JP2015219653A - 制御装置、制御方法、及び制御プログラム - Google Patents
制御装置、制御方法、及び制御プログラム Download PDFInfo
- Publication number
- JP2015219653A JP2015219653A JP2014101674A JP2014101674A JP2015219653A JP 2015219653 A JP2015219653 A JP 2015219653A JP 2014101674 A JP2014101674 A JP 2014101674A JP 2014101674 A JP2014101674 A JP 2014101674A JP 2015219653 A JP2015219653 A JP 2015219653A
- Authority
- JP
- Japan
- Prior art keywords
- pattern
- data
- anonymity
- abstraction
- determination target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 14
- 238000010586 diagram Methods 0.000 description 23
- 230000015654 memory Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010367 cloning Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】利用対象である匿名化データの個人特定リスクを低減する。
【解決手段】制御装置10において選択部13は、取得部12で取得した複数の抽象化パターンのうちの各抽象化パターンを順次判定対象パターンとする。そして、選択部13は、判定対象パターンがk−匿名性に基づく匿名要件を満たす場合、判定対象パターンに対応する取得部12で取得された匿名化データを、利用対象データの候補として選択する。そして、「匿名要件」は、判定対象パターンが下位抽象化パターンである場合には、判定対象パターンがk−匿名性クリア基準を満し、且つ、判定対象パターンと同じ抽象化パターングループの上位抽象化パターンのk値から、その抽象化グループにおいて判定対象パターンを含む(N−Kn)個(Knは1以上N未満の自然数)の下位抽象化パターンのk値の総和を減算した値を、Knで除算した値がk−匿名性を満たすこと、という条件を含む。
【選択図】図1
【解決手段】制御装置10において選択部13は、取得部12で取得した複数の抽象化パターンのうちの各抽象化パターンを順次判定対象パターンとする。そして、選択部13は、判定対象パターンがk−匿名性に基づく匿名要件を満たす場合、判定対象パターンに対応する取得部12で取得された匿名化データを、利用対象データの候補として選択する。そして、「匿名要件」は、判定対象パターンが下位抽象化パターンである場合には、判定対象パターンがk−匿名性クリア基準を満し、且つ、判定対象パターンと同じ抽象化パターングループの上位抽象化パターンのk値から、その抽象化グループにおいて判定対象パターンを含む(N−Kn)個(Knは1以上N未満の自然数)の下位抽象化パターンのk値の総和を減算した値を、Knで除算した値がk−匿名性を満たすこと、という条件を含む。
【選択図】図1
Description
本発明は、制御装置、制御方法、及び制御プログラムに関する。
近年、情報漏洩の問題及び個人情報保護法の制定等により、個人情報の取り扱いが問題となっている。個人情報は、公的機関のみならず、種々の企業によって収集されている。例えば、商品又はサービスを購入する消費者(以下では、「個人」と呼ぶことがある)が商品又はサービスを購入する際に、会員登録することがある。この会員登録時には、通常、個人の氏名、年齢、性別、住所、及びメールアドレス等のデータが、個人に割り振られた個人IDと対応づけられた状態で、企業のシステムに登録(記憶)される。すなわち、企業のシステムは、「個人情報データ」を記憶しておく。ここで、「個人情報データ」は、例えば、氏名、年齢、性別、住所、メールアドレス、及び個人IDを含む。さらに、企業のシステムは、個人情報データが既に登録されている個人が商品又はサービスを購入する度に、その個人のIDに対応づけて、購入された商品又はサービスに関する情報を記憶する。これにより、企業は、収集した個人情報データを用いて、企業活動に利用することができる。
一方で、例えば、個人情報データを収集した第1の企業以外の第2の企業が、その個人情報データを利用することを望むことがある。すなわち、データ収集主体とデータ利用主体とが異なる可能性がある。しかしながら、個人情報保護の観点から、個人の許可を得ること無しに、個人情報データそのものを提供することはできない。そこで、個人情報データを、個人を特定できない状態のデータ(以下では、「匿名化データ」と呼ぶことがある)に変換し、匿名化データを利用することが考えられている。
コンピュータセキュリティシンポジウム2009 (CSS2009) 論文集、page 1-6,"k-匿名性の確率的指標への拡張とその適用例",2011-10-12
しかしながら、従来の匿名化データの利用提供技術では、匿名化データが、個人を特定されるリスク(つまり、「個人特定リスク」)が十分低減されたレベル(つまり、「匿名目標レベル」)に達していない状態で利用対象として提供されている可能性がある。
開示の技術は、上記に鑑みてなされたものであって、利用対象である匿名化データの個人特定リスクを低減することができる、制御装置、制御方法、及び制御プログラムを提供することを目的とする。
開示の態様では、匿名化データの利用を制御する制御装置は、取得部と、選択部とを有する。前記取得部は、匿名化データ群を取得し、各匿名化データは個人の情報に関する少なくとも1つの項目値を含む個人情報データが項目値についての複数の抽象化パターンに従って匿名化されたデータである。前記記憶部は、上位レイヤの上位抽象化パターンと前記上位レイヤの下のレイヤである下位レイヤのN(Nは2以上の自然数)個の下位抽象化パターンとを含む抽象化パターングループに関する情報を記憶する。前記選択部は、各抽象化パターンを順次判定対象パターンとし、判定対象パターンがk−匿名性に基づく匿名要件を満たす場合、前記判定対象パターンに対応する前記取得部で取得した匿名化データを、利用対象データとして選択する。前記匿名要件は、条件を含む。前記条件は、前記判定対象パターンが下位抽象化パターンである場合には、前記判定対象パターンがk−匿名性クリア基準を満し、且つ、前記判定対象パターンと同じ抽象化パターングループの上位抽象化パターンのk値から、前記同じ抽象化パターングループにおいて前記判定対象パターンを含む(N−n)個(nは1以上N未満の自然数)の下位抽象化パターンのk値の総和を減算した値を、nで除算した値が、k−匿名性クリア基準を満たすことである。
開示の態様によれば、利用対象である匿名化データの個人特定リスクを低減することができる。
以下に、本願の開示する制御装置、制御方法、及び制御プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願の開示する制御装置、制御方法、及び制御プログラムが限定されるものではない。また、実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略される。
[実施例1]
[制御装置の構成例]
図1は、実施例1の制御装置の一例を示すブロック図である。図1において、制御装置10は、記憶部11と、取得部12と、選択部13とを有する。
[制御装置の構成例]
図1は、実施例1の制御装置の一例を示すブロック図である。図1において、制御装置10は、記憶部11と、取得部12と、選択部13とを有する。
記憶部11は、「匿名化データテーブル」を記憶している。「匿名化データテーブル」には、「匿名化データ群」が記憶されている。「匿名化データ群」は、項目値についての複数の「抽象化パターン」に基づいて個人情報データを抽象化して得られた複数の匿名化データを含んでいる。例えば、個人IDと項目である年齢及び性別のそれぞれに対応する項目値を含み且つ個人IDが「111」、年齢の項目値が「18歳」、性別の項目値が「男」である個人情報データの場合、「匿名化データ群」には、個人ID「111」の個人に対応する匿名化データとして、「10代、男」、「10代以下、男」、「学生、男」等が含まれている。ここで、「10代、男」、「10代以下、男」、「学生、男」は、それぞれ異なる「抽象化パターン」である。すなわち、個人IDが「111」、年齢「18歳」、性別「男」である個人情報データの場合、第1の抽象化パターン「10代、男」で抽象化した匿名化データが、個人ID「111」に対応する「10代、男」というデータとなる。また、第2の抽象化パターン「10代以下、男」で抽象化した匿名化データが、個人ID「111」に対応する「10代以下、男」というデータとなる。また、第3の抽象化パターン「学生、男」で抽象化した匿名化データが、個人ID「111」に対応する「学生、男」というデータとなる。なお、「匿名化データテーブル」では、匿名化データ毎に異なる番号(つまり、「匿名化データ識別情報」)が付されている。
また、記憶部11は、「抽象化パターングループテーブル(以下では、単に「グループテーブル」と呼ぶことがある)」を記憶している。グループテーブルには、複数の「抽象化パターングループ」に関する情報が記憶されている。抽象化パターングループは、上位レイヤの「上位抽象化パターン」と上位レイヤの下のレイヤである下位レイヤのN(Nは2以上の自然数)個の「下位抽象化パターン」とを含む。1つの抽象化パターングループにおいて、上位抽象化パターンは、下位抽象化パターンの上位概念となっている。すなわち、例えば、上位抽象化パターンとしての「20代」と、下位抽象化パターンとしての「20代、男性」及び「20代、女性」とは、1つの抽象化パターングループを構成し得る。また、例えば、上位抽象化パターンとしての「高校生」と、下位抽象化パターンとしての「16才」、「17才」及び「18才」とは、1つの抽象化パターングループを構成し得る。
取得部12は、記憶部11に記憶されている匿名化データ群を取得し、取得した匿名化データ群を選択部13へ出力する。
選択部13は、上記の複数の「抽象化パターン」のうちの各抽象化パターンを順次判定対象パターンとする。そして、選択部13は、判定対象パターンがk−匿名性に基づく匿名要件を満たす場合、判定対象パターンに対応する取得部12で取得された匿名化データを、利用対象データの候補として選択する。ここで、「匿名要件」は、少なくとも「k−匿名性」に基づく。
例えば、「匿名要件」は、「第1条件」及び「第2条件」を含む。「第1条件」は、判定対象パターンが上位抽象化パターンである場合には、判定対象パターンがk−匿名性クリア基準を満すこと、である。「第2条件」は、判定対象パターンが下位抽象化パターンである場合には、判定対象パターンがk−匿名性クリア基準を満し、且つ、判定対象パターンと同じ抽象化パターングループの上位抽象化パターンのk値から、その抽象化グループにおいて判定対象パターンを含む(N−Kn)個(Knは1以上N未満の自然数である設定値)の下位抽象化パターンのk値の総和を減算した値を、Knで除算した値がk−匿名性を満たすこと、である。特に、本明細書では、「第2条件」を「Kn−匿名性」と呼ぶことがある。なお、「第2条件」における「判定対象パターンを含まないKn個の下位抽象化パターン」は、好ましくは、抽象化パターングループに含まれる下位抽象化パターンのうちでk値が小さい方からKn個の下位抽象化パターンである。
[制御装置の動作例]
以上の構成を有する制御装置の処理動作の一例について説明する。図2は、実施例1の制御装置の処理動作の一例を示すフローチャートである。
以上の構成を有する制御装置の処理動作の一例について説明する。図2は、実施例1の制御装置の処理動作の一例を示すフローチャートである。
制御装置10において、取得部12は、匿名化データ群を取得する(ステップS101)。
選択部13は、各抽象化パターンについて匿名要件を満たしているか否かを判定する(ステップS102)。上記の様に、例えば、「匿名要件」は、「第1条件」及び「第2条件」を含む。「第1条件」は、判定対象パターンが上位抽象化パターンである場合には、判定対象パターンがk−匿名性クリア基準を満すこと、である。「第2条件」は、判定対象パターンが下位抽象化パターンである場合には、判定対象パターンがk−匿名性クリア基準を満し、且つ、判定対象パターンと同じ抽象化パターングループの上位抽象化パターンのk値から、その抽象化パターングループにおいて判定対象パターンを含む(N−Kn)個(Knは1以上N未満の自然数)の下位抽象化パターンのk値の総和を減算した値を、Knで除算した値がk−匿名性を満たすこと、である。
ここで、選択部13による「判定処理」の詳細について説明する。図3から図6は、選択部による判定処理の一例の説明に供する図である。図3には、「k−匿名性判定テーブル」が示されている。また、図4には、「k−匿名性判定テーブル」のエントリ群のうちで、k−匿名性が満たされたエントリを挙げたテーブルである。また、図5には、上記の「グループテーブル」の一例が示されている。また、図6は、「k−匿名性判定テーブル」のエントリ群のうちで、「k−匿名性」及び「Kn−匿名性」を満たしたエントリを挙げたテーブルである。
図3に示す「k−匿名性判定テーブル」では、複数の抽象化パターンと、各抽象化パターンに対応する「存在数」とが対応づけられている。「存在数」の値は、対応づけられた抽象化パターンに対応する匿名化データが取得部12で取得された匿名化データ群にいくつ含まれているかを示している。また、図3に示す「k−匿名性判定テーブル」において「k−匿名性」の項目値である「○」は、「存在数」の項目値が10以上であることを示しており、項目値「△」は、「存在数」の項目値が10未満であることを示している。ここでは、「k−匿名性のクリア基準値」が「10」に設定されている。
すなわち、「判定処理」において、選択部13は、k−匿名性判定テーブルの各抽象化パターンについて、k−匿名性を満たしているか否か、つまり、「存在数」の項目値が「k−匿名性のクリア基準値」以上であるか否かを判定する。そして、選択部13は、k−匿名性を満たしている複数の抽象化パターンを抽出する。この抽出の結果が、図4に示されている。
そして、選択部13は、k−匿名性をクリアした各抽象化パターンについて、Kn−匿名性を満たしているか否かを判定する。このとき、選択部13は、上記のグループテーブルを利用する。例えば、図5に示すグループテーブルでは、識別番号1の抽象化パターングループが定義されており、抽象化パターングループ1は、上位抽象化パターンとして「20代」、下位抽象化パターンとして「20代、男性」及び「20代、女性」を含んでいる。また、図3に示すように、抽象化パターン「20代」の存在数の値、つまり、k値は、「30」であり、抽象化パターン「20代、男性」のk値は、「21」であり、抽象化パターン「20代、女性」のk値は、「9」である。
抽象化パターン「20代、男性」を上記の判定対象パターンとすると、抽象化パターン「20代」のk値「30」から抽象化パターン「20代、男性」のk値「21」を減算した値を「1(=Kn)」で除算した値は、「9」となる。この値「9」は、k−匿名性クリア基準(つまり、10以上)を満たしていないので、判定対象パターンは、「Kn−匿名性」を満たしていない。すなわち、抽象化パターン「20代、男性」に対応する匿名化データと抽象化パターン「20代、男性」に対応する匿名化データとを開示してしまうと、抽象化パターン「20代、女性」に対応する匿名化データの個人特定リスクが十分に低下されていない可能性がある。そこで、選択部13は、抽象化パターン「20代、男性」については、「匿名要件」を満たしていないと判定する。従って、抽象化パターン「20代、男性」は、図6に示すエントリ、つまり、「k−匿名性」及び「Kn−匿名性」を満たしたエントリから除外されている。なお、ここで挙げた例は、Kn=1のケースである。
また、Kn=2のケースを、一例を挙げて説明する。図7は、Kn−匿名性(Kn=2)の説明に供する図である。上位抽象化パターンとして「高校生」、下位抽象化パターンとして「16才」、「17才」及び「18才」は、1つの抽象化パターングループを構成している。抽象化パターン「16才」を上記の判定対象パターンとすると、抽象化パターン「高校生」のk値「70」から、抽象化パターン「16才」のk値「45」を減算した値を、「2(=Kn)」で除算した値は、「12.5」となる。この値「12.5」は、k−匿名性クリア基準(つまり、10以上)を満たしているので、判定対象パターンは、「Kn−匿名性」を満たしている。仮に、算出結果が「12.5」でなく、10未満の値となった場合には、選択部13は、判定対象パターンが「匿名要件」を満たしていないと判定する。
図2の説明に戻り、選択部13は、匿名化要件を満たした抽象化パターンに対応する匿名化データを、利用対象データの候補として選択する(ステップS103)。
因みに、抽象化パターンのジャンルを「年齢」に絞った場合、複数の抽象化パターンは、図8に示すような「木構造」で表すことができる。図8は、抽象化パターンの説明に供する図である。図8において、上に描かれている抽象化パターンほど、それのレイヤ(つまり、階層)は上位となる。また、「木構造」は、図9に示すようなテーブルとして形成することもできる。図9は、抽象化パターンの説明に供する図である。また、抽象化パターンは、図10に示すように、分類別に整理することもできる。図10は、抽象化パターンの分類の一例を示す図である。図10(a)には、分類Aの抽象化パターンの分類テーブルが示されている。図10(b)には、分類Bの抽象化パターンの分類テーブルが示されている。図10(c)には、分類Cの抽象化パターンの分類テーブルが示されている。図10(d)には、分類Dの抽象化パターンの分類テーブルが示されている。図10(e)には、分類Eの抽象化パターンの分類テーブルが示されている。図10(f)には、分類Fの抽象化パターンの分類テーブルが示されている。図10(g)には、分類Gの抽象化パターンの分類テーブルが示されている。これら分類A〜Gは、図3,4,6におけるパターン分類識別情報に対応し、各分類テーブルにおけるエントリ番号(図示せず)が図3,4,6における分類内番号に対応する。
以上のように本実施例によれば、制御装置10において選択部13は、取得部12で取得した複数の抽象化パターンのうちの各抽象化パターンを順次判定対象パターンとする。そして、選択部13は、判定対象パターンがk−匿名性に基づく匿名要件を満たす場合、判定対象パターンに対応する取得部12で取得された匿名化データを、利用対象データの候補として選択する。そして、「匿名要件」は、判定対象パターンが下位抽象化パターンである場合には、判定対象パターンがk−匿名性クリア基準を満し、且つ、判定対象パターンと同じ抽象化パターングループの上位抽象化パターンのk値から、その抽象化グループにおいて判定対象パターンを含む(N−Kn)個(Knは1以上N未満の自然数である設定値)の下位抽象化パターンのk値の総和を減算した値を、Knで除算した値がk−匿名性を満たすこと、という条件を含む。
この制御装置10の構成により、匿名要件を満たした抽象化パターンに対応する匿名化データのみを利用対象データの候補とすることができる。これにより、個人特定リスクを低減することができる。さらに、k−匿名性に加えてKn−匿名性も考慮して、つまり、抽象化パターングループ内で一の抽象化パターン群に対応する匿名化データから他の抽象化パターンに対応する匿名化データを類推できる可能性を考慮して、利用対象データの候補を選択できる。この結果として、k−匿名性にのみ基づく場合に比べて、個人特定リスクをさらに低減することができる。
なお、「条件」における「判定対象パターンを含まないKn個の下位抽象化パターン」は、好ましくは、抽象化パターングループに含まれる下位抽象化パターンのうちでk値が小さい方からKn個の下位抽象化パターンである。
なお、以上の説明では、匿名化データテーブルが制御装置10に記憶されていることを前提として説明を行ったが、これに限定されるものではない。例えば、匿名化データテーブルは、制御装置10とは別体の装置(例えば、個人情報テータの収集主体である企業等の装置)に記憶されていてもよい。
[実施例2]
実施例2は、実施例1で選択された利用対象データの候補を、利用対象データとして決定する処理に関する。
実施例2は、実施例1で選択された利用対象データの候補を、利用対象データとして決定する処理に関する。
図11は、実施例2の制御装置の一例を示すブロック図である。図11において、制御装置20は、決定部21と、出力制御部22とを有する。
決定部21は、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、「利用対象データ」として決定する。
「利用要件」は、例えば、「モラル要件」を含む。「モラル要件」は、例えば、匿名化データの利用者の属性、及び、匿名化データの利用者による利用態様の少なくともいずれか一方を含む。また、「モラル要件」として、匿名化データの利用を禁止する企業を定めてもよい。例えば、利用者の属性が風俗営業等である場合には、利用要件が満たされず、利用対象データの候補は、その利用者に対しては利用対象データとはされない。また、利用者による利用態様がアダルト関係の広告配信等である場合にも、利用要件が満たされず、利用対象データの候補は、その利用者に対しては利用対象データとはされない。
また、「利用要件」のパラメータとして、ユーザ又は第三者(法律家を含んでもよい)のアンケート結果、及び、インターネットにおける風評(顧客のクレームの数を含んでもよい)等から求められる「定性指標」が用いられてもよい。図12は、実施例2の定性指標の説明に供する図である。
図12の「定性指標テーブル」は、項目として、「意見聴取者」、「人数」、「頻度」、「確認」、「下限設定」、「現在の値」、「優先度」を含んでいる。
図12の定性指標テーブルでは、「意見聴取者」として、「法学者・研究者」、「感度の高い顧客」、「通常のユーザ」、「自社の顧客以外」、「フェイスブック(登録商標)の該当ページへのコメント数」、「ツイッター(登録商標)の該当商品を含むつぶやき」が含まれている。
「法学者・研究者」に着目すると、「人数」の項目値である「10人」は、アンケートに答えた「法学者・研究者」の数が10人であることを意味している。また、「頻度」の項目値である「1回/月」は、月に1回の頻度でアンケートを実行していることを示している。また、「確認」の項目値である「不許可率」は、対象の利用者に匿名化データを利用させることについて不許可と回答した人数の割合を、「現在の値」の項目値とすることを示している。また、「下限設定」の項目値である「6人」は、アンケート回答者の必要最小限の値であり、6人を下回った場合には、その利用者への匿名化データの提供は一時停止される。「優先度」は、「現在の値」の項目値に対する重み付け係数である。すなわち、図12のテーブルでは、「法学者・研究者」、「感度の高い顧客」、「通常のユーザ」、「自社の顧客以外」の順番で重要度が低くなっている。この優先度を調整することで、多様な設定を行うことができる。また、「フェイスブック(登録商標)の該当ページへのコメント数」及び「ツイッター(登録商標)の該当商品を含むつぶやき」に対応するネガティブコメント数は、クローニングによって収集され、その数に対するデータマイニングの結果が「現在の値」の項目値となる。
また、「利用要件」のパラメータには、例えば、匿名化データの利用者候補が事前に指定してきた、「k−匿名性の最低目標値」が含まれてもよい。すなわち、利用対象データの候補であっても、利用対象データの候補に対応する抽象化パターンのk−匿名性の値が、利用者候補が指定した「k−匿名性の最低目標値」より小さい場合、その利用対象データの候補は、その利用者候補に対しては利用対象データとはされない。つまり、「利用対象データの候補に対応する抽象化パターンのk−匿名性の値が、利用者候補が指定したk−匿名性の最低目標値以上であること」が、「利用要件」となる。
また、「利用要件」のパラメータには、例えば、利用対象データの候補に対応する抽象化パターンの「価値」が含まれてもよい。この「価値」は、例えば、制御装置20が有する価値算出部(図示せず)によって、抽象化パターンを構成する各項目値毎についての、インターネットにおけるアクセス数又はクリック数等に基づいて、算出される。例えば、「算出された価値の最も高い抽象化パターンに対応する利用対象データの候補であること」が、「利用要件」となる。
また、「利用要件」のパラメータには、匿名化データの利用者候補が事前に指定してきた「利用希望抽象化パターン」が含まれていてもよい。すなわち、「利用希望抽象化パターンと対応する利用対象データの候補であること」が、「利用要件」となる。
なお、以上で例示した複数の利用要件は、それぞれ単独で用いられてもよいし、任意の組み合わせで用いられてもよい。また、1個人について利用対象データである匿名化データが複数存在する場合、決定部21は、最も詳しい、つまり項目値が下位概念である抽象化パターンに対応する匿名化データを利用対象データに決定すればよい。
図11の説明に戻り、出力制御部22は、決定部21で決定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。
例えば、利用者が利用態様として「広告配信」を事前に指定してきている場合、出力制御部22は、決定部21で決定された利用対象データに対応する個人に対して、その利用者から事前に取得している情報(例えば、広告及びクーポン等)を報知する制御を行う。例えば、記憶部11には、「個人情報テーブル」が記憶されている。「個人情報テーブル」には、匿名化データの元となる個人情報データが記憶されている。各個人情報データは、例えば、個人ID、及び、個人の情報に関する少なくとも1つの項目値を含む。例えば、項目値の1つとして、個人のメールアドレスが含まれている。また、例えば、記憶部11には、個人IDと、上記の匿名化データ識別情報とを対応づけて記憶する「識別情報対応テーブル」が記憶されている。そして、出力制御部22は、決定部21で決定された利用対象データの識別情報を、上記の匿名化データテーブルを用いて特定する。そして、出力制御部22は、特定した利用対象データの識別情報に対応する個人IDを、識別情報対応テーブルを用いて特定する。そして、出力制御部22は、特定した個人IDに対応するメールアドレスを用いて、広告を送信する。
また、例えば、利用者が利用態様として「匿名化データの配信」を事前に指定してきている場合、出力制御部22は、その利用者の端末に対して利用対象データを送信する。
なお、出力制御部22は、実際に利用された利用対象データに対応する抽象化パターンのk−匿名性の値及び利用者識別情報を含むログ情報を、記憶部11に記憶させてもよい。
以上のように本実施例によれば、制御装置20において、決定部21は、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、選択部13で選択した利用対象データの候補を、利用対象データとして決定する。
この制御装置20の構成により、匿名要件に加えて利用要件を満たした利用対象データの候補のみを利用対象データとすることができるので、匿名化データ利用における、個人及び利用者等のリスクを低減させることができる。
[実施例3]
実施例3は、実施例1及び実施例2で選択された利用対象データの候補を、オークション形式で利用対象データとして決定する処理に関する。
実施例3は、実施例1及び実施例2で選択された利用対象データの候補を、オークション形式で利用対象データとして決定する処理に関する。
図13は、実施例3の制御装置の一例を示すブロック図である。図13において、制御装置30は、オークション制御部31を有する。
オークション制御部31は、選択部13で選択した利用対象データの候補に対応する抽象化パターン(つまり、上記の利用パターンの候補)に関する情報を、オークション対象の情報として利用者候補に公開する制御を行う。例えば、オークション制御部31は、利用者候補の端末からアクセスされると、「公開テーブル」を利用者候補の端末に表示させる制御を行う。「公開テーブル」は、例えば、項目として、「抽象化パターン」と、「抽象化パターンの番号」と、「k−匿名性の値」とを含む。すなわち、「公開テーブル」では、選択部13で選択した利用対象データの複数の候補にそれぞれ対応する複数の抽象化パターンと、各抽象化パターンに対応する、識別情報及びk−匿名性の値とが対応づけられている。
そして、オークション制御部31は、公開した各抽象化パターン(つまり、各オークション対象)に対する入札を受け付ける入札受付処理を行い、各オークション対象について最も入札額の高い利用者候補にそのオークション対象を落札させる。
そして、オークション制御部31は、落札されたオークション対象に対応する、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、利用対象データとして決定する。なお、オークション制御部31は、落札された抽象化パターンの識別情報と、上記のパターン対応テーブルとを用いて、落札された抽象化パターンに対応する匿名化データを特定し、これを利用対象データとして決定してもよい。また、オークション制御部31は、落札された抽象化パターンの識別情報と、落札した利用者の識別情報と、その利用者が指定してきている利用態様の識別情報とを対応づけた「落札パターンテーブル」を、記憶部11に記憶させてもよい。
ここで、オークション制御部31の「利用要件」としては、実施例2で説明したものを用いることができる。
そして、出力制御部22は、オークション制御部31で決定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。
以上のように本実施例によれば、制御装置30において、オークション制御部31は、選択部13で選択した利用対象データの候補に対応する抽象化パターンに関する情報をオークション対象の情報として利用者候補に公開し、オークション対象を利用者候補に落札させる。
この制御装置30の構成により、匿名要件を満たした抽象化パターンのみをオークション対象として公開することができるので、オークションにおける個人特定リスクを低減することができる。
また、オークション制御部31は、落札されたオークション対象に対応する、選択部13で選択した利用対象データの候補が利用要件を満たしている場合、選択部13で選択した利用対象データの候補を、利用対象データとして決定する。
この制御装置30の構成により、匿名要件に加えて利用要件を満たした利用対象データの候補のみを利用対象データとすることができるので、匿名化データの利用における、個人及び利用者等のリスクを低減させることができる。
[他の実施例]
実施例1から実施例3で図示した各部の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各部の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。
実施例1から実施例3で図示した各部の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各部の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。
更に、各装置で行われる各種処理機能は、CPU(Central Processing Unit)(又はMPU(Micro Processing Unit)、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部又は任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(又はMPU、MCU等のマイクロ・コンピュータ)で解析実行するプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしてもよい。
実施例1から実施例3の制御装置は、例えば、次のようなハードウェア構成により実現することができる。
図14は、制御装置のハードウェア構成例を示す図である。図14に示すように、制御装置100は、プロセッサ101と、メモリ102と、IF(InterFace)103を有する。
プロセッサ101の一例としては、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)等が挙げられる。また、メモリ102の一例としては、SDRAM(Synchronous Dynamic Random Access Memory)等のRAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ等が挙げられる。
そして、実施例1から実施例3の制御装置で行われる各種処理機能は、不揮発性記憶媒体などの各種メモリに格納されたプログラムを制御装置が備えるプロセッサで実行することによって実現してもよい。すなわち、取得部12と、選択部13と、決定部21と、出力制御部22と、オークション制御部31とによって実行される各処理に対応するプログラムがメモリ102に記録され、各プログラムがプロセッサ101で実行されてもよい。また、記憶部11は、メモリ102によって実現される。
10,20,30 制御装置
11 記憶部
12 取得部
13 選択部
21 決定部
22 出力制御部
31 オークション制御部
11 記憶部
12 取得部
13 選択部
21 決定部
22 出力制御部
31 オークション制御部
Claims (7)
- 匿名化データの利用を制御する制御装置であって、
匿名化データ群を取得し、各匿名化データは個人の情報に関する少なくとも1つの項目値を含む個人情報データが項目値についての複数の抽象化パターンに従って匿名化されたデータである、取得部と、
上位レイヤの上位抽象化パターンと前記上位レイヤの下のレイヤである下位レイヤのN(Nは2以上の自然数)個の下位抽象化パターンとを含む抽象化パターングループに関する情報を記憶する記憶部と、
各抽象化パターンを順次判定対象パターンとし、判定対象パターンがk−匿名性に基づく匿名要件を満たす場合、前記判定対象パターンに対応する前記取得部で取得した匿名化データを、利用対象データとして選択する選択部と、
を具備し、
前記匿名要件は、前記判定対象パターンが下位抽象化パターンである場合には、前記判定対象パターンがk−匿名性クリア基準を満し、且つ、前記判定対象パターンと同じ抽象化パターングループの上位抽象化パターンのk値から、前記同じ抽象化パターングループにおいて前記判定対象パターンを含む(N−n)個(nは1以上N未満の自然数)の下位抽象化パターンのk値の総和を減算した値を、nで除算した値が、k−匿名性クリア基準を満たすことである、条件を含む、
制御装置。 - 前記選択した利用対象データの候補が利用要件を満たしている場合、前記選択した利用対象データの候補を、前記利用対象データとして決定する決定部を、さらに具備することを特徴とする請求項1に記載の制御装置。
- 前記選択した利用対象データの候補に対応する抽象化パターンに関する情報をオークション対象の情報として利用者候補に公開し、前記オークション対象を前記利用者候補に落札させ、前記落札されたオークション対象に対応する、前記選択した利用対象データの候補が利用要件を満たしている場合、前記選択した利用対象データの候補を、前記利用対象データとして決定するオークション制御部を、さらに具備することを特徴とする請求項1に記載の制御装置。
- 前記決定した利用対象データに対応する個人に対して、前記決定した利用対象データの利用者から取得した情報を報知する出力制御部を、さらに具備することを特徴とする請求項2又は3に記載の制御装置。
- 前記決定した利用対象データに対応する利用者の端末に対して、前記決定した利用対象データを送信する出力制御部を、さらに具備することを特徴とする請求項2又は3に記載の制御装置。
- 匿名化データの利用を制御する制御方法であって、
匿名化データ群を取得し、取得した各匿名化データは個人の情報に関する少なくとも1つの項目値を含む個人情報データが項目値についての複数の抽象化パターンに従って匿名化されたデータであり、
各抽象化パターンを順次判定対象パターンとし、判定対象パターンがk−匿名性に基づく匿名要件を満たす場合、前記判定対象パターンに対応する前記取得部で取得した匿名化データを、利用対象データとして選択し、
前記匿名要件は、前記判定対象パターンが下位抽象化パターンである場合には、前記判定対象パターンがk−匿名性クリア基準を満し、且つ、前記判定対象パターンと同じ抽象化パターングループの上位抽象化パターンのk値から、前記同じ抽象化パターングループにおいて前記判定対象パターンを含む(N−n)個(Nは2以上の自然数、nは1以上N未満の自然数)の下位抽象化パターンのk値の総和を減算した値を、nで除算した値が、k−匿名性クリア基準を満たすことである、条件を含み、
前記抽象化パターングループは、上位レイヤの上位抽象化パターンと前記上位レイヤの下のレイヤである下位レイヤのN個の下位抽象化パターンとを含む、
制御方法。 - 匿名化データの利用を制御する制御プログラムであって、
匿名化データ群を取得し、取得した各匿名化データは個人の情報に関する少なくとも1つの項目値を含む個人情報データが項目値についての複数の抽象化パターンに従って匿名化されたデータであり、
各抽象化パターンを順次判定対象パターンとし、判定対象パターンがk−匿名性に基づく匿名要件を満たす場合、前記判定対象パターンに対応する前記取得部で取得した匿名化データを、利用対象データとして選択する、
処理をコンピュータに実行させ、
前記匿名要件は、前記判定対象パターンが下位抽象化パターンである場合には、前記判定対象パターンがk−匿名性クリア基準を満し、且つ、前記判定対象パターンと同じ抽象化パターングループの上位抽象化パターンのk値から、前記同じ抽象化パターングループにおいて前記判定対象パターンを含む(N−n)個(Nは2以上の自然数、nは1以上N未満の自然数)の下位抽象化パターンのk値の総和を減算した値を、nで除算した値が、k−匿名性クリア基準を満たすことである、条件を含み、
前記抽象化パターングループは、上位レイヤの上位抽象化パターンと前記上位レイヤの下のレイヤである下位レイヤのN個の下位抽象化パターンとを含む、
制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014101674A JP6347665B2 (ja) | 2014-05-15 | 2014-05-15 | 制御装置、制御方法、及び制御プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014101674A JP6347665B2 (ja) | 2014-05-15 | 2014-05-15 | 制御装置、制御方法、及び制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015219653A true JP2015219653A (ja) | 2015-12-07 |
| JP6347665B2 JP6347665B2 (ja) | 2018-06-27 |
Family
ID=54778978
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014101674A Active JP6347665B2 (ja) | 2014-05-15 | 2014-05-15 | 制御装置、制御方法、及び制御プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6347665B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022264205A1 (ja) * | 2021-06-14 | 2022-12-22 | 日本電信電話株式会社 | データ処理システム、秘密計算装置、データ処理方法、プログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110178943A1 (en) * | 2009-12-17 | 2011-07-21 | New Jersey Institute Of Technology | Systems and Methods For Anonymity Protection |
| WO2014061275A1 (ja) * | 2012-10-18 | 2014-04-24 | 日本電気株式会社 | 情報処理装置及び情報処理方法 |
| JP2014153944A (ja) * | 2013-02-08 | 2014-08-25 | Nifty Corp | 情報処理装置 |
-
2014
- 2014-05-15 JP JP2014101674A patent/JP6347665B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110178943A1 (en) * | 2009-12-17 | 2011-07-21 | New Jersey Institute Of Technology | Systems and Methods For Anonymity Protection |
| WO2014061275A1 (ja) * | 2012-10-18 | 2014-04-24 | 日本電気株式会社 | 情報処理装置及び情報処理方法 |
| JP2014153944A (ja) * | 2013-02-08 | 2014-08-25 | Nifty Corp | 情報処理装置 |
Non-Patent Citations (1)
| Title |
|---|
| 千田浩司,他: "統計的開示制御を考慮したセキュアマッチングプロトコル", 情報処理学会研究報告, vol. Vol. 2011-CSEC-52, No. 12, JPN6018004506, 2011, JP, pages 1 - 6, ISSN: 0003736036 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022264205A1 (ja) * | 2021-06-14 | 2022-12-22 | 日本電信電話株式会社 | データ処理システム、秘密計算装置、データ処理方法、プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6347665B2 (ja) | 2018-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bishop | Healthcare social media for consumer informatics | |
| Xie | Environmental governance and public participation in rural China | |
| Drake | Protesting mobile phone masts: risk, neoliberalism, and governmentality | |
| Kuk et al. | The COVID-19 pandemic and the rental market: Evidence from Craigslist | |
| Sjöberg | Ambivalent attitudes, contradictory institutions: ambivalence in gender-role attitudes in comparative perspective | |
| Mazzucchelli et al. | Affecting brand loyalty intention: The effects of UGC and shopping searches via Facebook | |
| Karar | Algorithmic capitalism and the digital divide in Sub-Saharan Africa | |
| Galak et al. | Trickle-down preferences: Preferential conformity to high status peers in fashion choices | |
| Gundlach et al. | Preferences and willingness to pay for tablet news apps | |
| Pitchipoo et al. | A distinct decision model for the evaluation and selection of a supplier for a chemical processing industry | |
| Leonard | Customer data analytics: privacy settings for ‘Big Data’business | |
| Griffin | Gender, governance and the global political economy | |
| Comandè et al. | Regulatory challenges of data mining practices: the case of the never-ending lifecycles of ‘health data’ | |
| Xu et al. | Are Chinese workers paid the correct wages? Measuring wage underpayment in the Chinese industrial sector, 2005-2010 | |
| McCoy et al. | Allocating scarce resources strategically-an evaluation and discussion of the global fund's pattern of disbursements | |
| Mu et al. | Structural changes in human mobility under the zero-COVID strategy in China | |
| Chen et al. | Visualising internal migration flows across local authorities in England and Wales | |
| JP6347665B2 (ja) | 制御装置、制御方法、及び制御プログラム | |
| JP6283519B2 (ja) | 制御装置、制御方法、及び制御プログラム | |
| Shang et al. | The influence of big data-enabled price discrimination on tourists’ continuance usage intention to mobile applications: a technology threat avoidance perspective | |
| Deetjen et al. | Internet use and health: Connecting secondary data through spatial microsimulation | |
| Jasmontaitė-Zaniewicz et al. | The GDPR made simple (r) for SMEs | |
| Htat et al. | A total market approach for condoms in Myanmar: the need for the private, public and socially marketed sectors to work together for a sustainable condom market for HIV prevention | |
| Duke et al. | The effects of hospital safety scores, total price, out-of-pocket cost, and household income on consumers' self-reported choice of hospitals | |
| Fridman et al. | Dominance Effects in the Wild |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170512 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180124 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180327 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180508 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180529 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6347665 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |