特許ウォッチ

公開番号2024017114
公報種別公開特許公報(A)
公開日2024-02-08
出願番号2022119549
出願日2022-07-27
発明の名称個人情報匿名化システム
出願人AICRO株式会社
代理人個人
主分類G06F 21/62 20130101AFI20240201BHJP(計算;計数)
要約【課題】機械による自動的な匿名化工程と、人間の目視による検査工程とをシームレスに行うことができる個人情報匿名化システムを提供する。
【解決手段】個人情報匿名化システム1は、記憶手段、匿名化手段及び検査用装置を備える。匿名化手段は、記憶手段から取得した被処理情報に匿名化モデルを適用して匿名化する記載の候補を抽出し、抽出した候補を匿名加工して仮匿名化情報を生成する。検査用装置の画像表示手段は、被処理情報と匿名化手段から取得した仮匿名化情報とを用いて、匿名化手段で抽出した匿名化する記載の候補を認識できるように、仮匿名化情報及び/又は被処理情報を表示する。検査用装置の入力手段は、表示手段に表示された仮匿名化情報及び/又は被処理情報に対し、匿名化する記載の候補の修正を可能とする。匿名化手段は、入力手段による修正があった場合、修正データを匿名化手段に提供し、修正データを用いて匿名化モデルを学習する。
【選択図】図1
特許請求の範囲【請求項１】
個人情報を含む被処理情報から個人情報を匿名化した匿名化情報を生成するための個人情報匿名化システムであって、
前記被処理情報が記憶された記憶手段と、
前記被処理情報のうち匿名化する記載を抽出する匿名化モデルを含む匿名化手段と、
表示手段及び入力手段を含む検査用装置と、を含み、
前記匿名化手段は、前記記憶手段から取得した前記被処理情報に前記匿名化モデルを適用して匿名化する記載の候補を抽出し、
前記検査用装置は、前記匿名化手段で抽出した前記匿名化する記載の候補を認識できるように、前記被処理情報を前記表示手段に表示し、
前記入力手段は、前記表示手段に表示された前記匿名化する記載の候補を修正可能であり、
前記検査用装置は、前記入力手段による修正があった場合は、修正データを前記匿名化手段に提供し、前記入力手段による修正が無かった場合は、前記匿名化する記載の候補を匿名化する記載として確定し、
前記匿名化手段は、前記修正データを用いて前記匿名化モデルを学習させる、個人情報匿名化システム。
続きを表示（約 1,000 文字）【請求項２】
前記匿名化手段は、前記匿名化する記載の候補に当該記載内容を識別するラベルを付与し、
前記検査用装置は、前記候補に付与された前記ラベルを認識できるように、前記被処理情報を前記表示手段に表示し、
前記入力手段は、前記ラベルを修正可能である、請求項１に記載の個人情報匿名化システム。
【請求項３】
前記匿名化モデルは、匿名化しない記載を蓄積した非匿名化辞書を含み、前記非匿名化辞書に該当する記載を前記匿名化する記載の候補から除外する、請求項１又は２に記載の個人情報匿名化システム。
【請求項４】
前記匿名化手段は、前記被処理情報のうち前記非匿名化辞書に該当する記載に対し、非匿名化辞書に該当する記載であることを示すラベルを付与する、請求項３に記載の個人情報匿名化システム。
【請求項５】
前記匿名化手段は、前記抽出した候補を匿名加工して仮匿名化情報を生成し、
前記検査用装置は、前記匿名化する記載の候補を認識できるように、前記仮匿名化情報を前記表示手段に表示可能であり、
前記入力手段は、前記仮匿名化情報を修正可能である、請求項１又は２に記載の個人情報匿名化システム。
【請求項６】
前記検査用装置は、前記被処理情報と同時に又は切り替え可能に前記仮匿名化情報を前記表示手段に表示する、請求項５に記載の個人情報匿名化システム。
【請求項７】
前記入力手段は、前記匿名化手段による匿名加工を変更可能である、請求項５に記載の個人情報匿名化システム。
【請求項８】
前記匿名化手段は、匿名加工の内容を格納した匿名加工テーブルを含み、前記匿名加工テーブルを変更することにより前記仮匿名化情報を変更する、請求項５に記載の個人情報匿名化システム。
【請求項９】
前記匿名化手段は、匿名化する記載が同一の場合は、同一の文字列に置き換える、請求項５に記載の個人情報匿名化システム。
【請求項１０】
複数の検査用装置を含み、
前記複数の検査用装置において、同一の被処理情報に対する検査工程を実施し、
前記複数の検査用装置から出力された同一の被処理情報に対する複数の修正データの差分を判定し、差分が生じた場合は、前記差分を確認可能に表示して再度検査工程を実施する、請求項１又は２に記載の個人情報匿名化システム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、電子カルテ情報などの個人情報を含む被処理情報から個人情報を匿名化した匿名化情報を生成するための個人情報匿名化システムに関し、特に、人間の目視による検査工程を含む個人情報匿名化システムに関する。
続きを表示（約 3,100 文字）【背景技術】
【０００２】
近年、様々な医療機関において作成される電子カルテ情報をビッグデータとして蓄積し、統計情報データベースとして、医療分野の研究開発に利用したり、他の医療機関における処置や検査内容を参考情報として利用したりする試みがなされている。しかし、電子カルテ情報に含まれる個人の既往歴、家族歴、内服歴、身体所見、ラボデータ、画像データ、治療方針等の個人の心身の状態に関する情報は、極めて秘匿性の高い情報であり、特定の個人のものであると識別されるとそのプライバシーを侵害するものとなる。プライバシーは、憲法や個人情報保護法によって保護されており、このような医療情報の利用に対しては、医療分野の研究開発に資するための匿名加工医療情報に関する法律が制定され、当該医療情報に含まれる記述等の一部や個人識別符号の全部を削除することで、特定の個人を識別することができず、且つ復元できないように医療情報を加工した「匿名加工医療情報」を作成することが義務付けられている。なお、情報の削除には、復元することのできる規則性を有しない方法により他の記述等に置き換えることを含んでいる。
【０００３】
特許文献１には、電子カルテサーバが、複数の医療機関に配置された複数の電子カルテ端末から、患者毎に作成される電子カルテ情報として入力された症状に関する情報と、病名と、対応する処置又は検査とを蓄積して統計情報データベースを構築し、各電子カルテ端末において、電子カルテに入力された症状に応じて、統計情報データベースを検索し、かかる症状に対応付けられた頻度の高い病名、処置、検査などを電子カルテ端末の画面に選択可能に表示する電子カルテシステムが開示されている。特許文献１では、電子カルテ情報における患者の氏名、住所、電話番号などの個人情報は、統計情報データベースにとって不要であり、個人情報保護の観点から、統計情報データベースに登録しないことが好ましいとされている。
【０００４】
特許文献２には、医療機関内の複数の部門にそれぞれ設置されるデータ表示用の参照ビューアを備えた複数の情報処理装置と、データウエアハウスを備えた電子カルテシステムと、データ送受信可能に接続された構造化診療データ統合管理データベースサーバコンピュータとを備え、サーバコンピュータは、利用者によって患者ＩＤが登録されると、自動的に匿名化ＩＤを付与し、患者の個人情報は患者ＩＤとともに患者基本情報として、その他の情報は匿名化ＩＤが付与された拡張患者情報としてサーバ記憶部に記録し、構造化診療データ統合管理データベースに蓄積し、各診療科において特定患者の診断・治療を行う場合には、患者ＩＤとともにデータベースに格納された情報を表示し、診療情報を検索する検索画面に切り替えて検索する場合には、匿名化ＩＤによって処理する匿名化医療情報検索支援システムが開示されている。
【０００５】
また、ビッグデータは、医療分野以外にも様々な分野において利用され始めている。ビッグデータは、様々な事業に役立つ知見を導出するためのデータであり、出所が多様なデータ群である。ビッグデータは、例えば、各地域における天候、気温、湿度のデータ、オンラインショッピングサイトやブログサイトにおいて蓄積される購入履歴やエントリー履歴、ウェブ上の配信サイトで提供される音楽や動画等のマルチメディアデータ、ソーシャルメディアにおいて参加者が書き込むプロフィールやコメント等のソーシャルメディアデータ、ＧＰＳ、ＩＣカードやＲＦＩＤにおいて検知される、位置、乗車履歴、温度等のセンサーデータ、ＣＲＭ（ＣｕｓｔｏｍｅｒＲｅｌａｔｉｏｎｓｈｉｐＭａｎａｇｅｍｅｎｔ）システムにおいて管理されるダイレクトメールのデータや会員カードデータ等カスタマーデータなどがある。
【先行技術文献】
【特許文献】
【０００６】
特開２０１８－８１５２８号公報
特開２０１９－１３３５４０号公報
【発明の概要】
【発明が解決しようとする課題】
【０００７】
個人情報の匿名化について、特許文献１では、患者情報テーブルに格納された患者ＩＤ、氏名、性別、生年月日、身長、体重、年齢、住所、電話番号などの患者の基本情報のうち、氏名、住所、電話番号などの個人を特定できる情報を含めないことで匿名化している。また、特許文献２では、患者の個人情報は患者ＩＤとともに患者基本情報として記録し、患者の個人情報を匿名化ＩＤに関連付けないことで、匿名化ＩＤとともに記録された拡張患者情報には個人情報を含まないようにしている。
【０００８】
しかし、特許文献１及び２では、氏名、住所、電話番号などのように、個人を特定できる情報として認識される特定のデータを項目ごと排除することで匿名化しているが、それ以外のデータに個人を特定できる情報が含まれていた場合には匿名化は不十分である。「匿名加工医療情報」を作成することが義務付けられている医療情報において、氏名、住所、電話番号などの特定のデータを排除しただけでは、残りのデータに個人を特定できる情報が含まれている可能性があり、機械による匿名化では不十分であった。特に、構造化されていない規則性のない自由に記載可能なテキスト情報の中に個人情報が紛れている場合、その抽出は困難であった。
【０００９】
特許文献２において、構造化診療データ統合管理データベースには、自由なテキスト形式のデータではなく、構造化された診療データが蓄積されている。データの構造化とは、行と列で表現されるようなデータ形式であり、各々の列には固有の意味があり、その列の値は特定の選択肢から選択されたり、あるいは指定の精度を持つ数値が入力されたりと、固有の規則に基づいて管理されるデータ形式である。このため、特許文献２における入力は、各診療科で記載の仕方が統一され、選択画面から選択して入力することによって表記のゆらぎがないように工夫されていた。しかし、実際の診察において、患者の主訴及び医師の所見は、選択画面から選択できるような情報だけではないことが多く、より正確に情報を記録するため、自由なテキスト形式のデータを入力できる項目は依然として必要とされている。
【００１０】
自由なテキスト形式で入力された文章については、入力者によって表現が違っていたり、入力内容が定まっておらず、機械による自動処理には不向きであるため、人間の目視による検査で個人情報が含まれているかを確認し、含まれている場合には個人情報を匿名化する作業を行っていたが、作業量が膨大であり、時間と費用がかかるだけではなく、ヒューマンエラーによる個人情報の看過が生じる可能性があった。複数人による多重検査によって信頼性を高めることはできるが、より時間と費用がかかり、情報の有効利用の妨げとなっていた。このため、現状では、自由なテキスト形式で入力された文章については、個人情報を含んでいることがあるため全て削除されており、重要な情報が利用されていなかった。また、実際に匿名化した情報を提供する場合、機械による自動的な匿名化だけでは信用されず、人間による検査結果を保証として要求されることもあり、これも匿名化情報の有効利用の妨げの一因となっていた。
（【００１１】以降は省略されています）

関連特許