JP2015138277A - 情報処理装置及びデータ処理方法 - Google Patents
情報処理装置及びデータ処理方法 Download PDFInfo
- Publication number
- JP2015138277A JP2015138277A JP2014007782A JP2014007782A JP2015138277A JP 2015138277 A JP2015138277 A JP 2015138277A JP 2014007782 A JP2014007782 A JP 2014007782A JP 2014007782 A JP2014007782 A JP 2014007782A JP 2015138277 A JP2015138277 A JP 2015138277A
- Authority
- JP
- Japan
- Prior art keywords
- anonymity
- anonymization
- quasi
- identifier
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】 有用性の低下を防止する匿名化を実現できる。
【解決手段】 本発明の情報処理装置は、個人が識別できない程度を示す匿名性と、匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出する仮定匿名性算出手段と、仮定匿名性に基づいて匿名化対象データを匿名化する匿名化手段とを含む。
【選択図】 図1
【解決手段】 本発明の情報処理装置は、個人が識別できない程度を示す匿名性と、匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出する仮定匿名性算出手段と、仮定匿名性に基づいて匿名化対象データを匿名化する匿名化手段とを含む。
【選択図】 図1
Description
本発明は、情報の処理に関し、特に、情報を保護する情報処理装置及びデータ処理方法に関する。
近年、情報処理装置及び情報処理装置を接続するネットワークの性能向上に伴い、多くの情報が、情報処理装置に保存されている。そして、情報処理装置に保存されている多量のデータを利用する分析又はサービスが、各種提案されている。
しかし、保存されている情報は、パーソナル情報を含む。ここで、パーソナル情報とは、例えば、カルテ(Karte(独語)、診療録)情報のような個人の特徴を表す情報、又は、位置情報のような個人の行動を表す情報である。そして、パーソナル情報は、一般的に、複数の情報(属性値)を含む。ただし、パーソナル情報は、個人を特定できるように公開されると、プライバシー侵害の要因となる。そこで、プライバシーを侵害しないパーソナル情報の公開方法が、望まれている。
匿名化技術は、パーソナル情報を含む情報を公開した場合でも、プライバシーが侵害されないように、パーソナル情報を処理する技術の一つである。つまり、匿名化技術は、第三者が個人のプライバシーを侵害しないでパーソナル情報を活用できるように、パーソナル情報を保護する技術である。
パーソナル情報は、個人を識別できる識別子と、個人にとって知られたくない情報(センシティブ属性)とを含む。そこで、匿名化として、例えば、公開前に、パーソナル情報から個人の識別子を削除して公開する方法が、想定される。
しかし、パーソナル情報は、単独では個人を識別できなくても、組合せを基に個人を識別できる情報(以下、この属性を「準識別子」と言う)を含む場合がある。
そこで、本発明に関連する匿名化技術は、準識別子のデータを加工(匿名化)し、パーソナル情報の集合から、個人に関連するパーソナル情報を推定(識別)できないようにデータを匿名化する(例えば、特許文献1を参照)。つまり、本発明に関連する匿名化技術は、プライバシーを保護するための所定の匿名性を満たすように、準識別子のデータを加工(匿名化)する。
ここで、匿名性は、個人の属性に関連する情報を推定できない程度を示す。
例えば、「k−匿名性」及び「l−多様性」は、匿名化のために適用される匿名性として、よく知られている(例えば、特許文献1を参照)。
k−匿名性は、同じ準識別子を持つパーソナル情報が「k個」以上存在することを保証する。k−匿名性が保証されたパーソナル情報の集合は、同じ準識別子を持つパーソナル情報を、少なくとも「k個」含む。そのため、第三者は、集合の中から個人に関連するパーソナル情報を、特定できない。
l−多様性は、同じ準識別子を持つパーソナル情報のセンシティブ属性の値の種類が「l通り」以上存在することを保証する。l−多様性が保証されたパーソナル情報の集合は、センシティブ属性の値を少なくとも「l通り」含む。そのため、第三者は、集合の中から個人のセンシティブ属性の値を、特定できない。
また、その他の匿名性として、「t−近似性」及び「m−不変性」が、知られている。
t−近接性は、グループ間のセンシティブ属性の値の分布における距離と、全属性の値の分布における距離とが、「t」以下であることを保証する。
m−不変性は、データの逐次開示において、同じ準識別子の組合せのレコードが「m個」以上あり、全てのレコードで異なるセンシティブ属性の値を持つことを保証する。
なお、匿名化の対象となる準識別子は、1つである必要なく、複数でも良い。例えば、k−匿名性は、複数の準識別子の組合せを匿名化した匿名性でも良い。そのため、以下の説明では、特に区別して記載していない限り、準識別子は、単数及び複数を含むとする。
準識別子となる属性は、それぞれ異なる性質を備えている。例えば、個人の特定の難易の程度は、属性毎に異なる。あるいは、取得の難易の程度も、属性毎に異なる。
そのため、準識別子には、厳密に匿名化した方が良い準識別子と、緩慢に匿名化すればよい準識別子とが含まれる。
ここで、厳密な匿名化とは、パーソナル情報の抽象度を高くする匿名化である。一方、緩慢な匿名化とは、抽象度が低い匿名化である。
また、現在、大量のデータの処理(例えば、「ビッグデータ」)が、注目されている。大量のデータに含まれるデータの数及びデータ項目は多い。そのため、大量のデータは、多くの属性を含む。つまり、大量のデータは、準識別子となる可能性がある多くの種類の属性に関するデータを含む。
匿名化後のデータの抽象化の程度は、匿名化対象のグループに含まれるデータの数に、概ね比例する。また、匿名化後のデータの抽象化の程度は、抽象化対象の準識別子の数にも概ね比例する。そして、データの抽象度は、データの有用性に、概ね反比例する。つまり、大量にデータの含まれる多くの準識別子となる属性のデータを、同様に匿名化すると、匿名化後のデータの有用性が損なわれる可能性が大きい。
そのため、全ての準識別子を同様に扱った匿名化ではなく、準識別子毎に匿名化の程度を設定できる匿名化、又は、準識別子に適用する匿名化を判断した匿名化が望まれている。つまり、厳密に匿名化する準識別子と緩慢に匿名化する準識別子とを区別した匿名化が望まれている。
しかし、特許文献1に記載の匿名化技術は、準識別子を区別した匿名化を実現できない。そのため、特許文献1に記載の匿名化技術は、匿名化後のデータの有用性が低下するという問題点があった。
本発明の目的は、上記問題点を解決し、有用性の低下を防止する匿名化を実現できる情報処理装置、及び、データ処理方法を提供することにある。
本発明の一形態のおける情報処理装置は、個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出する仮定匿名性算出手段と、前記仮定匿名性に基づいて前記匿名化対象データを匿名化する匿名化手段とを含む。
本発明の一形態のおけるデータ処理方法は、個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出し、前記仮定匿名性に基づいて前記匿名化対象データを匿名化する。
本発明の一形態のおけるプログラムは、個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出する処理と、前記仮定匿名性に基づいて前記匿名化対象データを匿名化する処理とをコンピュータに実行させる。
本発明に基づけば、項目が多いデータでも、有用性の低下を防止する匿名化を実現できるとの効果を提供できる。
次に、本発明の実施形態について図面を参照して説明する。
なお、各図面は、本発明の実施形態を説明するものである。そのため、本発明は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ番号を付し、その繰り返しの説明を、省略する場合がある。
また、以下の説明に用いる図面において、本発明の説明に関係しない部分の構成については、記載を省略し、図示しない場合もある。
また、本発明に適用する匿名性は、特に制限はない。ただし、以下の説明では、広く用いられている「k−匿名性」を用いて説明する。
<第1の実施形態>
図1は、本発明のおける第1の実施形態に係る情報処理装置10の構成の一例を示すブロック図である。
図1は、本発明のおける第1の実施形態に係る情報処理装置10の構成の一例を示すブロック図である。
情報処理装置10は、取得部100と、仮定匿名性算出部200と、匿名化部300と、出力部400とを含む。
取得部100は、匿名化の対象のデータと、匿名化に必要な情報とを取得する。
ここで、匿名化に必要な情報とは、少なくとも次の情報を含む。
(1)匿名性:匿名化対象のデータの匿名性。言い換えると、この匿名性は、匿名化対象のデータにおいて、個人が識別できない程度を示す匿名性である。例えば、データ全体における匿名化の種類(例えば、k−匿名化)と匿名化の程度(k−匿名化のkの値)。
(2)匿名化対象の属性に関する情報:例えば、属性名。なお、匿名化対象となる属性は、準識別子である。
(3)各準識別子の準識別レベル:準識別子に必要とされる匿名性の高さのレベルの程度である。より具体的には、準識別レベルは、匿名化対象データの含まれる準識別子に基づいて個人が識別される程度を示す。つまり、準識別レベルは、その準識別子が、厳密な匿名性を必要とされている、又は、緩慢な匿名性で良いかなど、必要な匿名性の高さを示す情報である。そのため、準識別レベルは、「準識別子らしさ」と言っても良い。
なお、準識別子となる属性は、例えば、年齢、住所、電話番号、職業及び性別である。
仮定匿名性算出部200は、匿名化に必要な情報を基に、匿名化部300で実現する各準識別子のデータに対する匿名性(以下、「仮定匿名性」と言う。なお、「みなし匿名性」と言っても良い)を算出する。
匿名化部300は、仮定匿名性を満足するように匿名化対象データにおける準識別子のデータを匿名化する。例えば、匿名化部300は、データを匿名化するために、属性を基にデータをグループに分割する。その場合、匿名化部300は、各準識別子の仮定匿名性を用いて、匿名化対象データをグループに分割する。そして、匿名化部300は、分割したグループを基にデータを匿名化する。そして、匿名化部300は、匿名化後のデータを、出力部400に送る。
出力部400は、匿名化後データを所定の出力先(例えば、匿名化を依頼した依頼元、又は、所定の記憶装置)に出力する。
つまり、仮定匿名性算出部200は、各識別子の仮定匿名性を算出する。そして、匿名化部300は、仮定匿名性算出部200によって算出された準識別子の仮定匿名性を基に、データを匿名化する。
この動作を、より詳細に説明する。
まず、説明のために次のパラメータを仮定する。
k:匿名性(取得部100が取得した匿名化対象データ全体に要求されたk−匿名性のkの値)
n:匿名化対象データの含まれる準識別子の数
pi:i番目の準識別子ai(i=1、2、3、…、n)の準識別レベル(準識別子らしさ)に対応した値(ただし、piは、0から1の間の数値である。)
なお、準識別子の属性名と準識別レベルとの対応関係は、図示しない記憶部に記憶されているとする。つまり、情報処理装置10は、適宜、記憶部に記憶されている対応関係を基に、各準識別子に対応する準識別レベルを選択して使用する。
n:匿名化対象データの含まれる準識別子の数
pi:i番目の準識別子ai(i=1、2、3、…、n)の準識別レベル(準識別子らしさ)に対応した値(ただし、piは、0から1の間の数値である。)
なお、準識別子の属性名と準識別レベルとの対応関係は、図示しない記憶部に記憶されているとする。つまり、情報処理装置10は、適宜、記憶部に記憶されている対応関係を基に、各準識別子に対応する準識別レベルを選択して使用する。
そして、仮定匿名性算出部200は、準識別子aiの仮定匿名性として、例えば、「k×pi」の値を用いる。そのため、匿名化部300は、準識別子aiにおけるデータのグループ分割に、「k×pi」の値を用いる。
ここで、各準識別子は、独立して匿名化される。例えば、各準識別子は、異なるグループに分割される。そのため、情報処理装置10が匿名化する対象データ全体としての仮定匿名性「km」は、例えば、次の数式1となる。
[数式1]
ここで、数式1の各変数は、次のとおりである。
km:情報処理装置10が匿名化する対象データ全体としての仮定匿名性
k:匿名性(取得部100が取得したデータ全体に要求された匿名性)
n:準識別子の数
pi:準識別子aiの準識別レベル(ただし、piは、0から1の間の数値である。)
なお、Πは、piの積を表す。
k:匿名性(取得部100が取得したデータ全体に要求された匿名性)
n:準識別子の数
pi:準識別子aiの準識別レベル(ただし、piは、0から1の間の数値である。)
なお、Πは、piの積を表す。
具体的な数値データを用いて、さらに説明する。
説明に用いる各パラメータの値は、次の値を仮定する。
準識別子:{a1、a2}、つまり、n=2
各準識別子の準識別レベル:{p1、p2}={1.0、0.75}
k:4(つまり、データ全体の匿名性は、4−匿名性である。)
この場合、情報処理装置10は、準識別子1(a1)を、4−匿名性(4=4×1.0)を満足するように分割する。つまり、情報処理装置10は、準識別子1(a1)を基に、4−匿名性(4=4×1.0)を満たすようにデータを第1のグループに分割する。次に、情報処理装置10は、識別子2(a2)を基に、3−匿名性(3=4×0.75)を満足するように、第1のグループのデータを第2のグループに分割する。このように、情報処理装置10は、少なくとも3つのデータを含む第2のグループにデータを分割する。そして、情報処理装置10は、少なくとも3つのデータを含むグループを基に、データを匿名化する。
各準識別子の準識別レベル:{p1、p2}={1.0、0.75}
k:4(つまり、データ全体の匿名性は、4−匿名性である。)
この場合、情報処理装置10は、準識別子1(a1)を、4−匿名性(4=4×1.0)を満足するように分割する。つまり、情報処理装置10は、準識別子1(a1)を基に、4−匿名性(4=4×1.0)を満たすようにデータを第1のグループに分割する。次に、情報処理装置10は、識別子2(a2)を基に、3−匿名性(3=4×0.75)を満足するように、第1のグループのデータを第2のグループに分割する。このように、情報処理装置10は、少なくとも3つのデータを含む第2のグループにデータを分割する。そして、情報処理装置10は、少なくとも3つのデータを含むグループを基に、データを匿名化する。
ここで、数式1に上記の値を代入すると、kmは、次の数式2に示すように算出される。
[数式2]
数式2の値は、上記で説明したグループに含まれるデータの数(データ数=3)と一致している。
なお、情報処理装置10は、同じ準識別子で複数回分割する場合、同じ仮定匿名性を用いる。そのため、同じ準識別子の分割が複数回発生しても、数式1において、各piを掛ける回数は、1回となる。つまり、数式1は、同じである。
次に、図面を参照して、本実施形態の情報処理装置10の動作について、さらに説明する。
図2は、動作の説明に用いるデータの分布を示すである。
図2において、準識別子となる属性は、2つ(属性Aと属性B)である。また、横軸が、属性Aであり、縦軸が、属性Bである。
そして、図2の各黒丸が、データの位置を示す。
例えば、図2の点1は、属性値Aの値「Va1」と属性値Bの値「Vb1」とを備えたデータの位置を示す。
次に、本実施形態の理解を容易にするため、本発明に関連する一般的な匿名化技術を適用した場合の匿名化後のデータの分割について説明する。
図3は、一般的な匿名化技術で、4−匿名性を満足するように匿名化した結果の一例を示す図である。図3に示すように、分割後のグループは、4−匿名性を満たすように、データを4個含む。
次に、本実施形態の情報処理装置10の匿名化について説明する。
なお、以下の説明において、属性Aの準識別レベルは「1.0」、属性Bの準識別レベルは「0.75」と仮定する。データ全体の匿名性は、図3と同様に、4−匿名性とする。
図4は、本実施形態の情報処理装置10の匿名化の一例を示す図である。
情報処理装置10は、まず属性Aを基にデータをグループに分ける(クラスタリングする)。ここで、属性Aの準識別レベルは、1.0である。そのため、情報処理装置10は、4−匿名性(4=4×1.0)を満たすように、データを第1のグループに分ける。図4に示す第1段階は、この段階のデータのグループの一例を示す。
次に、情報処理装置10は、属性Bを基にデータを第2のグループに分ける。ここで、属性Bの準識別レベルは、0.75である。そのため、情報処理装置10は、3−匿名性(3=4×0.75)を満たすようにデータをグループに分ける。図4の第2段階は、この段階のデータのグループの一例を示す。なお、第2段階は、最終的なグループとなっている。
図4の第2段階のグループに含まれるデータの数(つまり、準識別子の数)は、3個である。この値「3」は、図3のグループに含まれるデータの数「4」より少ない。既に説明したとおり、グループに含まれる匿名化対象のデータ数が少ないほど、データの有用性が損なわれにくい。つまり、情報処理装置10は、一般的な匿名化処理よりデータの有用性を高めた匿名化を実現する。
つまり、本実施形態の情報処理装置10は、準識別子毎に必要とされる匿名性の程度(準識別レベル)を設定できる。そして、情報処理装置10は、その準識別レベルを用いて、一般的な情報処理装置の匿名化に比べ、データの有用性を高めた匿名化を実現できる。
なお、準識別レベルの値が高い準識別子ほど、1グループ当たりに必要となるデータ数が多くなるため、グループ分けが難しい。そのため、情報処理装置10は、準識別レベルの値が高い準識別子から、順にグループ分け(クラスタリング)を進めることが望ましい。図4を用いて説明したクラスタリングは、準識別レベルが高い属性Aからのクラスタリングの一例となっている。
次に、本実施形態の効果について、説明する。
このように、本実施形態の情報処理装置10は、有用性の低下を防止する匿名化を実現できるとの効果を得ることができる。
その理由は、次のとおりである。
仮定匿名性算出部200は、匿名化に必要な情報と、準識別子の準識別レベルとを基に、準識別子の仮定匿名性を算出する。そして、匿名化部300が、仮定匿名性を基に、準識別子を匿名化する。そのため、情報処理装置10は、厳密に匿名化した方が良い準識別子を厳密に匿名化し、緩慢に匿名化しても良い準識別子を緩慢に匿名化できるためである。つまり、本実施形態の情報処理装置10は、準識別子毎に、適用する匿名化の程度(準識別レベル)を設定して匿名化できるためである。
(変形例1)
以上説明した情報処理装置10は、次のように構成される。
以上説明した情報処理装置10は、次のように構成される。
例えば、情報処理装置10の各構成部は、ハードウェア回路で構成されても良い。
また、情報処理装置10は、各構成部をネットワーク又はバスを介して接続した複数の情報処理装置として構成されても良い。
また、情報処理装置10は、複数の構成部を1つのハードウェアで構成しても良い。
また、情報処理装置10は、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)とを含むコンピュータ装置として実現しても良い。情報処理装置10は、上記構成に加え、さらに、入出力接続回路(IOC:Input / Output Circuit)と、ネットワークインターフェース回路(NIC:Network Interface Circuit)とを含むコンピュータ装置として実現しても良い。
図5は、変形例1に係る情報処理装置60の構成の一例を示すブロック図である。
情報処理装置60は、CPU610と、ROM620と、RAM630と、内部記憶装置640と、IOC650と、NIC680とを含み、コンピュータを構成している。
CPU610は、ROM620からプログラムを読み込む。そして、CPU610は、読み込んだプログラムに基づいて、RAM630と、内部記憶装置640と、IOC650と、NIC680とを制御する。そして、CPU610を含むコンピュータは、これらの構成を制御し、図1に示す、情報処理装置10としての各機能を実現する。ここで、各機能とは、取得部100と、仮定匿名性算出部200と、匿名化部300と、出力部400との機能である。CPU610は、各機能を実現する際に、RAM630又は内部記憶装置640を、プログラムの一時記憶として使用しても良い。
また、CPU610は、コンピュータで読み取り可能にプログラムを記憶した記憶媒体700が含むプログラムを、図示しない記憶媒体読み取り装置を用いて読み込んでも良い。あるいは、CPU610は、NIC680を介して、図示しない外部の装置からプログラムを受け取っても良い。さらに、CPU610は、読み込んだプログラム又は受け取ったプログラムをRAM630に保存し、保存したプログラムを基に動作しても良い。
ROM620は、CPU610が実行するプログラム及び固定的なデータを記憶する。ROM620は、例えば、P−ROM(Programable-ROM)又はフラッシュROMである。
RAM630は、CPU610が実行するプログラム及びデータを一時的に記憶する。RAM630は、例えば、D−RAM(Dynamic-RAM)である。
内部記憶装置640は、情報処理装置60が長期的に保存するデータ及びプログラムを記憶する。また、内部記憶装置640は、CPU610の一時記憶装置として動作しても良い。内部記憶装置640は、例えば、ハードディスク装置、光磁気ディスク装置、SSD(Solid State Drive)又はディスクアレイ装置である。
ここで、ROM620と内部記憶装置640は、不揮発性の記憶媒体である。一方、RAM630は、揮発性の記憶媒体である。そして、CPU610は、ROM620、内部記憶装置640、又は、RAM630に記憶されているプログラムを基に動作可能である。つまり、CPU610は、不揮発性記憶媒体又は揮発性記憶媒体を用いて動作可能である。
IOC650は、CPU610と、入力機器660及び表示機器670とのデータを仲介する。IOC650は、例えば、IOインターフェースカード又はUSB(Universal Serial Bus)カードである。
入力機器660は、情報処理装置60の操作者からの入力指示を受け取る機器である。入力機器660は、例えば、キーボード、マウス又はタッチパネルである。
表示機器670は、情報処理装置60の操作者に情報を表示する機器である。表示機器670は、例えば、液晶ディスプレイである。
NIC680は、ネットワークを介した図示しない外部の装置とのデータのやり取りを中継する。NIC680は、例えば、LAN(Local Area Network)カードである。
このように構成された情報処理装置60は、情報処理装置10と同様の効果を得ることができる。
その理由は、情報処理装置60のCPU610が、プログラムに基づいて情報処理装置10と同様の機能を実現できるためである。
<第2の実施形態>
図6は、第2の実施形態の情報処理装置10の構成の一例を示すブロック図である。
図6は、第2の実施形態の情報処理装置10の構成の一例を示すブロック図である。
図6に示す情報処理装置10は、仮定匿名性算出部200と、匿名化部300とを含む。
仮定匿名性算出部200は、匿名化に必要な情報を基に、各準識別子に対する仮定匿名性を算出する。そして、匿名化部300は、仮定匿名性を用いて、匿名化対象データの準識別子を匿名化する。そのため、図6に示す情報処理装置10は、準識別子毎に適用する匿名化の程度(識別子可能性)を考慮した匿名化後データを生成できる。
つまり、図6に示す情報処理装置10は、図1に示す情報処理装置10と同様の効果を得ることができる。
なお、図6に示す本実施形態の情報処理装置10の構成は、情報処理装置10の最小構成である。
<第3の実施形態>
次に、本発明の第3の実施形態に係る情報処理装置10について説明する。
次に、本発明の第3の実施形態に係る情報処理装置10について説明する。
第3の実施形態に係る情報処理装置10の構成は、第1の実施形態の同様のため、構成の詳細な説明を省略する。そのため、本実施形態の情報処理装置10は、図5のコンピュータを用いて実現しても良い。
また、本実施形態の情報処理装置10において、仮定匿名性算出部200の動作を除き、他の構成の動作は、第1に実施形態と同様である。そのため、他の構成の動作の説明を省略し、本実施形態の仮定匿名性算出部200の動作を中心に説明する。
本実施形態の仮定匿名性算出部200は、少なくとも一部の準識別子に複数の準識別レベル(準識別子らしさ)を適用する。
なお、仮定匿名性算出部200が複数の準識別レベルを適用する準識別子は、取得部100が取得した匿名化のための情報の中で指示されていても良く、予め仮定匿名性算出部200に設定されていても良い。
図面を参照して仮定匿名性算出部200の動作を説明する。
図7は、仮定匿名性算出部200の動作を説明するための図である。
図7において、属性Bの準識別レベルは、図4と同様に0.75である。そのため、情報処理装置10は、図4の第2段階と同様に図7に示す第2段階まで、データを分割する。
ただし、属性Bは、所定の範囲(図7の属性B2の範囲)では、準識別レベルの値を低く(図7では、3分の1の0.25)しても良い。
そこで、仮定匿名性算出部200は、属性B2の範囲の仮定匿名性を、1−匿名性(1=1×0.25)と算出する。
その結果、情報処理装置10は、図7の第3段階に示すように、さらにデータをグループに分ける。
このように、本実施形態の情報処理装置10は、第1の実施形態の効果に加え、より有効性の高い匿名化を実施できるとの効果を得ることができる。
その理由は、次のとおりである。
仮定匿名性算出部200は、所定の準識別子に複数の準識別レベルを適用して仮定匿名性を算出する。そして、匿名化部300が、所定に準識別子の匿名化において、複数の仮定匿名性を用いて匿名化するためである。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成及び詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出する仮定匿名性算出手段と、
前記仮定匿名性に基づいて前記匿名化対象データを匿名化する匿名化手段と
を含む情報処理装置。
個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出する仮定匿名性算出手段と、
前記仮定匿名性に基づいて前記匿名化対象データを匿名化する匿名化手段と
を含む情報処理装置。
(付記2)
前記仮定匿名性算出手段が、
仮定匿名性を算出し、
前記匿名化手段が、
前記各準識別子の匿名化において、各準識別子の仮定匿名性を用いて匿名化する
付記1に記載の情報処理装置。
前記仮定匿名性算出手段が、
仮定匿名性を算出し、
前記匿名化手段が、
前記各準識別子の匿名化において、各準識別子の仮定匿名性を用いて匿名化する
付記1に記載の情報処理装置。
(付記3)
前記仮定匿名性算出手段が、
前記匿名性と前記準識別レベルとの積を基に前記仮定匿名性を算出する
付記1又は付記2に記載の情報処理装置。
前記仮定匿名性算出手段が、
前記匿名性と前記準識別レベルとの積を基に前記仮定匿名性を算出する
付記1又は付記2に記載の情報処理装置。
(付記4)
前記匿名化手段が、
準識別レベルの値が高い準識別子から匿名化処理を進める
付記1ないし付記3のいずれか1項に記載の情報処理装置。
前記匿名化手段が、
準識別レベルの値が高い準識別子から匿名化処理を進める
付記1ないし付記3のいずれか1項に記載の情報処理装置。
(付記5)
前記仮定匿名性算出手段が、
少なくとも一部の準識別子において、複数の準識別レベルを算出し、
前記匿名化手段が、前記複数の仮定匿名性を基に準識別子を匿名化する
付記1ないし付記4のいずれか1項に記載の情報処理装置。
前記仮定匿名性算出手段が、
少なくとも一部の準識別子において、複数の準識別レベルを算出し、
前記匿名化手段が、前記複数の仮定匿名性を基に準識別子を匿名化する
付記1ないし付記4のいずれか1項に記載の情報処理装置。
(付記6)
個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出し、
前記仮定匿名性に基づいて前記匿名化対象データを匿名化する
データ処理方法。
個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出し、
前記仮定匿名性に基づいて前記匿名化対象データを匿名化する
データ処理方法。
(付記7)
個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出する処理と、
前記仮定匿名性に基づいて前記匿名化対象データを匿名化する処理と
をコンピュータに実行させるプログラム。
個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出する処理と、
前記仮定匿名性に基づいて前記匿名化対象データを匿名化する処理と
をコンピュータに実行させるプログラム。
10 情報処理装置
60 情報処理装置
100 取得部
200 仮定匿名性算出部
300 匿名化部
400 出力部
610 CPU
620 ROM
630 RAM
640 内部記憶装置
650 IOC
660 入力機器
670 表示機器
680 NIC
700 記憶媒体
60 情報処理装置
100 取得部
200 仮定匿名性算出部
300 匿名化部
400 出力部
610 CPU
620 ROM
630 RAM
640 内部記憶装置
650 IOC
660 入力機器
670 表示機器
680 NIC
700 記憶媒体
Claims (7)
- 個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出する仮定匿名性算出手段と、
前記仮定匿名性に基づいて前記匿名化対象データを匿名化する匿名化手段と
を含む情報処理装置。 - 前記仮定匿名性算出手段が、
仮定匿名性を算出し、
前記匿名化手段が、
前記各準識別子の匿名化において、各準識別子の仮定匿名性を用いて匿名化する
請求項1に記載の情報処理装置。 - 前記仮定匿名性算出手段が、
前記匿名性と前記準識別レベルとの積を基に前記仮定匿名性を算出する
請求項1又は請求項2に記載の情報処理装置。 - 前記匿名化手段が、
準識別レベルの値が高い準識別子から匿名化処理を進める
請求項1ないし請求項3のいずれか1項に記載の情報処理装置。 - 前記仮定匿名性算出手段が、
少なくとも一部の準識別子において、複数の準識別レベルを算出し、
前記匿名化手段が、前記複数の仮定匿名性を基に準識別子を匿名化する
請求項1ないし請求項4のいずれか1項に記載の情報処理装置。 - 個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出し、
前記仮定匿名性に基づいて前記匿名化対象データを匿名化する
データ処理方法。 - 個人が識別できない程度を示す匿名性と、前記匿名化対象データに含まれる準識別子に基づき個人が識別される程度を示す準識別レベルとに基づいて準識別子の匿名化のための仮定匿名性を算出する処理と、
前記仮定匿名性に基づいて前記匿名化対象データを匿名化する処理と
をコンピュータに実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014007782A JP2015138277A (ja) | 2014-01-20 | 2014-01-20 | 情報処理装置及びデータ処理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014007782A JP2015138277A (ja) | 2014-01-20 | 2014-01-20 | 情報処理装置及びデータ処理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015138277A true JP2015138277A (ja) | 2015-07-30 |
Family
ID=53769269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014007782A Pending JP2015138277A (ja) | 2014-01-20 | 2014-01-20 | 情報処理装置及びデータ処理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2015138277A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017091515A (ja) * | 2015-11-03 | 2017-05-25 | パロ アルト リサーチ センター インコーポレイテッド | 匿名化のために属性を自動的に識別するコンピュータ実装システムおよび方法 |
-
2014
- 2014-01-20 JP JP2014007782A patent/JP2015138277A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017091515A (ja) * | 2015-11-03 | 2017-05-25 | パロ アルト リサーチ センター インコーポレイテッド | 匿名化のために属性を自動的に識別するコンピュータ実装システムおよび方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11748517B2 (en) | Smart de-identification using date jittering | |
| CA2888560C (en) | Dicom de-identification system and method | |
| KR102442737B1 (ko) | 암호화된 데이터를 익명화하기 위한 컴퓨터 구현 시스템 및 방법 | |
| US20210165913A1 (en) | Controlling access to de-identified data sets based on a risk of re- identification | |
| CN109885786B (zh) | 数据缓存处理方法、装置、电子设备及可读存储介质 | |
| US10614236B2 (en) | Self-contained consistent data masking | |
| US11093645B2 (en) | Coordinated de-identification of a dataset across a network | |
| US20160306999A1 (en) | Systems, methods, and computer-readable media for de-identifying information | |
| EP2867820A1 (en) | Devices, systems, and methods for monitoring and asserting trust level using persistent trust log | |
| EP2989586A1 (en) | Multi-tier storage based on data anonymization | |
| JP2019144723A (ja) | 匿名加工装置、情報匿名化方法、およびプログラム | |
| JP6711519B2 (ja) | 評価装置、評価方法及びプログラム | |
| JP7413406B2 (ja) | 共通個人情報に関する同意 | |
| JP2017215868A (ja) | 匿名化処理装置、匿名化処理方法、及びプログラム | |
| US11200218B2 (en) | Providing consistent data masking using causal ordering | |
| WO2020095662A1 (ja) | 匿名化システムおよび匿名化方法 | |
| JP2015138277A (ja) | 情報処理装置及びデータ処理方法 | |
| CN109840250B (zh) | 中间字段的访问权限管理方法、装置、设备和存储介质 | |
| JPWO2016203752A1 (ja) | 情報処理装置、情報処理方法、及び、プログラム | |
| JP6549076B2 (ja) | 匿名化テーブル生成装置、匿名化テーブル生成方法、プログラム | |
| JP2016099806A (ja) | ライセンス管理サーバー、ライセンス管理方法、およびライセンス管理プログラム | |
| JP6000175B2 (ja) | 匿名化システム、匿名化装置、利用者装置、匿名化方法、およびプログラム | |
| US20170249426A1 (en) | A system and methods for managing healthcare resources | |
| JP6322967B2 (ja) | データ保護装置、方法、および、プログラム | |
| KR20210137612A (ko) | 블록체인을 관리하기 위한 장치, 방법, 시스템 및 컴퓨터 판독가능 저장 매체 |