実証環境として、ToMMo(仙台市青葉区星陵町)、東芝ライフサイエンス解析センター(以下、LSA、仙台市青葉区南吉成)、東北大学病院(仙台市青葉区星陵町)の3拠点と、3拠点外に形成したクラウドに見立てたIPネットワーク上のサーバ(3式)を用いました。このうち、ToMMo -LSA間リンク、ToMMo -東北大学病院間リンクでは、東芝が開発した量子暗号通信装置およびOTP暗号通信機能により暗号通信を行います。量子暗号通信装置によって、量子力学で安全性が保証される暗号鍵共有を行い、共有された暗号鍵を使ったOTP暗号通信機能によって、解読が不可能な情報理論的安全性を持つ暗号通信を実現します。
東北大学病院とクラウドとの間およびクラウド上に用意した3つのサーバ間には、実験の都合上、量子暗号通信装置を用いず、あらかじめ拠点間で共有・保管した乱数データを量子暗号鍵とみなし、NICTが開発した高速OTP暗号通信機能による暗号通信を行います。3拠点およびクラウド上の3つのサーバはそれぞれ、新規に開発した「統合鍵管理システム」と、秘密分散機能を備えます。また、ToMMoの拠点には、「シェア制御システム」と、データの保管や参照をするための個別化ヘルスケアのアプリケーションが設置されます。「統合鍵管理システム」は、暗号通信機能への暗号鍵の提供と、秘密分散機能および認証システムへの乱数データの提供を統一的な手法で行います。「シェア制御システム」は、実証環境においてシェアを保管する場所を決定し、また各シェアの保管場所の情報を管理します。
4.実証の手順
(1)ゲノム解析データとして、ToMMoがゲノム解析を実施したCRAMデータフォーマット(ゲノムデータ向けのデータフォーマットのひとつ)のゲノム解析データ(16GB)を用います。また、該当ゲノム解析データのIDおよび認証データ(ハッシュデータ)を該当する個人が所有するマイナンバーカードに格納します。なお、本実証ではマイナンバーカードに見立てた個人認証用非接触ICカードとして、規格ISO/IEC 14443 type Aに準拠するカードを利用しました(以下、非接触ICカード)。
(2)ToMMoの拠点にて、(1)のCRAMデータフォーマットのゲノム解析データを、秘密分散機能により3つのシェア (Share A, Share B, Share C)に変換します。次に「シェア制御システム」により、該当のシェアを複数拠点へと分散保管します。シェア制御システムは、各拠点間リンクの量子暗号鍵の残量などを含むシステムの状況から、シェアを保管する拠点を決定します。ここでは、Share BがLSAへ、Share Cが東北大学病院へ、それぞれ量子暗号通信によって暗号化されて伝送されます。なお、シェア制御システムは、個人のIDと、該当するゲノム解析データのシェアのIDおよびその格納拠点の情報を関連付けて管理します。
(3)東北大学病院に格納されたシェア (Share C)をさらに、秘密分散によって3つのシェア(Share C1, Share C2, Share C3)へ分割し、これらをクラウド上の3サーバに分散保管します。東北大学病院 -クラウド間、クラウド上のサーバ間のシェア伝送は、高速OTP暗号によって暗号化されます。なお、クラウド上の3サーバにシェアを格納した後、東北大学病院におけるシェア(Share C)を削除します。このときシェア制御システムは、各シェアの格納場所情報を、クラウド上のサーバへと変更します。
(4)本人がToMMoで非接触ICカードを提示し、ゲノム解析データの利用を許諾すると、非接触ICカードに格納されているIDおよび認証情報に基づいて、認証システムにおいて認証され本人が特定されます。次に、シェア制御システムが参照され本人に対応する復元すべきシェアが特定されます。
(5)クラウド上で、2つのシェア(例えば Share C1とShare C2)が選択されShare Cを復元し、OTP暗号によって東北大学病院へ伝送されます。次にShare Cは、量子暗号通信によって東北大学病院からToMMoへ伝送されます。ToMMoでは、Share CとShare Aとから、原本データにあたるゲノム解析データが復元されます。非接触ICカードに格納されたハッシュデータを確認することで、本人のデータであることが確認された後、ゲノム解析データが利活用可能な状態になります。なお、LSAに格納されたシェア(Share B)はバックアップデータに相当し、例えば、遠隔の公的医療機関において保管されます。
