WO2021085061A1

WO2021085061A1 - 情報取引システム、情報取引装置、情報取引方法、プログラム

Info

Publication number: WO2021085061A1
Application number: PCT/JP2020/037969
Authority: WO
Inventors: 雄亮佐藤; 泰正光畑; 雅視井上; 由梨香道下
Original assignee: 日本電気株式会社
Priority date: 2019-10-31
Filing date: 2020-10-07
Publication date: 2021-05-06
Also published as: JP7334793B2; US20240104080A1; JPWO2021085061A1

Abstract

情報取引装置は、情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶する。情報取引装置は、情報提供先装置からデータセットの提供要求を受け付ける。情報取引装置は、提供要求が示すデータセットの送信要求を、情報提供元装置へ出力する。

Description

情報取引システム、情報取引装置、情報取引方法、プログラム

　本発明は、情報取引システム、情報取引装置、情報取引方法、プログラムに関する。

　病院などに保有されている個人情報を、個人の同意に基づき、個人情報の活用を希望する活用事業者などの情報提供先の装置に提供するコンピュータシステムが提案されている。このようなコンピュータシステムは、例えば情報銀行などの組織が管理する情報取引装置に、情報提供元装置と情報提供先装置とを通信接続させる。情報提供元装置は、情報提供元の企業などの組織が管理する装置である。情報提供先装置は、活用事業者などの情報提供先の組織が管理する装置である。情報取引装置は、情報提供元装置から送られた個人情報を記憶し、その個人情報の中から情報提供先装置を管理する活用事業者等が希望する個人情報を、当該情報提供先装置へ送信する。このようなシステムに関連する技術が特許文献１および特許文献２に開示されている。

　特許文献１には、保有事業者などが保有している個人情報について活用事業者から個人情報の要求があったとき、仲介サーバが、公開が許されていない情報提供者の属性と情報提供者の情報との組合せを、名寄せができなくなるようにダミー情報に置き代えて利用者端末に対して公開する技術が開示されている。この技術により、個人情報を外部に安全に公開するようにしている。

　特許文献２には、外部ネットワークを介することなく医療データを取得し、修正指示に基づいて当該医療データを修正してネットワークに出力する技術が開示されている。この技術により、医療データに含まれる個人情報の保護範囲を流動的に変動でき、かつ当該医療データを安全に外部ネットワークに流通させるようにしている。

特開２００７－２６４７３０号公報特開２０１９－９６１３４号公報

　上述のようなコンピュータシステムでは、複数の情報提供元が生成した個人情報を、情報提供元を管理する情報提供元装置の外部に設けられ、情報提供先装置へ個人情報の提供の仲介を行う情報取引装置で記憶する。そのようなコンピュータシステムでは、複数の情報提供元装置等で発生した大量の個人情報を情報取引装置が保持することとなる。このような場合、特に、情報提供元装置が多く存在する場合、情報取引装置には、それら情報提供元装置を管理する組織により発生された大量の個人情報の不正な流出等のリスクが集中して発生してしまうこととなる。

　本発明は、上述の課題を解決する情報取引システム、情報取引装置、情報取引方法、プログラムを提供することを目的としている。

　本発明の第一の態様によれば、情報取引システムは、情報提供元装置と情報提供先装置に通信接続した情報取引装置とを備え、前記情報取引装置は、前記情報提供元装置から前記情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶し、前記情報提供先装置から前記データセットの提供要求を受け付け、前記提供要求が示すデータセットの送信要求を前記情報提供元装置へ出力する。

　本発明の第二の態様によれば、情報取引装置は、前記情報提供元装置から前記情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶し、前記情報提供先装置から前記データセットの提供要求を受け付け、前記提供要求が示すデータセットの送信要求を前記情報提供元装置へ出力する。

　本発明の第三の態様によれば、情報取引方法は、情報提供元装置と情報提供先装置とに接続された情報取引装置を備えた情報取引システムにおいて、前記情報取引装置が、前記情報提供元装置から前記情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶し、前記情報提供先装置から前記データセットの提供要求を受け付け、前記提供要求が示すデータセットの送信要求を前記情報提供元装置へ出力する。

　本発明の第四の態様によれば、プログラムは、情報取引装置のコンピュータを、前記情報提供元装置から前記情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶する手段、前記情報提供先装置から前記データセットの提供要求を受け付ける手段、および前記提供要求が示すデータセットの送信要求を前記情報提供元装置へ出力する手段として機能させる。

　本発明の第五の態様によれば、情報取引方法は、情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目を前記データセットそれぞれについて記述したデータセット指定ウェブページを前記情報提供先装置へ送信し、前記データセット指定ウェブページに記述された前記一つ以上のデータセットのうち提供要求対象のデータセットの選択を前記情報提供先装置から受け付け、前記提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に前記個人情報の前記情報提供先装置への送信要求を前記個人情報を記憶する情報提供元装置へ出力する。

　本発明の第六の態様によれば、情報取引装置は、情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目を前記データセットそれぞれについて記述したデータセット指定ウェブページを前記情報提供先装置へ送信し、前記データセット指定ウェブページに記述された前記一つ以上のデータセットのうち提供要求対象のデータセットの選択を前記情報提供先装置から受け付け、前記提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に前記個人情報の前記情報提供先装置への送信要求を前記個人情報を記憶する情報提供元装置へ出力する。

　本発明の第七の態様によれば、記録媒体に記録されるプログラムは、情報取引装置のコンピュータを、情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目を前記データセットそれぞれについて記述したデータセット指定ウェブページを前記情報提供先装置へ送信する手段、前記データセット指定ウェブページに記述された前記一つ以上のデータセットのうち提供要求対象のデータセットの選択を前記情報提供先装置から受け付ける手段、および前記提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に当該個人情報の前記情報提供先装置への送信要求を前記個人情報を記憶する情報提供元装置へ出力する手段として機能させる。

　本発明によれば、情報提供元装置を管理する複数の情報提供元がそれぞれ発生させた大量の個人情報の不正な流出等のリスクを情報取引装置に集中させることなく、個人情報を管理する情報取引システム、情報取引装置、情報取引方法、プログラムを提供することができる。

第一実施形態による情報取引システムの構成を示すブロック図である。第一実施形態の情報取引システムにおける情報取引装置のハードウェアを示すブロック図である。第一実施形態の情報取引システムにおける情報取引装置の機能を示すブロック図である。図３に示された情報取引装置のカタログ情報生成部で生成されるカタログ情報に含まれる各種情報の一例を示す図である。第一実施形態による情報取引システムにおいて供給される個人データの所在を示す情報を示す図である。第一実施形態による情報取引システムにおいて、情報取引装置と情報提供先装置との間で行われる処理を示す第一のフローチャートである。第一実施形態による情報取引システムにおいて、情報取引装置と情報提供元装置との間で行われる処理を示す第二のフローチャートである。第一実施形態による情報取引システムにおいて、情報取引装置と情報提供先装置、個人端末、および情報提供元装置との間で行われる処理を示す第三のフローチャートである。第二実施形態による情報取引装置の機能を示すブロック図である。第二実施形態による情報取引装置を含む情報取引システムの処理を示すフローチャートである。第三実施形態による情報取引システムの構成を示すブロック図である。第一から第三実施形態に含まれる最小構成の情報取引装置を示すブロック図である。第一から第三実施形態に含まれる最小構成の情報取引装置による処理を示すフローチャートである。第四実施形態による情報取引装置の機能を示すブロック図である。第四施形態による情報取引装置を含む情報取引システムにおいて、データセットを指定するためのウェブページに含まれるカタログ情報の例を示す図である。第四実施形態による情報取引装置を含む情報取引システムにおいて供給される個人データの所在を示す情報を示す図である。第四実施形態による情報取引装置を含む情報取引システムにおいて、情報取引装置と情報提供先装置との間で行われる処理を示す第一のフローチャートである。第四実施形態による情報取引装置を含む情報取引システムにおいて、情報取引装置と情報提供元装置との間で行われる処理を示す第二のフローチャートである。第四実施形態による情報取引装置を含む情報取引システムにおいて、情報取引装置と情報提供先装置、個人端末、および情報提供元装置との間で行われる処理を示す第三のフローチャートである。第五実施形態による情報取引装置の機能を示すブロック図である。第五実施形態による情報取引装置を含む情報取引システムの処理を示すフローチャートである。第六実施形態による情報取引システムの構成を示すブロック図である。第四から第六実施形態に含まれる最小構成の情報取引装置を示すブロック図である。第四から第六実施形態に含まれる最小構成の情報取引装置による処理を示すフローチャートである。

＜第一実施形態＞
　以下、本発明の一実施形態による情報取引装置を含む情報取引システムを、図面を参照して説明する。
　図１は第一本実施形態による情報取引システムの構成を示す第一の図である。
　情報取引システム１００Ａは、情報取引装置１、情報提供元装置２、情報提供先装置３が通信接続されて構成される。

　情報提供元装置２は、情報提供元の組織などが発生させた個人情報を管理するコンピュータ装置である。情報提供元の組織は、一例としては、病院、企業などであってよい。情報取引装置１は、複数の異なる情報提供元の組織がそれぞれ管理する複数の情報提供元装置２と通信接続してよい。情報提供元装置２は情報提供先装置３と直接通信接続することもできる。

　情報提供先装置３は、情報提供元装置２から提供された個人情報を活用して様々な情報処理を行うコンピュータ装置である。情報提供先の組織は、一例としては、企業、公共団体などであってよい。情報取引装置１は、複数の異なる情報提供先の組織がそれぞれ管理する複数の情報提供先装置３と通信接続してよい。

　情報提供元装置２は、第一データベース２１（以下、第一ＤＢ２１と呼ぶ）と第二データベース２２（以下、第二ＤＢ２２と呼ぶ）とを備える。第一ＤＢ２１は、情報提供元が発生させた個人情報を記憶する記憶装置である。第二ＤＢ２２は、第一ＤＢ２１の記憶する個人情報に基づいて生成された当該個人情報を含むデータセットを記憶する。情報提供元装置２は、情報取引装置１から取得した送信要求に基づいて、その送信要求が示すデータセットを情報提供先装置３へ送信する。

　情報取引装置１には個人端末４が通信接続される。個人端末４は、情報提供元の組織が発生させた個人情報の取得元の対象である個人ユーザの利用するコンピュータ装置である。個人ユーザは、自身の情報として情報提供元の組織が発生させた個人情報の、情報提供先装置３への提供の承認を行い、その承認結果を、個人端末４を利用して情報取引装置１へ登録する。

　図２は第一実施形態による情報取引システムにおける情報取引装置のハードウェア構成図である。
　図２に示すように、情報取引装置１ａは、ＣＰＵ（Central Processing Unit）１０１、ＲＯＭ（Read Only Memory）１０２、ＲＡＭ（Random Access Memory）１０３、データベース１０４、通信モジュール１０５等の各ハードウェアを備えたコンピュータ装置である。なお、情報提供元装置２、情報提供先装置３、個人端末４も、同様のハードウェア構成を備えたコンピュータ装置である。

　図３は第一実施形態による情報取引システムにおける情報取引装置の機能ブロック図である。
　情報取引装置１ｂは、予め情報取引管理プログラムを起動する。これにより情報取引装置１ｂは、制御部１１、個人端末インタフェース部１２、提供元インタフェース部１３、提供先インタフェース部１４、カタログ情報生成部１５、承認先特定部１６、送信要求部１７、提供対価算出部１８、記録対価算出部１９の構成を備える。

　制御部１１は、情報取引装置１ｂの各機能部を制御する。
　個人端末インタフェース部１２は、個人端末４への情報の出力と、個人端末４から送信された情報の取得を処理する。
　提供元インタフェース部１３は、情報提供元装置２への情報の出力と、情報提供元装置２から送信された情報の取得を処理する。
　提供先インタフェース部１４は、情報提供先装置３への情報の出力と、情報提供先装置３から送信された情報の取得を処理する。

　カタログ情報生成部１５は、カタログ情報を生成する。カタログ情報とは、前記情報提供元装置から前記情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を示す情報である。カタログ情報の詳細については後述する。
　承認先特定部１６は、情報提供先装置３の送信したデータセットの提供要求に基づいて、そのデータセットの提供の承認先の個人ユーザを特定する。
　送信要求部１７は、提供要求が示すデータセットの送信要求を、情報提供元装置２へ出力する。

　提供対価算出部１８は、情報提供元装置２から情報提供先装置３へ送信した個人情報の情報量に基づいて提供対価を算出する。提供対価は、一例としては、個人ユーザに対して払われる提供対価の額を示す。

　記録対価算出部１９は、情報提供元装置２が情報提供先装置３へ送信する個人情報として情報提供元装置２の記憶装置へ記録した情報量に基づいて記録対価を算出する。記録対価は、一例としては、個人ユーザに対して払われる記録対価の額を示す。

　図４は上記情報取引装置のカタログ情報生成部１５で生成されるカタログ情報の詳細を説明する図である。
　カタログ情報４０は、一例としては、データセットに関するデータセット名、データセットに含まれる個人情報に対応する個人の人数Ｍ、一人当たりのデータ量Ｎ、一人当たりのデータ（個人情報）の詳細、データ発生属性、提供対価、記録対価などの情報が含まれる。一人当たりのデータの詳細には、一例としては、提供元が病院であれば、共通項目（個人識別コード、性別、年齢）、固有項目（データ取得日、バイタルサイン（体温、脈拍、呼吸、血圧）、検査項目、検査結果、診断結果、情報提供元コード）などが含まれる。情報提供元コードは、情報提供元装置を管理する情報提供元の組織に関する識別情報である。またデータ発生属性には、個人情報が、医療機関によって登録された情報か（医療機関）、個人が入力した情報か（個人入力）、センサなどの機器から自動的に取得した情報か（個人機器自動取得）、を示す個人情報の発生元の識別情報が含まれる。情報提供先装置３を利用する情報提供先の組織の担当者は、カタログ情報に含まれるデータセットに関する詳細情報を確認して、提供を希望するデータセットを選択する。

　図５は、第一実施形態による情報取引システムにおいて供給される個人データ所在情報の詳細を説明する図である。
　個人データ所在情報５０は、個人識別コード、情報提供元コード、データセット種類、データセット数などを、個人ごとに記憶する。個人識別コードは、個人情報を提供する個人ユーザを識別するコードである。情報提供元コードは、個人識別コードが示す個人の個人情報を含むデータセットを記憶する情報提供元装置２を管理する組織の識別情報である。データセット種類は、個人識別コードが示す個人の個人情報を含むデータセットの種類または識別子である。データセット数は個人識別コードが示す個人の個人情報を含むデータセットの数である。情報取引装置１ｂは、個人データ所在情報に基づいて、情報提供先装置３から取得した提供要求が示すデータセットを記憶する情報提供元装置２を特定する。

　本実施形態による情報取引システム１００Ａは、情報提供元装置２と情報提供先装置３に接続された情報取引装置１ｂを備える。情報取引装置１ｂは、情報提供元装置２から情報提供先装置３へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶し、情報提供先装置３からデータセットの提供要求を受け付ける。情報取引装置１ｂは、提供要求が示すデータセットの送信要求を、情報提供元装置２へ出力する。

　これにより、複数の情報提供元の組織のそれぞれが管理する各情報提供元装置２の記憶する個人情報を、情報取引装置１ｂにおいて記憶する必要が無い。従って、情報提供元装置２を管理する複数の情報提供元がそれぞれ発生させた大量の個人情報の不正な流出等のリスクを情報取引装置１ｂに集中させることなく、個人情報を管理することができる。

　図６は第一実施形態による情報取引システムにおいて、情報取引装置と情報提供先装置との間で行われる処理フローを示す。
　情報取引装置１ｂは、データセットのフォーマット形式を定義したフォーマット定義情報をさらに記憶している。情報提供元装置２または情報提供先装置３は、情報取引装置１ｂが記憶するフォーマット定義情報が未定義の、新たな個人情報を含むデータセットに関するフォーマット定義情報の生成を、情報取引装置１ｂへ要求することができる。

　情報提供先の組織の担当者は、新たなデータセットの提供を受けたい場合、情報提供先装置３を情報取引装置１ｂに接続する。これにより情報提供先装置３と情報取引装置１ｂとが接続され、通信を行う（ステップＳ１０１）。情報取引装置１ｂの提供先インタフェース部１４は、フォーマット定義情報の更新ＡＰＩ（Application Programming Interface）の機能を有し、接続した情報提供先装置３へ、フォーマット定義情報の更新インタフェース画面を送信する（ステップＳ１０２）。情報提供先装置３は更新インタフェース画面を取得し、ディスプレイにフォーマット定義情報の更新インタフェース画面を出力する（ステップＳ１０３）。情報提供先の組織の担当者は、フォーマット定義情報の更新インタフェース画面の入力欄にデータセットに新たに含める個人情報のフォーマット形式を入力し、送信要求を入力する。情報提供先装置３は送信要求を受け付ける（ステップＳ１０４）。情報提供先装置３は、データセットに新たに含める個人情報のフォーマット形式を含むフォーマット定義情報の更新要求を情報取引装置１ｂへ送信する（ステップＳ１０５）。この処理は、情報提供先装置３による、フォーマット定義情報が示すデータセットに含むことのできる個人情報以外の新たな個人情報のデータセットへの追加要求の送信処理の一態様である。

　情報取引装置１ｂの提供先インタフェース部１４は、フォーマット定義情報の更新要求を取得する。提供先インタフェース部１４は、フォーマット定義情報の更新要求から、データセットに新たに含める個人情報のフォーマット形式を取得して制御部１１へ出力する。制御部１１は、データセットのフォーマット形式を定義したフォーマット定義情報を生成し、自装置の記憶部に記録する（ステップＳ１０６）。情報提供元装置２は、データセットのフォーマット形式を定義したフォーマット定義情報を用いて、以降の処理により、フォーマット定義情報が未定義であった、新たな個人情報を含むデータセットの生成を行うことができる。

　図７は第一実施形態による情報取引システムにおいて、情報取引装置と情報提供元装置との間で行われる処理フローを示す。
　情報提供元装置２は、個人情報を含むデータセットの生成において、提供可能な個人情報の第一ＤＢ２１への記録を検知する（ステップＳ２０１）。当該個人情報は情報提供元装置２に接続する情報提供元の組織のコンピュータが発生させた個人情報を含むデータであってもよいし、センサなどの機器が自動的に生成した個人情報を含むデータであってもよい。またはデータセットは、情報提供元の組織に属するコンピュータ等に個人ユーザが自身で入力した個人情報を含むデータであってもよいし、個人ユーザが個人端末４を用いて、情報提供元の組織に属するコンピュータに送信した個人情報を含むデータであってもよい。

　個人情報は、上述したカタログ情報の共通項目（データセットとして含まれる個人情報に紐づく個人の個人識別コード、性別、年齢）や、固有項目（データセットとして含まれる個人情報のデータ取得日、データ内容、情報提供元識別情報）、データ発生属性（個人情報を発生させたまたは入力した組織、個人、装置）、などの情報であってよい。一例としては情報提供元の組織が病院であり、当該病院の医師が個人ユーザを診察した場合、当該病院の発生したデータセットに含まれる個人情報としては、その個人を識別する個人識別コード、性別、年齢、データ取得日、バイタルサイン（体温、脈拍、呼吸、血圧）、診察における検査項目、検査結果、診断結果などが含まれる。

　情報提供元装置２は、その個人情報を第一ＤＢ２１から読み取る。情報提供元装置２は、その個人情報を含むデータセットを生成する際に、情報取引装置１ｂに通信接続し、フォーマット定義情報の送信を要求する（ステップＳ２０２）。情報取引装置１ｂの提供元インタフェース部１３は個人情報の指定を受け付け、その個人情報に応じたフォーマット定義情報を情報提供元装置２へ送信する（ステップＳ２０３）。

　情報提供元装置２はフォーマット定義情報を取得する（ステップＳ２０４）。情報提供元装置２はフォーマット定義情報の示すデータ形式に合わせて、個人情報を含むデータセットを生成する（ステップＳ２０５）。情報提供元装置２は、生成したデータセットを第二ＤＢ２２に記録する（ステップＳ２０６）。

　これにより、情報提供元装置２は、フォーマット定義情報の示すデータ形式に合わせて個人情報を保持したデータセットを記憶する。複数の情報提供元装置２は同様に、フォーマット定義情報が示すデータ形式のデータセットを生成する。これにより、それらのデータセットの提供を受けた情報提供先装置３は、各情報提供元装置２から送信された同じデータ形式で統一されたデータセットを取得できるので、当該データセットに含まれる個人情報を用いた処理を容易に行うことができる。

　なお情報提供元装置２は生成したデータセットに関する内容の情報を情報取引装置１ｂへ送信する（ステップＳ２０７）。データセットに関する内容の情報には、データセットに関するデータセット名、データセットに含まれる個人情報に対応する個人の人数Ｍ、一人当たりのデータ量Ｎ、一人当たりのデータ（個人情報）の詳細、データ発生属性、提供対価、記録対価などの情報が含まれる。一人当たりのデータの詳細には、一例としては、提供元が病院であれば、共通項目（個人識別コード、性別、年齢）、固有項目（データ取得日、バイタルサイン（体温、脈拍、呼吸、血圧）、検査項目、検査結果、診断結果、情報提供元コード）などが含まれる。情報取引装置１ｂのカタログ情報生成部は、生成されたデータセットに関する内容の情報を含むカタログ情報を生成し、既に記憶するカタログ情報を更新する（ステップＳ２０８）。

　情報提供元装置２は、生成したデータセットに基づいて、そのデータセットに含まれる個人情報に対応する個人の個人識別コード、データセットを生成した情報提供元組織を示す情報提供元コード、データセット種類、データセット数などを含む所在情報を生成する（ステップＳ２０９）。情報提供元装置２は所在情報を、情報取引装置１ｂへ送信する（ステップＳ２１０）。

　情報取引装置１ｂの提供元インタフェース部１３は、情報提供元装置２から送信された所在情報を取得する。提供元インタフェース部１３は、新たな所在情報を含む個人データ所在情報５０を生成し、自装置のデータベース１０４に記録する（ステップＳ２１１）。これにより、情報取引装置１ｂは、どのデータセットをどの情報提供元装置２が保持するかを把握することができる。

　記録対価算出部１９は、第二ＤＢ２２にデータセットが記録されたことに対して、そのデータセットに含まれる個人情報に対応する個人ユーザへ提供する記録対価の額を算出してよい。この場合、例えば記録対価算出部１９は、第二ＤＢ２２に記録したデータセット名を特定する。記録対価算出部１９は、データセットの単位量当たりの記録対価の額を、情報取引装置１ｂから取得する。記録対価算出部１９は、データセットの単位量当たりの記録対価の額に基づいて、第二ＤＢ２２に記録したデータセットの記録対価の額を算出し、情報取引装置１ｂへ送信する。情報取引装置１ｂはそのデータセットの記録対価の額の情報を個人ユーザ毎に記憶する。情報取引装置１ｂは個人端末からの要求に基づいて、その個人端末を操作する個人ユーザについて記憶するデータセットの記録対価の額を個人端末４に送信する。これにより、個人ユーザは、自身の個人情報が情報提供元装置２において提供候補として記録される際の対価を確認することができる。なお個人ユーザへ提供する記録対価の額の算出は、所定期間ごとに行われてよい。

　図８は第一実施形態による情報取引システムにおいて、情報取引装置と情報提供先装置、個人端末、および情報提供元装置との間で行われる処理フローを示す。
　情報提供先装置３を管理するデータ活用組織などの情報提供先の管理者は、データセットの提供を受けたい場合、情報提供先装置３を情報取引装置１ｂに通信接続させる。これにより、情報取引装置１ｂと情報提供先装置３が通信接続する（ステップＳ４０１）。情報取引装置１ｂの提供先インタフェース部１４は、接続した情報提供先装置３へ、提供対象のデータセットの指定を受け付けるためのデータセット指定ウェブページを送信する（ステップＳ４０２）。情報取引装置１ｂの提供先インタフェース部１４は、データセット指定ウェブページはカタログ情報に含まれる各データセットに関する詳細な情報に基づいて生成された情報であり、各データセットの詳細とその一覧を表示する。従って、情報提供先装置３がデータセット指定ウェブページを出力することにより、情報提供先の組織の管理者は、カタログ情報に掲載されている情報提供元が提供できるデータセット名の一覧をカタログとして確認することができる。

　情報提供先装置３はデータセット指定ウェブページを取得し、ディスプレイにデータセット指定ウェブページを出力する（ステップＳ４０３）。情報提供先の組織の担当者は、データセット指定ウェブページの各データセットに関する情報に紐づいて表示されているチェック欄のうち、提供を希望するデータセットのチェック欄にチェックを入れ、提供要求ボタンを押下する。情報提供先装置３は、その提供要求を受け付ける（ステップＳ４０４）。情報提供先装置３は、提供要求として受け付けた一つまたは複数のデータセット名を含む提供要求を情報取引装置１ｂへ送信する（ステップＳ４０５）。提供要求には、データセット名の他、情報提供先装置３のＩＤ、情報提供先装置３のネットワークアドレスなどの情報が含まれてもよい。

　情報取引装置１ｂの提供先インタフェース部１４は提供要求を取得する（ステップＳ４０６）。提供先インタフェース部１４は提供要求を、承認先特定部１６に出力する。承認先特定部１６は、提供要求を取得する。承認先特定部１６は提供要求に含まれるデータセット名を取得する。承認先特定部１６はそのデータセット名に紐づいて個人データ所在情報５０に含まれる全ての個人識別コードを取得する（ステップＳ４０７）。承認先特定部１６は、全ての個人識別コードに紐づいて予め情報取引装置１ｂが記憶する承認先アドレスを取得する（ステップＳ４０８）。承認先アドレスは個人端末４のアドレスである。または承認先アドレスは個人端末４が保持するアプリケーションプログラムが保持するアドレスであってもよい。承認先特定部１６は、承認先アドレスにより特定される各個人端末４に承認登録要求ページを送信する（ステップＳ４０９）。承認登録要求ページには、提供要求に含まれるデータセット名、提供要求を送信した情報提供先装置３を管理する情報提供先の組織の組織名などの情報が含まれる。

　各個人端末４は承認登録要求ページを取得する。個人端末４はディスプレイに承認登録要求ページを出力する（ステップＳ４１０）。承認登録要求ページにはデータセット名に紐づく提供対価や記録対価の額が含まれ、これらの情報を含む承認登録要求ページが個人端末４のディスプレイに出力されてもよい。個人ユーザは、承認登録要求ページに表示される、データセット名、情報提供先の組織の組織名、提供対価や記録対価を認識し、データセット名で特定される個人情報を、情報提供先の組織に提供してよいかどうかの承認入力を行う。例えば、承認登録要求ページには、さらに、承認ＯＫ、承認ＮＧのボタンが表示されており、ユーザは、マウス等の入力装置を用いていずれかのボタンを押下することにより、承認ＯＫまたは承認ＮＧの何れかを示す承認入力をすることができる。ユーザが承認ＯＫのボタンを押下操作した場合、各個人端末４は承認ＯＫのフラグを含む承認結果を生成する（ステップＳ４１１）。ユーザが承認ＮＧのボタンを押下操作した場合、各個人端末４は承認ＮＧのフラグを含む承認結果を生成する。承認結果にはさらに、承認要求に含まれていた、データセット名、情報提供先の組織の組織名、個人端末４を利用する個人ユーザの個人識別コードなどが含まれてよい。各個人端末４は生成した承認結果を、情報取引装置１ｂへ送信する（ステップＳ４１２）。

　情報取引装置１ｂの個人端末インタフェース部１２は、各個人端末４から受信した承認結果を取得する（ステップＳ４１３）。個人端末インタフェース部１２は、承認結果を送信要求部１７へ出力する。送信要求部１７は、各承認結果に承認ＯＫのフラグが含まれるかを判定する（ステップＳ４１４）。送信要求部１７は、各承認結果に承認ＯＫのフラグが含まれる場合、送信要求を生成する（ステップＳ４１５）。送信要求には、承認結果に含まれるデータセット名、情報提供先の組織の組織名、情報提供先装置３のＩＤ、情報提供先装置３のネットワークアドレスなどが含まれてよい。送信要求部１７は、各承認結果に承認ＮＧのフラグが含まれる場合、その承認結果に含まれる個人識別コードを取得し、その個人識別コードに対応した個人情報を提供不可と判定する（ステップＳ４１６）。

　送信要求部１７は、データセット名に紐づいてカタログ情報４０に含まれる１つまたは複数の情報提供元装置２それぞれを識別する情報提供元コードを取得する（ステップＳ４１７）。送信要求部１７は、情報提供元コードに紐づけて予め情報提供元装置２のネットワークアドレスを記憶している。送信要求部１７は、取得した情報提供元コードに紐づいて記憶する情報提供元装置２のネットワークアドレスを取得する。送信要求部１７は、取得したネットワークアドレスに宛てて、送信要求を送信する（ステップＳ４１８）。送信要求にはステップＳ４１６で承認ＮＧとなる承認結果に含まれる個人識別コードが、提供不可の個人情報に対応する個人ユーザの個人識別コードとして格納される。

　情報提供元装置２は送信要求を受信する。情報提供元装置２は送信要求に含まれるデータセット名、提供先の組織の組織名、情報提供先装置３のＩＤ、情報提供先装置３のネットワークアドレス、提供不可の個人情報に対応する個人ユーザの個人識別コードを取得する。情報提供元装置２は、第二ＤＢ２２から、データセット名に対応するデータセットを取得する（ステップＳ４１９）。情報提供元装置２はそのデータセットに含まれる個人情報のうち、送信要求に格納されている個人識別コードに対応する個人情報を削除する。情報提供元装置２は、そのデータセットを、送信要求に含まれる情報提供先装置３のネットワークアドレスに宛てて送信する（ステップＳ４２０）。情報提供先装置３はデータセットを受信する。情報提供先装置３は、受信したデータセットを自装置が備えるデータベース等に記録する（ステップＳ４２１）。情報提供先装置３は、その後、受信したデータセットを用いて、所定の処理を行う。なお、情報提供元装置２は、送信要求に応じて送信するデータセットを、情報取引装置１ｂを介して情報提供先装置３へ送信してもよい。情報提供元装置２は複数の異なる情報提供元装置２から取得したデータセットを、１つの情報提供先装置３へ転送する際に、それらデータセットをまとめて転送するようにしてもよい。

　以上の処理によれば、情報取引装置１ｂは、複数の情報提供元装置２の発生させた個人情報を含むデータセットを自装置で記憶することなく、提供を希望する情報提供先装置３へのデータセットの送信を制御することができる。これにより、情報提供元装置２を管理する複数の情報提供元がそれぞれ発生させた大量の個人情報の不正な流出等のリスクを、情報取引装置１ｂに集中させることなく、個人情報を管理する仕組みを提供することができる。

　なお提供対価算出部１８は、データセットが情報提供元装置２から情報提供先装置３へ送信されたことに対して、そのデータセットに含まれる個人情報に対応する個人ユーザへ提供する提供対価の額を算出してよい。この場合、例えば提供対価算出部１８は、送信要求に基づくデータセットの送信に関する情報を情報提供元装置２から取得し、情報提供元装置２が情報提供先装置３へ送信したデータセット名を特定する。提供対価算出部１８は、データセットの単位量当たりの提供対価の額を、情報取引装置１ｂから取得する。提供対価算出部１８は、データセットの単位量当たりの提供対価の額に基づいて、情報提供先装置３へ送信したデータセットの提供対価の額を算出し、情報取引装置１ｂへ送信する。情報取引装置１ｂはそのデータセットの提供対価の額の情報を個人ユーザ毎に記憶する。情報取引装置１ｂは個人端末からの要求に基づいて、その個人端末を操作する個人ユーザについて記憶するデータセットの提供対価の額を個人端末４に送信する。これにより、個人ユーザは、自身の個人情報が情報提供先装置３へ提供されたことに対する対価を確認することができる。なお個人ユーザへ提供する提供対価の額の算出は、所定期間ごとに行われてよい。

＜第二実施形態＞
　図９は第二実施形態による情報取引装置の機能ブロック図である。
　第二実施形態による情報取引装置１ｃは、第一実施形態による情報取引装置１ｂの機能と比較して、除外組織受付部１０の機能をさらに発揮する点で相違する。

　第二実施形態による情報取引装置１ｃは、情報提供先装置３を管理する組織のうち除外対象の組織の選択を個人ユーザから受け付ける。情報取引装置１ｃは、情報提供先装置３の送信した提供要求が示すデータセットに基づいて、当該データセットに関する個人データ所在情報に含まれる個人識別コードを取得し、当該個人ユーザが、提供要求を送信した情報提供先装置３に紐づく組織について、除外対象の組織であると選択している場合、その個人ユーザに対する個人情報の提供の承認要求または、当該個人情報を含むデータセットの情報提供先装置３への送信の少なくとも一方を停止する。以下、第二実施形態の情報取引装置１ｃを含む情報取引システムの処理の詳細について説明する。

　図１０は第二実施形態による情報取引装置を含む情報取引システムの処理フローを示す。
　個人ユーザの個人情報を含むデータセットの情報提供先としての組織から除外する組織の選択を受け付ける処理において、情報取引装置１ｃの個人端末インタフェース部１２は、各個人端末４からのアクセスに基づいて、除外組織選択ページを送信する（ステップＳ５０１）。各個人端末４は除外組織選択ページをディスプレイに出力する（ステップＳ５０２）。各個人ユーザは、個人端末４に表示された除外組織選択ページにおいて、個人情報の提供先から除外する組織を選択する。一例としては、個人情報の情報提供先の組織の候補が属する複数の組織カテゴリの一覧と、それらの除外を指定するチェックボタンが除外組織選択ページに表示される。また登録ボタンが除外組織選択ページに表示される。各個人ユーザは、個人情報の情報提供先の組織から除外する組織カテゴリのチェックボタンをＯＮに操作し、登録ボタンを押下操作する。各個人端末４は、当該操作に基づいて、個人情報の情報提供先の組織から除外する組織の属する組織カテゴリの入力を検出する（ステップＳ５０３）。各個人端末４は、個人識別コード、除外対象となる情報提供先の組織の属する組織カテゴリとを少なくとも含むフィルタ情報を生成し、情報取引装置１ｃへ送信する（ステップＳ５０４）。

　情報取引装置１ｃの個人端末インタフェース部１２は、各個人端末４からフィルタ情報を取得する（ステップＳ５０５）。個人端末インタフェース部１２は、各フィルタ情報をデータベース１０４等の記憶部に記録する（ステップＳ５０６）。フィルタ情報は、個人識別コード、その個人識別コードの示す個人ユーザが選択した情報提供先の組織として除外した組織の組織カテゴリ（提供除外先カテゴリ）を紐づけた情報である。

　複数の個人端末４との間における上述の処理により、複数の個人ユーザに関するフィルタ情報が情報取引装置１ｃに記録される。なお情報取引装置１ｃは、予め組織カテゴリ（提供除外先カテゴリ）の識別情報と、その組織カテゴリに属する組織の管理する情報提供元装置２の識別コード、当該情報提供元装置２のネットワークアドレスなどを紐づけて保持した組織テーブルを記憶しているものとする。

　上述のようにフィルタ情報と組織テーブルとを記憶している状態において、上述の第一実施形態のステップＳ４０１～４０５の処理が行われ、当該ステップＳ４０５の処理に基づいて、情報取引装置１ｃの提供先インタフェース部１４は提供要求を取得する（ステップＳ４０６）。提供先インタフェース部１４は提供要求を、承認先特定部１６に出力する。承認先特定部１６は、提供要求を取得する。承認先特定部１６は提供要求に含まれるデータセット名を取得する。承認先特定部１６はそのデータセット名に紐づいて個人データ所在情報５０に含まれる全ての個人識別コードを取得する（ステップＳ４０７）。この処理までは第一実施形態と同様である。

　承認先特定部１６は、ステップＳ４０６で取得した提供要求を送信した情報提供先装置３の識別コードを提供要求から検出する（ステップＳ６０１）。承認先特定部１６は、この情報提供先装置３に紐づいて組織テーブルに記録されている提供除外先カテゴリの識別情報を取得する（ステップＳ６０２）。承認先特定部１６は、ステップＳ４０７で特定した個人識別コードに対応する個人ユーザが、情報提供先の組織から除外しているかを判定する。例えば、承認先特定部１６は、ステップＳ４０７で特定した各個人識別コードと、ステップＳ６０２で取得した提供除外先カテゴリの識別情報とが紐づいて、フィルタ情報に記録されているかを判定する（ステップＳ６０３）。承認先特定部１６は、ステップＳ４０７で特定した個人識別コードと、ステップＳ６０２で取得した提供除外先カテゴリの識別情報とが紐づいて、フィルタ情報に記録されていない場合に、ステップＳ４０７で特定した個人識別コードに対応する個人ユーザを承認先と特定する（ステップＳ６０４）。承認先特定部１６は、ステップＳ４０７で特定した個人識別コードと、ステップＳ６０２で取得した提供除外先カテゴリの識別情報とが紐づいて、フィルタ情報に記録されている場合、ステップＳ４０７で特定した各個人識別コードの各個人ユーザに対する承認要求を停止し、これによりそれらの個人ユーザの個人情報が含まれるデータセットの提供を停止する（ステップＳ６０５）。

　以降の処理は、第一実施形態のステップＳ４０８以降の処理と同様である。つまり、承認先特定部１６は、ステップＳ４０７で特定した承認先として特定した個人識別コードに紐づいて予め情報取引装置１ｃが記憶する承認先アドレスを取得する（ステップＳ４０８）。承認先アドレスは個人端末４のアドレスである。または承認先アドレスは個人端末４が保持するアプリケーションプログラムが保持するアドレスであってよい。承認先特定部１６は、承認先アドレスにより特定される個人端末４に承認登録要求ページを送信する（ステップＳ４０９）。そしてその後、個人ユーザの承認に基づいて、第一実施形態と同様にステップＳ４１０～ステップＳ４２１の処理が行われる。ただし、第三の実施形態においてはステップＳ４１６に相当する処理において、さらに、ステップＳ６０５で承認要求を停止した個人ユーザの個人識別コードを取得し、その個人識別コードに対応した個人情報を提供不可と判定する。

　以上の処理によれば、個人情報の情報提供先の組織から除外する組織の提供要求を情報取引装置１ｃが受信した場合、情報取引装置１ｃはその提供要求が示すデータセット（個人情報）の提供の承認要求を個人端末４に行わない。従って個人ユーザは予め個人情報の情報提供先の組織から除外する組織の登録を行うことで、情報提供に関する不要な承認要求を受けることがない情報取引システムの仕組みを提供することができる。

＜第三実施形態＞
　図１１は第三実施形態による情報取引システムの構成を示す図である。
　情報取引システム１００Ｂは、図１１に示すような構成を有していてもよい。つまり情報取引システム１００Ｂにおいて、第一実施形態で情報提供元装置２が備える第二ＤＢ２２を、データセンタ５が備える。またデータセンタ５は、情報取引装置１が生成したカタログ情報４０を記憶する。情報提供元装置２はデータセットを生成した場合、そのデータセットをデータセンタ５に備わる第二ＤＢ２２に登録する。情報取引装置１がカタログ情報４０を用いる場合には、情報取引装置１がデータセンタ５のカタログ情報４０を参照し、上述の他の実施形態で説明した処理を行えばよい。情報提供先装置３が提供要求したデータセットの送信は、情報取引装置１の送信要求部１７の送信要求に基づいて、情報提供元装置２に代わって、データセンタ５の処理部が行う。なおデータセンタ５はデータセットまたはカタログ情報の少なくとも一方を記憶するようにしてもよい。

　以上、本発明の実施形態について説明したが、上述の各実施形態の処理によれば、情報提供元装置２を管理する複数の情報提供元がそれぞれ発生させた大量の個人情報の不正な流出等のリスクを情報取引装置１に集中させることがない情報取引システムを提供することができる。

　図１２は第一から第三実施形態に含まれる最小構成の情報取引装置を示す図である。
　図１３は第一から第三実施形態に含まれる最小構成の情報取引装置による処理フローを示す図である。
　情報取引装置１ｄは、少なくとも記憶手段１２１、提供要求受付手段１２２と、送信要求手段１２３とを備える。
　記憶手段は、情報提供元装置２から情報提供先装置３へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶する（ステップＳ１３１）。
　提供要求受付手段は、情報提供先装置３よりデータセットの提供要求を受け付ける（ステップＳ１３２）。
　送信要求手段は、提供要求が示すデータセットの送信要求を、情報提供元装置２へ出力する（ステップＳ１３３）。

＜第四実施形態＞

　以下、本発明の情報取引方法を実施する情報取引装置及び情報取引システムの構成について図面を参照して説明する。本発明の第四実施形態による情報取引装置を含む情報取引システムは図１と同様であり、情報取引装置のハードウェア構成は図２と同様である。

　図１４は第四実施形態による情報取引装置の機能ブロック図である。
　情報取引装置１ｅは、予め情報取引管理プログラムを起動する。これにより情報取引装置１ｅは、制御部１１、個人端末インタフェース部１２、提供元インタフェース部１３、提供先インタフェース部１４、カタログ情報生成部１５、承認先特定部１６、送信要求部１７、提供対価算出部１８、記録対価算出部１９の構成を備える。

　制御部１１は、情報取引装置１ｅの各機能部を制御する。
　個人端末インタフェース部１２は、個人端末４への情報の出力と、個人端末４から送信された情報の取得を処理する。
　提供元インタフェース部１３は、情報提供元装置２への情報の出力と、情報提供元装置２から送信された情報の取得を処理する。
　提供先インタフェース部１４は、情報提供先装置３への情報の出力と、情報提供先装置３から送信された情報の取得を処理する。

　カタログ情報生成部１５は、カタログ情報４０を生成する。カタログ情報４０とは、情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目を、データセット毎に規定した情報である。なお、一つのデータセットには、一つ以上の個人情報であって個人情報毎に異なるフォーマット定義情報の示すデータ形式に合わせて変換された個人情報が含まれる。またデータセットは、一つ以上の個人情報が含まれる個人情報の提供単位である。
　承認先特定部１６は、情報提供先装置３の送信したデータセットの提供要求に基づいて、提供要求対象となるデータセットの提供の承認先の個人ユーザを特定する。
　送信要求部１７は、提供要求が示すデータセットの送信要求を、情報提供元装置２へ出力する。

　図１５は第四実施形態による情報取引装置を含む情報取引システムにおいて、データセットを指定するためのウェブページの詳細を説明する図である。
　データセット指定ウェブページ４１には、一例としては、個人情報を含む一つ以上のデータセットに関する説明項目をデータセット毎に規定したカタログ情報４０が記述される。１つのカタログ情報４０には、データセットに関する説明項目として、データセット名、データセットに含まれる個人情報に対応する個人の人数Ｍ、一人当たりのデータ量Ｎ、一人当たりのデータ（個人情報）の詳細、データ発生属性、提供対価、記録対価などの情報が含まれる。一人当たりのデータの詳細には、一例としては、提供元が病院であれば、共通項目（個人識別コード、性別、年齢）、固有項目（データ取得日、バイタルサイン（体温、脈拍、呼吸、血圧）、検査項目、検査結果、診断結果、情報提供元コード）などが含まれる。情報提供元コードは、情報提供元装置を管理する情報提供元の組織に関する識別情報である。またデータ発生属性には、個人情報が、医療機関によって登録された情報か（医療機関）、個人が入力した情報か（個人入力）、センサなどの機器から自動的に取得した情報か（個人機器自動取得）、を示す個人情報の発生元の識別情報が含まれる。情報提供先装置３を利用する情報提供先の組織の担当者は、データセット指定ウェブページ４１に含まれるカタログ情報４０を確認して、提供要求の対象となるデータセットを選択する。

　図１６は第四実施形態による情報取引装置を含む情報取引システムにおいて供給される個人データ所在情報の詳細を説明する図である。
　個人データ所在情報５０は、個人識別コード、情報提供元コード、データセット種類、データセット数などを、個人ごとに記憶する。個人情報を提供する個人ユーザを識別するコードである。情報提供元コードは、個人識別コードが示す個人の個人情報を含むデータセットを記憶する情報提供元装置２を管理する組織の識別情報である。データセット種類は、個人識別コードが示す個人の個人情報を含むデータセットの種類を示す情報である。データセット数は個人識別コードが示す個人の個人情報を含むデータセットの数である。例えば、ある個人の個人情報が３０個の各データセットに含まれる場合、その個人の個人情報を含むデータセットの数は３０となる。情報取引装置１ｅは、個人データ所在情報に基づいて、情報提供先装置３から取得した提供要求が示すデータセットを記憶する情報提供元装置２を特定する。

　第四実施形態による情報取引装置１ｅを備える情報取引システムは、情報提供元装置２と情報取引装置１ｅに接続された情報提供先装置３とを備える。情報取引装置１ｅは、情報提供元装置２から情報提供先装置３へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目をデータセット毎に記述したデータセット指定ウェブページ４１を情報提供先装置３へ送信する。情報取引装置１ｅは、データセット指定ウェブページに記述された一つ以上のデータセットのうち提供要求対象のデータセットの選択を情報提供先装置３より受け付ける。情報取引装置１ｅは、提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に、当該個人情報の情報提供先装置３への送信要求を、当該個人情報を記憶する情報提供元装置２へ出力する。

　これにより、複数の情報提供元の組織のそれぞれが管理する各情報提供元装置２の記憶する個人情報を、情報取引装置１ｅにおいて記憶する必要が無い。従って、情報提供元装置２を管理する複数の情報提供元がそれぞれ発生させた大量の個人情報の不正な流出等のリスクを情報取引装置１ｅに集中させることなく、個人情報を管理することができる。

　図１７は第四実施形態による情報取引装置を含む情報取引システムにおいて、情報取引装置と情報提供先装置との間で行われる処理フローを示す。
　情報取引装置１ｅは、データセットに含まれる個人情報のフォーマット形式を定義したフォーマット定義情報をさらに記憶している。情報提供元装置２または情報提供先装置３は、情報取引装置１ｅが記憶するフォーマット定義情報が未定義の、新たな個人情報に関するフォーマット定義情報の生成を、情報取引装置１ｅへ要求することができる。

　情報提供先の組織の担当者は、新たな個人情報を含むデータセットの提供を受けたい場合、情報提供先装置３を情報取引装置１ｅに接続させる。これにより情報提供先装置３と情報取引装置１ｅとが接続される（ステップＳ１１０１）。情報取引装置１ｅの提供先インタフェース部１４は、フォーマット定義情報の更新ＡＰＩ（Application Programming Interface）の機能を有し、接続した情報提供先装置３へ、フォーマット定義情報の更新インタフェース画面を送信する（ステップＳ１１０２）。情報提供先装置３は更新インタフェース画面を取得し、ディスプレイにフォーマット定義情報の更新インタフェース画面を出力する（ステップＳ１１０３）。情報提供先の組織の担当者は、フォーマット定義情報の更新インタフェース画面の入力欄にデータセットに新たに含める個人情報のフォーマット形式を入力し、送信要求を入力する。情報提供先装置３は送信要求を受け付ける（ステップＳ１１０４）。情報提供先装置３は、入力された個人情報のフォーマット形式を含むフォーマット定義情報の更新要求を生成し、情報取引装置１ｅへ送信する（ステップＳ１１０５）。

　情報取引装置１ｅの提供先インタフェース部１４は、フォーマット定義情報の更新要求を取得する。提供先インタフェース部１４は、フォーマット定義情報の更新要求から、データセットに新たに含める個人情報のフォーマット形式を取得して制御部１１へ出力する。制御部１１は、個人情報のフォーマット形式を定義したフォーマット定義情報を生成し、自装置の記憶部に記録する（ステップＳ１１０６）。情報提供元装置２は、個人情報のフォーマット形式を定義したフォーマット定義情報を用いて、以降の処理により、フォーマット定義情報が未定義であった、新たな個人情報を含むデータセットの生成を行うことができる。

　図１８は第四実施形態による情報取引装置を含む情報取引システムにおいて、情報取引装置と情報提供元装置との間で行われる処理フローを示す。
　情報提供元装置２は、個人情報を含むデータセットの生成において、提供可能な個人情報の第一ＤＢ２１への記録を検知する（ステップＳ１２０１）。当該個人情報は情報提供元装置２に接続する情報提供元の組織のコンピュータが発生させた個人情報を含むデータであってもよいし、センサなどの機器が自動的に生成した個人情報を含むデータであってもよい。またはデータセットは、情報提供元の組織に属するコンピュータ等に個人ユーザが自身で入力した個人情報を含むデータであってもよいし、個人ユーザが個人端末４を用いて、情報提供元の組織に属するコンピュータに送信した個人情報を含むデータであってもよい。

　個人情報は、上述したデータセット指定ウェブページ４１の共通項目や、固有項目、などの情報であってよい。ここで共通項目は、例えば、データセットとして含まれる個人情報に紐づく個人の個人識別コード、性別、年齢であってよい。また固有項目は、例えばデータセットとして含まれる個人情報のデータ取得日、データ内容、情報提供元識別情報であってよい。一例としては情報提供元の組織が病院であり、当該病院の医師が個人ユーザを診察した場合、当該病院の発生したデータセットに含まれる個人情報としては、その個人を識別する個人識別コード、性別、年齢、データ取得日、バイタルサイン、診察における検査項目、検査結果、診断結果などが含まれる。なおバイタルサインは、例えば、体温、脈拍、呼吸、血圧などである。

　情報提供元装置２は、その個人情報を第一ＤＢ２１から読み取る。情報提供元装置２は、その個人情報を含むデータセットを生成する際に、情報取引装置１ｅに通信接続し、フォーマット定義情報の送信を要求する（ステップＳ１２０２）。情報取引装置１ｅの提供元インタフェース部１３は個人情報の指定を受け付け、その個人情報に応じたフォーマット定義情報を情報提供元装置２へ送信する（ステップＳ１２０３）。フォーマット定義情報は、データセットに含まれる個人情報のフォーマットを定義する情報である。

　情報提供元装置２はフォーマット定義情報を取得する（ステップＳ１２０４）。情報提供元装置２はフォーマット定義情報の示すデータ形式に合わせて、個人情報を含むデータセットを生成する（ステップＳ１２０５）。情報提供元装置２は、生成したデータセットを第二ＤＢ２２に記録する（ステップＳ１２０６）。

　なお情報提供元装置２は、生成したデータセットの説明項目を特定し、そのデータセットの説明項目を情報取引装置１ｅへ送信する（ステップＳ１２０７）。より詳細には、データセットの説明項目には、データセットに関するデータセット名、データセットに含まれる個人情報に対応する個人の人数Ｍ、一人当たりのデータ量Ｎ、一人当たりのデータ（個人情報）の詳細、データ発生属性、提供対価、記録対価などの情報が含まれる。一人当たりのデータの詳細には、一例としては、提供元が病院であれば、共通項目、固有項目などが含まれる。ここで共通項目は、例えば個人識別コード、性別、年齢であってよい。また固有項目は、例えばデータ取得日、バイタルサイン（体温、脈拍、呼吸、血圧）、検査項目、検査結果、診断結果、情報提供元コード）などであってよい。情報取引装置１ｅのカタログ情報生成部１５は、データセットの説明項目を取得する。カタログ情報生成部１５は、生成したデータセットの説明項目を含むカタログ情報４０を、過去のカタログ情報４０にさらに加えた新たなカタログ情報４０を生成し、既に記憶する過去のカタログ情報４０を更新する（ステップＳ１２０８）。カタログ情報４０は、一つ以上のデータセットに関する説明項目を、提供単位であるデータセット毎に規定した情報である。

　情報提供元装置２は、生成したデータセットに基づいて、そのデータセットに含まれる個人情報に対応する個人の個人識別コード、データセットを生成した情報提供元組織を示す情報提供元コード、データセット種類、データセット数などを含む所在情報を生成する（ステップＳ１２０９）。情報提供元装置２は所在情報を、情報取引装置１ｅへ送信する（ステップＳ１２１０）。

　情報取引装置１ｅの提供元インタフェース部１３は、情報提供元装置２から送信された所在情報を取得する。提供元インタフェース部１３は、新たな所在情報を含む個人データ所在情報５０を生成し、自装置のデータベース１０４に記録する（ステップＳ１２１１）。これにより、情報取引装置１ｅは、どのデータセットをどの情報提供元装置２が保持するかを把握することができる。

　記録対価算出部１９は、第二ＤＢ２２にデータセットが記録されたことに対して、そのデータセットに含まれる個人情報に対応する個人ユーザへ提供する記録対価の額を算出してよい。この場合、例えば記録対価算出部１９は、第二ＤＢ２２に記録したデータセット名を特定する。記録対価算出部１９は、データセットの単位量当たりの記録対価の額を、情報取引装置１ｅから取得する。記録対価算出部１９は、データセットの単位量当たりの記録対価の額に基づいて、第二ＤＢ２２に記録したデータセットの記録対価の額を算出し、情報取引装置１ｅへ送信する。情報取引装置１ｅはそのデータセットの記録対価の額の情報を個人ユーザ毎に記憶する。情報取引装置１ｅは個人端末からの要求に基づいて、その個人端末を操作する個人ユーザについて記憶するデータセットの記録対価の額を個人端末４に送信する。これにより、個人ユーザは、自身の個人情報が情報提供元装置２において提供候補として記録される際の対価を確認することができる。なお個人ユーザへ提供する記録対価の額の算出は、所定期間ごとに行われてよい。

　図１９は第四実施形態による情報取引装置を含む情報取引システムにおいて、情報取引装置と情報提供先装置、個人端末、および情報提供元装置との間で行われる処理フローを示す。
　情報提供先装置３を管理するデータ活用組織などの情報提供先の管理者は、データセットの提供を受けたい場合、情報提供先装置３を情報取引装置１ｅに通信接続させる。これにより、情報取引装置１と情報提供先装置３とが通信接続する（ステップＳ１４０１）。情報取引装置１ｅの提供先インタフェース部１４は、カタログ情報４０を記述したデータセット指定ウェブページ４１を生成する。データセット指定ウェブページ４１に記述されるカタログ情報４０は、一つ以上のデータセットについて、データセット毎の説明項目が含まれる。従ってデータセット指定ウェブページ４１は、複数のデータセットの説明項目の情報がデータセット毎に含まれる、データセットのカタログとしての役割を果たす。情報取引装置１ｅの提供先インタフェース部１４は、接続した情報提供先装置３へ、データセット指定ウェブページ４１を送信する（ステップＳ１４０２）。

　情報提供先装置３はデータセット指定ウェブページ４１を取得し、ディスプレイにデータセット指定ウェブページ４１を出力する（ステップＳ１４０３）。情報提供先の組織の担当者は、データセット指定ウェブページ４１の各カタログ情報４０に紐づいて表示されているチェック欄のうち、提供を要求するデータセットに対応するカタログ情報４０のチェック欄にチェックを入れ、提供要求ボタンを押下する。情報提供先装置３は、その提供要求を受け付ける（ステップＳ１４０４）。情報提供先装置３は、提供要求として受け付けた一つまたは複数のカタログ情報４０に含まれるデータセット名を特定し、そのデータセット名を含む提供要求を情報取引装置１ｅへ送信する（ステップＳ１４０５）。提供要求には、データセット名の他、情報提供先装置３のＩＤ、情報提供先装置３のネットワークアドレスなどの情報が含まれてもよい。

　情報取引装置１ｅの提供先インタフェース部１４は提供要求を取得する（ステップＳ１４０６）。提供先インタフェース部１４は提供要求を、承認先特定部１６に出力する。承認先特定部１６は、提供要求を取得する。承認先特定部１６は提供要求に含まれるデータセット名を取得する。承認先特定部１６はそのデータセット名に紐づいて個人データ所在情報５０に含まれる全ての個人識別コードを取得する（ステップＳ１４０７）。承認先特定部１６は、全ての個人識別コードに紐づいて予め情報取引装置１ｅが記憶する承認先アドレスを取得する（ステップＳ１４０８）。承認先アドレスは個人端末４のアドレスである。または承認先アドレスは個人端末４が保持するアプリケーションプログラムが保持するアドレスであってもよい。承認先特定部１６は、承認先アドレスにより特定される各個人端末４（承認要求先）に承認登録要求ページを送信する（ステップＳ１４０９）。承認登録要求ページには、提供要求に含まれるデータセット名、提供要求を送信した情報提供先装置３を管理する情報提供先の組織の組織名などの情報が含まれる。

　各個人端末４は承認登録要求ページを取得する。個人端末４はディスプレイに承認登録要求ページを出力する（ステップＳ１４１０）。承認登録要求ページにはデータセット名に紐づく提供対価や記録対価の額が含まれ、これらの情報を含む承認登録要求ページが個人端末４のディスプレイに出力されてもよい。個人ユーザは、承認登録要求ページに表示される、データセット名、情報提供先の組織の組織名、提供対価や記録対価を認識し、データセット名で特定される個人情報を、情報提供先の組織に提供してよいかどうかの承認入力を行う。例えば、承認登録要求ページには、さらに、承認ＯＫ、承認ＮＧのボタンが表示されており、ユーザは、マウス等の入力装置を用いていずれかのボタンを押下することにより、承認ＯＫまたは承認ＮＧの何れかを示す承認入力をすることができる。ユーザが承認ＯＫのボタンを押下操作した場合、各個人端末４は承認ＯＫのフラグを含む承認結果を生成する（ステップＳ１４１１）。ユーザが承認ＮＧのボタンを押下操作した場合、各個人端末４は承認ＮＧのフラグを含む承認結果を生成する。承認結果にはさらに、承認要求に含まれていた、データセット名、情報提供先の組織の組織名、個人端末４を利用する個人ユーザの個人識別コードなどが含まれてよい。各個人端末４は生成した承認結果を、情報取引装置１ｅへ送信する（ステップＳ１４１２）。

　情報取引装置１ｅの個人端末インタフェース部１２は、各個人端末４から受信した承認結果を取得する（ステップＳ１４１３）。個人端末インタフェース部１２は、承認結果を送信要求部１７へ出力する。送信要求部１７は、各承認結果に承認ＯＫのフラグが含まれるかを判定する（ステップＳ１４１４）。送信要求部１７は、各承認結果に承認ＯＫのフラグが含まれる場合、送信要求を生成する（ステップＳ１４１５）。送信要求には、承認結果に含まれるデータセット名、情報提供先の組織の組織名、情報提供先装置３のＩＤ、情報提供先装置３のネットワークアドレスなどが含まれてよい。送信要求部１７は、各承認結果に承認ＮＧのフラグが含まれる場合、その承認結果に含まれる個人識別コードを取得し、その個人識別コードに対応した個人情報を提供不可と判定する（ステップＳ１４１６）。

　送信要求部１７は、データセット名に紐づいてデータセット指定ウェブページ４１に含まれる１つまたは複数の情報提供元装置２それぞれを識別する情報提供元コードを取得する（ステップＳ１４１７）。送信要求部１７は、情報提供元コードに紐づけて予め情報提供元装置２のネットワークアドレスを記憶している。送信要求部１７は、取得した情報提供元コードに紐づいて記憶する情報提供元装置２のネットワークアドレスを取得する。送信要求部１７は、取得したネットワークアドレスに宛てて、送信要求を送信する（ステップＳ１４１８）。送信要求にはステップＳ１４１６で承認ＮＧとなる承認結果に含まれる個人識別コードが、提供不可の個人情報に対応する個人ユーザの個人識別コードとして格納される。

　情報提供元装置２は送信要求を受信する。情報提供元装置２は送信要求に含まれるデータセット名、提供先の組織の組織名、情報提供先装置３のＩＤ、情報提供先装置３のネットワークアドレス、提供不可の個人情報に対応する個人ユーザの個人識別コードを取得する。情報提供元装置２は、第二ＤＢ２２から、データセット名に対応するデータセットを取得する（ステップＳ１４１９）。情報提供元装置２はそのデータセットに含まれる個人情報のうち、送信要求に格納されている個人識別コードに対応する個人情報を削除する。情報提供元装置２は、そのデータセットを、送信要求に含まれる情報提供先装置３のネットワークアドレスに宛てて送信する（ステップＳ１４２０）。情報提供先装置３はデータセットを受信する。情報提供先装置３は、受信したデータセットを自装置が備えるデータベース等に記録する（ステップＳ１４２１）。情報提供先装置３は、その後、受信したデータセットを用いて、所定の処理を行う。なお、情報提供元装置２は、送信要求に応じて送信するデータセットを、情報取引装置１ｅを介して情報提供先装置３へ送信してもよい。情報提供元装置２は複数の異なる情報提供元装置２から取得したデータセットを、１つの情報提供先装置３へ転送する際に、それらデータセットをまとめて転送するようにしてもよい。

　以上の処理によれば、情報取引装置１ｅは、複数の情報提供元装置２が発生させた個人情報を含むデータセットを自装置で記憶することなく、提供を希望する情報提供先装置３へのデータセットの送信を制御することができる。これにより、情報提供元装置２を管理する複数の情報提供元がそれぞれ発生させた大量の個人情報の不正な流出等のリスクを、情報取引装置１ｅに集中させることなく、個人情報を管理する仕組みを提供することができる。

　なお提供対価算出部１８は、データセットが情報提供元装置２から情報提供先装置３へ送信されたことに対して、そのデータセットに含まれる個人情報に対応する個人ユーザへ提供する提供対価の額を算出してよい。この場合、例えば提供対価算出部１８は、送信要求に基づくデータセットの送信に関する情報を情報提供元装置２から取得し、情報提供元装置２が情報提供先装置３へ送信したデータセット名を特定する。提供対価算出部１８は、データセットの単位量当たりの提供対価の額を、情報取引装置１ｅから取得する。提供対価算出部１８は、データセットの単位量当たりの提供対価の額に基づいて、情報提供先装置３へ送信したデータセットの提供対価の額を算出し、情報取引装置１ｅへ送信する。情報取引装置１ｅはそのデータセットの提供対価の額の情報を個人ユーザ毎に記憶する。情報取引装置１ｅは個人端末からの要求に基づいて、その個人端末を操作する個人ユーザについて記憶するデータセットの提供対価の額を個人端末４に送信する。これにより、個人ユーザは、自身の個人情報が情報提供先装置３へ提供されたことに対する対価を確認することができる。なお個人ユーザへ提供する提供対価の額の算出は、所定期間ごとに行われてよい。

＜第五実施形態＞
　図２０は第五実施形態による情報取引装置の機能ブロック図である。
　第五実施形態による情報取引装置１ｆは、第四実施形態による情報取引装置１ｆの機能と比較して、除外組織受付部１０の機能をさらに発揮する点で相違する。

　第五実施形態による情報取引装置１ｆは、情報提供先装置３を管理する組織のうち除外対象の組織の選択を個人ユーザから受け付ける。情報取引装置１ｆは、情報提供先装置３の送信した提供要求が示すデータセット名に基づいて、当該データセット名に紐づく個人データ所在情報を特定し、その個人データ所在情報に含まれる個人識別コードを取得する。情報取引装置１ｆは、その個人識別コードに対応する個人ユーザが、提供要求を送信した情報提供先装置３に紐づく組織について、除外対象の組織であると選択している場合、その個人ユーザに対する個人情報の提供の承認要求または、当該個人情報を含むデータセットの情報提供先装置３への送信の少なくとも一方を停止する。以下、第五実施形態の情報取引装置１ｆを含む情報取引システムの処理の詳細について説明する。

　図２１は第五実施形態による情報取引装置１ｆを含む情報取引システムの処理フローを示す図である。
　個人ユーザの個人情報を含むデータセットの情報提供先としての組織から除外する組織の選択を受け付ける処理において、情報取引装置１ｆの個人端末インタフェース部１２は、各個人端末４からのアクセスに基づいて、除外組織選択ページを送信する（ステップＳ１５０１）。各個人端末４は除外組織選択ページをディスプレイに出力する（ステップＳ１５０２）。各個人ユーザは、個人端末４に表示された除外組織選択ページにおいて、個人情報の提供先から除外する組織を選択する。一例としては、個人情報の情報提供先の組織の候補が属する複数の組織カテゴリの一覧と、それらの除外を指定するチェックボタンが除外組織選択ページに表示される。また登録ボタンが除外組織選択ページに表示される。各個人ユーザは、個人情報の情報提供先の組織から除外する組織カテゴリのチェックボタンをＯＮに操作し、登録ボタンを押下操作する。各個人端末４は、当該操作に基づいて、個人情報の情報提供先の組織から除外する組織の属する組織カテゴリの入力を検出する（ステップＳ１５０３）。各個人端末４は、個人識別コード、除外対象となる情報提供先の組織の属する組織カテゴリとを少なくとも含むフィルタ情報を生成し、情報取引装置１ｆへ送信する（ステップＳ１５０４）。

　情報取引装置１ｆの個人端末インタフェース部１２は、各個人端末４からフィルタ情報を取得する（ステップＳ１５０５）。個人端末インタフェース部１２は、各フィルタ情報をデータベース１０４等の記憶部に記録する（ステップＳ１５０６）。フィルタ情報は、個人識別コード、その個人識別コードの示す個人ユーザが選択した情報提供先の組織として除外した組織の組織カテゴリ（提供除外先カテゴリ）を紐づけた情報である。

　複数の個人端末４との間における上述の処理により、複数の個人ユーザに関するフィルタ情報が情報取引装置１ｆに記録される。なお情報取引装置１ｆは、予め組織カテゴリ（提供除外先カテゴリ）の識別情報と、その組織カテゴリに属する組織の管理する情報提供元装置２の識別コード、当該情報提供元装置２のネットワークアドレスなどを紐づけて保持した組織テーブルを記憶しているものとする。

　上述のようにフィルタ情報と組織テーブルとを記憶している状態において、上述の第四実施形態のステップＳ１４０１～ステップＳ１４０５の処理が行われ、当該ステップＳ１４０５の処理に基づいて、情報取引装置１ｆの提供先インタフェース部１４は提供要求を取得する（ステップＳ１４０６）。提供先インタフェース部１４は提供要求を、承認先特定部１６に出力する。承認先特定部１６は、提供要求を取得する。承認先特定部１６は提供要求に含まれるデータセット名を取得する。承認先特定部１６はそのデータセット名に紐づいて個人データ所在情報５０に含まれる全ての個人識別コードを取得する（ステップＳ１４０７）。この処理までは第四実施形態と同様である。

　承認先特定部１６は、ステップＳ１４０６で取得した提供要求を送信した情報提供先装置３の識別コードを提供要求から検出する（ステップＳ１６０１）。承認先特定部１６は、この情報提供先装置３に紐づいて組織テーブルに記録されている提供除外先カテゴリの識別情報を取得する（ステップＳ１６０２）。承認先特定部１６は、ステップＳ１４０７で特定した個人識別コードに対応する個人ユーザが、提供要求を送信した情報提供先装置３に紐づく組織を、情報提供先の組織から除外しているかを判定する。例えば、承認先特定部１６は、ステップＳ１４０７で特定した各個人識別コードと、ステップＳ１６０２で取得した提供除外先カテゴリの識別情報とが紐づいて、フィルタ情報に記録されているかを判定する（ステップＳ１６０３）。承認先特定部１６は、ステップＳ１４０７で特定した個人識別コードと、ステップＳ１６０２で取得した提供除外先カテゴリの識別情報とが紐づいて、フィルタ情報に記録されていない場合に、ステップＳ１４０７で特定した個人識別コードに対応する個人ユーザを承認先と特定する（ステップＳ１６０４）。承認先特定部１６は、ステップＳ１４０７で特定した個人識別コードと、ステップＳ１６０２で取得した提供除外先カテゴリの識別情報とが紐づいて、フィルタ情報に記録されている場合、ステップＳ１４０７で特定した各個人識別コードの各個人ユーザに対する承認要求を停止する。これにより承認先特定部１６は、それらの個人ユーザの個人情報が含まれるデータセットの提供を停止する（ステップＳ１６０５）。

　以降の処理は、第四実施形態のステップＳ１４０８以降の処理と同様である。つまり、承認先特定部１６は、ステップＳ１４０７で特定した承認先として特定した個人識別コードに紐づいて予め情報取引装置１ｆが記憶する承認先アドレスを取得する（ステップＳ１４０８）。承認先アドレスは個人端末４のアドレスである。または承認先アドレスは個人端末４が保持するアプリケーションプログラムが保持するアドレスであってよい。承認先特定部１６は、承認先アドレスにより特定される個人端末４に承認登録要求ページを送信する（ステップＳ１４０９）。そしてその後、個人ユーザの承認に基づいて、第四実施形態と同様にステップＳ１４１０～ステップＳ１４２１の処理が行われる。ただし、第六の実施形態においてはステップＳ１４１６に相当する処理において、さらに、ステップＳ１６０５で承認要求を停止した個人ユーザの個人識別コードを取得し、その個人識別コードに対応した個人情報を提供不可と判定する。

　以上の処理によれば、個人情報の情報提供先の組織から除外する組織の提供要求を情報取引装置１ｆが受信した場合、情報取引装置１ｆはその提供要求が示すデータセット（個人情報）の提供の承認要求を個人端末４に行わない。従って個人ユーザは予め個人情報の情報提供先の組織から除外する組織の登録を行うことで、情報提供に関する不要な承認要求を受けることがない情報取引システムの仕組みを提供することができる。

＜第六実施形態＞
　図２２は第六実施形態による情報取引システムの構成を示す図である。
　情報取引システム１００Ｃは、図２２に示すような構成を有していてもよい。つまり情報取引システム１００Ｃにおいて、他の実施形態で情報提供元装置２が備える第二ＤＢ２２を、データセンタ５が備える。またデータセンタ５は、情報取引装置１が生成したカタログ情報４１を記憶する。そして情報提供元装置２はデータセットを生成した場合、そのデータセットをデータセンタ５に備わる第二ＤＢ２２に登録する。カタログ情報４０を情報取引装置１が用いる場合には、情報取引装置１がデータセンタ５のカタログ情報４０を参照し、上述の他の実施形態で説明した処理を行えばよい。

　つまり第六実施形態による情報取引システム１００Ｃの情報取引装置１においては、上述のステップＳ１２０７で送信されたデータセットの説明項目を取得すると、カタログ情報生成部１５は、生成したデータセットの説明項目を含むカタログ情報４０を、データセンタ５から取得した過去のカタログ情報４０にさらに加えた新たなカタログ情報４０を生成する。そしてカタログ情報生成部１５は、上述のステップＳ１２０８において、既にデータセンタ５が記憶する過去のカタログ情報４０を更新する。

　また第六実施形態による情報取引システム１００Ｃの情報取引装置１においては、ステップＳ１４０１において、情報取引装置１と情報提供先装置３が通信接続すると、情報取引装置１の提供先インタフェース部１４は、データセンタ５からカタログ情報４０を取得する。提供先インタフェース部１４は、取得したカタログ情報４０を記述したデータセット指定ウェブページ４１を生成する。そしてステップＳ１４０２において、提供先インタフェース部１４は、接続した情報提供先装置３へ、データセット指定ウェブページ４１を送信する。

　また第六実施形態による情報取引システム１００Ｃの情報取引装置１においては、ステップＳ１４１８において、送信要求部１７は、データセンタ５に宛てて、送信要求を送信する。送信要求にはステップＳ１４１６で承認ＮＧとなる承認結果に含まれる個人識別コードが、提供不可の個人情報に対応する個人ユーザの個人識別コードとして格納される。データセンタ５は、送信要求を受信する。データセンタ５は、送信要求に含まれるデータセット名、提供先の組織の組織名、情報提供先装置３のＩＤ、情報提供先装置３のネットワークアドレス、提供不可の個人情報に対応する個人ユーザの個人識別コードを取得する。

　また第六実施形態においては、ステップＳ１４１９の処理に代えて、データセンタ５は、第二ＤＢ２２から、データセット名に対応するデータセットを取得する。データセンタ５は、そのデータセットに含まれる個人情報のうち、送信要求に格納されている個人識別コードに対応する個人情報を削除する。ステップＳ１４２０の処理に代えて、データセンタ５は、そのデータセットを、送信要求に含まれる情報提供先装置３のネットワークアドレスに宛てて送信する。なおデータセンタ５は、データセットまたはカタログ情報４０の少なくとも一方を記憶するようにしてもよい。

　図２３は第四から第六実施形態に含まれる最小構成の情報取引装置１ｇを示す図である。
　図２４は第四から第六実施形態に含まれる最小構成の情報取引装置１ｇによる処理を示す図である。
　情報取引装置１ｇは、少なくとも送信手段１２４、提供要求受付手段１２２と、送信要求手段１２３とを備える。
　送信手段１２４は、情報提供元装置２から情報提供先装置３へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目をデータセット毎に記述したデータセット指定ウェブページ４１を情報提供先装置３へ送信する（ステップＳ１１３１）。
　提供要求受付手段１２２は、データセット指定ウェブページ４１に記述された一つ以上のデータセットのうち提供要求対象のデータセットの選択を情報提供先装置３より受け付ける（ステップＳ１１３２）。
　送信要求手段１２３は、提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に、当該個人情報の情報提供先装置３への送信要求を、当該個人情報を記憶する情報提供元装置２へ出力する（ステップＳ１１３３）。

　上述の各装置は内部に、コンピュータシステムを有している。そして、上述した各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、ＣＤ－ＲＯＭ、ＤＶＤ－ＲＯＭ、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。

　また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル（差分プログラム）であっても良い。

　上記の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限らない。

（付記１）
　情報提供元装置と情報提供先装置に接続された情報取引装置とを備え、前記情報取引装置は、
　前記情報提供元装置から前記情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶し、
　前記情報提供先装置から前記データセットの提供要求を受け付け、
　前記提供要求が示すデータセットの前記情報提供先装置への送信要求を前記情報提供元装置へ出力する
　情報取引システム。

（付記２）
　前記情報取引装置は、
　個人ユーザの識別情報と、前記個人ユーザの個人情報を含むデータセットが何れの前記情報提供元装置に記録されているかを示す所在情報とを記憶し、
　前記提供要求が示すデータセットに関する前記所在情報に含まれる前記個人ユーザの識別情報を取得し、前記個人ユーザに対する個人情報の提供の承認要求を行い、
　前記承認要求の結果が個人情報の提供が可能であることを示す場合に、前記提供要求が示すデータセットの送信要求を前記情報提供元装置へ出力する
　付記１に記載の情報取引システム。

（付記３）
　前記情報提供元装置は、
　前記データセットのフォーマット定義情報に基づいて前記個人情報を含む前記データセットを生成し記憶する
　付記１または付記２に記載の情報取引システム。

（付記４）
　前記情報提供先装置は、
　前記フォーマット定義情報が示す前記データセットに含めることのできる個人情報以外の新たな個人情報の前記データセットへの追加要求を送信し、
　前記情報提供元装置は、
　前記追加要求に基づいて生成された新たな前記フォーマット定義情報を用いて前記データセットを生成する
　付記３に記載の情報取引システム。

（付記５）
　前記情報取引装置は、
　前記情報提供先装置を管理する組織のうち除外対象の組織の選択を受け付け、
　前記提供要求が示すデータセットに関する前記所在情報に含まれる個人ユーザの識別情報を取得し、
　前記個人ユーザが、前記提供要求を送信した前記情報提供先装置に紐づく組織について、前記除外対象の組織であると選択している場合、その個人ユーザに対する個人情報の提供の承認要求または前記個人情報を含むデータセットの前記情報提供先装置への送信の少なくとも一方を停止する
　付記２に記載の情報取引システム。

（付記６）
　前記データセットまたは前記カタログ情報の少なくとも一方をデータセンタが記憶する付記１から付記５の何れか一項に記載の情報取引システム。

（付記７）
　情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶し、
　前記情報提供先装置から前記データセットの提供要求を受け付け、
　前記提供要求が示すデータセットの前記情報提供先装置への送信要求を前記情報提供元装置へ出力する
　情報取引装置。

（付記８）
　情報提供元装置と情報提供先装置に通信接続した情報取引装置を備えた情報取引システムにおいて、前記情報取引装置は、
　前記情報提供元装置から前記情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶し、
　前記情報提供先装置から前記データセットの提供要求を受け付け、
　前記提供要求が示すデータセットの前記情報提供先装置への送信要求を前記情報提供元装置へ出力する
　情報取引方法。

（付記９）
　情報取引装置のコンピュータを、
　情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶する手段、
　前記情報提供先装置から前記データセットの提供要求を受け付ける手段、
　前記提供要求が示すデータセットの前記情報提供先装置への送信要求を前記情報提供元装置へ出力する手段、
　として機能させるプログラムを記録した記録媒体。

（付記１０）
　情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目を前記データセットそれぞれについて記述したデータセット指定ウェブページを前記情報提供先装置へ送信し、
　前記データセット指定ウェブページに記述された前記一つ以上のデータセットのうち提供要求対象のデータセットの選択を前記情報提供先装置から受け付け、
　前記提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に、前記個人情報の前記情報提供先装置への送信要求を前記個人情報を記憶する情報提供元装置へ出力する
　情報取引方法。

（付記１１）
　個人ユーザの識別情報と、前記個人ユーザの個人情報が何れの前記情報提供元装置に記録されているかを示す所在情報とを記憶し、
　前記提供要求対象のデータセットに関する前記説明項目から特定した個人情報に対応する前記個人ユーザの識別情報を前記所在情報の中から取得し、前記個人ユーザの識別情報に対応する承認要求先に承認要求を行う
　付記１０に記載の情報取引方法。

（付記１２）
　新たな個人情報のフォーマット形式の指定に基づいてフォーマット定義情報を生成し、
　前記フォーマット定義情報の示す前記フォーマット形式に合わせた個人情報を含む前記データセットを生成する前記情報提供元装置に対して、前記フォーマット定義情報を送信する
　付記１１に記載の情報取引方法。

（付記１３）
　前記情報提供先装置を管理する組織のうち除外対象の組織の選択を受け付け、
　前記提供要求対象となるデータセットに関する前記所在情報に含まれる個人ユーザの識別情報を取得し、
　前記個人ユーザが、前記提供要求対象となるデータセットの選択を受け付けた前記情報提供先装置に紐づく組織について、前記除外対象の組織であると選択している場合、その個人ユーザに対する個人情報の提供の承認要求または前記個人情報を含むデータセットの前記情報提供先装置への送信の少なくとも一方を停止する
　付記１１または付記１２に記載の情報取引方法。

（付記１４）
　情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目を前記データセットそれぞれについて記述したデータセット指定ウェブページを前記情報提供先装置へ送信し、
　前記データセット指定ウェブページに記述された前記一つ以上のデータセットのうち提供要求対象のデータセットの選択を前記情報提供先装置から受け付け、
　前記提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に、前記個人情報の前記情報提供先装置への送信要求を前記個人情報を記憶する情報提供元装置へ出力する
　情報取引装置。

（付記１５）
　情報取引装置のコンピュータを、
　情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目を前記データセットそれぞれについて記述したデータセット指定ウェブページを前記情報提供先装置へ送信する手段、
　前記データセット指定ウェブページに記述された前記一つ以上のデータセットのうち提供要求対象のデータセットの選択を前記情報提供先装置から受け付ける手段、
　前記提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に、前記個人情報の前記情報提供先装置への送信要求を前記個人情報を記憶する情報提供元装置へ出力する手段、
　として機能させるプログラムを記録した記録媒体。

（付記１６）
　個人ユーザの識別情報と、その個人ユーザの個人情報が何れの前記情報提供元装置に記録されているかを示す所在情報を記憶する前記情報取引装置のコンピュータを、
　さらに、前記提供要求対象のデータセットに関する前記説明項目から特定した個人情報に対応する前記個人ユーザの識別情報を前記所在情報の中から取得し、前記個人ユーザの識別情報に対する承認要求先に承認要求を行う手段、
　として機能させる付記１５に記載のプログラムを記録した記録媒体。

（付記１７）
　前記情報取引装置のコンピュータを、さらに、
　新たな個人情報のフォーマット形式の指定に基づいてフォーマット定義情報を生成し、　前記フォーマット定義情報の示す前記フォーマット形式に合わせた個人情報を含む前記データセットを生成する前記情報提供元装置に対して、前記フォーマット定義情報を送信する手段、
　として機能させる付記１６に記載のプログラムを記録した記録媒体。

（付記１８）
　前記情報取引装置のコンピュータを、さらに、
　前記情報提供先装置を管理する組織のうち除外対象の組織の選択を受け付ける手段、
　前記提供要求対象となるデータセットに関する前記所在情報に含まれる個人ユーザの識別情報を取得する手段、
　前記個人ユーザが、前記提供要求対象となるデータセットの選択を受け付けた前記情報提供先装置に紐づく組織について、前記除外対象の組織であると選択している場合、その個人ユーザに対する個人情報の提供の承認要求または前記個人情報を含むデータセットの前記情報提供先装置への送信の少なくとも一方を停止する手段、
　として機能させる付記１６に記載のプログラムを記録した記録媒体。

　本願は、２０１９年１０月３１日に日本に出願された特願２０１９－１９９１４２号および２０２０年２月２５日に日本に出願された特願２０２０－２９８５１号に基づき優先権を主張し、その内容をここに援用する。

　本発明によれば、情報提供元装置を管理する複数の情報提供元がそれぞれ発生させた大量の個人情報の不正な流出等のリスクを情報取引装置に集中させることがない情報取引システムを提供することができる。

１、１ａ、１ｂ、１ｃ、１ｄ、１ｅ、１ｆ　　情報取引装置
２　　　情報提供元装置
３　　　情報提供先装置
４　　　個人端末
５　　　データセンタ
１０　　除外組織受付部
１１　　制御部
１２　　個人端末インタフェース部
１３　　提供元インタフェース部
１４　　提供先インタフェース部
１５　　カタログ情報生成部
１６　　承認先特定部
１７　　送信要求部
１８　　提供対価算出部
１９　　記録対価算出部
２１　　第一ＤＢ
２２　　第二ＤＢ
１００Ａ、１００Ｂ、１００Ｃ　　情報取引システム

Claims

　情報提供元装置と情報提供先装置に接続された情報取引装置とを備え、前記情報取引装置は、
　前記情報提供元装置から前記情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶し、
　前記情報提供先装置から前記データセットの提供要求を受け付け、
　前記提供要求が示すデータセットの前記情報提供先装置への送信要求を前記情報提供元装置へ出力する
　情報取引システム。
　前記情報取引装置は、
　個人ユーザの識別情報と、前記個人ユーザの個人情報を含むデータセットが何れの前記情報提供元装置に記録されているかを示す所在情報とを記憶し、
　前記提供要求が示すデータセットに関する前記所在情報に含まれる前記個人ユーザの識別情報を取得し、前記個人ユーザに対する個人情報の提供の承認要求を行い、
　前記承認要求の結果が個人情報の提供が可能であることを示す場合に、前記提供要求が示すデータセットの送信要求を前記情報提供元装置へ出力する
　請求項１に記載の情報取引システム。
　前記情報提供元装置は、
　前記データセットのフォーマット定義情報に基づいて前記個人情報を含む前記データセットを生成し記憶する
　請求項１または請求項２に記載の情報取引システム。
　前記情報提供先装置は、
　前記フォーマット定義情報が示す前記データセットに含めることのできる個人情報以外の新たな個人情報の前記データセットへの追加要求を送信し、
　前記情報提供元装置は、
　前記追加要求に基づいて生成された新たな前記フォーマット定義情報を用いて前記データセットを生成する
　請求項３に記載の情報取引システム。
　前記情報取引装置は、
　前記情報提供先装置を管理する組織のうち除外対象の組織の選択を受け付け、
　前記提供要求が示すデータセットに関する前記所在情報に含まれる個人ユーザの識別情報を取得し、
　前記個人ユーザが、前記提供要求を送信した前記情報提供先装置に紐づく組織について、前記除外対象の組織であると選択している場合、その個人ユーザに対する個人情報の提供の承認要求または前記個人情報を含むデータセットの前記情報提供先装置への送信の少なくとも一方を停止する
　請求項２に記載の情報取引システム。
　前記データセットまたは前記カタログ情報の少なくとも一方をデータセンタが記憶する請求項１または請求項２に記載の情報取引システム。
　情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶し、
　前記情報提供先装置から前記データセットの提供要求を受け付け、
　前記提供要求が示すデータセットの前記情報提供先装置への送信要求を前記情報提供元装置へ出力する
　情報取引装置。
　情報提供元装置と情報提供先装置に通信接続した情報取引装置を備えた情報取引システムにおいて、前記情報取引装置は、
　前記情報提供元装置から前記情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶し、
　前記情報提供先装置から前記データセットの提供要求を受け付け、
　前記提供要求が示すデータセットの前記情報提供先装置への送信要求を前記情報提供元装置へ出力する
　情報取引方法。
　情報取引装置のコンピュータを、
　情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する詳細情報を含むカタログ情報を記憶する手段、
　前記情報提供先装置から前記データセットの提供要求を受け付ける手段、
　前記提供要求が示すデータセットの前記情報提供先装置への送信要求を前記情報提供元装置へ出力する手段、
　として機能させるプログラムを記録した記録媒体。
　情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目を前記データセットそれぞれについて記述したデータセット指定ウェブページを前記情報提供先装置へ送信し、
　前記データセット指定ウェブページに記述された前記一つ以上のデータセットのうち提供要求対象のデータセットの選択を前記情報提供先装置から受け付け、
　前記提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に、前記個人情報の前記情報提供先装置への送信要求を前記個人情報を記憶する情報提供元装置へ出力する
　情報取引方法。
　個人ユーザの識別情報と、前記個人ユーザの個人情報が何れの前記情報提供元装置に記録されているかを示す所在情報とを記憶し、
　前記提供要求対象のデータセットに関する前記説明項目から特定した個人情報に対応する前記個人ユーザの識別情報を前記所在情報の中から取得し、前記個人ユーザの識別情報に対応する承認要求先に承認要求を行う
　請求項１０に記載の情報取引方法。
　新たな個人情報のフォーマット形式の指定に基づいてフォーマット定義情報を生成し、
　前記フォーマット定義情報の示す前記フォーマット形式に合わせた個人情報を含む前記データセットを生成する前記情報提供元装置に対して、前記フォーマット定義情報を送信する
　請求項１１に記載の情報取引方法。
　前記情報提供先装置を管理する組織のうち除外対象の組織の選択を受け付け、
　前記提供要求対象となるデータセットに関する前記所在情報に含まれる個人ユーザの識別情報を取得し、
　前記個人ユーザが、前記提供要求対象となるデータセットの選択を受け付けた前記情報提供先装置に紐づく組織について、前記除外対象の組織であると選択している場合、その個人ユーザに対する個人情報の提供の承認要求または前記個人情報を含むデータセットの前記情報提供先装置への送信の少なくとも一方を停止する
　請求項１１または請求項１２に記載の情報取引方法。
　情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目を前記データセットそれぞれについて記述したデータセット指定ウェブページを前記情報提供先装置へ送信し、
　前記データセット指定ウェブページに記述された前記一つ以上のデータセットのうち提供要求対象のデータセットの選択を前記情報提供先装置から受け付け、
　前記提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に、前記個人情報の前記情報提供先装置への送信要求を前記個人情報を記憶する情報提供元装置へ出力する
　情報取引装置。
　情報取引装置のコンピュータを、
　情報提供元装置から情報提供先装置へ提供できる個人情報を含む一つ以上のデータセットに関する説明項目を前記データセットそれぞれについて記述したデータセット指定ウェブページを前記情報提供先装置へ送信する手段、
　前記データセット指定ウェブページに記述された前記一つ以上のデータセットのうち提供要求対象のデータセットの選択を前記情報提供先装置から受け付ける手段、
　前記提供要求対象となるデータセットに含まれる個人情報の提供の承認を受けた場合に、前記個人情報の前記情報提供先装置への送信要求を前記個人情報を記憶する情報提供元装置へ出力する手段、
　として機能させるプログラムを記録した記録媒体。
　個人ユーザの識別情報と、その個人ユーザの個人情報が何れの前記情報提供元装置に記録されているかを示す所在情報を記憶する前記情報取引装置のコンピュータを、
　さらに、前記提供要求対象のデータセットに関する前記説明項目から特定した個人情報に対応する前記個人ユーザの識別情報を前記所在情報の中から取得し、前記個人ユーザの識別情報に対する承認要求先に承認要求を行う手段、
　として機能させる請求項１５に記載のプログラムを記録した記録媒体。
　前記情報取引装置のコンピュータを、さらに、
　新たな個人情報のフォーマット形式の指定に基づいてフォーマット定義情報を生成し、　前記フォーマット定義情報の示す前記フォーマット形式に合わせた個人情報を含む前記データセットを生成する前記情報提供元装置に対して、前記フォーマット定義情報を送信する手段、
　として機能させる請求項１６に記載のプログラムを記録した記録媒体。
　前記情報取引装置のコンピュータを、さらに、
　前記情報提供先装置を管理する組織のうち除外対象の組織の選択を受け付ける手段、
　前記提供要求対象となるデータセットに関する前記所在情報に含まれる個人ユーザの識別情報を取得する手段、
　前記個人ユーザが、前記提供要求対象となるデータセットの選択を受け付けた前記情報提供先装置に紐づく組織について、前記除外対象の組織であると選択している場合、その個人ユーザに対する個人情報の提供の承認要求または前記個人情報を含むデータセットの前記情報提供先装置への送信の少なくとも一方を停止する手段、
　として機能させる請求項１６に記載のプログラムを記録した記録媒体。