JP2015201049A - アクセス権限処理システム、アクセス権限処理方法、及びプログラム - Google Patents

アクセス権限処理システム、アクセス権限処理方法、及びプログラム Download PDF

Info

Publication number
JP2015201049A
JP2015201049A JP2014079674A JP2014079674A JP2015201049A JP 2015201049 A JP2015201049 A JP 2015201049A JP 2014079674 A JP2014079674 A JP 2014079674A JP 2014079674 A JP2014079674 A JP 2014079674A JP 2015201049 A JP2015201049 A JP 2015201049A
Authority
JP
Japan
Prior art keywords
information
access
anonymized
analysis
anonymized information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014079674A
Other languages
English (en)
Other versions
JP6040194B2 (ja
Inventor
将浩 白石
Masahiro Shiraishi
将浩 白石
良浩 伊藤
Yoshihiro Ito
良浩 伊藤
真弓 林
Mayumi Hayashi
真弓 林
池田 美穂
Yoshio Ikeda
美穂 池田
前田 裕二
Yuji Maeda
裕二 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014079674A priority Critical patent/JP6040194B2/ja
Publication of JP2015201049A publication Critical patent/JP2015201049A/ja
Application granted granted Critical
Publication of JP6040194B2 publication Critical patent/JP6040194B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】1つの母集団から生成された複数種類の匿名化情報の分析結果から匿名化された個人情報が絞り込まれたり、推測されたり、或いは特定されたりするのを防止することが可能なアクセス権限処理システムを提供することにある。
【解決手段】アクセス権限処理システムは、匿名化処理により得られる匿名化情報の分析要求を受付ける受付手段と、前記分析要求に基づきログを抽出する抽出手段と、前記分析要求に基づき制御ルールを参照する参照手段と、前記ログ及び前記制御ルールに基づき前記匿名化情報へのアクセスの可否を判定する判定手段と、前記匿名化情報へのアクセス許可の判定に基づき前記匿名化情報の分析結果を提供する情報提供手段と、を備える。
【選択図】図1

Description

この発明は、医療情報などの機密情報を処理するアクセス権限処理システム、アクセス権限処理方法、及びプログラムに関する。
医療情報を流通させ、統計分析などに2次利用することが考えられている。例えば、流通しているデータを集め、統計処理をすることによって、地域ごとの疾病状況、及びある年のインフルエンザの流行状況を検出し、将来の製薬や公衆衛生管理の参考とするといったユースケースである。
医療情報は、「医療情報を受託管理する情報処理事業者向けガイドライン(http://www.meti.go.jp/policy/it_policy/privacy/iryouglv2.pdf)」などの各種ガイドラインや個人情報保護法に従った形式で保管・流通される必要がある。統計分析などの2次利用として収集したデータであっても個人が特定される形式でデータを保管することは、個人情報保護の観点から適切ではない。収集したデータについても、第三者に個人を特定されないように分析に利用してもらうことと保管することが重要である。
収集したデータを用いて、第三者に個人を特定されない形式で分析利用させる技術として、匿名化技術が知られている。匿名化技術は様々あるが、基本的には個人が特定されるような情報(氏名、性別)をマスクする、あるいはぼかした値にする処理を行う。マスクする場合、個人名を全く異なる値に書き替える、住所などの情報を県単位に書き替える。ぼかした値にする場合、年齢が23才であっても、23才の人が一人であれば、全体的に20才代と表現する様に値を書き替える。
特開2006−324076 特許4843325
上記匿名化技術によって、個人情報が保護された情報(母集団)からの分析処理(例えば統計処理)が可能となる。しかしながら、1つの母集団の情報に対する複数種類の匿名化処理により得られる複数種類の匿名化情報(から生成される複数種類の分析結果)を無制限に提供すると、一人の人物が複数種類の匿名化情報(又は複数種類の分析結果)を入手し、これら複数種類の匿名化情報(又は複数種類の分析結果)を組み合わせて分析することにより、匿名化された個人情報が絞り込まれたり、推測されたり、或いは特定されたりする可能性がある。そのため、このような分析から匿名化された個人情報が絞り込まれたり、推測されたり、或いは特定されたりするのを防止する仕組みが要望されている。
この発明は上記事情に着目してなされたもので、1つの母集団から生成された複数種類の匿名化情報の分析結果から匿名化された個人情報が絞り込まれたり、推測されたり、或いは特定されたりするのを防止することが可能な情報処理システム、アクセス権限処理方法、及びプログラムを提供することにある。
上記目的を達成するためにこの発明のアクセス権限処理システム、アクセス権限処理方法、及びプログラムは、以下のように構成されている。
(1)アクセス権限処理システムは、匿名化処理により得られる匿名化情報への分析要求を受付ける受付手段と、前記分析要求に基づきログを抽出する抽出手段と、前記分析要求に基づき制御ルールを参照する参照手段と、前記ログ及び前記制御ルールに基づき前記匿名化情報へのアクセスの可否を判定する判定手段と、前記匿名化情報へのアクセス許可の判定に基づき前記匿名化情報の分析結果を提供する情報提供手段と、を備える。
(2)さらに、上記(1)のアクセス権限処理システムの前記抽出手段は、前記分析要求に基づき、前記匿名化情報の母集団に関する操作ログを抽出し、前記参照手段は、前記分析要求に基づき、前記母集団に関するアクセス制御ルールを参照し、前記判定手段は、前記操作ログ及び前記アクセス制御ルールに基づき前記匿名化情報へのアクセスの可否を判定する。
(3)さらに、上記(2)のアクセス権限処理システムの前記操作ログは、前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理を実施したかを示す情報を含み、前記アクセス制限ルールは、前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理までであれば前記匿名化情報へのアクセスを許容するかを示す情報を含む。
(4)さらに、上記(1)乃至(3)の何れか1つのアクセス権限処理システムの前記情報提供手段は、前記匿名化情報へのアクセス許可の判定に基づき分析処理部へ前記匿名化情報の分析を要求し、前記匿名化情報の前記分析結果を受け取り、前記分析結果を提供する。
(5)アクセス権限処理方法は、匿名化処理により得られる匿名化情報の分析要求を受付け、前記分析要求に基づきログを抽出し、前記分析要求に基づき制御ルールを参照し、前記ログ及び前記制御ルールに基づき前記匿名化情報へのアクセスの可否を判定し、前記匿名化情報へのアクセス許可の判定に基づき前記匿名化情報の分析結果を提供する。
(6)プログラムは、上記(1)乃至(4)の何れか1つのアクセス権限処理システムが備える各手段の処理をコンピュータに実行させる。
すなわちこの発明によれば、1つの母集団から生成された複数種類の匿名化情報の分析結果から匿名化された個人情報が絞り込まれたり、推測されたり、或いは特定されたりするのを防止することが可能なアクセス権限処理システム、アクセス権限処理方法、及びプログラムを提供することができる。
上記(1)のアクセス権限処理システム、上記(5)のアクセス権限処理方法、及び上記(6)のプログラムによれば、ログ及び制御ルールに基づき、分析要求される第1の匿名化情報へのアクセスの可否を判定し、アクセスが許可された場合に、第1の匿名化情報の分析結果を提供するので、1つの母集団の情報に対して実行される複数種類の匿名化処理により匿名化された複数種類の匿名化情報から生成される複数種類の分析結果を得ることに制限を持たせることができる。これにより、制限された分析結果しか提供されないので、許可される数を超えて分析結果を集めて第1の匿名化情報を復元しようとする行為を防止することができる。
上記(2)のアクセス権限処理システムによれば、前記匿名化情報の母集団に関する操作ログ及び前記母集団に関するアクセス制御ルールに基づき前記匿名化情報へのアクセスを制限することができる。
上記(3)のアクセス権限処理システムによれば、前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理を実施したかを示す情報及び前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理までであれば前記匿名化情報へのアクセスを許容するかを示す情報に基づき前記匿名化情報へのアクセスを制限することができる。
上記(4)のアクセス権限処理システムによれば、アクセスが許可された場合に前記匿名化情報の分析結果を受け取るので、アクセスが許可されない場合には分析結果を提供しないことにより、前記匿名化情報の元となる医療情報等の機密情報を安全に管理することができる。
実施形態に係るアクセス権限処理システムの概略構成を示す図である。 統計処理操作ログの一例を示す図である。 統計処理操作ログアクセス制御ルールの一例を示す図である。 実施形態に係るアクセス権限処理システムによる処理シーケンスの一例を示す図である。 実施形態に係るアクセス権限処理システムによるログ検索条件取得及び過去ログ検索の一例を示すフローチャートである。 実施形態に係るアクセス権限処理システムによるアクセス判定(ST14)の一例を示す図である。
以下、図面を参照してこの発明に係わる実施形態を説明する。
図1は、実施形態に係るアクセス権限処理システムの概略構成を示す図である。図1に示すように、アクセス権限処理システムは、分析受付GW(Gateway)1、データ出力部2、基本分析部3、統計処理操作ログ記憶部4、アクセス制御部5、アクセス制御ルール記憶部6、年齢構成に関する匿名化処理済み情報DB(Data Base)7、地域構成に関する匿名化処理済み情報DB8、体型構成に関する匿名化処理済み情報DB9、統計処理用(医療)情報DB10、匿名化処理部11を備える。
ここで、アクセス権限処理システムを構成する各部の詳細について簡単に説明する。なお、各部の詳細については後に説明する。分析受付GW1は、インターネット12を介して、分析者のパーソナルコンピュータ等からのアクセス(医療情報の分析要求等)を受付けることができる。データ出力部2は、分析者のパーソナルコンピュータ等からのアクセス(医療情報の分析要求等)に対応して、分析結果(匿名化された医療情報の統計処理結果等)を提供することができる。基本分析部3は、分析者のパーソナルコンピュータ等からのアクセス(医療情報の分析要求等)に対応して、年齢構成に関する匿名化処理済み情報、地域構成に関する匿名化処理済み情報、又は体型構成に関する匿名化処理済み情報を分析する。なお、本実施形態では、複数の匿名化処理として、年齢構成に関する匿名化処理、地域構成に関する匿名化処理、及び体型構成に関する匿名化処理について説明するが、これらに限定されるものではなく、さらに他の匿名化処理と組み合わせることもできる。
統計処理操作ログ記憶部4は、図2に示す統計処理操作ログ(分析処理操作ログ)を記憶し、統計処理操作に応じて統計処理操作ログを更新する。アクセス制御ルール記憶部6は、図3に示す統計処理操作ログアクセス制御ルール(以下、アクセス制御ルール)を記憶する。アクセス制御部5は、分析者のパーソナルコンピュータ等からのアクセス(医療情報の分析要求等)に対応して、図2に示す統計処理操作ログ及び図3に示すアクセス制御ルールに基づき、アクセスの可否を判定し、アクセス可能判定に基づき齢構成に関する匿名化処理済み情報、地域構成に関する匿名化処理済み情報、又は体型構成に関する匿名化処理済み情報へのアクセスを許可し、アクセス不能判定に基づきこれら情報へのアクセスを許可しない。なお、アクセス制御ルールはアクセス制御ルール記憶部6に記憶され、このアクセス制御ルールにおいて定義を設定する方法は、SQL(Structured Query Language)等でアクセス制御ルール記憶部6に記憶されたアクセス制御ルールを直接編集してもよいし、GUI(Graphical User Interface)等を分析受付GW1に用意し、GUI等からアクセス制御ルール記憶部6に記憶されたアクセス制御ルールを編集するようにしてもよい。
統計処理用情報DB10は、医療情報(母集団の情報)を記憶する。匿名化処理部11は、匿名化処理(任意の匿名化処理)により、統計処理用情報DB10に記憶された医療情報から匿名化処理済みの医療情報を生成する。例えば、匿名化処理部11は、医療情報(母集団の情報)に対する年齢構成に関する匿名化処理により、医療情報から年齢構成に関する匿名化処理済みの医療情報を生成する。また、匿名化処理部11は、医療情報(母集団の情報)に対する地域構成に関する匿名化処理により、医療情報から地域構成に関する匿名化処理済みの医療情報を生成する。匿名化処理部11は、医療情報(母集団の情報)に対する体型構成に関する匿名化処理により、医療情報から体型構成に関する匿名化処理済みの医療情報を生成する。年齢構成に関する匿名化処理済み情報DB7は、年齢構成に関する匿名化処理済みの医療情報を記憶する。地域構成に関する匿名化処理済み情報DB8は、地域構成に関する匿名化処理済みの医療情報を記憶する。体型構成に関する匿名化処理済み情報DB9は、体型構成に関する匿名化処理済みの医療情報を記憶する。なお、匿名社処理済みの医療情報は、分析処理終了後に削除される。
なお、本実施形態では、医療情報を処理するアクセス権限処理システムについて説明するが、処理する情報は医療情報に限定されるものではなく、機密性が高く且つ一部の情報を隠す必要のある情報について適用可能である。
図4は、図1に示すアクセス権限処理システムによる処理シーケンスの一例を示す図である。図4に示すように、分析者は、例えばパーソナルコンピュータにより、ネットワーク12を介して分析受付GW1へアクセスし、公開分析処理一覧を要求する(ST1)。分析受付GW1は、分析処理要求に応じた匿名化処理済み情報DB(年齢構成に関する匿名化処理済み情報DB7、地域構成に関する匿名化処理済み情報DB8、又は体型構成に関する匿名化処理済み情報DB9)を検索し(ST2)、匿名化処理済み情報DBからの検索結果の返却を受信する(ST3)。さらに、分析受付GW1は、基本分析部3に対して、基本分析機能の有無を検索し(ST4)、検索結果の返却を受信する(ST5)
分析者が、例えばパーソナルコンピュータにより、ネットワーク12を介して分析受付GW1へアクセスし、分析処理(匿名化情報の分析処理)を要求すると(ST6)、分析受付GW1は、分析処理要求に基づき、ログ出力(いつ、どこからのアクセスでどの組織の、誰がどの母集団に対して、どういう匿名化した情報をどうしたいか)を要求し、アクセス制御判定を要求する(ST8)。例えば、アクセス制御判定要求は、アクセス元(グローバルIPアドレス(124.5.x.13)及びドメイン名の少なくとも一方)、組織名(Xx研究所)、担当者(氏名a)、母集団(A年度全国医療情報)、匿名化等の情報処理(地域構成別医療費統計)、出力形態(グラフ出力)等の情報を含む。なお、利用者は、あらかじめ分析受付GWの利用に関する申請(アクセス権限処理システムへのアカウント登録)を済ませていることが前提となる。また、母集団の情報に対してラベル(A年度全国医療情報)が付けられている場合に、このラベルを使ったログ管理及びアクセス制御判定が可能となる。
アクセス制御部5は、アクセス制御判定要求に基づき、アクセス制御ルール記憶部6に記憶されているアクセス制御ルールを検索し(ST9)、検索結果の返却を受信する(ST10)。アクセス制御部5は、ログ検索条件を取得し(ST11)、統計処理操作ログ記憶部4に対して該当するログ(統計処理操作ログ等)を検索し(ST12)、検索結果の返却を受信する(ST13)。アクセス制御部5は、アクセス制御ルール及び統計処理操作ログに基づき、アクセス可否を判定し(ST14)、判定結果を送信する。
例えば、分析処理要求が母集団(A年度全国医療情報)の分析処理要求を含む場合、アクセス制御判定要求が母集団(A年度全国医療情報)のアクセス制御判定要求を含み、母集団(A年度全国医療情報)に関する操作ログが取得され、母集団(A年度全国医療情報)に関するアクセス制御ルールが取得される。これにより、アクセス制御部5は、母集団(A年度全国医療情報)に関する操作ログ及び母集団(A年度全国医療情報)に関するアクセス制御ルールに基づき、アクセス可否を判定する。
例えば、母集団(A年度全国医療情報)に関する操作ログが、母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理を実施したかを示す情報を含む。また、母集団(A年度全国医療情報)に関するアクセス制御ルールが、母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理までであれば匿名化情報へのアクセスを許容するかを示す情報を含む。
例えば、操作ログが、4種類の統計処理を実施したことを示す情報を含み、アクセス制御ルールが、5種類の統計処理までであれば前記匿名化情報へのアクセスを許容することを示す情報を含む場合、アクセス制御部5は、母集団(A年度全国医療情報)から生成された匿名化情報へのアクセスを許可する。操作ログが、5種類の統計処理を実施したことを示す情報を含み、アクセス制御ルールが、5種類の統計処理までであれば前記匿名化情報へのアクセスを許容することを示す情報を含む場合、アクセス制御部5は、次の統計処理が6種類目の統計処理でなければ、母集団(A年度全国医療情報)から生成された匿名化情報へのアクセスを許可し、次の統計処理が6種類目の統計処理であれば、母集団(A年度全国医療情報)から生成された匿名化情報へのアクセスを許可しない。さらに、アクセス制御ルールが、「過去いつまでの間に」という条件文を含むこともできる。例えば、アクセス制御ルールが、「過去1年の間に」という条件文を含む場合、アクセス制御部5は、次の統計処理が過去1年の間で6種類目の統計処理でなければ、母集団(A年度全国医療情報)から生成された匿名化情報へのアクセスを許可し、次の統計処理が過去1年の間で6種類目の統計処理であれば、母集団(A年度全国医療情報)から生成された匿名化情報へのアクセスを許可しない。
分析受付GW1は、アクセス制御部5からの判定結果を受け取り、年齢構成に関する匿名化処理済み情報DB7、地域構成に関する匿名化処理済み情報DB8、又は体型構成に関する匿名化処理済み情報DB9に対して、分析処理要求に応じたデータ抽出を要求し(ST16)、抽出結果の返却を受信し(ST17)、基本分析部3に対して抽出データの基本分析を要求する(ST18)。基本分析部3が抽出データを分析し、分析結果を返却し、分析受付GW1が分析結果を受信する(ST19)。分析受付GW1は、データ出力部2を介して、分析結果を閲覧可能として提供し、分析者のパーソナルコンピュータ等からのアクセス(閲覧)を受付けることができる(ST20)。
例えば、分析受付GW1は、匿名化処理により母集団から生成された匿名化情報を受け取り、基本分析部3がこの匿名化情報を分析し、分析受付GW1は、データ出力部2を介して、分析結果を閲覧可能として提供する。
上記のように、アクセス制御部5が、アクセス制御ルール及び統計処理操作ログに基づき、アクセスを許可した場合に限り、匿名化情報に基づく分析結果が提供されるので、複数種類の匿名化処理により一つの母集団から生成される複数種類の匿名化情報に基づく複数種類の分析結果を無制限に提供しない。これにより、複数種類の匿名化情報に基づく複数種類の分析結果から母集団の情報を復元するような不正を防止することができる。なお、アクセス制御のデフォルト判定を全分析拒否とし、安全性を確保するようにしてもよい。システム管理者は、利用者からの分析受付GWの利用に関する申請(アクセス権限処理システムへのアカウント登録)に基づき、アクセス制御ルールに対して申請された利用者の利用を許可するための定義情報を設定する。これにより、利用者によるシステムの利用が可能となる。
図5は、図1に示すアクセス権限処理システムによるログ検索条件取得(ST11)及び過去ログ検索(ST12)の一例を示すフローチャートである。アクセス制御部5は、アクセス制御判定要求に基づき(ST101)、分析処理要求内容を取得し(ST102)、検索範囲定義情報を取得する(ST103)。分析処理要求内容は、統計処理操作ログ構成要素を含む。検索範囲定義情報とは、アクセス制御ルールとは別で管理されている検索範囲を定義するファイル或いはテーブルである。定義されている内容は、[母集団、検索範囲]であり、例えば、[母集団:A年度全国医療情報、検索範囲:1年]、[母集団:B年度〇×健保組合医療情報、検索範囲:6ヶ月]である。
アクセス制御部5は、定義ファイルを取得し(ST104、YES)、定義ファイルに基づき検索範囲をセットし(ST105)、アクセスログから状況等を検索する(ST106)。
例えば、分析処理要求内容が、A年度全国医療情報の分析処理要求であり、定義ファイルが[母集団:A年度全国医療情報、検索範囲:1年]を含む場合、ログ検索は、分析処理要求内容の要求元の情報から判明するアクセス元からの過去1年のA年度全国医療情報に対するアクセス状況及び処理状況が検索される。
また、分析処理要求内容が、C年度〇〇県医療情報の分析処理要求であり、定義ファイルが未定義の場合、検索範囲はセットされず、ログ検索は、分析処理要求内容の要求元の情報から判明するアクセス元からの過去すべてのC年度〇〇県医療情報に対するアクセス状況及び処理状況が検索される。
図6は、図1に示すアクセス権限処理システムによるアクセス判定(ST14)の一例を示すフローチャートである。
アクセス制御部5は、ルール検索結果とログ検索結果を呼び出し、ルール検索結果とログ検索結果に基づき、当該母集団に関する匿名化処理の種類数はルールに許可されている範囲の種類数以内であれば次の判定へ移行し(ST202、YES)、種類数を越えるならばアクセス権限無しと判定する(ST207)。
さらに、アクセス制御部5は、ルール検索結果とログ検索結果に基づき、当該母集団に関する結果はルールに許可として記載された要求形式であれば次の判定へ移行し(ST203、YES)、要求形式でなければアクセス権限無しと判定する(ST207)。
さらに、アクセス制御部5は、ルール検索結果とログ検索結果に基づき、アクセス元はルールに許可として記載された利用者属性であれば次の判定へ移行し(ST204、YES)、利用者属性でなければアクセス権限無しと判定する(ST207)。
さらに、アクセス制御部5は、ルール検索結果とログ検索結果に基づき、アクセス元はルールに許可として記載された利用者個人であればアクセス権限有りと判定し(ST205)、利用者属性でなければアクセス権限無しと判定する(ST207)。
以下、アクセス権限処理システムのアクセス制御を適用しないケースを説明し、これに対比してアクセス権限処理システムのアクセス制御の作用効果について説明する。上記のアクセス制御を実行しない場合、個人情報を保護するため一つの母集団の情報へのアクセスが制限されていたとしても、複数種類の匿名化処理により一つの母集団の情報から複数種類の匿名化情報を生成し、これら複数種類の匿名化情報から生成される複数種類の統計情報を分析することにより(例えば複数種類の統計情報を様々な形式で結びつけることにより)、匿名化された情報(個人情報)が推測又は復元されることがある。
例えば、年齢構成に関する匿名化処理済み情報を統計処理した結果、地域構成に関する匿名化処理済み情報を統計処理した結果、及び体型構成に関する匿名化処理済み情報を統計処理した結果を組み合わせて解析すると、匿名化処理されたはずの個人情報等を絞り込んだり、推測したり、或いは特定したりすることができる場合がある。
本実施形態の医療情報システムは、上記したアクセス制御を実行するので、匿名化された情報を復元しようとして複数種類の匿名化情報から生成される複数種類の統計情報を入手しようとした場合に、制限がかかるので(例えば図3に示すようにA年度全国医療情報の統計処理は5種類まで、B年度〇×健保組合医療情報の統計処理は4種類まで)、制限された種類数を越えた統計処理の処理結果を入手させない。これにより、上記したように、匿名化された情報(個人情報)が絞り込まれたり、推測されたり、或いは特定されたりするのを防止できる。
さらに上記説明した実施形態に対して、ダミー処理及び匿名化処理済みデータを一時的に提供する処理を組み合わせて実施することもできる。
オリジナルの医療情報を平文で保管することは、安全性の面から適切ではない。しかしながら、予め匿名化処理により匿名化された医療情報を保管すると、オリジナルの医療情報に含まれていた一部の情報が欠落するため、統計処理に支障が出たり、統計処理の用途が限定されたりすることが考えられる。
例えば、オリジナルの医療情報を保管せず、年齢構成に関する匿名化処理済みの医療情報、地域構成に関する匿名化処理済みの医療情報、及び体型構成に関する匿名化処理済みの医療情報を保管するケースを想定する。この場合、安全性については向上するものの、例えば、年齢構成に関する匿名化処理済みの医療情報に着目すると、年齢構成については外れ値が除去されるため、年齢構成を使った統計の精度が低下することが考えられ、統計処理の用途が限定されてしまう。地域構成に関する匿名化処理済みの医療情報、及び体型構成に関する匿名化処理済みの医療情報についても同様である。従って、オリジナルの医療情報を安全に保管する技術が要望される。
そこで、オリジナルの医療情報をそのまま保管する方法に替えて、ダミー処理によりダミーデータを混在させた医療情報を保管することにより、一定水準での医療情報の安全性を確保することができる。ここで、ダミー処理について説明する。アクセス権限処理システムは、ダミーデータ管理テーブルを保持し、ダミーデータ管理テーブルに基づき医療情報(種類など)に応じたダミー処理を選択し、選択したダミー処理に基づきオリジナルの医療情報からダミーデータを含む医療情報を生成し、ダミーデータを含む医療情報を保管する。これにより、例えば、悪意のある人物により、保管されている医療情報が抜き取られたとしても、抜き取られた医療情報にはダミー処理によりダミーデータが混在されているので、抜き取られた医療情報から正しい情報をつかむことは容易ではない。ダミーデータ管理テーブルは、医療情報の提供元及び医療情報の種類等に応じたダミー処理を指定する情報を含む。
統計処理(オリジナルの医療情報)が要求された場合、アクセス権限処理システムは、ダミーデータ管理テーブルに基づきダミーデータを含む医療情報からオリジナルの医療情報を生成し、オリジナルの医療情報を匿名化し、匿名化された医療情報を統計処理し、統計結果(分析結果)を提供(出力)する。また、匿名化された医療情報の提供は一時的なものとし、統計処理後に匿名化された医療情報を削除する。以上により、医療情報から個人情報等が流出するのを防止することができる。
なお、上記アクセス制御、統計処理(分析処理)、ダミー処理、匿名化処理等の処理の全ての手順はソフトウェアによって実行することが可能である。このため、上記処理の手順を実行するプログラムを格納したコンピュータ読み取り可能な記憶媒体を通じてこのプログラムを通常のコンピュータにインストールして実行するだけで、上記処理を容易に実現することができる。
例えば、アクセス権限処理システム(分析受付GW1)は、上記プログラムをダウンロードし、ダウンロードしたプログラムを記憶し、プログラムのインストールを完了することができる。これにより、上記コンピュータに相当するアクセス権限処理システム(基本分析部3、アクセス制御部5等)は、インストールされた上記プログラムに基づき、上記処理を容易に実現することができる。
また、アクセス権限処理システムは、コンピュータ読み取り可能な記憶媒体から上記プログラムを読み取り、読み取ったプログラムを記憶し、プログラムのインストールを完了することができる。これにより、アクセス権限処理システムは、インストールされた上記プログラムに基づき、上記処理を容易に実現することができる。
その他にも、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
1…分析受付GW、2…データ出力部、3…基本分析部、4…統計処理操作ログ記憶部、5…アクセス制御部、6…アクセス制御ルール記憶部、7…年齢構成に関する匿名化処理済み情報DB、8…地域構成に関する匿名化処理済み情報DB、9…体型構成に関する匿名化処理済み情報DB、10…統計処理用情報DB、11…匿名化処理部。

Claims (6)

  1. 匿名化処理により得られる匿名化情報の分析要求を受付ける受付手段と、
    前記分析要求に基づきログを抽出する抽出手段と、
    前記分析要求に基づき制御ルールを参照する参照手段と、
    前記ログ及び前記制御ルールに基づき前記匿名化情報へのアクセスの可否を判定する判定手段と、
    前記匿名化情報へのアクセス許可の判定に基づき前記匿名化情報の分析結果を提供する情報提供手段と、
    を備えるアクセス権限処理システム。
  2. 前記抽出手段は、前記分析要求に基づき、前記匿名化情報の母集団に関する操作ログを抽出し、
    前記参照手段は、前記分析要求に基づき、前記母集団に関するアクセス制御ルールを参照し、
    前記判定手段は、前記操作ログ及び前記アクセス制御ルールに基づき前記匿名化情報へのアクセスの可否を判定する請求項1のアクセス権限処理システム。
  3. 前記操作ログは、前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理を実施したかを示す情報を含み、
    前記アクセス制限ルールは、前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理までであれば前記匿名化情報へのアクセスを許容するかを示す情報を含む請求項2のアクセス権限処理システム。
  4. 前記情報提供手段は、前記匿名化情報へのアクセス許可の判定に基づき分析処理部へ前記匿名化情報の分析を要求し、前記匿名化情報の前記分析結果を受け取り、前記分析結果を提供する請求項1乃至3の何れか1つのアクセス権限処理システム。
  5. 匿名化処理により得られる匿名化情報の分析要求を受付け、
    前記分析要求に基づきログを抽出し、
    前記分析要求に基づき制御ルールを選択し、
    前記ログ及び前記制御ルールに基づき前記匿名化情報へのアクセスの可否を判定し、
    前記匿名化情報へのアクセス許可の判定に基づき前記匿名化情報の分析結果を提供するアクセス権限処理方法。
  6. 請求項1乃至4の何れか1つのアクセス権限処理システムが備える各手段の処理をコンピュータに実行させるプログラム。
JP2014079674A 2014-04-08 2014-04-08 アクセス権限処理システム、アクセス権限処理方法、及びプログラム Expired - Fee Related JP6040194B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014079674A JP6040194B2 (ja) 2014-04-08 2014-04-08 アクセス権限処理システム、アクセス権限処理方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014079674A JP6040194B2 (ja) 2014-04-08 2014-04-08 アクセス権限処理システム、アクセス権限処理方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2015201049A true JP2015201049A (ja) 2015-11-12
JP6040194B2 JP6040194B2 (ja) 2016-12-07

Family

ID=54552256

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014079674A Expired - Fee Related JP6040194B2 (ja) 2014-04-08 2014-04-08 アクセス権限処理システム、アクセス権限処理方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP6040194B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017215868A (ja) * 2016-06-01 2017-12-07 Necソリューションイノベータ株式会社 匿名化処理装置、匿名化処理方法、及びプログラム
CN109564616A (zh) * 2016-06-30 2019-04-02 飞索科技有限公司 个人信息去标识化方法及装置
WO2020004139A1 (ja) * 2018-06-27 2020-01-02 株式会社日立製作所 個人情報分析システム、及び個人情報分析方法
JP2021082167A (ja) * 2019-11-22 2021-05-27 有限会社はるか薬局 対応支援システムおよび広域対応支援システム
WO2022259516A1 (ja) * 2021-06-11 2022-12-15 日本電信電話株式会社 禁止操作防止システム、禁止操作防止装置、禁止操作防止方法、およびプログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014044528A (ja) * 2012-08-24 2014-03-13 Kddi Corp ユーザ非特定情報の提供記録を通知するユーザ情報管理装置、プログラム及び方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014044528A (ja) * 2012-08-24 2014-03-13 Kddi Corp ユーザ非特定情報の提供記録を通知するユーザ情報管理装置、プログラム及び方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017215868A (ja) * 2016-06-01 2017-12-07 Necソリューションイノベータ株式会社 匿名化処理装置、匿名化処理方法、及びプログラム
CN109564616A (zh) * 2016-06-30 2019-04-02 飞索科技有限公司 个人信息去标识化方法及装置
JP2019527409A (ja) * 2016-06-30 2019-09-26 ファスー ドット コム カンパニー リミテッドFasoo. Com Co., Ltd 個人情報の非識別化方法および装置
WO2020004139A1 (ja) * 2018-06-27 2020-01-02 株式会社日立製作所 個人情報分析システム、及び個人情報分析方法
JP2020003989A (ja) * 2018-06-27 2020-01-09 株式会社日立製作所 個人情報分析システム、及び個人情報分析方法
JP7164333B2 (ja) 2018-06-27 2022-11-01 株式会社日立製作所 個人情報分析システム
JP2021082167A (ja) * 2019-11-22 2021-05-27 有限会社はるか薬局 対応支援システムおよび広域対応支援システム
WO2022259516A1 (ja) * 2021-06-11 2022-12-15 日本電信電話株式会社 禁止操作防止システム、禁止操作防止装置、禁止操作防止方法、およびプログラム

Also Published As

Publication number Publication date
JP6040194B2 (ja) 2016-12-07

Similar Documents

Publication Publication Date Title
JP4395178B2 (ja) コンテンツ処理システム、方法及びプログラム
US10204237B2 (en) Sensitive data service access
US10127401B2 (en) Redacting restricted content in files
JP6040194B2 (ja) アクセス権限処理システム、アクセス権限処理方法、及びプログラム
JP7201326B2 (ja) 匿名加工装置、情報匿名化方法、およびプログラム
Ramya Devi et al. Triple DES: privacy preserving in big data healthcare
Kebande et al. Requirements for achieving digital forensic readiness in the cloud environment using an NMB solution
US20160283661A1 (en) Systems, methods, apparatuses, and computer program products for truncated, encrypted searching of encrypted identifiers
EP3188072B1 (en) Systems and methods for automatic and customizable data minimization of electronic data stores
CN107211000A (zh) 用于实现隐私防火墙的系统和方法
Aase et al. Whiskey, Weed, and Wukan on the World Wide Web: On Measuring Censors' Resources and Motivations.
EP3479274B1 (en) Sensitive data service storage
JP5533291B2 (ja) プライバシー保護装置、プライバシー保護方法およびプログラム
WO2017079024A1 (en) Dynamic De-Identification of Healthcare Data
EP3997591A1 (en) Methods for controlling tracking elements of a web page and related electronic devices
Aljohani et al. Proposed privacy patterns for privacy preserving healthcare systems in Accord with Nova Scotia’s personal health information act
US12561466B2 (en) Data collaboration with sovereignty
US11934551B2 (en) Processing per-use requests for user data
US20230297702A1 (en) Token generation and management
JP6002712B2 (ja) 情報処理システム、情報処理方法、及びプログラム
Vaidya et al. A forensic study of Tor usage on the Raspberry Pi platform using open source tools
JP7143696B2 (ja) 匿名加工装置、匿名加工システム、匿名加工方法、およびプログラム
US12619777B2 (en) Obfuscation of personally identifiable information
US20250021692A1 (en) Obfuscation of personally identifiable information
US20200220891A1 (en) Device for managing utilized service

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150917

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160830

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161107

R150 Certificate of patent or registration of utility model

Ref document number: 6040194

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees