はじめに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、特段の釈明がない場合には、各図面に記載されたブロックはハードウェア単位の構成ではなく、機能単位の構成を表す。各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。
一実施形態に係るシステムは、取引サーバ101と、サービスサーバ102と、データ利活用サーバ103と、流通制御サーバ104と、を含む(図1参照)。サービスサーバ102は、サービス事業者により運営され、利用者にサービスを提供することで発生した少なくとも1以上のユーザデータを記憶する。データ利活用サーバ103は、データ利活用事業者により運営され、少なくとも1以上のユーザデータのうち所定の要件を満たすデータをデータ提供により取得するための申込であって、所定の要件を含むデータ提供申込を取引サーバに送信する。流通制御サーバ104は、データ提供を制御する。取引サーバ101は、データ提供申込を流通制御サーバ104に送信する(図2のステップS1)。流通制御サーバ104は、所定の要件を満たすデータを指定する情報と、利用者のIDであってデータ提供申込に対応して生成された対象者IDと、を含む提供指示をサービスサーバ102に送信する(ステップS2)。サービスサーバ102は、指定されたデータと対象者IDをデータ利活用サーバ103に送信する(ステップS3)。
上記システムにおいて、流通制御サーバ104は、データ提供元であるサービスサーバ102に対し、データ提供の対象データ(データ提供先が求める所定の要件を満たすデータ)と共にデータ提供申込に対応する対象者IDを送信するように指示する。即ち、流通制御サーバ104は、データ提供申込ごとに異なる対象者IDを生成し、当該対象者IDを利用者のIDとして送信するようにサービスサーバ102に指示する。このような構成により、データ利活用事業者が、複数のデータ提供申込で得られたユーザデータを不当に対応付けることが防止される。また、提供されたユーザデータは、個人が把握することができない対象者IDによって管理される。利用者自身から対象者IDが漏洩することはないため、当該利用者のプライバシーは保護される。
以下に具体的な実施形態について、図面を参照してさらに詳しく説明する。
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
[システム構成]
図3は、第1の実施形態に係る情報流通システムの概略構成の一例を示す図である。図3に示すように、情報流通システムの参加メンバー(アクター)には、情報流通事業者と、サービス事業者と、データ利活用事業者と、取引事業者と、が含まれる。
情報流通事業者は、サービス事業者に蓄積されたパーソナルデータのデータ流通サービス(情報流通サービス)のプラットフォームを提供する事業者である。情報流通事業者は、事業者(サービス事業者、データ利活用事業者)間のデータ流通を制御する。情報流通事業者は、流通制御サーバ10を備える。
流通制御サーバ10は、情報流通事業者により運営される。流通制御サーバ10は、サービス事業者間のデータ流通を制御(実現)したり、サービス事業者とデータ利活用事業者の間のデータ流通を制御したりするサーバ装置である。流通制御サーバ10は、サービス事業者が保持するデータの情報流通サービスを実現する。
サービス事業者は、個人にサービスを提供する主体である。サービス事業者は、民間の事業者であってもよいし公的機関であってもよい。サービス事業者には、例えば、利用者に医療サービスを提供する医療機関(病院、薬局等)、小売業者、顧客に語学、スポーツ、芸術等を教える教育事業者等が例示される。
各サービス事業者は、顧客にサービスを提供するためのサービスサーバ20を備える。サービスサーバ20は、サービス事業者により管理、運営される。サービスサーバ20は、サービス事業者が利用者にサービスを提供することで生じたデータ、利用者にサービスを提供するために必要なデータ等を保持(記憶)する。サービス事業者は、利用者に提供するサービスに関するユーザデータを保持する。
データ利活用事業者は、個人に直接サービスを提供しない主体である。データ利活用事業者には、製薬会社のような事業者が例示される。例えば、製薬会社は、サービス事業者から取得したデータを用いて新薬を開発する。
なお、本願開示では、個人にサービスを提供しない主体を「データ利活用事業者」と扱い説明を行うが、データ利活用事業者が利用者にサービスを提供する際には「サービス事業者」として振る舞うのは当然である。即ち、データ利活用事業者の業務形態によっては、当データ利活用事業者がサービス事業者にもなり得る。
データ利活用事業者は、サービス事業者からデータを取得し利活用するためのデータ利活用サーバ30を備える。データ利活用サーバ30は、データ利活用事業者により運営される。データ利活用サーバ30は、少なくとも1以上のユーザデータをサービスサーバ20からデータ提供により取得する。
取引事業者は、サービス事業者とデータ利活用事業者の間の取引を実現する主体である。取引事業者は、データ生成者(サービス事業者)とデータ消費者(データ利活用事業者)の間のデータ流通を実現する。取引事業者は、サービス事業者とデータ利活用事業者の間のデータ流通取引の仲介を行う事業者である。
取引事業者は、当該データ流通の実現のための取引サーバ40を備える。取引サーバ40は、取引事業者により運営される。取引サーバ40は、サービス事業者とデータ利活用事業者の間のデータ提供契約に関する制御を行う。
情報流通システムを利用する利用者は、端末50を使用する。
図3に示す各装置はネットワークを介して相互に接続されている。例えば、流通制御サーバ10とサービスサーバ20は、有線又は無線の通信手段により接続され、相互に通信が可能となるように構成されている。
図3に示す構成は例示であって、本願開示の情報流通システムの構成等を限定する趣旨ではない。例えば、情報流通事業者には2台以上の流通制御サーバ10が含まれていてもよい。また、取引事業者やデータ利活用事業者に関し、システムに参加している事業者の数に応じたデータ利活用サーバ30や取引サーバ40が情報流通システムに含まれる。
[システムの概略動作]
続いて、第1の実施形態に係る情報流通システムの概略動作について説明する。
利用者は、サービスの提供を受けたいサービス事業者と個別に契約を締結する。例えば、利用者は、氏名等をサービス事業者に提供しつつ当該サービス事業者と新たな契約(サービスを享受するための契約)をしたい旨を申し出る。
例えば、病院を受診したい利用者は、氏名等が記載された健康保険証等を当該病院に提出する。あるいは、オンラインショッピングに係るサービスを提供するEC(Electronic Commerce)事業者については、利用者は、当該EC事業者が運営するサービスサーバ20にアクセスしアカウントを生成する。
サービス事業者は、新規な顧客(利用者)を識別するための「個人識別ID」を生成する。例えば、病院は、利用者(患者)を管理するための診察券番号を採番し、当該診察券番号を個人識別IDとして生成する。EC事業者は、顧客を管理するための会員番号等を個人識別IDとして生成する。サービスサーバ20は、生成した個人識別ID(例えば、診察券番号や会員番号等)をデータベース等に記憶する。
個人識別IDが生成されると、利用者は、サービス事業者からサービスの提供を受けることができる。例えば、利用者は病院から医療サービス(健康診断や診察等)を受ける。あるいは、利用者は、EC事業者を利用してオンラインショッピングを行う。
サービス事業者が利用者にサービスを提供したこと等で生じたユーザデータを、データ流通の対象とするためには、データの「蓄積」が必要になる。データ蓄積は、サービス事業者(ユーザデータの提供元)が、ユーザデータを第三者に提供可能なデータとして情報流通システムに登録することである。
流通制御サーバ10は、データ蓄積者(サービス事業者)から利用者に提供されるサービスに関するデータをデータ流通の対象とするためのデータ蓄積を制御する。即ち、流通制御サーバ10は、ユーザデータを第三者に提供可能なデータとして情報流通システムに登録するためのデータ蓄積を制御する。蓄積されたデータがデータ流通の対象となる。
情報流通システムにおけるデータ流通の手段として「共有」と「提供」が存在する。流通制御サーバ10は、データ蓄積により登録されたユーザデータを一のサービスサーバ20から他のサービスサーバ20に共有するためのデータ共有を制御する。流通制御サーバ10は、データ蓄積により登録されたユーザデータをサービスサーバ20からデータ利活用サーバ30に提供するためのデータ提供を制御する。
「共有」は、サービス事業者が、他のサービス事業者により蓄積されたデータを取得するための手段である。例えば、病院が利用者にサービス提供することで生成されたデータをEC事業者が取得する際に「共有」によるデータ流通が用いられる。EC事業者は、データ共有により病院から取得したデータを用いて利用者によりよいサービスを提供する。
「共有」は、サービス利用者自身の利便性の向上に用いられるため、利用者にデータ流通に対する対価(利用者に対する対価)は支払われない。「共有」は、利用者がサービス事業者からより良いサービスの提供を受けるため他のサービス事業者が蓄積したデータを活用するために使用されるためである。
「提供」は、データ利活用事業者が、他のサービス事業者により蓄積されたデータを取得するための手段である。例えば、製薬会社が病院から健康診断の結果や診察の結果を取得する際に「提供」によるデータ流通が用いられる。製薬会社は、データ提供により病院から取得したデータを用いて新薬の開発に役立てる。
「提供」は、利用者に直接サービスを提供しないデータ利活用事業者が用いる手段のため、データ流通に対する対価(利用者に対する対価)が発生する。即ち、「提供」が行われると、利用者に対して対価が支払われる。また、「提供」が行われると、データ取得者(データ提供先)からデータ提供元(データ蓄積者)及び情報流通システム(情報流通事業者)に対して対価が支払われる。
なお、本願開示では、便宜上、取引事業者には対価(手数料)が発生しないものとして説明する。実際には、データ提供先からデータ提供元等に支払われる対価の一部が取引事業者に「手数料」として支払われてもよい。
流通制御サーバ10は、データ共有先(データの供給を受けるサービス事業者)が蓄積されたデータを取得するためのデータ共有を制御する。流通制御サーバ10は、データ提供先(データの供給を受けるデータ利活用事業者)が蓄積されたデータを取得するためのデータ提供を制御する。
<システムアカウントの生成>
情報流通システムの利用者は事前に登録(利用者登録、システム登録)を行う必要がある。より具体的には、利用者は、流通制御サーバ10にアクセスし、アカウント生成のための手続きを行う。以降の説明において、情報流通システムに生成されたアカウントを「システムアカウント」と表記する。
システムアカウントを生成するため、利用者は、所持する端末50を操作して、流通制御サーバ10にアクセスする。端末50のアクセスに応じて、流通制御サーバ10は、システムアカウントを生成するためのWEB(ウェブ)ページを表示する。
利用者は、システムアカウント生成のための操作(例えば、所定ボタンの押下)を行い、システムアカウントを生成する。その際、流通制御サーバ10は、利用者のシステムアカウント生成に必要な情報を取得する。具体的には、流通制御サーバ10は、利用者のログイン情報(ログインID、パスワード)や個人情報(氏名、生年月日、連絡先、口座情報等)を取得する。
ログイン情報、個人情報等を取得すると、流通制御サーバ10は、当該利用者を情報流通システムにおいて一意に識別するためのユーザID(Identifier)を生成する。
流通制御サーバ10は、当該生成された利用者のユーザID、ログイン情報及び個人情報(例えば、氏名、生年月日、連絡先)等を対応付けて記憶する。流通制御サーバ10は、これらの情報を「利用者情報データベース」に記憶する。利用者情報データベースの詳細は後述する。
流通制御サーバ10は、生成したユーザIDを利用者(端末50)に払い出す。端末50は、払い出されたユーザIDを記憶する。
<IDの連携>
上述のように、サービス事業者が保持するユーザデータをデータ流通の対象とするためには、「データ蓄積」が必要となる。データ蓄積を実現するためには、システムアカウントのID(ユーザID)とサービス事業者が生成したID(個人識別ID)を連携する必要がある。
例えば、図4に示すように、利用者は病院の窓口において、当該病院が保持するユーザデータの活用を希望している旨を病院職員に伝える(データ活用の申し込みを行う)。病院職員は、利用者の個人特定情報、利用者の個人識別ID(例えば、診察券番号)及び事業者コードを病院端末60に入力する。
なお、個人特定情報は、利用者を特定するための情報である。個人特定情報には、利用者の氏名、又は、氏名と生年月日の組み合わせ等が例示される。
また、事業者コードは、情報流通システムに参加するサービス事業者を識別するための識別情報(ID)である。例えば、病院とEC事業者には異なるコードが割り当てられる。事業者コードは、任意の手段によりシステム参加者(情報流通事業者、サービス事業者、データ利活用事業者)の間で共有される。例えば、サービス事業者が情報流通システムに参加する際、情報流通事業者が当該サービス事業者に割り当てる事業者コードを生成する。情報流通事業者は、当該生成した事業者コードをサービス事業者等に通知する。
病院端末60は、取得した個人特定情報、個人識別ID及び事業者コードを含む「ID連携要求」を流通制御サーバ10に送信する。
あるいは、EC事業者のユーザデータの活用を希望する利用者は、端末50を操作して、当該EC事業者のサービスサーバ20にアクセスする(図5参照)。利用者は、EC事業者のアカウントにログインし、当該アカウント上でデータ活用のための申請を行う。当該申請に応じて、サービスサーバ20は、利用者の個人特定情報、個人識別ID及び事業者コードを含む「ID連携要求」を流通制御サーバ10に送信する。
流通制御サーバ10は、病院端末60やサービスサーバ20からID連携希望者の個人特定情報、個人識別ID及びID連携の対象となるサービス事業者(例えば、病院、EC事業者)の事業者コードを取得する。
流通制御サーバ10は、事業者コードからID連携の対象となっているサービス事業者を特定する。また、流通制御サーバ10は、個人特定情報からシステムアカウントに登録された利用者を特定する。流通制御サーバ10は、当該特定した利用者のアカウントにおいてサービス事業者と個人識別IDを対応付ける。
個人識別IDがシステムアカウントに登録されると(ID連携が完了すると)、ID連携の対象となったサービス事業者は、データ活用を希望する利用者のユーザデータを「蓄積」可能となる。
<データ蓄積>
サービス事業者は、利用者にサービスを提供すると、当該利用者の個人識別IDとユーザデータ(パーソナルデータ)を対応付けて記憶する。例えば、病院は、利用者の診察を行い病名が得られると、当該利用者の個人識別ID(診察券番号等)と病名(例えば、胃がん等の具体的な病名)を対応付けて記憶する。例えば、サービスサーバ20は、「顧客情報データベース」を用いて利用者の個人識別IDとユーザデータを対応付けて記憶する。なお、顧客情報データベースの詳細は後述する。
サービス事業者のサービスサーバ20は、ID連携の完了した利用者(データ活用の申し込みをした利用者)に関し、ユーザデータ(サービス提供の結果生じるデータ、サービスの提供に必要なデータ)を記憶するたびにデータ蓄積に関する制御を行う。
具体的には、サービスサーバ20は、利用者のユーザデータを蓄積データ(データ流通対象のユーザデータ)として情報流通システムに登録する。具体的には、サービスサーバ20は、ID連携の完了した利用者に関する「所在情報」を流通制御サーバ10に送信する(図6参照)。
所在情報は、ユーザデータの保管場所(データの蓄積主体;サービス事業者)等に関する情報である。所在情報には、ユーザデータ(蓄積データ)を識別するためのデータID、個人識別ID、事業者コード、保持するデータの種類等が含まれる。
流通制御サーバ10は、取得した所在情報を「所在情報データベース」に記憶する。所在情報データベースの詳細は後述する。所在情報データベースは、データID、個人識別ID、事業者コード及びデータ種類等を対応付けて記憶する。
<データ共有>
他のサービス事業者が蓄積したデータ(他のサービス事業者が利用者にサービスを提供した結果生じたユーザデータ)の取得を希望するサービス事業者は、「共有」によって当該データを取得する。
ここでは、図7を参照しつつ、EC事業者Bが、病院Aに蓄積された利用者のデータ(診察結果;病名)を「共有」により取得する場合について説明する。なお、病院はサービスサーバ20-1を備え、EC事業者はサービスサーバ20-2を備える。
EC事業者B(サービスサーバ20-2)は、「共有要請」を流通制御サーバ10に送信する(ステップS11)。
流通制御サーバ10は、共有要請に基づいて、データ流通の対象者である利用者と流通させるデータのデータ蓄積者(病院A)を特定する。流通制御サーバ10は、特定された対象者が所持する端末50に対して、データ共有に関する問合せを送信する(ステップS12)。
データ共有の問合せを受信した端末50は、データ共有に関する利用者の意思を取得する。例えば、端末50は、GUI(Graphical User Interface)を用いて利用者の意思を取得する。上記の例では、端末50は、「病院の診察結果をEC事業者へ共有することで、より良いサービスが受けられます。共有しますか?」といった内容のGUIを表示し、利用者の意思(データ共有に同意、不同意)を取得する。
端末50は、データ共有の問合せに対する応答(データ共有に同意、又は、データ共有を拒否)を流通制御サーバ10に送信する(ステップS13)。
利用者の同意が得られれば、流通制御サーバ10は、データ共有元(病院A)に対して共有指示を送信する(ステップS14)。
共有指示を受信した病院A(サービスサーバ20-1)は、顧客情報データベースを参照し、対象となる利用者の診察結果(病名)等を指定されたデータ共有先であるサービスサーバ20-2に送信する(ステップS15)。
続いて、「提供」によるデータ流通について説明する。
<口座開設>
データ提供により対価を取得しようとする利用者は、取引事業者に口座を開設する必要がある。図8を参照しつつ、提供のための口座開設について説明する。
取引事業者は、情報流通システムに参加する複数のサービス事業者のうち少なくとも1以上のサービス事業者と提携を行う。例えば、医療に関するデータを取り扱う取引事業者は、医療機関(病院、薬局等)と提携する。あるいは、教育に関するデータを取り扱う取引事業者は、教育事業者と提携する。取引事業者は、提携先のサービス事業者に関する事業者コードを記憶する。
また、取引事業者は、データ利活用事業者の事業者コードを記憶する。例えば、取引事業者は、データ利活用事業者と取引を開始する際に当該データ利活用事業者の事業者コードを生成する。データ利活用事業者の事業者コードは、任意の方法によって、情報流通事業者、取引事業者及びデータ利活用事業者の間で共有される。
取引事業者は、提携先のサービス事業者が保持するデータ(蓄積されたデータ)をデータ利活用事業者に販売する(販売の仲介をする)。例えば、図8に示す提携サービス事業者が医療機関であれば、取引事業者は、提携先の医療機関が保持するデータを製薬会社等に販売する。
上述のように、取引事業者を介したデータ提供により対価を取得したい利用者は、取引事業者(取引サーバ40)に口座を開設する必要がある。情報流通システムに参加する利用者のうちデータ提供により収益を得たい利用者は、取引サーバ40に「情報口座」を開設する。
利用者は、流通制御サーバ10から払い出されたユーザIDを取引サーバ40に提示し、情報口座を開設する。取引サーバ40は、取得したユーザIDを記憶する。取引サーバ40は、口座開設した利用者のユーザIDを口座開設者リストにより管理する。
<カタログ情報>
「提供」によるデータ流通を実現するため、情報流通事業者はカタログ情報を用意する。情報流通事業者の担当者(システム管理者)は、販売可能なデータを記載したカタログ情報を定義する(図9参照)。カタログ情報は、情報流通システムがデータ利活用事業者に販売可能なデータの詳細を示す情報である。
図9に示すカタログ情報に含まれるデータセット名は、カタログ情報を識別するための情報である。例えば、健康診断に関するデータセットには「検診結果1」、診察結果に関するデータセットには「診察結果1」といったデータセット名が付与される。
カタログ情報に含まれるデータ種類は、サービス事業者が保持しているデータ(第三者に提供可能な蓄積データ)の種類を示す。例えば、検診結果における「身長」、「体重」、「血圧」や診察結果における「病名」、「服薬」、「検査結果」等の情報がデータ種類に相当する。データフォーマットは、どのような形式でデータが提供されるのかを規定する。
データ利活用事業者は、取引事業者を介してカタログ情報を取得する。より具体的には、データ利活用サーバ30は、取引サーバ40に対して「カタログ情報提示要求」を送信する。
カタログ情報提示要求を受信すると、取引サーバ40は、流通制御サーバ10に対して「カタログ情報送信要求」を送信する。
カタログ情報送信要求の受信に応じて、流通制御サーバ10は、情報流通事業者により定義されたカタログ情報を取引サーバ40に送信する。
取引サーバ40は、提携先のサービス事業者に関するカタログ情報を選択し、データ利活用サーバ30に送信する。例えば、上記の例では、取引サーバ40は、製薬会社の業務に関するカタログ情報を選択してデータ利活用事業者に送信する。データ利活用事業者は、受信したカタログ情報を閲覧し、自身の事業に必要なカタログ情報を特定する。
<提供によるデータ流通>
サービス事業者が蓄積したデータの取得を希望するデータ利活用事業者は、「提供」によって当該データを取得する。
ここでは、製薬会社Dが、利用者の病名、検査結果、活動量を「提供」により取得する場合について説明する。病院A、病院Bが利用者の病名、検査結果に関するユーザデータを保持し、フィットネスクラブCが活動量に関するユーザデータを保持する。
データ提供先(製薬会社D)の職員等は、公開されているカタログ情報を参照しデータ提供申込を作成する。データ提供申込は、少なくとも1以上のユーザデータのうち所定の要件を満たすデータをデータ提供により取得するための申込である。
例えば、職員等は、データ利活用サーバ30に図10に示すようなデータ提供申込を入力する。データ提供申込の入力日は2021年1月1日とする。
データ提供申込には、データ提供概略情報と、提供データの要件と、提供対価提示と、が含まれる。
データ提供概略情報は、データ提供先(製薬会社D)が申し込むデータ提供の概略に関する情報である。データ提供概略情報には、データ提供を要請する事業者の情報、データ提供申込の目的、対象期間(データが蓄積された期間)、予算、締め切り日等が含まれる。
データ提供を要請する事業者(データ利活用事業者、例えば、製薬会社D)に関する情報は、当該事業者の名称、事業者コード、データの提供先(データの送信先アドレス)等を含む。
提供データの要件は、データ提供によりデータ利活用事業者に提供されるデータに関する要件である。提供データの要件には、対象者の情報、必要な対象者の人数、必要なデータの情報(データの種類、必要データ量を示す下限値と上限値)等が含まれる。
提供対価提示は、データ提供によりデータ利活用事業者が支払う提供対価の提示に関する詳細な情報である。提供対価提示には、データ提供先から支払われる、データ種類ごとの対価が含まれる。
図11等を参照して、データ提供時の情報流通システムの動作を説明する。
はじめに、データ利活用サーバ30は、データ提供申込を取引サーバ40に送信する(ステップS21)。
データ提供申込を受信した取引サーバ40は、データ提供申込に提供申込IDを付与し、当該受信したデータ提供申込を記憶する。その後、取引サーバ40は、提供申込ID、データ提供申込と口座開設者リストを含む「提供要請」を流通制御サーバ10に送信する(ステップS22)。
取引サーバ40は、データ提供申込に付与した提供申込IDをデータ利活用サーバ30に通知する。データ利活用サーバ30は、通知された提供申込IDと取引サーバ40に送信したデータ提供申込を対応付けて記憶する。
流通制御サーバ10は、提供要請の受信に応じて、データ提供元(データ蓄積者)の候補に関する通知とデータ提供に関する利用者の同意取得を行う。
<データ提供元及び対象者の特定>
流通制御サーバ10は、データ提供申込に記載された提供データの要件に合致するユーザデータを保持するデータ提供元(サービス事業者)を特定する。具体的には、流通制御サーバ10は、利用者情報データベース及び所在情報データベースを参照し、データ提供申込に記載された要件に合致する利用者(対象者)のデータを保持するデータ提供元を特定する。
図10の例では、流通制御サーバ10は、利用者情報データベースを参照し、20歳から65歳までの利用者であって口座開設者リストに記載された利用者を特定する。
流通制御サーバ10は、所在情報データベースを参照し、特定された利用者のうちさらに提供データの要件に適合する対象者を特定する。図10の例では、流通制御サーバ10は、対象期間(2019年1月1日~2020年12月31日)に病名、1年に1回以上の検査による検査結果、1ヶ月に3回以上の活動量が登録されている利用者が特定される。
流通制御サーバ10は、所在情報データベースを参照し、特定された利用者について、対象データ(提供データ)を保持するサービス事業者を特定する。上記の例では、病名及び検査結果を保持する病院A、病院B、活動量を保持するフィットネスクラブCが特定される。
流通制御サーバ10は、特定された利用者、データ提供の対象となるデータのデータID、特定されたサービス事業者及び提供申込IDを対応付けて記憶する。
流通制御サーバ10は、特定したデータ提供元に関する情報を取引サーバ40に通知する。具体的には、流通制御サーバ10は、提供申込ID、特定したデータ提供元の名称、連絡先(サービスサーバ20のアドレス)、データ提供元が蓄積するデータ種類等を含む「提供元通知」を取引サーバ40に送信する(ステップS23)。上記の例では、病院A、病院Bが病名及び検査結果を蓄積し、フィットネスクラブCが活動量を蓄積していることが取引サーバ40に通知される。
<データ提供契約に関する交渉>
取引サーバ40は、提供元通知を受信すると、流通制御サーバ10により特定されたサービス事業者に対してデータ利活用事業者との間でデータ提供申込の契約締結を依頼する。
はじめに、取引サーバ40は、データ提供申込を、提供元通知により通知されたデータ提供元ごとに分離する。具体的には、取引サーバ40は、データ提供先と各データ提供元の間の個別のデータ提供契約(データ提供契約のドラフト)を生成する。
上記の例では、取引サーバ40は、病名、検査結果に関するユーザデータを蓄積する病院A向けのデータ提供契約として、図12Aに示すデータ提供契約を生成する。同様に、取引サーバ40は、病名、検査結果に関するユーザデータを蓄積する病院B向けのデータ提供契約として、図12Bに示すデータ提供契約を生成する。取引サーバ40は、活動量に関するユーザデータを蓄積するフィットネスクラブC向けのデータ提供契約として、図12Cに示すデータ提供契約を生成する。
図12A乃至図12Cに示すように、データ提供契約には、データ提供先の情報、データ提供元の情報、提供データの種類及びその対価が含まれる。なお、図12A乃至図12Cに示すデータ提供契約は、取引サーバ40により作成されてもよいし、取引事業者の職員等により作成されてもよい。
取引サーバ40は、各データ提供契約に提供契約IDを付与する。取引サーバ40は、データ提供契約と提供契約IDを対応付けて記憶する。取引サーバ40は、データ提供申込の提供申込IDとデータ提供契約の提供契約IDを対応付けて記憶する。
取引サーバ40は、提供申込ID、個別の提供契約ID及びデータ提供契約を含む「提供契約締結依頼」を流通制御サーバ10から通知された各連絡先(例えば、病院A、病院B、フィットネスクラブCのサービスサーバ20)に送信する(ステップS24)。
提供契約締結依頼を受信したことに応じて、データ提供元は、データ提供先(データ利活用事業者)とデータ提供に関する交渉を行う。データ提供元の職員等は、データ提供契約を検討した結果をサービスサーバ20に入力する。サービスサーバ20は、取得した検討結果に応じて提供契約締結依頼に対する応答を取引サーバ40に送信する(ステップS25)。
具体的には、データ提供契約に記載された条件(主に、データ提供に対する対価の提案)に同意すれば、データ提供元の職員は、その旨をサービスサーバ20に入力する。サービスサーバ20は、データ提供契約に応じる旨(データ提供契約を締結する旨)を示す肯定応答を取引サーバ40に送信する。
データ提供契約に記載された条件に同意できなければ、データ提供元の職員は、その旨をサービスサーバ20に入力する。サービスサーバ20は、データ提供申込に応じない旨(データ提供契約を締結しない旨)を示す否定応答を取引サーバ40に送信する。
肯定応答を受信した場合(データ提供契約が成立の場合)、取引サーバ40は、データ提供契約が成立したことを記憶する。取引サーバ40は、データ提供契約が成立したことを流通制御サーバ10及びデータ利活用サーバ30に通知する。具体的には、取引サーバ40は、提供申込ID、個別の提供契約ID及びデータ提供契約を含む「個別契約成立通知」を流通制御サーバ10及びデータ利活用サーバ30に送信する(ステップS26)。
否定応答を受信した場合(データ提供契約が不成立の場合)、取引サーバ40は、データ提供契約が不成立であることをデータ利活用サーバ30に通知する。取引サーバ40は、提供申込ID、個別の提供契約ID及びデータ提供契約を含む「個別契約不成立通知」をデータ利活用サーバ30に送信する(図11に図示せず)。
データ提供契約が不成立の場合、データ利活用事業者の職員等は、データ提供契約を取り下げるか、条件を引き上げて再びデータ提供契約を申し込むか検討する。
データ提供契約を取り下げる場合には、データ利活用事業者の職員等は、その旨をデータ利活用サーバ30に入力する。データ利活用サーバ30は、提供申込ID及び個別の提供契約IDを含む「個別契約取下通知」を取引サーバ40に送信する(図11に図示せず)。取引サーバ40は、受信した個別契約取下通知を流通制御サーバ10に転送する。
再びデータ提供契約に関する交渉を行う場合には、データ利活用事業者の職員等は、新たな条件を設定したデータ提供契約をデータ利活用サーバ30に入力する。データ利活用サーバ30は、新たなデータ提供契約を取引サーバ40に送信する。
取引サーバ40は、新たなデータ提供契約を含む提供契約締結依頼をサービスサーバ20に送信する。データ提供元は、提示された新たな条件を検討し、検討結果を、取引サーバ40を介してデータ提供先に通知する。データ提供元とデータ提供先は、上記のような価格交渉を繰り返す。
以降の説明では、病院Aとデータ提供先(製薬会社D)の間でデータ提供契約が成立し、病院Bとデータ提供先との間では契約は成立せず、フィットネスクラブCとデータ提供先との間で契約が成立した場合について説明する。
流通制御サーバ10、データ利活用サーバ30及び取引サーバ40は、契約が成立したデータ提供契約と成立しないデータ提供契約を提供契約ID、提供申込IDを用いて管理する。
<利用者の同意取得>
流通制御サーバ10は、データ流通対象者を特定すると、当該対象者のデータ流通に対する同意を取得する。
流通制御サーバ10は、利用者情報データベース、所在情報データベース等を用いて特定された利用者の連絡先(端末50が受信可能なメールアドレス)にデータ提供に関する問合せを送信する(図11のステップS27)。
流通制御サーバ10は、ユーザデータを保持するデータ提供元であって、データ提供先とのデータ提供契約が成立したデータ提供元に関し、データ提供に関する問合せを上記特定された利用者に対して行う。上記の例では、病院A、フィットネスクラブCのそれぞれが蓄積するユーザデータに関する、データ提供の問合せが送信される。
データ提供の問合せには、データ提供の要請元(上記の例では製薬会社D)の情報、データ提供元(病院A、フィットネスクラブC)の情報、提供が要望されたデータ種類(例えば、病名、検査結果、活動量)が含まれる。
データ提供の問合せを受信した端末50は、データ提供に関する利用者の意思を取得するためのGUIを表示する。端末50は、GUIを用いて、利用者の意思(データ提供に同意、不同意)を取得する。
端末50は、データ提供の問合せに対する応答(データ提供に同意、又は、データ提供を拒否)を流通制御サーバ10に送信する(ステップS28)。
流通制御サーバ10は、利用者がデータ提供に同意すると、その旨を記憶する。その際、流通制御サーバ10は、データ提供に同意した利用者を識別するための識別情報を生成する。より具体的には、流通制御サーバ10は、データ提供申込ごとに異なる対象者ID(データ提供に同意した個人を識別するID)を生成する。流通制御サーバ10は、提供申込ID、対象者ID及びユーザIDを対応付けて同意管理データベースに記憶する。同意管理データベースの詳細は後述する。
流通制御サーバ10は、データ提供申込に記載された必要人数以上の同意が得られるまで、定期的又は所定のタイミングで上記データ提供の問合せを対象者の端末50に送信する。例えば、流通制御サーバ10は、データ提供を拒否した利用者に対しては、所定の日数が経過後、データ提供の問合せを行う。
このように、取引サーバ40は、データ提供申込を含む提供要請を流通制御サーバ10に送信する。流通制御サーバ10は、所定の要件を満たすデータに対応する利用者が所持する端末50に対し、データ提供の問合せを送信する。流通制御サーバ10は、データ提供の問合せを端末50に送信することで、データ利活用事業者が提供を望むユーザデータの発生に寄与した利用者の同意(データ提供に対する同意)を取得する。
利用者がデータ提供に同意すると、流通制御サーバ10は、当該利用者の同意により提供されるデータ量を計算する。流通制御サーバ10は、所在情報データベースを参照し、利用者が同意することで提供されるデータ量を把握する。
例えば、1人の利用者がデータ提供に同意することで、1件の病名、10件の検査結果、100件の活動量のようなデータ種類ごとの提供データが発生する。
利用者の同意が得られるたびに、流通制御サーバ10は、計算したデータ量を取引サーバ40に通知する。流通制御サーバ10は、提供申込ID及び計算したデータ量を含む「提供データ量通知」を取引サーバ40に送信する(図13のステップS31)。
取引サーバ40は、データ提供の状況を示す「データ提供状況情報」を生成する。取引サーバ40は、データ提供申込ごとにデータ提供状況情報を生成する。取引サーバ40は、データ提供状況情報により、データ提供先に提供されるデータ種類ごとのデータ量、及び、データ提供が成立した場合にデータ提供先が支払う対価(対価の総額)を管理する。
例えば、取引サーバ40は、提供データ量通知を受信したことに応じて、データ種類ごとのデータ量(蓄積量)を計算し、グラフ化する。同様に、取引サーバ40は、データ提供先が支払う対価をグラフ化する。例えば、取引サーバ40は、図14に示すような時系列グラフをデータ提供状況情報として作成する。
取引サーバ40は、生成したデータ提供状況情報(例えば、図14に示すようなグラフ)を定期的又は所定のタイミングでデータ利活用サーバ30に送信する(図13に図示せず)。
このように、流通制御サーバ10は、利用者がデータ提供に同意すると、利用者の同意により生じる、サービスサーバ20からデータ利活用サーバ30へ提供可能なデータのデータ量を取引サーバ40に通知する。取引サーバ40は、流通制御サーバ10から受信した、サービスサーバ20からデータ利活用サーバ30へ提供可能なデータのデータ量に基づいて、データ提供申込の状況を示すデータ提供状況情報を生成する。取引サーバ40は、生成されたデータ提供状況情報をデータ利活用サーバ30に送信する。
<データ提供申込のキャンセル>
データ利活用事業者は、データ提供申込(データ提供申込から派生した全てのデータ提供契約)をキャンセルできる。データ利活用事業者の職員は、取引サーバ40から取得したデータ提供状況情報を確認しつつ、データ提供申込を取り消すか継続するか決定する。即ち、データ利活用事業者は、図14に示すような時系列グラフ(データ提供状況情報)を参照し、データ提供契約を継続するかキャンセルするか決定できる。
ただし、データ利活用事業者は、データ提供申込のキャンセルは無条件で行えない。データ利活用事業者は、キャンセル対象のデータ提供申込の提供データの要件が満たされているとデータ提供申込をキャンセルできない。
具体的には、データ提供先は、対象データの一部が必要データ量の下限を満たしていない時は、データ提供契約の締め切り日によらずデータ提供申込をキャンセルできる。即ち、データ利活用事業者(データ提供先)は、データ提供の締め切りに関わらず提供データの要件に規定されたデータの少なくとも1つが揃っていなければ、データ提供申込を任意のタイミングでキャンセルできる。
対して、データ提供先は、対象データの全てが必要データ量の下限を満たしている時は、データ提供申込の締め切り日によらずデータ提供申込をキャンセルできない。即ち、データ利活用事業者は、自ら申し込んだ提供データの要件が満たされている場合には、データ提供申込の締め切りに関わらずデータ提供申込をキャンセルできない。
このような対応により、データ提供先は、必要なデータが揃わないにも関わらず、対価を支払う必要がなくなる。その結果、データ提供先が保護される。また、データ提供先は、必要なデータを確保できた時点でデータ提供契約をキャンセルされることはない。その結果、データ提供先が保護される。
データ提供申込のキャンセルを希望するデータ利活用事業者の事業者は、その旨をデータ利活用サーバ30に入力する。データ利活用サーバ30は、データ提供申込のキャンセル希望を取得すると、その旨を取引サーバ40に通知する。データ利活用サーバ30は、提供申込IDを含む「提供申込取消要求」を取引サーバ40に送信する(図13のステップS32)。
提供申込取消要求を受信すると、取引サーバ40は、データ提供申込の状況を確認し、データ提供申込のキャンセルが可能か否か判定する。取引サーバ40は、判定結果に応じた応答をデータ利活用サーバ30に送信する(ステップS33)。
取引サーバ40は、データ提供申込の状況がキャンセル可な状態であれば、データ提供申込のキャンセルを受け付ける旨の肯定応答をデータ利活用サーバ30に送信する。取引サーバ40は、データ提供申込の状況がキャンセル不可な状態であれば、データ提供申込のキャンセルを受け付けられない旨の否定応答をデータ利活用サーバ30に送信する。
データ提供申込のキャンセルを受け付けた場合には、取引サーバ40は、その旨を流通制御サーバ10に通知する(図13に図示せず)。流通制御サーバ10は、キャンセルが通知されたデータ提供申込に関する情報等を破棄する。
このように、取引サーバ40は、所定の要件(提供データの要件)を満たすデータが、サービスサーバ20からデータ利活用サーバ30へ提供可能になると、データ提供申込のキャンセルの要求を拒否する。当該所定の要件は、サービスサーバ20からデータ利活用サーバ30に提供される提供データごとのデータ種類と必要データ量の下限値を含む。取引サーバ40は、提供データの各データ種類について、サービスサーバ20からデータ利活用サーバ30へ提供可能なデータのデータ量が必要データ量の下限値を超えた場合、データ提供申込のキャンセルの要求を拒否する。
<データ提供の実行>
取引サーバ40は、所定の条件が満たされるとデータ提供を実行する。取引サーバ40は、所定の条件が満たされると、流通制御サーバ10に対し、データ提供の実行を指示する。取引サーバ40は、所定の条件が満たされていない場合、データ提供申込を破棄してもよい。
例えば、取引サーバ40は、データ提供申込に記載された締め切り日が到来し、且つ、データ提供申込に記載された提供データの要件が満たされていれば、データ提供を実行する。
取引サーバ40は、データ提供申込の締め切り日が到来し、且つ、提供データの各データ種類について、サービスサーバ20からデータ利活用サーバ30へ提供可能なデータのデータ量が必要データ量の下限値を超えた場合、データ提供の実行を指示する。
即ち、データ提供申込に記載された各対象データの全てにおいて必要データ量の下限値以上のデータが提供可能な場合に、提供データ要件が満たされていると判定される。図10の例では、5件以上の病名、20件以上の検査結果、1000件以上の活動量のデータが提供可能となった場合に、提供データの要件が満たされたと判定される。
この場合、取引サーバ40は、提供申込IDを含む「データ提供実行指示」を流通制御サーバ10に送信する(図15参照)。
データ提供実行指示を受信すると、流通制御サーバ10は、データ提供に対する同意が得られている利用者に関し、データ提供元に提供指示を送信する(図11のステップS29)。
その際、流通制御サーバ10は、同意管理データベースに記憶された対象者IDを含む提供指示をデータ提供元に送信する。流通制御サーバ10は、各データ提供元が独自に管理している個人識別IDを対象者IDに置き換えてデータ提供するようにサービスサーバ20に指示する。
例えば、10人の利用者の同意が得られていれば、流通制御サーバ10は、当該10人分のデータに関し、サービスサーバ20に提供指示を送信する。例えば、流通制御サーバ10は、病院Aのサービスサーバ20に対し、10人分の病名、検査結果の提供指示を送信する。同様に、流通制御サーバ10は、フィットネスクラブCのサービスサーバ20に対し、10人分の活動量の提供指示を送信する。
このように、流通制御サーバ10は、所定の要件を満たすデータ(提供対象のデータ)が複数のサービスサーバ20に記憶されている場合、複数のサービスサーバ20それぞれに、同一の対象者IDを含む提供指示を送信する。
提供指示を受信したサービスサーバ20は、顧客情報データベースを参照し、同意した利用者のユーザデータを指定されたデータ提供先に送信する(ステップS30)。
その際、データ提供元のサービスサーバ20は、ユーザデータと共に流通制御サーバ10から通知された対象者IDをデータ提供先に送信する。サービスサーバ20は、データ流通対象者の個人識別IDを流通制御サーバ10により指定された対象者IDに置き換えて、データ提供を行う。
データ提供先(データ利活用事業者)のデータ利活用サーバ30は、各サービスサーバ20から受信した対象者IDに基づいて、当該各サービスサーバ20から受信したユーザデータの対応付けを行う。データ利活用サーバ30は、対象者IDを用いてユーザデータの名寄せを行う。
このように、取引サーバ40は、データ提供申込を流通制御サーバ10に送信する。流通制御サーバ10は、所定の要件を満たすデータを指定する情報(例えば、データID)と、利用者のIDであってデータ提供申込に対応して生成された対象者IDと、を含む提供指示をサービスサーバ20に送信する。サービスサーバ20は、指定されたデータと対象者IDをデータ利活用サーバ30に送信する。
取引サーバ40は、データ提供申込に記載された締め切り日が到来したが、データ提供申込に記載された提供データの要件が満たされていなければ、データ提供契約を破棄する。この場合、取引サーバ40は、その旨を流通制御サーバ10及びデータ利活用サーバ30に通知する。
あるいは、取引サーバ40は、データ提供申込の予算に基づいて、データ提供を実行してもよい。
取引サーバ40は、データ利活用事業者がサービス事業者に支払う対価の総額が予算を超え、且つ、データ提供申込に記載された提供データの要件が満たされていれば、データ提供を実行する。
具体的には、取引サーバ40は、利用者がデータ提供に同意することでデータ提供先が支払う対価がデータ提供申込に記載された予算を上回り、且つ、データ提供申込に記載された提供データの要件が満たされていれば、データ提供の実行を指示する。
対して、取引サーバ40は、データ提供先が支払う対価がデータ提供申込に記載された予算を上回ったが、データ提供申込に記載された提供データの要件が満たされていなければ、データ提供申込を破棄する。
あるいは、取引サーバ40は、対象データの少なくとも1つが必要データ量の上限を超え、且つ、データ提供申込に記載された提供データの要件が満たされていれば、データ提供を実行してもよい。即ち、取引サーバ40は、提供データの少なくとも1つのデータ種類について、サービスサーバ20からデータ利活用サーバ30へ提供可能なデータのデータ量が必要データ量の上限値を超え、且つ、提供データの要件が満たされていれば、データ提供を実行する。
対して、取引サーバ40は、対象データの少なくとも1つが必要データ量の上限を超えたが、データ提供申込に記載された提供データの要件が満たされていなければ、データ提供申込を破棄してもよい。
このように、取引サーバ40は、締め切り日が到来した場合、データ提供先が支払う対価が予算を超過した場合、対象データの少なくとも1つが必要データ件数の上限を超えた場合等においてデータ提供を実行するか破棄するか決定する。
続いて、第1の実施形態に係る情報流通システムに含まれる各装置の詳細について説明する。
[流通制御サーバ]
図16は、第1の実施形態に係る流通制御サーバ10の処理構成(処理モジュール)の一例を示す図である。図16を参照すると、流通制御サーバ10は、通信制御部201と、利用者登録部202と、ID連携部203と、所在情報管理部204と、データ流通制御部205と、カタログ情報管理部206と、記憶部207と、を備える。
通信制御部201は、他の装置との間の通信を制御する手段である。例えば、通信制御部201は、サービスサーバ20からデータ(パケット)を受信する。また、通信制御部201は、サービスサーバ20に向けてデータを送信する。通信制御部201は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部201は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部201を介して他の装置とデータの送受信を行う。通信制御部201は、他の装置からデータを受信する受信部としての機能と、他の装置に向けてデータを送信する送信部としての機能と、を備える。
利用者登録部202は、上述の利用者登録(利用者のシステム登録)を実現する手段である。利用者登録部202は、利用者の端末50から個人情報(氏名、生年月日、連絡先、口座情報等)を取得する。
利用者登録部202は、当該個人情報を取得すると、利用者を識別するためのユーザIDを生成する。例えば、利用者登録部202は、利用者のシステム登録のたびに一意な値を採番し、当該採番された値をユーザIDとして用いる。
利用者登録部202は、ユーザIDと個人情報を利用者情報データベースに記憶する(図17参照)。なお、図17に示すように、利用者情報データベースは、ユーザID、個人情報及びサービス事業者ごとの個人識別IDを対応付けて記憶する。また、図17に示す利用者情報データベースは例示であって、記憶する項目等を限定する趣旨ではない。例えば、利用者登録された日時等が利用者情報データベースに登録されていてもよい。
利用者登録部202は、生成したユーザIDを端末50に送信する。
ID連携部203は、上述のID連携を実現する手段である。ID連携部203は、サービス事業者の端末(例えば、病院端末60)やサービスサーバ20から「ID連携要求」を受信する。ID連携要求には、ID連携(サービス事業者の登録)を希望する利用者の個人特定情報、個人識別ID及び事業者コードが含まれる。
ID連携部203は、個人特定情報(利用者の氏名、氏名と生年月日の組み合わせ等)をキーとして利用者情報データベースを検索し、対応する利用者を特定する。ID連携部203は、当該特定された利用者の個人識別IDフィールドのうち事業者コードに対応するフィールドにID連携要求に含まれる個人識別IDを設定する。即ち、ID連携部203は、個人特定情報からシステムアカウントに登録された利用者を特定し、当該特定した利用者のアカウントにおいてサービス事業者と個人識別IDを対応付ける。
所在情報管理部204は、サービス事業者から取得する所在情報を管理する手段である。所在情報管理部204は、サービス事業者が利用者にサービスを提供することで発生したユーザデータを第三者に提供可能なデータとして情報流通システムに登録するためのデータ蓄積を制御する。
所在情報管理部204は、各サービスサーバ20から取得した所在情報を所在情報データベースに記憶する(図18参照)。図18に示すように、所在情報データベースは、個人識別ID、事業者コード、データID、データ種類、データ蓄積日等を対応付けて記憶する。
なお、図18に示す所在情報データベースは例示であって、記憶する項目等を限定する趣旨ではない。また、図18を含む図面において、理解の容易のため、事業者コードをサービス事業者の名称を用いて表記している。
データ流通制御部205は、「共有」又は「提供」によるデータ流通を制御する手段である。
はじめに、「共有」に関するデータ流通について説明する。
データ流通制御部205は、サービスサーバ20から共有要請を受信する。共有要請には、データ取得の対象となる利用者の個人識別ID、共有要請の送信元の事業者コード、取得を希望するデータ種類が含まれる。図7の例では、EC事業者B(サービスサーバ20-2)が利用者に対して生成した個人識別ID、EC事業者Bの事業者コード、データ種類として「病名」が共有要請に含まれる。
データ流通制御部205は、共有要請に含まれる個人識別ID、事業者コードに基づいてデータ流通の対象者を特定する。具体的には、データ流通制御部205は、図17に示す利用者情報データベースを参照し、当該対象者を特定する。上記の例では、EC事業者Bから「EC01」の個人識別IDを含む共有要請を受信すると、データ流通制御部205は、図17に示す1行目のエントリから利用者U1がデータ流通の対象者であることを把握する。
その後、データ流通制御部205は、特定された利用者の個人識別IDと共有要請に含まれるデータ種類を用いて必要なデータを蓄積しているサービス事業者を特定する。具体的には、データ流通制御部205は、図18に示す所在情報データベースを参照し、共有要請に含まれるデータ種類に対応するデータを蓄積するサービス事業者を特定する。上記の例では、利用者U1の個人識別ID「HL01」と共有要請に含まれるデータ種類「病名」に基づき、病院Aが特定される。
利用者の個人識別IDと共有要請に含まれるデータ種類の組み合わせが所在情報データベースに記憶されていない場合には、データ流通制御部205は、共有要請の送信元に対してデータ共有不可を示す否定応答を送信する。上記の例では、利用者U1の個人識別ID「HL01」とデータ種類「病名」の組み合わせが所在情報データベースに登録されていなければ、否定応答がEC事業者B(サービスサーバ20-2)に送信される。
データ流通の対象者と流通させるデータの蓄積者が特定されると、データ流通制御部205は、データ流通対象者に対してデータ共有の問い合わせを行う。具体的には、データ流通制御部205は、データ流通対象者の連絡先に、データ共有に関する問合せを送信する。上記の例では、利用者U1が所持する端末50に上記問合せが送信される。
なお、データ共有の問合せには、データ共有の要請元、データ蓄積者、データ共有されるデータ種類等の情報が含まれる。上記の例では、データ共有の要請元としてEC事業者B、データ蓄積者として病院A、データ共有されるデータ種類として「病名」がそれぞれ設定される。
データ流通制御部205は、データ共有の問合せに対する応答を端末50から受信する。
利用者がデータ共有を拒否している場合には、データ流通制御部205は、データ共有不可をデータ共有要請元に通知する。上記の例では、データ流通制御部205は、EC事業者Bのサービスサーバ20-2に対して共有要請に対する否定応答を送信する。
利用者がデータ共有に同意した場合には、データ流通制御部205は、データ蓄積者に対して共有指示を送信する。上記の例では、データ蓄積者である病院Aのサービスサーバ20-1に共有指示が送信される。
共有指示には、データ蓄積者が生成した個人識別IDと、データ共有先に関する情報と、データ共有する対象のデータ種類と、が含まれる。上記の例では、利用者U1の個人識別ID「HL01」と、EC事業者Bのサービスサーバ20-2のアドレスと、データ種類「病名」を含む共有指示が病院Aのサービスサーバ20-1に送信される。
このように、データ流通制御部205は、データ共有に同意した利用者(対象者)の個人識別IDであってデータ蓄積者が生成した個人識別IDを含む共有指示を送信する。
続いて、「提供」に関するデータ流通について説明する。
データ流通制御部205は、取引サーバ40から「提供要請」を受信する。提供要請には、提供申込ID、データ提供申込及び口座開設者リストが含まれる。
データ流通制御部205は、データ提供申込に記載された提供データの要件に合致するユーザデータを保持するデータ提供元(サービス事業者)を特定する。データ流通制御部205は、利用者情報データベース及び所在情報データベースを参照し、データ提供申込に記載された要件に合致する利用者(対象者)のデータを保持するデータ提供元を特定する。
図10の例では、データ流通制御部205は、利用者情報データベースを参照し、20歳から65歳までの利用者であって口座開設者リストに記載された利用者を特定する。
その後、データ流通制御部205は、所在情報データベースを参照し、特定された利用者のうちさらに提供データの要件に適合する対象者を特定する。図10の例では、データ流通制御部205は、対象期間(2019年1月1日~2020年12月31日)に病名、1年に1回以上の検査による検査結果、1ヶ月に3回以上の活動量が登録されている利用者を特定する。
データ流通制御部205は、所在情報データベースを参照し、特定された利用者について、対象データ(提供データ)を保持するサービス事業者を特定する。
図18の例では、個人識別ID「HL01」の利用者U1が上記特定された利用者に該当する場合には、データ流通制御部205は、病名、検査結果を保持する病院Aを特定する。
また、利用者U1が病院Bを受診し、病名、検査結果がデータ提供の対象データとして所在情報データベースに登録されていれば、データ流通制御部205は、病名、検査結果を保持する病院Bを特定する。
同様に、個人識別ID「FC01」の利用者が利用者U1であって上記特定された利用者に該当する場合には、データ流通制御部205は、活動量を保持するフィットネスクラブCを特定する。
データ流通制御部205は、特定された利用者のユーザID、特定された利用者ごとの対象データのデータID、特定されたサービス事業者の事業者コード及び提供申込IDを対応付けて記憶する。
データ流通制御部205は、特定したデータ提供元に関する情報を取引サーバ40に通知する。具体的には、流通制御サーバ10は、提供申込ID、特定したデータ提供元の名称、連絡先(サービスサーバ20のアドレス)、データ提供元が蓄積するデータ種類等を含む「提供元通知」を取引サーバ40に送信する。
データ流通制御部205は、情報流通事業者の職員等が流通制御サーバ10に予め入力したデータ提供元の事業者コード、データ提供元の名称、連絡先等を対応付けて記憶するテーブル情報を参照し、上記データ提供元に関する情報を取得する。
データ流通制御部205は、取引サーバ40から「個別契約成立通知」又は「個別契約取下通知」を受信する。データ流通制御部205は、これらの通知に含まれる提供契約IDに基づいて、個別のデータ提供契約(データ提供先ごとの契約)の成立、不成立を管理する。
データ提供契約が成立すると、データ流通制御部205は、データ提供に対する対象者の同意を取得するための制御を行う。データ流通制御部205は、利用者情報データベース、所在情報データベース等を用いて特定された利用者の連絡先(端末50が受信可能なメールアドレス)にデータ提供に関する問合せを送信する。
具体的には、データ流通制御部205は、データ提供契約が成立したデータ提供元に関し、データ提供の問合せを上記特定された利用者に対して行う。上述の例では、病院Aと製薬会社Dの間でデータ提供契約が成立し、フィットネスクラブCと製薬会社Dの間でデータ提供契約が成立している。従って、データ流通制御部205は、病院A及びフィットネスクラブCが保持するユーザデータに関するデータ提供の問合せをデータ流通対象者の端末50に送信する。
データ提供の問合せには、データ提供の要請元(上記の例では製薬会社D)の情報、データ提供元(病院A、フィットネスクラブC)の情報、提供が要望されたデータ種類(例えば、病名、検査結果、)が含まれる。
データ流通制御部205は、データ提供の問合せに対する応答を端末50から受信する。利用者がデータ提供に同意しなければ、データ流通制御部205は、特段の対応をしない。
利用者がデータ提供に同意すると、データ流通制御部205は、データ提供申込ごとに、データ提供に同意した利用者を識別するための対象者IDを生成する。例えば、データ流通制御部205は、データ提供申込の提供申込IDとデータ提供に同意した利用者のユーザIDの連結値を計算する。データ流通制御部205は、計算した連結値のハッシュ値を対象者IDとして生成する。
データ流通制御部205は、提供申込ID、データ提供に同意した利用者の対象者ID及びユーザIDを対応付けて同意管理データベースに記憶する(図19参照)。なお、図19に示す同意管理データベースは例示であって、記憶する項目等を限定する趣旨ではない。
図19を参照すると、「PID01」のデータ提供申込には、2人の利用者が同意している。また、ユーザIDが「ID11」の利用者は、「PID01」と「PID02」の2つのデータ提供申込に同意している。当該利用者には、異なる対象者IDが付与されている。
また、利用者がデータ提供に同意すると、データ流通制御部205は、当該利用者の同意により提供される提供データのデータ量を計算する。
利用者が病院Aに保持されたユーザデータの提供に同意した場合、データ提供申込の対象期間に蓄積された病名が1件、検査結果が3件といったデータ量が計算される。具体的には、データ流通制御部205は、所在情報データベースを参照し、対象期間にデータ提供元が上記利用者のユーザデータ(病名、検査結果)を蓄積した数をカウントする。
利用者の同意が得られるたびに、データ流通制御部205は、計算したデータ量を取引サーバ40に通知する。流通制御サーバ10は、提供申込ID及び計算したデータ量(データ種類ごとのデータ量)を含む「提供データ量通知」を取引サーバ40に送信する。
なお、データ流通制御部205は、データ提供申込に記載された必要人数の同意が得られるまで、定期的又は所定のタイミングで上記データ提供の問合せを対象者の端末50に送信する。
データ流通制御部205は、取引サーバ40から「データ提供実行指示」を受信する。
データ提供実行指示を受信すると、データ流通制御部205は、データ提供に対する同意が得られている利用者に関し、各データ提供元に提供指示を送信する。例えば、10人の利用者からデータ提供に対する同意が得られていれば、データ流通制御部205は、当該10人の利用者に関し、各サービスサーバ20に提供指示を送信する。
提供指示には、データ提供に同意した利用者の個人識別IDと、対象者IDと、データ提供先に関する情報(例えば、事業者名、事業者コード、データ利活用サーバ30のアドレス)と、提供データを特定(指定)するための情報と、が含まれる。提供データを特定するための情報は、データIDであってもよいし、提供データの蓄積された期間及びデータ種類の組み合わせであってもよい。
なお、対象者IDはデータ提供申込ごとに生成される。従って、異なるサービスサーバ20に送信される提供指示であっても、同じデータ提供申込に起因する提供指示には同一の対象者IDが含まれる。上記の例では、病院AとフィットネスクラブCに送信される提供指示(同一の利用者に関する提供指示)には同じ対象者IDが含まれる。
データ流通制御部205は、データ利活用事業者との間でデータ提供契約が締結されたサービス事業者からのデータ提供の同意を利用者から取得する。データ流通制御部205は、データ利活用事業者との間でデータ提供契約が締結され、且つ、利用者がデータ提供に同意しているサービス事業者のサービスサーバ20に提供指示を送信する。
カタログ情報管理部206は、カタログ情報を管理する手段である。カタログ情報管理部206は、システム管理者が作成したカタログ情報を記憶部207に記憶する。
カタログ情報管理部206は、取引サーバ40から「カタログ情報送信要求」を受信する。当該要求の受信に応じて、カタログ情報管理部206は、記憶部207に記憶されたカタログ情報を取引サーバ40に送信する。
記憶部207は、流通制御サーバ10の動作に必要な情報を記憶する。記憶部207には、利用者情報データベース等が構築される。
[サービスサーバ]
図20は、第1の実施形態に係るサービスサーバ20の処理構成(処理モジュール)の一例を示す図である。図20を参照すると、サービスサーバ20は、通信制御部301と、ID連携制御部302と、データ流通要請部303と、データ蓄積制御部304と、データ流通部305と、契約締結制御部306と、記憶部307と、を備える。
通信制御部301は、他の装置との間の通信を制御する手段である。例えば、通信制御部301は、流通制御サーバ10からデータ(パケット)を受信する。また、通信制御部301は、流通制御サーバ10に向けてデータを送信する。通信制御部301は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部301は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部301を介して他の装置とデータの送受信を行う。通信制御部301は、他の装置からデータを受信する受信部としての機能と、他の装置に向けてデータを送信する送信部としての機能と、を備える。
ID連携制御部302は、利用者のID連携に関する制御を行う手段である。ID連携制御部302は、GUI(Graphical User Interface)等を用いてアカウントにログインしている利用者からID連携の要望を取得する。ID連携制御部302は、利用者からの要望に応じて、個人特定情報(ログインしている利用者の氏名等)、個人識別ID(当該利用者の会員番号等)及び事業者コードを含む「ID連携要求」を流通制御サーバ10に送信する。
なお、利用者の個人識別ID、個人特定情報及びユーザデータ等は、顧客情報データベースを用いて管理される(図21参照)。図21に示すように、顧客情報データベースは、利用者のID連携が完了しているか否かの情報(フラグ)を保持する。ID連携制御部302は、ID連携を完了すると、対応する利用者のID連携状態フィールドにフラグをセットする(図21では、丸印が設定されている)。
データ流通要請部303は、利用者のデータに関するデータ流通(データ共有)を情報流通事業者に要請する手段である。データ流通要請部303は、サービス事業者の職員等の操作に応じて、共有要請を流通制御サーバ10に送信する。具体的には、データ流通要請部303は、データ取得の対象となる利用者の個人識別ID、自装置の事業者コード、取得を希望するデータ種類を含む共有要請を流通制御サーバ10に送信する。
データ蓄積制御部304は、利用者に対してサービスを提供した結果生じるユーザデータの蓄積に関する制御を行う手段である。データ蓄積制御部304は、利用者の個人識別IDと、当該利用者のユーザデータ(利用者にサービスを提供した結果生じたデータ、又は、利用者に提供するサービスに必要なデータ)を対応付けて顧客情報データベースに記憶する。
図21に示すように、データ蓄積制御部304は、発生したデータの種類に応じたフィールドにユーザデータを記憶する(具体的なデータの内容を記憶する)。その際、データ蓄積制御部304は、ユーザデータを識別するためのデータIDを生成し、ユーザデータ及びデータ蓄積日と対応付けて記憶する。なお、図21は、病院Aのサービスサーバ20に構築された顧客情報データベースの一例を示す。
ここで、ID連携が完了している利用者に関し、データ蓄積制御部304は、ユーザデータを顧客情報データベースに記憶するたびに、所在情報を流通制御サーバ10に送信する。例えば、個人識別ID「HL01」の利用者にサービスが提供され、診察結果として病名のデータが発生した場合を考える。この場合、個人識別ID「HL01」、事業者コード「病院A」、データID「HLD01」、データ種類「病名」を含む所在情報が流通制御サーバ10に送信される。
データ流通部305は、「共有」又は「提供」によるデータ流通を実現する手段である。データ流通部305は、流通制御サーバ10から受信した「共有指示」又は「提供指示」を処理する。
共有指示を受信した場合には、データ流通部305は、顧客情報データベースを参照し、共有指示に含まれる個人識別ID、データ種類に対応するエントリを特定する。例えば、個人識別ID「HL01」、データ種類「病名」を含む共有指示を受信した場合には、データ流通部305は、図21の最上段に示されるエントリを特定する。
データ流通部305は、特定されたエントリの対応するデータ種類フィールドに記載されたユーザデータを共有指示で指定されたデータ共有先に送信する。図7及び図21の例では、「胃がん」がEC事業者Bのサービスサーバ20-2に送信される。
提供指示を受信した場合、データ流通部305は、当該提供指示に含まれるデータIDに基づいてデータ提供の対象データを特定する。データ流通部305は、特定されたエントリの対応するデータ種類フィールドに記載されたユーザデータを提供指示で指定されたデータ提供先に送信する。
その際、データ流通部305は、ユーザデータと共に、提供指示に含まれる対象者IDを提供指示に指定されたデータ提供先に送信する。
あるいは、データ流通部305は、提供指示に含まれる個人識別ID、データ蓄積期間、データ種類により定まるユーザデータを、提供指示により指定されたデータ提供先に送信してもよい。
なお、データ流通部305は、共有指示に基づいて共有データを送信する際、利用者の個人特定情報(氏名等)を相手先のサービスサーバ20に送信してもよい。また、データ流通部305は、提供データを受信した事業者が、取得データの対応付けを可能とするように提供データにIDを付与してもよい。例えば、データ流通部305は、利用者の個人特定情報のハッシュ値を計算し、当該ハッシュ値を利用者のIDとしてデータ流通先に送信してもよい。
契約締結制御部306は、データ提供の契約に関する制御を行う手段である。契約締結制御部306は、取引サーバ40から受信した提供契約締結依頼を処理する。契約締結制御部306は、当該依頼を受信すると、サービス事業者の職員等に当該依頼の内容を提示する。
職員等は、図12A乃至図12Cに示されるようなデータ提供契約を検討し、データ提供契約を締結するか否か決定する。契約締結制御部306は、GUI等を用いて職員が決定した内容(データ提供契約を締結する、又は、拒否する)を取得する。
データ提供契約が締結される場合、契約締結制御部306は、データ提供契約を締結する旨を示す肯定応答を取引サーバ40に送信する。
データ提供契約が拒否された場合、契約締結制御部306は、データ提供契約を締結しない旨を示す否定応答を取引サーバ40に送信する。
記憶部307は、サービスサーバ20の動作に必要な情報を記憶する。
[データ利活用サーバ]
データ利活用サーバ30は、利用者(データ利活用事業者の職員等)に情報を提示し、利用者からの操作を受け付ければよい。具体的には、データ流通要請部303は、取引サーバ40から取得したカタログ情報の一覧等を表示し、利用者が入力したデータ提供申込を取引サーバ40に送信すればよい。
データ利活用サーバ30は、取引サーバ40から取得する各種の通知を処理する。具体的には、データ利活用サーバ30は、データ提供契約が不成立であることを通知されると、その旨をデータ利活用事業者の職員等に通知する。この場合、データ利活用サーバ30は、職員等から新たなデータ提供契約やデータ提供申込のキャンセルの指示を取得する。データ利活用サーバ30は、新たなデータ提供契約や個別契約取下通知を取引サーバ40に送信する。
また、データ利活用事業者がデータ提供申込をキャンセルする意思を示した場合、データ利活用サーバ30は、提供申込取消要求を取引サーバ40に送信する。
データ提供により取得したユーザデータを活用する際、データ利活用サーバ30は、各サービスサーバ20から受信した対象者IDに基づいて、各サービスサーバ20から受信したユーザデータの対応付けを行う。データ利活用サーバ30は、対象者IDを用いてユーザデータの名寄せを行う。
[取引サーバ]
図22は、第1の実施形態に係る取引サーバ40の処理構成(処理モジュール)の一例を示す図である。図22を参照すると、取引サーバ40は、通信制御部401と、口座開設部402と、カタログ情報要求部403と、提供契約制御部404と、記憶部405と、を備える。
通信制御部401は、他の装置との間の通信を制御する手段である。例えば、通信制御部401は、流通制御サーバ10からデータ(パケット)を受信する。また、通信制御部401は、流通制御サーバ10に向けてデータを送信する。通信制御部401は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部401は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部401を介して他の装置とデータの送受信を行う。通信制御部401は、他の装置からデータを受信する受信部としての機能と、他の装置に向けてデータを送信する送信部としての機能と、を備える。
口座開設部402は、提供によるデータ流通を希望する利用者の口座を開設する手段である。口座開設部402は、利用者の端末50からユーザIDを取得する。口座開設部402は、取得したユーザIDを口座開設者リストに追加する(図23参照)。
カタログ情報要求部403は、流通制御サーバ10に対して「カタログ情報送信要求」を送信する手段である。
カタログ情報要求部403は、データ利活用サーバ30から「カタログ情報提示要求」を受信すると、流通制御サーバ10に対して「カタログ情報送信要求」を送信する。
当該要求を送信することに応じて、カタログ情報要求部403は、流通制御サーバ10が記憶しているカタログ情報を取得する。カタログ情報要求部403は、自装置が提携しているサービス事業者が関係するカタログ情報を選択して、データ利活用事業者(データ利活用サーバ30)に送信する。なお、カタログ情報要求部403は、提携先のサービス事業者の事業者コードとカタログ情報に含まれる事業者コードに基づいて提携先のサービス事業者に関するカタログ情報を選択する。
提供契約制御部404は、データ提供契約に関する制御を行う手段である。提供契約制御部404は、データ利活用サーバ30から受信するデータ提供申込を処理する。
データ提供申込を受信すると、提供契約制御部404は、当該受信したデータ提供申込に提供申込IDを付与する。提供契約制御部404は、提供申込IDを用いてデータ提供申込を管理する。
提供契約制御部404は、提供申込ID、データ提供申込と口座開設者リストを含む「提供要請」を流通制御サーバ10に送信する。
提供契約制御部404は、流通制御サーバ10から提供元通知を受信する。当該提供元通知には、提供申込ID、データ提供の対象となるデータを蓄積するデータ提供元の名称、連絡先(サービスサーバ20のアドレス)、データ種類等が含まれる。
提供元通知を受信すると、提供契約制御部404は、データ提供申込をデータ提供元ごとの個別契約(個別契約案)に分離する。具体的には、提供契約制御部404は、通知されたデータ種類が共通するデータ提供元について1つのデータ提供契約を生成する。
上記の例では、病名、検査結果はそれぞれ病院A、病院Bに保持されているので、提供契約制御部404は、病院A向けのデータ提供契約、病院B向けのデータ提供契約を生成する。また、活動量はフィットネスクラブCに保持されているので、提供契約制御部404は、フィットネスクラブC向けのデータ提供契約を生成する。
あるいは、個別のデータ提供契約は取引事業者の職員等により生成されてもよい。提供契約制御部404は、提供元通知の内容を上記職員に提示する。提供契約制御部404は、職員が生成したデータ提供契約を、GUI等を用いて取得する。
提供契約制御部404は、生成したデータ提供契約に提供契約IDを付与する。取引サーバ40は、提供申込ID、提供契約ID及びデータ提供契約を対応付けて記憶する。
各データ提供元(データ蓄積者)向けの個別契約を生成すると、提供契約制御部404は、各データ提供元にデータ提供契約の締結依頼を行う。具体的には、提供契約制御部404は、提供申込ID、個別の提供契約ID及びデータ提供契約を含む「提供契約締結依頼」を流通制御サーバ10から通知された各連絡先(サービスサーバ20)に送信する。
提供契約制御部404は、サービスサーバ20から提供契約締結依頼に対する応答を受信する。
肯定応答(データ提供元はデータ提供契約に応じる旨の応答)を受信した場合、提供契約制御部404は、契約が成立したデータ提供契約の提供契約IDを記憶する。さらに、提供契約制御部404は、データ提供契約が成立したことを流通制御サーバ10及びデータ利活用サーバ30に通知する。提供契約制御部404は、提供申込ID、提供契約ID及びデータ提供契約を含む「個別契約成立通知」を流通制御サーバ10及びデータ利活用サーバ30に送信する。
否定応答(データ提供元はデータ提供契約に応じない旨の応答)を受信した場合、提供契約制御部404は、データ提供契約が不成立であることをデータ利活用サーバ30に通知する。具体的には、提供契約制御部404は、提供申込ID、提供契約ID及びデータ提供契約を含む個別契約不成立通知をデータ利活用サーバ30に送信する。
この場合、提供契約制御部404は、データ利活用サーバ30から、新たなデータ提供契約(条件が見直されたデータ提供契約)又は個別契約取下通知を受信する。
新たなデータ提供契約を受信した場合、提供契約制御部404は、当該新たなデータ提供契約を含む提供契約締結依頼をデータ提供元のサービスサーバ20に送信する。
個別契約取下通知を受信した場合、提供契約制御部404は、受信した個別契約取下通知を流通制御サーバ10に転送する。
提供契約制御部404は、データ利活用事業者からのデータ提供申込の取消に関する制御を行う。
提供契約制御部404は、データ利活用サーバ30から提供申込IDを含む「提供申込取消要求」を受信する。
提供申込取消要求を受信すると、提供契約制御部404は、データ提供契約の状況を確認し、データ提供申込のキャンセルが可能か否か判定する。
提供契約制御部404は、データ提供申込の提供データの要件が満たされていれば、データ提供申込はキャンセル不可と判定する。提供契約制御部404は、データ提供申込の提供データの要件が満たされていなければ、データ提供申込はキャンセル可と判定する。
具体的には、対象データの一部のデータ量が必要データ量の下限を超えていない場合には、データ提供申込の締め切り日によらずデータ提供申込はキャンセル可と判定される。対して、対象データの全てのデータ量が必要データ量の下限を超えている場合には、データ提供契約の締め切り日によらずデータ提供申込はキャンセル不可と判定される。
提供契約制御部404は、データ提供の状況がキャンセル可な状態であれば、データ提供申込のキャンセルを受け付ける旨の肯定応答をデータ利活用サーバ30に送信する。提供契約制御部404は、データ提供の状況がキャンセル不可な状態であれば、データ提供申込のキャンセルを受け付けられない旨の否定応答をデータ利活用サーバ30に送信する。
また、データ提供申込のキャンセルを受け付けた場合には、提供契約制御部404は、その旨を流通制御サーバ10に通知する。
提供契約制御部404は、データ提供の実行に関する制御を行う。提供契約制御部404は、所定の条件が満たされるとデータ提供を実行する。提供契約制御部404は、所定の条件が満たされるとデータ提供契約を自動的に締め切る自動締切機能を備える。
具体的には、提供契約制御部404は、データ提供申込に記載された締め切り日が到来し、且つ、データ提供申込に記載された提供データの要件が満たされていれば、データ提供の実行を流通制御サーバ10に指示する。
あるいは、提供契約制御部404は、データ提供申込の予算に基づいて、データ提供を実行してもよい。具体的には、提供契約制御部404は、利用者がデータ提供に同意することでデータ提供先が支払う対価がデータ提供申込に記載された予算を上回り、且つ、データ提供申込に記載された提供データの要件が満たされていれば、データ提供申込を実行する。
あるいは、提供契約制御部404は、対象データの少なくとも1つが必要データ量の上限を超え、且つ、データ提供申込に記載された提供データの要件が満たされていれば、データ提供を実行してもよい。
データ提供を実行する場合、提供契約制御部404は、提供申込IDを含む「データ提供実行指示」を流通制御サーバ10に送信する。
提供契約制御部404は、データ提供申込の状況を管理する。提供契約制御部404は、流通制御サーバ10から受信する「提供データ量通知」を処理する。
提供契約制御部404は、提供データ量通知に含まれる提供申込IDに基づき、流通制御サーバ10が利用者の同意を取得したデータ提供申込を特定する。提供契約制御部404は、管理されている提供データのデータ量に、提供データ量通知で通知されたデータ量を反映する。提供契約制御部404は、提供データの種類ごとに、提供可能なデータ量を管理するパラメータに上記提供データ量通知で通知されたデータ量を加算する。
提供契約制御部404は、データ提供契約に記載された対価(当事者が合意した対価)と利用者が同意したデータ種類及び提供されるデータ量に基づき、データ提供先が支払う対価を算出する。
例えば、図12Aの例において、利用者が1件の病名と3件の検査結果の提供に同意すると、当該同意によりデータ提供先が支払う対価は、10円+6(2×3)円=16円と算出される。提供契約制御部404は、利用者の同意により生じる対価を既に計算済の対価に加算することで、データ提供先が支払う対価の総額を計算する。
提供契約制御部404は、提供データ量通知を受信したことに応じて、データ種類ごとの提供データのデータ量(蓄積量)とデータ提供先が支払う対価の総額とを含む「データ提供状況情報」を生成する。あるいは、データ提供状況情報は、上記データ量や支払総額が可視化されたグラフであってもよい。
提供契約制御部404は、生成したデータ提供状況情報(例えば、図14に示すようなグラフ)を定期的又は所定のタイミングでデータ利活用サーバ30に送信する。
記憶部405は、取引サーバ40の動作に必要な情報を記憶する。記憶部405は、提携先のサービス事業者の事業者コードを記憶する。
[端末]
図24は、第1の実施形態に係る端末50の処理構成(処理モジュール)の一例を示す図である。図24を参照すると、端末50は、通信制御部501と、個人情報入力部502と、問合せ処理部503と、記憶部504と、を備える。
通信制御部501は、他の装置との間の通信を制御する手段である。例えば、通信制御部501は、流通制御サーバ10からデータ(パケット)を受信する。また、通信制御部501は、流通制御サーバ10に向けてデータを送信する。通信制御部501は、他の装置から受信したデータを他の処理モジュールに引き渡す。通信制御部501は、他の処理モジュールから取得したデータを他の装置に向けて送信する。このように、他の処理モジュールは、通信制御部501を介して他の装置とデータの送受信を行う。通信制御部501は、他の装置からデータを受信する受信部としての機能と、他の装置に向けてデータを送信する送信部としての機能と、を備える。
個人情報入力部502は、利用者登録の際に個人情報を流通制御サーバ10に入力する手段である。個人情報入力部502は、任意の手段を用いて個人情報(氏名、生年月日、連絡先、口座情報等)を流通制御サーバ10に入力する。例えば、個人情報入力部502は、GUIを用いて上記個人情報を利用者から取得し、当該取得した個人情報を流通制御サーバ10に送信する。
個人情報入力部502は、流通制御サーバ10から払い出されたユーザIDを記憶部504に記憶する。
問合せ処理部503は、データ共有の問合せ又はデータ提供の問合せを処理する手段である。問合せ処理部503は、問い合わせの内容(データ共有、データ提供)に合わせたGUIを用いて利用者の意思(同意、不同意)を取得する。問合せ処理部503は、利用者の意思を含む応答を流通制御サーバ10に送信する。
記憶部504は、端末50の動作に必要な情報を記憶する。
[病院端末]
病院端末60には、スマートフォン、タブレット等の携帯端末装置やコンピュータ(パーソナルコンピュータ、ノートパソコン)等が例示される。病院端末60は、病院職員の操作を受け付け、流通制御サーバ10等と通信可能であれば任意の機器、デバイスとすることができる。また、病院端末60の構成等は当業者にとって明らかであるので、詳細な説明を省略する。
病院端末60は、病院職員の操作に応じて、ID連携要求を流通制御サーバ10に送信すればよい。また、病院端末60は、ID連携要求を自社のサービスサーバ20にも送信する。サービスサーバ20(ID連携制御部302)は、ID連携要求に含まれる個人識別IDに対応する利用者のエントリ(顧客情報データベースのエントリ)のID連携状態フィールドにフラグをセットする。
[システムの動作]
続いて、第1の実施形態に係る情報流通システムの動作について説明する。図25は、第1の実施形態に係る情報流通システムの動作の一例を示すシーケンス図である。図25を参照し、データ提供時のシステムの動作を説明する。流通制御サーバ10は、データ提供の対象者からデータ提供に対する同意を取得する(ステップS41)。
利用者の同意を取得すると、流通制御サーバ10は、当該利用者を識別するIDであって、データ提供申込ごとに異なる対象者IDを生成する(ステップS42)。
取引サーバ40からデータ提供の実行を指示されると、流通制御サーバ10は、提供対象のデータを指定するデータIDと、対象データの生成に寄与した利用者の対象者IDと、を含む提供指示を各サービスサーバ20に送信する(ステップS43)。
各サービスサーバ20は、提供指示により指定されたユーザデータ(蓄積データ)と対象者IDをデータ利活用サーバ30に送信する(ステップS44)。
データ利活用サーバ30は、各サービスサーバ20から取得した対象者IDに基づいてユーザデータを対応付ける(ステップS45)。
以上のように、第1の実施形態に係る情報流通システムにおいて、流通制御サーバ10は、データ提供に対する利用者の同意が得られると、対象データの発生に関与した利用者を識別するための対象者IDを生成する。流通制御サーバ10は、データ提供申込ごとに異なる対象者IDを生成する。データ提供の実行時には、流通制御サーバ10は、対象者IDを含む提供指示をサービスサーバ20に送信する。提供指示の受信に応じて、サービスサーバ20は、ユーザデータと対象者IDをデータ利活用サーバ30に送信する。データ利活用サーバ30は、各サービスサーバ20から受信した対象者IDに基づいて受信したユーザデータの対応付けを行う。このような構成により、データ利活用事業者が、複数のデータ提供申込で得られたユーザデータを不当に対応付けることが防止される。即ち、データ提供申込ごとに対象者IDが異なるので、データ利活用事業者は、異なるデータ提供申込から得られたデータを対応付けることができない。また、サービスサーバ20とデータ利活用サーバ30の間で送受信される対象者IDは利用者に通知されることはない。そのため、利用者自身から対象者IDが漏洩することはない。当該観点からも、データ利活用事業者は、ユーザデータの対応付けを行うことができない。その結果、個人のプライバシーは保護される。
データ提供元が利用者を管理する個人識別IDはデータ提供元ごとに異なる。各データ提供元が、当該個人識別IDの相違を考慮せず、ユーザデータをデータ提供先に送信すると、データ提供先はデータの整合性を図ることができない。その結果、データ提供先は、取得したデータを有効に活用できない。そこで、本願開示の情報流通システムは、流通制御サーバ10は、各データ提供元に対象者IDを送信し、当該対象者IDに個人識別IDを書き換えて(置き換えて)ユーザデータをデータ提供先に送信するように指示する。
続いて、情報流通システムを構成する各装置のハードウェアについて説明する。図26は、取引サーバ40のハードウェア構成の一例を示す図である。
取引サーバ40は、情報処理装置(所謂、コンピュータ)により構成可能であり、図26に例示する構成を備える。例えば、取引サーバ40は、プロセッサ311、メモリ312、入出力インターフェイス313及び通信インターフェイス314等を備える。上記プロセッサ311等の構成要素は内部バス等により接続され、相互に通信可能に構成されている。
但し、図26に示す構成は、取引サーバ40のハードウェア構成を限定する趣旨ではない。取引サーバ40は、図示しないハードウェアを含んでもよいし、必要に応じて入出力インターフェイス313を備えていなくともよい。また、取引サーバ40に含まれるプロセッサ311等の数も図26の例示に限定する趣旨ではなく、例えば、複数のプロセッサ311が取引サーバ40に含まれていてもよい。
プロセッサ311は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、DSP(Digital Signal Processor)等のプログラマブルなデバイスである。あるいは、プロセッサ311は、FPGA(Field Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)等のデバイスであってもよい。プロセッサ311は、オペレーティングシステム(OS;Operating System)を含む各種プログラムを実行する。
メモリ312は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)等である。メモリ312は、OSプログラム、アプリケーションプログラム、各種データを格納する。
入出力インターフェイス313は、図示しない表示装置や入力装置のインターフェイスである。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。
通信インターフェイス314は、他の装置と通信を行う回路、モジュール等である。例えば、通信インターフェイス314は、NIC(Network Interface Card)等を備える。
取引サーバ40の機能は、各種処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ312に格納されたプログラムをプロセッサ311が実行することで実現される。また、当該プログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transitory)なものとすることができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。また、上記プログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。
なお、流通制御サーバ10、サービスサーバ20等も取引サーバ40と同様に情報処理装置により構成可能であり、その基本的なハードウェア構成は取引サーバ40と相違する点はないので説明を省略する。
情報処理装置である取引サーバ40は、コンピュータを搭載し、当該コンピュータにプログラムを実行させることで取引サーバ40の機能が実現できる。また、取引サーバ40は、当該プログラムにより取引サーバ40の制御方法を実行する。
[変形例]
なお、上記実施形態にて説明した情報流通システムの構成、動作等は例示であって、システムの構成等を限定する趣旨ではない。
上記実施形態では、情報流通事業者と取引事業者は異なる事業者であることを前提として説明を行った。しかし、1つの事業者が情報流通事業と取引事業を行ってもよい。この場合、1つのサーバ装置が、流通制御サーバ10と取引サーバ40の機能を備えていてもよい。
上記実施形態で説明したデータ提供状況情報(例えば、図14に示すような時系列グラフ)は例示であって、取引サーバ40は様々な内容のデータ提供状況情報を生成できる。例えば、取引サーバ40は、各データに関する必要データ量の下限値を含む時系列グラフを生成してもよい。その際、取引サーバ40は、キャンセルに関する最新の状況(現時点でのキャンセル可否)やキャセン不可となる状況が記載された時系列グラフを生成してもよい。あるいは、取引サーバ40は、自動的にデータ提供が行われるタイミング(目安)が記載された時系列グラフを生成してもよい。
データ提供の対象となるデータ(原本データ)にデジタル署名が付与されている場合には、所謂、墨塗署名技術が適用されてもよい。当該墨塗署名技術を使用することで、個人識別IDから対象者IDにIDの付け替えが行われても署名検証が可能となる。
上記実施形態では、データ提供契約の締結後に利用者の同意を取得する場合について説明した。しかし、利用者の同意取得後にデータ提供契約の締結が行われてもよい。あるいは、利用者の同意取得とデータ提供契約の締結が並列に実行されてもよい。
上記実施形態に係るデータ流通システムは、データ提供申込の締め切り延長の仕組みを備えていてもよい。具体的には、データ利活用事業者は、データ提供の状況を確認し、締め切り日の延長が必要と判断した場合には、その旨をデータ利活用サーバ30に入力する。データ利活用サーバ30は、締め切り日の延長申請を取引サーバ40に行う。取引サーバ40は、対応するデータ提供申込の締め切り日を通知された締め切り日に更新する。
上記実施形態に係るデータ流通システムは、データ提供先による予算の追加設定に関する仕組みを備えていてもよい。具体的には、データ利活用事業者は、データ提供の状況を確認し、予算の追加が必要と判断した場合には、その旨をデータ利活用サーバ30に入力する。データ利活用サーバ30は、予算の追加を取引サーバ40に通知する。取引サーバ40は、対応するデータ提供申込の予算を通知された予算に更新する。
上記実施形態に係るデータ流通システムは、手動で締め切り日を設定可能な構成であってもよい。具体的には、データ利活用事業者は、データ提供の状況を確認し、必要なデータが集まったと判断した場合には、データ提供申込を完了する旨をデータ利活用サーバ30に入力する。データ利活用サーバ30は、データ提供申込の終了要請を取引サーバ40に行う。取引サーバ40は、対応するデータ提供申込を終了し、データ提供の実施を流通制御サーバ10に指示する。
上記実施形態では、データ提供の締め切りとデータ提供の実行が実質的に同じタイミングである場合について説明した。しかし、データ提供の締め切りとデータ提供は異なるタイミングで実行されてもよい。例えば、データ提供先は、データ提供申込に「履行予定日」を入力する。取引サーバ40は、当該履行予定日が到来するとデータ提供を実行(履行)してもよい。
上記実施形態では、流通制御サーバ10の内部に利用者情報データベースが構成される場合について説明したが、当該データベースは外部のデータベースサーバ等に構築されてもよい。即ち、流通制御サーバ10の一部の機能は別のサーバに実装されていてもよい。より具体的には、上記説明した「データ流通制御部(データ流通制御手段)」等がシステムに含まれるいずれかの装置に実装されていればよい。
各装置(流通制御サーバ10、サービスサーバ20等)間のデータ送受信の形態は特に限定されないが、これら装置間で送受信されるデータは暗号化されていてもよい。これらの装置間では、利用者の個人情報等が送受信され、これらの情報を適切に保護するためには、暗号化されたデータが送受信されることが望ましい。
上記説明で用いた流れ図(フローチャート、シーケンス図)では、複数の工程(処理)が順番に記載されているが、実施形態で実行される工程の実行順序は、その記載の順番に制限されない。実施形態では、例えば各処理を並行して実行する等、図示される工程の順番を内容的に支障のない範囲で変更することができる。
上記の実施形態は本願開示の理解を容易にするために詳細に説明したものであり、上記説明したすべての構成が必要であることを意図したものではない。また、複数の実施形態について説明した場合には、各実施形態は単独で用いてもよいし、組み合わせて用いてもよい。例えば、実施形態の構成の一部を他の実施形態の構成に置き換えることや、実施形態の構成に他の実施形態の構成を加えることも可能である。さらに、実施形態の構成の一部について他の構成の追加、削除、置換が可能である。
上記の説明により、本発明の産業上の利用可能性は明らかであるが、本発明は、利用者に提供されるサービスに関する蓄積データを流通する情報流通システムなどに好適に適用可能である。
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
取引サーバと、
サービス事業者により運営され、利用者にサービスを提供することで発生した少なくとも1以上のユーザデータを記憶する、サービスサーバと、
データ利活用事業者により運営され、前記少なくとも1以上のユーザデータのうち所定の要件を満たすデータをデータ提供により取得するための申込であって、前記所定の要件を含むデータ提供申込を前記取引サーバに送信する、データ利活用サーバと、
前記データ提供を制御する、流通制御サーバと、
を含み、
前記取引サーバは、前記データ提供申込を前記流通制御サーバに送信し、
前記流通制御サーバは、前記所定の要件を満たすデータを指定する情報と、前記利用者のIDであって前記データ提供申込に対応して生成された対象者IDと、を含む提供指示を前記サービスサーバに送信し、
前記サービスサーバは、前記指定されたデータと前記対象者IDを前記データ利活用サーバに送信する、システム。
[付記2]
前記流通制御サーバは、前記所定の要件を満たすデータが複数の前記サービスサーバに記憶されている場合、前記複数のサービスサーバそれぞれに、同一の前記対象者IDを含む前記提供指示を送信する、付記1に記載のシステム。
[付記3]
前記データ利活用サーバは、前記対象者IDに基づいて、前記複数のサービスサーバから受信したデータを対応付ける、付記2に記載のシステム。
[付記4]
前記流通制御サーバは、前記データ提供申込ごとに異なるように前記対象者IDを生成する、付記3に記載のシステム。
[付記5]
前記流通制御サーバは、前記所定の要件を満たすデータに対応する利用者が所持する端末に、データ提供の問合せを送信する、付記4に記載のシステム。
[付記6]
前記流通制御サーバは、前記データ提供の申込対する応答を受信し、
前記利用者が前記データ提供に同意すると、前記データ提供に同意した利用者のユーザID、前記対象者ID及び前記データ提供申込の提供申込IDを対応付けて同意管理データベースに記憶する、付記5に記載のシステム。
[付記7]
前記取引サーバは、前記サービス事業者と前記データ利活用事業者の間のデータ流通取引の仲介を行う取引事業者により運営される、付記1乃至6のいずれか一項に記載のシステム。
[付記8]
前記取引サーバは、前記サービス事業者と前記データ利活用事業者の間のデータ提供契約に関する制御を行う、付記7に記載のシステム。
[付記9]
前記流通制御サーバは、前記データ利活用事業者との間で前記データ提供契約が締結された前記サービス事業者の前記サービスサーバに前記提供指示を送信する、付記8に記載のシステム。
[付記10]
取引サーバと、
サービス事業者により運営され、利用者にサービスを提供することで発生した少なくとも1以上のユーザデータを記憶する、サービスサーバと、
データ利活用事業者により運営され、前記少なくとも1以上のユーザデータのうち所定の要件を満たすデータをデータ提供により取得するための申込であって、前記所定の要件を含むデータ提供申込を前記取引サーバに送信する、データ利活用サーバと、
前記データ提供を制御する、流通制御サーバと、
を含むシステムにおいて、
前記取引サーバは、前記データ提供申込を前記流通制御サーバに送信し、
前記流通制御サーバは、前記所定の要件を満たすデータを指定する情報と、前記利用者のIDであって前記データ提供申込に対応して生成された対象者IDと、を含む提供指示を前記サービスサーバに送信し、
前記サービスサーバは、前記指定されたデータと前記対象者IDを前記データ利活用サーバに送信する、方法。
なお、引用した上記の先行技術文献の各開示は、本書に引用をもって繰り込むものとする。以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。即ち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得る各種変形、修正を含むことは勿論である。