JP4832934B2 - 個人情報解析装置及びハードウエアキー装置 - Google Patents
個人情報解析装置及びハードウエアキー装置 Download PDFInfo
- Publication number
- JP4832934B2 JP4832934B2 JP2006075718A JP2006075718A JP4832934B2 JP 4832934 B2 JP4832934 B2 JP 4832934B2 JP 2006075718 A JP2006075718 A JP 2006075718A JP 2006075718 A JP2006075718 A JP 2006075718A JP 4832934 B2 JP4832934 B2 JP 4832934B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- personal
- personal information
- date
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 57
- 238000012217 deletion Methods 0.000 claims description 35
- 230000037430 deletion Effects 0.000 claims description 35
- 230000004044 response Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 26
- 238000004891 communication Methods 0.000 description 20
- 238000011160 research Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 6
- 239000003814 drug Substances 0.000 description 4
- 229940079593 drug Drugs 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 230000004043 responsiveness Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000036772 blood pressure Effects 0.000 description 1
- 238000001647 drug administration Methods 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
Images
Landscapes
- Medical Treatment And Welfare Office Work (AREA)
- Storage Device Security (AREA)
Description
本発明は、個人情報を含むデータを解析する技術に関する。
遺伝子を用いたオーダーメイド医療は、患者の遺伝子型に応じて有効な薬剤投与・治療を行うものである。そのため、多くの患者の薬剤応答性等のデータを蓄積し、当該データについて、遺伝子型毎の薬剤有効性等を解析する必要がある。患者のデータを登録する際は、必ず本人の同意を取ることになっている(インフオームドコンセント)。
そして、登録された患者のデータ(即ち、個人情報)は複数の研究機関に配布され、複数のコンピュータのデータベース(DB)に格納され、適宜解析される。
一方、一旦同意した患者は、随時、同意の撤回が可能である。この場合、該患者の同意が撤回されたことを、各研究機関の各コンピュータに通知し、各DBから該患者の個人情報を削除・更新し、全DBのデータを同期する必要がある。
仮に、解析用の各コンピュータがネットワークに接続されている場合には、例えば、特許文献1に開示されているような手法で、容易に各DBを更新させることが可能である。
しかしながら、個人情報はきわめて秘密性の高いものであり、セキュリティ保護策として、個人情報の配布も更新もネットワークを介さない方法を取ることが望ましい。そこで、患者の個人情報に関しては、ネットワークを介さずに、記録媒体に記録して配布している。
また、個人情報の漏洩等を防ぐ為には、配布方法の制限だけでなく、DBへのアクセスを制限する必要がある。このために、アクセス許可用の担体(IDカード等)を用いる方法が考えられるが、IDカード紛失による個人情報漏洩のリスクがある。また、配布先において個人情報の複製やその流用等が行われると、同意している患者の個人情報保護の観点からも、同意を撤回した患者の個人情報の削除という観点からも好ましくない。従って、何らかの制限を行う必要がある。
特開2001−216186号公報
本発明は、上記実情に鑑みてなされたものであり、個人情報が漏洩する危険が少なく、安全に個人情報を含むデータを解析できる個人情報解析装置を提供することを目的とする。
また、本発明は、同意を撤回した患者の個人情報へのアクセスを適切に防止できるハードウェアキー装置を提供することを他の目的とする。
また、本発明は、同意を撤回した患者の個人情報へのアクセスを適切に防止できるハードウェアキー装置を提供することを他の目的とする。
上記目的を達成するため、本発明の第1の観点に係る個人情報解析装置は、
個人を特定可能な個人識別情報を含み、解析することに同意がなされた個人の個人情報を記憶する個人情報記憶手段と前記個人情報は複数の項目を含み、前記個人情報の項目のうち特定の項目を記憶する項目記憶手段とを備え、提供された解析対象情報を解析するスタンドアロン型の解析手段と、
前記解析手段に着脱可能に接続され、前記個人情報記憶手段に記憶された個人情報に基づいて前記解析対象情報を生成して前記解析手段に提供するハードウエアキー手段と、
を備え、
前記ハードウエアキー手段は、
前記解析することの同意が撤回された個人の前記個人識別情報を、所定の端末から取得する個人識別情報取得手段と、
前記解析手段に接続されたことに応答して、前記個人識別情報取得手段で取得した個人識別情報により特定される前記個人情報を前記個人情報記憶手段から削除する個人情報削除手段と、
前記個人情報削除手段による削除後に前記個人情報記憶手段に記憶されている前記個人情報を取得する個人情報取得手段と、
前記個人情報取得手段で取得した前記個人情報から、前記項目記憶手段に記憶されている項目に基づいて前記特定の項目の情報を削除することにより前記解析対象情報を生成する解析対象情報生成手段と、
前記解析対象情報生成手段で生成した前記解析対象情報を前記解析手段に解析のために提供する情報提供手段と、
を備えることを特徴とする。
個人を特定可能な個人識別情報を含み、解析することに同意がなされた個人の個人情報を記憶する個人情報記憶手段と前記個人情報は複数の項目を含み、前記個人情報の項目のうち特定の項目を記憶する項目記憶手段とを備え、提供された解析対象情報を解析するスタンドアロン型の解析手段と、
前記解析手段に着脱可能に接続され、前記個人情報記憶手段に記憶された個人情報に基づいて前記解析対象情報を生成して前記解析手段に提供するハードウエアキー手段と、
を備え、
前記ハードウエアキー手段は、
前記解析することの同意が撤回された個人の前記個人識別情報を、所定の端末から取得する個人識別情報取得手段と、
前記解析手段に接続されたことに応答して、前記個人識別情報取得手段で取得した個人識別情報により特定される前記個人情報を前記個人情報記憶手段から削除する個人情報削除手段と、
前記個人情報削除手段による削除後に前記個人情報記憶手段に記憶されている前記個人情報を取得する個人情報取得手段と、
前記個人情報取得手段で取得した前記個人情報から、前記項目記憶手段に記憶されている項目に基づいて前記特定の項目の情報を削除することにより前記解析対象情報を生成する解析対象情報生成手段と、
前記解析対象情報生成手段で生成した前記解析対象情報を前記解析手段に解析のために提供する情報提供手段と、
を備えることを特徴とする。
また、前記個人情報記憶手段は、前記個人情報を、所定の暗号化方式で暗号化して記憶しており、
前記ハードウエアキー手段は、前記個人情報を復号化するための情報を格納する、
ことを特徴としてもよい。
また、前記個人識別情報取得手段は、
前記解析することの同意が撤回された個人の前記個人識別情報を取得した日付を記憶する個人識別情報日付記憶手段を備え、
前記個人情報削除手段は、
前記個人情報を前記個人情報記憶手段から削除した日付を記憶する削除日付記憶手段を備え、
前記個人識別情報日付記憶手段で記憶した日付が前記削除日付記憶手段で記憶した日付よりも後であった場合に、前記個人識別情報取得手段で記憶した個人識別情報により特定される前記個人情報を前記個人情報記憶手段から削除する、
ことを特徴としてもよい。
前記ハードウエアキー手段は、前記個人情報を復号化するための情報を格納する、
ことを特徴としてもよい。
また、前記個人識別情報取得手段は、
前記解析することの同意が撤回された個人の前記個人識別情報を取得した日付を記憶する個人識別情報日付記憶手段を備え、
前記個人情報削除手段は、
前記個人情報を前記個人情報記憶手段から削除した日付を記憶する削除日付記憶手段を備え、
前記個人識別情報日付記憶手段で記憶した日付が前記削除日付記憶手段で記憶した日付よりも後であった場合に、前記個人識別情報取得手段で記憶した個人識別情報により特定される前記個人情報を前記個人情報記憶手段から削除する、
ことを特徴としてもよい。
さらに、前記個人情報削除手段は、
前記個人識別情報日付記憶手段で記憶した日付が前記削除日付記憶手段で記憶した日付よりも前であった場合に、前記個人識別情報日付記憶手段で記憶した日付が予め定められた有効期限内であるか否かを判定する有効期限判定手段を備え、
前記有効期限判定手段で有効期限内でないと判定された場合、前記個人識別情報記憶手段へのアクセスを行わない、
ことを特徴としてもよい。
前記個人識別情報日付記憶手段で記憶した日付が前記削除日付記憶手段で記憶した日付よりも前であった場合に、前記個人識別情報日付記憶手段で記憶した日付が予め定められた有効期限内であるか否かを判定する有効期限判定手段を備え、
前記有効期限判定手段で有効期限内でないと判定された場合、前記個人識別情報記憶手段へのアクセスを行わない、
ことを特徴としてもよい。
さらに、前記個人識別情報取得手段は、前記個人情報記憶手段に個人情報が記憶されている個人であって、前記解析することの同意を撤回した個人の個人識別情報をダウンロードするためのダウンロード用端末に着脱可能に装着され、該ダウンロード用端末に装着されることにより、前記同意を撤回した個人の個人識別情報を取得する、
ことを特徴としてもよい。
ことを特徴としてもよい。
上記目的を達成するため、本発明の第2の観点に係るハードウェアキー装置は、
個人を特定可能な個人識別情報を含み、解析することに同意がなされた個人の個人情報を記憶する個人情報記憶手段と前記個人情報は複数の項目を含み、前記個人情報の項目のうち特定の項目を記憶する項目記憶手段とを含む解析手段または前記解析することの同意が撤回された個人の前記個人識別情報が登録されるダウンロード端末に着脱可能に装着されるコネクタと、
前記ダウンロード端末に前記コネクタを介して接続されたことに応答して前記解析することの同意が撤回された個人の前記個人識別情報を取得する個人識別情報取得手段と、
前記個人識別情報取得手段で取得した前記個人識別情報で特定される個人情報を、前記個人情報記憶手段から削除する個人情報削除手段と、
前記個人情報削除手段による削除後に前記個人情報記憶手段に記憶されている前記個人情報を取得する個人情報取得手段と、
前記個人情報取得手段で取得した前記個人情報から、前記項目記憶手段に記憶されている項目に基づいて前記特定の項目の情報を削除することにより解析対象情報を生成する解析対象情報生成手段と、
前記解析対象情報生成手段で生成した前記解析対象情報を前記解析手段に解析のために提供する情報提供手段と、
を備えることを特徴とする。
個人を特定可能な個人識別情報を含み、解析することに同意がなされた個人の個人情報を記憶する個人情報記憶手段と前記個人情報は複数の項目を含み、前記個人情報の項目のうち特定の項目を記憶する項目記憶手段とを含む解析手段または前記解析することの同意が撤回された個人の前記個人識別情報が登録されるダウンロード端末に着脱可能に装着されるコネクタと、
前記ダウンロード端末に前記コネクタを介して接続されたことに応答して前記解析することの同意が撤回された個人の前記個人識別情報を取得する個人識別情報取得手段と、
前記個人識別情報取得手段で取得した前記個人識別情報で特定される個人情報を、前記個人情報記憶手段から削除する個人情報削除手段と、
前記個人情報削除手段による削除後に前記個人情報記憶手段に記憶されている前記個人情報を取得する個人情報取得手段と、
前記個人情報取得手段で取得した前記個人情報から、前記項目記憶手段に記憶されている項目に基づいて前記特定の項目の情報を削除することにより解析対象情報を生成する解析対象情報生成手段と、
前記解析対象情報生成手段で生成した前記解析対象情報を前記解析手段に解析のために提供する情報提供手段と、
を備えることを特徴とする。
本発明によれば、個人情報を含むデータを解析する場合の個人情報が漏洩する危険性を小さくすることができる。また、個人情報を含むデータの個人情報を不当に複製され、または流用等される危険性を小さくすることができる。さらに、個人情報を含むデータへのアクセスを適切に防止できる。
以下、この発明の実施の形態に係るハードウエアキー装置の処理概要を説明する。
本実施の形態に係るハードウエアキー装置は、図1に示すように、病院等の医療機関Hに設置される入力端末1と、医師会等の医療研究機関Aに設置されるダウンロード端末2と、解析端末3と、解析端末3に格納される個人情報ファイル4と、サーバ装置5と、ドングル6と、通信ネットワークN1と、から構成される。尚、本実施形態ではハードウェアキー装置として、ドングルを例に記載しているが、同じ機能をもつ装置であれば、ドングルでなくても構わない。
入力端末1は、ネットワーク通信機能を有するパーソナルコンピュータ等の情報処理装置である。この入力端末1は、図1に示す医療機関Hに設置され、個人情報を含むデータの登録に同意した後、その撤回の意思表示がされた患者の患者IDを入力するための装置である。この入力端末1は、物理的には、図2に示すとおり通信装置11と、制御装置12と、入力装置13と、記憶装置14とから構成される。
ダウンロード端末2は、ネットワーク通信機能を有するパーソナルコンピュータ等の情報処理装置から構成され、図1に示す医療研究機関Aに設置される。このダウンロード端末2は、後述するサーバ装置5に記憶された患者IDを取得し、ドングル6にその患者IDを記憶させるための装置である。このダウンロード端末2は、物理的には、図3に示すとおりコネクタ20と、通信装置21と、制御装置22と、記憶装置23とから構成される。
図1に示す解析端末3は、スタンドアロン環境にあるパーソナルコンピュータ等の情報処理装置である。この解析端末3は、図1に示す医療研究機関Aの関係者が、後述する個人情報ファイル4に記憶されたプライバシー情報を用いて、薬剤応答性等オーダーメイド医療に必要なデータの解析をするための装置である。この解析端末3は、物理的には、図4に示すとおりコネクタ30と、通信装置31と、制御装置32と、記憶装置33と、入力装置34と、表示装置35とから構成される。さらに記憶装置33は、データ登録に同意した患者についての個人情報を格納する個人情報ファイル4を記憶する。
図1に示す個人情報ファイル4は、データベース等から構成される個人情報を蓄積するためのファイルである。この個人情報ファイル4には、図9に示すように、データ登録に同意した患者に関する個人レコード9が格納される。この個人レコード9は、例えばRSA等の公開鍵を用いた暗号化技術により暗号化されている。そして、図1に示す医療研究機関Aの関係者は、前述の解析端末3を用いて、この個人情報ファイル4にアクセスする。なお個人情報とは、患者の氏名、生年月日、住所、職業、電話番号、メールアドレス等の個人に関する情報(以下、個人特定情報とする)だけでなく、既往歴、遺伝子情報、薬剤応答性、血圧等の情報(以下、プライバシー情報とする)を含む情報である。
図1に示すサーバ装置5は、ネットワーク通信機能を有するサーバコンピュータ等の情報処理装置である。このサーバ装置5は、図1に示す医療機関Hの入力端末1から送信された患者IDを記憶し、その患者IDを受信した日付(以下、登録日付とする)を、患者IDに紐付けして記憶する装置である。このサーバ装置5は、物理的には図5に示すとおり、通信装置51と、制御装置52と、記憶装置53とから構成される。
図1に示すドングル6は、データの不正コピー等を防止するためのハードウェアキー装置でり、物理的には図6に示すようにコネクタ60と、制御装置61と、記憶装置62とから構成される。このドングル6は、ダウンロード端末2を介してサーバ装置5からダウンロードした患者IDを格納して、その患者IDと同じ患者IDをもつ個人レコード9を個人情報ファイル4から削除する。さらに、個人レコード9に含まれる個人特定情報を削除して解析用のデータを生成する。
図6に示すコネクタ60は、ドングル6の取り付け口であり、例えば、SCSI(Small Computer System Interface)、USB(Universal Serial Bus)などのポートから構成される。
制御装置61は、例えば、CPU(Central Processing Unit:中央演算処理装置)やワークエリアとなるRAM(Random Access Memory)などから構成され、後述する各ステップの動作を実行する。
記憶装置62は、内蔵ハードディスク装置等から構成され、制御装置61の処理プログラムやサーバ装置5からダウンロードした患者ID、登録日付、さらにこれらをダウンロードした日付(以下、ダウンロード日付とする)、その患者IDをもつ個人レコード9を個人情報ファイル4から削除した日付(以下、削除日付とする)、個人情報ファイル4の個人レコード9が解析可能な期限(以下、有効期限とする)等、各種データを保管する。
通信ネットワークN1は、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)などといった所定の通信プログラムに基づいてデータ伝送をおこなうネットワークであり、例えばWAN(Wide Area Network)等の広域通信網である。通信ネットワークN1は、入力端末1と、ダウンロード端末2と、サーバ装置5との間のデータ通信を媒介する。
図6に示す構成のドングル6は、機能的には、図7に示すように撤回レコード削除部601と、解析レコード加工部602とから構成される。
撤回レコード削除部601は、ドングル6がダウンロード端末2にセットされると、図8(a)に示すようにサーバ装置5に登録された患者IDと、登録日付とをダウンロードする。その後、撤回レコード削除部601は、その患者IDと登録日付と、これらのダウンロード日付を記憶装置62に記憶する。このダウンロード日付は、患者IDや登録日付と紐付けして記憶するのではなく、図8(b)に示すように、ダウンロードした複数の患者ID、登録日付に対して1つの日付が記憶される。
また、撤回レコード削除部601は、ドングル6が解析端末3にセットされると、まず記憶装置62に記憶された削除日付とダウンロード日付とを比べ、ダウンロード日付が後であれば個人情報ファイル4を全件取得する。そして、個人情報ファイル4の個人レコード9を復号化した後、サーバ装置5からダウンロードした患者IDと同じ患者IDをもつ個人レコード9を削除して、削除後の個人情報ファイル4を、後述する解析レコード加工部602に引き渡す。
一方、ダウンロード日付が前であれば、その旨後述する解析レコード加工部602に通知する。
一方、ダウンロード日付が前であれば、その旨後述する解析レコード加工部602に通知する。
解析レコード加工部602は、ダウンロード日付の方が前である通知を受けた場合、さらにその日付が有効期限内か否かを判断する。この有効期限は、ダウンロード日付から一定の期間のみ個人情報ファイル4の個人レコード9の解析を可能とする日付である。
そして解析レコード加工部602は、ダウンロード日付が有効期限内にあるときは、個人情報ファイル4を解析装置3から全件取得し、個人レコード9を復号化して記憶装置62に記憶する。
一方、解析レコード加工部602は、ダウンロード日付が有効期限外であるときは、解析装置3の表示装置35に、あらためて最新の患者IDをダウンロードすることを促す旨の表示をする。
そして、解析レコード加工部602は、これら処理で復号化された個人情報ファイル4の個人レコード9に含まれる個人特定情報を削除した後、解析用データを生成して解析装置3に送る。
これらの処理を行うことにより、登録の同意を撤回した患者以外の個人レコード9であって、その個人レコード9のプライバシー情報のみが、解析装置3に提供される。このプライバシー情報に該当するデータ(項目)は、あらかじめ図10に示すように解析装置3の記憶装置33に記憶されており、解析レコード加工部602は、この項目を参照して、図9に示す個人レコード9から、図11に示す解析用データを生成する。
続いて、ドングル6の処理の動作について、図12〜図16を参照して説明する。ドングル6の処理は、図12に示す患者ID入力処理と、図13に示す患者ID登録処理と、図14に示すダウンロード処理と、図15に示すレコード削除処理と、図16に示す解析データ生成処理と、から構成される。
前提として、医療機関Hの関係者は、患者ID「001」の患者から「06/02/15」に、患者ID「005」の患者から「06/02/14」に、個人情報を個人情報ファイル4へ登録することの同意を撤回する意思表示を受け、図1に示す入力端末1に、その患者の患者ID「001」、「005」を入力したとする。
さらに、ドングル6の記憶装置62には、個人レコード9の解析は患者IDをダウンロードしてから「30日以内」という有効期限が設定されているとする。
このような前提のもと、入力端末1の制御装置12は、入力装置13に患者IDが入力されたことを検知し、図12に示す患者ID入力処理を開始する。
さらに、ドングル6の記憶装置62には、個人レコード9の解析は患者IDをダウンロードしてから「30日以内」という有効期限が設定されているとする。
このような前提のもと、入力端末1の制御装置12は、入力装置13に患者IDが入力されたことを検知し、図12に示す患者ID入力処理を開始する。
制御装置12は、入力装置13に入力された患者IDを読み取って、記憶装置14に記憶する(ステップS10)。次に、あらかじめ記憶装置14に記憶されたサーバ装置5のIPアドレス等の位置情報を読み取り、そのIPアドレスのサーバ装置5に、その患者IDを、通信装置11を介して送信する(ステップS11)。このステップが終了すると、入力装置1で行う処理は終了し、図13に示すサーバ装置5が行う患者ID登録処理に進む。この処理が行われることにより、患者ID「001」が「06/02/15」に、「005」については「06/02/14」に、後述するサーバ装置5に送信される。
サーバ装置5の制御装置52は、入力端末1から送信された患者IDを、通信装置51を介して記憶装置53に記憶する(ステップS20)。このステップS20の処理は、タイマー起動等の方法で制御装置52に格納されるプログラムを定期的に起動させることにより開始する。
その後、制御装置52は、患者IDを受信した日付(すなわち登録日付)を患者IDと紐付けして記憶する(ステップS21)。例えば、患者ID「001」を受信し、その受信日が「06/02/15」であったとすると、図8(a)に示すように患者IDと、登録日付とが記憶される。これと同様に、「06/02/14」に受信した患者ID「005」についても図8(a)に示すように、患者IDと、登録日付とが1つのファイルに記憶される。
このような処理が行われることにより、複数の患者IDがサーバ装置5に蓄積される。そして、これらの処理が終了すると、患者ID登録処理は終了し、ドングル6の全体の処理も一旦終了する。
その後、制御装置52は、患者IDを受信した日付(すなわち登録日付)を患者IDと紐付けして記憶する(ステップS21)。例えば、患者ID「001」を受信し、その受信日が「06/02/15」であったとすると、図8(a)に示すように患者IDと、登録日付とが記憶される。これと同様に、「06/02/14」に受信した患者ID「005」についても図8(a)に示すように、患者IDと、登録日付とが1つのファイルに記憶される。
このような処理が行われることにより、複数の患者IDがサーバ装置5に蓄積される。そして、これらの処理が終了すると、患者ID登録処理は終了し、ドングル6の全体の処理も一旦終了する。
一方、図1に示す医療研究機関Aの研究者は、同意を撤回した患者のIDをサーバ装置5から取得するために、ダウンロード端末2のコネクタ20にドングル6をセットする。そしてドングル6がダウンロード端末2にセットされると、ダウンロード端末2は図14に示すダウンロード処理を開始する。このダウンロード処理が開始されることで、ドングル6の全体の処理も再開する。
ダウンロード端末2の制御装置22は、ドングル6がコネクタ20にセットされたことを検知すると、あらかじめ記憶装置23に記憶されたサーバ装置5のIPアドレス等の位置情報を参照し、その位置情報をもつサーバ装置5にアクセスする(ステップS30)。そして、サーバ装置5へのアクセスが完了すると、サーバ装置5の記憶装置53の患者IDを記憶したファイルをダウンロードして、ドングル6の記憶装置62に記憶する(ステップS31)。
次に制御装置22は、患者IDをダウンロードした日付「06/02/28」を、図8(b)に示すように、ダウンロードした患者IDとは別に記憶する(ステップS32)。そして、これらの処理が終了すると、ダウンロード処理は終了し、ドングル6の全体の処理も一旦終了する。
図1に示す医療研究機関Aの研究者は、ダウンロード端末2のコネクタ20からドングル6を取り外し、解析端末3のコネクタ30にドングル6をセットする。そして、この操作をした日付が「06/03/03」であったとする。
ドングル6は、解析端末3のコネクタ30にセットされると、図15に示すレコード削除処理を開始する。この処理が開始されることにより、ドングル6の全体の処理が再開する。
ドングル6は、解析端末3のコネクタ30にセットされると、図15に示すレコード削除処理を開始する。この処理が開始されることにより、ドングル6の全体の処理が再開する。
ドングル6の制御装置61は、解析端末3のコネクタ30に、ドングル6のコネクタ60がセットされたことを検知すると、記憶装置62に記憶される削除日付と、ステップS31で記憶したダウンロード日付とを比べ、ダウンロード日付の方が後か否かを判断する(ステップS40)。この削除日付は、個人情報ファイル4の中の個人レコード9のうち、同意を撤回した患者の患者IDをもつ個人レコード9を過去に削除した日付であり、初めてこのステップの処理を行うときは初期値「000000」が設定されている。従って、ステップS31で記憶したダウンロード日付が「060218」であるとすると、制御装置61は、削除日付よりダウンロード日付が後であると判断する。
そして制御装置61は、ステップS40でダウンロード日付が後であると判断すると(ステップS40;Yes)、コネクタ60およびコネクタ30を介して、個人情報ファイル4に格納される個人レコード9を全件取得して記憶装置62に記憶する(ステップS41)。その後、制御装置61は、ステップS31で記憶した個人レコード9を、RSA等の公知の暗号化技術により復号化する(ステップS42)。
さらに制御装置61は、ドングル6の記憶装置62に記憶された患者IDを読み取り、その患者IDと同じ患者IDを持つ個人レコード9を特定して削除すると共に、削除した日付を記憶する(ステップS43)。例えば、ステップS31で記憶した患者IDが「001」「005」であるとすると、図9に示す個人情報ファイル4の中の患者ID「001」及び「005」の個人レコード9を削除する。
一方制御装置61は、ステップS40でダウンロード日付が削除日付より前であると判断したときは(ステップS40;No)、さらにその日付が有効期限内か否かを判断する(ステップS44)。本実施例ではダウンロード日付が「060228」であり、有効期限が「30(日)」である。従って制御装置61は、ダウンロード日付「060228」が「30(日)」以内であり、有効期限内であると判断する。
続いて制御装置62は、ステップS44でダウンロード日付が有効期限内と判断したときは(ステップS44;Yes)、個人情報ファイル4に格納される個人レコード9を、コネクタ30およびコネクタ60を介して全件取得して、記憶装置62に記憶する(ステップS45)。そして、制御装置61は、RSA等の公知の暗号化技術により、個人レコード9を復号化する(ステップS46)。
一方、制御装置62は、ステップS44でダウンロード日付が有効期限外と判断したときは(ステップS44;No)、解析装置3の表示装置35に対して、ドングル6をダウンロード端末2にセットし、新たに患者IDをダウンロードすることを促すメッセージを表示する(ステップS47)。この場合、個人情報ファイル4に格納される個人レコード9は取得せずに処理が終了する。そして、医療研究機関Aの関係者は、あらためてドングル6をダウンロード端末2にセットして患者IDを取得した後、ステップS40の処理を行う。
そしてステップS43、またはステップS46、またはステップS47のうちいずれか1つの処理が終了すると、レコード削除処理全体の処理が終了し、続いて解析データ生成処理に進む。
そしてステップS43、またはステップS46、またはステップS47のうちいずれか1つの処理が終了すると、レコード削除処理全体の処理が終了し、続いて解析データ生成処理に進む。
図16に示す解析データ生成処理では、制御装置62は、ステップS43、またはステップS46で復号化された個人レコード9の中から個人特定情報を削除して、解析用データを生成する(ステップS50)。このプライバシー情報に該当するデータ(項目)は、あらかじめ図10に示すように記憶装置33に登録されており、その項目名を参照することにより、個人レコード9の同じ項目名を持つ項目を削除する。そして、図11に示す解析データを生成する。
その後制御装置61は、ステップS50で生成した解析用データを、コネクタ60、およびコネクタ30を介して、解析装置3の記憶装置33に送る(ステップS51)。このステップS51の処理が終了すると、解析データ生成処理が終了する。そして、解析データ生成処理が終了すると、ドングル6についての全ての処理が終了する。
以上に説明したように、図1に示す医療機関Hで同意撤回の意思表示がされてから、その患者の個人レコード9を削除するまでの間、ドングル6に記憶した患者IDのみを媒介にして各処理が行われる。従って、例えばドングル6が盗難にあった場合等でも患者の個人情報が漏洩することがない。また、ドングル6を解析端末3にセットすると、自動的に登録の同意を撤回した患者の個人情報は、個人情報ファイル4から削除され、ドングル6を用いてのみ復号化される。従って、個人情報ファイル4へのアクセスが適切に制限されるとともに、同意撤回した患者のプライバシー情報が漏洩し、その情報が悪用されることもない。
尚、上記実施の形態は一例であり、本発明の適用範囲はこれに限られない。すなわち、種々の応用が可能であり、あらゆる実施の形態が本発明の範囲に含まれる。
例えば、上記実施例では、図1に示すように、入力端末1と、ダウンロード端末2と、サーバ装置5とが通信ネットワークN1を介して接続されているが、例えば、入力端末1と、解析端末3のみを用いて、これら端末にドングル6をセットすることにより、同意を撤回した患者の患者IDの受け渡しを行ってもよい。具体例として、医療研究機関Aの関係者が、ドングル6を受け取って解析装置3にセットしたときの状態を図17に示す。
図17に示す入力端末1は、図2に示す各装置の他、さらにコネクタ10を備える。そして入力端末1は、コネクタ10を介してドングル6に同意を撤回した患者の患者IDを記憶する。
その後、図17に示す医療機関Hの関係者は、患者IDを記憶したドングル6を、例えば郵便等の配送ルートR1を介して、ドングル6を医療研究機関Aに送る。
その後、図17に示す医療機関Hの関係者は、患者IDを記憶したドングル6を、例えば郵便等の配送ルートR1を介して、ドングル6を医療研究機関Aに送る。
ドングル6を受け取った医療研究機関Aの関係者は、そのドングル6を解析端末3にセットし、同意を撤回した患者の患者IDを含む個人レコード9を個人情報ファイル4から削除する等の処理を行う。
具体的には、図17に示す医療機関Hの関係者は、患者から同意を撤回する意思表示を受け付けると、ドングル6を入力端末1のコネクタ10にセットする。そして関係者は、その患者の患者IDを、入力装置13に入力する。この入力された患者IDを制御装置12が検知すると、図18に示す患者ID取得処理を開始する。
ドングル6の制御装置62は、入力装置13に入力された患者IDを読み取って、記憶装置62に記憶する(ステップS100)。そして、患者IDを記憶した日付(登録日付)を記憶する(ステップS101)。ここまでの処理が終了すると、図1の医療機関Hの関係者が行う処理が終了する。そして、医療機関Hの関係者は、ドングル6をコネクタ10から取り外し、配送ルートR1を介して医療研究機関Aに送る。
そして、医療研究機関Aの関係者は、配送されたドングル6を受取り、解析装置3のコネクタ30にセットする。ドングル6の制御装置61は、コネクタ30にセットされたことを検知すると、図19に示す削除準備処理を開始する。
制御装置61は、コネクタ60が、コネクタ30にセットされると、その日付を記憶装置62に記憶する(ステップS200)。具体的には、あらかじめドングル6が備えるクロックから日付情報(以下、装着日付とする)を取得して、記憶装置62に記憶する。この装着日付は、ダウンロード日付と同様に、複数の患者ID、登録日付について1つ付与される日付である。
このステップS200を行った後は、図15に示すレコード削除処理を「ダウンロード日付」を「装着日付」に読み替えて実行し、さらに図16に示す解析レコード生成処理を行う。これらの処理を行うことにより、ネットワークN1を用いて行った処理と同じ内容の解析用データを生成することができる。
また、これまで説明した実施例では、プライバシー情報となる項目をあらかじめ解析装置3に記憶させることとしているが、患者IDと同様にサーバ装置3を用いてその項目を共有し、患者ID等と共に、その項目をダウンロードして処理を行うこととしてもよい。この場合、解析装置3から、プライバシー情報となる項目を読み取る必要が無くなるため、解析装置3が行う解析用データを生成するまでの処理時間を減らすことができる。
さらに上記実施例では、プライバシー情報として解析装置3に記憶されている項目を、個人レコード9から一律削除することとしているが、例えば個人情報に該当する箇所を「●」等の記号で塗りつぶす等のマスキング処理を施して解析用データを生成する等しても良い。
尚、入力端末1、ダウンロード端末2、解析端末3、サーバ装置5、個人情報ファイル4、ドングル6の物理的構成等は、同様の機能構成が得られるならば任意に変更可能である。
1 入力端末
11 入力端末の通信装置
12 入力端末の制御装置
13 入力端末の入力装置
14 入力端末の記憶装置
2 ダウンロード端末
20 ダウンロード端末のコネクタ
21 ダウンロード端末の通信装置
22 ダウンロード端末の制御装置
23 ダウンロード端末の記憶装置
3 解析端末
30 解析端末のコネクタ
31 解析端末の通信装置
32 解析端末の制御装置
33 解析端末の記憶装置
34 解析端末の入力装置
35 解析端末の表示装置
4 個人情報ファイル
5 サーバ装置
51 サーバ装置の通信装置
52 サーバ装置の制御装置
53 サーバ装置の記憶装置
6 ドングル
60 ドングルのコネクタ
61 ドングルの制御装置
62 ドングルの記憶装置
9 個人レコード
N1 通信ネットワーク
H 医療機関
A 医療研究機関
11 入力端末の通信装置
12 入力端末の制御装置
13 入力端末の入力装置
14 入力端末の記憶装置
2 ダウンロード端末
20 ダウンロード端末のコネクタ
21 ダウンロード端末の通信装置
22 ダウンロード端末の制御装置
23 ダウンロード端末の記憶装置
3 解析端末
30 解析端末のコネクタ
31 解析端末の通信装置
32 解析端末の制御装置
33 解析端末の記憶装置
34 解析端末の入力装置
35 解析端末の表示装置
4 個人情報ファイル
5 サーバ装置
51 サーバ装置の通信装置
52 サーバ装置の制御装置
53 サーバ装置の記憶装置
6 ドングル
60 ドングルのコネクタ
61 ドングルの制御装置
62 ドングルの記憶装置
9 個人レコード
N1 通信ネットワーク
H 医療機関
A 医療研究機関
Claims (6)
- 個人を特定可能な個人識別情報を含み、解析することに同意がなされた個人の個人情報を記憶する個人情報記憶手段と前記個人情報は複数の項目を含み、前記個人情報の項目のうち特定の項目を記憶する項目記憶手段とを備え、提供された解析対象情報を解析するスタンドアロン型の解析手段と、
前記解析手段に着脱可能に接続され、前記個人情報記憶手段に記憶された個人情報に基づいて前記解析対象情報を生成して前記解析手段に提供するハードウエアキー手段と、
を備え、
前記ハードウエアキー手段は、
前記解析することの同意が撤回された個人の前記個人識別情報を、所定の端末から取得する個人識別情報取得手段と、
前記解析手段に接続されたことに応答して、前記個人識別情報取得手段で取得した個人識別情報により特定される前記個人情報を前記個人情報記憶手段から削除する個人情報削除手段と、
前記個人情報削除手段による削除後に前記個人情報記憶手段に記憶されている前記個人情報を取得する個人情報取得手段と、
前記個人情報取得手段で取得した前記個人情報から、前記項目記憶手段に記憶されている項目に基づいて前記特定の項目の情報を削除することにより前記解析対象情報を生成する解析対象情報生成手段と、
前記解析対象情報生成手段で生成した前記解析対象情報を前記解析手段に解析のために提供する情報提供手段と、
を備えることを特徴とする個人情報解析装置。 - 前記個人情報記憶手段は、前記個人情報を、所定の暗号化方式で暗号化して記憶しており、
前記ハードウエアキー手段は、前記個人情報を復合化するための情報を格納する、
ことを特徴とする請求項1に記載の個人情報解析装置。 - 前記個人識別情報取得手段は、
前記解析することの同意が撤回された個人の前記個人識別情報を取得した日付を記憶する個人識別情報日付記憶手段を備え、
前記個人情報削除手段は、
前記個人情報を前記個人情報記憶手段から削除した日付を記憶する削除日付記憶手段を備え、
前記個人識別情報日付記憶手段で記憶した日付が前記削除日付記憶手段で記憶した日付よりも後であった場合に、前記個人識別情報取得手段で記憶した個人識別情報により特定される前記個人情報を前記個人情報記憶手段から削除する、
ことを特徴とする請求項1または2に記載の個人情報解析装置。 - 前記個人情報削除手段は、
前記個人識別情報日付記憶手段で記憶した日付が前記削除日付記憶手段で記憶した日付よりも前であった場合に、前記個人識別情報日付記憶手段で記憶した日付が予め定められた有効期限内であるか否かを判定する有効期限判定手段を備え、
前記有効期限判定手段で有効期限内でないと判定された場合、前記個人識別情報記憶手段へのアクセスを行わない、
ことを特徴とする請求項3に記載の個人情報解析装置。 - 前記個人識別情報取得手段は、前記個人情報記憶手段に個人情報が記憶されている個人であって、前記解析することの同意を撤回した個人の個人識別情報をダウンロードするためのダウンロード用端末に着脱可能に装着され、該ダウンロード用端末に装着されることにより、前記同意を撤回した個人の個人識別情報を取得する、
ことを特徴とする請求項4に記載の個人情報解析装置。 - 個人を特定可能な個人識別情報を含み、解析することに同意がなされた個人の個人情報を記憶する個人情報記憶手段と前記個人情報は複数の項目を含み、前記個人情報の項目のうち特定の項目を記憶する項目記憶手段とを含む解析手段または前記解析することの同意が撤回された個人の前記個人識別情報が登録されるダウンロード端末に着脱可能に装着されるコネクタと、
前記ダウンロード端末に前記コネクタを介して接続されたことに応答して前記解析することの同意が撤回された個人の前記個人識別情報を取得する個人識別情報取得手段と、
前記個人識別情報取得手段で取得した前記個人識別情報で特定される個人情報を、前記個人情報記憶手段から削除する個人情報削除手段と、
前記個人情報削除手段による削除後に前記個人情報記憶手段に記憶されている前記個人情報を取得する個人情報取得手段と、
前記個人情報取得手段で取得した前記個人情報から、前記項目記憶手段に記憶されている項目に基づいて前記特定の項目の情報を削除することにより解析対象情報を生成する解析対象情報生成手段と、
前記解析対象情報生成手段で生成した前記解析対象情報を前記解析手段に解析のために提供する情報提供手段と、
を備えることを特徴とするハードウエアキー装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006075718A JP4832934B2 (ja) | 2006-03-17 | 2006-03-17 | 個人情報解析装置及びハードウエアキー装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006075718A JP4832934B2 (ja) | 2006-03-17 | 2006-03-17 | 個人情報解析装置及びハードウエアキー装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007249874A JP2007249874A (ja) | 2007-09-27 |
| JP4832934B2 true JP4832934B2 (ja) | 2011-12-07 |
Family
ID=38594044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006075718A Active JP4832934B2 (ja) | 2006-03-17 | 2006-03-17 | 個人情報解析装置及びハードウエアキー装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4832934B2 (ja) |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0611170A (ja) * | 1992-06-30 | 1994-01-21 | Canon Inc | 室内環境制御システム |
| JP2000194603A (ja) * | 1998-12-28 | 2000-07-14 | Dainippon Printing Co Ltd | Icカ―ド内情報復号システム |
| JP2001273218A (ja) * | 2000-03-24 | 2001-10-05 | Matsushita Electric Ind Co Ltd | 情報配信方法及び情報配信システム |
| JP2002259928A (ja) * | 2001-03-06 | 2002-09-13 | Matsushita Electric Ind Co Ltd | データキャリア |
| JP2003319453A (ja) * | 2002-04-18 | 2003-11-07 | Ntt Docomo Hokkaido Inc | 携帯通信端末制御方法、携帯通信端末、サーバ装置、プログラムおよび記録媒体 |
| JP2005049961A (ja) * | 2003-07-30 | 2005-02-24 | Hitachi Ltd | 個人情報管理システム |
| JP4059321B2 (ja) * | 2003-10-30 | 2008-03-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 個人情報管理システム、情報処理システム、個人情報管理方法、プログラム、及び記録媒体 |
| JP2006004301A (ja) * | 2004-06-18 | 2006-01-05 | Hideo Suzuki | データを管理する方法および情報処理装置 |
-
2006
- 2006-03-17 JP JP2006075718A patent/JP4832934B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007249874A (ja) | 2007-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11087021B2 (en) | Secure access to individual information | |
| US11531781B2 (en) | Encryption scheme for making secure patient data available to authorized parties | |
| KR101224749B1 (ko) | 파일 암호화 및 복호화를 위한 다수의 키를 관리하는시스템 및 방법 | |
| US20090193267A1 (en) | Secure electronic medical record storage on untrusted portal | |
| US20090271221A1 (en) | Method and Apparatus for Providing Medical Records Registration | |
| US11343330B2 (en) | Secure access to individual information | |
| JP7121401B2 (ja) | システムへのログイン方法 | |
| US20140156988A1 (en) | Medical emergency-response data management mechanism on wide-area distributed medical information network | |
| MX2012000077A (es) | Metodo para controlar y monitorear de forma remota los datos producidos sobre un software de escritorio. | |
| JP6238540B2 (ja) | 携帯情報端末、その制御方法及びプログラム | |
| JP2020166883A (ja) | 情報管理端末装置 | |
| EP3376426B1 (en) | Information management terminal device | |
| US20140304840A1 (en) | Deleting Information to Maintain Security Level | |
| JP2019036249A (ja) | 医療情報管理装置、医療情報管理方法及びプログラム | |
| JP4832934B2 (ja) | 個人情報解析装置及びハードウエアキー装置 | |
| US20220328148A1 (en) | Methods and systems for health insurance portability and accountability act application compliance | |
| JP4284986B2 (ja) | 個人情報管理システム及び個人情報管理方法 | |
| JP2007179500A (ja) | 匿名化識別情報生成システム、及び、プログラム。 | |
| JP7566194B2 (ja) | 医用情報処理プログラム、医用情報処理システム、医用情報処理方法および端末 | |
| ES2972041T3 (es) | Un sistema informático y método de operación del mismo para manejar datos anónimos | |
| JP2018097826A (ja) | サーバ装置、通信システム、情報処理方法、および、情報処理プログラム | |
| JP2016014984A (ja) | 遺伝子情報・診療情報が格納された記録媒体およびその記録媒体を用いた遺伝子情報・診療情報の管理システムおよび方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090129 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110516 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110524 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110719 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110920 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110921 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4832934 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140930 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |