WO2021085519A1

WO2021085519A1 - パーソナルデータ流通管理システム及びその方法

Info

Publication number: WO2021085519A1
Application number: PCT/JP2020/040568
Authority: WO
Inventors: 八木　康史
Original assignee: 国立大学法人大阪大学
Priority date: 2019-10-31
Filing date: 2020-10-29
Publication date: 2021-05-06
Also published as: JPWO2021085519A1; EP4053780A4; CN114600107A; US20220374550A1; EP4053780A1

Abstract

パーソナルデータ流通管理システム（１）は、ネットワーク（５０）上に接続された、提供元データ管理装置（１１），（１２），…と、データ流通管理装置（３０）と、中継処理装置（４０）とを個別に備える。提供元データ管理装置（１１）は、測定器（２１）で測定された個人のパーソナルデータ、個人及び測定に関係する属性情報を個人の実名情報と対応付けた元データとして記憶するデータベース（１１０３）を備える。データ流通管理装置は、パーソナルデータを除く元データを取り込んでデータカタログが生成される。中継処理装置は、外部から受け付けたデータ利用依頼に基づいて、各提供元データ管理装置等のデータベースから個人の実名情報を除いたデータをデータ利用者端末（１００）に出力する。これにより、パーソナルデータや個人の実名情報の情報漏洩に対するリスクを低減したデータ流通管理が可能となる。

Description

パーソナルデータ流通管理システム及びその方法

　本発明は、複数の個人から収集したパーソナルデータの流通を管理するパーソナルデータ流通管理の技術に関する。

　データが主導する経済成長と社会変革の実現においては、ビッグデータの利活用が鍵を握る。ビッグデータとして、特にパーソナルデータに対して注目が集まっている。パーソナルデータを使うことで、例えば、医療の進展や健康の増進などの様々な人々の利益に供することができること、また、各個人に向けたサービスもその対象となる個人のパーソナルデータを使って、より個人にマッチした質の高いサービスが構築できること、パーソナルデータを用いることで有効性の高いマーケティングができることなどが期待されている。

　２０１７年６月９日、「未来投資戦略２０１７」の中で、日本国内で業種・業界を超えてデータ流通・活用を促すための３つの具体的施策を推進することを閣議決定した。その施策とは、（１）産業データの連携・活用、（２）パーソナルデータの利活用、（３）民間企業分野のデジタルトランスフォーメーションの促進である。日本では、パーソナルデータの適正な利活用と適切な保護、また両者の間のバランスをとった取扱いを行うために、パーソナルデータストア（ＰＤＳ）、情報銀行、データ取引市場といった仕組みが提案されている。２０１９年、情報銀行及びデータ取引市場の事例が徐々に出始めてきた。ＰＤＳと情報銀行は、個人データの本人同意・ビッグデータ化を促す仕組みであり、データ取引市場は、流通・活用を促すためのマッチングに関する重要な仕組みに位置付けられる。

　パーソナルデータは、個人が企業のサービスを利用するたびに、企業が取得することになるため、企業が管理する情報システムで管理・蓄積されていることが多い。しかし、本来は個人のものであり、個人自らの判断でデータを蓄積・管理し、情報の存在事実も把握しているべきという考え方が社会通念としてあるため、個人データの流通は個人起点で実現する方向（データのポータビリティ）で検討が進められている。個人が企業に提供したパーソナルデータを自ら手元に集約して管理し、データ別に利活用条件を容易に設定するためのシステムとしてＰＤＳが考えられた。個人情報保護法やガイドラインの規定により、企業がパーソナルデータを利活用する場合、事前の本人同意が必須となるが、ＰＤＳは本人同意をシステム的に実現する仕組みである。ＰＤＳ自体は、本人同意のシステム的実現であり、データ流通のための仕組みは含まない。企業側にとって、個人１人１人からパーソナルデータの利活用に関する同意を取り付けて収集するのはコストが大きい。情報銀行は、あらかじめ個人が自らのパーソナルデータの利活用条件を設定した上で、データの一部または全てを、情報銀行を運営する事業者に一括して信託する仕組みである。ＰＤＳとの連携により、個人がＰＤＳ等を用いて行う権利処理を代行することも可能としている。情報銀行は、第三者提供について、提供価格の折衝から、異なるデータ同士の接合など一手に行うことができる。

　欧州連合ではＥＵ一般データ保護規則ＧＤＰＲ（General Data Protection Regulation）というパーソナルデータの処理と移転に関するルールが、新たに２０１６年４月に定められた。世界の潮流を生みつつあるＧＤＰＲの考えでは、第三者提供時に再同意を行う必要があるが、データの利用目的、利用者全て、情報銀行に信託していることになり、包括同意でしかないといえる。世界を見据えるなら、第三者提供時の再同意は外せない。なお、改正個人情報保護法において要配慮情報の１つに位置付けられる「健康・医療データ」及び「金融データ」（クレジット番号、銀行口座番号）の情報銀行による管理については、「情報信託機能の認定に係る指針ver.1.0」では対象外であり、２０１９年６月にパブコメ募集があったように検討途上である。「データ取引市場」は、パーソナルデータを手元のＰＤＳで直接管理している個人、または個人からデータを預かり代行管理している情報銀行、自社の産業データの効果的な利活用を目的として、パーソナルデータの収集ニーズを持つ企業（及び複数企業の集合体であるプラットフォーム）、それぞれの需給をマッチングさせるデータ売買の仕組みである。この市場の機能としては、データ売買に伴う価格形成・提示、取引条件の詳細化、取引対象の標準化、取引の信用保証等が想定されている。パーソナルデータの流通においては、世界を見据え、改正個人情報保護法ならびにＧＤＰＲに準拠した形式で、再同意プロセスを含むデータ取引市場の仕組み作りが有用である。

　ところで、近年、個人のパーソナルデータの流通を実現するシステムが種々提案されている。例えば特許文献１には、個人のパーソナルデータを取得する事業者と、購入業者と、事業者と購入業者との間に介入し、購入業者からの申請及び申請対象のパーソナルデータの提供を仲介する仲介業者とを備えたパーソナルデータ提供システムが記載されており、個人に仮ＩＤを付与することで、仲介業者及び購入業者に対して匿名性を確保可能にするようにしている。また、特許文献２には、パーソナルデータを記憶する複数の情報銀行装置と、データ利用装置との間に介設して、データ利用装置からの利用データ要求を支援する仲介装置が記載されている。特許文献３には、ユーザ情報記憶部を備えた管理用サーバと、ユーザ情報の要求を行う要求側サーバとを備えたパーソナルデータ管理システムが記載されている。

　ユーザ情報記憶部を備えた管理用サーバと、ユーザ情報の要求を行う要求側サーバとを備えたパーソナルデータ管理システムが記載されている。

特開２０１８－１２８８８４号特許第６５９２２１３号特許第６５６６２７８号

　特許文献１～３に記載されたデータ管理システム、データ提供システム及び仲介装置は、パーソナルデータを格納する提供元データ記憶部を備える一方、パーソナルデータの流通促進のためのカタログの作成、及びその保管を行う流通管理装置を備えたものではない。しかもデータ流通管理装置及び複数の提供元データ記憶部を個々に配設するシステム構成を採用する場合、システム全体としてパーソナルデータの情報セキュリティー、さらにＧＤＰＲに準拠し、かつ個人情報の保護を満たすように設計することは容易ではない。

　本発明は、上記に鑑みてなされたもので、パーソナルデータの情報漏洩に対するリスクを低減可能にするデータ流通管理を行うパーソナルデータ流通管理システム及びその方法を提供するものである。

　また、本発明は、実名等の個人情報の保護を図り、またＧＤＰＲに準拠しながらデータ流通管理を可能にするパーソナルデータ流通管理システム及びその方法を提供するものである。

　本発明に係るパーソナルデータ流通管理システムは、ネットワーク上に接続された、少なくとも１つの提供元データ管理装置と、データ流通管理装置と、中継処理装置とを個別に備える。前記提供元データ管理装置は、測定器で測定された個人のパーソナルデータ、前記個人及び前記測定に関係する属性情報を前記個人の実名情報と対応付けた元データとして記憶するデータベースを備える。前記データ流通管理装置は、データ利用者端末からのデータ利用依頼を受け付ける利用依頼受付手段を備える。前記中継処理装置は、前記利用依頼受付手段で受け付けた前記データ利用依頼に基づいて、前記各提供元データ管理装置の前記データベースから前記データ利用依頼に該当する個人のパーソナルデータを選別すると共に対応する個人の実名情報を除いて前記データ利用者端末に出力するものである。

　また、本発明に係るパーソナルデータ流通管理システムは、ネットワーク上に接続された、少なくとも１つの提供元データ管理装置と、データ流通管理装置とを個別に備える。前記提供元データ管理装置は、測定器で測定された個人のパーソナルデータ、前記個人及び前記測定に関係する属性情報を前記個人の実名情報と対応付けた元データとして記憶するデータベースを備える。前記データ流通管理装置は、前記各提供元データ管理装置の前記データベースに記憶されている、前記パーソナルデータを除く前記元データを取り込み、一元化し、かつ編集を行ってデータカタログを生成するカタログ管理手段を備える。

　また、本発明に係るパーソナルデータ流通管理方法は、ネットワーク上に接続された、少なくとも１つの提供元データ管理装置と、データ流通管理装置と、中継処理装置とを個別に備える。前記データ流通管理装置の利用依頼受付手段が、測定器で測定された個人のパーソナルデータ、前記個人及び前記測定に関係する属性情報を前記個人の実名情報と対応付けた元データとして生成して記憶する。前記データ流通管理装置が、データ利用者端末からのデータ利用依頼を受け付ける。前記中継処理装置が、前記データ流通管理装置で受け付けた前記データ利用依頼に基づいて、前記各提供元データ管理装置の前記データベースから前記データ利用依頼に該当する個人のパーソナルデータを選別すると共に対応する個人の実名情報を除いて前記データ利用者端末に出力するものである。

　また、本発明に係るパーソナルデータ流通管理方法は、ネットワーク上に接続された、少なくとも１つの提供元データ管理装置と、データ流通管理装置とを個別に備える。前記提供元データ管理装置が、測定器で測定された個人のパーソナルデータ、前記個人及び前記測定に関係する属性情報を前記個人の実名情報と対応付けた元データとして作成してデータベースに記憶する。前記データ流通管理装置のカタログ管理手段が、前記各提供元データ管理装置の前記データベースに記憶されている、前記パーソナルデータを除く前記元データを取り込み、一元化し、かつ編集を行ってデータカタログを生成するものである。

　これらの発明によれば、データ流通管理装置は、パーソナルデータを除く元データを取り込んでデータカタログを生成する。また、中継処理装置は、外部から受け付けたデータ利用依頼に基づいて、各提供元データ管理装置のデータベースから個人の実名情報を除いたデータをデータ利用者端末に出力する。これらにより、パーソナルデータや個人の実名情報の、各提供元データ管理装置のデータベースからの外部への情報漏洩に対するリスクを低減したデータ流通管理が可能となる。

　本発明によれば、パーソナルデータや個人の実名情報の情報漏洩に対するリスクを低減したデータ流通管理が可能となる。

本発明に係るパーソナルデータ流通管理システムの一実施形態を示す構成図である。提供元データ管理装置の一実施形態を示す構成図である。データ流通管理装置の一実施形態を示す構成図である。利用者端末の一実施形態を示す構成図である。元データの項目の一例を示すメモリマップ図で、（Ａ）はデータ提供元の項目とメールアドレスの項目であり、（Ｂ）は個人の実名の項目、個人の属性情報などの項目を含む。名寄せ処理の一例を示す説明図で、（Ａ）は名寄せテーブル、（Ｂ）は二次仮名テーブルである。カタログ管理処理の一例を示す説明図で、（Ａ）は総合データカタログ、（Ｂ）は編集されたカタログである。データ利用依頼の選択項目の一例を示す図表である。最終仮名化処理を説明する図で、（Ａ）はデータカタログ、（Ｂ）は振り直しの一例を示す図、（Ｃ）は提供用データを示す。データ流通管理装置が行う名寄せ処理の一例を示すフローチャートである。データ流通管理装置が行う再同意処理の一例を示すフローチャートである。データ提供元装置が行う再同意手続処理Ｉの例を示すフローチャートである。データ提供元装置が行う再同意手続処理ＩＩの例を示すフローチャートである。

　図１は、本発明に係るパーソナルデータ流通管理システムの一実施形態を示す構成図である。図１において、パーソナルデータ流通管理システム１は、データ提供側１０と、データ流通管理装置３０と、プラットフォームとして機能する中継処理装置４０とを備え、それぞれインターネット等のネットワーク５０を介してデータ通信可能にされている。パーソナルデータ流通管理システム１は、ネットワーク５０を介して利用者端末１００と接続可能にされている。

　データ提供側１０は、１群のデータセットを収集し、保管する単位である提供元データ管理装置として、少なくとも１つ以上の提供元データ管理装置１１，１２，１３，…を備える。提供元データ管理装置１１，１２，１３，…としては、法人、企業、大学法人、団体、個人が想定され、本実施形態では、それぞれ病院単位であり、また医局単位を含めてもよい。なお、本実施形態における個人の、又は診断でのパーソナルデータとしては、例えば心拍数、血圧その他の各種のバイタルデータ、さらに病院内での購買履歴情報等のデータ種類を含めてもよい。また、本実施形態では、データ提供側１０及び利用者端末１００の各主体は、本システムの団体に入会した会員であることを想定しているが、必ずしも必須ではない。会員は、ＩＤ，パスワードが付与され、これに基づいてデータの閲覧、利用依頼のサービスを受けることができる。

　ここで、パーソナルデータ流通管理システム１が実行するデータ流通管理処理の概要を説明する。データ提供側１０を構成する提供元データ管理装置１１，１２，１３，…は、それぞれ複数の個人（例えば患者、被検診者）からパーソナルデータを収集する。パーソナルデータとしては種々の種類が想定される。収集された各種類のパーソナルデータは、データ提供側１０の各提供元データ管理装置１１，１２，１３，…単位で、実名情報と対応付けられて格納される。

　一方、データ流通管理装置３０は、データ取引市場として機能するもので、データ流通（個人のパーソナルデータの売買）促進のための宣伝用のデータカタログを作成して、ネットワーク５０上で閲覧可能に提供する。この状態で、データ流通管理装置３０は、ネットワーク５０を経て第三者からのデータ利用依頼を受信すると、利用依頼の内容に該当するパーソナルデータを検索し、関係者及び個人に対する再同意手続処理を経て、所定の条件（ベネフィット）の下で利用者にデータ提供する。ベネフィットとしては、金銭、ポイント、また各種のサービス、その他の対価を含めてよい。

　この場合において、個人が特定されることを防止するべく第１、第２の仮名化を行うと共に、パーソナルデータの提供時には、復元できないように更なる振り直し化（提供用仮名化）を行って匿名にして、実データと共に第三者に提供する。また、第三者によるデータ利用に当たって、所定の条件としてパーソナルデータを提供した個人から再同意を得る場合に、データ収集の関係者を含めて再同意を得る必要がある場合、所定の優先順位で効率的な再同意手続処理を実行する。以下、詳述する。

　図２は、提供元データ管理装置１１の一実施形態を示す構成図である。提供元データ管理装置１１，１２，１３，…は、同一構成であるので、以下、提供元データ管理装置１１を代表にして説明する。提供元データ管理装置１１は、プロセッサ（ＣＰＵ）から構成される制御部１１０を備える。制御部１１０には、画像を表示する表示部１１０１、外部から情報の入力、指示等を行う操作部１１０２、及び所定のデータを格納する提供元データＤＢ１１０３が接続されている。

　測定器２１は、本実施形態では、個人から各種のバイタルデータをパーソナルデータとして計測するものである。測定器２１は、例えば心拍計とか血圧計、あるいは生体内を測定（撮像）するＭＲＩ等の各種のセンサ、機器及び装置を含む。個人端末２２は、パーソナルコンピュータ、スマートフォン、その他、各種のモバイル型情報通信端末を含み、ＳＮＳ（Social Network System）、ＳＭＳ（Short Message Service）あるいは電子メールを利用して情報の授受を行う。

　提供元データＤＢ１１０３は、制御部１１０が行う提供元データ管理処理を制御する制御プログラムを記憶する他、測定器２１で測定された複数の個人の実データであるパーソナルデータを含む元データを保管する。図５は、元データの項目例を示すメモリマップである。図５（Ａ）はデータ提供元の項目、すなわち本実施形態ではデータセット単位の１つである、例えば病院「Ａ」を示す。次いで病院Ａの、本実施形態ではメールアドレスの項目がある。さらに図５（Ｂ）に示すように、個人の実名の項目に続いて、当該個人の性別、年齢、同じくメールアドレス、住所、一次仮名、情報口座、及び実データ（パーソナルデータ）の項目が個人の属性情報としてある。なお、一次仮名とは、病院「Ａ」での元データ作成時に、個人の実名に対応して、典型的には適宜なルールに従って自動的に付与される識別情報をいう。情報口座は、システム上での個人を管理するためのアカウントであり、所在情報を含む。この情報口座は、個人のパーソナルデータの提供の都度、更新されるベネフィットの蓄積箇所をいう。

　また、元データには、必要に応じて、その他の情報の項目が設けられている。本実施形態では、利権者、収集者、それらのメールアドレスなどの測定関与者の属性情報の項目がある。なお、利権者、収集者にも情報口座の項目を準備してもよい。利権者には例えば測定器や測定場所の提供者が該当し、収集者には測定作業に従事した者が該当する。さらに、他の属性情報として、データ種類、測定器（型名等）、他の種々の測定条件（例えば、測定日時、測定場所）が想定される。また、ベネフィットは、原則、データ利用者が負担するものとするが、データ流通管理装置３０が一部負担したり、前払いしたりする態様もあり得る。ベネフィットの内容は、予め設定されていてもよいし、データ利用の申し込みの都度、交渉などを経て決める態様でもよい。

　制御部１１０は、プロセッサにより制御プログラムが実行されることにより、データ受付部１１１、データ管理部１１２及び再同意処理部１１３として機能する。

　データ受付部１１１は、図５に示す、個人単位の元データ表に各種のデータを操作部１１０２を介して、又は項目によっては自動的に登録する処理を行う。例えば、パーソナルデータは、個人の一次仮名で紐付けして測定器２１の測定結果を自動的に入力する態様としてもよい。この場合、パーソナルデータをデータ提供側１０で、あるいは病院「Ａ」で利活用（一次利用）することについての各個人の、また必要に応じて利権者、収集者の同意を取得するものとする。

　データ管理部１１２は、図５に例示する元データに基づいて、以下のデータ管理を行う。データ管理部１１２は、中継処理装置４０にアップロード（あるいはリンク）するデータとして、実名情報を除いて、一次仮名と、実データであるパーソナルデータとの組からなる提供元データ（一次仮名、パーソナルデータ）を作成する。なお、この提供元データ（一次仮名、パーソナルデータ）は、中継処理装置４０に持たせる態様の他、提供元データ管理装置１１で持つ態様でもよい。

　また、データ管理部１１２は、データ流通管理装置３０に提出するデータとして、パーソナルデータを除いて、一次仮名と実名との組からなる名寄せ用テーブル（一次仮名、実名）を作成する。また、データ管理部１１２は、データ流通管理装置３０に提出するデータとして、パーソナルデータを除いて、提供元、データ種類、属性情報及びデータ数の組からなるデータカタログ（提供元と、データ種類、測定器及び他の測定条件を含む属性情報と、データ数と）を一次仮名と紐付けて作成する。データ管理部１１２は、提供元データ管理装置１１の立ち上げ時、あるいはその他の適宜のタイミングでデータの作成を行い、作成された各データをデータ流通管理装置３０に送出する。名寄せ用テーブルは、データ流通管理装置３０の名寄せ用データＤＢ３４１に格納される。データカタログは、データ流通管理装置３０のデータカタログＤＢ３４２に格納される。

　再同意処理部１１３は、提供元データ管理装置１１が担当する再同意のための処理を実行する。再同意処理は、第三者である利用者端末１００からデータ利用依頼があった場合に、依頼内容に該当するパーソナルデータの個人から、更には必要に応じて提供元、属性情報の内の利権者及び収集者からデータ利用（二次利用）の同意書を取得する手続処理である。再同意処理は、後述するようにデータ流通管理装置３０からの指示によって行われるもので、典型的には電子的かつネットワーク５０を介して行うが、場合によっては、一部、他の通信手段を適用するケースもあり得る。

　本実施形態では、再同意の手続は予め設定された優先順位に従って行われる。すなわち、優先順位は、提供元、利権者及び収集者、最後に個人の順である。再同意処理部１１３は、電子的な再同意申請書が送付されてくると、再同意申請書中の、所要の単位毎に対応して設けられた、同意、不同意を表すチェックボックスに、操作部１１０２を操作してマークを記入して、返信指示を行う。

　再同意処理部１１３は、提供元データ管理装置１１が不同意の場合には、再同意処理は終了し、一方、同意の場合には、同時に送信されてきた利権者及び収集者用の再同意申請書を、該当する利権者及び収集者に、本実施形態では電子メールで送信して、回答（返信）を待つ。再同意処理部１１３は、利権者及び収集者からの回答が不同意の分については作業を終了し、同意の分については、個人用の再同意申請書を該当する個人に電子メールで送信して、回答（返信）を待つ。かかる優先順位を設定することで、再同意手続を効率的に進めることができる。なお、利権者及び収集者、個人に対しては、再同意に対して種々の形態でのベネフィットが与えられ、例えば、前記したように図５に示す情報口座に振り込まれる。なお、再同意の他の形態及び再同意の処理方法については、後述する。

　図３は、データ流通管理装置３０の一実施形態を示す構成図である。データ流通管理装置３０は、プロセッサ（ＣＰＵ）から構成される制御部３１を備える。制御部３１には、画像を表示する表示部３２、外部から情報の入力、指示等を行う操作部３３、及び名寄せ用データを格納する名寄せ用データＤＢ３４１、データカタログを格納するデータカタログＤＢ３４２が接続されている。なお、データ流通管理のための制御プログラムは、これらのメモリ内のプログラム記憶領域に書き込まれていてもよい。

　制御部３１は、プロセッサにより制御プログラムが実行されることにより、名寄せ処理部３１１、カタログ管理部３１２、利用依頼受付部３１３及び提供用仮名化処理部３１４として機能する。

　名寄せ処理部３１１は、図６に示すように、名寄せ用データＤＢ３４１に格納された名寄せ用テーブル（一次仮名、実名）から二次仮名を作成し、名寄せ用データＤＢ３４１に格納する。より詳細には、名寄せ処理部３１１は、提供元データ管理装置１１，１２，１３，…からの名寄せ用テーブル（一次仮名、実名）を一元化（統合）し（図６（Ａ）参照）、実名と一次仮名とを突き合わせる名寄せ処理を行って、一次仮名から統合された二次仮名を作成し、作成した二次仮名テーブル（図６（Ｂ）参照）を名寄せ用データＤＢ３４１に格納する。なお、この名寄せ用テーブル（一次仮名、実名）をデータ流通管理装置３０に送信する場合、提供元データ管理装置１１，１２，１３，…からネットワーク５０以外のネットワークを経由し、あるいは他の通信方式を利用するようにして、通信時における実名データの漏洩リスクを抑制している。図６の例では、病院「Ａ」を診療した個人の一次仮名ID-a1と、病院Ｂを診療した個人の一次仮名ID-b5との実名が一致する同一人であり、図６（Ｂ）では、共通の二次仮名ID1に付け替えられている。なお、二次仮名は、例えば連続する個人番号でもよい。また、図６（Ｂ）の二次仮名テーブルとして、（二次仮名、実名）のテーブルとしてもよい。

　カタログ管理部３１２は、図７に示すように、データカタログＤＢ３４２に格納された各提供元データ管理装置１１，１２，１３，…からのデータカタログを一元化して統合し、総合データカタログを作成する。図７において、一次仮名と紐付けされたデータカタログ（提供元、データ種類などを含む属性情報、データ数）は、図６（Ｂ）を参照して二次仮名と対応付けられて、データ種類の項目に基づいて編集されている（図７（Ｂ）参照）。そして、総合データカタログの部分がネットワーク５０上に提供されて閲覧対象とされる。なお、データカタログは、閲覧範囲の一部又は全部のデータ項目に基づいてソート処理が可能とされており、これにより利用者側の項目選定での利便性に供するようにしている。また、データカタログをネットワーク５０上に提供する営業形態に代えて、人による営業で活用したり、また他の媒体に載せて利用したりする態様も採用可能である。

　利用依頼受付部３１３は、利用者端末１００からの利用依頼を受け付けて、依頼内容に応じた処理を実行する。依頼内容は、例えば図８に示すように、データ項目に基づいて指定される。図８の例では、データ種類、データ提供元、測定器などを含む他の属性情報が想定される。なお、他の属性情報の依頼例として、個人の属性情報のうちの性別、年齢層を含める態様としてもよい。利用依頼受付部３１３は、依頼内容から、再同意を求める対象者を選出する。例えば、依頼内容にデータ提供元が含まれている場合には、当該提供元データ管理装置に対してのみ再同意処理を実行すればよい。指定がない場合には、全てが対象者となる。利用依頼受付部３１３は、依頼内容の情報を、対象となる提供元データ管理装置に、この例では中継処理装置４０を経て送信し、再同意処理を指示する。なお、対象となる利権者及び収集者、さらに個人の選出については、前述した再同意処理部１１３が実行してもよいし、利用依頼受付部３１３が処理して、再同意処理の指示と対応付けて送信してもよい。

　提供用仮名化処理部３１４は、利用依頼のあった利用者へ提供する提供用データを、後述する中継処理装置４０にアップされた、実名の項目を除いた、二次仮名に紐付けられた元データから編集して作成する。より具体的には、提供用仮名化処理部３１４は、再同意申請に対する不同意該当者を、図６（Ｂ）の一次仮名、二次仮名テーブルから削除する処理と、削除後に残った二次仮名を報告用仮名に振り直す処理と、中継処理装置４０にアップされた元データから報告用仮名が対応付けられた二次仮名を抽出して提供用データを作成する処理とを実行する。

　報告用仮名への振り直し処理は、例えば図９（Ａ）（Ｂ）（Ｃ）に示すように、データカタログに対応付けられている二次仮名の内、削除後に残った分に対して、例えば所定のソート処理を施すなどした後、例えば上から順に個別の識別情報に置換する（図９（Ｂ）のテーブル参照）。個別の識別情報としては、所定のルールに従って付与する文字コード、例えば連続番号が想定される。図９（Ｂ）では、二次仮名ID2（「属性情報：a,c,…」を持つ。）が付与されている者が不同意該当者であり（図９（Ａ）参照、回答結果：不同意）、振り直し後は、図９（Ｃ）の提供用テーブルに示すように削除されている。なお、図９（Ｃ）に示す提供用データは、図９（Ｂ）の振り直しテーブルを受けて、中継処理装置４０で編集されたものである。編集後の提供用データは、中継処理装置４０から利用者端末１００に送出される。

　図４は、利用者端末１００の一実施形態を示す構成図である。利用者端末１００は、プロセッサ（ＣＰＵ）から構成される制御部１０１を備える。制御部１０１には、画像を表示する表示部１００１、外部から情報の入力、指示等を行う操作部１００２、及び提供用データを一時的に格納する記憶部１００３が接続されている。また、記憶部１００３は、パーソナルデータ利用処理のための制御プログラム（インストールされたアプリケーションプログラム）を記憶している。利用者端末１００は、本システム用の専用機である必要はなく、ネットワーク５０を介して通信可能であれば、前記アプリケーションプログラムをインストールすることで、汎用のパーソナルコンピュータ装置でも適用可能である。また、モバイル端末でもよい。

　制御部１０１は、プロセッサにより制御プログラムが実行されることによって、閲覧処理部１０２、利用依頼処理部１０３として機能する。

　閲覧処理部１０２は、中継処理装置４０あるいはデータ流通管理装置３０に対してデータカタログの閲覧要求を送信し、所定の条件下（例えば、会員であること）で、データカタログを閲覧可能に受信する。

　利用依頼処理部１０３は、利用を希望するパーソナルデータに関する項目を選択した内容を含む電子的な利用依頼書（利用申込書）を中継処理装置４０を経由してデータ流通管理装置３０に送信する。なお、利用依頼に応答して、本システム１から電子メールなどによって返信された提供用データに対する閲覧処理は、一般の電子メールの扱いと同様なので、説明は省略する。

　続いて、名寄せ処理、再同意処理、再同意手続処理の手順についで説明する。

　図１０は、データ流通管理装置３０の制御部３１が行う名寄せ処理の一例を示すフローチャートである。まず、制御部３１は、内蔵タイマ等による計時によってカタログ作成のための所定のタイミングを確認すると、各データ提供元の提供元データ管理装置１１，１２，１３，…から、提供元データ（一次仮名、実名）、データカタログ（一次仮名、データ種類、属性情報、データ数）をそれぞれ受信する（ステップＳ１）。次いで、制御部３１は、全てのデータ提供元からの提供元データ（一次仮名、実名）を一元化し、同一の実名を持つ一次仮名毎に同一の二次仮名を所定のルールに従って付与する（ステップＳ３）。そして、制御部３１は、付与した二次仮名に基づいて、図６（Ｂ）に示すような二次仮名テーブル（二次仮名、一次仮名）を作成し、保存する（ステップＳ５）。

　図１１は、データ流通管理装置３０の制御部３１が行う再同意処理の一例を示すフローチャートである。まず、制御部３１は、利用依頼の有無を判断し（ステップＳ１１）、利用依頼がなければ本フローを抜け、利用依頼があれば、利用依頼書中から、該当するデータ提供元、データ種類、属性情報を抽出し、当該データ提供元に手続指示を行う（ステップＳ１３）。この時点で、対象外となったデータ提供元は除かれる。

　次いで、制御部３１は、該当するデータ提供元からの、利用依頼に対する回答の有無を判断する（ステップＳ１５）。そして、制御部３１は、利用不同意分を二次仮名テーブルを参照して削除し、残った二次仮名に対して提供用仮名を振り直す（ステップＳ１７）。提供用仮名への振り直しによって、提供用データの個人が匿名化される。また、提供用仮名への振り直しを行うことで、利用依頼の毎に、同一の提供用仮名が付された個人が同一人である保証がなくなるため、複数回のデータ利用によっても個人の特定はできない。なお、データ提供元自体が不同意を回答してきた場合には、それ以降の利権者、収集者及び個人は全て不同意扱いとして処理する。

　図１２は、提供元データ管理装置１１の制御部１１０が行う再同意手続処理Ｉの例を示すフローチャートである。制御部１１０は、中継処理装置４０を介してデータ流通管理装置３０から再同意手続処理の指示があると、操作部１１０２を介して自己のデータ提供元に対する再同意申請書への同意、不同意を入力する。不同意の場合には、そのまま返送して、本フローに入らない。

　一方、同意であれば、制御部１１０は、利用依頼に際して選択されたデータ種類に、測定関与者の属性情報中の利権者、収集者が含まれているか否かの判断を行う（ステップ＃１）。制御部１１０は、該当する者がいなければ、本フローを抜け、一方、該当する者がいる場合、該当する利権者、収集者に再同意書面を電子メールで送信する（ステップ＃３）。

　次いで、制御部１１０は、該当する全ての利権者、収集者から回答があったかどうかを判断する（ステップ＃５）。制御部１１０は、該当する全ての利権者、収集者からの回答を待って、回答が不同意であった分を除いて、残りの該当する個人に再同意書面を電子メールで送信する（ステップ＃７）。制御部１１０は、該当する全ての個人から回答があったかどうかを判断する（ステップ＃９）。そして、制御部１１０は、回答結果をデータ流通管理装置３０に返送する（ステップ＃１１）。

　続いて、本発明が適用可能な再同意の他の実施形態について説明する。前記した実施形態は、再同意を都度再同意として扱い、かつ利用者からの利用依頼に応答して同意するか否かを決定する方法であったが、本発明はこれに限定されず、事前に許諾する形式の包括再同意の形式を採用してもよい。

　なお、包括再同意には、部分包括再同意及び部分一括再同意を含めてもよい。包括再同意とは、図５に示す元データの全てのデータ項目（属性情報等の項目も含む）に対して再同意を事前に許諾（設定）することをいう。部分包括再同意とは、元データのうち特定の１又は複数のデータ項目について再同意を事前に許諾することをいう。部分一括再同意は、元データのうち特定の複数のデータ項目について一塊として再同意を事前に許諾することをいう。

　包括再同意が設定できる項目は、元データのうち、利用者による利用依頼の対象データ項目に対応する。図５（Ｂ）を参照すれば、「データ種類」、「実データ」の他、「性別」、「年齢」、「測定器」、さらに「他の測定条件」内の種々の項目などが含まれ得る。また、「データ提供側」を含めてもよい。具体的には、例えば、前記対象データ項目等のそれぞれに付随して「再同意」の項目が設定される。「再同意」の項目は、例えば「包括」と「都度」とが２者択一で交互に切り替わり設定されるようになっている。そして、提供元データ管理装置１１の再同意処理部１１３は、再同意の要請時に、これらの各包括再同意項目の設定内容を参照するようにしている。詳細は、図１３で説明する。また、他の設定態様としては、包括再同意、部分包括再同意及び部分一括再同意の項目が個別に準備され、包括再同意は２者択一形式で、部分包括再同意は、入力された所望する項目を論理和で、部分一括再同意は、入力された所望する項目を論理積で設定する態様でもよい。

　提供元データ管理装置１１のデータ管理部１１２は、個人、利権者、収集者からの包括再同意に対する「包括」と「都度」（「包括」からの解除含む）の要請を受け付けて対応する「再同意」の項目について「包括」、「都度」を選択する。各包括再同意項目は、実データ取得時点での設定の他、その後の任意の時点で変更することが可能であってもよい。なお、提供元データ管理装置１１のデータ管理部１１２は、個人、利権者、収集者に予めＩＤなどを付与し、あるいは当人のメールアドレスからの設定内容の書き換えを受け付ける権限を与えることで、当人についての包括再同意の項目を書き換え可能にするようにしてもよい。

　図１３は、提供元データ管理装置１１の制御部１１０が行う再同意手続処理ＩＩの例を示すフローチャートである。図１３は、図１２のフローチャートに対して、包括再同意の項目の設定内容に対応した処理を付加した再同意手続を示したもので、具体的には、ステップ＃２３～ステップ＃３７を付加乃至修正した点で相違し、その他の処理は同一である。

　ステップ＃２３では、利用依頼のあったデータ種類に対し、包括再同意、部分包括再同意、部分一括再同意を承諾している利権者、収集者を検索する。そして、検索された１又は複数の該当者はステップ＃２５、ステップ＃２７をスルーして、ステップ＃２９に進み、検索された該当者が同意有りとして処理される。一方、ステップ＃２５で都度再同意の利権者、収集者には再同意の書面が送付され、回答を待つ（ステップ＃２７）。そして、包括再同意した者と都度再同意した者とがまとめられてステップ＃３１に進む。

　次に、ステップ＃３１では、不同意分を除き、該当する個人は、利用依頼のあったデータ種類に対し、包括再同意、部分包括再同意、部分一括再同意を承諾している者を検索する。そして、検索された１又は複数の個人はステップ＃３３、ステップ＃３５をスルーして、ステップ＃３７に進み、検索された該当者が同意有りとして処理される。一方、ステップ＃３３で都度再同意の個人には再同意の書面が送付され、回答を待つ（ステップ＃３５）。そして、包括再同意した個人と都度再同意した個人とがまとめられてステップ＃３９に進む。このように、予め包括再同意等をしていることで、当人に対する同意書の発送、返送作業を省略でき、手続がよりスムーズとなる。

　なお、提供元データには、（提供用仮名、パーソナルデータ）に限らず、利用依頼に該当する項目、個人の一部の属性情報、例えば性別、年齢などを含めてもよい。

　本システム１では、実名情報と実データとをそれぞれの提供元データ管理装置１１，１２，１３，…でのみ所持し、取引市場に対応するデータ流通管理装置３０では実データを所持せず、中継処理装置４０では実名情報を所持しないようにした。このように元データを分散して所持したことで、一箇所で所持して状態で情報漏洩した場合に比してセキュリティーリスクが大幅に低減される。また、データ流通管理装置３０、中継処理装置４０のいずれも実名情報と実データとを同時に所持しないため、これらの装置から個々人のパーソナルデータが特定されることもない。また、各装置が別団体で管理されている場合、個々の法的ダメージは抑えられる。

　以上説明したように、本発明に係るパーソナルデータ流通管理システムは、ネットワーク上に接続された、少なくとも１つの提供元データ管理装置と、データ流通管理装置と、中継処理装置とを個別に備える。前記提供元データ管理装置は、測定器で測定された個人のパーソナルデータ、前記個人及び前記測定に関係する属性情報を前記個人の実名情報と対応付けた元データとして記憶するデータベースを備える。前記データ流通管理装置は、データ利用者端末からのデータ利用依頼を受け付ける利用依頼受付手段を備える。前記中継処理装置は、前記利用依頼受付手段で受け付けた前記データ利用依頼に基づいて、前記各提供元データ管理装置の前記データベースから前記データ利用依頼に該当する個人のパーソナルデータを選別すると共に対応する個人の実名情報を除いて前記データ利用者端末に出力するものである。

　また、本発明は、前記カタログ管理手段は、生成したデータカタログを前記ネットワーク上で閲覧可能な状態にすることが好ましい。この構成によれば、カタログが効率的に公表される。

　また、本発明は、前記提供元データ管理装置は、前記データ利用依頼の受け付けに応じた前記データ流通管理装置からの指示に従って、依頼対象のパーソナルデータを有する個人を特定し、当該個人の情報通信端末にデータ提供許否の問い合わせ情報を送信し、提供許否の回答を受信する再同意処理手段を備え、前記データ流通管理装置は、データ提供不同意の回答のあった個人のパーソナルデータの出力を制御するデータ出力制御手段を備えることが好ましい。この構成によれば、データ提供に対する許否に基づいてパーソナルデータの提供が制御される。また、パーソナルデータが利用者側に提供される際には実名情報が除かれるので、利用者側で実名情報とパーソナルデータとが紐付けられることはない。

　また、本発明は、前記再同意処理手段は、測定に関与した者の情報通信端末にデータ提供許否の問い合わせを指示する第１問い合わせ処理と、前記第１の問い合わせ処理でデータ提供同意の回答のあった関与者が関与した測定器で測定されたパーソナルデータの個人の情報通信端末にデータ提供許否の問い合わせを指示する第２問い合わせ処理とを行うことが好ましい。この構成によれば、第１問い合わせ処理で、測定に関与した者に対して問い合わせが実行され、この第１問い合わせ処理でデータ提供同意の回答のあった関与者によって測定されたパーソナルデータの個人へ第２の問い合わせ処理が行われる。個人の人数の方が、測定に関与した者に比して多数であることを考慮すると、先ず、第１の問い合わせ処理で関与者の結果を得るように優先順位を設定する方が、全員に対して一律に、乃至個人から関与者へとの順で問い合わせを行う場合に比して効率的な再同意処理が可能となる。

　また、本発明は、前記提供元データ管理装置は、前記ネットワーク上に複数の提供元データ管理装置を有することが好ましい。この構成によれば、元データの分散配置がより効果的に行われる。

　また、本発明は、前記提供元データ管理装置は、前記各個人の実名に対応付けて一次仮名を付与しており、前記データ流通管理装置は、前記提供元データ管理装置毎に記憶されている各個人の実名を一元化し、共通の実名に共通の二次仮名を付与する名寄せ処理を実行する名寄せ処理手段を備えることが好ましい。この構成によれば、各データ提供元管理装置の各元データを一元化する際に、併せて一元化された仮名、すなわち二次仮名が設定される。

　また、本発明は、前記名寄せ処理手段は、前記各提供元データ管理装置から前記実名及び一次仮名を取得し、前記実名と前記一次仮名との突き合わせによる名寄せ処理を施して前記一次仮名から統一された前記二次仮名を生成することが好ましい。この構成によれば、実名と一次仮名との突き合わせによる名寄せ処理によって、一次仮名から統一された二次仮名が生成される。

　また、本発明は、前記データ出力制御手段は、再同意申請に対する不同意該当者を、前記二次仮名テーブルから削除する処理と、削除後に残った二次仮名を報告用仮名に振り直す処理とを行うことが好ましい。この構成によれば、同一のデータ項目に対しても、利用依頼時の不同意の状況によって報告用仮名が変わり、同じ報告用仮名でも同一人とは限らなくなって、匿名性が維持される。

　また、本発明は、前記データベースは、前記元データのうち所定のデータ項目に対して包括再同意か都度再同意かを選択設定可能な包括再同意項目を含み、前記提供元データ管理装置は、前記包括再同意項目に対する設定を受け付けて設定内容を変更するデータ管理部を備え、前記再同意処理部は、利用依頼のあったデータ項目に対応した前記包括再同意項目の設定内容が許諾である場合、データ提供を許可したとして前記データ提供許否の問い合わせ情報の送信を省くことが好ましい。この構成によれば、包括合意をしている者については合意書の取得作業が省略でき、効率的かつ迅速となる。

　また、本発明は、前記データ流通管理装置が、生成した前記データカタログを前記ネットワーク上で閲覧可能な状態にすることが好ましい。これにより、カタログが効率的に公表される。

　１　パーソナルデータ流通管理システム
　１１，１２，１３　提供元データ管理装置
　１１０　制御部
　１１３　再同意処理部
　１１０３　提供用データＤＢ（データベース）
　２１　測定器
　２２　個人端末
　３０　データ流通管理装置
　３１　制御部
　３１１　名寄せ処理部
　３１２　カタログ管理部（カタログ管理手段）
　３１３　利用依頼受付部（利用要求受付手段）
　３１４　提供用仮名化処理部（データ出力制御手段）
　３４１　名寄せ用データＤＢ
　３４２　データカタログＤＢ
　４０　中継処理装置
　５０　ネットワーク
　１００　利用者端末（データ利用者端末）

Claims

　ネットワーク上に接続された、少なくとも１つの提供元データ管理装置と、データ流通管理装置と、中継処理装置とを個別に備え、
　前記提供元データ管理装置は、測定器で測定された個人のパーソナルデータ、前記個人及び前記測定に関係する属性情報を前記個人の実名情報と対応付けた元データとして記憶するデータベースを備え、
　前記データ流通管理装置は、データ利用者端末からのデータ利用依頼を受け付ける利用依頼受付手段を備え、
　前記中継処理装置は、前記利用依頼受付手段で受け付けた前記データ利用依頼に基づいて、前記各提供元データ管理装置の前記データベースから前記データ利用依頼に該当する個人のパーソナルデータを選別すると共に対応する個人の実名情報を除いて前記データ利用者端末に出力するパーソナルデータ流通管理システム。
　ネットワーク上に接続された、少なくとも１つの提供元データ管理装置と、データ流通管理装置とを個別に備え、
　前記提供元データ管理装置は、測定器で測定された個人のパーソナルデータ、前記個人及び前記測定に関係する属性情報を前記個人の実名情報と対応付けた元データとして記憶するデータベースを備え、
　前記データ流通管理装置は、前記各提供元データ管理装置の前記データベースに記憶されている、前記パーソナルデータを除く前記元データを取り込み、一元化し、かつ編集を行ってデータカタログを生成するカタログ管理手段を備えたパーソナルデータ流通管理システム。
　前記カタログ管理手段は、生成したデータカタログを前記ネットワーク上で閲覧可能な状態にする請求項２に記載のパーソナルデータ流通管理システム。
　前記提供元データ管理装置は、前記データ利用依頼の受け付けに応じた前記データ流通管理装置からの指示に従って、依頼対象のパーソナルデータを有する個人を特定し、当該個人の情報通信端末にデータ提供許否の問い合わせ情報を送信し、提供許否の回答を受信する再同意処理手段を備え、
　前記データ流通管理装置は、データ提供不同意の回答のあった個人のパーソナルデータの出力を制御するデータ出力制御手段を備えた請求項１～３のいずれかに記載のパーソナルデータ流通管理システム。
　前記再同意処理手段は、測定に関与した者の情報通信端末にデータ提供許否の問い合わせを指示する第１問い合わせ処理と、前記第１の問い合わせ処理でデータ提供同意の回答のあった関与者が関与した測定器で測定されたパーソナルデータの個人の情報通信端末にデータ提供許否の問い合わせを指示する第２問い合わせ処理とを行う請求項４に記載のパーソナルデータ流通管理システム。
　前記提供元データ管理装置は、前記ネットワーク上に複数の提供元データ管理装置を有する請求項４又は５に記載のパーソナルデータ流通管理システム。
　前記提供元データ管理装置は、前記各個人の実名に対応付けて一次仮名を付与しており、
　前記データ流通管理装置は、前記提供元データ管理装置毎に記憶されている各個人の実名を一元化し、共通の実名に共通の二次仮名を付与する名寄せ処理を実行する名寄せ処理手段を備えた請求項６に記載のパーソナルデータ流通管理システム。
　前記名寄せ処理手段は、前記各提供元データ管理装置から前記実名及び一次仮名を取得し、前記実名と前記一次仮名との突き合わせによる名寄せ処理を施して前記一次仮名から統一された前記二次仮名を生成する請求項７に記載のパーソナルデータ流通管理システム。
　前記データ出力制御手段は、再同意申請に対する不同意該当者を、前記二次仮名テーブルから削除する処理と、削除後に残った二次仮名を報告用仮名に振り直す処理とを行う請求項６記載のパーソナルデータ流通管理システム。
　前記データベースは、前記元データのうち所定のデータ項目に対して包括再同意か都度再同意かを選択設定可能な包括再同意項目を含み、
　前記提供元データ管理装置は、前記包括再同意項目に対する設定を受け付けて設定内容を変更するデータ管理部を備え、
　前記再同意処理部は、利用依頼のあったデータ項目に対応した前記包括再同意項目の設定内容が許諾である場合、データ提供を許可したとして前記データ提供許否の問い合わせ情報の送信を省くことを特徴とする請求項４～９のいずれかに記載のパーソナルデータ流通管理システム。
　ネットワーク上に接続された、少なくとも１つの提供元データ管理装置と、データ流通管理装置と、中継処理装置とを個別に備え、
　前記データ流通管理装置の利用依頼受付手段が、測定器で測定された個人のパーソナルデータ、前記個人及び前記測定に関係する属性情報を前記個人の実名情報と対応付けた元データとして生成して記憶し、
　前記データ流通管理装置が、データ利用者端末からのデータ利用依頼を受け付け、
　前記中継処理装置が、前記データ流通管理装置で受け付けた前記データ利用依頼に基づいて、前記各提供元データ管理装置の前記データベースから前記データ利用依頼に該当する個人のパーソナルデータを選別すると共に対応する個人の実名情報を除いて前記データ利用者端末に出力するパーソナルデータ流通管理方法。
　ネットワーク上に接続された、少なくとも１つの提供元データ管理装置と、データ流通管理装置とを個別に備え、
　前記提供元データ管理装置が、測定器で測定された個人のパーソナルデータ、前記個人及び前記測定に関係する属性情報を前記個人の実名情報と対応付けた元データとして作成してデータベースに記憶し、
　前記データ流通管理装置のカタログ管理手段が、前記各提供元データ管理装置の前記データベースに記憶されている、前記パーソナルデータを除く前記元データを取り込み、一元化し、かつ編集を行ってデータカタログを生成するパーソナルデータ流通管理方法。
　前記データ流通管理装置が、生成した前記データカタログを前記ネットワーク上で閲覧可能な状態にする請求項１２に記載のパーソナルデータ流通管理方法。