JP2011180839A - プライバシー情報評価サーバ、データ管理方法およびプログラム - Google Patents
プライバシー情報評価サーバ、データ管理方法およびプログラム Download PDFInfo
- Publication number
- JP2011180839A JP2011180839A JP2010044580A JP2010044580A JP2011180839A JP 2011180839 A JP2011180839 A JP 2011180839A JP 2010044580 A JP2010044580 A JP 2010044580A JP 2010044580 A JP2010044580 A JP 2010044580A JP 2011180839 A JP2011180839 A JP 2011180839A
- Authority
- JP
- Japan
- Prior art keywords
- data
- privacy information
- information
- evaluation
- way function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバにおいて、保管するデータの漏洩を防止し、保存データの削減および処理を高速化する。
【解決手段】ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバであって、ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行い、ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理して、変換処理後のデータを格納する。
【選択図】図7
【解決手段】ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバであって、ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行い、ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理して、変換処理後のデータを格納する。
【選択図】図7
Description
本発明は、ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバにおいて、保管するデータの漏洩を防止し、保存データの削減および処理を高速化するプライバシー情報評価サーバ、データ管理方法およびプログラムに関する。
従来より、多くのデータに基づいて、統計処理を行って、例えば、特定の病気にかかりやすい年代、性別、地域、人種といった情報を広く公開して、その傾向分析を行い、その対策に用いる場合がある。
ところが、データを公開する場合には、そのデータの所有者が特定されないように、プライバシーを慎重に保護する必要があるため、データの変形処理を行う必要がある。そのため、今までにも、プライバシーを保護するためのデータの変形処理に関する技術が多く開示されている(例えば、非特許文献1参照。)。
B.Fung and K.Wang and P.Yu, "Top−down specialization for information and privacy preservation"Proc of ICDE 2005 pp.205−216
上記の非特許文献1に記載の技術は、もっとも著名な方法であるk−匿名化手法に関するものである。しかしながら、このk−匿名化手法におけるデータの評価においては、すべてのデータからk−匿名性を満たす表を計算する必要があり、常にすべてのデータを保持しておかなくてはならないという問題点があった。また、すべてのデータをそのまま保管しておくため、そこから情報が漏えいする危険性があった。
そこで、本発明は、上述の課題に鑑みてなされたものであり、ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバにおいて、保管するデータの漏洩を防止し、保存データの削減および処理を高速化するプライバシー情報評価サーバ、データ管理方法およびプログラムを提供することを目的とする。
発明者は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。
(1)本発明は、ユーザ端末(例えば、図1のユーザ端末100に相当)からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバ(例えば、図1のサービス提供者サーバ300に相当)にデータを送信するプライバシー情報評価サーバであって、前記ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行う評価手段(例えば、図2のk―匿名性判定部20に相当)と、前記ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理するデータ変換処理手段(例えば、図2のデータ変換処理部30に相当)と、該変換処理後のデータを格納する格納手段(例えば、図2の格納部40に相当)と、を備えたことを特徴とするプライバシー情報評価サーバを提案している。
この発明によれば、評価手段は、ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行う。データ変換処理手段は、ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理する。格納手段は、変換処理後のデータを格納する。つまり、ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理し、格納する。したがって、ユーザからのすべてのデータを保管するプライバシー情報評価サーバにおいて、これらのデータを変換処理した後、格納するため、情報の漏洩を防止することができる。
(2)本発明は、(1)のプライバシー情報評価サーバについて、前記データ変換処理手段が、一方向性関数を用いて、データを変換することを特徴とするプライバシー情報評価サーバを提案している。
この発明によれば、データ変換処理手段が、一方向性関数を用いて、データを変換する。したがって、一方向性関数を用いて、データを変換することから、処理負荷を軽くして、ユーザのデータの変換処理を行うことができる。また、一方向性関数を用いて、データを変換し、格納することから、プライバシー情報評価サーバにおいて、保存するデータ量を削減することができる。
(3)本発明は、(1)のプライバシー情報評価サーバについて、復号鍵を格納する復号鍵格納手段を備え、前記データ変換処理手段が、暗号化処理を用いて、データを変換することを特徴とするプライバシー情報評価サーバを提案している。
この発明によれば、データ変換処理手段が、暗号化処理を用いて、データを変換する。したがって、暗号化処理を用いて、データを変換することから、処理負荷を軽くして、ユーザのデータの変換処理を行うことができる。また、暗号化処理を用いて、データを変換し、格納することから、プライバシー情報評価サーバにおいて、保存するデータ量を削減することができる。
(4)本発明は、(2)のプライバシー情報評価サーバについて、前記データ変換処理手段が、前記評価手段に用いる各属性を1単位として、変換処理を行うことを特徴とするプライバシー情報評価サーバを提案している。
この発明によれば、データ変換処理手段が、評価手段に用いる各属性を1単位として、変換処理を行う。したがって、さらに、処理負荷を軽減することができる。また、これにより、プライバシー情報評価サーバにおいて、保存するデータ量を削減することができる。
(5)本発明は、(2)のプライバシー情報評価サーバについて、前記データ変換処理手段は、前記一方向性関数により生成された同一の出力値となるものを同一の記号に置き換えることを特徴とするプライバシー情報評価サーバを提案している。
この発明によれば、データ変換処理手段は、一方向性関数により生成された同一の出力値となるものを同一の記号に置き換える。したがって、保存すべきデータを圧縮することができるため、さらに、保存するデータ量を削減することができる。
(6)本発明は、(5)のプライバシー情報評価サーバについて、前記一方向性関数により生成された同一の出力値となるものの数をカウントする計数手段(例えば、図6の計数部33に相当)と、前記一方向性関数により得られた出力値、置き換えられた前記記号および前記計数手段(例えば、図6の管理部34に相当)がカウントしたカウント値をインデックス情報として管理する管理手段を備えたことを特徴とするプライバシー情報評価サーバを提案している。
この発明によれば、計数手段は、一方向性関数により生成された同一の出力値となるものの数をカウントし、管理手段は、一方向性関数により得られた出力値、置き換えられた記号および計数手段がカウントしたカウント値をインデックス情報として管理する。これにより、カウント値を参照して、効率よく評価作業を行うことができる。
(7)本発明は、(6)のプライバシー情報評価サーバについて、前記記号間で、その出現頻度に大きな差異がある場合に、複数の前記出力値を統合して、前記出現頻度の平準化を図る出現頻度調整手段(例えば、図6の出現頻度調整部35に相当)を備えたことを特徴とするプライバシー情報評価サーバを提案している。
この発明によれば、出現頻度調整手段は、記号間で、その出現頻度に大きな差異がある場合に、複数の前記出力値を統合して、出現頻度の平準化を図る。これにより、頻度分析攻撃を未然に防止することができる。
(8)本発明は、(6)のプライバシー情報評価サーバについて、前記評価手段が、前記格納手段に格納された過去のデータを参照して、前記計数手段のカウント値の差分が少ない属性から評価を行うことを特徴とするプライバシー情報評価サーバを提案している。
この発明によれば、評価手段は、格納手段に格納された過去のデータを参照して、計数手段のカウント値の差分が少ない属性から評価を行う。これにより、処理の効率化を図ることができる。
(9)本発明は、ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバにおけるデータ管理方法であって、前記ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行う第1のステップ(例えば、図7のステップS101に相当)と、前記ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理する第2のステップ(例えば、図7のステップS102に相当)と、該変換処理後のデータを格納する第3のステップ(例えば、図7のステップS103に相当)と、前記評価の結果とともに、データを前記サービス提供サーバに送信する第4のステップ(例えば、図7のステップS104に相当)と、を備えたことを特徴とするデータ管理方法を提案している。
この発明によれば、ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行い、ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理する。そして、変換処理後のデータを格納し、評価の結果とともに、データをサービス提供サーバに送信する。したがって、ユーザからのすべてのデータを保管するプライバシー情報評価サーバにおいて、これらのデータを変換処理した後、格納するため、情報の漏洩を防止することができる。
(10)本発明は、(9)のデータ管理方法について、前記第2のステップにおいて、一方向性関数を用いて、データを変換することを特徴とするデータ管理方法を提案している。
この発明によれば、第2のステップにおいて、一方向性関数を用いて、データを変換する。したがって、一方向性関数を用いて、データを変換することから、処理負荷を軽くして、ユーザのデータの変換処理を行うことができる。また、一方向性関数を用いて、データを変換し、格納することから、プライバシー情報評価サーバにおいて、保存するデータ量を削減することができる。
(11)本発明は、(10)のデータ管理方法について、前記第2のステップにおいて、前記一方向性関数により生成された同一の出力値となるものを同一の記号に置き換えることを特徴とするデータ管理方法を提案している。
この発明によれば、第2のステップにおいて、前記一方向性関数により生成された同一の出力値となるものを同一の記号に置き換える。したがって、保存すべきデータを圧縮することができるため、さらに、保存するデータ量を削減することができる。
(12)本発明は、(11)のデータ管理方法について、前記第2のステップにおいて、前記一方向性関数により生成された同一の出力値となるものの数をカウントするステップと、前記一方向性関数により得られた出力値、置き換えられた前記記号および前記カウントしたカウント値をインデックス情報として管理するステップとをさらに備えたことを特徴とするデータ管理方法を提案している。
この発明によれば、第2のステップにおいて、一方向性関数により生成された同一の出力値となるものの数をカウントし、一方向性関数により得られた出力値、置き換えられた記号およびカウントしたカウント値をインデックス情報として管理する。これにより、カウント値を参照して、効率よく評価作業を行うことができる。
(13)本発明は、ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバにおけるデータ管理方法をコンピュータに実行させるためのプログラムであって、前記ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行う第1のステップ(例えば、図7のステップS101に相当)と、前記ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理する第2のステップ(例えば、図7のステップS102に相当)と、該変換処理後のデータを格納する第3のステップ(例えば、図7のステップS103に相当)と、前記評価の結果とともに、データを前記サービス提供サーバに送信する第4のステップ(例えば、図7のステップS104に相当)と、をコンピュータに実行させるためのプログラムを提案している。
この発明によれば、ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行い、ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理する。そして、変換処理後のデータを格納し、評価の結果とともに、データをサービス提供サーバに送信する。したがって、ユーザからのすべてのデータを保管するプライバシー情報評価サーバにおいて、これらのデータを変換処理した後、格納するため、情報の漏洩を防止することができる。
(14)本発明は、(13)のプログラムについて、前記第2のステップにおいて、一方向性関数を用いて、データを変換することを特徴とするプログラムを提案している。
この発明によれば、第2のステップにおいて、一方向性関数を用いて、データを変換する。したがって、一方向性関数を用いて、データを変換することから、処理負荷を軽くして、ユーザのデータの変換処理を行うことができる。また、一方向性関数を用いて、データを変換し、格納することから、プライバシー情報評価サーバにおいて、保存するデータ量を削減することができる。
(15)本発明は、(14)のプログラムについて、前記第2のステップにおいて、前記一方向性関数により生成された同一の出力値となるものを同一の記号に置き換えることを特徴とするプログラムを提案している。
この発明によれば、第2のステップにおいて、前記一方向性関数により生成された同一の出力値となるものを同一の記号に置き換える。したがって、保存すべきデータを圧縮することができるため、さらに、保存するデータ量を削減することができる。
(16)本発明は、(15)のプログラムについて、前記第2のステップにおいて、前記一方向性関数により生成された同一の出力値となるものの数をカウントするステップと、前記一方向性関数により得られた出力値、置き換えられた前記記号および前記カウントしたカウント値をインデックス情報として管理するステップとをさらに備えたことを特徴とするプログラムを提案している。
この発明によれば、第2のステップにおいて、一方向性関数により生成された同一の出力値となるものの数をカウントし、一方向性関数により得られた出力値、置き換えられた記号およびカウントしたカウント値をインデックス情報として管理する。これにより、カウント値を参照して、効率よく評価作業を行うことができる。
本発明によれば、ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバにおいて、保管するデータの漏洩を的確に防止することができるという効果がある。また、保存データの削減し、処理を高速化できるという効果がある。
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
<プライバシー情報評価サーバが用いられるシステムの構成>
図1を用いて、本実施形態に係るプライバシー情報評価サーバが用いられるシステムの構成について、説明する。
図1を用いて、本実施形態に係るプライバシー情報評価サーバが用いられるシステムの構成について、説明する。
本実施形態に係るプライバシー情報評価サーバが用いられるシステムは、例えば、図1に示すように、ユーザ端末100と、プライバシー情報評価サーバ200と、サービス提供者サーバ300とから構成されている。
ユーザ端末100は、サービスの提供において、プライバシー情報評価サーバ200にユーザのプライバシー情報を送信する。一方で、プライバシー情報評価サーバ200は、送られてきた情報からどの程度プライバシー情報が漏洩するのかを判定し、あらかじめ設定された閾値を超える場合には、ユーザに警告を発する。
プライバシー情報評価サーバ200は、ユーザ端末100から受信したユーザのプライバシー情報について、セキュリティポリシーに基づいて、k−匿名性判定を行い、その判定結果とともにデータをサービス提供者サーバ300に送信する。また、プライバシー情報評価サーバ200は、ユーザ端末100から受信したすべての情報を保管する。
サービス提供者サーバ300は、プライバシー情報評価サーバ200から受信した判定結果付きデータにより、ある種のサービスをユーザ端末100に提供する。
<プライバシー情報評価サーバの構成>
図2を用いて、本実施形態に係るプライバシー情報評価サーバの構成について、説明する。
図2を用いて、本実施形態に係るプライバシー情報評価サーバの構成について、説明する。
本実施形態に係るプライバシー情報評価サーバは、図2に示すように、受信部10と、k−匿名性判定部20と、データ変換処理部30と、格納部40と、判定データ選択部50と、データ復元部60と、送信部70とから構成されている。
受信部10は、ユーザ端末100からユーザのプライバシー情報を受信する。k−匿名性判定部20は、受信したユーザのプライバシー情報を加工して、k−匿名性を満たすか否かを判定する。なお、処理の詳細については、後述する。
データ変換処理部30は、ユーザ端末100から受信したデータからユーザのID情報を除いた情報を変換処理する。変換処理の方法としては、出力関数に代表される一方向性関数を用いた方法でもよいし、暗号化処理による方法であってもよい。なお、データ変換処理部30の詳細な構成については、後述する。格納部40は、データ変換処理部30で変換処理されたデータを格納するとともに、データ変換処理部30において暗号化処理を用いる場合の暗号鍵を格納する。
格納部40は、データ変換処理部30で変換処理されたデータを格納するとともに、データ変換処理部30において暗号化処理を用いる場合の暗号鍵を格納する。判定データ選択部50は、格納部40に格納されたデータから処理を効率化するためのデータを選択する。
データ復元部60は、判定データ選択部50により選択され、変換処理されたデータを復元して、k−匿名性判定部20に出力する。送信部70は、k−匿名性判定部20の判定結果とともにデータをサービス提供者サーバ300に送信する。
<k−匿名性を満足する公開情報の生成について>
まず、図3を用いて、k−匿名性を満足する公開情報の生成について説明する。k−匿名性判定部20は、図3に示すように、分類部21と、設定部22と、算出部23と、加工方法選択部24と、加工部25とから構成されている。
まず、図3を用いて、k−匿名性を満足する公開情報の生成について説明する。k−匿名性判定部20は、図3に示すように、分類部21と、設定部22と、算出部23と、加工方法選択部24と、加工部25とから構成されている。
分類部21は、元データをそのデータの各属性に応じて、重要情報(Sensitive Information)、準識別子(Quasi−Identifier)、削除すべき情報に分類する。なお、実際には、GUI(Graphical User Interface)等を用いて、コンピュータ上のグラフィックス表示をマウス等でポインティングすることにより、利用者が分類を行う。また、重要情報(Sensitive Information)に指定された属性の変更は行われない。さらに、削除すべき情報に指定された情報は加工処理の際に自動的に削除される。これにより、ユーザを直接的に特定できる情報を排除してプライバシーを保護するとともに、重要な情報を公開することができる。
設定部22は、公開情報を利用する利用者の要求条件を考慮して、データの各属性ごとに優先順位(重み付け)を設定する。具体的には、各属性の重み付けは、利用者の入力により行われる。重み付けは、属性の優先順位を表わし、利用者が最も重視する属性を最上位とする。また、加工処理においては、優先順位が最下位の属性から順に加工処理を行い、k−匿名性を満たした段階で終了する。従って、最上位の属性ほど元の情報が保持される確率が高くなる。また、これにより、直接的には、ユーザとの関連性の低い複数の情報を組み合わせることによりユーザを特定することも防止することにより、データ利用者が求める情報を可能な限り保持することができる。利用者は、GUI(Graphical User Interface)等を利用して各属性に対して優先順位を入力する。利用者は、各優先順位に対して、重み付けポイント(数値)を設定する。この値は、加工処理を行う属性を選択する際に使用する。
算出部23は、設定部22において設定された優先順位(重み付け)に基づいて、各データの評価ポイントを算出する。具体的には、評価ポイントは、以下の数式を用いて、算出される。
評価ポイント=(属性値の数)*(重み付けポイント)
ここで、(属性値の数)とは、その属性が持つ属性値の種類の数を表す。加工処理によって、この評価ポイントの減少が最小になる属性を加工処理を行う属性として選択する。
評価ポイント=(属性値の数)*(重み付けポイント)
ここで、(属性値の数)とは、その属性が持つ属性値の種類の数を表す。加工処理によって、この評価ポイントの減少が最小になる属性を加工処理を行う属性として選択する。
加工方法選択部24は、算出部23が算出した評価ポイントの減少分が最小となるようなデータの加工方法(ボトムアップ処理)あるいは、算出した評価ポイントの増加分が最大となるようなデータの加工方法(トップダウン処理)を選択する。
図5は、ボトムアップ処理とトップダウン処理の概念を示している。
ボトムアップ処理は、ボトムアップ処理により匿名データを生成する処理であり以下の手順で行う。まず、その属性について同一データを集めてソートおよびグループ化を行う。そして、各属性の属性値の数を算出する。その後、評価ポイントを算出しておく。次に、ユーザの入力した優先順位情報とk−匿名性判定からのフィードバック結果を基に、一般化を行う属性およびグループを選択する。その際には、一般化による評価ポイントの減少分を算出する。そして、選択したグループの一般化を行い、実施結果(データセット全体)をk−匿名性判定に入力する。
ボトムアップ処理は、ボトムアップ処理により匿名データを生成する処理であり以下の手順で行う。まず、その属性について同一データを集めてソートおよびグループ化を行う。そして、各属性の属性値の数を算出する。その後、評価ポイントを算出しておく。次に、ユーザの入力した優先順位情報とk−匿名性判定からのフィードバック結果を基に、一般化を行う属性およびグループを選択する。その際には、一般化による評価ポイントの減少分を算出する。そして、選択したグループの一般化を行い、実施結果(データセット全体)をk−匿名性判定に入力する。
トップダウン処理は、トップダウン処理により匿名データを生成する処理であり以下の手順で行う。まず、その属性について同一データを集めてソートおよびグループ化を行う。そして、各属性の属性値の数を算出する。その後、評価ポイントを算出しておく。次に、ユーザの入力した優先順位情報とk−匿名性判定からのフィードバック結果を基に、一般化を行う属性およびグループを選択する。その際には、一般化による評価ポイントの増加分を算出する。そして、選択したグループの一般化を行い、実施結果(データセット全体)をk−匿名性判定に入力する。
<加工処理前のデータ>
図4を用いて、加工処理前のデータについて、説明する。
図4は、加工処理前のデータとして医療情報を例示したものであり、本例では、データの属性として、「名前」、「年齢」、「性別」、「出身地」、「人種」、「病名」等が例示されている。
図4を用いて、加工処理前のデータについて、説明する。
図4は、加工処理前のデータとして医療情報を例示したものであり、本例では、データの属性として、「名前」、「年齢」、「性別」、「出身地」、「人種」、「病名」等が例示されている。
本例では、女性である25歳のAは東京出身の日本人であって、肥満症という病気を持っており、男性である37歳のBは北海道出身の日本人であって、糖尿病という病気を持っており、男性である55歳のCは沖縄出身の日本人であって、高血圧症という病気を持っており、男性である42歳のDは埼玉出身の日本人であって、肥満という病気を持っており、女性である18歳のEは千葉の出身であり、貧血という病気をもっていることが示されている。
このうち、「名前」という属性は、個人を直接的に特定できるものであるため、「削除すべき情報」に分類される。また、「病名」という属性は、プライバシー情報であるため、「重要情報(Sensitive Information)」に分類される。さらに、「年齢」、「性別」、「出身地」、「人種」という属性は、直接的に個人を特定できる情報ではないため、「準識別子(Quasi−Identifier)」に分類され、利用者の利用目的に応じて、重み付けが行われる。
<ボトムアップ処理>
図5を用いて、ボトムアップ処理について説明する。なお、トップダウン処理は、ボトムアップ処理と逆の処理となるため、詳細な説明は省略する。
図5を用いて、ボトムアップ処理について説明する。なお、トップダウン処理は、ボトムアップ処理と逆の処理となるため、詳細な説明は省略する。
図5を用いて具体的に説明すると、オリジナルデータセット(A0、B0、C0)に対して、(A1、B0、C0)、(A0、B1、C0)、(A0、B0、C1)の分岐があり、それぞれに対して、加工処理による評価ポイントの減少分を算出する。そして、加工処理による評価ポイントの減少分が最少となるものを選択する。図5の例では、これを(A1、B0、C0)とする。(A1、B0、C0)には、同様に、(A2、B0、C0)、(A1、B1、C0)、(A1、B0、C1)の分岐があり、それぞれに対して、加工処理による評価ポイントの減少分を算出する。そして、加工処理による評価ポイントの減少分が最少となるものを選択する。図5の例では、これを(A2、B0、C0)とする。(A2、B0、C0)には、同様に、(A2、B1、C0)、(A2、B0、C1)の分岐があり、それぞれに対して、加工処理による評価ポイントの減少分を算出する。そして、加工処理による評価ポイントの減少分が最少となるものを選択する。このような処理を最適k−匿名性に至るデータ、例えば、(A2、B1、C0)まで実行する。
<データ変換処理部の構成>
図6を用いて、本発明の実施形態に係るデータ変換処理部の構成について説明する。
図6を用いて、本発明の実施形態に係るデータ変換処理部の構成について説明する。
本発明の実施形態に係るデータ変換処理部は、図6に示すように、演算部31と、記号置換部32と、計数部33と、管理部34と、出現頻度調整部35とから構成されている。
演算部31は、例えば、一方向性関数の演算を行い、データを変換する。なお、一方向性関数の演算の対象は、1データごとでもよいし、評価に用いる属性を1単位として変換処理を行うこともできる。また、演算部31は、暗号化のための演算を行い、データを変換してもよい。
記号置換部32は、演算部31が一方向性関数の演算を行う場合に、同一の出力値となるものを同一の記号に置き換える。計数部33は、記号置換部32において、同一の記号に置き換えられたものの数をカウントする。
管理部34は、一方向性関数により得られた出力値、置き換えられた記号および計数部33がカウントしたカウント値をインデックス情報として管理する。出現頻度調整部35は、記号置換部32で置換された記号間で、その出現頻度に大きな差異がある場合に、複数の出力値を統合して、出現頻度の平準化を図る。そして、これらの情報は、格納部40に格納される。なお、プライバシー情報評価サーバ200のk−匿名性判定部20は、効率よく評価作業を行うために、格納部40に格納された過去のデータを参照して、計数部33のカウント値の差分が少ない属性から評価を行うこともできる。
<プライバシー情報評価サーバの処理>
図7を用いて、本発明の実施形態に係るプライバシー情報評価サーバの処理について説明する。
図7を用いて、本発明の実施形態に係るプライバシー情報評価サーバの処理について説明する。
まず、プライバシー情報評価サーバ200は、ユーザ端末100から受信したデータを加工して、プライバシー情報の評価を行い(ステップS101)、ユーザ端末100から受信したデータからユーザのID情報を除いた情報を変換処理する(ステップS102)。
そして、変換処理後のデータを格納し(ステップS103)、評価の結果とともに、データをサービス提供サーバに送信する(ステップS104)。
したがって、本実施形態によれば、ユーザからのすべてのデータを保管するプライバシー情報評価サーバにおいて、これらのデータを変換処理した後、格納するため、情報の漏洩を防止することができる。
なお、プライバシー情報評価サーバの処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをプライバシー情報評価サーバに読み込ませ、実行することによって本発明のプライバシー情報評価サーバを実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
10;受信部
20;k−匿名性判定部
21;分類部
22;設定部
23;算出部
24;加工方法選択部
25;加工部
30;データ変換処理部
31;演算部
32;記号置換部
33;計数部
34;管理部
35;出現頻度調整部
40;格納部
50;判定データ選択部
60;データ復元部
70;送信部
100;ユーザ端末
200;プライバシー情報評価サーバ
300;サービス提供者サーバ
20;k−匿名性判定部
21;分類部
22;設定部
23;算出部
24;加工方法選択部
25;加工部
30;データ変換処理部
31;演算部
32;記号置換部
33;計数部
34;管理部
35;出現頻度調整部
40;格納部
50;判定データ選択部
60;データ復元部
70;送信部
100;ユーザ端末
200;プライバシー情報評価サーバ
300;サービス提供者サーバ
Claims (16)
- ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバであって、
前記ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行う評価手段と、
前記ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理するデータ変換処理手段と、
該変換処理後のデータを格納する格納手段と、
を備えたことを特徴とするプライバシー情報評価サーバ。 - 前記データ変換処理手段が、一方向性関数を用いて、データを変換することを特徴とする請求項1に記載のプライバシー情報評価サーバ。
- 復号鍵を格納する復号鍵格納手段を備え、
前記データ変換処理手段が、暗号化処理を用いて、データを変換することを特徴とする請求項1に記載のプライバシー情報評価サーバ。 - 前記データ変換処理手段が、前記評価手段に用いる各属性を1単位として、変換処理を行うことを特徴とする請求項2に記載のプライバシー情報評価サーバ。
- 前記データ変換処理手段は、前記一方向性関数により生成された同一の出力値となるものを同一の記号に置き換えることを特徴とする請求項2に記載のプライバシー情報評価サーバ。
- 前記一方向性関数により生成された同一の出力値となるものの数をカウントする計数手段と、
前記一方向性関数により得られた出力値、置き換えられた前記記号および前記計数手段がカウントしたカウント値をインデックス情報として管理する管理手段を備えたことを特徴とする請求項5に記載のプライバシー情報評価サーバ。 - 前記記号間で、その出現頻度に大きな差異がある場合に、複数の前記出力値を統合して、前記出現頻度の平準化を図る出現頻度調整手段を備えたことを特徴とする請求項6に記載のプライバシー情報評価サーバ。
- 前記評価手段が、前記格納手段に格納された過去のデータを参照して、前記計数手段のカウント値の差分が少ない属性から評価を行うことを特徴とする請求項6に記載のプライバシー情報評価サーバ。
- ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバにおけるデータ管理方法であって、
前記ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行う第1のステップと、
前記ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理する第2のステップと、
該変換処理後のデータを格納する第3のステップと、
前記評価の結果とともに、データを前記サービス提供サーバに送信する第4のステップと、
を備えたことを特徴とするデータ管理方法。 - 前記第2のステップにおいて、一方向性関数を用いて、データを変換することを特徴とする請求項9に記載のデータ管理方法。
- 前記第2のステップにおいて、前記一方向性関数により生成された同一の出力値となるものを同一の記号に置き換えることを特徴とする請求項10に記載のデータ管理方法。
- 前記第2のステップにおいて、前記一方向性関数により生成された同一の出力値となるものの数をカウントするステップと、
前記一方向性関数により得られた出力値、置き換えられた前記記号および前記カウントしたカウント値をインデックス情報として管理するステップとをさらに備えたことを特徴とする請求項11に記載のデータ管理方法。 - ユーザ端末からのデータを受信し、ユーザのプライバシー情報を評価して、その評価結果とともに、サービス提供サーバにデータを送信するプライバシー情報評価サーバにおけるデータ管理方法をコンピュータに実行させるためのプログラムであって、
前記ユーザ端末から受信したデータを加工して、プライバシー情報の評価を行う第1のステップと、
前記ユーザ端末から受信したデータからユーザのID情報を除いた情報を変換処理する第2のステップと、
該変換処理後のデータを格納する第3のステップと、
前記評価の結果とともに、データを前記サービス提供サーバに送信する第4のステップと、
をコンピュータに実行させるためのプログラム。 - 前記第2のステップにおいて、一方向性関数を用いて、データを変換することを特徴とする請求項13に記載のプログラム。
- 前記第2のステップにおいて、前記一方向性関数により生成された同一の出力値となるものを同一の記号に置き換えることを特徴とする請求項14に記載のプログラム。
- 前記第2のステップにおいて、前記一方向性関数により生成された同一の出力値となるものの数をカウントするステップと、
前記一方向性関数により得られた出力値、置き換えられた前記記号および前記カウントしたカウント値をインデックス情報として管理するステップとをさらに備えたことを特徴とする請求項15に記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010044580A JP5525864B2 (ja) | 2010-03-01 | 2010-03-01 | プライバシー情報評価サーバ、データ管理方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010044580A JP5525864B2 (ja) | 2010-03-01 | 2010-03-01 | プライバシー情報評価サーバ、データ管理方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011180839A true JP2011180839A (ja) | 2011-09-15 |
| JP5525864B2 JP5525864B2 (ja) | 2014-06-18 |
Family
ID=44692279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010044580A Active JP5525864B2 (ja) | 2010-03-01 | 2010-03-01 | プライバシー情報評価サーバ、データ管理方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5525864B2 (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013080375A (ja) * | 2011-10-04 | 2013-05-02 | Hitachi Ltd | 個人情報匿名化装置及び方法 |
| JP2013084027A (ja) * | 2011-10-06 | 2013-05-09 | Kddi Corp | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム |
| WO2013064927A1 (en) * | 2011-10-31 | 2013-05-10 | International Business Machines Corporation | Protecting sensitive data in a transmission |
| WO2013088681A1 (ja) | 2011-12-15 | 2013-06-20 | 日本電気株式会社 | 匿名化装置、匿名化方法、並びにコンピュータ・プログラム |
| JP2013175121A (ja) * | 2012-02-27 | 2013-09-05 | Kddi R & D Laboratories Inc | 情報収集システム、情報収集方法およびプログラム |
| WO2014050257A1 (ja) * | 2012-09-28 | 2014-04-03 | 株式会社日立システムズ | 匿名化データの粒度管理装置および粒度管理方法 |
| WO2014136422A1 (ja) * | 2013-03-06 | 2014-09-12 | 日本電気株式会社 | 匿名化処理を行う情報処理装置及び匿名化方法 |
| WO2014181542A1 (ja) * | 2013-05-09 | 2014-11-13 | 日本電気株式会社 | 情報処理装置、情報処理方法、および、記録媒体 |
| US9558369B2 (en) | 2013-05-09 | 2017-01-31 | Nec Corporation | Information processing device, method for verifying anonymity and medium |
| US9940473B2 (en) | 2013-01-10 | 2018-04-10 | Nec Corporation | Information processing device, information processing method and medium |
| CN114139213A (zh) * | 2022-02-07 | 2022-03-04 | 广州海洁尔医疗设备有限公司 | 一种icu病房监控数据处理方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001357130A (ja) * | 2000-06-13 | 2001-12-26 | Hitachi Ltd | 診療情報管理システム |
| JP2003264540A (ja) * | 2002-03-07 | 2003-09-19 | Dainippon Printing Co Ltd | 情報配信方法およびシステム |
| JP2007219636A (ja) * | 2006-02-14 | 2007-08-30 | Nippon Telegr & Teleph Corp <Ntt> | データ開示方法およびデータ開示装置 |
-
2010
- 2010-03-01 JP JP2010044580A patent/JP5525864B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001357130A (ja) * | 2000-06-13 | 2001-12-26 | Hitachi Ltd | 診療情報管理システム |
| JP2003264540A (ja) * | 2002-03-07 | 2003-09-19 | Dainippon Printing Co Ltd | 情報配信方法およびシステム |
| JP2007219636A (ja) * | 2006-02-14 | 2007-08-30 | Nippon Telegr & Teleph Corp <Ntt> | データ開示方法およびデータ開示装置 |
Non-Patent Citations (6)
| Title |
|---|
| CSNG200900269125; 村本 俊祐 Shunsuke MURAMOTO: 'k-匿名性を利用したデータ一般化によるプライバシー保護 Privacy Protection by Data Generalization to' 電子情報通信学会 第18回データ工学ワークショップ論文集 [online] DEWS2007 HIROSHIMA , 20070601, (ページの番号なし), 電子情報通信学会データ工学研究専門委員会 * |
| CSNG201000073032; 高橋 克巳 Katsumi Takahashi: 'プライバシー保護データ活用技術の現状と課題 A Study of Privacy Preserving Data Utilization' コンピュータセキュリティシンポジウム2009 論文集 [第二分冊] Computer Security Symposium 2009 第2009巻, 20100106, p.757-762, 社団法人情報処理学会 Information Processing Socie * |
| CSNG201000073033; 五十嵐 大 Dai IKARASHI: 'k-匿名性の確率的指標への拡張とその適用例 A Probabilistic Extension of k-Anonymity' コンピュータセキュリティシンポジウム2009 論文集 [第二分冊] Computer Security Symposium 2009 第2009巻, 20091019, p.763-768, 社団法人情報処理学会 Information Processing Socie * |
| JPN6013041691; 五十嵐 大 Dai IKARASHI: 'k-匿名性の確率的指標への拡張とその適用例 A Probabilistic Extension of k-Anonymity' コンピュータセキュリティシンポジウム2009 論文集 [第二分冊] Computer Security Symposium 2009 第2009巻, 20091019, p.763-768, 社団法人情報処理学会 Information Processing Socie * |
| JPN6013041693; 高橋 克巳 Katsumi Takahashi: 'プライバシー保護データ活用技術の現状と課題 A Study of Privacy Preserving Data Utilization' コンピュータセキュリティシンポジウム2009 論文集 [第二分冊] Computer Security Symposium 2009 第2009巻, 20100106, p.757-762, 社団法人情報処理学会 Information Processing Socie * |
| JPN6013041695; 村本 俊祐 Shunsuke MURAMOTO: 'k-匿名性を利用したデータ一般化によるプライバシー保護 Privacy Protection by Data Generalization to' 電子情報通信学会 第18回データ工学ワークショップ論文集 [online] DEWS2007 HIROSHIMA , 20070601, (ページの番号なし), 電子情報通信学会データ工学研究専門委員会 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013080375A (ja) * | 2011-10-04 | 2013-05-02 | Hitachi Ltd | 個人情報匿名化装置及び方法 |
| JP2013084027A (ja) * | 2011-10-06 | 2013-05-09 | Kddi Corp | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム |
| GB2510301A (en) * | 2011-10-31 | 2014-07-30 | Ibm | Protecting sensitive data in a transmission |
| WO2013064927A1 (en) * | 2011-10-31 | 2013-05-10 | International Business Machines Corporation | Protecting sensitive data in a transmission |
| US8677154B2 (en) | 2011-10-31 | 2014-03-18 | International Business Machines Corporation | Protecting sensitive data in a transmission |
| CN104254858A (zh) * | 2011-10-31 | 2014-12-31 | 国际商业机器公司 | 保护传输中的敏感数据 |
| WO2013088681A1 (ja) | 2011-12-15 | 2013-06-20 | 日本電気株式会社 | 匿名化装置、匿名化方法、並びにコンピュータ・プログラム |
| JP2013175121A (ja) * | 2012-02-27 | 2013-09-05 | Kddi R & D Laboratories Inc | 情報収集システム、情報収集方法およびプログラム |
| WO2014050257A1 (ja) * | 2012-09-28 | 2014-04-03 | 株式会社日立システムズ | 匿名化データの粒度管理装置および粒度管理方法 |
| JP2014071618A (ja) * | 2012-09-28 | 2014-04-21 | Hitachi Systems Ltd | 匿名化データの粒度管理装置および粒度管理方法 |
| US9940473B2 (en) | 2013-01-10 | 2018-04-10 | Nec Corporation | Information processing device, information processing method and medium |
| WO2014136422A1 (ja) * | 2013-03-06 | 2014-09-12 | 日本電気株式会社 | 匿名化処理を行う情報処理装置及び匿名化方法 |
| WO2014181542A1 (ja) * | 2013-05-09 | 2014-11-13 | 日本電気株式会社 | 情報処理装置、情報処理方法、および、記録媒体 |
| US9558369B2 (en) | 2013-05-09 | 2017-01-31 | Nec Corporation | Information processing device, method for verifying anonymity and medium |
| CN114139213A (zh) * | 2022-02-07 | 2022-03-04 | 广州海洁尔医疗设备有限公司 | 一种icu病房监控数据处理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5525864B2 (ja) | 2014-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5525864B2 (ja) | プライバシー情報評価サーバ、データ管理方法およびプログラム | |
| US11036778B2 (en) | Detecting, classifying, and enforcing policies on social networking activity | |
| JP5611852B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| JP5511532B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| Ghorbel et al. | Privacy in cloud computing environments: a survey and research challenges | |
| US10701100B2 (en) | Threat intelligence management in security and compliance environment | |
| TWI745861B (zh) | 資料處理方法、裝置和電子設備 | |
| JP5452187B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| US8861691B1 (en) | Methods for managing telecommunication service and devices thereof | |
| US20200175426A1 (en) | Data-based prediction results using decision forests | |
| TW202040399A (zh) | 資料處理方法、裝置和電子設備 | |
| US20230336344A1 (en) | Data processing methods, apparatuses, and computer devices for privacy protection | |
| JP2015114871A (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| JP5626964B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| US11194824B2 (en) | Providing oblivious data transfer between computing devices | |
| JP5366786B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| JP5839460B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| JP5416614B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| US20200314068A1 (en) | Dynamically redacting confidential information | |
| Monroe et al. | Location data and COVID-19 contact tracing: how data privacy regulations and cell service providers work in tandem | |
| US20230077289A1 (en) | System for electronic data artifact testing using a hybrid centralized-decentralized computing platform | |
| US11539521B2 (en) | Context based secure communication | |
| TWI729697B (zh) | 資料處理方法、裝置和電子設備 | |
| CN112232639A (zh) | 统计方法、装置和电子设备 | |
| JP5665685B2 (ja) | 重要度判定装置、重要度判定方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120830 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130814 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130827 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131028 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140401 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140414 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5525864 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |