JP2019527409A - 個人情報の非識別化方法および装置 - Google Patents

個人情報の非識別化方法および装置 Download PDF

Info

Publication number
JP2019527409A
JP2019527409A JP2018569022A JP2018569022A JP2019527409A JP 2019527409 A JP2019527409 A JP 2019527409A JP 2018569022 A JP2018569022 A JP 2018569022A JP 2018569022 A JP2018569022 A JP 2018569022A JP 2019527409 A JP2019527409 A JP 2019527409A
Authority
JP
Japan
Prior art keywords
personal information
record
node
generalized
identified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018569022A
Other languages
English (en)
Other versions
JP6825016B2 (ja
Inventor
チェー,デウ
クォン,ウソク
ファン,ミョンシク
キム,サンウク
キム,ギテ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fasoo com Co Ltd
Original Assignee
Fasoo com Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020160082878A external-priority patent/KR101821219B1/ko
Priority claimed from KR1020160082860A external-priority patent/KR101798378B1/ko
Priority claimed from KR1020160082839A external-priority patent/KR101798377B1/ko
Application filed by Fasoo com Co Ltd filed Critical Fasoo com Co Ltd
Publication of JP2019527409A publication Critical patent/JP2019527409A/ja
Application granted granted Critical
Publication of JP6825016B2 publication Critical patent/JP6825016B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2379Updates performed during online database operations; commit processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

個人情報の非識別化方法および装置が開示される。個人情報非識別化方法は、データベースから個人情報を指示する原始データが記録されたレコードを含む原始テーブルを獲得する段階、原始テーブルに含まれたレコードのそれぞれに記録された原始データを一般化することによって一般化されたデータを生成する段階、原始データおよび一般化されたデータで構成される一般化階層モデルを設定する段階、一般化階層モデルに基づいて複数の候補ノードを含む原始ラティスを生成する段階、および原始ラティスに含まれた複数の候補ノードのうちあらかじめ設定された基準を満足する少なくとも一つの候補ノードを含む最終ラティスを設定する段階を含む。したがって、個人情報が効率的に非識別化され得る。

Description

本発明はデータ処理技術に関するものであって、さらに詳細には遺伝アルゴリズムに基づいて個人情報を含むテーブルに対する非識別化を効率的に実行するための技術に関するものである。
情報通信技術(例えば、ビックデータ関連技術)が発展するにつれて、個人情報を収集する技術、収集した個人情報を分析する技術などが発展している。個人情報は、住民番号、住所、郵便番号、名前、誕生日、性別、病気、年俸などを含むことができる。このように、ビックデータ関連技術が発展するにつれて個人情報は多様な分野で使用され得る。例えば、企業は個人情報に基づいて特定の消費者に自社の商品、サービスなどを広告することができ、これに伴い、消費者は自分が所望する商品、サービスに対する情報を企業から容易に獲得することができる。
しかし、個人情報が無分別に使用されることによって、情報の主体である個人の基本権が侵害され得る。このような問題を解消するために個人情報の非識別化技術が考慮され得る。非識別化技術は、個人情報の一部又は全部を削除したり、代替(すなわち、個人情報を指示するデータに対する一般化実行)することにより、他の情報と結合しても特定個人を識別できないようにすることを意味する。個人情報に対する非識別化が遂行される場合、一般化レベル(level)により個人情報が一般化される範囲が変わり得る。すべての一般化レベルのそれぞれに対する個人情報の非識別化が遂行される場合、非識別化された個人情報を生成するために多くの時間が消耗され得る。
また、一般化レベルにより個人情報の使用性、再識別化危険性などが変わり得る。例えば、個人情報のうち相対的に多くの部分が一般化される場合、非識別化された個人情報の分析時に相対的に多くのエラーが発生するため、非識別化された個人情報の使用性は低下され得る。その反対に、個人情報のうち相対的に少ない部分が一般化される場合、非識別化された個人情報は相対的に容易に推論されるか再識別され得るため、非識別化された個人情報の再識別化危険性は増加し得る。
また、個人情報の非識別化のためには、先にデータベースから個人情報を含むテーブルが獲得されなければならない。データベースから獲得されたテーブルは多様かつ多くの情報を含んでおり、必要な情報を含むテーブルを生成するために多くの時間が必要とされ得る。
前記のような問題点を解決するための本発明の目的は、個人情報を効率的に非識別化するための方法および装置を提供するところにある。
前記のような問題点を解決するための本発明の他の目的は、個人情報を含むテーブルのレコードに対する属性を設定するための方法および装置を提供するところにある。
前記目的を達成するための本発明の一実施例に係る個人情報非識別化装置で遂行される個人情報非識別化方法は、データベースから個人情報を指示する原始データが記録されたレコードを含む原始テーブルを獲得する段階、一般化レベルに基づいて前記原始テーブルに含まれたレコードそれぞれに記録された原始データを一般化することによって一般化されたデータを生成する段階、前記原始データおよび前記一般化されたデータで構成される一般化階層モデルを設定する段階、前記一般化階層モデルによって指示される階層構造に基づいて、個人情報の種類別一般化レベルを指示するテーブルを指示する複数の候補ノードを含む原始ラティスを生成する段階、および前記原始ラティスに含まれた前記複数の候補ノードのうちあらかじめ設定された基準を満足する少なくとも一つの候補ノードを含む最終ラティスを設定する段階を含む。
ここで、前記個人情報非識別化方法は、前記原始テーブルに含まれたレコードのそれぞれの属性を設定する段階をさらに含むことができる。
ここで、前記属性はID、QI、SAおよびIAに分類され得、特定個人が明示的に識別される個人情報を指示する原始データが記録されたレコードはIDで設定され得、特定個人が暗黙的に識別される個人情報を指示する原始データが記録されたレコードはQIで設定され得、あらかじめ設定された基準以上の敏感度を有する個人情報を指示する原始データが記録されたレコードはSAで設定され得、SAより低い敏感度を有する個人情報を指示する原始データが記録されたレコードはIAで設定され得る。
ここで、前記個人情報非識別化方法は、前記原始テーブルに含まれたレコードのうち前記属性がIDで設定されたレコードをマスキング処理する段階をさらに含むことができる。
ここで、前記個人情報非識別化方法は、前記原始テーブルに含まれたレコードのうち前記属性がQIで設定されたレコードに記録された原始データによって指示される個人情報の種類によって前記一般化レベルを設定する段階をさらに含むことができる。
ここで、前記テーブルに含まれたレコードのうち前記属性がQIで設定されたレコードに記録された原始データは、一般化レベルに基づいて一般化され得る。
ここで、前記最終ラティスを設定する段階は、前記原始ラティスに含まれた複数の候補ノードのうち少なくとも一つの候補ノードを選択する段階、前記少なくとも一つの候補ノードによって指示される一般化レベルに基づいて前記原始テーブルに対する非識別化を遂行することによって非識別化されたテーブルを生成する段階、あらかじめ設定された抑制基準を満足する非識別化されたテーブルに対応する候補ノードを最終ノードに設定する段階、および前記あらかじめ設定された基準を満足する候補ノードに対応する前記最終ノードを含む前記最終ラティスを設定する段階を含むことができる。
ここで、前記非識別化されたテーブルは、K−匿名性に基づいて生成されるか、前記K−匿名性およびL−多様性に基づいて生成されるか、または前記K−匿名性およびT−近接性に基づいて生成され得る。
ここで、前記あらかじめ設定された抑制基準は、前記非識別化されたテーブルを構成する同等クラスのうち前記あらかじめ設定されたK−匿名性を満足しない同等クラスの比率を指示することができる。
ここで、前記個人情報非識別化方法は、前記最終ラティスに含まれた少なくとも一つの最終ノードに対応する非識別化されたテーブルの再識別化危険性および有用性を計算する段階をさらに含むことができる。
前記目的を達成するための本発明の他の実施例に係る個人情報非識別化装置は、プロセッサおよび前記プロセッサを通じて実行される少なくとも一つの命令が保存されたメモリを含み、前記少なくとも一つの命令はデータベースから個人情報を指示する原始データが記録されたレコードを含む原始テーブルを獲得し、一般化レベルに基づいて前記原始テーブルに含まれたレコードのそれぞれに記録された原始データを一般化することによって一般化されたデータを生成し、前記原始データおよび前記一般化されたデータで構成される一般化階層モデルを設定し、前記一般化階層モデルによって指示される階層構造に基づいて、個人情報の種類別一般化レベルを指示するテーブルを指示する複数の候補ノードを含む原始ラティスを生成し、そして前記原始ラティスに含まれた前記複数の候補ノードのうちあらかじめ設定された基準を満足する少なくとも一つの候補ノードを含む最終ラティスを設定するように実行可能である。
ここで、前記少なくとも一つの命令は、前記原始テーブルに含まれたレコードのそれぞれの属性を設定するようにさらに実行可能であり得る。
ここで、前記属性はID、QI、SAおよびIAに分類され得、特定個人が明示的に識別される個人情報を指示する原始データが記録されたレコードはIDで設定され得、特定個人が暗黙的に識別される個人情報を指示する原始データが記録されたレコードはQIで設定され得、あらかじめ設定された基準以上の敏感度を有する個人情報を指示する原始データが記録されたレコードはSAで設定され得、SAより低い敏感度を有する個人情報を指示する原始データが記録されたレコードはIAで設定され得る。
ここで、前記少なくとも一つの命令は、前記原始テーブルに含まれたレコードのうち前記属性がIDで設定されたレコードをマスキング処理するようにさらに実行可能であり得る。
ここで、前記少なくとも一つの命令は、前記原始テーブルに含まれたレコードのうち前記属性がQIで設定されたレコードに記録された原始データによって指示される個人情報の種類によって前記一般化レベルを設定するようにさらに実行可能であり得る。
ここで、前記テーブルに含まれたレコードのうち前記属性がQIで設定されたレコードに記録された原始データは、一般化レベルに基づいて一般化され得る。
ここで、前記少なくとも一つの命令は前記最終ラティスを設定する場合、前記原始ラティスに含まれた複数の候補ノードのうち少なくとも一つの候補ノードを選択し、前記少なくとも一つの候補ノードによって指示される一般化レベルに基づいて前記原始テーブルに対する非識別化を遂行することによって非識別化されたテーブルを生成し、あらかじめ設定された抑制基準を満足する非識別化されたテーブルに対応する候補ノードを最終ノードに設定し、そして前記あらかじめ設定された基準を満足する候補ノードに対応する前記最終ノードを含む前記最終ラティスを設定するように実行可能であり得る。
ここで、前記非識別化されたテーブルはK−匿名性に基づいて生成されるか、前記K−匿名性およびL−多様性に基づいて生成されるか、または前記K−匿名性およびT−近接性に基づいて生成され得る。
ここで、前記あらかじめ設定された抑制基準は、前記非識別化されたテーブルを構成する同等クラスのうち前記あらかじめ設定されたK−匿名性を満足しない同等クラスの比率を指示することができる。
ここで、前記少なくとも一つの命令は、前記最終ラティスに含まれた少なくとも一つの最終ノードに対応する非識別化されたテーブルの再識別化危険性および有用性を計算するようにさらに実行可能であり得る。
前記目的を達成するための本発明の他の実施例に係る個人情報非識別化装置で遂行される個人情報非識別化方法は、原始テーブルに含まれたレコードのそれぞれに記録された原始データが指示する個人情報の種類別一般化レベルに基づいて、個人情報の種類別一般化レベルを指示する少なくとも一つのノードで構成される複数の階層を含む原始ラティスを生成する段階、前記複数の階層のうち階層−nに属する任意のノードを選択ノード−1に設定し、階層−mに属する任意のノードを選択ノード−2に設定する段階、前記選択ノード−1および前記選択ノード−2のそれぞれに対応する非識別化されたテーブルの抑制値比率とあらかじめ設定された抑制臨界値の比較結果に基づいて、前記原始ラティスに属する任意のノードのそれぞれを交差ノードおよび変移ノードと設定する段階、および前記選択ノード−1、前記選択ノード−2、前記交差ノードおよび前記変移ノードのうち前記あらかじめ設定された抑制臨界値以下の抑制値比率を有する非識別化されたテーブルに対応するノードで構成される最終ラティスを設定する段階を含み、前記nおよびmのそれぞれは自然数であり、前記非識別化されたテーブルはノードが指示する一般化レベルに対応するデータに基づいて前記原始テーブルが非識別化された結果であり、前記抑制値の比率は前記非識別化されたテーブルを構成する同等クラスのうちあらかじめ設定されたK−匿名性を満足しない同等クラスの比率である。
ここで、前記原始ラティス内で前記選択ノード−1は前記選択ノード−2と連結され得る。
ここで、前記階層−nは前記原始ラティスの複数の階層のうち最下位階層から2/3地点に位置する階層であり得、前記階層−mは前記原始ラティスの複数の階層のうち最下位階層から1/3地点に位置する階層であり得る。
ここで、前記選択ノード−1および前記選択ノード−2のそれぞれに対応する非識別化されたテーブルの抑制値比率が前記あらかじめ設定された抑制臨界値以下である場合、前記交差ノードは前記複数の階層のうち前記階層−mと最下位階層の間の1/2地点に位置する階層に属する任意のノードで設定され得、前記変移ノードは前記複数の階層のうち前記階層−mに属するノードのうち前記選択ノード−2を除いた任意のノードで設定され得る。
ここで、前記選択ノード−1に対応する非識別化されたテーブルの抑制値比率が前記あらかじめ設定された抑制臨界値以下であり、前記選択ノード−2に対応する非識別化されたテーブルの抑制値比率が前記あらかじめ設定された抑制臨界値を超過する場合、前記交差ノードは前記複数の階層のうち前記階層−nと前記階層−mの間の1/2地点に位置する階層に属する任意のノードで設定され得、前記変移ノードは前記複数の階層のうち前記階層−nに属するノードのうち前記選択ノード−1を除いた任意のノードで設定され得る。
ここで、前記選択ノード−1および前記選択ノード−2のそれぞれに対応する非識別化されたテーブルの抑制値比率が前記あらかじめ設定された抑制臨界値を超過する場合、前記交差ノードは前記複数の階層のうち前記階層−nと最上位階層の間の1/2地点に位置する階層に属する任意のノードで設定され得、前記変移ノードは前記複数の階層のうち前記階層−nに属するノードのうち前記選択ノード−1を除いた任意のノードで設定され得る。
ここで、前記最終ラティスを構成するノードの個数は前記複数の階層のうち最も多いノードを含む階層に属したノード個数のx倍以上であり得、前記xは0を超過する実数であり得る。
前記目的を達成するための本発明の他の実施例に係る個人情報非識別化装置は、プロセッサおよび前記プロセッサを通じて実行される少なくとも一つの命令が保存されたメモリを含み、前記少なくとも一つの命令は原始テーブルに含まれたレコードのそれぞれに記録された原始データが指示する個人情報の種類別一般化レベルに基づいて、個人情報の種類別一般化レベルを指示する少なくとも一つのノードで構成される複数の階層を含む原始ラティスを生成する段階、前記複数の階層のうち階層−nに属する任意のノードを選択ノード−1に設定し、階層−mに属する任意のノードを選択ノード−2に設定し、前記選択ノード−1および前記選択ノード−2のそれぞれに対応する非識別化されたテーブルの抑制値比率とあらかじめ設定された抑制臨界値の比較結果に基づいて、前記原始ラティスに属する任意のノードのそれぞれを交差ノードおよび変移ノードと設定し、そして前記選択ノード−1、前記選択ノード−2、前記交差ノードおよび前記変移ノードのうち前記あらかじめ設定された抑制臨界値以下の抑制値比率を有する非識別化されたテーブルに対応するノードで構成される最終ラティスを設定するように実行可能であり、前記nおよびmのそれぞれは自然数であり、前記非識別化されたテーブルはノードが指示する一般化レベルに対応するデータに基づいて前記原始テーブルが非識別化された結果であり、前記抑制値の比率は前記原始テーブルのレコードに記録された原始データのうち前記非識別化されたテーブルを生成するために抑制値に設定される比率を指示する。
ここで、前記原始ラティス内で前記選択ノード−1は前記選択ノード−2と連結され得る。
ここで、前記階層−nは前記原始ラティスの複数の階層のうち最下位階層から2/3地点に位置する階層であり得、前記階層−mは前記原始ラティスの複数の階層のうち最下位階層から1/3地点に位置する階層であり得る。
ここで、前記選択ノード−1および前記選択ノード−2のそれぞれに対応する非識別化されたテーブルの抑制値比率が前記あらかじめ設定された抑制臨界値以下である場合、前記交差ノードは前記複数の階層のうち前記階層−mと最下位階層の間の1/2地点に位置する階層に属する任意のノードで設定され得、前記変移ノードは前記複数の階層のうち前記階層−mに属するノードのうち前記選択ノード−2を除いた任意のノードで設定され得る。
ここで、前記選択ノード−1に対応する非識別化されたテーブルの抑制値比率が前記あらかじめ設定された抑制臨界値以下であり、前記選択ノード−2に対応する非識別化されたテーブルの抑制値比率が前記あらかじめ設定された抑制臨界値を超過する場合、前記交差ノードは前記複数の階層のうち前記階層−nと前記階層−mの間の1/2地点に位置する階層に属する任意のノードで設定され得、前記変移ノードは前記複数の階層のうち前記階層−nに属するノードのうち前記選択ノード−1を除いた任意のノードで設定され得る。
ここで、前記選択ノード−1および前記選択ノード−2のそれぞれに対応する非識別化されたテーブルの抑制値比率が前記あらかじめ設定された抑制臨界値を超過する場合、前記交差ノードは前記複数の階層のうち前記階層−nと最上位階層の間の1/2地点に位置する階層に属する任意のノードで設定され得、前記変移ノードは前記複数の階層のうち前記階層−nに属するノードのうち前記選択ノード−1を除いた任意のノードで設定され得る。
ここで、前記最終ラティスを構成するノードの個数は前記複数の階層のうち最も多いノードを含む階層に属したノード個数のx倍以上であり得、前記xは0を超過する実数であり得る。
前記他の目的を達成するための本発明の一実施例に係る個人情報非識別化装置で遂行される個人情報を含むテーブルのレコードに対する属性設定方法は、前記個人情報の検索および前記レコードの属性設定のために使用される正規表現式を設定する段階、前記テーブルの検索対象範囲を設定する段階、前記正規表現式に基づいて前記テーブルのうち前記検索対象範囲によって指示される領域内で前記個人情報を検索する段階、および前記正規表現式に基づいて前記個人情報が記録された前記レコードの属性を設定する段階を含む。
ここで、前記検索対象範囲は前記テーブルを構成するレコードの個数を指示することができる。
ここで、前記テーブルは非−個人情報をさらに含むことができ、前記正規表現式は前記非−個人情報の検索および前記非−個人情報が記録された前記レコードの属性設定のために使用され得る。
ここで、前記レコードの属性はID、QI、SAおよびIAに分類され得る。
ここで、前記レコードの属性を設定する段階で特定個人を明示的に識別する個人情報が記録されたレコードの属性はIDで設定され得、特定個人を暗黙的に識別する個人情報が記録されたレコードの属性はQIで設定され得、あらかじめ設定された基準以上の敏感度を有する個人情報が記録されたレコードの属性はSAで設定され得、SAより低い敏感度を有する個人情報が記録されたレコードの属性はIAで設定され得る。
ここで、前記レコードに対する属性設定方法は、ID属性を有するレコードに記録された個人情報に対するマスキング処理の有無を設定する段階をさらに含むことができる。
前記他の目的を達成するための本発明の他の実施例に係る個人情報非識別化装置は、プロセッサおよび前記プロセッサによって実行される少なくとも一つの命令が保存されたメモリを含み、前記少なくとも一つの命令は個人情報の検索および前記個人情報を含むテーブルのレコードに対する属性設定のために使用される正規表現式を設定し、前記テーブルの検索対象範囲を設定し、前記正規表現式に基づいて前記テーブルのうち前記検索対象範囲によって指示される領域内で前記個人情報を検索し、そして前記正規表現式に基づいて前記個人情報が記録された前記レコードの属性を設定するように実行される。
ここで、前記検索対象範囲は前記テーブルを構成するレコードの個数を指示することができる。
ここで、前記テーブルは非−個人情報をさらに含むことができ、前記正規表現式は前記非−個人情報の検索および前記非−個人情報が記録された前記レコードの属性設定のために使用され得る。
ここで、前記レコードの属性はID、QI、SAおよびIAに分類され得る。
ここで、前記レコードの属性を設定する場合に前記少なくとも一つの命令は特定個人を明示的に識別する個人情報が記録されたレコードの属性をIDで設定するように実行され得、特定個人を暗黙的に識別する個人情報が記録されたレコードの属性をQIで設定するように実行され得、あらかじめ設定された基準以上の敏感度を有する個人情報が記録されたレコードの属性をSAで設定するように実行され得、SAより低い敏感度を有する個人情報が記録されたレコードの属性をIAで設定するように実行され得る。
ここで、前記少なくとも一つの命令は、ID属性を有するレコードに記録された個人情報に対するマスキング処理の有無を設定するようにさらに実行され得る。
本発明によると、あらかじめ設定された基準を満足する一般化レベルに対応する個人情報に対する非識別化が遂行されるため、非識別化手続きが迅速に遂行され得る。また、非識別化された個人情報の使用性が向上し得、非識別化された個人情報の再識別化危険性が減少(または個人情報の再識別化危険性が除去)し得る。
また、顧客のデータ類型、使用目的などを考慮して個人情報の非識別化が遂行され得、これに伴い、非識別化された個人情報の使用性がより向上し得る。個人情報の非識別化のために遺伝アルゴリズムが使用されることによって個人情報の非識別化が迅速に遂行され得る。
また、個人情報を含むテーブルのレコードに対する属性が効率的に(または速かに)設定され得る。したがって、個人情報の非識別化がより迅速に遂行され得る。
本発明に係る方法を遂行する個人情報非識別化装置の一実施例を図示したブロック図。 個人情報非識別化方法についての一実施例を図示したフローチャート。 レコードの属性設定方法についての一実施例を図示したフローチャート。 テーブルの一実施例を図示した概念図。 GHモデルを設定する方法についての一実施例を図示したフローチャート。 郵便番号レコードについてのGHモデルの一実施例を図示した概念図。 年齢レコードについてのGHモデルの一実施例を図示した概念図。 国籍レコードについてのGHモデルの一実施例を図示した概念図。 性別レコードについてのGHモデルの一実施例を図示した概念図。 非識別化されたテーブルの一実施例を図示した概念図。 非識別化されたテーブルの他の実施例を図示した概念図。 原始ラティスの一実施例を図示した概念図。 最終ラティスの設定方法を図示したフローチャート。 マスキング処理されたレコードを含むテーブルの一実施例を図示した概念図。
前記目的を達成するための本発明の一実施例に係る個人情報非識別化装置で遂行される個人情報非識別化方法は、データベースから個人情報を指示する原始データが記録されたレコードを含む原始テーブルを獲得する段階、一般化レベルに基づいて前記原始テーブルに含まれたレコードのそれぞれに記録された原始データを一般化することによって一般化されたデータを生成する段階、前記原始データおよび前記一般化されたデータで構成される一般化階層モデルを設定する段階、前記一般化階層モデルによって指示される階層構造に基づいて、個人情報の種類別一般化レベルを指示するテーブルを指示する複数の候補ノードを含む原始ラティスを生成する段階、および前記原始ラティスに含まれた前記複数の候補ノードのうちあらかじめ設定された基準を満足する少なくとも一つの候補ノードを含む最終ラティスを設定する段階を含む。
本発明は多様な変更を加えることができ、多様な実施例を有することができるところ、特定の実施例を図面に例示して詳細に説明する。しかし、これは本発明を特定の実施形態に対して限定しようとするものではなく、本発明の思想および技術範囲に含まれるすべての変更、均等物乃至代替物を含むものと理解されるべきである。
第1、第2等の用語は多様な構成要素の説明に使用され得るが、前記構成要素は前記用語によって限定されてはならない。前記用語は一つの構成要素を他の構成要素から区別する目的でのみ使用される。例えば、本発明の権利範囲を逸脱することなく第1構成要素は第2構成要素と命名され得、同様に第2構成要素も第1構成要素と命名され得る。および/またはという用語は複数の関連した記載された項目の組み合わせまたは複数の関連した記載された項目のうちいずれかの項目を含む。
ある構成要素が他の構成要素に「連結されて」いるとか「接続されて」いると言及された時には、その他の構成要素に直接的に連結されていたりまたは接続されていてもよいが、中間に他の構成要素が存在してもよいと理解されるべきである。反面、ある構成要素が他の構成要素に「直接連結されて」いるとか「直接接続されて」いると言及された時には、中間に他の構成要素が存在しないものと理解されるべきである。
本出願で使用した用語は単に特定の実施例を説明するために使用されたものであって、本発明を限定しようとする意図ではない。単数の表現は文脈上明白に異なることを意味しない限り、複数の表現を含む。本出願で、「含む」または「有する」等の用語は明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定しようとするものであって、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものなどの存在または付加の可能性をあらかじめ排除しないものと理解されるべきである。
異なって定義されない限り、技術的または科学的な用語を含んでここで使用されるすべての用語は、本発明が属する技術分野で通常の知識を有する者によって一般的に理解されるものと同じ意味を有している。一般的に使用される辞書に定義されているような用語は、関連技術の文脈上有する意味と一致する意味を有するものと解釈されるべきであり、本出願で明白に定義しない限り、理想的または過度に形式的な意味と解釈されない。
以下、添付した図面を参照して、本発明の好ましい実施例をより詳細に説明する。本発明の説明において全体的な理解を容易にするために、図面上の同じ構成要素については同じ参照符号を付し、同じ構成要素についての重複する説明は省略する。
図1は、本発明に係る方法を遂行する個人情報非識別化装置の一実施例を図示したブロック図である。
図1を参照すると、個人情報非識別化装置100は、少なくとも一つのプロセッサ110およびメモリ120を含むことができる。また、個人情報非識別化装置100は、ネットワークと連結されて通信を遂行するネットワークインタフェース装置130、入力インタフェース装置140、出力インタフェース装置150、保存装置160等をさらに含むことができる。個人情報非識別化装置100に含まれたそれぞれの構成要素は、バス(bus)170により連結されて通信を遂行することができる。個人情報非識別化装置100は簡略に「非識別化装置100」と呼ばれ得る。
プロセッサ110はメモリ120および/または保存装置160に保存されたプログラム命令(program command)を実行することができる。プロセッサ110は、中央処理装置(central processing unit;CPU)、グラフィック処理装置(graphics processing unit;GPU)または本発明に係る方法が実行される専用のプロセッサを意味し得る。メモリ120と保存装置160は揮発性保存媒体および/または不揮発性保存媒体で構成され得る。例えば、メモリ120は、読み取り専用メモリ(read only memory;ROM)および/またはランダムアクセスメモリ(random access memory;RAM)で構成され得る。
ここで、非識別化装置100は、デスクトップコンピュータ(desktop computer)、ラップトップコンピュータ(laptop computer)、タブレット(tablet)PC、無線電話機(wireless phone)、モバイルフォン(mobile phone)、スマートフォン(smart phone)等であり得る。
一方、非識別化装置100で遂行される方法(例えば、信号の伝送または受信)が説明される場合にも、これに対応する他の装置は非識別化装置100で遂行される方法と相応する方法(例えば、信号の受信または伝送)を遂行することができる。すなわち、非識別化装置100の動作が説明された場合に、これに対応する他の装置は非識別化装置100の動作と相応する動作を遂行することができる。その反対に、他の装置の動作が説明された場合に、これに対応する非識別化装置100は他の装置の動作と相応する動作を遂行することができる。
図2は、個人情報非識別化方法についての一実施例を図示したフローチャートである。
図2を参照すると、個人情報非識別化方法は、図1を参照して説明された非識別化装置100(例えば、非識別化装置100に含まれたプロセッサ110)により遂行され得る。非識別化装置100は、データベース(database)(またはCSV(comma−separated values)ファイルなど)から複数のレコード(record)で構成されるテーブル(table)を獲得することができる(S200)。複数のレコードのそれぞれに個人情報を指示する原始データが記録され得る。また、複数のレコードのそれぞれに個人情報以外の情報(以下、「非−個人情報」という)を指示する原始データが記録され得る。データベースは非識別化装置100内に位置することができ、または他の装置(例えば、サーバー)内に位置することができる。
テーブルを獲得するために、非識別化装置100はデータベースへの接続のために使用される接続情報(例えば、IP(internet protocol)住所、ポート(port)番号、ID(identifier)、SID(system ID)、パスワードなど)を生成することができる。または接続情報は非識別化装置100の入力インタフェース装置140を通じて使用者から獲得され得る。非識別化装置100は生成された接続情報に基づいてデータベースへの接続が承認された場合、データベースから複数のレコードで構成されるテーブルを獲得することができる。
非識別化装置100はテーブルに含まれた複数のレコードのそれぞれの属性を設定することができる(S210)。レコードに対する属性は次の通り設定され得る。
図3は、レコードの属性設定方法についての一実施例を図示したフローチャートである。
図3を参照すると、非識別化装置100は正規表現式(regular expression)を設定することができる(S211)。正規表現式はテーブルのレコードに記録された個人情報、非−個人情報などを検索するために使用され得る。したがって、非識別化装置100は正規表現式によって検索される個人情報の種類を設定することができる。個人情報の種類として、住民番号(またはパスポート番号、SSN(social security number))、名前、住所、郵便番号、年齢、国籍、性別、病気などが存在し得る。また、非識別化装置100は正規表現式によって検索される非−個人情報の種類を設定することができる。非−個人情報の種類として患者番号などが存在し得る。個人情報および非−個人情報の種類情報は非識別化装置100の入力インタフェース装置140を通じて使用者から獲得され得る。
また、正規表現式は検索された個人情報、非−個人情報などが記録されたレコードの属性を設定するために使用され得る。レコードの属性は、ID、QI(quasi−identifier)、SA(sensitive attribute)、IA(insensitive attribute)(またはNSA(non−SA))等に分類され得る。IDは特定個人が明示的(explicit)に識別される個人情報を指示することができる。特定個人はIDで設定された一つの個人情報だけで識別され得る。例えば、非識別化装置100は、住民番号、名前、住所などが記録されたレコードの属性がIDで設定されるように、正規表現式を設定することができる。QIは特定個人が暗黙的(non−explicit)に識別される個人情報を指示することができる。特定個人はQIで設定された一つの個人情報だけでは識別することができず、QIで設定された一つの個人情報と他の個人情報の組み合わせで識別され得る。例えば、非識別化装置100は、郵便番号、年齢、国籍、性別などが記録されたレコードの属性がQIで設定されるように、正規表現式を設定することができる。
SAは保護が要求される敏感な個人情報(例えば、あらかじめ設定された基準以上の敏感度を有する個人情報)を指示することができる。SAで設定された個人情報が公開される場合、特定個人の身上に問題が発生し得る。例えば、非識別化装置100は病気などが記録されたレコードの属性がSAで設定されるように、正規表現式を設定することができる。IAは敏感でない個人情報を指示することができる。またはIAはSAより低い敏感度を有する個人情報を指示することができる。IAで設定された個人情報が公開される場合、特定個人の身上に問題は発生しない。例えば、非識別化装置100は、郵便番号、年齢、国籍、性別などが記録されたレコードの属性がIAで設定されるように、正規表現式を設定することができる。
非識別化装置100はテーブルの検索対象範囲を設定することができる(S212)。検索対象範囲はテーブルの一部領域を指示することができ、検索対象範囲によって指示される領域に段階S211で設定された正規表現式が適用され得る。すなわち、検索対象範囲内の原始データのみを使用することによって、テーブル内のすべての原始データが指示する個人情報の種類(または非−個人情報の種類)が把握され得、原始データが記録されたレコードの属性が決定され得る。検索対象範囲はレコードの個数(例えば、テーブルのうちロー(row)の個数)を指示することができる。例えば、検索対象範囲は100個、1000個などで設定され得る。ここで、段階S212は必要に応じて省略され得る。検索対象範囲情報は非識別化装置100の入力インタフェース装置140を通じて使用者から獲得され得る。
非識別化装置100はID属性を有するレコードの処理方式を設定することができる(S213)。例えば、ID属性を有するレコードの処理方式は次の通り分類され得る。最初の処理方式として、非識別化装置100はID属性を有するレコードをテーブルから除外することができる。したがって、テーブルはID属性を有するレコードを含まないことがある。第2の処理方式として、非識別化装置100はID属性を有するレコードに記録された原始データに対するマスキング(masking)処理ができる。したがって、テーブルはID属性を有するレコードなどを含むことができ、ID属性を有するレコードにマスキング処理されたデータが記録され得る。第3の処理方式として、非識別化装置100はID属性を有するレコードに記録された原始データをそのまま使用することができる。
非識別化装置100はテーブルのうち検索対象範囲によって指示される領域に正規表現式を適用することができる(S214)。例えば、非識別化装置100は正規表現式に基づいて検索対象範囲内で個人情報に該当する原始データを検索することができ、検索された原始データに対応する個人情報の種類を確認することができる。非識別化装置100は確認された個人情報の種類に基づいてレコードの属性を設定することができる。
具体的には、非識別化装置100はテーブルに含まれた住民番号レコード(すなわち、住民番号を指示する原始データが記録されたレコード)、名前レコード(すなわち、名前を指示する原始データが記録されたレコード)および住所レコード(すなわち、住所を指示する原始データが記録されたレコード)の属性をIDで設定することができる。ID属性を有するレコードは「IDレコード」と呼ばれ得、したがって、IDレコードは住民番号レコード、名前レコードおよび住所レコードを含むことができる。非識別化装置100はテーブルに含まれた郵便番号レコード(すなわち、郵便番号を指示する原始データが記録されたレコード)、年齢レコード(すなわち、年齢を指示する原始データが記録されたレコード)、国籍レコード(すなわち、国籍を指示する原始データが記録されたレコード)および性別レコード(すなわち、性別を指示する原始データが記録されたレコード)の属性をQIで設定することができる。QI属性を有するレコードは「QIレコード」と呼ばれ得、したがって、QIレコードは郵便番号レコード、年齢レコード、国籍レコードおよび性別レコードを含むことができる。
非識別化装置100はテーブルに含まれた病気レコード(すなわち、病気を指示する原始データが記録されたレコード)の属性をSAで設定することができる。SA属性を有するレコードは「SAレコード」と呼ばれ得、したがって、SAレコードは病気レコードを含むことができる。非識別化装置100はテーブルに含まれた郵便番号レコード、年齢レコード、国籍レコードおよび性別レコードの属性をIAで設定することができる。IA属性を有するレコードは「IAレコード」と呼ばれ得、したがって、IAレコードは郵便番号レコード、年齢レコード、国籍レコードおよび性別レコードを含むことができる。ここで、テーブルに含まれた郵便番号レコード、年齢レコード、国籍レコードおよび性別レコードの属性は、QIおよびIAで設定され得る。前述した方法によって処理されたテーブルは次の通りである。
図4は、テーブルの一実施例を図示した概念図である。
図4を参照すると、テーブル400は複数のレコードを含むことができる。複数のレコードのそれぞれに記録された原始データは、個人情報である住民番号(またはパスポート番号、SSN)、名前、住所、郵便番号、年齢、国籍、性別、病気などを指示することができる。テーブル400を構成する住民番号レコード、名前レコードおよび住所レコードはIDレコードで設定され得る。テーブル400を構成する郵便番号レコード、年齢レコード、国籍レコードおよび性別レコードはQIレコードで設定され得る。テーブル400を構成する病気レコードはSAレコードで設定され得る。テーブル400を構成する郵便番号レコード、年齢レコード、国籍レコードおよび性別レコードはIAレコードで設定され得る。
再び図3を参照すると、非識別化装置100は段階S213で設定された処理方式に基づいてID属性を有するレコードを処理することができる。非識別化装置100は属性設定が完了した複数のレコードを含むテーブルを、出力インターフェース装置150を通じてディスプレイすることができる(S215)。ここで、テーブルに含まれた複数のレコードのそれぞれは原始データ(すなわち、個人情報)で設定された属性を共に指示することができる。非識別化装置100は使用者から設定された属性に対する修正要請を指示するメッセージを受信することができ、受信されたメッセージに基づいて該当レコードの属性を修正することができる。その後、非識別化装置100は属性修正が完了した複数のレコードを含むテーブルを出力インターフェース装置150を通じてディスプレイすることができる。非識別化装置100は使用者から属性に対する確認完了を指示するメッセージを受信することができ、この場合に次の段階を遂行することができる。ここで、属性に対する修正要請を指示するメッセージおよび属性に対する確認完了を指示するメッセージは、非識別化装置100の入力インタフェース装置140を通じて受信され得る。
再び図2を参照すると、非識別化装置100はテーブルに含まれたQIレコードに対する一般化階層(generalization hierarchy;GH)モデル(model)を設定することができる(S220)。GHモデルの設定方法は次の通りである。
図5は、GHモデルを設定する方法についての一実施例を図示したフローチャートである。
図5を参照すると、非識別化装置100は、QIレコードに記録された原始データに対する一般化レベルを設定することができる(S221)。非識別化装置100はQIレコードの種類(すなわち、郵便番号レコード、年齢レコード、国籍レコード、性別レコード)により一般化レベルを設定することができる。例えば、非識別化装置100は、郵便番号レコードに対する一般化レベルの範囲を一般化レベル−0から一般化レベル−2までに設定することができ、年齢レコードに対する一般化レベルの範囲を一般化レベル−0から一般化レベル−3までに設定することができ、国籍レコードに対する一般化レベルの範囲を一般化レベル−0から一般化レベル−2までに設定することができ、性別レコードに対する一般化レベルの範囲を一般化レベル−0から一般化レベル−1までに設定することができる。
原始データに対する一般化範囲は一般化レベルごとに同じであり得る。例えば、一般化レベル−1である場合に一般化範囲は1の単位であり得、これに伴い、年齢を指示する「28」、「29」、「21」および「23」は「2*」に一般化され得る。一般化レベル−2である場合に一般化範囲は十の単位であり得、これに伴い、郵便番号を指示する「13053」および「13068」は「130**」に一般化され得る。
非識別化装置100はQIレコードに記録された原始データを一般化レベル−0に設定することができる(S222)。その後、非識別化装置100は一般化レベルの範囲に基づいて一般化が遂行されるデータの範囲を設定することができ、一般化が遂行されるデータの範囲に基づいて原始データを一般化することができ、一般化されたデータを該当一般化レベル(例えば、一般化レベル−1、一般化レベル−2、一般化レベル−3等)に設定することができる(S223)。一般化が遂行されたデータの範囲は一般化レベル−0で最も小さく、一般化レベルが高くなるほど増加し得る。
非識別化装置100は、低い一般化レベルに対応するデータと高い一般化レベルに対応するデータを順次連結することによって、GHモデルを生成することができる(S224)。GHモデルにおいて、最下位階層に一般化レベル−0と対応する原始データが位置することができ、一般化レベル−0より上位階層に一般化レベル−1と対応する一般化されたデータが位置することができ、一般化レベル−1より上位階層に一般化レベル−2と対応する一般化されたデータが位置することができ、一般化レベル−2より上位階層に一般化レベル−3と対応する一般化されたデータが位置することができる。GHモデルのうち最上位階層ですべてのデータは一つのデータに一般化され得る。GHモデルの実施例は次の通りである。
図6は、郵便番号レコードについてのGHモデルの一実施例を図示した概念図である。
図6を参照すると、郵便番号レコードに対するGHモデルは、一般化レベル−0〜一般化レベル−2で構成され得る。郵便番号レコードに記録された原始データである「13053」、「13068」、「14850」および「14853」は、一般化レベル−0に設定され得る。郵便番号レコードに記録された原始データのうち「13053」および「13068」は「130**」に一般化され得、一般化されたデータである「130**」は一般化レベル−1に設定され得る。郵便番号レコードに記録された原始データのうち「14850」および「14853」は「148**」に一般化され得、一般化されたデータである「148**」は一般化レベル−1に設定され得る。一般化レベル−1に対応する「130**」および「148**」は「*****」(または「1****」)に一般化され得、一般化されたデータである「*****」(または「1****」)は一般化レベル−2に設定され得る。郵便番号レコードに対するGHモデルは前述した内容に限定されず、多様に設定され得る。
図7は、年齢レコードについてのGHモデルの一実施例を図示した概念図である。
図7を参照すると、年齢レコードに対するGHモデルは一般化レベル−0〜一般化レベル−3で構成され得る。年齢レコードに記録された原始データである「28」、「29」、「21」、「23」、「31」、「37」、「36」、「35」、「47」、「49」、「50」および「55」は一般化レベル−0に設定され得る。年齢レコードに記録された原始データのうち「28」、「29」、「21」および「23」は「2*」に一般化され得、一般化されたデータである「2*」は一般化レベル−1に設定され得る。年齢レコードに記録された原始データのうち「31」、「37」、「36」および「35」は「3*」に一般化され得、一般化されたデータである「3*」は一般化レベル−1に設定され得る。年齢レコードに記録された原始データのうち「47」および「49」は「4*」に一般化され得、一般化されたデータである「4*」は一般化レベル−1に設定され得る。年齢レコードに記録された原始データのうち「50」および「55」は「5*」に一般化され得、一般化されたデータである「5*」は一般化レベル−1に設定され得る。
一般化レベル−1に対応する「2*」および「3*」は「<40」に一般化され得、一般化されたデータである「<40」は一般化レベル−2に設定され得る。一般化レベル−1に対応する「4*」および「5*」は「≧40」に一般化され得、一般化されたデータである「≧40」は一般化レベル−2に設定され得る。一般化レベル−2に対応する「<40」および「≧40」は「**」に一般化され得、一般化されたデータである「**」は一般化レベル−3に設定され得る。年齢レコードに対するGHモデルは前述した内容に限定されず、多様に設定され得る。
図8は、国籍レコードについてのGHモデルの一実施例を図示した概念図である。
図8を参照すると、国籍レコードに対するGHモデルは一般化レベル−0〜一般化レベル−2で構成され得る。国籍レコードに記録された原始データである「韓国」、「日本」、「英国」および「ドイツ」は一般化レベル−0に設定され得る。国籍レコードに記録された原始データのうち「韓国」および「日本」は「アジア」に一般化され得、一般化されたデータである「アジア」は一般化レベル−1に設定され得る。国籍レコードに記録された原始データのうち「英国」および「ドイツ」は「ヨーロッパ」に一般化され得、一般化されたデータである「ヨーロッパ」は一般化レベル−1に設定され得る。一般化レベル−1に対応する「アジア」および「ヨーロッパ」は「全世界」(または「**」)に一般化され得、一般化されたデータである「全世界」(または「**」)は一般化レベル−2に設定され得る。国籍レコードに対するGHモデルは前述した内容に限定されず、多様に設定され得る。
図9は、性別レコードについてのGHモデルの一実施例を図示した概念図である。
図9を参照すると、性別レコードに対するGHモデルは一般化レベル−0および一般化レベル−1で構成され得る。性別レコードに記録された原始データである「男」および「女」は一般化レベル−0に設定され得る。一般化レベル−0に対応する「男」および「女」は「人」(または「*」)に一般化され得、一般化されたデータである「人」(または「*」)は一般化レベル−1に設定され得る。性別レコードに対するGHモデルは前述した内容に限定されず、多様に設定され得る。
再び図2を参照すると、非識別化装置100はテーブルの非識別化のために使用されるパラメーター(parameter)(以下、「非識別化パラメーター」という)を設定することができる(S230)。非識別化パラメーターはK−匿名性(anonymity)、L−多様性(diversity)、T−近接性(closeness)等を含むことができる。テーブルの非識別化のために、K−匿名性、「K−匿名性+L−多様性」または「K−匿名性+T−近接性」が使用され得る。したがって、非識別化装置100はK−匿名性を基本的に設定することができ、追加にL−多様性またはT−近接性を設定することができる。
具体的には、非識別化装置100はK−匿名性のK値を設定することができる。または非識別化装置100は入力インタフェース装置140を通じて使用者からK−匿名性のK値を獲得することができ、獲得されたK−匿名性のK値を使用することができる。K−匿名性のK値は同等クラスを構成するロー個数を指示することができる。
ここで、テーブルは少なくとも一つの同等クラス(equivalence class)を含むことができ、一つの同等クラス内でIDレコードは同じデータ(例えば、原始データ、一般化されたデータ)を指示することができる。すなわち、同じデータが記録されたIDレコードと該当IDレコードと関連する他のレコード(例えば、QIレコード、SAレコード、IAレコードなど)は一つの同等クラスを構成することができる。テーブルはK−匿名性に基づいて非識別化され得、K−匿名性のK値が4である場合(すなわち、4−匿名性の場合)に非識別化されたテーブルは次の通りである。
図10は、非識別化されたテーブルの一実施例を図示した概念図である。
図10を参照すると、同等クラスのそれぞれは郵便番号レコード、年齢レコード、国籍レコード、性別レコードおよび病気レコードを含むことができる。ここで、図10に図示された非識別化されたテーブル400は、図4に図示されたテーブル400のうち、住民番号レコード、名前レコードおよび住所レコードが除外されたものであり得る。同等クラスのそれぞれで郵便番号レコードは同じデータを指示することができ、年齢レコードは同じデータを指示することができる。
例えば、同等クラス−1で郵便番号レコードは「130**」を指示することができ、年齢レコードは「<30」を指示することができる。同等クラス−2で郵便番号レコードは「1485*」を指示することができ、年齢レコードは「≧40」を指示することができる。同等クラス−3で郵便番号レコードは「130**」を指示することができ、年齢レコードは「3*」を指示することができる。
再び図2を参照すると、非識別化装置100はL−多様性のL値を設定することができる。または非識別化装置100は入力インタフェース装置140を通じて使用者からL−多様性のL値を獲得することができ、獲得されたL−多様性のL値を使用することができる。L−多様性のL値は、テーブル内の同等クラスのそれぞれに属するSAレコードに記録されたデータのうち互いに異なるデータの個数であり得る。図11に図示された非識別化されたテーブル400内の同等クラス−1でL−多様性のL値は2(すなわち、病気レコードに指示される互いに異なる病気の個数)であって、同等クラス−2でL−多様性のL値は3であり得、同等クラス−3でL−多様性のL値は1であり得る。テーブルはK−匿名性およびL−多様性に基づいて非識別化され得、K−匿名性のK値が4であり、L−多様性のL値が3である場合(すなわち、4−匿名性および3−多様性の場合)に非識別化されたテーブルは次の通りである。
図11は非識別化されたテーブルの他の実施例を図示した概念図である。
図11を参照すると、非識別化されたテーブル400の同等クラス−1で病気レコードは3個の互いに異なる病気(すなわち、胃炎、気管支炎、肺炎)を指示することができ、同等クラス−2で病気レコードは3個の互いに異なる病気(すなわち、肺炎、胃炎、気管支炎)を指示することができ、同等クラス−3で病気レコードは3個の互いに異なる病気(すなわち、胃炎、気管支炎、肺炎)を指示することができる。
再び図2を参照すると、非識別化装置100はT−近接性のT値を設定することができる。または非識別化装置100は入力インタフェース装置140を通じて使用者からT−近接性のT値を獲得することができ、獲得されたT−近接性のT値を使用することができる。テーブルはK−匿名性、L−多様性およびT−近接性(またはK−匿名性およびT−近接性)に基づいて非識別化され得る。T−近接性のT値は、テーブル内の同等クラスのそれぞれに属するSAレコードによって指示されるデータの間の距離であり得る。例えば、テーブルが年俸レコードを含む場合、テーブルの同等クラスのそれぞれで年俸レコードによって指示される年俸の間の距離(すなわち、差)がT−近接性のT値以内になるようにテーブルが非識別化され得る。
非識別化装置100は抑制値比率に対する臨界値(以下、「抑制臨界値」という)を設定することができる(S240)。または非識別化装置100は入力インタフェース装置140を通じて使用者から抑制臨界値を獲得することができ、獲得された抑制臨界値を使用することができる。抑制値比率は非識別化されたテーブルのうちK−匿名性を満足しない同等クラスの比率を指示することができる。または抑制値比率は非識別化されたテーブルのうちK−匿名性を満足しないレコードの比率を指示することができる。抑制値比率は下記の数式(1)に基づいて計算され得る。
Figure 2019527409
抑制臨界値は多様な値で設定され得る。例えば、抑制臨界値は10%で設定され得る。
非識別化装置100はGHモデルに基づいて原始ラティス(lattice)を生成することができる(S250)。原始ラティスは複数のノードを含むことができ、複数のノードのそれぞれはGHモデルによって指示される一般化レベルと該当一般化レベルに対応するレコードを指示することができる。すなわち、非識別化装置100はGHモデルによって指示される一般化レベルと該当一般化レベルに対応するレコードを指示するノードを設定することができ、ノードを一般化レベルの順序により連結することによって原始ラティスを生成することができる。図6に図示された郵便番号レコードのGHモデル、図7に図示された年齢レコードのGHモデルおよび図9に図示された性別レコードのGHモデルに基づいて生成された原始ラティスは次の通りである。
図12は、原始ラティスの一実施例を図示した概念図である。
図12を参照すると、原始ラティスは複数のノードを含むことができ、階層−0から階層−6で構成され得る。階層のそれぞれに少なくとも一つのノードが位置することができる。例えば、最下位階層(すなわち、階層−0)および最上位階層(すなわち、階層−6)のそれぞれに一つのノードが位置することができる。階層−1および階層−5のそれぞれに3個のノードが位置することができる。階層−2に5個のノードが位置することができる。階層−3および階層−4のそれぞれに6個のノードが位置することができる。
ここで、a0は図7に図示されたGHモデルでレベル−0である年齢レコードを指示することができ、a1は図7に図示されたGHモデルでレベル−1である年齢レコードを指示することができ、a2は図7に図示されたGHモデルでレベル−2である年齢レコードを指示することができ、a3は図7に図示されたGHモデルでレベル−3である年齢レコードを指示することができる。b0は図6に図示されたGHモデルでレベル−0である郵便番号レコードを指示することができ、b1は図6に図示されたGHモデルでレベル−1である郵便番号レコードを指示することができ、b2は図6に図示されたGHモデルでレベル−2である郵便番号レコードを指示することができる。c0は図9に図示されたGHモデルでレベル−0である性別レコードを指示することができ、c1は図9に図示されたGHモデルでレベル−1である性別レコードを指示することができる。
したがって、「a0、b0、c0」ノードはレベル−0である年齢レコード、レベル−0である郵便番号レコードおよびレベル−0である性別レコードを指示することができる。「a1、b0、c0」ノードはレベル−1である年齢レコード、レベル−0である郵便番号レコードおよびレベル−0である性別レコードを指示することができる。「a1、b1、c0」ノードはレベル−1である年齢レコード、レベル−1である郵便番号レコードおよびレベル−0である性別レコードを指示することができる。
非識別化装置100は遺伝アルゴリズム(genetic algorithm)を使用して原始ラティス内で最終ラティスを設定することができる(S260)。最終ラティスの設定方法は次の通りである。
図13は、最終ラティスの設定方法を図示したフローチャートである。
図13を参照すると、非識別化装置100は図12に図示された原始ラティスのうち、最下位階層から2/3地点に該当する階層−4に属するノードのうち任意のノードを選択ノードAと設定することができ、最下位階層から1/3地点に該当する階層−2に属するノードのうち任意のノードを選択ノードBと設定することができる(S261)。選択ノードAは選択ノードBと連結され得る。例えば、非識別化装置100は階層−4に属する「a2、b2、c0」ノードを選択ノードAと設定することができ、階層−2に属する「a1、b1、c0」ノードを選択ノードBと設定することができる。
非識別化装置100は選択ノードAおよび選択ノードBのそれぞれに対応するテーブルに対する非識別化を遂行できる(S262)。非識別化装置100は前述した段階S230で設定された非識別化パラメーター(例えば、K−匿名性、L−多様性、T−近接性)を満足する非識別化されたテーブルを生成することができる。選択ノードAに対応するテーブルに対する非識別化結果は「非識別化されたテーブルA」と呼ばれ得、選択ノードBに対応するテーブルに対する非識別化結果は「非識別化されたテーブルB」と呼ばれ得る。
非識別化装置100は非識別化されたテーブルAおよび非識別化されたテーブルBのそれぞれの抑制値比率がすべて抑制臨界値以下であるかの可否を判断することができる(S263)。非識別化されたテーブルAおよび非識別化されたテーブルBのそれぞれの抑制値比率がすべて抑制臨界値以下である場合(以下、「ケース1」という)、非識別化装置100は次の通り最終ラティスを設定することができる。
ケース1.最終ラティス設定方法
非識別化装置100は、原始ラティスで選択ノードBが属した階層−2と最下位階層(すなわち、階層−0)の間の1/2地点に該当する階層−1に属するノードのうち任意のノードを交差ノードと設定することができ、階層−2に属するノードのうち選択ノードBを除いた任意のノードを変移ノードと設定することができる(S263−1)。例えば、非識別化装置100は階層−1に属する「a0、b1、c0」ノードを交差ノードと設定することができ、階層−2に属する「a0、b2、c0」ノードを変移ノードと設定することができる。
非識別化装置100は交差ノードおよび変移ノードのそれぞれに対応するテーブルに対する非識別化を遂行できる(S266)。すなわち、非識別化されたテーブルBの抑制値比率が抑制臨界値以下であるため、選択ノードBより上位階層に属するノードに対応するテーブルに対する非識別化は遂行されなくてもよい。非識別化装置100は前述した段階S230で設定された非識別化パラメーター(例えば、K−匿名性、L−多様性、T−近接性)を満足する非識別化されたテーブルを生成することができる。
また、非識別化装置100は段階S266によって生成された非識別化されたテーブルの抑制値比率が抑制臨界値以下であるかを判断することができる。非識別化装置100は「抑制値比率≦抑制臨界値」を満足するノード(例えば、選択ノードB、交差ノード、変移ノード)の個数をカウント(counting)することができる。
段階S261〜段階S266は、「抑制値比率≦抑制臨界値」を満足するノード(例えば、選択ノードB、交差ノード、変移ノード)の個数が、原始ラティスを構成する階層のうち最も多いノードを含む階層のノード個数(例えば、図14で6個)のx倍より大きい時まで繰り返して遂行され得る。ここで、xは0より大きい実数であり得る。例えば、xは0.8、1または1.2と設定され得る。xは前述した内容に限定されず、多様に設定され得る。
例えば、選択ノードBが属した階層−2と最下位階層(すなわち、階層−0)の間の2/3地点に該当する階層に属した任意のノードが選択ノードA’と設定され得る。また、選択ノードBが属した階層−2と最下位階層(すなわち、階層−0)の間の1/3地点に該当する階層に属した任意のノードが選択ノードB’と設定され得る。選択ノードA’および選択ノードB’に基づいて段階S262〜段階S266が再び遂行され得る。このような過程は「抑制値比率≦抑制臨界値」を満足するノードの個数が、原始ラティスを構成する階層のうち最も多いノードを含む階層のノード個数のx倍より大きい時まで繰り返して遂行され得る。
非識別化装置100は「抑制値比率≦抑制臨界値」を満足するノード(例えば、選択ノードB、交差ノード、変移ノードなど)を含む最終ラティスを設定することができる(S267)。
一方、ケース1に該当しない場合、非識別化装置100は非識別化されたテーブルAの抑制値比率が抑制臨界値以下であり、非識別化されたテーブルBの抑制値比率が抑制臨界値を超過するかの可否を判断することができる(S264)。非識別化されたテーブルAの抑制値比率が抑制臨界値以下であり、非識別化されたテーブルBの抑制値比率が抑制臨界値を超過する場合(以下、「ケース2」という)、非識別化装置100は次の通り最終ラティスを選択することができる。
ケース2.最終ラティス設定方法
非識別化装置100は、原始ラティスで選択ノードAが属した階層−4と選択ノードBが属した階層−2の間の1/2地点に該当する階層−3に属するノードのうち任意のノードを交差ノードと設定することができ、階層−4に属するノードのうち選択ノードAを除いた任意のノードを変移ノードと設定することができる(S264−1)。例えば、非識別化装置100は階層−3に属する「a1、b1、c1」ノードを交差ノードと設定することができ、階層−4に属する「a2、b1、c1」ノードを変移ノードと設定することができる。
非識別化装置100は交差ノードおよび変移ノードのそれぞれに対応するテーブルに対する非識別化を遂行できる(S266)。すなわち、非識別化されたテーブルBの抑制値比率が抑制臨界値を超過するので、選択ノードBより下位階層に属するノードに対する非識別化は遂行されなくてもよい。非識別化装置100は前述した段階S230で設定された非識別化パラメーター(例えば、K−匿名性、L−多様性、T−近接性)を満足する非識別化されたテーブルを生成することができる。
また、非識別化装置100は段階S266によって生成された非識別化されたテーブルの抑制値比率が抑制臨界値以下であるかを判断することができる。非識別化装置100は「抑制値比率≦抑制臨界値」を満足するノード(例えば、選択ノードA、交差ノード、変移ノード)の個数をカウントすることができる。
段階S261〜段階S266は、「抑制値比率≦抑制臨界値」を満足するノード(例えば、選択ノードA、交差ノード、変移ノード)の個数が、原始ラティスを構成する階層のうち最も多いノードを含む階層のノード個数(例えば、図14で6個)のx倍より大きい時まで繰り返して遂行され得る。ここで、xは0より大きい実数であり得る。例えば、xは0.8、1または1.2と設定され得る。xは前述した内容に限定されず、多様に設定され得る。
例えば、選択ノードAが属した階層−4と選択ノードBが属した階層−2の間の2/3地点に該当する階層に属した任意のノードが選択ノードA’と設定され得る。また、選択ノードAが属した階層−4と選択ノードBが属した階層−2の間の1/3地点に該当する階層に属した任意のノードが選択ノードB’と設定され得る。選択ノードA’および選択ノードB’に基づいて段階S262〜段階S266が再び遂行され得る。このような過程は「抑制値比率≦抑制臨界値」を満足するノードの個数が、原始ラティスを構成する階層のうち最も多いノードを含む階層のノード個数のx倍より大きい時まで繰り返して遂行され得る。
非識別化装置100は「抑制値比率≦抑制臨界値」を満足するノード(例えば、選択ノードA、交差ノード、変移ノード)を含む最終ラティスを設定することができる(S267)。
一方、ケース1および2に該当しない場合、非識別化装置100は非識別化されたテーブルAおよび非識別化されたテーブルBのそれぞれの抑制値比率がすべて抑制臨界値を超過するかの可否を判断することができる(S265)。非識別化されたテーブルAおよび非識別化されたテーブルBのそれぞれの抑制値比率がすべて抑制臨界値を超過する場合(以下、「ケース3」という)、非識別化装置100は次の通り最終ラティスを選択することができる。
ケース3.最終ラティス設定方法
非識別化装置100は原始ラティスで選択ノードAが属した階層−4と最上位階層(すなわち、階層−6)の間の1/2地点に該当する階層−5に属するノードのうち任意のノードを交差ノードと設定することができ、階層−4に属するノードのうち選択ノードAを除いた任意のノードを変移ノードと設定することができる(S265−1)。例えば、非識別化装置100は階層−5に属する「a3、b1、c1」ノードを交差ノードと設定することができ、階層−4に属する「a2、b1、c1」ノードを変移ノードと設定することができる。
非識別化装置100は交差ノードおよび変移ノードのそれぞれに対応するテーブルに対する非識別化を遂行できる(S266)。非識別化装置100は前述した段階S230で設定された非識別化パラメーター(例えば、K−匿名性、L−多様性、T−近接性)を満足する非識別化されたテーブルを生成することができる。
また、非識別化装置100は段階S266によって生成された非識別化されたテーブルの抑制値比率が抑制臨界値以下であるかを判断することができる。非識別化装置100は「抑制値比率≦抑制臨界値」を満足するノード(例えば、交差ノード、変移ノード)の個数をカウントすることができる。
段階S261〜段階S266は、「抑制値比率≦抑制臨界値」を満足するノード(例えば、交差ノード、変移ノード)の個数が、原始ラティスを構成する階層のうち最も多いノードを含む階層のノード個数(例えば、図14で6個)のx倍より大きい時まで繰り返して遂行され得る。ここで、xは0より大きい実数であり得る。例えば、xは0.8、1または1.2と設定され得る。xは前述した内容に限定されず、多様に設定され得る。
例えば、選択ノードAが属した階層−4と最上位階層(すなわち、階層−6)の間の2/3地点に該当する階層に属した任意のノードが選択ノードA’と設定され得る。また、選択ノードAが属した階層−4と最上位階層(すなわち、階層−6)の間の1/3地点に該当する階層に属した任意のノードが選択ノードB’と設定され得る。選択ノードA’および選択ノードB’に基づいて段階S262〜段階S266が再び遂行され得る。このような過程は「抑制値比率≦抑制臨界値」を満足するノードの個数が、原始ラティスを構成する階層のうち最も多いノードを含む階層のノード個数のx倍より大きい時まで繰り返して遂行され得る。
非識別化装置100は「抑制値比率≦抑制臨界値」を満足するノード(例えば、交差ノード、変移ノード)を含む最終ラティスを設定することができる(S267)。
また、非識別化装置100は出力インタフェース装置150を通じて最終ラティスをディスプレイすることができ、保存装置160(またはデータベース)に最終ラティスを保存することができ、ネットワークインタフェース装置130を通じて他の装置に最終ラティスを伝送することができる。
再び図2を参照すると、非識別化装置100は非識別化されたテーブルに含まれたIDレコードに記録された原始データの全体領域または一部領域に対してマスキング処理ができる(S270)。例えば、IDレコードに記録された原始データのうちマスキング処理される領域(例えば、一部領域)があらかじめ設定された場合、あらかじめ設定された領域に対するマスキング処理が遂行され得る。IDレコードに記録された原始データのうちマスキング処理される領域があらかじめ設定されていない場合、全体領域に対するマスキング処理が遂行され得る。段階S270は個人情報非識別化方法で必須の段階ではなく、必要に応じて省略され得る。マスキング処理されたレコードを含むテーブルの一実施例は次の通りである。
図14は、マスキング処理されたレコードを含むテーブルの一実施例を図示した概念図である。
図14を参照すると、テーブル400に含まれた住民番号レコードに記録された原始データのうち一部領域はマスキング処理され得る。例えば、住民番号レコードに記録された原始データのうち「−」以後の領域はマスキング処理され得る。テーブル400に含まれた名前レコードに記録された原始データのうち全体領域はマスキング処理され得る。テーブル400に含まれた住所レコードに記録された原始データのうち一部領域はマスキング処理され得る。例えば、住所レコードに記録された原始データのうち「ソウル市」以降の領域はマスキング処理され得る。
次いで、非識別化されたテーブルの危険性を指示するパラメーターを説明する。
再識別化危険性(re−identification risk)は、非識別化されたテーブルの同等クラスを構成するロー個数の逆数によって指示され得る。再識別化危険性は同等クラスを構成するローの最大個数、最小個数、平均個数により変わり得る。
サンプル(sample)危険性は下記の数式(2)に基づいて計算され得る。
Figure 2019527409
Figure 2019527409
次いで、非識別化されたテーブルの使用性を指示するパラメーターを説明する。
正確性(precision)はラティスに属するそれぞれのノードに対する正確性を測定するために使用され得、GHモデルの平均高さを指示することができる。GHモデルで一般化レベルが高いほど正確性は低くなり得、データの損失は増加し得る。正確性は下記の数式(3)に基づいて計算され得る。
Figure 2019527409
Prec(GT)は一般化テーブル(generalization table;GT)(すなわち、非識別化されたテーブル)に対する正確性を指示することができる。Nはテーブルに属する変数(例えば、図12で郵便番号、年齢、国籍、性別、病気)の個数を指示することができる。Nはテーブルを構成するローの個数を指示することができる。
Figure 2019527409
 はGHモデルで該当変数の一般化レベルを指示することができる。
Figure 2019527409
 はGHモデルで該当変数の一般化レベルの最大値を指示することができる。
分別力メトリック(discernability metric)は、同等クラスの大きさ、GHモデルで一般化レベルなどを考慮するパラメーターであり得る。分別力メトリックは同等クラス内の一般化されたデータを区別する能力を指示することができる。分別力メトリックは下記の数式(4)に基づいて計算され得る。
Figure 2019527409
DMは分別力メトリックを指示することができる。fは同等クラスの大きさを指示することができる。kは同等クラスの個数を指示することができる。Nはロー(例えば、テーブルを構成するロー)の個数を指示することができる。
エントロピー(entropy)は同等クラス内の一般化されたデータの区別能力または情報量を指示することができる。エントロピーは下記の数式(5)に基づいて計算され得る。
Figure 2019527409
Figure 2019527409
 はエントロピーを指示することができる。αは原始データを指示することができる。bは一般化されたデータを指示することができる。Rijは原始データが記録されたレコードを指示することができる。Rij’は一般化されたデータが記録されたレコードを指示することができる。Iは指示者関数(indicator function)を指示することができる。
一方、非識別化装置100は最終ラティスに属するノードに対する危険性パラメーター(例えば、再識別化危険性、サンプル危険性、集団危険性など)、使用性パラメーター(例えば、正確性、分別力メトリック、エントロピーなど)を出力インタフェース装置150を通じてディスプレイすることができる。また、非識別化装置100は、最終ラティスに属するノードに対応するテーブルの非識別化以前と以後(すなわち、原始テーブルと非識別されたテーブルの比較結果)を出力インタフェース装置150を通じてディスプレイすることができる。
本発明に係る方法は、多様なコンピュータ手段を通じて遂行され得るプログラム命令形態で具現されて、コンピュータ読み出し可能媒体に記録され得る。コンピュータ読み出し可能媒体は、プログラム命令、データファイル、データ構造などを単独または組み合わせて含むことができる。コンピュータ読み出し可能媒体に記録されるプログラム命令は、本発明のために特別に設計されて構成されたものであるかコンピュータソフトウェア当業者に公知とされて使用可能なものであり得る。
コンピュータ読み出し可能媒体の例には、ロム(rom)、ラム(ram)、フラッシュメモリ(flash memory)等のようにプログラム命令を保存し遂行するように特別に構成されたハードウェア装置が含まれる。プログラム命令の例には、コンパイラ(compiler)により作られるような機械語コードだけでなく、インタープリタ(interpreter)等を使用してコンピュータによって遂行され得る高級言語コードを含む。前述したハードウェア装置は本発明の動作を遂行するために、少なくとも一つのソフトウェアモジュールで作動するように構成され得、その逆も同じである。
以上、実施例を参照して説明したが、該当技術分野の熟練した当業者は下記の特許請求の範囲に記載された本発明の思想および領域から逸脱しない範囲内で本発明を多様に修正および変更できることが理解できるはずである。

Claims (20)

  1. 個人情報非識別化(de−identification)装置で遂行される個人情報非識別化方法であって、
    データベースから個人情報を指示する原始データ(original data)が記録されたレコードを含む原始テーブルを獲得する段階;
    一般化レベル(generalization level)に基づいて前記原始テーブルに含まれたレコードのそれぞれに記録された原始データ(data)を一般化することによって一般化されたデータを生成する段階;
    前記原始データおよび前記一般化されたデータで構成される一般化階層モデル(hierarchy model)を設定する段階;
    前記一般化階層モデルによって指示される階層構造に基づいて、個人情報の種類別一般化レベルを指示するテーブルを指示する複数の候補ノードを含む原始ラティスを生成する段階;および
    前記原始ラティスに含まれた前記複数の候補ノードのうちあらかじめ設定された基準を満足する少なくとも一つの候補ノードを含む最終ラティスを設定する段階を含む、個人情報非識別化方法。
  2. 前記個人情報非識別化方法は、
    前記原始テーブルに含まれたレコードのそれぞれの属性を設定する段階をさらに含む、請求項1に記載の個人情報非識別化方法。
  3. 前記属性は、ID、QI、SAおよびIAに分類され、特定個人が明示的に識別される個人情報を指示する原始データが記録されたレコードはIDで設定され、特定個人が暗黙的に識別される個人情報を指示する原始データが記録されたレコードはQIで設定され、あらかじめ設定された基準以上の敏感度を有する個人情報を指示する原始データが記録されたレコードはSAで設定され、SAより低い敏感度を有する個人情報を指示する原始データが記録されたレコードはIAで設定される、請求項2に記載の個人情報非識別化方法。
  4. 前記個人情報非識別化方法は、
    前記原始テーブルに含まれたレコードのうち前記属性がIDで設定されたレコードをマスキング処理する段階をさらに含む、請求項3に記載の個人情報非識別化方法。
  5. 前記個人情報非識別化方法は、
    前記原始テーブルに含まれたレコードのうち前記属性がQIで設定されたレコードに記録された原始データによって指示される個人情報の種類によって前記一般化レベルを設定する段階をさらに含む、請求項3に記載の個人情報非識別化方法。
  6. 前記テーブルに含まれたレコードのうち前記属性がQIで設定されたレコードに記録された原始データは、一般化レベルに基づいて一般化される、請求項3に記載の個人情報非識別化方法。
  7. 前記最終ラティスを設定する段階は、
    前記原始ラティスに含まれた複数の候補ノードのうち少なくとも一つの候補ノードを選択する段階;
    前記少なくとも一つの候補ノードによって指示される一般化レベルに基づいて前記原始テーブルに対する非識別化を遂行することによって非識別化されたテーブルを生成する段階;
    あらかじめ設定された抑制(suppression)基準を満足する非識別化されたテーブルに対応する候補ノードを最終ノードに設定する段階;および
    前記あらかじめ設定された基準を満足する候補ノードに対応する前記最終ノードを含む前記最終ラティスを設定する段階を含む、請求項1に記載の個人情報非識別化方法。
  8. 前記非識別化されたテーブルは、K−匿名性に基づいて生成されるか、前記K−匿名性およびL−多様性に基づいて生成されるか、または前記K−匿名性およびT−近接性に基づいて生成される、請求項7に記載の個人情報非識別化方法。
  9. 前記あらかじめ設定された抑制基準は、前記非識別化されたテーブルを構成する同等クラスのうち前記あらかじめ設定されたK−匿名性を満足しない同等クラスの比率を指示する、請求項8に記載の個人情報非識別化方法。
  10. 前記個人情報非識別化方法は、
    前記最終ラティスに含まれた少なくとも一つの最終ノードに対応する非識別化されたテーブルの再識別化危険性および有用性(utility)を計算する段階をさらに含む、請求項1に記載の個人情報非識別化方法。
  11. 個人情報非識別化装置であって、
    プロセッサ(processor);および
    前記プロセッサを通じて実行される少なくとも一つの命令が保存されたメモリ(memory)を含み、
    前記少なくとも一つの命令は、
    データベースから個人情報を指示する原始データが記録されたレコードを含む原始テーブル(original table)を獲得し;
    一般化レベルに基づいて前記原始テーブルに含まれたレコードのそれぞれに記録された原始データを一般化することによって一般化されたデータを生成し;
    前記原始データおよび前記一般化されたデータで構成される一般化階層モデルを設定し;
    前記一般化階層モデルによって指示される階層構造に基づいて、個人情報の種類別一般化レベルを指示するテーブルを指示する複数の候補ノードを含む原始ラティスを生成し;そして
    前記原始ラティスに含まれた前記複数の候補ノードのうちあらかじめ設定された基準を満足する少なくとも一つの候補ノードを含む最終ラティスを設定するように実行可能な、個人情報非識別化装置。
  12. 前記少なくとも一つの命令は、
    前記原始テーブルに含まれたレコードのそれぞれの属性を設定するようにさらに実行可能な、請求項11に記載の個人情報非識別化装置。
  13. 前記属性は、ID、QI、SAおよびIAに分類され、特定個人が明示的に識別される個人情報を指示する原始データが記録されたレコードはIDで設定され、特定個人が暗黙的に識別される個人情報を指示する原始データが記録されたレコードはQIで設定され、あらかじめ設定された基準以上の敏感度を有する個人情報を指示する原始データが記録されたレコードはSAで設定され、SAより低い敏感度を有する個人情報を指示する原始データが記録されたレコードはIAで設定される、請求項12に記載の個人情報非識別化装置。
  14. 前記少なくとも一つの命令は、
    前記原始テーブルに含まれたレコードのうち前記属性がIDで設定されたレコードをマスキング処理するようにさらに実行可能な、請求項13に記載の個人情報非識別化装置。
  15. 前記少なくとも一つの命令は、
    前記原始テーブルに含まれたレコードのうち前記属性がQIで設定されたレコードに記録された原始データによって指示される個人情報の種類によって前記一般化レベルを設定するようにさらに実行可能な、請求項13に記載の個人情報非識別化装置。
  16. 前記テーブルに含まれたレコードのうち前記属性がQIで設定されたレコードに記録された原始データは、一般化レベルに基づいて一般化される、請求項13に記載の個人情報非識別化装置。
  17. 前記少なくとも一つの命令は前記最終ラティスを設定する場合、
    前記原始ラティスに含まれた複数の候補ノードのうち少なくとも一つの候補ノードを選択し;
    前記少なくとも一つの候補ノードによって指示される一般化レベルに基づいて前記原始テーブルに対する非識別化を遂行することによって非識別化されたテーブルを生成し;
    あらかじめ設定された抑制基準を満足する非識別化されたテーブルに対応する候補ノードを最終ノードに設定し;そして
    前記あらかじめ設定された基準を満足する候補ノードに対応する前記最終ノードを含む前記最終ラティスを設定するように実行可能な、請求項11に記載の個人情報非識別化装置。
  18. 前記非識別化されたテーブルは、K−匿名性に基づいて生成されるか、前記K−匿名性およびL−多様性に基づいて生成されるか、または前記K−匿名性およびT−近接性に基づいて生成される、請求項17に記載の個人情報非識別化装置。
  19. 前記あらかじめ設定された抑制基準は、前記非識別化されたテーブルを構成する同等クラスのうち前記あらかじめ設定されたK−匿名性を満足しない同等クラスの比率を指示する、請求項18に記載の個人情報非識別化装置。
  20. 前記少なくとも一つの命令は、
    前記最終ラティスに含まれた少なくとも一つの最終ノードに対応する非識別化されたテーブルの再識別化危険性および有用性を計算するようにさらに実行可能な、請求項11に記載の個人情報非識別化装置。
JP2018569022A 2016-06-30 2017-06-27 個人情報の非識別化方法および装置 Active JP6825016B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
KR1020160082878A KR101821219B1 (ko) 2016-06-30 2016-06-30 개인정보를 포함하는 테이블의 속성 설정 방법 및 장치
KR10-2016-0082839 2016-06-30
KR10-2016-0082860 2016-06-30
KR1020160082860A KR101798378B1 (ko) 2016-06-30 2016-06-30 유전 알고리즘에 기초한 개인정보의 비식별화 방법 및 장치
KR10-2016-0082878 2016-06-30
KR1020160082839A KR101798377B1 (ko) 2016-06-30 2016-06-30 개인정보의 비식별화 방법 및 장치
PCT/KR2017/006765 WO2018004236A1 (ko) 2016-06-30 2017-06-27 개인정보의 비식별화 방법 및 장치

Publications (2)

Publication Number Publication Date
JP2019527409A true JP2019527409A (ja) 2019-09-26
JP6825016B2 JP6825016B2 (ja) 2021-02-03

Family

ID=60787333

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018569022A Active JP6825016B2 (ja) 2016-06-30 2017-06-27 個人情報の非識別化方法および装置

Country Status (5)

Country Link
US (2) US11354436B2 (ja)
EP (1) EP3480721A4 (ja)
JP (1) JP6825016B2 (ja)
CN (1) CN109564616A (ja)
WO (1) WO2018004236A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220069694A (ko) * 2020-11-20 2022-05-27 (주)디지탈쉽 데이터 통합 분석을 위한 데이터 수집 처리 장치 및 방법

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11036884B2 (en) * 2018-02-26 2021-06-15 International Business Machines Corporation Iterative execution of data de-identification processes
US10970418B2 (en) * 2018-08-23 2021-04-06 Servicenow, Inc. System and method for anonymized data repositories
US20200074101A1 (en) * 2018-08-28 2020-03-05 Koninklijke Philips N.V. De-identification of protected information in multiple modalities
US11196750B2 (en) * 2019-07-18 2021-12-07 International Business Machines Corporation Fine-grained data masking according to classifications of sensitive data
US11593511B2 (en) * 2019-10-10 2023-02-28 International Business Machines Corporation Dynamically identifying and redacting data from diagnostic operations via runtime monitoring of data sources
TWI728553B (zh) * 2019-11-14 2021-05-21 財團法人資訊工業策進會 資料去識別處理裝置及方法
EP3832559A1 (en) * 2019-12-03 2021-06-09 Accenture Global Solutions Limited Controlling access to de-identified data sets based on a risk of re-identification
US20220180226A1 (en) * 2020-12-09 2022-06-09 Accenture Global Solutions Limited Applying a k-anonymity model to protect node level privacy in knowledge graphs and a differential privacy model to protect edge level privacy in knowledge graphs
US11501021B1 (en) * 2021-04-26 2022-11-15 Snowflake Inc. Horizontally-scalable data de-identification

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100077006A1 (en) * 2008-09-22 2010-03-25 University Of Ottawa Re-identification risk in de-identified databases containing personal information
US20100332537A1 (en) * 2009-06-25 2010-12-30 Khaled El Emam System And Method For Optimizing The De-Identification Of Data Sets
WO2011145401A1 (ja) * 2010-05-19 2011-11-24 株式会社日立製作所 個人情報匿名化装置
JP2013080375A (ja) * 2011-10-04 2013-05-02 Hitachi Ltd 個人情報匿名化装置及び方法
JP2015201049A (ja) * 2014-04-08 2015-11-12 日本電信電話株式会社 アクセス権限処理システム、アクセス権限処理方法、及びプログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2002254564A1 (en) * 2001-04-10 2002-10-28 Latanya Sweeney Systems and methods for deidentifying entries in a data source
US20070255704A1 (en) * 2006-04-26 2007-11-01 Baek Ock K Method and system of de-identification of a record
JP5083218B2 (ja) 2006-12-04 2012-11-28 日本電気株式会社 情報管理システム、匿名化方法、及び記憶媒体
JP5452187B2 (ja) 2009-11-26 2014-03-26 Kddi株式会社 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム
CN102156755A (zh) * 2011-05-06 2011-08-17 天津大学 一种k-匿名改进方法
JP5684165B2 (ja) 2012-02-08 2015-03-11 株式会社日立製作所 個人情報匿名化装置および方法
US9129117B2 (en) * 2012-12-27 2015-09-08 Industrial Technology Research Institute Generation method and device for generating anonymous dataset, and method and device for risk evaluation
US9460311B2 (en) * 2013-06-26 2016-10-04 Sap Se Method and system for on-the-fly anonymization on in-memory databases
CN103425771B (zh) * 2013-08-12 2016-12-28 深圳市华傲数据技术有限公司 一种数据正则表达式的挖掘方法及装置
US9990515B2 (en) * 2014-11-28 2018-06-05 Privacy Analytics Inc. Method of re-identification risk measurement and suppression on a longitudinal dataset
WO2017008144A1 (en) * 2015-07-15 2017-01-19 Privacy Analytics Inc. Re-identification risk measurement estimation of a dataset

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100077006A1 (en) * 2008-09-22 2010-03-25 University Of Ottawa Re-identification risk in de-identified databases containing personal information
US20100332537A1 (en) * 2009-06-25 2010-12-30 Khaled El Emam System And Method For Optimizing The De-Identification Of Data Sets
WO2011145401A1 (ja) * 2010-05-19 2011-11-24 株式会社日立製作所 個人情報匿名化装置
US20130138698A1 (en) * 2010-05-19 2013-05-30 Kunihiko Harada Identity information de-identification device
JP2013080375A (ja) * 2011-10-04 2013-05-02 Hitachi Ltd 個人情報匿名化装置及び方法
JP2015201049A (ja) * 2014-04-08 2015-11-12 日本電信電話株式会社 アクセス権限処理システム、アクセス権限処理方法、及びプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
千田 浩司: "個人情報保護法の改正とデータサイエンスの新潮流 個人特定のリスクを低減させる匿名化技術", 経営の科学 オペレーションズ・リサーチ, vol. 第61巻 第5号, JPN6020004748, 1 May 2016 (2016-05-01), JP, pages 307 - 312, ISSN: 0004210019 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220069694A (ko) * 2020-11-20 2022-05-27 (주)디지탈쉽 데이터 통합 분석을 위한 데이터 수집 처리 장치 및 방법
KR102504531B1 (ko) 2020-11-20 2023-02-28 (주)디지탈쉽 데이터 통합 분석을 위한 데이터 수집 처리 장치 및 방법

Also Published As

Publication number Publication date
US20220277106A1 (en) 2022-09-01
EP3480721A1 (en) 2019-05-08
JP6825016B2 (ja) 2021-02-03
CN109564616A (zh) 2019-04-02
WO2018004236A1 (ko) 2018-01-04
EP3480721A4 (en) 2020-01-15
US11354436B2 (en) 2022-06-07
US20190228183A1 (en) 2019-07-25

Similar Documents

Publication Publication Date Title
JP2019527409A (ja) 個人情報の非識別化方法および装置
JP7121460B2 (ja) データ匿名化のためのコンピュータ実施方法、コンピュータ・プログラム製品、およびシステム
EP3327582A1 (en) Method and apparatus for completing a knowledge graph
US11144817B2 (en) Device and method for determining convolutional neural network model for database
US20230222142A1 (en) Metadata classification
AU2019203992A1 (en) Data platform for automated data extraction, transformation, and/or loading
JP2018534679A (ja) 動的な自律トランザクションアイデンティティ管理のためのシステム及び方法
US9983890B2 (en) Collaborative generation of configuration technical data for a product to be manufactured
WO2022222943A1 (zh) 科室推荐方法、装置、电子设备及存储介质
JP7151759B2 (ja) 情報処理装置、情報処理方法、及び、プログラム
CN116189865A (zh) 医院预约登记管理系统
WO2022105119A1 (zh) 意图识别模型的训练语料生成方法及其相关设备
CN112434811A (zh) 知识图谱构建方法及装置、计算设备、存储介质
US20210365807A1 (en) Identifying attributes in unstructured data files using a machine-learning model
CN112231592A (zh) 基于图的网络社团发现方法、装置、设备以及存储介质
KR101798377B1 (ko) 개인정보의 비식별화 방법 및 장치
EP4064038B1 (en) Automated generation and integration of an optimized regular expression
CN112800217A (zh) 基于向量关联性矩阵的政务事务处理报告的智能评估方法
EP2731021B1 (en) Apparatus, program, and method for reconciliation processing in a graph database
CN109992960B (zh) 一种伪造参数检测方法、装置、电子设备及存储介质
CN112685574B (zh) 领域术语层次关系的确定方法、装置
KR101798378B1 (ko) 유전 알고리즘에 기초한 개인정보의 비식별화 방법 및 장치
WO2022217715A1 (zh) 相似患者的识别方法、装置、计算机设备和存储介质
US20180276312A1 (en) Methods and system for entity matching
JP2018156332A (ja) 生成装置、生成方法および生成プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200212

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200511

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200710

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201215

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210113

R150 Certificate of patent or registration of utility model

Ref document number: 6825016

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533