知財求人 - 知財ポータルサイト「IP Force」
特許6797963匿名加工対象特定方法、匿名加工対象特定システム及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6797963
(24)【登録日】2020年11月20日
(45)【発行日】2020年12月9日
(54)【発明の名称】匿名加工対象特定方法、匿名加工対象特定システム及びプログラム
(51)【国際特許分類】
G06F 16/9035 20190101AFI20201130BHJP
G06F 16/903 20190101ALI20201130BHJP
【FI】
G06F16/9035
G06F16/903
【請求項の数】7
【全頁数】15
(21)【出願番号】特願2019-66440(P2019-66440)
(22)【出願日】2019年3月29日
(65)【公開番号】特開2020-166556(P2020-166556A)
(43)【公開日】2020年10月8日
【審査請求日】2019年6月3日
(73)【特許権者】
【識別番号】000102728
【氏名又は名称】株式会社エヌ・ティ・ティ・データ
(74)【代理人】
【識別番号】110000752
【氏名又は名称】特許業務法人朝日特許事務所
(72)【発明者】
【氏名】山▲崎▼ 孝博
(72)【発明者】
【氏名】田中 晃平
(72)【発明者】
【氏名】小黒 博昭
【審査官】
松尾 真人
(56)【参考文献】
【文献】
特開2010−218131(JP,A)
【文献】
特開2014−229039(JP,A)
【文献】
特開2006−309406(JP,A)
【文献】
特開2015−143894(JP,A)
【文献】
菊池 浩明,乗降履歴データの安全な匿名化は可能か?,2014年 暗号と情報セキュリティシンポジウム SCIS2014 [CD−ROM] 2014年 暗号と情報セキュリティシンポジウム概要集,電子情報通信学会情報セキュリティ研究専門委員会,2014年 1月21日,3D3−4
【文献】
SWEENEY, Latanya,k-ANONYMITY:A MODEL FOR PROTECTING PRIVACY,International Journal on Uncertainty, Fuzziness and Knowledge-based Systems,2002年10月
【文献】
南 和宏,プライバシー保護データパブリッシング,情報処理,一般社団法人情報処理学会,2018年 8月15日,第54巻 第9号,pp.938〜946
【文献】
大江 和彦,医療情報データベースの基盤整備,情報管理,国立研究開発法人科学技術振興機構,第59巻 第5号,pp.277〜283
(58)【調査した分野】(Int.Cl.,DB名)
G06F 16/00−16/958
21/60−21/88
(57)【特許請求の範囲】
【請求項1】
個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、
公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と
を備えるシステムにおいて実行される匿名加工対象特定方法であって、
前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定ステップと、
前記複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象の候補を示す情報として検索する検索ステップと
を有し、
前記検索ステップは、
前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定ステップと、
前記テーブル特定ステップにより特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定ステップと
を有し、
前記テーブル特定ステップは、前記優先順位設定ステップにより設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定するステップであって、
前記個人ID特定ステップは、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定するステップである
ことを特徴とする匿名加工対象特定方法。
公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と
を備えるシステムにおいて実行される匿名加工対象特定方法であって、
前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定ステップと、
前記複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象の候補を示す情報として検索する検索ステップと
を有し、
前記検索ステップは、
前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定ステップと、
前記テーブル特定ステップにより特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定ステップと
を有し、
前記テーブル特定ステップは、前記優先順位設定ステップにより設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定するステップであって、
前記個人ID特定ステップは、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定するステップである
ことを特徴とする匿名加工対象特定方法。
【請求項2】
前記公知情報テーブルに格納される一の属性値の組について前記検索ステップにより検索された個人IDの数と閾値とを比較し、当該個人IDの数が前記閾値以下である場合に、前記複数の個人情報テーブルにおいて当該個人IDを含む属性値の組を、匿名加工対象と判定する判定ステップと、
前記判定ステップにより匿名加工対象と判定された属性値の組に対して匿名加工処理を行う匿名加工処理ステップと
をさらに有することを特徴とする、請求項1に記載の匿名加工対象特定方法。
前記判定ステップにより匿名加工対象と判定された属性値の組に対して匿名加工処理を行う匿名加工処理ステップと
をさらに有することを特徴とする、請求項1に記載の匿名加工対象特定方法。
【請求項3】
前記公知情報テーブルに格納される一の属性値の組について前記検索ステップにより検索された個人IDの数と閾値とを比較し、当該個人IDの数が前記閾値以下である場合に、前記複数の個人情報テーブルにおいて当該個人IDを含む属性値の組を、匿名加工対象と判定する判定ステップと、
前記判定ステップにより匿名加工対象と判定された属性値の組を、匿名加工対象として利用者に通知する通知ステップと
をさらに有することを特徴とする、請求項1に記載の匿名加工対象特定方法。
前記判定ステップにより匿名加工対象と判定された属性値の組を、匿名加工対象として利用者に通知する通知ステップと
をさらに有することを特徴とする、請求項1に記載の匿名加工対象特定方法。
【請求項4】
前記一の属性値の組を構成する属性値の数又は種類に基づいて前記閾値を設定する閾値設定ステップをさらに有し、
前記判定ステップは、前記個人IDの数と、前記閾値設定ステップにより設定された閾値とを比較するステップである
ことを特徴とする、請求項2又は3に記載の匿名加工対象特定方法。
前記判定ステップは、前記個人IDの数と、前記閾値設定ステップにより設定された閾値とを比較するステップである
ことを特徴とする、請求項2又は3に記載の匿名加工対象特定方法。
【請求項5】
前記公知情報記憶部は、複数の公知情報テーブルを記憶し、
前記複数の公知情報テーブルの中から、前記複数の個人情報テーブルが含む属性に基づいて公知情報テーブルを選択するテーブル選択ステップをさらに有し、
前記検索ステップは、前記複数の個人情報テーブルを参照して、前記テーブル選択ステップにより選択された公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索するステップである
ことを特徴とする、請求項1乃至4のいずれか1項に記載の匿名加工対象特定方法。
前記複数の公知情報テーブルの中から、前記複数の個人情報テーブルが含む属性に基づいて公知情報テーブルを選択するテーブル選択ステップをさらに有し、
前記検索ステップは、前記複数の個人情報テーブルを参照して、前記テーブル選択ステップにより選択された公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索するステップである
ことを特徴とする、請求項1乃至4のいずれか1項に記載の匿名加工対象特定方法。
【請求項6】
個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、
公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と、
前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定部と、
複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索する検索部と
を備え、
前記検索部は、
前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定部と、
前記テーブル特定部により特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定部と
を備え、
前記テーブル特定部は、前記優先順位設定部により設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定し、
前記個人ID特定部は、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定する
ことを特徴とする匿名加工対象特定システム。
公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と、
前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定部と、
複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索する検索部と
を備え、
前記検索部は、
前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定部と、
前記テーブル特定部により特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定部と
を備え、
前記テーブル特定部は、前記優先順位設定部により設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定し、
前記個人ID特定部は、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定する
ことを特徴とする匿名加工対象特定システム。
【請求項7】
個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、
公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と
を備えるコンピュータに、
前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定ステップと、
複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索する検索ステップと
を実行させるためのプログラムであって、
前記検索ステップは、
前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定ステップと、
前記テーブル特定ステップにより特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定ステップと
を有し、
前記テーブル特定ステップは、前記優先順位設定ステップにより設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定するステップであって、
前記個人ID特定ステップは、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定するステップである
ことを特徴とするプログラム。
公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と
を備えるコンピュータに、
前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定ステップと、
複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索する検索ステップと
を実行させるためのプログラムであって、
前記検索ステップは、
前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定ステップと、
前記テーブル特定ステップにより特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定ステップと
を有し、
前記テーブル特定ステップは、前記優先順位設定ステップにより設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定するステップであって、
前記個人ID特定ステップは、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定するステップである
ことを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人情報の匿名加工に関する。
【背景技術】
【0002】
従来、改正個人情報保護法の施行に伴い、個人情報の匿名加工に関する様々な技術が開発されている。例えば、特許文献1には、ユーザのプライバシー情報をk−匿名性を満たすように加工するプライバシー情報評価サーバが記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2011−180839公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明は、このような技術を背景になされたものであり、個人情報が複数のテーブルにまたがって格納されている場合に、当該複数のテーブルを参照して匿名加工対象の候補とすべき個人情報を検索することを目的とする。
【課題を解決するための手段】
【0005】
上記の課題を解決するため、本発明は、個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部とを備えるシステムにおいて実行される匿名加工対象特定方法であって、前記複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象の候補を示す情報として検索する検索ステップを有し、前記検索ステップは、前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定ステップと、前記テーブル特定ステップにより特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定ステップとを有し、前記テーブル特定ステップは、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定するステップであって、前記個人ID特定ステップは、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定するステップであることを特徴とする匿名加工対象特定方法を提供する。
【0006】
好ましい態様において、前記匿名加工対象特定方法は、前記公知情報テーブルに格納される一の属性値の組について前記検索ステップにより検索された個人IDの数と閾値とを比較し、当該個人IDの数が前記閾値以下である場合に、前記複数の個人情報テーブルにおいて当該個人IDを含む属性値の組を、匿名加工対象と判定する判定ステップと、前記判定ステップにより匿名加工対象と判定された属性値の組に対して匿名加工処理を行う匿名加工処理ステップとをさらに有する。
【0007】
別の好ましい態様において、前記匿名加工対象特定方法は、前記公知情報テーブルに格納される一の属性値の組について前記検索ステップにより検索された個人IDの数と閾値とを比較し、当該個人IDの数が前記閾値以下である場合に、前記複数の個人情報テーブルにおいて当該個人IDを含む属性値の組を、匿名加工対象と判定する判定ステップと、前記判定ステップにより匿名加工対象と判定された属性値の組を、匿名加工対象として利用者に通知する通知ステップとをさらに有する。
【0008】
さらに好ましい態様において、前記匿名加工対象特定方法は、前記一の属性値の組を構成する属性値の数又は種類に基づいて前記閾値を設定する閾値設定ステップをさらに有し、前記判定ステップは、前記個人IDの数と、前記閾値設定ステップにより設定された閾値とを比較するステップである。
【0009】
さらに好ましい態様において、前記匿名加工対象特定方法は、前記公知情報テーブルに含まれる各属性に対して、前記公知情報テーブルに格納されている属性値の数に応じて優先順位を設定する優先順位設定ステップをさらに有し、前記テーブル特定ステップは、前記優先順位設定ステップにより設定された優先順位に従った順序で、前記n個の属性値の組を構成する属性値の各々についてテーブルを特定するステップである。
【0010】
さらに好ましい態様において、前記公知情報記憶部は、複数の公知情報テーブルを記憶し、前記匿名加工対象特定方法は、前記複数の公知情報テーブルの中から、前記複数の個人情報テーブルが含む属性に基づいて公知情報テーブルを選択するテーブル選択ステップをさらに有し、前記検索ステップは、前記複数の個人情報テーブルを参照して、前記テーブル選択ステップにより選択された公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索するステップである。
【0011】
また、本発明は、個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部と、複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索する検索部とを備え、前記検索部は、前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定部と、前記テーブル特定部により特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定部とを備え、前記テーブル特定部は、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定し、前記個人ID特定部は、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定することを特徴とする匿名加工対象特定システムを提供する。
【0012】
また、本発明は、個人IDを含む属性値の組を各々複数格納する複数の個人情報テーブルを記憶する個人情報記憶部と、公知情報から抽出される、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルを記憶する公知情報記憶部とを備えるコンピュータに、複数の個人情報テーブルを参照して、前記公知情報テーブルに格納される属性値の組の各々について、当該属性値の組と対応付けられている個人IDを、匿名加工対象を示す情報として検索する検索ステップを実行させるためのプログラムであって、前記検索ステップは、前記公知情報テーブルに格納されるn個の属性値の組を処理対象とする場合に、前記複数の個人情報テーブルの中から、当該n個の属性値の組を構成する一の属性値の属性を含む個人情報テーブルを特定するテーブル特定ステップと、前記テーブル特定ステップにより特定された個人情報テーブルにおいて、前記一の属性値と対応付けられている個人IDを特定する個人ID特定ステップとを有し、前記テーブル特定ステップは、前記n個の属性値の組を構成する属性値の各々について、当該属性値の属性を含むテーブルを順に特定するステップであって、前記個人ID特定ステップは、前記n個の属性値の組を構成する属性値の各々について個人IDを順に特定する際、第2回目以降の特定処理では、前回の特定処理で特定した個人IDであって、かつ処理対象の属性値と対応付けられている個人IDを特定し、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定するステップであることを特徴とするプログラムを提供する。
【発明の効果】
【0013】
本発明によれば、個人情報が複数のテーブルにまたがって格納されている場合に、当該複数のテーブルを参照して匿名加工対象の候補とすべき個人情報を検索することができる。
【図面の簡単な説明】
【0014】
【図1】匿名加工処理システム1の機能構成の一例を示すブロック図
【図2】患者情報テーブルT1の一例を示す図
【図3】疾患情報テーブルT2の一例を示す図
【図4】処方情報テーブルT3の一例を示す図
【図5】入退院履歴情報テーブルT4の一例を示す図
【図6】記事テーブルT5の一例を示す図
【図7】匿名加工処理の一例を示すフロー図
【図8】匿名加工処理の具体的な動作例の説明図
【図9】匿名加工処理の具体的な動作例の説明図
【図10】匿名加工処理の具体的な動作例の説明図
【発明を実施するための形態】
【0015】
1.実施形態本発明の一実施形態に係る匿名加工処理システム1について、図面を参照して説明する。
本匿名加工処理システム1は、データ活用者に提供される個人情報(特に、医療情報)に対して匿名加工を施すためのシステムである。本システムでは個人情報に対して匿名加工を施すにあたり、ニュース記事等の公知情報に基づいて、特定の個人の識別につながる個人情報のみを抽出し、抽出した個人情報に対してのみ匿名加工を施す。そのため、特定の個人の識別にはつながらない個人情報については、その有用性を維持することができる。
【0016】
1−1.構成図1は、この匿名加工処理システム1の機能構成の一例を示すブロック図である。同図に示す匿名加工処理システム1は、1以上のサーバにより構成され、その機能として、提供データ記憶部2、公知情報記憶部3、検索部4、判定部5及び匿名加工処理部6を有する。これらの機能のうち、提供データ記憶部2及び公知情報記憶部3は、HDD等の記憶装置により実現される。一方、検索部4、判定部5及び匿名加工処理部6は、記憶装置に記憶されるプログラムをプロセッサが実行することにより実現される。なお、このプログラムは、インターネット等のネットワークや非一時的な記録媒体を介して頒布可能なプログラムである。以下、各機能について説明する。
【0017】
提供データ記憶部2は、データ活用者に提供されるデータベースであって、匿名加工の対象となる提供データDB21を記憶する。この提供データ記憶部2に記憶される提供データDB21は、それぞれ複数の属性値の組を複数格納する5個の個人情報テーブルにより構成される。具体的には、患者情報テーブルT1、疾患情報テーブルT2、処方情報テーブルT3及び入退院履歴情報テーブルT4(以下、総称して「医療情報テーブルT」と呼ぶ。)により構成される。以下、各テーブルについて説明する。
【0018】
図2は、患者情報テーブルT1の一例を示す図である。同図に示す患者情報テーブルT1は、3個の属性、すなわち患者ID、生年月日及び性別の各々について属性値を格納する。これら3個の属性には、A1、A3、A4のIDが付される。ここでIDとしてA2が欠落している理由は、A2を付すべき属性である施設コードが患者情報テーブルT1から予め削除されているからである。これら3個の属性のうち、患者IDは患者情報テーブルT1おいては主キーである。しかし、以下に説明する他のテーブルにおいては患者IDは主キーではないため、テーブルの複数行にわたって同じ患者IDが登場し得る。
【0019】
図3は、疾患情報テーブルT2の一例を示す図である。同図に示す疾患情報テーブルT2は、患者ID、診療科分類、主疾患フラグ、疑いフラグ、疾患、疾患開始日、疾患終了日等の属性の各々について属性値を格納する。これらの属性のうち、診療科分類、主疾患フラグ、疑いフラグ、疾患、疾患開始日及び疾患終了日には、A5〜A10のIDが付される。
【0020】
図4は、処方情報テーブルT3の一例を示す図である。同図に示す処方情報テーブルT3は、患者ID、診療科分類、入外区分、処方年月日、薬剤、投与量、処方回数、院内外区分等の属性の各々について属性値を格納する。これらの属性のうち、入外区分、処方年月日、薬剤、投与量、処方回数及び院内外区分には、A11〜A16のIDが付される。
【0021】
図5は、入退院履歴情報テーブルT4の一例を示す図である。同図に示す入退院履歴情報テーブルT4は、患者ID、診療科分類、入院年月日、退院年月日等の属性の各々について属性値を格納する。これらの属性のうち、入院年月日と退院年月日には、A21〜A22のIDが付される。以上が、提供データ記憶部2についての説明である。
【0022】
次に、公知情報記憶部3は、提供データDB21と突合されるデータベースである公知情報DB31を記憶する。この公知情報記憶部3に記憶される公知情報DB31は、特定の個人の識別につながる属性値の組を複数格納する公知情報テーブルにより構成される。具体的には、図6に例示する記事テーブルT5により構成される。同図に示す記事テーブルT5は、2個の属性、すなわち記事ID及び記事原文と、属性A1〜A16、A21〜A22を含む他の属性(以下、総称して「属性A」と呼ぶ。)の各々について属性値を格納する。この記事テーブルT5を構成する各レコードは、運用者が、学術論文、学会誌、ニュース記事、医療事故について単に公表するだけの情報等の公知情報を収取、解析して入力する。公知情報としては、入手が容易であり、かつ情報のマッチングがしやすいものが好ましい。
【0023】
次に、検索部4は、記事テーブルT5に格納される記事の各々について、当該記事の属性Aの属性値を検索条件として提供データDB21内を検索し、その属性値と対応付けられている患者IDを、匿名加工対象の候補を示す情報として検索する。例えば、処理対象の記事のレコードが、属性A4「男」、属性A8「脳梗塞」、属性A11「入院」、属性A13「薬剤B200mg」及び属性A21「2018年11月22日」を格納している場合には、これらの属性値を検索条件として提供データDB21内を検索し、これら全てと対応付けられている患者IDを検索する。このような検索を行うために検索部4は、テーブル特定部41とID特定部42を有する。
【0024】
テーブル特定部41は、処理対象の記事の属性値について、その属性値の属性Aを含む医療情報テーブルTを提供データDB21において特定する。例えば、処理対象の属性値が属性A4「男」である場合には、この属性値の属性A4を含む患者情報テーブルT1を提供データDB21において特定する。このテーブル特定部41は、処理対象の記事の属性値がn(2以上の整数)個である場合には、そのn個の属性値の各々について医療情報テーブルTを順に特定する。
【0025】
ID特定部42は、処理対象の記事の属性値について医療情報テーブルTがテーブル特定部41により特定されると、その属性値を検索条件として、その特定された医療情報テーブルT内を検索し、その属性値と対応付けられている患者IDを特定する。例えば、属性A4「男」についてテーブル特定部41により患者情報テーブルT1が特定された場合には、属性A4「男」を検索条件として、その特定された患者情報テーブルT1内を検索し、属性A4「男」と対応付けられている患者IDを特定する。このID特定部42は、処理対象の記事の属性値がn(2以上の整数)個である場合には、そのn個の属性値の各々について患者IDを順に特定する。その際、第2回目以降の特定処理では、前回の特定処理で特定した患者IDを追加条件として設定することで、前回の特定処理で特定した患者IDの中で、処理対象の属性値と対応付けられている患者IDを特定する。そして、第n回目の特定処理では、個人IDを、匿名加工対象の候補を示す情報として特定する。以上が、検索部4についての説明である。
【0026】
次に、判定部5は、処理対象の記事について検索部4により患者IDが検索されると、検索された患者IDの数と閾値とを比較する。ここで患者IDと比較される閾値は「1」である。そして、その比較の結果、前者が後者以下である場合には(すなわち、検索された患者IDの数が「1」である場合には)、その患者IDと提供データDB21において対応付けられている属性値の組を、匿名加工対象と判定する。これは、患者IDが1つしか存在しないということは、その患者IDにより識別される患者が、その患者IDと対応付けられる属性値の組に基づいて識別される恐れがあるからである。
【0027】
匿名加工処理部6は、判定部5により匿名加工対象と判定された属性値の組に対して匿名加工処理を行う。具体的には、匿名加工対象と判定された属性値の組を提供データDB21から削除する(レコード削除)。以上が、匿名加工処理システム1の構成についての説明である。
【0028】
1−2.動作次に、以上説明した匿名加工処理システム1により実行される匿名加工処理について、図7に例示するフロー図を参照して説明する。同図に示す匿名加工処理は、公知情報DB31に格納される記事ごとに実行される。
【0029】
匿名加工処理システム1の検索部4は、処理対象の記事の属性値の組を分解し(ステップS1)、分解した属性値の各々について患者ID検索ループLを実行する。この患者ID検索ループLにおいて検索部4は、処理対象の属性値について、当該記事の属性Aの属性値を検索条件として提供データDB21内を検索し、当該属性値と対応付けられている患者IDを検索する(ステップS2)。具体的には、テーブル特定部41が、処理対象の属性値の属性Aを含む医療情報テーブルTを提供データDB21において特定し、ID特定部42が、特定された医療情報テーブルT内を、処理対象の属性値を検索条件として検索し、その属性値と対応付けられている患者IDを特定する。この検索の結果、検索された患者IDの数が「0」である場合には(ステップS3のYES)、この患者ID検索ループLを抜けて、本匿名加工処理は終了する。一方、上記の検索の結果、検索された患者IDの数が「0」以外である場合には(ステップS3のNO)、検索部4は、検索した患者IDを、次回の検索の際の追加条件として設定する(ステップS4)。そして、検索部4は、処理対象の記事のすべての属性値について患者IDの検索を実行した場合には、患者ID検索ループLを終了する。一方、すべての属性値について患者IDの検索を実行していない場合には、ステップS2に戻り、次の属性値について患者IDを検索する。その際、ID特定部42は、テーブル特定部41により特定された医療情報テーブルT内を、処理対象の属性値に加えて、前回の検索処理で特定した患者IDを検索条件として検索し、その属性値と対応付けられている患者IDを特定する。
【0030】
患者ID検索ループLの結果、検索部4により患者IDが検索されると、判定部5は、検索された患者IDの数と閾値とを比較する(ステップS5)。この比較の結果、前者が後者以下である場合には(すなわち、検索された患者IDの数が「1」である場合には)(ステップS5のYES)、その患者IDと提供データDB21において対応付けられている属性値の組を、匿名加工対象と判定し、匿名加工処理部6は、その属性値の組に対して匿名加工処理を行う(ステップS6)。匿名加工処理部6は、具体的には、その属性値の組を提供データDB21から削除する。一方、上記の比較の結果、前者が後者より大きい場合には(すなわち、検索された患者IDの数が「1」でない場合には)(ステップS5のNO)、本匿名加工処理は終了する。以上が、匿名加工処理についての説明である。
【0031】
次に、以上説明した匿名加工処理の具体的な動作例について、図8〜図10に例示する説明図を参照して説明する。以下に説明する動作例では、処理対象の記事として、属性A4「男」、属性A8「脳梗塞」、属性A11「入院」、属性A13「薬剤B200mg」及び属性A21「2018年11月22日」をレコードに格納する記事を想定する。
【0032】
匿名加工処理システム1の検索部4は、処理対象の記事の上記の属性値の組を分解し(ステップS1)、分解した属性値の各々について患者ID検索ループLを実行する。検索部4は、これらの分解した属性値のうち、まず属性A4「男」について患者IDの検索を行う(ステップS2)。その際、テーブル特定部41は、属性A4「男」の属性A4を含む患者情報テーブルT1を特定する。そして、ID特定部42は、特定された患者情報テーブルT1内を、属性A4「男」を検索条件として検索し、その属性値と対応付けられている属性A1「1」及び「3」を特定する。この検索の結果、2個の患者IDが検索されたため(ステップS3のNO)、検索部4は、検索した属性A1「1」及び「3」を、次回の検索の際の追加条件として設定する(ステップS4)。
【0033】
次に、検索部4は、属性A8「脳梗塞」について患者IDの検索を行う(ステップS2)。その際、テーブル特定部41は、属性A8「脳梗塞」の属性A8を含む疾患情報テーブルT2を特定する。そして、ID特定部42は、特定された疾患情報テーブルT2内を、属性A8「脳梗塞」に加えて、前回の検索処理で特定した属性A1「1」及び「3」を検索条件(A8「脳梗塞」AND(属性A1「1」OR属性A1「3」))として検索し、その属性値と対応付けられている属性A1「1」及び「3」を特定する。この検索の結果、2個の患者IDが検索されたため(ステップS3のNO)、検索部4は、検索した属性A1「1」及び「3」を、次回の検索の際の追加条件として設定する(ステップS4)。
【0034】
次に、検索部4は、属性A11「入院」について患者IDの検索を行う(ステップS2)。その際、テーブル特定部41は、属性A11「入院」の属性A11を含む処方情報テーブルT3を特定する。そして、ID特定部42は、特定された処方情報テーブルT3内を、属性A11「入院」に加えて、前回の検索処理で特定した属性A1「1」及び「3」を検索条件(A11「入院」AND(属性A1「1」OR属性A1「3」))として検索し、その属性値と対応付けられている属性A1「1」及び「3」を特定する。この検索の結果、2個の患者IDが検索されたため(ステップS3のNO)、検索部4は、検索した属性A1「1」及び「3」を、次回の検索の際の追加条件として設定する(ステップS4)。
【0035】
次に、検索部4は、属性A13「薬剤B200mg」について患者IDの検索を行う(ステップS2)。その際、テーブル特定部41は、属性A13「薬剤B200mg」の属性A13を含む処方情報テーブルT3を特定する。そして、ID特定部42は、特定された処方情報テーブルT3内を、属性A13「薬剤B200mg」に加えて、前回の検索処理で特定した属性A1「1」及び「3」を検索条件(A13「薬剤B200mg」AND(属性A1「1」OR属性A1「3」))として検索し、その属性値と対応付けられている属性A1「1」を特定する。この検索の結果、1個の患者IDが検索されたため(ステップS3のNO)、検索部4は、検索した属性A1「1」を、次回の検索の際の追加条件として設定する(ステップS4)。
【0036】
次に、検索部4は、最後の属性A21「2018年11月22日」について患者IDの検索を行う(ステップS2)。その際、テーブル特定部41は、属性A21「2018年11月22日」の属性A21を含む入退院履歴情報テーブルT4を特定する。そして、ID特定部42は、特定された入退院履歴情報テーブルT4内を、属性A21「2018年11月22日」に加えて、前回の検索処理で特定した属性A1「1」を検索条件(A21「2018年11月22日」AND属性A1「1」)として検索し、その属性値と対応付けられている属性A1「1」を特定する。この検索の結果、1個の患者IDが検索されたため(ステップS3のNO)、検索部4は、検索した属性A1「1」を、次回の検索の際の追加条件として設定する(ステップS4)。上記の患者ID検索ループLの結果、属性A1「1」が検索される。
【0037】
検索された患者IDは1つだけであるため(ステップS5のYES)、匿名加工処理部6は、検索された属性A1「1」と提供データDB21において対応付けられている属性値の組に対して匿名加工処理を行う(ステップS6)。具体的には、その属性値の組を提供データDB21から削除する。以上が、匿名加工処理の動作例についての説明である。
【0038】
なお、上記の動作例では、1つの属性値に対して1つの医療情報テーブルTのみが特定されているが、属性値によっては複数の医療情報テーブルTが特定される場合がある。例えば、属性A5は疾患情報テーブルT2、処方情報テーブルT3及び入退院履歴情報テーブルT4の3個の医療情報テーブルTに含まれるため、この属性A5の属性値について患者IDが検索される場合には、これら3個の医療情報テーブルTの各々において患者IDの検索が行われることになる。
【0039】
以上説明した匿名加工処理システム1によれば、データ活用者に提供される医療情報が複数のテーブルにまたがって格納されており、それらのテーブルが単純に結合できない場合であっても、当該複数のテーブルから特定の個人の識別につながる医療情報を抽出して、抽出した医療情報に対して匿名加工を行うことができる。
【0040】
2.変形例上記の実施形態は下記のように変形してもよい。なお、下記の変形例は互いに組み合わせてもよい。
【0042】
2−2.変形例2記事テーブルT5の各レコードは、固有表現抽出を用いて公知情報に基づいて自動的に生成するようにしてもよい。
【0043】
2−3.変形例3匿名加工処理部6は、上記のレコード削除に代えてセル削除を行ってもよい。具体的には、判定部5により匿名加工対象と判定された属性値の組のうち、処理対象となった記事の属性値のいずれかと属性Aを同じくする属性値を提供データDBから削除するようにしてもよい。その際、処理対象となった記事の属性値のうち、記事テーブルT5において属性値の出現頻度が最も高い属性Aを特定して、特定した属性Aの属性値を提供データDBから削除するようにしてもよい。
【0044】
また、別の匿名加工処理として、一般化やトップ(ボトム)コーディングや項目削除を行ってもよい。具体的には、提供データDB21において、処理対象となった記事の属性値のいずれかの属性Aの全ての属性値を一般化したり、トップ(ボトム)コーディングしたり、削除したりするようにしてもよい。その際も、処理対象となった記事の属性値のうち、記事テーブルT5において属性値の出現頻度が最も高い属性Aの全ての属性値に対して一般化等を行ってもよい。
【0045】
2−4.変形例4テーブル特定部41は、処理対象の記事の属性値の各々について医療情報テーブルTを特定する際、それらの属性値の属性に設定された優先順位に従った順序で医療情報テーブルTを特定するようにしてもよい。例えば、処理対象の記事の属性値が、属性A4「男」、属性A8「脳梗塞」、属性A11「入院」、属性A13「薬剤B200mg」及び属性A21「2018年11月22日」であり、これらの属性値が属性の優先順位の降順に並べられていると仮定すると、テーブル特定部41は属性A4「男」から順に医療情報テーブルTを特定してゆく。
【0046】
ここで、各属性に設定される優先順位は、記事テーブルT5における属性値の出現頻度に基づいて設定される。具体的には、記事テーブルT5において属性値の出現頻度が高い属性ほど高くなるように優先順位は設定される。また別の例として、各属性に対して優先順位が予め定められていてもよい。
【0047】
2−5.変形例5判定部5により参照される閾値は必ずしも「1」でなくてもよい。例えば、「2」又は「3」であってもよい。
また、判定部5により参照される閾値は、処理対象の記事の属性値の数又は種類に基づいて設定されてもよい。具体的には、属性値の数に比例して閾値を増加させてもよい。または、属性値と属性Aを同じくする属性値の記事テーブルT5における出現頻度に比例して閾値を増加させてもよい。その際、属性値が複数存在する場合には、その中で最も高い出現頻度に比例して閾値を増加させてもよい。
【0048】
2−6.変形例6匿名加工処理部6による匿名加工処理を省略し、判定部5により匿名加工対象と判定された属性値の組を匿名加工対象として運用者に通知するようにしてもよい。具体的には、匿名加工対象の属性値の組をディスプレイに表示するようにしてもよい。この匿名加工対象の通知を受けた運用者は、自らの手で匿名加工処理を行う。
【0049】
または、判定部5による判定処理を省略し、検索部4により検索された患者IDを匿名加工対象の候補を示す情報として運用者に通知するようにしてもよい。具体的には、検索された患者IDを匿名加工対象の候補としてディスプレイに表示するようにしてもよい。この匿名加工対象の通知を受けた運用者は、自ら匿名加工処理の要否を判定し、必要であれば自らの手で匿名加工処理を行う。
【0050】
2−7.変形例7公知情報DB31の属性Aの中には、属性値が全く存在しないものもあり得る。そのような属性Aが存在する場合には、処理コストを削減するために、提供データDB21において当該属性Aを削除した中間データベースを作成し、作成した中間データベースと公知情報DB31を突合することで匿名加工処理を行うようにしてもよい。
【0051】
2−8.変形例8匿名加工処理システム1は、医療情報を匿名加工処理の対象としているが、当該処理の対象となる個人情報はこれに限られない。例えば、家庭の電力使用量に係るデータや、クレジットカードの利用に伴って蓄積される購買データや、鉄道の乗降データ等の個人情報を匿名加工処理の対象としてもよい。
【0052】
2−9.変形例9匿名加工処理システム1は、変形例8で例示したような様々な個人情報に対する匿名加工処理を可能にするために、それぞれ異なる分野の公知情報に基づいて作成される複数の記事テーブルを記憶しておき、処理対象の個人情報テーブルに応じて、突合させる記事テーブルを選択するようにしてもよい。突合させる記事テーブルを選択するにあたっては、処理対象の個人情報テーブルの属性を参考にしてもよい。例えば、属性名と記事テーブルIDを対応付ける変換テーブルを参照して、突合させる記事テーブルを選択するようにしてもよい。
【0053】
2−10.変形例10上記の匿名加工処理のステップS1において、検索部4は処理対象の記事の属性値のうち、動的属性の属性値を処理対象から除外するようにしてもよい。ここで動的属性とは、検査値や食事に関する情報等の常に変化する属性である。
【符号の説明】
【0054】
1…匿名加工処理システム、2…提供データ記憶部、3…公知情報記憶部、4…検索部、5…判定部、6…匿名加工処理部、21…提供データDB、31…公知情報DB、41…テーブル特定部、42…ID特定部、T1…患者情報テーブル、T2…疾患情報テーブル、T3…処方情報テーブル、T4…入退院履歴情報テーブル、T5…記事テーブル