JP5735485B2 - 匿名化情報共有装置および匿名化情報共有方法 - Google Patents

匿名化情報共有装置および匿名化情報共有方法 Download PDF

Info

Publication number
JP5735485B2
JP5735485B2 JP2012503824A JP2012503824A JP5735485B2 JP 5735485 B2 JP5735485 B2 JP 5735485B2 JP 2012503824 A JP2012503824 A JP 2012503824A JP 2012503824 A JP2012503824 A JP 2012503824A JP 5735485 B2 JP5735485 B2 JP 5735485B2
Authority
JP
Japan
Prior art keywords
information
anonymized
anonymization
sharing
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012503824A
Other languages
English (en)
Other versions
JPWO2012017612A1 (ja
Inventor
江村 恒一
恒一 江村
誠也 宮崎
誠也 宮崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority to JP2012503824A priority Critical patent/JP5735485B2/ja
Publication of JPWO2012017612A1 publication Critical patent/JPWO2012017612A1/ja
Application granted granted Critical
Publication of JP5735485B2 publication Critical patent/JP5735485B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Description

本発明は、出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有装置および匿名化情報共有方法に関する。
携帯電話機からの呼び出し通報に対する警察等の迅速な対応を目的として、現在位置を特定する機能を携帯電話機に搭載することの法制化が進められている。また、これに伴い、全地球的測位システムの1つであるGPS(global positioning system)を搭載した携帯電話機の普及が進んでいる。一方で、第三世代携帯通信網により、携帯電話機からインターネットへの接続が容易となってきている。
このような技術背景により、近年、GPS機能を待ち受けアプリケーションとして常時起動しておくことを前提とした位置情報取得と、インターネットとを活用した、各種のサービスが登場している。例えば、位置情報が付加された一連の情報を、そのユーザの行動履歴として他者と共有するような、ライフストリーム(Life Stream)サービスやライフログ(Life Log)サービス(以下、「ライフストリームサービス」と総称する)は、その1つである。
ライフストリームサービスの場合、情報の受信側で、情報の提供者(出力元)を識別し直す必要がある。なぜなら、同一のユーザによって提供された複数の情報が、同一のユーザによって提供されたものであることを示す必要があるからである。一方で、プライバシー確保の観点から、共有される個々の情報の出力元の匿名化を行う必要がある。
したがって、このようなサービスでは、通常、ハンドルネーム等の個人情報以外の識別情報が、情報の出力元を特定するために用いられる。ここで、匿名化とは、個人を特定可能な情報(個人情報)が知られない状態にすることをいうものとする。また、出力元が匿名化された情報を「匿名化情報」というものとする。
一方で、健康管理や病気のモニタリングに活用することを目的とした各種のサービスやシステムに、ライフストリームサービスを適用することが、注目されている。このようなサービスおよびシステムとしては、生活習慣改善ASP(Application Service Provider)サービス、高齢者向け健康管理システム、活動量計や通信機能付血圧計が挙げられる。
例えば、受信者の治療記録である診療情報は、従来では、医療機関ごとに保管されていた。EMR(Electric Medical Record)等、受信者の治療記録である診療情報を電子化した電子カルテを、複数の医療機関がネットワーク上で共有する仕組みはあったが、大きな投資が必要であることから、このような仕組みは普及していない。
これに対して、健康増進や病気予防、治療等へ役立てることを目的に、個人が自身の身体情報、行動情報、診療情報、処方箋情報等を収集、記録、活用するPHR(Personal Health Record)の導入が期待されている。
PHRに上述のライフストリームサービスを適用することにより、医療機関は、医療機関毎に保管されるユーザの診療情報に加えて、身体情報や行動情報等を簡単に取得し、ユーザの生活習慣を把握することができる。更に、PHRに上述のライフストリームサービスを適用することにより、個人は、トレーニングでランニングした位置情報に加えて、健康管理情報を対応させて管理し、情報の一部を友人と共有したり公開したりすることができる。
ところが、情報の閲覧者は、自分の位置の周辺に関する情報を検索して閲覧し、身近に起きた事柄に関する他者の情報を見付けることができる。したがって、状況によっては、匿名化情報の位置情報等から、匿名化情報の出力元の匿名性が失われてしまう可能性がある。
例えば、あるユーザが、あるバス停で近所の住民と二人で並んでいた後に、ライフストリームサービスにおいてその時刻にそのバス停に居た旨の書き込み情報を発見したとする。この場合、ユーザは、その情報の書き込み主が、バス停に一緒に居た住民であることを特定することになる。
このような事態は、情報の出力元が、状況に応じて匿名化情報を修正または削除することにより、防ぐことが可能である。したがって、匿名化情報の出力元は、共有化された後でも自己の匿名化情報に関する処理を自由に行うことができ、実質的に匿名化情報を自己の管理下に置けることが望ましい。
そこで、特許文献1に記載の、出力元による匿名化情報の管理の継続を可能にする技術を、ライフストリームサービスに適用することが考えられる。
図1は、特許文献1記載の匿名化情報共有装置の構成を示すブロック図である。
図1に示すように、匿名化情報共有装置10は、匿名化情報の出力元を特定する個人ID番号を取得する個人ID記憶部11と、個人ID番号に対して一方向性関数を適用して匿名化番号を作成する匿名化番号作成部12とを有する。
匿名化情報共有装置10は、各匿名化情報と匿名化番号とを対応付けた対応表を管理している。匿名化情報共有装置10は、対応表破棄部13によって、この対応表を、必要に応じて破棄する。また、匿名化情報共有装置10は、個人IDを渡されて匿名化情報に関する所定の処理の実行を要求されたとき、匿名化番号作成部12においてその個人IDから匿名化番号を再作成する。そして、匿名化情報共有装置10は、再作成した匿名化番号に対応付けられた匿名化情報に対して、要求された処理を実行する。
これにより、匿名化情報共有装置10は、一旦共有化された匿名化情報に対し、匿名化情報の出力元および所有者以外に対しては匿名化情報の匿名性を保持したまま、出力元による管理を継続させることができる。
国際公開第2008/069011号パンフレット
特許文献1記載の技術は、病院のような権限が1箇所に集中した運用形態等、1つの装置で匿名化情報の保持および匿名化番号の管理を行うような集中管理型のネットワークにおいては有効である。
しかしながら、特許文献1記載の技術は、上述のような、twitter(登録商標)等の、不特定または特定多数が情報を投稿、閲覧するシステムや、特定端末間が直接通信するP2P(Peer to Peer)システム等の分散管理型のネットワークでは、匿名化情報管理の継続が困難であるという課題を有する。なぜなら、このようなネットワークでは、投稿等により一旦共有されてしまった匿名化情報(所有者が不特定である匿名化情報)を、削除する必要があるからである。
本発明の目的は、分散管理型のネットワークで共有される匿名化情報に対し、出力元による管理を継続することができる匿名化情報共有装置および匿名化情報共有方法を提供することである。
本発明の匿名化情報共有装置は、出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有装置であって、共有化対象情報毎に、前記共有化対象情報の一部または全部と処理パスワードとの組み合わせに対して第1の一方向性関数を適用して、認証IDを生成する認証ID生成部と、生成された前記認証IDを共有化対象情報に付加して、匿名化情報を生成する匿名化部と、生成された前記匿名化情報を出力して前記他の装置に保持させる情報共有部と、前記処理パスワードを含む処理要求を生成して前記他の装置へ送信し、前記他の装置に対して、前記他の装置が保持する匿名化情報の一部または全部と前記処理パスワードとの組み合わせに対して前記第1の一方向性関数を適用した結果と前記他の装置が保持する匿名化情報の認証IDとの一致性に基づき、前記他の装置に保持させた匿名化情報に対して、出力元にのみ許可される所定の処理の実行を要求する匿名化情報処理要求部とを有する。
本発明の匿名化情報共有装置は、出力元が匿名化された、共有化対象情報と認証IDとを含む匿名化情報を、他の装置との間で共有する匿名化情報共有装置であって、前記他の装置から出力された前記匿名化情報を保持する情報共有部と、前記他の装置から、処理パスワードを含む処理要求を受信したとき、前記情報共有部が保持する前記匿名化情報毎に、前記匿名化情報の共有化対象情報の一部または全部と前記処理パスワードとの組み合わせに対して第1の一方向性関数を適用した結果と、前記匿名化情報の認証IDとの一致性に基づき、前記匿名化情報に関する所定の処理を実行するか否かを判断する匿名化情報処理部とを有する。
本発明の匿名化情報共有方法は、出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有方法であって、共有化対象情報毎に、前記共有化対象情報の一部または全部と処理パスワードとの組み合わせに対して第1の一方向性関数を適用して、認証IDを生成するステップと、生成した前記認証IDを共有化対象情報に付加して、匿名化情報を生成するステップと、生成した前記匿名化情報を出力して前記他の装置に保持させるステップと、前記処理パスワードを含む処理要求を生成して前記他の装置へ送信し、前記他の装置に対して、前記他の装置が保持する匿名化情報の一部または全部と前記処理パスワードとの組み合わせに対して前記第1の一方向性関数を適用した結果と前記他の装置が保持する匿名化情報の認証IDとの一致性に基づき、前記他の装置に保持させた匿名化情報に対して、出力元にのみ許可される所定の処理の実行を要求するステップとを有する。
本発明によれば、匿名化情報の出力元のみが、匿名化された状態を保持しつつ、匿名化情報に対する処理権限を持つ処理要求であることを認証し、匿名化情報に関する所定の処理を、匿名化情報を保持する装置に対して実行させることができる。すなわち、本発明は、分散管理型のネットワークで共有される匿名化情報に対し、出力元による管理を継続することができる。
従来の匿名化情報共有装置の構成の一例を示すブロック図 本発明の実施の形態1に係る匿名化情報共有装置を含む匿名化情報共有システムの構成の一例を示すシステム構成図 本実施の形態に係る匿名化情報共有装置の構成を示すブロック図 本実施の形態1における処理の概要を模式的に示す図 本実施の形態1に係る匿名化情報共有装置の動作を示すフローチャート 本実施の形態1における匿名化情報出力処理を示すフローチャート 本実施の形態1における匿名化情報削除処理を示すフローチャート 本発明の実施の形態2に係る匿名化情報共有装置の構成を示すブロック図 本実施の形態2における個人属性情報の匿名化を模式的に示す図 本実施の形態2における処理の概要を模式的に示す図 本実施の形態2に係る匿名化情報共有装置の動作を示すフローチャート 本実施の形態2における匿名化情報出力処理を示すフローチャート 本実施の形態2におけるリスク監視処理を示すフローチャート 本実施の形態2における削除要求送信処理を示すフローチャート
以下、本発明の各実施の形態について、図面を参照して詳細に説明する。
(実施の形態1)
図2は、本発明の実施の形態1に係る匿名化情報共有装置を含む匿名化情報共有システムの構成の一例を示すシステム構成図である。
図2において、匿名化情報共有システム100は、通信ネットワーク200を介して互いに無線通信を行う、第1〜第jの匿名化情報共有装置300−1〜300−jを有する。第1〜第jの匿名化情報共有装置300−1〜300−jは、中央管理サーバ等を用いずに、互いの匿名化情報を送信し合って共有化する。すなわち、匿名化情報共有システム100は、分散管理型のネットワークにおいて、匿名化情報の共有を行うシステムである。
第1〜第jの匿名化情報共有装置300−1〜300−jは同一の構成を有する。したがって、以下、適宜、これらは、匿名化情報共有装置300と総称する。また、本実施の形態において、適宜、ある匿名化情報の出力元の匿名化情報共有装置300は、匿名化情報共有装置300sと表記し、その匿名化情報の出力先の匿名化情報共有装置300は、匿名化情報共有装置300rと表記する。
図3は、匿名化情報共有装置300の構成を示すブロック図である。ここでは、匿名化情報を送信(出力)する際に使用される機能部と、匿名化情報を受信(入力)する際に使用される機能部とを分けて図示する。
図3に示すように、匿名化情報の出力元である匿名化情報共有装置300sは、情報非共有部310、認証ID生成部320、匿名化部330、情報共有部340、および匿名化情報処理要求部350を有する。また、匿名化情報の出力先である匿名化情報共有装置300rは、上述の情報共有部340と、匿名化情報処理部360とを有する。
情報蓄積部310は、共有化の対象となるデータであって、データ本体に時刻情報および位置情報が付加されたデータ(共有化対象情報、以下「個人属性情報」という)を格納する。
時刻情報および位置情報は、例えば、GPS(global positioning system)信号から取得された、日本標準時および現在位置の緯度経度である。データ本体は、例えばユーザの入力テキスト、センサが観測する脈拍や血圧等の生体信号情報、あるいは、歩数や活動強度等の活動量情報等である。
なお、データ本体の情報フォーマットの一部または全部は、限定しないが、HL7(Health Level Seven)、Continua Allianceのガイドライン、DICOM(Digital Imaging and Communication)等で規定されたフォーマットとしても良い。また、データ本体は、これらのフォーマットで記述される情報の一部または全部を用いたものであっても良い。
HL7は、医療情報交換のための標準規約であり、患者管理、オーダ、照会、財務、検査報告、マスタファイル、情報管理、予約、患者紹介、患者ケア、ラボラトリオートメーション、アプリケーション管理、人事管理等の情報交換を取り扱うためのものである。
Continua Allianceは、予防的な健康管理(Health and Wellness)、慢性疾患管理(Disease Management)、高齢者の自立生活(Aging Independently)の3分野を中心に、システムの相互接続のためのガイドラインを策定し、実機器を用いた接続性検証やロゴ認証を行っている団体である。
DICOMは、米国放射線学会(ACR)と北米電子機器工業会(NEMA)が開発した医用画像のフォーマットと、それらの画像を扱う医用画像機器間の通信プロトコルとを定義した、標準規格である。すなわち、DICOMは、CT(Computed Tomography)やMRI(Magnetic Resonance Imaging)、CR(Computed Ragiography)等で撮影した医用画像を取り扱うためのものである。
また、データ本体は、Google HealthやMicrosoft Health Vaultといった健康情報記録サービスの情報そのものでも良い。また、データ本体は、健康情報記録サービスの情報へのリンク情報や、健康情報記録サービスのAPI(Application Program Interface)を介して得られる情報であっても良い。
認証ID生成部320は、個人属性情報ごとに、個人属性情報の一部または全部と、削除パスワードと、データIDとの組み合わせに対して、一方向性関数の1つであるハッシュ関数を適用して、認証IDを生成する。そして、認証ID生成部320は、生成した認証IDを匿名化部330へ出力し、認証IDと、認証IDの生成に用いた削除パスワードとを、匿名化情報処理要求部350へ出力する。
匿名化部330は、情報非共有部310に格納された個人属性情報を取得し、認証ID生成部320から入力された認証IDを個人属性情報に付加して、匿名化情報を生成する。そして、匿名化部330は、生成した匿名化情報を、情報共有部340へ出力する。
情報共有部340は、出力元の匿名化情報共有装置300sにおいて、匿名化部330から入力された匿名化情報を、出力先の匿名化情報共有装置300rの情報共有部340に送信する。また、情報共有部340は、出力先の匿名化情報共有装置300rにおいて、他の匿名化情報共有装置300sから送られてきた匿名化情報を受信し、これを保持する。
すなわち、情報共有部340は、他の匿名化情報共有装置300の情報共有部340との間で、例えば任意のピア・ツー・ピア(P2P)プロトコルを用いて、匿名化情報を共有する。
匿名化情報処理要求部350は、認証ID生成部320から入力された認証IDに対応する個人属性情報を削除する場合に、その認証IDに対応する削除パスワードを含む削除要求を、他の匿名化情報共有装置300rへ送信する。
この削除要求は、要求先の匿名化情報共有装置300rにおいて、その匿名化情報共有装置300rの情報共有部340が保持する匿名化情報の削除を要求するものである。より具体的には、削除要求は、匿名化情報の一部または全部と削除パスワードとに対してハッシュ関数を適用した結果と、認証IDが一致する匿名化情報が存在するとき、その匿名化情報の削除を要求するものである。
ここでは、削除要求は、匿名化情報の一部または全部として、個人属性データの一部とデータIDとを指定するものとする。また、ハッシュ関数を適用する際の情報の並べ方等は、予め定められているものとする。
匿名化情報処理部360は、匿名化情報の出力先の匿名化情報共有装置300rにおいて、匿名化情報の出力元の匿名化情報共有装置300sから送られてきた削除要求を受信する。匿名化情報処理部360は、情報共有部340に保持する匿名化情報の一部または全部と削除要求に含まれる削除パスワードとの組み合わせに対して、ハッシュ関数を適用した結果と、情報共有部340に保持された匿名化情報の認証IDとを比較する。そして、匿名化情報処理部360は、ハッシュ関数を適用した結果と認証IDが一致する匿名化情報が存在するとき、その匿名化情報を削除する。
なお、匿名化情報処理部360は、図示しないが、例えば、CPU(central processing unit)、RAM(random access memory)等の記憶媒体、複数のキースイッチ等から成る操作部、液晶ディスプレイ等から成る表示部、および無線通信回路を有する。この場合、上述の各機能部は、CPUが制御プログラムを実行することにより実現する。
このような構成を有する匿名化情報共有装置300は、個人属性情報から匿名化情報を生成し、生成した匿名化情報を他の匿名化情報共有装置300と共有することができる。
また、匿名化情報共有装置300は、共有する個人属性情報毎に、個人属性情報の一部と、削除パスワードと、データIDとの組み合わせに対してハッシュ関数を適用して生成した認証IDを付加し、匿名化情報を生成することができる。
また、匿名化情報共有装置300は、匿名化情報に対する削除権限を持つ削除要求であることを認証する削除パスワードを含めた削除要求を行うことにより、自己が出力元である匿名化情報を削除することができる。
そして、匿名化情報共有装置300は、保持する各匿名化情報の一部または全部と削除要求に含まれる削除パスワードとの組み合わせに対してハッシュ関数を適用した結果と、その匿名化情報の認証IDとが一致するとき、その削除要求に従い、該当する匿名化情報を削除することができる。
また、匿名化情報共有装置300は、特に個人情報を特定したり公開したりすることなく、このような匿名化情報の削除を行うことができる。
したがって、本実施の形態の匿名化情報共有装置300は、分散型ネットワーク上で匿名化情報の共有化を可能にし、かつ、一旦共有化された匿名化情報を、出力元が匿名化された状態を保持しつつ、出力元のみが削除することを可能にする。
次に、匿名化情報の共有化から削除までに各匿名化情報共有装置300で行われる処理の概要について説明する。
図4は、匿名化情報の共有化から削除までの処理の概要を模式的に示す図である。
まず、ある匿名化情報共有装置300sは、図4Aに示すように、個人属性情報410を、情報非共有部310から匿名化部330へと渡す。
次に、匿名化情報共有装置300sは、図4Bに示すように、削除パスワード420を、認証ID生成部320から匿名化部330へと渡す。
そして、図4Cに示すように、匿名化情報共有装置300sは、個人属性情報410の一部と、データID415と、削除パスワード420との組み合わせに対して、ハッシュ関数を適用して認証ID430を生成する。
そして、図4Dに示すように、匿名化情報共有装置300sは、認証ID430を個人属性情報410に組み込んだ匿名化情報440を、自己の情報共有化部340に保持すると共に、他の匿名化情報共有装置300rに送信する。これにより、匿名化情報共有装置300sのl情報共有化部340と匿名化情報共有装置300rの情報共有部340には、同一の匿名化情報440が保持される。
そして、図4Eに示すように、出力元の匿名化情報共有装置300sは、匿名化情報440の削除指示がユーザ等からあった場合、削除パスワード420を含む削除要求を、他の匿名化情報共有装置300rへ送信する。
すると、図4Fに示すように、匿名化情報共有装置300rは、匿名化情報処理部360において、情報共有部340に保持する匿名化情報の一部または全部(ここでは個人属性情報410の一部およびデータID415)と削除パスワード420との組み合わせに対してハッシュ関数を適用する。
そして、図4Gに示すように、匿名化情報共有装置300rは、ハッシュ関数の結果と、匿名化情報440に組み込まれた認証ID430とを比較し、これらが一致するときは、匿名化情報440を削除する。
匿名化情報共有システム100の全ての匿名化情報共有装置300は、同一のハッシュ関数を用いる。そして、匿名化情報共有システム100の全ての匿名化情報共有装置300は、匿名化情報440から認証ID430を抽出することができ、削除要求から削除パスワード420を抽出することができる。したがって、匿名化情報共有システム100では、出力元の匿名化情報共有装置300sは、匿名化情報440を削除要求によって削除することができる。
また、認証ID430は、一方向性関数であるハッシュ関数により生成されるため、第三者は認証ID430から元の削除パスワードを特定することができない。したがって、共有化された匿名化情報440の出力元以外の装置は、匿名化情報440の認証ID430が分かっていても、その匿名化情報440を削除する削除要求の成りすましを行い、匿名化情報440を削除することはできない。
次に、匿名化情報共有装置300の動作について説明する。
図5は、匿名化情報共有装置300の動作を示すフローチャートである。
まず、ステップS1000において、匿名化部330は、匿名化情報の出力の指示があったか否かを判断する。この指示は、例えば、ユーザ操作による指示である。匿名化部330は、匿名化情報の出力の指示があった場合は(S1000:YES)、ステップS2000へ進む。また、匿名化部330は、匿名化情報の出力の指示が無い場合は(S1000:NO)、そのままステップS3000へ進む。
ステップS2000において、匿名化情報共有装置300sは、匿名化情報出力処理を実行し、ステップS3000へ進む。匿名化情報出力処理は、匿名化情報を生成し、生成した匿名化情報を、他の匿名化情報共有装置300rへ出力して共有化する処理である。
図6は、匿名化情報出力処理を示すフローチャートである。
まず、ステップS2100において、認証ID生成部320は、個人属性情報の一部と、予め用意した削除パスワードと、匿名化情報に対応するデータ毎に付与するデータIDとに対して、ハッシュ関数を適用することにより、認証IDを生成する。削除パスワードは、例えば、個人属性情報が登録された年月日時分秒に8桁の乱数を加えた文字列等、個人属性情報毎に異なるパスワードであることが望ましい。さらに、認証ID生成部320は、生成した認証IDを匿名化部330へ出力する。なお、これらの処理は、図5のステップS1000の処理よりも先に実行されていても良い。
そして、ステップS2200において、匿名化部330は、情報非共有部310から個人属性情報を取得する。そして、匿名化部330は、取得した個人属性情報に、認証ID生成部320から入力された認証IDおよびデータIDを付加して、匿名化情報を生成する。データIDは、例えば、個人属性情報が登録された年月日時分秒に3桁の通し番号を加えた文字列等、個人属性情報毎に異なるパスワードであることが望ましい。なお、これらの処理は、図5のステップS1000の処理よりも先に実行されていても良い。そして、匿名化部330は、生成した匿名化情報を、情報共有部340へ出力する。
そして、ステップS2300において、情報共有部340は、匿名化部330から新たに入力された匿名化情報を、他の匿名化情報共有装置300rに出力(送信)し、図5の処理へ戻る。この結果、匿名化情報は、他の匿名化情報共有装置300rでの後述のステップS4000の処理により、匿名化情報共有装置300sの情報共有部340と、匿名化情報共有装置300rの情報共有部340との間で、共有化される。
図5のステップS3000において、情報共有部340は、他の匿名化情報共有装置300sから匿名化情報を受信したか否かを判断する。情報共有部340は、匿名化情報を受信した場合は(S3000:YES)、ステップS4000へ進む。また、情報共有部340は、匿名化情報を受信していない場合は(S3000:NO)、そのままステップS5000へ進む。
ステップS4000において、情報共有部340は、受信した匿名化情報を保持し、ステップS5000へ進む。
ステップS5000において、匿名化情報処理要求部350は、共有化した匿名化情報の削除の指示があったか否かを判断する。この指示は、例えば、ユーザ操作による指示である。匿名化情報処理要求部350は、匿名化情報の削除の指示があった場合は(S5000:YES)、ステップS6000へ進む。また、匿名化情報処理要求部350は、匿名化情報の削除の指示が無い場合は(S5000:NO)、そのままステップS7000へ進む。
ステップS6000において、匿名化情報処理要求部350は、削除パスワードを含む削除要求を、他の匿名化情報共有装置300rへ送信し、ステップS7000へ進む。
ステップS7000において、匿名化情報処理部360は、他の匿名化情報共有装置300sから削除要求を受信したか否かを判断する。匿名化情報処理部360は、削除要求を受信した場合は(S7000:YES)、ステップS8000へ進む。また、匿名化情報処理部360は、削除要求を受信していない場合は(S7000:NO)、そのままステップS9000へ進む。
ステップS8000において、匿名化情報共有装置300rは、匿名化情報削除処理を実行する。匿名化情報削除処理は、削除要求を受けて、情報共有部340が保持する匿名化情報を適宜削除する処理である。
図7は、匿名化情報削除処理を示すフローチャートである。
まず、ステップS8100において、匿名化情報処理部360は、受信した削除要求の削除パスワードを取得する。
そして、ステップS8200において、匿名化情報処理部360は、情報共有部340が保持する匿名化情報の中から1つを選択する。
そして、ステップS8300において、匿名化情報処理部360は、取得した削除パスワードと、選択中の匿名化情報に含まれるデータIDと、選択中の匿名化情報に含まれる個人属性情報との組み合わせに対して、ハッシュ関数を適用する。
ステップS8400において、匿名化情報処理部360は、ハッシュ関数を適用した結果が、選択中の匿名化情報の認証IDと一致するか否かを判断する。匿名化情報処理部360は、適用結果と認証IDとが一致する場合は(S8400:YES)、ステップS8500へ進む。また、匿名化情報処理部360は、適用結果と認証IDとが一致しない場合は(S8400:NO)、ステップS8600へ進む。
ステップS8500において、匿名化情報処理部360は、選択中の匿名化情報を、情報共有部340から削除して、ステップS8600へ進む。この結果、出力元からの削除要求である場合には、その削除要求に従って、匿名化情報が削除される。
ステップS8600において、匿名化情報処理部360は、情報共有部340に保持されている匿名化情報に、未選択のものがあるか否かを判断する。匿名化情報処理部360は、未選択の匿名化情報がある場合は(S8600:YES)、ステップS8200へ戻り、未選択の匿名化情報を選択して処理を繰り返す。また、匿名化情報処理部360は、未選択の匿名化情報が無い場合は(S8600:NO)、図5の処理へ戻る。この結果、匿名化情報共有装置300sは、他の匿名化情報共有装置300rに保持されている匿名化情報が複数存在する場合でも、自装置が出力した匿名化情報を削除させることができる。
なお、本実施の形態では、情報共有部340が保持する匿名化情報毎に、削除パスワードと匿名化情報に含まれるデータIDに対してハッシュ関数を適用し、同じ匿名化情報に含まれる認証IDと一致するか判断している。
しかし、匿名化情報のどの部分に基づいて判断を行えば良いかは、上述の例に限定されるものではない。例えば、削除パスワードとデータIDとのペアを送信して削除要求することにより、判断の対象を指定してもよい。この場合、匿名化情報を受信した匿名化情報共有装置300rは、まずデータIDに基づいて匿名化情報の絞り込みを行ってからハッシュ関数の適用を行うことができるので、処理負荷および処理時間を大幅に削減することができる。
ステップS9000において、匿名化情報共有装置300は、処理の終了を指示されたか否かを判断する。この指示は、例えばユーザ操作による指示である。匿名化情報共有装置300は、処理の終了を指示されていない場合は(S9000:NO)、ステップS1000へ戻る。また、匿名化情報共有装置300は、処理の終了を指示された場合は(S9000:YES)、一連の処理を終了する。
以上のように、本実施の形態に係る匿名化情報共有装置300は、削除要求の削除パスワードと、匿名化情報に含まれるデータIDと、匿名化情報に含まれる個人属性情報の一部との組み合わせに対してハッシュ関数を適用する。そして、匿名化情報共有装置300、その結果と匿名化情報の認証IDとの一致性に基づいて、匿名化情報を削除させる。これにより、匿名化情報の出力元のみが、匿名化された状態を保持しつつ、匿名化情報に関する所定の処理を他の匿名化情報共有装置300rに対して実行させることを可能にする。すなわち、本実施の形態に係る匿名化情報共有装置300は、分散管理型のネットワークで共有される匿名化情報に対し、出力元による管理を継続することができる。
また、匿名化情報共有装置300は、削除パスワードを受信すると、上記ステップを実行すると同時にその端末が共有している全部、あるいはいくつかの匿名化情報共有装置に対して、その削除パスワードを転送する。これにより、どの装置が削除要求を発したかの発見を難しくすることができる。
(実施の形態2)
図8は、本発明の実施の形態2に係る匿名化情報共有装置の構成を示すブロック図であり、実施の形態1の図3に対応するものである。図3と同一部分には同一符号を付し、これについての説明を省略する。また、以下、適宜、ある匿名化情報の出力元の匿名化情報共有装置300aを匿名化情報共有装置300asと表記し、その匿名化情報の出力先の匿名化情報共有装置300aを匿名化情報共有装置300arと表記する。
図8において、匿名化情報の出力元である匿名化情報共有装置300asの機能部は、図3の各機能部に加えて、個人属性情報蓄積部370a、データID記憶部380a、および個人識別リスク監視部390aを有する。
個人属性情報蓄積部370aは、ユーザの現在位置の緯度経度情報等のセンサ情報を取得して個人属性情報を生成し、生成した個人属性情報を情報非共有部310に記録する。
データID記憶部380aは、ユーザにより任意に設定された個人パスワードを予め記憶する。また、データID記憶部380aは、匿名化情報共有装置300as内の各情報を特定するデータIDを保持する。
すなわち、本実施の形態においては、データIDは、個人属性情報毎に異なる、ワンタイムパスワードを生成する際の鍵情報の一部であり、個人属性情報の操作権限を認証する公開鍵情報である。データIDは、例えば、個人属性情報が生成される際に、匿名化情報共有装置毎に、任意の方法、または、同一の方法を用いて任意のID体系で作成され、データID記憶部380aに記憶される。
なお、本実施の形態においては、匿名化部330は、認証IDを、匿名状態がより維持され易いような情報に変換(匿名化)して、匿名化情報を生成するものとする。
具体的には、本実施の形態においては、認証ID生成部320は、データIDと個人パスワードとの組み合わせに対してハッシュ関数を適用して、削除パスワードを生成するものとする。そして、認証ID生成部320は、実施の形態1と同様に、生成した削除パスワードと、データIDと、個人属性情報の一部または全部との組み合わせに対して、ハッシュ関数を適用して、認証IDを生成するものとする。すなわち、本実施の形態においては、認証IDだけでなく、削除パスワードも、匿名化情報毎に異なる内容となる。
また、本実施の形態においては、匿名化情報処理要求部350は、認証ID生成部320と同様の処理により、削除パスワードを生成するものとする。
個人識別リスク監視部390aは、情報共有部340が保持する匿名化情報に基づいて、匿名化情報共有装置300asの個人識別リスクを監視する。ここで、個人識別リスクとは、匿名化情報共有装置300asが出力した匿名化情報の出力元である、個人または個人に紐付けられた、匿名化情報共有装置300aが特定される危険性の高さをいうものとする。そして、個人識別リスク監視部390aは、個人識別リスクが高いとき、匿名化情報処理要求部350に対し、個人識別リスクが高い匿名化情報の削除を指示する。
削除パスワードと認証IDとを用いて認証を実現する最も単純な方法は、個人パスワードによるハッシュ値を認証IDとし、個人パスワードを、削除パスワードとして用いることである。
しかしながら、この場合、すべての匿名化情報で同一の削除パスワードが用いられるため、削除パスワードの漏洩により、個人の任意の匿名化情報が削除、改ざんされるおそれがある。
それを防ぐためには、匿名化情報毎に異なる削除パスワードを設定すれば良い。但し、その場合、ユーザは全ての匿名化情報の削除パスワードを準備し管理する必用がでてくるため、現実的ではない。
そのため、本実施の形態の匿名化情報共有装置300aは、データIDと個人パスワードとの組み合わせにハッシュ関数を適用して、ユニークな削除パスワードを生成することにより、データ毎に削除パスワードを準備し管理する必要がない。
このように、匿名化情報共有装置300aは、削除パスワードおよび認証IDを、匿名化情報毎に変化させることができる。これにより、匿名化情報共有装置300aは、削除パスワードおよび認証IDに基づいて行動を第三者に追跡されるリスクを低減することができる。
また、匿名化情報共有装置300aは、個人識別リスクが高いとき、当該匿名化情報を削除し、個人識別リスクを低減することができる。個人識別リスクが高い状況とは、例えば、自装置が居た場所に同時間帯に居たとする他装置がおらず、匿名化情報をそのままにしておくと匿名化情報の出力元の匿名性が失われるおそれがあるような状況である。
次に、匿名化情報の共有化から削除までに各匿名化情報共有装置300aで行われる処理の概要について説明する。
図9は、匿名化部330における個人属性情報の匿名化を模式的に示す図である。
図9に示すように、匿名化部330は、時刻t〜時刻t+mに生成された1+m個の個人属性情報510〜510t+mを、元の個人属性情報の詳細が特定され難い1個の個人属性情報520に纏める。
具体的には、匿名化部330は、個人属性情報510〜510t+mの時刻情報511の代表値として、時刻レンジ521を決定する。
また、匿名化部330は、第1〜第nの代表データ523〜523の位置レンジ512の代表値として、位置レンジ522を決定する。
また、匿名化部330は、第1〜第nの代表データ523〜523の第1〜第nのデータ本体513〜513のそれぞれの代表値として、第1〜第nの代表データ523〜523を決定する。
時刻レンジ521は、例えば、時刻tと、時刻tから時刻t+mまでの時間長dと、個人属性情報510〜510t+mのサンプリング間隔sとから成る。
位置レンジ522は、例えば、時刻tから時刻t+mまでの位置情報の分布範囲の中心位置の緯度経度情報Gと、分布範囲の中心位置からの半径rとから成る。
代表データ523は、いずれかの時刻のデータ本体、頻出する語句や値、平均値等である。
すなわち、匿名化情報共有装置300aは、個人のある時刻における居場所を示す情報を直接に共有するのではなく、ある空間範囲かつ時間範囲の集約情報や統計情報を共有する。このような個人属性情報520は、個人属性情報510〜510t+mのそれぞれに比べて、出力元をより特定し難い(より匿名化された)情報と成り得る。したがって、ユーザは、位置情報を活用する有用なサービスを享受しながら、匿名化された情報を他者と共有することが可能となる。
図10は、本実施の形態における匿名化情報の共有化から削除までの処理の概要を模式的に示す図であり、実施の形態1の図4に対応するものである。
まず、ある匿名化情報共有装置300asは、図10Aに示すように、個人属性情報610(図9の個人属性情報520に相当)を生成する。
そして、図10Bに示すように、匿名化情報共有装置300asは、個人属性情報610のデータID620を設定する。
そして、図10Cに示すように、匿名化情報共有装置300asは、データID620と予め設定された個人パスワード630との組み合わせに対して、ハッシュ関数を適用して削除パスワード640を生成する。
そして、図10Dに示すように、匿名化情報共有装置300asは、データID620と、個人属性情報610の一部または全部(ここでは代表データ)と、削除パスワード640との組み合わせに対してハッシュ関数を適用する。これにより、匿名化情報共有装置300asは、認証ID650を生成する。
そして、図10Eに示すように、匿名化情報共有装置300asは、認証ID650およびデータID620を個人属性情報610に組み込んだ匿名化情報660を、他の匿名化情報共有装置300arの情報共有部340に送信する。これにより、匿名化情報660は、共有される。
そして、図10Fに示すように、出力元の匿名化情報共有装置300asは、個人識別リスク監視部390a等から、共有化した匿名化情報660の削除指示を行う。
このとき、匿名化情報共有装置300asは、図10B、図10Cと同様の手順により、削除パスワード640を生成する。そして、匿名化情報共有装置300asは、削除要求に含める形で、削除パスワード640を他の匿名化情報共有装置300arへ送信する。
すると、図10Gに示すように、他の匿名化情報共有装置300arは、匿名化情報処理部360において、個人属性情報610の一部または全部(代表データ)と、削除パスワード640と、データIDとの組み合わせに対して、ハッシュ関数を適用する。
そして、図10(H)に示すように、他の匿名化情報共有装置300arは、ハッシュ関数の結果と、匿名化情報660に組み込まれた認証ID650とを比較し、これらが一致するときは、匿名化情報660を削除する。
全ての匿名化情報共有装置300aは、認証IDの生成および削除パスワードの生成に同一のハッシュ関数を用いることができる。また、全ての匿名化情報共有装置300aは、ハッシュ関数を匿名化情報660の同一部分に対して適用することができる。したがって、各匿名化情報共有装置300asは、実施の形態1と同様に、自装置が出力して共有化した匿名化情報の管理を継続することができる。
また、データIDは、個人属性情報610毎に異なる。また、個人パスワード630はユーザが任意に設定することができる。したがって、これらからハッシュ関数により生成される削除パスワード640は、出力元が非常に特定され難い情報となる。
更に、データIDと、個人属性情報610自体と、削除パスワードとから、ハッシュ関数により生成される認証IDも、出力元が非常に特定され難い情報となる。すなわち、匿名化情報共有装置300aは、匿名化情報の管理に用いるために付加的に送受信される各情報(以下「付加的情報」という)についても、匿名化された状態にすることができる。
次に、匿名化情報共有装置300aの動作について説明する。
図11は、本実施の形態に係る匿名化情報共有装置300aの動作を示すフローチャートであり、実施の形態1の図5に対応するものである。図5と同一部分には同一符号を付し、これについての説明を省略する。
匿名化情報共有装置300asは、ユーザ操作等により匿名化情報の出力の指示があった場合は(S1000:YES)、ステップS2000aにおいて、実施の形態1とは異なる匿名化情報出力処理を実行する。
図12は、本実施の形態における匿名化情報出力処理を示すフローチャートであり、実施の形態1の図6に対応するものである。図6と同一部分には同一ステップ番号を付し、これについての説明を省略する。
まず、ステップS2010aにおいて、匿名化部330は、匿名化情報の出力の指示の対象となっている個人属性情報を取得し、これを匿名化する。すなわち、匿名化部330は、図9で説明したように、時刻t〜時刻t+mに生成された1+m個の個人属性情報510〜510t+mが対象となっている場合には、これらを1個の個人属性情報520で代表させる。
そして、ステップS2020aにおいて、データID記憶部380aは、匿名化部330が匿名化した個人属性情報のデータIDを生成する。そして、データID記憶部380aは、生成したデータIDと予め設定された個人パスワードとを、認証ID生成部320へ出力する。
そして、ステップS2030aにおいて、認証ID生成部320は、入力されたデータIDと入力された個人パスワードとの組み合わせに対してハッシュ関数を適用する。これにより、認証ID生成部320は、削除パスワードを生成する。匿名化情報出力処理における以降の処理は、実施の形態1と同様である。
また、匿名化情報共有装置300asは、削除指示の有無を判断する前に(図11のS5000)、ステップS4500aとして、リスク監視処理を実行する。リスク監視処理は、情報共有部340に保持された各匿名化情報の個人識別リスクを監視し、個人識別リスクが高くなった匿名化情報を削除させる処理である。
図13は、リスク監視処理を示すフローチャートである。
まず、ステップS4510aにおいて、個人識別リスク監視部390aは、情報共有部340が保持する匿名化情報を、時刻レンジと位置レンジとの組み合わせに基づいてグルーピングする。具体的には、個人識別リスク監視部390aは、例えば、自装置の匿名化情報に対して、時刻レンジと位置レンジとの両方が重なる他装置の匿名化情報が存在するとき、これらをグループ化する。
そして、ステップS4520aにおいて、個人識別リスク監視部390aは、グループを構成する匿名化情報の数が閾値k以下であるグループが存在するか否かを判断する。閾値kは、許容される個人識別リスクに応じて予め定められる値である。すなわち、閾値kは、時刻レンジおよび位置レンジが重なるという条件を満たす集団の中で、特定の個人が識別される可能性が出る、集団の最大母数である。
個人識別リスク監視部390aは、該当するグループが存在する場合は(S4520a:YES)、ステップS4530aへ進む。また、個人識別リスク監視部390aは、該当するグループが存在しない場合は(S4520a:NO)、そのまま図11の処理に戻る。
ステップS4530aにおいて、個人識別リスク監視部390aは、匿名化情報処理要求部350に対し、匿名化情報の数が閾値k以下であるグループの自装置の匿名化情報の削除を指定して、図11の処理に戻る。この結果、匿名化情報共有装置300asは、いずれかの自装置の匿名化情報の個人識別リスクが高いときに、これを検出し、その匿名化情報の削除を指示することができる。
また、匿名化情報共有装置300asは、いずれかの匿名化情報を削除する旨の指示があった場合は(S5000:YES)、ステップS6000aとして、削除要求送信処理を実行する。削除要求送信処理は、削除指定された匿名化情報の削除を要求する削除要求を他の匿名化情報共有装置300arへ送信する処理である。
例えば、ある駅を示す位置レンジにおいて、通勤時間帯である8時から9時までの間の1時間の時刻レンジでは、匿名化情報の数が300であり、12時から13時までの間の1時間の時刻レンジでは、匿名化情報の数が10である状況を想定する。
この場合、8時から9時までの時刻レンジのでは、個人を特定される可能性が低いが、12時から13時までの時刻レンジでは、個人を特定される可能性が高くなる。このような場合、例えば、k=30を閾値として設定することにより、個人識別リスク監視部390aは、匿名化情報の数が30を下回るグループが存在するとき、そのグループの自装置の匿名化情報を削除することができる。
更に、匿名化情報を削除した後に、個人識別リスク監視部390aは、自身が把握する匿名化情報数に基づいて、位置レンジを広げる。あるいは、個人識別リスク監視部390aは、時刻レンジを広げる等、匿名化情報を作成する際の各種条件を再設定して、匿名化情報を作成し直して再び共有化してもよい。
なお、個人識別リスク監視部390aは、匿名化情報を生成する前に、個人識別リスクが低くなるような位置レンジおよび時刻レンジを設定するために用いられても良い。
図14は、本実施の形態における削除要求送信処理を示すフローチャートである。
まず、ステップS6010aにおいて、個人識別リスク監視部390aは、削除が指定された匿名化情報のデータIDを取得する。そして、個人識別リスク監視部390aは、取得したデータIDと予め設定された個人パスワードとを、匿名化情報処理要求部350へ出力する。
そして、ステップS6020aにおいて、匿名化情報処理要求部350は、入力されたデータIDと入力された個人パスワードとの組み合わせに対してハッシュ関数を適用する。これにより、匿名化情報処理要求部350は、削除パスワードを生成する。
そして、ステップS6030aにおいて、匿名化情報処理要求部350は、生成した削除パスワードを含む削除要求を、他の匿名化情報共有装置300arへ送信し、図11の処理へ戻る。この結果、匿名化情報共有装置300asは、個人識別リスク監視部390a等により削除が指示された匿名化情報を、各匿名化情報共有装置300aの情報共有部340から削除することができる。
また、本実施の形態に係る匿名化情報共有装置300arは、削除要求を他の匿名化情報共有装置300asから受信したとき(S7000:YES)、ステップS8000aとして、実施の形態1とは異なる匿名化情報削除処理を実行する。
このように、本実施の形態に係る匿名化情報共有装置300aは、匿名化情報毎に異なるデータIDと、ユーザ毎に異なる個人パスワードとに対して一方向性関数を適用した結果を、削除パスワードとして用いる。これにより、本実施の形態に係る匿名化情報共有装置300aは、削除要求の出力元の匿名性を確保することができる。
なお、匿名化情報共有装置300aは、データIDのみ、あるいは個人属性情報の一部または全部等、匿名化情報毎に異なるような他の情報に対して一方向性関数を適用して、削除パスワードを生成しても良い。
また、匿名化情報共有装置300aは、ハッシュ関数を適用して認証IDおよび削除パスワードを生成する際に、匿名化情報に含まれる、時刻レンジ、位置レンジ、あるいはデータIDのみ等を、削除パスワードと組み合わせても良い。
また、匿名化情報共有装置300aは、上述の例以外の基準を用いて、個人識別リスクが高いか否かを判断しても良い。例えば、匿名化情報共有装置300aは、ユーザの行動履歴が一定時間以上連続している場合に、個人識別リスクが高いと判断し、その連続性が失われるように、一部の匿名化情報を削除するようにしても良い。
また、削除要求の送信は、必ずしも匿名化情報の送信を行った装置と同一の装置から行われなくても良い。例えば、削除要求の送信は、ユーザが同一である等、匿名化情報の出力元という観点において同一視することができる別の装置から行われても良い。この場合、削除要求を行う装置は、匿名化情報を送信した装置で用いられた削除パスワードを、なんらかの秘密通信手段により取得する必要がある。このようなシステム構成によっても、出力元による匿名化情報に対する管理の継続が可能である。
また、以上説明した各実施の形態では、削除パスワードおよび認証IDを生成する際に用いる一方向性関数をハッシュ関数としたが、他の各種の一方向性関数を用いることができる。
また、共有化された匿名化情報に対して行う処理は、削除に限定されない。例えば、本実施の形態は、匿名化情報の内容に対する修正、他の匿名化情報共有装置における匿名化情報の管理状態の変更(第三者への公開の禁止等)等、匿名化情報の出力元にのみ許可されるような各種処理を適用することができる。
2010年8月6日出願の特願2010−177540の日本出願に含まれる明細書、図面および要約書の開示内容は、すべて本願に援用される。
本発明に係る匿名化情報共有装置および匿名化情報共有方法は、分散管理型のネットワークで共有される匿名化情報に対し、出力元による管理を継続することができる匿名化情報共有装置および匿名化情報共有方法として有用である。
すなわち、本発明は、ピア・ツー・ピア型ネットワーク等における、権威ある中央システムの無いような情報共有システムにおいて、ユーザの位置情報等の特定の個人を識別する可能性のある情報を共有する場合に有用である。
また、本発明は、中央システムに情報を投稿する情報共有システムにおいても、ユーザの位置情報等の特定の個人を識別する可能性のある情報を共有する場合に有用である。
また、本発明は、サービス事業者がユーザの位置を管理しない位置共有型サービス、例えば、twitter(登録商標)等のライフストリームサービスの用途に応用することができる。
100 匿名化情報共有システム
200 通信ネットワーク
300、300a 匿名化情報共有装置
310 情報非共有部
320 認証ID生成部
330 匿名化部
340 情報共有部
350 匿名化情報処理要求部
360 匿名化情報処理部
370a 個人属性情報蓄積部
380a データID記憶部
390a 個人識別リスク監視部

Claims (6)

  1. 出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有装置であって、
    個人パスワードとデータIDとの組み合わせに対して第1の一方向性関数を適用して、処理パスワードを生成し、共有化対象情報毎に、前記共有化対象情報の一部または全部と前記処理パスワードと前記データIDとの組み合わせに対して第2の一方向性関数を適用して、認証IDを生成する認証ID生成部と、
    生成された前記認証IDを共有化対象情報に付加して、匿名化情報を生成する匿名化部と、
    生成された前記匿名化情報を前記他の装置に出力して保持させる情報共有部と、
    前記処理パスワードを含む処理要求を生成して前記他の装置へ送信し、前記他の装置に対して、前記他の装置が保持する匿名化情報の一部または全部と前記処理パスワードと前記データIDとの組み合わせに対して前記第2の一方向性関数を適用した結果と、前記他の装置が保持する匿名化情報の認証IDとの一致性に基づき、前記他の装置に保持させた匿名化情報に対して、出力元にのみ許可される所定の処理の実行を要求する匿名化情報処理要求部と、
    を備え
    前記所定の処理は、前記他の装置に出力した前記匿名化情報の出力元が特定されるリスクを低下させる処理である、
    匿名化情報共有装置。
  2. 前記情報共有部は、
    前記他の装置に出力した匿名化情報および前記他の装置から出力された匿名化情報を保持し、
    前記情報共有部が保持する前記匿名化情報に基づき、前記他の装置に出力した前記匿名化情報の出力元が特定されるリスクを監視する個人識別リスク監視部、を更に有し、
    前記匿名化情報処理要求部は、
    前記リスクが高いとき、前記他の装置に対して前記所定の処理を要求し、
    前記所定の処理は、前記リスクを低下させる処理である、
    請求項1記載の匿名化情報共有装置。
  3. 前記所定の処理は、前記他の装置に保持させた前記匿名化情報の削除を含む、
    請求項2記載の匿名化情報共有装置。
  4. 出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有装置であって、
    共有化対象情報毎に、前記共有化対象情報の一部または全部と処理パスワードとの組み合わせに対して一方向性関数を適用して認証IDを生成する認証ID生成部と、
    前記認証IDを共有化対象情報に付加して匿名化情報を生成する匿名化部と、
    生成された前記匿名化情報を前記他の装置に出力して保持させ、前記他の装置に出力した匿名化情報および前記他の装置から出力された匿名化情報を保持する情報共有部と、
    前記情報共有部が保持する前記匿名化情報に基づき、前記他の装置に出力した前記匿名化情報の出力元が特定されるリスクを監視する個人識別リスク監視部と、
    前記リスクが高いとき、前記処理パスワードを含む処理要求を生成して前記他の装置へ送信し、前記他の装置に対して、前記他の装置が保持する匿名化情報の一部または全部と前記処理パスワードとの組み合わせに対して前記一方向性関数を適用した結果と前記他の装置が保持する匿名化情報の認証IDとの一致性に基づき、前記他の装置に保持させた匿名化情報に対して、前記リスクを低下させる処理の実行を要求する匿名化情報処理要求部と、
    を備える匿名化情報共有装置。
  5. 出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有方法であって、
    個人パスワードとデータIDとの組み合わせに対して第1の一方向性関数を適用して、処理パスワードを生成し、共有化対象情報毎に、前記共有化対象情報の一部または全部と前記処理パスワードと前記データIDとの組み合わせに対して第2の一方向性関数を適用して、認証IDを生成するステップと、
    生成した前記認証IDを共有化対象情報に付加して、匿名化情報を生成するステップと、
    生成した前記匿名化情報を前記他の装置に出力して保持させるステップと、
    前記処理パスワードを含む処理要求を生成して前記他の装置へ送信し、前記他の装置に対して、前記他の装置が保持する匿名化情報の一部または全部と前記処理パスワードと前記データIDとの組み合わせに対して前記第2の一方向性関数を適用した結果と前記他の装置が保持する匿名化情報の認証IDとの一致性に基づき、前記他の装置に保持させた匿名化情報に対して、出力元にのみ許可される所定の処理として、前記他の装置に出力した前記匿名化情報の出力元が特定されるリスクを低下させる処理の実行を要求するステップと、を備える匿名化情報共有方法。
  6. 出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有プログラムであって、
    CPUに、
    個人パスワードとデータIDとの組み合わせに対して第1の一方向性関数を適用して、処理パスワードを生成し、共有化対象情報毎に、前記共有化対象情報の一部または全部と前記処理パスワードと前記データIDとの組み合わせに対して第2の一方向性関数を適用して、認証IDを生成するステップと、
    生成した前記認証IDを共有化対象情報に付加して、匿名化情報を生成するステップと、
    生成した前記匿名化情報を前記他の装置に出力して保持させるステップと、
    前記処理パスワードを含む処理要求を生成して前記他の装置へ送信し、前記他の装置に対して、前記他の装置が保持する匿名化情報の一部または全部と前記処理パスワードと前記データIDとの組み合わせに対して前記第2の一方向性関数を適用した結果と前記他の装置が保持する匿名化情報の認証IDとの一致性に基づき、前記他の装置に保持させた匿名化情報に対して、出力元にのみ許可される所定の処理として、前記他の装置に出力した前記匿名化情報の出力元が特定されるリスクを低下させる処理の実行を要求するステップを実行させるための匿名化情報共有プログラム。
JP2012503824A 2010-08-06 2011-07-22 匿名化情報共有装置および匿名化情報共有方法 Expired - Fee Related JP5735485B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012503824A JP5735485B2 (ja) 2010-08-06 2011-07-22 匿名化情報共有装置および匿名化情報共有方法

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2010177540 2010-08-06
JP2010177540 2010-08-06
PCT/JP2011/004144 WO2012017612A1 (ja) 2010-08-06 2011-07-22 匿名化情報共有装置および匿名化情報共有方法
JP2012503824A JP5735485B2 (ja) 2010-08-06 2011-07-22 匿名化情報共有装置および匿名化情報共有方法

Publications (2)

Publication Number Publication Date
JPWO2012017612A1 JPWO2012017612A1 (ja) 2013-09-19
JP5735485B2 true JP5735485B2 (ja) 2015-06-17

Family

ID=45559137

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012503824A Expired - Fee Related JP5735485B2 (ja) 2010-08-06 2011-07-22 匿名化情報共有装置および匿名化情報共有方法

Country Status (3)

Country Link
US (1) US8752149B2 (ja)
JP (1) JP5735485B2 (ja)
WO (1) WO2012017612A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013031997A1 (ja) * 2011-09-02 2013-03-07 日本電気株式会社 匿名化装置、及び、匿名化方法
US9210164B2 (en) 2012-01-08 2015-12-08 International Business Machines Corporation Confidential information access via social networking web site
JP6125153B2 (ja) * 2012-04-27 2017-05-10 Kddi株式会社 位置情報匿名化装置、位置情報匿名化方法およびプログラム
JP5944268B2 (ja) * 2012-08-24 2016-07-05 Kddi株式会社 ユーザ非特定情報の提供記録を通知するユーザ情報管理装置、プログラム及び方法
JP5962472B2 (ja) * 2012-12-03 2016-08-03 富士通株式会社 匿名化データ生成方法、装置及びプログラム
WO2015033416A1 (ja) * 2013-09-05 2015-03-12 株式会社日立製作所 情報処理システム及びそのデータ処理方法
US11120163B2 (en) * 2014-11-14 2021-09-14 Oracle International Corporation Associating anonymous information with personally identifiable information in a non-identifiable manner
JP6893415B2 (ja) * 2015-01-19 2021-06-23 ソニーグループ株式会社 情報処理装置およびプログラム
US11165771B2 (en) 2017-11-20 2021-11-02 At&T Intellectual Property I, L.P. Proximity based data access restrictions
CN112119611A (zh) * 2018-05-14 2020-12-22 区块链控股有限公司 使用区块链执行原子交换的计算机实现的系统和方法
US10666584B2 (en) * 2018-10-06 2020-05-26 Jiazheng Shi Method and system for protecting messenger identity
JP7433038B2 (ja) 2018-12-19 2024-02-19 キヤノンメディカルシステムズ株式会社 医用情報匿名化システム、及び匿名化方法設定装置
US10970419B1 (en) * 2020-07-31 2021-04-06 Snowflake Inc. Data clean room

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000221881A (ja) * 1999-02-01 2000-08-11 Nec Corp 電子署名端末装置、電子署名管理装置および電子署名システム
JP2007058590A (ja) * 2005-08-24 2007-03-08 Nec Corp 主体同一性判定システム、及びプログラム
JP2008226133A (ja) * 2007-03-15 2008-09-25 Hitachi Software Eng Co Ltd 個人情報管理システム
JP2009237804A (ja) * 2008-03-26 2009-10-15 Sky Co Ltd 電子メールシステム
JP2010097336A (ja) * 2008-10-15 2010-04-30 Nippon Telegr & Teleph Corp <Ntt> プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69836455T2 (de) * 1997-08-20 2007-03-29 Canon K.K. System für elektronische Wasserzeichen, elektronisches Informationsverteilungssystem und Gerät zur Abspeicherung von Bildern
EP1654827A4 (en) * 2003-08-15 2009-08-05 Fiberlink Comm Corp SYSTEM, METHOD, APPARATUS AND SOFTWARE PRODUCT FACILITATING DIGITAL COMMUNICATIONS
US7565702B2 (en) * 2003-11-03 2009-07-21 Microsoft Corporation Password-based key management
US20110110568A1 (en) * 2005-04-08 2011-05-12 Gregory Vesper Web enabled medical image repository
GB2446199A (en) * 2006-12-01 2008-08-06 David Irvine Secure, decentralised and anonymous peer-to-peer network
JP5083218B2 (ja) 2006-12-04 2012-11-28 日本電気株式会社 情報管理システム、匿名化方法、及び記憶媒体
US8364969B2 (en) * 2009-02-02 2013-01-29 Yahoo! Inc. Protecting privacy of shared personal information
WO2010127216A2 (en) * 2009-05-01 2010-11-04 Telcodia Technologies, Inc. Automated determination of quasi-identifiers using program analysis
US20110078775A1 (en) * 2009-09-30 2011-03-31 Nokia Corporation Method and apparatus for providing credibility information over an ad-hoc network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000221881A (ja) * 1999-02-01 2000-08-11 Nec Corp 電子署名端末装置、電子署名管理装置および電子署名システム
JP2007058590A (ja) * 2005-08-24 2007-03-08 Nec Corp 主体同一性判定システム、及びプログラム
JP2008226133A (ja) * 2007-03-15 2008-09-25 Hitachi Software Eng Co Ltd 個人情報管理システム
JP2009237804A (ja) * 2008-03-26 2009-10-15 Sky Co Ltd 電子メールシステム
JP2010097336A (ja) * 2008-10-15 2010-04-30 Nippon Telegr & Teleph Corp <Ntt> プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
CSNG200100875006; 大瀧 保広: '"超流通における使用記録の回収とプライバシー保護"' 情報処理学会研究報告 Vol.2000,No.56, 20000602, p.41-48, 社団法人情報処理学会 *
CSNG200900574064; 大津 一樹,宇田 隆哉,伊藤 雅仁,市村 哲,田胡 和哉,星 徹,松下 温: '"アクセス制御機構を持つP2P共有ファイルシステムの提案"' マルチメディア,分散,協調とモバイル(DICOMO)シンポジウム論文集 1997年〜2006年版 V 第2004巻,第7号, 20040707, p.265-268, 社団法人情報処理学会 *
JPN6014041598; 大瀧 保広: '"超流通における使用記録の回収とプライバシー保護"' 情報処理学会研究報告 Vol.2000,No.56, 20000602, p.41-48, 社団法人情報処理学会 *
JPN6014041599; 大津 一樹,宇田 隆哉,伊藤 雅仁,市村 哲,田胡 和哉,星 徹,松下 温: '"アクセス制御機構を持つP2P共有ファイルシステムの提案"' マルチメディア,分散,協調とモバイル(DICOMO)シンポジウム論文集 1997年〜2006年版 V 第2004巻,第7号, 20040707, p.265-268, 社団法人情報処理学会 *
JPN7014002839; 大津 一樹,宇田 隆哉,伊藤 雅仁,市村 哲,田胡 和哉,星 徹,松下 温: '"アクセス制御機構を持つP2Pファイル共有システム"' 2005年暗号と情報セキュリティシンポジウム SCIS2005 予稿集[CD-ROM] 1A2 秘密分散, 20050125, 1A2-3 *

Also Published As

Publication number Publication date
WO2012017612A1 (ja) 2012-02-09
US20130133050A1 (en) 2013-05-23
JPWO2012017612A1 (ja) 2013-09-19
US8752149B2 (en) 2014-06-10

Similar Documents

Publication Publication Date Title
JP5735485B2 (ja) 匿名化情報共有装置および匿名化情報共有方法
US11907397B2 (en) Records access and management
Chen et al. Blockchain-based medical records secure storage and medical service framework
US10164950B2 (en) Controlling access to clinical data analyzed by remote computing resources
JP5669250B2 (ja) 情報アクセス制御システムとそのサーバ装置及び情報アクセス制御方法
CN111243690A (zh) 分享电子医疗健康记录的方法与系统
KR20200016458A (ko) 블록체인 기반의 phr 플랫폼 서버 운영 방법 및 phr 플랫폼 서버 운영 시스템
KR20120076559A (ko) 근거리 무선 통신 기반의 개인 건강 기록 관리 방법 및 시스템
KR102113806B1 (ko) 개인의료정보데이터 관리방법 및 시스템
EP3264315A1 (en) Information processing apparatus and method, and program
JP4871991B2 (ja) 情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法
JP2003162578A (ja) 緊急医療情報提供方法および緊急医療情報提供システム
KR20170135332A (ko) 공인기관에 의한 의료기록 관리 및 전송 시스템 및 방법
WO2018124501A1 (ko) 응급상황에서 제3자에 대한 응급의료 정보제공 방법
JP5090425B2 (ja) 情報アクセス制御システム及び方法
KR20180076911A (ko) 일회용 비밀번호 기반 제3자의 의료정보 열람 시스템
US9953188B2 (en) System, method, and program for storing and controlling access to data representing personal behavior
JP2016505948A (ja) マルチサイトパフォーマンス測定を匿名にし、匿名データの処理及び再識別を制御する方法及びシステム
Nikolidakis et al. A secure ubiquitous healthcare system based on IMS and the HL7 standards
Abayomi-Alli et al. Development of a mobile remote health monitoring system–MRHMS
Wan et al. Development of a health information system in the mobile cloud environment
KR102573773B1 (ko) 개인정보 비식별 처리를 적용한 디지털 치료제 처방 데이터 교환 시스템 및 방법
Bracken et al. Development of human-out-of-the-loop participant recruitment, data collection, data handling, and participant management system
JP7437592B1 (ja) ヘルスケアデータ管理システム、ヘルスケアデータ管理方法及びヘルスケアデータ管理プログラム
JP2019164506A (ja) 提供システム及び提供プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140128

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20140605

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140930

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150414

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150416

R150 Certificate of patent or registration of utility model

Ref document number: 5735485

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees