• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない(前置又は当審拒絶理由) G09C
管理番号 1338911
審判番号 不服2017-3273  
総通号数 221 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2018-05-25 
種別 拒絶査定不服の審決 
審判請求日 2017-03-06 
確定日 2018-03-29 
事件の表示 特願2012-211391「データ処理プログラム,データ処理装置及びデータ処理システム」拒絶査定不服審判事件〔平成26年 4月17日出願公開,特開2014- 66831〕について,次のとおり審決する。 
結論 本件審判の請求は,成り立たない。 
理由 第1 手続の経緯

本願は,平成24年9月25日の出願であって,
平成28年3月29日付けで審査官により拒絶理由が通知され,これに対して平成28年6月6日付けで意見書が提出されると共に手続補正がなされたが,平成28年11月29日付けで審査官により拒絶査定がなされ,これに対して平成29年3月6日付けで審判請求がなされると共に手続補正がなされ,平成29年5月31日付けで審査官により特許法第164条第3項の規定に基づく報告がなされたものである。


第2 平成29年3月6日付け手続補正書による補正の却下の決定

[補正の却下の決定の結論]
平成29年3月6日付け手続補正を却下する。

[理由]
1 本件補正の内容
平成29年3月6日付けの手続補正(以下,これを「本件手続補正」という)により,平成28年6月6日付けの手続補正により補正された特許請求の範囲,
「 【請求項1】
第1のデータと,当該第1のデータを秘匿化した第1の秘匿化データとを対応付けて保持し,第2のデータと,当該第2のデータを秘匿化した第2の秘匿化データとを対応付けて保持するデータ格納部から,所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応付けて保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する抽出ステップと
抽出された,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを外部装置に送信するステップと
をコンピュータに実行させるためのデータ処理プログラムであって,
前記抽出ステップにおいて,前記データ格納部から,内容の一部が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する
データ処理プログラム。
【請求項2】
前記第1の秘匿化データは,前記第1のデータとは無関係に,かつ前記第1の秘匿化データに基づいて前記第1のデータが一意に特定できるように生成されたデータであり,
前記第2の秘匿化データは,前記第2のデータとは無関係に,かつ前記第2の秘匿化データに基づいて前記第2のデータが一意に特定できるように生成されたデータである
請求項1に記載のデータ処理プログラム。
【請求項3】
前記第1のデータは,第1のレコードに含まれる第1の項目の値であり,
前記第2のデータは,第2のレコードに含まれる第2の項目の値であり,
前記第1の項目又は前記第2の項目を用いて表される条件を含む,前記第1のレコード又は前記第2のレコードを要求する問い合わせを受け付けるステップをさらに実行させる 請求項1又は2に記載のデータ処理プログラム。
【請求項4】
秘匿化前の内容の一部が一致する第1のデータ及び第2のデータにそれぞれ対応付けられた,第1の秘匿化データ及び第2の秘匿化データの組み合わせを受信するステップと,
前記第1のデータを前記第1の秘匿化データで置き換えた第1の秘匿化レコードと,前記第2のデータを前記第2の秘匿化データで置き換えた第2の秘匿化レコードとを保持する第2のデータ格納部から,受信した前記組み合わせを用いて,前記第1の秘匿化レコード若しくは前記第2の秘匿化レコードを抽出し,又は前記第1の秘匿化レコード及び前記第2の秘匿化レコードを集計するステップと,
をコンピュータに実行させるためのデータ処理プログラム。
【請求項5】
第1のデータと,当該第1のデータを秘匿化した第1の秘匿化データとを対応付けて保持し,第2のデータと,当該第2のデータを秘匿化した第2の秘匿化データとを対応付けて保持するデータ格納部と,
前記データ格納部から,所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを抽出し,抽出された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する抽出部と
を有し,
前記抽出部は,前記データ格納部から,内容の一部が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する
データ処理装置。
【請求項6】
第1のレコードに含まれる第1のデータと,当該第1のデータを秘匿化した第1の秘匿化データとを対応付けて保持し,第2のレコードに含まれる第2のデータと,当該第2のデータを秘匿化した第2の秘匿化データとを対応付けて保持するデータ格納部と,
前記データ格納部から,所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを抽出し,抽出された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する抽出部と
を有し,
前記抽出部は,前記データ格納部から,内容の一部が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する
第1のデータ処理装置と,
前記第1のレコードのうち前記第1のデータを前記第1の秘匿化データで置き換えた第1の秘匿化レコードと,前記第2のレコードのうち前記第2のデータを前記第2の秘匿化データで置き換えた第2の秘匿化レコードとを保持する第2のデータ格納部と,
前記第1のデータ処理装置から前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを受信し,当該組み合わせを用いて前記第1の秘匿化レコードと前記第2の秘匿化レコードとを処理する処理部と
を有する第2のデータ処理装置と
を有するデータ処理システム。」(以下,上記引用の請求項各項を,「補正前の請求項」という)は,

「 【請求項1】
第1のデータと,当該第1のデータを秘匿化した第1の秘匿化データとを対応付けて保持し,第2のデータと,当該第2のデータを秘匿化した第2の秘匿化データとを対応付けて保持するデータ格納部から,所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応付けて保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する抽出ステップと
抽出された,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを外部装置に送信するステップと
をコンピュータに実行させるためのデータ処理プログラムであって,
前記抽出ステップにおいて,前記データ格納部から,内容の一部が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出し,
前記第1のデータと前記第2のデータとは,1以上の装置から受信されたものであり,前記第2のデータは,前記第1のデータに対応する項目のデータであり,前記第1の秘匿化データを含むレコード及び前記第2の秘匿化データを含むレコードは前記項目のデータが前記外部装置によって特定できないように生成され,
前記所定の条件は,問い合わせによって要求された,前記項目の秘匿化前の前記第1のデータと前記第2のデータとの一部が一致するという条件である
データ処理プログラム。
【請求項2】
前記第1の秘匿化データは,前記第1のデータとは無関係に,かつ前記第1の秘匿化データに基づいて前記第1のデータが一意に特定できるように生成されたデータであり,
前記第2の秘匿化データは,前記第2のデータとは無関係に,かつ前記第2の秘匿化データに基づいて前記第2のデータが一意に特定できるように生成されたデータである
請求項1に記載のデータ処理プログラム。
【請求項3】
前記第1のデータは,第1のレコードに含まれる第1の項目の値であり,
前記第2のデータは,第2のレコードに含まれる第2の項目の値であり,
前記第1の項目又は前記第2の項目を用いて表される条件を含む,前記第1のレコード又は前記第2のレコードを要求する問い合わせを受け付けるステップをさらに実行させる 請求項1又は2に記載のデータ処理プログラム。
【請求項4】
秘匿化前の内容の一部が一致する第1のデータ及び第2のデータにそれぞれ対応付けられた,第1の秘匿化データ及び第2の秘匿化データの第1の組み合わせを受信するステップと,
前記第1のデータを前記第1の秘匿化データで置き換えた第1の秘匿化レコードと,前記第2のデータを前記第2の秘匿化データで置き換えた第2の秘匿化レコードとを保持する第2のデータ格納部から,受信した前記第1の組み合わせを用いて,前記第1の秘匿化レコード若しくは前記第2の秘匿化レコードを抽出し,又は前記第1の秘匿化レコード及び前記第2の秘匿化レコードを集計するステップと,
をコンピュータに実行させ,
前記第1のデータと前記第2のデータとは,1以上の装置から受信されたものであり,前記第2のデータは,前記第1のデータに対応する項目のデータであり,前記第1のデータは,前記第1の秘匿化データと対応付けて格納され,前記第2のデータは,前記第2の秘匿化データと対応付けて格納され,受信した前記第1の組み合わせの前記第1の秘匿化データ及び前記第2の秘匿化データに対応する,前記第1のデータ及び前記第2のデータの第2の組み合わせが抽出可能となる
データ処理プログラム。
【請求項5】
第1のデータと,当該第1のデータを秘匿化した第1の秘匿化データとを対応付けて保持し,第2のデータと,当該第2のデータを秘匿化した第2の秘匿化データとを対応付けて保持するデータ格納部と,
前記データ格納部から,所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを抽出し,抽出された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する抽出部と
を有し,
前記抽出部は,前記データ格納部から,内容の一部が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出し,
前記第1のデータと前記第2のデータとは,1以上の装置から受信されたものであり,前記第2のデータは,前記第1のデータに対応する項目のデータであり,前記第1の秘匿化データを含むレコード及び前記第2の秘匿化データを含むレコードは前記項目のデータが前記外部装置によって特定できないように生成され,
前記所定の条件は,問い合わせによって要求された,前記項目の秘匿化前の前記第1のデータと前記第2のデータとの一部が一致するという条件である
データ処理装置。
【請求項6】
第1のレコードに含まれる第1のデータと,当該第1のデータを秘匿化した第1の秘匿化データとを対応付けて保持し,第2のレコードに含まれる第2のデータと,当該第2のデータを秘匿化した第2の秘匿化データとを対応付けて保持するデータ格納部と,
前記データ格納部から,所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを抽出し,抽出された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する抽出部と
を有し,
前記抽出部は,前記データ格納部から,内容の一部が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出し,
前記第1のデータと前記第2のデータとは,1以上の装置から受信されたものであり,前記第2のデータは,前記第1のデータに対応する項目のデータであり,前記第1の秘匿化データを含むレコード及び前記第2の秘匿化データを含むレコードは前記項目のデータが前記外部装置によって特定できないように生成され,
前記所定の条件は,問い合わせによって要求された,前記項目の秘匿化前の前記第1のデータと前記第2のデータとの一部が一致するという条件である
第1のデータ処理装置と,
前記第1のレコードのうち前記第1のデータを前記第1の秘匿化データで置き換えた第1の秘匿化レコードと,前記第2のレコードのうち前記第2のデータを前記第2の秘匿化データで置き換えた第2の秘匿化レコードとを保持する第2のデータ格納部と,
前記第1のデータ処理装置から前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを受信し,当該組み合わせを用いて前記第1の秘匿化レコードと前記第2の秘匿化レコードとを処理する処理部と
を有する第2のデータ処理装置と
を有するデータ処理システム。」(以下,上記引用の請求項各項を,「補正後の請求項」という)に補正された。

2.補正の適否
(1)新規事項
本件手続補正が,特許法第17条の2第3項の規定を満たすものであるか否か,すなわち,本件手続補正が,願書に最初に添付した明細書,特許請求の範囲又は図面(以下,これを「当初明細書等」という。)に記載した事項の範囲内でなされたものであるかについて,以下に検討する。

ア.当審の判断
本件手続補正における具体的な補正事項は,
(ア)補正前の請求項1,5,6に記載の「前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する」の後に,
「前記第1のデータと前記第2のデータとは,1以上の装置から受信されたものであり,前記第2のデータは,前記第1のデータに対応する項目のデータであり,前記第1の秘匿化データを含むレコード及び前記第2の秘匿化データを含むレコードは前記項目のデータが前記外部装置によって特定できないように生成され,
前記所定の条件は,問い合わせによって要求された,前記項目の秘匿化前の前記第1のデータと前記第2のデータとの一部が一致するという条件である」,
という内容を付加し,

(イ)補正前の請求項4に記載の「組み合わせ」という表現を,「第1の組み合わせ」という表現に変更し,

(ウ)同じく,補正前の請求項4に記載の「コンピュータに実行させ」と「データ処理プログラム」の間に,
「前記第1のデータと前記第2のデータとは,1以上の装置から受信されたものであり,前記第2のデータは,前記第1のデータに対応する項目のデータであり,前記第1のデータは,前記第1の秘匿化データと対応付けて格納され,前記第2のデータは,前記第2の秘匿化データと対応付けて格納され,受信した前記第1の組み合わせの前記第1の秘匿化データ及び前記第2の秘匿化データに対応する,前記第1のデータ及び前記第2のデータの第2の組み合わせが抽出可能となる」,
という内容を付加するものである。

上記(ア)と(ウ)において指摘した補正事項は,本件の当初明細書の段落0012,0017,0018,0059に記載された事項である。
また,上記(イ),(ウ)において指摘した補正事項の「第1の組み合わせ」及び「第2の組み合わせ」という記載は,当初明細書等には記載されていない表現であるが,補正前の「組み合わせ」を,上記(ウ)で指摘した補正事項において言及する際,秘匿化前と秘匿化後のどちらにおけるデータの組み合わせであるかを特定するために「第1の組み合わせ」,「第2の組み合わせ」と表現したものと認められるから,当初明細書に記載された事項の範囲内でなされたものといえる。

イ.新規事項むすび
したがって,本件手続補正は,特許法第17条の2第3項の規定を満たす。

(2)目的要件
上記「(1)新規事項」において指摘したとおり,本件手続補正が,当初明細書等の記載の範囲内でなされたものであるから,次に,本件手続補正が,特許法第17条の2第5項の規定を満たすものであるか否かについて,以下に検討する。

ア.当審の判断
(ア)上記「(1)新規事項」のア.(ア),(ウ)において指摘した補正事項において,第1のデータと第2のデータとが「1以上の装置から受信されたもの」に限定され,このうち,第2のデータは,さらに「第1のデータに対応する項目のデータであ」るものに限定された。
また,第1の秘匿化データと第2の秘匿化データに関して,「第1の秘匿化データを含むレコード」及び「第2の秘匿化データを含むレコード」を特定するとともに,これらのレコードが,「前記項目のデータが前記外部装置によって特定できないように生成され」るものに限定された。
加えて,「所定の条件」が,「問い合わせによって要求された,前記項目の秘匿化前の前記第1のデータと前記第2のデータとの一部が一致するという条件である」ものに限定された。
そして,当該補正事項によって,補正前後で産業上の利用分野及び解決しようとする課題に変更がないのは明らかである。

(イ)上記「(1)新規事項」のア.(イ)において指摘した補正事項において,秘匿化データ及び第2の秘匿化データの「第1の組み合わせ」が,補正後の請求項4の記載において,「前記第1のデータ及び前記第2のデータの第2の組み合わせ」に対応したものに限定された。
そして,当該補正事項によって,補正前後で産業上の利用分野及び解決しようとする課題に変更がないのは明らかである。

イ.目的要件むすび
したがって,本件手続補正は,特許法第17条の2第5項の規定を満たす。

(3)独立特許要件
本件手続補正は,上記「(1)新規事項」,「(2)目的要件」において検討したとおり,当初明細書等の記載の範囲内でなされたものであって,目的要件を満たすものであるので,次に,本件手続補正が,特許法第17条の2第6項において準用する同法第126条第7項の規定を満たすものであるか否か,即ち,補正後の請求項に記載されている事項により特定される発明が特許出願の際独立して特許を受けることができるものであるか否か,以下に検討する。

ア.補正後の請求項に記載の発明
補正後の請求項1に係る発明(以下,これを「本件補正発明」という)は,上記「第2 平成29年3月6日付けの手続補正の却下の決定」の「1.補正の内容」において,補正後の請求項1として引用した,次の記載のとおりのものである。

「 第1のデータと,当該第1のデータを秘匿化した第1の秘匿化データとを対応付けて保持し,第2のデータと,当該第2のデータを秘匿化した第2の秘匿化データとを対応付けて保持するデータ格納部から,所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応付けて保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する抽出ステップと
抽出された,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを外部装置に送信するステップと
をコンピュータに実行させるためのデータ処理プログラムであって,
前記抽出ステップにおいて,前記データ格納部から,内容の一部が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出し,
前記第1のデータと前記第2のデータとは,1以上の装置から受信されたものであり,前記第2のデータは,前記第1のデータに対応する項目のデータであり,前記第1の秘匿化データを含むレコード及び前記第2の秘匿化データを含むレコードは前記項目のデータが前記外部装置によって特定できないように生成され,
前記所定の条件は,問い合わせによって要求された,前記項目の秘匿化前の前記第1のデータと前記第2のデータとの一部が一致するという条件である
データ処理プログラム。」

イ.引用刊行物に記載の事項
(ア)原審が,平成28年3月29日付けの拒絶理由(以下,これを「原審拒絶理由」という)において引用した,本願出願前に既に公知である,特開2000-324094号公報(公開日:2000年11月24日,以下,これを「引用刊行物1」という)には,関連する図面と共に,次の事項が記載されている(下線は,説明のため当審で付与した。以下,同様。)。

A 「【0001】
【発明の属する技術分野】本発明は,特定の個人と関連付けられたデータの非個人化に関し,特に個人的データを開示することなく,複数のソースからのデータを非個人化する方法に関する。
…(中略)…
【0006】
【課題を解決するための手段】本発明は,コンピュータに実装される方法と,装置とに関し,個人の識別子を含むデータの所有者または提供者(データプロバイダ)が,データユーザに非個人化された形式でそのデータを配信できるようにする。「非個人化された形式で」とは,すなわちそのデータに関連付けられた個人の身元を明らかにすることなく,ということである。その他の点ではそのデータは変更されない。本発明の方法によれば,データプロバイダは他のデータから個人データを分離して,2つのデータセットを作成する。個人識別情報のみが,信託機関 (TTP (Trusted Third Party)) に提供される。TTPは,名前,住所または社会保障番号といった個人を識別するのに利用可能なデータベース内の全データを置換する識別子を生成する。TTPはまた,個人識別情報を収集,格納し,それによりTTPは識別情報を処理し,データプロバイダまたはTTPによって生成された識別子が同一の個人に関連するか否かの判断を将来得ることができる。データプロバイダはTTPにより提供された識別子を他のデータに関連付け,非個人化データを作成する。非個人化データは,分析のためにデータユーザに送ることができる。このようにして,データユーザは,1個人に関連する1以上のデータプロバイダからの別個のレコードを一致させることができ,データプロバイダは,ある個人と特定のデータレコードとをリンクする個人識別情報を配信しないことを保証できる。
【0007】
【発明の実施の形態】本発明は,端的にいえば,個人を識別する機密情報を処理する方法および装置であり,これにより匿名でのデータ解析に利用可能となる。以下に説明される本発明の実施の形態では,機密情報を含むデータベースを所有するデータプロバイダは,その情報を2つの部分,すなわち識別情報と他の情報とに分割する。識別情報を用いて,プロバイダは,自身のために固有識別子を生成する。固有識別子は,データプロバイダのデータベース内の識別情報にリンクされる。その後,データ所有者はこの固有識別子を上述した他の情報にタグ付けし,データユーザにこのタグ付けされたデータを提供する。以下に説明する各実施の形態では,固有識別子は信託機関(TTP)により生成され,または信託機関に登録されている。信託機関(TTP)は,データプロバイダから受け取った識別情報と,すでにTTPのデータベースに存在している別の識別情報とを一致させることができる。TTPは,識別情報が開示されることから保護し,その一方で必要に応じてそのデータを保守および処理するという,契約による同意の下にある機関である。識別情報を一致させることにより,TTPは,多数のプロバイダからのデータに関連付けられた複数の識別子をリンクできる。これらのリンクは直接データユーザに提供され,データユーザは複数のソースからのデータを相関させることができる。」

B 「【0008】本発明では,「非個人化」という語は,識別情報がユーザデータレコードから削除され,固有識別子により置換される処理を説明するのに用いられる。この語は,データ処理の技術分野で用いられるように,「匿名化」や「符号化」という語をも含む。…(中略)…
【0009】図1は,本発明の原理を利用できる例示的な情報ネットワークのハイレベルデータフロー図110である。この例においては,データプロバイダ112はデータベース114を所有または制御する。データベース114は,例えば,複数のデータレコードとして組織されている。各レコードは,1以上のデータフィールドを含む。各人のデータは単一レコードとして保持され,または複数のレコードにわたってリンクされている。各レコードのフィールドまたはフィールドの部分は,個人を識別するのに利用可能なデータ,すなわち個人識別可能属性を含む。これらの属性は,例えば,「名前」,「住所」および「社会保障番号」を含む。なお,これは例示であり,識別可能な属性を網羅して列挙したものではない。
【0010】情報の識別に加えて,データベースは個人についての他の情報も含む。この「他の情報」は,例えば,医療情報,財政データ,購買情報またはウェブサイトナビゲーションデータを含むことができる。識別情報はまた,非識別性人口統計データ,例えば,ある人の職業,郵便番号または電話のエリアコードを含むことができる。データベースレコード内の「他の情報」のタイプによって,この人口統計情報のいくつかは識別情報として分類できる。例えば,データレコードが機密性の高い医療情報を含む場合には,全郵便番号が識別情報として考慮され,部分的な郵便番号,例えば,5桁の郵便番号の上位3桁は識別情報とはならない。
【0011】識別情報であると考えられる情報のタイプはデータベース内に格納されたデータのタイプとともに変化するので,データプロバイダは,個人のレコードにあるどの情報が識別情報であると考えられているのか,およびデータユーザの解析のためにどの情報が渡されるのかを決定できる。データプロバイダ112は,データベースからファイル113を作成する。ファイルの各レコードは,データベース内の各レコードからの識別可能属性を有するフィールドを含む。ファイル113は,信託機関(TTP)116に送られる。TTP116は,識別属性と関連付けられた固有識別子を作成する。この識別子はアルファベット,数値,英数字,記号等である。データベース内のデータの機密性が高い場合には,全くランダムに,そして,例えばシステムクロックレジスタの瞬時値を取ることによって不可逆的に固有の識別子を生成できる。データベース内のデータの秘密性が低い場合には,可逆的なプロセスによって識別情報から固有の識別子を生成できる。
【0012】固有の識別子を生成するために,TTP116はまずファイル内のレコードから内部データベース115内のレコードまでの識別データを比較する。内部データベース115は,あらかじめTTPにより処理された識別情報を含む。このデータベースの各レコードはまた,データプロバイダを識別するソース識別子を含む。データプロバイダは識別レコードに関連するデータを所有し,一致する識別情報を含むデータベースの中の別のレコードにリンクする。TTPがその内部データベースで一致を見出し,かつ前のデータのソースが現在のデータの供給者である場合には,TTP116は,前に割り当てられた一意の識別子を新たなデータの識別子として用いる。前のデータのソースが現在のデータの供給者でないか,またはTTPがそのデータベース内のデータに一致を見出さない場合には,新たな一意の識別子がそのデータセットに対して生成される。一意の識別子の各々は,そのデータプロバイダに固有のものである。
【0013】別個の一意の識別子を割り当てて,別個のデータプロバイダのそれぞれにおいて同一人物を表すことにより,TTPは,あるデータプロバイダが別のプロバイダによって所有されるデータを識別できないことを確実にする。各データプロバイダはそのデータベース内のすべての人々について識別情報を有するので,仮に複数のプロバイダにおいて同一の一意の識別子が用いられている場合には,あるプロバイダは識別情報をリンクして,別のデータ供給者が所有する非個人化されたデータに関する情報を識別できる。これによりデータの秘密性がなくなることになる。
【0014】一意の識別子を取り出しまたは生成すると,TTPはその識別子をファイル113内の適当なレコードフィールドに格納する。すべてのレコードが処理されると,TTP116はファイル113をデータプロバイダ112に戻す。データプロバイダは,もとのデータベースのレコードを含む新たなデータベース120を生成する。もとのデータベースからは識別可能な属性は除去され,一意の識別子に置換される。データベース120は,個人識別属性でないと判断されたデータに基づくランダムな識別子を含み,データベース120はデータユーザ118に送られる。データユーザは非個人化された有用なデータを得たことになるが,特定のデータセットに一致する個人を識別する能力は有さない。
…(中略)…
【0016】本発明の例示的な実施の形態においては,個人は,データプロバイダによって所有され,制御されているデータベース内の複数のレコードを有する。加えて上で述べたように,TTP116は,複数のデータプロバイダからのある人物に関するデータを有している。」

C 「【0062】図3に示すシステムが複数のデータプロバイダに用いられる場合には,TTP116により提供される相関するデータ310はまた,複数のデータプロバイダにより提供される一意の識別子またはレコード番号の間の関係を示すテーブルを含む。この情報を用いて,データユーザ118はデータ解析の前に,複数のプロバイダからのデータを関連付けることができる。図4に示すシステムは,図2を参照して上に説明したシステムと以下の点で異なり,その他の点では類似である。すなわち異なるのは,図4のシステムでは,TTP116とデータユーザ118との間に通信があることである。図4では,データ提供者は識別情報をTTP116に送る。TTP116はデータを一致させ,一意の識別子を加え,その一意の識別子を有する識別情報をデータ提供者に送り返す。そしてデータ提供者は,識別情報レコードから関連付けられた別の情報レコードにいたるまでの一意の識別子をコピーし,データユーザにその他の情報レコードを提供する。データユーザ118はそれから相関するデータ410をTTP116から直接受け取る。この例では,相関する情報は他のデータ提供者からの一意の識別子を含む。この一意の識別子は,データ提供者112により提供される非個人化データ120の一意の識別子と対応する。
【0063】図4に示すシステムでは,相関するデータ410は,データプロバイダ112の要求があるとTTP116によりデータユーザ118に提供され,またはデータユーザ118により要求される。データプロバイダからデータが要求されると,TTPはそのデータベース内のデータ提供者の全てに対し,相関する情報を提供する。しかしデータユーザがデータを求めると,データユーザは,データを受け取るデータプロバイダのみからの情報を要求することになる。」

D 「【0067】非個人化されたデータの複数のソースへのリンクを可能にするため,各データプロバイダ112a,112bおよび112cは,データプロバイダの非個人化プロセス116a,116bおよび116cにより割り当てられた識別データおよび一意の識別子を含むファイルをTTP116に提供する。TTPはこれらのファイルを相関させることにより各データプロバイダにより提供される識別情報レコード間の一致を割り出し,何らかの相関がある表示とともに一意の識別子を中央データベースに格納する。データプロバイダにより権限が与えられると,TTPは他のデータプロバイダからのランダムな識別子を示すデータユーザに,情報を提供できる。ランダムな識別子は同一の個人に関連し,したがってデータユーザは,リンクされた非個人化されたデータベース120を生成できる。
…(中略)…
【0076】ステップ812において,小売店112aおよび112bの各々は,個人の人口統計属性および個人の識別子を,各データレコードから抽出する。これらは小売店112aおよび112bの各々がデータユーザ118(本例では出荷取次店)に送りたいと考えるデータである。各レコードについては,情報は,TTPの提供した符号化プロセスを経て処理される。ステップ814において,符号化プロセスは各レコードに一意の識別子を割り当てる。ステップ814では次に,小売店112aおよび112bが個人の人口統計属性および個人の識別子を単一の一意の識別子に置換することにより,非個人化されたデータを生成する。単一の一意の識別子は,符号化プロセスにより提供される。小売店112aおよび112bは,出荷取次店118に非個人化されたデータを送る。続いてステップ818において,小売店112aおよび112bは,各レコードについて割り当てられた一意の識別子をTTP116に送る。各レコードは,符号化プロセスを実行している間,一致が生じる。ステップ820において,TTP116は,小売店112aおよび112bにより提供された一意の識別子割り当て情報をその中央データベース115に格納する。同じくステップ820では,TTP116は,同一の個人にリンクする小売店112aおよび112bに対する一意の識別子を相関情報として出荷取次店118に送る。
【0077】ステップ822では,出荷取次店は相関情報を用いてデータをリンクし,その市場調査を行う。この調査は個人の身元を明らかにする能力を必要とせずに行われる。ブロック822から812への矢印により示されるように,このプロセスは繰り返し行われる。」

E 「【0078】本発明の本実施の形態では,小売店112aおよび112bは個人を識別可能などのような小売情報も提供することはないことに留意されたい。小売店によって出荷取次店に提供される小売情報には,個人を識別可能な属性は存在しない。したがって,出荷取次店118は現実の個人が誰であるかを知ることができない。しかしこのような事情であっても,出荷取次店118は,小売店の情報力を利用して市場調査能力を増強できる。図9に示す本発明の例示的な実施の形態では,製造業者118は,3つの地方ヘルスケアプロバイダのヘルスケア情報を利用して,特定の病状の健康状態の性質を同定することを欲している。…(中略)…
【0079】このプロセスのステップ910では,プロバイダA,プロバイダBおよびプロバイダCは各々個人を識別可能な情報を,内部データベース111から抽出し,ファイル113に入れる。ステップ912では,プロバイダA,プロバイダBおよびプロバイダCはファイルをTTP116に送る。
【0080】ステップ914では,TTP116は一致プロセスを用いて各個人を識別し,各レコードに符号化鍵を割り当てる。ステップ916では,TTP116は対応する符号化鍵を有するファイルを,プロバイダA,プロバイダBおよびプロバイダCに送り返す。続いてステップ916では,プロバイダA,プロバイダBおよびプロバイダCは,製造業者118に送信を希望するレコードの各々に対する個人属性を,TTP116から受け取られた符号化鍵に置き換える。またステップ918では,プロバイダA,プロバイダBおよびプロバイダCは製造業者118に符号化されたヘルスケア情報を送る。ステップ920では,製造業者は符号化されたヘルスケア情報ファイルを受け取り,TTP116から相関するデータを得る。最後にステップ922では,製造業者はプロバイダA,プロバイダBおよびプロバイダCからのデータをリンクし,その調査を終了する。この調査は製造業者がどの個人を同定できるかに関係することなく終了する。」

(イ)本願出願前に既に公知である,特開2006-172433号公報(公開日:2006年6月29日,以下,これを「参考文献1」という)には,関連する図面と共に,次の事項が記載されている。

F「【0020】
匿名サーバ装置30は,情報提供装置21,22,23,・・・からそれぞれ,半匿名化個人識別子及び個人関連情報を受信し,受信した半匿名化個人識別子に対して,後で述べる方法によって,匿名化処理を施して匿名化個人識別子を生成し,匿名サーバ装置30内部に,匿名化個人識別子と個人関連情報とを対応付けて構成されるデータベースとして蓄積する。
【0021】
情報検索装置41,42,・・・は,それぞれ,外部から入力される検索依頼情報を匿名サーバ装置30に送信して,検索依頼を行う。匿名サーバ装置30は,情報検索装置41,42,・・・から送信された検索依頼情報に基づいて内部に蓄積しているデータベースを検索して,必要な個人関連情報を抽出して情報検索装置41,42,・・・へ送信する。」

G「【0067】
(2)情報記憶部317
情報記憶部317は,複数の匿名化情報を記憶するための領域を備えている。
各匿名化情報は,1組の個人特定情報及び個人関連情報に対応しており,匿名化情報識別子,匿名化個人識別子及び個人関連情報を含む。
匿名化情報識別子は,当該匿名化情報識別子を含む匿名化情報を一意に識別する識別情報である。
【0068】
匿名化個人識別子は,当該匿名化個人識別子を含む匿名化情報に対応する個人特定情報に,式4による半匿名化処理及び後述する式6による匿名化処理を施して生成されたものである。
…(中略)…
【0070】
…(中略)…
このように,匿名化情報351,361,371にそれぞれ含まれる匿名化情報識別子352,362,372は,「000001」,「000002」,「000003」であって,それぞれ異なり,匿名化情報351,361,371を一意に識別している。
【0071】
また,匿名化情報351,371にそれぞれ含まれる匿名化個人識別子353,373は,それぞれ,「0123456・・・」,「0123456・・・」であって,匿名化個人識別子353と373とは同一の内容である。つまり,匿名化情報351及び371は,同一の患者Aに関するものであることを示している。
…(中略)…
【0080】
ここで,検索依頼情報は,情報記憶部317に記憶されている複数の匿名化情報のうち,情報検索装置の操作者が取得したいと望む匿名化情報を特定するための条件を含んでいる。
検索依頼情報の例を以下に示す。
(例1)「{診療日=2000年1月1日以降}かつ{診断病名=虫垂炎}」
(例2)「匿名化個人識別子=0123456・・・」
…(中略)…
【0086】
このとき,匿名化個人識別子からは患者の個人情報は分からないため,匿名化個人識別子を操作者に表示してもよいが,より厳重な匿名性を保つために匿名化個人識別子は操作者に表示しないようにしてもよい。
但し,このとき,操作者は,検索依頼情報として,前記「匿名化個人識別子=0123456」のように匿名化個人識別子を指定することはできないので,その代わりに入力部401は,「匿名化情報識別子=98765の匿名化情報と同じ匿名化個人識別子を持つ匿名化情報」といった間接的に匿名化個人識別子を指定するような検索依頼情報の入力を受け付けるとしてもよい。
…(中略)…
【0248】
…(中略)…
(11)以上説明したように,本発明にかかる匿名情報システムは,提供情報の匿名性を確保しつつ,同一人物に関する情報だけを検索するという高性能の検索機能を実現するだけでなく,…(中略)…」

ウ.引用刊行物に記載の発明
(ア)上記Aの「個人識別情報のみが,信託機関 (TTP (Trusted Third Party)) に提供される。TTPは,名前,住所または社会保障番号といった個人を識別するのに利用可能なデータベース内の全データを置換する識別子を生成する。TTPはまた,個人識別情報を収集,格納し,それによりTTPは識別情報を処理し,データプロバイダまたはTTPによって生成された識別子が同一の個人に関連するか否かの判断を将来得ることができる。」という記載,上記Bの「データプロバイダ112は,データベースからファイル113を作成する。ファイルの各レコードは,データベース内の各レコードからの識別可能属性を有するフィールドを含む。ファイル113は,信託機関(TTP)116に送られる。TTP116は,識別属性と関連付けられた固有識別子を作成する。」という記載,同じく,上記Bの「不可逆的に固有の識別子を生成できる。」という記載,及び,同じく上記Bの「内部データベース115は,あらかじめTTPにより処理された識別情報を含む。」,「TTPがそのデータベース内のデータに一致を見出さない場合」という記載から,引用刊行物1は,“個人を識別できる識別可能属性と,当該識別可能属性に関連付けられた,不可逆的に生成された固有識別子とを格納する信託機関の内部データベース”に関するものであることが読み取れる。

(イ)上記Aの「TTPは,名前,住所または社会保障番号といった個人を識別するのに利用可能なデータベース内の全データ」という記載,上記Bの「個人を識別するのに利用可能なデータ,すなわち個人識別可能属性を含む。これらの属性は,例えば,「名前」,「住所」および「社会保障番号」を含む。」という記載,同じく上記Bの「情報の識別に加えて,データベースは個人についての他の情報も含む。」,及び,同じく上記Bの「識別情報はまた,非識別性人口統計データ,例えば,ある人の職業,郵便番号または電話のエリアコードを含むことができる。データベースレコード内の「他の情報」のタイプによって,この人口統計情報のいくつかは識別情報として分類できる。例えば,データレコードが機密性の高い医療情報を含む場合には,全郵便番号が識別情報として考慮され,部分的な郵便番号,例えば,5桁の郵便番号の上位3桁は識別情報とはならない。」という記載から,引用刊行物1において“名前,社会保障番号,電話のエリアコードなど”が“個人を識別できる識別可能属性”であることが読み取れる。

(ウ)上記Bの「TTP116は,複数のデータプロバイダからのある人物に関するデータを有している。」という記載から,引用刊行物1において,“個人を識別できる識別可能属性は,信託機関が複数のデータプロバイダから取得したもの”であることが読み取れる。

(エ)上記Aの「TTPはまた,個人識別情報を収集,格納し,それによりTTPは識別情報を処理し,」「TTPによって生成された識別子が同一の個人に関連するか否かの判断を将来得ることができる。」という記載,同じく上記Aの「データプロバイダはTTPにより提供された識別子を他のデータに関連付け,非個人化データを作成する。非個人化データは,分析のためにデータユーザに送ることができる。」という記載,上記Cの「システムが複数のデータプロバイダに用いられる場合には,TTP116により提供される相関するデータ310はまた,複数のデータプロバイダにより提供される一意の識別子またはレコード番号の間の関係を示すテーブルを含む。この情報を用いて,データユーザ118は」「複数のプロバイダからのデータを関連付けることができる。」という記載,上記Dの「TTP116は,同一の個人にリンクする小売店112aおよび112bに対する一意の識別子を相関情報として出荷取次店118に送」り,「出荷取次店は相関情報を用いてデータをリンクし,その市場調査を行う。」という記載から,引用刊行物1において,“データユーザが,複数のデータプロバイダからの非個人化データのうち,同一の個人に対応する非個人化データをリンクさせることができるよう,信託機関は,複数のデータプロバイダにより提供される一意の識別子の間の関係を示すテーブルを含む,相関するデータを提供する”ものであることが読み取れる。
ここで,上記「一意の識別子」に関して,上記Bの「一意の識別子の各々は,そのデータプロバイダに固有のものである。」という記載,上記Aの「識別情報を用いて,プロバイダは,自身のために固有識別子を生成する。」及び「固有識別子は信託機関(TTP)により生成され,または信託機関に登録されている。」という記載から,一意の識別子も,固有識別子も,データプロバイダに固有であって,TTPによって作成される識別子であることから,一意の識別子と固有識別子とは,同一の識別子を表現しているものと解すことができる。
そうすると,引用刊行物1において,“データユーザが,複数のデータプロバイダからの非個人化データのうち,同一の個人に対応する非個人化データをリンクさせることができるよう,信託機関は,複数のデータプロバイダにより提供される固有識別子の間の関係を示すテーブルを含む,相関するデータを提供する”ものであることが読み取れる。

(オ)上記(エ)における検討,及び,上記Dの「非個人化されたデータの複数のソースへのリンクを可能にするため,各データプロバイダ」「は,」「識別データおよび一意の識別子を含むファイルをTTP116に提供する。TTPはこれらのファイルを相関させることにより各データプロバイダにより提供される識別情報レコード間の一致を割り出し,何らかの相関がある表示とともに一意の識別子を中央データベースに格納する。」という記載から,引用刊行物1において,“相関するデータ”は,“信託機関の中央データベースに格納されている”ものであることが読み取れ,
また,上記(エ)における検討,及び,上記Cの「データユーザ118はそれから相関するデータ410をTTP116から直接受け取る。」という記載,及び,同じく上記Cの「相関するデータ410は,データプロバイダ112の要求があるとTTP116によりデータユーザ118に提供され,またはデータユーザ118により要求される。」という記載から,引用刊行物1において,“相関するデータ”は,“信託機関が,データユーザから要求されて,データユーザに提供する”ものであることが読み取れるから,
引用刊行物1において,“信託機関の中央データベースから,データユーザからの要求に基づき,相関するデータを,データユーザへ提供する”ことが読み取れる。

(カ)上記Aの「コンピュータに実装される方法」「に関し」,「データユーザに非個人化された形式でそのデータを配信できるようにする。「非個人化された形式で」とは,すなわちそのデータに関連付けられた個人の身元を明らかにすることなく,ということである。」という記載,同じく上記Aの「データプロバイダはTTPにより提供された識別子を他のデータに関連付け,非個人化データを作成する。」という記載,上記Bの「「非個人化」という語は,識別情報がユーザデータレコードから削除され,固有識別子により置換される処理を説明するのに用いられ」,「「匿名化」や「符号化」という語をも含む。」という記載,上記Eの「小売店によって出荷取次店に提供される小売情報には,個人を識別可能な属性は存在しない。」という記載から,引用刊行物1において,“非個人化データは,当該データに関連付けられた個人の身元をデータユーザによって明らかにされないよう,データプロバイダが,識別可能属性を,信託機関により提供された識別子で置換し,これを他のデータに関連付けて作成したものである,コンピュータに実装される方法”であることが読み取れる。

(キ)以上,(ア)乃至(カ)において検討した事項から,引用刊行物1には,次の発明(以下,これを「引用発明」という)が記載されているものと認める。

名前,社会保障番号,電話のエリアコードなどの,個人を識別できる識別可能属性と,当該識別可能属性に関連付けられた,不可逆的に生成された固有識別子とを格納する信託機関の内部データベースから,
データユーザが,複数のデータプロバイダからの非個人化データのうち,同一の個人に対応する非個人化データをリンクさせることができるよう,信託機関は,複数のデータプロバイダにより提供される固有識別子の間の関係を示すテーブルを含む,相関するデータを,データユーザからの要求に基づき,データユーザへ提供するものであって,
前記個人を識別できる識別可能属性は,信託機関が複数のデータプロバイダから取得したものであり,非個人化データは,当該データに関連付けられた個人の身元をデータユーザによって明らかにされないよう,データプロバイダが,識別可能属性を,信託機関により提供された識別子で置換し,これを他のデータに関連付けて作成したものである,コンピュータに実装される方法。

エ.本件補正発明と引用発明との対比
(ア)引用発明の「名前,社会保障番号,電話のエリアコードなどの,個人を識別できる識別可能属性」は,個人に関するデータである点で,本件補正発明の「データ」に相当する。
また,引用発明の「当該識別可能属性に関連付けられた,不可逆的に生成された固有識別子」は,「不可逆的」であることから,固有識別子の情報から,これに関連付けられた識別可能属性を知ることができないという意味であるから,個人に関するデータを秘匿化したデータといえる。
そうすると,引用発明の「当該識別可能属性に関連付けられた,不可逆的に生成された固有識別子」は,本件補正発明の「秘匿化データ」に相当する。
さらに,引用発明では,「前記個人を識別できる識別可能属性は,複数のデータプロバイダから取得したものであ」るところ,引用発明の,異なるデータプロバイダから取得した「識別可能属性」が,本件補正発明の「第1のデータ」,「第2のデータ」に相当し,引用発明の,異なるデータプロバイダから取得した「当該識別可能属性に関連付けられた,不可逆的に生成された固有識別子」が,本件補正発明の「第1の秘匿化データ」,「第2の秘匿化データ」に相当する。

(イ)引用発明の「個人を識別できる識別可能属性と,当該識別可能属性に関連付けられた,不可逆的に生成された固有識別子とを格納する信託機関の内部データベース」は,上記(ア)における検討から,本件補正発明の「データ格納部」に相当する。

(ウ)引用発明の「複数のデータプロバイダからの非個人化データ」は,「識別可能属性を,信託機関により提供された識別子で置換し,これを他のデータに関連付けて作成されたものである」ところ,上記識別子は,信託機関から提供される固有識別子であることは明らかであるから,上記(ア)における検討から,異なるデータプロバイダからの非個人化データは,それぞれ,本件補正発明の「秘匿化された第1のデータを含むレコード」,「秘匿化された第2のデータを含むレコード」に相当する。

(エ)引用発明の「複数のデータプロバイダにより提供される固有識別子の間の関係を示すテーブルを含む,相関するデータ」は,「データユーザが,複数のデータプロバイダからの非個人化データのうち,同一の個人に対応する非個人化データをリンクさせることができるよう」にするためのデータであり,ここで,「非個人化データは,」「識別可能属性を,信託機関により提供された識別子で置換し,これを他のデータに関連付けて作成されたものであ」って,「個人を識別できる識別可能属性は,信託機関が複数のデータプロバイダから取得したものであ」るところ,上記「相関するデータ」は,同一の個人であるという条件を満たすと,すなわち,異なるデータプロバイダから取得した識別可能属性が一致する,と特定されると,特定した同一の個人に対応する,当該異なるデータプロバイダの固有識別子の組み合わせを抽出したテーブルを含むデータ,と言い換えることができる。
そうすると,上記(ア)における検討から,引用発明の「複数のデータプロバイダにより提供される固有識別子の間の関係を示すテーブルを含む,相関するデータ」と,本件補正発明の「所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応付けて保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出」したものとは,“ある条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応付けて保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出”したものである点で共通し,
引用発明の上記「相関するデータ」と,本件補正発明の「抽出ステップにおいて,前記データ格納部から,内容の一部が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出」することとは,“内容が一致する第1のデータ及び第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応付けて保持されている,第1の秘匿化データ及び第2の秘匿化データの組み合わせを抽出したもの”である点で共通する。

(オ)引用発明の「データユーザ」は,本件補正発明の「外部装置」に相当し,引用発明の「相関するデータを,データユーザからの要求に基づき,データユーザへ提供する」ことは,本件補正発明の「抽出された,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを外部装置に送信するステップ」に相当する。

(カ)引用発明の,「前記個人を識別できる識別可能属性は,信託機関が複数のデータプロバイダから取得したものであ」ることは,本件補正発明の「前記第1のデータと前記第2のデータとは,1以上の装置から受信されたものであ」ることに相当する。

(キ)引用発明の「複数のデータプロバイダにより提供される固有識別子の間の関係を示すテーブルを含む,相関するデータ」は,上記(エ)において検討したとおり,同一の個人であるという条件を満たすと,すなわち,異なるデータプロバイダから取得した識別可能属性が一致する,と特定されると,特定した同一の個人に対応する,当該異なるデータプロバイダの固有識別子の組み合わせを抽出したテーブルを含むデータ,と言い換えることができる。
そして,引用発明において,同一の個人である,すなわち,異なるデータプロバイダから取得した識別可能属性が一致する,ことを識別するためには,比較する対象の識別可能属性は,「名前,社会保障番号,電話のエリアコードなど」といった複数の識別可能属性のうち,同一の項目の識別可能属性(例えば「名前」)であることが必須であることは明らかである。
そうすると,引用発明の「複数のデータプロバイダにより提供される固有識別子の間の関係を示すテーブルを含む,相関するデータ」は,本件補正発明の「前記第2のデータは,前記第1のデータに対応する項目のデータであ」ることに相当する。
さらに,引用発明の上記「相関するデータ」は,本件補正発明の「前記所定の条件は,問い合わせによって要求された,前記項目の秘匿化前の前記第1のデータと前記第2のデータとの一部が一致するという条件である」ことに対応し,両者は,“秘匿化前の前記第1のデータと前記第2のデータとが一致するという条件である”点で共通する。

(ク)引用発明の「非個人化データは,当該データに関連付けられた個人の身元をデータユーザによって明らかにされないよう,データプロバイダが,識別可能属性を,信託機関により提供された識別子で置換し,これを他のデータに関連付けて作成したものである」ところ,秘匿化データを含む非個人化データは,識別可能属性を含まないため,識別可能属性がデータプロバイダによって特定できないように生成されたものである。
したがって,引用発明の,「非個人化データは,当該データに関連付けられた個人の身元をデータユーザによって明らかにされないよう,データプロバイダが,識別可能属性を,信託機関により提供された識別子で置換し,これを他のデータに関連付けて作成したものである」ことは,本件補正発明の「前記第1の秘匿化データを含むレコード及び前記第2の秘匿化データを含むレコードは前記項目のデータが前記外部装置によって特定できないように生成され」たものであることに相当する。

(ケ)引用発明は「コンピュータに実装される方法」であるところ,方法を,コンピュータに実装するとは,当該方法を実施するためのデータ処理をコンピュータに行わせるプログラムを装備することを意味することは,当該技術分野の当業者にとって自明な事項である。
したがって,引用発明の「コンピュータに実装される方法」は,後記の点で相違するものの,本件補正発明の「コンピュータに実行させるためのデータ処理プログラム」に相当する。

(コ)以上,(ア)?(ケ)において検討した事項から,本件補正発明と,引用発明との一致点,及び,相違点は,次のとおりである。

<一致点>
第1のデータと,当該第1のデータを秘匿化した第1の秘匿化データとを対応付けて保持し,第2のデータと,当該第2のデータを秘匿化した第2の秘匿化データとを対応付けて保持するデータ格納部から,ある条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応付けて保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する抽出ステップと
抽出された,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを外部装置に送信するステップと
をコンピュータに実行させるためのデータ処理プログラムであって,
前記抽出ステップにおいて,前記データ格納部から,内容が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出し,
前記第1のデータと前記第2のデータとは,1以上の装置から受信されたものであり,前記第2のデータは,前記第1のデータに対応する項目のデータであり,前記第1の秘匿化データを含むレコード及び前記第2の秘匿化データを含むレコードは前記項目のデータが前記外部装置によって特定できないように生成され,
前記所定の条件は,前記項目の秘匿化前の前記第1のデータと前記第2のデータとが一致するという条件である
データ処理プログラム。

<相違点1>
第1のデータ及び第2のデータの組み合わせを特定するための「ある条件」に関し,本件補正発明は,「抽出ステップ」を行う主体に対して発する,「問い合わせによ」る「要求」であるのに対して,引用発明では,データユーザが信託機関(のデータベース)に対して,問い合わせによる要求を発することについて言及されていない点。

<相違点2>
第1のデータ及び第2のデータの組み合わせを特定するための「ある条件」に関し,本件補正発明は「前記項目の秘匿化前の前記第1のデータと前記第2のデータとの一部が一致するという」「所定の条件」であるのに対して,引用発明では,「同一の個人に対応する非個人化データをリンクさせることができる」,すなわち同一の個人であること,という条件が示されているものの,「同一の個人である」という条件の内容が,第1のデータと第2のデータとの一部が一致することを示すのか否かについて言及されていない点。

<相違点3>
「抽出ステップ」に関し,本件補正発明は「内容の一部が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定」するのに対して,引用発明は,「同一の個人である」ことの判断において,データの内容の一部が一致するかの判断を行っていることについて言及されていない点。

オ.相違点についての当審の判断

上記相違点について検討する。
<相違点1について>
引用発明では,「データユーザが,複数のデータプロバイダからの非個人化データのうち,同一の個人に対応する非個人化データをリンクさせることができるよう,信託機関は,複数のデータプロバイダにより提供される固有識別子の間の関係を示すテーブルを含む,相関するデータを,データユーザからの要求に基づき,データユーザへ提供する」ところ,データユーザが,信託機関(のデータベース)に相関するデータを要求するということは,異なるデータプロバイダから取得した非個人化データ(の固有識別子)のうち,同一の人物を示す識別可能属性の組み合わせに対応した,固有識別子の組み合わせを,信託機関(のデータベース)に要求していることに他ならない。
そして,所望のデータを要求する手法として,参考文献1の上記Gの「操作者は,検索依頼情報として,」「「匿名化情報識別子=98765の匿名化情報と同じ匿名化個人識別子を持つ匿名化情報」といった間接的に匿名化個人識別子を指定するような検索依頼情報の入力を」する,という記載にあるとおり,匿名化情報(の情報識別子)のうち,同一の人物を示す匿名化個人識別子の組み合わせに対応した,匿名化情報(の情報識別子)の組み合わせを要求する検索条件を,データベースに要求することは,本願出願前に,当業者には周知の技術事項であったところ,引用発明のように,データベース側で,ある程度想定される条件に合致する情報を作成しておき,当該情報に対する要求に応じて送信するか,あるいは,上記周知技術のように,所定の条件に合致する情報を検索できるようにしておき,検索要求を受信すると,データベース側で検索の条件に合致する情報を作成,送信するかは,所定の条件が想定されるものであるか等に応じて,当業者が適宜なし得る設計的事項である。
したがって,引用発明において,第1のデータ及び第2のデータの組み合わせを特定するための条件を,「抽出ステップ」を行う主体に対して発する,「問い合わせによ」る「要求」とすることは,参考文献1に示された周知技術に基づいて,当業者が容易に想到し得たことであり,相違点1は格別なものではない。

<相違点2,3について>
相違点2,3は,ともに,2つのデータの内容の一部が一致する場合に,これらを組み合わせとして抽出する処理に関することであるので,まとめて検討する。
引用発明では,識別可能属性として「電話のエリアコード」を挙げているところ,電話のエリアコードが電話番号の一部であることは明らかである。
そして,同一の個人を特定するにあたり,データベースに格納されているデータによっては,必ずしも個人を一意に識別する識別子を用いなくとも,例えば,電話のエリアコードだけで特定できる場合も考えられることから,識別可能情報として電話のエリアコードを用い,信託機関が,相関するデータをデータユーザに提供するにあたり,内容の一部である電話のエリアコードが一致する,データプロバイダ毎の個人識別可能属性に基づいて,データプロバイダ毎の識別子の組み合わせを,内部データーベスから抽出して,相関するデータとするように構成することは,当業者が容易に想到し得たことである。
したがって,相違点2,3は格別なものではない。

上記で検討したごとく,相違点1乃至3に係る構成は当業者が容易に想到し得たものであり,本件補正発明の奏する作用効果も,引用発明,及び,参考文献1に記載の周知の技術事項から当業者ならば容易に予測することができる程度のものであって,格別顕著なものとはいえない。

以上のとおり,本件補正発明は,引用発明,及び,参考文献1に記載の周知の技術事項に基づいて当業者が容易に発明をすることができたものであるので,特許法第29条第2項の規定により特許出願の際独立して特許を受けることができない。

3.補正却下むすび
以上より,本件手続補正は,特許法第17条の2第6項において準用する同法第126条第7項の規定に違反するので,同法第159条第1項の規定において読み替えて準用する同法第53条第1項の規定により却下すべきものである。

よって,補正却下の決定の結論のとおり決定する。


第3 本願発明について

平成29年3月6日付けの手続補正は,上記のとおり却下されたので,本願の請求項1に係る発明(以下,これを「本願発明」という)は,平成28年6月6日付けの手続補正により補正された特許請求の範囲の請求項1に記載された,上記「第2 平成29年3月6日付けの手続補正の却下の決定」の「1.補正の内容」において,補正前の請求項1として引用した,次のとおりのものである。

「 第1のデータと,当該第1のデータを秘匿化した第1の秘匿化データとを対応付けて保持し,第2のデータと,当該第2のデータを秘匿化した第2の秘匿化データとを対応付けて保持するデータ格納部から,所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応付けて保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する抽出ステップと
抽出された,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを外部装置に送信するステップと
をコンピュータに実行させるためのデータ処理プログラムであって,
前記抽出ステップにおいて,前記データ格納部から,内容の一部が一致する前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応して保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する
データ処理プログラム。」


第4 引用刊行物に記載の発明

(1)引用刊行物に記載の事項
原審拒絶理由において引用された引用刊行物1には,上記「第2 平成29年3月6日付け手続補正書による補正の却下の決定」の「2.補正の適否」における「(3)独立特許要件」の「イ.引用刊行物に記載の事項」において示した事項が記載されている。

(2)引用刊行物に記載の発明
(ア)上記Aの「個人識別情報のみが,信託機関 (TTP (Trusted Third Party)) に提供される。TTPは,名前,住所または社会保障番号といった個人を識別するのに利用可能なデータベース内の全データを置換する識別子を生成する。」という記載,上記Bの「データプロバイダ112は,データベースからファイル113を作成する。ファイルの各レコードは,データベース内の各レコードからの識別可能属性を有するフィールドを含む。ファイル113は,信託機関(TTP)116に送られる。TTP116は,識別属性と関連付けられた固有識別子を作成する。」という記載,同じく上記Bの「一意の識別子を取り出しまたは生成すると,TTPはその識別子をファイル113内の適当なレコードフィールドに格納する。」「TTP116はファイル113をデータプロバイダ112に戻す。データプロバイダは,もとのデータベースのレコードを含む新たなデータベース120を生成する。もとのデータベースからは識別可能な属性は除去され,一意の識別子に置換される。」「データベース120はデータユーザ118に送られる。」という記載から,引用刊行物1は,“個人を識別できる識別可能属性を,信託機関により不可逆的に生成され,提供された固有識別子で置換し,これを他のデータに関連付けて作成した非個人化データを格納してなる,データプロバイダのデータベース”に関するものであることが読み取れる。

(イ)上記「第2 平成29年3月6日付け手続補正書による補正の却下の決定」の「2.補正の適否」における「(3)独立特許要件」の「ウ.引用刊行物に記載の発明」の(イ)において示したように,引用刊行物1において“名前,社会保障番号,電話のエリアコードなど”が“個人を識別できる識別可能属性”であることが読み取れ,
また,上記Bの「個人を識別するのに利用可能なデータ,すなわち個人識別可能属性を含む。これらの属性は,例えば,「名前」,「住所」および「社会保障番号」を含む。」という記載から,識別可能属性は“複数”あって,上記(ア)の検討から,“複数の識別可能属性を,固有識別子でそれぞれ置換する”ことが読み取れる。

(ウ)上記Dの「小売店112aおよび112bの各々は,個人の人口統計属性および個人の識別子を,各データレコードから抽出する。これらは小売店112aおよび112bの各々がデータユーザ118」「に送りたいと考えるデータである。」「小売店112aおよび112bが個人の人口統計属性および個人の識別子を単一の一意の識別子に置換することにより,非個人化されたデータを生成する。」「小売店112aおよび112bは,出荷取次店118に非個人化されたデータを送る。」という記載から,引用刊行物1において,“データプロバイダが,データユーザに送りたい識別可能属性を抽出し,当該識別可能属性を,当該識別可能属性に関連付けられた固有識別子で置換することにより,非個人化されたデータを生成し,前記非個人化されたデータをデータユーザへ提供するもの”であることが読み取れる。

(エ)上記「第2 平成29年3月6日付け手続補正書による補正の却下の決定」の「2.補正の適否」における「(3)独立特許要件」の「ウ.引用刊行物に記載の発明」の(カ)において示したように,引用刊行物1は“コンピュータに実装される方法”に関するものであることが読み取れる。

(オ)以上,(ア)乃至(エ)において検討した事項から,引用刊行物1には,次の発明(以下,これを「引用発明」という)が記載されているものと認める。

名前,社会保障番号,電話のエリアコードなどの,個人を識別できる複数の識別可能属性を,信託機関により不可逆的に生成され,提供された固有識別子でそれぞれ置換し,これを他のデータに関連付けて作成した非個人化データを格納してなる,データプロバイダのデータベースから,
データプロバイダが,データユーザに送りたい識別可能属性を抽出し,当該識別可能属性を,当該識別可能属性に関連付けられた固有識別子で置換することにより,非個人化されたデータを生成し,前記非個人化されたデータをデータユーザへ提供するものである,コンピュータに実装される方法。


第5 本願発明と引用発明との対比

(ア)引用発明の「名前,社会保障番号,電話のエリアコードなどの,個人を識別できる複数の識別可能属性」は,個人に関するデータである点で,本願発明の「データ」に相当する。
また,引用発明は,「個人を識別できる複数の識別可能属性を,信託機関により不可逆的に生成され,提供された固有識別子でそれぞれ置換」するところ,「不可逆的」であることは,固有識別子の情報から,置換された識別可能属性を知ることができないという意味であるから,個人に関するデータを秘匿化したデータといえる。
そうすると,引用発明の「信託機関により不可逆的に生成され,提供された固有識別子」は,本願発明の「秘匿化データ」に相当する。
さらに,引用発明の「複数の識別可能属性」の各々が,本願発明の「第1のデータ」,「第2のデータ」に相当し,引用発明の「複数の識別可能属性」をそれぞれ置換する,「信託機関により不可逆的に生成され,提供された固有識別子」が,本件補正発明の「第1の秘匿化データ」,「第2の秘匿化データ」に相当する。

(イ)引用発明の「データプロバイダのデータベース」は,上記(ア)における検討から,本願発明の「データ格納部」に相当し,引用発明の「データユーザ」は,本願発明の「外部装置」に相当する。

(ウ)引用発明では,「データプロバイダのデータベースから,データプロバイダが,データユーザに送りたい識別可能属性を抽出し,当該識別可能属性を,当該識別可能属性に関連付けられた固有識別子で置換することにより,非個人化されたデータを生成し,前記非個人化されたデータをデータユーザへ提供する」ところ,データユーザに送りたい,という所定の条件に基づいて識別可能属性を特定し,特定された識別可能属性に関連付けられている固有識別子を抽出し,抽出した固有識別子を,データユーザへ送っているから,引用発明の,上記「データプロバイダのデータベースから,データプロバイダが,データユーザに送りたい識別可能属性を抽出し,当該識別可能属性を,当該識別可能属性に関連付けられた固有識別子で置換することにより,非個人化されたデータを生成し,前記非個人化されたデータをデータユーザへ提供する」ことと,本願発明の「所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応付けて保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出」し,「抽出された,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを外部装置に送信する」こととは,所定の条件に基づき秘匿化前のデータを特定し,特定された前記秘匿化前のデータに対応付けて保持されている,秘匿化データを抽出」し,「抽出された,前記秘匿化データを外部装置に送信する点で共通する。

(エ)引用発明は「コンピュータに実装される方法」であるところ,方法を,コンピュータに実装するとは,当該方法を実施するためのデータ処理をコンピュータに行わせるプログラムを装備することを意味することは,当該技術分野の当業者にとって自明な事項であるから,引用発明の「コンピュータに実装される方法」は,後記の点で相違するものの,本件補正発明の「コンピュータに実行させるためのデータ処理プログラム」に相当する。

(オ)以上,(ア)?(エ)において検討した事項から,本願発明と,引用発明との一致点,及び,相違点は,次のとおりである。

<一致点>
第1のデータと,当該第1のデータを秘匿化した第1の秘匿化データとを対応付けて保持し,第2のデータと,当該第2のデータを秘匿化した第2の秘匿化データとを対応付けて保持するデータ格納部から,所定の条件に基づき秘匿化前のデータを特定し,特定された前記秘匿化前のデータに対応付けて保持されている,秘匿化データを抽出する抽出ステップと
抽出された,秘匿化データを外部装置に送信するステップと
をコンピュータに実行させるためのデータ処理プログラム。

<相違点>
データ格納部から,秘匿化データを抽出する抽出ステップに関し,本願発明では,「内容の一部が一致する」という「所定の条件に基づき前記第1のデータ及び前記第2のデータの組み合わせを特定し,特定された前記第1のデータ及び前記第2のデータにそれぞれ対応付けて保持されている,前記第1の秘匿化データ及び前記第2の秘匿化データの組み合わせを抽出する」のに対して,引用発明では,“内容の一部が一致する”という所定の条件に基づいているのか不明であり,また,所定の条件に基づきデータの“組み合わせ”を特定することについては言及されていない点。


第6 相違点についての当審の判断

引用発明において,名前や電話のエリアコードなど,個人を識別できる複数の識別可能属性を,固有識別子でそれぞれ置換し,これを他のデータに関連付けて作成した非個人化データから,所定の秘匿化データを抽出しているところ,例えば,ある集団に属する者(所定の条件に基づく第1,第2のデータの組み合わせ)に関して,各人の秘匿化データを抽出する(第1,第2のデータにそれぞれ対応付けて保持されている,第1,第2の秘匿化データの組み合わせを抽出する)ことによって,当該集団を分析することは,普通に行われていることであり,引用発明においても,分析内容に応じて,当業者が適宜なし得る設計的事項である。
また,内容の一部が一致する,という条件に関しては,本件補正発明と,引用発明との<相違点2,3>と同じものであるから,上記「第2 平成29年3月6日付け手続補正書による補正の却下の決定」の「2.補正の適否」における「(3)独立特許要件」の「オ.相違点についての当審の判断」において検討したとおりである。
したがって,引用発明において,内容の一部が一致する第1のデータ及び第2のデータの組み合わせを特定し,これに対応する第1の秘匿化データ及び第2の秘匿化データの組み合わせを抽出することは,引用発明に基づいて,当業者が容易に想到し得たことであり,相違点は格別なものではない。

そして,本願発明の奏する作用効果も,引用発明から当業者ならば容易に予測することができる程度のものであって,格別顕著なものとはいえない。


第7 むすび

したがって,本願発明は,本願の特許出願前に日本国又は外国において頒布された刊行物に記載された発明又は電気通信回線を通じて公衆に利用可能となった発明に基づいて当業者が容易に発明をすることができたものであるから,特許法第29条第2項の規定により特許を受けることができないものであり,他の請求項について検討するまでもなく,拒絶すべきものである。

よって,結論のとおり審決する。
 
審理終結日 2018-01-22 
結審通知日 2018-01-23 
審決日 2018-02-14 
出願番号 特願2012-211391(P2012-211391)
審決分類 P 1 8・ 121- WZ (G09C)
最終処分 不成立  
前審関与審査官 中里 裕正  
特許庁審判長 石井 茂和
特許庁審判官 佐久 聖子
須田 勝巳
発明の名称 データ処理プログラム、データ処理装置及びデータ処理システム  
代理人 高田 大輔  
代理人 平川 明  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ