JP2014191431A - 匿名化システム、所持装置、匿名化装置、利用者装置、匿名化方法、およびプログラム - Google Patents
匿名化システム、所持装置、匿名化装置、利用者装置、匿名化方法、およびプログラム Download PDFInfo
- Publication number
- JP2014191431A JP2014191431A JP2013064230A JP2013064230A JP2014191431A JP 2014191431 A JP2014191431 A JP 2014191431A JP 2013064230 A JP2013064230 A JP 2013064230A JP 2013064230 A JP2013064230 A JP 2013064230A JP 2014191431 A JP2014191431 A JP 2014191431A
- Authority
- JP
- Japan
- Prior art keywords
- anonymization
- information
- unit
- individual
- division
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】個体情報に含まれる属性情報が多くても、情報の精度を損ねない。
【解決手段】所持装置1は、少なくとも1個の個体に関する複数の属性情報を含む個体情報を記憶している。所持装置1は、個体情報を前記属性情報単位で分割して分割情報を生成する。所持装置1は、分割情報を匿名化装置3へ分配する。利用者装置5は、所望の属性情報を匿名化した匿名化情報を匿名化装置3へ要求する。匿名化装置3は、利用者装置5からの要求に応じて分割情報を匿名化して匿名化分割情報を生成する。匿名化装置3は、匿名化分割情報を利用者装置5へ出力する。利用者装置5は、匿名化分割情報を統合して匿名化情報を生成する。
【選択図】図1
【解決手段】所持装置1は、少なくとも1個の個体に関する複数の属性情報を含む個体情報を記憶している。所持装置1は、個体情報を前記属性情報単位で分割して分割情報を生成する。所持装置1は、分割情報を匿名化装置3へ分配する。利用者装置5は、所望の属性情報を匿名化した匿名化情報を匿名化装置3へ要求する。匿名化装置3は、利用者装置5からの要求に応じて分割情報を匿名化して匿名化分割情報を生成する。匿名化装置3は、匿名化分割情報を利用者装置5へ出力する。利用者装置5は、匿名化分割情報を統合して匿名化情報を生成する。
【選択図】図1
Description
この発明は、情報分析の分野においてプライバシー保護の観点から情報と個体との対応関係を秘匿する匿名化技術に関し、特に、情報に含まれる属性情報が多くても匿名化の精度を損ねない匿名化技術に関する。
近年、情報の電子化とインターネットの普及により、多種多様な個体情報を蓄積した大規模なデータベースの構築が行われている。これらの個人や団体等の個体に関する情報を分析等に利用する際に、プライバシー保護の観点から、それらの情報の利用主体に対して情報と個体との対応関係を秘匿するために匿名化処理がしばしば用いられる。
匿名化処理とはより具体的には以下のような情報処理である。M,Nを整数として、M個の個体Ei(i=1,…,M)に関するN個の属性情報vi,j(j=1,…,N)を所持主体Xが所持しており、この属性情報vi,jを利用主体Zが利用する場面を考える。所持主体Xは、個体情報Vi=(vi,1,…,vi,N)が個体Eiに関する情報であることを秘匿するために、個体情報Viの少なくとも一部の属性情報vi,jを加工(変換、置換、削除等)して匿名化情報V’iを生成する。所持主体Xは個体情報Viの匿名化情報V’iを利用主体Zに提供する。なお、匿名化には程度があり、個体Eiと匿名化情報V’iとの対応関係の秘匿が無条件に保証されるものではない。
匿名化の例として、k-匿名化(非特許文献1)やPk-匿名化(非特許文献2)が知られている。k-匿名化は、個体Eiに関する情報が個体情報V1,…,VMのどれかk個未満に絞り込めないように個体情報V1,…,VMを匿名化する手法であり、データの削除や一般化(例えば、「年齢」を「年代」に変換するなど)を行う。Pk-匿名化は、個体Eiに関する情報が個体情報V1,…,VMのどれであるかを1/k以上の確率で推定できないように個体情報V1,…,VMを匿名化する手法であり、データを確率的に別のデータに変換して個体Eiと個体情報V’iとの対応関係を撹乱する。
L.Sweeney, "k-anonymity: a model for protecting privacy" International Journal on Uncertainty, Fuzziness and Knowledge-based systems, 10(5), pp.557-570, 2002.
五十嵐,千田,高橋,"数値属性における, k-匿名性を満たすランダム化手法", コンピュータセキュリティシンポジウム2011論文集, 2011(3), pp.450-455, 2011.
匿名化情報は元の個体情報と比べ情報の精度が落ちる場合がある。k-匿名化では、例えば年齢が年代に一般化されれば年齢ごとの分析が行えなくなる。Pk-匿名化では、例えば年齢が確率的に別のデータに変換されれば年齢を用いた分析結果に誤差が生じることになる。特に、k-匿名化やPk-匿名化では、個体情報に含まれる属性情報が増えるほど(すなわちNが大きくなるほど)、匿名化情報からその情報に紐づく個体が一意に特定されやすくなるため、データの加工の度合いを高める必要がある。その結果、情報の精度は低下し、詳細な情報の分析が困難になる。
この発明の目的は、個体情報に含まれる属性情報が多くても、情報の精度をなるべく損ねない匿名化情報を求めることができる匿名化技術を提供することである。
上記の課題を解決するために、この発明の匿名化システムは、少なくとも1個の所持装置と複数の匿名化装置と少なくとも1個の利用者装置とを含む。所持装置は、少なくとも1個の個体に関する複数の属性情報を含む個体情報を記憶する記憶部と、個体情報を属性情報単位で分割して分割情報を生成する分割部と、分割情報を匿名化装置へ分配する分配部とを含む。匿名化装置は、利用者装置からの要求に応じて分割情報を匿名化して匿名化分割情報を生成する匿名化部と、匿名化分割情報を利用者装置へ出力する応答部とを含む。利用者装置は、所望の属性情報を匿名化した匿名化情報を匿名化装置へ要求する要求部と、匿名化分割情報を統合して匿名化情報を生成する統合部とを含む。
この発明の匿名化システムは、複数の匿名化装置に属性情報単位で分割して匿名化処理を行う。すなわち、個体情報全体としての属性情報が多くても、各匿名化装置が実行する匿名化処理では属性情報の数を抑えることができる。これにより、匿名化の強度を低くすることができ情報の精度を高くすることが可能となる。
したがって、この発明によれば、個体情報に含まれる属性情報が多くても、情報の精度をなるべく損ねない匿名化情報を求めることができる。
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
[第一実施形態]
この発明の第一実施形態に係る匿名化システムは、個体情報を属性単位に複数に分割し、複数の匿名化装置に分散して匿名化処理を実行する。このような構成とすることで1個の匿名化装置で匿名化処理を実行する従来の匿名化システムよりも情報の精度が高くなることが期待できる。また、各匿名化主体に開示する情報が少なくて済むため、例えば匿名化処理を組織外の主体に委託する場合などにセキュリティを向上することができる。
この発明の第一実施形態に係る匿名化システムは、個体情報を属性単位に複数に分割し、複数の匿名化装置に分散して匿名化処理を実行する。このような構成とすることで1個の匿名化装置で匿名化処理を実行する従来の匿名化システムよりも情報の精度が高くなることが期待できる。また、各匿名化主体に開示する情報が少なくて済むため、例えば匿名化処理を組織外の主体に委託する場合などにセキュリティを向上することができる。
<構成>
図1を参照して、第一実施形態の匿名化システム10の機能構成例を説明する。匿名化システム10は所持装置1とN(≧2)個の匿名化装置31,…,3Nと少なくとも1個の利用者装置5を含む。所持装置1と匿名化装置31,…,3Nと利用者装置5はネットワーク9に接続される。ネットワーク9は、所持装置1と匿名化装置31,…,3Nそれぞれと利用者装置5とが相互に通信可能なように構成されていればよく、例えばインターネットやLAN、WANなどで構成することができる。また、所持装置1と匿名化装置31,…,3Nそれぞれと利用者装置5とは必ずしもネットワークを介してオンラインで通信可能である必要はない。例えば、所持装置1が出力する情報をUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体からいずれかの匿名化装置31,…,3Nへオフラインで入力するように構成してもよい。その他の装置間でのデータの入出力も同様であるので、具体的な説明は省略する。
図1を参照して、第一実施形態の匿名化システム10の機能構成例を説明する。匿名化システム10は所持装置1とN(≧2)個の匿名化装置31,…,3Nと少なくとも1個の利用者装置5を含む。所持装置1と匿名化装置31,…,3Nと利用者装置5はネットワーク9に接続される。ネットワーク9は、所持装置1と匿名化装置31,…,3Nそれぞれと利用者装置5とが相互に通信可能なように構成されていればよく、例えばインターネットやLAN、WANなどで構成することができる。また、所持装置1と匿名化装置31,…,3Nそれぞれと利用者装置5とは必ずしもネットワークを介してオンラインで通信可能である必要はない。例えば、所持装置1が出力する情報をUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体からいずれかの匿名化装置31,…,3Nへオフラインで入力するように構成してもよい。その他の装置間でのデータの入出力も同様であるので、具体的な説明は省略する。
図2を参照して、匿名化システム10に含まれる所持装置1の構成例を説明する。所持装置1は、記憶部11と分割部12と分配部13と制御部101とメモリ102を含む。所持装置1は、例えば、中央演算処理装置(Central Processing Unit、CPU)、主記憶装置(Random Access Memory、RAM)等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。所持装置1は制御部101の制御のもとで各処理を実行する。所持装置1に入力されたデータや各処理で得られたデータはメモリ102に格納され、メモリ102に格納されたデータは必要に応じて読み出されて他の処理に利用される。記憶部11は、例えば、RAM(Random Access Memory)などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ(Flash Memory)のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。
図3を参照して、匿名化システム10に含まれる匿名化装置3n(1≦n≦N)の構成例を説明する。匿名化装置3nは、入力部31と記憶部32と匿名化部33と応答部35と制御部301とメモリ302を含む。匿名化装置3nは、例えば、中央演算処理装置(Central Processing Unit、CPU)、主記憶装置(Random Access Memory、RAM)等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。匿名化装置3nは制御部301の制御のもとで各処理を実行する。匿名化装置3nに入力されたデータや各処理で得られたデータはメモリ302に格納され、メモリ302に格納されたデータは必要に応じて読み出されて他の処理に利用される。記憶部32は、例えば、RAM(Random Access Memory)などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ(Flash Memory)のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。
図4を参照して、匿名化システム10に含まれる利用者装置5の構成例を説明する。利用者装置5は、要求部51と取得部52と統合部53と制御部501とメモリ502を含む。利用者装置5は、例えば、中央演算処理装置(Central Processing Unit、CPU)、主記憶装置(Random Access Memory、RAM)等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。利用者装置5は制御部501の制御のもとで各処理を実行する。利用者装置5に入力されたデータや各処理で得られたデータはメモリ502に格納され、メモリ502に格納されたデータは必要に応じて読み出されて他の処理に利用される。
<処理>
図5を参照して、匿名化システム10の実行する匿名化処理の動作例を、実際に行われる手続きの順に従って説明する。
図5を参照して、匿名化システム10の実行する匿名化処理の動作例を、実際に行われる手続きの順に従って説明する。
所持装置1に含まれる記憶部11には、M(≧1)個の個体Ei(i=1,…,M)に関するL(≧2)個の属性情報vi,j(i=1,…,M、j=1,…,L)を含む個体情報Vi(i=1,…,M)が予め記憶されている(ステップS11)。
所持装置1に含まれる分割部12は、記憶部11に記憶されている個体情報Vi(i=1,…,M)を属性単位で分割してN個の分割情報νi,1,…,νi,Nを生成する(ステップS12)。生成した分割情報νi,1,…,νi,Nは分配部13へ入力される。分割情報νi,n(n=1,…,N)に含まれる属性情報vi,jの数は、各属性情報vi,jが取り得る値を考慮して適宜設計すればよい。例えば、個体情報Viに含まれる属性情報vi,jの数Lと匿名化装置3nの個数Nが等しい場合であれば、各分割情報νi,nには1つの属性情報vi,jが含まれるようにして、N(=L)個の分割情報νi,1,…,νi,Nを生成すればよい。また例えば、個体情報Viに含まれる属性情報vi,jの数Lが匿名化装置3nの個数Nの2倍となる場合、すなわちL=2Nであれば、各分割情報νi,nには2つの属性情報vi,jが含まれるようにして、N(=L/2)個の分割情報νi,1,…,νi,Nを生成すればよい。なお、分割情報νi,1,…,νi,Nそれぞれが所持する属性情報の数は等しくなくてもよい。このとき各分割情報νi,nに含まれる属性情報vi,jの組み合わせは任意の組み合わせでよいが、匿名性を向上するためには、各属性情報vi,jの取り得る値の組み合わせ数が全ての分割情報νi,1,…,νi,Nの間でできるだけ均一となることが望ましい。
所持装置1に含まれる分配部13は、分割部12により生成された分割情報νi,1,…,νi,Nを匿名化装置31,…,3Nへ分配する(ステップS13)。
匿名化装置3nに含まれる入力部31へ分割情報νi,nが入力されると、匿名化装置3nは分割情報νi,nを記憶部32へ記憶する(ステップS32)。
利用者装置5に含まれる要求部51は、匿名化装置3nへ所望の属性情報Vi,zを匿名化した匿名化情報V’i,zを要求する(ステップS51)。利用者装置5には予めいずれの匿名化装置3nがどの属性情報vi,jを所持しているかが設定されており、所望の属性情報Vi,zに含まれる属性情報vi,jを所持している匿名化装置3nへ直接要求を出力するように構成することができる。このとき、所望の属性情報Vi,zに含まれる属性情報vi,jが複数の匿名化装置3nに分散して所持されている場合には、その複数の匿名化装置3nそれぞれに要求を出力すればよい。もしくは、利用者装置5は全ての匿名化装置3nへ要求を出力し、所望の属性情報Vi,zに含まれる属性情報vi,jを所持している匿名化装置3nのみがその要求に応答するように構成してもよい。
匿名化装置3nに含まれる匿名化部33は、利用者装置5からの要求に応じて、記憶部32に記憶されている分割情報νi,nを匿名化して匿名化分割情報ν’i,nを生成する(ステップS33)。生成した匿名化分割情報ν’i,nは応答部35へ入力される。匿名化の方法は、匿名化対象となる属性の情報の性質や利用者装置における情報分析の目的等を考慮して、任意の最適な匿名化手法を選択すればよい。匿名化のための具体的なデータ操作の手法に関しては非特許文献1や非特許文献2に詳しい。
匿名化装置3nに含まれる応答部35は、匿名化部33により生成された匿名化分割情報ν’i,nを利用者装置5へ出力する(ステップS35)。
利用者装置5に含まれる取得部52へ匿名化分割情報ν’i,nが入力される(ステップS52)。所望の属性情報Vi,zが複数の匿名化装置3nによって所持されている場合には、それらの匿名化装置3nからの匿名化分割情報ν’i,nを全て取得するまで待機する。取得した匿名化分割情報ν’i,nは統合部53へ入力される。
利用者装置5に含まれる統合部53は、取得部52が匿名化装置3nから受信した全ての匿名化分割情報ν’i,nを統合して匿名化情報V’i,zを生成する(ステップS53)。所望の属性情報Vi,zに含まれる属性情報vi,jが1個の匿名化装置3nのみにより所持されている場合には、取得部52が取得した1個の匿名化分割情報ν’i,nをそのまま匿名化情報V’i,zとして生成すればよい。
[第二実施形態]
第一実施形態の匿名化システムでは、利用者装置が複数回にわたって異なる属性情報を含む匿名化情報を取得した場合、その並び順から属性情報同士の関連を推測し匿名化情報に紐づく個体が特定されるおそれがある。この発明の第二実施形態の匿名化システムは、匿名化装置が匿名化情報を生成するたびに順番の並べ替えを行う。このように構成することで利用者装置が複数回にわたって異なる属性を含む匿名化情報を取得した場合でも、それらの匿名化情報から個体を特定することが困難となる。
第一実施形態の匿名化システムでは、利用者装置が複数回にわたって異なる属性情報を含む匿名化情報を取得した場合、その並び順から属性情報同士の関連を推測し匿名化情報に紐づく個体が特定されるおそれがある。この発明の第二実施形態の匿名化システムは、匿名化装置が匿名化情報を生成するたびに順番の並べ替えを行う。このように構成することで利用者装置が複数回にわたって異なる属性を含む匿名化情報を取得した場合でも、それらの匿名化情報から個体を特定することが困難となる。
<構成>
図6を参照して、第二実施形態の匿名化システム11の機能構成例を説明する。匿名化システム11は所持装置1とN(≧2)個の匿名化装置41,…,4Nと少なくとも1個の利用者装置5を含む。所持装置1と匿名化装置41,…,4Nと利用者装置5はネットワーク9に接続される。ネットワーク9は、所持装置1と匿名化装置41,…,4Nそれぞれと利用者装置5とが相互に通信可能なように構成されていればよく、例えばインターネットやLAN、WANなどで構成することができる。また、所持装置1と匿名化装置41,…,4Nそれぞれと利用者装置5とは必ずしもネットワークを介してオンラインで通信可能である必要はない。例えば、所持装置1が出力する情報をUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体からいずれかの匿名化装置41,…,4Nへオフラインで入力するように構成してもよい。その他の装置間でのデータの入出力も同様であるので、具体的な説明は省略する。
図6を参照して、第二実施形態の匿名化システム11の機能構成例を説明する。匿名化システム11は所持装置1とN(≧2)個の匿名化装置41,…,4Nと少なくとも1個の利用者装置5を含む。所持装置1と匿名化装置41,…,4Nと利用者装置5はネットワーク9に接続される。ネットワーク9は、所持装置1と匿名化装置41,…,4Nそれぞれと利用者装置5とが相互に通信可能なように構成されていればよく、例えばインターネットやLAN、WANなどで構成することができる。また、所持装置1と匿名化装置41,…,4Nそれぞれと利用者装置5とは必ずしもネットワークを介してオンラインで通信可能である必要はない。例えば、所持装置1が出力する情報をUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体からいずれかの匿名化装置41,…,4Nへオフラインで入力するように構成してもよい。その他の装置間でのデータの入出力も同様であるので、具体的な説明は省略する。
図7を参照して、匿名化システム11に含まれる匿名化装置4n(1≦n≦N)の構成例を説明する。匿名化装置4nは、第一実施形態の匿名化装置3nと同様に、入力部31と記憶部32と匿名化部33と応答部35と制御部301とメモリ302を含む。匿名化装置4nは、さらに置換部34を含む。匿名化装置4nは、例えば、中央演算処理装置(Central Processing Unit、CPU)、主記憶装置(Random Access Memory、RAM)等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。匿名化装置4nは制御部301の制御のもとで各処理を実行する。匿名化装置4nに入力されたデータや各処理で得られたデータはメモリ302に格納され、メモリ302に格納されたデータは必要に応じて読み出されて他の処理に利用される。記憶部32は、例えば、RAM(Random Access Memory)などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ(Flash Memory)のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。
すなわち、匿名化システム11と第一実施形態の匿名化システム10との相違点は、匿名化装置4nが置換部34を含む点である。所持装置1と利用者装置5とネットワーク9の構成は上述の第一実施形態と同様であるので詳細な説明は省略する。
<処理>
図8を参照して、匿名化システム11の実行する匿名化処理の動作例を、実際に行われる手続きの順に従って説明する。なお、ステップS33までの処理は第一実施形態と同様であるので説明は省略する。
図8を参照して、匿名化システム11の実行する匿名化処理の動作例を、実際に行われる手続きの順に従って説明する。なお、ステップS33までの処理は第一実施形態と同様であるので説明は省略する。
匿名化部33により生成された匿名化分割情報ν’i,nは置換部34へ入力される。置換部34は、匿名化システム11に含まれるN個の匿名化装置41,…,4N全てで共通の置換π:{1,…,M}→{1,…,M}を決定し、匿名化部33により生成された匿名化分割情報ν’i,nの並べ替えを行い、匿名化分割情報ν’π(i),nを生成する(ステップS34)。生成した匿名化分割情報ν’π(i),nは応答部35へ入力される。置換πは利用者装置5からの要求がある度に決定される。つまり、利用者装置5からの要求がある度に生成される匿名化分割情報ν’π(i),nの並び順は毎回異なるものとなる。
置換πの決定方法は様々な方法で構成することができる。例えば、匿名化装置4nは利用者装置5からの要求がある度に他の匿名化装置41,…,4Nと連携して置換πを決定するように構成することができる。また例えば、匿名化装置41,…,4Nは予め複数の共通する置換πが与えられており、利用者装置5からの要求がある度に予め定められた順番に従って置換πを選択するように構成してもよい。匿名化装置41,…,4N間で共通の置換πを用いて匿名化分割情報ν’の並べ替えを行うことで、利用者装置5が匿名化分割情報ν’を統合して匿名化情報V’を生成する際に、各個体Eiに関する属性情報vi,jの組み合わせが崩れることなく順番の並べ替えがされた匿名化情報V’を得ることができる。また、置換πは利用者装置5からの要求の度に異なるものとなるため、利用者装置5が異なる属性情報vi,jを複数回に分けて取得した場合でも、取得できる匿名化分割情報ν’の並び順は一致しない。そのため、複数の匿名化分割情報ν’を組み合わせて特定の個体Eiを特定することが困難になり、匿名性を向上することができる。
匿名化装置4nに含まれる応答部35は、置換部34により並べ替えされた匿名化分割情報ν’π(i),nを利用者装置5へ出力する(ステップS35)。
利用者装置5に含まれる取得部52へ匿名化分割情報ν’π(i),nが入力される(ステップS52)。所望の属性情報Vi,zが複数の匿名化装置4nによって所持されている場合には、それらの匿名化装置4nからの匿名化分割情報ν’π(i),nを全て受信するまで待機する。取得した匿名化分割情報ν’π(i),nは統合部53へ入力される。
利用者装置5に含まれる統合部53は、取得部52が匿名化装置4nから受信した全ての匿名化分割情報ν’π(i),nを統合して匿名化情報V’π(i),zを生成する(ステップS53)。所望の属性情報Vi,zに含まれる属性情報vi,jが1個の匿名化装置4nのみにより所持されている場合には、取得部52が取得した1個の匿名化分割情報ν’π(i),nをそのまま匿名化情報V’π(i),zとして生成すればよい。
[変形例]
第一実施形態もしくは第二実施形態の変形例である匿名化システムは、所持装置を複数含み、各所持装置が一部の個体に関する個体情報のみを所持する。このように構成することですべての個体に関する個体情報を一元的に所持する装置が存在しなくなるため、匿名化システム全体としてのセキュリティを向上することができる。
第一実施形態もしくは第二実施形態の変形例である匿名化システムは、所持装置を複数含み、各所持装置が一部の個体に関する個体情報のみを所持する。このように構成することですべての個体に関する個体情報を一元的に所持する装置が存在しなくなるため、匿名化システム全体としてのセキュリティを向上することができる。
<構成>
図9を参照して、変形例の匿名化システム12の機能構成例を説明する。匿名化システム12はK(≧2)個の所持装置11,…,1KとN(≧2)個の匿名化装置31,…,3Nと少なくとも1個の利用者装置5を含む。匿名化装置31,…,3Nは第二実施形態に係る匿名化装置41,…,4Nであってもよい。所持装置11,…,1Kと匿名化装置31,…,3N(もしくは匿名化装置41,…,4N)と利用者装置5はネットワーク9に接続される。
図9を参照して、変形例の匿名化システム12の機能構成例を説明する。匿名化システム12はK(≧2)個の所持装置11,…,1KとN(≧2)個の匿名化装置31,…,3Nと少なくとも1個の利用者装置5を含む。匿名化装置31,…,3Nは第二実施形態に係る匿名化装置41,…,4Nであってもよい。所持装置11,…,1Kと匿名化装置31,…,3N(もしくは匿名化装置41,…,4N)と利用者装置5はネットワーク9に接続される。
すなわち、匿名化システム12と第一実施形態の匿名化システム10および第二実施形態の匿名化システム11との相違点は、匿名化装置の数が複数となる点である。また、所持装置1k(1≦k≦K)と匿名化装置3n(もしくは匿名化装置4n)(1≦n≦N)と利用者装置5とネットワーク9の構成は上述の第一実施形態もしくは第二実施形態と同様であるので詳細な説明は省略する。
<処理>
以降では第一実施形態の変形例を説明する。第二実施形態の変形例では下記の匿名化装置3nが匿名化装置4nとなるのみであるので適宜読み替えられたい。
以降では第一実施形態の変形例を説明する。第二実施形態の変形例では下記の匿名化装置3nが匿名化装置4nとなるのみであるので適宜読み替えられたい。
所持装置1kに含まれる記憶部11には、Qk(≧1)個の個体Eq(q=1,…,Qk)に関するL(≧2)個の属性情報vq,j(q=1,…,Qk、j=1,…,L)を含む個体情報Vq(q=1,…,Qk)が予め記憶されている(ステップS11)。ここで、Q1,…,QKは任意の整数であり、Q1,…,QKの総和はMとなる。すなわち、Σk=1 KQk=Mである。また、各所持装置11,…,1Kが所持する個体情報Vqには重複がないものとする。言い替えると、各所持装置1kが所持する個体情報Vqは、第一実施形態および第二実施形態の所持装置1が所持するM個の個体情報Vi(i=1,…,M)を個体情報単位にK個に分割したうちの1個である。
個体情報Vqに含まれる個体情報の数は任意に設計すればよい。例えば、全ての個体情報の数Mと所持装置の個数Kが等しい場合、すなわちM=Kであれば、各個体情報Vqには1個の個体情報Viのみが含まれるようになる。この場合、Q1=Q2=…=QK=1である。また例えば、全ての個体情報の数Mが所持装置の個数Kの2倍となる場合、すなわち2M=Kであれば、各個体情報Vqには2個の個体情報が含まれるようにすればよい。この場合、Q1=Q2=…=QK=2である。なお、所持装置11,…,1Kそれぞれが所持する個体情報の数は等しくなくてもよい。
所持装置1kに含まれる分割部12は、記憶部11に記憶されている個体情報Vq(q=1,…,Qk)を属性単位で分割してN個の分割情報νq,1,…,νq,Nを生成する(ステップS12)。生成した分割情報νq,1,…,νq,Nは分配部13へ入力される。
所持装置1kに含まれる分配部13は、分割部12により生成された分割情報νq,1,…,νq,Nを匿名化装置31,…,3Nへ分配する(ステップS13)。
匿名化装置3nに含まれる入力部31へK個の所持装置11,…,1Kそれぞれで生成されたK個の分割情報νq,nが入力される。匿名化装置3nはK個の分割情報νq,nを統合して分割情報νi,nとして記憶部32へ記憶する(ステップS32)。このとき、匿名化装置31,…,3Nの間で個体情報の並び順が等しくなるようにしなければならない。
以降のステップS51からステップS53までの処理は第一実施形態もしくは第二実施形態と同様であるので説明は省略する。
第一実施形態および第二実施形態では、1個の所持装置1が全ての個体E1,…,EMに関する個体情報V1,…,VMを記憶していた。変形例では、K個の所持装置11,…,1Kが相異なる個体Eqに関する個体情報Vqのみを所持するため、全ての個体E1,…,EMに関する個体情報V1,…,VMを一元的に所持する装置が存在しなくなる。したがって、匿名化システム全体としてのセキュリティを向上することができる。
[変形例2]
上述の実施形態および変形例において、所持装置1が各匿名化装置31,…,3N(もしくは匿名化装置41,…,4N)に送信する分割情報νi,1,…,νi,Nを匿名化して送信するように構成してもよい。すなわち、所持装置1は匿名化部33を含み、分割部12が生成する分割情報νi,1,…,νi,Nをそれぞれ匿名化して匿名化分割情報ν’i,1,…,ν’i,Nを生成する。所持装置1に含まれる分配部13は、その匿名化分割情報ν’i,1,…,ν’i,Nを匿名化装置31,…,3N(もしくは匿名化装置41,…,4N)へ分配する。
上述の実施形態および変形例において、所持装置1が各匿名化装置31,…,3N(もしくは匿名化装置41,…,4N)に送信する分割情報νi,1,…,νi,Nを匿名化して送信するように構成してもよい。すなわち、所持装置1は匿名化部33を含み、分割部12が生成する分割情報νi,1,…,νi,Nをそれぞれ匿名化して匿名化分割情報ν’i,1,…,ν’i,Nを生成する。所持装置1に含まれる分配部13は、その匿名化分割情報ν’i,1,…,ν’i,Nを匿名化装置31,…,3N(もしくは匿名化装置41,…,4N)へ分配する。
このような構成としても、k-匿名化やPk-匿名化などの匿名化処理で属性情報の種類の数を抑えることができるため、上述の実施形態や変形例と同様に、匿名化の強度を低くすることができ情報の精度を高くすることが可能となる。
[プログラム、記録媒体]
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
また、上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
10,11,12 匿名化システム
1 所持装置
3,4 匿名化装置
5 利用者装置
9 ネットワーク
11 記憶部
12 分割部
13 分配部
31 入力部
32 記憶部
33 匿名化部
34 置換部
35 応答部
51 要求部
52 取得部
53 統合部
1 所持装置
3,4 匿名化装置
5 利用者装置
9 ネットワーク
11 記憶部
12 分割部
13 分配部
31 入力部
32 記憶部
33 匿名化部
34 置換部
35 応答部
51 要求部
52 取得部
53 統合部
Claims (7)
- 少なくとも1個の所持装置と複数の匿名化装置と少なくとも1個の利用者装置とを含む匿名化システムであって、
前記所持装置は、
少なくとも1個の個体に関する複数の属性情報を含む個体情報を記憶する記憶部と、
前記個体情報を前記属性情報単位で分割して分割情報を生成する分割部と、
前記分割情報を前記匿名化装置へ分配する分配部と、
を含み、
前記匿名化装置は、
前記利用者装置からの要求に応じて前記分割情報を匿名化して匿名化分割情報を生成する匿名化部と、
前記匿名化分割情報を前記利用者装置へ出力する応答部と、
を含み、
前記利用者装置は、
所望の前記属性情報を匿名化した匿名化情報を前記匿名化装置へ要求する要求部と、
前記匿名化分割情報を統合して前記匿名化情報を生成する統合部と、
を含む匿名化システム。 - 請求項1に記載の匿名化システムであって、
前記匿名化装置は、
前記利用者装置からの要求がある度に全ての前記匿名化装置で共通の置換を決定し前記匿名化分割情報の並べ替えを行う置換部を含む
ことを特徴とする匿名化システム。 - 少なくとも1個の個体に関する複数の属性情報を含む個体情報を記憶する記憶部と、
前記個体情報を前記属性情報単位で分割して分割情報を生成する分割部と、
前記分割情報を複数の匿名化装置へ分配する分配部と、
を含む所持装置。 - 利用者装置からの要求に応じて、少なくとも1個の個体に関する複数の属性情報を含む個体情報を前記属性情報単位で分割した分割情報を匿名化して匿名化分割情報を生成する匿名化部と、
前記匿名化分割情報を前記利用者装置へ出力する応答部と、
を含む匿名化装置。 - 所望の属性情報を匿名化した匿名化情報を匿名化装置へ要求する要求部と、
少なくとも1個の個体に関する複数の属性情報を含む個体情報を前記属性情報単位で分割した分割情報を匿名化した匿名化分割情報を統合して前記匿名化情報を生成する統合部と、
を含む利用者装置。 - 所持装置が、少なくとも1個の個体に関する複数の属性情報を含む個体情報を前記属性情報単位で分割して分割情報を生成する分割ステップと、
前記所持装置が、前記分割情報を複数の匿名化装置へ分配する分配ステップと、
利用者装置が、所望の前記属性情報を匿名化した匿名化情報を前記匿名化装置へ要求する要求ステップと、
前記匿名化装置が、前記利用者装置からの要求に応じて前記分割情報を匿名化して匿名化分割情報を生成する匿名化ステップと、
前記匿名化装置が、前記匿名化分割情報を前記利用者装置へ出力する応答ステップと、
前記利用者装置が、前記匿名化分割情報を統合して前記匿名化情報を生成する統合ステップと、
を含む匿名化方法。 - 請求項3に記載の所持装置もしくは請求項4に記載の匿名化装置もしくは請求項5に記載の利用者装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013064230A JP6000175B2 (ja) | 2013-03-26 | 2013-03-26 | 匿名化システム、匿名化装置、利用者装置、匿名化方法、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013064230A JP6000175B2 (ja) | 2013-03-26 | 2013-03-26 | 匿名化システム、匿名化装置、利用者装置、匿名化方法、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014191431A true JP2014191431A (ja) | 2014-10-06 |
| JP6000175B2 JP6000175B2 (ja) | 2016-09-28 |
Family
ID=51837664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013064230A Active JP6000175B2 (ja) | 2013-03-26 | 2013-03-26 | 匿名化システム、匿名化装置、利用者装置、匿名化方法、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6000175B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6695511B1 (ja) * | 2019-05-21 | 2020-05-20 | 三菱電機株式会社 | 匿名化手法導出装置、匿名化手法導出方法、匿名化手法導出プログラム、及び、匿名化手法導出システム |
| JP7215722B2 (ja) | 2019-02-04 | 2023-01-31 | Necソリューションイノベータ株式会社 | 並び替えデータ生成装置、並び替えデータ生産方法、プログラム及び記録媒体 |
-
2013
- 2013-03-26 JP JP2013064230A patent/JP6000175B2/ja active Active
Non-Patent Citations (2)
| Title |
|---|
| JPN6015046881; 櫻田潤一,上土井陽子,若林真一: '分散データベースにおける匿名化可能判定のための安全で効率的なプロトコル' 第4回データ工学と情報マネジメントに関するフォーラム論文集 (第10回日本データベース学会年次大会) DEIM Forum 2012 C5-5, 20120830, 電子情報通信学会データ工学研究専門委員会 日本デー * |
| JPN6015046885; 千田浩司他: '集合匿名化データの多変量解析評価' CSS2012コンピュータセキュリティシンポジウム2012論文集 合同開催 マルウェア対策研究人材育 第2012巻, 20121023, 一般社団法人情報処理学会 コンピュータセキュリティ * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7215722B2 (ja) | 2019-02-04 | 2023-01-31 | Necソリューションイノベータ株式会社 | 並び替えデータ生成装置、並び替えデータ生産方法、プログラム及び記録媒体 |
| JP6695511B1 (ja) * | 2019-05-21 | 2020-05-20 | 三菱電機株式会社 | 匿名化手法導出装置、匿名化手法導出方法、匿名化手法導出プログラム、及び、匿名化手法導出システム |
| WO2020235008A1 (ja) * | 2019-05-21 | 2020-11-26 | 三菱電機株式会社 | 匿名化手法導出装置、匿名化手法導出方法、匿名化手法導出プログラム、及び、匿名化手法導出システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6000175B2 (ja) | 2016-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9229997B1 (en) | Embeddable cloud analytics | |
| KR102442737B1 (ko) | 암호화된 데이터를 익명화하기 위한 컴퓨터 구현 시스템 및 방법 | |
| US11556666B2 (en) | Data access policy management | |
| Zhang et al. | Privacy preservation over big data in cloud systems | |
| Oktay et al. | SEMROD: secure and efficient MapReduce over hybrid clouds | |
| US20170279786A1 (en) | Systems and methods to protect sensitive information in data exchange and aggregation | |
| KR101621385B1 (ko) | 클라우드 스토리지 서비스의 파일 검색 시스템 및 방법, 및 파일 제어 방법 | |
| JP2016173532A (ja) | 分散値変換システム、分散値変換装置、分散値変換方法、およびプログラム | |
| JP6410932B2 (ja) | 組み込み可能なクラウド分析 | |
| CN112000632A (zh) | 密文的分享方法、介质、分享客户端及系统 | |
| JP2017215868A (ja) | 匿名化処理装置、匿名化処理方法、及びプログラム | |
| JP6445415B2 (ja) | 匿名化装置、匿名化方法、プログラム | |
| Kaci et al. | Toward a big data approach for indexing encrypted data in cloud computing | |
| JP6000175B2 (ja) | 匿名化システム、匿名化装置、利用者装置、匿名化方法、およびプログラム | |
| Han et al. | Differentially private top-k query over MapReduce | |
| EP3901808B1 (en) | Analysis query response system, analysis query execution device, analysis query verification device, analysis query response method, and program | |
| Kim et al. | Collaborative design by sharing multiple-level encryption files | |
| JP6588880B2 (ja) | 匿名化装置、匿名化方法、およびプログラム | |
| Thiyagarajan et al. | Privacy preserving over big data through VSSFA and MapReduce framework in cloud environment | |
| JP2024519445A (ja) | セキュアなデータ分析 | |
| JP7283583B2 (ja) | 制御方法、制御プログラム、及び情報処理装置 | |
| JP2016184213A (ja) | 数値データを匿名化する方法及び数値データ匿名化サーバ | |
| WO2013042788A1 (ja) | データ分割装置、データ分割システム、データ分割方法及びプログラム | |
| Wiktorski et al. | NOSQL databases | |
| Al-Aqeeli et al. | Preserving Privacy in MapReduce Based Clouds: Insight into Frameworks and Approaches |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150204 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151020 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151124 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160119 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160607 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160804 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160823 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160830 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6000175 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |