JP5454262B2 - プライバシー保護装置、プライバシー保護方法、プライバシー保護プログラム、及びライフログ管理システム - Google Patents

プライバシー保護装置、プライバシー保護方法、プライバシー保護プログラム、及びライフログ管理システム Download PDF

Info

Publication number
JP5454262B2
JP5454262B2 JP2010062455A JP2010062455A JP5454262B2 JP 5454262 B2 JP5454262 B2 JP 5454262B2 JP 2010062455 A JP2010062455 A JP 2010062455A JP 2010062455 A JP2010062455 A JP 2010062455A JP 5454262 B2 JP5454262 B2 JP 5454262B2
Authority
JP
Japan
Prior art keywords
notification
life log
servicer
attribute
notification request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010062455A
Other languages
English (en)
Other versions
JP2011197886A (ja
Inventor
和雄 佐々木
茂紀 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2010062455A priority Critical patent/JP5454262B2/ja
Priority to US13/047,394 priority patent/US8645392B2/en
Publication of JP2011197886A publication Critical patent/JP2011197886A/ja
Application granted granted Critical
Publication of JP5454262B2 publication Critical patent/JP5454262B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Description

本発明は、個人情報の提供におけるプライバシー保護技術に関する。
近年、GPS等の各種センサーを内蔵した携帯電話の普及により、ユーザの位置情報や購買履歴等の日々の行動履歴(ライフログ)をリアルタイムにサーバ側で収集することが可能となってきている。また、これらのサーバ側で収集した情報を利用することで、ユーザの位置や嗜好に基づいてお勧め情報をユーザに配信するレコメンドサービス等が実現されつつある。
一方、サーバ側で収集したこれらライフログ情報をサービサに提供する上で、提供した情報から個人が特定されないようにプライバシーを保護することが求められている。これに対して、サービサから個人情報取得要求(位置情報等の要求)を受けた際に、その属性値を持っているユーザが少なくともK人以上いる場合(K−匿名性を満たす場合)のみ所望の情報を提供することで、人数が少ないことによるプライバシーリスクを解決する手法が提案されている(例えば、特許文献1参照)。
特開2005−234866号公報
しかしながら、上記した手法は、サービサ側がライフログ管理サーバに対して、検索要求を行ったとき、K−匿名性を満たしている場合に所望の情報を受け取る方法であるため、サービサが位置情報のように動的に変化する情報を基にタイムリーな推薦を行おうとする場合は、一定間隔で検索を行う等の処理が必要である。検索の間隔を広げるとタイムリーな推薦が行えず、一方で、検索の間隔を狭めると処理負荷が増大するという問題がある。
これに対して、検索の条件を事前にサーバに登録しておき、動的に変化する情報が登録した条件に一致した場合にのみ、サーバからサービサにライフログを通知する(Subscribe/Notifyモデル)方法が考えられる。本モデルでは、上記K−匿名性の保障を行う場合、K人以上いることの判断をいつ行うかによって下記の問題が発生する。
まず、通知条件を登録する際に判定する場合(Subscribe時)、位置情報等の頻繁に変化する属性を条件設定(例:現在位置が品川駅の場合等)する場合は、たまたまそのときにその条件を満たしている人数が少なかった場合に登録自体ができなくなる。
また、通知条件が一致して、実際にサービサにライフログを通知する場合(Notify時)、Subscribe時に条件を満たすユーザ数がK人未満で、かつ、指定した条件の属性がほとんど頻繁に変化しない属性の場合(例:性別や住所等)は、半永久的にNotifyがサービサに通知されなくなるため、サービサ側は、無意味な条件を設定していることが分からない。
そこで、本発明では、Subscribe/NotifyモデルにおけるK−匿名性保護を実現することを目的とする。
上記の目的を達成するために、以下に開示するプライバシー保護装置は、ユーザの情報を収集してライフログとして蓄積し、通知依頼の登録をサービサから受け付け、登録を受け付けた通知依頼についての通知条件を満たすユーザのライフログをサービサに通知するライフログ管理システムにおけるプライバシー保護装置であって、ユーザのライフログが蓄積されるのに応じて、当該ライフログを構成する各属性の更新頻度を算出して記録する属性更新頻度管理部と、サービサのサービス有効期間と予め定められた限界人数に基づいて、変更頻度の閾値を算出し、前記属性更新頻度管理部が記録する更新頻度が、算出された変更頻度の閾値以下である属性を静的属性として抽出する静的属性抽出部と、前記静的属性抽出部が抽出した静的属性について、通知依頼についての通知条件を満たすユーザ数を抽出し、抽出されたユーザ数が前記限界人数を超えているときに、通知依頼の登録をサービサから受け付ける通知依頼受付部とを備える。
上記の構成によれば、Subscribe/NotifyモデルにおけるK−匿名性保護を実現することができる。
本発明の実施形態1に係るライフログ管理システムと当該システムにおけるプライバシー保護装置の構成の一例を示すブロック図 本発明の実施形態1におけるSubscribe時の処理の一例を示すフロー図 ライフログの一例を示す図 通知依頼登録DBの一例を示す図 属性更新頻度DBの一例を示す図 Subscribe要求の一例を示す図 本発明の実施形態1におけるユーザのライフログ更新時の処理の一例を示すフロー図 サービサに通知される通知情報の一例を示す図 本発明の実施形態1におけるUnsubscribe時の処理の一例を示すフロー図 本発明の実施形態2に係るライフログ管理システムと当該システムにおけるプライバシー保護装置の構成の一例を示すブロック図 本発明の実施形態2におけるSubscribe時の処理の一例を示すフロー図 通知依頼登録履歴DBの一例を示す図 本発明の実施形態2におけるユーザのライフログ更新時の処理の一例を示すフロー図 本発明の実施形態2におけるUnsubscribe時の処理の一例を示すフロー図
本発明の実施形態について、図面を用いて詳細に説明する。
[実施形態1]
図1は、本発明の実施形態1に係るライフログ管理システム1の構成を示すブロック図である。ライフログ管理システム1には、本発明のプライバシー保護装置2が搭載されている。本システムは、ユーザの情報を収集してライフログとしてユーザライフログDB300に蓄積し、通知依頼の登録をサービサから受け付け、登録を受け付けた通知依頼についての通知条件を満たすユーザのライフログをユーザライフログDB300から抽出してサービサに通知する。ユーザライフログDB300に記録されるライフログは、ユーザの行動履歴や性質、特徴等を表すデータであり、少なくとも1つの属性の情報を含む。ライフログは、例えば、図3に示すように、ユーザID、更新時刻、性別、住所、趣味、現在地を含むデータである。
図1において、ライフログ管理システム1は、通知依頼受付部110、属性更新頻度管理部120、静的属性抽出部130、プライバシー保護装置、匿名性判定部140、通知依頼登録DB150、情報登録部160、通知条件判定部170、通知保留データ管理部180、通知部190、ユーザライフログDB300を備える。このうち、本実施例では、プライバシー保護装置2は、通知依頼受付部110、属性更新頻度管理部120、及び静的属性抽出部130を備えるものとする。
なお、ライフログ管理システム1およびプライバシー保護装置2の構成は、図1に示す例に限られない。例えば、プライバシー保護装置2が、匿名性判定部140等、その他の機能を含む構成であってもよい。接続された2台のコンピュータに、プライバシー保護装置2と、ライフログ管理システム1のその他の機能がそれぞれ設けられる構成であってもよい。また、プライバシー保護装置2とライフログ管理システム1の機能は、複数のコンピュータに分散して構成されてもよい。
通知依頼受付部110は、通知依頼登録(以下、Subscribeと称する)をサービサから受け付ける。例えば、通知依頼受付部110は、ユーザのライフログがサービサに通知されるときに、ユーザのライフログの各属性が満たすべき通知条件、通知先、及びサービサのサービス有効期間を含むSubscribeをサービサから受け付けることができる。なお、通知依頼受付部110は、後述する匿名性判定部140が、静的属性について、通知条件を満たすユーザ数が限界人数を超えると判定したとき、通知依頼登録DB150にSubscribeの登録を行う。Subscribeの登録は、例えば、図4に示すように、通知依頼登録DB150に、SubID、登録時刻、通知条件、及び通知先URLを含むデータが登録されることによって行われる。
属性更新頻度管理部120は、ユーザのライフログの更新に基づいて、当該ライフログを構成する各属性の更新頻度を算出して記録する。例えば、属性更新頻度管理部120は、属性更新頻度DB(図示せず)に、図5に示すように、属性と更新頻度(例えば、1日あたりの更新人数)とを関連付けて記録する。
静的属性抽出部130は、サービサのサービス有効期間と予め定められた限界人数に基づいて、変更頻度の閾値を算出し、属性更新頻度管理部120が管理する更新頻度が、算出された変更頻度の閾値以下である属性を静的属性として抽出する。
例えば、静的属性抽出部130は、予め定められた限界人数をサービサのサービス有効期間で割って算出された値を変更頻度の閾値とする。属性更新頻度管理部120が管理する更新頻度が、算出された変更頻度の閾値以下である属性を静的属性として抽出することができる。
匿名性判定部140は、静的属性抽出部130が抽出した静的属性について、登録を受け付けた通知依頼についての通知条件を満たすユーザ数を抽出し、抽出されたユーザ数が限界人数を超えていることを判定する。これによって、通知条件に従ってサービサへ通知されるべき情報が、匿名性を満足する可能性があるか否か判定することができる。
例えば、匿名性判定部140は、静的属性抽出部130が抽出した静的属性について、サービサからのSubscribeの通知条件を満たすユーザ数を抽出する。抽出されたユーザ数が限界人数を超えていると判定したときに、匿名性の満足の可能性があることを判定できる。
情報登録部160は、ユーザの通信機器からライフログの更新登録を受け付ける。ユーザの通信機器には、例えば、携帯電話、パソコン、PDA等が用いられる。ユーザは、情報登録部160を介して、ライフログを新規に追加する。
通知条件判定部170は、ユーザのライフログが新規に追加された場合に、追加されたユーザのライフログが、登録を受け付けた通知依頼についての通知条件を満たすかどうかを判定し、通知条件を満たすと判定された場合、当該通知条件を満たす他のユーザを抽出し、抽出されたユーザ数が限界人数に達していない場合に、サービサへのライフログに関するデータの通知を保留して、保留したライフログを通知保留データ管理部180に登録する。
通知条件判定部170は、ユーザのライフログが新規に追加された場合に、追加されたユーザのライフログが、登録を受け付けた通知依頼についての通知条件を満たすかどうかを判定し、通知条件を満たすと判定された場合、当該通知条件を満たす他のユーザを抽出し、抽出されたユーザ数が限界人数に達している場合に、通知部190を介してライフログに関するデータをサービサに通知する。
なお、通知条件判定部170は、上記した2つの処理のうち、少なくとも一方の処理を行えばよい。
通知保留データ管理部180は、サービサへの通知が保留されたライフログに関するデータを格納する。保留されたライフログに関するデータは、通知条件判定部170によって通知条件を満たすユーザ数が限界人数に達したと判断されると、通知部190によってサービサへ通知される。
通知部190は、通知条件判定部170の処理に従って、サービサへのライフログに関するデータの通知(Notify)を行う。なお、本実施形態では、サービサへ通知する情報は、ライフログに限られない。ライフログの一部や、ライフログを加工したデータを通知することもできるし、その他のユーザに関連する情報をさらに通知することもできる。
以下、本発明の実施形態1におけるSubscribe時の処理について、図2のフロー図に従って説明する。なお、本実施形態1では、サービスの有効期間をサービサ側がSubscribe時に指定する構成で説明する。
まず、通知依頼受付部110は、Subscribeを受け付ける。ここでは、通知依頼受付部110は、例えば、図6に示すように、サービサから、「通知条件:性別=女性&住所=大久保&位置=三宮」とともに「通知先URL:http://hoge.com/A」とサービス有効期間「7日」を示すSubscribeを受け付けたとする(ステップS201→S202)。
次に、静的属性抽出部130は、有効期間7日から1日あたりの変更頻度の閾値を算出する。例えば、静的属性抽出部130は、限界人数Kが100人の場合(本実施形態では、限界人数を100人とする)、100/7=33人が変更頻度の閾値となる(ステップS203)。
静的属性抽出部120は、条件指定された属性の中(性別、住所、位置)で、上記閾値(33人)以下の更新頻度の属性を更新頻度管理部120から抽出する。例えば、図5に示す例では、静的属性として性別、住所を抽出したとする(ステップS204)。
次に、匿名性判定部140は、静的属性の通知条件である、「性別=女性&住所=大久保」を受け取る。匿名性判定部140は、ライフログを参照して、静的属性の通知条件を満たす他のユーザを検索し、ユーザの人数を取得する(ステップS205)。
次に、匿名性判定部140は、取得できた人数が限界人数100人を超えているかどうかを判定する(ステップS206)。
ステップS206において、超えていると判定された場合、通知依頼受付部110は、Subscribe要求を受理して、SubIDを生成し、通知依頼登録DB150にSubscribe情報と共にSubIDを登録する(ステップS207)。そして、通知依頼受付部110は、サービサにSubIDを返却する(ステップS208)。一方、ステップS205において、超えてないと判定された場合は、通知依頼受付部110は、サービサに登録エラーを返却する(ステップS206→S209)。
これにより、静的属性を用いて判断することにより、Subscribe時に、位置情報等の頻繁に変化する属性を条件設定する場合でも、登録自体ができなくなるということを回避できる。
以下、本発明の実施形態1におけるユーザのライフログ更新時の処理について、図7のフロー図に従って説明する。
まず、ユーザの携帯端末から属性更新(ユーザID=UserA&現在地=三宮)の要求を受け付けたとする(ステップS701→S702)。
次に、情報登録部160は、該当ユーザ(UserA)のライフログに現在時刻と現在地を登録する(ステップS703)。
情報登録部160は、属性更新頻度管理部120に属性更新通知(現在地属性が変更)を行う。属性更新頻度管理部120は、更新された属性の更新頻度を更新する(ステップS704)。
次に、情報登録部160は、通知条件判定部170に通知判定依頼を行う。通知条件判定部150は、通知依頼登録DB150からSubscribe情報として、Subscriptionリストを取得する(ステップS705)。Subscriptionリストは、例えば、図4に示すように、各Subscribeをリスト化したものである。
次に、通知条件判定部170は、UserAのライフログと通知条件が一致しているSubscription(ここでは、SubID:001−223、通知条件:「ユーザID=UserA&現在地=三宮」)を取り出したとする(ステップS706)。
次に、通知条件判定部170は、ライフログを参照して、通知条件に一致したSubscriptionの全属性の通知条件を満たす他のユーザを検索し、ユーザの人数を取得する(ステップS707)。
次に、通知条件判定部170は、SubID001−223の通知条件がK−匿名性を満足しているかどうかを判定するため、匿名性判定部140に依頼する。匿名性判定部140は、通知条件に一致したSubscriptionの全属性の通知条件を満たすユーザの人数が限界人数100人を超えているか否かを判定することによって、K−匿名性を満足しているか否かを判定する(ステップS708)。
ステップS708において、K−匿名性を満足していない場合(限界人数100人を超えていない場合)、匿名性判定部140は、SubIDをキーにして、通知保留データ管理部180に通知情報を登録する(ステップS709)。
一方、ステップS708において、K−匿名性を満足している場合(限界人数100人を超えている場合)、匿名性判定部140は、通知保留データ管理部180から保留中のSubID001−223に関する通知情報を取り出し、通知部190に通知処理を依頼する(Notify)。
通知部190は、この通知処理の依頼に基づいて、該当するサービス(http://hoge.com/A)に対して、通知情報を送信する(ステップS708→S710)。例えば、図8に示すように、SubID=001−223、ユーザID=UserA、通知条件:性別=女性&住所=大久保&位置=三宮が通知情報としてサービサに提供される。
これにより、Subscribe時に、条件を満たすユーザ数がK人を超えているときに通知依頼を登録することにより、指定した条件の属性がほとんど頻繁に変化しない属性の場合でも、半永久的にNotifyがサービサに通知されなくなるということを回避できる。
なお、通知依頼削除(Unsubscribe)時は、図9のフロー図に示すように、通知依頼受付部110は、Unsubscribe依頼を受付け(ステップS901→S902)、該当するSubIDに対応するSubscribe情報を通知依頼登録DBから削除する(ステップS903)。
[実施形態2]
本実施形態2では、サービスの有効期間をサービサが指定するのではなく、サービサの通知依頼登録履歴から自動的に算出する例を示している。本実施形態2では、サービサがUnsubscribeする際に、通知依頼登録DB150から、必要な情報を取得し、Subscribeの期間を算出して、通知依頼登録履歴DB210に記録しておき、次回、同じサービサからSubscribeを受け付けた場合に、過去のSubscribeの平均継続時間を算出することで、サービサの有効期間を求めている。なお、本実施例では、サービサの一意性を、通知URLによって行っているが、明示的にサービスを識別するIDをサービサIDとして利用してもよい。
図10は、本発明の実施形態2に係るライフログ管理システム1の構成を示すブロック図である。プライバシー保護装置2は、実施形態1の構成に、更に、サービス有効期間判定部200、及び通知依頼登録履歴DB210を備える。なお、実施形態1と同一構成については、同一の符号を付す。
サービサの過去の通知依頼の登録履歴を保持する通知依頼履歴データベース(通知依頼登録履歴DB210)と、新規に通知依頼を登録するサービサについて、通知依頼履歴データベースから対応するサービサの過去の通知依頼の登録履歴を抽出し、当該通知依頼の登録履歴の平均継続時間を算出することによって、当該サービサのサービスの有効期間を算出するサービス有効期間判定部200を更に備える。
通知依頼登録履歴DB210では、例えば、図12に示すように、サービスID、SubID、通知条件、サービスの開始日時、サービスの終了日時、及びサービスの期間を含むデータとして登録される。
サービス有効期間判定部200は、例えば、サービスIDをキーにして、通知依頼登録履歴DB210から該当するSubscriptionを取得し、取得できたSubscriptionの数とそれらのサービスの期間から平均継続時間を算出して、サービス有効期間とし、算出したサービス有効期間を有効期間管理テーブル(図示せず)に記録することができる。
例えば、サービスID(http://hoge.com/A)の通知依頼登録履歴を参照すると、SubID001−33のサービスの期間が9日、SubID001−34のサービスの期間が4日、SubID001−35のサービスの期間が8日であることから、(9+4+8)/3=7と算出され、サービスID(http://hoge.com/A)のサービス有効期間は、7日となる。また、サービスID(http://taro.com/B)の通知依頼登録履歴を参照すると、SubID002−11のサービスの期間が181日、SubID002−55のサービスの期間が182日、SubID002−22のサービスの期間が179日であることから、(181+182+179)/3≒180と算出され、サービスID(http://taro.com/B)のサービス有効期間は、180日となる。
以下、本発明の実施形態2におけるSubscribe時の処理について、図11のフロー図に従って説明する。
まず、通知依頼受付部110は、Subscribeを受け付ける。ここでは、通知依頼受付部110は、例えば、実施形態1と同様、サービサから、「通知条件:性別=女性&住所=大久保&位置=三宮」とともに「通知先URL:http://hoge.com/A」を示すSubscribeを受け付けたとする(ステップS1101→S1102)。
次に、サービス有効期間判定部200は、通知先URLであるサービスIDをキーにして、通知依頼登録履歴DB210から該当するSubscriptionを取得し、取得できたSubscriptionの数とそれらのサービスの期間から平均継続時間を算出して、サービス有効期間とする(ステップS1103)。ここでは、通知先URL(http://hoge.com/A)の通知依頼登録履歴を参照して、SubID001−33(サービスの期間が9日)、SubID001−34(サービスの期間が4日)、SubID001−35(サービスの期間が8日)から、(9+4+8)/3=7と算出され、通知先URL(http://hoge.com/A)のサービス有効期間を7日とする。
次に、静的属性抽出部130は、算出されたサービス有効期間7日から1日あたりの変更頻度の閾値を算出する(ステップS1104)。ここでは、静的属性抽出部130は、限界人数Kが100人の場合(実施形態1と同様、限界人数を100人とする)、100/7=33人が変更頻度の閾値とする。静的属性抽出部120は、条件指定された属性の中(性別、住所、位置)で、上記閾値(33人)以下の更新頻度の属性を更新頻度管理部120から抽出し、静的属性として性別、住所を抽出したとする(ステップS1105)。
次に、匿名性判定部140は、静的属性の通知条件である、「性別=女性&住所=大久保」を受け取る。匿名性判定部140は、ライフログを参照して、静的属性の通知条件を満たす他のユーザを検索し、ユーザの人数を取得する(ステップS1106)。
次に、匿名性判定部140は、取得できた人数が限界人数100人を超えているかどうかを判定する(ステップS1107)。
ステップS1107において、越えていると判定された場合、通知依頼受付部110は、Subscribe要求を受理して、SubIDを生成し、通知依頼登録DB150にSubscribe情報と共にSubIDを登録する(ステップS1108)。そして、通知依頼受付部110は、サービサにSubIDを返却する(ステップS1109)。一方、ステップS1107において、超えてないと判定された場合は、通知依頼受付部110は、サービサに登録エラーを返却する(ステップS1107→S1110)。
以下、本発明の実施形態2におけるユーザのライフログ更新時の処理について、図13のフロー図に従って説明する。
まず、ユーザの携帯端末の情報登録部160が属性更新(ユーザID=UserA&現在地=三宮)の要求を受け付けたとする(ステップS1301→S1302)。
次に、情報登録部160は、該当ユーザ(UserA)のライフログに現在時刻と現在地を登録する(ステップS1303)。
情報登録部160は、属性更新頻度管理部120に属性更新通知(現在地属性が変更)を行う。属性更新頻度管理部120は、更新された属性の更新頻度を更新する(ステップS1304)。
次に、情報登録部160は、通知条件判定部170に通知判定依頼を行う。通知条件判定部150は、通知依頼登録DBからSubscribe情報として、Subscriptionリストを取得する(ステップS1305)。
次に、通知条件判定部170は、UserAのライフログと通知条件が一致しているSubscription(ここでは、SubID:001−223、通知条件:「ユーザID=UserA&現在地=三宮」)を取り出す(ステップS1306)。
次に、通知条件判定部170は、ライフログを参照して、通知条件に一致したSubscriptionの全属性の通知条件を満たす他のユーザを検索し、ユーザの人数を取得する(ステップS1307)。
次に、通知条件判定部170は、SubID001−223の通知条件がK-匿名性を満足しているかどうかを判定するため、匿名性判定部140に依頼する。匿名性判定部140は、通知条件に一致したSubscriptionの全属性の通知条件を満たすユーザの人数が限界人数100人を超えているか否かを判定することによって、K−匿名性を満足しているか否かを判定する(ステップS1308)。
ステップS1308において、K−匿名性を満足していない場合(限界人数100人を超えていない場合)、匿名性判定部140は、SubIDをキーにして、通知保留データ管理部180に通知情報を登録する(ステップS1309)。
一方、ステップS1308において、K−匿名性を満足している場合(限界人数100人を超えている場合)、匿名性判定部140は、通知保留データ管理部180から保留中のSubID001−223に関する通知情報を取り出し、通知部190に通知処理を依頼する。
通知部190は、この通知処理の依頼に基づいて、該当するサービス(http://hoge.com/A)に対して、通知情報を送信する(ステップS1308→S1310)。例えば、図8に示すように、SubID=001−223、ユーザID=UserA、通知条件:性別=女性&住所=大久保&位置=三宮が通知情報としてサービサに提供される。
なお、通知依頼削除(Unsubscribe)時は、図14のフロー図に示すように、通知依頼受付部110は、Unsubscribe依頼を受付け(ステップS1401→S1402)、該当するSubIDに対応するSubscribe情報を通知依頼登録DB150から取得する(ステップS1403)。そして、通知依頼受付部110は、取得したSubscribe情報の登録時刻と現在の登録削除時刻から登録期間を算出し、通知URLをキーにして、通知依頼登録履歴DB210に、Subscribe情報を登録する(ステップS1404)。
以上説明したように、本実施形態によれば、Subscribe/NotifyモデルにおけるK−匿名性保護を実現することができる。また、動的に変化するユーザ情報に対してユーザの匿名性を確保しつつ、サービサは、Subscribe/Notify機構を利用できるため、ポーリング操作が不要となり、サービサ側のリソース消費削減が可能となる。更に、サービサは、Subscribe登録時点で条件がK−匿名性を満足する可能性が少ないことを知ることができるため、条件指定をチューニングすることが可能となり、サービサから見た利便性が向上する。
なお、ライフログのデータを時系列で蓄積するのではなく、現在の最新情報だけをプレゼンスデータとして保持してもよい。例えば、ユーザ端末から属性更新通知を受け取った場合に、ライフログにデータを追加する代わりに、該当する項目を上書きすることで実現できる。これにより、ライフログのデータ量の肥大化を防ぐことが可能となる。
上記実施形態で説明した構成は、単に具体例を示すものであり、本発明の技術的範囲を制限するものではない。本発明の効果を奏する範囲において、任意の構成を採用することが可能である。上記実施形態では、システムに本発明を適用した例を説明したが、情報処理装置として実現されてもよい。
なお、本発明の実施形態は、上述した実施形態を実現するソフトウェアのプログラム(実施の形態では図に示すフロー図に対応したプログラム)が装置に供給され、その装置のコンピュータが、供給されたプログラムを読出して、実行することによっても達成せれる場合を含む。したがって、本実施形態で説明した機能処理をコンピュータで実現するために、コンピュータにインストールされるプログラム自体も本発明の一実施形態である。つまり、本発明の機能処理を実現させるためのプログラムも、実施形態の一側面に含まれる。また、本発明の機能処理を実現させるためのプログラムを記録した媒体も、実施形態の一側面に含まれる。
1 ライフログ管理システム
2 プライバシー保護装置
110 通知依頼登録受付部
120 属性更新頻度管理部
130 静的属性抽出部
140 匿名性判定部
150 通知依頼登録DB
160 情報登録部
170 通知条件判定部
180 通知保留データ管理部
190 通知部
200 サービス有効期間判定部
210 通知依頼登録履歴DB
300 ユーザライフログDB

Claims (7)

  1. ユーザの情報を収集してライフログとして蓄積し、通知依頼の登録をサービサから受け付け、登録を受け付けた通知依頼についての通知条件を満たすユーザのライフログに関するデータをサービサに通知するライフログ管理システムにおけるプライバシー保護装置であって、
    ユーザのライフログが蓄積されるのに応じて、当該ライフログを構成する各属性の更新頻度を算出して記録する属性更新頻度管理部と、
    サービサのサービス有効期間と予め定められた限界人数に基づいて、変更頻度の閾値を算出し、前記属性更新頻度管理部が記録する更新頻度が、算出された変更頻度の閾値以下である属性を静的属性として抽出する静的属性抽出部と、
    前記静的属性抽出部が抽出した静的属性について、通知依頼についての通知条件を満たすユーザ数を抽出し、抽出されたユーザ数が前記限界人数を超えているときに、通知依頼の登録をサービサから受け付ける通知依頼受付部とを備える、プライバシー保護装置。
  2. ユーザのライフログが新規に追加された場合に、追加されたユーザのライフログが、登録を受け付けた通知依頼についての通知条件を満たすかどうかを判定し、当該通知条件を満たす場合、当該通知条件を満たす他のユーザを抽出し、抽出されたユーザ数が前記限界人数に達していない場合に、サービサへの当該通知条件を満たすライフログに関するデータの通知を保留する通知判定部を更に備える、請求項1に記載のプライバシー保護装置。
  3. ユーザのライフログが新規に追加された場合に、追加されたユーザのライフログが、登録を受け付けた通知依頼についての通知条件を満たすかどうかを判定し、当該通知条件を満たす場合、当該通知条件を満たす他のユーザを抽出し、抽出されたユーザ数が前記限界人数に達している場合に、当該通知条件を満たすライフログに関するデータをサービサに通知する通知判定部を更に備える、請求項1に記載のプライバシー保護装置。
  4. サービサの過去の通知依頼の登録履歴を保持する通知依頼履歴データベースと、
    新規に通知依頼を登録するサービサについて、前記通知依頼履歴データベースから対応するサービサの過去の通知依頼の登録履歴を抽出し、当該通知依頼の登録の平均継続時間を算出することによって、当該サービサのサービスの有効期間を算出するサービス有効期間判定部を更に備える、請求項1〜3のいずれかに記載のプライバシー保護装置。
  5. ユーザの情報を収集してライフログとして蓄積し、通知依頼の登録をサービサから受け付け、登録を受け付けた通知依頼についての通知条件を満たすユーザのライフログに関するデータをサービサに通知するライフログ管理システムであって、
    ユーザのライフログが蓄積されるのに応じて、当該ライフログを構成する各属性の更新頻度を算出して記録する属性更新頻度管理部と、
    サービサのサービス有効期間と予め定められた限界人数に基づいて、変更頻度の閾値を算出し、前記属性更新頻度管理部が記録する更新頻度が、算出された変更頻度の閾値以下である属性を静的属性として抽出する静的属性抽出部と、
    前記静的属性抽出部が抽出した静的属性について、通知依頼についての通知条件を満たすユーザ数を抽出し、抽出されたユーザ数が前記限界人数を超えているときに、通知依頼の登録をサービサから受け付ける通知依頼受付部と、
    ユーザのライフログが新規に追加された場合に、追加されたユーザのライフログが、登録を受け付けた通知依頼についての通知条件を満たすかどうかを判定し、当該通知条件を満たす場合、当該通知依頼についての通知条件を満たす他のユーザを抽出し、抽出されたユーザ数が前記限界人数に達している場合に、当該通知条件を満たすライフログに関するデータをサービサに通知する通知判定部とを備える、ライフログ管理システム。
  6. ユーザの情報を収集してライフログとして蓄積し、通知依頼の登録をサービサから受け付け、登録を受け付けた通知依頼についての通知条件を満たすユーザのライフログに関するデータをサービサに提供するライフログ管理システムにおけるプライバシー保護方法であって、
    ユーザのライフログが蓄積されるのに応じて、当該ライフログを構成する各属性の更新頻度を算出して記録する属性更新頻度管理ステップと、
    サービサのサービス有効期間と予め定められた限界人数に基づいて、変更頻度の閾値を算出し、前記属性更新頻度管理ステップで記録した更新頻度が、算出された変更頻度の閾値以下である属性を静的属性として抽出する静的属性抽出ステップと、
    前記静的属性抽出ステップで抽出した静的属性について、通知依頼についての通知条件を満たすユーザ数を抽出し、抽出されたユーザ数が前記限界人数を超えていると判定したときに、通知依頼の登録をサービサから受け付ける通知依頼受付ステップとを備える、プライバシー保護方法。
  7. ユーザの情報を収集してライフログとして蓄積し、通知依頼の登録をサービサから受け付け、登録を受け付けた通知依頼についての通知条件を満たすユーザのライフログに関するデータをサービサに提供するライフログ管理システムにおけるコンピュータが実行するプライバシー保護プログラムであって、
    前記コンピュータに、
    ユーザのライフログが蓄積されるのに応じて、当該ライフログを構成する各属性の更新頻度を算出して記録する属性更新頻度管理ステップと、
    サービサのサービス有効期間と予め定められた限界人数に基づいて、変更頻度の閾値を算出し、前記属性更新頻度管理ステップで記録した更新頻度が、算出された変更頻度の閾値以下である属性を静的属性として抽出する静的属性抽出ステップと、
    前記静的属性抽出ステップで抽出した静的属性について、通知依頼についての通知条件を満たすユーザ数を抽出し、抽出されたユーザ数が前記限界人数を超えていると判定したときに、通知依頼の登録をサービサから受け付ける通知依頼受付ステップとを実行させる、プライバシー保護プログラム。
JP2010062455A 2010-03-18 2010-03-18 プライバシー保護装置、プライバシー保護方法、プライバシー保護プログラム、及びライフログ管理システム Expired - Fee Related JP5454262B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010062455A JP5454262B2 (ja) 2010-03-18 2010-03-18 プライバシー保護装置、プライバシー保護方法、プライバシー保護プログラム、及びライフログ管理システム
US13/047,394 US8645392B2 (en) 2010-03-18 2011-03-14 Privacy protection device, privacy protection method, and life log management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010062455A JP5454262B2 (ja) 2010-03-18 2010-03-18 プライバシー保護装置、プライバシー保護方法、プライバシー保護プログラム、及びライフログ管理システム

Publications (2)

Publication Number Publication Date
JP2011197886A JP2011197886A (ja) 2011-10-06
JP5454262B2 true JP5454262B2 (ja) 2014-03-26

Family

ID=44648046

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010062455A Expired - Fee Related JP5454262B2 (ja) 2010-03-18 2010-03-18 プライバシー保護装置、プライバシー保護方法、プライバシー保護プログラム、及びライフログ管理システム

Country Status (2)

Country Link
US (1) US8645392B2 (ja)
JP (1) JP5454262B2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5359401B2 (ja) * 2009-03-11 2013-12-04 富士通株式会社 プログラム、コンピュータ及び制御方法
WO2013047436A1 (ja) * 2011-09-26 2013-04-04 日本電気株式会社 情報処理システム、情報処理方法、情報処理装置と通信端末及びその制御方法と制御プログラム
JP5944268B2 (ja) * 2012-08-24 2016-07-05 Kddi株式会社 ユーザ非特定情報の提供記録を通知するユーザ情報管理装置、プログラム及び方法
JP6015777B2 (ja) * 2013-01-16 2016-10-26 富士通株式会社 秘匿化データ生成方法及び装置
US9344414B2 (en) * 2013-02-01 2016-05-17 Interman Corporation User similarity provision method
PL2866484T3 (pl) * 2013-10-24 2019-05-31 Telefonica Germany Gmbh & Co Ohg Sposób anonimizacji danych zebranych w sieci komunikacji mobilnej
JP6283519B2 (ja) * 2014-01-06 2018-02-21 富士通クラウドテクノロジーズ株式会社 制御装置、制御方法、及び制御プログラム
US20160150027A1 (en) * 2014-11-25 2016-05-26 Futurewei Technologies, Inc. Method Of Handling Notification Channel Disconnection
US11232466B2 (en) * 2015-01-29 2022-01-25 Affectomatics Ltd. Recommendation for experiences based on measurements of affective response that are backed by assurances
WO2021117183A1 (ja) * 2019-12-12 2021-06-17 富士通株式会社 匿名加工データ選択装置、匿名加工データ選択方法及びプログラム
CN111090815A (zh) * 2019-12-31 2020-05-01 恩亿科(北京)数据科技有限公司 一种标签的生成方法及装置
JP2022050219A (ja) * 2020-09-17 2022-03-30 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6571279B1 (en) * 1997-12-05 2003-05-27 Pinpoint Incorporated Location enhanced information delivery system
US6480850B1 (en) * 1998-10-02 2002-11-12 Ncr Corporation System and method for managing data privacy in a database management system including a dependently connected privacy data mart
US7603356B2 (en) * 2001-01-26 2009-10-13 Ascentive Llc System and method for network administration and local administration of privacy protection criteria
JP4417132B2 (ja) 2004-02-19 2010-02-17 日本電信電話株式会社 プライバシ情報管理サーバ及び方法並びにプログラム
US7945585B1 (en) * 2005-10-13 2011-05-17 Hewlett-Packard Development Company, L.P. Method and system for improving targeted data delivery
US7975150B1 (en) * 2006-06-28 2011-07-05 Hewlett-Packard Development Company, L.P. Method and system for protecting queryable data
US9135643B2 (en) * 2010-02-03 2015-09-15 Yahoo! Inc. System and method for targeting users for content delivery
US20110202551A1 (en) * 2010-02-16 2011-08-18 Lifeworx, Inc. Apparatuses, Methods And Systems For Assurance Of Reputation

Also Published As

Publication number Publication date
US20110231408A1 (en) 2011-09-22
JP2011197886A (ja) 2011-10-06
US8645392B2 (en) 2014-02-04

Similar Documents

Publication Publication Date Title
JP5454262B2 (ja) プライバシー保護装置、プライバシー保護方法、プライバシー保護プログラム、及びライフログ管理システム
US10462242B2 (en) Recommendations for shareable links to content items stored in an online content management service
KR101552417B1 (ko) 연락처 사진 제공 방법, 관리 플랫폼 및 사용자 단말기
US20170255761A1 (en) Monitored shareable links to content items stored in an online content management service
JP4861004B2 (ja) サービス推薦システム、及び、サービス推薦方法
JP6084123B2 (ja) サーバ装置、表示制御方法及びプログラム
CN107071080B (zh) 一种维护联系人信息的方法和系统
US20150134603A1 (en) Systems, methods, and computer program products for contact information
US20120124059A1 (en) Address book autofilter
WO2011067687A1 (en) Text messaging hot topics
JP2007219636A (ja) データ開示方法およびデータ開示装置
CN102395993A (zh) 在移动终端中提供人际网络管理服务的方法
US20150178378A1 (en) Adaptive System
US10992633B1 (en) Methods and systems for determining an unread message count
KR101606319B1 (ko) 데이터베이스를 이용한 푸시메시지 관리 방법
CN105706409B (zh) 用于增强用户对于服务的参与度的方法、设备及系统
KR101219529B1 (ko) 이벤트 정보 제공방법 및 그 시스템
JP2014197251A (ja) 電子チラシ配信装置、ポイント管理方法及びプログラム
JP6142713B2 (ja) 文書情報検索システム、文書情報検索装置及びプログラム
KR20100066088A (ko) 인맥정보 제공방법, 인맥정보 수신방법, 인맥정보 제공장치및 전자장치
JP2013238994A (ja) 通信端末、アプリケーション配信システム、アプリケーション実行方法、及びプログラム
KR101589539B1 (ko) 연락 리마인드 지원 시스템 및 방법
KR101662715B1 (ko) 블루투스를 이용한 휴대 단말 간의 정보 교환 방법
JP5735189B1 (ja) サーバ装置
KR102099400B1 (ko) 휴대 단말기에서 이미지를 표시하는 장치 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130108

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20130701

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130702

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131223

R150 Certificate of patent or registration of utility model

Ref document number: 5454262

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees