情報管理システム

【課題】準機微情報に基づいた各種のサービスを提供する際に、個人を特定可能な情報（非匿名情報）と準機微情報（匿名情報）と直接的に結び付けることなく管理すること。
【解決手段】利用者から受け付けた非匿名情報に対し固有の利用者識別情報を生成し、第１の記憶手段に登録する第１の手段と、サービス種別に応じたサービス識別情報と利用者識別情報との組を第２の記憶手段に登録する第２の手段と、サービス識別情報と当該サービス識別情報に対応した匿名情報の組を第３の記憶手段に登録する第３の手段とを備え、利用者の本人確認を行って生成された固有の識別情報と利用者識別情報の組を第２の記憶手段に登録する第４の手段と、固有の識別情報を利用者本人から受付け、第２の記憶手段から利用者識別情報を取得し、その利用者識別情報によってサービス識別情報を取得し、そのサービス識別情報に基づき匿名情報を取得して利用者に提供する手段とを備える。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、健康管理や検査などを実施する際に、個人別の検査結果などの機微情報（匿名情報）に対し、氏名、住所などの個人情報である非匿名情報を分離した状態で管理することができる情報管理システムに関するものである。
【背景技術】
【０００２】
身長、体重、血圧、血糖値などの健康管理情報や遺伝子の配列やタイプなどの遺伝情報などの生体情報は、自己の状態を知るうえで非常に価値の高い情報となる。しかしながら、これらが個人を識別できるような氏名、住所、電話番号、電子メールアドレスなどの生体情報以外の個人情報と結びついてしまうと、機微情報として取り扱われることとなる。
個人情報の保護に関する法律では、「この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。」と規定されている。
【０００３】
一方、機微情報については、JIS Q 15001によると、（１）思想、信条及び宗教に関する事項、（２）人種、民族、門地、本籍地（所在都道府県に関する情報を除く。）、身体・精神障害、犯罪歴その他社会的差別の原因となる事項。（３）勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。（４）集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項。（５）保健医療及び性生活といった幾つかの項目が挙げられている。これ以外にも機微情報(センシティブ情報)になり得るものは存在し、遺伝情報や容姿、趣味趣向などについても該当する可能性もあるが、明確な定義が存在しないのが現状である。
【０００４】
しかし、機微情報が漏洩することは、当該情報に基づく本人の社会生活上、重大な損害をもたらす恐れがある。さらに、個人情報が遺伝情報のような一生変化することのない情報と共に取得された場合は、個人にとって甚大なリスクを伴う情報を事業者に提供することにつながりかねず、こういった情報を扱うに当たっては特に気を使う必要がある。
【０００５】
こういった観点から、「経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン」では、事業に用いる個人遺伝情報と法令に基づく場合を除き、機微情報の取得又は利用を禁じているし、個人情報保護条例を持つ地方自治体の多くが機微情報に関する規定を整備している。また、「個人データの処理に係る個人の保護及びその自由な流通に関する欧州議会及びＥＵ理事会指令（EU指令）」においては、「加盟国は、人種、民族、政治的見解、宗教、思想、心情、労働組合への加盟に関する情報を漏えいする個人データの処理、もしくは健康または性生活に関するデータ処理を禁止するものとする」と規定されている。このように、機微情報の取扱いについては様々な制約が存在するため、これらに対応することは大きな負担となるばかりでなく、機微情報を活用したサービスの提供が困難な場合もある。
本発明に関する文献としては、下記の特許文献１がある。
【先行技術文献】
【特許文献】
【０００６】
【特許文献１】特開２００３−２１６７４０
【発明の開示】
【発明が解決しようとする課題】
【０００７】
上記のように、機微情報を活用した秘匿性のある安全なサービスを提供するためには、「個人情報」と「個人情報と連結したときに機微情報となる情報（準機微情報）」を分離し、連結しないようにデータを管理することが重要となる。実際の運用に当たっては、個人情報を蓄積する第１のデータベースと準機微情報を蓄積する第２のデータベースを分離することが好ましい。その上で、閲覧者ごとに閲覧できる情報を制御し、個人情報と準機微情報が連結しないようにすることで、個人を特定可能な機微情報の取扱いをすることなく、必要なサービスを提供することができるようにすることが必要である。
【０００８】
しかし、実際に個人情報と準機微情報を分離した場合、対面業務等において準機微情報に関する個人が当該個人であるかどうかの確認が困難であることや、特に、サービスに伴う実体（検査キットなど）を、個人情報を基に当該個人に配布や販売等する際に、個人情報と準機微情報を間接的に連携させることなく当該個人に送達させることが困難である等の問題があった。
【０００９】
本発明の目的は、準機微情報に基づいた各種のサービスを提供する際に、個人を特定可能な情報（非匿名情報）と準機微情報（匿名情報）と直接的に結び付けることなく管理することができる情報管理システムを提供することにある。
【課題を解決するための手段】
【００１０】
上記目的を達成するために本発明に係る情報管理システムは、サービスの提供を受ける利用者の非匿名情報を受け付けた後、この受け付けた非匿名情報に対し固有の利用者識別情報を生成し、前記利用者に通知すると共に前記非匿名情報と前記利用者識別情報の組を第１の記憶手段に登録する第１の手段と、
利用者に提供するサービス種別に応じたサービス識別情報と前記利用者識別情報との組を第２の記憶手段に登録する第２の手段と、
前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を第３の記憶手段に登録する第３の手段とを備え、
前記匿名情報にアクセスするために利用者の本人確認を行って生成された固有の識別情報と前記利用者識別情報の組を前記第２の記憶手段に登録すると共に利用者本人に通知する第４の手段と、
前記固有の識別情報を利用者本人から受付け、その固有の識別情報によって前記第２の記憶手段から利用者識別情報を取得し、その利用者識別情報によって第３の記憶手段から前記サービス識別情報を取得し、そのサービス識別情報に対応して前記第３の記憶手段に登録された匿名情報を取得して利用者に提供する手段とを備えることを特徴とする。
また、前記匿名情報が健康診断結果等の機微情報であり、前記非匿名情報が利用者を特定可能な個人情報であることを特徴とする。
また、前記第２の記憶手段に登録する前記固有の識別情報と利用者識別情報の組は所定の暗号化手段によって暗号化されていることを特徴とする。
また、サービスの提供を受ける利用者の非匿名情報を受け付けた後、この受け付けた非匿名情報に対し固有の利用者識別情報を生成し、前記利用者に通知すると共に前記非匿名情報と前記利用者識別情報の組を第１の記憶手段に登録する第１の手段と、
利用者に提供するサービス種別に応じたサービス識別情報と前記利用者識別情報との組を第２の記憶手段に登録する第２の手段と、
前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を第３の記憶手段に登録する第３の手段とを備え、
前記匿名情報の元になった物体に対応した固有の識別情報を生成し、その固有の識別情報と前記利用者識別情報の組を第４の記憶手段に登録する第４の手段と、
前記固有の識別情報が付加された前記物体を受付け、その受け付けた物体に付加されたに前記固有の識別情報により前記前記第４の記憶手段から前記利用者識別情報を取得する第５の手段と、
取得した前記利用者識別情報により前記第１の記憶手段から前記非匿名情報を取得する第６の手段と、
前記物体を前記第１の記憶手段から取得した非匿名情報で特定される利用者に送付する第７の手段とを備えることを特徴とする。
また、前記匿名情報が健康診断結果等の機微情報であり、前記非匿名情報が利用者を特定可能な個人情報であることを特徴とする。
また、前記第２の記憶手段に登録する前記固有の識別情報と利用者識別情報の組は所定の暗号化手段によって暗号化されていることを特徴とする。
【発明の効果】
【００１１】
本発明によれば、準機微情報に基づいた各種のサービスを提供する際に、個人を特定可能な非匿名情報と準機微情報などの匿名情報と直接に結び付けることなく管理することができる
なお、本発明におけるサービスとは、利用者から検体などの物、あるいは健康診断結果などのデータを受付け、この受け付けた物あるいはデータについて検査、分析、鑑定、評価などを行い、その結果を利用者に対するサービスとして提供するものである。具体的には、遺伝子や身体計測情報を検査するサービスや、機器等を介し身体計測情報等を取得し、蓄積するサービスなどがあり、アクセスする形態としては、一度のみの場合や、登録時ごとに利用される形態が考えられる。
また、サービス識別情報は、システム側でその都度生成する、あるいは予め生成されたものを用いるといった形態が考えられるが、本発明ではいずれであってもよい。
【発明を実施するための最良の形態】
【００１２】
以下、本発明を実施するための最良の形態について図面を用いて詳細に説明する。
図１は、本発明に係る情報管理システムの一実施の形態の全体構成を示すシステム構成図である。
本システムは、身体情報計測などのサービスを受ける被験者（サービスの提供を受ける利用者）１０１が使用するパーソナルコンピュータで構成された被験者端末１０２、サービス依頼（検査依頼）を受け付ける窓口機関１０３、検査を実施し、検査結果のデータを被験者の氏名などの個人情報とは隔離して格納するサービス提供機関１０４とから構成されている。
窓口機関１０３は、窓口端末１０３１、被験者１０１の個人情報を登録する第１のデータベース１０３２とから構成されている。
【００１３】
サービス提供機関１０４は、検体１０５２を検査する検査装置１０４１、検査結果とサービスＩＤ１０５１の組を第２のデータベース１０４５に登録する情報読み書き装置１０４２、被験者端末１０２から指定されたユーザＩＤに対応したサービスＩＤの検査結果（匿名情報）を第２データベース１０４５から検索し、被験者端末１０２に返信する情報提供装置１０４３とから構成されている。
被験者端末１０２は、各種のデータを入力する入力装置（図示せず）を備えるほか、窓口機関１０４から受信したデータを表示する表示装置１０２１を備えている。
【００１４】
ここで、被験者１０１が身体情報計測などのサービスを受けようとする場合、被験者１０１は窓口端末１０３１の係員に検査依頼を申し出る。すると、係員は被験者１０１自身に窓口端末１０３１を操作させ、被験者の住所、氏名などの個人情報を入力させる。
窓口端末１０３は、個人情報の入力が終わったならば、利用者毎に固有の識別情報（以下、ユーザＩＤ）を自動生成し、画面に表示して被験者１０１に通知すると共に、ユーザＩＤと個人情報と窓口ＩＤとを対応付けて第１のデータベース１０３２に登録する。
ユーザ登録が終了したならば、窓口端末１０３１の係員は身体情報計測のための検体採取器具１０５を被験者１０１に渡す。この検体採取器具１０５には、サービス種別を示す識別情報（以下、サービスＩＤ）１０５１が予め印字されている。
被験者は、検体採取器具１０５に検体１０５２を収納し、サービス提供機関１０４に提出する。サービス提供機関１０４では、検体１０５２を収納した検体採取器具１０５を検査装置１０４１に転送し、検査を実施する。
なお、被験者端末１０２とサービス提供機関１０４とはインターネットなどの通信網を介して接続されている。
【００１５】
以上の構成において、被験者１０１がサービスの提供依頼（検査依頼）を行ってから検査結果を被験者端末１０２で閲覧するまでの過程を図２のシーケンス図を参照しつつ説明する。
まず、被験者１０１は自身の遺伝子などの身体計測情報の検査依頼を窓口機関１０３に対して行う。
検査依頼を受けた窓口端末１０３１の係員は、被験者１０１自身に窓口端末１０３１を操作させ、被験者の住所、氏名などの個人情報を入力させる（ステップ２０１）。
窓口端末１０３１は、個人情報の入力が終わったならば、ユーザＩＤを自動生成し、画面に表示して被験者１０１に通知すると共に、ユーザＩＤと個人情報とを対応付けて第１のデータベース１０３２に登録する（ステップ２０２）。
個人情報とは、氏名、住所、電話番号などで構成され、個人を特定可能な情報である。
【００１６】
ユーザ登録が終了したならば、窓口端末１０３１の係員は身体情報計測のための検体採取器具１０５を被験者１０１に渡す（ステップ２０３）。この検体採取器具１０５には、サービス種別を識別するためのサービスＩＤ１０５１が予め印字されている。
被験者は、検体採取器具１０５に検体１０５２を収納し、サービス提供機関１０４に提出する（ステップ２０４）。
サービス提供機関１０４では、検体採取器具１０５を受け付けると共に、サービスＩＤを受け付ける。
サービス提供機関１０４では、検体１０５２を収納した検体採取器具１０５を検査装置１０４１に転送し、検査を実施する（ステップ２０５）。
検査装置１０４１は、検査結果のデータにサービスＩＤを付加して情報読み書き装置１０４２に転送する（ステップ２０６）。
情報読み書き装置１０４２は、検査結果とサービスＩＤの組を第２データベース１０４５に登録する（ステップ２０７）。
【００１７】
次に、被験者端末１０１における閲覧操作（結果確認操作）によりユーザＩＤとサービスＩＤが入力され、これが情報読み書き装置１０４２に送信されたならば、入力されたサービスＩＤを入力されたユーザＩＤと同じユーザＩＤのグループに追加登録する（ステップ２０９）。
この場合、入力されたユーザＩＤと同じユーザＩＤのサービスＩＤグループが存在しない場合には、新規グループを作成する。
【００１８】
その後、同じユーザＩＤの他の検査結果データを登録する際には、その検査結果データのサービスＩＤが同じユーザＩＤのサービスＩＤグループに追加登録される。
図１の第２データベース１０４４には、１つのユーザＩＤに対し、３つのサービスＩＤが登録された例を示している。
情報読み書き装置１０４１は、サービスＩＤの登録が終了したならば、そのサービスＩＤを情報提供装置１０４３に転送する（ステップ２１０）。
情報提供装置１０４３は、受信したサービスＩＤと同じサービスＩＤに対応付けて第２データベース１０４４に登録されている検査結果のデータを検索し（ステップ２１１）、被験者端末１０２に送信する（ステップ２１２）。
被験者端末１０２は受信した検査結果データを表示画面に表示する（ステップ２１３）。
【００１９】
以上により、被験者は複数種類の検査結果データを最初に登録した検査結果データに順次追加して登録することができる。
なお、閲覧する場合、ユーザＩＤのみを指定した場合には、そのユーザＩＤに対応付けて登録されている全てのサービスＩＤに対応する検査結果データが検索されて表示される。
サービスＩＤのみを指定した場合、そのサービスＩＤのみに対応する検査結果データが検索されて表示される。
以上により、被験者端末１０２において利用者自身の検査結果のデータを閲覧することができる。
【００２０】
次に、検査結果データを基に健康指導を依頼した場合について説明する。
図３は、被験者１０１が医療機関に出向き、医者から健康指導を受ける場合のシステム構成を示す図であり、図１の構成に対し、新たに医者端末１０５が付加されている。なお、図３では健康指導を受けるために必要な部分のみを図示し、その他の部分は省略している。
図４は、健康指導を受ける際の各部の処理を示すシーケンス図である。
まず、被験者１０１は窓口機関１０３に健康指導依頼と本人確認資料（運転免許証、健康保険証など）を提出する（ステップ４０１）。
すると、窓口機関１０３の係員は提出された本人確認資料により本人かどうかを確認し（ステップ４０２）、本人であることが確認できたならばそのことを示すＩＤを生成し（ステップ４０３）、これを印刷して被験者１０１に渡す。
ここで、本人であることを確認済みのＩＤは、本人確認をするたびに生成され、同一人物であってもその都度ランダムに異なるＩＤであることが望ましいが、暗証番号のように同一人物ならば同じＩＤとするようにしてもよい。以下では、本人確認を行う都度ランダムに異なるＩＤ（ランダムＩＤ）を用いる場合について説明する。
被験者１０１はランダクＩＤの印刷物と予め通知されている自身のユーザＩＤとを医者端末１０５の担当医に渡す（ステップ４０４）。
【００２１】
一方、窓口端末１０３１はユーザＩＤとランダムＩＤとを情報読み書き装置１４０２に転送し、第２データベース１０４４にユーザＩＤとランダムＩＤの組を登録する（ステップ４０５）。
担当医は、医者端末１０５で検査結果データの閲覧画面を開き（ステップ４０６）、印刷物に印刷されたランダクＩＤとユーザＩＤとを入力し、閲覧指示を行う。
すると、医者端末１０５は入力されたランダクＩＤとユーザＩＤとを情報提供装置１０４３に転送する（ステップ４０７）。
情報提供装置１０４３は、入力されたランダムＩＤに対応して第２データベース１０４４に登録されているユーザＩＤを検索し（ステップ４０８）、その検索結果のユーザＩＤにより医者端末１０５から入力されたユーザＩＤを検証する（ステップ４０９）。
【００２２】
医者端末１０５から入力されたユーザＩＤが第２データベース１０４４に登録されているユーザＩＤと同一であれば検証ＯＫとするが、異なる場合には検証ＮＧとする。
検証ＮＧとなるのはランダムＩＤの印刷物を他人のものと取り違えた場合である。その場合はエラー情報が医者端末１０５に送信され、医者端末１０５でエラーメッセージが表示される（ステップ４１１）。
検証ＯＫであった場合、情報提供装置１０４３は検証済みのユーザＩＤに対応して第２データベース１０４４に登録されているサービスＩＤを取得し、そのサービスＩＤに（対応する検索結果を第２データベース１０４４の内部から検索し（ステップ４１３）、その検査結果のデータを医者端末１０５に転送し（ステップ４１４）、表示させる（ステップ４１５）。
【００２３】
このように健康指導依頼をした被験者１０１が本人であるかどうかを確認し、その確認結果に応じて生成されるランダムＩＤを医者端末１０５に提示し、利用者本人の検査結果データを第２データベース１０４４から検索するように構成したことにより、利用者本人の立会いのもとで自身の検査結果データが表示され、利用者本人が不在の環境では例え健康指導医であったとしても利用者本人の検査結果データを閲覧することはできない。
これにより、利用者本人が不在の環境で自身の検査結果データが第三者に見られているのではといった不安感を解消することができ、第２データベース１０４４に登録された準機微情報への信頼感が向上する。
【００２４】
ところで、窓口端末１０３１で生成したランダムＩＤはユーザＩＤと共にそのまま第２データベース１０４４に登録しているが、図５の他の実施形態に示すように、暗号化・復号化装置１０６で暗号化して第３データベース１０７に登録し、これを読み出した場合は暗号化・復号化装置１０６で復号し、情報提供装置１０４３に返すようにすることができる。
この場合の暗号化・復号化処理に用いる鍵は暗号化・復号化装置１０６から外部に漏れないようにしてある。これにより、例え医者端末１０２からであっても被験者１０１のランダムＩＤが入力されない限り検査結果データにアクセスすることはできず、情報漏洩対策が一層堅固なものとなる。
【００２５】
ところで、サービス提供機関１０４で被験者１０１が提出した検体１０５２の量が不十分であるなどの理由で検体１０５２を被験者１０１に一旦返し、改めて新たな検体１０５２を提供してもらうといったことが必要になる場合がある。
【００２６】
図６は、検体１０５２を被験者１０１に一旦返し、改めて新たな検体１０５２を提供してもらうといった場合の再検査時の処理を示すシーケンス図である
検体１０５２を被験者１０１に一旦返す場合、その検体１０５２が収納袋に貼り付けられていたサービスＩＤを剥がした後、検体対応のランダムＩＤを生成し（ステップ６０１）、ユーザＩＤと検体対応のランダムＩＤの組を第３のデータベースに登録する（ステップ６０２）。
【００２７】
この後、ランダムＩＤと検体の収納袋とを窓口機関１０３に転送する（ステップ６０３）。
窓口機関１０３では、ランダムＩＤと検体の収納袋とを受領したならば、ランダクＩＤにより第３データベース１０７を検索し、ユーザＩＤを取得する（ステップ６０４）。
次に、ユーザＩＤにより第１データベース１０３２を検索し、個人情報を取得し、その個人情報の中の住所、氏名を印刷した印刷物を作成する（ステップ６０５）。
そして、検体の収納袋に住所、氏名を印刷した印刷物を貼り付け、郵送する（ステップ６０６）。
【００２８】
被験者本人は新たな検体１０５２を採取し、窓口機関１０３にユーザＩＤを付加して提出する（ステップ６０７）。
窓口機関１０３では、ユーザＩＤにより第３データベースを検索し、ランダムＩＤを取得する（ステップ６０８）。そして、再検査用の検体にランダムＩＤを付加してサービス提供機関１０４に送付する（ステップ６０９）。
サービス提供機関１０４では、送付されてきたランダムＩＤにより第３データベース１０７を検索し、ユーザＩＤを取得する（ステップ６１０）。
次に、ユーザＩＤにより第２データベース１０４４を検索し、サービスＩＤを取得する（ステップ６１１）。
そして、検査結果のデータが未登録のサービスＩＤを検索し、そのサービスＩＤに対応付けて検査結果データを第２データベース１０４４に登録する（ステップ６１２）。
【００２９】
このように構成することにより、サービス提供機関１０４内で使用しているサービスＩＤ及びユーザＩＤが第三者に知られることなく、再提出用の検体１０５２を被験者本人に返し、また被験者本人から返された検体１０５２の検査結果データを登録することができる。
なお、ランダムＩＤは検査依頼毎に生成されたＩＤではなく、暗証番号のように個人に静的に割当てられたＩＤで構成されていてもよい。
また、第３データベース１０７に登録するユーザＩＤとランダムＩＤは暗号化して書き込み、読み出した際には復号して窓口機関１０３の各部に渡すように構成することができる。
【００３０】
ところで、上記実施形態では、検査結果データをインターネット経由で被験者端末１０２に公開しているが、検査結果データを表形式で印刷し、検査機関の窓口に掲示しておき、各被験者は自分自身のみが知るサービスＩＤに対応する検査結果データを閲覧するように構成することができる。
【００３１】
また、検査結果を閲覧する場合やサービスＩＤを用いる場合、被験者が予めユーザ登録をした正規のユーザであるかといったユーザ認証を必要に応じて実施するように構成することができる。ユーザ認証の技術についてはＩＤやパスワードを用いるものに限定されるものではなく、電子割符、指静脈認証などの技術を用いるものであってもよい。
【００３２】
また、検体を検査する場合の例について説明したが、健康診断の検査結果データを受付け、これに対する医師の健康指導データ、食生活改善データなどのサービスを提供する場合についても適用することができる。
また、検体採取器具および機器の利用者への提供方法は、サービス提供機関に直接申し込む形式でもよく、販売店等で購入する形式でもよい。
【図面の簡単な説明】
【００３３】
【図１】本発明に係る情報管理システムの実施の形態を示すシステム構成図である。
【図２】図１におけるシステムの各部の動作をシーケンス図である。
【図３】医者端末から検査結果データを閲覧する場合の主要部の構成図である。
【図４】医者端末から検査結果データを閲覧する場合の各部の動作をシーケンス図である。
【図５】図１においてランダムＩＤとユーザＩＤの組を暗号化して独立のデータベースに登録するように構成した本発明の他の実施形態を示すシステム構成図である。
【図６】検体の再提出が必要になった場合の処理例を示すシーケンス図である。
【符号の説明】
【００３４】
１０１被験者
１０２被験者端末
１０３窓口機関
１０４サービス提供機関
１０５検体採取器具
１０６暗号化・復号化装置
１０７第３データベース
１０８医者端末
１０３１窓口端末
１０４１検査装置
１０３２第１データベース
１０４４第２データベース

【特許請求の範囲】
【請求項１】
サービスの提供を受ける利用者の非匿名情報を受け付けた後、この受け付けた非匿名情報に対し固有の利用者識別情報を生成し、前記利用者に通知すると共に前記非匿名情報と前記利用者識別情報の組を第１の記憶手段に登録する第１の手段と、
利用者に提供するサービス種別に応じたサービス識別情報と前記利用者識別情報との組を第２の記憶手段に登録する第２の手段と、
前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を第３の記憶手段に登録する第３の手段とを備え、
前記匿名情報にアクセスするために利用者の本人確認を行って生成された固有の識別情報と前記利用者識別情報の組を前記第２の記憶手段に登録すると共に利用者本人に通知する第４の手段と、
前記固有の識別情報を利用者本人から受付け、その固有の識別情報によって前記第２の記憶手段から利用者識別情報を取得し、その利用者識別情報によって第３の記憶手段から前記サービス識別情報を取得し、そのサービス識別情報に対応して前記第３の記憶手段に登録された匿名情報を取得して利用者に提供する手段とを備えることを特徴とする情報管理システム。
【請求項２】
前記匿名情報が健康診断結果等の機微情報であり、前記非匿名情報が利用者を特定可能な個人情報であることを特徴とする請求項１に記載の情報管理システム。
【請求項３】
前記第２の記憶手段に登録する前記固有の識別情報と利用者識別情報の組は所定の暗号化手段によって暗号化されていることを特徴とする情報管理システム。
【請求項４】
サービスの提供を受ける利用者の非匿名情報を受け付けた後、この受け付けた非匿名情報に対し固有の利用者識別情報を生成し、前記利用者に通知すると共に前記非匿名情報と前記利用者識別情報の組を第１の記憶手段に登録する第１の手段と、
利用者に提供するサービス種別に応じたサービス識別情報と前記利用者識別情報との組を第２の記憶手段に登録する第２の手段と、
前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を第３の記憶手段に登録する第３の手段とを備え、
前記匿名情報の元になった物体に対応した固有の識別情報を生成し、その固有の識別情報と前記利用者識別情報の組を第４の記憶手段に登録する第４の手段と、
前記固有の識別情報が付加された前記物体を受付け、その受け付けた物体に付加されたに前記固有の識別情報により前記前記第４の記憶手段から前記利用者識別情報を取得する第５の手段と、
取得した前記利用者識別情報により前記第１の記憶手段から前記非匿名情報を取得する第６の手段と、
前記物体を前記第１の記憶手段から取得した非匿名情報で特定される利用者に送付する第７の手段とを備えることを特徴とする情報管理システム。
【請求項５】
前記匿名情報が健康診断結果等の機微情報であり、前記非匿名情報が利用者を特定可能な個人情報であることを特徴とする請求項４に記載の情報管理システム。
【請求項６】
前記第２の記憶手段に登録する前記固有の識別情報と利用者識別情報の組は所定の暗号化手段によって暗号化されていることを特徴とする請求項４に記載の情報管理システム。

【図１】