情報管理システム
【課題】準機微情報に基づいた各種のサービスを提供する際に、個人を特定可能な情報(非匿名情報)と準機微情報(匿名情報)と直接的に結び付けることなく管理する。
【解決手段】利用者に提供するサービス種別に応じたサービス識別情報を生成し、そのサービス識別情報と利用者識別情報との組を第2の記憶手段に登録する第2の手段と、前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を前記第2の記憶手段に登録する第3の手段とを備えたサービス事業者サーバと、第2の記憶手段に登録された前記匿名情報に対する取得要求に対し、要求された準匿名情報を読み出して要求元に送信する第4の手段を備えたデータセンタサーバとを有し、前記サービス事業者サーバが、前記利用者から受付けた非匿名情報を当該利用者から受付けた暗号鍵情報により暗号化して前記第2の記憶手段に登録する第5の手段を備える。
【解決手段】利用者に提供するサービス種別に応じたサービス識別情報を生成し、そのサービス識別情報と利用者識別情報との組を第2の記憶手段に登録する第2の手段と、前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を前記第2の記憶手段に登録する第3の手段とを備えたサービス事業者サーバと、第2の記憶手段に登録された前記匿名情報に対する取得要求に対し、要求された準匿名情報を読み出して要求元に送信する第4の手段を備えたデータセンタサーバとを有し、前記サービス事業者サーバが、前記利用者から受付けた非匿名情報を当該利用者から受付けた暗号鍵情報により暗号化して前記第2の記憶手段に登録する第5の手段を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、健康管理や検査などを実施する際に、個人別の検査結果などの機微情報(匿名情報)に対し、氏名、住所などの個人情報である非匿名情報を分離した状態で管理することができる情報管理システムに関するものである。
【背景技術】
【0002】
身長、体重、血圧、血糖値などの健康管理情報や遺伝子の配列やタイプなどの遺伝情報などの生体情報は、自己の状態を知るうえで非常に価値の高い情報となる。しかしながら、これらが個人を識別できるような氏名、住所、電話番号、電子メールアドレスなどの生体情報以外の個人情報と結びついてしまうと、機微情報として取り扱われることとなる。
個人情報の保護に関する法律では、「この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」と規定されている。
【0003】
一方、機微情報については、JIS Q 15001によると、(1)思想、信条及び宗教に関する事項、(2)人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項。(3)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。(4)集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項。(5)保健医療及び性生活といった幾つかの項目が挙げられている。これ以外にも機微情報(センシティブ情報)になり得るものは存在し、遺伝情報や容姿、趣味趣向などについても該当する可能性もあるが、明確な定義が存在しないのが現状である。
【0004】
しかし、機微情報が漏洩することは、当該情報に基づく本人の社会生活上、重大な損害をもたらす恐れがある。さらに、個人情報が遺伝情報のような一生変化することのない情報と共に取得された場合は、個人にとって甚大なリスクを伴う情報を事業者に提供することにつながりかねず、こういった情報を扱うに当たっては特に気を使う必要がある。
【0005】
こういった観点から、「経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン」では、事業に用いる個人遺伝情報と法令に基づく場合を除き、機微情報の取得又は利用を禁じているし、個人情報保護条例を持つ地方自治体の多くが機微情報に関する規定を整備している。また、「個人データの処理に係る個人の保護及びその自由な流通に関する欧州議会及びEU理事会指令(EU指令)」においては、「加盟国は、人種、民族、政治的見解、宗教、思想、心情、労働組合への加盟に関する情報を漏えいする個人データの処理、もしくは健康または性生活に関するデータ処理を禁止するものとする」と規定されている。このように、機微情報の取扱いについては様々な制約が存在するため、これらに対応することは大きな負担となるばかりでなく、機微情報を活用したサービスの提供が困難な場合もある。
本発明に関する文献としては、下記の特許文献1がある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2003−216740
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記のように、機微情報を活用した秘匿性のある安全なサービスを提供するためには、「個人情報」と「個人情報と連結したときに機微情報となる情報(準機微情報)」を分離し、連結しないようにデータを管理することが重要となる。実際の運用に当たっては、個人情報を蓄積する第1のデータベースと準機微情報を蓄積する第2のデータベースを分離することが好ましい。その上で、閲覧者ごとに閲覧できる情報を制御し、個人情報と準機微情報が連結しないようにすることで、個人を特定可能な機微情報の取扱いをすることなく、必要なサービスを提供することができるようにすることが必要である。
【0008】
しかし、実際には、利用者の個人的理由(例えば、忘れっぽいなど)により、個人情報をサービス提供事業者に預かってもらいたいという要望がある。サービス提供事業者ではこのような要望に対し、平文のままの個人情報を預かった場合、サービス提供事業者のシステム内で準機微情報と連結してしまう恐れがあるので、暗号化して記憶させるようにするのが望ましい。
しかし、暗号化したとしても利用者が暗号鍵の変更を申し出た場合、暗号化して記憶させておいた変更前暗号鍵を一旦読み出して復号し、その復号結果を変更後の暗号鍵で再暗号化することになる。従って、再暗号化の過程でシステム内で一旦復号することになり、その復号結果の個人情報を用いて準機微情報と連結されてしまう恐れがある。
【0009】
本発明の目的は、準機微情報に基づいた各種のサービスを提供する際に、個人を特定可能な情報(非匿名情報)と準機微情報(匿名情報)と直接的に結び付けることなく管理することができ、しかも個人情報を暗号化して預かる場合でも準機微情報との連結の可能性をなくすことができる情報管理システムを提供することにある。
【課題を解決するための手段】
【0010】
上記目的を達成するために本発明に係る情報管理システムは、サービスの提供を受ける利用者の非匿名情報を受け付けた後、この受け付けた非匿名情報に対し固有の利用者識別情報を生成し、前記利用者に通知すると共に前記非匿名情報と前記利用者識別情報の組を第1の記憶手段に登録する第1の手段を備えた窓口機関情報装置と、
利用者に提供するサービス種別に応じたサービス識別情報を生成し、そのサービス識別情報と前記利用者識別情報との組を第2の記憶手段に登録する第2の手段と、前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を前記第2の記憶手段に登録する第3の手段とを備えたサービス事業者サーバと、
前記第2の記憶手段に登録された前記匿名情報に対する取得要求に対し、要求された準匿名情報を読み出して要求元に送信する第4の手段を備えたデータセンタサーバとを有する情報管理システムであって、
前記サービス事業者サーバが、前記利用者から受付けた非匿名情報を当該利用者から受付けた暗号鍵情報により暗号化して前記第2の記憶手段に登録する第5の手段を備えることを特徴とする。
また、前記匿名情報が健康診断結果等の機微情報であり、前記非匿名情報が利用者を特定可能な個人情報であることを特徴とする。
また、第5の手段は、前記第2の記憶手段に登録済みの暗号化非匿名情報の暗号鍵情報の利用者からの変更要求に対し、利用者端末から変更前の暗号鍵と変更後の暗号鍵との差分に相当する鍵情報を受付け、この鍵情報によって前記第2の記憶手段に登録されている暗号化非匿名情報を変換して前記第2の記憶手段に登録することを特徴とする。
【発明の効果】
【0011】
本発明によれば、準機微情報に基づいた各種のサービスを提供する際に、個人を特定可能な非匿名情報と準機微情報などの匿名情報と直接に結び付けることなく管理することができる
なお、本発明におけるサービスとは、利用者から検体などの物、あるいは健康診断結果などのデータを受付け、この受け付けた物あるいはデータについて検査、分析、鑑定、評価などを行い、その結果を利用者に対するサービスとして提供するものである。具体的には、遺伝子や身体計測情報を検査するサービスや、機器等を介し身体計測情報等を取得し、蓄積するサービスなどがあり、アクセスする形態としては、一度のみの場合や、登録時ごとに利用される形態が考えられる。
また、サービス識別情報は、システム側でその都度生成する、あるいは予め生成されたものを用いるといった形態が考えられるが、本発明ではいずれであってもよい。
【発明を実施するための最良の形態】
【0012】
以下、本発明を実施するための最良の形態について図面を用いて詳細に説明する。
図1は、本発明に係る情報管理システムの一実施の形態の全体構成を示すシステム構成図である。
本システムは、身体情報計測などのサービスを受ける被験者(サービスの提供を受ける利用者)101が使用するパーソナルコンピュータで構成された被験者端末102、サービス依頼(検査依頼)を受け付ける窓口機関103、検査を実施し、検査結果のデータを被験者の氏名などの個人情報とは隔離して格納するサービス事業者サーバ104と、サービス事業者サーバ104が格納したデータを利用者からの要求に応じて提供するデータセンタサーバ105とから構成されている。
窓口機関103は、窓口端末1031、被験者101の個人情報を登録する第1のデータベース1032とから構成されている。
【0013】
サービス提供機関104は、検体1052を検査する検査装置1041、検査結果とサービスID1051の組を第2のデータベース1045に登録する情報読み書き装置1042、被験者端末102から受付けた個人情報を暗号鍵で暗号化して第2データベース1045に格納する暗号化部1043とから構成されている。
データセンタサーバ105は、被験者端末102から指定されたユーザIDに対応したサービスIDの検査結果(匿名情報)を第2データベース1045から検索し、被験者端末102に返信する情報提供装置1043とから構成されている。
被験者端末102は、各種のデータを入力する入力装置(図示せず)を備えるほか、窓口機関104から受信したデータやデータセンタサーバ105から受信したデータを表示する表示装置1021を備えている。
【0014】
ここで、被験者101が身体情報計測などのサービスを受けようとする場合、被験者101は窓口端末1031の係員に検査依頼を申し出る。すると、係員は被験者101自身に窓口端末1031を操作させ、被験者の住所、氏名などの個人情報を入力させる。
窓口端末103は、個人情報の入力が終わったならば、利用者毎に固有の識別情報(以下、ユーザID)を自動生成し、画面に表示して被験者101に通知すると共に、ユーザIDと個人情報とを対応付けて第1のデータベース1032に登録する。
ユーザ登録が終了したならば、窓口端末1031の係員は身体情報計測のための検体採取器具106を被験者101に渡す。この検体採取器具106には、サービス種別を示す識別情報(以下、サービスID)1061が予め印字されている。
被験者101は、検体採取器具106に検体1062を収納し、サービス事業者サーバ104の検査窓口に提出する。サービス事業者サーバ104の検査窓口では、検体1062を収納した検体採取器具106を検査装置1041に転送し、検査を実施する。
なお、被験者端末102とサービス事業者サーバ104とはインターネットなどの通信網を介して接続されている。
【0015】
以上の構成において、被験者101がサービスの提供依頼(検査依頼)を行ってから検査結果を被験者端末102で閲覧するまでの過程を図2のシーケンス図を参照しつつ説明する。
まず、被験者101は自身の遺伝子などの身体計測情報の検査依頼を窓口機関103に対して行う。
検査依頼を受けた窓口端末1031の係員は、被験者101自身に窓口端末1031を操作させ、被験者の住所、氏名などの個人情報を入力させる(ステップ201)。
窓口端末1031は、個人情報の入力が終わったならば、ユーザIDを自動生成し、画面に表示して被験者101に通知すると共に、ユーザID10321と個人情報10322とを対応付けて第1のデータベース1032に登録する(ステップ202)。
個人情報とは、氏名、住所、電話番号などで構成され、個人を特定可能な情報である。
【0016】
ユーザ登録が終了したならば、窓口端末1031の係員は身体情報計測のための検体採取器具106を被験者101に渡す(ステップ203)。この検体採取器具106には、サービス種別を識別するためのサービスID1051が予め印字されている。
サービス種別とは、健康診断、遺伝子解析、健康相談などのサービス事業者が実施するサービスの種別を表すものである。
被験者は、検体採取器具106に検体1062を収納し、サービス事業者サーバ104の検査窓口に提出する(ステップ204)。
検査窓口では、検体採取器具106を受け付けると共に、サービスIDを受け付ける。
サービス事業者サーバ104の検査係員は、検体1062を収納した検体採取器具106を検査装置1041に転送し、検査を実施する(ステップ205)。
検査装置1041は、検査結果のデータにサービスIDを付加して情報読み書き装置1042に転送する(ステップ206)。
情報読み書き装置1042は、検査結果とサービスIDの組を第2データベース1045に登録する(ステップ207)。
【0017】
次に、被験者端末101における閲覧操作(結果確認操作)によりユーザIDとサービスIDが入力され、これが情報読み書き装置1042に送信されたならば、入力されたサービスIDを、入力されたユーザIDと同じユーザIDのグループに追加登録する(ステップ209)。
この場合、入力されたユーザIDと同じユーザIDのサービスIDグループが存在しない場合には、新規グループを作成する。
【0018】
その後、同じユーザIDの他の検査結果データを登録する際には、その検査結果データのサービスIDが同じユーザIDのサービスIDグループに追加登録される。
図1の第2データベース1045には、1つのユーザIDに対し、3つのサービスIDが登録された例を示している。
情報読み書き装置1041は、サービスIDの登録が終了したならば、そのサービスIDを情報提供装置1051に転送する(ステップ210)。
情報提供装置1043は、受信したサービスIDと同じサービスID10451に対応付けて第2データベース1045に登録されている検査結果のデータ10452を検索し(ステップ211)、被験者端末102に送信する(ステップ212)。
被験者端末102は受信した検査結果データを表示画面に表示する(ステップ213)。
【0019】
以上により、被験者は複数種類の検査結果データを最初に登録した検査結果データに順次追加して登録することができる。
なお、閲覧する場合、ユーザIDのみを指定した場合には、そのユーザIDに対応付けて登録されている全てのサービスIDに対応する検査結果データが検索されて表示される。
サービスIDのみを指定した場合、そのサービスIDのみに対応する検査結果データが検索されて表示される。
以上により、被験者端末102において利用者自身の検査結果のデータを閲覧することができる。
【0020】
図3は、第1DB1032に格納される個人情報の例を示すものであり、各利用者には固有のユーザID401が付与され、そのユーザID別に、氏名402、住所403、電話番号404、その他405などの個人を特定可能な情報が登録されている。
この個人情報は、窓口機関にサービス提供依頼を行った際に、窓口端末から利用者自身または係員が入力したものである。
ユーザIDは、利用者の住所、氏名などの個人情報の入力が終わった段階で窓口端末1031が自動生成し、窓口端末の画面に表示して利用者に通知するものである。
【0021】
図4(a),(b)は、ユーザIDとユーザパスワードの例、サービスIDとサービス情報の例を示すものである。
図4(b)のサービス情報は準機微情報とアドバイス情報で構成されている。
アドバイス情報は検査結果に対して医師や専門家がアドバイスした情報のことである。
このアドバイス情報は利用者が医師や専門家がアドバイスを希望した時に追加される。
【0022】
図5は、第2DB1045に登録される準機微情報の例を示すものである。
この例では、サービスID毎に、年令、遺伝情報、身長などの準機微情報が登録されていることを示している。
この準機微情報は、利用者の検体を検査した結果を利用者に対するサービスとして提供するサービス内容のデータである。
【0023】
図6に、被験者端末102に表示される検査結果の画面例を示す。
ここで示す画面は、ユーザIDとユーザ認証用のパスワードで被験者がログインした後に表示される。この画面には、利用者の遺伝情報などの準機微情報の他に、コンサルティングサービス事業者がアドバイスしたサービス情報が一覧として表示され、各項目を選択することにより、詳細なアドバイス情報を閲覧することができるようになっている。
また、遺伝情報および健康管理情報から最適なおすすめサービスを表示させることも可能となっている。
尚、健康管理情報中に表示される評価結果は、初期値は遺伝情報とそのときの健康管理データによって設定されるが、改善度合いにより評価を変化させることで、健康管理意欲の啓発を図ることが可能である。
【0024】
図7は、サービス事業者サーバ104の暗号化部1043の暗号化処理の概要を説明する説明図であり、暗号化部1043は、暗号化対象データRを変更前の暗号鍵Kaで暗号化し、暗号化データKa(R)を算出する。暗号鍵Kaを変更する場合には、変更前の暗号鍵Kaと変更後の暗号鍵Kbとの差Ka−Kbを求め、この差の情報によって鍵変更前の暗号化データKa(R)をデータ変換することによって鍵変更後の暗号化データKb(R)を算出する。すなわち、通常ならば、図8(K)のフローチャートに示すように、平文データである暗号化対象データRを当初の暗号鍵Kaで暗号化したならば、その暗号化データを当初の暗号鍵Kaで復号して元の暗号化対象データRを復元し、その復元した暗号化対象データRを変更後の暗号鍵Kbで再度暗号化し、鍵変更後の暗号化データKb(R)を算出する手順をとるのであるが、本発明では図8(m)のフローチャートに示すような手順で鍵変更後の暗号化データを求める。
このようにすることにより、復号処理を行うことなく鍵変更後の暗号化データを求めることができる。このため、復号した個人情報がサービス事業者サーバ1054内に残存することがなくなり、その結果、個人情報と機微情報とが連結されてしまういった恐れがなくなり、個人情報と連結した機微情報が漏洩することが未然に防止される。
【0025】
鍵変更後の暗号化データKb(R)を求める方法としては、図8〜図13に示す加算暗号方式、減算暗号方式、乗算暗号方式、除算暗号方式、シフト暗号方式、累乗暗号方式が考えられる。
【0026】
図8の加算暗号化方式では、暗号化対象データR(=001001010010)に対し暗号鍵Ka(=100000000001)を2進演算による加算を行い当初暗号化データKa(R)(=101001010011)を算出したのに対し、鍵変更後の暗号化演算では暗号化対象データR(=001001010010)に対し変更後暗号鍵Kb(=110000000011)を2進演算による加算を行い鍵変更後の暗号化データKb(R)(=111001010101)を求める代わりに、変更前暗号鍵Kaと変更後暗号鍵Kbとの差(2進数演算での差)Ka−Kbを求め、この差Ka−Kb(=010000000010)と当初暗号化データKa(R)(=101001010011)を加算演算することによって鍵変更後の暗号化データKb(R)を求めるようにしたものである。
すなわち、ここで示す例は、暗号化データは暗号化対象データに対し暗号鍵を加算することによって求めるものであり、鍵変更後の暗号化データは鍵変更前の暗号化データに対し、2つの暗号鍵の差分に相当する値を加算することによって求めるというものである。
【0027】
この他に、図9〜図13に例示する計算方法でも求めることができる。
【0028】
この図9〜図13に示す計算方法では、図8と同様に(a)〜(i)に各段階の計算結果を示している。内容については、公知の計算方法であるので、詳細な説明は省略する。
【図面の簡単な説明】
【0029】
【図1】本発明に係る情報管理システムの実施の形態を示すシステム構成図である。
【図2】図1におけるシステムの各部の動作をシーケンス図である。
【図3】第1のデータベースに格納される個人情報の例を示す図である。
【図4】第2のデータベースに格納されるユーザIDとサービスIDの組、サービスIDとサービス情報の組の例を示す図である。
【図5】第2のデータベースに格納される準機微情報の例を示す図である。
【図6】検査結果を検索して表示される画面の例を示す図である。
【図7】本発明における暗号鍵変更に対する演算処理を説明する図である。
【図8】暗号鍵変更に係る暗号化データの第1の演算例を示す図である。
【図9】暗号鍵変更に係る暗号化データの第2の演算例を示す図である。
【図10】暗号鍵変更に係る暗号化データの第3の演算例を示す図である。
【図11】暗号鍵変更に係る暗号化データの第4の演算例を示す図である。
【図12】暗号鍵変更に係る暗号化データの第5の演算例を示す図である。
【図13】暗号鍵変更に係る暗号化データの第6の演算例を示す図である。
【符号の説明】
【0030】
101 被験者
102 被験者端末
103 窓口機関
104 サービス事業者サーバ
105 データセンタサーバ
106 検体採取器具
1031 窓口端末
1041 検査装置
1032 第1データベース
1045 第2データベース
1051 情報提供装置
10322 個人情報
【技術分野】
【0001】
本発明は、健康管理や検査などを実施する際に、個人別の検査結果などの機微情報(匿名情報)に対し、氏名、住所などの個人情報である非匿名情報を分離した状態で管理することができる情報管理システムに関するものである。
【背景技術】
【0002】
身長、体重、血圧、血糖値などの健康管理情報や遺伝子の配列やタイプなどの遺伝情報などの生体情報は、自己の状態を知るうえで非常に価値の高い情報となる。しかしながら、これらが個人を識別できるような氏名、住所、電話番号、電子メールアドレスなどの生体情報以外の個人情報と結びついてしまうと、機微情報として取り扱われることとなる。
個人情報の保護に関する法律では、「この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」と規定されている。
【0003】
一方、機微情報については、JIS Q 15001によると、(1)思想、信条及び宗教に関する事項、(2)人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項。(3)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。(4)集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項。(5)保健医療及び性生活といった幾つかの項目が挙げられている。これ以外にも機微情報(センシティブ情報)になり得るものは存在し、遺伝情報や容姿、趣味趣向などについても該当する可能性もあるが、明確な定義が存在しないのが現状である。
【0004】
しかし、機微情報が漏洩することは、当該情報に基づく本人の社会生活上、重大な損害をもたらす恐れがある。さらに、個人情報が遺伝情報のような一生変化することのない情報と共に取得された場合は、個人にとって甚大なリスクを伴う情報を事業者に提供することにつながりかねず、こういった情報を扱うに当たっては特に気を使う必要がある。
【0005】
こういった観点から、「経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン」では、事業に用いる個人遺伝情報と法令に基づく場合を除き、機微情報の取得又は利用を禁じているし、個人情報保護条例を持つ地方自治体の多くが機微情報に関する規定を整備している。また、「個人データの処理に係る個人の保護及びその自由な流通に関する欧州議会及びEU理事会指令(EU指令)」においては、「加盟国は、人種、民族、政治的見解、宗教、思想、心情、労働組合への加盟に関する情報を漏えいする個人データの処理、もしくは健康または性生活に関するデータ処理を禁止するものとする」と規定されている。このように、機微情報の取扱いについては様々な制約が存在するため、これらに対応することは大きな負担となるばかりでなく、機微情報を活用したサービスの提供が困難な場合もある。
本発明に関する文献としては、下記の特許文献1がある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2003−216740
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記のように、機微情報を活用した秘匿性のある安全なサービスを提供するためには、「個人情報」と「個人情報と連結したときに機微情報となる情報(準機微情報)」を分離し、連結しないようにデータを管理することが重要となる。実際の運用に当たっては、個人情報を蓄積する第1のデータベースと準機微情報を蓄積する第2のデータベースを分離することが好ましい。その上で、閲覧者ごとに閲覧できる情報を制御し、個人情報と準機微情報が連結しないようにすることで、個人を特定可能な機微情報の取扱いをすることなく、必要なサービスを提供することができるようにすることが必要である。
【0008】
しかし、実際には、利用者の個人的理由(例えば、忘れっぽいなど)により、個人情報をサービス提供事業者に預かってもらいたいという要望がある。サービス提供事業者ではこのような要望に対し、平文のままの個人情報を預かった場合、サービス提供事業者のシステム内で準機微情報と連結してしまう恐れがあるので、暗号化して記憶させるようにするのが望ましい。
しかし、暗号化したとしても利用者が暗号鍵の変更を申し出た場合、暗号化して記憶させておいた変更前暗号鍵を一旦読み出して復号し、その復号結果を変更後の暗号鍵で再暗号化することになる。従って、再暗号化の過程でシステム内で一旦復号することになり、その復号結果の個人情報を用いて準機微情報と連結されてしまう恐れがある。
【0009】
本発明の目的は、準機微情報に基づいた各種のサービスを提供する際に、個人を特定可能な情報(非匿名情報)と準機微情報(匿名情報)と直接的に結び付けることなく管理することができ、しかも個人情報を暗号化して預かる場合でも準機微情報との連結の可能性をなくすことができる情報管理システムを提供することにある。
【課題を解決するための手段】
【0010】
上記目的を達成するために本発明に係る情報管理システムは、サービスの提供を受ける利用者の非匿名情報を受け付けた後、この受け付けた非匿名情報に対し固有の利用者識別情報を生成し、前記利用者に通知すると共に前記非匿名情報と前記利用者識別情報の組を第1の記憶手段に登録する第1の手段を備えた窓口機関情報装置と、
利用者に提供するサービス種別に応じたサービス識別情報を生成し、そのサービス識別情報と前記利用者識別情報との組を第2の記憶手段に登録する第2の手段と、前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を前記第2の記憶手段に登録する第3の手段とを備えたサービス事業者サーバと、
前記第2の記憶手段に登録された前記匿名情報に対する取得要求に対し、要求された準匿名情報を読み出して要求元に送信する第4の手段を備えたデータセンタサーバとを有する情報管理システムであって、
前記サービス事業者サーバが、前記利用者から受付けた非匿名情報を当該利用者から受付けた暗号鍵情報により暗号化して前記第2の記憶手段に登録する第5の手段を備えることを特徴とする。
また、前記匿名情報が健康診断結果等の機微情報であり、前記非匿名情報が利用者を特定可能な個人情報であることを特徴とする。
また、第5の手段は、前記第2の記憶手段に登録済みの暗号化非匿名情報の暗号鍵情報の利用者からの変更要求に対し、利用者端末から変更前の暗号鍵と変更後の暗号鍵との差分に相当する鍵情報を受付け、この鍵情報によって前記第2の記憶手段に登録されている暗号化非匿名情報を変換して前記第2の記憶手段に登録することを特徴とする。
【発明の効果】
【0011】
本発明によれば、準機微情報に基づいた各種のサービスを提供する際に、個人を特定可能な非匿名情報と準機微情報などの匿名情報と直接に結び付けることなく管理することができる
なお、本発明におけるサービスとは、利用者から検体などの物、あるいは健康診断結果などのデータを受付け、この受け付けた物あるいはデータについて検査、分析、鑑定、評価などを行い、その結果を利用者に対するサービスとして提供するものである。具体的には、遺伝子や身体計測情報を検査するサービスや、機器等を介し身体計測情報等を取得し、蓄積するサービスなどがあり、アクセスする形態としては、一度のみの場合や、登録時ごとに利用される形態が考えられる。
また、サービス識別情報は、システム側でその都度生成する、あるいは予め生成されたものを用いるといった形態が考えられるが、本発明ではいずれであってもよい。
【発明を実施するための最良の形態】
【0012】
以下、本発明を実施するための最良の形態について図面を用いて詳細に説明する。
図1は、本発明に係る情報管理システムの一実施の形態の全体構成を示すシステム構成図である。
本システムは、身体情報計測などのサービスを受ける被験者(サービスの提供を受ける利用者)101が使用するパーソナルコンピュータで構成された被験者端末102、サービス依頼(検査依頼)を受け付ける窓口機関103、検査を実施し、検査結果のデータを被験者の氏名などの個人情報とは隔離して格納するサービス事業者サーバ104と、サービス事業者サーバ104が格納したデータを利用者からの要求に応じて提供するデータセンタサーバ105とから構成されている。
窓口機関103は、窓口端末1031、被験者101の個人情報を登録する第1のデータベース1032とから構成されている。
【0013】
サービス提供機関104は、検体1052を検査する検査装置1041、検査結果とサービスID1051の組を第2のデータベース1045に登録する情報読み書き装置1042、被験者端末102から受付けた個人情報を暗号鍵で暗号化して第2データベース1045に格納する暗号化部1043とから構成されている。
データセンタサーバ105は、被験者端末102から指定されたユーザIDに対応したサービスIDの検査結果(匿名情報)を第2データベース1045から検索し、被験者端末102に返信する情報提供装置1043とから構成されている。
被験者端末102は、各種のデータを入力する入力装置(図示せず)を備えるほか、窓口機関104から受信したデータやデータセンタサーバ105から受信したデータを表示する表示装置1021を備えている。
【0014】
ここで、被験者101が身体情報計測などのサービスを受けようとする場合、被験者101は窓口端末1031の係員に検査依頼を申し出る。すると、係員は被験者101自身に窓口端末1031を操作させ、被験者の住所、氏名などの個人情報を入力させる。
窓口端末103は、個人情報の入力が終わったならば、利用者毎に固有の識別情報(以下、ユーザID)を自動生成し、画面に表示して被験者101に通知すると共に、ユーザIDと個人情報とを対応付けて第1のデータベース1032に登録する。
ユーザ登録が終了したならば、窓口端末1031の係員は身体情報計測のための検体採取器具106を被験者101に渡す。この検体採取器具106には、サービス種別を示す識別情報(以下、サービスID)1061が予め印字されている。
被験者101は、検体採取器具106に検体1062を収納し、サービス事業者サーバ104の検査窓口に提出する。サービス事業者サーバ104の検査窓口では、検体1062を収納した検体採取器具106を検査装置1041に転送し、検査を実施する。
なお、被験者端末102とサービス事業者サーバ104とはインターネットなどの通信網を介して接続されている。
【0015】
以上の構成において、被験者101がサービスの提供依頼(検査依頼)を行ってから検査結果を被験者端末102で閲覧するまでの過程を図2のシーケンス図を参照しつつ説明する。
まず、被験者101は自身の遺伝子などの身体計測情報の検査依頼を窓口機関103に対して行う。
検査依頼を受けた窓口端末1031の係員は、被験者101自身に窓口端末1031を操作させ、被験者の住所、氏名などの個人情報を入力させる(ステップ201)。
窓口端末1031は、個人情報の入力が終わったならば、ユーザIDを自動生成し、画面に表示して被験者101に通知すると共に、ユーザID10321と個人情報10322とを対応付けて第1のデータベース1032に登録する(ステップ202)。
個人情報とは、氏名、住所、電話番号などで構成され、個人を特定可能な情報である。
【0016】
ユーザ登録が終了したならば、窓口端末1031の係員は身体情報計測のための検体採取器具106を被験者101に渡す(ステップ203)。この検体採取器具106には、サービス種別を識別するためのサービスID1051が予め印字されている。
サービス種別とは、健康診断、遺伝子解析、健康相談などのサービス事業者が実施するサービスの種別を表すものである。
被験者は、検体採取器具106に検体1062を収納し、サービス事業者サーバ104の検査窓口に提出する(ステップ204)。
検査窓口では、検体採取器具106を受け付けると共に、サービスIDを受け付ける。
サービス事業者サーバ104の検査係員は、検体1062を収納した検体採取器具106を検査装置1041に転送し、検査を実施する(ステップ205)。
検査装置1041は、検査結果のデータにサービスIDを付加して情報読み書き装置1042に転送する(ステップ206)。
情報読み書き装置1042は、検査結果とサービスIDの組を第2データベース1045に登録する(ステップ207)。
【0017】
次に、被験者端末101における閲覧操作(結果確認操作)によりユーザIDとサービスIDが入力され、これが情報読み書き装置1042に送信されたならば、入力されたサービスIDを、入力されたユーザIDと同じユーザIDのグループに追加登録する(ステップ209)。
この場合、入力されたユーザIDと同じユーザIDのサービスIDグループが存在しない場合には、新規グループを作成する。
【0018】
その後、同じユーザIDの他の検査結果データを登録する際には、その検査結果データのサービスIDが同じユーザIDのサービスIDグループに追加登録される。
図1の第2データベース1045には、1つのユーザIDに対し、3つのサービスIDが登録された例を示している。
情報読み書き装置1041は、サービスIDの登録が終了したならば、そのサービスIDを情報提供装置1051に転送する(ステップ210)。
情報提供装置1043は、受信したサービスIDと同じサービスID10451に対応付けて第2データベース1045に登録されている検査結果のデータ10452を検索し(ステップ211)、被験者端末102に送信する(ステップ212)。
被験者端末102は受信した検査結果データを表示画面に表示する(ステップ213)。
【0019】
以上により、被験者は複数種類の検査結果データを最初に登録した検査結果データに順次追加して登録することができる。
なお、閲覧する場合、ユーザIDのみを指定した場合には、そのユーザIDに対応付けて登録されている全てのサービスIDに対応する検査結果データが検索されて表示される。
サービスIDのみを指定した場合、そのサービスIDのみに対応する検査結果データが検索されて表示される。
以上により、被験者端末102において利用者自身の検査結果のデータを閲覧することができる。
【0020】
図3は、第1DB1032に格納される個人情報の例を示すものであり、各利用者には固有のユーザID401が付与され、そのユーザID別に、氏名402、住所403、電話番号404、その他405などの個人を特定可能な情報が登録されている。
この個人情報は、窓口機関にサービス提供依頼を行った際に、窓口端末から利用者自身または係員が入力したものである。
ユーザIDは、利用者の住所、氏名などの個人情報の入力が終わった段階で窓口端末1031が自動生成し、窓口端末の画面に表示して利用者に通知するものである。
【0021】
図4(a),(b)は、ユーザIDとユーザパスワードの例、サービスIDとサービス情報の例を示すものである。
図4(b)のサービス情報は準機微情報とアドバイス情報で構成されている。
アドバイス情報は検査結果に対して医師や専門家がアドバイスした情報のことである。
このアドバイス情報は利用者が医師や専門家がアドバイスを希望した時に追加される。
【0022】
図5は、第2DB1045に登録される準機微情報の例を示すものである。
この例では、サービスID毎に、年令、遺伝情報、身長などの準機微情報が登録されていることを示している。
この準機微情報は、利用者の検体を検査した結果を利用者に対するサービスとして提供するサービス内容のデータである。
【0023】
図6に、被験者端末102に表示される検査結果の画面例を示す。
ここで示す画面は、ユーザIDとユーザ認証用のパスワードで被験者がログインした後に表示される。この画面には、利用者の遺伝情報などの準機微情報の他に、コンサルティングサービス事業者がアドバイスしたサービス情報が一覧として表示され、各項目を選択することにより、詳細なアドバイス情報を閲覧することができるようになっている。
また、遺伝情報および健康管理情報から最適なおすすめサービスを表示させることも可能となっている。
尚、健康管理情報中に表示される評価結果は、初期値は遺伝情報とそのときの健康管理データによって設定されるが、改善度合いにより評価を変化させることで、健康管理意欲の啓発を図ることが可能である。
【0024】
図7は、サービス事業者サーバ104の暗号化部1043の暗号化処理の概要を説明する説明図であり、暗号化部1043は、暗号化対象データRを変更前の暗号鍵Kaで暗号化し、暗号化データKa(R)を算出する。暗号鍵Kaを変更する場合には、変更前の暗号鍵Kaと変更後の暗号鍵Kbとの差Ka−Kbを求め、この差の情報によって鍵変更前の暗号化データKa(R)をデータ変換することによって鍵変更後の暗号化データKb(R)を算出する。すなわち、通常ならば、図8(K)のフローチャートに示すように、平文データである暗号化対象データRを当初の暗号鍵Kaで暗号化したならば、その暗号化データを当初の暗号鍵Kaで復号して元の暗号化対象データRを復元し、その復元した暗号化対象データRを変更後の暗号鍵Kbで再度暗号化し、鍵変更後の暗号化データKb(R)を算出する手順をとるのであるが、本発明では図8(m)のフローチャートに示すような手順で鍵変更後の暗号化データを求める。
このようにすることにより、復号処理を行うことなく鍵変更後の暗号化データを求めることができる。このため、復号した個人情報がサービス事業者サーバ1054内に残存することがなくなり、その結果、個人情報と機微情報とが連結されてしまういった恐れがなくなり、個人情報と連結した機微情報が漏洩することが未然に防止される。
【0025】
鍵変更後の暗号化データKb(R)を求める方法としては、図8〜図13に示す加算暗号方式、減算暗号方式、乗算暗号方式、除算暗号方式、シフト暗号方式、累乗暗号方式が考えられる。
【0026】
図8の加算暗号化方式では、暗号化対象データR(=001001010010)に対し暗号鍵Ka(=100000000001)を2進演算による加算を行い当初暗号化データKa(R)(=101001010011)を算出したのに対し、鍵変更後の暗号化演算では暗号化対象データR(=001001010010)に対し変更後暗号鍵Kb(=110000000011)を2進演算による加算を行い鍵変更後の暗号化データKb(R)(=111001010101)を求める代わりに、変更前暗号鍵Kaと変更後暗号鍵Kbとの差(2進数演算での差)Ka−Kbを求め、この差Ka−Kb(=010000000010)と当初暗号化データKa(R)(=101001010011)を加算演算することによって鍵変更後の暗号化データKb(R)を求めるようにしたものである。
すなわち、ここで示す例は、暗号化データは暗号化対象データに対し暗号鍵を加算することによって求めるものであり、鍵変更後の暗号化データは鍵変更前の暗号化データに対し、2つの暗号鍵の差分に相当する値を加算することによって求めるというものである。
【0027】
この他に、図9〜図13に例示する計算方法でも求めることができる。
【0028】
この図9〜図13に示す計算方法では、図8と同様に(a)〜(i)に各段階の計算結果を示している。内容については、公知の計算方法であるので、詳細な説明は省略する。
【図面の簡単な説明】
【0029】
【図1】本発明に係る情報管理システムの実施の形態を示すシステム構成図である。
【図2】図1におけるシステムの各部の動作をシーケンス図である。
【図3】第1のデータベースに格納される個人情報の例を示す図である。
【図4】第2のデータベースに格納されるユーザIDとサービスIDの組、サービスIDとサービス情報の組の例を示す図である。
【図5】第2のデータベースに格納される準機微情報の例を示す図である。
【図6】検査結果を検索して表示される画面の例を示す図である。
【図7】本発明における暗号鍵変更に対する演算処理を説明する図である。
【図8】暗号鍵変更に係る暗号化データの第1の演算例を示す図である。
【図9】暗号鍵変更に係る暗号化データの第2の演算例を示す図である。
【図10】暗号鍵変更に係る暗号化データの第3の演算例を示す図である。
【図11】暗号鍵変更に係る暗号化データの第4の演算例を示す図である。
【図12】暗号鍵変更に係る暗号化データの第5の演算例を示す図である。
【図13】暗号鍵変更に係る暗号化データの第6の演算例を示す図である。
【符号の説明】
【0030】
101 被験者
102 被験者端末
103 窓口機関
104 サービス事業者サーバ
105 データセンタサーバ
106 検体採取器具
1031 窓口端末
1041 検査装置
1032 第1データベース
1045 第2データベース
1051 情報提供装置
10322 個人情報
【特許請求の範囲】
【請求項1】
サービスの提供を受ける利用者の非匿名情報を受け付けた後、この受け付けた非匿名情報に対し固有の利用者識別情報を生成し、前記利用者に通知すると共に前記非匿名情報と前記利用者識別情報の組を第1の記憶手段に登録する第1の手段を備えた窓口機関情報装置と、
利用者に提供するサービス種別に応じたサービス識別情報を生成し、そのサービス識別情報と前記利用者識別情報との組を第2の記憶手段に登録する第2の手段と、前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を前記第2の記憶手段に登録する第3の手段とを備えたサービス事業者サーバと、
前記第2の記憶手段に登録された前記匿名情報に対する取得要求に対し、要求された準匿名情報を読み出して要求元に送信する第4の手段を備えたデータセンタサーバとを有する情報管理システムであって、
前記サービス事業者サーバが、前記利用者から受付けた非匿名情報を当該利用者から受付けた暗号鍵情報により暗号化して前記第2の記憶手段に登録する第5の手段を備えることを特徴とする情報管理システム。
【請求項2】
前記匿名情報が健康診断結果等の機微情報であり、前記非匿名情報が利用者を特定可能な個人情報であることを特徴とする請求項1に記載の情報管理システム。
【請求項3】
第5の手段は、前記第2の記憶手段に登録済みの暗号化非匿名情報の暗号鍵情報の利用者からの変更要求に対し、利用者端末から変更前の暗号鍵と変更後の暗号鍵との差分に相当する鍵情報を受付け、この鍵情報によって前記第2の記憶手段に登録されている暗号化非匿名情報を変換して前記第2の記憶手段に登録することを特徴とする請求項1または2に記載の情報管理システム。
【請求項1】
サービスの提供を受ける利用者の非匿名情報を受け付けた後、この受け付けた非匿名情報に対し固有の利用者識別情報を生成し、前記利用者に通知すると共に前記非匿名情報と前記利用者識別情報の組を第1の記憶手段に登録する第1の手段を備えた窓口機関情報装置と、
利用者に提供するサービス種別に応じたサービス識別情報を生成し、そのサービス識別情報と前記利用者識別情報との組を第2の記憶手段に登録する第2の手段と、前記サービス識別情報と当該サービス識別情報に対応した匿名情報の組を前記第2の記憶手段に登録する第3の手段とを備えたサービス事業者サーバと、
前記第2の記憶手段に登録された前記匿名情報に対する取得要求に対し、要求された準匿名情報を読み出して要求元に送信する第4の手段を備えたデータセンタサーバとを有する情報管理システムであって、
前記サービス事業者サーバが、前記利用者から受付けた非匿名情報を当該利用者から受付けた暗号鍵情報により暗号化して前記第2の記憶手段に登録する第5の手段を備えることを特徴とする情報管理システム。
【請求項2】
前記匿名情報が健康診断結果等の機微情報であり、前記非匿名情報が利用者を特定可能な個人情報であることを特徴とする請求項1に記載の情報管理システム。
【請求項3】
第5の手段は、前記第2の記憶手段に登録済みの暗号化非匿名情報の暗号鍵情報の利用者からの変更要求に対し、利用者端末から変更前の暗号鍵と変更後の暗号鍵との差分に相当する鍵情報を受付け、この鍵情報によって前記第2の記憶手段に登録されている暗号化非匿名情報を変換して前記第2の記憶手段に登録することを特徴とする請求項1または2に記載の情報管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2013−109577(P2013−109577A)
【公開日】平成25年6月6日(2013.6.6)
【国際特許分類】
【出願番号】特願2011−254062(P2011−254062)
【出願日】平成23年11月21日(2011.11.21)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
【公開日】平成25年6月6日(2013.6.6)
【国際特許分類】
【出願日】平成23年11月21日(2011.11.21)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
[ Back to top ]