• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 取り消して特許、登録 G06F
管理番号 1391933
総通号数 12 
発行国 JP 
公報種別 特許審決公報 
発行日 2022-12-28 
種別 拒絶査定不服の審決 
審判請求日 2022-05-26 
確定日 2022-11-29 
事件の表示 特願2018− 26742「匿名加工装置、情報匿名化方法、およびプログラム」拒絶査定不服審判事件〔令和 1年 8月29日出願公開、特開2019−144723、請求項の数(8)〕について、次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は、特許すべきものとする。 
理由 第1 手続の経緯
本願は、平成30年2月19日の出願であって、令和3年10月29日付けで拒絶理由通知がされ、令和3年12月16日に意見書と手続補正書が提出され、令和4年3月11日付けで拒絶査定(原査定)がされ、これに対し、令和4年5月26日に拒絶査定不服審判の請求がされたものである。

第2 原査定の概要
原査定(令和4年3月11日付け拒絶査定)の概要は次のとおりである。

本願請求項1ないし8に係る発明は、以下の引用文献1及び2に記載された発明に基づいて、その発明の属する技術の分野における通常の知識を有する者(以下、「当業者」という。)が容易に発明をすることができたものであるから、特許法第29条第2項の規定により特許を受けることができない。

引用文献1 国際公開第2016/002086号
引用文献2 大角 良太,Q&Aで理解する!パーソナルデータの匿名加工と利活用,株式会社清文社,2017年6月9日,P.51〜P.66

第3 本願発明
本願請求項1ないし8に係る発明(以下、それぞれ「本願発明1」ないし「本願発明8」という。)は、令和3年12月16日に提出された手続補正書により補正された特許請求の範囲の請求項1ないし8に記載された事項により特定される発明であり、そのうち本願発明1は以下のとおりの発明である。

「法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、前記匿名加工ルール情報を取得し、取得した前記匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する匿名加工処理手段を備え、
前記個人情報は、第1属性情報と、前記第1属性情報についての個別個人情報とで構成され、前記匿名加工ルール情報は、前記第2属性情報と、前記第2属性情報についての個別加工ルール情報とで構成され、
前記匿名加工処理手段は、前記匿名加工ルール情報内に、前記第1属性情報と同一の前記第2属性情報が存在するか否かを判定し、
同一の前記第2属性情報が存在しないと判定された場合、前記匿名加工処理手段は、同一の前記第2属性情報が存在しない前記第1属性情報の前記個別個人情報を匿名加工しないことを特徴とする匿名加工装置。」

なお、本願発明2ないし6は、本願発明1を減縮した発明である。また、本願発明7は、本願発明1に対応する方法の発明であり、本願発明8は、本願発明1に対応するプログラムの発明であり、いずれも本願発明1とはカテゴリ表現が異なるだけの発明である。

第4 引用文献、引用発明等
1 引用文献1について
(1)引用文献1記載事項
原査定の拒絶の理由に引用された上記引用文献1には、図面とともに次の事項が記載されている(下線は、当審で付したものである。以下、同様)。

「[0017]
(1)本実施の形態による情報処理システムの構成
図1において、1は全体として本実施の形態による情報処理システムを示す。この情報処理システム1は、元データ提供者2が提供するデータ(以下、これを元データと呼ぶ)をデータ収集・管理・提供者3が収集すると共に、収集した元データをk−匿名化処理した上で管理し、k−匿名化処理した元データをデータ利用者4からの要求に応じてデータ収集・管理・提供者3が提供するシステムである。」
「[0018]
この情報処理システム1は、図1に示すように、元データ提供者2の情報処理装置20と、データ収集・管理・提供者3の匿名化データ提供システム30を構成するデータ準備装置31とが第1のネットワーク10を介して接続され、当該匿名化データ提供システム30を構成するデータ提供装置32と、データ利用者4のクライアント端末40とが第2のネットワーク11を介して接続されて構成されている。」
「[0020]
データ準備装置31は、CPU33、メモリ34及びハードディスク装置35などを備えたパーソナルコンピュータ等から構成される。データ準備装置31は、各元データ提供者2の情報処理装置20から収集した元データに対してk−匿名化処理を施す。そしてデータ準備装置31は、かかるk−匿名化処理により得られた匿名化データをデータ提供装置32に送信する。」
「[0021]
データ提供装置32は、データ準備装置31と同様に、CPU36、メモリ37及びハードディスク装置38などを備えたパーソナルコンピュータ等から構成される。データ提供装置32は、データ準備装置31から送信される匿名化データをハードディスク装置38に格納して保持し、保持した匿名化データをクライアント端末40を利用したデータ利用者4からの要求に応じてそのデータ利用者4に提供する。」
「[0022]
クライアント端末40も・・・パーソナルコンピュータ等から構成される。クライアント端末40は、データ利用者4の操作に応じて第2のネットワーク11を介して匿名化データ提供システム30のデータ提供装置32にアクセスし、データ提供装置32から提供される匿名化データをダウンロードしてハードディスク装置43に記憶する。」
「[0023]
図2は、本情報処理システム1の論理構成を示す。本実施の形態においては、データ収集・管理・提供者3が収集、管理及び提供する元データとしてヘルスケアデータを想定しており、元データ提供者2として、図2に示すように、ヘルスケアデータを管理する病院や、薬局、診療所、健康保険組合、バイオバンク及び又は家庭などを想定している。ただし、ヘルスケアデータは、本来個人のものであるため、元データ提供者2としては、個人そのものを想定し、個人からヘルスケアデータを直接収集することを想定しても良い。」
「[0024]
また本実施の形態においては、データ利用者4として、病院や保険所、厚生労働省などの行政機関、健康保険組合などの主に公的な役割をもつ機関だけでなく、製薬企業や、食品企業及び美容企業などの私企業も想定している。」
「[0025]
データ準備装置31は、メモリ34(図1)に格納されたデータ収集・名寄せ処理部50、匿名化処理部51及び統計量強化匿名化データ選択処理部52と、ハードディスク装置35(図1)に格納された元データデータベース53及び匿名化条件データベース54とを備えて構成される。」
「[0028]
匿名化処理部51は、匿名化条件データベース54に格納されたプライバシ保護条件テーブル56を参照しながら、元データデータベース53に格納された元データに対して個人情報の匿名化を行う機能を有するプログラムである。匿名化処理部51は、例えば糖尿病患者の元データ又は高血圧患者の元データなど、関連する複数の元データを纏めて1つのデータセット(以下、これを匿名化前データセットと呼ぶ)55を生成し、生成した匿名化前データセット55に対してk−匿名化処理を施すことにより、匿名化データセット64を生成する。そして匿名化処理部51は、このようにして生成した匿名化データセット64のデータをデータ提供装置32に送信する。」
「[0030]
元データデータベース53は、元データを保持及び管理するために利用されるデータベースであり、データ準備装置31が各元データ提供者2からそれぞれ収集した元データが順次登録される。上述のように本実施の形態においては、元データとしてヘルスケアデータを想定しており、このため個々の元データは、図3に示すように、患者ID、患者氏名、患者生年月日、入院日及び退院日などのその人の属性情報と、その人の検査値となどを含む。図3においては、1つの行が一人の元データに対応しており、図3全体で上述の匿名化前データセット55を表している。」
「[0031]
匿名化条件データベース54には、プライバシ保護条件テーブル56が格納される。プライバシ保護条件テーブル56は、予めデータ収集・管理・提供者3により設定された、元データに含まれる個人情報の所有者である個人のプライバシを保護するための条件を管理するために利用されるテーブルであり、図4に示すように、個人情報範囲欄56A、削除項目欄56B、変更項目欄56C、保護項目欄56D及びk値最小値欄56Eを備えて構成される。」
「[0032]
そして個人情報範囲欄56Aには、データ準備装置31が元データ提供者2の情報処理装置20から収集した元データに含まれる情報のうち、ID、名前、住所及び電話番号等の個人情報として取り扱うべき個々のデータ項目の名称(以下、これを項目名と呼ぶ)がすべて格納される。」
「[0033]
また削除項目欄56Bには、かかる個人情報として取り扱うべきデータ項目のうち、個人のプライバシを保護するためにデータ利用者4には提供しない、つまりk−匿名化処理の際に削除される各データ項目(以下、これを削除項目と呼ぶ)の項目名が格納される。」
「[0034]
さらに変更項目欄56Cには、内容を変更してデータ利用者4に提供可能な各データ項目(以下、これを変更項目と呼ぶ)の項目名が格納される。図4の例では変更項目が設定されていないが、例えば個人を特定するIDを別のIDに変換すればプライバシを保護した状態でデータを提供できる場合には、変更項目としてIDを設定する。」
「[0035]
さらに保護項目欄56Dには、k−匿名化の対象となり得る準識別子と呼ばれるデータ項目(以下、これを保護項目と呼ぶ)の項目名が格納され、k値最小値欄56Eには、匿名化処理部51が実行するk−匿名化処理におけるk値の最小値(以下、これをk値最小値と呼ぶ)が格納される。このk値最小値は、予めデータ収集・管理・提供者3により設定される。」
「[0036]
なお個人情報範囲として設定された各データ項目は、それぞれ削除項目、変換項目及び保護項目のいずれかに設定される。ただし、個人情報範囲として設定されていないデータ項目が削除項目、変更項目及び又は保護項目として設定されていても良い。」
「[0037]
また個人のプライバシを保護するための条件は、法律やガイドラインに依存するため、国によって定義が変わることがあるほか、時代によっても変化することがある。このような場合には、複数のプライバシ保護条件テーブル56を用意しておいても良い。例えば、複数の国に存在するデータ利用者4に対し、後述のようにデータ提供装置32の匿名化データベース60に格納された匿名化データセット64を提供する場合には、データ利用者4がアクセスしている国に対応するプライバシ保護条件テーブル56を選択して、提供する匿名化データセット64を変更するようにしても良い。」



「[図1]


「[図2]



「[図3]



「[図4]



(2)引用発明
前記(1)の図4から、「削除項目欄56B」には、「データ項目の項目名として、ID、名前等が格納され」ていることが読み取れ、また、「保護項目欄56D」には、「データ項目の項目名として、住所、年齢等が格納され」ていることが読み取れる。
そうすると、前記(1)より、特に下線部に着目すれば、引用文献1には次の発明(以下、「引用発明」という。)が記載されていると認められる。

「匿名化処理部51と、匿名化条件データベース54と、元データデータベース53と、を有するデータ準備装置31であって([0025]、図2)、
匿名化処理部51は、匿名化条件データベース54に格納されたプライバシ保護条件テーブル56を参照しながら、元データデータベース53に格納された元データに対して個人情報の匿名化を行い、匿名化データセット64を生成し([0028])、
元データデータベース53は、元データを保持及び管理するために利用されるデータベースであり、元データは、患者ID、患者氏名、患者生年月日、入院日及び退院日などのその人の属性情報と、その人の検査値などを含み、1つの行が一人の元データに対応し、全体で匿名化前データセット55を表し([0030]、図3)、
プライバシ保護条件テーブル56は、元データに含まれる個人情報の所有者である個人のプライバシを保護するための条件を管理するために利用されるテーブルであり、個人のプライバシを保護するための条件は、法律やガイドラインに依存し、保護条件及び設定値として、個人情報範囲欄56A、削除項目欄56B、変更項目欄56C、保護項目欄56D及びk値最小値欄56Eを備えて構成され、個人情報保護欄56Aには、個人情報として取り扱うべき個々のデータ項目の名称がすべて格納され、削除項目欄56Bには、個人情報として取り扱うべきデータ項目のうち、データ利用者には提供しない、つまり削除される各データ項目の項目名として、ID、名前等が格納され、変更項目欄56Cには、プライバシを保護した状態で提供可能な各データ項目の項目名が格納され、保護項目欄56Dには、K-匿名化対象となり得る準識別子とよばれるデータ項目の項目名として、住所、年齢等が格納される([0031]〜[0034]、[0037]、図4)
データ準備装置31。」

2 引用文献2について
原査定の拒絶の理由に引用された引用文献2には、図面とともに次の事項が記載されている。
「5.個情規19条4号(特異な記述等の削除)
特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。」
個情規19条4号は、個人情報に含まれる特異な記述等を削除することを求めるものです。
個情法ガイドライン(匿名加工編)3−2−4では、次のように解説されています。
「一般的にみて、珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述等については、特定の個人の識別又は元の個人情報の復元につながるおそれがあるものである。そのため、匿名加工情報を作成するに当たっては、特異な記述等について削除又は他の記述等への置き換えを行わなければならない。
ここでいう「特異な記述等」とは、特異であるがために特定の個人を識別できる記述等に至り得るものを指すものであり、他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しない。実際にどのような記述等が特異であるかどうかは、情報の性質等を勘案して、個別の事例ごとに客観的に判断する必要がある。
(中略)
なお、規則第19条第4号の対象には、一般的なあらゆる場面において特異であると社会通念上認められる記述等が該当する。他方、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など個人情報データベース等の性質によるものは同第5号において必要な措置が求められることとなる。」
ここでいう「特異」とは、一般的に社会通念上「特異」であると認められるものが対象となります。社会通念上特異であることが要件であるため、原則として、一般人が知り得る情報において特異なものが対象となります。
したがって、この4号で削除の対象となる「特異な記述等」に該当するものとしては、ガイドラインの事例で示される超高年齢や希少症例に関する情報の他に、超高収入や超高身長であるなど、主として個人の基本属性に関わる情報が対象になるでしょう。
一方、購買履歴や移動履歴等の個人の行動習慣に関する情報は、他人と重複しないものが多く存在しますが、「他人と重複しない」ことをもって社会通念上「特異」とは言い難いため、4号の削除の対象にはならないと解されます。
なお、加工の方法としては、対象となる記述を削除するほか、トップコーディングのような手法により対象となる記述を復元不可能な記述に置き換えることも可能です。」(59頁下から3行〜61頁4行)

第5 対比・判断
1 本願発明1について
(1)対比
本願発明1と引用発明とを対比する。

ア 引用発明の「プライバシ保護条件テーブル56」は、「匿名化条件データベース54」に格納され、匿名化処理部51によって参照されるものであるから、“電子データ化”されていることは自明である。また、引用発明の「プライバシ保護条件テーブル56」の「削除項目」、「変更項目」、「保護項目」は、各項目に対応する欄に格納されるデータ項目に対して匿名化を行う際の“加工”処理の種別を表しているから、本願発明1の「加工についてのルール」に相当するといえる。
引用発明の「プライバシ保護条件テーブル56」は、個人のプライバシを保護するための条件を管理するために利用されるテーブルであり、個人のプライバシを保護するための条件は法律やガイドラインに依存するものであるところ、ガイドラインは“法律に則った”ものであるから、“法律に則ったガイドラインに記載され”ているものといえる。
そうすると、引用発明の「プライバシ保護条件テーブル56」は、本願発明1の「法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報」に相当する。
したがって、引用発明の「プライバシ保護条件テーブル56」を格納する「匿名化条件データデータベース54」は本願発明1の「法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベース」に相当する。

イ 引用発明の「元データ」は「患者ID、患者氏名、患者生年月日、入院日及び退院日などのその人の属性情報と、その人の検査値などを含」む患者個人の情報であるから、本願発明1の「個人情報」に対応する。
また、当該「元データ」は、「患者ID」、「患者氏名」、「患者生年月日」、「入院日」及び「退院日」といった“元データの項目名”に対して“その人の属性情報及び検査値”が「匿名化前データセット55」の形で対応付けられているものと認められるところ、引用発明の“元データの項目名”と“その人の属性情報及び検査値”は、それぞれ、本願発明1の「第1属性情報」と「前記第1属性情報についての個別個人情報」に相当するから、引用発明の「元データ」と本願発明1の「個人情報」とは、「第1属性情報と、前記第1属性情報についての個別個人情報とで構成され」ている点で共通している。

ウ 引用発明の「匿名化データセット64」は、「元データに対して個人情報の匿名化を行」った結果であるから、上記ア、イの検討も踏まえると、本願発明1の「個人情報を加工して」「作成」される「匿名加工情報」に相当する。
引用発明の「匿名化条件データベース54に格納されたプライバシ保護条件テーブル56を参照しながら」「元データに対して個人情報の匿名化を行」うことは、「匿名化条件データベース54」から「プライバシ保護条件テーブル56」の情報を“取得”し、“取得”した情報に基づいて「元データに対して個人情報の匿名化を行」うことである。
したがって、上記アの検討も踏まえると、引用発明の「匿名化条件データベース54に格納されたプライバシ保護条件テーブル56を参照しながら、元データデータベース53に格納された元データに対して個人情報の匿名化を行い、匿名化データセット64を生成」することは、本願発明1の「ルール情報データベースから、前記匿名加工ルール情報を取得し、取得した前記匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する」ことに相当する。

エ 上記ア〜ウの検討を踏まえると、引用発明の「匿名化処理部51」は、本願発明1の「法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、前記匿名加工ルール情報を取得し、取得した前記匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する匿名加工処理手段」に相当する。

オ 上記ア〜エの検討を踏まえると、引用発明の「匿名化処理部51」を有する「データ準備装置31」は、本願発明1の「匿名加工処理手段」を備えた「匿名加工装置」に対応する。

(2)一致点、相違点
前記(1)より、本願発明1と引用発明との間には、次の一致点、相違点があるといえる。

・一致点
「法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、前記匿名加工ルール情報を取得し、取得した前記匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する匿名加工処理手段を備え、
前記個人情報は、第1属性情報と、前記第1属性情報についての個別個人情報とで構成される、匿名加工装置。」

・相違点
(相違点1)
本願発明1の「匿名加工ルール情報」は、「第2属性情報と、前記第2属性情報についての個別加工ルール情報とで構成され」ているのに対して、引用発明の「プライバシ保護条件テーブル56」は、削除項目、変更項目、保護項目それぞれに対し、複数の設定値(データ項目の項目名の集合)をまとめて対応付けたものである点。

(相違点2)
本願発明1において、「匿名加工処理手段」は、「前記匿名加工ルール情報内に、前記第1属性情報と同一の前記第2属性情報が存在するか否かを判定し、同一の前記第2属性情報が存在しないと判定された場合、前記匿名加工処理手段は、同一の前記第2属性情報が存在しない前記第1属性情報の前記個別個人情報を匿名加工しない」のに対し、引用発明の「匿名化処理部51」は、そのような処理を行うものではない点。

(3)相違点についての判断
上記相違点1、2についてまとめて検討する。
引用発明の匿名化条件データベース54のプライバシ保護条件テーブル56のテーブル構造は、削除項目欄56BにID、名前等の項目名を格納することで、ID、名前等の項目名の集合(すなわち、属性情報の集合)に対して、削除という匿名化処理を対応付け、また、保護項目欄56Dに住所、年齢等の項目名を格納することで、住所、年齢等の項目名の集合(すなわち、属性情報の集合)に対して、保護という匿名化処理を対応付けたものであり、ID、名前、住所、年齢等の各項目名毎に個別に削除、保護等の匿名化処理を対応付けたものではない。
また、引用文献1には、「なお個人情報範囲として設定された各データ項目は、それぞれ削除項目、変換項目及び保護項目のいずれかに設定される。」(段落0036)と記載されていて、引用発明では、ID、名前等のすべての個人情報に対して、少なくとも削除、変更、保護のいずれかの匿名化処理が行われることが前提であるから、引用発明において、本願発明1のような「前記匿名加工ルール情報内に、前記第1属性情報と同一の前記第2属性情報が存在」「しない」という状況が発生することはない。
そうすると、「個情法ガイドラインに従う場合であっても、削除の対象とはならない個人情報が存在すること」が仮に周知の事項であったとしても、引用発明において、ID、名前等の各データ項目毎に個別に削除、変更、保護の匿名化処理を対応付けて保持するようにテーブル構造を変更した上で、更に「前記匿名加工ルール情報内に、前記第1属性情報と同一の前記第2属性情報が存在するか否かを判定し、同一の前記第2属性情報が存在しないと判定された場合、前記匿名加工処理手段は、同一の前記第2属性情報が存在しない前記第1属性情報の前記個別個人情報を匿名加工しない」ようにすることを当業者が容易に想到し得たということはできない。
したがって、本願発明1は、当業者であっても、引用発明及び引用文献2に記載された周知の事項に基づいて容易に発明をすることができたものとはいえない。

2 本願発明2ないし6について
本願発明2ないし6は、本願発明1の構成を備えるものであるから、本願発明1と同じ理由により、当業者であっても、引用発明及び引用文献2に記載された周知の事項に基づいて容易に発明をすることができたものとはいえない。

3 本願発明7及び8について
本願発明7は、本願発明1に対応する方法の発明であり、本願発明8は、本願発明1に対応するプログラムの発明であり、いずれも本願発明1の相違点1ないし2に係る構成に対応する技術事項を備えているものであるから、本願発明1と同様の理由により、当業者であっても、引用発明及び引用文献2に記載された周知の事項に基づいて容易に発明をすることができたものとはいえない。

第6 むすび
以上のとおり、本願発明1ないし8は、当業者であっても、引用発明及び引用文献2に記載された周知の事項に基づいて容易に発明をすることができたものとはいえない。
したがって、原査定の理由によっては、本願を拒絶することはできない。
また、他に本願を拒絶すべき理由を発見しない。
よって、結論のとおり審決する。
 
審決日 2022-11-11 
出願番号 P2018-026742
審決分類 P 1 8・ 121- WY (G06F)
最終処分 01   成立
特許庁審判長 須田 勝巳
特許庁審判官 篠原 功一
中村 信也
発明の名称 匿名加工装置、情報匿名化方法、およびプログラム  
代理人 北嶋 啓至  
代理人 机 昌彦  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ