WO2002039341A1 - Anonymizing method and system therefor, method for making personal information anonymous and transferring it, and system therefor - Google Patents

Anonymizing method and system therefor, method for making personal information anonymous and transferring it, and system therefor Download PDF

Info

Publication number
WO2002039341A1
WO2002039341A1 PCT/JP2001/009073 JP0109073W WO0239341A1 WO 2002039341 A1 WO2002039341 A1 WO 2002039341A1 JP 0109073 W JP0109073 W JP 0109073W WO 0239341 A1 WO0239341 A1 WO 0239341A1
Authority
WO
WIPO (PCT)
Prior art keywords
identification information
information
individual
instruction
issuing
Prior art date
Application number
PCT/JP2001/009073
Other languages
French (fr)
Japanese (ja)
Inventor
Ken Aoshima
Yuji Miura
Tetsuya Takeda
Original Assignee
Mitsui Knowledge Industry
Genox Research, Inc.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsui Knowledge Industry, Genox Research, Inc. filed Critical Mitsui Knowledge Industry
Priority to JP2002541590A priority Critical patent/JPWO2002039341A1/en
Priority to AU2001295938A priority patent/AU2001295938A1/en
Publication of WO2002039341A1 publication Critical patent/WO2002039341A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/40ICT specially adapted for the handling or processing of patient-related medical or healthcare data for data related to laboratory analysis, e.g. patient specimen analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Theoretical Computer Science (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Public Health (AREA)
  • Primary Health Care (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Epidemiology (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

The clinical information on a sample donor and a sampled specimen are made anonymous. A doctor in charge of a clinical examination section of a hospital side acquires patient information on a specimen donor (patient), examines the patient information, and stores the patient information and the examination information in a patient information managing system of a personal identification management room. A researcher of the hospital side acquires a consent of the sample donor according to the instruction of the chief researcher of the research section. The doctor in charge samples primary specimens (sample) such as of blood or serum, and a personal identification information manager anonymize the specimen number (specimen number before anonymization) and attaches a bar code corresponding to the anonymized specimen number (anonymous specimen number) to a container containing the specimen. A combinable anonymization correspondence table for combining the unanonymized specimen number and the anonymized specimen number is stored in an anonymizing system. The anonymous patient information, the clinical anonymous information and the anonymous specimen are supplied to the research section.

Description

明細 j 匿名化方法及びそのシステム、 並びに個人にかかる情報を Description j Anonymization method and system, and information related to individuals
匿名化して移送する方法及びそのシステム 技術分野  Method and system for anonymous transport
本発明は、 匿名化方法おょぴそのシステム、 並びに個人情報にかかる 情報を匿名化して移送する方法およびそのシステムに関し、 特に、 遺伝 子解析研究に用いる試料を提供する試料等提供者の個人情報を匿名化 して移送するための匿名化方法おょぴそのシステムに関する。 背景技術  The present invention relates to an anonymization method and a system thereof, and a method and system for anonymously transferring information relating to personal information, and more particularly to personal information of a sample provider who provides a sample used for gene analysis research. An anonymization method for anonymizing and transporting anonymous data and its system. Background art
現在、 ゲノム配列決定は急速に進展しつつあり、 枯草菌、 大腸菌、 ら ん藻、 酵母などの微生物に続き、 多細胞生物である線虫、 さらにはショ ウジョゥバエの全ゲノム配列もすでに決定した。 ヒ トのゲノム配列もド ラフト配列が公開されている。 このような状況のもとで、 ゲノム研究の 焦点は配列決定から多数の遺伝子群若しくはゲノム全体を対象に、 道伝 子発現を含むゲノム機能 解析や、 個人間の多型の解析を中心としたい わゆるポスト ·ゲノム研究に移りつつある。  At present, genome sequencing is progressing rapidly, and the whole genome sequence of multicellular organisms, nematodes, and even Drosophila has been determined, following microorganisms such as Bacillus subtilis, Escherichia coli, cyanobacteria, and yeast. A draft sequence has been published for the human genome sequence. Under these circumstances, the focus of genomics research is to focus on genome function analysis, including expression of genomic genes, and analysis of polymorphisms among individuals, from sequencing to a large number of genes or the entire genome. We are moving to post-genome research.
特に、 近年、 ヒ トの病気の原因解明、 診断、 治療 ·予防といった医療 分野で最も注目されているのは、 一塩基多型 SNP (S I NGLE NU C LEOT I DE POLYMORPH I S M) である。 SNPとは文字 通り、 DNA配列上一塩基の置換'挿入又は欠失による差異を意味する。 ヒ トの遺伝子塩基配列は、 その 99. 9パーセント (%) が同一で、 0. 1% の違いがあると推定されている。 従って、 30億塩基対よりなるヒ ト ·ゲ ノムの 0. 1%に相当する約 100万乃至 300万の SNP部位が予想されて いる。 In particular, in recent years, the single-nucleotide polymorphism SNP (Single Nucleotide SNP) has received the most attention in the medical field, such as elucidation of the causes of human diseases, diagnosis, treatment and prevention. SNP literally means a difference due to substitution, insertion or deletion of one base on a DNA sequence. It has been estimated that 99.9 percent (%) of the human nucleotide sequences are identical and differ by 0.1 percent. Thus, approximately one to three million SNP sites, equivalent to 0.1% of a 3 billion base pair human genome, are expected. I have.
SNPは、 その数が非常に多いことから、 各個人の遺伝的背景を個別化 するのに最適であると考えられ、 診療情報等と比較するァソシエーショ ンスタディにより 「体質」 (ある病気へのかかりやすさや薬物応答性 の違い) が同定できると期待されており、 オーダーメード治療を受ける ことが可能となる。 従って、 医療機関で蓄積されてきた (又はこれから 収集する) 診療情報をゲノム研究側に提供することが今後の遺伝子解析 にとつて不可欠となっている。 発明の開示  Since the number of SNPs is extremely large, they are considered to be optimal for individualizing the genetic background of each individual. (Differences in ease and drug responsiveness) are expected to be identified, making it possible to receive tailor-made treatment. Therefore, providing the medical information accumulated (or to be collected) at medical institutions to genomics research will be indispensable for future gene analysis. Disclosure of the invention
発明が解決しようとする技術的課題 Technical problems to be solved by the invention
しかしながら、 検体と患者情報及び診療情報をそのまま研究機関に提 供すると、 個人のプライパシーや人権が侵害される恐れがある課題があ つた。 即ち、 検体を提供した個人の情報と、 その検体から解析された遺 伝情報とが結びつけられ、 就職、 結婚、 健康保険、 生命保険などの社会 的な差別が生じ、 また現時点において予想のつかない様々な社会問題が 生じる可能性もある。  However, if the specimen, patient information, and medical information were directly provided to the research institution, there was a problem that the privacy and human rights of individuals could be violated. That is, the information of the individual who provided the sample is linked to the genetic information analyzed from the sample, resulting in social discrimination such as employment, marriage, health insurance, life insurance, etc. Various social issues may arise.
本発明はこのような状況に鑑みてなされたものであり、 病院側で検体 と患者情報及び診療情報を匿名化しておき、 研究機関において検体から 得られた遺伝情報が特定の個人と結びつけられることがないようにし、 個人の人権及びプライパシーを保護することができるようにするもの である。  The present invention has been made in view of such circumstances, and it is necessary that hospitals anonymize specimens and patient information and medical treatment information, and that genetic information obtained from specimens is linked to a specific individual at a research institution. And protect human rights and privacy of individuals.
より具体的に詳述すると、 検体及び患者についての情報の受け渡しに 際しては、 個人情報の漏洩の危険があるため、 少なく とも検体乃至患者 にかかる情報についての識別記号列に対し匿名化処理を施すことが不 可避となる。 ところが、 単純 (例えば、 ランダム) に匿名化処理を施したのでは、 無意味な記号列となるために、 操作者が個々の検体又は情報の判別が困 難となり、 操作ミス等にも気が付くことができなくなるという問題があ る。 More specifically, there is a risk of leakage of personal information when transferring information about specimens and patients, so at least anonymization processing is performed on identification symbol strings for information on specimens and patients. It is inevitable to apply However, simply (for example, random) anonymization processing results in a meaningless symbol string, which makes it difficult for the operator to distinguish individual specimens or information, and also becomes aware of operation errors. There is a problem that can not be done.
さらなる問題としては、 一旦匿名化されると、 検体や情報の相互の関 連性を全く知ることができなくなる。 この状態は、 遺伝子解析研究にあ つて致命的である。 すなわち、 遺伝子解析研究にあっては、 闇雲に検体 の配列を特定していくことは現実的ではないことから、 対応する患者の 診療情報等を手がかり として、 遺伝子解析すべき部位等を予め絞り込む 必要があるからである。  A further problem is that once anonymized, it becomes impossible to know the interrelationship of samples or information at all. This condition is fatal for genetic analysis studies. In other words, in gene analysis research, it is not realistic to specify the sequence of a sample in a dark cloud, so it is necessary to narrow down in advance the sites to be subjected to gene analysis based on the medical information of the corresponding patient as a clue. Because there is.
解決方法 Solution
前記本件における解決すべき課題は、 次の第 1の発明〜第 5の発明と それらの態様をさらに限定した発明によって、 解決することができる。 まず、 第 1の発明は、 個人にかかる情報の匿名化方法及びそのシステ ムであって、  The problem to be solved in the present case can be solved by the following first invention to fifth invention and the invention in which aspects thereof are further limited. First, the first invention is a method and system for anonymizing personal information.
個人の識別が可能な第 1の識別情報を生成または入力するステップ、 所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶するステップと、 Generating or inputting first identification information capable of identifying an individual; storing first information relating to a predetermined individual in association with the first identification information;
少なくとも、 第 1の識別情報の一部を共有しかつ該個人に係る第 2の情 報を識別可能となるよう必要な桁数を有する記号列をもつて構成され る第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成す るステップと、 At least the second identification information configured to include a symbol string that shares a part of the first identification information and has a necessary number of digits so that the second information related to the individual can be identified. Generating individual second information to be identifiable;
該生成された第 2の識別情報を、 各第 2の情報に関連付ける指示を発行 するステップと、 Issuing instructions for associating the generated second identification information with each second information;
前記第 2の識別情報と 1対 1に対応し、 第 1の識別情報を類推不可能な 第 3の識別情報を生成するステップ、 該第 2の識別情報と該第 3の識別情報との対応情報を記憶するステツ プと Generating third identification information that corresponds to the second identification information on a one-to-one basis and that cannot infer the first identification information; A step of storing correspondence information between the second identification information and the third identification information;
前記第 2の情報に対する、 第 2の識別情報との関連付けを解消し、 同時 に前記第 3の識別情報を関連付ける指示を発行するステップとを、 備えることを特徴とする個人にかかる情報の匿名化方法及ぴそのシス テムである。 Canceling the association of the second information with the second identification information, and simultaneously issuing an instruction for associating the third identification information with the second information. The method and the system.
その他、 本発明には、 前記第 1の発明における、  In addition, the present invention relates to the first invention,
関連付けを、 第 2の情報を記録した媒体に対し、 前記第 2乃至第 3の識 別情報に対応するパーコードラベルを発行し、 該ラベルを物理的に貼付 することに限定し、 The association is limited to issuing a percode label corresponding to the second to third identification information to the medium on which the second information is recorded and physically attaching the label,
前記関連付けを解消することを、 該ラベルを物理的に剥離することに限 定し、 Dissolving the association is limited to physically peeling the label,
前記指示を発行することを、 それら一連の操作についての指示を認識可 能な形式にて表示することに限定した発明である。 Issuing the instruction is limited to displaying the instruction for the series of operations in a recognizable format.
または、 本発明には、 前記第 1の発明における、 関連付けを、 第 2の 情報を、 前記第 2乃至第 3の識別情報を検索子として検索可能に記憶す ることに限定し、  Alternatively, in the present invention, the association in the first invention is limited to storing the second information in a searchable manner using the second to third identification information as a search element,
前記第 2の識別情報との関連付けを解消し、 同時に前記第 3の識別情報 との関連付けを指示するとは、 第 2の情報の検索子を第 2の識別情報か ら第 3の識別情報に変更して記憶し直すことに限定し、 Dissolving the association with the second identification information and simultaneously instructing the association with the third identification information means changing the search element of the second information from the second identification information to the third identification information And remember it again,
前記指示を発行することを、 それら一連の処理を実行することに限定し たものも含まれる。 Issuance of the above instruction is limited to execution of the series of processes.
また、 第 2の発明は、 個人情報を匿名化する方法おょぴそのシステム であって、  The second invention is a method for anonymizing personal information, that is, a system thereof,
個人の識別が可能な第 1の識別情報を生成または入力するステップ、 所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶するステップと、 Generating or inputting first identification information capable of identifying an individual; writing first information relating to a predetermined individual in association with the first identification information; Steps to remember,
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 2の情 報を識別可能となるよう必要な桁数を有する記号列をもつて構成され る第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成す るステップと、 At least, the second identification information that shares a part of the first identification information and has a symbol string having a necessary number of digits so that the second information relating to the individual can be identified is identified. Generating individual second information so that it is identifiable;
該生成された第 2の識別情報を、 各第 2の情報に関連付ける指示を発行 するステップと、 Issuing instructions for associating the generated second identification information with each second information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 3の情 報を識別可能となるよう必要な桁数を有する記号列をもって構成され る第 3の識別情報を、 個々の第 3の情報が識別可能となるように生成す るステップと、 At least, the third identification information, which shares a part of the first identification information and is composed of a symbol string having a necessary number of digits so that the third information relating to the individual can be identified, Generating the third information of the information to be identifiable;
該生成された第 3の識別情報を、 各第 3の情報に関連付ける指示を発行 するステップと、 Issuing an instruction for associating the generated third identification information with each third information;
次に、 前記第 2の識別情報及び前記第 3の識別情報とそれぞれ 1対 1に 対応し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第Next, the second identification information and the third identification information correspond to the one-to-one correspondence with the first identification information, and the first identification information is a symbol string that cannot be analogized, and
2の識別情報及び前記第 3の識別情報がともに共有する第 1の識別情 報に係る記号列に対応する記号列がその一部に共通して含まれる第 4 の識別情報及び第 5の識別情報を生成するステップ、 The fourth identification information and the fifth identification in which a symbol string corresponding to the symbol string corresponding to the first identification information shared by both the second identification information and the third identification information are commonly included in a part thereof. Generating information,
該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する ステップと Storing first correspondence information between the second identification information and the fourth identification information;
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する ステップと Storing second correspondence information between the third identification information and the fifth identification information; and
第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を解消 し、 同時に前記第 4並びに第 5の識別情報を関連付ける指示を発行する ステップと Canceling the second and third identification information for the second and third information, and simultaneously issuing an instruction for associating the fourth and fifth identification information with each other;
を備えることを特徴とする個人にかかる情報の匿名化方法およびその システムである。 Method for anonymizing information relating to an individual, comprising: System.
さらに、 本発明には、 前記第 2の発明において、  Further, in the present invention, in the second invention,
前記第 2の情報が対応する個人についての診断所見情報であり、 前記第 3の情報が対応する個人についての検体識別記号であり、 前記関連付けるとは、 対応する識別情報を検索子として検索可能に記憶 することであって、 The second information is diagnostic finding information on the corresponding individual, the third information is a specimen identification symbol on the corresponding individual, and the associating makes the corresponding identification information searchable as a search element. To remember,
前記第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を 解消し、 同時に前記第 4並びに第 5の識別情報を関連付けるとは、 第 2 並びに第 3の情報の検索子を第 2並びに第 3の識別情報から第 4並ぴ に第 5の識別情報に変更して記憶し直すことであり、 Resolving the second and third identification information with respect to the second and third information, and simultaneously associating the fourth and fifth identification information, means that the search element of the second and third information is Changing from the second and third identification information to the fourth identification information and the fifth identification information, and re-storing them.
前記指示を発行するとは、 それら一連の処理を実行することに限定した ものも含まれる。 The issuance of the instruction includes an instruction limited to executing the series of processes.
さらに、 第 3の発明は、 個人にかかる情報の匿名化方法およびそのシ ステムであって、  Further, the third invention is a method and system for anonymizing information relating to an individual,
個人の識別が可能な第 1の識別情報を生成または入力するステップ、 所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶するステップと、 Generating or inputting first identification information capable of identifying an individual; storing first information relating to a predetermined individual in association with the first identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る診断所見 情報を識別可能となるよう必要な桁数を有する記号列をもつて構成さ れる第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成 するステップと、 At least, the second identification information, which shares a part of the first identification information and has a symbol string having the required number of digits so that the diagnostic finding information on the individual can be identified, Generating such that the second information of the information is identifiable;
各診断所見情報を、 該生成された第 2の識別情報を検索子として記憶す るステップと、 Storing each of the diagnostic finding information as a search element using the generated second identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る検体を識 別可能となるよう必要な桁数を有する記号列をもって構成される第 3 の識別情報を、 個々の検体が識別可能となるように生成するステップと、 各検体に対し、 該生成された第 3の識別情報との関連付けの指示を発行 するステップと、 At least the third identification information, which shares a part of the first identification information and is composed of a symbol string having a required number of digits so that the sample relating to the individual can be identified, Generating to be identifiable; Issuing an instruction for associating each sample with the generated third identification information;
該生成された第 3の識別情報を、 各第 3の情報に関連付ける指示を発行 するステップと、 Issuing an instruction for associating the generated third identification information with each third information;
次に、 前記第 2の識別情報及び前記第 3の識別情報とそれぞれ 1対 1に 対応し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第Next, the second identification information and the third identification information correspond to the one-to-one correspondence with the first identification information, and the first identification information is a symbol string that cannot be analogized, and
2の識別情報及び前記第 3の識別情報がともに共有する第 1の識別情 報に係る記号列に対応する記号列がその一部に共通して含まれる第 4 の識別情報及び第 5の識別情報を生成するステップ、 The fourth identification information and the fifth identification in which a symbol string corresponding to the symbol string corresponding to the first identification information shared by both the second identification information and the third identification information are commonly included in a part thereof. Generating information,
該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する ステップと Storing first correspondence information between the second identification information and the fourth identification information;
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する ステップと Storing second correspondence information between the third identification information and the fifth identification information; and
前記診断所見情報に関する検索子を、 第 2の識別情報から第 4の識別情 報に変更して記憶し直す指示を発行するステップと、 Issuing an instruction to change the search element relating to the diagnostic finding information from the second identification information to the fourth identification information and to store it again;
前記検体に対する、 第 3の識別情報との関連付けを解消し、 同時に第 5 の識別情報との関連付けの指示を発行するステップと、 Canceling the association of the sample with the third identification information, and simultaneously issuing an instruction of association with the fifth identification information;
を備えることを特徴とする個人にかかる情報の匿名化方法およびその システムである。 And a system for anonymizing information relating to an individual.
さらに、 本発明には、 前記第 1〜第 3の発明における、  Further, in the present invention, in the first to third invention,
前記対応情報についての記憶の一部又は全部を消去する連結不可能化 の指示を発行するステップをさらに備えるものも含まれる。 Also included is one that further includes a step of issuing an instruction to disable connection, which deletes part or all of the storage of the correspondence information.
一方、 第 4の発明は、 個人にかかる情報を匿名化して移送する方法お ょぴそのシステムであって、  On the other hand, the fourth invention is a method of anonymously transferring information relating to an individual or a system thereof,
個人の識別が可能な第 1の識別情報を生成または入力するステップ、 所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶するステップと、 Generating or inputting first identification information capable of identifying an individual; writing first information relating to a predetermined individual in association with the first identification information; Steps to remember,
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 2の情 報を識別可能となるよう必要な桁数を有する記号列をもって構成され る第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成す るステップと、 At least, the second identification information, which shares a part of the first identification information and includes a symbol string having the necessary number of digits so that the second information relating to the individual can be identified, Generating such that the second information of the information is identifiable;
該生成された第 2の識別情報を、 各第 2の情報に関連付ける指示を発行 するステップと、 Issuing instructions for associating the generated second identification information with each second information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 3の情 報を識別可能となるよう必要な桁数を有する記号列をもって構成され る第 3の識別情報を、 個々の第 3の情報が識別可能となるように生成す るステップと、 At least, the third identification information, which shares a part of the first identification information and is composed of a symbol string having a necessary number of digits so that the third information relating to the individual can be identified, Generating the third information of the information to be identifiable;
該生成された第 3の識別情報を、 各第 3の情報に関連付ける指示を発行 するステップと、 Issuing an instruction for associating the generated third identification information with each third information;
次に、 前記第 2の識別情報及び前記第 3の識別情報とそれぞれ 1対 1に 対応し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第Next, the second identification information and the third identification information correspond to the one-to-one correspondence with the first identification information, and the first identification information is a symbol string that cannot be analogized, and
2の識別情報及び前記第 3の識別情報がともに共有する第 1の識別情 報に係る記号列に対応する記号列がその一部に共通して含まれる第 4 の識別情報及び第 5の譏別情報を生成するステップ、 The fourth identification information and the fifth slime which include a symbol string corresponding to the symbol string relating to the first identification information shared by both the second identification information and the third identification information in a part thereof. Generating another information;
該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する ステップと Storing first correspondence information between the second identification information and the fourth identification information;
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する ステップと Storing second correspondence information between the third identification information and the fifth identification information; and
第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を解消 し、 同時に前記第 4並びに第 5の識別情報を関連付ける指示を発行する ステップと、 Canceling the second and third identification information for the second and third information, and simultaneously issuing an instruction for associating the fourth and fifth identification information;
第 4及び第 5の識別情報と関連付けられた第 2及び第 3の情報を、 所要 の移送先に対し、 移送することを指示するステップと、 移送された第 2及び第 3の情報を、 第 4及び第 5の識別情報に関連付け て別途記憶するステップと The second and third information associated with the fourth and fifth identification information Instructing the destination of the transfer to be transferred, and separately storing the transferred second and third information in association with the fourth and fifth identification information.
を備えることを特徴とする個人にかかる情報を匿名化して移送する方 法おょぴそのシステムである。 This is a method for anonymously transferring information related to individuals, which is characterized by the following:
また、 本発明には、 前記第 4の発明における、  Further, the present invention provides the above-mentioned fourth invention,
前記第 2の情報が対応する個人についての診断所見情報であり、 前記第 3の情報が対応する個人についての検体識別記号であり、 前記関連付けるとは、.対応する識別情報を検索子として検索可能に記憶 することであって、 , The second information is diagnostic finding information on the corresponding individual, the third information is a specimen identification symbol on the corresponding individual, and the associating means that the corresponding identification information can be searched as a search element. , And,
前記第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を 解消し、 同時に前記第 4並びに第 5の識別情報を関連付けるとは、 第 2 並びに第 3の情報の検索子を第 2並びに第 3の識別情報から第 4並び に第 5の識別情報に変更して記憶し直すことであり、 Resolving the second and third identification information with respect to the second and third information, and simultaneously associating the fourth and fifth identification information, means that the search element of the second and third information is Changing from the second and third identification information to the fourth and fifth identification information and re-storing them,
前記移送するとは、 通信手段により、 送受信することであり、 The term “transporting” refers to transmitting and receiving by communication means,
前記指示を発行するとは、 それら一連の処理を実行することに限定した ものも含まれる。 The issuance of the instruction includes an instruction limited to executing the series of processes.
さらに、 第 5の発明は、 個人にかかる情報を匿名化して移送する方法 およぴそのシステムであって、  Further, a fifth invention is a method and system for anonymously transferring information relating to an individual,
個人の識別が可能な第 1の識別情報を生成または入力するステップ、 所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶するステップと、 Generating or inputting first identification information capable of identifying an individual; storing first information relating to a predetermined individual in association with the first identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る診断所見 情報を識別可能となるよう必要な桁数を有する記号列をもって構成さ れる第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成 するステップと、 各診断所見情報を、 該生成された第 2の識別情報を検索子として記憶す るステップと、 At least the second identification information, which shares a part of the first identification information and is composed of a symbol string having the necessary number of digits so that the diagnostic finding information on the individual can be identified, Generating the two pieces of information so that they can be identified; Storing each of the diagnostic finding information as a search element using the generated second identification information;
少なくとも、 第 1の識別情報の一部を共有しかつ該個人に係る検体を識 別可能となるよう必要な桁数を有する記号列をもって構成される第 3 の識別情報を、 個々の検体が識別可能となるように生成するステップと、 各検体に対し、 該生成された第 3の識別情報との関連付けの指示を発行 するステップと、 At least the third identification information, which shares a part of the first identification information and is composed of a symbol string having a required number of digits so that the sample relating to the individual can be identified, is identified by each individual sample. Generating the sample so that the sample can be generated; and issuing an instruction for associating each sample with the generated third identification information;
該生成された第 3の識別情報を、 各第 3の情報に関連付ける指示を発行 するステップと、 Issuing an instruction for associating the generated third identification information with each third information;
次に、 前記第 2の識別情報及び前記第 3の識別情報とそれぞれ 1対 1に 対応し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第 2の識別情報及び前記第 3の識別情報がともに共有する第 1の識別情 報に係る記号列に対応する記号列がその一部に共通して含まれる第 4 の識別情報及び第 5の識別情報を生成するステップ、 Next, each of the second identification information and the third identification information has a one-to-one correspondence, and the first identification information is a symbol string that cannot be inferred, and the second identification information and A step of generating fourth identification information and fifth identification information in which a symbol string corresponding to the symbol string relating to the first identification information shared by the third identification information is included in a part thereof; ,
該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する ステップと . . Storing first correspondence information between the second identification information and the fourth identification information; and
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する ステップと Storing second correspondence information between the third identification information and the fifth identification information; and
前記診断所見情報に関する検索子を、 第 2の識別情報から第 4の識別情 報に変更して記憶し直す指示を発行するステップと、 Issuing an instruction to change the search element relating to the diagnostic finding information from the second identification information to the fourth identification information and to store it again;
前記検体に対する、 第 3の識別情報との関連付けを解消し、 同時に第 5 の識別情報との関連付けの指示を発行するステップと、 Canceling the association of the sample with the third identification information, and simultaneously issuing an instruction of association with the fifth identification information;
第 4の識別情報を検索子として検索可能な診断情報と、 第 5の識別情報 と関連付けられた検体とを、 それぞれ共通の移送先に対する移送を指示 するステップと、 Instructing transfer of diagnostic information that can be searched using the fourth identification information as a search element and a sample associated with the fifth identification information to a common transfer destination, respectively;
移送された診断情報を第 4の識別情報を検索子として別途記憶するス テツプと、 The transferred diagnostic information is stored separately as the fourth identification information as a search element. And steps
移送された検体に関連付けられた第 5の識別情報を検出し、 前記第 4の 識別情報に共通して含まれる、 前記第 1の識別情報に係る記号列に対応 する記号列により、 該検体に対応する診断情報を読み出す指示を発行す るステップと The fifth identification information associated with the transferred sample is detected, and a symbol string corresponding to the symbol string related to the first identification information, which is included in common with the fourth identification information, is used for the sample. Issuing an instruction to read the corresponding diagnostic information;
を備えることを特徴とする個人にかかる情報を匿名化して移送する方 法おょぴそのシステムである。 This is a method for anonymously transferring information related to individuals, which is characterized by the following:
加えて、 本発明には、 前記第 5の発明における、 前記対応情報につい ての記憶の一部又は全部を消去するステップをさらに備えることを限 定したものも含まれる。 有利な効果  In addition, the present invention includes those in the fifth invention in which the step of erasing a part or all of the storage of the correspondence information is further limited. Beneficial effect
以上のとおり、 本発明に係る匿名化システムおよび匿名化方法、 並び に個人にかかる情報を匿名化して移送する方法及ぴそののシステムに よれば、 所定の個人に関する第 1の情報を、 個人の識別が可能な第 1の 識別情報に対応付けて記憶するステップと、個人に関する第 2の情報を、 第 2の情報の識別が可能な第 2の識別情報に対応付けて記憶するステツ プと、 第 1の識別情報と第 2の識別情報とを対応付ける対応情報を記憶 するステップと、 必要に応じて、 対応情報を削除し、 第 2の情報に対応 する個人を特定できないように匿名化するようにしたので、 対応情報を 必要に応じて削除することにより、 第 2の情報が特定の個人および第 1 の情報と結びつけられることがないようにし、 個人の人権及ぴプライバ シーを保護することが可能となる。  As described above, according to the anonymization system and the anonymization method according to the present invention, and the method for anonymously transferring information relating to an individual and the system thereof, the first information relating to a predetermined individual Storing the second information relating to the individual in association with the second identification information capable of identifying the second information; Storing correspondence information that associates the first identification information with the second identification information, and, if necessary, deleting the correspondence information and anonymizing the individual corresponding to the second information so that the individual cannot be identified. Therefore, by deleting the corresponding information as necessary, it is possible to prevent the second information from being linked to a specific individual and the first information, and to protect the human rights and privacy of the individual. The ability.
したがって、 匿名性を確保した上で、 病院と研究所といった 2つのシ ステムの間での検体や種々の情報のやり取りが可能となる。  Therefore, it is possible to exchange specimens and various information between the two systems such as the hospital and the laboratory while securing anonymity.
以上のとおり、 本発明は、 確実な匿名化をした状態にあっても、 個々 の検体や情報の操作性や判別性を向上させ、 操作ミス等を防止し、 同時 に、 検体や情報に関する相互の関係の把握、 すなわち、 同一患者にかか る検体や情報の峻別を可能とするものである。 図面の簡単な説明 As described above, the present invention can be applied to individual Improve the operability and discrimination of samples and information, prevent operational errors, etc., and at the same time, grasp the mutual relationship between samples and information, that is, make it possible to distinguish samples and information related to the same patient Is what you do. BRIEF DESCRIPTION OF THE FIGURES
図 1は、 本発明の匿名化システムを応用した遺伝子解析研究の手順を示 す図である。 FIG. 1 is a diagram showing a procedure of a genetic analysis study using the anonymization system of the present invention.
図 2は、 本発明の匿名化システムのネッ トワーク構成例及び機器構成例 を示すプロック図である。 FIG. 2 is a block diagram showing a network configuration example and a device configuration example of the anonymization system of the present invention.
図 3は、 検体採取から匿名化及ぴ診療データの受け渡しまでの一連の流 れを示す図である。 FIG. 3 is a diagram showing a series of flows from sample collection to anonymization and delivery of medical treatment data.
図 4は、 匿名化システムの採取情報登録画面例を示す図である。 FIG. 4 is a diagram showing an example of a collection information registration screen of the anonymization system.
図 5は、 連結可能匿名化対応表の例を示す図である。 FIG. 5 is a diagram showing an example of a connectable anonymization correspondence table.
図 6は、 匿名前検体番号と匿名検体番号のフォーマツ トの例を示す図で あ O 0 6, FIG at Oh O 0 showing an example of a Fomatsu bets anonymous pre specimen number and anonymous specimen number
図 7は、 各コードの意味を示す図である。 FIG. 7 is a diagram showing the meaning of each code.
図 8は、 匿名化システムのユーザ認証画面例を示す図である。 FIG. 8 is a diagram showing an example of a user authentication screen of the anonymization system.
図 9は、匿名化システムの連絡可能匿名化指示画面の例を示す図である。 図 10は、 パーコード印刷実行画面を示す図である。 FIG. 9 is a diagram showing an example of a contactable anonymization instruction screen of the anonymization system. FIG. 10 is a diagram illustrating a percode print execution screen.
図 11は、 診療情報のダウンロード指示画面の例を示す図である。 FIG. 11 is a diagram showing an example of a medical information download instruction screen.
図 12は、 連結不可能匿名化指示画面の例を示す図である。 符号の説明 FIG. 12 is a diagram showing an example of a connection impossible anonymization instruction screen. Explanation of reference numerals
1 臨床検査部門  1 Clinical laboratory
2 個人識別情報管理室  2 Personal Identification Information Management Office
3 患者情報管理システム 4 匿名化システム 3 Patient information management system 4 Anonymization system
5 研究部門  5 Research Division
6 実験室  6 Lab
7 ゲノム解析室  7 Genome analysis room
8 FW  8 FW
9 P r o yサーバ  9 P roy server
10 ィンターネッ ト  10 Internet
21, 61 W i n d o w s N T S e r v e r  21, 61 W i n d o w s N T S e r v er
22, 62,72 記憶装置  22, 62, 72 storage devices
23, 64 バーコ一ドプリンタ  23, 64 bar code printer
63 コントローラ  63 Controller
65 シーケンサ  65 PLC
66,68 PC  66,68 PC
67 AFFYMETRIX ARRAYER & GENEARRAY S  67 AFFYMETRIX ARRAYER & GENEARRAY S
CANNER  CANNER
69 バーコ一ドリーダ  69 Barcode Reader
71 UNIX Server 発明を実施するための最良の形態  71 UNIX Server BEST MODE FOR CARRYING OUT THE INVENTION
本発明は、 図 1〜図 3及ぴ図 7に記載されたとおり、 匿名化システム と患者情報管理システムとを備えた病院側のシステムと、 実験試料管理 システムとゲノム基本データ管理システムを備えた研究所側のシステ ムから構成され、 両者は、 検体等の物流と患者についての情報の通信に より、 有機的に結合しているものである。  As shown in FIGS. 1 to 3 and 7, the present invention includes a hospital system including an anonymization system and a patient information management system, an experimental sample management system and a basic genome data management system. It consists of a laboratory system, both of which are linked organically by the distribution of specimens and the communication of patient information.
前記解決しょうとする技術的課題は、 具体的には、 図 6に記載した検 体識別用の記号列を採用することによって、 はじめて解消されるもので ある o Specifically, the technical problem to be solved is first solved by adopting the symbol string for specimen identification shown in FIG. There o
図 6では、 プロジェク ト区分や検体区分等に関する情報は、 操作者に 有益である。 しかも、 日付や連番といった識別情報は、 簡便であり操作 性において有効である。 場合によって、 図 3のような検体識別記号列を 採用することが好ましい。 すなわち、 該記号列中に患者 I D等の個人識 別子にかかる記号列を含むことが有益である。  In Fig. 6, information on the project category, specimen category, etc. is useful to the operator. Moreover, identification information such as date and serial number is simple and effective in operability. In some cases, it is preferable to adopt a sample identification symbol string as shown in FIG. That is, it is useful to include a symbol string related to a personal identifier such as a patient ID in the symbol string.
そもそも、 情報の漏洩の危険は、 検体等の相互の関連性を把握するた めに、 匿名化処理の過程を遡ることができるようにしてあることに起因 するものであるから、 仮に、 匿名化処理以降、 二度と匿名化システムの あるホス トにアクセスすることなく、 以降の操作が行えるのであれば、 該検体や情報にかかる個人が特定される危険は実質的に解消される。 言 い換えると、 匿名化システムを含むホストにアクセスすることが許容さ れている限り、 匿名化処理における匿名化の対応表が読み出される危険 性を完全になくすことはできない。 特に、 病院と研究所といった複数の 機関に跨って、 検体や情報のやり取りがある場合には、 外部の者がホス トにアクセスできるようになることから、 危険である。  In the first place, the danger of information leakage is due to the fact that the process of anonymization processing can be traced back in order to grasp the mutual relevance of samples, etc. If the subsequent operations can be performed without accessing the host with the anonymization system again after the processing, the danger of identifying the individual concerned with the sample or information is substantially eliminated. In other words, as long as access to the host containing the anonymization system is permitted, the danger of reading out the anonymization correspondence table in the anonymization process cannot be completely eliminated. In particular, when samples and information are exchanged across multiple institutions such as hospitals and laboratories, it is dangerous because outsiders can access the host.
そのための具体的手法としては、 匿名化処理にかかる対応表自体を削 除して、 何人も匿名化の対応表にアクセスできないようにすれば、 完全 な匿名化が実現できる。 検体の収集のやり方如何によつては、 この方法 は、確実な匿名化方法となる。これが、連結不可能な匿名化方法である。  As a concrete method for this, complete anonymization can be realized by deleting the correspondence table itself for the anonymization process so that no one can access the correspondence table for anonymization. Depending on how the specimens are collected, this method is a reliable anonymization method. This is an anonymization method that cannot be linked.
しかし、 この手法では、 診断所見等を参照することができない上、 同 一患者にかかる複数の検体が時間差をもって採取された場合など検体 相互の連関性を把握することができなくなるなど、 通常の遺伝子解析研 究においては不都合となることが多い。  However, with this method, it is not possible to refer to diagnostic findings, etc., and it is not possible to grasp the linkage between samples, such as when multiple samples of the same patient are collected with a time difference. It is often inconvenient in analytical research.
そこで、 このような不都合を発生させずに確実な匿名化を図るための 手法としては、 検体や情報の識別情報自体に、 種々の付加情報を添えて 送付するとともに、 '参照の予想される他の情報についても同様な匿名化 処理を施して別途送付しておくという、 いわゆるデータフロー型の送付 制御を行うことが有効である。 これにより、 必要となる情報をホストに アクセスすることなくなり、 必要となる相互の関連性についての情報や 処理手順等の情報をローカルにて把握することが可能となる。 Therefore, as a technique for ensuring anonymity without causing such inconvenience, various additional information is added to the identification information of the specimen or information. It is effective to perform so-called data flow-type transmission control, in which the same information is sent and other information that is expected to be referenced is subjected to the same anonymization process and sent separately. This eliminates the need to access the required information to the host, and enables the local information to be obtained on information on the required mutual relevance and processing procedures.
さらに、 本発明の具体的システムについて、 詳述する。  Further, a specific system of the present invention will be described in detail.
図 1は、 本発明の匿名化システムを含む遺伝子解析研究の手順を示し ている。  FIG. 1 shows the procedure of a genetic analysis study including the anonymization system of the present invention.
同図に示すように、 病院側には臨床検査部門 1があり、 担当医が試料 等提供者 (患者) の患者情報を取得し、 診療を行なって、 患者情報及び 診療情報を個人識別情報管理室 2 の患者情報管理システム 3に供給し、 記憶させる。 また、 病院側研究遂行者は、 後述する研究側の研究責任者 の指示の下、 試料等提供者の同意を得た上で、 担当医に対して試料等提 供者から血液、 血清、 b u f f y c o a t , 組織、 細胞等の 1次検体 (試料) を採取するよう指示する。 この指示を受けた担当医は、 試料等 提供者から血液、 血清、 b u f f y c o a t , 組織、 細胞等の 1次 検体 (試料) を採取する。 次に、 これらの検体 (試料) に付けられた検 体番号に対して匿名化処理を行う。 そして、 匿名化された検体番号 (匿 名検体番号) に対応するパーコードが印刷されたラベルが、 検体を入れ た容器に貼付される。  As shown in the figure, there is a clinical laboratory 1 on the hospital side, in which the doctor in charge obtains patient information of the sample provider (patient), performs medical treatment, and manages patient information and medical information with personal identification information. It is supplied to the patient information management system 3 in room 2 and stored. In addition, the hospital researcher obtains the consent of the sample provider under the direction of the researcher, who will be described later, and gives the sample doctor blood, serum, buffy coat, etc. to the attending physician. Instruct to collect primary specimens (samples) such as tissues and cells. The attending physician who receives this instruction collects primary samples (samples) such as blood, serum, buffycoat, tissues, and cells from the sample donors. Next, anonymization processing is performed on the sample numbers assigned to these samples (samples). Then, a label printed with a percode corresponding to the anonymized sample number (anonymous sample number) is attached to the container containing the sample.
検体に貼付された匿名化された検体番号 (匿名検体番号) と、 匿名化 する前の検体番号 (匿名前検体番号) とを結びつける連結可能匿名化対 応表 (コード表) は、 匿名化システム 4に保存されており、 必要に応じ て検体に対応する患者の情報を取得することができる。 この連結可能匿 名化対応表から所定の検体に対応するレコードを削除することにより、 検体から試料等提供者を特定することができないようにする連結不可 能匿名化を行うことができる。 The linkable anonymization correspondence table (code table) that links the anonymized sample number (anonymous sample number) attached to the sample to the sample number before anonymization (anonymous sample number) is an anonymization system. 4 and the patient information corresponding to the sample can be obtained as needed. Deleting the record corresponding to a predetermined sample from this anonymized correspondence table prevents the sample from identifying the provider from the sample. Anonymization can be performed.
匿名化された患者情報及び診療情報と、匿名化された検体(試料)は、 研究側の研究部門 5に提供される。このとき、患者情報及び診療情報は、 フロッピーディスク等の記録媒体に記録して提供したり、 例えば、 DES (d a t a e n c r y p t i o n s t a n d a r d) 等のァノレゴリズ ムを用いて暗号化し、 ネットワークを介して提供することもできる。 勿 論、 暗号化の方法は DES に限定されるものではなく、 その他の様々な 方法で暗号化することができる。  The anonymized patient information and medical treatment information and the anonymized specimen (sample) are provided to the research department 5 on the research side. At this time, the patient information and the medical treatment information can be provided by recording on a recording medium such as a floppy disk, or can be provided via a network by encrypting using an anore algorithm such as DES (data encryption standar d). . Of course, the encryption method is not limited to DES, but can be encrypted by various other methods.
上述した病院側研究遂行者に対して指示を与える研究側の研究責任 者の上には、 研究実施機関の長がおり、 研究責任者は研究実施機関の長 に対して研究計風書を提出する。 研究実施機関の長は、 この研究計画書 の是非の判断を倫理委員会に委ねる。 倫理委員会の承認が得られると、 研究責任者は、 研究計画書に従って研究を行うために、 病院側研究遂行 者に対して所定の指示を適宜行う。  The head of the research institution that gives instructions to the researcher at the hospital mentioned above is the head of the research institution, and the head of research submits a research instrument draft to the head of the research institution. I do. The head of the research institution will delegate the decision on this research proposal to the Ethics Committee. Once approved by the Ethics Committee, the Principal Investigator will give prescribed instructions to the hospital researcher to conduct research in accordance with the research protocol.
図 2は、 図 1に示した病院側の個人識別情報管理室 2、 及ぴ研究側の 研究部門 5 (実験室 6及びゲノム解析室 7からなる) の具体的な機器構 成及ぴネットヮ—ク構成の例を示すプロック図である。 同図に示すよう に、 個人識別情報管理室の患者情報管理システム 3及び匿名化システム は、 患者情報を管理する処理及び匿名化処理を行うプログラム等を実 行するための W i n d o w s NTサーバ 21 (Windows は、 米国 M i c r o s o f t c o r p o r a t i o n の米国おょぴその他の国に おける商標または登録商標) と、 患者情報を管理する処理及び匿名化処 理を行うプログラム等が記憶されるとともに、 患者情報を記憶し、 管理 T O RDBMS ( r e l a t i o n a l d a t a b a s e m a n g e m e n t s y s t e m) が構築されたハードディスク等の記憶装置 22 と、 パーコードをラベルに印刷するパーコードプリンタ (BP) 又はラベ ルプリンタ) 23 等によって構成されている。 そして、 これらの機器は LAN ( 1 o c 1 a r e a n e t w o r k)によって接続されている。 一方、 研究部門 5は、 実験室 6とゲノム解析室 7とから構成され、 実 験室 6は、 W i n d o w s NTサーバ 61 と、 実験試料のデータが登 録されたデータベースが構築された記憶装置 62 と、 図示しない実験機 器を制御する 3ントローラ 63 と、 パーコードを印刷するパーコードプ リンタ (BP) 64 と、 シーケンサ 65 と、 シーケンサ 65を制御するパー ソナルコンピュータ (PC) 66と、 AFFYMETR I X ARRAYE R & GENEARRAY S CANNER (A F F YME T R I X 及ぴ GENE ARRAYは、 米国 AF F YMETR I X社の登録商標) 67 と、 AF FYMETR I X ARRAYER &GENEARRAY S CANNER 67を制御する PC68 と、 パーコードを読み取り、 対応 するデータを出力するバーコ一ドリーダ 69とから構成されている。 また、 ゲノム解析室 7は、 ゲノム解析を行うプログラムを実行するた めの UNIXサーバ 71 と、 ゲノム基本データを記憶する記憶装置 721と から構成されている。 そして、 これらの機器は研究機関内の LAN で接 続されており、 ファイアウォール (F i r e Wa l l (FW)) 8を介 してィンターネット 10に接続されている。また、研究機関内 LANには、 Proxyサーバ 9が接続されている。 Figure 2 shows the specific equipment configuration and network of the personal identification information management room 2 on the hospital side and the research department 5 (consisting of the laboratory 6 and the genome analysis room 7) on the research side shown in Figure 1. It is a block diagram which shows the example of a lock structure. As shown in the figure, the patient information management system 3 and the anonymization system in the personal identification information management room use the Windows NT server 21 (executing programs for managing the patient information and performing the anonymization process). Windows stores the Microsoft Corporation's trademark or registered trademark in the United States of America and other countries), and a program that performs processing for managing patient information and anonymization processing, and stores patient information. Management TO A storage device 22 such as a hard disk on which a RDBMS (relationaldatabase management system) is built, and a percode printer (BP) or label that prints the parcode on the label. Printer) 23 etc. These devices are connected by LAN (1 oc 1 area network). On the other hand, the research division 5 is composed of a laboratory 6 and a genome analysis room 7, and the laboratory 6 has a Windows NT server 61 and a storage device 62 on which a database in which data of experimental samples is registered is constructed. 3 controller 63 for controlling experimental equipment (not shown), per code printer (BP) 64 for printing per code, sequencer 65, personal computer (PC) 66 for controlling sequencer 65, and AFFYMETR IX ARRAYER & GENEARRAY S CANNER (AFF YME TRIX and GENE ARRAY are registered trademarks of AF F YMETR IX, Inc.) 67, AF FYMETR IX ARRAYER & PC 68 that controls GENEARRAY S CANNER 67, and read the corresponding data and read the corresponding data. And a bar code reader 69 for outputting. The genome analysis room 7 includes a UNIX server 71 for executing a program for performing a genome analysis, and a storage device 721 for storing basic genome data. These devices are connected via a LAN in the research institution, and are connected to the Internet 10 via a firewall (FireWall (FW)) 8. A proxy server 9 is connected to the LAN within the research institution.
次に、 図 3を参照して、 検体採取から匿名化された診療情報や患者情 報等の患者関連情報の受け渡しまでの一連の処理の流れについて説明 する。 まず、 臨床側 (病院側) の担当医は、 試料等提供者 (患者) に対 して診療を行い、 診療情報を得る。 そして、 得られた診療情報 (カルテ 等) と、 患者の氏名、 生年月 日、 性別、 住所、 電話番号、 指紋、 カルテ 番号等の、 患者個人を識別するための個人識別情報と、 疾病履歴等から なる患者情報を、 患者情報管理システム 3に登録する。 次に、 臨床側研究遂行者 (病院側研究遂行者) は、 試料等提供者から インフォームド · コンセント (IC) を受ける (研究内容の十分な説明に 基づく同意を得る)。 Next, with reference to FIG. 3, a flow of a series of processes from sample collection to delivery of patient-related information such as anonymized medical information and patient information will be described. First, the doctor in charge on the clinical side (hospital side) provides medical treatment to the sample provider (patient) and obtains medical information. The obtained medical information (such as medical records), personal identification information for identifying each patient, such as the patient's name, date of birth, gender, address, telephone number, fingerprint, medical record number, etc., and disease history, etc. Is registered in the patient information management system 3. Next, the clinical researcher (hospital researcher) receives informed consent (IC) from the sample provider (with consent based on a sufficient explanation of the research content).
次に、 臨床側研究遂行者の指示に基づいて担当医は、 試料等提供者か ら血液、 血清、 b u f f y c o a t , 組織、 細胞等の 1次検体 (1次 試料)を採取する。次に、図 4に示すような採取情報登録画面に従って、 採取した 1次検体についての採取情報を登録する。 例えば、 プロジヱク ト名、 チーム名、 患者番号、 担当医、 検体番号、 提供日時、 検体区分、 採取量、 特記事項等の採取情報を入力し、 プロジェク ト名、 チーム名、 患者番号を患者情報管理システム 3に登録する。 そして、 担当医、 検体 番号、 提供日時、 検体区分、 採取量、 特記事項等の採取情報を匿名化シ ステム 4に登録する。  Next, based on the instructions of the clinical researcher, the attending physician collects primary samples (primary samples) such as blood, serum, buffycoat, tissues, and cells from the sample donors. Next, according to the collection information registration screen shown in Fig. 4, the collection information on the collected primary sample is registered. For example, input the project name, team name, patient number, doctor in charge, sample number, date and time of provision, sample type, sample amount, special notes, etc., and manage the project name, team name, patient number and patient information. Register for system 3. Then, the collection information such as the doctor in charge, the sample number, the provision date and time, the sample classification, the collection amount, and special instructions are registered in the anonymization system 4.
次に、 匿名化システム 4は、 採取された検体の検体番号に対して連結 可能匿名化を行い、図 5に示すような連結可能匿名化対応表(コード表) を作成し、 記憶する。 連結可能匿名化対応表には、 匿名化した日を示す 匿名化日と、 検体番号 (匿名化する前の匿名前検体番号) と、 連結可能 匿名化された検体番号である連結可能匿名化検体番号とが互いに対応 付けられている。 この例の場合、 検体番号 「0 C 00 9 1 4 1 0 1」 に 対応する連結可能匿名化検体番号は 「A 3 7 3 3 0 C 0 1」 である。 ま た、 検体番号 「0 S 00 9 1 4 0 1」 に対応する連結可能匿名化検体番 号は 「A 5 7 3 30 S 0 1」 である。 連結可能匿名化対応表は、 必要に 応じて暗号化することができる。  Next, the anonymization system 4 performs linkable anonymization on the sample number of the collected sample, and creates and stores a linkable anonymization correspondence table (code table) as shown in FIG. The linkable anonymization correspondence table shows the date of anonymization, the sample number (sample number before anonymization before anonymization), and the linkable anonymized sample that is the linkable anonymized sample number. Numbers are associated with each other. In the case of this example, the connectable anonymized sample number corresponding to the sample number “0 C 00 9 1 4 1 0 1” is “A 3 7 3 0 C 0 1”. In addition, the connectable anonymized sample number corresponding to the sample number “0S00914001” is “A57330S01”. The linkable anonymization correspondence table can be encrypted if necessary.
病院内では、 患者情報や連結可能匿名化対応表等の各種情報が LAN ( l o c a l a r e a e t w o r k) を介してやりとりされるの で、 患者情報や連結可能匿名化対応表等の情報を所定の方法で暗号化し、 関係者以外の者に情報が漏洩しないようにすることができる。 ここで、 暗号化の方法は特に限定されない。 In a hospital, various information such as patient information and a linkable anonymization correspondence table is exchanged via a LAN (local area network), so that information such as patient information and a linkable anonymization correspondence table is encrypted by a predetermined method. It is possible to prevent information from leaking to persons other than those concerned. here, The method of encryption is not particularly limited.
図 6は、 匿名前検体番号 (匿名化する前の検体番号) と、 匿名検体番 号 (連結可能匿名化検体番号) のフォーマッ トの例を示している。 匿名 前検体番号は、 プロジェク ト区分 (P J区分) (胃がん、 肺がん等)、 検体区分 (血液、 細胞等)、 採取した日付、 連番等により構成され、 連 結可能匿名化検体番号は、 機関区分 (病院の識別番号 (例えば、 A : 国 立がんセンタ、 B:国立精神 ·神経センタ、 C:国立循環器病センタ、 D : 国立国際医療センタ、 E :国立小児病院、 F :国立医薬品食品衛生研究所))、 検体番号、 検体区分、 連番により構成されている。 機関区分と検体番号 を合わせた上位 5桁で匿名化患者 IDを構成する。 この匿  Figure 6 shows an example of the format of the anonymous sample number (sample number before anonymization) and the anonymous sample number (linkable anonymized sample number). Anonymous Sample numbers consist of the project category (PJ category) (stomach cancer, lung cancer, etc.), sample category (blood, cells, etc.), date of collection, serial number, etc. Category (hospital identification number (for example, A: National Cancer Center, B: National Psychiatry & Neurology Center, C: National Cardiovascular Center, D: National International Medical Center, E: National Children's Hospital, F: National Pharmaceutical) Food Sanitation Research Institute)), sample number, sample classification, and serial number. The anonymized patient ID is composed of the upper 5 digits including the institution classification and the sample number. This secret
名化患者 IDは各機関で共通である。 Named patient ID is common in each institution.
また、 図 7に示すように、 検体区分 「0B」 は血液 (検体種別は 1次検 体)、 「0S」 は皮膚 (検体種別は 1次検体)、 「00」 は臓器 (検体種別は 1 次検体)、 「0C」 は細胞 (検体種別は 2 次検体)、 「0U」 は培養細胞 (検 体種別は 2次検体)、 「0T」 は刺激細胞 (検体種別は 2, 3次検体)、 「0R」 は mRNA (メッセ ジャー RNA) (検体種別は 2, 3次検体)、 「0D」 は cDNA (complementary DNA (相捕的 DNA) ) (検体種別は 2, 3次 検体)、 「0G」 はゲ' ノム DNA (検体種別は 2, 3次検体) をそれぞれ表 している。  As shown in Fig. 7, sample category “0B” is blood (sample type is primary sample), “0S” is skin (sample type is primary sample), and “00” is organ (sample type is 1). “0C” is cells (sample type is secondary sample), “0U” is cultured cells (sample type is secondary sample), “0T” is stimulator cells (sample type is 2nd and 3rd sample) , “0R” is mRNA (messenger RNA) (sample type is 2nd and 3rd sample), “0D” is cDNA (complementary DNA) (sample type is 2nd and 3rd sample), “0G” "" Means gene DNA (specimen types are 2nd and 3rd samples), respectively.
なお、 この事例では、 3付と連番をもって、 第 1識別情報として、 氏 名等の個人に関する情報と対応付けを行うことになり、 その日付と連番 に係る記号列が第 2の識別情報である匿名化前の検体識別用の記号列 に共有される。 もちろん、 この日付と連番の他にも、 例えば、 患者番号 等の個人 I Dを第 1の識別情報として、 これらに係る記号列を第 2の識 別情報に共有させることができることはいうまでもない。  In this case, the number 3 and the serial number will be associated with personal information such as name as the first identification information, and the symbol string related to the date and serial number will be the second identification information. Is shared by the symbol string for specimen identification before anonymization. Of course, in addition to the date and the serial number, it is needless to say that, for example, a personal ID such as a patient number can be used as the first identification information, and a symbol string relating to these can be shared with the second identification information. Absent.
匿名前検体番号は、 病院側管理 ID (例えば、 カルテ番号) と一対多の 関係にあり、 同一患者の複数検体は 9桁のうちの最後 2桁の連番によつ て区別可能である。 匿名化後検体番号 (匿名検体番号) のうち、 患者に 対応する番号 (4桁 (上位 5桁のうちの最初の 1桁を除く 4桁)) はラ ンダムな数字 (アルファベッ トを含む) が割り当てられる。 なお、 連結 可能匿名化の場合、 同二患者には同一番号が割り当てられる。 The anonymous sample number is one-to-many with the hospital management ID (for example, a chart number). There is a relationship, and multiple samples of the same patient can be distinguished by the last two digits of the nine digits. In the anonymized sample number (anonymous sample number), the number corresponding to the patient (four digits (four digits excluding the first one of the top five digits)) is a random number (including the alphabet). Assigned. In the case of consolidation anonymization, the same patient is assigned the same number.
匿名化システム 4は、 図 6に示したフォーマットに従って、 匿名前検 体番号を匿名検体番号 (連結可能匿名化検体番号) に変換する。 連結可 能匿名化検体番号から検体番号への変換は、 図 5に示した連結可能匿名 化対応表に基づいて行うことができる。  The anonymization system 4 converts the anonymous sample number into an anonymous sample number (linkable anonymized sample number) in accordance with the format shown in FIG. The conversion from the linkable anonymized sample number to the sample number can be performed based on the linkable anonymized correspondence table shown in FIG.
図 5に示した連結可能匿名化対応表は、 病院側の個人識別情報管理室 2 の個人識別情報管理者のみアクセス可能とし、 連結可能匿名化対応表 を開覧したことを示す閲覧履歴をログとして残すようにするなどして、 外部への情報の漏洩を抑制するととともに、 万一情報が外部に漏洩した 場合でも、 いつ、 誰が情報を持ち出したのか特定できるようにする。 さ らに、 連結可能匿名化対応表の関覧は、 例えば、 1 日あたり (又は 1 回あたり) 10件に制限するなどして、一度に大量のデ一クを閲覧するこ とができないようにすることにより、 被害を最小限に抑えるようにする こともできる。 また、 連結可能匿名化対応表を印刷するために印刷を指 示する操作を行ったことをログとして残すようにすることもできる。 図 8は、 匿名化システム 4におけるユーザ認証画面を示している。 個 人識別情報管理者は、 連結可能匿名化対応表等を聞覽する場合、 プロジ ェク ト ID、 チーム ID、 ユーザ ID、 パスワ^"ドを入力する。 そして、 ュ 一ザ認証の結果、 個人識別情報管理者本人であることが認証されると、 個人識別情報管理者の権限でログインすることができる。 また、 図示せ ぬ指紋読み取り機を用いて、 指紋照合を行うことにより、 ユーザ認証を 行うようにすることも可能である。 指紋に限らず、 虹彩等のパイオメ ト リタスによるユーザ認証も可能である。また、連結可能匿名化対応表を、 個人識別情報管理者のみが知る方法で暗号化し、 記憶させるようにする こともできる。 これにより、 外部への情報の漏洩をさらに抑制すること ができる。 The linkable anonymization correspondence table shown in Fig. 5 is accessible only to the personal identification information manager in the personal identification information management room 2 on the hospital side, and logs a browsing history indicating that the linkable anonymization correspondence table was opened. In addition to suppressing the leakage of information to the outside, such as by leaving information as it is, in the event that information is leaked to the outside, it is possible to identify when and who took the information. Furthermore, the browsing of the linkable anonymization correspondence table is, for example, limited to 10 per day (or per time), so that a large number of discs cannot be viewed at one time. By doing so, the damage can be minimized. In addition, it is possible to leave a log indicating that an operation to instruct printing is performed to print the linkable anonymization correspondence table. FIG. 8 shows a user authentication screen in the anonymization system 4. When viewing the linkable anonymization correspondence table, etc., the personal identification information administrator enters the project ID, team ID, user ID, and password, and as a result of the user authentication, Once the personal identification information administrator is authenticated, the user can log in with the authority of the personal identification information administrator, and perform fingerprint verification using a fingerprint reader (not shown) to authenticate the user. It is also possible to perform not only fingerprints but also iris and other User authentication by Litas is also possible. Also, the linkable anonymization correspondence table can be encrypted and stored by a method known only to the personal identification information administrator. As a result, leakage of information to the outside can be further suppressed.
匿名化システム 4は、 検体番号の連結可能匿名化を行うことにより得 られた連結可能匿名化検体番号 (匿名検体番号) を示すパーコードを生 成し、 パーコードプリンタ 23 によリラベル等の印刷媒体に印刷するこ とができる。 The anonymization system 4 generates a par code indicating the connectable anonymized sample number (anonymous sample number) obtained by performing the connectable anonymization of the sample number, and prints a relabel or the like by the par code printer 23 . Can be printed on media.
図 9は、 連結可能匿名化を指示する画面例を示している。 同図に示す ように、 採取した検体に関するデータを、 検体を提供した提供日、 患者 番号、 患者名 (検体番号、 検体区分(腎臓、 心臓等) に基づいて検索し、 連結可能匿名化したい検体に対応する選択本関をマウス等を用いてク リックすることにより選択する。 そして、 「連結可能匿名化実行」 ボタ ンをマウス等を用いてクリックすることにより、 連結可能匿名化処理の 実行を指示する。 このとき、 同時に連結可能匿名化検体番号を示すパー コードの印刷が開始され、 図 10 に示すように、 パーコードのイメージ が画面に表示される。  FIG. 9 shows an example of a screen for instructing connection possible anonymization. As shown in the figure, the data on the collected samples is searched based on the date of providing the sample, patient number, and patient name (sample number, sample classification (kidney, heart, etc.), and the sample to be linked is anonymized. By clicking on the selected main function corresponding to, using a mouse, etc., the user can click on the “Execute linkable anonymization” button with a mouse, etc., to execute the linkable anonymization process. At this time, the printing of the par code indicating the anonymized sample number that can be connected is started at the same time, and the image of the par code is displayed on the screen as shown in FIG.
上記バーコ一ドが印刷されたラベルは、 個人識別情報管理者によって 対応する検体の容器に貼付される。 その後、 連結可能匿名化検体番号を 示すパーコードが印刷されたラベルが貼付された検体は、 研究部門 5に 提供される。  The label printed with the barcode is affixed to the corresponding sample container by the personal identification information manager. After that, the sample with the label printed with the percode indicating the linkable anonymized sample number is provided to the research department 5.
次に、患者情報管理システム 3に登録された患者情報(患者関連情報) をダウンロードする。 その場合、 図 11 に示すように、 連結可能匿名化 済患者一覧表を画面に表示させる。 連結可能匿名化済患者一覧表には、 各レコード毎に、 選択欄と、 提供日と、 連結可能匿名化検体番号が表示 される。 次に、 その中から所望の連結可能匿名化検体番号を、 対応する 選択欄をマウス等を用いてクリックすることにより選択する。 これによ り、連結可能匿名化、又は連結不可能匿名化を行つた検体の診療情報(患 者情報) をダウンロードすることができる。 Next, the patient information (patient related information) registered in the patient information management system 3 is downloaded. In that case, as shown in Fig. 11, a list of connectable anonymized patients is displayed on the screen. In the list of connectable anonymized patients, a selection field, a provision date, and a connectable anonymized sample number are displayed for each record. Next, the desired linkable anonymized sample number is The selection field is selected by clicking with a mouse or the like. As a result, it is possible to download the medical information (patient information) of a sample that has been anonymized to be connectable or non-connectable.
次に、 患者情報の匿名化を行う。 患者情報の匿名化は、 患者情報の中 の、 患者個人を識別可能な項目を削除又は加工することによって行うこ とができる。 例えば、 患者の氏名、 住所を患者情報から削除すれば、 患 者個人を識別す.ることは困難となる。 また、 生年月日を削除すれば、 さ らに患者個人を識別することは困難となる。 或いは、 氏名、 住所、 電話 番号、 指紋、 カルテ番号等のすべての項目を患者情報から完全に削除す れば、 患者個人を識別することが不可能となる。 或いは、 生年月日のう ちの日のみを削除して生年月とする。 又は、 生年月 日を実年齢を示すデ ータに変換する。 このようにして患者情報を匿名化する。  Next, anonymize patient information. Anonymization of patient information can be performed by deleting or processing items that can identify individual patients in patient information. For example, if a patient's name and address are deleted from patient information, it will be difficult to identify the individual patient. In addition, if the date of birth is deleted, it becomes more difficult to identify individual patients. Alternatively, if all items such as name, address, telephone number, fingerprint, and chart number are completely deleted from the patient information, it becomes impossible to identify the individual patient. Alternatively, only the date of birth is deleted and the date of birth is deleted. Or, convert the date of birth to data indicating the actual age. In this way, the patient information is anonymized.
その後、必要に応じて患者情報を暗号化する。暗号化した患者情報は、 フロッピーディスク等の記録媒体に記録され、 研究側に提供される。 或 いは、 インターネット等の所定のネットワークを介して研究側に提供さ れる。研究側に提供された暗号化された患者情報は、暗号化されたまま、 或いは復号化された後、 所定の記憶装置に登録され、 記憶される。  Thereafter, the patient information is encrypted as needed. The encrypted patient information is recorded on a recording medium such as a floppy disk and provided to the research side. Alternatively, it is provided to the research side via a predetermined network such as the Internet. The encrypted patient information provided to the research side is registered and stored in a predetermined storage device while being encrypted or after being decrypted.
一旦、 研究側に渡った検体を一括して連結不可能匿名化する場合、 図 12 に示すように、 まず、 運結不可能匿名化したい検体を病院側に渡す。 次に、 検体に貼付されているラベルに印刷されたバーコ一ドを読み取り、 連結可能匿名化済検体番号 (匿名検体番号の上位 5桁の匿名化患者 ID) を入力し、 検体数を入力すると、 図 12 に示すように、 該当する連結可 能匿名化検体番号が画面に表示される。  Once the specimens passed to the research side are collectively anonymized to be unconnectable, first, as shown in Fig. 12, the specimens to be unoperable and anonymized are given to the hospital. Next, read the bar code printed on the label attached to the sample, enter the concatenated anonymized sample number (the upper five digits of the anonymous sample number, the anonymized patient ID), and enter the number of samples. As shown in FIG. 12, the corresponding linkable anonymized sample number is displayed on the screen.
次に、 「連結本可能匿名化実行」 ポタンをクリックすると、 確認画面 が表示されるので、 再度、 「連結不可能匿名化実行」 ボタンをクリツ クすると、 連結不可能匿名化処理が実行される。 具体的には、 図 5に示 した連結可能匿名化対応表の対応するレコードが削除され、 匿名検体番 号の振り直しが行われるとともに、 新たに振り直しが行われた匿名検体 番号を示すパーコードがラベルに印刷される。 匿名検体番号の振り直し は次のようにして行う。 まず、 図 6の 4桁の検体番号をランダムに発生 させて、 機関区分、 検体区分、 及び連番を付加して匿名検体番号を生成 し、 その匿名検体番号がすでに存在する匿名検体番号と重複するか否か を判断する。 重複する場合は上述した処理を繰り返す。 そして、 生成し た匿名検体番号がすでに存在する匿名検体番号と重複しない場合、 その 匿名検体番号を新たな匿名検体番号とする。 個人識別情報管理者は連結 可能匿名化番号が印刷されたラベルを検体を入れた容器から剥がし、 新 たに生成された匿名検体番号が印刷されたラベルを検体の容器に貼り 付け、 研究側に提供する。 Next, when you click the “Consolidation anonymization execution” button, a confirmation screen is displayed. Click the “Consolidation anonymization execution” button again to execute the consolidation anonymization processing. . Specifically, Fig. 5 The corresponding record in the linked consolidation anonymization correspondence table is deleted, the anonymous sample number is reassigned, and a percode indicating the newly reassigned anonymous sample number is printed on the label. The reassignment of the anonymous sample number is performed as follows. First, an anonymous sample number is generated by randomly generating the 4-digit sample number shown in Fig. 6 and adding the institution classification, sample classification, and serial number.The anonymous sample number overlaps with the existing anonymous sample number. Decide whether to do it. If they overlap, the above processing is repeated. If the generated anonymous sample number does not overlap with an existing anonymous sample number, the anonymous sample number is used as a new anonymous sample number. The personal identification information manager peels off the label with the connectable anonymized number from the container containing the sample, pastes the newly generated label with the anonymous sample number on the sample container, and sends it to the research side. provide.
「連絡不可能匿名化実行」 ポタンをクリックする前に、 診療情報のグ ゥンロードをするように指定しておけば、 自動的に患者情報管理システ ム 3 に記憶されている診療情報を含む患者情報がダウンロードされる。 患者情報は上述した場合と同様の方法で匿名化され、 必要に応じて暗号 化された後、 フロッピーディスク等の記録媒体に記録されて研究側に提 供される。 或いは、 インターネット等のネットワークを介して研究側に 提供される。 · '  If you specify that medical information should be downloaded before clicking the “Unable to anonymize” button, the patient information including the medical information stored in the patient information management system 3 is automatically set. Is downloaded. The patient information is anonymized in the same manner as described above, encrypted if necessary, recorded on a recording medium such as a floppy disk, and provided to the research side. Alternatively, it is provided to the research side via a network such as the Internet. · '
病院側から研究側に提供された検体は、 バーコードリーダ 69 によつ て検体に貼り付けられたラベルに印刷されたパーコードの情報 (匿名検 体番号) が読み取られ、 患者情報と関連付けられる。 即ち、 パーコード リーダ 69 によって読み取られた検体の匿名検体番号の匿名化患者 ID (匿名検体番号の上位 5桁) と、 各患者情報に含まれる匿名化患者 ID によって互いに関連付けられる。 即ち、 患者情報は匿名化患者 ID によ つて管理されている。 従って、 連結不可能匿名化が行われても、 検体に 対応する診療情報を得ることができ、 その後の研究に利用することがで きる。 For the sample provided by the hospital to the research side, the barcode reader 69 reads the per-code information (anonymous sample number) printed on the label attached to the sample and associates it with patient information. . That is, the anonymized patient ID of the anonymous sample number of the sample read by the percode reader 69 (upper five digits of the anonymous sample number) and the anonymized patient ID included in each patient information are associated with each other. That is, the patient information is managed by the anonymized patient ID. Therefore, even if unlinkable anonymization is performed, The corresponding medical information can be obtained and used for subsequent research.
また、 予め採取された検体と、 その検体を提供した提供者の診療情報 とが既に所定の場所に存在する場合において、 その検体を連結可能匿名 化するときは、 上述した場合と同様にして、 検体に貼り付けられたラベ ルに印刷されたバーコ一ドによって表される検体番号 (匿名前検体番 号) に対応する匿名検体番号を生成するとともに、 連結可能匿名化対応 表を作成し、 匿名化システム 4等に保存する。 上記所定の場所は、 例え ば、 病院側で採取された検体及び診療情報をセッ トにして保存し、 必要 に応じて保存している検体及び診療情報を所定の研究機関に提供する 細胞バンクなどが考えられる。  Also, in the case where a previously collected sample and the medical information of the provider who provided the sample already exist in a predetermined place, when the sample is made connectable and anonymous, in the same manner as described above, Generates an anonymous sample number corresponding to the sample number (pre-anonymous sample number) represented by the barcode printed on the label attached to the sample, creates a linkable anonymization correspondence table, and creates an anonymous sample. And store it in the chemical system 4 etc. The above-mentioned predetermined place is, for example, a cell bank that stores a set of specimens and medical information collected at a hospital and provides the stored specimens and medical information to a predetermined research institution as needed. Can be considered.
連結可能匿名化された上記検体を連結不可能匿名化するときは、図 12 に示すように、 まず、 検体に貼付されているラベルに印刷されたバーコ ードを読み取り、 連結可能匿名化済検体番号 (匿名検体番号の上位 5桁 の匿名化患者 ID) を入力し、 検体数を入力すると、 該当する連結可能匿 名化検体番号が画面に表示される。  To anonymize the above anonymized sample that can be linked, first read the barcode printed on the label attached to the sample, as shown in Figure 12, and then connect the anonymized sample that can be linked. Enter the number (the upper 5 digits of the anonymous sample number of the anonymized patient ID) and enter the number of samples. The corresponding connectable anonymous sample number is displayed on the screen.
次に、 「連結不可能匿名化実行」 ボタンをクリックすると、 確認画面 が表示されるので、 再度、 「連結不可能匿名化実行」 ボタンをクリック すると、 連結不可能匿名化処理が実行される。 具体的には、 図 5に示し た連結可能匿名化対応表の対応するレコードが削除され、 匿名検体番号 の振り直しが行われるとともに、 新たに振り直しが行われた匿名検体番 号を示すパーコードがラベルに印刷される。.匿名検体番号の振り直しは 次のようにして行う。 まず、 図 6の 4桁の検体番号をランダムに発生さ せて、機関区分、検体区分、及び連番を付加して匿名検体番号を生成し、 その匿名検体番号がすでに存在する匿名検体番号と重複するか否かを 判断する。 重複する場合は上述した処理を繰り返す。 そして、 生成した 匿名検体番号がすでに存在する匿名検体番号と重複しない場合、 その匿 名検体番号を新たな匿名検体番号とする。 個人識別情報管理者は連結可 能匿名化番号が印刷されたラベルを検体を入れた容器から剥がし、 新た に生成された匿名検体番号が印刷されたラベルを検体の容器に貼り付 け、 研究側に提供する。 Next, if you click the “Consolidation impossible anonymization” button, a confirmation screen will be displayed. If you click the “Consolidation impossible anonymization” button again, the consolidation impossible anonymization process will be executed. Specifically, the corresponding record in the linkable anonymization correspondence table shown in Fig. 5 is deleted, the anonymous sample number is re-assigned, and the parser indicating the newly re-assigned anonymous sample number is deleted. The code is printed on the label. The reassignment of the anonymous sample number is performed as follows. First, a four-digit sample number shown in Fig. 6 is randomly generated, an anonymous sample number is generated by adding the institution category, sample category, and serial number. Determine if they overlap. If they overlap, the above processing is repeated. And generated If the anonymous sample number does not overlap with the existing anonymous sample number, the anonymous sample number is used as the new anonymous sample number. The personal identification information manager removes the label printed with the connectable anonymized number from the container containing the sample, affixes the newly generated label printed with the anonymous sample number to the sample container, and To provide.
また、 ある検体を破棄した場合、 破棄した検体の匿名検体番号を入力 し、 破棄したことを通知すると、 W i n d o w s N Tサーバ 61 は、 記憶装置 62 の実験試料 DB から上記患者情報を削除する。 また、 病院 側でも、 破棄した検体の匿名検体番号を入力し、 破棄したことを通知す ると、 W i n d o w s N Tサーバ 22 は、 破棄した検体に対応する診 療情報を記憶装置 21に記憶されている患者情報から削除する。  Further, when a certain sample is discarded, the anonymous sample number of the discarded sample is input, and when the discard is notified, the Windows NT server 61 deletes the patient information from the experimental sample DB in the storage device 62. Also, when the hospital inputs the anonymous sample number of the discarded sample and notifies that the discard has been performed, the Windows NT server 22 stores the medical information corresponding to the discarded sample in the storage device 21. From patient information.
次に、 各検体及び各情報の対応関係について説明する。 病院側では、 採取情報として登録した各レコードの検体番号(図 9の 9桁の検体番号) と患者番号 く図 9の患者番号) によって、 検体と診療情報 (患者情報) とが対応付けられている。 この検体番号と連結可能匿名化検体番号との 対応表(図 5)が病院側の匿名化システム 4等に保存されている。一方、 研究側では、 連結可能匿名化検体番号の上位 5桁で構成される匿名化患 者 ID によって、 連 可能匿名化検体番号に対応する検体の検体情報と 匿名化された診療情報とが対応付けられている。  Next, the correspondence between each sample and each piece of information will be described. On the hospital side, the specimen is associated with the medical information (patient information) by the specimen number (9-digit specimen number in Fig. 9) and the patient number (patient number in Fig. 9) of each record registered as the collection information. I have. A correspondence table (FIG. 5) between the sample number and the connectable anonymized sample number is stored in the hospital-side anonymization system 4 or the like. On the other hand, on the research side, the anonymized patient ID consisting of the upper five digits of the concatenated anonymized sample number corresponds to the sample information of the sample corresponding to the concatenated anonymized sample number and the anonymized medical information. It is attached.
患者番号と検体番号とは 1対多で対応しており、 検体番号は同一の患 者から採取した複数の検体を識別することができる。 そして、 検体番号 と 1対 1に対応する連結可能匿名化検体番号が生成され、検体番号と連 結可能匿名化検体番号とは、 連結可能匿名化対応表の対応情報によって 対応付けられている。 従って、 連結可能匿名化対応表の所定の連結可能 匿名化検体番号に対応する対応情報を削除することにより、 検体毎に、 連結不可能匿名化及ぴ連結可能匿名化のいずれかの匿名化を行うこと ができる。 There is a one-to-many correspondence between patient numbers and sample numbers, and sample numbers can identify multiple samples collected from the same patient. Then, a connectable anonymized sample number corresponding to the sample number one-to-one is generated, and the sample number and the connectable anonymized sample number are associated with each other by the correspondence information in the connectable anonymized correspondence table. Therefore, by deleting the corresponding information corresponding to the predetermined connectable anonymized sample number in the connectable anonymization correspondence table, either anonymization of non-connectable or connectable anonymization can be performed for each sample. What to do Can be.
また、 例えば、 検体番号の代わりに患者番号を検体に付与し、 最初は 各患者から採取した検体を患者番号で識別するようにし、 検体に付与さ れた患者番号に代えて連結可能匿名化検体番号を新たに生成し、 生成し た連結可能匿名化検体番号を患者番号に代えて検体に付与し、 患者番号 と連結可能匿名化検体番号とを対応付けた対応情報からなる連結可能 匿名化対応表を作成するようにすることもできる。 この場合、 連結可能 匿名化対応表の所定の連結可能匿名化検体番号に対応する対応情報を 削除することにより、 患者毎に、 その患者に対応する連結可能匿名化検 体番号が付与された検体に対して連結不可能匿名化を行うことができ る。  Also, for example, a patient number is assigned to the sample instead of the sample number, and the sample collected from each patient is first identified by the patient number, and a concatenated anonymized sample is used instead of the patient number assigned to the sample. A new number is generated, the generated linkable anonymized sample number is assigned to the sample instead of the patient number, and the linkable anonymization support consisting of the correspondence information that associates the patient number with the linkable anonymized sample number You can also create a table. In this case, by deleting corresponding information corresponding to a predetermined connectable anonymized sample number in the connectable anonymized correspondence table, a sample to which a connectable anonymized sample number corresponding to the patient is assigned for each patient. Unlinkable anonymization can be performed for.
次に、 上記患者情報管理システム 3及ぴ匿名化システム 4のパックァ ップ処理について説明する。 患者情報管理システム 3には、 患者情報及 ぴ診療情報が記憶されている。 これらの情報は、 W i n d o w s NT サーバ 21 の所定のプログラムに従って、 図示しないパックアップ用の ハードディスク等の記憶装置、或いは、フロッピーディスク、 CD— R ( c o m ρ a c t d i s c一 r e c o r d a b l e)、 CD一 RW 、 c o m a c t d i s c— r e w r i t a b l e) 等の記録媒体に定期的に パックアップされる。 そして、 パックアップされた患者情報及ぴ診療情 報と、 患者情報管理システム 3に記憶されている現在の患者情報及び診 療情報とが定期的に照合され、 パックアップされた患者情報及び診療情 報と、 患者情報管理システム 3に記憶されている現在の患者情報及び診 療情報とが異なるとき、 患者情報及び診療情報のバックアツプが行われ る。 このようにして、 矛盾なく リストアが実現される。  Next, the backup process of the patient information management system 3 and the anonymization system 4 will be described. The patient information management system 3 stores patient information and medical treatment information. This information is stored in a storage device such as a hard disk for backup (not shown), a floppy disk, CD-R (com ρ actdisc-recordable), CD-RW, and comactdisc- in accordance with a predetermined program of the Windows NT server 21. rewritable) and regularly backed up to recording media. The packed patient information and medical information are periodically collated with the current patient information and medical information stored in the patient information management system 3, and the packed patient information and medical information are periodically compared. When the information and the current patient information and medical information stored in the patient information management system 3 are different, the patient information and medical information are backed up. In this way, restoration is realized without contradiction.
また、 匿名化システム 4には、 連結可能匿名化対応表が記億されてい る。 この連結可能匿名化対応表は、 W i n d o w s NTサーバ 21 の 所定のプログラムに従って、 図示しないパックアップ用のハードデイス ク等の記憶装置、 或いは、 フロッピーディスク、 CD— R、 CD— RW 等 の記録媒体に定期的にパックアップされる。 そして、 パックアップされ た連結可能匿名化対応表と、 匿名化システム 4に記憶されている現在の 連結可能匿名化対応表とが照合され、 パックアップされた連結可能匿名 化対応表と、 匿名化システム 4に記憶されている現在の連結可能匿名化 対応表とが異なるとき、 連結可能匿名化対応表のパックァップが行われ る。 Also, the anonymization system 4 has a linkable anonymization correspondence table. This linkable anonymization correspondence table is provided by Windows NT Server 21. In accordance with a predetermined program, the data is periodically backed up to a storage device such as a hard disk for backup (not shown) or a recording medium such as a floppy disk, CD-R, or CD-RW. Then, the packed linkable anonymization correspondence table is compared with the current linkable anonymization correspondence table stored in the anonymization system 4, and the packed linkable anonymization correspondence table and the anonymization are compared. When the current linkable anonymization correspondence table stored in the system 4 is different, a backup of the linkable anonymization correspondence table is performed.
また、 連結可能匿名化対応表を更新したときの操作履歴等のログ情報 をハードディスク等の記憶装置に記憶させたり、 磁気テープ等の記録媒 体に記録することができる。 これにより、 万一、 連結可能匿名化対応表 の一部 (例えば現在のデータ) が消失した場合でも、 ログ情報から現在 の連結可能匿名化対応表を復元することができる。 このようにして、 矛 盾なく リストァが実現される。  Further, log information such as operation history when the linkable anonymization correspondence table is updated can be stored in a storage device such as a hard disk, or can be recorded on a recording medium such as a magnetic tape. As a result, even if part of the linkable anonymization correspondence table (for example, current data) is lost, the current linkable anonymization correspondence table can be restored from the log information. In this way, a restorer is realized without contradiction.
また、 連結可能匿名化対応表やログ情報を、 RA I D (R e d u n d a n t A r r.'a y s o f I n e x p e n s i v e D i n k s ) と 呼ばれる方式で記憶させるようにすれば、 さらに信頼性を高めることが できる。 ここで、 RA I Dとは、 複数のハードディスクに情報を重複し て記憶させることにより、 高い信頼性と性能を実現する記憶方式である c また、 連結可能匿名化対応表、 及'ぴログ情報をそれぞれ物理的に独立 した記録媒体に記録させたり、 他の情報が記憶され.る記憶装置とは別の 記憶装置に独立して記憶させることにより、 より安全性を高めることが できる。 例えば、 連結可能匿名化対応表を毎日定期的にハードディスク や磁気テープなどにパックアップしておけば、 現在の連結匿名化対応表 が消失した場合でも、 昨 0の連結可能匿名化対応表と口グ情報とに基づ いて、 現在の連結可能匿名化対応表を復元することができる。 このように、 連結可能匿名化対応表とログ情報は、 それぞれ患者情報 及び診療情報などのその他の情報とは物理的に異なる記憶装置又は記 録媒体に分けてパックアップされる。 従って、 連結可能匿名化対応表の 一部が消失した場合やそのパックアップデータの一部が消失した場合 でも、 それによる被害を最小限に抑えることができる。 If the linkable anonymization correspondence table and log information are stored in a system called RA ID (Redundant Arr. 'Aysof Inexpensive Dinks), the reliability can be further improved. Here, RA ID is a storage method that achieves high reliability and performance by storing information redundantly on multiple hard disks.c Also, the linkable anonymization correspondence table and log information The security can be further improved by recording the information on physically independent recording media or storing the information separately in a storage device different from the storage device in which other information is stored. For example, if the linkable anonymization correspondence table is regularly backed up to a hard disk or magnetic tape every day, even if the current linkable anonymization correspondence table is lost, the linkable anonymization correspondence table and the connection link anonymization correspondence table of last year are lost. The current linkable anonymization correspondence table can be restored based on the link information. In this way, the linkable anonymization correspondence table and the log information are packed up in a storage device or a recording medium that is physically different from other information such as patient information and medical information. Therefore, even if a part of the linkable anonymization correspondence table is lost or a part of the backup data is lost, the damage caused by the loss can be minimized.
また、 上述したような処理を実行するプログラムは、 CD— ROM ( c o m p a c t d i s c r e a d o n l y m e mo r y)、 DVD (d i g i t a l v e r s a t i l e d i s c )、 フロッピーディ スク、 メモリカード等の様々な記録媒体に記録して提供することができ る。 そして、 'そのプログラムは、 W i n d o w s NTサーバ 21, 61 の動作を制御し、 プログラム制御された W i n d o w s NTサーバ 21) 61が上記プログラムにより指令される所定の処理を実行する。  Further, the program for performing the above-described processing can be provided by recording it on various recording media such as a CD-ROM (compatctsdiscr eadonry), a DVD (digitalvverrs), a floppy disk, and a memory card. Then, the program controls the operation of the Windows NT servers 21 and 61, and the Windows NT server 21) 61 controlled by the program executes predetermined processing instructed by the programs.
なお、 上記実施の形態においては、 パーコードを印刷したラベルを検 体に貼り付けるようにしたが、 パーコード以外のその他のコードを用い ても良い。  In the above embodiment, the label on which the percode is printed is attached to the specimen, but other codes other than the percode may be used.
また、 上記実施の形態の構成及び動作は例であって、 本発明の趣旨を逸 脱しない範囲で適宜変更することができることは言うまでもない。 Further, the configuration and operation of the above embodiment are examples, and it is needless to say that the configuration and operation can be appropriately changed without departing from the spirit of the present invention.

Claims

請求の範囲 The scope of the claims
1 . 個人にかかる情報の匿名化方法であって、 1. A method of anonymizing personal information,
個人の識別が可能な第 1の識別情報を生成または入力するステップ、 所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶するステップと、 Generating or inputting first identification information capable of identifying an individual; storing first information relating to a predetermined individual in association with the first identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 2の情 報を識別可能となるよう必要な桁数を有する記号列をもって構成され る第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成す るステップと、 At least, the second identification information, which shares a part of the first identification information and includes a symbol string having the necessary number of digits so that the second information relating to the individual can be identified, Generating such that the second information of the information is identifiable;
該生成された第 2の識別情報を、 各第 2の情報に関連付ける指示を発行 するステップと、 Issuing instructions for associating the generated second identification information with each second information;
前記第 2の識別情報と 1対 1に対応し、 第 1の識別情報を類推不可能な 第 3の識別情報を生成するステップ、 Generating third identification information that corresponds to the second identification information on a one-to-one basis and that cannot infer the first identification information;
該第 2の識別情報と該第 3の識別情報との対応情報を記憶するステツ プと A step of storing correspondence information between the second identification information and the third identification information;
前記第 2の情報に対する、 第 2の識別情報との関連付けを解消し、 同時 に前記第 3の識別情報を関連付ける指示を発行するステップとを、 備えることを特徴とする個人にかかる情報の匿名化方法。 Canceling the association of the second information with the second identification information, and simultaneously issuing an instruction for associating the third identification information with the second information. Method.
2 . 前記関連付けとは、 第 2の情報を記録した媒体に対し、 前記第 2乃 至第 3の識別情報に对応するバーコ一ドラベルを発行し、 該ラベルを物 理的に貼付することであり、  2. The association means that a bar code label corresponding to the second to third identification information is issued to a medium on which the second information is recorded, and the label is physically affixed. Yes,
前記関連付けを解消するとは、 該ラベルを物理的に剥離することであり、 前記指示を発行するとは、 それら一連の操作についての指示を認識可能 な形式にて表示することである請求の範囲 1に記載の個人にかかる情 報の匿名化方法。 Claim 1 means that the association is canceled means that the label is physically peeled off, and that issuing the instruction means that the instruction about the series of operations is displayed in a recognizable format. How to anonymize the information pertaining to the listed individual.
3 . 前記関連付けとは、 第 2の情報を、 前記第 2乃至第 3の識別情報を 検索子として検索可能に記憶することであり、 3. The association is to store the second information in a searchable manner using the second to third identification information as a search element,
前記第 2の識別情報との関連付けを解消し、 同時に前記第 3の識別情報 との関連付けを指示するとは、 第 2の情報の検索子を第 2の識別情報か ら第 3の識別情報に変更して記憶し直すことであり、 Dissolving the association with the second identification information and simultaneously instructing the association with the third identification information means changing the search element of the second information from the second identification information to the third identification information And remember again,
前記指示を発行するとは、 それら一連の処理を実行することである請求 の範囲 1に記載の個人にかかる情報の匿名化方法。 The method for anonymizing information pertaining to an individual according to claim 1, wherein issuing the instruction means executing the series of processes.
4 . 個人情報を匿名化する方法であって、  4. A method of anonymizing personal information,
個人の識別が可能な第 1の識別情報を生成または入力するステップ、 所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶するステップと、 Generating or inputting first identification information capable of identifying an individual; storing first information relating to a predetermined individual in association with the first identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 2の情 報を識別可能となるよう必要な桁数を有する記号列をもって構成され る第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成す るステップと、 At least, the second identification information, which shares a part of the first identification information and includes a symbol string having the necessary number of digits so that the second information relating to the individual can be identified, Generating such that the second information of the information is identifiable;
該生成された第 2の識別情報を、 各第 2の情報に関連付ける指示を発行 するステップと、 Issuing instructions for associating the generated second identification information with each second information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 3の情 報を識別可能となるよう必要な桁数を有する記号列をもつて構成され る第 3の識別情報を、 個々の第 3の情報が識別可能となるように生成す るステップと、 At least, the third identification information is configured to have a symbol string that shares a part of the first identification information and has a necessary number of digits so that the third information relating to the individual can be identified. Generating individual tertiary information so that it is identifiable;
該生成された第 3の識別情報を、 各第 3の情報に関連付ける指示を発行 するステップと、 Issuing an instruction for associating the generated third identification information with each third information;
次に、 前記第 2の識別情報及び前記第 3の識別情報とそれぞれ 1対 1に 対応し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第 2の識別情報及び前記第 3の識別情報がともに共有する第 1の識別情 報に係る記号列に対応する記号列がその一部に共通して含まれる第 4 の識別情報及ぴ第 5の識別情報を生成するステップ、 Next, each of the second identification information and the third identification information has a one-to-one correspondence, and the first identification information is a symbol string that cannot be inferred, and the second identification information and The first identification information shared by the third identification information Generating a fourth identification information and a fifth identification information in which a symbol string corresponding to the symbol string relating to the information is included in a part thereof in common;
該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する ステップと Storing first correspondence information between the second identification information and the fourth identification information;
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する ステップと Storing second correspondence information between the third identification information and the fifth identification information; and
第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を解消 し、 同時に前記第 4並びに第 5の識別情報を関連付ける指示を発行する ステップと Canceling the second and third identification information for the second and third information, and simultaneously issuing an instruction for associating the fourth and fifth identification information with each other;
を備えることを特 :とする個人にかかる情報の匿名化方法。 A method for anonymizing information relating to individuals, which is characterized by having:
5 . 前記第 2の情報が対応する個人についての診断所見情報であり、 前記第 3の情報が対応する個人についての検体識別記号であり、 前記関連付けるとは、 対応する識別情報を検索子として検索可能に記憶 することであって、  5. The second information is diagnostic finding information on the corresponding individual, the third information is a specimen identification symbol on the corresponding individual, and the associating searches for the corresponding identification information as a search element. To remember as much as possible,
前記第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を 解消し、 同時に前記第 4並びに第 5の識別情報を関連付けるとは、 第 2 並びに第 3の情報の検索子を第 2並びに第 3の識別情報から第 4並ぴ に第 5の識別情報に変更して記憶し直すことであり、 Resolving the second and third identification information with respect to the second and third information, and simultaneously associating the fourth and fifth identification information, means that the search element of the second and third information is Changing from the second and third identification information to the fourth identification information and the fifth identification information, and re-storing them.
前記指示を発行するとは、 それら一連の処理を実行することである請求 の範囲 4に記載の個人にかかる情報の匿名化方法。 5. The method according to claim 4, wherein issuing the instruction means executing the series of processes.
6 . 個人にかかる情報の匿名化方法であって、  6. A method of anonymizing personal information,
個人の識別が可能な第 1の識別情報を生成または入力するステップ、 所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶するステップと、 Generating or inputting first identification information capable of identifying an individual; storing first information relating to a predetermined individual in association with the first identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る診断所見 情報を識別可能となるよう必要な桁数を有する記号列をもって構成さ れる第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成 するステップと、 At least a symbol string that shares a part of the first identification information and has the necessary number of digits so that the diagnostic finding information on the individual can be identified. Generating second identification information to be identified so that each piece of second information is identifiable;
各診断所見情報を、 該生成された第 2の識別情報を検索子として記憶す るステップと、 Storing each of the diagnostic finding information as a search element using the generated second identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る検体を識 別可能となるよう必要な桁数を有する記号列をもって構成される第 3 の識別情報を、 個々の検体が識別可能となるように生成するステップと、 各検体に対し、 該生成された第 3の識別情報との関連付けの指示を発行 するステップと、 At least the third identification information, which shares a part of the first identification information and is composed of a symbol string having a required number of digits so that the sample relating to the individual can be identified, Generating the identification information so as to be identifiable; and issuing an instruction for associating each sample with the generated third identification information;
該生成された第 3の識別情報を、 各第 3の情報に関連付ける指示を発行 するステップと、 Issuing an instruction for associating the generated third identification information with each third information;
次に、 前記第 2の識別情報及び前記第 3の識別情報とそれぞれ 1对 1に 対応し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第 2の識別情報及び前記第 3の識別情報がともに共有する第 1の識別情 報に係る記号列に対応する記号列がその一部に共通して含まれる第 4 の識別情報及び第 5の識別情報を生成するステップ、 Next, each of the second identification information and the third identification information corresponds to 1 对 1, and the first identification information is a symbol string that cannot be inferred, and the second identification information and A step of generating fourth identification information and fifth identification information in which a symbol string corresponding to the symbol string relating to the first identification information shared by the third identification information is included in a part thereof; ,
該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する ステップと Storing first correspondence information between the second identification information and the fourth identification information;
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する ステップと Storing second correspondence information between the third identification information and the fifth identification information; and
前記診断所見情報に関する検索子を、 第 2の識別情報から第 4の識別情 報に変更して記憶し直す指示を発行するステップと、 Issuing an instruction to change the search element relating to the diagnostic finding information from the second identification information to the fourth identification information and to store it again;
前記検体に対する、 第 3の識別情報との関連付けを解消し、 同時に第 5 の識別情報との関連付けの指示を発行するステップと、 Canceling the association of the sample with the third identification information, and simultaneously issuing an instruction of association with the fifth identification information;
を備えることを特徴とする個人にかかる情報の匿名化方法。 A method for anonymizing information relating to an individual, comprising:
7 . 前記対応情報についての記憶の一部又は全部を消去する連結不可能 化の指示を発行するステップを 7. Unable to delete part or all of the storage of the correspondence information Issue the instruction for
さらに備えることを特徴とする請求の範囲 1〜 7の何れか 1項に記載 の個人にかかる情報の匿名化方法。 The method for anonymizing personal information according to any one of claims 1 to 7, further comprising:
8 . 個人にかかる情報を匿名化して移送する方法であって、  8. Anonymous transfer of personal information,
個人の識別が可能な第 1の識別情報を生成または入力するステップ、 所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶するステップと、 Generating or inputting first identification information capable of identifying an individual; storing first information relating to a predetermined individual in association with the first identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 2の情 報を識別可能となるよう必要な桁数を有する記号列をもって構成され る第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成す るステップと、 At least, the second identification information, which shares a part of the first identification information and includes a symbol string having the necessary number of digits so that the second information relating to the individual can be identified, Generating such that the second information of the information is identifiable;
該生成された第 2の識別情報を、 各第 2の情報に関連付ける指示を発行 するステップと、 Issuing instructions for associating the generated second identification information with each second information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 3の情 報を識別可能となるよう必要な桁数を有する記号列をもつて構成され る第 3の識別情報を、 個々の第 3の情報が識別可能となるように生成す るステップと、 At least, the third identification information is configured to have a symbol string that shares a part of the first identification information and has a necessary number of digits so that the third information relating to the individual can be identified. Generating individual tertiary information so that it is identifiable;
該生成された第 3の識別情報を、 各第 3の情報に関連付ける指示を発行 するステップと、 Issuing an instruction for associating the generated third identification information with each third information;
次に、 前記第 2の識別情報及び前記第 3の識別情報とそれぞれ 1対 1に 対応し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第Next, the second identification information and the third identification information correspond to the one-to-one correspondence with the first identification information, and the first identification information is a symbol string that cannot be analogized, and
2の識別情報及び前記第 3の識別情報がともに共有する第 1の識別情 報に係る記号列に対応する記号列がその一部に共通して含まれる第 4 の識別情報及び第 5の識別情報を生成するステップ、 The fourth identification information and the fifth identification in which a symbol string corresponding to the symbol string corresponding to the first identification information shared by both the second identification information and the third identification information are commonly included in a part thereof. Generating information,
該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する ステップと 該第 3の識別情報と該第 5の識別情報との第 2の对応情報を記憶する ステップと Storing first correspondence information between the second identification information and the fourth identification information; Storing second correspondence information between the third identification information and the fifth identification information;
第 2並びに第 3の情報に対する、 前記第 2並びに第 3の織別情報を解消 し、 同時に前記第 4並びに第 5の識別情報を関連付ける指示を発行する ステップと、 Canceling the second and third weaving information for the second and third information, and simultaneously issuing an instruction for associating the fourth and fifth identification information;
第 4及び第 5の識別情報と関連付けられた第 2及び第 3の情報を、 所要 の移送先に対し、 移送することを指示するステップと、' Instructing the required destination to transfer the second and third information associated with the fourth and fifth identification information;
移送された第 2及び第 3の情報を、 第 4及び第 5の識別情報に関連付け て別途記憶するステップと Separately storing the transferred second and third information in association with the fourth and fifth identification information;
を備えることを特徴とする個人にかかる情報を匿名化して移送する方 法。 A method for anonymously transferring information relating to individuals, comprising:
9 . 前記第 2の情報が対応する個人についての診断所見情報であり、 前記第 3の情報が対応する個人についての検体識別記号であり、 前記関連付けるとは、 対応する識別情報を検索子として検索可能に記憶 することであって、  9. The second information is diagnostic finding information on the corresponding individual, the third information is a specimen identification symbol on the corresponding individual, and the associating searches for the corresponding identification information as a search element. To remember as much as possible,
前記第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を 解消し、 同時に前記第 4並びに第 5の識別情報を関連付けるとは、 第 2 並びに第 3の情報の検索子を第 2並びに第 3の識別情報から第 4並ぴ に第 5の識別情報に変更して記憶し直すことであり、 Resolving the second and third identification information with respect to the second and third information, and simultaneously associating the fourth and fifth identification information, means that the search element of the second and third information is Changing from the second and third identification information to the fourth identification information and the fifth identification information, and re-storing them.
前記移送するとは、 通信手段により、 送受信することであり、 The term “transporting” refers to transmitting and receiving by communication means,
前記指示を発行するとは、 それら一連の処理を実行することである請求 の範囲 8に記載の個人にかかる情報を匿名化して移送する方法。 9. The method according to claim 8, wherein issuing the instruction means executing the series of processes.
1 0 . 個人にかかる情報を匿名化して移送する方法であって、  10. Anonymous transfer of personal information,
個人の識別が可能な第 1の識別情報を生成または入力するステップ、 所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶するステップと、 少なくとも、 第 1の識別情報の一部を共有しかつ該個人に係る診断所見 情報を識別可能となるよう必要な桁数を有する記号列をもって構成さ れる第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成 するステップと、 Generating or inputting first identification information capable of identifying an individual; storing first information relating to a predetermined individual in association with the first identification information; At least the second identification information, which shares a part of the first identification information and has a symbol string having a required number of digits so that the diagnostic finding information on the individual can be identified, Generating the information to be identifiable;
各診断所見情報を、 該生成された第 2の識別情報を検索子として記憶す るステップと、 Storing each of the diagnostic finding information as a search element using the generated second identification information;
少なくとも、 第 1の識別情報の一部を共有しかつ該個人に係る検体を識 別可能となるよう必要な桁数を有する記号列をもって構成される第 3 の識別情報を、 個々の検体が識別可能となるように生成するステップと、 各検体に対し、 該生成された第 3の識別情報との関連付けの指示を発行 するステップと、 At least the third identification information, which shares a part of the first identification information and is composed of a symbol string having a required number of digits so that the sample relating to the individual can be identified, is identified by each individual sample. Generating the sample so that the sample can be generated; and issuing an instruction for associating each sample with the generated third identification information;
該生成された第 3の識別情報を、 各第 3の情報に関連付ける指示を発行 するステップと、 Issuing an instruction for associating the generated third identification information with each third information;
次に、 前記第 2の識別情報及び前記第 3の識別情報とそれぞれ 1対 1に 対応し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第Next, the second identification information and the third identification information correspond to the one-to-one correspondence with the first identification information, and the first identification information is a symbol string that cannot be analogized, and
2の識別情報及び前記第 3の識別情報がともに共有する第 1の識別情 報に係る記号列に対応する記号列がその一部に共通して含まれる第 4 の識別情報及び第 5の識別情報を生成するステップ、 The fourth identification information and the fifth identification in which a symbol string corresponding to the symbol string corresponding to the first identification information shared by both the second identification information and the third identification information are commonly included in a part thereof. Generating information,
該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する ステップと Storing first correspondence information between the second identification information and the fourth identification information;
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する ステップと Storing second correspondence information between the third identification information and the fifth identification information; and
前記診断所見情報に関する検索子を、 第 2の識別情報から第 4の識別情 報に変更して記憶し直す指示を発行するステップと、 Issuing an instruction to change the search element relating to the diagnostic finding information from the second identification information to the fourth identification information and to store it again;
前記検体に対する、 第 3の識別情報との関連付けを解消し、 同時に第 5 の識別情報との関連付けの指示を発行するステップと、 第 4の識別情報を検索子として検索可能な診断情報と、 第 5の識別情報 と関連付けられた検体とを、 それぞれ共通の移送先に対する移送を指示 するステップと、 Canceling the association of the sample with the third identification information, and simultaneously issuing an instruction of association with the fifth identification information; Instructing transfer of diagnostic information that can be searched using the fourth identification information as a search element and a sample associated with the fifth identification information to a common transfer destination, respectively;
移送された診断情報を第 4の識別情報を検索子として別途記憶するス テツプと、 A step of separately storing the transferred diagnostic information as the fourth identification information as a search element;
移送された検体に関連付けられた第 5の識別情報を検出し、 前記第 4の 識別情報に共通して含まれる、 前記第 1の識別情報に係る記号列に対応 する記号列により、 該検体に対応する診断情報を読み出す指示を発行す るステップと The fifth identification information associated with the transferred sample is detected, and a symbol string corresponding to the symbol string related to the first identification information, which is included in common with the fourth identification information, is used for the sample. Issuing an instruction to read the corresponding diagnostic information;
を備えることを特徴とする個人にかかる情報を匿名化して移送する方 法。 A method for anonymously transferring information relating to individuals, comprising:
1 1 . 前記対応情報についての記憶の一部又は全部を消去するステップ を  1 1. The step of erasing part or all of the storage of the correspondence information
さらに備えることを特徴とする請求の範囲 8〜 1 0の何れか 1項に記 載の個人にかかる情報を匿名化して移送する方法。 The method according to any one of claims 8 to 10, further comprising anonymously transferring information relating to the individual described in any one of claims 8 to 10.
1 2 . 個人にかかる情報を匿名化するシステムであって、  1 2. This is a system for anonymizing personal information,
個人の識別が可能な第 1の識別情報を生成または入力する第 1識別情 報生成手段、 First identification information generating means for generating or inputting first identification information capable of identifying an individual;
所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶する第 1記憶手段と、 First storage means for storing first information relating to a predetermined individual in association with the first identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 2の情 報を識別可能となるよう必要な桁数を有する記号列をもって構成され る第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成す る第 2識別情報生成手段と、 At least, the second identification information, which shares a part of the first identification information and includes a symbol string having the necessary number of digits so that the second information relating to the individual can be identified, Second identification information generating means for generating the second information of the second identification information so as to be identifiable;
該生成された第 2の識別情報を、 各第 2の情報に関連付ける指示を発行 する第 1指示発行手段と、 前記第 2の識別情報と 1対 1に対応し、 第 1の識別情報を類推不可能な 第 3の識別情報を生成する第 3識別情報生成手段、 First instruction issuing means for issuing an instruction for associating the generated second identification information with each piece of second information; A third identification information generating unit that generates third identification information that corresponds to the second identification information on a one-to-one basis and that cannot infer the first identification information;
該第 2の識別情報と該第 3の識別情報との対応情報を記憶する第 2記 憶手段と Second storage means for storing correspondence information between the second identification information and the third identification information;
前記第 2の情報に对する、 第 2の識別情報との関連付けを解消し、 同時 に前記第 3の識別情報を関連付ける指示を発行する第 2指示発行手段 とを、 A second instruction issuing means for canceling the association with the second identification information corresponding to the second information and simultaneously issuing an instruction for associating the third identification information;
備えることを特徴とする個人にかかる情報を匿名化するシステム。 A system for anonymizing information relating to individuals, comprising:
1 3 . 前記関連付けとは、 第 2の情報を記録した媒体に対し、 前記第 2 乃至第 3の識別情報に対応するパーコードラベルを発行し、 該ラベルを 物理的に貼付することであり、  13. The association is to issue a percode label corresponding to the second to third identification information to the medium on which the second information is recorded, and to physically attach the label,
前記関連付けを解消するとは、 該ラベルを物理的に剥離することであり、 前記指示を発行するとは、 それら一連の操作についての指示を認識可能 な形式にて表示することである請求の範囲 1 2に記載の個人にかかる 情報を匿名化するシステム。 Claim 12: To cancel the association means to physically peel off the label, and to issue the instruction means to display the instruction for the series of operations in a recognizable format. A system for anonymizing the information pertaining to individuals as described in.
1 4 . 前記関連付けとは、 第 2の情報を、 前記第 2乃至第 3の識別情報 を検索子として検索可能に記憶することであり、  14. The association is to store the second information in a searchable manner using the second to third identification information as a search element.
前記第 2の識別情報との関連付けを解消し、 同時に前記第 3の識別情報 との関連付けを指示するとは、 第 2の情報の検索子を第 2の識別情報か ら第 3の識別情報に変更して記憶し直すことであり、 Dissolving the association with the second identification information and simultaneously instructing the association with the third identification information means changing the search element of the second information from the second identification information to the third identification information And remember again,
前記指示を発行するとは、 それら一連の処理を実行することである請求 の範囲 1 2に記載の個人にかかる情報を匿名化するシステム。 The system for anonymizing information relating to an individual according to claim 12, wherein issuing the instruction means executing the series of processes.
1 5 . 個人にかかる情報を匿名化するシステムであって、  1 5. This is a system for anonymizing personal information.
個人の識別が可能な第 1の識別情報を生成または入力する第 1識別情 報生成手段、 First identification information generating means for generating or inputting first identification information capable of identifying an individual;
所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶する第 1記憶手段と、 First information about a predetermined individual is recorded in association with the first identification information. The first storage means to remember
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 2の情 報を識別可能となるよう必要な桁数を有する記号列をもって構成され る第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成す る第 2識別情報生成手段と、 At least, the second identification information, which shares a part of the first identification information and includes a symbol string having the necessary number of digits so that the second information relating to the individual can be identified, Second identification information generating means for generating the second information of the second identification information so as to be identifiable;
該生成された第 2の識別情報を、 各第 2の情報に関連付ける指示を発行 する第 1指示発行手段と、 First instruction issuing means for issuing an instruction for associating the generated second identification information with each piece of second information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 3の情 報を識別可能となるよう必要な桁数を有する記号列をもつて構成され る第 3の識別情報を、 個々の第 3の情報が識別可能となるように生成す る第 3識別情報生成手段と、 At least, the third identification information is configured to have a symbol string that shares a part of the first identification information and has a necessary number of digits so that the third information relating to the individual can be identified. A third identification information generating means for generating individual third information so as to be identifiable;
該生成された第 3の識別情報を、 各第 3の情報に関連付ける指示を発行 する第 2指示発行手段と、 Second instruction issuing means for issuing an instruction for associating the generated third identification information with each third information;
前記第 2の識別情報及ぴ前記第 3の識別情報とそれぞれ 1対 1に対応 し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第 2の 識別情報及び前記第 3の識別情報がともに共有する第 1の識別情報に 係る記号列に対応する記号列がその一部に共通して含まれる第 4の識 別情報及び第 5の識別情報を生成する第 4及び第 5識別情報生成手段 と、 The second identification information and the third identification information correspond one-to-one with each other, and the first identification information is a symbol string which cannot be inferred, and the second identification information and the second identification information The fourth and fifth identification information generating the fourth identification information and the fifth identification information in which a symbol string corresponding to the symbol string related to the first identification information shared by the three identification information is included in a part thereof. Fifth identification information generating means,
該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する 第 2記憶手段と Second storage means for storing first correspondence information between the second identification information and the fourth identification information;
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する 第 3記憶手段と Third storage means for storing second correspondence information between the third identification information and the fifth identification information;
第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を解消 し、 同時に前記第 4並びに第 5の識別情報を関連 ける指示を発行する 第 3及び第 4指示発行手段と を備えることを特徴とする個人にかかる情報を匿名化するシステム。A third and fourth instruction issuing means for canceling the second and third identification information for the second and third information and simultaneously issuing an instruction relating the fourth and fifth identification information to the second and third information; A system for anonymizing information relating to an individual, comprising:
1 6 . 前記第 2の情報が対応する個人についての診断所見情報であり、 前記第 3の情報が対応する個人についての検体識別記号であり、 前記関連付けるとは、 対応する識別情報を検索子として検索可能に記憶 することであって、 16. The second information is diagnostic finding information on the corresponding individual, the third information is a specimen identification symbol for the corresponding individual, and the associating is using the corresponding identification information as a search element. To be memorable in a searchable way
前記第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を 解消し、 同時に前記第 4並びに第 5の識別情報を関連付けるとは、 第 2 並びに第 3の情報の検索子を第 2並びに第 3の識別情報から第 4並び に第 5の識別情報に変更して記憶し直すことであり、 Resolving the second and third identification information with respect to the second and third information, and simultaneously associating the fourth and fifth identification information, means that the search element of the second and third information is Changing from the second and third identification information to the fourth and fifth identification information and re-storing them,
前記指示を発行するとは、 それら一連の処理を実行することである 請求の範囲 1 5に記載の個人にかかる情報を匿名化するシステム。 The system for anonymizing information concerning an individual according to claim 15, wherein issuing the instruction means executing a series of the processing.
1 7 . 個人にかかる情報を匿名化するシステムであって、  1 7. This is a system for anonymizing personal information.
個人の識別が可能な第 1の識別情報を生成または入力する第 1識別情 報生成手段、 First identification information generating means for generating or inputting first identification information capable of identifying an individual;
所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶する第 1記憶手段と、 First storage means for storing first information relating to a predetermined individual in association with the first identification information;
少なくとも、 第 1の識別情報の一部を共有しかつ該個人に係る診断所見 情報を識別可能となるよう必要な桁数を有する記号列をもつて構成さ れる第 2の識別情報を、 個々の診断所見情報が識別可能となるように生 成する第 2識別情報生成手段と、 At least the second identification information, which is composed of a symbol string that shares a part of the first identification information and has a necessary number of digits so that the diagnostic finding information on the individual can be identified, Second identification information generating means for generating diagnostic finding information so that it can be identified;
各診断所見情報を、 該生成された第 2の識別情報を検索子として記憶す る第 2記憶手段と、 A second storage unit for storing each diagnostic finding information as the search element with the generated second identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る検体を識 別可能となるよう必要な桁数を有する記号列をもつて構成される第 3 の識別情報を、 個々の検体が識別可能となるように生成する第 3識別情 報生成手段と、 各検体に対し、 該生成された第 3の識別情報との関連付けの指示を発行 する第 1指示発行手段と、 At least the third identification information, which shares a part of the first identification information and has a symbol string having a necessary number of digits so that the specimen of the individual can be identified, Third identification information generating means for generating a sample so that the sample can be identified; First instruction issuing means for issuing an instruction for associating each sample with the generated third identification information;
該生成された第 3の識別情報を、 個々の検体に関連付ける指示を発行す る第 2指示発行手段と、 A second instruction issuing means for issuing an instruction for associating the generated third identification information with each sample;
前記第 2の識別情報及ぴ前記第 3の識別情報とそれぞれ 1対 1に対応 し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第 2の 識別情報及び前記第 3の識別情報がともに共有する第 1の識別情報に 係る記号列に対応する記号列がその一部に共通して含まれる第 4の識 別情報及び第 5の識別情報を生成する第 4及び第 5識別情報生成手段、 該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する 第 2記憶手段と The second identification information and the third identification information correspond one-to-one with each other, and the first identification information is a symbol string that cannot be inferred, and the second identification information and the second identification information The fourth and fifth identification information generating the fourth identification information and the fifth identification information in which a symbol string corresponding to the symbol string related to the first identification information shared by the three identification information is included in a part thereof. Fifth identification information generating means, second storage means for storing first correspondence information between the second identification information and the fourth identification information,
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する 第 3記憶手段と Third storage means for storing second correspondence information between the third identification information and the fifth identification information;
前記診断所見情報に関する検索子を、 第 2の識別情報から第 4の識別情 報に変更して記憶し直す指示を発行する第 3指示発行手段と、 Third instruction issuing means for issuing an instruction to change the search element related to the diagnostic finding information from the second identification information to the fourth identification information and to store it again;
前記検体に対する、 第 3の識別情報との関連付けを解消し、 同時に第 5 の識別情報との関連付けの指示を発行する第 4指示発行手段と、 を備えることを特徴とする個人にかかる情報を匿名化するシステム。A fourth instruction issuing means for canceling the association of the sample with the third identification information and simultaneously issuing an instruction of association with the fifth identification information, the information relating to the individual being anonymous. System.
1 8 . 前記対応情報についての記憶の一部又は全部を消去する指示を発 行する連結不可能化指示手段を 18. The connection disable instruction means for issuing an instruction to erase part or all of the storage of the correspondence information is provided.
さらに備えることを特徴とする請求の範囲 1 2〜 1 7の何れか 1項に 記載の個人にかかる情報を匿名化するシステム。 The system for anonymizing personal information according to any one of claims 12 to 17, further comprising:
1 9 . 個人にかかる情報を匿名化して移送するシステムであって、 個人の識別が可能な第 1の識別情報を生成または入力する第 1識別情 報生成手段、  1 9. A system for anonymously transferring information relating to an individual, comprising: first identification information generating means for generating or inputting first identification information capable of identifying an individual;
所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 億する第 1記憶手段と、 First information about a predetermined individual is recorded in association with the first identification information. The first storage means
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 2の情 報を識別可能となるよう必要な桁数を有する記号列をもつて構成され る第 2の識別情報を、 個々の第 2の情報が識別可能となるように生成す る第 2識別情報生成手段と、 At least, the second identification information that shares a part of the first identification information and has a symbol string having a necessary number of digits so that the second information relating to the individual can be identified is identified. A second identification information generating means for generating individual second information so as to be identifiable;
該生成された第 2の識別情報を、 各第 2の情報に関連付ける指示を発行 する第 1指示発行手段と、 First instruction issuing means for issuing an instruction for associating the generated second identification information with each piece of second information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る第 3の情 報を識別可能となるよう必要な桁数を有する記号列をもつて構成され る第 3の識別情報を、 個々の第 3の情報が識別可能となるように生成す る第 3識別情報生成手段と、 At least the third identification information, which shares a part of the first identification information and has a symbol string having a necessary number of digits so that the third information relating to the individual can be identified, is provided. A third identification information generating means for generating individual third information so as to be identifiable;
該生成された第 3の識別情報を、 各第 3の情報に関連付ける指示を発行 する第 2指示発行手段と、 Second instruction issuing means for issuing an instruction for associating the generated third identification information with each third information;
前記第 2の識別情報及び前記第 3の識別情報とそれぞれ 1対 1に対応 し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第 2の 識別情報及び前記第 3の識別情報がともに共有する第 1の識別情報に 係る記号列に対応する記号列がその一部に共通して含まれる第 4の識 別情報及び第 5の識別情報を生成する第 4及び第 5識別情報生成手段、 該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する 第 2記憶手段と The first identification information is a symbol string that cannot be inferred by analogy, and the second identification information and the third identification information correspond to the second identification information and the third identification information, respectively. The fourth and fifth generating the fourth identification information and the fifth identification information in which a symbol string corresponding to the symbol string relating to the first identification information shared by both of the identification information is included in a part thereof. 5 identification information generating means, a second storage means for storing first correspondence information between the second identification information and the fourth identification information,
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する 第 3記憶手段と Third storage means for storing second correspondence information between the third identification information and the fifth identification information;
第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を解消 し、 同時に前記第 4並びに第 5の識別情報を関連付ける指示を発行する 第 3及び第 4指示発行手段と、 Third and fourth instruction issuing means for canceling the second and third identification information for the second and third information, and simultaneously issuing an instruction for associating the fourth and fifth identification information,
第 4及び第 5の識別情報と関連付けられた第 2及び第 3の情報を、 所要 の移送先に対し、 移送することを指示する第 5指示発行手段と、 移送された第 2及び第 3の情報を、 第 4及び第 5の識別情報に関連付け て別途記憶する第 4及び第 5記憶手段と The second and third information associated with the fourth and fifth identification information Fifth instruction issuing means for instructing the destination of the transfer, and the fourth and fifth means for separately storing the transferred second and third information in association with the fourth and fifth identification information. Storage means and
を備えることを特徴とする個人にかかる情報を匿名化して移送するシ ステム。 A system for anonymously transferring information relating to individuals, comprising:
2 0 . 前記第 2の情報が対応する個人についての診断所見情報であり、 前記第 3の情報が対応する個人についての検体識別記号であり、 前記関連付けるとは、 対応する識別情報を検索子として検索可能に記憶 することであって、  20. The second information is diagnostic finding information about the corresponding individual, the third information is a specimen identification symbol for the corresponding individual, and the associating is using the corresponding identification information as a search element. To be memorable in a searchable manner,
前記第 2並びに第 3の情報に対する、 前記第 2並びに第 3の識別情報を 解消し、 同時に前記第 4並びに第 5の識別情報を関連付けるとは、 第 2 並びに第 3の情報の検索子を第 2並びに第 3の識別情報から第 4並び に第 5の識別情報に変更して記憶し直すことであり、 Resolving the second and third identification information with respect to the second and third information, and simultaneously associating the fourth and fifth identification information, means that the search element of the second and third information is Changing from the second and third identification information to the fourth and fifth identification information and re-storing them,
前記移送するとは、 通信手段により、 送受信することであり、 The term “transporting” refers to transmitting and receiving by communication means,
前記指示を発行するとは、 それら一連の処理を実行することである 請求の範囲 1 9に記載の個人にかかる情報を匿名化して移送するシス テム。 The system according to claim 19, wherein issuing the instruction means executing a series of the processing.
2 1 . 個人にかかる情報を匿名化して移送するシステムであって、 個人の識別が可能な第 1の識別情報を生成または入力するス第 1識別 情報生成手段、  2 1. A system for anonymously transferring information relating to an individual, comprising: first identification information generating means for generating or inputting first identification information capable of identifying an individual;
所定の個人に関する第 1の情報を、 前記第 1の識別情報に対応付けて記 憶する第 1記憶手段と、 First storage means for storing first information relating to a predetermined individual in association with the first identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る診断所見 情報を識別可能となるよう必要な桁数を有する記号列をもって構成さ れる第 2の識別情報を、 個々の診断所見情報が識別可能となるように生 成する第 2識別情報生成手段と、 各診断所見情報を、 該生成された第 2の識別情報を検索子として記憶す る第 2記憶手段と、 At least the second identification information, which shares a part of the first identification information and is composed of a symbol string having a necessary number of digits so that the diagnostic finding information on the individual can be identified, Second identification information generating means for generating the finding information so that it can be identified; A second storage unit for storing each diagnostic finding information as the search element with the generated second identification information;
少なく とも、 第 1の識別情報の一部を共有しかつ該個人に係る検体を識 別可能となるよう必要な桁数を有する記号列をもつて構成される第 3 の識別情報を、 個々の検体が識別可能となるように生成する第 3識別情 報生成手段と、 At least the third identification information, which shares a part of the first identification information and has a symbol string having the required number of digits so that the sample of the individual can be identified, Third identification information generating means for generating a sample so that it can be identified;
各検体に対し、 該生成された第 3の識別情報との関連付けの指示を発行 する第 1指示発行手段と、 First instruction issuing means for issuing an instruction for associating each sample with the generated third identification information;
該生成された第 3の識別情報を、 個々の検体に関連付ける指示を発行す る第 2指示発行手段と、 A second instruction issuing means for issuing an instruction for associating the generated third identification information with each sample;
前記第 2の識別情報及び前記第 3の識別情報とそれぞれ 1対 1に対応 し、 第 1の識別情報を類推不可能な記号列であって、 かつ、 前記第 2の 識別情報及び前記第 3の識別情報がともに共有する第 1の識別情報に 係る記号列に対応する記号列がその一部に共通して含まれる第 4の識 別情報及び第 5の識別情報を生成する第 4及び第 5識別情報発行手段 と、 The first identification information is a symbol string that cannot be inferred by analogy with the second identification information and the third identification information, respectively, and the second identification information and the third identification information The fourth and fifth generating the fourth identification information and the fifth identification information in which a symbol string corresponding to the symbol string relating to the first identification information shared by both of the identification information is included in a part thereof. 5 Identification information issuing means,
該第 2の識別情報と該第 4の識別情報との第 1の対応情報を記憶する 第 2記憶手段と Second storage means for storing first correspondence information between the second identification information and the fourth identification information;
該第 3の識別情報と該第 5の識別情報との第 2の対応情報を記憶する 第 3記憶手段と Third storage means for storing second correspondence information between the third identification information and the fifth identification information;
前記診断所見情報に関する検索子を、 第 2の識別情報から第 4の識別情 報に変更して記憶し直す指示を発行する第 3指示発行手段と、 Third instruction issuing means for issuing an instruction to change the search element related to the diagnostic finding information from the second identification information to the fourth identification information and to store it again;
前記検体に対する、 第 3の識別情報との関連付けを解消し、 同時に第 5 の識別情報との関連付けの指示を発行する第 4指示発行手段と、 第 4の識別情報を検索子として検索可能な診断情報と、 第 5の識別情報 と関連付けられた検体とを、 それぞれ共通の移送先に対する移送を指示 する第 5指示発行手段と、 Fourth instruction issuing means for canceling the association of the sample with the third identification information and simultaneously issuing an instruction of association with the fifth identification information, and a diagnosis capable of searching using the fourth identification information as a search element Instructs the transfer of the information and the sample associated with the fifth identification information to the common transfer destination. A fifth instruction issuing means,
移送された診断情報を第 4の識別情報を検索子として別途記憶する第 4記憶手段と、 Fourth storage means for separately storing the transferred diagnostic information as fourth identification information as a search element;
移送された検体に関連付けられた第 5の識別情報を検出し、 前記第 4の 識別情報に共通して含まれる、 前記第 1の識別情報に係る記号列に対応 する記号列により、 該検体に対応する診断情報を読み出す指示を発行す る第 6指示発行手段と Fifth identification information associated with the transferred sample is detected, and a symbol string corresponding to the symbol string related to the first identification information, which is included in common with the fourth identification information, is assigned to the sample. A sixth instruction issuing means for issuing an instruction to read out the corresponding diagnostic information, and
を備えることを特徴とする個人にかかる情報を匿名化して移送するシ ステム。 A system for anonymously transferring information relating to individuals, comprising:
2 2 . 前記対応情報についての記憶の一部又は全部を消去する連結不可 能化手段を  2 2. A means for disabling connection that deletes part or all of the storage of the
さらに備えることを特徴とする請求の範囲 1 9〜 2 1の何れか 1項に 記載の個人にかかる情報を匿名化して移送するシステム。 The system according to any one of claims 19 to 21, further comprising anonymously transferring information relating to an individual.
PCT/JP2001/009073 2000-11-07 2001-10-16 Anonymizing method and system therefor, method for making personal information anonymous and transferring it, and system therefor WO2002039341A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2002541590A JPWO2002039341A1 (en) 2000-11-07 2001-10-16 Anonymization method and system, and method and system for anonymously transferring personal information
AU2001295938A AU2001295938A1 (en) 2000-11-07 2001-10-16 Anonymizing method and system therefor, method for making personal information anonymous and transferring it, and system therefor

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2000-339587 2000-11-07
JP2000339587 2000-11-07

Publications (1)

Publication Number Publication Date
WO2002039341A1 true WO2002039341A1 (en) 2002-05-16

Family

ID=18814639

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2001/009073 WO2002039341A1 (en) 2000-11-07 2001-10-16 Anonymizing method and system therefor, method for making personal information anonymous and transferring it, and system therefor

Country Status (3)

Country Link
JP (1) JPWO2002039341A1 (en)
AU (1) AU2001295938A1 (en)
WO (1) WO2002039341A1 (en)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006209503A (en) * 2005-01-28 2006-08-10 Medical Data Communications:Kk Medical card high functionalization system by barcode and additional service providing method using high functionalization card
JP2007531124A (en) * 2004-03-26 2007-11-01 コンヴァージェンス シーティー System and method for controlling access and use of patient medical data records
JP2008533586A (en) * 2005-03-08 2008-08-21 イネィター ケービー Authentication system and authentication method
JP2009070096A (en) * 2007-09-12 2009-04-02 Michio Kimura Integrated database system of genome information and clinical information, and method for making database provided therewith
JP2009199193A (en) * 2008-02-19 2009-09-03 Dna Chip Research Inc Medical care support information providing method, medical care support information providing system, and computer program to make computer system execute processing for providing medical support information
WO2011033735A1 (en) * 2009-09-18 2011-03-24 テルモ株式会社 Medical information management system
US8256679B2 (en) 2007-04-12 2012-09-04 Koninklijke Philips Electronics N.V. Use of barcode menus to configure and set-up vital signs monitors
JP2013250937A (en) * 2012-06-04 2013-12-12 Nihon Medical Business Co Ltd Communication device, communication system and communication method
JP2014072810A (en) * 2012-09-28 2014-04-21 Toshiba Corp Transmission device and communication system
US10025840B2 (en) 2012-12-10 2018-07-17 Koninklijke Philips N.V. Method and system for making multisite performance measure anonymous and for controlling actions and re-identification of anonymous data
KR20210067529A (en) * 2019-11-29 2021-06-08 주식회사 마크로젠 System and method for providing genetic analysis information

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0720127A2 (en) * 1994-12-30 1996-07-03 Ortho Pharmaceutical Corporation System for tracking secure medical test cards
JPH11154185A (en) * 1997-11-20 1999-06-08 Fujitsu Ltd Good clinical practice data base storage medium and good clinical practice support device
US6021200A (en) * 1995-09-15 2000-02-01 Thomson Multimedia S.A. System for the anonymous counting of information items for statistical purposes, especially in respect of operations in electronic voting or in periodic surveys of consumption

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0720127A2 (en) * 1994-12-30 1996-07-03 Ortho Pharmaceutical Corporation System for tracking secure medical test cards
US6021200A (en) * 1995-09-15 2000-02-01 Thomson Multimedia S.A. System for the anonymous counting of information items for statistical purposes, especially in respect of operations in electronic voting or in periodic surveys of consumption
JPH11154185A (en) * 1997-11-20 1999-06-08 Fujitsu Ltd Good clinical practice data base storage medium and good clinical practice support device

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007531124A (en) * 2004-03-26 2007-11-01 コンヴァージェンス シーティー System and method for controlling access and use of patient medical data records
JP2006209503A (en) * 2005-01-28 2006-08-10 Medical Data Communications:Kk Medical card high functionalization system by barcode and additional service providing method using high functionalization card
JP2008533586A (en) * 2005-03-08 2008-08-21 イネィター ケービー Authentication system and authentication method
US8256679B2 (en) 2007-04-12 2012-09-04 Koninklijke Philips Electronics N.V. Use of barcode menus to configure and set-up vital signs monitors
JP2009070096A (en) * 2007-09-12 2009-04-02 Michio Kimura Integrated database system of genome information and clinical information, and method for making database provided therewith
JP2009199193A (en) * 2008-02-19 2009-09-03 Dna Chip Research Inc Medical care support information providing method, medical care support information providing system, and computer program to make computer system execute processing for providing medical support information
JP2011065606A (en) * 2009-09-18 2011-03-31 Terumo Corp Medical information management system
CN102483816A (en) * 2009-09-18 2012-05-30 泰尔茂株式会社 Medical information management system
WO2011033735A1 (en) * 2009-09-18 2011-03-24 テルモ株式会社 Medical information management system
JP2013250937A (en) * 2012-06-04 2013-12-12 Nihon Medical Business Co Ltd Communication device, communication system and communication method
JP2014072810A (en) * 2012-09-28 2014-04-21 Toshiba Corp Transmission device and communication system
US10025840B2 (en) 2012-12-10 2018-07-17 Koninklijke Philips N.V. Method and system for making multisite performance measure anonymous and for controlling actions and re-identification of anonymous data
KR20210067529A (en) * 2019-11-29 2021-06-08 주식회사 마크로젠 System and method for providing genetic analysis information
KR102458862B1 (en) * 2019-11-29 2022-10-26 주식회사 마크로젠 System and method for providing genetic analysis information

Also Published As

Publication number Publication date
JPWO2002039341A1 (en) 2004-03-18
AU2001295938A1 (en) 2002-05-21

Similar Documents

Publication Publication Date Title
JP3357039B2 (en) Anonymized clinical research support method and system
US8775211B2 (en) Methods and systems for managing informed consent processes
Roden et al. Development of a large‐scale de‐identified DNA biobank to enable personalized medicine
US8571810B2 (en) Information processing system using nucleotide sequence-related information
US20030036081A1 (en) Distributed system for epigenetic based prediction of complex phenotypes
JP2001357130A (en) Clinical information management system
WO2002039341A1 (en) Anonymizing method and system therefor, method for making personal information anonymous and transferring it, and system therefor
US20170076037A1 (en) Method for increasing utilization of genetic testing
US20090240441A1 (en) System and method for analysis and presentation of genomic data
JPH11353404A (en) Electronic clinical record card system
Giovanni et al. The application of computer‐based tools in obtaining the genetic family history
Lavori et al. Principles, organization, and operation of a DNA bank for clinical trials:: a Department of Veterans Affairs cooperative study
WO2003063048A2 (en) Method and system for the analysis of medical and personal data
WO2003031936A2 (en) System, method, and apparatus for submitting genetic samples and receiving genetic testing results anonymously
JP2004192173A (en) Personal information management system and personal information management method
JPH10272123A (en) Gene information recording method
Hu et al. Biomedical informatics in translational research
Kort et al. A human tissue and data resource: an overview of opportunities, challenges, and development of a provider/researcher partnership model
US20230317211A1 (en) Method and system for encrypting genetic data of a subject
Bova et al. Pilot Comparison of Stromal Gene Expression among Normal Prostate Tissues and Primary Prostate Cancer Tissues in White and Black Men
JP2001167123A (en) Method for managing gene arrangement multiple class
Marusina Genomic Healthcare Solutions
Mohan Personal Genomics
Xiao et al. Communication, Collaboration, IT, and Informatics Infrastructure for Clinical Trials
JP2004046696A (en) Information processing system using base arrangement related information

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ PH PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
ENP Entry into the national phase

Ref country code: JP

Ref document number: 2002 541590

Kind code of ref document: A

Format of ref document f/p: F

121 Ep: the epo has been informed by wipo that ep was designated in this application
REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

122 Ep: pct application non-entry in european phase