JP2015232863A - 情報処理装置、匿名化方法、及び、プログラム - Google Patents

情報処理装置、匿名化方法、及び、プログラム Download PDF

Info

Publication number
JP2015232863A
JP2015232863A JP2014120149A JP2014120149A JP2015232863A JP 2015232863 A JP2015232863 A JP 2015232863A JP 2014120149 A JP2014120149 A JP 2014120149A JP 2014120149 A JP2014120149 A JP 2014120149A JP 2015232863 A JP2015232863 A JP 2015232863A
Authority
JP
Japan
Prior art keywords
cell
anonymization
data
target data
anonymized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014120149A
Other languages
English (en)
Inventor
由起 豊田
Yuki Toyoda
由起 豊田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2014120149A priority Critical patent/JP2015232863A/ja
Publication of JP2015232863A publication Critical patent/JP2015232863A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Medical Treatment And Welfare Office Work (AREA)

Abstract

【課題】 分類を維持しながら、細粒度の高い匿名化済みデータを算出する。
【解決手段】 本発明の情報処理装置は、匿名化の対象データの属性の区分である階級の組合せであるセルを基に階級を跨がないように対象データを匿名化する匿名化実行手段と、匿名化済みデータにおける匿名化の程度を示すスコアを算出し、スコアが所定の基準値より大きなデータに対応する対象データのセルを含む分類に含まれるセルの中から対象データのセルに隣接する隣接セルを選択し、対象データのセルと隣接セルとを匿名化実行手段に送信して匿名化を指示する結合制御手段と
を含む情報処理装置。
【選択図】 図1

Description

本発明は、情報の処理に関し、特に、情報の匿名化に関する。
近年、ユーザのプライバシーを守りながら、企業又は医療機関が所有するパーソナル情報の二次利用を可能にするプライバシー保護技術が、注目されている。パーソナル情報の二次利用の一例として、病院が保持する診療情報のデータの二次利用を基にした医学分析がある。このような医学分析は、高度医療の確立に役立っている。
パーソナル情報は、1つ又は複数の属性を含む。パーソナル情報に含まれる属性の中で単独で個人を特定できる属性は、「ユーザ識別子」となる。また、パーソナル情報に含まれる属性の中で他の背景知識(他の属性を含む)との組合せを基に個人を識別できる属性は、「準識別子」と呼ばれている。また、パーソナル情報に含まれる属性の中で、他人に知られたくない属性又はユーザが開示を望まない属性は、「センシティブ(sensitive)属性」と呼ばれている。
例えば、プライバシー保護技術の一つである匿名化技術は、明示的なユーザ識別子を削除する。さらに、匿名化技術は、個人を識別できないように、準識別子を構成する属性の値を加工(例えば、曖昧化又は汎化)する。
ただし、属性は、属性の値を区分するための階級が設定されている場合がある。階級が設定されている場合、属性の値は、階級内で匿名化される、つまり、階級を跨がないように匿名化されることが望ましい。そのため、階級は、属性の値を匿名化する場合の制約となる。
そして、データの分析(例えば、医学分析)は、複数の属性の組合せを用いてデータ(パーソナル情報)を分析する。そのため、データの分析は、複数の属性の階級の組合せを用いて、パーソナル情報(データ)を分類する。以下の説明では、属性の階級の組合せを「セル(cell)」と呼ぶ。ただし、セルが含む階級は、1つ又は複数でもよい。そして、分類は、1つ又は複数のセルを含む。そして、データの分析は、セル又は分類を基にデータを分析する。
例えば、最高血圧及び最低血圧は、医療関係のパーソナル情報の属性の一例である。これらの属性(最高血圧及び最低血圧)には、それぞれ、血圧値に対応した階級(例えば、血圧値の範囲)が定められている。そして、医学分析は、血圧の階級の組合せ(セル又は分類)を基に、血圧の属性の値を含むパーソナル情報を分類する。
例えば、医療関係のパーソナル情報は、最高血圧の階級と最低血圧の階級との組合せ(セル又は分類)を基に、「正常血圧」「1度高血圧(軽症)」及び「2度高血圧(中等症)」と分類される。
そして、医学分析の研究者は、一度分類されたデータ(パーソナル情報)を、さらに細粒度を高くして分析する場合がある。ここで、「細粒度」とは、データの分類の細かさのことである。
例えば、最高血圧が高い場合の治療方法は、最低血圧が高い場合の治療方法と異なる。そのため、例えば、医学研究者は、細粒度の高いデータとして、「2度高血圧(中等症)」に分類された患者のデータの中から最低血圧が高い患者のデータを抽出し、抽出したデータを分析する。つまり、医学研究者は、分類「2度高血圧(中等症)」に含まれるデータを、属性「最高血圧」の2つの階級(「最高血圧が高い階級」及び「最高血圧が低い階級」)に分けて分析する。この場合、パーソナル情報は、設定された分類を維持するように匿名化される必要がある。
そこで、センシティブ属性を含むパーソナル情報を匿名化し、かつ、匿名化後のパーソナル情報の分類を維持する技術が知られている(例えば、非特許文献1)。
非特許文献1に記載の技術は、データの階級を保ちながら匿名化する技術の一つである。非特許文献1に記載に技術は、属性ごとに属性の階級である制約を設定する。そして、非特許文献1に記載に技術は、設定した階級(制約)の中で、属性の値を匿名化する。この匿名化を基に、非特許文献1に記載の技術は、匿名化後(汎化後)の属性の値の抽象度を制限する。さらに、非特許文献1に記載の技術は、各階級の上限と下限とを設定し、階級間を跨ぐ匿名化データの生成を防ぐ。
また、匿名化に用いられる汎化手法の1つに、ローカルリコーディング(Local Re-coding)がある(例えば、非特許文献2を参照)。ローカルリコーディングとは、匿名化後のデータにおける情報損失が最小となるように、レコード(個別のデータ、例えば、ユーザごとのデータの組)ごとに、異なる値に加工する手法である。ここで、情報損失とは、匿名化における加工に基づく情報の損失である。情報損失は、情報の加工の度合いを示す指標でもある。情報損失の一例は、非特許文献2に記載されているNCP(Normalized Certainty Penalty)である。
なお、一般的に、細粒度が高いデータは、情報損失が少ない。つまり、細粒度が高いデータは、有用性が高いデータである。
豊田由起、側高幸治、高橋翼、「制約と優先度を考慮したレセプト匿名化方式」、医療情報学連合大会論文集、32巻、ページ:774-777、2012年11月14日 Jian Xu, Wei Wang, Jian Pei, Xiaoyuan Wang, Baile Shi, Ada Wai-Chee Fu, ’Utility-Based Anonymization Using Local Recoding’, KDD '06 Proceedings of the 12th ACM SIGKDD international conference on Knowledge discovery and data mining, Pages 785-790, 2006-08-20
非特許文献1に記載の技術は、匿名化に用いるセルに対応する属性に対して階級を設定し、セル内で属性の値を匿名化する。つまり、匿名化結果は、セルごとに独立となる。そのため、非特許文献1に記載の技術は、セルを設定していない場合の匿名化に比べ、匿名化後の属性の値の加工の程度が大きくなる場合がある。その結果、非特許文献1に記載の技術には、加工前の属性の値と、加工後の属性の値との差が大きくなる。差が大きいことは、情報損失が、大きいことである。つまり、非特許文献1に記載の技術は、匿名化後のデータの細粒度が低いという問題点があった。
一方、非特許文献2に記載の技術は、属性の階級を設定せずにデータの情報損失を最小とする匿名化手法である。つまり、非特許文献2に記載の技術は、匿名化において、階級を考慮しない。そのため、非特許文献2に記載の技術は、匿名化後のデータの値の範囲が、階級を跨ぐ場合がある。つまり、非特許文献2に記載の技術は、分類を維持しながらデータを匿名化できないという問題点があった。
本発明の目的は、上記問題点を解決し、分類を維持しながら、細粒度の高い匿名化済みデータを算出する情報処理装置、匿名化方法及びプログラムを提供することである。
本発明の一形態における情報処理装置は、匿名化の対象データの属性の区分である階級の組合せであるセルを基に前記階級を跨がないように前記対象データを匿名化する匿名化実行手段と、前記匿名化済みデータにおける匿名化の程度を示すスコアを算出し、前記スコアが所定の基準値より大きなデータに対応する対象データのセルを含む分類に含まれるセルの中から前記対象データのセルに隣接する隣接セルを選択し、前記対象データのセルと前記隣接セルとを前記匿名化実行手段に送信して匿名化を指示する結合制御手段とを含む。
本発明の一形態における方法は、匿名化の対象データの属性の区分である階級の組合せであるセルを基に前記階級を跨がないように前記対象データを匿名化し、前記匿名化済みデータにおける匿名化の程度を示すスコアを算出し、前記スコアが所定の基準値より大きなデータに対応する対象データのセルを含む分類に含まれるセルの中から前記対象データのセルに隣接する隣接セルを選択し、前記対象データのセルと前記隣接セルとを基に前記対象データを匿名化する。
本発明の一形態におけるプログラムは、匿名化の対象データの属性の区分である階級の組合せであるセルを基に前記階級を跨がないように前記対象データを匿名化する処理と、前記匿名化済みデータにおける匿名化の程度を示すスコアを算出し、前記スコアが所定の基準値より大きなデータに対応する対象データのセルを含む分類に含まれるセルの中から前記対象データのセルに隣接する隣接セルを選択し、前記対象データのセルと前記隣接セルとを基に前記対象データを匿名化する処理とをコンピュータに実行させる。
本発明に基づけば、分類を維持しながら、細粒度の高い匿名化済みデータを算出するとの効果を提供できる。
図1は、本発明における第1の実施形態に係る情報処理装置の構成の一例を示すブロック図である。 図2は、第1の実施形態に係る情報処理装置の動作の一例を示すフローチャートとである。 図3は、第1の実施形態の説明に用いる対象データの一例を示す図である。 図4は、第1の実施形態の説明の用いる分類の一例を示す図である。 図5は、第1の実施形態に係る情報処理装置の匿名化動作の一例を示すフローチャートである。 図6は、第1の実施形態に説明に用いる匿名化済みデータの一例を示す図である。 図7は、第1の実施形態に係る情報処理装置の動作の説明に用いるデータの一例を示す図である。 図8は、第1の実施形態に係る匿名化済みデータの一例を示す図である。 図9は、第1の実施形態に係る情報処理装置の第1の変形例の構成一例を示す図である。 図10は、第1の実施形態に係る情報処理装置の第2の変形例の構成一例を示す図である。 図11は、第2の実施形態に係る情報処理装置の構成の一例を示すブロック図である。 図12は、第2の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。 図13は、第2の実施形態に係る情報の動作の説明に用いるデータを示す図である。 図14は、第2の実施形態に係る情報の動作の説明に用いるデータを示す図である。
次に、本発明の実施形態について図面を参照して詳細に説明する。
なお、各図面は、本発明の実施形態を説明するためのものである。ただし、本発明は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ番号を付し、その繰り返しの説明を、省略する場合がある。
また、以下の説明に用いる図面において、本発明の説明に関係しない部分の構成については、記載を省略し、図示しない場合もある。
また、以下の説明において、各実施形態の記憶部は、データを受信し、受信したデータを記憶するとして説明する。ただし、本発明の記憶部は、これに限る必要はない。例えば、各構成要素が、記憶部にデータを書き込んでも良い。
まず、本実施形態の説明に用いるデータに関連する用語を整理しておく。
「対象データ」とは、匿名化の対象となるデータである。例えば、対象データは、医療分析に用いられるパーソナル情報である。
「属性」は、対象データに含まれる情報である。属性の一つの種類である準識別子は、本実施形態の匿名化の対象である。
「階級」とは、属性の値の区分である。階級は、属性の値の匿名化の制約となる。
「セル」とは、1つ又は複数の階級の組合せである。そのため、セルは、匿名化の制約の組合せである。
「分類」とは、1つ又は複数のセルの組合せである。
「匿名化済みデータ」とは、匿名化されたデータである。ただし、本発明の実施形態は、匿名化処理を繰り返すため、各匿名化処理において匿名化されたデータを匿名化済みデータと呼ぶ。
<第1の実施形態>
次に、本発明における第1の実施形態に係る情報処理装置10について図面を参照して説明する。
図1は、第1の実施形態に係る情報処理装置10の構成の一例を示すブロック図である。
図1を参照すると、情報処理装置10は、匿名化対象データ記憶部100と、匿名化済みデータ記憶部200と、分類記憶部300と、匿名化実行部400と、結合制御部500とを含む。
匿名化対象データ記憶部100は、情報処理装置10のおける匿名化の対象となるデータ(対象データ)を記憶する。なお、匿名化対象データ記憶部100は、予め、以下で説明する動作の前に対象データを記憶しておけば、対象データの記憶の方法及び記憶の時期に特に制限はない。例えば、以下の動作の先立ち、匿名化の依頼元が、匿名化対象データ記憶部100に対象データを送信しても良い。
匿名化済みデータ記憶部200は、情報処理装置10が匿名化した匿名化済みデータを記憶する。
分類記憶部300は、「分類(セルの組合せの集合)」を記憶する。さらに、分類記憶部300は、「階級」を記憶しても良い。なお、分類記憶部300は、予め、分類(及び階級)を記憶しておけば、記憶する方法及び記憶時期の特に制限はない。例えば、分類記憶部300は、各処理に先立ち、所定の装置から分類(及び階級)を受信しても良い。あるいは、分類記憶部300は、予め参照用のデータを参照して、各情報(階級及び分類)を算出し、記憶しても良い。
さらに、分類記憶部300は、対象データセルと隣接セルとを記憶する。ここで、「対象データセル」とは、匿名化対象データ記憶部100が記憶する対象データに対応するセルである。また、「隣接セル」とは、対象データセルを含む分類に含まれるセルで、対象データセルに隣接するセルである。つまり、分類記憶部300は、対象データのセルに関する情報を記憶する。なお、分類記憶部300が対象データセルと隣接セルとを記憶する手法は、特に制限はない。例えば、分類記憶部300は、予め、図示しない算出部が匿名化対象データ記憶部100に記憶されている対象データと階級と分類とを基に算出した対象データセルと隣接セルとを記憶しても良い。あるいは、分類記憶部300は、図示しない対象データセルを提供した装置から、対象データセルと隣接セルとを受信し、記憶しても良い。
そして、分類記憶部300は、これらの情報を、適宜、匿名化実行部400と結合制御部500とに出力する。
匿名化実行部400は、匿名化対象データ記憶部100から対象データを受信する。そして、匿名化実行部400は、分類記憶部300に記憶されているセルを基に対象データを匿名化する。なお、分類が1つのセルを含む場合、匿名化実行部400は、分類を基に対象データを匿名化することになる。そして、匿名化実行部400は、匿名化済みデータを匿名化済みデータ記憶部200に送信する。
匿名化実行部400は、より詳細には、次のような処理を実行する。
まず、匿名化実行部400は、匿名化対象データ記憶部100から対象データを受信する。そして、匿名化実行部400は、分類記憶部300から対象データセルを受信する。そして、匿名化実行部400は、受信した対象データセルを基に、対象データを匿名化して、匿名化済みデータを生成する。
匿名化実行部400は、匿名化済みデータを後ほど説明する結合制御部500に送信する。そして、匿名化実行部400は、結合制御部500からの第1の指示を基に、さらなる匿名化を実施する。例えば、この第1の指示は、結合して匿名化するセル(以下、「結合候補セル」と言う)の指示である。なお、結合制御部500からの指示は、後ほど詳細に説明する。
結合制御部500から第1の指示を受信すると、匿名化実行部400は、第1の指示を基に対象データをさらに匿名化し、匿名化済みデータを生成する。そして、匿名化実行部400は、生成した匿名化済みデータを、結合制御部500に送信する。
このように、匿名化実行部400は、結合制御部500から第1の指示を基に、対象データの匿名化を繰り返す。
そして、匿名化実行部400は、結合制御部500からの第2の指示を基に、最終的な匿名化済みデータ生成し、匿名化済みデータ記憶部200に記憶する。例えば、この第2の指示は、最終的に結合して匿名化するセル(以下、「匿名化対象セル」と言う)の指示である。
結合制御部500は、匿名化実行部400から受信した匿名化済みデータを基に、匿名化済みデータの匿名化の程度を示すスコアを算出する。ここで、「スコア」とは、匿名化済みデータの情報損失を示す値であり、情報損失が大きい場合に大きくなる値である。例えば、スコアは、対象データと匿名化済みデータとの類似の程度の逆数である。あるいは、スコアは、匿名化済みデータの加工の度合い(程度)を示す値である。なお、スコアは、匿名化済みデータと対象データとの類似度、及び、匿名化済みデータの加工の度合いを所定の重みづけして加えた合計値でも良い。
そして、結合制御部500は、スコアを所定の値(基準値)と比較する。そして、スコアが基準値より大きい場合、つまり、情報損失が大きいデータがある場合、結合制御部500は、結合候補セルを選択する。そして、結合制御部500は、結合候補セルを匿名化実行部400に送信して、匿名化を依頼する。この結合候補セルと匿名化の依頼が、上記の第1の指示となる。
さらに、結合制御部500は、新たな結合候補セルの選択できなくなった場合、匿名化対象セルを決定し、匿名化実行部400に匿名化を依頼する。匿名化対象セルと依頼が、上記の第2の指示となる。
次に、図面を参照して本実施形態の動作について、さらに説明する。
図2は、第1の実施形態に係る情報処理装置10の動作の一例を示すフローチャートである。
まず、匿名化実行部400は、匿名化対象データ記憶部100から対象データを受信する。さらに、匿名化実行部400は、分類記憶部300から、対象データセルを受信する。そして、匿名化実行部400は、対象データを匿名化する(ステップS001)。ただし、最初の匿名化の場合、匿名化実行部400は、対象データセルを基に、対象データを匿名化する。ここで、対象データセルは、階級の組合せである。そのため、匿名化実行部400は、階級を跨がないように対象データを匿名化できる。そして、匿名化実行部400は、匿名化済みデータを、結合制御部500に送信する。
結合制御部500は、受信した匿名化済みデータの匿名化(例えば、加工又はサプレッション)に基づく情報の変化量(加工の度合い)、及び/又は、匿名化前のデータ(つまり、対象データ)と匿名化済みデータの類似度とを算出する(ステップS002)。ここで、加工の度合いを示す値及び/又は類似度の値が、スコアである。すなわち、加工の度合いが大きいほど、スコアが大きい。あるいは、類似度が低いほど、スコアが大きい。
なお、結合制御部500は、対象データを匿名化対象データ記憶部100から受信すれば良い。また、結合制御部500は、算出したスコアを保存してよい。
そして、結合制御部500は、算出した値(スコア)を、所定の基準値と比較する(ステップS003)。
全ての匿名化済みデータにおいてスコアが基準値未満の場合(ステップS003でYES)、結合制御部500は、ステップS005に進む。
いずれかの匿名化済みデータのスコアが基準値以上の場合(ステップS003でNO)、結合制御部500は、基準値を超えたいずれかの匿名化済みデータに対応する対象データを分類記憶部300へ送信する。
そして、結合制御部500は、分類記憶部300から、送信した対象データが所属する対象データセルと、対象データセルに隣接する隣接セルとを受信する。ここで、隣接セルは、対象データセルと階級が隣接しているセルである。また、隣接セルは、後ほど説明するとおり結合候補セルとなる。
そして、結合制御部500は、隣接セルの中から結合候補セルを選択する(ステップS004)。そして、結合制御部500は、選択した結合候補セルと対応する対象データセルとを、匿名化実行部400に送信する。結合候補セルと対象データセルの送信は、第1の指示に相当する。なお、隣接セルが複数ある場合、結合制御部500は、所定の判断基準(例えば、対象データセルと隣接セル間の距離)を基に、いずれかの隣接セルを結合候補セルとして選択すれば良い。すなわち、結合制御部500は、対象データセルとの距離が最も小さい隣接セルを選択する。
そして、情報処理装置10の処理は、ステップS001に戻る。
匿名化実行部400は、対象データを匿名化する(S001)。ただし、繰り返し処理の場合、匿名化実行部400は、対象データにおける結合候補セルに対応するデータと対象データセルに対応するデータとを結合して対象データを匿名化する。より詳細には、匿名化実行部400は、対象データセルと結合候補セルとを結合して1つのセルとする。結合後のセルは、対象データセルと隣接セルとの階級を結合したセルとなる。そして、匿名化実行部400は、結合したセルに対応する対象データを匿名化した匿名化済みデータを作成する。つまり、匿名化実行部400は、結合したセルにおける階級を跨がないようにデータを匿名化する。
このように、所定の基準値より大きなスコアとなる匿名化済みデータが属するセルは、結合して匿名化する対象となるセルである。
そして、匿名化実行部400は、匿名化した匿名化済みデータを結合制御部500に送信する。
結合制御部500は、受信した匿名化済みデータにおいて、既に説明した動作と同様の動作を基に、スコアを算出する(ステップS002)。つまり、結合制御部500は、結合候補セルを結合した場合のスコアを算出する。
続いて、結合制御部500は、既に結合したセルに含まれない匿名化済みデータにおいて、スコアが基準値以上の匿名化後データがあるか否かを判定する(ステップS003)。つまり、結合制御部500は、隣接セルと結合して匿名化したセルに属するデータを除いたデータにおいて、スコアを判定する。
なお、結合制御部500は、最初のスコアの計算結果を保存し、2回目以降の処理においては、保存したスコアを用いて処理を実行しても良い。あるいは、結合制御部500は、毎回ステップS002おいて、対象外のデータを除いて匿名化済みデータのスコアを計算しても良い。
既に結合したセルに含まれない匿名化済みデータにおいてスコアが基準値以上のデータがない場合、つまり、結合対象となるセルのスコアが計算済みの場合(ステップS003でYES)、結合制御部500は、ステップS005に進む。
スコアが基準値以上、かつ、既に選択したセルに含まれないデータある場合(ステップS003でNO)、結合制御部500は、基準値を超えたいずれかの匿名化済みデータに対応する対象データを分類記憶部300へ送信する。
そして、結合制御部500は、上記と同様に、分類記憶部300から、送信したデータが所属する対象データセルと、対象データセルの隣接セルとを受信する。そして、結合制御部500は、隣接セルの中から結合候補セルを選択する(ステップS004)。そして、結合制御部500は、選択した結合候補セルと対象データセルとを、匿名化実行部400に送信する。
そして、情報処理装置10の処理は、ステップS001に戻る
つまり、情報処理装置10は、スコアを超えたデータが属する全てのセルに対して、対象データセルと隣接セルとを結合した場合のスコアの算出を繰り返す。
スコアが所定の基準値未満の場合又はスコアを計算済みの場合(ステップS003でYES)、結合制御部500は、セルを結合後に算出したスコアが最小となる結合候補セルを匿名化対象セルとして決定する(ステップS005)。つまり、結合制御部500は、最も情報損失が少ない結合候補セルを匿名化対象セルとして選択する。そして、結合制御部500は、選択した匿名対象セルと対応する対象データセルとを匿名化実行部400に送信し、匿名化を依頼する。この依頼は、上記の第2の指示である。
ただし、ステップS003の最初の判定において全てのスコアが所定の基準未満の場合、結合制御部500は、匿名対象セルを選択しない。この場合、結合制御部500は、匿名化実行部400に、最初の匿名化処理の結果のデータを匿名化後データとするように依頼する。この場合、この依頼が、第2の指示となる。
匿名化実行部400は、受信した匿名対象セルと対象データセルに対応する対象データを結合して匿名化し、匿名化済みデータを生成する。そして、匿名化実行部400は、匿名化済みデータを匿名化済みデータ記憶部200に記憶する(ステップS006)。なお、結合制御部500から、最初の匿名化の結果を匿名化済みデータとするとの依頼を受けた場合、匿名化実行部400は、最初の匿名化済みデータを匿名化済みデータ記憶部200に記憶する。
このように、情報処理装置10は、情報損失が所定の値より大きいデータがある場合、最も情報損失の少ないセルの結合を選択して、対象データを匿名化する。ここで、情報損失が少ないデータは、細粒度が高いデータである。そのため、情報処理装置10は、細粒度の高い匿名化済みデータを生成できる。
なお、情報処理装置10は、各対象データセルに対応して1回の処理を実行する。これは、各対象データセルに対応するデータは、どのデータを用いて処理しても、結果が同じためである。ただし、情報処理装置10は、スコアが所定の基準値を超える全てのデータに対して同様に処理しても良い。
(効果の説明)
次に、本実施形態の効果について説明する。
本実施形態の情報処理装置10は、データの属性の分類を維持しながら、細粒度の高い匿名化済みデータを算出するとの効果を提供できる。
その理由は、次のとおりである。
匿名化実行部400は、階級の組合せであるセルを基に対象データを匿名化する。そのため、情報処理装置10は、分類を維持できるためである。
さらに、結合制御部500は、スコアが最少となる、つまり、情報損失が最少となる匿名化におけるセルの結合を選択する。そして、結合制御部500は、匿名化実行部400に、選択したセルの結合を用いた匿名化を指示する。つまり、匿名化実行部400は、情報損失を抑えながら匿名化できる。ここで、情報損失が小さい匿名化は、細粒度が高い匿名化である。つまり、情報処理装置10は、細粒度の高い匿名化を実現できるためである。
(データ用いた動作の説明)
次に、スコアとして具体的な式と値を用いて、本実施形態の動作について説明する。
まず、説明に用いるデータについて説明する。
図3は、本説明に用いる対象データ110の一例を示す図である。対象データ110は、ユーザを特定するユーザID111と、最高血圧112と、最低血圧113と、既往症114とを含む。ここで、最高血圧112と最低血圧113は、分類に用いる属性である。つまり、最高血圧112と最低血圧113は、階級が設定されている。また、既往症114は、他人に知られたくない情報(センシティブ情報)である。なお、対象データ110は、匿名化対象データ記憶部100に記憶されている。
図4は、本説明に用いる分類320の一例を示す図である。分類320は、分類の名称である分類名321と、セル322と、最高血圧の階級323と、最低血圧の階級324とを含む。ここで、セル322は、最高血圧の階級323と最低血圧の階級324とを含む。つまり、図4に示す分類320を用いる匿名化は、最高血圧の階級323と最低血圧の階級324を含むセルを用いる匿名化となる。また、図4に示す分類320は、2つのセルを含む分類である。例えば、分類1は、セル1とセル2とを含む。そのため、セル1は、セル2の隣接セルである。
分類320は、分類記憶部300に記憶されている。
次に図2を参照して動作を説明する。
なお、本実施形態の説明に用いる匿名性は、匿名性として一般的に用いられている「k−匿名性」を用いるとする。より具体的には、本実施形態の説明に用いる匿名性は、「k=2」である「2−匿名性」を用いるとする。ここで、「k−匿名性」とは、同じ準識別子を持つパーソナル情報が「k個」以上存在することを保証する。k−匿名性が保証されたパーソナル情報の集合は、同じ準識別子を持つパーソナル情報を、少なくとも「k個」含む。
まず、匿名化実行部400は、対象データを匿名化する(S001)。ただし、最初の動作のため、匿名化実行部400は、対象データセルを基に、対象データを匿名化する。
図5は、この場合のステップS001の動作の詳細に示したフローチャートである。
まず、匿名化実行部400は、匿名化対象データ記憶部100から対象データ110を受信する(ステップS011)。
次に、匿名化実行部400は、分類記憶部300からセル322を受信する(ステップS012)。今の場合、匿名化実行部400は、図4に示すセル1ないしセル4を受信する。
そして、匿名化実行部400は、受信したセル322に基づき、匿名化における属性ごとの階級を設定する(ステップS013)。例えば、匿名化実行部400は、最高血圧の階級として、「最高血圧<120」と、「120≦最高血圧<130」とを設定する。
そして、匿名化実行部400は、設定した階級に基づき、階級を跨らないように対象データ110を匿名化する(ステップS014)。例えば、匿名化実行部400は、最高血圧の値が120を跨がないように対象データを匿名化する。
図6は、ステップS014において匿名化された結果である匿名化済みデータ230を示す図である。匿名化済みデータ230は、ユーザの識別子であるユーザID231と、匿名化された最高血圧232と、匿名化された最低血圧233と、既往症234とを含む。
図6において、ユーザAないしユーザCが、第1の匿名化グループ(セル3)に属数するデータである。ユーザD及びユーザEが、第2の匿名化グループ(セル4)に属するデータである。ユーザF及びユーザGが、第3の匿名化グループ(セル2)に属するデータである。ユーザHないしユーザJが、第4の匿名化グループ(セル1)に属するデータである。匿名化済みデータの匿名化済み属性(最高血圧と最低血圧)は、図4に示す階級を満足している。
図2を用いた説明に戻る。
次に、結合制御部500は、匿名化済みデータ230に対して次に示す数式1を用いてスコア(ここでは、情報損失(IL:Information Loss))を計算する(ステップS002)。
[数式1]
Figure 2015232863
ここで、「J」は情報損失(IL)である。「Π」は、積(直積)を表す。「n」は、属性の数である。「a」は、i番目の匿名化済みデータの属性の値である。「Vaimax」と「Vaimin」は、それぞれ、i番目の匿名化済み属性の値の最大値と最小値である。つまり、「(Vaimax−Vaimin)」は、i番目の匿名化済み属性における属性の値の範囲(幅)である。
例えば、図6に示すユーザAないしユーザCの情報損失は、「168=(129−122)×(84−60)」である。同様に、第2の匿名化グループに含まれるユーザD及びユーザFの情報損失は、「2=(125−123)×(87−86)」である。同様に、結合制御部500は、全てのユーザの情報損失を計算する。
次に、結合制御部500は、計算した各ユーザの情報損失と所定の基準値(ここでは、「100」とする)とを比較する(ステップS003)。
今の場合、情報損失が基準値を超えるユーザ(ユーザAないしユーザC)が存在する(ステップS003でNO)。そのため、結合制御部500は、以下の動作を実行する。
結合制御部500は、ユーザAないしユーザCのいずれかを分類記憶部300に送信し、分類記憶部300からユーザAないしユーザCが所属する対象データセルが含まれる分類に含まれ、対象データセルに隣接する隣接セルを受信する。今の場合、ユーザAないしユーザCは、図4に示す分類2のセル3に対応するデータである。つまり、対象データセルは、セル3である。そのため、隣接セルは、セル4となる。つまり、隣接セルは、「120≦最高血圧<130」の階級と「85≦最低血圧<90」の階級とを含む。結合制御部500は、結合候補セルとしてこの隣接セルを選択する(ステップS004)。なお、今の場合、隣接セルに対応するデータは、ユーザD及びユーザEである。
そして、結合制御部500は、隣接セル(セル4)とユーザAないしユーザCが所属する対象データセル(セル3)とを匿名化実行部400に通知する。
匿名化実行部400は、対象データ110を匿名化する(ステップS001)。繰り返し処理のため、匿名化実行部400は、隣接セル(セル4)と対象データセル(セル3)と結合したセルを用いて対象データ110を匿名化する。今の場合、セル3とセル4とを結合したセルは、分類2と同等となる。つまり、結合後のセルに含まれる階級は、最高血圧の階級の「120≦最高血圧<130」と、最低血圧の階級の「最低血圧<90」である。
図7は、この場合の匿名化実行部400が、ステップS001において匿名化したユーザAないしユーザEの匿名化済みデータを示す図である。
そして、結合制御部500は、匿名化済みデータの情報損失(IL)を計算する(ステップS002)。
図7において、ユーザA−ユーザBの情報損失(IL)は、「10=(129−128)×(70−60)」である。同様に、ユーザCないしユーザEの情報損失は、「9=(125−122)×(87−84)」である。
情報損失の計算の結果、セルの結合後の情報損失は、すべて基準値(100)より小さいため(ステップS003でYES)、結合制御部500は、匿名化対象セルを選択する(ステップS005)。今の場合、先ほど選択した隣接セルが、匿名化対象セルとなる。
そして、匿名化実行部400は、上記の匿名化対象セルを用いて匿名化し、匿名化済みデータを生成し、匿名化済みデータ記憶部200に保存する(ステップS016)。
この結果、情報処理装置10は、匿名化済みデータ260を算出する。
図8は、最終的な匿名化済みデータ260を示す図である。
最終的な匿名化済みデータ260は、ユーザの識別子であるユーザID261と、匿名化済みの最高血圧262と、匿名化済みの最低血圧263と、既往症264とを含む。匿名化済みデータ260は、匿名化済みデータ記憶部200に記憶される。
図8に示す匿名化済みデータ260は、図6に示す匿名化済みデータ230と比べ情報損失が小さい。つまり、情報処理装置10は、図8に示す細粒度が高い匿名化済みデータ260を算出できた。
(第1の変形例)
以上で説明した情報処理装置10は、次のように構成される。
例えば、情報処理装置10の各構成部は、ハードウェア回路で構成されても良い。
また、情報処理装置10は、各構成部をネットワーク又はバスを介して接続した複数の情報処理装置として構成されても良い。
例えば、情報処理装置10は、各記憶部として、ネットワークを介して接続した外部記憶装置を用いて実現しても良い。
図9は、第1の変形例に係る情報処理装置11の構成の一例を示すブロック図である。
情報処理装置11は、図1に示す匿名化対象データ記憶部100と、分類記憶部300と、匿名化済みデータ記憶部200とをネットワークを介して接続する外部も記憶装置を用いる。そのため、図9に示す情報処理装置11は、これら記憶部の構成を含まない。
ただし、本変形例に情報処理装置11は、情報処理装置10と同様の効果を実現できる。その理由は、情報処理装置11は、外部の記憶装置の情報を基に情報処理装置10と同様に動作できるためである。
なお、図9に示す情報処理装置11は、本実施形態の最小構成である。
(第2の変形例)
また、情報処理装置10は、複数の構成部を1つのハードウェアで構成されても良い。
また、情報処理装置10は、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)とを含むコンピュータ装置として実現されても良い。情報処理装置10は、上記構成に加え、さらに、入出力接続回路(IOC:Input Output Circuit)と、ネットワークインターフェース回路(NIC:Network Interface Circuit)とを含むコンピュータ装置として実現されても良い。
図10は、本変形例に係る情報処理装置60の構成の一例を示すブロック図である。
情報処理装置60は、CPU610と、ROM620と、RAM630と、内部記憶装置640と、IOC650と、NIC680とを含み、コンピュータを構成している。
CPU610は、ROM620からプログラムを読み込む。そして、CPU610は、読み込んだプログラムに基づいて、RAM630と、内部記憶装置640と、IOC650と、NIC680とを制御する。そして、CPU610を含むコンピュータは、これらの構成を制御し、図1及び図9に示す匿名化実行部400と結合制御部500としての各機能を実現する。CPU610は、各機能を実現する際に、RAM630又は内部記憶装置640を、プログラムの一時記憶として使用しても良い。
また、CPU610は、プログラムを記憶したコンピュータ読み取り可能な記憶媒体700が含むプログラムを、図示しない記憶媒体読み取り装置を用いて読み込んでも良い。あるいは、CPU610は、NIC680を介して、図示しない外部の装置からプログラムを受け取っても良い。さらに、CPU610は、読み込んだプログラム又は受け取ったプログラムをRAM630に保存し、RAM630に保存したプログラムを基に動作しても良い。
ROM620は、CPU610が実行するプログラム及び固定的なデータを記憶する。ROM620は、例えば、P−ROM(Programmable-ROM)又はフラッシュROMである。
RAM630は、CPU610が実行するプログラム及びデータを一時的に記憶する。RAM630は、例えば、D−RAM(Dynamic-RAM)である。
内部記憶装置640は、情報処理装置60が長期的に保存するデータ及びプログラムを記憶する。また、内部記憶装置640は、CPU610の一時記憶装置として動作しても良い。また、内部記憶装置640は、図1に示す匿名化対象データ記憶部100、匿名化済みデータ記憶部200、又は、分類記憶部300として動作しても良い。内部記憶装置640は、例えば、ハードディスク装置、光磁気ディスク装置、SSD(Solid State Drive)又はディスクアレイ装置である。
ここで、ROM620と内部記憶装置640は、不揮発性の記憶媒体である。一方、RAM630は、揮発性の記憶媒体である。そして、CPU610は、ROM620、内部記憶装置640、又は、RAM630に記憶されているプログラムを基に動作可能である。つまり、CPU610は、不揮発性記憶媒体又は揮発性記憶媒体を用いて動作可能である。
IOC650は、CPU610と、入力機器660及び表示機器670とのデータを仲介する。IOC650は、例えば、IOインターフェースカード又はUSB(Universal Serial Bus)カードである。
入力機器660は、情報処理装置60の操作者からの入力指示を受け取る機器である。入力機器660は、例えば、キーボード、マウス又はタッチパネルである。
表示機器670は、情報処理装置60の操作者に情報を表示する機器である。表示機器670は、例えば、液晶ディスプレイである。
NIC680は、ネットワークを介して他の構成とのデータのやり取りを中継する。NIC680は、例えば、LAN(Local Area Network)カード又はPCM(Peripheral Component Interconnect)カードである。
このように構成された情報処理装置60は、情報処理装置10と同様の効果を得ることができる。
その理由は、情報処理装置60のCPU610が、プログラムに基づいて情報処理装置10と同様の機能を実現できるためである。
<第2の実施形態>
次に、図面を参照して第2の実施形態について説明する。
図11は、第2の実施形態の情報処理装置12の構成の一例を示すブロック図である。
情報処理装置12は、第1の実施形態の情報処理装置10の構成に加え、距離計算部900を含む点で異なる。
そのため、第1の実施形態と同様の構成及び動作の説明を省略し、距離計算部900に関連する構成及び動作について説明する。
なお、情報処理装置12は、第1の実施形態と同様に、図10に示すコンピュータを用いて構成されても良い。その場合、CPU610を含むコンピュータは、図1に示す匿名化実行部400と結合制御部500に加え距離計算部900としての機能を実現する。
距離計算部900は、対象データに含まれるデータ間の距離を計算する。ここで、データ間の距離とは、データ(レコード)に含まれる属性間の距離である。
例えば、距離計算部900は、データの距離を次に示す数式2を用いて算出できる。
[数式2]
Figure 2015232863
ここで、「D」は、ユーザAのデータとユーザBのデータとの距離である。「VAi」と「VBi」は、それぞれ、ユーザAの属性iの値とユーザBの属性iの値である。なお、距離計算部900は、距離の計算にユーザAとユーザBの全ての属性を用いる必要はない。距離計算部900は、1つ又は一部の属性を用いて距離を計算しても良い。そのため、「n」は、距離計算部900が計算に用いる属性の数である。
また、距離計算部900は、数式2とは異なる距離を用いても良い。例えば、距離計算部900は、距離として、各属性の差の絶対値の合計を用いてもよい。
あるセルに対応するデータと他のセルに対応するデータとの距離が近い場合、それらのセルに対応するデータを結合する匿名化は、データの距離が遠いセルに対応するデータを結合する匿名化に比べ、匿名化済みデータの情報損失を少なくできる。また、データの距離が遠いセルを結合することは、情報損失を大きくするため、避けることが望ましい。
そこで、本実施形態の結合制御部500は、距離計算部900を用いて、セルに対応するデータの距離を計算し、データ結合するセルを選択する。
次に、本実施形態の動作について、図面を参照して説明する。
図12は、本実施形態の情報処理装置12の動作の一例を示すフローチャートである。
図12に示す動作は、図2に示す第1の実施形態の動作に加え、ステップS010が追加となっている。
そのため、図2の同様の動作の説明を省略し、ステップS010について説明する。
結合制御部500は、スコアが基準値以上の場合(ステップS003でNO)、距離計算部900を用いてスコアが基準値以上の対象データセルに属するデータと隣接セルに属するデータとの間の距離を計算する。そして、結合制御部500は、算出したデータ間の距離と所定の値(基準値)とを比較する(ステップS010)。ただし、距離計算部900は、距離を算出する対象データセルに属するデータと隣接セルに属するデータとに制限はない。例えば、距離計算部900は、距離として、対象データセルに属するデータと隣接セルに属するデータとの最小の距離を用いても良い。あるいは、距離計算部900は、距離として、対象データセルに属するデータの平均値と、隣接セルに属するデータと平均値との距離を用いても良い。
そして、距離が基準値未満の場合(ステップS010がNO)、結合制御部500は、距離が基準値未満の隣接セルの中から結合候補セルを選択する(ステップS004)。以下、情報処理装置12は、第1に実施形態の情報処理装置10と同様に動作する。
一方、距離が基準値未満でない場合(ステップS010でYES)、結合制御部500は、ステップS001に戻る。そして、以下、情報処理装置12は、第1に実施形態の情報処理装置10と同様に動作する。つまり、情報処理装置12は、所定の基準値以上離れたセルを結合候補としない。
なお、結合制御部500は、繰り返しの動作の場合、計算済みのセルに関して、距離計算部900の処理を省略しても良い。
具体的に値を用いてさらに動作を説明する。
図13は、本説明に用いる対象データ170の一例を示す図である。対象データ170は、ユーザを識別するユーザID171と、最高血圧172と、最低血圧173と、既往症174とを含む。ここで、最高血圧172と最低血圧173は、距離の計算に用いる属性である。
図14は、本説明に用いる図13に示した対象データ170を匿名化した匿名化済みデータ280の一例を示す図である。匿名化済みデータ280は、ユーザを識別するユーザID281と、匿名化済みの最高血圧282と、匿名化済みの最低血圧283と、既往症284とを含む。
また、距離の基準値は、「2」とする。つまり、距離の二乗の基準値は、「4」となる。
図14を参照すると、セル間の距離の計算の対象となるデータは、ユーザCとユーザD、及び、ユーザFとユーザGである。
ここで、数式2に各ユーザの最高血圧の値及び最低血圧の値を適用すると、ユーザCとユーザDの距離の二乗は、「2」となる。また、ユーザFとユーザGの距離の二乗は、「5」になる。
ユーザCとユーザDとの距離は、基準値「2」以下である。そのため、対象セルと隣接セルが、ユーザAないしユーザCに対応するセルと、ユーザDないしユーザFに対応するセルの場合、情報処理装置12は、結合候補セルの選択の処理(ステップS004)に進む。
一方、ユーザFとユーザGとの距離は、基準値「2」を超えている。そのため、対象セルと隣接セルが、ユーザDないしユーザFに対応するセルと、ユーザG及びユーザHに対応するセルの場合、情報処理装置12は、結合候補セルの選択の処理を実行しない。
このように動作する本実施形態の情報処理装置12は、第1の実施形態の効果に加え、より適切な匿名化を実現するとの効果を得ることができる。
その理由は、次のとおりである。
本実施形態の結合制御部500は、距離計算部900を用いて、結合候補セルとして、対象データセルとの距離が所定の基準値より近いセルを選択するためである。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成及び詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
10 情報処理装置
11 情報処理装置
12 情報処理装置
60 情報処理装置
100 匿名化対象データ記憶部
110 対象データ
111 ユーザID
112 最高血圧
113 最低血圧
114 既往症
170 対象データ
171 ユーザID
172 最高血圧
173 最低血圧
174 既往症
200 匿名化済みデータ記憶部
230 匿名化済みデータ
231 ユーザID
232 最高血圧
233 最低血圧
234 既往症
260 匿名化済みデータ
261 ユーザID
262 最高血圧
263 最低血圧
264 既往症
280 匿名化済みデータ
281 ユーザID
282 最高血圧
283 最低血圧
284 既往症
300 分類記憶部
320 分類
321 分類名
322 セル
323 最高血圧の階級
324 最低血圧の階級
400 匿名化実行部
500 結合制御部
610 CPU
620 ROM
630 RAM
640 内部記憶装置
650 IOC
660 入力機器
670 表示機器
680 NIC
700 記憶媒体
900 距離計算部

Claims (7)

  1. 匿名化の対象データの属性の区分である階級の組合せであるセルを基に前記階級を跨がないように前記対象データを匿名化する匿名化実行手段と、
    前記匿名化済みデータにおける匿名化の程度を示すスコアを算出し、前記スコアが所定の基準値より大きなデータに対応する対象データのセルを含む分類に含まれるセルの中から前記対象データのセルに隣接する隣接セルを選択し、前記対象データのセルと前記隣接セルとを前記匿名化実行手段に送信して匿名化を指示する結合制御手段と
    を含む情報処理装置。
  2. 前記結合制御手段が、
    前記匿名化実行手段が前記対象データのセルと前記隣接セルとを結合して匿名化した匿名化済みデータのスコアを算出する
    請求項1に記載の情報処理装置。
  3. 前記結合制御手段が、
    前記スコアが最少となる対象データのセルと隣接セルとを結合を選択し、選択した前記対象データのセルと前記隣接セルとを結合した匿名化を前記匿名化実行手段に指示する
    を含む請求項1又は2に記載の情報処理装置。
  4. 前記匿名化の対象データのデータ間の距離を計算する距離計算手段を含み、
    前記結合制御手段が、
    前記距離計算手段が計算した距離を基に、前記匿名化実行手段に結合を指示する前記対象データのセルと前記隣接セルとを選択する
    請求項1ないし3のいずれか1項に記載の情報処理装置。
  5. 前記匿名化の対象データを記憶する匿名化対象データ記憶手段と、
    前記セルを記憶する分類記憶手段と、
    前記匿名化実行手段が匿名化した匿名化済みデータを記憶する匿名化済みデータ記憶手段と
    を含む請求項1ないし4のいずれか1項に記載の情報処理装置。
  6. 匿名化の対象データの属性の区分である階級の組合せであるセルを基に前記階級を跨がないように前記対象データを匿名化し、
    前記匿名化済みデータにおける匿名化の程度を示すスコアを算出し、前記スコアが所定の基準値より大きなデータに対応する対象データのセルを含む分類に含まれるセルの中から前記対象データのセルに隣接する隣接セルを選択し、前記対象データのセルと前記隣接セルとを基に前記対象データを匿名化する
    匿名化方法。
  7. 匿名化の対象データの属性の区分である階級の組合せであるセルを基に前記階級を跨がないように前記対象データを匿名化する処理と、
    前記匿名化済みデータにおける匿名化の程度を示すスコアを算出し、前記スコアが所定の基準値より大きなデータに対応する対象データのセルを含む分類に含まれるセルの中か前記対象データのセルに隣接する隣接セルを選択し、前記対象データのセルと前記隣接セルとを基に前記対象データを匿名化する処理と
    をコンピュータに実行させるプログラム。
JP2014120149A 2014-06-11 2014-06-11 情報処理装置、匿名化方法、及び、プログラム Pending JP2015232863A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014120149A JP2015232863A (ja) 2014-06-11 2014-06-11 情報処理装置、匿名化方法、及び、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014120149A JP2015232863A (ja) 2014-06-11 2014-06-11 情報処理装置、匿名化方法、及び、プログラム

Publications (1)

Publication Number Publication Date
JP2015232863A true JP2015232863A (ja) 2015-12-24

Family

ID=54934244

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014120149A Pending JP2015232863A (ja) 2014-06-11 2014-06-11 情報処理装置、匿名化方法、及び、プログラム

Country Status (1)

Country Link
JP (1) JP2015232863A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018128913A (ja) * 2017-02-09 2018-08-16 日本電信電話株式会社 データ流通仲介装置、データ流通仲介システム、およびデータ流通仲介方法
WO2019190030A1 (ko) * 2018-03-30 2019-10-03 주식회사 그리즐리 빅데이터 개인정보의 익명화 및 익명화 데이터의 결합 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018128913A (ja) * 2017-02-09 2018-08-16 日本電信電話株式会社 データ流通仲介装置、データ流通仲介システム、およびデータ流通仲介方法
WO2019190030A1 (ko) * 2018-03-30 2019-10-03 주식회사 그리즐리 빅데이터 개인정보의 익명화 및 익명화 데이터의 결합 방법
WO2019189969A1 (ko) * 2018-03-30 2019-10-03 주식회사 그리즐리 빅데이터 개인정보 익명화 및 익명 데이터 결합 방법
US11501020B2 (en) 2018-03-30 2022-11-15 Boara Co., Ltd. Method for anonymizing personal information in big data and combining anonymized data

Similar Documents

Publication Publication Date Title
JP6456162B2 (ja) 匿名化処理装置、匿名化処理方法及びプログラム
Peleg et al. Situation-based access control: Privacy management via modeling of patient data access scenarios
JP6007969B2 (ja) 匿名化装置及び匿名化方法
US10803976B2 (en) Collaboration networking tool
EP2438547B1 (en) Dynamic determination of access rights
Wunsch et al. Comparison of 2 triage scoring guidelines for allocation of mechanical ventilators
US20090019516A1 (en) Role-based access control
Akash et al. A blockchain based system for healthcare digital twin
CA2913647C (en) Method of re-identification risk measurement and suppression on a longitudinal dataset
EP3832559A1 (en) Controlling access to de-identified data sets based on a risk of re-identification
Rothstein et al. Compelled disclosure of health information: Protecting against the greatest potential threat to privacy
Burks et al. COVID-19, disparities, and opportunities for equity in otolaryngology—unequal America
WO2013121738A1 (ja) 分散匿名化装置及び分散匿名化方法
JP2015232863A (ja) 情報処理装置、匿名化方法、及び、プログラム
WO2014030302A1 (ja) 匿名化を実行する情報処理装置及び匿名化処理方法
Syed et al. API driven on-demand participant ID pseudonymization in heterogeneous multi-study research
Lu et al. Privacy-preserving access control in electronic health record linkage
Pingshui Personalized anonymity algorithm using clustering techniques
JP2014170369A (ja) 情報処理装置、情報処理システム、及び、情報匿名化方法
US10623380B1 (en) Secure transfer of medical records to third-party applications
Loukides et al. On balancing disclosure risk and data utility in transaction data sharing using RU confidentiality map
US20190164646A1 (en) Methods, systems, apparatuses and devices for facilitating health care management
May Funding agendas: has bioterror defense been over-prioritized?
Chen Risk-based Access Control Model for Hospital Information Systems
Psarra et al. Permissioned Blockchain Network for Proactive Access Control to Electronic Health Records