[go: up one dir, main page]

JP2018109838A - 情報処理装置、情報処理システム、プログラム、及び情報処理方法 - Google Patents

情報処理装置、情報処理システム、プログラム、及び情報処理方法 Download PDF

Info

Publication number
JP2018109838A
JP2018109838A JP2016256815A JP2016256815A JP2018109838A JP 2018109838 A JP2018109838 A JP 2018109838A JP 2016256815 A JP2016256815 A JP 2016256815A JP 2016256815 A JP2016256815 A JP 2016256815A JP 2018109838 A JP2018109838 A JP 2018109838A
Authority
JP
Japan
Prior art keywords
concealment
information
degree
personal information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP2016256815A
Other languages
English (en)
Inventor
明日翔 岡川
Asuka Okagawa
明日翔 岡川
裕里 安田
Yuri Yasuda
裕里 安田
一範 小橋
Kazunori Kobashi
一範 小橋
明雅 吉田
Akimasa Yoshida
明雅 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016256815A priority Critical patent/JP2018109838A/ja
Priority to US15/818,845 priority patent/US20180181771A1/en
Publication of JP2018109838A publication Critical patent/JP2018109838A/ja
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records

Landscapes

  • Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Epidemiology (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】情報解析機関が要求する秘匿化程度に対応する秘匿化個人情報を提供する。
【解決手段】秘匿化部222は、情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成する。記憶部224は、第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報231を記憶し、転送部223は、情報解析機関が使用するストレージ装置213へ第1秘匿化個人情報を転送する。次に、比較部221は、第1秘匿化程度情報231と、情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成する。秘匿化部222は、比較結果に基づいて個人情報に対して第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、転送部223は、ストレージ装置213へ第2秘匿化個人情報を転送する。
【選択図】図2

Description

本発明は、情報処理装置、情報処理システム、プログラム、及び情報処理方法に関する。
近年、ビッグデータ分析に対するニーズがますます高まっている。ビッグデータ分析において、より正確で有用な分析結果を得るためには、可能な限り多くのデータサンプルの収集を行うことが望ましい。
政府は、国内の医療分野におけるビッグデータ分析を促進する施策を将来的に実施する計画を持っている。この施策によれば、病院の電子カルテのデータが収集され、収集されたデータが匿名データに加工され、匿名データがビッグデータ分析に利用可能なデータとして、データの利活用を希望する団体へ提供される予定である。
電子カルテは、患者のプライバシーに関わる個人情報を多く含むデータである。このため、これらのデータを大量に収集する際には、個人情報の流出が起こらないような対策を講じることが望まれる。
患者のカルテ情報、患者又は検体から得た医療情報等を利用するための技術も知られている(例えば、特許文献1及び特許文献2を参照)。
国際公開第2003/030047号パンフレット 特開2005−293273号公報
上述した政府の施策に基づいて、情報解析機関が電子カルテを収集して解析する際、個人情報の秘匿化処理に対して患者が希望する秘匿化程度と、情報解析機関が要求する秘匿化程度とが異なる場合がある。
なお、かかる問題は、病院における電子カルテを収集する場合に限らず、他の情報提供機関における他の個人情報を収集する場合においても生ずるものである。
1つの側面において、本発明は、情報解析機関が要求する秘匿化程度に対応する秘匿化個人情報を提供することを目的とする。
1つの案では、情報処理装置は、比較部、秘匿化部、転送部、及び記憶部を含む。秘匿化部は、情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成する。記憶部は、第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報を記憶し、転送部は、情報解析機関が使用するストレージ装置へ第1秘匿化個人情報を転送する。
次に、比較部は、第1秘匿化程度情報と、情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成する。秘匿化部は、比較結果に基づいて個人情報に対して第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、転送部は、ストレージ装置へ第2秘匿化個人情報を転送する。
実施形態によれば、情報解析機関が要求する秘匿化程度に対応する秘匿化個人情報を提供することができる。
先願の情報処理システムの構成図である。 実施形態の情報処理システムの構成図である。 秘匿化処理のフローチャートである。 情報処理システムの具体例を示す図である。 病院システムの構成図である。 バックアップストレージ装置の構成図である。 VMの機能的構成図である。 収集ストレージ装置の構成図である。 個人情報に含まれる基本テーブルを示す図である。 個人情報に含まれる診察テーブルを示す図である。 モードM1で用いられる秘匿化程度情報を示す図である。 モードM2で用いられる秘匿化程度情報を示す図である。 IDテーブルを示す図である。 日時テーブルを示す図である。 加工テーブルを示す図である。 秘匿化個人情報に含まれる基本テーブルを示す図である。 秘匿化個人情報に含まれる診察テーブルを示す図である。 データ形式を変換する処理を示す図である。 モードM1における情報提供シーケンスを示す図である。 モードM2における動作シーケンスを示す図(その1)である。 モードM2における動作シーケンスを示す図(その2)である。 モードM2における動作シーケンスを示す図(その3)である。 モードM2における動作シーケンスを示す図(その4)である。 モードM2における動作シーケンスを示す図(その5)である。 モードM2における動作シーケンスを示す図(その6)である。 モードM2における動作シーケンスを示す図(その7)である。 モードM2における動作シーケンスを示す図(その8)である。 モードM2における動作シーケンスを示す図(その9)である。 モードM2における動作シーケンスを示す図(その10)である。 モードM2における動作シーケンスを示す図(その11)である。 モードM2における動作シーケンスを示す図(その12)である。 情報処理装置のハードウェア構成図である。
以下、図面を参照しながら、実施形態を詳細に説明する。
図1は、先願である特願2016−213590号に記載された情報処理システムの構成例を示している。図1の情報処理システムにおいて、情報提供機関は、電子カルテのデータを提供する病院であり、情報解析機関は、電子カルテのデータを収集して解析する政府等の機関である。
図1の情報処理システム101は、病院システム111−1〜病院システム111−M(Mは2以上の整数)、バックアップシステム112、及び解析システム113を含む。病院システム111−i(i=1〜M)は、i番目の病院の病院システムである。
バックアップシステム112は、バックアップストレージ装置121−1〜バックアップストレージ装置121−M、サーバ122−1〜サーバ122−N(Nは1以上、かつ、M以下の整数)、及びサーバ123を含む。
各サーバ122−j(j=1〜N)内では、1つ以上の病院の仮想マシン(VM)が動作する。この例では、サーバ122−1内で、1番目の病院のVM124−1、2番目の病院のVM124−2、及び3番目の病院のVM124−3が動作している。サーバ122−2内では、4番目の病院のVM124−1及び5番目の病院のVM124−3が動作し、サーバ122−N内では、(M−1)番目の病院のVM124−(M−1)及びM番目の病院のVM124−Mが動作している。
サーバ123は、識別情報付与部125を含み、IDテーブル126を記憶する。IDテーブル126は、電子カルテに含まれる個人識別情報(個人ID)と、M個の病院の間で共通して個人を識別する共通識別情報(共通ID)とを対応付ける対応関係を含む。
解析システム113は、サーバ131、パーソナルコンピュータ(PC)132、及び収集ストレージ装置133を含む。
図1の情報処理システム101は、各病院からの依頼に基づいて秘匿化処理を行うモードM1の動作と、情報解析機関からの依頼に基づいて秘匿化処理を行うモードM2の動作とを行うことができる。情報処理システム101がモードM1で動作する場合、例えば、以下の手順で電子カルテの解析が行われる。
(P11)各病院の事務職員又は患者は、病院システム111−iの電子カルテに含まれる項目毎に、患者が希望する秘匿化程度を示す秘匿化程度情報を入力する。各項目の秘匿化程度は、例えば、“○”、“△”、又は“×”のいずれかの記号によって示される。“○”は、秘匿化することなく提供可能な情報を表し、“△”は、情報を加工して個人が特定されないようにすれば、提供可能な情報を表し、“×”は、一切の情報提供を行わない情報を表す。“△”又は“×”が設定された項目は、秘匿化処理の対象となる。
(P12)病院システム111−iは、入力された秘匿化程度情報を格納する。
(P13)各病院の医師は、電子カルテに患者の診察情報を入力する。
(P14)病院システム111−iは、入力された診察情報を患者の個人情報として格納する。
(P15)各病院のシステム管理者は、定期的にバックアップを実行する。このとき、病院システム111−iは、個人情報及び秘匿化程度情報の複製をバックアップストレージ装置121−iへ転送する。そして、バックアップストレージ装置121−iは、個人情報及び秘匿化程度情報の複製を格納する。
(P16)病院システム111−iは、定期的に秘匿化依頼をVM124−iへ送信し、VM124−iは、秘匿化依頼に基づいて、秘匿化処理の対象となる個人情報の時間範囲を表す秘匿化目標日時を設定する。
(P17)VM124−iは、秘匿化目標日時と、秘匿化処理の進捗状況を表す秘匿化完了日時とを参照して、秘匿化処理を実施するか否かを判定する。
(P18)秘匿化処理を実施する場合、VM124−iは、バックアップストレージ装置121−i内の個人情報から、更新日時が秘匿化完了日時よりも新しいエントリを検索する。
(P19)VM124−iは、各病院の変換プログラムを用いて、個人情報の各エントリのデータ形式を統一データ形式へ変換する。
(P20)サーバ123の識別情報付与部125は、IDテーブル126を参照して、個人情報の各エントリに含まれる個人IDに対応する共通IDを、そのエントリに対して付与する。
(P21)VM124−iは、各エントリに対応する患者の秘匿化程度情報を参照して、秘匿化対象の項目の情報を秘匿化し、秘匿化個人情報を生成する。このとき、秘匿化個人情報の各エントリに対して病院IDが付与される。例えば、“○”が設定された項目の情報は変換されず、“△”が設定された項目の情報は、所定の加工テーブルを用いて、簡略化された情報に変換される。また、“×”が設定された項目の情報は、秘匿化されていることを示すデータに変換される。
(P22)VM124−iは、秘匿化個人情報を収集ストレージ装置133へ転送し、収集ストレージ装置133は、秘匿化個人情報を格納する。
(P23)情報解析機関の解析者は、PC132を用いて、秘匿化個人情報を解析し、解析結果をサーバ131に格納する。解析結果は、研究機関、製薬会社等の情報利用者に対して提供される。
一方、図1の情報処理システム101がモードM2で動作する場合、例えば、以下の手順で電子カルテの解析が行われる。
(P31)病院システム111−iは、モードM1における(P11)〜(P15)と同様の動作を行う。
(P32)情報解析機関の解析者は、PC132を用いて、情報解析機関が指定する加工テーブル及び秘匿化程度情報とともに、情報提供依頼をVM124−iへ送信する。
(P33)VM124−iは、秘匿化処理で参照する加工テーブルを、所定の加工テーブルから、情報解析機関が指定する加工テーブルへ切り替える。
(P34)VM124−iは、秘匿化処理で参照する秘匿化程度情報を、バックアップストレージ装置121−i内の秘匿化程度情報から、情報解析機関が指定する秘匿化程度情報へ切り替える。
(P35)VM124−iは、情報提供依頼によって指定された収集期間に基づいて、秘匿化完了日時及び秘匿化目標日時を設定する。
(P36)VM124−iは、バックアップストレージ装置121−i内の個人情報から、更新日時が秘匿化完了日時よりも新しいエントリを検索する。
(P37)VM124−iは、各病院の変換プログラムを用いて、個人情報の各エントリのデータ形式を統一データ形式へ変換する。
(P38)サーバ123の識別情報付与部125は、IDテーブル126を参照して、個人情報の各エントリに含まれる個人IDに対応する共通IDを、そのエントリに対して付与する。
(P39)VM124−iは、情報解析機関が指定する秘匿化程度情報を参照して、秘匿化対象の項目の情報を秘匿化し、秘匿化個人情報を生成する。このとき、秘匿化個人情報の各エントリに対して病院IDが付与される。
(P40)VM124−iは、秘匿化個人情報を収集ストレージ装置133へ転送し、収集ストレージ装置133は、秘匿化個人情報を格納する。
(P41)情報解析機関の解析者は、PC132を用いて、秘匿化個人情報を解析し、解析結果をサーバ131に格納する。
モードM2の場合、複数の病院のVM124−1〜VM124−Mが一斉に動作して、秘匿化個人情報を収集ストレージ装置133へ一斉に転送するため、バックアップシステム112と解析システム113との間の通信ネットワークの負荷が増大する。そこで、情報提供依頼によって指定された収集期間のうち、モードM1の秘匿化処理の対象となっている期間については、収集ストレージ装置133内に既に格納されている秘匿化個人情報を流用することが考えられる。
この場合、モードM1で生成された秘匿化個人情報のうち、情報解析機関が要求する秘匿化程度とは異なる秘匿化処理が適用された項目については、VM124−iにおいて再度秘匿化することが望ましい。これにより、収集ストレージ装置133は、既に格納している秘匿化個人情報の対応する項目を、上書き修正することができる。
しかし、モードM1で生成された秘匿化個人情報を確認しても、各項目に対応する秘匿化程度が、情報解析機関が要求する秘匿化程度と一致しているか否かは分からない。例えば、秘匿化されていることを示すデータに変換されている項目については、秘匿化程度が“×”であると判別できるが、それ以外の項目については、“○”又は“△”のいずれであるかを判別することが困難である。
図2は、実施形態の情報処理システムの構成例を示している。図2の情報処理システム201は、ストレージ装置211、情報処理装置212(コンピュータ)、及びストレージ装置213を含み、情報処理装置212は、比較部221、秘匿化部222、転送部223、及び記憶部224を含む。ストレージ装置211は、情報提供機関から提供される個人情報を格納し、ストレージ装置213は、情報解析機関によって使用される。
図3は、図2の情報処理装置212が行う秘匿化処理の例を示すフローチャートである。まず、秘匿化部222は、ストレージ装置211が格納する個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成し、記憶部224は、第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報231を記憶する(ステップ301)。そして、転送部223は、ストレージ装置213へ第1秘匿化個人情報を転送する(ステップ302)。
次に、比較部221は、第1秘匿化程度情報231と、情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成する(ステップ303)。秘匿化部222は、比較結果に基づいて個人情報に対して第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し(ステップ304)、転送部223は、ストレージ装置213へ第2秘匿化個人情報を転送する(ステップ305)。
このような情報処理システム201によれば、情報解析機関が要求する秘匿化程度に対応する秘匿化個人情報を提供することができる。
図4は、図2の情報処理システム201の具体例を示している。図4の情報処理システム401は、病院システム411−1〜病院システム411−M(Mは2以上の整数)、バックアップシステム412、及び解析システム413を含む。病院システム411−i(i=1〜M)は、i番目の病院の病院システムである。M個の病院は、例えば、全国に分布する病院であってもよく、特定の地方に存在する病院であってもよい。
バックアップシステム412は、例えば、インターネット等の通信ネットワーク上のバックアップサイトに設けられ、バックアップストレージ装置421−1〜バックアップストレージ装置421−Mを含む。バックアップシステム412は、さらに、サーバ422−1〜サーバ422−N(Nは1以上、かつ、M以下の整数)及びサーバ423を含む。
各サーバ422−j(j=1〜N)内では、1つ以上の病院のVMが動作する。この例では、サーバ422−1内で、1番目の病院のVM424−1、2番目の病院のVM424−2、及び3番目の病院のVM424−3が動作している。サーバ422−2内では、4番目の病院のVM424−1及び5番目の病院のVM424−3が動作し、サーバ422−N内では、(M−1)番目の病院のVM424−(M−1)及びM番目の病院のVM424−Mが動作している。
サーバ423は、識別情報付与部425を含み、IDテーブル426を記憶する。IDテーブル426は、電子カルテに含まれる個人IDと、M個の病院の間で共通して個人を識別する共通IDとを対応付ける対応関係を含む。
解析システム413は、サーバ431、PC432、及び収集ストレージ装置433を含む。収集ストレージ装置433は、病院の数の増加に伴ってスケールアウトが可能である。
バックアップストレージ装置421−1〜バックアップストレージ装置421−Mは、図2のストレージ装置211に対応し、サーバ422−1〜サーバ422−Nは、情報処理装置212に対応する。また、収集ストレージ装置433は、ストレージ装置213に対応する。
図5は、図4の病院システム411−iの構成例を示している。図5の病院システム411−iは、各病院の事務職員のPC501、医師のPC502、サーバ503、及び運用ストレージ装置504を含む。PC501、PC502、サーバ503、及び運用ストレージ装置504は、例えば、Local Area Network(LAN)によって接続されている。
サーバ503は、電子カルテ521を格納する。運用ストレージ装置504は、運用DB511及び運用DB512を含む。運用DB511は、個人情報531を格納し、運用DB512は、秘匿化程度情報532を格納する。
個人情報531は、電子カルテ521に記録された患者の診察情報であり、秘匿化程度情報532は、個人情報531に含まれる複数の項目それぞれの秘匿化程度を示す情報である。各項目の秘匿化程度は、例えば、患者自身によって指定され、その患者の個人情報531に対して適用される。
図6は、図4のバックアップストレージ装置421−iの構成例を示している。図6のバックアップストレージ装置421−iは、バックアップデータベース(DB)601及びバックアップDB602を含む。バックアップDB601は、個人情報611を格納し、バックアップDB602は、秘匿化程度情報612を格納する。個人情報611及び秘匿化程度情報612は、それぞれ、図5の個人情報531及び秘匿化程度情報532の複製である。
図4のIDテーブル426は、個人情報611に含まれる個人IDと共通IDとを対応付ける対応関係を含む。識別情報付与部425は、IDテーブル426を参照して、個人情報611に含まれる個人IDに対応する共通IDを、個人情報611に対して付与する。
図7は、図4のVM424−iの機能的構成例を示している。図7のVM424−iは、比較部701、秘匿化部702、日時管理部703、転送部704、及びメモリ705を含む。比較部701、秘匿化部702、日時管理部703、及び転送部704は、VM424−iが実行するアプリケーションである。比較部701、秘匿化部702、及び転送部704は、それぞれ、図2の比較部221、秘匿化部222、及び転送部223と同様の機能を提供する。
メモリ705は、サーバ422−jの記憶部内の記憶領域に対応し、秘匿化程度情報612、日時テーブル711、日時テーブル712、加工テーブル713、加工テーブル714、及び秘匿化程度情報715を記憶する。メモリ705は、図2の記憶部224に対応し、秘匿化程度情報612は、第1秘匿化程度情報231に対応し、秘匿化程度情報715は、第2秘匿化程度情報に対応する。
日時テーブル711及び日時テーブル712は、i番目の病院の個人情報611に対する秘匿化処理の目標日時及び完了日時を含む。加工テーブル713及び加工テーブル714は、個人情報611に含まれる特定の項目の情報を簡略化された情報に変換するためのテーブルであり、変換前の情報と変換後の情報とを対応付ける対応関係を含む。
秘匿化程度情報715は、個人情報611に含まれる複数の項目それぞれの秘匿化程度を示す情報である。各項目の秘匿化程度は、例えば、政府のような、患者以外の機関によって指定される。
比較部701は、図6の秘匿化程度情報612と秘匿化程度情報715とを比較して、比較結果を生成する。秘匿化部702は、秘匿化程度情報612又は秘匿化程度情報715に従って、共通IDが付与された個人情報611を秘匿化し、秘匿化個人情報を生成する。日時管理部703は、日時テーブル711及び日時テーブル712のエントリを更新し、転送部704は、秘匿化個人情報を収集ストレージ装置433へ転送する。
図8は、図4の収集ストレージ装置433の構成例を示している。収集ストレージ装置433は、収集DB801、収集DB802、収集部803、及び検索部804を含む。収集DB801は、秘匿化程度情報612に従って生成された秘匿化個人情報811を格納し、収集DB802は、秘匿化程度情報715に従って生成された秘匿化個人情報812を格納する。
収集部803は、収集DB801内の秘匿化個人情報811の複製を、検索部804に対して指示する。そして、検索部804は、秘匿化個人情報811から、情報解析機関によって指定された収集期間と重複している期間内のエントリを検索し、検索したエントリの複製を収集DB802に格納する。
図4の情報処理システム401は、図1の情報処理システム101と同様に、各病院からの依頼に基づいて秘匿化処理を行うモードM1の動作と、情報解析機関からの依頼に基づいて秘匿化処理を行うモードM2の動作とを行うことができる。
モードM1では、VM424−iは、日時テーブル711、加工テーブル713、及び秘匿化程度情報612を用いて、個人情報611に対する秘匿化処理を行う。一方、モードM2では、VM424−iは、日時テーブル712、加工テーブル714、及び秘匿化程度情報715を用いて、個人情報611に対する秘匿化処理を行う。
図9は、個人情報531及び個人情報611に含まれる基本テーブルの例を示している。図9の基本テーブルは、患者の基本情報が登録されたテーブルであり、患者ID、氏名、マイナンバー、生年月日、性別、住所、血液型、保険証ID、アレルギー、及び更新日時の項目を含む。患者IDは、各病院によって患者に付与されるIDであり、マイナンバーは、政府によって国民に付与されるIDであり、保険証IDは、保険者によって被保険者に付与されるIDである。更新日時は、各患者の基本情報が更新された日時を表す。
図10は、個人情報531及び個人情報611に含まれる診察テーブルの例を示している。図10の診察テーブルは、患者の診察情報が登録されたテーブルであり、患者ID、処方、検査結果、病名、及び更新日時の項目を含む。処方は、診察によって決定された処方を表し、検査結果は、診察時に参照された検査結果を表し、病名は、診察によって決定された病名を表す。更新日時は、各患者の診察情報が更新された日時を表す。
図11は、モードM1で用いられる秘匿化程度情報612の例を示している。図11の秘匿化程度情報612の各エントリは、図9の基本テーブル及び図10の診察テーブルに含まれる各患者の個人情報に対応し、項目毎に“○”、“△”、又は“×”のいずれかの記号を含む。このうち、“△”及び“×”は、個人情報に含まれる各項目について適用される秘匿化操作を指定している。
“○”は、秘匿化することなく提供可能な情報を表し、“△”は、情報を加工して個人が特定されないようにすれば、提供可能な情報を表し、“×”は、一切の情報提供を行わない情報を表す。
“△”が設定された項目の情報に対しては、加工テーブル713を用いて簡略化された情報に変換する秘匿化操作が適用される。この場合、使用される加工テーブル713の内容が異なれば、適用される秘匿化操作の秘匿化程度も異なってくる。“×”が設定された項目の情報に対しては、秘匿化されていることを示すデータに変換する秘匿化操作が適用される。
情報処理システム401では、各患者の個人情報に対する考え方、又は各患者の病気の特性によって、提供可能な情報の範囲及び提供方法が異なる可能性がある。例えば、患者ID“1001”の秘匿化程度情報では、生年月日、性別、保険証ID、処方、検査結果、及び病名に対して“○”が設定されている。また、氏名、マイナンバー、及び血液型に対して“×”が設定されており、住所及びアレルギーに対して“△”が設定されている。一方、患者ID“1004”の秘匿化程度情報では、すべての項目に対して“×”が設定されている。
図12は、モードM2で用いられる秘匿化程度情報715の例を示している。図12の秘匿化程度情報715は、すべての患者の個人情報611に対して適用される。この例では、性別、血液型、保険証ID、アレルギー、処方、検査結果、及び病名に対して“○”が設定されており、氏名、マイナンバー、生年月日、及び住所に対して“×”が設定されている。
秘匿化程度情報715には、“△”を設定することも可能である。“△”及び“×”は、個人情報に含まれる各項目について適用される秘匿化操作を指定している。“△”が設定された項目の情報に対しては、加工テーブル714を用いて簡略化された情報に変換する秘匿化操作が適用される。この場合、使用される加工テーブル714の内容が異なれば、適用される秘匿化操作の秘匿化程度も異なってくる。
図13は、IDテーブル426の例を示している。図13のIDテーブル426は、共通ID及びマイナンバーを含み、個人情報611に含まれる個人IDであるマイナンバーと共通IDとを対応付ける対応関係を表す。
図14は、日時テーブル711及び日時テーブル712の例を示している。図14の日時テーブルは、病院ID、秘匿化完了日時、同時刻連番、秘匿化目標日時、及び処理完了フラグを含む。病院IDは、病院を識別するIDであり、秘匿化完了日時は、個人情報611に対する秘匿化処理の進捗状況を表す日時である。例えば、図9の基本テーブル及び図10の診察テーブルの1人の患者の個人情報611が秘匿化される度に、その個人情報611の更新日時が秘匿化完了日時に転記される。
同時刻連番は、同じ更新日時を有する複数の個人情報611のうち、秘匿化処理が完了した個人情報611の順位を表す。例えば、同時刻連番“3”は、秘匿化完了日時に転記された更新日時を有する複数の個人情報611のうち、3番目の個人情報611までの秘匿化処理が完了していることを表す。この場合、4番目以降の個人情報611の秘匿化処理は完了していない。
秘匿化目標日時は、秘匿化処理の対象となる個人情報611の範囲を指定する日時である。秘匿化目標日時と同じか又はそれよりも前の更新日時を有する個人情報611が、秘匿化処理の対象となる。処理完了フラグは、各病院において、秘匿化目標日時までの個人情報611に対する秘匿化処理が完了したか否かを表す。日時テーブルに秘匿化目標日時が設定されたとき、処理完了フラグは“false”に設定され、秘匿化目標日時までの個人情報611に対する秘匿化処理が完了したとき、処理完了フラグは“true”に設定される。
モードM2において、情報解析機関からの依頼によって個人情報611の収集期間が指定された場合、日時管理部703は、収集開始日時及び収集終了日時に基づいて、日時テーブル712の秘匿化完了日時及び秘匿化目標日時を設定する。
図15は、加工テーブル713及び加工テーブル714の例を示している。図15の加工テーブルは、年齢及び年齢層を含み、変換前の情報である年齢と、変換後の情報である年齢層とを対応付ける、対応関係を表す。年齢は、図9の基本テーブルに含まれる生年月日から計算することができる。図15の加工テーブルを用いることで、個人を特定可能な生年月日の情報が、匿名データである年齢層の情報に簡略化される。
また、簡略化される項目が住所である場合、住所の文字列から個人を特定可能な町名及び番地等の情報を削除して文字列を簡略化する、加工テーブルを用いることもできる。これにより、例えば、図9の“横浜市北区港南町1−24−2”という住所を“横浜市”に簡略化することができる。
図16は、秘匿化個人情報811及び秘匿化個人情報812に含まれる基本テーブルの例を示している。図16の基本テーブルは、共通ID、氏名、マイナンバー、生年月日、性別、住所、血液型、保険証ID、及び更新日時の項目を含む。共通IDは、識別情報付与部425によって付与された共通IDである。
この例では、すべての患者の氏名及びマイナンバーが、秘匿化されていることを示すデータである文字列“秘匿情報”に変換されている。また、共通ID“11111234”の患者の住所は、簡略化された文字列“横浜市”に変換されており、共通ID“11111237”の患者の場合、すべての項目の情報が文字列“秘匿情報”に変換されている。
図17は、秘匿化個人情報811及び秘匿化個人情報812に含まれる診察テーブルの例を示している。図17の診察テーブルは、共通ID、病院ID、患者ID、処方、検査結果、病名、及び更新日時の項目を含む。
この例では、共通ID“11111234”の患者が、病院ID“98430”の病院では患者ID“594”の患者として登録され、病院ID“201”の病院では患者ID“1001”の患者として登録されている。また、病院ID“302”の病院では、同じ患者が患者ID“321”の患者として登録されている。そして、病院ID“302”の病院における処方、検査結果、及び病名が、文字列“秘匿情報”に変換されている。
このように、秘匿化個人情報811及び秘匿化個人情報812に対して共通IDを付与することで、複数の病院から収集した秘匿化個人情報の中から、同じ患者の情報を特定することができる。
ところで、各病院の個人情報611は、必ずしも同じデータ形式であるとは限らない。病院間で個人情報611のデータ形式が異なる場合、秘匿化部702は、各個人情報611のデータ形式を統一データ形式へ変換して、変換後の個人情報から秘匿化個人情報811及び秘匿化個人情報812を生成する。これにより、病院間におけるデータ形式の違いを吸収することができる。
例えば、各病院システム411−iのサーバ503は、運用DB511における個人情報531のデータ形式を統一データ形式へ変換する変換プログラムを生成して、事前にバックアップシステム412へ送信する。そして、VM424−iの秘匿化部702は、受信した変換プログラムを用いて、個人情報611のデータ形式を統一データ形式へ変換する。
図18は、データ形式を変換する処理の例を示している。この例では、病院A及び病院Bの個人情報611における生年月日の情報として、患者が生まれた「年」、「月」、及び「日」がそれぞれ個別の欄に記述されている。このうち、「年」の情報は、病院Aの個人情報611では西暦で記述され、病院Bの個人情報611では年号で記述されている。
病院Aの個人情報611を変換する場合、秘匿化部702は、個人情報611における「年(西暦)」、「月」、及び「日」のそれぞれの欄から文字列を読み取る。そして、秘匿化部702は、病院Aのサーバ503から受信した変換プログラムを用いて、文字列同士を記号“/”によって連結し、統一データ形式の「生年月日」の文字列を生成する。
一方、病院Bの個人情報611を変換する場合、秘匿化部702は、個人情報611における「年(年号)」、「月」、及び「日」のそれぞれの欄から文字列を読み取る。そして、秘匿化部702は、病院Bのサーバ503から受信した変換プログラムを用いて、年号の文字列を西暦の文字列に変換し、文字列同士を記号“/”によって連結して、統一データ形式の「生年月日」の文字列を生成する。
図4の情報処理システム401がモードM1で動作する場合、例えば、上述した(P11)〜(P23)と同様の手順で電子カルテの解析が行われる。一方、情報処理システム401がモードM2で動作する場合、例えば、以下の手順で電子カルテの解析が行われる。
(P51)情報解析機関の解析者は、PC432を用いて、情報解析機関が指定する加工テーブル714及び秘匿化程度情報715とともに、情報提供依頼をVM424−iへ送信する。
(P52)VM424−iの秘匿化部702は、秘匿化処理で参照する加工テーブルを、加工テーブル713から加工テーブル714へ切り替える。
(P53)秘匿化部702は、秘匿化処理で参照する秘匿化程度情報を、秘匿化程度情報612から秘匿化程度情報715へ切り替える。
(P54)VM424−iは、情報解析機関から情報提供依頼を受信した時点における最新の個人情報611をバックアップストレージ装置421−iへ転送するように、各病院の病院システム411−iに要求する。
(P55)病院システム411−iは、VM424−iからの要求に応じて、個人情報611をバックアップストレージ装置421−iへ転送する。
(P56)収集ストレージ装置433の検索部804は、情報提供依頼によって指定された収集期間と、収集DB801内に既に格納されている秘匿化個人情報811の各エントリの更新日時とを比較する。
(P57)検索部804は、情報提供依頼によって指定された収集期間と重複している期間内のエントリの複製を生成し、秘匿化個人情報812として収集DB802に格納する。これにより、モードM1で生成された秘匿化個人情報811を、モードM2の解析処理に流用することが可能になる。
(P58)VM424−iの比較部701は、バックアップDB602内の秘匿化程度情報612と、情報解析機関から受信した秘匿化程度情報715とを比較して、比較結果を生成する。
(P59)秘匿化部702は、比較部701が生成した比較結果に基づいて、重複している期間内の個人情報611のエントリに対して秘匿化処理を適用することで、秘匿化個人情報812を生成する。
(P60)転送部704は、秘匿化個人情報812を収集ストレージ装置433へ転送する。
(P61)収集ストレージ装置433は、受信した秘匿化個人情報812を収集DB802内の秘匿化個人情報812に上書きする。
(P62)秘匿化部702は、収集期間内の個人情報611のうち、収集ストレージ装置433によって未だ収集されていない期間内のエントリに対して、秘匿化処理を適用することで、秘匿化個人情報812を生成する。
(P63)転送部704は、秘匿化個人情報812を収集ストレージ装置433へ転送する。
(P64)収集ストレージ装置433は、受信した秘匿化個人情報812を収集DB802に格納する。
(P65)情報解析機関の解析者は、PC432を用いて、秘匿化個人情報812を解析し、解析結果をサーバ431に格納する。
(P59)〜(P61)において、秘匿化部702は、例えば、以下のような基準に従って、個人情報611に対して秘匿化処理を適用し、収集ストレージ装置433は、収集DB802内の秘匿化個人情報812を修正する。
(C1)情報解析機関の秘匿化程度情報715が“○”であり、バックアップDB602の秘匿化程度情報612が“○”である項目
秘匿化部702は、その項目の情報に対して秘匿化操作を適用せず、転送部704は、その項目の秘匿化情報を転送せず、収集ストレージ装置433は、収集DB802内のその項目の秘匿化情報を修正しない。
(C2)情報解析機関の秘匿化程度情報715が“○”であり、バックアップDB602の秘匿化程度情報612が“△”又は“×”である項目
秘匿化部702は、その項目の情報に対して秘匿化操作を適用せず、転送部704は、その項目の情報をそのまま転送し、収集ストレージ装置433は、受信した情報を収集DB802内のその項目の秘匿化情報に上書きする。
(C3)情報解析機関の秘匿化程度情報715が“△”であり、バックアップDB602の秘匿化程度情報612が“○”である項目
秘匿化部702は、その項目の情報に対して、加工テーブル714を用いた“△”の秘匿化操作を適用し、転送部704は、その項目の秘匿化情報を転送する。収集ストレージ装置433は、受信した秘匿化情報を収集DB802内のその項目の秘匿化情報に上書きする。
(C4)情報解析機関の秘匿化程度情報715が“△”であり、バックアップDB602の秘匿化程度情報612が“△”であり、加工テーブル714が加工テーブル713と同じである項目
秘匿化部702は、その項目の情報に対して秘匿化操作を適用せず、転送部704は、その項目の秘匿化情報を転送せず、収集ストレージ装置433は、収集DB802内のその項目の秘匿化情報を修正しない。
(C5)情報解析機関の秘匿化程度情報715が“△”であり、バックアップDB602の秘匿化程度情報612が“△”であり、加工テーブル714が加工テーブル713とは異なる項目
秘匿化部702は、その項目の情報に対して、加工テーブル714を用いた“△”の秘匿化操作を適用し、転送部704は、その項目の秘匿化情報を転送する。収集ストレージ装置433は、受信した秘匿化情報を収集DB802内のその項目の秘匿化情報に上書きする。
(C6)情報解析機関の秘匿化程度情報715が“△”であり、バックアップDB602の秘匿化程度情報612が“×”である項目
秘匿化部702は、その項目の情報に対して、加工テーブル714を用いた“△”の秘匿化操作を適用し、転送部704は、その項目の秘匿化情報を転送する。収集ストレージ装置433は、受信した秘匿化情報を収集DB802内のその項目の秘匿化情報に上書きする。
(C7)情報解析機関の秘匿化程度情報715が“×”であり、バックアップDB602の秘匿化程度情報612が“○”又は“△”である項目
秘匿化部702は、その項目の情報に対して“×”の秘匿化操作を適用し、転送部704は、その項目の秘匿化情報を転送し、収集ストレージ装置433は、受信した秘匿化情報を収集DB802内のその項目の秘匿化情報に上書きする。
(C8)情報解析機関の秘匿化程度情報715が“×”であり、バックアップDB602の秘匿化程度情報612が“×”である項目
秘匿化部702は、その項目の情報に対して秘匿化操作を適用せず、転送部704は、その項目の秘匿化情報を転送せず、収集ストレージ装置433は、収集DB802内のその項目の秘匿化情報を修正しない。
このような情報処理システム401によれば、情報解析機関によって指定された収集期間のうち、モードM1の秘匿化処理の対象となっている期間については、収集DB801内に既に格納されている秘匿化個人情報811を流用することができる。したがって、モードM1の秘匿化処理の対象となっていない期間の秘匿化個人情報812と、流用した秘匿化個人情報811の修正部分のみが、バックアップシステム412から解析システム413へ転送される。
これにより、モードM2の秘匿化処理においてバックアップシステム412から解析システム413へ転送される秘匿化個人情報812のデータ量を削減することができる。したがって、バックアップシステム412と解析システム413との間の通信ネットワークの負荷が軽減され、図1の情報処理システム101と比較して性能及び安定性が向上する。
また、収集DB801内に既に格納されている秘匿化個人情報811のうち、情報解析機関が要求する秘匿化程度とは異なる秘匿化操作が適用された項目については、VM424−iにおいて再度秘匿化処理が行われる。したがって、情報解析機関が要求する秘匿化程度が、患者が指定した秘匿化程度とは異なる場合であっても、情報解析機関が要求する秘匿化程度に対応する秘匿化個人情報812を、収集DB802に格納することができる。
次に、図19及び図20A〜図20Lを参照しながら、図4の情報処理システム401の動作についてより詳細に説明する。
図19は、モードM1における情報提供シーケンスの例を示している。病院システム411−1のPC501及びPC502内には、アプリケーションである電子カルテクライアント1901及び電子カルテクライアント1902がそれぞれインストールされている。
まず、電子カルテクライアント1901は、事務職員又は患者の操作に基づいて、患者によって指定された秘匿化程度情報を、サーバ503の電子カルテ521に入力する(ステップ1911)。そして、サーバ503は、電子カルテ521に入力された秘匿化程度情報を、秘匿化程度情報532として運用ストレージ装置504の運用DB512に書き込む(ステップ1912)。
次に、電子カルテクライアント1902は、医師の操作に基づいて、電子カルテ521に患者の診察情報を入力する(ステップ1911)。そして、サーバ503は、電子カルテ521に入力された診察情報を、個人情報531として運用ストレージ装置504の運用DB511に書き込む(ステップ1922)。
その後、各病院のシステム管理者は、定期的にバックアップを実行する。このとき、サーバ503は、個人情報531のバックアップ指示を運用ストレージ装置504へ送信する(ステップ1931)。そして、運用ストレージ装置504は、個人情報531の複製を、個人情報611としてバックアップストレージ装置421−1のバックアップDB601に書き込む(ステップ1932)。
次に、サーバ503は、秘匿化程度情報532のバックアップ指示を運用ストレージ装置504へ送信する(ステップ1941)。そして、運用ストレージ装置504は、秘匿化程度情報532の複製を、秘匿化程度情報612としてバックアップストレージ装置421−1のバックアップDB602に書き込む(ステップ1942)。
病院システム411−2〜病院システム411−Mにおいても、図19と同様の情報提供シーケンスによって、個人情報531及び秘匿化程度情報532が運用ストレージ装置504に書き込まれる。そして、個人情報611及び秘匿化程度情報612がバックアップストレージ装置421−1に書き込まれる。
例えば、情報処理システム401は、通常時にはモードM1の秘匿化処理を実行しており、緊急時に情報解析機関から依頼を受けた場合、モードM2の秘匿化処理を優先的に実行する。この場合、情報処理システム401は、すべての病院についてのモードM1の秘匿化処理を中断して、モードM2の秘匿化処理を開始する。
図20A〜図20Lは、モードM2における動作シーケンスの例を示している。まず、解析システム413の解析アプリケーション2001は、情報解析機関の解析者の操作に基づいて、収集DB生成要求を収集ストレージ装置433へ送信する(ステップ2011)。収集ストレージ装置433は、収集DB802を生成する(ステップ2012)。
次に、解析アプリケーション2001は、解析者の操作に基づいて、加工テーブル714を生成して、収集ストレージ装置433へ送信する(ステップ2013)。収集ストレージ装置433は、受信した加工テーブル714を格納する(ステップ2014)。
次に、解析アプリケーション2001は、解析者の操作に基づいて、秘匿化程度情報715を生成して、収集ストレージ装置433へ送信する(ステップ2015)。収集ストレージ装置433は、受信した秘匿化程度情報715を格納する(ステップ2016)。
次に、解析アプリケーション2001は、解析者の操作に基づいて、加工テーブル714及び秘匿化程度情報715とともに、収集期間を含む情報提供依頼をバックアップシステム412のVM424−1へ送信する(ステップ2017)。
VM424−1の秘匿化部702は、モードM1における秘匿化処理を中断して(ステップ2018)、秘匿化処理で参照する加工テーブルを、加工テーブル713から加工テーブル714へ切り替える(ステップ2019)。次に、秘匿化部702は、秘匿化処理で参照する秘匿化程度情報を、秘匿化程度情報612から秘匿化程度情報715へ切り替える(ステップ2020)。
次に、秘匿化部702は、秘匿化処理で参照する日時テーブルを、日時テーブル711から日時テーブル712へ切り替える(ステップ2021)。このとき、日時管理部703は、情報提供依頼に含まれる収集期間の収集開始日時よりも前の日時を、日時テーブル712の秘匿化完了日時に設定し、収集終了日時を秘匿化目標日時に設定する。そして、日時管理部703は、処理完了フラグに“false”を設定する。
次に、秘匿化部702は、秘匿化個人情報の転送先を、収集DB801から収集DB802へ切り替える(ステップ2022)。
次に、収集ストレージ装置433の収集部803は、バックアップDB601の最新化依頼をバックアップシステム412へ送信し(ステップ2031)、転送部704は、最新化依頼を病院システム411−1へ転送する。
病院システム411−1のサーバ503は、バックアップDB601の最新化が可能か否かを判定する(ステップ2032)。サーバ503は、バックアップDB601の個人情報611が最新ではなく、かつ、個人情報611のバックアップが即時可能である場合、最新化が可能であると判定する。また、サーバ503は、バックアップDB601の個人情報611が最新である場合、又は、個人情報611のバックアップが即時可能ではない場合、最新化が不可能であると判定する。
最新化が可能である場合(ステップ2032,YES)、サーバ503は、個人情報531のバックアップ指示を運用ストレージ装置504へ送信する(ステップ2033)。そして、運用ストレージ装置504は、個人情報531の複製を、個人情報611としてバックアップストレージ装置421−1のバックアップDB601に書き込む(ステップ2034)。
次に、サーバ503は、秘匿化程度情報532のバックアップ指示を運用ストレージ装置504へ送信する(ステップ2035)。そして、運用ストレージ装置504は、秘匿化程度情報532の複製を、秘匿化程度情報612としてバックアップストレージ装置421−1のバックアップDB602に書き込む(ステップ2036)。
そして、サーバ503は、最新化完了を示す応答を収集部803へ送信する(ステップ2037)。一方、最新化が不可能である場合(ステップ2032,NO)、サーバ503は、直ちに、最新化完了を示す応答を収集部803へ送信する(ステップ2037)。
次に、収集部803は、収集DB801内の秘匿化個人情報811の複製を、検索部804に対して指示する(ステップ2041)。検索部804は、収集DB801内の秘匿化個人情報811から更新日時を取得する(ステップ2042)。そして、検索部804は、取得した更新日時と情報提供依頼に含まれる収集期間とを比較し(ステップ2043)、収集期間内の更新日時を有する秘匿化個人情報811のエントリが存在するか否かをチェックする(ステップ2044)。
収集期間内の更新日時を有するエントリが存在する場合(ステップ2044,YES)、検索部804は、そのエントリの複製を生成し(ステップ2045)、秘匿化個人情報812として収集DB802に格納する(ステップ2046)。そして、検索部804は、複製完了を収集部803に通知する(ステップ2047)。
次に、収集部803は、VM424−1に対して、収集DB802と秘匿化部702との間のコネクションの確立を指示する(ステップ2048)。そして、収集部803は、収集DB802と秘匿化部702との間のコネクションを確立し(ステップ2049)、VM424−1も、収集DB802と秘匿化部702との間のコネクションを確立する(ステップ2050)。
次に、秘匿化部702は、バックアップDB601内の個人情報611のうち収集期間内の更新日時を有するエントリから、患者IDを取得する(ステップ2051)。そして、秘匿化部702は、バックアップDB602内の秘匿化程度情報612と、解析システム413から受信した秘匿化程度情報715との比較を、比較部701に対して依頼する(ステップ2052)。
比較部701は、秘匿化部702から患者IDを取得し(ステップ2053)、取得した患者IDに対応する秘匿化程度情報612を、バックアップDB602から取得する(ステップ2054)。そして、比較部701は、秘匿化程度情報715をメモリ705から取得し(ステップ2055)、加工テーブル713をメモリ705から取得し(ステップ2056)、加工テーブル714をメモリ705から取得する(ステップ2057)。
次に、比較部701は、取得した患者ID毎に、秘匿化程度情報612と秘匿化程度情報715とを比較し(ステップ2058)、両方の秘匿化程度が“△”であるか否かをチェックする(ステップ2059)。
両方の秘匿化程度が“△”である場合(ステップ2059,YES)、比較部701は、加工テーブル713と加工テーブル714とを比較する(ステップ2060)。そして、比較部701は、比較結果を生成して秘匿化部702へ転送し(ステップ2061)、秘匿化部702は、比較結果を受信する(ステップ2062)。両方又は一方の秘匿化程度が“△”ではない場合(ステップ2059,NO)、比較部701は、ステップ2061の処理を行う。
生成された比較結果には、個人情報611の患者ID及び項目毎に、秘匿化程度情報612が示す秘匿化程度及び秘匿化程度情報715が示す秘匿化程度の組み合わせと、加工テーブル713及び加工テーブル714が同じであるか否かを示す情報とが含まれる。
ステップ2051において、収集期間内の更新日時を有するエントリのみから患者IDを取得することで、比較対象となる秘匿化程度情報612を、その患者の秘匿化程度情報612のみに絞り込むことができる。したがって、比較対象のデータ量が減少し、比較処理が効率化される。
次に、秘匿化部702は、比較結果を参照して、収集期間内の更新日時を有する個人情報611の各エントリの各項目について、その項目の情報又は加工した情報を収集ストレージ装置433へ再度転送するか否かを判定する(ステップ2071)。
処理対象の項目に対する比較結果が上記(C2)、(C3)、(C5)、又は(C6)の条件を満たす場合、秘匿化部702は、情報を再度転送すると判定する。一方、処理対象の項目に対する比較結果が上記(C1)、(C4)、(C7)、又は(C8)の条件を満たす場合、秘匿化部702は、情報を再度転送しないと判定する。
情報を再度転送する場合(ステップ2071,YES)、秘匿化部702は、バックアップDB601内の個人情報611から、処理対象のエントリを取得する(ステップ2072)。そして、秘匿化部702は、病院システム411−1の変換プログラムを用いて、取得したエントリの処理対象の項目のデータ形式を統一データ形式へ変換する(ステップ2073)。
次に、秘匿化部702は、取得したエントリに含まれる個人IDを用いて、サーバ423の識別情報付与部425に対して、個人IDに対応する共通IDを問い合わせる(ステップ2074)。
識別情報付与部425は、IDテーブル426から、個人IDに対応する共通IDを検索し(ステップ2075)、その共通IDが存在するか否かをチェックする(ステップ2076)。個人IDに対応する共通IDが存在する場合(ステップ2076,YES)、識別情報付与部425は、その共通IDを秘匿化部702に通知する(ステップ2077)。
一方、個人IDに対応する共通IDが存在しない場合(ステップ2076,NO)、識別情報付与部425は、その個人IDに対して新たな共通IDを付与する(ステップ2078)。そして、識別情報付与部425は、その個人IDと付与した共通IDとの対応関係をIDテーブル426に登録し(ステップ2079)、付与した共通IDを秘匿化部702に通知する(ステップ2077)。
次に、秘匿化部702は、識別情報付与部425から通知された共通IDを、取得したエントリに設定する(ステップ2080)。そして、秘匿化部702は、比較結果を参照して、処理対象の項目の情報を再度秘匿化するか否かを判定する(ステップ2081)。
処理対象の項目に対する比較結果が上記(C3)、(C5)、又は(C6)の条件を満たす場合、秘匿化部702は、情報を再度秘匿化すると判定する。一方、処理対象の項目に対する比較結果が上記(C2)の条件を満たす場合、秘匿化部702は、情報を再度秘匿化しないと判定する。
情報を再度秘匿化しない場合(ステップ2081,NO)、秘匿化部702は、処理対象の項目の情報をそのまま転送部704へ転送する(ステップ2082)。そして、転送部704は、受信した情報に病院IDを付与して、解析システム413の収集ストレージ装置433へ転送する(ステップ2083)。収集ストレージ装置433は、転送部704から受信した情報を、収集DB802内の秘匿化個人情報812に含まれる処理対象の項目の秘匿化情報に上書きする。
一方、情報を再度秘匿化する場合(ステップ2081,YES)、秘匿化部702は、加工テーブル714を取得し(ステップ2084)、処理対象の項目の情報を、加工テーブル714を用いて簡略化された情報に変換する(ステップ2085)。そして、秘匿化部702は、変換後の情報を転送部704へ転送し(ステップ2086)、転送部704は、受信した情報に病院IDを付与して、収集ストレージ装置433へ転送する(ステップ2087)。収集ストレージ装置433は、転送部704から受信した情報を、収集DB802内の秘匿化個人情報812に含まれる処理対象の項目の秘匿化情報に上書きする。
次に、秘匿化部702は、収集期間内の更新日時を有するエントリの未処理の項目が存在するか否かをチェックする(ステップ2095)。未処理の項目又はエントリが存在する場合(ステップ2095,YES)、秘匿化部702は、次の項目についてステップ2071以降の処理を繰り返す。
情報を再度転送しない場合(ステップ2071,NO)、秘匿化部702は、比較結果を参照して、処理対象の項目の情報の秘匿化程度が“○”又は“△”から“×”に変更されたか否かを判定する(ステップ2091)。
処理対象の項目に対する比較結果が上記(C7)の条件を満たす場合、秘匿化部702は、秘匿化程度が“×”に変更されたと判定する。一方、処理対象の項目に対する比較結果が上記(C1)、(C4)、又は(C8)の条件を満たす場合、秘匿化部702は、秘匿化程度が“×”に変更されていないと判定する。
秘匿化程度が“×”に変更された場合(ステップ2091,YES)、秘匿化部702は、処理対象の項目の情報を、秘匿化されていることを示すデータに変換する(ステップ2092)。そして、秘匿化部702は、変換後の情報を転送部704へ転送し(ステップ2093)、転送部704は、受信した情報に病院IDを付与して、収集ストレージ装置433へ転送する(ステップ2094)。収集ストレージ装置433は、転送部704から受信した情報を、収集DB802内の秘匿化個人情報812に含まれる処理対象の項目の秘匿化情報に上書きする。
一方、秘匿化程度が“×”に変更されていない場合(ステップ2091,NO)、秘匿化部702は、ステップ2095以降の処理を行う。
収集期間内の更新日時を有するすべてのエントリのすべての項目を処理した場合(ステップ2095,NO)、秘匿化部702は、収集期間と重複していない期間の個人情報611のエントリが存在するか否かをチェックする(ステップ2101)。収集期間よりも後の更新日時を有するエントリは、収集期間と重複していない期間のエントリに該当する。収集期間と重複していない期間のエントリが存在しない場合(ステップ2101,NO)、秘匿化部702は、ステップ2161以降の処理を行う。
一方、収集期間と重複していない期間のエントリが存在する場合(ステップ2101,YES)、日時管理部703は、日時テーブル711から秘匿化完了日時を取得して、取得した秘匿化完了日時を日時テーブル712に記録する(ステップ2102)。そして、日時管理部703は、秘匿化部702から収集期間の最終日時を取得して、取得した最終日時を日時テーブル712の秘匿化目標日時に記録し、処理完了フラグに“false”を設定する(ステップ2103)。
ステップ2044において、収集期間内の更新日時を有するエントリが存在しない場合(ステップ2044,NO)、収集部803は、VM424−1に対して、収集DB802と秘匿化部702との間のコネクションの確立を指示する(ステップ2104)。そして、収集部803は、収集DB802と秘匿化部702との間のコネクションを確立し(ステップ2105)、VM424−1も、収集DB802と秘匿化部702との間のコネクションを確立する(ステップ2106)。そして、VM424−1は、ステップ2102以降の処理を行う。
次に、秘匿化部702は、日時管理部703に対して秘匿化処理を実施するか否かを問い合わせる(ステップ2111)。
日時管理部703は、日時テーブル712から秘匿化完了日時及び秘匿化目標日時を取得する(ステップ2112)。そして、日時管理部703は、秘匿化完了日時と秘匿化目標日時を比較して、秘匿化処理を実施するか否かを示す応答を秘匿化部702へ送信する(ステップ2113)。日時管理部703は、秘匿化目標日時が秘匿化完了日時よりも後である場合、秘匿化処理を実施すると判定し、秘匿化目標日時が秘匿化完了日時以前である場合、秘匿化処理を実施しないと判定する。
次に、秘匿化部702は、日時管理部703から受信した応答をチェックし(ステップ2114)、秘匿化処理を実施する場合(ステップ2114,YES)、バックアップストレージ装置421−1に対するコネクションを確立する(ステップ2115)。一方、秘匿化処理を実施しない場合(ステップ2114,NO)、秘匿化部702は、ステップ2161以降の処理を行う。
次に、秘匿化部702は、日時管理部703を介して日時テーブル712から秘匿化完了日時を取得する(ステップ2121)。そして、秘匿化部702は、バックアップDB601の個人情報611から、更新日時が秘匿化完了日時よりも新しいエントリを検索し(ステップ2122)、そのようなエントリが存在するか否かをチェックする(ステップ2123)。
秘匿化完了日時よりも新しいエントリが存在する場合(ステップ2123,YES)、秘匿化部702は、個人情報611からそのエントリを取得する(ステップ2124)。そして、秘匿化部702は、病院システム411−1の変換プログラムを用いて、取得したエントリのデータ形式を統一データ形式へ変換する(ステップ2125)。
一方、秘匿化完了日時よりも新しいエントリが存在しない場合(ステップ2123,NO)、秘匿化部702は、処理完了通知を日時管理部703へ送信し(ステップ2126)、ステップ2161以降の処理を行う。そして、日時管理部703は、日時テーブル712の処理完了フラグに“true”を設定する(ステップ2127)。
ステップ2125の処理を行った後、秘匿化部702は、取得したエントリに含まれる個人IDを用いて、サーバ423の識別情報付与部425に対して、個人IDに対応する共通IDを問い合わせる(ステップ2131)。
識別情報付与部425は、IDテーブル426から、個人IDに対応する共通IDを検索し(ステップ2132)、その共通IDが存在するか否かをチェックする(ステップ2133)。個人IDに対応する共通IDが存在する場合(ステップ2133,YES)、識別情報付与部425は、その共通IDを秘匿化部702に通知する(ステップ2134)。
一方、個人IDに対応する共通IDが存在しない場合(ステップ2133,NO)、識別情報付与部425は、その個人IDに対して新たな共通IDを付与する(ステップ2135)。そして、識別情報付与部425は、その個人IDと付与した共通IDとの対応関係をIDテーブル426に登録し(ステップ2136)、付与した共通IDを秘匿化部702に通知する(ステップ2134)。
次に、秘匿化部702は、識別情報付与部425から通知された共通IDを、取得したエントリに設定する(ステップ2137)。そして、秘匿化部702は、秘匿化程度情報715を取得して(ステップ2138)、項目毎に記号が“○”であるか否かをチェックする(ステップ2141)。
記号が“○”である場合(ステップ2141,YES)、秘匿化部702は、エントリに含まれるその項目の情報をそのまま転送部704へ転送する(ステップ2142)。そして、転送部704は、受信した情報に病院IDを付与して、解析システム413の収集ストレージ装置433へ転送する(ステップ2143)。一方、記号が“○”ではない場合(ステップ2141,NO)、秘匿化部702は、記号が“△”であるか否かをチェックする(ステップ2144)。
記号が“△”である場合(ステップ2144,YES)、秘匿化部702は、加工テーブル714を取得し(ステップ2145)、エントリに含まれるその項目の情報を、加工テーブル714を用いて簡略化された情報に変換する(ステップ2146)。そして、秘匿化部702は、変換後の情報を転送部704へ転送し(ステップ2147)、転送部704は、受信した情報に病院IDを付与して、収集ストレージ装置433へ転送する(ステップ2148)。
一方、記号が“△”ではない場合(ステップ2144,NO)、秘匿化部702は、エントリに含まれるその項目の情報を、秘匿化されていることを示すデータに変換する(ステップ2149)。そして、秘匿化部702は、変換後の情報を転送部704へ転送し(ステップ2150)、転送部704は、受信した情報に病院IDを付与して、収集ストレージ装置433へ転送する(ステップ2151)。
収集ストレージ装置433は、転送部704から受信した各項目の情報及び病院IDを、個人情報611に対応する秘匿化個人情報812のエントリとして、収集DB802に格納する。
次に、秘匿化部702は、日時テーブル712の更新要求を日時管理部703へ送信する(ステップ2152)。このとき、日時管理部703は、転送が完了したエントリの更新日時のうち最も遅い更新日時を、日時テーブル712の秘匿化完了日時に設定する。最も遅い更新日時を有するエントリが複数個存在する場合、日時管理部703は、転送が完了したエントリの順位を表す番号を、設定した秘匿化完了日時に対応する同時刻連番に設定する。
次に、秘匿化部702は、ステップ2111以降の処理を繰り返す。そして、秘匿化処理を実施しないことを示す応答を受信した場合(ステップ2114,NO)、又は秘匿化完了日時よりも新しいエントリが存在しない場合(ステップ2123,NO)、情報処理システム401は、ステップ2161以降の処理を行う。
VM424−2〜VM424−Mも図20A〜図20Kと同様の動作を行って、バックアップストレージ装置421−2〜バックアップストレージ装置421−M内の個人情報611から秘匿化個人情報812を生成する。
次に、PC432の解析アプリケーション2001は、解析者の操作に基づいて、収集ストレージ装置433の収集DB802から、秘匿化個人情報812を取得し(ステップ2161)、収集完了通知をVM424−1へ送信する(ステップ2162)。そして、解析アプリケーション2001は、解析者の操作に基づいて、秘匿化個人情報812を解析し(ステップ2163)、解析結果2002をサーバ431に格納する(ステップ2164)。
収集完了通知を受信したVM424−1の秘匿化部702は、秘匿化個人情報の転送先を、収集DB802から元の収集DB801へ切り替える(ステップ2171)。次に、秘匿化部702は、秘匿化処理で参照する加工テーブルを、加工テーブル714から元の加工テーブル713へ切り替える(ステップ2172)。
次に、秘匿化部702は、秘匿化処理で参照する秘匿化程度情報を、秘匿化程度情報715から元の秘匿化程度情報612へ切り替える(ステップ2173)。次に、秘匿化部702は、秘匿化処理で参照する日時テーブルを、日時テーブル712から元の日時テーブル711へ切り替える(ステップ2174)。
次に、秘匿化部702は、日時管理部703に対して、モードM1における秘匿化処理を中断した箇所を問い合わせる(ステップ2175)。日時管理部703は、日時テーブル711の処理完了フラグに“false”が設定されている場合、病院ID、秘匿化完了日時、及び同時刻連番を含む応答を、秘匿化部702へ送信する(ステップ2176)。
処理完了フラグ“false”は、モードM1における秘匿化処理が中断されたことを示しており、秘匿化完了日時及び同時刻連番は、個人情報611における中断箇所を表している。
秘匿化部702は、個人情報611のうち、応答に含まれる秘匿化完了日時以降の更新日時を有するエントリを対象として、モードM1における秘匿化処理を再開する(ステップ2177)。秘匿化完了日時と同じ更新日時を有するエントリが複数個存在する場合は、同時刻連番が示す順位の次のエントリから、秘匿化処理が再開される。一方、秘匿化完了日時と同じ更新日時を有するエントリが1個のみ存在する場合は、次の更新日時を有するエントリから、秘匿化処理が再開される。VM424−2〜VM424−Mも図20Lと同様の動作を行って、モードM1における秘匿化処理を再開する。
なお、各病院のVM424−iの代わりにコンテナ等を用いて、各病院の情報処理装置を仮想化してもよい。コンテナを用いた仮想化によって、秘匿化処理をさらに高速化することができる。
図4の情報処理システム401において、情報提供機関は、患者の診察情報を提供する病院以外の機関であってもよい。例えば、顧客の購買情報を提供する店舗、生徒の成績情報を提供する学校、予備校等の教育機関、又は顧客の預金残高、取引実績等を提供する銀行等の金融機関を、情報提供機関の例として挙げることができる。
情報提供機関が店舗である場合、顧客の購買情報が個人情報として収集され、顧客の嗜好等を表す解析結果が、レストラン等の情報利用者に対して提供される。情報提供機関が教育機関である場合、生徒の成績情報が個人情報として収集され、科目毎の傾向等を表す解析結果が、教育資材製作会社等の情報利用者に対して提供される。情報提供機関が金融機関である場合、顧客の預金残高、取引実績等が個人情報として収集され、ローンの利用状況等を表す解析結果が、ローン会社等の情報利用者に対して提供される。
図2の情報処理システム201及び図4の情報処理システム401の構成は一例に過ぎず、情報処理システムの用途又は条件に応じて一部の構成要素を省略又は変更してもよい。例えば、図4の情報処理システム401において、バックアップストレージ装置421−1がすべての病院のバックアップDB601及びバックアップDB602を格納できる場合は、他のバックアップストレージ装置を省略することができる。サーバ422−1内でVM424−1〜VM424−Mが動作できる場合は、サーバ422−2〜サーバ422−Mを省略することができる。
図5の病院システム411−i及び図6のバックアップストレージ装置421−iの構成は一例に過ぎず、情報処理システム401の用途又は条件に応じて一部の構成要素を省略又は変更してもよい。図7のVM424−i及び図8の収集ストレージ装置433の構成は一例に過ぎず、情報処理システム401の用途又は条件に応じて一部の構成要素を省略又は変更してもよい。
図3のフローチャート及び図19〜図20Lの動作シーケンスは一例に過ぎず、情報処理システムの構成又は条件に応じて一部の処理を省略又は変更してもよい。
図9及び図10の個人情報、図11及び図12の秘匿化程度情報、図15の加工テーブル、図16及び図17の秘匿化個人情報は一例に過ぎず、これらの情報は個人情報の内容に応じて変化する。図13のIDテーブルは一例に過ぎず、別の形式のIDテーブルを用いることもできる。例えば、マイナンバー以外の氏名、保険証ID等の情報を個人IDとして用いてもよい。図14の日時テーブルは一例に過ぎず、別の形式の日時テーブルを用いることもできる。図18のデータ形式を変換する処理は一例に過ぎず、データ形式は項目に応じて変化する。
図21は、図2の情報処理装置212、図4のサーバ422−i、サーバ423、及び収集ストレージ装置433として用いられる情報処理装置のハードウェア構成例を示している。図22の情報処理装置は、Central Processing Unit(CPU)2201、メモリ2202、入力装置2203、出力装置2204、補助記憶装置2205、媒体駆動装置2206、及びネットワーク接続装置2207を含む。これらの構成要素はバス2208により互いに接続されている。
メモリ2202は、例えば、Read Only Memory(ROM)、Random Access Memory(RAM)、フラッシュメモリ等の半導体メモリであり、処理に用いられるプログラム及びデータを格納する。メモリ2202は、図2の記憶部224として用いることができる。
CPU2201(プロセッサ)は、例えば、メモリ2202を利用してプログラムを実行することにより、図2の比較部221及び秘匿化部222として動作する。CPU2201は、メモリ2202を利用してプログラムを実行することにより、図8の収集部803及び検索部804としても動作する。CPU2201は、メモリ2202を利用してプログラムを実行することにより、図4のVM424−iを動作させる。
入力装置2203は、例えば、キーボード、ポインティングデバイス等であり、オペレータ又はユーザからの指示又は情報の入力に用いられる。出力装置2204は、例えば、表示装置、プリンタ、スピーカ等であり、オペレータ又はユーザに対する問い合わせ又は処理結果の出力に用いられる。
補助記憶装置2205は、例えば、磁気ディスク装置、光ディスク装置、光磁気ディスク装置、テープ装置等である。補助記憶装置2205は、ハードディスクドライブであってもよい。情報処理装置は、補助記憶装置2205にプログラム及びデータを格納しておき、それらをメモリ2202にロードして使用することができる。補助記憶装置2205は、図2の記憶部224として用いることができる。
媒体駆動装置2206は、可搬型記録媒体2209を駆動し、その記録内容にアクセスする。可搬型記録媒体2209は、メモリデバイス、フレキシブルディスク、光ディスク、光磁気ディスク等である。可搬型記録媒体2209は、DVD、Compact Disk Read Only Memory(CD−ROM)、Universal Serial Bus(USB)メモリ等であってもよい。オペレータ又はユーザは、この可搬型記録媒体2209にプログラム及びデータを格納しておき、それらをメモリ2202にロードして使用することができる。
このように、処理に用いられるプログラム及びデータを格納するコンピュータ読み取り可能な記録媒体は、メモリ2202、補助記憶装置2205、又は可搬型記録媒体2209のような、物理的な(非一時的な)記録媒体である。
ネットワーク接続装置2207は、LAN、Wide Area Network(WAN)等の通信ネットワークに接続され、通信に伴うデータ変換を行う通信インタフェースである。ネットワーク接続装置2207は、図2の転送部223として用いることができる。情報処理装置は、プログラム及びデータを外部の装置からネットワーク接続装置2207を介して受信し、それらをメモリ2202にロードして使用することができる。
なお、情報処理装置が図21のすべての構成要素を含む必要はなく、用途又は条件に応じて一部の構成要素を省略することも可能である。例えば、オペレータ又はユーザからの指示又は情報を入力する必要がない場合は、入力装置2203を省略してもよく、オペレータ又はユーザに対する問い合わせ又は処理結果を出力する必要がない場合は、出力装置2204を省略してもよい。可搬型記録媒体2209を利用しない場合は、媒体駆動装置2206を省略してもよい。
図4のサーバ431、PC432、図5のPC501、PC502、及びサーバ503としては、図21と同様の情報処理装置を用いることができる。
開示の実施形態とその利点について詳しく説明したが、当業者は、特許請求の範囲に明確に記載した本発明の範囲から逸脱することなく、様々な変更、追加、省略をすることができるであろう。
図1乃至図22を参照しながら説明した実施形態に関し、さらに以下の付記を開示する。
(付記1)
情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成する秘匿化部と、
前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報を記憶する記憶部と、
情報解析機関が使用するストレージ装置へ前記第1秘匿化個人情報を転送する転送部と、
前記第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成する比較部とを備え、
前記秘匿化部は、前記比較結果に基づいて前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、
前記転送部は、前記ストレージ装置へ前記第2秘匿化個人情報を転送することを特徴とする情報処理装置。
(付記2)
前記第1秘匿化程度情報及び前記第2秘匿化程度情報は、前記個人情報に含まれる複数の項目それぞれについて適用される秘匿化操作を指定し、
前記比較結果は、前記複数の項目それぞれについて、前記第1秘匿化程度情報が指定する秘匿化操作と前記第2秘匿化程度情報が指定する秘匿化操作とが同じであるか否かを示し、
前記秘匿化部は、前記複数の項目のうち第1項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが異なっている場合、前記個人情報に含まれる前記第1項目の情報に対して、前記第2秘匿化程度情報が指定する前記秘匿化操作を適用することで、前記第1項目の秘匿化情報を生成し、
前記転送部は、前記第1項目の前記秘匿化情報を前記ストレージ装置へ転送することを特徴とする付記1記載の情報処理装置。
(付記3)
前記秘匿化部は、前記複数の項目のうち第2項目について、前記第1秘匿化程度情報が秘匿化を行うことを示し、前記第2秘匿化程度情報が秘匿化を行わないことを示している場合、前記第2秘匿化処理において、前記個人情報に含まれる前記第2項目の情報を秘匿化せず、
前記転送部は、前記第2項目の情報を前記ストレージ装置へ転送することを特徴とする付記2記載の情報処理装置。
(付記4)
前記秘匿化部は、前記複数の項目のうち第3項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが同じである場合、前記第2秘匿化処理において、前記個人情報に含まれる前記第3項目の情報を秘匿化せず、
前記転送部は、前記第3項目の秘匿化情報を前記ストレージ装置へ転送しないことを特徴とする付記2又は3記載の情報処理装置。
(付記5)
前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作は、前記第1項目の情報を簡略化する処理、又は前記第1項目の情報を秘匿化されていることを示すデータに変換する処理であることを特徴とする付記2乃至4のいずれか1項に記載の情報処理装置。
(付記6)
情報提供機関から提供される個人情報を格納する第1ストレージ装置と、
情報解析機関が使用する第2ストレージ装置と、
前記第1ストレージ装置が格納する前記個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成し、前記第2ストレージ装置へ前記第1秘匿化個人情報を転送し、前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報(231)と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較した比較結果に基づいて、前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、前記第2ストレージ装置へ前記第2秘匿化個人情報を転送する情報処理装置と、
を備えることを特徴とする情報処理システム。
(付記7)
前記第1秘匿化程度情報及び前記第2秘匿化程度情報は、前記個人情報に含まれる複数の項目それぞれについて適用される秘匿化操作を指定し、
前記比較結果は、前記複数の項目それぞれについて、前記第1秘匿化程度情報が指定する秘匿化操作と前記第2秘匿化程度情報が指定する秘匿化操作とが同じであるか否かを示し、
前記情報処理装置は、前記複数の項目のうち第1項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが異なっている場合、前記個人情報に含まれる前記第1項目の情報に対して、前記第2秘匿化程度情報が指定する前記秘匿化操作を適用することで、前記第1項目の秘匿化情報を生成し、前記第1項目の前記秘匿化情報を前記第2ストレージ装置へ転送することを特徴とする付記6記載の情報処理システム。
(付記8)
前記情報処理装置は、前記複数の項目のうち第2項目について、前記第1秘匿化程度情報が秘匿化を行うことを示し、前記第2秘匿化程度情報が秘匿化を行わないことを示している場合、前記第2秘匿化処理において、前記個人情報に含まれる前記第2項目の情報を秘匿化せず、前記第2項目の情報を前記第2ストレージ装置へ転送することを特徴とする付記7記載の情報処理システム。
(付記9)
前記情報処理装置は、前記複数の項目のうち第3項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが同じである場合、前記第2秘匿化処理において、前記個人情報に含まれる前記第3項目の情報を秘匿化せず、前記第3項目の秘匿化情報を前記第2ストレージ装置へ転送せず、
前記第2ストレージ装置は、前記第1秘匿化個人情報に含まれる前記第3項目の秘匿化情報を、前記第2秘匿化個人情報における前記第3項目の秘匿化情報として用いることを特徴とする付記7又は8記載の情報処理システム。
(付記10)
前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作は、前記第1項目の情報を簡略化する処理、又は前記第1項目の情報を秘匿化されていることを示すデータに変換する処理であることを特徴とする付記7乃至9のいずれか1項に記載の情報処理システム。
(付記11)
情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成し、
情報解析機関が使用するストレージ装置へ前記第1秘匿化個人情報を転送し、
前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成し、
前記比較結果に基づいて前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、
前記ストレージ装置へ前記第2秘匿化個人情報を転送する、
処理をコンピュータに実行させるプログラム。
(付記12)
前記第1秘匿化程度情報及び前記第2秘匿化程度情報は、前記個人情報に含まれる複数の項目それぞれについて適用される秘匿化操作を指定し、
前記比較結果は、前記複数の項目それぞれについて、前記第1秘匿化程度情報が指定する秘匿化操作と前記第2秘匿化程度情報が指定する秘匿化操作とが同じであるか否かを示し、
前記コンピュータは、前記複数の項目のうち第1項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが異なっている場合、前記個人情報に含まれる前記第1項目の情報に対して、前記第2秘匿化程度情報が指定する前記秘匿化操作を適用することで、前記第1項目の秘匿化情報を生成し、前記第1項目の前記秘匿化情報を前記ストレージ装置へ転送することを特徴とする付記11記載のプログラム。
(付記13)
コンピュータが、
情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成し、
情報解析機関が使用するストレージ装置へ前記第1秘匿化個人情報を転送し、
前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成し、
前記比較結果に基づいて前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、
前記ストレージ装置へ前記第2秘匿化個人情報を転送する、
ことを特徴とする情報処理方法。
(付記14)
前記第1秘匿化程度情報及び前記第2秘匿化程度情報は、前記個人情報に含まれる複数の項目それぞれについて適用される秘匿化操作を指定し、
前記比較結果は、前記複数の項目それぞれについて、前記第1秘匿化程度情報が指定する秘匿化操作と前記第2秘匿化程度情報が指定する秘匿化操作とが同じであるか否かを示し、
前記コンピュータは、前記複数の項目のうち第1項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが異なっている場合、前記個人情報に含まれる前記第1項目の情報に対して、前記第2秘匿化程度情報が指定する前記秘匿化操作を適用することで、前記第1項目の秘匿化情報を生成し、前記第1項目の前記秘匿化情報を前記ストレージ装置へ転送することを特徴とする付記13記載の情報処理方法。
101、201、401 情報処理システム
111−1〜111−M、411−1〜411−M 病院システム
112、412 バックアップシステム
113、413 解析システム
121−1〜121−M、421−1〜421−M バックアップストレージ装置
122−1〜122−N、422−1〜422−N、123、131、503 サーバ
124−1〜124−M、424−1〜424−M VM
125、425 識別情報付与部
126、426 IDテーブル
132、432、501、502 PC
133、433 収集ストレージ装置
211、213 ストレージ装置
212 情報処理装置
224 記憶部
221、701 比較部
222、702 秘匿化部
223、704 転送部
231 第1秘匿化程度情報
504 運用ストレージ装置
511、512 運用DB
521 電子カルテ
531、611 個人情報
532、612、715 秘匿化程度情報
601、602 バックアップDB
703 日時管理部
705 メモリ
711、712 日時テーブル
713、714 加工テーブル
801、802 収集DB
803 収集部
804 検索部
811、812 秘匿化個人情報
1901、1902 電子カルテクライアント
2001 解析アプリケーション
2002 解析結果
2201 CPU
2202 メモリ
2203 入力装置
2204 出力装置
2205 補助記憶装置
2206 媒体駆動装置
2207 ネットワーク接続装置
2208 バス
2209 可搬型記録媒体
次に、電子カルテクライアント1902は、医師の操作に基づいて、電子カルテ521に患者の診察情報を入力する(ステップ191)。そして、サーバ503は、電子カルテ521に入力された診察情報を、個人情報531として運用ストレージ装置504の運用DB511に書き込む(ステップ1922)。
病院システム411−2〜病院システム411−Mにおいても、図19と同様の情報提供シーケンスによって、個人情報531及び秘匿化程度情報532が運用ストレージ装置504に書き込まれる。そして、個人情報611及び秘匿化程度情報612がバックアップストレージ装置421−2〜バックアップストレージ装置421−Mに書き込まれる。
図1乃至図22を参照しながら説明した実施形態に関し、さらに以下の付記を開示する。
(付記1)
情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成する秘匿化部と、
前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報を記憶する記憶部と、
情報解析機関が使用するストレージ装置へ前記第1秘匿化個人情報を転送する転送部と、
前記第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成する比較部とを備え、
前記秘匿化部は、前記比較結果に基づいて前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、
前記転送部は、前記ストレージ装置へ前記第2秘匿化個人情報を転送することを特徴とする情報処理装置。
(付記2)
前記第1秘匿化程度情報及び前記第2秘匿化程度情報は、前記個人情報に含まれる複数の項目それぞれについて適用される秘匿化操作を指定し、
前記比較結果は、前記複数の項目それぞれについて、前記第1秘匿化程度情報が指定する秘匿化操作と前記第2秘匿化程度情報が指定する秘匿化操作とが同じであるか否かを示し、
前記秘匿化部は、前記複数の項目のうち第1項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが異なっている場合、前記個人情報に含まれる前記第1項目の情報に対して、前記第2秘匿化程度情報が指定する前記秘匿化操作を適用することで、前記第1項目の秘匿化情報を生成し、
前記転送部は、前記第1項目の前記秘匿化情報を前記ストレージ装置へ転送することを特徴とする付記1記載の情報処理装置。
(付記3)
前記秘匿化部は、前記複数の項目のうち第2項目について、前記第1秘匿化程度情報が
秘匿化を行うことを示し、前記第2秘匿化程度情報が秘匿化を行わないことを示している場合、前記第2秘匿化処理において、前記個人情報に含まれる前記第2項目の情報を秘匿化せず、
前記転送部は、前記第2項目の情報を前記ストレージ装置へ転送することを特徴とする付記2記載の情報処理装置。
(付記4)
前記秘匿化部は、前記複数の項目のうち第3項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが同じである場合、前記第2秘匿化処理において、前記個人情報に含まれる前記第3項目の情報を秘匿化せず、
前記転送部は、前記第3項目の秘匿化情報を前記ストレージ装置へ転送しないことを特徴とする付記2又は3記載の情報処理装置。
(付記5)
前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作は、前記第1項目の情報を簡略化する処理、又は前記第1項目の情報を秘匿化されていることを示すデータに変換する処理であることを特徴とする付記2乃至4のいずれか1項に記載の情報処理装置。
(付記6)
情報提供機関から提供される個人情報を格納する第1ストレージ装置と、
情報解析機関が使用する第2ストレージ装置と、
前記第1ストレージ装置が格納する前記個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成し、前記第2ストレージ装置へ前記第1秘匿化個人情報を転送し、前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較した比較結果に基づいて、前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、前記第2ストレージ装置へ前記第2秘匿化個人情報を転送する情報処理装置と、
を備えることを特徴とする情報処理システム。
(付記7)
前記第1秘匿化程度情報及び前記第2秘匿化程度情報は、前記個人情報に含まれる複数の項目それぞれについて適用される秘匿化操作を指定し、
前記比較結果は、前記複数の項目それぞれについて、前記第1秘匿化程度情報が指定する秘匿化操作と前記第2秘匿化程度情報が指定する秘匿化操作とが同じであるか否かを示し、
前記情報処理装置は、前記複数の項目のうち第1項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが異なっている場合、前記個人情報に含まれる前記第1項目の情報に対して、前記第2秘匿化程度情報が指定する前記秘匿化操作を適用することで、前記第1項目の秘匿化情報を生成し、前記第1項目の前記秘匿化情報を前記第2ストレージ装置へ転送することを特徴とする付記6記載の情報処理システム。
(付記8)
前記情報処理装置は、前記複数の項目のうち第2項目について、前記第1秘匿化程度情報が秘匿化を行うことを示し、前記第2秘匿化程度情報が秘匿化を行わないことを示している場合、前記第2秘匿化処理において、前記個人情報に含まれる前記第2項目の情報を秘匿化せず、前記第2項目の情報を前記第2ストレージ装置へ転送することを特徴とする付記7記載の情報処理システム。
(付記9)
前記情報処理装置は、前記複数の項目のうち第3項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが同じである場合、前記第2秘匿化処理において、前記個人情報に含まれる前記第3項目の情
報を秘匿化せず、前記第3項目の秘匿化情報を前記第2ストレージ装置へ転送せず、
前記第2ストレージ装置は、前記第1秘匿化個人情報に含まれる前記第3項目の秘匿化情報を、前記第2秘匿化個人情報における前記第3項目の秘匿化情報として用いることを特徴とする付記7又は8記載の情報処理システム。
(付記10)
前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作は、前記第1項目の情報を簡略化する処理、又は前記第1項目の情報を秘匿化されていることを示すデータに変換する処理であることを特徴とする付記7乃至9のいずれか1項に記載の情報処理システム。
(付記11)
情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成し、
情報解析機関が使用するストレージ装置へ前記第1秘匿化個人情報を転送し、
前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成し、
前記比較結果に基づいて前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、
前記ストレージ装置へ前記第2秘匿化個人情報を転送する、
処理をコンピュータに実行させるプログラム。
(付記12)
前記第1秘匿化程度情報及び前記第2秘匿化程度情報は、前記個人情報に含まれる複数の項目それぞれについて適用される秘匿化操作を指定し、
前記比較結果は、前記複数の項目それぞれについて、前記第1秘匿化程度情報が指定する秘匿化操作と前記第2秘匿化程度情報が指定する秘匿化操作とが同じであるか否かを示し、
前記コンピュータは、前記複数の項目のうち第1項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが異なっている場合、前記個人情報に含まれる前記第1項目の情報に対して、前記第2秘匿化程度情報が指定する前記秘匿化操作を適用することで、前記第1項目の秘匿化情報を生成し、前記第1項目の前記秘匿化情報を前記ストレージ装置へ転送することを特徴とする付記11記載のプログラム。
(付記13)
コンピュータが、
情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成し、
情報解析機関が使用するストレージ装置へ前記第1秘匿化個人情報を転送し、
前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成し、
前記比較結果に基づいて前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、
前記ストレージ装置へ前記第2秘匿化個人情報を転送する、
ことを特徴とする情報処理方法。
(付記14)
前記第1秘匿化程度情報及び前記第2秘匿化程度情報は、前記個人情報に含まれる複数の項目それぞれについて適用される秘匿化操作を指定し、
前記比較結果は、前記複数の項目それぞれについて、前記第1秘匿化程度情報が指定する秘匿化操作と前記第2秘匿化程度情報が指定する秘匿化操作とが同じであるか否かを示し、
前記コンピュータは、前記複数の項目のうち第1項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが異なっている場合、前記個人情報に含まれる前記第1項目の情報に対して、前記第2秘匿化程度情報が指定する前記秘匿化操作を適用することで、前記第1項目の秘匿化情報を生成し、前記第1項目の前記秘匿化情報を前記ストレージ装置へ転送することを特徴とする付記13記載の情報処理方法。

Claims (7)

  1. 情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成する秘匿化部と、
    前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報を記憶する記憶部と、
    情報解析機関が使用するストレージ装置へ前記第1秘匿化個人情報を転送する転送部と、
    前記第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成する比較部とを備え、
    前記秘匿化部は、前記比較結果に基づいて前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、
    前記転送部は、前記ストレージ装置へ前記第2秘匿化個人情報を転送することを特徴とする情報処理装置。
  2. 前記第1秘匿化程度情報及び前記第2秘匿化程度情報は、前記個人情報に含まれる複数の項目それぞれについて適用される秘匿化操作を指定し、
    前記比較結果は、前記複数の項目それぞれについて、前記第1秘匿化程度情報が指定する秘匿化操作と前記第2秘匿化程度情報が指定する秘匿化操作とが同じであるか否かを示し、
    前記秘匿化部は、前記複数の項目のうち第1項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが異なっている場合、前記個人情報に含まれる前記第1項目の情報に対して、前記第2秘匿化程度情報が指定する前記秘匿化操作を適用することで、前記第1項目の秘匿化情報を生成し、
    前記転送部は、前記第1項目の前記秘匿化情報を前記ストレージ装置へ転送することを特徴とする請求項1記載の情報処理装置。
  3. 前記秘匿化部は、前記複数の項目のうち第2項目について、前記第1秘匿化程度情報が秘匿化を行うことを示し、前記第2秘匿化程度情報が秘匿化を行わないことを示している場合、前記第2秘匿化処理において、前記個人情報に含まれる前記第2項目の情報を秘匿化せず、
    前記転送部は、前記第2項目の情報を前記ストレージ装置へ転送することを特徴とする請求項2記載の情報処理装置。
  4. 前記秘匿化部は、前記複数の項目のうち第3項目について、前記第1秘匿化程度情報が指定する前記秘匿化操作と前記第2秘匿化程度情報が指定する前記秘匿化操作とが同じである場合、前記第2秘匿化処理において、前記個人情報に含まれる前記第3項目の情報を秘匿化せず、
    前記転送部は、前記第3項目の秘匿化情報を前記ストレージ装置へ転送しないことを特徴とする請求項2又は3記載の情報処理装置。
  5. 情報提供機関から提供される個人情報を格納する第1ストレージ装置と、
    情報解析機関が使用する第2ストレージ装置と、
    前記第1ストレージ装置が格納する前記個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成し、前記第2ストレージ装置へ前記第1秘匿化個人情報を転送し、前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較した比較結果に基づいて、前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、前記第2ストレージ装置へ前記第2秘匿化個人情報を転送する情報処理装置と、
    を備えることを特徴とする情報処理システム。
  6. 情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成し、
    情報解析機関が使用する第2ストレージ装置へ前記第1秘匿化個人情報を転送し、
    前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成し、
    前記比較結果に基づいて前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、
    前記第2ストレージ装置へ前記第2秘匿化個人情報を転送する、
    処理をコンピュータに実行させるプログラム。
  7. コンピュータが、
    情報提供機関から提供される個人情報に対して第1秘匿化処理を適用することで、第1秘匿化個人情報を生成し、
    情報解析機関が使用する第2ストレージ装置へ前記第1秘匿化個人情報を転送し、
    前記第1秘匿化処理の秘匿化程度を示す第1秘匿化程度情報と、前記情報解析機関が要求する第2秘匿化処理の秘匿化程度を示す第2秘匿化程度情報とを比較して、比較結果を生成し、
    前記比較結果に基づいて前記個人情報に対して前記第2秘匿化処理を適用することで、第2秘匿化個人情報を生成し、
    前記第2ストレージ装置へ前記第2秘匿化個人情報を転送する、
    ことを特徴とする情報処理方法。
JP2016256815A 2016-12-28 2016-12-28 情報処理装置、情報処理システム、プログラム、及び情報処理方法 Ceased JP2018109838A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016256815A JP2018109838A (ja) 2016-12-28 2016-12-28 情報処理装置、情報処理システム、プログラム、及び情報処理方法
US15/818,845 US20180181771A1 (en) 2016-12-28 2017-11-21 Information processing apparatus, information processing system and information processing method that generate confidentialized personal information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016256815A JP2018109838A (ja) 2016-12-28 2016-12-28 情報処理装置、情報処理システム、プログラム、及び情報処理方法

Publications (1)

Publication Number Publication Date
JP2018109838A true JP2018109838A (ja) 2018-07-12

Family

ID=62629847

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016256815A Ceased JP2018109838A (ja) 2016-12-28 2016-12-28 情報処理装置、情報処理システム、プログラム、及び情報処理方法

Country Status (2)

Country Link
US (1) US20180181771A1 (ja)
JP (1) JP2018109838A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021026415A (ja) * 2019-08-02 2021-02-22 ミサワホーム株式会社 匿名化システム
US12361632B2 (en) 2021-11-19 2025-07-15 Gree, Inc. Information processing system, information processing method, and information processing program

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111475779B (zh) * 2020-05-19 2023-11-03 昆明闻讯实业有限公司 图像处理方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011123712A (ja) * 2009-12-11 2011-06-23 Atsushi Tashiro 個人情報の外部委託解析システム
JP2015207053A (ja) * 2014-04-17 2015-11-19 キヤノン株式会社 情報管理システム、情報管理方法及びプログラム
US20150379303A1 (en) * 2013-11-01 2015-12-31 Anonos Inc. Systems And Methods For Contextualized Data Protection
JP2016162298A (ja) * 2015-03-03 2016-09-05 Kddi株式会社 アクセス制御装置、方法及びプログラム
JP2016167190A (ja) * 2015-03-10 2016-09-15 富士フイルム株式会社 診療データ管理装置、その作動方法及び作動プログラム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3969467B2 (ja) * 1998-06-17 2007-09-05 富士通株式会社 ネットワークシステム、送受信方法、送信装置、受信装置、および、記録媒体
US8117644B2 (en) * 2000-01-07 2012-02-14 Pennar Software Corporation Method and system for online document collaboration
CN100339856C (zh) * 2001-09-28 2007-09-26 奥林巴斯株式会社 医疗信息的流通方法
EP1324541B1 (en) * 2001-12-26 2007-09-05 Kabushiki Kaisha Toshiba Communication system, wireless communication apparatus, and communication method
US7240046B2 (en) * 2002-09-04 2007-07-03 International Business Machines Corporation Row-level security in a relational database management system
JP2005293273A (ja) * 2004-03-31 2005-10-20 Fujitsu Ltd 個人情報開示システム、カルテ情報開示システム、個人情報開示方法、およびコンピュータプログラム
US20060259207A1 (en) * 2005-04-20 2006-11-16 Denso Corporation Electronic control system for automobile
US7984169B2 (en) * 2006-06-28 2011-07-19 Microsoft Corporation Anonymous and secure network-based interaction
KR100715318B1 (ko) * 2006-07-27 2007-05-08 삼성전자주식회사 이동통신 단말기의 데이터 처리 장치 및 그 방법
US7602029B2 (en) * 2006-09-07 2009-10-13 Alpha & Omega Semiconductor, Ltd. Configuration and method of manufacturing the one-time programmable (OTP) memory cells
US8341720B2 (en) * 2009-01-09 2012-12-25 Microsoft Corporation Information protection applied by an intermediary device
US8661423B2 (en) * 2009-05-01 2014-02-25 Telcordia Technologies, Inc. Automated determination of quasi-identifiers using program analysis
GB2471138B (en) * 2009-06-19 2014-08-13 Advanced Risc Mach Ltd Handling integer and floating point registers during a context switch
US20140106787A1 (en) * 2011-06-10 2014-04-17 Sharp Kabushiki Kaisha Information terminal, information terminal control method, and recording medium
US8769350B1 (en) * 2011-09-20 2014-07-01 Advent Software, Inc. Multi-writer in-memory non-copying database (MIND) system and method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011123712A (ja) * 2009-12-11 2011-06-23 Atsushi Tashiro 個人情報の外部委託解析システム
US20150379303A1 (en) * 2013-11-01 2015-12-31 Anonos Inc. Systems And Methods For Contextualized Data Protection
JP2015207053A (ja) * 2014-04-17 2015-11-19 キヤノン株式会社 情報管理システム、情報管理方法及びプログラム
JP2016162298A (ja) * 2015-03-03 2016-09-05 Kddi株式会社 アクセス制御装置、方法及びプログラム
JP2016167190A (ja) * 2015-03-10 2016-09-15 富士フイルム株式会社 診療データ管理装置、その作動方法及び作動プログラム
US20160267227A1 (en) * 2015-03-10 2016-09-15 Fujifilm Corporation Information management apparatus and method for medical care data, and non-transitory computer readable medium

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021026415A (ja) * 2019-08-02 2021-02-22 ミサワホーム株式会社 匿名化システム
JP7149905B2 (ja) 2019-08-02 2022-10-07 ミサワホーム株式会社 匿名化システム
US12361632B2 (en) 2021-11-19 2025-07-15 Gree, Inc. Information processing system, information processing method, and information processing program

Also Published As

Publication number Publication date
US20180181771A1 (en) 2018-06-28

Similar Documents

Publication Publication Date Title
Pai et al. Standard electronic health record (EHR) framework for Indian healthcare system
Kogan et al. Assessing stroke severity using electronic health record data: a machine learning approach
Schull et al. ICES: data, discovery, better health
US20180300506A1 (en) Information processing apparatus and information processing system
Hatch et al. Malignant otitis externa outcomes: a study of the university HealthSystem consortium database
US10885276B2 (en) Document clearance using blockchain
US20150120329A1 (en) Operating system
Mullainathan et al. Solving medicine’s data bottleneck: Nightingale Open Science
Hoang-Kim et al. Readmission rates following heart failure: a scoping review of sex and gender based considerations
US20140330578A1 (en) Electronic medical history (emh) data management system for standard medical care, clinical medical research, and analysis of long-term outcomes
US20200082933A1 (en) Pre-authorization process using blockchain
JP2018109838A (ja) 情報処理装置、情報処理システム、プログラム、及び情報処理方法
Shah et al. Novel open-source electronic medical records system for palliative care in low-resource settings
Rojo et al. Blockchains’ federation for integrating distributed health data using a patient-centered approach
US20180232537A1 (en) Information processing apparatus and information processing method
Mahalwar et al. Virtual Cardiology: Past, Present, Future Directions, and Considerations
Azar et al. Accuracy of data entry of patient race/ethnicity/ancestry and preferred spoken language in an ambulatory care setting
Petersile et al. Palliative care and advanced directive practices at liver transplant centers in the United States
Kim et al. Exploratory study of personal health information management using health literacy model
JP2018028886A (ja) 情報処理装置、情報処理システム、プログラム、及び情報処理方法
Shashar et al. Ethnic disparities in STEMI outcomes among older adults: a comparative study of bedouins and jews
Kandori et al. Association of hospital-arrival rhythm and ROSC with outcomes after ECPR for OHCA with initial shockable rhythm
US10540517B2 (en) Information processing apparatus, information processing system and information processing method
Gaebel et al. The Emergency Medical Team Operating System—a vision for field hospital data management in following the concepts of predictive, preventive, and personalized medicine
JP6880656B2 (ja) 情報処理装置、情報処理システム、プログラム、及び情報処理方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171128

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190910

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200625

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200818

A045 Written measure of dismissal of application [lapsed due to lack of payment]

Free format text: JAPANESE INTERMEDIATE CODE: A045

Effective date: 20201222