知財求人 - 知財ポータルサイト「IP Force」
特開2021-166026匿名加工装置、匿名加工処理方法および匿名加工処理プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2021-166026(P2021-166026A)
(43)【公開日】2021年10月14日
(54)【発明の名称】匿名加工装置、匿名加工処理方法および匿名加工処理プログラム
(51)【国際特許分類】
G06F 21/62 20130101AFI20210917BHJP
G16H 10/60 20180101ALI20210917BHJP
【FI】
G06F21/62 354
G16H10/60
【審査請求】有
【請求項の数】4
【出願形態】書面
【全頁数】8
(21)【出願番号】特願2020-75718(P2020-75718)
(22)【出願日】2020年4月6日
(71)【出願人】
【識別番号】520136537
【氏名又は名称】株式会社4DIN
(74)【代理人】
【識別番号】100201824
【弁理士】
【氏名又は名称】中村 智広
(72)【発明者】
【氏名】高橋 精彦
【テーマコード(参考)】
5L099
【Fターム(参考)】
5L099AA21
(57)【要約】
【課題】大規模データの匿名化に関し、ネットワークやサーバーの構築などの大規模な投資を行うことなく、患者のプライバシーにかかわる情報である医療情報を容易に匿名化する匿名加工装置、匿名加工処理方法および匿名加工プログラムを提供すること。【解決手段】匿名加工装置は、匿名化対象データを取得する匿名化対象データ取得手段と、匿名加工についてのルールを取得する手段と、取得した匿名加工ルールに基づいて個人情報を加工して匿名加工情報を作成する匿名加工処理手段とを備える。
【選択図】図4
【特許請求の範囲】
【請求項1】
匿名化対象データを取得する匿名化対象データ取得手段と、
匿名加工についてのルールを取得する手段と、
取得した匿名加工ルールに基づいて個人情報を加工して匿名加工情報を作成する匿名加工処理手段と、
を備えることを特徴とする匿名加工装置。
匿名加工についてのルールを取得する手段と、
取得した匿名加工ルールに基づいて個人情報を加工して匿名加工情報を作成する匿名加工処理手段と、
を備えることを特徴とする匿名加工装置。
【請求項2】
匿名加工についてのルールを取得し、取得した匿名加工ルールに基づいて匿名化対象データを加工して匿名加工情報を作成する
ことを特徴とする匿名加工方法。
ことを特徴とする匿名加工方法。
【請求項3】
匿名加工装置のコンピュータに、
匿名加工についてのルールを取得し、取得した匿名加工ルールに基づいて匿名化対象データを加工して匿名加工情報を作成する匿名処理
を実行させるためのプログラム。
匿名加工についてのルールを取得し、取得した匿名加工ルールに基づいて匿名化対象データを加工して匿名加工情報を作成する匿名処理
を実行させるためのプログラム。
【請求項4】
請求項1〜3のいずれかの装置または方法またはプログラムにおいて、
前記匿名化は日付ずらしであることを特徴とする装置または方法またはプログラム。
前記匿名化は日付ずらしであることを特徴とする装置または方法またはプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、匿名加工のための匿名加工装置、匿名加工処理方法および匿名加工処理プログラムに関する。【背景技術】
【0002】
近年、医療分野において、いわゆる電子カルテシステムなどの情報処理システムの導入が進み、患者の疾病や診療内容などの医療情報がコンピュータで管理されることが一般的となっている。さらに、医療研究においては、症例報告、学術研究に供する目的で、患者の医療情報を二次利用することもある。このように、医療情報は患者のプライバシーにかかわる個人情報であるため、医療情報を利用するに当たっては万一、漏洩する事態になっても、患者のプライバシーを保護する目的から、患者個人を特定されないように匿名化することが重要な課題となっている。
【先行技術文献】
【特許文献】
【特許文献1】特開2014−95931
【特許文献2】特開2019−144723
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかしながら、従来の匿名加工処理は、データ内の生年月日や診断日、検査日などの日付項目に関して、日付値の日の部分を削除する方法、ランダム日付に置換する方法、のどちらかの方法が用いられているが、これらの匿名加工方法では依存関係にある異なる日付項目(例:投薬日、検査日)の関係を失ってしまうため、日付の関係性が重要である医学研究やデータ分析等で二次利用をすることができないという問題点を有していた。【0004】
また、匿名加工処理をするにあたり、従来の技術はサーバーおよびネットワーク環境を構築し、匿名化データーベースを作成し、その匿名化データベースにアクセスしてアプリケーションプログラムを実行してデータ解析を実施していたが、匿名化データベースを作成するために大規模な投資を行わなければならず、短時間で安価かつ簡便にデータ解析をすることができないという問題点を有していた。【0005】
本発明は、少なくとも上記のいずれかの問題点に鑑み提案されたものであり、大規模データの匿名化に関し、ネットワークやサーバーの構築などの大規模な投資を行うことなく、患者のプライバシーにかかわる情報である医療情報を短時間で容易に匿名化する匿名加工装置、匿名加工処理方法および匿名加工プログラムを提供することを目的とする。【課題を解決するための手段】
【0006】
本発明は、上記課題を解決するためになされたものであり、匿名加工化を容易にすることが可能な匿名加工装置、匿名加工方法、及びプログラムを提供することを目的とする。【0007】
本発明の匿名加工装置は、匿名化対象データを取得する匿名化対象データ取得手段と、匿名加工についてのルールを取得する手段と、取得した匿名加工ルールに基づいて個人情報を加工して匿名加工情報を作成する匿名加工処理手段とを備えることを特徴とする。【0008】
本発明の匿名加工方法は、匿名加工についてのルールを取得し、取得した匿名加工ルールに基づいて匿名化対象データを加工して匿名加工情報を作成することを特徴とする。【0009】
本発明のプログラムは、コンピュータに、匿名加工についてのルールを取得し、取得した匿名加工ルールに基づいて匿名化対象データを加工して匿名加工情報を作成する匿名処理を実行させるためのプログラムである。なお、個人情報とは、生存する個人に関する情報であって、氏名、生年月日、住所、疾病等により特定の個人を識別できる情報のことである。その他には、例えば、電話番号、メールアドレス、体重、身長、国籍、血液型RH−、患者職種、社会保険番号、難病指定などがある。匿名加工とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工することである。
【発明の効果】
【0010】
本発明によれば、大規模な投資を行うことなく、個人情報の匿名加工化を短時間で容易にし、さらに、依存関係にある異なる日付項目の関係を失わずに医学研究やデータ分析等に二次利用することができ、よって匿名加工情報の利活用を促進させ、医学研究の発展や医療の進歩に寄与することが可能となる。【図面の簡単な説明】
【0011】
【図1】本実施形態に係る匿名加工装置10の構成例を示すブロック図である。
【図2】匿名加工装置のハードウエア構成である。
【図3】匿名加工プログラム46のフローチャートである。
【図4】匿名加工ルールの表示例である。
【図5】本実施形態に係る匿名加工処理アプリの初期設定画面の一例を示す図である。
【図6】本実施形態に係る匿名加工処理アプリの匿名加工処理のルール設定画面の一例を示す図である。
【図7】本実施形態に係る匿名加工処理アプリの匿名加工処理を実行する画面の一例を示す図である。
【図8】本実施形態に係る匿名加工処理アプリで匿名加工されたデータの画面の一例を示す図である。
【発明を実施するための形態】
【0012】
[第1の実施形態]図1は、本発明の実施形態に係る匿名加工装置10の構成例を示すブロック図である。
図2は、匿名加工装置のハードウエア構成を示す。CPU30には、メモリ32、ディスプレイ34、ハードディスク36、通信回路38、キーボード/マウス40、DVD−ROMドライブ42が接続されている。ハードディスク36には、オペレーティングシステム44、匿名加工プログラム46が記録されている。匿名加工プログラム46は、オペレーティングシステム44と協同してその機能を発揮するものである。
【0013】
これらのプログラムは、DVD−ROMやCD−ROM(図2には不図示)に記録されていたものを、DVD−ROMドライブ42を介してハードディスク36にインストールしたものである。なお、インストール手段に限定はなく、ネットワークを介してダウンロードしたものであってもよい。【0014】
図3は、匿名加工プログラム46のフローチャートを示す。CPU30は、匿名化を行いたい患者の個人情報(匿名化対象データ)を取得し、ハードディスク36に記憶する(ステップS1)。【0015】
次に、CPU30はハードディスク36に記録された匿名加工プログラム46に格納される匿名加工ルールを表示する(ステップS2)。【0016】
その表示例を、図4に示す。ここでは、匿名加工処理ルールが、「患者コード匿名化」、「日付ずらし」、「日付ずらし治験期間判定項目」、「治験期間判定項目」、「年のみ」、「年月のみ」、「文字クリア」、「後ろの半角空白を削除」、「郵便番号3桁」、「医師コード匿名化」、「看護師コード匿名化」、「スタッフコード匿名化」、「紹介病院コード匿名化」、「年齢丸め(90歳以上)」、「年齢階層化」、「身長丸め(190cm以上)」、「身長階層化」、「体重丸め(120kg以上)」、「体重階層化」といった匿名加工ルールであること等が示されている。【0017】
「患者コード匿名化」とは、患者毎に振り分けられた患者コードをハッシュ値(SHA−256、つまり任意の長さの原文から固定長の特徴的な値を算出するハッシュ関数として、256ビットのハッシュ値を算出する)で匿名化するルールのことである。「日付ずらし」とは、プロジェクト(施設や研究)単位にずらす日数範囲を−365日から365日の範囲で指定し、設定した日数範囲内でランダム発番された数値をずらす日数として患者ごとに決定する。そして、日付値を患者ごとに異なる日数分ずらすルールのことであり、依存関係にある異なる日付項目の関係性を失わずに日付をずらすことができる。例えば、患者Aが3月1日に糖尿病薬を服用し、3月14日にヘモグロビンA1cの検査値が6.2であった場合、日付ずらしの匿名加工処理を実施すると、3月11日に糖尿病薬を服用し、3月24日にヘモグロビンA1cの検査値が6.2となり、服用日や検査日といった日付項目は一律にずれるが、投薬後14日後の検査値は6.2であるという臨床的価値を保つことができる。「日付ずらし治験期間判定項目」とは、事前に設定した範囲で患者ごとにランダムな異なる日付を一律でずらし、治験期間に該当する患者の各種レコードを除外するルールのことであり、依存関係にある異なる日付の関係性を失わずに日付をずらすことができる。また「日付ずらし治験機関判定項目」は患者ごとに異なる日数分ずらすことができる。「治験期間判定項目」とは、治験期間に該当する患者を除外するルールのことである。「年のみ」とは、日付の月と日を削除し、年のみ出力するルールのことである。「年月のみ」とは、日付の日を削除し、年月のみ出力するルールのことである。「文字クリア」とは入力した内容を削除して空白を出力するルールのことである。「後ろの半角空白を削除」とは、データの後ろに付いた不要な半角空白を削除するルールのことである。「郵便番号3桁」とは、郵便番号7ケタ(地区レベル)を3桁(市区町村レベル)にして、住所の匿名化を行うルールのことである。「医師コード匿名化」とは、医師コードをハッシュ値(SHA−256、つまり任意の長さの原文から固定長の特徴的な値を算出するハッシュ関数として、256ビットのハッシュ値を算出する)で匿名化するルールのことである。「看護師コード匿名化」とは、看護師コードをハッシュ値(SHA−256、つまり任意の長さの原文から固定長の特徴的な値を算出するハッシュ関数として、256ビットのハッシュ値を算出する)で匿名化するルールのことである。「スタッフコード匿名化」とは、スタッフコードをハッシュ値(SHA−256、つまり任意の長さの原文から固定長の特徴的な値を算出するハッシュ関数として、256ビットのハッシュ値を算出する)で匿名化するルールのことである。「紹介病院コード匿名化」とは、紹介病院コードをハッシュ値(SHA−256、つまり任意の長さの原文から固定長の特徴的な値を算出するハッシュ関数として、256ビットのハッシュ値を算出する)で匿名化するルールのことである。「年齢丸め(90歳以上)」とは、年齢が90歳を超える場合には、90歳として匿名化するルールのことである。「年齢階層化」とは、年齢を10歳刻みで、例えば55歳であれば「50歳以上−60歳未満」というように「●●歳以上−●●歳未満」として匿名化するルールのことである。「身長丸め(190cm以上)」とは、身長が190cmを超える場合、190cmとして匿名化するルールのことである。「身長階層化」とは、身長を10cm刻みで、例えば155cmであれば、「150cm以上−160cm未満」というように「●●cm以上−●●cm未満」として匿名化するルールのことである。「体重丸め(120kg以上)」とは、体重が120kgを超える場合、120kgとして匿名化するルールのことである。「体重階層化」とは、体重を10kg刻みで、例えば45kgであれば、「40kg以上−50kg未満」というように「●●kg以上−●●kg未満」として匿名化するルールのことである。【0018】
次に、ユーザーは、この画面から、キーボード/マウス40を用いて、所望の匿名加工ルールを選択する(ステップS3)。匿名加工ルールの選択は1つであってもよいし、2つ以上のルールを選択してもよい。【0019】
次に、CPU30は、記憶された匿名化対象データについて、匿名加工ルールに基づいて匿名加工処理を実行する(ステップS4)。【0020】
CPU30は、得られた匿名化対象データをハードディスク36に記憶する(ステップS5)。【0021】
上記実施形態では、匿名加工装置はスタンドアローンのPCとして構成している。しかし、匿名加工装置はサーバー装置として構成し、インターネットなどを介して端末装置から使用できるようにしてもよい。【0022】
以上、説明した実施形態によれば、大規模な投資を行うことなく、個人情報の匿名加工化を短時間かつ容易にし、さらに依存関係にある異なる日付項目の関係を失わずに医学研究やデータ分析等で二次利用することができ、よって匿名加工情報の利活用を促進させ、医学研究の発展や医療の進歩に寄与することが可能となる。【0023】
実施形態を用いて本発明を説明したが、本発明の技術的範囲は、上記各実施形態の記載に限定されない。上記実施形態に多様な変更又は改良を加えることが可能であることは当業者にとって自明である。従って、そのような変更又は改良を加えた形態もまた本発明の技術的範囲に含まれることは説明するまでもない。また、以上に説明した実施形態において使用される、数値や各構成の名称等は例示的なものであり適宜変更可能である。【0024】
以下、ディスプレイ34の画面例を参照しながら、実施される匿名加工処理について詳しく説明する。【0025】
(初期設定)図5は、本実施形態に係る匿名加工処理アプリの初期設定画面の一例を示す図である。はじめに、ユーザーは、ディスプレイ34に表示されるメニュー(施設選択)画面により、初期設定を行う。
【0026】
画面Aは、匿名加工処理アプリのトップ画面を示す。ユーザーは、初めて匿名加工処理を行う場合、ユーザー登録が必要となる。一方、すでにユーザー登録が済んでいる場合、IDおよびパスワードを入力して「ログイン」をキーボード/マウス40を用いて選択する。【0027】
画面Bは、匿名加工処理アプリのメニュー(施設選択)画面を示す。ユーザーは、初めて匿名加工処理を行う場合、「新規登録(施設/研究)ボタンをキーボード/マウス40を用いて選択し、施設や研究を新たに登録する。【0028】
画面C1は、匿名加工処理アプリの「新規施設登録/新規研究登録」画面を示す。ユーザーは、研究機関名や研究名、データベース名を入力するとともに、日付を匿名化する際に、日付をずらす範囲を−365日から365日の範囲で指定する。ユーザーは入力した必要項目を確認し、入力に誤りがなければ、「新規登録(施設/研究)」ボタンをキーボード/マウス40を用いて選択することで、施設登録/研究登録が完了する。なお、画面C2は、匿名加工処理アプリの「施設/研究の修正・削除」画面を示す。ユーザーは、登録した施設や研究の修正・削除をする場合、その施設を選択し、「修正・削除」ボタンをキーボード/マウス40を用いて選択する。次に、画面C3は、医療機関名/研究名入力画面を示す。ユーザーは、修正する施設や研究の名前を入力し、「更新」ボタンをキーボード/マウス40を用いて選択すると、更新処理を確認するメッセージが表示される。ユーザーは入力に誤りがないことを確認して「はい」ボタンを選択して処理を続行する。キャンセルしたい場合は「いいえ」ボタンをキーボード/マウス40を用いて選択する。
【0029】
画面Dは、匿名加工処理アプリの「ファイル連結」画面を示す。ユーザーは、患者の個人情報が記録される各ファイルを一つするため、各ファイルを連結させたい場合、一方のファイルを「ヘッダーファイル」欄に入力し、他方のファイルを「データファイル」欄に入力し、出力先を指定し、ユーザーは入力に誤りがないことを確認して「ファイル連結」ボタンをキーボード/マウス40を用いて選択する。すると、連結したファイルが作成される。【0030】
(匿名加工処理のルール設定)図6は本実施形態に係る匿名加工処理アプリの匿名加工処理のルール設定画面の一例を示す図である。
画面Aは、匿名加工処理ルールを設定する画面を示す。ユーザーは「ファイル選択」ボタンを選択して、匿名化対象データを指定する。DPC(診断群分類包括評価制度、Diagnosis(診断) Procedure(診療行為) Combination(組み合わせ))チェックボックスにチェックを入れると日付ずらしを行わないが、データ入力した際に日付ずらし用の数値が追加されるため、この数値を日付に足して計算することで匿名化することができる。
画面Bは、匿名化対象データを読み込んだ画面を示す。匿名化対象データが読み込まれるとデータの一部が画面に表示されるので、ユーザーは、匿名加工処理ルールを選択して設定する。ユーザーは設定を終えたら、「ルール設定」ボタンを選択すると匿名加工処理ルールが登録される。
画面Cは、特定の患者を除外するルールを設定する画面を示す。ユーザーは、テストデータの患者など除外したいデータがある場合は、患者IDリストのファイルを登録することで除外することができる。ユーザーは「除外患者ID登録」ボタンを選択すると登録済みデータが表示されるので、[ファイル選択]ボタンをクリックして、ユーザーが読み込みたい患者IDリストを指定する。ファイルに項目名がある場合は、[ヘッダー有]チェックボックスにチェックを入れる。ファイルが読み込まれると全データが表示されるので、[除外患者ID登録]ボタンをクリックすると、特定の患者を除外するルールの登録処理が行われる。
画面Dは、特定の治験対象の患者を除外するルールを設定する画面を示す。ユーザーは、除外したい治験患者データがある場合、治験患者IDリストのファイルを登録することで除外することができる。ユーザーは▲1▼[治験患者除外一覧表示]ボタンを選択すると登録済みデータが表示されるので、▲2▼[ファイル選択]ボタンをクリックして、ユーザーが読み込みたい患者IDリストを指定する。ファイルに項目名がある場合は、▲3▼[ヘッダー有]チェックボックスにチェックを入れる。ファイルが読み込まれると全データが表示されるので、[治験患者除外設定]ボタンをクリックすると、特定の治験患者の治験対象期間に該当するデータを除外するルールの登録処理が行われる。
【0031】
(匿名加工処理実行)図7は、本実施形態に係る匿名加工処理アプリの匿名加工処理を実行する画面の一例を示す。ユーザーは、匿名化対象データが入るフォルダと匿名処理後のデータを出力するフォルダを指定し、入力に誤りがないことを確認して「匿名化処理実行」ボタンを選択する。
図8は、本実施形態に係る匿名加工処理アプリで匿名加工されたデータの画面の一例を示す。患者Aが3月1日に糖尿病薬を服用し、3月14日にヘモグロビンA1cの検査値が6.2であった場合、日付ずらしの匿名加工処理を実施すると、3月11日に糖尿病薬を服用し、3月24日にヘモグロビンA1cの検査値が6,2となり、服用日や検査日といった日付項目は一律にずれるが、投薬後14日後の検査値は6.2であるという臨床的価値を保つことができる。
【0032】
以上によって、個人情報の匿名加工化を短時間で容易にし、さらに依存関係にある異なる日付項目の関係を失わずに医学研究やデータ分析等で二次利用することができ、よって匿名加工情報の利活用を促進させ、医学研究の発展や医療の進歩に寄与することが可能となる。【符号の説明】
【0033】
10…匿名加工装置30…CPU
32…メモリ
34…ディスプレイ
36…ハードディスク
38…通信回路
40…キーボード/マウス
42…DVD−ROMドライブ
44…オペレーティングシステム
46…匿名加工プログラム
S1…匿名加工対象データの取得
S2…匿名加工ルールの表示
S3…匿名加工ルールの選択
S4…匿名加工処理
S5…匿名化データの記録