JP6435978B2 - 位置情報匿名化方法、移動情報匿名化方法、および装置 - Google Patents

位置情報匿名化方法、移動情報匿名化方法、および装置 Download PDF

Info

Publication number
JP6435978B2
JP6435978B2 JP2015086917A JP2015086917A JP6435978B2 JP 6435978 B2 JP6435978 B2 JP 6435978B2 JP 2015086917 A JP2015086917 A JP 2015086917A JP 2015086917 A JP2015086917 A JP 2015086917A JP 6435978 B2 JP6435978 B2 JP 6435978B2
Authority
JP
Japan
Prior art keywords
area
region
information
anonymization
position information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015086917A
Other languages
English (en)
Other versions
JP2016206896A (ja
Inventor
敏朗 疋田
敏朗 疋田
正 柳原
正 柳原
雄介 田中
雄介 田中
千尋 三宮
千尋 三宮
隆文 西山
隆文 西山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2015086917A priority Critical patent/JP6435978B2/ja
Publication of JP2016206896A publication Critical patent/JP2016206896A/ja
Application granted granted Critical
Publication of JP6435978B2 publication Critical patent/JP6435978B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Traffic Control Systems (AREA)

Description

本発明は、位置情報および移動情報を匿名化する技術に関する。
近年の情報通信技術の発展に伴い、ユーザから位置情報を収集することが容易になり、収集した位置情報を用いて各種のサービスを提供することが行われている。例えば、車両あるいはスマートフォンから位置情報の履歴を収集し、ユーザの移動経路を解析して有用な情報を提供することが行われている。ここで、ユーザの位置情報や移動経路情報はプライバシーにかかわる個人情報であるため、個人を特定できないように匿名化することが望まれている。
個人情報を保護する技術としてk匿名化がある。k匿名化とは、同じ属性を有する人がk人以上いるように情報を加工することである。例えば、特許文献1では、所定のランドマークを中心とする領域内にk個以上の位置情報が存在するように領域の半径を拡張し、位置情報をこのような領域で置き換えることで、k匿名化を行っている。
特許文献2では、地域の人口密度によって、どの住所階層(町名、何丁目、何番地など)を代表する位置座標として利用すれば匿名化が十分であるかが変わるという着想を開示する。より具体的には、位置情報(緯度経度情報)の一部を乱数で置き換える際に、当該位置の人口密度に基づいて、緯度経度情報の小数点何桁目以降を乱数で置換するかを決定している。
特許文献3は、行動履歴を匿名化する技術を開示し、ユーザの行動履歴を有向グラフで表し、複数の有向グラフを重ね合わせるマージ処理を行った後に、k個以上の分岐がないノードであり、かつ、下流ノードがk個以上の分岐を持たない場合に、当該ノードの下流ノードを削除している。
特開2012−147199号公報 特開2011−123712号公報 特開2013−114445号公報
特許文献1の手法は、ランドマークを中心として領域を拡張しているので、領域を拡張した際に拡張後の領域が重複することがあり得る。特許文献1では、このような重複が生じたときにどのように対処するかは記載されていない。また、ランドマークから離れた局所的な領域に位置情報が多く存在する場合も、ランドマークを中心とする領域を用いて匿名化するので、より小さい領域でも十分な匿名化ができるにもかかわらず大きな領域に変換されてしまうという問題もある。
特許文献2の手法は、人口密度に基づいて匿名化を行っており、匿名化を行う位置情報そのものに基づいていない。したがって、人口密度の多い地域であっても匿名化対象の位置情報の数が少ない場合もあり、そのような場合には十分な匿名化が行われない。
特許文献3の手法は、行動履歴を匿名化するものであり、位置情報そのものを匿名化す
る用途には適しない。
上記のような問題を考慮して、本発明は、簡易な処理により位置情報を適切に匿名化可能な技術を提供することを目的とする。
上記目的を達成するために、本発明に係る位置情報匿名化方法は、位置情報を領域情報に変換する際に、地理的な階層構造を有する領域を用いて、領域に含まれる位置情報の数がk個以上となるように、位置情報を置き換える領域を決定する。
具体的には、本発明の一態様は、コンピュータが実行する位置情報匿名化方法であって、複数の位置情報を取得する位置情報取得ステップと、前記複数の位置情報を、k(kは正の整数)個以上の位置情報を含む匿名化領域で置き換える匿名化ステップと、を含み、前記匿名化ステップでは、前記匿名化領域を、木構造により構造化された複数の領域のうち匿名化対象の位置情報を含むいずれかの階層の領域R1から1つまたは複数の下位階層の領域R2を除いた領域R3として決定する、ことを特徴とする。
本発明における木構造により構造化(階層化)された領域とは、最下位階層(葉ノードに相当)の複数の領域と、最下位階層の領域をいくつか含んで構成される1階層上位の階層(親ノードに相当)の領域とを含み、このような階層化が2階層以上にわたって行われている領域である。ここで、最下位階層の領域は、互いに重複がないことが好ましい。また、最下位階層の領域は、所定の広さの地理範囲を漏れなく網羅していることが好ましい。
このように構造化された領域を用いることで、各領域は1つの上位階層の領域のみに含まれることになり、複数の上位階層の領域に含まれることはない。ある領域においてk匿名性を満たさない場合は、領域を拡張する必要が生じるが、この際に拡張領域の決定が容易である。
また、本発明の匿名化ステップにおいて、領域R2は位置情報をk個以上含む領域として決定され、領域R3は位置情報をk個以上含む領域として決定されることが好ましい。すなわち、領域R3は、領域R1の部分木に相当する領域のうちk個以上の位置情報を含まない領域の集合であり、かつ、領域R3全体としてk個以上の位置情報を含むように決定されることが好ましい。領域R2は、領域R1の子階層の領域のうち位置情報をk個以上含むという条件を満たす全ての領域である。領域R2は、1つのみ存在することも、2つ以上存在することも、1つも存在しない場合もある。領域R2が存在しない場合には、領域R3は領域R1と等しくなる。また、領域R1は、最下位階層の領域であってもよい。
以上をまとめると、前記匿名化ステップは、木構造により構造化された複数の領域の中から、下記条件を満たす領域R1〜R3を求め、前記匿名化対象の位置情報を領域R3を示す情報に置換するステップであると特定することもできる。
(条件1)領域R1は、匿名化対象の位置情報を含む最下位階層の領域または当該最下位階層の領域の1または複数階層上位の領域のいずれかである。
(条件2)領域R1の1または複数階層下位の領域であってk個以上の位置情報を含む領域R2を領域R1から除いた領域R3に含まれる位置情報の数がk個以上である。
なお、上記の条件2は領域R2が存在することを要請するものではない。また、これらの条件を満たす領域R1が複数存在する場合には、条件を満たすものの中で最も下位の階層の領域を領域R1とすることが好ましい。
このように本発明においては、必ずしもある階層の領域全体を匿名化領域とするのではなく、k匿名性を満たすような部分木に相当するは除外して、k匿名性を満たさない部分木から構成される領域であるが全体ではk匿名性を満たすような領域を匿名化領域としている。したがって、複数ある下位階層の領域のうち特定の領域に位置情報が多量(k個以上)に存在し、その他の各領域に含まれる位置情報が少ない場合に、多くの位置情報が存在する領域は狭い(下位階層の)領域を用いて匿名化を実施できるとともに、位置情報が少ない領域については複数の下位階層からなるより上位階層の領域(上位階層の領域から一部の下位階層の領域を除いた領域)を用いて匿名化が実施できる。したがって、k匿名性を満たす範囲でデータの曖昧化を最小限とすることができる。また、このような処理は、領域が構造化されているので容易に行うことができる。
本発明における匿名化ステップにおいて、領域R1から領域R2を除外した匿名化領域R3、すなわち位置情報を置き換える領域情報をどのように表現するかは特に限定されない。例えば、匿名化領域R3を、領域R1を示す情報と領域R2を示す情報とによって表すことができる。すなわち、匿名化領域R3を示す情報を、領域R1を示す情報と、そこから除外すべき領域R2を示す情報として表現することができる。あるいは、匿名化領域R3を、領域R3に含まれるR1の下位階層の領域を列挙した情報を採用することができる。なお、領域を示す情報とは、当該領域を特定可能な情報であれば任意であってよく、領域の識別子などが該当する。
また、本発明における匿名化ステップでは、上記の条件を満たす領域R1が最下位階層から所定階層以内に存在しない場合には、匿名化対象の位置情報の匿名化はできないものとして破棄することも好ましい。ここでの所定階層は、それよりも上位の階層の領域を用いて匿名化を行うと、曖昧化の程度が強すぎて匿名化後の位置情報を有効利用できないような階層数である。
本発明における匿名化ステップは、具体的には次のような手順により実施することができる。すなわち、本発明における匿名化ステップは、前記匿名化対象の位置情報を含む最下位階層の領域を判定対象領域に設定する第1工程と、前記判定対象領域に含まれる位置情報の数がk個以上であるか判定する第2工程と、前記第2工程における判定が肯定判定であれば、前記匿名化対象の位置情報を、前記第2工程における前記判定対象領域を示す情報に置換する第3工程と、前記第2工程における判定が否定判定であれば、前記第2工程における前記判定対象領域の親階層(1階層上位の階層)の領域のうち、k個以上の位置情報を含む当該親階層の子階層(1または複数階層下位の階層)の領域を除いた領域を、判定対象領域として再設定する第4工程と、を含み、第4工程の後、前記第2工程以降の処理を再度実行する、ことにより実現できる。なお、繰り返し処理における第2工程の判定が所定回続けて否定判定であれば、繰り返し処理を終了して、匿名化対象の位置情報を破棄することで、所定階層以上の拡張を行わないようにできる。
本発明における匿名化ステップは、次のような手順により実施することもできる。すなわち、本発明における匿名化ステップは、階層化された複数の領域のそれぞれについて、当該領域に含まれる位置情報の数を求める前処理工程と、前記前処理工程の結果に基づいて、匿名化対象の位置情報を含む最下位階層の領域から上位階層の領域に順に処理を行って、k個以上の位置情報を含む下位階層の領域R2を除いた領域R3に含まれる位置情報の数がk個以上となる領域R1を探索し、最初に条件を満たした領域R3で匿名化対象の位置情報を置き換える匿名化工程と、を含むように構成できる。
このように前処理行程において各領域に含まれる位置情報の数をあらかじめ求めておくことで匿名化領域R3を容易に求めることができる。前処理工程において、複数の領域のそれぞれについて、当該領域の下位階層の領域のうちk個以上の領域を除いた領域に含ま
れる位置情報の数を求めるとよい。これにより、匿名化工程において匿名化領域R3をさらに容易に求めることができる。
本発明の別の態様は、出発地と目的地の位置情報を含む移動情報の匿名化方法である。具体的には、コンピュータが実行する移動情報匿名化方法であって、出発地と目的地の位置情報を含む移動情報を複数取得する移動情報取得ステップと、前記複数の移動情報を、出発地と目的地を表す情報を置き換えて同一の出発地と目的地を表す移動情報がk(kは正の整数)個以上となるように匿名化する匿名化ステップと、を含み、前記匿名化ステップでは、木構造により構造化された複数の領域の中から、下記条件を満たす領域S1と領域D1の組み合わせ、および領域S2と領域D2の組み合わせを求め、前記匿名化対象の移動情報を、領域S1を出発地とし領域D1を目的地とする移動から、領域S2を出発地とし領域D2を目的地とする移動を除いた移動を示す情報に置き換える、ことを特徴とする。
(条件1)領域S1は、匿名化対象の移動情報の出発地を含む最下位階層の領域または当該最下位階層の領域の1または複数階層上位の領域のいずれかである。
(条件2)領域D1は、匿名化対象の移動情報の目的地を含む最下位階層の領域または当該最下位階層の領域の1または複数階層上位の領域のいずれかである。
(条件3)領域S2は、領域S1または領域S1の1または複数階層下位の領域であり、領域D2は、領域D1または領域のD1の1または複数階層下位の領域であり、領域S2を出発地とし領域D2を目的地とする移動情報の数がk個以上である。ただし、領域S2が領域S1でありかつ領域D2が領域D1である場合を除く。
(条件4)領域S1を出発地とし領域D1を目的地とする移動情報から、領域S2を出発地とし領域D2を目的地とする移動情報を除いた移動情報の数がk個以上である。
なお、上記の条件3は領域S2と領域D2が存在することを要請するものではない。条件3を満たす領域S2と領域D2が存在しない場合には、条件4は、「領域S1を出発地とし領域D1を目的地とする移動情報の数がk個以上である」という条件と等しくなる。また、条件3を満たす領域S2と領域D2の組み合わせが複数存在することもある。その場合は、条件4においては、領域S2と領域D2の組み合わせの全てについて、これらの領域を出発地および目的地とする移動情報を、領域S1を出発地とし領域D1を目的地とする移動情報を除いた数を求める必要がある。
また、領域S1と領域D1の階層について、さらに条件を課すことも好ましい。例えば、領域S1の階層は領域D1の階層と同じかそれよりも低いようにしてもよい。この場合、領域S2と領域D2についても同様に、領域S2の階層は領域D2の階層と同じかそれよりも低いという条件を課すとよい。また、領域S1の階層は領域D1の階層と同じかそれよりも高いようにしてもよい。この場合、領域S2と領域D2についても同様に、領域S2の階層は領域D2の階層と同じかそれよりも高いという条件を課すとよい。また、領域S1の階層と領域D1の階層は同じとしてもよい。この場合、領域S2と領域D2の階層も同じという条件を課すとよい。
このように、出発地と目的地の2つの位置情報からなる移動情報に対しても、上記と同様に構造化(階層化)された領域を用いて、k匿名性を満たすような匿名化が可能である。この際、下位階層の領域を出発地および目的地とする移動情報がk個以上であるような組み合わせを除いているので、移動情報が多い出発領域と目的領域の組み合わせについては下位階層の出発地領域および目的地領域を用いて匿名化ができる。したがって、k匿名性を満たす範囲でデータの曖昧化を最小限とすることができる。また、領域が構造化されているので、上記の処理を容易に行うことができる。
なお、本発明は、上記処理の少なくとも一部を実行する位置情報匿名化方法および移動
情報匿名化方法として捉えることもできる。また、本発明は、この方法をコンピュータに実行させるためのコンピュータプログラム、あるいはこのコンピュータプログラムを非一時的に記憶したコンピュータ可読記憶媒体として捉えることもできる。また、本発明は、上記処理の少なくとも一部を実行する手段を備える位置情報匿名化装置および移動情報匿名化装置として捉えることができる。上記手段および処理の各々は可能な限り互いに組み合わせて本発明を構成することができる。
本発明によれば、簡易な処理により位置情報を適切に匿名化できる。
第1の実施形態における位置情報匿名化装置の機能ブロックを示す図。 階層化領域を説明する図。 第1の実施形態における位置情報匿名化処理の流れを示すフローチャート。 第1の実施形態における位置情報匿名化処理を説明する図。 第1の実施形態における匿名化位置情報の表現方法を説明する図。 第1の実施形態の変形例における位置情報匿名化処理の流れを示すフローチャート。 第1の実施形態の変形例における位置情報匿名化処理を説明する図。 第2の実施形態にかかる移動情報匿名化装置の機能ブロックを示す図。 第2の実施形態における移動情報収集処理の流れを示すフローチャート。 第2の実施形態における移動情報匿名化処理の流れを示すフローチャート。 第2の実施形態における移動情報収集処理を説明する図。
(第1の実施形態)
本発明の第1の実施形態に係る位置情報匿名化装置100について説明する。位置情報匿名化装置100は、一般的なコンピュータ(情報処理装置)であり、CPUやMPUなどの演算装置、主記憶装置や補助記憶装置などの記憶装置、入出力装置、通信インタフェースなどを含む。位置情報匿名化装置100は、記憶装置に格納されたプログラムを演算装置が実行することによって、図1に示す各機能を実現する。すなわち、位置情報匿名化装置100は、位置情報取得部101、階層領域定義部102、匿名化部103として機能する。なお、これらの機能部の一部または全部について専用のハードウェア回路によって実現しても構わない。また、これらの機能を複数のコンピュータが連携することによって実現しても構わない。
位置情報取得部101が取得する位置情報は、位置を特定可能な情報であれば任意の形式の情報であってよい。位置情報は、典型的には緯度・経度情報であるが、マップコードなどであっても構わない。また、位置情報取得部101による位置情報の取得方法は特に限定されず、通信(有線通信および無線通信)によって位置情報を取得してもよいし、記憶媒体から位置情報を取得してもよい。位置情報取得部101によって取得された位置情報は、匿名化部103によって匿名化(曖昧化や抽象化とも呼ばれる)される。
<階層化領域>
階層領域定義部102は、階層化された領域の定義を記憶する。本実施形態では、所定範囲(例えば、日本全国、関東エリア、東京エリアなど)を複数の分割領域に分割し、これらの分割領域の間の木構造で表現される階層構造を導入する。図2を参照して階層化領域について説明する。ここでは、階層構造が3階層であるものとして説明するが、階層数はより多くても構わない。
図2(A)は、最下位階層の分割領域を説明する図である。ここでは、最下位階層(第1階層)の分割領域として4×4の16個の分割領域が示されている。それぞれの分割領域は、重複なくかつ全体を漏れなく設定される。図2(B)は2階層目の領域を説明する図である。2階層目の領域は、2×2の4個の領域からなり、それぞれの領域が4つの第1階層の領域から構成される。図2(C)は最上位階層(第3階層)の領域を説明する図である。最上位階層の領域は、4つの第2階層の領域から構成される1つの領域からなる。図2(A)−図2(C)に示す階層化領域は、図2(D)のような木構造のデータとして、階層領域定義部102に格納できる。
図2に示す各領域の表現方法(識別子の決定方法)について説明する。ここでは、各領域の識別子を0と1からなるビット列として表現する。まず、最上位階層の領域は「00」とする。領域「00」の下位階層の領域は、「00」の後に2ビットのビット列を付加した識別子により特定される。2ビットのうち1ビット目は経度方向(西側なら0、東側なら1)、2ビット目は緯度方向(北側なら0、南側なら1)を表す。したがって、領域「0000」は領域「00」の北西側の分割領域、領域「0010」は領域「00」の北東側の分割領域を表す。同様に、最下位階層の領域は、第2階層(親階層)の領域の識別子にさらに同様の2ビットのビット列を付加した識別子により特定される。例えば、領域「000111」は領域「0001」の南東側の分割領域である。なお、このビット列をBase32などによりエンコーディングした文字列を各領域の識別子として用いてもよい。この場合、GeoHashを用いた位置情報の表現と同じとなる。
ここでは、各領域(最下位階層の領域を除く)が子階層の領域として2×2の領域を有する例を説明したが、各領域が有する子階層の領域の数はより多くても構わない。子階層の領域の数は、全ての領域について同じであってもよいが、異なっていてもよい。すなわち、本実施形態で用いられる領域の階層構造は木構造として表せれば特に限定されない。
<匿名化処理>
匿名化部103は、位置情報取得部101が取得した複数の位置情報を、階層領域定義部102において定義された階層領域を用いて匿名化する。匿名化部103は、位置情報を、階層化されたいずれかの領域に置き換えることによって匿名化を行う。この際、置き換える対象の領域(以下、匿名化領域と称する)にはk(kは正の整数)個以上の位置情報を含むようにするが、匿名化領域は位置情報をk個以上含む下位階層の領域(木構造における部分木に相当)を含まないように構成する。以下、図面を参照しつつ、匿名化部103による匿名化処理をより詳細に説明する。
図3は、匿名化部103による匿名化処理の流れを示すフローチャートである。匿名化部103は、まず階層を表す変数jを1にセットし(S301)、匿名化対象の位置情報を含む第j階層の領域rjを決定する(S302)。次に、匿名化部103は、領域rjに含まれる子階層(1つまたは複数階層下位の領域)のうち、位置情報をk個以上含む領域r’jを求める(S303)。このような領域r’jは存在しない場合もあるし、1つまたは複数存在する場合もある。j=1の場合は、領域rjの子階層の領域は存在せず領域r’jは存在しないので、この処理は行わなくてよい。匿名化部103は、領域rjから領域r’j(存在すれば)を除いた領域rを判定対象領域とし、判定対象領域rに含まれる位置情報の数nを求める(S304)。ここで求めた数nがk以上であれば(S305−YES)、匿名化対象の位置情報を判定対象領域r(領域rjから領域r’jを除いた領域)を示す情報に置き換える(S306)。一方、ステップS304で求めた数nがk未満であれば(S305−NO)、変数jが上限値に達していなければ(S307−NO)、変数jを1増分させて(S308)、ステップS302からの処理を繰り返す。一方、変数jが上限値に達していれば(S307−YES)、位置情報を過度に抽象化せず
にk匿名性を満たすことができないと判断して、匿名化対象の位置情報を破棄する(S309)。
上記の処理について、図4(A)〜4(C)を参照して具体例を元に説明する。図4(A)では、位置情報取得部101が取得した複数の位置情報が白丸で示されている。階層化領域のうち最下位階層の領域は全体領域を漏れなく、かつ、互いに重複しないように設定されているので、それぞれの位置情報は、いずれか1つの最下位層領域に含まれる。
j=1の場合、ステップS302において決定される領域rjは最下位階層領域のいずれかとなる。また最下位階層領域は子階層の領域を持たないので、ステップS303の条件を満たす領域r’jは存在しない。したがって、判定対象領域rは最下位階層領域となり、ステップS304で求められる数nはそれぞれの最下位階層領域に含まれる位置情報の数と等しくなる。ここでk=3とすると、含まれる位置情報の数nがk個以上となる最下位階層領域は、図4(A)に示す領域41と領域42(識別子で表すと領域「000000」と領域「001000」)となる。したがって、領域41に含まれる位置情報は領域41を示す情報に置き換えられ、領域42に含まれる位置情報は領域42を示す情報に置き換えられる。
領域41および領域42以外の最下位階層領域については位置情報の数nがk個以上であるという条件を満たさないので、判定対象領域を拡張する。すなわち、j=2として判定対象領域rを拡張して同様の処理が実施される。この場合ステップS302において決定される領域rjは第2階層の領域のいずれか(すなわち領域「0000」「0001」「0010」「0011」のいずれか)である。
ここで領域「0000」の子階層の領域のうち、領域「000000」(領域41)がk個以上の位置情報を含む。したがって、領域「0000」に関しては、領域「0000」(領域rj)から領域「000000」(領域41、領域r’j)を除いた領域43(判定対象領域r)を対象として、そこに含まれる位置情報の数がステップS304において求められる。
同様に、領域「0010」の子階層の領域のうち、領域「001000」(領域42)がk個以上の位置情報を含むので、領域「0010」(領域rj)から領域「001000」(領域42、領域r’j)を除いた領域45(判定対象領域r)を対象として、そこに含まれる位置情報の数がステップS304において求められる。
また、領域「0001」および領域「0011」(領域44および領域46)は、k個以上の位置情報を含む子階層領域を有しない(領域r’jが存在しない)ので、これらの領域の全体を判定対象領域rとして、そこに含まれる位置情報の数がステップS304において求められる。
領域43〜46のうち、k(3)個以上の位置情報を含む領域は領域43と領域44である。したがって、領域43に含まれる位置情報は領域43を示す情報に置き換えられ、領域44に含まれる位置情報は領域44を示す情報に置き換えられる。
領域45および領域46については位置情報の数nがk個以上であるという条件を満たさないので、判定対象領域を拡張する。すなわち、j=3として判定対象領域を拡張して上記と同様の処理が実施される。なお、ここではjの上限値が「3」であると仮定している。この場合、ステップS302において決定される領域rjは第3階層の領域、すなわち全体領域「00」である。領域「00」の子階層の領域のうち、k個以上の位置情報を含む領域r’jは、領域「0000」,「0001」,「001000」である。なお、
領域「000000」もk以上の位置情報を含むが、その親階層領域の領域「0000」が既にk個以上の位置情報を含んでいるので、考慮しなくてよい。したがって、領域「00」から領域「0000」、「0001」「001000」を除いた、図4(C)に示す領域47を判定対象領域rとして、そこに含まれる位置情報の数がステップS304において求められる。この数は「4」でありk(3)以上であるため、領域47に含まれる位置情報は、領域47を示す情報に置き換えられる。
なお、この例では領域47に含まれる位置情報の数が「4」であったが、当該数が「3」未満であれば、領域47に含まれる位置情報は匿名化されずに破棄される。また、この例ではjの上限値を「3」として説明したがjの上限値が「2」であれば、領域47に含まれる位置情報の数が「3」以上であっても、領域47に含まれる位置情報は匿名化されずに破棄される。
ステップS306において、位置情報を領域rを示す情報で置き換える際に、この領域rをどのように表現するかはいくつかの方法が考えられる。例えば、図5(A)に示すように、領域rを、領域rjとそこから除く領域r’jとによって表現することができる。例えば、領域43は、領域「0000」から領域「000000」を除いた領域として表すことができる。同様に、領域47は、領域「00」から領域「0000」、「001000」、「0001」を除いた領域として表現できる。領域41、42、43は除外する領域r’jが存在しないので、それぞれ領域「00000」「001000」「0001」として表すことができる。
また、図5(B)に示すように、領域rを構成する領域を列挙して表現することができる。例えば、領域43は、領域「000010」「000001」「000011」の3つの領域から構成されるので、これらの領域によって領域43を表すことができる。同様に、領域47は、領域「001010」「001001」「001011」「0011」によって表すことができる。なお、データ量を減らせるように、できるだけ上位の階層の領域を用いて領域rを表すようにする例を説明したが、最下位階層のみの領域を用いて領域rを表しても構わない。
<匿名化処理の変形例>
ここまで、図3のフローチャートにしたがって、匿名化部103による匿名化処理を説明したが、匿名化処理はこの手順以外の方法によっても行うことができる。最終的に、下記の条件を満たすような領域R3で匿名化対象の位置情報を匿名化できれば、種々の手順で匿名化してもよい。
(条件1)領域R1は、匿名化対象の位置情報を含む最下位階層の領域または当該最下位階層の領域の1または複数階層上位の上位階層の領域のいずれかである。
(条件2)領域R1の1または複数階層下位の階層の領域であってk個以上の位置情報を含む領域R2を領域R1から除いた領域R3に含まれる位置情報の数がk個以上である。
なお、これらの条件を満たす領域R1が複数存在する場合には、条件を満たすものの中で最も下位の階層の領域を領域R1とすることが好ましい。
上記で説明した図3のフローチャートに示す処理を行えば、上記の条件を満たす領域R3で匿名化対象の位置情報を匿名化できる。なお、領域R1,R2,R3は、ステップS305が肯定判定となる領域rj,r’j,rにそれぞれ相当する。例えば、図4における領域「000001」に含まれる位置情報を例にとって説明すると、領域R1は領域「0000」であり、領域R2は領域「000000」であり、領域R3は領域「0000」から領域「000000」を除いた領域である。
上記条件を満たす匿名化処理は図3のフローチャートに示す手順に限られない。匿名化処理は、例えば図6(A)に示す前処理工程と、図6(B)と匿名化工程の2つの処理によっても実現できる。この方法では、まず図6(A)の前処理で、各階層の領域ごとにそこに含まれる位置情報の数をあらかじめ算出して図7に示すようなデータを作成し、図6(B)の匿名化処理においてこのデータを参照して位置情報を匿名化する。
まず、図6(A)の前処理について説明する。匿名化部103は、最下位階層の領域に含まれる位置情報の数を求め、それぞれの領域に対応させてこの数を記憶する(S601)。次に、階層を表す変数jを「2」にセットし(S602)、第j階層の各領域について、当該領域の下位階層の領域に含まれる位置情報の数の合計を求める(S603)。ただし、ここで、k個以上の位置情報を有する子階層の領域については、合計の対象から除く。ステップS603において求められる位置情報の数を、当該領域の位置情報数と称する。匿名化部103は、ステップS603で求められた位置情報数を、その領域と関連付けて記憶する。この際、k個以上の位置情報を有する子階層領域を除外しない、全ての子階層の領域に含まれる位置情報の数も、当該領域と関連付けて記憶しておくことも好ましい。
匿名化部103は、変数jが上限値に達しているか判定し(S604)、変数jが上限値に達していなければ(S604−NO)、変数jを1増分して(S605)、ステップS603の処理を繰り返し行う。変数jが上限値に達していれば(S604−YES)、処理を終了する。なお、変数jの上限値は、階層化領域の全体階層数としてもよいし、匿名化の際に用いられる最上位の階層の階層数であってもよい。
図6(A)の前処理によって、図7に示すような位置情報数についてのデータが得られる。なお、この例は図4に示す位置情報を対象として処理を行った場合の例である。木構造の各ノードの中に示されている数値は、当該ノードに対応する領域についてステップS603で求められた位置情報数である。例えば、領域「0000」については、位置情報数が3である領域「000000」を除いた、領域「000001」、「000010」、「000011」に含まれる位置情報の数の合計である「3」が位置情報数として求められる。また図7では、第2階層以上の領域について、全ての子階層領域に含まれる位置情報の合計をノード横の括弧内に示している。また、位置情報数が3以上であるノードについては、太線で示している。
次に、図6(B)を参照して、位置情報の匿名化処理について説明する。匿名化部103は、匿名化対象の位置情報に対応する最下位階層の領域Reを決定する(S611)。次いで、匿名化部103は、領域Reおよびその親階層の領域のうち、位置情報数がk個以上であるという条件を満たす、最も下位の階層の領域R1を求める(S612)。この処理は、領域Reから上位階層に向かって位置情報数がk個以上の領域を探索して、最初に見つかった領域を領域R1とすることにより行える。また、匿名化部103は、領域R1の下位階層の領域のうち、位置情報数がk個以上である領域R2を求める(S613)。この処理は、領域R1の頂点とする部分木の走査を行い上記条件を満たす領域を探索することにより行える。なお、走査の際に、位置情報数がk個以上の下位領域が見つかればその下位ノードについては走査を行わなくてよい。したがって、深さ優先での走査を行うとよい。位置情報数の情報があらかじめ図7に示すように木構造で保持されているのでステップS612およびS613の探索は容易に行える。最後に、匿名化部103は、匿名化対象の位置情報を、領域R1から領域R2を除いた領域を示す情報で置き換える(S614)。この処理を、全ての位置情報について行うことで、全ての位置情報の匿名化が行える。なお、ステップS612において、最下位階層から所定階層以内に条件を満たす領域R1が存在しない場合には、匿名化部103は匿名化対象の位置情報を破棄する。
例えば、領域「000001」に含まれる位置情報については、ステップS611における領域Reが領域「000001」であり、ステップS612における領域R1が領域「0000」であり、ステップS613における領域R2が領域「000000」として決定される。したがって、当該位置情報は、領域「0000」(領域R1)から領域「000000」(領域R2)を除いた領域を示す情報を用いて匿名化される。
また、領域「001001」に含まれる位置情報については、ステップS611における領域Reが領域「001001」であり、ステップS612における領域R1が領域「00」であり、ステップS613における領域R2が領域「0000」、「0001」、「001000」の3つの領域として決定される。したがって、当該位置情報は、領域「00」(領域R1)から、領域「0000」、「0001」、「001000」(領域R2)を除いた領域を示す情報を用いて匿名化される。
領域「000001」や「001001」以外の領域に含まれる位置情報についても同様である。
このようにしても、図3のフローチャートに記載の処理と同様の匿名化処理が実現可能である。
また、図6の処理では、前処理工程においてある領域に含まれる位置情報の数を求める際に、k個以上の位置情報を含む下位階層の領域は除外して位置情報の数を求めている。しかしながら、前処理工程においては、その領域に含まれる位置情報の数の合計のみを求めてもよい。この場合は、各位置情報に対応する匿名化領域を求める際に、k個以上の位置情報を含む下位階層についての位置情報の数を除外してもk個以上の位置情報を含む領域を探索すればよい。
<実施形態の有利な効果>
本実施形態によれば、簡易な処理により位置情報を適切に匿名化することができる。本実施形態では、互いに重複せず、かつ、全体を漏れなく網羅した分割領域を階層化した階層化領域を用いて、位置情報の匿名化をしている。したがって、狭い領域(下位階層の領域)に含まれる位置情報の数がk未満である場合に、親階層の領域を匿名化領域とすればいいので領域の拡張が容易に行える。領域を拡張した際に、ある位置情報が複数の領域に含まれないことも、本実施形態における有利な効果である。特許文献1のように、ある地点(ランドマーク)を中心とする円形領域で匿名化を行い、k匿名性を満たさない場合は領域の半径を大きくする手法では、1つの位置情報が複数の円形領域に含まれてしまうことが想定され、このような場合の処理が困難となる。本実施形態では、階層化された領域を用いているので、このような問題は発生しない。
また、本実施形態では、k匿名性を満たす領域については当該領域を用いて匿名化し、上位階層の領域についてはk匿名性を満たさない子階層の領域のみを対象として匿名化している。したがって、ある狭い領域に多数の位置情報が存在する場合には、曖昧化の程度を最小限としつつ匿名化できる。また、含まれる位置情報の数が少ない領域についても、これらを統合した領域を用いて匿名化できるので、匿名化できずに破棄される位置情報の数を最小限とすることができる。
(第2の実施形態)
本発明の第2の実施形態は、図8(A)に示すように、車両801に搭載された車載端末810と、移動情報を匿名化する移動情報匿名化装置820からなる移動情報収集システムである。移動情報匿名化装置820は、車両801の移動情報の匿名化を行う。第1の実施形態では位置情報の匿名化を行っているが、本実施形態は第1の実施形態の匿名化
手法を、出発地と目的地の2点からなる移動情報の匿名化に応用する。
図8(A)は、本実施形態にかかる移動情報収集システムの構成を示す図である。移動情報収集システムは、車両801に搭載された車載端末810と、車載端末810とネットワーク830を介して接続された移動情報匿名化装置820とから構成される。図では1台の車両しか示していないが、移動経路データ収集システムは実際には複数の車両を含む。車載端末810は、定期的に時刻時報と位置情報を取得し、移動情報匿名化装置820に送信する。移動情報匿名化装置820は、車載端末810から収集した位置の履歴情報から移動情報を生成し、移動情報から個人を特定できないように匿名化処理を施す。
<車両(車載端末)>
車載端末810は、CPUやMPUなどの演算装置、主記憶装置や補助記憶装置などの記憶装置、入出力装置、通信インタフェースなどを含む。車載端末810は、記憶装置に格納されたプログラムを演算装置が実行することによって、図8(b)に示す各機能を実現する。すなわち、車載端末810は、位置情報取得部811、時刻情報取得部812、履歴情報送信部813として機能する。なお、これらの機能部の一部または全部について専用のハードウェア回路によって実現しても構わない。
位置情報取得部811は、車両801に搭載された位置情報取得装置から現在位置の情報を取得する。位置情報取得装置は、典型的には、全地球航法衛星システム(GNSS:Global Navigation Satellite System)の衛星信号に基づいて位置情報を算出する装置であり、例えば、GPS(Global Positioning System)、ガリレオ、GLONASS、北
斗などを挙げることができる。ただし、位置情報の取得は、無線基地局からの電波に基づく基地局測位によって行われてもよい。
時刻情報取得部812は、現在時刻の情報を取得する。位置情報取得装置は時刻情報を取得可能であるため、位置情報取得装置と時刻情報取得装置は同じ装置であっても構わない。また、時刻情報取得部812は、車両801に搭載された内部クロックから時刻情報を取得してもよい。
履歴情報送信部813は、位置情報取得部811が取得した位置情報と、時刻情報取得部812が取得した時刻情報とを、移動情報匿名化装置820に送信する機能部である。履歴情報送信部813は、位置情報や時刻情報を取得する度に移動情報匿名化装置820に送信してもよいし、位置情報や時刻情報を一時的に蓄積してからまとめて移動情報匿名化装置820に送信してもよい。履歴情報送信部813は、位置情報と時刻情報を含む送信データを生成して、無線通信によりネットワーク830を介して送信データを移動情報匿名化装置820に送信する。
以下、車載端末810による移動履歴データの送信処理について説明する。車両801のエンジンが始動すると、履歴情報送信部813は、位置情報取得部811が取得した位置情報と時刻情報取得部812が取得した時刻情報を車両IDとともに移動情報匿名化装置820に送信する。この際、現在位置がトリップの出発地であることが分かるフラグ(出発地フラグ)を付けてこれらの情報を送信することが好ましい。
エンジンの始動後は、車載端末810は、定期的に移動履歴データを送信する。例えば、所定の時間が経過したタイミングや、所定の距離を走行したタイミングで、移動履歴データが車載端末810から移動情報匿名化装置820に送信される。
車両801のエンジンが停止すると、履歴情報送信部813は、位置情報取得部811が取得した位置情報と時刻情報取得部812が取得した時刻情報を車両IDとともに移動
情報匿名化装置820に送信する。この際、現在位置がトリップの目的地であることが分かるフラグ(目的地フラグ)を付けてこれらの情報を送信することが好ましい。
また、ここでの説明では、エンジンが始動された位置をトリップの出発地、エンジンが停止された位置をトリップの目的地としているが、これは処理の一例である。エンジンが停止されてもすぐにエンジンが再始動された場合には、目的地であると判断しなくてもよい。また、エンジンが停止しなくても、長期間停車されたり、停車後に出発地に戻ったりした場合には、その地点を目的地としてもよい。
<移動情報匿名化装置>
移動情報匿名化装置820は、CPUやMPUなどの演算装置、主記憶装置や保持記憶装置などの記憶装置、入出力装置、通信インタフェースなどを有するコンピュータである。移動情報匿名化装置820は、必ずしも1台のコンピュータによって構成される必要はなく、ネットワークを介して通信可能な複数のコンピュータから構成されてもよい。移動情報匿名化装置820は、演算装置がプログラムを実行することで、図8(C)に示す各機能を実現する。すなわち、移動情報匿名化装置820は、履歴情報受信部821、移動情報生成部822、階層領域定義部823、移動情報匿名化部824として機能する。なお、これらの機能のうち一部または全部について専用のハードウェア回路によって実現しても構わない。
履歴情報受信部821は、車載端末810から送信される履歴情報を無線通信により受信する機能部である。移動情報生成部822は、履歴情報受信部821により受信された履歴情報から移動情報を生成する機能部である。移動情報生成部822の詳細については後述する。階層領域定義部823は、階層化された領域の定義を記憶する。階層化領域は、第1の実施形態と同様であるので、詳しい説明は省略する。移動情報匿名化部824は、移動情報生成部822が生成した移動情報を匿名化する。移動情報生成部822の詳細については後述する。
次に、図9のフローチャートを参照して、移動情報匿名化装置820が行う移動情報収集処理について説明する。
移動情報生成部822は、履歴情報受信部821が車載端末810から受信した移動履歴データからトリップ情報を求める(S901)。ここで求められるトリップ情報は、出発地の位置情報、出発地の出発時刻、目的地の位置情報、目的地への到着時刻、車両IDなどからなる。移動情報生成部822は、同一の車両IDを有する移動履歴データからトリップ情報を作成することができる。また、トリップの出発地は、移動履歴データに含まれる出発地フラグや目的地フラグから判断できる。ただし、これらのフラグが付されていない場合であっても、移動履歴データの送信が開始あるいは終了した地点を出発地や目的地と判断できる。また、長時間停止している場所でトリップが終了した、すなわち当該場所が現在のトリップの目的地であり、次のトリップの出発地であると判断してもよい。
移動情報生成部822は、ステップS901において生成したトリップ情報から、車両IDと時刻情報を削除して、出発地の位置情報と目的地の位置情報からなる移動情報を生成する(S902)。
移動情報匿名化部824は、複数の移動情報の匿名化を行う(S903)。具体的には、移動情報における出発地と目的地を、階層領域定義部823に定義されている領域を用いて曖昧化し、同じ出発地と目的地のペアを有する移動情報の数がk個以上となるようにする。この移動情報の匿名化処理S903を、図10のフローチャートを参照して詳細に説明する。なお、移動情報の匿名化においては、出発地と目的地のどちらを優先的に曖昧
化するかについて恣意性がある。ここでは、目的地を優先的に曖昧化する場合を例に説明する。
匿名化部824は、出発地の階層を表す変数iと目的地の階層を表す変数jとを1に設定する(S1001)。そして、匿名化対象の移動情報の出発地を含む第i階層の領域siと、目的地を含む第j階層の領域djとを決定する(S1002)。次に、匿名化部824は、領域siの子階層の領域s’i(ここでは領域si自体も含む)を出発地とし、領域djの子階層の領域d’j(ここでは領域dj自体も含む)を目的地とする移動情報の数がk個以上であるような、領域s’iと領域d’jのペアを求める(S1003)。ただし、領域siと領域djのペアは除外する。また、領域d’jの階層は、領域s’jの階層と同じかそれよりも上位階層とする。このような条件を満たす領域s’iと領域d’jのペアは存在しない場合もあるし、1つあるいは複数存在する場合もある。
匿名化部824は、領域siに含まれる位置を出発地とし領域djに含まれる位置を目的地とする移動情報(以下簡単のために、このような移動情報を、領域siを出発地とし領域djを目的地とする移動情報、あるいはより簡単に、領域siから領域djへの移動情報などと称する)の数から、領域s’iを出発地とし領域d’jを目的地とする移動情報の数を引いた数nを求める(S1004)。
ステップS1004で求めた数nがk個以上であれば(S1005−YES)、匿名化部824は、匿名化対象の移動情報を、出発地がsiかつ目的地がdjであるが、出発地がs’iかつ目的地がd’jではないことを示す情報に置き換える(S1006)。具体的には、移動情報を、領域si、領域dj、領域s’i、領域d’jの識別子によって表現すればよい。
ステップS1004で求めた数nがk未満であれば(S1005−NO)、変数iが上限値に達しているか判定する(S1007)。変数iが上限値に達していなければ(S1007−NO)、匿名化部824は、変数iまたは変数jの小さい方を1増分して、ステップS1002からの処理を繰り返し実行する。なお、変数iと変数jが等しい場合には、目的地を優先的に曖昧化するために、変数jを増分する。変数iが上限値に達した場合(S1007−YES)には、匿名化対象の移動情報を過度に匿名化せずにk匿名性を満たすことができないと判断して、匿名化対象の移動情報を破棄する。
上記の処理について、図11を参照して具体例を元に説明する。ここでは、簡単のために、図11(A)に示すように、階層化領域が2階層であるとする。図11(B)は、匿名化対象の移動情報の例である。ここでは移動情報A〜Jの10個の移動情報があるものとする。なお、図11(B)において、出発地「0000」、目的地「0000」とあるのは、移動情報の出発地が領域「0000」に含まれ、目的地が領域「0000」に含まれることを意味する。また、ここではkを3とする。
i=1,j=1の場合、領域siおよび領域djの組み合わせは、最下位階層の4つの領域「0000」、「0001」、「0010」、「0011」同士の組み合わせの16通りである。このうち、移動情報の数が3個以上となるものは、出発地が領域「0000」であり目的地が領域「0000」の移動情報(A〜Cが該当)である。したがって、移動情報A〜Cは、出発地が領域「0000」であり、目的地が領域「0000」であることを示す情報に置き換えられる。
次に、jが1増分されて、i=1、j=2となる。したがって、領域siは最下位層の4つの領域「0000」、「0001」、「0010」、「0011」のいずれかであり、領域djは最上位層の領域「00」である。ここで、領域siが領域「0000」で、
領域djが領域「00」の場合を例に説明する。ステップS1003における、領域siの子階層の領域s’iと領域djの子階層の領域d’jの組み合わせの候補として、出発地が領域「0000」で、目的地が領域「0000」、「0001」、「0010」、「0011」のいずれかという4通りがある。このうち、移動情報の数が3個以上となるのは、領域「0000」から領域「0000」への移動である(移動情報A〜Cが該当)。したがって、ステップS1003において得られる領域s’iと領域d’jの組み合わせは、領域「0000」と領域「0000」の組み合わせとなる。ステップS1004では、領域「0000」から領域「00」への移動情報の数(移動情報A〜Gが該当し7個)から、領域「0000」から領域「0000」への移動情報の数(移動情報A〜Cが該当し3個)を引いた4が数nとして求められる。この数nは3以上であるので、移動情報D〜Gは、領域「0000」から領域「00」への移動から、領域「0000」から領域「0000」への移動を除いた移動を表す情報に置き換えられる。
出発地の領域が領域「0000」以外の場合は、ステップS1003における領域d’iおよび領域s’jを満たす出発地と目的地の領域のペアは存在しないが、ステップS1004において求められる移動情報の数が3個以下となるため、k匿名性を満たさない。
次に、iが増分されて、i=2,j=2となる。したがって、領域siは領域「00」であり、領域djは領域「00」である。ステップS1003における、領域siの子階層の領域s’iと領域djの子階層の領域d’jの組み合わせの候補として、出発地が領域「0000」、「0001」、「0010」、「0011」のいずれかで、目的地が領域「0000」、「0001」、「0010」、「0011」のいずれかの16通りの組み合わせと、出発地が「0000」、「0001」、「0010」、「0011」で、目的地が「00」の4通りの組み合わせの、合計20通りがある(出発地が領域「00」で目的地が領域「0000」、「0001」、「0010」、「0011」のいずれかという組み合わせは、領域s’iが領域d’jよりも上位階層となるので含まれない)。このうち、移動情報の数が3個以上となるのは、領域「0000」から領域「0000」への移動(移動情報A〜Cが該当)と、領域「0000」から領域「00」への移動(移動情報A〜Gが該当)である。なお、前者は後者に包含されるので無視してもよい。ステップS1004では、領域「00」から領域「00」への移動情報の数(移動情報A〜Jが該当し10個)から、領域「0000」から領域「000への移動情報の数(移動情報A〜Gが該当し7個)を引いた3が数nとして求められる。この数nは3以上であるので、移動情報H〜Jは、領域「00」から領域「00」への移動から、領域「0000」から領域「00」への移動を除いた移動を表す情報に置き換えられる。
本実施形態によれば、出発地と目的地の位置情報からなる移動情報をk匿名性を満たすように匿名化できる。本実施形態においても階層化した階層化領域を用いているので、第1の実施形態と同様に、出発地および目的地を領域での置き換えにおいて、重複などの問題が発生せずに容易に行える。また、狭い領域を出発地および目的地としてk匿名性を満たす移動情報については、これらの出発地および目的地の領域を用いて匿名化でき、その他の移動情報についてはより広い領域を出発地および目的地とする移動として匿名化できる。したがって、移動情報の曖昧化を最小限としつつ、破棄される移動情報の数を最小限とした匿名化が実現できる。
なお、図10のフローチャートに示す匿名化処理は一例であり、その他の手法によっても移動情報の匿名化が行える。例えば、図10では、出発地よりも目的地を優先的に曖昧化しているが、逆に出発地を目的地よりも優先的に曖昧化してもよい。この場合、ステップS1008において変数iを変数jよりも先に増分させればよい。また、ステップS1004における領域s’iと領域d’jについては、領域s’iの階層が、領域d’jの階層と同じかそれよりも上位階層であることを条件とすればよい。
また、出発地と目的地を同じレベルで曖昧化してもよい。この場合、ステップS1008において変数iと変数jを同時に増分させればよい。また、ステップS1004における領域s’iと領域d’jは同じ階層であることを条件とすればよい。
また、これら以外の手順であっても、最終的に下記の条件を満たすような領域S1と領域D1の組み合わせ、および領域S2と領域D2の組み合わせを求めて、移動情報を、領域S1から領域D1への移動から、領域S2から領域D2への移動を除いた移動を表す情報で置き換えればよい。
(条件1)領域S1は、匿名化対象の移動情報の出発地を含む最下位階層の領域または当該最下位階層の領域の1または複数階層上位の領域のいずれかである。
(条件2)領域D1は、匿名化対象の移動情報の目的地を含む最下位階層の領域または当該最下位階層の領域の1または複数階層上位の領域のいずれかである。
(条件3)領域S2は、領域S1または領域S1の1または複数階層下位の領域であり、領域D2は、領域D1または領域のD1の1または複数階層下位の領域であり、領域S2を出発地とし領域D2を目的地とする移動情報の数がk個以上である。ただし、領域S2が領域S1でありかつ領域D2が領域D1である場合を除く。
(条件4)領域S1を出発地とし領域D1を目的地とする移動情報から、領域S2を出発地とし領域D2を目的地とする移動情報を除いた移動情報の数がk個以上である。
図9に示すフローチャートにしたがって匿名化された位置情報は、上記の条件を満たす。なお、領域S1,S2,D1,D2はそれぞれ上述の領域si,s’i,dj,d’jに相当する。
例えば、第1の実施形態において図6、図7の処理のように、各領域を出発地および目的地とする移動情報の数を表すデータを前処理により求めておき、このデータを用いてそれぞれの移動情報を匿名化することもできる。
また、移動情報は出発地と目的地の位置情報から構成されるので、出発地の緯度情報および経度情報と目的地の緯度情報と経度情報の4つの情報により特定される。すなわち、それぞれの移動情報は4次元空間における点と捉えることができる。このような4次元空間を、複数の分割領域に分割し、これらの分割領域の間に階層構造を導入すれば、第1の実施形態の位置情報に対する匿名化処理と同様の処理を行うことで、上記の条件を満たす移動情報の匿名化が実現できる。
100:位置情報匿名化装置
101:位置情報取得部
102:階層領域定義部
103:匿名化部

Claims (15)

  1. コンピュータが実行する位置情報匿名化方法であって、
    複数の位置情報を取得する位置情報取得ステップと、
    前記複数の位置情報を、k(kは正の整数)個以上の位置情報を含む匿名化領域で置き換える匿名化ステップと、
    を含み、
    前記匿名化ステップでは、前記匿名化領域を、木構造により階層化された複数の領域のうちの匿名化対象の位置情報を含むいずれかの階層の領域R1から1つまたは複数の下位階層の領域R2を除いた領域R3として決定する、
    位置情報匿名化方法。
  2. 前記領域R2および領域R3はいずれも、位置情報をk個以上含む領域である、
    請求項1に記載の位置情報匿名化方法。
  3. 前記領域R1は、下記条件1および条件2を満たす最も下位の階層の領域である、
    請求項2に記載の位置情報匿名化方法。
    (条件1)領域R1は、匿名化対象の位置情報を含む最下位階層の領域または当該最下位階層の領域の1または複数階層上位の領域のいずれかである。
    (条件2)領域R1の1または複数階層下位の領域であってk個以上の位置情報を含む領域R2を領域R1から除いた領域R3に含まれる位置情報の数がk個以上である。
  4. 前記匿名化ステップにおいて、上記の条件を満たす領域R1が最下位階層から所定階層以内に存在しない場合には、前記匿名化対象の位置情報を破棄する、
    請求項3に記載の位置情報匿名化方法。
  5. 前記木構造により構造化された複数の領域のうち、最下位階層の領域は、互いに重複しない、
    請求項1から4のいずれか1項に記載の位置情報匿名化方法。
  6. 前記匿名化ステップにおいて、前記匿名化領域は、領域R1を示す情報と領域R2を示す情報とによって表される、
    請求項1から5のいずれか1項に記載の位置情報匿名化方法。
  7. 前記匿名化ステップにおいて、前記匿名化領域は、領域R3に含まれる領域R1の下位階層の領域を示す情報によって表される、
    請求項1から5のいずれか1項に記載の位置情報匿名化方法。
  8. 前記匿名化ステップは、
    前記匿名化対象の位置情報を含む最下位階層の領域を判定対象領域に設定する第1工程と、
    前記判定対象領域に含まれる位置情報の数がk個以上であるか判定する第2工程と、
    前記第2工程における判定が肯定判定であれば、前記匿名化対象の位置情報を、前記第2工程における前記判定対象領域を示す情報に置換する第3工程と、
    前記第2工程における判定が否定判定であれば、前記第2工程における前記判定対象領域の親階層の領域のうち、k個以上の位置情報を含む当該親階層の子階層の領域を除いた領域を、判定対象領域として再設定する第4工程と、
    を含み、
    第4工程の後、前記第2工程以降の処理を再度実行する、
    請求項1から7のいずれか1項に記載の位置情報匿名化方法。
  9. 繰り返し処理における前記第2工程の判定が所定回数続けて否定判定であれば、繰り返し処理を終了し、前記匿名化対象の位置情報を破棄する、
    請求項8に記載の位置情報匿名化方法。
  10. 前記匿名化ステップは、
    階層化された複数の領域のそれぞれについて、当該領域に含まれる位置情報の数を求める前処理工程と、
    前記前処理工程の結果に基づいて、匿名化対象の位置情報を含む最下位階層の領域から上位階層の領域に順に処理を行って、k個以上の位置情報を含む下位階層の領域R2を除いた領域R3に含まれる位置情報の数がk個以上となる領域R1を探索し、最初に条件を満たした領域R3で匿名化対象の位置情報を置き換える匿名化工程と、
    を含む、請求項1から7のいずれか1項に記載の位置情報匿名化方法。
  11. 前記前処理工程では、複数の領域のそれぞれについて、当該領域の下位階層の領域のうちk個以上の領域を除いた領域に含まれる位置情報の数を求める、
    請求項10に記載の位置情報匿名化方法。
  12. コンピュータが実行する移動情報匿名化方法であって、
    出発地と目的地の位置情報を含む移動情報を複数取得する移動情報取得ステップと、
    前記複数の移動情報を、出発地と目的地を表す情報を置き換えて同一の出発地と目的地を表す移動情報がk(kは正の整数)個以上となるように匿名化する匿名化ステップと、
    を含み、
    前記匿名化ステップでは、木構造により構造化された複数の領域の中から、下記条件1から条件4を満たす領域S1と領域D1の組み合わせ、および領域S2と領域D2の組み合わせを求め、匿名化対象の移動情報を、領域S1を出発地とし領域D1を目的地とする移動から、領域S2を出発地とし領域D2を目的地とする移動を除いた移動を示す情報に置き換える、
    移動情報匿名化方法。
    (条件1)領域S1は、匿名化対象の移動情報の出発地を含む最下位階層の領域または当該最下位階層の領域の1または複数階層上位の領域のいずれかである。
    (条件2)領域D1は、匿名化対象の移動情報の目的地を含む最下位階層の領域または当
    該最下位階層の領域の1または複数階層上位の領域のいずれかである。
    (条件3)領域S2は、領域S1または領域S1の1または複数階層下位の領域であり、領域D2は、領域D1または領域のD1の1または複数階層下位の領域であり、領域S2を出発地とし領域D2を目的地とする移動情報の数がk個以上である。ただし、領域S2が領域S1でありかつ領域D2が領域D1である場合を除く。
    (条件4)領域S1を出発地とし領域D1を目的地とする移動情報から、領域S2を出発地とし領域D2を目的地とする移動情報を除いた移動情報の数がk個以上である。
  13. 請求項1から12のいずれか1項に記載の方法の各ステップをコンピュータに実行させるためのプログラム。
  14. 複数の位置情報を取得する位置情報取得手段と、
    前記複数の位置情報を、k(kは正の整数)個以上の位置情報を含む匿名化領域で置き換える匿名化手段と、
    を備える位置情報匿名化装置であって、
    前記匿名化手段は、前記匿名化領域を、木構造により階層化された複数の領域にうちの匿名化対象の位置情報を含むいずれかの階層の領域R1から1つまたは複数の下位階層の領域R2を除いた領域R3として決定する、
    位置情報匿名化装置。
  15. 出発地と目的地の位置情報を含む移動情報を複数取得する移動情報取得手段と、
    前記複数の移動情報を、出発地と目的地を表す情報を置き換えて同一の出発地と目的地を表す移動情報がk(kは正の整数)個以上となるように匿名化する匿名化手段と、
    を備える移動情報匿名化装置であって、
    前記匿名化手段は、木構造により構造化された複数の領域の中から、下記条件1から条件4を満たす領域S1と領域D1の組み合わせ、および領域S2と領域D2の組み合わせを求め、匿名化対象の移動情報を、領域S1を出発地とし領域D1を目的地とする移動から、領域S2を出発地とし領域D2を目的地とする移動を除いた移動を示す情報に置き換える、
    移動情報匿名化装置。
    (条件1)領域S1は、匿名化対象の移動情報の出発地を含む最下位階層の領域または当該最下位階層の領域の1または複数階層上位の領域のいずれかである。
    (条件2)領域D1は、匿名化対象の移動情報の目的地を含む最下位階層の領域または当該最下位階層の領域の1または複数階層上位の領域のいずれかである。
    (条件3)領域S2は、領域S1または領域S1の1または複数階層下位の領域であり、領域D2は、領域D1または領域のD1の1または複数階層下位の領域であり、領域S2を出発地とし領域D2を目的地とする移動情報の数がk個以上である。ただし、領域S2が領域S1でありかつ領域D2が領域D1である場合を除く。
    (条件4)領域S1を出発地とし領域D1を目的地とする移動情報から、領域S2を出発地とし領域D2を目的地とする移動情報を除いた移動情報の数がk個以上である。
JP2015086917A 2015-04-21 2015-04-21 位置情報匿名化方法、移動情報匿名化方法、および装置 Active JP6435978B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015086917A JP6435978B2 (ja) 2015-04-21 2015-04-21 位置情報匿名化方法、移動情報匿名化方法、および装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015086917A JP6435978B2 (ja) 2015-04-21 2015-04-21 位置情報匿名化方法、移動情報匿名化方法、および装置

Publications (2)

Publication Number Publication Date
JP2016206896A JP2016206896A (ja) 2016-12-08
JP6435978B2 true JP6435978B2 (ja) 2018-12-12

Family

ID=57487672

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015086917A Active JP6435978B2 (ja) 2015-04-21 2015-04-21 位置情報匿名化方法、移動情報匿名化方法、および装置

Country Status (1)

Country Link
JP (1) JP6435978B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7003822B2 (ja) * 2018-04-12 2022-01-21 富士通株式会社 情報処理装置、情報処理システム、及びプライバシ保護プログラム
JP7422595B2 (ja) 2020-04-06 2024-01-26 株式会社ブログウォッチャー 情報処理装置、情報処理方法、情報処理プログラム
JP7458863B2 (ja) 2020-04-06 2024-04-01 株式会社ブログウォッチャー 情報処理装置、情報処理方法、情報処理プログラム
KR102507480B1 (ko) * 2021-07-12 2023-03-09 주식회사 메쉬코리아 위치 정보의 비식별화 방법 및 장치
JP2024058969A (ja) * 2022-10-17 2024-04-30 パナソニックオートモーティブシステムズ株式会社 分析装置、分析方法およびプログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9087203B2 (en) * 2010-12-27 2015-07-21 Nec Corporation Information protection device and information protection method
WO2012093522A1 (ja) * 2011-01-05 2012-07-12 日本電気株式会社 匿名化装置
JP5691936B2 (ja) * 2011-08-19 2015-04-01 富士通株式会社 情報処理方法及び装置
JP5974858B2 (ja) * 2012-11-27 2016-08-23 富士通株式会社 匿名化処理方法及び装置

Also Published As

Publication number Publication date
JP2016206896A (ja) 2016-12-08

Similar Documents

Publication Publication Date Title
JP6435978B2 (ja) 位置情報匿名化方法、移動情報匿名化方法、および装置
JP6464849B2 (ja) 移動経路データ匿名化装置および方法
JP6254583B2 (ja) 動的言語モデル
US7953548B2 (en) Location-based information determination
JP5411159B2 (ja) 通信ネットワークを介して送信元からコンテンツを受信する位置認識装置、および通信ネットワークを介して位置認識装置により受信されたコンテンツに含まれる情報を特定する方法
JP5390840B2 (ja) 情報分析装置
CN110413719A (zh) 信息处理方法及装置、设备、存储介质
US10274329B2 (en) Method and apparatus for providing a minimum overlapping alternative path
US9453741B2 (en) Navigation system with indexed term searching and method of operation thereof
JP5234637B2 (ja) ユーザ動線生成サーバ、ユーザ動線生成方法、及びユーザ動線生成プログラム
JP7176011B2 (ja) デジタルアシスタントアプリケーションとナビゲーションアプリケーションとの間のインターフェーシング
US10079888B2 (en) Generation and use of numeric identifiers for locating objects and navigating in spatial maps
JP5399813B2 (ja) 逆ジオコーディング装置、及び逆ジオコーディング方法
JP6905911B2 (ja) 経路探索装置、経路を探索する方法、コンピュータプログラム
US9212929B2 (en) Routing service for computation of a cross-street associated with a geographic location
JP7028194B2 (ja) 推論用知識生成装置、推論用知識生成方法、及びプログラム
JP6316597B2 (ja) 情報処理サーバ、情報処理方法及び情報処理プログラム
JP5432740B2 (ja) 地図情報表示装置、地図情報表示方法、及びプログラム
JP2016170270A (ja) 地図表示システム及び地図表示方法
US20230080592A1 (en) Navigation System
JP5058201B2 (ja) 情報管理システム及び情報管理方法
JP6808672B2 (ja) 地図情報作成装置、地図情報作成方法、地図情報プログラム及び記録媒体
US20220130244A1 (en) Method, apparatus, and computer program product for requesting traffic data using subtree data structure
US20240175704A1 (en) Method, apparatus, and computer program product for intelligent gap placement within mobility data using junctions inferred by features of the mobility data
Shalannanda et al. Application for rural internet access services logistics travel duration in Indonesia

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171225

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180718

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180807

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181002

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181016

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181029

R151 Written notification of patent or utility model registration

Ref document number: 6435978

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151