WO2022029994A1

WO2022029994A1 - 情報管理装置、情報管理方法およびコンピュータプログラム

Info

Publication number: WO2022029994A1
Application number: PCT/JP2020/030332
Authority: WO
Inventors: 武文茂垣; 健悟永田; 等伊藤
Original assignee: 日本電信電話株式会社
Priority date: 2020-08-07
Filing date: 2020-08-07
Publication date: 2022-02-10
Also published as: US20230282318A1; JPWO2022029994A1; EP4184516A4; EP4184516A1

Abstract

実施形態のユーザ情報管理装置は、検体を識別するための検体識別子と、前記検体を提供したユーザを識別するためのユーザ登録識別子とを発行する識別子発行部と、前記識別子発行部により発行された検体識別子とユーザ登録識別子とを対応づけて記憶する記憶部と、前記検体識別子によって識別される検体を提供したユーザに関するユーザ情報が前記検体識別子とともに提供された場合に、前記ユーザ情報を前記検体識別子に対応づけ、前記ユーザの識別情報であって前記ユーザ登録識別子と異なるユーザ識別子が前記ユーザ登録識別子とともに提供された場合に、前記ユーザ識別子を前記ユーザ登録識別子に対応づけることによって、ユーザ識別子とユーザ情報との対応づけを行うユーザ情報管理部と、を備える。

Description

情報管理装置、情報管理方法およびコンピュータプログラム

　本発明は、健康に関する情報を提供する技術に関する。

　従来、関連法規に基づき、いわゆる健康診断や人間ドックといった定期健診が企業の従業員に対して行われている。これらの定期健診は、企業が福利厚生の一環として従業員に提供するものである一方で、近年では、ユーザ個人に対して健康に関する情報を提供するサービス（以下「健康サービス」という。）が増えてきている。このような健康サービスの一例として、ユーザに、発症しやすい疾病や疾患などの遺伝子情報に基づく情報を提供するサービスがある（例えば非特許文献１参照）。

「検査の流れ」、https://mycode.jp/howitworks.html、ＭＹＣＯＤＥ.

　しかしながら、このような健康サービスは、健診を行う医療機関等の事業者とは異なる事業者によって提供されるのが一般的であったため、ユーザにとって必ずしも利便性の高いものではなかった。例えば、ユーザは、健康サービスを利用するための検体の採取を、健診のための検体（例えば血液や尿など）の採取とは別に行わなければならず、手間であった。また、例えば、情報の提供方法や提供形態は事業者ごとに異なる場合、情報の入手や管理にかかる負荷が高くなり、健康サービスを利用するモチベーションが低下する可能性があった。

　上記事情に鑑み、本発明は、健康サービスの利便性を向上させることができる技術を提供することを目的としている。

　本発明の一態様は、検体を識別するための検体識別子と、前記検体を提供したユーザを識別するためのユーザ登録識別子とを発行する識別子発行部と、前記識別子発行部により発行された検体識別子とユーザ登録識別子とを対応づけて記憶する記憶部と、前記検体識別子によって識別される検体を提供したユーザに関するユーザ情報が前記検体識別子とともに提供された場合に、前記ユーザ情報を前記検体識別子に対応づけ、前記ユーザの識別情報であって前記ユーザ登録識別子と異なるユーザ識別子が前記ユーザ登録識別子とともに提供された場合に、前記ユーザ識別子を前記ユーザ登録識別子に対応づけることによって、ユーザ識別子とユーザ情報との対応づけを行うユーザ情報管理部と、を備える情報管理装置である。

　本発明の一態様は、検体を識別するための検体識別子と、前記検体を提供したユーザを識別するためのユーザ登録識別子とを発行する識別子発行ステップと、前記識別子発行ステップにおいて発行された検体識別子とユーザ登録識別子とを対応づけて記憶する記憶ステップと、前記検体識別子によって識別される検体を提供したユーザに関するユーザ情報が前記検体識別子とともに提供された場合に、前記ユーザ情報を前記検体識別子に対応づけ、前記ユーザの識別情報であって前記ユーザ登録識別子と異なるユーザ識別子が前記ユーザ登録識別子とともに提供された場合に、前記ユーザ識別子を前記ユーザ登録識別子に対応づけることによって、ユーザ識別子とユーザ情報との対応づけを行う情報管理ステップと、を有する情報管理方法である。

　本発明の一態様は、検体を識別するための検体識別子と、前記検体を提供したユーザを識別するためのユーザ登録識別子とを発行する識別子発行ステップと、前記識別子発行ステップにおいて発行された検体識別子とユーザ登録識別子とを対応づけて管理する識別子管理ステップと、前記検体識別子によって識別される検体を提供したユーザに関するユーザ情報が前記検体識別子とともに提供された場合に、前記ユーザ情報を前記検体識別子に対応づけ、前記ユーザの識別情報であって前記ユーザ登録識別子と異なるユーザ識別子が前記ユーザ登録識別子とともに提供された場合に、前記ユーザ識別子を前記ユーザ登録識別子に対応づけることによって、ユーザ識別子とユーザ情報との対応づけを行う情報管理ステップと、をコンピュータに実行させるためのコンピュータプログラムである。

　本発明により、より利便性の高い健康サービスを提供することが可能となる。

第１実施形態における健康サービス提供システムの構成の具体例を示す図である。第１実施形態におけるユーザ情報管理装置の機能構成の具体例を示すブロック図である。第１実施形態の健康サービス提供システムにおいて、検体の採取からユーザ情報が提供されるまでの処理および情報連携の流れを示すシーケンス図である。第１実施形態の健康サービス提供システムにおいて、検体の採取からユーザ情報が提供されるまでの処理および情報連携の実施例を示す図である。第１実施形態の健康サービス提供システムにおいて、検体の採取からユーザ情報が提供されるまでの処理および情報連携の実施例を示す図である。第２実施形態における健康サービス提供システムのシステム構成の具体例を示す図である。第２実施形態におけるユーザ情報管理装置の機能構成の具体例を示すブロック図である。第２実施形態のユーザ情報管理装置におけるユーザ登録識別子の無効化の流れを示す図である。第２実施形態のユーザ情報管理装置において検体識別子およびユーザ登録識別子の両方を無効化する流れを示す図である。

　本発明の実施形態について、図面を参照して詳細に説明する。なお、以下の各実施形態では、健康サービスの一例として、ユーザから提供された検体を基に遺伝子情報を取得および分析するサービスを想定しているが、本実施形態に係るユーザ情報管理方法は、ユーザの検体を異なる事業者間で連携するあらゆる健康サービスの情報管理に適用することができるものである。例えば、本実施形態に係るユーザ情報管理方法は、ＣＯＶＩＤ－１９に代表される感染症に関し、ユーザ体内の抗体の有無を分析するサービス等における情報管理にも適用可能である。　

＜第１実施形態＞
　図１は、第１実施形態における健康サービス提供システムの構成の具体例を示す図である。例えば、健康サービス提供システム１は、健康サービス事業者が医療機関１００と連携してユーザに健康サービスを提供するシステムである。遺伝子情報提供事業者２００および遺伝子情報分析事業者３００は、健康サービス事業者の一例である。医療機関１００は、ユーザの健診を行う病院等の医療機関である。医療機関１００は、ユーザから検体の提供を受け、提供された検体をもとに健診を行う一方で、提供された検体の一部を遺伝子情報提供事業者２００に提供する。

　遺伝子情報提供事業者２００は、健康サービスの一例として、ユーザに遺伝子情報を提供するサービスを実施する事業者である。本実施形態において、遺伝子情報提供事業者２００は、医療機関１００から提供される検体をもとに遺伝子情報を取得し、取得した遺伝子情報を遺伝子情報分析事業者３００に提供する。

　遺伝子情報分析事業者３００は、健康サービスの一例として、ユーザの遺伝子情報を分析し、その分析結果に基づいてユーザに健康に関するアドバイスを行うサービスを実施する事業者である。例えば、遺伝子情報分析事業者３００は、遺伝子情報に基づいてユーザの体質を分析し、その体質に応じた健康の維持又は増進のために望まれる行動の変容をユーザに提案する。本実施形態において、遺伝子情報分析事業者３００は、遺伝子情報提供事業者２００から提供される遺伝子情報を分析し、その分析結果をユーザに提供する。

　このように、本実施形態の健康サービス提供システム１は、複数の事業者（すなわち医療機関１００、遺伝子情報提供事業者２００、および遺伝子情報分析事業者３００）が連携して健康サービスを提供するものであるため、各事業者の情報連携において十分なセキュリティを確保する必要がある。このため、本実施形態の健康サービス提供システム１では、各事業者間では個人を特定することができない程度の情報連携を行い、遺伝子情報分析事業者３００が健康サービスに関するユーザの個人情報（以下「ユーザ情報」という。）を管理するものとする。このような情報管理を実現する手段として、遺伝子情報分析事業者３００はユーザ情報管理装置３０を備えている。

　なお、図１では、遺伝子情報提供事業者２００が遺伝子情報分析事業者３００とは異なる事業者として記載されているが、これはユーザの検体がユーザから直接的に提供されるのではなく、医療機関１００を介して提供される一例を示したものである。遺伝子情報提供事業者２００と遺伝子情報分析事業者３００とは、図１に示すように異なる事業者であってもよいし、同じ事業者であってもよい。

　図２は、第１実施形態におけるユーザ情報管理装置３０の機能構成の具体例を示すブロック図である。ユーザ情報管理装置３０は、バスで接続されたＣＰＵ（Central Processing Unit）やメモリや補助記憶装置、通信インタフェースなどを備え、プログラムを実行する。ユーザ情報管理装置３０は、プログラムの実行によって管理情報生成部３１、記憶部３２、遺伝子情報分析部３３、ユーザ情報管理部３４、およびユーザ情報提供部３５を備える装置として機能する。また、ユーザ情報管理装置３０は、通信インタフェースを介した通信により、医療機関１００、遺伝子情報提供事業者２００およびユーザと各種情報のやり取りが可能である。

　なお、ユーザ情報管理装置３０の各機能の全て又は一部は、ＡＳＩＣ（Application Specific Integrated Circuit）やＰＬＤ（Programmable Logic Device）やＦＰＧＡ（Field Programmable Gate Array）等のハードウェアを用いて実現されてもよい。プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。プログラムは、電気通信回線を介して送信されてもよい。

　管理情報生成部３１は、健康サービスに関するユーザ情報を管理するための管理情報を生成する。具体的には、管理情報生成部３１は、医療機関において採取された検体を識別するための検体識別子と、その検体を提供したユーザを識別するためのユーザ登録識別子とを発行する。ここで、ユーザ登録識別子は、ユーザ情報管理装置３０において、ユーザとユーザ情報との対応づけ（以下「ユーザ登録」という。）を行う際に用いられる識別情報である。ユーザ登録識別子は、検体識別子とは異なる識別情報として生成される。管理情報生成部３１は、発行した検体識別子およびユーザ情報識別子を一組の管理情報として記憶部３２に記録する。その一方で、管理情報生成部３１は、生成した管理情報を医療機関１００に提供する。

　なお、管理情報の生成時点において、管理情報は、いずれの検体にも、いずれのユーザ情報にも対応づけられていない。すなわち、管理情報の生成時点において、管理情報は、単なる２つの異なる識別子の組にすぎない。管理情報は、ユーザ情報管理装置３０においてユーザ登録が行われることにより、特定のユーザに対応づけられる。ユーザ登録の詳細については後述する。

　記憶部３２は、ＨＤＤ（Hard Disk Drive）やＳＳＤ（Solid State Drive）等の補助記憶装置を用いて構成される。記憶部３２は、検体の管理情報と、ユーザ情報とを記憶する。

　遺伝子情報分析部３３は、遺伝子情報提供事業者２００から提供される遺伝子情報を分析する。遺伝子情報分析部３３は、遺伝子情報提供事業者２００から提供された遺伝子情報と、その遺伝子情報の分析結果を示す情報をユーザ情報管理部３４に出力する。例えば、遺伝子情報分析部３３は、遺伝子情報に基づいてユーザの体質を分析し、その体質に応じた健康の維持又は改善のために当該ユーザに望まれる行動変容等の情報をユーザ情報として生成する。

　例えば、ユーザの体質の一例として疾病の発症率を推定することができる。例えば、遺伝子情報に基づいて疾病の発症率を推定する方法の一例として、遺伝子変異と疾病の発症率との関係性を示すリスクモデルを構築する方法が挙げられる（例えば、参考文献１：「科学的根拠の質」、https://mycode.jp/benefits/basis.html、ＭＹＣＯＤＥ、を参照）。この場合、ケースコントロール関連分析の結果や全ゲノム関連研究の成果をサンプルデータとして用いることができる。なお、リスクモデルには、遺伝子的要因に加えて疫学調査等によって得られた統計的要因が加味されてもよい。例えば、食道がんの発症率は、特定の遺伝子的要因と特定の生活習慣（例えば飲酒や喫煙など）との組み合わせによって大きく増大することが知られている（例えば、参考文献２：「お酒とタバコと食道がんの関係に迫る」、https://biobankjp.org/cohort_1st/public/tsushin07/biobank_tsushin07_02.html、バイオバンク通信、平成２１年８月第７号、を参照）。

　また、例えば、健康サービスとして、ＣＯＶＩＤ－１９の抗体検査を行う場合には、遺伝子情報に代えて検体から生体情報（例えば、血液中の各種成分の濃度など）を取得し、その生体情報を分析することにより、ユーザの体質を推定することが考えられる。この場合、以下の実施形態において、遺伝子情報を生体情報と読み替え、生体情報の分析結果、またはその分析結果に基づいて得られる情報をユーザ情報と読み替えることができる。

　ユーザ情報管理部３４は、遺伝子情報分析部３３から出力された遺伝子情報と、その分析結果を示す情報とをユーザ情報として、当該遺伝子情報とともに提供された検体識別子に対応づけて管理する。

　また、一方で、ユーザ情報管理部３４は、ユーザの要求に応じてユーザ登録を行う。このユーザ登録により、当該ユーザが、当該ユーザのユーザ情報と対応づけられる。具体的には、このユーザ登録は、ユーザの認証に用いられる当該ユーザの識別情報（以下「ユーザ識別子」という。）を、当該ユーザに提供されたユーザ登録識別子と対応づけることによって行われる。なお、ユーザ識別子に対応づけられるべきユーザ登録識別子は、ユーザ登録の要求の際に、ユーザ識別子とともにユーザから提供される。

　ここで、管理情報は、検体識別子とユーザ登録識別子との組として生成されるものであるから、ユーザ登録を行うことは、ユーザ識別子と検体識別子とを対応づけることでもある。また、検体識別子には、予めユーザ情報が対応づけられていることから、ユーザ登録を行うことによって、ユーザ識別子とユーザ情報とを対応づけることができる。

　なお、ユーザ識別子は、検体識別子およびユーザ登録識別子のいずれとも異なる識別情報である。例えば、ユーザ識別子は、サービス利用契約等によって発行されるユーザＩＤ等の情報である。また、例えば、ユーザ識別子は、後述するポータルサイトへのログインに使用されるユーザのアカウント情報であってもよい。このように、ユーザが既に登録済みの識別情報を有している場合にはその識別情報がユーザ識別子として用いられてもよいし、ユーザが登録済みの識別情報を有していない場合には、新たな識別情報がユーザ識別子として付与されてもよい。また、ユーザ識別子には、後述するポータルサイトとは別のポータルサイトのアカウント情報が用いられてもよい。この場合、後述するポータルサイトへのログインは、当該別のポータルサイトの認証機能によって認証されてもよい。

　ユーザ情報提供部３５は、ユーザ登録が完了しているユーザ（以下「登録済みユーザ」という。）に対し、当該登録済みユーザについて取得されたユーザ情報を提供する。

　図３は、第１実施形態の健康サービス提供システム１において、検体の取得からユーザ情報が提供されるまでの処理および情報連携の流れを示すシーケンス図である。また、図４および図５は、これらの処理および情報連携の実施例を示す図である。以下、これらの実施例を適宜参照しながら、図３に示す一連の処理および情報連携の流れを説明する。

　まず、ユーザの医療機関１００に対する検体の提供（ステップＳ１０１）に先立って、又はこれに並行して、提供される検体の管理情報（すなわち（検体識別子およびユーザ登録識別子）を生成する（ステップＳ１０２）。管理情報生成部３１は、生成した管理情報を記憶部３２に記録する（ステップＳ１０３）とともに、医療機関１００に提供する（ステップＳ１０４）。

　例えば、管理情報は、検体識別子を記載したシールＭ１と、ユーザ登録識別子を記載したシールＭ２の態様で医療機関１００に提供される（図４）。管理情報は、検体識別子とユーザ登録識別子との組によって表されるため、シールＭ１とＭ２は、管理対象の検体が発生するまでそれぞれが分離しないように例えば１つの台紙Ｍに貼付された状態で提供される。

　続いて、医療機関１００において管理対象の検体が発生すると、検体識別子を示すシールＭ１は検体Ｐ１に貼付され（ステップＳ１０５）、シールＭ１が貼付された検体Ｐ１は遺伝子情報提供事業者２００に提供される（ステップＳ１０６）。例えば、血液や唾液等が検体として採取される。例えば、血液は、遺伝子情報を取得する場合や抗体検査を行う場合の検体として用いることができる。また、例えば、唾液は、遺伝子情報を取得する場合の検体として用いることができる。一方、シールＭ２は検体を提供したユーザに提供される（ステップＳ１０７）。このように、検体識別子とユーザ識別子はそれぞれ異なる対象に付与されるため、管理対象の検体が発生した際にシールＭ１とＭ２を分離しやすいように、台紙Ｍには例えばミシン目（図中の破線）等が施されていてもよい。また、シールＭ２は台紙Ｍに貼付されたままユーザに提供されてもよいし、健診申込書や同意書等の資料Ｐ２に貼り替えられて提供されてもよい。

　続いて、遺伝子情報提供事業者２００が、医療機関１００から提供された検体を用いて遺伝子情報を取得する（ステップＳ１０８）。例えば、マイクロアレイ等によって、ＤＮＡ配列が１塩基だけ異なる遺伝子型の差異（一般にＳＮＰ（Single Nucleotide Polymorphism）と呼ばれる）が遺伝子情報として検出される。ユーザの遺伝子情報は、全ゲノムについて取得されてもよいし、、特定の領域のゲノムについて取得されてもよい。遺伝子情報提供事業者２００は、取得した遺伝子情報を検体に貼付された検体識別子とともにユーザ情報管理装置３０に提供する（ステップＳ１０９）。

　続いて、ユーザ情報管理装置３０では、遺伝子情報分析部３３が遺伝子情報提供事業者２００から提供された遺伝子情報の分析を行うことにより（ステップＳ１１０）、ユーザ情報を生成する。遺伝子情報分析部３３は、生成したユーザ情報を、遺伝子情報とともに提供された検体識別子に対応づけて管理する（ステップＳ１１１）。

　その一方で、医療機関１００からユーザ登録識別子を提供されたユーザは、ユーザ情報管理装置３０に対するユーザ登録を実施する。具体的には、ユーザは、医療機関１００から提供されたユーザ登録識別子と、自身の識別情報であるユーザ識別子とをユーザ情報管理装置３０に提示する（ステップＳ１１２）。ユーザ情報管理装置３０では、ユーザ情報管理部３４が、提示されたユーザ登録識別子に基づいて、当該ユーザの管理情報を特定し、特定した管理情報にユーザ識別子を対応づけることでユーザ登録を完了する（ステップＳ１１３）。

　例えば、ユーザ情報管理部３４は、各ユーザに、ユーザ情報を提供するためのポータルサイトを提供するウェブサーバとして構成されてもよい。この場合、ユーザは、スマートフォンやＰＣ（Personal Computer）等の情報通信端末を用いて自身のポータルサイトにアクセスする。このとき、例えば、ユーザ情報管理部３４は、ユーザがポータルサイトにログインする際に入力するログインＩＤをユーザ識別子として取得するとともに、ログインしたユーザに対してユーザ登録に使用するユーザ登録識別子を入力させる画面を提供してもよい。

　ユーザ情報管理部３４は、このようにして取得されたユーザ登録識別子に基づいて、当該ユーザの管理情報を特定し、特定した管理情報に対してユーザ識別子を対応づける。図５は、ユーザ登録の流れを示す図である。図５（Ａ）は、管理情報が、ユーザ情報とユーザ識別子とのいずれにも対応づけられていない状況を表している。この状況では、管理情報は単に検体識別子とユーザ登録識別子との組を示すのみである。

　その後、採取された検体をもとに遺伝子情報が取得され、取得された遺伝子情報に基づいてユーザ情報が生成される。図５（Ｂ）は、生成されたユーザ情報が、遺伝子情報とともに提供された検体識別子に登録された状況を表している。

　その後、ユーザが医療機関１００から提供されたユーザ登録識別子をもとに、ユーザ情報管理装置３０に対してユーザ登録を行う。図５（Ｃ）は、ユーザ登録の実施によって、図５（Ｂ）の状況から、さらにユーザ登録識別子とユーザ識別子との対応づけが行われた状況を表している。図５（Ｂ）の状況が図５（Ｃ）の状況に遷移することにより、ユーザ識別子とユーザ情報との対応づけが完了する（すなわちユーザ登録が完了する）。一旦ユーザ登録が完了したユーザは、ユーザ識別子を提示することにより、その後いつでもユーザ情報管理装置３０に対してユーザ情報の提供を要求することができる。

　例えば、ステップＳ１１４において、ユーザがユーザ情報管理装置３０に対してユーザ情報の提供を要求したとする。この場合、ユーザ情報提供部３５は、その要求に応じて、提示されたユーザ識別子と当該ユーザの管理情報とに基づいて提供すべきユーザ情報を特定し（ステップＳ１１５）、特定したユーザ情報を要求元のユーザに提供する（ステップＳ１１６）。

　このように構成された第１実施形態のユーザ情報管理装置３０は、検体を識別するための検体識別子と、その検体を提供したユーザを識別するためのユーザ登録識別子とを発行する管理情報生成部３１（識別子発行部の一例）と、管理情報生成部３０１により発行された検体識別子とユーザ登録識別子とを対応づけて記憶する記憶部３２と、上記検体識別子によって識別される検体を提供したユーザに関するユーザ情報が当該検体識別子とともに提供された場合に、当該ユーザ情報を当該検体識別子に対応づけ、当該ユーザの識別情報であって上記ユーザ登録識別子と異なるユーザ識別子が当該ユーザ登録識別子とともに提供された場合に、当該ユーザ識別子を当該ユーザ登録識別子に対応づけることによって、ユーザ識別子とユーザ情報との対応づけを行うユーザ情報管理部３４とを備える。そして、このような構成を備えることにより、第１実施形態のユーザ情報管理装置３０は、より利便性の高い健康サービスを提供することが可能となる。

　具体的には、第１実施形態のユーザ情報管理装置３０によれば、ユーザは医療機関１００にのみ検体を提供すればよいので、より手軽に健康サービスを利用することができる。

　また、第１実施形態のユーザ情報管理装置３０によれば、各事業者間では個人を特定することができない程度の情報連携を行い、遺伝子情報分析事業者３００がユーザ情報を管理するので、ユーザはより安心して健康サービスを利用することができる。

　なお、第１実施形態では、遺伝子情報提供事業者２００から提供される遺伝子情報と、その分析結果を示す情報をユーザ情報としたが、ユーザ情報はそれらのいずれか一方であってもよい。また、検体識別子とともに提供される情報であれば、遺伝子情報以外の情報がユーザ情報として管理されてもよい。例えば、医療機関１００が、検体を提供したユーザの健診を行い、その結果を示す健診情報を当該検体の検体識別子とともにユーザ情報管理装置３０に提供する場合、ユーザ情報管理装置３０は、その健診情報をユーザ情報に含めて管理してもよい。また、この場合、ユーザ情報管理装置３０は、健診情報に基づいて得られた情報をユーザ情報として管理してもよい。ＣＯＶＩＤ－１９の抗体検査を行う場合は、ユーザ情報管理装置３０は、検体である血液からイムノクロマト法等により検出したＩｇＭ抗体またはＩｇＧ抗体の有無をユーザ情報として管理してもよい。

＜第２実施形態＞
　図６は、第２実施形態における健康サービス提供システム１ａのシステム構成の具体例を示す図である。健康サービス提供システム１ａは、遺伝子情報分析事業者３００がユーザ情報管理装置３０に代えてユーザ情報管理装置３０ａを備える点で第１実施形態における健康サービス提供システム１と異なる。健康サービス提供システム１ａのその他の構成は第１実施形態における健康サービス提供システム１と同様である。そのため、それらの同様の構成については図１と同じ符号を付すことにより詳細な説明を省略する。

　図７は、第２実施形態におけるユーザ情報管理装置３０ａの機能構成の具体例を示すブロック図である。ユーザ情報管理装置３０ａは、ユーザ情報管理部３４に代えてユーザ情報管理部３４ａを備える点で第１実施形態におけるユーザ情報管理装置３０と異なる。ユーザ情報管理装置３０ａのその他の構成は第１実施形態におけるユーザ情報管理装置３０と同様である。そのため、それらの同様の構成については図２と同じ符号を付すことにより詳細な説明を省略する。

　ユーザ情報管理部３４ａは、第１実施形態におけるユーザ情報管理部３４が有する機能に加え、ユーザ登録の完了後に、ユーザ登録識別子を無効化する機能を有する点で第１実施形態におけるユーザ情報管理部３４と異なる。具体的には、ユーザ情報管理部３４ａは、ユーザ登録が完了したユーザのユーザ登録識別子を管理情報から削除することによりユーザ登録識別子を無効化する。

　図８は、第２実施形態のユーザ情報管理装置３０ａにおけるユーザ登録識別子の無効化の流れを示す図である。図８（Ａ）は、ユーザ登録識別子が無効化される前の状況を表しており、ユーザ識別子“ｕｓｅｒ００１”によって識別されるユーザについて、一旦ユーザ登録が完了した状況を表している。この場合、例えば、ユーザ情報管理部３４ａは、図８（Ａ）においてユーザ登録識別子に対応づけられているユーザ識別子を検体識別子に対応づけた上で管理情報からユーザ登録識別子を削除する（図８（Ｂ））。

　一般に、ユーザに関する識別情報が多いほど、いずれかの識別情報に基づいて当該ユーザの個人情報を特定される可能性が高まる。本実施形態の健康サービス提供システム１ａにおいては、検体（およびそれに基づくユーザ情報）と、当該検体を提供したユーザとをユーザ情報管理装置３０ａにおいて対応づけるために、検体識別子とユーザ登録識別子とを発行している。そのため、他のユーザが、ユーザ登録識別子が貼付された健診申込書や同意書等を物理的に取得し得た場合に、当該ユーザ登録識別子と当該他のユーザのユーザ識別子とを紐づけることでユーザ情報を不正に取得することができてしまう。

　これに対し、本実施形態のユーザ情報システム１ａでは、ユーザ情報管理部３４ａが、一旦ユーザ登録が完了したユーザのユーザ登録識別子を管理情報から削除して無効化する。これにより、ユーザ登録識別子をユーザ登録が完了するまでの一時的な情報とすることができるため、ユーザ情報のセキュリティを高めることが可能となる。なお、ユーザ登録を行う対象のユーザについて生年月日や生体情報等の個人情報を別途取得している場合には、ユーザ登録の際に、これらの情報を用いた本人確認が行われてもよい。これにより、本来のユーザがユーザ登録を行う前に不正なユーザがユーザ登録を試みた場合に、当該行為を阻止することができる。

　なお、ユーザ登録識別子を無効化する別の方法として、ユーザ登録識別子を所定期間において有効な情報とする方法がある。例えば、管理情報生成部３１により、ユーザ登録識別子を有効期限付きのワンタイムパスワードとして発行することが考えられる。この場合、ユーザ情報管理部３４ａは、管理情報生成部３１によって生成された管理情報を定期的に確認し、有効期限が切れたユーザ登録識別子を有する管理情報からユーザ登録識別子を削除するように構成されてもよい。また、この場合、ユーザ情報管理部３４ａは、有効期限内であっても、ユーザ登録が完了したタイミングでユーザ登録識別子を管理情報から削除するように構成されてもよい。

　また、ユーザ登録の完了後において、遺伝子情報分析事業者３００が検体識別子を管理する必要がない場合、ユーザ情報管理部３４ａは、一旦ユーザ登録が完了したユーザの検体識別子を管理情報から削除して無効化してもよい。ユーザ情報管理部３４ａは、検体識別子およびユーザ登録識別子のいずれか一方を無効化するように構成されてもよいし、その両方を無効化するように構成されてもよい。例えば、図９は、第２実施形態のユーザ情報管理装置において検体識別子およびユーザ登録識別子の両方を無効化する流れを示す図である。この場合、ユーザ情報管理部３４ａは、図９（Ａ）におけるユーザ情報とユーザ識別子とを直接的に対応づけた上で管理情報を削除する（図９（Ｂ））。これにより、ユーザ情報とユーザ識別子との対応関係を維持しつつ、記憶部３２から管理情報を削除することができる。

　なお、第１実施形態および第２実施形態では、ユーザ情報管理装置が１台の装置として構成される例を示したが、ユーザ情報管理装置は、ネットワークを介して通信可能に接続された複数台の情報処理装置を用いて実装されてもよい。この場合、ユーザ情報管理装置が備える各機能部は、複数の情報処理装置に分散して実装されてもよい。

　以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。

　本発明は、ユーザの健康に関する個人情報を複数の事業者が連携して提供するサービスの提供手段として利用することができる。

　１，１ａ…健康サービス提供システム、１００…医療機関、２００…遺伝子情報提供事業者、３００…遺伝子情報分析事業者、３０，３０ａ…ユーザ情報管理装置、３１…管理情報生成部、３２…記憶部、３３…遺伝子情報分析部、３４，３４ａ…ユーザ情報管理部、３５…ユーザ情報提供部。

Claims

　検体を識別するための検体識別子と、前記検体を提供したユーザを識別するためのユーザ登録識別子とを発行する識別子発行部と、
　前記識別子発行部により発行された検体識別子とユーザ登録識別子とを対応づけて記憶する記憶部と、
　前記検体識別子によって識別される検体を提供したユーザに関するユーザ情報が前記検体識別子とともに提供された場合に、前記ユーザ情報を前記検体識別子に対応づけ、前記ユーザの識別情報であって前記ユーザ登録識別子と異なるユーザ識別子が前記ユーザ登録識別子とともに提供された場合に、前記ユーザ識別子を前記ユーザ登録識別子に対応づけることによって、ユーザ識別子とユーザ情報との対応づけを行うユーザ情報管理部と、
　を備える情報管理装置。
　前記検体識別子とともに提供されるユーザ情報は、前記検体に基づいて取得された遺伝子情報を含む、
　請求項１に記載の情報管理装置。
　前記遺伝子情報を分析する遺伝子情報分析部をさらに備え、
　前記ユーザ情報管理部は、前記遺伝子情報の分析結果を示す情報と、ユーザ識別子との対応づけを行う、
　請求項２に記載の情報管理装置。
　前記検体識別子とともに提供されるユーザ情報は、前記ユーザの健康診断の結果を示す健診情報を含む、
　請求項１から３のいずれか一項に記載の情報管理装置。
　前記ユーザ情報管理部は、ユーザ識別子とユーザ情報との対応づけを行った場合、当該ユーザ識別子によって識別されるユーザのユーザ登録識別子、又は前記ユーザ登録識別子に対応する検体識別子を前記識別子管理部から削除する、
　請求項１から４のいずれか一項に記載の情報管理装置。
　ユーザ識別子とユーザ情報との対応づけを行ったユーザからユーザ識別子が提供されたことに応じて、そのユーザ識別子に対応するユーザ情報を前記ユーザに提供する情報提供部をさらに備える、
　請求項１から５のいずれか一項に記載の情報管理装置。
　検体を識別するための検体識別子と、前記検体を提供したユーザを識別するためのユーザ登録識別子とを発行する識別子発行ステップと、
　前記識別子発行ステップにおいて発行された検体識別子とユーザ登録識別子とを対応づけて記憶する記憶ステップと、
　前記検体識別子によって識別される検体を提供したユーザに関するユーザ情報が前記検体識別子とともに提供された場合に、前記ユーザ情報を前記検体識別子に対応づけ、前記ユーザの識別情報であって前記ユーザ登録識別子と異なるユーザ識別子が前記ユーザ登録識別子とともに提供された場合に、前記ユーザ識別子を前記ユーザ登録識別子に対応づけることによって、ユーザ識別子とユーザ情報との対応づけを行う情報管理ステップと、
　を有する情報管理方法。
　検体を識別するための検体識別子と、前記検体を提供したユーザを識別するためのユーザ登録識別子とを発行する識別子発行ステップと、
　前記識別子発行ステップにおいて発行された検体識別子とユーザ登録識別子とを対応づけて記憶する記憶ステップと、
　前記検体識別子によって識別される検体を提供したユーザに関するユーザ情報が前記検体識別子とともに提供された場合に、前記ユーザ情報を前記検体識別子に対応づけ、前記ユーザの識別情報であって前記ユーザ登録識別子と異なるユーザ識別子が前記ユーザ登録識別子とともに提供された場合に、前記ユーザ識別子を前記ユーザ登録識別子に対応づけることによって、ユーザ識別子とユーザ情報との対応づけを行う情報管理ステップと、
　をコンピュータに実行させるためのコンピュータプログラム。