JP2013156720A - 匿名データ提供システム、匿名データ装置、及びそれらが実行する方法 - Google Patents
匿名データ提供システム、匿名データ装置、及びそれらが実行する方法 Download PDFInfo
- Publication number
- JP2013156720A JP2013156720A JP2012014846A JP2012014846A JP2013156720A JP 2013156720 A JP2013156720 A JP 2013156720A JP 2012014846 A JP2012014846 A JP 2012014846A JP 2012014846 A JP2012014846 A JP 2012014846A JP 2013156720 A JP2013156720 A JP 2013156720A
- Authority
- JP
- Japan
- Prior art keywords
- sub
- att
- anonymous
- attribute
- attribute values
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 51
- 238000012545 processing Methods 0.000 claims abstract description 29
- 238000004364 calculation method Methods 0.000 claims description 26
- 230000008569 process Effects 0.000 description 26
- 238000004458 analytical method Methods 0.000 description 20
- 230000015654 memory Effects 0.000 description 10
- 238000012423 maintenance Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 239000000654 additive Substances 0.000 description 5
- 230000000996 additive effect Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000002776 aggregation Effects 0.000 description 4
- 238000004220 aggregation Methods 0.000 description 4
- 230000007704 transition Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 229940050561 matrix product Drugs 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000017105 transposition Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【解決手段】匿名データ装置は、N個の属性ATT(1),...,ATT(N)それぞれの匿化属性値μ(r,1),..., μ(r,N)の入力を受け付け、一部の属性ATT(n(j,1)),...,ATT(n(j,m(j)))のそれぞれに対応する秘匿化属性値μ(r,n(j,1)),...,μ(r,n(j,m(j)))に対し、匿名化処理を行い、秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))を生成し、それらからなる集合SUB(r,j)={s(r,n(j,1)),...,s(r,n(j,m(j)))}を用い、R個の集合SUB(1,j),SUB(2,j),...,SUB(R,j)に対応する提供情報D(n(j,1),...,n(j,m(j)))を生成して出力する。
【選択図】図2
Description
非特許文献1では、データ提供者から提供されたデータの集まりであるテーブルを匿名化する。一人のデータ提供者からのデータのまとまりはテーブル上で行として表現され、レコードと呼ばれる。各レコードはいくつかの予め定められた項目に対する値から成り立ち、この項目のことを属性と呼ぶ。属性に対する値を属性値と呼ぶ。
〔概要〕
実施形態の概要を説明する。
実施形態では、データ提供者から提供されたデータの集まりであるテーブル形式のデータベースを匿名化する。一人のデータ提供者からのデータのまとまりはテーブル上で行として表現され、レコードと呼ばれる。各レコードはいくつかの予め定められた項目に対する値から成り立ち、この項目のことを属性と呼ぶ。属性に対する値を属性値と呼ぶ。
第1実施形態を説明する。
<構成>
図1に例示するように、第1実施形態の匿名データ提供システム1は、データ提供装置110−1〜R(R≧2)、匿名データ装置120−1〜T(T≧1)、及び分析装置130を有する。これらはネットワークや可搬型記録媒体などを介して情報のやり取りが可能である。説明の簡略化のため、本形態では1個の分析装置130のみを説明するが、分析装置が複数存在してもよい。
図3Aに例示するように、各データ提供装置110−r(図2A)の入力部111−rに、レコードを構成するN個(N≧2)の属性ATT(1),...,ATT(N)それぞれの属性値ν(r,1),...,ν(r,N)が入力され、記憶部113−rに格納される(ステップS111)。本形態のNは整数の定数である。以下にN=4、ATT(1)=「年齢」, ATT(2)=「性別」, ATT(3)=「住所」, ATT(4)=「年収」である場合の1個のレコードを例示する(ステップS111)。
図3Cに例示するように、分析装置130(図2C)の出力部132は、N個の属性ATT(1),...,ATT(N)から選択されたm(j)(ただしm(j)≦M, 1≦M<N)個の属性ATT(n(j,1)),...,ATT(n(j,m(j)))( ただし{n(j,1),...,n(j,m(j))}⊂{1,...,N})を表す識別子である属性識別子を出力する(ステップS131)。なお、本形態のMは整数の定数である。属性識別子は、ネットワーク等を経由して匿名データ装置120−tのそれぞれに送られる。
この例は、秘匿化匿名属性値s(r,1),...,s(r,N)の秘密計算が可能であることを前提とする。提供情報生成部126−tは、R個の集合SUB(1,j),SUB(2,j),...,SUB(R,j)を秘密計算によって集計して得られる集計表を提供情報D(n(j,1),...,n(j,m(j)))とする。
集計表の具体例は、秘密計算によって行われるクロス集計によって得られる秘匿化されたクロス集計表である。クロス集計とはテーブルの複数の属性に着目し、着目したすべての属性の属性値が等しいレコードを集計する集計法である。クロス集計表は、着目された複数の属性の属性値の組と当該属性値の組に適合するレコードの個数とが対応付けられた表となる(例えば、参考文献4:永井彰,五十嵐大,濱田浩気,松林達史,“クロネッカー積を含む行列積演算の最適化による効率的なプライバシー保護データ公開技術”,SCIS2010, 2010.参照)。以下に、m(j)=2とし、2個の属性ATT(1)=「年齢」, ATT(2)=「性別」に着目した秘匿化されたクロス集計表を例示する。
提供情報生成部126−tは、R個の集合SUB(1,j),SUB(2,j),...,SUB(R,j)をランダムに並び替えたR個の集合SUB(q(1),j),SUB(q(2),j),...,SUB(q(R),j)(ただしq(r)∈{1,...,R}, {q(1),...,q(R)}={1,...,R})に対応するR個の集合SUB’(q(1),j),SUB’(q(2),j),...,SUB’(q(R),j)(ただしq(r)∈{1,...,R}, {q(1),...,q(R)}={1,...,R})、又は当該R個の集合SUB’(q(1),j),SUB’(q(2),j),...,SUB’(q(R),j)を復元して得られる属性値の集合(表形式のデータベース)を提供情報D(n(j,1),...,n(j,m(j)))とする。例えば、提供情報生成部126−tは、R個の集合SUB(1,j),SUB(2,j),...,SUB(R,j)をランダムに並び替えたR個の集合SUB(5,j),SUB(3,j),...,SUB(6,j)に対応するR個の集合SUB’(5,j),SUB’(3,j),...,SUB’(6,j)、又はこれらを復元して得られる属性値の集合を提供情報D(n(j,1),...,n(j,m(j)))とする。なお、SUB(r,j)のそれぞれからrを特定することはできない。SUB(r,j)=SUB’(r,j)(r∈{1,...,R})であってもよいし、SUB(r,j)≠SUB’(r,j)であってもよい。SUB(r,j)≠SUB’(r,j)であり、SUB(r,j)及びSUB’(r,j)からSUB(r,j)とSUB’(r,j)との対応関係を知ることが困難なのであれば、匿名データ装置120−tや分析装置130に対して高い匿名性を維持できる。このような並び替え方法の一例は、「濱田造気,五十嵐大,千田浩司,高橋克巳,“3パーティ秘匿関数計算上のランダム置換プロトコル”,2010年10月12日,情報処理学会シンポジウム論文集,2010巻,9号,pp.561-566.(参考文献5)」に開示されている。提供情報生成部126−tは、提供情報の例1の集計表から生成した表形式のデータベースを提供情報D(n(j,1),...,n(j,m(j)))としてもよい。集計表から表形式のデータベースを生成するには、集計表の各集計値について、当該集計値に対応する属性値の組み合わせからなるレコードを、それぞれ当該集計値分ずつ生成していけばよい。或いは、提供情報生成部126−tが、「特開2011-145869号公報(参考文献6)」に開示された擬似データからなる擬似データベースを生成して出力してもよい。
第2実施形態は第1実施形態の具体例である。本形態では、データ提供装置で行われる匿名化処理として非特許文献1の5章に開示された維持-置換撹乱を用い、データ提供装置で行われる秘匿化や匿名データ装置で行われる秘密計算として参考文献2に開示された技術を用いる。参考文献2では、秘匿化情報を3者に秘密分散(加法的秘密分散)して秘密計算を行う。そのため、本形態の匿名データ装置の個数は3個(T=3)となる。以下では、第1実施形態との相違点を中心に説明し、第1実施形態と共通する部分については第1実施形態と同一の参照番号を用いて説明を簡略以下する。
図1に例示するように、第2実施形態の匿名データ提供システム2は、データ提供装置210−1〜R(R≧2)、匿名データ装置220−1〜3(T=3)、及び分析装置230を有する。これらはネットワークや可搬型記録媒体などを介して情報のやり取りが可能である。説明の簡略化のため、本形態では1個の分析装置230のみを説明するが、分析装置が複数存在してもよい。
各属性ATT(n)(n∈{1,...,N})にそれぞれ対応する維持確率ρ(n)(0≦ρ(n)≦1)、及び各属性ATT(n)(n∈{1,...,N})にそれぞれ対応する属性値を正整数に変換するための対応表TAB(n)(属性値と整数との対応表)が何れかの匿名データ装置220−tから出力される。維持確率ρ(n)は匿名データ装置220−1〜3に入力及び設定され、対応表TAB(n)はデータ提供装置210−1〜Rに入力及び設定される。維持確率とは、維持-置換撹乱で属性値が維持される確率を表す。維持-置換撹乱で属性値が維持されない場合には本来の属性値がランダムな属性値に変更される。本来の属性値がランダムな属性値に変更された場合であっても、ランダムな属性値が本来の属性値に一致する場合もある。維持確率は、ランダムな属性値が本来の属性値に一致する場合にも属性値が維持されていないとみた確率である。好ましくは、維持確率ρ(n) (ただしn∈{1,...,N})は、秘密計算による維持-置換撹乱によって生成された秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))に対応する匿名化属性値v(r,n(j,1)),...,v(r,n(j,m(j)))が含む正しい属性値に対応する値を表現するためのデータ量の合計が、所定値以下となるような値である(ただしm(j)≦M, 1≦M<N)。或いは、以下のσ値が閾値以上となる維持確率ρ(η)(η∈{1,...,N})が選択されることが望ましい。σ値は、直感的に「どのデータからもデータ提供者をσ個以下の候補に絞り込めない」ということを保証する指標である。
図3Aに例示するように、各データ提供装置210−r(図2A)の入力部111−rに、レコードを構成するN個(N≧2)の属性ATT(1),...,ATT(N)それぞれの属性値ν(r,1),...,ν(r,N)が入力され、記憶部113−rに格納される(ステップS111)。
μ1(r,n)=(υ0(r,n), υ1(r,n))
μ2(r,n)=(υ1(r,n), υ2(r,n))
μ3(r,n)=(υ2(r,n), υ0(r,n))
すなわち、秘匿化部217−rは、以下のような秘匿化属性値μt(r,n)(ただしt∈{1,2,3}, n∈{1,...,N})を生成する。
μt(r,n)=(υt-1(r,n), υt mod 3(r,n))
秘匿化属性値μt(r,1),...,μt(r,N)(ただしt∈{1,2,3})は出力部112−rに入力される(ステップS213)。
図3Cに例示するように、分析装置230(図2C)の出力部132は、N個の属性ATT(1),...,ATT(N)から選択されたm(j)(ただしm(j)≦M, 1≦M<N)個の属性ATT(n(j,1)),...,ATT(n(j,m(j)))(ただし{n(j,1),...,n(j,m(j))}⊂{1,...,N})を表す識別子である属性識別子を出力する(ステップS131)。なお、本形態のMは整数の定数である。属性識別子は、ネットワーク等を経由して匿名データ装置220−t(ただしt∈{1,2,3})のそれぞれに送られる。
匿名化部227−tは、各属性ATT(n’)(ただしn’∈{n(j,1),...,n(j,m(j))})に対し、一様乱数u(r,n’)(0≦u(r,n’)≦L(n’))の秘密分散値(u t-1(r,n’), u t mod 3(r,n’))を以下のステップS11,S12のように生成する。なおL(n’)は属性ATT(n’)の属性値の個数である。
なお、符号無整数ut-1(r,n’)(ただしt∈{1,2,3})は秘密分散値であり、一様乱数u(r,n’)は匿名化部227−1,2,3でそれぞれ生成されるu0(r,n’),u1(r,n’),u2(r,n’)に対して、u(r,n’)=u0(r,n’)+u1(r,n’)+u2(r,n’) mod pを満たす。また、一様乱数値の代わりにハッシュ値などが用いられてもよい(ステップS11)。
真を「1」,偽を「0」とする論理回路のAND素子及びNOT素子から他の任意の論理回路素子が構成できることは周知である。AND素子及びNOT素子は、加算及び乗算によって以下のように構成される。
AND素子は、α,β∈{0,1}を入力とし、α,βの両方が1であるときに1を出力し、そうでないときに0を出力する。よってα・βがAND素子である。
NOT素子は、α∈{0,1}を入力とし、αが1であるときに0を出力し、αが0であるときに1を出力する。よって1-αがNOT素子である。
g∈{0,1}, h, h’∈{0,...,p-1}を入力とし、g=1ならばhを出力し、g=0ならばh’を出力する論理演算子は、g・h+(1-g)・h’によって構成できる([匿化匿名属性値st(r,n(j,1)),...,st(r,n(j,m(j)))の生成方法の例]の説明終わり)。
集合SUBt(r,j)={st(r,n(j,1)),...,st(r,n(j,m(j)))}を構成する秘匿化匿名属性値st(r,n’)(n’∈{n(j,1),...,n(j,m(j))})のそれぞれはst(r, n’)=(st-1(r,n’), st mod 3(r,n’))と表現される。また、集合SUBt’(q(r),j)={st’(q(r),n(j,1)),...,st’(q(r),n(j,m(j)))}を構成する要素st’(q(r),n’)(ただしn’∈{n(j,1),...,n(j,m(j))})のそれぞれをst’(q(r), n’)=(st-1’(q(r),n’), st mod 3’(q(r),n’))と表現する。γ∈{1,...,R}をκ∈{1,...,R}に写すランダムな全単射写像:{1,...,R}→{1,...,R}をκ=BIJX(γ)(X=1,2,3)と表現する。全単射写像BIJ1(γ)は、匿名データ装置220−1,2に設定されるが匿名データ装置220−3に対して秘匿される。全単射写像BIJ2(γ)は、匿名データ装置220−2,3に設定されるが匿名データ装置220−1に対して秘匿される。全単射写像BIJ3(γ)は、匿名データ装置220−1,3に設定されるが匿名データ装置220−2に対して秘匿される。これらを前提にして以下の各ステップが実行される。
ステップS22:提供情報生成部226−X,Yが、κ=BIJX(γ)を求める。
ステップS23:提供情報生成部226−Xが、各n’∈{n(j,1),...,n(j,m(j))}について乱数b(Z,X)(κ,n’)∈Z/mZを生成し、乱数b(Z,X)(κ,n’)を提供情報生成部226−Zに送る。
ステップS24:提供情報生成部226−Yが、各n’∈{n(j,1),...,n(j,m(j))}について乱数b(Y,Z)(κ,n’)∈Z/mZを生成し、乱数b(Y,Z)(κ,n’)を提供情報生成部226−Zに送る。
ステップS25:提供情報生成部226−Xが、各n’∈{n(j,1),...,n(j,m(j))}についてθ(n’)=b(Z,X)(κ,n’)-a(Z,X)(γ,n’)を計算し、θ(n’)を提供情報生成部226−Yに送る。
ステップS26:提供情報生成部226−Yが、各n’∈{n(j,1),...,n(j,m(j))}についてε(n’)=b(Y,Z)(κ,n’)-a(Y,Z)(γ,n’)を計算し、ε(n’)を提供情報生成部226−Xに送る。
ステップS27:提供情報生成部226−X,Yが、各n’∈{n(j,1),...,n(j,m(j))}についてb(X,Y)(κ,n’)=a(X,Y)(γ,n’)-θ(n’)-ε(n’)を計算する。
ステップS28:提供情報生成部226−Xが、各n’∈{n(j,1),...,n(j,m(j))}について、乱数b(Z,X)(κ,n’)を新たなa(Z,X)(κ,n’)とし、提供情報生成部226−Yが乱数b(Y,Z)(κ,n’)を新たなa(Y,Z)(κ,n’)とし、提供情報生成部226−X,Yが、各n’∈{n(j,1),...,n(j,m(j))}についてb(X,Y)(κ,n’)を新たなa(X,Y)(κ,n’)とする。
ステップS29:γ<Rであれば、γ+1を新たなγとしてステップS22に戻る。γ=Rであれば、ステップS30に進む。
ステップS30:X<3であれば、X+1を新たなXとし、Y=(X mod 3)+1,Z=(X+1 mod 3)+1とし、γ=1とし、ステップS22に進む。X=3であれば、提供情報生成部226−t(t∈{1,2,3})が、各κ=BIJ3(γ)∈{1,...,R}及びn’∈{n(j,1),...,n(j,m(j))}について以下のようにst’(κ, n’)=(st-1’(κ,n’), st mod 3’(κ,n’))を設定する。
s1’(κ, n’)=(s0’(κ,n’), s1’(κ,n’))=(a(Z,X)(κ,n’), a(X,Y)(κ,n’))
s2’(κ, n’)=(s1’(κ,n’), s2’(κ,n’))=(a(X,Y)(κ,n’), a(Y,Z)(κ,n’))
s3’(κ, n’)=(s2’(v,n’), s0’(κ,n’)=(a(Y,Z)(κ,n’), a(Z,X)(κ,n’))
提供情報生成部226−tは、集合SUBt’(κ,j)={st’(κ,n(j,1)),...,st’(κ,n(j,m(j)))}(κ=BIJ3(γ)∈{1,...,R})とし、R個の集合SUBt’(q(1),j),SUBt’(q(2),j),...,SUBt’(q(R),j)を生成する([集合SUBt’(q(1),j),SUBt’(q(2),j),...,SUBt’(q(R),j)の生成方法の例]の説明終わり)。
本発明は上述の各実施形態に限定されるものではない。例えば、各実施形態では、各データ提供装置が各rに対応する秘匿化匿名属性値を出力することとしたが、少なくとも一部のデータ提供装置が複数のrに対応する秘匿化匿名属性値を出力してもよい。また、データ提供装置の個数とRとが一致していなくてもよい。また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
120,220 匿名データ装置
130,230 分析装置
Claims (8)
- N個(N≧2)の属性ATT(1),...,ATT(N)それぞれの属性値ν(r,1),...,ν(r,N)(ただしr∈{1,...,R}, R≧2)を秘匿化することで得られた秘匿化属性値μ(r,1),..., μ(r,N)の入力を受け付ける入力部と、
前記N個の属性ATT(1),...,ATT(N)の一部であるm(j)(ただしm(j)<N, j∈{1,...,J}, J≧1)個の属性ATT(n(j,1)),...,ATT(n(j,m(j)))(ただし{n(j,1),...,n(j,m(j))}⊂{1,...,N})のそれぞれに対応する秘匿化属性値μ(r,n(j,1)),...,μ(r,n(j,m(j)))に対し、匿名化処理を行い、属性値ν(r,n(j,1)),...,ν(r,n(j,m(j)))を匿名化して得られる匿名化属性値v(r,n(j,1)),...,v(r,n(j,m(j)))の秘匿化値である秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))を生成する匿名化部と、
前記秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))からなる集合SUB(r,j)={s(r,n(j,1)),...,s(r,n(j,m(j)))}を用い、R個の集合SUB(1,j),SUB(2,j),...,SUB(R,j)に対応する提供情報D(n(j,1),...,n(j,m(j)))を生成する提供情報生成部と、
前記提供情報D(n(j,1),...,n(j,m(j)))を出力する出力部と、
を有する匿名データ装置。 - 請求項1の匿名データ装置であって、
J≧2であり、j1,j2∈{1,...,J}, j1≠j2について、{n(j1,1),...,n(j1,m(j1))}∩{n(j2,1),...,n(j2,m(j2))}が空集合である、匿名データ装置。 - 請求項1又は2の匿名データ装置であって、
前記秘匿化属性値μ(r,1),..., μ(r,N)の秘密計算が可能であり、
前記匿名化部は、秘密計算による匿名化処理を秘匿化属性値μ(r,n(j,1)),...,μ(r,n(j,m(j)))に施して秘匿化属性値μ(r,n(j,1)),...,μ(r,n(j,m(j)))を匿名化し、前記秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))を生成する、匿名データ装置。 - 請求項1から3の何れかの匿名データ装置であって、
前記提供情報生成部は、前記R個の集合SUB(1,j),SUB(2,j),...,SUB(R,j)をランダムに並び替えたR個の集合SUB(q(1),j),SUB(q(2),j),...,SUB(q(R),j)(ただしq(r)∈{1,...,R}, {q(1),...,q(R)}={1,...,R})に対応するR個の集合SUB’(q(1),j),SUB’(q(2),j),...,SUB’(q(R),j)(ただしq(r)∈{1,...,R}, {q(1),...,q(R)}={1,...,R})を生成し、前記R個の集合SUB’(q(1),j),SUB’(q(2),j),...,SUB’(q(R),j)に対応する前記提供情報D(n(j,1),...,n(j,m(j)))を生成する、匿名データ装置。 - 請求項1から4の何れかの匿名データ装置であって、
m(j)≦M, 1≦M<Nであり、前記匿名化属性値v(r,n(j,1)),...,v(r,n(j,m(j)))が含む正しい属性値に対応する値を表現するためのデータ量の合計が所定値以下である、匿名データ装置。 - N個(ただしN≧2)の属性ATT(1),...,ATT(N)それぞれの属性値ν(r,1),...,ν(r,N)(ただしr∈{1,...,R}, R≧2)を秘匿化することで得られた秘匿化属性値μ(r,1),..., μ(r,N)を出力するデータ提供装置と、
前記秘匿化属性値μ(r,1),..., μ(r,N)の入力を受け付け、前記N個の属性ATT(1),...,ATT(N)の一部であるm(j)(ただしm(j)<N, j∈{1,...,J}, J≧1)個の属性ATT(n(j,1)),...,ATT(n(j,m(j)))(ただし{n(j,1),...,n(j,m(j))}⊂{1,...,N})のそれぞれに対応する秘匿化属性値μ(r,n(j,1)),...,μ(r,n(j,m(j)))に対し、匿名化処理を行い、属性値ν(r,n(j,1)),...,ν(r,n(j,m(j)))を匿名化して得られる匿名化属性値v(r,n(j,1)),...,v(r,n(j,m(j)))の秘匿化値である秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))を生成し、前記秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))からなる集合SUB(r,j)={s(r,n(j,1)),...,s(r,n(j,m(j)))}を用い、R個の集合SUB(1,j),SUB(2,j),...,SUB(R,j)に対応する提供情報D(n(j,1),...,n(j,m(j)))を生成し、前記提供情報D(n(j,1),...,n(j,m(j)))を出力する匿名データ装置と、
前記提供情報D(n(j,1),...,n(j,m(j)))の入力を受け付ける分析装置と、
を有する匿名データ提供システム。 - 匿名データ装置が実行する方法であって、
入力部で、N個(ただしN≧2)の属性ATT(1),...,ATT(N)それぞれの属性値ν(r,1),...,ν(r,N)(ただしr∈{1,...,R}, R≧2)を秘匿化することで得られた秘匿化属性値μ(r,1),..., μ(r,N)の入力を受け付けるステップと、
匿名化部で、前記N個の属性ATT(1),...,ATT(N)の一部であるm(j)(ただしm(j)<N, j∈{1,...,J}, J≧1)個の属性ATT(n(j,1)),...,ATT(n(j,m(j)))(ただし{n(j,1),...,n(j,m(j))}⊂{1,...,N})のそれぞれに対応する秘匿化属性値μ(r,n(j,1)),...,μ(r,n(j,m(j)))に対し、匿名化処理を行い、属性値ν(r,n(j,1)),...,ν(r,n(j,m(j)))を匿名化して得られる匿名化属性値v(r,n(j,1)),...,v(r,n(j,m(j)))の秘匿化値である秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))を生成するステップと、
提供情報生成部で、前記秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))からなる集合SUB(r,j)={s(r,n(j,1)),...,s(r,n(j,m(j)))}を用い、R個の集合SUB(1,j),SUB(2,j),...,SUB(R,j)に対応する提供情報D(n(j,1),...,n(j,m(j)))を生成するステップと、
出力部で、前記提供情報D(n(j,1),...,n(j,m(j)))を出力するステップと、
を有する方法。 - データ提供装置で、N個(ただしN≧2)の属性ATT(1),...,ATT(N)それぞれの属性値ν(r,1),...,ν(r,N)(ただしr∈{1,...,R}, R≧2)を秘匿化することで得られた秘匿化属性値μ(r,1),..., μ(r,N)を出力するステップと、
匿名データ装置で、前記秘匿化属性値μ(r,1),..., μ(r,N)の入力を受け付けるステップと、
前記匿名データ装置で、前記N個の属性ATT(1),...,ATT(N)の一部であるm(j)(ただしm(j)<N, j∈{1,...,J}, J≧1)個の属性ATT(n(j,1)),...,ATT(n(j,m(j)))(ただし{n(j,1),...,n(j,m(j))}⊂{1,...,N})のそれぞれに対応する秘匿化属性値μ(r,n(j,1)),...,μ(r,n(j,m(j)))に対し、匿名化処理を行い、属性値ν(r,n(j,1)),...,ν(r,n(j,m(j)))を匿名化して得られる匿名化属性値v(r,n(j,1)),...,v(r,n(j,m(j)))の秘匿化値である秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))を生成するステップと、
前記匿名データ装置で、前記秘匿化匿名属性値s(r,n(j,1)),...,s(r,n(j,m(j)))からなる集合SUB(r,j)={s(r,n(j,1)),...,s(r,n(j,m(j)))}を用い、R個の集合SUB(1,j),SUB(2,j),...,SUB(R,j)に対応する提供情報D(n(j,1),...,n(j,m(j)))を生成するステップと、
前記匿名データ装置で、前記提供情報D(n(j,1),...,n(j,m(j)))を出力するステップと、
前記分析装置で、前記提供情報D(n(j,1),...,n(j,m(j)))の入力を受け付けるステップと、
を有する方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012014846A JP5758315B2 (ja) | 2012-01-27 | 2012-01-27 | 匿名データ提供システム、匿名データ装置、及びそれらが実行する方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012014846A JP5758315B2 (ja) | 2012-01-27 | 2012-01-27 | 匿名データ提供システム、匿名データ装置、及びそれらが実行する方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013156720A true JP2013156720A (ja) | 2013-08-15 |
JP5758315B2 JP5758315B2 (ja) | 2015-08-05 |
Family
ID=49051863
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012014846A Active JP5758315B2 (ja) | 2012-01-27 | 2012-01-27 | 匿名データ提供システム、匿名データ装置、及びそれらが実行する方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5758315B2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018055057A (ja) * | 2016-09-30 | 2018-04-05 | 日本電信電話株式会社 | データ撹乱装置、方法及びプログラム |
JP2020513183A (ja) * | 2017-04-14 | 2020-04-30 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | データのトークン化 |
JP7118198B1 (ja) | 2021-03-26 | 2022-08-15 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 処理システム、処理方法及び処理プログラム |
JP7118199B1 (ja) | 2021-03-26 | 2022-08-15 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 処理システム、処理方法及び処理プログラム |
WO2024018504A1 (ja) * | 2022-07-19 | 2024-01-25 | 日本電信電話株式会社 | クライアント装置、秘密テーブル管理システム、レコード登録要求生成方法、レコード登録方法、処理要求実行方法、プログラム |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11868510B2 (en) * | 2018-05-17 | 2024-01-09 | Nippon Telegraph And Telephone Corporation | Secure cross tabulation system, secure computation apparatus, secure cross tabulation method, and program |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002539545A (ja) * | 1999-03-12 | 2002-11-19 | エルオーカー ロンバルトカッセ アクチエンゲゼルシャフト | 匿名化の方法 |
JP2003316965A (ja) * | 2002-04-19 | 2003-11-07 | Omron Corp | 情報収集システム,情報提供装置,仲介処理装置,情報匿名化装置,情報提供処理用のプログラム,情報中継処理用のプログラム |
JP2004318391A (ja) * | 2003-04-15 | 2004-11-11 | Mitsubishi Electric Corp | 情報提供装置及び情報提供システム及び分散データベースシステム |
WO2008069011A1 (ja) * | 2006-12-04 | 2008-06-12 | Nec Corporation | 情報管理システム、匿名化方法、及び記憶媒体 |
US20100332537A1 (en) * | 2009-06-25 | 2010-12-30 | Khaled El Emam | System And Method For Optimizing The De-Identification Of Data Sets |
WO2011043418A1 (ja) * | 2009-10-09 | 2011-04-14 | 日本電気株式会社 | 情報管理装置、そのデータ処理方法、およびコンピュータプログラム |
JP2011100116A (ja) * | 2009-10-07 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 撹乱装置、撹乱方法及びプログラム |
JP2011145869A (ja) * | 2010-01-14 | 2011-07-28 | Nippon Telegr & Teleph Corp <Ntt> | 疑似データ生成装置、疑似データ生成方法、プログラム及び記録媒体 |
US20110202774A1 (en) * | 2010-02-15 | 2011-08-18 | Charles Henry Kratsch | System for Collection and Longitudinal Analysis of Anonymous Student Data |
WO2011132534A1 (ja) * | 2010-04-23 | 2011-10-27 | 株式会社エヌ・ティ・ティ・ドコモ | 統計情報生成システム及び統計情報生成方法 |
JP2013156719A (ja) * | 2012-01-27 | 2013-08-15 | Nippon Telegr & Teleph Corp <Ntt> | 匿名データ提供システム、匿名データ装置、及びそれらが実行する方法 |
-
2012
- 2012-01-27 JP JP2012014846A patent/JP5758315B2/ja active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002539545A (ja) * | 1999-03-12 | 2002-11-19 | エルオーカー ロンバルトカッセ アクチエンゲゼルシャフト | 匿名化の方法 |
JP2003316965A (ja) * | 2002-04-19 | 2003-11-07 | Omron Corp | 情報収集システム,情報提供装置,仲介処理装置,情報匿名化装置,情報提供処理用のプログラム,情報中継処理用のプログラム |
JP2004318391A (ja) * | 2003-04-15 | 2004-11-11 | Mitsubishi Electric Corp | 情報提供装置及び情報提供システム及び分散データベースシステム |
WO2008069011A1 (ja) * | 2006-12-04 | 2008-06-12 | Nec Corporation | 情報管理システム、匿名化方法、及び記憶媒体 |
US20100332537A1 (en) * | 2009-06-25 | 2010-12-30 | Khaled El Emam | System And Method For Optimizing The De-Identification Of Data Sets |
JP2011100116A (ja) * | 2009-10-07 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 撹乱装置、撹乱方法及びプログラム |
WO2011043418A1 (ja) * | 2009-10-09 | 2011-04-14 | 日本電気株式会社 | 情報管理装置、そのデータ処理方法、およびコンピュータプログラム |
JP2011145869A (ja) * | 2010-01-14 | 2011-07-28 | Nippon Telegr & Teleph Corp <Ntt> | 疑似データ生成装置、疑似データ生成方法、プログラム及び記録媒体 |
US20110202774A1 (en) * | 2010-02-15 | 2011-08-18 | Charles Henry Kratsch | System for Collection and Longitudinal Analysis of Anonymous Student Data |
WO2011132534A1 (ja) * | 2010-04-23 | 2011-10-27 | 株式会社エヌ・ティ・ティ・ドコモ | 統計情報生成システム及び統計情報生成方法 |
JP2013156719A (ja) * | 2012-01-27 | 2013-08-15 | Nippon Telegr & Teleph Corp <Ntt> | 匿名データ提供システム、匿名データ装置、及びそれらが実行する方法 |
Non-Patent Citations (4)
Title |
---|
五十嵐 大: "k−匿名性の確率的指標への拡張とその適用例", コンピュータセキュリティシンポジウム2009 論文集, JPN6014052424, 19 October 2009 (2009-10-19), JP, pages 763 - 768, ISSN: 0003078541 * |
濱田 浩気: "3パーティ秘匿関数計算上のランダム置換プロトコル", コンピュータセキュリティシンポジウム2010 論文集, vol. 第二分冊, JPN6014041192, 12 October 2010 (2010-10-12), JP, pages 561 - 566, ISSN: 0002962088 * |
諸橋 玄武: "個別情報を秘匿するクロス集計プロトコル", コンピュータセキュリティシンポジウム2006 論文集, JPN6014052426, 25 October 2006 (2006-10-25), JP, pages 483 - 488, ISSN: 0003078542 * |
高橋 克巳: "ライフログ活用サービスの基盤技術", NTT技術ジャーナル, vol. 第22巻,第7号, JPN6014052428, 1 July 2010 (2010-07-01), pages 24 - 28, ISSN: 0003078543 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018055057A (ja) * | 2016-09-30 | 2018-04-05 | 日本電信電話株式会社 | データ撹乱装置、方法及びプログラム |
JP2020513183A (ja) * | 2017-04-14 | 2020-04-30 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | データのトークン化 |
JP7118198B1 (ja) | 2021-03-26 | 2022-08-15 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 処理システム、処理方法及び処理プログラム |
JP7118199B1 (ja) | 2021-03-26 | 2022-08-15 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 処理システム、処理方法及び処理プログラム |
WO2022203061A1 (ja) * | 2021-03-26 | 2022-09-29 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 処理システム、処理方法及び処理プログラム |
WO2022203062A1 (ja) * | 2021-03-26 | 2022-09-29 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 処理システム、処理方法及び処理プログラム |
JP2022150526A (ja) * | 2021-03-26 | 2022-10-07 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 処理システム、処理方法及び処理プログラム |
JP2022150525A (ja) * | 2021-03-26 | 2022-10-07 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 処理システム、処理方法及び処理プログラム |
WO2024018504A1 (ja) * | 2022-07-19 | 2024-01-25 | 日本電信電話株式会社 | クライアント装置、秘密テーブル管理システム、レコード登録要求生成方法、レコード登録方法、処理要求実行方法、プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5758315B2 (ja) | 2015-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3075098B1 (en) | Server-aided private set intersection (psi) with data transfer | |
JP5758315B2 (ja) | 匿名データ提供システム、匿名データ装置、及びそれらが実行する方法 | |
JP2021515271A (ja) | コンピュータにより実施される投票処理およびシステム | |
Troncoso-Pastoriza et al. | Secure signal processing in the cloud: enabling technologies for privacy-preserving multimedia cloud processing | |
Traverso et al. | Dynamic and verifiable hierarchical secret sharing | |
Paterson et al. | Multi-prover proof of retrievability | |
Ali et al. | Advancing cloud security: Unveiling the protective potential of homomorphic secret sharing in secure cloud computing | |
US20220413807A1 (en) | Secure random number generation system, secure computation apparatus, secure random number generation method, and program | |
JP5670366B2 (ja) | 匿名データ提供システム、匿名データ装置、それらが実行する方法、およびプログラム | |
Li et al. | LERNA: secure single-server aggregation via key-homomorphic masking | |
Balmany et al. | Dynamic proof of retrievability based on public auditing for coded secure cloud storage | |
US11836263B1 (en) | Secure multi-party computation and communication | |
Bernabé-Rodríguez et al. | A decentralized private data marketplace using blockchain and secure multi-party computation | |
CN115150055A (zh) | 一种基于同态加密的隐私保护岭回归方法 | |
Liu et al. | Proofs of encrypted data retrievability with probabilistic and homomorphic message authenticators | |
Liu et al. | Secure Two‐Party Decision Tree Classification Based on Function Secret Sharing | |
Kjamilji | Blockchain assisted secure feature selection, training and classifications in cloud and distributed edge IoT environments | |
Marwan et al. | A cloud solution for securing medical image storage | |
Paragas | An enhanced cryptographic algorithm in securing healthcare medical records | |
US11886617B1 (en) | Protecting membership and data in a secure multi-party computation and/or communication | |
Imene et al. | Verifiable outsourced computation integrity in cloud-assisted big data processing | |
Espiritu et al. | Synq: Public Policy Analytics Over Encrypted Data | |
US20240178988A1 (en) | Performance benchmarking with cascaded decryption | |
CN114006689B (zh) | 基于联邦学习的数据处理方法、装置及介质 | |
US20240184577A1 (en) | Secret calculation system, apparatus, method and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140206 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141216 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150203 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150224 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150424 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150526 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150603 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5758315 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |