コホート追跡時におけるセキュアな疾病発症把握システム
【課題】コホート事業の参加者の匿名性を担保しつつ、コホート事業に必要な情報のみを取得することができる疾病発症把握システムを提供することを目的とする。
【解決手段】疾病発症把握システム1は、参加者に関する情報を記憶するコホート追跡データベース2eを備えた研究機関コンピュータ2と、参加者に関する情報を記憶する参加者情報データベース3eを備えた自治体コンピュータ3と、患者に関する情報を記憶するレセプト情報データベース4eを備えた病院コンピュータ4を備える。自治体コンピュータ3は、参加者の氏名32等をハッシュ値36に変換する。病院コンピュータ4は、研究機関コンピュータ2から通知されたコホート疾患名とハッシュ値36に基づいて患者の中から参加者を特定する。これにより、疾病発症把握システム1は、参加者の匿名性を担保した状態でコホート追跡データベース2eにコホート疾患名を記憶させることができる。
【解決手段】疾病発症把握システム1は、参加者に関する情報を記憶するコホート追跡データベース2eを備えた研究機関コンピュータ2と、参加者に関する情報を記憶する参加者情報データベース3eを備えた自治体コンピュータ3と、患者に関する情報を記憶するレセプト情報データベース4eを備えた病院コンピュータ4を備える。自治体コンピュータ3は、参加者の氏名32等をハッシュ値36に変換する。病院コンピュータ4は、研究機関コンピュータ2から通知されたコホート疾患名とハッシュ値36に基づいて患者の中から参加者を特定する。これにより、疾病発症把握システム1は、参加者の匿名性を担保した状態でコホート追跡データベース2eにコホート疾患名を記憶させることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、経年的に特定の個人の健康状態、疾患名、又は遺伝子情報等の医療情報を取得するコホート事業において、コホート事業への参加に同意してない者の医療情報を閲覧することなく、コホート事業への参加に同意した参加者の医療情報のみを取得することができる疾病発症把握システムに関する。
【背景技術】
【0002】
近年、特定の個人の健康状態、疾患名、又は遺伝子情報等の医療情報を経年的に蓄積、分析することにより疾患の発生原因や疾患予防方法を明らかにするコホート事業が盛んに行われている。コホート事業において、疾患の発生原因や疾患予防方法を明らかにするためには、多数の個人についての医療情報を蓄積することと、特定の個人ついての医療情報を数年から数十年に渡って取得する必要がある。コホート事業において利用される医療情報は、疾患名や遺伝子情報を含むため、個人の匿名性を担保した状態で蓄積される必要がある。また、医療情報は、医療機関で保持されている信頼性の高い診断内容や健康診断結果に基づいたデータであることが望ましい。また、コホート事業において利用される医療情報は、個人情報保護の観点から、コホート事業への参加に同意していない参加者以外の医療情報を閲覧することなく取得されなければならない。
【0003】
そこで、被験者の体質タイプに基づいて発症確率を算出することにより、疾患の発症を予測する技術が知られている(例えば、特許文献1参照)。また、個人の健康状態を指標化することにより健康指標値を算出し、健康指標値に基づいて個人の健康状態を予測する技術が知られている(例えば、特許文献2参照)。
【0004】
しかしながら、特許文献1に示される技術においては、医療機関に設置されている医療情報処理装置に保持されている被験者についての診断内容、身長、又は体重等に基づいて疾患の発症を予測することができるが、医療情報処理装置の操作者に、被験者以外の氏名、住所、診断内容、身長、又は体重等を閲覧される危険があった。また、特許文献2に示される技術においては、個人の健康状態に関する情報に基づいて個人の健康状態を予測するものであり、個人の匿名性を担保することができなかった。
【特許文献1】特開2006−163489号公報
【特許文献2】特開2002−63278号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明は、上記の問題を解決するためになされたものであり、医療機関に保持されている診断内容から、コホート事業への参加に同意していない者の氏名、住所、又は診断内容を参照することなく、かつコホート事業への参加者の氏名や住所等の個人情報を秘匿にした状態で、コホート事業において利用される疾患名を取得することができる疾病発症把握システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために請求項1の発明は、電気通信回線を介して互いに接続される少なくとも3台のコンピュータを備えた疾病発症把握システムにおいて、自治体の役場に設置され、コホート事業への参加に同意した参加者の氏名、生年月日、及び住所と、参加者に一意に割り当てられた個人識別番号とを関連付けて記憶する参加者情報データベースと、参加者情報データベースから所定の条件に一致する情報を抽出する自治体用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする自治体用接続手段と、を備える自治体コンピュータと、研究機関に設置され、個人識別番号と、参加者の健康診断情報と、参加者の疾患名を記憶する追跡情報とを関連付けて記憶するコホート追跡データベースと、追跡情報に所定の疾患名を記憶させる研究機関用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする研究機関用接続手段と、を備える研究機関コンピュータと、病院に設置され、レセプトIDをキーとして、レセプトIDと、患者の氏名、生年月日、住所、診断日、及び疾患名とを関連付けて記憶するレセプト情報データベースと、レセプト情報データベースから所定の条件に一致する情報を抽出する病院用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする病院用接続手段と、を備える病院コンピュータと、を備え、自治体用制御手段は、予め定められた暗号化関数を用いて参加者情報データベースに記憶された氏名、生年月日、及び住所を第1の暗号データに変換し、参加者情報データベースに個人識別番号と第1の暗号データとを関連付けて記憶させ、自治体用接続手段に第1の暗号データを病院コンピュータに送信させ、研究機関用制御手段は、研究機関用接続手段に所定の疾患名をコホート疾患名として病院コンピュータに送信させ、病院用制御手段は、暗号化関数を用いてレセプト情報データベースに記憶された氏名、生年月日、及び住所を第2の暗号データに変換し、レセプト情報データベースに個人識別番号と第2の暗号データとを関連付けて記憶させ、病院用接続手段が第1の暗号データとコホート疾患名を受信すると、レセプト情報データベースからコホート疾患名と一致する疾患名に関連付けられている第2の暗号データであって、第1の暗号データと一致する第2の暗号データを抽出し、病院用接続手段に抽出した第2の暗号データを自治体コンピュータに送信させ、自治体用接続手段が第2の暗号データを受信すると、自治体用制御手段は、参加者情報データベースから第2の暗号データと一致する第1のデータに関連付けられた個人識別番号を抽出し、自治体用接続手段に抽出した個人識別番号を研究機関コンピュータに送信させ、研究機関用接続手段が個人識別番号を受信すると、研究機関用制御手段は、コホート追跡データベースにコホート疾患名を個人識別番号と関連付けられた追跡情報に記憶させるようにしたものである。
【0007】
また、請求項2の発明は、電気通信回線を介して互いに接続される少なくとも3台のコンピュータを備えた疾病発症把握システムにおいて、自治体の役場に設置され、コホート事業への参加に同意した参加者の氏名、生年月日、及び住所と、参加者に一意に割り当てられた個人識別番号とを関連付けて記憶する参加者情報データベースと、参加者情報データベースから所定の条件に一致する情報を抽出する自治体用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする自治体用接続手段と、を備える自治体コンピュータと、研究機関に設置され、個人識別番号と、参加者の健康診断情報と、参加者が死亡したか否かを示す死亡情報が追加される追跡情報とを関連付けて記憶するコホート追跡データベースと、追跡情報に死亡情報を記憶させる研究機関用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする研究機関用接続手段と、を備える研究機関用コンピュータと、保健所に設置され、死亡情報IDをキーとして、死亡情報IDと、死亡者の氏名、生年月日、住所、及び死亡年月日とを関連付けて記憶する死亡情報データベースと、死亡情報データベースから所定の条件に一致する情報を抽出する保健所用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする保健所用接続手段と、を備える保健所コンピュータと、を備え、自治体用制御手段は、予め定められた暗号化関数を用いて参加者情報データベースに記憶された氏名、生年月日、及び住所を第1の暗号データに変換し、参加者情報データベースに個人識別番号と第1の暗号データとを関連付けて記憶させ、自治体用接続手段に第1の暗号データを保健所コンピュータに送信させ、研究機関用制御手段は、研究機関用接続手段に死亡情報の提供を依頼する情報提供依頼通知を保健所コンピュータに送信させ、保健所用制御手段は、暗号化関数を用いて死亡情報データベースに記憶された氏名、生年月日、及び住所を第3の暗号データに変換し、死亡情報データベースに個人識別番号と第3の暗号データとを関連付けて記憶させ、保健所用接続手段が第1の暗号データを受信すると、死亡情報データベースから第1の暗号データと一致する第3の暗号データを抽出し、保健所用接続手段に抽出した第3の暗号データを自治体コンピュータに送信させ、自治体用接続手段が第3の暗号データを受信すると、自治体用制御手段は、参加者情報データベースから第3の暗号データと一致する第1のデータに関連付けられた個人識別番号を抽出し、自治体用接続手段に抽出した個人識別番号を研究機関コンピュータに送信させ、研究機関用接続手段が個人識別番号を受信すると、研究機関用制御手段は、コホート追跡データベースに死亡情報を個人識別番号と関連付けられた追跡情報に記憶させるようにしたものである。
【0008】
また、請求項3の発明は、請求項1又は請求項2の疾病発症把握システムにおいて、暗号化関数は、ハッシュ関数であるようにしたものである。
【発明の効果】
【0009】
請求項1の発明によれば、疾病発症把握システムは、参加者を特定する氏名や住所等を暗号化したデータを自治体コンピュータから病院コンピュータへ送信する。これにより、疾病発症把握システムは、コホート事業への参加者を特定する氏名や住所等の情報を秘匿にした状態でコホート事業に必要となる疾患名をコホート追跡データベースに記憶させることができる。また、疾病発症把握システムは、レセプト情報データベースから参加者の診断内容のみを抽出する。これにより、疾病発症把握システムは、コホート事業に参加していない患者の診断内容が医師、看護師、診療情報管理士、又は研究者に閲覧されることを防止することができる。さらに、疾病発症把握システムは、データの送受信時のみ電気通信回線を介してデータの送受信が可能な状態とするため、外部から参加者情報データベース、コホート追跡データベース、及びレセプト情報データベースに記憶されている情報が改ざん又は窃取されることを回避することができる。
【0010】
請求項2の発明によれば、疾病発症把握システムは、参加者を特定する氏名や住所等を暗号化したデータを自治体コンピュータから保健所コンピュータへ送信する。これにより、疾病発症把握システムは、コホート事業への参加者を特定する氏名や住所等の情報を秘匿にした状態で参加者が死亡したことを示す死亡情報をコホート追跡データベースに記憶させることができる。また、疾病発症把握システムは、死亡情報データベースから参加者が死亡したことを示す死亡情報のみを抽出する。これにより、疾病発症把握システムは、コホート事業に参加していない住民の死亡情報が保健所職員又は研究者に閲覧されることを防止することができる。さらに、疾病発症把握システムは、データの送受信時のみ電気通信回線を介してデータの送受信が可能な状態とするため、外部から参加者情報データベース、コホート追跡データベース、及び死亡情報データベースに記憶されている情報が改ざん又は窃取されることを回避することができる。
【0011】
請求項3の発明によれば、疾病発症把握システムは、ハッシュ関数を用いて、参加者情報データベース、レセプト情報データベース、及び死亡情報データベースに記憶されている参加者の氏名、生年月日、及び住所を理論的に復号不能なハッシュ値に変換する。これにより、研究者、医師、看護師、診療情報管理士、及び保健所職員等が、参加者を特定する氏名や住所等を知ることができなくなるため、参加者の匿名性を担保することができる。また、疾病発症把握システムは、定期的にハッシュ関数を変更することによって、常に復号される危険性の低いハッシュ値を使用することができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の第1乃至第2の実施形態に係る疾病発症把握システムについて、図面を参照して説明する。図1は、第1の実施形態に係る疾病発症把握システムの構成を示す。疾病発症把握システム1は、大学病院や研究施設等の研究機関に設置された研究機関コンピュータ2と、自治体の市役所や町役場等に設置された自治体コンピュータ3と、病院や診療所等に設置された病院コンピュータ4を備える。研究機関コンピュータ2、自治体コンピュータ3、及び病院コンピュータ4は、地理的に離れた場所に設置されており、それぞれLAN2a乃至LAN4aを介して専用線5に接続されている。
【0013】
研究機関コンピュータ2は、コホート事業への参加に同意した参加者に関する情報と疾患名が入力される入力手段2bと、参加者に関する情報を記憶し、この情報を処理する本体部2cと、参加者に関する情報又は疾患名を表示する表示手段2dと備える。本体部2cは、参加者に関する情報を記憶するコホート追跡データベース2eと、専用線5を介して自治体コンピュータ3又は病院コンピュータ4とデータを送受信する接続手段2fと、研究機関コンピュータ2全体を制御する制御手段2gを備える。コホートとは、予め所定の人体について生活習慣や健康状態等を調査しておき、その後の疾病の発生状態や発生時期等を分析、調査、又は予測することである。研究機関コンピュータ2は、コホート事業への参加に同意した参加者に関する情報を記憶し、コホート事業を行う上で必要となる疾病に関する情報を病院コンピュータ4から取得する。ここで、コホート事業とは、個人の健康診断情報、遺伝子情報、及び疾病に関する情報等に基づいて様々な疾病の発症時期や発症状態ついて調査及び研究を行う事業である。また、コホート事業への参加に同意した参加者とは、コホート事業の意義を理解した上で、自己の健康診断情報、遺伝子情報、及び疾病に関する情報等を匿名で研究機関に提供することに同意した者のことである。
【0014】
自治体コンピュータ3は、参加者に関する情報が入力される入力手段3bと、参加者に関する情報を記憶し、この情報を処理する本体部3cと、参加者に関する情報を表示する表示手段3dを備える。本体部3cは、参加者に関する情報を記憶する参加者情報データベース3eと、専用線5を介して研究機関コンピュータ2又は病院コンピュータ4とデータを送受信する接続手段3fと、自治体コンピュータ3全体を制御する制御手段3gと、参加者に関する情報を暗号化するために用いられるハッシュ関数を記憶する記憶部3hを備える。
【0015】
記憶部3hは、疾病発症把握システム1全体で統一されたハッシュ関数を予め記憶しており、ハッシュ関数の種類は、例えば、SHA−1(Secure Hash Algorithm−1)やMD5(Message Digest Algorithm 5)等である。ハッシュ値は、理論的に復号不可能であるため、疾病発症把握システム1は、研究者、医師、看護師、及び診療情報管理士等が参加者の氏名や住所等を特定することを防止できる。また、疾病発症把握システム1は、定期的にハッシュ関数を変更することによって、常に復号化される危険性の低いハッシュ値を使用することができる。
【0016】
病院コンピュータ4は、患者の診断内容に関する情報が入力される入力手段4bと、診断内容に関する情報を記憶し、この情報を処理する本体部4cと、診断内容を表示する表示手段4dを備える。ここで、診断内容とは、例えば、病院で保管されている電子カルテに記録された情報である。本体部4cは、診断内容に関する情報を記憶するレセプト情報データベース4eと、専用線5を介して研究機関コンピュータ2又は自治体コンピュータ3とデータを送受信する接続手段4fと、病院コンピュータ4全体を制御する制御手段4gと、参加者に関する情報を暗号化するために用いられるハッシュ関数を記憶する記憶部4hを備える。記憶部4hが記憶するハッシュ関数は、記憶部3hに記憶されているハッシュ関数と同一である。
【0017】
ここで、入力手段2b乃至入力手段4bは、例えば、キーボードやマウスであり、表示手段2d乃至表示手段4d、例えば、液晶ディスプレイやプラズマディスプレイである。また、接続手段2fは、物理的に専用線5に接続しているが、通常は自治体コンピュータ3及び病院コンピュータ4とデータの送受信ができない状態を保っている。接続手段2fは、制御手段2gからデータを自治体コンピュータ3又は病院コンピュータ4とデータを送受信する命令を受けたときのみ、専用線5を介してデータの送受信を実行し、データの送受信が完了すると、自治体コンピュータ3及び病院コンピュータ4とデータの送受信ができない状態にする。接続手段3f及び接続手段4fも接続手段2fと同様の構成である。これにより、研究機関コンピュータ2、自治体コンピュータ3、及び病院コンピュータ4は、他のコンピュータから不正アクセスされることや各コンピュータに記憶された情報が改ざん又は窃取されることを防止することができる。
【0018】
図2は、本実施形態に係る各コンピュータが記憶するデータベースの構成を示す。図2(a)は、コホート追跡データベース2eの構成を示し、図2(b)は、参加者情報データベース3eの構成を示し、図2(c)は、レセプト情報データベース4eの構成を示す。図2(a)を参照して、コホート追跡データベース2eは、参加者に一意に割り当てられた番号を記憶する個人識別番号21と、参加者がコホート事業に参加するにあたり、参加者に対して実施される健康診断において、参加者を識別するために使用される番号を記憶する健康診断番号22と、健康診断において取得した参加者の身長、体重、胸囲、視力、聴力、血圧、及び心拍数等の情報を記憶する生理学的検査情報23と、健康診断において採取した血液や尿等の情報を記憶する生体試料情報24と、参加者の疾患名や疾病が発症した時期等の情報を記憶する追跡情報25とを関連付けて記憶する。
【0019】
匿名でコホート事業に参加している参加者は、コホート事業において使用される情報を研究機関に提供するために、例えば、年に1度、健康診断を受診する。健康診断において、参加者は、氏名や個人識別番号21でなく予め個人識別番号21と関連付けられた健康診断番号22が割り当てられる。参加者は、健康診断の受診中は、常に健康診断番号22で特定され、健康診断結果も健康診断番号22と関連付けて記録される。健康診断番号22は、一度、健康診断において使用されると再使用されることはない。これにより、健康診断を実施している医師や看護師は、健康診断を受診している参加者と参加者の個人識別番号21とを結びつけることができないため、研究用データベース2eは、参加者の匿名性を担保した状態で生理学的検査情報23及び生体試料情報24を記憶することができる。
【0020】
図2(b)を参照して、参加者情報データベース3eは、個人識別番号31と、参加者の氏名32と、参加者の生年月日33と、参加者の性別34と、参加者の住所35とを関連付けて記憶する。また、参加者情報データベース3eは、制御手段3gによって変換されたハッシュ値36を個人識別番号31と関連付けて記憶する。ここで、ハッシュ値36は、制御手段3gが記憶部3hに記憶されているハッシュ関数を用いて、氏名32、生年月日33、性別34、及び住所35を変換した数値である。
【0021】
図2(c)を参照して、レセプト情報データベース4eは、患者に一意に割り当てられたレセプトID41をキーとして、患者の氏名42と、患者の生年月日43と、患者の性別44と、患者の住所45と、患者が診断された診断日46と、診断された疾患名47と、患者の体温、血圧、又は心拍数等を記憶する患者生体情報48とを関連付けて記憶する。また、レセプト情報データベース4eは、制御手段4gによって変換されたハッシュ値49をレセプトID41と関連付けて記憶する。ここで、ハッシュ値49は、制御手段4gが記憶部4hに記憶されているハッシュ関数を用いて、氏名42、生年月日43、性別44、及び住所45を変換した数値である。
【0022】
次に、本実施形態に係る疾病発症把握システム1が参加者の疾患名を取得するコホート処理について説明する。図3は、疾病発症把握システム1によって実行されるコホート処理のフローを示す。自治体コンピュータ3は、記憶部3hに記憶されているハッシュ関数を病院コンピュータ4に送信する(S101)。接続手段3fは、専用線5を介して接続手段4fと通信可能な状態した後、ハッシュ関数を接続手段4fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。病院コンピュータ4は、受信したハッシュ関数を記憶部4hに記憶させる。これにより、自治体コンピュータ3及び病院コンピュータ4は、同一のハッシュ関数を保持する。
【0023】
次に、自治体コンピュータ3において、制御手段3gは、参加者情報データベース3eに記憶されている全ての参加者についての氏名32、生年月日33、性別34、及び住所35をハッシュ値36に変換する(S102)。参加者情報データベース3eは、変換されたハッシュ値36を個人識別番号31と関連付けて記憶する。次に、自治体コンピュータ3は、参加者情報データベース3eに記憶されている全てのハッシュ値36を病院コンピュータ4に送信する(S103)。接続手段3fは、専用線5を介して接続手段4fと通信可能な状態した後、参加者情報データベース3eに記憶されている全てのハッシュ関数を接続手段4fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0024】
研究機関コンピュータ2は、参加者に対して実施された健康診断の内容をコホート追跡データベース2eに記憶させる(S104)。制御手段2gは、健康診断の内容として、入力手段2bに入力された個人識別番号21、健康診断番号22、生理学的検査情報23、及び生体試料情報24をコホート追跡データベース2eに記憶させる。ここで、個人識別番号21は、予め健康診断番号22と関連付けられており、同一の参加者に割り当てられた個人識別番号21と参加者情報データベース3eに記憶されている個人識別番号31は同一である。次に、研究機関コンピュータ2は、コホート事業において必要となる疾患名をコホート疾患名として病院コンピュータ4に通知する(S105)。ここで、コホート疾患名は、例えば、「心筋梗塞」とし、コホート疾患名「心筋梗塞」は、入力手段2bから入力される。制御手段2gは、接続手段2fに入力されたコホート疾患名「心筋梗塞」を接続手段4fに送信させる。接続手段2fは、専用線5を介して接続手段4fと通信可能な状態した後、コホート疾患名「心筋梗塞」を接続手段4fに送信する。送信完了後、接続手段2fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0025】
病院コンピュータ4は、受信したコホート疾患名「心筋梗塞」と一致する疾患名47をレセプト情報データベース4eから抽出する(S106)。制御手段4gは、レセプト情報データベース4eに記憶されている疾患名47を検索し、コホート疾患名「心筋梗塞」と一致する疾患名47と関連付けられているレセプトID41を全て抽出する。次に、制御手段4gは、記憶部4hに記憶されているハッシュ関数を用いて、抽出した全てのレセプトID41と関連付けられている氏名42、生年月日43、性別44、及び住所45をハッシュ値49に変換する(S107)。レセプト情報データベース4eは、変換されたハッシュ値49をレセプトID41と関連付けて記憶する。
【0026】
制御手段4gは、レセプト情報データベース4eに記憶されているハッシュ値49を検索し、記憶部4hに記憶されているハッシュ値36と一致するハッシュ値49と関連付けられているレセプトID41を全て抽出する(S108)。これにより、病院コンピュータ4は、レセプト情報データベース4eに記憶されているデータからコホート事業に参加している参加者のデータだけを抽出することができる。次に、制御手段4gは、抽出したレセプトID41に関連付けられている生年月日43、性別44、診断日46、疾患名47、及び患者生体情報48を表示手段4dに表示させる(S109)。
【0027】
医師は、表示手段4dに表示された情報を確認することにより、表示されている疾患名47とコホート疾患名「心筋梗塞」が一致しているか否かを確認する。医師は、表示手段4dに表示されている疾患名47とコホート疾患名「心筋梗塞」が一致していないとき、この表示されている疾患名47に関連付けられているレセプトID41を、制御手段4gによって抽出されたレセプトID41から削除する。また、医師は、表示手段4dに表示されている生年月日43、性別44、診断日46、疾患名47、及び患者生体情報48に基づいて疾患名47を変更する必要があると判断したとき、この表示されている疾患名47に関連付けられているレセプトID41を、制御手段4gによって抽出されたレセプトID41から削除する。さらに、医師は、表示手段4dに表示されている情報の他に健康診断情報や紙面に記載されたカルテの内容を参照することによって、表示手段4dに表示されている疾患名47を変更する必要があると判断したとき、この表示されている疾患名47に関連付けられているレセプトID41を、制御手段4gによって抽出されたレセプトID41から削除する。これにより、病院コンピュータ4は、コホート疾患名「心筋梗塞」と一致する疾患名47に関連付けられたレセプトID41のみを抽出することができる。ここで、制御手段4gは、抽出したレセプトID41に関連づけられた氏名42及び住所45を表示手段4dに表示させない。これにより、疾病発症把握システム1は、医師の判断に基づいて、参加者の匿名性を担保した状態でコホート疾患名「心筋梗塞」と一致する疾患名47に関連付けられたレセプトID41のみを抽出することができる。
【0028】
次に、病院コンピュータ4は、抽出されたレセプトID41に関連付けられているハッシュ値49と診断日46を自治体コンピュータ3に送信する(S110)。接続手段4fは、専用線5を介して接続手段3fと通信可能な状態した後、抽出されたレセプトID41に関連付けられているハッシュ値49と診断日46を接続手段3fに送信する。送信完了後、接続手段4fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0029】
自治体コンピュータ3は、受信したハッシュ値49に基づいて参加者情報データベース3eから個人識別番号31を抽出する(S111)。ここで、制御手段3gは、情報データベース3eに記憶されているハッシュ値36を検索し、受信したハッシュ値49と一致するハッシュ値36と関連付けられている個人識別番号31を全て抽出する。次に、自治体コンピュータ3は、抽出された個人識別番号31を研究機関コンピュータ2に送信する(S112)。接続手段3fは、専用線5を介して接続手段2fと通信可能な状態した後、抽出された個人識別番号31を接続手段2fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0030】
研究機関コンピュータ2は、受信した個人識別番号31に基づいてコホート疾患名「心筋梗塞」をコホート追跡データベース2eに記憶させる(S113)。ここで、制御手段2gは、制御手段4gは、コホート追跡データベース2eに記憶されている個人識別番号21を検索し、受信した個人識別番号31と一致する個人識別番号21と関連付けられている追跡情報25にコホート疾患名「心筋梗塞」と診断日46を記憶させる。これにより、研究機関コンピュータ2は、特定の参加者が「心筋梗塞」が発症したこと、「心筋梗塞」が発症した時期の情報を得ることができる。このように、病院コンピュータ4は、レセプト情報データベース4eに記憶されているコホート事業に参加していない患者に関するデータと参加者の氏名42及び住所45を表示手段4dに表示させることなく、コホート疾患名「心筋梗塞」と一致する疾患名47に関連付けられたレセプトID41を抽出する。また、研究機関コンピュータ2は、コホート事業において必要とされない参加者の氏名や住所等にはアクセスしない。これにより、疾病発症把握システム1は、レセプト情報データベース4eに記憶されている患者に関するデータの秘匿性を担保した状態であり、かつコホート事業への参加者の匿名性を担保した状態でコホート追跡データベース2eにコホート事業に必要なデータを記憶させることができる。
【0031】
次に、本発明の第2の実施形態に係る疾病発症把握システム1について説明する。図4は、本発明の第2の実施形態に係る疾病発症把握システム1の概略構成を示す。ここで、本実施形態に係る疾病発症把握システム1と、第1の実施形態に係る疾病発症把握システム1との構成の違いについて説明する。疾病発症把握システム1は、研究機関コンピュータ2と、自治体コンピュータ3と、自治体の保健所に設置された保健所コンピュータ6を備える。保健所コンピュータ6、自治体コンピュータ3、及び病院コンピュータ4は、地理的に離れた場所に設置されており、それぞれLAN2a、LAN3a、及びLAN6aを介して専用線5に接続されている。
【0032】
保健所コンピュータ6は、自治体の住民であって、死亡した住民の死亡情報が入力される入力手段6bと、死亡情報を記憶し、この死亡情報を処理する本体部6cと、死亡情報を表示する表示手段6dを備える。ここで、死亡情報とは、例えば、死亡した住民の氏名と死亡した年月日等である。本体部6cは、死亡情報を記憶する死亡情報データベース6eと、専用線5を介して研究機関コンピュータ2又は自治体コンピュータ3とデータを送受信する接続手段6fと、保健所コンピュータ6全体を制御する制御手段6gと、死亡情報を暗号化するために用いられるハッシュ関数を記憶する記憶部6hを備える。記憶部6hが記憶するハッシュ関数は、記憶部3hに記憶されているハッシュ関数と同一である。
【0033】
接続手段6fは、物理的に専用線5に接続しているが、通常は研究機関コンピュータ2及び自治体コンピュータ3とデータの送受信ができない状態を保っている。接続手段6fは、制御手段6gからデータを研究機関コンピュータ2又は自治体コンピュータ3とデータを送受信する命令を受けたときのみ、データの送受信を実行し、データの送受信が完了すると、研究機関コンピュータ2及び自治体コンピュータ3とデータの送受信ができない状態にする。
【0034】
図5は、死亡情報データベース6eの構成を示す。死亡情報データベース6eは、死亡した住民に一意に割り当てられた死亡情報ID61をキーとして、死亡した住民の氏名62と、死亡した住民の生年月日63と、死亡した住民の性別64と、死亡した住民の住所65と、住民が死亡した死亡年月日66とを関連付けて記憶する。また、死亡情報データベース6eは、制御手段6gによって変換されたハッシュ値67を死亡情報ID61と関連付けて記憶する。ここで、ハッシュ値67は、制御手段6gが記憶部6hに記憶されているハッシュ関数を用いて、氏名62、生年月日63、性別64、及び住所65を変換した数値である。
【0035】
次に、本実施形態に係る疾病発症把握システム1が参加者の疾患名を取得するコホート処理について説明する。図6は、疾病発症把握システム1によって実行されるコホート処理のフローを示す。自治体コンピュータ3は、記憶部3hに記憶されているハッシュ関数を保健所コンピュータ6に送信する(S201)。接続手段3fは、専用線5を介して接続手段6fと通信可能な状態した後、ハッシュ関数を接続手段6fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。保健所コンピュータ6は、受信したハッシュ関数を記憶部6hに記憶させる。これにより、自治体コンピュータ3及び保健所コンピュータ6は、同一のハッシュ関数を保持することとなる。
【0036】
次に、自治体コンピュータ3における制御手段3gは、参加者情報データベース3eに記憶されている全ての参加者についての氏名32、生年月日33、性別34、及び住所35をハッシュ値36に変換する(S202)。参加者情報データベース3eは、変換されたハッシュ値36を個人識別番号31と関連付けて記憶する。次に、自治体コンピュータ3は、参加者情報データベース3eに記憶されている全てのハッシュ値36を保健所コンピュータ6に送信する(S203)。接続手段3fは、専用線5を介して接続手段6fと通信可能な状態した後、参加者情報データベース3eに記憶されている全てのハッシュ関数を接続手段6fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。保健所コンピュータ6は、受信したハッシュ値36を記憶部6hに記憶させる。
【0037】
研究機関コンピュータ2は、参加者に対して実施した健康診断の内容をコホート追跡データベース2eに記憶させる(S204)。制御手段2gは、入力手段2bに入力された個人識別番号21、健康診断番号22、生理学的検査情報23、及び生体試料情報24をコホート追跡データベース2eに記憶させる。次に、制御手段2gは、接続手段2fに保健所コンピュータ6に対して、参加者の死亡情報の提供を依頼する情報提供依頼通知を送信させる(S205)。接続手段2fは、専用線5を介して接続手段6fと通信可能な状態した後、情報提供依頼通知を接続手段6fに送信する。送信完了後、接続手段2fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0038】
保健所コンピュータ6は、情報提供依頼通知を受信すると、死亡情報データベース6eに記憶されている氏名62、生年月日63、性別64、及び住所65をハッシュ値67に変換する(S206)。ハッシュ値67は、制御手段6gによって、記憶部6hに記憶されているハッシュ関数を用いて変換される。次に、制御手段6gは、死亡情報データベース6eに記憶されているハッシュ値67を検索し、記憶部6hに記憶されているハッシュ値36と一致するハッシュ値67と関連付けられている死亡情報ID61を全て抽出する(S207)。これにより、保健所コンピュータ6は、死亡情報データベース6eに記憶されているデータからコホート事業に参加している参加者のデータだけを抽出することができる。
【0039】
次に、保健所コンピュータ6は、抽出された死亡情報ID61に関連付けられているハッシュ値67と死亡年月日66を自治体コンピュータ3に送信する(S208)。接続手段6fは、専用線5を介して接続手段3fと通信可能な状態した後、抽出された死亡情報ID61に関連付けられているハッシュ値67と死亡年月日66を接続手段3fに送信する。送信完了後、接続手段6fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0040】
自治体コンピュータ3は、受信したハッシュ値67に基づいて参加者情報データベース3eから個人識別番号31を抽出する(S209)。制御手段3gは、参加者情報データベース3eに記憶されているハッシュ値36を検索し、受信したハッシュ値67と一致するハッシュ値36と関連付けられている個人識別番号31を全て抽出する。次に、自治体コンピュータ3は、抽出された個人識別番号31と死亡年月日66を研究機関コンピュータ2に送信する(S210)。接続手段3fは、専用線5を介して接続手段2fと通信可能な状態した後、抽出された個人識別番号31と死亡年月日66を接続手段2fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0041】
研究機関コンピュータ2は、受信した個人識別番号31に基づいて、死亡年月日66をコホート追跡データベース2eに記憶させる(S211)。ここで、制御手段2gは、制御手段4gは、コホート追跡データベース2eに記憶されている個人識別番号21を検索し、受信した個人識別番号31と一致する個人識別番号21と関連付けられている追跡情報25に死亡年月日66を記憶させる。これにより、研究機関コンピュータ2は、特定の参加者が死亡した事実と死亡した時期の情報を得ることができる。このように、保健所コンピュータ6は、死亡情報データベース6eに記憶さている参加者に関する情報のみを抽出する。また、研究機関コンピュータ2は、コホート事業において必要とされない参加者の氏名や住所等にはアクセスしない。これにより、疾病発症把握システム1は、死亡情報データベース6eに記憶さている住民に関するデータの秘匿性を担保した状態であり、かつコホート事業への参加者の匿名性を担保した状態でコホート追跡データベース2eにコホート事業に必要なデータを記憶させることができる。
【0042】
このように、本発明の第1の実施形態においては、自治体コンピュータ3は、参加者情報データベース3eに記憶されている参加者の氏名32、生年月日33、性別34、及び住所35をハッシュ値36に変換し、病院コンピュータ4は、氏名42、生年月日43、性別44、及び住所45をハッシュ値49に変換する。これにより、疾病発症把握システム1は、参加者の匿名性を担保した状態でコホート疾患名及び診断日46をコホート追跡データベース2eに記憶させることができる。また、接続手段2f、接続手段3f、及び接続手段4fは、データの送受信時のみ専用線5に接続可能な状態とするため、外部からコホート追跡データベース2e、参加者情報データベース3e、及びレセプト情報データベース4eに記憶されている情報が改ざん又は窃取されることを回避することができる。さらに、疾病発症把握システム1は、レセプト情報データベース4eから参加者についての情報のみを抽出する。これにより、疾病発症把握システム1は、医師、看護師、診療情報管理士、又は研究者によって、コホート事業に参加していない患者の氏名42、生年月日43、性別44、住所45、診断日46、疾患名47、及び患者生体情報48が閲覧されることを防止することができる。
【0043】
このように、本発明の第2の実施形態においては、自治体コンピュータ3は、参加者情報データベース3eに記憶されている参加者の氏名32、生年月日33、性別34、及び住所35をハッシュ値36に変換し、保健所コンピュータ6は、氏名62、生年月日63、性別64、及び住所65をハッシュ値67に変換する。これにより、疾病発症把握システム1は、参加者の匿名性を担保した状態で死亡年月日66をコホート追跡データベース2eに記憶させることができる。また、接続手段2f、接続手段3f、及び接続手段6fは、データの送受信時のみ専用線5に接続可能な状態とするため、外部からコホート追跡データベース2e、参加者情報データベース3e、及び死亡情報データベース6eに記憶されている情報が改ざん又は窃取されることを回避することができる。さらに、疾病発症把握システム1は、死亡情報データベース6eから参加者についての情報のみを抽出する。これにより、疾病発症把握システム1は、保健所職員又は研究者によって、コホート事業に参加していない住民の氏名62、生年月日63、性別64、住所65、及び死亡年月日66が閲覧されることを防止することができる。
【0044】
なお、本発明は、上記実施形態の構成に限られず、種々の変形が可能であり、第1の実施形態において、自治体コンピュータ3は、参加者情報データベース3eに記憶されている参加者の氏名32、生年月日33、性別34、及び住所35をハッシュ値36に変換する構成ではなく、氏名32と生年月日33のみをハッシュ値36に変換する構成であっても構わない。また、病院コンピュータ4は、氏名42、生年月日43、性別44、及び住所45をハッシュ値49に変換する構成ではなく、氏名42及び生年月日43のみをハッシュ値49に変換する構成であっても構わない。さらに、レセプト情報データベース4eは、さらに、患者の身長、体重、血圧、又は体温等の情報や、処方した薬に関する情報を記憶する構成であって構わない。第2の実施形態において、保健所コンピュータ6は、氏名62、生年月日63、性別64、及び住所65をハッシュ値67に変換する構成ではなく、氏名62及び生年月日63のみをハッシュ値67に変換する構成であっても構わない。第1及び第2の実施形態において、疾病発症把握システム1は、専用線5を介してデータを送受信する構成ではなく、インターネットや電話回線を介してデータを送受信する構成であっても構わない。
【図面の簡単な説明】
【0045】
【図1】本発明の第1の実施形態に係る疾病発症把握システムの構成図。
【図2】本実施形態に係るコンピュータが記憶するデータベースの構成図。
【図3】本実施形態に係るコホート処理のフローチャート。
【図4】本発明の第2の実施形態に係る疾病発症把握システムの構成図。
【図5】本実施形態に係る保健所コンピュータが記憶するデータベースの構成図。
【図6】本実施形態に係るコホート処理のフローチャート。
【符号の説明】
【0046】
1 疾病発症把握システム
2 研究機関コンピュータ
2e コホート追跡データベース
2f 接続手段(研究機関用接続手段)
2g 制御手段(研究機関用制御手段)
3 自治体コンピュータ
3e 参加者データベース
3f 接続手段(自治体用接続手段)
3g 制御手段(自治体用制御手段)
4 病院コンピュータ
4e レセプト情報データベース
4f 接続手段(病院用接続手段)
4g 制御手段(病院用制御手段)
5 専用線(電気通信回線)
6 保健所コンピュータ
6e 死亡情報データベース
6f 接続手段(保健所用接続手段)
6g 制御手段(保健所用制御手段)
21 個人識別番号
25 追跡情報
31 個人識別番号
32 氏名
33 生年月日
35 住所
36 ハッシュ値(第1の暗号データ)
41 レセプトID
42 氏名
43 生年月日
45 住所
46 診断日
47 疾患名
49 ハッシュ値(第2の暗号データ)
61 死亡情報ID
62 氏名
63 生年月日
65 住所
67 ハッシュ値(第3の暗号データ)
【技術分野】
【0001】
本発明は、経年的に特定の個人の健康状態、疾患名、又は遺伝子情報等の医療情報を取得するコホート事業において、コホート事業への参加に同意してない者の医療情報を閲覧することなく、コホート事業への参加に同意した参加者の医療情報のみを取得することができる疾病発症把握システムに関する。
【背景技術】
【0002】
近年、特定の個人の健康状態、疾患名、又は遺伝子情報等の医療情報を経年的に蓄積、分析することにより疾患の発生原因や疾患予防方法を明らかにするコホート事業が盛んに行われている。コホート事業において、疾患の発生原因や疾患予防方法を明らかにするためには、多数の個人についての医療情報を蓄積することと、特定の個人ついての医療情報を数年から数十年に渡って取得する必要がある。コホート事業において利用される医療情報は、疾患名や遺伝子情報を含むため、個人の匿名性を担保した状態で蓄積される必要がある。また、医療情報は、医療機関で保持されている信頼性の高い診断内容や健康診断結果に基づいたデータであることが望ましい。また、コホート事業において利用される医療情報は、個人情報保護の観点から、コホート事業への参加に同意していない参加者以外の医療情報を閲覧することなく取得されなければならない。
【0003】
そこで、被験者の体質タイプに基づいて発症確率を算出することにより、疾患の発症を予測する技術が知られている(例えば、特許文献1参照)。また、個人の健康状態を指標化することにより健康指標値を算出し、健康指標値に基づいて個人の健康状態を予測する技術が知られている(例えば、特許文献2参照)。
【0004】
しかしながら、特許文献1に示される技術においては、医療機関に設置されている医療情報処理装置に保持されている被験者についての診断内容、身長、又は体重等に基づいて疾患の発症を予測することができるが、医療情報処理装置の操作者に、被験者以外の氏名、住所、診断内容、身長、又は体重等を閲覧される危険があった。また、特許文献2に示される技術においては、個人の健康状態に関する情報に基づいて個人の健康状態を予測するものであり、個人の匿名性を担保することができなかった。
【特許文献1】特開2006−163489号公報
【特許文献2】特開2002−63278号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明は、上記の問題を解決するためになされたものであり、医療機関に保持されている診断内容から、コホート事業への参加に同意していない者の氏名、住所、又は診断内容を参照することなく、かつコホート事業への参加者の氏名や住所等の個人情報を秘匿にした状態で、コホート事業において利用される疾患名を取得することができる疾病発症把握システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために請求項1の発明は、電気通信回線を介して互いに接続される少なくとも3台のコンピュータを備えた疾病発症把握システムにおいて、自治体の役場に設置され、コホート事業への参加に同意した参加者の氏名、生年月日、及び住所と、参加者に一意に割り当てられた個人識別番号とを関連付けて記憶する参加者情報データベースと、参加者情報データベースから所定の条件に一致する情報を抽出する自治体用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする自治体用接続手段と、を備える自治体コンピュータと、研究機関に設置され、個人識別番号と、参加者の健康診断情報と、参加者の疾患名を記憶する追跡情報とを関連付けて記憶するコホート追跡データベースと、追跡情報に所定の疾患名を記憶させる研究機関用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする研究機関用接続手段と、を備える研究機関コンピュータと、病院に設置され、レセプトIDをキーとして、レセプトIDと、患者の氏名、生年月日、住所、診断日、及び疾患名とを関連付けて記憶するレセプト情報データベースと、レセプト情報データベースから所定の条件に一致する情報を抽出する病院用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする病院用接続手段と、を備える病院コンピュータと、を備え、自治体用制御手段は、予め定められた暗号化関数を用いて参加者情報データベースに記憶された氏名、生年月日、及び住所を第1の暗号データに変換し、参加者情報データベースに個人識別番号と第1の暗号データとを関連付けて記憶させ、自治体用接続手段に第1の暗号データを病院コンピュータに送信させ、研究機関用制御手段は、研究機関用接続手段に所定の疾患名をコホート疾患名として病院コンピュータに送信させ、病院用制御手段は、暗号化関数を用いてレセプト情報データベースに記憶された氏名、生年月日、及び住所を第2の暗号データに変換し、レセプト情報データベースに個人識別番号と第2の暗号データとを関連付けて記憶させ、病院用接続手段が第1の暗号データとコホート疾患名を受信すると、レセプト情報データベースからコホート疾患名と一致する疾患名に関連付けられている第2の暗号データであって、第1の暗号データと一致する第2の暗号データを抽出し、病院用接続手段に抽出した第2の暗号データを自治体コンピュータに送信させ、自治体用接続手段が第2の暗号データを受信すると、自治体用制御手段は、参加者情報データベースから第2の暗号データと一致する第1のデータに関連付けられた個人識別番号を抽出し、自治体用接続手段に抽出した個人識別番号を研究機関コンピュータに送信させ、研究機関用接続手段が個人識別番号を受信すると、研究機関用制御手段は、コホート追跡データベースにコホート疾患名を個人識別番号と関連付けられた追跡情報に記憶させるようにしたものである。
【0007】
また、請求項2の発明は、電気通信回線を介して互いに接続される少なくとも3台のコンピュータを備えた疾病発症把握システムにおいて、自治体の役場に設置され、コホート事業への参加に同意した参加者の氏名、生年月日、及び住所と、参加者に一意に割り当てられた個人識別番号とを関連付けて記憶する参加者情報データベースと、参加者情報データベースから所定の条件に一致する情報を抽出する自治体用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする自治体用接続手段と、を備える自治体コンピュータと、研究機関に設置され、個人識別番号と、参加者の健康診断情報と、参加者が死亡したか否かを示す死亡情報が追加される追跡情報とを関連付けて記憶するコホート追跡データベースと、追跡情報に死亡情報を記憶させる研究機関用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする研究機関用接続手段と、を備える研究機関用コンピュータと、保健所に設置され、死亡情報IDをキーとして、死亡情報IDと、死亡者の氏名、生年月日、住所、及び死亡年月日とを関連付けて記憶する死亡情報データベースと、死亡情報データベースから所定の条件に一致する情報を抽出する保健所用制御手段と、予め定められたコンピュータとデータを送受信するときのみコンピュータと通信可能な状態とする保健所用接続手段と、を備える保健所コンピュータと、を備え、自治体用制御手段は、予め定められた暗号化関数を用いて参加者情報データベースに記憶された氏名、生年月日、及び住所を第1の暗号データに変換し、参加者情報データベースに個人識別番号と第1の暗号データとを関連付けて記憶させ、自治体用接続手段に第1の暗号データを保健所コンピュータに送信させ、研究機関用制御手段は、研究機関用接続手段に死亡情報の提供を依頼する情報提供依頼通知を保健所コンピュータに送信させ、保健所用制御手段は、暗号化関数を用いて死亡情報データベースに記憶された氏名、生年月日、及び住所を第3の暗号データに変換し、死亡情報データベースに個人識別番号と第3の暗号データとを関連付けて記憶させ、保健所用接続手段が第1の暗号データを受信すると、死亡情報データベースから第1の暗号データと一致する第3の暗号データを抽出し、保健所用接続手段に抽出した第3の暗号データを自治体コンピュータに送信させ、自治体用接続手段が第3の暗号データを受信すると、自治体用制御手段は、参加者情報データベースから第3の暗号データと一致する第1のデータに関連付けられた個人識別番号を抽出し、自治体用接続手段に抽出した個人識別番号を研究機関コンピュータに送信させ、研究機関用接続手段が個人識別番号を受信すると、研究機関用制御手段は、コホート追跡データベースに死亡情報を個人識別番号と関連付けられた追跡情報に記憶させるようにしたものである。
【0008】
また、請求項3の発明は、請求項1又は請求項2の疾病発症把握システムにおいて、暗号化関数は、ハッシュ関数であるようにしたものである。
【発明の効果】
【0009】
請求項1の発明によれば、疾病発症把握システムは、参加者を特定する氏名や住所等を暗号化したデータを自治体コンピュータから病院コンピュータへ送信する。これにより、疾病発症把握システムは、コホート事業への参加者を特定する氏名や住所等の情報を秘匿にした状態でコホート事業に必要となる疾患名をコホート追跡データベースに記憶させることができる。また、疾病発症把握システムは、レセプト情報データベースから参加者の診断内容のみを抽出する。これにより、疾病発症把握システムは、コホート事業に参加していない患者の診断内容が医師、看護師、診療情報管理士、又は研究者に閲覧されることを防止することができる。さらに、疾病発症把握システムは、データの送受信時のみ電気通信回線を介してデータの送受信が可能な状態とするため、外部から参加者情報データベース、コホート追跡データベース、及びレセプト情報データベースに記憶されている情報が改ざん又は窃取されることを回避することができる。
【0010】
請求項2の発明によれば、疾病発症把握システムは、参加者を特定する氏名や住所等を暗号化したデータを自治体コンピュータから保健所コンピュータへ送信する。これにより、疾病発症把握システムは、コホート事業への参加者を特定する氏名や住所等の情報を秘匿にした状態で参加者が死亡したことを示す死亡情報をコホート追跡データベースに記憶させることができる。また、疾病発症把握システムは、死亡情報データベースから参加者が死亡したことを示す死亡情報のみを抽出する。これにより、疾病発症把握システムは、コホート事業に参加していない住民の死亡情報が保健所職員又は研究者に閲覧されることを防止することができる。さらに、疾病発症把握システムは、データの送受信時のみ電気通信回線を介してデータの送受信が可能な状態とするため、外部から参加者情報データベース、コホート追跡データベース、及び死亡情報データベースに記憶されている情報が改ざん又は窃取されることを回避することができる。
【0011】
請求項3の発明によれば、疾病発症把握システムは、ハッシュ関数を用いて、参加者情報データベース、レセプト情報データベース、及び死亡情報データベースに記憶されている参加者の氏名、生年月日、及び住所を理論的に復号不能なハッシュ値に変換する。これにより、研究者、医師、看護師、診療情報管理士、及び保健所職員等が、参加者を特定する氏名や住所等を知ることができなくなるため、参加者の匿名性を担保することができる。また、疾病発症把握システムは、定期的にハッシュ関数を変更することによって、常に復号される危険性の低いハッシュ値を使用することができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の第1乃至第2の実施形態に係る疾病発症把握システムについて、図面を参照して説明する。図1は、第1の実施形態に係る疾病発症把握システムの構成を示す。疾病発症把握システム1は、大学病院や研究施設等の研究機関に設置された研究機関コンピュータ2と、自治体の市役所や町役場等に設置された自治体コンピュータ3と、病院や診療所等に設置された病院コンピュータ4を備える。研究機関コンピュータ2、自治体コンピュータ3、及び病院コンピュータ4は、地理的に離れた場所に設置されており、それぞれLAN2a乃至LAN4aを介して専用線5に接続されている。
【0013】
研究機関コンピュータ2は、コホート事業への参加に同意した参加者に関する情報と疾患名が入力される入力手段2bと、参加者に関する情報を記憶し、この情報を処理する本体部2cと、参加者に関する情報又は疾患名を表示する表示手段2dと備える。本体部2cは、参加者に関する情報を記憶するコホート追跡データベース2eと、専用線5を介して自治体コンピュータ3又は病院コンピュータ4とデータを送受信する接続手段2fと、研究機関コンピュータ2全体を制御する制御手段2gを備える。コホートとは、予め所定の人体について生活習慣や健康状態等を調査しておき、その後の疾病の発生状態や発生時期等を分析、調査、又は予測することである。研究機関コンピュータ2は、コホート事業への参加に同意した参加者に関する情報を記憶し、コホート事業を行う上で必要となる疾病に関する情報を病院コンピュータ4から取得する。ここで、コホート事業とは、個人の健康診断情報、遺伝子情報、及び疾病に関する情報等に基づいて様々な疾病の発症時期や発症状態ついて調査及び研究を行う事業である。また、コホート事業への参加に同意した参加者とは、コホート事業の意義を理解した上で、自己の健康診断情報、遺伝子情報、及び疾病に関する情報等を匿名で研究機関に提供することに同意した者のことである。
【0014】
自治体コンピュータ3は、参加者に関する情報が入力される入力手段3bと、参加者に関する情報を記憶し、この情報を処理する本体部3cと、参加者に関する情報を表示する表示手段3dを備える。本体部3cは、参加者に関する情報を記憶する参加者情報データベース3eと、専用線5を介して研究機関コンピュータ2又は病院コンピュータ4とデータを送受信する接続手段3fと、自治体コンピュータ3全体を制御する制御手段3gと、参加者に関する情報を暗号化するために用いられるハッシュ関数を記憶する記憶部3hを備える。
【0015】
記憶部3hは、疾病発症把握システム1全体で統一されたハッシュ関数を予め記憶しており、ハッシュ関数の種類は、例えば、SHA−1(Secure Hash Algorithm−1)やMD5(Message Digest Algorithm 5)等である。ハッシュ値は、理論的に復号不可能であるため、疾病発症把握システム1は、研究者、医師、看護師、及び診療情報管理士等が参加者の氏名や住所等を特定することを防止できる。また、疾病発症把握システム1は、定期的にハッシュ関数を変更することによって、常に復号化される危険性の低いハッシュ値を使用することができる。
【0016】
病院コンピュータ4は、患者の診断内容に関する情報が入力される入力手段4bと、診断内容に関する情報を記憶し、この情報を処理する本体部4cと、診断内容を表示する表示手段4dを備える。ここで、診断内容とは、例えば、病院で保管されている電子カルテに記録された情報である。本体部4cは、診断内容に関する情報を記憶するレセプト情報データベース4eと、専用線5を介して研究機関コンピュータ2又は自治体コンピュータ3とデータを送受信する接続手段4fと、病院コンピュータ4全体を制御する制御手段4gと、参加者に関する情報を暗号化するために用いられるハッシュ関数を記憶する記憶部4hを備える。記憶部4hが記憶するハッシュ関数は、記憶部3hに記憶されているハッシュ関数と同一である。
【0017】
ここで、入力手段2b乃至入力手段4bは、例えば、キーボードやマウスであり、表示手段2d乃至表示手段4d、例えば、液晶ディスプレイやプラズマディスプレイである。また、接続手段2fは、物理的に専用線5に接続しているが、通常は自治体コンピュータ3及び病院コンピュータ4とデータの送受信ができない状態を保っている。接続手段2fは、制御手段2gからデータを自治体コンピュータ3又は病院コンピュータ4とデータを送受信する命令を受けたときのみ、専用線5を介してデータの送受信を実行し、データの送受信が完了すると、自治体コンピュータ3及び病院コンピュータ4とデータの送受信ができない状態にする。接続手段3f及び接続手段4fも接続手段2fと同様の構成である。これにより、研究機関コンピュータ2、自治体コンピュータ3、及び病院コンピュータ4は、他のコンピュータから不正アクセスされることや各コンピュータに記憶された情報が改ざん又は窃取されることを防止することができる。
【0018】
図2は、本実施形態に係る各コンピュータが記憶するデータベースの構成を示す。図2(a)は、コホート追跡データベース2eの構成を示し、図2(b)は、参加者情報データベース3eの構成を示し、図2(c)は、レセプト情報データベース4eの構成を示す。図2(a)を参照して、コホート追跡データベース2eは、参加者に一意に割り当てられた番号を記憶する個人識別番号21と、参加者がコホート事業に参加するにあたり、参加者に対して実施される健康診断において、参加者を識別するために使用される番号を記憶する健康診断番号22と、健康診断において取得した参加者の身長、体重、胸囲、視力、聴力、血圧、及び心拍数等の情報を記憶する生理学的検査情報23と、健康診断において採取した血液や尿等の情報を記憶する生体試料情報24と、参加者の疾患名や疾病が発症した時期等の情報を記憶する追跡情報25とを関連付けて記憶する。
【0019】
匿名でコホート事業に参加している参加者は、コホート事業において使用される情報を研究機関に提供するために、例えば、年に1度、健康診断を受診する。健康診断において、参加者は、氏名や個人識別番号21でなく予め個人識別番号21と関連付けられた健康診断番号22が割り当てられる。参加者は、健康診断の受診中は、常に健康診断番号22で特定され、健康診断結果も健康診断番号22と関連付けて記録される。健康診断番号22は、一度、健康診断において使用されると再使用されることはない。これにより、健康診断を実施している医師や看護師は、健康診断を受診している参加者と参加者の個人識別番号21とを結びつけることができないため、研究用データベース2eは、参加者の匿名性を担保した状態で生理学的検査情報23及び生体試料情報24を記憶することができる。
【0020】
図2(b)を参照して、参加者情報データベース3eは、個人識別番号31と、参加者の氏名32と、参加者の生年月日33と、参加者の性別34と、参加者の住所35とを関連付けて記憶する。また、参加者情報データベース3eは、制御手段3gによって変換されたハッシュ値36を個人識別番号31と関連付けて記憶する。ここで、ハッシュ値36は、制御手段3gが記憶部3hに記憶されているハッシュ関数を用いて、氏名32、生年月日33、性別34、及び住所35を変換した数値である。
【0021】
図2(c)を参照して、レセプト情報データベース4eは、患者に一意に割り当てられたレセプトID41をキーとして、患者の氏名42と、患者の生年月日43と、患者の性別44と、患者の住所45と、患者が診断された診断日46と、診断された疾患名47と、患者の体温、血圧、又は心拍数等を記憶する患者生体情報48とを関連付けて記憶する。また、レセプト情報データベース4eは、制御手段4gによって変換されたハッシュ値49をレセプトID41と関連付けて記憶する。ここで、ハッシュ値49は、制御手段4gが記憶部4hに記憶されているハッシュ関数を用いて、氏名42、生年月日43、性別44、及び住所45を変換した数値である。
【0022】
次に、本実施形態に係る疾病発症把握システム1が参加者の疾患名を取得するコホート処理について説明する。図3は、疾病発症把握システム1によって実行されるコホート処理のフローを示す。自治体コンピュータ3は、記憶部3hに記憶されているハッシュ関数を病院コンピュータ4に送信する(S101)。接続手段3fは、専用線5を介して接続手段4fと通信可能な状態した後、ハッシュ関数を接続手段4fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。病院コンピュータ4は、受信したハッシュ関数を記憶部4hに記憶させる。これにより、自治体コンピュータ3及び病院コンピュータ4は、同一のハッシュ関数を保持する。
【0023】
次に、自治体コンピュータ3において、制御手段3gは、参加者情報データベース3eに記憶されている全ての参加者についての氏名32、生年月日33、性別34、及び住所35をハッシュ値36に変換する(S102)。参加者情報データベース3eは、変換されたハッシュ値36を個人識別番号31と関連付けて記憶する。次に、自治体コンピュータ3は、参加者情報データベース3eに記憶されている全てのハッシュ値36を病院コンピュータ4に送信する(S103)。接続手段3fは、専用線5を介して接続手段4fと通信可能な状態した後、参加者情報データベース3eに記憶されている全てのハッシュ関数を接続手段4fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0024】
研究機関コンピュータ2は、参加者に対して実施された健康診断の内容をコホート追跡データベース2eに記憶させる(S104)。制御手段2gは、健康診断の内容として、入力手段2bに入力された個人識別番号21、健康診断番号22、生理学的検査情報23、及び生体試料情報24をコホート追跡データベース2eに記憶させる。ここで、個人識別番号21は、予め健康診断番号22と関連付けられており、同一の参加者に割り当てられた個人識別番号21と参加者情報データベース3eに記憶されている個人識別番号31は同一である。次に、研究機関コンピュータ2は、コホート事業において必要となる疾患名をコホート疾患名として病院コンピュータ4に通知する(S105)。ここで、コホート疾患名は、例えば、「心筋梗塞」とし、コホート疾患名「心筋梗塞」は、入力手段2bから入力される。制御手段2gは、接続手段2fに入力されたコホート疾患名「心筋梗塞」を接続手段4fに送信させる。接続手段2fは、専用線5を介して接続手段4fと通信可能な状態した後、コホート疾患名「心筋梗塞」を接続手段4fに送信する。送信完了後、接続手段2fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0025】
病院コンピュータ4は、受信したコホート疾患名「心筋梗塞」と一致する疾患名47をレセプト情報データベース4eから抽出する(S106)。制御手段4gは、レセプト情報データベース4eに記憶されている疾患名47を検索し、コホート疾患名「心筋梗塞」と一致する疾患名47と関連付けられているレセプトID41を全て抽出する。次に、制御手段4gは、記憶部4hに記憶されているハッシュ関数を用いて、抽出した全てのレセプトID41と関連付けられている氏名42、生年月日43、性別44、及び住所45をハッシュ値49に変換する(S107)。レセプト情報データベース4eは、変換されたハッシュ値49をレセプトID41と関連付けて記憶する。
【0026】
制御手段4gは、レセプト情報データベース4eに記憶されているハッシュ値49を検索し、記憶部4hに記憶されているハッシュ値36と一致するハッシュ値49と関連付けられているレセプトID41を全て抽出する(S108)。これにより、病院コンピュータ4は、レセプト情報データベース4eに記憶されているデータからコホート事業に参加している参加者のデータだけを抽出することができる。次に、制御手段4gは、抽出したレセプトID41に関連付けられている生年月日43、性別44、診断日46、疾患名47、及び患者生体情報48を表示手段4dに表示させる(S109)。
【0027】
医師は、表示手段4dに表示された情報を確認することにより、表示されている疾患名47とコホート疾患名「心筋梗塞」が一致しているか否かを確認する。医師は、表示手段4dに表示されている疾患名47とコホート疾患名「心筋梗塞」が一致していないとき、この表示されている疾患名47に関連付けられているレセプトID41を、制御手段4gによって抽出されたレセプトID41から削除する。また、医師は、表示手段4dに表示されている生年月日43、性別44、診断日46、疾患名47、及び患者生体情報48に基づいて疾患名47を変更する必要があると判断したとき、この表示されている疾患名47に関連付けられているレセプトID41を、制御手段4gによって抽出されたレセプトID41から削除する。さらに、医師は、表示手段4dに表示されている情報の他に健康診断情報や紙面に記載されたカルテの内容を参照することによって、表示手段4dに表示されている疾患名47を変更する必要があると判断したとき、この表示されている疾患名47に関連付けられているレセプトID41を、制御手段4gによって抽出されたレセプトID41から削除する。これにより、病院コンピュータ4は、コホート疾患名「心筋梗塞」と一致する疾患名47に関連付けられたレセプトID41のみを抽出することができる。ここで、制御手段4gは、抽出したレセプトID41に関連づけられた氏名42及び住所45を表示手段4dに表示させない。これにより、疾病発症把握システム1は、医師の判断に基づいて、参加者の匿名性を担保した状態でコホート疾患名「心筋梗塞」と一致する疾患名47に関連付けられたレセプトID41のみを抽出することができる。
【0028】
次に、病院コンピュータ4は、抽出されたレセプトID41に関連付けられているハッシュ値49と診断日46を自治体コンピュータ3に送信する(S110)。接続手段4fは、専用線5を介して接続手段3fと通信可能な状態した後、抽出されたレセプトID41に関連付けられているハッシュ値49と診断日46を接続手段3fに送信する。送信完了後、接続手段4fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0029】
自治体コンピュータ3は、受信したハッシュ値49に基づいて参加者情報データベース3eから個人識別番号31を抽出する(S111)。ここで、制御手段3gは、情報データベース3eに記憶されているハッシュ値36を検索し、受信したハッシュ値49と一致するハッシュ値36と関連付けられている個人識別番号31を全て抽出する。次に、自治体コンピュータ3は、抽出された個人識別番号31を研究機関コンピュータ2に送信する(S112)。接続手段3fは、専用線5を介して接続手段2fと通信可能な状態した後、抽出された個人識別番号31を接続手段2fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0030】
研究機関コンピュータ2は、受信した個人識別番号31に基づいてコホート疾患名「心筋梗塞」をコホート追跡データベース2eに記憶させる(S113)。ここで、制御手段2gは、制御手段4gは、コホート追跡データベース2eに記憶されている個人識別番号21を検索し、受信した個人識別番号31と一致する個人識別番号21と関連付けられている追跡情報25にコホート疾患名「心筋梗塞」と診断日46を記憶させる。これにより、研究機関コンピュータ2は、特定の参加者が「心筋梗塞」が発症したこと、「心筋梗塞」が発症した時期の情報を得ることができる。このように、病院コンピュータ4は、レセプト情報データベース4eに記憶されているコホート事業に参加していない患者に関するデータと参加者の氏名42及び住所45を表示手段4dに表示させることなく、コホート疾患名「心筋梗塞」と一致する疾患名47に関連付けられたレセプトID41を抽出する。また、研究機関コンピュータ2は、コホート事業において必要とされない参加者の氏名や住所等にはアクセスしない。これにより、疾病発症把握システム1は、レセプト情報データベース4eに記憶されている患者に関するデータの秘匿性を担保した状態であり、かつコホート事業への参加者の匿名性を担保した状態でコホート追跡データベース2eにコホート事業に必要なデータを記憶させることができる。
【0031】
次に、本発明の第2の実施形態に係る疾病発症把握システム1について説明する。図4は、本発明の第2の実施形態に係る疾病発症把握システム1の概略構成を示す。ここで、本実施形態に係る疾病発症把握システム1と、第1の実施形態に係る疾病発症把握システム1との構成の違いについて説明する。疾病発症把握システム1は、研究機関コンピュータ2と、自治体コンピュータ3と、自治体の保健所に設置された保健所コンピュータ6を備える。保健所コンピュータ6、自治体コンピュータ3、及び病院コンピュータ4は、地理的に離れた場所に設置されており、それぞれLAN2a、LAN3a、及びLAN6aを介して専用線5に接続されている。
【0032】
保健所コンピュータ6は、自治体の住民であって、死亡した住民の死亡情報が入力される入力手段6bと、死亡情報を記憶し、この死亡情報を処理する本体部6cと、死亡情報を表示する表示手段6dを備える。ここで、死亡情報とは、例えば、死亡した住民の氏名と死亡した年月日等である。本体部6cは、死亡情報を記憶する死亡情報データベース6eと、専用線5を介して研究機関コンピュータ2又は自治体コンピュータ3とデータを送受信する接続手段6fと、保健所コンピュータ6全体を制御する制御手段6gと、死亡情報を暗号化するために用いられるハッシュ関数を記憶する記憶部6hを備える。記憶部6hが記憶するハッシュ関数は、記憶部3hに記憶されているハッシュ関数と同一である。
【0033】
接続手段6fは、物理的に専用線5に接続しているが、通常は研究機関コンピュータ2及び自治体コンピュータ3とデータの送受信ができない状態を保っている。接続手段6fは、制御手段6gからデータを研究機関コンピュータ2又は自治体コンピュータ3とデータを送受信する命令を受けたときのみ、データの送受信を実行し、データの送受信が完了すると、研究機関コンピュータ2及び自治体コンピュータ3とデータの送受信ができない状態にする。
【0034】
図5は、死亡情報データベース6eの構成を示す。死亡情報データベース6eは、死亡した住民に一意に割り当てられた死亡情報ID61をキーとして、死亡した住民の氏名62と、死亡した住民の生年月日63と、死亡した住民の性別64と、死亡した住民の住所65と、住民が死亡した死亡年月日66とを関連付けて記憶する。また、死亡情報データベース6eは、制御手段6gによって変換されたハッシュ値67を死亡情報ID61と関連付けて記憶する。ここで、ハッシュ値67は、制御手段6gが記憶部6hに記憶されているハッシュ関数を用いて、氏名62、生年月日63、性別64、及び住所65を変換した数値である。
【0035】
次に、本実施形態に係る疾病発症把握システム1が参加者の疾患名を取得するコホート処理について説明する。図6は、疾病発症把握システム1によって実行されるコホート処理のフローを示す。自治体コンピュータ3は、記憶部3hに記憶されているハッシュ関数を保健所コンピュータ6に送信する(S201)。接続手段3fは、専用線5を介して接続手段6fと通信可能な状態した後、ハッシュ関数を接続手段6fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。保健所コンピュータ6は、受信したハッシュ関数を記憶部6hに記憶させる。これにより、自治体コンピュータ3及び保健所コンピュータ6は、同一のハッシュ関数を保持することとなる。
【0036】
次に、自治体コンピュータ3における制御手段3gは、参加者情報データベース3eに記憶されている全ての参加者についての氏名32、生年月日33、性別34、及び住所35をハッシュ値36に変換する(S202)。参加者情報データベース3eは、変換されたハッシュ値36を個人識別番号31と関連付けて記憶する。次に、自治体コンピュータ3は、参加者情報データベース3eに記憶されている全てのハッシュ値36を保健所コンピュータ6に送信する(S203)。接続手段3fは、専用線5を介して接続手段6fと通信可能な状態した後、参加者情報データベース3eに記憶されている全てのハッシュ関数を接続手段6fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。保健所コンピュータ6は、受信したハッシュ値36を記憶部6hに記憶させる。
【0037】
研究機関コンピュータ2は、参加者に対して実施した健康診断の内容をコホート追跡データベース2eに記憶させる(S204)。制御手段2gは、入力手段2bに入力された個人識別番号21、健康診断番号22、生理学的検査情報23、及び生体試料情報24をコホート追跡データベース2eに記憶させる。次に、制御手段2gは、接続手段2fに保健所コンピュータ6に対して、参加者の死亡情報の提供を依頼する情報提供依頼通知を送信させる(S205)。接続手段2fは、専用線5を介して接続手段6fと通信可能な状態した後、情報提供依頼通知を接続手段6fに送信する。送信完了後、接続手段2fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0038】
保健所コンピュータ6は、情報提供依頼通知を受信すると、死亡情報データベース6eに記憶されている氏名62、生年月日63、性別64、及び住所65をハッシュ値67に変換する(S206)。ハッシュ値67は、制御手段6gによって、記憶部6hに記憶されているハッシュ関数を用いて変換される。次に、制御手段6gは、死亡情報データベース6eに記憶されているハッシュ値67を検索し、記憶部6hに記憶されているハッシュ値36と一致するハッシュ値67と関連付けられている死亡情報ID61を全て抽出する(S207)。これにより、保健所コンピュータ6は、死亡情報データベース6eに記憶されているデータからコホート事業に参加している参加者のデータだけを抽出することができる。
【0039】
次に、保健所コンピュータ6は、抽出された死亡情報ID61に関連付けられているハッシュ値67と死亡年月日66を自治体コンピュータ3に送信する(S208)。接続手段6fは、専用線5を介して接続手段3fと通信可能な状態した後、抽出された死亡情報ID61に関連付けられているハッシュ値67と死亡年月日66を接続手段3fに送信する。送信完了後、接続手段6fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0040】
自治体コンピュータ3は、受信したハッシュ値67に基づいて参加者情報データベース3eから個人識別番号31を抽出する(S209)。制御手段3gは、参加者情報データベース3eに記憶されているハッシュ値36を検索し、受信したハッシュ値67と一致するハッシュ値36と関連付けられている個人識別番号31を全て抽出する。次に、自治体コンピュータ3は、抽出された個人識別番号31と死亡年月日66を研究機関コンピュータ2に送信する(S210)。接続手段3fは、専用線5を介して接続手段2fと通信可能な状態した後、抽出された個人識別番号31と死亡年月日66を接続手段2fに送信する。送信完了後、接続手段3fは、専用線5を介して他のコンピュータとデータの送受信ができない状態にする。
【0041】
研究機関コンピュータ2は、受信した個人識別番号31に基づいて、死亡年月日66をコホート追跡データベース2eに記憶させる(S211)。ここで、制御手段2gは、制御手段4gは、コホート追跡データベース2eに記憶されている個人識別番号21を検索し、受信した個人識別番号31と一致する個人識別番号21と関連付けられている追跡情報25に死亡年月日66を記憶させる。これにより、研究機関コンピュータ2は、特定の参加者が死亡した事実と死亡した時期の情報を得ることができる。このように、保健所コンピュータ6は、死亡情報データベース6eに記憶さている参加者に関する情報のみを抽出する。また、研究機関コンピュータ2は、コホート事業において必要とされない参加者の氏名や住所等にはアクセスしない。これにより、疾病発症把握システム1は、死亡情報データベース6eに記憶さている住民に関するデータの秘匿性を担保した状態であり、かつコホート事業への参加者の匿名性を担保した状態でコホート追跡データベース2eにコホート事業に必要なデータを記憶させることができる。
【0042】
このように、本発明の第1の実施形態においては、自治体コンピュータ3は、参加者情報データベース3eに記憶されている参加者の氏名32、生年月日33、性別34、及び住所35をハッシュ値36に変換し、病院コンピュータ4は、氏名42、生年月日43、性別44、及び住所45をハッシュ値49に変換する。これにより、疾病発症把握システム1は、参加者の匿名性を担保した状態でコホート疾患名及び診断日46をコホート追跡データベース2eに記憶させることができる。また、接続手段2f、接続手段3f、及び接続手段4fは、データの送受信時のみ専用線5に接続可能な状態とするため、外部からコホート追跡データベース2e、参加者情報データベース3e、及びレセプト情報データベース4eに記憶されている情報が改ざん又は窃取されることを回避することができる。さらに、疾病発症把握システム1は、レセプト情報データベース4eから参加者についての情報のみを抽出する。これにより、疾病発症把握システム1は、医師、看護師、診療情報管理士、又は研究者によって、コホート事業に参加していない患者の氏名42、生年月日43、性別44、住所45、診断日46、疾患名47、及び患者生体情報48が閲覧されることを防止することができる。
【0043】
このように、本発明の第2の実施形態においては、自治体コンピュータ3は、参加者情報データベース3eに記憶されている参加者の氏名32、生年月日33、性別34、及び住所35をハッシュ値36に変換し、保健所コンピュータ6は、氏名62、生年月日63、性別64、及び住所65をハッシュ値67に変換する。これにより、疾病発症把握システム1は、参加者の匿名性を担保した状態で死亡年月日66をコホート追跡データベース2eに記憶させることができる。また、接続手段2f、接続手段3f、及び接続手段6fは、データの送受信時のみ専用線5に接続可能な状態とするため、外部からコホート追跡データベース2e、参加者情報データベース3e、及び死亡情報データベース6eに記憶されている情報が改ざん又は窃取されることを回避することができる。さらに、疾病発症把握システム1は、死亡情報データベース6eから参加者についての情報のみを抽出する。これにより、疾病発症把握システム1は、保健所職員又は研究者によって、コホート事業に参加していない住民の氏名62、生年月日63、性別64、住所65、及び死亡年月日66が閲覧されることを防止することができる。
【0044】
なお、本発明は、上記実施形態の構成に限られず、種々の変形が可能であり、第1の実施形態において、自治体コンピュータ3は、参加者情報データベース3eに記憶されている参加者の氏名32、生年月日33、性別34、及び住所35をハッシュ値36に変換する構成ではなく、氏名32と生年月日33のみをハッシュ値36に変換する構成であっても構わない。また、病院コンピュータ4は、氏名42、生年月日43、性別44、及び住所45をハッシュ値49に変換する構成ではなく、氏名42及び生年月日43のみをハッシュ値49に変換する構成であっても構わない。さらに、レセプト情報データベース4eは、さらに、患者の身長、体重、血圧、又は体温等の情報や、処方した薬に関する情報を記憶する構成であって構わない。第2の実施形態において、保健所コンピュータ6は、氏名62、生年月日63、性別64、及び住所65をハッシュ値67に変換する構成ではなく、氏名62及び生年月日63のみをハッシュ値67に変換する構成であっても構わない。第1及び第2の実施形態において、疾病発症把握システム1は、専用線5を介してデータを送受信する構成ではなく、インターネットや電話回線を介してデータを送受信する構成であっても構わない。
【図面の簡単な説明】
【0045】
【図1】本発明の第1の実施形態に係る疾病発症把握システムの構成図。
【図2】本実施形態に係るコンピュータが記憶するデータベースの構成図。
【図3】本実施形態に係るコホート処理のフローチャート。
【図4】本発明の第2の実施形態に係る疾病発症把握システムの構成図。
【図5】本実施形態に係る保健所コンピュータが記憶するデータベースの構成図。
【図6】本実施形態に係るコホート処理のフローチャート。
【符号の説明】
【0046】
1 疾病発症把握システム
2 研究機関コンピュータ
2e コホート追跡データベース
2f 接続手段(研究機関用接続手段)
2g 制御手段(研究機関用制御手段)
3 自治体コンピュータ
3e 参加者データベース
3f 接続手段(自治体用接続手段)
3g 制御手段(自治体用制御手段)
4 病院コンピュータ
4e レセプト情報データベース
4f 接続手段(病院用接続手段)
4g 制御手段(病院用制御手段)
5 専用線(電気通信回線)
6 保健所コンピュータ
6e 死亡情報データベース
6f 接続手段(保健所用接続手段)
6g 制御手段(保健所用制御手段)
21 個人識別番号
25 追跡情報
31 個人識別番号
32 氏名
33 生年月日
35 住所
36 ハッシュ値(第1の暗号データ)
41 レセプトID
42 氏名
43 生年月日
45 住所
46 診断日
47 疾患名
49 ハッシュ値(第2の暗号データ)
61 死亡情報ID
62 氏名
63 生年月日
65 住所
67 ハッシュ値(第3の暗号データ)
【特許請求の範囲】
【請求項1】
電気通信回線を介して互いに接続される少なくとも3台のコンピュータを備えた疾病発症把握システムにおいて、
自治体の役場に設置され、コホート事業への参加に同意した参加者の氏名、生年月日、及び住所と、該参加者に一意に割り当てられた個人識別番号とを関連付けて記憶する参加者情報データベースと、該参加者情報データベースから所定の条件に一致する情報を抽出する自治体用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする自治体用接続手段と、を備える自治体コンピュータと、
研究機関に設置され、前記個人識別番号と、前記参加者の健康診断情報と、該参加者の疾患名を記憶する追跡情報とを関連付けて記憶するコホート追跡データベースと、該追跡情報に所定の疾患名を記憶させる研究機関用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする研究機関用接続手段と、を備える研究機関コンピュータと、
病院に設置され、レセプトIDをキーとして、該レセプトIDと、患者の氏名、生年月日、住所、診断日、及び疾患名とを関連付けて記憶するレセプト情報データベースと、該レセプト情報データベースから所定の条件に一致する情報を抽出する病院用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする病院用接続手段と、を備える病院コンピュータと、を備え、
前記自治体用制御手段は、予め定められた暗号化関数を用いて前記参加者情報データベースに記憶された前記氏名、前記生年月日、及び前記住所を第1の暗号データに変換し、該参加者情報データベースに前記個人識別番号と該第1の暗号データとを関連付けて記憶させ、前記自治体用接続手段に該第1の暗号データを前記病院コンピュータに送信させ、
前記研究機関用制御手段は、前記研究機関用接続手段に前記所定の疾患名をコホート疾患名として前記病院コンピュータに送信させ、
前記病院用制御手段は、前記暗号化関数を用いて前記レセプト情報データベースに記憶された前記氏名、前記生年月日、及び前記住所を第2の暗号データに変換し、該レセプト情報データベースに前記個人識別番号と該第2の暗号データとを関連付けて記憶させ、前記病院用接続手段が前記第1の暗号データと前記コホート疾患名を受信すると、該レセプト情報データベースから該コホート疾患名と一致する前記疾患名に関連付けられている該第2の暗号データであって、該第1の暗号データと一致する該第2の暗号データを抽出し、該病院用接続手段に抽出した該第2の暗号データを前記自治体コンピュータに送信させ、
前記自治体用接続手段が前記第2の暗号データを受信すると、前記自治体用制御手段は、前記参加者情報データベースから該第2の暗号データと一致する前記第1のデータに関連付けられた前記個人識別番号を抽出し、該自治体用接続手段に抽出した該個人識別番号を前記研究機関コンピュータに送信させ、
前記研究機関用接続手段が前記個人識別番号を受信すると、前記研究機関用制御手段は、コホート追跡データベースに前記コホート疾患名を該個人識別番号と関連付けられた前記追跡情報に記憶させることを特徴とした疾病発症把握システム。
【請求項2】
電気通信回線を介して互いに接続される少なくとも3台のコンピュータを備えた疾病発症把握システムにおいて、
自治体の役場に設置され、コホート事業への参加に同意した参加者の氏名、生年月日、及び住所と、該参加者に一意に割り当てられた個人識別番号とを関連付けて記憶する参加者情報データベースと、該参加者情報データベースから所定の条件に一致する情報を抽出する自治体用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする自治体用接続手段と、を備える自治体コンピュータと、
研究機関に設置され、前記個人識別番号と、前記参加者の健康診断情報と、該参加者が死亡したか否かを示す死亡情報が追加される追跡情報とを関連付けて記憶するコホート追跡データベースと、該追跡情報に該死亡情報を記憶させる研究機関用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする研究機関用接続手段と、を備える研究機関用コンピュータと、
保健所に設置され、死亡情報IDをキーとして、該死亡情報IDと、死亡者の氏名、生年月日、住所、及び死亡年月日とを関連付けて記憶する死亡情報データベースと、該死亡情報データベースから所定の条件に一致する情報を抽出する保健所用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする保健所用接続手段と、を備える保健所コンピュータと、を備え、
前記自治体用制御手段は、予め定められた暗号化関数を用いて前記参加者情報データベースに記憶された前記氏名、前記生年月日、及び前記住所を第1の暗号データに変換し、該参加者情報データベースに該個人識別番号と該第1の暗号データとを関連付けて記憶させ、前記自治体用接続手段に該第1の暗号データを前記保健所コンピュータに送信させ、
前記研究機関用制御手段は、前記研究機関用接続手段に前記死亡情報の提供を依頼する情報提供依頼通知を前記保健所コンピュータに送信させ、
前記保健所用制御手段は、前記暗号化関数を用いて前記死亡情報データベースに記憶された前記氏名、前記生年月日、及び前記住所を第3の暗号データに変換し、該死亡情報データベースに該個人識別番号と該第3の暗号データとを関連付けて記憶させ、前記保健所用接続手段が前記第1の暗号データを受信すると、該死亡情報データベースから該第1の暗号データと一致する前記第3の暗号データを抽出し、該保健所用接続手段に抽出した該第3の暗号データを前記自治体コンピュータに送信させ、
前記自治体用接続手段が前記第3の暗号データを受信すると、前記自治体用制御手段は、前記参加者情報データベースから該第3の暗号データと一致する前記第1のデータに関連付けられた前記個人識別番号を抽出し、該自治体用接続手段に抽出した該個人識別番号を前記研究機関コンピュータに送信させ、
前記研究機関用接続手段が前記個人識別番号を受信すると、前記研究機関用制御手段は、コホート追跡データベースに前記死亡情報を該個人識別番号と関連付けられた前記追跡情報に記憶させることを特徴とした疾病発症把握システム。
【請求項3】
前記暗号化関数は、ハッシュ関数であることを特徴とした請求項1又は請求項2に記載の疾病発症把握システム。
【請求項1】
電気通信回線を介して互いに接続される少なくとも3台のコンピュータを備えた疾病発症把握システムにおいて、
自治体の役場に設置され、コホート事業への参加に同意した参加者の氏名、生年月日、及び住所と、該参加者に一意に割り当てられた個人識別番号とを関連付けて記憶する参加者情報データベースと、該参加者情報データベースから所定の条件に一致する情報を抽出する自治体用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする自治体用接続手段と、を備える自治体コンピュータと、
研究機関に設置され、前記個人識別番号と、前記参加者の健康診断情報と、該参加者の疾患名を記憶する追跡情報とを関連付けて記憶するコホート追跡データベースと、該追跡情報に所定の疾患名を記憶させる研究機関用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする研究機関用接続手段と、を備える研究機関コンピュータと、
病院に設置され、レセプトIDをキーとして、該レセプトIDと、患者の氏名、生年月日、住所、診断日、及び疾患名とを関連付けて記憶するレセプト情報データベースと、該レセプト情報データベースから所定の条件に一致する情報を抽出する病院用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする病院用接続手段と、を備える病院コンピュータと、を備え、
前記自治体用制御手段は、予め定められた暗号化関数を用いて前記参加者情報データベースに記憶された前記氏名、前記生年月日、及び前記住所を第1の暗号データに変換し、該参加者情報データベースに前記個人識別番号と該第1の暗号データとを関連付けて記憶させ、前記自治体用接続手段に該第1の暗号データを前記病院コンピュータに送信させ、
前記研究機関用制御手段は、前記研究機関用接続手段に前記所定の疾患名をコホート疾患名として前記病院コンピュータに送信させ、
前記病院用制御手段は、前記暗号化関数を用いて前記レセプト情報データベースに記憶された前記氏名、前記生年月日、及び前記住所を第2の暗号データに変換し、該レセプト情報データベースに前記個人識別番号と該第2の暗号データとを関連付けて記憶させ、前記病院用接続手段が前記第1の暗号データと前記コホート疾患名を受信すると、該レセプト情報データベースから該コホート疾患名と一致する前記疾患名に関連付けられている該第2の暗号データであって、該第1の暗号データと一致する該第2の暗号データを抽出し、該病院用接続手段に抽出した該第2の暗号データを前記自治体コンピュータに送信させ、
前記自治体用接続手段が前記第2の暗号データを受信すると、前記自治体用制御手段は、前記参加者情報データベースから該第2の暗号データと一致する前記第1のデータに関連付けられた前記個人識別番号を抽出し、該自治体用接続手段に抽出した該個人識別番号を前記研究機関コンピュータに送信させ、
前記研究機関用接続手段が前記個人識別番号を受信すると、前記研究機関用制御手段は、コホート追跡データベースに前記コホート疾患名を該個人識別番号と関連付けられた前記追跡情報に記憶させることを特徴とした疾病発症把握システム。
【請求項2】
電気通信回線を介して互いに接続される少なくとも3台のコンピュータを備えた疾病発症把握システムにおいて、
自治体の役場に設置され、コホート事業への参加に同意した参加者の氏名、生年月日、及び住所と、該参加者に一意に割り当てられた個人識別番号とを関連付けて記憶する参加者情報データベースと、該参加者情報データベースから所定の条件に一致する情報を抽出する自治体用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする自治体用接続手段と、を備える自治体コンピュータと、
研究機関に設置され、前記個人識別番号と、前記参加者の健康診断情報と、該参加者が死亡したか否かを示す死亡情報が追加される追跡情報とを関連付けて記憶するコホート追跡データベースと、該追跡情報に該死亡情報を記憶させる研究機関用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする研究機関用接続手段と、を備える研究機関用コンピュータと、
保健所に設置され、死亡情報IDをキーとして、該死亡情報IDと、死亡者の氏名、生年月日、住所、及び死亡年月日とを関連付けて記憶する死亡情報データベースと、該死亡情報データベースから所定の条件に一致する情報を抽出する保健所用制御手段と、予め定められた前記コンピュータとデータを送受信するときのみ該コンピュータと通信可能な状態とする保健所用接続手段と、を備える保健所コンピュータと、を備え、
前記自治体用制御手段は、予め定められた暗号化関数を用いて前記参加者情報データベースに記憶された前記氏名、前記生年月日、及び前記住所を第1の暗号データに変換し、該参加者情報データベースに該個人識別番号と該第1の暗号データとを関連付けて記憶させ、前記自治体用接続手段に該第1の暗号データを前記保健所コンピュータに送信させ、
前記研究機関用制御手段は、前記研究機関用接続手段に前記死亡情報の提供を依頼する情報提供依頼通知を前記保健所コンピュータに送信させ、
前記保健所用制御手段は、前記暗号化関数を用いて前記死亡情報データベースに記憶された前記氏名、前記生年月日、及び前記住所を第3の暗号データに変換し、該死亡情報データベースに該個人識別番号と該第3の暗号データとを関連付けて記憶させ、前記保健所用接続手段が前記第1の暗号データを受信すると、該死亡情報データベースから該第1の暗号データと一致する前記第3の暗号データを抽出し、該保健所用接続手段に抽出した該第3の暗号データを前記自治体コンピュータに送信させ、
前記自治体用接続手段が前記第3の暗号データを受信すると、前記自治体用制御手段は、前記参加者情報データベースから該第3の暗号データと一致する前記第1のデータに関連付けられた前記個人識別番号を抽出し、該自治体用接続手段に抽出した該個人識別番号を前記研究機関コンピュータに送信させ、
前記研究機関用接続手段が前記個人識別番号を受信すると、前記研究機関用制御手段は、コホート追跡データベースに前記死亡情報を該個人識別番号と関連付けられた前記追跡情報に記憶させることを特徴とした疾病発症把握システム。
【請求項3】
前記暗号化関数は、ハッシュ関数であることを特徴とした請求項1又は請求項2に記載の疾病発症把握システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2009−169700(P2009−169700A)
【公開日】平成21年7月30日(2009.7.30)
【国際特許分類】
【出願番号】特願2008−7447(P2008−7447)
【出願日】平成20年1月16日(2008.1.16)
【出願人】(504132272)国立大学法人京都大学 (1,269)
【Fターム(参考)】
【公開日】平成21年7月30日(2009.7.30)
【国際特許分類】
【出願日】平成20年1月16日(2008.1.16)
【出願人】(504132272)国立大学法人京都大学 (1,269)
【Fターム(参考)】
[ Back to top ]