JP2009181207A - Information management device, program and information management method - Google Patents

Information management device, program and information management method Download PDF

Info

Publication number
JP2009181207A
JP2009181207A JP2008017995A JP2008017995A JP2009181207A JP 2009181207 A JP2009181207 A JP 2009181207A JP 2008017995 A JP2008017995 A JP 2008017995A JP 2008017995 A JP2008017995 A JP 2008017995A JP 2009181207 A JP2009181207 A JP 2009181207A
Authority
JP
Japan
Prior art keywords
information
personal information
stored
safety
variable value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008017995A
Other languages
Japanese (ja)
Other versions
JP4956455B2 (en
Inventor
Yoshinori Sato
嘉則 佐藤
Akihiko Kawasaki
明彦 川崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2008017995A priority Critical patent/JP4956455B2/en
Publication of JP2009181207A publication Critical patent/JP2009181207A/en
Application granted granted Critical
Publication of JP4956455B2 publication Critical patent/JP4956455B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide technology for specifying safe information (a variable value) efficiently avoiding identification risk when a change occurs in a database storing personal information. <P>SOLUTION: When updating a personal information table stored in a personal information storage area 112, a safe variable value group extraction part 122 specifies a record having an updated variable value from the personal information table, and decides whether or not the updated variable value is the safe variable value avoiding the identification risk in the specified record. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、個人情報を安全に管理する技術に関する。   The present invention relates to a technique for safely managing personal information.

プライバシ保護への社会的要請が高まっている昨今、個人情報を扱う企業の情報システムにおいてはプライバシへの配慮が不可欠となってきた。この点、個人情報を第三者に提供する場合には、個人情報を匿名化することが望ましい。   In recent years, when social demands for privacy protection are increasing, it has become indispensable to consider privacy in the information systems of companies that handle personal information. In this regard, it is desirable to anonymize personal information when providing personal information to a third party.

個人情報匿名化の典型的な手段は、当該個人情報から個人を識別可能な情報を取り除くこと、あるいは識別可能な情報を曖昧にすることである。前者の例としては氏名や住所を取り除く処理が、後者の例としては住所を都道府県単位に変換する、年齢を10歳刻みに変換する等の処理が該当する。   A typical means of anonymizing personal information is to remove information that can identify an individual from the personal information or to make identifiable information ambiguous. An example of the former is a process of removing a name and an address, and an example of the latter is a process of converting an address into prefecture units, converting an age into increments of 10 years, and the like.

但し、このような匿名化処理を行っても、当該個人に関して他に入手できる情報と照合することにより、匿名化された個人情報から特定個人を識別できる場合がありえる。すなわち、例え正確な名前や住所が開示されていなくとも、匿名個人情報を構成する性別、年令等の変数(項目)の組み合わせにより個人を識別できる可能性がある。そのため個人情報の匿名化に際しては、このような識別リスクの観点から安全性を考慮することが望ましい。   However, even if such anonymization processing is performed, it may be possible to identify a specific individual from the anonymized personal information by collating with other information that can be obtained about the individual. That is, even if an accurate name or address is not disclosed, there is a possibility that an individual can be identified by a combination of variables (items) such as sex and age constituting anonymous personal information. Therefore, when anonymizing personal information, it is desirable to consider safety from the viewpoint of such identification risk.

非特許文献1には、1人分の個人情報が複数の項目からなる1件のレコードデータとして表現されるレコード集合を対象として、レコードのそれぞれが有する、識別リスクが低い変数の組み合わせ(安全変数群)を決定する技術が開示されている。   Non-Patent Document 1 describes a combination of variables with low identification risk (safety variables) in each record for a record set in which one person's personal information is expressed as a single record of multiple items. A technique for determining the group) is disclosed.

佐藤嘉則、川崎明彦、「識別リスクを保証する個人情報匿名化システムの検討」、情報処理学会シンポジウムシリーズ、Vol.2007、No.1、「マルチメディア,分散,協調とモバイル(DICOMO2007)シンポジウム論文集」、pp.1182-1189、2007年6年29日発行Yoshinori Sato, Akihiko Kawasaki, “Examination of Personal Information Anonymization System that Guarantees Identification Risk”, Information Processing Society of Japan Symposium Series, Vol.2007, No.1, “Multimedia, Distributed, Collaboration and Mobile (DICOMO2007) Symposium ”, Pp.1182-1189, issued 29th June 2007

非特許文献1に記載された技術では、あるレコードにおける一組の変数組、すなわち変数値の組が、安全かどうかを判定するために、変数値組が個人情報を構成するレコード集合全体で何件存在するかを数え上げる処理を実行している。   In the technique described in Non-Patent Document 1, in order to determine whether or not a set of variables in a record, that is, a set of variable values, is safe, what is the variable value set in the entire record set constituting personal information? A process is performed to count whether or not there are cases.

そして、非特許文献1に記載の技術では、個人情報が格納されているデータベースが更新されると、匿名化個人情報の識別リスクを保証するために、データベースの更新にあわせて安全変数群の特定処理を全てやり直す必要があり、データベースに格納されているデータ数によっては、演算負荷が非常にかかり不便であった。   In the technique described in Non-Patent Document 1, when a database in which personal information is stored is updated, a safety variable group is specified in conjunction with the database update in order to guarantee the identification risk of anonymized personal information. It is necessary to redo all the processing, and depending on the number of data stored in the database, the calculation load is very heavy and inconvenient.

そこで、本発明は、個人情報を格納したデータベースに変更が生じた場合に、効率的に識別リスクを回避することのできる安全な情報(変数値)を特定することのできる技術を提供することを目的とする。   Accordingly, the present invention provides a technique capable of specifying safe information (variable values) that can efficiently avoid identification risk when a change occurs in a database storing personal information. Objective.

以上の課題を解決するため、本発明は、データベースに変更が生じた場合に、変更された情報に関連する個人情報から安全変数値群を抽出する。   In order to solve the above problems, the present invention extracts a safe variable value group from personal information related to the changed information when the database is changed.

例えば、本発明は、1以上の項目に対応する情報を格納した個人情報を1レコードとする個人情報テーブルと、前記項目毎に、同じ情報が格納されている前記個人情報の数が予め定められた数以上である情報を安全情報として、前記個人情報毎に1レコードに格納した安全情報群テーブルと、を記憶する記憶部と、制御部と、を有する情報管理装置であって、前記制御部は、前記個人情報テーブルの更新が行われた場合に、更新後の情報が格納されている個人情報を特定する処理と、特定された個人情報において、項目毎に、変更後の情報と同じ情報が格納されている数を集計する処理と、集計した数が、前記予め定められた数以上である場合に、変更後の情報を安全情報として、前記安全情報群テーブルに格納する処理と、を行うこと、を特徴とする。   For example, according to the present invention, a personal information table having one record of personal information storing information corresponding to one or more items, and the number of the personal information storing the same information for each item are predetermined. An information management device having a storage unit for storing a safety information group table stored in one record for each piece of personal information as safety information, and a control unit, the control unit Is the same information as the information after the change for each item in the specified personal information and the process of specifying the personal information in which the updated information is stored when the personal information table is updated And a process of storing the changed information as safety information in the safety information group table when the counted number is equal to or greater than the predetermined number. To do, And butterflies.

以上のように、本発明によれば、個人情報を格納したデータベースに変更が生じた場合に、効率的に識別リスクを回避することのできる安全な情報(変数値)を特定することができる。   As described above, according to the present invention, it is possible to specify safe information (variable values) that can efficiently avoid an identification risk when a change occurs in a database storing personal information.

図1は、本発明の第一の実施形態である情報システム100の概略図である。   FIG. 1 is a schematic diagram of an information system 100 according to the first embodiment of the present invention.

図示するように、情報システム100は、個人情報管理装置110と、情報端末140と、を備え、これらは、ネットワーク150を介して、相互に情報の送受信を行うことができるようにされている。   As shown in the figure, the information system 100 includes a personal information management apparatus 110 and an information terminal 140, which can transmit and receive information to and from each other via a network 150.

図2は、個人情報管理装置110の概略図である。   FIG. 2 is a schematic diagram of the personal information management apparatus 110.

図示するように、個人情報管理装置110は、記憶部111と、制御部120と、入力部125と、出力部126と、送受信部127と、を備える。   As illustrated, the personal information management device 110 includes a storage unit 111, a control unit 120, an input unit 125, an output unit 126, and a transmission / reception unit 127.

記憶部111は、個人情報記憶領域112と、安全変数値群更新時個人情報記憶領域113と、安全変数値群抽出パラメータ記憶領域114と、安全変数値群記憶領域115と、更新状況管理情報記憶領域116と、匿名化条件情報記憶領域117と、匿名個人情報記憶領域118と、匿名化実行日時管理情報記憶領域119と、を備える。   The storage unit 111 includes a personal information storage area 112, a safety variable value group update personal information storage area 113, a safety variable value group extraction parameter storage area 114, a safety variable value group storage area 115, and an update status management information storage. An area 116, an anonymization condition information storage area 117, an anonymous personal information storage area 118, and an anonymization execution date and time management information storage area 119 are provided.

個人情報記憶領域112には、情報システム100において管理する個人情報が記憶される。   In the personal information storage area 112, personal information managed by the information system 100 is stored.

例えば、本実施形態においては、図3(個人情報テーブル112aの概略図)に示すような個人情報テーブル112aが個人情報記憶領域112に記憶される。   For example, in this embodiment, a personal information table 112 a as shown in FIG. 3 (schematic diagram of the personal information table 112 a) is stored in the personal information storage area 112.

図示するように、個人情報テーブル112aは、IDフィールド112bと、性別フィールド112cと、年令フィールド112dと、郵便番号フィールド112eと、来店頻度フィールド112fと、来店日フィールド112gと、購入額フィールド112hと、を備え、各レコードに各フィールドで特定される項目に対応する情報を格納することで、レコード毎に各個人の個人情報が格納されるようになっている。   As shown in the figure, the personal information table 112a includes an ID field 112b, a gender field 112c, an age field 112d, a zip code field 112e, a store visit frequency field 112f, a store visit date field 112g, and a purchase amount field 112h. The personal information of each individual is stored for each record by storing information corresponding to the item specified in each field in each record.

IDフィールド112bには、各レコード(各個人)を識別するための識別情報が格納される。ここで、本実施形態においては、個人情報テーブル112aの上から順番に、「1」から連番となるような自然数を各レコードに割り振っているが、このような形態に限定されるわけではない。   The ID field 112b stores identification information for identifying each record (each individual). Here, in this embodiment, a natural number starting from “1” is assigned to each record in order from the top of the personal information table 112a. However, the present invention is not limited to such a form. .

性別フィールド112cには、各個人の性別を特定する情報が格納される。   The gender field 112c stores information for identifying the gender of each individual.

年令フィールド112dには、各個人の年令を特定する情報が格納される。   Information specifying the age of each individual is stored in the age field 112d.

郵便番号フィールド112eには、各個人の住所の郵便番号を特定する情報が格納される。   The zip code field 112e stores information for specifying the zip code of each individual address.

来店頻度フィールド112fには、各個人の来店頻度を特定する情報が格納される。ここで、来店頻度は、特定の期間における特定の店舗の来店回数であってもよく、また、特定の期間における特定の店舗の来店回数から特定の法則で割り出される値であってもよい。   In the store visit frequency field 112f, information for specifying the store visit frequency of each individual is stored. Here, the store visit frequency may be the number of visits to a specific store in a specific period, or may be a value determined by a specific rule from the number of visits to a specific store in a specific period.

来店日フィールド112gには、各個人が最後に特定の店舗に来店した年月日を特定する情報が格納される。   In the store visit date field 112g, information specifying the date on which each individual last visited the store is stored.

購入額欄112hには、各個人が特定の店舗で購入した品物の購入金額を特定する情報が格納される。ここで、購入額は、特定の期間における品物の購入金額の合計であってもよく、また、特定の店舗で最後に購入した品物の購入金額であってもよい。   The purchase price column 112h stores information for specifying the purchase price of the item purchased by each individual at a specific store. Here, the purchase price may be the total purchase price of the goods in a specific period, or may be the purchase price of the goods purchased last in a specific store.

図2に戻り、安全変数値群更新時個人情報記憶領域113には、後述する安全変数値群抽出部112が、安全変数値群を抽出する際に使用した個人情報テーブルが記憶される。   Returning to FIG. 2, in the safety variable value group update personal information storage area 113, a personal information table used when the safety variable value group extraction unit 112 described later extracts the safety variable value group is stored.

なお、安全変数値群更新時個人情報記憶領域113に記憶される個人情報テーブルは、図3に示す個人情報テーブル112aと同様のフィールドを有するが、各レコードに格納される情報は、後述する安全変数値群抽出部112が安全変数値群を抽出する際に格納されていた情報である。   The personal information table stored in the personal information storage area 113 at the time of updating the safety variable value group has the same fields as the personal information table 112a shown in FIG. 3, but the information stored in each record is the safety information described later. This is information stored when the variable value group extraction unit 112 extracts a safe variable value group.

安全変数値群抽出パラメータ記憶領域114には、後述する安全変数値群抽出部112が安全変数値群を抽出する際のしきい値となるパラメータを特定する情報が格納される。   The safety variable value group extraction parameter storage area 114 stores information for specifying a parameter that becomes a threshold when the safety variable value group extraction unit 112 described later extracts a safety variable value group.

例えば、本実施形態においては、図4(安全変数値群抽出パラメータテーブル114aの概略図)に示すような安全変数値群抽出パラメータテーブル114aが安全変数値群抽出パラメータ記憶領域114に記憶される。   For example, in the present embodiment, a safety variable value group extraction parameter table 114a as shown in FIG. 4 (schematic diagram of the safety variable value group extraction parameter table 114a) is stored in the safety variable value group extraction parameter storage area 114.

図示するように、安全変数値群抽出パラメータテーブル114aは、パラメータフィールド114bを有し、後述する後述する安全変数値群抽出部112が安全変数値群を抽出する際のしきい値となるパラメータが格納される。なお、このパラメータについては、個人情報管理装置110のオペレータが、入力部125を介して、適切な値を格納しておけばよい。   As shown in the figure, the safety variable value group extraction parameter table 114a has a parameter field 114b, and a parameter that becomes a threshold value when a safety variable value group extraction unit 112 described later extracts a safety variable value group. Stored. For this parameter, the operator of the personal information management apparatus 110 may store an appropriate value via the input unit 125.

図2に戻り、安全変数値群記憶領域115には、個人情報記憶領域112に記憶されている個人情報のうち、後述する後述する安全変数値群抽出部112が安全な変数値であると判断した変数値を特定する情報が格納される。   Returning to FIG. 2, in the safety variable value group storage area 115, among the personal information stored in the personal information storage area 112, a later-described safety variable value group extraction unit 112 determines that the variable value is a safe variable value. Stores information that identifies the variable value.

例えば、本実施形態においては、図5(安全変数値群テーブル115aの概略図)に示すような安全変数値群テーブル115aが安全変数値群記憶領域115に記憶される。   For example, in the present embodiment, a safety variable value group table 115a as shown in FIG. 5 (schematic diagram of the safety variable value group table 115a) is stored in the safety variable value group storage area 115.

図示するように、安全変数値群テーブル115aは、IDフィールド115bと、安全変数値群フィールド115cと、を備える。   As shown in the drawing, the safety variable value group table 115a includes an ID field 115b and a safety variable value group field 115c.

IDフィールド115bには、図3に示す個人情報テーブル112aの各レコードに割り振られたIDを特定する情報が格納される。   In the ID field 115b, information specifying the ID assigned to each record of the personal information table 112a shown in FIG. 3 is stored.

安全変数値群フィールド115cには、IDフィールド115bで特定される個人情報テーブル112aのレコードに格納されている変数値のうち、後述する安全変数値群抽出部122が安全な変数値であると判断した変数値名(フィールド名)及び変数値を特定する情報が格納される。   Of the variable values stored in the record of the personal information table 112a specified by the ID field 115b, the safe variable value group extraction unit 122 described later determines that the safe variable value group field 115c is a safe variable value. The variable value name (field name) and information specifying the variable value are stored.

図2に戻り、更新状況管理情報記憶領域116には、個人情報テーブル112aを更新した時と、安全変数値群テーブル115aを更新した時と、を特定する情報が記憶される。   Returning to FIG. 2, the update status management information storage area 116 stores information specifying when the personal information table 112a is updated and when the safety variable value group table 115a is updated.

例えば、本実施形態においては、図6(更新状況管理テーブル116aの概略図)に示すような更新状況管理テーブル116aが更新状況管理情報記憶領域116に記憶される。   For example, in the present embodiment, an update status management table 116a as shown in FIG. 6 (schematic diagram of the update status management table 116a) is stored in the update status management information storage area 116.

図示するように、更新状況管理テーブル116aは、IDフィールド116bと、レコード更新日時フィールド116cと、安全変数値群更新日時フィールド116dと、更新種別フィールド116eと、を備える。   As illustrated, the update status management table 116a includes an ID field 116b, a record update date / time field 116c, a safety variable value group update date / time field 116d, and an update type field 116e.

IDフィールド116bには、個人情報テーブル112a及び安全変数値群テーブル115aの各レコードに割り振られたIDを特定する情報が格納される。   In the ID field 116b, information for specifying an ID assigned to each record of the personal information table 112a and the safe variable value group table 115a is stored.

レコード更新日時フィールド116cには、IDフィールド116bで特定される個人情報テーブル112aのレコードが更新された年月日時間を特定する情報が格納される。   The record update date / time field 116c stores information for specifying the date and time when the record of the personal information table 112a specified by the ID field 116b is updated.

安全変数値群更新日時フィールド116dと、IDフィールド116bで特定される安全変数値群テーブル115aのレコードが更新された年月日時間を特定する情報が格納される。   The information which specifies the date and time when the record of the safety variable value group update date / time field 116d and the record of the safety variable value group table 115a specified by the ID field 116b is updated is stored.

更新種別フィールド116eには、IDフィールド116bで特定される個人情報テーブル112aのレコードが更新された際の、更新種別を特定する情報が格納される。ここで、本実施形態では、更新種別としてレコードの「追加」及びレコードの「変更」の何れか一方が格納される。   The update type field 116e stores information for specifying the update type when the record of the personal information table 112a specified by the ID field 116b is updated. Here, in the present embodiment, either “addition” of the record or “change” of the record is stored as the update type.

図2に戻り、匿名化条件情報記憶領域117には、個人情報記憶領域112に記憶されている個人情報を匿名化する条件を特定する情報が記憶される。   Returning to FIG. 2, the anonymization condition information storage area 117 stores information for specifying conditions for anonymizing the personal information stored in the personal information storage area 112.

例えば、本実施形態においては、図7(匿名化条件テーブル117aの概略図)に示すような匿名化条件テーブル117aが匿名化条件情報記憶領域117に記憶される。   For example, in this embodiment, an anonymization condition table 117a as shown in FIG. 7 (schematic diagram of anonymization condition table 117a) is stored in anonymization condition information storage area 117.

図示するように、匿名化条件テーブル117aは、性別フィールド117bと、年令フィールド117cと、郵便番号フィールド117dと、来店頻度フィールド117eと、来店日フィールド117fと、購入額フィールド117gと、を備える。   As shown in the figure, the anonymization condition table 117a includes a gender field 117b, an age field 117c, a zip code field 117d, a store visit frequency field 117e, a store visit date field 117f, and a purchase amount field 117g.

性別フィールド117bには、個人情報テーブル112aの性別フィールド112cに格納された情報を匿名化する条件(方法)を特定する情報が格納される。例えば、ここでは、個人情報テーブル112aの性別フィールド112cに格納された情報(男性又は女性)を性別不明に変換するようにしている。   The gender field 117b stores information for specifying a condition (method) for anonymizing the information stored in the gender field 112c of the personal information table 112a. For example, here, the information (male or female) stored in the gender field 112c of the personal information table 112a is converted to gender unknown.

年令フィールド117cには、個人情報テーブル112aの年令フィールド112dに格納された情報を匿名化する条件(方法)を特定する情報が格納される。例えば、ここでは、個人情報テーブル112aの年令フィールド112dに格納された情報(年令)を10歳刻み(例えば、30〜39歳までの年令を30歳に変換)にするようにしている。   The age field 117c stores information for specifying a condition (method) for anonymizing the information stored in the age field 112d of the personal information table 112a. For example, here, the information (age) stored in the age field 112d of the personal information table 112a is set in increments of 10 years (for example, age from 30 to 39 years is converted to 30 years). .

郵便番号フィールド117dには、個人情報テーブル112aの郵便番号フィールド112eに格納された情報を匿名化する条件(方法)を特定する情報が格納される。例えば、ここでは、個人情報テーブル112aの郵便番号フィールド112eに格納された情報の上位3桁だけを残すように変換するようにしている。   The postal code field 117d stores information for specifying a condition (method) for anonymizing the information stored in the postal code field 112e of the personal information table 112a. For example, here, the conversion is performed so that only the upper three digits of the information stored in the postal code field 112e of the personal information table 112a are left.

来店頻度フィールド117eには、個人情報テーブル112aの来店頻度フィールド112fに格納された情報を匿名化する条件(方法)を特定する情報が格納される。例えば、ここでは、個人情報テーブル112aの来店頻度フィールド112fに格納された情報を10以上又は10以下の何れか一方に振り分けるようにしている。   The store visit frequency field 117e stores information for specifying a condition (method) for anonymizing the information stored in the store visit frequency field 112f of the personal information table 112a. For example, here, the information stored in the store visit frequency field 112f of the personal information table 112a is distributed to one of 10 or more and 10 or less.

来店日フィールド117fには、個人情報テーブル112aの来店日フィールド112gに格納された情報を匿名化する条件(方法)を特定する情報が格納される。例えば、ここでは、個人情報テーブル112aの来店日フィールド112gに格納された情報(年月日)を年と月のみに変換するようにしている。   The visit date field 117f stores information for specifying a condition (method) for anonymizing the information stored in the visit date field 112g of the personal information table 112a. For example, here, the information (year / month / day) stored in the visit date field 112g of the personal information table 112a is converted to only the year and month.

購入額フィールド117gには、個人情報テーブル112aの購入額フィールド112hに格納された情報を匿名化する条件(方法)を特定する情報が格納される。例えば、ここでは、個人情報テーブル112aの購入額フィールド112hに格納された情報を1000円刻みに変換するようにしている。   The purchase amount field 117g stores information for specifying a condition (method) for anonymizing the information stored in the purchase amount field 112h of the personal information table 112a. For example, here, the information stored in the purchase amount field 112h of the personal information table 112a is converted into increments of 1000 yen.

図2に戻り、匿名個人情報記憶領域118には、匿名化した個人情報を特定する情報が格納される。   Returning to FIG. 2, the anonymous personal information storage area 118 stores information for identifying anonymized personal information.

例えば、本実施形態においては、図8(匿名個人情報テーブル118aの概略図)に示すような匿名個人情報テーブル118aが匿名個人情報記憶領域118に記憶される。   For example, in this embodiment, an anonymous personal information table 118 a as shown in FIG. 8 (schematic diagram of the anonymous personal information table 118 a) is stored in the anonymous personal information storage area 118.

図示するように、匿名個人情報テーブル118aは、IDフィールド118bと、性別フィールド118cと、年令フィールド118dと、郵便番号フィールド118eと、来店頻度フィールド118fと、来店日フィールド118gと、購入額フィールド118hと、を備え、各レコードには、個人情報記憶領域112に記憶されている個人情報テーブル112aの対応するレコードに格納されている情報のうち、後述する安全変数値群抽出部122が安全と判断した変数値と、後述する安全変数値群抽出部122が安全ではないと判断した変数値を匿名化条件テーブル117aに基づいて匿名化した匿名変数値と、が格納される。   As illustrated, the anonymous personal information table 118a includes an ID field 118b, a gender field 118c, an age field 118d, a postal code field 118e, a store visit frequency field 118f, a store visit date field 118g, and a purchase amount field 118h. In each record, among the information stored in the corresponding record of the personal information table 112a stored in the personal information storage area 112, the safe variable value group extraction unit 122 described later determines that it is safe. And the anonymous variable value obtained by anonymizing the variable value determined by the safe variable value group extraction unit 122, which will be described later, based on the anonymization condition table 117a.

図2に戻り、匿名化実行日時管理情報記憶領域119には、個人情報記憶領域112に記憶されている個人情報を匿名化した時を特定する情報が格納される。   Returning to FIG. 2, the anonymization execution date and time management information storage area 119 stores information for specifying when the personal information stored in the personal information storage area 112 is anonymized.

例えば、本実施形態においては、図9(匿名化実行日時テーブル119aの概略図)に示すような匿名化実行日時テーブル119aが匿名化実行日時管理情報記憶領域119に記憶される。   For example, in the present embodiment, an anonymization execution date / time table 119a as shown in FIG. 9 (schematic diagram of anonymization execution date / time table 119a) is stored in the anonymization execution date / time management information storage area 119.

図示するように、匿名化実行日時テーブル119aは、IDフィールド119bと、匿名化日時フィールド119cと、を備える。   As illustrated, the anonymization execution date / time table 119a includes an ID field 119b and an anonymization date / time field 119c.

IDフィールド119bには、個人情報テーブル112aの各レコードに割り振られたIDに対応する情報が格納される。   In the ID field 119b, information corresponding to the ID assigned to each record of the personal information table 112a is stored.

匿名化日時フィールド119cには、IDフィールド119bで特定される個人情報テーブル112aのレコードに格納された変数値を匿名化した年月日時間を特定する情報が格納される。   The anonymization date / time field 119c stores information for specifying the date and time when the variable value stored in the record of the personal information table 112a specified by the ID field 119b is anonymized.

図2に戻り、制御部120は、情報処理部121と、安全変数値群抽出部122と、更新情報管理部123と、匿名化処理部124と、を備える。   Returning to FIG. 2, the control unit 120 includes an information processing unit 121, a safe variable value group extraction unit 122, an update information management unit 123, and an anonymization processing unit 124.

情報処理部121は、入力部125を介して、個人情報の入力を受け付け、個人情報テーブル112aを生成し、個人情報記憶領域112に記憶する処理を行う。   The information processing unit 121 receives an input of personal information via the input unit 125, generates a personal information table 112a, and stores it in the personal information storage area 112.

また、情報処理部121は、個人情報記憶領域112に記憶されている個人情報テーブル112aを所定の表示形式にして出力部126に表示し、入力部125を介して、個人情報テーブル112aに新たなレコードを追加し、個人情報テーブル112aのレコードに格納されている変数値を変更することで、個人情報を更新する処理を行う。   Further, the information processing unit 121 displays the personal information table 112a stored in the personal information storage area 112 in a predetermined display format on the output unit 126, and adds a new information to the personal information table 112a via the input unit 125. A process of updating personal information is performed by adding a record and changing a variable value stored in the record of the personal information table 112a.

安全変数値群抽出部122は、個人情報テーブル112aの各々のフィールド毎に、当該フィールドに同じ変数値がいくつ格納されているかを、変数値毎にカウント(加算)する処理を行う。   For each field of the personal information table 112a, the safe variable value group extraction unit 122 performs a process of counting (adding) the number of the same variable value stored in the field for each variable value.

そして、安全変数値群抽出部122は、変数値毎にカウントされた値を、安全変数値群抽出パラメータ記憶領域114に記憶されているパラメータと比較して、当該パラメータ以上の値を安全変数値と判断する。   Then, the safety variable value group extraction unit 122 compares the value counted for each variable value with the parameter stored in the safety variable value group extraction parameter storage area 114, and sets a value greater than the parameter to the safety variable value. Judge.

さらに、安全変数値群抽出部122は、個人情報テーブル112aの各々のレコード毎に、安全変数値を抽出して、安全変数値群テーブル115aを生成して安全変数値群記憶領域115に記憶する処理を行う。   Further, the safety variable value group extraction unit 122 extracts a safety variable value for each record of the personal information table 112a, generates a safety variable value group table 115a, and stores it in the safety variable value group storage area 115. Process.

また、安全変数値群抽出部122は、個人情報テーブル112aが更新された場合にも、更新された変数値に関連する変数値毎に、個人情報テーブル112aの各々のフィールドにおいて同じ変数値がいくつ格納されているかをカウントして、パラメータと比較することにより、安全な変数値であるか否かを判断して、安全変数値群テーブル115aを更新する処理を行う。   In addition, even when the personal information table 112a is updated, the safety variable value group extraction unit 122 sets the same variable value in each field of the personal information table 112a for each variable value related to the updated variable value. By counting whether it is stored and comparing it with a parameter, it is determined whether or not it is a safe variable value, and processing for updating the safe variable value group table 115a is performed.

更新情報管理部123は、情報処理部121において個人情報テーブル112aの更新が行われた場合には、更新状況管理情報記憶領域116に記憶されている更新情報管理テーブル116aに、更新されたレコードのIDと、更新年月日時間と、更新種別と、を特定する情報を格納する処理を行う。   When the information processing unit 121 updates the personal information table 112a, the update information management unit 123 stores the updated record in the update information management table 116a stored in the update status management information storage area 116. A process of storing information for specifying the ID, the update date and time, and the update type is performed.

また、更新情報管理部123は、安全変数値群抽出部122において安全編通知群テーブル115が更新された場合には、更新されたレコードのIDに対応するレコードの安全変数値群更新日時フィールド116dに、更新年月日時間を特定する情報を格納する。   Further, when the safety variable notification group table 115 is updated in the safety variable value group extraction unit 122, the update information management unit 123 updates the safety variable value group update date / time field 116d of the record corresponding to the updated record ID. The information for specifying the date of update date is stored.

匿名化処理部124は、個人情報記憶領域112に記憶されている個人情報テーブル112aの各々のレコードに格納されている変数値を、匿名化条件情報記憶領域117に記憶されている匿名化条件テーブル117aに従って、匿名化する処理を行う。   The anonymization processing unit 124 uses the anonymization condition table stored in the anonymization condition information storage area 117 as the variable value stored in each record of the personal information table 112a stored in the personal information storage area 112. According to 117a, the process which anonymizes is performed.

具体的には、匿名化処理部124は、個人情報テーブル112aの各々のレコードに格納されている変数値のうち、安全変数値群テーブル115aに格納されている安全変数値以外の変数値を特定して、特定した変数値を匿名化条件テーブル117aの対応するフィールドに格納されている条件(方法)に従って、匿名化する処理を行う。   Specifically, the anonymization processing unit 124 identifies a variable value other than the safety variable value stored in the safety variable value group table 115a among the variable values stored in each record of the personal information table 112a. Then, the specified variable value is anonymized according to the condition (method) stored in the corresponding field of the anonymization condition table 117a.

入力部125は、情報の入力を受け付ける。   The input unit 125 receives input of information.

出力部126は、情報を出力する。   The output unit 126 outputs information.

送受信部127は、ネットワーク150を介した情報の送受信を行うためのインターフェースである。   The transmission / reception unit 127 is an interface for transmitting / receiving information via the network 150.

以上に記載した個人情報管理装置110は、例えば、図10(コンピュータ160の概略図)に示すような、CPU(Central Processing Unit)161と、メモリ162と、HDD(Hard Disk Drive)等の外部記憶装置163と、CD−ROM(Compact Disk Read Only Memory)やDVD−ROM(Digital Versatile Disk Read Only Memory)等の可搬性を有する記憶媒体164から情報を読み出す読取装置165と、キーボードやマウスなどの入力装置166と、ディスプレイなどの出力装置167と、通信ネットワークに接続するためのNIC(Network Interface Card)等の通信装置168と、を備えた一般的なコンピュータ160で実現できる。   The personal information management apparatus 110 described above includes, for example, an external storage such as a CPU (Central Processing Unit) 161, a memory 162, and an HDD (Hard Disk Drive) as shown in FIG. 10 (schematic diagram of the computer 160). Device 163, reader 165 for reading information from portable storage medium 164 such as CD-ROM (Compact Disk Read Only Memory) and DVD-ROM (Digital Versatile Disk Read Only Memory), and input such as keyboard and mouse This can be realized by a general computer 160 including a device 166, an output device 167 such as a display, and a communication device 168 such as a NIC (Network Interface Card) for connecting to a communication network.

例えば、記憶部111は、CPU161がメモリ162又は外部記憶装置163を利用することにより実現可能であり、制御部120は、外部記憶装置163に記憶されている所定のプログラムをメモリ162にロードしてCPU161で実行することで実現可能であり、入力部125は、CPU161が入力装置166を利用することで実現可能であり、出力部126は、CPU161が出力装置167を利用することで実現可能であり、送受信部127は、CPU161が通信装置168を利用することで実現可能である。   For example, the storage unit 111 can be realized by the CPU 161 using the memory 162 or the external storage device 163, and the control unit 120 loads a predetermined program stored in the external storage device 163 into the memory 162. The input unit 125 can be realized by the CPU 161 using the input device 166, and the output unit 126 can be realized by the CPU 161 using the output device 167. The transmission / reception unit 127 can be realized by the CPU 161 using the communication device 168.

この所定のプログラムは、読取装置165を介して記憶媒体164から、あるいは、通信装置168を介してネットワークから、外部記憶装置163にダウンロードされ、それから、メモリ162上にロードされてCPU161により実行されるようにしてもよい。また、読取装置165を介して記憶媒体164から、あるいは、通信装置168を介してネットワークから、メモリ162上に直接ロードされ、CPU161により実行されるようにしてもよい。   The predetermined program is downloaded from the storage medium 164 via the reading device 165 or from the network via the communication device 168 to the external storage device 163, and then loaded onto the memory 162 and executed by the CPU 161. You may do it. Alternatively, the program may be directly loaded on the memory 162 from the storage medium 164 via the reading device 165 or from the network via the communication device 168 and executed by the CPU 161.

図11は、情報端末140の概略図である。   FIG. 11 is a schematic diagram of the information terminal 140.

図示するように、情報端末140は、記憶部141と、個人情報記憶領域142と、制御部143と、個人情報分析部144と、入力部145と、出力部146と、送受信部147と、を備える。   As illustrated, the information terminal 140 includes a storage unit 141, a personal information storage area 142, a control unit 143, a personal information analysis unit 144, an input unit 145, an output unit 146, and a transmission / reception unit 147. Prepare.

記憶部141は、個人情報記憶領域142を備える。   The storage unit 141 includes a personal information storage area 142.

個人情報記憶領域142には、個人情報管理装置110から送受信部147を介して受信した匿名個人情報テーブル118aが記憶される。   In the personal information storage area 142, an anonymous personal information table 118a received from the personal information management apparatus 110 via the transmission / reception unit 147 is stored.

制御部143は、個人情報分析部144を備える。   The control unit 143 includes a personal information analysis unit 144.

個人情報分析部144は、個人情報記憶領域142に記憶されている匿名個人情報テーブル118aを分析して、分析結果を予め定められた表示形式にして出力部146に出力する処理を行う。   The personal information analysis unit 144 performs processing for analyzing the anonymous personal information table 118a stored in the personal information storage area 142 and outputting the analysis result to the output unit 146 in a predetermined display format.

例えば、本実施形態においては、個人情報分析部144は、RFM分析を行うようにしている。RFM分析とは、Recency(Recency:最近の購買日)、Frequency(累計購買回数)、Monetary(累計購買金額)の3つの指標により顧客を分類、あるいはランキングする分析手法として一般的に知られているものである。   For example, in the present embodiment, the personal information analysis unit 144 performs RFM analysis. RFM analysis is generally known as an analysis method that classifies or ranks customers based on three indicators: Recency (Recency: Recent Purchase Date), Frequency (Total Purchase Count), and Monetary (Total Purchase Amount). Is.

なお、図12(分析結果表示画面144aの概略図)は、匿名個人情報テーブル118aに格納されている情報から、RFM分析を行うことで、男性の優良顧客リスト(優良顧客と判断された男性の個人情報を格納したレコードIDのリスト)を表示した分析結果表示画面である。このような顧客リストを匿名個人情報テーブル118aや、匿名個人情報テーブル118aを作成するために用いた元データ、例えば、購買履歴と照らし合わせることにより、優良顧客をターゲットとした購買パターンの把握が可能になる。   12 (schematic diagram of the analysis result display screen 144a) is obtained by performing an RFM analysis from the information stored in the anonymous personal information table 118a, so that the male excellent customer list (the male customer who is determined to be an excellent customer) 6 is an analysis result display screen displaying a list of record IDs storing personal information. By comparing such a customer list with the anonymous personal information table 118a and the original data used to create the anonymous personal information table 118a, for example, a purchase history, it is possible to grasp a purchase pattern targeting good customers. become.

入力部145は、情報の入力を受け付ける。   The input unit 145 receives information input.

出力部146は、情報を出力する。   The output unit 146 outputs information.

送受信部147は、ネットワーク150を介して情報を送受信するためのインターフェースである。   The transmission / reception unit 147 is an interface for transmitting / receiving information via the network 150.

以上に記載した情報端末140は、例えば、図10に示すような一般的なコンピュータ160で実現できる。   The information terminal 140 described above can be realized by a general computer 160 as shown in FIG. 10, for example.

例えば、記憶部141は、CPU161がメモリ162又は外部記憶装置163を利用することにより実現可能であり、制御部143は、外部記憶装置163に記憶されている所定のプログラムをメモリ162にロードしてCPU161で実行することで実現可能であり、入力部145は、CPU161が入力装置166を利用することで実現可能であり、出力部146は、CPU161が出力装置167を利用することで実現可能であり、送受信部147は、CPU161が通信装置168を利用することで実現可能である。   For example, the storage unit 141 can be realized by the CPU 161 using the memory 162 or the external storage device 163, and the control unit 143 loads a predetermined program stored in the external storage device 163 into the memory 162. The input unit 145 can be realized by the CPU 161 using the input device 166, and the output unit 146 can be realized by the CPU 161 using the output device 167. The transmission / reception unit 147 can be realized by the CPU 161 using the communication device 168.

この所定のプログラムは、読取装置165を介して記憶媒体164から、あるいは、通信装置168を介してネットワークから、外部記憶装置163にダウンロードされ、それから、メモリ162上にロードされてCPU161により実行されるようにしてもよい。また、読取装置165を介して記憶媒体164から、あるいは、通信装置168を介してネットワークから、メモリ162上に直接ロードされ、CPU161により実行されるようにしてもよい。   The predetermined program is downloaded from the storage medium 164 via the reading device 165 or from the network via the communication device 168 to the external storage device 163, and then loaded onto the memory 162 and executed by the CPU 161. You may do it. Alternatively, the program may be directly loaded on the memory 162 from the storage medium 164 via the reading device 165 or from the network via the communication device 168 and executed by the CPU 161.

図13は、情報システム100での処理を示すシーケンス図である。   FIG. 13 is a sequence diagram showing processing in the information system 100.

まず、個人情報管理装置110の情報処理部121は、個人情報記憶領域112に記憶されている個人情報テーブル112aを出力部126に出力し、個人情報管理装置110のオペレータより入力部125を介して、個人情報テーブル112aの更新を受け付ける(S10)。   First, the information processing unit 121 of the personal information management apparatus 110 outputs the personal information table 112a stored in the personal information storage area 112 to the output unit 126, and the operator of the personal information management apparatus 110 via the input unit 125 via the input unit 125. The personal information table 112a is updated (S10).

そして、情報処理部121は、個人情報テーブル112aに新たなレコードが追加され、または、個人情報テーブル112aの既存のレコードの変数値が変更されると、更新情報管理部123に、追加もしくは更新されたレコードのIDと、更新種別(変更又は追加)を通知する。   Then, when a new record is added to the personal information table 112a or a variable value of an existing record in the personal information table 112a is changed, the information processing unit 121 is added or updated to the update information management unit 123. The record ID and update type (change or addition) are notified.

このような通知を受けた更新情報管理部123は、更新状況管理情報記憶領域116に記憶されている更新状況管理テーブル116aを更新する(S11)。   Upon receiving such notification, the update information management unit 123 updates the update status management table 116a stored in the update status management information storage area 116 (S11).

具体的には、更新情報管理部123は、更新状況管理テーブル116aに新たなレコードを追加して、通知されたIDをIDフィールド116bに格納し、更新種別を更新種別フィールド116eに格納し、情報処理部より通知を受け取った年月日時間をレコード更新日時フィールドに格納する。   Specifically, the update information management unit 123 adds a new record to the update status management table 116a, stores the notified ID in the ID field 116b, stores the update type in the update type field 116e, The date and time when the notification is received from the processing unit is stored in the record update date and time field.

次に、個人情報管理装置110の安全変数値群抽出部122は、予め定めたタイミング(例えば、情報処理部121から個人情報テーブル112aを更新した際の通知を受けた個数が一定の数に達した場合や、予め定められた時刻になった場合等)で、安全変数値群テーブル122aの更新を行う(S12)。   Next, the safety variable value group extraction unit 122 of the personal information management apparatus 110 has reached a predetermined number of times (for example, the number of notifications when the personal information table 112a is updated from the information processing unit 121). Or when the predetermined time is reached), the safety variable value group table 122a is updated (S12).

具体的には、安全変数値群抽出部122は、情報処理部121から個人情報記憶領域に記憶されている個人情報テーブル112aの複製を取得して、更新用個人情報テーブルとする。   Specifically, the safety variable value group extraction unit 122 obtains a copy of the personal information table 112a stored in the personal information storage area from the information processing unit 121 and sets it as an update personal information table.

なお、以下では、更新用個人情報テーブルのIDフィールドを除く各フィールドの個数をMとし、IDフィールドを除いた各フィールドの変数値には、レコード毎に0〜M−1の自然数が各々割り振られているものとする。また、更新用個人情報テーブルのフィールド名を除く各レコードの個数をNとし、当該各レコードには、0〜N−1の自然数が各々割り振られているものとする。そして、更新用個人情報テーブルの各変数値は、二次元配列D[N][M]に格納され、更新用個人情報テーブルにおけるi(0≦i≦N−1)行目j(0≦j≦M−1)列目の変数値は、D[i][j]で参照されるものとする。   In the following, the number of each field excluding the ID field of the update personal information table is M, and the variable value of each field excluding the ID field is assigned a natural number of 0 to M−1 for each record. It shall be. Further, it is assumed that the number of each record excluding the field name in the updating personal information table is N, and that each record is assigned a natural number of 0 to N-1. Each variable value of the update personal information table is stored in the two-dimensional array D [N] [M], and the i (0 ≦ i ≦ N−1) line j (0 ≦ j) in the update personal information table. ≦ M−1) The variable value in the column is referred to by D [i] [j].

そして、安全変数値群抽出部122は、個人情報テーブル112aに対してまだ安全変数値群の抽出処理を行っていない場合には、更新用個人情報テーブルの各々のフィールド毎に、当該フィールドに同じ変数値がいくつ格納されているかを、変数値毎にカウントした値を、安全変数値群抽出パラメータ記憶領域114に記憶されているパラメータと比較して、当該パラメータ以上の値を安全変数値と判断し、更新用個人情報テーブルの各々のレコード毎に、安全変数値を抽出して、安全変数値群テーブル115aを生成して安全変数値群記憶領域115に記憶する処理を行う。   Then, if the safety variable value group extraction unit 122 has not yet performed the extraction process of the safety variable value group on the personal information table 112a, the safety variable value group extraction unit 122 is the same as that field for each field of the update personal information table. The number of variable values stored is counted for each variable value and compared with the parameter stored in the safe variable value group extraction parameter storage area 114, and a value greater than that parameter is determined as the safe variable value. Then, for each record in the updating personal information table, a process is performed for extracting the safe variable value, generating the safe variable value group table 115a, and storing it in the safe variable value group storage area 115.

一方、安全変数値群抽出部122は、個人情報テーブル112aに対して既に安全変数値群の抽出処理を行っている場合には、個人情報テーブル112aにおいて更新された変数値に関連する変数値毎に、更新用個人情報テーブルの各々のフィールドにおいて同じ変数値がいくつ格納されているかをカウントして、パラメータと比較することにより、安全な変数値であるか否かを判断して、安全変数値群テーブル115aを更新する処理を行う。なお、この処理の詳細については、図14を用いて説明する。   On the other hand, when the safety variable value group extraction unit 122 has already performed the extraction process of the safety variable value group on the personal information table 112a, each of the variable values related to the variable values updated in the personal information table 112a. The number of the same variable value stored in each field of the personal information table for update is counted and compared with the parameter to determine whether it is a safe variable value. Processing to update the group table 115a is performed. Details of this process will be described with reference to FIG.

さらに、安全変数値群抽出部122は、安全変数値群テーブルの更新を行った場合には、更新用個人情報テーブルを安全値群更新時個人情報記憶領域113に記憶する。   Further, when the safety variable value group extraction unit 122 updates the safety variable value group table, the safety variable value group extraction unit 122 stores the update personal information table in the safety value group update personal information storage area 113.

また、更新情報管理部123は、安全変数値群抽出部122において安全変数値群テーブル115aの更新が行われた場合には、個人情報テーブル112aにおいて変数値が更新されたレコードIDに対応する更新状況管理テーブル116aのレコードの安全変数値群更新日時フィールド116dに、安全変数値群抽出部122が更新を行った年月日時間を格納する。   In addition, when the safety variable value group extraction unit 122 updates the safety variable value group table 115a, the update information management unit 123 updates the variable ID in the personal information table 112a corresponding to the record ID updated. The safety variable value group update date and time field 116d of the record of the status management table 116a stores the date and time when the safety variable value group extraction unit 122 performs the update.

次に、個人情報管理装置110の匿名化処理部124は、予め定めたタイミング(例えば、安全変数値群抽出部122が安全変数値群テーブル122aの更新を行った後)において、匿名個人情報テーブル118aの更新処理を行う(S13)。   Next, the anonymization processing unit 124 of the personal information management apparatus 110 performs the anonymous personal information table at a predetermined timing (for example, after the safety variable value group extraction unit 122 updates the safety variable value group table 122a). Update processing of 118a is performed (S13).

具体的には、匿名化処理部124は、更新状況管理情報記憶領域116に記憶されている更新状況管理テーブル116aからIDフィールド116bに格納されている情報の一覧と、安全変数値群更新日時フィールド116dに格納されている情報の一覧と、を取得する。   Specifically, the anonymization processing unit 124 includes a list of information stored in the ID field 116b from the update status management table 116a stored in the update status management information storage area 116, and a safety variable value group update date / time field. A list of information stored in 116d is acquired.

そして、匿名化処理部124は、取得した安全変数値更新日時と、匿名化実行日時管理情報記憶領域119に記憶されている匿名化日時と、を対応するIDのレコード同士で比較し、安全変数値群更新日時が、匿名化日時よりも新しいレコードのIDを特定する。   Then, the anonymization processing unit 124 compares the acquired safety variable value update date and time with the anonymization date and time stored in the anonymization execution date and time management information storage area 119 between corresponding ID records, The ID of the record whose value group update date is newer than the anonymization date is specified.

次に、匿名化処理部124は、特定したIDに対応する安全変数値群を、安全変数値群記憶領域115に記憶されている安全変数値群テーブル115aから取得し、さらに、匿名化処理部124は、特定したIDに対応する個人情報を、個人情報記憶領域112に記憶されている個人情報テーブル112aから取得する。   Next, the anonymization processing unit 124 acquires a safety variable value group corresponding to the identified ID from the safety variable value group table 115a stored in the safety variable value group storage area 115, and further anonymization processing unit 124 acquires personal information corresponding to the identified ID from the personal information table 112 a stored in the personal information storage area 112.

そして、匿名化処理部124は、取得した個人情報の内、安全変数値群に対応する変数値がないものを匿名化条件テーブル117aに従って変換して、匿名個人情報テーブル118の対応するIDのレコードの対応するフィールドに格納する。   Then, the anonymization processing unit 124 converts the acquired personal information having no variable value corresponding to the safe variable value group according to the anonymization condition table 117a, and records corresponding IDs in the anonymous personal information table 118 Stored in the corresponding field.

また、情報処理部121は、特定のタイミングで(例えば、情報端末140からの要求があった時等)、送受信部127を介して、匿名個人情報記憶領域118に記憶されている匿名個人情報テーブル118aを情報端末140に送信する(S14)。   In addition, the information processing unit 121 has an anonymous personal information table stored in the anonymous personal information storage area 118 via the transmission / reception unit 127 at a specific timing (for example, when there is a request from the information terminal 140). 118a is transmitted to the information terminal 140 (S14).

このような匿名個人情報テーブル118aを受信した情報端末140では、個人情報分析部144が、受信した匿名個人情報テーブル118aを個人情報記憶領域142に記憶するとともに、特定のタイミングで(例えば、情報端末140のオペレータより入力部145を介して分析指示の入力を受けた時等)、予め定められた法則に従って匿名個人情報テーブル115aに格納されている情報を分析し(S15)、例えば、性別、来店日、来店頻度、購入額を条件として抽出した、優良顧客を表すデータのリストを出力部146に出力する(S16)。   In the information terminal 140 that has received such an anonymous personal information table 118a, the personal information analysis unit 144 stores the received anonymous personal information table 118a in the personal information storage area 142 and at a specific timing (for example, the information terminal 140), the information stored in the anonymous personal information table 115a is analyzed according to a predetermined rule (S15). For example, sex, visit to the store A list of data representing excellent customers extracted on the basis of the date, store visit frequency, and purchase price is output to the output unit 146 (S16).

図14は、安全変数値群テーブル更新処理を示すフローチャートである。   FIG. 14 is a flowchart showing the safety variable value group table update process.

まず、個人情報管理装置110の安全変数値群抽出部122は、安全変数値群抽出パラメータを安全変数値群抽出パラメータ記憶領域114から読み込み、また、個人情報テーブル112aを個人情報記憶領域112から読み込み、更新用個人情報テーブルとする(S20)。   First, the safety variable value group extraction unit 122 of the personal information management apparatus 110 reads the safety variable value group extraction parameter from the safety variable value group extraction parameter storage area 114, and reads the personal information table 112a from the personal information storage area 112. The update personal information table is used (S20).

次に、安全変数値群抽出部122は、更新状況管理テーブル116aの各レコードを一つずつ参照するためのカウンタ変数iを0に初期化する(S21)。   Next, the safety variable value group extraction unit 122 initializes a counter variable i for referring to each record of the update status management table 116a one by one (S21).

次に、安全変数値群抽出部122は、カウンタ変数iがN未満であるか否かを判定し(S22)、N未満である場合(ステップS22でYes)、ステップS23に進み、一方、カウンタ変数iがN未満ではない場合(ステップS22でNo)、ステップS32に進む。ここで、Nはヘッダ行を除いた更新状況管理テーブル116aの行数(レコード数)である。   Next, the safety variable value group extraction unit 122 determines whether or not the counter variable i is less than N (S22). If it is less than N (Yes in Step S22), the process proceeds to Step S23, while the counter variable i If the variable i is not less than N (No in step S22), the process proceeds to step S32. Here, N is the number of rows (number of records) in the update status management table 116a excluding the header row.

ステップS23では、安全変数値群抽出部122は、更新状況管理テーブル116aのi行目を参照し、レコード更新日時が、安全変数値群更新日時よりも新しいかどうかを判定する。例えば、更新状況管理テーブル116aの例では、i=0のときはID=1のデータを参照し、レコード更新日時「2007/5/3 10:30」と、安全変数値群更新日時「2007/5/4 0:00」と、を比較する。   In step S23, the safety variable value group extraction unit 122 refers to the i-th row of the update status management table 116a, and determines whether the record update date is newer than the safety variable value group update date. For example, in the example of the update status management table 116a, when i = 0, the data of ID = 1 is referred to, the record update date / time “2007/5/3 10:30”, and the safety variable value group update date / time “2007 / 5/4 0:00 ”.

そして、レコード更新日時が安全変数値群更新日時よりも新しいと判定された場合(ステップS23でYes)、安全変数値群抽出部122は、更新状況管理テーブル116aのi行目のIDに対応する更新用個人情報テーブルのレコードについて安全変数値群の更新が必要と見なし、ステップS24に進む。一方、レコード更新日時が安全変数値群更新日時よりも新しくない場合には(ステップS23でNo)、更新を不要とみなし、ステップS31に進む。   When it is determined that the record update date / time is newer than the safety variable value group update date / time (Yes in step S23), the safety variable value group extraction unit 122 corresponds to the ID of the i-th row of the update status management table 116a. Regarding the record of the updating personal information table, it is considered that the safety variable value group needs to be updated, and the process proceeds to step S24. On the other hand, if the record update date / time is not newer than the safety variable value group update date / time (No in step S23), the update is regarded as unnecessary and the process proceeds to step S31.

次に、ステップS24では、安全変数値群抽出部122は、更新状況管理テーブル116aのi行目のレコードの更新種別フィールド116eの相対を参照し、更新種別が変更か否かを判定する。   Next, in step S24, the safety variable value group extraction unit 122 refers to the update type field 116e of the record in the i-th row of the update status management table 116a, and determines whether or not the update type is changed.

そして、更新種別が変更と判定された場合(ステップS24でYes)には、ステップS25に進み、一方、更新種別が変更と判定されなかった場合(ステップS24でNo)には、ステップS27に進む。   If the update type is determined to be changed (Yes in step S24), the process proceeds to step S25. On the other hand, if the update type is not determined to be changed (No in step S24), the process proceeds to step S27. .

ステップS25では、安全変数値群抽出部122は、安全変数値群更新時個人情報記憶領域113に記憶されている安全変数値群更新時個人情報テーブルのi番目のレコードと、更新用個人情報テーブルのi番目のレコードを比較して、値が一致しない更新用個人情報テーブルの変数値、すなわち値が更新された変数値を特定する。特定されたm個の変数値と、その変数名の変数番号はそれぞれ、要素数がmの配列Value[]、配列VarName[]に格納される。mは1以上M以下の整数である。   In step S25, the safety variable value group extraction unit 122 updates the i-th record of the safety variable value group update personal information table stored in the safety variable value group update personal information storage area 113, and the update personal information table. The i-th record is compared, and the variable value of the updating personal information table whose value does not match, that is, the variable value whose value has been updated is specified. The identified m variable values and the variable number of the variable name are respectively stored in the array Value [] and the array VarName [] having m elements. m is an integer of 1 or more and M or less.

次に、安全変数値群抽出部122は、更新用個人情報テーブルのフィールド毎に、ステップS25で特定した変数値と同じ変数値を有するレコードのIDを抽出し、全てのフィールド毎に抽出したIDを集計することで、重複しないIDの集合を特定する(S26)。具体的には、k=0,1,・・・,N−1のそれぞれにおいて、条件D[k][VarName[0]]=Value[0] or D[k][VarName[1]]=Value[1] or ・・・ D[k][VarName[m-1]]=Value[m-1]が成立するレコードが有する、IDの重複しない集合を求める。   Next, the safety variable value group extraction unit 122 extracts the ID of the record having the same variable value as the variable value specified in step S25 for each field of the updating personal information table, and extracts the ID for every field. To identify a set of non-overlapping IDs (S26). Specifically, in each of k = 0, 1,..., N−1, the condition D [k] [VarName [0]] = Value [0] or D [k] [VarName [1]] = Value [1] or... Find a set of IDs that do not overlap in a record that satisfies D [k] [VarName [m-1]] = Value [m-1].

また、ステップS27では、安全変数値群抽出部122は、更新用個人情報テーブルのフィールド毎に、更新用個人情報テーブルのi番目のレコードの各々の変数値と同じ変数値を有するレコードのIDを抽出し、全てのフィールド毎に抽出したIDを集計することで、重複しないIDの集合を特定する。具体的には、配列Value[]、配列VarName[]に、データ301’のi番目のレコードの値を全て格納し、ステップS26と同様の処理により、IDの重複しない集合を求める。   In step S27, the safety variable value group extraction unit 122 assigns, for each field of the update personal information table, the ID of the record having the same variable value as each variable value of the i-th record of the update personal information table. A set of non-overlapping IDs is specified by extracting and totaling the IDs extracted for each field. Specifically, all the values of the i-th record of the data 301 'are stored in the array Value [] and the array VarName [], and a set of IDs that do not overlap is obtained by the same processing as in step S26.

次に、安全変数値群抽出部122は、ステップS26又はステップS27で特定されたIDに対応する更新用個人情報テーブルのレコードに対し、安全変数値群の抽出処理を行う(S28)。ステップS28における1件のレコードデータに対する処理概要は以下の通りである。   Next, the safety variable value group extraction unit 122 performs a process of extracting a safety variable value group for the record in the updating personal information table corresponding to the ID specified in Step S26 or Step S27 (S28). An outline of processing for one record data in step S28 is as follows.

まず、安全変数値群抽出部122は、1件のレコードデータが有する変数値の組(変数値群)を1個選択する。変数値群とは、変数名=変数値の組を意味し、図8のデータを例に説明すると、{性別=男性}あるいは{性別=男性、年齢=33}あるいは{性別=男性、年齢=33、郵便番号215}等となる。安全変数値群抽出部122は、このような変数値群を一個選択する。   First, the safe variable value group extraction unit 122 selects one variable value group (variable value group) included in one record data. The variable value group means a set of variable name = variable value, and the data of FIG. 8 will be described as an example. {Gender = male} or {gender = male, age = 33} or {gender = male, age = 33, postal code 215}, and the like. The safety variable value group extraction unit 122 selects one such variable value group.

次に、安全変数値群抽出部122は、更新用個人情報テーブルにおいて、上記の変数値の組を有するレコードデータの件数(同値レコード数)をカウントする。   Next, the safe variable value group extraction unit 122 counts the number of record data (the number of equivalent records) having the above-described set of variable values in the update personal information table.

次に、安全変数値群抽出部122は、上記の同値レコード数が、安全変数値群抽出パレメータ記憶領域114に記憶されているパラメータの値以上であれば、選択した変数値群を安全変数値群として採用する。   Next, if the number of equivalence records is equal to or greater than the parameter value stored in the safety variable value group extraction parameter storage area 114, the safety variable value group extraction unit 122 selects the selected variable value group as a safety variable value. Adopt as a group.

そして、安全変数値群抽出部122は、同値レコード数をカウントしていない変数値組に対して以上の処理を繰り返す。   And the safe variable value group extraction part 122 repeats the above process with respect to the variable value group which has not counted the number of equivalence records.

ただし、安全変数値群の性質上、1個のレコードに存在する安全変数値群は1個とは限らず、2個以上存在しうる。本実施形態では各レコードにつき1個の安全変数値組を選択する。そのための典型的な処理の一つは非特許文献1に開示されている。非特許文献1が開示するアルゴリズムでは、予め変数値の組み合わせの優先順位を決めておき、その優先順位に従って変数値群を順にカウントする。カウントした結果、パラメータを満たす変数値群のうち、優先順位が最も大きく、かつ、組に含まれる変数値の個数が最大の変数値群を、当該レコードの最大安全変数値群として抽出する。   However, due to the nature of the safety variable value group, the number of safety variable value groups present in one record is not limited to one, and there may be two or more. In the present embodiment, one safety variable value set is selected for each record. One typical process for this is disclosed in Non-Patent Document 1. In the algorithm disclosed in Non-Patent Document 1, a priority order of variable value combinations is determined in advance, and variable value groups are sequentially counted according to the priority order. As a result of counting, a variable value group having the highest priority among the variable value groups satisfying the parameters and having the largest number of variable values included in the set is extracted as the maximum safe variable value group of the record.

次に、安全変数値群抽出部122は、ステップS28で抽出された安全変数値群を案園変数値群記憶領域115に記憶されている安全変数値群テーブル115のID=iのレコードに格納する(S29)。   Next, the safety variable value group extraction unit 122 stores the safety variable value group extracted in step S28 in the record of ID = i of the safety variable value group table 115 stored in the proposed garden variable value group storage area 115. (S29).

次に、安全変数値群抽出部122は、更新状況管理テーブル116のID=iのレコードの安全変数値群更新日時フィールド116dに安全変数値を更新した年月日時間を格納する(S30)。   Next, the safety variable value group extraction unit 122 stores the date and time when the safety variable value is updated in the safety variable value group update date and time field 116d of the record with ID = i in the update status management table 116 (S30).

そして、安全変数値群抽出部122は、カウンタ変数iを1増やし(S31)、ステップS22に戻り、処理を繰り返す。   Then, the safety variable value group extraction unit 122 increments the counter variable i by 1 (S31), returns to step S22, and repeats the process.

そして、ステップS32では、安全変数値群抽出部122は、更新用個人情報テーブルを安全変数値群更新時個人情報テーブルとして、安全変数値群更新時個人情報記憶領域113に記憶する。   In step S32, the safety variable value group extracting unit 122 stores the updating personal information table in the safety variable value group updating personal information storage area 113 as a safety variable value group updating personal information table.

以上が安全変数値群テーブル更新処理の詳細である。   The above is the details of the safety variable value group table update process.

非特許文献1に記載の技術など、従来知られている方法では、個人情報テーブル112aのレコードの1件でも更新されるか、あるいは新たなレコードが追加された場合、個人情報テーブル112aの全てのレコードについて安全変数値群を求め直す必要があった。これに対し本実施例では、安全変数値群更新時個人情報テーブルを記憶しておき、個人情報テーブル112aのレコード更新された際に、更新された変数値が関係するレコードに限定して安全変数値群を求めることが可能になる。   In a conventionally known method such as the technique described in Non-Patent Document 1, even when one record in the personal information table 112a is updated or a new record is added, all the information in the personal information table 112a is updated. It was necessary to recalculate the safety variable value group for the record. In contrast, in the present embodiment, the personal information table at the time of updating the safety variable value group is stored, and when the record of the personal information table 112a is updated, the safety variable is limited to the record related to the updated variable value. A value group can be obtained.

また、個人情報テーブル112aに新たなレコード追加された際も、追加されたレコードが有する変数値が関係するレコードに限定して安全変数値群を求めることが可能になる。   In addition, when a new record is added to the personal information table 112a, it is possible to obtain a safe variable value group only for records related to the variable value of the added record.

このように、本実施形態によれば、安全変数値群テーブル115aの更新処理を従来技術よりも効率的に行うことができるようになる。   Thus, according to the present embodiment, the update process of the safe variable value group table 115a can be performed more efficiently than in the conventional technique.

なお、本実施形態では、安全変数値群テーブル115aを最初に生成するときは、非特許文献1等に記載されている従来技術を適用し、安全変数値群テーブル115aの更新時に本発明を適用する例を示したが、本発明の原理上、更新もしくは追加レコードの件数に基づいて安全変数値群抽出処理を使い分ける方法も容易に実現できる。例えば、レコード更新日時が安全変数値群抽出日時よりも新しいレコードの件数をカウントし、この数が所定の件数、例えば10万件よりも小さければ図14に示した安全変数値群更新処理を実行し、10万件よりも大きければ従来技術を用いるようにしてもよい。   In the present embodiment, when the safety variable value group table 115a is first generated, the prior art described in Non-Patent Document 1 or the like is applied, and the present invention is applied when the safety variable value group table 115a is updated. Although an example is shown, a method of selectively using the safe variable value group extraction process based on the number of updated or added records can be easily realized on the principle of the present invention. For example, the number of records whose record update date is newer than the safety variable value group extraction date is counted. If this number is smaller than a predetermined number, for example, 100,000, the safety variable value group update process shown in FIG. 14 is executed. And if it is larger than 100,000 cases, the prior art may be used.

また、以上に記載した実施形態では、情報システム100を個人情報管理装置110と、情報端末140と、で構成したが、このような態様に限定されず、例えば、個人情報管理装置110で行う処理に関しては、複数の装置で分散して行ってもよい。   In the embodiment described above, the information system 100 includes the personal information management device 110 and the information terminal 140. However, the present invention is not limited to such an aspect. For example, processing performed by the personal information management device 110 With respect to the above, it may be performed in a distributed manner by a plurality of apparatuses.

例えば、図15(情報システム100の変形例を示す概略図)に示す情報システム100’のように、個人情報管理装置110の代わりに、個人情報保存装置170、識別リスク管理装置171及び業務情報管理装置172を設けて、これらの装置において個人情報管理装置110で行っている処理を分散して行ってもよい。具体的には、
個人情報保存装置170の記憶部には個人情報記憶領域112を設けておき、個人情報保存装置170の制御部には、情報処理部121を設けておき、識別リスク管理装置171の記憶部には、安全変数値群更新時個人情報記憶領域113、安全変数値群抽出パラメータ記憶領域114、安全変数値群記憶領域115及び更新状況管理情報記憶領域116を設けておき、識別リスク管理装置171の制御部には、安全変数値群抽出部122及び更新情報管理部123を設けておき、業務情報管理装置172の記憶部には、匿名化条件情報記憶領域117、匿名個人情報記憶領域118及び匿名化実行日時管理情報記憶領域119を設けておき、業務情報管理装置172の制御部には、匿名化処理部124を設けておき、これらの装置で情報を適宜送受信することで、個人情報管理装置110と同様の処理を行うことが可能となる。
For example, as in the information system 100 ′ shown in FIG. 15 (schematic diagram showing a modification of the information system 100), the personal information storage device 170, the identification risk management device 171 and the business information management are used instead of the personal information management device 110. The apparatus 172 may be provided, and the processing performed by the personal information management apparatus 110 in these apparatuses may be performed in a distributed manner. In particular,
A personal information storage area 112 is provided in the storage unit of the personal information storage device 170, an information processing unit 121 is provided in the control unit of the personal information storage device 170, and a storage unit of the identification risk management device 171 is provided in the storage unit. , A safety variable value group update personal information storage area 113, a safety variable value group extraction parameter storage area 114, a safety variable value group storage area 115, and an update status management information storage area 116 are provided to control the identification risk management device 171. Are provided with a safety variable value group extraction unit 122 and an update information management unit 123, and an anonymization condition information storage region 117, an anonymous personal information storage region 118, and anonymization are stored in the storage unit of the business information management device 172. An execution date and time management information storage area 119 is provided, and an anonymization processing unit 124 is provided in the control unit of the business information management device 172, and information is stored in these devices. By Yibin transceiver, it is possible to perform the same processing as the personal information management device 110.

次に、本発明の第二の実施形態である情報システムについて説明する。ここで、本発明の第二の実施形態では、個人情報管理装置210が第一の実施形態と異なっているため、以下、個人情報管理装置210に関連する事項について説明する。   Next, an information system according to the second embodiment of the present invention will be described. Here, in the second embodiment of the present invention, since the personal information management device 210 is different from the first embodiment, items related to the personal information management device 210 will be described below.

なお、第二の実施形態では、情報システムの管理者の選択により、第一の実施形態と同様に匿名個人情報テーブルを生成することができるほか、後述するように、アクセス制御個人情報テーブルも生成することができるようにしている。なお、この選択は、入力部125を介して個人情報管理装置210に設定を行えばよい。   In the second embodiment, an anonymous personal information table can be generated in the same manner as in the first embodiment by selection of an information system administrator, and an access control personal information table is also generated as described later. To be able to. This selection may be set in the personal information management apparatus 210 via the input unit 125.

図16は、個人情報管理装置210の概略図である。   FIG. 16 is a schematic diagram of the personal information management apparatus 210.

図示するように、個人情報管理装置210は、記憶部211と、制御部220と、入力部125と、出力部126と、送受信部127と、を備え、記憶部211及び制御部220が第一の実施形態と異なっているため、以下、これらに関連する事項について説明する。   As illustrated, the personal information management apparatus 210 includes a storage unit 211, a control unit 220, an input unit 125, an output unit 126, and a transmission / reception unit 127. The storage unit 211 and the control unit 220 are the first. Since these are different from the embodiment, the matters related to these will be described below.

記憶部211は、個人情報記憶領域112と、安全変数値群更新時個人情報記憶領域113と、安全変数値群抽出パラメータ記憶領域114と、安全変数値群記憶領域115と、更新状況管理情報記憶領域116と、匿名化条件情報記憶領域117と、匿名個人情報記憶領域118と、匿名化実行日時管理情報記憶領域119と、アクセス制御情報記憶領域228と、を備え、第一の実施形態と比較して、アクセス制御情報記憶領域228が異なっているため、以下、アクセス制御情報記憶領域228について説明する。   The storage unit 211 includes a personal information storage area 112, a safety variable value group update personal information storage area 113, a safety variable value group extraction parameter storage area 114, a safety variable value group storage area 115, and an update status management information storage. An area 116, an anonymization condition information storage area 117, an anonymous personal information storage area 118, an anonymization execution date and time management information storage area 119, and an access control information storage area 228 are provided, which is compared with the first embodiment. Since the access control information storage area 228 is different, the access control information storage area 228 will be described below.

アクセス制御情報記憶領域228には、情報端末140を利用するユーザ毎に、個人情報記憶領域112に記憶されている個人情報テーブル112aに格納されている各々の変数値にアクセス可能か否かを特定する情報が格納される。   In the access control information storage area 228, whether or not each variable value stored in the personal information table 112a stored in the personal information storage area 112 is accessible is specified for each user who uses the information terminal 140. Information to be stored is stored.

例えば、本実施形態においては、情報端末140を利用するユーザ毎に、図17(アクセス制御テーブル228aの概略図)に示すようなアクセス制御テーブル228aがアクセス制御情報記憶領域228に記憶される。   For example, in this embodiment, for each user who uses the information terminal 140, an access control table 228a as shown in FIG. 17 (schematic diagram of the access control table 228a) is stored in the access control information storage area 228.

図示するように、アクセス制御テーブル228aは、IDフィールド228bと、性別フィールド228cと、年令フィールド228dと、郵便番号フィールド228eと、来店頻度フィールド228fと、来店日フィールド228gと、購入額フィールド228hと、を備える。   As shown, the access control table 228a includes an ID field 228b, a gender field 228c, an age field 228d, a postal code field 228e, a store visit frequency field 228f, a store visit date field 228g, and a purchase amount field 228h. .

IDフィールド228bには、個人情報テーブル112aのIDフィールド112bに格納されているIDに対応するIDが格納される。   The ID field 228b stores an ID corresponding to the ID stored in the ID field 112b of the personal information table 112a.

IDフィールド228bで特定されるレコードの、性別フィールド228c、年令フィールド228d、郵便番号フィールド228e、来店頻度フィールド228f、来店日フィールド228g及び購入額フィールド228hには、個人情報テーブル112aの対応するレコード及びフィールドに格納されている情報(変数値)に、情報端末140を利用するユーザがアクセス可能か否かを特定する情報が格納される。   The gender field 228c, the age field 228d, the postal code field 228e, the store visit frequency field 228f, the store visit date field 228g, and the purchase amount field 228h of the record specified by the ID field 228b include the corresponding record and the personal information table 112a. The information (variable value) stored in the field stores information for specifying whether or not the user using the information terminal 140 is accessible.

ここで、本実施形態では、「○」の記号が格納されている場合にはアクセス可能であることを示し、「×」の記号が格納されている場合にはアクセス可能でないことを示すようにしているが、このような態様に限定されるわけではない。   Here, in the present embodiment, when the symbol “◯” is stored, it indicates that it is accessible, and when the symbol “x” is stored, it indicates that it is not accessible. However, the present invention is not limited to such an embodiment.

図16に戻り、制御部220は、情報処理部121と、安全変数値群抽出部122と、更新情報管理部123と、匿名化処理部124と、アクセス制御部229と、を備え、第一の実施形態と比較して、アクセス制御部229が異なっているため、以下、アクセス制御部229について説明する。   Returning to FIG. 16, the control unit 220 includes an information processing unit 121, a safe variable value group extraction unit 122, an update information management unit 123, an anonymization processing unit 124, and an access control unit 229. Since the access control unit 229 is different from that of the embodiment, the access control unit 229 will be described below.

アクセス制御部229は、安全変数値群記憶領域115に記憶されている安全変数値群テーブル115aから、アクセス制御テーブル228aを生成する処理を行う。   The access control unit 229 performs processing for generating the access control table 228a from the safety variable value group table 115a stored in the safety variable value group storage area 115.

具体的には、安全変数値群テーブル115aを参照して、個人情報記憶領域112に記憶されている個人情報テーブル112aにおいて、安全変数値群に含まれている変数値の欄には「○」を格納し、安全変数値群に含まれていない変数値の欄には「×」を格納することで、アクセス制御テーブル228aを生成する。なお、アクセス制御部229は、生成したアクセス制御テーブル228aをアクセス制御情報記憶領域228に記憶する処理を行う。   Specifically, referring to the safety variable value group table 115a, in the personal information table 112a stored in the personal information storage area 112, the variable value included in the safety variable value group has “O” in the column. Is stored, and “×” is stored in the variable value column not included in the safety variable value group, thereby generating the access control table 228a. The access control unit 229 performs processing for storing the generated access control table 228a in the access control information storage area 228.

また、アクセス制御部229は、安全変数値テーブル115aが更新された場合には、安全変数値テーブル115aが更新されたレコードに対応するアクセス制御テーブル228aのレコードの値を更新する処理を行う。   Further, when the safety variable value table 115a is updated, the access control unit 229 performs processing for updating the value of the record in the access control table 228a corresponding to the record in which the safety variable value table 115a is updated.

さらに、アクセス制御部229は、情報端末140からのアクセス要求に対して、情報端末140のユーザに対応するアクセス制御テーブル228aでアクセス可能とされている欄にのみ個人情報テーブル112aの変数値を格納したアクセス制御個人情報テーブルを生成して、情報端末140に送信する処理を行う。   Furthermore, the access control unit 229 stores the variable value of the personal information table 112a only in the column that can be accessed in the access control table 228a corresponding to the user of the information terminal 140 in response to the access request from the information terminal 140. The generated access control personal information table is transmitted to the information terminal 140.

以上に記載した個人情報管理装置210は、例えば、図10に示すような一般的なコンピュータ160で実現できる。   The personal information management apparatus 210 described above can be realized by a general computer 160 as shown in FIG.

例えば、記憶部211は、CPU161がメモリ162又は外部記憶装置163を利用することにより実現可能であり、制御部220は、外部記憶装置163に記憶されている所定のプログラムをメモリ162にロードしてCPU161で実行することで実現可能であり、入力部125は、CPU161が入力装置166を利用することで実現可能であり、出力部126は、CPU161が出力装置167を利用することで実現可能であり、送受信部127は、CPU161が通信装置168を利用することで実現可能である。   For example, the storage unit 211 can be realized by the CPU 161 using the memory 162 or the external storage device 163, and the control unit 220 loads a predetermined program stored in the external storage device 163 into the memory 162. The input unit 125 can be realized by the CPU 161 using the input device 166, and the output unit 126 can be realized by the CPU 161 using the output device 167. The transmission / reception unit 127 can be realized by the CPU 161 using the communication device 168.

この所定のプログラムは、読取装置165を介して記憶媒体164から、あるいは、通信装置168を介してネットワークから、外部記憶装置163にダウンロードされ、それから、メモリ162上にロードされてCPU161により実行されるようにしてもよい。また、読取装置165を介して記憶媒体164から、あるいは、通信装置168を介してネットワークから、メモリ162上に直接ロードされ、CPU161により実行されるようにしてもよい。   The predetermined program is downloaded from the storage medium 164 via the reading device 165 or from the network via the communication device 168 to the external storage device 163, and then loaded onto the memory 162 and executed by the CPU 161. You may do it. Alternatively, the program may be directly loaded on the memory 162 from the storage medium 164 via the reading device 165 or from the network via the communication device 168 and executed by the CPU 161.

図18は、第二の実施形態における情報システムでの処理を示すシーケンス図である。   FIG. 18 is a sequence diagram illustrating processing in the information system according to the second embodiment.

ステップS40〜ステップS42の処理については、第一の実施形態における図13のステップS10〜ステップS12と同様の処理であるため、説明を省略する。   The processes in steps S40 to S42 are the same as the processes in steps S10 to S12 in FIG. 13 in the first embodiment, and thus the description thereof is omitted.

ステップS43では、アクセス制御部229は、アクセス制御テーブル228aの更新を行う。   In step S43, the access control unit 229 updates the access control table 228a.

具体的には、アクセス制御部229は、安全変数値群テーブル115aを安全変数値群記憶領域115から読み出す。   Specifically, the access control unit 229 reads the safety variable value group table 115a from the safety variable value group storage area 115.

そして、アクセス制御部229は、安全変数値群テーブル115aに格納されている安全変数値に対応するアクセス制御テーブル228aの欄には、「○」を、それ以外には「×」を格納することで、アクセス制御テーブル228aの更新を行う。   Then, the access control unit 229 stores “◯” in the field of the access control table 228a corresponding to the safety variable value stored in the safety variable value group table 115a, and stores “X” in the other cases. Thus, the access control table 228a is updated.

次に、アクセス制御部229は、予め定められたタイミング(例えば、情報端末140aからのアクセス(取得)要求があった時)において、アクセス制御個人情報テーブルを生成する(S44)。   Next, the access control unit 229 generates an access control personal information table at a predetermined timing (for example, when there is an access (acquisition) request from the information terminal 140a) (S44).

具体的には、アクセス制御部229は、個人情報記憶領域112から個人情報テーブル112aを取得して、アクセス制御テーブル228aの「×」の値が格納されている欄に対応する欄の変数値を個人情報テーブル112aから削除することで、アクセス制御個人情報テーブルを生成する。   Specifically, the access control unit 229 acquires the personal information table 112a from the personal information storage area 112, and sets the variable value of the column corresponding to the column in which the “x” value of the access control table 228a is stored. By deleting from the personal information table 112a, an access control personal information table is generated.

そして、アクセス制御部229は、送受信部127を介して、生成したアクセス制御個人情報テーブルを情報端末140に送信する。   Then, the access control unit 229 transmits the generated access control personal information table to the information terminal 140 via the transmission / reception unit 127.

このようなアクセス制御個人情報テーブルを受信した情報端末140では、個人情報分析部144が、受信したアクセス制御個人情報テーブルを個人情報記憶領域142に記憶するとともに、特定のタイミングで(例えば、情報端末140のオペレータより入力部145を介して分析指示の入力を受けた時等)、予め定められた法則に従ってアクセス制御個人情報テーブルに格納されている情報を分析し(S46)、例えば、性別、来店日、来店頻度、購入額を条件として抽出した、優良顧客を表すデータのリストを出力部146に出力する(S47)。   In the information terminal 140 that has received such an access control personal information table, the personal information analysis unit 144 stores the received access control personal information table in the personal information storage area 142 and at a specific timing (for example, the information terminal 140), the information stored in the access control personal information table is analyzed according to a predetermined rule (S46). For example, sex, visit to the store A list of data representing excellent customers extracted on the basis of the date, store visit frequency, and purchase price is output to the output unit 146 (S47).

以上に記載したように、アクセス制御テーブル228aをユーザ毎に生成することで、限られた特権ユーザは個人情報テーブル112aの全変数値の参照を許可し、一般ユーザは識別リスクが低い安全変数値群に対応する変数値のみの参照を許可する、という運用が可能になる。   As described above, by generating the access control table 228a for each user, a limited privileged user allows reference to all variable values in the personal information table 112a, and a general user has a safety variable value with low identification risk. The operation of permitting reference to only the variable value corresponding to the group becomes possible.

なお、以上に記載した実施形態においては、ユーザ毎にアクセス制御テーブル228aを生成することとしているが、このような態様に限定されず、例えば、情報端末140で分析を行う分析方法毎や情報端末140毎にアクセス制御テーブル228aを生成するようにしてもよい。   In the embodiment described above, the access control table 228a is generated for each user. However, the present invention is not limited to such an aspect. For example, for each analysis method in which analysis is performed by the information terminal 140 or the information terminal The access control table 228a may be generated every 140.

また、以上に記載した実施形態において、ユーザ(又は分析方法、情報端末140)毎に安全変数値群抽出パラメータ記憶領域114に記憶されているパラメータを異なる値にして(ユーザ等毎に安全変数値群抽出パラメータテーブル114aを生成して)、アクセス制御テーブル228aを生成するようにしてもよい。このようにすることで、ユーザ(又は分析方法、情報端末140)毎に安全性の判断基準を変えることができる。   In the embodiment described above, the parameter stored in the safety variable value group extraction parameter storage area 114 is set to a different value for each user (or analysis method, information terminal 140) (the safety variable value for each user or the like). The access control table 228a may be generated by generating the group extraction parameter table 114a). By doing in this way, the judgment criteria of safety can be changed for every user (or analysis method, information terminal 140).

次に、本発明の第三の実施形態である情報システムについて説明する。ここで、本発明の第三の実施形態では、個人情報管理装置310が第一の実施形態と異なっているため、以下、個人情報管理装置310に関連する事項について説明する。   Next, an information system which is a third embodiment of the present invention will be described. Here, in the third embodiment of the present invention, since the personal information management device 310 is different from the first embodiment, items related to the personal information management device 310 will be described below.

図19は、個人情報管理装置310の概略図である。   FIG. 19 is a schematic diagram of the personal information management apparatus 310.

図示するように、個人情報管理装置310は、記憶部311と、制御部320と、入力部125と、出力部126と、送受信部127と、を備え、記憶部311及び制御部320が第一の実施形態と異なっているため、以下、これらに関連する事項について説明する。   As illustrated, the personal information management apparatus 310 includes a storage unit 311, a control unit 320, an input unit 125, an output unit 126, and a transmission / reception unit 127, and the storage unit 311 and the control unit 320 are first. Since these are different from the embodiment, the matters related to these will be described below.

記憶部311は、個人情報記憶領域112と、安全変数値群更新時個人情報記憶領域113と、安全変数値群抽出パラメータ記憶領域114と、安全変数値群記憶領域115と、更新状況管理情報記憶領域116と、匿名化条件情報記憶領域117と、匿名個人情報記憶領域118と、匿名化実行日時管理情報記憶領域119と、ログ情報記憶領域330と、を備え、第一の実施形態と比較して、ログ情報記憶領域330が異なっているため、以下、ログ情報記憶領域330について説明する。   The storage unit 311 includes a personal information storage area 112, a safety variable value group update time personal information storage area 113, a safety variable value group extraction parameter storage area 114, a safety variable value group storage area 115, and an update status management information storage. An area 116, an anonymization condition information storage area 117, an anonymous personal information storage area 118, an anonymization execution date and time management information storage area 119, and a log information storage area 330 are provided, and compared with the first embodiment. Since the log information storage area 330 is different, the log information storage area 330 will be described below.

ログ情報記憶領域330には、情報端末140から個人情報管理装置310へのアクセスの履歴を特定する情報が格納される。   The log information storage area 330 stores information for identifying the history of access from the information terminal 140 to the personal information management apparatus 310.

例えば、本実施形態においては、図20(ログテーブル330aの概略図)に示すようなログテーブル330aがログ情報記憶領域330に記憶される。   For example, in the present embodiment, a log table 330 a as shown in FIG. 20 (schematic diagram of the log table 330 a) is stored in the log information storage area 330.

図示するように、ログテーブル330aは、日時フィールド330bと、ユーザフィールド330cと、参照条件フィールド330dと、参照レコードフィールド330eと、参照変数フィールド330fと、を備える。   As illustrated, the log table 330a includes a date / time field 330b, a user field 330c, a reference condition field 330d, a reference record field 330e, and a reference variable field 330f.

日時フィールド330bには、情報端末140からアクセスがあった年月日時間を特定する情報が格納される。   The date / time field 330b stores information for specifying the date / time when the information terminal 140 is accessed.

ユーザフィールド330cには、情報端末140からアクセスしたユーザを識別するための識別情報(ユーザID)が格納される。ここで、本実施形態では、情報端末140から個人情報管理装置310にアクセスする際には、アクセス要求にユーザIDを含められているものとする。このため、情報端末140を使用するユーザは、個人情報管理装置310にアクセスする前に、入力部145を介して、ユーザIDを入力するものとする。   In the user field 330c, identification information (user ID) for identifying a user who has accessed from the information terminal 140 is stored. Here, in this embodiment, when accessing the personal information management apparatus 310 from the information terminal 140, it is assumed that the user ID is included in the access request. For this reason, a user who uses the information terminal 140 inputs a user ID via the input unit 145 before accessing the personal information management apparatus 310.

参照条件フィールド330dには、情報端末140から個人情報管理装置310にアクセスしたユーザが、個人情報記憶領域112に記憶されている個人情報テーブル112aを検索した際の参照条件(検索条件)を特定する情報が格納される。   The reference condition field 330d specifies a reference condition (search condition) when a user who has accessed the personal information management apparatus 310 from the information terminal 140 searches the personal information table 112a stored in the personal information storage area 112. Information is stored.

参照レコードフィールド330eには、情報端末140から個人情報管理装置310にアクセスしたユーザが参照した個人情報テーブル112aのレコードのIDを特定する情報が格納される。   The reference record field 330e stores information for specifying the ID of the record in the personal information table 112a referred to by the user who has accessed the personal information management apparatus 310 from the information terminal 140.

参照変数フィールド330fには、情報端末140から個人情報管理装置310にアクセスしたユーザが参照した個人情報テーブル112aの変数値のフィールド名(変数名)を特定する情報が格納される。   The reference variable field 330f stores information for specifying a field name (variable name) of a variable value of the personal information table 112a referred to by a user who has accessed the personal information management apparatus 310 from the information terminal 140.

図19に戻り、制御部320は、情報処理部121と、安全変数値群抽出部122と、更新情報管理部123と、匿名化処理部124と、ログ情報生成部331と、ログ情報出力部332と、を備え、第一の実施形態と比較して、ログ情報生成部331及びログ情報出力部332が異なっているため、以下、ログ情報生成部331及びログ情報出力部332について説明する。   Returning to FIG. 19, the control unit 320 includes an information processing unit 121, a safety variable value group extraction unit 122, an update information management unit 123, an anonymization processing unit 124, a log information generation unit 331, and a log information output unit. 332 and the log information generation unit 331 and the log information output unit 332 are different from those of the first embodiment. Therefore, the log information generation unit 331 and the log information output unit 332 will be described below.

ログ情報生成部331は、情報端末140から個人情報管理装置310にアクセスがある毎に、ログ情報記憶領域330に記憶されているログテーブル330aに新たなレコードを追加して、必要な情報を格納する。   Each time the information terminal 140 accesses the personal information management device 310 from the information terminal 140, the log information generation unit 331 adds a new record to the log table 330a stored in the log information storage area 330 and stores necessary information. To do.

ログ情報出力部332は、特定のタイミング(例えば、入力部125を介してログ情報の参照指示の入力を受け付けた場合)で、安全変数値群テーブル115aを参照することで、ログ情報記憶領域330に記憶されているログテーブル330aのうち、安全変数値群に属する変数値以外の変数値が参照されていることを示すレコードを抽出して、例えば、図21(ログ情報の出力画面332aを示す概略図)に示すような予め定められた表示形式の出力画面332aを生成して、出力部126に出力する処理を行う。   The log information output unit 332 refers to the safety variable value group table 115a at a specific timing (for example, when an input of a log information reference instruction is received via the input unit 125), so that the log information storage area 330 In the log table 330a stored in the table, a record indicating that a variable value other than the variable values belonging to the safety variable value group is referred to is extracted, for example, FIG. 21 (showing the log information output screen 332a) A process of generating an output screen 332a having a predetermined display format as shown in the schematic diagram and outputting it to the output unit 126 is performed.

以上に記載した個人情報管理装置310は、例えば、図10に示すような一般的なコンピュータ160で実現できる。   The personal information management apparatus 310 described above can be realized by a general computer 160 as shown in FIG.

例えば、記憶部311は、CPU161がメモリ162又は外部記憶装置163を利用することにより実現可能であり、制御部320は、外部記憶装置163に記憶されている所定のプログラムをメモリ162にロードしてCPU161で実行することで実現可能であり、入力部125は、CPU161が入力装置166を利用することで実現可能であり、出力部126は、CPU161が出力装置167を利用することで実現可能であり、送受信部127は、CPU161が通信装置168を利用することで実現可能である。   For example, the storage unit 311 can be realized by the CPU 161 using the memory 162 or the external storage device 163, and the control unit 320 loads a predetermined program stored in the external storage device 163 into the memory 162. The input unit 125 can be realized by the CPU 161 using the input device 166, and the output unit 126 can be realized by the CPU 161 using the output device 167. The transmission / reception unit 127 can be realized by the CPU 161 using the communication device 168.

この所定のプログラムは、読取装置165を介して記憶媒体164から、あるいは、通信装置168を介してネットワークから、外部記憶装置163にダウンロードされ、それから、メモリ162上にロードされてCPU161により実行されるようにしてもよい。また、読取装置165を介して記憶媒体164から、あるいは、通信装置168を介してネットワークから、メモリ162上に直接ロードされ、CPU161により実行されるようにしてもよい。   The predetermined program is downloaded from the storage medium 164 via the reading device 165 or from the network via the communication device 168 to the external storage device 163, and then loaded onto the memory 162 and executed by the CPU 161. You may do it. Alternatively, the program may be directly loaded on the memory 162 from the storage medium 164 via the reading device 165 or from the network via the communication device 168 and executed by the CPU 161.

図22は、第三の実施形態における情報システムでの処理を示すシーケンス図である。   FIG. 22 is a sequence diagram illustrating processing in the information system according to the third embodiment.

ステップS50〜ステップS52の処理については、第一の実施形態における図13のステップS10〜ステップS12と同様の処理であるため、説明を省略する。   The processing in steps S50 to S52 is the same as the processing in steps S10 to S12 in FIG. 13 in the first embodiment, and thus the description thereof is omitted.

ステップS53では、情報端末140は、個人情報管理装置310から必要な情報を参照して、必要な個人情報を取得する(S53)。   In step S53, the information terminal 140 refers to necessary information from the personal information management device 310 and acquires necessary personal information (S53).

そして、ログ情報生成部331は、ステップS53における処理を監視し、必要なログ情報を取得して(S54)、取得したログ情報をログ情報記憶領域330に記憶されているログテーブル330aに格納することで、ログテーブル330の更新を行う(S55)。   Then, the log information generation unit 331 monitors the process in step S53, acquires necessary log information (S54), and stores the acquired log information in the log table 330a stored in the log information storage area 330. As a result, the log table 330 is updated (S55).

そして、ログ情報出力部332は、特定のタイミングにおいて、ログ情報記憶領域330に記憶されているログテーブル330aのうち、安全変数値群に属する変数値以外の変数値が参照されていることを示すレコードを抽出して、ログ情報の出力画面332aを生成し(S56)、出力部126に出力する(S57)。   Then, the log information output unit 332 indicates that a variable value other than the variable values belonging to the safety variable value group is referred to in the log table 330a stored in the log information storage area 330 at a specific timing. The record is extracted to generate a log information output screen 332a (S56) and output to the output unit 126 (S57).

なお、個人情報を取得した情報端末140では、個人情報分析部144が、受信した個人情報を個人情報記憶領域142に記憶するとともに、特定のタイミングで(例えば、情報端末140のオペレータより入力部145を介して分析指示の入力を受けた時等)、予め定められた法則に従って個人情報を分析し(S58)、例えば、性別、来店日、来店頻度、購入額を条件として抽出した、優良顧客を表すデータのリストを出力部146に出力する(S59)。   In the information terminal 140 that acquired the personal information, the personal information analysis unit 144 stores the received personal information in the personal information storage area 142 and at a specific timing (for example, the input unit 145 from the operator of the information terminal 140). (E.g., when an analysis instruction is input via the user), and personal information is analyzed according to a predetermined rule (S58). For example, a good customer who is extracted based on gender, date of visit, store visit frequency, and purchase price is selected. A list of data to be represented is output to the output unit 146 (S59).

このように本実施形態では、個人情報テーブル112aの識別リスクが高いレコードを参照したときのアクセスログを優先的に出力することで、個人を特定できる可能性のある個人情報の利用状況を優先的に把握し、適正な個人情報利用が行われているかどうかの監査等に活用することができる。   As described above, in the present embodiment, the access status when a record with a high identification risk in the personal information table 112a is referred to is output preferentially, so that the use status of personal information that may identify an individual is prioritized. It can be used for auditing whether or not appropriate use of personal information is performed.

以上に記載した実施形態においては、安全変数値群抽出部122は、個人情報テーブル112aの更新後の変数値を有する個人情報テーブル112aのレコードから安全変数値群テーブル115aを更新しているが、このような態様に限定されず、例えば、個人情報テーブル112aの更新前の変数値(変更前の変数値)を有する個人情報テーブル112aのレコードも用いて、安全変数値群テーブル115aを更新するようにしてもよい。   In the embodiment described above, the safety variable value group extraction unit 122 updates the safety variable value group table 115a from the record of the personal information table 112a having the updated variable value of the personal information table 112a. For example, the safety variable value group table 115a is updated using a record of the personal information table 112a having a variable value before update (variable value before change) of the personal information table 112a. It may be.

情報システムの概略図。Schematic diagram of an information system. 個人情報管理装置の概略図。Schematic of a personal information management device. 個人情報テーブルの概略図。Schematic of a personal information table. 安全変数値群抽出パラメータテーブルの概略図。The schematic diagram of a safety variable value group extraction parameter table. 安全変数値群テーブルの概略図。Schematic diagram of a safety variable value group table. 更新状況管理テーブルの概略図。Schematic diagram of an update status management table. 匿名化条件テーブルの概略図。Schematic diagram of anonymization condition table. 匿名個人情報テーブルの概略図。Schematic of an anonymous personal information table. 匿名化実行日時テーブルの概略図。The schematic diagram of an anonymization execution date table. コンピュータの概略図。Schematic diagram of a computer. 情報端末の概略図。Schematic diagram of an information terminal. 分析結果表示画面の概略図。Schematic of analysis result display screen. 情報システムでの処理を示すシーケンス図。The sequence diagram which shows the process in an information system. 安全変数値群テーブル更新処理を示すフローチャート。The flowchart which shows a safety variable value group table update process. 情報システムの変形例を示す概略図。Schematic which shows the modification of an information system. 個人情報管理装置の概略図。Schematic of a personal information management device. アクセス制御テーブルの概略図。Schematic of an access control table. 第二の実施形態における情報システムでの処理を示すシーケンス図。The sequence diagram which shows the process in the information system in 2nd embodiment. 個人情報管理装置の概略図。Schematic of a personal information management device. ログテーブルの概略図。Schematic diagram of the log table. ログ情報の出力画面を示す概略図。Schematic which shows the output screen of log information. 第三の実施形態における情報システムでの処理を示すシーケンス図。The sequence diagram which shows the process in the information system in 3rd embodiment.

符号の説明Explanation of symbols

100、100’ 情報システム
110、210、310 個人情報管理装置
111 記憶部
112 個人情報記憶領域
113 安全変数値群更新時個人情報記憶領域
114 安全変数値群抽出パラメータ記憶領域
115 安全変数値群記憶領域
116 更新状況管理情報記憶領域
117 匿名化条件情報記憶領域
118 匿名個人情報記憶領域
119 匿名化実行日時管理情報記憶領域
228 アクセス制御情報記憶領域228
330 ログ情報記憶領域
120 制御部
121 情報処理部
122 安全変数値群抽出部
123 更新情報管理部
124 匿名化処理部
229 アクセス制御部
331 ログ情報生成部
332 ログ情報出力部
125 入力部
126 出力部
127 送受信部
140 情報端末
100, 100 ′ Information system 110, 210, 310 Personal information management device 111 Storage unit 112 Personal information storage area 113 Safety variable value group update personal information storage area 114 Safety variable value group extraction parameter storage area 115 Safety variable value group storage area 116 Update status management information storage area 117 Anonymization condition information storage area 118 Anonymous personal information storage area 119 Anonymization execution date and time management information storage area 228 Access control information storage area 228
330 log information storage area 120 control unit 121 information processing unit 122 safety variable value group extraction unit 123 update information management unit 124 anonymization processing unit 229 access control unit 331 log information generation unit 332 log information output unit 125 input unit 126 output unit 127 Transceiver 140 Information terminal

Claims (15)

1以上の項目に対応する情報を格納した個人情報を1レコードとする個人情報テーブルと、
前記項目毎に、同じ情報が格納されている前記個人情報の数が予め定められた数以上である情報を安全情報として、前記個人情報毎に1レコードに格納した安全情報群テーブルと、
を記憶する記憶部と、制御部と、を有する情報管理装置であって、
前記制御部は、
前記個人情報テーブルの更新が行われた場合に、更新後の情報が格納されている個人情報を特定する処理と、
特定された個人情報において、項目毎に、変更後の情報と同じ情報が格納されている数を集計する処理と、
集計した数が、前記予め定められた数以上である場合に、変更後の情報を安全情報として、前記安全情報群テーブルに格納する処理と、を行うこと、
を特徴とする情報管理装置。
A personal information table having one record of personal information storing information corresponding to one or more items;
For each item, a safety information group table stored in one record for each personal information, as safety information, the number of the personal information in which the same information is stored is a predetermined number or more,
An information management device having a storage unit for storing
The controller is
When the personal information table is updated, a process for identifying personal information in which updated information is stored;
In the identified personal information, for each item, a process of counting the number of stored information the same as the information after the change,
When the total number is equal to or greater than the predetermined number, performing the process of storing the changed information as safety information in the safety information group table,
An information management device characterized by the above.
請求項1に記載の情報管理装置であって、
前記制御部は、
前記個人情報テーブルに格納されている情報のうち、前記安全情報群テーブルに格納されていない情報を、予め定められた法則により他の情報に変換することで、前記個人情報テーブルを匿名化した匿名化個人情報テーブルを生成する処理を行うこと、
を特徴とする情報管理装置。
The information management device according to claim 1,
The controller is
Of the information stored in the personal information table, the information that is not stored in the safety information group table is converted to other information according to a predetermined rule, thereby anonymizing the personal information table Process to generate personalized personal information table,
An information management device characterized by the above.
請求項1又は2に記載の情報管理装置であって、
前記制御部は、
前記個人情報テーブルに格納されている情報のうち、前記安全情報群テーブルに格納されていない情報を削除することで、前記個人情報テーブルの特定の情報にアクセスすることができないアクセス制限個人情報テーブルを生成する処理を行うこと、
を特徴とする情報管理装置。
The information management device according to claim 1 or 2,
The controller is
An access-restricted personal information table that cannot access specific information in the personal information table by deleting information that is not stored in the safety information group table among information stored in the personal information table. Performing the process to generate,
An information management device characterized by the above.
請求項2又は3に記載の情報管理装置であって、
前記制御部は、
他の装置から個人情報の取得要求があった場合には、前記匿名化個人情報テーブル又は前記アクセス制限個人情報テーブルを、前記他の装置に出力する処理を行うこと、
を特徴とする情報管理装置。
The information management device according to claim 2 or 3,
The controller is
When there is a request for acquisition of personal information from another device, performing the process of outputting the anonymized personal information table or the access restricted personal information table to the other device;
An information management device characterized by the above.
請求項1乃至4のいずれか一項に記載の情報管理装置であって、
前記制御部は、
他の装置から前記個人情報テーブルに格納された情報を参照した履歴情報を取得する処理と、
他の装置から参照された情報が、前記安全情報群テーブルに格納されていない情報である履歴情報を予め定められた出力形式にして出力する処理と、を行うこと、
を特徴とする情報管理装置。
An information management device according to any one of claims 1 to 4,
The controller is
Processing to obtain history information referring to information stored in the personal information table from another device;
Performing a process of outputting history information, which is information that is not stored in the safety information group table, in a predetermined output format, which is referred to by other devices,
An information management device characterized by the above.
コンピュータを、
1以上の項目に対応する情報を格納した個人情報を1レコードとする個人情報テーブルと、
前記項目毎に、同じ情報が格納されている前記個人情報の数が予め定められた数以上である情報を安全情報として、前記個人情報毎に1レコードに格納した安全情報群テーブルと、
を記憶する記憶手段、制御手段、として機能させるプログラムであって、
前記制御手段に、
前記個人情報テーブルの更新が行われた場合に、更新後の情報が格納されている個人情報を特定する処理と、
特定された個人情報において、項目毎に、変更後の情報と同じ情報が格納されている数を集計する処理と、
集計した数が、前記予め定められた数以上である場合に、変更後の情報を安全情報として、前記安全情報群テーブルに格納する処理と、を行わせること、
を特徴とするプログラム。
Computer
A personal information table having one record of personal information storing information corresponding to one or more items;
For each item, a safety information group table stored in one record for each personal information, as safety information, the number of the personal information in which the same information is stored is a predetermined number or more,
A program for functioning as storage means and control means for storing
In the control means,
When the personal information table is updated, a process for identifying personal information in which updated information is stored;
In the identified personal information, for each item, a process of counting the number of stored information that is the same as the information after the change,
When the total number is equal to or greater than the predetermined number, the information after the change is stored as safety information in the safety information group table, and
A program characterized by
請求項6に記載のプログラムであって、
前記制御手段に、
前記個人情報テーブルに格納されている情報のうち、前記安全情報群テーブルに格納されていない情報を、予め定められた法則により他の情報に変換することで、前記個人情報テーブルを匿名化した匿名化個人情報テーブルを生成する処理を行わせること、
を特徴とするプログラム。
The program according to claim 6,
In the control means,
Of the information stored in the personal information table, the information that is not stored in the safety information group table is converted to other information according to a predetermined rule, thereby anonymizing the personal information table To generate a personalized personal information table,
A program characterized by
請求項6又は7に記載のプログラムであって、
前記制御手段に、
前記個人情報テーブルに格納されている情報のうち、前記安全情報群テーブルに格納されていない情報を削除することで、前記個人情報テーブルの特定の情報にアクセスすることができないアクセス制限個人情報テーブルを生成する処理を行わせること、
を特徴とするプログラム。
The program according to claim 6 or 7,
In the control means,
An access-restricted personal information table that cannot access specific information in the personal information table by deleting information that is not stored in the safety information group table among information stored in the personal information table. Let the process to generate,
A program characterized by
請求項7又は8に記載のプログラムであって、
前記制御手段に、
他の装置から個人情報の取得要求があった場合には、前記匿名化個人情報テーブル又は前記アクセス制限個人情報テーブルを、前記他の装置に出力する処理を行わせること、
を特徴とするプログラム。
The program according to claim 7 or 8,
In the control means,
When there is a request for acquisition of personal information from another device, the processing for outputting the anonymized personal information table or the access restricted personal information table to the other device is performed.
A program characterized by
請求項6乃至9のいずれか一項に記載のプログラムであって、
前記制御手段に、
他の装置から前記個人情報テーブルに格納された情報を参照した履歴情報を取得する処理と、
他の装置から参照された情報が、前記安全情報群テーブルに格納されていない情報である履歴情報を予め定められた出力形式にして出力する処理と、を行わせること、
を特徴とするプログラム。
A program according to any one of claims 6 to 9,
In the control means,
Processing to obtain history information referring to information stored in the personal information table from another device;
Processing to output history information, which is information that is not stored in the safety information group table, in a predetermined output format, which is referred to by other devices,
A program characterized by
1以上の項目に対応する情報を格納した個人情報を1レコードとする個人情報テーブルと、
前記項目毎に、同じ情報が格納されている前記個人情報の数が予め定められた数以上である情報を安全情報として、前記個人情報毎に1レコードに格納した安全情報群テーブルと、
を記憶する記憶部と、制御部と、を有する情報管理装置が行う情報管理方法であって、
前記制御部が、前記個人情報テーブルの更新が行われた場合に、更新後の情報が格納されている個人情報を特定する処理を行う過程と、
前記制御部が、特定された個人情報において、項目毎に、変更後の情報と同じ情報が格納されている数を集計する処理を行う過程と、
前記制御部が、集計した数が、前記予め定められた数以上である場合に、変更後の情報を安全情報として、前記安全情報群テーブルに格納する処理を行う過程と、を備えること、
を特徴とする情報管理方法。
A personal information table having one record of personal information storing information corresponding to one or more items;
For each item, a safety information group table stored in one record for each personal information, as safety information, the number of the personal information in which the same information is stored is a predetermined number or more,
An information management method performed by an information management apparatus having a storage unit for storing the information and a control unit,
A process in which the control unit performs a process of identifying personal information in which updated information is stored when the personal information table is updated;
In the specified personal information, for each item, the control unit performs a process of counting the number of stored information that is the same as the changed information;
A step of performing a process of storing the changed information as safety information in the safety information group table when the total number of the control unit is equal to or greater than the predetermined number;
Information management method characterized by
請求項11に記載の情報管理方法であって、
前記制御部が、前記個人情報テーブルに格納されている情報のうち、前記安全情報群テーブルに格納されていない情報を、予め定められた法則により他の情報に変換することで、前記個人情報テーブルを匿名化した匿名化個人情報テーブルを生成する処理を行う過程を備えること、
を特徴とする情報管理方法。
An information management method according to claim 11,
The control unit converts the information stored in the personal information table, which is not stored in the safety information group table, into other information according to a predetermined rule, thereby the personal information table Providing a process of generating an anonymized personal information table that has been anonymized,
Information management method characterized by
請求項11又は12に記載の情報管理方法であって、
前記制御部が、前記個人情報テーブルに格納されている情報のうち、前記安全情報群テーブルに格納されていない情報を削除することで、前記個人情報テーブルの特定の情報にアクセスすることができないアクセス制限個人情報テーブルを生成する処理を行う過程を備えること、
を特徴とする情報管理方法。
The information management method according to claim 11 or 12,
Access by which the control unit cannot access specific information in the personal information table by deleting information that is not stored in the safety information group table from information stored in the personal information table Providing a process of generating a restricted personal information table;
Information management method characterized by
請求項12又は13に記載の情報管理方法であって、
前記制御部が、他の装置から個人情報の取得要求があった場合には、前記匿名化個人情報テーブル又は前記アクセス制限個人情報テーブルを、前記他の装置に出力する処理を行う過程を備えること、
を特徴とする情報管理方法。
An information management method according to claim 12 or 13,
The controller includes a process of performing processing to output the anonymized personal information table or the access restricted personal information table to the other device when there is a request for acquiring personal information from the other device. ,
Information management method characterized by
請求項11乃至14のいずれか一項に記載の情報管理方法であって、
前記制御部が、他の装置から前記個人情報テーブルに格納された情報を参照した履歴情報を取得する処理を行う過程と、
前記制御部が、他の装置から参照された情報が、前記安全情報群テーブルに格納されていない情報である履歴情報を予め定められた出力形式にして出力する処理を行う過程と、を備えること、
を特徴とする情報管理方法。
The information management method according to any one of claims 11 to 14,
A process in which the control unit performs a process of acquiring history information referring to information stored in the personal information table from another device;
A step of performing a process in which the control unit outputs history information, which is information not stored in the safety information group table, in a predetermined output format. ,
Information management method characterized by
JP2008017995A 2008-01-29 2008-01-29 Information management apparatus, program, and information management method. Expired - Fee Related JP4956455B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008017995A JP4956455B2 (en) 2008-01-29 2008-01-29 Information management apparatus, program, and information management method.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008017995A JP4956455B2 (en) 2008-01-29 2008-01-29 Information management apparatus, program, and information management method.

Publications (2)

Publication Number Publication Date
JP2009181207A true JP2009181207A (en) 2009-08-13
JP4956455B2 JP4956455B2 (en) 2012-06-20

Family

ID=41035171

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008017995A Expired - Fee Related JP4956455B2 (en) 2008-01-29 2008-01-29 Information management apparatus, program, and information management method.

Country Status (1)

Country Link
JP (1) JP4956455B2 (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011123712A (en) * 2009-12-11 2011-06-23 Atsushi Tashiro Outsourced analysis system of personal information
JP2013073429A (en) * 2011-09-28 2013-04-22 Fujitsu Ltd Information processing method and device
JP2013080375A (en) * 2011-10-04 2013-05-02 Hitachi Ltd Personal information anonymizing device and method
JP2014016675A (en) * 2012-07-05 2014-01-30 Fujitsu Ltd Control program, information processor and system
WO2014125557A1 (en) * 2013-02-12 2014-08-21 株式会社日立製作所 Computer, data access management method, and recording medium
JP2014199589A (en) * 2013-03-29 2014-10-23 ニフティ株式会社 Anonymous information distribution system, anonymous information distribution method and anonymous information distribution program
JP5733218B2 (en) * 2009-12-25 2015-06-10 日本電気株式会社 Condition judgment system and condition judgment method
US9076010B2 (en) 2011-01-05 2015-07-07 Nec Corporation Anonymization device
JP2015143894A (en) * 2014-01-31 2015-08-06 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Information processing device, information processing method, and program
JP5796574B2 (en) * 2010-05-10 2015-10-21 日本電気株式会社 Information processing apparatus, control method, and program
JP2017021739A (en) * 2015-07-15 2017-01-26 株式会社リコー Information processing system, information processing device, and program
US10346639B2 (en) 2014-02-13 2019-07-09 Kabushiki Kaisha Toshiba Anonymization identifier computing system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004110122A (en) * 2002-09-13 2004-04-08 Toshiba Corp Data readout management program, system, and method
JP2004287846A (en) * 2003-03-20 2004-10-14 Ntt Data Corp Individual specification preventing device, individual specification preventing method and program
JP2008217425A (en) * 2007-03-05 2008-09-18 Hitachi Ltd Information output device, information output method, and information output program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004110122A (en) * 2002-09-13 2004-04-08 Toshiba Corp Data readout management program, system, and method
JP2004287846A (en) * 2003-03-20 2004-10-14 Ntt Data Corp Individual specification preventing device, individual specification preventing method and program
JP2008217425A (en) * 2007-03-05 2008-09-18 Hitachi Ltd Information output device, information output method, and information output program

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011123712A (en) * 2009-12-11 2011-06-23 Atsushi Tashiro Outsourced analysis system of personal information
JP5733218B2 (en) * 2009-12-25 2015-06-10 日本電気株式会社 Condition judgment system and condition judgment method
JP5796574B2 (en) * 2010-05-10 2015-10-21 日本電気株式会社 Information processing apparatus, control method, and program
US9076010B2 (en) 2011-01-05 2015-07-07 Nec Corporation Anonymization device
JP2013073429A (en) * 2011-09-28 2013-04-22 Fujitsu Ltd Information processing method and device
US8996825B2 (en) 2011-09-28 2015-03-31 Fujitsu Limited Judgment apparatus, judgment method, and recording medium of judgment program
JP2013080375A (en) * 2011-10-04 2013-05-02 Hitachi Ltd Personal information anonymizing device and method
JP2014016675A (en) * 2012-07-05 2014-01-30 Fujitsu Ltd Control program, information processor and system
US9250806B2 (en) 2012-07-05 2016-02-02 Fujitsu Limited Computer-readable recording medium, information processing device, and system
WO2014125557A1 (en) * 2013-02-12 2014-08-21 株式会社日立製作所 Computer, data access management method, and recording medium
JP2014199589A (en) * 2013-03-29 2014-10-23 ニフティ株式会社 Anonymous information distribution system, anonymous information distribution method and anonymous information distribution program
JP2015143894A (en) * 2014-01-31 2015-08-06 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Information processing device, information processing method, and program
US9866590B2 (en) 2014-01-31 2018-01-09 International Business Machines Corporation Processing information based on policy information of a target user
US10346639B2 (en) 2014-02-13 2019-07-09 Kabushiki Kaisha Toshiba Anonymization identifier computing system
JP2017021739A (en) * 2015-07-15 2017-01-26 株式会社リコー Information processing system, information processing device, and program

Also Published As

Publication number Publication date
JP4956455B2 (en) 2012-06-20

Similar Documents

Publication Publication Date Title
JP4956455B2 (en) Information management apparatus, program, and information management method.
TWI398824B (en) A provider, a provider, a provider, and a computer-readable recording medium that memorizes its program
KR101897080B1 (en) Method and Apparatus for generating association rules between medical words in medical record document
JP6603600B2 (en) Demand forecasting method, demand forecasting apparatus, and computer-readable recording medium recording demand forecasting program
KR20220059296A (en) Method For Providing Insurance Product Information And Apparatus Therefor
JP2017117394A (en) Generator, generation method, and generation program
AU2012291476B2 (en) Device for providing information, method for providing information, program for providing information, and computer-readable recording medium storing program for same
JP6917348B2 (en) Providing equipment, providing method, and providing program
US20140006553A1 (en) Anonymizing apparatus and anonymizing method
Stevens et al. At the center of health care policy making: the use of health technology assessment at NICE
JP2018185575A (en) Provision device, provision method and provision program
JP2012058785A (en) Information sharing system and information management device
JP6018541B2 (en) RECOMMENDATION RULE GENERATION DEVICE, RECOMMENDATION RULE GENERATION METHOD, AND RECOMMENDATION RULE GENERATION PROGRAM
US20150206158A1 (en) System and method for spend analysis of the service category
US20220012766A1 (en) Methods and systems for facilitating managing purchase of medications
CN112488854B (en) Personalized recommendation method for service manager and related equipment
JP2015079460A (en) Information processor and program
JP5401430B2 (en) Medical information management apparatus and medical information management method
JP2005135042A (en) Information processor, control method for information processor, program, and recording medium
US10229440B2 (en) Accelerated price calculation using in-memory technology
JP7119379B2 (en) Information processing device, information processing system and program
JP6159276B2 (en) Sales information registration processing device, point server, and point processing program
KR102318539B1 (en) Method for operating medical personnel matching platform and apparatus for the same
JP7493087B1 (en) Information processing device and information processing method
JP7226782B2 (en) Anonymization level determination device, anonymization level determination method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100903

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120221

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120316

R151 Written notification of patent or utility model registration

Ref document number: 4956455

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150323

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees