JP2019095885A - 匿名化データ評価システム及び方法、並びに匿名レベル判定サーバ - Google Patents

匿名化データ評価システム及び方法、並びに匿名レベル判定サーバ Download PDF

Info

Publication number
JP2019095885A
JP2019095885A JP2017222539A JP2017222539A JP2019095885A JP 2019095885 A JP2019095885 A JP 2019095885A JP 2017222539 A JP2017222539 A JP 2017222539A JP 2017222539 A JP2017222539 A JP 2017222539A JP 2019095885 A JP2019095885 A JP 2019095885A
Authority
JP
Japan
Prior art keywords
anonymity
level
data
evaluation
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017222539A
Other languages
English (en)
Other versions
JP2019095885A5 (ja
JP6715816B2 (ja
Inventor
安細 康介
Kosuke Yasuhoso
康介 安細
尚宜 佐藤
Hisanobu Sato
尚宜 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017222539A priority Critical patent/JP6715816B2/ja
Priority to PCT/JP2018/041687 priority patent/WO2019098136A1/ja
Publication of JP2019095885A publication Critical patent/JP2019095885A/ja
Publication of JP2019095885A5 publication Critical patent/JP2019095885A5/ja
Application granted granted Critical
Publication of JP6715816B2 publication Critical patent/JP6715816B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/10Text processing
    • G06F40/12Use of codes for handling textual entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Artificial Intelligence (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Document Processing Apparatus (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】個人情報(元データ)を匿名化処理した匿名化情報(匿名化データ)の安全性や有用性を、正しく評価・提示することができる技術を提供する。【解決手段】1つ以上の識別匿名性評価サーバにより、個人情報(元データ)と匿名化情報(匿名化データ)の比較から算出した識別匿名レベルと、1つ以上の非識別匿名性評価サーバにより、匿名化情報(匿名化データ)のみから算出した非識別匿名レベルとを合算して匿名化データを評価する匿名化データ評価システムを設け、当該匿名化データ評価システムにより、匿名化データの総合的な匿名レベルを算出する。【選択図】 図1

Description

本発明は、元データ(個人情報やパーソナル情報など)を匿名化したデータの匿名性(匿名レベル)を評価する匿名化データ評価システム及び方法、並びに匿名レベル判定サーバに関する。
インターネットの発展に伴い、企業の業種や業務内容を切り口にして、それぞれに有効なサービスを提供する各種サービス事業者、例えば、飲食業界に対して人気メニューなどの商品情報を提供するサービス事業者や当該サービス事業者に食材などを提供したりする卸サービス事業者や小売サービス事業者、食材などの精算事業者などが増加傾向にある。
このような各種サービス事業者は、個人情報やパーソナル情報(従来の個人情報保護法で定義された個人情報に、法令化はされていないがプライバシの考えも含んだデータである)、例えば、氏名、ユーザID、会員番号、免許証番号や、住所、電話番号、メールアドレス、といった、個人に対して一意に付与された情報や単独で個人を特定できる情報、などを利用する場合、それらの情報の取り扱いに注意が必要である。例えば、個人に関連付けて収集した各種の属性情報や、サービスの利用に伴って蓄積される個人に関する属性情報は、個人の日常生活や行動、生活習慣に関する情報が多く含まれている。このような情報を事業やサービスで利用する場合には、以下のリスクについて注意する必要がある。
情報から個人情報が特定され、個人に関する様々な属性情報や履歴情報が第3者に知られる(個人識別リスク)。
特定の個人に関するプライベート、或いはセンシティブな情報が推定され、個人のプライバシーが侵害される(属性推定リスク)。
こうしたパーソナル情報の利活用におけるリスクを低減し、安全な二次利用を可能にする手段の一つとして、パーソナル情報の匿名化がある。
この匿名化は、改正個人情報保護法の制定により、個人情報を適切な匿名化処理により「匿名加工情報」、つまり、個人の特定が可能な情報を含まないように加工し、個人識別を防止する処理することで、第3者への提供・活用が法的に可能となった。例えば、「年齢」を「年代」、「完全な住所」を「地域」に変換するなど、「準識別子」の値の抽象化を行うことで、それらの組み合わせに属する対象者(例えば、「年代」と「地域」)を「k」人以下に識別できなくすることで「k−匿名性」を実現する処理である。
しかし、「匿名加工情報」を作成する上での、具体的な指標や評価ルールなどは定まっておらず、各業界団体等によるガイドラインの作成が待たれるところである。
また、「匿名加工情報」の指標を定めて匿名化を行っても、個人情報がどのレベル(どの水準)まで匿名化されているか、例えば、単純匿名化手段において、「切り落とし」、「仮名化」、「あいまい化」、などの匿名化が適切になされているか、つまり、匿名化情報(匿名化データ)の安全性や有用性(データの粒度)を、正しく評価・提示することができなければ、安心して匿名加工情報の提供・受領を行うことでできない。
匿名化ができているか否かを判定する従来技術として、特開2010−86179号公報(特許文献1)がある。特許文献1では、匿名化区分を項目毎にグループ化し、項目毎に該グループ化後の最小のデータ数を算出することにより匿名化処理を実行しており、匿名化処理の結果に対して、所定の閾値を下回る項目が存在しているか否かを判定する技術が開示されている。
特開2010−86179号公報
しかし、特許文献1では、匿名性指標として、安全性指標の一つであるk−匿名性のみの評価であり、その他の安全性指標を含む総合的な匿名性の評価となっておらず、匿名化処理後のデータ(匿名化データ)のみを対象とした評価であり、元データである個人情報を合わせた評価は行っていない。また、所定の閾値を下回る項目が存在しているか否かの一意な評価のみであり、再識別リスクに応じた匿名レベル分けの評価とはなっていない。再識別リスクの再識別とは、一旦匿名化したパーソナル情報から、外部のデータを用いて個人が再度識別できてしまうことである。このため、「匿名加工情報」の総合的な匿名レベルの判定をすることができない。つまり、「匿名加工情報」の総合的な匿名レベルの判定については考慮されていない。匿名化した情報(データ)がどれだけ安全であるか、どの程度匿名化されるかを示すことは、利活用を考える事業者にとっては重要である。
本発明は、係る点に鑑み、個人情報(元データ)を匿名化処理した匿名化情報(匿名化データ)の安全性や有用性を、正しく評価・提示することができる技術を提供することを目的とする。
上記課題を解決するために、本発明は、1つ以上の識別匿名性評価サーバにより、個人情報(元データ)と匿名化情報(匿名化データ)の比較から算出した識別匿名レベルと、1つ以上の非識別匿名性評価サーバにより、匿名化情報(匿名化データ)のみから算出した非識別匿名レベルとを合算して匿名化データを評価する匿名化データ評価システムを設け、当該匿名化データ評価システムにより、匿名化データの総合的な匿名レベルを算出可能とするものである。
例えば、代表的な本発明の匿名化データ評価システム及び方法、匿名レベル判定サーバ、並びに符号化データ流通システムの一つは、
個人情報を匿名化したデータの匿名性を評価する匿名化データ評価システムにおいて、匿名データ利用者端末と、匿名レベル判定サーバと、匿名性を評価する1つ以上の識別匿名性評価サーバと、匿名性を評価する1つ以上の非識別匿名性評価サーバと、を備え、前記匿名データ利用者端末は、個人情報および当該個人情報を匿名化したデータを前記匿名レベル判定サーバに送信する通信装置、を含み、前記1つ以上の識別匿名性評価サーバは、前記匿名データ利用者端末から送信された個人情報および匿名化したデータを、前記匿名レベル判定サーバを介して受信し、当該匿名化したデータの識別匿名レベルを前記匿名レベル判定サーバに送信する通信装置、および前記個人情報および匿名化したデータから前記匿名化したデータの識別匿名レベルを判定する識別匿名レベル個別判定部、を含み、前記1つ以上の非識別匿名性評価サーバは、前記匿名データ利用者端末から送信された匿名化したデータを、前記匿名レベル判定サーバを介して受信し、当該匿名化したデータの非識別匿名レベルを前記匿名レベル判定サーバに送信する通信装置、および前記匿名化したデータから前記匿名化したデータの非識別匿名レベルを判定する非識別匿名レベル個別判定部、を含み、前記匿名レベル判定サーバは、前記匿名データ利用者端末から送信された個人情報および匿名化したデータを前記1つ以上の識別匿名性評価サーバに送信し、前記匿名化したデータを前記1つ以上の非識別匿名性評価サーバに送信し、前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名化されたデータに対する識別匿名レベルおよび非識別匿名レベルを受信する通信装置、および前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルから前記匿名化されたデータの匿名レベルを総合判定する匿名レベル総合判定部、を含むことを特徴とする。
本願発明によれば、個人情報(元データ)の「匿名加工情報」がどのレベル(どの水準)まで匿名化されているかを、総合的に正しく評価・提示することができ、その結果として、例えば、個人情報を取り扱うサービス事業者(匿名加工情報取扱者)は、安心して匿名加工情報の提供・受領を行うことでできる。
上記した以外の課題、構成、効果は、以下の実施形態の説明により明らかにされる。
本発明の匿名性評価システムの構成例を例示する図。 本発明の匿名性評価システムにおける匿名レベル判定サーバと匿名データ利用者端末間の各情報(データ)の送受信、匿名レベル判定申請を説明するためのシーケンスを示す図。 本発明の匿名性評価システムにおける匿名レベル判定サーバと識別匿名性評価サーバ、非識別匿名性評価サーバで協調して匿名レベルの総合を判定する処理を説明するためのシーケンスを示す図。
以下に、本発明の一実施形態について、図1〜図3を用いて説明する。
まず、本発明の実施例において、使用する用語について説明する。
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述、などにより特定の個人を識別することができる「元データ」をいう。他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。
「個人情報(元データ)」には、識別情報(識別子)、準識別子(準識別子)、その他情報を含む。識別情報(識別子)は、それ自体では個人を特定し得る情報であり、例えば、氏名、ID、などである。準識別子(準識別子)は、識別情報を除く、複数の情報の組合せで個人を特定し得る情報であり、例えば、電話番号や年齢、住所、などである。その他情報は、個人を特定できる可能性が低く、基本的には匿名化処理の対象としない情報である。
「パーソナル情報(パーソナルデータ)」とは、単独で個人情報か否かに関わらず、個人と連結可能な情報の総称である。
「匿名化情報(匿名化データ)」とは、個人情報(元データ)において、識別情報(識別子)の仮名化や切り落とし、準識別情報や指定情報の切り落としやあいまい化の処理を適用して、個人の識別を困難にした情報である。
「個人情報の仮名化」とは、個人に対して、符号や番号等を付与し、個人を特定できない状態にすることである。
「個人情報の切り落とし」とは、個人を特定、あるいは識別する情報を削除することで、匿名化をすることである。
「個人情報のあいまい化」とは、個人情報(元データ)に対して、情報量を落としたり、ノイズを乗せたりして、個人を識別できない状態にすることである。
「k−匿名化」とは、属性情報の一般化や抑制などにより、k−匿名性を充たすように共通の属性情報の組合せを持つ複数のレコード集合を構成することである。即ち、同じような属性の人がk人以上いる状態を、「k-匿名性」を満たすといい、そのようにデータを加工することを「k-匿名化」と呼ばれている。
「k−匿名性:k-anonymity」(個人識別)とは、匿名化指標の代表的な一つで、レコード毎の個人識別リスクに関する指標であり、同じ準識別情報の組合せを持つレコードが、匿名化データ中に少なくともk個存在していることを評価する。
「l−多様性:l-diversity」(属性推定)とは、属性にl(エル)種類以上の多様性があるかの指標であり、ある属性がl−多様性を満たすようにデータを加工することである。
「階層情報」とは、匿名化情報(匿名化データ)の持つそれぞれの値に対して、一般化することでどのような値に置き換えるかを階層的に定義したものであり、何段階まで一般化できるかは階層の数で決まる。
「匿名化指標(匿名性指標)」とは、匿名化情報(匿名化データ)の安全性や有用性を評価する指標であり、安全性と有用性の評価指標間には、定性的に互いにトレードオフの関係にあり、安全性が高ければ有用性は下がり、有用性を保つとリスクが残り安全性が下がる。
「情報損失」とは、匿名化指標の一つで、データ全体の有用性に関する指標(有用性指標)であり、匿名化前(元データ)のレコードに対して、匿名化後(匿名化データ)のレコードがどのくらい情報を失っているかを評価する。この「情報損失」は、匿名化前(元データ)と匿名化後(匿名化データ)との差により求めることができる。
「識別匿名」および「非識別匿名」とは、匿名化されたデータが識別可能であるか否かの違いであって、例えば、匿名化データが「Aさん」からのデータであると識別できる場合は、識別匿名となり、誰からのデータか全く識別できない場合は、非識別匿名化となる。
図1は、本発明の匿名性評価システムの構成例を例示する図である。
匿名性評価システムは、匿名データ利用者が利用する1つ以上の匿名データ利用者端末1(1−A、1−B)と、1つ以上の匿名化データの利用者が利用する1つ以上の匿名レベル判定サーバ2(2−A)と、1つ以上の識別匿名性評価サーバ3(3−1、3−2)と、1つ以上の非識別匿名性評価サーバ4(4−A、4−B)と、を備えている。本例では、匿名データ利用者端末1、識別匿名性評価サーバ3、非識別匿名性評価サーバ4は、それぞれ2つの場合の例を示し、匿名レベル判定サーバ2は、1つの場合の例を示している。
匿名データ利用者端末1と匿名レベル判定サーバ2は、ネットワーク51を介して相互に各種の情報(データ)を送受信できるように接続されている。
また、匿名レベル判定サーバ2と1つ以上の識別匿名性評価サーバ3および1つ以上の非識別匿名性評価サーバ4は、ネットワーク52を介して相互に各種の情報(データ)を送受信できるように接続されている。
ここで、個人情報保護法の定義では、匿名データ利用者端末1を扱う匿名化データの利用者とは「匿名加工情報取扱事業者」と呼ばれる。
次に、図1の匿名性評価システムを構成する各装置の機能概略について説明する。
匿名データ利用者端末1は、例えば、匿名データ利用者端末1自身で、又は他のサーバで匿名化処理した匿名化情報(以下、匿名化データと称する)を匿名レベル判定サーバ2(2−1)へ送信する機能、匿名化データの匿名レベルの判定、つまり、匿名レベル判定申請を匿名レベル判定サーバ2に対して行う機能を有する。
そして、匿名データ利用者端末1は、上述した機能を実現する、例えば、計算機11を備え、計算機11は、演算装置111、記憶装置112、入出力装置113、通信装置114、読取装置115、などを有する。
演算装置111は、匿名化処理部1111、制御部1112、を備えている。
匿名化処理部1111は、記憶装置112の個人情報記憶部1121に記憶されている個人情報(元データ)を所望の匿名化の手法により匿名化、例えば、識別情報、準識別情報、などを含む情報を所定のk値で匿名化処理、つまり、k−匿名化処理して匿名化データを生成し、当該匿名化データを匿名データ記憶部1122に記憶するなどの匿名化処理全般に関する機能を有する。
制御部1112は、匿名データ利用者端末1に備わる各装置や各部の全体処理を制御する機能を有する。
例えば、個人情報記憶部1121から個人情報(元データ)を読込み、当該読込んだ個人情報(元データ)を匿名化処理部1111に入力し、匿名化処理部1111により、上述した匿名化処理を行うことで匿名化データを生成し、当該匿名化データを記憶装置112の匿名データ記憶部1122に記憶し、通信装置114により個人情報(元データ)および生成された匿名化データを、ネットワーク51を介して、匿名レベル判定サーバ2に送信するなどの全体処理を制御する。
通信装置114は、匿名レベル判定サーバ2との間において、ネットワーク51を介して、各種情報、例えば、個人情報、匿名化データ、匿名レベル、などを送受信する通信部を有する。
入出力装置113は、利用者からの入力、例えば、匿名レベル判定申請(匿名レベル判定依頼)、などを受け付けたり、また、利用者に対し、その判定結果などの情報を表示したりする機能を含む入出力部を有する。
読取装置115は、可搬性を有する記憶媒体から情報を読み取る機能を含む読取部を有する。
記憶装置112は、個人情報記憶部1121、匿名データ記憶部1122、を有する。
個人情報記憶部1121には、匿名化データの元データとなる個人情報(識別子、準識別子、その他の情報を含む元データ)が記憶されており、個人情報記憶部1121には、個人情報(元データ)を匿名化した匿名化データが記憶される。
匿名レベル判定サーバ2は、匿名データ利用者端末1から送信される個人情報(元データ)や匿名化データ、などの情報を受信し、記憶装置112に記憶する機能、
匿名データ利用者端末1から匿名レベル判定申請又は匿名レベル判定依頼を受けたとき、個人情報(元データ)および匿名化データ、を含む情報を識別匿名性評価サーバ3に送信し、また、匿名化データ、を含む情報を非識別匿名性評価サーバ4に送信すると共に識別匿名性評価サーバ3および非識別匿名性評価サーバ4に対して匿名レベル個別判定要求する機能、
識別匿名性評価サーバ3および非識別匿名性評価サーバ4にて判定された結果(識別匿名レベル結果および非識別匿名レベル結果)を受信する機能、
識別匿名性評価サーバ3および非識別匿名性評価サーバ4にて判定された結果(識別匿名レベル結果および非識別匿名レベル結果)により、匿名レベルを総合的に判定し、その匿名レベル総合判定結果を出力する機能、
総合的に判定した匿名レベル総合判定結果を匿名データ利用者端末1へ送信する機能、
を有する。
また、匿名レベル判定サーバ2は、識別匿名性評価サーバ3および非識別匿名性評価サーバ4が、それぞれ複数存在する場合には、匿名データ利用者端末1から匿名レベル判定申請又は匿名レベル判定依頼を受けたとき、個人情報(元データ)、匿名化データ、などの情報を、識別匿名性評価サーバ3および非識別匿名性評価サーバ4の何れに送信するか、その送信先を決定し、当該決定した送信先である1つ以上の識別匿名性評価サーバ3および1つ以上の非識別匿名性評価サーバ4へ個人情報(元データ)、匿名化情報(匿名化データ)、などの情報を振分けて送信する機能、
また、匿名データ利用者端末1から受信した個人情報(元データ)と匿名化データとの差分を元に、有用性を示す指標である情報の損失量(情報エントロピー値等)を算出し、情報価値レベルを判定する機能、
を有する。
そして、匿名レベル判定サーバ2は、上述した機能を実現する、例えば、計算機21を備え、計算機21は、演算装置211、記憶装置212、通信装置214、を有する。
演算装置211は、匿名レベル総合判定部2111、情報価値レベル判定部2113、制御部2112、振分処理部2114、を備える。
振分処理部2114は、匿名データ利用者端末1からの匿名レベルの匿名レベル判定申請情報を含む匿名レベル判定依頼を受けたとき、当該匿名レベル判定申請情報(匿名性評価申請情報)に含まれる利用分野、利用用途、などに基づく組織信頼度を元に、匿名化データに対する匿名レベル個別判定を行う1つ以上の識別匿名性評価サーバ3および1つ以上の非識別匿名性評価サーバ4の振り分け先を決定する機能を有する。
例えば、個人情報(元データ)および匿名化データ、を含む情報を送信先である組織信頼度の高い識別匿名性評価サーバ3―A、3−B、の何れかに振分け、また、匿名化データ、を含む情報を、送信先である組織信頼度の高い非識別匿名性評価サーバ4―A、4−B、の何れかに振分ける。
匿名レベル総合判定部2111は、識別匿名性評価サーバ3および非識別匿名性評価サーバ4により評価された識別匿名性評価結果および非識別匿名性評価結果を受信し、当該匿名レベル個別判定結果により、匿名化データに対する匿名レベルを総合的に判定し、その判定結果を生成するなどの匿名レベル判定処理全般に関する機能を有する。匿名レベルを総合的に判定する際には、記憶装置212の匿名レベル判定指標記憶部2123に予め格納された匿名レベル判定指標を参照する。
情報価値レベル判定部2113は、匿名データ利用者端末1から受信した個人情報(元データ)と匿名化データとの差分を元に、有用性を示す指標である情報の損失量(情報エントロピー値等)を算出し、情報価値レベルを判定する機能を有する。
制御部2112は、匿名レベル判定サーバ2に備わる各部の全体処理を制御する機能を有する。
例えば、記憶装置212の個人情報記憶部2121から個人情報(元データ)を読込み、匿名データ記憶部2122から匿名化データを読込み、これらの読込んだ各情報を振分処理部2114で決定された匿名レベル個別判定の振り分け先である、識別匿名性評価サーバ3の1以上、および非識別匿名性評価サーバ4の1以上に対して、ネットワーク52を介して送信すると共に、識別匿名性評価依頼および非識別匿名性評価依頼、つまり、匿名化データの匿名レベル個別判定依頼をするなどの全体処理を制御する。
通信装置214は、匿名データ利用者端末1および識別匿名性評価サーバ3と非識別匿名性評価サーバ4との間において、ネットワーク51およびネットワーク52を介して各種の情報、例えば、個人情報、匿名化データ、匿名レベル、などを送受信する機能を含む通信部を有する。
記憶装置212の個人情報記憶部2121には、匿名データ利用者端末1から受信した個人情報(元データ)が記憶され、匿名データ記憶部2122には、匿名データ利用者端末1から受信した匿名化データが記憶される。
匿名レベル判定指標記憶部2123には、識別匿名性評価サーバ3および非識別匿名性評価サーバ4から受信した匿名レベル個別判定結果(含識別匿名レベルおよび非識別匿名レベル)などから匿名レベル総合判定結果を算出するための匿名レベル判定指標、つまり、匿名化指標に関する情報が記憶される。例えば、以下のような匿名レベル判定指標を有する。
Figure 2019095885
識別匿名性評価サーバ3は、匿名化されたデータに対して安全性の判断基準である匿名性評価指標(匿名化データの安全性を示す匿名レベル判定指標)を算出する機能、例えば、匿名レベル判定サーバ2から受信した個人情報(元データ)および匿名化データから、匿名化データの安全性を示す評価指標である識別匿名レベル個別判定結果を算出する機能、
匿名レベル判定サーバ2から受信した個人情報(元データ)と匿名化データとの差分を元に、有用性を示す指標である情報の損失量(情報エントロピー値等)を算出し、情報価値レベルを判定する機能、
を有する。
そして、識別匿名性評価サーバ3は、上述した機能を実現する、例えば、計算機31を備え、計算機31は、演算装置311、記憶装置312、通信装置314、を有する。
演算装置311は、識別匿名レベル個別判定部3111と、制御部3112と、情報価値レベル判定部3113と、を備える。
識別匿名レベル個別判定部3111は、匿名レベル判定サーバ2から受信した個人情報(元データ)および匿名化データから、識別匿名レベル個別判定結果を算出するなどの匿名レベル判定処理全般に関する機能を有する。識別匿名レベルを個別に判定する際には、記憶装置312の匿名レベル判定指標記憶部3123に予め格納された匿名レベル判定指標を参照する。
通信装置314は、匿名レベル判定サーバ2との間において、ネットワーク52を介して各種情報(個人情報、匿名化データ、匿名レベル等)を送受信する処理に関する機能を有する。
制御部3112は、識別匿名性評価サーバ3に備わる各装置や各部全体処理を制御する機能を有する。
例えば、個人情報記憶部3121から個人情報(元データ)を読込み、匿名データ記憶部3122から匿名化データを読込み、匿名レベル判定指標記憶部3123から読み込んだ匿名レベル個別判定結果を算出するための匿名レベル判定指標(匿名化指標)に基づき識別匿名レベル判定結果を生成する等の全体処理を制御する。
記憶装置312の個人情報記憶部3121には、匿名レベル判定サーバ2から受信した個人情報(元データ)が記憶され、匿名データ記憶部3122には、匿名レベル判定サーバ2から受信した匿名化データが記憶される。
匿名レベル判定指標記憶部3123には、匿名レベル判定サーバ2から受信した個人情報および匿名化データから、匿名レベル個別判定結果を算出するための匿名レベル判定指標(匿名化指標)に関する情報が記憶される。
非識別匿名性評価サーバ4は、匿名化されたデータに対して安全性の判断基準である匿名性評価指標(匿名化データの安全性を示す匿名レベル判定指標)を算出する機能、例えば、匿名レベル判定サーバ2から受信した匿名化データから、匿名化データの安全性を示す評価指標である非識別匿名レベル個別判定結果を算出する機能、
を有する。
そして、非識別匿名性評価サーバ4は、上述した機能を実現する、例えば、計算機41を備え、計算機41は、演算装置411、記憶装置412、通信装置414、を有する。
演算装置411は、非識別匿名レベル個別判定部4111と、制御部4112と、備える。
非識別匿名レベル個別判定部4111は、匿名レベル判定サーバ2から受信した匿名化データから、非識別匿名レベル個別判定結果を算出するなどの匿名レベル判定処理全般に関する機能を有する。非識別匿名レベルを個別に判定する際には、記憶装置412の匿名レベル判定指標記憶部4123に予め格納された匿名レベル判定指標を参照する。
制御部4112は、非識別匿名性評価サーバ4に備わる各装置や各部の全体処理を制御する機能を有する。
例えば、匿名データ記憶部4122から匿名データを読込み、匿名レベル判定指標記憶部4123から読み込んだ匿名レベル個別判定結果を算出するための匿名レベル判定指標に基づき非識別匿名レベル判定結果を生成する等の全体処理を制御する。
通信装置414は、匿名レベル判定サーバ2との間において、ネットワーク52を介して情報、例えば、匿名データ、匿名レベル、などを送受信する処理に関する機能を有する。
記憶装置412の匿名データ記憶部4122には、匿名レベル判定サーバ2から受信した匿名化データが記憶される。
匿名レベル判定指標記憶部4123には、匿名レベル判定サーバ2から受信した匿名化データから、非識別匿名レベル個別判定結果を算出するための匿名レベル判定指標(匿名化指標)に関する情報が記憶される。
なお、上述した実施例では、匿名データ利用者端末1、匿名レベル判定サーバ2、識別匿名性評価サーバ3、非識別匿名性評価サーバ4は、CPU、メモリ、ハードディスク、などの外部記憶装置、ネットワークを介して他装置と通信を行なうための通信装置、キーボードやマウスなどの入力装置、表示装置やプリンタなどの出力装置、可搬性を有する記憶媒体から情報を読み取る読取装置、などを備えた一般的な電子計算機により構成しており、上述の端末や各サーバの処理は、CPUの内部に格納された各種プログラムを読み込むことで実現される。なお、各機能をCPUで実現する方法のみならず、それぞれをモジュールで実現、すなわち個別のハードウエアとして実現しても良い。
図2は、本発明の匿名性評価システムにおける匿名レベル判定サーバ2と匿名データ利用者端末1間における各情報(データ)の送受信、匿名レベル判定申請を説明するためのシーケンスを示す図である。
図2のシーケンスに基づく動作は以下のとおりである。
ステップS11:まず、匿名データ利用者端末1は、個人情報記憶部1121に記憶されている個人情報(元データ)を元に、匿名化処理部1111によって匿名化データを生成し、当該匿名化データを匿名データ記憶部1122に記憶する。
ここで、匿名化データの生成にあたっては、匿名データ利用者端末1自身で生成するのではなく、他のサーバに委託して匿名化データを生成しても良い。
ステップS12:匿名データ利用者端末1は、通信装置114にて、個人情報記憶部1121に記憶される個人情報(元データ)と匿名データ記憶部1122に記憶される匿名化データと共に、匿名化データの利用分野、利用用途、などを明示して匿名レベル判定申請を匿名レベル判定サーバ2に送信する。
ここで、送信する個人情報(元データ)は、匿名性評価に支障がない範囲で個人を識別可能な情報をマスキングしたり、ランダムな符号化(トーカナイズ)を行っても良い。
ステップS21:次に、匿名レベル判定サーバ2は、振分処理部2114にて匿名レベル個別判定要求の振り分け先を判定する。この振り分け先の判定は、匿名データ利用者端末1から受信した匿名レベル判定申請に含まれる匿名化データの利用分野、利用用途など、および匿名レベル判定指標記憶部2123に記憶されている1つ以上の識別匿名性評価サーバ3および1つ以上の非識別匿名性評価サーバ4の各々の組織信頼度を元に行う。
ステップS22:続いて、匿名レベル判定サーバ2は、ステップS21にて判定した振り分け先に従い、当該振り分け先の1つ以上の識別匿名性評価サーバ3および当該振り分け先の1つ以上の非識別匿名性評価サーバ4に対し、匿名レベル個別判定を要求する。また、当該要求に対する各々の識別匿名性評価サーバ3および非識別匿名性評価サーバ4から送信される匿名レベル個別判定結果を受信する。
ステップS23:また、匿名レベル判定サーバ2は、匿名レベル総合判定部2111にて、当該各々の識別匿名性評価サーバ3および非識別匿名性評価サーバ4から受信した当該匿名レベル個別判定結果、および匿名レベル判定指標記憶部2123に記憶されている匿名レベルの判定指標を元に、匿名レベルの総合判定結果を出力する。
ステップS24:匿名レベル判定サーバ2は、通信装置214にて、当該匿名レベルの総合判定結果を匿名データ利用者端末1に送信する。個人情報の匿名化に際しては、各産業によって所定の匿名化レベルが設定されている。故に、このとき、個人情報が指標通りに匿名化されているか否かも併せて評価し、その結果も併せて匿名データ利用者端末1に送信するとよい。
ステップS13:最後に、匿名データ利用者端末1は、前記匿名レベルの総合判定結果を受信する。そして、匿名データ利用者端末1と匿名レベル判定サーバ2間の素情報の送受信処理を終了する。
図3は、本発明の匿名性評価システムにおける匿名レベル判定サーバ2と識別匿名性評価サーバ3、非識別匿名性評価サーバ4で協調して匿名レベルの総合を判定する処理を説明するためのシーケンスを示す図である。
図3のシーケンスに基づく動作は以下のとおりである。
ステップS25:まず、匿名レベル判定サーバ2は、上述したステップS21にて判定した振り分け先に従い、当該振り分け先の1つ以上の識別匿名性評価サーバ3に対して、記憶装置212の個人情報記憶部2121に記憶されている個人情報(元データ)と匿名データ記憶部2122に記憶されている匿名化データを送信すると共に、識別匿名性評価依頼をする。
ステップS26:続いて、匿名レベル判定サーバ2は、ステップS21にて判定した振り分け先に従い、当該振り分け先の1つ以上の非識別匿名性評価サーバ4に対して、記憶装置212の匿名データ記憶部2122に記憶されている匿名データを送信すると共に、非識別匿名性評価依頼をする。
ステップS31:識別匿名性評価サーバ3は、匿名レベル判定サーバ2から送信された個人情報(元データ)と匿名化データを受信し、当該個人情報(元データ)と匿名化データを元に、質的属性間の距離等の評価値を算出し、識別匿名レベルを判定する。この距離は、質的属性間の差の絶対値から求める。
また、匿名レベル判定サーバ2から受信した個人情報(元データ)と匿名化データを元に、質的属性間の距離等の評価値を算出し、識別匿名レベルを判定する。
ステップS32:次に、識別匿名性評価サーバ3は、判定した識別匿名レベル(識別匿名性判定結果)を匿名レベル判定サーバ2に送信する。
ここで、ステップS31において、識別匿名性評価サーバ3の情報価値レベル判定部3113にて、受信した個人情報(元データ)と匿名化データとの差分を元に、有用性を示す指標である情報の損失量(情報エントロピー値等)を算出し、情報価値レベルを判定しても良い。
また、ステップS31において、識別匿名レベル結果と共に、情報価値レベル結果を送信しても良い。
この場合、ステップS23において、匿名レベル判定サーバ2の情報価値レベル判定部2113にて、1つ以上の識別匿名性評価サーバ3から受信した1つ以上の情報価値レベルを元に、情報価値総合判定結果を出力し、ステップS24において、当該匿名レベルの総合判定結果と併せて情報価値総合判定結果を匿名データ利用者端末1に送信しても良い。
ステップS41:また、非識別匿名性評価サーバ4は、匿名レベル判定サーバ2から送信された匿名化データを受信し、当該匿名化データを元に、k匿名性やl多様性、などの評価値、つまり、匿名化データの安全性を示す評価指標(匿名レベル判定指標)を算出し、当該指標から非識別匿名レベルを判定する。
ステップS42:非識別匿名性評価サーバ4は、判定した非識別匿名レベルを匿名レベル判定サーバ2に送信する。
以上述べた実施例によれば、匿名化処理した匿名化データの安全性や有用性の評価が行え、また、評価結果として表示される指標の値を確認することができる。また、1つ以上の識別匿名性評価サーバにより、個人情報(元データ)と匿名化データの比較から算出した識別匿名レベルと、1つ以上の非識別匿名性評価サーバにより、匿名化データのみから算出した非識別匿名レベルとを合算して匿名化データを評価する匿名化データ評価システムを設けた匿名化データ評価システムにより、匿名化データの総合的な匿名レベルを算出可能である。また、匿名化の算出結果や安全性の評価指標を定量的に示すことができる。
なお、本発明は上述した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
1・・・匿名データ利用者端末
2・・・匿名レベル判定サーバ
3・・・識別匿名性評価サーバ
4・・・非識別匿名性評価サーバ
51、52:ネットワーク
111、211、311、411・・・演算装置
113・・・入出力装置
114、214、314、414・・・通信装置
1111・・・匿名化処理部
1112、2112、3112、4112・・・制御部
2111・・・匿名レベル総合判定部
1121、2121、3121・・・個人情報記憶部
1122、2122、3122、4122・・・匿名データ記憶部
2123、3123、4123・・・匿名レベル判定指標記憶部
3111・・・識別匿名レベル個別判定部
2113、3113・・・情報価値レベル判定部
4111・・・非識別匿名レベル個別判定部

Claims (12)

  1. 個人情報を匿名化したデータの匿名性を評価する匿名化データ評価システムにおいて、
    匿名データ利用者端末と、匿名レベル判定サーバと、匿名性を評価する1つ以上の識別匿名性評価サーバと、匿名性を評価する1つ以上の非識別匿名性評価サーバと、を備え、
    前記匿名データ利用者端末は、
    前記個人情報と当該個人情報を匿名化したデータ、および匿名性評価申請情報を前記匿名レベル判定サーバに送信する通信装置、を含み、
    前記1つ以上の識別匿名性評価サーバは、
    前記匿名データ利用者端末から送信された個人情報および匿名化したデータを、前記匿名レベル判定サーバを介して受信し、また、識別匿名レベル判定個別結果である識別匿名レベルを前記匿名レベル判定サーバに送信する通信装置と、
    前記個人情報および匿名化したデータから前記匿名化したデータの識別匿名レベルを、匿名レベルの判定指標を元に判定し、当該判定した識別匿名レベルを前記識別匿名レベル判定個別結果として出力する識別匿名レベル個別判定部、を含み、
    前記1つ以上の非識別匿名性評価サーバは、
    前記匿名データ利用者端末から送信された匿名化したデータを、前記匿名レベル判定サーバを介して受信し、また、前記匿名化したデータの非識別匿名レベルを前記匿名レベル判定サーバに送信する通信装置と、
    前記匿名化したデータから前記匿名化したデータの非識別匿名レベルを、匿名レベルの判定指標を元に判定し、当該判定した非識別匿名レベルを匿名レベル個別判定結果として出力する非識別匿名レベル個別判定部、を含み、
    前記匿名レベル判定サーバは、
    前記匿名性評価申請情報に基づき、前記匿名データ利用者端末から送信された個人情報と匿名化したデータを前記1つ以上の識別匿名性評価サーバに、および、前記匿名化したデータを前記1つ以上の非識別匿名性評価サーバに送信し、かつ、前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルを受信する通信装置と、
    前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルから前記匿名化されたデータの匿名レベルを、匿名レベルの判定指標を元に総合判定する匿名レベル総合判定部、を含む
    ことを特徴とする匿名化データ評価システム。
  2. 請求項1に記載された匿名化データ評価システムにおいて、
    前記識別匿名レベル個別判定部は、
    前記個人情報および前記匿名化したデータを元に、質的属性間の距離の評価値を算出し、前記識別匿名レベルを判定し、
    前記非識別匿名レベル個別判定部は、
    前記匿名化したデータを元に、k−匿名性、又はl(エル)多様性の評価値を算出し、前記非識別匿名レベルを判定する、
    ことを特徴とする匿名化データ評価システム。
  3. 請求項1に記載された匿名化データ評価システムにおいて、
    前記匿名レベル判定サーバは、さらに、振分処理部を含み、
    前記振分処理部は、
    前記匿名データ利用者端末から送信され、前記匿名性評価申請情報を受けたとき、当該匿名性評価申請情報に含まれる利用分野又は利用用途、に基づく組織信頼度を元に、前記個人情報および匿名化したデータの、前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバへの振分け先を判定する、
    ことを特徴とする匿名化データ評価システム。
  4. 請求項1に記載された匿名化データ評価システムにおいて、
    前記1つ以上の識別匿名性評価サーバは、さらに、情報価値レベル判定部を含み、
    前記情報価値レベル判定部は、
    前記匿名レベル判定サーバから送信された個人情報および匿名化したデータから、情報価値レベルを個別判定し、
    前記匿名レベル判定サーバは、さらに、情報価値レベル判定部、を含み、
    前記情報価値レベル判定部は、
    前記1つ以上の識別匿名性評価サーバにて判定された情報価値レベル判定結果である個別の情報価値レベルから情報価値レベルを総合判定する
    ことを特徴とする匿名化データ評価システム。
  5. 請求項4に記載された匿名化データ評価システムにおいて、
    前記情報価値レベル判定部は、
    前記匿名データ利用者端末から受信した個人情報と匿名化データとの差分を元に、情報の損失量を算出し、情報価値レベルを判定する
    ことを特徴とする匿名化データ評価システム。
  6. 個人情報を匿名化したデータの匿名性を評価する匿名化データ評価システムにおける匿名レベル判定サーバにおいて、
    演算装置、通信装置、を備え、
    前記通信装置は、
    匿名データ利用者端末から送信された個人情報と匿名化したデータ、および匿名性評価申請情報を受けた場合、当該個人情報と匿名化したデータを1つ以上の識別匿名性評価サーバに送信し、前記匿名化したデータを1つ以上の非識別匿名性評価サーバに送信し、
    前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて、前記匿名化されたデータに対する匿名レベル個別判定結果である識別匿名レベルおよび非識別匿名レベルを受信する通信部を含み、
    前記演算装置は、
    前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルから前記匿名化されたデータの匿名レベルを、匿名レベル判定指標を参照して総合判定する匿名レベル総合判定部、を含む
    ことを特徴とする匿名レベル判定サーバ。
  7. 請求項6に記載された匿名レベル判定サーバにおいて、
    前記演算装置は、さらに、
    前記匿名データ利用者端末から送信され、前記匿名性評価申請情報を受けたとき、当該匿名性評価申請情報に含まれる利用分野又は利用用途に基づく組織信頼度を元に、前記個人情報および匿名化したデータの、前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバへの振分け先を判定する振分処理部、を含む
    ことを特徴とする匿名レベル判定サーバ。
  8. 請求項6に記載された匿名レベル判定サーバにおいて、
    前記演算装置は、さらに、
    前記匿名データ利用者端末から受信した個人情報と匿名化データとの差分を元に、情報の損失量を算出し、情報価値レベルを判定する情報価値レベル判定部、を含む
    ことを特徴とする匿名レベル判定サーバ。
  9. 個人情報を匿名化したデータの匿名性を評価する匿名化データ評価システムにおける匿名レベル判定方法において、
    匿名データ利用者端末から送信された個人情報および匿名化したデータを前記1つ以上の識別匿名性評価サーバに送信するステップ、
    前記匿名化したデータを1つ以上の非識別匿名性評価サーバに送信するステップ、
    前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名化されたデータに対する識別匿名レベルおよび非識別匿名レベルを受信するステップを含み、
    前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルから前記匿名化されたデータの匿名レベルを総合判定するステップ、を含む
    ことを特徴とする匿名レベル判定方法。
  10. 請求項9に記載された匿名レベル判定方法において、さらに、匿名データ利用者端末から送信され、匿名性評価申請情報を受けたとき、当該匿名性評価申請情報に含まれる利用分野又は利用用途に基づく組織信頼度を元に、前記個人情報と前記匿名化したデータの振分け先である、前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバを判定するステップ、を含むことを特徴とする匿名レベル判定方法。
  11. 請求項9に記載された匿名レベル判定方法において、さらに、
    前記個人情報および匿名化したデータから、情報価値レベルを個別判定するステップ、を含む
    ことを特徴とする匿名レベル判定方法。
  12. 請求項1に記載された匿名化データ評価システムにおける匿名レベル判定方法であって、
    前記匿名データ利用者端末は、
    個人情報および当該個人情報を匿名化したデータを前記匿名レベル判定サーバに送信するステップ、を含み、
    前記識別匿名性評価サーバは、
    前記匿名データ利用者端末から送信された前記個人情報および前記匿名化したデータを受信するステップ、
    前記個人情報および前記匿名化したデータから識別匿名レベルを判定するステップ、を含み、
    前記非識別匿名性評価サーバは、
    前記匿名データ利用者端末から送信された前記匿名化したデータを受信するステップ、
    前記匿名化したデータから非識別匿名レベルを判定するステップ、を含み、
    前記匿名レベル判定サーバは、
    前記匿名データ利用者端末から送信された前記個人情報および前記匿名化したデータを受信するステップ、
    前記匿名データ利用者端末から受信した前記個人情報および前記匿名化したデータを前記1つ以上の識別匿名性評価サーバに送信するステップ、
    前記匿名データ利用者端末から受信した前記匿名化したデータを前記1つ以上の非識別匿名性評価サーバに送信するステップ、
    前記識別匿名レベルを判定するステップおよび前記非識別匿名レベルを判定するステップにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび前記非識別匿名レベルを受信するステップ、
    前記匿名レベル個別判定結果である前記識別匿名レベルおよび前記非識別匿名レベルから前記匿名化されたデータの匿名レベルを総合判定するステップ、を含む
    ことを特徴とする匿名レベル判定方法。
JP2017222539A 2017-11-20 2017-11-20 匿名化データ評価システム及び方法、並びに匿名レベル判定サーバ Active JP6715816B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017222539A JP6715816B2 (ja) 2017-11-20 2017-11-20 匿名化データ評価システム及び方法、並びに匿名レベル判定サーバ
PCT/JP2018/041687 WO2019098136A1 (ja) 2017-11-20 2018-11-09 匿名化データ評価システム及び方法、並びに匿名レベル判定サーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017222539A JP6715816B2 (ja) 2017-11-20 2017-11-20 匿名化データ評価システム及び方法、並びに匿名レベル判定サーバ

Publications (3)

Publication Number Publication Date
JP2019095885A true JP2019095885A (ja) 2019-06-20
JP2019095885A5 JP2019095885A5 (ja) 2020-04-30
JP6715816B2 JP6715816B2 (ja) 2020-07-01

Family

ID=66539089

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017222539A Active JP6715816B2 (ja) 2017-11-20 2017-11-20 匿名化データ評価システム及び方法、並びに匿名レベル判定サーバ

Country Status (2)

Country Link
JP (1) JP6715816B2 (ja)
WO (1) WO2019098136A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2021065004A1 (ja) * 2019-10-04 2021-04-08
WO2021144833A1 (ja) * 2020-01-14 2021-07-22 三菱電機株式会社 匿名加工評価システム、匿名加工評価方法および匿名加工評価プログラム

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020122895B3 (de) * 2020-09-02 2022-01-13 Audi Aktiengesellschaft Bereitstellung von Daten eines Kraftfahrzeugs
US12038833B2 (en) 2021-11-23 2024-07-16 The Toronto-Dominion Bank Test and validation of privacy protection quality of anonymization solutions

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013121738A1 (ja) * 2012-02-17 2013-08-22 日本電気株式会社 分散匿名化装置及び分散匿名化方法
JP2015153106A (ja) * 2014-02-13 2015-08-24 株式会社東芝 匿名化指標算出システム
JP2016184213A (ja) * 2015-03-25 2016-10-20 株式会社日立ソリューションズ 数値データを匿名化する方法及び数値データ匿名化サーバ

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013121738A1 (ja) * 2012-02-17 2013-08-22 日本電気株式会社 分散匿名化装置及び分散匿名化方法
JP2015153106A (ja) * 2014-02-13 2015-08-24 株式会社東芝 匿名化指標算出システム
JP2016184213A (ja) * 2015-03-25 2016-10-20 株式会社日立ソリューションズ 数値データを匿名化する方法及び数値データ匿名化サーバ

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
小栗 秀暢: "匿名加工・再識別コンテストPWSCUP 2016の報告〜安全性と有用性の評価〜", 2017年 暗号と情報セキュリティシンポジウム(SCIS2017)予稿集 [USB] 2017年 暗, JPN6019004561, 27 January 2017 (2017-01-27), pages 1 - 8, ISSN: 0004254663 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2021065004A1 (ja) * 2019-10-04 2021-04-08
WO2021065004A1 (ja) * 2019-10-04 2021-04-08 日本電信電話株式会社 識別推定リスク評価装置、識別推定リスク評価方法、プログラム
WO2021144833A1 (ja) * 2020-01-14 2021-07-22 三菱電機株式会社 匿名加工評価システム、匿名加工評価方法および匿名加工評価プログラム
JPWO2021144833A1 (ja) * 2020-01-14 2021-07-22
JP7031084B2 (ja) 2020-01-14 2022-03-07 三菱電機株式会社 匿名加工評価システム、匿名加工評価方法および匿名加工評価プログラム

Also Published As

Publication number Publication date
WO2019098136A1 (ja) 2019-05-23
JP6715816B2 (ja) 2020-07-01

Similar Documents

Publication Publication Date Title
US10574540B2 (en) Method and system for facilitating management of service agreements for consumer clarity over multiple channels
WO2019098136A1 (ja) 匿名化データ評価システム及び方法、並びに匿名レベル判定サーバ
US10296751B2 (en) Automated real-time information management risk assessor
US10558684B2 (en) Auditing database access in a distributed medical computing environment
JP6007969B2 (ja) 匿名化装置及び匿名化方法
JP6814017B2 (ja) 匿名化のために属性を自動的に識別するコンピュータ実装システムおよび方法
Hintze Viewing the GDPR through a de-identification lens: a tool for compliance, clarification, and consistency
US9043937B2 (en) Intelligent decision support for consent management
US10176340B2 (en) Abstracted graphs from social relationship graph
US11652628B2 (en) Deterministic verification of digital identity documents
CN111316273A (zh) 认知数据匿名化
US10069842B1 (en) Secure resource access based on psychometrics
US20160260187A1 (en) Provisioning in digital asset management
US11316833B2 (en) System, method, and recording medium for preventing back propogation of data protection
US20170155659A1 (en) Autonomous trust evaluation engine to grant access to user private data
US11256809B2 (en) Security for private data inputs to artificial intelligence models
JP5782636B2 (ja) 情報匿名化システム、情報損失判定方法、及び情報損失判定プログラム
US11227059B2 (en) Regulatory compliance for applications applicable to providing a service for regulatory compliance on a cloud
KR20220059296A (ko) 보험 상품 정보를 제공하는 방법 및 이를 위한 장치
JP2015141642A (ja) 利用同意管理装置
US20210126904A1 (en) On-device privacy-preservation and personalization
US20230367855A1 (en) Method to randomize online activity
KR101638262B1 (ko) 소셜 네트워크 리포트들
CN115408263A (zh) 利用和训练用于控件标识的人工智能模型
US20220148694A1 (en) Methods, systems, apparatuses, and devices for facilitating selectively retrieving of medical information

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200317

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200317

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200525

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200609

R150 Certificate of patent or registration of utility model

Ref document number: 6715816

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150