JP2013041536A - 情報処理方法及び装置 - Google Patents

情報処理方法及び装置 Download PDF

Info

Publication number
JP2013041536A
JP2013041536A JP2011179587A JP2011179587A JP2013041536A JP 2013041536 A JP2013041536 A JP 2013041536A JP 2011179587 A JP2011179587 A JP 2011179587A JP 2011179587 A JP2011179587 A JP 2011179587A JP 2013041536 A JP2013041536 A JP 2013041536A
Authority
JP
Japan
Prior art keywords
data
anonymization
data sets
anonymization processing
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011179587A
Other languages
English (en)
Other versions
JP5691936B2 (ja
Inventor
Hiroshi Tsuda
宏 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2011179587A priority Critical patent/JP5691936B2/ja
Publication of JP2013041536A publication Critical patent/JP2013041536A/ja
Application granted granted Critical
Publication of JP5691936B2 publication Critical patent/JP5691936B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】個人情報を含むデータセットを活用する際にプライバシ保護を図る。
【解決手段】本方法は、所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する工程と、データセットの数が閾値以上でないと判断された場合、他の匿名化装置と通信して他の匿名化装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上となっているか判断する工程と、他の匿名化装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上となっていると判断された場合には、データ格納部に格納されているデータセットの少なくとも一部に対して匿名化処理を実施する工程と、匿名化処理後のデータセットを、複数の匿名化装置からのデータセットを蓄積するコンピュータに送信する工程とを含む。
【選択図】図4

Description

本技術は、データのプライバシ保護技術に関する。
最近ではカーナビゲーションシステムや携帯電話機などに埋め込まれたGPS(Global Positioning System)受信機が、時々刻々と変化する現在位置を取得し、それに基づいてナビゲーションや近くのお店を紹介するなどのサービスが実用化されている。しかしながら、利用者としては、自分のプライバシデータである位置データについてはあまりサービス事業者に把握されずに、サービスを利用したいという要望もある。
一方、サービス事業者は、なるべくユーザの実データに近いデータを集めて、各種サービスを実現したい、と考えている。例えば、ある場所にいる人や車の集計値だけしか得られない場合には渋滞情報提供のようなことしかできないが、誰か特定はできなくても同一人物の行動履歴が取れれば、似たような経路を取っている人の行動予測など詳細な処理が可能になる。また、個人まで特定できれば、個人の移動経路などに合わせたお店の推薦などが可能になる。
これに関係して、ある範囲にいる人の属性に合わせて広告を配信する技術が存在している。この技術では、一定時間毎に、特定の属性を有する通行人の情報をサーバで収集し集計してそれに基づき適切な広告を選択する。しかしながら、これではサーバに各個人の実データが送信されてしまうので、サーバに蓄積されているデータを組み合わせることで個人の行動履歴が特定されてしまい、プライバシ侵害の恐れがある。また、このように特定の個人の実データをそのまま得て、保持していると、何らかの理由で漏洩してしまった場合のリスクが高い。
また、タクシー利用者からの直接的要求が無い状態であっても、タクシーを効率的に配車するための技術も存在している。この技術では、不特定多数の利用者が所持する携帯電話などの携帯型端末から基地局に通知される情報を収集し、どの基地局の回りに携帯型端末が多く分布するかなど、端末の分布状態を取得する。車載装置から要求があったとき、その車載装置の現在位置を含む所定範囲における携帯型端末の分布情報を、その車載装置で表示する。携帯型端末の分布が分るので、タクシーの潜在的な利用者がどれ程いるかを把握できる、というものである。この技術によれば、分布情報は利用可能となっているが、それ以上のデータを利用できない。
上で述べたように特定の個人の実データをそのまま得て、保持しているのはリスクが高いので、データに対して秘匿化処理を行うことが好ましい。この秘匿化技術には、k−匿名化技術がある。この技術は、データベースに含まれる個人データを、指定した属性(識別子に準ずるデータ項目。住所、年齢、性別など)を組み合わせて検索したとしても、kレコード(kは事前に与えた数値。)以下には絞り込めないようにデータをあいまい化する技術である。このようにデータベースを加工することで、特定個人のレコードを絞り込めなくすることで、個人のプライバシを守ることができる。
k−匿名化技術の1つであるDataflyでは、以下のような処理を実施する。なお、例えば図1に示すようなデータベースが予め存在しているものとする。(1)まず、指定された属性(例えば、Birthdate, Gender及びZIP)の属性値の組み合わせの数をカウントする。ここでは、図2において出現頻度「1」として示すように、12レコードのそれぞれが異なっている。指定された属性の属性値の組み合わせが同一であるレコードの数が閾値k(ここでは2)以上であれば、当該レコードについての処理は匿名化が完了している。なお、以下の説明の都合上、図2においてはレコードIDを付与している。
(2)指定された属性の属性値の組み合わせが同一であるレコードの数がk未満であるレコードについては、指定属性のうち最も値の種類が多い属性を選択し、値を一般化する。Birthdate、Gender及びZIPの各列の下に種類数を示しているが、Birthdateの種類が12種類で最も多い。従って、Birthdateの値を所定のルールで一般化する。例えば、9/20/65については1965年生まれということで、1965に一般化する。その他についても同様に一般化すると、図3に示すようなデータが得られる。なお、図3において、指定された属性の属性値の組み合わせが同一であるレコードについてはマージされている。具体的には、レコードIDがt1及びt2のレコードが同一になり、レコードIDがt3及びt4のレコードが同一になり、レコードIDがt5及びt6のレコードが同一になり、レコードIDがt9及びt10のレコードが同一になり、レコードIDがt11及びt12のレコードが同一になっている。これらのレコードについては、出現頻度が2となっており、閾値k以上であるので匿名化が完了している。
(3)残りのレコード数がk以下になるまで、他の属性についてステップ(2)を繰り返す。
(4)残りのレコード数がk以下であれば、残りのレコードを削除する。図3の例の場合には、レコードIDがt7及びt8のレコードについてはマージできないので、破棄する。
このような技術を次々に送られてくる個人情報等に対して適用するには、結局のところ実データを蓄積したデータベースを生成することになるので、プライバシの問題や漏洩のリスクなどがある。また、何度も(2)の処理を繰り返すのであれば処理コストが高いという問題もある。
特開2002−312673号公報 特開2007−249918号公報
Sweeney, Achieving k-anonymity privacy protection using Genralization and suppression, International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 2002
従って、本技術の目的は、一側面においては、個人情報を含むデータセットを活用する際にプライバシ保護を図るための新規な技術を提供することである。
本技術に係る情報処理方法は、(A)所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1のステップと、(B)第1のステップにおいてデータセットの数が閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上となっているか判断又は確認する第2のステップと、(C)他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上となっていると第2のステップで判断又は確認された場合には、データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3のステップと、(D)第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4のステップとを含む。
個人情報を含むデータセットを活用する際にプライバシ保護を図ることができるようになる。
図1は、従来技術を説明するための図である。 図2は、従来技術を説明するための図である。 図3は、従来技術を説明するための図である。 図4は、実施の形態のシステム構成例を示す図である。 図5は、端末装置の機能ブロック図である。 図6は、匿名化処理装置の機能ブロック図である。 図7は、隣接装置データ格納部に格納されているデータの一例を示す図である。 図8は、サーバの機能ブロック図である。 図9は、第1の実施の形態を説明するための模式図である。 図10は、第1の実施の形態を説明するための模式図である。 図11は、第1の実施の形態の処理を説明するための図である。 図12は、第1の実施の形態の処理フローを示す図である。 図13は、第1の実施の形態の処理フローを示す図である。 図14は、第1の実施の形態の処理フローを示す図である。 図15は、第1の実施の形態の処理フローを示す図である。 図16は、匿名化処理の処理フローを示す図である。 図17は、キャッシュに格納されているデータの一例を示す図である。 図18は、匿名化処理後のデータの一例を示す図である。 図19は、第2の実施の形態の処理フローを示す図である。 図20は、秘匿レベルと閾値との対応関係を表すデータの一例を示す図である。 図21は、第2の実施の形態の処理フローを示す図である。 図22は、第2の実施の形態の処理フローを示す図である。 図23は、第2の実施の形態の処理フローを示す図である。 図24は、第2の実施の形態の処理フローを示す図である。 図25は、第2の実施の形態の効果を説明するための図である。 図26は、コンピュータの機能ブロック図である。
[実施の形態1]
図4に、本技術の第1の実施の形態に係るシステムの概要を示す。本実施の形態では、無線通信機能と位置データ取得機能(例えばGPS機能)とを有する携帯電話機や自動車などに搭載されるカーナビゲーション装置などの端末装置5(図4では5a乃至5d)から位置データ等を含むデータセットを、そのままサーバ7に送信するのではなく、サーバ7より端末装置寄りに設置された匿名化処理装置3(図4では3a及び3b)に送信する。そして、匿名化処理装置3において以下で説明する匿名化処理を行った上でサーバ7に送信する。サーバ7では、多数のデータセットについて所定の分析処理を実施する。
匿名化処理装置3は、例えば端末装置5による無線通信のための基地局と一体になっているか、基地局と接続されており、近隣の匿名化処理装置3同士は、所定のルールで通信を行うようになっている。さらに、匿名化処理装置3は、インターネットその他のネットワーク1を介してサーバ7に接続されている。
図5に、端末装置5の機能ブロック図を示す。端末装置5は、GPS等の位置データ取得部51と、端末装置5のユーザの個人情報などの属性データを格納する属性データ格納部52と、位置データ取得部51が取得した位置データと属性データ格納部52に格納されている少なくとも一部のデータとを含むデータセットを定期的に基地局に送信するデータ送信部53とを有する。以下で述べる例では、送信するデータセットには、端末装置5の識別子(ID)と、緯度及び経度を含む位置データと、ユーザの年齢と、性別と、感染症の有無といったデータが含まれるものとする。
図6に、匿名化処理装置3の機能ブロック図を示す。匿名化処理装置3は、通信部31と、キャッシュ32と、キュー33と、制御部34と、匿名化処理部35と、隣接装置データ格納部36とを有する。通信部31は、端末装置5からデータセットを受信すると共に、他の匿名化処理装置3と通信を行う。通信部31は、他の匿名化処理装置3と通信を行うが、問い合わせメッセージの送信先は、例えば図7に示すような隣接装置データ格納部36に格納されているデータを用いて決定する。図7の例では、装置名と装置IDとが対応付けられている。
キャッシュ32は、例えばΔt時間毎に端末装置5からのデータセットを格納する。Δd毎に切り替えて用いるため、キャッシュ32は複数存在する場合もある。キュー33は、他の匿名化処理装置3から受信したメッセージを格納するキューである。制御部34は、キャッシュ32に格納されているデータセットの数、又はキャッシュ32に格納されているデータセットの数+他の匿名化処理装置3が保持しているデータセットの数、及び他の匿名化処理装置3からのメッセージに基づき、匿名化処理装置3の制御を行う。匿名化処理部35は、属性等に応じて値の同一化、マスク化等の匿名化処理を実施する。ハッシュ関数を有しており、属性値のハッシュ化を行う場合もある。
図8に、サーバ7の機能ブロック図を示す。サーバ7は、匿名化処理装置3からのデータセットを受信するデータ受信部71と、データ受信部71が受信したデータセットを格納するデータベース73と、データベース73に蓄積されているデータセットを分析して所定のサービスを実施する分析処理部75とを有する。分析処理部75の処理結果は、端末装置5に自動的に配信したり要求に応じて配信される場合もある。さらに、他の端末に送信される場合もある。
本実施の形態では、図9に模式的に示すように、匿名化処理装置3aには、時刻T1から単位時間Δtの間に、小さな丸で示した7つの端末装置5からデータセットが送信されて来ている。しかし、閾値としてK=10が設定されているとするとデータセットの数が不足していることになる。一方、隣接する匿名化処理装置3bには、時刻T1から単位時間Δtの間に、小さな丸で示した3つの端末装置5からデータセットが送信されてきているが、同じく閾値K=10が設定されているとするとデータセットの数が不足していることになる。ここで、本実施の形態では、匿名化処理装置3a及び3bが通信を行って、互いのデータセット数を加算するとK=10以上のデータセットがあることが分かれば、各々がデータセットに対して所定の匿名化処理を実施した後に、サーバ7に匿名化処理後のデータセットを送信する。その際、データセットに含まれる位置データについては、図9において×印で示されるような中間地点の位置データに同一化する。また、データセットに受信時刻が含まれている場合には、例えば時刻T1に同一化する。他の属性については、同一化する場合もあれば、一部マスク化する場合もある。その他の曖昧化を行うこともある。
一方、図10に示すように、匿名化処理装置3aには、時刻T2から単位時間Δtの間に、小さな丸で示した10個の端末装置5からデータセットが送信されて来ており、データセット数が閾値K=10に達している。一方、隣接する匿名化処理装置3bには、時刻T2から単位時間Δtの間に、小さな丸で示した3つの端末装置5からデータセットが送信されてきているが、データセット数は閾値K=10に達していない。このような場合には、所定の匿名化処理後に、サーバ7にデータセットを送信する。例えば、位置データについては匿名化処理装置3aの位置データに同一化し、時刻データについては時刻T2に同一化し、他の属性については同一化する場合もあれば一部マスク化する場合もある。その他の曖昧化を行う場合もある。匿名化処理装置3bは、他の匿名化処理装置3と通信を行ってデータセット数が閾値K=10に達しない場合には、3つの端末装置5からデータセットを破棄する。
図9を用いて説明した処理についてより詳細に図11を用いて説明する。例えば、匿名化処理装置3aは、ID=10であり、位置がPaであり、開始時刻t1から単位時間Δtの間に5つのデータセット(N=5)を端末装置5から受信したものとする。また、匿名化処理装置3bは、ID=8であり、位置がPbであり、単位時間Δtの間に3つのデータセット(N=3)を端末装置5から受信したものとする。匿名化処理装置3cは、ID=18であり、位置がPcであり、単位時間Δtの間に7つのデータセット(N=7)を端末装置5から受信したものとすると。匿名化処理装置3dは、ID=6であり、位置がPdであり、単位時間Δtの間に6つのデータセット(N=6)を端末装置5から受信したものとする。
閾値K=10であるとすると、いずれの匿名化処理装置3も受信したデータセットの数Nは閾値K=10に達していない。そこで、匿名化処理装置3aに着目すると、匿名化処理装置3aのID=10より小さいIDを有する匿名化処理装置3b及び3dには、問い合わせメッセージq(T,P,N)(具体的にはq(t1,Pa,5))を送信する。Tは開始時刻を表し、Pは位置を表し、Nはデータセット数を表す。また、匿名化処理装置3cも、問い合わせメッセージq(t1,Pc,7)を匿名化処理装置3a(並びに3b、3d及び3e)に送信し、匿名化処理装置3eも、問い合わせメッセージq(t1,Pe,2)を匿名化処理装置3a(並びに3b及び3d)に送信する。
なお、自IDよりも小さいIDを有する匿名化処理装置にのみ問い合わせメッセージを送信するのは、問い合わせメッセージ及び条件充足の可能性を表す応答メッセージの送り合い(メッセージのループ)といったようなことを回避するためである。
例えば、匿名化処理装置3aが問い合わせメッセージq(t1,Pc,7)を匿名化処理装置3cから最初に受信したとすると、データセット数N=7の問い合わせメッセージであるから、自分が有しているデータセットの数N=5と併せると閾値K=10を超える。従って、条件充足の可能性を表す応答メッセージyes(t1,Pa)を、匿名化処理装置3cに返信する。これに対して、他の匿名化処理装置3から問い合わせメッセージも条件充足の可能性を表す応答メッセージも受信していないので、匿名化処理装置3cは、匿名化処理装置3aに了承メッセージok(t1,Pc)を返信して、図9を用いて説明したように、各々保持するデータセットを匿名化した後にサーバ7に送信する。
一方、匿名化処理装置3dは、匿名化処理装置3aから問い合わせメッセージq(t1,Pa,5)を受信すると、条件充足の可能性を表す応答メッセージyes(t1,Pd)を匿名化処理装置3aに返信する。しかしながら、既に匿名化処理装置3cに条件充足の可能性を表す応答メッセージyes(t1,Pa)を返信してしまっている匿名化処理装置3aは、匿名化処理装置3dに対して拒否メッセージng(t1,Pa)を送信する。
なお、匿名化処理装置3aは、匿名化処理装置3eからの問い合わせメッセージについては無視することになり、匿名化処理装置3bは匿名化処理装置3aからの問い合わせメッセージについては無視することになる。従って、匿名化処理装置3b、3d及び3eはデータセットを破棄することになる。
図11で説明した処理について詳細に図12乃至図18を用いて説明する。匿名化処理装置3の通信部31は、キャッシュ32に、開始時刻Tから1単位時間Δt間、受信したデータセットを格納する(図12:ステップS1)。また、制御部34は、キュー33を初期化する(ステップS3)。そして、制御部34は、キャッシュ32に格納されているデータセットの数を計数して、Nにキャッシュ32中のデータセット数を設定する(ステップS5)。そして、制御部34は、Nが予め設定されている閾値K以上となったか判断する(ステップS7)。N≧Kであれば、端子Aを介して図15のステップS41に移行する。他の匿名化処理装置3と通信を行うことなく、データセットに対して匿名化処理を実施した後にサーバ7に匿名化処理後のデータセットを送信する。
一方、NがK未満であれば、制御部34は、通信部31に、隣接匿名化処理装置3のうちIDが自IDよりも小さいものを特定して、問い合わせメッセージq(T,P,N)を送信させる(ステップS9)。Tは、例えば単位時間の計測開始時刻であるが、単位時間の計測終了時刻であってもよい。Pは、匿名化処理装置3の位置であり、Nはデータセット数である。なお、上でも述べたように、通信部31は、隣接装置データ格納部36に格納されているデータから、問い合わせメッセージを送信すべき匿名化処理装置3を特定する。自IDより小さいIDが隣接装置データ格納部36に格納されていない場合には、問い合わせメッセージを送信しない場合もある。なお、制御部34は、例えばこのタイミングで所定のタイムアウト時間の計測を開始する。このタイミング以降、通信部31は、他の匿名化処理装置3からメッセージを受信すると、キュー33に格納する。
そして、制御部34は、タイムアウト時間を経過してタイムアウトになったか判断する(ステップS11)。タイムアウトになった場合には、端子Bを介して図15のステップS49に移行する。一方、タイムアウトになっていない場合には、制御部34は、OK待ち状態であるか判断する(ステップS13)。OK待ち状態は、他の匿名化処理装置3から、了解メッセージを待機する状態であり、OK待ちフラグがYesにセットされている状態である。OK待ち状態であれば、端子Cを介して図14のステップS27に移行する。
一方、OK待ち状態でなければ、制御部34は、キュー33の先頭から受信メッセージを読み出してQに設定する(ステップS15)。そして、処理は端子Dを介して図13の処理に移行する。
図13の処理の説明に移行して、制御部34は、Qに問い合わせメッセージq(T,P1,N1)(問い合わせメッセージqには、送信元匿名化処理装置3のID等を含むものとする)が設定されているか判断する(ステップS17)。図11でも匿名化処理装置3cが匿名化処理装置3aへ問い合わせメッセージq(t1,Pc,7)を送ってきているので、このような状況に該当するか判断している。Qに問い合わせメッセージq(T,P1,N1)が設定される場合には、制御部34は、(N+N1)がK以上となっているか判断する(ステップS19)。本実施の形態では、処理を簡単にするために、2つの匿名化処理装置3において保持するデータセットの数が閾値K以上となった場合にのみ、その2つの匿名化処理装置3からデータセットをサーバ7に送信するものとしている。但し、一般的には3以上の匿名化処理装置3であってもよい。(N+N1)がK未満である場合には、端子Eを介して図12のステップS11に戻る。
一方、(N+N1)がK以上である場合には、制御部34は、通信部31に、この問い合わせメッセージの送信元匿名化処理装置3宛に、条件充足の可能性を表す応答メッセージyes(T,P)(Pは自匿名化処理装置3の位置データ)を返信させる(ステップS21)。そして、制御部34は、OK待ちフラグをYesに設定して、OK待ち状態に遷移させる(ステップS23)。そして処理は端子Eを介して図12のステップS11に戻る。
これに対してQに問い合わせメッセージq(T,P1,N1)ではなく条件充足の可能性を表す応答メッセージyes(T,P1)(応答メッセージには送信元匿名化処理装置3のIDが含まれるものとする)が設定されている場合には、制御部34は、通信部31に、応答メッセージの送信元匿名化処理装置3宛に、了承メッセージok(T,P)を返信させる(ステップS25)。そして端子Fを介して図14のステップS31に移行する。この状況においては、応答メッセージyes(T,P1)の送信元匿名化処理装置3が(N+N2)≧Kであることを判断しており、了承メッセージok(T,P)を送信した匿名化処理装置3は直接は判断していない。しかし、応答メッセージyes(T,P1)は、(N+N2)≧Kである状況を通知しているので、この応答メッセージにて(N+N2)≧Kを判断又は確認していると言える。
なお、図11の例では、匿名化処理装置3dから匿名化処理装置3aへ応答メッセージyes(t1,Pd)が送信されているが、その前に匿名化処理装置3aは、ステップS23でOK待ち状態に遷移しているので、ステップS25の処理は行われない。
次に、端子C以降の処理について図14を用いて説明する。すなわち、OK待ち状態である場合、制御部34は、キュー33の先頭から受信メッセージを読み出してQに設定する(ステップS27)。そして、制御部34は、Qに、了解メッセージok(T,P1)が設定されているか判断する(ステップS29)。T及びP1は、問い合わせメッセージにおけるT及びP1と同じでなければならない。Qに了解メッセージok(T,P1)が設定されていた場合、図11で匿名化処理装置3cから匿名化処理装置3aが了解メッセージok(t1,Pc)を受信したケースに該当する。これによって、ok(T,P1)の送信元匿名化処理装置3のデータセットの数N1と自匿名化処理装置3のデータセットの数Nの和がK以上であって、これらの匿名化処理装置3のデータセットを同一位置で収集したものとして取り扱う。
そうすると、制御部34は、匿名化処理部35に位置データP1を出力して、キャッシュ32におけるデータセットの位置データを(P+P1)/2に置換して匿名化させる(ステップS31)。図9を用いて説明したような処理を行う。そして端子Gを介して図15のステップS43に移行する。
一方、Qに了解メッセージok(T,P1)が設定されていない場合には、制御部34は、Qに、条件充足の可能性を表す応答メッセージyes(T,P2)(P2はP1とは異なる匿名化処理装置3からの応答メッセージであることを表している)が設定されているか判断する(ステップS33)。これは、図11において、匿名化処理装置3dが匿名化処理装置3aに応答メッセージyes(t1,Pd)を送信したケースに該当する。Qに応答メッセージyes(T,P2)が設定されている場合には、制御部34は、通信部31に、応答メッセージの送信元匿名化処理装置3宛に、拒否メッセージng(T,P)を送信させる(ステップS35)。これは、図11において、匿名化処理装置3aが匿名化処理装置3dに拒否メッセージng(t1,Pa)を送信したケースに該当する。そして処理は端子Eを介して図12のステップS11に戻る。
一方、Qに応答メッセージyes(T,P2)が設定されていない場合、制御部34は、Qに拒否メッセージng(T,P1)が設定されているか判断する(ステップS37)。Qに、ステップS29、S33及びS37で判断されているメッセージ以外のメッセージが設定されている場合には端子Eを介して図12のステップS11に戻る。
一方、Qに拒否メッセージng(T,P1)(応答メッセージ(T,P)の送信先の匿名化処理装置3からの拒否メッセージ)が設定されている場合には、制御部34は、OK待ちフラグにNOを設定して、OK待ち状態から通常状態に戻す(ステップS39)。そして、端子Eを介して図12のステップS11に戻る。
次に、端子A以降の処理について図15を用いて説明する。なお、端子F及び端子B以降の処理も同時に説明する。
端子A後、すなわち自匿名化処理装置3におけるデータセットの数NがK以上である場合には、制御部34は、匿名化処理部35に対して、キャッシュ32におけるデータセットの位置データを自匿名化処理装置3の位置Pで同一化することで匿名化させる(ステップS41)。さらに、制御部34は、匿名化処理部35に対して、キャッシュ32におけるデータセットの他の属性についての匿名化を実施させる(ステップS43)。受信時刻については計測開始時刻Tに同一化し、IDについてはハッシュ関数HによってH(ID)に変換し、他属性の匿名化については、例えば以下に示すような処理を各属性について実施する。
具体的には、匿名化処理部35は、キャッシュ32中のデータセットにおける属性値分布を算出する(図16:ステップS51)。例えば、属性値の出現頻度を計数する。そして、匿名化処理部35は、特異値があるか判断する(ステップS53)。特異値とは、例えばデータセット数に対して出現頻度が非常に小さい属性値であり、予め定められた閾値未満しか出現しない属性値である。特異値が存在する場合には、匿名化処理部35は、特異値をNULLに置換することで一部マスク化する(ステップS55)。そしてステップS57に移行する。
一方、特異値が存在しない場合又はステップS55の後に、匿名化処理部35は、属性値が全て同一値であるか判断する(ステップS57)。属性値が全て同一値である場合には、匿名化処理部35は、ランダムにNULLに置換することで一部マスク化する(ステップS59)。そして呼び出し元の処理に戻る。一方、属性値が全て同一値ではない場合にも、呼び出し元の処理に戻る。
以上のような処理を実施することで、同じ時空間にいるユーザの属性値が全て同一の場合や、一人だけ特異な属性値を有するユーザがいる場合など、個人を特定する手がかりとなりそうな情報を隠すことができる。なお、分析したい内容や以下で述べるプライバシのレベルに応じて、特異値除去のみ行ったり、同一値除去のみ行ったり、場合によっては属性値の匿名化処理を行わない場合もある。
例えば図17に示すようなデータセットがキャッシュ32に格納されている場合を考える。IDは、送信元の端末装置5のIDであり、日時はデータセットの受信時刻であり、緯度及び経度は、送信元の端末装置5の位置データであり、年齢、性別及び感染症の有無(Y/N)は、端末装置5のユーザの属性データである。
本実施の形態における匿名化処理部35は、図18に示すように、IDについてはハッシュ関数Hによって変換し、日時については計測開始時刻によって同一化し、位置データ(緯度及び経度)については匿名化処理装置3の位置データ又は匿名化処理装置3の中間点の位置データで同一化する。さらに、匿名化処理部35は、性別については全て同一値であるのでランダムにNULLを設定して一部マスク化する。さらに、感染症の有無については、「Y」という特異値が存在するので、特異値をNULLを設定して一部マスク化する。
図15の説明に戻って、制御部34は、通信部31に対して、キャッシュ32に格納されている匿名化処理後のデータセットをサーバ7に送信させる(ステップS45)。そして、処理終了でなければ(ステップS47:Noルート)、制御部34は、キャッシュ32をクリアし、時刻TをT+Δtで更新する(ステップS49)。そして、端子Hを介して図12のステップS1に戻る。一方、処理終了であれば(ステップS47:Yesルート)、処理を終了する。
このような処理を実施することで、サーバ7には各ユーザの正確な位置は通知されず、少なくてもK個以上のデータセットは同一位置で収集されたことになる。従って、位置についてもプライバシ保護が図られている。さらに、隣接する匿名化処理装置3にも各ユーザの正確な位置は通知されないので、ここでも局所的にもプライバシ保護が図られている。また、匿名化処理装置3で匿名化処理が実施されているので、サーバ7では匿名化処理を行わないで済むため、サーバ7の処理負荷を下げることができる。
[実施の形態2]
第1の実施の形態では、どの端末装置5からのデータセットについても同じように処理していた。しかし、端末装置5のユーザによっては、自分の属性データを含むデータセットについては秘匿レベルを高くしたいという場合もあれば、特に気にせずデータセットを可能な限りサーバに送信したいという場合もある。
本実施の形態では、ユーザが端末装置5のデータ送信部53に対して予め秘匿レベルを設定するものとする。具体的には、秘匿レベルL=3は、閾値K=50に対応し、50のデータセットがそろった場合にサーバに送信し、秘匿レベルL=2は、閾値K=10に対応し、10のデータセットがそろった場合にサーバに送信し、秘匿レベルL=1は、閾値K=1に対応し、必ずデータセットをサーバに送信する場合を想定する。なお、これは一例であって、レベル数を増減させ、閾値Kを他の値に変更することも可能である。
このような秘匿レベルをユーザが設定する場合においても、基本的なシステムの構成及び各装置の構成については第1の実施の形態と同様であり、その機能が一部変更になるだけである。よって、第2の実施の形態においては、システム、端末装置5の構成、匿名化処理装置3の構成、サーバ7の構成についての説明を省略する。
次に、図19乃至図24を用いて、本実施の形態における処理フローを説明する。
匿名化処理装置3の通信部31は、キャッシュ32に、計測開始時刻Tから1単位時間Δt間、受信したデータセットを格納する(図19:ステップS101)。また、制御部34は、キュー33を初期化する(ステップS103)。さらに、制御部34は、キャッシュ32中のデータセットにおける最上位の秘匿レベルLを特定する(ステップS105)。
また、制御部34は、キャッシュ32に格納されているデータセットの数を計数して、Nにキャッシュ32中のデータセット数を設定する(ステップS107)。さらに、制御部34は、ステップS105で特定された秘匿レベルLに対応する閾値をKに設定する(ステップS109)。例えば、図20に示すようなテーブルを保持しておき、秘匿レベルに対応付けて閾値の数値が登録されている。
そして、制御部34は、NがK以上となったか判断する(ステップS111)。N≧Kであれば、端子Jを介して図24のステップS155に移行する。他の匿名化処理装置3と通信を行うことなく、データセットに対して匿名化処理を実施した後にサーバ7に匿名化処理後のデータセットを送信する。
一方、NがK未満であれば、制御部34は、通信部31に、隣接匿名化処理装置3のうちIDが自IDよりも小さいものを特定して、問い合わせメッセージq(T,P,N,L)を送信させる(ステップS113)。Tは、例えば単位時間の計測開始時刻であるが、単位時間の計測終了時刻であってもよい。Pは、匿名化処理装置3の位置であり、Nはデータセット数であり、Lは秘匿レベルである。なお、通信部31は、隣接装置データ格納部36に格納されているデータから、問い合わせメッセージを送信すべき匿名化処理装置3を特定する。自IDより小さいIDが隣接装置データ格納部36に格納されていない場合には、問い合わせメッセージを送信しない場合もある。なお、制御部34は、例えばこのタイミングで所定のタイムアウト時間の計測を開始する。このタイミング以降、通信部31は、他の匿名化処理装置3からメッセージを受信すると、キュー33に格納する。
そして、制御部34は、タイムアウト時間を経過してタイムアウトになったか判断する(ステップS115)。タイムアウトになった場合には、端子Kを介して図23のステップS147に移行する。本実施の形態では、最大秘匿レベルの数だけループを繰り返すことになるので、第1の実施の形態よりも1回分のタイムアウト時間の長さは短くなる。
一方、タイムアウトになっていない場合には、制御部34は、OK待ち状態であるか判断する(ステップS117)。OK待ち状態は、他の匿名化処理装置3から、了解メッセージを待機する状態であり、OK待ちフラグがYesにセットされている。OK待ち状態であれば、端子Lを介して図22のステップS133に移行する。一方、OK待ち状態でなければ、端子Mを介して図21の処理に移行する。
図21の処理の説明に移行して、制御部34は、キュー33の先頭から受信メッセージを読み出してQに設定する(ステップS119)。そして、制御部34は、Qに問い合わせメッセージq(T,P1,N1,L1)(問い合わせメッセージqには、送信元匿名化処理装置3のIDを含む)が設定されているか判断する(ステップS121)。
Qに問い合わせメッセージq(T,P1,N1,L1)が設定される場合には、制御部34は、自匿名化処理装置3のLが問い合わせメッセージに含まれるL1以上であるか判断する(ステップS123)。自匿名化処理装置3のLがL1未満である場合には、問い合わせメッセージの送信元匿名化処理装置3には、より高い秘匿レベルを要求しているデータセットが存在しているため、自匿名化処理装置3における秘匿レベルLを基準に処理すると、プライバシ保護の観点から問題が生ずるためである。L≧L1という条件を満たさない場合には、端子Nを介して図19のステップS115に戻る。
一方、L≧L1という条件を満たす場合には、制御部34は、(N+N1)がK以上となっているか判断する(ステップS125)。本実施の形態でも、処理を簡単にするために、2つの匿名化処理装置3において保持するデータセットの数が閾値K以上となった場合にのみ、その2つの匿名化処理装置3からデータセットをサーバ7に送信するものとしている。但し、一般的には3以上の匿名化処理装置3であってもよい。(N+N1)がK未満である場合には、端子Nを介して図19のステップS115に戻る。
一方、(N+N1)がK以上である場合には、制御部34は、通信部31に、この問い合わせメッセージの送信元匿名化処理装置3宛に、条件充足の可能性を表す応答メッセージyes(T,P)(Pは自匿名化処理装置3の位置データ)を返信させる(ステップS127)。そして、制御部34は、OK待ちフラグをYesに設定して、OK待ち状態に遷移させる(ステップS129)。そして処理は端子Nを介して図19のステップS115に戻る。
これに対してQに問い合わせメッセージq(T,P1,N1,L1)ではなく条件充足の可能性を表す応答メッセージyes(T,P1)(応答メッセージには送信元匿名化処理装置3のIDが含まれる)が設定されている場合には、制御部34は、通信部31に、応答メッセージの送信元匿名化処理装置3宛に、了承メッセージok(T,P)を返信させる(ステップS131)。そして端子Rを介して図22のステップS137に移行する。この状況においては、応答メッセージyes(T,P1)の送信元匿名化処理装置3が(N+N2)≧Kであることを判断しており、了承メッセージok(T,P)を送信した匿名化処理装置3は直接は判断していない。しかし、応答メッセージyes(T,P1)は、(N+N2)≧Kである状況を通知しているので、この応答メッセージにて(N+N2)≧Kを判断又は確認しているとも言える。
次に、端子L以降の処理について図22を用いて説明する。すなわち、OK待ち状態である場合、制御部34は、キュー33の先頭から受信メッセージを読み出してQに設定する(ステップS133)。そして、制御部34は、Qに、了解メッセージok(T,P1)が設定されているか判断する(ステップS135)。T及びP1は、問い合わせメッセージにおけるT及びP1と同じでなければならない。これによって、ok(T,P1)の送信元匿名化処理装置3のデータセットの数N1と自匿名化処理装置3のデータセットの数Nの合計が現在の閾値K以上であって、これらの匿名化処理装置3のデータセットを同一位置で収集したものとして取り扱う。
そうすると、制御部34は、匿名化処理部35に位置データP1を出力して、キャッシュ32におけるデータセットの位置データを(P+P1)/2で置換することで匿名化させる(ステップS137)。図9を用いて説明したような処理を行う。そして端子Sを介して図24のステップS157に移行する。
一方、Qに了解メッセージok(T,P1)が設定されていない場合には、制御部34は、Qに、条件充足の可能性を表す応答メッセージyes(T,P2)(P2はP1とは異なる匿名化処理装置3からの応答メッセージであることを表している)が設定されているか判断する(ステップS139)。Qに応答メッセージyes(T,P2)が設定されている場合には、制御部34は、通信部31に、応答メッセージの送信元匿名化処理装置3宛に、拒否メッセージng(T,P)を送信させる(ステップS141)。そして処理は端子Nを介して図19のステップS115に戻る。
一方、Qに応答メッセージyes(T,P2)が設定されていない場合、制御部34は、Qに拒否メッセージng(T,P1)が設定されているか判断する(ステップS143)。Qに、ステップS135、S139及びS143で判断されているメッセージ以外のメッセージが設定されている場合には端子Nを介して図19のステップS115に戻る。
一方、Qに拒否メッセージng(T,P1)(応答メッセージ(T,P)の送信先の匿名化処理装置3からの拒否メッセージ)が設定されている場合には、制御部34は、OK待ちフラグにNOを設定して、OK待ち状態から通常状態に戻す(ステップS145)。そして、端子Nを介して図19のステップS115に戻る。
次に、端子K以降の処理、すなわちタイムアウトが発生した場合の処理について図23を用いて説明する。タイムアウトが発生した場合には、現在の秘匿レベルLが高くて、対応する閾値K以上のデータセットを集められないということであるから、制御部34は、秘匿レベルL以上のデータセットをキャッシュ32から削除する(ステップS147)。これによって秘匿レベルの高いデータセットのプライバシ保護が図られる。その後、制御部34は、キャッシュ32にデータセットが残っているのか判断する(ステップS149)。キャッシュ32にデータセットが残っていない場合には、端子Wを介して図24のステップS163に移行する。
一方、キャッシュ32にデータセットが残っている場合には、制御部34は、キャッシュ32中のデータセットにおける最上位の秘匿レベルを秘匿レベルLに設定する(ステップS151)。そして、制御部3は、Lが1であるか判断する(ステップS153)。Lが1であれば端子Jを介して図24の処理に移行する。一方、Lが2以上であれば端子Vを介して図19のステップS107に戻る。
本実施の形態ではLが1の場合対応する閾値が1であるため、端子Jを介して図24の処理に移行して、キャッシュ32に格納されているデータセットをサーバ7に送信する。しかし、一般的にはLが1であっても閾値が2以上であることもあるので、そのような場合には端子Vを介して図19のステップS107に戻る。
次に、端子J以降の処理について図24を説明する。なお、端子S及び端子W以降の処理も同時に説明する。
端子J後、すなわち自匿名化処理装置3におけるデータセットの数NがK以上である場合には、制御部34は、匿名化処理部35に対して、キャッシュ32におけるデータセットの位置データを自匿名化処理装置3の位置Pで同一化することで匿名化させる(ステップS155)。さらに、制御部34は、匿名化処理部35に対して、キャッシュ32におけるデータセットの他の属性についての匿名化を実施させる(ステップS157)。受信時刻については計測開始時刻Tに同一化し、IDについてはハッシュ関数HによってH(ID)に変換し、他属性の匿名化については、例えば図16に示すような処理を各属性について実施する。
その後、制御部34は、通信部31に対して、キャッシュ32に格納されている匿名化処理後のデータセットをサーバ7に送信させる(ステップS159)。そして、処理終了でなければ(ステップS161:Noルート)、制御部34は、キャッシュ32をクリアし、時刻TをT+Δtで更新する(ステップS163)。そして、端子Tを介して図19のステップS101に戻る。一方、処理終了であれば(ステップS161:Yesルート)、処理を終了する。
このような処理を実施することで秘匿レベルに応じたデータセットの送信が行われる。例えば図25に示すように、エリアAのような大通りでは多数のユーザがデータセットを秘匿化処理装置3に送信するので、秘匿レベルL=3であってもサーバ7にデータセットが送信される。一方、エリアBのような大通りから少し入ったところでは、秘匿レベルL=3に設定されているデータセットについては送信されず、秘匿レベルL=2以下のデータセットであれば、サーバ7に送信される。さらに、自宅前の人通りの少ない通りでは、秘匿レベルL=3及びL=2に設定されているデータセットについては送信されず、秘匿レベルL=1のデータセットであれば、サーバ7に送信される。
本実施の形態によれば、第1の実施の形態の効果に加え、ユーザが指定する秘匿レベルに応じて各ユーザのデータセットのサーバへの送信を制御することができるようになる。
なお、タイムアウト時間は秘匿レベルに応じて変更するようにしても良い。
以上本技術の実施の形態について説明したが、本技術はこれに限定されるものではない。例えば、図5、図6及び図8で示した機能ブロック図は一例であって、必ずしも実際のプログラムモジュール構成と一致しない場合もある。処理フローにおいても、処理結果が変わらない限り、ステップの順番を入れ替えたり、並列実行するようにしても良い。
なお、匿名化処理装置3は、必ずしも基地局と1対1の関係にあるわけではない。例えば、複数台の基地局に対して1台の匿名化処理装置3が設けられる場合もある。また、多数のデータセットを受信する基地局の場合には、1台の基地局に対して複数台の匿名化処理装置3で並列処理してもよい。
なお、上で述べた例では、2つの匿名化処理装置3の中間地点で位置データを置換するような例を示したが、2つの匿名化処理装置3の周辺であれば大きな問題は無い。また、2つの匿名化処理装置3の間をつなぐ線分を、保持するデータセット数の比で内分するような点を位置データとするような変形であっても良い。
さらに、上で述べた例では位置データが端末装置5から送られてくる例を示したが、上で述べた処理で示したように位置データは匿名化処理装置3の位置データで置換されてしまう。従って、位置データが端末装置5から送られてこない場合にも、上で述べた処理は有効である。すなわち、位置データが端末装置5から送られてこなくても、匿名化処理装置3により、上で述べた処理で決定されている位置データを付加してから送信すればよい。
なお、上で述べた匿名化処理装置3及びサーバ7は、コンピュータ装置であって、図26に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本技術の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
また、端末装置5については、HDD2505の代わりにフラッシュメモリを有しており、通信制御部2517が無線通信を行うようになっている。なお、匿名化処理装置3についても、端末装置5と同様にHDD2505の代わりにフラッシュメモリを用いるような場合もある。
以上述べた本実施の形態をまとめると、以下のようになる。
本実施の形態に係る情報処理方法は、(A)所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1の処理と、(B)第1の処理においてデータセットの数が閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上となっているか判断又は確認する第2の処理と、(C)他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上となっていると第2の処理で判断又は確認された場合には、データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3の処理と、(D)第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4の処理とを含む。
このような処理を実施することで、コンピュータにはデータセットそのものを送信しないのでプライバシ保護が図られている。さらに、コンピュータにおいて匿名化処理を実施しなくても済むようになる。また、1つの匿名化処理装置ではデータセットが不足する場合でも、複数の匿名化処理装置でデータセット数の条件を充足する場合にはコンピュータにデータセットが送られるようになるので、データセットの有効活用がなされる。
なお、本実施の形態に係る情報処理方法は、(E)第1の処理においてデータセットの数が閾値以上であると判断された場合、データ格納部に格納されているデータセットの少なくとも一部に対して第2の匿名化処理を実施する第5の処理と、(F)第2の匿名化処理後のデータセットを、コンピュータに送信する第6の処理とをさらに含むようにしても良い。データセット数が閾値以上であれば、プライバシ保護を図ることが容易になる。
また、本実施の形態に係る情報処理方法は、(G)他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上とならないと第2の処理で判断又は確認された場合、データ格納部に格納されているデータセットを破棄する第7の処理をさらに含むようにしても良い。プライバシ保護を確実にするためである。
さらに、上で述べた第4の処理において、匿名化処理装置の位置と他の匿名化処理装置の少なくともいずれかの位置とから算出される位置のデータを含むデータセットが送信されるようにしてもよい。例えば端末装置から位置データが送信されてこない場合でも、コンピュータ側では、プライバシ保護の観点で保護された位置データを利用できるようになる。
また、上で述べたデータセットに位置データが含まれる場合、第1の匿名化処理が、位置データを、匿名化処理装置の位置と他の匿名化処理装置の少なくともいずれかの位置とから算出される位置のデータに置換する処理を含むようにしても良い。
さらに、上で述べた第6の処理において、匿名化処理装置の位置を含むデータセットが送信されるようにしても良い。例えば端末装置から位置データが送信されてこない場合でも、コンピュータ側では、プライバシの観点で保護された位置データを利用できるようになる。
さらに、上で述べたデータセットに位置データが含まれる場合、第2の匿名化処理が、位置データを、匿名化処理装置の位置に置換する処理を含むようにしても良い。
また、上で述べた第2の処理が、(b1)予め登録された他の匿名化処理装置のうち自匿名化処理装置の識別子よりも小さい識別子を有する匿名化処理装置に対して、データ格納部に格納されているデータセットの数を含む問い合わせメッセージを送信し、(b2)他の匿名化処理装置のいずれかである第2の匿名化処理装置からの問い合わせメッセージを受信して、当該問い合わせメッセージに含まれるデータセットの数とデータ格納部に格納されているデータセットの数とを加算すると閾値以上となっている場合には、条件充足の可能性を表すメッセージを返信し、第2の匿名化処理装置から了承メッセージを受信するとデータセットの数が閾値以上であると判断するようにしても良い。このようなプロトコルで通信を行うことで、データセット数が閾値以上であることを判断又は確認することができる。
さらに、データセットには当該データセットの秘匿レベルが付加されている場合もある。このような場合、上で述べた第1の処理が、データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルである第1の秘匿レベルに対応する閾値を特定する処理を含むようにしてもよい。そして、その場合、他の匿名化処理装置の少なくともいずれかが、第1の秘匿レベル以下の第2の秘匿レベルを有する他の匿名化処理装置の少なくともいずれかであるようにしても良い。このようにすれば、秘匿レベルに応じて閾値を設定してデータセット数の条件を充足しているかを適切に判断できるようになる。
また、本実施の形態に係る情報処理方法は、(H)他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上とならないと第2の処理で判断された場合、データ格納部において第1の秘匿レベルのデータセットを破棄する第8の処理と、(I)データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、2以上の値である閾値が対応付けられている秘匿レベルである場合には、第1の処理移行を実施させる第9の処理とをさらに含むようにしても良い。このようにすれば、秘匿レベルに応じて可能な限り多くのデータセットをコンピュータに送ることができるようになる。
さらに、本実施の形態に係る情報処理方法は、(J)データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、1である閾値が対応付けられている秘匿レベルである場合には、データ格納部に格納されているデータセットに対して第1の秘匿化処理を実施し、第4の処理を実施させる第10の処理をさらに含むようにしても良い。
なお、上で述べたような処理をコンピュータに実施させるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブル・ディスク、CD−ROMなどの光ディスク、光磁気ディスク、半導体メモリ(例えばROM)、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。なお、処理途中のデータについては、RAM等の記憶装置に一時保管される。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
匿名化処理装置により実行される情報処理方法であって、
所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1の処理と、
前記第1の処理において前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する第2の処理と、
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記第2の処理で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3の処理と、
前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4の処理と、
を含む情報処理方法。
(付記2)
前記第1の処理において前記データセットの数が前記閾値以上であると判断された場合、前記データ格納部に格納されているデータセットの少なくとも一部に対して第2の匿名化処理を実施する第5の処理と、
前記第2の匿名化処理後のデータセットを、前記コンピュータに送信する第6の処理と、
をさらに含む付記1記載の情報処理方法。
(付記3)
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上とならないと前記第2の処理で判断又は確認された場合、前記データ格納部に格納されているデータセットを破棄する第7の処理
をさらに含む付記1又は2記載の情報処理方法。
(付記4)
前記第4の処理において、前記匿名化処理装置の位置と前記他の匿名化処理装置の少なくともいずれかの位置とから算出される位置のデータを含むデータセットが送信される
付記1乃至3のいずれか1つ記載の情報処理方法。
(付記5)
前記データセットに位置データが含まれる場合、
前記第1の匿名化処理が、前記位置データを、前記匿名化処理装置の位置と前記他の匿名化処理装置の少なくともいずれかの位置とから算出される位置のデータに置換する処理を含む
付記1乃至3のいずれか1つの情報処理方法。
(付記6)
前記第6の処理において、前記匿名化処理装置の位置を含むデータセットが送信される
付記2記載の情報処理方法。
(付記7)
前記データセットに位置データが含まれる場合、
前記第2の匿名化処理が、前記位置データを、前記匿名化処理装置の位置に置換する処理を含む付記2記載の情報処理方法。
(付記8)
前記第2の処理が、
予め登録された他の匿名化処理装置のうち自匿名化処理装置の識別子よりも小さい識別子を有する匿名化処理装置に対して、前記データ格納部に格納されているデータセットの数を含む問い合わせメッセージを送信し、
他の匿名化処理装置のいずれかである第2の匿名化処理装置からの問い合わせメッセージを受信して、当該問い合わせメッセージに含まれるデータセットの数と前記データ格納部に格納されているデータセットの数とを加算すると前記閾値以上となっている場合には、条件充足の可能性を表すメッセージを返信し、前記第2の匿名化処理装置から了承メッセージを受信すると前記データセットの数が前記閾値以上であると判断する
処理を含む付記1乃至7のいずれか1つ記載の情報処理方法。
(付記9)
前記データセットには当該データセットの秘匿レベルが付加されており、
前記第1の処理が、
前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルである第1の秘匿レベルに対応する閾値を特定する処理を含み、
前記他の匿名化処理装置の少なくともいずれかが、前記第1の秘匿レベル以下の第2の秘匿レベルを有する他の匿名化処理装置の少なくともいずれかである
付記1記載の情報処理方法。
(付記10)
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上とならないと前記第2の処理で判断された場合、前記データ格納部において前記第1の秘匿レベルのデータセットを破棄する第8の処理と、
前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、2以上の値である前記閾値が対応付けられている秘匿レベルである場合には、前記第1の処理移行を実施させる第9の処理と、
をさらに含む付記9記載の情報処理方法。
(付記11)
前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、1である前記閾値が対応付けられている秘匿レベルである場合には、前記データ格納部に格納されているデータセットに対して前記第1の秘匿化処理を実施し、前記第4の処理を実施させる第10の処理
をさらに含む付記10記載の情報処理方法。
(付記12)
匿名化処理装置に、
所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1の処理と、
前記第1の処理において前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する第2の処理と、
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記第2の処理で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3の処理と、
前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4の処理と、
を実行させるためのプログラム。
(付記13)
匿名化処理装置であって、
所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断し、前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する制御部と、
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記制御部で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する匿名化処理部と、
前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する通信部と、
を有する匿名化処理装置。
1 ネットワーク
3 匿名化処理装置
5 端末装置
7 サーバ
31 通信部
32 キャッシュ
33 キュー
34 制御部
35 匿名化処理部
36 隣接装置データ格納部

Claims (11)

  1. 匿名化処理装置により実行される情報処理方法であって、
    所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1の処理と、
    前記第1の処理において前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する第2の処理と、
    前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記第2の処理で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3の処理と、
    前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4の処理と、
    を含む情報処理方法。
  2. 前記第1の処理において前記データセットの数が前記閾値以上であると判断された場合、前記データ格納部に格納されているデータセットの少なくとも一部に対して第2の匿名化処理を実施する第5の処理と、
    前記第2の匿名化処理後のデータセットを、前記コンピュータに送信する第6の処理と、
    をさらに含む請求項1記載の情報処理方法。
  3. 前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上とならないと前記第2の処理で判断又は確認された場合、前記データ格納部に格納されているデータセットを破棄する第7の処理
    をさらに含む請求項1又は2記載の情報処理方法。
  4. 前記データセットに位置データが含まれる場合、
    前記第1の匿名化処理が、前記位置データを、前記匿名化処理装置の位置と前記他の匿名化処理装置の少なくともいずれかの位置とから算出される位置のデータに置換する処理を含む
    請求項1乃至3のいずれか1つの情報処理方法。
  5. 前記データセットに位置データが含まれる場合、
    前記第2の匿名化処理が、前記位置データを、前記匿名化処理装置の位置に置換する処理を含む請求項2記載の情報処理方法。
  6. 前記第2の処理が、
    予め登録された他の匿名化処理装置のうち自匿名化処理装置の識別子よりも小さい識別子を有する匿名化処理装置に対して、前記データ格納部に格納されているデータセットの数を含む問い合わせメッセージを送信し、
    他の匿名化処理装置のいずれかである第2の匿名化処理装置からの問い合わせメッセージを受信して、当該問い合わせメッセージに含まれるデータセットの数と前記データ格納部に格納されているデータセットの数とを加算すると前記閾値以上となっている場合には、条件充足の可能性を表すメッセージを返信し、前記第2の匿名化処理装置から了承メッセージを受信すると前記データセットの数が前記閾値以上であると判断する
    処理を含む請求項1乃至6のいずれか1つ記載の情報処理方法。
  7. 前記データセットには当該データセットの秘匿レベルが付加されており、
    前記第1の処理が、
    前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルである第1の秘匿レベルに対応する閾値を特定する処理を含み、
    前記他の匿名化処理装置の少なくともいずれかが、前記第1の秘匿レベル以下の第2の秘匿レベルを有する他の匿名化処理装置の少なくともいずれかである
    請求項1記載の情報処理方法。
  8. 前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上とならないと前記第2の処理で判断された場合、前記データ格納部において前記第1の秘匿レベルのデータセットを破棄する第8の処理と、
    前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、2以上の値である前記閾値が対応付けられている秘匿レベルである場合には、前記第1の処理移行を実施させる第9の処理と、
    をさらに含む請求項7記載の情報処理方法。
  9. 前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、1である前記閾値が対応付けられている秘匿レベルである場合には、前記データ格納部に格納されているデータセットに対して前記第1の秘匿化処理を実施し、前記第4の処理を実施させる第10の処理
    をさらに含む請求項8記載の情報処理方法。
  10. 匿名化処理装置に、
    所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1の処理と、
    前記第1の処理において前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する第2の処理と、
    前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記第2の処理で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3の処理と、
    前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4の処理と、
    を実行させるためのプログラム。
  11. 匿名化処理装置であって、
    所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断し、前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する制御部と、
    前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記制御部で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する匿名化処理部と、
    前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する通信部と、
    を有する匿名化処理装置。
JP2011179587A 2011-08-19 2011-08-19 情報処理方法及び装置 Expired - Fee Related JP5691936B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011179587A JP5691936B2 (ja) 2011-08-19 2011-08-19 情報処理方法及び装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011179587A JP5691936B2 (ja) 2011-08-19 2011-08-19 情報処理方法及び装置

Publications (2)

Publication Number Publication Date
JP2013041536A true JP2013041536A (ja) 2013-02-28
JP5691936B2 JP5691936B2 (ja) 2015-04-01

Family

ID=47889843

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011179587A Expired - Fee Related JP5691936B2 (ja) 2011-08-19 2011-08-19 情報処理方法及び装置

Country Status (1)

Country Link
JP (1) JP5691936B2 (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013232068A (ja) * 2012-04-27 2013-11-14 Kddi Corp 位置情報匿名化装置、位置情報匿名化方法およびプログラム
JP2014199589A (ja) * 2013-03-29 2014-10-23 ニフティ株式会社 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム
WO2014185043A1 (ja) * 2013-05-15 2014-11-20 日本電気株式会社 情報処理装置、情報匿名化方法、及び、記録媒体
WO2015118801A1 (ja) * 2014-02-04 2015-08-13 日本電気株式会社 情報判定装置、情報判定方法及び記録媒体
JP2016126579A (ja) * 2015-01-05 2016-07-11 富士通株式会社 データ秘匿装置、データ秘匿プログラムおよびデータ秘匿方法
JP2016206896A (ja) * 2015-04-21 2016-12-08 トヨタ自動車株式会社 位置情報匿名化方法、移動情報匿名化方法、および装置
JP2019101809A (ja) * 2017-12-04 2019-06-24 Kddi株式会社 匿名化装置、匿名化方法及び匿名化プログラム
WO2020235016A1 (ja) * 2019-05-21 2020-11-26 日本電信電話株式会社 情報処理装置、情報処理方法及びプログラム
JP2021111085A (ja) * 2020-01-09 2021-08-02 Kddi株式会社 リスク評価装置、リスク評価方法及びリスク評価プログラム

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013232068A (ja) * 2012-04-27 2013-11-14 Kddi Corp 位置情報匿名化装置、位置情報匿名化方法およびプログラム
JP2014199589A (ja) * 2013-03-29 2014-10-23 ニフティ株式会社 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム
WO2014185043A1 (ja) * 2013-05-15 2014-11-20 日本電気株式会社 情報処理装置、情報匿名化方法、及び、記録媒体
JPWO2015118801A1 (ja) * 2014-02-04 2017-03-23 日本電気株式会社 情報判定装置、情報判定方法及びプログラム
WO2015118801A1 (ja) * 2014-02-04 2015-08-13 日本電気株式会社 情報判定装置、情報判定方法及び記録媒体
US9959427B2 (en) 2014-02-04 2018-05-01 Nec Corporation Information determination apparatus, information determination method and recording medium
JP2016126579A (ja) * 2015-01-05 2016-07-11 富士通株式会社 データ秘匿装置、データ秘匿プログラムおよびデータ秘匿方法
JP2016206896A (ja) * 2015-04-21 2016-12-08 トヨタ自動車株式会社 位置情報匿名化方法、移動情報匿名化方法、および装置
JP2019101809A (ja) * 2017-12-04 2019-06-24 Kddi株式会社 匿名化装置、匿名化方法及び匿名化プログラム
WO2020235016A1 (ja) * 2019-05-21 2020-11-26 日本電信電話株式会社 情報処理装置、情報処理方法及びプログラム
JPWO2020235016A1 (ja) * 2019-05-21 2020-11-26
JP7231020B2 (ja) 2019-05-21 2023-03-01 日本電信電話株式会社 情報処理装置、情報処理方法及びプログラム
JP2021111085A (ja) * 2020-01-09 2021-08-02 Kddi株式会社 リスク評価装置、リスク評価方法及びリスク評価プログラム
JP7219726B2 (ja) 2020-01-09 2023-02-08 Kddi株式会社 リスク評価装置、リスク評価方法及びリスク評価プログラム

Also Published As

Publication number Publication date
JP5691936B2 (ja) 2015-04-01

Similar Documents

Publication Publication Date Title
JP5691936B2 (ja) 情報処理方法及び装置
US10719852B2 (en) Systems and methods for using spatial and temporal analysis to associate data sources with mobile devices
JP5307153B2 (ja) 移動環境におけるメッセージ値計算のための方法およびシステム
US20090210480A1 (en) Method and system for collective socializing using a mobile social network
US9723428B2 (en) Internet-of-things system for public transportation service and method of operating same
US9848309B2 (en) Adding a unique identification header to non-operator network communication
WO2012019643A1 (en) Aggregating demographic distribution information
US20130018886A1 (en) Effect measurement device, effect measurement method, and effect measurement program
WO2009065045A1 (en) Methods and systems for determining a geographic user profile to determine suitability of targeted content messages based on the profile
JP5729300B2 (ja) 情報管理装置、情報管理方法、及び情報管理プログラム
JP5799808B2 (ja) 情報管理装置、そのデータ処理方法、およびコンピュータプログラム
CN103329118A (zh) 无线网络中数据分组的时空注释
US20170070861A1 (en) Subscriber location database
US11392987B2 (en) Systems and methods for using spatial and temporal analysis to associate data sources with mobile devices
AU2017399008A1 (en) Mobility gene for visit data
CN104956393B (zh) 使用用户描述符与社交网络系统用户进行的第三方通信
JP2007287040A (ja) コンテキスト情報収集システム、その処理方式及びそのシステムで用いられる装置
JP5112087B2 (ja) 情報配信サーバ、情報配信システム及び情報配信方法
JP2014197251A (ja) 電子チラシ配信装置、ポイント管理方法及びプログラム
US10687174B1 (en) Systems and methods for using spatial and temporal analysis to associate data sources with mobile devices
WO2012043300A1 (ja) 情報提供サーバ、情報提供システム、情報提供方法及びプログラム
US20120296966A1 (en) Hierarchically related mobile user groups
CN106339376B (zh) 热门微博的识别方法及装置
JP6481795B1 (ja) メッセージ転送装置、方法及びプログラム
WO2020105738A1 (ja) メッセージ転送装置、方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140508

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150106

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150119

R150 Certificate of patent or registration of utility model

Ref document number: 5691936

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees