CN117043773A - 处理系统、处理方法以及处理程序 - Google Patents
处理系统、处理方法以及处理程序 Download PDFInfo
- Publication number
- CN117043773A CN117043773A CN202280023999.4A CN202280023999A CN117043773A CN 117043773 A CN117043773 A CN 117043773A CN 202280023999 A CN202280023999 A CN 202280023999A CN 117043773 A CN117043773 A CN 117043773A
- Authority
- CN
- China
- Prior art keywords
- processing
- servers
- unit
- anonymized
- shares
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 146
- 238000003672 processing method Methods 0.000 title claims description 36
- 238000004364 calculation method Methods 0.000 claims description 102
- 238000000034 method Methods 0.000 claims description 43
- 238000011156 evaluation Methods 0.000 claims description 16
- 238000010586 diagram Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 9
- 238000004458 analytical method Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000004973 liquid crystal related substance Substances 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000009825 accumulation Methods 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 235000010678 Paulownia tomentosa Nutrition 0.000 description 1
- 240000002834 Paulownia tomentosa Species 0.000 description 1
- 235000010724 Wisteria floribunda Nutrition 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Hardware Redundancy (AREA)
Abstract
处理系统(100)是将登记者装置具有的登记数据以片段化的份额的状态分散保管于多个服务器的处理系统,其中,多个服务器(20A)~(20C)分别具有:匿名化部,其对份额进行匿名化;以及加工信息提供部,其以份额的状态提供进行了匿名化的匿名加工信息。
Description
技术领域
本发明涉及处理系统、处理方法以及处理程序。
背景技术
处理医疗信息等重要信息的运营商不仅要求符合法规、特定领域指南的安全对策,还要求安全地利用信息。特别是,跨领域的数据的蓄积、数据的有效利用有望促进创新,带来经济增长等各种领域的发展,但从伴随数据公开的风险、保护企业战略等的观点出发,成为阻碍数据有效利用促进的主要原因。
因此,作为能够实现这些相反的要求的技术,提出了安全计算。安全计算是隐藏敏感数据并且仅返回结果而不相互公开的技术。
现有技术文献
专利文献
专利文献1:国际公开第2019/124260号
专利文献2:日本特开2020-042128号公报
非专利文献
非专利文献1:日本电报电话株式会社,安全计算系统及其原理,[online],[令和3年3月5日检索]、互联网<URL:ttps://www.rd.ntt/sc/project/data-security/NTT-himitsu-keisan.pdf>
非专利文献2:桐渊直人,五十岚大,滨田浩气,菊池亮,“可编程安全计算库MEVAL3”,密码学与信息安全研讨会(SCIS),2018.
非专利文献3:Eizen Kimura,Koki Hamada,Ryo Kikuchi,Koji Chida,KazuyaOkamoto,Shirou Manabe,Tomohiro Kuroda,Yasushi Matsumura,Toshihiro Takeda,andNaoki Mihara,“Evaluation of Secure Computation in a Distributed HealthcareSetting”,Medical Informatics Europe(MIE)2016:152-156.
非专利文献4:Koji Chida,Gembu Morohashi,Hitoshi Fuji,Fumihiko Magata,Akiko Fujimura,Koki Hamada,Dai Ikarashi,Ryuichi Yamamoto,“Implementation andevaluation of an efficient secure computation system using'R'for healthcarestatistics”,J Am Med Inform Assoc.21,pp.326-331,2014.
发明内容
发明要解决的课题
在安全计算中,通过秘密共享来隐藏数据,而在现行法律中,秘密共享也是加密的一种,用于个人信息的处理。因此,当第三方想要实现基于安全计算的、将组织间的数据联合起来的横向分析时,在分析时虽然是密文的形式但第三方会接触到数据,产生个人信息向第三方的提供。因此,在安全计算中,存在无法避免地同意第三方取得个人信息提供的问题。
本发明是鉴于上述情况而完成的,其目的在于提供一种处理系统、处理方法以及处理程序,在利用安全计算上的数据时,能够不需要同意第三方取得个人信息的提供。
用于解决课题的手段
为了解决上述问题并达成目的,本发明的处理系统是将登记者装置具有的登记数据以片段化的份额的状态分散保管于多个服务器的处理系统,其特征在于,多个服务器分别具有:匿名化部,其对份额进行匿名化;以及提供部,其以份额的状态提供进行了匿名化的匿名加工信息。
发明的效果
根据本发明,在利用安全计算上的数据时,能够不需要同意第三方取得个人信息的提供。
附图说明
图1是表示实施方式的处理系统的结构的一例的框图。
图2是说明实施方式的处理系统的处理概要的图。
图3是说明实施方式的处理系统的处理概要的图。
图4是示意性地表示登记者装置的结构的一例的图。
图5是说明实施方式的处理系统的处理概要的图。
图6是示意性地表示服务器的结构的一例的图。
图7是示意性地表示使用者装置的结构的一例的图。
图8是表示处理系统执行的安全计算的处理过程的时序图。
图9是说明实施方式的处理系统的处理概要的其他例子的图。
图10是表示处理系统执行的安全计算的其他处理过程的时序图。
图11是表示执行程序的计算机的图。
具体实施方式
以下,基于附图详细说明本申请的处理系统、处理方法以及处理程序的实施方式。此外,本申请的处理系统、处理方法以及处理程序不被该实施方式限定。
在以下的实施方式中,依次说明实施方式的处理系统、处理方法以及处理程序的处理流程,最后说明实施方式的效果。
[实施方式]
首先说明实施方式。在实施方式中,在能够以加密的状态计算数据的安全计算中,在安全计算上,通过对原始数据实施匿名化,向第三方提供未确定个人的匿名加工信息。由此,在本实施方式中,在利用安全计算上的数据时,不需要同意第三方取得个人信息的提供。
[处理系统的结构以及处理的概要]
对实施方式的处理系统的结构以及处理系统中的处理概要进行说明。图1是表示实施方式的处理系统的结构的一例的框图。图2及图3是说明实施方式的处理系统的处理概要的图。
实施方式的处理系统100是执行能够在加密的状态下对数据进行计算的安全计算的系统。在处理系统100中,将数据分割为多个被称为份额(share)的片段,在使这些份额分散保管于多个服务器的状态下,多个服务器按照规定的过程进行在多个服务器间进行数据的运算和交换的多方计算,由此执行安全计算。各个份额分别成为没有意义的数据,仅通过一个份额无法复原原始数据,信息不会泄露,但在某个一定数量以上的份额齐备时,能够复原原始数据。
以下,如图1所示,对处理系统100由数据登记者A的登记者装置10、数据中心(DC)内的服务器20A、20B、20C以及进行计算委托的数据使用者B的使用者装置30构成的例子进行说明。此外,图1所示的结构只不过是一例,具体的结构、各装置的数量没有特别限定。并且,为了便于说明,将登记者装置10和使用者装置30分开进行说明,但在实际运用中,使用者装置30也可以具有登记者装置10所具有的功能。
首先,对数据保管的处理进行说明。登记者装置10向DC的服务器20A~20C上传登记数据(例如,表Ta)来进行登记(图2的(1))。例如,登记数据是医疗的诊疗数据、每天的生命数据等。登记者装置10将作为上传对象的原始数据Da分别片段化为份额Sa1~Sa3(图3的(1))。登记者装置10使DC的服务器20A~20C分散保管片段化的各份额Sa1~Sa3(图3的(1))。
例如,如图3所示,服务器20A保管份额Sa1,服务器20B保管份额Sa2,服务器20C保管份额Sa3、Sb3。而且,在服务器20A~20C单体中,无法将份额Sa1~Sa3复原为原始数据。因此,不会从各个份额Sa1~Sa3中泄露信息。
由此,原始数据Da被加密而无法参考。即,即使攻击者不正当取得片段化的份额的一部分,也无法复原原始数据。另外,除了自身持有原始数据的数据登记者以外,即使是系统管理者,也无法从DC的服务器20A~20C参考原始数据。这样,在处理系统100中,能够将数据分散保管、即秘密共享到安全的环境中(图3的(2))。
然后,服务器20A~20C对分别保管的份额Sa1~Sa3进行匿名化(图2的(2)、图3的(2))。服务器20A~20C通过执行在服务器20A~20C之间进行数据的运算和交换的多方计算,进行针对份额的匿名化。在多方计算中,多个服务器成为一体进行计算。而且,在多方计算中,始终以秘密共享的份额状态来处理数据。服务器20A~20C将进行了匿名化的匿名加工信息(例如,匿名加工表Ta′)以份额的状态例如提供给租户B(图2的(3))。
然后,从数据使用者B使用的使用者装置30进行针对DC的服务器20A~20C保管的数据的计算请求(图2的(4))。此时,在使用者装置30中,设定与请求对应的计算处理的处理过程,将所设定的处理过程分别发送到服务器20A~20C。
然后,服务器20A~20C使用在匿名化中转换后的匿名加工表Ta′,按照使用者装置30设定的处理过程,进行所请求的计算处理。服务器20A~20C进行不将数据复原、而以份额的状态处理数据的多方计算,由此进行计算(安全计算)(图2的(5))。
当安全计算结束时,各服务器20A~20C将保持加密的计算结果分别发送到使用者装置30(图2的(6))。使用者装置30通过将接收到的各计算结果复原,仅能够取得所请求的计算结果。该计算结果是基于未确定个人的匿名化的信息计算出的结果。因此,在安全计算中,即使在进行第三方的横向分析时,通过进行匿名化,也能够得到未确定个人的形式的结果,不需要同意第三方取得提供。
[登记者服务器]
接着,对处理系统100的各装置的结构进行说明。首先,对登记者装置10的结构进行说明。图4是示意性地表示登记者装置10的结构的一例的图。图5是说明实施方式的处理系统的处理概要的图。参照图4及图5,对登记者装置10的结构进行说明。
登记者装置10通过将规定的程序读入到包含ROM(Read Only Memory:只读存储器)、RAM(Random Access Memory:随机存取存储器)、CPU(Central Processing Unit:中央处理器)等的计算机等中,并由CPU执行规定的程序来实现。并且,登记者装置10具有与经由网络等连接的其他装置之间收发各种信息的通信接口。例如,登记者装置10具有NIC(Network Interface Card:网络接口卡)等,进行经由LAN(Local Area Network:局域网)或互联网等电气通信线路的与其他装置之间的通信。而且,登记者装置10具有触摸面板、声音输入设备、键盘或鼠标等输入设备、液晶显示器等显示装置,进行信息的输入输出。登记者装置10具有登记数据选择部11、登记部12、匿名化的加工方法选择部13(选择部)以及评价部14。
登记数据选择部11按照登记者装置10的操作者的操作,从数据登记者A的DB所登记的数据中,选择以秘密共享的方式保管在服务器20A~20C中的数据。
登记部12将登记数据选择部11选择的数据分割为多个份额,并将分割后的份额分别分散登记到服务器20A~20C(图5的(1))。例如,登记者装置10的操作者经由在Web浏览器中展开的、处理系统100用的WebUI画面,进行登记数据的选择、份额的分散保管请求。
匿名化的加工方法选择部13按照数据登记者A的操作,选择针对登记在服务器20A~20C中的数据(图5的表Ta)的匿名化的加工方法,请求利用所选择的匿名化的加工方法进行匿名化(图5的(2-1))。匿名化的加工方法例如有项目删除/记录删除/单元格删除、泛化、微聚集、数据交换(互换)、噪声(误差)的附加、伪数据生成。匿名化的加工方法选择部13在通过登记部12将份额分别分散登记到服务器20A~20C之后,选择匿名化的加工方法。另外,匿名化的加工方法选择部13也可以按照预先规定的规则自动选择匿名化的加工方法。
评价部14对由服务器20A~20C进行了匿名化的匿名加工信息(例如,图5的匿名加工表Ta′)进行与匿名性以及有用性有关的评价(图5的(2-3)),在匿名加工信息具有匿名性以及有用性的情况下,将匿名加工信息的提供许可通知给服务器20A~20C。匿名性例如基于匿名加工信息是否满足k-匿名性来判定。k的值根据原始数据的类别、记载内容来设定。另外,有用性例如基于原始数据与匿名加工信息的字符串的对照、匿名加工信息的记载内容的平均值或方差值相对于原始数据的偏离度来判定。
评价部14将由服务器20A~20C进行了匿名化的匿名加工表Ta′提示给数据登记者A,按照数据登记者A的操作,受理与匿名加工表Ta′的匿名性以及有用性有关的评价的结果。然后,评价部14在受理了匿名加工表Ta′具有匿名性以及有用性的评价结果的情况下,将匿名加工表Ta′的提供许可通知给服务器20A~20C。并且,评价部14在受理了匿名加工表Ta′不具有匿名性以及有用性的评价结果的情况下,将匿名加工表Ta′的废弃通知给服务器20A~20C,从匿名化的加工方法选择部13对匿名化的加工方法选择起重复处理。
评价部14也可以按照预先规定的规则,自动判定匿名性以及有用性。例如,根据原始数据的类别等,预先设定k-匿名性的k值、有用性判定用的偏离度的阈值。并且,评价部14按照设定来求出匿名加工信息的k-匿名性,在满足k-匿名性的情况下,判定为匿名加工信息具有匿名性。接着,评价部14求出匿名加工信息的记载内容的平均值相对于原始数据的偏离度,在该偏离度为阈值以下的情况下,判定为匿名加工信息具有有用性。
[服务器]
接着,对服务器20A的结构进行说明。图6是示意性地表示服务器20A的结构的一例的图。此外,服务器20A.20B具有与服务器20A相同的功能。
服务器20A通过向包含ROM、RAM、CPU等的计算机等读入规定的程序并由CPU执行规定的程序来实现。另外,服务器20A具有与经由网络等连接的其他装置之间收发各种信息的通信接口。例如,服务器20A具有NIC等,进行经由LAN或互联网等电气通信线路的与其他装置之间的通信。而且,服务器20A具有触摸面板、声音输入设备、键盘、鼠标等输入设备、液晶显示器等显示装置,进行信息的输入输出。服务器20A具有份额DB 21、登记部22、匿名化部23、加工信息提供部24(提供部)、计算过程收取部25、计算处理部26以及计算结果发送部76。
份额DB 21存储从登记者装置10请求登记的份额。
登记部22从登记者装置10受理登记请求,将从登记者装置10请求登记的份额存储到份额DB 21中。
匿名化部23在安全计算上对份额进行匿名化。匿名化部23使用由登记者装置10的匿名化的加工方法选择部13选择出的匿名化的加工方法来进行针对份额的匿名化。匿名化部23通过执行在服务器20A~20C之间进行数据的运算和交换的多方计算,进行针对份额的匿名化。这样,匿名化部23通过进行多方计算,不复原数据(例如,图5的表Ta)而进行匿名化,从而生成匿名加工信息(例如,图5的匿名加工表Ta′)(图5的(2-2))。匿名化部23将匿名加工信息发送到登记者装置10。
加工信息提供部24例如向使用者装置30提供由登记者装置10的评价部14通知了匿名加工信息的提供许可的匿名加工信息。例如,如图5所示,加工信息提供部24将匿名加工表Ta′表复制到数据使用者B能够使用的安全计算上的租户B区域(图5的(3)),由此使用者装置30能够使用匿名加工表Ta′。该租户B区域也可以是数据使用者B以外的使用者也能够使用的公开租户区域。
计算过程收取部25收取由使用者装置30设定的计算处理的处理过程。
计算处理部26使用匿名加工信息,按照使用者装置30设定的处理过程,进行所请求的计算处理。计算处理部26执行与其他服务器20B、20C之间以份额的状态进行统计信息的运算和交换的多方计算,由此进行安全计算。计算结果发送部27将计算结果发送到使用者装置30。
[使用者装置]
接着,对使用者装置30的结构进行说明。图7是示意性地表示使用者装置30的结构的一例的图。
使用者装置30通过在包含ROM、RAM、CPU等的计算机等中读入规定的程序并由CPU执行规定的程序来实现。并且,使用者装置30具有与经由网络等连接的其他装置之间收发各种信息的通信接口。例如,使用者装置30具有NIC等,进行经由LAN或互联网等电气通信线路的与其他装置之间的通信。而且,服务器20A具有触摸面板、声音输入设备、键盘、鼠标等输入设备、液晶显示器等显示装置,进行信息的输入输出。使用者装置30具有计算委托受理部31、计算过程设定部32、计算结果接收部33和计算结果输出部34。
计算委托受理部31按照使用者装置30的操作者(委托者)的操作,受理针对服务器20A~20C保管的数据的计算请求。
计算过程设定部32设定与请求对应的计算处理的处理过程,将计算请求与所设定的处理过程一起分别发送到服务器20A~20C。
计算结果接收部33从各服务器20A~20C接收保持加密的计算结果。
计算结果输出部34将接收到的各计算结果复原,仅取得所请求的计算结果。然后,计算结果输出部34输出计算结果。例如,使用者装置30的操作者经由在Web浏览器中展开的处理系统100用的WebUI画面,进行计算委托的输入、计算处理结果的显示形式(表、图表等)的指定。
[处理过程]
接着,说明处理系统100中的安全计算的处理过程。图8是表示处理系统100执行的安全计算的处理过程的时序图。
如图8所示,登记者装置10从DB所登记的数据中选择要保管的数据(步骤S1),将所选择的数据片段化为多个份额(步骤S2),进行使这些份额分别分散登记到服务器20A~20C的份额登记请求(步骤S3)。
登记者装置10选择针对登记在服务器20A~20C中的数据的匿名化的加工方法(步骤S4),请求利用所选择的匿名化的加工方法的匿名化(步骤S5)。
服务器20A~20C在安全计算上,使用由登记者装置10选择的匿名化的加工方法,进行针对份额的匿名化(步骤S6)。然后,服务器20A~20C将匿名加工信息发送给登记者装置10(步骤S7)。
登记者装置10登记者装置10进行针对由服务器20A~20C进行了匿名化的匿名加工信息的与匿名性以及有用性有关的评价(步骤S8)。在匿名加工信息不具有匿名性以及有用性的情况下(步骤S9:否),登记者装置10将匿名加工信息的废弃通知给服务器20A~20C,从步骤S4的匿名化的加工方法选择起重复处理。在匿名加工信息具有匿名性以及有用性的情况下(步骤S9:否),登记者装置10将匿名加工信息的提供许可通知给服务器20A~20C(步骤S10)。
服务器20A~20C接受来自登记者装置10的匿名加工信息的提供许可,以其他使用者能够共享的方式提供被许可了匿名加工信息提供的匿名加工信息(步骤S11)。
在使用者装置30中,当受理了计算请求时(步骤S12),设定与请求对应的计算处理的处理过程(步骤S13),并将计算请求与所设定的处理过程一起分别发送到服务器20A~20C(步骤S14)。
服务器20A~20C使用匿名加工信息,进行按照使用者装置30设定的处理过程的计算处理(步骤S15)。步骤S15是使用多方计算的安全计算。
服务器20A~20C分别将计算结果发送到使用者装置30(步骤S16)。使用者装置30从各服务器20A~20C接收保持加密的计算结果,并在复原后输出计算结果(步骤S17)。
[实施方式的效果]
这样,在本实施方式中,在能够以加密的状态计算数据的安全计算中,通过在安全计算上对原始的数据实施匿名化,向第三方提供未确定个人的匿名加工信息。因此,在本实施方式中,即使在第三方利用安全计算上的数据进行横向分析时,各服务器20A~20C也使用未确定个人的匿名加工信息在安全计算上进行计算处理,因此能够返回未确定个人的形式的计算结果。
因此,根据本实施方式,在利用安全计算上的数据时,不需要同意第三方取得个人信息的提供。另外,在本实施方式中,数据登记者A除了能够自身选择针对登记数据的匿名化的加工方法以外,还在评价了匿名加工信息的匿名性和有用性的基础上,将匿名加工信息提供给第三方,因此能够提供确保了匿名性和有用性双方的数据。
[变形例]
接着说明实施方式的变形例。图9是说明实施方式的处理系统的处理概要的其他例子的图。
如图9所示,也可以是,在处理系统100中,在通过登记部12将份额分别分散登记到服务器20A~20C后(图9的(1)),在从使用者装置30请求了计算处理的情况下(图9的(2)),在登记者装置10侧,登记加工方法选择部17选择与所请求的计算处理对应的匿名化的加工方法。然后,服务器20A~20C使用由登记者装置10选择的、遵循数据使用者B的计算方针的匿名化的加工方法,在安全计算上执行匿名化(图9的(3))。
由此,将利用遵循数据使用者B的计算方针的方法实施了匿名化的匿名加工表Ta′提供给租户B(图9的(4)),服务器20A~20C使用加工后的匿名加工信息进行计算处理(图9的(5))。其结果,返回给数据使用者B的计算结果(图9的(6))遵循数据使用者B的计算方针,能够实现分析的顺畅化。
[处理过程]
接着,说明处理系统100中的安全计算的其他处理过程。图10是表示处理系统100执行的安全计算的其他处理过程的时序图。
图10的步骤S21~步骤S23是与图8所示的步骤S1~步骤S3相同的处理。在使用者装置30中,当受理了计算请求时(步骤S24),设定与请求对应的计算处理的处理过程(步骤S25),并将计算请求与所设定的处理过程一起分别发送到服务器20A~20C(步骤S26)。服务器20A~20C向登记者装置10发送通知所请求的计算方针的计算请求通知(步骤S27)。
登记者装置10选择遵循数据使用者B的计算方针的匿名化的加工方法(步骤S28),请求利用所选择的匿名化的加工方法进行匿名化(步骤S29)。服务器20A~20C使用由登记者装置选择的匿名化的加工方法,在安全计算上执行匿名化(步骤S30)。图10的步骤S31~步骤S35是与图8的步骤S7~步骤S11相同的处理。
服务器20A~20C使用以遵循数据使用者B的计算方针的方法实施了匿名化的匿名加工信息,在安全计算上进行计算处理(步骤S36)。图10的步骤S37、S38是与图8的步骤S16、S17相同的处理。
这样,通过在数据登记者A侧选择遵循数据使用者B的计算方针的匿名化的加工方法,能够实现数据使用者B的分析的顺畅化。
[系统结构等]
此外,图示的各装置的各结构要素是功能概念性的,在物理上不一定需要如图所示那样构成。即,各装置的分散/合并的具体方式不限于图示,能够根据各种负荷和使用状况等,以任意的单位在功能或物理上分散/合并其全部或一部分而构成。并且,在各装置中进行的各处理功能的全部或任意的一部分可以通过CPU或GPU(Graphics ProcessingUnit:图形处理单元)和由该CPU或GPU分析执行的程序来实现,或者作为基于有线逻辑的硬件来实现。
此外,在本实施方式中说明的各处理中的、作为自动地进行的处理而说明的处理的全部或一部分还能够手动地进行,或者作为手动地进行的处理而说明的处理的全部或一部分还能够通过公知的方法自动地进行。另外,关于包含在上述文档中和附图中示出的处理过程、控制过程、具体的名称、各种数据和参数的信息,除了特殊记载的情况以外,都能够任意地变更。
[程序]
另外,还能够创建以计算机能够执行的语言描述了在上述实施方式中说明的登记者装置10、服务器20A~20C以及使用者装置30执行的处理的程序。例如,还能够创建以计算机可执行的语言描述了实施方式中的登记者装置10、服务器20A~20C以及使用者装置300执行的处理的程序。该情况下,通过由计算机执行程序,能够得到与上述实施方式相同的效果。并且,通过将上述程序记录到计算机可读取的记录介质中,使计算机读入该记录介质所记录的程序并执行,也可以实现与上述实施方式相同的处理。
图11是表示执行程序的计算机的图。如图11中例示那样,计算机1000例如具有存储器1010、CPU 1020、硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060和网络接口1070,这各个部件通过总线1080相互连接。
如图11中例示那样,存储器1010包含ROM(Read Only Memory:只读存储器)1011和RAM 1012。ROM 1011例如存储BIOS(Basic Input Output System:基本输入输出系统)等引导程序。如图11中例示那样,硬盘驱动器接口1030与硬盘驱动器1090连接。盘驱动器接口1040与盘驱动器1100连接。例如磁盘或光盘等可插拔的存储介质被插入到盘驱动器1100。串行端口接口1050例如与鼠标1110、键盘1120连接。视频适配器1060例如与显示器1130连接。
这里,如图11中例示那样,硬盘驱动器1090例如存储OS1091、应用程序1092、程序模块1093、程序数据1094。即,上述程序作为描述有由计算机1000执行的指令的程序模块被存储到例如硬盘驱动器1090中。
此外,在上述实施方式中说明的各种数据作为程序数据被存储到例如存储器1010或硬盘驱动器1090中。并且,CPU 1020根据需要将存储器1010或硬盘驱动器1090所存储的程序模块1093或程序数据1094读出到RAM 1012中,并执行各种处理过程。
另外,与程序相关的程序模块1093或程序数据1094不限于被存储到硬盘驱动器1090中的情况,也可以被存储到例如可插拔的存储介质中,并通过CPU 1020经由盘驱动器等而被读出。或者,与程序相关的程序模块1093或程序数据1094可以被存储到经由网络(LAN(Local Area Network:局域网)、WAN(Wide Area Network:广域网)等)连接的其他计算机中,并通过CPU 1020经由网络接口1070而被读出。
上述的实施方式及其变形包含于本申请所公开的技术中,同样地包含于权利要求书所记载的发明及其等同的范围内。
标号说明
10:登记者装置
11:登记数据选择部
12:登记部
13:匿名化的加工方法选择部
14:评价部
20A~20C:服务器
21:份额DB
22:登记部
23:匿名化部
24:加工信息提供部
25:计算过程收取部
26:计算处理部
27:计算结果发送部
30:使用者装置
31:计算委托受理部
32:计算过程设定部
33:计算结果接收部
34:计算结果输出部
100:处理系统
Claims (7)
1.一种处理系统,其将登记者装置具有的登记数据以片段化的份额的状态分散保管于多个服务器,其特征在于,
所述多个服务器分别具有:
匿名化部,其对所述份额进行匿名化;以及
提供部,其以份额的状态提供进行了所述匿名化的匿名加工信息。
2.根据权利要求1所述的处理系统,其特征在于,
所述匿名化部通过进行在所述多个服务器间进行数据的运算和交换的多方计算,进行针对所述份额的匿名化。
3.根据权利要求1所述的处理系统,其特征在于,
所述登记者装置具有:
登记部,其将所述登记数据片段化为多个份额,并使分割后的份额分别分散地登记于所述多个服务器;
选择部,其选择匿名化的加工方法;以及
评价部,其进行针对由所述匿名化部进行了匿名化的匿名加工信息的与匿名性和有用性有关的评价,在所述匿名加工信息具有所述匿名性和所述有用性的情况下,将所述匿名加工信息的提供许可通知给所述多个服务器,
所述匿名化部使用由所述选择部选择出的匿名化的加工方法来进行针对所述份额的匿名化,
所述提供部提供被通知了所述匿名加工信息的提供许可的所述匿名加工信息。
4.根据权利要求3所述的处理系统,其特征在于,
所述选择部在通过所述登记部将所述份额分别分散地登记到所述多个服务器后,选择所述匿名化的加工方法。
5.根据权利要求3所述的处理系统,其特征在于,
所述选择部在由所述登记部将所述份额分别分散地登记到所述多个服务器后、且从使用者装置请求了计算处理的情况下,选择与所请求的计算处理对应的匿名化的加工方法。
6.一种处理方法,其是将登记者装置具有的登记数据以片段化的份额的状态分散保管于多个服务器的处理系统所执行的处理方法,其特征在于,
所述多个服务器分别包含以下步骤:
对所述份额进行匿名化;以及
以份额的状态提供进行了所述匿名化的匿名加工信息。
7.一种处理程序,其使计算机执行方法,其特征在于,使作为多个服务器的计算机执行以下步骤:
所述多个服务器分别将登记数据以片段化的份额的状态进行分散保管;
所述多个服务器分别对所述份额进行匿名化;以及
所述多个服务器分别以份额的状态提供进行了所述匿名化的匿名加工信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021053163A JP7118198B1 (ja) | 2021-03-26 | 2021-03-26 | 処理システム、処理方法及び処理プログラム |
| JP2021-053163 | 2021-03-26 | ||
| PCT/JP2022/014566 WO2022203061A1 (ja) | 2021-03-26 | 2022-03-25 | 処理システム、処理方法及び処理プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117043773A true CN117043773A (zh) | 2023-11-10 |
Family
ID=82847623
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280023999.4A Pending CN117043773A (zh) | 2021-03-26 | 2022-03-25 | 处理系统、处理方法以及处理程序 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20240012916A1 (zh) |
| EP (1) | EP4318289A4 (zh) |
| JP (1) | JP7118198B1 (zh) |
| CN (1) | CN117043773A (zh) |
| AU (1) | AU2022242514A1 (zh) |
| WO (1) | WO2022203061A1 (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5758315B2 (ja) * | 2012-01-27 | 2015-08-05 | 日本電信電話株式会社 | 匿名データ提供システム、匿名データ装置、及びそれらが実行する方法 |
| WO2013121738A1 (ja) * | 2012-02-17 | 2013-08-22 | 日本電気株式会社 | 分散匿名化装置及び分散匿名化方法 |
| US11698990B2 (en) * | 2016-04-29 | 2023-07-11 | Privitar Limited | Computer-implemented privacy engineering system and method |
| JP6988918B2 (ja) | 2017-12-18 | 2022-01-05 | 日本電信電話株式会社 | 秘密計算システム及び方法 |
| JP7159717B2 (ja) | 2018-09-10 | 2022-10-25 | 日本電信電話株式会社 | 秘密統計処理システム、方法、統計処理装置及びプログラム |
-
2021
- 2021-03-26 JP JP2021053163A patent/JP7118198B1/ja active Active
-
2022
- 2022-03-25 CN CN202280023999.4A patent/CN117043773A/zh active Pending
- 2022-03-25 AU AU2022242514A patent/AU2022242514A1/en active Pending
- 2022-03-25 EP EP22775842.2A patent/EP4318289A4/en active Pending
- 2022-03-25 WO PCT/JP2022/014566 patent/WO2022203061A1/ja active Application Filing
-
2023
- 2023-09-25 US US18/372,161 patent/US20240012916A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022150525A (ja) | 2022-10-07 |
| JP7118198B1 (ja) | 2022-08-15 |
| WO2022203061A1 (ja) | 2022-09-29 |
| US20240012916A1 (en) | 2024-01-11 |
| EP4318289A4 (en) | 2024-06-12 |
| AU2022242514A1 (en) | 2023-09-28 |
| EP4318289A1 (en) | 2024-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102403295B1 (ko) | 동형적으로 암호화된 데이터의 유효성 확인 및 이에 대한 연산을 수행하기 위한 시스템 및 방법 | |
| US11983298B2 (en) | Computer system and method of operating same for handling anonymous data | |
| Mittal et al. | Using identity‐based cryptography as a foundation for an effective and secure cloud model for e‐health | |
| De Moor et al. | Privacy enhancing techniques | |
| Chen et al. | A study on agent-based secure scheme for electronic medical record system | |
| Gajmal et al. | Privacy and utility-assisted data protection strategy for secure data sharing and retrieval in cloud system | |
| Erickson et al. | What you do not expect when you are expecting: Privacy analysis of Femtech | |
| Dhanalakshmi et al. | Security threats and approaches in E-Health cloud architecture system with big data strategy using cryptographic algorithms | |
| CN111490995A (zh) | 保护隐私的模型训练方法和装置、数据处理方法、服务器 | |
| Peddi | Data sharing Privacy in Mobile cloud using AES | |
| Ikuomola et al. | Securing patient privacy in e-health cloud using homomorphic encryption and access control | |
| Singh et al. | Senso scale: a framework to preserve privacy over cloud using sensitivity range | |
| Shah et al. | Maintaining privacy in medical imaging with federated learning, deep learning, differential privacy, and encrypted computation | |
| CN117043773A (zh) | 处理系统、处理方法以及处理程序 | |
| Singh et al. | Towards Confidentiality-strengthened Personalized Genomic Medicine Embedding Homomorphic Cryptography. | |
| Qadir et al. | An Authentication and Access Control Model for Healthcare based Cloud Services | |
| Mamun | A conceptual framework of personally controlled electronic health record (pcehr) system to enhance security and privacy | |
| CN117099103A (zh) | 处理系统、处理方法以及处理程序 | |
| Bellam et al. | Issues while migrating medical imaging services on cloud based infrastructure | |
| JP7284957B2 (ja) | 情報管理装置 | |
| US20230177209A1 (en) | Distributed Communication Network | |
| Joshi et al. | Security and privacy aspects of AI, IoT, Big Data and blockchain in healthcare industry | |
| Prathap et al. | Enhancing security by two-way decryption of message passing of EMR in public cloud | |
| Naz | The Use of Encryption to Preserve the Privacy and Security of Electronic Health Records | |
| Sharma et al. | Performance evaluation using throughput and latency of a blockchain-enabled patient centric secure and privacy preserve EHR based on IPFS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |