JP2010093424A - Data sum-up system, disturbance apparatus, reconfiguration apparatus, data sum-up method, disturbance program, and reconfiguration program - Google Patents

Data sum-up system, disturbance apparatus, reconfiguration apparatus, data sum-up method, disturbance program, and reconfiguration program Download PDF

Info

Publication number
JP2010093424A
JP2010093424A JP2008259660A JP2008259660A JP2010093424A JP 2010093424 A JP2010093424 A JP 2010093424A JP 2008259660 A JP2008259660 A JP 2008259660A JP 2008259660 A JP2008259660 A JP 2008259660A JP 2010093424 A JP2010093424 A JP 2010093424A
Authority
JP
Japan
Prior art keywords
data
disturbance
function
conversion
inverse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008259660A
Other languages
Japanese (ja)
Other versions
JP5307499B2 (en
Inventor
Masaru Igarashi
大 五十嵐
Koji Senda
浩司 千田
Katsumi Takahashi
克巳 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008259660A priority Critical patent/JP5307499B2/en
Publication of JP2010093424A publication Critical patent/JP2010093424A/en
Application granted granted Critical
Publication of JP5307499B2 publication Critical patent/JP5307499B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technology for ensuring the accuracy of a statistical value and data confidentiality in data sum-up processing using disturbance processing and reconfiguration processing. <P>SOLUTION: The disturbance apparatus performs conversion processing by using a function capable of defining an inverse function on input data, performs the disturbance processing on converted data obtained by the conversion processing, and transmits disturbance data obtained by the disturbance processing. The reconfiguration apparatus receives the disturbance data from the disturbance apparatus, performs the reconfiguration processing on the received disturbance data, calculates the statistical value statistically obtained from the converted data, and performs inverse conversion processing by using the inverse function of the function used in the conversion processing on the statistical value. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、データベースにおける個々のデータを秘匿しつつ、それらのデータの集計結果として、統計的手法による統計値のみを得る技術に関する。   The present invention relates to a technique for obtaining only a statistical value by a statistical method as a totaling result of data while keeping individual data in a database secret.

企業等の各種組織が所有する顧客情報などの流通に対してセンシティブなデータは、学術研究、マーケティング分析、統計調査など様々な領域で価値のある情報となり得る。したがって、この種のデータの流通には十分なニーズがある。しかし、プライバシーや個人情報を保護する観点から、そのようなセンシティブなデータをそのまま流通させるべきではない。   Data sensitive to the distribution of customer information and the like owned by various organizations such as companies can be valuable information in various fields such as academic research, marketing analysis, and statistical research. Therefore, there is a sufficient need for this kind of data distribution. However, such sensitive data should not be distributed as it is from the viewpoint of protecting privacy and personal information.

そのような背景から、データを秘匿しつつ、流通させることを可能にする技術が提案されている。例えば、データベースにおける個々のデータを秘匿しつつ、統計的手法によりクロス集計結果のみを得る技術として、非特許文献1に開示されたプライバシー保護カウント演算がある。   From such a background, a technique has been proposed that enables data to be distributed while keeping it secret. For example, as a technique for obtaining only the cross tabulation result by a statistical method while keeping individual data in a database secret, there is a privacy protection count calculation disclosed in Non-Patent Document 1.

非特許文献1に開示された処理は基本的に、個々のデータの秘匿性を高める処理(撹乱処理)と、撹乱されたデータ群から真の統計値の近似値を得る処理(再構築処理)からなる。   The processing disclosed in Non-Patent Document 1 is basically processing that increases the confidentiality of individual data (disturbance processing), and processing that obtains an approximate value of a true statistical value from the disturbed data group (reconstruction processing). Consists of.

データを集計する側には撹乱処理後のデータが送られ、そこで元のデータを復元することなく統計値の近似値のみが算出される。これにより個々のデータの秘匿性を保ちつつ、その集計結果として有用な統計値を得ることができる。
高見澤 秀久,有次 正義、“プライバシーを保護するカウント演算の多値属性分類への適用”、DEWS2007 A2−3、電子情報通信学会 The data after the disturbance processing is sent to the data collecting side, and only the approximate value of the statistical value is calculated without restoring the original data. As a result, it is possible to obtain a statistical value useful as a result of aggregation while maintaining the confidentiality of the individual data.
Hidehisa Takamizawa, Masayoshi Ariji, “Application of multi-value attribute classification to count operations that protect privacy”, DEWS2007 A2-3, IEICE

上述したような撹乱処理と再構築処理からなる集計処理では、一般的にデータ秘匿性の高さと統計値の精度の間にトレードオフが存在する。すなわち、データ数を固定としたとき、撹乱の度合いを高めるようとすると統計値の精度が低下し、逆に、統計値の精度を高めようとすると撹乱の度合いが低下する。そのため、撹乱処理と再構築処理を用いたデータ集計処理において統計値の精度の向上とデータ秘匿性の向上とを両立させる技術が求められている。   In the aggregation process composed of the disturbance process and the reconstruction process as described above, there is generally a trade-off between the high data confidentiality and the statistical value accuracy. That is, when the number of data is fixed, if the degree of disturbance is increased, the accuracy of the statistical value is lowered, and conversely, if the accuracy of the statistical value is increased, the degree of disturbance is reduced. For this reason, there is a need for a technique that achieves both improved accuracy of statistical values and improved data confidentiality in data aggregation processing using disturbance processing and reconstruction processing.

本発明の目的は、撹乱処理と再構築処理を用いたデータ集計処理において統計値の精度とデータ秘匿性とを両立させる技術を提供することである。   An object of the present invention is to provide a technique that achieves both the accuracy of statistical values and data confidentiality in data aggregation processing using disturbance processing and reconstruction processing.

上記目的を達成するために、本発明のデータ集計システムは、
入力されたデータに対して、逆関数が定義可能な関数による変換処理を行い、前記変換処理によって得られた変換データに対して撹乱処理を行い、前記撹乱処理によって得られた撹乱データを送信する撹乱装置と、
前記撹乱装置から前記撹乱データを受信し、該撹乱データに対して再構築処理を行うことにより、前記変換データから統計的に得られる統計値を算出し、前記統計値に対して、前記変換処理に用いられた前記関数の逆関数による逆変換処理を行う再構築装置と、を有している。 In order to achieve the above object, the data aggregation system of the present invention provides:
The input data is converted by a function that can define an inverse function, the conversion data obtained by the conversion process is subjected to disturbance processing, and the disturbance data obtained by the disturbance processing is transmitted. A disturbance device,
By receiving the disturbance data from the disturbance device and performing a reconstruction process on the disturbance data, a statistical value obtained statistically from the converted data is calculated, and the conversion process is performed on the statistical value. And a reconstruction device that performs an inverse transformation process using an inverse function of the function used in the above.

また、前記撹乱装置による前記変換処理は、逆関数が定義可能な関数Rを用いて、入力データri=(ai1,・・・,ain)を、変換データR(ri)=(bi1,・・・,bin)に変換する処理であり、
前記再構築装置による前記逆変換処理は、前記関数Rの逆関数を用いて、前記変換データR(ri)=(bi1,・・・,bin)から統計的に得られる統計値を、前記入力データri=(ai1,・・・,ain)から統計的に得られる統計値に変換する処理であることにしてもよい。 In addition, the conversion process by the disturbance device uses the function R that can define an inverse function to convert the input data r i = (a i1 ,..., A in ) into the conversion data R (r i ) = ( b i1 ,..., b in )
The inverse transformation process by the reconstruction device uses a reverse function of the function R to obtain a statistical value statistically obtained from the transformation data R (r i ) = (b i1 ,..., B in ). The input data r i = (a i1 ,..., A in ) may be converted into statistical values obtained statistically.

本発明によれば、入力データに対して、撹乱処理だけでなく、変換処理を行うので、データの秘匿性が向上する。その一方で、変換処理および逆変換処理では統計値の精度は低下しないので、統計値の精度の低下は撹乱処理による分だけに抑えられる。したがって、本実施形態によれば、撹乱処理と再構築処理を用いたデータ集計処理において統計値の精度とデータ秘匿性とを両立させることができる。   According to the present invention, since not only the disturbance process but also the conversion process is performed on the input data, the confidentiality of the data is improved. On the other hand, since the accuracy of the statistical value does not decrease in the conversion process and the inverse conversion process, the decrease in the accuracy of the statistical value can be suppressed only by the disturbance process. Therefore, according to the present embodiment, it is possible to achieve both the accuracy of statistical values and the data confidentiality in the data aggregation process using the disturbance process and the reconstruction process.

本発明を実施するための形態について図面を参照して詳細に説明する。   Embodiments for carrying out the present invention will be described in detail with reference to the drawings.

図1は、本発明の実施形態によるデータ集計システムの構成を示すブロック図である。データ集計システムは、各主体10のデータベース12における個々のデータを秘匿しつつ、それらのデータの集計結果として、統計的手法による統計値のみを得るシステムであり、再構築装置13と複数の撹乱装置11とを有している。撹乱装置11にはそれぞれにデータベース12が備えられている。   FIG. 1 is a block diagram showing a configuration of a data tabulation system according to an embodiment of the present invention. The data totaling system is a system that obtains only statistical values by a statistical method as a totaling result of the data while concealing individual data in the database 12 of each subject 10, and includes a reconstruction device 13 and a plurality of disturbance devices. 11. Each disturbance device 11 is provided with a database 12.

例えば、企業等である主体10が撹乱装置11およびデータベース12を備え、各企業のデータベース12の個々のデータを秘匿しつつ、再構築装置13によってクロス集計の結果を取得するというような構成および運用が想定される。   For example, a configuration and operation in which a main body 10 such as a company is provided with a disturbance device 11 and a database 12, and the reconstructing device 13 acquires the result of cross tabulation while keeping individual data in the database 12 of each company secret. Is assumed.

撹乱装置11は、データベース12のデータを入力とし、その入力データに対して、逆関数が定義可能な関数Rによる変換処理を行う。この変換処理は、関数Rを用いて、入力データri=(ai1,・・・,ain)を、変換データR(ri)=(bi1,・・・,bin)に変換する処理である。そして更に、撹乱装置11は、その変換処理によって得られた変換データに対して撹乱処理を行い、得られた撹乱データを再構築装置13に送信する。 The disturbance device 11 receives data in the database 12 as input, and performs a conversion process on the input data using a function R that can define an inverse function. In this conversion processing, the input data r i = (a i1 ,..., A in ) is converted into converted data R (r i ) = (b i1 ,..., B in ) using the function R. It is processing to do. Further, the disturbance device 11 performs a disturbance process on the conversion data obtained by the conversion process, and transmits the obtained disturbance data to the reconstruction device 13.

再構築装置13は、撹乱装置11のそれぞれから撹乱データを受信し、撹乱データに対して再構築処理を行う。再構築処理は、変換データから統計的に得られであろう統計値を、撹乱データから算出する処理である。撹乱データには、統計値の精度を低下させるような撹乱処理が行われているので、その撹乱データから算出される統計値は、変換データから統計的に得られる統計値の近似値となる。   The reconstruction device 13 receives disturbance data from each of the disturbance devices 11 and performs a reconstruction process on the disturbance data. The reconstruction process is a process of calculating a statistical value that will be statistically obtained from the conversion data from the disturbance data. Since the disturbance data is subjected to disturbance processing that reduces the accuracy of the statistical value, the statistical value calculated from the disturbance data is an approximate value of the statistical value statistically obtained from the converted data.

そして更に、再構築装置13は、変換データから統計的に得られる統計値(近似値)に対して、変換処理に用いられた関数Rの逆関数による逆変換処理を行う。この逆変換処理は、関数Rの逆関数を用いて、変換データR(ri)=(bi1,・・・,bin)から統計的に得られる統計値を、入力データri=(ai1,・・・,ain)から統計的に得られる統計値に変換する処理である。これにより、変換データから統計的に得られる統計値の近似値が、入力データから統計的に得られる統計値の近似値に変換される。 Further, the reconstruction device 13 performs an inverse conversion process on the statistical value (approximate value) statistically obtained from the conversion data by using an inverse function of the function R used for the conversion process. In this inverse transformation process, a statistical value obtained statistically from the transformed data R (r i ) = (b i1 ,..., B in ) using an inverse function of the function R is converted into the input data r i = ( a i1 ,..., a in ) are converted into statistical values obtained statistically. Thereby, the approximate value of the statistical value statistically obtained from the converted data is converted into the approximate value of the statistical value statistically obtained from the input data.

以上、説明したように、本実施形態のデータ集計システムでは、撹乱装置11は、入力データに対して、統計値の精度との間にトレードオフが存在する撹乱処理だけでなく、逆関数が定義可能な関数Rによる変換処理も行う。撹乱処理と関数Rによる変換処理とを組み合わせることによりデータの秘匿性が向上する。その一方で、関数Rによる変換と、関数Rの逆関数による逆変換とによっては統計値の精度は低下しないので、統計値の精度の低下は撹乱処理による分だけに抑えられる。したがって、本実施形態によれば、撹乱処理と再構築処理を用いたデータ集計処理において統計値の精度とデータ秘匿性とを両立させることができる。   As described above, in the data tabulation system of the present embodiment, the disturbance device 11 defines not only the disturbance processing in which there is a trade-off between the accuracy of the statistical values but also the inverse function for the input data. A conversion process using a possible function R is also performed. By combining the disturbance process and the conversion process using the function R, the confidentiality of the data is improved. On the other hand, since the accuracy of the statistical value is not lowered by the transformation by the function R and the inverse transformation by the inverse function of the function R, the degradation of the statistical value accuracy is suppressed only by the disturbance processing. Therefore, according to the present embodiment, it is possible to achieve both the accuracy of statistical values and the data confidentiality in the data aggregation process using the disturbance process and the reconstruction process.

以下、本実施形態の構成および動作をより具体的に説明する。   Hereinafter, the configuration and operation of the present embodiment will be described more specifically.

図2は、データベース12の一例を示す図である。図2に示すように、この例では、データベース12は複数のレコードriで構成されている。各レコードriには複数の属性Ajについての属性値ajkが含まれている。 FIG. 2 is a diagram illustrating an example of the database 12. As shown in FIG. 2, in this example, the database 12 is composed of a plurality of records r i . Each record r i includes attribute values a jk for a plurality of attributes A j .

図3は、撹乱装置11の構成を示すブロック図である。図3を参照すると、撹乱装置11は、入力部21、変換部22、撹乱部23、および送信部24を有している。   FIG. 3 is a block diagram showing the configuration of the disturbance device 11. Referring to FIG. 3, the disturbance device 11 includes an input unit 21, a conversion unit 22, a disturbance unit 23, and a transmission unit 24.

入力部21は、データベース12からのデータを入力する。変換部22は、入力部21によって入力されたデータに対して、上述の関数Rを用いた変換処理を行うことにより、変換データを生成する。撹乱部23は、変換部22によって生成された変換データに対して、上述の撹乱処理を行うことにより、撹乱データを生成する。送信部24は、撹乱部23によって生成された撹乱データを再構築装置13に送信する。   The input unit 21 inputs data from the database 12. The conversion unit 22 generates conversion data by performing conversion processing using the above-described function R on the data input by the input unit 21. The disturbance part 23 produces | generates disturbance data by performing the above-mentioned disturbance process with respect to the conversion data produced | generated by the conversion part 22. FIG. The transmission unit 24 transmits the disturbance data generated by the disturbance unit 23 to the reconstruction device 13.

図4は、再構築装置13の構成を示すブロック図である。図4を参照すると、再構築装置13は、受信部31、再構築部32、および逆変換部33を有している。   FIG. 4 is a block diagram showing the configuration of the reconstruction device 13. Referring to FIG. 4, the reconstruction device 13 includes a reception unit 31, a reconstruction unit 32, and an inverse conversion unit 33.

受信部31は、撹乱装置11から撹乱データを受信する。再構築部32は、受信部31によって受信された撹乱データから、変換データから得られる統計値の近似値を算出する。逆変換部33は、再構築部32によって算出された、変換データから得られる統計値の近似値に対して上述の逆変換処理を行うことにより、入力データから得られる統計値の近似値を得る。   The receiving unit 31 receives disturbance data from the disturbance device 11. The reconstruction unit 32 calculates an approximate value of a statistical value obtained from the conversion data from the disturbance data received by the reception unit 31. The inverse transform unit 33 obtains an approximate value of the statistical value obtained from the input data by performing the above-described inverse transform process on the approximate value of the statistical value obtained from the conversion data calculated by the reconstruction unit 32. .

ここでは、全主体10のデータベース12のレコードをクロス集計の対象とし、属性A1,A2,・・・,Amを対象とするものとする。なおAjの取り得る属性値は、

Figure 2010093424
のnj個であるとする。すなわち、意中のクロス集計結果は、全主体10のデータベース12のうち、
Figure 2010093424
 となるr’iの個数N(r’i)を意味する。ただしr’iはriの部分集合とし、1≦kl≦nlである。 Here, the record in the database 12 of all entities 10 and subject to cross-tabulation, attributes A 1, A 2, · · ·, shall be directed to A m. The attribute values that A j can take are
Figure 2010093424
 It is assumed that there are n j . That is, the intended cross tabulation result is the database 12 of all entities 10.
Figure 2010093424
 I mean r 'number of i N (r' i) to be. However, r ′ i is a subset of r i and 1 ≦ k l ≦ n l .

本実施形態の撹乱装置11の撹乱部23による撹乱処理は、一例として、非特許文献1で提案されているものと同じ処理である。非特許文献1で提案されている手法は、再構築装置にr’iを知られること無く、N(r’i)の近似値を計算するものである。例えば、riに企業の機密情報や顧客のセンシティブな情報などが含まれており、riを秘匿することによりプライバシー侵害や情報漏えいを防止しつつ、riからマーケティングなどに有用となる統計値を得たいというときに有効である。 The disturbance process by the disturbance part 23 of the disturbance apparatus 11 of this embodiment is the same process as what is proposed by the nonpatent literature 1 as an example. The method proposed in Non-Patent Document 1 calculates an approximate value of N (r ′ i ) without knowing r ′ i by the reconstruction device. For example, the r i are included, such as confidential information and customer sensitive information of companies, while preventing invasion of privacy and information leakage by concealing r i, be useful such as marketing from r i statistics It is effective when you want to get.

非特許文献1にて提案されている手法では、撹乱処理として、「維持確率」ρjを予め決めておく。そして、確率ρjでri内の属性値

Figure 2010093424
を維持し、確率1−ρj
Figure 2010093424

Figure 2010093424
 の中からランダムに選択したものに変更する。 In the method proposed in Non-Patent Document 1, “maintenance probability” ρ j is determined in advance as disturbance processing. And the attribute value in r i with probability ρ j
Figure 2010093424
 With probability 1−ρ j
Figure 2010093424
 The
Figure 2010093424
 Change to a randomly selected one.

そして、このような規則で得られた属性値をr’iの撹乱データとして再構築装置に送信する。その撹乱データは確率的にr’iと異なるため、riの秘匿性が高まる。 Then, the attribute value obtained by such a rule is transmitted to the reconstruction device as r ′ i disturbance data. Since the disturbance data is stochastically different from r ′ i , the confidentiality of r i is increased.

しかし、確率ρjが大きいほど再構築装置によって得られる統計値の近似値の精度が高いことが知られている。つまり、データの秘匿性と統計値の精度にはトレードオフの問題がある。 However, it is known that the accuracy of the approximate value of the statistical value obtained by the reconstruction device is higher as the probability ρ j is larger. That is, there is a trade-off problem between data confidentiality and statistical value accuracy.

そこで、本実施形態では、上述した撹乱処理に加えて、関数Rによる変換処理とその逆変換処理を行うことにより、統計値の精度を維持したまま、データ秘匿性を高める。その結果、本実施形態によれば統計値の精度とデータ秘匿性を両立させることができる。   Therefore, in the present embodiment, in addition to the disturbance processing described above, the conversion processing by the function R and the inverse conversion processing thereof are performed, thereby improving the data confidentiality while maintaining the accuracy of the statistical value. As a result, according to the present embodiment, both the accuracy of statistical values and data confidentiality can be achieved.

図5は、本実施形態による処理手順を示すフローチャートである。以下、図5を参照して、本実施形態における撹乱装置11および再構築装置13による処理の手順を説明する。   FIG. 5 is a flowchart showing a processing procedure according to the present embodiment. Hereinafter, with reference to FIG. 5, the procedure of the process by the disturbance apparatus 11 and the reconstruction apparatus 13 in this embodiment is demonstrated.

まず、撹乱装置11による処理手順を示す。   First, the process procedure by the disturbance apparatus 11 is shown.

撹乱装置11の入力部21は、レコードの部分集合

Figure 2010093424
を変換部22に入力する(ステップ1)。変換部22は、事前に定められた確定的変換関数Rによってr’iを変換することにより、
Figure 2010093424
 を得る(ステップ2)。そのR(r’i)は撹乱部23に入力される。撹乱部23による撹乱処理は特許文献1で提案されているのと同様の手法でよい。 The input unit 21 of the disturbance device 11 is a subset of records.
Figure 2010093424
 Is input to the converter 22 (step 1). The conversion unit 22 converts r ′ i by a predetermined deterministic conversion function R to obtain
Figure 2010093424
 (Step 2). The R (r ′ i ) is input to the disturbance unit 23. The disturbance processing by the disturbance unit 23 may be the same method as proposed in Patent Document 1.

撹乱部23は、R(r’i)の各要素を維持確率ρjで撹乱することにより撹乱データを生成して(ステップ3)、送信部24に送る。送信部24は、その撹乱データを再構築装置13に送信する(ステップ4)。 The disturbance unit 23 generates disturbance data by disturbing each element of R (r ′ i ) with the maintenance probability ρ j (step 3), and sends the disturbance data to the transmission unit 24. The transmission unit 24 transmits the disturbance data to the reconstruction device 13 (step 4).

再構築装置13による処理手順を示す。この処理は、クロス集計結果の近似値を求めるための処理である。   The process procedure by the reconstruction apparatus 13 is shown. This process is a process for obtaining an approximate value of the cross tabulation result.

先ず、受信部31は、各主体の撹乱装置11からの撹乱データを受信し(ステップ5)、その受信データを再構築部32に入力する。再構築部32による再構築処理は非特許文献1で提案されているのと同様の手法でよい。再構築部32は、撹乱データから、

Figure 2010093424
の集計値を求め(ステップ6)、逆変換部33に入力する。逆変換部33は、関数Rの逆関数を用いて、その撹乱データの集計値を
Figure 2010093424
 の集計値に変換することにより、r’iに対するクロス集計の集計結果を求める(ステップ7)。 First, the receiving unit 31 receives disturbance data from the disturbance device 11 of each subject (step 5), and inputs the received data to the reconstruction unit 32. The reconstruction process by the reconstruction unit 32 may be the same method as proposed in Non-Patent Document 1. From the disturbance data, the reconstruction unit 32
Figure 2010093424
 Are obtained (step 6) and input to the inverse transform unit 33. The inverse conversion unit 33 uses the inverse function of the function R to calculate the aggregate value of the disturbance data.
Figure 2010093424
 By converting to the total value, the total result of the cross tabulation for r ′ i is obtained (step 7).

なお、上述した処理手順は、属性A1,A2,・・・,Amを対象としたクロス集計の集計結果を得るための手順である。さらに異なる属性の組み合わせに対するクロス集計の集計結果を得たい場合には、同様の手順を繰り返せばよい。 The processing procedure described above, attributes A 1, A 2, · · ·, a procedure for obtaining the counting result of the cross-tabulation intended for A m. Furthermore, when it is desired to obtain a cross tabulation result for different combinations of attributes, the same procedure may be repeated.

以上、説明した本実施形態における関数Rは、一例として置換関数である。r’iを0以上Πnj未満の整数として一意に表現できるので、置換関数である[0,Πnj)からそれ自身への適当な写像を関数Rとみなすことができる。より具体的な例として、関数Rは、ランダム置換関数や、xを(ax+b)%Πnjに変換する関数であってもよい。なお、aおよびbは任意の整数であり、%は剰余を求める演算を表す。 The function R in the present embodiment described above is a replacement function as an example. Since r ′ i can be uniquely expressed as an integer greater than or equal to 0 and less than Π nj , an appropriate mapping from [0, Π nj ) that is a replacement function to itself can be regarded as a function R. As a more specific example, the function R is a random permutation function or may be a function that converts x to (ax + b)% Π nj . Note that a and b are arbitrary integers, and% represents an operation for obtaining a remainder.

また、本実施形態では、複数の主体のデータベースが同じ属性のレコードからなる例を示した。しかしながら、本発明は、この例にされるものではない。他の例として、データベースが単一であってもよい。また、各主体のデータベースが単一のレコードからなるものであってもよい。これは、各主体が企業ではなく消費者である場合などを想定した例である。また、複数の主体のデータベースのそれぞれが異なる属性のレコードからなるものであってもよい。   Further, in the present embodiment, an example is shown in which a plurality of subject databases are composed of records having the same attribute. However, the present invention is not limited to this example. As another example, there may be a single database. Further, the database of each subject may be composed of a single record. This is an example assuming that each subject is not a company but a consumer. Further, each of a plurality of main databases may be composed of records having different attributes.

データベースが単一の場合は、上述した実施形態において、主体を単一にして考えるだけでよい。その場合の実施形態の構成や動作は上述の実施形態の説明から明らかである。   When there is a single database, it is only necessary to consider a single entity in the above-described embodiment. The configuration and operation of the embodiment in that case are apparent from the above description of the embodiment.

また各主体のデータベースが単一のレコードからなるものである場合は、上述の実施形態において、主体から送信されるレコードを単一にして考えればよい。ただし、異なる属性の組み合わせに対するクロス集計を行う場合、各主体に撹乱装置11から再構築装置13へ、予め想定されるいくつかの属性の組み合わせに対する撹乱データを送信するようにしてもよい。   In addition, when the database of each subject is composed of a single record, in the above-described embodiment, the records transmitted from the subject may be considered as a single record. However, when performing cross tabulation for combinations of different attributes, disturbance data for some combinations of attributes assumed in advance may be transmitted from the disturbance device 11 to the reconstruction device 13 to each subject.

また各主体のデータベースのレコードにおける属性が互いに異なり、両方の主体の属性によるクロス集計を行う場合、再構築装置13は、複数の主体の撹乱装置11から受信した撹乱データを結合して用いてもよい。例えば、主体1が所有する属性A1,A2のレコードと主体2が所有する属性A3,A4,A5のレコードを用いて、属性A1,A2,A3,A4,A5の5重クロス集計を実行する場合が想定される。主体1の撹乱装置11が属性A1,A2に対して変換処理および撹乱処理を実行し、主体2の撹乱装置11が属性A3,A4,A5に対して変換処理および撹乱処理を実行すればよい。再構築装置13は、主体1の撹乱データと主体2の撹乱データを結合してから、再構築処理と逆変換処理を実行すればよい。 Also, when the attributes of the records of the respective subjects are different from each other and cross tabulation is performed using the attributes of both subjects, the reconstruction device 13 may combine the disturbance data received from the disturbance devices 11 of the plurality of subjects. Good. For example, by using the record of the attribute A 3, A 4, A 5 attributes A 1, A 2 of the record and the metallic 2 the principal 1 owned owned, attributes A 1, A 2, A 3, A 4, A If you want to run the 5 five-fold cross-tabulation of it is assumed. The disturbance device 11 of the main body 1 performs conversion processing and disturbance processing on the attributes A 1 and A 2 , and the disturbance device 11 of the main body 2 performs conversion processing and disturbance processing on the attributes A 3 , A 4 and A 5 . Just do it. The reconstruction device 13 may perform the reconstruction process and the inverse transformation process after combining the disturbance data of the main body 1 and the disturbance data of the main body 2.

なお、上述した本実施形態の各装置は各部の処理手順を規定したソフトウェアプログラムをコンピュータに実行させることにより実現することもできる。   In addition, each apparatus of this embodiment mentioned above can also be implement | achieved by making a computer run the software program which prescribed | regulated the process procedure of each part.

また、上述した本実施形態では、撹乱装置11が再構築装置13へ撹乱データを送信する例を示したが、本発明はこれに限定されるものではない。他の例として、撹乱装置11で生成された撹乱データを記録媒体経由で再構築装置13に移動あるいは複製してもよい。   Moreover, in this embodiment mentioned above, although the disturbance apparatus 11 showed the example which transmits disturbance data to the reconstruction apparatus 13, this invention is not limited to this. As another example, disturbance data generated by the disturbance device 11 may be moved or copied to the reconstruction device 13 via a recording medium.

本発明の実施形態によるデータ集計システムの構成を示すブロック図である。It is a block diagram which shows the structure of the data totaling system by embodiment of this invention. データベース12の一例を示す図である。It is a figure which shows an example of the database. 撹乱装置11の構成を示すブロック図である。2 is a block diagram showing a configuration of a disturbance device 11. FIG. 再構築装置13の構成を示すブロック図である。3 is a block diagram showing a configuration of a reconstruction device 13. FIG. 本実施形態による処理手順を示すフローチャートである。It is a flowchart which shows the process sequence by this embodiment.

符号の説明Explanation of symbols

10 主体
11 撹乱装置
12 データベース
13 再構築装置
21 入力部
22 変換部
23 撹乱部
24 送信部
31 受信部
32 再構築部
33 逆変換部 DESCRIPTION OF SYMBOLS 10 Main body 11 Disturbing device 12 Database 13 Reconstruction device 21 Input part 22 Conversion part 23 Disturbing part 24 Transmission part 31 Receiving part 32 Reconstruction part 33 Inverse conversion part

Claims (8)

入力されたデータに対して、逆関数が定義可能な関数による変換処理を行い、前記変換処理によって得られた変換データに対して撹乱処理を行い、前記撹乱処理によって得られた撹乱データを送信する撹乱装置と、
前記撹乱装置から前記撹乱データを受信し、該撹乱データに対して再構築処理を行うことにより、前記変換データから統計的に得られる統計値を算出し、前記統計値に対して、前記変換処理に用いられた前記関数の逆関数による逆変換処理を行う再構築装置と、を有するデータ集計システム。 The input data is converted by a function that can define an inverse function, the conversion data obtained by the conversion process is subjected to disturbance processing, and the disturbance data obtained by the disturbance processing is transmitted. A disturbance device,
By receiving the disturbance data from the disturbance device and performing a reconstruction process on the disturbance data, a statistical value obtained statistically from the converted data is calculated, and the conversion process is performed on the statistical value. And a reconstruction device that performs an inverse transformation process using an inverse function of the function used in the above. 前記撹乱装置による前記変換処理は、逆関数が定義可能な関数Rを用いて、入力データri=(ai1,・・・,ain)を、変換データR(ri)=(bi1,・・・,bin)に変換する処理であり、
前記再構築装置による前記逆変換処理は、前記関数Rの逆関数を用いて、前記変換データR(ri)=(bi1,・・・,bin)から統計的に得られる統計値を、前記入力データri=(ai1,・・・,ain)から統計的に得られる統計値に変換する処理である、
請求項1に記載のデータ集計システム。 In the conversion process by the disturbance device, the input data r i = (a i1 ,..., A in ) is converted into the conversion data R (r i ) = (b i1 ) using a function R that can define an inverse function. ,..., B in )
The inverse transformation process by the reconstruction device uses a reverse function of the function R to obtain a statistical value statistically obtained from the transformation data R (r i ) = (b i1 ,..., B in ). , A process of converting the input data r i = (a i1 ,..., A in ) into statistical values obtained statistically.
The data totaling system according to claim 1. 入力されたデータに対して、逆関数が定義可能な関数による変換処理を行う変換手段と、
前記変換手段による前記変換処理によって得られた変換データに対して撹乱処理を行う撹乱手段と、を有する撹乱装置。 A conversion means for performing a conversion process on the input data using a function capable of defining an inverse function;
A disturbance device comprising: disturbance means for performing disturbance processing on the conversion data obtained by the conversion process by the conversion means. データに対して、逆関数が定義可能な関数による変換処理が行われ、前記変換処理によって得られた変換データに対して撹乱処理が行われて得られた撹乱データを入力とし、該撹乱データに対して再構築処理を行うことにより、前記変換データから統計的に得られる統計値を算出する再構築手段と、
前記再構築手段によって得られた前記統計値に対して、前記変換処理に用いられた前記関数の逆関数による逆変換処理を行う逆変換手段と、を有する再構築装置。 The data is subjected to a conversion process using a function capable of defining an inverse function, and the disturbance data obtained by performing the disturbance process on the conversion data obtained by the conversion process is input to the disturbance data. Reconstructing means for calculating a statistical value statistically obtained from the converted data by performing a reconstruction process on the
A reconstructing device comprising: an inverse transform unit that performs an inverse transform process on the statistical value obtained by the reconstructing unit using an inverse function of the function used in the transform process. 入力されたデータに対して、逆関数が定義可能な関数による変換処理を行い、
前記変換処理によって得られた変換データに対して撹乱処理を行い、
前記撹乱処理によって得られた撹乱データを収集し、該撹乱データに対して再構築処理を行うことにより、前記変換データから統計的に得られる統計値を算出し、
前記統計値に対して、前記変換処理に用いられた前記関数の逆関数による逆変換処理を行う、データ集計方法。 The input data is converted by a function that can define an inverse function,
A disturbance process is performed on the conversion data obtained by the conversion process,
By collecting disturbance data obtained by the disturbance processing, and performing reconstruction processing on the disturbance data, a statistical value obtained statistically from the converted data is calculated,
The data totaling method which performs the inverse transformation process by the inverse function of the said function used for the said transformation process with respect to the said statistical value. 前記変換処理は、逆関数が定義可能な関数Rを用いて、入力データri=(ai1,・・・,ain)を、変換データR(ri)=(bi1,・・・,bin)に変換する処理であり、
前記逆変換処理は、前記関数Rの逆関数を用いて、前記変換データR(ri)=(bi1,・・・,bin)から統計的に得られる統計値を、前記入力データri=(ai1,・・・,ain)から統計的に得られる統計値に変換する処理である、
請求項5に記載のデータ集計方法。 In the conversion process, the input data r i = (a i1 ,..., A in ) is converted into the conversion data R (r i ) = (b i1,. , B in )
In the inverse transformation process, a statistical value obtained statistically from the transformed data R (r i ) = (b i1 ,..., B in ) using the inverse function of the function R is used as the input data r. i = (a i1 ,..., a in ) is a process of converting to statistically obtained statistical values.
The data totaling method according to claim 5. 入力されたデータに対して、逆関数が定義可能な関数による変換処理を行う変換手順と、
前記変換処理によって得られた変換データに対して撹乱処理を行う撹乱手順と、をコンピュータに実行させるための撹乱プログラム。 A conversion procedure for converting the input data with a function that can define an inverse function,
A disturbance program for causing a computer to execute a disturbance procedure for performing a disturbance process on the conversion data obtained by the conversion process. データに対して、逆関数が定義可能な関数による変換処理が行われ、前記変換処理によって得られた変換データに対して撹乱処理が行われて得られた撹乱データを入力とし、該撹乱データに対して再構築処理を行うことにより、前記変換データから統計的に得られる統計値を算出する再構築手順と、
前記再構築手順によって得られた前記統計値に対して、前記変換処理に用いられた前記関数の逆関数による逆変換処理を行う逆変換手順と、をコンピュータに実行させるための再構築プログラム。 The data is subjected to a conversion process using a function capable of defining an inverse function, and the disturbance data obtained by performing the disturbance process on the conversion data obtained by the conversion process is input to the disturbance data. A reconstruction procedure for calculating a statistical value obtained statistically from the converted data by performing a reconstruction process on the
A reconstruction program for causing a computer to execute an inverse transformation procedure for performing an inverse transformation process on the statistical value obtained by the reconstruction procedure using an inverse function of the function used in the transformation process.
JP2008259660A 2008-10-06 2008-10-06 Data aggregation system, disturbance device, reconstruction device, data aggregation method, disturbance program, and reconstruction program Active JP5307499B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008259660A JP5307499B2 (en) 2008-10-06 2008-10-06 Data aggregation system, disturbance device, reconstruction device, data aggregation method, disturbance program, and reconstruction program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008259660A JP5307499B2 (en) 2008-10-06 2008-10-06 Data aggregation system, disturbance device, reconstruction device, data aggregation method, disturbance program, and reconstruction program

Publications (2)

Publication Number Publication Date
JP2010093424A true JP2010093424A (en) 2010-04-22
JP5307499B2 JP5307499B2 (en) 2013-10-02

Family

ID=42255758

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008259660A Active JP5307499B2 (en) 2008-10-06 2008-10-06 Data aggregation system, disturbance device, reconstruction device, data aggregation method, disturbance program, and reconstruction program

Country Status (1)

Country Link
JP (1) JP5307499B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011100116A (en) * 2009-10-07 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> Disturbance device, disturbance method, and program therefor
JP2011145869A (en) * 2010-01-14 2011-07-28 Nippon Telegr & Teleph Corp <Ntt> Pseudo data generation device, pseudo data generation method, program, and recording medium
JP2012080345A (en) * 2010-10-01 2012-04-19 Nippon Telegr & Teleph Corp <Ntt> Disturbance system, disturbance device, disturbance method and program
JP2012195733A (en) * 2011-03-16 2012-10-11 Fujitsu Ltd Secret analysis processing method, program and device
JP2016081168A (en) * 2014-10-14 2016-05-16 株式会社エヌ・ティ・ティ・データ Noise generation device, noise generation method and program
US11163895B2 (en) 2016-12-19 2021-11-02 Mitsubishi Electric Corporation Concealment device, data analysis device, and computer readable medium

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101948603B1 (en) 2017-07-21 2019-02-15 고려대학교 산학협력단 Anonymization Device for Preserving Utility of Data and Method thereof

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08286904A (en) * 1995-02-14 1996-11-01 Fujitsu Ltd Method and system for ciphering/deciphering software
JP2006018053A (en) * 2004-07-02 2006-01-19 Hitachi Ltd Collection method for information and terminal
JP2007288480A (en) * 2006-04-17 2007-11-01 Mitsubishi Electric Corp Statistical processing method and system, and data providing device
JP2008109308A (en) * 2006-10-24 2008-05-08 Nippon Telegr & Teleph Corp <Ntt> Cross totaling method and device for keeping individual information secret, and program
JP2008176193A (en) * 2007-01-22 2008-07-31 Nippon Telegr & Teleph Corp <Ntt> Calculation method and device for secrecy function, and program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08286904A (en) * 1995-02-14 1996-11-01 Fujitsu Ltd Method and system for ciphering/deciphering software
JP2006018053A (en) * 2004-07-02 2006-01-19 Hitachi Ltd Collection method for information and terminal
JP2007288480A (en) * 2006-04-17 2007-11-01 Mitsubishi Electric Corp Statistical processing method and system, and data providing device
JP2008109308A (en) * 2006-10-24 2008-05-08 Nippon Telegr & Teleph Corp <Ntt> Cross totaling method and device for keeping individual information secret, and program
JP2008176193A (en) * 2007-01-22 2008-07-31 Nippon Telegr & Teleph Corp <Ntt> Calculation method and device for secrecy function, and program

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011100116A (en) * 2009-10-07 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> Disturbance device, disturbance method, and program therefor
JP2011145869A (en) * 2010-01-14 2011-07-28 Nippon Telegr & Teleph Corp <Ntt> Pseudo data generation device, pseudo data generation method, program, and recording medium
JP2012080345A (en) * 2010-10-01 2012-04-19 Nippon Telegr & Teleph Corp <Ntt> Disturbance system, disturbance device, disturbance method and program
JP2012195733A (en) * 2011-03-16 2012-10-11 Fujitsu Ltd Secret analysis processing method, program and device
JP2016081168A (en) * 2014-10-14 2016-05-16 株式会社エヌ・ティ・ティ・データ Noise generation device, noise generation method and program
US11163895B2 (en) 2016-12-19 2021-11-02 Mitsubishi Electric Corporation Concealment device, data analysis device, and computer readable medium

Also Published As

Publication number Publication date
JP5307499B2 (en) 2013-10-02

Similar Documents

Publication Publication Date Title
Alloghani et al. A systematic review on the status and progress of homomorphic encryption technologies
JP5307499B2 (en) Data aggregation system, disturbance device, reconstruction device, data aggregation method, disturbance program, and reconstruction program
Qiu et al. All-Or-Nothing data protection for ubiquitous communication: Challenges and perspectives
Yang et al. Quantum Hash function and its application to privacy amplification in quantum key distribution, pseudo-random number generation and image encryption
US11003681B2 (en) Anonymization system
Wu et al. AEA-NCS: An audio encryption algorithm based on a nested chaotic system
Patro et al. A novel multi-dimensional multiple image encryption technique
US8634563B2 (en) Attribute based encryption using lattices
US11509457B2 (en) Method for secure classification using a transcryption operation
EP2924912B1 (en) Ciphertext processing device, ciphertext processing method, ciphertext processing program, and information processing device
Mandal et al. Symmetric key image encryption using chaotic Rossler system
JP5762232B2 (en) Method and system for selecting the order of encrypted elements while protecting privacy
KR20150139784A (en) Systems and methods for dynamic data storage
Nassar et al. Secure wireless image communication using LSB steganography and chaotic baker ciphering
Li et al. Faster secure data mining via distributed homomorphic encryption
Wang et al. Visually meaningful image encryption scheme based on new-designed chaotic map and random scrambling diffusion strategy
Kasban et al. Medical images transmission over wireless multimedia sensor networks with high data rate
Masood et al. A novel image encryption scheme based on Arnold cat map, Newton-Leipnik system and Logistic Gaussian map
Abdul Hussien et al. A secure environment using a new lightweight AES encryption algorithm for e-commerce websites
AbdElHaleem et al. A generalized framework for elliptic curves based PRNG and its utilization in image encryption
Dagadu et al. DWT based encryption technique for medical images
Rostam et al. Privacy-preserving in the Internet of Things based on steganography and chaotic functions
Huang et al. High-quality visually secure image cryptosystem using improved Chebyshev map and 2D compressive sensing model
Manikandan et al. On dual encryption with RC6 and combined logistic tent map for grayscale and DICOM
KR101553986B1 (en) System and method of distrubuted data storage, restoration

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110208

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110614

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20130304

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130402

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130627

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5307499

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350