JPWO2002039341A1 - 匿名化方法及びそのシステム、並びに個人にかかる情報を匿名化して移送する方法及びそのシステム - Google Patents
匿名化方法及びそのシステム、並びに個人にかかる情報を匿名化して移送する方法及びそのシステム Download PDFInfo
- Publication number
- JPWO2002039341A1 JPWO2002039341A1 JP2002541590A JP2002541590A JPWO2002039341A1 JP WO2002039341 A1 JPWO2002039341 A1 JP WO2002039341A1 JP 2002541590 A JP2002541590 A JP 2002541590A JP 2002541590 A JP2002541590 A JP 2002541590A JP WO2002039341 A1 JPWO2002039341 A1 JP WO2002039341A1
- Authority
- JP
- Japan
- Prior art keywords
- identification information
- information
- instruction
- individual
- issuing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
- G16H10/40—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for data related to laboratory analysis, e.g. patient specimen analysis
Abstract
試料等提供者の診療情報と採取した検体との匿名化を図る。病院側の臨床検査部門の担当医は試料等提供者(患者)の患者情報を取得し、診療を行って患者情報及び診療情報を個人識別管理室の患者情報管理システムに記憶させる。病院側研究遂行者は研究側の研究責任者の指示の下、試料等提供者から同意を得、担当医が血液、血清等の1次検体(試料)を採取し、個人識別情報管理者がこれらの検体の検体番号(匿名前検体番号)に対して匿名化処理を行い、匿名化された検体番号(匿名検体番号)に対応するバーコードを検体を入れた容器に貼付する。匿名前検体番号と匿名検体番号とを結びつける連結可能匿名化対応表は、匿名化システムに保存される。匿名化された患者情報及び診療情報と、匿名化された検体は、研究部門に提供される。
Description
技術分野
本発明は、匿名化方法およびそのシステム、並びに個人情報にかかる情報を匿名化して移送する方法およびそのシステムに関し、特に、遺伝子解析研究に用いる試料を提供する試料等提供者の個人情報を匿名化して移送するための匿名化方法およびそのシステムに関する。
背景技術
現在、ゲノム配列決定は急速に進展しつつあり、枯草菌、大腸菌、らん藻、酵母などの微生物に続き、多細胞生物である線虫、さらにはショウジョウバエの全ゲノム配列もすでに決定した。ヒトのゲノム配列もドラフト配列が公開されている。このような状況のもとで、ゲノム研究の焦点は配列決定から多数の遺伝子群若しくはゲノム全体を対象に、道伝子発現を含むゲノム機能の解析や、個人間の多型の解析を中心としたいわゆるポスト・ゲノム研究に移りつつある。
特に、近年、ヒトの病気の原因解明、診断、治療・予防といった医療分野で最も注目されているのは、一塩基多型SNP(SINGLE NUCLEOTIDE POLYMORPHISM)である。SNPとは文字通り、DNA配列上一塩基の置換・挿入又は欠失による差異を意味する。ヒトの遺伝子塩基配列は、その99.9パーセント(%)が同一で、0.1%の違いがあると推定されている。従って、30億塩基対よりなるヒト・ゲノムの0.1%に相当する約100万乃至300万のSNP部位が予想されている。
SNPは、その数が非常に多いことから、各個人の遺伝的背景を個別化するのに最適であると考えられ、診療情報等と比較するアソシェーションスクディにより「体質」(ある病気へのかかりやすさや薬物応答性の違い)が同定できると期待されており、オーダーメード治療を受けることが可能となる。従って、医療機関で蓄積されてきた(又はこれから収集する)診療情報をゲノム研究側に提供することが今後の遺伝子解析にとって不可欠となっている。
発明の開示
発明が解決しようとする技術的課題
しかしながら、検体と患者情報及び診療情報をそのまま研究機関に提供すると、個人のプライバシーや人権が侵害される恐れがある課題があった。即ち、検体を提供した個人の情報と、その検体から解析された遺伝情報とが結びつけられ、就職、結婚、健康保険、生命保険などの社会的な差別が生じ、また現時点において予想のつかない様々な社会問題が生じる可能性もある。
本発明はこのような状況に鑑みてなされたものであり、病院側で検体と患者情報及び診療情報を匿名化しておき、研究機関において検体から得られた遺伝情報が特定の個人と結びつけられることがないようにし、個人の人権及びプライバシーを保護することができるようにするものである。
より具体的に詳述すると、検体及び患者についての情報の受け渡しに際しては、個人情報の漏洩の危険があるため、少なくとも検体乃至患者にかかる情報についての識別記号列に対し匿名化処理を施すことが不可避となる。
ところが、単純(例えば、ランダム)に匿名化処理を施したのでは、無意味な記号列となるために、操作者が個々の検体又は情報の判別が困難となり、操作ミス等にも気が付くことができなくなるという問題がある。
さらなる問題としては、一旦匿名化されると、検体や情報の相互の関連性を全く知ることができなくなる。この状態は、遺伝子解析研究にあって致命的である。すなわち、遺伝子解析研究にあっては、闇雲に検体の配列を特定していくことは現実的ではないことから、対応する患者の診療情報等を手がかりとして、遺伝子解析すべき部位等を予め絞り込む必要があるからである。
解決方法
前記本件における解決すべき課題は、次の第1の発明〜第5の発明とそれらの態様をさらに限定した発明によって、解決することができる。
まず、第1の発明は、個人にかかる情報の匿名化方法及びそのシステムであって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行するステップと、
前記第2の識別情報と1対1に対応し、第1の識別情報を類推不可能な第3の識別情報を生成するステップ、
該第2の識別情報と該第3の識別情報との対応情報を記憶するステップと
前記第2の情報に対する、第2の識別情報との関連付けを解消し、同時に前記第3の識別情報を関連付ける指示を発行するステップとを、
備えることを特徴とする個人にかかる情報の匿名化方法及びそのシステムである。
その他、本発明には、前記第1の発明における、
関連付けを、第2の情報を記録した媒体に対し、前記第2乃至第3の識別情報に対応するバーコードラベルを発行し、該ラベルを物理的に貼付することに限定し、
前記関連付けを解消することを、該ラベルを物理的に剥離することに限定し、
前記指示を発行することを、それら一連の操作についての指示を認識可能な形式にて表示することに限定した発明である。
または、本発明には、前記第1の発明における、関連付けを、第2の情報を、前記第2乃至第3の識別情報を検索子として検索可能に記憶することに限定し、
前記第2の識別情報との関連付けを解消し、同時に前記第3の識別情報との関連付けを指示するとは、第2の情報の検索子を第2の識別情報から第3の識別情報に変更して記憶し直すことに限定し、
前記指示を発行することを、それら一連の処理を実行することに限定したものも含まれる。
また、第2の発明は、個人情報を匿名化する方法およびそのシステムであって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第3の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の第3の情報が識別可能となるように生成するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付ける指示を発行するステップと
を備えることを特徴とする個人にかかる情報の匿名化方法およびそのシステムである。
さらに、本発明には、前記第2の発明において、
前記第2の情報が対応する個人についての診断所見情報であり、
前記第3の情報が対応する個人についての検体識別記号であり、
前記関連付けるとは、対応する識別情報を検索子として検索可能に記憶することであって、
前記第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付けるとは、第2並びに第3の情報の検索子を第2並びに第3の識別情報から第4並びに第5の識別情報に変更して記憶し直すことであり、
前記指示を発行するとは、それら一連の処理を実行することに限定したものも含まれる。
さらに、第3の発明は、個人にかかる情報の匿名化方法およびそのシステムであって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る診断所見情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
各診断所見情報を、該生成された第2の識別情報を検索子として記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る検体を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の検体が識別可能となるように生成するステップと、
各検体に対し、該生成された第3の識別情報との関連付けの指示を発行するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと前記診断所見情報に関する検索子を、第2の識別情報から第4の識別情報に変更して記憶し直す指示を発行するステップと、
前記検体に対する、第3の識別情報との関連付けを解消し、同時に第5の識別情報との関連付けの指示を発行するステップと、
を備えることを特徴とする個人にかかる情報の匿名化方法およびそのシステムである。
さらに、本発明には、前記第1〜第3の発明における、
前記対応情報についての記憶の一部又は全部を消去する連結不可能化の指示を発行するステップをさらに備えるものも含まれる。
一方、第4の発明は、個人にかかる情報を匿名化して移送する方法およびそのシステムであって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第3の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の第3の情報が識別可能となるように生成するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付ける指示を発行するステップと、
第4及び第5の識別情報と関連付けられた第2及び第3の情報を、所要の移送先に対し、移送することを指示するステップと、
移送された第2及び第3の情報を、第4及び第5の識別情報に関連付けて別途記憶するステップと
を備えることを特徴とする個人にかかる情報を匿名化して移送する方法およびそのシステムである。
また、本発明には、前記第4の発明における、
前記第2の情報が対応する個人についての診断所見情報であり、
前記第3の情報が対応する個人についての検体識別記号であり、
前記関連付けるとは、対応する識別情報を検索子として検索可能に記憶することであって、
前記第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付けるとは、第2並びに第3の情報の検索子を第2並びに第3の識別情報から第4並びに第5の識別情報に変更して記憶し直すことであり、
前記移送するとは、通信手段により、送受信することであり、
前記指示を発行するとは、それら一連の処理を実行することに限定したものも含まれる。
さらに、第5の発明は、個人にかかる情報を匿名化して移送する方法およびそのシステムであって、
個入の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る診断所見情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
各診断所見情報を、該生成された第2の識別情報を検索子として記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る検体を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の検体が識別可能となるように生成するステップと、
各検体に対し、該生成された第3の識別情報との関連付けの指示を発行するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと前記診断所見情報に関する検索子を、第2の識別情報から第4の識別情報に変更して記憶し直す指示を発行するステップと、
前記検体に対する、第3の識別情報との関連付けを解消し、同時に第5の識別情報との関連付けの指示を発行するステップと、
第4の識別情報を検索子として検索可能な診断情報と、第5の識別情報と関連付けられた検体とを、それぞれ共通の移送先に対する移送を指示するステップと、
移送された診断情報を第4の識別情報を検索子として別途記憶するステップと、
移送された検体に関連付けられた第5の識別情報を検出し、前記第4の識別情報に共通して含まれる、前記第1の識別情報に係る記号列に対応する記号列により、該検体に対応する診断情報を読み出す指示を発行するステップと
を備えることを特徴とする個人にかかる情報を匿名化して移送する方法およびそのシステムである。
加えて、本発明には、前記第5の発明における、前記対応情報についての記憶の一部又は全部を消去するステップをさらに備えることを限定したものも含まれる。
有利な効果
以上のとおり、本発明に係る匿名化システムおよび匿名化方法、並びに個人にかかる情報を匿名化して移送する方法及びそののシステムによれば、所定の個人に関する第1の情報を、個人の識別が可能な第1の識別情報に対応付けて記憶するステップと、個人に関する第2の情報を、第2の情報の識別が可能な第2の識別情報に対応付けて記憶するステップと、第1の識別情報と第2の識別情報とを対応付ける対応情報を記憶するステップと、必要に応じて、対応情報を削除し、第2の情報に対応する個人を特定できないように匿名化するようにしたので、対応情報を必要に応じて削除することにより、第2の情報が特定の個人および第1の情報と結びつけられることがないようにし、個人の人権及びプライバシーを保護することが可能となる。
したがって、匿名性を確保した上で、病院と研究所といった2つのシステムの間での検体や種々の情報のやり取りが可能となる。
以上のとおり、本発明は、確実な匿名化をした状態にあっても、個々の検体や情報の操作性や判別性を向上させ、操作ミス等を防止し、同時に、検体や情報に関する相互の関係の把握、すなわち、同一患者にかかる検体や情報の峻別を可能とするものである。
発明を実施するための最良の形態
本発明は、図1〜図3及び図7に記載されたとおり、匿名化システムと患者情報管理システムとを備えた病院側のシステムと、実験試料管理システムとゲノム基本データ管理システムを備えた研究所側のシステムから構成され、両者は、検体等の物流と患者についての情報の通信により、有機的に結合しているものである。
前記解決しようとする技術的課題は、具体的には、図6に記載した検体識別用の記号列を採用することによって、はじめて解消されるものである。
図6では、プロジェクト区分や検体区分等に関する情報は、操作者に有益である。しかも、日付や連番といった識別情報は、簡便であり操作性において有効である。場合によって、図3のような検体識別記号列を採用することが好ましい。すなわち、該記号列中に患者ID等の個人識別子にかかる記号列を含むことが有益である。
そもそも、情報の漏洩の危険は、検体等の相互の関連性を把握するために、匿名化処理の過程を遡ることができるようにしてあることに起因するものであるから、仮に、匿名化処理以降、二度と匿名化システムのあるホストにアクセスすることなく、以降の操作が行えるのであれば、該検体や情報にかかる個人が特定される危険は実質的に解消される。言い換えると、匿名化システムを含むホストにアクセスすることが許容されている限り、匿名化処理における匿名化の対応表が読み出される危険性を完全になくすことはできない。特に、病院と研究所といった複数の機関に跨って、検体や情報のやり取りがある場合には、外部の者がホストにアクセスできるようになることから、危険である。
そのための具体的手法としては、匿名化処理にかかる対応表自体を削除して、何人も匿名化の対応表にアクセスできないようにすれば、完全な匿名化が実現できる。検体の収集のやり方如何によっては、この方法は、確実な匿名化方法となる。これが、連結不可能な匿名化方法である。
しかし、この手法では、診断所見等を参照することができない上、同一患者にかかる複数の検体が時間差をもって採取された場合など検体相互の連関性を把握することができなくなるなど、通常の遺伝子解析研究においては不都合となることが多い。
そこで、このような不都合を発生させずに確実な匿名化を図るための手法としては、検体や情報の識別情報自体に、種々の付加情報を添えて送付するとともに、参照の予想される他の情報についても同様な匿名化処理を施して別途送付しておくという、いわゆるデータフロー型の送付制御を行うことが有効である。これにより、必要となる情報をホストにアクセスすることなくなり、必要となる相互の関連性についての情報や処理手順等の情報をローカルにて把握することが可能となる。
さらに、本発明の具体的システムについて、詳述する。
図1は、本発明の匿名化システムを含む遺伝子解析研究の手順を示している。
同図に示すように、病院側には臨床検査部門1があり、担当医が試料等提供者(患者)の患者情報を取得し、診療を行なって、患者情報及び診療情報を個人識別情報管理室2の患者情報管理システム3に供給し、記憶させる。また、病院側研究遂行者は、後述する研究側の研究責任者の指示の下、試料等提供者の同意を得た上で、担当医に対して試料等提供者から血液、血清、buffy coat、組織、細胞等の1次検体(試料)を採取するよう指示する。この指示を受けた担当医は、試料等提供者から血液、血清、buffy coat、組織、細胞等の1次検体(試料)を採取する。次に、これらの検体(試料)に付けられた検体番号に対して匿名化処理を行う。そして、匿名化された検体番号(匿名検体番号)に対応するバーコードが印刷されたラベルが、検体を入れた容器に貼付される。
検体に貼付された匿名化された検体番号(匿名検体番号)と、匿名化する前の検体番号(匿名前検体番号)とを結びつける連結可能匿名化対応表(コード表)は、匿名化システム4に保存されており、必要に応じて検体に対応する患者の情報を取得することができる。この連結可能匿名化対応表から所定の検体に対応するレコードを削除することにより、検体から試料等提供者を特定することができないようにする連結不可能匿名化を行うことができる。
匿名化された患者情報及び診療情報と、匿名化された検体(試料)は、研究側の研究部門5に提供される。このとき、患者情報及び診療情報は、フロッピーディスク等の記録媒体に記録して提供したり、例えば、DES(data encryption standard)等のアルゴリズムを用いて暗号化し、ネットワークを介して提供することもできる。勿論、暗号化の方法はDESに限定されるものではなく、その他の様々な方法で暗号化することができる。
上述した病院側研究遂行者に対して指示を与える研究側の研究責任者の上には、研究実施機関の長がおり、研究責任者は研究実施機関の長に対して研究計画書を提出する。研究実施機関の長は、この研究計画書の是非の判断を倫理委員会に委ねる。倫理委員会の承認が得られると、研究責任者は、研究計画書に従って研究を行うために、病院側研究遂行者に対して所定の指示を適宜行う。
図2は、図1に示した病院側の個人識別情報管理室2、及び研究側の研究部門5(実験室6及びゲノム解析室7からなる)の具体的な機器構成及びネットワーク構成の例を示すブロック図である。同図に示すように、個人識別情報管理室の患者情報管理システム3及び匿名化システム4は、患者情報を管理する処理及び匿名化処理を行うプログラム等を実行するためのWindows NTサーバ21(Windowsは、米国Microsoft corporationの米国およびその他の国における商標または登録商標)と、患者情報を管理する処理及び匿名化処理を行うプログラム等が記憶されるとともに、患者情報を記憶し、管理するRDBMS(relational database management system)が構築されたハードディスク等の記憶装置22と、バーコードをラベルに印刷するバーコードプリンタ(BP)又はラベルプリンタ)23等によって構成されている。そして、これらの機器はLAN(localarea network)によって接続されている。
一方、研究部門5は、実験室6とゲノム解析室7とから構成され、実験室6は、Windows NTサーバ61と、実験試料のデータが登録されたデータベースが構築された記憶装置62と、図示しない実験機器を制御するコントローラ63と、バーコードを印刷するバーコードプリンタ(BP)64と、シーケンサ65と、シーケンサ65を制御するパーソナルコンピュータ(PC)66と、AFFYMETRIX ARRAYER & GENEARRAY SCANNER(AFFYMETRIX、及びGENEARRAYは、米国AFFYMETRIX社の登録商標)67と、AFFYMETRIX ARRAYER &GENEARRAYSCANNER 67を制御するPC68と、バーコードを読み取り、対応するデークを出力するバーコードリーダ69とから構成されている。
また、ゲノム解析室7は、ゲノム解析を行うプログラムを実行するためのUNIXサーバ71と、ゲノム基本データを記憶する記憶装置721とから構成されている。そして、これらの機器は研究機関内のLANで接続されており、ファイアウォール(Fire Wall(FW))8を介してインターネット10に接続されている。また、研究機関内LANには、Proxyサーバ9が接続されている。
次に、図3を参照して、検体採取から匿名化された診療情報や患者情報等の患者関連情報の受け渡しまでの一連の処理の流れについて説明する。まず、臨床側(病院側)の担当医は、試料等提供者(患者)に対して診療を行い、診療情報を得る。そして、得られた診療情報(カルテ等)と、患者の氏名、生年月日、性別、住所、電話番号、指紋、カルテ番号等の、患者個人を識別するための個人識別情報と、疾病履歴等からなる患者情報を、患者情報管理システム3に登録する。
次に、臨床側研究遂行者(病院側研究遂行者)は、試料等提供者からインフォームド・コンセント(IC)を受ける(研究内容の十分な説明に基づく同意を得る)。
次に、臨床側研究遂行者の指示に基づいて担当医は、試料等提供者から血液、血清、buffy coat、組織、細胞等の1次検体(1次試料)を採取する。次に、図4に示すような採取情報登録画面に従って、採取した1次検体についての採取情報を登録する。例えば、プロジェクト名、チーム名、患者番号、担当医、検体番号、提供日時、検体区分、採取量、特記事項等の採取情報を入力し、プロジェクト名、チーム名、患者番号を患者情報管理システム3に登録する。そして、担当医、検体番号、提供日時、検体区分、採取量、特記事項等の採取情報を匿名化システム4に登録する。
次に、匿名化システム4は、採取された検体の検体番号に対して連結可能匿名化を行い、図5に示すような連結可能匿名化対応表(コード表)を作成し、記憶する。連結可能匿名化対応表には、匿名化した日を示す匿名化日と、検体番号(匿名化する前の匿名前検体番号)と、連結可能匿名化された検体番号である連結可能匿名化検体番号とが互いに対応付けられている。この例の場合、検体番号「0C00914101」に対応する連結可能匿名化検体番号は「A37330C01」である。また、検体番号「0S0091401」に対応する連結可能匿名化検体番号は「A57330S01」である。連結可能匿名化対応表は、必要に応じて暗号化することができる。
病院内では、患者情報や連結可能匿名化対応表等の各種情報がLAN(local area network)を介してやりとりされるので、患者情報や連結可能匿名化対応表等の情報を所定の方法で暗号化し、関係者以外の者に情報が漏洩しないようにすることができる。ここで、暗号化の方法は特に限定されない。
図6は、匿名前検体番号(匿名化する前の検体番号)と、匿名検体番号(連結可能匿名化検体番号)のフォーマットの例を示している。匿名前検体番号は、プロジェクト区分(PJ区分)(胃がん、肺がん等)、検体区分(血液、細胞等)、採取した日付、連番等により構成され、連結可能匿名化検体番号は、機関区分(病院の識別番号(例えば、A:国立がんセンタ、B:国立精神・神経センタ、C:国立循環器病センタ、D:国立国際医療センタ、E:国立小児病院、F:国立医薬品食品衛生研究所))、検体番号、検体区分、連番により構成されている。機関区分と検体番号を合わせた上位5桁で匿名化患者IDを構成する。この匿名化患者IDは各機関で共通である。
また、図7に示すように、検体区分「0B」は血液(検体種別は1次検体)、「0S」は皮膚(検体種別は1次検体)、「0O」は臓器(検体種別は1次検体)、「0C」は細胞(検体種別は2次検体)、「0U」は培養細胞(検体種別は2次検体)、「0T」は刺激細胞(検体種別は2,3次検体)、「0R」はmRNA(メッセ ジャーRNA)(検体種別は2,3次検体)、「0D」はcDNA(complementary DNA(相補的DNA))(検体種別は2,3次検体)、「0G」はゲ′ノムDNA(検体種別は2,3次検体)をそれぞれ表している。
なお、この事例では、日付と連番をもって、第1識別情報として、氏名等の個人に関する情報と対応付けを行うことになり、その日付と連番に係る記号列が第2の識別情報である匿名化前の検体識別用の記号列に共有される。もちろん、この日付と連番の他にも、例えば、患者番号等の個人IDを第1の識別情報として、これらに係る記号列を第2の識別情報に共有させることができることはいうまでもない。
匿名前検体番号は、病院側管理ID(例えば、カルテ番号)と一対多の関係にあり、同一患者の複数検体は9桁のうちの最後2桁の連番によって区別可能である。匿名化後検体番号(匿名検体番号)のうち、患者に対応する番号(4桁(上位5桁のうちの最初の1桁を除く4桁))はラングムな数字(アルファベットを含む)が割り当てられる。なお、連結可能匿名化の場合、同二患者には同一番号が割り当てられる。
匿名化システム4は、図6に示したフォーマットに従って、匿名前検体番号を匿名検体番号(連結可能匿名化検体番号)に変換する。連結可能匿名化検体番号から検体番号への変換は、図5に示した連結可能匿名化対応表に基づいて行うことができる。
図5に示した連結可能匿名化対応表は、病院側の個人識別情報管理室2の個人識別情報管理者のみアクセス可能とし、連結可能匿名化対応表を開覧したことを示す閲覧履歴をログとして残すようにするなどして、外部への情報の漏洩を抑制するととともに、万一情報が外部に漏洩した場合でも、いつ、誰が情報を持ち出したのか特定できるようにする。さらに、連結可能匿名化対応表の関覧は、例えば、1日あたり(又は1回あたり)10件に制限するなどして、一度に大量のデークを閲覧することができないようにすることにより、被害を最小限に抑えるようにすることもできる。また、連結可能匿名化対応表を印刷するために印刷を指示する操作を行ったことをログとして残すようにすることもできる。
図8は、匿名化システム4におけるユーザ認証画面を示している。個人識別情報管理者は、連結可能匿名化対応表等を聞覧する場合、プロジェクトID、チームID、ユーザID、パスヮードを入力する。そして、ユーザ認証の結果、個人識別情報管理者本人であることが認証されると、個人識別情報管理者の権限でログインすることができる。また、図示せぬ指紋読み取り機を用いて、指紋照合を行うことにより、ユーザ認証を行うようにすることも可能である。指紋に限らず、虹彩等のバイオメトリクスによるユーザ認証も可能である。また、連結可能匿名化対応表を、個人識別情報管理者のみが知る方法で暗号化し、記憶させるようにすることもできる。これにより、外部への情報の漏洩をさらに抑制することができる。
匿名化システム4は、検体番号の連結可能匿名化を行うことにより得られた連結可能匿名化検体番号(匿名検体番号)を示すバーコードを生成し、バーコードプリンタ23によリラベル等の印刷媒体に印刷することができる。
図9は、連結可能匿名化を指示する画面例を示している。同図に示すように、採取した検体に関するデータを、検体を提供した提供日、患者番号、患者名(検体番号、検体区分(腎臓、心臓等)に基づいて検索し、連結可能匿名化したい検体に対応する選択本関をマウス等を用いてクリックすることにより選択する。そして、「連結可能匿名化実行」ボタンをマウス等を用いてクリックすることにより、連結可能匿名化処理の実行を指示する。このとき、同時に連結可能匿名化検体番号を示すバーコードの印刷が開始され、図10に示すように、バーコードのイメージが画面に表示される。
上記バーコードが印刷されたラベルは、個人識別情報管理者によって対応する検体の容器に貼付される。その後、連結可能匿名化検体番号を示すバーコードが印刷されたラベルが貼付された検体は、研究部門5に提供される。
次に、患者情報管理システム3に登録された患者情報(患者関連情報)をダウンロードする。その場合、図11に示すように、連結可能匿名化済患者一覧表を画面に表示させる。連結可能匿名化済患者一覧表には、各レコード毎に、選択欄と、提供日と、連結可能匿名化検体番号が表示される。次に、その中から所望の連結可能匿名化検体番号を、対応する選択欄をマウス等を用いてクリックすることにより選択する。これにより、連結可能匿名化、又は連結不可能匿名化を行った検体の診療情報(患者情報)をグウンロードすることができる。
次に、患者情報の匿名化を行う。患者情報の匿名化は、患者情報の中の、患者個人を識別可能な項目を削除又は加工することによって行うことができる。例えば、患者の氏名、住所を患者情報から削除すれば、患者個人を識別することは困難となる。また、生年月日を削除すれば、さらに患者個人を識別することは困難となる。或いは、氏名、住所、電話番号、指紋、カルテ番号等のすべての項目を患者情報から完全に削除すれば、患者個人を識別することが不可能となる。或いは、生年月日のうちの日のみを削除して生年月とする。又は、生年月日を実年齢を示すデータに変換する。このようにして患者情報を匿名化する。
その後、必要に応じて患者情報を暗号化する。暗号化した患者情報は、フロッピーディスク等の記録媒体に記録され、研究側に提供される。或いは、インターネット等の所定のネットヮークを介して研究側に提供される。研究側に提供された暗号化された患者情報は、暗号化されたまま、或いは復号化された後、所定の記憶装置に登録され、記憶される。
一旦、研究側に渡った検体を一括して連結不可能匿名化する場合、図12に示すように、まず、運結不可能匿名化したい検体を病院側に渡す。次に、検体に貼付されているラベルに印刷されたバーコードを読み取り、連結可能匿名化済検体番号(匿名検体番号の上位5桁の匿名化患者ID)を入力し、検体数を入力すると、図12に示すように、該当する連結可能匿名化検体番号が画面に表示される。
次に、「連結不可能匿名化実行」ボタンをクリックすると、確認画面が表示されるので、再度、「連結不可能匿名化実行」ボタンをクリックすると、連結不可能匿名化処理が実行される。具体的には、図5に示した連結可能匿名化対応表の対応するレコードが削除され、匿名検体番号の振り直しが行われるとともに、新たに振り直しが行われた匿名検体番号を示すバーコードがラベルに印刷される。匿名検体番号の振り直しは次のようにして行う。まず、図6の4桁の検体番号をラングムに発生させて、機関区分、検体区分、及び連番を付加して匿名検体番号を生成し、その匿名検体番号がすでに存在する匿名検体番号と重複するか否かを判断する。重複する場合は上述した処理を繰り返す。そして、生成した匿名検体番号がすでに存在する匿名検体番号と重複しない場合、その匿名検体番号を新たな匿名検体番号とする。個人識別情報管理者は連結可能匿名化番号が印刷されたラベルを検体を入れた容器から剥がし、新たに生成された匿名検体番号が印刷されたラベルを検体の容器に貼り付け、研究側に提供する。
「連絡不可能匿名化実行」ボタンをクリックする前に、診療情報のグウンロードをするように指定しておけば、自動的に患者情報管理システム3に記憶されている診療情報を含む患者情報がグウンロードされる。患者情報は上述した場合と同様の方法で匿名化され、必要に応じて暗号化された後、フロッピーディスク等の記録媒体に記録されて研究側に提供される。或いは、インターネット等のネットワークを介して研究側に提供される。
病院側から研究側に提供された検体は、バーコードリーダ69によって検体に貼り付けられたラベルに印刷されたバーコードの情報(匿名検体番号)が読み取られ、患者情報と関連付けられる。即ち、バーコードリーダ69によって読み取られた検体の匿名検体番号の匿名化患者ID(匿名検体番号の上位5桁)と、各患者情報に含まれる匿名化患者IDによって互いに関連付けられる。即ち、患者情報は匿名化患者IDによって管理されている。従って、連結不可能匿名化が行われても、検体に対応する診療情報を得ることができ、その後の研究に利用することができる。
また、予め採取された検体と、その検体を提供した提供者の診療情報とが既に所定の場所に存在する場合において、その検体を連結可能匿名化するときは、上述した場合と同様にして、検体に貼り付けられたラベルに印刷されたバーコードによって表される検体番号(匿名前検体番号)に対応する匿名検体番号を生成するとともに、連結可能匿名化対応表を作成し、匿名化システム4等に保存する。上記所定の場所は、例えば、病院側で採取された検体及び診療情報をセットにして保存し、必要に応じて保存している検体及び診療情報を所定の研究機関に提供する細胞バンクなどが考えられる。
連結可能匿名化された上記検体を連結不可能匿名化するときは、図12に示すように、まず、検体に貼付されているラベルに印刷されたバーコードを読み取り、連結可能匿名化済検体番号(匿名検体番号の上位5桁の匿名化患者ID)を入力し、検体数を入力すると、該当する連結可能匿名化検体番号が画面に表示される。
次に、「連結不可能匿名化実行」ボタンをクリックすると、確認画面が表示されるので、再度、「連結不可能匿名化実行」ボタンをクリックすると、連結不可能匿名化処理が実行される。具体的には、図5に示した連結可能匿名化対応表の対応するレコードが削除され、匿名検体番号の振り直しが行われるとともに、新たに振り直しが行われた匿名検体番号を示すバーコードがラベルに印刷される。匿名検体番号の振り直しは次のようにして行う。まず、図6の4桁の検体番号をラングムに発生させて、機関区分、検体区分、及び連番を付加して匿名検体番号を生成し、その匿名検体番号がすでに存在する匿名検体番号と重複するか否かを判断する。重複する場合は上述した処理を繰り返す。そして、生成した匿名検体番号がすでに存在する匿名検体番号と重複しない場合、その匿名検体番号を新たな匿名検体番号とする。個人識別情報管理者は連結可能匿名化番号が印刷されたラベルを検体を入れた容器から剥がし、新たに生成された匿名検体番号が印刷されたラベルを検体の容器に貼り付け、研究側に提供する。
また、ある検体を破棄した場合、破棄した検体の匿名検体番号を入力し、破棄したことを通知すると、Windows NTサーバ61は、記憶装置62の実験試料DBから上記患者情報を削除する。また、病院側でも、破棄した検体の匿名検体番号を入力し、破棄したことを通知すると、Windows NTサーバ22は、破棄した検体に対応する診療情報を記憶装置21に記憶されている患者情報から削除する。
次に、各検体及び各情報の対応関係について説明する。病院側では、採取情報として登録した各レコードの検体番号(図9の9桁の検体番号)と患者番号(図9の患者番号)によって、検体と診療情報(患者情報)とが対応付けられている。この検体番号と連結可能匿名化検体番号との対応表(図5)が病院側の匿名化システム4等に保存されている。一方、研究側では、連結可能匿名化検体番号の上位5桁で構成される匿名化患者IDによって、連結可能匿名化検体番号に対応する検体の検体情報と匿名化された診療情報とが対応付けられている。
患者番号と検体番号とは1対多で対応しており、検体番号は同一の患者から採取した複数の検体を識別することができる。そして、検体番号と1対1に対応する連結可能匿名化検体番号が生成され、検体番号と連結可能匿名化検体番号とは、連結可能匿名化対応表の対応情報によって対応付けられている。従って、連結可能匿名化対応表の所定の連結可能匿名化検体番号に対応する対応情報を削除することにより、検体毎に、連結不可能匿名化及び連結可能匿名化のいずれかの匿名化を行うことができる。
また、例えば、検体番号の代わりに患者番号を検体に付与し、最初は各患者から採取した検体を患者番号で識別するようにし、検体に付与された患者番号に代えて連結可能匿名化検体番号を新たに生成し、生成した連結可能匿名化検体番号を患者番号に代えて検体に付与し、患者番号と連結可能匿名化検体番号とを対応付けた対応情報からなる連結可能匿名化対応表を作成するようにすることもできる。この場合、連結可能匿名化対応表の所定の連結可能匿名化検体番号に対応する対応情報を削除することにより、患者毎に、その患者に対応する連結可能匿名化検体番号が付与された検体に対して連結不可能匿名化を行うことができる。
次に、上記患者情報管理システム3及び匿名化システム4のバックアップ処理について説明する。患者情報管理システム3には、患者情報及び診療情報が記憶されている。これらの情報は、Windows NTサーバ21の所定のプログラムに従って、図示しないバックアップ用のハードディスク等の記憶装置、或いは、フロッピーディスク、CD−R(compact disc―recordable)、CD−RW(compact disc―rewritable)等の記録媒体に定期的にバックアップされる。そして、バックアップされた患者情報及び診療情報と、患者情報管理システム3に記憶されている現在の患者情報及び診療情報とが定期的に照合され、バックアップされた患者情報及び診療情報と、患者情報管理システム3に記憶されている現在の患者情報及び診療情報とが異なるとき、患者情報及び診療情報のバックアップが行われる。このようにして、矛盾なくリストアが実現される。
また、匿名化システム4には、連結可能匿名化対応表が記憶されている。この連結可能匿名化対応表は、Windows NTサーバ21の所定のプログラムに従って、図示しないバックアップ用のハードディスク等の記憶装置、或いは、フロッピーディスク、CD−R、CD−RW等の記録媒体に定期的にバックアップされる。そして、バックアップされた連結可能匿名化対応表と、匿名化システム4に記憶されている現在の連結可能匿名化対応表とが照合され、バックアップされた連結可能匿名化対応表と、匿名化システム4に記憶されている現在の連結可能匿名化対応表とが異なるとき、連結可能匿名化対応表のバックアップが行われる。
また、連結可能匿名化対応表を更新したときの操作履歴等のログ情報をハードディスク等の記憶装置に記憶させたり、磁気テープ等の記録媒体に記録することができる。これにより、万一、連結可能匿名化対応表の一部(例えば現在のデータ)が消失した場合でも、ログ情報から現在の連結可能匿名化対応表を復元することができる。このようにして、矛盾なくリストアが実現される。
また、連結可能匿名化対応表やログ情報を、RAID(Redundant Arrays of Inexpensive Dinks)と呼ばれる方式で記憶させるようにすれば、さらに信頼性を高めることができる。ここで、RAIDとは、複数のハードディスクに情報を重複して記憶させることにより、高い信頼性と性能を実現する記憶方式である。
また、連結可能匿名化対応表、及びログ情報をそれぞれ物理的に独立した記録媒体に記録させたり、他の情報が記憶される記憶装置とは別の記憶装置に独立して記憶させることにより、より安全性を高めることができる。例えば、連結可能匿名化対応表を毎日定期的にハードディスクや磁気テープなどにバックアップしておけば、現在の連結匿名化対応表が消失した場合でも、昨日の連結可能匿名化対応表とログ情報とに基づいて、現在の連結可能匿名化対応表を復元することができる。
このように、連結可能匿名化対応表とログ情報は、それぞれ患者情報及び診療情報などのその他の情報とは物理的に異なる記憶装置又は記録媒体に分けてバックアップされる。従って、連結可能匿名化対応表の一部が消失した場合やそのバックアップデータの一部が消失した場合でも、それによる被害を最小限に抑えることができる。
また、上述したような処理を実行するプログラムは、CD−ROM(compact disc read only memory)、DVD(digital versatile disc)、フロッピーディスク、メモリカード等の様々な記録媒体に記録して提供することができる。そして、そのプログラムは、Windows NTサーバ21,61の動作を制御し、プログラム制御されたWindows NTサーバ21)61が上記プログラムにより指令される所定の処理を実行する。
なお、上記実施の形態においては、バーコードを印刷したラベルを検体に貼り付けるようにしたが、バーコード以外のその他のコードを用いても良い。
また、上記実施の形態の構成及び動作は例であって、本発明の趣旨を逸脱しない範囲で適宜変更することができることは言うまでもない。
【図面の簡単な説明】
図1は、本発明の匿名化システムを応用した遺伝子解析研究の手順を示す図である。
図2は、本発明の匿名化システムのネットワーク構成例及び機器構成例を示すブロック図である。
図3は、検体採取から匿名化及び診療デークの受け渡しまでの一連の流れを示す図である。
図4は、匿名化システムの採取情報登録画面例を示す図である。
図5は、連結可能匿名化対応表の例を示す図である。
図6は、匿名前検体番号と匿名検体番号のフォーマットの例を示す図である。
図7は、各コードの意味を示す図である。
図8は、匿名化システムのユーザ認証画面例を示す図である。
図9は、匿名化システムの連絡可能匿名化指示画面の例を示す図である。
図10は、バーコード印刷実行画面を示す図である。
図11は、診療情報のグウンロード指示画面の例を示す図である。
図12は、連結不可能匿名化指示画面の例を示す図である。
符号の説明
1 臨床検査部門
2 個人識別情報管理室
3 患者情報管理システム
4 匿名化システム
5 研究部門
6 実験室
7 ゲノム解析室
8 FW
9 Proxyサーバ
10 インターネット
21,61 Windows NT Server
22,62,72 記憶装置
23,64 バーコードプリンタ
63 コントローラ
65 シーケンサ
66,68 PC
67 AFFYMETRIX ARRAYER & GENEARRAY
SCANNER
69 バーコードリーダ
71 UNIX Server
本発明は、匿名化方法およびそのシステム、並びに個人情報にかかる情報を匿名化して移送する方法およびそのシステムに関し、特に、遺伝子解析研究に用いる試料を提供する試料等提供者の個人情報を匿名化して移送するための匿名化方法およびそのシステムに関する。
背景技術
現在、ゲノム配列決定は急速に進展しつつあり、枯草菌、大腸菌、らん藻、酵母などの微生物に続き、多細胞生物である線虫、さらにはショウジョウバエの全ゲノム配列もすでに決定した。ヒトのゲノム配列もドラフト配列が公開されている。このような状況のもとで、ゲノム研究の焦点は配列決定から多数の遺伝子群若しくはゲノム全体を対象に、道伝子発現を含むゲノム機能の解析や、個人間の多型の解析を中心としたいわゆるポスト・ゲノム研究に移りつつある。
特に、近年、ヒトの病気の原因解明、診断、治療・予防といった医療分野で最も注目されているのは、一塩基多型SNP(SINGLE NUCLEOTIDE POLYMORPHISM)である。SNPとは文字通り、DNA配列上一塩基の置換・挿入又は欠失による差異を意味する。ヒトの遺伝子塩基配列は、その99.9パーセント(%)が同一で、0.1%の違いがあると推定されている。従って、30億塩基対よりなるヒト・ゲノムの0.1%に相当する約100万乃至300万のSNP部位が予想されている。
SNPは、その数が非常に多いことから、各個人の遺伝的背景を個別化するのに最適であると考えられ、診療情報等と比較するアソシェーションスクディにより「体質」(ある病気へのかかりやすさや薬物応答性の違い)が同定できると期待されており、オーダーメード治療を受けることが可能となる。従って、医療機関で蓄積されてきた(又はこれから収集する)診療情報をゲノム研究側に提供することが今後の遺伝子解析にとって不可欠となっている。
発明の開示
発明が解決しようとする技術的課題
しかしながら、検体と患者情報及び診療情報をそのまま研究機関に提供すると、個人のプライバシーや人権が侵害される恐れがある課題があった。即ち、検体を提供した個人の情報と、その検体から解析された遺伝情報とが結びつけられ、就職、結婚、健康保険、生命保険などの社会的な差別が生じ、また現時点において予想のつかない様々な社会問題が生じる可能性もある。
本発明はこのような状況に鑑みてなされたものであり、病院側で検体と患者情報及び診療情報を匿名化しておき、研究機関において検体から得られた遺伝情報が特定の個人と結びつけられることがないようにし、個人の人権及びプライバシーを保護することができるようにするものである。
より具体的に詳述すると、検体及び患者についての情報の受け渡しに際しては、個人情報の漏洩の危険があるため、少なくとも検体乃至患者にかかる情報についての識別記号列に対し匿名化処理を施すことが不可避となる。
ところが、単純(例えば、ランダム)に匿名化処理を施したのでは、無意味な記号列となるために、操作者が個々の検体又は情報の判別が困難となり、操作ミス等にも気が付くことができなくなるという問題がある。
さらなる問題としては、一旦匿名化されると、検体や情報の相互の関連性を全く知ることができなくなる。この状態は、遺伝子解析研究にあって致命的である。すなわち、遺伝子解析研究にあっては、闇雲に検体の配列を特定していくことは現実的ではないことから、対応する患者の診療情報等を手がかりとして、遺伝子解析すべき部位等を予め絞り込む必要があるからである。
解決方法
前記本件における解決すべき課題は、次の第1の発明〜第5の発明とそれらの態様をさらに限定した発明によって、解決することができる。
まず、第1の発明は、個人にかかる情報の匿名化方法及びそのシステムであって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行するステップと、
前記第2の識別情報と1対1に対応し、第1の識別情報を類推不可能な第3の識別情報を生成するステップ、
該第2の識別情報と該第3の識別情報との対応情報を記憶するステップと
前記第2の情報に対する、第2の識別情報との関連付けを解消し、同時に前記第3の識別情報を関連付ける指示を発行するステップとを、
備えることを特徴とする個人にかかる情報の匿名化方法及びそのシステムである。
その他、本発明には、前記第1の発明における、
関連付けを、第2の情報を記録した媒体に対し、前記第2乃至第3の識別情報に対応するバーコードラベルを発行し、該ラベルを物理的に貼付することに限定し、
前記関連付けを解消することを、該ラベルを物理的に剥離することに限定し、
前記指示を発行することを、それら一連の操作についての指示を認識可能な形式にて表示することに限定した発明である。
または、本発明には、前記第1の発明における、関連付けを、第2の情報を、前記第2乃至第3の識別情報を検索子として検索可能に記憶することに限定し、
前記第2の識別情報との関連付けを解消し、同時に前記第3の識別情報との関連付けを指示するとは、第2の情報の検索子を第2の識別情報から第3の識別情報に変更して記憶し直すことに限定し、
前記指示を発行することを、それら一連の処理を実行することに限定したものも含まれる。
また、第2の発明は、個人情報を匿名化する方法およびそのシステムであって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第3の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の第3の情報が識別可能となるように生成するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付ける指示を発行するステップと
を備えることを特徴とする個人にかかる情報の匿名化方法およびそのシステムである。
さらに、本発明には、前記第2の発明において、
前記第2の情報が対応する個人についての診断所見情報であり、
前記第3の情報が対応する個人についての検体識別記号であり、
前記関連付けるとは、対応する識別情報を検索子として検索可能に記憶することであって、
前記第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付けるとは、第2並びに第3の情報の検索子を第2並びに第3の識別情報から第4並びに第5の識別情報に変更して記憶し直すことであり、
前記指示を発行するとは、それら一連の処理を実行することに限定したものも含まれる。
さらに、第3の発明は、個人にかかる情報の匿名化方法およびそのシステムであって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る診断所見情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
各診断所見情報を、該生成された第2の識別情報を検索子として記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る検体を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の検体が識別可能となるように生成するステップと、
各検体に対し、該生成された第3の識別情報との関連付けの指示を発行するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと前記診断所見情報に関する検索子を、第2の識別情報から第4の識別情報に変更して記憶し直す指示を発行するステップと、
前記検体に対する、第3の識別情報との関連付けを解消し、同時に第5の識別情報との関連付けの指示を発行するステップと、
を備えることを特徴とする個人にかかる情報の匿名化方法およびそのシステムである。
さらに、本発明には、前記第1〜第3の発明における、
前記対応情報についての記憶の一部又は全部を消去する連結不可能化の指示を発行するステップをさらに備えるものも含まれる。
一方、第4の発明は、個人にかかる情報を匿名化して移送する方法およびそのシステムであって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第3の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の第3の情報が識別可能となるように生成するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付ける指示を発行するステップと、
第4及び第5の識別情報と関連付けられた第2及び第3の情報を、所要の移送先に対し、移送することを指示するステップと、
移送された第2及び第3の情報を、第4及び第5の識別情報に関連付けて別途記憶するステップと
を備えることを特徴とする個人にかかる情報を匿名化して移送する方法およびそのシステムである。
また、本発明には、前記第4の発明における、
前記第2の情報が対応する個人についての診断所見情報であり、
前記第3の情報が対応する個人についての検体識別記号であり、
前記関連付けるとは、対応する識別情報を検索子として検索可能に記憶することであって、
前記第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付けるとは、第2並びに第3の情報の検索子を第2並びに第3の識別情報から第4並びに第5の識別情報に変更して記憶し直すことであり、
前記移送するとは、通信手段により、送受信することであり、
前記指示を発行するとは、それら一連の処理を実行することに限定したものも含まれる。
さらに、第5の発明は、個人にかかる情報を匿名化して移送する方法およびそのシステムであって、
個入の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る診断所見情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
各診断所見情報を、該生成された第2の識別情報を検索子として記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る検体を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の検体が識別可能となるように生成するステップと、
各検体に対し、該生成された第3の識別情報との関連付けの指示を発行するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと前記診断所見情報に関する検索子を、第2の識別情報から第4の識別情報に変更して記憶し直す指示を発行するステップと、
前記検体に対する、第3の識別情報との関連付けを解消し、同時に第5の識別情報との関連付けの指示を発行するステップと、
第4の識別情報を検索子として検索可能な診断情報と、第5の識別情報と関連付けられた検体とを、それぞれ共通の移送先に対する移送を指示するステップと、
移送された診断情報を第4の識別情報を検索子として別途記憶するステップと、
移送された検体に関連付けられた第5の識別情報を検出し、前記第4の識別情報に共通して含まれる、前記第1の識別情報に係る記号列に対応する記号列により、該検体に対応する診断情報を読み出す指示を発行するステップと
を備えることを特徴とする個人にかかる情報を匿名化して移送する方法およびそのシステムである。
加えて、本発明には、前記第5の発明における、前記対応情報についての記憶の一部又は全部を消去するステップをさらに備えることを限定したものも含まれる。
有利な効果
以上のとおり、本発明に係る匿名化システムおよび匿名化方法、並びに個人にかかる情報を匿名化して移送する方法及びそののシステムによれば、所定の個人に関する第1の情報を、個人の識別が可能な第1の識別情報に対応付けて記憶するステップと、個人に関する第2の情報を、第2の情報の識別が可能な第2の識別情報に対応付けて記憶するステップと、第1の識別情報と第2の識別情報とを対応付ける対応情報を記憶するステップと、必要に応じて、対応情報を削除し、第2の情報に対応する個人を特定できないように匿名化するようにしたので、対応情報を必要に応じて削除することにより、第2の情報が特定の個人および第1の情報と結びつけられることがないようにし、個人の人権及びプライバシーを保護することが可能となる。
したがって、匿名性を確保した上で、病院と研究所といった2つのシステムの間での検体や種々の情報のやり取りが可能となる。
以上のとおり、本発明は、確実な匿名化をした状態にあっても、個々の検体や情報の操作性や判別性を向上させ、操作ミス等を防止し、同時に、検体や情報に関する相互の関係の把握、すなわち、同一患者にかかる検体や情報の峻別を可能とするものである。
発明を実施するための最良の形態
本発明は、図1〜図3及び図7に記載されたとおり、匿名化システムと患者情報管理システムとを備えた病院側のシステムと、実験試料管理システムとゲノム基本データ管理システムを備えた研究所側のシステムから構成され、両者は、検体等の物流と患者についての情報の通信により、有機的に結合しているものである。
前記解決しようとする技術的課題は、具体的には、図6に記載した検体識別用の記号列を採用することによって、はじめて解消されるものである。
図6では、プロジェクト区分や検体区分等に関する情報は、操作者に有益である。しかも、日付や連番といった識別情報は、簡便であり操作性において有効である。場合によって、図3のような検体識別記号列を採用することが好ましい。すなわち、該記号列中に患者ID等の個人識別子にかかる記号列を含むことが有益である。
そもそも、情報の漏洩の危険は、検体等の相互の関連性を把握するために、匿名化処理の過程を遡ることができるようにしてあることに起因するものであるから、仮に、匿名化処理以降、二度と匿名化システムのあるホストにアクセスすることなく、以降の操作が行えるのであれば、該検体や情報にかかる個人が特定される危険は実質的に解消される。言い換えると、匿名化システムを含むホストにアクセスすることが許容されている限り、匿名化処理における匿名化の対応表が読み出される危険性を完全になくすことはできない。特に、病院と研究所といった複数の機関に跨って、検体や情報のやり取りがある場合には、外部の者がホストにアクセスできるようになることから、危険である。
そのための具体的手法としては、匿名化処理にかかる対応表自体を削除して、何人も匿名化の対応表にアクセスできないようにすれば、完全な匿名化が実現できる。検体の収集のやり方如何によっては、この方法は、確実な匿名化方法となる。これが、連結不可能な匿名化方法である。
しかし、この手法では、診断所見等を参照することができない上、同一患者にかかる複数の検体が時間差をもって採取された場合など検体相互の連関性を把握することができなくなるなど、通常の遺伝子解析研究においては不都合となることが多い。
そこで、このような不都合を発生させずに確実な匿名化を図るための手法としては、検体や情報の識別情報自体に、種々の付加情報を添えて送付するとともに、参照の予想される他の情報についても同様な匿名化処理を施して別途送付しておくという、いわゆるデータフロー型の送付制御を行うことが有効である。これにより、必要となる情報をホストにアクセスすることなくなり、必要となる相互の関連性についての情報や処理手順等の情報をローカルにて把握することが可能となる。
さらに、本発明の具体的システムについて、詳述する。
図1は、本発明の匿名化システムを含む遺伝子解析研究の手順を示している。
同図に示すように、病院側には臨床検査部門1があり、担当医が試料等提供者(患者)の患者情報を取得し、診療を行なって、患者情報及び診療情報を個人識別情報管理室2の患者情報管理システム3に供給し、記憶させる。また、病院側研究遂行者は、後述する研究側の研究責任者の指示の下、試料等提供者の同意を得た上で、担当医に対して試料等提供者から血液、血清、buffy coat、組織、細胞等の1次検体(試料)を採取するよう指示する。この指示を受けた担当医は、試料等提供者から血液、血清、buffy coat、組織、細胞等の1次検体(試料)を採取する。次に、これらの検体(試料)に付けられた検体番号に対して匿名化処理を行う。そして、匿名化された検体番号(匿名検体番号)に対応するバーコードが印刷されたラベルが、検体を入れた容器に貼付される。
検体に貼付された匿名化された検体番号(匿名検体番号)と、匿名化する前の検体番号(匿名前検体番号)とを結びつける連結可能匿名化対応表(コード表)は、匿名化システム4に保存されており、必要に応じて検体に対応する患者の情報を取得することができる。この連結可能匿名化対応表から所定の検体に対応するレコードを削除することにより、検体から試料等提供者を特定することができないようにする連結不可能匿名化を行うことができる。
匿名化された患者情報及び診療情報と、匿名化された検体(試料)は、研究側の研究部門5に提供される。このとき、患者情報及び診療情報は、フロッピーディスク等の記録媒体に記録して提供したり、例えば、DES(data encryption standard)等のアルゴリズムを用いて暗号化し、ネットワークを介して提供することもできる。勿論、暗号化の方法はDESに限定されるものではなく、その他の様々な方法で暗号化することができる。
上述した病院側研究遂行者に対して指示を与える研究側の研究責任者の上には、研究実施機関の長がおり、研究責任者は研究実施機関の長に対して研究計画書を提出する。研究実施機関の長は、この研究計画書の是非の判断を倫理委員会に委ねる。倫理委員会の承認が得られると、研究責任者は、研究計画書に従って研究を行うために、病院側研究遂行者に対して所定の指示を適宜行う。
図2は、図1に示した病院側の個人識別情報管理室2、及び研究側の研究部門5(実験室6及びゲノム解析室7からなる)の具体的な機器構成及びネットワーク構成の例を示すブロック図である。同図に示すように、個人識別情報管理室の患者情報管理システム3及び匿名化システム4は、患者情報を管理する処理及び匿名化処理を行うプログラム等を実行するためのWindows NTサーバ21(Windowsは、米国Microsoft corporationの米国およびその他の国における商標または登録商標)と、患者情報を管理する処理及び匿名化処理を行うプログラム等が記憶されるとともに、患者情報を記憶し、管理するRDBMS(relational database management system)が構築されたハードディスク等の記憶装置22と、バーコードをラベルに印刷するバーコードプリンタ(BP)又はラベルプリンタ)23等によって構成されている。そして、これらの機器はLAN(localarea network)によって接続されている。
一方、研究部門5は、実験室6とゲノム解析室7とから構成され、実験室6は、Windows NTサーバ61と、実験試料のデータが登録されたデータベースが構築された記憶装置62と、図示しない実験機器を制御するコントローラ63と、バーコードを印刷するバーコードプリンタ(BP)64と、シーケンサ65と、シーケンサ65を制御するパーソナルコンピュータ(PC)66と、AFFYMETRIX ARRAYER & GENEARRAY SCANNER(AFFYMETRIX、及びGENEARRAYは、米国AFFYMETRIX社の登録商標)67と、AFFYMETRIX ARRAYER &GENEARRAYSCANNER 67を制御するPC68と、バーコードを読み取り、対応するデークを出力するバーコードリーダ69とから構成されている。
また、ゲノム解析室7は、ゲノム解析を行うプログラムを実行するためのUNIXサーバ71と、ゲノム基本データを記憶する記憶装置721とから構成されている。そして、これらの機器は研究機関内のLANで接続されており、ファイアウォール(Fire Wall(FW))8を介してインターネット10に接続されている。また、研究機関内LANには、Proxyサーバ9が接続されている。
次に、図3を参照して、検体採取から匿名化された診療情報や患者情報等の患者関連情報の受け渡しまでの一連の処理の流れについて説明する。まず、臨床側(病院側)の担当医は、試料等提供者(患者)に対して診療を行い、診療情報を得る。そして、得られた診療情報(カルテ等)と、患者の氏名、生年月日、性別、住所、電話番号、指紋、カルテ番号等の、患者個人を識別するための個人識別情報と、疾病履歴等からなる患者情報を、患者情報管理システム3に登録する。
次に、臨床側研究遂行者(病院側研究遂行者)は、試料等提供者からインフォームド・コンセント(IC)を受ける(研究内容の十分な説明に基づく同意を得る)。
次に、臨床側研究遂行者の指示に基づいて担当医は、試料等提供者から血液、血清、buffy coat、組織、細胞等の1次検体(1次試料)を採取する。次に、図4に示すような採取情報登録画面に従って、採取した1次検体についての採取情報を登録する。例えば、プロジェクト名、チーム名、患者番号、担当医、検体番号、提供日時、検体区分、採取量、特記事項等の採取情報を入力し、プロジェクト名、チーム名、患者番号を患者情報管理システム3に登録する。そして、担当医、検体番号、提供日時、検体区分、採取量、特記事項等の採取情報を匿名化システム4に登録する。
次に、匿名化システム4は、採取された検体の検体番号に対して連結可能匿名化を行い、図5に示すような連結可能匿名化対応表(コード表)を作成し、記憶する。連結可能匿名化対応表には、匿名化した日を示す匿名化日と、検体番号(匿名化する前の匿名前検体番号)と、連結可能匿名化された検体番号である連結可能匿名化検体番号とが互いに対応付けられている。この例の場合、検体番号「0C00914101」に対応する連結可能匿名化検体番号は「A37330C01」である。また、検体番号「0S0091401」に対応する連結可能匿名化検体番号は「A57330S01」である。連結可能匿名化対応表は、必要に応じて暗号化することができる。
病院内では、患者情報や連結可能匿名化対応表等の各種情報がLAN(local area network)を介してやりとりされるので、患者情報や連結可能匿名化対応表等の情報を所定の方法で暗号化し、関係者以外の者に情報が漏洩しないようにすることができる。ここで、暗号化の方法は特に限定されない。
図6は、匿名前検体番号(匿名化する前の検体番号)と、匿名検体番号(連結可能匿名化検体番号)のフォーマットの例を示している。匿名前検体番号は、プロジェクト区分(PJ区分)(胃がん、肺がん等)、検体区分(血液、細胞等)、採取した日付、連番等により構成され、連結可能匿名化検体番号は、機関区分(病院の識別番号(例えば、A:国立がんセンタ、B:国立精神・神経センタ、C:国立循環器病センタ、D:国立国際医療センタ、E:国立小児病院、F:国立医薬品食品衛生研究所))、検体番号、検体区分、連番により構成されている。機関区分と検体番号を合わせた上位5桁で匿名化患者IDを構成する。この匿名化患者IDは各機関で共通である。
また、図7に示すように、検体区分「0B」は血液(検体種別は1次検体)、「0S」は皮膚(検体種別は1次検体)、「0O」は臓器(検体種別は1次検体)、「0C」は細胞(検体種別は2次検体)、「0U」は培養細胞(検体種別は2次検体)、「0T」は刺激細胞(検体種別は2,3次検体)、「0R」はmRNA(メッセ ジャーRNA)(検体種別は2,3次検体)、「0D」はcDNA(complementary DNA(相補的DNA))(検体種別は2,3次検体)、「0G」はゲ′ノムDNA(検体種別は2,3次検体)をそれぞれ表している。
なお、この事例では、日付と連番をもって、第1識別情報として、氏名等の個人に関する情報と対応付けを行うことになり、その日付と連番に係る記号列が第2の識別情報である匿名化前の検体識別用の記号列に共有される。もちろん、この日付と連番の他にも、例えば、患者番号等の個人IDを第1の識別情報として、これらに係る記号列を第2の識別情報に共有させることができることはいうまでもない。
匿名前検体番号は、病院側管理ID(例えば、カルテ番号)と一対多の関係にあり、同一患者の複数検体は9桁のうちの最後2桁の連番によって区別可能である。匿名化後検体番号(匿名検体番号)のうち、患者に対応する番号(4桁(上位5桁のうちの最初の1桁を除く4桁))はラングムな数字(アルファベットを含む)が割り当てられる。なお、連結可能匿名化の場合、同二患者には同一番号が割り当てられる。
匿名化システム4は、図6に示したフォーマットに従って、匿名前検体番号を匿名検体番号(連結可能匿名化検体番号)に変換する。連結可能匿名化検体番号から検体番号への変換は、図5に示した連結可能匿名化対応表に基づいて行うことができる。
図5に示した連結可能匿名化対応表は、病院側の個人識別情報管理室2の個人識別情報管理者のみアクセス可能とし、連結可能匿名化対応表を開覧したことを示す閲覧履歴をログとして残すようにするなどして、外部への情報の漏洩を抑制するととともに、万一情報が外部に漏洩した場合でも、いつ、誰が情報を持ち出したのか特定できるようにする。さらに、連結可能匿名化対応表の関覧は、例えば、1日あたり(又は1回あたり)10件に制限するなどして、一度に大量のデークを閲覧することができないようにすることにより、被害を最小限に抑えるようにすることもできる。また、連結可能匿名化対応表を印刷するために印刷を指示する操作を行ったことをログとして残すようにすることもできる。
図8は、匿名化システム4におけるユーザ認証画面を示している。個人識別情報管理者は、連結可能匿名化対応表等を聞覧する場合、プロジェクトID、チームID、ユーザID、パスヮードを入力する。そして、ユーザ認証の結果、個人識別情報管理者本人であることが認証されると、個人識別情報管理者の権限でログインすることができる。また、図示せぬ指紋読み取り機を用いて、指紋照合を行うことにより、ユーザ認証を行うようにすることも可能である。指紋に限らず、虹彩等のバイオメトリクスによるユーザ認証も可能である。また、連結可能匿名化対応表を、個人識別情報管理者のみが知る方法で暗号化し、記憶させるようにすることもできる。これにより、外部への情報の漏洩をさらに抑制することができる。
匿名化システム4は、検体番号の連結可能匿名化を行うことにより得られた連結可能匿名化検体番号(匿名検体番号)を示すバーコードを生成し、バーコードプリンタ23によリラベル等の印刷媒体に印刷することができる。
図9は、連結可能匿名化を指示する画面例を示している。同図に示すように、採取した検体に関するデータを、検体を提供した提供日、患者番号、患者名(検体番号、検体区分(腎臓、心臓等)に基づいて検索し、連結可能匿名化したい検体に対応する選択本関をマウス等を用いてクリックすることにより選択する。そして、「連結可能匿名化実行」ボタンをマウス等を用いてクリックすることにより、連結可能匿名化処理の実行を指示する。このとき、同時に連結可能匿名化検体番号を示すバーコードの印刷が開始され、図10に示すように、バーコードのイメージが画面に表示される。
上記バーコードが印刷されたラベルは、個人識別情報管理者によって対応する検体の容器に貼付される。その後、連結可能匿名化検体番号を示すバーコードが印刷されたラベルが貼付された検体は、研究部門5に提供される。
次に、患者情報管理システム3に登録された患者情報(患者関連情報)をダウンロードする。その場合、図11に示すように、連結可能匿名化済患者一覧表を画面に表示させる。連結可能匿名化済患者一覧表には、各レコード毎に、選択欄と、提供日と、連結可能匿名化検体番号が表示される。次に、その中から所望の連結可能匿名化検体番号を、対応する選択欄をマウス等を用いてクリックすることにより選択する。これにより、連結可能匿名化、又は連結不可能匿名化を行った検体の診療情報(患者情報)をグウンロードすることができる。
次に、患者情報の匿名化を行う。患者情報の匿名化は、患者情報の中の、患者個人を識別可能な項目を削除又は加工することによって行うことができる。例えば、患者の氏名、住所を患者情報から削除すれば、患者個人を識別することは困難となる。また、生年月日を削除すれば、さらに患者個人を識別することは困難となる。或いは、氏名、住所、電話番号、指紋、カルテ番号等のすべての項目を患者情報から完全に削除すれば、患者個人を識別することが不可能となる。或いは、生年月日のうちの日のみを削除して生年月とする。又は、生年月日を実年齢を示すデータに変換する。このようにして患者情報を匿名化する。
その後、必要に応じて患者情報を暗号化する。暗号化した患者情報は、フロッピーディスク等の記録媒体に記録され、研究側に提供される。或いは、インターネット等の所定のネットヮークを介して研究側に提供される。研究側に提供された暗号化された患者情報は、暗号化されたまま、或いは復号化された後、所定の記憶装置に登録され、記憶される。
一旦、研究側に渡った検体を一括して連結不可能匿名化する場合、図12に示すように、まず、運結不可能匿名化したい検体を病院側に渡す。次に、検体に貼付されているラベルに印刷されたバーコードを読み取り、連結可能匿名化済検体番号(匿名検体番号の上位5桁の匿名化患者ID)を入力し、検体数を入力すると、図12に示すように、該当する連結可能匿名化検体番号が画面に表示される。
次に、「連結不可能匿名化実行」ボタンをクリックすると、確認画面が表示されるので、再度、「連結不可能匿名化実行」ボタンをクリックすると、連結不可能匿名化処理が実行される。具体的には、図5に示した連結可能匿名化対応表の対応するレコードが削除され、匿名検体番号の振り直しが行われるとともに、新たに振り直しが行われた匿名検体番号を示すバーコードがラベルに印刷される。匿名検体番号の振り直しは次のようにして行う。まず、図6の4桁の検体番号をラングムに発生させて、機関区分、検体区分、及び連番を付加して匿名検体番号を生成し、その匿名検体番号がすでに存在する匿名検体番号と重複するか否かを判断する。重複する場合は上述した処理を繰り返す。そして、生成した匿名検体番号がすでに存在する匿名検体番号と重複しない場合、その匿名検体番号を新たな匿名検体番号とする。個人識別情報管理者は連結可能匿名化番号が印刷されたラベルを検体を入れた容器から剥がし、新たに生成された匿名検体番号が印刷されたラベルを検体の容器に貼り付け、研究側に提供する。
「連絡不可能匿名化実行」ボタンをクリックする前に、診療情報のグウンロードをするように指定しておけば、自動的に患者情報管理システム3に記憶されている診療情報を含む患者情報がグウンロードされる。患者情報は上述した場合と同様の方法で匿名化され、必要に応じて暗号化された後、フロッピーディスク等の記録媒体に記録されて研究側に提供される。或いは、インターネット等のネットワークを介して研究側に提供される。
病院側から研究側に提供された検体は、バーコードリーダ69によって検体に貼り付けられたラベルに印刷されたバーコードの情報(匿名検体番号)が読み取られ、患者情報と関連付けられる。即ち、バーコードリーダ69によって読み取られた検体の匿名検体番号の匿名化患者ID(匿名検体番号の上位5桁)と、各患者情報に含まれる匿名化患者IDによって互いに関連付けられる。即ち、患者情報は匿名化患者IDによって管理されている。従って、連結不可能匿名化が行われても、検体に対応する診療情報を得ることができ、その後の研究に利用することができる。
また、予め採取された検体と、その検体を提供した提供者の診療情報とが既に所定の場所に存在する場合において、その検体を連結可能匿名化するときは、上述した場合と同様にして、検体に貼り付けられたラベルに印刷されたバーコードによって表される検体番号(匿名前検体番号)に対応する匿名検体番号を生成するとともに、連結可能匿名化対応表を作成し、匿名化システム4等に保存する。上記所定の場所は、例えば、病院側で採取された検体及び診療情報をセットにして保存し、必要に応じて保存している検体及び診療情報を所定の研究機関に提供する細胞バンクなどが考えられる。
連結可能匿名化された上記検体を連結不可能匿名化するときは、図12に示すように、まず、検体に貼付されているラベルに印刷されたバーコードを読み取り、連結可能匿名化済検体番号(匿名検体番号の上位5桁の匿名化患者ID)を入力し、検体数を入力すると、該当する連結可能匿名化検体番号が画面に表示される。
次に、「連結不可能匿名化実行」ボタンをクリックすると、確認画面が表示されるので、再度、「連結不可能匿名化実行」ボタンをクリックすると、連結不可能匿名化処理が実行される。具体的には、図5に示した連結可能匿名化対応表の対応するレコードが削除され、匿名検体番号の振り直しが行われるとともに、新たに振り直しが行われた匿名検体番号を示すバーコードがラベルに印刷される。匿名検体番号の振り直しは次のようにして行う。まず、図6の4桁の検体番号をラングムに発生させて、機関区分、検体区分、及び連番を付加して匿名検体番号を生成し、その匿名検体番号がすでに存在する匿名検体番号と重複するか否かを判断する。重複する場合は上述した処理を繰り返す。そして、生成した匿名検体番号がすでに存在する匿名検体番号と重複しない場合、その匿名検体番号を新たな匿名検体番号とする。個人識別情報管理者は連結可能匿名化番号が印刷されたラベルを検体を入れた容器から剥がし、新たに生成された匿名検体番号が印刷されたラベルを検体の容器に貼り付け、研究側に提供する。
また、ある検体を破棄した場合、破棄した検体の匿名検体番号を入力し、破棄したことを通知すると、Windows NTサーバ61は、記憶装置62の実験試料DBから上記患者情報を削除する。また、病院側でも、破棄した検体の匿名検体番号を入力し、破棄したことを通知すると、Windows NTサーバ22は、破棄した検体に対応する診療情報を記憶装置21に記憶されている患者情報から削除する。
次に、各検体及び各情報の対応関係について説明する。病院側では、採取情報として登録した各レコードの検体番号(図9の9桁の検体番号)と患者番号(図9の患者番号)によって、検体と診療情報(患者情報)とが対応付けられている。この検体番号と連結可能匿名化検体番号との対応表(図5)が病院側の匿名化システム4等に保存されている。一方、研究側では、連結可能匿名化検体番号の上位5桁で構成される匿名化患者IDによって、連結可能匿名化検体番号に対応する検体の検体情報と匿名化された診療情報とが対応付けられている。
患者番号と検体番号とは1対多で対応しており、検体番号は同一の患者から採取した複数の検体を識別することができる。そして、検体番号と1対1に対応する連結可能匿名化検体番号が生成され、検体番号と連結可能匿名化検体番号とは、連結可能匿名化対応表の対応情報によって対応付けられている。従って、連結可能匿名化対応表の所定の連結可能匿名化検体番号に対応する対応情報を削除することにより、検体毎に、連結不可能匿名化及び連結可能匿名化のいずれかの匿名化を行うことができる。
また、例えば、検体番号の代わりに患者番号を検体に付与し、最初は各患者から採取した検体を患者番号で識別するようにし、検体に付与された患者番号に代えて連結可能匿名化検体番号を新たに生成し、生成した連結可能匿名化検体番号を患者番号に代えて検体に付与し、患者番号と連結可能匿名化検体番号とを対応付けた対応情報からなる連結可能匿名化対応表を作成するようにすることもできる。この場合、連結可能匿名化対応表の所定の連結可能匿名化検体番号に対応する対応情報を削除することにより、患者毎に、その患者に対応する連結可能匿名化検体番号が付与された検体に対して連結不可能匿名化を行うことができる。
次に、上記患者情報管理システム3及び匿名化システム4のバックアップ処理について説明する。患者情報管理システム3には、患者情報及び診療情報が記憶されている。これらの情報は、Windows NTサーバ21の所定のプログラムに従って、図示しないバックアップ用のハードディスク等の記憶装置、或いは、フロッピーディスク、CD−R(compact disc―recordable)、CD−RW(compact disc―rewritable)等の記録媒体に定期的にバックアップされる。そして、バックアップされた患者情報及び診療情報と、患者情報管理システム3に記憶されている現在の患者情報及び診療情報とが定期的に照合され、バックアップされた患者情報及び診療情報と、患者情報管理システム3に記憶されている現在の患者情報及び診療情報とが異なるとき、患者情報及び診療情報のバックアップが行われる。このようにして、矛盾なくリストアが実現される。
また、匿名化システム4には、連結可能匿名化対応表が記憶されている。この連結可能匿名化対応表は、Windows NTサーバ21の所定のプログラムに従って、図示しないバックアップ用のハードディスク等の記憶装置、或いは、フロッピーディスク、CD−R、CD−RW等の記録媒体に定期的にバックアップされる。そして、バックアップされた連結可能匿名化対応表と、匿名化システム4に記憶されている現在の連結可能匿名化対応表とが照合され、バックアップされた連結可能匿名化対応表と、匿名化システム4に記憶されている現在の連結可能匿名化対応表とが異なるとき、連結可能匿名化対応表のバックアップが行われる。
また、連結可能匿名化対応表を更新したときの操作履歴等のログ情報をハードディスク等の記憶装置に記憶させたり、磁気テープ等の記録媒体に記録することができる。これにより、万一、連結可能匿名化対応表の一部(例えば現在のデータ)が消失した場合でも、ログ情報から現在の連結可能匿名化対応表を復元することができる。このようにして、矛盾なくリストアが実現される。
また、連結可能匿名化対応表やログ情報を、RAID(Redundant Arrays of Inexpensive Dinks)と呼ばれる方式で記憶させるようにすれば、さらに信頼性を高めることができる。ここで、RAIDとは、複数のハードディスクに情報を重複して記憶させることにより、高い信頼性と性能を実現する記憶方式である。
また、連結可能匿名化対応表、及びログ情報をそれぞれ物理的に独立した記録媒体に記録させたり、他の情報が記憶される記憶装置とは別の記憶装置に独立して記憶させることにより、より安全性を高めることができる。例えば、連結可能匿名化対応表を毎日定期的にハードディスクや磁気テープなどにバックアップしておけば、現在の連結匿名化対応表が消失した場合でも、昨日の連結可能匿名化対応表とログ情報とに基づいて、現在の連結可能匿名化対応表を復元することができる。
このように、連結可能匿名化対応表とログ情報は、それぞれ患者情報及び診療情報などのその他の情報とは物理的に異なる記憶装置又は記録媒体に分けてバックアップされる。従って、連結可能匿名化対応表の一部が消失した場合やそのバックアップデータの一部が消失した場合でも、それによる被害を最小限に抑えることができる。
また、上述したような処理を実行するプログラムは、CD−ROM(compact disc read only memory)、DVD(digital versatile disc)、フロッピーディスク、メモリカード等の様々な記録媒体に記録して提供することができる。そして、そのプログラムは、Windows NTサーバ21,61の動作を制御し、プログラム制御されたWindows NTサーバ21)61が上記プログラムにより指令される所定の処理を実行する。
なお、上記実施の形態においては、バーコードを印刷したラベルを検体に貼り付けるようにしたが、バーコード以外のその他のコードを用いても良い。
また、上記実施の形態の構成及び動作は例であって、本発明の趣旨を逸脱しない範囲で適宜変更することができることは言うまでもない。
【図面の簡単な説明】
図1は、本発明の匿名化システムを応用した遺伝子解析研究の手順を示す図である。
図2は、本発明の匿名化システムのネットワーク構成例及び機器構成例を示すブロック図である。
図3は、検体採取から匿名化及び診療デークの受け渡しまでの一連の流れを示す図である。
図4は、匿名化システムの採取情報登録画面例を示す図である。
図5は、連結可能匿名化対応表の例を示す図である。
図6は、匿名前検体番号と匿名検体番号のフォーマットの例を示す図である。
図7は、各コードの意味を示す図である。
図8は、匿名化システムのユーザ認証画面例を示す図である。
図9は、匿名化システムの連絡可能匿名化指示画面の例を示す図である。
図10は、バーコード印刷実行画面を示す図である。
図11は、診療情報のグウンロード指示画面の例を示す図である。
図12は、連結不可能匿名化指示画面の例を示す図である。
符号の説明
1 臨床検査部門
2 個人識別情報管理室
3 患者情報管理システム
4 匿名化システム
5 研究部門
6 実験室
7 ゲノム解析室
8 FW
9 Proxyサーバ
10 インターネット
21,61 Windows NT Server
22,62,72 記憶装置
23,64 バーコードプリンタ
63 コントローラ
65 シーケンサ
66,68 PC
67 AFFYMETRIX ARRAYER & GENEARRAY
SCANNER
69 バーコードリーダ
71 UNIX Server
Claims (22)
- 個人にかかる情報の匿名化方法であって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行するステップと、
前記第2の識別情報と1対1に対応し、第1の識別情報を類推不可能な第3の識別情報を生成するステップ、
該第2の識別情報と該第3の識別情報との対応情報を記憶するステップと
前記第2の情報に対する、第2の識別情報との関連付けを解消し、同時に前記第3の識別情報を関連付ける指示を発行するステップとを、
備えることを特徴とする個人にかかる情報の匿名化方法。 - 前記関連付けとは、第2の情報を記録した媒体に対し、前記第2乃至第3の識別情報に対応するバーコードラベルを発行し、該ラベルを物理的に貼付することであり、
前記関連付けを解消するとは、該ラベルを物理的に剥離することであり、
前記指示を発行するとは、それら一連の操作についての指示を認識可能な形式にて表示することである請求の範囲1に記載の個人にかかる情報の匿名化方法。 - 前記関連付けとは、第2の情報を、前記第2乃至第3の識別情報を検索子として検索可能に記憶することであり、
前記第2の識別情報との関連付けを解消し、同時に前記第3の識別情報との関連付けを指示するとは、第2の情報の検索子を第2の識別情報から第3の識別情報に変更して記憶し直すことであり、
前記指示を発行するとは、それら一連の処理を実行することである請求の範囲1に記載の個人にかかる情報の匿名化方法。 - 個人情報を匿名化する方法であって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第3の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の第3の情報が識別可能となるように生成するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付ける指示を発行するステップと
を備えることを特徴とする個人にかかる情報の匿名化方法。 - 前記第2の情報が対応する個人についての診断所見情報であり、
前記第3の情報が対応する個人についての検体識別記号であり、
前記関連付けるとは、対応する識別情報を検索子として検索可能に記憶することであって、
前記第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付けるとは、第2並びに第3の情報の検索子を第2並びに第3の識別情報から第4並びに第5の識別情報に変更して記憶し直すことであり、
前記指示を発行するとは、それら一連の処理を実行することである請求の範囲4に記載の個人にかかる情報の匿名化方法。 - 個人にかかる情報の匿名化方法であって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る診断所見情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
各診断所見情報を、該生成された第2の識別情報を検索子として記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る検体を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の検体が識別可能となるように生成するステップと、
各検体に対し、該生成された第3の識別情報との関連付けの指示を発行するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと前記診断所見情報に関する検索子を、第2の識別情報から第4の識別情報に変更して記憶し直す指示を発行するステップと、
前記検体に対する、第3の識別情報との関連付けを解消し、同時に第5の識別情報との関連付けの指示を発行するステップと、
を備えることを特徴とする個人にかかる情報の匿名化方法。 - 前記対応情報についての記憶の一部又は全部を消去する連結不可能化の指示を発行するステップを
さらに備えることを特徴とする請求の範囲1〜7の何れか1項に記載の個人にかかる情報の匿名化方法。 - 個人にかかる情報を匿名化して移送する方法であって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第3の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の第3の情報が識別可能となるように生成するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付ける指示を発行するステップと、
第4及び第5の識別情報と関連付けられた第2及び第3の情報を、所要の移送先に対し、移送することを指示するステップと、
移送された第2及び第3の情報を、第4及び第5の識別情報に関連付けて別途記憶するステップと
を備えることを特徴とする個人にかかる情報を匿名化して移送する方法。 - 前記第2の情報が対応する個人についての診断所見情報であり、
前記第3の情報が対応する個人についての検体識別記号であり、
前記関連付けるとは、対応する識別情報を検索子として検索可能に記憶することであって、
前記第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付けるとは、第2並びに第3の情報の検索子を第2並びに第3の識別情報から第4並びに第5の識別情報に変更して記憶し直すことであり、
前記移送するとは、通信手段により、送受信することであり、
前記指示を発行するとは、それら一連の処理を実行することである請求の範囲8に記載の個人にかかる情報を匿名化して移送する方法。 - 個人にかかる情報を匿名化して移送する方法であって、
個人の識別が可能な第1の識別情報を生成または入力するステップ、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る診断所見情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成するステップと、
各診断所見情報を、該生成された第2の識別情報を検索子として記憶するステップと、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る検体を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の検体が識別可能となるように生成するステップと、
各検体に対し、該生成された第3の識別情報との関連付けの指示を発行するステップと、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行するステップと、
次に、前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成するステップ、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶するステップと該第3の識別情報と該第5の識別情報との第2の対応情報を記憶するステップと前記診断所見情報に関する検索子を、第2の識別情報から第4の識別情報に変更して記憶し直す指示を発行するステップと、
前記検体に対する、第3の識別情報との関連付けを解消し、同時に第5の識別情報との関連付けの指示を発行するステップと、
第4の識別情報を検索子として検索可能な診断情報と、第5の識別情報と関連付けられた検体とを、それぞれ共通の移送先に対する移送を指示するステップと、移送された診断情報を第4の識別情報を検索子として別途記憶するステップと、移送された検体に関連付けられた第5の識別情報を検出し、前記第4の識別情報に共通して含まれる、前記第1の識別情報に係る記号列に対応する記号列により、該検体に対応する診断情報を読み出す指示を発行するステップと
を備えることを特徴とする個人にかかる情報を匿名化して移送する方法。 - 前記対応情報についての記憶の一部又は全部を消去するステップを
さらに備えることを特徴とする請求の範囲8〜10の何れか1項に記載の個人にかかる情報を匿名化して移送する方法。 - 個人にかかる情報を匿名化するシステムであって、
個人の識別が可能な第1の識別情報を生成または入力する第1識別情報生成手段、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶する第1記憶手段と、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成する第2識別情報生成手段と、該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行する第1指示発行手段と、
前記第2の識別情報と1対1に対応し、第1の識別情報を類推不可能な第3の識別情報を生成する第3識別情報生成手段、
該第2の識別情報と該第3の識別情報との対応情報を記憶する第2記憶手段と
前記第2の情報に対する、第2の識別情報との関連付けを解消し、同時に前記第3の識別情報を関連付ける指示を発行する第2指示発行手段とを、
備えることを特徴とする個人にかかる情報を匿名化するシステム。 - 前記関連付けとは、第2の情報を記録した媒体に対し、前記第2乃至第3の識別情報に対応するバーコードラベルを発行し、該ラベルを物理的に貼付することであり、
前記関連付けを解消するとは、該ラベルを物理的に剥離することであり、
前記指示を発行するとは、それら一連の操作についての指示を認識可能な形式にて表示することである請求の範囲12に記載の個人にかかる情報を匿名化するシステム。 - 前記関連付けとは、第2の情報を、前記第2乃至第3の識別情報を検索子として検索可能に記憶することであり、
前記第2の識別情報との関連付けを解消し、同時に前記第3の識別情報との関連付けを指示するとは、第2の情報の検索子を第2の識別情報から第3の識別情報に変更して記憶し直すことであり、
前記指示を発行するとは、それら一連の処理を実行することである請求の範囲12に記載の個人にかかる情報を匿名化するシステム。 - 個人にかかる情報を匿名化するシステムであって、
個人の識別が可能な第1の識別情報を生成または入力する第1識別情報生成手段、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶する第1記憶手段と、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成する第2識別情報生成手段と、該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行する第1指示発行手段と、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第3の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の第3の情報が識別可能となるように生成する第3識別情報生成手段と、該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行する第2指示発行手段と、
前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成する第4及び第5識別情報生成手段と、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶する第2記憶手段と
該第3の識別情報と該第5の識別情報との第2の対応情報を記憶する第3記憶手段と
第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付ける指示を発行する第3及び第4指示発行手段と
を備えることを特徴とする個人にかかる情報を匿名化するシステム。 - 前記第2の情報が対応する個人についての診断所見情報であり、
前記第3の情報が対応する個人についての検体識別記号であり、
前記関連付けるとは、対応する識別情報を検索子として検索可能に記憶することであって、
前記第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付けるとは、第2並びに第3の情報の検索子を第2並びに第3の識別情報から第4並びに第5の識別情報に変更して記憶し直すことであり、
前記指示を発行するとは、それら一連の処理を実行することである請求の範囲15に記載の個人にかかる情報を匿名化するシステム。 - 個人にかかる情報を匿名化するシステムであって、
個人の識別が可能な第1の識別情報を生成または入力する第1識別情報生成手段、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶する第1記憶手段と、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る診断所見情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の診断所見情報が識別可能となるように生成する第2識別情報生成手段と、
各診断所見情報を、該生成された第2の識別情報を検索子として記憶する第2記憶手段と、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る検体を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の検体が識別可能となるように生成する第3識別情報生成手段と、
各検体に対し、該生成された第3の識別情報との関連付けの指示を発行する第1指示発行手段と、
該生成された第3の識別情報を、個々の検体に関連付ける指示を発行する第2指示発行手段と、
前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成する第4及び第5識別情報生成手段、該第2の識別情報と該第4の識別情報との第1の対応情報を記憶する第2記憶手段と
該第3の識別情報と該第5の識別情報との第2の対応情報を記憶する第3記憶手段と
前記診断所見情報に関する検索子を、第2の識別情報から第4の識別情報に変更して記憶し直す指示を発行する第3指示発行手段と、
前記検体に対する、第3の識別情報との関連付けを解消し、同時に第5の識別情報との関連付けの指示を発行する第4指示発行手段と、
を備えることを特徴とする個人にかかる情報を匿名化するシステム。 - 前記対応情報についての記憶の一部又は全部を消去する指示を発行する連結不可能化指示手段を
さらに備えることを特徴とする請求の範囲12〜17の何れか1項に記載の個人にかかる情報を匿名化するシステム。 - 個人にかかる情報を匿名化して移送するシステムであって、
個人の識別が可能な第1の識別情報を生成または入力する第1識別情報生成手段、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶する第1記憶手段と、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第2の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の第2の情報が識別可能となるように生成する第2識別情報生成手段と、
該生成された第2の識別情報を、各第2の情報に関連付ける指示を発行する第1指示発行手段と、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る第3の情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の第3の情報が識別可能となるように生成する第3識別情報生成手段と、
該生成された第3の識別情報を、各第3の情報に関連付ける指示を発行する第2指示発行手段と、
前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成する第4及び第5識別情報生成手段、該第2の識別情報と該第4の識別情報との第1の対応情報を記憶する第2記憶手段と
該第3の識別情報と該第5の識別情報との第2の対応情報を記憶する第3記憶手段と
第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付ける指示を発行する第3及び第4指示発行手段と、
第4及び第5の識別情報と関連付けられた第2及び第3の情報を、所要の移送先に対し、移送することを指示する第5指示発行手段と、
移送された第2及び第3の情報を、第4及び第5の識別情報に関連付けて別途記憶する第4及び第5記憶手段と
を備えることを特徴とする個人にかかる情報を匿名化して移送するシステム。 - 前記第2の情報が対応する個人についての診断所見情報であり、
前記第3の情報が対応する個人についての検体識別記号であり、
前記関連付けるとは、対応する識別情報を検索子として検索可能に記憶することであって、
前記第2並びに第3の情報に対する、前記第2並びに第3の識別情報を解消し、同時に前記第4並びに第5の識別情報を関連付けるとは、第2並びに第3の情報の検索子を第2並びに第3の識別情報から第4並びに第5の識別情報に変更して記憶し直すことであり、
前記移送するとは、通信手段により、送受信することであり、
前記指示を発行するとは、それら一連の処理を実行することである
請求の範囲19に記載の個人にかかる情報を匿名化して移送するシステム。 - 個人にかかる情報を匿名化して移送するシステムであって、
個人の識別が可能な第1の識別情報を生成または入力するス第1識別情報生成手段、
所定の個人に関する第1の情報を、前記第1の識別情報に対応付けて記憶する第1記憶手段と、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る診断所見情報を識別可能となるよう必要な桁数を有する記号列をもって構成される第2の識別情報を、個々の診断所見情報が識別可能となるように生成する第2識別情報生成手段と、
各診断所見情報を、該生成された第2の識別情報を検索子として記憶する第2記憶手段と、
少なくとも、第1の識別情報の一部を共有しかつ該個人に係る検体を識別可能となるよう必要な桁数を有する記号列をもって構成される第3の識別情報を、個々の検体が識別可能となるように生成する第3識別情報生成手段と、
各検体に対し、該生成された第3の識別情報との関連付けの指示を発行する第1指示発行手段と、
該生成された第3の識別情報を、個々の検体に関連付ける指示を発行する第2指示発行手段と、
前記第2の識別情報及び前記第3の識別情報とそれぞれ1対1に対応し、第1の識別情報を類推不可能な記号列であって、かつ、前記第2の識別情報及び前記第3の識別情報がともに共有する第1の識別情報に係る記号列に対応する記号列がその一部に共通して含まれる第4の識別情報及び第5の識別情報を生成する第4及び第5識別情報発行手段と、
該第2の識別情報と該第4の識別情報との第1の対応情報を記憶する第2記憶手段と
該第3の識別情報と該第5の識別情報との第2の対応情報を記憶する第3記憶手段と
前記診断所見情報に関する検索子を、第2の識別情報から第4の識別情報に変更して記憶し直す指示を発行する第3指示発行手段と、
前記検体に対する、第3の識別情報との関連付けを解消し、同時に第5の識別情報との関連付けの指示を発行する第4指示発行手段と、
第4の識別情報を検索子として検索可能な診断情報と、第5の識別情報と関連付けられた検体とを、それぞれ共通の移送先に対する移送を指示する第5指示発行手段と、
移送された診断情報を第4の識別情報を検索子として別途記憶する第4記憶手段と、
移送された検体に関連付けられた第5の識別情報を検出し、前記第4の識別情報に共通して含まれる、前記第1の識別情報に係る記号列に対応する記号列により、該検体に対応する診断情報を読み出す指示を発行する第6指示発行手段と
を備えることを特徴とする個人にかかる情報を匿名化して移送するシステム。 - 前記対応情報についての記憶の一部又は全部を消去する連結不可能化手段を
さらに備えることを特徴とする請求の範囲19〜21の何れか1項に記載の個人にかかる情報を匿名化して移送するシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000339587 | 2000-11-07 | ||
JP2000339587 | 2000-11-07 | ||
PCT/JP2001/009073 WO2002039341A1 (fr) | 2000-11-07 | 2001-10-16 | Procede et systeme servant a definir un anonymat, procede et systeme servant a rendre des informations personnelles anonymes et a les transferer |
Publications (1)
Publication Number | Publication Date |
---|---|
JPWO2002039341A1 true JPWO2002039341A1 (ja) | 2004-03-18 |
Family
ID=18814639
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002541590A Pending JPWO2002039341A1 (ja) | 2000-11-07 | 2001-10-16 | 匿名化方法及びそのシステム、並びに個人にかかる情報を匿名化して移送する方法及びそのシステム |
Country Status (3)
Country | Link |
---|---|
JP (1) | JPWO2002039341A1 (ja) |
AU (1) | AU2001295938A1 (ja) |
WO (1) | WO2002039341A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050236474A1 (en) * | 2004-03-26 | 2005-10-27 | Convergence Ct, Inc. | System and method for controlling access and use of patient medical data records |
JP2006209503A (ja) * | 2005-01-28 | 2006-08-10 | Medical Data Communications:Kk | バーコードによる医療用カード高機能化システム及び高機能化カードを用いた付加サービス提供方法 |
SE0500541L (sv) * | 2005-03-08 | 2006-09-09 | Inator Kb | Auktorisationssystem och metod |
EP2137659A1 (en) | 2007-04-12 | 2009-12-30 | Koninklijke Philips Electronics N.V. | Use of barcode menus to configure and set-up vital signs monitors |
JP2009070096A (ja) * | 2007-09-12 | 2009-04-02 | Michio Kimura | ゲノム情報と臨床情報との統合データベースシステム、および、これが備えるデータベースの製造方法 |
JP5183242B2 (ja) * | 2008-02-19 | 2013-04-17 | 株式会社Dnaチップ研究所 | 診療支援情報提供方法、診療支援情報提供システム、及びコンピュータシステムに診療支援情報を提供するための処理を実行させるコンピュータプログラム。 |
JP2011065606A (ja) * | 2009-09-18 | 2011-03-31 | Terumo Corp | 医療情報管理システム |
JP2013250937A (ja) * | 2012-06-04 | 2013-12-12 | Nihon Medical Business Co Ltd | 通信装置、通信システム及び通信方法 |
JP5695623B2 (ja) * | 2012-09-28 | 2015-04-08 | 株式会社東芝 | 送信装置及び通信システム及びプログラム |
MX2015007146A (es) | 2012-12-10 | 2015-10-12 | Koninkl Philips Nv | Metodo y sistema para hacer anonima una medicion de desempeño de multiples sitios y para controlar acciones y re-identificacion de datos anonimos. |
KR102458862B1 (ko) * | 2019-11-29 | 2022-10-26 | 주식회사 마크로젠 | 유전자 분석 정보 제공 시스템 및 방법 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5612870A (en) * | 1994-12-30 | 1997-03-18 | Ortho Pharmaceutical Corporation | System for tracking secure medical test cards |
FR2738934B1 (fr) * | 1995-09-15 | 1997-11-28 | Thomson Multimedia Sa | Systeme de comptabilisation anonyme d'informations a des fins statistiques, notamment pour des operations de vote electronique ou de releves periodiques de consommation |
JP3200406B2 (ja) * | 1997-11-20 | 2001-08-20 | 富士通株式会社 | 治験支援装置 |
-
2001
- 2001-10-16 AU AU2001295938A patent/AU2001295938A1/en not_active Abandoned
- 2001-10-16 WO PCT/JP2001/009073 patent/WO2002039341A1/ja active Application Filing
- 2001-10-16 JP JP2002541590A patent/JPWO2002039341A1/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
AU2001295938A1 (en) | 2002-05-21 |
WO2002039341A1 (fr) | 2002-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3357039B2 (ja) | 匿名化臨床研究支援方法およびそのシステム | |
US8775211B2 (en) | Methods and systems for managing informed consent processes | |
Roden et al. | Development of a large‐scale de‐identified DNA biobank to enable personalized medicine | |
Loukides et al. | The disclosure of diagnosis codes can breach research participants' privacy | |
Sweeney et al. | Identifying participants in the personal genome project by name (a re-identification experiment) | |
US8037052B2 (en) | Systems and methods for free text searching of electronic medical record data | |
Mittos et al. | Systematizing genome privacy research: a privacy-enhancing technologies perspective | |
US20030036081A1 (en) | Distributed system for epigenetic based prediction of complex phenotypes | |
JP2001357130A (ja) | 診療情報管理システム | |
US20030217037A1 (en) | Method and system for anonymous test administration and user-enabled personal health risk assessment | |
JPWO2002039341A1 (ja) | 匿名化方法及びそのシステム、並びに個人にかかる情報を匿名化して移送する方法及びそのシステム | |
US20050114040A1 (en) | Information processing system using nucleotide sequence-related information | |
US20030073124A1 (en) | System, method, and apparatus for submitting genetic samples and receiving genetic testing results anonymously | |
Lavori et al. | Principles, organization, and operation of a DNA bank for clinical trials:: a Department of Veterans Affairs cooperative study | |
WO2003063048A2 (en) | Method and system for the analysis of medical and personal data | |
WO2003031935A2 (en) | System, method, and apparatus for disease susceptibility testing | |
JP2004192173A (ja) | 個人情報管理システム及び個人情報管理方法 | |
JP2004348749A (ja) | 診療情報システム、診療情報提供システム、診療情報提供方法、診療情報システム、遺伝子解析システム | |
JP2003315347A (ja) | サンプル用ラベル、その使用方法及び被検者匿名化方法 | |
WO2022190778A1 (ja) | 匿名医療情報管理システム | |
KR20230127973A (ko) | 대상의 유전자 데이터를 암호화하기 위한 방법 및 시스템 | |
Cuticchia | OVERVIEW OF BIOINFORMATICS AND MEDICAL INFORMATICS TECHNOLOGY FOR NON-SPECIALISTS | |
Branca | Up to Code: Geisinger’s MyCode Genomics Data Brings Power to Precision Medicine and Research | |
WO1999021114A1 (fr) | Systeme d'enregistrement d'informations medicales, d'assurance et d'assistance sociale | |
Susanto | Informatics Approach and its Impact for Bioscience: Making Sense of Physical Chemistry Innovation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051209 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060329 |