能である。
当該例では、各データベースシステム370、380、390の内容からコンサルティング会社が介入サービス委託の主体である健康保険組合に対して、生活習慣病の予備軍となる組合員を指定し、その改善案を提示する等の手順が想定できる。しかし、コンサルティング会社が健康保険組合に提示可能な情報はあくまでデータIDであり、個人を特定するものではない。ここで、データIDを提示された健康保険組合は、保持する各個人のデータから対比IDを生成し(図3の対比ID生成部51が生成する)、コンサルティング会社から提示されたデータIDと対比IDとを比較する等により、コンサルティング会社から提示されたデータIDから個人を特定することが可能である。例えば、コンサルティング会社は、「Dasf104」のデータIDを持つ個人が生活習慣病の予備軍であると健康保険組合に通知するとともに、その改善対策案を提示する。コンサルティング会社では「三菱太郎」ではなく、「Dasf104」である。しかし、健康保険組合において「Dasf104」では誰に介入サービスを実施すればよいか不明である。そこで、自らのデータベースシステム370を検索し、対比IDを生成し、コンサルティング会社からのデータIDと生成した対比IDとを対比して、「Dasf104」が「三菱太郎」であると特定する。これにより、「三菱太郎」に対して介入サービスを実施すればよいことを把握する。必要に応じて、健康保険組合は、介入サービスを提供するサービス提供業者に対して業務の委託を行い、サービス提供業者を介して健康保険組合に所属する個人に介入サービスを実施する場合もある。
ただし、コンサルティング会社は、データ参照する組織と守秘契約等を結び、守秘義務を負うことにより、他データベースシステム(例えば、人事データベースシステム380)から入手したデータを健康保険組合へは開示できないものとする。さらに、他データベースシステムの内容に関連する検索条件についても開示してはならない(後述するエージェントにより各データベースシステムからデータを取出す場合、検索条件を暗号化することは勿論であるが、あるデータベースシステムで使用した検索条件はそのデータベースシステムにおいて破棄し、他データベースシステムへは検索結果のみを送付するような実装手段を用いる)。コンサルティング会社は、何故「三菱太郎」が生活習慣病の予備軍であると推測されたかについては、「三菱太郎」に関する他データベースシステムの登録情報が推測できるため検索条件を健康保険組合へ開示してはならない。
【0025】
図11は、以上に述べた、実施の形態1におけるシステムの機能を示す図である。
実施の形態1の適用により、複数のデータベースシステム310、320、330とアクセス装置340との間において、匿名性を確保しながら、複数データベースシステム間の検索結果の関連付けを行うシステムの構築が容易である。また、各データベースシステムでは、コンサルティング会社等のアクセス装置340から指定されたデータIDに対応する個人の特定も可能となる(なお、個人が特定できるのは、各データベースシステム内においてのみである)。
【0026】
本実施の形態1によれば、匿名化により匿名性を保証(個人のプライバシーを確保)して個人情報の有効活用を図ることができる。また、各データベースシステムに存在する同一人の個人情報に関して互いに関連付けるとともに、アノニマス化(匿名化)により匿名性を保証するので、個人情報を有効に活用することができる。
【0027】
本実施の形態1に係る情報提供装置100は、個人を特定可能なデータ項目を削除するので、個人情報の利用において匿名性を保証することができる。また、個人を特定可能なデータ項目を削除した検索条件で個人情報を抽出するので、匿名性を保証したうえで個人情報の利用を図ることができる。
【0028】
本実施の形態1に係る情報提供装置100は、個人を特定可能なデータ項目の内容を削除するので、個人情報の利用において匿名性を保証することができる。また、個人を特定可能なデータ項目の内容以外は利用されるので、個人情報の利用を図ることができる。
【0029】
本実施の形態1に係る情報提供装置100は、個人情報のデータ項目の内容が個人を特定可能と判断したときは、当該個人情報を送信しないので、個人情報について匿名性を保証することができる。
【0030】
本実施の形態1に係る情報提供装置100は、抽出した個人情報が所定の数以下のときは送信しないので、いわゆる特異点に該当する者が特定されることを防止することができ、匿名化を保証することができる。
【0031】
本実施の形態1に係る情報提供装置100は、抽出した所定の集団に属する個人情報に関する人数の比率が所定の値のときは当該個人情報を送信しないので、所定の集団に属するいわゆる特異点に該当する者が特定されることを防止することができ、匿名化を保証することができる。
【0032】
本実施の形態1に係る情報提供装置100は、対比ID生成部51を備えたので、アクセス装置340から送信されたデータIDに相当する個人を特定することができるので、個人情報を用いた分析結果を有効に活用することができる。
【0033】
本実施の形態1に係る情報提供装置100は、課金部80を備えたので、匿名化個人情報を用いた新たなサービス、新たなビジネスを展開することができる。
【0034】
本実施の形態1は、各データベースシステムが同一の生成規則によりデータIDを生成することにより、同一人について異なるデータベースシステムに存在する個人情報を関連付けることができるので、個人情報の利用価値を高めることができる。
【0035】
本実施の形態1は、各データベースシステムの外部に出力あるいは送信される個人情報は匿名化されているので、匿名化を保証することができる。また、データベースシステム外部へ送信される匿名化された個人情報は、複数のデータ項目からなるときはデータ項目ごとに暗号化できるので、個人情報の匿名性を高めることができる。
【0036】
本実施の形態1は、信託機関のごとき第三者の介在を必要とすることなく、個人情報を提供する情報提供者(個人・組織)と、個人情報を利用する情報利用者(アクセス装置340)との2者間における匿名化された個人情報のやりとりを可能とすることができる。
【0037】
本実施の形態1では、アクセス装置340が検索条件ごとに暗号化し、検索対象のデータベースシステムのみが復号することができるため、匿名化した個人情報の匿名性の確保を高めることができる。
【0038】
実施の形態2.
実施の形態2は、データベースシステムにおいて、予めアノニマス化(匿名化)処理を行い、アノニマス化したデータを格納していく方式を示す(後述の実現案1)。
すなわち、予め匿名化した個人情報を格納しているので、アクセス装置340からのアクセスに迅速に応答することが可能である。また、匿名化した個人情報を予め格納しているため、アクセス装置340へ定期的に、あるいは不定期的に匿名化した個人情報を送信することが可能である。
【0039】
図12は、実施の形態2が想定するシステム構成概要を示す。複数のデータベースシステム310、320、330とこれらデータベースシステム310、320、330にアクセスするアクセス装置340がデータを相互にやり取り可能なネットワーク350上に接続されている。各データベースシステムとアクセス装置340が接続されるネットワーク350には想定される制約は特になく、専用回線、公衆回線、インターネットWAN/LAN等が考えられる。さらに、それぞれに対して有線/無線の形態が想定できる。ここで、図12中ではアクセス装置340と各データベースシステム310、320、330を別装置として記述しているが、いずれかのデータベースシステムを構成する装置がアクセス装置340であってもかまわない。
【0040】
図13は、実施の形態2における実現案1を示す図である。図13は、アクセス装置340と、データベースシステム400とがネットワークを介して接続されている。
実現案1は、データベースシステム400において予めアノニマス化処理を行い、アノニマス化したデータを格納していく方式を示すものである。
データベースシステム400において、アクセス装置340からのアクセス用データベースを用意し、当該データベースにアノニマス化したデータを適宜格納する実現案である。
ここで、各データをアノニマス化する方式については、特に制限はない。
異なるデータベースシステムにおいて、同じ基準を持つデータから同じデータIDを生成できる生成方式であれば、データIDの生成方式は、特に制限はない。
内部システム向けデータベースと外部システムからのアクセス用データベースが、同一装置内にあるか否か、同一データベース内にあるか否かについては特に制限はない(実際には、当該実装案を選択する場合、セキュリティの観点から内部システム向けと外部システムからのアクセス用データベースは別装置、別データベースとすることが望ましい。)。
外部システムであるアクセス装置340からのアクセス用データベースの更新タイミングは、内部システム向けデータベースの更新時処理や定時処理等が想定できるが、特に制限はない。
図13におけるアクセス装置340やアクセス者の認証機能の有無や実現方式については、特に制限はない。
図13におけるアクセス装置340とデータベースシステム400、あるいはデータベースシステム間(データベースシステム400が複数あるような場合)の通信において、検索依頼情報、および、検索条件や検索結果等に対する暗号化・復号化処理の有無、および、暗号化の方式については、特に制限はない。
【0041】
図14は、本実施の形態2に係る前記実現案1に使用する情報提供装置200の構成を示すブロック図である。
図13に示した実施の形態2におけるデータベースシステム400は、この情報提供装置200を備える。データベースシステム400は、情報提供装置200の機能により、匿名化した個人情報を図13のアクセス装置340に送ることができる。
データベースシステム400は、図14に示す情報提供装置200を構成している。情報提供装置200は装置であってもよいし、また、データベースシステム400のようにネットワークの形態であっても構わない。
【0042】
情報提供装置200は、個人情報記憶部110と、匿名化処理部120と、匿名化個人情報記憶部130と、受信部140と、送信部150とを備えている。さらに匿名化処理部120はデータID生成部121を備えている。
【0043】
以下、情報提供装置200の動作について説明する。
情報提供装置200は、、予め匿名化個人情報記憶部130に匿名化した個人情報を適宜格納する構成である。
そして、情報提供装置200は、アクセス装置340から個人情報の送信要求があったときには、すでに匿名化し匿名化個人情報記憶部130に格納している匿名化した個人情報をアクセス装置340に送信する。また、アクセス装置340からの送信要求にかかわらず、アクセス装置340に定期的、あるいは不定期的に匿名化した個人情報を送信できる。
個人情報記憶部110は匿名化していない個人情報(未アノニマス化データ)を格納している。匿名化処理部120は、個人情報記憶部110の記憶している未アノニマス化データを用いて匿名化を施した匿名化個人情報を生成する。匿名化個人情報記憶部130は、匿名化処理部120の生成した匿名化個人情報を記憶し格納する。そして、情報提供装置200は、例えば、受信部140がアクセス装置340からの個人情報の送信要求を受けた場合には、匿名化個人情報記憶部130の格納する匿名化個人情報を送信部150を介してアクセス装置340に送信する。
また、匿名化処理部120のデータID生成部121は、個人情報を匿名化するときに個人情報を識別するデータIDを生成して匿名化個人情報に生成したデータIDを付与する。図12の複数のデータベースシステム310、320、330のそれぞれがデータID生成部121を備え、それぞれのデータID生成部121は、同一の生成規則にしたがってデータIDを生成する。これは実施の形態1における情報提供装置100のデータID生成部50の機能と同様である。
【0044】
図15は、実施の形態2における別の例である関連付け分散データベースシステム500を示す図である。図15の関連付け分散データベースシステム500は、第1プライベートデータベース装置600と、第2プライベートデータベース装置700と、データベースアクセス装置800とを備える。なお、関連付け分散データベースシステム500は、図12において、前記の第1プライベートデータベース装置600はデータベースシステム310に相当し、第2プライベートデータベース装置700はデータベースシステム320に相当し、データベースアクセス装置800はアクセス装置340に相当すると見ることができる。
【0045】
第1プライベートデータベース装置600は、第1識別子を生成する第1識別子生成部610と、第1組み合わせデータ作成部620と、第1記憶部630とを備える。そし第1組み合わせデータ作成部620は第1組み合わせデータ621を作成する。
第1記憶部630は第1プライベートデータ631を記憶する。第1プライベートデータ631は第1個人識別情報と第1個人データ情報からなる。
第2プライベートデータベース装置700は、第1プライベートデータベース装置600と同様の構成であり、第2プライベートデータ731の処理をおこなう。
データベースアクセス装置800は、識別子照合部810と、関連データ記憶部820とを備える。関連データ記憶部820は関連記憶情報821を記憶する。
【0046】
次に、関連付け分散データベースシステム500の動作について説明する。
第1プライベートデータベース装置600の動作をまず説明する。
第1記憶部630は、第1個人識別情報と第1個人データ情報とを第1のプライベートデータとして記憶している。ここで、個人識別情報とは、特定の個人を識別できる情報、あるいは特定の個人を識別できる可能性の大きい情報をいう。特定の個人を識別できる情報としては、保険証番号、運転免許免許番号や住民票コードがある。特定の個人を識別できる可能性の大きい情報としては、氏名(同姓同名も存在するので)や住所がある。
また、個人データ情報とは、例えば健康診断を受けた結果をデータベースに記憶し保存してある場合は、体重や血圧等が考えられる。その他、学歴や病歴、歯の治療歴等さまざまなものがある(個人識別、あるいは、識別可能性のある情報は除く)。
第1識別子生成部610は、第1の個人識別情報から所定の規則に基づいて個人を識別することができない第1識別子を生成する。ここで識別子とは前述したデータIDがその一例である。
第1組み合わせデータ作成部620は、第1識別子生成部610の生成した第1識別子と、第1記憶部630の記憶する第1個人データ情報とを組み合わせて、第1組み合わせデータ621として出力する。第1組み合わせデータ作成部620は、第1組み合わせデータ621を出力する場合に、第1の個人データ情報を暗号化して出力しても構わない。また、第1の個人データ情報が複数のデータ項目で形成されている場合は、データ項目ごとに異なる暗号化手段で暗号化しても構わない。データ項目ごとの異なる暗号化の手段としては、異なるアルゴリズムを用いることや、データ項目ごとに異なる暗号鍵を用いて暗号化する。以上のことは、後述する第2組み合わせデータ作成部720が、第2組み合わせデータ721を出力する場合も同様である。
第2プライベートデータベース装置700も、同様に動作するが、その特徴点を説明する。
第2記憶部730は、第2個人識別情報と第2個人データ情報を記憶する。ここに、第2個人識別情報は第1個人識別情報と同じ内容である。一方、第2個人データ情報は第1個人データ情報とは異なる内容である。例えば、第1個人データ情報は、会社の人事における勤怠情報であり、第2個人データ情報が産業医における健康診断情報のような場合である。
第2識別子生成部710は、第2個人識別情報を用いて第1識別子生成部610と同じ規則に基づいて第2識別子を生成する。
第2組み合わせデータ作成部720は、第2識別子生成部710が生成した第2識別子と、第2記憶部730が記憶する第2個人データ情報とを組み合わせて、第2組み合わせデータ721を作成して出力する。
データベースアクセス装置800は、前記第1プライベートデータベース装置600が出力した第1組み合わせデータ621を入力し、また、第2プライベートデータベース装置700が出力した第2組み合わせデータ721を入力する。
識別子照合部810は、第1組み合わせデータ621の第1識別子と第2組み合わせデータ721の第2識別子とが一致するかどうかを参照する。そして、一致した第1組み合わせデータ621の第1個人データ情報と第2組み合わせデータ721の第2個人データ情報とを関連付ける。
関連データ記憶部820は、識別子照合部810が関連付けたデータを記憶する。
【0047】
前記実現案1とは別の例として、実現案2を示す。
図16に、実施の形態2に係る実現案2を示す。実現案2は、前記「外部システムからアクセスがあったときに匿名化した個人情報を返信する方式」と「予めアノニマス化処理を行い、アノニマス化したデータを格納しておく方式」とを兼ね備える実現案である。これは、実施の形態1と、実施の形態2の実現案1とを混合させたシステムである。図16(a)にその関係を示す。
「外部システムからアクセスがあったときに匿名化した個人情報を返信する方式」は、図16(b)のアクセス用インタフェース360及びデータベースシステム416で実現する。また、「予めアノニマス化処理を行いアノニマス化したデータを格納しておく方式」は、図16(b)のアノニマス化データベースシステム415により実現する。アノニマス化データベースシステム415は図13のデータベースシステム400と同様である。
【0048】
以上、実施の形態2における実現案1では、予め匿名化した個人情報を格納しているので、アクセス装置340からのアクセスに迅速に応答することが可能である。また、予め匿名化した個人情報を格納しているので、アクセスの有無と関係なくアクセス装置340へ定期的に、あるいは不定期的に匿名化した個人情報を送信することができる。
【0049】
実施の形態2にかかる情報提供装置200は、データID生成部によりデータIDを生成し、匿名化した個人情報に生成したデータIDを付与するので、当該データIDをもとに匿名化した個人情報を利用することができる。
【0050】
実施の形態2に係る関連付け分散データベースシステム500は、同一人についての異なる内容の個人情報に関して匿名性を保証した上で前記異なる内容の個人情報を関連付けすることができるので、個人情報の利用価値を高めることができる。
【0051】
実施の形態2に係る関連付け分散データベースシステム500は、個人データ情報が複数のデータ項目で形成されている場合に、第1組み合わせデータ作成部620と第2組み合わせデータ作成部720とは、それぞれ出力する第1の個人データ情報と第2の個人情報データとのそれぞれのデータ項目を異なる暗号化手段で暗号化するので、個人情報の匿名性を確保した上で、異なるデータベースシステムの保有するそれぞれの個人情報を関連付けて有効に活用することができる。
【0052】
実施の形態3.
実施の形態3は、実施の形態1及び実施の形態2で示したシステムについて、利便性を向上させるため、検索装置(管理装置の一例)を備えた構成である。すなわち、実施の形態3は実施の形態1及び実施の形態2に対して、新たな機能を付加した構成であるので、前記実施の形態2の実現案2に続き、実現案3として説明を続ける。
【0053】
以下に実施の形態3に係る実現案3について説明する。
図17は、実施の形態3に係る分散データシステムの実現案3を示す。なお、図17は、実現案4及び実現案5をも示す図である。まず、図17を用いて実現案3を説明する。
図17は、どのデータベースシステムに、検索者が必要とする情報が格納されているかを示す「種別情報」を管理する検索装置420(管理装置の一例)を備えている。ここで、「種別情報」とは、例えば、データベースシステム310の有する個人情報は個人の医療費に関するものであり、データベースシステム320の有する個人情報は会社の人事管理における勤怠情報に関するものであるという情報を意味する。
アクセス者(アクセス装置340)は、いずれのデータベースシステム内にどのようなデータが格納されているかを示す前記の種別情報をすべて把握することは困難である。このような問題に対処するために、いずれのデータベースシステムに検索者の必要な情報が格納されているかを管理する検索装置420(管理装置の一例)を当該分散データベースシステム内に設置する。アクセス装置340が検索したい情報(データ)を検索装置420に指定すれば、いずれのデータベースシステムに検索したい情報が格納されているかを当該検索装置420がアクセス装置340に返す。ここで、検索装置420が検索対象データがいずれのデータベースシステムに格納されているかを管理する手段として、アドレス帳のような検索(したい)内容とそのデータを格納しているデータベースシステムの対応表を管理することにより実現することができる。
ここで、システム内に複数個の検索装置420を設置してもかまわないものとする。
【0054】
次に別の例として、実現案4について説明する。
実現案3では、検索装置420が前記の対応表を有する場合は、対応表のメンテナンスが困難になることが想定される。そこで、実現案4では、このような問題に対応するため、図17に示すシステムにおいて、アクセス装置340から検索装置420にデータベースシステム310、320、330の検索依頼があった際に、検索装置420は各データベースシステムに対して検索対象のデータ有無を問い合わせ、その結果をアクセス装置340に返す。
【0055】
次に別の例として、実現案5について説明する。
実現案4では、アクセス装置340から検索装置420にデータベースシステム310、320、330への検索依頼が発行された時点で、検索装置420が各データベースシステム310、320、330へ問い合わせを行うため、検索装置420によるデータベースシステムの検索処理に時間を要することが想定される。
このため、図17において、実現案5では、データベースシステム310、320、330の検索依頼がアクセス装置340より発行された場合、まず、検索装置420は、検索装置420内に備える内部テーブルを参照し、「検索したい内容とそのデータを格納しているデータベースシステムの対応」が内部テーブルに登録されていれば登録内容をアクセス装置340に返す。内部テーブルに登録されていない場合、検索装置420は各データベースシステム310、320、330へ問い合わせを行い、問い合わせ結果をアクセス装置340へ返すとともに、検索装置420の有する内部テーブルを更新する。前記手順により、データベースシステム310、320、330の検索処理を高速化するとともに、検索装置420の有する内部テーブルのメンテナンス作業を効率化する。
【0056】
次に別の例として、実現案6について説明する。
実現案6(図示しない)は、対象システムが実現案2(実施の形態1と実現案1との混在(図16(a)))の形態である場合、対象となるデータベースシステム310、320、330がどのようなインタフェース(特定のAPI(Application Program Interface)を使用してアクセスするか、SQL(Structured Query Language)等汎用なAPIを使用してアクセスするか等)を公開しているかをアクセス装置340側が意識するシステムである。アクセス装置340の当該負荷を軽減することを目的に、実現案6は、実現案3〜実現案5に対してデータベースシステム310、320、330のインタフェース情報の管理機能を付加する。
【0057】
次に別の例として、実現案7について説明する。
図18に実現案7を示す。実現案7は、実現案3〜実現案6の検索装置420にデータ検索機能を付加し、ポータル装置430(管理装置の一例)として位置付ける。すなわち、ポータル装置430は、データ検索機能を備えるとともに、データベースシステム310、320、330がどのような種別の個人情報を有しているかの種別情報を備えている。
アクセス装置340は、ポータル装置430に検索依頼(第1の個人情報送信要求の一例)を送信する。前記検索依頼を受けたポータル装置430は、自己の有する種別情報と、アクセス装置340から受信した検索依頼(第1の個人情報送信要求の一例)とに基づき、所定のデータベースシステムに検索依頼(第2の個人情報送信要求の一例)を送信する。図18では、ポータル装置430は、所定のデータベースシステムとしてデータベースシステム310に検索依頼を送信している。これは、ポータル装置430の有する種別情報によれば、該当する情報をデータベースシステム310が所有していることが判明したからである。データベースシステム310では、例えば、図3の情報提供装置100を備えている。情報提供装置100は、ポータル装置430からの検索依頼(第2の個人情報送信要求)を受信する。情報提供装置100は、検索依頼に応答して、個人情報記憶部40に記憶する個人情報を抽出する。データID生成部50は、データIDを生成して抽出した個人情報に付与する。そして、送信部62は、匿名化個人情報を前記ポータル装置430に送信する。前記ポータル装置430は分散データベースシステム内に複数個設置してもかまわない。
以上のように、ポータル装置430はアクセス装置340から受信した検索依頼に対して、対象データを格納しているデータベースシステム310、320、330を検索するとともに、対象データの検索を行い、データベースシステム310、320、330から検索結果の返信を受けアクセス装置340に検索結果を返送する。
以上のように、ポータル装置430は、データ検索機能を備えるとともに、種別情報を記憶したので、どのデータベースシステムにいかなる個人情報が保有されているかを迅速に知ることができるので、効率的に個人情報を収集することができる。
【0058】
次に別の例として、実現案8について説明する。
実現案8(図示しない)は、実現案7において、1度に複数個のデータベースシステム310、320、330に問い合わせが必要となるデータの検索依頼が行われた場合、検索結果に対してデータIDによるマージ処理をポータル装置430内の処理として付与することを特徴とするアノニマスな分散データベースシステムである。
【0059】
実施の形態3では、検索装置420(管理装置の一例)を備えたので、アクセス装置340からデータベースシステムへの個人情報の検索を効率化することができる。
【0060】
実施の形態4.
実施の形態4は、実施の形態1〜実施の形態3に関して、利便性を向上させるため、各データベースシステム310、320、330を自立的に巡回するエージェント機能を付加した形態である。したがって、実施の形態1〜実施の形態3に付加的機能を追加したものであるため、前記の実施の形態3の実現案8に続き、実現案9として説明を続ける。
【0061】
以下に、実施の形態4における実現案9について説明する。
図19は、実施の形態4に係る実現案9の分散データベースシステムを示している。以下では、実施の形態4として実現案9〜実現案13を説明するが、実現案9〜実現案13の分散データベースシステムは、アノニマスなデータに対する検索を自立的に巡回するエージェント440により実現することを特徴とする。
エージェント440が異常(対象データベースシステム310、320、330への経路異常や対象データベースダウン等)を検出した場合の処理については、特に制限はない。
エージェント440による検索処理が所定時間を超過した場合の処理については、特に制限はない。
【0062】
次に、実施の形態4の別の例として実現案10について説明する。
図20は、実施の形態4における別の例である実現案10を示す。
前記の実現案9では、エージェント440は(最悪)全データベースシステムを巡回する必要がある。このような問題を解決するため、図20では、いずれのデータベースシステムに検索者の必要な情報が格納されているかを管理(前記「種別情報」を管理している)する機能、および、当該機能を利用してエージェント440の巡回経路計画の立案機能を付与したポータル装置430を当該システム内に設置する。
ここで、アクセス装置340とポータル装置430間の通信はエージェント440であるか否かは、特に制限はない。
【0063】
次に別の例として、実現案11について説明する。
実現案11(図示しない)は、前記の実現案10に対して、検索対象のデータとデータベースシステム310、320、330のみから経路計画を立案するのではなく、対象データベースシステム310、320、330への経路異常やデータベースダウン等の検索時のシステム状態(異常)を加味した巡回経路立案機能をポータル装置430に付与することを特徴とするアノニマスな分散データベースシステムである。ただし、構成制御情報の検出・更新機能の手段について、特に制限はない。
【0064】
次に別の例として、実現案12について説明する。
実現案12(図示しない)は、実現案10、および、実現案11に対して、1度に複数個のデータベースシステム310、320、330に問い合わせが必要となるデータの検索依頼が行われた場合、検索結果に対してデータIDによるマージ処理をエージェント440が行うことを特徴とするアノニマスな分散データベースシステムである。
【0065】
次に別の例として、実現案13について説明する。
実現案13(図示しない)は、実現案10、あるいは、実現案11の機能をエージェント440に持たせることを特徴とするアノニマスな分散データベースシステムである。
【0066】
本実施の形態4においては、以上のようにエージェント方式を採用するので、アクセス装置340から個人情報を検索する効率を高めることができる。
【0067】
以上、実施の形態1〜実施の形態4において種々機能を述べたが、「アノニマス(匿名化)・データベースシステムを構築するにあたり、実現が必要になると思われる機能、および、実現することにより便利になる機能、効率化につながる機能」について、以下にまとめ、実施の形態1〜実施の形態4において実現可能な機能として列挙する。
【0068】
1.アノニマス・データの管理手段
各データベースシステム310、320、330が多段階の匿名化レベルを意識してデータを管理・制御することを特徴とするアノニマスな分散データベースシステムである。例えば、図14における匿名化処理部120は、下記の規則に基づいて、個人情報記憶部110に記憶する個人情報を、レベルに分けて匿名化し、匿名化個人情報記憶部130に記憶して管理する。なお、下記の場合「匿名化」には、匿名化しない場合も含む。
すなわち、アクセス装置340やアクセス者の権限、および、使用目的等から匿名化レベルを制御する。ここで、データベースシステム310、320、330が同じ匿名化のレベルで個人情報を管理する必要はない。例えば、下記3つの匿名化の管理レベルが考えられる。
レベル1として、各データベースシステム310、320、330内で使用するデータであり、匿名化処理は施されていない。
レベル2として、外部システムにて処理されることを前提とすれば匿名化済みデータであるが、内部システムにおいてはデータIDから個人の特定が可能なデータである。
レベル3として、外部システムで処理されることを前提に匿名化を施したデータである。この匿名化したデータは、内部システムにおいても個人を特定することはできないデータである(例えば、統計処理を行うためのデータとして使用すること等を想定している。)。なお、例として匿名化のレベルを、レベル1〜レベル3に分けたが、これに限ることなく、匿名化のレベルは自由に設定できるものである。
前記のように、個人情報を匿名化のレベルに分けることにより、匿名性の確保を図るとともに、個人情報の利用性を高めることができる。
【0069】
2.匿名性確保の確認
複数のアクセス装置340がある場合には、すべてのアクセス装置340、あるいは、アクセス者からの検索履歴(検索条件と検索結果)を保存し、アクセス履歴をルールベースにてチェックすることにより、当該システムの匿名性が確保されているかを確認することを特徴とするアノニマスな分散データベースシステムである。
ここで、検索履歴の保存期間やアクセス履歴のチェック期間(定期・不定期)について、特に制限はない。
【0070】
3.課金システム
複数のアクセス装置340、あるいは、アクセス者からの検索履歴(検索条件と検索結果)を保存し、各データベースシステム310、320、330へのアクセス回数、あるいは、検索結果のデータ量からアクセス側の課金計算を行うことを特徴とするアノニマスな分散データベースシステムである。
同様に、検索履歴を情報提供者(個人・組織)(各データベースシステム310、320、330)への情報提供料の計算にも用いる。
【0071】
4.セキュリティ
当該システムを構成する各機器は認証機能を有するとともに、ネットワーク350上を流れるデータを暗号化することを特徴とするアノニマスな分散データベースシステムである。例えば、通信データを公開鍵、秘密鍵等で暗号化し、公開鍵、秘密鍵等で復号する。
【0072】
5.匿名性確保のための機能1
データの検索条件から「個人の特定」につながる検索条件を排除する機能を付与することを特徴とするアノニマスな分散データベースシステムである。どのような条件を排除するかを定義したルールベースをアクセス装置340のアクセス用インタフェース361やポータル装置430内、データベースシステム310、320、330内の機能として配置する。
【0073】
6.匿名性確保のための機能2
各データベースシステム310、320、330から返送されるデータに対して、データ項目ごとに異なるキー、あるいは、異なる暗号化手段を用いて暗号化し、当該データに対するアクセス装置340やアクセス者の権限、データの利用目的にしたがって、参照可能なデータ項目を制御する仕組みを付与することを特徴とするアノニマスな分散データベースシステムである。例えば、異なるアルゴリズムや、異なる暗号鍵である。
当該機能の実現には、システム内にアクセス装置340、および、アクセス者に対する認証機能が必要となる。
【0074】
7.匿名性確保のための機能3
各データベースシステム310、320、330に固有のキーを与え、アクセス装置340からデータベースシステム310、320、330へ送付する検索依頼情報(検索条件等)(個人情報送信要求の一例)を暗号化することにより、検索対象のデータベースシステム310、320、330でのみ暗号化した検索条件を前記の固有キーを用いて復号化できる仕組みを付与することを特徴とするアノニマスな分散データベースシステムである。検索条件が複数ある場合は、それぞれの条件を異なる暗号化手法で暗号化する。例えば、異なるアルゴリズムや、異なる暗号鍵である。なお、暗号化する場合は、前記のように検索条件ごとに暗号化してもよいし、また、データベースシステムごとに異なる暗号化としても構わない。
暗号化・復号化に使用する技術については、特に制限はない。
【0075】
8.匿名性確保のための機能4
エージェント方式にてデータの収集を行う場合に、データ検索結果(個人情報)と引き換えにデータ検索条件をエージェント440内に保持する情報から削除する仕組みを付与することを特徴とするアノニマスな分散データベースシステムである。図19を用いて説明する。図19において、アクセス装置340は、個人情報を検索する複数の検索依頼(検索条件の一例)を設定する。そして、アクセス装置340は、データベースシステム310、320、330(複数の情報提供装置の一例)を巡回し個人情報を収集するエージェント440を生成し、生成したエージェント440に前記複数の検索依頼を付与してエージェント440を出力する。そして、アクセス装置340は、出力したエージェントにデータベースシステム310、320、330のいずれかから個人情報を収集させる。エージェント440がデータベースシステムから個人情報を収集したときは、エージェント440は、当該データベースシステムの個人情報の収集に用いた検索条件を消去する。
以上により、エージェント440に個人情報を収集させることで効率的に個人情報を収集することができる。また、ポータル装置430は、個人情報を収集した場合にエージェント440に当該個人情報を収集した検索条件を消去させるので、エージェント440は検索結果と当該検索結果に使用した検索条件とを同時に所有することはないので、エージェント440に個人情報を収集させる場合でも、匿名性を確保することができる。
【0076】
9.匿名性確保のための機能5
検索結果のデータ数を判定し、所定数以下、あるいは、所定数に満たない場合は、匿名性が保証できない可能性があるため、検索結果を返送しないことを特徴とするアノニマスな分散データベースシステムである。
所定数は、各データベースシステム310、320、330において設定する。
【0077】
10.匿名性確保のための機能6
検索結果のデータ比率を判定し、所定比率以下、あるいは、所定比率に満たない場合は、匿名性が保証できない可能性があるため、検索結果を返送しないことを特徴とするアノニマスな分散データベースシステムである。
ここで、比率のベースとなる母集団の設定や所定比率は、各データベースシステム310、320、330において設定することができる。
【0078】
11.匿名性確保のための機能7
前記の「9.匿名性確保のための機能5」、および、「10.匿名性確保のための機能6」を同時にデータベースシステム310、320、330に付与することを特徴とするアノニマスな分散データベースシステムである。
【0079】
12.匿名性確保のための機能8
前記の、「9.匿名性確保のための機能5」〜「11.匿名性確保のための機能7」の機能を持つデータベースシステム310、320、330が混在することを特徴とするアノニマスな分散データベースシステムである。
【0080】
13.匿名性確保のための機能9
検索結果の所定データ項目にあらかじめ定めた特定データが含まれる場合は、匿名性が保証できない可能性があるため、検索結果そのものを返送しないことを特徴とするアノニマスな分散データベースシステムである。例えば、病歴のデータ項目として「白血病」が含まれる場合には返送しない等が想定できる。
ここで、どのようなデータ項目にどのようなデータが含まれていた場合に排除するかは各データベースシステム310、320、330において設定する。
【0081】
14.匿名性確保のための機能10
検索結果の所定データ項目にあらかじめ定めた特定データが含まれる場合は、匿名性が保証できない可能性があるため、検索結果から該当するデータを削除した上で匿名化データを返送することを特徴とするアノニマスな分散データベースシステムである。
ここで、どのようなデータ項目にどのようなデータが含まれていた場合に排除するかは各データベースシステム310、320、330において設定する。
【0082】
15.匿名性確保のための機能11
図18を用いて説明する。本機能は、実現案7で説明したポータル装置430の機能についての付加的機能である。本機能は、図18において、ポータル装置430がデータベースシステム310、320、330それぞれから送られてきた検索結果(匿名化された個人情報)に対して、それぞれの検索結果について匿名性が確保できているかどうかを判断する機能である。
具体的には、図18のポータル装置430(管理装置の一例)は、前記の「9.匿名性確保のための機能5」〜「14.匿名性確保のための機能10」の各機能を備えている。ポータル装置430は、データベースシステム310、320、330等から検索結果(匿名化された個人情報)を受信した場合に、前記の各機能を用いて、それぞれのデータベースシステム310、320、330から受信したそれぞれの検索結果について、匿名性が保証できるかどうかを所定の基準に基づいて判断する。ポータル装置430は、匿名性が保証できると判断した場合に、検索結果をアクセス装置340へ送信する。以上を特徴とするアノニマスな分散データベースシステムである。以上の機能により、ポータル装置430が複数のデータベースシステム310、320、330等からの複数の検索結果(匿名化個人情報)を受信した場合に、それぞれのデータベースシステムからの個人情報の匿名性を確保することができる。
なお、以上説明したポータル装置430の機能である「データベースシステム310、320、330それぞれから送られてきた検索結果(匿名化された個人情報)に対して、それぞれの検索結果について匿名性が確保できているかどうかを判断する」ことは、前記に説明した実現案9〜実現案13のエージェント440に持たせることも可能である。すなわち、エージェント440は、データベースシステム310、320、330等から検索結果(匿名化された個人情報)を収集した場合に、前記の「9.匿名性確保のための機能5」〜「14.匿名性確保のための機能10」の各機能を用いて、それぞれのデータベースシステム310、320、330から収集したそれぞれの検索結果について、匿名性が保証できるかどうかを所定の基準に基づいて判断する。エージェント440は、匿名性が保証できると判断した場合に、検索結果をアクセス装置340へ送信する。
【0083】
16.匿名性確保のための機能12
図18を用いて説明する。本機能は、前記の「15.匿名性確保のための機能11」と同様に、実現案7におけるポータル装置430の付加的機能である。図18において、ポータル装置430は、複数のデータベースシステム310、320、330からの検索結果(匿名化された個人情報)を関連付け、関連付けた結果なお匿名性が確保できるかどうかチェックする。これは、例えば、データベースシステム310のみの検索結果であれば匿名性が確保できるが、データベースシステム310とデータベースシステム320との検索結果という複数の検索結果を関連付けると匿名性が確保できなくなる場合のあることを想定した機能である。
匿名性が確保できない場合には、ポータル装置430は検索結果をアクセス装置340に返送しないことを特徴とするアノニマスな分散データベースシステムである。どのような検索結果、あるいはデータ項目の組み合せを匿名性が確保できないとするかについては、自由に設定できるものとする。
以上の機能により、複数のデータベースシステムからの検索結果(匿名化個人情報)の匿名性を確保しつつ個人情報を互いに関連付けて、個人情報を効率的に利用することができる。
なお、以上説明したポータル装置430の機能である「複数のデータベースシステム310、320、330からの検索結果(匿名化された個人情報)を関連付け、関連付けた結果なお匿名性が確保できるかどうかチェックする」ことは、前記に説明した実現案9〜実現案13のエージェント440に持たせることも可能である。
【0084】
17.匿名性確保のための機能13
本機能も、図18に示した実現案7におけるポータル装置430の付加的機能である。前記の「16.匿名性確保のための機能12」は、ポータル装置430が各データベースシステム310、320、330から得たそれぞれの検索結果を関連付けてチェックするものであった。この「17.匿名性確保のための機能13」は、ポータル装置430が、データベースシステム310等から時間を前後して得た検索結果を関連付けて匿名性の確保をチェックする機能である。すなわち、ポータル装置430(管理装置の一例)は、データベースシステム310等から過去に受信した検索結果(匿名化個人情報)を履歴として記憶している。そして、履歴としていない新たな検索結果をデータベースシステム310等から受信した場合、履歴としていない検索結果を履歴と関連付ける。そして、関連付けることによっても新たに受信した検索結果の匿名性が確保できると判断した場合に、ポータル装置430は、検索依頼(第1の個人情報送信要求)を受けたアクセス装置に新たに受信した検索結果(匿名化個人情報)を送信する。例えば、前記の「16.匿名性確保のための機能12」で述べたように、データベースシステム310、320、330の検索結果を関連付けることにより匿名性が確保できない場合が想定できるのと同様に、データベースシステム310のみの検索結果であっても過去の検索結果(検索履歴)と関連付けることにより、匿名性が確保できない場合も想定できるからである。
以上により、ポータル装置430は過去に受信した検索結果を履歴として記憶し新しく受信した検索結果と関連付けて匿名性が確保できるかどうか判断するので、過去の検索履歴をも含めて匿名性を確保することができる。
【0085】
18.データIDの生成手段1
データIDは、データ発生源等のある基準でデータを特定するためのIDであり、複数データベースシステム310、320、330から検索されたデータを関連付けるためのキーとなる。したがって、データIDから個人が特定可能な情報が生成できてはならない。ここで、各データベースシステム310、320、330が等しく保持している情報(個人名、性別、生年月日、住所等)を所定規則にしたがって変換し、データIDを生成することを特徴とするアノニマスな分散データベースシステムである。
【0086】
19.データIDの生成手段2
データIDの変換対象項目(および、その1項目)、あるいは、データの変換キー(および、その1項目)として、何らかの時刻情報(データ検索依頼時刻を想定している。特有情報の一例)を含むことを特徴とするアノニマスな分散データベースシステムである。
【0087】
20.データIDの生成手段3
データIDの変換対象項目(および、その1項目)、あるいは、データの変換キー(および、その1項目)として、データの検索依頼端末(アクセス送信者IDの一例)、あるいは、検索依頼者のID(アクセス送信者IDの一例)が含まれることを特徴とするアノニマスな分散データベースシステムである。
【0088】
21.データIDの生成手段4
前記データIDの生成手段2、および、前記データIDの生成手段3を組み合せたデータIDの生成手段を特徴とするアノニマスな分散データベースシステムである。
【0089】
22.データIDの生成手段5
1つのシステム内に複数のデータIDの生成手段が存在することを特徴とするアノニマスな分散データベースシステムである。
物理的に1つの分散型データベースシステムであるが、複数個の論理的なサブシステムとして扱う等により実現する。
【0090】
23.個人情報の他目的利用の許諾有無が混在する場合の処理手段1
個人情報の他目的利用に関する許諾を必須とし、許諾のない個人情報はすべて(匿名化している場合でも)返送しないことを特徴とするアノニマスな分散データベースシステムである。ここで「他目的利用」とは、当初予定した利用とは異なる、他の目的に利用する場合を意味する。例えば、集団の医療費の推移をみるために利用しようと予定していた個人情報を、個人の保健指導という他の目的に利用するような場合である。
【0091】
24.個人情報の他目的利用の許諾有無が混在する場合の処理手段2
個人情報の他目的利用に関する許諾の有無により、アクセス装置340へ返送する匿名化レベル(「1.アノニマス・データの管理手段」における匿名化レベル)を制御することを特徴とするアノニマスな分散データベースシステムである。例えば、図14における情報提供装置200の個人情報記憶部110は、個人情報の利用について利用許諾を受けている個人情報と利用許諾を受けていない個人情報との双方の個人情報を記憶している。匿名化処理部120は、利用許諾の有無により、所定のレベルの匿名化処理を行なう。利用許諾を受けているものであれば、前記の「1.アノニマス・データの管理手段」における、レベル2のような匿名化処理を行なう。あるいは、何の制限もなく自由に利用してよい旨の利用許諾を受けている個人情報であれば、前記の「1.アノニマス・データの管理手段」のレベル1のように、匿名化処理を施すことなくアクセス装置340に送信しても構わない。一方、利用許諾を受けていない場合は匿名化のレベルを高め、例えば、前記の「1.アノニマス・データの管理手段」におけるレベル3のように、統計情報としてのみ利用する。この点、許諾のない個人情報は返送しないとする、前記の「23.個人情報の他目的利用の許諾有無が混在する場合の処理手段1」とは異なる。
以上のように、個人情報の利用許諾の有無により匿名化処理のレベルを変えることにより、個人情報の匿名性を確保した上で、個人情報の幅広い有効活用をすることができる。
【0092】
25.データIDから個人の特定を行う手段
各データベースシステム310、320、330において、データIDから個人を特定する仕組みを有することを特徴とするアノニマスな分散データベースシステムである。
データIDの生成処理をデータベースシステムに格納しているデータに対し、与えられたデータIDと等しいデータID生成できるデータを検索する手段により個人を特定する。
【0093】
26.許可者以外がデータIDから個人を特定できないための手段1
データIDから個人を特定する機能をデータ検索機能と同一機器に設置できないことを特徴とするアノニマスな分散データベースシステム(前記の「25.データIDから個人の特定を行う手段」の拡張機能)である。
【0094】
27.許可者以外がデータIDから個人を特定できないための手段2
検索依頼時刻(特有情報の一例)や、検索依頼者を識別する識別子(特有情報の一例)等、各データベースシステム310、320、330には存在しない項目を用いてデータIDを生成する手段を選択するとともに、これらデータID生成時に必須となるデータ項目を暗号化してデータベースシステムへ送信することを特徴とするアノニマスな分散データベースシステムである。アクセス装置340側のみが有する特有の情報、例えば、「検索依頼時刻」、あるいは「検索依頼者を識別する識別子」などを加えることにより、所定のデータベースシステム、あるいは、データベースシステムにおける所定の操作者以外は、データIDから個人の特定をできないようにする。
すなわち、各データベースシステム310、320、330等において、データIDの生成に用いる個人情報のデータ項目としては、個人名、性別、生年月日、住所等があるが、さらにこれらの個人情報のデータ項目に加えて、検索依頼時刻のようなアクセス装置340のみが有する情報をデータID生成のデータ項目として追加する。
具体的な適用について、実施の形態1において述べた「介入サービスへの適用における処理の過程」を例にとり、説明する。以下では、図3と図5とを用い、データID生成と対比ID生成を中心に説明する。
(1)図5において、健康保険組合は、コンサルティング会社(アクセス装置340)に、どのような個人に、どのような健康促進のための介入サービスを実施すれば良いかの分析、調査を依頼する。コンサルティング会社は、この依頼に基づき、健康保険組合データベースシステム370に、例えばレセプト情報のような個人情報の個人情報送信要求を送信する。この個人情報送信要求には、個人情報を検索する検索条件と送信時の検索依頼時刻(特有情報の一例)が含まれている。
(2)健康保険組合データベースシステム370の情報提供装置100(図3)は、前記個人情報送信要求を受信すると個人情報を抽出し、データID生成部50がデータIDを生成する。このデータID生成部50によるデータID生成において、アクセス装置340から受信した検索依頼時刻(特有情報の一例)はデータID生成の必須のデータ項目である。情報提供装置100は、個人情報(図5ではレセプト情報)にデータIDを付与してアクセス装置340へ送信する。送信した個人情報のうちには、「三菱太郎」をデータID化した「Dasf104」のレセプト情報が含まれている。
(3)アクセス装置340は、健康保険組合データベースシステム370から収集した匿名化したレセプト情報と関連付けて分析、調査するため人事データベースシステム380へ勤怠情報の検索依頼を送信する。人事データベースシステム380は、この検索依頼に応答して、匿名化した勤怠情報をアクセス装置340へ送信する。人事データベースシステム380が送信した匿名化した勤怠情報の中には、「Dasf104」の勤怠情報が存在する。
(4)アクセス装置340は、健康保険組合データベースシステム370のレセプト情報と、人事データベースシステム380の勤怠情報とを分析する。そして生活習慣病予備軍として、「Dasf104」を決定する。アクセス装置340は、この分析結果を分析情報として保有する。そして、コンサルティング会社(アクセス装置340)は、健康保険組合からの分析、調査依頼に回答するべく分析情報(アクセス装置情報の一例)を健康保険組合データベースシステム370へ送信する。この分析情報には、以前にアクセス装置340から健康保険組合データベースシステム370への検索依頼時に送信した検索依頼時刻を含める。
(5)健康保険組合データベースシステム370の情報提供装置100においては、アクセス装置340から受信した「Dasf104」が、いかなる個人であるかを特定するため、対比ID生成部51が個人情報記憶部40の記憶する個人情報と、分析情報(アクセス装置情報の一例)に含まれる検索依頼時刻とを用いて、「Dasf104」と対比して個人を特定するための対比IDを生成する。この場合、分析情報に含まれる検索依頼時刻は、対比IDを生成するための必須のデータであり、検索依頼時刻がなければ対比IDを生成することはできない。例えば、「三菱太郎」の個人情報と検索依頼時刻とにより対比IDが「Dasf104」と求められることで、介入の必要のある個人が、「三菱太郎」であることが判明する。
以上のように、本手段により、所定のデータベースシステムまたは所定の操作者以外はデータIDから個人の特定はできないようにして、個人情報の匿名性を確保することができる。
【0095】
28.許可者以外がデータIDから個人を特定できないための手段3
許可者以外がデータIDから個人を特定できないための前記の「26.許可者以外がデータIDから個人を特定できないための手段1」と「27.許可者以外がデータIDから個人を特定できないための手段2」とを組み合せた手段であることを特徴とするアノニマスな分散データベースシステムである。
【0096】
29.許可者以外がデータIDから個人を特定できないための手段4
アクセス装置340からの検索依頼以外でデータIDの生成を実施する場合、個人情報の他目的利用を許諾していない個人の情報はデータID生成ができないことを特徴とするアノニマスな分散データベースシステムである。
【0097】
実施の形態5.
図21〜図25を用いて実施の形態5を説明する。実施の形態5では、実施の形態1〜実施の形態4に説明したシステムを具体的な事業におけるシステムに適用した、5つの適用例について説明する。
【0098】
実施の形態1〜実施の形態4の適用例として、まずサンプルデータ提供システムについて以下に説明する。図21は、サンプルデータ提供システムの概要を示す図である。
図21は、情報収集者454が蓄積した実社会の個人情報を、匿名化した上で研究機関やコンサルティング会社等の情報利用者453へ提供するモデルである。サンプルデータ提供システムには、情報利用者453、情報収集者454、情報提供者455(使用許諾者)(個人・組織)、企業452、システム運営(構築)者451の5者が登場する。
情報利用者453は、研究等を進めるにあたり実社会のデータを欲する個人や組織を想定する。情報利用者453は、図21に示すように、情報を入手する対価として、情報収集者454へ情報提供料、および、システム運営(構築)者451へシステム使用料を支払う。それぞれの費用として、従量制、定額制が考えられる。
情報収集者454は、本来、各自の業務を進めるためだけに個人の情報を収集、蓄積している。これら蓄積した情報に実施の形態1〜実施の形態4を適用することにより匿名化を保証し、他組織へ匿名化した個人情報を提供することが可能となる。情報収集者454は情報を提供する対価として、情報利用者453から情報提供料を受領することができる。ここで、情報提供料の算出手段として、提供データの情報量やアクセス者から検索された回数等による従量制と当該システムへの接続そのものに対しての定額制が考えられる。また、間接的なメリットとして、情報利用者453との関係強化や情報利用者453への情報提供そのものを商業的な宣伝に利用できる等が考えられる。
情報提供者455(使用許諾者)である個人、および、個人が所属する組織が何らかの社会活動を行うことにより、情報収集者454により個人情報が蓄積される。本例の場合は、実施の形態1〜実施の形態4の適用により個人情報の匿名化を保証するため、データの目的使用に関する個人の承諾は不要となると考える。また、サンプルデータ提供システムでは、情報提供者455(使用許諾者)(個人・組織)への明示的なリターンはない。
サンプルデータ提供システムにおける企業452は、情報利用者453に関連する機器やサービス等を提供する営利団体を想定している。検索画面や検索結果表示画面、メール等に企業広告を載せることにより、拡販の機会を提供する。企業452はその対価として広告料を支払う。情報収集者454、情報提供者455に対しても同様の広告を行ってもよい。
システム運営(構築)者451は、当該プラットフォームを前記4者へ提供する。その対価としてシステム使用料を徴収する。また、企業452に対して拡販の機会を提供することにより、広告料を徴収する。また、情報提供料を情報利用者453から徴収し、情報収集者454へ分配する。交付金、補助金、委託金等の公的な資金を利用して当該プラットフォームを構築することも想定する。
【0099】
以上、サンプルデータ提供システムの適用例では、個人情報の保護については、実施の形態1〜実施の形態4の適用により解決可能である。
また、課金機能の構築については、課金ルールを作る。それに必要な場合は、ポータル装置430で各データベースシステム310等へのアクセス回数をカウントする仕組みを構築したり、また、ポータル装置430で各データベースシステム310等から検索したデータ量をカウントする仕組みを構築したりすることも可能である。
また、広告等の情報提示手段については、検索依頼画面にバーナーとして広告を表示(Web画面イメージ)する機能や、検索結果ダウンロード画面にバーナーとして広告を表示(Web画面イメージ)する機能等により実現することができる。
【0100】
次に、実施の形態1〜実施の形態4の第2の適用例として、2種類のヘルスケアシステムを以下に説明する。まず、第1の適用例としてヘルスケアシステム例1を説明する。図22は、ヘルスケアシステム例1の概要を示す図である。
図22を用いて、ヘルスケアシステムの第1の例であるヘルスケアシステム例1について説明する。
図22は、個人、および、個人が所属する組織の各種情報を分析することにより、個人、および、組織の健康状態を評価するとともに、個人や組織に対して健康を増進するため、あるいは、健康を保つための介入サービスを実施するためのモデルを示す。また、ヘルスケアシステム例1では、健康保険組合等の情報収集者454が中心となり、健康保険組合等の集団の健康を増進させることが主たる目的である。
図21で述べたサンプル提供システムとは異なり、個人に対して分析結果を何らかの形態でフィードバックするため、個人情報の他目的利用、および、介入サービスの提供に関して各個人の許諾が必要となる。
ヘルスケアシステム例1には、情報利用者453(コンサルティング会社)、情報収集者454、情報提供者455(使用許諾者)(個人・組織)、情報提供者457(使用不許諾者)、サービス提供会社458、システム運営者451の6者が登場する。
ヘルスケアシステム例1の情報収集者454として、健康保険組合、企業(人事)、産業医等を想定している。介入サービスが軌道に乗ることにより、情報収集者454である健康保険組合は医療費の削減、企業は作業の効率化等の恩恵を得ることができる。各情報収集者454は、ヘルスケアシステム例1の運用をするにあたり、全情報提供者455(使用許諾者)(個人)から個人情報の他目的利用(ただし、情報の利用はヘルスケア関連に限る)、および、介入サービスの実施について許諾を得る必要がある。情報収集者454は、第三者であるコンサルティング会社(情報利用者453)に匿名化したデータを送付するとともに、データの分析を依頼する。分析内容の代表としては、個人、および、企業内組織単位の健康評価とその傾向、および、疾病予備軍の調査である。ここで、個人情報の他目的利用について許諾を得られない個人情報については、統計情報としてのみ使用する。
情報収集者454(例えば、健康保険組合を想定)は、情報利用者453であるコンサルティング会社(組織)から疾病予備軍である者のデータIDが送信されてきた場合に、このデータIDがいかなる個人を示すものか特定するために、自己の保有する個人情報をもとにデータIDを生成し、生成したデータIDと前記送信されたデータIDとを照合し、一致した個人を特定する。そして、特定した個人には、疾病予備軍に関する改善策を講じるために、疾病予備軍(不許諾者は除く)として健康増進サービスを提供する。ここで、健康増進サービスをサービス提供会社458に委託することもあり、その際には疾病予備軍に関する情報をサービス提供会社458へ提供する。
すなわち、情報利用者453であるコンサルティング会社(組織)は情報収集者454(当面は健康保険組合を想定)からの依頼に基づき、匿名化したデータの分析を行う。分析結果として、組織の健康評価と個人の健康評価を情報収集者454へ返送する。つまり、コンサルティング会社(組織)は、生活習慣病、成人病等の疾病予備軍の有無を検討し、疾病予備軍がいると判断したときは、その対象者をデータIDにて情報収集者454へ報告する。ここで、匿名化の保証ができなくなる恐れがあることを考慮し、コンサルティング会社(組織)は、依頼元(この事例では健康保険組合)に対して疾病予備軍の選定理由等を開示してはならないものとする。
ここで、コンサルティング会社(組織)と情報収集者454のいずれかが一致する場合は、分析を行う担当組織、あるいは(および)、担当者に対して契約等により守秘義務を科す必要がある。コンサルティング会社(組織)は、情報収集者454からの分析依頼に対する対価が収入となる。
情報収集者454から委託を受けるサービス提供会社458は情報収集者454より入手した対象者情報に従い、個人、および、個人の所属する組織に対して介入サービスを実施する。介入サービスには、運動指導や栄養指導、禁煙指導等が想定され、提供サービスの内容に応じて個人からも費用を徴収する場合がある。また、介入サービスの一環として、運動ジムの斡旋や配膳業者の斡旋等を行い、これら企業からのキックバックも収入源として想定できる。
また、健康保険の医療費抑制や作業効率の向上が明らかな場合は、その削減額の所定割合を成果報酬とすることを想定できる。
システム運営者451は、情報収集者454、あるいは、サービス提供会社458から委託を受け、個人情報の匿名化等を実施するシステムの運営を行う。ただし、システム運営者451は、情報収集者454、あるいは、サービス提供会社458と同一であってもかまわない。
情報提供者455(使用許諾者)(個人・組織)は、個人情報の他目的利用、および、介入サービスの提供を許諾した個人を想定する。ヘルスケアシステム例1における情報提供者455(使用許諾者)である組織は、情報収集者454(あるいはその一部)と一致すると想定しているため、組織が不許諾とすることはほぼないと考えられる。個人は健康向上・維持に関する情報が安価(あるいは、無償)で入手できるとともに、介入サービスにより斡旋を受けた運動ジムや配膳業者等の割引や健康保険組合等による費用の一部負担が期待できる。
情報提供者457(使用不許諾者)は、個人情報の他目的利用、および、介入サービスの提供を許諾しなかった個人を想定する。
【0101】
以上、ヘルスケアシステムの例1の適用例では、情報収集者454が提供する実データに対する匿名性保証については、実施の形態1〜実施の形態4の適用により解決可能である。
また、複数の情報収集者454からの匿名化したデータを関連付ける手段については、実施の形態1〜実施の形態4の適用により解決可能である。
また、データIDから個人を特定するための機能、および、その際の匿名性の確保手段については、実施の形態4で述べた「アノニマス(匿名化)・データベースシステムを構築するにあたり、実現が必要になると思われる機能、および、実現することにより便利になる機能、効率化につながる機能」における、「25.データIDから個人の特定を行う手段」、「26.許可者以外がデータIDから個人を特定できないための手段1」、「27.許可者以外がデータIDから個人を特定できないための手段2」、「28.許可者以外がデータIDから個人を特定できないための手段3」、「29.許可者以外がデータIDから個人を特定できないための手段4」等の手段を利用することにより解決可能である。
また、健康評価手段については、個人に対する健康評価手段として「健康度」があり、当該健康度の適用を想定している。集団へ健康度を適用する場合については、個人の健康度を集積したものを想定している。
また、介入サービス適用効果の評価手段については、定期的にコンサルティング会社(組織)に組織の健康度分析を依頼する。また、介入サービスの提供履歴を管理する(サービス提供会社458からの報告義務、および、その蓄積)。当該情報を含めコンサルティング会社(組織)にて分析する。
また、情報提供に関する承諾をしない個人データの取り扱い、および、混在したデータの取り扱い機能の構築については、実施の形態4で述べた「アノニマス(匿名化)・データベースシステムを構築するにあたり、実現が必要になると思われる機能、および、実現することにより便利になる機能、効率化につながる機能」における「23.個人情報の他目的利用の許諾有無が混在する場合の処理手段1」や「24.個人情報の他目的利用の許諾有無が混在する場合の処理手段2」を利用することにより解決可能である。
また、医療費の削減や生産性向上等の間接的なメリットに対する評価手段については、特に制限しない。
【0102】
以下に、実施の形態1〜実施の形態4をヘルスケアに適用した第2の場合である、ヘルスケアシステム例2について説明する。図23は、ヘルスケアシステム例2のシステムを示す図である。ヘルスケアシステム例2は、個人がコンサルティング会社へ依頼する場合を想定する。当該例では、従来はコンサルティング会社が保有するノウハウにて個人に対する介入方針等を決定していたが、それに加え個人が所属する組織の特性や個人の病歴等の情報を入手することが可能となり、コンサルティング会社(情報利用者453に該当する。以下同じ。)は、これら情報を加味して、詳細なアドバイスが可能となる。同一組織に所属する集団としての健康状態を分析することにより、個人にとって往々に注意外である外的要因の有無をコンサルティング会社が調査し、これまでは気が付かなかった要因を発見できる機会を広げる。
ヘルスケアシステム例2には、依頼者460、情報利用者453(コンサルティング会社)、情報収集者454、情報提供者455(使用許諾者)(個人・組織)、システム運営者451の5者が登場する。
依頼者460は、コンサルティング会社(組織)に健康等に関するサービス提供を依頼する。ここで、依頼者460は、情報提供者455(使用許諾者)(個人・組織)の構成員であることが前提である。
情報利用者453であるコンサルティング会社(組織)は依頼者460からの依頼に基づいて、依頼者個人、および、依頼者460の所属する組織について分析を行う。分析結果にしたがって、依頼者460への介入、あるいは、アドバイスの方針を決定する。
ヘルスケアシステム例2を利用する場合、コンサルティング会社はシステム運営者451へのシステム使用料支払い、情報収集者454への情報提供料支払い等、コストアップにつながる要因もあるが、過去に遡った詳細な個人情報など分析対象となる有意な情報を入手可能となるため、コンサルティング会社として保有するノウハウの精度を向上させることが期待でき、ひいては、医療費削減等が期待される。
システム運営者451は、コンサルティング会社(組織)からシステム使用料を徴収し、システムの運用・保守を行う。システム運営者451の位置付けは、前記サンプルデータ提供システムと大きな差異はない。
情報収集者454はコンサルティング会社へ匿名化した情報の提供を行う対価として、情報提供料を徴収する。ここで、コンサルティング会社へ提供する情報は、実データを匿名化し統計データとして使用、および、依頼者460本人の情報であり、情報提供者455(使用許諾者)(全員)に対する他目的利用許諾は不要であると考えている。
情報提供者455(使用許諾者)は情報収集者454が通常業務として行っているサービスを受けることにより、情報収集者454に個人情報が蓄積される。
【0103】
以上、ヘルスケアシステム例2の適用例では、情報収集者454が提供する実データに対する匿名性保証は、実施の形態1〜実施の形態4の適用により解決可能である。
また、複数の情報収集者454からの匿名化したデータを関連付ける手段は、実施の形態1〜実施の形態4の適用により解決可能である。
また、課金機能の構築は、前記サンプルデータ提供システムと同様である。すなわち、課金機能の構築については、課金ルールを作る。それに必要な場合は、ポータル装置430で各データベースシステム310等へのアクセス回数をカウントする仕組みを構築したり、また、ポータル装置430で各データベースシステム310等から検索したデータ量をカウントする仕組みを構築したりすることも可能である。
【0104】
次に、実施の形態1〜実施の形態4の別の適用例として2種類の介入サービス評価システムを説明する。まず、第1の例である介入サービス評価システム例1について説明する。図24は、介入サービス評価システム例1の概要を示す。
集団又は個人の健康状態(健康の評価結果)の履歴を管理することにより、介入サービス等の有効度を評価する。介入サービスを評価するためのデータ取得に実施の形態1〜実施の形態4を使用する。図24に示す介入サービス評価システム例1は、サービス提供会社458、情報収集者454(委託元)、情報提供者455(使用許諾者)(個人・組織)、システム運営者451、サービス評価会社461の5者が登場する。
ヘルスケアシステム例1と同様に、情報収集者454は、個人に対する介入サービスをサービス提供会社458へ委託する。さらに、情報収集者454は、サービス評価会社461に対して、当該サービス提供会社458が提供するサービスを評価するよう依頼する。サービス評価会社461へは、情報提供者455(使用許諾者)(個人・組織)の匿名化したデータを提供する。当該データから個人を特定する必要はないため、情報提供者455(使用許諾者)(個人)に対して個人情報の他目的利用の許諾は不要であると考える。
情報提供者455(使用許諾者)(個人・組織)は、サービス提供会社458よりサービスの提供を受ける。
サービス提供会社458は、情報収集者454からの委託に従い、個人に対して介入サービスを提供する。
サービス評価会社461は、情報収集者454より情報提供者455(使用許諾者)(個人・組織)の匿名化した情報を定期的に入手し、集団又は個人としての健康状態のトレンドを分析・評価する。その結果をサービス提供会社458の評価として情報収集者454へ提示する。
システム運営者451は、情報収集者454とサービス評価会社461との間のデータ通信において、匿名化するためのプラットフォームを提供する。システムの運用・保守の対価としてサービス評価会社461からシステム使用料を徴収する。
【0105】
以上、介入サービス評価システム例1の適用例では、情報収集者454が提供する実データに対する匿名性保証は、実施の形態1〜実施の形態4の適用により解決可能である。
また、複数の情報収集者454からの匿名化したデータを関連付ける手段は、実施の形態1〜実施の形態4の適用により解決可能である。
また、集団に対する健康度の評価機能の構築は、個人に対する健康評価手段として「健康度」があり、当該健康度の適用を想定している。集団の健康度については、個人の健康度を集積したものを想定している。
また、介入サービス適用効果の評価手段は、集団の健康度を蓄積し、トレンドを評価する。
【0106】
実施の形態1〜実施の形態4を適用した第2の介入評価サービスのシステムについて以下に説明する。
図25は、介入サービス評価システム2のしくみの一例を示す。図25において、サービス評価会社461は、サービス提供会社458の評価のみでなく、サービス提供会社458に対するコンサルティングをも行う。介入サービス評価システム2に必要となる基本的な仕組みは、図24における前記介入サービス評価システム1と同様である。
サービス評価会社461は、サービス提供会社458のサービス提供先集団の健康状態(健康の評価結果)、および、その履歴を管理することにより介入サービス等の有効度を評価する。サービス評価会社461は、その結果から効果のあがっていない項目の有無、および、内容をサービス提供会社458に提示するとともに、その対策についてアドバイスする。
介入サービスを評価するためのデータ取得に実施の形態1〜実施の形態4を使用する。介入サービス評価システム2には、サービス提供会社458、情報収集者454(委託元)、情報提供者455(使用許諾者)(個人・組織)、システム運営者451、サービス評価会社461の5者が登場する。
情報収集者454は、サービス評価会社461に対して、情報提供者455(使用許諾者)(個人・組織)の匿名化したデータを提供する。その対価として、情報提供料を徴収することが可能となる。当該データから個人を特定する必要はないため、情報提供者455(使用許諾者)(個人)に対して個人情報の他目的利用の許諾は不要であると考える。
情報提供者455(使用許諾者)(個人・組織)は、サービス提供会社458よりサービスの提供を受ける。
サービス提供会社458は、個人に対して介入サービスを提供する。サービス提供会社458は、自社が提供するサービスに対するコンサルティングをサービス評価会社461に依頼する。
サービス評価会社461は、情報収集者454より情報提供者455(使用許諾者)(個人・組織)の匿名化した情報を定期的に入手し、集団としての健康状態のトレンドを分析・評価する。ここで、情報入手の対価として情報提供料を情報収集者454へ支払う。その結果からサービス提供会社458へコンサルティングを実施する。
システム運営者451は、情報収集者454からサービス評価会社461間とのデータ通信において、匿名化するためのプラットフォームを提供する。システムの運用・保守の対価としてサービス評価会社461からシステム使用料を徴収する。
【0107】
以上、介入サービス評価システム例2の適用例では、情報収集者454が提供する実データに対する匿名性保証については、実施の形態1〜実施の形態4の適用により解決可能である。
また、複数の情報収集者454からの匿名化したデータを関連付ける手段については、実施の形態1〜実施の形態4の適用により解決可能である。
また、集団に対する健康度の評価機能の構築については、個人に対する健康評価手段として「健康度」があるが、当該健康度の適用を想定している。ただし、集団の健康度については、個人の健康度を集積したものを想定している。
また、介入サービス適用効果の評価手段については、集団の健康度を蓄積し、トレンドを評価する。
【0108】
実施の形態5では、匿名化を保証するとともに個人情報を関連付けすることにより、個人情報の利用促進を図ることができるシステムを事業へ適用することによって、個人情報の利用に基づいた新たなサービス、新たなビジネスを提供することができる。
【0109】
【発明の効果】
本発明によれば、個人情報に関してプライバシーを高度に確保して、個人情報を有効に利用することができる。また、複数のデータベースシステムに格納された同一人についての個人情報を関連付けることにより、個人情報の有効利用を可能とすることができる。
【図面の簡単な説明】
【図1】 実施の形態1のシステム構成例を示す図である。
【図2】 実施の形態1の実装の概要を示す図である。
【図3】 実施の形態1に係る情報提供装置100の構成を示す図である。
【図4】 個人情報の送信要求を受けた場合のフローを示す図である。
【図5】 実施の形態1を介入サービスに適用したシステム適用例を示す図である。
【図6】 検索条件の例を示す図である。
【図7】 検索条件の一部を削除した図である。
【図8】 データベースからの検索結果を示す図である。
【図9】 データIDの付与を示す図である。
【図10】 プライバシーに関わる情報の削除の様子を示す図である。
【図11】 実施の形態1におけるシステムの機能を示す図である。
【図12】 実施の形態2におけるシステム構成概要を示す図である。
【図13】 実現案1を示す図である。
【図14】 情報提供装置200の構成を示す図である。
【図15】 関連付け分散データベースシステム500の構成を示す図である。
【図16】 実現案2を示す図である。
【図17】 実現案3〜実現案5を示す図である。
【図18】 実現案7を示す図である。
【図19】 実現案9を示す図である。
【図20】 実現案10を示す図である。
【図21】 サンプルデータ提供システムの構成を示す図である。
【図22】 ヘルスケアシステム例1の構成を示す図である。
【図23】 ヘルスケアシステム例2の構成を示す図である。
【図24】 介入サービス評価システム例1の構成を示す図である。
【図25】 介入サービス評価システム例2の構成を示す図である。
【符号の説明】
10 受信部、11 認証部、12 復号部、20 検索条件確認部、30 個人情報抽出部、40 個人情報記憶部、50 データID生成部、51 対比ID生成部、60 検索結果判断部、61 暗号作成部、62 送信部、70 規則記憶部、80 課金部、100 情報提供装置、110 個人情報記憶部、120 匿名化処理部、121 データID生成部、130 匿名化個人情報記憶部、140 受信部、150 送信部、200 情報提供装置、310,320,330 データベースシステム、340 アクセス装置、350 ネットワーク、360,361 アクセス用インタフェース、370 健康保険組合データベースシステム、380 人事データベースシステム、390 産業医データベースシステム、400,410 データベースシステム、415 アノニマス化データベースシステム、416 データベースシステム、420 検索装置、、430 ポータル装置、440 エージェント、450 国、451 システム運営者、452 企業、453 情報利用者、454 情報収集者、455 情報提供者、457 情報提供者(使用不許諾者)、458 サービス提供会社、460 依頼者、461 サービス評価会社、500 関連付け分散データベースシステム、600 第1プライベートデータベース装置、610 第1識別子生成部、620 第1組み合わせデータ作成部、630 第1記憶部、700第2プライベートデータベース装置、710 第2識別子生成部、720 第2組み合わせデータ作成部、730 第2記憶部、800 データベースアクセス装置、810 識別子照合部、820 関連データ記憶部。
【発明の属する技術分野】
この発明は、分散型データベースシステムに関する。また、ネットワークを通じて情報を提供する情報提供装置に関する。例えば、個人情報を送信する分散型データベースシステムに関する。また、例えば、ネットワークを通じて個人情報を提供する情報提供装置に関する。
【0002】
【従来の技術】
実社会では、組織ごとに、さまざまな個人情報を収集し、保有・管理している。これら個人情報の多くはプライバシーに関わる情報を含んでいる。したがって、情報を保有・管理する組織は、個人情報に対する守秘義務を負っている。そのため、個人情報を含まない情報さえも開示できない状況にある。しかしながら、個人情報は、組み合せて分析等を行うことで新たな意味や価値を持ち、経済効果、学術的進歩を生む可能性を有する。
しかし、実データの入手にともなう守秘義務は情報提供者と利用者間の信頼関係に負う部分が大きい。また、個人情報を保護する法により、個人情報の取り扱いに規制がなされ、各組織が蓄積した情報の開示が停滞することも生じ得る。そのため、個人情報の有効な活用がなされていない。
【0003】
従来の技術(例えば、特許文献1)では、個人情報を有するデータ提供者(データプロバイダ)が信託機関に個人情報の一部である個人識別情報を送り、個人識別情報を受け取った信託機関が識別子を生成し、信託機関が生成した識別子をもとに個人情報を「非個人化された形式」(個人の身元を明らかにすることのない形式)で個人情報を利用する技術が開示されている。
しかし、データ提供者が第三者である信託機関に個人情報を送るとすれば、個人の匿名性(プライバシー)を確保できない可能性が高くなる。
また、第三者である信託機関を別途設立するとなれば、その維持、管理等の必要が生じる。
【0004】
【特許文献1】
特開2000−324094号公報
【特許文献2】
特開2002−175432号公報
【特許文献3】
特開平5−63696号公報
【特許文献4】
特開平10−254807号公報
【0005】
【発明が解決しようとする課題】
本発明は、個人情報に関してプライバシーを高度に確保して、個人情報の有効な利用を可能とする分散データベースシステムの提供を目的とする。
また、本発明は、複数のデータベースシステムに格納された個人の情報を関連付けることにより、個人情報の有効な利用を可能とするデータベースシステムの提供を目的とする。
また、本発明は、第三者の介在を必要とすることなく、個人情報を提供する情報提供者と、個人情報を利用する情報利用者との2者間における個人情報の有効な利用を可能とするデータベースシステムの提供を目的とする。
【0006】
【課題を解決するための手段】
この発明に係る情報提供装置は、
ネットワークを介してアクセス装置と通信可能であり、アクセス装置からの要求に基づきアクセス装置に情報提供を行う情報提供装置において、
個人に関する個人情報を記憶する個人情報記憶部と、
前記アクセス装置から個人情報を検索する検索条件を含む個人情報送信要求を受信する受信部と、
前記受信部が受信した個人情報送信要求に含まれる検索条件を確認し、前記個人情報送信要求に含まれる検索条件の中に個人を特定可能な条件が含まれるときは前記個人を特定可能な条件を削除し前記個人を特定可能な条件を削除した検索条件を確認後検索条件として出力し、前記個人情報送信要求に含まれる検索条件の中に個人を特定可能な条件が含まれないときは前記個人情報送信要求に含まれる検索条件をそのまま確認後検索条件として出力する検索条件確認部と、
前記検索条件確認部の出力した確認後検索条件を入力し入力した確認後検索条件に基づいて前記個人情報記憶部を検索し個人情報を抽出する個人情報抽出部と、
前記個人情報抽出部の抽出した個人情報を用いて、前記抽出した個人情報を識別するためのデータIDを所定の規則により生成し、生成したデータIDを前記抽出した個人情報に付与するデータID生成部と、
前記個人情報抽出部が抽出しデータIDが付与された個人情報から個人の特定が可能か否かを所定の規則により判断し、個人の特定が不可能と判断したときは前記データIDが付与された個人情報を前記アクセス装置に送信する検索結果判断部とを備えたことを特徴とする。
【0007】
【発明の実施の形態】
実施の形態1.
実施の形態1は、個人情報を格納しているデータベースシステムに対して、外部システムから個人情報の送信を要求するアクセスがあったときに、前記データベースシステムは、格納する個人情報をアノニマス化(匿名化)し、および、データIDを生成し、匿名化した個人情報に生成したデータIDを付与してアクセスしてきた外部システムに返信するシステムに関する。
【0008】
実社会では、勤務している会社やかかりつけの病院、健康保険組合等が、さまざまな個人情報を「組織ごと」に収集し、保有・管理している。これら情報の多くはプライバシーに関わる個人情報を含んでいるため、情報を保有・管理する組織は個人情報に対する守秘義務を負っており、個人情報を含まない情報についても効果的に外部へ開示できない状況にある。しかしながら、各組織が保有する情報は、「組み合せ」て分析等を行うことにより新たな意味や価値を持ち、情報を保有・管理する組織が想定していなかった経済効果や学術的進歩を生む可能性を秘めている。
しかし、学術・研究的な分野では実世界のデータをサンプルデータとして匿名性を確保した形態で取り扱っているが、実データの入手にともなう守秘義務は情報提供者(個人・組織)と利用者間の信頼関係に負う部分が大きい。しかし、個人情報を保護する法により、個人情報の取り扱いに規制がなされ、各組織が蓄積した情報の開示が停滞することも生じ得る。
各組織が持つ情報の開示を促進するためには、プライバシーの確保を技術的に保証するプラットフォームを実現するとともに、このようなプラットフォームが社会的に認知されることが必要である。そうすることにより、新たなサービス事業の展開が期待でき、当該環境そのものが新たなサービスになりうる。
以下の実施の形態1は、プライバシーの確保を個人データに対する匿名性の保証ととらえ、プライバシーを確保しながら、複数のデータベースシステムに格納された個人の情報を関連付けるデータベースシステムを構築するためのものである。
【0009】
以下に示す実施の形態1におけるシステムでは、「プライバシーの確保」と「複数データベースに格納されている個人情報の関連付け」の2つを同時に実現することを目的とする。
まず、「プライバシーの確保」について説明する。
以下に示す実施の形態1におけるシステムでは、プラットフォームが各データの匿名性を保証することによりプライバシーの確保を図る。データの匿名性は、「個人の特定」に繋がる情報を外部システムに引き渡す情報から削除することにより保証する。個人を特定する情報の削除は各データベースシステム側装置で実施し、基本ルールは予め用意するものの、どの情報を「個人の特定」に繋がると位置付けるか否かについては、各データベースシステム側装置にパラメータ設定できる機能を付与する。
大きくは下記3つの機能からなる。
第1に、データベースシステムへのデータ検索条件から「個人の特定」に繋がる検索条件を削除する機能である。
第2に、検索結果から「個人の特定」に繋がる情報を削除する機能である。
第3に、検索結果が少数(絶対数が少数、あるいは比率が少数)の場合に、データを返送しない機能である。
次に、「データの関連付け」について説明する。各データベースシステムに蓄積されているデータを有意に分析するためには、複数データベースに格納されているデータを関連付ける必要がある(例えば、データベースシステム1に格納されている個人Aの情報と、データベースシステム2に格納されている個人Aの情報を組み合せることを実施する必要がある)。ただし、複数データベースシステム間のデータ関連付けは、前述の「プライバシーの確保」と同時に実現する必要がある。
実施の形態1におけるシステムでは、関連付けるべきデータにそのデータを生み出した個人を特定する識別子(以下、データIDともいう。)を付与する。データIDは、「個人」を特定することが目的ではなく、同じ個人から発生した「データ」であることを特定することが目的である。よって、データIDから個人を特定できる情報が生成できる必要はなく、むしろ出来てはならない。
データIDの生成手段として、各データベースシステムが等しく保持している個人名、性別、生年月日、住所等から所定の規則にしたがって生成する手段を想定している。
【0010】
実施の形態1におけるシステムの構成例を以下に説明する。
図1は、実施の形態1の対象となるシステムの構成例を示す。複数のデータベースシステム310、320、330と、これらデータベースシステムにアクセスするアクセス装置340がデータを相互にやり取り可能なネットワーク350上に接続されている。ここで、図1のデータベースシステム310、320、330は、組織が管理・運営するシステムそのもの、あるいはその一部であり、各組織にとってはデータベースシステム単体で情報、および、機能が充足している。例えばデータベースシステムは、データベースシステム310のように、アクセス端末311と、データベース313と、もう一つのデータベース314と、ネットワーク312とによりネットワークシステムを形成したデータベースシステムでもよい。各データベースシステム310、320、330には、その組織内において有用な情報が個人情報を含んだ形式で蓄積されている。従来は、このような各データベースシステムを有する複数の事業者間で個人情報を含むデータの連携を行うような活用は出来なかった。
ここで、各データベースシステム310、320、330とアクセス装置340が接続されるネットワーク350には想定される制約は特になく、専用回線、公衆回線、インターネットWAN/LAN等が考えられる。さらに、それぞれのネットワーク350に対して有線/無線の形態が想定可能である。
【0011】
図2は、実施の形態1におけるシステムの実装の概要を示す図である。図2において、各データベースシステム310、320、330に外部システムからのアクセス用インタフェース360を定義し、他システムに対して公開するとともに、当該アクセス用インタフェース360を介してのみ外部システムからのアクセスを許すものとする(後述するエージェント方式においても、エージェント440が当該アクセス用インタフェース360を利用する)。当該アクセス用インタフェース360は下記機能を有する。
第1に、プライバシーに関わる検索条件の排除機能を有する。
第2に、データID(匿名性を保持しながらデータ所有者を特定するID)の生成、および、付与機能を有する。
第3に、検索結果にプライバシーに関わる情報が含まれているかのチェック、および、該当データ項目削除機能(特異点の削除機能を含む)を有する。
第4に、アクセス装置340やアクセス者の認証機能(必要に応じて)を有する。
第5に、通信データの暗号化・復号化機能(検索条件の暗号化・復号化機能含む)を有する。例えば、通信データを公開鍵、秘密鍵等で暗号化し、公開鍵、秘密鍵等で復号する。
第6に、データIDから個人を特定可能な情報生成機能(データベースシステム側装置のみ搭載)を有する。以下に、これら第1から第6の機能について説明する。
【0012】
まず、前記第1の機能について説明する。外部システムから個人情報を要求するアクセスがあった場合に、アクセス用インタフェース360は、氏名や生年月日、住所等、個人やその家族を特定可能な条件が、外部システムからの検索条件に含まれているかどうかを、データベースシステム310、320、330の側の装置にてチェックする。検索条件に個人やその家族を特定可能な条件が含まれていた場合、アクセス用インタフェース360は、その条件を削除、あるいは、緩やかな条件に変更する。どのような条件を削除し、どのような条件をどのような条件に変換するかについては、各データベースシステム310、320、330の側にて予め設定しておくものとする(各データベースシステム310、320、330の側にて規則を変更可)。
プライバシーに関わる検索条件の排除機能の例を以下として、次のようなものが挙げられる。
例えば、「名字が田中」と言う検索条件があれば当該条件を削除する。また、「住所が神戸市兵庫区○○町△△丁目□□番地」と言う検索条件があれば、当該条件を削除、あるいは、「神戸在住」等の予め定められた規則に従って、検索条件を変換する。
【0013】
次に、アクセス用インタフェース360の第2の機能である、データID(匿名性を保持しながらデータ所有者を特定するID)の生成、および、付与機能について説明する。
アクセス用インタフェース360は、データの発生源である個人を特定するためのデータIDを所定の規則に従って生成し、該当するデータに付与する。データIDの生成手段については、前記の「データの関連付け」において説明したように、個人名、性別、生年月日、住所等から所定の規則にしたがって生成する。
【0014】
次に、アクセス用インタフェース360の第3の機能である、検索結果からプライバシーに関わる情報が含まれているかのチェック機能と該当データ項目の削除機能について説明する。
検索結果には、検索キーとして使用された項目以外にも個人のプライバシーに関連する情報が含まれている可能性が高い。このため、アクセス用インタフェース360は、検索結果に個人を特定可能な情報項目が含まれているかをチェックし、該当する情報項目を各データベースシステム側装置にて検索結果から削除する。
さらに、検索結果が所定件数(あるいは、比率)以下である場合は、当該検索結果に対応する個人は特異点であり、個人の推測が可能となる場合のあることを考慮し、アクセス用インタフェース360は、当該検索結果を返答しない仕組みを備える。
どのような情報項目を対象とするか、どのような検索結果を特異点とするかについては、各データベースシステム側にて予め設定しておくものとする(各データベースシステム310、320、330の側にて変更可)。
【0015】
次に、アクセス用インタフェース360の第4の機能である、アクセス装置340やアクセス者の認証機能について説明する。
認証機能により、データベースシステムへのアクセス者管理を適切に実施する。アクセス者管理の目的は、主に下記2点がある。
第1に、許可してないアクセス装置340、アクセス者の排除を行うことである。
第2に、アクセス者の権限管理を行うことである。
【0016】
次に、アクセス用インタフェース360の第5の機能である、通信データの暗号化・復号化機能(検索条件の暗号化・復号化機能含む)について説明する。
アクセス用インタフェース360では、データの「盗聴」に対する防御を実現するために、データの匿名性を確保した上で他システムにデータを送付する場合は暗号化する。データの盗聴は、ネットワーク350を流れるデータ、アクセス装置340内に保存されているデータ、他データベースシステム310、320、330内に処理の関係上「一時」保存されるデータが対象となる。また、盗聴のみでなく、データの「改ざん」に対する防御についても考慮する。
当該暗号化の特徴としては、下記2点がある。
第1に、検索条件を暗号化し、検索対象のデータベースシステムでのみ検索条件を参照可能な仕組みを付与する。
第2に、データフィールド毎に暗号化キーを変更し、データを受信したアクセス装置340においても操作者の権限にしたがって参照可能な情報を制御できる仕組みを付与する。
【0017】
次に、アクセス用インタフェース360の第6の機能であるデータIDから個人を特定可能な情報を生成する機能(データベースシステム側装置のみ搭載)について説明する。
各データベースシステム310、320、330では、コンサルティング会社等から分析結果としてデータIDを渡される状況が想定できる。この際にデータベースシステム310、320、330側では、データIDから個人を特定したい場合があり、当該機能が必要となる。本実施の形態1は、データIDから個人を特定する情報に変換できないと想定する。よって、所定規則にしたがって、全データからデータIDを生成し、逐次比較するなどの手段を用いることが考えられる。
ただし、当該機能はアクセス装置340上に搭載してはならず、データ検索を行うためのアクセス装置340の備えるアクセス用インタフェース361と、当該機能が共存できない仕組みを埋め込む。
【0018】
図3は、実施の形態1に係る情報提供装置100の構成を示す。実施の形態1における各データベースシステム310、320、330等は、情報提供装置100を備える。各データベースシステム310、320、330等は、情報提供装置100の機能により、前記アクセス用インタフェース360の機能を実現することができる。
情報提供装置100は、受信部10と、検索条件確認部20と、個人情報抽出部30と、個人情報記憶部40と、データID生成部50と、検索結果判断部60と、規則記憶部70と、課金部80とを備える。
さらに、受信部10は認証部11と復号部12とを備える。データID生成部50は対比ID生成部51を備える。検索結果判断部60は暗号作成部61と送信部62とを備える。
【0019】
図4は、アクセス装置340から情報提供装置100が個人情報の送信要求を受けた場合のフローを示す図である。以下、図4を用いて、図2におけるデータベースシステム310、320等が個人情報の送信要求を受けた場合の情報提供装置100の動作について説明する。例えば、データベースシステム310の備える情報提供装置100が個人情報の送信要求を受信した場合を想定する。
S10において、情報提供装置100の受信部10が、アクセス装置340からの個人情報の送信要求(個人情報送信要求)を受信する。アクセス装置340は、個人情報の送信要求に個人情報を検索するための複数の検索条件を含めることができる。そして、含めた検索条件のそれぞれを異なる暗号化手段で暗号化して送信することができる。暗号化の手段としては、検索条件ごとに異なるアルゴリズムを用いることや、異なる暗号鍵を用いる。
S20において、認証部11は個人情報の送信要求の認証を行う。認証した場合はS30に進む。
S30において、データ受信の処理を開始する。受信したデータ(個人情報送信要求)が署名、暗号化されている場合は、復号部12は公開鍵、秘密鍵等を用いて受信データの復号を行う。
S40において、認証部11は、外部システムからのアクセスかどうかを確認する。外部システムからのアクセスのときは、S50に進む。
S50において、検索条件確認部20は、プライバシーに関わる検索条件の有無を確認する。すなわち、個人情報の送信要求に含まれる個人情報の検索条件の中に、個人を特定可能な検索条件があるかどうかを確認する。個人を特定可能な検索条件がある場合は、検索条件確認部20は、その検索条件を削除する。この場合、特定できない条件に変更する場合も削除に含むものとする。いかなる検索条件を削除するかという規則は、予め規則記憶部70に記憶されているものとする。プライバシーに関わる削除するべき検索条件がない場合、あるいは検索条件確認部20が検索条件のうちプライバシーに関わる条件を削除した場合は、S60に進む。
S60において、個人情報抽出部30は個人情報記憶部40を参照して検索条件にしたがって個人情報を抽出する。
S70において、検索結果判断部60は、検索結果に対して個人ID(データID)が生成されているかを確認し、生成されていなければデータIDを生成する(S80)。そして、抽出された個人情報に個人ID(データID)を付与する(S90)。さらに、検索結果判断部60は、抽出された個人情報の中にプライバシーに関わる情報が含まれていないかどうか(個人を特定可能な情報が含まれていないかどうか)を確認する(S100)。データIDは、データID生成部50が、個人情報抽出部30の抽出した個人情報に基づいて生成する。データIDを作成する規則は、規則記憶部70が記憶しており、データID生成部50は当該規則を参照するものとする。また、検索結果判断部60がプライバシーに関わる情報を確認するに際して、いかなる情報が該当するかということも予め規則記憶部70が記憶しているものとする。検索結果判断部60は、抽出された個人情報から個人の特定が不可能であると判断したときは、前記データIDを付して個人情報をアクセス装置340に送信する。このとき、暗号作成部61は、必要があれば、送信する個人情報を暗号化する(S110)。送信するべき匿名化された個人情報が複数のデータ項目より形成されている場合、検索結果判断部60の暗号作成部61は、データ項目ごとに異なる暗号手段を用いて、データ項目のそれぞれを暗号化することが可能である。異なる暗号化の手段としては、異なるアルゴリズムを用いることや、データ項目ごとに異なる暗号鍵を用いて暗号化することが考えられる。
また、検索結果判断部60は、抽出された個人情報から個人の特定が可能であると判断したときは、個人の特定が可能なデータを削除してアクセス装置340へ送信する。あるいは、個人の特定が可能なデータが存在する場合は、アクセス装置340へ送信を行わないものとする。いかなる処理を行うかは、予め規則として規則記憶部70に記憶しておくことができる。
S110において個人情報をアクセス装置340に送信すると、S120で処理が終了する。
【0020】
前記ではアクセス装置340と一つのデータベースシステムとが通信する場合を説明した。以下では、図2において、アクセス装置340がデータベースシステム310、320、300の複数とやりとりした場合における、前記データベースシステム310、320、330から受けとった複数の各個人情報の関連付けについて説明する。
各データベースシステム310、320、330は、情報提供装置100を備ている。そして、各データベースシステム310、320、330に備えられた情報提供装置100のデータID生成部50は、同一の生成規則によりデータIDを生成する。各データベースシステム310、320、330は、同一の生成規則により生成されたデータIDを匿名化した個人情報に付して、アクセス装置340に送信する。アクセス装置340は、各データベースシステム310、320、330から送信された個人情報について、付与されているデータIDにより、同じ個人から発生した個人情報であることを知ることができる。このように、各データベースシステム310、320、330において同一の生成規則により生成されたデータIDによって、アクセス装置340は、複数の個人情報の関連付けをすることが可能となる。
ここで、同一の生成規則により生成されるデータIDは、それぞれが同一であってもよいし、また、同じ個人から発生した個人情報であることがわかるものであれば、同一でなくとも構わない。
なお、図3の情報提供装置100の対比ID生成部は、アクセス装置340からデータIDが送信された場合は、個人情報記憶部40の記憶する個人情報を用いて対比IDを生成する。「対比ID」とは、前記アクセス装置340から送信されたデータIDと対比するために生成されるIDである。データIDと対比IDとは同じ規則で生成されるので、データIDと対比IDとを対比すれば、アクセス装置340より送信されたデータIDから個人を特定することができる。通常データIDと対比IDは同一であるが、データIDと対比IDとが同一人に係ることがわかるものであれば、同一でなくとも構わない。
また、情報提供装置100は、課金部80を備えている。例えば、課金部80は、アクセス装置340からの検索履歴を保存し、アクセス回数、検索結果のデータ量等からアクセス側に対して課金の処理を行う。
【0021】
次に、データ(個人情報)を収集する場合のデータ収集方式について説明する。
システム実装時における各データベースシステム310、320、330からのデータ収集方式について述べる。
システムの実装概要を示す図2において、各データベースシステム310、320、330からアクセス装置340がデータを収集する代表的な方式として下記2方式が考えられる。
第1に、データベースシステム310、320等とアクセス装置340が1対1で収集する方式である。
第2に、エージェント方式(収集対象の情報を指示するとエージェントが各データベースシステムを周って、情報を集めアクセス装置340に帰ってくる)が考えられる。なお、エージェントについては、実施の形態4で詳述する。
エージェント方式を採用した場合、各データベースシステム310、320、330において検索結果を得た時点で、当該データベースシステム310、320、330に対する検索条件を破棄する等の処理により、前段のデータベースシステムで得られた検索結果が、どのような検索条件で抽出されたかを伝達しないようにしてセキュリティ度を向上する処理を行うことも可能である。
【0022】
図2に示したシステムは、次のような事業への適用が考えられる。
例えば、環境提供サービスである。匿名性を保証するプラットフォームの運用、販売、リース、保守等のサービスを提供する。
また、介入サービスである。医療機関、健康保険組合、個人が所属する会社等を接続し、健康保険組合、個人等の特定集団に対して健康に関するアドバイスを実施するサービスを提供する。
また、介入サービス評価である。複数の介入サービスを適用した集団単位や個人単位でその介入サービスの適用効果を評価するサービスを提供する。
【0023】
図5は、図2に示す実装概要を、前記に述べたサービス事業のうち、介入サービスに適用した具体例を示すものである。
前記適用例のうち、図5を用いて、より具体的に、ある集団の健康に対する介入サービス、および、介入サービスに対するコンサルティングサービスを例に説明する。
図5において、健康保険組合は、コンサルティング会社に「どのような個人に(誰にではない)」、「どのような介入サービス」を実施すればよいかを分析・調査するよう依頼する。その分析・調査のために、健康保険組合データベースシステム370の保有する情報(レセプト情報(診療報酬情報)等)と会社の人事データベースシステム380の保有する情報(勤怠情報等)と産業医データベースシステム390の保有する情報(身長、体重、血圧等の健診情報、疾病履歴、問診情報等)をコンサルティング会社(アクセス装置340)に開示する。
当該例の登場者は、コンサルティング会社、介入サービス委託の主体者である健康保険組合、情報の提供者である会社(人事)、産業医である。
当該システムを適用することにより、特定集団に対して、医療費と勤務時間と肥満の関係等を調査することが可能となるとともに、問診結果の情報とも比較することにより生活習慣病や成人病の予備軍を洗い出す等の分析が期待できる。
実施の形態1は、このようなシステムの構築に有効である。実施の形態1を適用することにより、コンサルティング会社ではデータの所有者個人を特定できないことは当然であるが、あるデータベースシステムの保有する情報が他のデータベースシステムにおいて参照できない仕組みを構築することができる(例えば、健康保険組合データベースシステム370のレセプト情報が人事データベースシステム380や産業医データベースシステム390から参照できない)。さらに、組織全体の傾向等を分析するために、各組織が保有する情報を「発生源」である個人を軸に関連付けることが可能となる。
【0024】
以下に、前記介入サービスに適用した場合の処理の過程を説明する。
各データベースシステム370、380、390、および、コンサルティング会社にあるアクセス装置340に実施の形態1のシステムを適用する。例えば、コンサルティング会社(アクセス装置340)から人事データベースシステム380に対して、図6に示すような、「東京都在住の30歳以上の三菱さん(人の氏)で、取得休暇日数が10日以下の人」という検索要求が発行された場合を仮定する。アクセス装置340から各データベースシステム370、380、390への(検索条件を含む)検索依頼送信時に依頼情報も暗号化することが想定される。
認証やアクセス経路に問題が無ければ(図4におけるS10〜S40)、プライバシーに関わる検索条件の削除を行う(S50)。氏名を特定することはプライバシーの侵害にあたるため、実施の形態1の適用により検索条件は、図7に示すように、「東京都在住の30歳以上の社員で、休暇を10日以上取得した人」と変更され、当該検索条件を用いて人事データベースシステム380を検索(S60)することとなる。プライバシーに関わる検索条件の排除が発生した場合の要求依頼者への通知は、当該検索結果返送時、あるいは、別途手段により行うものとする。また、プライバシーに関わる検索条件には、氏名、誕生日、住所、電話番号は当然当てはまると考えられるが、特別疾病、賞罰等も当該範疇であると考えている。どのような情報をプライバシーに関わる情報ととらえるかは、データを提供する各データベースシステム側で設定(変更)可能とする。
その結果、図8のような情報が検索されたとする。
次にデータIDを生成(S80,S90)し、各データに付与する。図9に、データIDを付与した場合を示す。データIDは数字(10進、16進等には依存しない)であっても、アルファベット等の文字であっても、数字、文字の組み合せであってもかまわない。データIDの生成手段については、前記の「データの関連付け」で述べた手段等が考えられる。
次に、検索結果に対して、プライバシーに関わる情報を削除する(S100)。図10に、プライバシーに関わる情報を削除した場合を示す。ここで、前述した通りどのような情報をプライバシーに関わる情報ととらえるかは、データを提供する各データベースシステム側で設定(変更)可能とするとするが、当該指定のない情報は検索依頼者へ返送される。
図10に示す情報をコンサルティング会社(アクセス装置340)に対して人事データベースシステム380が検索結果として返送する(S110)こととなる。ここで、アクセス装置340では、データIDである「Dasf104」から「三菱太郎」という名前は生成できない。ただし、「三菱太郎」の情報が他データベースシステム(例えば、産業医データベースシステム390)から検索結果として返される場合は、データIDとして「Dasf104」が付与されて返されるため、異なるデータベースシステムに格納されている同一個人から発生したデータを関連づけることが可能となる。この際、コンサルティング会社(アクセス装置340)から人事データベースシステム380等のデータベースシステム側にデータを返送した場合、権限のないデータ項目は内容を見ることが出来ないようにすることもできる。データは各フィールド単位で暗号化可能であり、例えば、人事データベースシステムでは、返送データに疾病情報が入っていても観る権限がないので、復号化できない。
データの返送時には、データの暗号化を行う。ここでいう暗号化は、ネットワーク350を介してデータの授受を行うために第三者がデータの参照を行うことを排除するためにデータ全体に施す暗号化と、アクセス装置340と操作者のそれぞれに許可(あるいは、その組み合せにより許可)された情報のみを参照可能とする暗号化を想定する。例えば、当該例では、人事データベースシステム380では、暗号化を性別、所得休暇数、職級等の項目ごとに施し、コンサルティング会社(アクセス装置340)に返送する。
例えば、人事データベースシステム380からのデータが故意の有無に関わらず、健康保険組合データベースシステム370に送付された場合でも暗号キーが異なるために健康保険組合の端末からはデータの参照ができない。さらに、コンサルティング会社にあるアクセス装置340へ適切に返送された場合でもログイン者の権限に従って参照可能なデータ項目を制限する仕組みを加える。
各データベースシステム370、380、390上では、データIDから個人を特定することが可能である。
当該例では、各データベースシステム370、380、390の内容からコンサルティング会社が介入サービス委託の主体である健康保険組合に対して、生活習慣病の予備軍となる組合員を指定し、その改善案を提示する等の手順が想定できる。しかし、コンサルティング会社が健康保険組合に提示可能な情報はあくまでデータIDであり、個人を特定するものではない。ここで、データIDを提示された健康保険組合は、保持する各個人のデータから対比IDを生成し(図3の対比ID生成部51が生成する)、コンサルティング会社から提示されたデータIDと対比IDとを比較する等により、コンサルティング会社から提示されたデータIDから個人を特定することが可能である。例えば、コンサルティング会社は、「Dasf104」のデータIDを持つ個人が生活習慣病の予備軍であると健康保険組合に通知するとともに、その改善対策案を提示する。コンサルティング会社では「三菱太郎」ではなく、「Dasf104」である。しかし、健康保険組合において「Dasf104」では誰に介入サービスを実施すればよいか不明である。そこで、自らのデータベースシステム370を検索し、対比IDを生成し、コンサルティング会社からのデータIDと生成した対比IDとを対比して、「Dasf104」が「三菱太郎」であると特定する。これにより、「三菱太郎」に対して介入サービスを実施すればよいことを把握する。必要に応じて、健康保険組合は、介入サービスを提供するサービス提供業者に対して業務の委託を行い、サービス提供業者を介して健康保険組合に所属する個人に介入サービスを実施する場合もある。
ただし、コンサルティング会社は、データ参照する組織と守秘契約等を結び、守秘義務を負うことにより、他データベースシステム(例えば、人事データベースシステム380)から入手したデータを健康保険組合へは開示できないものとする。さらに、他データベースシステムの内容に関連する検索条件についても開示してはならない(後述するエージェントにより各データベースシステムからデータを取出す場合、検索条件を暗号化することは勿論であるが、あるデータベースシステムで使用した検索条件はそのデータベースシステムにおいて破棄し、他データベースシステムへは検索結果のみを送付するような実装手段を用いる)。コンサルティング会社は、何故「三菱太郎」が生活習慣病の予備軍であると推測されたかについては、「三菱太郎」に関する他データベースシステムの登録情報が推測できるため検索条件を健康保険組合へ開示してはならない。
【0025】
図11は、以上に述べた、実施の形態1におけるシステムの機能を示す図である。
実施の形態1の適用により、複数のデータベースシステム310、320、330とアクセス装置340との間において、匿名性を確保しながら、複数データベースシステム間の検索結果の関連付けを行うシステムの構築が容易である。また、各データベースシステムでは、コンサルティング会社等のアクセス装置340から指定されたデータIDに対応する個人の特定も可能となる(なお、個人が特定できるのは、各データベースシステム内においてのみである)。
【0026】
本実施の形態1によれば、匿名化により匿名性を保証(個人のプライバシーを確保)して個人情報の有効活用を図ることができる。また、各データベースシステムに存在する同一人の個人情報に関して互いに関連付けるとともに、アノニマス化(匿名化)により匿名性を保証するので、個人情報を有効に活用することができる。
【0027】
本実施の形態1に係る情報提供装置100は、個人を特定可能なデータ項目を削除するので、個人情報の利用において匿名性を保証することができる。また、個人を特定可能なデータ項目を削除した検索条件で個人情報を抽出するので、匿名性を保証したうえで個人情報の利用を図ることができる。
【0028】
本実施の形態1に係る情報提供装置100は、個人を特定可能なデータ項目の内容を削除するので、個人情報の利用において匿名性を保証することができる。また、個人を特定可能なデータ項目の内容以外は利用されるので、個人情報の利用を図ることができる。
【0029】
本実施の形態1に係る情報提供装置100は、個人情報のデータ項目の内容が個人を特定可能と判断したときは、当該個人情報を送信しないので、個人情報について匿名性を保証することができる。
【0030】
本実施の形態1に係る情報提供装置100は、抽出した個人情報が所定の数以下のときは送信しないので、いわゆる特異点に該当する者が特定されることを防止することができ、匿名化を保証することができる。
【0031】
本実施の形態1に係る情報提供装置100は、抽出した所定の集団に属する個人情報に関する人数の比率が所定の値のときは当該個人情報を送信しないので、所定の集団に属するいわゆる特異点に該当する者が特定されることを防止することができ、匿名化を保証することができる。
【0032】
本実施の形態1に係る情報提供装置100は、対比ID生成部51を備えたので、アクセス装置340から送信されたデータIDに相当する個人を特定することができるので、個人情報を用いた分析結果を有効に活用することができる。
【0033】
本実施の形態1に係る情報提供装置100は、課金部80を備えたので、匿名化個人情報を用いた新たなサービス、新たなビジネスを展開することができる。
【0034】
本実施の形態1は、各データベースシステムが同一の生成規則によりデータIDを生成することにより、同一人について異なるデータベースシステムに存在する個人情報を関連付けることができるので、個人情報の利用価値を高めることができる。
【0035】
本実施の形態1は、各データベースシステムの外部に出力あるいは送信される個人情報は匿名化されているので、匿名化を保証することができる。また、データベースシステム外部へ送信される匿名化された個人情報は、複数のデータ項目からなるときはデータ項目ごとに暗号化できるので、個人情報の匿名性を高めることができる。
【0036】
本実施の形態1は、信託機関のごとき第三者の介在を必要とすることなく、個人情報を提供する情報提供者(個人・組織)と、個人情報を利用する情報利用者(アクセス装置340)との2者間における匿名化された個人情報のやりとりを可能とすることができる。
【0037】
本実施の形態1では、アクセス装置340が検索条件ごとに暗号化し、検索対象のデータベースシステムのみが復号することができるため、匿名化した個人情報の匿名性の確保を高めることができる。
【0038】
実施の形態2.
実施の形態2は、データベースシステムにおいて、予めアノニマス化(匿名化)処理を行い、アノニマス化したデータを格納していく方式を示す(後述の実現案1)。
すなわち、予め匿名化した個人情報を格納しているので、アクセス装置340からのアクセスに迅速に応答することが可能である。また、匿名化した個人情報を予め格納しているため、アクセス装置340へ定期的に、あるいは不定期的に匿名化した個人情報を送信することが可能である。
【0039】
図12は、実施の形態2が想定するシステム構成概要を示す。複数のデータベースシステム310、320、330とこれらデータベースシステム310、320、330にアクセスするアクセス装置340がデータを相互にやり取り可能なネットワーク350上に接続されている。各データベースシステムとアクセス装置340が接続されるネットワーク350には想定される制約は特になく、専用回線、公衆回線、インターネットWAN/LAN等が考えられる。さらに、それぞれに対して有線/無線の形態が想定できる。ここで、図12中ではアクセス装置340と各データベースシステム310、320、330を別装置として記述しているが、いずれかのデータベースシステムを構成する装置がアクセス装置340であってもかまわない。
【0040】
図13は、実施の形態2における実現案1を示す図である。図13は、アクセス装置340と、データベースシステム400とがネットワークを介して接続されている。
実現案1は、データベースシステム400において予めアノニマス化処理を行い、アノニマス化したデータを格納していく方式を示すものである。
データベースシステム400において、アクセス装置340からのアクセス用データベースを用意し、当該データベースにアノニマス化したデータを適宜格納する実現案である。
ここで、各データをアノニマス化する方式については、特に制限はない。
異なるデータベースシステムにおいて、同じ基準を持つデータから同じデータIDを生成できる生成方式であれば、データIDの生成方式は、特に制限はない。
内部システム向けデータベースと外部システムからのアクセス用データベースが、同一装置内にあるか否か、同一データベース内にあるか否かについては特に制限はない(実際には、当該実装案を選択する場合、セキュリティの観点から内部システム向けと外部システムからのアクセス用データベースは別装置、別データベースとすることが望ましい。)。
外部システムであるアクセス装置340からのアクセス用データベースの更新タイミングは、内部システム向けデータベースの更新時処理や定時処理等が想定できるが、特に制限はない。
図13におけるアクセス装置340やアクセス者の認証機能の有無や実現方式については、特に制限はない。
図13におけるアクセス装置340とデータベースシステム400、あるいはデータベースシステム間(データベースシステム400が複数あるような場合)の通信において、検索依頼情報、および、検索条件や検索結果等に対する暗号化・復号化処理の有無、および、暗号化の方式については、特に制限はない。
【0041】
図14は、本実施の形態2に係る前記実現案1に使用する情報提供装置200の構成を示すブロック図である。
図13に示した実施の形態2におけるデータベースシステム400は、この情報提供装置200を備える。データベースシステム400は、情報提供装置200の機能により、匿名化した個人情報を図13のアクセス装置340に送ることができる。
データベースシステム400は、図14に示す情報提供装置200を構成している。情報提供装置200は装置であってもよいし、また、データベースシステム400のようにネットワークの形態であっても構わない。
【0042】
情報提供装置200は、個人情報記憶部110と、匿名化処理部120と、匿名化個人情報記憶部130と、受信部140と、送信部150とを備えている。さらに匿名化処理部120はデータID生成部121を備えている。
【0043】
以下、情報提供装置200の動作について説明する。
情報提供装置200は、、予め匿名化個人情報記憶部130に匿名化した個人情報を適宜格納する構成である。
そして、情報提供装置200は、アクセス装置340から個人情報の送信要求があったときには、すでに匿名化し匿名化個人情報記憶部130に格納している匿名化した個人情報をアクセス装置340に送信する。また、アクセス装置340からの送信要求にかかわらず、アクセス装置340に定期的、あるいは不定期的に匿名化した個人情報を送信できる。
個人情報記憶部110は匿名化していない個人情報(未アノニマス化データ)を格納している。匿名化処理部120は、個人情報記憶部110の記憶している未アノニマス化データを用いて匿名化を施した匿名化個人情報を生成する。匿名化個人情報記憶部130は、匿名化処理部120の生成した匿名化個人情報を記憶し格納する。そして、情報提供装置200は、例えば、受信部140がアクセス装置340からの個人情報の送信要求を受けた場合には、匿名化個人情報記憶部130の格納する匿名化個人情報を送信部150を介してアクセス装置340に送信する。
また、匿名化処理部120のデータID生成部121は、個人情報を匿名化するときに個人情報を識別するデータIDを生成して匿名化個人情報に生成したデータIDを付与する。図12の複数のデータベースシステム310、320、330のそれぞれがデータID生成部121を備え、それぞれのデータID生成部121は、同一の生成規則にしたがってデータIDを生成する。これは実施の形態1における情報提供装置100のデータID生成部50の機能と同様である。
【0044】
図15は、実施の形態2における別の例である関連付け分散データベースシステム500を示す図である。図15の関連付け分散データベースシステム500は、第1プライベートデータベース装置600と、第2プライベートデータベース装置700と、データベースアクセス装置800とを備える。なお、関連付け分散データベースシステム500は、図12において、前記の第1プライベートデータベース装置600はデータベースシステム310に相当し、第2プライベートデータベース装置700はデータベースシステム320に相当し、データベースアクセス装置800はアクセス装置340に相当すると見ることができる。
【0045】
第1プライベートデータベース装置600は、第1識別子を生成する第1識別子生成部610と、第1組み合わせデータ作成部620と、第1記憶部630とを備える。そし第1組み合わせデータ作成部620は第1組み合わせデータ621を作成する。
第1記憶部630は第1プライベートデータ631を記憶する。第1プライベートデータ631は第1個人識別情報と第1個人データ情報からなる。
第2プライベートデータベース装置700は、第1プライベートデータベース装置600と同様の構成であり、第2プライベートデータ731の処理をおこなう。
データベースアクセス装置800は、識別子照合部810と、関連データ記憶部820とを備える。関連データ記憶部820は関連記憶情報821を記憶する。
【0046】
次に、関連付け分散データベースシステム500の動作について説明する。
第1プライベートデータベース装置600の動作をまず説明する。
第1記憶部630は、第1個人識別情報と第1個人データ情報とを第1のプライベートデータとして記憶している。ここで、個人識別情報とは、特定の個人を識別できる情報、あるいは特定の個人を識別できる可能性の大きい情報をいう。特定の個人を識別できる情報としては、保険証番号、運転免許免許番号や住民票コードがある。特定の個人を識別できる可能性の大きい情報としては、氏名(同姓同名も存在するので)や住所がある。
また、個人データ情報とは、例えば健康診断を受けた結果をデータベースに記憶し保存してある場合は、体重や血圧等が考えられる。その他、学歴や病歴、歯の治療歴等さまざまなものがある(個人識別、あるいは、識別可能性のある情報は除く)。
第1識別子生成部610は、第1の個人識別情報から所定の規則に基づいて個人を識別することができない第1識別子を生成する。ここで識別子とは前述したデータIDがその一例である。
第1組み合わせデータ作成部620は、第1識別子生成部610の生成した第1識別子と、第1記憶部630の記憶する第1個人データ情報とを組み合わせて、第1組み合わせデータ621として出力する。第1組み合わせデータ作成部620は、第1組み合わせデータ621を出力する場合に、第1の個人データ情報を暗号化して出力しても構わない。また、第1の個人データ情報が複数のデータ項目で形成されている場合は、データ項目ごとに異なる暗号化手段で暗号化しても構わない。データ項目ごとの異なる暗号化の手段としては、異なるアルゴリズムを用いることや、データ項目ごとに異なる暗号鍵を用いて暗号化する。以上のことは、後述する第2組み合わせデータ作成部720が、第2組み合わせデータ721を出力する場合も同様である。
第2プライベートデータベース装置700も、同様に動作するが、その特徴点を説明する。
第2記憶部730は、第2個人識別情報と第2個人データ情報を記憶する。ここに、第2個人識別情報は第1個人識別情報と同じ内容である。一方、第2個人データ情報は第1個人データ情報とは異なる内容である。例えば、第1個人データ情報は、会社の人事における勤怠情報であり、第2個人データ情報が産業医における健康診断情報のような場合である。
第2識別子生成部710は、第2個人識別情報を用いて第1識別子生成部610と同じ規則に基づいて第2識別子を生成する。
第2組み合わせデータ作成部720は、第2識別子生成部710が生成した第2識別子と、第2記憶部730が記憶する第2個人データ情報とを組み合わせて、第2組み合わせデータ721を作成して出力する。
データベースアクセス装置800は、前記第1プライベートデータベース装置600が出力した第1組み合わせデータ621を入力し、また、第2プライベートデータベース装置700が出力した第2組み合わせデータ721を入力する。
識別子照合部810は、第1組み合わせデータ621の第1識別子と第2組み合わせデータ721の第2識別子とが一致するかどうかを参照する。そして、一致した第1組み合わせデータ621の第1個人データ情報と第2組み合わせデータ721の第2個人データ情報とを関連付ける。
関連データ記憶部820は、識別子照合部810が関連付けたデータを記憶する。
【0047】
前記実現案1とは別の例として、実現案2を示す。
図16に、実施の形態2に係る実現案2を示す。実現案2は、前記「外部システムからアクセスがあったときに匿名化した個人情報を返信する方式」と「予めアノニマス化処理を行い、アノニマス化したデータを格納しておく方式」とを兼ね備える実現案である。これは、実施の形態1と、実施の形態2の実現案1とを混合させたシステムである。図16(a)にその関係を示す。
「外部システムからアクセスがあったときに匿名化した個人情報を返信する方式」は、図16(b)のアクセス用インタフェース360及びデータベースシステム416で実現する。また、「予めアノニマス化処理を行いアノニマス化したデータを格納しておく方式」は、図16(b)のアノニマス化データベースシステム415により実現する。アノニマス化データベースシステム415は図13のデータベースシステム400と同様である。
【0048】
以上、実施の形態2における実現案1では、予め匿名化した個人情報を格納しているので、アクセス装置340からのアクセスに迅速に応答することが可能である。また、予め匿名化した個人情報を格納しているので、アクセスの有無と関係なくアクセス装置340へ定期的に、あるいは不定期的に匿名化した個人情報を送信することができる。
【0049】
実施の形態2にかかる情報提供装置200は、データID生成部によりデータIDを生成し、匿名化した個人情報に生成したデータIDを付与するので、当該データIDをもとに匿名化した個人情報を利用することができる。
【0050】
実施の形態2に係る関連付け分散データベースシステム500は、同一人についての異なる内容の個人情報に関して匿名性を保証した上で前記異なる内容の個人情報を関連付けすることができるので、個人情報の利用価値を高めることができる。
【0051】
実施の形態2に係る関連付け分散データベースシステム500は、個人データ情報が複数のデータ項目で形成されている場合に、第1組み合わせデータ作成部620と第2組み合わせデータ作成部720とは、それぞれ出力する第1の個人データ情報と第2の個人情報データとのそれぞれのデータ項目を異なる暗号化手段で暗号化するので、個人情報の匿名性を確保した上で、異なるデータベースシステムの保有するそれぞれの個人情報を関連付けて有効に活用することができる。
【0052】
実施の形態3.
実施の形態3は、実施の形態1及び実施の形態2で示したシステムについて、利便性を向上させるため、検索装置(管理装置の一例)を備えた構成である。すなわち、実施の形態3は実施の形態1及び実施の形態2に対して、新たな機能を付加した構成であるので、前記実施の形態2の実現案2に続き、実現案3として説明を続ける。
【0053】
以下に実施の形態3に係る実現案3について説明する。
図17は、実施の形態3に係る分散データシステムの実現案3を示す。なお、図17は、実現案4及び実現案5をも示す図である。まず、図17を用いて実現案3を説明する。
図17は、どのデータベースシステムに、検索者が必要とする情報が格納されているかを示す「種別情報」を管理する検索装置420(管理装置の一例)を備えている。ここで、「種別情報」とは、例えば、データベースシステム310の有する個人情報は個人の医療費に関するものであり、データベースシステム320の有する個人情報は会社の人事管理における勤怠情報に関するものであるという情報を意味する。
アクセス者(アクセス装置340)は、いずれのデータベースシステム内にどのようなデータが格納されているかを示す前記の種別情報をすべて把握することは困難である。このような問題に対処するために、いずれのデータベースシステムに検索者の必要な情報が格納されているかを管理する検索装置420(管理装置の一例)を当該分散データベースシステム内に設置する。アクセス装置340が検索したい情報(データ)を検索装置420に指定すれば、いずれのデータベースシステムに検索したい情報が格納されているかを当該検索装置420がアクセス装置340に返す。ここで、検索装置420が検索対象データがいずれのデータベースシステムに格納されているかを管理する手段として、アドレス帳のような検索(したい)内容とそのデータを格納しているデータベースシステムの対応表を管理することにより実現することができる。
ここで、システム内に複数個の検索装置420を設置してもかまわないものとする。
【0054】
次に別の例として、実現案4について説明する。
実現案3では、検索装置420が前記の対応表を有する場合は、対応表のメンテナンスが困難になることが想定される。そこで、実現案4では、このような問題に対応するため、図17に示すシステムにおいて、アクセス装置340から検索装置420にデータベースシステム310、320、330の検索依頼があった際に、検索装置420は各データベースシステムに対して検索対象のデータ有無を問い合わせ、その結果をアクセス装置340に返す。
【0055】
次に別の例として、実現案5について説明する。
実現案4では、アクセス装置340から検索装置420にデータベースシステム310、320、330への検索依頼が発行された時点で、検索装置420が各データベースシステム310、320、330へ問い合わせを行うため、検索装置420によるデータベースシステムの検索処理に時間を要することが想定される。
このため、図17において、実現案5では、データベースシステム310、320、330の検索依頼がアクセス装置340より発行された場合、まず、検索装置420は、検索装置420内に備える内部テーブルを参照し、「検索したい内容とそのデータを格納しているデータベースシステムの対応」が内部テーブルに登録されていれば登録内容をアクセス装置340に返す。内部テーブルに登録されていない場合、検索装置420は各データベースシステム310、320、330へ問い合わせを行い、問い合わせ結果をアクセス装置340へ返すとともに、検索装置420の有する内部テーブルを更新する。前記手順により、データベースシステム310、320、330の検索処理を高速化するとともに、検索装置420の有する内部テーブルのメンテナンス作業を効率化する。
【0056】
次に別の例として、実現案6について説明する。
実現案6(図示しない)は、対象システムが実現案2(実施の形態1と実現案1との混在(図16(a)))の形態である場合、対象となるデータベースシステム310、320、330がどのようなインタフェース(特定のAPI(Application Program Interface)を使用してアクセスするか、SQL(Structured Query Language)等汎用なAPIを使用してアクセスするか等)を公開しているかをアクセス装置340側が意識するシステムである。アクセス装置340の当該負荷を軽減することを目的に、実現案6は、実現案3〜実現案5に対してデータベースシステム310、320、330のインタフェース情報の管理機能を付加する。
【0057】
次に別の例として、実現案7について説明する。
図18に実現案7を示す。実現案7は、実現案3〜実現案6の検索装置420にデータ検索機能を付加し、ポータル装置430(管理装置の一例)として位置付ける。すなわち、ポータル装置430は、データ検索機能を備えるとともに、データベースシステム310、320、330がどのような種別の個人情報を有しているかの種別情報を備えている。
アクセス装置340は、ポータル装置430に検索依頼(第1の個人情報送信要求の一例)を送信する。前記検索依頼を受けたポータル装置430は、自己の有する種別情報と、アクセス装置340から受信した検索依頼(第1の個人情報送信要求の一例)とに基づき、所定のデータベースシステムに検索依頼(第2の個人情報送信要求の一例)を送信する。図18では、ポータル装置430は、所定のデータベースシステムとしてデータベースシステム310に検索依頼を送信している。これは、ポータル装置430の有する種別情報によれば、該当する情報をデータベースシステム310が所有していることが判明したからである。データベースシステム310では、例えば、図3の情報提供装置100を備えている。情報提供装置100は、ポータル装置430からの検索依頼(第2の個人情報送信要求)を受信する。情報提供装置100は、検索依頼に応答して、個人情報記憶部40に記憶する個人情報を抽出する。データID生成部50は、データIDを生成して抽出した個人情報に付与する。そして、送信部62は、匿名化個人情報を前記ポータル装置430に送信する。前記ポータル装置430は分散データベースシステム内に複数個設置してもかまわない。
以上のように、ポータル装置430はアクセス装置340から受信した検索依頼に対して、対象データを格納しているデータベースシステム310、320、330を検索するとともに、対象データの検索を行い、データベースシステム310、320、330から検索結果の返信を受けアクセス装置340に検索結果を返送する。
以上のように、ポータル装置430は、データ検索機能を備えるとともに、種別情報を記憶したので、どのデータベースシステムにいかなる個人情報が保有されているかを迅速に知ることができるので、効率的に個人情報を収集することができる。
【0058】
次に別の例として、実現案8について説明する。
実現案8(図示しない)は、実現案7において、1度に複数個のデータベースシステム310、320、330に問い合わせが必要となるデータの検索依頼が行われた場合、検索結果に対してデータIDによるマージ処理をポータル装置430内の処理として付与することを特徴とするアノニマスな分散データベースシステムである。
【0059】
実施の形態3では、検索装置420(管理装置の一例)を備えたので、アクセス装置340からデータベースシステムへの個人情報の検索を効率化することができる。
【0060】
実施の形態4.
実施の形態4は、実施の形態1〜実施の形態3に関して、利便性を向上させるため、各データベースシステム310、320、330を自立的に巡回するエージェント機能を付加した形態である。したがって、実施の形態1〜実施の形態3に付加的機能を追加したものであるため、前記の実施の形態3の実現案8に続き、実現案9として説明を続ける。
【0061】
以下に、実施の形態4における実現案9について説明する。
図19は、実施の形態4に係る実現案9の分散データベースシステムを示している。以下では、実施の形態4として実現案9〜実現案13を説明するが、実現案9〜実現案13の分散データベースシステムは、アノニマスなデータに対する検索を自立的に巡回するエージェント440により実現することを特徴とする。
エージェント440が異常(対象データベースシステム310、320、330への経路異常や対象データベースダウン等)を検出した場合の処理については、特に制限はない。
エージェント440による検索処理が所定時間を超過した場合の処理については、特に制限はない。
【0062】
次に、実施の形態4の別の例として実現案10について説明する。
図20は、実施の形態4における別の例である実現案10を示す。
前記の実現案9では、エージェント440は(最悪)全データベースシステムを巡回する必要がある。このような問題を解決するため、図20では、いずれのデータベースシステムに検索者の必要な情報が格納されているかを管理(前記「種別情報」を管理している)する機能、および、当該機能を利用してエージェント440の巡回経路計画の立案機能を付与したポータル装置430を当該システム内に設置する。
ここで、アクセス装置340とポータル装置430間の通信はエージェント440であるか否かは、特に制限はない。
【0063】
次に別の例として、実現案11について説明する。
実現案11(図示しない)は、前記の実現案10に対して、検索対象のデータとデータベースシステム310、320、330のみから経路計画を立案するのではなく、対象データベースシステム310、320、330への経路異常やデータベースダウン等の検索時のシステム状態(異常)を加味した巡回経路立案機能をポータル装置430に付与することを特徴とするアノニマスな分散データベースシステムである。ただし、構成制御情報の検出・更新機能の手段について、特に制限はない。
【0064】
次に別の例として、実現案12について説明する。
実現案12(図示しない)は、実現案10、および、実現案11に対して、1度に複数個のデータベースシステム310、320、330に問い合わせが必要となるデータの検索依頼が行われた場合、検索結果に対してデータIDによるマージ処理をエージェント440が行うことを特徴とするアノニマスな分散データベースシステムである。
【0065】
次に別の例として、実現案13について説明する。
実現案13(図示しない)は、実現案10、あるいは、実現案11の機能をエージェント440に持たせることを特徴とするアノニマスな分散データベースシステムである。
【0066】
本実施の形態4においては、以上のようにエージェント方式を採用するので、アクセス装置340から個人情報を検索する効率を高めることができる。
【0067】
以上、実施の形態1〜実施の形態4において種々機能を述べたが、「アノニマス(匿名化)・データベースシステムを構築するにあたり、実現が必要になると思われる機能、および、実現することにより便利になる機能、効率化につながる機能」について、以下にまとめ、実施の形態1〜実施の形態4において実現可能な機能として列挙する。
【0068】
1.アノニマス・データの管理手段
各データベースシステム310、320、330が多段階の匿名化レベルを意識してデータを管理・制御することを特徴とするアノニマスな分散データベースシステムである。例えば、図14における匿名化処理部120は、下記の規則に基づいて、個人情報記憶部110に記憶する個人情報を、レベルに分けて匿名化し、匿名化個人情報記憶部130に記憶して管理する。なお、下記の場合「匿名化」には、匿名化しない場合も含む。
すなわち、アクセス装置340やアクセス者の権限、および、使用目的等から匿名化レベルを制御する。ここで、データベースシステム310、320、330が同じ匿名化のレベルで個人情報を管理する必要はない。例えば、下記3つの匿名化の管理レベルが考えられる。
レベル1として、各データベースシステム310、320、330内で使用するデータであり、匿名化処理は施されていない。
レベル2として、外部システムにて処理されることを前提とすれば匿名化済みデータであるが、内部システムにおいてはデータIDから個人の特定が可能なデータである。
レベル3として、外部システムで処理されることを前提に匿名化を施したデータである。この匿名化したデータは、内部システムにおいても個人を特定することはできないデータである(例えば、統計処理を行うためのデータとして使用すること等を想定している。)。なお、例として匿名化のレベルを、レベル1〜レベル3に分けたが、これに限ることなく、匿名化のレベルは自由に設定できるものである。
前記のように、個人情報を匿名化のレベルに分けることにより、匿名性の確保を図るとともに、個人情報の利用性を高めることができる。
【0069】
2.匿名性確保の確認
複数のアクセス装置340がある場合には、すべてのアクセス装置340、あるいは、アクセス者からの検索履歴(検索条件と検索結果)を保存し、アクセス履歴をルールベースにてチェックすることにより、当該システムの匿名性が確保されているかを確認することを特徴とするアノニマスな分散データベースシステムである。
ここで、検索履歴の保存期間やアクセス履歴のチェック期間(定期・不定期)について、特に制限はない。
【0070】
3.課金システム
複数のアクセス装置340、あるいは、アクセス者からの検索履歴(検索条件と検索結果)を保存し、各データベースシステム310、320、330へのアクセス回数、あるいは、検索結果のデータ量からアクセス側の課金計算を行うことを特徴とするアノニマスな分散データベースシステムである。
同様に、検索履歴を情報提供者(個人・組織)(各データベースシステム310、320、330)への情報提供料の計算にも用いる。
【0071】
4.セキュリティ
当該システムを構成する各機器は認証機能を有するとともに、ネットワーク350上を流れるデータを暗号化することを特徴とするアノニマスな分散データベースシステムである。例えば、通信データを公開鍵、秘密鍵等で暗号化し、公開鍵、秘密鍵等で復号する。
【0072】
5.匿名性確保のための機能1
データの検索条件から「個人の特定」につながる検索条件を排除する機能を付与することを特徴とするアノニマスな分散データベースシステムである。どのような条件を排除するかを定義したルールベースをアクセス装置340のアクセス用インタフェース361やポータル装置430内、データベースシステム310、320、330内の機能として配置する。
【0073】
6.匿名性確保のための機能2
各データベースシステム310、320、330から返送されるデータに対して、データ項目ごとに異なるキー、あるいは、異なる暗号化手段を用いて暗号化し、当該データに対するアクセス装置340やアクセス者の権限、データの利用目的にしたがって、参照可能なデータ項目を制御する仕組みを付与することを特徴とするアノニマスな分散データベースシステムである。例えば、異なるアルゴリズムや、異なる暗号鍵である。
当該機能の実現には、システム内にアクセス装置340、および、アクセス者に対する認証機能が必要となる。
【0074】
7.匿名性確保のための機能3
各データベースシステム310、320、330に固有のキーを与え、アクセス装置340からデータベースシステム310、320、330へ送付する検索依頼情報(検索条件等)(個人情報送信要求の一例)を暗号化することにより、検索対象のデータベースシステム310、320、330でのみ暗号化した検索条件を前記の固有キーを用いて復号化できる仕組みを付与することを特徴とするアノニマスな分散データベースシステムである。検索条件が複数ある場合は、それぞれの条件を異なる暗号化手法で暗号化する。例えば、異なるアルゴリズムや、異なる暗号鍵である。なお、暗号化する場合は、前記のように検索条件ごとに暗号化してもよいし、また、データベースシステムごとに異なる暗号化としても構わない。
暗号化・復号化に使用する技術については、特に制限はない。
【0075】
8.匿名性確保のための機能4
エージェント方式にてデータの収集を行う場合に、データ検索結果(個人情報)と引き換えにデータ検索条件をエージェント440内に保持する情報から削除する仕組みを付与することを特徴とするアノニマスな分散データベースシステムである。図19を用いて説明する。図19において、アクセス装置340は、個人情報を検索する複数の検索依頼(検索条件の一例)を設定する。そして、アクセス装置340は、データベースシステム310、320、330(複数の情報提供装置の一例)を巡回し個人情報を収集するエージェント440を生成し、生成したエージェント440に前記複数の検索依頼を付与してエージェント440を出力する。そして、アクセス装置340は、出力したエージェントにデータベースシステム310、320、330のいずれかから個人情報を収集させる。エージェント440がデータベースシステムから個人情報を収集したときは、エージェント440は、当該データベースシステムの個人情報の収集に用いた検索条件を消去する。
以上により、エージェント440に個人情報を収集させることで効率的に個人情報を収集することができる。また、ポータル装置430は、個人情報を収集した場合にエージェント440に当該個人情報を収集した検索条件を消去させるので、エージェント440は検索結果と当該検索結果に使用した検索条件とを同時に所有することはないので、エージェント440に個人情報を収集させる場合でも、匿名性を確保することができる。
【0076】
9.匿名性確保のための機能5
検索結果のデータ数を判定し、所定数以下、あるいは、所定数に満たない場合は、匿名性が保証できない可能性があるため、検索結果を返送しないことを特徴とするアノニマスな分散データベースシステムである。
所定数は、各データベースシステム310、320、330において設定する。
【0077】
10.匿名性確保のための機能6
検索結果のデータ比率を判定し、所定比率以下、あるいは、所定比率に満たない場合は、匿名性が保証できない可能性があるため、検索結果を返送しないことを特徴とするアノニマスな分散データベースシステムである。
ここで、比率のベースとなる母集団の設定や所定比率は、各データベースシステム310、320、330において設定することができる。
【0078】
11.匿名性確保のための機能7
前記の「9.匿名性確保のための機能5」、および、「10.匿名性確保のための機能6」を同時にデータベースシステム310、320、330に付与することを特徴とするアノニマスな分散データベースシステムである。
【0079】
12.匿名性確保のための機能8
前記の、「9.匿名性確保のための機能5」〜「11.匿名性確保のための機能7」の機能を持つデータベースシステム310、320、330が混在することを特徴とするアノニマスな分散データベースシステムである。
【0080】
13.匿名性確保のための機能9
検索結果の所定データ項目にあらかじめ定めた特定データが含まれる場合は、匿名性が保証できない可能性があるため、検索結果そのものを返送しないことを特徴とするアノニマスな分散データベースシステムである。例えば、病歴のデータ項目として「白血病」が含まれる場合には返送しない等が想定できる。
ここで、どのようなデータ項目にどのようなデータが含まれていた場合に排除するかは各データベースシステム310、320、330において設定する。
【0081】
14.匿名性確保のための機能10
検索結果の所定データ項目にあらかじめ定めた特定データが含まれる場合は、匿名性が保証できない可能性があるため、検索結果から該当するデータを削除した上で匿名化データを返送することを特徴とするアノニマスな分散データベースシステムである。
ここで、どのようなデータ項目にどのようなデータが含まれていた場合に排除するかは各データベースシステム310、320、330において設定する。
【0082】
15.匿名性確保のための機能11
図18を用いて説明する。本機能は、実現案7で説明したポータル装置430の機能についての付加的機能である。本機能は、図18において、ポータル装置430がデータベースシステム310、320、330それぞれから送られてきた検索結果(匿名化された個人情報)に対して、それぞれの検索結果について匿名性が確保できているかどうかを判断する機能である。
具体的には、図18のポータル装置430(管理装置の一例)は、前記の「9.匿名性確保のための機能5」〜「14.匿名性確保のための機能10」の各機能を備えている。ポータル装置430は、データベースシステム310、320、330等から検索結果(匿名化された個人情報)を受信した場合に、前記の各機能を用いて、それぞれのデータベースシステム310、320、330から受信したそれぞれの検索結果について、匿名性が保証できるかどうかを所定の基準に基づいて判断する。ポータル装置430は、匿名性が保証できると判断した場合に、検索結果をアクセス装置340へ送信する。以上を特徴とするアノニマスな分散データベースシステムである。以上の機能により、ポータル装置430が複数のデータベースシステム310、320、330等からの複数の検索結果(匿名化個人情報)を受信した場合に、それぞれのデータベースシステムからの個人情報の匿名性を確保することができる。
なお、以上説明したポータル装置430の機能である「データベースシステム310、320、330それぞれから送られてきた検索結果(匿名化された個人情報)に対して、それぞれの検索結果について匿名性が確保できているかどうかを判断する」ことは、前記に説明した実現案9〜実現案13のエージェント440に持たせることも可能である。すなわち、エージェント440は、データベースシステム310、320、330等から検索結果(匿名化された個人情報)を収集した場合に、前記の「9.匿名性確保のための機能5」〜「14.匿名性確保のための機能10」の各機能を用いて、それぞれのデータベースシステム310、320、330から収集したそれぞれの検索結果について、匿名性が保証できるかどうかを所定の基準に基づいて判断する。エージェント440は、匿名性が保証できると判断した場合に、検索結果をアクセス装置340へ送信する。
【0083】
16.匿名性確保のための機能12
図18を用いて説明する。本機能は、前記の「15.匿名性確保のための機能11」と同様に、実現案7におけるポータル装置430の付加的機能である。図18において、ポータル装置430は、複数のデータベースシステム310、320、330からの検索結果(匿名化された個人情報)を関連付け、関連付けた結果なお匿名性が確保できるかどうかチェックする。これは、例えば、データベースシステム310のみの検索結果であれば匿名性が確保できるが、データベースシステム310とデータベースシステム320との検索結果という複数の検索結果を関連付けると匿名性が確保できなくなる場合のあることを想定した機能である。
匿名性が確保できない場合には、ポータル装置430は検索結果をアクセス装置340に返送しないことを特徴とするアノニマスな分散データベースシステムである。どのような検索結果、あるいはデータ項目の組み合せを匿名性が確保できないとするかについては、自由に設定できるものとする。
以上の機能により、複数のデータベースシステムからの検索結果(匿名化個人情報)の匿名性を確保しつつ個人情報を互いに関連付けて、個人情報を効率的に利用することができる。
なお、以上説明したポータル装置430の機能である「複数のデータベースシステム310、320、330からの検索結果(匿名化された個人情報)を関連付け、関連付けた結果なお匿名性が確保できるかどうかチェックする」ことは、前記に説明した実現案9〜実現案13のエージェント440に持たせることも可能である。
【0084】
17.匿名性確保のための機能13
本機能も、図18に示した実現案7におけるポータル装置430の付加的機能である。前記の「16.匿名性確保のための機能12」は、ポータル装置430が各データベースシステム310、320、330から得たそれぞれの検索結果を関連付けてチェックするものであった。この「17.匿名性確保のための機能13」は、ポータル装置430が、データベースシステム310等から時間を前後して得た検索結果を関連付けて匿名性の確保をチェックする機能である。すなわち、ポータル装置430(管理装置の一例)は、データベースシステム310等から過去に受信した検索結果(匿名化個人情報)を履歴として記憶している。そして、履歴としていない新たな検索結果をデータベースシステム310等から受信した場合、履歴としていない検索結果を履歴と関連付ける。そして、関連付けることによっても新たに受信した検索結果の匿名性が確保できると判断した場合に、ポータル装置430は、検索依頼(第1の個人情報送信要求)を受けたアクセス装置に新たに受信した検索結果(匿名化個人情報)を送信する。例えば、前記の「16.匿名性確保のための機能12」で述べたように、データベースシステム310、320、330の検索結果を関連付けることにより匿名性が確保できない場合が想定できるのと同様に、データベースシステム310のみの検索結果であっても過去の検索結果(検索履歴)と関連付けることにより、匿名性が確保できない場合も想定できるからである。
以上により、ポータル装置430は過去に受信した検索結果を履歴として記憶し新しく受信した検索結果と関連付けて匿名性が確保できるかどうか判断するので、過去の検索履歴をも含めて匿名性を確保することができる。
【0085】
18.データIDの生成手段1
データIDは、データ発生源等のある基準でデータを特定するためのIDであり、複数データベースシステム310、320、330から検索されたデータを関連付けるためのキーとなる。したがって、データIDから個人が特定可能な情報が生成できてはならない。ここで、各データベースシステム310、320、330が等しく保持している情報(個人名、性別、生年月日、住所等)を所定規則にしたがって変換し、データIDを生成することを特徴とするアノニマスな分散データベースシステムである。
【0086】
19.データIDの生成手段2
データIDの変換対象項目(および、その1項目)、あるいは、データの変換キー(および、その1項目)として、何らかの時刻情報(データ検索依頼時刻を想定している。特有情報の一例)を含むことを特徴とするアノニマスな分散データベースシステムである。
【0087】
20.データIDの生成手段3
データIDの変換対象項目(および、その1項目)、あるいは、データの変換キー(および、その1項目)として、データの検索依頼端末(アクセス送信者IDの一例)、あるいは、検索依頼者のID(アクセス送信者IDの一例)が含まれることを特徴とするアノニマスな分散データベースシステムである。
【0088】
21.データIDの生成手段4
前記データIDの生成手段2、および、前記データIDの生成手段3を組み合せたデータIDの生成手段を特徴とするアノニマスな分散データベースシステムである。
【0089】
22.データIDの生成手段5
1つのシステム内に複数のデータIDの生成手段が存在することを特徴とするアノニマスな分散データベースシステムである。
物理的に1つの分散型データベースシステムであるが、複数個の論理的なサブシステムとして扱う等により実現する。
【0090】
23.個人情報の他目的利用の許諾有無が混在する場合の処理手段1
個人情報の他目的利用に関する許諾を必須とし、許諾のない個人情報はすべて(匿名化している場合でも)返送しないことを特徴とするアノニマスな分散データベースシステムである。ここで「他目的利用」とは、当初予定した利用とは異なる、他の目的に利用する場合を意味する。例えば、集団の医療費の推移をみるために利用しようと予定していた個人情報を、個人の保健指導という他の目的に利用するような場合である。
【0091】
24.個人情報の他目的利用の許諾有無が混在する場合の処理手段2
個人情報の他目的利用に関する許諾の有無により、アクセス装置340へ返送する匿名化レベル(「1.アノニマス・データの管理手段」における匿名化レベル)を制御することを特徴とするアノニマスな分散データベースシステムである。例えば、図14における情報提供装置200の個人情報記憶部110は、個人情報の利用について利用許諾を受けている個人情報と利用許諾を受けていない個人情報との双方の個人情報を記憶している。匿名化処理部120は、利用許諾の有無により、所定のレベルの匿名化処理を行なう。利用許諾を受けているものであれば、前記の「1.アノニマス・データの管理手段」における、レベル2のような匿名化処理を行なう。あるいは、何の制限もなく自由に利用してよい旨の利用許諾を受けている個人情報であれば、前記の「1.アノニマス・データの管理手段」のレベル1のように、匿名化処理を施すことなくアクセス装置340に送信しても構わない。一方、利用許諾を受けていない場合は匿名化のレベルを高め、例えば、前記の「1.アノニマス・データの管理手段」におけるレベル3のように、統計情報としてのみ利用する。この点、許諾のない個人情報は返送しないとする、前記の「23.個人情報の他目的利用の許諾有無が混在する場合の処理手段1」とは異なる。
以上のように、個人情報の利用許諾の有無により匿名化処理のレベルを変えることにより、個人情報の匿名性を確保した上で、個人情報の幅広い有効活用をすることができる。
【0092】
25.データIDから個人の特定を行う手段
各データベースシステム310、320、330において、データIDから個人を特定する仕組みを有することを特徴とするアノニマスな分散データベースシステムである。
データIDの生成処理をデータベースシステムに格納しているデータに対し、与えられたデータIDと等しいデータID生成できるデータを検索する手段により個人を特定する。
【0093】
26.許可者以外がデータIDから個人を特定できないための手段1
データIDから個人を特定する機能をデータ検索機能と同一機器に設置できないことを特徴とするアノニマスな分散データベースシステム(前記の「25.データIDから個人の特定を行う手段」の拡張機能)である。
【0094】
27.許可者以外がデータIDから個人を特定できないための手段2
検索依頼時刻(特有情報の一例)や、検索依頼者を識別する識別子(特有情報の一例)等、各データベースシステム310、320、330には存在しない項目を用いてデータIDを生成する手段を選択するとともに、これらデータID生成時に必須となるデータ項目を暗号化してデータベースシステムへ送信することを特徴とするアノニマスな分散データベースシステムである。アクセス装置340側のみが有する特有の情報、例えば、「検索依頼時刻」、あるいは「検索依頼者を識別する識別子」などを加えることにより、所定のデータベースシステム、あるいは、データベースシステムにおける所定の操作者以外は、データIDから個人の特定をできないようにする。
すなわち、各データベースシステム310、320、330等において、データIDの生成に用いる個人情報のデータ項目としては、個人名、性別、生年月日、住所等があるが、さらにこれらの個人情報のデータ項目に加えて、検索依頼時刻のようなアクセス装置340のみが有する情報をデータID生成のデータ項目として追加する。
具体的な適用について、実施の形態1において述べた「介入サービスへの適用における処理の過程」を例にとり、説明する。以下では、図3と図5とを用い、データID生成と対比ID生成を中心に説明する。
(1)図5において、健康保険組合は、コンサルティング会社(アクセス装置340)に、どのような個人に、どのような健康促進のための介入サービスを実施すれば良いかの分析、調査を依頼する。コンサルティング会社は、この依頼に基づき、健康保険組合データベースシステム370に、例えばレセプト情報のような個人情報の個人情報送信要求を送信する。この個人情報送信要求には、個人情報を検索する検索条件と送信時の検索依頼時刻(特有情報の一例)が含まれている。
(2)健康保険組合データベースシステム370の情報提供装置100(図3)は、前記個人情報送信要求を受信すると個人情報を抽出し、データID生成部50がデータIDを生成する。このデータID生成部50によるデータID生成において、アクセス装置340から受信した検索依頼時刻(特有情報の一例)はデータID生成の必須のデータ項目である。情報提供装置100は、個人情報(図5ではレセプト情報)にデータIDを付与してアクセス装置340へ送信する。送信した個人情報のうちには、「三菱太郎」をデータID化した「Dasf104」のレセプト情報が含まれている。
(3)アクセス装置340は、健康保険組合データベースシステム370から収集した匿名化したレセプト情報と関連付けて分析、調査するため人事データベースシステム380へ勤怠情報の検索依頼を送信する。人事データベースシステム380は、この検索依頼に応答して、匿名化した勤怠情報をアクセス装置340へ送信する。人事データベースシステム380が送信した匿名化した勤怠情報の中には、「Dasf104」の勤怠情報が存在する。
(4)アクセス装置340は、健康保険組合データベースシステム370のレセプト情報と、人事データベースシステム380の勤怠情報とを分析する。そして生活習慣病予備軍として、「Dasf104」を決定する。アクセス装置340は、この分析結果を分析情報として保有する。そして、コンサルティング会社(アクセス装置340)は、健康保険組合からの分析、調査依頼に回答するべく分析情報(アクセス装置情報の一例)を健康保険組合データベースシステム370へ送信する。この分析情報には、以前にアクセス装置340から健康保険組合データベースシステム370への検索依頼時に送信した検索依頼時刻を含める。
(5)健康保険組合データベースシステム370の情報提供装置100においては、アクセス装置340から受信した「Dasf104」が、いかなる個人であるかを特定するため、対比ID生成部51が個人情報記憶部40の記憶する個人情報と、分析情報(アクセス装置情報の一例)に含まれる検索依頼時刻とを用いて、「Dasf104」と対比して個人を特定するための対比IDを生成する。この場合、分析情報に含まれる検索依頼時刻は、対比IDを生成するための必須のデータであり、検索依頼時刻がなければ対比IDを生成することはできない。例えば、「三菱太郎」の個人情報と検索依頼時刻とにより対比IDが「Dasf104」と求められることで、介入の必要のある個人が、「三菱太郎」であることが判明する。
以上のように、本手段により、所定のデータベースシステムまたは所定の操作者以外はデータIDから個人の特定はできないようにして、個人情報の匿名性を確保することができる。
【0095】
28.許可者以外がデータIDから個人を特定できないための手段3
許可者以外がデータIDから個人を特定できないための前記の「26.許可者以外がデータIDから個人を特定できないための手段1」と「27.許可者以外がデータIDから個人を特定できないための手段2」とを組み合せた手段であることを特徴とするアノニマスな分散データベースシステムである。
【0096】
29.許可者以外がデータIDから個人を特定できないための手段4
アクセス装置340からの検索依頼以外でデータIDの生成を実施する場合、個人情報の他目的利用を許諾していない個人の情報はデータID生成ができないことを特徴とするアノニマスな分散データベースシステムである。
【0097】
実施の形態5.
図21〜図25を用いて実施の形態5を説明する。実施の形態5では、実施の形態1〜実施の形態4に説明したシステムを具体的な事業におけるシステムに適用した、5つの適用例について説明する。
【0098】
実施の形態1〜実施の形態4の適用例として、まずサンプルデータ提供システムについて以下に説明する。図21は、サンプルデータ提供システムの概要を示す図である。
図21は、情報収集者454が蓄積した実社会の個人情報を、匿名化した上で研究機関やコンサルティング会社等の情報利用者453へ提供するモデルである。サンプルデータ提供システムには、情報利用者453、情報収集者454、情報提供者455(使用許諾者)(個人・組織)、企業452、システム運営(構築)者451の5者が登場する。
情報利用者453は、研究等を進めるにあたり実社会のデータを欲する個人や組織を想定する。情報利用者453は、図21に示すように、情報を入手する対価として、情報収集者454へ情報提供料、および、システム運営(構築)者451へシステム使用料を支払う。それぞれの費用として、従量制、定額制が考えられる。
情報収集者454は、本来、各自の業務を進めるためだけに個人の情報を収集、蓄積している。これら蓄積した情報に実施の形態1〜実施の形態4を適用することにより匿名化を保証し、他組織へ匿名化した個人情報を提供することが可能となる。情報収集者454は情報を提供する対価として、情報利用者453から情報提供料を受領することができる。ここで、情報提供料の算出手段として、提供データの情報量やアクセス者から検索された回数等による従量制と当該システムへの接続そのものに対しての定額制が考えられる。また、間接的なメリットとして、情報利用者453との関係強化や情報利用者453への情報提供そのものを商業的な宣伝に利用できる等が考えられる。
情報提供者455(使用許諾者)である個人、および、個人が所属する組織が何らかの社会活動を行うことにより、情報収集者454により個人情報が蓄積される。本例の場合は、実施の形態1〜実施の形態4の適用により個人情報の匿名化を保証するため、データの目的使用に関する個人の承諾は不要となると考える。また、サンプルデータ提供システムでは、情報提供者455(使用許諾者)(個人・組織)への明示的なリターンはない。
サンプルデータ提供システムにおける企業452は、情報利用者453に関連する機器やサービス等を提供する営利団体を想定している。検索画面や検索結果表示画面、メール等に企業広告を載せることにより、拡販の機会を提供する。企業452はその対価として広告料を支払う。情報収集者454、情報提供者455に対しても同様の広告を行ってもよい。
システム運営(構築)者451は、当該プラットフォームを前記4者へ提供する。その対価としてシステム使用料を徴収する。また、企業452に対して拡販の機会を提供することにより、広告料を徴収する。また、情報提供料を情報利用者453から徴収し、情報収集者454へ分配する。交付金、補助金、委託金等の公的な資金を利用して当該プラットフォームを構築することも想定する。
【0099】
以上、サンプルデータ提供システムの適用例では、個人情報の保護については、実施の形態1〜実施の形態4の適用により解決可能である。
また、課金機能の構築については、課金ルールを作る。それに必要な場合は、ポータル装置430で各データベースシステム310等へのアクセス回数をカウントする仕組みを構築したり、また、ポータル装置430で各データベースシステム310等から検索したデータ量をカウントする仕組みを構築したりすることも可能である。
また、広告等の情報提示手段については、検索依頼画面にバーナーとして広告を表示(Web画面イメージ)する機能や、検索結果ダウンロード画面にバーナーとして広告を表示(Web画面イメージ)する機能等により実現することができる。
【0100】
次に、実施の形態1〜実施の形態4の第2の適用例として、2種類のヘルスケアシステムを以下に説明する。まず、第1の適用例としてヘルスケアシステム例1を説明する。図22は、ヘルスケアシステム例1の概要を示す図である。
図22を用いて、ヘルスケアシステムの第1の例であるヘルスケアシステム例1について説明する。
図22は、個人、および、個人が所属する組織の各種情報を分析することにより、個人、および、組織の健康状態を評価するとともに、個人や組織に対して健康を増進するため、あるいは、健康を保つための介入サービスを実施するためのモデルを示す。また、ヘルスケアシステム例1では、健康保険組合等の情報収集者454が中心となり、健康保険組合等の集団の健康を増進させることが主たる目的である。
図21で述べたサンプル提供システムとは異なり、個人に対して分析結果を何らかの形態でフィードバックするため、個人情報の他目的利用、および、介入サービスの提供に関して各個人の許諾が必要となる。
ヘルスケアシステム例1には、情報利用者453(コンサルティング会社)、情報収集者454、情報提供者455(使用許諾者)(個人・組織)、情報提供者457(使用不許諾者)、サービス提供会社458、システム運営者451の6者が登場する。
ヘルスケアシステム例1の情報収集者454として、健康保険組合、企業(人事)、産業医等を想定している。介入サービスが軌道に乗ることにより、情報収集者454である健康保険組合は医療費の削減、企業は作業の効率化等の恩恵を得ることができる。各情報収集者454は、ヘルスケアシステム例1の運用をするにあたり、全情報提供者455(使用許諾者)(個人)から個人情報の他目的利用(ただし、情報の利用はヘルスケア関連に限る)、および、介入サービスの実施について許諾を得る必要がある。情報収集者454は、第三者であるコンサルティング会社(情報利用者453)に匿名化したデータを送付するとともに、データの分析を依頼する。分析内容の代表としては、個人、および、企業内組織単位の健康評価とその傾向、および、疾病予備軍の調査である。ここで、個人情報の他目的利用について許諾を得られない個人情報については、統計情報としてのみ使用する。
情報収集者454(例えば、健康保険組合を想定)は、情報利用者453であるコンサルティング会社(組織)から疾病予備軍である者のデータIDが送信されてきた場合に、このデータIDがいかなる個人を示すものか特定するために、自己の保有する個人情報をもとにデータIDを生成し、生成したデータIDと前記送信されたデータIDとを照合し、一致した個人を特定する。そして、特定した個人には、疾病予備軍に関する改善策を講じるために、疾病予備軍(不許諾者は除く)として健康増進サービスを提供する。ここで、健康増進サービスをサービス提供会社458に委託することもあり、その際には疾病予備軍に関する情報をサービス提供会社458へ提供する。
すなわち、情報利用者453であるコンサルティング会社(組織)は情報収集者454(当面は健康保険組合を想定)からの依頼に基づき、匿名化したデータの分析を行う。分析結果として、組織の健康評価と個人の健康評価を情報収集者454へ返送する。つまり、コンサルティング会社(組織)は、生活習慣病、成人病等の疾病予備軍の有無を検討し、疾病予備軍がいると判断したときは、その対象者をデータIDにて情報収集者454へ報告する。ここで、匿名化の保証ができなくなる恐れがあることを考慮し、コンサルティング会社(組織)は、依頼元(この事例では健康保険組合)に対して疾病予備軍の選定理由等を開示してはならないものとする。
ここで、コンサルティング会社(組織)と情報収集者454のいずれかが一致する場合は、分析を行う担当組織、あるいは(および)、担当者に対して契約等により守秘義務を科す必要がある。コンサルティング会社(組織)は、情報収集者454からの分析依頼に対する対価が収入となる。
情報収集者454から委託を受けるサービス提供会社458は情報収集者454より入手した対象者情報に従い、個人、および、個人の所属する組織に対して介入サービスを実施する。介入サービスには、運動指導や栄養指導、禁煙指導等が想定され、提供サービスの内容に応じて個人からも費用を徴収する場合がある。また、介入サービスの一環として、運動ジムの斡旋や配膳業者の斡旋等を行い、これら企業からのキックバックも収入源として想定できる。
また、健康保険の医療費抑制や作業効率の向上が明らかな場合は、その削減額の所定割合を成果報酬とすることを想定できる。
システム運営者451は、情報収集者454、あるいは、サービス提供会社458から委託を受け、個人情報の匿名化等を実施するシステムの運営を行う。ただし、システム運営者451は、情報収集者454、あるいは、サービス提供会社458と同一であってもかまわない。
情報提供者455(使用許諾者)(個人・組織)は、個人情報の他目的利用、および、介入サービスの提供を許諾した個人を想定する。ヘルスケアシステム例1における情報提供者455(使用許諾者)である組織は、情報収集者454(あるいはその一部)と一致すると想定しているため、組織が不許諾とすることはほぼないと考えられる。個人は健康向上・維持に関する情報が安価(あるいは、無償)で入手できるとともに、介入サービスにより斡旋を受けた運動ジムや配膳業者等の割引や健康保険組合等による費用の一部負担が期待できる。
情報提供者457(使用不許諾者)は、個人情報の他目的利用、および、介入サービスの提供を許諾しなかった個人を想定する。
【0101】
以上、ヘルスケアシステムの例1の適用例では、情報収集者454が提供する実データに対する匿名性保証については、実施の形態1〜実施の形態4の適用により解決可能である。
また、複数の情報収集者454からの匿名化したデータを関連付ける手段については、実施の形態1〜実施の形態4の適用により解決可能である。
また、データIDから個人を特定するための機能、および、その際の匿名性の確保手段については、実施の形態4で述べた「アノニマス(匿名化)・データベースシステムを構築するにあたり、実現が必要になると思われる機能、および、実現することにより便利になる機能、効率化につながる機能」における、「25.データIDから個人の特定を行う手段」、「26.許可者以外がデータIDから個人を特定できないための手段1」、「27.許可者以外がデータIDから個人を特定できないための手段2」、「28.許可者以外がデータIDから個人を特定できないための手段3」、「29.許可者以外がデータIDから個人を特定できないための手段4」等の手段を利用することにより解決可能である。
また、健康評価手段については、個人に対する健康評価手段として「健康度」があり、当該健康度の適用を想定している。集団へ健康度を適用する場合については、個人の健康度を集積したものを想定している。
また、介入サービス適用効果の評価手段については、定期的にコンサルティング会社(組織)に組織の健康度分析を依頼する。また、介入サービスの提供履歴を管理する(サービス提供会社458からの報告義務、および、その蓄積)。当該情報を含めコンサルティング会社(組織)にて分析する。
また、情報提供に関する承諾をしない個人データの取り扱い、および、混在したデータの取り扱い機能の構築については、実施の形態4で述べた「アノニマス(匿名化)・データベースシステムを構築するにあたり、実現が必要になると思われる機能、および、実現することにより便利になる機能、効率化につながる機能」における「23.個人情報の他目的利用の許諾有無が混在する場合の処理手段1」や「24.個人情報の他目的利用の許諾有無が混在する場合の処理手段2」を利用することにより解決可能である。
また、医療費の削減や生産性向上等の間接的なメリットに対する評価手段については、特に制限しない。
【0102】
以下に、実施の形態1〜実施の形態4をヘルスケアに適用した第2の場合である、ヘルスケアシステム例2について説明する。図23は、ヘルスケアシステム例2のシステムを示す図である。ヘルスケアシステム例2は、個人がコンサルティング会社へ依頼する場合を想定する。当該例では、従来はコンサルティング会社が保有するノウハウにて個人に対する介入方針等を決定していたが、それに加え個人が所属する組織の特性や個人の病歴等の情報を入手することが可能となり、コンサルティング会社(情報利用者453に該当する。以下同じ。)は、これら情報を加味して、詳細なアドバイスが可能となる。同一組織に所属する集団としての健康状態を分析することにより、個人にとって往々に注意外である外的要因の有無をコンサルティング会社が調査し、これまでは気が付かなかった要因を発見できる機会を広げる。
ヘルスケアシステム例2には、依頼者460、情報利用者453(コンサルティング会社)、情報収集者454、情報提供者455(使用許諾者)(個人・組織)、システム運営者451の5者が登場する。
依頼者460は、コンサルティング会社(組織)に健康等に関するサービス提供を依頼する。ここで、依頼者460は、情報提供者455(使用許諾者)(個人・組織)の構成員であることが前提である。
情報利用者453であるコンサルティング会社(組織)は依頼者460からの依頼に基づいて、依頼者個人、および、依頼者460の所属する組織について分析を行う。分析結果にしたがって、依頼者460への介入、あるいは、アドバイスの方針を決定する。
ヘルスケアシステム例2を利用する場合、コンサルティング会社はシステム運営者451へのシステム使用料支払い、情報収集者454への情報提供料支払い等、コストアップにつながる要因もあるが、過去に遡った詳細な個人情報など分析対象となる有意な情報を入手可能となるため、コンサルティング会社として保有するノウハウの精度を向上させることが期待でき、ひいては、医療費削減等が期待される。
システム運営者451は、コンサルティング会社(組織)からシステム使用料を徴収し、システムの運用・保守を行う。システム運営者451の位置付けは、前記サンプルデータ提供システムと大きな差異はない。
情報収集者454はコンサルティング会社へ匿名化した情報の提供を行う対価として、情報提供料を徴収する。ここで、コンサルティング会社へ提供する情報は、実データを匿名化し統計データとして使用、および、依頼者460本人の情報であり、情報提供者455(使用許諾者)(全員)に対する他目的利用許諾は不要であると考えている。
情報提供者455(使用許諾者)は情報収集者454が通常業務として行っているサービスを受けることにより、情報収集者454に個人情報が蓄積される。
【0103】
以上、ヘルスケアシステム例2の適用例では、情報収集者454が提供する実データに対する匿名性保証は、実施の形態1〜実施の形態4の適用により解決可能である。
また、複数の情報収集者454からの匿名化したデータを関連付ける手段は、実施の形態1〜実施の形態4の適用により解決可能である。
また、課金機能の構築は、前記サンプルデータ提供システムと同様である。すなわち、課金機能の構築については、課金ルールを作る。それに必要な場合は、ポータル装置430で各データベースシステム310等へのアクセス回数をカウントする仕組みを構築したり、また、ポータル装置430で各データベースシステム310等から検索したデータ量をカウントする仕組みを構築したりすることも可能である。
【0104】
次に、実施の形態1〜実施の形態4の別の適用例として2種類の介入サービス評価システムを説明する。まず、第1の例である介入サービス評価システム例1について説明する。図24は、介入サービス評価システム例1の概要を示す。
集団又は個人の健康状態(健康の評価結果)の履歴を管理することにより、介入サービス等の有効度を評価する。介入サービスを評価するためのデータ取得に実施の形態1〜実施の形態4を使用する。図24に示す介入サービス評価システム例1は、サービス提供会社458、情報収集者454(委託元)、情報提供者455(使用許諾者)(個人・組織)、システム運営者451、サービス評価会社461の5者が登場する。
ヘルスケアシステム例1と同様に、情報収集者454は、個人に対する介入サービスをサービス提供会社458へ委託する。さらに、情報収集者454は、サービス評価会社461に対して、当該サービス提供会社458が提供するサービスを評価するよう依頼する。サービス評価会社461へは、情報提供者455(使用許諾者)(個人・組織)の匿名化したデータを提供する。当該データから個人を特定する必要はないため、情報提供者455(使用許諾者)(個人)に対して個人情報の他目的利用の許諾は不要であると考える。
情報提供者455(使用許諾者)(個人・組織)は、サービス提供会社458よりサービスの提供を受ける。
サービス提供会社458は、情報収集者454からの委託に従い、個人に対して介入サービスを提供する。
サービス評価会社461は、情報収集者454より情報提供者455(使用許諾者)(個人・組織)の匿名化した情報を定期的に入手し、集団又は個人としての健康状態のトレンドを分析・評価する。その結果をサービス提供会社458の評価として情報収集者454へ提示する。
システム運営者451は、情報収集者454とサービス評価会社461との間のデータ通信において、匿名化するためのプラットフォームを提供する。システムの運用・保守の対価としてサービス評価会社461からシステム使用料を徴収する。
【0105】
以上、介入サービス評価システム例1の適用例では、情報収集者454が提供する実データに対する匿名性保証は、実施の形態1〜実施の形態4の適用により解決可能である。
また、複数の情報収集者454からの匿名化したデータを関連付ける手段は、実施の形態1〜実施の形態4の適用により解決可能である。
また、集団に対する健康度の評価機能の構築は、個人に対する健康評価手段として「健康度」があり、当該健康度の適用を想定している。集団の健康度については、個人の健康度を集積したものを想定している。
また、介入サービス適用効果の評価手段は、集団の健康度を蓄積し、トレンドを評価する。
【0106】
実施の形態1〜実施の形態4を適用した第2の介入評価サービスのシステムについて以下に説明する。
図25は、介入サービス評価システム2のしくみの一例を示す。図25において、サービス評価会社461は、サービス提供会社458の評価のみでなく、サービス提供会社458に対するコンサルティングをも行う。介入サービス評価システム2に必要となる基本的な仕組みは、図24における前記介入サービス評価システム1と同様である。
サービス評価会社461は、サービス提供会社458のサービス提供先集団の健康状態(健康の評価結果)、および、その履歴を管理することにより介入サービス等の有効度を評価する。サービス評価会社461は、その結果から効果のあがっていない項目の有無、および、内容をサービス提供会社458に提示するとともに、その対策についてアドバイスする。
介入サービスを評価するためのデータ取得に実施の形態1〜実施の形態4を使用する。介入サービス評価システム2には、サービス提供会社458、情報収集者454(委託元)、情報提供者455(使用許諾者)(個人・組織)、システム運営者451、サービス評価会社461の5者が登場する。
情報収集者454は、サービス評価会社461に対して、情報提供者455(使用許諾者)(個人・組織)の匿名化したデータを提供する。その対価として、情報提供料を徴収することが可能となる。当該データから個人を特定する必要はないため、情報提供者455(使用許諾者)(個人)に対して個人情報の他目的利用の許諾は不要であると考える。
情報提供者455(使用許諾者)(個人・組織)は、サービス提供会社458よりサービスの提供を受ける。
サービス提供会社458は、個人に対して介入サービスを提供する。サービス提供会社458は、自社が提供するサービスに対するコンサルティングをサービス評価会社461に依頼する。
サービス評価会社461は、情報収集者454より情報提供者455(使用許諾者)(個人・組織)の匿名化した情報を定期的に入手し、集団としての健康状態のトレンドを分析・評価する。ここで、情報入手の対価として情報提供料を情報収集者454へ支払う。その結果からサービス提供会社458へコンサルティングを実施する。
システム運営者451は、情報収集者454からサービス評価会社461間とのデータ通信において、匿名化するためのプラットフォームを提供する。システムの運用・保守の対価としてサービス評価会社461からシステム使用料を徴収する。
【0107】
以上、介入サービス評価システム例2の適用例では、情報収集者454が提供する実データに対する匿名性保証については、実施の形態1〜実施の形態4の適用により解決可能である。
また、複数の情報収集者454からの匿名化したデータを関連付ける手段については、実施の形態1〜実施の形態4の適用により解決可能である。
また、集団に対する健康度の評価機能の構築については、個人に対する健康評価手段として「健康度」があるが、当該健康度の適用を想定している。ただし、集団の健康度については、個人の健康度を集積したものを想定している。
また、介入サービス適用効果の評価手段については、集団の健康度を蓄積し、トレンドを評価する。
【0108】
実施の形態5では、匿名化を保証するとともに個人情報を関連付けすることにより、個人情報の利用促進を図ることができるシステムを事業へ適用することによって、個人情報の利用に基づいた新たなサービス、新たなビジネスを提供することができる。
【0109】
【発明の効果】
本発明によれば、個人情報に関してプライバシーを高度に確保して、個人情報を有効に利用することができる。また、複数のデータベースシステムに格納された同一人についての個人情報を関連付けることにより、個人情報の有効利用を可能とすることができる。
【図面の簡単な説明】
【図1】 実施の形態1のシステム構成例を示す図である。
【図2】 実施の形態1の実装の概要を示す図である。
【図3】 実施の形態1に係る情報提供装置100の構成を示す図である。
【図4】 個人情報の送信要求を受けた場合のフローを示す図である。
【図5】 実施の形態1を介入サービスに適用したシステム適用例を示す図である。
【図6】 検索条件の例を示す図である。
【図7】 検索条件の一部を削除した図である。
【図8】 データベースからの検索結果を示す図である。
【図9】 データIDの付与を示す図である。
【図10】 プライバシーに関わる情報の削除の様子を示す図である。
【図11】 実施の形態1におけるシステムの機能を示す図である。
【図12】 実施の形態2におけるシステム構成概要を示す図である。
【図13】 実現案1を示す図である。
【図14】 情報提供装置200の構成を示す図である。
【図15】 関連付け分散データベースシステム500の構成を示す図である。
【図16】 実現案2を示す図である。
【図17】 実現案3〜実現案5を示す図である。
【図18】 実現案7を示す図である。
【図19】 実現案9を示す図である。
【図20】 実現案10を示す図である。
【図21】 サンプルデータ提供システムの構成を示す図である。
【図22】 ヘルスケアシステム例1の構成を示す図である。
【図23】 ヘルスケアシステム例2の構成を示す図である。
【図24】 介入サービス評価システム例1の構成を示す図である。
【図25】 介入サービス評価システム例2の構成を示す図である。
【符号の説明】
10 受信部、11 認証部、12 復号部、20 検索条件確認部、30 個人情報抽出部、40 個人情報記憶部、50 データID生成部、51 対比ID生成部、60 検索結果判断部、61 暗号作成部、62 送信部、70 規則記憶部、80 課金部、100 情報提供装置、110 個人情報記憶部、120 匿名化処理部、121 データID生成部、130 匿名化個人情報記憶部、140 受信部、150 送信部、200 情報提供装置、310,320,330 データベースシステム、340 アクセス装置、350 ネットワーク、360,361 アクセス用インタフェース、370 健康保険組合データベースシステム、380 人事データベースシステム、390 産業医データベースシステム、400,410 データベースシステム、415 アノニマス化データベースシステム、416 データベースシステム、420 検索装置、、430 ポータル装置、440 エージェント、450 国、451 システム運営者、452 企業、453 情報利用者、454 情報収集者、455 情報提供者、457 情報提供者(使用不許諾者)、458 サービス提供会社、460 依頼者、461 サービス評価会社、500 関連付け分散データベースシステム、600 第1プライベートデータベース装置、610 第1識別子生成部、620 第1組み合わせデータ作成部、630 第1記憶部、700第2プライベートデータベース装置、710 第2識別子生成部、720 第2組み合わせデータ作成部、730 第2記憶部、800 データベースアクセス装置、810 識別子照合部、820 関連データ記憶部。
Claims (3)
- アクセス装置と、
ネットワークを介して前記アクセス装置と通信可能であり、前記アクセス装置からの要求に基づき前記アクセス装置に情報提供を行う複数の情報提供装置と
を備えた分散データベースシステムに属する前記情報提供装置において、
個人に関する個人情報を記憶する個人情報記憶部と、
前記アクセス装置から個人情報を検索する検索条件を含む個人情報送信要求を受信する受信部と、
前記受信部によって受信された前記個人情報送信要求に含まれる前記検索条件に基づいて前記個人情報記憶部を検索し個人情報を抽出する個人情報抽出部と、
同一人の個人情報であれば前記複数の情報提供装置のどの前記情報提供装置によっても前記同一人の個人情報から同一の値として生成される識別子を示すデータIDの生成規則であって、同一人の個人情報については前記複数の情報提供装置のどの前記情報提供装置においても同じ所定の項目を使用する生成規則が定義されたデータID生成規則と、どのような情報が個人を特定可能な情報に該当するかという規則であって、個人を特定可能な項目が予め定義された特定可能規則とを記憶する規則記憶部と、
前記個人情報抽出部の抽出した個人情報から前記データID生成規則に基づいて前記データIDを生成し、生成したデータIDを前記抽出した個人情報に付与するデータID生成部と、
前記個人情報抽出部が抽出しデータIDが付与された個人情報の中に個人の特定が可能な項目が含まれているかどうかを前記規則記憶部に記憶されている前記特定可能規則により判断し、個人の特定が可能な項目が含まれていないと判断したときは前記データIDが付与された個人情報をそのまま前記アクセス装置に送信し、個人の特定が可能な項目が含まれていると判断したときはデータIDが付与された前記個人情報から該当する項目を削除してから前記個人情報を前記アクセス装置に送信する検索結果判断部と
を備えると共に、
前記受信部は、
前記検索結果判断部によって前記データIDが付与された前記個人情報を送信された前記アクセス装置から前記データIDを受信し、
前記データID生成部は、
前記受信部によって前記データIDが受信された場合に、受信された前記データIDと対比するための対比IDを前記個人情報記憶部に記憶されている前記個人情報から前記データID生成規則に基づいて生成し、
前記情報提供装置は、さらに、
前記対比ID生成部によって前記対比IDが生成されると前記対比IDと前記受信されたデータIDとが一致するかどうかを判定し、一致と判定すると、前記対比IDの生成元となった個人情報からその個人を特定する手段を
備えたことを特徴とする情報提供装置。 - 前記検索結果判断部は、
前記個人情報抽出部が複数人の個人情報を抽出したときに、抽出した複数人の個人情報の数が所定の数以下のときは前記アクセス装置へ前記抽出した複数人の個人情報を送信しないことを特徴とする請求項1記載の情報提供装置。 - 前記個人情報記憶部は、
所定の集団に属する個人に関する個人情報を記憶し、
前記検索結果判断部は、
前記個人情報抽出部が複数人の個人情報を抽出したときに、抽出した複数人の個人情報の数を前記複数人が属する集団の総人数に対する比率に換算し、換算した換算値が所定の値以下のときは前記アクセス装置へ前記抽出した複数人の個人情報を送信しないことを特徴とする請求項1または2のいずれかに記載の情報提供装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003110281A JP4429619B2 (ja) | 2003-04-15 | 2003-04-15 | 情報提供装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003110281A JP4429619B2 (ja) | 2003-04-15 | 2003-04-15 | 情報提供装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004318391A JP2004318391A (ja) | 2004-11-11 |
| JP4429619B2 true JP4429619B2 (ja) | 2010-03-10 |
Family
ID=33471187
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003110281A Expired - Fee Related JP4429619B2 (ja) | 2003-04-15 | 2003-04-15 | 情報提供装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4429619B2 (ja) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4774276B2 (ja) * | 2004-11-19 | 2011-09-14 | パナソニック株式会社 | 匿名情報システム、変換分割装置、情報提供装置及び情報蓄積装置 |
| JP4594078B2 (ja) * | 2004-12-28 | 2010-12-08 | 株式会社オリコム | 個人情報管理システムおよび個人情報管理プログラム |
| JP2006330832A (ja) * | 2005-05-23 | 2006-12-07 | Toshiba Corp | 医用情報管理システム |
| JP2006350689A (ja) * | 2005-06-16 | 2006-12-28 | Fuji Xerox Co Ltd | 画像形成装置を制御するためのクライアントドライバプログラム及びコンピュータ及び画像処理装置操作用の操作画面の制御方法 |
| JP2007264827A (ja) * | 2006-03-27 | 2007-10-11 | Matsushita Electric Ind Co Ltd | 個人情報保護装置 |
| JP2009543489A (ja) * | 2006-07-10 | 2009-12-03 | ジェムアルト エスアー | 匿名の機密データを管理するためのサーバ |
| JP5042667B2 (ja) * | 2007-03-05 | 2012-10-03 | 株式会社日立製作所 | 情報出力装置、情報出力方法、及び、情報出力プログラム |
| JP4971847B2 (ja) * | 2007-03-19 | 2012-07-11 | 株式会社沖データ | 画像処理装置 |
| WO2008146392A1 (ja) * | 2007-05-31 | 2008-12-04 | Pfu Limited | 電子ドキュメント暗号化システム、復号システム、プログラムおよび方法 |
| US7930560B2 (en) | 2007-07-17 | 2011-04-19 | Kabushiki Kaisha Oricom | Personal information management system, personal information management program, and personal information protecting method |
| KR20100038536A (ko) * | 2008-10-06 | 2010-04-15 | 주식회사 이베이지마켓 | 인터넷을 이용한 전자상거래에서 고객정보 활용시스템 및 그 방법 |
| JP5111330B2 (ja) * | 2008-10-17 | 2013-01-09 | 日本電信電話株式会社 | 個人情報解析装置、個人情報解析方法及びプログラム |
| US8468346B2 (en) | 2008-11-05 | 2013-06-18 | Nec Corporation | Data reference system, database presentation/distribution system, and data reference method |
| WO2011013495A1 (ja) * | 2009-07-31 | 2011-02-03 | 日本電気株式会社 | 情報管理装置、情報管理方法、及び情報管理プログラム |
| JP5757241B2 (ja) | 2009-10-09 | 2015-07-29 | 日本電気株式会社 | 情報管理装置、そのデータ処理方法、およびコンピュータプログラム |
| US8924698B2 (en) | 2009-12-25 | 2014-12-30 | Nec Corporation | Grouping cooperation system, grouping cooperation method, and grouping processing flow management program |
| JP5427825B2 (ja) * | 2011-04-19 | 2014-02-26 | 株式会社日立製作所 | 仮名化システム |
| JP5758315B2 (ja) * | 2012-01-27 | 2015-08-05 | 日本電信電話株式会社 | 匿名データ提供システム、匿名データ装置、及びそれらが実行する方法 |
| JP5670366B2 (ja) * | 2012-01-27 | 2015-02-18 | 日本電信電話株式会社 | 匿名データ提供システム、匿名データ装置、それらが実行する方法、およびプログラム |
| JP5835745B2 (ja) * | 2012-02-08 | 2015-12-24 | 日本電信電話株式会社 | 情報流通システム及び情報流通方法 |
| JP6184665B2 (ja) * | 2012-07-03 | 2017-08-23 | 株式会社日立システムズ | サービス提供方法及びサービス提供システム |
| JP5723331B2 (ja) * | 2012-08-03 | 2015-05-27 | 株式会社日立システムズ | サービス提供方法及びサービス提供システム |
| US9898620B2 (en) * | 2012-09-28 | 2018-02-20 | Panasonic Intellectual Property Management Co., Ltd. | Information management method and information management system |
| WO2014125557A1 (ja) * | 2013-02-12 | 2014-08-21 | 株式会社日立製作所 | 計算機、データアクセスの管理方法及び記録媒体 |
| JP5965360B2 (ja) * | 2013-07-08 | 2016-08-03 | 日本電信電話株式会社 | 情報処理システム、参照装置および参照プログラム |
| JP6096692B2 (ja) * | 2014-02-28 | 2017-03-15 | ヤフー株式会社 | 情報取引装置、情報取引方法及び情報取引プログラム |
| JP6420728B2 (ja) * | 2015-07-01 | 2018-11-07 | 日本電信電話株式会社 | マスク処理システム、マスク処理方法、ユーザ端末、及びサーバ |
| WO2018142764A1 (ja) * | 2017-02-03 | 2018-08-09 | パナソニックIpマネジメント株式会社 | 学習済みモデル生成方法、学習済みモデル生成装置、および学習済みモデル利用装置 |
| WO2018198676A1 (ja) * | 2017-04-28 | 2018-11-01 | 株式会社キーソフト | 情報処理システム |
| JP6996313B2 (ja) * | 2018-01-22 | 2022-02-04 | 富士通株式会社 | 情報提供装置、情報提供プログラム、情報提供方法、及び情報提供システム |
| US11106820B2 (en) * | 2018-03-19 | 2021-08-31 | International Business Machines Corporation | Data anonymization |
| JP7107979B2 (ja) * | 2020-01-24 | 2022-07-27 | 株式会社ジェーシービー | 連携サーバプログラム、事業者サーバプログラム、及びデータ連携システム |
-
2003
- 2003-04-15 JP JP2003110281A patent/JP4429619B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004318391A (ja) | 2004-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4429619B2 (ja) | 情報提供装置 | |
| Sahi et al. | Privacy preservation in e-healthcare environments: State of the art and future directions | |
| US7945048B2 (en) | Method, system and computer product for securing patient identity | |
| US20200057867A1 (en) | Trust based access to records via encrypted protocol communications with authentication system | |
| US9087216B2 (en) | Dynamic de-identification and anonymity | |
| CN102693357B (zh) | 记录访问和管理 | |
| EP3061280B1 (en) | A method for anonymization of data collected within a mobile communication network | |
| EP2368209B1 (en) | Double blinded privacy-safe distributed data mining protocol | |
| JP5008003B2 (ja) | 患者の再識別のためのシステムおよび方法 | |
| US7438233B2 (en) | Blinded electronic medical records | |
| US20160283745A1 (en) | Systems and methods for anonosizing data | |
| US20150128287A1 (en) | Dynamic De-Identification And Anonymity | |
| US20060004588A1 (en) | Method and system for obtaining, maintaining and distributing data | |
| RU2510968C2 (ru) | Способ доступа к персональным данным, таким как индивидуальный медицинский файл, с использованием локального формирующего компонента | |
| US20040143594A1 (en) | Method for generating medical intelligence from patient-specific data | |
| KR101528785B1 (ko) | 개인정보 소유자의 동의를 기반으로 하는 개인정보 보호시스템 및 그 방법 | |
| Mahapatra et al. | Healthcare models and algorithms for privacy and security in healthcare records | |
| KR20140029984A (ko) | 의료정보 데이터베이스 운영 시스템의 의료정보 관리 방법 | |
| Azad et al. | A privacy‐preserving framework for smart context‐aware healthcare applications | |
| WO2016126690A1 (en) | Systems and methods for contextualized data protection | |
| Wang et al. | Health data security sharing method based on hybrid blockchain | |
| US11983284B2 (en) | Consent management methods | |
| RU2772073C2 (ru) | Способ предоставления доступа к криптоконтейнеру с данными пользователя средству обработки | |
| Sliwa et al. | A web architecture based on physical data separation supporting privacy protection in medical research | |
| KR102567355B1 (ko) | 개인정보이동권 기반 개인정보 공유 플랫폼 서비스 제공 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041026 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051226 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090217 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090413 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090929 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091106 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091215 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091216 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121225 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121225 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131225 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |