JP2000324094A - 情報を非個人化する装置および方法 - Google Patents

情報を非個人化する装置および方法

Info

Publication number
JP2000324094A
JP2000324094A JP2000025411A JP2000025411A JP2000324094A JP 2000324094 A JP2000324094 A JP 2000324094A JP 2000025411 A JP2000025411 A JP 2000025411A JP 2000025411 A JP2000025411 A JP 2000025411A JP 2000324094 A JP2000324094 A JP 2000324094A
Authority
JP
Japan
Prior art keywords
data
records
identification
unique identifier
providers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2000025411A
Other languages
English (en)
Inventor
Mark Kohan
マーク・コーハン
Dennis Langer
デニス・ランガー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SmithKline Beecham Corp
Original Assignee
SmithKline Beecham Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SmithKline Beecham Corp filed Critical SmithKline Beecham Corp
Publication of JP2000324094A publication Critical patent/JP2000324094A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6272Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database by registering files or documents with a third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Abstract

(57)【要約】 (修正有) 【課題】 個人の識別子を含むデータの所有者または提
供者が、データに関連付けられた個人の身元を明らかに
することなく、データを配信できる方法等を提供する。 【解決手段】 データプロバイダは、個人情報を他のデ
ータと分離して、2つのデータセットを生成した後、個
人識別情報を信託機関(TTP)に提供する。TTPは
一意の識別子を識別情報と関連付け、これでデータベー
ス内のデータを置換する。TTPはまた、識別情報を処
理できるよう個人識別情報を収集し、格納する。TTP
は将来的に識別情報を獲得し、データプロバイダまたは
TTPにより生成された一意の識別が同一の個人を示す
かどうかを決定する。データプロバイダは自身の一意の
識別子またはTTPにより提供された識別子を他のデー
タに関連付け、非個人化を生成する。非個人化データは
解析のためにデータユーザに送られる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、特定の個人と関連
付けられたデータの非個人化に関し、特に個人的データ
を開示することなく、複数のソースからのデータを非個
人化する方法に関する。
【0002】
【従来の技術】現代社会では、特定の個人に関する情報
が数多くの団体から得られる。病院、研究所、銀行、保
険会社および小売業者などの健康、金融および営利団体
は、研究および開発、マーケティング、および他の商業
目的のために利用可能なデータを所有している。しか
し、このようなデータに関係する個人のプライバシー保
護が必要であるとの意識が高まってきている。特に、個
人の健康または財政状態に関する情報は、きわめて機密
性が高いといえる。
【0003】この情報を分析するには、多くの場合、複
数のソースからデータにアクセスする必要がある。例え
ば、特定の薬物療法の効能を判定する研究には、薬物療
法を処方する介護人のグループや、薬物を処方する薬局
の該当するグループのレコードにアクセスする必要があ
る。
【0004】
【発明が解決しようとする課題】各データプロバイダが
所有するデータには機密性の高い情報が含まれており、
それらのデータは、その情報を解析できるデータユーザ
と共有できないようすべきである。多くのデータプロバ
イダは、自らのデータから任意の識別情報を削除して医
学データのみをデータユーザに提供できる。それに対
し、データユーザはさまざまなソースからのデータを相
関させることができないので、分析に必要とされるであ
ろう情報をも失うことになる。
【0005】したがって、個人データに関連付けられた
その個人の識別能力を損うことなく、しかし多数のソー
スからの個人データ項目を1個人に関係するとして関連
付ける能力を備えた、さまざまなソースからの個人デー
タを獲得する方法が必要になってきている。
【0006】
【課題を解決するための手段】本発明は、コンピュータ
に実装される方法と、装置とに関し、個人の識別子を含
むデータの所有者または提供者(データプロバイダ)
が、データユーザに非個人化された形式でそのデータを
配信できるようにする。「非個人化された形式で」と
は、すなわちそのデータに関連付けられた個人の身元を
明らかにすることなく、ということである。その他の点
ではそのデータは変更されない。本発明の方法によれ
ば、データプロバイダは他のデータから個人データを分
離して、2つのデータセットを作成する。個人識別情報
のみが、信託機関 (TTP (Trusted Third Party)) に
提供される。TTPは、名前、住所または社会保障番号
といった個人を識別するのに利用可能なデータベース内
の全データを置換する識別子を生成する。TTPはま
た、個人識別情報を収集、格納し、それによりTTPは
識別情報を処理し、データプロバイダまたはTTPによ
って生成された識別子が同一の個人に関連するか否かの
判断を将来得ることができる。データプロバイダはTT
Pにより提供された識別子を他のデータに関連付け、非
個人化データを作成する。非個人化データは、分析のた
めにデータユーザに送ることができる。このようにし
て、データユーザは、1個人に関連する1以上のデータ
プロバイダからの別個のレコードを一致させることがで
き、データプロバイダは、ある個人と特定のデータレコ
ードとをリンクする個人識別情報を配信しないことを保
証できる。
【0007】
【発明の実施の形態】本発明は、端的にいえば、個人を
識別する機密情報を処理する方法および装置であり、こ
れにより匿名でのデータ解析に利用可能となる。以下に
説明される本発明の実施の形態では、機密情報を含むデ
ータベースを所有するデータプロバイダは、その情報を
2つの部分、すなわち識別情報と他の情報とに分割す
る。識別情報を用いて、プロバイダは、自身のために固
有識別子を生成する。固有識別子は、データプロバイダ
のデータベース内の識別情報にリンクされる。その後、
データ所有者はこの固有識別子を上述した他の情報にタ
グ付けし、データユーザにこのタグ付けされたデータを
提供する。以下に説明する各実施の形態では、固有識別
子は信託機関(TTP)により生成され、または信託機
関に登録されている。信託機関(TTP)は、データプ
ロバイダから受け取った識別情報と、すでにTTPのデ
ータベースに存在している別の識別情報とを一致させる
ことができる。TTPは、識別情報が開示されることか
ら保護し、その一方で必要に応じてそのデータを保守お
よび処理するという、契約による同意の下にある機関で
ある。識別情報を一致させることにより、TTPは、多
数のプロバイダからのデータに関連付けられた複数の識
別子をリンクできる。これらのリンクは直接データユー
ザに提供され、データユーザは複数のソースからのデー
タを相関させることができる。
【0008】本発明では、「非個人化」という語は、識
別情報がユーザデータレコードから削除され、固有識別
子により置換される処理を説明するのに用いられる。こ
の語は、データ処理の技術分野で用いられるように、
「匿名化」や「符号化」という語をも含む。データが匿
名化または符号化されると、すべての識別情報がレコー
ドから削除され、真にランダムな識別子がその人物を表
すように割り当てられる。加えて、「非個人化」という
語はまた、真にランダムでない識別子とデータレコード
内の個人識別情報とを置換する処理をも含む。このタイ
プの識別子は、例えば、識別情報の所定の部分集合から
生成されたハッシュ関数値または他の値である。
【0009】図1は、本発明の原理を利用できる例示的
な情報ネットワークのハイレベルデータフロー図110
である。この例においては、データプロバイダ112は
データベース114を所有または制御する。データベー
ス114は、例えば、複数のデータレコードとして組織
されている。各レコードは、1以上のデータフィールド
を含む。各人のデータは単一レコードとして保持され、
または複数のレコードにわたってリンクされている。各
レコードのフィールドまたはフィールドの部分は、個人
を識別するのに利用可能なデータ、すなわち個人識別可
能属性を含む。これらの属性は、例えば、「名前」、
「住所」および「社会保障番号」を含む。なお、これは
例示であり、識別可能な属性を網羅して列挙したもので
はない。
【0010】情報の識別に加えて、データベースは個人
についての他の情報も含む。この「他の情報」は、例え
ば、医療情報、財政データ、購買情報またはウェブサイ
トナビゲーションデータを含むことができる。識別情報
はまた、非識別性人口統計データ、例えば、ある人の職
業、郵便番号または電話のエリアコードを含むことがで
きる。データベースレコード内の「他の情報」のタイプ
によって、この人口統計情報のいくつかは識別情報とし
て分類できる。例えば、データレコードが機密性の高い
医療情報を含む場合には、全郵便番号が識別情報として
考慮され、部分的な郵便番号、例えば、5桁の郵便番号
の上位3桁は識別情報とはならない。
【0011】識別情報であると考えられる情報のタイプ
はデータベース内に格納されたデータのタイプとともに
変化するので、データプロバイダは、個人のレコードに
あるどの情報が識別情報であると考えられているのか、
およびデータユーザの解析のためにどの情報が渡される
のかを決定できる。データプロバイダ112は、データ
ベースからファイル113を作成する。ファイルの各レ
コードは、データベース内の各レコードからの識別可能
属性を有するフィールドを含む。ファイル113は、信
託機関(TTP)116に送られる。TTP116は、
識別属性と関連付けられた固有識別子を作成する。この
識別子はアルファベット、数値、英数字、記号等であ
る。データベース内のデータの機密性が高い場合には、
全くランダムに、そして、例えばシステムクロックレジ
スタの瞬時値を取ることによって不可逆的に固有の識別
子を生成できる。データベース内のデータの秘密性が低
い場合には、可逆的なプロセスによって識別情報から固
有の識別子を生成できる。
【0012】固有の識別子を生成するために、TTP1
16はまずファイル内のレコードから内部データベース
115内のレコードまでの識別データを比較する。内部
データベース115は、あらかじめTTPにより処理さ
れた識別情報を含む。このデータベースの各レコードは
また、データプロバイダを識別するソース識別子を含
む。データプロバイダは識別レコードに関連するデータ
を所有し、一致する識別情報を含むデータベースの中の
別のレコードにリンクする。TTPがその内部データベ
ースで一致を見出し、かつ前のデータのソースが現在の
データの供給者である場合には、TTP116は、前に
割り当てられた一意の識別子を新たなデータの識別子と
して用いる。前のデータのソースが現在のデータの供給
者でないか、またはTTPがそのデータベース内のデー
タに一致を見出さない場合には、新たな一意の識別子が
そのデータセットに対して生成される。一意の識別子の
各々は、そのデータプロバイダに固有のものである。
【0013】別個の一意の識別子を割り当てて、別個の
データプロバイダのそれぞれにおいて同一人物を表すこ
とにより、TTPは、あるデータプロバイダが別のプロ
バイダによって所有されるデータを識別できないことを
確実にする。各データプロバイダはそのデータベース内
のすべての人々について識別情報を有するので、仮に複
数のプロバイダにおいて同一の一意の識別子が用いられ
ている場合には、あるプロバイダは識別情報をリンクし
て、別のデータ供給者が所有する非個人化されたデータ
に関する情報を識別できる。これによりデータの秘密性
がなくなることになる。
【0014】一意の識別子を取り出しまたは生成する
と、TTPはその識別子をファイル113内の適当なレ
コードフィールドに格納する。すべてのレコードが処理
されると、TTP116はファイル113をデータプロ
バイダ112に戻す。データプロバイダは、もとのデー
タベースのレコードを含む新たなデータベース120を
生成する。もとのデータベースからは識別可能な属性は
除去され、一意の識別子に置換される。データベース1
20は、個人識別属性でないと判断されたデータに基づ
くランダムな識別子を含み、データベース120はデー
タユーザ118に送られる。データユーザは非個人化さ
れた有用なデータを得たことになるが、特定のデータセ
ットに一致する個人を識別する能力は有さない。
【0015】機密性の高いデータに対して、TTP11
6は個人識別情報と一意の識別子との間の関係を保護す
ることが望ましい。このタイプの情報については、TT
P116により提供されるランダムな識別子は望ましく
は全体としてランダムである。データプロバイダ112
またはTTP116以外は、誰も識別子をある個人に関
連させることはできない。データプロバイダ112が許
可する権限を持ち、特別の許可を出した状況においての
み、データユーザはその所有する任意のデータについて
識別情報を得ることができる。
【0016】本発明の例示的な実施の形態においては、
個人は、データプロバイダによって所有され、制御され
ているデータベース内の複数のレコードを有する。加え
て上で述べたように、TTP116は、複数のデータプ
ロバイダからのある人物に関するデータを有している。
新たに受け取られた個人データをすでにデータベース1
15に存在するデータにリンクするために、TTP11
6は、受け取ったデータに一致アルゴリズムを実行す
る。データyが複数のプロバイダからのデータを要求す
る場合には、TTP116が必要となる。
【0017】本発明では、多くの一致アルゴリズムが利
用可能である。例示的な一致アルゴリズムは、M. A. Ja
roによる、"Probabilistic Linkage of Large Public H
ealth Data Files" (Statistics in Medicine, vol. 1
4, John Wiley, pp 491-498 (1995)) と題された論文に
開示され、また、I. P. Fellegi らによる "A Theoryof
Record Linkage" (Journal of the American Statisti
cal Association, vol. 64, No. 328, pp 1183-1210 (1
969)) と題された記事に開示されている。最も簡単な一
致アルゴリズムは、決定一致法である。このアルゴリズ
ムによれば、新たに受け取られた個人データからの個人
データフィールドは、データベース115からのデータ
に存在する、対応するフィールドと比較される。これら
のすべてのフィールドが一致すると、新たに受け取られ
たデータは、ほぼ確実にデータベース内にデータが存在
する個人のデータである。決定一致法に用いることがで
きる例示的なフィールドセットは、ラストネーム、ファ
ーストネーム、アドレスおよび社会保障番号である。電
話番号や誕生日といった別のフィールドも利用できる。
【0018】しかし決定一致技術は、不完全なデータま
たは書き換えエラーに起因して、2つのデータベース間
のすべての一致や、高いパーセンテージの一致を識別で
きない。決定一致技術を拡張する1つの方法は、確率技
術を利用して2つの類似しないフィールドが一致する尤
度を判断することである。別の技術は、例えば、決定一
致を行う前、または確率技術を適用する前に、省略個所
またはニックネームを拡充することによりデータを正規
化することである。さらに別の方法は、編集経過により
一致しないレコード内の類似しないフィールドを分析し
て、書き換えの際に生じ得るエラーを識別することであ
る。
【0019】ある1つのデータ一致技術を以下に説明す
る。この方法は、1999年11月15日に提出され
た、現在係属中の米国出願第60/165,121号に開示されて
おり、使用可能な多くの考えられる一致法の1つであ
る。この出願に開示されている内容は、本発明の理解お
よび実施に関する内容である限りにおいて、ここに引用
することにより組み込まれる。例示的な一致技術は、3
ステップからなり、i) データの標準化、ii) 重みの評
価、iii) データの比較である。
【0020】定義 以下の定義および略記が、例示的な本実施の形態につい
て利用される。
【0021】μ−確率:式(1)により与えられるよう
に、任意のランダムな要素対が偶然に一致する確率。
【0022】ρ―確率:データ要素の信頼性。要素エラ
ー率(EER:Element Error Rate)が0.99以上の
場合は、ρ=1−EERであり、それ以外の場合は、ρ
=0.99−EERとなる。
【0023】一致:所与の要素対が正確に合致し、両方
の要素が であると知られている状態。
【0024】一致重み:式(2)に示すような、レコー
ド一致プロセス中に要素対が合致した場合に要素対に割
り当てられる重み。
【0025】デカルト積:順序対の集合A*B=
{(a,b)|a∈A∧b∈B}。
【0026】不一致:所与の要素対が正確には合致して
おらず、両方の要素が として知られている状態。
【0027】不一致重み:式(3)に示すような、レコ
ード一致プロセス中に要素対が合致しない場合に要素対
に割り当てられる重み。
【0028】要素エラー率:少なくとも1つの要素が未
知、例えばヌルである、式(4)に示すような要素対の
比率。
【0029】頻度テーブル:回数の一覧であり、現れる
変数の異なる値すべてのパーセンテージ。
【0030】平均:式(5)に示すような、算術平均。
【0031】非決定:所与の要素対における要素のいず
れか1つまたは両方が未知である状態。
【0032】ランダム数割り当て:本発明の例示的な実
施の形態において、約1500のvブロックがR=in
t((U*P)+1)により生成されるようデータセッ
ト内のあらゆるレコードにはランダム数が割り当てられ
る。ここでRは結果として得られるランダム数を、Uは
(以下に定義する)上界を、Pは0と1の間の値を返す
ランダム関数である。本発明の例示的な実施の形態にお
いて、Pは擬似ランダム整数発生器とすることができ
る。
【0033】閾値:確率一致法で利用される閾値は、−
∞≦x≦∞ の範囲をもつ、2進数字確率比である。
【0034】上界:式(6)に示されるような、データ
セットを1500のほぼ等しい行に分割する層の数。
【0035】このプロセスで用いられるコンピュータお
よびマシン言語に関して、短いオーダで相当に多い量の
計算を実行できるハードウェアであれば、どのようなも
のでも要求を満たす。現在の水準の任意のPCまたはサ
ーバが利用できる。オペレーティングシステムに関して
は、UNIX(登録商標)が好ましいが、Window
s(登録商標)に関するWindows98やNT等も
利用できる。ソースコードは任意の言語で記述されてよ
く、好ましい場合にはJava(登録商標)でもよい。
【0036】データの標準化 このプロセスの第1ステップは、入力されたファイルの
データの標準化を含む。この標準化は、更なる精密さお
よび信頼性のために必要とされる。入力されたファイル
は、任意の数の変数を含む。1以上の変数は、例えば、
個人などの特定のデータソースに対して一意であり、ま
たは一意であってよい。有用な変数の例は、メンバ識別
子、運転免許証番号、社会保障番号、保険会社コード番
号、氏名、性別、誕生日、通りの住所、町、州、郵便番
号、市民権である。加えて、いくつかの識別子はさら
に、その基本的または根本的な要素をさらに引き出すこ
とができる。例えば、氏名はファーストネーム、ラスト
ネームおよびミドルイニシャルの根本的な要素に分けら
れる。
【0037】標準化プロセスの間、全ての文字データは
好ましくは単一の格に変換され、全ての略語またはニッ
クネームは、より長い形式に変換される。例えば、全て
の文字は大文字に変換される。したがって、例えば、フ
ァーストネームは大文字に標準化され、{BOB,RO
B,ROBBY}=ROBERTとなる。町および通り
の一般名称は郵便番号に変換され、例えば、米国では米
国郵政公社規格に変換される。後者の例では、この変換
は、工業規格CASSが認証したソフトウェアを用いて
行われる。
【0038】重み評価 この例示的なアルゴリズムの根本となる要素は、確率関
数に必要な一致重みおよび不一致重みを評価するプロセ
スである。重みは、対話式ブートストラップ技術を用い
て、見込みが一致する(chance agreement)確率に基づ
いて計算される。
【0039】例示的な重み評価プロセスの第1ステップ
は、データセットを1500行のほぼ等しいブロックに
分割するのに必要な層の数を決定することである(図2
の201−219、式(6)参照)。
【0040】その後、ソースファイルはスキャンされ、
レコードには1からUの間のランダム数が割り当てられ
る。そしてデータ行列が生成される。データ行列は、割
り当てられたランダム数を持ったレコードのデカルト積
を含んでいる。そうしてえられた行列がスキャンされ
る。各レコード対の中にある各要素はアクセスされ、式
(7)に示される値が割り当てられる。
【0041】この行列が一旦完全にアクセスされると、
各enのパーセンテージは作表され、格納される。この
プロセスは反復数(例えば、15)の値だけ繰り返され
る。
【0042】同意および決定なしの平均パーセンテージ
が、各データ要素について計算される。各データ要素の
ρ―確率、または信頼性は、式(8)のように計算され
る。
【0043】μ―確率、または任意の所与のレコード対
についての要素nが偶然一致する確率は、式(9)のよ
うに計算される。
【0044】ρ―確率およびμ―確率から、式(10)
および(11)の各々を用いて、不一致重み公式および
一致重み公式が計算できる。
【0045】一意の識別子の割り当て本プロセスの最終
段階は、入力されたデータセットの中での、一意に識別
するもの(entities)の動作(action)である。
【0046】入力されたファイルからのレコードの各々
は、参照データベース115について評価され、それに
よりデータにより表されるもの(entity)が決定一致技
術および確率一致技術を組み合わせて用いて前に識別さ
れているかを判断する。データにより表されるものが参
照セットの中にすでに表されていると判断されると、入
力されたレコードには、一致した参照レコードから一意
の識別子(UID:unique identifier)が割り当てら
れる。データにより表されるものがまだ参照セットには
存在しない場合には、新たなUIDがランダムに生成さ
れ、割り当てられる。ランダムな値は多くの別個のアル
ゴリズムを用いて生成できる。上で説明したように、デ
ータの機密性が高い場合には、ランダムな識別子が真に
ランダムであることが望ましい。ランダムな識別子は、
例えば、システムクロックレジスタの即値を用いて生成
される。それほど機密性が高くない場合には、可逆的な
方法を用いてもよい。しかし識別子は一意であることが
好ましく、任意のある1つの識別子には1人だけが関連
付けられるべきである。このランダムな識別子は、数
値、英数字または記号(例えば、空間的なパターンまた
はホログラム)であってよい。
【0047】UID割り当てが起こると、入力されたレ
コードはその全体において評価され、それによりそのレ
コードが参照テーブルにいまだ含まれないものを一意に
表現するかが判断される。新たなレコードである場合に
は、将来的な使用のために、そのレコードは参照データ
ベース115に挿入される。
【0048】決定一致技術 例示的な決定一致技術は単にブール論理を利用するもの
であり、データが標準化された後に適用される。2つの
レコードが、ある基準を満たしているかに適合するかが
か判断される。例えば、以下のようになる。
【0049】ファーストネームが正確に一致している
か、ラストネームが正確に一致しているか、誕生日が正
確に一致しているか、社会保障番号またはメンバー識別
子が正確に一致しているか、である。
【0050】2つのレコードが決定一致法の基準を満足
する場合には、確率的処理は行わない。しかし、決定一
致が生じない場合には、入力されたレコードは、確率一
致法に付される。
【0051】確率一致技術 確率一致プロセスの第1ステップは、入力されたレコー
ドの固有の要素の特徴に基づいて、参照テーブルから広
報レコードセットを構築することである。このプロセス
はブロッキングと呼ばれ、候補レコードはブロッキング
テーブルと呼ばれる。全てのデータセットに同一の文字
を用いることはなく、本プロセスで用いられる要素はデ
ータ解析を経て決定される。しかしながらブロッキング
変数は、個人に関してやや一意な要素を含むのがよい。
やや一意とは、例えば、社会保障番号、または誕生日お
よびラストネームの組み合わせである。
【0052】ブロッキングテーブルの構築が完成する
と、各候補レコードの各要素は、入力されたレコードか
らの対応する要素と比較される。計算手順についての式
(12)を参照されたい。
【0053】そして式(13)に示すように、全ての候
補レコードについて複合重みが計算される。
【0054】その後、最も高い複合重みがかかった候補
レコードがあらかじめ定められた閾値に対して評価され
る。重みが閾値に一致するまたは超えると、候補レコー
ドは入力されたレコードに適合すると判断される。重み
が閾値を超えない場合は、入力されたレコードは、いま
だ参照セットに含まれていないものを表すと想定され
る。
【0055】例示的な一致技術は、不一致の2つのフィ
ールドが同一のデータを表すかを決定しようとする技術
ではない。例えば、書き換えエラーのために社会保障番
号123456789が123456798と記録され
ているとすると、上で説明したアルゴリズムは不一致を
示す。上で説明したアルゴリズムに対する別の拡張で
は、類似のフィールド間の編集距離(ED:Edit
Distance)ような、類似性の基準を利用でき
る。例えば、上述の社会保障番号は、編集距離1であ
る。その理由は、最後の2桁の桁を置換すると正確な結
果になるからである。この類似性の基準は、例えば、確
率プロセスの一部として、または確率プロセスの結果が
正しいことを確認するための後の処理ステップとして利
用できる。
【0056】図2、3、4および5は、データプロバイ
ダ112からデータユーザ118へ機密性の高い情報を
匿名で伝送する際に、TTP116を利用する別の実施
の形態を示す。各実子の形態は、単一のデータプロバイ
ダを含むが、図2を除いて、全ての実施の形態が複数の
独立した情報プロバイダを含むよう拡張可能であること
が意図されている。図2に示す実施の形態は、単一の情
報プロバイダからの複数の情報ソースを含んでもよい。
ある実施例は、図6を参照して以下に説明するように複
数の情報プロバイダが示されている。
【0057】図2に示す実施の形態では、データ提供者
112は、データベース111で入力された情報を処理
し、データベース内のデータから個人データ113を分
離する。個人データは上で説明した処理のために、TT
P116に送られる。TTP116は、一意の識別子を
含むこととなった各レコードを備えた個人データを返
す。そしてデータ提供者112は、入力されたデータベ
ース111で一意の識別子をデータに一致させ、他の情
報と関連付けられた一意の識別子を非個人化されたデー
タベース120に分離する。この非個人化されたデータ
ベースは、その後解析のため一意データユーザに送られ
る。
【0058】図2に示す例示的な実施の形態では、TT
P116とデータユーザ118との間には、直接的な通
信はない。この実施の形態は、単一のデータプロバイダ
が複数のデータソースを含み、様々なデータソースから
のデータを一致さセル必要がある場合に利用できる。こ
の例の1つは、料金請求レコード、患者治療法レコー
ド、薬局レコード、放射線医学レコードおよび治療レコ
ードが別々に、おそらく別々の請負業者に保持されてい
る病院環境である。病院は、自身の使用のために内部的
にこれらのレコードを一致させたり、外部のデータユー
ザにデータを提供することを強く望むであろう。本実施
の形態では、TTP116は様々なデータソースからの
レコードを一致させ、すべてソースの間で各個人につい
ての単一の一意の識別子を提供する。
【0059】図3に示す例示的な本実施の形態は、以下
の点で図2に示すものと異なる。すなわち、TTP11
6はデータプロバイダに一意の識別子を通信しないこと
である。本実施の形態では、プロバイダ112は入力さ
れたデータベースを処理して、2つのデータベースを生
成する。データベースの1つ113は、識別情報のみを
有し、他方のデータベースはその他の情報のみを有す
る。データプロバイダは共通の識別子を2つのデータベ
ースに存在する対応するレコードに割り当てる。これら
の識別子はレコード番号のような単純なものや、特定の
個人に対するランダムな識別子のような複雑なものであ
ってよい。第1の例では、データプロバイダは同一人に
ついて複数のレコードをリンクするよう試みることはな
い。第2の例では、データプロバイダはレコードをすで
にリンクしており、データプロバイダはデータベース1
13のレコードとデータベース120の対応するレコー
ドの双方に、その個人について一意の識別子を設ける。
データプロバイダが割り当てた一意の識別子は、ランダ
ム、擬似ランダムまたは可逆であってもよい。しかし、
可逆的な一意の識別子は、少なくともいくつかの個人情
報が開示される状況においてのみ利用できる。
【0060】データベース113はTTP116に提供
される。データベース116は、同一の識別情報を有す
るレコードが互いに一致するよう、および同一の識別情
報を有するレコードがTTP116の(図示されない)
内部データベースのレコードに一致するよう、上述のよ
うに処理される。
【0061】同時に、識別データがTTPに送られ、別
のデータを含むデータベース120がデータユーザ11
8に送られる。データベース120を受け取ると、デー
タユーザはTTP116から相関するデータ310を受
け取るのを待つ。この相関するデータは、データプロバ
イダからのレコード識別子群または一意の識別子群を、
TTPにより生成された一意の識別子群に一致させる。
データユーザはTTP116により生成された一意の識
別子群をデータベース120の適当なレコードに加え、
TTPに一意の識別子を用いてその他の情報を処理す
る。
【0062】図3に示すシステムが複数のデータプロバ
イダに用いられる場合には、TTP116により提供さ
れる相関するデータ310はまた、複数のデータプロバ
イダにより提供される一意の識別子またはレコード番号
の間の関係を示すテーブルを含む。この情報を用いて、
データユーザ118はデータ解析の前に、複数のプロバ
イダからのデータを関連付けることができる。図4に示
すシステムは、図2を参照して上に説明したシステムと
以下の点で異なり、その他の点では類似である。すなわ
ち異なるのは、図4のシステムでは、TTP116とデ
ータユーザ118との間に通信があることである。図4
では、データ提供者は識別情報をTTP116に送る。
TTP116はデータを一致させ、一意の識別子を加
え、その一意の識別子を有する識別情報をデータ提供者
に送り返す。そしてデータ提供者は、識別情報レコード
から関連付けられた別の情報レコードにいたるまでの一
意の識別子をコピーし、データユーザにその他の情報レ
コードを提供する。データユーザ118はそれから相関
するデータ410をTTP116から直接受け取る。こ
の例では、相関する情報は他のデータ提供者からの一意
の識別子を含む。この一意の識別子は、データ提供者1
12により提供される非個人化データ120の一意の識
別子と対応する。
【0063】図4に示すシステムでは、相関するデータ
410は、データプロバイダ112の要求があるとTT
P116によりデータユーザ118に提供され、または
データユーザ118により要求される。データプロバイ
ダからデータが要求されると、TTPはそのデータベー
ス内のデータ提供者の全てに対し、相関する情報を提供
する。しかしデータユーザがデータを求めると、データ
ユーザは、データを受け取るデータプロバイダのみから
の情報を要求することになる。
【0064】図5のシステムは、図3を参照して上に説
明したシステムと以下の点で異なり、その他の点では類
似である。すなわち異なるのは、TTP116がデータ
ユーザに全ての相関するデータを送るというよりは、T
TP116は特定の要求にのみ応答してデータユーザに
相関するデータを送ることである。図4に示すシステム
に関しては、その要求は、データユーザ118にデータ
を提供するデータプロバイダのみのついての要求であ
る。
【0065】図1〜5に示すシステムのいずれにおいて
も、データユーザは、データを評価している個人の識別
が必要である。例えば、データユーザ118が医療デー
タを処理し、生命をおびやかす条件を割り出したとする
と、データユーザはその個人に告知することが必要とな
る。この場合、データユーザはデータ提供者にデータ識
別情報を求めることができる。データユーザに用いられ
ている一意の識別子がデータプロバイダにより保持され
ている識別子に一致しない場合には、データプロバイダ
112はTTP116に権限を与え、データユーザ11
8に情報を明かさせる。
【0066】図6は、本発明の原理を用いる別の例示的
な実施の形態を示す。本実施の形態では、信託機関11
6は各データプロバイダ112a、112bおよび11
2cに、非個人化プロセスを行うソフトウェアおよび/
またはハードウェアと、識別された非個人化されたデー
タを保持する補助データベース115a、115bおよ
び115cを提供する。補助データベース115a、1
15bおよび115cの各々は、データプロバイダ11
2a、112bおよび112cに対する個人の識別可能
な属性および個人の識別子を含む。個人の識別可能な属
性および個人の識別子は、TTP116により所有さ
れ、制御される中央データベース115から得ることが
できる。中央データベース115には、後の処理の間
に、権限を与えられたそのような情報のソースから得ら
れる情報が存在する。データプロバイダは、各レコード
をデータユーザ118に提供することを希望し、データ
プロバイダはレコードのsh記フィールドを抽出し、そ
れらを非個人化プロセスに入力する。非個人化プロセス
は、データユーザにより保持されている情報を、信託機
関(TTP)により提供されたデータベースに以前に格
納されている情報と一致させることにより、ランダムな
識別子を割り当てる。一致データがそれぞれのデータベ
ース115a、115bおよび115cに見つからない
場合には、一意であり、かつランダムであり得る識別子
が割り当てられ、そのプロセスからの出力として提供さ
れる。前に非個人化されたデータとの一致が起こると、
最初に割り当てられた一意の識別子はそのプロセスから
の出力として提供される。データプロバイダ112a、
112bおよび112cは、一意の識別子をレコード内
の個人を識別可能属性に取り換え、個々の非個人化され
たレコードを生成する。そしてデータ提供者は非個人化
されたレコードをデータユーザ118に送る。
【0067】非個人化されたデータの複数のソースへの
リンクを可能にするため、各データプロバイダ112
a、112bおよび112cは、データプロバイダの非
個人化プロセス116a、116bおよび116cによ
り割り当てられた識別データおよび一意の識別子を含む
ファイルをTTP116に提供する。TTPはこれらの
ファイルを相関させることにより各データプロバイダに
より提供される識別情報レコード間の一致を割り出し、
何らかの相関がある表示とともに一意の識別子を中央デ
ータベースに格納する。データプロバイダにより権限が
与えられると、TTPは他のデータプロバイダからのラ
ンダムな識別子を示すデータユーザに、情報を提供でき
る。ランダムな識別子は同一の個人に関連し、したがっ
てデータユーザは、リンクされた非個人化されたデータ
ベース120を生成できる。
【0068】ある例では、データプロバイダ112aは
識別データをTTP116に提供することはない。しか
し本例では、TTP116は、電話帳のような公衆ソー
スからのデータが前もって設けてある中央データベース
を保守し、データプロバイダに一致アルゴリズムを提供
する。そしてTTP116は、以前にTTP116のデ
ータベースと一致していたデータ提供者からのファイル
のみを受け取る。子供のような、公衆のデータベースに
は存在しない、ある個人のグループ内でのデータの相関
は、データユーザから除外できる。しかし、このプロセ
スは偽陽性(false positive)相関よりも偽陰性(fals
e positive)相関の方が好ましい。
【0069】当業界の実務者であれば、本発明の基本的
概念の多くの変更が認識できるであろう。すなわち、デ
ータプロバイダおよびデータユーザを有する信託機関の
利用により、データがプロバイダからユーザへ移動する
ときにデータを非個人化できる。上述した実施の形態
は、本来例示的なものであり、本発明が実施される様々
なやり方を網羅して列挙したものではない。
【0070】図7は、図1〜6に示す任意の情報ネット
ワークの、例示的な物理的実施形態のブロック図であ
る。例示的なシステムは、ローカルエリアネットワーク
またはワイドエリアネットワーク716によりリンクさ
れている。これらのネットワークはまた、ダイレクト通
信インターフェース718およびリムーバブルメディア
722によって、インターネットのようなグローバル情
報ネットワークにも接続されている。図7の例示的なシ
ステムは、6つの処理システム710、730、74
0、760、770および780を含む。これらのシス
テム710、730、740、760、770および7
80の各々は、関連付けられたデータベース712、7
32、742、762、772および782を有する。
データプロバイダ、データユーザおよびTTPにより保
守されるデータベースは、当業界において現在周知の、
市販されている入手可能なホストコンピュータ上に存在
する。
【0071】例示的な処理システム710は、ホストコ
ンピュータ714と、ネットワークインターフェース7
16とを含む。ホストコンピュータ714はネットワー
クインターフェース716によりローカルエリアネット
ワーク、ワイドエリアネットワークまたはグローバル情
報ネットワークを介して、他のデータ処理システムと通
信できる。図7に示すように、ホストコンピュータ71
4は、ローカルエリアネットワーク(LAN)717を
介して処理システム740、730と通信する。コンピ
ュータ714はまた、LAN717を用いてグローバル
情報ネットワークサーバ750と通信し、さらにサーバ
750およびグローバル情報ネットワーク752を経て
リモートユーザ760、780と通信する。ネットワー
クインターフェースに加え、処理システム710のホス
トコンピュータ714は、通信インターフェース71
8、例えばモデムを含む。モデムを経て、処理システム
710はリモートユーザ770と通信する。処理システ
ム710はまた、入力/出力(I/O)プロセッサ72
0を含む。入力/出力(I/O)プロセッサ720は、
リムーバブルメディア装置722が結合されている。リ
ムーバブルメディア装置722は、例えばディスケット
ドライブであり、これを経ることにより、ホストコンピ
ュータは、ホストコンピュータ714と直接的または間
接的なデータ通信経路を持たない他のコンピュータシス
テムと通信できる。
【0072】各ホストコンピュータは、1以上のプロセ
ッサ(図示せず)と、メモリ(図示せず)と、入力およ
び出力装置(図示せず)と、大容量記憶媒体(図示せ
ず)へのアクセス手段を含む。各処理システムは、現在
当業界において周知の、単一システムまたはコンピュー
タネットワークであってもよい。データプロバイダ、T
TPおよびデータユーザは、LAN717のようなコン
ピュータネットワークで、またはある位置から別の位置
までリムーバブルメディア722にデータを物理的に転
送することにより、データを交換できる。システムはま
た、インターネットなどのグローバル情報ネットワーク
にわたって実現可能である。ホストコンピュータおよび
グローバル情報ネットワークはまた、複数のリモートユ
ーザと通信できる。
【0073】「データベース」という語は、レコードお
よびフィールド、またはそれらと同等のものを用いた任
意のデータベースを意味するものとして、広く解釈され
る。その手法は、データのコード化に用いられるハイレ
ベル言語により限定されることはなく、または要求され
たデータ処理を実現するプログラムのコード化に用いら
れる言語によっても限定されない。本発明は、データプ
ロバイダ112、信託機関116およびデータユーザ1
18によって実行されるコンピュータソフトウェアで実
施されることが意図されている。このコンピュータソフ
トウェアは、ディスケット、CD−ROM、DVD−R
OM等の媒体上、または、無線周波数または音声周波数
の搬送波上に実現される。
【0074】図8および9は、本発明の例示的な実施の
形態を示すフローチャートである。図8は、図6におい
て行われる処理を示し、図9は、図3、4または5にお
いて行われる処理を示す。
【0075】図8において、ステップ810では、TT
P116は2つの小売店(小売店112aおよび小売店
112b)に符号化プロセスおよび符号化データベース
を提供する。小売店は、その店の中で処理およびデータ
ベースを実施する。本発明の例示的な実施の形態におい
て、TTP116により提供されるデータベース115
aおよび115bには、TTP中央データベース115
から提供された情報が前もって存在している。提供され
た情報には一意の識別子は含まれない。
【0076】ステップ812において、小売店112a
および112bの各々は、個人の人口統計属性および個
人の識別子を、各データレコードから抽出する。これら
は小売店112aおよび112bの各々がデータユーザ
118(本例では出荷取次店)に送りたいと考えるデー
タである。各レコードについては、情報は、TTPの提
供した符号化プロセスを経て処理される。ステップ81
4において、符号化プロセスは各レコードに一意の識別
子を割り当てる。ステップ814では次に、小売店11
2aおよび112bが個人の人口統計属性および個人の
識別子を単一の一意の識別子に置換することにより、非
個人化されたデータを生成する。単一の一意の識別子
は、符号化プロセスにより提供される。小売店112a
および112bは、出荷取次店118に非個人化された
データを送る。続いてステップ818において、小売店
112aおよび112bは、各レコードについて割り当
てられた一意の識別子をTTP116に送る。各レコー
ドは、符号化プロセスを実行している間、一致が生じ
る。ステップ820において、TTP116は、小売店
112aおよび112bにより提供された一意の識別子
割り当て情報をその中央データベース115に格納す
る。同じくステップ820では、TTP116は、同一
の個人にリンクする小売店112aおよび112bに対
する一意の識別子を相関情報として出荷取次店118に
送る。
【0077】ステップ822では、出荷取次店は相関情
報を用いてデータをリンクし、その市場調査を行う。こ
の調査は個人の身元を明らかにする能力を必要とせずに
行われる。ブロック822から812への矢印により示
されるように、このプロセスは繰り返し行われる。周期
的に、TTP116は符号化プロセスに最新情報を送
り、小売店112aおよび112bにはデータベースを
送る。これらの更新情報は、TTP116により得られ
る符号化プロセスを行う中央データベースへの更新情報
/追加情報に起因する。これらの更新情報を処理した後
は、小売店112aおよび112bは全ての一意の識別
子をTTP116に送り返す。これらの識別子は、新た
に提供された情報に対して小売店により前もって割り当
てられたものである。
【0078】本発明の本実施の形態では、小売店112
aおよび112bは個人を識別可能などのような小売情
報も提供することはないことに留意されたい。小売店に
よって出荷取次店に提供される小売情報には、個人を識
別可能な属性は存在しない。したがって、出荷取次店1
18は現実の個人が誰であるかを知ることができない。
しかしこのような事情であっても、出荷取次店118
は、小売店の情報力を利用して市場調査能力を増強でき
る。図9に示す本発明の例示的な実施の形態では、製造
業者118は、3つの地方ヘルスケアプロバイダのヘル
スケア情報を利用して、特定の病状の健康状態の性質を
同定することを欲している。3つのデータプロバイダ1
12(プロバイダA、プロバイダBおよびプロバイダ
C)は個人が誰かを識別する情報(例えば、会員番号、
社会保障番号、氏名等)を有する。製造業者118、プ
ロバイダA、プロバイダBおよびプロバイダCは契約に
より信託機関に権限を与え、図9に示すヘルスケアデー
タ符号化プロセスを用いてヘルスケアデータを符号化す
る。
【0079】このプロセスのステップ910では、プロ
バイダA、プロバイダBおよびプロバイダCは各々個人
を識別可能な情報を、内部データベース111から抽出
し、ファイル113に入れる。ステップ912では、プ
ロバイダA、プロバイダBおよびプロバイダCはファイ
ルをTTP116に送る。
【0080】ステップ914では、TTP116は一致
プロセスを用いて各個人を識別し、各レコードに符号化
鍵を割り当てる。ステップ916では、TTP116は
対応する符号化鍵を有するファイルを、プロバイダA、
プロバイダBおよびプロバイダCに送り返す。続いてス
テップ916では、プロバイダA、プロバイダBおよび
プロバイダCは、製造業者118に送信を希望するレコ
ードの各々に対する個人属性を、TTP116から受け
取られた符号化鍵に置き換える。またステップ918で
は、プロバイダA、プロバイダBおよびプロバイダCは
製造業者118に符号化されたヘルスケア情報を送る。
ステップ920では、製造業者は符号化されたヘルスケ
ア情報ファイルを受け取り、TTP116から相関する
データを得る。最後にステップ922では、製造業者は
プロバイダA、プロバイダBおよびプロバイダCからの
データをリンクし、その調査を終了する。この調査は製
造業者がどの個人を同定できるかに関係することなく終
了する。
【0081】以上、多くの例示的な実施の形態によって
本発明を説明した。上述したように、本発明は、特許請
求の範囲に記載された発明の範囲内で様々に変更して実
現できることが企図されている。
【図面の簡単な説明】
【図1】 本発明において、データが様々な機関の間を
どのように伝送されるかを説明するのに有用なデータフ
ロー図である。
【図2】 第1の例示的なデータ非個人化方法を示すデ
ータフロー図である。
【図3】 第2の例示的なデータ非個人化方法を示すデ
ータフロー図である。
【図4】 第3の例示的なデータ非個人化方法を示すデ
ータフロー図である。
【図5】 第4の例示的なデータ非個人化方法を示すデ
ータフロー図である。
【図6】 複数のデータプロバイダがどのように信託機
関と相互作用し、1以上のデータユーザにより相関され
たデータを提供するかを示すデータフロー図である。
【図7】 図1〜6に記載された方法を実施するために
利用可能な、例示的なコンピュータの構成を示すブロッ
ク図である。
【図8】 図6の例示的な方法のフローチャートであ
る。
【図9】 図3、4または5の例示的な方法のフローチ
ャートである。
フロントページの続き (72)発明者 マーク・コーハン アメリカ合衆国19335ペンシルベニア州ダ ウニングタウン、クリークス・ベンド204 番 (72)発明者 デニス・ランガー アメリカ合衆国08540ニュージャージー州 プリンストン、クリーブランド・レイン12 番

Claims (18)

    【特許請求の範囲】
  1. 【請求項1】 データプロバイダと、データユーザと、
    信託機関とを含む情報ネットワークにおいて、識別情報
    フィールドと他のデータフィールドとを含むデータレコ
    ードであって、前記レコードの各々の識別情報は1個人
    を識別するデータレコードの配信方法は、 a)前記データレコードの各々について、前記識別情報
    フィールドと前記他のデータフィールドとを分離して識
    別レコードを生成するステップと、 b)前記識別レコードのコピーを前記信託機関に伝送す
    るステップと、 c)前記信託機関が、前記識別レコードの各々を一意の
    識別子に関連付けるステップであって、別個の前記一意
    の識別子のそれぞれは、1以上の前記識別レコードによ
    り識別される各個人に割り当てられる、ステップと、 d)前記信託機関が、前記一意の識別子を前記データプ
    ロバイダに伝送するステップと、 e)前記データプロバイダが、前記他のデータフィール
    ドを前記一意の識別子のそれぞれに関連付けて、非個人
    化されたデータを形成するステップと、 f)前記データプロバイダの各々が、前記非個人化され
    たデータを前記データユーザに伝送するステップとから
    なる、データレコードの配信方法。
  2. 【請求項2】 前記信託機関が前記識別レコードの各々
    を関連付けるステップは、前記一意の識別子として前記
    識別情報フィールドを元に戻すのに利用できない、ラン
    ダムな識別子を生成するステップを含む、請求項1に記
    載の方法。
  3. 【請求項3】 複数のデータプロバイダと、データユー
    ザと、信託機関とを含む情報ネットワークにおいて、識
    別情報フィールドと他のデータフィールドとを含むデー
    タレコードであって、前記レコードの各々の識別情報は
    1個人を識別するデータレコードの配信方法は、 a)前記複数のデータプロバイダの各々が、前記データ
    レコードの各々について、前記識別情報フィールドと前
    記他のデータフィールドとを分離して識別レコードを生
    成するステップと、 b)前記複数のデータプロバイダの各々が、前記識別レ
    コードのコピーを前記信託機関に伝送するステップと、 c)前記信託機関が、前記識別レコードの各々を一意の
    識別子に関連付けるステップであって、別個の前記一意
    の識別子のそれぞれは、1以上の前記識別レコードによ
    り識別される各個人に割り当てられる、ステップと、 d)前記信託機関が、前記一意の識別子を前記複数のデ
    ータプロバイダのそれぞれに伝送するステップであっ
    て、前記複数のデータプロバイダのそれぞれから、一意
    の識別子を生成するのに用いられた識別レコードが受け
    取られる、ステップと、 e)前記複数のデータプロバイダの各々が、前記他のデ
    ータフィールドを前記一意の識別子のそれぞれに関連付
    けて、非個人化されたデータを形成するステップと、 f)前記データプロバイダの各々が、前記非個人化され
    たデータを前記データユーザに伝送するステップとから
    なる、データレコードの配信方法。
  4. 【請求項4】 前記信託機関が、前記識別レコードの各
    々を一意の識別子に関連付けるステップは、前記一意の
    識別子として前記識別情報フィールドを元に戻すのに利
    用できないランダムな識別子を生成するステップであっ
    て、前記複数のデータプロバイダの1つ以上により提供
    される識別情報フィールドは、それぞれ1個人に対応
    し、別個の一意の識別子は1以上の情報プロバイダのそ
    れぞれについて生成される、請求項1〜3のいずれかに
    記載の方法。
  5. 【請求項5】 前記信託機関が、前記識別レコードの各
    々を一意の識別子に関連付けるステップは、 a)前記信託機関が、各個人の相関を記録するステップ
    であって、前記個人に対して複数の一意の識別子が割り
    当てられ、相関情報を形成するステップと、 b)前記信託機関が、前記データユーザに相関情報を伝
    送するステップとをさらに含む、請求項1〜4のいずれ
    かに記載の方法。
  6. 【請求項6】 前記信託機関が、前記データユーザに前
    記相関情報を伝送するステップは、 a)前記データユーザから、前記複数のデータプロバイ
    ダのうちの特定のデータプロバイダに対する相関情報の
    要求を受け取るステップと、 b)前記複数のデータプロバイダのうちの特定のデータ
    プロバイダについての前記相関情報のみを伝送するステ
    ップとを含む、請求項1〜5のいずれかに記載の方法。
  7. 【請求項7】 複数のデータプロバイダと、データユー
    ザと、信託機関とを含む情報ネットワークにおいて、識
    別情報フィールドと他のデータフィールドとを含む複数
    のデータレコードであって、前記レコードの各々の識別
    情報が1個人を識別するデータレコードの配信方法は、 a)前記データプロバイダの各々が、前記複数のデータ
    レコードの前記識別情報フィールドから複数の第1の一
    意の識別子を生成するステップと、 b)前記データプロバイダの各々が、前記複数のデータ
    レコードの各々からの識別情報フィールドのコピーと、
    前記複数の一意の識別子の各々のコピーとを、複数の識
    別レコードのそれぞれとして、前記信託機関に伝送する
    ステップと、 c)前記データプロバイダの各々が、前記複数のデータ
    レコードの各々からの他のデータフィールドのコピー
    と、前記複数の一意の識別子の各々のコピーとを、複数
    のデータレコードのそれぞれとして、前記データユーザ
    に伝送するステップと、 d)前記信託機関が、前記識別レコードの各々を、第2
    の一意の識別子と関連付けるステップであって、異なる
    第2の一意の識別子のそれぞれは、1以上の前記識別レ
    コードにより識別される各個人に割り当てられる、ステ
    ップと、 e)前記信託機関が、前記第1の一意の識別子と前記第
    2の一意の識別子とを前記データユーザに伝送するステ
    ップと、 f)前記データユーザが、前記データプロバイダにより
    提供される前記他のデータレコードを前記信託機関によ
    り提供される前記一意の識別子に関連付けるステップと
    からなる、データレコードの配信方法。
  8. 【請求項8】 複数のデータレコードを処理し、配信す
    る方法であって、前記複数のデータレコードの各々は、
    信託機関が1個人を識別するのに用いる情報を含み、 a)複数のデータプロバイダから、前記複数の識別レコ
    ードのコピーを受け取るステップと、 b)前記識別レコードの各々を、一意の識別子に関連付
    けるステップであって、別個の一意の識別子は1以上の
    識別レコードにより識別される各個人に割り当てられ
    る、ステップと、 c)前記複数のデータプロバイダにより提供される前記
    識別レコードから、特定の個人に関連付けられたレコー
    ドを一致させ、前記複数のデータプロバイダにより提供
    される全ての識別レコードについて同一である第2の一
    意の識別子を生成する、ステップと、 d)前記一意の識別子を前記データプロバイダのそれぞ
    れに伝送するステップであって、前記データプロバイダ
    のそれぞれから、前記一意の識別子を生成するのに用い
    られる前記識別レコードを受け取る、ステップとからな
    る、データレコードの配信方法。
  9. 【請求項9】 データプロバイダと、データユーザと、
    信託機関とを含む汎用コンピュータネットワークであっ
    て、前記ネットワークは、識別情報フィールドと他のデ
    ータフィールドとを含む複数のデータレコードにアクセ
    スし、前記レコードのそれぞれに含まれる前記識別情報
    は1個人を識別するネットワークであり、前記ネットワ
    ークに a)前記データレコードの各々について、前記識別情報
    フィールドと前記他のデータフィールドとを分離して識
    別レコードを生成するステップと、 b)前記識別レコードのコピーを前記信託機関に伝送す
    るステップと、 c)前記信託機関が、前記識別レコードの各々を一意の
    識別子に関連付けるステップであって、別個の前記一意
    の識別子のそれぞれは、1以上の前記識別レコードによ
    り識別される各個人に割り当てられる、ステップと、 d)前記信託機関が、前記一意の識別子を前記データプ
    ロバイダに伝送するステップと、 e)前記データプロバイダが、前記他のデータフィール
    ドを前記一意の識別子のそれぞれに関連付けて、非個人
    化されたデータを形成するステップと、 f)前記データプロバイダの各々が、前記非個人化され
    たデータを前記データユーザに伝送するステップとを行
    わせる命令セットを含む媒体。
  10. 【請求項10】 前記信託機関が前記識別レコードの各
    々を関連付けるステップは、前記一意の識別子として前
    記識別情報フィールドを元に戻すのに利用できない、ラ
    ンダムな識別子を生成するステップを含む、請求項9に
    記載の媒体。
  11. 【請求項11】 複数のデータプロバイダと、データユ
    ーザと、信託機関とを含む汎用コンピュータネットワー
    クであって、前記ネットワークは、識別情報フィールド
    と他のデータフィールドとを含む複数のデータレコード
    にアクセスし、前記レコードのそれぞれに含まれる前記
    識別情報は1個人を識別するネットワークであり、前記
    ネットワークに a)前記複数のデータプロバイダの各々が、前記データ
    レコードの各々について、前記識別情報フィールドと前
    記他のデータフィールドとを分離して識別レコードを生
    成するステップと、 b)前記複数のデータプロバイダの各々が、前記識別レ
    コードのコピーを前記信託機関に伝送するステップと、 c)前記信託機関が、前記識別レコードの各々を一意の
    識別子に関連付けるステップであって、別個の前記一意
    の識別子のそれぞれは、1以上の前記識別レコードによ
    り識別される各個人に割り当てられる、ステップと、 d)前記信託機関が、前記一意の識別子を前記複数のデ
    ータプロバイダのそれぞれに伝送するステップであっ
    て、前記複数のデータプロバイダのそれぞれから、一意
    の識別子を生成するのに用いられた識別レコードが受け
    取られる、ステップと、 e)前記複数のデータプロバイダの各々が、前記他のデ
    ータフィールドを前記一意の識別子のそれぞれに関連付
    けて、非個人化されたデータを形成するステップと、 f)前記データプロバイダの各々が、前記非個人化され
    たデータを前記データユーザに伝送するステップとを行
    わせる命令セットを含む媒体。
  12. 【請求項12】 前記信託機関が、前記識別レコードの
    各々を一意の識別子に関連付けるステップは、前記一意
    の識別子として前記識別情報フィールドを元に戻すのに
    利用できないランダムな識別子を生成するステップであ
    って、前記複数のデータプロバイダの1つ以上により提
    供される識別情報フィールドは、それぞれ1個人に対応
    し、別個の一意の識別子は1以上の情報プロバイダのそ
    れぞれについて生成される、請求項11に記載の媒体。
  13. 【請求項13】複数のデータプロバイダと、データユー
    ザと、信託機関とを含む汎用コンピュータネットワーク
    であって、前記ネットワークは、識別情報フィールドと
    他のデータフィールドとを含む複数のデータレコードに
    アクセスし、前記データレコードのそれぞれに含まれる
    前記識別情報は1個人を識別するネットワークであり、
    前記ネットワークに、 a)前記データプロバイダの各々が、前記複数のデータ
    レコードの前記識別情報フィールドから複数の第1の一
    意の識別子を生成するステップと、 b)前記データプロバイダの各々が、前記複数のデータ
    レコードの各々からの識別情報フィールドのコピーと、
    前記複数の一意の識別子の各々のコピーとを、複数の識
    別レコードのそれぞれとして、前記信託機関に伝送する
    ステップと、 c)前記データプロバイダの各々が、前記複数のデータ
    レコードの各々からの他のデータフィールドのコピー
    と、前記複数の一意の識別子の各々のコピーとを、複数
    のデータレコードのそれぞれとして、前記データユーザ
    に伝送するステップと、 d)前記信託機関が、前記識別レコードの各々を、第2
    の一意の識別子と関連付けるステップであって、異なる
    第2の一意の識別子のそれぞれは、1以上の前記識別レ
    コードにより識別される各個人に割り当てられる、ステ
    ップと、 e)前記信託機関が、前記第1の一意の識別子と前記第
    2の一意の識別子とを前記データユーザに伝送するステ
    ップと、 f)前記データユーザが、前記データプロバイダにより
    提供される前記他のデータレコードを前記信託機関によ
    り提供される前記一意の識別子に関連付けるステップと
    からなる方法を行わせる命令セットを含む媒体。
  14. 【請求項14】 前記複数のデータプロバイダにより提
    供される前記識別レコードから、特定の個人に関連付け
    られたレコードを一致させ、前記複数のデータプロバイ
    ダにより提供される全ての識別レコードについて同一で
    ある第2の一意の識別子を生成する、ステップを行わせ
    る命令をさらに含み、一致させ、生成するステップは、
    前記信託機関により行われる、請求項13に記載の媒
    体。
  15. 【請求項15】 複数のデータレコードの各々が、信託
    機関によって1個人を識別するのに用いられる情報を含
    んでおり、前記複数のデータレコードにアクセスする汎
    用コンピュータに、 a)第1のデータプロバイダから、前記複数の識別レコ
    ードを受け取るステップと、 b)前記複数の識別レコードの各々を一意の識別子に関
    連付けるステップであって、別個の一意の識別子のそれ
    ぞれは、1以上の前記複数の識別レコードにより識別さ
    れる各個人に割り当てられる、ステップと、 c)前記一意の識別子を前記データプロバイダに伝送す
    るステップとを行わせる命令セットを含む媒体。
  16. 【請求項16】 前記識別レコードを関連付けるステッ
    プは、前記一意の識別子として前記複数の識別情報フィ
    ールドを元に戻すのに利用できないランダムな識別子を
    生成するステップを含む、請求項15に記載の媒体。
  17. 【請求項17】 複数のデータレコードの各々が、信託
    機関によって1個人を識別するのに用いられる情報を含
    んでおり、前記複数のデータレコードにアクセスする汎
    用コンピュータに、 a)複数のデータプロバイダから、前記複数の識別レコ
    ードのコピーを受け取るステップと、 b)前記識別レコードの各々を、一意の識別子に関連付
    けるステップであって、別個の一意の識別子は1以上の
    識別レコードにより識別される各個人に割り当てられ
    る、ステップと、 c)前記複数のデータプロバイダにより提供される前記
    識別レコードから、特定の個人に関連付けられたレコー
    ドを一致させ、前記複数のデータプロバイダにより提供
    される全ての識別レコードについて同一である第2の一
    意の識別子を生成する、ステップと、 d)前記一意の識別子を前記データプロバイダのそれぞ
    れに伝送するステップであって、前記データプロバイダ
    のそれぞれから、前記一意の識別子を生成するのに用い
    られる前記識別レコードを受け取る、ステップとを行わ
    せる命令セットを含む媒体。
  18. 【請求項18】 前記信託機関が、前記識別レコードの
    各々を一意の識別子に関連付けるステップは、前記一意
    の識別子として前記識別情報フィールドを元に戻すのに
    利用できないランダムな識別子を生成するステップであ
    って、前記複数のデータプロバイダの1つ以上により提
    供される識別情報フィールドは、それぞれ1個人に対応
    し、別個の一意の識別子は1以上の情報プロバイダのそ
    れぞれについて生成される、請求項17に記載の媒体。
JP2000025411A 1999-02-02 2000-02-02 情報を非個人化する装置および方法 Withdrawn JP2000324094A (ja)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US11842999P 1999-02-02 1999-02-02
US38212799A 1999-08-24 1999-08-24
US17174399P 1999-12-22 1999-12-22
US60/118429 1999-12-22
US60/171743 1999-12-22
US09/382127 1999-12-22

Publications (1)

Publication Number Publication Date
JP2000324094A true JP2000324094A (ja) 2000-11-24

Family

ID=27382162

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000025411A Withdrawn JP2000324094A (ja) 1999-02-02 2000-02-02 情報を非個人化する装置および方法

Country Status (4)

Country Link
EP (1) EP1026603A3 (ja)
JP (1) JP2000324094A (ja)
AU (1) AU3477500A (ja)
WO (1) WO2000049531A1 (ja)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002230146A (ja) * 2001-02-02 2002-08-16 Nippon Telegr & Teleph Corp <Ntt> 電子メール文書の翻訳校正サービス実現方法、そのシステム、サーバ装置、そのプログラムを記録した記録媒体及びプログラム
JP2004013830A (ja) * 2002-06-11 2004-01-15 Canon Inc 情報処理装置、情報処理システム、情報処理方法、記憶媒体、及びプログラム
WO2006137117A1 (ja) * 2005-06-20 2006-12-28 Hewlett-Packard Development Company, L.P. 情報アクセス制御システムおよびその方法
JP2007536833A (ja) * 2004-05-05 2007-12-13 アイエムエス ソフトウェア サービシズ リミテッド マルチ・ソース型の長期患者レベルのデータ暗号化処理
JP2008500612A (ja) * 2004-05-05 2008-01-10 アイエムエス ソフトウェア サービシズ リミテッド マルチ・ソース型の長期の患者レベルデータを統合するデータ暗号化アプリケーション
JP2009042956A (ja) * 2007-08-08 2009-02-26 Hitachi Ltd 商品販売装置、商品販売管理システム、商品販売管理方法およびプログラム
WO2009113154A1 (ja) * 2008-03-10 2009-09-17 富士通株式会社 Id管理システムおよびid管理方法
JP2013250937A (ja) * 2012-06-04 2013-12-12 Nihon Medical Business Co Ltd 通信装置、通信システム及び通信方法
JP2014066831A (ja) * 2012-09-25 2014-04-17 Fujitsu Ltd データ処理プログラム、データ処理装置及びデータ処理システム
US9201915B2 (en) 2010-09-22 2015-12-01 Nec Corporation Attribute information processing device, attribute information processing method and attribute information evaluation system
JP2016029986A (ja) * 2014-07-25 2016-03-07 Hoya株式会社 内視鏡プロセッサ及び情報管理方法
US9355273B2 (en) 2006-12-18 2016-05-31 Bank Of America, N.A., As Collateral Agent System and method for the protection and de-identification of health care data
JP6266181B1 (ja) * 2017-01-27 2018-01-24 三菱電機株式会社 検索装置、監視システム、監視方法および検索プログラム
US9886558B2 (en) 1999-09-20 2018-02-06 Quintiles Ims Incorporated System and method for analyzing de-identified health care data
KR102270896B1 (ko) * 2020-01-06 2021-06-30 주식회사 아미크 데이터 비식별화에 기반한 데이터 아카이빙 방법 및 시스템

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6732113B1 (en) 1999-09-20 2004-05-04 Verispan, L.L.C. System and method for generating de-identified health care data
GB2366051B (en) * 2000-05-02 2005-01-05 Ibm Method, system and program product for private data access or use based on related public data
FI20020808A (fi) * 2002-04-29 2003-10-30 Mediweb Oy Arkaluontoisten tietojen tallentaminen
US7450742B2 (en) 2002-05-08 2008-11-11 Canon Kabushiki Kaisha Information processing apparatus, information processing system, information processing method, storage medium, and program
AU2003230242A1 (en) * 2002-05-08 2003-11-11 Canon Kabushiki Kaisha Information processing apparatus, information processing system, information processing method, storage medium, and program
FI116170B (fi) * 2003-04-11 2005-09-30 Jouko Kronholm Menetelmä palautteen välittämisessä palautejärjestelmästä sekä tietojen välitysjärjestelmä
US20070282870A1 (en) * 2004-05-28 2007-12-06 Koninklijke Philips Electronics, N.V. Method Of And Device For Querying Of Protected Structured Data
AU2006308799B2 (en) * 2005-11-01 2012-06-14 Commonwealth Scientific And Industrial Research Organisation Data matching using data clusters
US20090168163A1 (en) * 2005-11-01 2009-07-02 Global Bionic Optics Pty Ltd. Optical lens systems
DE102005059139A1 (de) * 2005-12-10 2007-06-21 Arndt Seehawer Verfahren zum Verknüpfen eines digitalen Inhalts mit einer Person
US8112301B2 (en) 2008-04-14 2012-02-07 Tra, Inc. Using consumer purchase behavior for television targeting
EP2199907A1 (en) * 2008-12-22 2010-06-23 Koninklijke Philips Electronics N.V. Method for exchanging data
US9141758B2 (en) 2009-02-20 2015-09-22 Ims Health Incorporated System and method for encrypting provider identifiers on medical service claim transactions
US20110162074A1 (en) * 2009-12-31 2011-06-30 Sap Portals Israel Ltd Apparatus and method for remote processing while securing classified data
BR112012018653B1 (pt) 2010-01-29 2020-12-22 The Dun And Bradstreet Corporation. sistema e método para agregação e associação de dados de afiliação profissional com conteúdo de dados comerciais
DE102010037326B4 (de) * 2010-09-03 2014-02-13 Wolfgang Hüffer Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten
EP2752821A2 (en) 2013-01-02 2014-07-09 Albert Kuiper Enhancement of enforcing road user charging
WO2016115266A1 (en) * 2015-01-14 2016-07-21 Niara, Inc. System, apparatus and method for anonymizing data prior to threat detection analysis
RU2698412C2 (ru) * 2017-12-22 2019-08-26 Общество с ограниченной ответственностью "Биткалм" Система защиты персональных данных пользователей в информационной системе на основании деперсонализации и миграции в безопасное окружение
RU2731110C2 (ru) * 2018-12-24 2020-08-28 Общество с ограниченной ответственностью "Биткалм" Система деперсонализации и миграции персональных данных пользователей на веб-сайтах на основе технологии резервного копирования

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE9303984L (sv) * 1993-11-30 1994-11-21 Anonymity Prot In Sweden Ab Anordning och metod för lagring av datainformation
US5956400A (en) * 1996-07-19 1999-09-21 Digicash Incorporated Partitioned information storage systems with controlled retrieval
US5862223A (en) * 1996-07-24 1999-01-19 Walker Asset Management Limited Partnership Method and apparatus for a cryptographically-assisted commercial network system designed to facilitate and support expert-based commerce
US5907620A (en) * 1996-08-23 1999-05-25 Cheyenne Property Trust Method and apparatus for enforcing the use of cryptography in an international cryptography framework
US5819239A (en) * 1996-12-30 1998-10-06 Pitney Bowes Inc. Method of verifying proper payment of postage
GB9712459D0 (en) * 1997-06-14 1997-08-20 Int Computers Ltd Secure database system
US6006200A (en) * 1998-05-22 1999-12-21 International Business Machines Corporation Method of providing an identifier for transactions

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9886558B2 (en) 1999-09-20 2018-02-06 Quintiles Ims Incorporated System and method for analyzing de-identified health care data
JP2002230146A (ja) * 2001-02-02 2002-08-16 Nippon Telegr & Teleph Corp <Ntt> 電子メール文書の翻訳校正サービス実現方法、そのシステム、サーバ装置、そのプログラムを記録した記録媒体及びプログラム
JP2004013830A (ja) * 2002-06-11 2004-01-15 Canon Inc 情報処理装置、情報処理システム、情報処理方法、記憶媒体、及びプログラム
US8275850B2 (en) 2004-05-05 2012-09-25 Ims Software Services Ltd. Multi-source longitudinal patient-level data encryption process
JP2007536833A (ja) * 2004-05-05 2007-12-13 アイエムエス ソフトウェア サービシズ リミテッド マルチ・ソース型の長期患者レベルのデータ暗号化処理
JP2008500612A (ja) * 2004-05-05 2008-01-10 アイエムエス ソフトウェア サービシズ リミテッド マルチ・ソース型の長期の患者レベルデータを統合するデータ暗号化アプリケーション
WO2006137117A1 (ja) * 2005-06-20 2006-12-28 Hewlett-Packard Development Company, L.P. 情報アクセス制御システムおよびその方法
US9355273B2 (en) 2006-12-18 2016-05-31 Bank Of America, N.A., As Collateral Agent System and method for the protection and de-identification of health care data
JP2009042956A (ja) * 2007-08-08 2009-02-26 Hitachi Ltd 商品販売装置、商品販売管理システム、商品販売管理方法およびプログラム
WO2009113154A1 (ja) * 2008-03-10 2009-09-17 富士通株式会社 Id管理システムおよびid管理方法
US9201915B2 (en) 2010-09-22 2015-12-01 Nec Corporation Attribute information processing device, attribute information processing method and attribute information evaluation system
JP2013250937A (ja) * 2012-06-04 2013-12-12 Nihon Medical Business Co Ltd 通信装置、通信システム及び通信方法
JP2014066831A (ja) * 2012-09-25 2014-04-17 Fujitsu Ltd データ処理プログラム、データ処理装置及びデータ処理システム
JP2016029986A (ja) * 2014-07-25 2016-03-07 Hoya株式会社 内視鏡プロセッサ及び情報管理方法
JP6266181B1 (ja) * 2017-01-27 2018-01-24 三菱電機株式会社 検索装置、監視システム、監視方法および検索プログラム
WO2018138857A1 (ja) * 2017-01-27 2018-08-02 三菱電機株式会社 検索装置、監視装置、監視方法および検索プログラム
KR102270896B1 (ko) * 2020-01-06 2021-06-30 주식회사 아미크 데이터 비식별화에 기반한 데이터 아카이빙 방법 및 시스템
KR20210088419A (ko) * 2020-01-06 2021-07-14 주식회사 아미크 데이터의 전송 및 조회 시의 비용을 최소화하기 위한 데이터 아카이빙 방법 및 시스템
KR102301304B1 (ko) 2020-01-06 2021-09-14 주식회사 아미크 데이터의 전송 및 조회 시의 비용을 최소화하기 위한 데이터 아카이빙 방법 및 시스템

Also Published As

Publication number Publication date
WO2000049531A1 (en) 2000-08-24
AU3477500A (en) 2000-09-04
EP1026603A2 (en) 2000-08-09
WO2000049531A9 (en) 2001-10-18
EP1026603A3 (en) 2002-01-30

Similar Documents

Publication Publication Date Title
JP2000324094A (ja) 情報を非個人化する装置および方法
JP6814017B2 (ja) 匿名化のために属性を自動的に識別するコンピュータ実装システムおよび方法
EP2879069B1 (en) System for anonymizing and aggregating protected health information
US20180307859A1 (en) Systems and methods for enforcing centralized privacy controls in de-centralized systems
EP3166042B1 (en) Computer-implemented system and method for anonymizing encrypted data
US8812844B2 (en) Luhn validation and data security across multiple active domains
CN111149332A (zh) 在去中心化系统中实施集中式隐私控制的系统和方法
US8990252B2 (en) Anonymity measuring device
CN106169013A (zh) 用于使受保护信息匿名化和聚集的系统
HU231270B1 (hu) Adatkezelő eljárás és regisztrációs eljárás anonim adatmegosztó rendszerhez, valamint adatkezelő és azt tartalmazó anonim adatmegosztó rendszer
JP2007536649A (ja) 長期患者レベルのデータベースのためのデータ記録マッチングアルゴリズム
US11366928B2 (en) Systems and method of contextual data masking for private and secure data linkage
CA3104119C (en) Systems and methods for enforcing privacy-respectful, trusted communications
Sui et al. A privacy-preserving approach for multimodal transaction data integrated analysis
US20220067202A1 (en) Method for creating avatars for protecting sensitive data
US20060218013A1 (en) Electronic directory of health care information
Li et al. Current developments of k-anonymous data releasing
Siegenthaler et al. Sharing private information across distributed databases
Abrar et al. Privacy-preserving data collection for 1: M dataset
Yang et al. Social networks integration and privacy preservation using subgraph generalization
Renuka A Study of Privacy Preserving Using Anonymization Techniques
Kakulapati et al. Homomorphic Analysis of Privacy-Preserving Psychological Medical Records
Anju et al. An Overview of Privacy Preserving Data Mining
Lodha et al. Data privacy
Shelake et al. BLOOM FILTER BASED SECURE RECORD LINKAGE: CRYPTANALYSIS ATTACK METHODS

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20070403