WO2016152601A1

WO2016152601A1 - 画像ファイル分散装置および画像ファイル復元装置ならびにそれらの方法，それらのプログラムおよびそのプログラムを格納した記録媒体

Info

Publication number: WO2016152601A1
Application number: PCT/JP2016/057909
Authority: WO
Inventors: 健太郎宮本
Original assignee: 富士フイルム株式会社
Priority date: 2015-03-23
Filing date: 2016-03-14
Publication date: 2016-09-29
Also published as: JP6397564B2; EP3276525B1; EP3276525A4; JPWO2016152601A1; US20180004424A1; EP3276525A1; US10175911B2

Abstract

　秘匿性の高い（ｋ，ｎ）秘密分散法を利用しても画像ファイル（40）のデータ量が比較的増加しない画像ファイル分散装置および画像ファイル復元装置ならびにそれらの方法，それらのプログラムおよびそのプログラムを格納した記録媒体を提供する。画像ファイル（40）のタグ情報（50）は（ｋ，ｎ）閾値秘密分散法により分散タグ情報（51）等が得られ，画像データ（60）は（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法により分散画像データ（61）等が得られる。分散タグ情報（51）等と分散画像データ（61）等が結合され，結合データ（71）等が得られる。タグ情報（50）のデータ量は少ないので，（ｋ，ｎ）秘密分散法を利用してもデータ量はあまり多くならない。画像データ（60）は，データ量の増加が少ない（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法が用いられているので，総データ量も比較的増加しない。

Description

画像ファイル分散装置および画像ファイル復元装置ならびにそれらの方法，それらのプログラムおよびそのプログラムを格納した記録媒体

　この発明は，画像ファイル分散装置および画像ファイル復元装置ならびにそれらの方法，それらのプログラムおよびそのプログラムを格納した記録媒体に関する。

　データ量が極めて多いデータをストレージ装置に保存すると，ストレージ装置のコストが高くなってしまう。このために，インターネット上で提供されているクラウド・ストレージ・サーバを利用することにより，データの保存のためのコストを低減できる。しかしながら，クラウド・ストレージ・サーバはセキュリティ上の懸念が指摘されており，特にデータの保障が、クラウド利用の課題となっている。セキュリティを向上させるために，秘密分散法を利用して複数の部分データを複数のデータ・センターに分散保存するもの（特許文献１），データをバックアップする装置（特許文献２）などがある。

　秘密分散法にも様々な種類があるが，（ｋ，ｎ）閾値秘密分散法（非特許文献１）は，秘密にすべき情報をｎ個の分散データに分散し，分散されたｎ個のうちｋ個（ｋは，２以上ｎ個以下）を集めて復元するものである。（ｋ，ｎ）閾値秘密分散法は，完全秘密分散であり，閾値未満であるｋ－１個の分散データが入手されても，情報理論的安全性があるので，秘密にすべき情報に関する手がかりが一切漏洩しない。しかし、（ｋ，ｎ）閾値秘密分散法では、分割データのサイズは、元の秘密データのサイズと、同じになるため、分割データの総データ量は、元の秘密データのｎ倍となってしまい、データ量が増加してしまうという欠点がある。（ｋ，ｎ）閾値秘密分散法の問題点を解決するために、分割データのデータ量を小さくすることができる、（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法（非特許文献２）が、提案されている。安全性（ｋ－Ｌまでが情報理論的安全性）を多少落とす代わりに，分散データのサイズを１／Ｌに圧縮するものである。n個の分割データのうち、ｋ個以上のデータを集めることで、元の秘密データを復元することができる点は、（ｋ，ｎ）閾値秘密分散の場合と同様である。

特開2013-020313号公報特開2007-102672号公報

A. Shamir, "How to Share a Secret", Comm.Assoc.Comput.Mach., Vol. 22, no. 11, pp. 612-613(Nov.1979) 山本博資、"（ｋ，Ｌ，ｎ）しきい値秘密分散システム"、電子通信学会論文誌、vol.168-A、No.9、pp.945-952、1985

　その一方で、集められた分割データの数が（ｋ－Ｌ）個以下（１≦Ｌ≦ｋ）である場合は、分割データから、秘密データを完全に復元，推測することはできないものの、ｋ個未満であっても（ｋ－Ｌ）個より多い数の分割データが集められた場合には、部分的に秘密データの情報が得られてしまい、（ｋ，ｎ）閾値秘密分散法と比べて、秘匿性が低い欠点がある。

　この発明は，秘匿性の高い（ｋ，ｎ）閾値秘密分散法を利用してもデータ量が比較的増加しないようにすることを目的とする。

　第１の発明による画像ファイル分散装置は，画像ファイルのタグ情報記録領域に記録されているタグ情報を，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個の分散タグ情報に分散する（ｋ，ｎ）閾値秘密分散手段と，画像ファイルの画像データ記録領域に記録されている画像データを，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個の分散画像データに分散する（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段と，（ｋ，ｎ）閾値秘密分散手段によって分散された第１の複数個の分散タグ情報のそれぞれの分散タグ情報を，異なるストレージ・サーバに送信する分散タグ情報送信手段と，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段によって分散された第２の複数個の分散画像データのそれぞれの分散画像データを，異なるストレージ・サーバに送信する分散画像データ送信手段とを備えていることを特徴とする。

　第１の発明は，画像ファイル分散方法も提供している。すなわち，この方法は，（ｋ，ｎ）閾値秘密分散手段が，画像ファイルのタグ情報記録領域に記録されているタグ情報を，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個の分散タグ情報に分散し，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段が，画像ファイルの画像データ記録領域に記録されている画像データを，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個の分散画像データに分散し，分散タグ情報送信手段が，（ｋ，ｎ）閾値秘密分散手段によって分散された第１の複数個の分散タグ情報のそれぞれの分散タグ情報を，異なるストレージ・サーバに送信し，分散画像データ送信手段が，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段によって分散された第２の複数個の分散画像データのそれぞれの分散画像データを，異なるストレージ・サーバに送信するものである。画像ファイルの分散装置のコンピュータを制御するコンピュータが読み取り可能なプログラムおよびそのプログラムが格納されている（非一時的な）記録媒体も提供している。

　（ｋ，ｎ）閾値秘密分散手段によって分散されたそれぞれの分散タグ情報と（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段によって分散されたそれぞれの分散画像データとを結合して，結合データを生成する結合手段をさらに備えてもよい。この場合，分散タグ情報送信手段および分散画像データ送信手段は，結合手段によって生成された結合データを異なるストレージ・サーバに送信するものとなろう。

　（ｋ，ｎ）閾値秘密分散手段によってタグ情報が分散される第１の複数個の数と，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段によって画像データが分散される第２の複数個の数と，が異なってもよい。

　分散画像データ送信手段は，たとえば，分散タグ情報送信手段による第１の複数個の分散タグ情報の送信後に，第２の複数個の分散画像データの送信を行う。

　分散画像データ送信手段が第２の複数個の分散画像データの送信に利用する通信回線の利用率が，しきい値未満かどうかを判定する判定手段をさらに備えてもよい。この場合，分散画像データ送信手段は，判定手段により通信回線の利用率がしきい値未満であると判定されたことに応じて，第２の複数個の分散画像データの送信を行うものとなろう。

　（ｋ，ｎ）閾値秘密分散手段によって分散された第１の複数個の分散タグ情報のうち少なくとも１個の分散タグ情報を記憶する分散タグ情報記憶手段をさらに備えてもよい。この場合，分散タグ情報送信手段は，第１の複数個の分散タグ情報のうち分散タグ情報記憶手段に記憶させられた分散タグ情報以外の分散タグ情報のそれぞれを，異なるストレージ・サーバに送信するものとなろう。

　画像ファイルは，たとえば，ＤＩＣＯＭファイルである。

　分散タグ情報送信手段によって分散タグ情報が送信されたストレージ・サーバと，分散画像データ送信手段によって分散画像データが送信されたストレージ・サーバと，が異なるものでもよい。

　第２の発明による画像ファイル復元装置は，画像ファイルのタグ情報記録領域に記録されているタグ情報が，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個に分散されて異なるストレージ・サーバに記憶されている第１の複数個の分散タグ情報を読み取る分散タグ情報読取手段と，画像ファイルの画像データ記録領域に記録されている画像データが，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個に分散されて異なるストレージ・サーバに記憶されている第２の複数個の分散画像データを読み取る分散画像データ読取手段と，分散タグ情報読取手段によって読み取られた第１の分散タグ情報を，（ｋ，ｎ）閾値秘密分散法を用いて復元する分散タグ情報復元手段と，分散画像データ読取手段によって読み取られた第２の複数個の分散画像データを，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて復元する分散画像データ復元手段とを備えていることを特徴とする。

　第２の発明は，画像ファイル復元方法も提供している。すなわち，この方法は，　分散タグ情報読取手段が，画像ファイルのタグ情報記録領域に記録されているタグ情報が，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個に分散されて異なるストレージ・サーバに記憶されている第１の複数個の分散タグ情報を読み取り，分散画像データ読取手段が，画像ファイルの画像データ記録領域に記録されている画像データが，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個に分散されて異なるストレージ・サーバに記憶されている第２の複数個の分散画像データを読み取り，分散タグ情報復元手段が，分散タグ情報読取手段によって読み取られた第１の分散タグ情報を，（ｋ，ｎ）閾値秘密分散法を用いて復元し，分散画像データ復元手段が，分散画像データ読取手段によって読み取られた第２の複数個の分散画像データを，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて復元するものである。画像ファイル復元装置のコンピュータが読み取り可能なプログラムおよびそのプログラムが格納されている（非一時的な）記録媒体も提供している。

　分散画像データ読取手段による第２の複数個の分散画像データの読取を停止する画像データ読取停止手段をさらに備えてもよい。

　分散タグ情報復元手段によって復元された分散タグ情報と，分散画像データ復元手段によって復元された分散画像データとから，画像ファイルを生成する画像ファイル生成手段をさらに備えてもよい。

　この場合も，画像ファイルは，たとえば，ＤＩＣＯＭファイルである。

　第１の発明によると，画像ファイルのタグ情報は，（ｋ，ｎ）閾値分散法を用いて第１の複数個の分散タグ情報に分散される。第１の複数個の分散タグ情報は，異なるストレージ・サーバに送信され，記憶させられる。また，画像ファイルの画像データは，（ｋ，Ｌ，ｎ）ランプ型閾値分散法を用いて第２の複数個に分散される。第２の複数個の画像データは，異なるストレージ・サーバに送信され，記憶させられる。（ｋ，ｎ）閾値分散法の秘匿性は，（ｋ，Ｌ，ｎ）ランプ型閾値分散法の秘匿性よりも高いがデータ量が多くなってしまう。これに対して，（ｋ，Ｌ，ｎ）ランプ型閾値分散法の秘匿性は，（ｋ，ｎ）閾値分散法の秘匿性よりも低いが，（ｋ，Ｌ，ｎ）ランプ型閾値分散法の分散後のデータ量は，（ｋ，ｎ）閾値分散法の分散後のデータ量は少ない。この発明によると，元々のデータ量が多い画像データについては，分散後のデータ量が少ない（ｋ，Ｌ，ｎ）ランプ型閾値分散法を用いて分散されるので，比較的データ量を抑えることができる。タグ情報は，画像データに比べ重要なので，データが漏えいしないように，より秘匿性の高い（ｋ，ｎ）分散法を用いて分散される。タグ情報については元々のデータ量が少ないので，（ｋ，ｎ）分散法を用いて分散してデータ量が多くなっても，画像データを（ｋ，ｎ）分散法を用いて分散した場合に比べてデータ量が増加する割合が少ない。分散後のデータ量の増加を抑えつつ，重要なタグ情報の秘匿性を保証することができる。

　第２の発明によると，第１の発明により分散された分散タグ情報および分散画像データが読み取られる。読み取られた分散タグ情報および分散画像データが復元される。分散される前のタグ情報および画像データが得られるようになる。

画像ファイル分散／復元装置の電気的構成を示すブロック図である。 DICOMファイルのファイル構造である。画像ファイルが分散される様子を示している。結合データの記録先のアドレスを格納したテーブルである。画像ファイル分散／復元装置の処理手順を示すフローチャートである。画像ファイル分散／復元装置の処理手順を示すフローチャートである。画像ファイル分散／復元装置の処理手順を示すフローチャートである。画像ファイル分散／復元装置の処理手順を示すフローチャートである。画像ファイル分散／復元装置の処理手順を示すフローチャートである。画像ファイル分散／復元装置の処理手順を示すフローチャートである。分散された結合データが画像ファイルに復元される様子を示している。画像ファイル分散／復元装置の処理手順を示すフローチャートである。

　図１は，この発明の実施例を示すもので，主として画像ファイル分散／復元装置10の電気的構成を示すブロック図である。図２は，DICOM（Digital Imaging and Communication in Medicine）ファイル40のファイル構造を示している。図３は，DICOMファイル40が画像ファイル分散／復元装置によって分散される様子を示している。

　画像ファイル分散／復元装置10（画像ファイル分散装置，画像ファイル復元装置）は，画像ファイルを秘密分散法により分散させるものである。この実施例による画像ファイル分散／復元装置10においては，（ｋ，ｎ）閾値秘密分散法と（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法とによる分散ができる。（ｋ，ｎ）閾値秘密分散法は，秘密にすべき情報をｎ個の分散データに分散し，分散されたｎ個のうちｋ個（ｋは，２以上ｎ個以下）を集めて復元するものである。（ｋ，ｎ）閾値秘密分散法は，完全秘密分散であり，閾値未満であるｋ－１個の分散データが入手されても，情報理論的安全性があるので，秘密にすべき情報に関する手がかりが一切漏洩しない。（ｋ，Ｌ，ｎ）ランプ型閾値分散法は，安全性（ｋ－Ｌまでが情報理論的安全性）を多少落とす代わりに，分散データのサイズを１／Ｌに圧縮するものである。これらの分散法において，ｎは分散数，ｋは閾値である。

　（ｋ，ｎ）閾値秘密分散法は，秘密にすべき情報をｎ個の分散データに分散し，分散されたｎ個のうちｋ個（ｋは，２以上ｎ個以下）を集めて復元するものであれば，秘密分散法，閾値分散法，秘密分割法，閾値分割法，閾値秘密分割法などの表現に関わらずすべてを含む。同様に，（ｋ，Ｌ，ｎ）ランプ型閾値分散法も，安全性（ｋ－Ｌまでが情報理論的安全性）を多少落とす代わりに，分散データのサイズを１／Ｌに圧縮するものであれば，表現に関わらずすべてを含む。

　画像ファイル分散／復元装置10は，ネットワークを介してｐ台のパーソナル・コンピュータ１－ｐと通信可能であり，かつネットワークを介してｍ台のパーソナル・コンピュータ31―3mと通信可能である。

　画像ファイル分散／復元装置10の全体の動作は，制御装置11によって統括される。

　画像ファイル分散／復元装置10には，CD-ROM（Compact Disc Read Only Memory）ドライブ23が含まれている。後述するプログラムが格納されているCD-ROM（Compact Disc Read Only Memory）24（記録媒体）が画像ファイル分散／復元装置10に装填されることにより，CD-ROM24に格納されているプログラムが読み取られ，画像ファイル分散／復元装置10にインストールされる。プログラムは，CD-ROM24のような記録媒体に限らず，メモリ・カードのような他の記録媒体に格納されていてもよいし，ネットワークを介してダウンロードされて画像ファイル分散／復元装置10にインストールされるようにしてもよい。

　画像ファイル分散／復元装置10には，ユーザによって操作される操作装置12が含まれている。操作装置12から与えられるコマンドは，制御装置11に与えられる。また，制御装置11には，データ等を記憶するメモリ13が接続されている。

　この実施例では，秘密情報として患者のレントゲン画像データなど格納されるDICOMファイル40が分散されるが，DICOMファイル40に限らず他のファイルが分散されてもよいのはいうまでもない。

　図２を参照して，DICOMファイル40には，タグ情報記録領域41および画像データ記録領域42が含まれている。

　画像データ記録領域42には，レントゲン画像データなどの医療画像データが記録される。

　タグ情報記録領域41には，患者名，患者ＩＤなど，画像データ記録領域42に記録されている画像データによって表される画像の患者に関するタグ情報（管理情報）が記録される。

　図１および図３を参照して，パーソナル・コンピュータ１―ｎのうち，いずれかのパーソナル・コンピュータからDICOMファイル40が送信され，ネットワークを介して画像ファイル分散／復元装置10のデータ入出力装置14に入力する。DICOMファイル40は，一次記憶メモリ15に与えられ，記憶される。DICOMファイル40は，制御装置11によってタグ情報50と画像データ60とに分割される。タグ情報記録領域41にタグ情報50のデータ量を表すデータが記録されているので，そのデータ量を表すデータまでがタグ情報50であり，タグ情報50の後から画像データ60が記録されているので，DICOMファイル40からタグ情報50と画像データ60とを分割できる。

　分割されたタグ情報50は，第１の分散データ生成装置16に入力する。第１の分散データ生成装置16は，（ｋ，ｎ）閾値秘密分散法によりタグ情報50を第１の複数個（ｎ個）の分散タグ情報に分散するものである。この実施例では，第１の分散データ生成装置16｛（ｋ，ｎ）閾値秘密分散手段｝において，タグ情報50が３個（３個でなくともよい）の分散タグ情報51，52および53に分散される。分散タグ情報51，52および53は，分散／復元データ保存メモリ18に与えられ，一時的に記憶される。

　分割された画像データ60は第２の分散データ生成装置17に入力する。第２の分散データ生成装置17は，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法により画像データ60を第２の複数個（ｎ個）の画像データに分散するものである。この実施例では，第２の分散データ生成装置17｛（ｋ，Ｌ，ｎ）ランプ型閾値分散手段｝において，画像データ60が３個（３個でなくともよい）の画像データ61，62および63に分散される。分散画像データ61，62および63は，分散／復元データ保存メモリ18に与えられ，一時的に記憶される。

　分散／復元データ保存メモリ18に記憶された分散タグ情報51，52および53ならびに分散画像データ61，62および63は，結合装置19（結合手段）に与えられる。結合装置19において，分散タグ情報51と分散画像データ61とが結合され，分散タグ情報52と分散画像データ62とが結合され，分散タグ情報53と分散画像データ63とが結合され，結合データ71，72および73が生成される。

　生成された結合データ71，72および73のうち，結合データ71は第１のストレージ・サーバ31に，結合データ72は第２のストレージ・サーバ32に，結合データ73は第３のストレージ・サーバ33に，データ通信装置22（分散タグ情報送信手段，分散画像データ送信手段）によってそれぞれ送信される。このように，結合データ71，72および73は，それぞれ異なる複数のストレージ・サーバ31，32および33に送信され，記録されることとなる。

　図４は，結合データ71-73の記録先を示す記録先テーブルの一例を示している。

　記録先テーブルには，DICOMファイルNo.およびDICOMファイル名ごとに，上述した結合データ71-73の記録先のアドレスが格納される。

　上述したDICOMファイル40のファイル名に対応して，結合データ71の記録先であるストレージ・サーバ31の（記録領域の）アドレスが第１の記録先として，結合データ72の記録先であるストレージ・サーバ32の（記録領域の）アドレスが第２の記録先として，結合データ73の記録先であるストレージ・サーバ33の（記録領域の）アドレスが第３の記録先として，記録先テーブルに格納される。

　記録先テーブルは，メモリ13に格納される。メモリ13に格納されている記録先テーブルを読み取ることにより，所望の結合データ71，72および73の記録先のアドレスが分かり，所望の結合データをストレージ・サーバ31，32および33から読み取ることができる。

　図５は，画像ファイル分散／復元装置10の処理手順を示すフローチャートである。

　パーソナル・コンピュータ１―ｐのうち，いずれかのパーソナル・コンピュータから送信されたDICOMファイル40がデータ入出力装置14から入力され（ステップ81），制御装置11によってタグ情報50と画像データ60とに分割される（ステップ82）。タグ情報50は，第１の分散データ生成装置16において，分散タグ情報51，52および53に分散される（ステップ83）。画像データ60は，第２の分散データ生成装置17において，分散画像データ61，62および63に分散される（ステップ84）。

　上述のように，分散タグ情報51と分散画像データ61とが結合され，分散タグ情報52と分散画像データ62とが結合され，分散タグ情報53と分散画像データ63とが結合され，結合データ71，72および73が結合装置19において生成される（ステップ85）。結合データ71が第１のストレージ・サーバ31に，結合データ72が第２のストレージ・サーバ32に，結合データ73が第３のストレージ・サーバ33に，それぞれ送信される（ステップ86）。

　上述の実施例においては，分散タグ情報51等と分散画像データ61等とが結合されて得られる結合データ71等を異なるストレージ・サーバ31等に送信しているが，結合しないで，分散タグ情報51等と分散画像データ61等とを別々に異なるストレージ・サーバ31等に送信するようにしてもよい。たとえば，結合していない分散タグ情報51をデータ通信装置22（分散画像データ送信手段）によってストレージ・サーバ31に送信し，結合していない分散タグ情報52をデータ通信装置22によってストレージ・サーバ32に送信し，結合していない分散タグ情報53をデータ通信装置22によってストレージ・サーバ33に送信する。分散画像データ61は，ストレージ・サーバ31に送信してもよいし，分散タグ情報51―53が記憶されているストレージ・サーバ31－33以外のストレージ・サーバに送信してもよい。同様に，分散画像データ62は，ストレージ・サーバ32に送信してもよいし，分散タグ情報51―53が記憶されているストレージ・サーバ31－33以外のストレージ・サーバに送信してもよい。分散画像データ63も，ストレージ・サーバ33に送信してもよいし，分散タグ情報51―53が記憶されているストレージ・サーバ31－33以外のストレージ・サーバに送信してもよい。

　図６は，図３に対応するもので，DICOMファイル40が画像ファイル分散／復元装置10によって分散される様子を示している。

　上述の実施例では，第１の分散データ生成装置16において生成された分散タグ情報51－53の数（第１の複数個である３個）と，第２の分散データ生成装置17において生成された分散画像データ61－63の数（第２の複数個である３個）と，は同じ数であるが，異なる数でもよい。

　図６を参照して，タグ情報50は，第１の分散データ生成装置16において４個の分散タグ情報51－54に分散される。画像データ60は，第２の分散データ生成装置17において３個の分散画像データ61－63に分散される。第１の分散データ生成装置16において分散された分散タグ情報51－54のうちの３つの分散タグ情報51－53と，第２の分散データ生成装置17において分散された分散画像データ61－63と，が上述のように，それぞれ結合され，結合データ71－73が生成される。上述のように，生成された結合データ71，72および73のそれぞれがストレージ・サーバ31，32および33のそれぞれに送信される。４個の分散タグ情報51－54のうち，結合データ71－73の結合に利用されない分散タグ情報54については，ストレージ・サーバ31－33以外のストレージ・サーバにデータ通信装置22によって送信される。

　上述した実施例では，第１の分散データ生成装置16によって生成された分散タグ情報51－54の数の方が，第２の分散データ生成装置17によって生成された分散画像データ61－53の数よりも多いが，その逆でもよい。その場合には，結合データ71－73に利用されない分散画像データが，結合データ71－73が送信されたストレージ・サーバ31－33以外のストレージ・サーバに送信されることとなる。

　図７および図８は，画像ファイル分散／復元装置10の他の処理手順を示すフローチャートである。これらの図７および図８に示す処理において，図５に示す処理と同一の処理については同一符号を付して説明を省略する。

　上述のようにして，３個（第１の複数個）の分散タグ情報51－53と３個（第２の複数個）の分散画像データ61－63が生成される（ステップ81－84）。結合データ71－73が生成されずに，データ通信装置22（分散タグ情報送信手段）によって３個の分散タグ情報51，52および53のそれぞれが，ストレージ・サーバ31，32および33のそれぞれに送信される（ステップ87）。

　分散タグ情報51，52および53がストレージ・サーバ31，32および33に送信されると，制御装置11は，画像ファイル分散／復元装置10とストレージ・サーバ31－3nとの間を接続するネットワーク｛データ通信装置22が第２の複数個の分散画像データの送信に利用するネットワーク（通信回線）｝の利用率を検出する（ステップ80）。検出された利用率が閾値未満と制御装置11（判定手段）によって判定されると（ステップ89でＹＥＳ），分散画像データ61－63をストレージ・サーバ31－3nのいずれかに迅速に送信できる。第２の複数個の分散画像データ61，62および63が，データ通信装置22（分散画像データ送信手段）によってストレージ・サーバ31－3nのうち，異なるストレージ・サーバに送信される（ステップ90）。利用率が閾値以上であると（ステップ89でＮＯ），利用率が閾値未満となるので，第２の複数個の分散画像データ61，62および63の送信が一時的に停止させられる。利用率が閾値未満となると，第２の複数個の分散画像データ61，62および63が送信させられる。

　上述の実施例においては，ネットワークの利用率を検出し，検出された利用率が閾値未満である場合に，分散画像データ61－63がストレージ・サーバ31－3nに送信されるが，利用率を検出しなくとも分散タグ情報51－53のそれぞれを先にストレージ・サーバ31－3nのうち異なるストレージ・サーバに送信した後に，分散画像データ61－63をストレージ・サーバ31－3nのうち異なるストレージ・サーバに送信するようにしてもよい。

　図９は，画像ファイル分散／復元装置10の他の処理手順を示すフローチャートである。図９において，図５に示す処理と同一の処理については同一符号を付して説明を省略する。

　図６に示すように，分散タグ情報51－54が生成され，分散画像データ61－63が生成される（ステップ81－84）。分散タグ情報54については，画像ファイル分散／復元装置10からストレージ・サーバ31－3nのいずれかに送信されることなく，分散／復元データ保存メモリ18に保存される（ステップ101）。このように，第１の複数個の分散タグ情報のうち，少なくとも１個の分散タグ情報が分散／復元データ保存メモリ18に保存される。

　分散／復元データ保存メモリ18に保存された分散タグ情報54以外の分散タグ情報51－53のそれぞれが，ストレージ・サーバ31－3nのうち異なるストレージ・サーバのそれぞれにデータ通信装置22から送信される（ステップ102）。分散画像データ61－63についてもストレージ・サーバ31－3nのうち異なるストレージ・サーバのそれぞれにデータ通信装置22から送信される（ステップ103）。

　図10から図12は，上述のようにして分散された分散タグ情報51－53等と分散画像データ61－63等を復元するものである。

　図10は，画像ファイル分散／復元装置10の処理手順を示すフローチャートである。図11は，上述のように分散された結合データ71－72（分散タグ情報51－53，分散画像データ61－63）が復元される様子を示している。

　結合データ71はストレージ・サーバ31に，結合データ72は，ストレージ・サーバ32に，結合データ73はストレージ・サーバ33というように，分散された結合データ71－73は，異なるストレージ・サーバ31－33のそれぞれに記憶されている。また，図４に示すように，結合データ71，72および73のそれぞれの保存先を示すアドレスがメモリ13に記憶されているから，それらのアドレスを読み取り，結合データ71，72および73の送信指令が，画像ファイル分散／復元装置10の制御装置11からストレージ・サーバ31，32および33のそれぞれに送信される。

　画像ファイル分散／復元装置10からの送信指令がストレージ・サーバ31，32および33のそれぞれにおいて受信されると，ストレージ・サーバ31から画像ファイル分散／復元装置10に結合データ71が送信され，ストレージ・サーバ32から画像ファイル分散／復元装置10に結合データ72が送信され，ストレージ・サーバ33から画像ファイル分散／復元装置10に結合データ73が送信される。

　ストレージ・サーバ31－33から送信された結合データ71－73は，画像ファイル分散／復元装置10のデータ通信装置22において受信される。すなわち，複数の結合データ71－73がデータ通信装置22によって読み取られる（ステップ101）。

　制御装置11によって，結合データ71－73のそれぞれが，第１の複数個の分散タグ情報51－53のそれぞれと，第２の複数個の分散画像データ61－63のそれぞれとに分割される（ステップ112）。分散タグ情報51－53のそれぞれと，分散画像データ61－63のそれぞれとを分割する部分は，分散タグ情報51－53のそれぞれのデータ量を分散時にメモリ13に記憶させておくことにより分かるし，分散画像データ61－63のそれぞれが開始する部分をメモリ13に記憶させておくことにより分かる。分割された分散タグ情報51－53のそれぞれと，分割された分散画像データ61－63のそれぞれは，分散／復元データ保存メモリ18に一時的に記憶される。

　分散／復元データ保存メモリ18に一時的に記憶された分散タグ情報51－53は，制御装置11によって読み取られ第１の分散データ復元装置20に与えられる。すなわち，分割された第１の複数個の分散タグ情報51－53が制御装置11（分散タグ情報読取手段）によって読み取られる（ステップ113）。このようにして，DICOMファイル40のタグ情報記録領域41に記録されているタグ情報が，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個に分散されて異なるストレージ・サーバ31－33に記憶されている第１の複数個の分散タグ情報51－53が制御装置11（分散タグ情報読取手段）によって読み取られることとなる。

　また，分散／復元データ保存メモリ18に一時的に記憶された分散画像データ61－63は，制御装置11によって読み取られ第２の分散データ復元装置21に与えられる。すなわち，分割された第２の複数個の分散画像データ61－63が制御装置11（分散画像データ読取手段）によって読み取られる（ステップ114）。このようにして，DICOMファイル40の画像データ記録領域42に記録されている画像データが，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個に分散されて異なるストレージ・サーバ31－33に記憶されている第２の複数個の分散画像データ61－63が制御装置11（分散画像データ読取手段）によって読み取られることとなる。

　第１の分散データ復元装置20において，分散タグ情報51－53（第１の複数個の分散タグ情報）が復元される（ステップ115）。制御装置11（分散タグ情報読取手段）によって読み取られた第１の分散タグ情報が，（ｋ，ｎ）閾値秘密分散法を用いて第１の分散データ復元装置20（分散タグ情報復元手段）によって復元されることとなる。この復元により，分散前のタグ情報50が得られる。

　第２の分散データ復元装置21において，分散画像データ61－63（第２の複数個の分散画像データ）が復元される（ステップ116）。制御装置11（分散画像データ読取手段）によって読み取られた第２の複数個の分散画像データ61－63が，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の分散データ復元装置21（分散画像データ復元手段）によって復元されることとなる。この復元により分散前の画像データ60が得られる。

　復元されたタグ情報50と，復元された画像データ60とが制御装置11によって読み取られ，制御装置11（画像ファイル生成手段）によって結合されDICOMファイル40が生成される（ステップ117）。生成されたDICOMファイル40は，パーソナル・コンピュータ１－ｎのいずれかに与えられ，画像およびタグ情報が再生される。

　上述の実施例では，異なるストレージ・サーバ31－33に記憶されている結合データ71－73が読み取られてDICOMファイル40に復元されているが，結合されていない状態の分散タグ情報51－53および分散画像データ61－63が異なるストレージ・サーバ31－33に記憶されている場合も，分散タグ情報51－53がデータ通信装置22によって読み取られ（分散タグ情報読取手段），分散画像データ61－63がデータ通信装置22によって読み取られる（分散画像データ読取手段）ことにより，同様にして画像ファイルに復元できる。また，分散タグ情報51－53が異なるストレージ・サーバ31－33に記憶されており，分散画像データ61－63がストレージ・サーバ31－33以外の異なるストレージ・サーバに分散されて記憶されている場合も同様に，DICOMファイル40に復元できる。

　図12は，他の処理手順を示すもので，画像ファイル分散／復元装置10の処理手順を示すフローチャートである。

　図12に示す処理手順は，分散タグ情報51－53の読み取り後に分散画像データ61－63を読み取るものである。

　上述したのと同様に，ストレージ・サーバ31－33に記憶されている第１の複数個の分散タグ情報51－53がデータ通信装置22によって読み取られる（ステップ121）。

　ユーザが分散タグ情報51－53の復元のみでよく，分散画像データ61－63の復元が不要であると考える場合には，操作装置12から画像ファイル分散／復元装置10に読み取り停止指令が与えられる。読み取り停止指令が与えられると（ステップ122でＹＥＳ），データ通信装置22における分散画像データ61－63の読み取りが停止されるように制御装置11（画像データ読取停止手段）によって制御される。読み取られた分散タグ情報51－53が第１の分散データ復元装置20において復元される（ステップ127）。

　分散画像データ61－63の復元が必要であると考える場合には，画像ファイル分散／復元装置10には読み取り停止指令が与えられずに（ステップ122でＮＯ），上述したのと同様に，ストレージ・サーバ31－33に記憶されている分散画像データ61－63がデータ通信装置22によって読み取られる（ステップ123）。また，読み取られた分散タグ情報51－53が第１の分散データ復元装置20において復元され，タグ情報50が得られる（ステップ124）。さらに，読み取られた分散画像データ61－63が第２の分散データ復元装置21において復元され，画像データ60が得られる（ステップ125）。タグ情報50と画像データ60とが結合され，DICOMファイル40が得られる（ステップ126）。

　上述したように，タグ情報50が複数の分散タグ情報51－54に分散され，分散タグ情報54が分散／復元データ保存メモリ18に保存され，分散タグ情報51－53がストレージ・サーバ31－33に記憶されている場合も，上述したのと同様にしてタグ情報50の復元，画像データ60の復元ができるのはいうまでもない。

　図１に示す画像ファイル分散／復元装置10においては，ハードウエアによって画像ファイルの分散および復元が行なわれているが，それらの一部またはすべてがソフトウエアによって行なわれるようにしてもよい。また，画像ファイル分散／復元装置10は画像ファイルの分散と復元との両方を行なうことができるが，画像ファイルの分散のみを行なう装置，画像ファイルの復元のみを行なう装置の別々としてもよい。

　上述の実施例では，画像ファイルのタグ情報記録領域に記録されているタグ情報を（ｋ，ｎ）閾値秘密分散法により分散しているが，タグ情報記録領域という名称に限らず，ヘッダ記録領域などに記録されているヘッダ情報のように画像ファイルの管理情報を（ｋ，ｎ）閾値秘密分散法により分散するようにすればよい。

10　画像ファイル分散／復元装置（画像ファイル分散装置，画像ファイル復元装置）
11　制御装置（結合手段，判定手段，分散タグ情報読取手段，分散画像データ読取手段，画像データ読取停止手段）
16　第１の分散データ生成装置｛（ｋ，ｎ）閾値秘密分散手段｝
17　第２の分散データ生成装置｛（ｋ，Ｌ，ｎ）閾値秘密分散手段｝
18　分散／復元データ保存メモリ（分散タグ情報記憶手段）
20　第１の分散データ復元装置（分散タグ情報復元手段）
21　第２の分散データ復元装置（分散画像データ復元手段）
22　データ通信装置（分散タグ情報送信手段，分散画像データ送信手段，分散タグ情報読取手段，分散画像データ読取手段）

Claims

　画像ファイルのタグ情報記録領域に記録されているタグ情報を，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個の分散タグ情報に分散する（ｋ，ｎ）閾値秘密分散手段と，
　上記画像ファイルの画像データ記録領域に記録されている画像データを，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個の分散画像データに分散する（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段と，
　上記（ｋ，ｎ）閾値秘密分散手段によって分散された第１の複数個の分散タグ情報のそれぞれの分散タグ情報を，異なるストレージ・サーバに送信する分散タグ情報送信手段と，
　上記（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段によって分散された第２の複数個の分散画像データのそれぞれの分散画像データを，異なるストレージ・サーバに送信する分散画像データ送信手段と，
　を備えた画像ファイル分散装置。
　上記（ｋ，ｎ）閾値秘密分散手段によって分散されたそれぞれの分散タグ情報と上記（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段によって分散されたそれぞれの分散画像データとを結合して，結合データを生成する結合手段をさらに備え，
　上記分散タグ情報送信手段および上記分散画像データ送信手段は，上記結合手段によって生成された結合データを異なるストレージ・サーバに送信する，
　請求項１に記載の画像ファイル分散装置。
　上記（ｋ，ｎ）閾値秘密分散手段によってタグ情報が分散される第１の複数個の数と，上記（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段によって画像データが分散される第２の複数個の数と，が異なる，
　請求項１または２に記載の画像ファイル分散装置。
　上記分散画像データ送信手段は，
　上記分散タグ情報送信手段による第１の複数個の分散タグ情報の送信後に，上記第２の複数個の分散画像データの送信を行う，
　請求項１から３のうち，いずれか一項に記載の画像ファイル分散装置。
　上記分散画像データ送信手段が上記第２の複数個の分散画像データの送信に利用する通信回線の利用率が，閾値未満かどうかを判定する判定手段をさらに備え，
　上記分散画像データ送信手段は，
　上記判定手段により上記通信回線の利用率が閾値未満であると判定されたことに応じて，上記第２の複数個の分散画像データの送信を行う，
　請求項４に記載の画像ファイル分散装置。
　上記（ｋ，ｎ）閾値秘密分散手段によって分散された第１の複数個の分散タグ情報のうち少なくとも１個の分散タグ情報を記憶する分散タグ情報記憶手段をさらに備え，
　上記分散タグ情報送信手段は，
　上記第１の複数個の分散タグ情報のうち上記分散タグ情報記憶手段に記憶させられた分散タグ情報以外の分散タグ情報のそれぞれを，異なるストレージ・サーバに送信するものである，
　請求項１に記載の画像ファイル分散装置。
　上記画像ファイルは，ＤＩＣＯＭファイルである，
　請求項１から６のうち，いずれか一項に記載の画像ファイル分散装置。
　上記分散タグ情報送信手段によって分散タグ情報が送信されたストレージ・サーバと，上記分散画像データ送信手段によって分散画像データが送信されたストレージ・サーバと，が異なるものである，
　請求項１から７のうち，いずれか一項に記載の画像ファイル分散装置。
　画像ファイルのタグ情報記録領域に記録されているタグ情報が，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個に分散されて異なるストレージ・サーバに記憶されている第１の複数個の分散タグ情報を読み取る分散タグ情報読取手段と，
　上記画像ファイルの画像データ記録領域に記録されている画像データが，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個に分散されて異なるストレージ・サーバに記憶されている第２の複数個の分散画像データを読み取る分散画像データ読取手段と，
　上記分散タグ情報読取手段によって読み取られた第１の分散タグ情報を，（ｋ，ｎ）閾値秘密分散法を用いて復元する分散タグ情報復元手段と，
　上記分散画像データ読取手段によって読み取られた第２の複数個の分散画像データを，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて復元する分散画像データ復元手段と，
　を備えた画像ファイル復元装置。
　上記分散画像データ読取手段による上記第２の複数個の分散画像データの読取を停止する画像データ読取停止手段，
　をさらに備えた請求項９に記載の画像ファイル復元装置。
　上記分散タグ情報復元手段によって復元された分散タグ情報と，上記分散画像データ復元手段によって復元された分散画像データとから，上記画像ファイルを生成する画像ファイル生成手段，
　をさらに備えた請求項９または10に記載の画像ファイル復元装置。
　上記画像ファイルは，ＤＩＣＯＭファイルである，
　請求項９から11のうち，いずれか一項に記載の画像ファイル復元装置。
　（ｋ，ｎ）閾値秘密分散手段が，画像ファイルのタグ情報記録領域に記録されているタグ情報を，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個の分散タグ情報に分散し，
　（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段が，上記画像ファイルの画像データ記録領域に記録されている画像データを，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個の分散画像データに分散し，
　分散タグ情報送信手段が，上記（ｋ，ｎ）閾値秘密分散手段によって分散された第１の複数個の分散タグ情報のそれぞれの分散タグ情報を，異なるストレージ・サーバに送信し，
　分散画像データ送信手段が，上記（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段によって分散された第２の複数個の分散画像データのそれぞれの分散画像データを，異なるストレージ・サーバに送信する，
　画像ファイル分散方法。
　分散タグ情報読取手段が，画像ファイルのタグ情報記録領域に記録されているタグ情報が，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個に分散されて異なるストレージ・サーバに記憶されている第１の複数個の分散タグ情報を読み取り，
　分散画像データ読取手段が，上記画像ファイルの画像データ記録領域に記録されている画像データが，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個に分散されて異なるストレージ・サーバに記憶されている第２の複数個の分散画像データを読み取り，
　分散タグ情報復元手段が，上記分散タグ情報読取手段によって読み取られた第１の分散タグ情報を，（ｋ，ｎ）閾値秘密分散法を用いて復元し，
　分散画像データ復元手段が，上記分散画像データ読取手段によって読み取られた第２の複数個の分散画像データを，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて復元する，
　画像ファイル復元方法。
　画像ファイル分散装置のコンピュータを制御するコンピュータが読み取り可能なプログラムであって，
　画像ファイルのタグ情報記録領域に記録されているタグ情報を，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個の分散タグ情報に分散させ，
　上記画像ファイルの画像データ記録領域に記録されている画像データを，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個の分散画像データに分散させ，
　分散された第１の複数個の分散タグ情報のそれぞれの分散タグ情報を，異なるストレージ・サーバに送信させ，
　上記（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散手段によって分散された第２の複数個の分散画像データのそれぞれの分散画像データを，異なるストレージ・サーバに送信させるように画像ファイル分散装置のコンピュータを制御するコンピュータが読み取り可能なプログラム。
　画像ファイル復元装置のコンピュータを制御するコンピュータが読み取り可能なプログラムであって，
　画像ファイルのタグ情報記録領域に記録されているタグ情報が，（ｋ，ｎ）閾値秘密分散法を用いて第１の複数個に分散されて異なるストレージ・サーバに記憶されている第１の複数個の分散タグ情報を読み取らせ，
　上記画像ファイルの画像データ記録領域に記録されている画像データが，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて第２の複数個に分散されて異なるストレージ・サーバに記憶されている第２の複数個の分散画像データを読み取らせ，
　読み取られた第１の分散タグ情報を，（ｋ，ｎ）閾値秘密分散法を用いて復元させ，
　読み取られた第２の複数個の分散画像データを，（ｋ，Ｌ，ｎ）ランプ型閾値秘密分散法を用いて復元させるように画像ファイル復元装置のコンピュータを制御するコンピュータが読み取り可能なプログラム。
　請求項15または16に記載のプログラムを格納した記録媒体。