JP6797963B2 - Anonymous processing target identification method, anonymous processing target identification system and program - Google Patents

Anonymous processing target identification method, anonymous processing target identification system and program Download PDF

Info

Publication number
JP6797963B2
JP6797963B2 JP2019066440A JP2019066440A JP6797963B2 JP 6797963 B2 JP6797963 B2 JP 6797963B2 JP 2019066440 A JP2019066440 A JP 2019066440A JP 2019066440 A JP2019066440 A JP 2019066440A JP 6797963 B2 JP6797963 B2 JP 6797963B2
Authority
JP
Japan
Prior art keywords
personal
attribute
attribute values
publicly known
information table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019066440A
Other languages
Japanese (ja)
Other versions
JP2020166556A (en
Inventor
孝博 山▲崎▼
孝博 山▲崎▼
晃平 田中
晃平 田中
小黒 博昭
博昭 小黒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2019066440A priority Critical patent/JP6797963B2/en
Publication of JP2020166556A publication Critical patent/JP2020166556A/en
Application granted granted Critical
Publication of JP6797963B2 publication Critical patent/JP6797963B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、個人情報の匿名加工に関する。 The present invention relates to anonymous processing of personal information.

従来、改正個人情報保護法の施行に伴い、個人情報の匿名加工に関する様々な技術が開発されている。例えば、特許文献1には、ユーザのプライバシー情報をk−匿名性を満たすように加工するプライバシー情報評価サーバが記載されている。 Conventionally, with the enforcement of the revised Personal Information Protection Law, various technologies related to anonymous processing of personal information have been developed. For example, Patent Document 1 describes a privacy information evaluation server that processes a user's privacy information so as to satisfy k-anonymity.

特開2011−180839公報Japanese Unexamined Patent Publication No. 2011-180839

本発明は、このような技術を背景になされたものであり、個人情報が複数のテーブルにまたがって格納されている場合に、当該複数のテーブルを参照して匿名加工対象の候補とすべき個人情報を検索することを目的とする。 The present invention is based on such a technique, and when personal information is stored across a plurality of tables, an individual who should refer to the plurality of tables and be a candidate for anonymous processing. The purpose is to retrieve information.

上記の課題を解決するため、本発明は、個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部とを備えるシステムにおいて実行される匿名加工対象特定方法であって、前記複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象の候補を示す情報として検索する検索ステップを有し、前記検索ステップは、前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定ステップと、前記テーブル特定ステップにより特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定ステップとを有し、前記テーブル特定ステップは、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定するステップであって、前記個人ID特定ステップは、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定するステップであることを特徴とする匿名加工対象特定方法を提供する。 In order to solve the above problems, the present invention has a personal information storage unit that stores a plurality of personal information tables that store a plurality of sets of attribute values including a personal ID, and a specific individual's extracted from publicly known information. It is an anonymous processing target identification method executed in a system including a publicly known information storage unit that stores a plurality of publicly known information tables that store a plurality of sets of attribute values that lead to identification, and is described above with reference to the plurality of personal information tables. Each of the set of attribute values stored in the publicly known information table has a search step for searching the personal ID associated with the set of attribute values as information indicating a candidate for anonymous processing, and the search step. Is one attribute value that constitutes the set of n attribute values from the plurality of personal information tables when the set of n attribute values stored in the publicly known information table is to be processed. A table specifying step for specifying a personal information table including the attribute of 1 and a personal ID specifying step for specifying a personal ID associated with the one attribute value in the personal information table specified by the table specifying step. The table specifying step is a step of sequentially specifying a table including the attributes of the attribute values for each of the attribute values constituting the n set of attribute values, and the personal ID specifying step is a step of specifying the personal ID. When the personal ID is specified in order for each of the attribute values constituting the n attribute value set, in the second and subsequent specific processes, the personal ID specified in the previous specific process and the processing target An anonymous processing target identification method characterized in that the personal ID associated with the attribute value is specified, and the nth identification process is a step of specifying the personal ID as information indicating a candidate for an anonymous processing target. I will provide a.

好ましい態様において、前記匿名加工対象特定方法は、前記公知情報テーブルに格納される一の属性値の組について前記検索ステップにより検索された個人IDの数と閾値とを比較し、当該個人IDの数が前記閾値以下である場合に、前記複数の個人情報テーブルにおいて当該個人IDを含む属性値の組を、匿名加工対象と判定する判定ステップと、前記判定ステップにより匿名加工対象と判定された属性値の組に対して匿名加工処理を行う匿名加工処理ステップとをさらに有する。 In a preferred embodiment, the anonymous processing target identification method compares the number of personal IDs searched by the search step with respect to a set of attribute values stored in the publicly known information table, and the number of personal IDs. When is equal to or less than the threshold value, a determination step of determining the set of attribute values including the personal ID in the plurality of personal information tables as an anonymous processing target and an attribute value determined to be an anonymous processing target by the determination step. It further has an anonymous processing step of performing anonymous processing on the set of.

別の好ましい態様において、前記匿名加工対象特定方法は、前記公知情報テーブルに格納される一の属性値の組について前記検索ステップにより検索された個人IDの数と閾値とを比較し、当該個人IDの数が前記閾値以下である場合に、前記複数の個人情報テーブルにおいて当該個人IDを含む属性値の組を、匿名加工対象と判定する判定ステップと、前記判定ステップにより匿名加工対象と判定された属性値の組を、匿名加工対象として利用者に通知する通知ステップとをさらに有する。 In another preferred embodiment, the anonymous processing target identification method compares the number of personal IDs searched by the search step with a threshold value for a set of attribute values stored in the publicly known information table, and compares the personal IDs with the threshold value. When the number of is equal to or less than the threshold value, the set of attribute values including the personal ID in the plurality of personal information tables is determined to be an anonymous processing target by the determination step and the determination step. It further has a notification step of notifying the user of the set of attribute values as an anonymous processing target.

さらに好ましい態様において、前記匿名加工対象特定方法は、前記一の属性値の組を構成する属性値の数又は種類に基づいて前記閾値を設定する閾値設定ステップをさらに有し、前記判定ステップは、前記個人IDの数と、前記閾値設定ステップにより設定された閾値とを比較するステップである。 In a more preferred embodiment, the anonymous processing target identification method further includes a threshold setting step of setting the threshold value based on the number or type of attribute values constituting the one set of attribute values, and the determination step comprises. This is a step of comparing the number of personal IDs with the threshold value set by the threshold value setting step.

さらに好ましい態様において、前記匿名加工対象特定方法は、前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定ステップをさらに有し、前記テーブル特定ステップは、前記優先順位設定ステップにより設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々についてテーブルを特定するステップである。 In a further preferred embodiment, the anonymous processing target identification method sets a priority for each attribute included in the publicly known information table according to the number of attribute values stored in the publicly known information table. Further having a step, the table specifying step is a step of specifying a table for each of the attribute values constituting the n attribute value set in the order according to the priority set by the priority setting step. Is.

さらに好ましい態様において、前記公知情報記憶部は、複数の公知情報テーブルを記憶し、前記匿名加工対象特定方法は、前記複数の公知情報テーブルの中から、前記複数の個人情報テーブルが含む属性に基づいて公知情報テーブルを選択するテーブル選択ステップをさらに有し、前記検索ステップは、前記複数の個人情報テーブルを参照して、前記テーブル選択ステップにより選択された公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索するステップである。 In a further preferred embodiment, the publicly known information storage unit stores a plurality of publicly known information tables, and the anonymous processing target identification method is based on the attributes included in the plurality of personal information tables from the plurality of publicly known information tables. The search step further includes a table selection step for selecting a publicly known information table, and the search step refers to the plurality of personal information tables and sets a set of attribute values stored in the publicly known information table selected by the table selection step. For each of the above, it is a step of searching for the personal ID associated with the set of the attribute values as the information indicating the anonymous processing target.

また、本発明は、個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と、複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索する検索部とを備え、前記検索部は、前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定部と、前記テーブル特定部により特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定部とを備え、前記テーブル特定部は、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定し、前記個人ID特定部は、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定することを特徴とする匿名加工対象特定システムを提供する。 Further, the present invention has a personal information storage unit that stores a plurality of personal information tables that store a plurality of sets of attribute values including a personal ID, and an attribute value that is extracted from publicly known information and leads to identification of a specific individual. With reference to the public information storage unit that stores a publicly known information table that stores a plurality of sets and the plurality of personal information tables, each of the attribute value sets stored in the public information table corresponds to the attribute value set. When a search unit for searching the attached personal ID as information indicating an anonymous processing target is provided, and the search unit targets a set of n attribute values stored in the publicly known information table as a processing target. , A table specifying unit that specifies a personal information table including an attribute of one attribute value that constitutes the set of n attribute values from the plurality of personal information tables, and an individual specified by the table specifying unit. In the information table, the information table includes a personal ID specifying unit that specifies the personal ID associated with the one attribute value, and the table specifying unit is for each of the attribute values constituting the n set of attribute values. , The table including the attribute of the attribute value is specified in order, and when the personal ID specifying unit sequentially specifies the personal ID for each of the attribute values constituting the set of n attribute values, the second and subsequent times are performed. In the specific process, the personal ID that is the personal ID specified in the previous specific process and is associated with the attribute value of the processing target is specified, and in the nth specific process, the personal ID is anonymously processed. Provided is an anonymous processing target identification system characterized in that it is specified as information indicating a candidate of.

また、本発明は、個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部とを備えるコンピュータに、複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索する検索ステップを実行させるためのプログラムであって、前記検索ステップは、前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定ステップと、前記テーブル特定ステップにより特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定ステップとを有し、前記テーブル特定ステップは、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定するステップであって、前記個人ID特定ステップは、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定するステップであることを特徴とするプログラムを提供する。 Further, the present invention has a personal information storage unit that stores a plurality of personal information tables that store a plurality of sets of attribute values including a personal ID, and an attribute value that is extracted from publicly known information and leads to identification of a specific individual. A computer equipped with a publicly known information storage unit that stores a plurality of sets of publicly known information tables refers to a plurality of personal information tables, and for each of the sets of attribute values stored in the publicly known information table, the attribute value This is a program for executing a search step of searching for a personal ID associated with a set of, as information indicating an anonymous processing target, and the search step has n attributes stored in the publicly known information table. When a value set is to be processed, a table specifying step for specifying a personal information table including an attribute of one attribute value constituting the n attribute value sets from the plurality of personal information tables. In the personal information table specified by the table specifying step, the personal ID specifying step for specifying the personal ID associated with the one attribute value is provided, and the table specifying step has the n attributes. For each of the attribute values constituting the value set, the step of sequentially specifying the table containing the attribute of the attribute value, and the personal ID specifying step is the step of specifying the attribute values constituting the n attribute value sets. When the personal ID is specified in order for each, in the second and subsequent specific processes, the personal ID specified in the previous specific process and associated with the attribute value to be processed is specified. The nth identification process provides a program characterized in that it is a step of identifying a personal ID as information indicating a candidate for anonymous processing.

本発明によれば、個人情報が複数のテーブルにまたがって格納されている場合に、当該複数のテーブルを参照して匿名加工対象の候補とすべき個人情報を検索することができる。 According to the present invention, when personal information is stored over a plurality of tables, it is possible to search for personal information that should be a candidate for anonymous processing by referring to the plurality of tables.

匿名加工処理システム1の機能構成の一例を示すブロック図Block diagram showing an example of the functional configuration of the anonymous processing system 1 患者情報テーブルT1の一例を示す図The figure which shows an example of the patient information table T1 疾患情報テーブルT2の一例を示す図The figure which shows an example of the disease information table T2 処方情報テーブルT3の一例を示す図The figure which shows an example of the prescription information table T3 入退院履歴情報テーブルT4の一例を示す図The figure which shows an example of the hospitalization history information table T4 記事テーブルT5の一例を示す図Diagram showing an example of article table T5 匿名加工処理の一例を示すフロー図Flow diagram showing an example of anonymous processing 匿名加工処理の具体的な動作例の説明図Explanatory drawing of a concrete operation example of anonymous processing 匿名加工処理の具体的な動作例の説明図Explanatory drawing of a concrete operation example of anonymous processing 匿名加工処理の具体的な動作例の説明図Explanatory drawing of a concrete operation example of anonymous processing

1.実施形態
本発明の一実施形態に係る匿名加工処理システム1について、図面を参照して説明する。
本匿名加工処理システム1は、データ活用者に提供される個人情報(特に、医療情報)に対して匿名加工を施すためのシステムである。本システムでは個人情報に対して匿名加工を施すにあたり、ニュース記事等の公知情報に基づいて、特定の個人の識別につながる個人情報のみを抽出し、抽出した個人情報に対してのみ匿名加工を施す。そのため、特定の個人の識別にはつながらない個人情報については、その有用性を維持することができる。 1. 1. Embodiment Anonymous processing system 1 according to an embodiment of the present invention will be described with reference to the drawings.
The anonymous processing system 1 is a system for performing anonymous processing on personal information (particularly medical information) provided to a data user. In this system, when performing anonymous processing on personal information, only personal information that leads to identification of a specific individual is extracted based on publicly known information such as news articles, and only the extracted personal information is anonymously processed. .. Therefore, the usefulness of personal information that does not lead to the identification of a specific individual can be maintained.

1−1.構成
図1は、この匿名加工処理システム1の機能構成の一例を示すブロック図である。同図に示す匿名加工処理システム1は、1以上のサーバにより構成され、その機能として、提供データ記憶部2、公知情報記憶部3、検索部4、判定部5及び匿名加工処理部6を有する。これらの機能のうち、提供データ記憶部2及び公知情報記憶部3は、HDD等の記憶装置により実現される。一方、検索部4、判定部5及び匿名加工処理部6は、記憶装置に記憶されるプログラムをプロセッサが実行することにより実現される。なお、このプログラムは、インターネット等のネットワークや非一時的な記録媒体を介して頒布可能なプログラムである。以下、各機能について説明する。 1-1. Configuration FIG. 1 is a block diagram showing an example of the functional configuration of the anonymous processing system 1. The anonymous processing system 1 shown in the figure is composed of one or more servers, and has a provided data storage unit 2, a known information storage unit 3, a search unit 4, a determination unit 5, and an anonymous processing unit 6 as its functions. .. Among these functions, the provided data storage unit 2 and the publicly known information storage unit 3 are realized by a storage device such as an HDD. On the other hand, the search unit 4, the determination unit 5, and the anonymous processing unit 6 are realized by the processor executing the program stored in the storage device. This program is a program that can be distributed via a network such as the Internet or a non-temporary recording medium. Each function will be described below.

提供データ記憶部2は、データ活用者に提供されるデータベースであって、匿名加工の対象となる提供データDB21を記憶する。この提供データ記憶部2に記憶される提供データDB21は、それぞれ複数の属性値の組を複数格納する5個の個人情報テーブルにより構成される。具体的には、患者情報テーブルT1、疾患情報テーブルT2、処方情報テーブルT3及び入退院履歴情報テーブルT4(以下、総称して「医療情報テーブルT」と呼ぶ。)により構成される。以下、各テーブルについて説明する。 The provided data storage unit 2 is a database provided to the data user, and stores the provided data DB 21 to be anonymously processed. The provided data DB 21 stored in the provided data storage unit 2 is composed of five personal information tables each storing a plurality of sets of a plurality of attribute values. Specifically, it is composed of a patient information table T1, a disease information table T2, a prescription information table T3, and an hospitalization / discharge history information table T4 (hereinafter, collectively referred to as "medical information table T"). Hereinafter, each table will be described.

図2は、患者情報テーブルT1の一例を示す図である。同図に示す患者情報テーブルT1は、3個の属性、すなわち患者ID、生年月日及び性別の各々について属性値を格納する。これら3個の属性には、A1、A3、A4のIDが付される。ここでIDとしてA2が欠落している理由は、A2を付すべき属性である施設コードが患者情報テーブルT1から予め削除されているからである。これら3個の属性のうち、患者IDは患者情報テーブルT1おいては主キーである。しかし、以下に説明する他のテーブルにおいては患者IDは主キーではないため、テーブルの複数行にわたって同じ患者IDが登場し得る。 FIG. 2 is a diagram showing an example of the patient information table T1. The patient information table T1 shown in the figure stores attribute values for each of the three attributes, that is, the patient ID, the date of birth, and the gender. IDs of A1, A3, and A4 are attached to these three attributes. Here, the reason why A2 is missing as the ID is that the facility code, which is an attribute to which A2 should be attached, is deleted from the patient information table T1 in advance. Of these three attributes, the patient ID is the primary key in the patient information table T1. However, in the other tables described below, the patient ID is not the primary key, so the same patient ID may appear across multiple rows of the table.

図3は、疾患情報テーブルT2の一例を示す図である。同図に示す疾患情報テーブルT2は、患者ID、診療科分類、主疾患フラグ、疑いフラグ、疾患、疾患開始日、疾患終了日等の属性の各々について属性値を格納する。これらの属性のうち、診療科分類、主疾患フラグ、疑いフラグ、疾患、疾患開始日及び疾患終了日には、A5〜A10のIDが付される。 FIG. 3 is a diagram showing an example of the disease information table T2. The disease information table T2 shown in the figure stores attribute values for each of the attributes such as patient ID, clinical department classification, main disease flag, suspicion flag, disease, disease start date, and disease end date. Among these attributes, the department classification, the main disease flag, the suspicion flag, the disease, the disease start date and the disease end date are given IDs of A5 to A10.

図4は、処方情報テーブルT3の一例を示す図である。同図に示す処方情報テーブルT3は、患者ID、診療科分類、入外区分、処方年月日、薬剤、投与量、処方回数、院内外区分等の属性の各々について属性値を格納する。これらの属性のうち、入外区分、処方年月日、薬剤、投与量、処方回数及び院内外区分には、A11〜A16のIDが付される。 FIG. 4 is a diagram showing an example of the prescription information table T3. The prescription information table T3 shown in the figure stores attribute values for each of the attributes such as patient ID, clinical department classification, entry / exit classification, prescription date, drug, dose, number of prescriptions, and hospital / outside classification. Among these attributes, IDs A11 to A16 are assigned to the entry / exit classification, prescription date, drug, dose, number of prescriptions, and hospital / outside classification.

図5は、入退院履歴情報テーブルT4の一例を示す図である。同図に示す入退院履歴情報テーブルT4は、患者ID、診療科分類、入院年月日、退院年月日等の属性の各々について属性値を格納する。これらの属性のうち、入院年月日と退院年月日には、A21〜A22のIDが付される。
以上が、提供データ記憶部2についての説明である。 FIG. 5 is a diagram showing an example of the hospitalization / discharge history information table T4. The hospitalization / discharge history information table T4 shown in the figure stores attribute values for each of the attributes such as patient ID, clinical department classification, hospitalization date, and discharge date. Of these attributes, the date of admission and the date of discharge are given IDs A21 to A22.
The above is the description of the provided data storage unit 2.

次に、公知情報記憶部3は、提供データDB21と突合されるデータベースである公知情報DB31を記憶する。この公知情報記憶部3に記憶される公知情報DB31は、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルにより構成される。具体的には、図6に例示する記事テーブルT5により構成される。同図に示す記事テーブルT5は、2個の属性、すなわち記事ID及び記事原文と、属性A1〜A16、A21〜A22を含む他の属性(以下、総称して「属性A」と呼ぶ。)の各々について属性値を格納する。この記事テーブルT5を構成する各レコードは、運用者が、学術論文、学会誌、ニュース記事、医療事故について単に公表するだけの情報等の公知情報を収取、解析して入力する。公知情報としては、入手が容易であり、かつ情報のマッチングがしやすいものが好ましい。 Next, the publicly known information storage unit 3 stores the publicly known information DB 31, which is a database collated with the provided data DB 21. The publicly known information DB 31 stored in the publicly known information storage unit 3 is composed of a publicly known information table that stores a plurality of sets of attribute values that lead to identification of a specific individual. Specifically, it is composed of the article table T5 illustrated in FIG. The article table T5 shown in the figure shows two attributes, that is, an article ID and an article original text, and other attributes including attributes A1 to A16 and A21 to A22 (hereinafter, collectively referred to as "attribute A"). Store the attribute value for each. Each record constituting this article table T5 is input by the operator by collecting, analyzing, and inputting publicly known information such as academic papers, academic journals, news articles, and information that is merely published about medical accidents. As the publicly known information, it is preferable that the information is easily available and the information can be easily matched.

次に、検索部4は、記事テーブルT5に格納される記事の各々について、当該記事の属性Aの属性値を検索条件として提供データDB21内を検索し、その属性値と対応付けられている患者IDを、匿名加工対象の候補を示す情報として検索する。例えば、処理対象の記事のレコードが、属性A4「男」、属性A8「脳梗塞」、属性A11「入院」、属性A13「薬剤B200mg」及び属性A21「2018年11月22日」を格納している場合には、これらの属性値を検索条件として提供データDB21内を検索し、これら全てと対応付けられている患者IDを検索する。このような検索を行うために検索部4は、テーブル特定部41とID特定部42を有する。 Next, the search unit 4 searches the provided data DB 21 for each of the articles stored in the article table T5 using the attribute value of the attribute A of the article as a search condition, and the patient associated with the attribute value. The ID is searched as information indicating a candidate for anonymous processing. For example, the record of the article to be processed stores the attribute A4 "male", the attribute A8 "cerebral infarction", the attribute A11 "hospitalization", the attribute A13 "drug B200mg" and the attribute A21 "November 22, 2018". If so, the provided data DB 21 is searched using these attribute values as search conditions, and the patient ID associated with all of them is searched. In order to perform such a search, the search unit 4 has a table identification unit 41 and an ID identification unit 42.

テーブル特定部41は、処理対象の記事の属性値について、その属性値の属性Aを含む医療情報テーブルTを提供データDB21において特定する。例えば、処理対象の属性値が属性A4「男」である場合には、この属性値の属性A4を含む患者情報テーブルT1を提供データDB21において特定する。このテーブル特定部41は、処理対象の記事の属性値がn(2以上の整数)個である場合には、そのn個の属性値の各々について医療情報テーブルTを順に特定する。 The table specifying unit 41 specifies the medical information table T including the attribute A of the attribute value in the providing data DB 21 for the attribute value of the article to be processed. For example, when the attribute value to be processed is the attribute A4 "male", the patient information table T1 including the attribute A4 of the attribute value is specified in the provided data DB 21. When the number of attribute values of the article to be processed is n (integer of 2 or more), the table specifying unit 41 sequentially specifies the medical information table T for each of the n attribute values.

ID特定部42は、処理対象の記事の属性値について医療情報テーブルTがテーブル特定部41により特定されると、その属性値を検索条件として、その特定された医療情報テーブルT内を検索し、その属性値と対応付けられている患者IDを特定する。例えば、属性A4「男」についてテーブル特定部41により患者情報テーブルT1が特定された場合には、属性A4「男」を検索条件として、その特定された患者情報テーブルT1内を検索し、属性A4「男」と対応付けられている患者IDを特定する。このID特定部42は、処理対象の記事の属性値がn(2以上の整数)個である場合には、そのn個の属性値の各々について患者IDを順に特定する。その際、第2回目以降の特定処理では、前回の特定処理で特定した患者IDを追加条件として設定することで、前回の特定処理で特定した患者IDの中で、処理対象の属性値と対応付けられている患者IDを特定する。そして、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定する。
以上が、検索部4についての説明である。 When the medical information table T is specified by the table specifying unit 41 for the attribute value of the article to be processed, the ID specifying unit 42 searches the specified medical information table T using the attribute value as a search condition. The patient ID associated with the attribute value is specified. For example, when the patient information table T1 is specified by the table specifying unit 41 for the attribute A4 "male", the specified patient information table T1 is searched using the attribute A4 "male" as a search condition, and the attribute A4 is searched. Identify the patient ID associated with the "male". When the number of attribute values of the article to be processed is n (integer of 2 or more), the ID specifying unit 42 specifies the patient ID in order for each of the n attribute values. At that time, in the second and subsequent specific processes, by setting the patient ID specified in the previous specific process as an additional condition, it corresponds to the attribute value of the processing target in the patient ID specified in the previous specific process. Identify the attached patient ID. Then, in the nth identification process, the personal ID is specified as information indicating a candidate for anonymous processing.
The above is the description of the search unit 4.

次に、判定部5は、処理対象の記事について検索部4により患者IDが検索されると、検索された患者IDの数と閾値とを比較する。ここで患者IDと比較される閾値は「1」である。そして、その比較の結果、前者が後者以下である場合には(すなわち、検索された患者IDの数が「1」である場合には)、その患者IDと提供データDB21において対応付けられている属性値の組を、匿名加工対象と判定する。これは、患者IDが1つしか存在しないということは、その患者IDにより識別される患者が、その患者IDと対応付けられる属性値の組に基づいて識別される恐れがあるからである。 Next, when the patient ID is searched by the search unit 4 for the article to be processed, the determination unit 5 compares the number of the searched patient IDs with the threshold value. Here, the threshold value to be compared with the patient ID is "1". Then, as a result of the comparison, when the former is less than or equal to the latter (that is, when the number of searched patient IDs is "1"), the patient ID is associated with the provided data DB 21. The set of attribute values is determined to be an anonymous processing target. This is because the existence of only one patient ID may mean that the patient identified by the patient ID may be identified based on the set of attribute values associated with the patient ID.

匿名加工処理部6は、判定部5により匿名加工対象と判定された属性値の組に対して匿名加工処理を行う。具体的には、匿名加工対象と判定された属性値の組を提供データDB21から削除する(レコード削除)。
以上が、匿名加工処理システム1の構成についての説明である。 The anonymous processing unit 6 performs anonymous processing on a set of attribute values determined to be an anonymous processing target by the determination unit 5. Specifically, the set of attribute values determined to be anonymously processed is deleted from the provided data DB 21 (record deletion).
The above is the description of the configuration of the anonymous processing system 1.

1−2.動作
次に、以上説明した匿名加工処理システム1により実行される匿名加工処理について、図7に例示するフロー図を参照して説明する。同図に示す匿名加工処理は、公知情報DB31に格納される記事ごとに実行される。 1-2. Operation Next, the anonymous processing processed by the anonymous processing system 1 described above will be described with reference to the flow chart illustrated in FIG. 7. The anonymous processing process shown in the figure is executed for each article stored in the publicly known information DB 31.

匿名加工処理システム1の検索部4は、処理対象の記事の属性値の組を分解し(ステップS1)、分解した属性値の各々について患者ID検索ループLを実行する。この患者ID検索ループLにおいて検索部4は、処理対象の属性値について、当該記事の属性Aの属性値を検索条件として提供データDB21内を検索し、当該属性値と対応付けられている患者IDを検索する(ステップS2)。具体的には、テーブル特定部41が、処理対象の属性値の属性Aを含む医療情報テーブルTを提供データDB21において特定し、ID特定部42が、特定された医療情報テーブルT内を、処理対象の属性値を検索条件として検索し、その属性値と対応付けられている患者IDを特定する。この検索の結果、検索された患者IDの数が「0」である場合には(ステップS3のYES)、この患者ID検索ループLを抜けて、本匿名加工処理は終了する。一方、上記の検索の結果、検索された患者IDの数が「0」以外である場合には(ステップS3のNO)、検索部4は、検索した患者IDを、次回の検索の際の追加条件として設定する(ステップS4)。そして、検索部4は、処理対象の記事のすべての属性値について患者IDの検索を実行した場合には、患者ID検索ループLを終了する。一方、すべての属性値について患者IDの検索を実行していない場合には、ステップS2に戻り、次の属性値について患者IDを検索する。その際、ID特定部42は、テーブル特定部41により特定された医療情報テーブルT内を、処理対象の属性値に加えて、前回の検索処理で特定した患者IDを検索条件として検索し、その属性値と対応付けられている患者IDを特定する。 The search unit 4 of the anonymous processing system 1 decomposes the set of attribute values of the article to be processed (step S1), and executes the patient ID search loop L for each of the decomposed attribute values. In this patient ID search loop L, the search unit 4 searches the provided data DB 21 for the attribute value of the processing target using the attribute value of the attribute A of the article as a search condition, and the patient ID associated with the attribute value. Is searched (step S2). Specifically, the table specifying unit 41 specifies the medical information table T including the attribute A of the attribute value to be processed in the providing data DB 21, and the ID specifying unit 42 processes the specified medical information table T. The target attribute value is searched as a search condition, and the patient ID associated with the attribute value is specified. As a result of this search, if the number of searched patient IDs is "0" (YES in step S3), the patient ID search loop L is exited, and the anonymous processing process ends. On the other hand, if the number of searched patient IDs is other than "0" as a result of the above search (NO in step S3), the search unit 4 adds the searched patient IDs in the next search. It is set as a condition (step S4). Then, when the search unit 4 searches for the patient ID for all the attribute values of the article to be processed, the search unit 4 ends the patient ID search loop L. On the other hand, if the patient ID search has not been executed for all the attribute values, the process returns to step S2, and the patient ID is searched for the next attribute value. At that time, the ID specifying unit 42 searches the medical information table T specified by the table specifying unit 41 for the patient ID specified in the previous search process as a search condition in addition to the attribute value of the processing target. Identify the patient ID associated with the attribute value.

患者ID検索ループLの結果、検索部4により患者IDが検索されると、判定部5は、検索された患者IDの数と閾値とを比較する(ステップS5)。この比較の結果、前者が後者以下である場合には(すなわち、検索された患者IDの数が「1」である場合には)(ステップS5のYES)、その患者IDと提供データDB21において対応付けられている属性値の組を、匿名加工対象と判定し、匿名加工処理部6は、その属性値の組に対して匿名加工処理を行う(ステップS6)。匿名加工処理部6は、具体的には、その属性値の組を提供データDB21から削除する。一方、上記の比較の結果、前者が後者より大きい場合には(すなわち、検索された患者IDの数が「1」でない場合には)(ステップS5のNO)、本匿名加工処理は終了する。
以上が、匿名加工処理についての説明である。 As a result of the patient ID search loop L, when the patient ID is searched by the search unit 4, the determination unit 5 compares the number of the searched patient IDs with the threshold value (step S5). As a result of this comparison, when the former is less than or equal to the latter (that is, when the number of searched patient IDs is "1") (YES in step S5), the patient ID and the provided data DB 21 correspond. The attached set of attribute values is determined to be an anonymous processing target, and the anonymous processing unit 6 performs anonymous processing processing on the set of attribute values (step S6). Specifically, the anonymous processing unit 6 deletes the set of the attribute values from the provided data DB 21. On the other hand, as a result of the above comparison, when the former is larger than the latter (that is, when the number of searched patient IDs is not "1") (NO in step S5), the anonymous processing process ends.
The above is the description of the anonymous processing process.

次に、以上説明した匿名加工処理の具体的な動作例について、図8〜図10に例示する説明図を参照して説明する。以下に説明する動作例では、処理対象の記事として、属性A4「男」、属性A8「脳梗塞」、属性A11「入院」、属性A13「薬剤B200mg」及び属性A21「2018年11月22日」をレコードに格納する記事を想定する。 Next, a specific operation example of the anonymous processing process described above will be described with reference to the explanatory diagrams illustrated in FIGS. 8 to 10. In the operation example described below, the articles to be processed include attribute A4 "male", attribute A8 "cerebral infarction", attribute A11 "hospitalization", attribute A13 "drug B200mg" and attribute A21 "November 22, 2018". Suppose an article that stores a record.

匿名加工処理システム1の検索部4は、処理対象の記事の上記の属性値の組を分解し(ステップS1)、分解した属性値の各々について患者ID検索ループLを実行する。検索部4は、これらの分解した属性値のうち、まず属性A4「男」について患者IDの検索を行う(ステップS2)。その際、テーブル特定部41は、属性A4「男」の属性A4を含む患者情報テーブルT1を特定する。そして、ID特定部42は、特定された患者情報テーブルT1内を、属性A4「男」を検索条件として検索し、その属性値と対応付けられている属性A1「1」及び「3」を特定する。この検索の結果、2個の患者IDが検索されたため(ステップS3のNO)、検索部4は、検索した属性A1「1」及び「3」を、次回の検索の際の追加条件として設定する(ステップS4)。 The search unit 4 of the anonymous processing system 1 decomposes the above-mentioned set of attribute values of the article to be processed (step S1), and executes the patient ID search loop L for each of the decomposed attribute values. The search unit 4 first searches for the patient ID for the attribute A4 "male" among these decomposed attribute values (step S2). At that time, the table specifying unit 41 specifies the patient information table T1 including the attribute A4 of the attribute A4 “male”. Then, the ID specifying unit 42 searches the specified patient information table T1 using the attribute A4 "male" as a search condition, and identifies the attributes A1 "1" and "3" associated with the attribute value. To do. As a result of this search, two patient IDs have been searched (NO in step S3), so the search unit 4 sets the searched attributes A1 "1" and "3" as additional conditions for the next search. (Step S4).

次に、検索部4は、属性A8「脳梗塞」について患者IDの検索を行う(ステップS2)。その際、テーブル特定部41は、属性A8「脳梗塞」の属性A8を含む疾患情報テーブルT2を特定する。そして、ID特定部42は、特定された疾患情報テーブルT2内を、属性A8「脳梗塞」に加えて、前回の検索処理で特定した属性A1「1」及び「3」を検索条件(A8「脳梗塞」AND(属性A1「1」OR属性A1「3」))として検索し、その属性値と対応付けられている属性A1「1」及び「3」を特定する。この検索の結果、2個の患者IDが検索されたため(ステップS3のNO)、検索部4は、検索した属性A1「1」及び「3」を、次回の検索の際の追加条件として設定する(ステップS4)。 Next, the search unit 4 searches for the patient ID for the attribute A8 “cerebral infarction” (step S2). At that time, the table specifying unit 41 identifies the disease information table T2 including the attribute A8 of the attribute A8 “cerebral infarction”. Then, the ID specifying unit 42 searches the specified disease information table T2 for the attributes A1 "1" and "3" specified in the previous search process in addition to the attribute A8 "cerebral infarction" (A8 "". Search as "cerebral infarction" AND (attribute A1 "1" OR attribute A1 "3")) and specify attributes A1 "1" and "3" associated with the attribute value. As a result of this search, two patient IDs have been searched (NO in step S3), so the search unit 4 sets the searched attributes A1 "1" and "3" as additional conditions for the next search. (Step S4).

次に、検索部4は、属性A11「入院」について患者IDの検索を行う(ステップS2)。その際、テーブル特定部41は、属性A11「入院」の属性A11を含む処方情報テーブルT3を特定する。そして、ID特定部42は、特定された処方情報テーブルT3内を、属性A11「入院」に加えて、前回の検索処理で特定した属性A1「1」及び「3」を検索条件(A11「入院」AND(属性A1「1」OR属性A1「3」))として検索し、その属性値と対応付けられている属性A1「1」及び「3」を特定する。この検索の結果、2個の患者IDが検索されたため(ステップS3のNO)、検索部4は、検索した属性A1「1」及び「3」を、次回の検索の際の追加条件として設定する(ステップS4)。 Next, the search unit 4 searches for the patient ID for the attribute A11 “hospitalization” (step S2). At that time, the table specifying unit 41 specifies the prescription information table T3 including the attribute A11 of the attribute A11 “hospitalization”. Then, the ID specifying unit 42 searches the specified prescription information table T3 for the attributes A1 "1" and "3" specified in the previous search process in addition to the attribute A11 "hospitalization" (A11 "hospitalization"). "AND (attribute A1" 1 "OR attribute A1" 3 "), and the attributes A1" 1 "and" 3 "corresponding to the attribute value are specified. As a result of this search, two patient IDs have been searched (NO in step S3), so the search unit 4 sets the searched attributes A1 "1" and "3" as additional conditions for the next search. (Step S4).

次に、検索部4は、属性A13「薬剤B200mg」について患者IDの検索を行う(ステップS2)。その際、テーブル特定部41は、属性A13「薬剤B200mg」の属性A13を含む処方情報テーブルT3を特定する。そして、ID特定部42は、特定された処方情報テーブルT3内を、属性A13「薬剤B200mg」に加えて、前回の検索処理で特定した属性A1「1」及び「3」を検索条件(A13「薬剤B200mg」AND(属性A1「1」OR属性A1「3」))として検索し、その属性値と対応付けられている属性A1「1」を特定する。この検索の結果、1個の患者IDが検索されたため(ステップS3のNO)、検索部4は、検索した属性A1「1」を、次回の検索の際の追加条件として設定する(ステップS4)。 Next, the search unit 4 searches for the patient ID for the attribute A13 “drug B 200 mg” (step S2). At that time, the table specifying unit 41 specifies the prescription information table T3 including the attribute A13 of the attribute A13 “drug B 200 mg”. Then, the ID specifying unit 42 adds the attribute A13 “drug B 200 mg” and the attributes A1 “1” and “3” specified in the previous search process in the specified prescription information table T3 as search conditions (A13 “A13”. Search as drug B 200 mg "AND (attribute A1" 1 "OR attribute A1" 3 ") and specify the attribute A1" 1 "corresponding to the attribute value. As a result of this search, one patient ID was searched (NO in step S3), so the search unit 4 sets the searched attribute A1 "1" as an additional condition for the next search (step S4). ..

次に、検索部4は、最後の属性A21「2018年11月22日」について患者IDの検索を行う(ステップS2)。その際、テーブル特定部41は、属性A21「2018年11月22日」の属性A21を含む入退院履歴情報テーブルT4を特定する。そして、ID特定部42は、特定された入退院履歴情報テーブルT4内を、属性A21「2018年11月22日」に加えて、前回の検索処理で特定した属性A1「1」を検索条件(A21「2018年11月22日」AND属性A1「1」)として検索し、その属性値と対応付けられている属性A1「1」を特定する。この検索の結果、1個の患者IDが検索されたため(ステップS3のNO)、検索部4は、検索した属性A1「1」を、次回の検索の際の追加条件として設定する(ステップS4)。
上記の患者ID検索ループLの結果、属性A1「1」が検索される。 Next, the search unit 4 searches for the patient ID for the final attribute A21 “November 22, 2018” (step S2). At that time, the table specifying unit 41 specifies the hospitalization / discharge history information table T4 including the attribute A21 of the attribute A21 “November 22, 2018”. Then, the ID specifying unit 42 searches the specified hospitalization / discharge history information table T4 for the attribute A1 "1" specified in the previous search process in addition to the attribute A21 "November 22, 2018" (A21). Search as "November 22, 2018" AND attribute A1 "1") and specify the attribute A1 "1" associated with that attribute value. As a result of this search, one patient ID was searched (NO in step S3), so the search unit 4 sets the searched attribute A1 "1" as an additional condition for the next search (step S4). ..
As a result of the patient ID search loop L described above, the attribute A1 "1" is searched.

検索された患者IDは1つだけであるため(ステップS5のYES)、匿名加工処理部6は、検索された属性A1「1」と提供データDB21において対応付けられている属性値の組に対して匿名加工処理を行う(ステップS6)。具体的には、その属性値の組を提供データDB21から削除する。
以上が、匿名加工処理の動作例についての説明である。 Since only one patient ID is searched (YES in step S5), the anonymous processing unit 6 sets the searched attribute A1 "1" and the set of attribute values associated with the provided data DB 21. Anonymous processing is performed (step S6). Specifically, the set of attribute values is deleted from the provided data DB 21.
The above is the description of the operation example of the anonymous processing process.

なお、上記の動作例では、1つの属性値に対して1つの医療情報テーブルTのみが特定されているが、属性値によっては複数の医療情報テーブルTが特定される場合がある。例えば、属性A5は疾患情報テーブルT2、処方情報テーブルT3及び入退院履歴情報テーブルT4の3個の医療情報テーブルTに含まれるため、この属性A5の属性値について患者IDが検索される場合には、これら3個の医療情報テーブルTの各々において患者IDの検索が行われることになる。 In the above operation example, only one medical information table T is specified for one attribute value, but a plurality of medical information tables T may be specified depending on the attribute value. For example, since the attribute A5 is included in the three medical information tables T of the disease information table T2, the prescription information table T3, and the hospitalization / discharge history information table T4, when the patient ID is searched for the attribute value of the attribute A5, the patient ID is searched. The patient ID will be searched for in each of these three medical information tables T.

以上説明した匿名加工処理システム1によれば、データ活用者に提供される医療情報が複数のテーブルにまたがって格納されており、それらのテーブルが単純に結合できない場合であっても、当該複数のテーブルから特定の個人の識別につながる医療情報を抽出して、抽出した医療情報に対して匿名加工を行うことができる。 According to the anonymous processing system 1 described above, medical information provided to a data user is stored across a plurality of tables, and even if those tables cannot be simply combined, the plurality of such tables can be combined. Medical information that can identify a specific individual can be extracted from the table, and the extracted medical information can be processed anonymously.

2.変形例
上記の実施形態は下記のように変形してもよい。なお、下記の変形例は互いに組み合わせてもよい。 2. 2. Modification Example The above embodiment may be modified as follows. The following modifications may be combined with each other.

2−1.変形例1
提供データDB21と記事テーブルT5の属性Aの数及び種類は、あくまで一例である。属性Aの数及び種類は、図2〜図6に図示した例に限られない。 2-1. Modification 1
The number and types of attributes A of the provided data DB 21 and the article table T5 are merely examples. The number and types of attributes A are not limited to the examples shown in FIGS. 2 to 6.

2−2.変形例2
記事テーブルT5の各レコードは、固有表現抽出を用いて公知情報に基づいて自動的に生成するようにしてもよい。 2-2. Modification 2
Each record in the article table T5 may be automatically generated based on publicly known information using named entity recognition.

2−3.変形例3
匿名加工処理部6は、上記のレコード削除に代えてセル削除を行ってもよい。具体的には、判定部5により匿名加工対象と判定された属性値の組のうち、処理対象となった記事の属性値のいずれかと属性Aを同じくする属性値を提供データDBから削除するようにしてもよい。その際、処理対象となった記事の属性値のうち、記事テーブルT5において属性値の出現頻度が最も高い属性Aを特定して、特定した属性Aの属性値を提供データDBから削除するようにしてもよい。 2-3. Modification 3
The anonymous processing unit 6 may delete the cell instead of deleting the record described above. Specifically, among the set of attribute values determined to be anonymously processed by the determination unit 5, the attribute value having the same attribute A as any of the attribute values of the article to be processed is deleted from the provided data DB. It may be. At that time, among the attribute values of the articles to be processed, the attribute A having the highest frequency of appearance of the attribute value is specified in the article table T5, and the attribute value of the specified attribute A is deleted from the provided data DB. You may.

また、別の匿名加工処理として、一般化やトップ(ボトム)コーディングや項目削除を行ってもよい。具体的には、提供データDB21において、処理対象となった記事の属性値のいずれかの属性Aの全ての属性値を一般化したり、トップ(ボトム)コーディングしたり、削除したりするようにしてもよい。その際も、処理対象となった記事の属性値のうち、記事テーブルT5において属性値の出現頻度が最も高い属性Aの全ての属性値に対して一般化等を行ってもよい。 Further, as another anonymous processing process, generalization, top (bottom) coding, or item deletion may be performed. Specifically, in the provided data DB 21, all the attribute values of any of the attribute values of the articles to be processed are generalized, top (bottom) coded, or deleted. May be good. At that time as well, generalization or the like may be performed on all the attribute values of the attribute A having the highest frequency of appearance of the attribute values in the article table T5 among the attribute values of the articles to be processed.

2−4.変形例4
テーブル特定部41は、処理対象の記事の属性値の各々について医療情報テーブルTを特定する際、それらの属性値の属性に設定された優先順位に従った順序で医療情報テーブルTを特定するようにしてもよい。例えば、処理対象の記事の属性値が、属性A4「男」、属性A8「脳梗塞」、属性A11「入院」、属性A13「薬剤B200mg」及び属性A21「2018年11月22日」であり、これらの属性値が属性の優先順位の降順に並べられていると仮定すると、テーブル特定部41は属性A4「男」から順に医療情報テーブルTを特定してゆく。 2-4. Modification 4
When the table specifying unit 41 specifies the medical information table T for each of the attribute values of the articles to be processed, the table specifying unit 41 specifies the medical information table T in the order according to the priority set for the attributes of those attribute values. It may be. For example, the attribute values of the articles to be processed are attribute A4 "male", attribute A8 "cerebral infarction", attribute A11 "hospitalization", attribute A13 "drug B200mg" and attribute A21 "November 22, 2018". Assuming that these attribute values are arranged in descending order of priority of the attributes, the table specifying unit 41 specifies the medical information table T in order from the attribute A4 "male".

ここで、各属性に設定される優先順位は、記事テーブルT5における属性値の出現頻度に基づいて設定される。具体的には、記事テーブルT5において属性値の出現頻度が高い属性ほど高くなるように優先順位は設定される。また別の例として、各属性に対して優先順位が予め定められていてもよい。 Here, the priority set for each attribute is set based on the appearance frequency of the attribute value in the article table T5. Specifically, the priority is set so that the higher the frequency of appearance of the attribute value in the article table T5, the higher the priority. As another example, the priority may be predetermined for each attribute.

2−5.変形例5
判定部5により参照される閾値は必ずしも「1」でなくてもよい。例えば、「2」又は「3」であってもよい。
また、判定部5により参照される閾値は、処理対象の記事の属性値の数又は種類に基づいて設定されてもよい。具体的には、属性値の数に比例して閾値を増加させてもよい。または、属性値と属性Aを同じくする属性値の記事テーブルT5における出現頻度に比例して閾値を増加させてもよい。その際、属性値が複数存在する場合には、その中で最も高い出現頻度に比例して閾値を増加させてもよい。 2-5. Modification 5
The threshold value referred to by the determination unit 5 does not necessarily have to be “1”. For example, it may be "2" or "3".
Further, the threshold value referred to by the determination unit 5 may be set based on the number or type of attribute values of the article to be processed. Specifically, the threshold value may be increased in proportion to the number of attribute values. Alternatively, the threshold value may be increased in proportion to the frequency of appearance in the article table T5 of the attribute value having the same attribute value and the attribute A. At that time, when a plurality of attribute values exist, the threshold value may be increased in proportion to the highest frequency of appearance among them.

2−6.変形例6
匿名加工処理部6による匿名加工処理を省略し、判定部5により匿名加工対象と判定された属性値の組を匿名加工対象として運用者に通知するようにしてもよい。具体的には、匿名加工対象の属性値の組をディスプレイに表示するようにしてもよい。この匿名加工対象の通知を受けた運用者は、自らの手で匿名加工処理を行う。 2-6. Modification 6
The anonymous processing by the anonymous processing unit 6 may be omitted, and the operator may be notified of the set of attribute values determined to be the anonymous processing target by the determination unit 5 as the anonymous processing target. Specifically, a set of attribute values to be anonymously processed may be displayed on the display. The operator who receives the notification of the anonymous processing target performs the anonymous processing by himself / herself.

または、判定部5による判定処理を省略し、検索部4により検索された患者IDを匿名加工対象の候補を示す情報として運用者に通知するようにしてもよい。具体的には、検索された患者IDを匿名加工対象の候補としてディスプレイに表示するようにしてもよい。この匿名加工対象の通知を受けた運用者は、自ら匿名加工処理の要否を判定し、必要であれば自らの手で匿名加工処理を行う。 Alternatively, the determination process by the determination unit 5 may be omitted, and the patient ID searched by the search unit 4 may be notified to the operator as information indicating a candidate for anonymous processing. Specifically, the searched patient ID may be displayed on the display as a candidate for anonymous processing. Upon receiving the notification of the anonymous processing target, the operator himself / herself determines the necessity of the anonymous processing, and if necessary, performs the anonymous processing by himself / herself.

2−7.変形例7
公知情報DB31の属性Aの中には、属性値が全く存在しないものもあり得る。そのような属性Aが存在する場合には、処理コストを削減するために、提供データDB21において当該属性Aを削除した中間データベースを作成し、作成した中間データベースと公知情報DB31を突合することで匿名加工処理を行うようにしてもよい。 2-7. Modification 7
Some of the attributes A of the publicly known information DB 31 may have no attribute values at all. When such an attribute A exists, in order to reduce the processing cost, an intermediate database in which the attribute A is deleted is created in the provided data DB 21, and the created intermediate database is matched with the publicly known information DB 31 to be anonymous. The processing may be performed.

2−8.変形例8
匿名加工処理システム1は、医療情報を匿名加工処理の対象としているが、当該処理の対象となる個人情報はこれに限られない。例えば、家庭の電力使用量に係るデータや、クレジットカードの利用に伴って蓄積される購買データや、鉄道の乗降データ等の個人情報を匿名加工処理の対象としてもよい。 2-8. Modification 8
The anonymous processing system 1 targets medical information for anonymous processing, but the personal information subject to the processing is not limited to this. For example, personal information such as data related to household power consumption, purchase data accumulated with the use of a credit card, and railway boarding / alighting data may be subject to anonymous processing.

2−9.変形例9
匿名加工処理システム1は、変形例8で例示したような様々な個人情報に対する匿名加工処理を可能にするために、それぞれ異なる分野の公知情報に基づいて作成される複数の記事テーブルを記憶しておき、処理対象の個人情報テーブルに応じて、突合させる記事テーブルを選択するようにしてもよい。突合させる記事テーブルを選択するにあたっては、処理対象の個人情報テーブルの属性を参考にしてもよい。例えば、属性名と記事テーブルIDを対応付ける変換テーブルを参照して、突合させる記事テーブルを選択するようにしてもよい。 2-9. Modification 9
The anonymous processing system 1 stores a plurality of article tables created based on publicly known information in different fields in order to enable anonymous processing for various personal information as illustrated in the modification 8. Or, the article table to be matched may be selected according to the personal information table to be processed. When selecting the article table to be matched, the attributes of the personal information table to be processed may be referred to. For example, the article table to be matched may be selected by referring to the conversion table that associates the attribute name with the article table ID.

2−10.変形例10
上記の匿名加工処理のステップS1において、検索部4は処理対象の記事の属性値のうち、動的属性の属性値を処理対象から除外するようにしてもよい。ここで動的属性とは、検査値や食事に関する情報等の常に変化する属性である。 2-10. Modification 10
In step S1 of the anonymous processing process described above, the search unit 4 may exclude the attribute value of the dynamic attribute from the attribute values of the article to be processed from the processing target. Here, the dynamic attribute is an attribute that constantly changes, such as a test value and information on a meal.

1…匿名加工処理システム、2…提供データ記憶部、3…公知情報記憶部、4…検索部、5…判定部、6…匿名加工処理部、21…提供データDB、31…公知情報DB、41…テーブル特定部、42…ID特定部、T1…患者情報テーブル、T2…疾患情報テーブル、T3…処方情報テーブル、T4…入退院履歴情報テーブル、T5…記事テーブル 1 ... Anonymous processing processing system, 2 ... Provided data storage unit, 3 ... Public information storage unit, 4 ... Search unit, 5 ... Judgment unit, 6 ... Anonymous processing processing unit, 21 ... Provided data DB, 31 ... Public information DB, 41 ... Table specific part, 42 ... ID specific part, T1 ... Patient information table, T2 ... Disease information table, T3 ... Prescription information table, T4 ... Hospitalization / discharge history information table, T5 ... Article table

Claims (7)

個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、
公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と
を備えるシステムにおいて実行される匿名加工対象特定方法であって、
前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定ステップと、
前記複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象の候補を示す情報として検索する検索ステップ
を有し、
前記検索ステップは、
前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定ステップと、
前記テーブル特定ステップにより特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定ステップと
を有し、
前記テーブル特定ステップは、前記優先順位設定ステップにより設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定するステップであって、
前記個人ID特定ステップは、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定するステップである
ことを特徴とする匿名加工対象特定方法。 A personal information storage unit that stores a plurality of personal information tables that store a plurality of sets of attribute values including a personal ID.
An anonymous processing target identification method executed in a system including a publicly known information storage unit that stores a publicly known information table that stores a plurality of sets of attribute values that are extracted from publicly known information and lead to identification of a specific individual.
For each attribute included in the publicly known information table, a priority setting step for setting a priority according to the number of attribute values stored in the publicly known information table, and
With reference to the plurality of personal information tables, for each of the attribute value sets stored in the publicly known information table, the personal ID associated with the attribute value set is information indicating candidates for anonymous processing. and a search step of searching a,
The search step
When the set of n attribute values stored in the publicly known information table is to be processed, the attribute of one attribute value constituting the set of n attribute values from the plurality of personal information tables. Table identification steps to identify personal information tables, including
In the personal information table specified by the table specifying step, the personal information table has a personal ID specifying step for specifying the personal ID associated with the one attribute value.
In the table specifying step, in the order according to the priority set by the priority setting step , for each of the attribute values constituting the n set of attribute values, the table containing the attribute of the attribute value is sequentially arranged. It ’s a step to identify
In the personal ID identification step, when the individual IDs are sequentially specified for each of the attribute values constituting the set of n attribute values, in the second and subsequent identification processes, the individual IDs specified in the previous identification process are used. The feature is that the personal ID associated with the attribute value of the processing target is specified, and the nth specific processing is a step of specifying the personal ID as information indicating a candidate for anonymous processing. Anonymous processing target identification method. 前記公知情報テーブルに格納される一の属性値の組について前記検索ステップにより検索された個人IDの数と閾値とを比較し、当該個人IDの数が前記閾値以下である場合に、前記複数の個人情報テーブルにおいて当該個人IDを含む属性値の組を、匿名加工対象と判定する判定ステップと、
前記判定ステップにより匿名加工対象と判定された属性値の組に対して匿名加工処理を行う匿名加工処理ステップと
をさらに有することを特徴とする、請求項1に記載の匿名加工対象特定方法。 The number of personal IDs searched by the search step is compared with the threshold value for one set of attribute values stored in the publicly known information table, and when the number of personal IDs is equal to or less than the threshold value, the plurality of personal IDs are compared. A determination step for determining a set of attribute values including the personal ID in the personal information table as an anonymous processing target, and
The method for identifying an anonymous processing target according to claim 1, further comprising an anonymous processing processing step of performing anonymous processing processing on a set of attribute values determined to be an anonymous processing target by the determination step. 前記公知情報テーブルに格納される一の属性値の組について前記検索ステップにより検索された個人IDの数と閾値とを比較し、当該個人IDの数が前記閾値以下である場合に、前記複数の個人情報テーブルにおいて当該個人IDを含む属性値の組を、匿名加工対象と判定する判定ステップと、
前記判定ステップにより匿名加工対象と判定された属性値の組を、匿名加工対象として利用者に通知する通知ステップと
をさらに有することを特徴とする、請求項1に記載の匿名加工対象特定方法。 The number of personal IDs searched by the search step is compared with the threshold value for one set of attribute values stored in the publicly known information table, and when the number of personal IDs is equal to or less than the threshold value, the plurality of personal IDs are compared. A determination step for determining a set of attribute values including the personal ID in the personal information table as an anonymous processing target, and
The method for identifying an anonymous processing target according to claim 1, further comprising a notification step of notifying the user of a set of attribute values determined to be an anonymous processing target by the determination step as an anonymous processing target. 前記一の属性値の組を構成する属性値の数又は種類に基づいて前記閾値を設定する閾値設定ステップをさらに有し、
前記判定ステップは、前記個人IDの数と、前記閾値設定ステップにより設定された閾値とを比較するステップである
ことを特徴とする、請求項2又は3に記載の匿名加工対象特定方法。 Further comprising a threshold setting step of setting the threshold based on the number or type of attribute values constituting the one set of attribute values.
The anonymous processing target identification method according to claim 2 or 3, wherein the determination step is a step of comparing the number of the individual IDs with the threshold value set by the threshold value setting step. 前記公知情報記憶部は、複数の公知情報テーブルを記憶し、
前記複数の公知情報テーブルの中から、前記複数の個人情報テーブルが含む属性に基づいて公知情報テーブルを選択するテーブル選択ステップをさらに有し、
前記検索ステップは、前記複数の個人情報テーブルを参照して、前記テーブル選択ステップにより選択された公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索するステップである
ことを特徴とする、請求項1乃至のいずれか1項に記載の匿名加工対象特定方法。 The publicly known information storage unit stores a plurality of publicly known information tables and stores them.
Further having a table selection step of selecting a publicly known information table from the plurality of publicly known information tables based on the attributes included in the plurality of personal information tables.
The search step refers to the plurality of personal information tables, and each of the set of attribute values stored in the publicly known information table selected by the table selection step is associated with the set of attribute values. The method for identifying an anonymous processing target according to any one of claims 1 to 4 , wherein the step is to search for an individual ID as information indicating an anonymous processing target. 個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、
公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と、
前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定部と、
複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索する検索部と
を備え、
前記検索部は、
前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定部と、
前記テーブル特定部により特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定部と
を備え、
前記テーブル特定部は、前記優先順位設定部により設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定し、
前記個人ID特定部は、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定する
ことを特徴とする匿名加工対象特定システム。 A personal information storage unit that stores a plurality of personal information tables that store a plurality of sets of attribute values including a personal ID.
A public information storage unit that stores a public information table that stores a plurality of sets of attribute values that are extracted from public information and that lead to identification of a specific individual.
A priority setting unit that sets a priority according to the number of attribute values stored in the public information table for each attribute included in the public information table.
With reference to a plurality of personal information tables, for each of the set of attribute values stored in the publicly known information table, the personal ID associated with the set of attribute values is searched for as information indicating an anonymous processing target. Equipped with a search unit
The search unit
When the set of n attribute values stored in the publicly known information table is to be processed, the attribute of one attribute value constituting the set of n attribute values from the plurality of personal information tables. Table identification part that identifies the personal information table including
In the personal information table specified by the table specifying unit, the personal ID specifying unit that specifies the personal ID associated with the one attribute value is provided.
The table specifying unit sequentially arranges a table containing the attributes of the attribute values for each of the attribute values constituting the n set of attribute values in the order according to the priority set by the priority setting unit. Identify and
When the personal ID specifying unit sequentially specifies the personal ID for each of the attribute values constituting the n set of attribute values, in the second and subsequent specific processes, the personal ID specified in the previous specific process is used. Anonymous, which is characterized in that the personal ID associated with the attribute value of the processing target is specified, and in the nth identification processing, the personal ID is specified as information indicating a candidate for anonymous processing target. Processing target identification system. 個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、
公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と
を備えるコンピュータに、
前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定ステップと、
複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索する検索ステップ
を実行させるためのプログラムであって、
前記検索ステップは、
前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定ステップと、
前記テーブル特定ステップにより特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定ステップと
を有し、
前記テーブル特定ステップは、前記優先順位設定ステップにより設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定するステップであって、
前記個人ID特定ステップは、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定するステップである
ことを特徴とするプログラム。 A personal information storage unit that stores a plurality of personal information tables that store a plurality of sets of attribute values including a personal ID.
A computer provided with a publicly known information storage unit that stores a publicly known information table that stores a plurality of sets of attribute values that are extracted from publicly known information and that lead to identification of a specific individual.
For each attribute included in the publicly known information table, a priority setting step for setting a priority according to the number of attribute values stored in the publicly known information table, and
With reference to a plurality of personal information tables, for each of the set of attribute values stored in the publicly known information table, the personal ID associated with the set of attribute values is searched for as information indicating an anonymous processing target. A program for performing search steps and
The search step
When the set of n attribute values stored in the publicly known information table is to be processed, the attribute of one attribute value constituting the set of n attribute values from the plurality of personal information tables. Table identification steps to identify personal information tables, including
In the personal information table specified by the table specifying step, the personal information table has a personal ID specifying step for specifying the personal ID associated with the one attribute value.
In the table specifying step, in the order according to the priority set by the priority setting step , for each of the attribute values constituting the n set of attribute values, the table containing the attribute of the attribute value is sequentially arranged. It ’s a step to identify
In the personal ID identification step, when the individual IDs are sequentially specified for each of the attribute values constituting the set of n attribute values, in the second and subsequent identification processes, the individual IDs specified in the previous identification process are used. The feature is that the personal ID associated with the attribute value of the processing target is specified, and the nth specific processing is a step of specifying the personal ID as information indicating a candidate for anonymous processing. Program to be.
JP2019066440A 2019-03-29 2019-03-29 Anonymous processing target identification method, anonymous processing target identification system and program Active JP6797963B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019066440A JP6797963B2 (en) 2019-03-29 2019-03-29 Anonymous processing target identification method, anonymous processing target identification system and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019066440A JP6797963B2 (en) 2019-03-29 2019-03-29 Anonymous processing target identification method, anonymous processing target identification system and program

Publications (2)

Publication Number Publication Date
JP2020166556A JP2020166556A (en) 2020-10-08
JP6797963B2 true JP6797963B2 (en) 2020-12-09

Family

ID=72716217

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019066440A Active JP6797963B2 (en) 2019-03-29 2019-03-29 Anonymous processing target identification method, anonymous processing target identification system and program

Country Status (1)

Country Link
JP (1) JP6797963B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006309406A (en) * 2005-04-27 2006-11-09 Fuji Xerox Co Ltd Information concealing device, concealing system, concealing method and concealing program
JP5257172B2 (en) * 2009-03-16 2013-08-07 富士通株式会社 SEARCH METHOD, SEARCH PROGRAM, AND SEARCH DEVICE
JP2014229039A (en) * 2013-05-22 2014-12-08 株式会社日立製作所 Privacy protection type data provision system
JP5943356B2 (en) * 2014-01-31 2016-07-05 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Information processing apparatus, information processing method, and program

Also Published As

Publication number Publication date
JP2020166556A (en) 2020-10-08

Similar Documents

Publication Publication Date Title
US10025904B2 (en) Systems and methods for managing a master patient index including duplicate record detection
US10454932B2 (en) Search engine with privacy protection
US10818383B2 (en) Hospital matching of de-identified healthcare databases without obvious quasi-identifiers
JP3701633B2 (en) Item pattern extraction method, network system, and processing apparatus across multiple databases
US10572461B2 (en) Systems and methods for managing a master patient index including duplicate record detection
US20080120296A1 (en) Systems and methods for free text searching of electronic medical record data
Fatehi et al. How to improve your PubMed/MEDLINE searches: 3. advanced searching, MeSH and My NCBI
US8996474B2 (en) Computer system and method for de-identification of patient and/or individual health and/or medical related information, such as patient micro-data
KR20120049180A (en) Artificial intelligence-assisted medical reference system and method
JP2010176288A (en) Device for evaluating similarity between business task processes, and method thereof
Damotte et al. Harnessing electronic medical records to advance research on multiple sclerosis
Tzeremes Hotel productivity: a robust Luenberger productivity indicator
Hasankhani et al. Efficient and fair heart allocation policies for transplantation
JP6797963B2 (en) Anonymous processing target identification method, anonymous processing target identification system and program
US7490046B1 (en) Method and system for matching medical condition information with a medical resource on a computer network
Sebaa et al. Decision support system for health care resources allocation
JP2020102021A (en) Document retrieval program, document retrieval method, and document retrieval system
JP6597421B2 (en) Program, information processing apparatus and information processing method
WO2015078754A1 (en) Document management system for a medical task
US20110022413A1 (en) Systems and methods for maintaining comprehensive medical records
Yee et al. Big data: Its implications on healthcare and future steps
Shrestha et al. Temporal modification of apriori to find seasonal variations between symptoms and diagnoses
Elias et al. Outcomes and prognosis factors in patients with vena cava filters in a quaternary medical center: a 5-year retrospective analysis
Mohanty et al. Development and evaluation of a record linkage protocol for Utah’s Controlled Substance Database
JP4189391B2 (en) Sales support system, sales support method and sales support program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190603

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200901

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201016

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201118

R150 Certificate of patent or registration of utility model

Ref document number: 6797963

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350