JP4774276B2 - 匿名情報システム、変換分割装置、情報提供装置及び情報蓄積装置 - Google Patents
匿名情報システム、変換分割装置、情報提供装置及び情報蓄積装置 Download PDFInfo
- Publication number
- JP4774276B2 JP4774276B2 JP2005322332A JP2005322332A JP4774276B2 JP 4774276 B2 JP4774276 B2 JP 4774276B2 JP 2005322332 A JP2005322332 A JP 2005322332A JP 2005322332 A JP2005322332 A JP 2005322332A JP 4774276 B2 JP4774276 B2 JP 4774276B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- parameter
- personal identification
- identification information
- anonymized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、プライバシ性の高い情報をその情報が誰に関するものであるかを特定できないような匿名化された形式に変換し、保管し、提供する技術に関する。
病院においてなされた診療結果や診断結果などの医療情報は、通常、診療/診断結果の情報がその患者を特定できる個人情報、つまり氏名、生年月日、住所などとともに記録されることが多い。また、学校やその他の機関における各種試験などの成績結果データ又は企業における人事評価データは、その生徒又は社員の個人情報とともに記録されることが多い。さらに、各種のアンケート結果データについては、回答者のアンケート回答内容が、その回答者の個人情報とともに記録されることが多い。
これらの情報は、「誰がどういった病歴を持っているのか」「誰がどういった成績/人事評価を得ているのか」「誰がどういったアンケートの回答をしたのか」ということが分かるものであるから、個人のプライバシに深く関わる情報であるといえ、プライバシ保護の観点からの厳重な機密管理が要求される。
しかし、その一方で、例えば、医療情報の場合には、ある年の特定疾病に関する罹患者数などの統計情報を取得し、ある特定患者について病歴を追跡して、新しい治療方法の確立や予防医学に役立てるために、医療情報をデータベース化して、多くの研究者に利用可能とすることが望まれる。同様に、各種成績結果の場合には、成績分布などの統計情報を求めて、各生徒に対する教育指導などに役立てることが望まれる。
しかし、その一方で、例えば、医療情報の場合には、ある年の特定疾病に関する罹患者数などの統計情報を取得し、ある特定患者について病歴を追跡して、新しい治療方法の確立や予防医学に役立てるために、医療情報をデータベース化して、多くの研究者に利用可能とすることが望まれる。同様に、各種成績結果の場合には、成績分布などの統計情報を求めて、各生徒に対する教育指導などに役立てることが望まれる。
このように、上に記載したような情報は、患者や生徒のプライバシを保護しつつも、統計情報や追跡調査ができるようなデータベースとして公開することが望まれる。
ここで、「患者や生徒のプライバシを保護する」とは、「診療/診断結果、あるいは、成績結果は公開されるものの、それらのデータがどの患者あるいは生徒のものであるかは、特定することができないようにする」という意味で使用している。
ここで、「患者や生徒のプライバシを保護する」とは、「診療/診断結果、あるいは、成績結果は公開されるものの、それらのデータがどの患者あるいは生徒のものであるかは、特定することができないようにする」という意味で使用している。
上記のような要求を実現する一般的な方法としては、医療情報あるいは、成績結果などの情報から、患者や生徒といった個人を特定する個人情報部分だけを削除した上で、公開のデータベースに登録するという方法が考えられる。例えば、医療情報の場合、各病院は診察した患者の診察データ(カルテデータ)から、患者の個人情報部分だけを削除して、公開のデータベースに登録する。公開のデータベースは、研究者に公開されるが、患者の身元を特定する情報は含まれていないので、患者のプライバシは保護される。
しかしながら、この方法の場合、同一の患者がそれぞれ別の症例で異なる病院で診察を受けた場合、その診療情報は、患者の個人情報が削除されてデータベースに登録されるため、公開のデータベース上では、それらの診療情報が同一患者のものであることは判別できないという問題点がある。
この問題を解決する方法として、患者のプライバシは保護しつつも、同一患者の診療情報が判別可能な方法が開示されている(例えば、特許文献1参照)。この方法によると、患者情報は匿名患者IDに置き換えてデータベースに登録され、患者情報と匿名患者IDを対応づけたコード表を記憶、管理する。これによって、診療情報に付随する匿名患者IDを参照することによって、同じ患者の診療情報であるかどうかを判別することが可能になる。
特開2002−312361号公報
この問題を解決する方法として、患者のプライバシは保護しつつも、同一患者の診療情報が判別可能な方法が開示されている(例えば、特許文献1参照)。この方法によると、患者情報は匿名患者IDに置き換えてデータベースに登録され、患者情報と匿名患者IDを対応づけたコード表を記憶、管理する。これによって、診療情報に付随する匿名患者IDを参照することによって、同じ患者の診療情報であるかどうかを判別することが可能になる。
しかしながら、前記従来技術においては、患者情報と匿名患者IDを対応づけたコード表を公開データベースへ登録する機関において保持する必要がある。従って、上記コード表がそれを保持する機関から万一盗まれた場合には、匿名患者IDからもとの患者情報が暴露されてしまい、データベース上の診療情報の匿名性は完全に損なわれてしまうという課題を有している。
本発明は、前記の課題を解決するために、氏名、住所、生年月日など個人を特定することのできる個人特定情報とその個人特定情報によって特定される個人に関する医療情報や、各種の履歴情報や、個人のアンケート回答結果などの個人関連情報を検索用にデータベース化して、情報として提供する情報提供システムにおいて、データベースにおける各データの匿名性を保持しつつ、秘密情報のハックなどによる匿名性の消失に対する安全性を向上させることができる匿名情報システム、情報提供装置、情報蓄積装置、方法及びプログラムを提供することを目的とする。
上記課題を解決するために、本発明は、変換分割装置、情報提供装置及び情報蓄積装置がネットワークを介して接続され、個人を特定する原個人特定情報に匿名化変換処理を施して匿名化個人特定情報を生成する匿名情報システムであって、前記匿名化変換処理を分割して、その一部分である第1変換処理と、残りの部分である第2変換処理とを生成する前記変換分割装置と、前記原個人特定情報に、前記第1変換処理を施して、半匿名化個人特定情報を生成する前記情報提供装置と、生成された半匿名化個人特定情報に、前記第2変換処理を施して、前記匿名化個人特定情報を生成して蓄積する前記情報蓄積装置とから構成されることを特徴とする。
この構成によると、匿名化変換処理を分割して、第1変換処理と第2変換処理とを生成し、情報提供装置により第1変換処理を用い、情報蓄積装置により第2変換処理を用いるので、どちらかの変換処理が暴露された場合であっても、匿名化個人特定情報の匿名性が失われることはないという優れた効果を奏する。
ここで、前記匿名化変換処理は、基本パラメタに基づいて、前記原個人特定情報から当該個人を特定できない前記匿名化個人特定情報を生成し、前記変換分割装置は、ランダムに第1パラメタを生成する第1パラメタ生成手段と、前記基本パラメタに関して、前記第1パラメタと補完関係にある第2パラメタを生成する第2パラメタ生成手段と、前記第1パラメタを前記情報提供装置へ送信し、前記第2パラメタを前記情報蓄積装置へ送信する第1送信手段とを含み、前記情報提供装置は、前記第1パラメタを受信する第1受信手段と、前記原個人特定情報を取得する取得手段と、前記第1変換処理として、受信した前記第1パラメタと取得した前記原個人特定情報とを用いた繰返演算を行って、前記半匿名化個人特定情報を生成する第1変換手段と、生成された前記半匿名化個人特定情報を前記情報蓄積装置へ送信する第2送信手段とを含み、前記情報蓄積装置は、前記匿名化個人特定情報を記憶するための領域を有する記憶手段と、前記第2パラメタ及び前記半匿名化個人特定情報を受信する第2受信手段と、前記第2変換処理として、受信した前記第2パラメタと受信した前記半匿名化特定情報とを用いた繰返演算を行って、前記匿名化個人特定情報を生成し、生成した前記匿名化個人特定情報を前記記憶手段に書き込む第2変換手段とを含むとしてもよい。
ここで、前記匿名化変換処理は、基本パラメタに基づいて、前記原個人特定情報から当該個人を特定できない前記匿名化個人特定情報を生成し、前記変換分割装置は、ランダムに第1パラメタを生成する第1パラメタ生成手段と、前記基本パラメタに関して、前記第1パラメタと補完関係にある第2パラメタを生成する第2パラメタ生成手段と、前記第1パラメタを前記情報提供装置へ送信し、前記第2パラメタを前記情報蓄積装置へ送信する第1送信手段とを含み、前記情報提供装置は、前記第1パラメタを受信する第1受信手段と、前記原個人特定情報を取得する取得手段と、前記第1変換処理として、受信した前記第1パラメタと取得した前記原個人特定情報とを用いた繰返演算を行って、前記半匿名化個人特定情報を生成する第1変換手段と、生成された前記半匿名化個人特定情報を前記情報蓄積装置へ送信する第2送信手段とを含み、前記情報蓄積装置は、前記匿名化個人特定情報を記憶するための領域を有する記憶手段と、前記第2パラメタ及び前記半匿名化個人特定情報を受信する第2受信手段と、前記第2変換処理として、受信した前記第2パラメタと受信した前記半匿名化特定情報とを用いた繰返演算を行って、前記匿名化個人特定情報を生成し、生成した前記匿名化個人特定情報を前記記憶手段に書き込む第2変換手段とを含むとしてもよい。
この構成によると、匿名化変換処理は、基本パラメタに基づいて、前記原個人特定情報から当該個人を特定できない前記匿名化個人特定情報を生成し、前記基本パラメタに関して、第1パラメタと補完関係にある第2パラメタを生成し、第1変換処理として、受信した前記第1パラメタと取得した前記原個人特定情報とを用いた繰返演算を行って、前記半匿名化個人特定情報を生成し、第2変換処理として、受信した前記第2パラメタと受信した前記半匿名化特定情報とを用いた繰返演算を行って、前記匿名化個人特定情報を生成するので、これらの2個の変換を通して、前記匿名化変換処理を施して得られる匿名化個人特定情報と同一の匿名化個人特定情報が得られる。
ここで、前記情報提供装置は、さらに、前記個人に関連する個人関連情報を提供し、前記情報蓄積装置は、さらに、前記匿名化個人特定情報と前記個人関連情報とを対応付けて蓄積するとしてもよい。
この構成によると、匿名化個人特定情報を蓄積する情報蓄積装置は、匿名化個人特定情報と個人関連情報とを対応付けて蓄積するので、同一の個人の個人関連情報を判別することができる。
この構成によると、匿名化個人特定情報を蓄積する情報蓄積装置は、匿名化個人特定情報と個人関連情報とを対応付けて蓄積するので、同一の個人の個人関連情報を判別することができる。
ここで、前記匿名情報システムは、さらに、前記情報蓄積装置から、操作者の所望する前記匿名化個人特定情報と前記個人関連情報とを取得する情報検索装置を含むとしてもよい。
この構成によると、所望の情報を検索することができる。
ここで、前記変換分割装置は、さらに、前記匿名化変換処理を分割して、その一部分であり前記第1変換処理とは異なる第3変換処理と、残りの部分であり前記第2変換処理とは異なる第4変換処理とを生成し、前記匿名情報システムは、さらに、前記原個人特定情報に、前記第3変換処理を施して、他の半匿名化個人特定情報を生成する第2情報提供装置を含み、前記情報蓄積装置は、さらに、生成された他の半匿名化個人特定情報に、前記第4変換処理を施して、前記匿名化個人特定情報を生成するとしてもよい。
この構成によると、所望の情報を検索することができる。
ここで、前記変換分割装置は、さらに、前記匿名化変換処理を分割して、その一部分であり前記第1変換処理とは異なる第3変換処理と、残りの部分であり前記第2変換処理とは異なる第4変換処理とを生成し、前記匿名情報システムは、さらに、前記原個人特定情報に、前記第3変換処理を施して、他の半匿名化個人特定情報を生成する第2情報提供装置を含み、前記情報蓄積装置は、さらに、生成された他の半匿名化個人特定情報に、前記第4変換処理を施して、前記匿名化個人特定情報を生成するとしてもよい。
この構成によると、匿名化変換処理を分割して、第1変換処理と第2変換処理とを生成し、前記匿名化変換処理を分割して、第3変換処理と第4変換処理とを生成するので、原個人特定情報から第1変換処理及び第2変換処理により生成される匿名化個人特定情報と、前記原個人特定情報から第3変換処理及び第4変換処理により生成される匿名化個人特定情報とは、同一のものとなる。
ここで、前記変換分割装置は、さらに、前記匿名化変換処理とは異なる他の匿名化変換処理を分割して、その一部分であり前記第1変換処理とは異なる第3変換処理と、残りの部分であり前記第2変換処理とは異なる第4変換処理とを生成し、前記情報提供装置は、前記第1変換処理に代えて、前記原個人特定情報に、前記第3変換処理を施して、他の半匿名化個人特定情報を生成し、前記情報蓄積装置は、前記第2変換処理に代えて、生成された他の半匿名化個人特定情報に、前記第4変換処理を施して、他の匿名化個人特定情報を生成するとしてもよい。
この構成によると、第1変換処理又は第2変換処理が暴露された場合には、それぞれ、別の変換処理に更新して用いることができる。
ここで、前記変換分割装置は、さらに、前記匿名化変換処理とは異なる他の匿名化変換処理を分割して、その一部分であり前記第1変換処理とは異なる第3変換処理と、残りの部分であり前記第2変換処理とは異なる第4変換処理とを生成し、前記情報提供装置は、前記第1変換処理に代えて、前記原個人特定情報に、前記匿名化変換処理を施して、前記匿名化個人特定情報を生成し、生成した前記匿名化個人特定情報に、前記第3変換処理を施して、他の半匿名化個人特定情報を生成し、前記情報蓄積装置は、前記第2変換処理に代えて、生成された他の半匿名化個人特定情報に、前記第4変換処理を施して、他の匿名化個人特定情報を生成するとしてもよい。
ここで、前記変換分割装置は、さらに、前記匿名化変換処理とは異なる他の匿名化変換処理を分割して、その一部分であり前記第1変換処理とは異なる第3変換処理と、残りの部分であり前記第2変換処理とは異なる第4変換処理とを生成し、前記情報提供装置は、前記第1変換処理に代えて、前記原個人特定情報に、前記匿名化変換処理を施して、前記匿名化個人特定情報を生成し、生成した前記匿名化個人特定情報に、前記第3変換処理を施して、他の半匿名化個人特定情報を生成し、前記情報蓄積装置は、前記第2変換処理に代えて、生成された他の半匿名化個人特定情報に、前記第4変換処理を施して、他の匿名化個人特定情報を生成するとしてもよい。
この構成によると、第1変換処理及び第2変換処理が暴露された場合には、それぞれ、別の変換処理に更新して用いることができる。
1.第1の実施の形態
本発明に係る1個の実施の形態としての匿名情報システム1について説明する。
1.1 匿名情報システム1の構成
匿名情報システム1は、図1に示すように、パラメタ生成装置10、情報提供装置21、22、23、・・・、匿名サーバ装置30及び情報検索装置41、42、・・・から構成されており、パラメタ生成装置10、情報提供装置21、22、23、・・・、匿名サーバ装置30及び情報検索装置41、42は、ネットワーク2を介して相互に接続されている。
本発明に係る1個の実施の形態としての匿名情報システム1について説明する。
1.1 匿名情報システム1の構成
匿名情報システム1は、図1に示すように、パラメタ生成装置10、情報提供装置21、22、23、・・・、匿名サーバ装置30及び情報検索装置41、42、・・・から構成されており、パラメタ生成装置10、情報提供装置21、22、23、・・・、匿名サーバ装置30及び情報検索装置41、42は、ネットワーク2を介して相互に接続されている。
パラメタ生成装置10は、システムセットアップ時に、後述する半匿名化処理及び匿名化処理において用いられるパラメタを生成し、生成したパラメタをネットワーク2を介して、情報提供装置21、22、23、・・・及び匿名サーバ装置30へ送信する。
情報提供装置21、22、23、・・・は、それぞれ、匿名にすべき個人特定情報と公開してもよい個人関連情報の入力を受け付け、受け付けた個人特定情報に対して、後で述べる方法によって、半匿名化処理を施して、半匿名化個人識別子を生成し、半匿名化個人識別子と個人関連情報とを対応付けて匿名サーバ装置30へ送信する。
情報提供装置21、22、23、・・・は、それぞれ、匿名にすべき個人特定情報と公開してもよい個人関連情報の入力を受け付け、受け付けた個人特定情報に対して、後で述べる方法によって、半匿名化処理を施して、半匿名化個人識別子を生成し、半匿名化個人識別子と個人関連情報とを対応付けて匿名サーバ装置30へ送信する。
匿名サーバ装置30は、情報提供装置21、22、23、・・・からそれぞれ、半匿名化個人識別子及び個人関連情報を受信し、受信した半匿名化個人識別子に対して、後で述べる方法によって、匿名化処理を施して匿名化個人識別子を生成し、匿名サーバ装置30内部に、匿名化個人識別子と個人関連情報とを対応付けて構成されるデータベースとして蓄積する。
情報検索装置41、42、・・・は、それぞれ、外部から入力される検索依頼情報を匿名サーバ装置30に送信して、検索依頼を行う。匿名サーバ装置30は、情報検索装置41、42、・・・から送信された検索依頼情報に基づいて内部に蓄積しているデータベースを検索して、必要な個人関連情報を抽出して情報検索装置41、42、・・・へ送信する。
匿名情報システム1は、一例として、複数の医療関連の機関、例えば、複数の病院、医療に関する研究機関及び医療に関する統計機関などが共同して運営する医療情報提供システムにおいて適用される。情報提供装置21、22、23、・・・は、それぞれ異なる病院に設置されており、情報検索装置41、42、・・・は、それぞれ、異なる研究機関及び統計機関などに設置されている。
ここで、匿名にすべき個人特定情報は、一例として、病院において診療の対象となる患者を特定する情報、例えば、患者の氏名、生年月日、自宅住所、自宅電話番号であり、個人を特定することが可能な情報である。また、個人関連情報は、一例として、当該患者が、病院において、診療を受けた診療日、医師により特定された診断病名、患者が服用する薬に関する投薬情報、患者が受診した検査結果、医師による所見などの情報である。また別の一例は、個人の試験の成績、個人の所得や納税額、アンケートに対する回答内容などである。
一人の患者が、複数の病院において、それぞれ、別の病気により受診した場合を想定する。この場合において、生成される個人特定情報の内容は、同一であるが、個人関連情報は、それぞれの病院により異なる。
1の病院に設置されている情報提供装置21は、ある患者に関する第1の個人特定情報及び第1の個人関連情報の入力を受け付け、上述したように、第1の個人特定情報から第1の半匿名化個人識別子を生成し、生成した第1の半匿名化個人識別子及び前記第1の個人関連情報を匿名サーバ装置30へ送信する。
1の病院に設置されている情報提供装置21は、ある患者に関する第1の個人特定情報及び第1の個人関連情報の入力を受け付け、上述したように、第1の個人特定情報から第1の半匿名化個人識別子を生成し、生成した第1の半匿名化個人識別子及び前記第1の個人関連情報を匿名サーバ装置30へ送信する。
匿名サーバ装置30は、上述したように、受信した第1の半匿名化個人識別子から第1の匿名化個人識別子を生成し、生成した第1の匿名化個人識別子及び前記第1の個人関連情報を対応付けてデータベース内に蓄積する。
また、別の病院に設置されている情報提供装置22は、前記患者に関する上記の第1の個人特定情報と同じ内容の第2の個人特定情報及び第2の個人関連情報の入力を受け付け、上述したように、第2の個人特定情報から第2の半匿名化個人識別子を生成し、生成した第2の半匿名化個人識別子及び前記第2の個人関連情報を匿名サーバ装置30へ送信する。
また、別の病院に設置されている情報提供装置22は、前記患者に関する上記の第1の個人特定情報と同じ内容の第2の個人特定情報及び第2の個人関連情報の入力を受け付け、上述したように、第2の個人特定情報から第2の半匿名化個人識別子を生成し、生成した第2の半匿名化個人識別子及び前記第2の個人関連情報を匿名サーバ装置30へ送信する。
匿名サーバ装置30は、上述したように、受信した第2の半匿名化個人識別子から第2の匿名化個人識別子を生成し、生成した第2の匿名化個人識別子及び前記第2の個人関連情報を対応付けてデータベース内に蓄積する。
ここで、第1の個人特定情報の内容と第2の個人特定情報の内容とは、同一であり、第1の半匿名化個人識別子の内容と第2の半匿名化個人識別子の内容とは、異なるものであり、第1の匿名化個人識別子の内容と第2の匿名化個人識別子の内容とは、同一である。
ここで、第1の個人特定情報の内容と第2の個人特定情報の内容とは、同一であり、第1の半匿名化個人識別子の内容と第2の半匿名化個人識別子の内容とは、異なるものであり、第1の匿名化個人識別子の内容と第2の匿名化個人識別子の内容とは、同一である。
統計機関に設置されている情報検索装置41は、検索のためのある条件を含む検索依頼情報を匿名サーバ装置30へ送信する。
匿名サーバ装置30は、検索依頼情報を受け取ると、第1及び第2の匿名化個人識別子の内容が同じであるので、第1及び第2の匿名化個人識別子にそれぞれ対応づけられた第1及び第2の個人関連情報を同一の患者の情報であるとみなし、第1及び第2の個人関連情報を対応付け、対応付けられた第1及び第2の個人関連情報を情報検索装置41へ送信する。
匿名サーバ装置30は、検索依頼情報を受け取ると、第1及び第2の匿名化個人識別子の内容が同じであるので、第1及び第2の匿名化個人識別子にそれぞれ対応づけられた第1及び第2の個人関連情報を同一の患者の情報であるとみなし、第1及び第2の個人関連情報を対応付け、対応付けられた第1及び第2の個人関連情報を情報検索装置41へ送信する。
情報検索装置41は、一人の患者の情報として対応付けられた第1及び第2の個人関連情報を受信し、受信した第1及び第2の個人関連情報を用いて、統計処理を行う。
1.2 パラメタ生成装置10
パラメタ生成装置10は、図2に示すように、入力部101、表示部102、パラメタ生成部103、制御部104、情報記憶部105及び送受信部106から構成されている。
1.2 パラメタ生成装置10
パラメタ生成装置10は、図2に示すように、入力部101、表示部102、パラメタ生成部103、制御部104、情報記憶部105及び送受信部106から構成されている。
パラメタ生成装置10は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレィユニット、キーボードなどから構成されるコンピュータシステムである。前記RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、パラメタ生成装置10は、その一部の機能を達成する。
パラメタ生成装置10は、システム設定機関により所有されている。
(1)情報記憶部105
情報記憶部105は、図2に示すように、パラメタP141、パラメタG142、パラメタq143及び生成用固有パラメタリスト131を記憶するための領域を備えている。
(パラメタP141)
パラメタP141は、大きい素数であり、一例として、1024ビット長の素数である。パラメタP141の一例を次に示す。
「FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD1
29024E08 8A67CC74 020BBEA6 3B139B22 514A0879 8E3404DD
EF9519B3 CD3A431B 302B0A6D F25F1437 4FE1356D 6D51C245
E485B576 625E7EC6 F44C42E9 A637ED6B 0BFF5CB6 F406B7ED
EE386BFB 5A899FA5 AE9F2411 7C4B1FE6 49286651 ECE65381
FFFFFFFF FFFFFFFF」
なお、これは、16進数による表示である。
(1)情報記憶部105
情報記憶部105は、図2に示すように、パラメタP141、パラメタG142、パラメタq143及び生成用固有パラメタリスト131を記憶するための領域を備えている。
(パラメタP141)
パラメタP141は、大きい素数であり、一例として、1024ビット長の素数である。パラメタP141の一例を次に示す。
「FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD1
29024E08 8A67CC74 020BBEA6 3B139B22 514A0879 8E3404DD
EF9519B3 CD3A431B 302B0A6D F25F1437 4FE1356D 6D51C245
E485B576 625E7EC6 F44C42E9 A637ED6B 0BFF5CB6 F406B7ED
EE386BFB 5A899FA5 AE9F2411 7C4B1FE6 49286651 ECE65381
FFFFFFFF FFFFFFFF」
なお、これは、16進数による表示である。
パラメタP141は、匿名情報システム1に共通のパラメタであり、情報提供装置21、22、23、・・・、匿名サーバ装置30へ送信される。
(パラメタG142)
パラメタG142は、ガロワ体GF(P)上の元であり、その位数qが大きいものであり、位数qがP−1を割り切る素数であるように、パラメタG142が選択される。パラメタG142は、一例として、2ビット長の整数であり、「2」(16進数による表示)である。
(パラメタG142)
パラメタG142は、ガロワ体GF(P)上の元であり、その位数qが大きいものであり、位数qがP−1を割り切る素数であるように、パラメタG142が選択される。パラメタG142は、一例として、2ビット長の整数であり、「2」(16進数による表示)である。
なお、パラメタP及びパラメタGの値は、GF(P)上の元βが与えられたときに、
β=G^α mod Pを満たすαを求めること(これを離散対数問題と呼ぶ。)が困難となるような値であればよい。
なお本明細書において、記号「^」は、べき乗を示す演算子である。例えば、「a^b」は、ab である。
β=G^α mod Pを満たすαを求めること(これを離散対数問題と呼ぶ。)が困難となるような値であればよい。
なお本明細書において、記号「^」は、べき乗を示す演算子である。例えば、「a^b」は、ab である。
パラメタG142は、半匿名化処理及び匿名化処理をシリアルに施す変換処理における基本パラメタである。
(パラメタq143)
パラメタq143は、パラメタG142の位数である。一例として、1024ビット長の整数であり、一例として、「P−1」である。
(パラメタq143)
パラメタq143は、パラメタG142の位数である。一例として、1024ビット長の整数であり、一例として、「P−1」である。
(生成用固有パラメタリスト131)
生成用固有パラメタリスト131は、図2に示すように、クライアント識別子、基本固有パラメタ、第1固有パラメタ及び第2固有パラメタからなる生成用パラメタ情報を複数個記憶するための領域を備えている。
複数の生成用パラメタ情報のそれぞれは、情報提供装置21、22、23、・・・のそれぞれに対応している。
生成用固有パラメタリスト131は、図2に示すように、クライアント識別子、基本固有パラメタ、第1固有パラメタ及び第2固有パラメタからなる生成用パラメタ情報を複数個記憶するための領域を備えている。
複数の生成用パラメタ情報のそれぞれは、情報提供装置21、22、23、・・・のそれぞれに対応している。
クライアント識別子は、対応する情報提供装置を一意に識別するための識別情報である。クライアント識別子は、固定長を有し、例えば、32ビット長である。クライアント識別子は、匿名情報システム1内で重複しなければどのような値でもよい。
基本固有パラメタは、乱数として生成され、第1固有パラメタ及び第2固有パラメタを生成するために用いられる。第1固有パラメタは、対応する情報提供装置において用いられ、第2固有パラメタは、匿名サーバ装置30において用いられる。なお、基本固有パラメタ、第1固有パラメタ及び第2固有パラメタについては、後述する。
基本固有パラメタは、乱数として生成され、第1固有パラメタ及び第2固有パラメタを生成するために用いられる。第1固有パラメタは、対応する情報提供装置において用いられ、第2固有パラメタは、匿名サーバ装置30において用いられる。なお、基本固有パラメタ、第1固有パラメタ及び第2固有パラメタについては、後述する。
(2)入力部101
入力部101は、パラメタ生成装置10の操作者から、パラメタP、パラメタG及びパラメタqの入力を受け付け、受け付けたパラメタP、パラメタG及びパラメタqを、制御部104へ出力する。
また、入力部101は、パラメタ生成装置10の操作者から、いずれかの情報提供装置を示す装置指定を受け付け、指定を受け付けた情報提供装置に対応して固有のパラメタを生成する生成指示を受け付け、受け付けた装置指定及び生成指示を制御部104へ出力する。
入力部101は、パラメタ生成装置10の操作者から、パラメタP、パラメタG及びパラメタqの入力を受け付け、受け付けたパラメタP、パラメタG及びパラメタqを、制御部104へ出力する。
また、入力部101は、パラメタ生成装置10の操作者から、いずれかの情報提供装置を示す装置指定を受け付け、指定を受け付けた情報提供装置に対応して固有のパラメタを生成する生成指示を受け付け、受け付けた装置指定及び生成指示を制御部104へ出力する。
(3)制御部104
制御部104は、入力部101からパラメタP、パラメタG及びパラメタqを、受け取り、受け取ったパラメタP、パラメタG及びパラメタqを、パラメタP141、パラメタG142及びパラメタq142として、情報記憶部105へ書き込む。
また、制御部104は、入力部101から装置指定及び生成指示を受け取る。装置指定及び生成指示を受け取ると、装置指定に係る情報提供装置に固有のパラメタの生成を指示するパラメタ生成指示を、パラメタ生成部103に対して、出力する。
制御部104は、入力部101からパラメタP、パラメタG及びパラメタqを、受け取り、受け取ったパラメタP、パラメタG及びパラメタqを、パラメタP141、パラメタG142及びパラメタq142として、情報記憶部105へ書き込む。
また、制御部104は、入力部101から装置指定及び生成指示を受け取る。装置指定及び生成指示を受け取ると、装置指定に係る情報提供装置に固有のパラメタの生成を指示するパラメタ生成指示を、パラメタ生成部103に対して、出力する。
次に、制御部104は、パラメタ生成部103から、クライアント識別子i、第1固有パラメタKAi 及び第2固有パラメタKBi を受け取る。クライアント識別子i、第1固有パラメタKAi 及び第2固有パラメタKBi を受け取ると、受け取ったクライアント識別子i、第1固有パラメタKAi 、第2固有パラメタKBi 及び前記装置指定を送受信部106に対して出力し、パラメタP、クライアント識別子i及び第1固有パラメタKAi を前記装置指定に係る情報提供装置へ送信することを示す第1送信指示と、クライアント識別子i及び第2固有パラメタKBi を、匿名サーバ装置30へ送信することを示す第2送信指示とを送受信部106に対して出力する。
(4)パラメタ生成部103
パラメタ生成部103は、制御部104からパラメタ生成指示を受け取る。
パラメタ生成指示を受け取ると、パラメタ生成部103は、1個の情報提供装置について、当該情報提供装置を一意に識別するクライアント識別子iを生成し、情報記憶部105からパラメタP141、パラメタG142及びパラメタq143を読み出す。
パラメタ生成部103は、制御部104からパラメタ生成指示を受け取る。
パラメタ生成指示を受け取ると、パラメタ生成部103は、1個の情報提供装置について、当該情報提供装置を一意に識別するクライアント識別子iを生成し、情報記憶部105からパラメタP141、パラメタG142及びパラメタq143を読み出す。
次に、パラメタ生成部103は、「1」より大きくqより小さい乱数を生成する。つまり、2≦乱数≦q−1を満たすような乱数を生成する。次に、生成した乱数が、基本固有パラメタとして、情報記憶部105の生成用固有パラメタリスト131内に存在するか否かを判断する。存在する場合には、再度、乱数を生成する。存在しない場合には、生成した乱数を基本固有パラメタXi とし、次に、
Xi ×Xinv =1 mod q (式1)
を満たすXinv を算出する。
Xi ×Xinv =1 mod q (式1)
を満たすXinv を算出する。
次に、パラメタ生成部103は、第1固有パラメタKAi を
KAi =G^Xinv mod q (式2)
により算出する。
次に、パラメタ生成部103は、第2固有パラメタKBi を
KBi =Xi (式3)
により算出する。
KAi =G^Xinv mod q (式2)
により算出する。
次に、パラメタ生成部103は、第2固有パラメタKBi を
KBi =Xi (式3)
により算出する。
次に、パラメタ生成部103は、生成したクライアント識別子i、基本固有パラメタXi 、第1固有パラメタKAi 及び第2固有パラメタKBi から構成される生成用パラメタ情報を、生成用固有パラメタリスト131へ書き込む。
生成用パラメタ情報の書込みが完了すると、パラメタ生成部103は、制御部104へ、生成したクライアント識別子i、第1固有パラメタKAi 及び第2固有パラメタKBi を出力する。
生成用パラメタ情報の書込みが完了すると、パラメタ生成部103は、制御部104へ、生成したクライアント識別子i、第1固有パラメタKAi 及び第2固有パラメタKBi を出力する。
なお、上記の第1、第2固有パラメタ生成は、情報提供装置毎に個別に行われる。即ち、第1、第2固有パラメータは、情報提供装置毎に異なる値になり、匿名サーバ装置30内の固有パラメタリスト記憶部312には、情報提供装置を識別するクライアント識別子と第2固有パラメータとがリストとして記憶されている。
なお、
KAi ^KBi mod q = (G^Xinv )^Xi mod q
= G mod q
であるので、第1固有パラメタと第2固有パラメタは、基本パラメタであるパラメタGに関して、補完的な関係にある。
なお、
KAi ^KBi mod q = (G^Xinv )^Xi mod q
= G mod q
であるので、第1固有パラメタと第2固有パラメタは、基本パラメタであるパラメタGに関して、補完的な関係にある。
(5)送受信部106
送受信部106は、制御部104から、クライアント識別子i、第1固有パラメタKAi 、第2固有パラメタKBi 及び前記装置指定を受け取り、さらに、前記第1送信指示及び前記第2送信指示を受け取る。
前記第1送信指示及び前記第2送信指示を受け取ると、送受信部106は、情報記憶部105からパラメタP141を読み出し、読み出したパラメタP、受け取ったクライアント識別子i及び第1固有パラメタKAi を、ネットワーク2を介して、前記装置指定により示される情報提供装置へ送信する。次に、読み出したパラメタP、受け取ったクライアント識別子i及び第2固有パラメタKBi を、ネットワーク2を介して、匿名サーバ装置30へ送信する。
送受信部106は、制御部104から、クライアント識別子i、第1固有パラメタKAi 、第2固有パラメタKBi 及び前記装置指定を受け取り、さらに、前記第1送信指示及び前記第2送信指示を受け取る。
前記第1送信指示及び前記第2送信指示を受け取ると、送受信部106は、情報記憶部105からパラメタP141を読み出し、読み出したパラメタP、受け取ったクライアント識別子i及び第1固有パラメタKAi を、ネットワーク2を介して、前記装置指定により示される情報提供装置へ送信する。次に、読み出したパラメタP、受け取ったクライアント識別子i及び第2固有パラメタKBi を、ネットワーク2を介して、匿名サーバ装置30へ送信する。
(6)表示部102
表示部102は、制御部104の指示により、様々な情報を表示する。
1.3 情報提供装置21、22、23・・・の構成
情報提供装置21、22、23・・・は、それぞれ、同様の構成を有している。ここでは、情報提供装置21の構成について説明し、その他の情報提供装置22、23・・・については、説明を省略する。
表示部102は、制御部104の指示により、様々な情報を表示する。
1.3 情報提供装置21、22、23・・・の構成
情報提供装置21、22、23・・・は、それぞれ、同様の構成を有している。ここでは、情報提供装置21の構成について説明し、その他の情報提供装置22、23・・・については、説明を省略する。
情報提供装置21は、図3に示すように、入力部201、コード化部202、システムパラメタ記憶部203、固有パラメタ記憶部204、第1変換部205、識別子記憶部206、結合部207、送受信部208及び更新部209から構成されている。
情報提供装置21は、具体的には、パラメタ生成装置10と同様に、マイクロプロセッサ、ROM、RAM、ハードディスクユニットなどから構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、情報提供装置21は、その一部の機能を達成する。
情報提供装置21は、具体的には、パラメタ生成装置10と同様に、マイクロプロセッサ、ROM、RAM、ハードディスクユニットなどから構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、情報提供装置21は、その一部の機能を達成する。
(1)システムパラメタ記憶部203、固有パラメタ記憶部204及び識別子記憶部206
システムパラメタ記憶部203は、パラメタP231を記憶するための領域を備えている。ここで、パラメタP231は、上述したように、匿名情報システム1に共通のパラメタである。
システムパラメタ記憶部203は、パラメタP231を記憶するための領域を備えている。ここで、パラメタP231は、上述したように、匿名情報システム1に共通のパラメタである。
また、固有パラメタ記憶部204は、第1固有パラメタKAi 241を記憶するための領域を備えている。ここで、第1固有パラメタKAi 241は、上述したように、情報提供装置21に対応して生成されたものである。
さらに、識別子記憶部206は、クライアント識別子i206を記憶するための領域を備えている。ここで、クライアント識別子i206は、上述したように、情報提供装置21を一意に識別するための識別情報である。
さらに、識別子記憶部206は、クライアント識別子i206を記憶するための領域を備えている。ここで、クライアント識別子i206は、上述したように、情報提供装置21を一意に識別するための識別情報である。
(2)送受信部208
送受信部208は、パラメタ生成装置10から、ネットワーク2を介して、パラメタP、第1固有パラメタKAi 及びクライアント識別子iを受信する。パラメタP、第1固有パラメタKAi 及びクライアント識別子iを受信すると、送受信部208は、受信したパラメタPを、パラメタP231として、システムパラメタ記憶部203に書き込み、受信した第1固有パラメタKAi を、第1固有パラメタKAi 241として、固有パラメタ記憶部204に書き込み、受信したクライアント識別子iを、クライアント識別子i251として、識別子記憶部206に書き込む。
送受信部208は、パラメタ生成装置10から、ネットワーク2を介して、パラメタP、第1固有パラメタKAi 及びクライアント識別子iを受信する。パラメタP、第1固有パラメタKAi 及びクライアント識別子iを受信すると、送受信部208は、受信したパラメタPを、パラメタP231として、システムパラメタ記憶部203に書き込み、受信した第1固有パラメタKAi を、第1固有パラメタKAi 241として、固有パラメタ記憶部204に書き込み、受信したクライアント識別子iを、クライアント識別子i251として、識別子記憶部206に書き込む。
また、送受信部208は、結合部207から半匿名化情報H(後述する)を受け取り、受け取った半匿名化情報Hを、ネットワーク2を介して、匿名サーバ装置30へ送信する。
(3)入力部201
入力部201は、情報提供装置21の操作者から、個人特定情報S及び個人関連情報Rの入力を受け付ける。ここで、個人特定情報Sは、固定長である。次に、受け付けた個人特定情報Sをコード化部202へ出力し、受け付けた個人関連情報Rを結合部207へ出力する。
(3)入力部201
入力部201は、情報提供装置21の操作者から、個人特定情報S及び個人関連情報Rの入力を受け付ける。ここで、個人特定情報Sは、固定長である。次に、受け付けた個人特定情報Sをコード化部202へ出力し、受け付けた個人関連情報Rを結合部207へ出力する。
個人特定情報S及び個人関連情報Rの一例を図4に示す。
図4に示す個人特定情報S261は、ある病院を受診した患者の氏名262、生年月日263、自宅住所264及び自宅電話番号265から構成されている。
氏名262は、漢字を含む日本語により表現され、10文字分の長さを有し、2バイト系により表現される。つまり、各文字は、2バイト長(1バイト=8ビット)で表現される。従って、氏名262は、20バイト長(160ビット長)である。
図4に示す個人特定情報S261は、ある病院を受診した患者の氏名262、生年月日263、自宅住所264及び自宅電話番号265から構成されている。
氏名262は、漢字を含む日本語により表現され、10文字分の長さを有し、2バイト系により表現される。つまり、各文字は、2バイト長(1バイト=8ビット)で表現される。従って、氏名262は、20バイト長(160ビット長)である。
生年月日263は、年、月、日から構成され、年は、4桁の数字で表現され(例えば、2000年)、月は、2桁の数字で表現され(例えば、10月)、日は、2桁の数字で表現される(例えば、15日)。したがって、生年月日263は、8桁の数字で表現される(例えば、2000年10月15日)。生年月日263は、BCD(Binary Coded Decimal)により表現され、各桁は、4ビット長であるので、生年月日263は、合計で32ビット長である。
自宅住所264は、日本語により表現され、20文字分の長さを有し、2バイト系により表現される。従って、自宅住所264は、40バイト長(320ビット長)である。
自宅電話番号265は、10桁の数字からなり、BCDにより表現される。各桁は、4ビット長であるので、自宅電話番号265は、合計で40ビット長である。
以上により、個人特定情報S261は、552ビット長(固定長)である。
自宅電話番号265は、10桁の数字からなり、BCDにより表現される。各桁は、4ビット長であるので、自宅電話番号265は、合計で40ビット長である。
以上により、個人特定情報S261は、552ビット長(固定長)である。
また、図4に示す個人関連情報R271は、当該患者の診療についての診療日272、診断病名273、投薬情報274、検査結果275及び所見276から構成されている。診療日272は、生年月日263と同様に、32ビット長である。診断病名273、投薬情報274、検査結果275及び所見276は、それぞれ、可変長である。
(4)コード化部202
コード化部202は、1024ビット長のコード化個人情報Dを記憶する領域を備えている。コード化個人情報Dは、1024ビット長の整数として扱われる。
(4)コード化部202
コード化部202は、1024ビット長のコード化個人情報Dを記憶する領域を備えている。コード化個人情報Dは、1024ビット長の整数として扱われる。
コード化部202は、入力部201から個人特定情報Sを受け取る。個人特定情報Sを受け取ると、受け取った個人特定情報Sを、コード化個人情報Dの下位552ビットに格納し、残りの上位472ビットには、NULL値を格納する。
上述したように、個人特定情報Sは、異なる表現方法による異なる複数の項目、つまり、氏名、生年月日、自宅住所及び自宅電話番号から構成されるが、これらの表現方法、項目及び長さなどを無視し、これらの結合体を、2進数により表現された1個の整数として扱う。
上述したように、個人特定情報Sは、異なる表現方法による異なる複数の項目、つまり、氏名、生年月日、自宅住所及び自宅電話番号から構成されるが、これらの表現方法、項目及び長さなどを無視し、これらの結合体を、2進数により表現された1個の整数として扱う。
次に、コード化部202は、個人特定情報Sが格納されたコード化個人情報Dを第1変換部205へ出力する。
なお、上記においては、個人特定情報Sの全てを用いて、コード化個人情報Dを生成するとしているが、これには限定されない。
例えば、個人特定情報Sとして、氏名及び生年月日のみを用いるとしてもよいし、氏名、生年月日及び自宅電話番号のみを用いるとしてもよい。また、自宅住所に代えて、住所地を示す郵便番号を用いるとしてもよい。また、氏名、生年月日、自宅住所及び自宅電話番号に加えて、当該患者の氏名のふりがなを用いるとしてもよい。ふりがなとは、氏名が、漢字により表現される場合において、その発音方法を平仮名又は片仮名で表現するものである。平仮名及び片仮名は、漢字とともに、日本語において用いられる文字である。また、個人特定情報Sとして、さらに、個人を一意に識別する個人識別番号を含むとしてもよい。個人番号の一例は、社会保険、例えば、健康保険、労災保険、雇用保険、各種年金制度などにおいて、個人を識別する個人番号である。
なお、上記においては、個人特定情報Sの全てを用いて、コード化個人情報Dを生成するとしているが、これには限定されない。
例えば、個人特定情報Sとして、氏名及び生年月日のみを用いるとしてもよいし、氏名、生年月日及び自宅電話番号のみを用いるとしてもよい。また、自宅住所に代えて、住所地を示す郵便番号を用いるとしてもよい。また、氏名、生年月日、自宅住所及び自宅電話番号に加えて、当該患者の氏名のふりがなを用いるとしてもよい。ふりがなとは、氏名が、漢字により表現される場合において、その発音方法を平仮名又は片仮名で表現するものである。平仮名及び片仮名は、漢字とともに、日本語において用いられる文字である。また、個人特定情報Sとして、さらに、個人を一意に識別する個人識別番号を含むとしてもよい。個人番号の一例は、社会保険、例えば、健康保険、労災保険、雇用保険、各種年金制度などにおいて、個人を識別する個人番号である。
また、コード化個人情報Dのビット長が、個人特定情報Sのビット長より短い場合には、個人特定情報Sに、一方向性関数、例えば、SHA−1(Secure Hash Algorithm 1 )などのハッシュ関数を施して、コード化個人情報Dのビット長と同じ長さのハッシュ値を生成し、生成したハッシュ値をコード化個人情報Dとするとしてもよい。
(5)第1変換部205
第1変換部205は、コード化部202からコード化個人情報Dを受け取る。コード化個人情報Dを受け取ると、システムパラメタ記憶部203からパラメタP231を読み出し、固有パラメタ記憶部204から第1固有パラメタKAi 241を読み出し、受け取ったコード化個人情報D、読み出したパラメタP及び読み出した第1固有パラメタKAi を用いて、次式による半匿名化処理を施して、半匿名化個人識別子Cを生成する。
(5)第1変換部205
第1変換部205は、コード化部202からコード化個人情報Dを受け取る。コード化個人情報Dを受け取ると、システムパラメタ記憶部203からパラメタP231を読み出し、固有パラメタ記憶部204から第1固有パラメタKAi 241を読み出し、受け取ったコード化個人情報D、読み出したパラメタP及び読み出した第1固有パラメタKAi を用いて、次式による半匿名化処理を施して、半匿名化個人識別子Cを生成する。
C=(KAi )^D mod P (式4)
式4においては、KAi がD回乗じられる。つまり、式4は、乗算の繰返演算を示している。
ここで、半匿名化個人識別子Cは、1024ビット長(固定長)である。
次に、第1変換部205は、生成した半匿名化個人識別子Cを結合部207へ出力する。
式4においては、KAi がD回乗じられる。つまり、式4は、乗算の繰返演算を示している。
ここで、半匿名化個人識別子Cは、1024ビット長(固定長)である。
次に、第1変換部205は、生成した半匿名化個人識別子Cを結合部207へ出力する。
(6)結合部207
結合部207は、入力部201から個人関連情報Rを受け取り、第1変換部205から半匿名化個人識別子Cを受け取る。個人関連情報R及び半匿名化個人識別子Cを受け取ると、識別子記憶部206からクライアント識別子i251を読み出し、図5に示すように、読み出したクライアント識別子iと、受け取った半匿名化個人識別子Cと、受け取った個人関連情報Rとを、この順序で結合し、半匿名化情報Hを生成する。
結合部207は、入力部201から個人関連情報Rを受け取り、第1変換部205から半匿名化個人識別子Cを受け取る。個人関連情報R及び半匿名化個人識別子Cを受け取ると、識別子記憶部206からクライアント識別子i251を読み出し、図5に示すように、読み出したクライアント識別子iと、受け取った半匿名化個人識別子Cと、受け取った個人関連情報Rとを、この順序で結合し、半匿名化情報Hを生成する。
H=i||C||R (式5)
ここで、A||Bは、「A」と「B」とをこの順序で結合することを示している。
図5に示すように、一例としての半匿名化情報H281は、クライアント識別子i282と、半匿名化個人識別子C283と、個人関連情報R284とがこの順序で結合されて構成されている。
ここで、A||Bは、「A」と「B」とをこの順序で結合することを示している。
図5に示すように、一例としての半匿名化情報H281は、クライアント識別子i282と、半匿名化個人識別子C283と、個人関連情報R284とがこの順序で結合されて構成されている。
次に、結合部207は、生成した半匿名化情報Hを送受信部208へ出力する。
(7)更新部209
更新部209については、後述する。
1.4 匿名サーバ装置30
匿名サーバ装置30は、図6に示すように、データ分割部311、固有パラメタリスト記憶部312、システムパラメタ記憶部313、第2変換部314、結合部315、識別子付加部316、情報記憶部317、検索部318、送受信部319及び更新部320から構成されている。
(7)更新部209
更新部209については、後述する。
1.4 匿名サーバ装置30
匿名サーバ装置30は、図6に示すように、データ分割部311、固有パラメタリスト記憶部312、システムパラメタ記憶部313、第2変換部314、結合部315、識別子付加部316、情報記憶部317、検索部318、送受信部319及び更新部320から構成されている。
匿名サーバ装置30は、具体的には、パラメタ生成装置10と同様に、マイクロプロセッサ、ROM、RAM、ハードディスクユニットなどから構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、匿名サーバ装置30は、その一部の機能を達成する。
(1)固有パラメタリスト記憶部312及びシステムパラメタ記憶部313
(固有パラメタリスト記憶部312)
固有パラメタリスト記憶部312は、サーバ用固有パラメタリスト331を記憶している。
サーバ用固有パラメタリスト331は、一例として、図7に示すように、複数のサーバ用パラメタ情報を記憶するための領域を備えている。複数のサーバ用パラメタ情報のそれぞれは、情報提供装置21、22、23、・・・のそれぞれに対応している。
(固有パラメタリスト記憶部312)
固有パラメタリスト記憶部312は、サーバ用固有パラメタリスト331を記憶している。
サーバ用固有パラメタリスト331は、一例として、図7に示すように、複数のサーバ用パラメタ情報を記憶するための領域を備えている。複数のサーバ用パラメタ情報のそれぞれは、情報提供装置21、22、23、・・・のそれぞれに対応している。
各サーバ用パラメタ情報は、クライアント識別子と第2固有パラメタとを含む。
クライアント識別子は、当該クライアント識別子を含むサーバ用パラメタ情報に対応する情報提供装置を識別する識別情報である。第2固有パラメタは、当該第2固有パラメタを含むサーバ用パラメタ情報に対応する情報提供装置のために用いられる。なお、クライアント識別子及び第2固有パラメタについては、上述した通りである。
クライアント識別子は、当該クライアント識別子を含むサーバ用パラメタ情報に対応する情報提供装置を識別する識別情報である。第2固有パラメタは、当該第2固有パラメタを含むサーバ用パラメタ情報に対応する情報提供装置のために用いられる。なお、クライアント識別子及び第2固有パラメタについては、上述した通りである。
図7に示すサーバ用固有パラメタリスト331は、一例として、サーバ用パラメタ情報332、333、334、・・・を含んでいる。サーバ用パラメタ情報332は、クライアント識別子「1」及び第2固有パラメタ「KB1 」を含み、
サーバ用パラメタ情報333は、クライアント識別子「2」及び第2固有パラメタ「KB2 」を含み、サーバ用パラメタ情報334は、クライアント識別子「3」及び第2固有パラメタ「KB3 」を含む。
サーバ用パラメタ情報333は、クライアント識別子「2」及び第2固有パラメタ「KB2 」を含み、サーバ用パラメタ情報334は、クライアント識別子「3」及び第2固有パラメタ「KB3 」を含む。
なお、固有パラメタリスト記憶部312は、情報提供装置21、22、23、・・・のそれぞれに対応しているサーバ用パラメタ情報をリスト形式で記憶するとしているが、リスト以外の形式で管理してもよく、クライアント識別子に基づいて対象の第2固有パラメタが取得できればよい。
(システムパラメタ記憶部313)
システムパラメタ記憶部313は、パラメタP341を記憶するための領域を備えている。パラメタPについては、上述した通りである。
(システムパラメタ記憶部313)
システムパラメタ記憶部313は、パラメタP341を記憶するための領域を備えている。パラメタPについては、上述した通りである。
(2)情報記憶部317
情報記憶部317は、複数の匿名化情報を記憶するための領域を備えている。
各匿名化情報は、1組の個人特定情報及び個人関連情報に対応しており、匿名化情報識別子、匿名化個人識別子及び個人関連情報を含む。
匿名化情報識別子は、当該匿名化情報識別子を含む匿名化情報を一意に識別する識別情報である。
情報記憶部317は、複数の匿名化情報を記憶するための領域を備えている。
各匿名化情報は、1組の個人特定情報及び個人関連情報に対応しており、匿名化情報識別子、匿名化個人識別子及び個人関連情報を含む。
匿名化情報識別子は、当該匿名化情報識別子を含む匿名化情報を一意に識別する識別情報である。
匿名化個人識別子は、当該匿名化個人識別子を含む匿名化情報に対応する個人特定情報に、式4による半匿名化処理及び後述する式6による匿名化処理を施して生成されたものである。
また、個人関連情報については、上述した通りである。
情報記憶部317は、一例として、図8に示すように、匿名化情報351、361、371・・・を記憶している。
また、個人関連情報については、上述した通りである。
情報記憶部317は、一例として、図8に示すように、匿名化情報351、361、371・・・を記憶している。
匿名化情報351は、匿名化情報識別子352「000001」、匿名化個人識別子353「0123456・・・」及び個人関連情報354を含み、個人関連情報354は、診療日「2000年1月1日」、診断病名「虫垂炎」、投薬情報「なし」、検査結果「白血球・・・、血圧・・・」及び所見「手術」を含む。
匿名化情報361は、匿名化情報識別子362「000002」、匿名化個人識別子363「0325426・・・」及び個人関連情報364を含み、個人関連情報364は、診療日「2000年3月26日」、診断病名「虫垂炎」、投薬情報「ABC薬」、検査結果「白血球・・・」及び所見「手術」を含む。
匿名化情報361は、匿名化情報識別子362「000002」、匿名化個人識別子363「0325426・・・」及び個人関連情報364を含み、個人関連情報364は、診療日「2000年3月26日」、診断病名「虫垂炎」、投薬情報「ABC薬」、検査結果「白血球・・・」及び所見「手術」を含む。
匿名化情報371は、匿名化情報識別子372「000003」、匿名化個人識別子363「0123456・・・」及び個人関連情報374を含み、個人関連情報374は、診療日「2001年3月21日」、診断病名「肺炎」、投薬情報「P01薬」、検査結果「血圧・・・」及び所見「入院必要」を含む。
このように、匿名化情報351、361、371にそれぞれ含まれる匿名化情報識別子352、362、372は、「000001」、「000002」、「000003」であって、それぞれ異なり、匿名化情報351、361、371を一意に識別している。
このように、匿名化情報351、361、371にそれぞれ含まれる匿名化情報識別子352、362、372は、「000001」、「000002」、「000003」であって、それぞれ異なり、匿名化情報351、361、371を一意に識別している。
また、匿名化情報351、371にそれぞれ含まれる匿名化個人識別子353、373は、それぞれ、「0123456・・・」、「0123456・・・」であって、匿名化個人識別子353と373とは同一の内容である。つまり、匿名化情報351及び371は、同一の患者Aに関するものであることを示している。
匿名化情報361に含まれる匿名化個人識別子363は、匿名化個人識別子353及び373とは異なっている。つまり、匿名化情報361は、患者Aとは異なる患者Bに関するものであることを示している。
匿名化情報361に含まれる匿名化個人識別子363は、匿名化個人識別子353及び373とは異なっている。つまり、匿名化情報361は、患者Aとは異なる患者Bに関するものであることを示している。
(3)送受信部319
送受信部319は、パラメタ生成装置10から、ネットワーク2を介して、パラメタPを受け取り、受け取ったパラメタPを、パラメタP341として、システムパラメタ記憶部313へ書き込む。
また、送受信部319は、パラメタ生成装置10から、ネットワーク2を介して、クライアント識別子i及び第2固有パラメタKBi を受け取り、受け取ったクライアント識別子i及び第2固有パラメタKBi をサーバ用パラメタ情報として、固有パラメタリスト記憶部312が有するサーバ用固有パラメタリスト331へ追加して書き込む。
送受信部319は、パラメタ生成装置10から、ネットワーク2を介して、パラメタPを受け取り、受け取ったパラメタPを、パラメタP341として、システムパラメタ記憶部313へ書き込む。
また、送受信部319は、パラメタ生成装置10から、ネットワーク2を介して、クライアント識別子i及び第2固有パラメタKBi を受け取り、受け取ったクライアント識別子i及び第2固有パラメタKBi をサーバ用パラメタ情報として、固有パラメタリスト記憶部312が有するサーバ用固有パラメタリスト331へ追加して書き込む。
また、送受信部319は、いずれかの情報提供装置から、半匿名化情報Hを受け取り、受け取った半匿名化情報Hをデータ分割部311へ出力する。
さらに、送受信部319は、いずれかの情報検索装置から、検索依頼情報を受け取る。なお、検索依頼情報については、後述する。次に、受け取った検索依頼情報を検索部318へ出力する。また、送受信部319は、受け取った前記検索依頼情報に基づいて検索された匿名化情報又は検索依頼情報に合致する匿名化情報が存在しないことを示す不存在情報を検索部318から受け取り、受け取った匿名化情報又は不存在情報を、ネットワーク2を介して、前記検索依頼情報の送信元である前記情報検索装置に対して送信する。
さらに、送受信部319は、いずれかの情報検索装置から、検索依頼情報を受け取る。なお、検索依頼情報については、後述する。次に、受け取った検索依頼情報を検索部318へ出力する。また、送受信部319は、受け取った前記検索依頼情報に基づいて検索された匿名化情報又は検索依頼情報に合致する匿名化情報が存在しないことを示す不存在情報を検索部318から受け取り、受け取った匿名化情報又は不存在情報を、ネットワーク2を介して、前記検索依頼情報の送信元である前記情報検索装置に対して送信する。
(4)データ分割部311
データ分割部311は、送受信部319から半匿名化情報Hを受け取る。半匿名化情報Hを受け取ると、受け取った半匿名化情報Hを分割して、クライアント識別子i、半匿名化個人識別子C及び個人関連情報Rを生成する。
半匿名化情報Hの分割は、データの長さに応じて行う。つまり、クライアント識別子i及び半匿名化個人識別子Cは、それぞれ、32ビット及び1024ビット(固定長)であるので、半匿名化情報Hの先頭から32ビット長のデータを切り出すことにより、クライアント識別子iが得られ、さらに、1024ビット長のデータを切り出すことにより、半匿名化個人識別子Cが得られ、残りが個人関連情報Rとなる。
データ分割部311は、送受信部319から半匿名化情報Hを受け取る。半匿名化情報Hを受け取ると、受け取った半匿名化情報Hを分割して、クライアント識別子i、半匿名化個人識別子C及び個人関連情報Rを生成する。
半匿名化情報Hの分割は、データの長さに応じて行う。つまり、クライアント識別子i及び半匿名化個人識別子Cは、それぞれ、32ビット及び1024ビット(固定長)であるので、半匿名化情報Hの先頭から32ビット長のデータを切り出すことにより、クライアント識別子iが得られ、さらに、1024ビット長のデータを切り出すことにより、半匿名化個人識別子Cが得られ、残りが個人関連情報Rとなる。
次に、データ分割部311は、生成したクライアント識別子i及び半匿名化個人識別子Cを第2変換部314へ出力し、生成した個人関連情報Rを結合部315へ出力する。
(5)第2変換部314
第2変換部314は、データ分割部311からクライアント識別子i及び半匿名化個人識別子Cを受け取る。クライアント識別子i及び半匿名化個人識別子Cを受け取ると、受け取ったクライアント識別子iを含むサーバ用パラメタ情報を、サーバ用固有パラメタリスト331から抽出し、抽出したサーバ用パラメタ情報から、第2固有パラメタKBi を抽出する。また、システムパラメタ記憶部313からパラメタP341を読み出す。
(5)第2変換部314
第2変換部314は、データ分割部311からクライアント識別子i及び半匿名化個人識別子Cを受け取る。クライアント識別子i及び半匿名化個人識別子Cを受け取ると、受け取ったクライアント識別子iを含むサーバ用パラメタ情報を、サーバ用固有パラメタリスト331から抽出し、抽出したサーバ用パラメタ情報から、第2固有パラメタKBi を抽出する。また、システムパラメタ記憶部313からパラメタP341を読み出す。
次に、第2変換部314は、読み出したパラメタP、抽出した第2固有パラメタKBi 及び受け取った半匿名化個人識別子Cを用いて、次式による匿名化処理を施して、匿名化個人識別子Eを算出する。
E=(C)^KBi mod P (式6)
式6においては、CがKBi 回乗じられる。つまり、式6は、乗算の繰返演算を示している。
E=(C)^KBi mod P (式6)
式6においては、CがKBi 回乗じられる。つまり、式6は、乗算の繰返演算を示している。
次に、第2変換部314は、生成した匿名化個人識別子Eを結合部315へ出力する。
(6)結合部315
結合部315は、第2変換部314から匿名化個人識別子Eを受け取り、データ分割部311から個人関連情報Rを受け取る。匿名化個人識別子E及び個人関連情報Rを受け取ると、受け取った匿名化個人識別子E及び個人関連情報Rをこの順序で結合して、結合体E||Rを得る。次に、結合体E||Rを識別子付加部316へ出力する。
(6)結合部315
結合部315は、第2変換部314から匿名化個人識別子Eを受け取り、データ分割部311から個人関連情報Rを受け取る。匿名化個人識別子E及び個人関連情報Rを受け取ると、受け取った匿名化個人識別子E及び個人関連情報Rをこの順序で結合して、結合体E||Rを得る。次に、結合体E||Rを識別子付加部316へ出力する。
(7)識別子付加部316
識別子付加部316は、結合部315から結合体E||Rを受け取る。結合体E||Rを受け取ると、受け取った結合体E||Rを一意に識別する匿名化情報識別子Jを生成する。ここで、識別子付加部316が生成する匿名化情報識別子Jの一例は、上述したように、「000001」、「000002」、「000003」である。
識別子付加部316は、結合部315から結合体E||Rを受け取る。結合体E||Rを受け取ると、受け取った結合体E||Rを一意に識別する匿名化情報識別子Jを生成する。ここで、識別子付加部316が生成する匿名化情報識別子Jの一例は、上述したように、「000001」、「000002」、「000003」である。
次に、識別子付加部316は、生成した匿名化情報識別子Jと受け取った結合体E||Rとを、この順序で結合して、匿名化情報Fを生成する。
F=J||E||R (式7)
次に、生成した匿名化情報Fを情報記憶部317へ書き込む。
(8)検索部318
検索部318は、送受信部319から検索依頼情報を受け取る。
F=J||E||R (式7)
次に、生成した匿名化情報Fを情報記憶部317へ書き込む。
(8)検索部318
検索部318は、送受信部319から検索依頼情報を受け取る。
ここで、検索依頼情報は、情報記憶部317に記憶されている複数の匿名化情報のうち、情報検索装置の操作者が取得したいと望む匿名化情報を特定するための条件を含んでいる。
検索依頼情報の例を以下に示す。
(例1)「{診療日=2000年1月1日以降}かつ{診断病名=虫垂炎}」
(例2)「匿名化個人識別子=0123456・・・」
例1に示す検索依頼情報は、個人関連情報の診療日の項が「2000年1月1日以降」であり、かつ診断病名の項が「虫垂炎」であるような匿名化情報を検索対象としていることを示している。
検索依頼情報の例を以下に示す。
(例1)「{診療日=2000年1月1日以降}かつ{診断病名=虫垂炎}」
(例2)「匿名化個人識別子=0123456・・・」
例1に示す検索依頼情報は、個人関連情報の診療日の項が「2000年1月1日以降」であり、かつ診断病名の項が「虫垂炎」であるような匿名化情報を検索対象としていることを示している。
また、例2に示す検索依頼情報は、「0123456・・・」である匿名化個人識別子を含む匿名化情報を対象としていることを示している。
次に、検索部318は、受け取った検索依頼情報に含まれる条件に合致する匿名化情報を、情報記憶部317に記憶されている複数の匿名化情報から検索し、1個以上の匿名化情報が抽出された場合には、抽出された匿名化情報を送受信部319へ出力する。条件に合致する匿名化情報が存在しない場合には、その旨を示す不存在情報を送受信部319へ出力する。
次に、検索部318は、受け取った検索依頼情報に含まれる条件に合致する匿名化情報を、情報記憶部317に記憶されている複数の匿名化情報から検索し、1個以上の匿名化情報が抽出された場合には、抽出された匿名化情報を送受信部319へ出力する。条件に合致する匿名化情報が存在しない場合には、その旨を示す不存在情報を送受信部319へ出力する。
(9)更新部320
更新部320については、後述する。
1.5 情報検索装置41、42、・・・
情報検索装置41、42、・・・は、それぞれ、同様の構成を有している。ここでは、情報検索装置41の構成について説明し、その他の情報検索装置42、・・・については、説明を省略する。
更新部320については、後述する。
1.5 情報検索装置41、42、・・・
情報検索装置41、42、・・・は、それぞれ、同様の構成を有している。ここでは、情報検索装置41の構成について説明し、その他の情報検索装置42、・・・については、説明を省略する。
情報検索装置41は、図9に示すように、入力部401、送受信部402及び表示部403から構成されている。
情報検索装置41は、具体的には、パラメタ生成装置10と同様に、マイクロプロセッサ、ROM、RAM、ハードディスクユニットなどから構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、情報検索装置41は、その一部の機能を達成する。
情報検索装置41は、具体的には、パラメタ生成装置10と同様に、マイクロプロセッサ、ROM、RAM、ハードディスクユニットなどから構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、情報検索装置41は、その一部の機能を達成する。
入力部401は、情報検索装置41の操作者から検索依頼情報の入力を受け付け、受け付けた検索依頼情報を送受信部402へ出力する。検索依頼情報については、上述した通りである。
送受信部402は、入力部401から検索依頼情報を受け取り、受け取った検索依頼情報をネットワーク2を介して、匿名サーバ装置30へ送信する。また、匿名サーバ装置30から、ネットワーク2を介して、匿名化情報又は検索依頼情報に含まれる条件に合致する匿名化情報が存在しないことを示す不存在情報を受信し、受信した匿名化情報又は不存在情報を表示部403へ出力する。
送受信部402は、入力部401から検索依頼情報を受け取り、受け取った検索依頼情報をネットワーク2を介して、匿名サーバ装置30へ送信する。また、匿名サーバ装置30から、ネットワーク2を介して、匿名化情報又は検索依頼情報に含まれる条件に合致する匿名化情報が存在しないことを示す不存在情報を受信し、受信した匿名化情報又は不存在情報を表示部403へ出力する。
表示部403は、送受信部402から匿名化情報又は不存在情報を受け取り、受け取った匿名化情報又は不存在情報を表示する。
具体的には、表示部403は、受け取った匿名化情報を、情報検索装置41の操作者が閲覧可能な形式にて表示する。一例としては、モニターなどのディスプレイ装置に匿名化情報識別子と匿名化個人識別子と個人関連情報を表示してもよい。
具体的には、表示部403は、受け取った匿名化情報を、情報検索装置41の操作者が閲覧可能な形式にて表示する。一例としては、モニターなどのディスプレイ装置に匿名化情報識別子と匿名化個人識別子と個人関連情報を表示してもよい。
このとき、匿名化個人識別子からは患者の個人情報は分からないため、匿名化個人識別子を操作者に表示してもよいが、より厳重な匿名性を保つために匿名化個人識別子は操作者に表示しないようにしてもよい。
但し、このとき、操作者は、検索依頼情報として、前記「匿名化個人識別子=0123456」のように匿名化個人識別子を指定することはできないので、その代わりに入力部401は、「匿名化情報識別子=98765の匿名化情報と同じ匿名化個人識別子を持つ匿名化情報」といった間接的に匿名化個人識別子を指定するような検索依頼情報の入力を受け付けるとしてもよい。
但し、このとき、操作者は、検索依頼情報として、前記「匿名化個人識別子=0123456」のように匿名化個人識別子を指定することはできないので、その代わりに入力部401は、「匿名化情報識別子=98765の匿名化情報と同じ匿名化個人識別子を持つ匿名化情報」といった間接的に匿名化個人識別子を指定するような検索依頼情報の入力を受け付けるとしてもよい。
1.5 匿名情報システム1の動作
ここでは、匿名情報システム1の動作について説明する。
(1)匿名情報システム1によるパラメタの生成及び配布の動作
匿名情報システム1によるパラメタの生成及び配布の動作について、図10〜図11に示すフローチャートを用いて説明する。
ここでは、匿名情報システム1の動作について説明する。
(1)匿名情報システム1によるパラメタの生成及び配布の動作
匿名情報システム1によるパラメタの生成及び配布の動作について、図10〜図11に示すフローチャートを用いて説明する。
入力部101は、パラメタ生成装置10の操作者から、パラメタP、パラメタG及びパラメタqの入力を受け付け、制御部104は、パラメタP、パラメタG及びパラメタqを情報記憶部105へ書き込む(ステップS101)。
次に、パラメタ生成部103は、1個の情報提供装置について、当該情報提供装置を一意に識別するクライアント識別子iを生成し(ステップS102)、2≦乱数≦q−1を満たすような乱数を生成し(ステップS103)、次に、生成した乱数が、基本固有パラメタとして、情報記憶部105の生成用固有パラメタリスト131内に存在するか否かを判断する。存在する場合には(ステップS104でYES)、ステップS103に戻って、再度、乱数を生成する。存在しない場合には(ステップS104でNO)、生成した乱数を基本固有パラメタXi とし、Xi ×Xinv =1 mod q を満たすXinv を算出し(ステップS105)、第1固有パラメタKAi をKAi =G^Xinv mod qにより算出し(ステップS106)、第2固有パラメタKBi をKBi =Xi により算出する(ステップS107)。
次に、パラメタ生成部103は、1個の情報提供装置について、当該情報提供装置を一意に識別するクライアント識別子iを生成し(ステップS102)、2≦乱数≦q−1を満たすような乱数を生成し(ステップS103)、次に、生成した乱数が、基本固有パラメタとして、情報記憶部105の生成用固有パラメタリスト131内に存在するか否かを判断する。存在する場合には(ステップS104でYES)、ステップS103に戻って、再度、乱数を生成する。存在しない場合には(ステップS104でNO)、生成した乱数を基本固有パラメタXi とし、Xi ×Xinv =1 mod q を満たすXinv を算出し(ステップS105)、第1固有パラメタKAi をKAi =G^Xinv mod qにより算出し(ステップS106)、第2固有パラメタKBi をKBi =Xi により算出する(ステップS107)。
次に、パラメタ生成部103は、生成したクライアント識別子i、基本固有パラメタXi 、第1固有パラメタKAi 及び第2固有パラメタKBi から構成される生成用パラメタ情報を、生成用固有パラメタリスト131へ書き込む(ステップS108)。
次に、送受信部106は、クライアント識別子i及び第1固有パラメタKAi を、ネットワーク2を介して、前記装置指定により示される情報提供装置へ送信し(ステップS109)、パラメタPを前記情報提供装置へ送信する(ステップS110)。また、パラメタPを、ネットワーク2を介して、匿名サーバ装置30へ送信し(ステップS113)、クライアント識別子i及び第2固有パラメタKBi を、ネットワーク2を介して、匿名サーバ装置30へ送信する(ステップS114)。
次に、送受信部106は、クライアント識別子i及び第1固有パラメタKAi を、ネットワーク2を介して、前記装置指定により示される情報提供装置へ送信し(ステップS109)、パラメタPを前記情報提供装置へ送信する(ステップS110)。また、パラメタPを、ネットワーク2を介して、匿名サーバ装置30へ送信し(ステップS113)、クライアント識別子i及び第2固有パラメタKBi を、ネットワーク2を介して、匿名サーバ装置30へ送信する(ステップS114)。
次に、前記情報提供装置の送受信部208は、クライアント識別子iを識別子記憶部206へ書き込み、第1固有パラメタKAi を固有パラメタ記憶部204へ書き込み(ステップS111)、パラメタPをシステムパラメタ記憶部203へ書き込む(ステップS112)。
また、匿名サーバ装置30の送受信部319は、パラメタPを、パラメタP341として、システムパラメタ記憶部313へ書き込み、クライアント識別子i及び第2固有パラメタKBi を固有パラメタリスト記憶部312へ書き込む(ステップS115)。
また、匿名サーバ装置30の送受信部319は、パラメタPを、パラメタP341として、システムパラメタ記憶部313へ書き込み、クライアント識別子i及び第2固有パラメタKBi を固有パラメタリスト記憶部312へ書き込む(ステップS115)。
(2)情報提供装置21による半匿名化情報の生成の動作
ここでは、情報提供装置21による半匿名化情報の生成の動作について、図12に示すフローチャートを用いて説明する。
入力部201は、情報提供装置21の操作者から、個人特定情報Sの入力を受け付け(ステップS121)、さらに、個人関連情報Rの入力を受け付け(ステップS122)、次に、コード化部202は、個人特定情報Sからコード化個人情報Dを生成する(ステップS123)。
ここでは、情報提供装置21による半匿名化情報の生成の動作について、図12に示すフローチャートを用いて説明する。
入力部201は、情報提供装置21の操作者から、個人特定情報Sの入力を受け付け(ステップS121)、さらに、個人関連情報Rの入力を受け付け(ステップS122)、次に、コード化部202は、個人特定情報Sからコード化個人情報Dを生成する(ステップS123)。
次に、第1変換部205は、システムパラメタ記憶部203からパラメタP231を読み出し、固有パラメタ記憶部204から第1固有パラメタKAi 241を読み出し(ステップS124)、コード化個人情報D、読み出したパラメタP及び読み出した第1固有パラメタKAi を用いて、次式により半匿名化個人識別子Cを生成する。 C=(KAi )^D mod P (ステップS125)
次に、結合部207は、識別子記憶部206からクライアント識別子i251を読み出し(ステップS126)、クライアント識別子iと、半匿名化個人識別子Cと、個人関連情報Rとを、この順序で結合し、半匿名化情報Hを生成する。
次に、結合部207は、識別子記憶部206からクライアント識別子i251を読み出し(ステップS126)、クライアント識別子iと、半匿名化個人識別子Cと、個人関連情報Rとを、この順序で結合し、半匿名化情報Hを生成する。
H=i||C||R (ステップS127)
次に、送受信部208は、半匿名化情報Hをネットワーク2を介して、匿名サーバ装置30へ送信する(ステップS128)。
(3)匿名サーバ装置30による匿名化情報の生成の動作
ここでは、匿名サーバ装置30による匿名化情報の生成の動作について、図13〜図14に示すフローチャートを用いて説明する。
次に、送受信部208は、半匿名化情報Hをネットワーク2を介して、匿名サーバ装置30へ送信する(ステップS128)。
(3)匿名サーバ装置30による匿名化情報の生成の動作
ここでは、匿名サーバ装置30による匿名化情報の生成の動作について、図13〜図14に示すフローチャートを用いて説明する。
匿名サーバ装置30の送受信部319は、いずれかの情報提供装置から、半匿名化情報Hを受け取り(ステップS141)、データ分割部311は、受け取った半匿名化情報Hを分割して、クライアント識別子i、半匿名化個人識別子C及び個人関連情報Rを生成し(ステップS142)、第2変換部314は、クライアント識別子iを含むサーバ用パラメタ情報を、サーバ用固有パラメタリスト331から抽出し、抽出したサーバ用パラメタ情報から、第2固有パラメタKBi を抽出し(ステップS143)、システムパラメタ記憶部313からパラメタP341を読み出し(ステップS144)、読み出したパラメタP、抽出した第2固有パラメタKBi 及び受け取った半匿名化個人識別子Cを用いて、次式により匿名化個人識別子Eを算出する。E=(C)^KBi mod P (ステップS145)。
次に、結合部315は、匿名化個人識別子E及び個人関連情報Rをこの順序で結合して、結合体E||Rを得(ステップS146)、識別子付加部316は、結合体E||Rを一意に識別する匿名化情報識別子Jを生成し(ステップS147)、
生成した匿名化情報識別子Jと受け取った結合体E||Rとを、この順序で結合して、匿名化情報Fを生成する。F=J||E||R (ステップS148)。
生成した匿名化情報識別子Jと受け取った結合体E||Rとを、この順序で結合して、匿名化情報Fを生成する。F=J||E||R (ステップS148)。
次に、識別子付加部316は、生成した匿名化情報Fを情報記憶部317へ書き込む(ステップS149)。
(4)匿名化情報の検索の動作
ここでは、匿名情報システム1による匿名化情報の検索の動作について、図15に示すフローチャートを用いて説明する。
(4)匿名化情報の検索の動作
ここでは、匿名情報システム1による匿名化情報の検索の動作について、図15に示すフローチャートを用いて説明する。
情報検索装置41の入力部401は、情報検索装置41の操作者から検索依頼情報の入力を受け付け(ステップS201)、送受信部402は、入力を受け付けた検索依頼情報をネットワーク2を介して、匿名サーバ装置30へ送信する(ステップS202)。
匿名サーバ装置30の検索部318は、検索依頼情報を受け取り(ステップS202)、受け取った検索依頼情報により示される条件を満たす匿名化情報を情報記憶部317から抽出し(ステップS203)、送受信部318は、抽出された匿名化情報をネットワーク2を介して、情報検索装置41へ送信する(ステップS204)。
匿名サーバ装置30の検索部318は、検索依頼情報を受け取り(ステップS202)、受け取った検索依頼情報により示される条件を満たす匿名化情報を情報記憶部317から抽出し(ステップS203)、送受信部318は、抽出された匿名化情報をネットワーク2を介して、情報検索装置41へ送信する(ステップS204)。
情報検索装置41の送受信部402は、匿名化情報を受信し(ステップS204)、表示部403は、匿名化情報を表示する(ステップS205)。
1.6 第1変換部205による半匿名化処理と第2変換部314による匿名化処理との関係
コード化部202により生成されたコード化個人情報Dと、第1変換部205により生成された半匿名化個人識別子Cと、第2変換部314により生成された匿名化個人識別子Eとの関係について説明する。
1.6 第1変換部205による半匿名化処理と第2変換部314による匿名化処理との関係
コード化部202により生成されたコード化個人情報Dと、第1変換部205により生成された半匿名化個人識別子Cと、第2変換部314により生成された匿名化個人識別子Eとの関係について説明する。
コード化個人情報D、半匿名化個人識別子C及び匿名化個人識別子Eの関係を図16に模式的に示す。
従来の技術では、コード化個人情報D901に対して、変換911を施して匿名化個人識別子E902を生成している。変換911は、情報提供装置又は匿名サーバ装置のどちらか一方で行われ、得られた匿名化個人識別子Eが匿名サーバ装置のデータベースに記録される。しかしながら、このような従来の技術を適用すると、以下に示すような問題が発生する。
従来の技術では、コード化個人情報D901に対して、変換911を施して匿名化個人識別子E902を生成している。変換911は、情報提供装置又は匿名サーバ装置のどちらか一方で行われ、得られた匿名化個人識別子Eが匿名サーバ装置のデータベースに記録される。しかしながら、このような従来の技術を適用すると、以下に示すような問題が発生する。
第1に、変換911を情報提供装置で行う場合について考える。このとき、情報提供装置は、変換911のアルゴリズムを知っているので、任意のコード化個人情報Dに対して実際に変換911を施すことにより、匿名化個人識別子Eを知ることができる。
そこで、例えば、情報提供装置と情報検索装置の両方の機能を有する端末を保持するユーザがいて、そのユーザが、情報提供装置の機能、つまり変換911のアルゴリズムを用いてある特定の人物Aのコード化個人情報Cに対する匿名化個人識別子Eを計算する。次に前記ユーザは、情報検索装置の機能を用いて、前記匿名化個人識別子Eを持つ匿名化情報の検索を行う。ここで、前記ユーザは、検索された匿名化情報が前記人物Aに関するものであることがわかっているので、前記匿名化情報の匿名性が失われることになる。これは問題である。
そこで、例えば、情報提供装置と情報検索装置の両方の機能を有する端末を保持するユーザがいて、そのユーザが、情報提供装置の機能、つまり変換911のアルゴリズムを用いてある特定の人物Aのコード化個人情報Cに対する匿名化個人識別子Eを計算する。次に前記ユーザは、情報検索装置の機能を用いて、前記匿名化個人識別子Eを持つ匿名化情報の検索を行う。ここで、前記ユーザは、検索された匿名化情報が前記人物Aに関するものであることがわかっているので、前記匿名化情報の匿名性が失われることになる。これは問題である。
第2に、変換911を匿名サーバ装置で行う場合について考える。このとき、情報提供装置は、変換911を知らないので、上記のような問題は起こらない。しかし、情報提供装置は、個人関連情報に付随して個人特定情報を匿名サーバ装置に送付しなければならず、情報提供装置から匿名サーバ装置へ個人特定情報が送信される間に、個人特定情報が盗聴される恐れがあり、また、匿名サーバ装置に不正に個人特定情報が蓄積される恐れもあり、問題である。
これに対して、本発明では、変換911を、図16に示すように、半匿名化処理921と匿名化処理923とに分割し、半匿名化処理921を情報提供装置21で行い、匿名化処理923を匿名サーバ装置30で行うようにする。
こうすることによって、情報提供装置21は、変換911の一部しか実行することができず、従って、コード化個人情報から匿名化個人識別子を求めることはできないので、変換911を情報提供装置で行うことによって生じる前記の問題は起こらない。
こうすることによって、情報提供装置21は、変換911の一部しか実行することができず、従って、コード化個人情報から匿名化個人識別子を求めることはできないので、変換911を情報提供装置で行うことによって生じる前記の問題は起こらない。
また、匿名サーバ装置30には、コード化個人情報Dに対して半匿名化処理921を施して得られる半匿名化個人識別子Cが送信されるので、変換911を匿名サーバ装置で行うことによって生じる前記の問題も起こらない。
1.7 複数の情報提供装置における半匿名化処理の関係
本発明では、変換911を半匿名化処理と匿名化処理に分ける方法を、情報提供装置毎に変えることによって、更に高い安全性を実現している。
1.7 複数の情報提供装置における半匿名化処理の関係
本発明では、変換911を半匿名化処理と匿名化処理に分ける方法を、情報提供装置毎に変えることによって、更に高い安全性を実現している。
例えば、図16において、情報提供装置21は、コード化個人情報Dに対して、半匿名化処理921を施して、半匿名化個人識別子C1 922を計算し、得られた半匿名化個人識別子C1 を匿名サーバ装置30へ送信する。このとき、匿名サーバ装置30は、情報提供装置から送信された半匿名化個人識別子C1 922に対しては、匿名化処理923を施して匿名化個人識別子Eを求める。
また、情報提供装置22は、コード化個人情報Dに対して、半匿名化処理931を施して半匿名化個人識別子C2 932を計算し、得られた半匿名化個人識別子C2 を匿名サーバ装置30へ送信する。このとき、匿名サーバ装置30は、情報提供装置から送信された半匿名化個人識別子C2 932に対しては、匿名化処理933を施して匿名化個人識別子Eを求める。
さらに、情報提供装置23は、コード化個人情報Dに対して、半匿名化処理941を施して半匿名化個人識別子C3 942を計算し、得られた半匿名化個人識別子C3 を匿名サーバ装置30へ送信する。このとき、匿名サーバ装置30は、情報提供装置から送信された半匿名化個人識別子C3 942に対しては、匿名化処理943を施して匿名化個人識別子Eを求める。
ここで、半匿名化処理921と半匿名化処理931と半匿名化処理941とでは、それぞれ用いられる第1固有パラメタが異なる。このため、例えば、情報提供装置21は、自身で用いる第1固有パラメタから、情報提供装置22で用いられる第1固有パラメタを知ることはできない。つまり、各情報提供装置は、自身の半匿名化処理の内容から他の情報提供装置により施される半匿名化処理を知ることはできない。
上記のような仕組みにより、情報提供装置毎に施される半匿名化処理は異なるが、匿名サーバ装置30が、情報提供装置に応じた匿名化処理を使い分けるので、全体としては、一つの変換911を施したことになる。即ち、コード化個人情報Dが同じであれば、経由する情報提供装置が異なっていても、最終的に匿名サーバ装置30で得られる匿名化個人識別子Eは、全て同じ値になる。
上記のように、情報提供装置毎に異なる半匿名化処理を使うことによって、以下のような利点がある。
もし仮に半匿名化処理が全ての情報提供装置で共通であるとして、ある情報提供装置から半匿名化処理のアルゴリズムが流出して公開されてしまったとする。このとき、匿名サーバ装置30が保持する匿名化処理が暴露されなければ、匿名化情報の匿名性が即時に失われるわけではないが、匿名サーバ装置30内の情報の匿名性は、匿名化処理の秘密性のみに依存していることになる。このため、半匿名化処理と匿名化処理を別の処理に更新することが望まれる。しかし、半匿名化処理が全ての情報提供装置で共通であるため、全ての情報提供装置の半匿名化処理を更新することが必要となり、情報提供装置の数が膨大であると、更新に多大な時間と手間がかかってしまう。
もし仮に半匿名化処理が全ての情報提供装置で共通であるとして、ある情報提供装置から半匿名化処理のアルゴリズムが流出して公開されてしまったとする。このとき、匿名サーバ装置30が保持する匿名化処理が暴露されなければ、匿名化情報の匿名性が即時に失われるわけではないが、匿名サーバ装置30内の情報の匿名性は、匿名化処理の秘密性のみに依存していることになる。このため、半匿名化処理と匿名化処理を別の処理に更新することが望まれる。しかし、半匿名化処理が全ての情報提供装置で共通であるため、全ての情報提供装置の半匿名化処理を更新することが必要となり、情報提供装置の数が膨大であると、更新に多大な時間と手間がかかってしまう。
しかし、本発明のように、情報提供装置毎に半匿名化処理が異なるようにしておくと、ある情報提供装置の半匿名化処理が暴露されても、その情報提供装置に対して半匿名化処理の更新を行い、匿名サーバ装置30に対しては、前記半匿名化処理と対になっている匿名化処理の更新だけを行えばよく、上記の場合と比較して、更新に要する時間と手間が大幅に削減される。
1.8 半匿名化処理及び匿名化処理に関する考察
本発明の実施の形態で開示されている半匿名化処理及び匿名化処理が以下の特性を有することについて説明する。
(特性1)半匿名化処理は、情報提供装置毎に異なり、ある情報提供装置の半匿名化処理から他の情報提供装置の半匿名化処理が分からないこと。
本発明の実施の形態で開示されている半匿名化処理及び匿名化処理が以下の特性を有することについて説明する。
(特性1)半匿名化処理は、情報提供装置毎に異なり、ある情報提供装置の半匿名化処理から他の情報提供装置の半匿名化処理が分からないこと。
(特性2)情報提供装置は、自分の半匿名化処理から、匿名サーバの自身に対応する匿名化処理、又は、匿名サーバの他の情報提供装置に対応する匿名化処理が分からないこと。
(特性3)情報提供装置によらず、半匿名化処理と匿名化処理とをシリアルに実行した結果が、常に全体の(両方の)変換処理の結果と同一となること。
(特性3)情報提供装置によらず、半匿名化処理と匿名化処理とをシリアルに実行した結果が、常に全体の(両方の)変換処理の結果と同一となること。
まず、(特性1)について、以下により説明できる。
半匿名化処理は、入力Dに対して、以下の式により出力Cを計算することによって実行される。
C=(KA)^D mod P
ここで、Pは、システム共通の値であるが、KAは、(式8)、(式9)によって情報提供装置ごとに算出される。
半匿名化処理は、入力Dに対して、以下の式により出力Cを計算することによって実行される。
C=(KA)^D mod P
ここで、Pは、システム共通の値であるが、KAは、(式8)、(式9)によって情報提供装置ごとに算出される。
X × Xinv = 1 mod q (式8)
KA=G^(Xinv ) mod q (式9)
ここで、(式8)において、Xは情報提供装置ごとにランダムに生成されるので、Xinv も情報提供装置ごとにランダムに決まる。(式9)において、PとGはシステム共通の値であるが、Xinv がランダムに決まることからKAはランダムに決まることが分かる。また、2つ以上の情報提供装置で同じXが重複して使用されないようにしている。また、KAは、情報提供装置ごとに重複しないように決まる。以上により、(特性1)の性質が成り立つことが示される。
KA=G^(Xinv ) mod q (式9)
ここで、(式8)において、Xは情報提供装置ごとにランダムに生成されるので、Xinv も情報提供装置ごとにランダムに決まる。(式9)において、PとGはシステム共通の値であるが、Xinv がランダムに決まることからKAはランダムに決まることが分かる。また、2つ以上の情報提供装置で同じXが重複して使用されないようにしている。また、KAは、情報提供装置ごとに重複しないように決まる。以上により、(特性1)の性質が成り立つことが示される。
次に(特性2)については、情報提供装置は、自身が持っている情報KAとG、Pとから匿名化処理に必要なパラメータKBを求めることが困難であることを示せばよい。
KB=X (式10)
(式10)より、KBはXのことであり、Xを求めるためには(式8)からXinv を知る必要があることがわかる。更にXinv は、(式9)より、KAとG、Pとから求めることになるが、これは、GF(P)上の離散対数問題を解くことに他ならず、Xinv を求めることは計算量上不可能といえる。また、KAの値は、ランダムに選んだXから(式8)、(式9)を元に計算されるので、各情報提供装置が保持するKAの間に一定の関係は成り立たない。従って、情報提供装置が自身の持つKAから他の情報提供装置の持つKAを求めることはできない。以上により、(特性2)が成り立つことが示される。
KB=X (式10)
(式10)より、KBはXのことであり、Xを求めるためには(式8)からXinv を知る必要があることがわかる。更にXinv は、(式9)より、KAとG、Pとから求めることになるが、これは、GF(P)上の離散対数問題を解くことに他ならず、Xinv を求めることは計算量上不可能といえる。また、KAの値は、ランダムに選んだXから(式8)、(式9)を元に計算されるので、各情報提供装置が保持するKAの間に一定の関係は成り立たない。従って、情報提供装置が自身の持つKAから他の情報提供装置の持つKAを求めることはできない。以上により、(特性2)が成り立つことが示される。
次に(特性3)が成り立つことは以下のようにして示される。
コード化個人情報Dから半匿名化個人識別子Dは、(式11)を用いて以下のように計算される。
C=(KA)^D mod P (式11)
更に、半匿名化個人識別子Dから匿名化個人識別子Eは、(式12)を用いて以下のように計算される。
コード化個人情報Dから半匿名化個人識別子Dは、(式11)を用いて以下のように計算される。
C=(KA)^D mod P (式11)
更に、半匿名化個人識別子Dから匿名化個人識別子Eは、(式12)を用いて以下のように計算される。
E=C^(KB) mod P (式12)
式11及び式12から、
E={(KA)^D}^(KB) mod P
=(KA)^(D×KB) mod P
がなりたつ。ここで、(式8)と(式9)より、上の式は更に、
E={G^(Xinv)}^(D×X) mod P
=G^(Xinv×X×D) mod P
と変形でき、(式8)から
E=G^D mod P
という関係が成り立つ。上の式は、KAとKBがどのような値であっても、(式8)〜(式10)を満たしていれば成り立つので、(特性3)が示されたことになる。
式11及び式12から、
E={(KA)^D}^(KB) mod P
=(KA)^(D×KB) mod P
がなりたつ。ここで、(式8)と(式9)より、上の式は更に、
E={G^(Xinv)}^(D×X) mod P
=G^(Xinv×X×D) mod P
と変形でき、(式8)から
E=G^D mod P
という関係が成り立つ。上の式は、KAとKBがどのような値であっても、(式8)〜(式10)を満たしていれば成り立つので、(特性3)が示されたことになる。
以上から(特性1)〜(特性3)が成り立つことが分かる。
1.9 固有パラメタを更新する例(1)
情報提供装置21の第1変換部205による半匿名化処理が暴露されることは、情報提供装置21が記憶している第1固有パラメータKAが暴露されることを意味している。
ここでは、半匿名化処理が暴露された場合において、その暴露された情報提供装置に対して半匿名化処理を更新するための具体手順について説明する。
1.9 固有パラメタを更新する例(1)
情報提供装置21の第1変換部205による半匿名化処理が暴露されることは、情報提供装置21が記憶している第1固有パラメータKAが暴露されることを意味している。
ここでは、半匿名化処理が暴露された場合において、その暴露された情報提供装置に対して半匿名化処理を更新するための具体手順について説明する。
(1)パラメタ生成装置10の構成
入力部101は、さらに、パラメタ生成装置10の操作者から、特定の情報提供装置についてのパラメタの再生成を示すパラメタ再生成指示と、暴露された情報提供装置を識別するクライアント識別子との入力を受け付け、入力を受け付けたパラメタ再生成指示とクライアント識別子とを制御部104へ出力する。
入力部101は、さらに、パラメタ生成装置10の操作者から、特定の情報提供装置についてのパラメタの再生成を示すパラメタ再生成指示と、暴露された情報提供装置を識別するクライアント識別子との入力を受け付け、入力を受け付けたパラメタ再生成指示とクライアント識別子とを制御部104へ出力する。
制御部104は、さらに、パラメタ再生成指示と前記クライアント識別子とを受け取る。パラメタ再生成指示と前記クライアント識別子とを受け取ると、前記クライアント識別子に対応して、新たに基本固有パラメタ、第1固有パラメタ及び第2固有パラメタを再度生成することを示すパラメタ再生成指示と、前記クライアント識別子とを出力する。
パラメタ生成部103は、さらに、パラメタ再生成指示と前記クライアント識別子とを受け取る。パラメタ再生成指示と前記クライアント識別子とを受け取ると、受け取ったクライアント識別子に対して、上述したように、再度、基本固有パラメタ、第1固有パラメタ、第2固有パラメタを生成し、生成用固有パラメタリスト131において、前記クライアント識別子を含む生成用パラメタ情報を削除し、前記クライアント識別子、再度生成した基本固有パラメタ、再度生成した第1固有パラメタ及び再度生成した第2固有パラメタから構成される生成用パラメタ情報を、生成用固有パラメタリスト131に追加して書き込む。次に、再度生成した第1固有パラメタ及び再度生成した第2固有パラメタを制御部104へ出力する。
パラメタ生成部103は、さらに、パラメタ再生成指示と前記クライアント識別子とを受け取る。パラメタ再生成指示と前記クライアント識別子とを受け取ると、受け取ったクライアント識別子に対して、上述したように、再度、基本固有パラメタ、第1固有パラメタ、第2固有パラメタを生成し、生成用固有パラメタリスト131において、前記クライアント識別子を含む生成用パラメタ情報を削除し、前記クライアント識別子、再度生成した基本固有パラメタ、再度生成した第1固有パラメタ及び再度生成した第2固有パラメタから構成される生成用パラメタ情報を、生成用固有パラメタリスト131に追加して書き込む。次に、再度生成した第1固有パラメタ及び再度生成した第2固有パラメタを制御部104へ出力する。
制御部104は、さらに、再度生成された第1固有パラメタ及び再度生成された第2固有パラメタを受け取り、前記クライアント識別子、第1固有パラメタ、第2固有パラメタ及びクライアント識別子により示される情報提供装置を示す装置指定情報を送受信部106に対して出力し、パラメタ更新指示及び第1固有パラメタを前記装置指定情報に係る情報提供装置へ送信することを示す第1更新指示と、パラメタ更新指示、クライアント識別子及び第2固有パラメタを、匿名サーバ装置30へ送信することを示す第2更新指示とを送受信部106に対して出力する。
送受信部106は、さらに、制御部104から、クライアント識別子、第1固有パラメタ、第2固有パラメタ及び前記装置指定情報を受け取り、前記第1更新指示及び前記第2更新指示を受け取る。
前記第1更新指示及び前記第2更新指示を受け取ると、送受信部106は、パラメタの更新を示す更新指示及び第1固有パラメタを、ネットワーク2を介して、前記装置指定情報により示される情報提供装置へ送信する。次に、パラメタの更新を示す更新指示、クライアント識別子及び第2固有パラメタを、ネットワーク2を介して、匿名サーバ装置30へ送信する。
前記第1更新指示及び前記第2更新指示を受け取ると、送受信部106は、パラメタの更新を示す更新指示及び第1固有パラメタを、ネットワーク2を介して、前記装置指定情報により示される情報提供装置へ送信する。次に、パラメタの更新を示す更新指示、クライアント識別子及び第2固有パラメタを、ネットワーク2を介して、匿名サーバ装置30へ送信する。
(2)情報提供装置21の構成
送受信部208は、パラメタ生成装置10から、ネットワーク2を介して、パラメタの更新を示す更新指示及び第1固有パラメタを受信する。更新指示及び第1固有パラメタを受信すると、受信した第1固有パラメタを、更新情報として、更新部202へ出力する。
更新部202は、送受信部208から、更新情報として、第1固有パラメタを受け取る。第1固有パラメタを受け取ると、固有パラメタ記憶部204に記憶さされている第1固有パラメタKAi を削除し、新たに受け取った第1固有パラメタを追加して固有パラメタ記憶部204に書き込む。
送受信部208は、パラメタ生成装置10から、ネットワーク2を介して、パラメタの更新を示す更新指示及び第1固有パラメタを受信する。更新指示及び第1固有パラメタを受信すると、受信した第1固有パラメタを、更新情報として、更新部202へ出力する。
更新部202は、送受信部208から、更新情報として、第1固有パラメタを受け取る。第1固有パラメタを受け取ると、固有パラメタ記憶部204に記憶さされている第1固有パラメタKAi を削除し、新たに受け取った第1固有パラメタを追加して固有パラメタ記憶部204に書き込む。
(3)匿名サーバ装置30の構成
送受信部319は、パラメタ生成装置10から、ネットワーク2を介して、パラメタの更新を示す更新指示、クライアント識別子及び第2固有パラメタを受信する。更新指示、クライアント識別子及び第2固有パラメタを受信すると、受信したクライアント識別子及び第2固有パラメタを更新部320へ出力する。
送受信部319は、パラメタ生成装置10から、ネットワーク2を介して、パラメタの更新を示す更新指示、クライアント識別子及び第2固有パラメタを受信する。更新指示、クライアント識別子及び第2固有パラメタを受信すると、受信したクライアント識別子及び第2固有パラメタを更新部320へ出力する。
更新部320は、送受信部319から、更新情報として、クライアント識別子及び第2固有パラメタを受け取る。クライアント識別子及び第2固有パラメタを受け取ると、固有パラメタリスト記憶部312に記憶されているサーバ用固有パラメタリスト331から、受け取ったクライアント識別子を含むサーバ用パラメタ情報を削除し、新たに受け取ったクライアント識別子及び第2固有パラメタを、新たなサーバ用パラメタ情報として、サーバ用固有パラメタリスト331へ追加して書き込む。
(4)各パラメタが更新された後における動作
各パラメタが更新された後において、情報提供装置21の第1変換部205は、更新された第1固有パラメタを用いて、上述したように、コード化個人情報Dから半匿名化個人識別子Cを生成する。
また、各パラメタが更新された後において、匿名サーバ装置30の第2変換部314は、更新された第2固有パラメタを用いて、上述したように、半匿名化個人識別子Cから匿名化個人識別子Eを生成する。
各パラメタが更新された後において、情報提供装置21の第1変換部205は、更新された第1固有パラメタを用いて、上述したように、コード化個人情報Dから半匿名化個人識別子Cを生成する。
また、各パラメタが更新された後において、匿名サーバ装置30の第2変換部314は、更新された第2固有パラメタを用いて、上述したように、半匿名化個人識別子Cから匿名化個人識別子Eを生成する。
1.10 固有パラメタを更新する例(2)
上記において、情報提供装置21において秘密に保持されている第1固有パラメタが、万一盗難などにより暴露された場合に、暴露された第1固有パラメタを新たな第1固有パラメタに更新して匿名情報システム1の安全性を回復する方法について説明した。
しかし、情報提供装置21に秘密に保持されている第1固有パラメタ、及び匿名サーバ装置30に保持されている情報提供装置21に対応する第2固有パラメタの両方が暴露されると、コード化個人情報から匿名化個人識別子への変換処理全体が暴露されることになるので、匿名サーバ装置30に蓄積されている匿名化情報の匿名性が失われてしまう。このため、上述したようなパラメタ更新の方法では、匿名情報システム1の安全性は回復できない。
上記において、情報提供装置21において秘密に保持されている第1固有パラメタが、万一盗難などにより暴露された場合に、暴露された第1固有パラメタを新たな第1固有パラメタに更新して匿名情報システム1の安全性を回復する方法について説明した。
しかし、情報提供装置21に秘密に保持されている第1固有パラメタ、及び匿名サーバ装置30に保持されている情報提供装置21に対応する第2固有パラメタの両方が暴露されると、コード化個人情報から匿名化個人識別子への変換処理全体が暴露されることになるので、匿名サーバ装置30に蓄積されている匿名化情報の匿名性が失われてしまう。このため、上述したようなパラメタ更新の方法では、匿名情報システム1の安全性は回復できない。
また、上記のような、第1及び第2固有パラメタの両方が暴露されなくても、匿名情報システム1の安全性は、使用しているパラメタPのビット数に依存しているので、計算機性能の向上などにより、現在使用しているパラメタPでは、もはや十分な安全性が確保できなくなった場合にも、同様のことが言える。このような場合には、以下のようにして、コード化個人情報から匿名化個人識別子への変換処理自体を更新する。
(1)パラメタ生成装置10の構成
入力部101は、さらに、パラメタ生成装置10の操作者から、匿名情報システム1全体のパラメタの再生成及び変換処理の更新を示す指示を受け付ける。前記指示を受け付けると、パラメタ生成装置10の操作者から、新たなパラメタP’、パラメタG’及びパラメタq’の入力を受け付け、受け付けたパラメタP’、パラメタG’及びパラメタq’を、制御部104へ出力する。
入力部101は、さらに、パラメタ生成装置10の操作者から、匿名情報システム1全体のパラメタの再生成及び変換処理の更新を示す指示を受け付ける。前記指示を受け付けると、パラメタ生成装置10の操作者から、新たなパラメタP’、パラメタG’及びパラメタq’の入力を受け付け、受け付けたパラメタP’、パラメタG’及びパラメタq’を、制御部104へ出力する。
ここで、パラメタP’、パラメタG’及びパラメタq’は、それぞれ、パラメタP、パラメタG及びパラメタqと同様の特性を有するが、パラメタP、パラメタG及びパラメタqとは異なる値をとる。
制御部104は、さらに、入力部101からパラメタP’、パラメタG’及びパラメタq’を、受け取り、受け取ったパラメタP’、パラメタG’及びパラメタq’を追加して情報記憶部105へ書き込む。
制御部104は、さらに、入力部101からパラメタP’、パラメタG’及びパラメタq’を、受け取り、受け取ったパラメタP’、パラメタG’及びパラメタq’を追加して情報記憶部105へ書き込む。
また、制御部104は、さらに、生成用固有パラメタリスト131から全ての生成用パラメタ情報を読み出し、読み出した各生成用パラメタ情報に含まれるクライアント識別子により識別される情報提供装置について、新たに当該情報提供装置に固有のパラメタを生成を指示するパラメタ再生成指示をパラメタ生成部103に対して、出力する。
次に、制御部104は、さらに、各クライアント識別子により識別される情報提供装置について、パラメタ生成部103から、新たな第1固有パラメタJAi 及び新たな第2固有パラメタJBi を受け取る。第1固有パラメタJAi 及び第2固有パラメタJBi を受け取ると、クライアント識別子i、第1固有パラメタJAi 、第2固有パラメタJBi 及び前記情報提供装置を示す装置指定を送受信部106に対して出力し、パラメタG、パラメタP’、クライアント識別子i及び第1固有パラメタJAi を前記装置指定に係る情報提供装置へ送信することを示す第1送信指示と、クライアント識別子i及び第2固有パラメタJBi を、匿名サーバ装置30へ送信することを示す第2送信指示とを送受信部106に対して出力する。
次に、制御部104は、さらに、各クライアント識別子により識別される情報提供装置について、パラメタ生成部103から、新たな第1固有パラメタJAi 及び新たな第2固有パラメタJBi を受け取る。第1固有パラメタJAi 及び第2固有パラメタJBi を受け取ると、クライアント識別子i、第1固有パラメタJAi 、第2固有パラメタJBi 及び前記情報提供装置を示す装置指定を送受信部106に対して出力し、パラメタG、パラメタP’、クライアント識別子i及び第1固有パラメタJAi を前記装置指定に係る情報提供装置へ送信することを示す第1送信指示と、クライアント識別子i及び第2固有パラメタJBi を、匿名サーバ装置30へ送信することを示す第2送信指示とを送受信部106に対して出力する。
ここで、パラメタ生成装置10は、パラメタGを公開するが、パラメタG’は、秘匿する。
パラメタ生成部103は、制御部104からパラメタ再生成指示を受け取る。
パラメタ再生成指示を受け取ると、パラメタ生成部103は、1個の情報提供装置について、情報記憶部105からパラメタP’、パラメタG’及びパラメタq’を読み出す。
パラメタ生成部103は、制御部104からパラメタ再生成指示を受け取る。
パラメタ再生成指示を受け取ると、パラメタ生成部103は、1個の情報提供装置について、情報記憶部105からパラメタP’、パラメタG’及びパラメタq’を読み出す。
次に、パラメタ生成部103は、「1」より大きくqより小さい乱数を生成する。つまり、2≦乱数≦q−1を満たすような乱数を生成する。次に、生成した乱数が、基本固有パラメタとして、情報記憶部105の生成用固有パラメタリスト131内に存在するか否かを判断する。存在する場合には、再度、乱数を生成する。存在しない場合には、生成した乱数を基本固有パラメタYi とし、次に、
Yi ×Yinv =1 mod q’ (式13)
を満たすYinv を算出する。
Yi ×Yinv =1 mod q’ (式13)
を満たすYinv を算出する。
次に、パラメタ生成部103は、第1固有パラメタJAi を
JAi =G’^Yinv mod q’ (式14)
により算出する。
次に、パラメタ生成部103は、第2固有パラメタJBi を
JBi =Yi (式15)
により算出する。
JAi =G’^Yinv mod q’ (式14)
により算出する。
次に、パラメタ生成部103は、第2固有パラメタJBi を
JBi =Yi (式15)
により算出する。
次に、パラメタ生成部103は、クライアント識別子i、基本固有パラメタYi 、第1固有パラメタJAi 及び第2固有パラメタJBi から構成される生成用パラメタ情報を、生成用固有パラメタリスト131へ書き込む。
生成用パラメタ情報の書込みが完了すると、パラメタ生成部103は、制御部104へ、生成した第1固有パラメタJAi 及び第2固有パラメタJBi を出力する。
生成用パラメタ情報の書込みが完了すると、パラメタ生成部103は、制御部104へ、生成した第1固有パラメタJAi 及び第2固有パラメタJBi を出力する。
なお、上記の新たな第1、第2固有パラメタの生成は、情報提供装置毎に個別に行われる。即ち、新たな第1、第2固有パラメータは、情報提供装置毎に異なる値になり、匿名サーバ装置30内の固有パラメタリスト記憶部312には、情報提供装置を識別するクライアント識別子と第2固有パラメータとがリストとして記憶されている。
送受信部106は、制御部104から、クライアント識別子i、第1固有パラメタJAi 、第2固有パラメタJBi 及び前記装置指定を受け取り、さらに、前記第1送信指示及び前記第2送信指示を受け取る。
送受信部106は、制御部104から、クライアント識別子i、第1固有パラメタJAi 、第2固有パラメタJBi 及び前記装置指定を受け取り、さらに、前記第1送信指示及び前記第2送信指示を受け取る。
前記第1送信指示及び前記第2送信指示を受け取ると、送受信部106は、情報記憶部105からパラメタG、パラメタP’を読み出し、読み出したパラメタG、パラメタP’、受け取ったクライアント識別子i及び第1固有パラメタJAi を、ネットワーク2を介して、前記装置指定により示される情報提供装置へ送信する。次に、読み出したパラメタP’、受け取ったクライアント識別子i及び第2固有パラメタJBi を、ネットワーク2を介して、匿名サーバ装置30へ送信する。
(2)情報提供装置21の構成
システムパラメタ記憶部203は、さらに、新たなパラメタP’を記憶するための領域を備えている。
固有パラメタ記憶部204は、さらに、新たな第1固有パラメタJAi を記憶するための領域を備えている。
システムパラメタ記憶部203は、さらに、新たなパラメタP’を記憶するための領域を備えている。
固有パラメタ記憶部204は、さらに、新たな第1固有パラメタJAi を記憶するための領域を備えている。
送受信部208は、さらに、パラメタ生成装置10から、ネットワーク2を介して、パラメタG、パラメタP’及び第1固有パラメタJAi を受信する。パラメタG、パラメタP’及び第1固有パラメタJAi を受信すると、送受信部208は、受信したパラメタG及びパラメタP’をシステムパラメタ記憶部203に書き込み、受信した第1固有パラメタJAi を固有パラメタ記憶部204に書き込む。
入力部201は、さらに、情報提供装置21の操作者から、個人特定情報S及び個人関連情報Rの入力を受け付ける。
コード化部202は、さらに、個人特定情報Sをコード化個人情報Dに変換する。
第1変換部205は、さらに、コード化個人情報Dを受け取り、コード化個人情報Dを受け取ると、システムパラメタ記憶部203からパラメタG、パラメタP231及びパラメタP’を読み出し、固有パラメタ記憶部204から第1固有パラメタJAi を読み出し、コード化個人情報D、パラメタG、パラメタP231を用いて、匿名化個人識別子Eを算出する。
コード化部202は、さらに、個人特定情報Sをコード化個人情報Dに変換する。
第1変換部205は、さらに、コード化個人情報Dを受け取り、コード化個人情報Dを受け取ると、システムパラメタ記憶部203からパラメタG、パラメタP231及びパラメタP’を読み出し、固有パラメタ記憶部204から第1固有パラメタJAi を読み出し、コード化個人情報D、パラメタG、パラメタP231を用いて、匿名化個人識別子Eを算出する。
E=G^D mod P (式16)
次に、第1変換部205は、算出した匿名化個人識別子E、読み出したパラメタP’及び読み出した第1固有パラメタJAi を用いて、次式による半匿名化処理を施して、半匿名化個人識別子C’を生成する。
C’=(JAi )^E mod P’ (式17)
次に、第1変換部205は、生成した半匿名化個人識別子C’を結合部207へ出力する。
次に、第1変換部205は、算出した匿名化個人識別子E、読み出したパラメタP’及び読み出した第1固有パラメタJAi を用いて、次式による半匿名化処理を施して、半匿名化個人識別子C’を生成する。
C’=(JAi )^E mod P’ (式17)
次に、第1変換部205は、生成した半匿名化個人識別子C’を結合部207へ出力する。
結合部207は、入力部201から個人関連情報Rを受け取り、第1変換部205から半匿名化個人識別子C’を受け取り、識別子記憶部206からクライアント識別子i251を読み出し、読み出したクライアント識別子iと、受け取った半匿名化個人識別子C’と、受け取った個人関連情報Rとを、この順序で結合し、半匿名化情報H’を生成する。
H’=i||C’||R (式18)
送受信部208は、半匿名化情報H’を、ネットワーク2を介して、匿名サーバ装置30へ送信する。
H’=i||C’||R (式18)
送受信部208は、半匿名化情報H’を、ネットワーク2を介して、匿名サーバ装置30へ送信する。
(3)匿名サーバ装置30の構成
システムパラメタ記憶部313は、さらに、パラメタP’を記憶するための領域を備えている。
送受信部319は、さらに、パラメタ生成装置10から、ネットワーク2を介して、パラメタP’を受け取り、受け取ったパラメタP’をシステムパラメタ記憶部313へ書き込む。また、送受信部319は、パラメタ生成装置10から、ネットワーク2を介して、クライアント識別子i及び第2固有パラメタJBi を受け取り、受け取ったクライアント識別子i及び第2固有パラメタJBi をサーバ用パラメタ情報として、固有パラメタリスト記憶部312が有するサーバ用固有パラメタリスト331へ追加して書き込む。また、送受信部319は、いずれかの情報提供装置から、半匿名化情報H’を受け取り、受け取った半匿名化情報H’をデータ分割部311へ出力する。
システムパラメタ記憶部313は、さらに、パラメタP’を記憶するための領域を備えている。
送受信部319は、さらに、パラメタ生成装置10から、ネットワーク2を介して、パラメタP’を受け取り、受け取ったパラメタP’をシステムパラメタ記憶部313へ書き込む。また、送受信部319は、パラメタ生成装置10から、ネットワーク2を介して、クライアント識別子i及び第2固有パラメタJBi を受け取り、受け取ったクライアント識別子i及び第2固有パラメタJBi をサーバ用パラメタ情報として、固有パラメタリスト記憶部312が有するサーバ用固有パラメタリスト331へ追加して書き込む。また、送受信部319は、いずれかの情報提供装置から、半匿名化情報H’を受け取り、受け取った半匿名化情報H’をデータ分割部311へ出力する。
データ分割部311は、さらに、送受信部319から半匿名化情報H’を受け取る。半匿名化情報H’を受け取ると、受け取った半匿名化情報H’を分割して、クライアント識別子i、半匿名化個人識別子C’及び個人関連情報Rを生成する。次に、データ分割部311は、生成したクライアント識別子i及び半匿名化個人識別子C’を第2変換部314へ出力し、生成した個人関連情報Rを結合部315へ出力する。
第2変換部314は、さらに、データ分割部311からクライアント識別子i及び半匿名化個人識別子C’を受け取る。クライアント識別子i及び半匿名化個人識別子C’を受け取ると、受け取ったクライアント識別子iを含むサーバ用パラメタ情報を、サーバ用固有パラメタリスト331から抽出し、抽出したサーバ用パラメタ情報から、第2固有パラメタJBi を抽出する。また、システムパラメタ記憶部313からパラメタP’を読み出す。
次に、第2変換部314は、読み出したパラメタP’、抽出した第2固有パラメタJBi 及び受け取った半匿名化個人識別子C’を用いて、次式による匿名化処理を施して、匿名化個人識別子E’を算出する。
E’=(C’)^JBi mod P’ (式19)
次に、第2変換部314は、生成した匿名化個人識別子E’を結合部315へ出力する。
E’=(C’)^JBi mod P’ (式19)
次に、第2変換部314は、生成した匿名化個人識別子E’を結合部315へ出力する。
結合部315は、さらに、第2変換部314から匿名化個人識別子E’を受け取り、データ分割部311から個人関連情報Rを受け取る。匿名化個人識別子E’及び個人関連情報Rを受け取ると、受け取った匿名化個人識別子E’及び個人関連情報Rをこの順序で結合して、結合体E’||Rを得、結合体E’||Rを識別子付加部316へ出力する。
識別子付加部316は、さらに、結合部315から結合体E’||Rを受け取る。結合体E’||Rを受け取ると、受け取った結合体E’||Rを一意に識別する匿名化情報識別子J’を生成する。次に、識別子付加部316は、生成した匿名化情報識別子J’と受け取った結合体E’||Rとを、この順序で結合して、匿名化情報F’を生成する。
識別子付加部316は、さらに、結合部315から結合体E’||Rを受け取る。結合体E’||Rを受け取ると、受け取った結合体E’||Rを一意に識別する匿名化情報識別子J’を生成する。次に、識別子付加部316は、生成した匿名化情報識別子J’と受け取った結合体E’||Rとを、この順序で結合して、匿名化情報F’を生成する。
F’=J’||E’||R (式20)
次に、生成した匿名化情報F’を情報記憶部317へ書き込む。
(4)コード化個人情報から匿名化個人識別子への変換処理自体の更新について
コード化個人情報から匿名化個人識別子への変換処理自体が更新された場合におけるコード化個人情報、匿名化個人識別子及び新匿名化個人識別子の関係を図17に模式的に示す。
次に、生成した匿名化情報F’を情報記憶部317へ書き込む。
(4)コード化個人情報から匿名化個人識別子への変換処理自体の更新について
コード化個人情報から匿名化個人識別子への変換処理自体が更新された場合におけるコード化個人情報、匿名化個人識別子及び新匿名化個人識別子の関係を図17に模式的に示す。
コード化個人情報から匿名化個人識別子への変換処理自体の更新する場合には、情報提供装置21は、最初に、コード化個人情報Dから匿名化個人識別子Eへの変換処理961を施す。変換処理961により、上記の実施の形態における半匿名化処理及び匿名化処理をこの順序で施す場合と同じ結果が得られる。
次に、情報提供装置21は、こうして得られた匿名化個人識別子Eに対して、上記の実施の形態において説明した半匿名化処理962を施して、新半匿名化個人識別子C’1 が得られる。
次に、情報提供装置21は、こうして得られた匿名化個人識別子Eに対して、上記の実施の形態において説明した半匿名化処理962を施して、新半匿名化個人識別子C’1 が得られる。
次に、匿名サーバ装置30は、新半匿名化個人識別子C’1 に、上記の実施の形態において説明した匿名化処理964を施して、新匿名化個人識別子E’を生成する。
また、情報提供装置22は、最初に、コード化個人情報Dから匿名化個人識別子Eへの変換処理971を施す。次に、情報提供装置22は、こうして得られた匿名化個人識別子Eに対して、半匿名化処理972を施して、新半匿名化個人識別子C’2 を得る。次に、匿名サーバ装置30は、新半匿名化個人識別子C’2 に、半匿名化処理974を施して、新匿名化個人識別子E’を生成する。
また、情報提供装置22は、最初に、コード化個人情報Dから匿名化個人識別子Eへの変換処理971を施す。次に、情報提供装置22は、こうして得られた匿名化個人識別子Eに対して、半匿名化処理972を施して、新半匿名化個人識別子C’2 を得る。次に、匿名サーバ装置30は、新半匿名化個人識別子C’2 に、半匿名化処理974を施して、新匿名化個人識別子E’を生成する。
さらに、情報提供装置23は、最初に、コード化個人情報Dから匿名化個人識別子Eへの変換処理981を施す。次に、情報提供装置23は、こうして得られた匿名化個人識別子Eに対して、半匿名化処理982を施して、新半匿名化個人識別子C’3 を得る。次に、匿名サーバ装置30は、新半匿名化個人識別子C’3 に、匿名化処理984を施して、新匿名化個人識別子E’を生成する。
(5)匿名情報システム1の変換処理自体の更新の動作
匿名情報システム1の変換処理自体の更新の動作について説明する。
(a)パラメタ更新の動作
匿名情報システム1におけるパラメタ更新の動作について、図18〜図19に示すフローチャートを用いて、説明する。
匿名情報システム1の変換処理自体の更新の動作について説明する。
(a)パラメタ更新の動作
匿名情報システム1におけるパラメタ更新の動作について、図18〜図19に示すフローチャートを用いて、説明する。
パラメタ生成装置10の入力部101は、パラメタ生成装置10の操作者から、匿名情報システム1全体のパラメタの再生成及び変換処理の更新を示す指示を受け付け、さらに、新たなパラメタP’、パラメタG’及びパラメタq’の入力を受け付け、制御部104は、受け取ったパラメタP’、パラメタG’及びパラメタq’を追加して情報記憶部105へ書き込む(ステップS101a)。
次に、制御部104は、生成用固有パラメタリスト131から全ての生成用パラメタ情報を読み出し、読み出した各生成用パラメタ情報に含まれるクライアント識別子iを選択する(ステップS102a)。
次に、パラメタ生成部103は、2≦乱数≦q’−1を満たすような乱数を生成し(ステップS103a)、生成した乱数が、基本固有パラメタとして、情報記憶部105の生成用固有パラメタリスト131内に存在するか否かを判断し、存在する場合には(ステップS104aでYES)、再度、乱数を生成する(ステップS103a)。存在しない場合には(ステップS104aでNO)、生成した乱数を基本固有パラメタYi とし、次に、Yi ×Yinv =1 mod q’を満たすYinv を算出し(ステップS105a)、第1固有パラメタJAi を
JAi =G’^Yinv mod P’により算出し(ステップS106a)、第2固有パラメタJBi をJBi =Yi により算出する(ステップS107a)。
次に、パラメタ生成部103は、2≦乱数≦q’−1を満たすような乱数を生成し(ステップS103a)、生成した乱数が、基本固有パラメタとして、情報記憶部105の生成用固有パラメタリスト131内に存在するか否かを判断し、存在する場合には(ステップS104aでYES)、再度、乱数を生成する(ステップS103a)。存在しない場合には(ステップS104aでNO)、生成した乱数を基本固有パラメタYi とし、次に、Yi ×Yinv =1 mod q’を満たすYinv を算出し(ステップS105a)、第1固有パラメタJAi を
JAi =G’^Yinv mod P’により算出し(ステップS106a)、第2固有パラメタJBi をJBi =Yi により算出する(ステップS107a)。
送受信部106は、情報記憶部105からパラメタG、パラメタP’を読み出し、読み出したパラメタG、パラメタP’を情報提供装置へ送信し、第1固有パラメタJAi を情報提供装置へ送信する(ステップS109a〜S110a)。次に、読み出したパラメタP’を匿名サーバ装置30へ送信し(ステップS113a)、クライアント識別子i及び第2固有パラメタJBi を、ネットワーク2を介して、匿名サーバ装置30へ送信する(ステップS114a)。
情報提供装置の送受信部208は、第1固有パラメタJAi を固有パラメタ記憶部204へ書き込み(ステップS111a)、パラメタG及びパラメタP’をシステムパラメタ記憶部203へ書き込む(ステップS112a)。
匿名サーバ装置30の送受信部319は、パラメタP’をシステムパラメタ記憶部313へ書き込み、クライアント識別子i及び第2固有パラメタJBi をサーバ用固有パラメタリスト331へ書き込む(ステップS115a)。
匿名サーバ装置30の送受信部319は、パラメタP’をシステムパラメタ記憶部313へ書き込み、クライアント識別子i及び第2固有パラメタJBi をサーバ用固有パラメタリスト331へ書き込む(ステップS115a)。
(b)半匿名化情報の生成の動作
(b)情報提供装置21による半匿名化情報の生成の動作について、図20に示すフローチャートを用いて説明する。
入力部201は、情報提供装置21の操作者から、個人特定情報S及び個人関連情報Rの入力を受け付ける(ステップS121a〜ステップS122a)。
(b)情報提供装置21による半匿名化情報の生成の動作について、図20に示すフローチャートを用いて説明する。
入力部201は、情報提供装置21の操作者から、個人特定情報S及び個人関連情報Rの入力を受け付ける(ステップS121a〜ステップS122a)。
次に、コード化部202は、個人特定情報Sをコード化個人情報Dに変換する(ステップS123a)。
第1変換部205は、システムパラメタ記憶部203からパラメタG、パラメタP231及びパラメタP’を読み出し(ステップS123b)、コード化個人情報D、パラメタG、パラメタP231を用いて、匿名化個人識別子E=G^D mod Pを算出する(ステップS123c)。
第1変換部205は、システムパラメタ記憶部203からパラメタG、パラメタP231及びパラメタP’を読み出し(ステップS123b)、コード化個人情報D、パラメタG、パラメタP231を用いて、匿名化個人識別子E=G^D mod Pを算出する(ステップS123c)。
次に、第1変換部205は、パラメタP’及び第1固有パラメタJAi を読み出し(ステップS124a)、算出した匿名化個人識別子E、読み出したパラメタP’及び読み出した第1固有パラメタJAi を用いて、半匿名化個人識別子C’=(JAi )^E mod P’を生成する(ステップS125a)。
次に、結合部207は、識別子記憶部206からクライアント識別子i251を読み出し(ステップS126a)、読み出したクライアント識別子iと、受け取った半匿名化個人識別子C’と、受け取った個人関連情報Rとを、この順序で結合し、半匿名化情報H’=i||C’||Rを生成する(ステップS127a)。
次に、結合部207は、識別子記憶部206からクライアント識別子i251を読み出し(ステップS126a)、読み出したクライアント識別子iと、受け取った半匿名化個人識別子C’と、受け取った個人関連情報Rとを、この順序で結合し、半匿名化情報H’=i||C’||Rを生成する(ステップS127a)。
次に、送受信部208は、半匿名化情報H’を、ネットワーク2を介して、匿名サーバ装置30へ送信する(ステップS128a)。
(c)匿名化情報の生成の動作
匿名サーバ装置30による匿名化情報の生成の動作について、図21〜図22に示すフローチャートを用いて説明する。
(c)匿名化情報の生成の動作
匿名サーバ装置30による匿名化情報の生成の動作について、図21〜図22に示すフローチャートを用いて説明する。
送受信部319は、情報提供装置21から、半匿名化情報H’を受け取る(ステップS141a)。
次に、データ分割部311は、受け取った半匿名化情報H’を分割して、クライアント識別子i、半匿名化個人識別子C’及び個人関連情報Rを生成する(ステップS142a)。
次に、データ分割部311は、受け取った半匿名化情報H’を分割して、クライアント識別子i、半匿名化個人識別子C’及び個人関連情報Rを生成する(ステップS142a)。
第2変換部314は、受け取ったクライアント識別子iを含むサーバ用パラメタ情報を、サーバ用固有パラメタリスト331から抽出し、抽出したサーバ用パラメタ情報から、第2固有パラメタJBi を抽出し(ステップS143a)、システムパラメタ記憶部313からパラメタP’を読み出す(ステップS144a)。
次に、第2変換部314は、読み出したパラメタP’、抽出した第2固有パラメタJBi 及び受け取った半匿名化個人識別子C’を用いて、匿名化個人識別子E’=(C’)^JBi mod P’を算出する(ステップS145a)。
次に、第2変換部314は、読み出したパラメタP’、抽出した第2固有パラメタJBi 及び受け取った半匿名化個人識別子C’を用いて、匿名化個人識別子E’=(C’)^JBi mod P’を算出する(ステップS145a)。
次に、結合部315は、匿名化個人識別子E’及び個人関連情報Rをこの順序で結合し(ステップS146a)、識別子付加部316は、匿名化情報識別子J’を生成し(ステップS147a)、匿名化情報識別子J’と受け取った結合体E’||Rとを、この順序で結合して、匿名化情報F’=J’||E’||Rを生成し(ステップS148a)、生成した匿名化情報F’を情報記憶部317へ書き込む(ステップS149a)。
2.変形例(1)
匿名情報システム1の変形例としての匿名情報システム1a(図示していない)について説明する。
匿名情報システム1aは、匿名情報システム1と同様に、パラメタ生成装置10a、情報提供装置21a、22a、23a、・・・、匿名サーバ装置30a及び情報検索装置41、42、・・・から構成されており、パラメタ生成装置10a、情報提供装置21a、22a、23a、・・・、匿名サーバ装置30a及び情報検索装置41、42は、ネットワーク2aを介して相互に接続されている。
匿名情報システム1の変形例としての匿名情報システム1a(図示していない)について説明する。
匿名情報システム1aは、匿名情報システム1と同様に、パラメタ生成装置10a、情報提供装置21a、22a、23a、・・・、匿名サーバ装置30a及び情報検索装置41、42、・・・から構成されており、パラメタ生成装置10a、情報提供装置21a、22a、23a、・・・、匿名サーバ装置30a及び情報検索装置41、42は、ネットワーク2aを介して相互に接続されている。
パラメタ生成装置10a、情報提供装置21a、22a、23a、・・・及び匿名サーバ装置30aは、それぞれ、パラメタ生成装置10、情報提供装置21、22、23、・・・及び匿名サーバ装置30に類似の構成を有しており、匿名情報システム1aの情報検索装置41、42、・・・は、それぞれ、匿名情報システム1の情報検索装置41、42、・・・と同一の構成を有している。
以下において、匿名情報システム1との相違点を中心として説明する。
2.1 パラメタ生成装置10aの構成
パラメタ生成装置10aは、入力部101a、表示部102a、パラメタ生成部103a、制御部104a、情報記憶部105a及び送受信部106aから構成されている(図示していない)。
2.1 パラメタ生成装置10aの構成
パラメタ生成装置10aは、入力部101a、表示部102a、パラメタ生成部103a、制御部104a、情報記憶部105a及び送受信部106aから構成されている(図示していない)。
入力部101a、表示部102a、パラメタ生成部103a、制御部104a、情報記憶部105a及び送受信部106aは、それぞれ、パラメタ生成装置10の入力部101、表示部102、パラメタ生成部103、制御部104、情報記憶部105及び送受信部106と同様の構成を有している。
ここでは、パラメタ生成装置10との相違点を中心として説明する。
ここでは、パラメタ生成装置10との相違点を中心として説明する。
入力部101aは、外部から匿名情報システム1aに固有のシステム固有モジュラスPを取得する。ここで、システム固有モジュラスPは、192ビット長の素数である。また、入力部101aは、匿名情報システム1aに固有の楕円曲線E0 の係数a、bを取得する。ここで、楕円曲線E0 は、
y2 = x3 + ax + b(mod P)により表現される。
また、入力部101aは、匿名情報システム1aに固有のベースポイントG及び位数qを取得する。ここで、ベースポイントGは、楕円曲線E0 上の点であり、Gの位数は、qである。また、Gは、半匿名化処理及び匿名化処理をシリアルに施す変換処理における基本パラメタである。
y2 = x3 + ax + b(mod P)により表現される。
また、入力部101aは、匿名情報システム1aに固有のベースポイントG及び位数qを取得する。ここで、ベースポイントGは、楕円曲線E0 上の点であり、Gの位数は、qである。また、Gは、半匿名化処理及び匿名化処理をシリアルに施す変換処理における基本パラメタである。
入力部101aは、取得したシステム固有モジュラスP、係数a、係数b、ベースポイントG及び位数qを情報記憶部105aに書き込む。
送受信部106aは、情報記憶部105aに記憶されているシステム固有モジュラスP、係数a、係数bを、匿名情報システム1aに固有のシステムパラメタとして公開する。つまり、送受信部106aは、システム固有モジュラスP、係数a、係数bを、ネットワーク2aを介して、情報提供装置21a、22a、23a、・・・、匿名サーバ装置30aへ送信する。
送受信部106aは、情報記憶部105aに記憶されているシステム固有モジュラスP、係数a、係数bを、匿名情報システム1aに固有のシステムパラメタとして公開する。つまり、送受信部106aは、システム固有モジュラスP、係数a、係数bを、ネットワーク2aを介して、情報提供装置21a、22a、23a、・・・、匿名サーバ装置30aへ送信する。
情報記憶部105aに記憶されているベースポイントG及び位数qは、システムに固有の秘密鍵として秘匿される。
パラメタ生成部103aは、整数である基本固有パラメタXを、2≦X≦q−1の範囲でランダムに選び、Xi ×Xinv =1 mod q (式21)
を満たすXinv を算出する。
パラメタ生成部103aは、整数である基本固有パラメタXを、2≦X≦q−1の範囲でランダムに選び、Xi ×Xinv =1 mod q (式21)
を満たすXinv を算出する。
ここで、「×」は、GF(q)上の乗算である。
次に、パラメタ生成部103aは、第1固有パラメタKAi を
KAi =Xinv *G (over E0 ) (式22)
式22においては、GがXinv 回加算されている。つまり、式22は、加算の繰返演算を示している。
により算出する。ここで、「*」は、楕円曲線E0 上の乗算を示す演算子であり、第1固有パラメタKAi は、楕円曲線E0 の点である。
次に、パラメタ生成部103aは、第1固有パラメタKAi を
KAi =Xinv *G (over E0 ) (式22)
式22においては、GがXinv 回加算されている。つまり、式22は、加算の繰返演算を示している。
により算出する。ここで、「*」は、楕円曲線E0 上の乗算を示す演算子であり、第1固有パラメタKAi は、楕円曲線E0 の点である。
次に、パラメタ生成部103は、第2固有パラメタKBi を
KBi =Xi (式23)
により算出する。
なお、
KBi *KAi (over E0 )=Xi ×Xinv *G (over E0 )
=G (over E0 )
であるので、第1固有パラメタと第2固有パラメタは、基本パラメタであるベースポイントGに関して、補完的な関係にある。
KBi =Xi (式23)
により算出する。
なお、
KBi *KAi (over E0 )=Xi ×Xinv *G (over E0 )
=G (over E0 )
であるので、第1固有パラメタと第2固有パラメタは、基本パラメタであるベースポイントGに関して、補完的な関係にある。
送受信部106aは、ネットワーク2aを介して、第1固有パラメタKAi を情報提供装置へ送信し、第2固有パラメタKBi を匿名サーバ装置30へ送信する。
2.2 情報提供装置21aの構成
情報提供装置21aは、情報提供装置21と同様に、入力部201a、コード化部202a、システムパラメタ記憶部203a、固有パラメタ記憶部204a、第1変換部205a、識別子記憶部206a、結合部207a、送受信部208a及び更新部209aから構成されている(図示していない)。
2.2 情報提供装置21aの構成
情報提供装置21aは、情報提供装置21と同様に、入力部201a、コード化部202a、システムパラメタ記憶部203a、固有パラメタ記憶部204a、第1変換部205a、識別子記憶部206a、結合部207a、送受信部208a及び更新部209aから構成されている(図示していない)。
入力部201a、コード化部202a、システムパラメタ記憶部203a、固有パラメタ記憶部204a、第1変換部205a、識別子記憶部206a、結合部207a、送受信部208a及び更新部209aは、それぞれ、情報提供装置21の入力部201、コード化部202、システムパラメタ記憶部203、固有パラメタ記憶部204、第1変換部205、識別子記憶部206、結合部207、送受信部208及び更新部209と同様の構成を有している。
ここでは、情報提供装置21との相違点を中心として説明する。
送受信部106aは、ネットワーク2を介して、パラメタ生成装置10aから、システム固有モジュラスP、係数a、係数bを受信し、受信したシステム固有モジュラスP、係数a、係数bをシステムパラメタ記憶部203aへ書き込む。
また、送受信部106aは、ネットワーク2を介して、パラメタ生成装置10aから、第1固有パラメタKAi を受信し、受信した第1固有パラメタKAi を固有パラメタ記憶部204aへ書き込む。
送受信部106aは、ネットワーク2を介して、パラメタ生成装置10aから、システム固有モジュラスP、係数a、係数bを受信し、受信したシステム固有モジュラスP、係数a、係数bをシステムパラメタ記憶部203aへ書き込む。
また、送受信部106aは、ネットワーク2を介して、パラメタ生成装置10aから、第1固有パラメタKAi を受信し、受信した第1固有パラメタKAi を固有パラメタ記憶部204aへ書き込む。
第1変換部205aは、コード化個人情報D、読み出したパラメタP、係数a、係数b及び第1固有パラメタKAi を用いて、次式による半匿名化処理を施して、半匿名化個人識別子Cを生成する。
C=D*KAi (over E0 ) (式24)
式24においては、KAi がD回加算されている。つまり、式24は、加算の繰返演算を示している。
C=D*KAi (over E0 ) (式24)
式24においては、KAi がD回加算されている。つまり、式24は、加算の繰返演算を示している。
ここで、半匿名化個人識別子Cは、楕円曲線E0 の点である。
結合部207aは、読み出したクライアント識別子iと、受け取った半匿名化個人識別子Cのx座標値Cx と、y座標値Cy と、受け取った個人関連情報Rとを、この順序で結合し、半匿名化情報Hを生成する。
H=i||Cx ||Cy ||R (式25)
送受信部208aは、半匿名化情報Hをネットワーク2aを介して、匿名サーバ装置30aへ送信する。
結合部207aは、読み出したクライアント識別子iと、受け取った半匿名化個人識別子Cのx座標値Cx と、y座標値Cy と、受け取った個人関連情報Rとを、この順序で結合し、半匿名化情報Hを生成する。
H=i||Cx ||Cy ||R (式25)
送受信部208aは、半匿名化情報Hをネットワーク2aを介して、匿名サーバ装置30aへ送信する。
2.3 匿名サーバ装置30a
匿名サーバ装置30aは、匿名サーバ装置30と同様に、データ分割部311a、固有パラメタリスト記憶部312a、システムパラメタ記憶部313a、第2変換部314a、結合部315a、識別子付加部316a、情報記憶部317a、検索部318a、送受信部319a及び更新部320aから構成されている(図示していない)。
匿名サーバ装置30aは、匿名サーバ装置30と同様に、データ分割部311a、固有パラメタリスト記憶部312a、システムパラメタ記憶部313a、第2変換部314a、結合部315a、識別子付加部316a、情報記憶部317a、検索部318a、送受信部319a及び更新部320aから構成されている(図示していない)。
データ分割部311a、固有パラメタリスト記憶部312a、システムパラメタ記憶部313a、第2変換部314a、結合部315a、識別子付加部316a、情報記憶部317a、検索部318a、送受信部319a及び更新部320aは、それぞれ、匿名サーバ装置30のデータ分割部311、固有パラメタリスト記憶部312、システムパラメタ記憶部313、第2変換部314、結合部315、識別子付加部316、情報記憶部317、検索部318、送受信部319及び更新部320と同様の構成を有している。
送受信部319aは、パラメタ生成装置10aから、ネットワーク2aを介して、システム固有モジュラスP、係数a、係数bを受信し、受信したシステム固有モジュラスP、係数a、係数bをシステムパラメタ記憶部313aへ書き込む。
また、また、送受信部319aは、ネットワーク2を介して、パラメタ生成装置10aから、第2固有パラメタKBi を受信し、受信した第2固有パラメタKBi を固有パラメタリスト記憶部331aへ書き込む。
また、また、送受信部319aは、ネットワーク2を介して、パラメタ生成装置10aから、第2固有パラメタKBi を受信し、受信した第2固有パラメタKBi を固有パラメタリスト記憶部331aへ書き込む。
第2変換部314aは、システム固有モジュラスP、係数a、係数b、第2固有パラメタKBi 及び半匿名化個人識別子Cを用いて、次式による匿名化処理を施して、匿名化個人識別子Eを算出する。
E= KBi *C (over E0 ) (式26)
式26においては、CがKBi 回加算されている。つまり、式26は、加算の繰返演算を示している。
E= KBi *C (over E0 ) (式26)
式26においては、CがKBi 回加算されている。つまり、式26は、加算の繰返演算を示している。
ここで、匿名化個人識別子Eは、楕円曲線E0 の点である。
結合部315aは、匿名化個人識別子EのX座標値Ex 、Y座標値Ey 及び個人関連情報Rをこの順序で結合して、結合体Ex ||Ey ||Rを得る。
識別子付加部316aは、匿名化情報識別子Jと結合体Ex ||Ey ||Rとを、この順序で結合して、匿名化情報Fを生成する。
結合部315aは、匿名化個人識別子EのX座標値Ex 、Y座標値Ey 及び個人関連情報Rをこの順序で結合して、結合体Ex ||Ey ||Rを得る。
識別子付加部316aは、匿名化情報識別子Jと結合体Ex ||Ey ||Rとを、この順序で結合して、匿名化情報Fを生成する。
F=J||Ex ||Ey ||R (式27)
次に、識別子付加部316aは、生成した匿名化情報Fを情報記憶部317aへ書き込む。
2.4 補足説明
情報提供装置21aにより算出された半匿名化個人識別子は、
C=D*KAi (over E0 )
=(D×Xinv )*G (over E0 )
さらに、匿名サーバ装置30aにより算出された匿名化個人識別子Eは、
E= KBi *C (over E0 )
=(D×X×Xinv )*G (over E0 )
=D*G (over E0 )
このように、コード化個人情報Dに半匿名化処理D*KAi (over E0 )を施し、さらにその結果に匿名化処理KBi *C(over E0 )を施すと、その結果は、常に、D*G (over E0 )になる。
次に、識別子付加部316aは、生成した匿名化情報Fを情報記憶部317aへ書き込む。
2.4 補足説明
情報提供装置21aにより算出された半匿名化個人識別子は、
C=D*KAi (over E0 )
=(D×Xinv )*G (over E0 )
さらに、匿名サーバ装置30aにより算出された匿名化個人識別子Eは、
E= KBi *C (over E0 )
=(D×X×Xinv )*G (over E0 )
=D*G (over E0 )
このように、コード化個人情報Dに半匿名化処理D*KAi (over E0 )を施し、さらにその結果に匿名化処理KBi *C(over E0 )を施すと、その結果は、常に、D*G (over E0 )になる。
3.変形例(2)
匿名情報システム1の変形例としての匿名情報システム1b(図示していない)について説明する。
匿名情報システム1bは、匿名情報システム1と同様に、パラメタ生成装置10b、情報提供装置21b、22b、23b、・・・、匿名サーバ装置30b及び情報検索装置41、42、・・・から構成されており、パラメタ生成装置10b、情報提供装置21b、22b、23b、・・・、匿名サーバ装置30b及び情報検索装置41、42は、ネットワーク2bを介して相互に接続されている。
匿名情報システム1の変形例としての匿名情報システム1b(図示していない)について説明する。
匿名情報システム1bは、匿名情報システム1と同様に、パラメタ生成装置10b、情報提供装置21b、22b、23b、・・・、匿名サーバ装置30b及び情報検索装置41、42、・・・から構成されており、パラメタ生成装置10b、情報提供装置21b、22b、23b、・・・、匿名サーバ装置30b及び情報検索装置41、42は、ネットワーク2bを介して相互に接続されている。
パラメタ生成装置10b、情報提供装置21b、22b、23b、・・・及び匿名サーバ装置30bは、それぞれ、パラメタ生成装置10、情報提供装置21、22、23、・・・及び匿名サーバ装置30に類似の構成を有しており、匿名情報システム1bの情報検索装置41、42、・・・は、それぞれ、匿名情報システム1の情報検索装置41、42、・・・と同一の構成を有している。
以下において、匿名情報システム1との相違点を中心として説明する。
3.1 パラメタ生成装置10bの構成
パラメタ生成装置10bは、入力部101b、表示部102b、パラメタ生成部103b、制御部104b、情報記憶部105b及び送受信部106bから構成されている(図示していない)。
3.1 パラメタ生成装置10bの構成
パラメタ生成装置10bは、入力部101b、表示部102b、パラメタ生成部103b、制御部104b、情報記憶部105b及び送受信部106bから構成されている(図示していない)。
入力部101b、表示部102b、パラメタ生成部103b、制御部104b、情報記憶部105b及び送受信部106bは、それぞれ、パラメタ生成装置10の入力部101、表示部102、パラメタ生成部103、制御部104、情報記憶部105及び送受信部106と同様の構成を有している。
ここでは、パラメタ生成装置10との相違点を中心として説明する。
ここでは、パラメタ生成装置10との相違点を中心として説明する。
入力部101bは、外部から匿名情報システム1bに固有のシステム固有モジュラスNを取得する。ここで、システム固有モジュラスNは、1024ビット長の整数であり、N=P×Qであり、P及びQは、それぞれ素数である。また、入力部101bは、外部から匿名情報システム1bに固有のシステム固有秘密値Xを取得する。システム固有秘密値Xは、1024ビット長の整数であり、
2≦X≦λ(N)−1 (式28)
を満たし、λ(N)とXとは、互いに素であり、
λ(N)=カーマイケル関数であり、N=P×Qで、P及びQがそれぞれ素数の場合、λ(N)=LCM(P−1、Q−1)である。ここで、LCM(A、B)は、AとBの最小公倍数を表す。
2≦X≦λ(N)−1 (式28)
を満たし、λ(N)とXとは、互いに素であり、
λ(N)=カーマイケル関数であり、N=P×Qで、P及びQがそれぞれ素数の場合、λ(N)=LCM(P−1、Q−1)である。ここで、LCM(A、B)は、AとBの最小公倍数を表す。
ここで、Nは、システムパラメタとして公開され、X、P、Q、λ(N)は、公開されず、システム固有の秘密値として秘匿される。
入力部101bは、システム固有モジュラスN、システム固有秘密値X及びλ(N)を情報記憶部105bに書き込む。
送受信部106bは、情報記憶部105bに記憶されているシステム固有モジュラスNを、匿名情報システム1bに固有のシステムパラメタとして公開する。つまり、送受信部106bは、システム固有モジュラスNを、ネットワーク2bを介して、情報提供装置21b、22b、23b、・・・、匿名サーバ装置30bへ送信する。
入力部101bは、システム固有モジュラスN、システム固有秘密値X及びλ(N)を情報記憶部105bに書き込む。
送受信部106bは、情報記憶部105bに記憶されているシステム固有モジュラスNを、匿名情報システム1bに固有のシステムパラメタとして公開する。つまり、送受信部106bは、システム固有モジュラスNを、ネットワーク2bを介して、情報提供装置21b、22b、23b、・・・、匿名サーバ装置30bへ送信する。
情報記憶部105bに記憶されているシステム固有秘密値X及びλ(N)は、システムに固有の秘密鍵として秘匿される。
パラメタ生成部103bは、第2固有パラメタKBi を、
2≦KBi ≦λ(N)−1 (式29)
を満たし、
かつλ(N)とKBi とが互いに素となるようにランダムに選択する。
パラメタ生成部103bは、第2固有パラメタKBi を、
2≦KBi ≦λ(N)−1 (式29)
を満たし、
かつλ(N)とKBi とが互いに素となるようにランダムに選択する。
さらに、パラメタ生成部103bは、
KAi ×KBi =X mod λ(N) (式30)
を満たすKAi を算出する。
ここで、Xは、半匿名化処理及び匿名化処理をシリアルに施す変換処理における基本パラメタである。また、式30により、第1固有パラメタと第2固有パラメタは、基本パラメタであるXに関して、補完的な関係にある。
KAi ×KBi =X mod λ(N) (式30)
を満たすKAi を算出する。
ここで、Xは、半匿名化処理及び匿名化処理をシリアルに施す変換処理における基本パラメタである。また、式30により、第1固有パラメタと第2固有パラメタは、基本パラメタであるXに関して、補完的な関係にある。
送受信部106bは、ネットワーク2bを介して、第1固有パラメタKAi を情報提供装置へ送信し、第2固有パラメタKBi を匿名サーバ装置30へ送信する。
3.2 情報提供装置21bの構成
情報提供装置21bは、情報提供装置21と同様に、入力部201b、コード化部202b、システムパラメタ記憶部203b、固有パラメタ記憶部204b、第1変換部205b、識別子記憶部206b、結合部207b、送受信部208b及び更新部209bから構成されている(図示していない)。
3.2 情報提供装置21bの構成
情報提供装置21bは、情報提供装置21と同様に、入力部201b、コード化部202b、システムパラメタ記憶部203b、固有パラメタ記憶部204b、第1変換部205b、識別子記憶部206b、結合部207b、送受信部208b及び更新部209bから構成されている(図示していない)。
入力部201b、コード化部202b、システムパラメタ記憶部203b、固有パラメタ記憶部204b、第1変換部205b、識別子記憶部206b、結合部207b、送受信部208b及び更新部209bは、それぞれ、情報提供装置21の入力部201、コード化部202、システムパラメタ記憶部203、固有パラメタ記憶部204、第1変換部205、識別子記憶部206、結合部207、送受信部208及び更新部209と同様の構成を有している。
ここでは、情報提供装置21との相違点を中心として説明する。
送受信部106bは、ネットワーク2を介して、パラメタ生成装置10bから、システム固有モジュラスNを受信し、受信したシステム固有モジュラスNをシステムパラメタ記憶部203bへ書き込む。
また、送受信部106bは、ネットワーク2を介して、パラメタ生成装置10bから、第1固有パラメタKAi を受信し、受信した第1固有パラメタKAi を固有パラメタ記憶部204bへ書き込む。
送受信部106bは、ネットワーク2を介して、パラメタ生成装置10bから、システム固有モジュラスNを受信し、受信したシステム固有モジュラスNをシステムパラメタ記憶部203bへ書き込む。
また、送受信部106bは、ネットワーク2を介して、パラメタ生成装置10bから、第1固有パラメタKAi を受信し、受信した第1固有パラメタKAi を固有パラメタ記憶部204bへ書き込む。
第1変換部205は、システム固有モジュラスN、コード化個人情報D及び第1固有パラメタKAi を用いて、次式による半匿名化処理を施して、半匿名化個人識別子Cを生成する。
C=D^KAi mod N (式31)
式31においては、DがKAi 回乗じられている。つまり、式31は、乗算の繰返演算を示している。
C=D^KAi mod N (式31)
式31においては、DがKAi 回乗じられている。つまり、式31は、乗算の繰返演算を示している。
結合部207bは、読み出したクライアント識別子iと、受け取った半匿名化個人識別子Cと、受け取った個人関連情報Rとを、この順序で結合し、半匿名化情報Hを生成する。
H=i||C||R (式32)
送受信部208bは、半匿名化情報Hをネットワーク2bを介して、匿名サーバ装置30bへ送信する。
H=i||C||R (式32)
送受信部208bは、半匿名化情報Hをネットワーク2bを介して、匿名サーバ装置30bへ送信する。
3.3 匿名サーバ装置30b
匿名サーバ装置30bは、匿名サーバ装置30と同様に、データ分割部311b、固有パラメタリスト記憶部312b、システムパラメタ記憶部313b、第2変換部314b、結合部315b、識別子付加部316b、情報記憶部317b、検索部318b、送受信部319b及び更新部320bから構成されている(図示していない)。
匿名サーバ装置30bは、匿名サーバ装置30と同様に、データ分割部311b、固有パラメタリスト記憶部312b、システムパラメタ記憶部313b、第2変換部314b、結合部315b、識別子付加部316b、情報記憶部317b、検索部318b、送受信部319b及び更新部320bから構成されている(図示していない)。
データ分割部311b、固有パラメタリスト記憶部312b、システムパラメタ記憶部313b、第2変換部314b、結合部315b、識別子付加部316b、情報記憶部317b、検索部318b、送受信部319b及び更新部320bは、それぞれ、匿名サーバ装置30のデータ分割部311、固有パラメタリスト記憶部312、システムパラメタ記憶部313、第2変換部314、結合部315、識別子付加部316、情報記憶部317、検索部318、送受信部319及び更新部320と同様の構成を有している。
送受信部319bは、パラメタ生成装置10から、ネットワーク2bを介して、システム固有モジュラスNを受信し、受信したシステム固有モジュラスNをシステムパラメタ記憶部313bへ書き込む。
また、送受信部319bは、ネットワーク2を介して、パラメタ生成装置10bから、第2固有パラメタKBi を受信し、受信した第2固有パラメタKBi を固有パラメタリスト記憶部331bへ書き込む。
また、送受信部319bは、ネットワーク2を介して、パラメタ生成装置10bから、第2固有パラメタKBi を受信し、受信した第2固有パラメタKBi を固有パラメタリスト記憶部331bへ書き込む。
第2変換部314bは、システム固有モジュラスN、第2固有パラメタKBi 及び半匿名化個人識別子Cを用いて、次式による匿名化処理を施して、匿名化個人識別子Eを算出する。
E= C^KBi mod N (式33)
式33においては、CがKBi 回乗じられている。つまり、式33は、乗算の繰返演算を示している。
E= C^KBi mod N (式33)
式33においては、CがKBi 回乗じられている。つまり、式33は、乗算の繰返演算を示している。
結合部315bは、匿名化個人識別子E及び個人関連情報Rをこの順序で結合して、結合体E||Rを得る。
識別子付加部316bは、匿名化情報識別子Jと結合体E||Rとを、この順序で結合して、匿名化情報Fを生成する。
F=J||E||R (式34)
次に、識別子付加部316bは、生成した匿名化情報Fを情報記憶部317bへ書き込む。
識別子付加部316bは、匿名化情報識別子Jと結合体E||Rとを、この順序で結合して、匿名化情報Fを生成する。
F=J||E||R (式34)
次に、識別子付加部316bは、生成した匿名化情報Fを情報記憶部317bへ書き込む。
3.4 補足説明
情報提供装置21bにより算出された半匿名化個人識別子は、
C=D^KAi mod N
さらに、匿名サーバ装置30bにより算出された匿名化個人識別子Eは、
E= C^KBi mod N (式35)
= D^(KAi ×KBi ) mod N
=D^X mod N
このように、コード化個人情報Dに半匿名化処理D^KAi mod Nを施し、さらにその結果に匿名化処理C^KBi mod Nを施すと、その結果は、常に、D^X mod Nになる。
情報提供装置21bにより算出された半匿名化個人識別子は、
C=D^KAi mod N
さらに、匿名サーバ装置30bにより算出された匿名化個人識別子Eは、
E= C^KBi mod N (式35)
= D^(KAi ×KBi ) mod N
=D^X mod N
このように、コード化個人情報Dに半匿名化処理D^KAi mod Nを施し、さらにその結果に匿名化処理C^KBi mod Nを施すと、その結果は、常に、D^X mod Nになる。
4.変形例(3)
匿名情報システム1の変形例としての匿名情報システム1c(図示していない)について説明する。
匿名情報システム1cは、匿名情報システム1と同様に、パラメタ生成装置10c、情報提供装置21c、22c、23c、・・・、匿名サーバ装置30c及び情報検索装置41、42、・・・から構成されており、パラメタ生成装置10c、情報提供装置21c、22c、23c、・・・、匿名サーバ装置30c及び情報検索装置41、42は、ネットワーク2cを介して相互に接続されている。
匿名情報システム1の変形例としての匿名情報システム1c(図示していない)について説明する。
匿名情報システム1cは、匿名情報システム1と同様に、パラメタ生成装置10c、情報提供装置21c、22c、23c、・・・、匿名サーバ装置30c及び情報検索装置41、42、・・・から構成されており、パラメタ生成装置10c、情報提供装置21c、22c、23c、・・・、匿名サーバ装置30c及び情報検索装置41、42は、ネットワーク2cを介して相互に接続されている。
パラメタ生成装置10c、情報提供装置21c、22c、23c、・・・及び匿名サーバ装置30cは、それぞれ、パラメタ生成装置10、情報提供装置21、22、23、・・・及び匿名サーバ装置30に類似の構成を有しており、匿名情報システム1cの情報検索装置41、42、・・・は、それぞれ、匿名情報システム1の情報検索装置41、42、・・・と同一の構成を有している。
以下において、匿名情報システム1との相違点を中心として説明する。
4.1 パラメタ生成装置10cの構成
パラメタ生成装置10cは、入力部101c、表示部102c、パラメタ生成部103c、制御部104c、情報記憶部105c及び送受信部106cから構成されている(図示していない)。
4.1 パラメタ生成装置10cの構成
パラメタ生成装置10cは、入力部101c、表示部102c、パラメタ生成部103c、制御部104c、情報記憶部105c及び送受信部106cから構成されている(図示していない)。
入力部101c、表示部102c、パラメタ生成部103c、制御部104c、情報記憶部105c及び送受信部106cは、それぞれ、パラメタ生成装置10の入力部101、表示部102、パラメタ生成部103、制御部104、情報記憶部105及び送受信部106と同様の構成を有している。
ここでは、パラメタ生成装置10との相違点を中心として説明する。
ここでは、パラメタ生成装置10との相違点を中心として説明する。
パラメタ生成指示を受け取ると、パラメタ生成部103cは、1個の情報提供装置について、当該情報提供装置を一意に識別するクライアント識別子iを生成する。
入力部101cは、前記情報提供装置のために、外部から暗号化アルゴリズムAES(Advanced Encryption Standard)の総繰返回数ki を取得し、取得した総繰返回数ki を情報記憶部105cに書き込む。
入力部101cは、前記情報提供装置のために、外部から暗号化アルゴリズムAES(Advanced Encryption Standard)の総繰返回数ki を取得し、取得した総繰返回数ki を情報記憶部105cに書き込む。
ここで、総繰返回数ki は、半匿名化処理及び匿名化処理をシリアルに施す変換処理における基本パラメタである。
パラメタ生成部103cは、第1繰返回数ni を、
1≦ni ≦ki −1 (式36)
を満たすように、ランダムに選択する。
パラメタ生成部103cは、第1繰返回数ni を、
1≦ni ≦ki −1 (式36)
を満たすように、ランダムに選択する。
さらに、パラメタ生成部103cは、次式により、第2繰返回数mi を算出する。
mi =ki −ni (式37)
送受信部106cは、ネットワーク2cを介して、第1繰返回数ni を情報提供装置へ送信し、第2繰返回数mi を匿名サーバ装置30へ送信する。
なお、mi +ni =ki であるので、第1繰返回数と第2繰返回数は、基本パラメタである総繰返回数ki に関して、補完的な関係にある。
mi =ki −ni (式37)
送受信部106cは、ネットワーク2cを介して、第1繰返回数ni を情報提供装置へ送信し、第2繰返回数mi を匿名サーバ装置30へ送信する。
なお、mi +ni =ki であるので、第1繰返回数と第2繰返回数は、基本パラメタである総繰返回数ki に関して、補完的な関係にある。
4.2 情報提供装置21cの構成
情報提供装置21cは、情報提供装置21と同様に、入力部201c、コード化部202c、固有パラメタ記憶部204c、第1変換部205c、識別子記憶部206c、結合部207c、送受信部208c及び更新部209cから構成されている(図示していない)。
情報提供装置21cは、情報提供装置21と同様に、入力部201c、コード化部202c、固有パラメタ記憶部204c、第1変換部205c、識別子記憶部206c、結合部207c、送受信部208c及び更新部209cから構成されている(図示していない)。
入力部201c、コード化部202c、固有パラメタ記憶部204c、第1変換部205c、識別子記憶部206c、結合部207c、送受信部208c及び更新部209cは、それぞれ、情報提供装置21の入力部201、コード化部202、固有パラメタ記憶部204、第1変換部205、識別子記憶部206、結合部207、送受信部208及び更新部209と同様の構成を有している。
ここでは、情報提供装置21との相違点を中心として説明する。
送受信部208cは、ネットワーク2を介して、パラメタ生成装置10cから、第1繰返回数ni を受信し、受信した第1繰返回数ni を固有パラメタ記憶部204cへ書き込む。
第1変換部205cは、暗号化アルゴリズムAESを有しており、固有パラメタ記憶部204cから第1繰返回数ni を読み出す。
送受信部208cは、ネットワーク2を介して、パラメタ生成装置10cから、第1繰返回数ni を受信し、受信した第1繰返回数ni を固有パラメタ記憶部204cへ書き込む。
第1変換部205cは、暗号化アルゴリズムAESを有しており、固有パラメタ記憶部204cから第1繰返回数ni を読み出す。
次に、第1変換部205cは、コード化部202cから受け取ったコード化個人情報Dに対して、所定の暗号鍵KEY1 を用いて、暗号化アルゴリズムAESを施して、第1暗号化個人情報C1 を生成する。
次に、第1変換部205cは、生成した第1暗号化個人情報に、所定の暗号鍵KEY2 を用いて、暗号化アルゴリズムAESを施して、第2暗号化個人情報C2 を生成する。
次に、第1変換部205cは、生成した第1暗号化個人情報に、所定の暗号鍵KEY2 を用いて、暗号化アルゴリズムAESを施して、第2暗号化個人情報C2 を生成する。
以下、同様に、暗号化アルゴリズムAESを第1繰返回数ni により示される回数だけ繰り返し、第n暗号化個人情報を生成する。こうして生成された第n暗号化個人情報が、半匿名化個人識別子Cである。
C1 =AES(KEY1 、D)
C2 =AES(KEY2 、C1 )
C3 =AES(KEY3 、C2 )
C4 =AES(KEY4 、C3 )
C5 =AES(KEY5 、C4 )
・・・
Cn-1 =AES(KEYn-1 、Cn-2 )
C=Cn =AES(KEYn 、Cn-1 )
ここで、AES(A、B)は、暗号鍵Aを用いて、平文Bに暗号化アルゴリズムAESを施して生成された暗号文を示している。
C1 =AES(KEY1 、D)
C2 =AES(KEY2 、C1 )
C3 =AES(KEY3 、C2 )
C4 =AES(KEY4 、C3 )
C5 =AES(KEY5 、C4 )
・・・
Cn-1 =AES(KEYn-1 、Cn-2 )
C=Cn =AES(KEYn 、Cn-1 )
ここで、AES(A、B)は、暗号鍵Aを用いて、平文Bに暗号化アルゴリズムAESを施して生成された暗号文を示している。
結合部207cは、読み出したクライアント識別子iと、受け取った半匿名化個人識別子Cと、受け取った個人関連情報Rとを、この順序で結合し、半匿名化情報Hを生成する。
H=i||C||R (式38)
送受信部208cは、半匿名化情報Hをネットワーク2cを介して、匿名サーバ装置30cへ送信する。
H=i||C||R (式38)
送受信部208cは、半匿名化情報Hをネットワーク2cを介して、匿名サーバ装置30cへ送信する。
4.3 匿名サーバ装置30c
匿名サーバ装置30cは、匿名サーバ装置30と同様に、データ分割部311c、固有パラメタリスト記憶部312c、第2変換部314c、結合部315c、識別子付加部316c、情報記憶部317c、検索部318c、送受信部319c及び更新部320cから構成されている(図示していない)。
匿名サーバ装置30cは、匿名サーバ装置30と同様に、データ分割部311c、固有パラメタリスト記憶部312c、第2変換部314c、結合部315c、識別子付加部316c、情報記憶部317c、検索部318c、送受信部319c及び更新部320cから構成されている(図示していない)。
データ分割部311c、固有パラメタリスト記憶部312c、第2変換部314c、結合部315c、識別子付加部316c、情報記憶部317c、検索部318c、送受信部319c及び更新部320cは、それぞれ、匿名サーバ装置30のデータ分割部311、固有パラメタリスト記憶部312、第2変換部314、結合部315、識別子付加部316、情報記憶部317、検索部318、送受信部319及び更新部320と同様の構成を有している。
送受信部319cは、ネットワーク2を介して、パラメタ生成装置10cから、第2繰返回数mi 及びクライアント識別子iを受信し、受信した第2繰返回数mi 及びクライアント識別子iを対応付けて、固有パラメタリスト記憶部331cへ書き込む。
第2変換部314cは、暗号化アルゴリズムAESを有しており、固有パラメタリスト記憶部312cから第2繰返回数mi を読み出す。
第2変換部314cは、暗号化アルゴリズムAESを有しており、固有パラメタリスト記憶部312cから第2繰返回数mi を読み出す。
次に、第2変換部314cは、データ分割部311cから受け取った半匿名化個人識別子Cに対して、所定の暗号鍵KEYn+1 を用いて、暗号化アルゴリズムAESを施して、第(n+1)暗号化個人情報Cn+1 を生成する。
次に、第2変換部314cは、生成した第(n+1)暗号化個人情報Cn+1 に、所定の暗号鍵KEYn+2 を用いて、暗号化アルゴリズムAESを施して、第(n+2)暗号化個人情報Cn+2 を生成する。
次に、第2変換部314cは、生成した第(n+1)暗号化個人情報Cn+1 に、所定の暗号鍵KEYn+2 を用いて、暗号化アルゴリズムAESを施して、第(n+2)暗号化個人情報Cn+2 を生成する。
以下、同様に、暗号化アルゴリズムAESを第2繰返回数mi により示される回数だけ繰り返し、第(n+m)暗号化個人情報を生成する。こうして生成された第(n+m)暗号化個人情報が、匿名化個人識別子Eである。
Cn+1 =AES(KEYn+1 、C )
Cn+2 =AES(KEYn+2 、Cn+1 )
Cn+3 =AES(KEYn+3 、Cn+2 )
Cn+4 =AES(KEYn+4 、Cn+3 )
Cn+5 =AES(KEYn+5 、Cn+4 )
・・・
Cn+m-1 =AES(KEYn+m-1 、Cn+m-2 )
E=Cn+m =AES(KEYn+m 、Cn+m-1 )
結合部315cは、匿名化個人識別子E及び個人関連情報Rをこの順序で結合して、結合体E||Rを得る。
Cn+1 =AES(KEYn+1 、C )
Cn+2 =AES(KEYn+2 、Cn+1 )
Cn+3 =AES(KEYn+3 、Cn+2 )
Cn+4 =AES(KEYn+4 、Cn+3 )
Cn+5 =AES(KEYn+5 、Cn+4 )
・・・
Cn+m-1 =AES(KEYn+m-1 、Cn+m-2 )
E=Cn+m =AES(KEYn+m 、Cn+m-1 )
結合部315cは、匿名化個人識別子E及び個人関連情報Rをこの順序で結合して、結合体E||Rを得る。
識別子付加部316cは、匿名化情報識別子Jと結合体E||Rとを、この順序で結合して、匿名化情報Fを生成する。
F=J||E||R (式39)
次に、識別子付加部316cは、生成した匿名化情報Fを情報記憶部317cへ書き込む。
F=J||E||R (式39)
次に、識別子付加部316cは、生成した匿名化情報Fを情報記憶部317cへ書き込む。
4.4 匿名情報システム1cの動作
匿名情報システム1cの動作について説明する。
(1)パラメタ生成装置10cの動作
パラメタ生成装置10cの動作について、図23及び図24に示すフローチャート及びプロセスチャートを用いて説明する。
匿名情報システム1cの動作について説明する。
(1)パラメタ生成装置10cの動作
パラメタ生成装置10cの動作について、図23及び図24に示すフローチャート及びプロセスチャートを用いて説明する。
パラメタ生成部103cは、第1繰返回数ni を、1≦ni ≦ki −1 を満たすように、ランダムに選択し(ステップS301)、第2繰返回数mi =ki −ni を算出し(ステップS302)、1個の情報提供装置について、当該情報提供装置を一意に識別するクライアント識別子iを生成し(ステップS303)、送受信部106cは、ネットワーク2cを介して、第1繰返回数ni 及びクライアント識別子iを情報提供装置へ送信し(ステップS304)、第2繰返回数mi 及びクライアント識別子iを匿名サーバ装置30cへ送信する(ステップS306)。
情報提供装置の固有パラメタ記憶部204cは、第1繰返回数ni を記憶し、識別子記憶部206cは、クライアント識別子iを記憶する(ステップS305)。
また、匿名サーバ装置30cの固有パラメタリスト記憶部312cは、第2繰返回数mi 及びクライアント識別子iを対応付けて記憶する(ステップS307)。
(2)情報提供装置21c及び匿名サーバ装置30の動作
情報提供装置21c及び匿名サーバ装置30の動作について、図24に示すプロセスチャートを用いて説明する。
また、匿名サーバ装置30cの固有パラメタリスト記憶部312cは、第2繰返回数mi 及びクライアント識別子iを対応付けて記憶する(ステップS307)。
(2)情報提供装置21c及び匿名サーバ装置30の動作
情報提供装置21c及び匿名サーバ装置30の動作について、図24に示すプロセスチャートを用いて説明する。
情報提供装置21cの第1変換部205cは、コード化部202cから受け取ったコード化個人情報Dに対して、所定の暗号鍵KEY1 を用いて、暗号化アルゴリズムAESを施して、第1暗号化個人情報C1 を生成する(ステップS311)。
次に、第1変換部205cは、生成した第1暗号化個人情報に、所定の暗号鍵KEY2 を用いて、暗号化アルゴリズムAESを施して、第2暗号化個人情報C2 を生成する(ステップS312)。
次に、第1変換部205cは、生成した第1暗号化個人情報に、所定の暗号鍵KEY2 を用いて、暗号化アルゴリズムAESを施して、第2暗号化個人情報C2 を生成する(ステップS312)。
以下、同様に、暗号化アルゴリズムAESを第1繰返回数ni により示される回数だけ繰り返し、第1変換部205cは、第n暗号化個人情報Cn 、つまり半匿名化個人情報Cを生成する(ステップS313)。
生成された半匿名化個人情報Cは、形を変えて、情報提供装置21cから匿名サーバ装置30cへ送信される(ステップS314)。
生成された半匿名化個人情報Cは、形を変えて、情報提供装置21cから匿名サーバ装置30cへ送信される(ステップS314)。
匿名サーバ装置30cの第2変換部314cは、半匿名化個人識別子Cに対して、所定の暗号鍵KEYn+1 を用いて、暗号化アルゴリズムAESを施して、第(n+1)暗号化個人情報Cn+1 を生成する(ステップS315)。
次に、第2変換部314cは、生成した第(n+1)暗号化個人情報Cn+1 に、所定の暗号鍵KEYn+2 を用いて、暗号化アルゴリズムAESを施して、第(n+2)暗号化個人情報Cn+2 を生成する(ステップS316)。
次に、第2変換部314cは、生成した第(n+1)暗号化個人情報Cn+1 に、所定の暗号鍵KEYn+2 を用いて、暗号化アルゴリズムAESを施して、第(n+2)暗号化個人情報Cn+2 を生成する(ステップS316)。
以下、同様に、暗号化アルゴリズムAESを第2繰返回数mi により示される回数だけ繰り返し、第2変換部314cは、第(n+m)暗号化個人情報Cn+m を生成する(ステップS317)。こうして生成された第(n+m)暗号化個人情報Cn+m が、匿名化個人識別子Eである。
4.5 補足説明
情報提供装置21cにより算出された半匿名化個人識別子Cは、コード化個人情報Dに、暗号化アルゴリズムAESを第1繰返回数ni により示される回数だけ施されて生成されたものであり、匿名化個人識別子Eは、半匿名化個人識別子Cに、暗号化アルゴリズムAESを第2繰返回数mi により示される回数だけ施されて生成されたものであり、ni +mi =ki であるので、その結果は、常に、コード化個人情報Dに、暗号化アルゴリズムAESを総繰返回数ki により示される回数だけ施されて生成されたものとなる。
4.5 補足説明
情報提供装置21cにより算出された半匿名化個人識別子Cは、コード化個人情報Dに、暗号化アルゴリズムAESを第1繰返回数ni により示される回数だけ施されて生成されたものであり、匿名化個人識別子Eは、半匿名化個人識別子Cに、暗号化アルゴリズムAESを第2繰返回数mi により示される回数だけ施されて生成されたものであり、ni +mi =ki であるので、その結果は、常に、コード化個人情報Dに、暗号化アルゴリズムAESを総繰返回数ki により示される回数だけ施されて生成されたものとなる。
なお、上記においてAESを用いるとしているが、AESに限定されない。他の暗号化アルゴリズム、変換アルゴリズムなどを用いるとしてもよい。
5.まとめ
以上説明したように、本発明は、診療結果や診断結果などの医療情報、各種試験などの成績結果、人事評価、アンケート結果などのプライバシ性の高い情報をその情報が誰に関するものであるかを特定できないような匿名化された形式にて保管し、統計分析や学術研究などのために提供するシステムに関する。
5.まとめ
以上説明したように、本発明は、診療結果や診断結果などの医療情報、各種試験などの成績結果、人事評価、アンケート結果などのプライバシ性の高い情報をその情報が誰に関するものであるかを特定できないような匿名化された形式にて保管し、統計分析や学術研究などのために提供するシステムに関する。
本発明は、個人情報を含む情報を、前記個人情報を秘匿した状態で匿名化情報として提供する匿名化情報提供システムであって、前記情報に含まれる個人情報に対して第1変換処理を行って第1匿名化個人情報を生成する第1匿名化処理手段と、前記第1匿名化個人情報を含む第1匿名化情報を送付する第1匿名化情報送付手段とを備える情報登録装置と、前記第1匿名化情報に含まれる第1匿名化個人情報に対して第2変換処理を行って第2匿名化個人情報を生成する第2匿名化処理手段と、前記第2匿名化個人情報を含む第2匿名化情報を検索あるいは閲覧が可能な状態で蓄積する蓄積手段とを備える情報蓄積装置と、前記蓄積手段に蓄積する第2匿名化情報を検索あるいは閲覧の依頼を前記情報蓄積装置に送信し、前記依頼に対応する匿名化情報を受信する検索装置とからなることを特徴とする。
ここで、前記匿名化情報提供システムは、少なくとも2つ以上の情報登録装置を含み、前記情報登録装置において、前記第1匿名化処理手段における第1変換処理は、情報登録装置ごとに異なるとしてもよい。
ここで、前記匿名化情報提供システムは、少なくとも2つ以上の情報登録装置を含み、前記情報蓄積装置において、前記第2匿名化処理手段における第2匿名化処理は、前記第1匿名化情報の送信元である情報登録装置によって異なるとしてもよい。
ここで、前記匿名化情報提供システムは、少なくとも2つ以上の情報登録装置を含み、前記情報蓄積装置において、前記第2匿名化処理手段における第2匿名化処理は、前記第1匿名化情報の送信元である情報登録装置によって異なるとしてもよい。
また、本発明は、個人情報を含む情報を、前記個人情報を秘匿した状態で匿名化情報として提供する匿名化情報提供システムにおいて、前記情報に含まれる個人情報に対して第1変換処理を行って第1匿名化個人情報を生成する第1匿名化処理手段と、前記第1匿名化個人情報を含む第1匿名化情報を送付する第1匿名化情報送付手段とを備えることを特徴とする情報登録装置である。
ここで、前記第1匿名化処理手段は、第1パラメータを記憶する第1パラメータ記憶手段と、前記第1パラメータに基づいて前記個人情報に対して第1変換処理を行う第1変換処理手段とを備えるとしてもよい。
ここで、前記第1パラメータは、情報登録装置ごとに異なるとしてもよい。
ここで、前記情報登録装置は、更に前記第1パラメータ記憶手段に記憶する前記第1パラメータを更新する第1パラメータ更新手段を有するとしてもよい。
ここで、前記第1パラメータは、情報登録装置ごとに異なるとしてもよい。
ここで、前記情報登録装置は、更に前記第1パラメータ記憶手段に記憶する前記第1パラメータを更新する第1パラメータ更新手段を有するとしてもよい。
また、本発明は、個人情報を含む情報を、前記個人情報を秘匿した状態で匿名化情報として提供する匿名化情報提供システムにおいて、受け取った第1匿名化情報に含まれる第1匿名化個人情報に対して、第2変換処理を行って第2匿名化個人情報を生成する第2匿名化処理手段と、前記第2匿名化個人情報を含む第2匿名化情報を検索あるいは閲覧が可能な状態で蓄積する蓄積手段とを備えることを特徴とする。
ここで、前記第2匿名化処理手段は、第2パラメータを記憶する第2パラメータ記憶手段と、前記第2パラメータに基づいて前記第1匿名化個人情報に対して第2変換処理を行う第2変換処理手段とを備えるとしてもよい。
ここで、前記第2パラメータ記憶手段は、2個以上の第2パラメータを記憶し、前記第2変換処理手段は、前記第2匿名化個人情報を送付した情報登録装置に応じて、前記第2パラメータ記憶手段に記憶する前記複数の第2パラメータから一つを選ぶ第2パラメータ選択手段を含み、前記第2変換処理手段は、前記第2パラメータ選択手段が選択した前記第2パラメータに基づいて前記第1匿名化個人情報に対して第2変換処理を行うとしてもよい。
ここで、前記第2パラメータ記憶手段は、2個以上の第2パラメータを記憶し、前記第2変換処理手段は、前記第2匿名化個人情報を送付した情報登録装置に応じて、前記第2パラメータ記憶手段に記憶する前記複数の第2パラメータから一つを選ぶ第2パラメータ選択手段を含み、前記第2変換処理手段は、前記第2パラメータ選択手段が選択した前記第2パラメータに基づいて前記第1匿名化個人情報に対して第2変換処理を行うとしてもよい。
ここで、前記情報蓄積装置は、更に前記第2パラメータ記憶手段に記憶する前記2個以上の第2パラメータのうちから少なくとも1個を選んで更新する第2パラメータ更新手段を有するとしてもよい。
以上説明したように、本発明の構成によって、秘密情報を匿名化情報に変換する処理を、情報登録装置と情報蓄積装置とで分散して行うことができる。
以上説明したように、本発明の構成によって、秘密情報を匿名化情報に変換する処理を、情報登録装置と情報蓄積装置とで分散して行うことができる。
このように、本発明の匿名化情報提供システムによれば、個人情報から匿名IDに変換するための変換処理を、データベース用の情報を提供する側と、データベースを管理する側とで分散して行うことで、たとえ、どちらか一方の変換処理がハックされたとしても、データベースの匿名性は保たれるという効果がある。
6.その他の変形例
なお、本発明を上記の実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
6.その他の変形例
なお、本発明を上記の実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(1)匿名情報システム1に、新たに情報提供装置を追加する場合には、上記に説明したように、パラメタ生成装置10は、その情報提供装置用のクライアント識別子、第1及び第2固有パラメータを生成して、その情報提供装置及び匿名サーバ装置30に送信し、その情報提供装置は、クライアント識別子、第1及固有パラメータを記憶し、匿名サーバ装置30は、クライアント識別子及び第2固有パラメータを記憶すればよい、
(2)上記の実施の形態では、情報提供装置21の入力部201は、情報提供装置21の操作者から、個人特定情報S及び個人関連情報Rの入力を受け付けるとしているが、この方法には限定されない。
(2)上記の実施の形態では、情報提供装置21の入力部201は、情報提供装置21の操作者から、個人特定情報S及び個人関連情報Rの入力を受け付けるとしているが、この方法には限定されない。
メモリカード、ICカード、ハードディスクドライブなどの外部記憶手段には、予め、個人特定情報S及び/又は個人関連情報Rが記憶されており、このような外部記憶手段から個人特定情報S及び/又は個人関連情報Rを読み出すとしてもよい。また、情報提供装置21内の内部メモリには、予め、個人特定情報S及び/又は個人関連情報Rが記憶されており、内部メモリから個人特定情報S及び/又は個人関連情報Rを読み出すとしてもよい。
(3)個人特定情報及び個人関連情報のその他の例を以下に示す。
個人特定情報の一例は、学校の生徒を特定する情報であり、この情報に対応する個人関連情報の一例は、学校で行われた試験の成績を示す情報である。
個人特定情報の別の一例は、アンケート調査の回答者を特定する情報であり、この情報に対応する個人関連情報の一例は、アンケート回答者の回答内容である。
個人特定情報の一例は、学校の生徒を特定する情報であり、この情報に対応する個人関連情報の一例は、学校で行われた試験の成績を示す情報である。
個人特定情報の別の一例は、アンケート調査の回答者を特定する情報であり、この情報に対応する個人関連情報の一例は、アンケート回答者の回答内容である。
(4)パラメタ生成装置10、情報提供装置21、22、23、・・・、匿名サーバ装置30、情報検索装置41、42、・・・の間を送受信されるデータは、SSL(Secure Socket Layer)などのような暗号化手段によって保護されているとしてもよい。
(5)情報提供装置と情報検索装置の両方の機能を有するクライアント端末装置がネットワーク2に接続されているとしてもよい。
(5)情報提供装置と情報検索装置の両方の機能を有するクライアント端末装置がネットワーク2に接続されているとしてもよい。
(6)上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレィユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。ここで、コンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。つまり、前記マイクロプロセッサは、前記コンピュータプログラムに含まれる各命令を1個ずつ読み出し、読み出した命令を解読し、解読結果に従って動作する。
(7)上記の各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されても良いし、一部又は全てを含むように1チップ化されてもよい。また、ここでは、LSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)やLSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。
また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)やLSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。
(8)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM、などから構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
(9)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD―ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD―ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。
また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。
また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(10)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
(11)以上説明したように、本発明にかかる匿名情報システムは、提供情報の匿名性を確保しつつ、同一人物に関する情報だけを検索するという高性能の検索機能を実現するだけでなく、従来例のような特定の機関が保持している秘密の情報が暴露されるだけで提供情報の匿名性が損なわれるといった問題を解決しつつ、万一、秘密情報の一部が暴露された場合でも、その秘密性を少ない手間で回復するための手段を提供するという特徴を有するので、高い匿名性が要求される情報データベースシステムに有用である。
(10)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
(11)以上説明したように、本発明にかかる匿名情報システムは、提供情報の匿名性を確保しつつ、同一人物に関する情報だけを検索するという高性能の検索機能を実現するだけでなく、従来例のような特定の機関が保持している秘密の情報が暴露されるだけで提供情報の匿名性が損なわれるといった問題を解決しつつ、万一、秘密情報の一部が暴露された場合でも、その秘密性を少ない手間で回復するための手段を提供するという特徴を有するので、高い匿名性が要求される情報データベースシステムに有用である。
本発明を構成する各装置は、情報を秘匿して扱うあらゆる産業において、経営的に、また継続的及び反復的に使用することができる。また、本発明を構成する各装置は、電器機器製造産業において、経営的に、また継続的及び反復的に、製造し、販売することができる。
1 匿名情報システム
2 ネットワーク
10 パラメタ生成装置
21 情報提供装置
22 情報提供装置
23 情報提供装置
30 匿名サーバ装置
41 情報検索装置
42 情報検索装置
101 入力部
102 表示部
103 パラメタ生成部
104 制御部
105 情報記憶部
106 送受信部
201 入力部
202 コード化部
202 更新部
203 システムパラメタ記憶部
204 固有パラメタ記憶部
205 第1変換部
206 識別子記憶部
207 結合部
208 送受信部
209 更新部
311 データ分割部
312 固有パラメタリスト記憶部
313 システムパラメタ記憶部
314 第2変換部
315 結合部
316 識別子付加部
317 情報記憶部
318 検索部
318 送受信部
319 送受信部
320 更新部
401 入力部
402 送受信部
403 表示部
2 ネットワーク
10 パラメタ生成装置
21 情報提供装置
22 情報提供装置
23 情報提供装置
30 匿名サーバ装置
41 情報検索装置
42 情報検索装置
101 入力部
102 表示部
103 パラメタ生成部
104 制御部
105 情報記憶部
106 送受信部
201 入力部
202 コード化部
202 更新部
203 システムパラメタ記憶部
204 固有パラメタ記憶部
205 第1変換部
206 識別子記憶部
207 結合部
208 送受信部
209 更新部
311 データ分割部
312 固有パラメタリスト記憶部
313 システムパラメタ記憶部
314 第2変換部
315 結合部
316 識別子付加部
317 情報記憶部
318 検索部
318 送受信部
319 送受信部
320 更新部
401 入力部
402 送受信部
403 表示部
Claims (19)
- 変換分割装置、情報提供装置及び情報蓄積装置がネットワークを介して接続され、個人を特定する原個人特定情報に匿名化変換処理を施して匿名化個人特定情報を生成する匿名情報システムであって、
前記匿名化変換処理を分割して、その一部分である第1変換処理と、残りの部分である第2変換処理とを生成する前記変換分割装置と、
前記原個人特定情報に、前記第1変換処理を施して、半匿名化個人特定情報を生成する前記情報提供装置と、
生成された半匿名化個人特定情報に、前記第2変換処理を施して、前記匿名化個人特定情報を生成して蓄積する前記情報蓄積装置と
から構成されることを特徴とする匿名情報システム。 - 前記匿名化変換処理は、基本パラメタに基づいて、前記原個人特定情報から当該個人を特定できない前記匿名化個人特定情報を生成し、
前記変換分割装置は、
ランダムに第1パラメタを生成する第1パラメタ生成手段と、
前記基本パラメタに関して、前記第1パラメタと補完関係にある第2パラメタを生成する第2パラメタ生成手段と、
前記第1パラメタを前記情報提供装置へ送信し、前記第2パラメタを前記情報蓄積装置へ送信する第1送信手段とを含み、
前記情報提供装置は、
前記第1パラメタを受信する第1受信手段と、
前記原個人特定情報を取得する取得手段と、
前記第1変換処理として、受信した前記第1パラメタと取得した前記原個人特定情報とを用いた繰返演算を行って、前記半匿名化個人特定情報を生成する第1変換手段と、
生成された前記半匿名化個人特定情報を前記情報蓄積装置へ送信する第2送信手段とを含み、
前記情報蓄積装置は、
前記匿名化個人特定情報を記憶するための領域を有する記憶手段と、
前記第2パラメタ及び前記半匿名化個人特定情報を受信する第2受信手段と、
前記第2変換処理として、受信した前記第2パラメタと受信した前記半匿名化特定情報とを用いた繰返演算を行って、前記匿名化個人特定情報を生成し、生成した前記匿名化個人特定情報を前記記憶手段に書き込む第2変換手段とを含む
ことを特徴とする請求項1に記載の匿名情報システム。 - 前記情報提供装置は、さらに、前記個人に関連する個人関連情報を提供し、
前記情報蓄積装置は、さらに、前記匿名化個人特定情報と前記個人関連情報とを対応付けて蓄積する
ことを特徴とする請求項2に記載の匿名情報システム。 - 前記匿名情報システムは、さらに、
前記情報蓄積装置から、操作者の所望する前記匿名化個人特定情報と前記個人関連情報とを取得する情報検索装置を含む
ことを特徴とする請求項3に記載の匿名情報システム。 - 前記変換分割装置は、さらに、前記匿名化変換処理を分割して、その一部分であり前記第1変換処理とは異なる第3変換処理と、残りの部分であり前記第2変換処理とは異なる第4変換処理とを生成し、
前記匿名情報システムは、さらに、前記原個人特定情報に、前記第3変換処理を施して、他の半匿名化個人特定情報を生成する第2情報提供装置を含み、
前記情報蓄積装置は、さらに、生成された他の半匿名化個人特定情報に、前記第4変換処理を施して、前記匿名化個人特定情報を生成する
ことを特徴とする請求項2に記載の匿名情報システム。 - 前記変換分割装置は、前記第3変換処理を示す第3パラメタと、前記第4変換処理を示す第4パラメタとを生成し、第3パラメタと第1パラメタとは異なり、第4パラメタと第2パラメタとは異なり、
前記第2情報提供装置は、第3パラメタにより示される第3変換処理を施し、
前記情報蓄積装置は、第4パラメタにより示される第4変換処理を施す
ことを特徴とする請求項5に記載の匿名情報システム。 - 前記変換分割装置は、さらに、前記匿名化変換処理とは異なる他の匿名化変換処理を分割して、その一部分であり前記第1変換処理とは異なる第3変換処理と、残りの部分であり前記第2変換処理とは異なる第4変換処理とを生成し、
前記情報提供装置は、前記第1変換処理に代えて、前記原個人特定情報に、前記第3変換処理を施して、他の半匿名化個人特定情報を生成し、
前記情報蓄積装置は、前記第2変換処理に代えて、生成された他の半匿名化個人特定情報に、前記第4変換処理を施して、他の匿名化個人特定情報を生成する
ことを特徴とする請求項2に記載の匿名情報システム。 - 前記第1パラメタ生成手段は、ランダムに第1パラメタとは異なる第3パラメタを生成し、
前記第2パラメタ生成手段は、前記基本パラメタに関して、前記第3パラメタと補完関係にある第4パラメタを生成し、
前記第1送信手段は、さらに、前記第3パラメタを前記情報提供装置へ送信し、前記第4パラメタを前記情報蓄積装置へ送信し、
前記第1受信手段は、さらに、前記第3パラメタを受信し、
前記第1変換手段は、前記第3変換処理として、受信した前記第3パラメタと取得した前記原個人特定情報とを用いた繰返演算を行って、他の半匿名化個人特定情報を生成し、
前記第2送信手段は、生成された他の半匿名化個人特定情報を前記情報蓄積装置へ送信し、
前記記憶手段は、他の匿名化個人特定情報を記憶するための領域を有し、
前記第2受信手段は、前記第4パラメタ及び前記他の半匿名化個人特定情報を受信し、
前記第2変換手段は、前記第4変換処理として、受信した前記第4パラメタと受信した前記他の半匿名化特定情報とを用いた繰返演算を行って、前記他の匿名化個人特定情報を生成し、生成した前記他の匿名化個人特定情報を前記記憶手段に書き込む
ことを特徴とする請求項7に記載の匿名情報システム。 - 前記変換分割装置は、さらに、前記匿名化変換処理とは異なる他の匿名化変換処理を分割して、その一部分であり前記第1変換処理とは異なる第3変換処理と、残りの部分であり前記第2変換処理とは異なる第4変換処理とを生成し、
前記情報提供装置は、前記第1変換処理に代えて、前記原個人特定情報に、前記匿名化変換処理を施して、前記匿名化個人特定情報を生成し、生成した前記匿名化個人特定情報に、前記第3変換処理を施して、他の半匿名化個人特定情報を生成し、
前記情報蓄積装置は、前記第2変換処理に代えて、生成された他の半匿名化個人特定情報に、前記第4変換処理を施して、他の匿名化個人特定情報を生成する
ことを特徴とする請求項2に記載の匿名情報システム。 - 前記第1パラメタ生成手段は、ランダムに第1パラメタとは異なる第3パラメタを生成し、
前記第2パラメタ生成手段は、前記基本パラメタに関して、前記第3パラメタと補完関係にある第4パラメタを生成し、
前記第1送信手段は、さらに、前記第3パラメタを前記情報提供装置へ送信し、前記第4パラメタを前記情報蓄積装置へ送信し、
前記第1受信手段は、さらに、前記第3パラメタを受信し、
前記第1変換手段は、取得した前記原個人特定情報に前記匿名化変換処理を施して、前記匿名化個人特定情報を生成し、前記第3変換処理として、受信した前記第3パラメタと生成した前記匿名化個人特定情報とを用いた繰返演算を行って、前記他の半匿名化個人特定情報を生成し、
前記第2送信手段は、生成された前記他の半匿名化個人特定情報を前記情報蓄積装置へ送信し、
前記記憶手段は、前記他の匿名化個人特定情報を記憶するための領域を有し、
前記第2受信手段は、前記第4パラメタ及び前記他の半匿名化個人特定情報を受信し、
前記第2変換手段は、前記第4変換処理として、受信した前記第4パラメタと受信した前記他の半匿名化特定情報とを用いた繰返演算を行って、前記他の匿名化個人特定情報を生成し、生成した前記他の匿名化個人特定情報を前記記憶手段に書き込む
ことを特徴とする請求項9に記載の匿名情報システム。 - 変換分割装置、情報提供装置及び情報蓄積装置から構成され、個人を特定する原個人特定情報に匿名化変換処理を施して匿名化個人特定情報を生成する匿名情報システムにおける前記変換分割装置であって、
前記匿名化変換処理は、基本パラメタに基づいて、前記原個人特定情報から当該個人を特定できない前記匿名化個人特定情報を生成し、
前記変換分割装置は、
ランダムに第1パラメタを生成する第1パラメタ生成手段と、
前記基本パラメタに関して、前記第1パラメタと補完関係にある第2パラメタを生成する第2パラメタ生成手段と、
前記第1パラメタを前記情報提供装置へ送信し、前記第2パラメタを前記情報蓄積装置へ送信する第1送信手段と
を備えることを特徴とする変換分割装置。 - 前記第1パラメタ生成手段及び前記第2パラメタ生成手段は、大規模集積回路から構成される
ことを特徴とする請求項11に記載の変換分割装置。 - 変換分割装置、情報提供装置及び情報蓄積装置から構成され、個人を特定する原個人特定情報に匿名化変換処理を施して匿名化個人特定情報を生成する匿名情報システムにおける前記情報提供装置であって、
前記匿名化変換処理は、基本パラメタに基づいて、前記原個人特定情報から当該個人を特定できない前記匿名化個人特定情報を生成し、
前記変換分割装置は、ランダムに第1パラメタを生成し、前記基本パラメタに関して、前記第1パラメタと補完関係にある第2パラメタを生成し、前記第1パラメタを前記情報提供装置へ送信し、
前記情報提供装置は、
前記第1パラメタを受信する第1受信手段と、
前記原個人特定情報を取得する取得手段と、
前記第1変換処理として、受信した前記第1パラメタと取得した前記原個人特定情報とを用いた繰返演算を行って、前記半匿名化個人特定情報を生成する第1変換手段と、
生成された前記半匿名化個人特定情報を前記情報蓄積装置へ送信する第2送信手段と
を備えることを特徴とする情報提供装置。 - 前記第1変換手段は、大規模集積回路から構成される
ことを特徴とする請求項13に記載の情報提供装置。 - 変換分割装置、情報提供装置及び情報蓄積装置から構成され、個人を特定する原個人特定情報に匿名化変換処理を施して匿名化個人特定情報を生成する匿名情報システムにおける前記情報蓄積装置であって、
前記匿名化変換処理は、基本パラメタに基づいて、前記原個人特定情報から当該個人を特定できない前記匿名化個人特定情報を生成し、
前記変換分割装置は、ランダムに第1パラメタを生成し、前記基本パラメタに関して、前記第1パラメタと補完関係にある第2パラメタを生成し、前記第1パラメタを前記情報提供装置へ送信し、
前記情報提供装置は、前記第1パラメタを受信し、前記原個人特定情報を取得し、前記第1変換処理として、受信した前記第1パラメタと取得した前記原個人特定情報とを用いた繰返演算を行って、前記半匿名化個人特定情報を生成し、生成された前記半匿名化個人特定情報を前記情報蓄積装置へ送信し、
前記情報蓄積装置は、
前記匿名化個人特定情報を記憶するための領域を有する記憶手段と、
前記第2パラメタ及び前記半匿名化個人特定情報を受信する第2受信手段と、
前記第2変換処理として、受信した前記第2パラメタと受信した前記半匿名化特定情報とを用いた繰返演算を行って、前記匿名化個人特定情報を生成し、生成した前記匿名化個人特定情報を前記記憶手段に書き込む第2変換手段と
を備えることを特徴とする情報蓄積装置。 - 前記第2変換手段は、大規模集積回路から構成される
ことを特徴とする請求項15に記載の情報蓄積装置。 - 変換分割装置、情報提供装置及び情報蓄積装置から構成され、個人を特定する原個人特定情報に匿名化変換処理を施して匿名化個人特定情報を生成する匿名情報システムで用いられる方法であって、
前記変換分割装置により、前記匿名化変換処理を分割して、その一部分である第1変換処理を示すパラメタと、残りの部分である第2変換処理を示すパラメタとを生成し、前記第1変換処理及び前記第2変換処理をそれぞれ示すパラメタを前記変換分割装置が有する記憶手段に記憶させる変換分割ステップと、
前記情報提供装置により、前記第1変換処理を示すパラメタを前記変換分割装置から受信して前記情報提供装置が有する記憶手段に記憶させ、前記原個人特定情報に、記憶したパラメタにより示される前記第1変換処理を施して、半匿名化個人特定情報を生成し、生成した前記半匿名化個人特定情報を前記情報蓄積装置に送信する第1変換ステップと、
前記情報蓄積装置により、前記第2変換処理を示すパラメタを前記変換分割装置から受信し、前記半匿名化個人特定情報を前記情報提供装置から受信し、受信した前記半匿名化個人特定情報に、取得したパラメタにより示される前記第2変換処理を施して、前記匿名化個人特定情報を生成し、生成した前記匿名化個人特定情報を前記情報蓄積装置が有する記憶手段に記憶させる第2変換ステップと
を含むことを特徴とする方法。 - 変換分割装置、情報提供装置及び情報蓄積装置から構成され、個人を特定する原個人特定情報に匿名化変換処理を施して匿名化個人特定情報を生成する匿名情報システムで用いられるコンピュータ用のプログラムであって、
前記変換分割装置により、前記匿名化変換処理を分割して、その一部分である第1変換処理を示すパラメタと、残りの部分である第2変換処理を示すパラメタとを生成し、前記第1変換処理及び前記第2変換処理をそれぞれ示すパラメタを前記変換分割装置が有する記憶手段に記憶させる変換分割ステップと、
前記情報提供装置により、前記第1変換処理を示すパラメタを前記変換分割装置から受信して前記情報提供装置が有する記憶手段に記憶させ、前記原個人特定情報に、記憶したパラメタにより示される前記第1変換処理を施して、半匿名化個人特定情報を生成し、生成した前記半匿名化個人特定情報を前記情報蓄積装置に送信する第1変換ステップと、
前記情報蓄積装置により、前記第2変換処理を示すパラメタを前記変換分割装置から受信し、前記半匿名化個人特定情報を前記情報提供装置から受信し、受信した前記半匿名化個人特定情報に、取得したパラメタにより示される前記第2変換処理を施して、前記匿名化個人特定情報を生成し、生成した前記匿名化個人特定情報を前記情報蓄積装置が有する記憶手段に記憶させる第2変換ステップと
をコンピュータに実行させるためのプログラム。 - コンピュータ読み取り可能な記録媒体に記録されている
ことを特徴とする請求項18に記載のコンピュータ用のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005322332A JP4774276B2 (ja) | 2004-11-19 | 2005-11-07 | 匿名情報システム、変換分割装置、情報提供装置及び情報蓄積装置 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004335642 | 2004-11-19 | ||
| JP2004335642 | 2004-11-19 | ||
| JP2005322332A JP4774276B2 (ja) | 2004-11-19 | 2005-11-07 | 匿名情報システム、変換分割装置、情報提供装置及び情報蓄積装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006172433A JP2006172433A (ja) | 2006-06-29 |
| JP4774276B2 true JP4774276B2 (ja) | 2011-09-14 |
Family
ID=36673080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005322332A Expired - Fee Related JP4774276B2 (ja) | 2004-11-19 | 2005-11-07 | 匿名情報システム、変換分割装置、情報提供装置及び情報蓄積装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4774276B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101346734B1 (ko) * | 2006-05-12 | 2014-01-03 | 삼성전자주식회사 | 디지털 저작권 관리를 위한 다중 인증서 철회 목록 지원방법 및 장치 |
| WO2010053036A1 (ja) * | 2008-11-05 | 2010-05-14 | 日本電気株式会社 | データ参照システム、データベース提示分散システム、及びデータ参照方法 |
| JP5475608B2 (ja) * | 2010-10-01 | 2014-04-16 | 日本電信電話株式会社 | 撹乱システム、撹乱装置、撹乱方法及びプログラム |
| WO2014125557A1 (ja) * | 2013-02-12 | 2014-08-21 | 株式会社日立製作所 | 計算機、データアクセスの管理方法及び記録媒体 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002032473A (ja) * | 2000-07-18 | 2002-01-31 | Fujitsu Ltd | 医療情報処理システムおよび医療情報処理プログラム記憶媒体 |
| JP4429619B2 (ja) * | 2003-04-15 | 2010-03-10 | 三菱電機株式会社 | 情報提供装置 |
-
2005
- 2005-11-07 JP JP2005322332A patent/JP4774276B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006172433A (ja) | 2006-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7747491B2 (en) | Anonymous information system, information registering device and information storing device | |
| US11636776B2 (en) | Unified identification protocol in training and health | |
| CN101742960B (zh) | 记录访问和管理 | |
| Zaidan et al. | A security framework for nationwide health information exchange based on telehealth strategy | |
| TW512269B (en) | Method of customizing a user's browsing experience on a world-wide-web site | |
| US8977572B2 (en) | Systems and methods for patient-controlled, encrypted, consolidated medical records | |
| US20050125252A1 (en) | Bridged patient / provider centric method and system | |
| US20070294112A1 (en) | Systems and methods for identification and/or evaluation of potential safety concerns associated with a medical therapy | |
| EP1026603A2 (en) | Apparatus and method for depersonalizing information | |
| GB2439197A (en) | Refining identification of clinical study candidates | |
| US20140058756A1 (en) | Methods and apparatus for responding to request for clinical information | |
| JP4774276B2 (ja) | 匿名情報システム、変換分割装置、情報提供装置及び情報蓄積装置 | |
| Guan et al. | Achieving secure and efficient data access control for cloud-integrated body sensor networks | |
| CN106909617A (zh) | 一种基于数据拟合的个性化隐私信息检索方法 | |
| Borst et al. | The Swiss solution for anonymously chaining patient files | |
| Poonguzhali et al. | A framework for electronic health record using blockchain technology | |
| CN111105856A (zh) | 一种医疗数据脱敏、关联系统及方法 | |
| Chen et al. | Flexible and fine-grained access control for ehr in blockchain-assisted e-healthcare systems | |
| US20100114781A1 (en) | Personal record system with centralized data storage and distributed record generation and access | |
| JP2003005645A (ja) | 暗号方法、暗号システム、暗号化装置、復号化装置及びコンピュータプログラム | |
| Kong et al. | Protecting privacy in a clinical data warehouse | |
| Mahdi et al. | Secure count query on encrypted heterogeneous data | |
| Lakshmanan et al. | Merkle tree-blockchain-assisted privacy preservation of electronic medical records on offering medical data protection through hybrid heuristic algorithm | |
| Kelarev et al. | A survey of state-of-the-art methods for securing medical databases | |
| Jamal et al. | Digitalizing health care system using Aadhar card |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080418 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110328 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110405 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110516 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110531 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110627 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140701 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4774276 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |