JP6880656B2 - 情報処理装置、情報処理システム、プログラム、及び情報処理方法 - Google Patents

情報処理装置、情報処理システム、プログラム、及び情報処理方法 Download PDF

Info

Publication number
JP6880656B2
JP6880656B2 JP2016213590A JP2016213590A JP6880656B2 JP 6880656 B2 JP6880656 B2 JP 6880656B2 JP 2016213590 A JP2016213590 A JP 2016213590A JP 2016213590 A JP2016213590 A JP 2016213590A JP 6880656 B2 JP6880656 B2 JP 6880656B2
Authority
JP
Japan
Prior art keywords
information
personal information
concealment
personal
storage device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016213590A
Other languages
English (en)
Other versions
JP2018022461A (ja
Inventor
裕里 安田
裕里 安田
一範 小橋
一範 小橋
暁人 山崎
暁人 山崎
明雅 吉田
明雅 吉田
片山 博之
博之 片山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to US15/630,995 priority Critical patent/US10540517B2/en
Publication of JP2018022461A publication Critical patent/JP2018022461A/ja
Application granted granted Critical
Publication of JP6880656B2 publication Critical patent/JP6880656B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、情報処理装置、情報処理システム、プログラム、及び情報処理方法に関する。
近年、ビッグデータ分析に対するニーズがますます高まっている。ビッグデータ分析において、より正確で有用な分析結果を得るためには、可能な限り多くのデータサンプルの収集を行うことが望ましい。
政府は、国内の医療分野におけるビッグデータ分析を促進する施策を将来的に実施する計画を持っている。この施策によれば、病院の電子カルテのデータが収集され、収集されたデータが匿名データに加工され、匿名データがビッグデータ分析に利用可能なデータとして、データの利活用を希望する団体へ提供される予定である。
電子カルテは、患者のプライバシーに関わる個人情報を多く含むデータである。このため、これらのデータを大量に収集する際には、個人情報の流出が起こらないような対策を講じることが望まれる。
電子カルテ等の医療データを収集して利用する様々な技術も知られている(例えば、特許文献1〜特許文献5を参照)。
特開2010−128718号公報 特開2004−287774号公報 特開2009−15835号公報 特表2013−537326号公報 特開2009−266077号公報
上述した政府の施策に基づいて電子カルテを収集して解析する際、複数の病院で診察を受けた同じ患者の電子カルテが複数の異なる患者の電子カルテとして収集され、解析結果が不正確になる可能性がある。
なお、かかる問題は、病院における電子カルテを収集する場合に限らず、他の情報提供機関における他の個人情報を収集する場合においても生ずるものである。
1つの側面において、本発明は、複数の情報提供機関から収集した個人情報を秘匿化した秘匿化個人情報の中から、同じ人物の情報を特定することを目的とする。
1つの案では、情報処理装置は、記憶部、識別情報付与部、及び秘匿化部を含む。記憶部は、複数の情報提供機関の間で共通して個人を識別する共通識別情報を記憶する。識別情報付与部は、複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、共通識別情報を付与する。秘匿化部は、共通識別情報が付与された個人情報を秘匿化して、秘匿化個人情報を生成する。
実施形態によれば、複数の情報提供機関から収集した個人情報を秘匿化した秘匿化個人情報の中から、同じ人物の情報を特定することができる。
電子カルテ解析システムの構成図である。 データ提供シーケンスを示す図である。 データ解析シーケンスを示す図である。 第1の情報処理システムの構成図である。 第1の秘匿化処理のフローチャートである。 第1の情報処理システムの具体例を示す図である。 サーバの機能的構成図である。 個人情報に含まれる基本テーブルを示す図である。 個人情報に含まれる診察テーブルを示す図である。 モードM1で用いられる秘匿化項目情報を示す図である。 モードM2で用いられる秘匿化項目情報を示す図である。 IDテーブルを示す図である。 モードM1で用いられる日時テーブルを示す図である。 モードM2で用いられる日時テーブルを示す図である。 加工テーブルを示す図である。 秘匿化個人情報に含まれる基本テーブルを示す図である。 秘匿化個人情報に含まれる診察テーブルを示す図である。 データ形式を変換する処理を示す図である。 モードM1における情報提供シーケンスを示す図である。 モードM1における情報秘匿化シーケンスを示す図(その1)である。 モードM1における情報秘匿化シーケンスを示す図(その2)である。 モードM1における情報秘匿化シーケンスを示す図(その3)である。 モードM1における情報解析シーケンスを示す図である。 モードM2における動作シーケンスを示す図(その1)である。 モードM2における動作シーケンスを示す図(その2)である。 モードM2における動作シーケンスを示す図(その3)である。 第2の情報処理システムの構成図である。 第2の秘匿化処理のフローチャートである。 第2の情報処理システムの具体例を示す図である。 VMの機能的構成図である。 第2の情報処理システムで用いられる日時テーブルを示す図である。 情報処理装置のハードウェア構成図である。
以下、図面を参照しながら、実施形態を詳細に説明する。
図1は、政府の施策に基づいて電子カルテを収集して解析する、仮想的な電子カルテ解析システムの構成例を示している。図1の電子カルテ解析システムにおいて、情報提供機関は、電子カルテのデータを提供する病院であり、情報解析機関は、電子カルテのデータを収集して解析する政府等の機関である。
図1の電子カルテ解析システムは、病院Aの病院システム101−1、病院Bの病院システム101−2、及び情報解析機関の解析システム102を含む。病院システムの数は2つに限られず、病院の数が3つ以上である場合、病院システムの数も3つ以上になる。例えば、全国に存在する複数の病院が情報提供機関であってもよい。
病院システム101−i(i=1,2)は、パーソナルコンピュータ(PC)111−i、PC112−i、サーバ113−i、運用ストレージ装置114−i、及びバックアップストレージ装置115−iを含む。PC111−i、PC112−i、サーバ113−i、運用ストレージ装置114−i、及びバックアップストレージ装置115−iは、例えば、Local Area Network(LAN)によって接続されている。
サーバ113−iは、電子カルテ151−iを格納する。運用ストレージ装置114−iは、運用データベース(DB)131−iを含み、バックアップストレージ装置115−iは、バックアップDB132−iを含む。
解析システム102は、サーバ121、PC122、及び収集ストレージ装置123を含む。収集ストレージ装置123は、収集DB133を含む。
図1の電子カルテ解析システムでは、例えば、以下の手順で電子カルテの解析が行われる。
(P1)各病院の医師は、PC111−i又はPC112−iを用いて、電子カルテ151−iに患者の診察情報を入力する。
(P2)サーバ113−iは、電子カルテ151−iを運用DB131−iに格納し、運用ストレージ装置114−iは、電子カルテ151−iの複製をバックアップDB132−iに格納する。
(P3)各病院のシステム管理者は、バックアップDB132−iに格納された電子カルテ151−iの複製を、Digital Versatile Disk(DVD)141−iに保存する。
(P4)各病院は、DVD141−iを情報解析機関へ配送する。
(P5)情報解析機関の解析者は、PC122を用いて、配送されたDVD141−iから電子カルテ151−iを読み出し、電子カルテ151−iの複製を収集DB133に格納する。
(P6)解析者は、PC122を用いて、収集DB133に格納された電子カルテ151−iを秘匿化して秘匿化電子カルテを生成する。これにより、電子カルテ151−iのデータが匿名データに加工される。
(P7)解析者は、PC122を用いて、複数の患者の秘匿化電子カルテを解析し、解析結果をサーバ121に格納する。解析結果は、研究機関、製薬会社等の情報利用者に対して提供される。
図2は、図1の病院システム101−1におけるデータ提供シーケンスの例を示している。PC111−1及びPC112−1内には、アプリケーションである電子カルテクライアント201及び電子カルテクライアント202がそれぞれインストールされている。
まず、電子カルテクライアント202は、病院Aの医師の操作に基づいて、サーバ113−1の電子カルテ151−1に患者の診察情報を入力する(ステップ211)。次に、サーバ113−1は、電子カルテ151−1を運用ストレージ装置114−1の運用DB131−1に書き込む(ステップ212)。その後、運用ストレージ装置114−1は、電子カルテ151−1の複製をバックアップストレージ装置115−1のバックアップDB132−1に書き込む。
次に、サーバ113−1は、病院Aのシステム管理者の指示に基づいて、書き出し指令をバックアップストレージ装置115−1へ送信する(ステップ221)。そして、バックアップストレージ装置115−1は、バックアップDB132−1に格納された電子カルテ151−1の複製を、電子カルテ203−1としてDVD141−1に書き込む(ステップ222)。
病院システム101−2においても、図2と同様のデータ提供シーケンスによって、電子カルテ151−2が生成され、電子カルテ151−2の複製がDVD141−2に書き込まれる。
図3は、図1の解析システム102におけるデータ解析シーケンスの例を示している。PC122内には、解析アプリケーション301がインストールされている。
まず、PC122は、情報解析機関の解析者の指示に基づいて、DVD141−1から電子カルテ203−1を読み出し(ステップ311)、電子カルテ203−1を収集ストレージ装置123の収集DB133に書き込む(ステップ312)。
次に、PC122は、解析者の指示に基づいて、DVD141−2から電子カルテ203−2を読み出し(ステップ313)、電子カルテ203−2を収集DB133に書き込む(ステップ314)。
次に、解析アプリケーション301は、解析者の操作に基づいて、収集DB133から電子カルテ203−1及び電子カルテ203−2を読み出す(ステップ315)。そして、解析アプリケーション301は、電子カルテ203−1及び電子カルテ203−2を秘匿化して、秘匿化電子カルテを生成する(ステップ316)。
次に、解析アプリケーション301は、解析者の操作に基づいて、複数の患者の秘匿化電子カルテを解析し(ステップ317)、解析結果302をサーバ121に格納する(ステップ318)。
図1の電子カルテ解析システムでは、収集DB133を管理する情報解析機関の解析者が秘匿化されていない電子カルテを直接扱うことができ、電子カルテを秘匿化する作業は、解析者自身に任されている。このため、個人情報の保護に関して患者に不安を与えることになり、情報解析機関に対して電子カルテの提供を拒む病院が増加して、ビッグデータ分析に十分な量のデータを収集することが困難になる。
また、複数の病院が別々に電子カルテを生成して情報解析機関に提供するため、同じ患者が複数の病院で診察を受けた場合、それらの病院における電子カルテが互いに異なる患者の電子カルテとして収集DB133に格納される。このため、それらの電子カルテを同じ患者の電子カルテとして扱った場合とは異なる、不正確な解析結果が得られる可能性がある。
図4は、実施形態の第1の情報処理システムの構成例を示している。図4の情報処理システム401は、ストレージ装置411及び情報処理装置412(コンピュータ)を含み、情報処理装置412は、記憶部421、識別情報付与部422、及び秘匿化部423を含む。
ストレージ装置411は、複数の情報提供機関それぞれの複数の運用データベースから転送される個人情報を格納する。情報処理装置412の記憶部421は、複数の情報提供機関の間で共通して個人を識別する共通識別情報を記憶する。識別情報付与部422及び秘匿化部423は、共通識別情報を用いて秘匿化処理を行う。
図5は、図4の情報処理装置412が行う第1の秘匿化処理の例を示すフローチャートである。まず、識別情報付与部422は、ストレージ装置411に格納された個人情報に対して、共通識別情報を付与する(ステップ501)。そして、秘匿化部423は、共通識別情報が付与された個人情報を秘匿化して、秘匿化個人情報を生成する(ステップ502)。
このような情報処理システム401によれば、複数の情報提供機関から収集した個人情報を秘匿化した秘匿化個人情報の中から、同じ人物の情報を特定することができる。以下では、識別情報をIDと記載することがある。
図6は、図4の情報処理システム401の具体例を示している。図6の情報処理システム601は、病院Aの病院システム611−1、病院Bの病院システム611−2、バックアップシステム612、及び情報解析機関の解析システム613を含む。図1の電子カルテ解析システムと同様に、病院システムの数は、3つ以上であってもよい。
病院システム611−i(i=1,2)は、各病院の事務職員のPC621−i、医師のPC622−i、サーバ623−i、及び運用ストレージ装置624−iを含む。PC621−i、PC622−i、サーバ623−i、及び運用ストレージ装置624−iは、例えば、LANによって接続されている。
サーバ623−iは、電子カルテ661−iを格納する。運用ストレージ装置624−iは、運用DB651−i及び運用DB652−iを含む。運用DB651−iは、個人情報662−iを格納し、運用DB652−iは、秘匿化項目情報663−iを格納する。
個人情報662−iは、電子カルテ661−iに記録された患者の診察情報であり、秘匿化項目情報663−iは、個人情報662−iに含まれる複数の項目のうち秘匿化対象の項目を指定する情報である。秘匿化対象の項目は、例えば、患者自身によって指定され、その患者の個人情報662−iに対して適用される。
バックアップシステム612は、例えば、インターネット等の通信ネットワーク上のバックアップサイトに設けられ、バックアップストレージ装置631−1、バックアップストレージ装置631−2、及びサーバ632を含む。バックアップストレージ装置631−1及びバックアップストレージ装置631−2は、図4のストレージ装置411に対応し、サーバ632は、情報処理装置412に対応する。
バックアップストレージ装置631−1は、病院AのバックアップDB653−1及びバックアップDB654−1を含み、バックアップストレージ装置631−2は、病院BのバックアップDB653−2及びバックアップDB654−2を含む。
バックアップDB653−iは、個人情報664−iを格納し、バックアップDB654−iは、秘匿化項目情報665−iを格納する。個人情報664−i及び秘匿化項目情報665−iは、それぞれ、個人情報662−i及び秘匿化項目情報663−iの複製である。
解析システム613は、サーバ641、PC642、及び収集ストレージ装置643を含む。収集ストレージ装置643は、収集DB655及び収集DB656を含み、収集DB655は、秘匿化個人情報666を格納し、収集DB656は、秘匿化個人情報667を格納する。
図7は、図6のサーバ632の機能的構成例を示している。図7のサーバ632は、記憶部421、識別情報付与部422、秘匿化部423、日時管理部701、及び転送部702を含む。記憶部421は、IDテーブル711、日時テーブル712、日時テーブル713、加工テーブル714、加工テーブル715、及び秘匿化項目情報716を記憶する。
IDテーブル711は、個人情報664−iに含まれる個人識別情報(個人ID)と、共通識別情報(共通ID)とを対応付ける対応関係を含む。日時テーブル712及び日時テーブル713は、個人情報664−iに対する秘匿化処理の目標日時及び完了日時を含む。加工テーブル714及び加工テーブル715は、個人情報664−iに含まれる特定の項目の情報を簡略化された情報に変換するためのテーブルであり、変換前の情報と変換後の情報とを対応付ける対応関係を含む。
秘匿化項目情報716は、個人情報664−iに含まれる複数の項目のうち秘匿化対象の項目を指定する情報である。秘匿化項目情報716に含まれる秘匿化対象の項目は、例えば、政府のような、患者以外の機関によって指定される。
識別情報付与部422は、IDテーブル711を参照して、個人情報664−iに含まれる個人IDに対応する共通IDを、個人情報664−iに対して付与する。秘匿化部423は、共通IDが付与された個人情報664−iを秘匿化して、秘匿化個人情報666及び秘匿化個人情報667を生成する。日時管理部701は、日時テーブル712及び日時テーブル713のエントリを更新し、転送部702は、秘匿化個人情報666及び秘匿化個人情報667を収集ストレージ装置643へ転送する。
図6の情報処理システム601は、各病院からの依頼に基づいて秘匿化処理を行うモードM1の動作と、情報解析機関からの依頼に基づいて秘匿化処理を行うモードM2の動作とを行うことができる。モードM1では、サーバ632は、日時テーブル712、加工テーブル714、及び秘匿化項目情報665−iを用いて、個人情報664−iに対する秘匿化処理を行う。一方、モードM2では、サーバ632は、日時テーブル713、加工テーブル715、及び秘匿化項目情報716を用いて、個人情報664−iに対する秘匿化処理を行う。
図8は、個人情報662−i及び個人情報664−iに含まれる基本テーブルの例を示している。図8の基本テーブルは、患者の基本情報が登録されたテーブルであり、患者ID、氏名、マイナンバー、生年月日、性別、住所、血液型、保険証ID、アレルギー、及び更新日時の項目を含む。患者IDは、各病院によって患者に付与されるIDであり、マイナンバーは、政府によって国民に付与されるIDであり、保険証IDは、保険者によって被保険者に付与されるIDである。更新日時は、各患者の基本情報が更新された日時を表す。
図9は、個人情報662−i及び個人情報664−iに含まれる診察テーブルの例を示している。図9の診察テーブルは、患者の診察情報が登録されたテーブルであり、患者ID、処方、検査結果、病名、及び更新日時の項目を含む。処方は、診察によって決定された処方を表し、検査結果は、診察時に参照された検査結果を表し、病名は、診察によって決定された病名を表す。更新日時は、各患者の診察情報が更新された日時を表す。
図10は、モードM1で用いられる秘匿化項目情報665−iの例を示している。図10の秘匿化項目情報665−iの各エントリは、図8の基本テーブル及び図9の診察テーブルに含まれる各患者の個人情報に対応し、項目毎に“○”、“△”、又は“×”のいずれかの記号を含む。
“○”は、秘匿化することなく提供可能な情報を表し、“△”は、情報を加工して個人が特定されないようにすれば、提供可能な情報を表し、“×”は、一切の情報提供を行わない情報を表す。“△”又は“×”が設定された項目は、秘匿化対象の項目に対応する。“△”が設定された項目の情報は、加工テーブル714又は加工テーブル715を用いて、簡略化された情報に変換され、“×”が設定された項目の情報は、秘匿化されていることを示すデータに変換される。
情報処理システム601では、各患者の個人情報に対する考え方、又は各患者の病気の特性によって、提供可能な情報の範囲及び提供方法が異なる可能性がある。例えば、患者ID“1001”の秘匿化項目情報では、生年月日、性別、保険証ID、処方、検査結果、及び病名に対して“○”が設定されている。また、氏名、マイナンバー、及び血液型に対して“×”が設定されており、住所及びアレルギーに対して“△”が設定されている。
一方、患者ID“1004”の秘匿化項目情報では、すべての項目に対して“×”が設定されている。
図11は、モードM2で用いられる秘匿化項目情報716の例を示している。図11の秘匿化項目情報716は、すべての患者の個人情報664−iに対して適用される。この例では、性別、血液型、保険証ID、アレルギー、処方、検査結果、及び病名に対して“○”が設定されており、氏名、マイナンバー、生年月日、及び住所に対して“×”が設定されている。
図12は、IDテーブル711の例を示している。図12のIDテーブル711は、共通ID及びマイナンバーを含み、個人情報664−iに含まれる個人IDであるマイナンバーと、複数の病院の間で共通して個人を識別する共通IDとを対応付ける、対応関係を表す。
図13は、モードM1で用いられる日時テーブル712の例を示している。図13の日時テーブル712は、病院ID、秘匿化完了日時、同時刻連番、秘匿化目標日時、及び処理完了フラグを含む。病院IDは、病院を識別するIDであり、秘匿化完了日時は、個人情報664−iに対する秘匿化処理の進捗状況を表す日時である。例えば、図8の基本テーブル及び図9の診察テーブルの1人の患者の個人情報664−iが秘匿化される度に、その個人情報664−iの更新日時が秘匿化完了日時に転記される。
同時刻連番は、同じ更新日時を有する複数の個人情報664−iのうち、秘匿化処理が完了した個人情報664−iの順位を表す。例えば、同時刻連番“3”は、秘匿化完了日時に転記された更新日時を有する複数の個人情報664−iのうち、3番目の個人情報664−iまでの秘匿化処理が完了していることを表す。この場合、4番目以降の個人情報664−iの秘匿化処理は完了していない。
秘匿化目標日時は、秘匿化処理の対象となる個人情報664−iの範囲を指定する日時である。秘匿化目標日時と同じか又はそれよりも前の更新日時を有する個人情報664−iが、秘匿化処理の対象となる。処理完了フラグは、各病院において、秘匿化目標日時までの個人情報664−iに対する秘匿化処理が完了したか否かを表す。日時テーブル712に秘匿化目標日時が設定されたとき、処理完了フラグは“false”に設定され、秘匿化目標日時までの個人情報664−iに対する秘匿化処理が完了したとき、処理完了フラグは“true”に設定される。
図14は、モードM2で用いられる日時テーブル713の例を示している。情報解析機関からの依頼によって個人情報664−iの収集期間が指定された場合、日時管理部701は、収集開始日時及び収集終了日時に基づいて、日時テーブル713の秘匿化完了日時及び秘匿化目標日時を設定する。このとき、日時管理部701は、すべての病院IDに対応する秘匿化完了日時を同じ日時に設定するとともに、すべての病院IDに対応する秘匿化目標日時を同じ日時に設定する。
例えば、収集開始日時が“2015/05/13 0:00”である場合、収集開始日時よりも1秒前の“2015/05/12 23:59”が秘匿化完了日時に設定される。また、収集終了日時が“2015/05/20 0:00”である場合、収集終了日時と同じ“2015/05/20 0:00”が秘匿化目標日時に設定される。
図15は、モードM1で用いられる加工テーブル714及びモードM2で用いられる加工テーブル715の例を示している。図15の加工テーブルは、年齢及び年齢層を含み、変換前の情報である年齢と、変換後の情報である年齢層とを対応付ける、対応関係を表す。年齢は、図8の基本テーブルに含まれる生年月日から計算することができる。図15の加工テーブルを用いることで、個人を特定可能な生年月日の情報が、匿名データである年齢層の情報に簡略化される。
また、簡略化される項目が住所である場合、住所の文字列から個人を特定可能な町名及び番地等の情報を削除して文字列を簡略化する、加工テーブルを用いることもできる。これにより、例えば、図8の“横浜市北区港南町1−24−2”という住所を“横浜市”に簡略化することができる。
図16は、秘匿化個人情報666及び秘匿化個人情報667に含まれる基本テーブルの例を示している。図16の基本テーブルは、共通ID、氏名、マイナンバー、生年月日、性別、住所、血液型、保険証ID、及び更新日時の項目を含む。共通IDは、識別情報付与部422によって付与された共通IDである。
この例では、すべての患者の氏名及びマイナンバーが、秘匿化されていることを示すデータである文字列“秘匿情報”に変換されている。また、共通ID“11111234”の患者の住所は、簡略化された文字列“横浜市”に変換されており、共通ID“11111237”の患者の場合、すべての項目の情報が文字列“秘匿情報”に変換されている。
図17は、秘匿化個人情報666及び秘匿化個人情報667に含まれる診察テーブルの例を示している。図17の診察テーブルは、共通ID、病院ID、患者ID、処方、検査結果、病名、及び更新日時の項目を含む。
この例では、共通ID“11111234”の患者が、病院ID“98430”の病院では患者ID“594”の患者として登録され、病院ID“201”の病院では患者ID“1001”の患者として登録されている。また、病院ID“302”の病院では、同じ患者が患者ID“321”の患者として登録されている。そして、病院ID“302”の病院における処方、検査結果、及び病名が、文字列“秘匿情報”に変換されている。
このように、秘匿化個人情報666及び秘匿化個人情報667に対して共通IDを付与することで、複数の病院から収集した秘匿化個人情報の中から、同じ患者の情報を特定することができる。
ところで、病院Aの個人情報664−1と病院Bの個人情報664−2とは、必ずしも同じデータ形式であるとは限らない。個人情報664−1と個人情報664−2のデータ形式が異なる場合、秘匿化部423は、各個人情報664−iのデータ形式を統一データ形式へ変換して、変換後の個人情報から秘匿化個人情報666及び秘匿化個人情報667を生成する。これにより、病院間におけるデータ形式の違いを吸収することができる。
例えば、各病院システム611−iのサーバ623−iは、運用DB651−iにおける個人情報662−iのデータ形式を統一データ形式へ変換する変換プログラムを生成して、事前にバックアップシステム612へ送信する。そして、サーバ632の秘匿化部423は、受信した変換プログラムを用いて、個人情報664−iのデータ形式を統一データ形式へ変換する。
図18は、データ形式を変換する処理の例を示している。この例では、病院A及び病院Bの個人情報664−iにおける生年月日の情報として、患者が生まれた「年」、「月」、及び「日」がそれぞれ個別の欄に記述されている。このうち、「年」の情報は、病院Aの個人情報664−1では西暦で記述され、病院Bの個人情報664−2では年号で記述されている。
病院Aの個人情報664−1を変換する場合、秘匿化部423は、個人情報664−1における「年(西暦)」、「月」、及び「日」のそれぞれの欄から文字列を読み取る。そして、秘匿化部423は、サーバ623−1から受信した変換プログラムを用いて、文字列同士を記号“/”によって連結し、統一データ形式の「生年月日」の文字列を生成する。
一方、病院Bの個人情報664−2を変換する場合、秘匿化部423は、個人情報664−2における「年(年号)」、「月」、及び「日」のそれぞれの欄から文字列を読み取る。そして、秘匿化部423は、サーバ623−2から受信した変換プログラムを用いて、年号の文字列を西暦の文字列に変換し、文字列同士を記号“/”によって連結して、統一データ形式の「生年月日」の文字列を生成する。
図6の情報処理システム601がモードM1で動作する場合、例えば、以下の手順で電子カルテの解析が行われる。
(P11)各病院の事務職員又は患者は、PC621−iを用いて、電子カルテ661−iに患者が希望する秘匿化項目情報を入力する。秘匿化項目情報は、初診時に入力された後、患者からの申し出に基づいて変更することができる。
(P12)サーバ623−iは、入力された秘匿化項目情報を、秘匿化項目情報663−iとして運用DB652−iに格納する。
(P13)各病院の医師は、PC622−iを用いて、電子カルテ661−iに患者の診察情報を入力する。
(P14)サーバ623−iは、入力された診察情報を、個人情報662−iとして運用DB651−iに格納する。
(P15)各病院のシステム管理者は、定期的にバックアップを実行する。このとき、運用ストレージ装置624−iは、個人情報662−i及び秘匿化項目情報663−iの複製をバックアップストレージ装置631−iへ転送する。そして、バックアップストレージ装置631−iは、個人情報662−iの複製を、個人情報664−iとしてバックアップDB653−iに格納し、秘匿化項目情報663−iの複製を、秘匿化項目情報665−iとしてバックアップDB654−iに格納する。
(P16)サーバ623−iは、定期的に秘匿化依頼をサーバ632へ送信し、サーバ632の日時管理部701は、秘匿化依頼に基づいて、日時テーブル712に秘匿化目標日時を設定する。
(P17)秘匿化部423は、日時管理部701に対して秘匿化処理を実施するか否かを問い合わせる。日時管理部701は、日時テーブル712の秘匿化完了日時及び秘匿化目標日時を参照して、秘匿化処理を実施するか否かを示す応答を秘匿化部423へ送信する。
(P18)秘匿化処理を実施する場合、秘匿化部423は、日時テーブル712から秘匿化完了日時を取得し、個人情報664−iから、更新日時が秘匿化完了日時よりも新しいエントリを検索する。
(P19)秘匿化部423は、各病院の変換プログラムを用いて、個人情報664−iの各エントリのデータ形式を統一データ形式へ変換する。
(P20)識別情報付与部422は、IDテーブル711を参照して、個人情報664−iの各エントリに含まれる個人IDに対応する共通IDを、そのエントリに対して付与する。
(P21)秘匿化部423は、各エントリに対応する患者の秘匿化項目情報665−iを参照して、秘匿化対象の項目の情報を秘匿化し、秘匿化個人情報666を生成する。このとき、秘匿化個人情報666の各エントリに対して病院IDが付与される。例えば、図10の秘匿化項目情報665−iを用いた場合、“○”が設定された項目の情報は変換されず、“△”が設定された項目の情報は、加工テーブル714を用いて簡略化された情報に変換される。また、“×”が設定された項目の情報は、秘匿化されていることを示すデータに変換される。
(P22)転送部702は、秘匿化個人情報666を収集ストレージ装置643へ転送し、収集ストレージ装置643は、秘匿化個人情報666を収集DB655に格納する。
(P23)情報解析機関の解析者は、PC642を用いて、秘匿化個人情報666を解析し、解析結果をサーバ641に格納する。解析結果は、研究機関、製薬会社等の情報利用者に対して提供される。
一方、図6の情報処理システム601がモードM2で動作する場合、例えば、以下の手順で電子カルテの解析が行われる。
(P31)病院システム611−iは、モードM1における(P11)〜(P15)と同様の動作を行う。
(P32)情報解析機関の解析者は、PC642を用いて、加工テーブル715及び秘匿化項目情報716とともに情報提供依頼をサーバ632へ送信する。
(P33)秘匿化部423は、秘匿化処理で参照する加工テーブルを、加工テーブル714から加工テーブル715へ切り替える。
(P34)秘匿化部423は、秘匿化処理で参照する秘匿化項目情報を、秘匿化項目情報665−iから秘匿化項目情報716へ切り替える。
(P35)日時管理部701は、情報提供依頼によって指定された収集期間に基づいて、日時テーブル713の秘匿化完了日時及び秘匿化目標日時を設定する。
(P36)秘匿化部423は、秘匿化処理で参照する日時テーブルを、日時テーブル712から日時テーブル713へ切り替える。
(P37)秘匿化部423は、日時テーブル713から秘匿化完了日時を取得し、個人情報664−1及び個人情報664−2から、更新日時が秘匿化完了日時よりも新しいエントリを検索する。
(P38)秘匿化部423は、各病院の変換プログラムを用いて、個人情報664−1及び個人情報664−2の各エントリのデータ形式を統一データ形式へ変換する。
(P39)識別情報付与部422は、IDテーブル711を参照して、個人情報664−1及び個人情報664−2の各エントリに含まれる個人IDに対応する共通IDを、そのエントリに対して付与する。
(P40)秘匿化部423は、秘匿化項目情報716を参照して、秘匿化対象の項目の情報を秘匿化し、秘匿化個人情報667を生成する。このとき、秘匿化個人情報667の各エントリに対して病院IDが付与される。
(P41)転送部702は、秘匿化個人情報667を収集ストレージ装置643へ転送し、収集ストレージ装置643は、秘匿化個人情報667を収集DB656に格納する。
(P42)情報解析機関の解析者は、PC642を用いて、秘匿化個人情報667を解析し、解析結果をサーバ641に格納する。
このような情報処理システム601によれば、以下のような効果が得られる。
(1)通信ネットワーク上のバックアップサイトに秘匿化処理を行うバックアップシステム612を設けることで、病院システム611−iの運用から切り離して、個人情報664−iを秘匿化することができる。このため、各病院は、秘匿化処理を行う機構を新しく設ける必要がなく、業務の運用に対する負荷もかからない。
(2)情報解析機関の解析者が秘匿化されていない個人情報664−iを直接扱うことがないため、個人情報の保護に関して患者及び病院が抵抗を感じずに情報提供を行うことができる。したがって、ビッグデータ分析に十分な量のデータを収集することが可能になり、より望ましい解析結果が得られる。
(3)同じ患者が複数の病院で診察を受けた場合であっても、秘匿化個人情報666及び秘匿化個人情報667に対して共通IDを付与することで、複数の病院から収集した秘匿化個人情報の中から、同じ患者の情報を特定することができる。したがって、病院間の境界を越えて同じ患者の情報を収集することが可能になり、それらの情報を同じ患者の情報として扱うことで、より正確な解析結果が得られる。
(4)患者毎に異なる秘匿化項目情報663−iを用いることで、患者の希望に合わせた秘匿化処理を行うことができる。
(5)各病院からの依頼に基づくモードM1の秘匿化処理と、情報解析機関からの依頼に基づくモードM2の秘匿化処理とを実装することで、情報解析機関の意向を柔軟に反映して個人情報664−iを収集することが可能になる。
(6)各病院が提供する変換プログラムを用いて個人情報664−iを統一データ形式へ変換することで、病院間においてデータ形式が異なっている場合であっても、秘匿化個人情報666及び秘匿化個人情報667を生成することができる。
例えば、情報処理システム601は、通常時にはモードM1の秘匿化処理を実行しており、緊急時に情報解析機関から依頼を受けた場合、モードM2の秘匿化処理を優先的に実行する。この場合、情報処理システム601は、すべての病院についてのモードM1の秘匿化処理を中断して、モードM2の秘匿化処理を開始する。
そして、モードM2の秘匿化処理が完了した後、情報処理システム601は、個人情報664−i中の中断した箇所からモードM1の秘匿化処理を再開する。これにより、膨大な個人情報664−iの最初のエントリから秘匿化処理を再度実行する場合よりも短い時間で、すべての個人情報664−iを過不足なく秘匿化することができる。
具体的には、モードM1の秘匿化処理を中断する際に、秘匿化部423は、日時テーブル712、加工テーブル714、及び秘匿化項目情報665−iを、日時テーブル713、加工テーブル715、及び秘匿化項目情報716へ切り替える。さらに、秘匿化部423は、収集DB655を収集DB656へ切り替える。
そして、モードM1の秘匿化処理を再開する際に、秘匿化部423は、日時テーブル713、加工テーブル715、及び秘匿化項目情報716を、元の日時テーブル712、加工テーブル714、及び秘匿化項目情報665−iへ切り替える。さらに、秘匿化部423は、収集DB656を元の収集DB655へ切り替える。
このように、秘匿化処理の中断時に、秘匿化処理に使用するリソースを自動的に切り替え、秘匿化処理の再開時に元のリソースを再利用することで、中断した秘匿化処理を容易に再開することができる。
また、日時テーブル712に処理完了フラグを設けて、各病院における秘匿化処理が完了したか否かを記録することで、秘匿化処理を中断した病院を特定することが可能になる。さらに、日時テーブル712に秘匿化完了日時及び同時刻連番を記録することで、個人情報664−iに含まれるどのエントリまで秘匿化処理が完了したかが明確になるため、中断した箇所を容易に特定して、秘匿化処理を早期に再開することができる。
モードM1の秘匿化処理では、個人情報664−iがバックアップストレージ装置631−iへ転送されるタイミングは病院毎に異なっている。このため、モードM2の秘匿化処理を開始した時点では、必ずしも各病院の最新の個人情報664−iが収集されているとは限らない。
そこで、解析システム613は、各病院のサーバ623−iに対して、バックアップDB653−iの最新化を指示する最新化依頼を送信する。そして、サーバ623−iは、バックアップDB653−iの個人情報664−iが最新ではなく、かつ、個人情報664−iのバックアップが即時可能である場合、運用ストレージ装置624−iに対してバックアップを指示する。これにより、モードM2の秘匿化処理において、各病院の業務の運用に支障がない範囲で、すべての病院から最新の個人情報664−iを収集することが可能になる。
次に、図19から図21までを参照しながら、モードM1における動作シーケンスについて説明する。
図19は、モードM1における情報提供シーケンスの例を示している。病院AのPC621−1及びPC622−1内には、アプリケーションである電子カルテクライアント1901及び電子カルテクライアント1902がそれぞれインストールされている。
まず、電子カルテクライアント1901は、病院Aの事務職員又は患者の操作に基づいて、患者によって指定された秘匿化項目情報を、サーバ623−1の電子カルテ661−1に入力する(ステップ1911)。そして、サーバ623−1は、電子カルテ661−1に入力された秘匿化項目情報を、秘匿化項目情報663−1として運用ストレージ装置624−1の運用DB652−1に書き込む(ステップ1912)。
次に、電子カルテクライアント1902は、病院Aの医師の操作に基づいて、電子カルテ661−1に患者の診察情報を入力する(ステップ1911)。そして、サーバ623−1は、電子カルテ661−1に入力された診察情報を、個人情報662−1として運用ストレージ装置624−1の運用DB651−1に書き込む(ステップ1922)。
その後、各病院のシステム管理者は、定期的にバックアップを実行する。このとき、サーバ623−1は、個人情報662−1のバックアップ指示を運用ストレージ装置624−1へ送信する(ステップ1931)。そして、運用ストレージ装置624−1は、個人情報662−1の複製を、個人情報664−1としてバックアップストレージ装置631−1のバックアップDB653−1に書き込む(ステップ1932)。
次に、サーバ623−1は、秘匿化項目情報663−1のバックアップ指示を運用ストレージ装置624−1へ送信する(ステップ1941)。そして、運用ストレージ装置624−1は、秘匿化項目情報663−1の複製を、秘匿化項目情報665−1としてバックアップストレージ装置631−1のバックアップDB654−1に書き込む(ステップ1942)。
病院Bにおいても、図19と同様の情報提供シーケンスによって、個人情報662−2及び秘匿化項目情報663−2が運用ストレージ装置624−2に書き込まれる。そして、個人情報664−2及び秘匿化項目情報665−2がバックアップストレージ装置631−2に書き込まれる。
図20A〜図20Cは、モードM1における情報秘匿化シーケンスの例を示している。まず、病院Aのサーバ623−1は、秘匿化目標日時を含む秘匿化依頼をバックアップシステム612のサーバ632へ送信する(ステップ2011)。秘匿化依頼に含まれる秘匿化目標日時としては、例えば、個人情報664−1に含まれるいずれのエントリの更新日時よりも遅い日時を設定することができる。サーバ632の秘匿化部423は、秘匿化依頼を受信し、その秘匿化依頼を受け付ける(ステップ2012)。
次に、秘匿化部423は、日時管理部701に対して、秘匿化依頼に含まれる秘匿化目標日時の設定を指示する(ステップ2013)。日時管理部701は、指示された秘匿化目標日時を、日時テーブル712の病院Aの病院IDに対応する秘匿化目標日時に設定し、その秘匿化目標日時に対応する処理完了フラグに“false”を設定する。そして、秘匿化部423は、日時管理部701に対して秘匿化処理を実施するか否かを問い合わせる(ステップ2014)。
日時管理部701は、日時テーブル712から病院Aの病院IDに対応する秘匿化完了日時及び秘匿化目標日時を取得する(ステップ2015)。そして、日時管理部701は、秘匿化完了日時と秘匿化目標日時を比較して、秘匿化処理を実施するか否かを示す応答を秘匿化部423へ送信する(ステップ2016)。日時管理部701は、秘匿化目標日時が秘匿化完了日時よりも後である場合、秘匿化処理を実施すると判定し、秘匿化目標日時が秘匿化完了日時以前である場合、秘匿化処理を実施しないと判定する。
次に、秘匿化部423は、日時管理部701から受信した応答をチェックし(ステップ2017)、秘匿化処理を実施する場合(ステップ2017,YES)、バックアップストレージ装置631−1に対するコネクションを確立する(ステップ2018)。一方、秘匿化処理を実施しない場合(ステップ2017,NO)、秘匿化部423は、処理を終了する。
次に、秘匿化部423は、日時管理部701を介して日時テーブル712から、病院Aの病院IDに対応する秘匿化完了日時を取得する(ステップ2021)。そして、秘匿化部423は、バックアップDB653−1の個人情報664−1から、更新日時が秘匿化完了日時よりも新しいエントリを検索し(ステップ2022)、そのようなエントリが存在するか否かをチェックする(ステップ2023)。
秘匿化完了日時よりも新しいエントリが存在する場合(ステップ2023,YES)、秘匿化部423は、個人情報664−1からそのエントリを取得する(ステップ2024)。そして、秘匿化部423は、病院Aの変換プログラムを用いて、取得したエントリのデータ形式を統一データ形式へ変換する(ステップ2025)。
一方、秘匿化完了日時よりも新しいエントリが存在しない場合(ステップ2023,NO)、秘匿化部423は、処理完了通知を日時管理部701へ送信して(ステップ2026)、処理を終了する。そして、日時管理部701は、日時テーブル712の病院Aの病院IDに対応する処理完了フラグに“true”を設定する(ステップ2027)。
ステップ2025の処理を行った後、秘匿化部423は、取得したエントリに含まれる個人IDを用いて、識別情報付与部422に対して個人IDに対応する共通IDを問い合わせる(ステップ2031)。
識別情報付与部422は、IDテーブル711から、個人IDに対応する共通IDを検索し(ステップ2032)、その共通IDが存在するか否かをチェックする(ステップ2033)。個人IDに対応する共通IDが存在する場合(ステップ2033,YES)、識別情報付与部422は、その共通IDを秘匿化部423に通知する(ステップ2034)。
一方、個人IDに対応する共通IDが存在しない場合(ステップ2033,NO)、識別情報付与部422は、その個人IDに対して新たな共通IDを付与する(ステップ2035)。そして、識別情報付与部422は、その個人IDと付与した共通IDとの対応関係をIDテーブル711に登録し(ステップ2036)、付与した共通IDを秘匿化部423に通知する(ステップ2034)。
次に、秘匿化部423は、識別情報付与部422から通知された共通IDを、取得したエントリに設定する(ステップ2037)。そして、秘匿化部423は、バックアップDB654−1から、取得したエントリに対応する患者の秘匿化項目情報665−1を取得して(ステップ2038)、項目毎に記号が“○”であるか否かをチェックする(ステップ2041)。
記号が“○”である場合(ステップ2041,YES)、秘匿化部423は、エントリに含まれるその項目の情報をそのまま転送部702へ転送する(ステップ2042)。そして、転送部702は、受信した情報に病院IDを付与して、解析システム613の収集ストレージ装置643へ転送する(ステップ2043)。一方、記号が“○”ではない場合(ステップ2041,NO)、秘匿化部423は、記号が“△”であるか否かをチェックする(ステップ2044)。
記号が“△”である場合(ステップ2044,YES)、秘匿化部423は、加工テーブル714を取得し(ステップ2045)、エントリに含まれるその項目の情報を、加工テーブル714を用いて簡略化された情報に変換する(ステップ2046)。そして、秘匿化部423は、変換後の情報を転送部702へ転送し(ステップ2047)、転送部702は、受信した情報に病院IDを付与して、収集ストレージ装置643へ転送する(ステップ2048)。
一方、記号が“△”ではない場合(ステップ2044,NO)、秘匿化部423は、エントリに含まれるその項目の情報を、秘匿化されていることを示すデータに変換する(ステップ2049)。そして、秘匿化部423は、変換後の情報を転送部702へ転送し(ステップ2050)、転送部702は、受信した情報に病院IDを付与して、収集ストレージ装置643へ転送する(ステップ2051)。
収集ストレージ装置643は、転送部702から受信した各項目の情報及び病院IDを、個人情報664−1に対応する秘匿化個人情報666のエントリとして、収集DB655に格納する。
次に、秘匿化部423は、日時テーブル712の更新要求を日時管理部701へ送信する(ステップ2052)。このとき、日時管理部701は、転送が完了したエントリの更新日時のうち最も遅い更新日時を、日時テーブル712の病院Aの病院IDに対応する秘匿化完了日時に設定する。最も遅い更新日時を有するエントリが複数個存在する場合、日時管理部701は、転送が完了したエントリの順位を表す番号を、設定した秘匿化完了日時に対応する同時刻連番に設定する。
次に、秘匿化部423は、ステップ2014以降の処理を繰り返す。そして、秘匿化処理を実施しないことを示す応答を受信した場合(ステップ2017,NO)、又は秘匿化完了日時よりも新しいエントリが存在しない場合(ステップ2023,NO)、秘匿化部423は、処理を終了する。
病院Bの個人情報664−2に対しても、図20A〜図20Cと同様の情報秘匿化シーケンスによって秘匿化処理が行われ、秘匿化された個人情報664−2が秘匿化個人情報666に追加される。
図21は、モードM1における情報解析シーケンスの例を示している。解析システム613のPC642内には、解析アプリケーション2101がインストールされている。まず、解析アプリケーション2101は、情報解析機関の解析者の操作に基づいて、収集ストレージ装置643の収集DB655から、秘匿化個人情報666を取得する(ステップ2111)。次に、解析アプリケーション2101は、解析者の操作に基づいて、秘匿化個人情報666を解析し(ステップ2112)、解析結果2102をサーバ641に格納する(ステップ2113)。
図22A〜図22Cは、モードM2における動作シーケンスの例を示している。まず、解析システム613の解析アプリケーション2101は、情報解析機関の解析者の操作に基づいて、収集DB生成要求を収集ストレージ装置643へ送信する(ステップ2211)。収集ストレージ装置643は、収集DB656を生成する(ステップ2212)。
次に、解析アプリケーション2101は、解析者の操作に基づいて、加工テーブル715を生成して、収集ストレージ装置643へ送信する(ステップ2213)。収集ストレージ装置643は、受信した加工テーブル715を格納する(ステップ2214)。
次に、解析アプリケーション2101は、解析者の操作に基づいて、秘匿化項目情報716を生成して、収集ストレージ装置643へ送信する(ステップ2215)。収集ストレージ装置643は、受信した秘匿化項目情報716を格納する(ステップ2216)。
次に、解析アプリケーション2101は、解析者の操作に基づいて、加工テーブル715及び秘匿化項目情報716とともに、収集期間を含む情報提供依頼をバックアップシステム612のサーバ632へ送信する(ステップ2217)。
サーバ632の秘匿化部423は、モードM1における各病院の秘匿化処理を中断して(ステップ2218)、秘匿化処理で参照する加工テーブルを、加工テーブル714から加工テーブル715へ切り替える(ステップ2219)。次に、秘匿化部423は、秘匿化処理で参照する秘匿化項目情報を、秘匿化項目情報665−iから秘匿化項目情報716へ切り替える(ステップ2220)。
次に、秘匿化部423は、秘匿化処理で参照する日時テーブルを、日時テーブル712から日時テーブル713へ切り替える(ステップ2221)。このとき、日時管理部701は、情報提供依頼に含まれる収集期間の収集開始日時よりも前の日時を、日時テーブル713の各病院の秘匿化完了日時に設定し、収集終了日時を各病院の秘匿化目標日時に設定する。そして、日時管理部701は、各病院の処理完了フラグに“false”を設定する。
次に、秘匿化部423は、秘匿化個人情報の転送先を、収集DB655から収集DB656へ切り替える(ステップ2222)。
次に、解析システム613のサーバ641は、バックアップDB653−1の最新化依頼をバックアップシステム612へ送信し(ステップ2231)、転送部702は、最新化依頼を病院Aの病院システム611−1へ転送する。
病院システム611−1のサーバ623−1は、バックアップDB653−1の最新化が可能か否かを判定する(ステップ2232)。サーバ623−1は、バックアップDB653−1の個人情報664−1が最新ではなく、かつ、個人情報664−1のバックアップが即時可能である場合、最新化が可能であると判定する。また、サーバ623−1は、バックアップDB653−1の個人情報664−1が最新である場合、又は、個人情報664−1のバックアップが即時可能ではない場合、最新化が不可能であると判定する。
最新化が可能である場合(ステップ2232,YES)、サーバ623−1は、個人情報662−1のバックアップ指示を運用ストレージ装置624−1へ送信する(ステップ2233)。そして、運用ストレージ装置624−1は、個人情報662−1の複製を、個人情報664−1としてバックアップストレージ装置631−1のバックアップDB653−1に書き込む(ステップ2234)。
次に、サーバ623−1は、秘匿化項目情報663−1のバックアップ指示を運用ストレージ装置624−1へ送信する(ステップ2235)。そして、運用ストレージ装置624−1は、秘匿化項目情報663−1の複製を、秘匿化項目情報665−1としてバックアップストレージ装置631−1のバックアップDB654−1に書き込む(ステップ2236)。
そして、サーバ623−1は、最新化完了を示す応答をサーバ641へ送信する(ステップ2237)。一方、最新化が不可能である場合(ステップ2232,NO)、サーバ623−1は、直ちに、最新化完了を示す応答をサーバ641へ送信する(ステップ2237)。
次に、サーバ641は、収集ストレージ装置643及びサーバ632に対して、収集DB656と秘匿化部423との間のコネクションの確立を指示する(ステップ2241)。そして、収集ストレージ装置643は、収集DB656と秘匿化部423との間のコネクションを確立し(ステップ2242)、サーバ632も、収集DB656と秘匿化部423との間のコネクションを確立する(ステップ2243)。
次に、秘匿化部423は、データ形式変換処理を行い(ステップ2251)、共通ID設定処理を行い(ステップ2252)、秘匿化項目情報716を取得して(ステップ2253)、秘匿化処理を行う(ステップ2254)。
ステップ2251では、図20Aのステップ2014〜図20Bのステップ2027と同様の処理が行われ、ステップ2252では、図20Bのステップ2031〜ステップ2037と同様の処理が行われる。また、ステップ2254では、図20Cのステップ2041〜ステップ2052と同様の処理が行われ、ステップ2052の処理の後、ステップ2014以降の処理が繰り返される。これにより、秘匿化された個人情報664−1が、秘匿化個人情報667として収集DB656に格納される。
そして、収集期間に対応するエントリの秘匿化処理が終了すると、秘匿化部423は、病院Aの個人情報664−1に対する秘匿化処理の完了を、解析システム613のPC642に通知する。
病院Bの個人情報664−2に対しても、図22Bと同様の動作シーケンスによって秘匿化処理が行われ、秘匿化された個人情報664−2が秘匿化個人情報667に追加される。
すべての病院の個人情報664−iに対する秘匿化処理が完了すると、解析アプリケーション2101は、解析者の操作に基づいて、収集ストレージ装置643の収集DB656から、秘匿化個人情報667を取得し(ステップ2261)、収集完了通知をサーバ632へ送信する(ステップ2262)。次に、解析アプリケーション2101は、解析者の操作に基づいて、秘匿化個人情報667を解析し(ステップ2263)、解析結果2201をサーバ641に格納する(ステップ2264)。
収集完了通知を受信したサーバ632の秘匿化部423は、秘匿化個人情報の転送先を、収集DB656から元の収集DB655へ切り替える(ステップ2271)。次に、秘匿化部423は、秘匿化処理で参照する加工テーブルを、加工テーブル715から元の加工テーブル714へ切り替える(ステップ2272)。
次に、秘匿化部423は、秘匿化処理で参照する秘匿化項目情報を、秘匿化項目情報716から元の秘匿化項目情報665−iへ切り替える(ステップ2273)。次に、秘匿化部423は、秘匿化処理で参照する日時テーブルを、日時テーブル713から元の日時テーブル712へ切り替える(ステップ2274)。
次に、秘匿化部423は、日時管理部701に対して、モードM1における秘匿化処理を中断した箇所を問い合わせる(ステップ2275)。日時管理部701は、日時テーブル712を参照して、処理完了フラグに“false”が設定されているエントリを検索する。そして、日時管理部701は、検索したエントリの病院ID、秘匿化完了日時、及び同時刻連番を含む応答を、秘匿化部423へ送信する(ステップ2276)。
処理完了フラグに“false”が設定されている病院は、モードM1における秘匿化処理を中断した病院に対応し、秘匿化完了日時及び同時刻連番は、その病院の個人情報664−iにおける中断箇所を表している。
秘匿化部423は、応答に含まれる病院IDが示す病院の個人情報664−iのうち、応答に含まれる秘匿化完了日時以降の更新日時を有するエントリを対象として、モードM1における秘匿化処理を再開する(ステップ2277)。この場合、図20Bのステップ2021以降の処理が再開される。
秘匿化完了日時と同じ更新日時を有するエントリが複数個存在する場合は、同時刻連番が示す順位の次のエントリから、秘匿化処理が再開される。一方、秘匿化完了日時と同じ更新日時を有するエントリが1個のみ存在する場合は、次の更新日時を有するエントリから、秘匿化処理が再開される。
ところで、図6の情報処理システム601において、図7のIDテーブル711、日時テーブル712、日時テーブル713、加工テーブル714、加工テーブル715、及び秘匿化項目情報716は、共有リソースである。モードM1及びモードM2において、サーバ632は、これらの共有リソースにアクセスしながら、複数の病院の個人情報664−iに対する秘匿化処理を行う。
特に、情報解析機関からの緊急の依頼に基づいてモードM2の動作を行う場合、サーバ632は、共有リソースにアクセスしながら、複数の病院の個人情報664−iに対する秘匿化処理を並列に行うことになる。処理対象の病院の数が少ない場合は、問題が生じないかもしれないが、病院の数が多い場合は、これらの共有リソースに対するアクセスが集中して、処理が遅延する可能性がある。
そこで、各病院の秘匿化処理を行う仮想マシン(VM)を、複数の物理サーバ又はクラウド上に配置することが考えられる。この場合、IDテーブル711以外の共有リソースは病院間で同期する必要がないため、日時テーブル712、日時テーブル713、加工テーブル714、加工テーブル715、及び秘匿化項目情報716を、各病院のVM内に配置することができる。一方、IDテーブル711の情報は、病院間で同期することが望ましいため、VMとは別の物理サーバに配置される。
図23は、このような第2の情報処理システムの構成例を示している。図23の情報処理システム2301は、ストレージ装置2311−1〜ストレージ装置2311−N(Nは2以上の整数)、情報処理装置2312−1〜情報処理装置2312−N、及び識別情報管理装置2313を含む。各情報処理装置2312−j(j=1〜N)は、受信部2321−j及び秘匿化部2322−jを含む。
ストレージ装置2311−1〜ストレージ装置2311−Nは、N個の情報提供機関それぞれのN個の運用データベースから転送される個人情報を格納する。情報処理装置2312−jの受信部2321−jは、複数の情報提供機関の間で共通して個人を識別する共通識別情報を、識別情報管理装置2313から受信する。秘匿化部2322−jは、共通識別情報を用いて秘匿化処理を行う。
図24は、図23の情報処理装置2312−jが行う第2の秘匿化処理の例を示すフローチャートである。まず、受信部2321−jは、N個の情報提供機関の間で共通して個人を識別する共通識別情報を、識別情報管理装置2313から受信する(ステップ2401)。
次に、秘匿化部2322−jは、j番目の情報提供機関の運用データベースからストレージ装置2311−jへ転送される個人情報に対して、受信した共通識別情報を設定する(ステップ2402)。そして、秘匿化部2322−jは、共通識別情報を設定した個人情報を秘匿化して、秘匿化個人情報を生成する(ステップ2403)。
このような情報処理システム2301によれば、複数の情報提供機関から収集した個人情報を秘匿化した秘匿化個人情報の中から、同じ人物の情報を特定することができる。
図25は、図23の情報処理システム2301の具体例を示している。図25の情報処理システム2501は、病院システム2511−1〜病院システム2511−M(MはN以上の整数)、バックアップシステム2512、及び解析システム2513を含む。
病院システム2511−i(i=1〜M)は、i番目の病院の病院システムであり、病院システム2511−iの構成は、図6の病院システム611−iと同様である。
バックアップシステム2512は、バックアップストレージ装置2521−1〜バックアップストレージ装置2521−M、サーバ2522−1〜サーバ2522−N、及びサーバ2523を含む。バックアップストレージ装置2521−iは、図23のストレージ装置2311−iに対応し、サーバ2522−jは、情報処理装置2312−jに対応し、サーバ2523は、識別情報管理装置2313に対応する。
バックアップストレージ装置2521−iの構成は、図6のバックアップストレージ装置631−iと同様である。
各サーバ2522−j内では、1つ以上の病院のVMが動作する。この例では、サーバ2522−1内で、1番目の病院のVM2524−1、2番目の病院のVM2524−2、及び3番目の病院のVM2524−3が動作している。サーバ2522−2内では、4番目の病院のVM2524−及び5番目の病院のVM2524−が動作し、サーバ2522−N内では、(M−1)番目の病院のVM2524−(M−1)及びM番目の病院のVM2524−Mが動作している。
サーバ2523は、識別情報付与部2525を含み、IDテーブル2526を記憶する。IDテーブル2526は、図7のIDテーブル711に対応する。
解析システム2513は、サーバ2531、PC2532、及び収集ストレージ装置2533を含む。収集ストレージ装置2533の構成は、図6の収集ストレージ装置643と同様である。収集ストレージ装置2533は、病院の数の増加に伴ってスケールアウトが可能である。
図26は、図25のVM2524−iの機能的構成例を示している。図26のVM2524−iは、秘匿化部2601、日時管理部2602、転送部2603、及びメモリ2604を含む。秘匿化部2601は、VM2524−iが実行するアプリケーションであり、図7の秘匿化部423及び図23の秘匿化部2322−iと同様の機能を提供する。日時管理部2602及び転送部2603も、VM2524−iが実行するアプリケーションであり、図7の日時管理部701及び転送部702それぞれと同様の機能を提供する。
メモリ2604は、サーバ2522−jの記憶部内の記憶領域に対応し、日時テーブル2611、日時テーブル2612、加工テーブル2613、加工テーブル2614、及び秘匿化項目情報2615を記憶する。
日時テーブル2611及び日時テーブル2612は、図7の日時テーブル712及び日時テーブル713にそれぞれ対応する。ただし、日時テーブル712及び日時テーブル713とは異なり、i番目の病院の個人情報664−iに対する秘匿化処理のエントリのみを含む。
図27は、図26の日時テーブル2611の例を示している。この例では、図13に示した日時テーブル712のエントリのうち、病院ID“100”のエントリのみが日時テーブル2611に含まれている。日時テーブル2612についても、日時テーブル2611と同様である。
加工テーブル2613、加工テーブル2614、及び秘匿化項目情報2615は、図7の加工テーブル714、加工テーブル715、及び秘匿化項目情報716にそれぞれ対応する。
図25の情報処理システム2501は、図6の情報処理システム601と同様に、各病院からの依頼に基づいて秘匿化処理を行うモードM1の動作と、情報解析機関からの依頼に基づいて秘匿化処理を行うモードM2の動作とを行うことができる。
このとき、病院システム2511−iは、図6の病院システム611−iと同様に動作し、バックアップシステム2512のバックアップストレージ装置2521−iは、バックアップストレージ装置631−iと同様に動作する。
VM2524−iの秘匿化部2601、日時管理部2602、及び転送部2603は、図7の秘匿化部423、日時管理部701、及び転送部702と同様の機能を提供する。サーバ2523の識別情報付与部2525は、識別情報付与部422と同様に動作する。
解析システム2513のサーバ2531、PC2532、及び収集ストレージ装置2533は、図6のサーバ641、PC642、及び収集ストレージ装置643と同様に動作する。
モードM1における動作シーケンスは、図19〜図21と同様であり、モードM2における動作シーケンスは、図22A〜図22Cと同様である。ただし、図20A〜図20Cの動作シーケンスにおいて、各VM2524−iの秘匿化部2601及び日時管理部2602は、メモリ2604が記憶している日時テーブル2611及び加工テーブル2613を用いて処理を行う。そして、秘匿化部2601は、IDテーブル2526を参照又は更新する際、サーバ2523にアクセスして識別情報付与部2525に処理を依頼する。
同様に、図22A〜図22Cの動作シーケンスにおいて、各VM2524−iの秘匿化部2601及び日時管理部2602は、メモリ2604が記憶している日時テーブル2612及び加工テーブル2614を用いて処理を行う。そして、秘匿化部2601は、IDテーブル2526を参照又は更新する際、サーバ2523にアクセスして識別情報付与部2525に処理を依頼する。
図25の情報処理システム2501によれば、各病院のVM2524−iが保持している個別リソースを用いて秘匿化処理が行われるため、処理対象の病院の数が多い場合であっても、複数の病院の秘匿化処理が遅延することなく並列に実行される。
また、各病院のVM2524−iが処理する個人情報664−iをパスワードによって保護することも可能である。この場合、悪意のある人物がパスワードを取得して、バックアップシステム2512内のいずれかのVM2524−iにアクセスした場合であっても、同じパスワードによる他のVM2524−iへのアクセスはブロックされる。したがって、図6の情報処理システム601よりもセキュリティが向上する。
なお、各病院のVM2524−iの代わりにコンテナ等を用いて、各病院の情報処理装置を仮想化してもよい。コンテナを用いた仮想化によって、秘匿化処理をさらに高速化することができる。
図6の情報処理システム601及び図25の情報処理システム2501において、情報提供機関は、患者の診察情報を提供する病院以外の機関であってもよい。例えば、顧客の購買情報を提供する店舗、生徒の成績情報を提供する学校、予備校等の教育機関、又は顧客の預金残高、取引実績等を提供する銀行等の金融機関を、情報提供機関の例として挙げることができる。
情報提供機関が店舗である場合、顧客の購買情報が個人情報として収集され、顧客の嗜好等を表す解析結果が、レストラン等の情報利用者に対して提供される。情報提供機関が教育機関である場合、生徒の成績情報が個人情報として収集され、科目毎の傾向等を表す解析結果が、教育資材製作会社等の情報利用者に対して提供される。情報提供機関が金融機関である場合、顧客の預金残高、取引実績等が個人情報として収集され、ローンの利用状況等を表す解析結果が、ローン会社等の情報利用者に対して提供される。
図4の情報処理システム401、図6の情報処理システム601、図23の情報処理システム2301、及び図25の情報処理システム2501の構成は一例に過ぎず、情報処理システムの用途又は条件に応じて一部の構成要素を省略又は変更してもよい。例えば、図6の情報処理システム601において、バックアップストレージ装置631−1がバックアップDB653−2及びバックアップDB654−2を格納できる場合は、バックアップストレージ装置631−2を省略することができる。
図7のサーバ632の構成は一例に過ぎず、情報処理システム601の用途又は条件に応じて一部の構成要素を省略又は変更してもよい。図26のVM2524−iの構成は一例に過ぎず、情報処理システム2501の用途又は条件に応じて一部の構成要素を省略又は変更してもよい。
図5及び図24のフローチャート及び図19〜図22Cの動作シーケンスは一例に過ぎず、情報処理システムの構成又は条件に応じて一部の処理を省略又は変更してもよい。例えば、モードM1の動作を行わない場合は、図19〜図21の動作シーケンスを省略することができ、モードM2の動作を行わない場合は、図22A〜図22Cの動作シーケンスを省略することができる。
図8及び図9の個人情報、図10及び図11の秘匿化項目情報、図15の加工テーブル、図16及び図17の秘匿化個人情報は一例に過ぎず、これらの情報は個人情報の内容に応じて変化する。図12のIDテーブルは一例に過ぎず、別の形式のIDテーブルを用いることもできる。例えば、マイナンバー以外の氏名、保険証ID等の情報を個人IDとして用いてもよい。図13、図14、及び図27の日時テーブルは一例に過ぎず、別の形式の日時テーブルを用いることもできる。図18のデータ形式を変換する処理は一例に過ぎず、データ形式は項目に応じて変化する。
図28は、図4の情報処理装置412、図7のサーバ632、図23の情報処理装置2312−j、図25のサーバ2522−j、及びサーバ2523として用いられる情報処理装置のハードウェア構成例を示している。図28の情報処理装置は、Central Processing Unit(CPU)2801、メモリ2802、入力装置2803、出力装置2804、補助記憶装置2805、媒体駆動装置2806、及びネットワーク接続装置2807を含む。これらの構成要素はバス2808により互いに接続されている。
メモリ2802は、例えば、Read Only Memory(ROM)、Random Access Memory(RAM)、フラッシュメモリ等の半導体メモリであり、処理に用いられるプログラム及びデータを格納する。メモリ2802は、図4及び図7の記憶部421として用いることができる。
CPU2801(プロセッサ)は、例えば、メモリ2802を利用してプログラムを実行することにより、図4及び図7の識別情報付与部422、秘匿化部423、及び図7の日時管理部701として動作する。CPU2801は、メモリ2802を利用してプログラムを実行することにより、図23の秘匿化部2322−j及び図25の識別情報付与部2525としても動作する。CPU2801は、メモリ2802を利用してプログラムを実行することにより、図26のVM2524−iを動作させる。
入力装置2803は、例えば、キーボード、ポインティングデバイス等であり、オペレータ又はユーザからの指示又は情報の入力に用いられる。出力装置2804は、例えば、表示装置、プリンタ、スピーカ等であり、オペレータ又はユーザに対する問い合わせ又は処理結果の出力に用いられる。
補助記憶装置2805は、例えば、磁気ディスク装置、光ディスク装置、光磁気ディスク装置、テープ装置等である。補助記憶装置2805は、ハードディスクドライブであってもよい。情報処理装置は、補助記憶装置2805にプログラム及びデータを格納しておき、それらをメモリ2802にロードして使用することができる。補助記憶装置2805は、図4及び図7の記憶部421として用いることができる。
媒体駆動装置2806は、可搬型記録媒体2809を駆動し、その記録内容にアクセスする。可搬型記録媒体2809は、メモリデバイス、フレキシブルディスク、光ディスク、光磁気ディスク等である。可搬型記録媒体2809は、DVD、Compact Disk Read Only Memory(CD−ROM)、Universal Serial Bus(USB)メモリ等であってもよい。オペレータ又はユーザは、この可搬型記録媒体2809にプログラム及びデータを格納しておき、それらをメモリ2802にロードして使用することができる。
このように、処理に用いられるプログラム及びデータを格納するコンピュータ読み取り可能な記録媒体は、メモリ2802、補助記憶装置2805、又は可搬型記録媒体2809のような、物理的な(非一時的な)記録媒体である。
ネットワーク接続装置2807は、LAN、Wide Area Network(WAN)等の通信ネットワークに接続され、通信に伴うデータ変換を行う通信インタフェースである。ネットワーク接続装置2807は、図7の転送部702及び図23の受信部2321−jとして用いることができる。情報処理装置は、プログラム及びデータを外部の装置からネットワーク接続装置2807を介して受信し、それらをメモリ2802にロードして使用することができる。
なお、情報処理装置が図28のすべての構成要素を含む必要はなく、用途又は条件に応じて一部の構成要素を省略することも可能である。例えば、オペレータ又はユーザからの指示又は情報を入力する必要がない場合は、入力装置2803を省略してもよく、オペレータ又はユーザに対する問い合わせ又は処理結果を出力する必要がない場合は、出力装置2804を省略してもよい。可搬型記録媒体2809を利用しない場合は、媒体駆動装置2806を省略してもよい。
図6のPC621−i、PC622−i、サーバ623−i、サーバ641、及びPC642としては、図28と同様の情報処理装置を用いることができる。図25のサーバ2531及びPC2532としても、図28と同様の情報処理装置を用いることができる。
開示の実施形態とその利点について詳しく説明したが、当業者は、特許請求の範囲に明確に記載した本発明の範囲から逸脱することなく、様々な変更、追加、省略をすることができるであろう。
図1乃至図28を参照しながら説明した実施形態に関し、さらに以下の付記を開示する。
(付記1)
複数の情報提供機関の間で共通して個人を識別する共通識別情報を記憶する記憶部と、
前記複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記共通識別情報を付与する識別情報付与部と、
前記共通識別情報が付与された前記個人情報を秘匿化して、秘匿化個人情報を生成する秘匿化部と、
を備えることを特徴とする情報処理装置。
(付記2)
前記記憶部は、前記個人情報に含まれる個人識別情報と前記共通識別情報とを対応付ける対応関係を記憶し、前記識別情報付与部は、前記対応関係によって前記個人識別情報に対応付けられた前記共通識別情報を、前記個人情報に対して付与し、前記秘匿化部は、前記個人情報に含まれる前記個人識別情報を秘匿化することを特徴とする付記1記載の情報処理装置。
(付記3)
前記ストレージ装置は、前記個人情報に含まれる複数の項目のうち秘匿化対象の項目を指定する秘匿化項目情報を記憶し、前記秘匿化部は、前記秘匿化項目情報が指定する前記秘匿化対象の項目の情報を秘匿化することを特徴とする付記1又は2記載の情報処理装置。
(付記4)
前記秘匿化項目情報は、前記秘匿化対象の項目のうち、情報を簡略化する処理の対象となる第1項目と、秘匿化されていることを示すデータに変換する処理の対象となる第2項目とを指定し、前記秘匿化部は、前記個人情報に含まれる前記第1項目の情報を簡略化し、前記個人情報に含まれる前記第2項目の情報を、前記秘匿化されていることを示すデータに変換することを特徴とする付記3記載の情報処理装置。
(付記5)
前記秘匿化個人情報を、情報解析機関が使用する収集ストレージ装置へ転送する転送部をさらに備え、
前記秘匿化部は、前記複数の情報提供機関各々からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第1の処理と、前記情報解析機関からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第2の処理とを行うことを特徴とする付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
前記秘匿化部は、前記第1の処理において前記複数の個人情報のうち所定の個人情報から前記秘匿化個人情報を生成した後に前記情報解析機関からの前記依頼を受信した場合、前記第1の処理を中断して前記第2の処理を開始し、前記第2の処理を完了した後、前記所定の個人情報の次の個人情報から前記第1の処理を再開することを特徴とする付記5記載の情報処理装置。
(付記7)
前記秘匿化部は、前記複数の運用データベースそれぞれにおける個人情報のデータ形式が異なる場合、前記複数の運用データベースから転送される前記個人情報のデータ形式を統一データ形式へ変換し、前記統一データ形式の個人情報から前記秘匿化個人情報を生成することを特徴とする付記1乃至6のいずれか1項に記載の情報処理装置。
(付記8)
複数の情報提供機関それぞれの複数の運用データベースから転送される個人情報を格納するストレージ装置と、
前記ストレージ装置に格納された前記個人情報に対して、前記複数の情報提供機関の間で共通して個人を識別する共通識別情報を付与し、前記共通識別情報が付与された前記個人情報を秘匿化して、秘匿化個人情報を生成する情報処理装置と、
を備えることを特徴とする情報処理システム。
(付記9)
複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記複数の情報提供機関の間で共通して個人を識別する共通識別情報を付与し、
前記共通識別情報が付与された前記個人情報を秘匿化して、秘匿化個人情報を生成する、
処理をコンピュータに実行させるプログラム。
(付記10)
前記コンピュータは、前記個人情報に含まれる個人識別情報と前記共通識別情報とを対応付ける対応関係を記憶し、前記対応関係によって前記個人識別情報に対応付けられた前記共通識別情報を、前記個人情報に対して付与し、前記個人情報に含まれる前記個人識別情報を秘匿化することを特徴とする付記9記載のプログラム。
(付記11)
前記ストレージ装置は、前記個人情報に含まれる複数の項目のうち秘匿化対象の項目を指定する秘匿化項目情報を記憶し、前記コンピュータは、前記秘匿化項目情報が指定する前記秘匿化対象の項目の情報を秘匿化することを特徴とする付記9又は10記載のプログラム。
(付記12)
コンピュータが、
複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記複数の情報提供機関の間で共通して個人を識別する共通識別情報を付与し、
前記共通識別情報が付与された前記個人情報を秘匿化して、秘匿化個人情報を生成する、
ことを特徴とする情報処理方法。
(付記13)
前記コンピュータは、前記個人情報に含まれる個人識別情報と前記共通識別情報とを対応付ける対応関係を記憶し、前記対応関係によって前記個人識別情報に対応付けられた前記共通識別情報を、前記個人情報に対して付与し、前記個人情報に含まれる前記個人識別情報を秘匿化することを特徴とする付記12記載の情報処理方法。
(付記14)
前記ストレージ装置は、前記個人情報に含まれる複数の項目のうち秘匿化対象の項目を指定する秘匿化項目情報を記憶し、前記コンピュータは、前記秘匿化項目情報が指定する前記秘匿化対象の項目の情報を秘匿化することを特徴とする付記12又は13記載の情報処理方法。
(付記15)
複数の情報提供機関の間で共通して個人を識別する共通識別情報を、識別情報管理装置から受信する受信部と、
前記複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記共通識別情報を設定し、前記共通識別情報を設定した前記個人情報を秘匿化して、秘匿化個人情報を生成する秘匿化部と、
を備えることを特徴とする情報処理装置。
(付記16)
前記識別情報管理装置は、前記個人情報に含まれる個人識別情報と前記共通識別情報とを対応付ける対応関係を記憶し、前記対応関係によって前記個人識別情報に対応付けられた前記共通識別情報を、前記個人情報に対して付与し、前記秘匿化部は、前記個人情報に含まれる前記個人識別情報を秘匿化することを特徴とする付記15記載の情報処理装置。
(付記17)
前記ストレージ装置は、前記個人情報に含まれる複数の項目のうち秘匿化対象の項目を指定する秘匿化項目情報を記憶し、前記秘匿化部は、前記秘匿化項目情報が指定する前記秘匿化対象の項目の情報を秘匿化することを特徴とする付記15又は16記載の情報処理装置。
(付記18)
複数の情報提供機関それぞれの複数の運用データベースから転送される個人情報を格納する複数のストレージ装置と、
前記複数のストレージ装置に格納された前記個人情報に対して、前記複数の情報提供機関の間で共通して個人を識別する共通識別情報を付与する識別情報管理装置と、
複数の情報処理装置とを備え、
前記複数の情報処理装置の各々は、前記識別情報管理装置から前記共通識別情報を受信し、前記個人情報に対して前記共通識別情報を設定し、前記共通識別情報を設定した前記個人情報を秘匿化して、秘匿化個人情報を生成する、
ことを特徴とする情報処理システム。
(付記19)
複数の情報提供機関の間で共通して個人を識別する共通識別情報を、識別情報管理装置から受信し、
前記複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記共通識別情報を設定し、
前記共通識別情報を設定した前記個人情報を秘匿化して、秘匿化個人情報を生成する、
処理をコンピュータに実行させるプログラム。
(付記20)
コンピュータが、
複数の情報提供機関の間で共通して個人を識別する共通識別情報を、識別情報管理装置から受信し、
前記複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記共通識別情報を設定し、
前記共通識別情報を設定した前記個人情報を秘匿化して、秘匿化個人情報を生成する、
ことを特徴とする情報処理方法。
101−1、101−2、611−1、611−2、2511−1〜2511−M 病院システム
102、613、2513 解析システム
111−1、111−2、112−1、112−2、122、621−1、621−2、622−1、622−2、642、2532 PC
113−1、113−2、121、623−1、623−2、632、641、2522−1〜2522−N、2523、2531 サーバ
114−1、114−2、624−1、624−2 運用ストレージ装置
115−1、115−2、631−1、631−2、2521−1〜2521−M バックアップストレージ装置
123、643、2533 収集ストレージ装置
131−1、131−2、651−1、651−2、652−1、652−2 運用DB
132−1、132−2、653−1、653−2、654−1、654−2 バックアップDB
133、655、656 収集DB
141−1、141−2 DVD
151−1、151−2、203−1、661−1、661−2 電子カルテ
201、202、1901、1902 電子カルテクライアント
301、2101 解析アプリケーション
302、2102、2201 解析結果
401、601、2301、2501 情報処理システム
411、2311−1〜2311−N ストレージ装置
412、2312−1〜2312−N 情報処理装置
421 記憶部
422、2525 識別情報付与部
423、2322−1〜2322−N、2601 秘匿化部
612、2512 バックアップシステム
662−1、662−2、664−1、664−2 個人情報
663−1、663−2、665−1、665−2、716、2615 秘匿化項目情報
666、667 秘匿化個人情報
701、2602 日時管理部
702、2603 転送部
711、2526 IDテーブル
712、713、2611、2612 日時テーブル
714、715、2613、2614 加工テーブル
2321−1〜2321−N 受信部
2313 識別情報管理装置
2524−1〜2524−M VM
2801 CPU
2802 メモリ
2803 入力装置
2804 出力装置
2805 補助記憶装置
2806 媒体駆動装置
2807 ネットワーク接続装置
2808 バス
2809 可搬型記録媒体

Claims (11)

  1. 複数の情報提供機関の間で共通して個人を識別する共通識別情報を記憶する記憶部と、
    前記複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記共通識別情報を付与する識別情報付与部と、
    前記共通識別情報が付与された前記個人情報を秘匿化して、秘匿化個人情報を生成する秘匿化部と、
    前記秘匿化個人情報を、情報解析機関が使用する収集ストレージ装置へ転送する転送部とを備え、
    前記秘匿化部は、前記複数の情報提供機関各々からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第1の処理と、前記情報解析機関からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第2の処理とを行い、前記第1の処理において前記複数の個人情報のうち所定の個人情報から前記秘匿化個人情報を生成した後に前記情報解析機関からの前記依頼を受信した場合、前記第1の処理を中断して前記第2の処理を開始し、前記第2の処理を完了した後、前記第1の処理の進捗情報から前記所定の個人情報を示す中断箇所を取得し、前記中断箇所が示す前記所定の個人情報の次の個人情報から前記第1の処理を再開することを特徴とする情報処理装置。
  2. 前記記憶部は、前記ストレージ装置へ転送される前記個人情報に含まれる個人識別情報と前記共通識別情報とを対応付ける対応関係を記憶し、前記識別情報付与部は、前記対応関係によって前記ストレージ装置へ転送される前記個人識別情報に対応付けられた前記共通識別情報を、前記ストレージ装置へ転送される前記個人情報に対して付与し、前記秘匿化部は、前記ストレージ装置へ転送される前記個人情報に含まれる前記個人識別情報を秘匿化することを特徴とする請求項1記載の情報処理装置。
  3. 前記ストレージ装置は、前記ストレージ装置へ転送される前記個人情報に含まれる複数の項目のうち秘匿化対象の項目を指定する秘匿化項目情報を記憶し、前記秘匿化部は、前記秘匿化項目情報が指定する前記秘匿化対象の項目の情報を秘匿化することを特徴とする請求項1又は2記載の情報処理装置。
  4. 前記秘匿化部は、前記複数の運用データベースそれぞれにおける個人情報のデータ形式が異なる場合、前記複数の運用データベースから転送される前記個人情報のデータ形式を統一データ形式へ変換し、前記統一データ形式の個人情報から前記秘匿化個人情報を生成することを特徴とする請求項1乃至のいずれか1項に記載の情報処理装置。
  5. 複数の情報提供機関それぞれの複数の運用データベースから転送される個人情報を格納するストレージ装置と、
    前記ストレージ装置に格納された前記個人情報に対して、前記複数の情報提供機関の間で共通して個人を識別する共通識別情報を付与し、前記共通識別情報が付与された前記個人情報を秘匿化して、秘匿化個人情報を生成し、前記秘匿化個人情報を、情報解析機関が使用する収集ストレージ装置へ転送する情報処理装置とを備え
    前記情報処理装置は、前記複数の情報提供機関各々からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第1の処理と、前記情報解析機関からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第2の処理とを行い、前記第1の処理において前記複数の個人情報のうち所定の個人情報から前記秘匿化個人情報を生成した後に前記情報解析機関からの前記依頼を受信した場合、前記第1の処理を中断して前記第2の処理を開始し、前記第2の処理を完了した後、前記第1の処理の進捗情報から前記所定の個人情報を示す中断箇所を取得し、前記中断箇所が示す前記所定の個人情報の次の個人情報から前記第1の処理を再開することを特徴とする情報処理システム。
  6. コンピュータのためのプログラムであって、
    前記プログラムは、
    複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記複数の情報提供機関の間で共通して個人を識別する共通識別情報を付与し、
    前記共通識別情報が付与された前記個人情報を秘匿化して、秘匿化個人情報を生成
    前記秘匿化個人情報を、情報解析機関が使用する収集ストレージ装置へ転送する、
    処理を前記コンピュータに実行させ、
    前記秘匿化個人情報を生成する処理は、前記複数の情報提供機関各々からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第1の処理と、前記情報解析機関からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第2の処理とを行い、前記第1の処理において前記複数の個人情報のうち所定の個人情報から前記秘匿化個人情報を生成した後に前記情報解析機関からの前記依頼を受信した場合、前記第1の処理を中断して前記第2の処理を開始し、前記第2の処理を完了した後、前記第1の処理の進捗情報から前記所定の個人情報を示す中断箇所を取得し、前記中断箇所が示す前記所定の個人情報の次の個人情報から前記第1の処理を再開する処理を含むことを特徴とするプログラム。
  7. コンピュータが、
    複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記複数の情報提供機関の間で共通して個人を識別する共通識別情報を付与し、
    前記共通識別情報が付与された前記個人情報を秘匿化して、秘匿化個人情報を生成
    前記秘匿化個人情報を、情報解析機関が使用する収集ストレージ装置へ転送し、
    前記秘匿化個人情報を生成する処理は、前記複数の情報提供機関各々からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第1の処理と、前記情報解析機関からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第2の処理とを行い、前記第1の処理において前記複数の個人情報のうち所定の個人情報から前記秘匿化個人情報を生成した後に前記情報解析機関からの前記依頼を受信した場合、前記第1の処理を中断して前記第2の処理を開始し、前記第2の処理を完了した後、前記第1の処理の進捗情報から前記所定の個人情報を示す中断箇所を取得し、前記中断箇所が示す前記所定の個人情報の次の個人情報から前記第1の処理を再開する処理を含むことを特徴とする情報処理方法。
  8. 複数の情報提供機関の間で共通して個人を識別する共通識別情報を、識別情報管理装置から受信する受信部と、
    前記複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記共通識別情報を設定し、前記共通識別情報を設定した前記個人情報を秘匿化して、秘匿化個人情報を生成する秘匿化部と、
    前記秘匿化個人情報を、情報解析機関が使用する収集ストレージ装置へ転送する転送部とを備え、
    前記秘匿化部は、前記複数の情報提供機関各々からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第1の処理と、前記情報解析機関からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第2の処理とを行い、前記第1の処理において前記複数の個人情報のうち所定の個人情報から前記秘匿化個人情報を生成した後に前記情報解析機関からの前記依頼を受信した場合、前記第1の処理を中断して前記第2の処理を開始し、前記第2の処理を完了した後、前記第1の処理の進捗情報から前記所定の個人情報を示す中断箇所を取得し、前記中断箇所が示す前記所定の個人情報の次の個人情報から前記第1の処理を再開することを特徴とする情報処理装置。
  9. 複数の情報提供機関それぞれの複数の運用データベースから転送される個人情報を格納する複数のストレージ装置と、
    前記複数のストレージ装置に格納された前記個人情報に対して、前記複数の情報提供機関の間で共通して個人を識別する共通識別情報を付与する識別情報管理装置と、
    複数の情報処理装置とを備え、
    前記複数の情報処理装置の各々は、前記識別情報管理装置から前記共通識別情報を受信し、前記個人情報に対して前記共通識別情報を設定し、前記共通識別情報を設定した前記個人情報を秘匿化して、秘匿化個人情報を生成し、前記秘匿化個人情報を、情報解析機関が使用する収集ストレージ装置へ転送し
    前記複数の情報処理装置の各々は、前記複数の情報提供機関各々からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第1の処理と、前記情報解析機関からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第2の処理とを行い、前記第1の処理において前記複数の個人情報のうち所定の個人情報から前記秘匿化個人情報を生成した後に前記情報解析機関からの前記依頼を受信した場合、前記第1の処理を中断して前記第2の処理を開始し、前記第2の処理を完了した後、前記第1の処理の進捗情報から前記所定の個人情報を示す中断箇所を取得し、前記中断箇所が示す前記所定の個人情報の次の個人情報から前記第1の処理を再開することを特徴とする情報処理システム。
  10. コンピュータのためのプログラムであって、
    前記プログラムは、
    複数の情報提供機関の間で共通して個人を識別する共通識別情報を、識別情報管理装置から受信し、
    前記複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記共通識別情報を設定し、
    前記共通識別情報を設定した前記個人情報を秘匿化して、秘匿化個人情報を生成
    前記秘匿化個人情報を、情報解析機関が使用する収集ストレージ装置へ転送する、
    処理を前記コンピュータに実行させ、
    前記秘匿化個人情報を生成する処理は、前記複数の情報提供機関各々からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第1の処理と、前記情報解析機関からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第2の処理とを行い、前記第1の処理において前記複数の個人情報のうち所定の個人情報から前記秘匿化個人情報を生成した後に前記情報解析機関からの前記依頼を受信した場合、前記第1の処理を中断して前記第2の処理を開始し、前記第2の処理を完了した後、前記第1の処理の進捗情報から前記所定の個人情報を示す中断箇所を取得し、前記中断箇所が示す前記所定の個人情報の次の個人情報から前記第1の処理を再開する処理を含むことを特徴とするプログラム。
  11. コンピュータが、
    複数の情報提供機関の間で共通して個人を識別する共通識別情報を、識別情報管理装置から受信し、
    前記複数の情報提供機関それぞれの複数の運用データベースからストレージ装置へ転送される個人情報に対して、前記共通識別情報を設定し、
    前記共通識別情報を設定した前記個人情報を秘匿化して、秘匿化個人情報を生成
    前記秘匿化個人情報を、情報解析機関が使用する収集ストレージ装置へ転送し、
    前記秘匿化個人情報を生成する処理は、前記複数の情報提供機関各々からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第1の処理と、前記情報解析機関からの依頼に基づいて、複数の個人情報それぞれから複数の秘匿化個人情報を生成する第2の処理とを行い、前記第1の処理において前記複数の個人情報のうち所定の個人情報から前記秘匿化個人情報を生成した後に前記情報解析機関からの前記依頼を受信した場合、前記第1の処理を中断して前記第2の処理を開始し、前記第2の処理を完了した後、前記第1の処理の進捗情報から前記所定の個人情報を示す中断箇所を取得し、前記中断箇所が示す前記所定の個人情報の次の個人情報から前記第1の処理を再開する処理を含むことを特徴とする情報処理方法。
JP2016213590A 2016-07-26 2016-10-31 情報処理装置、情報処理システム、プログラム、及び情報処理方法 Active JP6880656B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US15/630,995 US10540517B2 (en) 2016-07-26 2017-06-23 Information processing apparatus, information processing system and information processing method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016146434 2016-07-26
JP2016146434 2016-07-26

Publications (2)

Publication Number Publication Date
JP2018022461A JP2018022461A (ja) 2018-02-08
JP6880656B2 true JP6880656B2 (ja) 2021-06-02

Family

ID=61165878

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016213590A Active JP6880656B2 (ja) 2016-07-26 2016-10-31 情報処理装置、情報処理システム、プログラム、及び情報処理方法

Country Status (1)

Country Link
JP (1) JP6880656B2 (ja)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070192139A1 (en) * 2003-04-22 2007-08-16 Ammon Cookson Systems and methods for patient re-identification
US7543149B2 (en) * 2003-04-22 2009-06-02 Ge Medical Systems Information Technologies Inc. Method, system and computer product for securing patient identity
JP2007140647A (ja) * 2005-11-15 2007-06-07 Yamaguchi Univ 臨床研究支援システム
JP2007287102A (ja) * 2006-04-20 2007-11-01 Mitsubishi Electric Corp データ変換装置
JP5088201B2 (ja) * 2008-03-27 2012-12-05 日本電気株式会社 緊急時の該当者検索システム、その方法及びプログラム
JP2009266077A (ja) * 2008-04-28 2009-11-12 Seikatsu Kyodo Kumiai Coop Sapporo 電子カルテ管理サーバ、及び電子カルテ管理システム
JP5128002B1 (ja) * 2012-10-01 2013-01-23 株式会社テクノプロジェクト 医用画像交換システム及び画像中継サーバ
JP6890374B2 (ja) * 2014-08-25 2021-06-18 メディカルデータカード株式会社 共通する患者id番号を使用した医療・健康情報一元管理システム

Also Published As

Publication number Publication date
JP2018022461A (ja) 2018-02-08

Similar Documents

Publication Publication Date Title
US20180300506A1 (en) Information processing apparatus and information processing system
Schull et al. ICES: data, discovery, better health
US20200082933A1 (en) Pre-authorization process using blockchain
Njuguna Impact of health workers' strike in August 2014 on health services in Mombasa County Referral Hospital, Kenya
US20160306999A1 (en) Systems, methods, and computer-readable media for de-identifying information
Khakoo et al. Overcoming barriers to development of novel therapies for cardiovascular disease: Insights from the oncology drug development experience
Piccoli et al. Restricting human movement during the COVID-19 pandemic: new research avenues in the study of mobility, migration, and citizenship
US20180181771A1 (en) Information processing apparatus, information processing system and information processing method that generate confidentialized personal information
JP6880656B2 (ja) 情報処理装置、情報処理システム、プログラム、及び情報処理方法
JP2018028886A (ja) 情報処理装置、情報処理システム、プログラム、及び情報処理方法
Wikansari et al. What are the barriers to the implementation of electronic medical records? A review of recent studies
US20180232537A1 (en) Information processing apparatus and information processing method
US10540517B2 (en) Information processing apparatus, information processing system and information processing method
Santos-Pereira et al. Are the Healthcare Institutions Ready to Comply with Data Traceability Required by GDPR? A Case Study in a Portuguese Healthcare Organization.
Perkel Ways to avoid a data-storage disaster
Lele et al. Increased referrals to an Australian Consultation Liaison Psychiatry service during the COVID-19 pandemic
US20180046828A1 (en) Information processing apparatus, information processing system and information processing method
Chilunjika et al. Implementing e-Health initiatives in Zimbabwe’s public health sector
Martin et al. Importance of quality control in ‘big data’: implications for statistical inference of electronic health records in clinical cardiology
Iron et al. Health services data, sources and examples: the Institute for clinical evaluative sciences data repository
Lagoe et al. Analyzing hospital readmissions using statewide discharge databases
US20200027536A1 (en) Information processing system and information processing apparatus
Opuni et al. The Cost of Providing Comprehensive HIV Services to Key Populations: An Analysis of the LINKAGES Program in Kenya and Malawi
Rahimli et al. Research trend on cloud computing in Malaysian healthcare sector
JP6761771B2 (ja) 取引先名表示装置、取引先名表示方法及びプログラム

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170710

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190709

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200929

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201029

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20201029

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20201029

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210406

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210419

R150 Certificate of patent or registration of utility model

Ref document number: 6880656

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150