知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024179876
(43)【公開日】2024-12-26
(54)【発明の名称】情報処理装置、情報処理方法及びプログラム
(51)【国際特許分類】
G06F 21/62 20130101AFI20241219BHJP
【FI】
G06F21/62 354
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2023099160
(22)【出願日】2023-06-16
(71)【出願人】
【識別番号】520136537
【氏名又は名称】株式会社4DIN
(74)【代理人】
【識別番号】100190621
【弁理士】
【氏名又は名称】崎間 伸洋
(74)【代理人】
【識別番号】100212510
【弁理士】
【氏名又は名称】笠原 翔
(72)【発明者】
【氏名】高橋 精彦
(57)【要約】 (修正有)
【課題】識別可能性を低減する処理及びデータ管理を効率的に行う情報処理装置、情報処理方法及びプログラムを提供する。
【解決手段】ユーザ端末1は、個人情報を含む対象データ(第1データ)を取得する取得処理部31と、対象データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する処理内容決定部32と、第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して加工処理データ(第2データ)を作成する識別性低減部33と、加工処理データを出力する出力処理部34と、を備える。
【選択図】図3
【解決手段】ユーザ端末1は、個人情報を含む対象データ(第1データ)を取得する取得処理部31と、対象データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する処理内容決定部32と、第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して加工処理データ(第2データ)を作成する識別性低減部33と、加工処理データを出力する出力処理部34と、を備える。
【選択図】図3
【特許請求の範囲】
【請求項1】
個人情報を含む第1データを取得する取得手段と、
前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定手段と、
前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して第2データを作成する識別性低減手段と、
前記第2データを出力する出力手段と、
を備える情報処理装置。
前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定手段と、
前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して第2データを作成する識別性低減手段と、
前記第2データを出力する出力手段と、
を備える情報処理装置。
【請求項2】
前記第2データが作成された場合に、前記第1データを削除する削除手段をさらに備える、
請求項1に記載の情報処理装置。
請求項1に記載の情報処理装置。
【請求項3】
前記ファイル情報は、ファイル名、ファイルに記録されるデータ及び拡張子の少なくとも1つを含む、
請求項1に記載の情報処理装置。
請求項1に記載の情報処理装置。
【請求項4】
前記識別性低減手段は、
患者情報、病名情報、検査結果情報、ゲノム情報及び病理診断結果システムが有する情報の少なくとも1つに対して前記加工処理を実行し、識別可能性を低減する、
請求項1に記載の情報処理装置。
患者情報、病名情報、検査結果情報、ゲノム情報及び病理診断結果システムが有する情報の少なくとも1つに対して前記加工処理を実行し、識別可能性を低減する、
請求項1に記載の情報処理装置。
【請求項5】
前記取得手段は、前記第1データが所定のフォルダに格納されることをトリガとして前記第1データを取得する、
請求項1に記載の情報処理装置。
請求項1に記載の情報処理装置。
【請求項6】
前記ファイル情報に基づく前記加工処理の内容を保存する記憶手段をさらに備える、
請求項1に記載の情報処理装置。
請求項1に記載の情報処理装置。
【請求項7】
前記加工処理が前記第1データのファイル情報に基づいていない場合、又は前記加工処理により識別可能性が低減できない場合に、所定の警告をユーザに報知する報知手段をさらに備える、
請求項1に記載の情報処理装置。
請求項1に記載の情報処理装置。
【請求項8】
前記加工処理が前記第1データのファイル情報に基づいていない場合、又は前記加工処理により識別可能性が低減できない場合に、所定の警告を予め設定される管理者に報知する報知手段をさらに備える、
請求項1に記載の情報処理装置。
請求項1に記載の情報処理装置。
【請求項9】
コンピュータによる情報処理方法であって、
個人情報を含む第1データを取得する取得ステップと、
前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定ステップと、
前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して第2データを作成する識別性低減ステップと、
前記第2データを出力する出力ステップと、
を含む情報処理方法。
個人情報を含む第1データを取得する取得ステップと、
前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定ステップと、
前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して第2データを作成する識別性低減ステップと、
前記第2データを出力する出力ステップと、
を含む情報処理方法。
【請求項10】
個人情報を含む第1データを取得する取得ステップと、
前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定ステップと、
前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して第2データを作成する識別性低減ステップと、
前記第2データを出力する出力ステップと、
をコンピュータによって実行させるためのプログラム。
前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定ステップと、
前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して第2データを作成する識別性低減ステップと、
前記第2データを出力する出力ステップと、
をコンピュータによって実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
従来、個人情報保護法の施行により、特定の個人を識別する情報については、不適切に利用されないように、削除や置換等を行って個人の識別性を低減させる処理が行われている。この種の識別性低減処理に関する技術が記載されるものとして例えば特許文献1がある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008-217425号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、統計解析等の大量のデータに対して匿名化処理を行う場合、データごとに個人を特定するための情報の削除や置換処理を実行しなければならない。そのため、識別性を低減させるための処理に膨大な作業時間や作業工数がかかっている。また、識別可能性を低減する前の個人情報を含むデータについては、権限のない第三者に開示されないように管理する必要もある。従来技術には、識別可能性を低減するための処理やデータ管理処理の効率化という点で改善の余地があった。
【0005】
本発明は、識別可能性を低減する処理及びデータ管理を効率的に行うことを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するため、本発明の一態様は、個人情報を含む第1データを取得する取得手段と、前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定手段と、前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して第2データを作成する識別性低減手段と、前記加工処理により前記第1データの識別可能性が低減された第2データを出力する出力手段と、を備える情報処理装置である。
【発明の効果】
【0007】
本発明によれば、識別可能性を低減する処理及びデータ管理を効率的に行うことができる。
【図面の簡単な説明】
【0008】
【図1】情報処理装置としてのユーザ端末が適用される識別可能性低減システムの構成の概略を示す図である。
【図2】ユーザ端末のハードウェア構成を示すブロック図である。
【図3】ユーザ端末の機能的構成の一例を示す機能ブロック図である。
【図4】ユーザ端末による識別可能性低減処理の動作を示すフローチャートである。
【図5】ユーザ端末による識別可能性低減処理を説明する模式図である。
【発明を実施するための形態】
【0009】
<概要>
本実施形態の情報処理装置は、例えば、医療情報のような被験者に関するデータの中から個人を特定し得る個人情報を適切に削除又は置き換えるものである。
本実施形態においては、個人を特定し得る個人情報を適切に削除または置き換えることを「識別可能性を低減する」と表現している。
被験者に関するデータとしては、特にその種類が限定される訳ではないが、以下では、被験者の健康に関するデータ(医療情報)が識別可能性を低減する対象データである例を説明する。なお、被験者の健康に関するデータは、その被験者が医療を受けているか否は問わない。
医療情報としては、既往歴、生活上の習慣を示す情報(生活情報)、所見及び遺伝子情報(例えば、ゲノム解析に必要な情報)が挙げられる。既往歴には、病名、薬剤、薬の投与履歴、手術歴、検査結果、のうち少なくとも何れか1つが含まれる。
本実施形態の情報処理装置は、例えば、医療情報のような被験者に関するデータの中から個人を特定し得る個人情報を適切に削除又は置き換えるものである。
本実施形態においては、個人を特定し得る個人情報を適切に削除または置き換えることを「識別可能性を低減する」と表現している。
被験者に関するデータとしては、特にその種類が限定される訳ではないが、以下では、被験者の健康に関するデータ(医療情報)が識別可能性を低減する対象データである例を説明する。なお、被験者の健康に関するデータは、その被験者が医療を受けているか否は問わない。
医療情報としては、既往歴、生活上の習慣を示す情報(生活情報)、所見及び遺伝子情報(例えば、ゲノム解析に必要な情報)が挙げられる。既往歴には、病名、薬剤、薬の投与履歴、手術歴、検査結果、のうち少なくとも何れか1つが含まれる。
【0010】
<システム構成>
以下、本実施形態について、図面を用いて説明する。図1は、本発明の一実施形態に係る情報処理装置としてのユーザ端末1が適用される識別可能性低減システム100の構成の概略を示す図である。図1に示すように、本実施形態の識別可能性低減システム100は、氏名、年齢、性別等の個人情報を含む対象データ(第1データ)の識別可能性の低減処理するユーザ端末1と、識別可能性が低減された加工処理データ(第2データ)を保存する管理サーバ2と、ユーザ端末1を管理するための管理者端末3と、を含む。
以下、本実施形態について、図面を用いて説明する。図1は、本発明の一実施形態に係る情報処理装置としてのユーザ端末1が適用される識別可能性低減システム100の構成の概略を示す図である。図1に示すように、本実施形態の識別可能性低減システム100は、氏名、年齢、性別等の個人情報を含む対象データ(第1データ)の識別可能性の低減処理するユーザ端末1と、識別可能性が低減された加工処理データ(第2データ)を保存する管理サーバ2と、ユーザ端末1を管理するための管理者端末3と、を含む。
【0011】
ユーザ端末1は、対象データの識別可能性を低減処理し、識別可能性が低減された加工処理データを管理サーバ2に提供する識別可能性低減処理を実行する情報処理装置である。ユーザ端末1には、ユーザが識別可能性低減処理したい対象データを保存及び識別可能性を低減する加工処理を実行するためのローカル共有フォルダ40が構築される。なお、ユーザは、識別可能性を有する対象データを取り扱う、例えば、大学(病院、研究所等)に所属する医師や研究者等である。
【0012】
管理サーバ2は、クラウド上でデータを共有するサービスを提供する情報処理装置である。管理サーバ2は、ユーザが各種データを保存するためのクラウド共有フォルダ50を提供する。管理サーバ2は、ユーザ端末1に対してインターネット等の所定のネットワークを介して接続される。管理サーバ2には、複数のユーザ端末1が接続されてもよい。
【0013】
管理者端末3は、識別可能性低減システム100を利用するユーザのユーザ端末1を管理する管理者が利用する端末である。管理者端末3には、ユーザ端末1や管理サーバ2から識別可能性低減システム100の利用に関する情報が集約される。
【0014】
<ハードウェア構成>
次に、ユーザ端末1を構成するハードウェア構成の一例について説明する。図2は、本実施形態に係るユーザ端末1のハードウェア構成を示すブロック図である。ユーザ端末1は、CPU(Central Processing Unit)11と、ROM(Read Only Memory)12と、RAM(Random Access Memory)13と、バス14と、入出力インターフェース15と、出力部16と、入力部17と、記憶部18と、通信部19と、ドライブ20と、を備えている。
次に、ユーザ端末1を構成するハードウェア構成の一例について説明する。図2は、本実施形態に係るユーザ端末1のハードウェア構成を示すブロック図である。ユーザ端末1は、CPU(Central Processing Unit)11と、ROM(Read Only Memory)12と、RAM(Random Access Memory)13と、バス14と、入出力インターフェース15と、出力部16と、入力部17と、記憶部18と、通信部19と、ドライブ20と、を備えている。
【0015】
CPU11は、ROM12に記録されているプログラム、又は、記憶部18からRAM13にロードされたプログラムに従って各種の処理を実行する。RAM13には、CPU11が各種の処理を実行する上において必要なデータ等も適宜記憶される。CPU11、ROM12及びRAM13は、バス14を介して相互に接続されている。このバス14にはまた、入出力インターフェース15も接続されている。
【0016】
入出力インターフェース15には、出力部16、入力部17、記憶部18、通信部19及びドライブ20が接続されている。出力部16は、ディスプレイやスピーカ等で構成され、各種情報を画像や音声として出力する。入力部17は、キーボードやマウス等で構成され、各種情報を入力する。記憶部18は、ハードディスクやDRAM(Dynamic Random Access Memory)等で構成され、各種データを記憶する。通信部19は、インターネットを含むネットワークを介して他の装置との間で通信を行う。
【0017】
ドライブ20には、磁気ディスク、光ディスク、光磁気ディスク、或いは半導体メモリ等よりなる、リムーバブルメディア21が適宜装着される。ドライブ20によってリムーバブルメディア21から読み出されたプログラムは、必要に応じて記憶部18にインストールされる。また、リムーバブルメディア21は、記憶部18に記憶されている各種データも、記憶部18と同様に記憶することができる。
【0018】
なお、図示はしないが、管理サーバ2及び管理者端末3も、図2に示すハードウェア構成と同様の構成を有するものとする。
【0019】
<機能構成>
次に、ユーザ端末1の機能構成について説明する。図3は、ユーザ端末1の機能的構成の一例を示す機能ブロック図である。図3に示すように、ユーザ端末1は、CPU11において動作する機能部として、取得処理部31と、処理内容決定部32と、識別性低減部33と、出力処理部34と、削除処理部35と、報知処理部36と、を備える。
次に、ユーザ端末1の機能構成について説明する。図3は、ユーザ端末1の機能的構成の一例を示す機能ブロック図である。図3に示すように、ユーザ端末1は、CPU11において動作する機能部として、取得処理部31と、処理内容決定部32と、識別性低減部33と、出力処理部34と、削除処理部35と、報知処理部36と、を備える。
【0020】
取得処理部31は、氏名、年齢、性別等の個人情報を含む対象データ(第1データ)を取得する処理を実行する。取得処理部31は、予め設定されるトリガに基づいて対象データを取得する。本実施形態の取得処理部31は、ローカル共有フォルダ40を監視し、ローカル共有フォルダ40内にデータが格納されることをトリガとして対象データを取得する。
【0021】
処理内容決定部32は、ローカル共有フォルダ40に格納された対象データのファイル情報に基づいて、個人の識別可能性を低減する処理内容を決定する。本実施形態のファイル情報としては、ファイル名、ファイルに記録されるデータ、拡張子等が挙げられる。
【0022】
ユーザ端末1の記憶部18には、ローカル共有フォルダ40の他、ファイル情報に基づく識別可能性を低減する加工の内容を決定するための低減加工処理内容領域41が構築される。処理内容決定部32は、対象データのファイル情報と、記憶部18に保存される低減加工処理内容と、に基づいて加工処理の内容を決定する。次に、加工処理の内容について説明する。
【0023】
加工処理では、個人の特定を困難にするため、対象データにおける個人を識別可能な項目に対して、識別可能性を低減する加工が行われる。例えば、対象データに含まれる個人を識別可能な項目(匿名化対象項目)としては、患者情報、病理診断結果システムが有する情報(病理診断結果)等が挙げられる。患者情報は、例えば、氏名、性別、血液型、既往歴、身長、年齢等である。既往歴には、病名、薬剤、薬の投与履歴、手術歴、検査結果、のうち少なくとも何れか1つが含まれる。
【0024】
本実施形態では、識別可能性を低減するための加工処理として、いわゆるk-匿名化を利用する処理が用いられる。k-匿名化を利用する処理では、同じ属性のデータがk件以上になるように対象データを変換し、個人が特定される確率をk分の1以下に低減する。kの値は、セキュリティレベルや扱う情報の種類等に応じて予め設定される数値である。例えば、k=5やk=10が設定される。加工処理では、患者情報を識別性の低減対象とする場合、氏名、性別、既往歴、身長、年齢等に関する情報の全部又は一部を削除したり、数値の変更を行ったり、マスク処理を行ったりして個人の識別可能性を低減する処理が実行される。数値の変更は、例えば、年齢を年代に変更する処理である。なお、本実施形態における加工処理の効果は、個人の識別力を低減させることであり、不可逆性まで達成することを要する訳ではない。また、対象データ中の同じ属性のデータが何れもk件以上の場合は、加工処理を省略してもよい。
【0025】
さらに、加工処理の内容は、ファイル情報の内容に応じて異なる処理を設定することもできる。例えば、対象データのファイル名において、ある特定の文字列Aを含む場合には識別可能性を低減する項目aの数値を丸める処理(例えば、年齢を年代に変更)を実行し、特定の文字列Bを含む場合には、識別可能性を低減する項目bを削除する処理(例えば、性別を削除する処理)を実行するようにしてもよい。この場合、ユーザは、ファイル名の文字列により処理内容を指定することができる。
対象データとしては、テキストファイル(拡張子:txt等)、文書ファイル(拡張子:docx等)、プレゼンテーションファイル(拡張子:pptx等)、ワークシートファイル(拡張子:xlsx等)、カンマ区切り分字列ファイル(拡張子:csv、tab等)、XML文書ファイル(拡張子:xml等)などが挙げられる。また、対象データの拡張子は自由に作成することが可能であり、匿名化ルールに応じてユーザが自由に拡張子を決めてもよい。
なお、ファイル名以外に基づいて処理内容を決定してもよく、例えば、ファイルに記録されるデータの中に特定の文字列Cが含まれる場合は、項目cの情報を削除し、特定の文字列Dが含まれる場合には項目dの数値を丸める処理を実行してもよい。同様に、予め拡張子ごとに異なる処理内容を設定することができる。
対象データとしては、テキストファイル(拡張子:txt等)、文書ファイル(拡張子:docx等)、プレゼンテーションファイル(拡張子:pptx等)、ワークシートファイル(拡張子:xlsx等)、カンマ区切り分字列ファイル(拡張子:csv、tab等)、XML文書ファイル(拡張子:xml等)などが挙げられる。また、対象データの拡張子は自由に作成することが可能であり、匿名化ルールに応じてユーザが自由に拡張子を決めてもよい。
なお、ファイル名以外に基づいて処理内容を決定してもよく、例えば、ファイルに記録されるデータの中に特定の文字列Cが含まれる場合は、項目cの情報を削除し、特定の文字列Dが含まれる場合には項目dの数値を丸める処理を実行してもよい。同様に、予め拡張子ごとに異なる処理内容を設定することができる。
【0026】
識別性低減部33は、前記の対象データ(第1データ)における識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行する。言い換えると、識別性低減部33は、処理内容決定部32によって決定された処理内容に基づいて対象データに識別可能性を低減する加工処理を実行して加工処理データ(第2データ)を作成する。識別性低減部33により、対象データは識別可能性が低減され、加工処理データに変換される。
【0027】
出力処理部34は、識別性低減部33による加工処理によって対象データ(第1データ)の識別可能性が低減された加工処理データ(第2データ)を出力する。本実施形態の出力処理部34は、管理サーバ2によって提供されるクラウド上のクラウド共有フォルダ50に加工処理データをアップロードする。
【0028】
削除処理部35は、識別性低減部33による対象データ(第1データ)の加工処理が実行され、加工処理データ(第2データ)が作成された場合に、加工元になった対象データを削除する。
【0029】
報知処理部36は、加工処理により識別可能性が適切に低減されたか否かを判定する。報知処理部36は、例えば、加工処理の内容が対象データ(第1データ)のファイル情報に基づいてない場合、すなわち、判定される対象データのファイル情報が、加工処理の内容に予め設定されるファイル情報と異なる場合や、加工処理の内容に基づいて処理を行っても識別可能性が低減できない場合等に、加工処理データが適切でないと判定する。例えば、報知処理部36は、匿名化対象項目におけるある属性の数がk未満の場合、当該匿名対象項目が一定の基準を満たさないと判定する。より具体的には、加工処理によって年齢が年代に変更される丸め処理が実行された場合においても、ある属性を示す年代(例えば、10代)の数が3の場合、k未満となって当該加工処理データは識別可能性が基準を満たしていない(匿名性が低い)と判定される。
【0030】
報知処理部36は、識別可能性が適切に低減されない場合に、ユーザ及び管理者に対して警告情報を出力する。報知処理部36は、例えば、ユーザ端末1の出力部16にポップアップ等によりユーザに警告情報を表示し、管理者に対しては管理者端末3に警告情報を送信する。ユーザや管理者への警告情報による報知処理は、メールアドレス等へのメール送信でもよい。
【0031】
<処理内容>
次に、図4及び図5を参照して本実施形態の情報処理装置による識別性の低減処理の流れについて説明する。図4は、ユーザ端末1による識別性低減処理の動作を示すフローチャートである。このフローチャートは一例であり、処理の順序や処理内容が限定される訳ではない。図5は、ユーザ端末1による処理を説明する模式図である。なお、この図を参照して説明する処理は、一例であり、処理の順序、処理の省略、追加及び処理の変更等を行ってもよい。
次に、図4及び図5を参照して本実施形態の情報処理装置による識別性の低減処理の流れについて説明する。図4は、ユーザ端末1による識別性低減処理の動作を示すフローチャートである。このフローチャートは一例であり、処理の順序や処理内容が限定される訳ではない。図5は、ユーザ端末1による処理を説明する模式図である。なお、この図を参照して説明する処理は、一例であり、処理の順序、処理の省略、追加及び処理の変更等を行ってもよい。
【0032】
ステップS10において、取得処理部31は、ローカル共有フォルダ40内に対象データが格納されたことを検出する。次に、ステップS11において、取得処理部31は、対象データが保存されたことをトリガとしてローカル共有フォルダ40内の対象データを取得する。
【0033】
ステップS12において、処理内容決定部32は、取得した対象データのファイル情報に基づいて加工処理の内容を決定する。例えば、処理内容決定部32は、ファイル情報であるファイル名に基づいて、識別可能性を有する項目に対して識別可能性低減処理の内容を決定する。
【0034】
ステップS13において、識別性低減部33は、処理内容決定部32によって決定された加工処理の内容に基づいて対象データの項目に対して識別可能性を低減するための処理を実行する。
【0035】
ステップS14において、報知処理部36は、識別可能性を低減する処理により対象データから変換された加工処理データが適切になるか否かを判定する。
【0036】
報知処理部36は、加工処理データが適切になると判定した場合、処理をステップS15に進める(ステップS14;YES)。ステップS15において、出力処理部34は、クラウド上のクラウド共有フォルダ50に加工処理データを保存する処理を実行する。これにより、個人の特定が困難な加工処理データがクラウド上にアップロードされた状態となる。
【0037】
ステップS16において、削除処理部35は、識別可能性の低減処理を行った元データである対象データをローカル共有フォルダ40から削除する処理を実行する。ステップS16の処理の後、識別性低減処理は終了する。
【0038】
ステップS14の判定処理に戻って加工処理データが適切にならないと判定された場合について説明する。報知処理部36は、加工処理データが適切ではないと判定した場合、処理をステップS17に進める(ステップS14;NO)。
【0039】
ステップS17において、報知処理部36は、加工処理データが適切に生成されないことをユーザ及び管理者に報知する処理を実行する。この報知処理では、加工処理データが適切に生成されない具体的な原因を示す情報を付加した警告情報をユーザ及び管理者に出力してもよい。具体的な原因としては、例えば、ファイル名、データの内容、拡張子等が予め設定される加工処理の内容に合致しない場合等が挙げられる。あるいは、加工処理の内容に基づいて予め設定される対象データの項目に対して加工処理を行っても、十分に識別可能性が低減できない場合等が挙げられる。
【0040】
報知処理部36は、ステップS17の処理の後、ステップS15、ステップS16を経ることなく、識別性低減処理を終了する。この場合、加工処理データをクラウド共有フォルダ50に送る処理、及び、ローカル共有フォルダ40から対象データを削除する処理は行われない。
【0041】
<本実施形態の有利な効果>
上述の実施形態によれば、識別可能性を低減する処理及びデータ管理を効率的に行うことができる。
また、本実施形態によれば、情報システム(例えば、上記の識別可能性低減システム100)全体のセキュリティを向上することができ、これにより、個人情報漏洩等の事故を未然に防止できる。
また、本実施形態によれば、システム管理者(例えば、上記の管理者端末3のユーザ)の負担、具体的には、システム利用者(例えば、上記のユーザ端末1のユーザ)のデータ持ち出しに係るファイル内容の監査/監視業務の負担等を軽減できる。
上述の実施形態によれば、識別可能性を低減する処理及びデータ管理を効率的に行うことができる。
また、本実施形態によれば、情報システム(例えば、上記の識別可能性低減システム100)全体のセキュリティを向上することができ、これにより、個人情報漏洩等の事故を未然に防止できる。
また、本実施形態によれば、システム管理者(例えば、上記の管理者端末3のユーザ)の負担、具体的には、システム利用者(例えば、上記のユーザ端末1のユーザ)のデータ持ち出しに係るファイル内容の監査/監視業務の負担等を軽減できる。
【0042】
<他の実施形態>
上記の実施態様においては、識別可能性低減処理を行った加工処理データを管理サーバ上のクラウド共有フォルダに提供する構成としたが、本発明の他の実施形態としては、ユーザ端末1内に加工済みフォルダを設けて、この加工済みフォルダに加工処理データを提供する構成としてもよい。
このような構成によれば、よりコンパクトなシステム構成で個人の識別可能性を低減することが可能となる。
上記の実施態様においては、識別可能性低減処理を行った加工処理データを管理サーバ上のクラウド共有フォルダに提供する構成としたが、本発明の他の実施形態としては、ユーザ端末1内に加工済みフォルダを設けて、この加工済みフォルダに加工処理データを提供する構成としてもよい。
このような構成によれば、よりコンパクトなシステム構成で個人の識別可能性を低減することが可能となる。
【0043】
<その他>
以上、本発明の一実施形態について説明したが、本発明は、上述の実施形態に限定されるものではなく、本発明の目的を達成できる範囲での変形、改良等は本発明に含まれるものである。
以上、本発明の一実施形態について説明したが、本発明は、上述の実施形態に限定されるものではなく、本発明の目的を達成できる範囲での変形、改良等は本発明に含まれるものである。
【0044】
また例えば、上述した一連の処理は、ハードウェアにより実行させることもできるし、ソフトウェアにより実行させることもできる。換言すると、上述の機能的構成は例示に過ぎず、特に限定されない。即ち、上述した一連の処理を全体として実行できる機能が情報処理システムに備えられていれば足り、この機能を実現するためにどのような機能ブロックを用いるのかは特に上述の例に限定されない。また、機能ブロックの存在場所も、特に限定されず、任意でよい。例えば、サーバの機能ブロックを他の装置等に移譲させてもよい。逆に他の装置の機能ブロックをサーバ等に移譲させてもよい。また、一つの機能ブロックは、ハードウェア単体で構成してもよいし、ソフトウェア単体で構成してもよいし、それらの組み合わせで構成してもよい。
【0045】
一連の処理をソフトウェアにより実行させる場合には、そのソフトウェアを構成するプログラムが、コンピュータ等にネットワークや記録媒体からインストールされる。コンピュータは、専用のハードウェアに組み込まれているコンピュータであってもよい。また、コンピュータは、各種のプログラムをインストールすることで、各種の機能を実行することが可能なコンピュータ、例えばサーバの他汎用のスマートフォンやパーソナルコンピュータであってもよい。また、大量のデータを取り扱う場合は量子コンピュータ等の技術を用いてもよい。
【0046】
このようなプログラムを含む記録媒体は、ユーザ等にプログラムを提供するために装置本体とは別に配布される図示せぬリムーバブルメディアにより構成されるだけでなく、装置本体に予め組み込まれた状態でユーザ等に提供される記録媒体等で構成される。プログラムはネットワークを介して配信可能であることから、記録媒体は、ネットワークに接続された、或いは接続可能なコンピュータに搭載、或いはアクセス可能なものであってもよい。
【0047】
なお、本明細書において、記録媒体に記録されるプログラムを記述するステップは、その順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理をも含むものである。また、本明細書において、システムの用語は、複数の装置や複数の手段等より構成される全体的な装置を意味するものとする。
【0048】
換言すると、本発明が適用される情報処理装置は、次のような構成を有する各種各様の実施形態を取ることができる。
すなわち、(1)本発明が適用される情報処理装置(例えば、図1のユーザ端末1)は、個人情報を含む第1データを取得する取得手段(例えば、図3の取得処理部31)と、前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定手段(例えば、図3の処理内容決定部32)と、前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して第2データを作成する識別性低減手段(例えば、図3の識別性低減部33)と、前記加工処理により前記第1データの識別可能性が低減された第2データを出力する出力手段(例えば、図3の出力処理部34)と、を備える。
これにより、データ匿名化用のローカル共有フォルダ40に第1データ(対象データ)が保存されると、予め設定されたルールに基づき、識別可能性が低減された第2データ(加工処理データ)が自動的に出力される。ユーザは、識別可能性を低減するために開始ボタンを押す等の操作を行う必要や加工処理データを所定の場所に保存(移動)する必要もなくなり、識別性を低減するための手間を減らすことができる。自動的に識別可能性を低減する処理が実行されるので、共有システムの管理者によるユーザをサポートする負担も減らすことができる。
すなわち、(1)本発明が適用される情報処理装置(例えば、図1のユーザ端末1)は、個人情報を含む第1データを取得する取得手段(例えば、図3の取得処理部31)と、前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定手段(例えば、図3の処理内容決定部32)と、前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して第2データを作成する識別性低減手段(例えば、図3の識別性低減部33)と、前記加工処理により前記第1データの識別可能性が低減された第2データを出力する出力手段(例えば、図3の出力処理部34)と、を備える。
これにより、データ匿名化用のローカル共有フォルダ40に第1データ(対象データ)が保存されると、予め設定されたルールに基づき、識別可能性が低減された第2データ(加工処理データ)が自動的に出力される。ユーザは、識別可能性を低減するために開始ボタンを押す等の操作を行う必要や加工処理データを所定の場所に保存(移動)する必要もなくなり、識別性を低減するための手間を減らすことができる。自動的に識別可能性を低減する処理が実行されるので、共有システムの管理者によるユーザをサポートする負担も減らすことができる。
【0049】
また、(2)前記第1データに前記加工処理が行われた場合に、当該第1データを削除する削除手段(例えば、図3の削除処理部35)をさらに備える。
これにより、加工処理前のデータが自動的に削除されるので、ユーザや管理者が削除処理を行う手間を省くことができる。
これにより、加工処理前のデータが自動的に削除されるので、ユーザや管理者が削除処理を行う手間を省くことができる。
【0050】
また、(3)前記ファイル情報は、ファイル名、ファイルに記録されるデータ及び拡張子の少なくとも1つを含む。
これにより、ファイル情報の内容に応じて加工処理の内容を設定することができる。例えば、ファイル情報のファイル名によって加工処理の内容を変更する設定をしておくことにより、ユーザはファイル名により加工処理の内容を指定することができる。ファイルに記憶されるデータや拡張子も同様に設定することにより、ユーザは加工処理の内容を指定できる。
これにより、ファイル情報の内容に応じて加工処理の内容を設定することができる。例えば、ファイル情報のファイル名によって加工処理の内容を変更する設定をしておくことにより、ユーザはファイル名により加工処理の内容を指定することができる。ファイルに記憶されるデータや拡張子も同様に設定することにより、ユーザは加工処理の内容を指定できる。
【0051】
また、(4)前記識別性低減手段(例えば、図3の識別性低減部33)は、患者情報、病名情報、検査結果情報、ゲノム情報及び病理診断結果システムが有する情報の少なくとも1つに対して前記加工処理を実行し、識別可能性を低減する。
これにより、個人情報を含むため識別可能性を低減する必要性が高く、統計処理等において大量のデータを用いる場合がある情報に対し、手間を掛けることなく効率的な処理で識別性を低減できる。
これにより、個人情報を含むため識別可能性を低減する必要性が高く、統計処理等において大量のデータを用いる場合がある情報に対し、手間を掛けることなく効率的な処理で識別性を低減できる。
【0052】
また、(5)前記取得手段(例えば、図3の取得処理部31)は、前記第1データが所定のフォルダ(例えば、図3のローカル共有フォルダ40)に格納されることをトリガとして前記第1データを取得する。
これにより、加工対象の元データについては、セキュリティの観点からローカルのユーザ端末1に保存し、相対的に第三者がアクセスする可能性が高くなるクラウド上には識別可能性が低減された加工処理データがアップロードされることになり、識別可能性低減システム100のセキュリティレベルを向上できる。
これにより、加工対象の元データについては、セキュリティの観点からローカルのユーザ端末1に保存し、相対的に第三者がアクセスする可能性が高くなるクラウド上には識別可能性が低減された加工処理データがアップロードされることになり、識別可能性低減システム100のセキュリティレベルを向上できる。
【0053】
また、(6)前記ファイル情報に基づく前記加工処理の内容を保存する記憶手段(例えば、図3の記憶部18)をさらに備える。
これにより、ローカルのユーザ端末1の記憶部18に保存される加工処理の内容に基づいてクラウド上のクラウド共有フォルダ50に加工処理データが送信される。また、ローカル側のユーザ端末1で加工処理の内容を容易に変更することができる。
これにより、ローカルのユーザ端末1の記憶部18に保存される加工処理の内容に基づいてクラウド上のクラウド共有フォルダ50に加工処理データが送信される。また、ローカル側のユーザ端末1で加工処理の内容を容易に変更することができる。
【0054】
また、(7)前記加工処理が前記第1データのファイル情報に基づいていない場合、又は前記加工処理により識別可能性が低減できない場合に、所定の警告をユーザに報知する報知手段(例えば、図3の報知処理部36)をさらに備える。
これにより、対象データの識別可能性を低減する処理が適切に実行されない状況が発生したとしても、ユーザは警告情報によりその状況を容易に把握できる。従って、クラウド上に適切ではないデータがアップロードされた状態が長期間放置されるようなこともなくなり、よりセキュリティレベルを向上させることができる。
これにより、対象データの識別可能性を低減する処理が適切に実行されない状況が発生したとしても、ユーザは警告情報によりその状況を容易に把握できる。従って、クラウド上に適切ではないデータがアップロードされた状態が長期間放置されるようなこともなくなり、よりセキュリティレベルを向上させることができる。
【0055】
また、(8)前記加工処理が前記第1データのファイル情報に基づいていない場合、又は前記加工処理により識別可能性が低減できない場合に、所定の警告を予め設定される管理者に報知する報知手段(例えば、図3の報知処理部36)をさらに備える。
これにより、対象データの識別可能性を低減する処理が適切に実行されない状況が発生したとしても、識別可能性低減システム100の管理者は警告情報によりその状況を容易に把握できる。従って、クラウド上に適切ではないデータがアップロードされた状態が長期間放置されるようなこともなくなり、よりセキュリティレベルを向上させることができる。
これにより、対象データの識別可能性を低減する処理が適切に実行されない状況が発生したとしても、識別可能性低減システム100の管理者は警告情報によりその状況を容易に把握できる。従って、クラウド上に適切ではないデータがアップロードされた状態が長期間放置されるようなこともなくなり、よりセキュリティレベルを向上させることができる。
【0056】
また、(9)本発明が適用される情報処理方法は、コンピュータによりデータを共有する情報処理方法であって、個人情報を含む第1データを取得する取得ステップと、前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定ステップと、前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行して第2データを作成する識別性低減ステップと、前記第2データを出力する出力ステップと、を含む。
【0057】
また、(10)本発明が適用されるプログラムは、個人情報を含む第1データを取得する取得ステップと、前記第1データのファイル情報に基づいて、個人の識別可能性を低減する処理の内容を決定する決定ステップと、前記第1データにおける識別可能性の低減を要する項目に対して識別可能性を低減する加工処理を実行する識別性低減ステップと、前記第2データを出力する出力ステップと、をコンピュータによって実行させる。
【符号の説明】
【0058】
1:ユーザ端末(情報処理装置)、2:管理サーバ、31:取得処理部(取得手段)、32:処理内容決定部(決定手段)、33:識別性低減部(識別性低減手段)、34:出力処理部(出力手段)、35:削除処理部(削除手段)、36:報知処理部(報知手段)、100:識別可能性低減システム
【図1】
【図2】
【図3】
【図4】
【図5】