IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電気株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧

特許7513121システム、検索サーバ、検索サーバの制御方法及びコンピュータプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-01
(45)【発行日】2024-07-09
(54)【発明の名称】システム、検索サーバ、検索サーバの制御方法及びコンピュータプログラム
(51)【国際特許分類】
   G06Q 50/10 20120101AFI20240702BHJP
   G06F 16/245 20190101ALI20240702BHJP
【FI】
G06Q50/10
G06F16/245
【請求項の数】 10
(21)【出願番号】P 2022575502
(86)(22)【出願日】2021-12-23
(86)【国際出願番号】 JP2021047881
(87)【国際公開番号】W WO2022153826
(87)【国際公開日】2022-07-21
【審査請求日】2023-07-10
(31)【優先権主張番号】P 2021005438
(32)【優先日】2021-01-18
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】佐藤 雄亮
(72)【発明者】
【氏名】光畑 泰正
(72)【発明者】
【氏名】井上 雅視
(72)【発明者】
【氏名】道下 由梨香
【審査官】青柳 光代
(56)【参考文献】
【文献】特開2004-78515(JP,A)
【文献】特開2002-24225(JP,A)
【文献】特開平10-32598(JP,A)
【文献】特開2005-44292(JP,A)
【文献】特開2003-288468(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06Q 10/00 - 99/00
G06F 16/245
(57)【特許請求の範囲】
【請求項1】
サービス事業者が利用者にサービスを提供することで生じるデータを記憶する、サービスサーバと、
前記サービスサーバが記憶したデータをデータ利活用事業者に販売するための制御を行う、取引サーバと、
前記サービス事業者から前記データ利活用事業者へのデータ提供を制御する、流通制御サーバと、
前記サービス事業者に記憶されたデータと前記利用者のユーザIDが暗号化されたデータを記憶する、検索サーバと、
を含み、
前記取引サーバは、前記データ利活用事業者から検索条件を含む提供要請を受信すると共に、前記受信した提供要請を前記流通制御サーバに送信し、
前記流通制御サーバは、前記検索条件が、データ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索か否かを判定し、前記検索条件が前記高度検索の場合に、前記検索条件を前記検索サーバに送信し、
前記検索サーバは、前記検索条件に合致する利用者を特定し、前記特定された利用者のユーザIDを含む対象者リストを前記流通制御サーバに送信し、
前記流通制御サーバは、前記サービスサーバに対して、前記対象者リストに含まれる利用者のデータを前記データ利活用事業者にデータ提供するように指示する、システム。
【請求項2】
前記検索サーバは、データが暗号化されたまま演算が可能である、請求項1に記載のシステム。
【請求項3】
前記検索サーバは、秘密計算により前記対象者リストを生成する、請求項2に記載のシステム。
【請求項4】
前記取引サーバは、前記受信した提供要請を審査し、前記審査に通過した提供要請を前記流通制御サーバに送信する、請求項1乃至3のいずれか一項に記載のシステム。
【請求項5】
前記取引サーバは、前記データ提供のための口座を開設した利用者のユーザIDを含む口座開設者リストを記憶すると共に、前記提供要請と前記口座開設者リストを前記流通制御サーバに送信する、請求項1乃至4のいずれか一項に記載のシステム。
【請求項6】
前記流通制御サーバは、前記口座開設者リスト及び前記対象者リストに記載された前記ユーザIDに対応する利用者のデータを前記データ利活用事業者にデータ提供するように指示する、請求項5に記載のシステム。
【請求項7】
前記流通制御サーバは、前記口座開設者リスト及び前記対象者リストに記載された前記ユーザIDに対応する利用者が前記データ提供に同意した場合に、前記データ提供に同意した利用者のデータを前記データ利活用事業者にデータ提供するように指示する、請求項5又は6に記載のシステム。
【請求項8】
サービス事業者に記憶されたデータと利用者のユーザIDが暗号化されたデータを取得する、暗号化データ取得手段と、
提供要請に含まれる検索条件がデータ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索を流通制御サーバから受信し、前記検索条件に合致する利用者を特定し、前記特定された利用者のユーザIDを含む対象者リストを生成し、前記生成された対象者リストを前記流通制御サーバに送信する、対象者リスト生成手段と、
を含む、検索サーバ。
【請求項9】
検索サーバにおいて、
サービス事業者に記憶されたデータと利用者のユーザIDが暗号化されたデータを取得し、
提供要請に含まれる検索条件がデータ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索を流通制御サーバから受信し、
前記検索条件に合致する利用者を特定し、
前記特定された利用者のユーザIDを含む対象者リストを生成し、
前記生成された対象者リストを前記流通制御サーバに送信する、検索サーバの制御方法。
【請求項10】
検索サーバに搭載されたコンピュータに、
サービス事業者に記憶されたデータと利用者のユーザIDが暗号化されたデータを取得する処理と、
提供要請に含まれる検索条件がデータ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索を流通制御サーバから受信する処理と、
前記検索条件に合致する利用者を特定する処理と、
前記特定された利用者のユーザIDを含む対象者リストを生成する処理と、
前記生成された対象者リストを前記流通制御サーバに送信する処理と、
を実行させるためのコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、システム、検索サーバ、検索サーバの制御方法及び記録媒体に関する。
【背景技術】
【0002】
病院などに保有されている個人情報を、個人の同意に基づき事業者などの情報提供先の装置に提供する情報流通システムが存在する。このようなシステムでは、例えば、情報銀行などが管理する情報取引装置、情報提供元の企業が管理する情報提供元装置、情報提供先が管理する情報提供先装置がされる。情報取引装置は、情報提供元装置から取得した個人情報を記憶する。情報取引装置は、記憶した個人情報のなかから活用事業者等が希望する個人情報を情報提供先装置へ送信する。
【0003】
特許文献1及び2には、情報流通システム等に関する技術が開示されている。
【0004】
例えば、特許文献1には、ユーザ情報の流通を活性化すること、と記載されている。特許文献1の情報取引装置は、取引部と、決定部とを有する。取引部は、ユーザ情報を提供する情報提供者と、ユーザ情報を利用する情報利用者との間におけるユーザ情報の取引に関する取引処理を制御する。決定部は、情報提供者及び情報利用者以外に取引に関係する関係者への報酬を決定する。例えば、決定部は、情報提供者が情報取引装置へユーザ情報を提供することを支援する提供支援者である関係者への報酬を決定する。
【0005】
特許文献2には、自分の個人情報が本人の了解の下で、正しい方法で妥当な価格で活用され、情報利用者側は対象として狙う属性に合致した個人を選択してDMを送付することにより、ヒット率の高い個人情報活用システムを提供する、と記載されている。特許文献2では、個人情報提供者と個人情報利用者の間に提供者の互助組合事務局を構築し、個人の自由意志による個人情報の収集、公開を可能にし、個人情報利用者に対して、受信を希望する情報提供者を抽出連絡することにより、相互に納得がいく勧誘・取引の実現を仲介する。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2015-162163号公報
【文献】特開2005-267332号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
データ流通システムでは、個人のプライバシ保護(個人情報保護)が重要である。一方で、データを利用する業者にとっては具体的なデータの価値は高い。例えば、特定の病気に罹患している患者のバイタルデータといった情報は、薬の開発等で大きな価値を持つ。
【0008】
本発明は、個人のプライバシを保護しつつ、データ利活用事業者にとって価値の高い情報の流通を可能とすることに寄与する、システム、検索サーバ、検索サーバの制御方法及び記録媒体を提供することを主たる目的とする。
【課題を解決するための手段】
【0009】
本発明の第1の視点によれば、サービス事業者が利用者にサービスを提供することで生じるデータを記憶する、サービスサーバと、前記サービスサーバが記憶したデータをデータ利活用事業者に販売するための制御を行う、取引サーバと、前記サービス事業者から前記データ利活用事業者へのデータ提供を制御する、流通制御サーバと、前記サービス事業者に記憶されたデータと前記利用者のユーザIDが暗号化されたデータを記憶する、検索サーバと、を含み、前記取引サーバは、前記データ利活用事業者から検索条件を含む提供要請を受信すると共に、前記受信した提供要請を前記流通制御サーバに送信し、前記流通制御サーバは、前記検索条件が、データ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索か否かを判定し、前記検索条件が前記高度検索の場合に、前記検索条件を前記検索サーバに送信し、前記検索サーバは、前記検索条件に合致する利用者を特定し、前記特定された利用者のユーザIDを含む対象者リストを前記流通制御サーバに送信し、前記流通制御サーバは、前記サービスサーバに対して、前記対象者リストに含まれる利用者のデータを前記データ利活用事業者にデータ提供するように指示する、システムが提供される。
【0010】
本発明の第2の視点によれば、サービス事業者に記憶されたデータと利用者のユーザIDが暗号化されたデータを取得する、暗号化データ取得手段と、提供要請に含まれる検索条件がデータ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索を流通制御サーバから受信し、前記検索条件に合致する利用者を特定し、前記特定された利用者のユーザIDを含む対象者リストを生成し、前記生成された対象者リストを前記流通制御サーバに送信する、対象者リスト生成手段と、を含む、検索サーバが提供される。
【0011】
本発明の第3の視点によれば、検索サーバにおいて、サービス事業者に記憶されたデータと利用者のユーザIDが暗号化されたデータを取得し、提供要請に含まれる検索条件がデータ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索を流通制御サーバから受信し、前記検索条件に合致する利用者を特定し、前記特定された利用者のユーザIDを含む対象者リストを生成し、前記生成された対象者リストを前記流通制御サーバに送信する、検索サーバの制御方法が提供される。
【0012】
本発明の第4の視点によれば、検索サーバに搭載されたコンピュータに、サービス事業者に記憶されたデータと利用者のユーザIDが暗号化されたデータを取得する処理と、提供要請に含まれる検索条件がデータ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索を流通制御サーバから受信する処理と、前記検索条件に合致する利用者を特定する処理と、前記特定された利用者のユーザIDを含む対象者リストを生成する処理と、前記生成された対象者リストを前記流通制御サーバに送信する処理と、を実行させるためのプログラムが記録されたコンピュータ読み取り可能な記録媒体が提供される。
【発明の効果】
【0013】
本発明の各視点によれば、個人のプライバシを保護しつつ、データ利活用事業者にとって価値の高い情報の流通を可能とすることに寄与する、システム、検索サーバ、検索サーバの制御方法及び記録媒体が提供される。なお、本発明の効果は上記に限定されない。本発明により、当該効果の代わりに、又は当該効果と共に、他の効果が奏されてもよい。
【図面の簡単な説明】
【0014】
図1】一実施形態の概要を説明するための図である。
図2】第1の実施形態に係る情報流通システムの概略構成の一例を示す図である。
図3】第1の実施形態に係る情報流通システムの概略動作を説明するための図である。
図4】第1の実施形態に係る情報流通システムの概略動作を説明するための図である。
図5】第1の実施形態に係る情報流通システムの概略動作を説明するための図である。
図6】第1の実施形態に係る情報流通システムの概略動作を説明するための図である。
図7】第1の実施形態に係るカタログ情報の一例を示す図である。
図8】第1の実施形態に係る情報流通システムの概略動作を説明するための図である。
図9】第1の実施形態に係る情報流通システムの概略動作を説明するための図である。
図10】第1の実施形態に係る情報流通システムの概略動作を説明するための図である。
図11】第1の実施形態に係る情報流通システムの概略動作を説明するための図である。
図12】第1の実施形態に係る流通制御サーバの処理構成の一例を示す図である。
図13A】第1の実施形態に係る利用者情報データベースの一例を示す図である。
図13B】第1の実施形態に係る利用者情報データベースの一例を示す図である。
図14】第1の実施形態に係る所在情報データベースの一例を示す図である。
図15】第1の実施形態に係るサービスサーバの処理構成の一例を示す図である。
図16】第1の実施形態に係る蓄積データベースの一例を示す図である。
図17】第1の実施形態に係る検索サーバの処理構成の一例を示す図である。
図18】第1の実施形態に係る暗号文データベースの一例を示す図である。
図19】第1の実施形態に係る取引サーバの処理構成の一例を示す図である。
図20】第1の実施形態に係る口座開設者リストの一例を示す図である。
図21】第1の実施形態に係る端末の処理構成の一例を示す図である。
図22】第1の実施形態に情報流通システムの動作の一例を示すシーケンス図である。
図23】本願開示に係る検索サーバのハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【0015】
はじめに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、特段の釈明がない場合には、各図面に記載されたブロックはハードウェア単位の構成ではなく、機能単位の構成を表す。各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。
【0016】
一実施形態に係るシステムは、サービスサーバ101と、取引サーバ102と、流通制御サーバ103と、検索サーバ104と、を含む(図1参照)。サービスサーバ101は、サービス事業者が利用者にサービスを提供することで生じるデータを記憶する。取引サーバ102は、サービスサーバが記憶したデータをデータ利活用事業者に販売するための制御を行う。流通制御サーバ103は、サービス事業者からデータ利活用事業者へのデータ提供を制御する。検索サーバ104は、サービス事業者に記憶されたデータと利用者のユーザIDが暗号化されたデータを記憶するサーバである。取引サーバ102は、データ利活用事業者から検索条件を含む提供要請を受信すると共に、受信した提供要請を流通制御サーバ103に送信する。流通制御サーバ103は、検索条件が、データ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索か否かを判定し、検索条件が高度検索の場合に、検索条件を検索サーバ104に送信する。検索サーバ104は、検索条件に合致する利用者を特定し、特定された利用者のユーザIDを含む対象者リストを流通制御サーバ103に送信する。流通制御サーバ103は、サービスサーバ101に対して、対象者リストに含まれる利用者のデータをデータ利活用事業者にデータ提供するように指示する。
【0017】
流通制御サーバ103は、データ利活用事業者の要望がデータの内容を参照しなければ対応する利用者を特定できない場合、当該要望を満たす利用者の特定を検索サーバ104に依頼する。検索サーバ104は、サービス事業者が利用者にサービスを提供することで得られたデータを暗号化して保持すると共に、データを暗号化したまま任意の計算が行える。検索サーバ104は、流通制御サーバ103からの依頼に応じて、データ利活用事業者の要求に合致するデータに対応する利用者を特定する。その際、検索サーバ104は、秘密計算を用いて当該利用者の特定を行うので利用者のプライバシは保護される。流通制御サーバ103は、検索サーバ104から検索条件を満たす利用者のリストを取得し、当該取得した利用者のデータをデータ利活用事業者に提供するように、サービスサーバ101に指示する。その結果、利用者のプライバシは保護されつつ、データ利活用事業者は、価値の高い情報を取得することができる。
【0018】
以下に具体的な実施形態について、図面を参照してさらに詳しく説明する。
【0019】
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
【0020】
[システムの構成]
図2は、第1の実施形態に係る情報流通システムの概略構成の一例を示す図である。図2に示すように、情報流通システムの参加メンバー(アクター)には、情報流通事業者と、サービス事業者と、データ利活用事業者と、取引事業者と、が含まれる。
【0021】
情報流通事業者は、サービス事業者とデータ利活用事業者の間のデータ流通を制御する主体である。情報流通事業者は、少なくとも1以上の流通制御サーバ10を含む。
【0022】
流通制御サーバ10は、サービス事業者とデータ利活用事業者の間のデータ流通を制御(実現)する装置である。流通制御サーバ10は、サービス事業者からデータ利活用事業者へのデータ提供を制御する。
【0023】
サービス事業者は、個人にサービスを提供する主体である。サービス事業者は、民間の事業者であってもよいし公的機関であってもよい。サービス事業者には、例えば、医療機関(病院、薬局等)、小売業者、顧客に語学、スポーツ、芸術等を教える教育事業者等が例示される。
【0024】
各サービス事業者は、顧客にサービスを提供するためのサービスサーバ20を備える。サービスサーバ20は、サービス事業者が利用者にサービスを提供することで生じるデータ(ユーザデータ)を記憶(蓄積)する。
【0025】
データ利活用事業者は、個人に直接サービスを提供しない主体である。データ利活用事業者には、製薬会社等のサービス事業者が取得したデータを用いて事業を行う事業者が例示される。
【0026】
データ利活用事業者の一形態として、検索事業者が含まれる。検索事業者は、情報流通事業者からの依頼(委託)を受けて情報検索を行う事業者である。
【0027】
データ利活用事業者は、サービス事業者からデータを取得するための事業者端末30を備える。検索事業者は、複数の検索サーバ31を備える。検索事業者は、複数の検索サーバ31を秘密計算サーバとして利用し、秘密計算の結果を提出する。検索サーバ31は、サービス事業者(サービスサーバ20)に記憶されたデータと利用者のユーザIDが暗号化されたデータを記憶し、データが暗号化されたまま演算が可能なサーバである。
【0028】
取引事業者は、サービス事業者とデータ利活用事業者の間の取引を実現する主体である。取引事業者は、データ生成者(サービス事業者)とデータ消費者(データ利活用事業者)の間のデータ流通を実現する。
【0029】
取引事業者は、当該データ流通の実現のための取引サーバ40を備える。取引サーバ40は、サービスサーバ20が記憶したデータをデータ利活用事業者に販売するための制御を行う。
【0030】
情報流通システムを利用する利用者は、端末50を使用する。
【0031】
図2に示す各装置はネットワークを介して相互に接続されている。例えば、流通制御サーバ10とサービスサーバ20は、有線又は無線の通信手段により接続され、相互に通信が可能となるように構成されている。
【0032】
図2に示す構成は例示であって、本願開示の情報流通システムの構成等を限定する趣旨ではない。例えば、情報流通事業者には2台以上の流通制御サーバ10が含まれていてもよい。また、取引事業者やデータ利活用事業者に関し、システムの参加している事業者の数に応じた事業者端末30や取引サーバ40が情報流通システムに含まれる。
【0033】
[システムの動作概略]
続いて、第1の実施形態に係る情報流通システムの概略動作について説明する。
【0034】
第1の実施形態では、サービス事業者として「医療機関」を例にとり説明を行う。とりわけ、情報流通システムに2つの医療機関A、医療機関Bが参加している場合について説明する。なお、医療機関Aが医療Aサーバ20-1を備え、医療機関Bが医療Bサーバ20-2を備える。
【0035】
情報流通システムにおけるデータ流通の手段として「提供」が存在する。
【0036】
「提供」は、データ利活用事業者が、他のサービス事業者により蓄積されたデータを取得するための手段である。例えば、製薬会社が医療機関A、Bから診断結果(患者の病名;現病)やバイタルデータ等を取得する際に「提供」によるデータ流通が用いられる。
【0037】
「提供」は、利用者に直接サービスを提供しないデータ利活用事業者が用いる手段のため、原則としてデータ流通に対する対価が発生する。即ち、「提供」は、利用者がデータ利活用事業者から対価を受けるために使用される。
【0038】
<利用者登録>
提供によるデータ流通を実現する場合、利用者は事前にシステム登録を行う必要がある(図3参照)。
【0039】
利用者は、システム参加時に利用者登録を行う。利用者は、所持する端末50を操作して、自身の個人情報(氏名、連絡先、口座情報等)を流通制御サーバ10に入力する。
【0040】
流通制御サーバ10は、当該利用者を識別するためのユーザID(Identifier)を生成し、当該生成されたユーザIDを利用者に払い出す。流通制御サーバ10は、生成したユーザIDと取得した個人情報(氏名等)を対応付けて記憶する。より具体的には、流通制御サーバ10は、「利用者情報データベース」にユーザIDと個人情報を対応付けて記憶する。利用者情報データベースの詳細は後述する。
【0041】
<個人識別コードの送信>
利用者登録が完了すると、利用者は、サービス事業者からサービスの提供を受ける(図4参照)。利用者は、サービス事業者からサービスの提供を受ける際、自身の氏名等をサービス事業者に伝える。
【0042】
例えば、利用者は医療機関Aから診察を受ける。例えば、医療機関A(医療Aサーバ20-1)は、病名を利用者に通知する。
【0043】
サービス事業者は、新規な顧客(利用者)に対してサービスを提供する際には、当該新規な利用者を識別するための「個人識別コード」を生成する。流通制御サーバ10から定期的又は所定のタイミングで、システム登録者の氏名が送信されてくるので、医療Aサーバ20-1は、当該氏名の送信に応答する形で新規な顧客の情報(利用者情報)を流通制御サーバ10に送信する。
【0044】
利用者情報には、上記生成された利用者の個人識別コードと、サービス事業者の事業者コードが含まれる。事業者コードは、情報流通システムに参加するサービス事業者を識別するための識別情報(ID)である。
【0045】
例えば、医療機関A(医療Aサーバ20-1)と医療機関B(医療Bサーバ20-2)には異なるコードが割り当てられる。なお、事業者コードは、任意の手段により情報流通事業者とサービス事業者の間で共有される。また、理解の容易のため図面を含む説明において、医療機関Aの事業者コードを「医療A」、医療機関Bの事業者コードを「医療B」と表記する。
【0046】
流通制御サーバ10は、取得した個人識別コードを利用者情報データベースに記憶する。
【0047】
<データの蓄積及び所在情報の送信>
サービス事業者は、利用者にサービスを提供することに伴い生じるデータを蓄積する。例えば、図5に示すように、医療機関Aが、利用者U1~U3のそれぞれを診察すると、その病名A1~A3を各利用者に通知すると共に、これらの病名を利用者ごとに蓄積する。
【0048】
サービス事業者(医療Aサーバ20-1)は、各利用者の個人識別コードとサービス提供の結果得られたデータを対応付けて記憶する。例えば、図5の例では、医療Aサーバ20-1は、「蓄積データベース」を用いて利用者U1~U3それぞれの個人識別コードと病名A1~A3を応付けて記憶する。なお、蓄積データベースの詳細は後述する。
【0049】
サービス事業者は、データ(サービス提供の結果生じるデータ)を蓄積するたびに、「所在情報」を流通制御サーバ10に送信する。所在情報は、サービス事業者に蓄積されたデータの保管場所(データの蓄積主体;サービス事業者)等に関する情報である。所在情報には、個人識別コード、事業者コード、蓄積したデータの種類等が含まれる。
【0050】
流通制御サーバ10は、取得した所在情報を「所在情報データベース」に記憶する。所在情報データベースの詳細は後述する。当該データベースは、個人識別コード、事業者コード及びデータ種類を対応付けて記憶する。
【0051】
このように、サービスサーバ20は、利用者の個人識別コードを生成し、当該生成された個人識別コードと蓄積データ(利用者にサービスを提供することで生じたデータ)を対応付けて記憶すると共に、生成された個人識別コードを流通制御サーバ10に送信する。流通制御サーバ10は、ユーザIDと個人識別コードを対応付けて記憶する。
【0052】
<口座開設>
データ提供により対価を取得しようとする利用者は、取引事業者に口座を開設する必要がある。図6を参照しつつ、提供のための口座開設について説明する。
【0053】
取引事業者は、情報流通システムに参加する複数のサービス事業者のうち少なくとも1以上のサービス事業者と提携を行う。例えば、医療に関するデータを取り扱う取引事業者は、医療機関(病院、薬局等)と提携する。あるいは、教育に関するデータを取り扱う取引事業者は、教育事業者と提携する。取引事業者は、提携先のサービス事業者に関する事業者コードを記憶する。
【0054】
取引事業者は、提携先のサービス事業者が蓄積したデータをデータ利活用事業者に販売する。例えば、図6に示す提携サービス事業者が医療機関A、Bであれば、取引事業者は、これらの事業者が蓄積したデータを製薬会社等に販売する。データの販売により得られる対価の全部又は一部は提供データに関与した利用者に支払われる。
【0055】
上述のように、取引事業者を介したデータ提供により対価を取得したい利用者は、取引事業者(取引サーバ40)に口座を開設する必要がある。情報流通システムに参加する利用者のうちデータ提供により収益を得たい利用者は、取引サーバ40に「情報口座」を開設する。
【0056】
利用者は、流通制御サーバ10から払い出されたユーザIDを取引サーバ40に提示し、情報口座を開設する。取引サーバ40は、取得したユーザIDを記憶する。取引サーバ40は、口座開設した利用者のユーザIDを口座開設者リストにより管理する。このように、取引サーバ40は、データ提供のための口座を開設した利用者のユーザIDを含む口座開設者リストを記憶する。
【0057】
<カタログ情報>
「提供」によるデータ流通を実現するため、情報流通事業者はカタログ情報を用意する。情報流通事業者の担当者(システム管理者)は、販売可能なデータを記載したカタログ情報を定義する(図7参照)。カタログ情報は、情報流通システムがデータ利活用事業者に販売可能なデータの詳細を示す情報である。
【0058】
カタログ情報に含まれるデータセット名は、カタログ情報を識別するための情報である。例えば、現在の病気(現病)には「診断結果1」、過去の病気(既往歴)には「診断結果2」といったデータセット名が付与される。
【0059】
事業者コードは上述の通りである。データ種類は、サービス事業者が蓄積しているデータの種類を示す。データフォーマットは、どのような形式でデータが提供されるのか規定する情報である。
【0060】
データ利活用事業者は、取引事業者を介してカタログ情報を取得する。より具体的には、事業者端末30は、取引サーバ40に対して「カタログ情報提示要求」を送信する。
【0061】
カタログ情報提示要求を受信すると、取引サーバ40は、流通制御サーバ10に対して「カタログ情報送信要求」を送信する。
【0062】
カタログ情報送信要求の受信に応じて、流通制御サーバ10は、情報流通事業者により定義されたカタログ情報を取引サーバ40に送信する。
【0063】
取引サーバ40は、提携先のサービス事業者に関するカタログ情報を選択し、事業者端末30に送信する。例えば、上記の例では、取引サーバ40は、医療機関の業務に関するカタログ情報を選択してデータ利活用事業者に送信する。データ利活用事業者は、受信したカタログ情報を閲覧し、自身の事業に必要なカタログ情報を特定する。
【0064】
<提供によるデータ流通>
サービス事業者が蓄積したデータの取得を希望するデータ利活用事業者は、「提供」によって当該データを取得する。
【0065】
ここでは、図8を参照しつつ、データ利活用事業者が、医療機関Aに蓄積されたデータ(病名)を「提供」により取得する場合について説明する。
【0066】
はじめに、データ利活用事業者は、取引事業者から提示されたカタログ情報を参照し、必要なカタログ情報を特定する。その後、事業者端末30は、特定したカタログ情報のデータセット名と提供されるデータに要求する条件(以下、検索条件と表記する)を含む提供要請を取引サーバ40に送信する(S11)。検索条件は、例えば、「現病を3件以上」といった内容を含む。
【0067】
取引サーバ40は、取得した提供要請を審査する。審査により問題が発見されなければ、取引サーバ40は、取得した提供要請と口座開設者リストを流通制御サーバ10に送信する(S12)。
【0068】
流通制御サーバ10は、口座開設者リストに記載された利用者であって、要求されたカタログ情報に関係する利用者の個人識別コードを特定する。流通制御サーバ10は、特定された個人識別コードに対応する利用者の連絡先(端末50が受信可能なメールアドレス)にデータ提供に関する問合せを送信する(S13)。
【0069】
データ提供の問合せには、データ提供の要請元(データ利活用事業者)、データ蓄積者(医療機関A)、提供が要望されたデータ種類(現病)が含まれる。
【0070】
データ提供の問合せを受信した端末50は、データ提供に関する各利用者の意思を取得するためのGUI(Graphical User Interface)を表示する。端末50は、GUIを用いて、利用者の意思(データ提供に同意、不同意)を取得する。
【0071】
端末50は、データ提供の問合せに対する応答(データ提供に同意、又は、データ提供を拒否)を流通制御サーバ10に送信する(S14)。
【0072】
流通制御サーバ10は、同意が得られた利用者に関し、データ蓄積者(医療機関A)に対して提供指示を送信する(S15)。例えば、上述のように、3件以上の現病の提供が求められた場合には、流通制御サーバ10は、データ提供に同意した3人以上の利用者に関し、医療Aサーバ20-1に提供指示を送信する。
【0073】
また、流通制御サーバ10は、データ提供に同意した利用者に対して対価を支払う。
【0074】
提供指示を受信した医療機関A(医療Aサーバ20-1)は、蓄積データベースを参照し、同意した利用者のデータを指定されたデータ提供先に送信する(S16)。上記の例では、利用者U1~U3のそれぞれがデータ提供に同意していれば、病名A1~A3が事業者端末30に送信される。
【0075】
ここで、データ利活用事業者がシステムに入力する検索条件には2種類存在する。
【0076】
第1の検索条件は、データの内容とは無関係にデータ流通の対象者を特定する条件である。以下の説明において、第1の検索条件を「通常検索条件」、第1の検索条件による検索を「通常検索」と表記する。
【0077】
第2の検索条件は、データの内容を考慮してデータ流通の対象者を特定する条件である。以下の説明において、第2の検索条件を「高度検索条件」、第2の検索条件による検索を「高度検索」と表記する。
【0078】
上記図8を参照して説明した「提供」の動作は、通常検索時のデータ流通である。上述のように、通常検索は、流通制御サーバ10により実行される。具体的には、流通制御サーバ10は、所在情報データベースを利用して対象者を絞り込む。例えば、流通制御サーバは、以下のような検索条件(通常検索条件)を取得して当該条件に合致する対象者を絞り込む。
【0079】
通常検索条件例(1):過去1年間の現病を5件以上。
通常検索条件例(2):過去1年間の服薬を100件以上。
通常検索条件例(3):過去1年間のSPO2を50件以上。
【0080】
高度検索は、データの内容を利用した対象者の絞り込みであって流通制御サーバ10では実現できない検索である。第1の実施形態に係る情報流通システムでは、「高度検索」を実現するため検索業者(検索サーバ31)を利用する。
【0081】
高度検索の例は、下記の通りである。高度検索では、下記の条件に合致するユーザの特定(絞り込み)が行われる。
【0082】
高度検索例:過去一年の間に、肺炎と診断され、クラビット錠を14日間服薬し、SPO2(経皮的動脈血酸素飽和度)が計測された利用者のデータ50件以上。
【0083】
なお、通常検索では、データの内容(蓄積データそのもの)を利用しない。そのため、未だデータ提供を決心していない個人を絞り込む手段としては、プライバシ保護の観点で妥当な方法である。しかしながら、本手法はデータ利活用事業者の観点では検索精度が落ちてしまうため、改善の余地がある。高度検索は、データ利活用事業者の不都合を解決するための手段である。
【0084】
一方で、高度検索では、データの内容を利用して、未だデータ提供を決心していない個人を絞り込む。そのため、プライバシ保護の観点から取引事業者、情報流通事業者が本検索機能を提供することは問題がある。このような理由から、取引事業者及び情報流通事業者から独立した検索事業者が必要となる。
【0085】
<高度検索サービスの利用者登録>
情報流通システムに利用者登録した利用者のうち、高度検索の対象となることを希望する利用者(より多くの対価を得たい利用者)は、流通制御サーバ10に対して高度検索サービスの利用希望を登録する(図9参照)。具体的には、利用者は、端末50を操作して流通制御サーバ10から払い出されたユーザIDを入力する。即ち、流通制御サーバ10は、高度検索の対象となることを希望する希望者のユーザIDを取得する。
【0086】
流通制御サーバ10は、ユーザIDから利用希望者を特定し、当該特定した利用者を高度検索対象者として利用者情報データベースに記憶する。
【0087】
<蓄積データの暗号化>
上述のように、サービス事業者は、利用者にサービスを提供することにより生じたデータを蓄積する。その際、サービスサーバ20は、利用者の個人識別コードを含む所在情報を流通制御サーバ10に送信する。
【0088】
所在情報を受信した流通制御サーバ10は、取得した個人識別コードに対応する利用者を特定し、当該特定された利用者が高度検索の対象者か否か判定する。
【0089】
流通制御サーバ10は、利用者が高度検索サービスの利用を希望している場合には、その旨をサービス事業者に通知する。流通制御サーバ10は、当該希望者のユーザIDを含む「暗号化データ送信指示」をサービスサーバ20に送信する。より具体的には、流通制御サーバ10は、上記希望者の個人識別コード、ユーザID及びデータ送信先を含む暗号化データ送信指示をサービスサーバ20に送信する。
【0090】
当該指示を受信したサービスサーバ20は、個人識別コードに基づき利用者を特定する。サービス事業者は、当該特定された利用者の蓄積データとユーザIDを暗号化し、当該暗号化されたデータをデータ送信先に送信する。より具体的には、サービス事業者は、暗号化されたデータを検索サーバ31に送信する。このように、サービスサーバ20は、個人識別コードに基づいて暗号化するデータ(蓄積データ)を特定し、高度検索の対象希望者に関する暗号化されたデータ(暗号化された蓄積データ、ユーザID)を検索サーバ31に送信する。
【0091】
上述のように、検索サーバ31は、秘密計算に対応したサーバ(秘密計算サーバ)である。秘密計算では、複数の秘密計算サーバに暗号化されたデータが分散されて配置され、当該分散配置されたデータを用いて任意の計算が可能である。第1の実施形態では、3台の検索サーバ31を用いた秘密分散を例にとり説明を行う。なお、秘密計算のより詳細な内容は、下記の参考文献を参照することができる。
[参考文献:国際公開2018/061391号]
【0092】
例えば、図10に示すように、利用者U1の現病(病名A1)が医療Aサーバ20-1に蓄積され、同じ利用者U1のバイタルデータ(SPO2)が医療Bサーバ20-2に蓄積されている状況を考える。この場合、医療Aサーバ20-1は、利用者U1のユーザIDと病名A1を秘密分散し、当該秘密分散されたデータを3台の検索サーバ31のそれぞれに送信する。同様に、医療Bサーバ20-2は、利用者U1のユーザIDとSPO2の計測値を秘密分散し、当該秘密分散されたデータを3台の検索サーバ31のそれぞれに送信する。
【0093】
医療Aサーバ20-1、医療Bサーバ20-2は、それぞれ、暗号化データと共に自身の事業者コードを各検索サーバ31に送信する。
【0094】
各検索サーバ31は、現病やバイタルデータに関する秘密分散された蓄積データを取得し、記憶する。各検索サーバ31は、利用者のユーザIDと取得データ(病名、バイタルデータ等)を対応付けて暗号文データベースに記憶する。
【0095】
続いて、図11を参照し、高度検索サービス(高度検索条件に合致するデータの提供サービス)に関するシステムの概略動作を説明する。
【0096】
データ利活用事業者の担当者は、事業者端末30を操作して、取引サーバ40に「提供要請」を入力する。事業者端末30は、上記検索条件を含む提供要請を取引サーバ40に送信する(S21)。
【0097】
例えば、事業者端末30は、上記通常検索条件例(1)乃至(3)のいずれかを含む提供要請を取引サーバ40に送信する。あるいは、事業者端末30は、上記高度検索条件を含む提供要請を取引サーバ40に送信する。
【0098】
取引サーバ40は、提供要請を審査する(S22)。審査が終了すると、取引サーバ40は、検索条件を含む提供要請と口座開設者リストを流通制御サーバ10に送信する(S23)。このように、取引サーバ40は、データ利活用事業者から検索条件を含む提供要請を受信すると、当該提供要請を審査し、審査に通過した提供要請を流通制御サーバ10に送信する。
【0099】
提供要請を受信すると、流通制御サーバ10は、当該要請に含まれる検索条件が通常検索条件に該当するのか高度検索条件に該当するのか判定する(S24)。具体的には、流通制御サーバ10は、データ種類だけで対象者が特定できる検索条件を通常検索条件と判定する。対して、流通制御サーバ10は、データ種類だけでは対象者が特定できず、データの内容を確認しなければ対象者が特定できない検索条件を高度検索条件と判定する。換言すれば、流通制御サーバ10は、検索条件が、データ種類だけでは検索の結果が得られずデータ内容(データそのもの)を参照することが必要な検索の場合に、「高度検索」と判定する。例えば、「男性の肺炎患者」のような検索は、「男性」、「肺炎」という具体的な情報を必要とするので、「高度検索」と判定される。
【0100】
通常検索時の提供を用いたデータ流通は上述のとおりである。
【0101】
検索条件の判定結果が高度検索条件であれば、流通制御サーバ10は、検索条件(高度検索条件)を複数の検索サーバ31のそれぞれに送信する(S25)。
【0102】
各検索サーバ31は、予め秘密分散されて記憶しているデータの中から検索条件に合致する対象者を特定する。検索サーバ31は、特定したユーザIDと事業者コードを含むリスト(対象者リスト)を流通制御サーバ10に送信する(S26)。当該対象者リストに記載されたユーザIDは、データ利活用事業者が取引サーバ40に入力した検索条件に合致する利用者のユーザIDである。また、対象者リストに記載された事業者コードは、必要な情報を蓄積しているサービス事業者の事業者コードである。
【0103】
流通制御サーバ10は、ユーザIDに対応する各利用者のデータ提供に対する意思(提供によるデータ流通に同意、不同意)を取得する。
【0104】
流通制御サーバ10は、サービスサーバ20に対して、対象者リストに含まれる利用者のデータをデータ利活用事業者にデータ提供するように指示する。より具体的には、流通制御サーバ10は、同意の得られた利用者に関する蓄積データをデータ利活用事業者に「提供」するように対応するサービス事業者に要請する(提供指示を送信する)。サービス事業者は、流通制御サーバ10からの指示に従いデータ利活用事業者にデータを送信する。
【0105】
このように、情報流通システムでは、各利用者から高度検索サービスの利用希望の登録を事前に行う。高度検索サービスの利用を希望する利用者に関しては、サービス事業者から検索サーバ31に蓄積データが送信される。データの内容を考慮した検索(高度検索)が必要な場合には、検索サーバ31が対象者を特定し、流通制御サーバ10に通知する。その際、検索サーバ31は、対象者のプライバシ保護等の観点から秘密計算を用いて対象者を特定する。
【0106】
続いて、第1の実施形態に係る情報流通システムに含まれる各装置の詳細について説明する。
【0107】
[流通制御サーバ]
図12は、第1の実施形態に係る流通制御サーバ10の処理構成(処理モジュール)の一例を示す図である。図12を参照すると、流通制御サーバ10は、通信制御部201と、利用者登録部202と、個人識別コード管理部203と、所在情報管理部204と、データ流通制御部205と、カタログ情報管理部206と、記憶部207と、を備える。
【0108】
通信制御部201は、他の装置との間の通信を制御する手段である。例えば、通信制御部201は、サービスサーバ20からデータ(パケット)を受信する。また、通信制御部201は、サービスサーバ20に向けてデータを送信する。通信制御部201は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部201は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部201を介して他の装置とデータの送受信を行う。
【0109】
利用者登録部202は、上述の利用者登録(利用者のシステム登録)を実現する手段である。利用者登録部202は、利用者の端末50から個人情報(氏名、連絡先、口座情報等)を取得する。
【0110】
利用者登録部202は、当該個人情報を取得すると、利用者を識別するためのユーザIDを生成する。例えば、利用者登録部202は、利用者のシステム登録のたびに一意な値を採番し、ユーザIDとして用いる。
【0111】
利用者登録部202は、ユーザIDと個人情報を利用者情報データベースに記憶する(図13A及び図13B参照)。例えば、利用者U1について利用者登録がなされると、図13Aの最下段に示されるエントリが追加される。
【0112】
利用者登録部202は、生成したユーザIDを端末50に送信する。
【0113】
また、利用者登録部202は、高度検索サービスを利用する利用者の登録を行う。利用者登録部202は、高度検索サービスを利用する旨と共に利用者のユーザIDを取得すると、当該取得したユーザIDに対応する利用者を高度検索対象者に設定する。具体的には、利用者登録部202は、特定した利用者の高度検索フィールドに「対象者」と設定する。
【0114】
個人識別コード管理部203は、流通制御サーバ10とサービスサーバ20の間で送受信される「個人識別コード」を管理する手段である。個人識別コード管理部203は、定期的又は所定のタイミングにおいて、利用者登録が完了している利用者を特定する情報(例えば、氏名)を各サービス事業者(サービスサーバ20)に送信する。
【0115】
個人識別コード管理部203は、当該氏名の送信に応じてサービスサーバ20から利用者情報を受信する。上述のように、利用者情報には、個人識別コードと事業者コードが含まれる。個人識別コード管理部203は、取得した個人識別コードを利用者情報データベースの対応する事業者コードのフィールドに記憶する。
【0116】
例えば、図3図4のように利用者U1に関する利用者登録が行われると、当該利用者U1の氏名が定期的又は所定のタイミングで医療Aサーバ20-1に送信される。利用者U1の氏名を受信したタイミングで当該利用者U1の個人識別コードが生成されていれば、医療Aサーバ20-1は、提示された氏名に対する応答として、利用者情報を流通制御サーバ10に送信する。
【0117】
個人識別コード管理部203は、利用者情報から利用者U1の個人識別コードと医療機関Aの事業者コードを取り出し、当該個人識別コードを利用者情報データベースに記憶する。上述の例では、図13Bに示す利用者情報データベースの最終段のエントリにおける医療Aフィールド(医療機関Aのフィールド)に利用者U1の個人識別コードとして「IDA1」が設定される。
【0118】
このように、個人識別コード管理部203は、利用者のユーザIDと各サービス事業者(サービスサーバ20)が生成した個人識別コードを対応付けて記憶する。サービス事業者が異なれば生成される個人識別コードが異なるので、利用者情報データベースは、サービス事業者ごとに個人識別コードを記憶する。
【0119】
所在情報管理部204は、サービス事業者から取得する所在情報を管理する手段である。所在情報管理部204は、各サービスサーバ20から取得した所在情報を所在情報データベースに記憶する(図14参照)。図14に示すように、所在情報データベースは、個人識別コード、事業者コード、データ種類を対応付けて記憶する。
【0120】
また、所在情報管理部204は、サービスサーバ20から取得した個人識別コード、事業者コードをキーとして利用者情報データベースを検索する。所在情報管理部204は、特定されたエントリの高度検索フィールドを確認し、当該フィールドに「対象者」と記載されているか否か判定する。
【0121】
利用者が高度検索の対象者であれば、所在情報管理部204は、当該利用者の個人識別コード、ユーザID及びデータ送信先を含む暗号化データ送信指示をサービスサーバ20に送信する。
【0122】
例えば、医療Aサーバ20-1から個人識別コード「IDA2」を含む所在情報を受信した場合、所在情報管理部204は、図13Bの下から2行目のエントリを特定する。当該エントリの高度検索フィールドには「対象者」が設定されているので、所在情報管理部204は、医療Aサーバ20-1に対して、個人識別コード「IDA2」、ユーザID「ID02」を含む暗号化データ送信指示を送信する。なお、当該指示に含まれるデータ送信先は、3台の検索サーバ31それぞれのアドレスである。
【0123】
データ流通制御部205は、「提供」によるデータ流通を制御する手段である。
【0124】
データ流通制御部205は、取引サーバ40から提供要請と口座開設者リストを受信する。データ流通制御部205は、提供要請に含まれるデータセット名から提供が要望されているカタログ情報を特定する。
【0125】
次に、データ流通制御部205は、提供要請に含まれる検索条件が「通常検索条件」及び「高度検索条件」のいずれか判定する。具体的には、データ流通制御部205は、検索条件に含まれるパラメータが上記特定されたカタログ情報のデータ種類と一致する場合には、通常検索と判定する。即ち、データ種類だけで個人識別コードが特定できる検索は「通常検索」と判定される。例えば、上述の通常検索条件例(1)では、検索条件に含まれるパラメータ「現病」が特定されたカタログ情報のデータ種類に含まれれば、検索条件は「通常検索条件」と判定される。
【0126】
対して、上記パラメータとカタログ情報のデータ種類が一致しない場合には、データ流通制御部205は、高度検索条件と判定する。例えば、「男性の肺炎患者」のような検索条件は、高度検索条件と判定される。流通制御サーバ10は、サービスサーバ20がどのようなデータを蓄積しているかを把握しているに過ぎず、具体的なデータの内容を把握しているわけではない。従って、流通制御サーバ10は、所在情報に記載されている個人識別コードに対応する利用者の病名が「肺炎」であるのか他の病気であるのか知ることはできない。このような蓄積データの内容を必要とする検索は、「高度検索」と判定される。
【0127】
はじめに、通常検索と判定された場合のデータ流通制御部205の動作について説明する。
【0128】
データ流通制御部205は、所在情報データベースを参照し、特定したカタログ情報に含まれるデータ種類、事業者コードに対応する個人識別コードを特定する。図8図14の例では、利用者U1~U3それぞれに対応する個人識別コード「IDA1」~「IDA3」が特定される。
【0129】
データ流通制御部205は、利用者情報データベースを参照し、上記特定された個人識別コードが口座開設者リストに記載されているか否か判定する。
【0130】
データ流通制御部205は、利用者情報データベースを参照し、上記特定された個人識別コードに対応する利用者であって口座開設者リストに記載された各利用者の連絡先を取得する。データ流通制御部205は、当該取得した連絡先にデータ提供に関する問合せを送信する。上記の例では、利用者U1~U3のそれぞれが取引事業者に情報口座を開設していれば、各利用者が所持する端末50にデータ提供の問合せが送信される。
【0131】
データ提供の問合せには、データ提供の要請元、データ蓄積者、提供が要望されたデータ種類が含まれる。上記の例では、データ提供の要請元としてデータ利活用事業者、データ蓄積者として医療機関A、提供が要望されたデータ種類として現病をそれぞれ含む問合せが各端末50に送信される。
【0132】
データ流通制御部205は、同意が得られた利用者に関し、データ蓄積者に対して提供指示を送信する。提供指示には、データ提供に同意した利用者の個人識別コードと、データ提供先に関する情報(事業者端末30のアドレス)と、提供するデータのデータ種類と、が含まれる。
【0133】
なお、データ流通制御部205は、データ提供に同意した利用者に対しては、所定の金額を支払う。データ流通制御部205は、各利用者の口座情報を参照して当該支払いを行う。
【0134】
続いて、高度検索と判定された場合のデータ流通制御部205の動作について説明する。
【0135】
この場合、データ流通制御部205は、検索条件(高度検索条件)を複数の検索サーバ31のそれぞれに送信する。
【0136】
データ流通制御部205は、検索条件の送信に応じて、検索サーバ31から対象者リストを受信する。対象者リストには、高度検索条件に合致する利用者のユーザIDと事業者コードが含まれる。
【0137】
データ流通制御部205は、上記対象者リストに含まれるユーザIDが口座開設者リストに記載されているか否か判定する。
【0138】
データ流通制御部205は、上記対象者リストに含まれる利用者であって口座開設者リストに記載された各利用者の連絡先を取得する。データ流通制御部205は、当該取得した連絡先にデータ提供に関する問合せを送信する。
【0139】
データ流通制御部205は、同意が得られた利用者に関し、データ蓄積者に対して提供指示を送信する。提供指示には、データ提供に同意した利用者の個人識別コードと、データ提供先に関する情報(事業者端末30のアドレス)と、が含まれる。
【0140】
例えば、検索サーバ31から取得した対象者リストに利用者U1~U3のユーザID、医療機関Aの事業者コード及び医療機関Bの事業者コードが含まれる場合を考える。この場合、利用者U1~U3のユーザIDが口座開設者リストに含まれていれば、データ流通制御部205は、医療Aサーバ20-1に対しては利用者U1~U3の個人識別コード「IDA1」~「IDA3」を含む提供指示を送信する。同様に、データ流通制御部205は、医療Bサーバ20-2に対しては利用者U1~U3の個人識別コード「IDB1」~「IDB3」を含む提供指示を送信する。
【0141】
データ流通制御部205は、高度検索の対象者に対してもデータ提供に対する対価を支払う。
【0142】
カタログ情報管理部206は、カタログ情報を管理する手段である。カタログ情報管理部206は、システム管理者が作成したカタログ情報を記憶部207に記憶する。
【0143】
カタログ情報管理部206は、取引サーバ40から「カタログ情報送信要求」を受信する。当該要求の受信に応じて、カタログ情報管理部206は、記憶部207に記憶されたカタログ情報を取引サーバ40に送信する。
【0144】
記憶部207は、流通制御サーバ10の動作に必要な情報を記憶する。
【0145】
[サービスサーバ]
図15は、第1の実施形態に係るサービスサーバ20の処理構成(処理モジュール)の一例を示す図である。図15を参照すると、サービスサーバ20は、通信制御部301と、個人識別コード生成部302と、データ蓄積部303と、秘密分散部304と、データ流通部305と、記憶部306と、を備える。
【0146】
通信制御部301は、他の装置との間の通信を制御する手段である。例えば、通信制御部301は、流通制御サーバ10からデータ(パケット)を受信する。また、通信制御部301は、流通制御サーバ10に向けてデータを送信する。通信制御部301は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部301は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部301を介して他の装置とデータの送受信を行う。
【0147】
個人識別コード生成部302は、個人識別コードを生成する手段である。個人識別コード生成部302は、新規な顧客にサービスを提供する際には、当該顧客の個人識別コードを生成する。
【0148】
個人識別コード生成部302は、流通制御サーバ10から利用者の氏名を受信したことに応じて、対応する利用者情報を送信する。利用者情報には、個人識別コードと事業者コードが含まれる。
【0149】
データ蓄積部303は、利用者に対してサービスを提供した結果生じるデータを蓄積する手段である。データ蓄積部303は、利用者の個人識別コードと当該利用者にサービスを提供した結果生じたデータを対応付けて蓄積データベースに記憶する(図16参照)。
【0150】
図16に示すように、データ蓄積部303は、発生したデータの種類に応じたフィールドに発生データの情報を記憶する。なお、図16は、医療Aサーバ20-1に構築された蓄積データベースの一例を示す。
【0151】
データ蓄積部303は、データを蓄積データベースに記憶するたびに所在情報を流通制御サーバ10に送信する。例えば、図16の例では、個人識別コード「IDA1」の利用者U1にサービスを提供し、病名が判明すると、個人識別コード「IDA1」、事業者コード「医療A」、データ種類「現病」を含む所在情報が流通制御サーバ10に送信される。
【0152】
秘密分散部304は、蓄積データの暗号化データを検索サーバ31に送信し、蓄積データを秘密分散する手段である。秘密分散部304は、流通制御サーバ10から暗号化データ送信指示を受信する。
【0153】
秘密分散部304は、当該指示に含まれる個人識別コードをキーとして蓄積データベースを検索し、対応する利用者を特定する。秘密分散部304は、特定した利用者のデータと暗号化データ送信指示に含まれるユーザIDを秘密分散するための情報を生成し、各検索サーバ31に送信する。
【0154】
例えば、図16において、個人識別コード「IDA2」を含む暗号化データ送信指示を受信した場合、秘密分散部304は、上から2行目のエントリに記載された蓄積データ「肺炎」、「クラビット錠」と利用者U2のユーザID「ID02」の暗号文を送信する。
【0155】
データ流通部305は、「提供」によるデータ流通を実現する手段である。データ流通部305は、流通制御サーバ10から受信した「提供指示」を処理する。
【0156】
提供指示を受信した場合には、データ流通部305は、蓄積データベースを参照し、提供指示に含まれる個人識別コード、データ種類に対応するエントリを特定する。例えば、個人識別コード「IDA1」、データ種類「現病」を含む提供指示を受信した場合には、データ流通部305は、図16の最上段に示されるエントリを特定する。
【0157】
データ流通部305は、特定されたエントリの対応するデータ種類フィールドに記載された蓄積データを提供指示で指定されたデータ提供先に送信する。上記の例では、現病「肺炎」がデータ利活用事業者に送信される。
【0158】
また、データ種類を含まない提供指示を受信した場合には、データ流通部305は、個人識別コードにより特定されるエントリの各蓄積データをデータ提供先に送信する。
【0159】
記憶部306は、サービスサーバ20の動作に必要な情報を記憶する。
【0160】
[事業者端末]
事業者端末30に関する詳細な処理構成の説明は省略する。事業者端末30は、利用者(データ利活用事業者の職員等)に情報を提示し、利用者からの操作を受け付ければよい。具体的には、事業者端末30は、取引サーバ40から取得したカタログ情報の一覧等を表示し、利用者により選択されたカタログ情報のデータセット名と検索条件を含む提供要請を取引サーバ40に送信すればよい。
【0161】
[検索サーバ]
図17は、第1の実施形態に係る検索サーバ31の処理構成(処理モジュール)の一例を示す図である。図17を参照すると、検索サーバ31は、通信制御部401と、暗号化データ取得部402と、対象者リスト生成部403と、記憶部404と、を備える。
【0162】
通信制御部401は、他の装置との間の通信を制御する手段である。例えば、通信制御部401は、流通制御サーバ10からデータ(パケット)を受信する。また、通信制御部401は、流通制御サーバ10に向けてデータを送信する。通信制御部401は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部401は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部401を介して他の装置とデータの送受信を行う。
【0163】
暗号化データ取得部402は、サービスサーバ20から受信した暗号化データを取得する手段である。暗号化データ取得部402は、取得した暗号化データに含まれるデータ(暗号化された蓄積データ)をユーザID、事業者コードごとに区分して記憶する。暗号化データ取得部402は、暗号文データベースに暗号化された蓄積データを記憶する(図18参照)。
【0164】
なお、図18には、理解の容易のため暗号が復号された状態の情報(ユーザID、蓄積データ)が記載されている。しかし、各検索サーバ31が記憶しているデータは秘密分散されているので、各検索サーバ31が図18に示すような情報を保持していない。3台の検索サーバ31が保持する情報を統合すると図18に示すような情報が得られる。
【0165】
対象者リスト生成部403は、秘密計算を実行し、流通制御サーバ10から取得した検索条件に合致する利用者のリストを生成する手段である。例えば、「肺炎の患者でクラビット錠を服薬し、SPO2が計測されている利用者」といった高度検索条件が取得された場合を考える。
【0166】
この場合、対象者リスト生成部403は、図18に示す暗号文データベースを用いて、1行目の利用者が上記高度検索条件に合致する利用者であると判定する。なお、2行目の利用者はSOP2が計測されておらず対象外であり、4行目の利用者はクラビット錠を服薬していないので対象外である。
【0167】
対象者リスト生成部403は、暗号文データベースを用いて特定された利用者のユーザIDと、高度検索条件が要求するデータを蓄積するサービス事業者の事業者コードと、を含む対象者リストを生成し、流通制御サーバ10に送信する。上記の例では、ユーザID「ID01」、事業者コード「医療A」及び「医療B」を含む対象者リストが流通制御サーバ10に送信される。
【0168】
記憶部404は、サービスサーバ20の動作に必要な情報を記憶する。
【0169】
[取引サーバ]
図19は、第1の実施形態に係る取引サーバ40の処理構成(処理モジュール)の一例を示す図である。図19を参照すると、取引サーバ40は、通信制御部501と、口座開設部502と、カタログ情報要求部503と、提供要請処理部504と、記憶部505と、を備える。
【0170】
通信制御部501は、他の装置との間の通信を制御する手段である。例えば、通信制御部501は、流通制御サーバ10からデータ(パケット)を受信する。また、通信制御部501は、流通制御サーバ10に向けてデータを送信する。通信制御部501は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部501は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部501を介して他の装置とデータの送受信を行う。
【0171】
口座開設部502は、提供によるデータ流通を希望する利用者の口座を開設する手段である。口座開設部502は、利用者の端末50からユーザIDを取得する。口座開設部502は、取得したユーザIDを口座開設者リストに追加する(図20参照)。
【0172】
カタログ情報要求部503は、流通制御サーバ10に対して「カタログ情報送信要求」を送信する手段である。
【0173】
カタログ情報要求部503は、事業者端末30から「カタログ情報提示要求」を受信すると、流通制御サーバ10に対して「カタログ情報送信要求」を送信する。
【0174】
当該要求を送信することに応じて、カタログ情報要求部503は、流通制御サーバ10が記憶しているカタログ情報を取得する。カタログ情報要求部503は、自装置が提携しているサービス事業者が関係するカタログ情報を選択して、データ利活用事業者(事業者端末30)に送信する。なお、カタログ情報要求部503は、提携先のサービス事業者の事業者コードとカタログ情報に含まれる事業者コードに基づいて提携先のサービス事業者に関するカタログ情報を選択する。
【0175】
提供要請処理部504は、事業者端末30から受信する提供要請を処理する手段である。提供要請処理部504は、提供要請を審査する。具体的には、提供要請処理部504は、データ利活用事業者のデータ利用目的と対象データ種類の利用目的に対する整合性の審査を行う。例えば、「利用目的:薬の開発、データ種類:現病、服薬」といった内容であれば審査は通過する。換言すれば、データ利活用事業者(事業者端末30)は、データ提供の依頼時に上記利用目的やデータ種類も併せて取引サーバ40に入力する。
【0176】
審査に通過すると、提供要請処理部504は、事業者端末30から取得した提供要請と共に口座開設者リストを流通制御サーバ10に送信する。
【0177】
記憶部505は、取引サーバ40の動作に必要な情報を記憶する。記憶部405は、提携先のサービス事業者の事業者コードを記憶する。
【0178】
[端末]
図21は、第1の実施形態に係る端末50の処理構成(処理モジュール)の一例を示す図である。図21を参照すると、端末50は、通信制御部601と、個人情報入力部602と、問合せ処理部603と、口座情報入力部604と、記憶部605と、を備える。
【0179】
通信制御部601は、他の装置との間の通信を制御する手段である。例えば、通信制御部601は、流通制御サーバ10からデータ(パケット)を受信する。また、通信制御部601は、流通制御サーバ10に向けてデータを送信する。通信制御部601は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部601は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部601を介して他の装置とデータの送受信を行う。
【0180】
個人情報入力部602は、利用者登録の際に個人情報を流通制御サーバ10に入力する手段である。個人情報入力部602は、任意の手段を用いて個人情報(氏名、連絡先、口座情報等)を流通制御サーバ10に入力する。例えば、個人情報入力部602は、GUIを用いて上記個人情報を取得し、流通制御サーバ10に送信する。
【0181】
個人情報入力部602は、流通制御サーバ10から払い出されたユーザIDを記憶部605に記憶する。
【0182】
また、個人情報入力部602は、利用者の高度検索サービスの利用に関する処理も行う。例えば、個人情報入力部602は、利用者登録のメニュー画面又は利用者登録とは異なるメニュー画面にて利用者が高度検索サービスを利用することを希望するか取得してもよい。個人情報入力部602は、利用者のユーザIDと共に高度検索サービスの利用希望を流通制御サーバ10に通知する。
【0183】
問合せ処理部603は、提供によるデータ流通時に流通制御サーバ10から受信する問合せを処理する手段である。問合せ処理部603は、問い合わせの内容(データの提供)に合わせたGUIを用いて利用者の意思(データ送信に同意、不同意)を取得する。問合せ処理部603は、利用者の意思を含む応答を流通制御サーバ10に送信する。
【0184】
口座情報入力部604は、提供によるデータ流通時に必要となる情報口座を開くための情報を取引サーバ40に入力する手段である。口座情報入力部604は、利用者のユーザIDを取引サーバ40に送信する。
【0185】
記憶部605は、端末50の動作に必要な情報を記憶する。
【0186】
[システムの動作]
続いて、第1の実施形態に係る情報流通システムの動作について説明する。
【0187】
図22は、第1の実施形態に係る情報流通システムの動作の一例を示すシーケンス図である。図22を参照し、データ利活用事業者が高度検索によるデータ提供を要請した場合について説明する。
【0188】
取引サーバ40は、事業者端末30から高度検索条件を含む提供要請を受信する(ステップS101)。
【0189】
取引サーバ40は、提供要請を審査する(ステップS102)。
【0190】
審査が通らなければ(ステップS103、No分岐)、取引サーバ40は、事業者端末30にデータ提供は不可である旨を送信する(ステップS104)。取引サーバ40は、否定応答を事業者端末30に送信する。
【0191】
審査に通過すれば(ステップS103、Yes分岐)、取引サーバ40は、提供要請及び口座開設者リストを流通制御サーバ10に送信する(ステップS105)。
【0192】
流通制御サーバ10は、提供要請に含まれる検索条件の判定を行う(ステップS106)。
【0193】
検索条件が通常検索条件であれば(ステップS107、No分岐)、流通制御サーバ10は、通常検索の処理を実行する。当該処理フローに関する詳細な説明を省略する。
【0194】
検索条件が高度検索条件であれば(ステップS107、Yes分岐)、流通制御サーバ10は、高度検索条件を検索サーバ31に送信する(ステップS108)。
【0195】
各検索サーバ31は、秘密計算により、高度検索条件に該当(合致)する利用者(ユーザID)を特定する(ステップS109)。
【0196】
検索サーバ31(3台の検索サーバ31のうちの1台のサーバ)は、特定したユーザIDを含む対象者リストを流通制御サーバ10に送信する(ステップS110)。
【0197】
流通制御サーバ10は、口座開設者リスト及び対象者リストに記載された利用者に対し、データ提供に関する問合せを行う(ステップS111)。
【0198】
流通制御サーバ10は、データ提供に同意した利用者のデータ提供をサービスサーバ20に指示する。流通制御サーバ10は、提供指示をサービスサーバ20に送信する(ステップS112)。当該指示を受信したサービスサーバ20は、蓄積データをデータ利活用事業者に送信する。このように、流通制御サーバ10は、口座開設者リスト及び対象者リストに記載されたユーザIDに対応する利用者のデータをデータ利活用事業者にデータ提供するように、サービスサーバ20に対して指示する。その際、流通制御サーバ10は、上位2つのリストに記載されたユーザIDに対応する利用者がデータ提供に同意した場合に、データ提供を指示する。
【0199】
以上のように、第1の実施形態では、データ利活用事業者が、取引業者に対して検索条件を含む情報提供要請(データ内容を用いた検索を必要とする可能性がある要請)を行う。取引業者が管理する取引サーバ40は、当該要請を流通制御サーバ10に送信する。流通制御サーバ10は、提供要請に含まれる検索条件に基づいて、高度検索が必要か否かを判定する。なお、高度検索は、データ種別だけでは結果が得られず、データ内容を参照することが必要な検索(データそのものが必要な検索)である。高度検索が必要な場合には、流通制御サーバ10は、検索サーバ31に対して検索条件を送信すると共に、サービスサーバ20に対して検索サーバ31への蓄積データの送信を指示する。サービスサーバ20は、検索サーバ31へ蓄積データを送信する。検索サーバ31は、受信した検索条件を満たす利用者のリストを流通制御サーバ10に送信する。流通制御サーバ10は、サービスサーバ20に対してデータ利活用事業者に取得したリストの利用者に対応するデータを提供するように要請する。ここで、検索サーバ31は、データを暗号化したまま任意の演算が可能なサーバである。そのため、検索サーバ31自身も計算に用いるデータの内容やその過程を知ることがなく、高度検索条件に合致する利用者のリストが出力される。その結果、利用者のプライバシは保護されたまま、データ利活用事業者が希望する条件に合致する利用者が特定される。即ち、利用者(とりわけ、高度検索条件に合致しない利用者)の個人情報は、利用者以外の第三者(情報流通事業者、サービス事業者、取引事業者、検索事業者)に知られることなく、検索条件に合致する利用者が特定される。また、データ利活用事業者は、自身の事業に有益な情報(高度検索の検索結果)を得ることができる。
【0200】
続いて、情報流通システムを構成する各装置のハードウェアについて説明する。図23は、検索サーバ31のハードウェア構成の一例を示す図である。
【0201】
検索サーバ31は、情報処理装置(所謂、コンピュータ)により構成可能であり、図23に例示する構成を備える。例えば、検索サーバ31は、プロセッサ311、メモリ312、入出力インターフェイス313及び通信インターフェイス314等を備える。上記プロセッサ311等の構成要素は内部バス等により接続され、相互に通信可能に構成されている。
【0202】
但し、図23に示す構成は、検索サーバ31のハードウェア構成を限定する趣旨ではない。検索サーバ31は、図示しないハードウェアを含んでもよいし、必要に応じて入出力インターフェイス313を備えていなくともよい。また、検索サーバ31に含まれるプロセッサ311等の数も図23の例示に限定する趣旨ではなく、例えば、複数のプロセッサ311が検索サーバ31に含まれていてもよい。
【0203】
プロセッサ311は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、DSP(Digital Signal Processor)等のプログラマブルなデバイスである。あるいは、プロセッサ311は、FPGA(Field Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)等のデバイスであってもよい。プロセッサ311は、オペレーティングシステム(OS;Operating System)を含む各種プログラムを実行する。
【0204】
メモリ312は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)等である。メモリ312は、OSプログラム、アプリケーションプログラム、各種データを格納する。
【0205】
入出力インターフェイス313は、図示しない表示装置や入力装置のインターフェイスである。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。
【0206】
通信インターフェイス314は、他の装置と通信を行う回路、モジュール等である。例えば、通信インターフェイス314は、NIC(Network Interface Card)等を備える。
【0207】
検索サーバ31の機能は、各種処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ312に格納されたプログラムをプロセッサ311が実行することで実現される。また、当該プログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transitory)なものとすることができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。また、上記プログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。
【0208】
なお、流通制御サーバ10、サービスサーバ20、事業者端末30、取引サーバ40、端末50等も検索サーバ31と同様に情報処理装置により構成可能であり、その基本的なハードウェア構成は検索サーバ31と相違する点はないので説明を省略する。
【0209】
検索サーバ31は、コンピュータを搭載し、当該コンピュータにプログラムを実行させることで検索サーバ31の機能が実現できる。また、検索サーバ31は、当該プログラムにより検索サーバの制御方法を実行する。
【0210】
[変形例]
なお、上記実施形態にて説明した情報流通システムの構成、動作等は例示であって、システムの構成等を限定する趣旨ではない。
【0211】
上記実施形態では、流通制御サーバ10が利用者情報データベース等を備える場合について説明した。しかし、これらのデータベースは、流通制御サーバ10とは異なるデータベースサーバに構築されていてもよい。また、情報流通システムには、上記実施形態にて説明した各種手段(例えば、データ流通制御部205等)が含まれていればよい。
【0212】
上記実施形態では、図4を参照し、サービス事業者を初めて利用する利用者の個人識別コードを流通制御サーバ10に通知することを説明した。その際、流通制御サーバ10から利用者の氏名がサービス事業者に送信され、当該氏名の送信に応じる形式で個人識別コードが流通制御サーバ10に通知されている。このような氏名に基づく個人識別コードの送受信に代えて、利用者のユーザIDが用いられてもよい。具体的には、利用者は初めて利用するサービス事業者に対してユーザIDを提示する。サービス事業者(サービスサーバ20)は、当該利用者の個人識別コード、事業者コード及び提示されたユーザIDを含む利用者情報を流通制御サーバ10に送信する。流通制御サーバ10は、利用者情報に含まれるユーザIDに基づいて個人識別コードが生成された利用者を特定すればよい。
【0213】
上記実施形態では、秘密分散による秘密計算により個人のプライバシに配慮しながら価値の高いデータをデータ利活用事業者に販売することを説明した。しかし、秘密計算の方法は秘密分散に限定されず他の方式であってもよい。例えば、暗号文のまま演算が可能な「準同型暗号」が用いられてもよい。あるいは、セキュリティレベルの高い検索サーバ31を用意し、当該セキュリティが強化された検索サーバ31の内部で暗号化されたデータが復号されて演算が行われてもよい。
【0214】
上記実施形態では、検索条件に含まれるデータ種類を用いて検索条件が高度検索条件であるのか通常検索条件であるのか判定する場合について説明した。しかし、当該判定は、機械学習等により得られる学習モデルを用いて行われてもよい。例えば、検索条件にラベル(高度検索条件、通常検索条件)が付与された教師データを用いた機械学習を行い、学習モデル(識別器)を生成すればよい。流通制御サーバ10は、取得した検索条件を学習モデルに入力し、判定結果(高度検索条件、通常検索条件)を取得してもよい。なお、学習モデルの生成には、サポートベクタマシン、ブースティングやニューラルネットワーク等の任意のアルゴリズムを用いることができる。なお、上記サポートベクタマシン等のアルゴリズムは公知の技術を使用することができるので、その説明を省略する。
【0215】
上記実施形態では、検索サーバ31は、利用者のユーザIDとサービス事業者の事業者コードを含む対象者リストを流通制御サーバ10に送信することを説明した。しかし、検索サーバ31は、ユーザID及び事業者コードに加え、データ種類を含む対象者リストを流通制御サーバ10に送信してもよい。上記の例では、「現病」、「服薬」、「SOPS」といったデータ種類を含む対象者リストが流通制御サーバ10に送信されてもよい。流通制御サーバ10は、データ種類をサービスサーバ20に通知し、サービスサーバ20は通知されたデータ種類に対応する蓄積データをデータ利活用事業者に送信してもよい。
【0216】
各装置(流通制御サーバ10、サービスサーバ20、事業者端末30、取引サーバ40、端末50)間のデータ送受信の形態は特に限定されないが、これら装置間で送受信されるデータは暗号化されていてもよい。
【0217】
上記説明で用いた流れ図(フローチャート、シーケンス図)では、複数の工程(処理)が順番に記載されているが、実施形態で実行される工程の実行順序は、その記載の順番に制限されない。実施形態では、例えば各処理を並行して実行する等、図示される工程の順番を内容的に支障のない範囲で変更することができる。
【0218】
上記の実施形態は本願開示の理解を容易にするために詳細に説明したものであり、上記説明したすべての構成が必要であることを意図したものではない。また、複数の実施形態について説明した場合には、各実施形態は単独で用いてもよいし、組み合わせて用いてもよい。例えば、実施形態の構成の一部を他の実施形態の構成に置き換えることや、実施形態の構成に他の実施形態の構成を加えることも可能である。さらに、実施形態の構成の一部について他の構成の追加、削除、置換が可能である。
【0219】
上記の説明により、本発明の産業上の利用可能性は明らかであるが、本発明は、サービス事業者が蓄積したデータを流通の対象とする情報流通システムなどに好適に適用可能である。
【0220】
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
サービス事業者が利用者にサービスを提供することで生じるデータを記憶する、サービスサーバと、
前記サービスサーバが記憶したデータをデータ利活用事業者に販売するための制御を行う、取引サーバと、
前記サービス事業者から前記データ利活用事業者へのデータ提供を制御する、流通制御サーバと、
前記サービス事業者に記憶されたデータと前記利用者のユーザIDが暗号化されたデータを記憶する、検索サーバと、
を含み、
前記取引サーバは、前記データ利活用事業者から検索条件を含む提供要請を受信すると共に、前記受信した提供要請を前記流通制御サーバに送信し、
前記流通制御サーバは、前記検索条件が、データ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索か否かを判定し、前記検索条件が前記高度検索の場合に、前記検索条件を前記検索サーバに送信し、
前記検索サーバは、前記検索条件に合致する利用者を特定し、前記特定された利用者のユーザIDを含む対象者リストを前記流通制御サーバに送信し、
前記流通制御サーバは、前記サービスサーバに対して、前記対象者リストに含まれる利用者のデータを前記データ利活用事業者にデータ提供するように指示する、システム。
[付記2]
前記検索サーバは、データが暗号化されたまま演算が可能である、付記1に記載のシステム。
[付記3]
前記検索サーバは、秘密計算により前記対象者リストを生成する、付記2に記載のシステム。
[付記4]
前記取引サーバは、前記受信した提供要請を審査し、前記審査に通過した提供要請を前記流通制御サーバに送信する、付記1乃至3のいずれか一に記載のシステム。
[付記5]
前記取引サーバは、前記データ提供のための口座を開設した利用者のユーザIDを含む口座開設者リストを記憶すると共に、前記提供要請と前記口座開設者リストを前記流通制御サーバに送信する、付記1乃至4のいずれか一に記載のシステム。
[付記6]
前記流通制御サーバは、前記口座開設者リスト及び前記対象者リストに記載された前記ユーザIDに対応する利用者のデータを前記データ利活用事業者にデータ提供するように指示する、付記5に記載のシステム。
[付記7]
前記流通制御サーバは、前記口座開設者リスト及び前記対象者リストに記載された前記ユーザIDに対応する利用者が前記データ提供に同意した場合に、前記データ提供に同意した利用者のデータを前記データ利活用事業者にデータ提供するように指示する、付記5又は6に記載のシステム。
[付記8]
前記流通制御サーバは、前記高度検索の対象となることを希望する希望者のユーザIDを取得する共に、前記希望者のユーザIDを含む暗号化データ送信指示を前記サービスサーバに送信し、
前記サービスサーバは、前記希望者に関する前記暗号化されたデータを前記検索サーバに送信する、付記1乃至7のいずれか一に記載のシステム。
[付記9]
前記サービスサーバは、前記利用者の個人識別コードを生成し、前記生成された個人識別コードと前記データを対応付けて記憶すると共に、前記生成された個人識別コードを前記流通制御サーバに送信し、
前記流通制御サーバは、前記ユーザIDと前記個人識別コードを対応付けて記憶する、付記8に記載のシステム。
[付記10]
前記流通制御サーバは、前記希望者の前記ユーザIDと前記個人識別コードを含む前記暗号化データ送信指示を前記サービスサーバに送信し、
前記サービスサーバは、前記個人識別コードに基づいて前記暗号化するデータを特定する、付記9に記載のシステム。
[付記11]
サービス事業者に記憶されたデータと利用者のユーザIDが暗号化されたデータを取得する、暗号化データ取得部と、
提供要請に含まれる検索条件がデータ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索を流通制御サーバから受信し、前記検索条件に合致する利用者を特定し、前記特定された利用者のユーザIDを含む対象者リストを生成し、前記生成された対象者リストを前記流通制御サーバに送信する、対象者リスト生成部と、
を含む、検索サーバ。
[付記12]
検索サーバにおいて、
サービス事業者に記憶されたデータと利用者のユーザIDが暗号化されたデータを取得し、
提供要請に含まれる検索条件がデータ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索を流通制御サーバから受信し、
前記検索条件に合致する利用者を特定し、
前記特定された利用者のユーザIDを含む対象者リストを生成し、
前記生成された対象者リストを前記流通制御サーバに送信する、検索サーバの制御方法。
[付記13]
検索サーバに搭載されたコンピュータに、
サービス事業者に記憶されたデータと利用者のユーザIDが暗号化されたデータを取得する処理と、
提供要請に含まれる検索条件がデータ種類だけでは結果が得られずデータ内容を参照することが必要な検索である高度検索を流通制御サーバから受信する処理と、
前記検索条件に合致する利用者を特定する処理と、
前記特定された利用者のユーザIDを含む対象者リストを生成する処理と、
前記生成された対象者リストを前記流通制御サーバに送信する処理と、
を実行させるためのプログラム。
【0221】
なお、引用した上記の先行技術文献の各開示は、本書に引用をもって繰り込むものとする。以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。即ち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得る各種変形、修正を含むことは勿論である。
【0222】
この出願は、2021年1月18日に出願された日本出願特願2021-005438号を基礎とする優先権を主張し、その開示の全てをここに取り込む。
【符号の説明】
【0223】
10、103 流通制御サーバ
20、101 サービスサーバ
20-1 医療Aサーバ
20-2 医療Bサーバ
30 事業者端末
31、104 検索サーバ
40、102 取引サーバ
50 端末
201、301、401、501、601 通信制御部
202 利用者登録部
203 個人識別コード管理部
204 所在情報管理部
205 データ流通制御部
206 カタログ情報管理部
207、306、404、505、605 記憶部
302 個人識別コード生成部
303 データ蓄積部
304 秘密分散部
305 データ流通部
311 プロセッサ
312 メモリ
313 入出力インターフェイス
314 通信インターフェイス
402 暗号化データ取得部
403 対象者リスト生成部
502 口座開設部
503 カタログ情報要求部
504 提供要請処理部
602 個人情報入力部
603 問合せ処理部
604 口座情報入力部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13A
図13B
図14
図15
図16
図17
図18
図19
図20
図21
図22
図23
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.