知財求人 - 知財ポータルサイト「IP Force」
▶ バイオセンス・ウエブスター・(イスラエル)・リミテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022046450
(43)【公開日】2022-03-23
(54)【発明の名称】医療データを安全に記憶し取得する方法
(51)【国際特許分類】
H04L 9/10 20060101AFI20220315BHJP
G06F 21/60 20130101ALI20220315BHJP
G06F 21/62 20130101ALI20220315BHJP
G16H 10/00 20180101ALI20220315BHJP
【FI】
H04L9/10 A
G06F21/60 320
G06F21/62 354
G16H10/00
【審査請求】有
【請求項の数】15
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2021146578
(22)【出願日】2021-09-09
(31)【優先権主張番号】20195563
(32)【優先日】2020-09-10
(33)【優先権主張国・地域又は機関】EP
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.BLU-RAY DISC
(71)【出願人】
【識別番号】511099630
【氏名又は名称】バイオセンス・ウエブスター・(イスラエル)・リミテッド
【氏名又は名称原語表記】Biosense Webster (Israel), Ltd.
(74)【代理人】
【識別番号】110002952
【氏名又は名称】特許業務法人鷲田国際特許事務所
(72)【発明者】
【氏名】プラサド スリクリシュナ
(72)【発明者】
【氏名】ケルム ミヒャエル
(72)【発明者】
【氏名】ローゼンバウム ウーテ
(72)【発明者】
【氏名】ノッテブロック ダニエル
(72)【発明者】
【氏名】ジェイ アンソニー
(72)【発明者】
【氏名】スジス マヌエル
(72)【発明者】
【氏名】ラジャマニ シュリヴィディヤ ティルネルライ
(72)【発明者】
【氏名】トヴ アマツィア
(72)【発明者】
【氏名】アミット マティヤフ
【テーマコード(参考)】
5L099
【Fターム(参考)】
5L099AA22
(57)【要約】 (修正有)
【課題】医療データ(MD)を安全に記憶する(及び/又は安全に取得する)ためのゲートウェイ及び方法を提供する。
【解決手段】システム1000における記憶するための方法は、セキュア環境(SE)において、患者特性データPPD及び患者識別子データPIDを含むMDを取得する。PIDは、PPDが対応する少なくとも1人の患者を示す。方法さらに、MD内のPIDを非患者識別コード化識別子NPICIで置き換えることにより、SE内で匿名化医療データ(DIMD)を生成し、NPICIとPIDとの間の対応を示す再識別データベースRIDBを生成し、SEにおいて、少なくとも1つの対称及び/又は非対称暗号化方式をRIDBに適用することにより、暗号化再識別データベースeRIDBを生成し、eRIDB及びDIMDを、SEの外部のクラウドストレージCSに記憶する。
【選択図】図2
【解決手段】システム1000における記憶するための方法は、セキュア環境(SE)において、患者特性データPPD及び患者識別子データPIDを含むMDを取得する。PIDは、PPDが対応する少なくとも1人の患者を示す。方法さらに、MD内のPIDを非患者識別コード化識別子NPICIで置き換えることにより、SE内で匿名化医療データ(DIMD)を生成し、NPICIとPIDとの間の対応を示す再識別データベースRIDBを生成し、SEにおいて、少なくとも1つの対称及び/又は非対称暗号化方式をRIDBに適用することにより、暗号化再識別データベースeRIDBを生成し、eRIDB及びDIMDを、SEの外部のクラウドストレージCSに記憶する。
【選択図】図2
【特許請求の範囲】
【請求項1】
医療データ(MD)を安全に記憶するためのコンピュータで実施される方法であって、
セキュア環境(SE)において、患者特性データ(PPD)及び患者識別子データ(PID)を含む医療データ(MD)を取得するステップ(S10、S20、S30)であって、前記患者識別子データ(PID)は、前記患者特性データ(PPD)が対応する少なくとも1人の患者を示す、ステップと、
前記医療データ(MD)内の前記患者識別子データ(PID)を非患者識別コード化識別子(NPICI)で置き換えることによって、前記セキュア環境(SE)内で匿名化医療データ(DIMD)を生成するステップ(S40)と、
前記セキュア環境(SE)において、前記非患者識別コード化識別子(NPICI)と前記患者識別子データ(PID)との間の対応を示す再識別データベース(RIDB)を生成するステップ(S50)と、
前記セキュア環境(SE)において、少なくとも1つの対称及び/又は非対称暗号化方式を前記再識別データベース(RIDB)に適用することによって、暗号化再識別データベース(eRIDB)を生成するステップ(S60)と、
前記暗号化再識別データベース(eRIDB)及び前記匿名化医療データ(DIMD)を、前記セキュア環境(SE)の外部のクラウドストレージ(CS)に記憶するステップ(S70)と、
を含む、方法。
セキュア環境(SE)において、患者特性データ(PPD)及び患者識別子データ(PID)を含む医療データ(MD)を取得するステップ(S10、S20、S30)であって、前記患者識別子データ(PID)は、前記患者特性データ(PPD)が対応する少なくとも1人の患者を示す、ステップと、
前記医療データ(MD)内の前記患者識別子データ(PID)を非患者識別コード化識別子(NPICI)で置き換えることによって、前記セキュア環境(SE)内で匿名化医療データ(DIMD)を生成するステップ(S40)と、
前記セキュア環境(SE)において、前記非患者識別コード化識別子(NPICI)と前記患者識別子データ(PID)との間の対応を示す再識別データベース(RIDB)を生成するステップ(S50)と、
前記セキュア環境(SE)において、少なくとも1つの対称及び/又は非対称暗号化方式を前記再識別データベース(RIDB)に適用することによって、暗号化再識別データベース(eRIDB)を生成するステップ(S60)と、
前記暗号化再識別データベース(eRIDB)及び前記匿名化医療データ(DIMD)を、前記セキュア環境(SE)の外部のクラウドストレージ(CS)に記憶するステップ(S70)と、
を含む、方法。
【請求項2】
少なくとも非対称暗号化方式が、前記暗号化再識別データベース(eRIDB)を生成する(S60)ときに適用され、前記非対称暗号化方式が、秘密鍵(PRK)、及び公開鍵(PUK)に基づいており、前記非対称暗号化方式の公開鍵(PUK)が前記非対称暗号化に使用され、対応する復号のための秘密鍵(PRK)が前記セキュア環境(SE)に残っている、請求項1に記載の方法。
【請求項3】
前記公開鍵(PUK)、及び/又は前記秘密鍵(PRK)は、それぞれ暗号化された状態、ePUK/ePRKで前記セキュア環境のドメインに記憶され、前記対応する暗号化された状態、ePUK/ePRKは、セキュア環境固有トークン(SEST)を用いて、それぞれ、前記公開鍵(PUK)、又は前記秘密鍵(PRK)を暗号化した結果から生じる、請求項2に記載の方法。
【請求項4】
前記セキュア環境固有トークン(SEST)は、
前記セキュア環境(SE)の識別子トークンと、
前記セキュア環境(SE)内の少なくとも1つの装置(1、10、100)の識別子トークンと、
前記セキュア環境(SE)内で使用される少なくとも1つのソフトウェアアプリケーションの識別子トークンと、
前記公開鍵(PUK)を使用して暗号化されるデータのバージョン番号と、
のうちの少なくとも1つに基づいている、請求項3に記載の方法。
前記セキュア環境(SE)の識別子トークンと、
前記セキュア環境(SE)内の少なくとも1つの装置(1、10、100)の識別子トークンと、
前記セキュア環境(SE)内で使用される少なくとも1つのソフトウェアアプリケーションの識別子トークンと、
前記公開鍵(PUK)を使用して暗号化されるデータのバージョン番号と、
のうちの少なくとも1つに基づいている、請求項3に記載の方法。
【請求項5】
前記暗号化再識別データベース(eRIDB)は、前記セキュア環境(SE)内のデバイス(1)に追加的に記憶される、請求項1~4のいずれか1項に記載の方法。
【請求項6】
前記暗号化再識別データベース(eRIDB)は、前記クラウドストレージ(CS)上に記憶された複数のチャンクから構成される、又はそれらから構成されるように処理されるように生成される(S60)、請求項1~5のいずれか1項に記載の方法。
【請求項7】
前記再識別データベース(RIDB)の少なくとも2つの異なるバージョンに属するチャンクは、前記クラウドストレージ(CS)上に暗号化された状態で記憶され、
前記方法はどのチャンクがどのバージョンに属するかを示すが、一方、前記チャンクはそれらが属するバージョンに関する平文情報を含まないことが好ましいバージョン対応リスト(VCL)を生成するステップも含む、請求項6に記載の方法。
前記方法はどのチャンクがどのバージョンに属するかを示すが、一方、前記チャンクはそれらが属するバージョンに関する平文情報を含まないことが好ましいバージョン対応リスト(VCL)を生成するステップも含む、請求項6に記載の方法。
【請求項8】
前記バージョン対応リスト(VCL)を暗号化して、暗号化バージョン対応リスト(eVCL)を取得するステップと、前記暗号化バージョン対応リスト(eVCL)を前記クラウドストレージ(CS)に記憶するステップとをさらに含む、請求項7に記載の方法。
【請求項9】
暗号化匿名化医療データ(eDIMD)を生成するステップを含み、前記クラウドストレージ(CS)上に前記匿名化医療データ(DIMD)を記憶すること(S70)は、前記クラウドストレージ(CS)上に前記暗号化匿名化医療データ(eDIMD)を記憶することを含むか、又はそれからなる、請求項1~8のいずれか1項に記載の方法。
【請求項10】
前記クラウドストレージ(CS)から前記医療データ(MD)を取得するステップが、
前記クラウドストレージ(CS)からの前記匿名化医療データ(DIMD)を取得するステップ(S80)と、
前記クラウドストレージ(CS)から前記暗号化再識別データベース(eRIDB)を取得するステップ(S90)と、
前記再識別データベース(RIDB)を取得するために、前記暗号化再識別データベース(eRIDB)をセキュア環境(SE)での復号するステップ(S100)と、
前記再識別データベース(RIDB)に基づいて、前記匿名化医療データ(DIMD)内の前記非患者識別コード化識別子(NPICI)を対応する患者識別子データ(PID)と置換又は関連付けることによって、前記匿名化医療データ(DMID)から前記医療データ(MD)を再生成するステップ(S110)と、
を含む、請求項1~9のいずれか1項に記載の方法。
前記クラウドストレージ(CS)からの前記匿名化医療データ(DIMD)を取得するステップ(S80)と、
前記クラウドストレージ(CS)から前記暗号化再識別データベース(eRIDB)を取得するステップ(S90)と、
前記再識別データベース(RIDB)を取得するために、前記暗号化再識別データベース(eRIDB)をセキュア環境(SE)での復号するステップ(S100)と、
前記再識別データベース(RIDB)に基づいて、前記匿名化医療データ(DIMD)内の前記非患者識別コード化識別子(NPICI)を対応する患者識別子データ(PID)と置換又は関連付けることによって、前記匿名化医療データ(DMID)から前記医療データ(MD)を再生成するステップ(S110)と、
を含む、請求項1~9のいずれか1項に記載の方法。
【請求項11】
前記クラウドストレージ(CS)から前記セキュア環境(SE)の外部の処理エンティティ(3Pout)に前記匿名化医療データ(DIMD)を提供するステップ(S200)を含む、請求項1~10のいずれか1項に記載の方法。
【請求項12】
前記処理エンティティ(3Pout)による、前記匿名化医療データ(DIMD)に基づく人工知能エンティティの訓練(S210)を含む、請求項11に記載の方法。
【請求項13】
セキュア環境(SE)において使用するためのゲートウェイ(100)であって、
患者特性データ(PPD)及び患者識別子データ(PID)を含む医療データ(MD)を取得する(S30)ように構成された入力モジュール(110)であって、前記患者識別子データ(PID)は、前記患者特性データ(PPD)が対応する少なくとも1人の患者を示す、入力モジュール(110)と、
前記医療データ(MD)内の前記患者識別子データ(PID)を、非患者識別コード化識別子(NPICI)で置き換えることによって、匿名化医療データ(DIMD)を生成する(S40)ように構成された匿名化モジュール(120)と、
前記非患者識別コード化識別子(NPICI)と前記患者識別子データ(PID)との間の対応を示す再識別データベース(RIDB)を生成する(S50)ように構成されたデータベース生成モジュール(130)と、
少なくとも1つの対称及び/又は非対称暗号化方式を前記再識別データベース(RIDB)に適用することによって、暗号化再識別データベース(eRIDB)を生成する(S60)ように構成された暗号化モジュール(140)と、
前記セキュア環境(SE)の外部のクラウドストレージ(CS)に記憶される前記暗号化再識別データベース(eRIDB)及び前記匿名化医療データ(DMID)を送信する(S70)ように構成された通信モジュール(150)と、
を含む、ゲートウェイ(100)。
患者特性データ(PPD)及び患者識別子データ(PID)を含む医療データ(MD)を取得する(S30)ように構成された入力モジュール(110)であって、前記患者識別子データ(PID)は、前記患者特性データ(PPD)が対応する少なくとも1人の患者を示す、入力モジュール(110)と、
前記医療データ(MD)内の前記患者識別子データ(PID)を、非患者識別コード化識別子(NPICI)で置き換えることによって、匿名化医療データ(DIMD)を生成する(S40)ように構成された匿名化モジュール(120)と、
前記非患者識別コード化識別子(NPICI)と前記患者識別子データ(PID)との間の対応を示す再識別データベース(RIDB)を生成する(S50)ように構成されたデータベース生成モジュール(130)と、
少なくとも1つの対称及び/又は非対称暗号化方式を前記再識別データベース(RIDB)に適用することによって、暗号化再識別データベース(eRIDB)を生成する(S60)ように構成された暗号化モジュール(140)と、
前記セキュア環境(SE)の外部のクラウドストレージ(CS)に記憶される前記暗号化再識別データベース(eRIDB)及び前記匿名化医療データ(DMID)を送信する(S70)ように構成された通信モジュール(150)と、
を含む、ゲートウェイ(100)。
【請求項14】
実行時に、請求項1~12のいずれか1項に記載の方法を実行するように構成された実行可能プログラム命令(250)を含む、コンピュータプログラム(200)。
【請求項15】
実行時に、請求項1~12のいずれか1項に記載の方法を実行するように構成された実行可能プログラム命令(350)を含む、非一時的コンピュータ可読データ記憶媒体(300)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データを安全に記憶する方法、並びに対応するシステム、コンピュータプログラム、データ記憶媒体、及びデータストリームに関する。重要なアプリケーションの1つは、機密データのバックアップである。
【0002】
任意の種類のデータに適用可能であるが、本発明及び対応する内在する問題は、医療データに関連してさらに詳細に説明される。
【背景技術】
【0003】
ヘルスケア分野におけるデジタルデータの量の増加は、新たな可能性を開くが、特にデータプライバシー及びデータセキュリティに関して新たな課題を提起する。現在、この点に関する主要な法的規定は例えば、米国-米国健康保険の携行性と説明責任に関する法律(HIPAA)又は欧州一般データ保護規則(GDPR)である。
【0004】
他方、病院又は研究機関などの医療領域のテナントが、特にクラウドアプリケーションに関して、データプッシュ/プルシステム又はサービスを提供することができることが望ましい。上述の考察は、たとえデータが病院ネットワーク内でアクセスされても、医療データが匿名化されるか、又は暗号化されるという効果を通常有する。これは、患者データを再識別することができず、従って、データセットを特定の患者に(再)関連付けることができないので、ワークフローの管理を妨げる。
【0005】
別の課題は、医療データを安全に記憶して、定期的なバックアップを行わなければならないことである。原則として、クラウドストレージソリューションは、バックアップアプリケーションに適しており、通常、テナント構内からリモートでホストされるため、テナント施設自身内でデータの削除や破損が発生する可能性がある同じインシデントの影響を受けにくい。同時に、バックアップについてもデータのプライバシーを維持する必要がある。ローカル・バックアップ、すなわちテナントの(おそらく安全である)環境でのバックアップが可能であるが、それらは元のデータ(例えば、洪水や火災のような自然災害)の影響を受けやすいだけでなく、ハードウェア及びメンテナンスにおける重大なコスト要因を表す。
【発明の概要】
【0006】
前述の通り、本発明の目的は、医療データを安全に記憶する方法、並びに対応するシステム、コンピュータプログラム、データ記憶媒体、及びデータストリームを提供することである。
【0007】
この目的は、少なくとも本発明の独立請求項による特徴によって解決される。さらなる有利な特徴及び実施形態は、従属請求項及び明細書に記載されている。
【0008】
本発明の第1の態様によれば、医療データ(MD)を安全に記憶するためのコンピュータ実装方法が提供され、この方法は、少なくとも以下のステップを含む:
セキュア環境(SE)において、患者特性データ(PPD)及び患者識別子データ(PID)を含む医療データ(MD)を取得するステップであって、前記患者識別子データ(PID)は、前記患者特性データ(PPD)が対応する少なくとも1人の患者を示す、ステップと、
前記医療データ(MD)内の前記患者識別子データ(PID)を前記非患者識別コード化識別子(NPICI)で置き換えることによって、前記セキュア環境(SE)内で匿名化医療データ(DIMD)を生成するステップと、
前記セキュア環境(SE)において、前記非患者識別コード化識別子(NPICI)と前記患者識別子データ(PID)との間の対応を示す再識別データベース(RIDB)を生成するステップと、
前記セキュア環境(SE)において、少なくとも1つの対称及び/又は非対称暗号化方式を前記再識別データベース(RIDB)に適用することによって、暗号化再識別データベース(eRIDB)を生成するステップと、
前記暗号化再識別データベース(eRIDB)及び前記匿名化医療データ(DIMD)を、前記セキュア環境(SE)の外部のクラウドストレージ(CS)に記憶するステップ。
セキュア環境(SE)において、患者特性データ(PPD)及び患者識別子データ(PID)を含む医療データ(MD)を取得するステップであって、前記患者識別子データ(PID)は、前記患者特性データ(PPD)が対応する少なくとも1人の患者を示す、ステップと、
前記医療データ(MD)内の前記患者識別子データ(PID)を前記非患者識別コード化識別子(NPICI)で置き換えることによって、前記セキュア環境(SE)内で匿名化医療データ(DIMD)を生成するステップと、
前記セキュア環境(SE)において、前記非患者識別コード化識別子(NPICI)と前記患者識別子データ(PID)との間の対応を示す再識別データベース(RIDB)を生成するステップと、
前記セキュア環境(SE)において、少なくとも1つの対称及び/又は非対称暗号化方式を前記再識別データベース(RIDB)に適用することによって、暗号化再識別データベース(eRIDB)を生成するステップと、
前記暗号化再識別データベース(eRIDB)及び前記匿名化医療データ(DIMD)を、前記セキュア環境(SE)の外部のクラウドストレージ(CS)に記憶するステップ。
【0009】
セキュア環境(SE)は、特に、病院の内部ネットワークのような特定のテナントに関連付けられたイントラネットであってもよい。セキュア環境(SE)は、また、セキュア環境内のデータ問合せに対して、患者特性データ(PPD(Patient Property Data))が患者識別子データ(PID(Patient Identifier Data))と共に表示されることが許される(あるいはデフォルトでさえも)ように定義されてもよい。セキュア環境(SE)は、本文脈では、この環境がセキュアであることが定義されているため、トラステッド環境(TE)として指定される場合もある。本開示は、信頼できる環境を安全にするための方法に関するものではない。代わりに、全ての必要な予防策が取られたと仮定される。
【0010】
本文脈では、患者識別子データ(PID)が、患者の明確な名前、患者の誕生日又は年齢、患者の性別、患者の社会保障番号、患者の医療提供者ID、患者のパスポート番号などを含むデータなどの特定の患者を識別することを可能にするデータである。
【0011】
一方、患者特性データ(PPD)は、本文脈では患者自身のアイデンティティを示す(又は推論することを可能にする)ことなく、患者の特定の特性、特に医学的詳細に関連するデータであると理解されるべきである。従って、患者特性データ(PPD)は、一人又は複数の患者の血液検査結果、以前の診断、病歴、現在知られている医学的症状及び/又は状態、健康保険データ、患者に関係する医学画像(例えば、X線画像、コンピュータ断層撮影画像又は磁気共鳴画像)及び/又は類似物などの項目を含むことができる。患者特性データ、(PPD)はまた、患者医療記録(PMR(Patient Medical Records))として参照されてもよい。
【0012】
医療データは、好ましくは複数の患者についての患者特性データ(PPD)を含み、それぞれの患者特性データ(PPD)が属する患者は、医療データの患者識別子データ(PID)によって識別される。
【0013】
従って、患者識別子データ(PID)を非患者識別コード化識別子(NPICI)に置き換えることは、有利には匿名化医療データ(DIMD)を、研究、診断目的、人工知能エンティティの訓練、統計などのために、個々の患者特性データ(PPD)がどの患者特性データに属するかについてのいかなる情報も伴わずに使用することができることを意味する。言い換えれば、患者の身元は保護され、一方、患者のデータは、研究などのために、又はセキュア環境(SE)の外部での処理のために、安全に使用され得る。
【0014】
他方、再識別データベース(RIDB)、及びそれぞれの患者識別子データ(PID)、及び非患者識別コード化識別子(NPICI)の間の1対1対応の存在は適切なクリアランスを有する人(例えば、医師、病院管理者など)が匿名化医療データ(DIMD)を容易に再識別することができる、すなわち、患者特性データ(PPD)を、各対応する患者識別子データ(PID)、又は言い換えれば、各患者と再関連付けることができることを保証する。
【0015】
このようにして、有利には医療データ(MD)のフルバックアップがクラウドストレージ(CS)内に、匿名化医療データ(DIMD)と、暗号化再識別データベース(eRIDB)とが存在することによって提供されるが、これはこれらの2つの部分が一緒になって(暗号化再識別データベース(eRIDB)を解読するためのクリアランスが与えられると)、医療データ(MD)全体を復元することができるからである。
【0016】
匿名化医療データ(DIMD:De-Identified Medical Data)は、そのままクラウドストレージ(CS)に記憶されてもよいし、暗号化された状態で暗号化匿名化医療データ(eDIMD:encrypted De-Identified Medical Data)として記憶されてもよい。後者の場合、暗号化再識別データベース(eRIDB:encrypted Re-Identifying DataBase)と同じ暗号化タイプ及び/又は1つ又は複数の暗号鍵が使用されてもよく、又は異なる暗号化タイプ及び/又は1つ又は複数の暗号鍵が使用されてもよい。
【0017】
他方、匿名化のために、匿名化医療データ(DIMD)は、例えば人工知能エンティティ(例えば、機械学習、人工ニューラルネットワーク等)の訓練のために、又は特定の患者コホート(cohort)の特性に関する統計のために、さらなる処理のために第三者に提供され得るように、暗号化されていない状態(pDIMDとして指定される平文)でクラウドストレージ(CS)に記憶されてもよい。もちろん、クラウドストレージ自体へのアクセスは、通常、パスワードなどによって制限され、その結果、許可されたユーザのみが、例えば、支払い後に、スマートコントラクトなどに関連して、匿名化医療データ(DIMD)を受信することができる。
【0018】
ただし、再識別データベース(RIDB)は、クラウドストレージ(CS)上で暗号化された状態(eRIDB)でのみ記憶される。その理由は、セキュア環境(SE)の外部にあるエンティティが匿名化医療データ(DIMD)と再識別データベース(RIDB)の両方を所有していないと想定されることであり、これは完全な医療データ(MD)を所有しているか、又は完全な医療データ(MD)にアクセスすることになるからである。
【0019】
有利なことに、本方法は、セキュア環境(SE)内で再識別データベース(RIDB)が利用可能であるので、許可された職員、許可されたアプリケーション/ソフトウェアなどが、患者識別子データ(PID)を含む医療データ(MD)にアクセスすることを可能にする。これにより、セキュア環境(SE)に対応する病院敷地内の患者の診断、治療、モニタリング等が大幅に容易になる。
【0020】
いくつかの有利な実施形態、改良、又は実施形態の変形では、少なくとも非対称暗号化方法が、暗号化再識別データベース(eRIDB)を生成するときに適用され、非対称暗号化方法は、秘密鍵、PRK、及び公開鍵(PUK)に基づいており、非対称暗号化方法の公開鍵(PUK)が非対称暗号化に使用され、対応する復号のための秘密鍵(PRK)がセキュア環境(SE)に残る。さまざまなタイプの暗号化を適用すると、権限のないエンティティによる暗号解読の試みの難しさが増す。好ましくは、暗号化再識別データベース(eRIDB)を生成する際に、少なくとも1つの対称暗号方式と少なくとも1つの非対称暗号方式の両方が適用される。
【0021】
いくつかの有利な実施形態では、実施形態の改良又は変形では、公開鍵(PUK)及び/又は秘密鍵(PRK)が、それぞれの暗号化状態ePUK/ePRKでセキュア環境SEのドメインに記憶される。セキュア環境(SE)のドメイン内の記憶は、セキュア環境(SE)自体内の、例えば、セキュア環境(SE)を実施する病院の構内の記憶を意味すると理解することができる。
【0022】
セキュア環境(SE)のドメインにおける記憶はまた、病院管理者又は医師などのセキュア環境(SE)内のクリアランスを有する人物が暗号化された公開鍵及び/又は暗号化された秘密鍵ePUK/ePRKの保管を有することを意味すると理解されてもよい(例えば、暗号化された公開鍵及び/又は暗号化された秘密鍵ePUK/ePRKを記憶する記憶媒体の保管を有することによって)。対応する暗号化状態ePUK/ePRKは、セキュア環境固有トークン(SEST:Secure-Environment-Specific Token)を使用して、公開鍵(PUK)、又は秘密鍵(PRK)をそれぞれ暗号化することによって有利に生じる可能性がある。このようにして、鍵はセキュア環境(SE)内での不正な使用からも保護され、従って、セキュア環境(SE)に対応する施設、又はセキュア環境(SE)を実装する施設への物理的なアクセスを得ることによって、鍵へのアクセスを得る試みからも保護される。
【0023】
いくつかの有利な実施形態、改良、又は実施形態の変形では、セキュア環境固有トークン(SEST)が以下のうちの少なくとも1つに基づく:
・セキュア環境(SE)の識別子トークン(シリアル番号など)、
・セキュア環境(SE)内の少なくとも1つの装置(例えば、ゲートウェイ、医療画像スキャナなどの医療データソース)の識別子トークン、
・セキュア環境(SE)内で使用される少なくとも1つのソフトウェアアプリケーションの識別子トークン(分析プログラムなど)、
・管理者が所有するドングルのRFIDコード、
及び/又は、
・公開鍵(PUK)を使用して暗号化されるデータのバージョン番号。
・セキュア環境(SE)の識別子トークン(シリアル番号など)、
・セキュア環境(SE)内の少なくとも1つの装置(例えば、ゲートウェイ、医療画像スキャナなどの医療データソース)の識別子トークン、
・セキュア環境(SE)内で使用される少なくとも1つのソフトウェアアプリケーションの識別子トークン(分析プログラムなど)、
・管理者が所有するドングルのRFIDコード、
及び/又は、
・公開鍵(PUK)を使用して暗号化されるデータのバージョン番号。
【0024】
いくつかの有利な実施形態、改良、又は実施形態の変形では、暗号化再識別データベース(eRIDB)(及び/又はバックアップされる他のデータ、例えば、匿名化医療データ(DIMD))は、セキュア環境(SE)内の装置、例えば、ゲートウェイ、PACS、医療撮像装置、及び/又は同様のものにさらに記憶される。これにより、冗長性が追加され、レイテンシーが削減される。さらに、クラウドストレージ上で追加の非一時的なメモリを占有する代わりに、セキュア環境内で現在使用されていない非一時的なメモリを使用することもできる。セキュア環境(SE)内の装置内でバックアップされたファイルの取得は、クラウドストレージ(CS)からの取得に関して記述されたものと類似して実行されてもよい。
【0025】
セキュア環境(SE)のデバイスへの記憶は、DICOMフォーマットで、すなわち、1つ又は複数のDICOMファイルとして記憶されるデータをカプセル化することによって実行され得る。DICOMが本明細書で言及されるときはいつでも、これは、例えば、現在のDICOM PS3.1 2020c規格(又は前記規格のいずれかの後のバージョン又は以前のバージョン)による「医療におけるデジタル画像化及び通信(Digital Imaging and Communications in Medicine)」(DICOM)規格を指すことを理解されたい。
【0026】
いくつかの有利な実施形態、改良、又は実施形態の変形では、暗号化再識別データベース(eRIDB)がクラウドストレージ(CS)上に記憶される複数のチャンク(すなわち、個々のデータコンテナ又はフラグメント)から構成されるものとして生成されるか、又は複数のチャンクから構成されるように処理される。クラウドストレージ(CS)上に(又はクラウドストレージ(CS)に)個別のチャンクを記憶(又はアップロード)すると、比較的大きな単一ファイルデータベースをアップロードするよりもエラーが発生しにくくなる。さらに、以下で説明するように、クラウドストレージ(CS)上に多数のチャンクが存在することは、不正アクセスの試みに対する追加のセキュリティを提供する。本文脈において、各チャンクは暗号化再識別データベース(eRIDB)の複数の部分のうちの1つと理解されてもよく、又は平文再識別データベース(pRIDB)の複数の部分のうちの1つであってもよく、ここで、前記部分(すなわち、チャンク)は次いで、個別に暗号化されて、暗号化再識別データベース(eRIDB)を共に形成する。
【0027】
具体的には、いくつかの有利な実施形態では、再識別データベース(RIDB)の少なくとも2つの異なるバージョンに属するチャンクを、クラウドストレージ(CS)上に暗号化状態で記憶することができる。従って、再識別データベース(RIDB)の履歴も、バックアップすることができる。
【0028】
好ましくは、チャンクが、それらが属するバージョンに関するいかなる平文情報も含まない。しかしながら、それらは、各チャンクを一意に識別するために使用されるハッシュ値のような符号化識別子でラベル付けされてもよい。例えば、ハッシュ値は、セキュアハッシュアルゴリズム、例えば、SHA-1、SHA-2、SHA-3及び/又は同種のものを使用して生成された、各チャンクのハッシュ(及び、任意選択で、そのバージョン番号)であってもよい。コード化された識別子は、例えば、クラウドストレージ(CS)に記憶されるときのチャンクの名前として使用することができる。
【0029】
この変形例の方法は、有利にはどのチャンクがどのバージョンに属するかを(少なくとも)示すバージョン対応リスト(VCL:Version Correspondence List)を生成するステップも含む。バージョン対応リスト(VCL)は、この末尾に、一方の側の各チャンクの符号化識別子と、他方の側のチャンクのバージョン番号(及び任意選択で追加の詳細)との対応(好ましくは、1対1の対応)を示してもよい。従って、効率的な復号のために、バージョン対応リストは、クラウドストレージ(CS)上の同一オブジェクト(例えば、暗号化再識別データベース(eRIDB))のバージョン数が増加するにつれて、ますます重要になる。このことは、無許可の攻撃者に対する課題も増大することを意味する。
【0030】
いくつかの有利な実施形態、改良、又は実施形態の変形では、方法が、暗号化バージョン対応リスト(eVCL)を取得するために、バージョン対応リスト(VCL)を暗号化するステップをさらに含む。暗号化再識別データベース(eRIDB)の復号は、バージョン対応リスト(VCL)がなくては非常に困難であるため、再識別データベース(RIDB)を効率的にバックアップし、従って、バージョン対応リスト(VCL)もまた暗号化によって保護され、好ましくは同様にバックアップされるべきであることを意味する。
【0031】
例えば、暗号化バージョン対応リスト(eVCL:encrypted Version Correspondence List)は、クラウドストレージ(CS)中にも記憶することができる。バージョン対応リスト(VCL)に使用される暗号化は、再識別データベース(RIDB)の暗号化と同じ暗号化プロトコル及び/又は暗号鍵を使用してもよく、又は異なるプロトコル及び/又は鍵を使用してもよい。
【0032】
いくつかの有利な実施形態、改良、又は実施形態の変形では、暗号化匿名化医療データ(eDIMD)を生成するステップを方法が含む。匿名化医療データ(DIMD)をクラウドストレージ(CS)に記憶するステップは、暗号化匿名化医療データ(eDIMD)をクラウドストレージCSに記憶するステップを含むか、又はそれから構成されてもよい。追加案、又は代替案として、クラウドストレージ(CS)上に匿名化医療データ(DIMD)を記憶することは、クラウドストレージ(CS)上に平文匿名化医療データ(pDIMD)を記憶することを含んでもよく、又はそれから構成されてもよい。
【0033】
平文匿名化医療データ(pDIMD)は、いずれの患者識別子データ(PID)も含まないので、多くのデータ保護規則システムによれば、クラウドストレージ(CS)上の暗号化されていない、すなわち平文状態でそれらを記憶することが可能である。これは、セキュア環境外の第三者又はエンティティが平文の匿名化医療データ(pDIMD)へのアクセスを許可され、それらをさらに処理することができるという追加の利点を有する。例えば、平文匿名化医療データ(pDIMD)は、人工ニューラルネットワークなどの人工知能エンティティを訓練するために、又は別の機械学習アプリケーションのために、使用することができる。
【0034】
いくつかの有利な実施形態、改良、又は実施形態の変形では、医療データを安全に記憶し、安全に取り出すための方法として、この方法が指定されてもよい。この方法は、以下のステップを含んでもよい:
・クラウドストレージ(CS)から、匿名化医療データ(DIMD)を取得する(例えば、ダウンロードする)ステップと、
・クラウドストレージ(CS)から暗号化再識別データベース(eRIDB)を取得する(例:ダウンロードする)ステップと、
・セキュア環境(SE)において、平文再識別データベース(pRIDB)を得るために暗号化再識別データベース(eRIDB)の復号するステップと、
・再識別データベース(RIDB)に基づいて、匿名化医療データ(DIMD)内の非患者識別コード化識別子(NPICI)を、対応する患者識別子データ(PID)と置換又は関連付けることによって、匿名化医療データ(DMID)から医療データ(MD)を再生成するステップ。これらのステップは(方法の他のステップのいずれかと同様に)、セキュア環境のゲートウェイによって有利に実行されてもよい。
・クラウドストレージ(CS)から、匿名化医療データ(DIMD)を取得する(例えば、ダウンロードする)ステップと、
・クラウドストレージ(CS)から暗号化再識別データベース(eRIDB)を取得する(例:ダウンロードする)ステップと、
・セキュア環境(SE)において、平文再識別データベース(pRIDB)を得るために暗号化再識別データベース(eRIDB)の復号するステップと、
・再識別データベース(RIDB)に基づいて、匿名化医療データ(DIMD)内の非患者識別コード化識別子(NPICI)を、対応する患者識別子データ(PID)と置換又は関連付けることによって、匿名化医療データ(DMID)から医療データ(MD)を再生成するステップ。これらのステップは(方法の他のステップのいずれかと同様に)、セキュア環境のゲートウェイによって有利に実行されてもよい。
【0035】
いくつかの有利な実施形態、改良、又は実施形態の変形では、方法がクラウドストレージ(CS)からの匿名化医療データ(DIMD)を、セキュア環境(SE)の外部の処理エンティティに提供するか、又は利用可能にするステップをさらに含む。例えば、この方法は、処理エンティティによって、匿名化医療データ(DIMD)に基づいて人工知能エンティティを訓練するステップをさらに含むことができる。
【0036】
第2の態様によれば、本発明は、セキュア環境で使用するためのゲートウェイも提供する。具体的には、ゲートウェイが以下を含むことができる:
患者特性データ(PPD)及び患者識別子データ(PID)を含む医療データ(MD)を取得するように構成された入力モジュールであって、前記患者識別子データ(PID)は、前記患者特性データ(PPD)が対応する少なくとも1人の患者を示す、入力モジュールと、
前記医療データ(MD)内の患者識別子データ(PID)を、非患者識別コード化識別子(NPICI)で置き換えることによって、匿名化医療データ(DIMD)を生成するように構成された匿名化モジュールと、
前記非患者識別コード化識別子(NPICI)と前記患者識別子データ(PID)との間の対応を示す再識別データベース(RIDB)を生成するように構成されたデータベース生成モジュールと、
少なくとも1つの対称及び/又は非対称暗号化方式を前記再識別データベース(RIDB)に適用することによって、暗号化再識別データベース(eRIDB)を生成するように構成された暗号化モジュールと、
前記セキュア環境(SE)の外部のクラウドストレージ(CS)に記憶される前記暗号化再識別データベース(eRIDB)及び前記匿名化医療データ(DMID)を送信するように構成された通信モジュール。
患者特性データ(PPD)及び患者識別子データ(PID)を含む医療データ(MD)を取得するように構成された入力モジュールであって、前記患者識別子データ(PID)は、前記患者特性データ(PPD)が対応する少なくとも1人の患者を示す、入力モジュールと、
前記医療データ(MD)内の患者識別子データ(PID)を、非患者識別コード化識別子(NPICI)で置き換えることによって、匿名化医療データ(DIMD)を生成するように構成された匿名化モジュールと、
前記非患者識別コード化識別子(NPICI)と前記患者識別子データ(PID)との間の対応を示す再識別データベース(RIDB)を生成するように構成されたデータベース生成モジュールと、
少なくとも1つの対称及び/又は非対称暗号化方式を前記再識別データベース(RIDB)に適用することによって、暗号化再識別データベース(eRIDB)を生成するように構成された暗号化モジュールと、
前記セキュア環境(SE)の外部のクラウドストレージ(CS)に記憶される前記暗号化再識別データベース(eRIDB)及び前記匿名化医療データ(DMID)を送信するように構成された通信モジュール。
【0037】
任意のモジュールが本明細書で言及されるときはいつでも、これは、ハードウェア及び/又はソフトウェアとして実現されるモジュールを指してもよいことを理解されたい。モジュールは、理解を容易にする方法として言及され、記述されており、全てのモジュールの全ての機能は、コンピュータプログラム命令(又はコンピュータコード)の1つの同一体によって実現され得ることは明らかであろう。さらに、本開示から逸脱することなく、任意の又はすべてのモジュールの機能が重複してもよく、いくつかのモジュールが他のモジュールに統合されてもよい。任意の又はすべてのモジュールは、マイクロプロセッサ、CPU(「中央処理装置」の頭字語)、GPU(「グラフィカル処理装置」の頭字語)、フィールドプログラマブルゲートアレイ(「FPGA」の頭字語)、又はASIC(「特定用途向け集積回路」の頭字語)のうちの少なくとも1つを含むか、又はそれらで構成されてもよい。
【0038】
本発明の第2の態様の実施形態によれば、ゲートウェイは特に、本発明の第1の態様の任意の実施形態による方法を実行するように構成することができる。従って、ゲートウェイは、第1の態様による方法について本明細書で説明される任意の有利な変形形態、改良形態、又は実施形態に修正又は適合されてもよい。
【0039】
本発明の第3の態様によれば、本発明の第2の態様の実施形態によるゲートウェイと、互いに動作可能にリンク又はリンク可能なクラウドストレージ(CS)とを含むシステムが提供され、その結果、ゲートウェイは、データ、好ましくは、クラウドストレージ(CS)に記憶され、任意選択で記憶されたデータをクラウドストレージ(CS)から再び取り出すことができる暗号化再識別データベース(eRIDB)、暗号化バージョン対応リスト(eVCL)などの暗号化データを記憶してもよい。従って、システムの1つの機能は、ゲートウェイ内で又はゲートウェイによって取得された医療データのためのクラウドベースのバックアップを提供することである。システムは、特に、本発明の第1の態様の任意の実施形態による方法を実行するように構成することができる。
【0040】
第4の態様によれば、本発明はまた、医療データを安全に取得するための方法を提供する。この方法は、以下のステップを含んでもよい:
・クラウドストレージ(CS)から、匿名化医療データ(DIMD)を取り出す(例えば、ダウンロードする)ステップであって、匿名化医療データ(DIMD)は、患者特性データ(PPD)、並びに非患者識別コード化識別子(NPICI)を含む、ステップと、
・クラウドストレージ(CS)から暗号化再識別データベース(eRIDB)を取得する(例:ダウンロードする)ステップと、
・患者特性データ(PPD)が対応する少なくとも1人の患者を示す非患者識別コード化識別子(NPICI)と患者識別子データ(PID)との間の対応関係(好ましくは1対1の対応関係)を示す平文再識別データベース(pRIDB)を得るために、セキュア環境(SE)において、暗号化再識別データベース(eRIDB)を復号するステップと、
・(平文)再識別データベースRIDBに基づいて、匿名化医療データ(DIMD)内の非患者識別コード化識別子(NPICI)を、対応する患者識別子データ(PID)に置換又は関連付けることによって、匿名化医療データ(DMID)から(平文)医療データ(MD)を再生成する。
・クラウドストレージ(CS)から、匿名化医療データ(DIMD)を取り出す(例えば、ダウンロードする)ステップであって、匿名化医療データ(DIMD)は、患者特性データ(PPD)、並びに非患者識別コード化識別子(NPICI)を含む、ステップと、
・クラウドストレージ(CS)から暗号化再識別データベース(eRIDB)を取得する(例:ダウンロードする)ステップと、
・患者特性データ(PPD)が対応する少なくとも1人の患者を示す非患者識別コード化識別子(NPICI)と患者識別子データ(PID)との間の対応関係(好ましくは1対1の対応関係)を示す平文再識別データベース(pRIDB)を得るために、セキュア環境(SE)において、暗号化再識別データベース(eRIDB)を復号するステップと、
・(平文)再識別データベースRIDBに基づいて、匿名化医療データ(DIMD)内の非患者識別コード化識別子(NPICI)を、対応する患者識別子データ(PID)に置換又は関連付けることによって、匿名化医療データ(DMID)から(平文)医療データ(MD)を再生成する。
【0041】
この方法は、第1の態様の実施形態による方法として、別のエンティティによって実行されてもよい。例えば、病院が新しい支店病院を開設し、病院に記憶された医療データが新しい支店病院にコピーされる場合、元の病院は第1の態様の実施形態による方法を使用して医療データを安全にアップロード(記憶)することができ、新しい支店病院は、第4の態様の実施形態による方法を使用して、医療データを安全にダウンロード(取得)することができる。
【0042】
これらのステップは(方法の他のステップのいずれかと同様に)、セキュア環境のゲートウェイによって有利に実行されてもよい。
【0043】
第5の態様によれば、本発明は、また、本発明の第4の態様の任意の実施形態による方法を実行するように構成されたゲートウェイ、具体的には、セキュア環境で使用するためのゲートウェイを提供し、このゲートウェイは以下のものを含む:
・クラウドストレージ(CS)から、匿名化医療データ(DIMD)を取得し(例えば、ダウンロードし)、匿名化医療データ(DIMD)は、患者特性データ(PPD)並びに非患者識別コード化識別子(NPICI)を含み、
・クラウドストレージ(CS)から暗号化再識別データベース(eRIDB)を取得(ダウンロードなど)する、
ように構成された通信モジュールと、
・少なくとも暗号化再識別データベース(eRIDB)を復号するように構成された復号モジュールと、
・(平文)再識別データベース(RIDB)に基づいて、匿名化医療データ(DIMD)内の非患者識別コード化識別子(NPICI)を対応する患者識別子データ(PID)と置換又は関連付けることによって、匿名化医療データ(DMID)から(平文)医療データ(MD)を再生成するように構成された再識別モジュール。
・クラウドストレージ(CS)から、匿名化医療データ(DIMD)を取得し(例えば、ダウンロードし)、匿名化医療データ(DIMD)は、患者特性データ(PPD)並びに非患者識別コード化識別子(NPICI)を含み、
・クラウドストレージ(CS)から暗号化再識別データベース(eRIDB)を取得(ダウンロードなど)する、
ように構成された通信モジュールと、
・少なくとも暗号化再識別データベース(eRIDB)を復号するように構成された復号モジュールと、
・(平文)再識別データベース(RIDB)に基づいて、匿名化医療データ(DIMD)内の非患者識別コード化識別子(NPICI)を対応する患者識別子データ(PID)と置換又は関連付けることによって、匿名化医療データ(DMID)から(平文)医療データ(MD)を再生成するように構成された再識別モジュール。
【0044】
本発明の第6の態様によれば、本発明の第5の態様の実施形態によるゲートウェイと、互いに動作可能にリンク又はリンク可能なクラウドストレージ(CS)とを含むシステムが提供され、その結果、ゲートウェイは、データ、好ましくは暗号化再識別データベース(eRIDB)、暗号化バージョン対応リスト(eVCL)などの暗号化データをクラウドストレージ(CS)から取り出すことができる。従って、システムの1つの機能は、クラウドベースのバックアップを使用することである。システムは特に、本発明の第4の態様の任意の実施形態による方法を実行するように構成することができる。
【0045】
第7の態様によれば、本発明は、実行されると、第1の態様の任意の実施形態による方法及び/又は第4の態様の任意の実施形態による方法を実行するように構成された実行可能プログラム命令を含むコンピュータプログラム製品を提供する。
【0046】
第8の態様によれば、本発明は実行されると、第1の態様の任意の実施形態による方法及び/又は第4の態様の任意の実施形態による方法を実行するように構成された実行可能プログラム命令を含む非一時的コンピュータ可読データ記憶媒体を提供する。
【0047】
非一時的なコンピュータ可読データ記憶媒体は、任意のタイプのコンピュータメモリ、特にソリッドステートメモリなどの半導体メモリを備えるか、又はそれから構成することができる。データ記憶媒体はまた、CD、DVD、Blu-Ray-Disc、USBメモリスティック、メモリカード(例えば、SDカード)等を備えるか、又はそれらから構成される。
【0048】
第9の態様によれば、本発明は実行されたときに、第1の態様の任意の実施形態による方法及び/又は第4の態様の任意の実施形態による方法を実行するように構成された実行可能プログラム命令を表す、又は生成するように構成されたデータストリームを提供する。
【0049】
本発明のさらなる有利な変形、改良、実施形態、及び態様は、図面を参照して以下の説明に関連してより明らかになるであろう。
【0050】
本発明は、添付の図面に示される例示的な実施形態を参照して、さらに詳細に説明される。
【0051】
添付の図面は、本発明のさらなる理解を提供するために含まれ、本明細書に組み込まれ、その一部を構成する。図面は、本発明の実施形態を示し、説明と共に、本発明の原理を示すのに役立つ。本発明の他の実施形態及び本発明の意図される利点の多くは、以下の詳細な説明を参照することによってより良く理解されるようになるにつれて、容易に認識されるであろう。同様の参照番号は、対応する同様の部品を示す。
【0052】
方法ステップの番号付けは、理解を容易にすることを意図しており、特に明記しない限り、又は黙示的に明確でない限り、指定されたステップがそれらの参照符号の番号付けに従って実行されなければならないことを意味すると解釈されるべきではない。特に、方法ステップのいくつか、又はすべてであっても、同時に、重複して又は連続して実行されてもよい。
【図面の簡単な説明】
【0053】
【図1】本発明の第1の態様による方法を示す概略流れ図である。
【図4】第7の態様の一実施形態によるコンピュータプログラム製品を示す概略ブロック図である。
【図5】第8の態様の一実施形態によるデータ記憶媒体を示す概略ブロック図である。
【0054】
本明細書では特定の実施形態を図示し、説明したが、本発明の範囲から逸脱することなく、様々な代替及び/又は均等の実施形態を、図示し、説明した特定の実施形態に置き換えることができることは、当業者には理解されよう。一般に、本出願は、本明細書で論じられる特定の実施形態の任意の適合又は変形を包含することが意図される。
【発明を実施するための形態】
【0055】
図1は、本発明の第1の態様による方法、すなわち医療データ(MD)を安全に記憶するためのコンピュータ実装方法を説明する概略流れ図を示す。本方法のステップをより容易に理解するために、以下の図2及び図3も参照される。
【0056】
図2は、本発明の第3の態様によるシステム1000、本発明の第2の態様によるゲートウェイ100、及び図1による方法をさらに説明する概略ブロック図を示す。さらに、図2は、本発明の第4の態様の実施形態による方法、本発明の第5の態様の実施形態によるゲートウェイ100、及び本発明の第6の態様の実施形態によるシステム1000を説明する役割を果たす。
【0057】
図3は、図1の方法による、クラウドストレージ(CS)上に/クラウドストレージ(CS)からバックアップされた医療データを安全に記憶する(及び任意選択で取り出す)ための方法ステップを説明する概略ブロック図をより詳細に示す。さらに、図3は、後述する本発明の第2の態様の実施形態によるゲートウェイ100の概略ブロック図を示す。
【0058】
さらに、図3は、本発明の第4の態様の実施形態による方法のクラウドストレージ(CS)からバックアップされた医療データを取り出す方法ステップと、本発明の第5の態様の実施形態によるゲートウェイ100とを説明する概略ブロック図を示す。
【0059】
いくつかの方法ステップは、ゲートウェイ100の部分又はモジュールと共に説明されるが、方法ステップは、他のエンティティ、システム、又はデバイスによっても実行され得ることを理解されたい。同様に、ゲートウェイ100は、通常、本明細書で説明される機能とは別に、様々な他の機能を実行する。
【0060】
本発明の本質的な部分ではないステップS10において、医療データ(MD)が医療データソース1によって取得される。本文脈では、医療データソース1が、病院(テナント)の構内に存在し、セキュア環境(SE)、すなわち安全なネットワークに接続されていると仮定する。しかしながら、医療データソース1は、施設外に配置されてもよく、他の手段によってセキュア環境(SE)に入ってもよい。例えば、患者は、以前の病歴を病院にアップロード又は持参することができ、以前に患者を治療した医師は、この患者から収集された医療データを送信などすることができる。
【0061】
図2に示すように、このような医療データソース1は、医用イメージングスキャナ(磁気共鳴イメージング(MRI)スキャナ、コンピュータ断層撮影(CT)スキャナ、X線スキャナ、超音波装置など)、X線透視ステーション、ユーザインタフェースを使用してデジタル化される医師による患者評価、心拍数モニタからのような患者監視データ、呼吸モニタ、外科的に挿入されたカメラからのカメラ画像、埋め込まれた送信装置からのデータなどを含むことができる。
【0062】
ステップS20において、獲得されたデータは、セキュア環境(SE)内で存続され得る。画像データ(医療データの一例として)の場合、それらは、例えば、セキュア環境(SE)の画像アーカイブ及び通信システム(PACS)10において持続されてもよい。データは、PACS10によって周知のDICOMフォーマットで記憶されてもよい。
【0063】
PACS10に保持された後、取得されたデータ又はPACS10における利用可能性の事実は、加入者のリストに送信されてもよい。加入者は、デバイス、監視ステーション、解析のためのソフトウェアモジュール、又は他の任意の後処理又は報告システムであってもよい。
【0064】
この例では、データはまた、ステップS30において、「医療データゲートウェイ」(MDG)とも呼ばれるゲートウェイ100に送信される。このような医療データゲートウェイの一例は、シーメンスヘルスケア社によるTeamplay(登録商標)受信機である。このようなゲートウェイは、ゲートウェイの通常の機能(ネットワーク間の相互運用性の提供、プロトコル変換など)を満たすだけでなく、図3の文脈で以下に説明するように、さまざまなソフトウェアモジュールを実装する。このように、ゲートウェイ100は、特に、処理ユニット(CPU)、ワーキングメモリ(RAM)、データ記憶ユニット(永続メモリ)、並びに少なくとも1つの入力インタフェース及び少なくとも1つの出力インタフェースを含む計算装置として、又はそれらとして実現することができ、計算装置の構成要素は互いに動作可能に結合される。
【0065】
ステップS30では、PACS10に由来しない他の医療データ(MD)、特に医療画像化に関連しない医療データ(MD)もゲートウェイ100に送信してもよい。そのようなデータは、モニタリングデータ(心拍数、呼吸数、EEGデータ、…)、医師によってユーザインタフェース(例えば、パーソナルコンピュータ、PCにおいて)に入力されるデータを含んでもよい。しかしながら、医用画像データは、PACS10を介する以外の方法によってゲートウェイ100に送信されてもよい。
【0066】
ステップS10~S30の任意の組み合わせの結果として、医療データ(MD)は、セキュア環境(SE)内で取得(又は入手)される。取得された、又は入手された医療データ(MD)は、患者識別子データ(PID)及び患者特性データ(PPD)を含むか、又はそれらから構成される。
【0067】
ステップS40において、匿名化医療データ(DIMD)が、セキュア環境(SE)内で、特にゲートウェイ100によって生成される。匿名化医療データ(DIMD)は、図3にも示されているように、医療データ(MD)内の患者識別子データ(PID)を、それぞれの非患者識別コード化識別子(NPICI)で置き換えることによって生成される。例えば、各非患者識別コード化識別子(NPICI)は、患者識別子データ(PID)、患者識別子データ(PID)の一部のハッシュ鍵であってもよく、及び/又は患者識別子データ(PID)及び他のデータの少なくとも一部に基づいていてもよい。
【0068】
さらに、ステップS50において、セキュア環境(SE)内で、特にゲートウェイ100によって、再識別データベース(RIDB)が生成される。再識別データベース(RIDB)は、非患者識別コード化識別子(NPICI)と患者識別子データ(PID)との間の(好ましくは1対1の)対応を示す(例えば図3参照)。例えば、再識別データベース(RIDB)は、各患者についての患者識別子データ(PID)の全てのデータフィールドと、各患者に対応する非患者識別コード化識別子(NPICI)を示すデータフィールドとを有するテーブルを含むか、又はテーブルから構成されてもよい。セキュア環境(SE)、特にゲートウェイ100内では、再識別データベース(RIDB)がpRIDBとして指定されてもよい平文状態で存在してもよい。
【0069】
再識別データベース(RIDB)は(好ましくは1対1の)対応を提供する機能だけでなく、匿名化医療データ(DIMD)から欠落している医療データ(MD)の部分を提供する機能も有するので、再識別データベース(RIDB)は完全な患者識別子データ(PID)を含むことが好ましい。
【0070】
ステップS50は、有利にはステップS40と同時に又は共に実行される。
【0071】
ステップS60では、暗号化再識別データベース(eRIDB)が少なくとも1つの対称及び/又は非対称暗号化方式(又は暗号化プロトコル)を再識別データベース(RIDB)に適用することによって、セキュア環境(SE)内に生成される。暗号化プロトコルは、ゲートウェイ100の一部であってもよいハードウェアセキュリティモジュール(HSM)によって適用されてもよい。
【0072】
この例では、対称暗号化プロトコルと非対称暗号化プロトコルの両方が適用され、最初に対称暗号化プロトコル、次に非対称暗号化プロトコルが適用される。しかしながら、異なるプロトコル、それらのアプリケーションの異なる順序、異なる数の暗号化プロトコル等が適用されてもよいことが理解されるべきである。本発明者らは、より多くの、より安全な暗号化プロトコルがそれらを適用するために必要な時間、並びに必要な計算能力を増加させるので、ここで説明されている例がセキュリティと実現可能性との間の良好なバランスを提供することを見出した。
【0073】
さらに、この例では、対称暗号化プロトコルとして256ビットの高度暗号化標準であるAES256が使用され、非対称暗号化プロトコルとしてRSA(例えば、2048ビットRSAや4096ビットRSA)が使用される。任意の他の適切な暗号化方法又は標準が、等しく又は追加的に適用され得ることが理解されるべきである。例えば、AES256は、楕円曲線暗号法、ECCに置き換えることができる。
【0074】
再識別データベース(RIDB)が記号Mrdで指定される場合、暗号化S60は、以下のサブステップにおいて実行されてもよい:
【0075】
ステップS61では、Mrdに対してAES256暗号化fenc,AESが実行される:
Crd=fenc,AES(Mrd,K)、
ここで、Crdは暗号文であり、Kは乱数鍵である。
Crd=fenc,AES(Mrd,K)、
ここで、Crdは暗号文であり、Kは乱数鍵である。
【0076】
次に、ステップS62において、RSAプロトコルのための公開鍵(PUK)及び秘密鍵(PRK)が、一般に知られている任意の方法で生成される。例えば、2つの大きい、近すぎない素数p及びqが選択され、乗算され、p*q=nである。カーマイケルの(又は代替的に、オイラーの)対数関数Φ(n)が計算され、整数eは1<e<Φ(n)であり、e及びΦ(n)は互いに素(coprime)であり、すなわち、gcd(e、Φ(n))=1であり、gcdは最大公約数を示すように選択される。次に、整数dはd=e-1mod(Φ(n))として決定され、すなわち、dはeモジュールΦ(n)のモジュラ乗法逆数である。
【0077】
従って、RSA公開鍵(PUK)は{e、n}で与えられ、RSA秘密鍵(PRK)は{d、n}で与えられる。
【0078】
ステップS63において、公開鍵(PUK)を用いて、暗号Crdはさらに、C’rd=fe(Crd)=Crd
e(mod§(n))に暗号化される。従って、C’rdは、Mrdが再識別データベース(RIDB)として設定されている場合、暗号化再識別データベース(eRIDB)に対応する。
【0079】
公開鍵(PUK)を保護するために、セキュア環境(SE)内部にも公開鍵(PUK)をセキュア環境(SE)で暗号化状態(ePUK)で記憶し、この暗号化にセキュア環境(SE)のセキュア環境固有トークン(SEST)を使用する。
【0080】
例えば、公開鍵暗号fPUKは
fPUK(PUK)=PUK+SEST
によって与えられ、ここでの加算は加算モジュロ(Φ(n))である可能性がある。
fPUK(PUK)=PUK+SEST
によって与えられ、ここでの加算は加算モジュロ(Φ(n))である可能性がある。
【0081】
セキュア環境固有トークン(SEST)は、セキュア環境(SE)で利用可能なコード又は数字を使用して、いくつかの方法のいずれかで生成されてもよい。例えば、セキュア環境固有トークン(SEST)は、以下のいずれか又はすべてを含むか、それに基づくことができる:
・セキュア環境(SE)の識別子トークンと、
・セキュア環境(SE)内の少なくとも1つの装置(ゲートウェイ100など)の識別子トークンと、
・暗号化される再識別データベース(RIDB)のバージョン番号と、
・少なくとも1つの医療データソース1のシリアル番号と、
・管理者が所有するドングルのRFIDコードと、
・及び/又は同様のもの。
・セキュア環境(SE)の識別子トークンと、
・セキュア環境(SE)内の少なくとも1つの装置(ゲートウェイ100など)の識別子トークンと、
・暗号化される再識別データベース(RIDB)のバージョン番号と、
・少なくとも1つの医療データソース1のシリアル番号と、
・管理者が所有するドングルのRFIDコードと、
・及び/又は同様のもの。
【0082】
同様に、秘密鍵(PRK)は、セキュア環境(SE)において暗号化状態(ePRK)に記憶することもできる。例えば、秘密鍵暗号化関数、fPRKが、以下のように適用される可能性がある、
fPRK(PRK)=PRK+HMSK,
HMSKは、病院管理者などが所有するマスター鍵を指定する。マスター鍵HMSKは次に、例えば、マスター鍵暗号化関数fMSKを用いて生成された暗号化状態に記憶されてもよい:
fMSK(HMSK)=HMSK+SEST。
fPRK(PRK)=PRK+HMSK,
HMSKは、病院管理者などが所有するマスター鍵を指定する。マスター鍵HMSKは次に、例えば、マスター鍵暗号化関数fMSKを用いて生成された暗号化状態に記憶されてもよい:
fMSK(HMSK)=HMSK+SEST。
【0083】
RDBVDEKが再識別データベース(RIDB)、暗号鍵の場合、次のように暗号化状態で記憶される
fencr(RDBVDEK)=RDBVDEK+PUK。
fencr(RDBVDEK)=RDBVDEK+PUK。
【0084】
ステップS70において、暗号化再識別データベース(eRIDB)及び匿名化医療データ(DIMD)は、次いで、セキュア環境(SE)の外部のクラウドストレージ(CS)に記憶される。好ましくは、転送中のデータが強力な暗号が強制されたTLS v1.2(又はそれ以上)を使用して暗号化される。
【0085】
任意選択のステップとして、匿名化医療データ(DIMD)を暗号化して、暗号化匿名化医療データ(eDIMD)を提供することもでき、これをクラウドストレージ(CS)に記憶することができる。この場合、好ましくは、平文の匿名化医療データ(pDIMD)がクラウドストレージ(CS)に記憶されない。その中で使用される暗号化プロトコル及び/又は鍵は、暗号化再識別データベース(eRIDB)に対するものと同じであってもよいが、好ましくは異なる。
【0086】
しかしながら、クラウドストレージ上に平文匿名化医療データ(pDIMD)を記憶することは、センシティブな患者識別子データ(PID)が漏洩することなく、それらをクラウドストレージ(CS)によって異なるプロセスに提供することができる(S200)という利点を有する。このようにして、例えば、平文匿名化医療データ(pDIMD)は、人工ニューラルネットワークのような人工知能エンティティを訓練する目的で利用可能にされ得る(すなわち、送信され得るか、又は取り出され得る)。従って、平文匿名化医療データ(pDIMD)は、グラウンドトゥルースラベルを含むトレーニングデータとして、又はその基礎として使用することができる。
【0087】
いくつかの変形例では、暗号化再識別データベース(eRIDB)及び/又は匿名化医療データ(DIMD)(eDIMD又はpDIMDのいずれか)がクラウドストレージ(CS)とは別の他の場所に記憶されてもよい。例えば、両方又はいずれかの追加のバックアップコピーを、ゲートウェイ100、いずれかの医療データソース1、PACS10、及び/又は同様のものに記憶することができる。例えば、暗号化再識別データベース(eRIDB)及び/又は匿名化医療データ(DIMD)は、DICOMフォーマットにカプセル化され、PACS10に入れられる。
【0088】
暗号化ステップS60のいくつかの変形が可能である。たとえば、暗号化プロトコルが適用される、人間が読み取れる(平文の)完全な再識別データベース(pRIDB)である必要はない。代わりに、いくつかの変形では、再識別データベース(RIDB)がまず、いくつかのチャンク、例えば固定数のチャンク、又は固定サイズのチャンクに分割されてもよい。
【0089】
このための1つの選択肢は、再識別データベース(RIDB)のビットをマトリックス構造に分配し、次いで、上述のステップS61~S63を使用してマトリックス構造の各セルを個別に暗号化することである。例えば、10×10セルのマトリックス構造を使用することができ、第1のビット(又はより大きな部分)が第1のセルに入れられ、第2のビット(又は部分)が第2のセルに入れられ、100番目のビット(又は部分)が第100番目のセルに入れられるまで、第101番目のビット(又は部分)が再び第1のセルに入れられるなどである。言い換えれば、ビット(又は部分)数xは、セル数x mod 100に入れられる。再識別データベース(RIDB)を分割する他の方法も、同様に容易に想定することができる。
【0090】
言い換えると、上記式において、記号Mrdは、再識別データベース(RIDB)全体を指定するのではなく、再識別データベース(RIDB)の個々のチャンクを個別に指定してもよい。これは、再識別データベース(RIDB)を復号するために、すべての(暗号化された)チャンクを獲得しなければならず、そして、復号されたチャンクは、元の再識別データベース(RIDB)を再構築するような行列構造に従って正しい順序で配列されなければならないことを意味する。
【0091】
暗号化再識別データベース(eRIDB)をクラウドストレージ(CS)上に記憶すること(S70)は、クラウドストレージ(CS)上に各暗号化チャンクを記憶することを含む。
【0092】
有利には、暗号化されたチャンク自体が、行列構造のどのセルにそれらが属するかを示さない。代わりに、それらは、チャンクを一意に識別するために使用されるコード化されたセル識別子(例えば、ハッシュ値)を含む可能性がある。次に、どの符号化セル識別子が行列構造のどのセルに対応するかを示すチャンク対応リスト(CCL)を生成して、復号されたチャンクを再び行列構造に再配置し、読取可能な再識別データベース(RIDB)をもたらすようにしてもよい。
【0093】
通常、少なくとも2つのバージョンに従ってバックアップを準備し、維持することが望まれることを考慮に入れておくと、より強力なセキュリティを実現できる。1つのバックアップのみをクラウドストレージ(CS)に記憶し、現在存在するバックアップが次のバックアップのアップロード中に上書きされる場合、アップロード中に何らかの事故又はエラーが発生し、有効なバックアップがまったく存在しない状況になることは明らかである。従って、バックアップするすべてのファイル又はデータのバージョンが異なるバックアップが、クラウドストレージ(CS)に常に2つ以上存在することが望ましい。
【0094】
ここで、バックアップされるような1つのファイルとして再識別データベース(RIDB)がチャンクに分割され、その後暗号化され、クラウドストレージ(CS)上にステップS70で記憶される場合、暗号化されたチャンクの全体が、暗号化再識別データベース(eRIDB)を表す。例えば、これは100チャンクであってもよい。2つのバージョン(2つの異なる時点からの2つのバージョンなど)の再識別データベース(RIDB)がバックアップされた場合、これは、クラウドストレージ(CS)上に2つの異なる暗号化再識別データベース(eRIDB)を表す200個のチャンクが常に存在することになることを意味する。
【0095】
攻撃者がクラウドストレージ(CS)へのアクセスを取得する場合、攻撃者は(この単純な例では)200個の暗号化されたチャンクを見つけ、これらのチャンクは、コード化されたセル識別子(ハッシュ値など)によってのみ識別される。従って、攻撃者は、1つの暗号化再識別データベース(eRIDB)を表すチャンクの数を知るだけでなく、どのチャンクがどのバージョンに属するかも知ることはできない。しかしながら、再識別データベース(RIDB)のために、符号化の前に分割された平文(すなわち、読取可能な再識別データベース(RIDB))は、復号されたチャンクが正しい順序で配列されている場合にのみ得られる。
【0096】
従って、攻撃者がいくつかのチャンクを復号しようとするたびに、攻撃者は復号が成功したかどうかを調べるために、チャンクを配列するために、多数の異なる順序を試みる必要がある。例えば、10×10の行列に100個のチャンクを配置する方法は100!通りある。
【0097】
非対称暗号化プロトコル及び/又は対称暗号化プロトコルに、再識別データベース(RIDB)のバージョンごとに異なる暗号鍵を使用することで、セキュリティがさらに強化される。
【0098】
セキュア環境(SE)の管理者が、暗号化再識別データベース(eRIDB)を表す暗号化チャンクから再識別データベース(RIDB)を取得できるように、クラウドストレージ(CS)上のどの暗号化チャンクがどのバージョンに属し、どのセルにどのセルが生成されるかを示すバージョン対応リスト(VCL)を生成してもよい。
【0099】
VCLは、暗号化バージョン対応リスト(eVCL)を形成することができ、例えば、ステップS61~S63に従って、同じ鍵を使用するか、又は好ましくは異なる鍵を使用するかのいずれかで、任意の適切な方法で暗号化されてもよい。従って、攻撃者はまず、チャンクの復号を開始する前にこの構成を知らなければならず、次に、バージョン対応リスト(VCL)を復号するために、同じ復号プロトコルを使用して、どのチャンクを復号しなければならないかを知る必要がある。
【0100】
この方法は、特に図3に関して以下に簡単に説明するように、安全なデータ記憶及び取得方法にも拡張することができる。
【0101】
ステップS80において、匿名化医療データ(DIMD)(暗号化eDIMD、又は平文pDIMDのいずれか)は、クラウドストレージ(CS)から、特にゲートウェイ100によって(ゲートウェイ100へ)、セキュア環境(SE)から取り出される。クラウドストレージ(CS)に記憶されたeDIMDの場合、取得することS80は、eDIMDをダウンロードすることと、eDIMDに復号ステップを適用してpDIMDを生成することとを含む。クラウドストレージ(CS)に記憶されたpDIMDの場合、pDIMDは、単にダウンロードされて、取得することS80を実行する。
【0102】
ステップS90において、暗号化再識別データベース(eRIDB)は、クラウドストレージ(CS)からセキュア環境(SE)へ、特にゲートウェイ100によって(及びゲートウェイに)取得される(具体的にはダウンロードされる)。使用される変形例に応じて、暗号化再識別データベース(eRIDB)を取得することは、単一のファイル、又はいくつかの暗号化されたチャンクを、任意選択でバージョン対応リスト(VCL)(好ましくは符号化されたバージョン対応リスト(eVCL))と共にダウンロードすることを含んでもよい。
【0103】
ステップS100において、暗号化再識別データベース(eRIDB)は、(平文の)再識別データベース(RIDB)(これもpRIDBとして指定されることがある)を得るために、セキュア環境(SE)において復号される(仕様はどの暗号化が使われたかに再び異存して)。上述の変形例のいくつかでは、復号が、暗号化再識別データベース(eRIDB)を表す多数のチャンクの各々に適用され、それに続いて、(例えば)行列スキームに従ってチャンクへの分配を取り消すことによって、平文再識別データベース(pRIDB)を再生成することができる。
【0104】
ステップS110において、医療データ(MD)は、(解読された、すなわち、現在は平文である)再識別データベース(RIDB)によって示される1対1の対応に基づいて、非患者識別コード化識別子(NPICI)を対応する患者識別子データ(PID)と置き換えることによって、DIMDから再生成される。このステップは、図3にも説明されている。
【0105】
換言すれば、匿名化された非患者識別コード化識別子(NPICI)は、元の患者識別子データ(PID)に再マッピングされる。医療データ(MD)が、平文バージョンでゲートウェイ100内に存在することを強調し、明確にするために、それらをpMDと呼ぶこともできる。
【0106】
図2に戻って参照すると、本方法は、クラウドストレージ(CS)からセキュア環境(SE)の外部の処理エンティティ3Poutに、匿名化医療データ(DIMD)(特にpDIMD)を提供するステップS200をさらに含んでもよい。例えば、ステップS210において、処理エンティティ3Poutは、人工知能エンティティ、例えば機械学習、好ましくは人工ニューラルネットワークなどを訓練するために、匿名化医療データ(DIMD)を利用することができる。
【0107】
セキュア環境(SE)の内部の処理エンティティ3Pinが、医療データ(MD)を要求する場合、所望のセキュリティレベル、処理エンティティ3Pinのクリアランスなどに応じて、匿名化医療データ(DIMD)又は医療データ(MD)(患者識別子データ(PID)を含む)さえも提供され得る。処理エンティティ3Pout、3Pinは、例えばウェブブラウザを介して、匿名化医療データ(DIMD)にアクセスすることができる。
【0108】
図3は、また、本発明の第2の態様の実施形態によるゲートウェイ100と、本発明の第5の態様の実施形態によるゲートウェイ100とを示す。ゲートウェイ100は、特に、図1及び図2の方法の少なくともステップS30~S70、及び好ましくはステップS80~S110も実行するように構成され得る。
【0109】
具体的には、ゲートウェイ100が以下を含むことができる:
・患者特性データ(PPD)及び患者識別子データ(PID)を含む医療データ(MD)を取得する(S30)ように構成された入力モジュール110であって、患者識別子データ(PID)は、患者特性データ(PPD)が対応する少なくとも1人の患者を示し、
・医療データ(MD)内の患者識別子データ(PID)を非患者識別コード化識別子(NPICI)で置き換えることによって、匿名化医療データ(DIMD)を生成する(S40)ように構成された匿名化モジュール120と、
・非患者識別コード化識別子(NPICI)と患者識別子データ(PID)との間の1対1対応を示す再識別データベース(RIDB)(平文、すなわちpRIDB)を生成する(S50)ように構成されたデータベース生成モジュール130と、
・(平文)再識別データベース(pRIDB)に少なくとも1つの対称及び/又は非対称暗号化方式を適用することによって、暗号化再識別データベースeRIDBを生成する(S60)ように構成された暗号化モジュール140と、
・暗号化再識別データベース(eRIDB)及び匿名化医療データ(DMID)をセキュア環境(SE)の外部のクラウドストレージ(CS)上に記憶するために送信する(S70)ように構成された通信モジュール150。
・患者特性データ(PPD)及び患者識別子データ(PID)を含む医療データ(MD)を取得する(S30)ように構成された入力モジュール110であって、患者識別子データ(PID)は、患者特性データ(PPD)が対応する少なくとも1人の患者を示し、
・医療データ(MD)内の患者識別子データ(PID)を非患者識別コード化識別子(NPICI)で置き換えることによって、匿名化医療データ(DIMD)を生成する(S40)ように構成された匿名化モジュール120と、
・非患者識別コード化識別子(NPICI)と患者識別子データ(PID)との間の1対1対応を示す再識別データベース(RIDB)(平文、すなわちpRIDB)を生成する(S50)ように構成されたデータベース生成モジュール130と、
・(平文)再識別データベース(pRIDB)に少なくとも1つの対称及び/又は非対称暗号化方式を適用することによって、暗号化再識別データベースeRIDBを生成する(S60)ように構成された暗号化モジュール140と、
・暗号化再識別データベース(eRIDB)及び匿名化医療データ(DMID)をセキュア環境(SE)の外部のクラウドストレージ(CS)上に記憶するために送信する(S70)ように構成された通信モジュール150。
【0110】
入力モジュール110は、セキュア環境(SE)内でのデータ送受信のために構成された内部通信モジュール(又は内部通信インターフェース)の一部であってもよく、又は内部通信モジュール(又は内部通信インターフェース)として実現されてもよい。この場合、通信モジュール150は、外部通信モジュール150として、又は外部通信インタフェースとして指定されてもよい。
【0111】
通信モジュール150は、S80、S90で、DIMD(pDIMD又はeDIMD)、及び暗号化再識別データベース(eRIDB)をクラウドストレージ(CS)から取り出すようにさらに構成され得ることを理解されたい。
【0112】
ゲートウェイ100はさらに、暗号化再識別データベース(eRIDB)(及び任意選択でeDIMD)を復号するS100の復号モジュール160を備えてもよい。暗号化モジュール140と復号モジュール160は、互いに統合されていてもよいし、別個のものとして実現されていてもよいし、重複する構成要素を有していてもよい。たとえば、一部の暗号化/復号プロトコルでは、復号と暗号化は同じ操作を含む又はから構成される。他のモジュールについても同様に、特に暗号化モジュール140及び/又は復号モジュール160は、ハードウェア及び/又はソフトウェアとして実現することができる。従って、例えば、復号だけでなく暗号化に対しても同一の操作に対しては、対応するモジュール又はサブモジュールをハードウェアとして実現してもよい。
【0113】
ゲートウェイ100は、解読モジュール160から取得された(平文)再識別データベース(pRIDB)に基づいて、匿名化医療データ(DIMD)内の非患者識別コード化識別子(NPICI)を、対応する患者識別子データ(PID)と置換する(又は関連付ける)ことによって、匿名化医療データ(DIMD)から医療データ(MD)を再生成する(S110)ように構成された再識別モジュール170をさらに備えることができる。従って、ゲートウェイ100は、医療データ(MD)を安全に記憶するための方法の任意の実施形態を実行するように構成することができるだけでなく、記憶された医療データ(MD)をクラウドストレージ(CS)から安全に取り出すように構成することもできる。
【0114】
ゲートウェイ100の機能全体は、ゲートウェイ100のコントローラモジュール180(例えば、実行可能なコンピュータプログラム命令を有する対応するコンピュータプログラムを実行するマイクロコントローラ)によって制御することができる。
【0115】
図2はまた、本発明の第3の態様の実施形態及び/又は本発明の第6の態様の実施形態によるシステム1000を説明する。システム1000は、互いに動作可能にリンクされたゲートウェイ100及びクラウドストレージ(CS)を備えてもよく、その結果、システム1000は、本発明の第1の態様の任意の実施形態による方法を実行するか、又は実行することを可能にするように構成される。システム1000は、任意選択で、任意の数の医療データソース1、PACS10、及び/又は同様のものを備えることができ、セキュア環境(SE)を備えることさえできる。
【0116】
図4は、実行時に、本発明の第1の態様の任意の実施形態による方法及び/又は本発明の第4の態様の任意の実施形態による方法を実行するように構成された実行可能プログラム命令250を含む第7の態様の実施形態によるコンピュータプログラム製品200を説明する概略ブロック図を示す。
【0117】
図5は、実行時に、本発明の第1の態様の任意の実施形態による方法及び/又は第4の態様の任意の実施形態による方法を実行するように構成された実行可能プログラム命令350を含む、第8の態様の実施形態による非一時的コンピュータ可読データ記憶媒体300を説明する概略ブロック図を示す。
【0118】
前述の詳細な説明では、開示を効率化する目的で、様々な特徴が1つ又は複数の例又は例にまとめられている。上記の説明は、例示的であり限定的ではないことを意図していることを理解されたい。これは、全ての代替案、修正案、及び均等物を包含することを意図している。多くの他の例は、上記明細書を検討することにより当業者には明らかであろう。特に、システム及びゲートウェイについて説明した実施形態及び構成は本発明による方法に従って適用することができ、その逆も同様である。
【0119】
この実施形態はこの発明の原理及びその実際のアプリケーションを最も良く説明するために選択されて説明されたものであり、これにより、当該技術分野の当業者が、この発明及び考えられる特定の使用に合わせて様々な修正で様々な実施形態を最も良く利用することができるようになる。添付の特許請求の範囲及び明細書全体を通じて、「含む(including)」及び「ここで(in which)」という用語はそれぞれ「備える(comprising)」及び「ここで(wherein)」という用語の平易な英語の均等物として使用される。さらに、「1つの(a)」又は「1つの(one)」は、本件において複数を排除するものではない。データが言及される場合、これは、文脈から明示的又は黙示的に明らかでない限り、平文又は暗号化データを含むことができることを理解されたい。
【図1】
【図2】
【図3】
【図4】
【図5】
【外国語明細書】