JP2018200529A - リスク評価装置、リスク評価方法、及びコンピュータプログラム - Google Patents
リスク評価装置、リスク評価方法、及びコンピュータプログラム Download PDFInfo
- Publication number
- JP2018200529A JP2018200529A JP2017104443A JP2017104443A JP2018200529A JP 2018200529 A JP2018200529 A JP 2018200529A JP 2017104443 A JP2017104443 A JP 2017104443A JP 2017104443 A JP2017104443 A JP 2017104443A JP 2018200529 A JP2018200529 A JP 2018200529A
- Authority
- JP
- Japan
- Prior art keywords
- anonymization
- data
- data set
- risk evaluation
- personal information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
【課題】攻撃者のモデルが弱いことを前提にすることによりリスク評価指標の有用性の向上を図る。【解決手段】匿名化前データセットと匿名化データセットとリスク評価条件データを入力する入力部と、入力データセットを匿名化する匿名化シミュレータとの間でデータを送受するシミュレータインタフェースと、匿名化前データセットをシミュレータインタフェースにより匿名化シミュレータに入力して匿名化させる制御部と、リスク評価条件データの既知の個人情報データを使用して既知の個人情報データを有する個人情報レコードのみに匿名化データセットを絞り込み、絞り込み後の匿名化データセットと匿名化シミュレータのシミュレーション結果データセットとの比較を行い、比較の結果を使用してリスク評価指標データを生成するリスク評価指標データ生成部と、リスク評価指標データを出力する出力部と、を備える。【選択図】図1
Description
本発明は、リスク評価装置、リスク評価方法、及びコンピュータプログラムに関する。
従来、複数の個人情報が匿名化された匿名化データセットのリスク評価指標として、k−匿名性、l−多様性、差分プライバシーなどが知られている。
k−匿名性については例えば非特許文献1に開示されている。l−多様性については例えば非特許文献2に開示されている。差分プライバシーについては例えば非特許文献3に開示されている。
また、差分プライバシーとk−匿名性を組み合わせた場合の指標については例えば非特許文献4に開示されている。さらにサンプリングを加えた場合の指標については例えば非特許文献5に開示されている。
また、差分プライバシーとk−匿名性を組み合わせた場合の指標については例えば非特許文献4に開示されている。さらにサンプリングを加えた場合の指標については例えば非特許文献5に開示されている。
P. Samarati and L. Sweeney, "Generalizing data to provide anonymity when disclosing information", In Proc. of PODS 1998, p. 188, 1998.
A. Machanavajjhala, J. Gehrke, and D. Kifer, "l-diversity: Privacy beyond k-anonymity", In Proc. of ICDE’06, pp. 24-35, 2006.
C. Dwork, "Differential privacy", In Proc. of ICALP 2006, Vol. 4052, pp.1-12, 2006.
Kamalika Chaudhuri and Nina Mishra, "When random sampling preserves privacy", In Annual International Cryptology Conference, pp.198-213. Springer, 2006.
Ninghui Li, Wahbeh Qardaji, and Dong Su, "On sampling, anonymization, and differential privacy or, k-anonymization meets differential privacy", In Proceedings of the 7th ACM Symposium on Information, Computer and Communications Security, pp. 32-33. ACM, 2012.
しかし、上述した従来のリスク評価指標では、攻撃者のモデルが強力であって匿名化データセットが十分な安全性を担保するように強固に匿名化されている場合に、有用性が極端に低くなる場合があった。
本発明は、このような事情を考慮してなされたものであり、その目的は、攻撃者のモデルが弱いことを前提にすることによりリスク評価指標の有用性の向上を図ることにある。
(1)本発明の一態様は、匿名化される前の複数の個人情報レコードのデータセットである匿名化前データセットと、前記匿名化前データセットが特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により匿名化された匿名化データセットと、前記匿名化データセットのリスク評価条件を示すリスク評価条件データとを入力する入力部と、前記特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により入力データセットを匿名化する匿名化シミュレータとの間でデータを送受するシミュレータインタフェースと、前記匿名化前データセットを前記シミュレータインタフェースにより前記匿名化シミュレータに入力して匿名化させる制御部と、前記リスク評価条件データが示すデータ絞り込み対象の既知の個人情報データを使用して当該既知の個人情報データを有する個人情報レコードのみに前記匿名化データセットを絞り込み、当該絞り込み後の匿名化データセットと前記匿名化シミュレータにより匿名化されたデータセットであるシミュレーション結果データセットとの比較を行い、当該比較の結果を使用して、個人情報の漏洩のリスク評価指標を示すリスク評価指標データを生成するリスク評価指標データ生成部と、前記リスク評価指標データを出力する出力部と、を備えるリスク評価装置である。
(2)本発明の一態様は、上記(1)のリスク評価装置において、前記匿名化データセットは複数回の匿名化の各結果を含み、前記リスク評価条件データは、リスク評価指標の閾値を含み、前記リスク評価指標データ生成部は、あるデータ絞り込み対象の既知の個人情報データを使用した前記匿名化データセットのある回の匿名化の結果に対する前記リスク評価指標データのリスク評価指標が前記閾値以上である場合に、当該データ絞り込み対象の既知の個人情報データを使用して、前記匿名化データセットの次の回の匿名化の結果についての前記リスク評価指標データを生成する、リスク評価装置である。
(3)本発明の一態様は、リスク評価装置が、匿名化される前の複数の個人情報レコードのデータセットである匿名化前データセットと、前記匿名化前データセットが特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により匿名化された匿名化データセットと、前記匿名化データセットのリスク評価条件を示すリスク評価条件データとを入力する入力ステップと、前記リスク評価装置が、前記特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により入力データセットを匿名化する匿名化シミュレータとの間でデータを送受するシミュレータインタフェースステップと、前記リスク評価装置が、前記匿名化前データセットを前記シミュレータインタフェースステップにより前記匿名化シミュレータに入力して匿名化させる制御ステップと、前記リスク評価装置が、前記リスク評価条件データが示すデータ絞り込み対象の既知の個人情報データを使用して当該既知の個人情報データを有する個人情報レコードのみに前記匿名化データセットを絞り込み、当該絞り込み後の匿名化データセットと前記匿名化シミュレータにより匿名化されたデータセットであるシミュレーション結果データセットとの比較を行い、当該比較の結果を使用して、個人情報の漏洩のリスク評価指標を示すリスク評価指標データを生成するリスク評価指標データ生成ステップと、前記リスク評価装置が、前記リスク評価指標データを出力する出力ステップと、を含むリスク評価方法である。
(4)本発明の一態様は、コンピュータに、匿名化される前の複数の個人情報レコードのデータセットである匿名化前データセットと、前記匿名化前データセットが特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により匿名化された匿名化データセットと、前記匿名化データセットのリスク評価条件を示すリスク評価条件データとを入力する入力機能と、前記特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により入力データセットを匿名化する匿名化シミュレータとの間でデータを送受するシミュレータインタフェース機能と、前記匿名化前データセットを前記シミュレータインタフェース機能により前記匿名化シミュレータに入力して匿名化させる制御機能と、前記リスク評価条件データが示すデータ絞り込み対象の既知の個人情報データを使用して当該既知の個人情報データを有する個人情報レコードのみに前記匿名化データセットを絞り込み、当該絞り込み後の匿名化データセットと前記匿名化シミュレータにより匿名化されたデータセットであるシミュレーション結果データセットとの比較を行い、当該比較の結果を使用して、個人情報の漏洩のリスク評価指標を示すリスク評価指標データを生成するリスク評価指標データ生成機能と、前記リスク評価指標データを出力する出力機能と、を実現させるためのコンピュータプログラムである。
本発明によれば、攻撃者のモデルが弱いことを前提にすることができ、リスク評価指標の有用性の向上を図ることができるという効果が得られる。
以下、図面を参照し、本発明の実施形態について説明する。
本実施形態では、誰もが匿名化データセットにアクセスできるのではなく、特定の組織間のみで匿名化データセットが送受されることを前提にする。この前提により攻撃者の知識が限定されることになるので、誰もが匿名化データセットにアクセスできる場合に比して、本実施形態では攻撃者のモデルが弱くなる。以下、攻撃者の知識が限定されることを前提にして、本実施形態の説明を行う。攻撃者の知識が限定されることの一例として、ある個人の年齢は知っているが、他の個人情報、例えば住所や趣味は知らないことが挙げられる。
本実施形態では、誰もが匿名化データセットにアクセスできるのではなく、特定の組織間のみで匿名化データセットが送受されることを前提にする。この前提により攻撃者の知識が限定されることになるので、誰もが匿名化データセットにアクセスできる場合に比して、本実施形態では攻撃者のモデルが弱くなる。以下、攻撃者の知識が限定されることを前提にして、本実施形態の説明を行う。攻撃者の知識が限定されることの一例として、ある個人の年齢は知っているが、他の個人情報、例えば住所や趣味は知らないことが挙げられる。
図1は、一実施形態に係るリスク評価システム1の構成例を示すブロック図である。図1において、リスク評価システム1は、リスク評価装置10と、匿名化シミュレータ30とを備える。リスク評価装置10は、入力部11と、制御部12と、シミュレータインタフェース13と、データ格納部14と、リスク評価指標データ生成部15と、出力部16と、を備える。
入力部11は、匿名化前データセット101と、匿名化データセット102と、リスク評価条件データ103とを入力する。匿名化前データセット101は、匿名化される前の複数の個人情報レコードのデータセットである。匿名化データセット102は、匿名化前データセット101が特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により匿名化されたデータセットである。本実施形態に係る匿名化方法として、例えば、k−匿名化、個人情報レコードの一部抽出、一般化、ミクロアグリゲーション(microaggregation)、ノイズの付加、属性削除などが挙げられる。リスク評価条件データ103は、匿名化データセット102のリスク評価条件を示すデータである。
ここで、図2を参照して、本実施形態に係る匿名化方法の一例を説明する。図2は、本実施形態に係る匿名化方法の一例の説明図である。図2には、匿名化方法がk−匿名化(k=2、2−匿名化)である場合の例が示されている。図2において、匿名化前データセット101は、6個の個人情報レコードr_0_1,r_0_2,・・・,r_0_mから構成される(m=6)。各個人情報レコードr_0_1〜r_0_6は、5個の個人情報データ「名前」、「年齢」、「性別」、「住所」及び「口座残高」を有する。個人情報データ「名前」は、単体で個人を特定できる個人識別符号である。個人情報レコードr_0_1は、名前がAである人の個人情報レコードである。個人情報レコードr_0_2は、名前がBである人の個人情報レコードである。個人情報レコードr_0_3は、名前がCである人の個人情報レコードである。個人情報レコードr_0_4は、名前がDである人の個人情報レコードである。個人情報レコードr_0_5は、名前がEである人の個人情報レコードである。個人情報レコードr_0_6は、名前がFである人の個人情報レコードである。個人情報データ「年齢」、「性別」及び「住所」は、準識別子である。準識別子は、単体では個人を特定できないが、複数の組み合わせで個人を特定できる可能性がある情報である。
図2の例では、2−匿名化のために匿名化前データセット101に対して、個人識別符号が削除される。さらに、年齢に対してミクロアグリゲーションが実行される。さらに、住所に対して一般化が実行される。さらに、個人情報レコードr_0_6が削除される。これにより、図2に例示される2−匿名化された匿名化データセット102が生成される。当該2−匿名化された匿名化データセット102は、5個の個人情報レコードr_1_1,r_1_2,・・・,r_1_5から構成される。
本実施形態では、匿名化データセット102が攻撃者に取得された場合に、個人情報が当該匿名化データセット102に基づいて漏洩するリスク、を評価するための指標(リスク評価指標)を求める。
制御部12は、リスク評価装置10の制御を行う。シミュレータインタフェース13は、匿名化シミュレータ30との間でデータを送受する。匿名化シミュレータ30は、シミュレータインタフェース13から入力された入力データセットを匿名化し、当該匿名化の結果のデータセットであるシミュレーション結果データセットをシミュレータインタフェース13に出力する。匿名化シミュレータ30は、特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により入力データセットを匿名化する。
シミュレータインタフェース13は、入出力するデータセット形式が定められている。このデータセット形式に合えば、匿名化シミュレータ30が実行する匿名化方法は任意であって限定されない。したがって、リスク評価装置10は、匿名化シミュレータ30として任意の匿名化方法を使用するものを利用できる。
なお、シミュレータインタフェース13は、通信回線を介して匿名化シミュレータ30とデータを送受してもよい。シミュレータインタフェース13は、例えばインターネット等の通信ネットワークを介して、匿名化シミュレータ30と通信を行ってもよい。
データ格納部14はデータを格納する。リスク評価指標データ生成部15は、リスク評価指標データ200を生成する。リスク評価指標データ200は、匿名化データセット102が攻撃者に取得された場合に、当該匿名化データセット102に基づいて個人情報が漏洩するリスクの評価指標(リスク評価指標)を示すデータである。リスク評価指標として、例えば、個人識別確率の最大値P、個人識別確率がPである個人の数N_Pなどが挙げられる。出力部16は、リスク評価指標データ200を出力する。
リスク評価装置10の機能は、リスク評価装置10が備えるCPU(Central Processing Unit:中央演算処理装置)がコンピュータプログラムを実行することにより実現される。なお、リスク評価装置10として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。また、リスク評価装置10と匿名化シミュレータ30とは、各々単独の装置として構成されてもよく、又は、同じ一つの装置として構成されてもよい。例えば、一つのコンピュータ装置が、リスク評価装置10の機能を実現させるためのコンピュータプログラムと、匿名化シミュレータ30の機能を実現させるためのコンピュータプログラムとを実行してもよい。
また、入力部11は、リスク評価装置10にデータを入力するための入力デバイスを備える。入力デバイスは、例えば、利用者が実際に操作するデバイス(例えば、キーボード、テンキー、マウス等)であってもよく、又は、データが印刷された印刷物から当該データを読み取るデバイスであってもよく、又は、データが記録された記録媒体から当該データを読み出すデバイスであってもよく、又は、通信によりデータを受信するデバイスであってもよい。入力部は、入力デバイスにより、匿名化前データセット101と、匿名化データセット102と、リスク評価条件データ103とをリスク評価装置10に入力する。
なお、入力部11は、リスク評価装置10の外部の装置からリスク評価条件データ103を取得してもよい。例えば、入力部11は、リスク評価条件データ103の所在を示す所在情報(例えば、URL(Uniform Resource Locator))の指定を受け付け、当該指定された所在情報で示される場所からリスク評価条件データ103を通信により受信する。
また、入力部11は、リスク評価条件データ103を決定してもよい。例えば、入力部11は、リスク評価装置10の外部の装置から複数のリスク評価条件の候補を入力し、当該複数のリスク評価条件の候補の中から、使用するリスク評価条件を選択して入力してもよい。
また、出力部16は、リスク評価装置10からデータを出力するための出力デバイスを備える。出力デバイスは、例えば、データを表示画面に表示するデバイスであってもよく、又は、紙等の印刷媒体にデータを印刷するデバイスであってもよく、又は、記録媒体にデータを書き込むデバイスであってもよく、又は、通信によりデータを送信するデバイスであってもよい。出力部16は、出力デバイスにより、リスク評価指標データ200を出力する。
また、入力部11は、リスク評価装置10にデータを入力するための入力デバイスを備える。入力デバイスは、例えば、利用者が実際に操作するデバイス(例えば、キーボード、テンキー、マウス等)であってもよく、又は、データが印刷された印刷物から当該データを読み取るデバイスであってもよく、又は、データが記録された記録媒体から当該データを読み出すデバイスであってもよく、又は、通信によりデータを受信するデバイスであってもよい。入力部は、入力デバイスにより、匿名化前データセット101と、匿名化データセット102と、リスク評価条件データ103とをリスク評価装置10に入力する。
なお、入力部11は、リスク評価装置10の外部の装置からリスク評価条件データ103を取得してもよい。例えば、入力部11は、リスク評価条件データ103の所在を示す所在情報(例えば、URL(Uniform Resource Locator))の指定を受け付け、当該指定された所在情報で示される場所からリスク評価条件データ103を通信により受信する。
また、入力部11は、リスク評価条件データ103を決定してもよい。例えば、入力部11は、リスク評価装置10の外部の装置から複数のリスク評価条件の候補を入力し、当該複数のリスク評価条件の候補の中から、使用するリスク評価条件を選択して入力してもよい。
また、出力部16は、リスク評価装置10からデータを出力するための出力デバイスを備える。出力デバイスは、例えば、データを表示画面に表示するデバイスであってもよく、又は、紙等の印刷媒体にデータを印刷するデバイスであってもよく、又は、記録媒体にデータを書き込むデバイスであってもよく、又は、通信によりデータを送信するデバイスであってもよい。出力部16は、出力デバイスにより、リスク評価指標データ200を出力する。
次に図3を参照して本実施形態に係るリスク評価方法を説明する。図3は、本実施形態に係るリスク評価方法の一例を示すフローチャートである。
(ステップS1)リスク評価装置10の入力部11は、匿名化前データセット101と、匿名化データセット102と、リスク評価条件データ103とを入力する。データ格納部14は、入力部11により入力された匿名化前データセット101、匿名化データセット102及びリスク評価条件データ103を格納する。
本実施形態の一例として、匿名化前データセット101は、「D_0={r_0_1,r_0_2,・・・,r_0_m}」である。匿名化前データセット101「D_0」は、m個の個人情報レコードr_0_1,r_0_2,・・・,r_0_mから構成される。本実施形態の一例として、匿名化データセット102は、n回の匿名化の各結果D_1,D_2,・・・,D_nから構成される。1回匿名化データセットD_1は、1回の匿名化の結果である。2回匿名化データセットD_2は、2回の匿名化の結果である。n回匿名化データセットD_nは、n回の匿名化の結果である。
本実施形態の一例として、リスク評価条件データ103は、データ絞り込み対象の既知の個人情報データr_i(例えば年齢「32」)と、リスク評価指標の閾値(以下、リスク閾値と称する)Riskと、攻撃者モデル「A={A_1,A_2,・・・,A_q}」とを示すデータである。攻撃者モデルA_qは、q番目の攻撃者についての匿名化シミュレーション条件である。
(ステップS2)リスク評価装置10の制御部12は、匿名化データセット102をシミュレータインタフェース13により匿名化シミュレータ30に入力して、当該匿名化データセット102の匿名化を実行させる。本実施形態の一例として、制御部12は、匿名化データセット102に対してn回の匿名化を実行させる。これにより、匿名化シミュレータ30は、匿名化データセット102のn回の匿名化の各シミュレーション結果simD_1,simD_2,・・・,simD_nから構成されるシミュレーション結果データセットsimDを、シミュレータインタフェース13に出力する。匿名化シミュレーション結果simD_1は、1回の匿名化の実行の結果である。匿名化シミュレーション結果simD_2は、2回の匿名化の実行の結果である。匿名化シミュレーション結果simD_nは、n回の匿名化の実行の結果である。
また、本実施形態の一例として、制御部12は、q個の攻撃者モデルA_1,A_2,・・・,A_qのそれぞれに対して、匿名化シミュレータ30により匿名化前データセット101の匿名化を実行させる。これにより、q個のシミュレーション結果データセットsimD(A1),simD(A2),・・・,simD(Aq)が、匿名化シミュレータ30により生成されて、シミュレータインタフェース13に出力される。データ格納部14は、匿名化シミュレータ30からシミュレータインタフェース13により入力されたq個のシミュレーション結果データセットsimD(A1),simD(A2),・・・,simD(Aq)を格納する。
なお、各攻撃者モデルA_1,A_2,・・・,A_qは、例えば、それぞれの攻撃者のノイズ値である。制御部12は、例えば攻撃者モデルA_1についての匿名化には、攻撃者モデルA_1のノイズ値を匿名化前データセット101に加えた結果のノイズ付加匿名化前データセットを、匿名化シミュレータ30の入力データセットに使用する。
(ステップS3)リスク評価装置10のリスク評価指標データ生成部15は、リスク評価条件データ103が示すデータ絞り込み対象の既知の個人情報データr_i(例えば年齢「32」)を使用して、当該既知の個人情報データr_iを有する個人情報レコードのみに、リスク評価指標データ生成対象の匿名化データセットを絞り込む。これにより、リスク評価指標データ生成対象の匿名化データセットの絞り込み結果が有する個人情報レコードは、個人情報データr_i(例えば年齢「32」)を有する個人情報レコードのみになる。なお、匿名化データセット102のn個のデータセットD_1,D_2,・・・,D_nのうち、最初のリスク評価指標データ生成対象の匿名化データセットは1回匿名化データセットD_1である。
(ステップS4)リスク評価指標データ生成部15は、q個のシミュレーション結果データセットsimD(A1),simD(A2),・・・,simD(Aq)と、リスク評価指標データ生成対象の匿名化データセットの絞り込み結果とを比較する。この比較の対象は、同じ回数の匿名化のデータセット同士である。例えば、リスク評価指標データ生成対象の匿名化データセットが1回匿名化データセットD_1である場合には、シミュレーション結果データセットsimD(A1),simD(A2),・・・,simD(Aq)のうち1回の匿名化の実行の結果である匿名化シミュレーション結果simD_1(A1),simD_1(A2),・・・,simD_1(Aq)のそれぞれと、1回匿名化データセットD_1とを比較する。また、比較の方法として、比較対象のデータ間の一致か不一致かを判断してもよく、又は、比較対象のデータ間の類似度を算出してもよい。
(ステップS5)リスク評価指標データ生成部15は、シミュレーション結果データセットsimD(A1),simD(A2),・・・,simD(Aq)と、リスク評価指標データ生成対象の匿名化データセットの絞り込み結果との比較の結果を使用して、リスク評価指標データを生成する。本実施形態の一例として、リスク評価指標データ生成部15は、リスク評価指標として、個人識別確率の最大値Pを算出する。
(ステップS6)リスク評価装置10の出力部16は、リスク評価指標データ200を出力する。本実施形態の一例として、リスク評価指標データ200は、リスク評価指標「個人識別確率の最大値P」を示すデータである。
(ステップS7)リスク評価装置10の制御部12は、リスク評価指標「個人識別確率の最大値P」がリスク閾値Risk以上であるか否かを判断する。この判断の結果、リスク閾値Risk以上である場合にはステップS8に進み、そうではない場合には図3の処理を終了する。
(ステップS8)制御部12は、匿名化データセット102のうち次の回の匿名化の結果を、新しいリスク評価指標データ生成対象に設定する。この後、ステップS3に戻る。例えば、最初のリスク評価指標データ生成対象の匿名化データセット「1回匿名化データセットD_1」について、ステップS7の結果がリスク閾値Risk以上である場合には、次の回の匿名化の結果「2回匿名化データセットD_2」を、新しいリスク評価指標データ生成対象に設定する。この後、ステップS3に戻る。これにより、リスク評価指標データ生成対象の2回匿名化データセットD_2に対して、ステップS3以降の処理が実行される。
上述した実施形態によれば、ある個人情報データのみを持つ攻撃者(つまり、保有する知識が限定された攻撃者)に対するリスク評価指標を算出することができる。これは、攻撃者のモデルが弱いことが前提にして、匿名化データセットが十分な安全性を担保するように強固に匿名化されている場合を除いたときのリスク評価指標を算出することができることである。これにより、リスク評価指標の有用性の向上を図る効果が得られる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
上述した実施形態では、リスク評価条件データ103として、データ絞り込み対象の既知の個人情報データ(例えば年齢)を使用したが、これに限定されない。例えば、リスク評価条件データ103として、匿名化前データセット101「D_0={r_0_1,r_0_2,・・・,r_0_m}」のうちの一部の個人情報レコードと、当該個人情報レコードのみを持つ攻撃者の攻撃者モデルとを使用してもよい。この場合、当該個人情報レコードのみを持つ攻撃者の攻撃者モデルのみに対して、匿名化シミュレータ30により匿名化前データセット101の匿名化を実行させる。
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1…リスク評価システム、10…リスク評価装置、11…入力部、12…制御部、13…シミュレータインタフェース、14…データ格納部、15…リスク評価指標データ生成部、16…出力部、30…匿名化シミュレータ
Claims (4)
- 匿名化される前の複数の個人情報レコードのデータセットである匿名化前データセットと、前記匿名化前データセットが特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により匿名化された匿名化データセットと、前記匿名化データセットのリスク評価条件を示すリスク評価条件データとを入力する入力部と、
前記特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により入力データセットを匿名化する匿名化シミュレータとの間でデータを送受するシミュレータインタフェースと、
前記匿名化前データセットを前記シミュレータインタフェースにより前記匿名化シミュレータに入力して匿名化させる制御部と、
前記リスク評価条件データが示すデータ絞り込み対象の既知の個人情報データを使用して当該既知の個人情報データを有する個人情報レコードのみに前記匿名化データセットを絞り込み、当該絞り込み後の匿名化データセットと前記匿名化シミュレータにより匿名化されたデータセットであるシミュレーション結果データセットとの比較を行い、当該比較の結果を使用して、個人情報の漏洩のリスク評価指標を示すリスク評価指標データを生成するリスク評価指標データ生成部と、
前記リスク評価指標データを出力する出力部と、
を備えるリスク評価装置。 - 前記匿名化データセットは複数回の匿名化の各結果を含み、
前記リスク評価条件データは、リスク評価指標の閾値を含み、
前記リスク評価指標データ生成部は、あるデータ絞り込み対象の既知の個人情報データを使用した前記匿名化データセットのある回の匿名化の結果に対する前記リスク評価指標データのリスク評価指標が前記閾値以上である場合に、当該データ絞り込み対象の既知の個人情報データを使用して、前記匿名化データセットの次の回の匿名化の結果についての前記リスク評価指標データを生成する、
請求項1に記載のリスク評価装置。 - リスク評価装置が、匿名化される前の複数の個人情報レコードのデータセットである匿名化前データセットと、前記匿名化前データセットが特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により匿名化された匿名化データセットと、前記匿名化データセットのリスク評価条件を示すリスク評価条件データとを入力する入力ステップと、
前記リスク評価装置が、前記特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により入力データセットを匿名化する匿名化シミュレータとの間でデータを送受するシミュレータインタフェースステップと、
前記リスク評価装置が、前記匿名化前データセットを前記シミュレータインタフェースステップにより前記匿名化シミュレータに入力して匿名化させる制御ステップと、
前記リスク評価装置が、前記リスク評価条件データが示すデータ絞り込み対象の既知の個人情報データを使用して当該既知の個人情報データを有する個人情報レコードのみに前記匿名化データセットを絞り込み、当該絞り込み後の匿名化データセットと前記匿名化シミュレータにより匿名化されたデータセットであるシミュレーション結果データセットとの比較を行い、当該比較の結果を使用して、個人情報の漏洩のリスク評価指標を示すリスク評価指標データを生成するリスク評価指標データ生成ステップと、
前記リスク評価装置が、前記リスク評価指標データを出力する出力ステップと、
を含むリスク評価方法。 - コンピュータに、
匿名化される前の複数の個人情報レコードのデータセットである匿名化前データセットと、前記匿名化前データセットが特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により匿名化された匿名化データセットと、前記匿名化データセットのリスク評価条件を示すリスク評価条件データとを入力する入力機能と、
前記特定の複数の匿名化方法のうちいずれか一つ又は複数の匿名化方法により入力データセットを匿名化する匿名化シミュレータとの間でデータを送受するシミュレータインタフェース機能と、
前記匿名化前データセットを前記シミュレータインタフェース機能により前記匿名化シミュレータに入力して匿名化させる制御機能と、
前記リスク評価条件データが示すデータ絞り込み対象の既知の個人情報データを使用して当該既知の個人情報データを有する個人情報レコードのみに前記匿名化データセットを絞り込み、当該絞り込み後の匿名化データセットと前記匿名化シミュレータにより匿名化されたデータセットであるシミュレーション結果データセットとの比較を行い、当該比較の結果を使用して、個人情報の漏洩のリスク評価指標を示すリスク評価指標データを生成するリスク評価指標データ生成機能と、
前記リスク評価指標データを出力する出力機能と、
を実現させるためのコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017104443A JP6833613B2 (ja) | 2017-05-26 | 2017-05-26 | リスク評価装置、リスク評価方法、及びコンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017104443A JP6833613B2 (ja) | 2017-05-26 | 2017-05-26 | リスク評価装置、リスク評価方法、及びコンピュータプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018200529A true JP2018200529A (ja) | 2018-12-20 |
| JP6833613B2 JP6833613B2 (ja) | 2021-02-24 |
Family
ID=64667231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017104443A Active JP6833613B2 (ja) | 2017-05-26 | 2017-05-26 | リスク評価装置、リスク評価方法、及びコンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6833613B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022516951A (ja) * | 2019-01-07 | 2022-03-03 | ビッグ データ サンテ | 機密データを保護するためのアバターを作成するための方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12038833B2 (en) | 2021-11-23 | 2024-07-16 | The Toronto-Dominion Bank | Test and validation of privacy protection quality of anonymization solutions |
-
2017
- 2017-05-26 JP JP2017104443A patent/JP6833613B2/ja active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022516951A (ja) * | 2019-01-07 | 2022-03-03 | ビッグ データ サンテ | 機密データを保護するためのアバターを作成するための方法 |
| JP7529951B2 (ja) | 2019-01-07 | 2024-08-07 | ビッグ データ サンテ | 初期機密データセットからアバターを作成するための方法、コンピュータプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6833613B2 (ja) | 2021-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10223524B1 (en) | Compromised authentication information clearing house | |
| US10454901B2 (en) | Systems and methods for enabling data de-identification and anonymous data linkage | |
| US10032037B1 (en) | Establishing application trust levels using taint propagation as a service | |
| CN109347620B (zh) | 样本对齐方法、系统及计算机可读存储介质 | |
| Tschantz et al. | Formal methods for privacy | |
| CN114818000A (zh) | 隐私保护的集合混淆求交方法、系统及相关设备 | |
| US20250053624A1 (en) | Information processing device, information processing method, and computer program product | |
| Silva et al. | Privacy in the cloud: A survey of existing solutions and research challenges | |
| CN113836578A (zh) | 维护大数据的敏感数据安全性的方法和系统 | |
| US10783137B2 (en) | Identity management | |
| US20180137149A1 (en) | De-identification data generation apparatus, method, and non-transitory computer readable storage medium thereof | |
| CN114143042A (zh) | 漏洞模拟方法、装置、计算机设备和存储介质 | |
| JP6833613B2 (ja) | リスク評価装置、リスク評価方法、及びコンピュータプログラム | |
| CN108460077B (zh) | 一种指标分析方法、系统以及计算机可读存储介质 | |
| Zieger et al. | The β-time-to-compromise metric for practical cyber security risk estimation | |
| US11924327B2 (en) | Variable data protection | |
| US9953188B2 (en) | System, method, and program for storing and controlling access to data representing personal behavior | |
| US10277623B2 (en) | Method of detection of comptromised accounts | |
| CN118396138B (zh) | 一种基于群签名的数据传递方法、程序、介质和设备以及联邦学习方法 | |
| CN115730319A (zh) | 数据处理方法、装置、计算机设备和存储介质 | |
| US12556533B1 (en) | Protecting private information during large language module interactions | |
| US20240396896A1 (en) | Systems and Methods for Individual Identification Through Heuristics or Machine Learning | |
| CN115296821B (zh) | 一种用于数字藏品管理的数据处理系统 | |
| US20240078335A1 (en) | System and method for improved watermarking and data tracing | |
| KR20190063095A (ko) | 데이터를 클라우드에 안전하게 저장하고 분석하기 위한 방법 및 프로그램 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170529 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190710 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200629 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200825 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201020 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210203 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6833613 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |