JP2017033305A - 情報処理システム及び情報処理方法 - Google Patents

情報処理システム及び情報処理方法 Download PDF

Info

Publication number
JP2017033305A
JP2017033305A JP2015152837A JP2015152837A JP2017033305A JP 2017033305 A JP2017033305 A JP 2017033305A JP 2015152837 A JP2015152837 A JP 2015152837A JP 2015152837 A JP2015152837 A JP 2015152837A JP 2017033305 A JP2017033305 A JP 2017033305A
Authority
JP
Japan
Prior art keywords
data
information processing
information
server
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015152837A
Other languages
English (en)
Other versions
JP6558126B2 (ja
Inventor
秀暢 小栗
Hidenobu Oguri
秀暢 小栗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nifty Corp
Original Assignee
Nifty Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nifty Corp filed Critical Nifty Corp
Priority to JP2015152837A priority Critical patent/JP6558126B2/ja
Publication of JP2017033305A publication Critical patent/JP2017033305A/ja
Application granted granted Critical
Publication of JP6558126B2 publication Critical patent/JP6558126B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】匿名化データの提供の際に、個人が特定されることを防ぐ情報処理システム及び情報処理方法を提供すること。【解決手段】情報処理システムは、匿名化データを提供する第1の情報処理装置と、匿名化データの提供を受ける第2の情報処理装置とを有する。第1の情報処理装置は、個人情報が匿名化された匿名化データに付与される第1の識別子に対して、第2の識別子を生成する第1生成部と、匿名化データと第2の識別子とを対応付けた第1のデータを生成する第2生成部とを有する。第2の情報処理装置は、第1の情報処理装置から取得した第1のデータに含まれる第2の識別子に対して、第3の識別子を生成する生成部と、匿名化データと第3の識別子とを対応付けた第2のデータをデータ利用者に提供する提供部とを有する。【選択図】図1

Description

本発明は、情報処理システム及び情報処理方法に関する。
近年、情報漏洩の問題及び個人情報保護法の制定等により、個人情報の取り扱いが問題となっている。例えば、企業(以下では「データ提供者」と呼ぶことがある)の商品又はサービスを購入する消費者等の個人(以下では、「一般ユーザ」と呼ぶことがある)が商品又はサービスを購入する際に、会員登録することがある。この会員登録時には、通常、一般ユーザの氏名、年齢、性別、住所、及びメールアドレス等のデータが、一般ユーザに割り振られた個人IDと対応づけられた状態で、データ提供者のシステムに登録(記憶)される。すなわち、データ提供者のシステムは、「個人情報データ」を記憶しておく。ここで、「個人情報データ」は、例えば、氏名、年齢、性別、住所、メールアドレス、及び個人IDを含む。
さらに、データ提供者のシステムは、個人情報データが既に登録されている一般ユーザが商品又はサービスを購入する度に、その一般ユーザの個人IDに対応づけて、購入された商品又はサービスに関する情報を記憶する。これにより、データ提供者は、収集した個人情報データを用いて、企業活動に利用することができる。
一方で、例えば、個人情報データを正常に収集したデータ提供者以外の企業が、その個人情報データを利用することを望むことがある。すなわち、データ収集主体とデータ利用主体とが異なる可能性がある。しかしながら、個人情報保護の観点から、一般ユーザの許可を得ること無しに、個人情報データそのものを提供することはできない。そこで、個人情報データを正常に収集したデータ提供者が、個人情報データを、個人を特定できない状態のデータ(以下では、「匿名化データ」と呼ぶことがある)に変換し、匿名化データを提供することが考えられる。
一般的に、匿名化データには、各個人のレコードを管理するために識別子が付与されている。識別子は、例えば匿名化データに新たな項目を追加する場合又は匿名化データに含まれる属性値を更新する場合に、追加、更新等の対象となるレコードを特定することに使用される。
しかし、第三者に匿名化データを提供する場合に、当該識別子をそのまま付与すると、匿名化データに含まれる各レコードの個人が特定される。このため、第三者に匿名化データを流通させる際、匿名化データに付与された第1の識別子を第三者から隠蔽するために、当該第1の識別子を第2の識別子に変換して提供する場合がある。
また、今後改正され、施行が予定される個人情報保護法では、個人を特定できないように一定レベルの加工度で匿名化処理を行った個人情報を一般ユーザの許可なく流通させることが可能となることから、匿名化データの流通が期待される。
特開2014−153944号公報
しかし、識別子を変換した匿名化データを提供した場合において、第1の識別子と第2の識別子との対照情報が漏洩すると、提供された匿名化データに付与される第2の識別子に基づいて第1の識別子が特定され、個人を特定されるおそれがある。識別子を変換する技術者が、当該対照情報を削除することも考えられるが、対照情報を適切な手順で消去したことを当該技術者が証明することは困難である。技術的な手違い等により対照情報が削除されずに残り、又は悪意のある技術者により対照情報が奪われる等により、対照情報が漏洩した場合は、当該対照情報を用いて個人が特定されるおそれがある。
1つの側面では、匿名化データの提供の際に、個人が特定されることを防ぐ情報処理システム及び情報処理方法を提供することを目的とする。
1つの側面では、情報処理システムは、匿名化データを提供する第1の情報処理装置と、匿名化データの提供を受ける第2の情報処理装置とを有する。第1の情報処理装置は、個人情報が匿名化された匿名化データに付与される第1の識別子に対して、第2の識別子を生成する第1生成部と、匿名化データと第2の識別子とを対応付けた第1のデータを生成する第2生成部とを有する。第2の情報処理装置は、第1の情報処理装置から取得した第1のデータに含まれる第2の識別子に対して、第3の識別子を生成する生成部と、匿名化データと第3の識別子とを対応付けた第2のデータをデータ利用者に提供する提供部とを有する。
一実施態様によれば、匿名化データの提供の際に、個人が特定されることを防ぐ。
図1は、実施例1におけるシステムの全体構成の一例を示す模式図である。 図2は、実施例1におけるシステムの一例を示す機能ブロック図である。 図3は、実施例1における個人情報の一例を示す図である。 図4は、実施例1における匿名化情報DBに記憶される情報の一例を示す図である。 図5は、実施例1におけるデータ提供者サーバのID管理DBに記憶される情報の一例を示す図である。 図6は、実施例1における提供情報DBに記憶される情報の一例を示す図である。 図7は、実施例1におけるプラットフォームサーバのID管理DBに記憶される情報の一例を示す図である。 図8は、実施例1における公開情報DBに記憶される情報の一例を示す図である。 図9は、実施例1における暗号化処理の流れの一例を示すフローチャートである。 図10は、実施例1における復号処理の流れの一例を示すフローチャートである。 図11は、実施例2におけるID管理DBに記憶される情報の一例を示す図である。 図12は、実施例2におけるk−匿名レベルの判定について説明する図である。 図13は、実施例2における復号されたSAを含むデータの一例を示す図である。 図14は、実施例2における復号処理の流れの一例を示すフローチャートである。 図15は、ハードウェア構成の一例を示す図である。
以下に、本願の開示する情報処理システム及び情報処理方法の実施例を図面に基づいて詳細に説明する。なお、本実施例により、開示技術が限定されるものではない。また、以下に示す各実施例は、矛盾を起こさない範囲で適宜組み合わせても良い。
[全体構成]
本実施例においては、データ提供者がプラットフォーム(以下では「PF」と呼ぶ。)に提供する匿名化データにおいて、識別子を変換する構成について説明する。図1は、実施例1におけるシステムの全体構成の一例を示す模式図である。図1に示すように、実施例1におけるシステムは、データ提供者サーバ100(以下では「DPサーバ100」と呼ぶ。)と、プラットフォームサーバ300(以下では「PFサーバ300」と呼ぶ。)と、データ利用者端末500とを含む。
DPサーバ100は、個人の特定を防ぐ措置を施した上で、匿名化データを提供する。PFサーバ300は、提供された個人情報を、個人の特定を防ぐ措置を施した上で、データ利用者端末500に提供する。なお、図1においてはDPサーバ100、PFサーバ300及びデータ利用者端末500がそれぞれ一者づつである例を示したが、実施例はこれに限られず、それぞれ複数有するような構成であってもよい。
本システムにおいて、DPサーバ100は、例えば一般ユーザから提供された個人情報を用いて、自ら匿名化データを生成し、又は第三者に匿名化データを生成させる。DPサーバ100は、生成された匿名化データを流通させるために、PFサーバ300に提供する。
その際、DPサーバ100は、個人の特定を防ぐため、匿名化データの各レコードに付与された第1の識別子(以下では「ID1」と呼ぶ。)を第2の識別子(以下では「ID2」と呼ぶ。)に変換する。DPサーバ100は、ID1とID2とを連結するためのID対照情報(以下では「第1のID対照情報」と呼ぶ。)を暗号化して記憶する。なお、本実施例においては、暗号化した情報の安全性を高めるため、第1のID対照情報に対して、DPサーバ100とPFサーバ300との両方が暗号化処理を行う。
また、年収や病歴等、特に厳重な秘密保持が求められるセンシティブな属性値(以下では「SA」と呼ぶ。)が匿名化データに含まれる場合、DPサーバ100はSAを削除し、又は暗号化する等、SAの漏洩を防ぐための措置を施す。
その後、DPサーバ100は、ID2と、当該IDに対応するSA以外の属性値(以下では「QID(Quasi IDentifier)」と呼ぶ。)と、暗号化された第1のID対照情報とを、PFサーバ300に送信する。なお、DPサーバ100が、暗号化されたSAを合わせてPFサーバ300に送信するような構成であってもよい。
データを受信したPFサーバ300は、受信したデータに含まれるID2を、第3の識別子(以下では「ID3」と呼ぶ。)に変換する。PFサーバ300は、ID2とID3とを連結するためのID対照情報(以下では「第2のID対照情報」と呼ぶ。)を暗号化する。
その後、PFサーバ300は、暗号化された第1のID対照情報を再暗号化するとともに、暗号化された第2のID対照情報と合わせてDPサーバ100に送信する。なお、本実施例においては、第1のID対照情報と同様に、第2のID対照情報に対しても、DPサーバ100とPFサーバ300との両方が暗号化処理を行う。
データを受信したDPサーバ100は、再暗号化された第1のID対照情報を記憶する。また、DPサーバ100は、暗号化された第2のID対照情報を再暗号化し、PFサーバ300に送信する。
データを受信したPFサーバ300は、再暗号化された第2のID対照情報を記憶する。また、PFサーバ300は、ID3と、受信したQIDとを対応付けて記憶するとともに、データ利用者端末500から要求を受けた場合にこれを提供する。
次に、データの追加又は更新等について説明する。PFサーバ300は、データ利用者端末500からID3を含むデータの追加又は更新の依頼を受けた場合、DPサーバ100とともに、第1のID対照情報及び第2のID対照情報を復号する。PFサーバ300は、データ利用者端末500から受信したID3に対応するID2をDPサーバ100に送信し、DPサーバ100は、ID2に対応するID1の追加・更新情報を取得する。
その後、DPサーバ100は、PFサーバ300に当該追加・更新情報とID2とを対応付けて送信し、PFサーバ300は当該追加・更新情報をID3と対応付けてデータ利用者端末500に送信する。なお、暗号化されたSAを復号して提供する構成については、実施例2において説明する。
次に、本実施例において実装されるシステムの機能構成について説明する。図2は、実施例1におけるシステムの一例を示す機能ブロック図である。図2に示すように、本実施例におけるシステムは、DPサーバ100と、PFサーバ300と、データ利用者端末500とを有する。
DPサーバ100と、PFサーバ300とは、ネットワークNを通じて、相互に通信可能に接続される。PFサーバ300は、ネットワークNを通じて、データ利用者端末500と相互に通信可能に接続される。かかるネットワークNには、有線または無線を問わず、インターネット(Internet)を始め、LAN(Local Area Network)やVPN(Virtual Private Network)などの任意の種類の通信網を採用できる。なお、図2においては、DPサーバ100、PFサーバ300及びデータ利用者端末500がそれぞれ1台づつである例を示したが、実施例はこれに限られない。例えば、DPサーバ100、PFサーバ300及びデータ利用者端末500を複数有するような構成であってもよい。
[DPサーバの機能構成]
まず、DPサーバ100の機能構成について説明する。DPサーバ100は、匿名化データに付与される識別子を変換し、PFサーバ300に提供する処理を行うコンピュータである。図2に示されるように、DPサーバ100は、記憶部120と、制御部130とを有する。なお、DPサーバ100は、図2に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
次に、DPサーバ100の各機能ブロックについて説明する。記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。記憶部120は、匿名化情報DB121、ID管理DB123、提供情報DB124及び操作ログDB125を有する。また、記憶部120は、制御部130での処理に用いる各種情報を記憶する。
匿名化情報DB121は、生成された匿名化データを、識別子と対応付けて記憶する記憶部である。匿名化データは、例えば、一般ユーザから取得した個人情報に、属性値を抽象化する等の匿名化処理を施すことにより生成される。なお、個人情報に含まれる年齢や収入等の属性値が更新された場合、又は新たな個人に関する属性値を取得した場合、匿名化データも適宜更新される。
図3及び図4を用いて、匿名化処理の概要について説明する。図3は、実施例1における個人情報の一例を示す図である。また、図4は、実施例1における匿名化情報DBに記憶される情報の一例を示す図である。図3は、「ID1」、「属性1性別(QID)」、「属性2年齢(QID)」及び「属性n年収(SA)」の項目を含む。一方、図4においては、図3に示される「属性2年齢(QID)」が、匿名化処理において、図4に示される「属性2年代(QID)」に抽象化される。図4に示されるその他の項目については、図3に示される項目と同様である。なお、図3及び図4において、図示しないその他の属性を含むような構成であってもよい。
例えば、図3に示される「45」や「52」などの属性値は、図4においてそれぞれ「40−50代」に抽象化される。同様に、図3の「属性n年収(SA)」に示される「550万」や「240万」などの属性値は、図4においてそれぞれ「500万円台」や「300万円未満」に抽象化される。各属性値は、「ID1」に示す識別子により一意に識別される。
また、図4においては、各レコードが順不同に並び替えて記憶される。これは、例えば50音順や年齢順などのレコードの並び順に基づいて、各レコードに該当する個人を推定されることを防ぐためである。
図2の説明に戻って、ID管理DB123は、ID1とID2とを対応づける第1のID対照情報を記憶する記憶部である。ID管理DB123に格納される情報について、図5を用いて説明する。図5は、実施例1におけるデータ提供者サーバのID管理DBに記憶される情報の一例を示す図である。図5に示すように、ID管理DB123は、「ID1」と、「ID2」とを対応付けて記憶する。例えば、「A003」というID1には、「Z123」というID2が対応付けられて記憶される。
なお、図5においては、ID1とID2とが一意に対応する例を示したが、実施例はこれに限られず、データ利用者ごとに、又はデータを提供する度に、ID1に対応するID2を新たに生成するような構成であってもよい。この場合、ID管理DB123は、図5に示すような情報を、データ利用者に割り振られた識別子等に対応付けて記憶する。
また、図5に示す例においては、図4に示す「属性1性別(QID)」及び「属性2年代(QID)」もID1及びID2と合わせて記憶されるが、図4に示す「属性n年収(SA)」は、本実施例においては削除される。
図2の説明に戻って、提供情報DB124は、PFサーバ300に提供される情報を記憶する記憶部である。提供情報DB124に格納される情報について、図6を用いて説明する。図6は、実施例1における提供情報DBに記憶される情報の一例を示す図である。図6に示すように、提供情報DB124は、図5に示すようなID管理DB123に記憶される情報のうち、「ID2」、「属性1性別(QID)」及び「属性2年代(QID)」のみを含み、「ID1」は削除されている。
図2の説明に戻って、操作ログDB125は、匿名化データに対する取得要求や暗号化等の操作を記憶する記憶部である。操作ログDB125は、例えば、ID1に対応するID2が生成されたこと、SAが暗号化され又は復号されたこと、ID2及びQIDがPFサーバ300に送信されたこと、第1のID対照情報が暗号化され又は復号されたこと等の操作を記録する。操作ログDB125は、各操作履歴を、操作を行った担当者のIDや、操作が行われた日時等と対応付けて記録する。
図2の説明に戻って、制御部130は、例えば、CPUやMPU(Micro Processing Unit)等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部130は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されるようにしてもよい。
この制御部130は、ID生成部131と、暗号処理部133と、送受信部135とを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部130の内部構成は、図2に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、ID生成部131、暗号処理部133及び送受信部135は、プロセッサなどの電子回路の一例またはプロセッサなどが実行するプロセスの一例である。
ID生成部131は、ID1に対応するID2を生成する処理部である。ID生成部131は、例えば、図5に示すように、「A003」というID1に対応して、「Z123」というID2を生成し、ID管理DB123に記憶する。ID生成部131は、第1生成部及び第2生成部の一例である。
暗号処理部133は、複数のIDを対応付けるID対照情報を暗号化し、又は復号する処理部である。具体的には、暗号処理部133は、図5に示すようなID1とID2とを対応付ける情報を暗号化して、ID管理DB123に記憶し、また暗号化された情報を復号する。また、上で述べたように、暗号処理部133は、PFサーバ300により暗号化された第2のID対照情報をさらに再暗号化する。なお、暗号処理部133は、ID管理DB123全体を暗号化する構成であっても、ID管理DB123の内容を出力したファイルを暗号化する構成であってもよい。
送受信部135は、PFサーバ300に情報を送信し、又はPFサーバ300から情報を受信する処理部である。例えば、送受信部135は、提供情報DB124に記憶された、図6に示すような情報を読み出し、PFサーバ300に送信する。また、送受信部135は、例えば、PFサーバ300から暗号化したID対照情報の復号要求を受信し、暗号処理部133に指示を出力する。
[PFサーバの機能構成]
次に、図2の説明に戻って、PFサーバ300の機能構成について説明する。PFサーバ300は、DPサーバ100から匿名化データの提供を受け、データ利用者端末500に提供する処理を行うコンピュータである。図2に示されるように、PFサーバ300は、記憶部320と、制御部330とを有する。なお、PFサーバ300は、図2に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
次に、PFサーバ300の各機能ブロックについて説明する。記憶部320は、例えば、RAM、フラッシュメモリ等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。記憶部320は、ID管理DB323と、公開情報DB324と、操作ログDB325とを有する。また、記憶部320は、制御部330での処理に用いる各種情報を記憶する。
ID管理DB323は、ID2とID3とを対応づける第2のID対照情報を記憶する記憶部である。ID管理DB323に格納される情報について、図7を用いて説明する。図7は、実施例1におけるプラットフォームサーバのID管理DBに記憶される情報の一例を示す図である。図7に示すように、ID管理DB323は、「ID2」と、「ID3」とを対応付けて記憶する。例えば、「Z123」というID2には、「ABC1」というID3が対応付けられて記憶される。
図2の説明に戻って、公開情報DB324は、PFサーバ300に提供される情報を記憶する記憶部である。公開情報DB324に格納される情報について、図8を用いて説明する。図8は、実施例1における公開情報DBに記憶される情報の一例を示す図である。図8に示すように、公開情報DB324は、図6に示す提供情報DB124に示す情報のうち、「ID2」を「ID3」に変換した情報を記憶する。
図2の説明に戻って、操作ログDB325は、匿名化データに対する取得要求や暗号化等の操作を記憶する記憶部である。操作ログDB325は、例えば、ID2に対応するID3が生成されたこと、第2のID対照情報が暗号化され又は復号されたこと等の操作を記録する。また、操作ログDB325は、データ利用者端末500に対して匿名化データを提供したこと、データ利用者端末500から追加情報取得のリクエストを受信したこと等の操作も記録する。操作ログDB325は、各操作履歴を、操作を行った担当者のIDや、操作が行われた日時等と対応付けて記録する。
制御部330は、例えば、CPUやMPU等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部330は、例えば、ASICやFPGA等の集積回路により実現されるようにしてもよい。
この制御部330は、ID生成部331と、暗号処理部333と、送受信部335とを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部330の内部構成は、図2に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、ID生成部331、暗号処理部333及び送受信部335は、プロセッサなどの電子回路の一例またはプロセッサなどが実行するプロセスの一例である。
ID生成部331は、ID2に対応するID3を生成する処理部である。ID生成部331は、例えば、図7に示すように、「Z123」というID2に対応して、「ABC1」というID3を生成し、ID管理DB323に記憶する。ID生成部331は、生成部の一例である。
暗号処理部333は、複数のIDを対応付けるID対照情報を暗号化し、又は復号する処理部である。具体的には、暗号処理部333は、図7に示すようなID2とID3とを対応付ける第2のID対照情報を暗号化して、ID管理DB323に記憶し、また暗号化された情報を復号する。また、上で述べたように、暗号処理部333は、DPサーバ100により暗号化された第1のID対照情報をさらに再暗号化する。
送受信部335は、DPサーバ100及びデータ利用者端末500との間で情報を送受信する処理部である。例えば、送受信部335は、DPサーバ100からID2とQIDとの組み合わせを受信し、記憶部320に記憶する。また、送受信部335は、データ利用者端末500からデータの追加又は更新のリクエストを受信すると、DPサーバ100にリクエストを送信する。送受信部335は、提供部の一例である。
[処理の流れ]
次に、DPサーバ100及びPFサーバ300による処理の流れについて説明する。図9は、実施例1における暗号化処理の流れの一例を示すフローチャートである。なお、各ステップにおいて実行された処理の内容については、適宜操作ログDB125又は操作ログDB325に記録される。
まず、DPサーバ100のID生成部131は、匿名化情報DB121に記憶された匿名化データの各レコードを順不同に並べ替える(ステップS101)。次に、ID生成部131は、順不同に並べ替えた匿名化データに付与されたID1に対応するID2を生成し、第1のID対照情報をID管理DB123に記憶する(ステップS111)。
次に、暗号処理部133は、匿名化情報DB121に記憶された匿名化データからSAを削除する(ステップS121)。なお、SAを暗号化する構成については、実施例2において説明する。
その後、ID生成部131は、匿名化情報DB121から匿名化データ及び識別子を読み出し、匿名化データに付与されたID1をID2に置き換えて、提供情報DB124に記憶する(ステップS131)。そして、送受信部135は、提供情報DB124に記憶されたID2及びQIDを、PFサーバ300に送信する(ステップS135)。
PFサーバ300の送受信部335が、DPサーバ100からID2とQIDとを受信すると(ステップS141)、ID生成部331は、ID2に対応するID3を生成し、第2のID対照情報をID管理DB323に記憶する(ステップS143)。次に、暗号処理部333は、第2のID対照情報を暗号化し、ID管理DB323に記憶する(ステップS145)。
次に、送受信部335は、DPサーバ100に、暗号化された第2のID対照情報を送信する(ステップS151)。DPサーバ100の送受信部135が暗号化された第2のID対照情報を受信すると、暗号処理部133は、暗号化された第2のID対照情報を再暗号化する(ステップS161)。次に、暗号処理部133は、ID管理DB123に記憶された第1のID対照情報を暗号化する(ステップS163)。次に、送受信部135は、暗号化された第1のID対照情報と、再暗号化された第2のID対照情報とを、PFサーバ300に送信する(ステップS165)。
PFサーバ300の送受信部335は、暗号化された第1のID対照情報と、再暗号化された第2のID対照情報とを受信すると、再暗号化された第2のID対照情報をID管理DB323に格納する(ステップS171)。次に、暗号処理部333は、暗号化された第1のID対照情報を再暗号化する(ステップS173)。
その後、送受信部335は、処理に用いた中間データを削除し、再暗号化された第1のID対照情報をDPサーバ100に送信する(ステップS175)。再暗号化された第1のID対照情報を受信したDPサーバ100の送受信部135は、再暗号化された第1のID対照情報をID管理DB123に格納するとともに、処理に用いた中間データを削除する(ステップS181)。
次に、データ利用者に提供するデータを更新又は追加するための復号処理について、図10を用いて説明する。図10は、実施例1における復号処理の流れの一例を示すフローチャートである。まず、PFサーバ300の送受信部335は、データ利用者端末500から、データの更新又は追加のリクエストを受信すると(ステップS201)、当該リクエストがデータ利用者とプラットフォームとの契約等の条件を満たすかを判定する(ステップS203)。条件を満たさない場合(ステップS203:No)、処理を終了する。
一方、当該リクエストが条件を満たす場合(ステップS203:Yes)、送受信部335は、DPサーバ100に、確認依頼を送信する(ステップS205)。DPサーバ100の送受信部135は、確認依頼を受信すると(ステップS221)、当該リクエストがプラットフォームとデータ提供者との契約等の条件を満たすかを判定する(ステップS223)。条件を満たさない場合(ステップS223:No)、送受信部135は、PFサーバ300に処理不能を通知し(ステップS225)、処理を終了する。
一方、当該リクエストが条件を満たす場合(ステップS223:Yes)、暗号処理部133は、ID管理DB123に記憶された第1のID対照情報を復号し、PFサーバ300に送信する(ステップS231)。PFサーバ300の送受信部335は、復号された第1のID対照情報を受信し、暗号処理部333がこれを再復号する(ステップS241)。次に、暗号処理部333は、ID管理DB323に記憶された第2のID対照情報を復号する(ステップS243)。次に、送受信部335は、再復号された第1のID対照情報と、復号された第2のID対照情報とをDPサーバ100に送信する(ステップS245)。
DPサーバ100の送受信部135が、復号された第2のID対照情報を受信すると、暗号処理部133は、受信された第2のID対照情報を再復号する(ステップS251)。次に、ID生成部131は、再復号された第1のID対照情報及び第2のID対照情報を用いて、ID3に対応するID1を特定し、匿名化情報DB121からID1に対応する追加情報又は更新情報(以下「追加情報等」と呼ぶ。)を取得する(ステップS253)。次に、送受信部135は、取得した追加情報等を、ID2と対応付けてPFサーバ300に送信する(ステップS255)。
PFサーバ300の送受信部335が、DPサーバ100から追加情報等を受信すると(ステップS261)、ID生成部331は、追加情報等をID3と対応付け、データ利用者に提供する(ステップS263)。
以上のような構成により、DPサーバ100は単独でID1からID3を対応付けることができず、またPFサーバ300は単独でID3からID1を対応付けることができない。すなわち、DPサーバ100が生成した第1のID対照情報と、PFサーバ300が生成した第2のID対照情報との両方がそろわなければ、ID3からID1に再連結することができなくなる。これにより、いずれか一方のID対照情報が漏洩しても、匿名化データに付与された識別子により個人が特定されることを防止できる。
なお、識別子そのものを削除する場合と異なり、データ提供者とプラットフォームとが合意すれば、ID3とID1とを対応付けることで、DPサーバ100が保有する匿名化データと再連結することができる。このため、データ利用者端末500が、提供されたデータについてさらに別の項目の提供を受けることや、提供されたデータをアップデートすることもできる。
本実施例においては、PFサーバ300が暗号化した第2のID対照情報をDPサーバ100に送信し、DPサーバ100がこれを再暗号化する構成を説明したが、実施例はこれに限られない。例えば、DPサーバ100が予め暗号化した第1のID対照情報をPFサーバ300に送信し、PFサーバ300が再暗号化した第1のID対照情報と、暗号化した第2のID対照情報とをDPサーバ100に送信するような構成であってもよい。
また、本実施例においては、DPサーバ100側でID1からID2に変換し、ID1をPFサーバ300に受け渡さない構成について説明したが、実施例はこれに限られない。例えば、DPサーバ100がID1をPFサーバ300に受け渡し、PFサーバ300がID1に対応するID2及びID3を生成するような構成であってもよい。これにより、DPサーバ100がIDを変換する機能を有しない場合であっても、データ利用者に変換したIDを付与した匿名化データを提供することができる。
DPサーバ100が提供する匿名化データには、収入や病歴等のSAが含まれる場合がある。SAは、他の属性値と比較して、特に厳重に秘密を保持することが要求される。しかし、SAそのものを削除してしまうと、後にSAの提供を求められた場合に、提供済みのデータとの連結ができなくなる。
[全体構成]
以下の実施例においては、再連結可能なSAの漏洩を防ぐ構成について説明する。本実施例の全体構成について、図1を用いて説明する。本実施例においては、DPサーバ100は、SAを削除せずに暗号化して保持する。
図1の符号1001に示すように、データ利用者端末500からID3を含むSAの追加提供のリクエストを受けたPFサーバ300は、リクエストに含まれるID3をID2に変換し、DPサーバ100にSAの復号をリクエストする。なお、当該リクエストは、対象となる匿名化データに付与されたID3全てを含むものに限られず、一部のID3だけを含むものであってもよい。
リクエストをうけたDPサーバ100は、ID2をID1に変換し、ID1に対応するSAを復号して、ID2とともにPFサーバ300に送信する。PFサーバ300は、受信した復号済みSAを、ID3とともにデータ利用者端末500に送信する。
次に、本実施例において実装されるシステムの機能構成について、図2を用いて説明する。本実施例におけるシステムも、実施例1におけるシステムと同様に、DPサーバ100と、PFサーバ300と、データ利用者端末500とを有し、それぞれが実施例1における各コンピュータと同様の機能構成を有する。以下において、実施例1と同様の構成を有する機能ブロックについては、詳細な説明を省略する。
[DPサーバの機能構成]
まず、本実施例におけるDPサーバ100の機能構成のうち、実施例1における機能構成と異なる点について説明する。本実施例において、DPサーバ100のID管理DB123に記憶される情報の一例を、図11を用いて説明する。図11は、実施例2におけるID管理DBに記憶される情報の一例を示す図である。図11の符号1101に示すように、本実施例におけるID管理DB123は、図5に示す「ID1」、「ID2」、「属性1性別(QID)」及び「属性2年代(QID)」の各情報に加えて、「属性n年収(CSA)」をさらに含む。なお、「属性n年収(CSA)」は、「属性n年収(SA)」を暗号化した属性値である。例えば、「属性n年収(CSA)」の「qrq242q34」のレコードは、図4に示す「属性n年収(SA)」が「500万円台」のレコードを暗号化した属性値であることを示す。
なお、SA単体で暗号化するのではなく、SAと他の属性値とを合わせて暗号化した属性値を「属性n年収(CSA)」として記憶するような構成であってもよい。例えば、SAである「年収」と、他の属性値である「年代」とを合わせて暗号化するような構成が考えられる。この場合、SAが同じ「500万円台」であっても、「40−50代」と「30代」とでは、暗号化された属性値が異なることになる。なお、暗号処理部133がSAを暗号化する際に、属性値ごとに暗号鍵を変更するような構成であってもよい。
図2の説明に戻って、本実施例におけるDPサーバ100の提供情報DB124においては、図11に示す情報のうち、「ID1」を削除した情報が記憶される。すなわち、提供情報DB124には、「ID2」と、「属性1性別(QID)」と、「属性2年代(QID)」と、「属性n年収(CSA)」とが対応付けられて記憶される。この場合において、「属性n年収(CSA)」は暗号化されているため、PFサーバ300やデータ利用者端末500において年収を把握することはできない。
本実施例における暗号処理部133は、匿名化情報DB121からSA、又はSA及びその他の属性値を読み出して暗号化し、ID管理DB123に記憶する。暗号処理部133は、例えば、「属性n年収(SA)」と「属性2年代(QID)」とを読み出して暗号化し、「属性n年収(CSA)」としてID管理DB123に記憶する。また、暗号処理部133は、PFサーバ300からリクエストを受けた場合に、「属性n年収(CSA)」を復号する処理を行う。
[PFサーバの機能構成]
次に、本実施例におけるPFサーバ300の機能構成のうち、実施例1における機能構成と異なる点について説明する。公開情報DB324は、DPサーバ100の提供情報DB124に記憶される情報のうち、「ID2」を「ID3」に変換した情報が記憶される。すなわち、公開情報DB324には、「ID3」と、「属性1性別(QID)」と、「属性2年代(QID)」と、「属性n年収(CSA)」とが対応付けられて記憶される。
本実施例における送受信部335は、データ利用者端末500に、「属性n年収(CSA)」を含むデータを送信し、データ利用者端末500から、SA開示のリクエストを受信する。具体的には、送受信部335は、データ利用者端末500から、開示を希望するSAの項目と、開示を希望するレコードのID3を受信する。リクエストを受信した送受信部335は、DPサーバ100に、ID3に対応するID2を含むリクエストを送信する。
ここで、データ利用者端末500から受信するリクエストについて詳細に説明する。「属性n年収(CSA)」を受信したデータ利用者端末500において、暗号化されたCSAから元データである「属性n年収(SA)」を復号することはできない。しかし、データ利用者端末500において、「属性n年収(CSA)」の各属性値に該当する個人が、それぞれ何人いるかを集計することは可能であるため、データ利用者端末500の利用者は、例えば当該集計結果に基づいて復号を要求するCSAを特定する。
匿名化データの利用を認めるか否かを判断する上で、匿名化データのどの属性値についても、該当する個人が少なくともk人以上いるか否かという条件がある。かかる条件を満たす人数を「k−匿名レベル」といい、匿名化データの利用を認める条件として、例えばk−匿名レベル「10」といえば、匿名化データのどの属性値についても、該当する個人が10人以上いなければならないことを示す。
データ利用者端末500の利用者は、「属性n年収(CSA)」の各属性値のうち、例えばk−匿名レベル「10」を満たす属性値について、SA開示のリクエストを送信する。図12は、実施例2におけるk−匿名レベルの判定について説明する図である。図12は、CSAの各属性値に該当するレコードが何件あるかを示す。図12の符号1201に示すように、例えばCSAの属性値が「qrq242q34」であるレコードは260件存在し、またCSAの属性値が「y464w34yj」であるレコードは5件存在する。
図12において、「属性n元データ」の欄は、CSAの各属性値に対応する、暗号化前のSAの元データを示す。例えば、CSAの属性値が「qrq242q34」であるレコードは、SAの属性値が「500万円台」であったレコードを暗号化したものであることを示す。なお、図12において、「属性n元データ」の欄は、説明のために便宜的に記載されたものであり、PFサーバ300又はデータ利用者端末500においてその属性値を把握することはできない。
データ利用者端末500の利用者は、例えば、図12の符号1201に示すように、「qrq242q34」が何の属性値を暗号化したものかがわからなくとも、復号した当該属性値を含む匿名化データが、k−匿名レベル「10」を満たすことを特定できる。一方、図12の符号1201に示す「y464w34yj」のレコードは5件しかないため、データ利用者端末500の利用者は、復号した当該属性値を含む匿名化データが、k−匿名レベル「10」を満たさないことを特定できる。
以上の特定の結果、データ利用者端末500は、例えばk−匿名レベル「10」に関する条件を満たす属性値である「qrq242q34」及び「53yt5ytrh1」のいずれかに該当するID3を指定して、SA開示のリクエストを送信する。
上で述べたようなk−匿名レベルに基づく判定の結果、図13に示すような復号されたSAを含むデータが得られる。図13は、実施例2における復号されたSAを含むデータの一例を示す図である。図13に示すように、レコード数が「260」である属性値、及びレコード数が「110」である属性値については、CSAが部分的に復号され、暗号化前のSAである年収「500万円台」及び「600万円台」が記憶される。
一方、図12においてレコード数が「1」及び「5」である各属性値については、当該属性値を復号した匿名化データがk−匿名レベル「10」を満たさなくなるため、CSAは復号されず、図13において、年収及びその他の属性値「不明」となっている。なお、図13に示す例においては、レコード数が「1」である各属性値と、レコード数が「5」である各属性値とを集約して、レコード数が「6」である属性値として表示している。
[処理の流れ]
次に、本実施例における処理の流れについて、図9及び図14を用いて説明する。なお、実施例1と同様に、各ステップにおいて実行された処理の内容については、適宜操作ログDB125又は操作ログDB325に記録される。
まず、暗号化処理においては、図9のステップS121及びS131において、ID生成部131及び暗号処理部133は、実施例1に示されるようにSAを削除するのではなく、SAを暗号化して提供情報DB124に記憶する。それ以外の処理については実施例1と同様であるので、詳細な説明は省略する。なお、SA以外のデータの更新又は追加に関する処理については、実施例1における図10に示す処理と同様であるので、詳細な説明は省略する。
次に、データ利用者からSA開示のリクエストがあった場合の処理について説明する。図14は、実施例2における復号処理の流れの一例を示すフローチャートである。まず、PFサーバ300は、データ利用者端末500から、対象とするSAの種別、及び対象とするID3を含むSA開示のリクエストを受信する(ステップS301)。
リクエストを受信したPFサーバ300の送受信部335は、当該リクエストがデータ利用者とプラットフォームとの契約等の条件を満たすかを判定する(ステップS303)。送受信部335は、例えば、暗号化されたSAに含まれるレコードの件数が、契約等で定められたk−匿名レベルを満たすか否かを判定する。条件を満たさない場合(ステップS303:No)、処理を終了する。
一方、当該リクエストが条件を満たす場合(ステップS303:Yes)、送受信部335は、ID管理DB323を参照してID3に対応するID2を取得する(ステップS305)。その後、送受信部335は、DPサーバ100に、ID2を含むSA復号のリクエストを送信する(ステップS311)。その際、送受信部335は、例えば、当該リクエストがk−匿名レベル等の条件を満たすことをDPサーバ100に通知する。なお、ID管理DB323に記憶される第2のID対照情報が暗号化されている場合、例えば図10のステップS231乃至S251に示すような処理を行い、第2のID対照情報を復号する。
DPサーバ100の送受信部135は、SA復号のリクエストを受信すると(ステップS321)、当該リクエストがプラットフォームとデータ提供者との契約等の条件を満たすかを判定する(ステップS323)。条件を満たさない場合(ステップS323:No)、送受信部135は、PFサーバ300に処理不能を通知し(ステップS325)、処理を終了する。
一方、当該リクエストが条件を満たす場合(ステップS323:Yes)、暗号処理部133は、ID管理DB123を参照して、受信したID2に対応するID1を取得する(ステップS331)。なお、ID管理DB123に記憶される第1のID対照情報が暗号化されている場合、例えば図10のステップS231乃至S251に示すような処理を行い、第1のID対照情報を復号する。
次に、暗号処理部133は、提供情報DB124を参照し、ID1に対応するCSAを復号する(ステップS333)。そして、送受信部135は、復号されたSAと、受信したID2とを対応付けて、PFサーバ300に送信する(ステップS335)。
PFサーバ300の送受信部335が、ID2と、復号されたSAとを受信すると(ステップS341)、暗号処理部333は、ID管理DB323を参照してID2をID3に変換する(ステップS343)。次に、送受信部335は、復号されたSAとID3とを対応付けたデータを、データ利用者端末500に送信する(ステップS345)。
以上説明したような処理により、SAを再連結できる匿名化データの提供において、SAの漏洩を防ぐことができる。また、暗号化されたCSAに基づいて、SAの各属性値に該当するレコード数を特定できるため、k−匿名レベルの設定に応じたSAの開示が可能となる。
なお、暗号処理部133がSAを暗号化する際の暗号鍵を属性値ごとに変更するような構成においては、DPサーバ100がPFサーバ300に対して特定の属性値に対応する暗号鍵を提供するような構成であってもよい。PFサーバ300又はデータ利用者端末500が、提供された暗号鍵を用いてCSAを復号するような構成とすることにより、他のSAが漏洩することなく特定のSAを復号でき、復号処理を簡略化できる。
また、本実施例においては、SAを可逆的に暗号化し、「属性n年収(CSA)」を復号してSAを取得する構成について説明したが、実施の形態はこれに限られない。例えば、暗号処理部133が、SAを不可逆的に暗号化するような構成であってもよい。不可逆的に暗号化することで、CSAからSAを解読されるリスクをさらに低減しつつ、PFサーバ300又はデータ利用者端末500においてCSAの各属性値の件数をカウントできる。なお、SAを不可逆的に暗号化する場合、DPサーバ100はCSAからSAへの復号ができないため、例えば匿名化情報DB121から該当するID1に対応する元データを読み出して、ID2と対応付けてPFサーバに送信する。
なお、本実施例においては、データ利用者端末500が、開示を希望するSAに対応するID3を送信する構成について説明したが、実施の形態はこれに限られない。例えば、データ利用者端末500からリクエストを受信したPFサーバ300が、k−匿名レベル等の条件を満たすID2を特定して、DPサーバ100にリクエストを送信するような構成であってもよい。かかる構成によれば、PFサーバ300が、データ利用者端末500に開示する匿名化データを、k−匿名レベル等の条件に基づいてコントロールできる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。例えば、図9、図10及び図14に示す各処理は、上記の順番に限定されるものではなく、処理内容を矛盾させない範囲において、同時に実施してもよく、順序を入れ替えて実施してもよい。
また、本実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともできる。あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、上で述べた各実施例においては、DPサーバ100とPFサーバ300の2者による二重暗号化によって情報の機密性を高める手段を採っているが、実際には2者による暗号化は、途中の暗号が傍受されることによって強度が減少することが知られている。例えば、何者かが途中の暗号と平文とを取得した場合、Meet in the Middle Attack(中間一致攻撃)等により暗号鍵を特定できるおそれがあることが知られている。そのため、安全性向上のために、2者以外にも、機密を守ることが出来る第三者機関や会社内における独立したセキュリティ部門などを含めた3者以上により暗号化するような構成であってもよい。
上で述べた各実施例においては、個人情報に基づいて生成された匿名化データについて実施する例として説明したが、適用範囲はこれに限られない。例えば、企業等の法人に関する情報など、当該情報に該当する対象を特定されることを抑制したいその他の情報について各実施例を実施してもよい。
[システム]
また、図示した装置の各構成は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、任意の単位で分散または統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
更に、各装置で行われる各種処理機能は、CPU(又はMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部又は任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(又はMPU、MCU等のマイクロ・コンピュータ)で解析実行するプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしてもよい。
上記DPサーバ100、PFサーバ300、及びデータ利用者端末500は、例えば、図15に示すコンピュータ2000のようなハードウェア構成により実現することができる。図15は、ハードウェア構成の一例を示す図である。図15に示すように、コンピュータ2000は、プロセッサ2001と、メモリ2002と、IF2003を有する。
プロセッサ2001の一例としては、CPU、DSP(Digital Signal Processor)、FPGA等が挙げられる。また、メモリ2002の一例としては、SDRAM(Synchronous Dynamic Random Access Memory)等のRAM、ROM(Read Only Memory)、フラッシュメモリ等が挙げられる。
そして、上記DPサーバ100、PFサーバ300、及びデータ利用者端末500で行われる各種処理機能は、不揮発性記憶媒体などの各種メモリに格納されたプログラムを制御装置が備えるプロセッサで実行することによって実現してもよい。すなわち、ID生成部131及び331、暗号処理部133及び333、並びに送受信部135及び335によって実行される各処理に対応するプログラムがメモリ2002に記録され、各プログラムがプロセッサ2001で実行されてもよい。
100 データ提供者サーバ
300 プラットフォームサーバ
500 データ利用者端末
120、320 記憶部
121 匿名化情報DB
123、323 ID管理DB
124 提供情報DB
324 公開情報DB
125、325 操作ログDB
130、330 制御部
131、331 ID生成部
133、333 暗号処理部
135、335 送受信部

Claims (8)

  1. 匿名化データを提供する第1の情報処理装置と、当該匿名化データの提供を受ける第2の情報処理装置とを有する情報処理システムにおいて、
    前記第1の情報処理装置は、
    個人情報が匿名化された匿名化データに付与される第1の識別子に対して、第2の識別子を生成する第1生成部と、
    前記匿名化データと前記第2の識別子とを対応付けた第1のデータを生成する第2生成部と
    を有し、
    前記第2の情報処理装置は、
    前記第1の情報処理装置から取得した前記第1のデータに含まれる前記第2の識別子に対して、第3の識別子を生成する生成部と、
    前記匿名化データと前記第3の識別子とを対応付けた第2のデータをデータ利用者に提供する提供部と
    を有することを特徴とする情報処理システム。
  2. 前記第1の情報処理装置の第2生成部が、前記匿名化データ又は前記匿名化データの一部を不可逆的に暗号化し、当該暗号化されたデータを取得した前記第2の情報処理装置から、前記暗号化されたデータが所定のk−匿名レベルを満たす旨の通知を受けた場合に、前記暗号化されたデータの元データを前記第2の情報処理装置に提供することを特徴とする請求項1に記載の情報処理システム。
  3. 前記第1の情報処理装置の第2生成部が、前記匿名化データ又は前記匿名化データの一部を可逆的に暗号化し、当該暗号化されたデータを取得した前記第2の情報処理装置から、前記暗号化されたデータが所定のk−匿名レベルを満たす旨の通知を受けた場合に、前記暗号化されたデータを復号する暗号鍵を前記第2の情報処理装置に提供する
    ことを特徴とする請求項1に記載の情報処理システム。
  4. 前記第1の情報処理装置の第2生成部が、前記匿名化データの第1の部分及び第2の部分を、それぞれ別の暗号鍵を用いて可逆的に暗号化し、前記第2の情報処理装置から、前記第1の部分が所定のk−匿名レベルを満たす旨の通知を受けた場合に、前記第1の部分を復号する暗号鍵を前記第2の情報処理装置に提供することを特徴とする請求項3に記載の情報処理システム。
  5. 前記第2の情報処理装置の生成部が、前記第1の情報処理装置から取得した前記暗号化されたデータに含まれるレコードの件数に基づいて、前記暗号化されたデータが所定のk−匿名レベルを満たすか否かを判定し、前記所定のk−匿名レベルを満たす場合に、前記暗号化されたデータが前記所定のk−匿名レベルを満たす旨を通知することを特徴とする請求項2乃至4のいずれか1つに記載の情報処理システム。
  6. 前記第2の情報処理装置の生成部が、前記第2の識別子と前記第3の識別子との対応関係を示す対照情報を暗号し、
    前記第1の情報処理装置の第1生成部が、暗号化された前記対照情報をさらに再暗号化することを特徴とする請求項1乃至5のいずれか1つに記載の情報処理システム。
  7. 前記第1の情報処理装置の第1生成部が、前記第1の識別子を順不同に並べ替えて、前記第1の識別子に対する前記第2の識別子を生成することを特徴とする請求項1乃至6のいずれか1つに記載の情報処理システム。
  8. 匿名化データを提供する第1の情報処理装置と、当該匿名化データの提供を受ける第2の情報処理装置とにより実行される情報処理方法であって、
    前記第1の情報処理装置が、
    個人情報が匿名化された匿名化データに付与される第1の識別子に対して、第2の識別子を生成し、
    前記匿名化データと前記第2の識別子とを対応付けた第1のデータを生成する処理を行い、
    前記第2の情報処理装置が、
    前記第1のデータを取得し、
    取得した前記第1のデータに含まれる前記第2の識別子に対して、第3の識別子を生成し、
    前記匿名化データと前記第3の識別子とを対応付けた第2のデータをデータ利用者に提供する
    処理を行うことを特徴とする情報処理方法。
JP2015152837A 2015-07-31 2015-07-31 情報処理システム及び情報処理方法 Active JP6558126B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015152837A JP6558126B2 (ja) 2015-07-31 2015-07-31 情報処理システム及び情報処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015152837A JP6558126B2 (ja) 2015-07-31 2015-07-31 情報処理システム及び情報処理方法

Publications (2)

Publication Number Publication Date
JP2017033305A true JP2017033305A (ja) 2017-02-09
JP6558126B2 JP6558126B2 (ja) 2019-08-14

Family

ID=57989445

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015152837A Active JP6558126B2 (ja) 2015-07-31 2015-07-31 情報処理システム及び情報処理方法

Country Status (1)

Country Link
JP (1) JP6558126B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018163506A (ja) * 2017-03-24 2018-10-18 富士通株式会社 データ送信処理プログラム、データ送信処理装置、及びデータ送信処理方法
JP2018173691A (ja) * 2017-03-31 2018-11-08 パナソニックIpマネジメント株式会社 エネルギーデータベースシステム
JP7481215B2 (ja) 2020-09-23 2024-05-10 株式会社TVer 匿名加工装置、プログラム及び匿名加工方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006293577A (ja) * 2005-04-08 2006-10-26 Hitachi Ltd データエントリ方法
JP2010211590A (ja) * 2009-03-11 2010-09-24 Kansai Electric Power Co Inc:The データ変換プログラム、データ変換装置、及びデータ変換方法
JP2010237811A (ja) * 2009-03-30 2010-10-21 Nec Corp 個人情報管理システム及び個人情報管理方法
JP2011508332A (ja) * 2007-12-28 2011-03-10 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 情報交換システム及び装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006293577A (ja) * 2005-04-08 2006-10-26 Hitachi Ltd データエントリ方法
JP2011508332A (ja) * 2007-12-28 2011-03-10 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 情報交換システム及び装置
JP2010211590A (ja) * 2009-03-11 2010-09-24 Kansai Electric Power Co Inc:The データ変換プログラム、データ変換装置、及びデータ変換方法
JP2010237811A (ja) * 2009-03-30 2010-10-21 Nec Corp 個人情報管理システム及び個人情報管理方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018163506A (ja) * 2017-03-24 2018-10-18 富士通株式会社 データ送信処理プログラム、データ送信処理装置、及びデータ送信処理方法
JP7105034B2 (ja) 2017-03-24 2022-07-22 富士通株式会社 データ送信処理プログラム、データ送信処理装置、及びデータ送信処理方法
JP2018173691A (ja) * 2017-03-31 2018-11-08 パナソニックIpマネジメント株式会社 エネルギーデータベースシステム
JP7481215B2 (ja) 2020-09-23 2024-05-10 株式会社TVer 匿名加工装置、プログラム及び匿名加工方法

Also Published As

Publication number Publication date
JP6558126B2 (ja) 2019-08-14

Similar Documents

Publication Publication Date Title
EP3298532B1 (en) Encryption and decryption system and method
US9767299B2 (en) Secure cloud data sharing
US20160292453A1 (en) Health care information system and method for securely storing and controlling access to health care data
JP5639660B2 (ja) ラッパ複合を通じたデータのための確認可能な信頼
US20150026462A1 (en) Method and system for access-controlled decryption in big data stores
US20130117802A1 (en) Authorization-based redaction of data
JP6803598B1 (ja) データ共有システム、データ共有方法、およびデータ共有プログラム
US11509709B1 (en) Providing access to encrypted insights using anonymous insight records
WO2012166633A1 (en) Data perturbation and anonymization using one-way hash
JP2020519097A (ja) 一致コホートの作成およびブロックチェーンを使用した保護データの交換
US10216940B2 (en) Systems, methods, apparatuses, and computer program products for truncated, encrypted searching of encrypted identifiers
CN111132150A (zh) 一种保护数据的方法、装置、存储介质和电子设备
US20220200791A1 (en) Method for encrypting and storing computer files and associated encryption and storage device
US20170083713A1 (en) Data encryption scheme using symmetric keys
WO2019058952A1 (ja) 医療データ検索システム、医療データ検索方法および医療データ検索プログラム
Zhou et al. A secure role-based cloud storage system for encrypted patient-centric health records
JP6558126B2 (ja) 情報処理システム及び情報処理方法
Lee et al. Privacy Preservation in Patient Information Exchange Systems Based on Blockchain: System Design Study
US11410173B1 (en) Tokenization web services
Ikuomola et al. Securing patient privacy in e-health cloud using homomorphic encryption and access control
JP2006189925A (ja) 個人情報管理システム、個人情報管理プログラムおよび個人情報保護方法
TW202301160A (zh) 對位於複數個資訊儲存器的資訊進行的私人聯結、分析和共享
Sri et al. A Framework for Uncertain Cloud Data Security and Recovery Based on Hybrid Multi-User Medical Decision Learning Patterns
Abouakil et al. Data models for the pseudonymization of DICOM data
Mohammadi et al. A consumer-centered security framework for sharing health data in social networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180720

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20190118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190531

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190701

R150 Certificate of patent or registration of utility model

Ref document number: 6558126

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150