JP2007219636A - データ開示方法およびデータ開示装置 - Google Patents
データ開示方法およびデータ開示装置 Download PDFInfo
- Publication number
- JP2007219636A JP2007219636A JP2006036776A JP2006036776A JP2007219636A JP 2007219636 A JP2007219636 A JP 2007219636A JP 2006036776 A JP2006036776 A JP 2006036776A JP 2006036776 A JP2006036776 A JP 2006036776A JP 2007219636 A JP2007219636 A JP 2007219636A
- Authority
- JP
- Japan
- Prior art keywords
- data
- granularity
- disclosure
- information
- anonymity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】ユーザが登録した情報が、ユーザIDや名前と同じくらい個人を識別してしまう情報であっても、他の情報に置き換えることで、ユーザやプロバイダへ情報を提供することが可能となるデータ開示方法およびデータ開示装置を提供する。
【解決手段】サービスを利用するユーザ端末1、サービスを提供するプロバイダ端末2、ユーザの置かれている環境や行動パターンを検知するセンサ3、無線タグ4、ユーザの行動を記録するためのカメラ5がネットワーク6に接続されている。またネットワーク6に、ユーザの個人情報を格納管理し、プロバイダの要求に応じて個人情報を提供する個人情報管理運用サーバ10を配置する。
個人情報管理運用サーバ10は、開示する個人情報についてのエントロピーを用いる統計的な匿名性を計算し、十分な匿名性が確保できない場合には、個人情報の粒度を変更してプロバイダ情報を提供する。
【選択図】図1
【解決手段】サービスを利用するユーザ端末1、サービスを提供するプロバイダ端末2、ユーザの置かれている環境や行動パターンを検知するセンサ3、無線タグ4、ユーザの行動を記録するためのカメラ5がネットワーク6に接続されている。またネットワーク6に、ユーザの個人情報を格納管理し、プロバイダの要求に応じて個人情報を提供する個人情報管理運用サーバ10を配置する。
個人情報管理運用サーバ10は、開示する個人情報についてのエントロピーを用いる統計的な匿名性を計算し、十分な匿名性が確保できない場合には、個人情報の粒度を変更してプロバイダ情報を提供する。
【選択図】図1
Description
本発明は、プライバシー保護とプライバシー情報運用に関するものであり、ユーザIDや名前以外のプライバシー情報からその人物が誰かを推測されることを防止して匿名性を確保すると同時に、そのプライバシー情報をサービス提供するデータ開示方法およびデータ開示装置に関する。
プライバシー情報は、個人を表現する情報であり、“性別”のようなプライバシー情報の種別である属性と、“女性”のような属性の値である属性値で構成されるとする。プライバシー情報は、IDや名前や住所や電話番号やメールアドレスのような個人特定に直接つながるキー情報と、嗜好や行動履歴などの私事性情報に大別される。ここでいうプライバシー保護とは、匿名性を確保することであり、このキー情報と私事性情報が結びつかないようにすることを意味する。
本発明では、サービスを利用する人をユーザ、サービスを提供する人をプロバイダと呼ぶ。図1に前提とするシステムの構成図を示す。サービスを利用するユーザ端末1、サービスを提供するプロバイダ端末2、ユーザの置かれている環境や行動パターンを検知するセンサ3、無線タグ4、ユーザの行動を記録するためのカメラ5がネットワーク6に接続されている。プロバイダが個々のユーザの嗜好や置かれている状況にあったユーザ指向型のサービスを提供するためには、ユーザのプライバシー情報が必要不可欠となる。
そこでネットワーク6に、ユーザの個人情報を格納管理し、プロバイダ端末2の要求に応じて匿名性を確保しつつプライバシー情報を提供する個人情報管理運用サーバ10を配置させている。匿名性の確保とは、キー情報と私事性情報が結びつかないことである。
プロバイダ端末2、個人情報管理運用サーバ10、ユーザ端末1の間においてなされる情報の開示の動作を簡単に述べる。
情報を一般ユーザへ提供するプロバイダ端末2は、個人情報管理運用サーバ10へ情報開示の要求をし、個人情報管理運用サーバ10はプロバイダ端末2へ要求された情報を開示する。プロバイダ端末2は個人情報管理運用サーバ10からの情報を、一般ユーザへ提供する。一般のユーザは、ユーザが有するユーザ端末1を用いて、プロバイダ端末2へアクセスすることにより、プロバイダ端末2より情報の提供を受ける。
以上のようにして、個人情報管理運用サーバ10の情報が開示される。
情報を一般ユーザへ提供するプロバイダ端末2は、個人情報管理運用サーバ10へ情報開示の要求をし、個人情報管理運用サーバ10はプロバイダ端末2へ要求された情報を開示する。プロバイダ端末2は個人情報管理運用サーバ10からの情報を、一般ユーザへ提供する。一般のユーザは、ユーザが有するユーザ端末1を用いて、プロバイダ端末2へアクセスすることにより、プロバイダ端末2より情報の提供を受ける。
以上のようにして、個人情報管理運用サーバ10の情報が開示される。
ここで個人情報管理運用サーバ10において用いられる、匿名性を確保するための従来技術は、キー情報を完全に秘匿し、私事性情報のみを開示する手法が主流であった(例:アンケート)。しかし、キー情報を隠蔽したとしても、開示した私事性情報からキー情報を推測されてしまう場合がある。例えば、あるユーザ集合において、5:00PMに居室にいた女性研究者(性別:女性 かつ 職業:研究者 かつ 場所:居室 かつ 時間:5:00PM)が1人しかいない場合、女性研究者の名前やIDのキー情報をいくら隠蔽しても、“女性研究者“という私事性情報を開示すれば、(5:00PMに居室に居た人)が誰かが容易に推測されてしまう。このため、私事情報開示の際は、どの属性を開示すると、集団の中で個人特定されやすくなるかについて、匿名性損失具合を把握しながら開示することが求められる。
あるユーザに対して、私事性情報のどの属性を開示するとどの程度匿名性が喪失するかを評価する方法として、情報エントロピーを用いて統計的に評価する方法がある。(非特許文献1、非特許文献2または特許文献1参照)。
本方法は、匿名にしたいユーザ(ユーザは、1人でなくともよく、“女性研究者”といった複数ユーザの集合でもよい)の属性、属性値を基準に、例えば属性:性別、属性値:女性を開示すると、もともとあるユーザ集合がどのように分類され、匿名にしたいユーザがどの程度絞り込まれたかという量を計算する方法である。
本方法は、ユーザがあらかじめ登録したプライバシー情報、およびその組み合わせを元に匿名性の喪失の程度を定量的に計算する。よって、ユーザがDBに登録した属性と属性値そのもの(例えば、「時間:5:00PM」)、あるいはそれらを組み合わせること(例えば、「性別:女性」かつ「職業:研究者」かつ「居場所:居室」など)が、名前やIDと同じくらいその集団の中で個人を識別しやすい情報であった場合、匿名性確保の観点からはその属性情報を開示することができない。このため、プロバイダはその情報を利用したサービスをユーザに提供することができないため、ビジネスチャンスを狭めてしまうことになる。逆にユーザも、情報の登録の仕方によって、利用できないサービスがでてくる。
T.M.Mitchell、"Machine Lerning、"WCB McGraw−Hill、1997. 今田美幸、山口、太田、高杉、小柳、"ユビキタスネットワーキング環境におけるプライバシー保護手法LooM"電子情報通信学会論文誌、Vol.J88B、No.3、pp.563−573、2005.3. 特願2004−042829号公報
T.M.Mitchell、"Machine Lerning、"WCB McGraw−Hill、1997. 今田美幸、山口、太田、高杉、小柳、"ユビキタスネットワーキング環境におけるプライバシー保護手法LooM"電子情報通信学会論文誌、Vol.J88B、No.3、pp.563−573、2005.3.
本発明は、このような事情に鑑みてなされたもので、その目的は、ユーザが登録した情報が、ユーザIDや名前と同じくらい個人を識別してしまう情報であっても、他の情報に置き換えることで、ユーザやプロバイダへ情報を提供することが可能となるデータ開示方法およびデータ開示装置を提供することにある。
この発明は上述した課題を解決するためになされたもので、請求項1に記載の発明は、プライバシー情報を含むデータを管理するデータ開示装置におけるデータ開示方法において、前記データ管理装置は、1つ以上の属性から構成されるデータを1つ以上保持し、前記データの特定の属性を開示する場合の匿名性を計算し、前記計算した匿名性が所望する匿名性を有しない場合には、前記特定の属性のデータの粒度を変更し、所望の閾値以上の匿名性を有するようにして前記属性のデータを開示する、ことを特徴とするデータ開示方法。
請求項2に記載の発明は、請求項1記載のデータ開示方法において、データ開示先毎に異なる閾値を保持し、データ開示先毎に、前記保持した閾値に基づく粒度でデータを開示すること、を特徴とするデータ開示方法。
請求項3に記載の発明は、請求項1または請求項2に記載のデータ開示方法において、前記保持しているデータの個数が所定の数だけ変化した場合に、所望の閾値以上の秘匿パラメータが得られる属性の粒度を再変更し、既に開示しているデータの中で、前記粒度の再変更により、細かい粒度で属性を開示できる場合には、前記再変更後の粒度でデータを開示する、ことを特徴とするデータ開示方法。
請求項4に記載の発明は、プライバシー情報を含むデータを管理するデータ開示装置において、1つ以上の属性から構成されるデータを1つ以上保持する保持手段と、前記データの特定の属性を開示する場合の匿名性を計算する匿名性計算手段と、前記計算した匿名性が所望する匿名性を有しない場合には、前記特定の属性のデータの粒度を変更し、所望の閾値以上の匿名性を有するようにして前記属性のデータを開示する粒度変更開示手段と、を有することを特徴とするデータ開示装置。
請求項5に記載の発明は、請求項4記載のデータ開示装置において、データ開示先毎に異なる閾値を保持するデータ開示先閾値保持手段と、データ開示先毎に、前記保持した閾値に基づく粒度でデータを開示するデータ開示手段と、を有することを特徴とするデータ開示装置。
請求項6に記載の発明は、請求項4または請求項5に記載のデータ開示装置において、前記保持しているデータの個数が所定の数だけ変化を検出するデータ個数検出手段と、前記データ個数検出手段が、データの個数が所定の数だけ変化を検出した場合に、所望の閾値以上の秘匿パラメータが得られる属性の粒度を再変更する粒度再変更手段と、既に開示しているデータの中で、前記粒度の再変更により、細かい粒度で属性を開示できるかを判定する粒度開示判定手段と、前記粒度開示判定手段が、細かい粒度で属性を開示できると判定した場合には、前記再変更後の粒度でデータを開示する粒度再変更後開示手段と、を有することを特徴とするデータ開示装置。
請求項1または4の発明によれば、個人情報を保持し、プロバイダへ個人情報を開示する個人情報管理運用サーバにおいて、個人情報の属性値の記述粒度が細かすぎるために、匿名性確保が困難であり、開示できなかった属性と属性値について、その属性値の記述粒度を粗くすることにより、匿名性確保の観点から開示できなかった属性値を開示することができるという効果を奏する。
また、プロバイダへ開示される個人情報が増え、その情報を利用するプロバイダや、プロバイダを見る一般ユーザも、多くの情報を得ることが可能となる。
また、プロバイダへ開示される個人情報が増え、その情報を利用するプロバイダや、プロバイダを見る一般ユーザも、多くの情報を得ることが可能となる。
また、請求項2または5の発明によれば、個人情報を提供するプロバイダ毎に、属性値の記述粒度を変えて提供することが可能となる。これにより、登録された個人情報がプロバイダに応じた匿名性を確保しつつ開示されることが可能となる。
また、請求項3または6の発明によれば、登録される個人情報の増大により、開示できる情報が変化した場合、プロバイダに開示が変化したことを通知することにより、プロバイダおよび一般ユーザが、最新の個人情報を得ることが可能となる。
まず、発明のポイントについて簡単に説明を行う。本発明では、上記した従来の問題点を解決するために、サービスを受けるのに必要な属性の属性値の記述粒度を、単語の上位(粗い)/下位(詳細)関係を分類したシソーラスを使って変更する属性値記述粒度変更手段と匿名性の喪失具合を計算する匿名性計算手段を用い、ユーザが登録した属性値の記述粒度が細かいために匿名性確保ができず、ブロバイダの提供するサービスを受けることができない場合は、あらかじめシステムで定めた匿名性を確保できる範囲で、登録した属性、属性値の記述粒度をあげていく。
前記のように行うことにより、属性値の記述粒度が細かすぎるために、匿名性確保が困難であった属性、属性値において、属性値の記述粒度を粗くすることで、その属性値に該当するユーザの数を増やすことができ(ユーザ集合の分類をラフにできる)、属性を開示したとしても、システムで定めた匿名性を確保できるようになり、サービスを受けることができるようになる。
第一の実施の形態においては、ユーザが目撃した事件や事故の情報を公開するサービスを例に述べる。図2に、本発明の第一の実施の形態による個人情報管理運用サーバ10の構成を示す。個人情報管理運用サーバ10には、ユーザの個人情報を格納するデータベース(DB)21、ユーザ端末1やセンサ3や無線タグ4などから採取した個人情報をDB21へ書き込みまた削除を行うDB管理手段22、私事性情報の開示により失われる匿名性を定量的に計算する匿名性計算手段23、あらかじめシステム管理者が定める匿名性閾値により開示の可否を決定する匿名性閾値管理手段24、プロバイダ端末2がこの事件事故情報開示サービスの中で開示したい属性を登録するプロバイダ開示要求属性管理手段25、属性、属性値の記述粒度を粗くする記述粒度変更手段26、記述粒度をどのように粗く変更するかの方法を記載した粒度変更DB27からなる。
ユーザは、自身が目撃した事件や事故の情報についてDB21に登録する。この目撃情報は、登録したユーザが実際に見た情報のみ記録するものとする。ユーザが目撃した情報は、その場にユーザが居たという情報でもあるので、ユーザのプライバシー情報でもある。よって、情報を公開する際は、登録したユーザが誰であるかを匿名にする必要がある。
その一方で、事件や事故に関する情報を共有し、犯罪防止に役立てなければならず、プロバイダとしてはできれば多くの情報を公開したい。しかし、もし、公開した目撃場所や時間に、登録したユーザが一人しかいなかった場合、誰がこの情報を登録したかが特定されてしまう危険性がある。
そこで、目撃情報を公開する前に、公開することによって登録したユーザの匿名性がどの程度失われるかについて統計的に計算し、あらかじめ定めた匿名性を確保できればその情報を開示するという方法を用いる(非特許文献2参照)。この方法は、同じ属性値ならば、それが誰かを識別することが困難だが、属性値が異なると、それが誰かを識別することが可能となり、匿名性が確保できなくなるという考えに基づいている。
図2のDB21に登録されている一例としてのテーブルT1では、“目撃時間“を開示しなければ、”通報者ID“が「12」と「34」の人の区別ができない。よって、もし、目撃時間の情報を開示するのであれば、どのような粒度で開示すれば、匿名性を確保できるかを、粒度が細かいところから粗いところまで匿名性の確保の程度を見ながら変更し、匿名性を確保できる粒度で目撃時間の情報を開示する。
次に、第一の実施の形態で行われるデータ開示方法の動作を示す。まず、事件や事故を目撃したユーザは、その情報を他のユーザと共有するために、DB管理手段22を介してDB21に登録する。登録する属性は、事件事故種別、目撃時刻、目撃した日、場所、通報したユーザのID(通報者ID)とする。まず、通報者ID=12の人が通報した情報について、どこまで属性および属性値を開示したら通報者ID=12が特定されやすくなるかについて、匿名性計算手段23で計算し、匿名性閾値管理手段24にあらかじめ登録してある閾値より高い値ならばシステムで定めた匿名性が確保できていると見なす。
匿名性計算手段24における計算方法は、情報エントロピー(非特許文献1を参照)や情報エントロピーをベースにした値(非特許文献2や特許文献1を参照)などを用いる。
ここで、簡単に情報エントロピーや情報エントロピーをベースにした値を用いた匿名性を定量的に計算する方法について説明する。
情報エントロピーとは、決定木学習の分類アルゴリズムにおいて、どの属性から分類すると、目的とする情報を効率よく分類できるかを計算する際に利用する値である。情報エントロピーは、属性値の分布が均一、例えば、性別という属性の場合、属性値の男性と女性が同じ人数である場合、最も不確定性が高くなり、情報エントロピー値も高い。
例えば図6に、男性と女性のように属性値が2値しかとらない場合の情報エントロピーの計算方法と、その変化のグラフを示す。男性と女性の比率(確率)をそれぞれP+とP−とすると、情報エントロピーH0は式1により計算される。またP++P−=1より、男性の確率P+をP、女性の確率P−を1−Pとして、男性の確率Pに対する情報エントロピーH0のグラフを描くと、図6のグラフのようになる。
図6のグラフから、男性と女性が同じ割合である場合(P=0.5の場合)が、情報エントロピーH0が最大となる。本実施の形態においては、このような状態の時を最も匿名性が高いという。
逆に、男性しかいない、または女性しかいない場合、”性別”という情報を与えたとしても、はじめから男性または女性を特定することは可能なので、確率P=0または1となるため、エントロピーH0=0となり、不確定度はない。つまり、性別は明確であるということになる。このとき、匿名性はないという。
また、上記においては、属性値が男性か女性かという2値の値を取る場合のみを説明したが、属性値が複数の値をとる場合には、図6の式2により情報エントロピーH0は計算される。
情報エントロピーとは、決定木学習の分類アルゴリズムにおいて、どの属性から分類すると、目的とする情報を効率よく分類できるかを計算する際に利用する値である。情報エントロピーは、属性値の分布が均一、例えば、性別という属性の場合、属性値の男性と女性が同じ人数である場合、最も不確定性が高くなり、情報エントロピー値も高い。
例えば図6に、男性と女性のように属性値が2値しかとらない場合の情報エントロピーの計算方法と、その変化のグラフを示す。男性と女性の比率(確率)をそれぞれP+とP−とすると、情報エントロピーH0は式1により計算される。またP++P−=1より、男性の確率P+をP、女性の確率P−を1−Pとして、男性の確率Pに対する情報エントロピーH0のグラフを描くと、図6のグラフのようになる。
図6のグラフから、男性と女性が同じ割合である場合(P=0.5の場合)が、情報エントロピーH0が最大となる。本実施の形態においては、このような状態の時を最も匿名性が高いという。
逆に、男性しかいない、または女性しかいない場合、”性別”という情報を与えたとしても、はじめから男性または女性を特定することは可能なので、確率P=0または1となるため、エントロピーH0=0となり、不確定度はない。つまり、性別は明確であるということになる。このとき、匿名性はないという。
また、上記においては、属性値が男性か女性かという2値の値を取る場合のみを説明したが、属性値が複数の値をとる場合には、図6の式2により情報エントロピーH0は計算される。
情報エントロピーH0とは上記のようなものであるが、匿名性を判定できるようにするために、情報エントロピー値をデータベースの規模や属性値分布に非依存な値に改良し、定量的にするために、エントロピー値を正規化したDFを用いる。これが先の情報エントロピーをベースにした値である。
匿名性としてエントロピー値を正規化したDFを用いることにより、その値が0.0から1.0の値となる。また、閾値を予め0.5と設定することにより、それ以上の匿名性があるかどうかの判定が容易に可能となる。
またエントロピー値を正規化したDFを用いることにより、その値が0.0から1.0の値となり、DFは匿名性を表すパラメータとして用いることも可能である。
匿名性としてエントロピー値を正規化したDFを用いることにより、その値が0.0から1.0の値となる。また、閾値を予め0.5と設定することにより、それ以上の匿名性があるかどうかの判定が容易に可能となる。
またエントロピー値を正規化したDFを用いることにより、その値が0.0から1.0の値となり、DFは匿名性を表すパラメータとして用いることも可能である。
また図7と図8を用いて、複数の属性を組み合わせた場合の、正規化したエントロピー値DFについて説明する。図7のテーブルには、属性1から6が登録されている。ここで秘匿したいターゲット属性は属性6「ユーザID」である、とする。
あるユーザAliceを秘匿する場合を例に、DFの計算方法を示す。AliceのユーザIDは、Alice11とする。
H0は、Alice11であれば正事例、Alice11でなければ負事例として、式1により計算を行う。
ここでは、開示対象の属性Fを属性1「性別」と属性4「空腹」とした場合に得られるエントロピーHFを考える。Fは、性別と空腹なので、属性値の集合は、{女∧yes、女∧no、男∧yes、男∧no}となる。ここで、Alice11と同じ属性値を正事例、異なる属性値を負事例とすると、式3は、HF=−1/6log2(1/6)−5/6log2(5/6)となる。
正規化したエントロピー値DFは、具体的には、図8に示すように、全体のターゲット属性(Alice11か否か)に対するエントロピーH0と、ある属性(例えば、属性1と属性4)を開示した場合のターゲット属性のエントロピーHF(この場合、H14)の比で表し、図8の式4に示すようにDF=HF/H0(この場合、D14=H14/H0)となる。
あるユーザAliceを秘匿する場合を例に、DFの計算方法を示す。AliceのユーザIDは、Alice11とする。
H0は、Alice11であれば正事例、Alice11でなければ負事例として、式1により計算を行う。
ここでは、開示対象の属性Fを属性1「性別」と属性4「空腹」とした場合に得られるエントロピーHFを考える。Fは、性別と空腹なので、属性値の集合は、{女∧yes、女∧no、男∧yes、男∧no}となる。ここで、Alice11と同じ属性値を正事例、異なる属性値を負事例とすると、式3は、HF=−1/6log2(1/6)−5/6log2(5/6)となる。
正規化したエントロピー値DFは、具体的には、図8に示すように、全体のターゲット属性(Alice11か否か)に対するエントロピーH0と、ある属性(例えば、属性1と属性4)を開示した場合のターゲット属性のエントロピーHF(この場合、H14)の比で表し、図8の式4に示すようにDF=HF/H0(この場合、D14=H14/H0)となる。
属性を開示できるか否かの判断は、匿名性計算手段23と匿名性閾値管理手段24を用いて行う。匿名性計算手段23は、該属性に対して上記のDFの計算を行う。次に、計算結果を匿名性閾値管理手段24で管理している閾値と照合し、計算結果が閾値以上であれば、該属性は開示可能と判断し、閾値以下なら開示不可能と判断する。
本実施形態では、ユーザが目撃した事件や事故の情報を公開するサービスを例にしている。ユーザが通報した情報は、図2のT1であったとする。T1において、開示可能な属性は、”事件事故種別”、”目撃した日”、”場所”であり、開示不可能な属性は、”目撃時刻”であったとする。もし、時刻を開示すると、目撃時刻3:00PMの通報者が通報者ID=12は1人だけになってしまう。このため、通報者ID=12のユーザの匿名性を保障できない。
本実施形態では、ユーザが目撃した事件や事故の情報を公開するサービスを例にしている。ユーザが通報した情報は、図2のT1であったとする。T1において、開示可能な属性は、”事件事故種別”、”目撃した日”、”場所”であり、開示不可能な属性は、”目撃時刻”であったとする。もし、時刻を開示すると、目撃時刻3:00PMの通報者が通報者ID=12は1人だけになってしまう。このため、通報者ID=12のユーザの匿名性を保障できない。
目撃時刻を開示するためには、通報者ID=12のユーザが一意に特定されない粒度に属性値の記述を変更すればよい。例えば、図3のテーブルT3に示すように目撃した時間ではなく、目撃した時間帯に変更する。第一の実施の形態においては、3時間毎の時間帯にすると、目撃時間帯が3:01PM〜6:00PMの中に通報者ID=12のユーザが、通報者ID=34のユーザと共に入ることになるので、目撃時間帯を3:01PM〜6:00PMとして開示したとしても、通報者ID=12のユーザを一意に特定されることはなくなる。
上記のように元の属性値では記述粒度が細か過ぎるためにシステムであらかじめ定めた属性値を開示できないが、プロバイダ開示要求属性管理手段25により当該属性に関する情報をプロバイダ端末2から開示するよう求められている場合、記述粒度変更手段26を用いて、属性と属性値の記述粒度を変更して、記述粒度を変更した属性と属性値を開示する。
粒度の変更方法は、あらかじめサーバ管理者により粒度変更DB27へ登録してある変更ルールに基づいて、粒度を粗くしていく。登録される変更ルールは、アプリケーション毎に既存のシソーラス用いるか、シソーラスを参照して決める。
粒度変更DB27には、時間や場所などの属性分類毎に記述粒度の粗さをレベル分けし、記述粒度の細かなレベル(ここでは、レベル1)から粗いレベル(ここではレベル2)がある(図2のテーブルT2)。記述粒度変更手段26は、この粒度へ粒度変更DB27に登録されている情報を参考に、記述粒度のレベルが低い方から高い方へと、DB21に登録されている情報を変更する。この際、どのレベルの粒度で属性情報を開示するかは、匿名性計算手段23で匿名性を計算し、閾値と照合することで開示の可否を判断する。
粒度変更DB27には、時間や場所などの属性分類毎に記述粒度の粗さをレベル分けし、記述粒度の細かなレベル(ここでは、レベル1)から粗いレベル(ここではレベル2)がある(図2のテーブルT2)。記述粒度変更手段26は、この粒度へ粒度変更DB27に登録されている情報を参考に、記述粒度のレベルが低い方から高い方へと、DB21に登録されている情報を変更する。この際、どのレベルの粒度で属性情報を開示するかは、匿名性計算手段23で匿名性を計算し、閾値と照合することで開示の可否を判断する。
記述粒度変更手段26は、まず、粗さレベル1に基づいて、目撃時刻を変更する。変更した結果が、図3のDB21の内容であるテーブルT3の目撃時間帯である。変更後は、通報者ID=12の匿名性が確保できたかを匿名性計算手段23で計算する。計算結果が、匿名性閾値管理手段24で管理している閾値より大きければ、粗さレベル1の記述粒度で通報者ID=12の匿名性を確保できるとみなし、開示する属性値は、粗さレベル1の「目撃時間帯」として、プロバイダ端末2に開示する。
計算結果が、閾値以下ならば、粗さレベルを2にして、同様の計算を行う。計算結果が、匿名性閾値管理手段24で管理している閾値より大きければ、粗さレベル2の記述粒度で通報者ID=12の匿名性を確保できるとみなし、開示する属性値は、粗さレベル2の「AM/PM目撃」として、プロバイダ端末2に開示する。
粒度変更DB27に格納してある粗さレベルの全てを試しても、閾値以下になる場合、プロバイダ開示要求属性管理手段25を介して、プロバイダ端末2に開示できない旨を通知する。
以上のように、粒度を変更して情報を開示することにより、匿名性の確保が出来るため、事件事故を目撃した通報者は、その情報を開示することで通報者の匿名性の確保ができるか否かを気にすることなく、目撃情報を登録でき、同時に、プロバイダの要求にあった属性も開示できるという効果を生じる。
次に、第二の実施の形態においては、第一の実施の形態の匿名性閾値管理手段24において、開示した情報の機密保持具合と、開示する相手によって匿名性閾値を変更する。
例えば、図4のように、警察に開示する際は閾値を0.0、PTAや自治体といったある程度社会的に信用の置かれておる機関に対しては閾値を0.5、一般のプロバイダに開示する時は閾値を0.8などといった具合に設定しておく。
これに基づいて、記述粒度変更手段26により、属性の記述粒度を閾値0.0、0.5および0.8のそれぞれにあうように変更し、閾値毎にもっとも多くの情報を開示する。
このようにすることで、それぞれの開示先に応じて異なる匿名性による情報開示が可能になる。
これに基づいて、記述粒度変更手段26により、属性の記述粒度を閾値0.0、0.5および0.8のそれぞれにあうように変更し、閾値毎にもっとも多くの情報を開示する。
このようにすることで、それぞれの開示先に応じて異なる匿名性による情報開示が可能になる。
一例としての第二の実施の形態の運用方法としては、例えば、個人情報管理サーバ10には、警察、PTAまたは自治体などのプロバイダ端末2毎のIDとパスワードが予め登録してあり、IDとパスワードにより警察、PTAまたは自治体が識別されるものとする。また、プロバイダ端末2が、警察の場合は閾値を0.0、PTAや自治体の場合には閾値を0.5、また一般のプロバイダの場合には閾値を0.8として予め保存してあるとする。
次に、個人情報管理サーバ10が、プロバイダ端末2から個人情報の開示の要求を受け付ける時に、同時に、プロバイダ端末2からIDとパスワードを受信するとする。
個人情報管理サーバ10は、受信したIDとパスワードにより、プロバイダ端末2が、警察、PTAまたは自治体のどのプロバイダ端末2であるのかを識別する。また、IDとパスワードが無い場合には、一般のプロバイダ端末2であると識別する。
以上のように識別したプロバイダ端末2に応じて、予め保存されていた閾値を選択し、選択された閾値により、情報の開示を行う。
このようにして、開示先に応じて異なる匿名性による情報の開示が可能になる。
次に、個人情報管理サーバ10が、プロバイダ端末2から個人情報の開示の要求を受け付ける時に、同時に、プロバイダ端末2からIDとパスワードを受信するとする。
個人情報管理サーバ10は、受信したIDとパスワードにより、プロバイダ端末2が、警察、PTAまたは自治体のどのプロバイダ端末2であるのかを識別する。また、IDとパスワードが無い場合には、一般のプロバイダ端末2であると識別する。
以上のように識別したプロバイダ端末2に応じて、予め保存されていた閾値を選択し、選択された閾値により、情報の開示を行う。
このようにして、開示先に応じて異なる匿名性による情報の開示が可能になる。
第三の実施の形態においては、図2の第一の実施の形態における個人情報運用管理サーバ10に、DB21の属性値分布や規模が、あらかじめ定めた値より大きく変更したことを検出するDB変更検出手段51を追加する(図5参照)。
DB変更検出手段51は、DB管理手段22を経由して、DB21へ追加またはDB21から削除されるユーザの人数が、あらかじめ定めた値より大きく変動した場合、匿名性計算手段23を用いて、既に開示しているプライバシー情報の開示粒度が適当であるかを再計算する。
計算の結果、匿名性閾値管理手段24で定めた閾値より大きい場合、粒度変更DB27を用いて、記述粒度を細かくして開示する。逆に、閾値より小さい場合は、第一の実施の形態や第二の実施の形態と同様に、記述粒度を粗くして開示する。
このようにすることで、DB21の変化に追従しながら記述粒度を変更することが可能となる。例えば、個人情報運用管理サーバ10を事件事故開示サービスに適用した場合、事件や事故の直後には登録されている目撃情報が少ない。そのため、匿名性を確保するためには、事件事故の目撃情報を粗い粒度で開示する必要がある。その後、事件や事故を見た他の目撃者が同様の追加情報を登録することにより、DB21の規模が大きくなる。そのため、細い粒度の情報でも匿名性を確保しながら開示できるようになる。
この結果、事件事故開示サービスを受ける人は、事件事故からの目撃情報の登録情報の増加に従い、詳細な情報を得ることができる。また、目撃情報を登録した人の匿名性も、登録された情報の規模に依存せず確保されている。
この結果、事件事故開示サービスを受ける人は、事件事故からの目撃情報の登録情報の増加に従い、詳細な情報を得ることができる。また、目撃情報を登録した人の匿名性も、登録された情報の規模に依存せず確保されている。
一例としての第三の実施の形態の運用方法として、個人情報運用管理運用サーバ10に、予め開示情報が変化した場合に、開示情報を通知すべきプロバイダ端末2が登録されており、開示情報が変化した場合には、登録されているプロバイダ端末2へ開示情報が変化したことを通知するようにする。
通知を受けたプロバイダ端末2は、通知より、個人情報運用管理運用サーバ10へ再度情報の開示要求を行い、個人情報運用管理運用サーバ10より更新された開示情報を受け取り、受け取った開示情報によりプロバイダ端末2の情報を更新する。
一般のユーザはユーザ端末1より、プロバイダ端末2へアクセスすることにより、最新の情報を得ることが可能となる。
通知を受けたプロバイダ端末2は、通知より、個人情報運用管理運用サーバ10へ再度情報の開示要求を行い、個人情報運用管理運用サーバ10より更新された開示情報を受け取り、受け取った開示情報によりプロバイダ端末2の情報を更新する。
一般のユーザはユーザ端末1より、プロバイダ端末2へアクセスすることにより、最新の情報を得ることが可能となる。
第一から第三の実施の形態を用いて本発明の説明を行ってきたが、第一から第三の実施の形態は、それぞれ組み合わせて用いることも可能である。
また、本発明の説明として、第一から第三の実施の形態において、図2のテーブルT1のように、ユーザ自身にユーザのユーザ端末1によって登録されてきたデータを扱ってきたが、このようなデータのみに限定されるものではなく、例えばセンサ3、無線タグ4やカメラ5などから収集される情報をDB21に自動的に登録するようにしておき、自動的に登録されたデータについても、本発明による方法は適応可能である。
以上、この発明の実施の形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
本発明によるデータ開示方法は、匿名性が必要な情報を登録し配信を行うサービスに用いて好適である。
1 ユーザ端末
2 プロバイダ端末
3 センサ
4 無線タグ
5 カメラ
10 個人情報管理運用サーバ
21 DB
22 DB管理手段
23 匿名性計算手段
24 匿名性閾値管理手段
25 プロバイダ開示要求属性管理手段
26 記述粒度変更手段
27 粒度変更DB
51 DB変更検出手段
2 プロバイダ端末
3 センサ
4 無線タグ
5 カメラ
10 個人情報管理運用サーバ
21 DB
22 DB管理手段
23 匿名性計算手段
24 匿名性閾値管理手段
25 プロバイダ開示要求属性管理手段
26 記述粒度変更手段
27 粒度変更DB
51 DB変更検出手段
Claims (6)
- プライバシー情報を含むデータを管理するデータ開示装置におけるデータ開示方法において、
前記データ管理装置は、1つ以上の属性から構成されるデータを1つ以上保持し、
前記データの特定の属性を開示する場合の匿名性を計算し、
前記計算した匿名性が所望する匿名性を有しない場合には、
前記特定の属性のデータの粒度を変更し、所望の閾値以上の匿名性を有するようにして前記属性のデータを開示する、
ことを特徴とするデータ開示方法。 - 請求項1記載のデータ開示方法において、
データ開示先毎に異なる閾値を保持し、
データ開示先毎に、前記保持した閾値に基づく粒度でデータを開示すること、
を特徴とするデータ開示方法。 - 請求項1または請求項2に記載のデータ開示方法において、
前記保持しているデータの個数が所定の数だけ変化した場合に、
所望の閾値以上の秘匿パラメータが得られる属性の粒度を再変更し、
既に開示しているデータの中で、前記粒度の再変更により、細かい粒度で属性を開示できる場合には、
前記再変更後の粒度でデータを開示する、
ことを特徴とするデータ開示方法。 - プライバシー情報を含むデータを管理するデータ開示装置において、
1つ以上の属性から構成されるデータを1つ以上保持する保持手段と、
前記データの特定の属性を開示する場合の匿名性を計算する匿名性計算手段と、
前記計算した匿名性が所望する匿名性を有しない場合には、前記特定の属性のデータの粒度を変更し、所望の閾値以上の匿名性を有するようにして前記属性のデータを開示する粒度変更開示手段と、
を有することを特徴とするデータ開示装置。 - 請求項4記載のデータ開示装置において、
データ開示先毎に異なる閾値を保持するデータ開示先閾値保持手段と、
データ開示先毎に、前記保持した閾値に基づく粒度でデータを開示するデータ開示手段と、
を有することを特徴とするデータ開示装置。 - 請求項4または請求項5に記載のデータ開示装置において、
前記保持しているデータの個数が所定の数だけ変化を検出するデータ個数検出手段と、
前記データ個数検出手段が、データの個数が所定の数だけ変化を検出した場合に、所望の閾値以上の秘匿パラメータが得られる属性の粒度を再変更する粒度再変更手段と、
既に開示しているデータの中で、前記粒度の再変更により、細かい粒度で属性を開示できるかを判定する粒度開示判定手段と、
前記粒度開示判定手段が、細かい粒度で属性を開示できると判定した場合には、前記再変更後の粒度でデータを開示する粒度再変更後開示手段と、
を有することを特徴とするデータ開示装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006036776A JP2007219636A (ja) | 2006-02-14 | 2006-02-14 | データ開示方法およびデータ開示装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006036776A JP2007219636A (ja) | 2006-02-14 | 2006-02-14 | データ開示方法およびデータ開示装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007219636A true JP2007219636A (ja) | 2007-08-30 |
Family
ID=38496901
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006036776A Pending JP2007219636A (ja) | 2006-02-14 | 2006-02-14 | データ開示方法およびデータ開示装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007219636A (ja) |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010128995A (ja) * | 2008-11-28 | 2010-06-10 | Nec Corp | 情報管理装置、そのデータ処理方法、情報管理システム、およびコンピュータプログラム |
JP2010182053A (ja) * | 2009-02-05 | 2010-08-19 | Giken Shoji International Co Ltd | 秘匿集計システム |
WO2011043418A1 (ja) | 2009-10-09 | 2011-04-14 | 日本電気株式会社 | 情報管理装置、そのデータ処理方法、およびコンピュータプログラム |
JP2011180839A (ja) * | 2010-03-01 | 2011-09-15 | Kddi Corp | プライバシー情報評価サーバ、データ管理方法およびプログラム |
US8209345B2 (en) | 2010-02-23 | 2012-06-26 | Fujitsu Limited | User information management device for content provision, processing method, and computer-readable non transitory storage medium storing program |
JP2012137851A (ja) * | 2010-12-24 | 2012-07-19 | Fujitsu Ltd | 情報処理装置、サービス仲介方法及びプログラム |
JP2012150651A (ja) * | 2011-01-19 | 2012-08-09 | Kddi R & D Laboratories Inc | 重要度判定装置、重要度判定方法およびプログラム |
JP2012159997A (ja) * | 2011-01-31 | 2012-08-23 | Internatl Business Mach Corp <Ibm> | 移動物に関連するトレース・データの開示を制御する方法、並びにそのコンピュータ及びコンピュータ・プログラム |
JP2012208683A (ja) * | 2011-03-29 | 2012-10-25 | Nec Personal Computers Ltd | 情報処理端末、情報処理システム、及び情報処理方法 |
WO2013027782A1 (ja) * | 2011-08-25 | 2013-02-28 | 日本電気株式会社 | 匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体 |
WO2013027785A1 (ja) | 2011-08-25 | 2013-02-28 | 日本電気株式会社 | 匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体 |
WO2013027780A1 (ja) * | 2011-08-22 | 2013-02-28 | 日本電気株式会社 | 匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体 |
WO2013031997A1 (ja) * | 2011-09-02 | 2013-03-07 | 日本電気株式会社 | 匿名化装置、及び、匿名化方法 |
JP2013080525A (ja) * | 2013-02-07 | 2013-05-02 | Giken Shoji International Co Ltd | 秘匿集計システムにおける処理プログラム |
JP2013525877A (ja) * | 2010-04-16 | 2013-06-20 | ノキア シーメンス ネットワークス オサケユキチュア | 仮想アイデンティティ |
JP2014016675A (ja) * | 2012-07-05 | 2014-01-30 | Fujitsu Ltd | 制御プログラム、情報処理装置およびシステム |
WO2014061275A1 (ja) * | 2012-10-18 | 2014-04-24 | 日本電気株式会社 | 情報処理装置及び情報処理方法 |
WO2014125557A1 (ja) * | 2013-02-12 | 2014-08-21 | 株式会社日立製作所 | 計算機、データアクセスの管理方法及び記録媒体 |
US8938433B2 (en) | 2009-07-31 | 2015-01-20 | Nec Corporation | Information management apparatus, information management method, and information control program |
JP5979132B2 (ja) * | 2011-03-24 | 2016-08-24 | 日本電気株式会社 | 情報監視装置及び情報監視方法 |
JP6083101B1 (ja) * | 2016-08-03 | 2017-02-22 | AI inside株式会社 | 情報処理装置、方法およびプログラム |
JP2017151942A (ja) * | 2016-02-24 | 2017-08-31 | 株式会社Kddi総合研究所 | 通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム |
US10346639B2 (en) | 2014-02-13 | 2019-07-09 | Kabushiki Kaisha Toshiba | Anonymization identifier computing system |
-
2006
- 2006-02-14 JP JP2006036776A patent/JP2007219636A/ja active Pending
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010128995A (ja) * | 2008-11-28 | 2010-06-10 | Nec Corp | 情報管理装置、そのデータ処理方法、情報管理システム、およびコンピュータプログラム |
JP2010182053A (ja) * | 2009-02-05 | 2010-08-19 | Giken Shoji International Co Ltd | 秘匿集計システム |
US8938433B2 (en) | 2009-07-31 | 2015-01-20 | Nec Corporation | Information management apparatus, information management method, and information control program |
WO2011043418A1 (ja) | 2009-10-09 | 2011-04-14 | 日本電気株式会社 | 情報管理装置、そのデータ処理方法、およびコンピュータプログラム |
US8849861B2 (en) | 2009-10-09 | 2014-09-30 | Nec Corporation | Information management apparatus, data processing method and computer program |
US8566357B2 (en) | 2009-10-09 | 2013-10-22 | Nec Corporation | Information management apparatus, data processing method and computer program |
US8209345B2 (en) | 2010-02-23 | 2012-06-26 | Fujitsu Limited | User information management device for content provision, processing method, and computer-readable non transitory storage medium storing program |
JP2011180839A (ja) * | 2010-03-01 | 2011-09-15 | Kddi Corp | プライバシー情報評価サーバ、データ管理方法およびプログラム |
JP2013525877A (ja) * | 2010-04-16 | 2013-06-20 | ノキア シーメンス ネットワークス オサケユキチュア | 仮想アイデンティティ |
JP2012137851A (ja) * | 2010-12-24 | 2012-07-19 | Fujitsu Ltd | 情報処理装置、サービス仲介方法及びプログラム |
JP2012150651A (ja) * | 2011-01-19 | 2012-08-09 | Kddi R & D Laboratories Inc | 重要度判定装置、重要度判定方法およびプログラム |
JP2012159997A (ja) * | 2011-01-31 | 2012-08-23 | Internatl Business Mach Corp <Ibm> | 移動物に関連するトレース・データの開示を制御する方法、並びにそのコンピュータ及びコンピュータ・プログラム |
US8935268B2 (en) | 2011-01-31 | 2015-01-13 | International Business Machines Corporation | Controlling disclosure of trace data related to moving object |
JP5979132B2 (ja) * | 2011-03-24 | 2016-08-24 | 日本電気株式会社 | 情報監視装置及び情報監視方法 |
JP2012208683A (ja) * | 2011-03-29 | 2012-10-25 | Nec Personal Computers Ltd | 情報処理端末、情報処理システム、及び情報処理方法 |
WO2013027780A1 (ja) * | 2011-08-22 | 2013-02-28 | 日本電気株式会社 | 匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体 |
WO2013027785A1 (ja) | 2011-08-25 | 2013-02-28 | 日本電気株式会社 | 匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体 |
WO2013027782A1 (ja) * | 2011-08-25 | 2013-02-28 | 日本電気株式会社 | 匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体 |
JPWO2013027785A1 (ja) * | 2011-08-25 | 2015-03-19 | 日本電気株式会社 | 匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体 |
JPWO2013031997A1 (ja) * | 2011-09-02 | 2015-03-23 | 日本電気株式会社 | 匿名化装置、及び、匿名化方法 |
WO2013031997A1 (ja) * | 2011-09-02 | 2013-03-07 | 日本電気株式会社 | 匿名化装置、及び、匿名化方法 |
US9250806B2 (en) | 2012-07-05 | 2016-02-02 | Fujitsu Limited | Computer-readable recording medium, information processing device, and system |
JP2014016675A (ja) * | 2012-07-05 | 2014-01-30 | Fujitsu Ltd | 制御プログラム、情報処理装置およびシステム |
WO2014061275A1 (ja) * | 2012-10-18 | 2014-04-24 | 日本電気株式会社 | 情報処理装置及び情報処理方法 |
US9607174B2 (en) | 2012-10-18 | 2017-03-28 | Nec Corporation | Information processing device, information processing method and storage medium |
JP2013080525A (ja) * | 2013-02-07 | 2013-05-02 | Giken Shoji International Co Ltd | 秘匿集計システムにおける処理プログラム |
WO2014125557A1 (ja) * | 2013-02-12 | 2014-08-21 | 株式会社日立製作所 | 計算機、データアクセスの管理方法及び記録媒体 |
US10346639B2 (en) | 2014-02-13 | 2019-07-09 | Kabushiki Kaisha Toshiba | Anonymization identifier computing system |
JP2017151942A (ja) * | 2016-02-24 | 2017-08-31 | 株式会社Kddi総合研究所 | 通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム |
JP6083101B1 (ja) * | 2016-08-03 | 2017-02-22 | AI inside株式会社 | 情報処理装置、方法およびプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2007219636A (ja) | データ開示方法およびデータ開示装置 | |
US10673966B2 (en) | System and method for continuously monitoring and searching social networking media | |
US10783275B1 (en) | Electronic alerts for confidential content disclosures | |
US8713638B2 (en) | Managing personal information on a network | |
Whaiduzzaman et al. | A privacy-preserving mobile and fog computing framework to trace and prevent COVID-19 community transmission | |
Adam et al. | Spatial computing and social media in the context of disaster management | |
US9071367B2 (en) | Emergency including crime broadcast in a neighborhood social network | |
EP2573986B1 (en) | Methods and systems for increasing the security of electronic messages | |
US9881179B2 (en) | User-generated content permissions status analysis system and method | |
Kagal et al. | Access control is an inadequate framework for privacy protection | |
US8887289B1 (en) | Systems and methods for monitoring information shared via communication services | |
US20080141138A1 (en) | Apparatus and methods for providing a person's status | |
JP6145000B2 (ja) | 災害情報提供システム | |
Borra | COVID-19 apps: Privacy and security concerns | |
US9401886B2 (en) | Preventing personal information from being posted to an internet | |
Bentotahewa et al. | Solutions to Big Data privacy and security challenges associated with COVID-19 surveillance systems | |
US10713386B2 (en) | Method and system for protecting user privacy | |
US9491580B1 (en) | Systems and methods for electronically verifying user location | |
Spears et al. | Privacy risk in contact tracing systems | |
Shelton | A Reasonable Expectation of Privacy Online: Do Not Track Legislation | |
Conley | Non-content is not non-sensitive: Moving beyond the content/non-content distinction | |
US10019765B2 (en) | Determining and providing feedback about communications from an application on a social networking platform | |
JP2007219635A (ja) | 情報秘匿方法および個人情報管理運用装置 | |
US20130339432A1 (en) | Monitoring connection requests in social networks | |
Boyer et al. | Privacy sensitive location information systems in smart buildings |