CN104182694A - 隐私保护型数据提供系统 - Google Patents
隐私保护型数据提供系统 Download PDFInfo
- Publication number
- CN104182694A CN104182694A CN201410219142.7A CN201410219142A CN104182694A CN 104182694 A CN104182694 A CN 104182694A CN 201410219142 A CN201410219142 A CN 201410219142A CN 104182694 A CN104182694 A CN 104182694A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- data
- information
- anonymization
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
- G16H10/60—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
Landscapes
- Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Epidemiology (AREA)
- Primary Health Care (AREA)
- Public Health (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
在收集和发送包含个人信息的数据的系统中,提供一种为了在保护数据提供者的隐私的同时对于数据利用者来说容易灵活运用而进行了加工的数据。在收集包含个人信息的数据而向数据终端发送的信息提供装置中,针对由作为个人信息的所有者的个人许诺了利用的数据,进行对数据进行变换使得使用多个参数无法确定个人的匿名化处理,由此生成保护了个人的隐私的多个匿名化数据。用不同的参数将各个匿名化数据进行匿名化,因此各匿名化数据的信息量不同。另外,如果接受了来自用户终端的请求,则根据利用用户终端的利用者的信赖度,从所生成的多个匿名化数据中确定能够向该利用者提供的匿名化数据。
Description
技术领域
本发明涉及一种为了二次灵活利用数据,在对与隐私有关的信息进行匿名化、模糊化的基础上进行数据提供的系统。
背景技术
由于存储器的低价格化/大规模化、网络的准备、便携信息终端的普及等各种信息技术的发展,所积累的信息量爆炸性地增大,所谓的灵活利用大数据(big data)的动向增加了。但是,在该大数据中,对于与个人有关的信息的二次利用,需要在实施隐私的保护的基础上来灵活利用。例如,在专利文献1中,公开了以下的方法,即在公开个人信息的情况下,通过根据Web网站的访问数和经营信息来求出用户对公开目标的的信赖度,控制公开水平,从而保护隐私。
另外,只要简单地删除个人信息,或将用于确定个人的ID变换为其他的ID,就存在通过将条件组合而确定个人的风险。因此,作为更安全地进行隐私保护的方法,已知以下的k-匿名化方法,即对原始的数据进行模糊化,使得在指定的数据项目的组合中至少存在k个以上的相同条件的数据(参照非专利文献1)。
专利文献1:日本特开2012-3323(个人信息公开支持装置、方法以及程序)
非专利文献
非专利文献1:K.Harada,Y.Sato and Y.Togashi,“Reducing Amount of Information Loss in k-Anonymization for secondary Use of Collected Personal Information”,Proc.of SRII Global Conference2012,pp.61-69.
发明内容
但是,在上述那样的现有技术中,例如在灵活利用非常敏感的个人信息即医疗保健信息的情况下,存在以下的问题。
首先,在如专利文献1那样自动地决定公开范围的情况下,在个人不希望 公开自己的信息的情况以及相反为了公益目的而希望积极地公开的情况下,有时用户无法决定公开范围。
另外,在作为灵活利用医疗保健数据的情况,而设想防止传染病的蔓延、改善疾病的治疗方法等对广泛对人有作用那样的公益性高的情况的情况下,需要公开并提供以某一定的水平而统一了的数据。为此,如果能够对每个用户决定公开范围,则不向数据的利用者提供充分的信息量,就有可能即使对数据进行分析也无法得到有意义的结果。
另外,在应用非专利文献1那样的k-匿名化技术的情况下,不了解对于如何决定作为参数的k的值有用的方法,而需要一种考虑到提供数据方的安全性、灵活利用数据方的方便性的方法。
因此,在本发明中,在收集包含个人信息的数据而向用户终端发送的信息提供装置中,针对由作为个人信息的所有者的个人许诺了利用的数据,进行对数据进行变换使得使用多个参数无法确定个人的匿名化处理,由此生成保护了个人的隐私的多个匿名化数据。用不同的参数对各个匿名化数据进行匿名化,因此各匿名化数据的信息量不同。另外,如果接受了来自用户终端的请求,则根据利用用户终端的利用者的信赖度,从所生成的多个匿名化数据中确定能够向该利用者提供的匿名化数据。
根据本发明,能够在保护作为数据提供者的个人的隐私的同时,向数据利用者提供方便性高的数据。
附图说明
图1是本发明的准备了多个信息提供用数据组的隐私保护型数据提供系统的概要结构的一个实施方式。
图2是本发明的以匿名化处理部为中心的详细系统的一个实施方式。
图3是本发明的隐私保护条件信息的一个例子。
图4是本发明的利用条件信息的一个例子。
图5是本发明的利用者信赖度信息的一个例子。
图6是表示本发明的与利用者信赖度、利用条件对应的k值的决定方法的概念的图表的一个例子。
图7是本发明的许诺表的一个例子。
图8是本发明的匿名化处理部的处理流程的一个例子。
图9是本发明的数据提供处理部的处理流程的一个例子。
图10是利用了本发明的系统的时序的一个例子。
图11是本发明的硬件结构的一个例子。
图12是本发明的显示画面的一个例子。
附图标记说明
5:隐私保护条件要件;7:匿名化处理部;8:提供用数据库;9:数据提供处理部;10:利用条件;11:利用者信赖度;12:日志数据;22:k-匿名化处理部。
具体实施方式
<概要>
对于本发明的一个实施方式,首先使用图1、图11说明设想了医疗保健数据的系统的整体像。
在本实施例中,作为原始数据提供者1,设想了管理医疗保健数据的医院、药店、治疗所、健康保险工会、生物银行、家庭等组织。但是,医疗保健数据本来是个人的数据,因此也可以设想个人自身作为原始数据提供者1,设想直接从个人收集医疗保健数据。
积累在医院等的计算机(图11的56)中的与个人有关的医疗保健数据经由网络14被收集到数据收集/管理/提供者16的数据准备装置(图11的55)。这时,对于多个原始数据提供者存在一个人的数据,因此在通过由数据准备装置55的CPU执行的花名册处理部2进行记名的基础上,作为匿名化前数据3而存储在HDD中。从原始数据提供者1收集数据的定时既可以在每次由原始数据提供者更新数据时进行,也可以一天一次地在夜间收集一天的更新部分。另外,原始数据既可以从原始数据提供者方的终端发送,也可以从数据准备装置取得数据。
在数据准备装置55的HDD中存储有匿名化数据库4。在该数据库中存储有隐私保护要件5和匿名化列表6,使用该信息,通过由数据准备装置55的CPU执行的匿名化处理部7进行包含在数据中的个人信息的匿名化,由此生成向数据利用者13提供的数据,并保存在数据提供装置(图11的54)的提供用数据库8中。
在数据提供装置54的HDD的提供用数据库8中,存储有根据多个条件 通过匿名化处理部7匿名化了的数据组。通过数据提供装置54执行的数据提供处理部9根据利用条件10和利用者信赖度11的信息,向数据利用者13提示能够根据其综合信赖度而提供的数据组、其概要(数据项目、数据量、k值、信息损失量)、金额。
数据利用者13根据数据利用者的利用者终端(图11的51)所连接的监视器(图11的52)所提示的条件,根据各个利用目的来选择了自己所利用的数据组的基础上,从数据处理部9经由网络15接受数据。这时的履历信息被记录在日志数据12中。在此,作为数据利用者13,不只是医院、保健所、福利劳动部等行政机关、健康保险工会等主要具有公共作用的机关,还包含制药企业、食品企业、美容企业等私营企业。
<隐私保护条件信息>
在图3中表示隐私保护条件信息5的例子。在隐私保护条件信息5中,设定有用于保护包含在数据中的个人信息的所有者即个人的隐私的条件。该条件依存于法律和指南,因此根据国家的不同而定义发生变化,另外有时也根据时代的不同而变化。在这样的情况下,也可以准备多个隐私保护条件信息。例如,在经由数据提供处理部9对存在于多个国家的数据利用者13提供提供用数据库8的数据的情况下,也可以选择与数据利用者13访问的国家对应的隐私保护条件信息5,变更所提供的数据。但是,在本实施例中,说明隐私保护条件信息5是一个的情况的例子。
在个人信息范围中,设定了所处理的数据项目作为个人信息。在删除项目中,为了保护个人的隐私,而设定有不向数据利用者提供的数据项目。在变换项目中,设定有变换内容而向数据利用者提供的数据项目。在图3的例子中,没有设定变换项目,但例如如果将确定个人的ID变换为其他ID而能够在保护隐私的状态下提供数据的情况下,设定ID作为变换项目。在保护项目中,设定如果是能够保护个人的隐私的状态也可以向数据利用者提供的数据项目。
作为用于在能够保护隐私的状态下提供数据的技术,例如有k-匿名化技术。k-匿名化技术是以下一种技术,即针对被设定为保护项目的数据项目的组合、即住所、年龄、性别、疾病名、手术名,使得保证对住所、年龄等进行了模糊化的状态使得根据它们的组合而具有相同的值的个人至少存在k个人以上,由此保护隐私。
对k值的最小值,设定在应用k-匿名化技术时能够指定的k值的最小值。在利用许诺时,记录利用许诺表24的链接目标信息作为与数据提供时的利用许诺有关的信息。
此外,被设定为个人信息范围的数据项目分别被设定为删除项目、变换项目以及保护项目中的任意一个。但是,也可以将没有被设定为个人信息范围的数据项目设定为删除项目、变换项目以及保护项目。
<利用许诺表>
在图7中表示利用许诺表24的例子。在该表中设定有在对每个个人向数据利用者提供数据时的利用许诺条件。例如在图7中,按照能够信赖的顺序,将数据利用者的综合信赖度分类为10、9的利用者为信赖度A、8~6的利用者为信赖度B、5~3的数据利用者为信赖度C、2~0的数据利用者为信赖度D这样的A~D的4个阶段,关于向各信赖度等级的数据利用者进行怎样程度的数据模糊化才可以提供数据的情况,记录有各个人所定义的许诺条件。例如,表示出00001的ID的人许诺了如果是基于k=10的k-匿名化而进行了模糊化的数据则可以向信赖度A等级的数据利用者提供。在此,k=10的k-匿名化表示如上述的非专利文献1所示那样,在指定的项目的组合中存在具有相同的值的10个以上的数据。
使用图10的时序图的收集的部分,表示更新利用许诺表24的步骤。作为原始数据提供者1的个人从图11的个人用终端57经由网络14向数据收集/管理/提供者16的许诺管理处理部17进行登录。许诺管理处理部17向个人用终端57的监视器58显示所登录的个人的利用许诺表。个人使用个人用终端57的输入装置59变更利用许诺表的条件。许诺管理处理部17更新利用许诺表24。最后,个人从许诺管理处理部17退出。
对于该许诺条件,例如通过设为opt-out方式,如果没有特别指定,则应用缺省的条件,由此确保提供原始数据的个人的人数,并且能够某种程度地确保数据的质量。另外,各个人不只是能够拒绝原始数据的提供,还能够变更许诺条件,因此至少具有使自己的数据稍微起作用这样的人容易参加的效果。在此,作为用于变更许诺表的方法,准备还能够通过客服中心和邮件进行变更的窗口等。另外,删除曾经提供的数据是困难的,因此理想的是对于过去许诺了利用的数据,设为即使在拒绝进行数据提供后也无法删除的规则。
此外,在利用许诺表24中,也可以使得无法指定比在隐私保护条件信息5中所记录的k值的最小值更小的值。另外,在许诺条件中,也可以定义许诺期间和所许诺的数据的范围等作为更详细的条件。
<提供用数据组生成处理>
接着,使用图2和图8说明生成提供用的数据组的方法。在图10的时序图中,该处理相当于管理的部分的提供用数据组生成41。首先,数据收集/管理/提供者16针对数据准备装置指定用于在提供用数据库8中进行了准备的k-匿名化后的数据组的k值(步骤100)。例如,数据组A设为k=10,数据组B设为k=100,数据组C设为k=500。
接着,匿名化许诺列表处理部21针对所指定的各数据组用的k值,参照利用许诺表24,抽出如果是各数据组用的k值则许诺了数据提供的个人,生成匿名化列表6。即,在该例子中,将数据组用的k值设为kd,针对kd=10、100、500,参照各个人所许诺的k值(为kp),检索成为kd>kp的个人的ID,生成与各个kd的值对应的匿名化列表(步骤102)。另外,也可以在对指定的k值(kd)施加了图7所示的信赖度等级(A~D)的条件下,抽出许诺了数据提供的个人,生成匿名化列表。在该情况下,还按照k值和信赖度等级的组合不同来生成数据组。
接着,在k-匿名化处理部22中,参照匿名化列表6从匿名化前数据3取得与列表对应的个人的信息,保存在暂时存储23中(步骤104)。然后,k-匿名化处理部22使用非专利文献1所记载的k-匿名化方法,使用由匿名化列表处理部21指定的k值来进行k-匿名化。这时,保证k个以上的数据的组合利用记录在隐私保护条件信息5的保护项目中的条件(步骤106)。最后,k-匿名化处理部22将进行了k-匿名化后的数据记录在提供用数据库8中。这时,还一起保存模糊化造成的信息损失量(步骤108)。
该处理例如可以一日一次地在夜间实施而更新数据,也可以以1个月为单位进行更新,或每隔几分钟实施。另外,不需要那么频繁地实施步骤100、步骤102,可以只实施步骤104~108。
通过使用以上的方法,不需要在每次提供数据时实施k-匿名化,可以与数据利用者的条件一起迅速地进行适当的数据的提供。
<利用者信赖度信息>
在图5中表示利用者信赖度信息11的例子。在利用者信赖度信息11中设定有被定义为数据利用者的信赖度的值。对于数据的提供,与数据利用者签订合同为前提。使用图10的时序图的提供部分说明数据提供的流程。最初,从数据利用者13向数据收集/管理/提供者16申请利用合同。这样,数据收集/管理/提供者16调查与数据利用者有关的信赖度而作为值进行定义,将该值登记为隐私保护条件信息5,以后适当进行更新。
例如,在图5的例子中,根据公益性、与隐私保护有关的规格的JISQ15001:2006的取得的有无、信息泄漏事故的次数、交易实绩来求出综合信赖度。例如,将综合信赖度设为10分满分,进行公益性(80%)+JIS Q对应(10%)-信息泄漏事故(0~100%)+交易实绩(10%)这样的分配而决定值。此外,作为其他的信赖度的尺度,也可以利用隐私标记的取得等、各种标准规格和对指南依据的程度、经营状态等。
另外,对于公益性和对指南的依据等的状况,可以采取请专业的机关来判定的方法。如果审查的结果是判断数据提供没有问题,则数据收集/管理/提供者16向数据利用者13提供ID和密码。此外,也可以对该利用许诺设置期限。
进而,在大规模灾害、瘟疫的发生等紧急事态的情况下,也可以能够临时变更利用者信赖度11。通过利用这样的方法,还能够为了挽救许多生命那样的公益而利用数据。
<利用条件信息>
在图4中表示根据数据利用者的信赖度而设定的利用条件信息10的一个例子。在利用条件信息10中,根据综合信赖度来设定数据利用者能够利用的数据的条件。在此,表示综合信赖度为10和3的例子。如图4所示,在综合信赖度不同的情况下,数据利用者能够利用的数据也不同。
在用途不同的数据组中,设定有与使用用途对应的数据组的一览。作为用途不同数据组,例如有设想了对糖尿病进行分析那样的用途的数据项目的组合的数据组、由数据利用者任意指定的数据项目的组合的数据组。在数据项目中,设定有包含在用途区别数据组中的数据项目的一览。在对每个用途不同数据组设定的数据取得年数中,规定了数据利用者能够取得的数据的年数。作为数据取得年数,例如准备了利用全年的量的情况、利用5年的量的情况、利用1年的量的情况这样的选择项。进而,按照不同的数据取得年数,设定能够向数 据利用者提供的匿名化数据组的一览、各匿名化数据组的k值以及利用金额。
该设定方法是任意的,但对于综合信赖度低的数据利用者,应该将能够进行数据提供的k值的值只设定为大的值,另外理想的是将利用金额也设定得较高。因此,例如使用图6所示那样的函数,信赖度越高则将k值设定得越低,另外数据项目数越多则确定个人的风险越高,因此将k值设定得高即可。
<数据提供处理>
通过以上那样的实施例,进行了所提供的数据的准备,因此接着使用图9说明数据提供处理。在此,表示以下的例子,即数据提供处理部9参照利用条件信息10和利用者信赖度信息11,经由网络15向数据利用者13进行数据提供。该步骤相当于图1的时序图的提供的部分的处理。
数据利用者13经由利用者终端51向数据提供装置54的数据提供处理部9进行登录(步骤200)。数据提供处理部9参照利用者信赖度信息11,取得所登录的数据利用者13的综合信赖度的值(步骤202)。取得符合该值的利用条件信息10(步骤204)。这时,如图12所示,还取得记录在提供用数据库8中的各数据组的信息损失量,同时显示在利用者终端55的监视器52中,由此能够成为数据利用者利用哪个数据组的判断材料(步骤206)。此外,如图12所示,也可以在利用者终端55的监视器52中,将所提供的数据的样品显示为数据项目一览。
数据利用者13从显示在监视器52中的规定的数据组中选择所利用的数据组,经由利用者终端51向数据提供装置发送选择出的数据组的信息。这时,根据数据利用者的综合信赖度,有时能够选择任意的数据项目的组。数据提供处理部9如果从利用者终端接收到所选择出的数据组的信息,则判定是否选择了任意的数据项目的组(步骤208)。
在没有选择任意的数据项目的组的情况下,数据提供处理部9参照日志数据12,确认过去的数据提供履历,对过去提供的数据组和本次提供的数据组进行比较,由此判定是否存在确定个人信息的风险(步骤210)。
例如,在按照相同的数据项目过去提供过k=10的数据的情况下,在新提供了k=11的数据时,如果取得其差分,则有时会只有一人的数据变化,而判定为存在个人确定的风险。在其结果是判定为存在风险的情况下,显示为不能进行数据的下载(步骤214),前进到步骤222。在判定为没有个人确定的风 险的情况下,向利用者终端发送许可数据的下载的指示(步骤212)。此外,在存在确定个人信息的风险的情况下,也可以不设为不可下载,而是减少所提供的数据量。
另外,数据提供处理部9将该信息记录到日志数据12中(步骤213),前进到步骤222。将该日志作为用于更新收费信息以及数据利用者的信赖度的基础信息之一而进行利用。再次返回到步骤208,说明数据利用者13选择了任意的数据项目的组的情况。数据提供处理部9将用于选择数据项目的画面显示在利用者终端51的监视器52中(步骤216)。如果数据利用者13选择了所希望的数据项目,则利用者终端51向数据提供装置55发送所选择出的数据项目。
在数据提供处理部9中,与接收到的数据项目个数一致,显示所提供的金额(步骤218)。如果数据利用者13对该条件没有问题(步骤220),则从利用者终端55向数据提供装置55发送数据的下载指示(步骤210)。在数据利用者向利用者终端51输入了不进行下载的指示的情况下,将催促选择是否结束处理的画面显示在利用者终端51的监视器52中(步骤222)。
在向利用者终端输入了没有结束处理的指示的情况下,返回到步骤206的处理。在向利用者终端51输入了处理结束的指示的情况下,从利用者终端接收到该指示的数据提供处理部9使数据利用者退出(步骤224)。
根据以上那样的实施方式,通过在数据的管理者施加一定的制约的基础上维持隐私保护的同时还保证所提供的数据的质量,从而能够提高数据利用者的方便性。
另外,通过提供事先按照多个条件准备的数据组,能够与数据利用者的特性一致地控制所提供的信息量,能够提高安全性。进而,对于数据利用者一方来说,能够与自己的灵活利用目的一致地选择具有充分的信息量的数据组,能够避免万一泄漏信息的情况下的风险。
此外,以上的例子只不过是一个实施方式,并不采用该形式自身,只要不脱离主要内容,就能够省略一部分、或变更组合。
Claims (10)
1.一种信息提供装置,其与多个第一用户终端和多个第二用户终端连接,针对从上述多个第一用户终端收集到的包含个人信息的数据,应用指定参数而执行的对数据进行变换使得无法确定个人的匿名化处理,根据来自上述第二用户终端的请求而将通过应用该匿名化处理而生成的匿名化数据发送到该第二用户终端,该信息提供装置的特征在于,具备:
存储部,其存储以下信息:包含上述个人信息的数据;针对作为上述个人信息的所有者的个人的每个数据,规定了许可提供的上述匿名化数据的上述参数的第一信息;规定了成为应用上述匿名化处理的对象的上述个人信息的第二信息;规定了经由上述第二用户终端接受上述匿名化数据的提供的每个利用者的信赖度的水平的第三信息;根据上述信赖度的水平来规定了具有该信赖度的上述利用者能够接受提供的上述匿名化数据的上述参数的第四信息;以及
处理部,其根据上述第一信息,针对多个预定的上述参数,分别从上述数据中抽出被许可了提供的数据,根据上述第二信息,确定所抽出的上述数据的个人信息中的成为上述匿名化处理的对象的个人信息,针对所确定的上述个人信息用上述多个预定的参数的每一个执行匿名化处理,由此生成信息量不同的多个上述匿名化数据;根据来自上述第二用户终端的请求,根据上述第三信息确定该第二用户终端的利用者的信赖度的水平,根据所确定的上述信赖度的水平和上述第四信息,从上述多个匿名化数据中确定能够向上述第二用户终端发送的匿名化数据。
2.根据权利要求1所述的信息提供装置,其特征在于,
上述匿名化处理是以下的k-匿名化处理,即针对包含在上述数据中的一个以上的数据项目,对上述数据进行抽象化使其具有用上述参数指定的个数以上的相同的值。
3.根据权利要求2所述的信息提供装置,其特征在于,
在上述存储部中还存储表示与上述匿名化数据的提供有关的履历的日志数据,
上述处理部在从上述第二用户终端接收到对上述确定的匿名化数据的发送请求的情况下,参照上述日志数据,对过去向该第二用户终端的利用者提供的匿名化数据和接受了上述发送请求的匿名化数据进行比较,由此判定是否存在包含在接受了上述发送请求的匿名化数据中的个人信息被确定的风险,在判定为有风险的情况下,拒绝上述发送请求。
4.根据权利要求3所述的信息提供装置,其特征在于,
根据来自上述第一用户终端的请求来设定上述第一信息。
5.根据权利要求4所述的信息提供装置,其特征在于,
对上述第四信息进行设定,使得如果信赖度的水平变高则上述参数的值变小。
6.一种信息提供装置的控制方法,其特征在于,该信息提供装置与多个第一用户终端和多个第二用户终端连接,针对从上述多个第一用户终端收集到的包含个人信息的数据,应用指定参数而执行的对数据进行变换使得无法确定个人的匿名化处理,根据来自上述第二用户终端的请求而将通过应用该匿名化处理而生成的匿名化数据发送到该第二用户终端,该信息提供装置的控制方法的特征在于,
存储以下信息:包含上述个人信息的数据;针对作为上述个人信息的所有者的个人的每个数据,规定了许可提供的上述匿名化数据的上述参数的第一信息;规定了成为应用上述匿名化处理的对象的上述个人信息的第二信息;规定了经由上述第二用户终端接受上述匿名化数据的提供的每个利用者的信赖度的水平的第三信息;根据上述信赖度的水平而规定了具有该信赖度的上述利用者能够接受提供的上述匿名化数据的上述参数的第四信息,
根据上述第一信息,针对多个预定的上述参数,分别从上述数据中抽出被许可了提供的数据,根据上述第二信息,确定所抽出的上述数据的个人信息中的成为上述匿名化处理的对象的个人信息,针对所确定的上述个人信息用上述多个预定的参数的每一个执行匿名化处理,由此生成信息量不同的多个上述匿名化数据,
根据来自上述第二用户终端的请求,根据上述第三信息,确定该第二用户终端的利用者的信赖度的水平,根据所确定的上述信赖度的水平和上述第四信息,从上述多个匿名化数据中确定能够向上述第二用户终端发送的匿名化数据。
7.根据权利要求6所述的信息提供装置的控制方法,其特征在于,
上述匿名化处理是以下的k-匿名化处理,即针对包含在上述数据中的一个以上的数据项目,对上述数据进行抽象化使其具有用上述参数指定的个数以上的相同的值。
8.根据权利要求7所述的信息提供装置的控制方法,其特征在于,
在上述存储部中还存储表示与上述匿名化数据的提供有关的履历的日志数据,
上述处理部在从上述第二用户终端接收到对上述确定的匿名化数据的发送请求的情况下,参照上述日志数据,对过去向该第二用户终端的利用者提供的匿名化数据和接受了上述发送请求的匿名化数据进行比较,由此判定是否存在包含在接受了上述发送请求的匿名化数据中的个人信息被确定的风险,在判定为有风险的情况下,拒绝上述发送请求。
9.根据权利要求8所述的信息提供装置的控制方法,其特征在于,
根据来自上述第一用户终端的请求来设定上述第一信息。
10.根据权利要求9所述的信息提供装置的控制方法,其特征在于,
对上述第四信息进行设定,使得如果信赖度的水平变高则上述参数的值变小。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013107582A JP2014229039A (ja) | 2013-05-22 | 2013-05-22 | プライバシ保護型データ提供システム |
| JP2013-107582 | 2013-05-22 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104182694A true CN104182694A (zh) | 2014-12-03 |
| CN104182694B CN104182694B (zh) | 2017-10-31 |
Family
ID=50774671
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410219142.7A Expired - Fee Related CN104182694B (zh) | 2013-05-22 | 2014-05-22 | 隐私保护型数据提供系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9317716B2 (zh) |
| EP (1) | EP2806368A1 (zh) |
| JP (1) | JP2014229039A (zh) |
| CN (1) | CN104182694B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105224881A (zh) * | 2015-09-23 | 2016-01-06 | 华中科技大学 | 一种众包数据库下的双向k-匿名方法 |
| CN110737917A (zh) * | 2019-10-15 | 2020-01-31 | 卓尔智联(武汉)研究院有限公司 | 基于隐私保护的数据共享装置、方法及可读存储介质 |
| CN111954998A (zh) * | 2017-12-08 | 2020-11-17 | 诺顿卫富氪公司 | 用于使用户账户匿名化的系统和方法 |
| US20210192011A1 (en) * | 2019-12-18 | 2021-06-24 | Canon Kabushiki Kaisha | Data transmission apparatus, method of controlling data transmission apparatus, and storage medium |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160321456A1 (en) * | 2013-12-18 | 2016-11-03 | Joseph Schuman | Systems, methods and associated program products to minimize, retrieve, secure and selectively distribute personal data |
| JP6283519B2 (ja) * | 2014-01-06 | 2018-02-21 | 富士通クラウドテクノロジーズ株式会社 | 制御装置、制御方法、及び制御プログラム |
| JP6161545B2 (ja) * | 2014-01-07 | 2017-07-12 | Kddi株式会社 | 匿名化パラメータ選択装置、方法及びプログラム |
| JP6528536B2 (ja) | 2015-05-18 | 2019-06-12 | 株式会社リコー | 情報処理装置、プログラムおよび情報処理システム |
| JP5893197B1 (ja) * | 2015-06-22 | 2016-03-23 | ニフティ株式会社 | 判定方法、判定装置及び判定プログラム |
| WO2017145038A1 (en) * | 2016-02-22 | 2017-08-31 | Tata Consultancy Services Limited | Systems and methods for computing data privacy-utility tradeoff |
| JP6161750B2 (ja) * | 2016-02-23 | 2017-07-12 | 富士通クラウドテクノロジーズ株式会社 | 判定方法、判定装置及び判定プログラム |
| JP6747664B2 (ja) * | 2016-06-01 | 2020-08-26 | Necソリューションイノベータ株式会社 | 匿名化処理装置、匿名化処理方法、及びプログラム |
| JP6711519B2 (ja) * | 2016-06-24 | 2020-06-17 | Necソリューションイノベータ株式会社 | 評価装置、評価方法及びプログラム |
| US10713382B1 (en) * | 2017-01-09 | 2020-07-14 | Microsoft Technology Licensing, Llc | Ensuring consistency between confidential data value types |
| JP6664342B2 (ja) * | 2017-02-09 | 2020-03-13 | 日本電信電話株式会社 | データ流通仲介装置、データ流通仲介システム、およびデータ流通仲介方法 |
| CA3006893C (en) * | 2017-09-07 | 2023-01-10 | The Toronto-Dominion Bank | Digital identity network interface system |
| US10938950B2 (en) | 2017-11-14 | 2021-03-02 | General Electric Company | Hierarchical data exchange management system |
| US10885224B2 (en) | 2018-02-01 | 2021-01-05 | International Business Machines Corporation | Data de-identification with minimal data change operations to maintain privacy and data utility |
| JP7070994B2 (ja) * | 2018-06-01 | 2022-05-18 | 日本電気株式会社 | 処理装置、処理方法及びプログラム |
| US10831928B2 (en) * | 2018-06-01 | 2020-11-10 | International Business Machines Corporation | Data de-identification with minimal data distortion |
| WO2020043610A1 (en) * | 2018-08-28 | 2020-03-05 | Koninklijke Philips N.V. | De-identification of protected information |
| JP7145743B2 (ja) * | 2018-12-05 | 2022-10-03 | 三菱電機株式会社 | 個人情報管理装置、個人情報管理システム、個人情報管理方法及びプログラム |
| JP2020112922A (ja) * | 2019-01-09 | 2020-07-27 | 三菱電機株式会社 | サーバ装置およびデータ移転方法 |
| WO2020179606A1 (ja) * | 2019-03-05 | 2020-09-10 | 日本電信電話株式会社 | 一般化階層集合生成装置、一般化階層集合生成方法、プログラム |
| JP2020154687A (ja) * | 2019-03-20 | 2020-09-24 | 株式会社リコー | 管理システム、サーバシステム、遠隔機器管理システム、機密情報削除方法およびプログラム |
| JP6797963B2 (ja) * | 2019-03-29 | 2020-12-09 | 株式会社エヌ・ティ・ティ・データ | 匿名加工対象特定方法、匿名加工対象特定システム及びプログラム |
| US20240104080A1 (en) * | 2019-10-31 | 2024-03-28 | Nec Corporation | Information transaction system, information transaction device, information transaction method, and program |
| JP7363662B2 (ja) | 2020-04-28 | 2023-10-18 | 富士通株式会社 | 生成方法,情報処理装置及び生成プログラム |
| US20230388306A1 (en) * | 2021-01-28 | 2023-11-30 | Hitachi, Ltd. | Data circulation control method, data circulation control system, and approval server |
| JP2022138780A (ja) * | 2021-03-11 | 2022-09-26 | 株式会社日立製作所 | データ連携システム、データ連携方法、トラストシステム及びデータの公開方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060123461A1 (en) * | 2004-12-02 | 2006-06-08 | Xerox Corporation | Systems and methods for protecting privacy |
| CN102893553A (zh) * | 2010-05-19 | 2013-01-23 | 株式会社日立制作所 | 个人信息匿名化装置 |
| US20130054618A1 (en) * | 2009-11-06 | 2013-02-28 | Waldeck Technology, Llc | Dynamic profile slice |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040199781A1 (en) * | 2001-08-30 | 2004-10-07 | Erickson Lars Carl | Data source privacy screening systems and methods |
| US7024409B2 (en) * | 2002-04-16 | 2006-04-04 | International Business Machines Corporation | System and method for transforming data to preserve privacy where the data transform module suppresses the subset of the collection of data according to the privacy constraint |
| US8200775B2 (en) * | 2005-02-01 | 2012-06-12 | Newsilike Media Group, Inc | Enhanced syndication |
| CA2679800A1 (en) * | 2008-09-22 | 2010-03-22 | University Of Ottawa | Re-identification risk in de-identified databases containing personal information |
| US9178634B2 (en) * | 2009-07-15 | 2015-11-03 | Time Warner Cable Enterprises Llc | Methods and apparatus for evaluating an audience in a content-based network |
| WO2011013495A1 (ja) * | 2009-07-31 | 2011-02-03 | 日本電気株式会社 | 情報管理装置、情報管理方法、及び情報管理プログラム |
| JP2012003323A (ja) | 2010-06-14 | 2012-01-05 | Nippon Telegr & Teleph Corp <Ntt> | 個人情報開示支援装置、方法及びプログラム |
| JP5626733B2 (ja) | 2011-10-04 | 2014-11-19 | 株式会社日立製作所 | 個人情報匿名化装置及び方法 |
| JP5684165B2 (ja) | 2012-02-08 | 2015-03-11 | 株式会社日立製作所 | 個人情報匿名化装置および方法 |
| US20150033356A1 (en) * | 2012-02-17 | 2015-01-29 | Nec Corporation | Anonymization device, anonymization method and computer readable medium |
-
2013
- 2013-05-22 JP JP2013107582A patent/JP2014229039A/ja active Pending
-
2014
- 2014-05-21 US US14/283,366 patent/US9317716B2/en not_active Expired - Fee Related
- 2014-05-22 CN CN201410219142.7A patent/CN104182694B/zh not_active Expired - Fee Related
- 2014-05-22 EP EP14169482.8A patent/EP2806368A1/en not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060123461A1 (en) * | 2004-12-02 | 2006-06-08 | Xerox Corporation | Systems and methods for protecting privacy |
| US20130054618A1 (en) * | 2009-11-06 | 2013-02-28 | Waldeck Technology, Llc | Dynamic profile slice |
| CN102893553A (zh) * | 2010-05-19 | 2013-01-23 | 株式会社日立制作所 | 个人信息匿名化装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105224881A (zh) * | 2015-09-23 | 2016-01-06 | 华中科技大学 | 一种众包数据库下的双向k-匿名方法 |
| CN105224881B (zh) * | 2015-09-23 | 2017-12-26 | 华中科技大学 | 一种众包数据库下的双向k‑匿名方法 |
| CN111954998A (zh) * | 2017-12-08 | 2020-11-17 | 诺顿卫富氪公司 | 用于使用户账户匿名化的系统和方法 |
| CN111954998B (zh) * | 2017-12-08 | 2022-08-26 | 诺顿卫富氪公司 | 用于使用户账户匿名化的系统和方法 |
| CN110737917A (zh) * | 2019-10-15 | 2020-01-31 | 卓尔智联(武汉)研究院有限公司 | 基于隐私保护的数据共享装置、方法及可读存储介质 |
| US20210192011A1 (en) * | 2019-12-18 | 2021-06-24 | Canon Kabushiki Kaisha | Data transmission apparatus, method of controlling data transmission apparatus, and storage medium |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2806368A1 (en) | 2014-11-26 |
| US20140351946A1 (en) | 2014-11-27 |
| CN104182694B (zh) | 2017-10-31 |
| US9317716B2 (en) | 2016-04-19 |
| JP2014229039A (ja) | 2014-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104182694A (zh) | 隐私保护型数据提供系统 | |
| Paul et al. | Privacy implications of wearable health devices | |
| US8661453B2 (en) | Managing healthcare information in a distributed system | |
| Nichols et al. | Community-based delivery of HIV treatment in Zambia: costs and outcomes | |
| TWI649762B (zh) | 用於雲端臨床資料庫管理的方法及系統 | |
| US20230342872A1 (en) | System and method for collecting forensic data via a mobile device | |
| Martino et al. | Privacy policies of personal health records: an evaluation of their effectiveness in protecting patient information | |
| Segagni et al. | R engine cell: integrating R into the i2b2 software infrastructure | |
| US20150039338A1 (en) | Digital and computerized information system to access contact and medical history data of individuals in an emergency situation | |
| Bazel et al. | Hospital information systems in Malaysia: current issues and blockchain technology as a solution | |
| Putzier et al. | Implementation of cloud computing in the German healthcare system | |
| CN113360941A (zh) | 基于数字孪生的医疗数据处理方法、装置和计算机设备 | |
| CN117095799A (zh) | 一种健康医疗大数据共享系统和方法 | |
| Scheuermeyer et al. | Speed and accuracy of text-messaging emergency department electrocardiograms from a small community hospital to a provincial referral center | |
| Miller et al. | Risk analysis of residual protected health information of android telehealth apps | |
| Flores et al. | Functionalities of open electronic health records system: A follow-up study | |
| US20200272761A1 (en) | Software having control logic for secure transmission of personal data via the internet from computers to the server, with secure storage of the data on servers | |
| Tomashchuk et al. | Operationalization of privacy and security requirements for eHealth IoT applications in the context of GDPR and CSL | |
| Jha et al. | A framework for addressing data privacy issues in e-governance projects | |
| TW201824157A (zh) | 健康風險分級系統與方法 | |
| Parker et al. | Data quality: How the flow of data influences data quality in a small to medium medical practice | |
| Pandve et al. | Telemedicine: Transforming healthcare in India | |
| Parkhomenko et al. | Research and Development of the API for Personal Health Record. | |
| Lulembo et al. | Improving healthcare delivery with the use of online patient information management system | |
| Schafer et al. | Combining frameworks to improve military health system quality and cybersecurity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171031 Termination date: 20190522 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |