JP2021099668A - 匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラム - Google Patents

匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラム Download PDF

Info

Publication number
JP2021099668A
JP2021099668A JP2019231235A JP2019231235A JP2021099668A JP 2021099668 A JP2021099668 A JP 2021099668A JP 2019231235 A JP2019231235 A JP 2019231235A JP 2019231235 A JP2019231235 A JP 2019231235A JP 2021099668 A JP2021099668 A JP 2021099668A
Authority
JP
Japan
Prior art keywords
information
processing
anonymity
anonymous
matched
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019231235A
Other languages
English (en)
Other versions
JP7380183B2 (ja
Inventor
幸太郎 山村
Kotaro Yamamura
幸太郎 山村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2019231235A priority Critical patent/JP7380183B2/ja
Publication of JP2021099668A publication Critical patent/JP2021099668A/ja
Application granted granted Critical
Publication of JP7380183B2 publication Critical patent/JP7380183B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】複数のデータ提供元企業が保有する匿名加工情報を突合して生成した情報の匿名性が劣化していた場合には出力を防止する匿名性劣化情報出力防止装置を提供する。【解決手段】突合対象とする各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報と加工前情報と加工方針情報とを保存している匿名加工データストア10,11,12から取得した各匿名加工情報を組み合わせる突合を安全に行うために、セキュアなメモリ空間を提供するセキュアメモリ領域部310にて動作する処理部として、突合対象とする各データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合部311と、突合対象とする各データ提供元企業にて適用されている加工前情報を匿名加工するための加工方針情報を勘案して、生成された前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査部312と、を有している。【選択図】図1

Description

本発明は、匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムに関し、特に、情報の匿名化を図る際の匿名加工技術として、複数の匿名加工情報を組み合わせる突合時において匿名性の劣化が生じた情報の出力を防止することを可能にする匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムに関する。
一般的に、個人情報や企業内で取り扱う情報を企業間で共有し、情報を結合・分析することは、社会的な価値を新たに創出することができるものとして大いに期待されている。
しかしながら、プライバシ保護の観点から、保護対象の個人や企業の同意がない状態では、個人情報や企業情報の第三者への提供は禁止されている場合が多い。また、企業自体においても、競争力の源泉となる情報を競合相手に開示することを嫌う傾向にある。
かくのごとき社会の要請に着目した技術として、情報の自由な流通・利活用を促進することを目的とした匿名加工技術がある。本願でいうところの匿名加工技術は、例えば特許文献1の特開2019−95885号公報「匿名化データ評価システムおよび方法、並びに匿名レベル判定サーバ」等に記載されているような匿名化技術を適用するものである。この匿名加工技術は、対象とする情報自体の加工を行い、対象の人物等の属性を知ろうとする閲覧者に対して、センシティブ情報を隠すことにより、匿名性を有する匿名加工情報として提供することを可能にするものである。この匿名加工技術を採用することにより、例えば消費者の購買記録や行動履歴、災害時の動線など、従来の統計情報においては得ることができなかった情報が得られるようになり、情報のより詳細な分析が可能になる。
つまり、このような匿名加工技術を用いることにより、データ提供元企業において、該データ提供元企業などが自ら収集した個人情報や企業情報における無加工の個人情報や企業情報(無加工情報)について統計処理・匿名化を行い、匿名性を有する統計情報・匿名加工情報を得て、これら匿名性を有する統計情報・匿名加工情報を第三者の企業等へ提供することが可能になる。
特開2019−095885号公報
しかしながら、本発明に関連する前記特許文献1等の現状の匿名加工技術に関しては、以下のような解決するべき課題がある。
複数のデータ提供元企業が匿名加工情報を提供する場合、複数のデータ提供元企業それぞれが提供する匿名加工情報を、第三者企業が集めて突合することは、各データ提供元企業が実施した匿名化処理が無意味となって、個人情報や企業情報の元情報が再特定されてしまう危険性があるため、原則禁止とされている。
また、複数のデータ提供元企業それぞれが、提供された情報に関して突合した分析を行う民間企業と委託契約を結び、データ提供元企業自身が保有する個人情報や企業情報を該民間企業へ提供すること、および、該民間企業が、提供された個人情報や企業情報を突合して、統計情報・匿名加工情報として、他の企業へ提供することも原則禁止とされている。
かくのごとき事情から、社会的な価値を新たに創出することができるマーケット情報などの有効な情報を含む複数の匿名加工情報の突合を実施することができず、価値ある情報の流通を阻害する要因となっている。
言い換えると、匿名化技術に関し、組織間におけるデータ結合分析への対応が困難であるため、マーケット情報などの有益な情報を含む複数の匿名加工情報の突合を実施することができず、価値ある情報の流通を阻害する要因となっている。
(本発明の目的)
本発明の目的は、かかる事情に鑑み、複数のデータ提供元企業が保有する匿名加工情報を突合した情報を出力する際に、匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止し、第三者へ匿名加工前の元の情報を漏洩させること無く、安全に、各データ提供元企業が提供する匿名加工情報を突合させることを可能にする匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムを提供することにある。
前述の課題を解決するため、本発明による匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムは、主に、次のような特徴的な構成を採用している。
(1)本発明による匿名加工劣化情報出力防止装置は、
突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行う機能と、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能と、を有する匿名性劣化情報出力防止装置であって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合部と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査部と、
を有していることを特徴とする。
(2)本発明による匿名性劣化情報出力防止方法は、
突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行うステップと、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止するステップと、を有する匿名性劣化情報出力防止方法であって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合ステップと、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査ステップと、
を有していることを特徴とする。
(3)本発明による匿名性劣化情報出力防止プログラムは、
コンピュータにより実行されるプログラムとして、突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行う工程と、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する工程と、を有する匿名性劣化情報出力防止プログラムであって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合工程と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査工程と、
を有していることを特徴とする。
本発明の匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムによれば、主に、以下のような効果を奏することができる。
すなわち、複数のデータ提供元企業が保有する匿名加工情報を突合して突合済み匿名加工情報を生成する際に、該突合済み匿名加工情報の匿名性を担保し、かつ、突合対象とする各データ提供元企業の匿名化の加工方針を満たした状態で、安全性が高い情報として生成されたか否かを確認することが可能であるので、匿名性を有することが十分に担保された状態の突合済み匿名加工情報を外部システムに対して提供することが可能である。
本発明に係る匿名性劣化情報出力防止装置の内部構成の一例を示すブロック構成図である。 図1に示すA社の匿名加工データストアの加工前情報DBに格納されている加工前情報の登録例を示すテーブルである。 図1に示すA社の匿名加工データストアの加工方針情報DBに登録されている加工方針情報の登録例を示すテーブルである。 図1に示すA社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の登録例を示すテーブルである。 図1に示すB社の匿名加工データストアの加工前情報DBに格納されている加工前情報の登録例を示すテーブルである。 図1に示すB社の匿名加工データストアの加工方針情報DBに登録されている加工方針情報の登録例を示すテーブルである。 図1に示すB社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の登録例を示すテーブルである。 図1に示すC社の匿名加工データストアの加工前情報DBに格納されている加工前情報の登録例を示すテーブルである。 図1に示すC社の匿名加工データストアの加工方針情報DBに登録されている加工方針情報の登録例を示すテーブルである。 図1に示すC社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の登録例を示すテーブルである。 図1に示すC社の匿名加工データストアの加工方針情報DBに登録されている加工方針情報の図9とは異なる登録例を示すテーブルである。 図1に示すC社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の図10とは異なる登録例を示すテーブルである。 図1に本発明の一実施形態として示した匿名性劣化情報出力防止装置の動作の一例を示すフローチャートである。 図4に示したA社の匿名加工情報DBから読み込んだ匿名加工情報と図10に示したC社の匿名加工情報DBから読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルである。 図4に示したA社の匿名加工情報DBから読み込んだ匿名加工情報と図12に示したC社の匿名加工情報DBから読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルである。 図4に示したA社の匿名加工情報DBから読み込んだ匿名加工情報と図7に示したB社の匿名加工情報DBから読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルである。
以下、本発明による匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムの好適な実施形態について添付図を参照して説明する。なお、以下の説明においては、本発明による匿名性劣化情報出力防止装置および匿名性劣化情報出力防止方法について説明するが、かかる匿名性劣化情報出力防止方法をコンピュータにより実行可能な匿名性劣化情報出力防止プログラムとして実施するようにしても良いし、あるいは、匿名性劣化情報出力防止プログラムをコンピュータにより読み取り可能な記録媒体に記録するようにしても良いことは言うまでもない。また、以下の各図面に付した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではないことも言うまでもない。
(本発明の特徴)
本発明の実施形態の説明に先立って、本発明の特徴についてその概要をまず説明する。本発明は、複数のデータ提供元企業それぞれが保有する匿名加工情報を突合する際に匿名加工レベルが劣化する可能性があるので、匿名加工レベルが劣化した状態になった場合には突合済み匿名加工情報(複数の匿名加工情報を突合して生成した匿名加工情報)の外部システムへの流出を未然に防止し、外部システムに対しては、匿名加工レベルが劣化していない安全性が高い状態の突合済み匿名加工情報を確実に提供する仕組みを有していることを主要な特徴としている。
さらに詳しく説明すると、本発明の主要な特徴は次の通りである。
本発明に係る匿名性劣化情報出力防止装置は、複数のデータ提供元企業それぞれが保有する匿名加工データストアに格納されているそれぞれの匿名加工情報を取得して、取得した複数のデータ提供元企業それぞれの匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能を有する装置であって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部と、
前記セキュアメモリ領域部にて動作し、複数のデータ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合部と、
前記セキュアメモリ領域部にて動作し、複数のデータ提供元企業それぞれにおいて適用されている加工前情報を匿名加工するための加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査部と、
を有している。
ここで、突合済み匿名加工情報の匿名性が担保されているか否かを検査する前記匿名加工情報検査部は、内部に、
突合対象とする各データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業の前記匿名加工情報それぞれの匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認部と、
突合対象とする各データ提供元企業それぞれの前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認部と、
前記匿名性確認部と前記加工方針確認部との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理部と、
を有している。
そして、前記突合結果処理部は、
前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の前記匿名加工情報それぞれの匿名性のレベル以上であることが確認された場合であって、
かつ、
前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業の匿名化の加工方針を満たしていることが確認された場合には、
前記突合済み匿名加工情報を外部システムへ出力する処理を行う。
一方、前記突合結果処理部は、
前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の前記匿名加工情報のいずれか1ないし複数における匿名性のレベル未満になっていることが確認された場合か、
あるいは、
前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、
前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う。
(本発明の実施形態の構成例)
次に、本発明に係る匿名性劣化情報出力防止装置の実施形態について、図1を参照しながら詳細に説明する。図1は、本発明に係る匿名性劣化情報出力防止装置の内部構成の一例を示すブロック構成図であり、該匿名性劣化情報出力防止装置に対して、突合対象となる複数の匿名加工情報それぞれを提供する複数のデータ提供元企業(A社、B社、C社)それぞれが所有する匿名加工データストアも含めて、その一例を示している。
図1に示す匿名性劣化情報出力防止装置300は、各企業が提供する複数の匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能を有する装置であり、突合対象とする各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報を保存している匿名加工データストアとの間で通信を行う機能を有する装置である。すなわち、匿名性劣化情報出力防止装置300に対して複数の匿名加工データストアを通信可能な状態で接続することにより、各データ提供元企業(A社、B社、C社)それぞれが提供する匿名加工情報の組合せによる匿名性の劣化を防止することが可能な匿名加工情報の突合システムとして構築することができる。
なお、匿名加工データストアは、匿名加工情報を提供する各データ提供元企業(A社、B社、C社)ごとに配置されていて、図1には、匿名性劣化情報出力防止装置300と通信を行う複数の匿名加工データストアとして、A社の匿名加工データストア10、B社の匿名加工データストア11、C社の匿名加工データストア12が匿名性劣化情報出力防止装置300に接続されている例を示している。しかし、接続する匿名加工データストアの台数に関しては、かかる場合に限るものではなく、増減しても勿論構わない。
ここで、A社の匿名加工データストア10、B社の匿名加工データストア11、C社の匿名加工データストア12それぞれには、それぞれの匿名加工情報を格納している匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120のそれぞれを有している他に、A社、B社、C社それぞれにおいて匿名加工を施す前の元情報である加工前情報を格納している加工前情報DB101、加工前情報DB111、加工前情報DB121のそれぞれを有し、さらに、A社、B社、C社それぞれにおいて加工前情報を匿名加工して匿名加工情報を生成するための加工方針情報を登録している加工方針情報DB102、加工方針情報DB112、加工方針情報DB122のそれぞれも有している。
なお、A社、B社、C社それぞれの加工方針情報DB102、加工方針情報DB112、加工方針情報DB122それぞれの加工方針情報に関しては、場合によっては、匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120それぞれの中に含む形で構成するようにしても良いが、ここでは、説明を簡素化するために、それぞれの加工方針情報DB102、加工方針情報DB112、加工方針情報DB122を、匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120とは独立に設置している場合について説明する。
また、図1に示す匿名性劣化情報出力防止装置300は、内部に、セキュアメモリ領域部310を有している。セキュアメモリ領域部310は、ソフトウェアレベルだけでなく、ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供する。
つまり、セキュアメモリ領域部310は、匿名性劣化情報出力防止装置300内において、ソフトウェアだけではなくハードウェアによるサポートによって、アプリケーションの安全な実行環境を実現するための技術仕様(TEE:Trusted Execution Environment)を用いて、第三者によって傍受されることのないセキュアなメモリ空間を構築している。ここで、該セキュアメモリ領域部310は、既存のTSM(Trust Service Management)やSGX(Software Guard Extensions)、Trust Zoneといった技術を用いて、セキュアなメモリ空間を構築するようにしても良い。
そして、セキュアメモリ領域部310の内部において動作する処理部として、匿名加工情報突合部311と匿名加工情報検査部312とを有している。
匿名加工情報突合部311は、セキュアメモリ領域部310内において動作し、複数のデータ提供元企業の匿名加工情報DB(図1の場合は、匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120)のそれぞれから突合すべき匿名加工情報を取得して突合し、突合した匿名加工情報を、突合済み匿名加工情報として、匿名加工情報検査部312に対して出力する。
つまり、匿名加工情報突合部311は、セキュアメモリ領域部310において動作し、複数のデータ提供元企業の匿名加工情報(図1の場合は、A社の匿名加工データストア10の匿名加工情報DB100から提供される匿名加工情報、B社の匿名加工データストア11の匿名加工情報DB110から提供される匿名加工情報、C社の匿名加工データストア12の匿名加工情報DB120から提供される匿名加工情報)を突合し、突合済み匿名加工情報を生成する匿名加工情報生成手段である。
ここで、複数の匿名加工情報を突合する動作は、前記匿名加工情報の各レコードそれぞれを構成する各項目(各欄:各カラム)を確認して、各項目(各欄:各カラム)のうち、突合対象の複数の前記匿名加工情報のレコードそれぞれに共通する各項目(各欄:各カラム)に同一の情報を有しているレコード同士を突合する。
また、匿名加工情報検査部312は、匿名加工情報突合部311と同様に、セキュアメモリ領域部310内において動作し、匿名加工情報突合部311から前記突合済み匿名加工情報を受け取ると、突合対象の複数のデータ提供元企業に関する加工前情報DBと加工方針情報DB(図1の場合は、A社の加工前情報DB101と加工方針情報DB102、B社の加工前情報DB111と加工方針情報DB112、C社の加工前情報DB121と加工方針情報DB122)との、それぞれと通信を行って、それぞれの加工前情報と加工方針情報とを取得する。そして、取得したそれぞれの加工前情報と加工方針情報とを勘案して、匿名加工情報突合部311から受け取った前記突合済み匿名加工情報の匿名性の劣化検査を実施し、実施した劣化検査結果に従って、受け取った前記突合済み匿名加工情報の外部システムへの出力許可または破棄の判断を行う。
つまり、匿名加工情報検査部312は、匿名加工情報突合部311と同様に、セキュアメモリ領域部310において動作し、突合対象とする複数のデータ提供元企業それぞれにおいて適用されているそれぞれの加工前情報を匿名加工するための加工方針情報を勘案して、匿名加工情報突合部311において生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを検査する検査手段である。
さらに説明すると、前記突合済み匿名加工情報の匿名性が担保されているか否かを検査する匿名加工情報検査部312は、内部に、匿名性確認部3121と加工方針確認部3122と突合結果処理部3123とを有している。
匿名性確認部3121は、突合対象とする各データ提供元企業それぞれの匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業の前記匿名加工情報それぞれの匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認手段を提供する。具体的には、例えば、匿名性確認部3121は、突合済み匿名加工情報を構成する各レコードを確認し、レコード内の情報が同一の情報になっているレコード(すなわち同一レコード)の最少の個数が、突合対象とする各データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、該突合済み匿名加工情報は、突合対象とする各データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断するように構成する。
加工方針確認部3122は、突合対象とする各データ提供元企業それぞれの前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認手段を提供する。
また、突合結果処理部3123は、匿名性確認部3121と加工方針確認部3122との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかのいずれかの処理を行う突合結果処理手段を提供する。
そして、突合結果処理部3123は、匿名性確認部3121における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の前記匿名加工情報それぞれの匿名性のレベル以上であることが確認された場合であって、かつ、加工方針確認部3122における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業それぞれの匿名化の加工方針を満たしていることが確認された場合には、前記突合済み匿名加工情報は匿名性が十分に担保されている情報であると判断して、前記突合済み匿名加工情報を外部システムへ出力する処理を行う。
一方、突合結果処理部3123は、匿名性確認部3121における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業のいずれか1ないし複数における前記匿名加工情報の匿名性のレベル未満になっていることが確認された場合か、あるいは、加工方針確認部3122における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、前記突合済み匿名加工情報は匿名性が劣化している情報であると判断して、前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う。
ここで、複数のデータ提供元企業の加工前情報とは、図1の場合は、A社の匿名加工データストア10の加工前情報DB101から提供される加工前情報、B社の匿名加工データストア11の加工前情報DB111から提供される加工前情報、C社の匿名加工データストア12の加工前情報DB121から提供される加工前情報、である。
また、複数の該データ提供元企業の加工前情報を匿名加工するための加工方針情報とは、図1の場合は、A社の匿名加工データストア10の加工方針情報DB102から提供される加工方針情報、B社の匿名加工データストア11の加工方針情報DB112から提供される加工方針情報、C社の匿名加工データストア12の加工方針情報DB122から提供される加工方針情報、である。なお、複数のデータ提供元企業の匿名加工情報とは、図1の場合は、A社の匿名加工データストア10の匿名加工情報DB100から提供される匿名加工情報、B社の匿名加工データストア11の匿名加工情報DB110から提供される匿名加工情報、C社の匿名加工データストア12の匿名加工情報DB120から提供される匿名加工情報、である。
次に、複数のデータ提供元企業の加工前情報、加工方針情報、匿名加工情報の具体例を用いて、匿名性劣化情報出力防止装置300において生成する前記突合済み匿名加工情報の匿名性について、その一例を説明する。
図2は、図1に示すA社の匿名加工データストア10の加工前情報DB101に格納されている加工前情報の登録例を示すテーブルであり、コンビニA、コンビニBの各コンビニを利用した客層(性別および年齢)と購入した品物と支払方法(現金、キャッシュレスA,B,Cの各方式)とを調査会社によってリサーチした結果の登録例を示している。
また、図3は、図1に示すA社の匿名加工データストア10の加工方針情報DB102に登録されている加工方針情報の登録例を示すテーブルであり、図2のテーブルに格納されている加工前情報それぞれを匿名加工する際に適用する加工方針情報の登録例を示している。なお、本実施形態においては、説明を簡素化するために、加工前情報を匿名加工する加工方針として、図2の加工前情報のレコードそれぞれの各項目(各欄:各カラム)ごとに加工方法を設定している場合を例示し、例えば、加工前情報の項目を削除、加工前情報の項目をそのまま利用、または、加工前情報の項目の一般化や上位概念化を図る加工、等を指定する場合を示している。なお、以下に説明するB社の加工方針情報(図6)、C社の加工方針情報(図9および図11)に関しても、A社の加工方針情報(図3)と同様に、加工前情報のレコードそれぞれの各項目(各欄:各カラム)ごとに加工方法を設定している場合を例示している。
さらに説明すると、例えば、図3の加工方針情報として、図2の加工前情報の各項目欄について、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および購買客の性別を示す性別欄は、そのまま利用するように設定する。また、購買客の年齢を示す年齢欄については、10歳単位で切り捨てて一般化を図る加工を施し、また、購入品を示す品物欄は、上位概念に変換する加工を施し、また、代金の支払方法を示す支払方法欄は、現金とキャッシュレスとの2つのいずれかに一般化する加工を施すように設定している。
また、図4は、図1に示すA社の匿名加工データストア10の匿名加工情報DB100に格納されている匿名加工情報の登録例を示すテーブルであり、図2のテーブルに格納されている加工前情報を図3に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。
ここで、匿名加工を行う際に、加工前情報の項目の一般化や上位概念化を図る加工として、k−匿名性を満たすような加工を行うことを匿名加工情報の匿名化を保証するための前提としている。k−匿名性とは、匿名加工した結果として、加工された匿名加工情報の各項目(各カラム)の情報が同一になっているレコードの個数が、同一レコード数閾値としてあらかじめ定めたk個未満のレコード数に絞り込まれていないことを保証するための指標であって、匿名加工情報の匿名化のレベルを示す指標として利用することが可能である。
例えば、k−匿名性を満たす加工の一例に関して、同一レコード数閾値k=3(すなわち匿名加工結果として同一のレコード情報になるレコード数が3個以上確保されていることを確認するための閾値)を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合について説明する。図4に示した匿名加工情報の場合、利用会社・性別・年齢・品物・支払方法の各欄(各カラム)が同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、3個(すなわち、第1レコード〜第3レコードの3個のレコード、第4レコード〜第6レコードの3個のレコード、第7レコード〜第9レコードの3個のレコード、第10レコード〜第12レコードの3個のレコード)であり、同一レコード数閾値k=3と同じ値である。したがって、図4に示した匿名加工情報に関しては、k−匿名性(k=3)を満たす匿名加工結果が得られていて、匿名加工情報の匿名性の劣化が発生していないことを示している。
次に、図5、図6、図7は、B社の匿名加工データストア11に関するテーブルであり、それぞれ、A社の匿名加工データストア10における図2、図3、図4と同様に、加工前情報DB111、加工方針情報DB112、匿名加工情報DB110の登録例を示している。
ここで、図5は、図1に示すB社の匿名加工データストア11の加工前情報DB111に格納されている加工前情報の登録例を示すテーブルであり、代金の支払方法としてキャッシュレスを用いた場合を対象として、コンビニA、コンビニBの各コンビニを利用した客層(年齢)とキャッシュレスによる支払方式(キャッシュレスA,B,Cの各方式)とを調査会社によってリサーチした結果の登録例を示している。つまり、代金の支払方法が現金であった場合を除き、キャッシュレスのいずれかの方式を用いて代金を支払った場合に絞って登録している場合を示している。
また、図6は、図1に示すB社の匿名加工データストア11の加工方針情報DB112に登録されている加工方針情報の登録例を示すテーブルであり、図5のテーブルに格納されている加工前情報それぞれを匿名加工する際に適用する加工方針情報の登録例を示している。つまり、図6の加工方針情報として、図5の加工前情報の各項目欄について、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および代金のキャッシュレス支払方式を示す支払方式欄は、そのまま利用し、また、購買客の年齢を示す年齢欄は、10歳単位で切り捨てる加工を施すように設定している場合を示している。
また、図7は、図1に示すB社の匿名加工データストア11の匿名加工情報DB110に格納されている匿名加工情報の登録例を示すテーブルであり、図5のテーブルに格納されている加工前情報を図6に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。
同一レコード数閾値k=3を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合、図7に示す匿名加工情報において、利用会社・年齢・支払方式の各欄(各カラム)のいずれも同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、図4の場合と同様、3個(すなわち、第1レコード〜第3レコードの3個のレコード、第4レコード〜第6レコードの3個のレコード、第7レコード〜第9レコードの3個のレコード)であり、同一レコード数閾値k=3と同じ値である。したがって、図7に示した匿名加工情報に関しても、k−匿名性(k=3)を満たす匿名加工結果が得られていて、匿名加工情報の匿名性の劣化が発生していないことを示している。
次に、図8、図9、図10は、C社の匿名加工データストア12に関するテーブルであり、それぞれ、A社の匿名加工データストア10における図2、図3、図4と同様に、加工前情報DB121、加工方針情報DB122、匿名加工情報DB120の登録例を示している。
ここで、図8は、図1に示すC社の匿名加工データストア12の加工前情報DB121に格納されている加工前情報の登録例を示すテーブルであり、コンビニA、コンビニBの各コンビニを利用した客層(性別および年齢)と各コンビニを利用した時間帯を示す利用時間帯(分以下を切り捨てた時刻)とを調査会社によってリサーチした結果の登録例を示している。
また、図9は、図1に示すC社の匿名加工データストア12の加工方針情報DB122に登録されている加工方針情報の登録例を示すテーブルであり、図8のテーブルに格納されている加工前情報それぞれを匿名加工する際に適用する加工方針情報の登録例を示している。つまり、図9の加工方針情報として、図8の加工前情報の各項目欄について、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および購買客の性別を示す性別欄は、そのまま利用し、また、購買客の年齢を示す年齢欄は、10歳単位で切り捨てる加工を施している場合を示している。また、利用した時間帯を示す利用時間帯欄は、早朝(例えば4:00〜7:00)、午前(例えば7:00〜12:00)、午後(例えば12:00〜17:00)、夜(例えば17:00〜21:00)、深夜(例えば21:00〜28:00)のいずれかの時間帯を示す時間幅として一般化した加工を施すように設定している場合を示している。
また、図10は、図1に示すC社の匿名加工データストア12の匿名加工情報DB120に格納されている匿名加工情報の登録例を示すテーブルであり、図8のテーブルに格納されている加工前情報を図9に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。
図10の利用時間帯欄に示すように、匿名加工方法として一般化した加工結果を示す各コンビニを利用した購買客の利用時間帯としては、午前(7:00〜12:00)、午後(12:00〜18:00)、深夜(21:00〜28:00)の各時間帯であり、早朝(4:00〜7:00)、夜(18:00〜21:00)の時間帯には利用していない加工結果になっている。
同一レコード数閾値k=3を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合、図10に示す匿名加工情報において、利用会社・性別・年齢・利用時間帯の各欄(各カラム)のいずれも同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、図4の場合と同様、3個(すなわち、第1レコード〜第3レコードの3個のレコード、第4レコード〜第9レコードの6個のレコード、第10レコード〜第12レコードの3個のレコード)であり、同一レコード数閾値k=3と同じ値である。したがって、図10に示した匿名加工情報に関しても、k−匿名性(k=3)を満たす匿名加工結果が得られていて、匿名加工情報の匿名性の劣化が発生していないことを示している。
なお、図10とは異なる匿名加工情報を生成するために、図9の加工方針情報DB122における利用時間帯に関する加工方針情報の見直しを行い、例えば、図11に示すように、図9とは異なる加工方針を用いて利用時間帯に関する情報の一般化を行うようにすることも可能である。
図11は、図1に示すC社の匿名加工データストア12の加工方針情報DB122に登録されている加工方針情報の図9とは異なる登録例を示すテーブルであり、図8のテーブルに登録されている加工前情報を匿名加工する際に適用する加工方針として、利用時間帯情報に関し、図9に示した加工方針とは異なる設定した場合の一例を示している。
つまり、図11の加工方針情報においては、図8の加工前情報の各項目欄について、利用した時間帯を示す利用時間帯欄の利用時間帯に関する情報を除く他の情報に関しては、図9の場合と全く同じであり、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および購買客の性別を示す性別欄は、そのまま利用し、また、購買客の年齢を示す年齢欄は、10歳単位で切り捨てる加工を施している。
一方、利用した時間帯を示す利用時間帯欄に関しては、図9の場合から変更して、夕方(例えば16:30〜18:00)の時間帯をさらに追加することにより、図9の場合の午後(例えば12:00〜18:00)をさらに2つの時間帯に細分化して、午後(例えば12:00〜16:30)、夕方(例えば16:30〜18:00)に分離して一般化するように変更している。
図12は、図1に示すC社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の図10とは異なる登録例を示すテーブルであり、図8のテーブルに格納されている加工前情報を図11に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。なお、図12においては、図10の場合とは異なり、利用時間帯欄は、各時間帯を示す時間幅ではなく、早朝、午前、午後、夕方、夜、深夜のいずれかの用語を用いて示している。
図12の利用時間帯欄に示すように、匿名加工方法として一般化した加工結果を示す各コンビニを利用した購買客の利用時間帯としては、図10の場合と同様に、早朝(4:00〜7:00)、夜(18:00〜21:00)の時間帯にはどのコンビニも利用していないものの、図10の場合とは異なり、午前(7:00〜12:00)、午後(12:00〜16:30)、夕方(16:30〜18:00)、深夜(21:00〜28:00)の4つの時間帯のいずれかのコンビニを利用していることになる。
しかし、図12に示す匿名加工情報においては、利用会社・性別・年齢・利用時間帯の各欄(各カラム)のいずれも同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、図4の場合とは異なり、2個(すなわち、第1レコード〜第3レコードの3個のレコード、第4レコード〜第7レコードの4個のレコード、第8レコード〜第9レコードの2個のレコード、第10レコード〜第12レコードの3個のレコード)になっている。つまり、図10の匿名加工情報の場合の最少の同一レコード数(3個)よりも低い値になっている。
したがって、図10の場合と同様に、同一レコード数閾値k=3を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合、図12に示す匿名加工情報においては、最少の同一レコード数(2個)が、同一レコード数閾値k=3未満の値になって、k−匿名性(k=3)を満たす匿名加工結果が得られていないことになり、匿名性が劣化していることになる。このため、図11に示した利用時間帯欄の加工方針に関しては、同一レコード数閾値k=3を用いている場合は、分類する時間帯を同一レコード数が3個以上になるように変更するか、または、利用時間帯欄そのものを削除するかのいずれかを選択し直すことが必要になる。
(本発明の実施形態の動作例の説明)
次に、図1に本発明の一実施形態として示した匿名性劣化情報出力防止装置300の動作について、その一例を、図13のフローチャートを参照しながら詳細に説明する。図13は、図1に本発明の一実施形態として示した匿名性劣化情報出力防止装置300の動作の一例を示すフローチャートであり、図1に示したように、該匿名性劣化情報出力防止装置300に対して、突合対象となる複数の匿名加工情報それぞれを提供する複数のデータ提供元企業(A社、B社、C社)が所有するそれぞれの匿名加工データストア10、匿名加工データストア11、匿名加工データストア12が通信可能な状態で接続されて、複数の匿名加工情報の突合を行う突合システムとして構成されている場合を示している。
図13のフローチャートは、匿名性劣化情報出力防止装置300のオペレータの操作により、複数のデータ提供元企業(A社、B社、C社)それぞれの匿名加工情報に関する突合の指示がなされると起動して、まず、該オペレータの指示内容が、匿名性劣化情報出力防止装置300のセキュアメモリ領域部310内において動作する匿名加工情報突合部311に対して送信される。
匿名加工情報突合部311は、前記オペレータからの指示内容を受け取ると、セキュアメモリ領域部310内において、該指示内容において指定されている複数のデータ提供元企業(A社、B社、C社)それぞれの匿名加工データストア(匿名加工データストア10、匿名加工データストア11、匿名加工データストア12)にアクセスして、それぞれの匿名加工情報DB(匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120)から、それぞれの匿名加工情報を、突合すべき匿名加工情報として、読み込む(ステップS1)
次いで、匿名加工情報突合部311は、前記オペレータからの指示に従って、突合すべき匿名加工情報として読み込んだ、複数のデータ提供元企業(A社、B社、C社)それぞれに関する匿名加工情報の突合処理を行い、図14〜図16に示すような、突合済み匿名加工情報として生成する(ステップS2)。なお、匿名加工情報の突合処理としては、前述したように、匿名加工情報の各レコードそれぞれを構成する各項目(カラム)のうち、突合対象の複数の匿名加工情報のレコードそれぞれに共通する項目(欄:カラム)として同一の情報を有しているレコード同士を突合する。
ここで、図14は、図4に示したA社の匿名加工情報DB100から読み込んだ匿名加工情報と図10に示したC社の匿名加工情報DB120から読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルであり、図4の匿名加工情報と図10の匿名加工情報とを、利用会社・性別・年齢の各項目(各欄:各カラム)の情報が互いに合致する各項目(各欄:各カラム)同士を突合させて生成した突合済み匿名加工情報の一例を示している。すなわち、図14の突合済み匿名加工情報は、図4のA社の匿名加工情報の各項目(各欄:各カラム)に対して、図10のC社の匿名加工情報の利用時間帯欄の項目を組み合わせた情報によって構成される。
なお、図14の突合済み匿名加工情報の場合、最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数(さらに説明すると、レコードを構成する各項目(各欄:各カラム)のいずれも同一の情報になっているレコードの最少の個数)は、3個(すなわち、第1レコード〜第3レコードの3個のレコード、第4レコード〜第6レコードの3個のレコード、第7レコード〜第9レコードの3個のレコード、第10レコード〜第12レコードの3個のレコード)である。
また、図15は、図4に示したA社の匿名加工情報DB100から読み込んだ匿名加工情報と図12に示したC社の匿名加工情報DB120から読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルであり、図4の匿名加工情報と図12の匿名加工情報とを、図14の場合と同様に、利用会社・性別・年齢の各項目(各欄:各カラム)の情報が互いに合致する各項目(各欄:各カラム)同士を突合させて生成した突合済み匿名加工情報の一例を示している。すなわち、図15の突合済み匿名加工情報は、図4のA社の匿名加工情報の各項目(各欄:各カラム)に対して、図12のC社の匿名加工情報の利用時間帯欄の項目を組み合わせた情報によって構成される。
なお、図15の突合済み匿名加工情報の場合、最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数は、図14の場合とは異なり、1個(すなわち、第1レコード〜第3レコードの3個のレコード、第4レコード〜第6レコードの3個のレコード、第7レコードのみの1個のレコード、第8レコード〜第9レコードの2個のレコード、第10レコード〜第12レコードの3個のレコード)である。
また、図16は、図4に示したA社の匿名加工情報DB100から読み込んだ匿名加工情報と図7に示したB社の匿名加工情報DB110から読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルであり、図4の匿名加工情報と図7の匿名加工情報とを、利用会社・年齢の各項目(各欄:各カラム)の情報が互いに合致する各項目(各欄:各カラム)同士を突合させて生成した突合済み匿名加工情報の一例を示している。すなわち、図16の突合済み匿名加工情報は、図4のA社の匿名加工情報の各項目(各欄:各カラム)に対して、図7のB社の匿名加工情報の支払方式欄の項目を組み合わせた情報によって構成される。
なお、図7のB社の匿名加工情報は、前述したように、代金を現金ではなくキャッシュレスを用いて支払った場合について登録しているので、図16の突合済み匿名加工情報においては、図4のA社の匿名加工情報における支払方法が現金の場合の各レコード(第7レコード〜第9レコードの各レコード)に関しては、突合した支払方式欄(図7のB社の匿名加工情報の支払方式欄)は「−」(データ無しの旨を示す記号)が表示されている。
ここで、図16の突合済み匿名加工情報の場合、最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数は、図14の場合と同様、3個(すなわち、第1レコード〜第3レコードの3個のレコード、第4レコード〜第6レコードの3個のレコード、第7レコード〜第9レコードの3個のレコード、第10レコード〜第12レコードの3個のレコード)である。
図13のフローチャートの説明に戻って、匿名加工情報突合部311において図14〜図16に例示したような突合済み匿名加工情報を生成すると、次に、生成した各突合済み匿名加工情報の匿名性を検査するために、匿名加工情報検査部312を起動する。
起動された匿名加工情報検査部312は、匿名加工情報突合部311と同様、匿名性劣化情報出力防止装置300のセキュアメモリ領域部310内において動作する。そして、起動した匿名加工情報検査部312は、まず、匿名性確認部3121を起動して、匿名加工情報突合部311において生成した各突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有しているか否かを確認する(ステップS3)。
つまり、匿名加工情報突合部311において生成した各突合済み匿名加工情報と、突合済み匿名加工情報それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報と、のそれぞれにおける最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数に関する情報を取得する。そして、取得した突合済み匿名加工情報の前記最少同一レコード数が、該突合済み匿名加工情報の突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報の前記最少同一レコード数以上の値になっているか否かを確認する。
言い換えると、匿名加工情報突合部311において生成した突合済み匿名加工情報を構成する各レコードを確認し、該突合済み匿名加工情報におけるレコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、該突合済み匿名加工情報は、突合対象とする各データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断する。一方、前記突合済み匿名加工情報におけるレコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各データ提供元企業のうちのいずれか1ないし複数において前記匿名加工情報における前記同一レコードの最少の個数未満の値に絞り込まれてしまっていた場合には、該突合済み匿名加工情報は、突合対象とする各データ提供元企業の前記匿名加工情報のいずれかの匿名性よりも劣化したレベルの匿名性になっていると判断する。
ここで、前述したように、本実施形態においては、図14に示す突合済み匿名加工情報の前記最少同一レコード数は3個であり、該突合済み匿名加工情報の突合元となる図4の匿名加工情報の前記最少同一レコード数および図10の匿名加工情報の前記最少同一レコード数はいずれも3個である。また、図15に示す突合済み匿名加工情報の前記最少同一レコード数は1個であり、該突合済み匿名加工情報の突合元となる図4の匿名加工情報の前記最少同一レコード数は3個であり、図12の匿名加工情報の前記最少同一レコード数は2個である。また、図16に示す突合済み匿名加工情報の前記最少同一レコード数は3個であり、該突合済み匿名加工情報の突合元となる図4の匿名加工情報の前記最少同一レコード数および図7の匿名加工情報の前記最少同一レコード数はいずれも3個である。
したがって、図14および図16のそれぞれに示す突合済み匿名加工情報に関しては、いずれも、突合元の各データ提供元企業の匿名加工情報(図4の匿名加工情報、図10の匿名加工情報および図7の匿名加工情報)の場合と同様、前記最少同一レコード数は3個であり、突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報の前記最少同一レコード数以上の値になっている。したがって、図14および図16のそれぞれに示す突合済み匿名加工情報に関しては、突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有している場合であると判定して(ステップS3のYES)、ステップS4の処理に移行する。
これに対して、図15に示す突合済み匿名加工情報に関しては、前記最少同一レコード数が1個であり、突合元の一方の図4の匿名加工情報の前記最少同一レコード数が3個であり、突合元の他方の図12の匿名加工情報の前記最少同一レコード数が2個である。したがって、図15に示す突合済み匿名加工情報の前記最少同一レコード数は、突合元の図4および図12の匿名加工情報それぞれの前記最少同一レコード数よりも少ない値であり、図15に示す突合済み匿名加工情報に関しては、突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有していない場合であると判定して(ステップS3のNO)、ステップS7の処理に移行する。つまり、突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の匿名加工情報のいずれか1ないし複数における匿名性のレベル未満になっていることが確認された場合には、該突合済み匿名加工情報は、突合元のいずれか1ないし複数のデータ提供元企業の匿名加工情報よりも匿名性が劣化している情報であると判断して、ステップS7の処理に移行する。
図14および図16のそれぞれに示す突合済み匿名加工情報に関し、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有していると判定して、ステップS4の処理に移行すると、匿名加工情報検査部312は、次に、加工方針確認部3122を起動して、それぞれの突合元である各データ提供元企業(A社、B社、C社)の加工前情報DBと加工方針情報DBとにアクセスして、それぞれの加工前情報と加工方針情報とを読み込む(ステップS4)。
すなわち、図14に示す突合済み匿名加工情報の場合は、A社の匿名加工データストア10の加工前情報DB101と加工方針情報DB102とからA社の加工前情報(図2の加工前情報)と加工方針情報(図3の加工方針情報)とを読み込むとともに、C社の匿名加工データストア12の加工前情報DB121と加工方針情報DB122とからC社の加工前情報(図8の加工前情報)と加工方針情報(図9の加工方針情報)とを読み込む。
また、図16に示す突合済み匿名加工情報の場合は、A社の匿名加工データストア10の加工前情報DB101と加工方針情報DB102とからA社の加工前情報(図2の加工前情報)と加工方針情報(図3の加工方針情報)とを読み込むとともに、B社の匿名加工データストア11の加工前情報DB111と加工方針情報DB112とからB社の加工前情報(図5の加工前情報)と加工方針情報(図6の加工方針情報)とを読み込む。
匿名加工情報検査部312の加工方針確認部3122は、図14および図16のそれぞれに示す突合済み匿名加工情報に関して、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの加工前情報と加工方針情報とを読み込むと、突合対象とする各データ提供元企業(A社、B社、C社)それぞれの加工前情報と加工方針情報とを参照して、図14および図16のそれぞれに示す突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業における匿名化の加工方針を満たしているか否かを確認する(ステップS5)。
つまり、図14の突合済み匿名加工情報の場合は、突合元であるA社の加工前情報(図2の加工前情報)を匿名加工するための加工方針情報(図3の加工方針情報)およびC社の加工前情報(図8の加工前情報)を匿名加工するための加工方針情報(図9の加工方針情報)のいずれの加工方針も満たしているか否かを確認する。また、図16の突合済み匿名加工情報の場合は、突合元であるA社の加工前情報(図2の加工前情報)を匿名加工するための加工方針情報(図3の加工方針情報)およびB社の加工前情報(図5の加工前情報)を匿名加工するための加工方針情報(図6の加工方針情報)のいずれの加工方針も満たしているか否かを確認する。
図14の突合済み匿名加工情報の場合は、突合元であるA社の加工方針情報(図3の加工方針情報)およびC社の加工方針情報(図9の加工方針情報)のいずれの加工方針も満たしているので(ステップS5のYES)、加工方針とk−匿名性との双方を満たしている状態、すなわち、十分な匿名性が担保された安全性が高い状態の突合済み匿名加工情報であって、外部システムに対して出力することが可能な状態であると判断して、ステップS6に進む。
ステップS6に進むと、匿名加工情報検査部312は、突合結果処理部3123を起動して、加工方針とk−匿名性との双方を満たしている状態、すなわち、十分な匿名性が担保された安全性が高い状態の突合済み匿名加工情報を、匿名性劣化情報出力防止装置300から外部のシステムに対して出力して、処理を終了する(ステップS6)。
一方、図16の突合済み匿名加工情報の場合は、突合元であるA社の加工方針情報の支払方法欄の情報に対してC社の匿名加工情報の支払方式欄の情報がさらに結合されている状態になっているので、A社の加工前情報(図2の加工前情報)に対してk−匿名化を満たすように匿名加工を施していたA社の加工方針情報(図3の加工方針情報)に反した情報を生成してしまっている。
図16の突合済み匿名加工情報の場合についてさらに具体的に説明すると、次の通りである。すなわち、突合元であるデータ提供元企業の一つであるA社の匿名加工情報に関しては、A社の加工方針情報(図3の加工方針情報)に基づいて、A社の加工前情報(図2の加工前情報)の支払方法欄の情報(現金の他にキャッシュレスのA方式、B方式、C方式の情報が存在している)に対してk−匿名性を満たすように匿名加工(現金、キャッシュレスのいずれかに一般化した加工)を施して匿名加工情報(図4の匿名加工情報)を生成していた。
それにも関わらず、図16の突合済み匿名加工情報の場合、A社の該匿名加工情報に対して突合対象となるC社の匿名加工情報の支払方式欄の情報を結合した結果として、キャッシュレスのA方式、B方式、C方式に関する情報が追加されてしまい、突合元のA社の加工方針情報(図3の加工方針情報)に示した加工方針に反した情報が追加されている。
したがって、図16の突合済み匿名加工情報の場合は、突合元であるA社の加工方針情報(図3の加工方針情報)の加工方針を満たしていないので(ステップS5のNO)、突合元の加工方針を満たしていない状態すなわち匿名性が劣化した状態の突合済み匿名加工情報であると判断して、ステップS7に移行する。言い換えると、突合済み匿名加工情報が、突合対象とする各データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、該突合済み匿名加工情報の匿名性は劣化していると判断して、ステップS7に移行する。
ステップS7に移行すると、匿名加工情報検査部312は、突合結果処理部3123を起動して、突合元である各データ提供元企業の匿名加工情報以上の匿名性を有していない状態(ステップS3のNOの状態)または突合元である各データ提供元企業の加工方針を満たしていない状態(ステップS5のNOの状態)にある突合済み匿名加工情報を、k−匿名性を満たしていない状態または突合元の加工方針を満たしていない状態であって、匿名性が劣化した状態の情報であると判断された場合として、外部のシステムに対して出力することなく、破棄してしまうことにより、処理を終了する(ステップS7)。
(実施形態の効果の説明)
以上に詳細に説明したように、本実施形態に係る匿名性劣化情報出力防止装置300においては、以下のような効果を奏することができる。
すなわち、複数のデータ提供元企業が保有する匿名加工情報を突合して突合済み匿名加工情報を生成する際に、該突合済み匿名加工情報の匿名性を担保し、かつ、突合対象とする各データ提供元企業の匿名化の加工方針を満たした状態で、安全性が高い情報として生成されたか否かを確実に確認することが可能であるので、匿名性を有することが十分に担保された状態の突合済み匿名加工情報を外部システムに対して提供することが可能である。
さらに、該突合済み匿名加工情報を生成する際に、第三者によって傍受されることのないセキュアなメモリ空間(セキュアメモリ領域部310)を用いて動作させることにより、突合対象とする複数のデータ提供元企業が保有する加工前情報を第三者に対して漏洩させることもなく、安全に、各データ提供元企業が提供する匿名加工情報を突合させた突合済み匿名加工情報を生成することが可能である。
以上、本発明の好適な実施形態の構成を説明した。しかし、かかる実施形態は、本発明の単なる例示に過ぎず、何ら本発明を限定するものではないことに留意されたい。本発明の要旨を逸脱することなく、特定用途に応じて種々の変形変更が可能であることが、当業者には容易に理解できよう。
10 匿名加工データストア
11 匿名加工データストア
12 匿名加工データストア
100 匿名加工情報DB
101 加工前情報DB
102 加工方針情報DB
110 匿名加工情報DB
111 加工前情報DB
112 加工方針情報DB
120 匿名加工情報DB
121 加工前情報DB
122 加工方針情報DB
300 匿名性劣化情報出力防止装置
310 セキュアメモリ領域部
311 匿名加工情報突合部
312 匿名加工情報検査部
3121 匿名性確認部
3122 加工方針確認部
3123 突合結果処理部

Claims (10)

  1. 突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行う機能と、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能と、を有する匿名性劣化情報出力防止装置であって、
    ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部と、
    前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合部と、
    前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査部と、
    を有していることを特徴とする匿名性劣化情報出力防止装置。
  2. 前記匿名加工情報検査部は、内部に、
    突合対象とする各前記データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認部と、
    突合対象とする各前記データ提供元企業の前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認部と、
    前記匿名性確認部と前記加工方針確認部との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理部と、
    を有していることを特徴とする請求項1に記載の匿名性劣化情報出力防止装置。
  3. 前記匿名性確認部は、
    前記突合済み匿名加工情報を構成する各レコードを確認し、レコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、
    該突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断する、
    ことを特徴とする請求項2に記載の匿名性劣化情報出力防止装置。
  4. 前記突合結果処理部は、
    前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性のレベル以上であることが確認された場合であって、
    かつ、
    前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしていることが確認された場合には、
    前記突合済み匿名加工情報を外部システムへ出力する処理を行い、
    一方、
    前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業のいずれか1ないし複数における前記匿名加工情報の匿名性のレベル未満になっていることが確認された場合か、
    または、
    前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、
    前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う、
    ことを特徴とする請求項2または3に記載の匿名性劣化情報出力防止装置。
  5. 突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行うステップと、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止するステップと、を有する匿名性劣化情報出力防止方法であって、
    ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合ステップと、
    前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査ステップと、
    を有していることを特徴とする匿名性劣化情報出力防止方法。
  6. 前記匿名加工情報検査ステップは、内部に、
    突合対象とする各前記データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認ステップと、
    突合対象とする各前記データ提供元企業の前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認ステップと、
    前記匿名性確認ステップと前記加工方針確認ステップとの確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理ステップと、
    を有していることを特徴とする請求項5に記載の匿名性劣化情報出力防止方法。
  7. 前記匿名性確認ステップは、
    前記突合済み匿名加工情報を構成する各レコードを確認し、レコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、
    該突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断する、
    ことを特徴とする請求項6に記載の匿名性劣化情報出力防止方法。
  8. 前記突合結果処理ステップは、
    前記匿名性確認ステップにおける確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性のレベル以上であることが確認された場合であって、
    かつ、
    前記加工方針確認ステップにおける確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしていることが確認された場合には、
    前記突合済み匿名加工情報を外部システムへ出力する処理を行い、
    一方、
    前記匿名性確認ステップにおける確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業のいずれか1ないし複数における前記匿名加工情報の匿名性のレベル未満になっていることが確認された場合か、
    または、
    前記加工方針確認ステップにおける確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、
    前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う、
    ことを特徴とする請求項6または7に記載の匿名性劣化情報出力防止方法。
  9. 突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行う工程と、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する工程と、を有し、コンピュータにより実行される匿名性劣化情報出力防止プログラムであって、
    ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合工程と、
    前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査工程と、
    を有していることを特徴とする匿名性劣化情報出力防止プログラム。
  10. 前記匿名加工情報検査工程は、内部に、
    突合対象とする各前記データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認工程と、
    突合対象とする各前記データ提供元企業の前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認工程と、
    前記匿名性確認工程と前記加工方針確認工程との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理工程と、
    を有していることを特徴とする請求項9に記載の匿名性劣化情報出力防止プログラム。
JP2019231235A 2019-12-23 2019-12-23 匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラム Active JP7380183B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019231235A JP7380183B2 (ja) 2019-12-23 2019-12-23 匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019231235A JP7380183B2 (ja) 2019-12-23 2019-12-23 匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラム

Publications (2)

Publication Number Publication Date
JP2021099668A true JP2021099668A (ja) 2021-07-01
JP7380183B2 JP7380183B2 (ja) 2023-11-15

Family

ID=76541213

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019231235A Active JP7380183B2 (ja) 2019-12-23 2019-12-23 匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラム

Country Status (1)

Country Link
JP (1) JP7380183B2 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012067213A1 (ja) * 2010-11-16 2012-05-24 日本電気株式会社 情報処理システム及び匿名化方法
WO2013121739A1 (ja) * 2012-02-17 2013-08-22 日本電気株式会社 匿名化装置及び匿名化方法
JP2014170369A (ja) * 2013-03-04 2014-09-18 Nec Corp 情報処理装置、情報処理システム、及び、情報匿名化方法
WO2014185043A1 (ja) * 2013-05-15 2014-11-20 日本電気株式会社 情報処理装置、情報匿名化方法、及び、記録媒体
JP2015215676A (ja) * 2014-05-08 2015-12-03 学校法人慶應義塾 匿名化システム、発行装置及びプログラム
JP2017076303A (ja) * 2015-10-16 2017-04-20 株式会社フィールトラスト 情報処理システム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012067213A1 (ja) * 2010-11-16 2012-05-24 日本電気株式会社 情報処理システム及び匿名化方法
WO2013121739A1 (ja) * 2012-02-17 2013-08-22 日本電気株式会社 匿名化装置及び匿名化方法
US20150033356A1 (en) * 2012-02-17 2015-01-29 Nec Corporation Anonymization device, anonymization method and computer readable medium
JP2014170369A (ja) * 2013-03-04 2014-09-18 Nec Corp 情報処理装置、情報処理システム、及び、情報匿名化方法
WO2014185043A1 (ja) * 2013-05-15 2014-11-20 日本電気株式会社 情報処理装置、情報匿名化方法、及び、記録媒体
JP2015215676A (ja) * 2014-05-08 2015-12-03 学校法人慶應義塾 匿名化システム、発行装置及びプログラム
JP2017076303A (ja) * 2015-10-16 2017-04-20 株式会社フィールトラスト 情報処理システム

Also Published As

Publication number Publication date
JP7380183B2 (ja) 2023-11-15

Similar Documents

Publication Publication Date Title
US10848501B2 (en) Real time pivoting on data to model governance properties
US9852309B2 (en) System and method for securing personal data elements
US9842215B2 (en) Computer-implemented system and method for anonymizing encrypted data
Breaux et al. Legally “reasonable” security requirements: A 10-year FTC retrospective
JP2020064688A (ja) アクセス管理方法、情報処理装置、プログラム、及び記録媒体
Murphy et al. From a sea of data to actionable insights: Big data and what it means for lawyers
Hoover Compliance in the ether: Cloud computing, data security and business regulation
Ruivo et al. Data protection in services and support roles–a qualitative research amongst ICT professionals
Hoffman et al. Securing the HIPAA security rule
Andre Cybersecurity an enterprise risk issue
Anwar et al. A review of information privacy laws and standards for secure digital ecosystems
Thorogood et al. Protecting the Privacy of Canadians ‘Health Information in the Cloud
Karat et al. Policy framework for security and privacy management
Yoose Balancing privacy and strategic planning needs: A case study in de-identification of patron data
JP7380183B2 (ja) 匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラム
Kneuper Integrating data protection into the software life cycle
Wright Healthcare cybersecurity and cybercrime supply chain risk management
Salji et al. Trust-based Access Control Model with Quantification Method for Protecting Sensitive Attributes
Aserkar et al. Impact of personal data protection (PDP) regulations on operations workflow
Kamarinou et al. Responsibilities of controllers and processors of personal data in clouds
Daswani et al. The marriott breach
Yee Model for reducing risks to private or sensitive data
Sadki et al. Towards conflicts prevention among privacy policies: A comparative study of major privacy laws and regulations for healthcare
Rocchi Cybersecurity and Privacy Law Handbook: A beginner's guide to dealing with privacy and security while keeping hackers at bay
Manna et al. Edprl: A language for specifying data privacy requirements of enterprises

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230801

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230921

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231016

R151 Written notification of patent or utility model registration

Ref document number: 7380183

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151