DE112020007092B4 - Anonymisierungsvorrichtung, anonymisierungsverfahren und anonymisierungsprogramm - Google Patents

Anonymisierungsvorrichtung, anonymisierungsverfahren und anonymisierungsprogramm Download PDF

Info

Publication number
DE112020007092B4
DE112020007092B4 DE112020007092.1T DE112020007092T DE112020007092B4 DE 112020007092 B4 DE112020007092 B4 DE 112020007092B4 DE 112020007092 T DE112020007092 T DE 112020007092T DE 112020007092 B4 DE112020007092 B4 DE 112020007092B4
Authority
DE
Germany
Prior art keywords
anonymization
data
identification
units
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112020007092.1T
Other languages
English (en)
Other versions
DE112020007092T5 (de
Inventor
Mitsuhiro Hattori
Takashi Ito
Nori Matsuda
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112020007092T5 publication Critical patent/DE112020007092T5/de
Application granted granted Critical
Publication of DE112020007092B4 publication Critical patent/DE112020007092B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Anonymisierungsvorrichtung (100), umfassend:eine Anonymisierungseinheit (120), um anonymisierte Daten zu generieren, wobei die anonymisierten Daten personenbezogene Daten sind, die durch Anonymisieren der personenbezogenen Daten unter Verwendung eines Anonymisierungsalgorithmus anonymisiert werden, wobei der Anonymisierungsalgorithmus ein Algorithmus ist, der die personenbezogenen Daten anonymisiert und der einen Anonymisierungsparameter verwendet;eine Vielzahl von Angriffseinheiten (131), um eine Vielzahl von Stücken von Re-Identifizierungsdaten zu generieren, wobei die Re-Identifizierungsdaten Informationen sind, die den anonymisierten Daten entsprechen und die jedem von einer Vielzahl von Re-Identifizierungs-Angriffsalgorithmen entsprechen, durch Durchführen eines Re-Identifizierungs-Angriffs auf die anonymisierten Daten unter Verwendung der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die den Re-Identifizierungs-Angriff ausführen, der versucht, zumindest einen Teil der personenbezogenen Daten aus den anonymisierten Daten zu re-identifizieren;eine Sicherheitsgrad-Berechnungseinheit (133), um eine Vielzahl von Sicherheitsgraden, die Sicherheit der anonymisierten Daten angeben und die jedem der Vielzahl von Stücken von Re-Identifizierungsdaten entsprechen, unter Verwendung der personenbezogenen Daten und jeder der Vielzahl von Stücken von Re-Identifizierungsdaten zu berechnen; undeine Parameteranpassungseinheit (140), um den Anonymisierungsparameter in einem Fall anzupassen, in dem zumindest einer der Vielzahl von Sicherheitsgraden einem Sicherheitsgradstandard, der einen Sicherheitsstandard der anonymisierten Daten angibt, nicht genügt, wobeidie Anzahl von jedem der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, der Vielzahl von Stücken von Re-Identifizierungsdaten und der Vielzahl von Angriffseinheiten (131) gleich ist,jeder der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen jeweils unterschiedlich ist und einem beliebigen der Vielzahl von Stücken von Re-Identifizierungsdaten, die sich jeweils voneinander unterscheiden, entspricht,jede der Vielzahl von Angriffseinheiten (131) einen beliebigen der Vielzahl von Stücken von Re-Identifizierungsdaten unter Verwendung eines beliebigen der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die sich jeweils voneinander unterscheiden, generiert, undjeder der Vielzahl von Stücken von Re-Identifizierungsdaten einem beliebigen der Vielzahl von Sicherheitsgraden, die sich jeweils voneinander unterscheiden, entspricht; wobei die Anonymisierungsvorrichtung (100) ferner umfasst:eine Vielzahl der Anonymisierungseinheiten (120) als eine Vielzahl von Anonymisierungseinheiten (120); undeine Vielzahl der Parameteranpassungseinheiten (140) als eine Vielzahl von Parameteranpassungseinheiten (140), wobeidie Anzahl von jeder der Vielzahl von Anonymisierungseinheiten (120) und der Vielzahl von Parameteranpassungseinheiten (140) gleich ist,jede der Vielzahl von Parameteranpassungseinheiten (140) einen Anonymisierungsparameter, der einer beliebigen der Vielzahl von Anonymisierungseinheiten (120), die sich jeweils voneinander unterscheiden, entspricht, anpasst,jede der Vielzahl von Anonymisierungseinheiten (120) einen Anonymisierungsalgorithmus, der jeweils unterschiedlich ist, verwendet, unddie Vielzahl von Anonymisierungseinheiten (120) die anonymisierten Daten in Zusammenwirkung miteinander generieren; wobei die Anonymisierungsvorrichtung (100) ferner umfasst:eine Verarbeitungsmenge-Zuweisungseinheit (160), um einen Verarbeitungsmenge-Zuweisungswert, der eine Menge angibt, mit der jede der Vielzahl von Anonymisierungseinheiten (120) die personenbezogenen Daten verarbeitet, zu finden, wobeijede der Vielzahl von Parameteranpassungseinheiten (140) gemäß dem Verarbeitungsmenge-Zuweisungswert einen Anonymisierungsparameter, der einer beliebigen der Vielzahl von Anonymisierungseinheiten (120), die sich jeweils voneinander unterscheiden, entspricht, anpasst.

Description

  • Gebiet der Technik
  • Die vorliegende Offenbarung bezieht sich auf eine Anonymisierungsvorrichtung, ein Anonymisierungsverfahren und ein Anonymisierungsprogramm.
  • Allgemeiner Stand der Technik
  • Die Anonymisierungstechnologie, die personenbezogene Daten in anonymisierte Daten umwandelt, ist als Technologie bekannt, die ein Gleichgewicht zwischen Schutz und Nutzung personenbezogener Daten anstrebt. Die personenbezogenen Daten können mit der Anonymisierungstechnologie in anonymisierte Daten umgewandelt werden. In dem Fall, in dem die anonymisierten Daten anstelle der personenbezogenen Daten verwendet werden, ist eine Nutzung wie Bereitstellung von Informationen, die den personenbezogenen Daten ähnlich sind, an Dritte, Verwendung von Informationen, die den personenbezogenen Daten ähnlich sind, für einen unbeabsichtigten Zweck oder dergleichen möglich, während die Rechte und Interessen eines Individuums geschützt werden. Als ein konkretes Beispiel wird ein Fall betrachtet, in dem ein Geschäftsbetreiber, der im Besitz von einem Stück von personenbezogenen Daten ist (nachstehend „Bereitsteller“ genannt), einem Geschäftsbetreiber, der nicht im Besitz der personenbezogenen Daten ist (nachstehend „Empfänger“ genannt), die personenbezogenen Daten zur Verfügung stellt. In diesem Fall besteht die Gefahr, dass die Rechte und Interessen eines Individuums verletzt werden, in einem Fall, in dem der Bereitsteller dem Empfänger die personenbezogenen Daten so zur Verfügung stellt, wie sie sind. In einem Fall, in dem der Bereitsteller die personenbezogenen Daten in anonymisierte Daten umwandelt und dem Empfänger die anonymisierten Daten zur Verfügung stellt, kann der Empfänger jedoch Informationen verwenden, die Informationen über ein Individuum enthalten, während die Rechte und Interessen des Individuums geschützt werden.
  • Ein Angriff, der einen Teil oder die Gesamtheit der ursprünglichen personenbezogenen Daten aus den anonymisierten Daten re-identifiziert (im Folgenden Re-Identifizierungsangriff genannt), ist als eine Bedrohung der anonymisierten Daten bekannt. Es gibt verschiedene Techniken für einen solchen Re-Identifizierungsangriff, und es gibt auch verschiedene Techniken für das Anonymisierungsverfahren, die dem Re-Identifizierungsangriff entgegenwirken.
  • Der Bereitsteller, der die Anonymisierung durchführt, kann jedoch im Voraus nicht genau wissen, welchen Re-Identifizierungsangriff der Empfänger durchführen wird. Daher wird eine Technologie zur Auswahl eines Anonymisierungsverfahrens vorgeschlagen, die die anonymisierten Daten vor einem bestimmten Re-Identifizierungsangriff schützt, um die Sicherheit der anonymisierten Daten noch etwas zu erhöhen.
  • Dokument US 2011 / 0 258 206 A1 beschreibt ein Verfahren zur Bewertung des Reidentifizierungsrisikos eines Datensatzes, der personenbezogene Daten enthält.
  • Dokument US 2017 / 0 177 907 A1 beschreibt ein Verfahren zur Reduzierung des Risikos einer erneuten Identifizierung eines Datensatzes.
  • Liste der Entgegenhaltungen
  • Patentliteratur
  • Patentliteraturstelle 1: JP 2017-076170 A
  • Kurzfassung der Erfindung
  • Technische Aufgabe
  • Patentliteratur 1 offenbart eine Technologie, die in einem Fall, in dem ein Bereitsteller über einen Sicherheitsstandardsatz verfügt, einen Re-Identifizierungs-Angriffsalgorithmus verwendet, der modelliert ist, einen tatsächlichen Angreifer zu simulieren, und eine Kombination aus einem Attribut, das diesem Standard genügt, und einem Anonymisierungsniveau genau ausgibt. Die derzeitige Technologie berücksichtigt jedoch nur den Fall eines Re-Identifizierungs-Angriffsalgorithmus. Folglich gibt es ein Problem, bei dem die gegenwärtige Technologie zufriedenstellende Sicherheit gegenüber einem anderen Re-Identifizierungs-Angriffsalgorithmus nicht garantieren kann.
  • Die vorliegende Offenbarung hat die Aufgabe, eine zufriedenstellende Sicherheit anonymisierter Daten gegenüber einer Vielzahl von Re-Identifizierungs-Angriffsalgorithmen zu garantieren.
  • Lösung der Aufgabe
  • Diese Aufgabe wird durch Gegenstände mit den Merkmalen nach den unabhängigen Ansprüchen gelöst. Vorteilhafte Ausführungsformen der Erfindung sind Gegenstand der Figuren, der Beschreibung und der abhängigen Ansprüche. Eine hier ferner offenbarte Anonymisierungsvorrichtung weist auf:
    • eine Anonymisierungseinheit, um anonymisierte Daten zu generieren, wobei die anonymisierten Daten personenbezogene Daten sind, die anonymisiert werden, durch Anonymisieren der personenbezogenen Daten unter Verwendung eines Anonymisierungsalgorithmus, wobei der Anonymisierungsalgorithmus ein Algorithmus ist, der die personenbezogenen Daten anonymisiert und der einen Anonymisierungsparameter verwendet;
    • eine Vielzahl von Angriffseinheiten, um eine Vielzahl von Stücken von Re-Identifizierungsdaten zu generieren, wobei die Re-Identifizierungsdaten Informationen sind, die den anonymisierten Daten entsprechen und die jedem einer Vielzahl von Re-Identifizierungs-Angriffsalgorithmen entsprechen, durch Durchführen eines Re-Identifizierungs-Angriffs auf die anonymisierten Daten unter Verwendung der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die den Re-Identifizierungs-Angriff ausführen, der versucht, zumindest einen
  • Teil der personenbezogenen Daten aus den anonymisierten Daten zu re-identifizieren;
    • eine Sicherheitsgrad-Berechnungseinheit, um eine Vielzahl von Sicherheitsgraden, die die Sicherheit der anonymisierten Daten angeben, unter Verwendung der personenbezogenen Daten und jeder der Vielzahl von Stücken von Re-Identifizierungsdaten, und die jedem der Vielzahl von Stücken von Re-Identifizierungsdaten entsprechen, zu berechnen; und
    • eine Parameteranpassungseinheit, um die Anonymisierungsparameter in einem Fall anzupassen, in dem zumindest einer der Vielzahl von Sicherheitsgraden einem Sicherheitsgradstandard, der einen Sicherheitsstandard der anonymisierten Daten angibt, nicht genügt, wobei
    • die Anzahl von jedem der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, der Vielzahl von Stücken von Re-Identifizierungsdaten und der Vielzahl von Angriffseinheiten gleich ist,
    • jeder der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen unterschiedlich ist und einem beliebigen der Vielzahl von Stücken von Re-Identifizierungsdaten, die sich jeweils voneinander unterscheiden, entspricht,
    • jede der Vielzahl von Angriffseinheiten ein beliebiges der Vielzahl von Stücken von Re-Identifizierungsdaten unter Verwendung eines beliebigen der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die sich voneinander unterscheiden, generiert, und
    • jedes der Vielzahl von Stücken von Re-Identifizierungsdaten einem beliebigen der Vielzahl von Sicherheitsgraden, die sich jeweils voneinander unterscheiden, entspricht.
  • Vorteilhafte Wirkungen der Erfindung
  • Die Anonymisierungsvorrichtung gemäß der vorliegenden Offenbarung umfasst eine Anonymisierungseinheit, eine Vielzahl von Angriffseinheiten, eine Sicherheitsgrad-Berechnungseinheit und eine Parameteranpassungseinheit. Die Anonymisierungseinheit generiert anonymisierte Daten. Jede der Vielzahl von Angriffseinheiten verwendet einen Re-Identifizierungs-Angriffsalgorithmus, der jeweils unterschiedlich ist, um Re-Identifizierungsdaten zu generieren, die den anonymisierten Daten entsprechen. Die Sicherheitsgrad-Berechnungseinheit berechnet einen Sicherheitsgrad für jedes Stück der Re-Identifizierungsdaten, die jede der Vielzahl von Angriffseinheiten generiert hat. Die Parameteranpassungseinheit passt einen Anonymisierungsparameter in einem Fall an, in dem zumindest einer der Sicherheitsgrade einem Sicherheitsstandard nicht genügt. Der Anonymisierungsparameter wird in dem Re-Identifizierungs-Angriffsalgorithmus verwendet. Somit kann gemäß der vorliegenden Offenbarung eine zufriedenstellende Sicherheit der anonymisierten Daten gegenüber einer Vielzahl von Angriffsalgorithmen garantiert werden.
  • Kurzbeschreibung der Zeichnungen
    • 1 ist Beispiel für eine funktionelle Konfiguration einer Anonymisierungsvorrichtung 100 gemäß Ausführungsform 1.
    • 2 ist ein Beispiel für eine Hardwarekonfiguration der Anonymisierungsvorrichtung 100 gemäß Ausführungsform 1.
    • 3 ist ein Ablaufschema, das ein Beispiel für eine Funktionsweise der Anonymisierungsvorrichtung 100 gemäß Ausführungsform 1 darstellt.
    • 4 ist ein Diagramm, das ein Beispiel für personenbezogene Daten gemäß Ausführungsform 1 zeigt.
    • 5 ist eine Tabelle, die Beispiele für personenbezogene Daten und anonymisierte Daten gemäß Ausführungsform 1 darstellt.
    • 6 ist ein Beispiel für Anfangsparameter gemäß Ausführungsform 1.
    • 7 ist ein Beispiel für Verarbeitungsergebnisse von Angriffsversuchseinheiten 130 gemäß Ausführungsform 1.
    • 8 ist ein Beispiel für neue Parameter gemäß Ausführungsform 1.
    • 9 ist ein Diagramm, das ein Beispiel für die anonymisierten Daten gemäß Ausführungsform 1 zeigt.
    • 10 ist ein Beispiel für eine Hardwarekonfiguration der Anonymisierungsvorrichtung 100 gemäß einer Variante von Ausführungsform 1.
    • 11 ist ein Beispiel für personenbezogene Daten gemäß Ausführungsform 2.
    • 12 ist ein Beispiel für die personenbezogenen Daten und anonymisierten Daten gemäß Ausführungsform 2.
    • 13 ist eine Wahrscheinlichkeitsdichtefunktion, die einem Beispiel für einen Anfangsparameter gemäß Ausführungsform 2 entspricht.
    • 14 ist ein Beispiel für die anonymisierten Daten und Re-Identifizierungsdaten gemäß Ausführungsform 2.
    • 15 ist ein Beispiel einer funktionellen Konfiguration einer Anonymisierungsvorrichtung 100 gemäß Ausführungsform 3.
    • 16 ist ein Beispiel für Zwischenverarbeitungsdaten und anonymisierte Daten gemäß Ausführungsform 3.
    • 17 ist ein Beispiel für eine funktionelle Konfiguration einer Anonymisierungsvorrichtung 100 gemäß einer Variante von Ausführungsform 3.
    • 18 ist ein Beispiel einer funktionellen Konfiguration einer Anonymisierungsvorrichtung 100 gemäß Ausführungsform 4.
    • 19 ist ein Beispiel für Verarbeitungsmenge-Parametertabellen gemäß Ausführungsform 4.
    • 20 ist ein Beispiel für Anfangsparameter gemäß Ausführungsform 4.
  • Beschreibung von Ausführungsformen
  • In der Beschreibung und in den Zeichnungen der Ausführungsformen werden gleichen Elementen oder einander entsprechenden Elementen gleiche Bezugszeichen gegeben. Eine Beschreibung von Elementen, denen die gleichen Bezugszeichen gegeben worden sind, wird gegebenenfalls weggelassen oder vereinfacht. Pfeile in den Zeichnungen veranschaulichen hauptsächlich Datenflüsse oder Prozessabläufe.
  • Ausführungsform 1.
  • Nachfolgend wird die vorliegende Ausführungsform unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.
  • In der nachstehenden Beschreibung ist ein Bereitsteller ein Geschäftsbetreiber oder dergleichen, der im Besitz personenbezogener Daten ist. Ein Empfänger ist ein Geschäftsbetreiber oder dergleichen, der nicht im Besitz der personenbezogenen Daten ist. Zu den personenbezogenen Daten gehören Informationen, die sich auf ein Individuum beziehen, und Informationen, die ein bestimmtes Individuum identifizieren können. Mindestens einer von dem Bereitsteller und dem Empfänger muss keine juristische Person oder dergleichen sein, sondern kann auch ein Computer oder dergleichen sein.
  • *** Beschreibung einer Konfiguration ***
  • In der Beschreibung der vorliegenden Ausführungsform wird als ein konkretes Beispiel ein Fall beschrieben, in dem es nur ein Anonymisierungsverfahren gibt. Das vorliegende Beispiel entspricht einer einfachsten Konfiguration einer Anonymisierungsvorrichtung 100.
  • 1 zeigt ein Beispiel für eine funktionelle Konfiguration der Anonymisierungsvorrichtung 100 der vorliegenden Ausführungsform.
  • Die Anonymisierungsvorrichtung 100 ist eine Vorrichtung, die aus den personenbezogenen Daten anonymisierte Daten generiert. Bei den anonymisierten Daten handelt es sich um personenbezogene Daten, die anonymisiert wurden. Wie in der vorliegenden Zeichnung dargestellt, ist die Anonymisierungsvorrichtung 100 aus einer Vielzahl von Elementen zusammengesetzt.
  • Eine Eingabeeinheit 110 ist ein Element für eine nicht dargestellte verantwortliche Person des Bereitstellers zur Eingabe der personenbezogenen Daten.
  • Eine Personenbezogene-Daten-Speichereinheit 111 ist ein Element, das die in die Anonymisierungsvorrichtung 100 eingegebenen personenbezogenen Daten speichert.
  • Eine Anonymisierungseinheit 120 ist ein Element, das die anonymisierten Daten aus den personenbezogenen Daten auf Grundlage eines Anonymisierungsparameters generiert. Der Anonymisierungsparameter ist ein Parameter, der bei der Generierung der anonymisierten Daten verwendet wird. Die Anonymisierungseinheit 120 generiert die anonymisierten Daten durch Anonymisierung der personenbezogenen Daten mit Hilfe eines Anonymisierungsalgorithmus. Der Anonymisierungsalgorithmus ist ein Algorithmus, der die personenbezogenen Daten anonymisiert, und ist ein Algorithmus, der den Anonymisierungsparameter verwendet. Die Anonymisierungseinheit 120 kann die personenbezogenen Daten gemäß einer Eigenschaft der personenbezogenen Daten anonymisieren.
  • Eine Anonymisierte-Daten-Speichereinheit 121 ist ein Element, das die anonymisierten Daten speichert, die die Anonymisierungseinheit 120 generiert hat.
  • Eine Angriffsversuchseinheit 130 ist eine Gruppe von Elementen, die einen Sicherheitsgrad durch Ausführen eines Re-Identifizierungs-Angriffsalgorithmus berechnet. Der Re-Identifizierungs-Angriffsalgorithmus ist ein Algorithmus, der einen Re-Identifizierungsangriff ausführt. Eine einzelne Angriffsversuchseinheit 130 verwendet einen einzelnen Re-Identifizierungs-Angriffsalgorithmus. Die Angriffsversuchseinheit 130 umfasst eine Angriffseinheit 131, eine Re-Identifizierungsdaten-Speichereinheit 132 und eine Sicherheitsgrad-Berechnungseinheit 133. Der Sicherheitsgrad ist ein Grad, der Sicherheit der anonymisierten Daten anzeigt, und wird für jede Menge von Werten der Anonymisierungsparameter berechnet.
  • Die Anonymisierungsvorrichtung 100 umfasst eine n (n ist eine ganze Zahl größer oder gleich 2) Anzahl von Angriffsversuchseinheiten 130. Um die n Anzahl von Angriffsversuchseinheiten 130 zu unterscheiden, wird jede Angriffsversuchseinheit 130 als Angriffsversuchseinheit 130_1, ..., und Angriffsversuchseinheit 130_n geschrieben. Die Angriffseinheit 131, die Re-Identifizierungsdaten-Speichereinheit 132 und die Sicherheitsgrad-Berechnungseinheit 133, die die Angriffsversuchseinheit 130_i (i ist eine ganze Zahl, 1 ≤i ≤n) umfasst, werden jeweils als Angriffseinheit 131_i, Re-Identifizierungsdaten-Speichereinheit 132_i und Sicherheitsgrad-Berechnungseinheit 133_i geschrieben. Die Angriffseinheit 131_i, die Re-Identifizierungsdaten-Speichereinheit 132_i und die Sicherheitsgrad-Berechnungseinheit 133_i entsprechen einander. Im Folgenden wird die Angriffsversuchseinheit 130_1 beschrieben. Jede von der Angriffsversuchseinheit 130_2, ..., und Angriffsversuchseinheit 130_n ist gleich der Angriffsversuchseinheit 130_1.
  • Die Angriffsversuchseinheit 130 ist so eingerichtet, dass die Angriffsversuchseinheit 130 auf jeden denkbaren Re-Identifizierungsangriff reagieren kann. Der Re-Identifizierungsangriff ist ein Angriff, bei dem versucht wird, zumindest einen Teil der personenbezogenen Daten aus den anonymisierten Daten zu re-identifizieren. Es kann auch der Fall eintreten, dass zumindest ein Teil der personenbezogenen Daten durch einen Re-Identifizierungsangriff gemäß einer Absicht des Re-Identifizierungsangriffs nicht re-identifiziert werden kann. Bei dem denkbaren Re-Identifizierungsangriff handelt es sich in der Regel um einen Angriff, der einen Re-Identifizierungs-Angriffsalgorithmus verwendet, der dem Bereitsteller bekannt ist, und um einen Angriff, bei dem der Bereitsteller davon ausgehen kann, dass der Empfänger die Möglichkeit hat, diesen auszuführen. In einem Fall, in dem ein bestimmter Re-Identifizierungs-Angriffsalgorithmus ein Algorithmus ist, der eine Vielzahl anderer Re-Identifizierungs-Angriffsalgorithmen umfasst, kann die Angriffsversuchseinheit 130 nur den bestimmten Re-Identifizierungs-Angriffsalgorithmus verwenden und muss nicht die Vielzahl der anderen Re-Identifizierungs-Angriffsalgorithmen verwenden. Das heißt, die Angriffsversuchseinheit 130 muss nicht jeden Re-Identifizierungs-Angriffsalgorithmus verwenden, der jedem der denkbaren Re-Identifizierungsangriffe entspricht.
  • Die Angriffseinheit 131_1 ist ein Element, das einen Re-Identifizierungsangriff auf die anonymisierten Daten durchführt, um Re-Identifizierungsdaten zu generieren. Die Re-Identifizierungsdaten sind Informationen, die als Ergebnis der Ausführung des Re-Identifizierungsangriffs auf die anonymisierten Daten generiert werden. In einem Fall, in dem die Angriffseinheit 131_1 den Re-Identifizierungsangriff nicht erfolgreich durchgeführt hat, handelt es sich bei den Re-Identifizierungsdaten um Informationen, die ein Individuum nicht spezifizieren können. In einem Fall, in dem die Angriffseinheit 131_1 den Re-Identifizierungsangriff erfolgreich durchgeführt hat, handelt es sich bei den Re-Identifizierungsdaten um Informationen, die ein Individuum spezifizieren können.
  • Die Angriffseinheit 131_1, ... und die Angriffseinheit 131_n führen Re-Identifizierungsangriffe unter Verwendung von Re-Identifizierungs-Angriffsalgorithmen durch, die sich voneinander unterscheiden.
  • Eine Vielzahl von Angriffseinheiten 131 generieren eine Vielzahl von Stücken von Re-Identifizierungsdaten durch Durchführen von Re-Identifizierungsangriffen auf die anonymisierten Daten unter Verwendung einer Vielzahl von Re-Identifizierungs-Angriffsalgorithmen. Jeder der Vielzahl von Stücken von Re-Identifizierungsdaten ist eine Information, die den anonymisierten Daten entspricht, und ist eine Information, die jedem der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen entspricht. Jede der Vielzahl von Angriffseinheiten 131 generiert einen der Vielzahl von Stücken von Re-Identifizierungsdaten unter Verwendung eines beliebigen der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die sich voneinander unterscheiden.
  • Die Anzahl von jedem der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, der Vielzahl von Stücken von Re-Identifizierungsdaten und der Vielzahl von Angriffseinheiten 131 ist jeweils gleich. Jeder der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen ist unterschiedlich und entspricht einem beliebigen der Vielzahl von Stücken von Re-Identifizierungsdaten, die sich voneinander unterscheiden. Die Vielzahl der Re-Identifizierungs-Angriffsalgorithmen können eine Vielzahl von Algorithmen eines bestimmten Typs oder einer Familie umfassen. Die Vielzahl von Stücken von Re-Identifizierungsdaten können eine Vielzahl von bestimmten Stücken von Re-Identifizierungsdaten in doppelter Ausführung enthalten. Es gibt auch einen Fall, in dem jeder Wert der Vielzahl von Stücken von Re-Identifizierungsdaten, die jedem der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen entsprechen, die sich voneinander unterscheiden, ein Gleicher wird.
  • Die Re-Identifizierungsdaten-Speichereinheit 132_1 ist ein Element, das die Re-Identifizierungsdaten speichert, die die Angriffseinheit 131_1 generiert hat.
  • Die Sicherheitsgrad-Berechnungseinheit 133_1 ist ein Element, das den Sicherheitsgrad eines Re-Identifizierungsangriffs auf die anonymisierten Daten unter Verwendung der Re-Identifizierungsdaten und der personenbezogenen Daten berechnet, die die Angriffseinheit 131_1 generiert hat. Die Sicherheitsgrad-Berechnungseinheit 133 gibt einen Sicherheitsgrad der anonymisierten Daten an, indem die personenbezogenen Daten und jeder der Vielzahl von Stücken von Re-Identifizierungsdaten verwendet wird, und berechnet eine Vielzahl von Sicherheitsgraden, die jedem der Vielzahl von Stücken von Re-Identifizierungsdaten entsprechen. Jeder der Vielzahl von Stücken von Re-Identifizierungsdaten entspricht einem beliebigen der Vielzahl von Sicherheitsgraden, die sich voneinander unterscheiden.
  • Eine Parameteranpassungseinheit 140 ist ein Element, das einen Wert des Anonymisierungsparameters unter Verwendung des Sicherheitsgrades anpasst, den jede Sicherheitsgrad-Berechnungseinheit 133 berechnet hat. Die Parameteranpassungseinheit 140 kann einen Wert eines Parameters durch Anwendung einer Optimierungstechnologie anpassen. Hier, in einem konkreten Beispiel, verwendet die Parameteranpassungseinheit 140 eine Technik, die einem Gradientenabstiegsverfahren folgt. In dem vorliegenden Beispiel passt die Parameteranpassungseinheit 140 den Anonymisierungsparameter durch Schleifenverarbeitung an.
  • Die Parameteranpassungseinheit 140 passt den Anonymisierungsparameter in einem Fall an, in dem zumindest einer der Vielzahl von Sicherheitsgraden einem Sicherheitsgradstandardgrad nicht genügt. Der Sicherheitsstandardgrad gibt einen Sicherheitsstandard der anonymisierten Daten an. In einem Fall, in dem alle der Vielzahl von Sicherheitsgraden dem Sicherheitsstandardgrad genügen, ist ein gewisses Sicherheitsniveau für die anonymisierten Daten garantiert. Es kann mehr als einen Sicherheitsstandardgrad geben, so dass für jeden Re-Identifizierungs-Algorithmus und dergleichen ein anderer Wert festgelegt wird, oder der Sicherheitsstandardgrad kann ein Wert sein, der von einer Anforderung und dergleichen abhängig ist.
  • Eine Parameterspeichereinheit 141 ist ein Element, das den Wert des Anonymisierungsparameters speichert.
  • Eine Ausgabeeinheit 150 ist ein Element, das die endgültig bestimmten anonymisierten Daten ausgibt.
  • 2 zeigt ein Beispiel für eine Hardwarekonfiguration zur Ermöglichung jeder Funktionen der Anonymisierungsvorrichtung 100. Die Anonymisierungsvorrichtung 100 ist aus einem Computer gebildet. Die Anonymisierungsvorrichtung 100 kann aus einer Vielzahl von Computern gebildet sein.
  • Der Computer ist aus einem Prozessor 201, einem Arbeitsspeicher 202, einer Hilfsspeichereinrichtung 203, einer Eingabeschnittstelle 204 und einer Ausgabeschnittstelle 205 gebildet. Diese Elemente sind über einen Bus 206 miteinander verbunden
  • Der Prozessor 201 ist ein IC (integrierter Schaltkreis), der verschiedene Arten von Berechnungen durchführt und die im Computer enthaltene Hardware steuert. Ein konkretes Beispiel des Prozessors 201 ist eine CPU (zentrale Verarbeitungseinheit), ein DSP (digitaler Signalprozessor) oder eine GPU (Grafikverarbeitungseinheit). Die Anonymisierungsvorrichtung 100 kann eine Vielzahl von Prozessoren umfassen, die den Prozessor 201 ersetzen. Die Vielzahl von Prozessoren teilen sich die Aufgaben des Prozessors 201.
  • Der Arbeitsspeicher 202 kann die für die Berechnung notwendigen Daten vorübergehend speichern und ist in der Regel eine flüchtige Speichereinrichtung. Der Arbeitsspeicher 202 wird auch als eine Hauptspeichereinrichtung oder als ein Hauptspeicher bezeichnet. Der Arbeitsspeicher 202 ist, als ein konkretes Beispiel, ein RAM (Speicher mit wahlfreiem Zugriff). Daten, die in dem Arbeitsspeicher 202 gespeichert sind, werden nach Bedarf in der Hilfsspeichereinrichtung 203 gesichert. Sofern nicht anders angegeben, handelt es sich bei den Daten um elektronische Daten.
  • Die Hilfsspeichereinrichtung 203 kann Daten speichern und ist typischerweise eine nicht flüchtige Speichereinrichtung. Die Hilfsspeichereinrichtung 203 ist, als ein konkretes Beispiel, ein ROM (Nur-Lese-Speicher), eine HDD (Festplatte) oder ein flüchtiger Speicher. In der Hilfsspeichereinrichtung 203 gespeicherte Daten werden bei Bedarf in den Arbeitsspeicher 202 geladen.
  • Der Arbeitsspeicher 202 und die Hilfsspeichereinrichtung 203 können als eine Einheit eingerichtet sein.
  • Die Eingabeschnittstelle 204 ist eine Stelle für Eingaben in die Anonymisierungsvorrichtung 100 und kann mit einer Eingabeeinrichtung verbunden werden. Die Eingabeeinrichtung dient dazu, dass eine nicht dargestellte verantwortliche Person des Bereitstellers die personenbezogenen Daten eingibt, um der Anonymisierungsvorrichtung 100 Anweisungen zu geben und dergleichen. Bei den Eingabeeinrichtungen handelt es sich als konkrete Beispiele um eine Tastatur 207 und eine Maus 208.
  • Die Ausgabeschnittstelle 205 ist eine Stelle zur Ausgabe aus der Anonymisierungsvorrichtung 100 und kann mit einer Ausgabeeinrichtung verbunden werden. Die Ausgabeeinrichtung zeigt ein Berechnungsergebnis, einen Status der Anonymisierungsvorrichtung 100 und dergleichen an. Als ein konkretes Beispiel ist die Ausgabeeinrichtung eine Anzeige 209.
  • Die Entsprechung zwischen 1 und 2 wird beschrieben. Die Eingabeeinheit 110 entspricht der Eingabeschnittstelle 204. Die Personenbezogene-Daten-Speichereinheit 111, die Anonymisierte-Daten-Speichereinheit 121, die Re-Identifizierungsdaten-Speichereinheit 132 und die Parameter-Speichereinheit 141 entsprechen der Hilfsspeichereinrichtung 203. Die Anonymisierungseinheit 120, die Angriffseinheit 131, die Sicherheitsgrad-Berechnungseinheit 133 und die Parameteranpassungseinheit 140 entsprechen dem Prozessor 201 und dem Arbeitsspeicher 202. Die Ausgabeeinheit 150 entspricht der Ausgabeschnittstelle 205.
  • 2 zeigt ein einfachstes Beispiel für die Hardwarekonfiguration der Anonymisierungsvorrichtung 100. Die Anonymisierungsvorrichtung 100 muss nicht die in 2 dargestellte Konfiguration aufweisen. Als ein konkretes Beispiel kann ein externes Speichermedium mit zumindest einer von der Eingabeschnittstelle 204 und der Ausgabeschnittstelle 205 verbunden werden. Als ein konkretes Beispiel ist das externe Speichermedium ein USB-(Universeller-Serieller-Bus)-Flash-Laufwerk. Als weiteres konkretes Beispiel kann die Anonymisierungsvorrichtung 100 über ein Netzwerkkabel mit einem anderen Computer verbunden werden, indem das Netzwerkkabel mit zumindest einer von der Eingabeschnittstelle 204 und der Ausgabeschnittstelle 205 verbunden wird. Ein Netzwerkkabel ist als ein konkretes Beispiel ein Kabel, das Ethernet unterstützt (eingetragene Marke).
  • Zudem speichert die Hilfsspeichereinrichtung 203 ein Anonymisierungsprogramm. Das Anonymisierungsprogramm ist ein Programm, das den Computer dazu veranlasst, die Funktionen jeder Einheit, die die Anonymisierungsvorrichtung 100 umfasst, zu realisieren. Das Anonymisierungsprogramm kann aus einer Vielzahl von Dateien gebildet sein. Das Anonymisierungsprogramm wird in den Arbeitsspeicher 202 geladen und von dem Prozessor 201 ausgeführt. Die Funktionen jeder Einheit, die die Anonymisierungsvorrichtung 100 umfasst, werden durch Software realisiert.
  • Daten, die zum Zeitpunkt der Ausführung des Anonymisierungsprogramms verwendet werden, Daten, die durch die Ausführung des Anonymisierungsprogramms erhalten werden, und dergleichen werden in geeigneter Weise in einer Speichereinrichtung gespeichert. Jede Einheit der Anonymisierungsvorrichtung 100 verwendet in geeigneter Weise die Speichereinrichtung. Die Speichereinrichtung ist beispielsweise aus zumindest einem von dem Arbeitsspeicher 202, der Hilfsspeichereinrichtung 203, einem Register im Prozessor 201 und einem Cache-Speicher im Prozessor 201 gebildet. Es gibt einen Fall, in dem Daten und Informationen die gleiche Bedeutung haben. Bei der Speichereinrichtung kann es sich um eine vom Computer unabhängige Einrichtung handeln.
  • Jede der Funktionen des Arbeitsspeichers 202 und der Funktionen der Hilfsspeichereinrichtung 203 kann durch eine andere Speichereinrichtung realisiert sein.
  • Das Anonymisierungsprogramm kann auf einem computerlesbaren nicht-flüchtigen Aufzeichnungsmedium aufgezeichnet sein. Das nicht-flüchtige Aufzeichnungsmedium ist, als ein konkretes Beispiel, eine optische Scheibe oder ein Flash-Speicher. Das Anonymisierungsprogramm kann als ein Programmprodukt bereitgestellt sein.
  • *** Beschreibung der Funktionsweise ***
  • Ein Funktionsablauf der Anonymisierungsvorrichtung 100 ist äquivalent mit dem Anonymisierungsverfahren. Ein Programm, das die Funktionsweise der Anonymisierungsvorrichtung 100 realisiert, entspricht dem Anonymisierungsprogramm.
  • Zunächst wird eine Zusammenfassung der Funktionsweise der Anonymisierungsvorrichtung 100 beschrieben, und anschließend werden Einzelheiten zu jeder Funktionsweise der Anonymisierungsvorrichtung 100 erläutert. In der folgenden Beschreibung ist eine Beschreibung eines Prozesses der Angriffsversuchseinheit 130 eine Beschreibung eines Prozesses jeder der n Anzahl von Angriffsversuchseinheiten 130, und eine Beschreibung eines Prozesses jedes Elements der Angriffsversuchseinheit 130 ist eine Beschreibung eines Prozesses jedes Elements der n Anzahl von Angriffsversuchseinheiten 130.
  • 3 ist ein Ablaufdiagramm, das ein Beispiel für einen Verarbeitungsablauf der Anonymisierungsvorrichtung 100 in der vorliegenden Ausführungsform darstellt. Der Verarbeitungsablauf ist ein Ablauf, bei dem die Anonymisierungsvorrichtung 100 die anonymisierten Daten generiert. Ein Beispiel für den Verarbeitungsablauf wird anhand der vorliegenden Zeichnung beschrieben.
  • (Schritt S301: Informationsakzeptierungsprozess)Die Eingabeeinheit 110 akzeptiert Eingabe der personenbezogenen Daten, die ein Verarbeitungsziel sind, und speichert die akzeptierten personenbezogenen Daten in der Personenbezogene-Daten-Speichereinheit 111. Im Folgenden sind in der Beschreibung des vorliegenden Ablaufdiagramms mit den personenbezogenen Daten die personenbezogenen Daten gemeint, die die Eingabeeinheit 110 im vorliegenden Schritt akzeptiert hat, sofern nichts anderes angegeben ist.
  • Ein Verfahren zur Eingabe der personenbezogenen Daten kann jedes beliebige Verfahren sein, solange es sich bei dem Verfahren um das Verfahren handelt, bei dem die Anonymisierungsvorrichtung 100 die personenbezogenen Daten lesen kann. Bei dem Verfahren handelt es sich beispielsweise um ein Verfahren zur Verwendung einer Tastatur, ein Verfahren zur Verwendung eines Mediums oder ein Verfahren zur Eingabe von Informationen über ein Netzwerk.
  • (Schritt S302: Parameter-Anfangseinstellungsprozess)
  • Die Parameteranpassungseinheit 140 generiert einen Anfangsparameter durch Durchführen einer Anfangseinstellung für den Anonymisierungsparameter. Der Anfangsparameter ist der Anonymisierungsparameter, auf den die Anfangseinstellung vorgenommen wurde. Die Parameteranpassungseinheit 140 speichert in der Parameter-Speichereinheit 141 den Anfangsparameter als den Anonymisierungsparameter.
  • (Schritt S303: Anonymisierungsprozess)
  • Die Anonymisierungseinheit 120 generiert die anonymisierten Daten aus den personenbezogenen Daten unter Verwendung des Anonymisierungsparameters und speichert die generierten anonymisierten Daten in der Anonymisierte-Daten-Speichereinheit 121. Die Anonymisierungseinheit 120 kann die anonymisierten Daten aus den letzten anonymisierten Daten generieren. Die letzten anonymisierten Daten sind die Letzten unter den anonymisierten Daten, die die Anonymisierungsvorrichtung 100 generiert hat. Im Folgenden sind in der Beschreibung des vorliegenden Ablaufdiagramms mit den anonymisierten Daten die anonymisierten Daten gemeint, die in dem vorliegenden Schritt generiert wurden, sofern nicht anders angegeben ist.
  • (Schritt S304: Re-Identifizierungs-Angriffsprozess)
  • Die Angriffseinheit 131 generiert die Re-Identifizierungsdaten durch Durchführen eines Re-Identifizierungsangriffs auf die anonymisierten Daten, und speichert die generierten Re-Identifizierungsdaten in der Re-Identifizierungsdaten-Speichereinheit 132. Im Folgenden sind in der Beschreibung des vorliegenden Ablaufdiagramms mit den Re-Identifizierungsdaten die Re-Identifizierungsdaten gemeint, die im vorliegenden Schritt generiert werden, sofern nicht anders angegeben ist.
  • (Schritt S305: Sicherheitsgrad-Berechnungsprozess)
  • Die Sicherheitsgrad-Berechnungseinheit 133 berechnet einen Sicherheitsgrad anhand der Re-Identifizierungsdaten und der personenbezogenen Daten. Schritt S304 und Schritt S305 sind Prozesse, die jede der n Anzahl von Angriffsversuchseinheiten 130 ausführt. Die n Anzahl der Angriffsversuchseinheiten 130 kann Schritt S304 und Schritt S305 parallel ausführen.
  • (Schritt S306: Sicherheitsgrad-Verifizierungsprozess)
  • Die Parameteranpassungseinheit 140 prüft, ob ein Wert jedes berechneten Sicherheitsgrades dem Sicherheitsgradstandard genügt oder nicht. In einem Fall, in dem alle berechneten Sicherheitsgrade dem Sicherheitsstandard genügen, fährt die Anonymisierungsvorrichtung 100 mit Schritt S307 fort. In einem anderen als dem vorstehend beschriebenen Fall fährt die Anonymisierungsvorrichtung 100 mit Schritt S308 fort.
  • (Schritt S307: Ausgabeprozess)
  • Die Ausgabeeinheit 150 gibt die anonymisierten Daten aus. Die Anonymisierungsvorrichtung 100 beendet die Prozesse des vorliegenden Ablaufschemas.
  • (Schritt S308: Parameteranpassungsprozess)
  • Die Parameteranpassungseinheit 140 generiert einen neuen Parameter durch Anpassen des Anonymisierungsparameters. Der neue Parameter ist der Anonymisierungsparameter, der von der Parameteranpassungseinheit 140 angepasst wird. Die Parameteranpassungseinheit 140 speichert in der Parameter-Speichereinheit 141 als den Anonymisierungsparameter einen neuen Parameter. Die Parameteranpassungseinheit 140 kann den Anonymisierungsparameter aktualisieren.
    Die Anonymisierungsvorrichtung 100 kehrt zu Schritt S303 zurück.
  • Ein konkretes Beispiel für jeden Schritt des Verarbeitungsvorgangs der Anonymisierungsvorrichtung 100 wird anhand von 4 bis 9 beschrieben.
  • 4 ist ein Diagramm, das ein Beispiel für die personenbezogenen Daten darstellt, die in Schritt S301 eingegeben werden. Die personenbezogenen Daten, die 4 entsprechen, zeigen Zeitreihendaten eines Individuums an, insbesondere eine Bewegungshistorie eines Individuums. Bei den Zeitreihendaten eines Individuums handelt es sich um Daten, bei denen jeder von einem Individuum oder mehreren Individuen und Zeitreihendaten, die jedem von dem einen Individuum oder mehreren Individuen entsprechen, miteinander verknüpft sind.
  • Hier wird eine Betrachtungsweise von 4 beschrieben. In der vorliegenden Zeichnung werden insgesamt 100 Quadrate vorbereitet, deren Fläche in 10 Abschnitte in einer Ost-West-Richtung und 10 Abschnitte in einer Nord-Süd-Richtung unterteilt ist. Die Quadrate werden eingeführt, um eine Fläche virtuell zu unterteilen. Jeder der Abschnitte der 10 Abschnitte ist mit einer Zahl von 0 bis 9 gekennzeichnet. In der vorliegenden Zeichnung sind Informationen angegeben, die angeben, in welchem Quadrat der 100 Quadrate sich das Individuum T in Abständen von 30 Minuten aufgehalten hat. In einem Zentrum des Quadrats, in dem sich das Individuum T zu einer bestimmten Tageszeit aufgehalten hat, ist ein schwarzer runder Punkt angegeben. Zahlen, die um einen schwarzen Punkt herum angezeigt werden, sind Tageszeiten, zu denen sich ein Individuum T in dem Quadrat aufgehalten hat, wobei der schwarze Punkt angezeigt wird. In einem Fall, in dem sich ein Quadrat, in dem sich das Individuum T zu einer bestimmten Tageszeit aufgehalten hat, und ein Quadrat, in dem sich das Individuum T 30 Minuten nach der Tageszeit aufgehalten hat, unterscheiden, werden die Punkte, die in diesen zwei Quadraten angegeben sind, miteinander verknüpft. In der vorliegenden Beschreibung gibt es einen Fall, in dem ein Punkt für einen Ort steht, an dem sich ein Individuum aufgehalten hat.
  • Wenn die Quadrate in der Ost-West-Richtung durch die Variable x und die Quadrate in der Nord-Süd-Richtung durch die Variable y dargestellt werden, kann man erkennen, dass sich beispielsweise das Individuum T um 8:00 Uhr in einem Quadrat von (x, y)=(1, 5) aufgehalten hat. Außerdem ist zu erkennen, dass sich das Individuum T um 8:30 Uhr zu einer Position (2, 6) bewegt hat. Es ist zu erkennen, dass sich das Individuum T von 11:00 bis 12:00 Uhr an einer Position (8, 3) aufgehalten hat. 4 ist ein Diagramm, das in der beschriebenen Weise personenbezogene Daten visualisiert hat, die alle 30 Minuten Positionsinformationen über ein Individuum T anzeigen.
  • Zur Vereinfachung der Beschreibung zeigt 4 nur Positionen, an denen sich ein Individuum T während eines Tages aufgehalten hat. Die Anonymisierungsvorrichtung 100 kann als das Verarbeitungsziel personenbezogene Daten haben, die Positionen enthalten, an denen sich viele Individuen über eine Vielzahl von Tagen aufgehalten haben.
  • 5 ist eine Tabelle, die die personenbezogenen Daten gemäß 4, ein Beispiel für anonymisierte Daten, die den personenbezogenen Daten entsprechen, und dergleichen zeigt. Jede Zeile in 5 entspricht einem Punkt, der eine Position des Individuums T angibt. Andere Spalten als „Personenbezogene Daten“ in 5 werden später beschrieben.
  • 6 ist ein Diagramm, das ein Beispiel für die in Schritt S302 festgelegten Anfangsparameter in der Parameteranpassungseinheit 140 zeigt.
  • 6 entspricht einem Fall, in dem die Anonymisierungseinheit 120 als das Anonymisierungsverfahren ein Verfahren anwendet, um jeden der Punkte, die Positionen anzeigen, basierend auf einer vorgeschriebenen Wahrscheinlichkeit als das Verarbeitungsziel auszuwählen, und jeden Wert von x und y jedes der ausgewählten Punkte auf einen geeigneten Wert basierend auf einer Wahrscheinlichkeit neu zu schreiben.
  • In 6 sind drei Typen, PA (1), PX|A=1 (x), und PY|A=1 (y), als die Anfangsparameter dargestellt. Hier wird jeder Anfangsparameter beschrieben. Es sei angenommen, dass die Zufallsvariable A eine Zufallsvariable ist, die angibt, ob (A=1) ausgewählt werden soll, um (A=0) auszuwählen, welches ein Punkt ist, der eine Position als das Verarbeitungsziel anzeigt. Hier steht der Parameter PA (1) für eine Wahrscheinlichkeit, dass ein Wert der Zufallsvariablen A 1 ist, das heißt, für eine Wahrscheinlichkeit, einen Punkt auszuwählen, der eine Position als einen Punkt des Verarbeitungsziels angibt. Im Beispiel von 6 bedeutet der Parameter PA (1)=0,3, dass eine Wahrscheinlichkeit, einen Punkt, der eine Position anzeigt, als das Verarbeitungsziel auszuwählen, 0,3 beträgt.
  • PX|A=1 (x), wenn A=1 ist, das heißt, wenn ein Punkt als ein Punkt des Verarbeitungsziels ausgewählt wird, stellt eine bedingte Wahrscheinlichkeitsmassenfunktion eines Wertes von x dar, nachdem der Punkt verarbeitet wurde. Im Beispiel von 6 ist der Parameter PX|A=1 (x) unabhängig vom Wert von x einheitlich 0,1.
    In ähnlicher Weise stellt PY|A=1 (y), wenn A=1 ist, das heißt, in einem Fall, in dem ein Punkt als ein Punkt des Verarbeitungsziels ausgewählt wird, eine bedingte Wahrscheinlichkeitsmassenfunktion eines Wertes von y nach der Verarbeitung des Punktes dar. Im Beispiel von 6 ist der Parameter PY|A=1 (y) unabhängig vom Wert von y einheitlich 0,1.
  • Als das Einstellungsverfahren der Anfangsparameter kommen verschiedene Verfahren in Frage.
    Als ein konkretes Beispiel wird ein Fall betrachtet, in dem der Empfänger als eine Anforderung für die anonymisierten Daten anonymisierte Daten angibt, die den ursprünglichen personenbezogenen Daten nahe kommen. Im vorliegenden Fall kann das Einstellungsverfahren, bei dem der Parameter PA (1) auf einen kleinen Wert wie 0,01 und dergleichen gesetzt wird, PX|A=1 (x) auf PX (x), das heißt, auf einen Wert einer Wahrscheinlichkeitsverteilung von x der gesamten ursprünglichen personenbezogenen Daten gesetzt wird, und PY|A=1 (y) auf PY (y), das heißt, auf einen Wert einer Wahrscheinlichkeitsverteilung von y der gesamten ursprünglichen personenbezogenen Daten gesetzt wird, berücksichtigt werden. Um zu vermeiden, dass der Wert des Anonymisierungsparameters eine so genannte lokale optimale Lösung ist, kann die Parameteranpassungseinheit 140 ein Verfahren anwenden, bei dem jeder der Werte von PA (1), PX|A=1 (x) und PY|A=1 (y) auf einen Zufallswert gesetzt wird. Die Parameteranpassungseinheit 140 kann verschiedene Verfahren als ein Anfangsparameter-Einstellungsverfahren gemäß dem Anfangsparameter, der Anforderung der anonymisierten Daten oder den Bedingungen der Natur und dergleichen des Anonymisierungsverfahrens anwenden.
  • Die Beschreibung kehrt zurück zu 5. Die Spalte „Anonymisierte Daten“ zeigt ein Beispiel für die in Schritt S303 generierten anonymisierten Daten an. Wie in der vorliegenden Zeichnung dargestellt, werden in Bezug auf einen Punkt, dessen Wert in der Spalte „Zufallsvariable A“ gleich 1 ist, das heißt, für einen Punkt, der als das Verarbeitungsziel ausgewählt wurde, die Werte „Anonymisierte Daten“ x' und y' nach der Verarbeitung gemäß den Werten von PX|A=1 (x) und PY|A=1 (y) für jeden Punkt generiert. Andererseits, in Bezug auf einen Punkt, dessen Wert in der Spalte „Zufallsvariable A“ gleich 0 ist, das heißt, einen Punkt, der nicht als das Verarbeitungsziel ausgewählt wurde, sind die Werte x' und y' nach der Verarbeitung x beziehungsweise y, wobei x und y Werte eines ursprünglichen Punktes sind. Der ursprüngliche Punkt ist eine in der Spalte „Personenbezogene Daten“ angegebene Position. Die Werte nach der Verarbeitung sind Positionen, die in „Anonymisierte Daten“ angegeben sind.
  • 7 zeigt ein Beispiel für die Verarbeitungsergebnisse von jedem von Schritt S304 und Schritt S305. Die vorliegende Zeichnung zeigt ein Beispiel für einen Fall, in dem die Angriffsversuchseinheit 130 zwei, das heißt, zwei Arten von Re-Identifizierungs-Angriffsalgorithmen verwendet. Im Folgenden werden der Re-Identifizierungsangriff und der Sicherheitsgrad anhand der vorliegenden Zeichnung beschrieben.
  • Es wird ein Re-Identifizierungs-Angriffsalgorithmus der Angriffsversuchseinheit 130_1 beschrieben.
    Zunächst berechnet die Angriffseinheit 131_1 für jede Tageszeit eine Distanz zwischen einem Punkt zu jeder Tageszeit und einem Punkt zu einer vorherigen Tageszeit, das heißt, eine Bewegungsdistanz pro Zeiteinheit zu jeder Tageszeit.
  • Als Nächstes, in Bezug auf eine Punkt, der eine lange Bewegungsdistanz herstellt, berechnet die Angriffseinheit 131_1 die Re-Identifizierungsdaten durch Durchführen von linearer Interpolation unter Verwendung von Werten von jedem Punkt zu einer Tageszeit vor und nach der Tageszeit, die dem Punkt entspricht.
  • Es wird ein Re-Identifizierungs-Angriffsalgorithmus der Angriffsversuchseinheit 130_2 beschrieben.
    Zunächst berechnet die Angriffseinheit 131_2 in Bezug auf jeden von x' und y' der „Anonymisierten Daten“ die Wahrscheinlichkeitsverteilungen PX' (x') und PY' (y').
  • Als nächstes wählt die Angriffseinheit 131_2 Re-Identifizierungsdaten x^ und y^ gemäß der berechneten Wahrscheinlichkeitsverteilung zufällig aus. Die Angriffseinheit 131_2 kann die Re-Identifizierungsdaten auf beliebige Weise generieren.
  • Eine Spalte „Re-Identifizierungsdaten“ in jeder Tabelle in 7 zeigt Beispiele für die Re-Identifizierungsdaten, die von diesen Re-Identifizierungs-Angriffsalgorithmen berechnet wurden. Die Spalte „Personenbezogene Daten“ in jeder Tabelle ist gleich der Spalte „Personenbezogene Daten“ in 5. „Personenbezogene Daten“ werden zur Berechnung des Sicherheitsgrades verwendet.
    In 7 ist der Grad der Sicherheit durch die Euklidische Distanz zwischen einem Punkt der Re-Identifizierungsdaten und einem Punkt der personenbezogenen Daten zu jeder Tageszeit definiert. In einem Fall, in dem der Sicherheitsgrad 0 ist, bedeutet der Sicherheitsgrad 0 hier, dass die Re-Identifizierungsdaten vollständig mit den personenbezogenen Daten übereinstimmen. In einem Fall, in dem der Sicherheitsgrad 1 ist, bedeutet der Sicherheitsgrad 1, dass die Re-Identifizierungsdaten und die personenbezogenen Daten vollständig voneinander unabhängig sind. Auf die beschriebene Weise berechnet jede Angriffsversuchseinheit 130 den Sicherheitsgrad.
  • Wenn ein Punkt der personenbezogenen Daten zur Tageszeit t als (xt, yt) dargestellt ist, und ein Punkt der Re-Identifizierungsdaten als (xt^, yt^) dargestellt ist, kann die Euklidische Distanz zwischen dem Punkt der Re-Identifizierungsdaten und dem Punkt der personenbezogenen Daten zur Tageszeit t wie in [Math 1] angegeben werden. Der Sicherheitsgrad wird hier beispielsweise durch [Math 2] definiert. Im vorliegenden Beispiel kann in einem Fall, in dem der Sicherheitsgrad 1 übersteigt, der Sicherheitsgrad auf 1 geändert werden.

  • [Math. 1]

  • [Math. 2]
  • Für eine Berechnungstechnik der Re-Identifizierungs-Angriffsalgorithmen und des Sicherheitsgrades können natürlich verschiedene Techniken in Betracht gezogen werden. Als ein weiteres Beispiel für einen Re-Identifizierungs-Angriffsalgorithmus kann ein Algorithmus genannt werden, der die Re-Identifizierungsdaten aus den anonymisierten Daten generiert, indem er vorhersagt, dass die anonymisierten Daten als Ganzes verarbeitet werden, indem die personenbezogenen Daten translatiert werden und die anonymisierten Daten in eine Richtung translatiert werden, die der Richtung, in die die personenbezogenen Daten translatiert werden, entgegengesetzt ist, und zwar über die gleiche Distanz wie die Distanz, über die die personenbezogenen Daten translatiert werden. Als weiteres Beispiel für die Berechnungstechnik des Sicherheitsgrads kann eine Technik genannt werden, die den Sicherheitsgrad durch die Manhattan-Distanz zwischen dem Punkt der Re-Identifizierungsdaten und dem Punkt der personenbezogenen Daten zu jeder Tageszeit definiert.
  • Der Sicherheitsgradstandard lautet als ein konkretes Beispiel „Die Werte aller Sicherheitsgrade sind größer als oder gleich 0,3 oder die Anzahl von Wiederholungen übersteigt eine Million Mal“. Unter allen Sicherheitsgraden sind alle Sicherheitsgrade zu verstehen, die von der n Anzahl von Sicherheitsgrad-Berechnungseinheiten 133 berechnet wurden. Die Anzahl von Wiederholungen bedeutet in dem Fall, dass die Parameteranpassungseinheit 140 die Optimierungstechnik verwendet, die Anzahl von Iterationen in dem Gradientenabstiegsverfahren und dergleichen. Die Anzahl von Wiederholungen ist, als ein konkretes Beispiel, die Anzahl von Durchläufen der in 3 dargestellten Schleife. Die in 7 dargestellten Beispiele genügen nicht dem vorliegenden Standard.
  • 8 stellt ein Beispiel der neuen Parameter dar. 8 entspricht einem Fall, in dem die Parameteranpassungseinheit 140 als eine Anpassungstechnik für einen Parameter eine Technik anwendet, bei der PA (1) erhöht wird und einige der Werte von jedem vom PX|A=1 (x) und PY|A=1 (y) als Ziele erhöht oder verringert werden.
  • Selbstverständlich kommen für die Anpassungstechnik eines Parameters verschiedene Techniken in Frage. Ein weiteres Beispiel für eine Anpassungstechnik eines Parameters ist eine Technik, die ein Verfahren des steilsten Abstiegs oder ein Verfahren des stochastischen Gradientenabstiegs im Bereich des maschinellen Lernens nutzt.
  • Die Anonymisierungsvorrichtung 100 kehrt nach Schritt S308 zu Schritt S303 zurück und führt erneut Anonymisierung auf die personenbezogenen Daten durch.
  • 9 ist ein Diagramm, das Beispiele für die anonymisierten Daten, die die Ausgabeeinheit 150 in Schritt S307 ausgibt, visualisiert. Eine Betrachtungsweise der vorliegenden Zeichnung ist gleich der Betrachtungsweise von 4.
  • *** Beschreibung der Wirkung der Ausführungsform 1 ***
  • Wie oben beschrieben, kann die Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform auf jeden denkbaren Re-Identifizierungsangriff reagieren. Konkret generiert die Angriffseinheit 131 Re-Identifizierungsdaten, die jedem denkbaren Re-Identifizierungsangriff entsprechen, die Sicherheitsgrad-Berechnungseinheit 133 berechnet Sicherheitsgrade, die jedem denkbaren Re-Identifizierungsangriff entsprechen, und die Parameter-Anpassungseinheit 140 passt einen Anonymisierungsparameter so an, dass der Sicherheitsgrad einem vorgegebenen Standard genügt.
  • Somit kann die Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform anonymisierte Daten generieren, deren vorgeschriebene Sicherheit gegen jeden denkbaren Re-Identifizierungsangriff gewährleistet ist.
  • *** Andere Konfigurationen ***
  • <Variante 1>
  • 10 zeigt ein Beispiel für eine Hardwarekonfiguration einer Anonymisierungsvorrichtung 100 gemäß der vorliegenden Variante. Die Anonymisierungsvorrichtung 100 umfasst, wie in der vorliegenden Zeichnung dargestellt, eine Verarbeitungsschaltung 210 anstelle des zumindest einen von dem Prozessor 201 dem Arbeitsspeicher 202 und der Hilfsspeichereinrichtung 203.
  • Bei der Verarbeitungsschaltung 210 handelt es sich um Hardware, die zumindest einen Teil der einzelnen Einheiten der Anonymisierungsvorrichtung 100 realisiert.
  • Die Verarbeitungsschaltung 210 kann dedizierte Hardware sein und kann ein Prozessor sein, der ein im Arbeitsspeicher 202 gespeichertes Programm ausführt.
  • In einem Fall, bei dem die Verarbeitungsschaltung 210 dedizierte Hardware ist, ist die Verarbeitungsschaltung 210, als ein konkretes Beispiel, ein Einzelschaltkreis, ein Verbundschaltkreis, ein programmierter Prozessor, ein parallel programmierter Prozessor, ein ASIC (Application Specific Integrated Circuit), ein FPGA (Field Programmable Gate Array), oder eine Kombination daraus.
  • Die Anonymisierungsvorrichtung 100 kann eine Vielzahl von Verarbeitungsschaltungen enthalten, die die Verarbeitungsschaltung 210 ersetzen. Die Vielzahl von Verarbeitungsschaltungen teilen sich die Funktionen der Verarbeitungsschaltung 210.
  • In der Anonymisierungsvorrichtung 100 kann ein Teil der Funktionen durch dedizierte Hardware realisiert werden und die übrigen Funktionen können durch Software oder Firmware realisiert werden.
  • Die Verarbeitungsschaltung 210 ist als ein konkretes Beispiel durch Hardware, Software, Firmware oder eine Kombination aus diesen realisiert.
  • Der Prozessor 201, der Arbeitsspeicher 202, die Hilfsspeichereinrichtung 203 und die Verarbeitungsschaltung 210 werden zusammenfassend als „Verarbeitungsschaltkreis“ bezeichnet. Das heißt, die Funktionen der einzelnen funktionellen Elemente der Anonymisierungsvorrichtung 100 werden durch die Verarbeitungsschaltung realisiert.
  • In Bezug auf die Anonymisierungsvorrichtungen 100 gemäß anderen Ausführungsformen können die Konfigurationen die gleichen sein wie die Konfiguration der vorliegenden Variante.
  • Ausführungsform 2.
  • Im Folgenden werden unter Bezugnahme auf die Zeichnungen vor allem die Aspekte beschrieben, die sich von der oben beschriebenen Ausführungsform unterscheiden.
  • Die vorliegende Ausführungsform ist insbesondere in einem Fall nützlich, wenn es sich bei den personenbezogenen Daten um Attributdaten eines Individuums handelt. Bei den Attributdaten handelt es sich um Daten, die eine Eigenschaft eines Individuums in verschiedenen Arten von Kategorien angeben. Bei den Attributdaten handelt es sich als ein konkretes Beispiel um Noten, die ein Individuum in der Schule erhalten hat. Bei den Attributdaten eines Individuums handelt es sich um Daten, in denen jedes von dem einen Individuum oder mehreren Individuen und die Attributdaten, die jedem von dem einen Individuum oder mehreren Individuen entsprechen, verknüpft sind.
  • *** Beschreibung einer Konfiguration ***
  • Eine funktionelle Konfiguration gemäß der vorliegenden Ausführungsform ist einer funktionellen Konfiguration in Ausführungsform 1 gleich.
  • *** Beschreibung der Funktionsweise ***
  • Da eine Zusammenfassung der Funktionsweise einer Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform der Zusammenfassung der Funktionsweise der Anonymisierungsvorrichtung 100 in Ausführungsform 1 gleich ist, wird auf eine Beschreibung verzichtet. Im Folgenden wird die Funktionsweise der Anonymisierungsvorrichtung 100 im Detail beschrieben.
  • 11 zeigt ein Beispiel für einige Teile der in Schritt S301 eingegebenen personenbezogenen Daten. Bei den personenbezogenen Daten in 11 handelt es sich um die Attributdaten eines Individuums, insbesondere um die Noten, die ein Individuum in der Schule erhalten hat.
  • In 11 werden für jedes von hundert Individuen, denen eine ID (Kennung) einer beliebigen von 1 bis 100 zugewiesen ist, Punkte von 0 bis 100 als eine Note für jedes von fünf Fächern Muttersprache, Mathematik, Naturwissenschaften, Sozialkunde und Fremdsprache vergeben.
  • 12 ist ein Beispiel für die personenbezogenen Daten und anonymisierten Daten. Die anonymisierten Daten im vorliegenden Beispiel sind die anonymisierten Daten, die in Schritt S303 unter Verwendung der personenbezogenen Daten im vorliegenden Beispiel generiert werden. Eine Anonymisierungstechnik im vorliegenden Beispiel ist eine Technik, die zu jedem Notenwert eine Zufallszahl hinzufügt.
  • 13 ist eine Wahrscheinlichkeitsdichtefunktion, die einem Beispiel für einen Anfangsparameter entspricht. Das vorliegende Beispiel ist ein Beispiel, bei dem eine Zufallszahl gemäß einer Laplace-Verteilung simuliert wird, als die Zufallszahl verwendet zu werden, die zu jedem Notenwert hinzugefügt wird. Die Parameter im vorliegenden Beispiel sind die zwei, Mittelwert µ=0 und Varianz σ^2=50.
  • 14 ist ein Diagramm, das ein Beispiel für die anonymisierten Daten, Re-Identifizierungsdaten und Sicherheitsgrade darstellt. Die Re-Identifizierungsdaten sind die in Schritt S304 berechneten Re-Identifizierungsdaten. Der Sicherheitsgrad ist der in Schritt S305 berechnete Sicherheitsgrad. 14 entspricht einem Fall, in dem die Anonymisierungsvorrichtung 100 zwei Angriffsversuchseinheiten 130 umfasst. Ein Re-Identifizierungs-Angriffsalgorithmus der Angriffsversuchseinheit 130_1 wird als ein Algorithmus festgelegt, der einen Wert gemäß einer Normalverteilung auf Grundlage des Mittelwerts und der Varianz aller Notenwerte von fünf Personen vor und hinter einem Individuum als einen Notenwert von jedem Individuum berechnet.
  • Ein Re-Identifizierungs-Angriffsalgorithmus der Angriffsversuchseinheit 130_2 wird als ein Algorithmus festgelegt, der zu jedem Individuum einen konstanten Wert hinzufügt.
  • Eine Berechnungstechnik des Sicherheitsgrads wird als eine Technik festgelegt, die den Sicherheitsgrad durch die Manhattan-Distanz zwischen einem Notenwert jedes Teils der Re-Identifizierungsdaten und einem Notenwert jedes Teils der personenbezogenen Daten definiert.
  • *** Beschreibung der Wirkung von Ausführungsform 2 ***
  • Wie oben beschrieben, kann die Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform die gleiche Wirkung wie die Wirkung von Ausführungsform 1 erzielen, selbst wenn die personenbezogenen Daten die Attributdaten eines Individuums sind.
  • Ausführungsform 3.
  • Im Folgenden werden unter Bezugnahme auf die Zeichnungen vor allem die Aspekte beschrieben, die sich von den oben beschriebenen Ausführungsformen unterscheiden.
  • Eine Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform umfasst eine Vielzahl von Anonymisierungseinheiten 120.
  • *** Beschreibung einer Konfiguration ***
  • 15 veranschaulicht ein Beispiel einer funktionellen Konfiguration der Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform.
  • Da in der vorliegenden Ausführungsform die funktionelle Konfiguration der Anonymisierungsvorrichtung 100 mit Ausnahme der Anonymisierungseinheit 120 und einer Parameteranpassungseinheit 140 der funktionellen Konfiguration der Anonymisierungsvorrichtung 100 gemäß Ausführungsform 1 gleich ist, wird auf eine Beschreibung verzichtet.
  • Die Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform umfasst m (m ist eine ganze Zahl größer oder gleich 2) Anonymisierungseinheiten 120. Jede der m Anzahl von Anonymisierungseinheiten 120 wird als Anonymisierungseinheit 120_1, ..., und Anonymisierungseinheit 120_m geschrieben. Ein Anonymisierungsalgorithmus, den jede der m Anzahl von Anonymisierungseinheiten 120 verwendet, kann unterschiedlich sein oder ein Teil kann sich mit einem anderen überschneiden.
  • Die Anonymisierungsvorrichtung 100 kann die Vielzahl von Anonymisierungseinheiten 120 als eine Vielzahl von Anonymisierungseinheiten enthalten. Jede der Vielzahl von Anonymisierungseinheiten 120 verwendet einen einzelnen Anonymisierungsalgorithmus, der jeweils unterschiedlich ist. Die Vielzahl von Anonymisierungseinheiten 120 generieren die anonymisierten Daten im Zusammenwirken miteinander.
  • Eine Ausgabe der Anonymisierungseinheit 120_1 wird in die nicht dargestellte Anonymisierungseinheit 120_2 eingegeben. Eine Ausgabe der Anonymisierungseinheit 120_2 wird in die nicht dargestellte Anonymisierungseinheit 120_3 eingegeben. In ähnlicher Weise wird eine Ausgabe der nicht dargestellten Anonymisierungseinheit 120_(m-1) in die Anonymisierungseinheit 120_m eingegeben.
  • 15 zeigt ein Beispiel, bei dem eine Verbindungsform der m Anzahl von Anonymisierungseinheiten 120 eine serielle Verbindung ist. Die Verbindungsform der m Anzahl von Anonymisierungseinheiten 120 trägt dazu bei, dass die Vielzahl von Anonymisierungseinheiten 120 miteinander zusammenwirken.
  • Die Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform umfasst eine m Anzahl von Parameteranpassungseinheiten 140. Die Anonymisierungsvorrichtung 100 kann die Vielzahl von Parameteranpassungseinheiten 140 als eine Vielzahl von Parameteranpassungseinheiten umfassen. Die Anzahl von jeder der Vielzahl von Anonymisierungseinheiten 120 und der Vielzahl von Parameteranpassungseinheiten 140 ist jeweils gleich. Jede der Vielzahl von Parameteranpassungseinheiten 140 passt einen Anonymisierungsparameter an, der einer beliebigen der Vielzahl von Anonymisierungseinheiten 120 entspricht, die sich voneinander unterscheiden.
  • Jede der m Anzahl von Parameteranpassungseinheiten 140 wird als Parameteranpassungseinheit 140_1, ..., und Parameteranpassungseinheit 140_m geschrieben. Die Parameteranpassungseinheit 140_j (j ist eine ganze Zahl, 1≤j≤m) entspricht der Anonymisierungseinheit 120_j. Das heißt, die Parameteranpassungseinheit 140_j passt einen Parameter an, den die Anonymisierungseinheit 120J verwendet.
  • *** Beschreibung der Funktionsweise ***
  • Da eine Zusammenfassung der Funktionsweise der Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform der Zusammenfassung der Funktionsweise der Anonymisierungsvorrichtung 100 in Ausführungsform 1 gleich ist, wird auf eine Beschreibung verzichtet. Da die Einzelheiten eines jeden Schrittes mit Ausnahme der Einzelheiten des Schrittes S303 den Einzelheiten eines jeden Schrittes in mindestens einer von Ausführungsform 1 und 2 gleich ist, mit der Ausnahme, dass jede der m Anzahl von Parameteranpassungseinheiten 140 einen Prozess ausführt, der jeder der m Anzahl von Anonymisierungseinheiten 120 entspricht, wird auf eine Beschreibung verzichtet.
  • Der Schritt S303 wird in der vorliegenden Ausführungsform anhand der in 4 dargestellten personenbezogenen Daten beschrieben.
  • 16 zeigt ein Beispiel für Zwischenverarbeitungsdaten, anonymisierte Daten und dergleichen in der vorliegenden Ausführungsform. Hier ist ein Beispiel für einen Fall dargestellt, in dem es zwei Anonymisierungseinheiten 120 gibt, das heißt, die Anonymisierungsvorrichtung 100 verwendet zwei Arten von Anonymisierungsalgorithmen.
  • In 16 ist jede Spalte „Tageszeit“, „Personenbezogene Daten“, „Zufallsvariable A (Verarbeitungsziel)“ und „Zwischenverarbeitungsdaten“ die gleiche wie die Spalten in Ausführungsform 1. die „Zwischenverarbeitungsdaten“ sind jedoch „Anonymisierte Daten“ in Ausführungsform 1. Das heißt, die Anonymisierungseinheit 120_1 in der vorliegenden Ausführungsform ist der Anonymisierungseinheit 120 gemäß Ausführungsform 1 gleich. Hier wird eine Ausgabe von der Anonymisierungseinheit 120 gemäß Ausführungsform 1 als „Zwischenverarbeitungsdaten“ anstelle von „anonymisierten Daten“ bezeichnet.
  • Eine Spalte „Parameter“ steht für Parameter, die die Anonymisierungseinheit 120_2 verwendet. Die Spalte „Anonymisierte Daten“ gibt die Ausgaben der Anonymisierungseinheit 120_2 an und stellt die anonymisierten Daten in der vorliegenden Ausführungsform dar. Die anonymisierten Daten werden durch Verarbeitung der Zwischenverarbeitungsdaten generiert. In 16 ist ein Beispiel für eine Anonymisierung dargestellt, bei der als eine Anonymisierungstechnik der Anonymisierungseinheit 120_2 Translation auf Grundlage von [Mathematische Formel 1] auf alle Punkte der Zwischenverarbeitungsdaten (x_1', y_1') mit (dx, dy)=(1, 1) durchgeführt wird. ( x , y ) = ( ( x _ 1 + dx )  mod  10, ( y _ 1 + dy )  mod  10 )
    Figure DE112020007092B4_0001
  • Gemäß der obigen Beschreibung und 16 ist der Anonymisierungsalgorithmus der Anonymisierungseinheit 120_1 ein Algorithmus, der einige Punkte durch Zufallspunkte ersetzt.
    Der Anonymisierungsalgorithmus der Anonymisierungseinheit 120_2 ist ein Algorithmus, der jeden Punkt translatiert. Das heißt, die Anonymisierungseinheit 120_1 und die Anonymisierungseinheit 120_2 verwenden unterschiedliche Algorithmen.
  • *** Beschreibung der Wirkung von Ausführungsform 3 ***
  • Wie oben beschrieben, generiert die Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform die anonymisierten Daten durch Kombination einer Vielzahl von Anonymisierungsalgorithmen durch die Vielzahl von Anonymisierungseinheiten 120. Folglich ist es in einer Situation eines tatsächlichen Angriffs relativ schwierig, den Anonymisierungsalgorithmus aus den anonymisierten Daten abzuleiten, die die Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform generiert hat.
  • Auf diese Weise kann die Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform anonymisierte Daten generieren, die widerstandsfähiger gegen einen Angriff sind.
  • *** Andere Konfigurationen ***
  • <Variante 2>
  • Die Verbindungsform der m Anzahl von Anonymisierungseinheiten 120 kann eine parallele Verbindung sein oder eine Form sein, die eine Kombination aus einer seriellen Verbindung und einer parallelen Verbindung ist.
  • 17 zeigt ein konkretes Beispiel, in dem drei Anonymisierungseinheiten 120 in einer Verbindungsform verbunden sind, in der die serielle Verbindung und die parallele Verbindung kombiniert sind.
    Im vorliegenden Beispiel generiert die Anonymisierungseinheit 120_1 Zwischenverarbeitungsdaten (x_1', y_1') unter Verwendung von [Mathematische Formel 2]. Die Anonymisierungseinheit 120_2 generiert Zwischenverarbeitungsdaten (x_2', y_2') unter Verwendung von [Mathematische Formel 3]. In [Mathematische Formel 2] und [Mathematische Formel 3] sei (dx, dy)=(1, 1). Die Anonymisierungseinheit 120_3 generiert anonymisierte Daten (x', y') unter Verwendung von [Mathematische Formel 4]. ( x _ 1 , y _ 1 ) = ( ( x + dx )  mod  10, ( y + dy )  mod  10 )
    Figure DE112020007092B4_0002
     ( x _ 2 , y _ 2 ) = ( ( x + dx )  mod  10, ( y + dy )  mod  10 )
    Figure DE112020007092B4_0003
     ( x , y ) = ( ( x _ 1 + x _ 2 ) / 2, ( y _ 1 + y _ 2 ) / 2 )
    Figure DE112020007092B4_0004
  • Ausführungsform 4.
  • Im Folgenden werden unter Bezugnahme auf die Zeichnungen vor allem die Aspekte beschrieben, die sich von den oben beschriebenen Ausführungsformen unterscheiden.
  • Eine Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform ist eine Vorrichtung, deren Zweck es ist, zu reagieren, wenn ein Angreifer anonymisierte Daten unter Verwendung von Hilfsdaten angreift. Bei den Hilfsdaten handelt es sich um andere Informationen als die anonymisierten Daten. Eine Angriffseinheit 131 gemäß der vorliegenden Ausführungsform greift zusätzlich zu den anonymisierten Daten auch mit den Hilfsdaten an, was sich von der Angriffseinheit 131 gemäß Ausführungsform 1 bis Ausführungsform 3 unterscheidet.
  • *** Beschreibung einer Konfiguration ***
  • 18 zeigt ein Beispiel für eine funktionelle Konfiguration der Anonymisierungsvorrichtung 100 der vorliegenden Ausführungsform. Da die funktionelle Konfiguration der Anonymisierungsvorrichtung 100 mit Ausnahme der Parameteranpassungseinheit 140 der funktionellen Konfiguration der Anonymisierungsvorrichtung 100 gemäß Ausführungsform 3 gleich ist, wird auf eine Beschreibung verzichtet der funktionellen Konfiguration der Anonymisierungsvorrichtung 100 mit Ausnahme der Parameteranpassungseinheit 140 verzichtet.
  • Die Parameteranpassungseinheit 140 gemäß der vorliegenden Ausführungsform umfasst als eine interne Konfiguration eine Verarbeitungsmenge-Zuweisungseinheit 160 zusätzlich zu einer internen Konfiguration der Parameteranpassungseinheit 140 gemäß Ausführungsform 3.
  • Die Verarbeitungsmenge-Zuweisungseinheit 160 findet einen Verarbeitungsmenge-Zuweisungswert. Der Verarbeitungsmenge-Zuweisungswert gibt eine Menge an, mit der jede der Vielzahl von Anonymisierungseinheiten 120 die personenbezogenen Daten verarbeitet, und wird verwendet, um die Menge zuzuweisen, mit der jede Anonymisierungseinheit 120 die personenbezogenen Daten verarbeitet.
  • Jede einer Vielzahl von Parameteranpassungseinheiten 140 passt gemäß dem Verarbeitungsmenge-Zuweisungswert einen Anonymisierungsparameter an, der einer beliebigen der Vielzahl von Anonymisierungseinheiten 120, die sich voneinander unterscheiden, entspricht.
  • *** Beschreibung der Funktionsweise ***
  • Eine Zusammenfassung der Funktionsweise der Anonymisierungsvorrichtung 100 ist der Zusammenfassung der Funktionsweise der Anonymisierungsvorrichtung 100 gemäß Ausführungsform 1 gleich. Folglich entfällt eine Beschreibung der Zusammenfassung der Funktionsweise.
  • Im Folgenden werden in der Beschreibung der Funktionsweise die in 4 dargestellten personenbezogenen Daten genutzt. Ein konkretes Beispiel für jeden Schritt eines Verarbeitungsablaufs der Anonymisierungsvorrichtung 100 wird anhand von 19 beschrieben.
  • 19 zeigt ein Beispiel für Verarbeitungsmenge-Parametertabellen, die die Verarbeitungsmenge-Zuweisungseinheit 160 in der vorliegenden Ausführungsform verwendet. Die Verarbeitungsmenge-Zuweisungseinheit 160 definiert eine Verarbeitungsmenge anhand der Verarbeitungsmenge-Parametertabelle. Die Verarbeitungsmenge-Parametertabelle wird auch als eine Parametertabelle für die Verarbeitungsmengenzuordnung bezeichnet.
  • Im Folgenden wird ein konkretes Beispiel für jeden Schritt des Verarbeitungsablaufs der Anonymisierungsvorrichtung 100 in der vorliegenden Ausführungsform beschrieben. Da Schritt S301 zumindest einem beliebigen von Schritt S301 in Ausführungsform 1 bis Ausführungsform 3 gleich ist, wird auf eine Beschreibung verzichtet.
  • In Schritt S302, wie in einer Spalte „Verarbeitungsmenge“ einer Tabelle oben in 19 dargestellt, legt die Verarbeitungsmenge-Zuweisungseinheit 160 eine Verarbeitungsmenge für jede Anonymisierungseinheit 120 fest. Im Folgenden ist in der Beschreibung der einzelnen Schritte mit der Verarbeitungsmenge die Verarbeitungsmenge gemeint, den die Verarbeitungsmenge-Zuweisungseinheit 160 in diesem Schritt festgelegt hat.
  • Die Funktionsweise jeder Parameteranpassungseinheit 140 ist der Funktionsweise der Parameteranpassungseinheit 140 von Ausführungsform 1 gleich, mit der Ausnahme, dass der Anonymisierungsparameter so festgelegt wird, dass der Anonymisierungsparameter innerhalb eines Bereichs der Verarbeitungsmenge liegt.
  • 20 zeigt ein Beispiel für die Anfangsparameter jeder Parameteranpassungseinheit 140 in der vorliegenden Ausführungsform. Ein Wert des Parameters PA (1) ist 0,15.
    Der Parameter PA (1) stellt die Wahrscheinlichkeit dar, dass ein Punkt, der eine Position angibt, als das Verarbeitungsziel ausgewählt wird, und ist ein Parameter, der sich direkt auf die Verarbeitungsmenge auswirkt. Folglich wird der Parameter PA (1) gemäß der Verarbeitungsmenge festgelegt.
  • Der Parameter (dx, dy)=(0, -1) der Anonymisierungseinheit 120_2 wird ebenfalls gemäß der Verarbeitungsmenge festgelegt.
  • In Schritt S303 generiert die Anonymisierungseinheit 120 die anonymisierten Daten aus den personenbezogenen Daten unter Verwendung des Anfangsparameters und speichert die generierten anonymisierten Daten in der Anonymisierte-Daten-Speichereinheit 121. Zu diesem Zeitpunkt generiert die Anonymisierungseinheit 120 absichtlich anonymisierte Daten für einen Fall, in dem einige der Verarbeitungsmengen für die Angriffseinheit 131 auf 0 gesetzt werden, um einen Angreifer zu berücksichtigen, der zusätzlich zu den anonymisierten Daten auch andere Hilfsdaten, welche nicht die anonymisierten Daten sind, verwendet. Die Funktionsweise des vorliegenden Schrittes erzielt eine Aufgabe der vorliegenden Ausführungsform.
  • Zum Beispiel werden in einerTabelle im unteren Teil von 19 anonymisierte Daten D1 generiert, indem eine Verarbeitungsmenge der Anonymisierungseinheit 120_1 auf 0 und eine Verarbeitungsmenge der Anonymisierungseinheit 120_2 auf 0,15 gesetzt wird. Anonymisierte Daten D2 werden generiert, indem die Verarbeitungsmenge der Anonymisierungseinheit 120_1 auf 0,15 und die Verarbeitungsmenge der Anonymisierungseinheit 120_2 auf 0 gesetzt wird. Das heißt, in der vorliegenden Ausführungsform generiert die Anonymisierungseinheit 120 eine Vielzahl von anonymisierten Daten.
  • In 19 ist ein Beispiel dargestellt, bei dem eine der Verarbeitungsmengen auf 0 gesetzt wird. Die Verarbeitungsmenge-Zuweisungseinheit 160 muss die Verarbeitungsmenge jedoch nicht notwendigerweise auf 0 setzen, sondern es kann ein beliebiger Wert als die Verarbeitungsmenge angegeben werden.
  • Die Angriffsversuchseinheit 130 berechnet den Sicherheitsgrad in Schritt S304 und Schritt S305. Hier berechnet die Angriffsversuchseinheit 130 eine n Anzahl von Sicherheitsgraden unter Verwendung der Ergebnisse von der Angriffsversuchseinheit 130_1 bis zur Angriffsversuchseinheit 130_n für jeden der Vielzahl von Stücken von anonymisierten Daten und legt einen Mindestwert als Sicherheitsgrad der anonymisierten Daten fest.
  • In Schritt S306 vergleicht die Parameteranpassungseinheit 140 den Wert jedes berechneten Sicherheitsgrads mit dem Sicherheitsgradstandard und prüft, ob der Wert jedes Sicherheitsgrads dem Sicherheitsgradstandard genügt oder nicht.
  • In einem Fall, in dem alle Sicherheitsgrade dem Sicherheitsstandard genügen, nachdem die Anonymisierungsvorrichtung 100 die anonymisierten Daten auf Grundlage des Verarbeitungsmenge-Zuweisungsbetrags in einer oberen Tabelle von 19 generiert hat, die Ausgabeeinheit 150 die anonymisierten Daten in Schritt S307 aus und beendet den Prozess.
  • In einem anderen als dem vorstehend beschriebenen Fall fährt die Anonymisierungsvorrichtung 100 mit Schritt S308 fort. In Schritt S308 führt die Parameteranpassungseinheit 140 eine Parameteranpassung durch, wie beispielsweise Änderung des Verarbeitungsmenge-Zuweisungswerts und dergleichen, und speichert einen neuen Parameter, der in der Parameter-Speichereinheit 141 angepasst wird. Die Änderung des Verarbeitungsmenge-Zuweisungswerts wird durch die Verarbeitungsmenge-Zuweisungseinheit 160 durchgeführt. Dann kehrt Die Anonymisierungsvorrichtung 100 zu Schritt S303 zurück und führt Anonymisierung erneut auf die personenbezogenen Daten oder an die anonymisierten Daten zu dem Zeitpunkt durch.
  • *** Beschreibung der Wirkung von Ausführungsform 4 ***
  • Wie oben beschrieben, umfasst die Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform die Verarbeitungsmenge-Zuweisungseinheit 160, die die Verarbeitungsmenge zuordnet. Die Anonymisierungseinheit 120 kann die Vielzahl von Stücken von anonymisierten Daten gemäß der Verarbeitungsmenge erstellen und dabei auch einen Angreifer berücksichtigen, der die anonymisierten Daten unter Verwendung der Hilfsdaten angreift, die nicht die anonymisierten Daten sind.
  • Auf diese Weise kann die Anonymisierungsvorrichtung 100 gemäß der vorliegenden Ausführungsform auf einen Angriff reagieren, bei dem die Hilfsdaten verwendet werden.
  • *** Weitere Ausführungsformen ***
  • Eine freie Kombination jeder der oben beschriebenen Ausführungsformen oder eine Variation eines beliebigen Elements jeder Ausführungsform oder das Weglassen eines beliebigen Elements in jeder Ausführungsform ist möglich.
  • Die Ausführungsformen sind nicht auf die in den Ausführungsformen 1 und 4 angegebenen Ausführungsbeispiele beschränkt und verschiedene Änderungen können nach Bedarf an den Ausführungsformen vorgenommen werden. Die mittels des Ablaufdiagramms und dergleichen erläuterten Abläufe können nach Bedarf geändert werden.
  • Bezugszeichenliste
  • 100: Anonymisierungsvorrichtung; 110: Eingabeeinheit; 111: Personenbezogene-Daten-Speichereinheit; 120: Anonymisierungseinheit; 121: Anonymisierte-Daten-Speichereinheit; 130: Angriffsversuchseinheit; 131: Angriffseinheit; 132: Re-Identifizierungsdaten-Speichereinheit; 133: Sicherheitsgrad-Berechnungseinheit; 140: Parameteranpassungseinheit; 141: Parameter-Speichereinheit; 150: Ausgabeeinheit; 160: Verarbeitungsmenge-Zuweisungseinheit; 201: Prozessor; 202: Arbeitsspeicher; 203: Hilfsspeichereinrichtung; 204: Eingabeschnittstelle; 205: Ausgabeschnittstelle; 206: Bus; 207: Tastatur; 208: Maus; 209: Anzeige; 210: Verarbeitungsschaltung; D1, D2: anonymisierte Daten.

Claims (6)

  1. Anonymisierungsvorrichtung (100), umfassend: eine Anonymisierungseinheit (120), um anonymisierte Daten zu generieren, wobei die anonymisierten Daten personenbezogene Daten sind, die durch Anonymisieren der personenbezogenen Daten unter Verwendung eines Anonymisierungsalgorithmus anonymisiert werden, wobei der Anonymisierungsalgorithmus ein Algorithmus ist, der die personenbezogenen Daten anonymisiert und der einen Anonymisierungsparameter verwendet; eine Vielzahl von Angriffseinheiten (131), um eine Vielzahl von Stücken von Re-Identifizierungsdaten zu generieren, wobei die Re-Identifizierungsdaten Informationen sind, die den anonymisierten Daten entsprechen und die jedem von einer Vielzahl von Re-Identifizierungs-Angriffsalgorithmen entsprechen, durch Durchführen eines Re-Identifizierungs-Angriffs auf die anonymisierten Daten unter Verwendung der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die den Re-Identifizierungs-Angriff ausführen, der versucht, zumindest einen Teil der personenbezogenen Daten aus den anonymisierten Daten zu re-identifizieren; eine Sicherheitsgrad-Berechnungseinheit (133), um eine Vielzahl von Sicherheitsgraden, die Sicherheit der anonymisierten Daten angeben und die jedem der Vielzahl von Stücken von Re-Identifizierungsdaten entsprechen, unter Verwendung der personenbezogenen Daten und jeder der Vielzahl von Stücken von Re-Identifizierungsdaten zu berechnen; und eine Parameteranpassungseinheit (140), um den Anonymisierungsparameter in einem Fall anzupassen, in dem zumindest einer der Vielzahl von Sicherheitsgraden einem Sicherheitsgradstandard, der einen Sicherheitsstandard der anonymisierten Daten angibt, nicht genügt, wobei die Anzahl von jedem der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, der Vielzahl von Stücken von Re-Identifizierungsdaten und der Vielzahl von Angriffseinheiten (131) gleich ist, jeder der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen jeweils unterschiedlich ist und einem beliebigen der Vielzahl von Stücken von Re-Identifizierungsdaten, die sich jeweils voneinander unterscheiden, entspricht, jede der Vielzahl von Angriffseinheiten (131) einen beliebigen der Vielzahl von Stücken von Re-Identifizierungsdaten unter Verwendung eines beliebigen der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die sich jeweils voneinander unterscheiden, generiert, und jeder der Vielzahl von Stücken von Re-Identifizierungsdaten einem beliebigen der Vielzahl von Sicherheitsgraden, die sich jeweils voneinander unterscheiden, entspricht; wobei die Anonymisierungsvorrichtung (100) ferner umfasst: eine Vielzahl der Anonymisierungseinheiten (120) als eine Vielzahl von Anonymisierungseinheiten (120); und eine Vielzahl der Parameteranpassungseinheiten (140) als eine Vielzahl von Parameteranpassungseinheiten (140), wobei die Anzahl von jeder der Vielzahl von Anonymisierungseinheiten (120) und der Vielzahl von Parameteranpassungseinheiten (140) gleich ist, jede der Vielzahl von Parameteranpassungseinheiten (140) einen Anonymisierungsparameter, der einer beliebigen der Vielzahl von Anonymisierungseinheiten (120), die sich jeweils voneinander unterscheiden, entspricht, anpasst, jede der Vielzahl von Anonymisierungseinheiten (120) einen Anonymisierungsalgorithmus, der jeweils unterschiedlich ist, verwendet, und die Vielzahl von Anonymisierungseinheiten (120) die anonymisierten Daten in Zusammenwirkung miteinander generieren; wobei die Anonymisierungsvorrichtung (100) ferner umfasst: eine Verarbeitungsmenge-Zuweisungseinheit (160), um einen Verarbeitungsmenge-Zuweisungswert, der eine Menge angibt, mit der jede der Vielzahl von Anonymisierungseinheiten (120) die personenbezogenen Daten verarbeitet, zu finden, wobei jede der Vielzahl von Parameteranpassungseinheiten (140) gemäß dem Verarbeitungsmenge-Zuweisungswert einen Anonymisierungsparameter, der einer beliebigen der Vielzahl von Anonymisierungseinheiten (120), die sich jeweils voneinander unterscheiden, entspricht, anpasst.
  2. Anonymisierungsvorrichtung (100) nach Anspruch 1, wobei die Anonymisierungseinheit (120) die personenbezogenen Daten gemäß einer Eigenschaft der personenbezogenen Daten anonymisiert.
  3. Anonymisierungsvorrichtung (100) nach Anspruch 1 oder 2, wobei die personenbezogenen Daten Zeitreihendaten eines Individuums sind.
  4. Anonymisierungsvorrichtung (100) nach Anspruch 1 oder 2, wobei die personenbezogenen Attributdaten eines Individuums sind.
  5. Anonymisierungsverfahren, umfassend: Generieren von anonymisierten Daten, wobei die anonymisierten Daten personenbezogene Daten sind, die durch Anonymisieren der personenbezogenen Daten unter Verwendung eines Anonymisierungsalgorithmus anonymisiert werden, wobei der Anonymisierungsalgorithmus ein Algorithmus ist, der die personenbezogenen Daten anonymisiert und der einen Anonymisierungsparameter verwendet, durch eine Anonymisierungseinheit (120); Generieren einer Vielzahl von Stücken von Re-Identifizierungsdaten, wobei die Re-Identifizierungsdaten Informationen sind, die den anonymisierten Daten entsprechen und die jedem einer Vielzahl von Re-Identifizierungs-Angriffsalgorithmen entsprechen, durch Durchführen eines Re-Identifizierungs-Angriffs auf die anonymisierten Daten unter Verwendung der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die den Re-Identifizierungs-Angriff ausführen, der versucht, zumindest einen Teil der personenbezogenen Daten aus den anonymisierten Daten zu re-identifizieren, durch eine Vielzahl von Angriffseinheiten (131); Berechnen einer Vielzahl von Sicherheitsgraden, die Sicherheit der anonymisierten Daten unter Verwendung der personenbezogenen Daten und jedes der Vielzahl von Stücken von Re-Identifizierungsdaten angeben, und die jedem der Vielzahl von Stücken von Re-Identifizierungsdaten entsprechen, durch eine Sicherheitsgrad-Berechnungseinheit (133); und Anpassen des Anonymisierungsparameters in einem Fall, in dem zumindest einer der Vielzahl von Sicherheitsgraden einem Sicherheitsgradstandard, der einen Sicherheitsstandard der anonymisierten Daten angibt, nicht genügt, durch eine Parameteranpassungseinheit (140), wobei die Anzahl von jedem der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, der Vielzahl von Stücken von Re-Identifizierungsdaten und der Vielzahl von Angriffseinheiten (131) gleich ist, jeder der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen jeweils unterschiedlich ist und einem beliebigen der Vielzahl von Stücken von Re-Identifizierungsdaten, die sich jeweils voneinander unterscheiden, entspricht, jede der Vielzahl von Angriffseinheiten (131) einen beliebigen der Vielzahl von Stücken von Re-Identifizierungsdaten unter Verwendung eines beliebigen der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die sich jeweils voneinander unterscheiden, generiert, und jeder der Vielzahl von Stücken von Re-Identifizierungsdaten einem beliebigen der Vielzahl von Sicherheitsgraden, die sich jeweils voneinander unterscheiden, entspricht; wobei das Generieren der anonymisierten Daten durch eine Vielzahl der Anonymisierungseinheiten (120) durchgeführt wird; wobei das Anpassen des Anonymisierungsparameters durch eine Vielzahl der Parameteranpassungseinheiten (140) durchgeführt wird, wobei die Anzahl von jeder der Vielzahl von Anonymisierungseinheiten (120) und der Vielzahl von Parameteranpassungseinheiten (140) gleich ist, jede der Vielzahl von Parameteranpassungseinheiten (140) einen Anonymisierungsparameter, der einer beliebigen der Vielzahl von Anonymisierungseinheiten (120), die sich jeweils voneinander unterscheiden, entspricht, anpasst, jede der Vielzahl von Anonymisierungseinheiten (120) einen Anonymisierungsalgorithmus, der jeweils unterschiedlich ist, verwendet, und die Vielzahl von Anonymisierungseinheiten (120) die anonymisierten Daten in Zusammenwirkung miteinander generieren; wobei das Verfahren ferner umfasst: Finden eines Verarbeitungsmenge-Zuweisungswerts, der eine Menge angibt, mit der jede der Vielzahl von Anonymisierungseinheiten (120) die personenbezogenen Daten verarbeitet, durch eine Verarbeitungsmenge-Zuweisungseinheit (160), wobei jede der Vielzahl von Parameteranpassungseinheiten (140) gemäß dem Verarbeitungsmenge-Zuweisungswert einen Anonymisierungsparameter, der einer beliebigen der Vielzahl von Anonymisierungseinheiten (120), die sich jeweils voneinander unterscheiden, entspricht, anpasst.
  6. Anonymisierungsprogramm, veranlassend einen Computer: anonymisierte Daten zu generieren, wobei die anonymisierten Daten personenbezogene Daten sind, die anonymisiert werden, durch Anonymisieren der personenbezogenen Daten mit einem Anonymisierungsalgorithmus, wobei der Anonymisierungsalgorithmus ein Algorithmus ist, der die personenbezogenen Daten anonymisiert und der einen Anonymisierungsparameter verwendet; eine Vielzahl von Re-Identifizierungsdaten zu generieren, wobei die Re-Identifizierungsdaten Informationen sind, die den anonymisierten Daten entsprechen und die jedem einer Vielzahl von Re-Identifizierungs-Angriffsalgorithmen entsprechen, durch Ausführen eines Re-Identifizierungs-Angriffs auf die anonymisierten Daten unter Verwendung der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die den Re-Identifizierungs-Angriff ausführen, der versucht, zumindest einen Teil der personenbezogenen Daten aus den anonymisierten Daten zu re-identifizieren; eine Vielzahl von Sicherheitsgraden, die Sicherheit der anonymisierten Daten unter Verwendung der personenbezogenen Daten und jedem der Vielzahl von Stücken von Re-Identifizierungsdaten angeben, und die jedem der Vielzahl von Teilen von Re-Identifizierungsdaten entsprechen, zu berechnen; und den Anonymisierungsparameter in einem Fall anzupassen, in dem zumindest einer der Vielzahl von Sicherheitsgraden einem Sicherheitsgradstandard, der einen Sicherheitsstandard der anonymisierten Daten angibt, nicht genügt, wobei die Anzahl von jedem der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen und der Vielzahl von Stücken von Re-Identifizierungsdaten gleich ist, jeder der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen jeweils unterschiedlich ist und einem beliebigen der Vielzahl von Stücken von Re-Identifizierungsdaten, die sich jeweils voneinander unterscheiden, entspricht, der Computer veranlasst wird, ein beliebiges der Vielzahl von Stücken von Re-Identifizierungsdaten unter Verwendung eines beliebigen der Vielzahl von Re-Identifizierungs-Angriffsalgorithmen, die sich jeweils voneinander unterscheiden, zu generieren, und jeder der Vielzahl von Stücken von Re-Identifizierungsdaten einem beliebigen der Vielzahl von Sicherheitsgraden, die sich jeweils voneinander unterscheiden, entspricht; wobei das Generieren der anonymisierten Daten durch eine Vielzahl von Anonymisierungseinheiten (120) durchgeführt wird; wobei das Anpassen des Anonymisierungsparameters durch eine Vielzahl von Parameteranpassungseinheiten (140) durchgeführt wird, wobei die Anzahl von jeder der Vielzahl von Anonymisierungseinheiten (120) und der Vielzahl von Parameteranpassungseinheiten (140) gleich ist, jede der Vielzahl von Parameteranpassungseinheiten (140) einen Anonymisierungsparameter, der einer beliebigen der Vielzahl von Anonymisierungseinheiten (120), die sich jeweils voneinander unterscheiden, entspricht, anpasst, jede der Vielzahl von Anonymisierungseinheiten (120) einen Anonymisierungsalgorithmus, der jeweils unterschiedlich ist, verwendet, und die Vielzahl von Anonymisierungseinheiten (120) die anonymisierten Daten in Zusammenwirkung miteinander generieren; wobei das Anonymisierungsprogramm den Computer ferner veranlasst: einen Verarbeitungsmenge-Zuweisungswert zu finden, der eine Menge angibt, mit der jede der Vielzahl von Anonymisierungseinheiten (120) die personenbezogenen Daten verarbeitet, wobei jede der Vielzahl von Parameteranpassungseinheiten (140) gemäß dem Verarbeitungsmenge-Zuweisungswert einen Anonymisierungsparameter, der einer beliebigen der Vielzahl von Anonymisierungseinheiten (120), die sich jeweils voneinander unterscheiden, entspricht, anpasst.
DE112020007092.1T 2020-06-25 2020-06-25 Anonymisierungsvorrichtung, anonymisierungsverfahren und anonymisierungsprogramm Active DE112020007092B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/025096 WO2021260903A1 (ja) 2020-06-25 2020-06-25 匿名加工装置、匿名加工方法、及び、匿名加工プログラム

Publications (2)

Publication Number Publication Date
DE112020007092T5 DE112020007092T5 (de) 2023-02-16
DE112020007092B4 true DE112020007092B4 (de) 2024-03-07

Family

ID=79282149

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020007092.1T Active DE112020007092B4 (de) 2020-06-25 2020-06-25 Anonymisierungsvorrichtung, anonymisierungsverfahren und anonymisierungsprogramm

Country Status (5)

Country Link
US (1) US20230046915A1 (de)
JP (1) JP7109712B2 (de)
CN (1) CN115943383A (de)
DE (1) DE112020007092B4 (de)
WO (1) WO2021260903A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110258206A1 (en) 2010-03-19 2011-10-20 University Of Ottawa System and method for evaluating marketer re-identification risk
US20170177907A1 (en) 2015-07-15 2017-06-22 Privacy Analytics Inc. System and method to reduce a risk of re-identification of text de-identification tools

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103034970B (zh) * 2012-12-10 2015-03-11 大连大学 一种基于图像归一化和pca相结合的多信息隐藏方法
JP6487820B2 (ja) 2015-10-13 2019-03-20 Kddi株式会社 リスク評価装置、リスク評価方法及びリスク評価プログラム
JP6995667B2 (ja) * 2018-03-02 2022-01-14 株式会社日立製作所 情報管理システム、情報管理方法及び情報管理装置
JP7158175B2 (ja) * 2018-05-16 2022-10-21 日鉄ソリューションズ株式会社 情報処理装置、システム、情報処理方法及びプログラム
CN109104284B (zh) * 2018-07-11 2020-09-29 四川大学 一种基于环签名的区块链匿名传输方法
CN110008432B (zh) * 2019-04-15 2023-04-28 山东八五信息技术有限公司 一种Web匿名用户识别、追踪方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110258206A1 (en) 2010-03-19 2011-10-20 University Of Ottawa System and method for evaluating marketer re-identification risk
US20170177907A1 (en) 2015-07-15 2017-06-22 Privacy Analytics Inc. System and method to reduce a risk of re-identification of text de-identification tools

Also Published As

Publication number Publication date
CN115943383A (zh) 2023-04-07
JP7109712B2 (ja) 2022-07-29
DE112020007092T5 (de) 2023-02-16
WO2021260903A1 (ja) 2021-12-30
US20230046915A1 (en) 2023-02-16
JPWO2021260903A1 (de) 2021-12-30

Similar Documents

Publication Publication Date Title
DE112018004946T5 (de) Kognitive datenanonymisierung
DE102017006558A1 (de) Semantische lnstanzebenensegmentierung
DE112018005725T5 (de) Daten-deidentifikation auf der grundlage eines erkennens von zulässigen konfigurationen für daten-deidentifikationsprozesse
DE60127889T2 (de) Verfahren zur Erkennung Doppelbildern in einem automatischen Albensystem
DE60004507T2 (de) Schnelle gruppierung durch spärlich bestückte datensätze
DE602005002062T2 (de) Optimierung der Sperrgranularität mittels Bereichssperren
DE112020003829T5 (de) Mindern von feindlich ausgerichteten auswirkungen in maschinenlernsystemen
DE10394036T5 (de) System und Verfahren zum Ausführen einer Risikoanalyse
DE102021004157A1 (de) Maschinell lernendes Modellieren zum Schutz gegen die Online-Offenlegung empfindlicher Daten
EP3735650B1 (de) Persönliche dokumentenblockchain-struktur
DE102017006557A1 (de) Verwenden von Markierungen zum Verfolgen von hochfrequenten Offsets für Patchabgleichsalgorithmen
DE112020007092B4 (de) Anonymisierungsvorrichtung, anonymisierungsverfahren und anonymisierungsprogramm
DE102012025349B4 (de) Bestimmung eines Ähnlichkeitsmaßes und Verarbeitung von Dokumenten
EP3410324B1 (de) Bestimmen eines anonymisierten dosisberichtbildes
Garcés et al. Digital Humanities und Exegese: Erträge, Potentiale, Grenzen und hochschuldidaktische Perspektiven.
EP2601594A1 (de) Verfahren und vorrichtung zur automatischen verarbeitung von daten in einem zellen-format
WO2012130430A2 (de) Verfahren zum sammeln von informationen, computerprogrammprodukt dazu und geschäftsmodell dazu
DE102023200361A1 (de) Multivariate Ausreißer-Erkennung zum Datenschutz
DE112021006984T5 (de) Informationsverarbeitungseinrichtung, auswahlausgabe- verfahren und auswahlausgabeprogramm
DE112020004161T5 (de) Lernen eines musterwörterbuchs aus unscharfen numerischen daten in verteilten netzwerken
DE102020203951A1 (de) Verfahren zur dynamischen Datenminimierung eines Datensatzes mittels Whitelisting
DE102013221669A1 (de) Genaue Simulation von aus einer Rekombination von Eltern stammenden Nachkommen
EP4145324A1 (de) Verfahren und system zum gesicherten verarbeiten von zertifizierungsanfragen
DE112021007611T5 (de) Informationsverarbeitungsvorrichtung, informationsverarbeitungsverfahren und informationsverarbeitungsprogramm
Nissen et al. Design of a Methodology to Support Technology Selection for the Virtualization of Consulting Services

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division