JP4822842B2 - 匿名化識別情報生成システム、及び、プログラム。 - Google Patents

匿名化識別情報生成システム、及び、プログラム。 Download PDF

Info

Publication number
JP4822842B2
JP4822842B2 JP2005380401A JP2005380401A JP4822842B2 JP 4822842 B2 JP4822842 B2 JP 4822842B2 JP 2005380401 A JP2005380401 A JP 2005380401A JP 2005380401 A JP2005380401 A JP 2005380401A JP 4822842 B2 JP4822842 B2 JP 4822842B2
Authority
JP
Japan
Prior art keywords
information
subject
encrypted
identification information
anonymization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005380401A
Other languages
English (en)
Other versions
JP2007179500A (ja
Inventor
康雅 平井
昌興 高村
真一郎 松尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2005380401A priority Critical patent/JP4822842B2/ja
Publication of JP2007179500A publication Critical patent/JP2007179500A/ja
Application granted granted Critical
Publication of JP4822842B2 publication Critical patent/JP4822842B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、遺伝情報解析、特に、家系情報の解析を伴う遺伝情報の解析に適した匿名化識別情報の生成システムに関する。
近年、オーダーメイド治療などの実現に向け、遺伝子解析等の臨床研究が進められている。また、これら遺伝子解析をより有効なものとするために、医療機関が蓄積する被験者情報(家系情報)等を解析者が把握することは必要不可欠となっている。
しかしながら、家系情報等の被験者情報は個人のプライバシ情報であり、これらの被験者情報と検体識別情報(以下、検体ID)との関連性が解析者に露呈すると、プライバシが侵害されてしまう。
プライバシの侵害を防止する技術として、特許文献1には、検体の取得、被験者情報の収集等を行う匿名化システムが開示されている。この匿名化システムは、病院等に設置され、検体ID(非匿名)から匿名化識別情報(以下、匿名化ID)に識別情報(以下、ID)を振り替え、そのIDの振替を対応表として保管する。そして、診療情報等から個人特定情報(氏名、住所等)を削除したものを匿名化IDと関連付けた対応表を作成し、病院側が保管しておくことにより、ブライバシ保護を実現している。
また、特許文献2には、病院と解析者の結託による不正行為に対処するために、病院と解析者の間に物理的・論理的に分離された中立な機関として匿名化端末を設置することにより、ブライバシ保護を実現する技術が開示されている。
特開2002‐312361号公報 特開2004‐287847号公報
しかしながら、特許文献1及び特許文献2に開示された方法では、病院から解析者へ解析を依頼する際、或いは、解析者が他の研究機関(解析者)に解析を依頼する際に、匿名化IDを振る必要がある。このため、IDが増加してしまい、管理が煩雑となる。
さらに、“検体ID(非匿名)と匿名化ID”および“匿名化IDと診療情報”との関連性がわからなくなることによるヒューマンエラーが生じやすくなる。このため、匿名化IDと診療情報との関連性を必要に応じて(関連性を確認してもよいプレーヤが)確認可能な仕組みが必要である。また、IDと診療情報との関連性を隠すために、診療情報を解析者には渡さずに、匿名化システムおよび匿名化端末が常に管理する仕組みとしているため、解析者は家系情報などの解析にとって有益な情報を得る際には、その都度、匿名化システムおよび匿名化端末にアクセスして情報を取得する必要があり、一方、匿名化システムおよび匿名化端末は匿名化IDを元に情報を検索・提供する必要が生じ、解析者および匿名化システム・匿名化端末の負荷が大きい。
そのため、診療情報のプライバシの保護を実現しながら、必要な情報を解析者に提供可能な仕組みが必要である。
この発明は、上記実情に鑑みてなされたものであり、プライバシの保護を実現しながら、必要な情報を解析者に提供可能な仕組みを提供とすることを目的とする。
上記目的を達成するため、本発明の第1の観点に係る遺伝情報解析用の匿名化識別情報生成システムは、
伝情報を解析する対象の被験者毎に固有の被験者識別情報と各被験者間の親子関係を示す被験者関係情報とを対応付けて記憶する第1のコンピュータ装置と、前記第1のコンピュータ装置とネットワークを介して相互に通信可能に接続される第2のコンピュータ装置と、第3のコンピュータ装置から構成される、匿名化識別情報生成システムであって、
前記第2のコンピュータ装置は、
前記第1のコンピュータ装置からネットワークを介して前記被験者識別情報と前記被験者識別情報に対応付けられている前記被験者関係情報とを取得する情報取得手段と、
前記情報取得手段が取得した前記被験者識別情報に所定の一方向性演算を施して、前記被験者識別情報と1対1で対応する関連情報を生成する関連情報生成手段と、
前記関連情報生成手段が生成した関連情報を含む暗号鍵を用いて前記情報取得手段が取得した前記被験者関係情報を暗号化し、暗号化識別情報を生成する識別情報暗号化手段と、
前記識別情報暗号化手段が生成した前記暗号化識別情報と前記暗号鍵とを連結して被験者関係情報を再生成可能な暗号化情報を生成する暗号化情報生成手段と、
前記暗号化情報生成手段が生成した前記暗号化情報を出力する暗号化情報出力手段と、
を備え、
前記3のコンピュータ装置は、
前記暗号化情報生成手段により生成された暗号化情報を外部記憶媒体から読み取る暗号化情報読み取り手段と、
前記暗号化情報読み取り手段が読み取った前記暗号化情報のうち、前記被験者関係情報を復号する暗号化情報復号手段と、
を備える、
ことを特徴とする。
また、前記第3のコンピュータ装置は、前記第2のコンピュータ装置とネットワークを介して相互に通信可能に接続され、
前記暗号化情報出力手段によって出力された暗号化情報を、前記ネットワークを介して取得する暗号化情報取得手段をさらに備える、
とを特徴とするようにしてもよい。
さらに、前記匿名化識別情報生成システムにおいて、前記被験者関係情報は、前記被験者の遺伝解析に必要な遺伝情報を含む、ことを特徴とするようにしてもよい。
また、前記匿名化識別情報生成システムにおいて、前記被験者関係情報における前記被験者間の関係は、前記被験者識別情報に基づいて定義する、ことを特徴とするようにしてもよい。
上記目的を達成するため、本発明の第2の観点に係るプログラムは、
ネットワークを介して相互に通信可能に接続されたコンピュータ装置を、
遺伝情報を解析する対象の被験者毎に固有の被験者識別情報と、各被験者間の親子関係を示す被験者関係情報であって前記被験者識別情報に対応付けられている前記被験者関係情報とをネットワークを介して取得する情報取得手段、
前記情報取得手で取得した前記被験者識別情報に所定の一方向性演算を施して、前記被験者識別情報と1対1で対応する関連情報を生成する関連情報生成手段、
前記関連情報生成手段で生成した関連情報を含む暗号鍵を用いて前記情報取得手段が取得した前記被験者関係情報を暗号化し、暗号化識別情報を生成する識別情報暗号化手段、
前記識別情報暗号化手で生成した前記暗号化識別情報と前記暗号鍵とを連結して被験者関係情報を再生成可能な暗号化情報を生成する暗号化情報生成手段、
前記暗号化情報生成手で生成した前記暗号化情報を出力する暗号化情報出力段、
前記暗号化情報生成手段により生成された暗号化情報を外部記憶媒体から読み取る暗号化情報読み取り手段、
前記暗号化情報読み取り手段が読み取った前記暗号化情報のうち、前記被験者関係情報を復号する暗号化情報復号手段、
として機能させることを特徴とする
本発明のシステムによれば、プライバシの保護を実現しながら、必要な情報を解析者に提供することができる。
本発明の実施の形態に係る匿名化識別情報生成システムについて、図面を参照して説明する。
本実施の形態に係る匿名化識別情報生成システム100は、図1に示すように、ネットワーク104で相互に接続された病院用情報処理端末101と匿名化端末102と解析者用情報処理端末103、外部記憶媒体105とから構成される。
病院用情報処理端末101は、病院等に設置され、被験者のID(識別情報)、被験者の家系情報等の個人情報を記憶・管理する。
解析者用情報処理端末103は、家系情報を解析する解析者により使用され、家系情報の解析に使用される。
匿名化端末102は、機能的に、病院と解析者の中間に位置し、病院用情報処理端末101から提供される検体情報や家系情報を匿名化して解析者用情報処理端末103に提供する。
病院用情報処理端末101は、図2(A)に示すように、制御部201と、RAM202と、ROM203と、データベース204と、通信部205と、バス206とから構成される。
制御部201は、CPU(Central Processing Unit)等から構成され、RAM202をワークエリアとして使用して、ROM203に格納された動作プログラムを実行し、データベース204に格納された各被験者の遺伝情報を管理する。また、解析が必要となった遺伝情報を匿名化端末102に送信する。
RAM202は、制御部201のワークエリアとして機能する。
ROM203は、制御部201の動作プログラムを記憶する。図2(B)に示すように、ROM203が記憶する動作プログラムは、データベース化プログラム210と送信プログラム211とを含む。
データベース化プログラム210は、データベース204を更新・維持管理するためのプログラムである。送信プログラム211は、解析対象の被験者のID(検体ID)とその個人情報とを匿名化端末に送信するためのプログラムである。
データベース204は、被験者別にその個人情報を格納する。各被験者には、識別情報(ID)が付与されている。また、個人情報としては、家系情報、住所・氏名・年齢・性別等の情報、診療情報(病歴、投薬歴、治療歴)などの情報を含む。
通信部205は、ネットワーク104を介して匿名化端末102と通信を行う。
バス206は、各部間のデータ送受信を伝送する。
匿名化端末102は、図3(A)に示すように、制御部301と、RAM302と、ROM303と、記憶部304と、通信部305と、バス306と、外部メモリインターフェイス307とから構成される。
制御部301は、CPU(Central Processing Unit)等から構成され、RAM302をワークエリアとして使用して、ROM303に格納された動作プログラムを実行し、病院用情報処理端末101から提供された検体IDと家系情報とを匿名化して、解析者用端末103に提供する処理を行う。
RAM302は、制御部301のワークエリアとして機能する。
ROM303は、制御部301の動作プログラムを記憶する。図3(B)に示すように、ROM303が記憶する動作プログラムは、匿名化ID生成プログラム310と転送プログラム311とを含む。匿名化ID生成プログラム310は、病院用情報処理端末101から提供された検体IDと家系情報とを匿名化するためのプログラムである。この匿名化IDは、この匿名化IDを用いて家系図情報を再生することはできるが、検体IDを直接導き出すことができない情報である。ただし、匿名化IDの生成ルールを知る者(匿名化端末102)は、匿名化IDから検体IDを特定可能である。転送プログラム311は、生成した匿名化IDを104に提供するためのプログラムである。
記憶部304は、生成した匿名化IDとその元となった情報とを蓄積する。
通信部305は、104を介して病院用情報処理端末101及び解析者用情報処理端末103と通信を行う。
バス306は、これら各部の間でデータを伝送する。
外部メモリインターフェイス307は、制御部301で匿名化された検体IDと家系情報とを、解析者用情報処理端末103に提供する媒体となるカード式メモリ等の外部記憶媒体105に記録するためのインターフェイスである。
解析者用情報処理端末103は、図4(A)に示すように、制御部401と、RAM402と、ROM403と、記憶部404と、通信部405と、表示部406と、入力部407と、バス408と、外部メモリインターフェイス409とから構成される。
制御部401は、CPU(Central Processing Unit)等から構成され、RAM402をワークエリアとして使用して、ROM403に格納された動作プログラムを実行し、匿名化端末102から提供された匿名化IDを用いて家系図を再生し、これを表示部406に表示する。また、入力部407から入力される解析情報などを編集する。
RAM402は、制御部401のワークエリアとして機能する。
ROM403は、制御部401の動作プログラムを記憶する。図5(B)に示すように、ROM403が記憶する動作プログラムは、鍵生成プログラム410とデータ復号化プログラム411と、表示プログラム412と、編集プログラム413とを含む。鍵生成プログラム410は、匿名化IDから家系図を生成する際に使用する鍵を生成する。なお、鍵の技術的意味や生成手順は後述する。
データ復号化プログラム411は、生成した鍵を用いて、匿名化IDから家系図情報を生成する。
表示プログラム412は、例えば、復号化した家系図情報を含む種々の情報を表示部406に表示する。
入力部407は、家系図を解析した情報を入力する。
バス408は、各部の間のデータを伝送する。
外部メモリインターフェイス409は、匿名化端末102から提供されるカード式メモリ等の外部記憶媒体105から、匿名化された検体IDと家系情報とを読み取るためのインターフェイスである。
次に、上記構成のシステムを用いて、家系図情報を解析する手法(システムの動作)を説明する。
まず、本実施の形態における遺伝情報解析手順の全体像を図5と図6を参照して説明する。
まず、病院において、ある検査対象者(被験者)にID(検体ID)を割り当てる。この検体IDは、被験者に固有のIDである。
また、この被験者の、被験者情報を被験者IDに対応付けてデータベース204に登録する。被験者情報は、被験者のプライバシ情報であり、例えば、家系図情報、住所情報、氏名情報、年齢情報、性別情報、診療情報等の情報(病歴情報、診療履歴情報、投薬履歴情報等)等、個人を特定すると共に被験者の治療などに有効な種々の情報である。このうち、家系図情報は、親子関係等を定義し、家系図を生成できるデータである。
ある被験者について、遺伝情報の解析が必要となった場合、医師等は、病院用情報処理端末101を操作して、その被験者の被験者情報のうち解析に必要な情報のみを抽出する。例えば、個人を特定しうる情報を除いた、家系情報、年齢、性別、診療情報の一部などを抽出する。以下では、抽出した被験者情報を抽出被験者情報と呼ぶ。
続いて、遺伝情報の解析を依頼するため、検体IDと抽出被験者情報とを対応付けて病院用情報処理端末101から匿名化端末102に送付する(ステップS1)。
例えば、親子の関係にあるAさん(親)とCさん(子)に関する遺伝情報を解析する必要がある場合には、Aさん(親)とCさん(子)の検体IDとAさんとCさんの親子関係を示す家系図情報や、Aさんの性別・年齢・病歴などの情報、Cさんの性別・年齢・病歴などの情報を対応付けて送信する。
匿名化端末102は、送付された情報を受信して記憶部304に格納する。続いて、匿名化端末102は、提供された検体IDから、検体IDとの関連性を示す情報である関連情報を生成し、記憶部304に格納する(ステップS2)。さらに、匿名化端末102は、関連情報を含む任意の匿名化ID’を生成する(ステップS3)。検体IDと匿名化ID’との関連性は、検体IDと匿名化ID’に埋め込まれている関連情報との対応表を持つ者しかわからない。
続いて、家系図情報を処理して家系情報を生成する(ステップS4)。ここで、家系情報は、家系図情報を処理して、後述する匿名化IDのみから家系図を生成可能とするような情報である。
続いて、匿名化ID’を暗号鍵として用いて、家系情報を含む抽出被験者情報を暗号化し暗号化付加情報を生成する(ステップS5)。
続いて、匿名化ID’と暗号化付加情報とを連結して匿名化IDを生成する(ステップS6)。この匿名化IDは、この匿名化IDから家系情報を再生することはできるが、検体IDを推定することはできない情報である。
次に、匿名化端末102は、生成した匿名化IDを外部メモリインターフェイス307を介して外部記憶媒体105に記録する(ステップS7)。そして、匿名化端末102の利用者は、その外部記憶媒体105を解析者用情報処理端末103の利用者に提供する。
次に、解析者用情報処理端末103の利用者は、匿名化端末102の利用者から送付された、その外部記憶媒体105を解析者用情報処理端末103の外部メモリインターフェイス409にセットする。そして、解析者用情報処理端末103は、この外部記憶媒体105が外部メモリインターフェイス409にセットされたことを検知して、次のステップS8の処理を開始する。
解析者用情報処理端末103は、外部記憶媒体105に記録された匿名化IDを読み取り、記憶部404に格納し、匿名化ID’と暗号化付加情報とに分割する(ステップS8)。
次に、解析者用情報処理端末103は、匿名化ID’と予め格納されている秘密情報、とから付加情報復号・検証鍵を生成する(ステップS9)。この付加情報復号・検証鍵は、暗号化付加情報から家系情報を復号すると共に復号結果が正しいか否かを検証可能な鍵である。
ついで、復号及び検証した付加情報から家系図を生成する(ステップS11)。解析用端末103では、家系情報或いは家系図から検体IDを特定することはできず、解析している家系図がどこのだれのものであるか、或いは、どの検体IDに対応するものであるかを特定することができない。
解析者は、再生した家系図及び家系図に現れる人物の抽出被験者情報から、遺伝情報を解析する(ステップS12)。
解析者は、解析が終了すると、解析結果を匿名化ID’と共に、外部メモリインターフェイス409を介して、外部記憶媒体105に記録する(図6;ステップS13)。そして、解析者は、その外部記憶媒体105を匿名化端末102の利用者に提供する。
匿名化端末102の利用者は、その外部記憶媒体105を匿名化ID’と共に、解析情報処理装置103から受け取ると、匿名化端末102の外部メモリインターフェイス307にその外部記憶媒体105をセットする。そして、匿名化端末102は、この外部記憶媒体105が外部メモリインターフェイス307にセットされたことを検知して、次のステップS14の処理を開始する。
匿名化端末102は、匿名化ID’から検体IDを再生し(ステップS14)、再生した検体IDと解析者用情報処理端末103から受け取った解析結果とを病院用情報処理端末101に送信する(ステップS15)。
病院用情報処理端末101は、検体IDと解析結果とを対応付けてデータベース204に格納し(ステップS16)、以後の診療・治療等に活用する。
次に、図5と図6を参照して説明した遺伝情報解析手順を、詳細に説明する。
まず、病院用情報処理端末101は、データベース204に、各被験者のID(検体ID)と関連する被験者情報を格納している。前述のように、被験者情報は、被験者のプライバシ情報であり、例えば、家系図情報、住所情報、氏名情報、年齢情報、性別情報、診療情報等の情報(病歴情報、診療履歴情報、投薬履歴情報等)等、個人を特定すると共に被験者の治療などに有効な種々の情報である。このうち、家系図情報は、家系図を検体IDの組み合わせで示したものである。
図7(a)に検体IDのデータ構成の一例を示す。この例では、各検体IDは、機関区分コード、検体区分コード、日付コード、連番コードから構成される。機関区分コードは病院の識別コードである。検体区分コードは、検体の種別(性別・年齢等の属性)を識別するコードである。日付コードは、その被験者の受付年月日などを特定するコードであるる。連番コードは、その受付日のうちの何番目の受け付け者であるかを示すコードである。ただし、コード体系自体は任意である。
また、家系図情報は、家系図を検体IDの組み合わせで示すための情報であり、検体ID同士の関係を示す情報である。
例えば、母Aと父Bと、子C,D、Eがいる場合に、それぞれの検体IDを、ID、ID,ID,ID、IDと表現したときに、家系図は図8(A)に示すように構成される。これが、1ファミリー分の家系図であり、IDとID、及び、IDとIDとIDとがそれぞれ同一の1世代である。
医師などは、遺伝情報の解析が必要になると、解析が必要な被験者の検体IDを特定し、さらに、被験者情報のうち、解析に必要な情報を抽出して抽出被験者情報を生成する。
例えば、図8(A)の家系図において、AさんとCさんの遺伝情報の分析が必要な場合には、例えば、Bさんを除く、A、C〜Eさんの検体IDと抽出被験者情報とが、匿名化端末102に送信される。必要に応じて、全員の情報を送っても、AさんとCさんの情報のみを送ってもよい。
次に、病院用情報処理端末101の制御部201は、医師などの操作に従って、検体IDと抽出被験者情報とを対応付けて、通信部205を介して匿名化端末102に送付する(ステップS1)。
匿名化端末102の制御部301は、病院用情報処理端末101から通信部305を介してこれらの情報を受信し、記憶部304に格納する。
制御部301は、続いて、匿名化IDを生成する処理(ステップS2〜S6)を実行する。
まず、制御部301は、受信した検体IDを所定の一方向性関数に適用して、そのハッシュ値を求め、これを関連情報とする(ステップS2)。制御部301は、検体IDと関連情報との対応関係を示す情報を記憶部304に格納する。この関連情報は、検体IDとの関連性を示す情報である。なお、ハッシュ値を所定のルールで暗号化したり、圧縮したり、乱数を発生してこれを付加してランダム性を持たせたりしてもよい。このようにして、例えば、図7(A)に示す検体IDから、図7(B)に示すような関連情報を生成する。
次に、制御部301は生成した関連情報を含む任意の匿名化ID’を生成する(ステップS3)。検体IDと匿名化ID’との関係は、検体IDと関連情報の対応表を持つ者(対応関係を知る者)しかわからない。図7(C)に、検体IDの機関区分と検体区分に関連情報を連結して生成した匿名化ID’の例を示す。ただし、関連情報に連結するデータは任意である。また、連結のルールが確定していれば、関連情報は連続している必要はなく、匿名化ID’内で分割されて分散していてもよい。
次に、制御部301は、家系情報を生成する。即ち、図8(A)に示すような検体IDで定義されている家系情報を、上述と同様の手法により、図8(B)に示すような匿名化ID’で定義される家系情報に変換する。
続いて、家系図情報から家系情報を生成する。この家系情報は、匿名化ID’間の関係を示す情報である。
この家系情報の形態は任意であるが、図9(a)、(b)に示すような境界情報Wを用いて形成することができる。
この境界情報の左側が親の情報を、右側が子の情報を示す
例えば、図8(B)の家系図上で、匿名化ID’(ID’も同様である)の家系情報は、図9(a)に示すように、境界情報Wの右側に子供として、匿名化ID’、ID’、ID’がいることを示す。同様に、図8(B)の家系図上で、匿名化ID’(ID’とID’も同様である)の家系情報は、図9(b)に示すように、境界情報Wの左側に親として、匿名化ID’とID’がいることを示す。
続いて、制御部301は、匿名化ID’を暗号鍵として用いて、家系情報やその他の抽出被験者情報を暗号化し、これを、暗号化付加情報とする(ステップS5)。さらに、この際、適当なビット数の乱数を付加し、例えば、ElGamal暗号などにより暗号化する。
例えば、注目している被験者がAさんであり、その匿名化ID’が図9(a)に示す内容であったとする。次に、図8(B)の家系図情報によれば、Aさんの匿名化ID’の家系情報は図10(b)に示すように、境界情報Wと匿名化ID’と、匿名化ID’と、匿名化ID’とを連結したものとなる。さらに、ここに、Aさんの性別、年齢、病歴などのその他の被験者情報を結合する。
制御部301は、所定ビット数の乱数を発生し、図10(c)に示すように、この乱数を家系情報に結合する。なお、図10(c)は例示であり、乱数のビット数や連結位置や連結手法は任意である。
続いて、図10(c)に示す乱数が連結された家系情報を図10(a)に示す匿名化ID’で暗号化し、図10(d)に例示するような暗号化付加情報を生成する。
なお、遺伝情報の解析の対象がAさんとCとの関するものであれば、Cさんに関しても同様の処理を行って、匿名化ID’用の暗号化付加情報を生成する。
続いて、匿名化ID’と生成した暗号化付加情報とを連結して図11(a)、(b)に示すように匿名化IDを生成する。即ち、暗号化鍵と暗号化の結果とを結合して匿名化IDを生成する。
制御部301は、このようにして生成した匿名化ID、例えば、IDとIDとを外部メモリインターフェイス307を介して外部記憶媒体105に記録する(ステップS7)。
解析者用情報処理端末103の制御部401は、外部記憶媒体105に記録された匿名化IDを外部メモリインターフェイス409を介して読み取り、記憶部404に一旦格納する。
続いて、制御部401は、RAM402をワークエリアとして動作して、まず、受信した匿名化IDを、例えば、匿名化ID’と暗号化付加情報とに分割する(ステップS8)。例えば、受信した図11に示す各匿名化IDを匿名化ID’とその暗号化付加情報、及び匿名化ID’とその暗号化付加情報に分割する。これは、匿名化ID’のビット数が予め定められていれば、MSBより所定ビット数を匿名化IDとし、残りを暗号化付加データとすることにより容易に実施可能である。
次に、権限ある解析端末に予め与えられている「秘密情報」を用いて、暗号化ID’を処理して、付加情報復号・検証鍵を生成する(ステップS9)。
この付加情報復号・検証鍵は、家系情報などを復号すると共に復号結果が正しいかどうか検証可能とする鍵である。
なお、「秘密情報」は、例えば、解析者が作成し、匿名化端末102が承認する方法、匿名化端末102が生成して配布する方法、センタを設けてそこから配布する方法などがある。また、付加情報復号・検証鍵自体を、解析者が作成し、匿名化端末102が承認する方法、匿名化端末102が生成して配布する方法、鍵センタを設けてそこから配布する等の方法をとってもよい。
次に、この付加情報復号・検証鍵を用いて暗号化付加情報を復号する。さらに、復号した暗号化付加情報をつきあわせることによりその正当性をチェックする。例えば、匿名化ID’と匿名化ID’を考えると、匿名化ID’の暗号化付加情報の復号化情報に含まれている家系情報と、匿名化ID’の暗号化付加情報の復号化情報に含まれている家系情報に矛盾があるか否かを判別し、復号したデータを検証する。
例えば、図8(B)の家系図を前提とすれば、匿名化ID’については、復号化した暗号化付加情報から匿名化ID’が「子」であることを判別でき、一方、匿名化ID’については、復号化した暗号化付加情報からID’が「親」であることを判別できたとすれば、両者に矛盾が無く、検証OKである。従って、図12(又は図8(B))に示すような、家系図を再生することができる。制御部401は、再生した家系図及び各人の性別・年齢や病歴などの情報を記憶部404に格納する。従って、このように復号・検証鍵を匿名化ID’から生成し、それを用いて復号することで、匿名化ID’と付加情報の組み合わせの検証を同時に行うことができ、ヒューマンエラーを防止することができる。
次に、解析者は、再生された家系図及びその他の情報を表示部406に表示させ、遺伝情報を解析する(ステップS12)。また、解析結果を入力部407から入力・編集する。
解析者は、解析結果を、匿名化ID’及び匿名化ID’と共に、外部メモリインターフェイス409を介して外部記憶媒体105に記録する(ステップS13)。そして、解析者は、その外部記憶媒体105を、匿名化端末102の利用者に提供する。
次に、匿名化端末102の利用者は、その外部記憶媒体105を、匿名化端末102の外部メモリインターフェイス307にセットする。そして、匿名化端末102の制御部201は、外部メモリインターフェイス307を介して、外部記憶媒体105から匿名化ID’と匿名化ID’とを読み取り、その匿名化ID’と匿名化ID’とから、対応データに基づいて、IDとIDとを再生し、これを病院用情報処理端末101に送信する。
以上説明した手順により、解析者に個人を特定する情報を与えることなく、遺伝情報の解析が可能となる。また、解析者が病院と仮に結託しても、病院側に匿名化ID’を提供しても検体IDを特定できないので、個人を特定することができない。
さらに、解析者は、受信した情報から家系情報を復元し、また、被験者の属性や病歴を知ることができる。即ち、必要な情報がそろった状態で解析作業を行うことができ、作業が容易であり、ミスの発生も少ない。
なお、この発明は上記実施の形態に限定されず、種々の変形及び応用が可能である。
例えば、上記実施の形態においては、家系情報を連結記号と匿名化ID’とを連結することにより形成したが、例えば、匿名化ID’のハッシュ値を用いてもよい。但し、復号時に、匿名化ID’のハッシュ値を求めて、連結されているデータのいずれが、どの匿名化ID’のハッシュ値に一致しているのかを判別することにより、匿名化ID’を特定する必要がある。
また、暗号化の手法や復号の手法も任意である。
例えば、次に式で示すような、解析者端末103で暗号化鍵を生成する手法も有効である。
解析者用情報処理端末103は、数1に示すように、0から素数pの整数値からなる集合Zlのうちからランダムに選択して、これを秘密鍵Keypriv1とする。
Figure 0004822842
 次に、数2に示すように、位数がpの巡回群Gでの原始元を利用して秘密鍵Keypriv1を暗号化して、公開鍵Keypubを生成する。
Figure 0004822842
解析記者用情報処理端末103は、この公開鍵を匿名化端末102に送信する。
匿名化端末102は、病院用情報処理端末101より、被験者の検体IDと抽出被験者情報Mprivacyとを受信し、数3で表される匿名化IDを求め、解析者用情報処理端末103へ送る。
Figure 0004822842
ここで、ID'は 関連情報を埋め込んだ匿名化ID’である。また、||は、データの結合を示す。rは、数4に示すように、集合Zlに属す乱数である。ここで、rGは、位数がqの巡回群Gでの原始元を利用して求められる。mprivacyは、家系図情報等を含む抽出被験者情報である。また、抽出被験者情報mprivacyと排ハッシュ関数H2で暗号化したデータとの排他的論理和(Aで表す)を求める。
H1(ID')は、匿名化ID’を第1のハッシュH1に適用した値である。
(e(Keypub, H1(ID')))は、Keypubと H1(ID')による暗号化である。
さらに、H2(e(Keypub, H1(ID')))は、e(Keypub, H1(ID')) 第2のハッシュ関数H2に適用した値である。
Figure 0004822842
これに対し、解析者端末103は、匿名化IDを受領して、次のようにして抽出被験者情報を復号する。
数5により、暗号キーcを求める。
Figure 0004822842
 続いて、抽出被験者情報mprivacyを数6に従って抽出する。
Figure 0004822842
このような形態によっても、安全に抽出被験者情報を解析者用情報処理端末103に送信し、かつ、解析者用情報処理端末103で必要な情報を得る得ることができる。
また、上記実施の形態においては、解析者用情報処理端末103は、匿名化ID’と予め与えられた秘密情報とに基づいて、暗号化付加情報を復号したが、その手法は任意である。
上記実施の形態においては、暗号化符号化情報として、連結情報Wに連結した匿名化ID’を連結した。この様な手法は、1ファミリー単位で、暗号化付加情報を匿名化端末102から解析者情報処理端末103へ外部記憶媒体105に記録して提供する場合に、特に有効である。
但し、この発明はこれに限定されず、例えば、バッチ処理等で実施する場合などにおいて、複数の(又は全ての)IDについてまとめて家系情報を送信するような場合には、個々に匿名化ID’を送信するのではなく、図13に示すように、連結情報にファミリーの識別情報を付すようにしてもよい。
例えば、図13では、ID’〜ID’が、「1」番のファミリーに属しており、ID’とID’に関しては子の情報が存在し、ID’〜ID’に関しては、親の情報が存在することが示されている。
そこで、解析者用情報処理端末103でこれらの情報を復号した後、ファミリー番号が一致するもの同士を組み合わせることにより、家系図情報を再生することができる。
この発明の各情報処理端末は、専用装置に限定されない。一般のコンピュータに、コンピュータを上記各端末として動作させるためのコンピュータプログラムを記録媒体などからインストールすることにより、上記各端末を実現することができる。
さらに、上記実施の形態においては、解析者用情報処理端末103は、ネットワーク104に接続されていないが、例えば、家系図や関連情報の匿名性確保のレベルが低くても構わない場合は、外部記憶媒体105を用いず、図14のようにネットワーク104を介してデータを授受してもよい。この場合、解析者用情報処理端末103と匿名化端末102は、通信部305、または通信部405を介して、暗号化情報を授受する。
本実施形態に係る匿名化識別情報生成システムの構成を説明するための図である。 病院用情報処理端末の構成を説明するためのブロック図である。 匿名化端末の構成を説明するためのブロック図である。 解析者用情報処理端末の構成を説明するためのブロック図である。 本実施形態に係る匿名化識別情報生成システムの全体の動作を説明するための図である。 本実施形態に係る匿名化識別情報生成システムの全体の動作を説明するための図である。 検体IDから匿名化ID’を生成する処理を説明するための図である。 (A)は、検体IDで定義されている家系情報を示す図である。(B)は、匿名化ID’で定義される家系情報を示す図である。 家系情報における境界情報の一例を示す図である。 (a)は、関連性検証鍵のビット列の一例を示す図である。(b)(c)は、家系情報のビット列の一例を示す図である。(d)は、暗号化付加情報のビット列の一例を示す図である。 (a)は、匿名化ID’ビット列の一例を示す図である。(b)は、匿名化ID’cビット列の一例を示す図である。 家系図を生成する場合の家系情報の一例を示す図である。 家系図を生成する場合の家系情報の一例を示す図である。 解析者用情報処理端末をネットワークに接続した場合の実施形態に係る匿名化識別情報生成システムの構成図である。
符号の説明
100 匿名化識別情報生成システム
101 病院用情報処理端末
102 匿名化端末
103 解析者用情報処理端末
104 ネットワーク
105 外部記憶媒体

Claims (5)

  1. 遺伝情報を解析する対象の被験者毎に固有の被験者識別情報と各被験者間の親子関係を示す被験者関係情報とを対応付けて記憶する第1のコンピュータ装置と、前記第1のコンピュータ装置とネットワークを介して相互に通信可能に接続される第2のコンピュータ装置と、第3のコンピュータ装置から構成される、匿名化識別情報生成システムであって、
    前記第2のコンピュータ装置は、
    前記第1のコンピュータ装置からネットワークを介して前記被験者識別情報と前記被験者識別情報に対応付けられている前記被験者関係情報とを取得する情報取得手段と、
    前記情報取得手段が取得した前記被験者識別情報に所定の一方向性演算を施して、前記被験者識別情報と1対1で対応する関連情報を生成する関連情報生成手段と、
    前記関連情報生成手段が生成した関連情報を含む暗号鍵を用いて前記情報取得手段が取得した前記被験者関係情報を暗号化し、暗号化識別情報を生成する識別情報暗号化手段と、
    前記識別情報暗号化手段が生成した前記暗号化識別情報と前記暗号鍵とを連結して被験者関係情報を再生成可能な暗号化情報を生成する暗号化情報生成手段と、
    前記暗号化情報生成手段が生成した前記暗号化情報を出力する暗号化情報出力手段と、
    を備え、
    前記3のコンピュータ装置は、
    前記暗号化情報生成手段により生成された暗号化情報を外部記憶媒体から読み取る暗号化情報読み取り手段と、
    前記暗号化情報読み取り手段が読み取った前記暗号化情報のうち、前記被験者関係情報を復号する暗号化情報復号手段と、
    を備える、
    ことを特徴とする匿名化識別情報生成システム。
  2. 前記第3のコンピュータ装置は、前記第2のコンピュータ装置とネットワークを介して相互に通信可能に接続され、
    前記暗号化情報出力手段によって出力された前記暗号化情報を、前記ネットワークを介して取得する暗号化情報取得手段をさらに備える、
    ことを特徴とする請求項1に記載の匿名化識別情報生成システム。
  3. 前記被験者関係情報は、前記被験者の遺伝解析に必要な遺伝情報を含む、
    ことを特徴とする請求項1又は2に記載の匿名化識別情報生成システム。
  4. 前記被験者関係情報における前記被験者間の関係は、前記被験者識別情報に基づいて定義する、
    ことを特徴とする請求項1乃至のいずれか1項に記載の匿名化識別情報生成システム。
  5. ネットワークを介して相互に通信可能に接続されたコンピュータ装置を、
    遺伝情報を解析する対象の被験者毎に固有の被験者識別情報と、各被験者間の親子関係を示す被験者関係情報であって前記被験者識別情報に対応付けられている前記被験者関係情報とをネットワークを介して取得する情報取得手段、
    前記情報取得手で取得した前記被験者識別情報に所定の一方向性演算を施して、前記被験者識別情報と1対1で対応する関連情報を生成する関連情報生成手段、
    前記関連情報生成手段で生成した関連情報を含む暗号鍵を用いて前記情報取得手段が取得した前記被験者関係情報を暗号化し、暗号化識別情報を生成する識別情報暗号化手段、
    前記識別情報暗号化手で生成した前記暗号化識別情報と前記暗号鍵とを連結して被験者関係情報を再生成可能な暗号化情報を生成する暗号化情報生成手段、
    前記暗号化情報生成手で生成した前記暗号化情報を出力する暗号化情報出力段、
    前記暗号化情報生成手段により生成された暗号化情報を外部記憶媒体から読み取る暗号化情報読み取り手段、
    前記暗号化情報読み取り手段が読み取った前記暗号化情報のうち、前記被験者関係情報を復号する暗号化情報復号手段、
    として機能させることを特徴とするプログラム。
JP2005380401A 2005-12-28 2005-12-28 匿名化識別情報生成システム、及び、プログラム。 Active JP4822842B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005380401A JP4822842B2 (ja) 2005-12-28 2005-12-28 匿名化識別情報生成システム、及び、プログラム。

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005380401A JP4822842B2 (ja) 2005-12-28 2005-12-28 匿名化識別情報生成システム、及び、プログラム。

Publications (2)

Publication Number Publication Date
JP2007179500A JP2007179500A (ja) 2007-07-12
JP4822842B2 true JP4822842B2 (ja) 2011-11-24

Family

ID=38304590

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005380401A Active JP4822842B2 (ja) 2005-12-28 2005-12-28 匿名化識別情報生成システム、及び、プログラム。

Country Status (1)

Country Link
JP (1) JP4822842B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101420683B1 (ko) * 2007-12-24 2014-07-17 삼성전자주식회사 마이크로어레이의 정보 암호화/복호화 방법 및 시스템
EP2487639A4 (en) 2009-10-09 2017-05-24 Nec Corporation Information management device, data processing method thereof, and computer program
JP2013197642A (ja) * 2012-03-16 2013-09-30 Fujitsu Ltd 暗号処理方法及び装置
JP2015032077A (ja) * 2013-08-01 2015-02-16 株式会社日立ソリューションズ 検体試料の匿名化管理方法およびシステム並びにプログラム
JP2020203420A (ja) * 2019-06-17 2020-12-24 起範 金 Dnaプロフィール表示体及びdnaプロフィールの表示方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000285178A (ja) * 1999-03-29 2000-10-13 Fujitsu Ltd 母子手帳情報リンク装置および母子手帳情報リンクプログラム記憶媒体
DE1233366T1 (de) * 1999-06-25 2003-03-20 Genaissance Pharmaceuticals Verfahren zur herstellung und verwendung von Haplotype Daten
JP2001357130A (ja) * 2000-06-13 2001-12-26 Hitachi Ltd 診療情報管理システム
JP2002132749A (ja) * 2000-10-24 2002-05-10 Naoyuki Kamatani サンプリングバイアス評価・減少装置
JP3357039B2 (ja) * 2001-10-16 2002-12-16 三井情報開発株式会社 匿名化臨床研究支援方法およびそのシステム
JP2004287847A (ja) * 2003-03-20 2004-10-14 Ntt Data Corp 匿名化権限分散化システム、匿名化権限分散化方法、匿名化権限分散化装置、匿名化権限分散化方法、および、プログラム
WO2005097190A2 (en) * 2004-03-26 2005-10-20 Celgene Corporation Systems and methods for providing a stem cell bank

Also Published As

Publication number Publication date
JP2007179500A (ja) 2007-07-12

Similar Documents

Publication Publication Date Title
US11531781B2 (en) Encryption scheme for making secure patient data available to authorized parties
US9355273B2 (en) System and method for the protection and de-identification of health care data
EP3266149B1 (en) Access control for encrypted data in machine-readable identifiers
US8977572B2 (en) Systems and methods for patient-controlled, encrypted, consolidated medical records
US7770026B2 (en) Document management system, information processing device and method, and computer program
US8607332B2 (en) System and method for the anonymisation of sensitive personal data and method of obtaining such data
US20060085347A1 (en) Method and apparatus for managing personal medical information in a secure manner
US20040054657A1 (en) Medical information management system
JP2007536649A (ja) 長期患者レベルのデータベースのためのデータ記録マッチングアルゴリズム
JP2006260521A (ja) ドキュメント管理システム、情報処理装置、および方法、並びにコンピュータ・プログラム
US20090037334A1 (en) Electronic medical record system, method for storing medical record data in the medical record system, and a portable electronic device loading the electronic medical record system therein
JP2001357130A (ja) 診療情報管理システム
US20190327311A1 (en) Secure access to individual information
KR20140029984A (ko) 의료정보 데이터베이스 운영 시스템의 의료정보 관리 방법
US20060271482A1 (en) Method, server and program for secure data exchange
JP4822842B2 (ja) 匿名化識別情報生成システム、及び、プログラム。
CA3141078A1 (en) Dynamic encryption/decryption of genomic information
US20100235924A1 (en) Secure Personal Medical Process
JP2024502512A (ja) 個人遺伝子識別情報の取得、制御、アクセス及び/又は表示の方法及びシステム
KR102245886B1 (ko) 협력형으로 개인정보를 보호하는 통신환경에서의 분석서버 및 분석서버의 동작 방법, 서비스제공장치 및 서비스제공장치의 동작 방법
JP2009134598A (ja) ワークフローシステム、フロー制御装置、承認装置、プログラム及びワークフロー方法
JP3952270B2 (ja) 医用画像登録参照方法、医用画像登録参照システム、コンテンツ登録用サーバ、コンテンツ参照用サーバ、プログラム及びその記録媒体
CN113764062B (zh) 一种患者数据信息处理方法、装置、系统和存储介质
JP4284986B2 (ja) 個人情報管理システム及び個人情報管理方法
JP6258453B2 (ja) 情報処理装置、情報処理方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110906

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110906

R150 Certificate of patent or registration of utility model

Ref document number: 4822842

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140916

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350