JP2014109647A - サービス提供システム - Google Patents

サービス提供システム Download PDF

Info

Publication number
JP2014109647A
JP2014109647A JP2012263366A JP2012263366A JP2014109647A JP 2014109647 A JP2014109647 A JP 2014109647A JP 2012263366 A JP2012263366 A JP 2012263366A JP 2012263366 A JP2012263366 A JP 2012263366A JP 2014109647 A JP2014109647 A JP 2014109647A
Authority
JP
Japan
Prior art keywords
analysis
server
data
user
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012263366A
Other languages
English (en)
Inventor
Ikuo Nakagawa
郁夫 中川
Yoshifumi Hashimoto
好史 橋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intec Inc Japan
Original Assignee
Intec Inc Japan
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intec Inc Japan filed Critical Intec Inc Japan
Priority to JP2012263366A priority Critical patent/JP2014109647A/ja
Priority to US14/648,151 priority patent/US20150304331A1/en
Priority to PCT/JP2013/006987 priority patent/WO2014083854A1/ja
Publication of JP2014109647A publication Critical patent/JP2014109647A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2465Query processing support for facilitating data mining operations in structured databases
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Biomedical Technology (AREA)
  • Fuzzy Systems (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】 ユーザのプライバシ情報を、サービス提供に関わるいずれの事業者からも秘匿しながら、そのプライバシ情報に基づくサービスをユーザに提供する。
【解決手段】 保存・解析事業者のサーバは、ユーザの装置からユーザ個人に属するデータを継続的に受信して保存する。サービス事業者が提供するサービスは、保存されているデータに対して二つ以上の情報項目に基づく解析を行った結果を用いて提供される。ユーザの装置から受信されてサーバに保存されるデータは、これら二つ以上の情報項目について入力されたデータの少なくとも一部の各々に対しユーザの有する秘密のパラメータを用いた処理を施した後のデータである。この処理の内容は、サーバに保存されたデータに対して上記の解析を行うと、ユーザの装置において入力されたデータに対して上記の解析を行ったのと同一の結果が得られるように定められており、解析事業者による上記の解析は、ユーザの有する秘密のパラメータを用いることなく行われる。
【選択図】 図2

Description

本発明は、ユーザのプライバシ情報に基づくサービスを提供するシステムに関し、特に、プライバシ情報を保護しながら当該サービスを提供可能とする技術に関する。
近年、実社会における個人の行動や経済活動に密接に関連した情報を扱うオンラインサービスの提供が盛んになりつつある。例えば、スマートフォンの普及による個人の精細な地理情報や行動履歴を利用した広告モデルやSNS(ソーシャルネットワークシステム)等が登場し、発着信履歴、友人登録等に示される人間関係の情報や、GPS、RFID等で取得される位置の情報が、利用される可能性がある。今後は、医療/遺伝子情報や、金融/資産情報等、さらにセンシティビティの高い情報の活用へと議論が向かうことも、予想されている。
また、クラウド・コンピューティングの技術を利用し、個人や企業等のユーザが、自身のデータを、手元の機器に保存せずに、ネットワークの向こう側のデータセンタ等へ送信して保存できるようにするサービスも、普及している。例えば、M2M(マシンtoマシン)型のサービスにおいて、各ユーザの機器が入力したデータをクラウド上に保存し、これらのデータに対して統計解析等の処理を行うことも、想定される。このようにクラウド上に保存され、処理の対象となるデータが、上述したようなプライバシ情報を含む可能性もある。
個人の望まない、あるいは意図しない個人情報の流通は、社会に与える影響が大きく、その取扱いは慎重を要するが、個人に関わる情報はサービスの個人化にはなくてはならない情報であり、プライバシ保護を重視するあまりにこのような価値ある情報を眠らせておくこともまた機会損失になる。そのため、プライバシ情報の利用と保護のバランスをとる技術の模索が続けられている。
その一例が、プライバシ保護データマイニング(PPDM)と呼ばれ、セキュリティプロトコルやランダム化を利用して、プライバシ情報を保護しつつ、データを処理して有用な知識を見出そうとする技術である。PPDMには、匿名化、秘匿関数利用、ランダム化、暗号化の4つのアプローチがあると言われている(非特許文献1参照)。
匿名化アプローチでは、全てのオリジナルデータを委託された信頼できる第三者機関が、データの効用を失わないように各レコードの識別性を低める匿名化を行い、匿名化されたデータを他の者に利用可能にさせる。例えば、k−匿名性と呼ばれる手法では、個人に一意な番号や氏名等の識別子をレコードから除去するとともに、組み合わせることによって個人を識別できる可能性が高まってしまう年齢、性別、郵便番号等の擬似識別子について、全擬似識別子の値の組み合わせに適合するレコードが、全レコードの中に少なくともk個存在する(kが大きな数であるほど保護が強くなる)ように、値を抽象化する。また、k−匿名性のみでは、レコードの識別を妨げることができても、レコード中のセンシティブな情報である属性値は推測可能であるという問題があるため、l−多様性と呼ばれる手法により、匿名化されて同一のグループに入るレコードを見るといずれもセンシティブな属性値がl種類存在する(lが大きな数であるほど保護が強くなる)ように、値を抽象化する。
以下の3つのアプローチは、信頼できる第三者機関が存在しないモデルであり、エージェントA社は自身のデータベースAをB社に開示したくなく、エージェントB社は自身のデータベースBをA社に開示したくないが、結合されたデータベースA∪Bについてデータマイニングや統計処理を実行し、その結果のみを知りたいときに、採用されるものである。
秘匿関数利用アプローチでは、二つ以上のエージェントの各々が、自身のデータを保持し、保持しているデータ自体を外部に開示することなく、データを処理した結果だけを他の者に取得させることにより、各々が秘密で保持しているデータを入力とする関数の計算すなわちデータマイニングや統計処理を可能とする。
ランダム化アプローチでは、各エージェントが、保持する自身のオリジナルデータに乱数でノイズを加え、オリジナルデータの推定を困難にしたデータを出力し、これらのデータに対してデータマイニングや統計処理を実行し、その結果からノイズの影響を統計的推定により取り除く。
暗号化アプローチでは、各エージェントが、保持する自身のオリジナルデータを準同型性公開鍵暗号により暗号化して出力し、暗号化されたデータ同士で加算や乗算を行い、その結果を復号する。データを暗号化したまま計算が可能であるが、実行できるデータマイニングや統計処理は、加減算か乗算に限られる(特許文献1参照)。
特開2011−227193号公報
佐久間 淳、小林重信「プライバシ保護データマイニング」、人工知能学会誌 Vol.24 No.2(2009)
昨今のいわゆるビッグデータといわれる領域でのデータマイニングは、全ユーザのあらゆるデータを収集して、様々な角度からサービスを提供しようとするものである。例えば、全ユーザを対象にした過去の行動履歴(いつどこにだれとどうやって)を分析して、その人の趣味嗜好にあったお奨めの店やルート案内等をレコメンドしたり、全ユーザを対象にした過去の購入履歴を分析して、その人の趣味嗜好にあったお奨めの商品等をレコメンドしたりするものが考えられる。しかし、あらゆるデータを収集する分、情報が漏洩した際のリスクも増大する。
この情報漏洩の問題は、上述したPPDMでも、解決することが困難であり、また、PPDMのアプローチによっては、計算の結果が近似化され、正確性が劣ることがある。この場合、情報漏洩防止のために、オリジナルデータを保存せず、オリジナルデータに保護のための処理を加えたデータを保存しておくとすると、ユーザ本人であっても自分のオリジナルデータを復元することができないという問題もある。
まず、匿名化アプローチでは、単純にデータを部分的に落とす(例えば、氏名、住所、年齢等の情報を隠す)だけのことが多く、敵対者がある個人についての背景知識を持つ場合、他のデータと組み合わせたり、データを詳細に分析したりすることで、その情報が属する個人を特定できる可能性がある。また、オリジナルデータを全て委託できるような信頼のある第三者機関という、現実の社会では実現性に乏しいエンティティが必要である上、プライバシ情報の保護を強めるように匿名化のレベルを高くすると、データマイニングや統計処理の計算の正確性が低くなるという問題もある。さらに、情報漏洩防止のためにオリジナルデータを消去すると、匿名化されたデータのみが残り、そこからオリジナルデータを復元することは不可能である。
そして、秘匿関数利用アプローチ及びランダム化アプローチは、信頼できる第三者機関は不要であるものの、各エージェントが、自身のものについてはオリジナルデータを保持しておく必要があるため、いずれかのエージェントでデータ漏洩があると、プライバシ情報の漏洩につながってしまうリスクがある。
さらに、秘匿関数利用アプローチは、どのような計算にも適用できて、計算結果も厳密に正確であるものの、データマイニングや統計処理のように入力される秘密データの数が多い場合には、計算コストが極めて大きく、実用に耐えないという問題がある。
一方、ランダム化アプローチは、計算コストは小さいものの、適用できる計算が限定的な上、計算結果も近似的であるという問題がある。また、ランダム化アプローチでは、プライバシ情報の保護は、統計的に保障されるものに過ぎない。
最後に、暗号化アプローチは、信頼できる第三者機関が不要であり、計算の結果が正確に得られ、暗号化されたデータを保持しておくことによりそこからオリジナルデータを復元することが鍵を持つ者には可能であるという利点を有するが、可能な計算は加減算もしくは乗算に限られ、しかも、計算にはべき乗の計算量を必要とするので計算コストが大きく、実用的でないという問題がある。
本発明は、上記の課題に鑑みてなされたもので、例えば、ユーザの機器に入力されるオリジナルデータからプライバシ情報を隠蔽してクラウド上に保存し、このプライバシ情報が隠蔽されたデータを第三者(上述した信頼できる機関ではない第三者で構わない)が使って計算を行えるようなシステムを提供することを目的とする。この計算は、上述した暗号化を利用する場合のような多大な計算コストが不要でありながら、正確な計算結果が得られるものであることが好ましい。また、ユーザ本人は、プライバシ情報が隠蔽されたデータからオリジナルデータを復元できることが望ましい。
本発明の原理は、例えば、クラウド側の事業者がユーザに提供したい特定のサービスに着目し、当該特定のサービス用の計算を対象として、上記の課題を解決しようとするところにある。
本発明の原理に従う一つの例に係るサービス提供システムは、ネットワーク経由でユーザの装置に接続され、該装置からユーザ個人に属するデータを継続的に受信して保存するための第1のサーバと、前記第1のサーバに保存されているデータに基づくサービスを前記ユーザに提供するための第2のサーバと、を含む。前記サービスは、前記ユーザ個人に属する二つ以上の情報項目に基づく解析の結果を用いて提供されるものであり、前記装置から前記第1のサーバに受信されて保存されるデータは、前記装置において、前記二つ以上の情報項目について入力されたデータの少なくとも一部の各々に対し前記ユーザの有する秘密のパラメータを用いた処理を施した後のデータであり、前記第1のサーバに保存されたデータに対して前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理の内容が定められており、前記サービス提供システムにおいて前記秘密のパラメータを用いることなく前記解析が行われる。
上記の構成では、ユーザの装置から第1のサーバへ送信されるデータは、秘密のパラメータを用いて処理を施した後のデータであるため、第1のサーバに保存されるデータを、プライバシ情報が隠蔽されたものとすることができるから、そこから情報が流出した場合でも、プライバシ情報の漏洩リスクを極めて低くできることになる。さらに、上記の構成では、このようにプライバシ情報が隠蔽されたデータに対して、提供したいサービス用の特定の解析については、オリジナルデータに対して行う計算と同様の計算を行うことができるように、ユーザの装置で施される処理の内容が定められており、暗号化のように多大な計算コストをかけずに、正確な計算結果を得ることが可能である。また、特定のサービス提供に必要なデータだけを収集することによっても、情報漏洩のリスクを減らすことが可能になる。
上述したサービス提供システムにおいて、前記第1のサーバは、ユーザからの要求に応じて、保存されている該ユーザ個人に属するデータを送信する手段を備え、前記ユーザは、前記第1のサーバから送信されたデータに対して前記処理と逆の処理を前記秘密のパラメータを用いて施すことにより、前記装置において入力されたデータを復元可能であるようにしてもよい。
これにより、ユーザの装置が、オリジナルデータもプライバシ情報が隠蔽されたデータも保持せず、秘密のパラメータさえ保持していれば、第1のサーバからプライバシ情報が隠蔽されたデータを取得して、オリジナルデータを復元することが可能になる。つまり、ユーザから見ると、オリジナルデータに相当するデータを自分以外の者からは解読できない状態で保存可能なストレージサービスが、第1のサーバによって、提供されることになる。なお、秘密のパラメータを知らない者は、たとえ第1のサーバからデータを取得しても、オリジナルデータを復元することはできないが、第1のサーバは、データを送信するに当たり、要求者がユーザ本人であるかを確認するために、パスワード認証等を行ってもよい。
上述したサービス提供システムにおいて、前記第1のサーバと、前記第2のサーバとは、異なる事業者により運用され、前記解析は、前記第1のサーバを運用する事業者のコンピュータにより行われ、前記第2のサーバは、前記解析の結果を受信して、該結果を用いたサービスを提供するものであるようにしてもよい。
この構成により、ユーザからのデータの保存及び解析を行う事業者と、ユーザに対するサービス提供を行う事業者とを、分離することが可能になる。
上記の構成において、前記サービスの提供を受けるユーザ個人を特定する情報の管理は、前記第2のサーバを運用する事業者のコンピュータにより行われ、該コンピュータは、該情報が管理されるユーザに対してIDを発行する手段を備え、前記第1のサーバは、前記IDとともに前記ユーザ個人に属するデータを受信し、前記保存及び前記解析の対象となるデータ及び前記解析の結果は、前記IDに従って管理されるようにしてもよい。
これにより、ユーザ個人を特定する情報(例えば、氏名、住所、電話番号、クレジットカード情報等)については、サービス提供を行う事業者が管理することとし、ユーザの装置から収集されるデータ(例えば、ユーザの行動履歴等からプライバシ情報を隠蔽したデータ)を保存し解析する事業者は、これらデータ及び解析結果をユーザに関連付けられたIDで識別し、そのIDのユーザが誰であるかには関知しないようにすることができる。逆に、サービス提供事業者は、そのIDのユーザが誰であるかを特定できるが、そのユーザの解析結果の基となったデータには、プライバシ情報が隠蔽されたデータであるとはいえ、アクセスできないようにすることができる。サービス提供への対価は、サービス提供事業者が、ユーザから徴収して、保存及び解析事業者に分配することが可能である。
上述したサービス提供システムにおいて、前記装置から前記第1のサーバに受信されて保存されるデータは、前記装置において、前記秘密のパラメータを用いた処理が施される情報項目の少なくとも一部についてのデータに対しさらに前記ユーザの有する追加のパラメータを用いた追加の処理を施した後のデータであり、前記サービス提供システムは、前記解析のために、前記装置で用いられた前記追加のパラメータを受信する手段を備え、前記第1のサーバに保存されたデータに対して前記追加のパラメータを用いる追加の解析を含む前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理及び前記追加の処理の内容が定められており、前記サービス提供システムにおいて前記秘密のパラメータを用いることなく前記解析が行われるようにしてもよい。
この構成により、ユーザから追加のパラメータを入手しないと、プライバシ情報が隠蔽されたデータから、意味のある解析結果を得ることができないようにすることが可能になり、安全性をより向上させること(安全化)が可能になる。
上述したサービス提供システムにおいて、前記装置から前記第1のサーバに受信されて保存されるデータは、前記装置において、前記秘密のパラメータを用いた処理が施されない情報項目についてのデータに対し前記ユーザの有する追加のパラメータを用いた追加の処理を施した後のデータであり、前記サービス提供システムは、前記解析のために、前記装置で用いられた前記追加のパラメータを受信する手段を備え、前記第1のサーバに保存されたデータに対して前記追加のパラメータを用いる追加の解析を含む前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理及び前記追加の処理の内容が定められており、前記サービス提供システムにおいて前記秘密のパラメータを用いることなく前記解析が行われるようにしてもよい。
この構成により、ユーザから追加のパラメータを入手しないと、プライバシ情報が隠蔽されたデータの解析において、計算結果に追加的な意味を付与することができないようにすることが可能になり、追加のパラメータを入手できない(計算結果だけが得られる)者と入手できる(計算結果及び追加的な意味が得られる)者との間で、得られる解析結果を異ならせること(多様化)が可能になる。
上記2つの構成において、前記第1のサーバと、前記第2のサーバとは、異なる事業者により運用され、前記解析は、前記第2のサーバを運用する事業者のコンピュータにより行われ、前記第2のサーバは、前記第1のサーバに保存されているデータを受信し、前記装置で用いられた前記追加のパラメータを受信して、前記解析を行い、該解析の結果を用いたサービスを提供するものであるようにしてもよい。
これにより、ユーザからのデータの保存を行う事業者と、保存されたデータに対し解析を行う事業者とを、分離することが可能になる。そして、解析事業者は追加のパラメータを入手できるが、それ以外の者は追加のパラメータを入手できないとすると、仮に、保存事業者の保存しているデータが流出し、それを基に敵対者が計算を行ったとしても、特に安全化可能な構成の場合、意味のある解析結果を得ることができないから、情報漏洩のリスクを分散することができる。多様化可能な構成の場合も、計算結果の追加的な意味を得ることができないから、ある程度のリスク分散はできるといえる。
上記2つの構成において、前記サービス提供システムは、前記解析を行うための第3のサーバを、さらに含み、前記第1のサーバと、前記第2のサーバと、前記第3のサーバとは、それぞれ、異なる事業者により運用され、前記第3のサーバは、前記第1のサーバに保存されているデータを受信し、前記装置で用いられた前記追加のパラメータを受信して、前記解析を行うものであり、前記第2のサーバは、前記解析の結果を受信して、該結果を用いたサービスを提供するものであるようにしてもよい。
これにより、ユーザからのデータの保存を行う事業者と、保存されたデータに対し解析を行う事業者と、ユーザに対するサービス提供を行う事業者とを、分離することが可能になる。上述したように、保存事業者と解析事業者との分離により、情報漏洩のリスク分散が可能になるほか、これらの事業者とサービス提供事業者との分離により、ユーザの装置から収集されるデータとユーザ個人を特定する情報とが分離されることによっても、情報流出時のリスク分散が可能になる。
上記の多様化可能な構成において、前記サービスは、前記秘密のパラメータを用いた処理が施される情報項目に基づく解析の結果を用いる第1のサービスと、該解析の結果に加えて前記追加のパラメータを用いた追加の処理が施される情報項目に基づく追加の解析の結果を用いる第2のサービスと、を含み、前記サービス提供システムは、前記第1のサービス用の解析を行うための第3のサーバと、前記第2のサービス用の解析を行うための第4のサーバと、をさらに含み、前記第3のサーバと、前記第4のサーバとは、異なる事業者により運用され、前記第4のサーバが、前記装置で用いられた前記追加のパラメータを受信する手段を備えるようにしてもよい。
これにより、保存されたデータに対し所定の計算結果から解析を行う第1の事業者(第3のサーバ)と、保存されたデータに対し所定の計算結果の追加的な意味を得てさらに進んだ解析を行う第2の事業者(第4のサーバ)とを、分離することが可能になる。この追加的な意味を教えるのに十分な信用を有する解析事業者のみが、ユーザからの追加のパラメータを入手できるようにすれば、情報流出時のリスクを減らすことが可能になる。
ここで、さらに、第1の解析事業者は、所定の計算に必要な情報項目のデータを第1のサーバ(例えば、第1及び第2の解析事業者とは別の保存事業者)から入手するに留め、第2の解析事業者は、所定の計算及び追加的な意味の獲得に必要な情報項目のデータを第1のサーバから入手できるようにすれば、解析事業者毎に必要な情報を限定して取得させることが可能になる。このような限定取得によっても、情報流出時のリスクを減らすことが可能になる。なお、このように第1の解析事業者(第3のサーバ)と第2の解析事業者(第4のサーバ)とがそれぞれ独立に所定の計算を行う構成は、第1の解析事業者による解析の結果を用いる第1のサービス事業者と、第2の解析事業者による解析の結果を用いる第2のサービス事業者とが、異なる事業者である場合に、採用しやすい構成である。
一方、第1の解析事業者(第3のサーバ)が所定の計算を行い、第2の解析事業者(第4のサーバ)は、第3のサーバから所定の計算結果を受け取るとともに、追加的な意味の獲得に必要な情報項目のデータを第1のサーバ(例えば、第1及び第2の解析事業者とは別の保存事業者)から受け取り、追加のパラメータをユーザから受け取って、所定の計算結果の追加的な意味を得てさらに進んだ解析を行うという構成にすることもできる。これにより、第2の解析事業者に取得させる情報をさらに限定することが可能になる。この構成は、一つのサービス事業者が、複数の解析事業者に直列的に解析処理を分担させる場合に、採用しやすい構成である。
上記の多様化可能な構成において、前記サービスは、前記二つ以上の情報項目のうちの少なくとも一部に基づく第1の解析の結果を用いるものと、前記二つ以上の情報項目のうちの別の一部に基づく第2の解析の結果を用いるものと、を含み、前記第1の解析の基となる情報項目についてのデータに対しては前記ユーザの有する第1の追加のパラメータを用いた追加の処理が施されており、前記第2の解析の基となる情報項目についてのデータに対しては前記ユーザの有する第2の追加のパラメータを用いた追加の処理が施されているようにしてもよい。
これにより、プライバシ情報が隠蔽されたデータの解析において、ユーザから第1の追加のパラメータを入手すれば、計算結果に第1の追加的な意味を付与して第1の解析を行うことができ、ユーザから第2の追加のパラメータを入手すれば、計算結果に第2の追加的な意味を付与して第2の解析を行うことができるというように、解析のさらなる多様化を指向することができる。
この構成の場合に、前記サービス提供システムは、前記第1の解析を行うための第3のサーバと、前記第2の解析を行うための第4のサーバと、をさらに含み、前記第3のサーバと、前記第4のサーバとは、異なる事業者により運用され、前記第3のサーバは、前記第1のサーバに保存されているデータを受信し、前記装置で用いられた前記第1の追加のパラメータを受信して、前記第1の解析を行うものであり、前記第4のサーバは、前記第1のサーバに保存されているデータを受信し、前記装置で用いられた前記第2の追加のパラメータを受信して、前記第2の解析を行うものであるようにしてもよい。
これにより、第1の解析を行う事業者と、第2の解析を行う事業者とを、分離することが可能になる。そして、第1の解析事業者は、所定の計算及び第1の追加的な意味の獲得に必要な情報項目のデータを第1のサーバ(例えば、第1及び第2の解析事業者とは別の保存事業者)から、第1の追加のパラメータをユーザから入手し、第2の解析事業者は、所定の計算及び第2の追加的な意味の獲得に必要な情報項目のデータを第1のサーバから、第2の追加のパラメータをユーザから入手するというように、解析事業者毎に必要な情報を限定して取得させることが可能になる。あるいは、第1のサーバから入手するデータは第1及び第2の解析事業者に共通とし、追加のパラメータの入手を各々の解析事業者が用いるものに限定するだけでも、情報漏洩のリスクを減らすことは可能である。
なお、この構成は、第1の解析事業者による解析の結果を用いる第1のサービス事業者と、第2の解析事業者による解析の結果を用いる第2のサービス事業者とが、異なる事業者である場合にも、一つのサービス事業者が、複数の解析事業者に並列的に解析処理を分担させる場合にも、採用しやすい構成である。
上記の多様化可能な構成において、前記サービスは、前記二つ以上の情報項目のうちの一つが第1のグループに属するデータに対する第1の解析の結果を用いるものと、前記二つ以上の情報項目のうちの一つが第2のグループに属するデータに対する第2の解析の結果を用いるものと、を含み、前記第1の解析の対象となるデータに対しては前記ユーザの有する第1の追加のパラメータを用いた追加の処理が施されており、前記第2の解析の対象となるデータに対しては前記ユーザの有する第2の追加のパラメータを用いた追加の処理が施されているようにしてもよい。
これにより、プライバシ情報が隠蔽されたデータの解析において、ある情報項目が第1のグループに属するデータに対する第1の解析を行う事業者と、同じ情報項目が第2のグループに属するデータに対する第2の解析を行う事業者とを、分離することが可能になる。そうすると、第1の解析事業者は、第1のグループに属するデータを保存事業者から、第1のグループに属するデータに対して用いられた第1の追加パラメータをユーザから入手することにより、第1のグループの範囲内で追加的な意味の付与された解析を行うことができ、第2の解析事業者は、第2のグループに属するデータを保存事業者から、第2のグループに属するデータに対して用いられた第2の追加パラメータをユーザから入手することにより、第2のグループの範囲内で追加的な意味の付与された解析を行うことができるから、情報漏洩のリスクを減らしつつ、詳細な解析を指向することが可能になる。
上述したサービス提供システムにおいて、前記サービスは、前記ユーザ個人に属する二つ以上の情報項目に基づく解析を複数のユーザについて行った結果を用いて、各々のユーザに提供されるものとしてもよい。
これにより、あるユーザの装置から収集したデータをそのユーザに対するサービス提供に用いるだけではなく、多くのユーザの装置から収集したデータに基づいて各ユーザに対するサービス提供の内容を定めることができ、提供できるサービスの幅を広げることが可能になる。
上述したサービス提供システムは、前記ユーザに秘密の一意な値を割り当てる手段を備え、前記秘密のパラメータ及び前記追加のパラメータを、前記一意な値から所定のルールに従って生成された乱数とするものであってもよい。
これにより、ユーザにおいて、秘密の一意な値を一つ記憶しておけば、多数の情報項目に対応した多数の秘密のパラメータ及び追加のパラメータを、自動的に生成して用いることが可能になり、便利である。
上述したサービス提供システムにおいて、前記装置は、前記秘密のパラメータ及び前記追加のパラメータを前記ユーザのために保持するシステム外のサーバから、前記秘密のパラメータ及び前記追加のパラメータを取得して、前記処理を行うものとし、前記サービス提供システムは、前記システム外のサーバから前記追加のパラメータを受信するものとしてもよい。
これにより、秘密のパラメータ及び追加のパラメータを、ユーザの装置内に保存しておかなくても、システム外のサーバ(例えば、信用できる第三者機関のサーバ)に預けておき、ユーザが、そこから必要に応じて任意の装置にパラメータをダウンロードして、サービスを利用するための処理を行うことが可能になる。
上述したサービス提供システムにおいて、ユーザの装置において施される処理の内容は、例えば、前記二つ以上の情報項目をx、yとして、前記解析が、xとyの乗算、xとyの加算、xiとyiの乗算のiについての総和(iは自然数)、xy座標における2点間の距離のうちのいずれかを含む場合、前記処理はそれぞれ、xをαで除算してyにαを乗算すること(αは前記秘密のパラメータ)、xからαを減算してyにαを加算すること(αは前記秘密のパラメータ)、xiをαiで除算してyiにαiを乗算すること(αiの各々が前記秘密のパラメータ)、各点のx座標をαずらしy座標をβずらすこと(α,βは前記秘密のパラメータ)及び/又は各点のxy座標を基準点を中心にθ回転させること(θは前記秘密のパラメータ)を含むものであるように、定めることができる。
上記の安全化可能な構成において、ユーザの装置において施される追加の処理の内容及び追加のパラメータは、例えば、前記二つ以上の情報項目をx、yとして、前記解析が、xとyの乗算、xとyの加算、xiとyiの乗算のiについての総和(iは自然数)、xy座標における2点間の距離のうちのいずれかを含む場合、前記追加の処理はそれぞれ、γをxとyのいずれか一方に乗算又は除算すること(γは前記追加のパラメータ)、γをxとyのいずれか一方に加算又は減算すること(γは前記追加のパラメータ)、γiをxiとyiのいずれか一方に乗算又は除算すること(γiの各々が前記追加のパラメータ)、各点のxy座標をγ倍すること(γは前記追加のパラメータ)を含むものであるように、定めることができる。
上記の多様化可能な構成において、ユーザの装置において施される追加の処理の内容及び追加のパラメータは、例えば、前記二つ以上の情報項目をx、yとして、前記解析が、xiとyiの乗算のiについての総和(iは自然数)、又は、xy座標における2点間の距離を含む場合、前記追加の処理は、i又は各点の意味する内容をIDで表すこと(IDから内容を特定するようにする情報が前記追加のパラメータ)を含むものであるように、定めることができる。
上述したサービス提供システムの発明は、システム全体の方法の発明としても、汎用のコンピュータシステムを本システムとして動作させるためのプログラム(又はそのプログラムを記録した記録媒体)の発明としても、本システムにおけるデータ保存を行うサーバ、解析を行うサーバ、サービス提供を行うサーバ、本システムに接続されるユーザの装置のいずれの物の発明としても、汎用のコンピュータを本システムの各々のサーバもしくはユーザの装置として動作させるためのプログラム(又はそのプログラムを記録した記録媒体)の発明としても、本システムの各々のサーバもしくはユーザの装置において実行される方法の発明としても、勿論成立するものである。以下に、そのうちの幾つかを示す。
本発明の原理に従う一つの例に係るサービス提供方法は、ユーザの装置から、ネットワーク経由で接続されるサーバへ、ユーザ個人に属するデータを継続的に送信して保存させ、前記ユーザ個人に属する二つ以上の情報項目に基づく解析を、前記サーバに保存されているデータに基づいて行い、前記解析の結果を用いて、前記ユーザにサービスを提供する。前記装置は、前記二つ以上の情報項目について入力したデータの少なくとも一部の各々に対し前記ユーザの有する秘密のパラメータを用いた処理を施した後のデータを、前記サーバへ送信するものであり、前記サーバに保存されたデータに対して前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理の内容が定められており、前記装置から前記秘密のパラメータが出力されることなく、前記解析が行われる。
本発明の原理に従う一つの例に係るプログラムは、例えば、解析事業者が自身のコンピュータにインストールするプログラムであって、ユーザの装置からネットワーク経由で継続的に受信されるユーザ個人に属するデータを保存するストレージサーバと通信可能なコンピュータに、該データに基づくサービスを前記ユーザに提供するための該データの解析を行わせる。前記解析は、前記ユーザ個人に属する二つ以上の情報項目に基づくものであり、前記プログラムは、前記コンピュータに、前記二つ以上の情報項目について前記装置において入力されたデータの少なくとも一部の各々に対し前記ユーザの有する秘密のパラメータを用いた処理を施した後のデータを、前記装置から受信され前記ストレージサーバに保存されているデータとして、前記ストレージサーバから取得する手段と、前記ストレージサーバから取得したデータに対して、前記秘密のパラメータを用いることなく、前記解析を行う手段と、を備えさせる。前記ストレージサーバに保存されたデータに対して前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理の内容が定められている。
上記プログラムは、前記コンピュータに、前記サービスの提供を受けるユーザとして個人を特定する情報が管理されている前記ユーザに対して前記サービスを提供するサービスサーバへ、前記解析の結果を送信する手段を、さらに備えさせるものであり、前記コンピュータは、前記個人を特定する情報を参照することなく、該情報が管理されているユーザに対して発行されているIDによって、前記ストレージサーバから取得したデータ及び前記サービスサーバへ送信すべき解析の結果を管理するものとしてもよい。
さらに、前記ストレージサーバから取得されるデータは、前記処理に加えて、前記二つ以上の情報項目について前記装置において入力されたデータの一部に対し前記ユーザの有する追加のパラメータを用いた追加の処理を施した後のデータとなっており、前記解析を行う手段は、前記ユーザより前記追加のパラメータを取得して、前記ストレージサーバから取得したデータに対して前記追加の処理の逆の処理を施す手段を含むようにしてもよい。
本発明の原理に従う一つの例に係るプログラムは、例えば、ユーザの装置となるコンピュータにインストールされるプログラムであって、ユーザの装置からユーザ個人に属するデータを継続的に受信して保存し、該データに基づくサービスを前記ユーザに提供するシステムへ、ネットワーク経由で接続可能なコンピュータを、前記装置として機能させる。前記サービスは、前記ユーザ個人に属する二つ以上の情報項目に基づく解析の結果を用いて提供されるものであり、前記プログラムは、前記コンピュータに、前記ユーザの有する秘密のパラメータを保持する手段と、前記二つ以上の情報項目について入力されたユーザ個人に属するデータの少なくとも一部の各々に対し前記秘密のパラメータを用いた処理を施す手段と、前記処理が施された後のデータを、前記システムにおける前記保存を行うサーバへ送信する手段と、を備えさせる。前記サーバに保存されたデータに対して前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理の内容が定められており、前記システムにおいて前記秘密のパラメータを用いることなく前記解析が行われる。
上記プログラムは、例えば、ユーザが自身を特定する情報をサービス提供事業者に登録し、サービス提供事業者がそのユーザに対してIDを発行すると、ユーザの装置へダウンロードされるものであってもよい。そして、上記プログラムは、当該IDとともに、前記処理が施された後のデータを前記サーバへ送信させるものであってもよい。
上記プログラムは、さらに、前記コンピュータに、前記サーバに対し、保存されている前記ユーザ個人に属するデータを送信するように要求する手段と、前記要求に応じて送信されたデータに対して前記処理と逆の処理を前記秘密のパラメータを用いて施すことにより、前記入力されたデータを復元する手段と、を備えさせるものであってもよい。
上記プログラムは、さらに、前記コンピュータに、前記ユーザの有する追加のパラメータを保持する手段と、前記二つ以上の情報項目について入力されたユーザ個人に属するデータの一部に対し、前記処理に加えて又は前記処理とは別に、前記追加のパラメータを用いた追加の処理を施し、前記処理及び前記追加の処理が施された後のデータを、前記サーバへ送信するデータとする手段と、前記システムにおける複数のサーバのうち前記追加のパラメータを用いて前記解析を行うサーバを選択して、該サーバへ前記追加のパラメータを送信する手段と、を備えさせるものであってもよい。
本発明によれば、例えば、ユーザのプライバシ情報を、サービス提供に関わるいずれの事業者からも秘匿しながら、そのプライバシ情報に基づくサービスをユーザに提供することが、実用的に可能となる。
本発明の実施の形態に係るサービス提供方式(以下、本方式という)の適用例を説明する図 本方式を実施するためのユーザの機器及び事業者のサーバの構成の一例を示すブロック図 図2に示されるシステムが行うサービス提供の第1の具体例を説明する図 図2における各エンティティの動作の一例を示すフロー図 本方式を実施するためのユーザの機器及び事業者のサーバの構成の別の例を示すブロック図 図5に示されるシステムが行うサービス提供の第1の具体例を説明する図 図5における各エンティティの動作の一例を示すフロー図 図2に示されるシステムが行うサービス提供の第2の具体例を説明する図 図2に示されるシステムが行うサービス提供の第3の具体例を説明する図 図5に示されるシステムが行うサービス提供の第2の具体例を説明する図 図5において解析事業者のサーバを複数設けたシステムが行うサービス提供の第1の具体例を説明する図 図5において解析事業者のサーバを複数設けたシステムが行うサービス提供の第2の具体例を説明する図 図5において解析事業者のサーバを複数設けたシステムが行うサービス提供の第3の具体例を説明する図 図5において解析事業者のサーバを複数設けたシステムが行うサービス提供の第4の具体例を説明する図 本方式で使用されるパラメータを第三者機関が保管するための構成の一例を説明する図 本方式における解析事業者のサーバで行われる解析とユーザの機器で行われる処理(変換)との関係の一例を説明する図 従来技術と比較した本方式の特徴の一例を説明する図
以下、本発明の実施の形態に係るサービス提供方式(以下、本方式という)について、例示のために、図面を用いて説明する。
本方式においては、ユーザ個人に属するデータから、プライバシ情報を隠蔽し、ユーザ本人以外は元のデータにアクセスできないようにしながら、第三者がプライバシを隠蔽したデータを使って統計処理や付加サービスを提供することを、可能とする。本方式はまた、元のデータの所有者であるユーザと、クラウド型の保存事業者、解析事業者、及びサービス事業者間での、新しいデータ流通モデルについて、提案するものでもある。
図1は、本方式によるデータ流通モデルの一例を示す。この例では、プレーヤー1〜3により、流通モデルが構成されている。
プレーヤー1は、ユーザであり、本方式におけるクラウド型のデータ保存サービスの利用者でもある。このユーザが自身で使用する機器は、ユーザ個人に属するデータを収集する機能と、他のコンピュータと通信する機能とを有する。この機器としては、携帯電話、スマートフォン、パソコン、テレビ、ICカード、自動車等、様々なものが使用できる。
ユーザの機器が収集したデータは、クラウド上に保存されるため、ユーザの機器内にデータを保存しておく必要はない。そして、クラウド上に保存(ユーザの機器からアップロード)する際、プライバシに関する情報は、秘密のパラメータを用いて予め定められた変換処理を行うことにより、隠蔽される。
ユーザ自身は、必要に応じて、クラウド上に保存した変換処理後のデータを取り寄せ、予め定められた変換処理の逆の変換処理を秘密のパラメータを用いて行うことにより、元のデータを復元可能である。このため、ユーザの機器がデータをアップロードする前に行う変換処理の内容を、可逆関数と呼ぶことがある。この変換処理を、秘密のパラメータに加えて、アクセスパラメータをも用いて行うようにしてもよく、複数のアクセスパラメータを使い分けることにより、扱う情報の精度を変えることも可能である。
プレーヤー2は、クラウド型のデータ保存サービスを提供するとともに、保存されたデータに対する解析を行う保存・解析事業者である。保存と解析を、同じ事業者が行うのではなく、異なる事業者として、保存事業者(プレーヤー2−1)と解析事業者(プレーヤー2−2)とが別々に存在する流通モデルとしてもよい。
プレーヤー2において保存・解析されるデータは、上記の変換処理がされた後のデータであり、秘密のパラメータを知らない限り元のデータを復元することはできないため、情報漏洩リスクが軽減される。但し、変換処理がされた後のデータから、特定の解析は可能なようになっている。さらに、アクセスパラメータを利用すると、特定の意味が追加された解析結果を得ることが可能である。
プレーヤー3は、ユーザに対してサービスを提供するサービス事業者である。解析事業者は、サービス事業者に対して、解析の結果として統計情報や調査結果等を提供し、サービス事業者は、これを用いて付加サービスを提供する。一つのサービス事業者が複数のサービスを提供してもよいし、サービス毎にそれを提供するサービス事業者が分かれていてもよい。複数のサービス事業者が存在する場合、解析事業者も複数存在させて、各々の解析事業者が対応する各々のサービス事業者のサービスのための解析を行うようにしてもよい。
クラウド上に保存されているデータからは、プライバシ情報が隠蔽されているため、サービス事業者自身が、データを保存し、解析を行うようにして、保存・解析・サービス事業者とユーザという2つのプレーヤーしか存在しない流通モデルとしても、情報漏洩のリスクは軽減されるから、このような流通モデルも、本発明の実施の形態に含まれる。
しかし、図1の例では、保存・解析事業者(プレーヤー2)とサービス事業者(プレーヤー3)とを別々の事業者として、サービス事業者は、解析事業者からの解析結果のみを受け取り、保存事業者が保存しているデータにアクセスすることはないようにしている。このように事業者を分けておくことは、敵対者に秘密のパラメータが知られたり推測されたりした場合に、クラウド上に保存されているデータから元のデータが復元できてしまうことに対して、被害を最小限に留めるために役立つ。
例えば、サービス事業者は、ユーザに対してサービスを提供する必要上、ユーザ個人を特定する情報(例えば、ユーザの氏名、住所、電話番号、クレジットカード番号等)を保存しているが、保存・解析事業者は、サービス事業者がユーザに付与したIDでユーザを識別するのみで、ユーザ個人を特定する情報にアクセスすることはないものとすれば、保存・解析事業者から保存されているデータが流出したとしても、サービス事業者におけるユーザ個人を特定する情報が守られているため、流出したデータがどのユーザのものかは判別できないことになる。
図2は、本方式を実施するためのユーザの機器100、保存・解析事業者のサーバ200、及びサービス事業者のサーバ300の構成の一例を示す。ユーザの機器100と保存・解析事業者のサーバ200との間、保存・解析事業者のサーバ200とサービス事業者のサーバ300との間、サービス事業者のサーバ300とユーザの機器100との間は、それぞれネットワーク500により接続可能である。それぞれの間に別個の通信網(例えば、無線網と有線網等)があってもよいし、全てが一つの通信網(例えば、インターネット)に接続されるようになっていてもよい。
ユーザの機器100は、例えば、コンピューティング機能を有する機器に本方式のためのプログラムをインストールすることにより、構成される。秘密のパラメータの記憶やこれを用いた処理/逆処理を行う部分は、ハードウェア又はソフトウェア上のセキュリティを高めたモジュール内に設けるようにしてもよい。
保存・解析事業者のサーバ200は、例えば、クラウド型サービスを行うデータセンター等のサーバ又はサーバ群に本方式のためのプログラムをインストールすることにより、構成される。サービス事業者300のサーバは、例えば、汎用のサーバ又はサーバ群に本方式のためのプログラムをインストールすることにより、構成可能である。
図2における各部の機能については、図3に示すサービス提供の第1の具体例に沿って、図4に示す動作のフロー例も参照しながら、説明する。各部の機能は、ハードウェア又はソフトウェア、もしくはハードウェアとソフトウェアの組み合わせにより、実現することができる。
図3は、本方式を“pay as you drive”といわれるサービスに適用した例である。“pay as you drive” は、「走行距離に応じた料金」という意味で、自動車保険業界では、車を運転した分だけ保険料を支払うことを意味する。具体的には、最低限必要となる基礎保険料を一年分まとめて前納し、走行距離等の走行データに基づいた従量保険料を、実際のリスク度合いに応じて算出して、口座引き落としで月払いにするような仕組みのことである。
現状、米国では、2004年からGMAC社がGMグループの純正オプションの車載機と搭載した車両を対象に、走行データとして走行距離を送信し、年間走行距離が少ないほど保険料割引を行うサービスを実施している。例えば、年間走行距離が7500マイル未満では保険料が28%割引となり、5000マイル未満で33%、2500マイル未満では40%もの割引率になる。逆に15000マイル以上走行すると割引は0%である。
英国では、2006年からノリッジュニオン社が独自に開発した車載機から、走行データとして走行距離と走行時間帯、走行場所を送信し、リスク度合いに応じたきめ細かい保険料設定をしている。例えば、高速道路を時速70マイルで走行する場合は、市内の道路を時速30マイルで走行する場合に比べて、保険料が10分の1程度に設定される。18歳から23歳までの若年層には夜11時から朝の6時までの走行1マイルにつき1ポンドの課徴金が設定され、この時間帯をさけると保険料が安くなる。
日本では、2004年からあいおい損保がサービスを開始しており、トヨタ自動車の純正オプションの車載機を搭載した車両を対象に、車載機から毎月の走行距離を保険会社に送信して走行距離に応じた割引額を適用した金額を徴収している。例えば、毎月700km走行する場合に対して、毎月200kmしか走行しない場合の保険料は約15%割引になる。
これらのサービスに必要なデータは、ユーザ個人のプライバシに関わる情報を含むため、サービス事業者がデータを保持していることによるデータ漏洩リスクの問題がある。そこで、本方式を以下のように適用する。
まず、ユーザの機器100のデータ入力部110が、走行中のセンサー情報として、単位時間毎に地図上の位置(X座標Y座標)を入力する(図4の425)。ユーザの機器100の秘密パラメータ記憶部120には、ユーザ本人しか知らない秘密のパラメータとして、「基準点:X0とY0」「角度:α」「移動距離:X1とY1」が記憶されている。
ユーザの機器100の処理部130は、入力された地図上の位置Z(X座標Y座標)に対し、秘密のパラメータを用いて、基準点を中心に角度の分だけ時計回りに回転した位置から移動距離の分だけ移動させるという処理f(図3参照)を行い、Z’を得る(図4の430)。ユーザの機器100のユーザID記憶部150には、サービス事業者から付与されたユーザID(図4ではunique-id)が記憶されている。
ユーザの機器100のアップロード部140は、適当なタイミング(例えば、走行終了時、一日の最後、通信機能がオンになった時等)に、処理後のデータ(ここでは、単位時間毎のZ’=f(Z))をユーザIDとともに、保存・解析事業者のサーバ200の入力装置(登録サーバ)210へアップロードして、データ保存装置220に保存させる(図4の435、440)。アップロードされるZ’がいつの走行時のデータであるか分かるように、日時も加えてアップロードしてもよい。
保存・解析事業者のサーバ200の解析装置230は、適当なタイミング(例えば、毎月の最後、解析装置の負荷が時間的に分散されるように定められた時等)に、解析対象となるユーザのユーザIDを指定してデータ保存装置220にアクセスし、そのユーザのデータ(例えば、一月分のZ’の列)を取得する。そして、隣り合うZ’間の距離を計算し、計算された距離を累積することにより、時間当たり(例えば、一月分)の走行距離を得て(図4の445)、ユーザIDに対応させてデータ保存装置220に保存する(図4の450)。
ここで、Z’は、XY座標系における点Zに対し、基準点を中心に角度分だけ回転して移動距離を足す処理をして得られた点であるため、点Z’iと点Z’i+1との間の距離は、点Ziと点Zi+1との間の距離に等しい。したがって、解析装置230では、ユーザのプライバシに関わる走行位置Zの情報を得ることはできないが、サービスを提供するのに必要な2点間の距離の情報については、Z’から計算して得ることができる。つまり、変換処理fを施すことで元のデータZを見えなくしているが、解析に必要な計算についてはZ’がZと同様にその目的を満たすように、解析する内容に合わせて、予め変換処理の計算式が決められている。
サービス事業者のサーバ300のサービス提供部310は、適当なタイミング(例えば、提供するサービス内容を決定する時等)に、サービス対象となるユーザのユーザIDを指定して保存・解析事業者のサーバ200の配信装置(参照サーバ)240を介してデータ保存装置220にアクセスし、そのユーザの当月の走行距離の情報を、解析事業者による評価結果として取得する(図4の455)。
ここで、保存・解析事業者のサーバ200の配信装置240は、サービス事業者のサーバ300からの問合せに対し、データ保存装置220に保存してあるデータ(上記の例では、Z’の列及び日時)を取得させることなく、評価結果(上記の例では、当月の走行距離)のみを取得させる。なお、サービス事業者は、保存・解析事業者に対し、評価結果を提供された対価としての利用料を支払うようにしてもよい(図4の460)。
サービス事業者のサーバ300のサービス提供部310は、取得した評価結果に基づいて、そのユーザIDのユーザに対し、例えば、運転の安全性に応じた保険料のキャッシュバック等のサービスを提供する(図4の465)。なお、一月の走行距離が200km未満は安全性のランクA、500km未満はランクB、800km未満はランクC等とする場合、サービス提供部310が、保存・解析事業者のサーバ200から取得した走行距離に基づいてランクを定めてもよいし、解析装置230がランクまで求めて、サービス事業者のサーバ300へランクの情報を評価結果として送るのでもよい。
ユーザは、上記の例では、キャッシュバック等のサービスを受ける(図4の470)が、サービス事業者のサーバ300が提供するサービスは、図2に示した構成の範囲外で、例えば、ユーザの銀行口座等に対して行うもので構わない。別の例として、サービス提供部310が、ユーザの機器100(上記の例では、自動車)もしくはユーザが使用している別の装置(例えば、スマートフォン)と、ネットワーク500経由で通信することにより、サービスを提供することも可能である。その場合、ユーザが、サービス事業者のサーバ300へユーザIDを送って、サービス提供を要求し、サービス提供部310が、ユーザIDのパスワード確認等をした後に、サービスを提供してもよい。
ユーザの機器100のダウンロード部160は、ユーザID記憶部150から読み出したユーザIDを保存・解析事業者のサーバ200へ送信して、データ保存装置220に保存してある自身のデータ(上記の例では、Z’の列及び日時)をダウンロードすることができる。この場合、保存・解析事業者のサーバ200の配信装置240は、要求を送信してきた者が真にそのユーザIDのユーザであるかどうかを、パスワード等によって確認することが望ましい。このパスワード確認は、上述したサービス事業者のサーバ300において確認されるパスワードを、保存・解析事業者に共有させることによって実現してもよい。
ユーザの機器100の逆処理(データ復元)部170は、ダウンロードされたデータZ’に対して、秘密のパラメータ記憶部120に記憶されたパラメータを用いた逆処理を施す(X軸方向に−X1、Y軸方向に−Y1分だけ移動させた後に、基準点(X0,Y0)を中心に角度α分だけ反時計回りに移動させる)ことにより、元の位置Zを復元することができる。なお、このダウンロード及びデータ復元は、ユーザの機器100自体ではなく、ユーザが使用している別の装置(例えば、パソコン)において行えるようにしてもよい。
このように、ユーザ自身は、クラウド上に保存されたデータ(上記の例では、日時とZ’の列)をダウンロードして元のデータ(位置Z)を復元することにより、重要なプライバシに関わる情報をも利用する(例えば、走行ルートを地図上に描いた日記を作成する)アプリケーションを利用することが可能になる。したがって、ユーザの観点からは、本方式の適用により、自身のプライバシ情報を含むデータをクラウド上に安全に預けられるサービスに付加して、自動車保険の保険料割引を受けられるサービスが付随的に提供されるようにも見える。
本方式のユーザは、ユーザの機器100において、入力されたデータを処理してアップロードした後は、元のデータを消去し、そのデータを必要とするアプリケーションを動かす際に、そのアプリケーションが搭載された装置(データを入力した機器100でなくてよい)にデータをダウンロードし、アプリケーションを動かし終わればまたデータを消去するという使い方ができ、データの紛失や盗難に対する安全性と利便性との両利点を享受することができる。その上で、別途、サービス事業者からの特定のサービスを、プライバシを守りつつ受けることができる。
ユーザの機器100は、サービスの申し込みに応じてユーザID記憶部150に有効なユーザIDが記憶される(図4の410)よう、サービス申込部180を備えてもよく、サービス申込部180が、ネットワーク500経由でサービス事業者のサーバ300と通信するようにしてもよい。
上記の例では、ユーザが、自動車保険に加入する申し込みをサービス事業者のサーバ300のサービス申込受付(ID割当)部320に送信し(図4の405、415)、サービス事業者のサーバ300のユーザ情報保存装置330が、ユーザ(この場合、保険契約者)の情報をユーザIDと関連付けて保存し(図4の420)、安全に管理する。ユーザIDは、予め機器100内に埋め込まれていて、これを申し込み時にサービス事業者に渡されるユーザの情報(例えば、氏名、住所、年齢、電話番号、免許の種類、契約内容等で、ユーザ個人を特定する情報を含む)と関連付けるようにしてもよいし、申し込み時にサービス事業者においてユーザIDを割り振り、これを機器100へ送って記憶させるようにしてもよい。
また、ユーザの機器100内の秘密のパラメータは、ユーザでさえその値を知ることなく、購入した機器100内に予め埋め込まれているのでもよいし(図4の400)、ユーザがサービス開始前に自身で定めた値を機器100に入力して記憶させるのでもよい。
図5は、本方式を実施するためのユーザの機器101、保存事業者のサーバ201、解析事業者のサーバ206、及びサービス事業者のサーバ300の構成の一例を示す。図2と比較すると、保存・解析事業者のサーバ200が保存事業者のサーバと解析事業者のサーバとに分離され、その間にネットワーク500が配置されている点が異なるが、それに関連して相違する部分以外は、図2で説明した様々な構成を図5でも採ることが可能である。なお、ユーザの機器とサービス事業者のサーバとの間で、サービスの申し込み、ユーザ情報の保存、ユーザIDの登録を行うための部分は、図示を省略してある。
図5のユーザの機器101は、アクセスパラメータ記憶部190が導入され、それに伴って処理部131及び逆処理(データ復元)部171がアクセスパラメータを用いるようになり、アクセスパラメータを必要な解析事業者へ通知するための通知部195が追加された他は、図2のユーザの機器100と同様である。
図5の保存事業者のサーバ201は、例えば、クラウド型サービスを行うデータセンター等のサーバ又はサーバ群を、ほぼそのまま用いて構成することが可能である。解析事業者のサーバ206は、例えば、汎用のサーバ又はサーバ群に本方式のためのプログラムをインストールすることにより、構成可能である。
図5における各部の機能につき、図6に示すサービス提供の第1の具体例(“pay as you drive”サービスに適用した例)に沿って、図7に示す動作のフロー例も参照しながら、説明する。
まず、ユーザの機器101のデータ入力部110が、走行中のセンサー情報として、単位時間毎に地図上の位置(X座標Y座標)を入力する(図7の735)。ユーザの機器101の秘密パラメータ記憶部120には、ユーザ本人しか知らない秘密のパラメータとして、「基準点:X0とY0」「角度:α」「移動距離:X1とY1」が記憶されている。
ユーザの機器101の処理部131は、入力された地図上の位置Z(X座標Y座標)に対し、秘密のパラメータを用いて、基準点を中心に角度の分だけ時計回りに回転した位置から移動距離の分だけ移動させるという処理f(図3参照)を行い、Z’を得る(図7の740)。そして、アクセスパラメータ記憶部190から、“pay as you drive”サービス用に一つ予め選択した任意の数値Rを読み出し、Z’に乗算する。
ユーザの機器101のユーザID記憶部150には、サービス事業者から付与されたユーザID(図7ではunique-id)が記憶されており、アップロード部140は、適当なタイミングで、ユーザIDとともに処理後のデータ(ここでは、単位時間毎のZ’×R)を、保存事業者のサーバ206の入力装置(登録サーバ)210へアップロードして、データ保存装置220に保存させる(図7の745、750)。アップロードされるZ’×Rがいつの走行時のデータであるか分かるように、日時も加えてアップロードしてもよい。
サービス事業者のサーバ300のサービス提供部310は、サービス提供に評価結果が必要になるタイミングで、サービス対象となるユーザのユーザIDを指定して、解析事業者のサーバ206の配信装置(参照サーバ)242を介して解析装置231に評価を依頼する(図7の755)。
解析事業者のサーバ206の解析装置231は、サービス事業者からの依頼に沿ったタイミングで、解析対象となるユーザのユーザIDを指定して保存事業者のサーバ201の配信装置(参照サーバ)241を介してデータ保存装置220にアクセスし(図7の760)、そのユーザのデータ(例えば、一月分のZ’×Rの列)を取得する。
解析事業者のサーバ206の解析装置231は、例えば、サービス開始前に、サービス利用者として登録されたユーザから、ユーザID及びアクセスパラメータRの値を受信して、登録している(図7の725、730)。そして、解析装置231は、データ保存装置220に保存されたユーザのデータを取得すると、各Z’×RをRで除算して、各Z’を求める。その後、解析装置231は、隣り合うZ’間の距離を計算し、計算された距離を累積することにより、時間当たり(例えば、一月分)の走行距離を得る(図7の765)。
解析事業者のサーバ206の解析装置231は、配信装置242を介して、サービス事業者のサーバ300のサービス提供部301に、依頼されたユーザIDに対応する評価結果として、そのユーザの当月の走行距離の情報を取得させる(図7の770)。解析事業者のサーバ206は、走行距離の計算が完了したら、データ保存装置220から取得したユーザのデータを全て消去し、サービス事業者への評価結果の送信が完了したら、計算結果や分析結果を全て消去することが望ましい。
なお、サービス事業者は、解析事業者に対し、評価結果を提供された対価としての利用料を支払うようにし(図7の780)、解析事業者は、サービス事業者から受け取った利用料の一部を、データを提供された対価として、保存事業者に対して支払うようにしてもよい(図7の775)。
ここで、Z’は、XY座標系における点Zに対し、基準点を中心に角度分だけ回転して移動距離を足す処理をして得られた点であるため、点Z’iと点Z’i+1との間の距離は、点Ziと点Zi+1との間の距離に等しい。したがって、解析装置231では、ユーザのプライバシに関わる走行位置Zの情報を得ることはできないが、サービスを提供するのに必要な2点間の距離の情報については、Z’から計算して得ることができる。したがって、Z’をそのまま保存事業者のサーバで保存していると、保存事業者のデータが漏洩した場合には、プライバシ情報(位置Z)は守られても、特定の解析のための計算(距離の計算)自体はできてしまう。
そこで、図5の構成では、保存事業者のサーバで保存されるデータは、Z’にRを乗算したデータとし、アクセスパラメータRを知らない者は、保存されたデータから走行距離を計算することができないようにしている。そして、保存事業者と解析事業者とを分離して、アクセスパラメータRを知る者を解析事業者に限定している。解析事業者は、保存されたデータからRの係数をなくすことで走行距離の算出ができ、運転の安全性を分析できる者を、解析事業者に限ることが可能になる。
ユーザの機器101のダウンロード部160は、ユーザID記憶部150から読み出したユーザIDを保存事業者のサーバ201へ送信して、データ保存装置220に保存してある自身のデータ(上記の例では、Z’×Rの列及び日時)をダウンロードすることができる。
そして、ユーザの機器101もしくはユーザが使用している別の装置の逆処理部171は、ダウンロードされたデータZ’×Rに対し、アクセスパラメータ記憶部190に記憶されたRを用いて除算することにより、Z’を得て、このZ’に対して秘密のパラメータを用いた逆処理を施すことにより、元のデータ(位置Z)を復元することができる。
本方式のうち、アクセスパラメータを利用する方式は、様々な利点を有するが、図5の構成では特に、保存事業者と解析事業者を分離することで、データ漏洩のリスクを分散する効果が得られる。つまり、アクセスパラメータを利用して、保存事業者が保存しているデータからは、解析のための計算自体を行うことができないようにし、解析事業者は、保存事業者から必要に応じてデータを取得し、アクセスパラメータを利用することで初めて解析を行うことができるようにする。
その際、解析事業者は、取得したデータ及び解析した結果を保存しないこととして、保存だけを行う保存事業者と解析だけを行う解析事業者の責務を明確に分ければ、プライバシ情報だけでなく特定の解析ができてしまうデータについてもクラウド上に保存されない状態を維持することができ、データ漏洩のリスクをさらに低減することが可能になる。
上述した“pay as you drive”サービスの例における本方式(図2又は図5)によれば、クラウドを利用したデータの安全な管理が可能になる。すなわち、ユーザは、それ自体が外部に漏洩しても意味のないデータとして、ユーザID及びZ’をアップロードするので、本人の特定が困難となり、プライバシが保護される。また、保存・解析事業者も、管理している情報自体は、外部に漏洩しても意味のないデータのため、漏洩した際のデータを管理する側の負担を減らすことが可能である。さらに、意味のないデータに変換するための処理自体は、高速に計算可能なアルゴリズムのため、自動車で計算した結果を送ることも、実用上可能である。
さらに、データを変換処理された状態のままで特定の解析に利用することができる上に、秘密のパラメータを用いれば元の地図上の位置Zを復元することができる可逆変換であるため、プライバシを守りながら特定の解析に基づくサービスを受けられることに加えて、クラウド上にあるデータを利用して自分だけの走行履歴マップ等を作成することも可能になる。
そして、アクセスパラメータを利用することで、保存事業者と解析事業者を分離して(図5)、保存事業者が保持する情報からは走行距離さえも計算できなくなるため、より安全性を高めることが可能である。
また、サービス事業者(保険会社)は、実際の運転履歴から安全性についてより正確な情報を得ることができるため、安全性の高い利用者にはキャッシュバックを行うことで、契約者数のアップが期待できる一方、ユーザ(利用者)も、キャッシュバックを求めて安全運転を行うことで、交通事故の減少が期待できるという、Win−Winの関係が実現される。他にも、ユーザがクラウド上にデータを保存することに対する課金は、保存事業者がユーザに対して行うのではなく、サービス事業者が(解析事業者を介して)クラウド上からデータを取得する際に行うことにより、ユーザのクラウド利用が簡便になる一方で、保存事業者も確実に収入を得られるという、Win−Winの関係も実現される。
以上では、各ユーザから収集したデータを個別に評価して、それぞれのユーザに対してサービスを提供する例を説明したが、図8には、複数のユーザから収集したデータを全体的に評価した結果(例えば、全体の平均からの乖離の度合等)も用いて、各ユーザへ提供するサービス内容を決める例を示す。ここでは、図2の構成で説明するが、図5の構成においても同様な拡張が可能である。
図8の例におけるユーザの機器100は、秘密のパラメータとして、ランダム値αを記憶しており、センサー情報として、アクセルペダルの踏み込み量と踏み込み速度、ブレーキペダルの踏み込み量と踏み込み速度、ハンドルの回転速度、走行速度を入力する。そして、例えば、走行開始から終了までの間又は一日の間に、アクセルペダルの踏み込み量と踏み込み速度が所定の条件を満たす場合を急加速と判断してその回数kをカウントし、ブレーキペダルの踏み込み量と踏み込み速度が所定の条件を満たす場合を緊急ブレーキと判断してその回数bをカウントし、ハンドルの回転速度が所定値を越えた場合を急ハンドルと判断してその回数hをカウントし、走行速度が法定最高速度を越えた回数sをカウントする。
ユーザの機器100は、これらの回数k、b、h、sをデータとして入力し、秘密のパラメータαを用いて、k+α=k’、b−α=b’、h+α=h’、s−α=s’という変換処理を行う。そして、ユーザIDと、走行日時と、処理後のデータ(急加速の回数’、緊急ブレーキの回数’、急ハンドルの回数’、法定最高速度を超えた回数’)とを、保存・解析事業者のサーバ200へアップロードし、保存させる。
保存されたデータk’、b’、h’、s’を合計すると、αが加減算されて、k、b、h、sを合計したのと同じ値が得られるから、保存・解析事業者のサーバ200では、αを知ることなく、そのユーザの1ヶ月あたりの危険運転回数を計算することができる。そして、全てのユーザについて、各ユーザの保存されたデータから1ヶ月あたりの危険運転回数を計算すると、あるユーザが全てのユーザの中で運転の安全性がどの辺りにランキングされるのかを評価することが可能になる。
そうすると、サービス事業者は、上述した“pay as you drive”の例と同様に、ユーザの運転の安全性のランクに応じた保険料のキャッシュバックというサービスを提供することができ、しかも、そこでのランクを、実際の保険加入者全員の運転のレベルを反映させたものとすることができる。他の例として、毎月の終わりに、ユーザに運転の安全度のランクを教えて注意を促すというサービスを提供することも可能である。
図9には、自動車関連とは別の例として、ヘルスケアサービスを提供する例を示す。ここでは、BMI(BodyMassIndex)と呼ばれる体重と身長の関係から算出される肥満度を表す体格指数を、ユーザに知らせるサービスとする。
図9の例におけるユーザの機器100は、秘密のパラメータとして、ランダム値αを記憶しており、センサーから、ユーザの身長t(m)及び体重w(kg)をデータとして入力する。そして、秘密のパラメータαを用いて、t×α=t’、w×α×α=w’という変換処理を行い、ユーザIDと、測定日時と、処理後のデータ(身長’、体重’)とを、保存・解析事業者のサーバ200へアップロードし、保存させる。
保存されたデータt’、w’からBMIを求める式に従ってw’/(t’)2を計算すると、αが乗除算されて、w/t2を計算したのと同じ値が得られるから、保存・解析事業者のサーバ200では、αを知ることなく、そのユーザのBMIを評価結果として得ることができる。
また別のサービス例として(図示なし)、住宅ローンサービスを提供する例を示す。ここでは、ローンの返済比率が基準比率内に収まっているか否かを、ユーザに知らせるサービスとする。
ユーザの機器100は、秘密のパラメータとして、ランダム値αを記憶しており、ユーザの年間所得(税込年収)y(円)及びローンの予定年間返済額x(円)をデータとして入力する。そして、秘密のパラメータαを用いて、y×α=y’、x×α=x’という変換処理を行い、ユーザIDと、処理後のデータ(年収’、返済額’)とを、保存・解析事業者のサーバ200へアップロードし、保存させる。
保存されたデータy’、x’から返済比率を求める式に従ってx’/y’を計算すると、αが乗除算されて、x/yを計算したのと同じ値が得られるから、保存・解析事業者のサーバ200では、αを知ることなく、そのユーザの返済比率を計算でき、これを基準比率と比較することにより、ローンの可否という評価結果を得ることができる。
図10は、図5の構成により提供されるサービスとして、上述したのとはまた別の例である、マイ家計簿サービスを提供する例を示す。
ユーザの機器101は、秘密のパラメータとして、商品毎に定めた商品パラメータ(ビール(商品コード=15)は2.5、カクテル(商品コード=39)は1.5等)を記憶しており、アクセスパラメータとして、分類毎に定めた分類パラメータ(酒(分類ID=2)は4.5、スナック(分類ID=3)は2.7、雑貨(分類ID=19)は3.1等)及び各分類IDが意味する分類の情報を含む分類テーブルを記憶している。図10の例では、各商品コードがどの商品を意味しているかも、秘密のパラメータとして扱われている。
ある商品に対する商品コード及び商品パラメータ、ある分類に対する分類ID及び分類パラメータは、ユーザ毎にランダムに定められ、ユーザが通知しない限り第三者には知られない値である。秘密のパラメータである商品に関する情報(詳細な情報)は、ユーザ本人以外の者に通知されることはないが、アクセスパラメータである分類テーブルの情報(概要の情報)は、解析事業者に限って通知される。
ユーザが商品を購入すると、その商品の購入日、商品コード、分類ID、購入単価及び購入個数が、データとしてユーザの機器101に入力される。例えば、ユーザA氏が、240円のビール3本と180円のカクテル4本を購入したとすると、「商品コード=15、分類ID=2、単価=240円、個数=3個」「商品コード=39、分類ID=2、単価=180円、個数=4個」というデータが入力される。
ユーザの機器101は、単価を(分類パラメータ×商品パラメータ)で除算して単価’を求め、個数に商品パラメータを乗算して個数’を求めるという変換処理を行い、ユーザIDと、購入日と、「商品コード、分類ID、処理後のデータ(単価’、個数’)」から成るレコードとを、保存事業者のサーバ201へアップロードし、保存させる。この保存されたデータからは、ある分類の中の何かの商品を購入したことは分かるが、その分類が何で、商品が何であるか、その商品の単価が何円で、購入したのが何個かは、いずれも分からないし、たとえ単価’×個数’という計算をして商品パラメータを乗除算により消し込んだとしても、さらに分類パラメータで除算されているために、その商品についての購入金額が何円かという情報を解析により得ることもできない。
上記の分類パラメータの値と、分類IDの意味する分類が何であるかの情報とは、ユーザが所有する分類テーブルに含まれる情報であり、この分類テーブルが、アクセスパラメータとして、ユーザIDとともに解析事業者のサーバ206へ渡される。そうすると、解析事業者のサーバ206では、指定したユーザIDの購入日がある月に属するレコードを保存事業者のサーバ201から取得し、ある分類ID(例えば、2)のレコードについて単価’×個数’の合計を求め、その合計に当該分類IDの分類パラメータ(例えば、4.5)を乗算することにより、当該分類IDに属する商品をその月に合計いくら購入したかを計算することができるとともに、当該分類IDの意味する分類が何であるかも知ることができる。
よって、解析事業者のサーバ206では、分類テーブルをアクセスパラメータとして取得することにより、分類毎の1ヵ月あたりのユーザの出費(例えば、酒にいくら使っているか、雑貨にいくら使っているか等)を、評価結果として得ることが可能になる。そして、サービス事業者のサーバ300では、この評価結果を解析事業者のサーバ206から取得することにより、マイ家計簿の情報としてユーザに提供することが可能になる。
なお、図11の例では、いずれの解析事業者においても、商品コードの情報が解析に用いられることはないから、保存事業者のサーバから各解析事業者のサーバへレコードを渡す際に、商品コードの項目は外して渡すようにしてもよい。解析に用いられない情報も保存事業者のサーバ(クラウド上)に保存されているのは、ユーザがクラウド上に預けた自身のデータをダウンロードして、より詳細な家計簿アプリケーションを動作させる際には、商品コードをキーとして秘密の商品パラメータを読み出すことにより、分類毎よりも詳細な商品毎の分析を行ったり、購入金額よりも詳細な単価及び個数の情報を用いた分析を行ったりすることができるようにするためである。
以上のように、アクセスパラメータの導入により、情報漏洩のリスクを分散しつつ解析を行えるようになるという利点が生じるが、アクセスパラメータの導入により、解析の多様化という利点を生み出すことも可能である。つまり、アクセスパラメータを利用することで、秘匿にしたデータの中から必要に応じて最低限の情報だけを取出して計算させることが可能になるため、解析事業者を複数設けて、秘匿にしたデータの中から解析事業者毎に必要な情報を限定して計算させることにより、情報漏洩のリスクを抑制しつつ、多様な解析を行い、多様なサービスを提供することが可能になる。
図11には、解析事業者Aのサーバ206−1と、解析事業者Bのサーバ206−2とが、それぞれ独立に解析を行う例を示す。図11の例では、解析事業者Bは、解析事業者Aが行う解析に加えて、さらに詳細な解析を行えるようになっている。
図11では、解析事業者Aによる解析に基づいて、サービス事業者Aのサーバ300−1がユーザにサービスAを提供し、解析事業者Bによる解析に基づいて、サービス事業者Bのサーバ300−2がユーザにサービスBを提供するように構成されているが、サービスAとサービスBとを一つのサービス事業者のサーバから提供するように構成することも可能である。
図11の例におけるユーザの機器101は、センサー情報として、日時Dと地図上の位置(X座標Y座標)とを入力する。秘密のパラメータとして、図5の例と同様のものが記憶されており、アクセスパラメータとして、日時についてのR1と座標に対するR2という2つが記憶されている。
そして、ユーザの機器101は、入力された地図上の位置Z(X座標Y座標)に対し、秘密のパラメータを用い、基準点を中心に角度の分だけ時計回りに回転した位置から移動距離の分だけ移動させるという処理fを行ってZ’を得た後、アクセスパラメータR2をZ’に乗算する。さらに、入力された日時Dに対しアクセスパラメータR1を乗算するという処理を行い、D×R1とZ’×R2とをユーザIDとともにアップロードして、保存事業者のサーバ206に保存させる。
解析事業者Aのサーバ206−1は、保存事業者のサーバ201から、あるユーザIDに対応するZ’×R2の列を取得し、そのユーザIDに対応して受信し記憶しているアクセスパラメータR2の値を読み出して、各Z’×R2をR2で除算し、各Z’を求める。そうすると、解析事業者Aは、隣り合うZ’(i番目のZ’とi+1番目のZ’)間の距離を計算することにより、各間の移動距離を評価結果として求めることができる。
解析事業者Bのサーバ206−2は、保存事業者のサーバ201から、あるユーザIDに対応するD×R1及びZ’×R2の列を取得し、そのユーザIDに対応して受信し記憶しているアクセスパラメータR1及びR2の値を読み出して、各D×R1をR1で除算し、各Z’×R2をR2で除算する。そうすると、解析事業者Bは、i番目のZ’とi+1番目のZ’との間の距離すなわち移動距離を求めることができるだけでなく、i番目のDとi+1番目のDとの間の時間差を求めて、対応する移動距離を除算することにより、各間の移動速度を評価結果として求めることができる。
図11の例では、アクセスパラメータを2つ用意して、時間の情報と距離の情報にそれぞれ乗算したデータを保存するようにし、ある解析事業者には距離だけを計算させるために、距離の情報についての除算が可能なアクセスパラメータを渡し、別の解析事業者には速度を計算させるために、時間の情報についての除算が可能なアクセスパラメータと距離の情報についての除算が可能なアクセスパラメータとを渡している。これにより、解析事業者毎に計算できる情報を限定することができることになる。
なお、図8及び図9の例では、日時をそのままアップロードしていたが、これらの例においても、日時DにアクセスパラメータRを乗算してからアップロードするようにしてもよく、解析に日時の情報が必要な解析事業者にのみ、アクセスパラメータRを渡すように構成することが可能である。
図11の例のように、解析事業者Bの行う解析が、解析事業者Aの行う解析を包含してさらに詳細な解析を行うものである場合、図12に示すような構成をとることも可能である。すなわち、解析事業者Bは、解析事業者Aと同じ解析(上記の例では、距離の計算)を自身で行う代わりに、解析事業者Aから解析結果を受け取って、追加の解析(上記の例では、時間の計算と速度の計算)を行うようにする。
この場合、図12に示すように、解析事業者Aのサーバ207は、図11の解析事業者Aのサーバ206−1と同様にi番目のZ’とi+1番目のZ’との間の距離を計算し、その計算結果(iと移動距離のセット)をユーザIDとともに解析事業者Bのサーバ208へ渡す。
解析事業者Aから上記の計算結果を受け取った解析事業者Bのサーバ208は、保存事業者のサーバ201から、当該ユーザIDに対応するD×R1の列を取得し、そのユーザIDに対応して受信し記憶しているアクセスパラメータR1の値を読み出して、各D×R1をR1で除算し、i番目のDとi+1番目のDとの間の時間差(iと時間差のセット)を求める。そうすると、解析事業者Bは、iとセットになっている移動距離を時間差で除算することにより、移動速度を評価結果として求めることができる。
図12の例では、一つのサービス事業者へ、解析事業者Bから移動距離及び移動速度の2つの評価結果を提供しているが、一つのサービス事業者へ、解析事業者Aから移動距離の評価結果を、解析事業者Bから移動速度の評価結果を提供するようにしてもよい。あるいは、図12の例において、図11のように、解析事業者Aから移動距離の評価結果を受けてサービスAを提供するサービス事業者Aと、解析事業者Bから移動速度の評価結果を受けてサービスBを提供するサービス事業者Bとを設けることも可能である。
図13には、解析事業者Aのサーバ209−1と、解析事業者Bのサーバ209−2とが、それぞれ独立に解析を行う例を示す。図13の例では、解析事業者Aの行う解析と解析事業者Bの行う解析とは、包含関係にはなく、互いに異なる内容となっている。
図13の例におけるユーザの機器101は、秘密のパラメータとして、商品毎に定めた商品パラメータを記憶している。ここでは、商品は、商品に附されたバーコードにより特定されるものとする。分類IDとメーカーIDと商品コードは、バーコードから求めることのできる情報であるが、同じバーコードからユーザによって異なる値が求まるように構成することにより、分類IDとメーカーIDと商品コードとを公開しても商品が特定されないようにする(これらの情報とバーコードとの対応を秘密のパラメータとする)ことが可能である。
図13のユーザの機器101はまた、アクセスパラメータとして、分類毎に定めた分類パラメータ及び各分類IDが意味する分類名を含む分類テーブルと、各メーカーIDが意味するメーカー名を含むメーカーテーブルと、購入日に対するRとを記憶している。
ユーザが商品を購入すると、その商品の購入日時、バーコード、購入単価及び購入個数が、データとしてユーザの機器101に入力される。例えば、ポイントカード等のICカードをユーザの機器101として、店舗のレジが、リーダーで読み取った商品のバーコードと単価及び個数を、ユーザのポイントカードに入力し、ポイントカード内部に記憶されている秘密のパラメータ及びアクセスパラメータを利用して、ポイントカード内部で単価'と個数'の計算等を行う。
具体的には、ユーザの機器101(上記の例では、ポイントカード)は、単価を(分類パラメータ×商品パラメータ)で除算して単価’を求め、個数に商品パラメータを乗算して個数’を求めるという変換処理と、バーコードから分類IDとメーカーIDと商品コードとを求める変換処理と、購入日時にRを乗算する変換処理とを行う。そして、ユーザIDと、購入日時×Rと、「分類ID、メーカーID、商品コード、単価’、個数’」から成るレコードとを、保存事業者のサーバ201へアップロードし、保存させる。
この保存されたデータからは、ある分類の中のどこかのメーカー製の何かの商品を購入したことは分かるが、その分類が何で、商品が何か、どこのメーカー製か、その商品の単価が何円か、購入したのが何個かは、いずれも分からないし、たとえ単価’×個数’という計算をして商品パラメータを乗除算により消し込んだとしても、さらに分類パラメータで除算されているために、その商品についての購入金額が何円かという情報を解析により得ることもできない。
上記の分類パラメータの値と、分類IDの意味する分類が何であるかの情報とは、ユーザが所有する分類テーブルに含まれる情報であり、この分類テーブルの情報が、アクセスパラメータとして、ユーザIDとともに解析事業者A、Bのサーバ209−1、209−2へ渡される。
解析事業者Aのサーバ209−1では、上記の分類テーブルに加えて、ユーザが所有する購入日時に対するRの値も、アクセスパラメータとして受け取って記憶する。そうすると、保存事業者のサーバ201から、購入日時×Rを取得し、アクセスパラメータRで除算することにより、各レコードについての購入日時を知ることができるため、保存事業者のサーバ201から取得したレコードのうち、購入日時が所定の条件を満たす(例えば、指定された月内である、指定された時間帯である等の)レコードについて、分類ID毎に単価’×個数’の合計を求め、その合計に当該分類IDの分類パラメータを乗算することにより、当該分類IDに属する商品を合計いくら購入したかを計算することができるとともに、当該分類IDの意味する分類が何であるかも知ることができる。よって、解析事業者Aは、指定された日時の条件を満たす範囲での分類毎の出費を評価結果として、サービス事業者へ渡すことができ、ユーザにマイ家計簿サービスを提供することができる。
解析事業者Bのサーバ209−2では、上記の分類テーブルに加えて、ユーザが所有するメーカーテーブルの情報も、アクセスパラメータとして受け取って記憶する。そうすると、保存事業者のサーバ201から取得したひとかたまりの(例えば、1ヶ月分の)レコードについて、各分類IDの意味する分類名と各メーカーIDの意味するメーカー名とを知った上で、分類IDとメーカーIDとの組合せ毎に、単価’×個数’の合計を求め、子の合計に各々の分類IDの分類パラメータを乗算することにより、その分類に属する商品をメーカー別に合計いくら購入したかを計算することができる。よって、解析事業者Bは、ある期間における分類毎の出費をさらにメーカー別に分けた評価結果を、サービス事業者へ渡すことができ、ユーザにマイ家計簿サービスを提供することができる。
解析事業者Bのサーバ209−2は、ユーザID毎に、ある期間における分類毎の出費をさらにメーカー別に分けた評価結果を求めた後、さらに、分類毎且つメーカー別の出費を全てのユーザについて合計し、各々の分類において人気のある(売上金額の多い)メーカーのランキングを作成するようなこともできる。サービス事業者は、このような解析事業者Bによるランキングを、レコメンド情報としてユーザに提供してもよいし、調査情報としてメーカーに提供してもよい。後者の場合、サービス提供への対価としてサービス事業者に利用料を支払う(その一部が、解析事業者や保存事業者に分配される)者を、ユーザではなくメーカーとしてもよい。
図13では、解析事業者Aによる解析に基づくサービスAと、解析事業者Bによる解析に基づくサービスBとが、一つのサービス事業者のサーバ300から提供されるように構成されているが、サービス事業者Aのサーバ300−1がユーザにサービスAを提供し、サービス事業者Bのサーバ300−2がユーザにサービスBを提供するように構成することも可能である。特に、上述したように、サービスA(毎月の分類毎の出費についての情報提供)がユーザに対するサービスであり、サービスB(各分類におけるメーカー毎の売上額についての情報提供)がメーカーに対するサービスであるような場合、サービス事業者Aとサービス事業者Bとが別々に存在することが想定される。
なお、図13の例では、いずれの解析事業者においても、商品コードの情報が解析に用いられることはなく、解析事業者Aにおいては、メーカーIDの情報も解析に用いられないから、保存事業者のサーバから解析事業者Aのサーバへレコードを渡す際に、メーカーID及び商品コードの項目は外して渡し、保存事業者のサーバから解析事業者Bのサーバへレコードを渡す際に、商品コードの項目は外して渡すようにしてもよい。ユーザ本人がクラウド上に預けたデータをダウンロードして、より詳細な家計簿アプリケーションを動作させる際には、分類IDとメーカーIDと商品コードとをキーとして秘密の商品パラメータ及びバーコードを読み出すことにより、分類毎よりも詳細な商品を特定して分析を行ったり、単価や個数の情報を復元して分析を行ったりすることができる。
図14には、複数の解析事業者のサーバ205−1、205−2、…、205−nが、それぞれ独立に解析を行う例を示す。図13の例では、分類IDとメーカーIDと商品コードとからバーコードを求める(商品を特定する)ことができないように、これらの情報とバーコードとの対応をユーザ本人しか知らない秘密としていたが、図14の例では、これを商品テーブルとして、限られた範囲の解析事業者のみに開示するアクセスパラメータとしている。
図13の例においては、解析事業者Aは、保存事業者のサーバに保存されたデータのうちメーカーIDという項目を使わず、アクセスパラメータのうちメーカーテーブルを使わないようにし、解析事業者Bは、保存事業者のサーバに保存されたデータのうち購入日時という項目を使わず、アクセスパラメータのうち購入日時に対するRを使わないようにすることで、解析事業者毎に計算できる情報が限定されている。
これに対し、図14の例においては、解析事業者Aは、保存事業者のサーバに保存されたデータのうちメーカーIDがメーカーAを示しているデータのみを使い、アクセスパラメータである商品テーブルのうちメーカーIDがメーカーAとなっているエントリのみを使うようにし、解析事業者Bは、保存事業者のサーバに保存されたデータのうちメーカーIDがメーカーBを示しているデータのみを使い、アクセスパラメータである商品テーブルのうちメーカーIDがメーカーBとなっているエントリのみを使うようにすることで、解析事業者毎に計算できる情報が限定される。
つまり、図14の例では、解析事業者に渡されるアクセスパラメータに、商品の特定が可能なパラメータ(商品コード:商品名)である商品テーブルも含まれるため、解析事業者は、どの商品がどれくらい売れたのかを集計することができる。但し、図14に示すように、複数の解析事業者のサーバ205−1、205−2、…、205−nが、メーカー毎に解析を行う事業者が異なるように設けられ、アクセスパラメータとして商品テーブルを渡す際に、当該解析事業者が対象とするメーカーについてのパラメータしか渡さないようにする。
これにより、図14の各解析事業者は、自身が担当するメーカーについては、商品毎の売上額という詳細な情報を得ることができるが、それ以外のメーカーについては、あくまでも分類毎という概要の情報しか得ることができないことになる。しかも、解析事業者は、ユーザIDからユーザ個人を特定することができないため、誰の購入履歴なのか把握することはできず、メーカー毎に解析事業者が分離されることと相俟って、データの安全性を保ちつつ詳細な解析を行うことが可能である。
図14の解析によるサービス提供としては、各解析事業者がユーザID毎に上述した商品毎の解析を行い、全てのメーカーについての解析結果を当該ユーザIDのユーザに提供してもよいし、各解析事業者が上述した商品毎の解析結果を全てのユーザについて合計して、その結果を自身が担当するメーカーに提供してもよい。図14には、一つのサービス事業者のサーバ300がサービス提供を行う構成が示されているが、複数のサービス事業者のサーバ300−1、300−2、…、300−nを、メーカー毎(解析事業者毎)にサービス提供を行う事業者が異なるように設けてもよい。
図15には、秘密のパラメータ及びアクセスパラメータを、ユーザの機器内に保持する代わりに、信用できる第三者機関で管理させるための構成の一例を示す。これは、図14の例のように、マッピングテーブルが膨大になりポイントカードでは全てを保存できない可能性があったり、新しい商品が追加された際に個人がマッピングテーブルを管理していると更新が難しい可能性があったりする場合に、特に有用である。
図1〜14においてユーザの機器が保持するものとして説明した秘密のパラメータ及びアクセスパラメータは全て、図15における第三者機関のサーバに保持することができる。その場合、ユーザの機器は、秘密パラメータやアクセスパラメータを用いた処理をする際に、第三者機関のサーバからこれらを取得し、解析事業者のサーバは、アクセスパラメータを用いた解析をする際に、第三者機関のサーバから必要なアクセスパラメータを取得する。第三者機関で一元管理することで、上記の問題を解消することができるし、秘密のパラメータを第三者機関が保持していても、保存事業者と分離していれば、情報漏洩リスクを低くすることは可能である。
以下には、図16を参照しながら、ユーザの機器で行われる変換処理(可逆関数)を定める手法の一例を示す。
まず、クラウド上で管理するプライバシを含む情報と、それを利用して解析したいこととを特定する。“pay as you drive”の例では、プライバシ情報はX座標Y座標であり、解析したいことは単位時間毎の移動距離の計算である。ヘルスケアの例では、プライバシ情報は身長と体重であり、解析したいことはBMIの計算である。マイ家計簿の例では、プライバシ情報は商品の購入履歴であり、解析したいことは月間購入内訳(分類別)である。
そして、解析に必要な計算方式からプライバシ情報を隠蔽するための可逆関数を導き出す。“pay as you drive”の例では、相対距離が計算できればよく、X座標Y座標がそのものの場所を示さなくても基準とする点が同じなら用が足りるから、X座標Y座標の絶対位置をあるルール(ユーザ本人しか知らない秘密のパラメータ)でずらすこととする。ヘルスケアの例では、BMIが計算できればよく、身長や体重がわからなくても計算によってBMIが導き出せれば用が足りるから、BMIを計算するとランダムな値(ユーザ本人しか知らない秘密のパラメータ)が消えるように、身長と体重のそれぞれをランダムな値で処理することとする。マイ家計簿の例では、毎月の購入履歴から分類毎に合計を計算できればよく、単価や数量がわからなくても合計金額は単価×数量なので、この計算によって商品の分類毎の合計値が導き出せれば用が足りるから、同じ乱数(ユーザ本人しか知らない秘密のパラメータ)を使って単価/乱数、数量×乱数に変換することとする。
つまり、解析のための計算によってプライバシ情報を隠蔽するために行った関数変換が消えるように、特定の解析手法及び扱うプライバシ情報に合わせて、変換処理の内容を定める。
また、アクセスパラメータは、可逆関数の計算方法の一つの過程と捉えてもよい。具体的には、可逆関数で取得した結果に対してアクセスパラメータを乗除算もしくは加減算すればよい。マイ家計簿の例では、敵対者が単価/乱数、数量×乱数のデータを入手して単価×数量の計算をしても正しい解析結果(合計金額)が得られないように、秘密のパラメータとは別の乱数(アクセスパラメータ)で、単価と数量のうちの一方を除算しておく。除算した場合は、解析の際にアクセスパラメータを乗算すればよいし、乗算した場合は、解析の際にアクセスパラメータで除算すればよい。加減算でも同様である。
上述したように、秘密にすべきデータと解析に必要な計算方法が決まっていれば、図16に示す変換方式を組み合わせることで、可逆関数を定めることが可能である。図16におけるαが、秘密のパラメータとなり、図16におけるrが、アクセスパラメータとなる。
さらに、図16におけるαの桁数や変換を組み合わせることで、変換される桁数や回数が多くなるほど、総当たり方式で秘密のαを解析する全数探索(Brute Force方式)での解読に時間を要することとなり、可逆関数の安全性の強度を強めることが可能になる。
また、アクセスパラメータの利点として、情報漏洩のリスク分散と解析の多様化があることは上述したとおりであるが、アクセスパラメータを可逆関数の変数の一部として捉えると、単純に変換の回数が増えることにより安全性が向上するという利点もある。例えば、元データの値を10として、秘密のパラメータα=40231327を乗算するだけでなくアクセスパラメータr=349832を乗算した上で保存しておけば、ユーザ本人以外はαを知らず、ユーザ本人及び解析事業者以外はrを知らないため、αとrの2回変換をしたことになり、その分、安全性が増すことになる。
図17は、BMIを例にとって、従来技術における匿名化アプローチやPPDMと、本実施形態の方式との相違を示している。例えば、匿名化アプローチにより、名前等の個人を特定する情報を削除しても、身長と体重の変化(例えば、最近20kgやせた等)の情報があれば、フィットネスクラブでの測定結果などと照らし合わせて、本人が特定できてしまう可能性があるし、身長や体重の値をどの範囲に入るかでグループ化すると、BMIの値が正確に導き出せなくなってしまう。また、PPDMでは、A社(Alice)とB社(Bob)が、それぞれがオリジナルデータDA、DBを保持しているため、DA、DBのどちらかでデータ漏洩があると、プライバシ情報の漏洩につながってしまうリスクがある。
それに対して、本実施形態の方式によれば、データを変換することで、プライバシ情報を含まない状態で保存するようにしており、複数のプレーヤーの1ヶ所を破られても元のデータを復元することができないため、漏洩によるリスクを減らすことが可能である。さらに、データを部分的に切り落としているわけではないので、ユーザ本人は元のデータを復元することができ、解析においては正確な計算結果(BMIの値)を得ることが可能である。また、解析内容に応じた可逆関数を利用することで、暗号化アプローチのような膨大な計算コストをかけずに、計算結果を得ることを可能にしている。
以上詳述したように、本方式によれば、データを定期的にネット上にアップロードして保存することができるため、ユーザの手元の装置に保存しておく必要がなく、そのネット上のデータは、プライバシ情報を秘匿とした状態で保存されるから、ネット上から情報流出があってもプライバシは守られる。このようにプライバシを秘匿するように変換されたデータでありながら、第三者が変換後のデータを利用して特定の加工や分析をすることができ、ユーザ本人はいつでも元のデータにアクセスして付加価値の高い情報を生成することができる。 また、アクセスパラメータを設定することにより、特定の第三者のみが秘匿されているデータから特定の意味ある結果を得ることが可能になる。
以上、本発明の実施形態について例示的に説明したが、上述の実施形態を本発明の範囲内で当業者が種々に変形、応用して実施できることは勿論である。

Claims (25)

  1. ネットワーク経由でユーザの装置に接続され、該装置からユーザ個人に属するデータを継続的に受信して保存するための第1のサーバと、
    前記第1のサーバに保存されているデータに基づくサービスを前記ユーザに提供するための第2のサーバと、を含むサービス提供システムであって、
    前記サービスは、前記ユーザ個人に属する二つ以上の情報項目に基づく解析の結果を用いて提供されるものであり、
    前記装置から前記第1のサーバに受信されて保存されるデータは、前記装置において、前記二つ以上の情報項目について入力されたデータの少なくとも一部の各々に対し前記ユーザの有する秘密のパラメータを用いた処理を施した後のデータであり、
    前記第1のサーバに保存されたデータに対して前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理の内容が定められており、前記サービス提供システムにおいて前記秘密のパラメータを用いることなく前記解析が行われることを特徴とする、サービス提供システム。
  2. 前記第1のサーバは、ユーザからの要求に応じて、保存されている該ユーザ個人に属するデータを送信する手段を備え、
    前記ユーザは、前記第1のサーバから送信されたデータに対して前記処理と逆の処理を前記秘密のパラメータを用いて施すことにより、前記装置において入力されたデータを復元可能である、請求項1に記載のサービス提供システム。
  3. 前記第1のサーバと、前記第2のサーバとは、異なる事業者により運用され、
    前記解析は、前記第1のサーバを運用する事業者のコンピュータにより行われ、
    前記第2のサーバは、前記解析の結果を受信して、該結果を用いたサービスを提供するものである、請求項1に記載のサービス提供システム。
  4. 前記サービスの提供を受けるユーザ個人を特定する情報の管理は、前記第2のサーバを運用する事業者のコンピュータにより行われ、該コンピュータは、該情報が管理されるユーザに対してIDを発行する手段を備え、
    前記第1のサーバは、前記IDとともに前記ユーザ個人に属するデータを受信し、
    前記保存及び前記解析の対象となるデータ及び前記解析の結果は、前記IDに従って管理される、請求項3に記載のサービス提供システム。
  5. 前記装置から前記第1のサーバに受信されて保存されるデータは、前記装置において、前記秘密のパラメータを用いた処理が施される情報項目の少なくとも一部についてのデータに対しさらに前記ユーザの有する追加のパラメータを用いた追加の処理を施した後のデータであり、
    前記サービス提供システムは、前記解析のために、前記装置で用いられた前記追加のパラメータを受信する手段を備え、
    前記第1のサーバに保存されたデータに対して前記追加のパラメータを用いる追加の解析を含む前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理及び前記追加の処理の内容が定められており、前記サービス提供システムにおいて前記秘密のパラメータを用いることなく前記解析が行われる、請求項1に記載のサービス提供システム。
  6. 前記装置から前記第1のサーバに受信されて保存されるデータは、前記装置において、前記秘密のパラメータを用いた処理が施されない情報項目についてのデータに対し前記ユーザの有する追加のパラメータを用いた追加の処理を施した後のデータであり、
    前記サービス提供システムは、前記解析のために、前記装置で用いられた前記追加のパラメータを受信する手段を備え、
    前記第1のサーバに保存されたデータに対して前記追加のパラメータを用いる追加の解析を含む前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理及び前記追加の処理の内容が定められており、前記サービス提供システムにおいて前記秘密のパラメータを用いることなく前記解析が行われる、請求項1に記載のサービス提供システム。
  7. 前記第1のサーバと、前記第2のサーバとは、異なる事業者により運用され、
    前記解析は、前記第2のサーバを運用する事業者のコンピュータにより行われ、
    前記第2のサーバは、前記第1のサーバに保存されているデータを受信し、前記装置で用いられた前記追加のパラメータを受信して、前記解析を行い、該解析の結果を用いたサービスを提供するものである、請求項5又は6に記載のサービス提供システム。
  8. 前記サービス提供システムは、前記解析を行うための第3のサーバを、さらに含み、
    前記第1のサーバと、前記第2のサーバと、前記第3のサーバとは、それぞれ、異なる事業者により運用され、
    前記第3のサーバは、前記第1のサーバに保存されているデータを受信し、前記装置で用いられた前記追加のパラメータを受信して、前記解析を行うものであり、
    前記第2のサーバは、前記解析の結果を受信して、該結果を用いたサービスを提供するものである、請求項5又は6に記載のサービス提供システム。
  9. 前記サービスは、前記秘密のパラメータを用いた処理が施される情報項目に基づく解析の結果を用いる第1のサービスと、該解析の結果に加えて前記追加のパラメータを用いた追加の処理が施される情報項目に基づく追加の解析の結果を用いる第2のサービスと、を含み、
    前記サービス提供システムは、前記第1のサービス用の解析を行うための第3のサーバと、前記第2のサービス用の解析を行うための第4のサーバと、をさらに含み、
    前記第3のサーバと、前記第4のサーバとは、異なる事業者により運用され、
    前記第4のサーバが、前記装置で用いられた前記追加のパラメータを受信する手段を備える、請求項6に記載のサービス提供システム。
  10. 前記サービスは、前記二つ以上の情報項目のうちの少なくとも一部に基づく第1の解析の結果を用いるものと、前記二つ以上の情報項目のうちの別の一部に基づく第2の解析の結果を用いるものと、を含み、
    前記第1の解析の基となる情報項目についてのデータに対しては前記ユーザの有する第1の追加のパラメータを用いた追加の処理が施されており、前記第2の解析の基となる情報項目についてのデータに対しては前記ユーザの有する第2の追加のパラメータを用いた追加の処理が施されている、請求項6に記載のサービス提供システム。
  11. 前記サービスは、前記二つ以上の情報項目のうちの一つが第1のグループに属するデータに対する第1の解析の結果を用いるものと、前記二つ以上の情報項目のうちの一つが第2のグループに属するデータに対する第2の解析の結果を用いるものと、を含み、
    前記第1の解析の対象となるデータに対しては前記ユーザの有する第1の追加のパラメータを用いた追加の処理が施されており、前記第2の解析の対象となるデータに対しては前記ユーザの有する第2の追加のパラメータを用いた追加の処理が施されている、請求項6に記載のサービス提供システム。
  12. 前記サービス提供システムは、前記第1の解析を行うための第3のサーバと、前記第2の解析を行うための第4のサーバと、をさらに含み、
    前記第3のサーバと、前記第4のサーバとは、異なる事業者により運用され、
    前記第3のサーバは、前記第1のサーバに保存されているデータを受信し、前記装置で用いられた前記第1の追加のパラメータを受信して、前記第1の解析を行うものであり、
    前記第4のサーバは、前記第1のサーバに保存されているデータを受信し、前記装置で用いられた前記第2の追加のパラメータを受信して、前記第2の解析を行うものである、請求項10又は11に記載のサービス提供システム。
  13. 前記サービスは、前記ユーザ個人に属する二つ以上の情報項目に基づく解析を複数のユーザについて行った結果を用いて、各々のユーザに提供されるものである、請求項1〜12のいずれか1項に記載のサービス提供システム。
  14. 前記サービス提供システムは、前記ユーザに秘密の一意な値を割り当てる手段を備え、
    前記秘密のパラメータ及び前記追加のパラメータを、前記一意な値から所定のルールに従って生成された乱数とする、請求項5又は6に記載のサービス提供システム。
  15. 前記装置は、前記秘密のパラメータ及び前記追加のパラメータを前記ユーザのために保持するシステム外のサーバから、前記秘密のパラメータ及び前記追加のパラメータを取得して、前記処理を行うものであり、
    前記サービス提供システムは、前記システム外のサーバから前記追加のパラメータを受信するものである、請求項5又は6に記載のサービス提供システム。
  16. 前記二つ以上の情報項目をx、yとして、前記解析が、xとyの乗算、xとyの加算、xiとyiの乗算のiについての総和(iは自然数)、xy座標における2点間の距離のうちのいずれかを含む場合、前記処理はそれぞれ、xをαで除算してyにαを乗算すること(αは前記秘密のパラメータ)、xからαを減算してyにαを加算すること(αは前記秘密のパラメータ)、xiをαiで除算してyiにαiを乗算すること(αiの各々が前記秘密のパラメータ)、各点のx座標をαずらしy座標をβずらすこと(α,βは前記秘密のパラメータ)及び/又は各点のxy座標を基準点を中心にθ回転させること(θは前記秘密のパラメータ)を含むものである、請求項1に記載のサービス提供システム。
  17. 前記二つ以上の情報項目をx、yとして、前記解析が、xとyの乗算、xとyの加算、xiとyiの乗算のiについての総和(iは自然数)、xy座標における2点間の距離のうちのいずれかを含む場合、前記追加の処理はそれぞれ、γをxとyのいずれか一方に乗算又は除算すること(γは前記追加のパラメータ)、γをxとyのいずれか一方に加算又は減算すること(γは前記追加のパラメータ)、γiをxiとyiのいずれか一方に乗算又は除算すること(γiの各々が前記追加のパラメータ)、各点のxy座標をγ倍すること(γは前記追加のパラメータ)を含むものである、請求項5に記載のサービス提供システム。
  18. 前記二つ以上の情報項目をx、yとして、前記解析が、xiとyiの乗算のiについての総和(iは自然数)、又は、xy座標における2点間の距離を含む場合、前記追加の処理は、i又は各点の意味する内容をIDで表すこと(IDから内容を特定するようにする情報が前記追加のパラメータ)を含むものである、請求項6に記載のサービス提供システム。
  19. ユーザの装置から、ネットワーク経由で接続されるサーバへ、ユーザ個人に属するデータを継続的に送信して保存させ、
    前記ユーザ個人に属する二つ以上の情報項目に基づく解析を、前記サーバに保存されているデータに基づいて行い、
    前記解析の結果を用いて、前記ユーザにサービスを提供する、サービス提供方法であって、
    前記装置は、前記二つ以上の情報項目について入力したデータの少なくとも一部の各々に対し前記ユーザの有する秘密のパラメータを用いた処理を施した後のデータを、前記サーバへ送信するものであり、
    前記サーバに保存されたデータに対して前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理の内容が定められており、前記装置から前記秘密のパラメータが出力されることなく、前記解析が行われることを特徴とする、サービス提供方法。
  20. ユーザの装置からネットワーク経由で継続的に受信されるユーザ個人に属するデータを保存するストレージサーバと通信可能なコンピュータに、該データに基づくサービスを前記ユーザに提供するための該データの解析を行わせるプログラムであって、
    前記解析は、前記ユーザ個人に属する二つ以上の情報項目に基づくものであり、
    前記プログラムは、前記コンピュータに、
    前記二つ以上の情報項目について前記装置において入力されたデータの少なくとも一部の各々に対し前記ユーザの有する秘密のパラメータを用いた処理を施した後のデータを、前記装置から受信され前記ストレージサーバに保存されているデータとして、前記ストレージサーバから取得する手段と、
    前記ストレージサーバから取得したデータに対して、前記秘密のパラメータを用いることなく、前記解析を行う手段と、を備えさせるものであり、
    前記ストレージサーバに保存されたデータに対して前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理の内容が定められていることを特徴とする、プログラム。
  21. 前記プログラムは、前記コンピュータに、
    前記サービスの提供を受けるユーザとして個人を特定する情報が管理されている前記ユーザに対して前記サービスを提供するサービスサーバへ、前記解析の結果を送信する手段を、さらに備えさせるものであり、
    前記コンピュータは、前記個人を特定する情報を参照することなく、該情報が管理されているユーザに対して発行されているIDによって、前記ストレージサーバから取得したデータ及び前記サービスサーバへ送信すべき解析の結果を管理する、請求項20に記載のプログラム。
  22. 前記ストレージサーバから取得されるデータは、前記処理に加えて、前記二つ以上の情報項目について前記装置において入力されたデータの一部に対し前記ユーザの有する追加のパラメータを用いた追加の処理を施した後のデータとなっており、
    前記解析を行う手段は、前記ユーザより前記追加のパラメータを取得して、前記ストレージサーバから取得したデータに対して前記追加の処理の逆の処理を施す手段を含む、請求項20又は21に記載のプログラム。
  23. ユーザの装置からユーザ個人に属するデータを継続的に受信して保存し、該データに基づくサービスを前記ユーザに提供するシステムへ、ネットワーク経由で接続可能なコンピュータを、前記装置として機能させるためのプログラムであって、
    前記サービスは、前記ユーザ個人に属する二つ以上の情報項目に基づく解析の結果を用いて提供されるものであり、
    前記プログラムは、前記コンピュータに、
    前記ユーザの有する秘密のパラメータを保持する手段と、
    前記二つ以上の情報項目について入力されたユーザ個人に属するデータの少なくとも一部の各々に対し前記秘密のパラメータを用いた処理を施す手段と、
    前記処理が施された後のデータを、前記システムにおける前記保存を行うサーバへ送信する手段と、を備えさせるものであり、
    前記サーバに保存されたデータに対して前記二つ以上の情報項目に基づく解析を行うと、前記装置において入力されたデータに対して前記二つ以上の情報項目に基づく解析を行ったのと同一の結果が得られるように、前記処理の内容が定められており、前記システムにおいて前記秘密のパラメータを用いることなく前記解析が行われることを特徴とする、プログラム。
  24. 前記プログラムは、前記コンピュータに、
    前記サーバに対し、保存されている前記ユーザ個人に属するデータを送信するように要求する手段と、
    前記要求に応じて送信されたデータに対して前記処理と逆の処理を前記秘密のパラメータを用いて施すことにより、前記入力されたデータを復元する手段と、をさらに備えさせるものである、請求項23に記載のプログラム。
  25. 前記プログラムは、前記コンピュータに、
    前記ユーザの有する追加のパラメータを保持する手段と、
    前記二つ以上の情報項目について入力されたユーザ個人に属するデータの一部に対し、前記処理に加えて又は前記処理とは別に、前記追加のパラメータを用いた追加の処理を施し、前記処理及び前記追加の処理が施された後のデータを、前記サーバへ送信するデータとする手段と、
    前記システムにおける複数のサーバのうち前記追加のパラメータを用いて前記解析を行うサーバを選択して、該サーバへ前記追加のパラメータを送信する手段と、をさらに備えさせるものである、請求項23又は24に記載のプログラム。

JP2012263366A 2012-11-30 2012-11-30 サービス提供システム Pending JP2014109647A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2012263366A JP2014109647A (ja) 2012-11-30 2012-11-30 サービス提供システム
US14/648,151 US20150304331A1 (en) 2012-11-30 2013-11-28 Service provision system
PCT/JP2013/006987 WO2014083854A1 (ja) 2012-11-30 2013-11-28 サービス提供システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012263366A JP2014109647A (ja) 2012-11-30 2012-11-30 サービス提供システム

Publications (1)

Publication Number Publication Date
JP2014109647A true JP2014109647A (ja) 2014-06-12

Family

ID=50827514

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012263366A Pending JP2014109647A (ja) 2012-11-30 2012-11-30 サービス提供システム

Country Status (3)

Country Link
US (1) US20150304331A1 (ja)
JP (1) JP2014109647A (ja)
WO (1) WO2014083854A1 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170048767A (ko) * 2015-10-27 2017-05-10 삼성에스디에스 주식회사 준동형 암호화를 이용한 식별코드 생성 장치 및 그 방법
JP2018519606A (ja) * 2015-12-14 2018-07-19 グーグル エルエルシー 店舗訪問データ作成および管理
WO2019073959A1 (ja) 2017-10-10 2019-04-18 株式会社博報堂Dyホールディングス 情報処理システム、データ提供システム、及び関連する方法
JP2019125883A (ja) * 2018-01-15 2019-07-25 日本電信電話株式会社 電子商取引システム、サービス提供サーバ、第三者機関サーバ、電子商取引方法、およびプログラム
US10657149B2 (en) 2014-08-08 2020-05-19 Hakuhodo Dy Holdings Inc. Information-processing system
US10872353B2 (en) 2015-12-14 2020-12-22 Google Llc Providing content to store visitors without requiring proactive information sharing
JP2022502965A (ja) * 2018-10-04 2022-01-11 タレス・ディス・フランス・エス・ア 少なくとも物理量を測定するように適合されたコネクテッドデバイス
JP7220936B1 (ja) 2022-08-18 2023-02-13 株式会社テクサー 利用者の行動履歴に関する情報を提供する方法、プログラム及びサーバ

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9992231B2 (en) * 2015-12-14 2018-06-05 International Business Machines Corporation Method and apparatus for data protection in cloud-based matching system
US20200133308A1 (en) * 2018-10-18 2020-04-30 Cartica Ai Ltd Vehicle to vehicle (v2v) communication less truck platooning
KR20200059558A (ko) * 2018-11-21 2020-05-29 삼성전자주식회사 사용자 프로파일을 생성하는 장치 및 그 장치를 포함하는 시스템
DE102019205033A1 (de) * 2019-04-09 2020-10-15 Audi Ag Verfahren zum anonymisierten Bereitstellen von Daten eines ersten Fahrzeugs für eine fahrzeugexterne Servereinrichtung sowie Anonymisierungsvorrichtung und Kraftfahrzeug
US10635837B1 (en) 2019-04-30 2020-04-28 HealthBlock, Inc. Dynamic data protection
US20210256162A1 (en) * 2019-04-30 2021-08-19 Enya, Inc. Resource-efficient privacy-preserving transactions
US20220027501A1 (en) * 2020-07-24 2022-01-27 International Business Machines Corporation User privacy for autonomous vehicles
DE102020122894A1 (de) 2020-09-02 2022-03-03 Audi Aktiengesellschaft Bereitstellung von Daten eines Kraftfahrzeugs
DE102020122895B3 (de) 2020-09-02 2022-01-13 Audi Aktiengesellschaft Bereitstellung von Daten eines Kraftfahrzeugs

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001076035A (ja) * 1999-08-31 2001-03-23 Hitachi Ltd 車両保険料請求処理方法
CA2341979A1 (en) * 2000-03-24 2001-09-24 Contentguard Holdings, Inc. System and method for protection of digital works
JP4597867B2 (ja) * 2003-12-08 2010-12-15 石井 美恵子 プライバシー保護方法、プライバシー保護用識別子発信装置、プライバシー保護システムおよびプログラム
KR100781301B1 (ko) * 2004-08-05 2007-11-30 주식회사 모빌리언스 VoIP 환경에서 사용자인증을 지원하는 결제시스템 및그 결제방법
JP2006293563A (ja) * 2005-04-07 2006-10-26 Pola Chem Ind Inc 美容情報提供システム
US8135391B2 (en) * 2009-02-06 2012-03-13 Research In Motion Limited Mobile device with enhanced telephone call information and a method of using same
JP5382599B2 (ja) * 2009-12-11 2014-01-08 敦志 田代 秘匿化アドレスマッチング処理システム

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10657149B2 (en) 2014-08-08 2020-05-19 Hakuhodo Dy Holdings Inc. Information-processing system
KR102464357B1 (ko) * 2015-10-27 2022-11-04 삼성에스디에스 주식회사 준동형 암호화를 이용한 식별코드 생성 장치 및 그 방법
KR20170048767A (ko) * 2015-10-27 2017-05-10 삼성에스디에스 주식회사 준동형 암호화를 이용한 식별코드 생성 장치 및 그 방법
US11049122B2 (en) 2015-12-14 2021-06-29 Google Llc Store visit data creation and management
US10592913B2 (en) 2015-12-14 2020-03-17 Google Llc Store visit data creation and management
US10621603B2 (en) 2015-12-14 2020-04-14 Google Llc Store visit data creation and management
US10872353B2 (en) 2015-12-14 2020-12-22 Google Llc Providing content to store visitors without requiring proactive information sharing
US11397958B2 (en) 2015-12-14 2022-07-26 Google Llc Store visit data creation and management
JP2018519606A (ja) * 2015-12-14 2018-07-19 グーグル エルエルシー 店舗訪問データ作成および管理
WO2019073959A1 (ja) 2017-10-10 2019-04-18 株式会社博報堂Dyホールディングス 情報処理システム、データ提供システム、及び関連する方法
US11593513B2 (en) 2017-10-10 2023-02-28 Hakuhodo Dy Holdings Inc. Information processing system, data provision system, and related method
JP2019125883A (ja) * 2018-01-15 2019-07-25 日本電信電話株式会社 電子商取引システム、サービス提供サーバ、第三者機関サーバ、電子商取引方法、およびプログラム
JP2022502965A (ja) * 2018-10-04 2022-01-11 タレス・ディス・フランス・エス・ア 少なくとも物理量を測定するように適合されたコネクテッドデバイス
JP7220936B1 (ja) 2022-08-18 2023-02-13 株式会社テクサー 利用者の行動履歴に関する情報を提供する方法、プログラム及びサーバ
WO2024038695A1 (ja) * 2022-08-18 2024-02-22 株式会社テクサー 利用者の行動履歴に関する情報を提供する方法、サーバ及びコンピュータ読み取り可能な記録媒体
JP2024027626A (ja) * 2022-08-18 2024-03-01 株式会社テクサー 利用者の行動履歴に関する情報を提供する方法、プログラム及びサーバ

Also Published As

Publication number Publication date
WO2014083854A1 (ja) 2014-06-05
US20150304331A1 (en) 2015-10-22

Similar Documents

Publication Publication Date Title
WO2014083854A1 (ja) サービス提供システム
US11361317B2 (en) Validating a customer in an electronic transaction
US20090157560A1 (en) Information banking and monetization of personal information
US20130339188A1 (en) Gift token
US8544103B2 (en) Policy determined accuracy of transmitted information
US20140289047A1 (en) Selective banner ad display
WO2011043810A1 (en) Systems and methods for providing and commercially exploiting online persona validation
KR102260580B1 (ko) 블록체인 플랫폼 기반의 광고 시스템 및 광고 제공 방법
US20210390625A1 (en) Data Processing System for Secure Data Sharing and Customized Output Generation
EP3857411A1 (en) System, devices, and methods for acquiring and verifying online information
CN106687948B (zh) 个人局域网络
US20210365968A1 (en) System, devices, and methods for acquiring and verifying online information
US20150169692A1 (en) System and method for acquiring and integrating multi-source information for advanced analystics and visualization
GB2533171A (en) Apparatus, system and method
US20150244779A1 (en) Distributed personal analytics, broker and processing systems and methods
Roth et al. Are sensor-based business models a threat to privacy? the case of pay-how-you-drive insurance models
Aly et al. On the value of spatiotemporal information: Principles and scenarios
Suo et al. Driving Data Dissemination: The" Term" Governing Connected Car Information
Turner When Big Data Meets Big Brother: Why Courts Should Apply United States v. Jones to Protect People's Data
EP4195140A1 (en) Terminal device, information processing system, and program
Murati et al. Location data privacy on MaaS under GDPR
CN114119060A (zh) 信息处理系统、信息处理方法以及非临时性存储介质
JP2013210933A (ja) リコメンド支援方法、リコメンド支援装置及びプログラム
US20210350369A1 (en) Digital Ticket System And Method
Wilson et al. Smarter cities, smarter regulations: a case for the algorithmic regulation of platform-based sharing economy firms