ホーム > 特許ランキング > 株式会社WellGo
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-01-20
(45)【発行日】2023-01-30
(54)【発明の名称】匿名化データ表示システム
(51)【国際特許分類】
G06F 21/62 20130101AFI20230123BHJP
【FI】
G06F21/62 354
【請求項の数】
4
(21)【出願番号】P 2020003301
(22)【出願日】2020-01-13
(65)【公開番号】P2021111170
(43)【公開日】2021-08-02
【審査請求日】2021-11-10
(73)【特許権者】
【識別番号】520013722
【氏名又は名称】株式会社WellGo
(74)【代理人】
【識別番号】100154210
【弁理士】
【氏名又は名称】金子 宏
(72)【発明者】
【氏名】楠本 拓矢
【審査官】小林 秀和
(56)【参考文献】
【文献】特開2013-250937(JP,A)
【文献】特開2010-128593(JP,A)
【文献】特開2017-004494(JP,A)
【文献】特開2019-021055(JP,A)
【文献】米国特許出願公開第2017/0098097(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
提供サーバと、中間サーバとを備え、前記提供サーバは、匿名データ抽出プログラム及び対応データ抽出プログラムを備え、前記中間サーバに匿名ID及び表示データを送信し、
前記中間サーバは、前記提供サーバから前記匿名ID及び前記表示データを受信し、利用者認証を行った利用者端末上のブラウザを介して前記表示データを前記利用者端末に表示し前記匿名IDを送信し、前記ブラウザによって実行可能なスクリプト言語によって記載された匿名解除プログラムを前記利用者端末に送信し、
前記匿名解除プログラムは、前記ブラウザのローカルストレージに保持された前記匿名IDと個人情報とを対応させる対応データに基づいて前記表示データと前記個人情報とを表示し、
前記表示データには前記個人情報を含まないことを特徴とする、匿名化データ表示システム。
【請求項2】
前記匿名IDは、前記利用者端末に表示されないことを特徴とする、請求項1に記載の匿名化データ表示システム。
【請求項3】
前記匿名IDは、個人に関する情報を基に生成されたハッシュキーであることを特徴とする、請求項1又は2に記載の匿名化データ表示システム。
【請求項4】
前記提供サーバは、前記匿名ID及びその匿名IDについての前記対応データを生成し、前記対応データを前記中間サーバに送信せずに前記利用者端末に送信することを特徴とする、請求項1~3のいずれか1項に記載の匿名化データ表示システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、匿名化されたデータを表示し、一定条件の下で個人情報を合わせて表示する匿名化データ表示システムに関する。
【背景技術】
【0002】
例えば人間ドックの結果等の情報を共有する際に、個人情報を秘匿する匿名化が行われる。一方、例えば各個人が所属する企業の人事担当者には、個人情報を開示する匿名解除を行うことも必要である。そこで、個人情報の効果的な保護が求めれれる。
【0003】
特許文献1には、匿名IDを管理サーバに、個人IDをクライアントに保持し、クライアント装置の利用許可条件を管理する名寄せ制御方法が開示されている。
【0004】
また、特許文献2には、データを匿名でサーバに蓄積し、提供元の装置(当然に個人情報を管理している)の認証に基づいて個人情報を提供する情報提供システムが開示されている。。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2005-301978号公報
【文献】特開2019-197281号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1に開示の方法は、クライアントにおいて個人IDを参照するプログラムが動作するので、多くの利用者(クライアント機の使用者)が存在する場合に、何人にも使用できるものとなるとは言い切れない。
【0007】
特許文献2に開示のシステムは、一時的ではあるが個人情報を含むデータがサーバに存在することとなり、個人情報を含むデータがサーバから漏洩する可能性がある。
【0008】
そこで、本発明は、何人にも利用可能で、かつ、個人情報を含むデータがサーバから漏洩するリスクのない匿名化データ表示システムを提供することを課題とする。
【0009】
なお、データ提供者の機器(「提供サーバ」と言う。)及び利用者が使用する端末(「利用者端末」と言う。)には、当然に個人情報を含むデータが存在する。これらからの漏洩でなく、利用者が直接にアクセスするサーバ(「中間サーバ」と言う。)からの漏洩のリスクをなくすことが課題である。中間サーバには多数のデータが保持されるので、漏洩の損失が大きいからである。
【課題を解決するための手段】
【0010】
何人にも利用可能であることを実現するため、データの表示を利用者端末のブラウザを介して行う。ブラウザは、全ての端末に備えられているので、利用者は特別な操作を必要とせずに表示することができる。
【0011】
個人情報を含むデータがサーバから漏洩するリスクのないことを実現するため、利用者端末において匿名IDと個人情報の関連付けを行う。これをブラウザを介して行うためにはサンドボックス(ブラウザのセキュリティ保護機能)の制約があり、従来は行われていなかったが、出願人はこの問題を解決した。
【0012】
本発明の匿名化データ表示システムは、
提供サーバと、中間サーバとを備え、
前記提供サーバは、匿名データ抽出プログラム及び対応データ抽出プログラムを備え、前記中間サーバに匿名ID及び表示データを送信し、
前記中間サーバは、前記提供サーバから前記匿名ID及び前記表示データを受信し、利用者認証を行った利用者端末上のブラウザを介して前記表示データを前記利用者端末に表示し、前記ブラウザによって実行可能なスクリプト言語によって記載された匿名解除プログラムを前記利用者端末に送信し、
前記匿名解除プログラムは、前記ブラウザのローカルストレージに保持された前記匿名IDと個人情報とを対応させる対応データに基づいて前記表示データと前記個人情報とを表示し、
前記表示データには前記個人情報を含まないことを特徴とする。
提供サーバと、中間サーバとを備え、
前記提供サーバは、匿名データ抽出プログラム及び対応データ抽出プログラムを備え、前記中間サーバに匿名ID及び表示データを送信し、
前記中間サーバは、前記提供サーバから前記匿名ID及び前記表示データを受信し、利用者認証を行った利用者端末上のブラウザを介して前記表示データを前記利用者端末に表示し、前記ブラウザによって実行可能なスクリプト言語によって記載された匿名解除プログラムを前記利用者端末に送信し、
前記匿名解除プログラムは、前記ブラウザのローカルストレージに保持された前記匿名IDと個人情報とを対応させる対応データに基づいて前記表示データと前記個人情報とを表示し、
前記表示データには前記個人情報を含まないことを特徴とする。
【0013】
この特徴によれば、個人情報を含まない表示データが表示され、個人情報を表示するためには匿名解除プログラムを使用しなければならず、中間サーバでなく利用者端末に保持された対応データを参照しなければならないので、個人情報の効果的な保護が可能となる。また、ブラウザのみの操作によって表示、匿名解除ができるので、何人にも利用可能となる。
【0014】
本発明の匿名化データ表示システムは、
前記匿名IDは、前記クライアント端末装置に表示されないことを特徴とする。
前記匿名IDは、前記クライアント端末装置に表示されないことを特徴とする。
【0015】
この特徴によれば、匿名IDの漏洩を予防することができる。
【0016】
本発明の匿名化データ表示システムは、
前記匿名IDは、個人に関する情報を基に生成されたハッシュキーであることを特徴とする。
前記匿名IDは、個人に関する情報を基に生成されたハッシュキーであることを特徴とする。
【0017】
この特徴によれば、匿名IDを推測して情報を抽出することが困難となる。
【0018】
本発明の匿名化データ表示システムは、
前記提供サーバは、前記匿名ID及びその匿名IDについての前記対応データを生成し、前記対応データを前記中間サーバに送信せずに前記利用者端末に送信することを特徴とする。
前記提供サーバは、前記匿名ID及びその匿名IDについての前記対応データを生成し、前記対応データを前記中間サーバに送信せずに前記利用者端末に送信することを特徴とする。
【0019】
この特徴によれば、中間サーバには対応データが存在しない。すなわち、個人情報が存在しない。多数のデータを保持する中間サーバからデータが漏洩してしまっても、個人情報が漏洩しない。
【発明の効果】
【0020】
本発明によれば、何人にも利用可能で、かつ、個人情報を含むデータがサーバから漏洩するリスクのない匿名化データ表示システムを提供することができる。
【図面の簡単な説明】
【0021】
【発明を実施するための形態】
【0022】
図1は、匿名化データ表示システム及び周辺機器の構成を示す図である。提供サーバ1、中間サーバ2及び利用者端末3が互いにネットワークで接続されている。
【0023】
提供サーバ1は、データを作成して提供する者(例えば健康診断のデータについて健康診断を行った医療機関)が運用するサーバである。
【0024】
中間サーバ2は、多くの提供サーバ1からのデータを集約して配信する事業者が運用するサーバである。なお、1つだけの提供サーバ1であっても同様の運用をすることができる。
【0025】
利用者端末3は、中間サーバからのデータの配信を受ける者(例えば健康診断のデータについて健康診断を受けた者が従業員として所属する企業の人事担当者)が使用する端末である。広く用いられているコンピュータが利用者端末となり得る。。
【0026】
提供サーバ1は、データベース11、匿名データ抽出プログラム12及び対応データ抽出プログラム13を備えている。
【0027】
データベース11は、提供されるデータの集合体であり。個人情報が含まれている。ここで、データベース11は、検索機能を有するデータベースソフトウェアを用いたものでなくともよい。提供されるデータが抽出可能なもの(例えばCSV形式のデータファイル)であれば、いかなるものであってもよい。
【0028】
匿名データ抽出プログラム12は、データベース11から表示データ4(表示して開示されるデータであって個人情報を含まないもの)を抽出し、データベースの個人情報については匿名ID5に変換し、表示データ4と匿名ID5の組を中間サーバ2に送信する。
【0029】
ここで、個人情報から匿名IDへの変換は、各種の方法が可能であり、例えば乱数を用いて匿名IDを定める等、匿名IDに基づいて個人情報を求めることが不可能なものであればよい。ハッシュキーを用いることが広く行われている。
【0030】
ハッシュキーは、上記の個人情報又はその一部の個人に関する情報を基に生成することができる。個人に特化したハッシュキーとなる。ここで、個人に関する情報のみならす、利用者に関する情報や各利用者について事前に定めた情報を追加的に用いることが好ましい。同一の個人に係る別のデータが別の利用者に閲覧される場合に利用者毎に相違するハッシュキー(匿名ID」とすることができる。
【0031】
対応データ抽出プログラム13は。データベース11から個人情報6を抽出し、それと匿名ID5との組を利用者端末3に送信する。
【0032】
ここで、匿名データ抽出プログラム12及び対応データ抽出プログラム13は、本発明に固有のものであるが、提供サーバ1の他の機能は広く用いられているものを使用することができる。すなわち、中間サーバ2の運営者が匿名データ抽出プログラム12及び対応データ抽出プログラム13を提供サーバ1の運営者に提供すれば、中間サーバ2、匿名データ抽出プログラム12及び対応データ抽出プログラム13によって本発明の匿名化データ表示システムが構築される。提供サーバ1の他の機能及びハードウエアは本発明と無関係である。
【0033】
中間サーバ2は、提供サーバ1から表示データ4と匿名ID5の組を受信し、それを利用者端末3のブラウザ31に送信する。合わせて、匿名解除プログラム7を利用者端末3のブラウザ31に送信する。
【0034】
匿名解除プログラム7は、実行プログラムではなく、ブラウザによって実行可能なスクリプト言語(例えばjavascript(登録商標))によって記載されたものである。
【0035】
利用者端末3は、ブラウザ31及びローカルストレージ32を有している。ローカル外レージ3には
【0036】
ブラウザ31は、html形式のデータを表示することができ、スクリプト言語(例えばjavascript(登録商標))によって記載された、一般的な広く用いられているものである。
【0037】
ローカルストレージ32は、ブラウザ31による読取アクセスが許容されるストレージ領域である。ローカルストレージ32に対応データ8が格納されている。すなわち、匿名解除プログラム7がブラウザ31上で動作し、対応データ8を使用することができる。
【0038】
対応データ8がローカルストレージ32以外の箇所に格納されていると、匿名解除プログラム7が対応データ8を利用する際に、ブラウザ31がその確認を求める。ブラウザのサンドボックス(セキュリティ保護機能)によるものである。かかる確認要求は多くに利用者にとって想定外である。要求に対応できずに匿名解除プログラム7を実行できないことも考えられる。そこで、ローカルストレージ32に対応データ8が格納されているものとした。
【0039】
図2は、匿名化された表示を示す図である。匿名解除プログラム7を実行する前の表示を示すものである。匿名化を要さない表示データ(人間ドック受診の棟の表示等)と合わせて「表示名」(個人名又は匿名)が表示されている。ここでは、「表示名」を「名前取得不可」とする匿名表示91となっており、個人データを表示していない。
【0040】
図3は、匿名化された表示の変形を示す図である。図2と比較して、「表示名」に匿名ID5であるハッシュキーが付されて、匿名IDつきの匿名表示92となっている。匿名ID5を付してもそれによって個人データが判明するものではなく、かかる表示も可能である。なお、同一人のデータが複数ある場合、匿名IDによって同一人であるか否かの判定ができるので、それの得失を考慮して図2の表示と図3の表示のいずれを用いるかを設計することができる。
【0041】
図4は、個人情報を含む表示を示す図である。図2または図3の表示から、匿名解除プログラム7が匿名ID5(図3では表示、図2では非表示であるがブラウザ31に既送信)から、匿名ID5と個人情報6との対応を示す対応データ8を参照して個人名(個人情報6)を求め、個人情報を含む表示93を行ったものである。
【0042】
通常は、図4(A)に示すように、全てのデータについて個人名が表示される。一方匿名ID5に係る対応データ8が存在しない場合には、そのデータについては匿名表示91(又は匿名IDつきの匿名表示92)となる。利用者毎に、その利用者に表示が認められた個人情報6のみを表示するものである。
【0043】
以上詳細に説明したように、本発明の匿名化データ表示システムは、中間サーバ2に対応データ8(個人情報6を抽出できるデータ)が存在しないので、中間サーバからのデータ漏洩に対して、個人情報6の保護が万全である。また、ブラウザ31の処理によるので、何人にも利用可能である。
【産業上の利用可能性】
【0044】
何人にも利用可能で、かつ、個人情報を含むデータがサーバから漏洩するリスクのない匿名化データ表示システムである。多くのデータ配信業者、特に医療系のデータ配信業者による利用が考えられる。
【符号の説明】
【0045】
1 提供サーバ
11 データベース
12 匿名データ抽出プログラム
13 対応データ抽出プログラム
2 中間サーバ
3 利用者端末
31 ブラウザ
32 ローカルストレージ
4 表示データ
5 匿名ID
6 個人情報
7 匿名解除プログラム
8 対応データ
9 表示
91 匿名表示
92 匿名IDつきの匿名表示
93 個人情報を含む表示
11 データベース
12 匿名データ抽出プログラム
13 対応データ抽出プログラム
2 中間サーバ
3 利用者端末
31 ブラウザ
32 ローカルストレージ
4 表示データ
5 匿名ID
6 個人情報
7 匿名解除プログラム
8 対応データ
9 表示
91 匿名表示
92 匿名IDつきの匿名表示
93 個人情報を含む表示
【図1】
【図2】
【図3】
【図4】
