本節では,部分復元アルゴリズムを用いた部分復元可能な秘密分散システムで扱うデータ について述べた後,提案システムでのデータの分散,復元について述べる.最後にシステム が要件を満たしているかを確認する.
提案システムで扱うデータの一覧を図3.4に示す.提案システムで扱うデータは,情報源 が作成し提案システムを制御する部分復元制御データとシェアに分けることができる.提案 システムを制御するデータについて述べる.部分復元制御データの一覧とデータの役割を以
3.4 部分復元アルゴリズムを用いた部分復元可能な秘密分散システム
図3.4 提案システムで扱うデータの一覧
図3.5 分散スクリプトの処理
下に示す.
分散スクリプト
分散スクリプトは,SS-MIX形式の電子カルテを秘密分散し,シェアを生成するスク リプトである.変換,秘密分散,集約,DB作成スクリプト作成,紐付けスクリプト作 成で構成される.分散スクリプトを用いてSS-MIX形式の電子カルテからシェアを生 成する処理を図3.5に示す.SS-MIX形式の電子カルテは,被災地での医療行為に必要 なデータと不必要なデータに分割することが難しいため,変換処理で扱いやすい形式に 変換する.変換したデータを分散しシェアを生成する.シェアをシェアDBに格納する ために,医療データを分割した項目ごとに集める.この処理のことを集約とする.集約
3.4 部分復元アルゴリズムを用いた部分復元可能な秘密分散システム
したシェアをバックアップするシェアとする.最後に,シェアストレージ上でシェアを 保管するDBを作成するシェアDB 作成スクリプトとシェアの結合を行うシェア紐付 けスクリプトをシェアから作成する.DB 作成スクリプトと紐付けスクリプトはシェア ストレージの数だけ作成する.なお,DB 作成スクリプトと紐付けスクリプトの作成は 初めて医療データをバックアップするときのみ行う.
データ改ざんスクリプト
データ改ざんスクリプトは,シェアストレージから入手したシェアが改ざんされてい ないかを確認するスクリプトである.改ざんの確認には一般的によく用いられるハッ シュ値を用いる.
復元スクリプト
復元スクリプトは,シェア復元するスクリプトである.復元スクリプトは変換、復 元、個人データ作成で構成される.シェアストレージから入手したシェアを復元しやす い形式に変換し復元する.最後に,復元した医療データは,情報源の病院の全患者の情 報が一緒になっているため,一人ひとりの患者に個人データ作成で分ける.
データ整形スクリプト
データ整形スクリプトは,復元スクリプトで復元した医療データを公開用に整えるス クリプトである.復元スクリプトで復元した医療データはコード形式で記述されている ため,コード変換をする必要がある.そこで,データ整形スクリプトを用いてコードを 変換し,見やすいように整える.このとき,どのような端末でも閲覧できるように公開 用の医療データはテキスト形式で出力する.
シェアストレージ群の情報
シェアストレージ群の情報は,それぞれのシェアストレージにアクセスするために必 要な情報である.シェアストレージ群にはすべての情報を含んだ医療データを復元でき るシェアが格納されている.情報源で部分復元の制御をしていたとしても,復元PCが すべての情報のシェアを入手することができれば,被災地で意図しない情報を復元さ れる可能性がある.よって,シェアストレージ内のすべての情報にアクセス可能な病院
3.4 部分復元アルゴリズムを用いた部分復元可能な秘密分散システム
ユーザと,災害時に被災地で行う医療行為に必要な情報のシェアのみにアクセス可能な 災害ユーザを作成する.さらに病院ユーザにはシェアストレージを管理する管理者権限 を付与する.以降,病院ユーザと災害ユーザによってアクセス可能なデータを判別する ために,病院ユーザがアクセス可能なデータの末尾に(病院),災害ユーザがアクセス可 能なデータの末尾に(災害)とつけ区別する.
DB作成スクリプト
DB作成スクリプトは,シェアストレージ上にシェアDBを作成するスクリプトであ る.情報源が医療データから初めてシェアを生成するときのみ作成する.SQL文以外 の部分はシェアで記述されており,シェアストレージごとにDB作成スクリプトを作成 する.
シェア同士の紐付けスクリプト
シェア同士の紐付けスクリプトは,シェアストレージ上でシェアを結合するときに利 用するスクリプトである.シェアDB作成スクリプトを元に作成する.シェア同士の紐 付けスクリプトもシェアストレージごとに異なるデータを作成する.
患者の本人識別情報
災害時,医師が診療している患者から聞き出す情報であり,名前や性別,生年月日な ど患者本人を特定可能な情報である.
復元PCの情報
情報閲覧端末が復元PC にアクセスする際に必要な情報である.情報閲覧端末は復 元PCにリモートデスクトップ接続を行う.また,情報閲覧端末と復元PC間のネット ワークはローカルエリアネットワークを用いるためその情報も含まれる.
以上が部分復元制御データである.
提案システムの分散から復元までの手順を述べる.提案システムのシステムのデータの流 れを図3.6と図3.7に示す.手順番号と図3.6と3.7の番号は対応している.
1. 事前情報の配付
3.4 部分復元アルゴリズムを用いた部分復元可能な秘密分散システム
図3.6 分散時のデータの流れ
情報源は,部分復元を制御する制御データを作成し,シェアストレージ群と復元PC に事前情報として配付する.事前情報を配付する際,情報源はどの復元PC,シェアス トレージ群に配付したかを記録する.復元PCは情報閲覧端末に対して,情報閲覧端末 が復元PCに接続するために必要な復元PCの情報を教えておく.
2. シェアのバックアップ
情報源は医療データから分散スクリプトを用いてバックアップするシェアを生成し シェアストレージにバックアップする.
3. シェアの復元
災害時復元PCはシェアストレージ群の情報 (災害)を用いてしきい値以上のシェア ストレージに接続する.シェアストレージ群は,被災地での医療行為に必要な情報の シェアを紐付けスクリプトで結合してから配付する.
復元PCは紐付け済シェア(災害) をしきい値以上入手し,入手したシェアが改ざん されていないかを改ざん確認スクリプトを用いて確認した後,復元スクリプトを用いて
3.4 部分復元アルゴリズムを用いた部分復元可能な秘密分散システム
図3.7 復元時のデータの流れ
シェアを復元する.この操作を整形とする.
4. 医療データ提携
情報閲覧端末は復元PCの情報を用いて復元PCに接続し,医師が診察している患者 から得た名前などの患者本人を識別する識別情報などを用いて,患者個人の医療データ を入手する.
以上の手順を踏むことで部分復元を実現している.
提案した部分復元アルゴリズムを用いた医療データの部分復元システムが要件を満たすか を確認する.
整形スクリプトで復元したデータをテキスト形式にするため,どのような端末でもエディ タがあれば読むことができる.よってどのような端末でも閲覧可能な形式であるといえる.
災害時に被災地で復元できる環境を復元PC,閲覧できる環境を情報閲覧端末と限定し,
利用者に情報閲覧端末を配付する際には,利用者が医師かどうかを確認する.よって,復元 した医療データの閲覧できる環境・人間を制限できている.
3.5 部分復元可能な秘密分散システムの問題と不正復元を防ぐ要件の定義
情報源から事前情報としてシェアストレージ群の情報(災害)と復元スクリプトを入手し ていなければ,シェアを入手し復元することができない.また,シェアストレージは自身以 外のシェアストレージの情報を知らないため,シェアストレージ群上では医療データの復 元はできない.よって,医療データを活用する以外の場所での医療データの復元を防いで いる.
紐付け情報の作成を情報源に限定する.さらに,シェアストレージ群がシェアを配付する ときは,情報源が作成した紐付けスクリプトを用いてシェアを結合してから配付する.その ため,結合されていない情報を配付されたシェアからは求めることができず,第三者が紐付 け情報を作成したとしても意味をなさない.よって,紐付け情報の作成を制限している.
情報源が復元PCに配付するシェアストレージ群の情報を保持していなければシェアスト レージ群にアクセスすることができない.よって,シェアを保管しているストレージへのア クセスを制限している.
よって提案システムは要件をすべて満たす.