JP4350399B2 - Information disclosure program - Google Patents

Information disclosure program Download PDF

Info

Publication number
JP4350399B2
JP4350399B2 JP2003070137A JP2003070137A JP4350399B2 JP 4350399 B2 JP4350399 B2 JP 4350399B2 JP 2003070137 A JP2003070137 A JP 2003070137A JP 2003070137 A JP2003070137 A JP 2003070137A JP 4350399 B2 JP4350399 B2 JP 4350399B2
Authority
JP
Japan
Prior art keywords
data
information disclosure
value
public
search
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003070137A
Other languages
Japanese (ja)
Other versions
JP2004280396A (en
Inventor
秀次 原嶋
公一 駒津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003070137A priority Critical patent/JP4350399B2/en
Publication of JP2004280396A publication Critical patent/JP2004280396A/en
Application granted granted Critical
Publication of JP4350399B2 publication Critical patent/JP4350399B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、各種企業や団体が有する各種の情報を情報公開要求に応じて公開するための情報公開プログラムに関する。
【0002】
【従来の技術】
各種企業や官庁等の各種団体においては、不特定多数の人から情報公開要求があった場合には、自己が有する各種の情報のうち公開しても支障のない情報を公開するようにしている。しかし、情報の公開においては、必要情報を公開すると同時にプライバシーや秘密情報の流出に注意しなければならない。
【0003】
近年、各種企業や官庁等の各種団体等の情報公開者においては、情報公開の便宜性を考慮して、インターネットによる情報公開が一般化している。
【0004】
情報公開者の情報公開装置のデータベース上に蓄積したデータに対するセキュリティについては、例えば、非特許文献1に記載されているように、データベースセキュリティとして研究が実施されている。データベースへのアクセス権の制御を行うアクセス制御や、アクセス権限の異なる利用者間でのデータの不正コピーなどを防ぐフロー制御などは比較的知られた技術である。
【0005】
また、予め有する知識と公開された統計情報を用いて非公開情報が推論されてしまうことを防ぐための推論制御も研究開発されている。例えば、統計情報の基となる情報の数が一定数(公開基準値K)を下回った場合には、統計情報を公開しない等の方法がある。これらの方法は、人間がDBMS(database management system)に端末からアクセスしたり、ブラウザを用いて公開サイトにアクセスするというケースを想定していた。
【0006】
しかし、XML(eXtensible Markup Language)などの汎用的なデータフォーマットを用いたコンピュータ間のデータ交換が普及すると、公開データもコンピュータによって読取られるケースが一般化すると予想される。この場合、公開データは一括して読取られることになる。
【0007】
例えば、企業における商品開発のための市場調査目的で、特定地域に住む特定性別の特定年齢層の人数を、自治体の情報公開装置における公開サイトを検索することによって調べる場合を検証する。この場合、自治体の公開された住民情報を用いて、例えば「26歳以上の女性の数」を、地区を徐々に狭めながら、すなわち情報の詳細度を徐々に高めながら検索する。最初は、市全体、次はXX町、さらに、XX町の各丁目を順番に検索する。
【0008】
このような検索を大量にあるいは一定時間毎に繰り返しコンピュータを用いて実施し、様々な非公開情報の推論を行うことが容易に可能となる。
【0009】
このとき、市場調査者の推論によるプライバシーの漏洩を防ぐために、前述したように、「26歳以上の女性の数」が例えば10人等の公開基準値(K=10)未満になったら結果を回答しない等の方策が実施されてきた。
【0010】
例えば、住民情報の例で考えてみると、データベースから読出して集計された実際の住民情報(26歳以上の女性の人数)が、
2001年3月1日現在 XX町1丁目:15人,2丁目:20人,3丁目:35人
2002年3月1日現在 XX町1丁目: 9人,2丁目:15人,3丁目:35人
であり、公開基準値Kが10人以上であったとする。
【0011】
この場合、2002年3月1日において1丁目は9人であるので、1丁目に限定した質問には結果を返さず、1丁目に限定されていない場合は、隣接する2丁目の15人と合計した24人を1〜2丁目の人数として公開するなどの対策実施される。したがって、
2001年3月1日現在の公開データは、
XX町1丁目:15人,2丁目:20人,3丁目:35人 となり、
2002年3月1日現在の公開データは、
XX町1〜2丁目:24人,3丁目:35人 となる。
【0012】
【非特許文献1】
Silvana Castano et.al. “DATABASE SECURITY”、Addison-Wesley Publishing Company ACM Press, 1994 p17-18
【0013】
【発明が解決しようとする課題】
しかしながら、上述したように、統計情報の基となる情報の数が一定数(公開基準値K)を下回った場合には、統計情報の公開を禁止するようにした情報公開手法においてもまだ解消すべき次のような課題があった。
【0014】
すなわち、前述したように、推論防止のためにデータ数によって公開データの詳細度を変えることが行われるが、コンピュータによる公開データに対する検索処理なので読出しを一定間隔で繰返し行うことが容易である。その結果、時間の推移とともに詳細度の変化を観察すると、ある時点でのデータの数が一定数以下であったことが容易に推論されてしまう。
【0015】
例えば、前述の例では、
2001年3月1日現在の公開データは、
XX町1丁目:15人,2丁目:20人,3丁目:35人 であり、
2002年3月1日現在の公開データは、
XX町1〜2丁目:24人,3丁目:35人 である。
【0016】
この場合、2002年3月1日現在の公開データにて初めて、1丁目と2丁目が合体されたので、公開基準値Kが14以上であることが判明し、さらに、2002年3月1日現在の1丁目及び2丁目の人数が合算した結果となっていることから、1丁目又は2丁目の26歳以上の女性の数が14以下であり、もう一方が24−14=10人いることが容易に推論できてしまう。
【0017】
このように、検索者側のコンピュータと情報公開者側のコンピュータとの間で公開データが授受される場合には、大量の検索を行ったり、時間をおいての繰り返し検索などが容易に可能であるので、情報公開者側としては、様々な推論を予想して詳細なデータの公開を抑制する必要がある。
【0018】
本発明はこのような事情に鑑みてなされたものであり、たとえ、コンピュータで情報の検索ができ、継続的な情報の読出しが容易に実施可能な環境下であっても、推論によるプライバシーや秘密情報の漏洩を防止でき、かつ一定以上の詳細な情報公開を実施できる情報公開プログラムを提供することを目的とする。
【0019】
【課題を解決するための手段】
上記課題を解消するために、本発明は、コンピュータに、コンピュータに、検索要求に応じてデータベースに記憶されたデータを読出して検索応答として公開する機能を実現させるための情報公開プログラムにおいて、コンピュータに、前記検索応答におけるデータ数の公開基準値を時間経過に伴ってランダムに設定する機能と、前記検索応答におけるデータ数が公開基準値以上の場合のみ前記検索要求に対して検索応答を返す機能とを実現させるようにしている。
【0020】
このように構成された情報公開プログラムにおいては、データによる公開基準値が時間経過に伴ってランダムに変化する。したがって、前回の検索実行時に、例えば指定された項目の属性値によって分類されたA区分のデータ数とB区分のデータ数とが個別に情報公開されていたが、今回の検索実行時に、A区分とB区分とを組合せてA区分のデータ数とB区分のデータ数とを合算したデータ数を公開したとしても、A区分、B区分がいくら以下に低下したかを推論できない。したがって、推論によるプライバシーやセキュリティが損なわれることが未然に防止できる。
【0021】
さらに、別の発明は、上述した情報公開プログラムにおいて、コンピュータに、データ数による公開の下限値を設定する機能と、データ数による公開の上限値を設定する機能とを実現させる。さらに、公開基準値をランダムに設定する機能は、公開基準値を下限値と上限値との間で時間経過に伴ってランダムに設定している。
【0022】
このように、公開基準値を下限値と上限値との間で変更することにより、否定形質問に対する推論を防止する事が可能となる。
【0023】
また、別の発明は、上述した情報公開プログラムにおいて、上限値にデータベースに記憶されたデータの総数から下限値を減算した値を採用している。
【0024】
また、別の発明は、コンピュータに、検索条件を指定した検索要求によりデータベースを検索し、前記データベースから、前記検索条件で指定した項目の値により分類された区分毎のデータ数を読出して検索応答として公開する機能を実現させるための情報公開プログラムにおいて、コンピュータに、前記検索応答におけるデータ数の公開基準値を設定する機能と、前記データベースに記憶された前記検索応答の対象となる各区分を、合算したデータ数が前記公開基準値以上でかつ上限値未満になるように、ランダムに組合せる機能と、前記組合せた区分と合算したデータ数とを前記検索応答に組込んで応答する機能と実現させるようにしている。
【0025】
このように構成された情報公開プログラムにおいては、データベースに記憶された各区分が、合算したデータ数が公開基準値以上でかつ上限値未満になるように、ランダムに組合される。また、のデータ数による公開基準値は固定であるが、データ数が公開基準値未満になると、結果的に他の区分と組合わされて、合算したデータ数が公開基準値以上となる。
【0026】
さらに、一つの区分が含まれる組合せは変更になるので、特定区分のデータ数が準値未満に低下したことを推論できない。したがって、先の発明の情報公開プログラムと同様に、推論によるプライバシーやセキュリティが損なわれることが未然に防止できる。
【0027】
また、別の発明においては、上述した情報公開プログラムにおいて、上限値として、公開基準値にデータベースに記憶された全部の区分のデータ数の加算値から公開基準値を減算した値を採用している。
【0028】
【発明の実施の形態】
以下、本発明の各実施形態を図面を用いて説明する。
(第1実施形態)
図1は本発明の第1実施形態に係る情報公開プログラムが適用される情報公開装置の概略構成を示すブロック図である。
【0029】
この第1実施形態の情報公開装置1は、情報公開を要求する検索者(コンピュータ)が所持する検索者端末2からインターネット3を介して検索条件を指定した検索要求が入力すると、データベース(DB)4に記憶された検索条件が指定する各区分のデータ数を読出して検索結果(検索応答)として、インターネット3を介して検索要求元の検索者端末2へ送信する。
【0030】
データベース4内には、図2(a)に示すように、住民毎に、調査年月日、住所、氏名、性別、年齢が記憶されている。
【0031】
図2(b)は、公開データ生成部14において、検索要求に応じて、この検索要求の検索条件でデータベース4を検索して、検索条件に合致した住民の人数を集計した結果を示す集計データの概念図である。
【0032】
図2(b)の集計データの概念図に示すように、検索条件に合致する今回の情報の公開日5、検索条件6、各区分7、各区分7のデータ数(人数)8が集計されている。各区分7はツリー条に構成されており、この実施形態においては、最大単位が「市」であり、中間単位が「町」であり、最小単位が「丁目」である。なお、区分7として、同一単位の区分を組合せることも可能である。
【0033】
図1において、設定部9は、この情報公開装置1の例えば管理者等からなる設定者10の指示に従って、前記各区分7のデータ数8の公開の下限値Ksを下限値記憶部11に設定する。なお、この実施形態においては、最小単位「丁目」の各区分7のデータ数8の公開の下限値Ksが設定される。この下限値未満のデータ数8の各区分7は、単独では公開されない。さらに、この設定部9は、設定者10の指示に従って、公開基準値Kaの更新期間T0を公開基準値更新期間記憶部12に設定する。
【0034】
時計回路13は、現在時刻t(年、月、日、時間、分)を計時して、公開データ生成部14へ送出する。前回更新時刻記憶部15は、公開基準値Kaにおける前回更新時刻t0を記憶する。乱数発生部16は、前記下限値Ksを超えて上限値(n―Ks)未満の条件を満足する公開基準値Kaを乱数として発生して、公開データ生成部14へ送出する。
【0035】
Ks<Ka<(n―Ks)
なお、上限値(n―Ks)におけるnは、今回の公開対象となる各区分7のデータ数8を加算した値である。例えば、図2(b)に示すデータベース4から読取って集計した集計データにおいては、今回の公開対象となる最小単位「丁目」の各区分7は6個であり、6個のデータ数8を加算した値nは112である。
【0036】
公開データ生成部14は、受付部17を介して検索条件を指定した検索要求が入力されると、データベース(DB)4に記憶された検索条件に該当するデータを読出して、その数と共に必要に応じてこれらを加工して、検索結果(検索応答)として、受付部17を介して出力する。
【0037】
コンピュータ等の一種の情報処理装置で構成された情報公開装置1内に設けられたHDD等の記憶装置18内に情報公開プログラム19が記憶されている。このコンピュータ等の情報公開装置1は、この情報公開プログラム19を起動させることによって、上述した各部9、11、12、14、15、16が実現される。
【0038】
そして、この情報公開装置1内に実現された公開データ生成部14は、図3に示す流れ図に従って、公開データの生成処理を実行する。
受付部17を介して検索条件を指定した検索が入力すると(S1)、入力された区分7を含む検索条件でデータベース4を検索して、検索条件に合致する全ての区分7のデータを読出して統計データを作成し、区分7のデータ数8(D1〜DN)を求める(S2)。そして、前回更新時刻記憶部15に記憶された前回更新時刻t0に公開基準値更新間隔記憶部12に記憶された更新間隔T0を加算した時刻(t0+T0)が時計回路13の現在時刻tに達したならば(S3)、
(t0+T0)<t
現在の公開基準値Kaの更新を実施する。
【0039】
すなわち、検索条件に合致する全ての区分7のデータ数8(D1〜DN)を加算した値nを算出して(S4)、乱数発生部16にて、前述したように、
Ks<Ka<(n―Ks)
を満足する乱数である公開基準値Kaを生成する。新規の公開基準値Kaが生成されると、現在時刻tを前回更新時刻t0として前回更新時刻記憶部15に書込む(S5)。
【0040】
そして、検索条件に合致する全ての区分7のデータ数8(D1〜DN)が、それぞれ、公開基準値Ka以上か否かを判断する(S6)。なお、S3にて、現在時刻tが更新時刻(t0+T0)に達していない場合は、直ちに、S6へ進み、検索条件に合致する全ての区分7のデータ数8(D1〜DN)が、それぞれ、公開基準値Ka以上か否かを判断する。
【0041】
一つの区分7のデータ数8(D1〜DN)でも、公開基準値Ka未満のデータ数8が存在すると(S6)、対象区分7とこの対象区分7に隣接する区分7とを組合せて、新規の組合せの区分7とし、対象区分7のデータ数8と隣接する区分7の合算したデータ数8が公開基準値Ka以上になるようにする。なお、2つの区分7を組合せても、合算したデータ数8が公開基準値Ka以上にならない場合は、さらに、隣接する区分7を合体させる(S7)。
【0042】
そして、各区分7単独のデータ数8、又は組合せの区分7のデータ数8が公開基準値Ka以上になると、これらの各区分7単独のデータ数8、又は組合せの区分7のデータ数8を公開データとして編集する(S8)。この編集された公開データを検索結果として、受付部17を介して検索者端末2へ応答する(S9)。
【0043】
このように構成された第1実施形態の情報公開プログラムが適用される情報公開装置1においては、検索条件で指定された区分7のデータ数8の公開基準値Kaが一定の更新間隔T0が経過する毎に、Ks<Ka<(n―Ks)の条件下で乱数生成部16を用いてランダムに変化する。
【0044】
したがって、前回の検索実行時に、特定の区分7のデータ数8が単独で情報公開されていたが、今回の検索実行時に、特定の区分7が隣接する他の区分7とを組合せて、両者のデータ数8を合算したデータ数を公開したとしても、特定の区分7のデータ数8がいくら以下に低下したことを推論できない。したがって、推論によるプライバシーやデータのセキュリティが損なわれることが未然に防止できる。
【0045】
また、公開基準値Kaを下限値Ksと上限値(n―Ks)との間でランダムに変更している。さらに、上限値(n―Ks)のうちnを公開対象の全部の区分7のデータ数8の加算値としている。したがって、公開基準値Kaが無制限に大きくなって、情報公開要求者(検索者)にとって、必要な情報(データ)が十分公開されない事態になることを未然に抑制している。
【0046】
(第2実施形態)
図4は本発明の第2実施形態に係る情報公開プログラムが適用される情報公開装置の概略構成を示すブロック図である。図1に示す第1実施形態に係る情報公開プログラムが適用される情報公開装置1と同一部分には同一符号を付して、重複する部分の詳細説明を省略する。
【0047】
この第2実施形態の情報公開装置1a内には、第1実施形態の情報公開装置1と同一構成のデータベース4及び受付部17が設けられている。さらに、情報公開装置1a内において、設定部9は、この情報公開装置1aの例えば管理者等からなる設定者10の指示に従って、各区分7のデータ数8の公開基準値Kaを公開基準値記憶部20に設定する。なお、この第2実施形態の情報公開装置1aにおける公開基準値Kaは固定値である。
【0048】
公開データ生成部14a内には、データベース4内における検索条件で指定された全ての区分7を要素とする部分集合Xiを作成する部分集合Xi作成部21と、この作成された各部分集合Xiを要素とする集合Yを作成する集合Y作成部22と、集合Y作成部22で作成された集合Yから公開可能な各区分7の組合せを公開候補として指定する公開候補指定部23と、指定された公開候補を一時記憶する公開候補メモリ24が設けられている。
【0049】
そして、公開データ生成部14aは、データベース4に記憶された各区分7を、合算したデータ数が公開基準値ka以上でかつ上限値(n―Ka)未満になるように、ランダムに組合せ、組合せた区分7と合算したデータ数8とを検索応答に組込んで応答する。
【0050】
コンピュータ等の一種の情報処理装置で構成された情報公開装置1a内に設けられたHDD等の記憶装置18内に情報公開プログラム19aが記憶されている。このコンピュータ等の情報公開装置1aは、この情報公開プログラム19aを起動させることによって、上述した各部9、14a、20、21、22、23、24が実現される。
【0051】
そして、この情報公開装置1a内に実現された公開データ生成部14aは、図5に示す流れ図に従って、公開データの生成処理を実行する。
受付部17を介して検索条件を指定した検索要求が入力すると(Q1)、入力された区分7を含む検索条件でデータベース4を検索して、検索条件に合致する全ての区分7のデータを読出して統計データを作成し、区分7のデータ数8(D1〜DN)を求める。そして、検索条件に合致する全ての区分7のデータ数8を加算した加算値(データ総数)nを算出する(Q2)。次に、公開候補メモリ24をクリアする(Q3)。
【0052】
そして、データベース4内における検索条件で指定された全ての区分7を要素とする部分集合Xiを作成する(Q4)。
この部分集合Xiの作成法を説明する。例えば、検索条件で指定された区分7の数がNであったとする。この場合、N桁で、0〜(2N―1)の2進数を生成し、これを添字とした要素(部分集合Xi)からなる集合を生成する。i=0〜(2N―1)すなわち、N個の各区分7における全ての組合せである2N個の部分集合X0〜X(2N―1)が作成される。
【0053】
ここで、部分集合Xiは生成したi番目の2進数のa桁目の値が1ならa番目のデータを含む対象区分7の部分集合である。例えば、Nすなわち区分7の数が10である場合、
X0=[0000000000]、X1=[0000000001]、
X2=[0000000010]、X3=[0000000011]、
...X(2N―1)=[1111111111]
という2の10乗の2進数が生成される。例えば、X3は[0000000011]を示し、9番目の区分7と10番目の区分7を含む部分集合である。
【0054】
次に、Xのすべての部分集合X0〜X(2N―1)を要素Y1〜Y2Nとする集合Yを生成する(Q5)。
【0055】
そして、集合Yの要素Ykについて(但しk=1〜2N)、先ず、kを1の初期値に設定する(k=1)(Q6)。次に、要素Ykを構成する部分集合Xmに含まれる「1」に設定されている各区分7のデータ数8の総和Sm(合算したデータ数)を求める(Q7)。そして、総和Smが
Ka<Sm<n―Ka
の関係を満たすとき(Q8)、部分集合Xmに含まれる各区分7の組合せと、各区分7のデータ数8の総和Sm(合算したデータ数)とを公開候補メモリ24に追加する(Q9)。なお、要素Ykを構成する部分集合Xmに含まれる「1」に設定されている区分7が1個の場合は、この1個の区分7のデータ数8を総和Smとみなして上記関係を判定する。
【0056】
次に、kを更新(k=k+1)し(Q10)、更新後のkが2Nを超えていないことを確認すると(Q11)、Q7へ戻り、要素Ykを構成する部分集合Xmに含まれる「1」に設定されている各区分7のデータ数8の総和Sm(合算したデータ数)を求める。
【0057】
更新後のkが2Nを超えると(Q11)、集合Yに含まれる2N個の全ての部分集合Xiにおける各区分7の組合せに対する検証が終了したので、公開候補メモリ24に書込まれた各区分7の組合せ、各区分7単独、及び対応する総和Sm(合算したデータ数)、単独のデータ数8を検索結果として応答する(Q12)。
【0058】
なお、この方法では、検索条件で指定された全ての区分7が公開候補に含まれるとは限らない。すべてを含まれるようにするためには、Q8において、「Kaより大きく(n―Ka)未満」に加え、Ykのすべての要素Xmの論理和がすべて1の2進数になる、という条件を加えればよい。
【0059】
このように構成された第2実施形態の情報公開プログラムが適用される情報公開装置1aにおいては、検索条件で指定された例えばN個の区分7における2N種類の全ての組合せを2N個の部分集合Xi(i=0〜2N―1)として作成している。そして、この2N種類の全ての組合せに対して、該当組合せのデータ数8の合算値(総和Sm)が「公開基準値Kaより大きく(n―Ka)未満」の条件を満たすとき、この組合せ及び合算値(総和Sm)を公開している。
【0060】
このように、一つの区分7は同時に複数の組合せに同時に組込まれるので、前回の検索時における該当区分7の所属する各組合せと、今回の検索時における該当区分7の所属する各組合せとは必ずしも一致せず、前回の各組合せのデータ数と今回の各組合せのデータ数とを比較対照したとしても、該当区分7のデータ数8が公開基準値Ka未満に低下したことを推論できない。したがって、推論によるプライバシーやセキュリティが損なわれることが未然に防止できる。
【0061】
(第3実施形態)
図6は、本発明の第3実施形態の情報公開プログラムが適用される情報公開装置に組込まれた公開データ生成部の動作を示す流れ図である。図5に示す第2実施形態の情報公開装置1aに組込まれた公開データ生成部14aの動作を示す流れ図と同一部分には同一符号を付して重複する部分の詳細説明を省略する。また、情報公開装置全体の構成は、図4に示した第2実施形態の情報公開装置1aとほぼ同じであるので、説明を省略する。
【0062】
この第3実施形態の情報公開装置においては、検索要求に含まれる検索条件で指定されたN個の区分7のうち、諸般の事情により、予め定められたM個(M<N)の区分7のデータ数8のみを公開対象とする。
【0063】
図6の流れ図において、検索要求が入力すると(Q1)、入力された区分7を含む検索条件でデータベース4を検索して、検索条件に合致する全ての区分7のデータを読出して統計データを作成し、区分7のデータ数8(D1〜DN)を求める。そして、検索条件に合致するN個全ての区分7のデータ数8を加算した加算値(データ総数)nを算出する(Q2)。次に、公開候補メモリ24をクリアする(Q3)。
【0064】
そして、データベース4内における検索条件で指定されたN個の区分7のうち予め定められたM個(M<N)の区分7を要素とする部分集合Xiを作成する(Q4a)。
この部分集合Xiの作成法を説明する。例えば、検索条件で指定された区分7の数がNであったとする。この場合、M桁で、0〜(2M―1)の2進数を生成し、これを添字とした要素Xiからなる集合を生成する。i=0〜(2M―1)となる。すなわち、公開対象のM個の各区分7における全ての組合せである2M個の部分集合X0〜X(2M―1)が作成される。
【0065】
ここで、部分集合Xiは生成したi番目の2進数のb桁目の値が1ならb番目のデータを含む対象区分7の部分集合である。例えば、Mすなわち公開対象の区分7の数が3で、かつ公開対象が1番目の区分7と、3番目の区分7と、5番目の区分7である場合、
X0=[000]、X1=[001]、X2=[010]、X3=[011]、
..X(2M―1)=[111]
という2の3乗の合計8個の2進数が生成される。例えば、X3は[011]を示し、公開対象の3番目の区分7と5番目の区分7を含む部分集合である。
【0066】
次に、Xのすべての部分集合X0〜X(2M―1)を要素Y1〜Y2Mとする集合Yを生成する(Q5a)。
【0067】
そして、集合Yの要素Ykについて(但しk=1〜2M)、先ず、kを1の初期値に設定する(k=1)(Q6)。次に、要素Ykを構成する部分集合Xmに含まれる「1」に設定されている公開対象の各区分7のデータ数8の総和Sm(合算したデータ数)を求める(Q7)。そして、総和Smが
Ka<Sm<n―Ka
の関係を満たすとき(Q8)、部分集合Xmに含まれる各区分7の組合せと、各区分7のデータ数8の総和Sm(合算したデータ数)とを公開候補メモリ24に追加する(Q9)。なお、要素Ykを構成する部分集合Xmに含まれる「1」に設定されている公開対象の区分7が1個の場合は、この1個の区分7のデータ数8を総和Smとみなして上記関係を判定する。
【0068】
kを更新(k=k+1)し(Q10)、更新後のkが2Mを超えていないことを確認すると(Q11a)、Q7へ戻り、要素Ykを構成する部分集合Xmに含まれる「1」に設定されている公開対象の各区分7のデータ数8の総和Sm(合算したデータ数)を求める。
【0069】
更新後のkが2Mを超えると(Q11a)、集合Yに含まれる2M個の全ての部分集合Xiにおける公開対象の各区分7の組合せに対する検証が終了したので、公開候補メモリ24に書込まれた公開対象の各区分7の組合せ、各区分7単独、及び対応する総和Sm(合算したデータ数)、単独のデータ数8を検索結果として応答する(Q12)。
【0070】
なお、この方法では、検索条件で指定された全ての区分7が公開候補に含まれるとは限らない。すべてを含まれるようにするためには、Q8において、「Kaより大きく(n―Ka)未満」に加え、Ykのすべての要素Xmの論理和がすべて1の2進数になる、という条件を加えればよい。
【0071】
このように構成された第3実施形態の情報公開プログラムが適用される情報公開装置においては、検索条件で指定されたN個の区分7のうちの予め指定されたM(M<N)個の区分7の全ての組合せを2M個の部分集合Xi(i=0〜2M―1)として作成している。そして、この2M種類の全ての組合せに対して、該当組合せのデータ数8の合算値(総和Sm)が「公開基準値Kaより大きく(n―Ka)未満」の条件を満たすとき、この組合せ及び合算値(総和Sm)を公開している。
【0072】
したがって、前述した第2実施形態の情報公開プログラムが適用される情報公開装置1aとほぼ同様の作用効果を奏することが可能である。
【0073】
なお、上記各実施形態で説明した各構成要素は、自由に組合せてもよく、また複数の要素に分割してもよい。また、実施形態における情報公開プログラム19、19aは、複数のコンピュータ上に分散され、互いに連携しつつ動作してもよい。
【0074】
さらに、情報公開プログラム19、19aは通信媒体により伝送してコンピュータに適用可能である。情報公開プログラム19、19aを読み込んだコンピュータは、情報公開プログラム19、19aによって動作が制御され、上述した機能を実現する。
【0075】
【発明の効果】
以上説明したように、本発明の情報公開プログラムにおいては、公開基準値を時間経過に伴ってランダムに変更したり、公開基準値を下回った場合の区分の組合せを結果的にランダムに変更している。
【0076】
したがって、たとえ、コンピュータで情報の検索ができ、継続的な情報の読出しが容易に実施可能な環境下であっても、推論によるプライバシーや秘密情報の漏洩を防止でき、かつ一定以上の詳細な情報公開を実施できる。
【図面の簡単な説明】
【図1】 本発明の第1実施形態の情報公開プログラムが適用される情報公開装置の概略構成を示すブロック図
【図2】 同実施形態の情報公開装置に組込まれたデータベースの記憶内容及び集計データを示す図
【図3】 同実施形態の情報公開装置に組込まれた公開データ生成部の動作を示す流れ図
【図4】 本発明の第2実施形態の情報公開プログラムが適用される情報公開装置の概略構成を示すブロック図
【図5】 同実施形態の情報公開装置に組込まれた公開データ生成部の動作を示す流れ図
【図6】 本発明の第2実施形態の情報公開プログラムが適用される情報公開装置組込まれた公開データ生成部の動作を示す流れ図
【符号の説明】
1,1a…情報公開装置、2…検索者端末、3…インターネット、4…データベース、7…区分、8…データ数、9…設定部、10…設定者、11…下限値記憶部、12…公開基準値更新間隔記憶部、13…時計回路、14,14a…公開データ生成部、15…前回更新時刻記憶部、16…乱数生成部、17…受付部、18…記憶装置、19,19a…情報公開プログラム、20…公開基準値記憶部、21…部分集合Xi作成部、22…集合Y作成部、23…公開候補指定部、24…公開候補メモリ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an information disclosure program for publishing various information held by various companies and organizations in response to an information disclosure request.
[0002]
[Prior art]
In various organizations such as various companies and government offices, when there is a request for information disclosure from an unspecified number of people, information that does not interfere with the disclosure of the various information that it owns is disclosed. . However, in the disclosure of information, it is necessary to pay attention to the leakage of privacy and confidential information at the same time as the necessary information is disclosed.
[0003]
2. Description of the Related Art In recent years, information disclosure over the Internet has become common for information publishers such as various companies and various organizations such as government offices in consideration of convenience of information disclosure.
[0004]
As for security for data stored on the database of the information disclosure apparatus of the information publisher, research is being conducted as database security as described in Non-Patent Document 1, for example. Access control for controlling access rights to a database and flow control for preventing unauthorized copying of data between users with different access rights are relatively known techniques.
[0005]
In addition, inference control for preventing non-public information from being inferred using previously held knowledge and public statistical information has been researched and developed. For example, when the number of pieces of information on which statistical information is based falls below a certain number (public reference value K), there is a method of not releasing statistical information. These methods assume the case where a human accesses a DBMS (database management system) from a terminal or accesses a public site using a browser.
[0006]
However, when data exchange between computers using a general-purpose data format such as XML (eXtensible Markup Language) becomes widespread, it is expected that cases in which public data is read by a computer will be generalized. In this case, the public data is read collectively.
[0007]
For example, for the purpose of market research for product development in a company, the case of examining the number of people in a specific age group of a specific gender living in a specific region by searching a public site in a local government information disclosure device is verified. In this case, using the public information of the local government, for example, “number of women over 26” is searched while gradually narrowing the district, that is, gradually increasing the level of detail of the information. First, the entire city is searched, then XX town, and then each XX town is searched in turn.
[0008]
It is possible to easily infer various kinds of non-public information by repeatedly performing such a search in large quantities or at regular intervals using a computer.
[0009]
At this time, in order to prevent the leakage of privacy due to the inference of market researchers, as described above, if the “number of women over 26” is less than the public reference value (K = 10) such as 10 people, the result is obtained. Measures such as not answering have been implemented.
[0010]
For example, in the case of inhabitant information, the actual inhabitant information (number of women over 26) read from the database and aggregated is
As of March 1, 2001 XX Town 1-chome: 15 people, 2-chome: 20 people, 3-chome: 35 people
As of March 1, 2002 XX Town 1-chome: 9 people, 2-chome: 15 people, 3-chome: 35 people
It is assumed that the public reference value K is 10 or more.
[0011]
In this case, as of 1st March 2002, there are 9 people in 1 chome, so the question limited to 1 chome will not return a result. Measures will be taken, such as opening up a total of 24 people as the number of people in 1-2. Therefore,
Public data as of March 1, 2001 is
XX town 1 chome: 15 people, 2 chome: 20 people, 3 chome: 35 people,
The public data as of March 1, 2002 is
XX town 1-2 chome: 24 people, 3 chome: 35 people.
[0012]
[Non-Patent Document 1]
Silvana Castano et.al. “DATABASE SECURITY”, Addison-Wesley Publishing Company ACM Press, 1994 p17-18
[0013]
[Problems to be solved by the invention]
However, as described above, when the number of pieces of information serving as the basis of statistical information falls below a certain number (public reference value K), the information disclosure method that prohibits the disclosure of statistical information still solves the problem. There were the following problems.
[0014]
That is, as described above, in order to prevent inference, the degree of detail of public data is changed according to the number of data. However, since the search processing is performed on public data by a computer, it is easy to repeatedly read out data at regular intervals. As a result, when the change in the detail level is observed with the transition of time, it is easily inferred that the number of data at a certain point in time is less than a certain number.
[0015]
For example, in the example above,
Public data as of March 1, 2001 is
XX town 1-chome: 15 people, 2-chome: 20 people, 3-chome: 35 people,
The public data as of March 1, 2002 is
XX town 1-2 chome: 24 people, 3 chome: 35 people.
[0016]
In this case, since the 1st and 2nd streets were merged for the first time in the public data as of March 1, 2002, it became clear that the public reference value K was 14 or more. Since the current number of 1st and 2nd streets has been added up, the number of women aged 26 or older in 1st and 2nd streets is 14 or less, and the other is 24-14 = 10. Can be easily inferred.
[0017]
In this way, when public data is exchanged between the computer on the searcher side and the computer on the information publisher side, a large amount of searches or repeated searches over time can be easily performed. Therefore, it is necessary for the information publisher to suppress the disclosure of detailed data in anticipation of various inferences.
[0018]
The present invention has been made in view of such circumstances. Even in an environment where information can be retrieved by a computer and continuous information can be easily read out, privacy and confidentiality by inference can be achieved. An object of the present invention is to provide an information disclosure program that can prevent leakage of information and can perform more than a certain amount of detailed information disclosure.
[0019]
[Means for Solving the Problems]
In order to solve the above-described problems, the present invention provides an information disclosure program for causing a computer to realize a function of reading data stored in a database in response to a search request and disclosing it as a search response. , Search A function that randomly sets the public reference value of the number of data in the response over time, Search Only when the number of data in the response is greater than the public reference value Above Search request Search against A function to return a response is realized.
[0020]
In the information disclosure program configured as described above, the disclosure reference value based on data changes randomly with time. Therefore, at the time of the previous search execution, for example, the number of data of the A section classified by the attribute value of the specified item and the number of data of the B section were individually disclosed. Even if the number of data that is the sum of the number of data in section A and the number of data in section B is disclosed by combining the section B and section B, How much less I can't infer that it has fallen. Therefore, it is possible to prevent the privacy and security due to inference from being impaired.
[0021]
Furthermore, in another information disclosure program described above, the computer realizes a function of setting a lower limit value of the disclosure based on the number of data and a function of setting an upper limit value of the disclosure based on the number of data. Furthermore, the function of setting the disclosure reference value randomly sets the disclosure reference value at random between the lower limit value and the upper limit value as time elapses.
[0022]
In this way, by changing the public reference value between the lower limit value and the upper limit value, it is possible to prevent inference for a negative question.
[0023]
Another invention employs a value obtained by subtracting the lower limit value from the total number of data stored in the database to the upper limit value in the information disclosure program described above.
[0024]
Another invention relates to a computer, A search condition was specified Search request By The database Specified in the search condition from the database. In an information disclosure program for realizing the function of reading out the number of data for each category classified by the value of an item and publishing it as a search response, A function of setting a public reference value of the number of data in the search response; Stored in the database Target of the search response The total number of data for each category Above A function of combining randomly and a function of responding by incorporating the combined number of data and the total number of data into the search response so as to be equal to or greater than the public reference value and less than the upper limit value are realized.
[0025]
In the information disclosure program configured as described above, the respective categories stored in the database are randomly combined so that the total number of data is greater than or equal to the disclosure reference value and less than the upper limit value. Further, the disclosure standard value based on the number of data is fixed, but when the number of data becomes less than the disclosure standard value, the result is combined with other categories, and the total number of data becomes equal to or greater than the disclosure standard value.
[0026]
Furthermore, since the combination including one category is changed, it cannot be inferred that the number of data in the specific category has dropped below the quasi-value. Therefore, like the information disclosure program of the previous invention, it is possible to prevent the privacy and security due to inference from being impaired.
[0027]
In another invention, in the above-described information disclosure program, a value obtained by subtracting the disclosure reference value from the addition value of the number of data of all the categories stored in the database is adopted as the disclosure reference value as the upper limit value. .
[0028]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
(First embodiment)
FIG. 1 is a block diagram showing a schematic configuration of an information disclosure apparatus to which an information disclosure program according to the first embodiment of the present invention is applied.
[0029]
The information disclosure apparatus 1 according to the first embodiment receives a search request designating a search condition from the searcher terminal 2 possessed by a searcher (computer) requesting information disclosure via the Internet 3. 4 is read out and transmitted as a search result (search response) to the searcher terminal 2 that is the search request source via the Internet 3.
[0030]
In the database 4, as shown in FIG. 2 (a), the survey date, address, name, sex, and age are stored for each inhabitant.
[0031]
FIG. 2B shows aggregated data indicating the result of the public data generation unit 14 searching the database 4 using the search conditions of the search request in response to the search request and totaling the number of residents that match the search condition. FIG.
[0032]
As shown in the conceptual diagram of the total data in FIG. 2B, the disclosure date 5 of the current information that matches the search condition, the search condition 6, each category 7, and the number of data (number of people) 8 in each category 7 are totaled. ing. Each section 7 is configured in a tree form. In this embodiment, the maximum unit is “city”, the intermediate unit is “town”, and the minimum unit is “chome”. Note that as the category 7, it is possible to combine categories of the same unit.
[0033]
In FIG. 1, the setting unit 9 sets the disclosure lower limit value Ks for the number of data 8 of each section 7 in the lower limit value storage unit 11 in accordance with an instruction from a setting person 10, such as an administrator of the information disclosure apparatus 1. To do. In this embodiment, the lower limit value Ks for disclosure of the number of data 8 in each section 7 of the minimum unit “chome” is set. Each section 7 of the number of data 8 less than the lower limit value is not open to the public. Further, the setting unit 9 follows the instruction from the setter 10 to update the public reference value Ka. 0 Is set in the public reference value update period storage unit 12.
[0034]
The clock circuit 13 measures the current time t (year, month, day, hour, minute) and sends it to the public data generation unit 14. The last update time storage unit 15 stores the last update time t in the public reference value Ka. 0 Remember. The random number generation unit 16 generates a public reference value Ka that satisfies the condition of exceeding the lower limit value Ks and less than the upper limit value (n−Ks) as a random number, and sends it to the public data generation unit 14.
[0035]
Ks <Ka <(n−Ks)
Note that n in the upper limit (n−Ks) is a value obtained by adding the number of data 8 of each division 7 to be disclosed this time. For example, in the aggregated data read and compiled from the database 4 shown in FIG. 2B, there are 6 divisions 7 of the minimum unit “chome” to be disclosed this time, and the 6 data number 8 is added. The value n is 112.
[0036]
When a search request specifying a search condition is input via the accepting unit 17, the public data generation unit 14 reads data corresponding to the search condition stored in the database (DB) 4 and needs it together with the number thereof. These are processed accordingly and output as a search result (search response) via the receiving unit 17.
[0037]
An information disclosure program 19 is stored in a storage device 18 such as an HDD provided in the information disclosure device 1 constituted by a kind of information processing device such as a computer. The information disclosure apparatus 1 such as a computer implements the above-described units 9, 11, 12, 14, 15, and 16 by starting the information disclosure program 19.
[0038]
The public data generation unit 14 realized in the information disclosure apparatus 1 executes public data generation processing according to the flowchart shown in FIG.
When a search specifying a search condition is input via the accepting unit 17 (S1), the database 4 is searched with the search condition including the input category 7, and data of all the categories 7 matching the search condition is read out. Create statistical data. Number of data in Category 7 (D 1 ~ D N ) Is obtained (S2). Then, the last update time t stored in the last update time storage unit 15 0 Update interval T stored in the public reference value update interval storage unit 12 0 The time (t 0 + T 0 ) Reaches the current time t of the clock circuit 13 (S3),
(T 0 + T 0 ) <T
Update the current public reference value Ka.
[0039]
That is, the number of data 8 (D 1 ~ D N ) Is calculated (S4), and the random number generator 16 calculates the value as described above.
Ks <Ka <(n−Ks)
A public reference value Ka that is a random number satisfying the above is generated. When a new public reference value Ka is generated, the current time t is changed to the last update time t. 0 Is written in the last update time storage unit 15 (S5).
[0040]
And the number of data 8 (D 1 ~ D N ) Are each greater than or equal to the public reference value Ka (S6). At S3, the current time t is updated to the update time (t 0 + T 0 ), The process immediately proceeds to S6, and the number of data 8 (D 1 ~ D N ) Are each equal to or greater than the public reference value Ka.
[0041]
Number of data in one division 7 (D 1 ~ D N However, if there are 8 data items less than the public reference value Ka (S6), the target category 7 and the category 7 adjacent to the target category 7 are combined to form a new category 7, and the data of the target category 7 The sum of the number 8 of data in the section 7 adjacent to the number 8 is set to be equal to or greater than the public reference value Ka. If the total number of data 8 does not exceed the public reference value Ka even if the two sections 7 are combined, the adjacent sections 7 are further merged (S7).
[0042]
When the number of data 8 for each category 7 or the number 8 of data for the category 7 of the combination is equal to or greater than the public reference value Ka, the number of data 8 for each category 7 or the number of data 8 for the category 7 Edit as public data (S8). The edited public data is returned as a search result to the searcher terminal 2 via the receiving unit 17 (S9).
[0043]
In the information disclosure apparatus 1 to which the information disclosure program of the first embodiment configured as described above is applied, the disclosure reference value Ka of the number of data 8 of the category 7 specified by the search condition is a constant update interval T. 0 Each time, the random number generator 16 is used to change randomly under the condition of Ks <Ka <(n−Ks).
[0044]
Therefore, when the previous search execution, the number of data 8 of the specific section 7 was disclosed alone, but at the time of the current search execution, the specific section 7 is combined with another adjacent section 7, Even if the total number of data 8 is disclosed, it cannot be inferred that the number 8 of data in a specific category 7 has decreased below. Therefore, it is possible to prevent the privacy and data security due to inference from being impaired.
[0045]
Also, the public reference value Ka is randomly changed between the lower limit value Ks and the upper limit value (n−Ks). Furthermore, n is an added value of the number of data 8 of all the divisions 7 to be disclosed, out of the upper limit value (n−Ks). Therefore, it is possible to prevent the disclosure reference value Ka from increasing unrestricted and the information disclosure requester (searcher) from sufficiently disclosing necessary information (data).
[0046]
(Second Embodiment)
FIG. 4 is a block diagram showing a schematic configuration of an information disclosure apparatus to which the information disclosure program according to the second embodiment of the present invention is applied. The same parts as those of the information disclosure apparatus 1 to which the information disclosure program according to the first embodiment shown in FIG. 1 is applied are denoted by the same reference numerals, and detailed description of the overlapping parts is omitted.
[0047]
In the information disclosure apparatus 1a of the second embodiment, a database 4 and a reception unit 17 having the same configuration as the information disclosure apparatus 1 of the first embodiment are provided. Further, in the information disclosure apparatus 1a, the setting unit 9 stores the disclosure reference value Ka of the number 8 of data in each category 7 according to the instruction of the setter 10 composed of, for example, an administrator of the information disclosure apparatus 1a. Set to unit 20. The disclosure reference value Ka in the information disclosure apparatus 1a of the second embodiment is a fixed value.
[0048]
In the public data generation unit 14a, a subset Xi generation unit 21 that generates a subset Xi having all the categories 7 specified by the search condition in the database 4 as elements, and each of the generated subsets Xi A set Y creating unit 22 that creates a set Y as an element, and a public candidate designating unit 23 that designates a combination of each category 7 that can be disclosed from the set Y created by the set Y creating unit 22 as a public candidate. A public candidate memory 24 for temporarily storing the public candidates is provided.
[0049]
Then, the public data generation unit 14a randomly combines and combines the sections 7 stored in the database 4 so that the total number of data is greater than or equal to the public reference value ka and less than the upper limit value (n−Ka). The section 7 and the total number of data 8 are incorporated into the search response and responded.
[0050]
An information disclosure program 19a is stored in a storage device 18 such as an HDD provided in an information disclosure device 1a constituted by a kind of information processing device such as a computer. The information disclosure apparatus 1a such as a computer implements the above-described units 9, 14a, 20, 21, 22, 23, and 24 by starting the information disclosure program 19a.
[0051]
Then, the public data generation unit 14a realized in the information disclosure apparatus 1a executes public data generation processing according to the flowchart shown in FIG.
When a search request specifying a search condition is input via the receiving unit 17 (Q1), the database 4 is searched with the search condition including the input category 7, and data of all the categories 7 matching the search condition is read. Statistical data is created and the number of data in Category 7 is 8 (D 1 ~ D N ) Then, an added value (total number of data) n is calculated by adding the number of data 8 of all the sections 7 matching the search condition (Q2). Next, the disclosure candidate memory 24 is cleared (Q3).
[0052]
Then, a subset Xi having all the segments 7 designated by the search condition in the database 4 as elements is created (Q4).
A method of creating this subset Xi will be described. For example, assume that the number of categories 7 specified by the search condition is N. In this case, 0 to (2 in N digits. N -Generate a binary number of 1), and generate a set of elements (subset Xi) with the subscript as a subscript. i = 0 to (2 N -1) That is, 2 that are all combinations in each of N divisions 7 N Subsets X0 to X (2 N ―1) is created.
[0053]
Here, if the value of the a-th digit of the generated i-th binary number is 1, the subset Xi is a subset of the target section 7 including the a-th data. For example, when N, that is, the number of divisions 7 is 10,
X0 = [0000000000], X1 = [0000000001],
X2 = [0000000010], X3 = [0000000011],
. . . X (2 N ―1) = [1111111111]
2 to the 10th power is generated. For example, X3 represents [0000000011] and is a subset including the ninth section 7 and the tenth section 7.
[0054]
Next, all subsets X0 to X (2 of X N ―1) elements Y1 to Y2 N A set Y is generated (Q5).
[0055]
And about the element Yk of the set Y (however, k = 1-2) N First, k is set to an initial value of 1 (k = 1) (Q6). Next, a total sum Sm (total number of data) of the number of data 8 of each section 7 set to “1” included in the subset Xm constituting the element Yk is obtained (Q7). And the sum Sm is
Ka <Sm <n-Ka
(Q8), the combination of each section 7 included in the subset Xm and the sum Sm (total number of data) of the number 8 of data in each section 7 are added to the public candidate memory 24 (Q9). . When there is one section 7 set to “1” included in the subset Xm constituting the element Yk, the number of data 8 of this one section 7 is regarded as the sum Sm and the above relationship is determined. To do.
[0056]
Next, k is updated (k = k + 1) (Q10), and the updated k is 2 N (Q11), the process returns to Q7, and the sum Sm of the number of data 8 of each section 7 set to “1” included in the subset Xm constituting the element Yk (the total number of data) )
[0057]
K after update is 2 N Exceeds (Q11), 2 included in set Y N Since the verification for the combinations of the respective sections 7 in all the subsets Xi has been completed, the combinations of the respective sections 7 written in the open candidate memory 24, the respective sections 7 alone, and the corresponding total sum Sm (the total number of data ), The single data number 8 is returned as a search result (Q12).
[0058]
In this method, not all the categories 7 specified by the search condition are included in the disclosure candidates. In order to include all, in Q8, in addition to “greater than Ka (less than n−Ka)”, a condition is added that the logical sum of all elements Xm of Yk becomes a binary number of all 1. That's fine.
[0059]
In the information disclosure apparatus 1a to which the information disclosure program of the second embodiment configured as described above is applied, for example, 2 in N categories 7 specified by the search condition. N 2 for all combinations of types N Subsets Xi (i = 0-2) N -Prepared as 1). And this 2 N When the total value (total Sm) of the data number 8 of the corresponding combination satisfies the condition of “greater than public reference value Ka (less than n−Ka)” for all combinations of the types, this combination and total value (total Sm).
[0060]
Thus, since one category 7 is simultaneously incorporated into a plurality of combinations at the same time, each combination to which the relevant category 7 belongs at the time of the previous search and each combination to which the relevant category 7 belongs at the time of the current search are not necessarily Even if the number of data of each previous combination and the number of data of each combination of this time are compared and contrasted, it cannot be inferred that the number of data 8 of the corresponding category 7 has decreased below the public reference value Ka. Therefore, it is possible to prevent the privacy and security due to inference from being impaired.
[0061]
(Third embodiment)
FIG. 6 is a flowchart showing the operation of the public data generation unit incorporated in the information disclosure apparatus to which the information disclosure program of the third embodiment of the present invention is applied. The same parts as those in the flowchart showing the operation of the public data generation unit 14a incorporated in the information disclosure apparatus 1a according to the second embodiment shown in FIG. Further, the overall configuration of the information disclosure apparatus is substantially the same as that of the information disclosure apparatus 1a of the second embodiment shown in FIG.
[0062]
In the information disclosure apparatus according to the third embodiment, among N sections 7 specified by the search condition included in the search request, M sections (M <N) that are determined in advance according to various circumstances are included. Only the number of data 8 is to be disclosed.
[0063]
In the flowchart of FIG. 6, when a search request is input (Q1), the database 4 is searched with the search condition including the input category 7, and the data of all the categories 7 that match the search condition is read and statistical data is created. And the number of data in category 7 (D 1 ~ D N ) Then, an addition value (total number of data) n is calculated by adding the number of data 8 of all N sections 7 that match the search condition (Q2). Next, the disclosure candidate memory 24 is cleared (Q3).
[0064]
Then, a subset Xi having M (M <N) predetermined divisions 7 among N divisions 7 designated by the search condition in the database 4 as an element is created (Q4a).
A method of creating this subset Xi will be described. For example, assume that the number of categories 7 specified by the search condition is N. In this case, 0 to (2 in M digits M -A binary number of 1) is generated, and a set of elements Xi with the subscript as a subscript is generated. i = 0 to (2 M ―1) That is, all combinations in the M divisions 7 of the disclosure target are 2 M Subsets X0 to X (2 M ―1) is created.
[0065]
Here, the subset Xi is a subset of the target section 7 including the b-th data if the value of the generated i-th binary b digit is 1. For example, when M, that is, the number of categories 7 to be disclosed is 3, and the items to be disclosed are the first category 7, the third category 7, and the fifth category 7,
X0 = [000], X1 = [001], X2 = [010], X3 = [011],
. . X (2 M ―1) = [111]
A total of eight binary numbers of 2 to the power of 2 are generated. For example, X3 represents [011] and is a subset including the third section 7 and the fifth section 7 to be disclosed.
[0066]
Next, all subsets X0 to X (2 of X M ―1) elements Y1 to Y2 M A set Y is generated (Q5a).
[0067]
And about the element Yk of the set Y (however, k = 1-2) M First, k is set to an initial value of 1 (k = 1) (Q6). Next, the sum Sm (total number of data) of the number of data 8 of each section 7 to be disclosed set to “1” included in the subset Xm constituting the element Yk is obtained (Q7). And the sum Sm is
Ka <Sm <n-Ka
(Q8), the combination of each section 7 included in the subset Xm and the sum Sm (total number of data) of the number 8 of data in each section 7 are added to the public candidate memory 24 (Q9). . In addition, when the number of disclosure target sections 7 set to “1” included in the subset Xm constituting the element Yk is one, the number of data 8 of the one section 7 is regarded as the sum Sm and the above. Determine the relationship.
[0068]
k is updated (k = k + 1) (Q10), and the updated k is 2 M Is confirmed (Q11a), the process returns to Q7, where the sum Sm of the number of data 8 for each division 7 to be disclosed set to “1” included in the subset Xm constituting the element Yk (summation) Data number).
[0069]
K after update is 2 M (Q11a), 2 included in set Y M Since the verification for the combination of each section 7 to be published in all the subsets Xi is completed, the combination of each section 7 to be published written in the publication candidate memory 24, each section 7 alone, and the corresponding sum Sm (total number of data) and single data number 8 are returned as search results (Q12).
[0070]
In this method, not all the categories 7 specified by the search condition are included in the disclosure candidates. In order to include all, in Q8, in addition to “greater than Ka (less than n−Ka)”, a condition is added that the logical sum of all elements Xm of Yk becomes a binary number of all 1. That's fine.
[0071]
In the information disclosing apparatus to which the information disclosing program of the third embodiment configured as described above is applied, M (M <N) pre-designated out of N sections 7 designated by the search condition. 2 for all combinations of Category 7 M Subsets Xi (i = 0-2) M -Prepared as 1). And this 2 M When the total value (total Sm) of the data number 8 of the corresponding combination satisfies the condition of “greater than public reference value Ka (less than n−Ka)” for all combinations of the types, this combination and total value (total Sm).
[0072]
Therefore, it is possible to achieve substantially the same operational effects as the information disclosure apparatus 1a to which the information disclosure program of the second embodiment described above is applied.
[0073]
In addition, each component demonstrated by each said embodiment may be combined freely, and may be divided | segmented into a some element. The information disclosure programs 19 and 19a in the embodiment may be distributed on a plurality of computers and operate in cooperation with each other.
[0074]
Further, the information disclosure programs 19 and 19a can be applied to a computer by being transmitted through a communication medium. The operation of the computer that has read the information disclosure programs 19 and 19a is controlled by the information disclosure programs 19 and 19a, thereby realizing the functions described above.
[0075]
【The invention's effect】
As described above, in the information disclosure program of the present invention, the disclosure standard value is changed randomly with the passage of time, or the combination of classifications when the disclosure standard value falls below the result is changed randomly. Yes.
[0076]
Therefore, even in an environment where information can be retrieved by a computer and continuous information can be easily read, privacy and confidential information leakage due to inference can be prevented, and more than a certain amount of detailed information can be obtained. Can be published.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a schematic configuration of an information disclosure apparatus to which an information disclosure program according to a first embodiment of the present invention is applied.
FIG. 2 is a view showing stored contents and aggregated data of a database incorporated in the information disclosure apparatus of the embodiment;
FIG. 3 is a flowchart showing the operation of a public data generation unit incorporated in the information disclosure apparatus of the embodiment;
FIG. 4 is a block diagram showing a schematic configuration of an information disclosure apparatus to which an information disclosure program according to the second embodiment of the present invention is applied.
FIG. 5 is a flowchart showing the operation of a public data generation unit incorporated in the information disclosure apparatus of the embodiment;
FIG. 6 is a flowchart showing the operation of the public data generation unit incorporated in the information disclosure apparatus to which the information disclosure program of the second embodiment of the present invention is applied.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1,1a ... Information disclosure apparatus, 2 ... Searcher terminal, 3 ... Internet, 4 ... Database, 7 ... Classification, 8 ... Number of data, 9 ... Setting part, 10 ... Setting person, 11 ... Lower limit storage part, 12 ... Public reference value update interval storage unit, 13 ... clock circuit, 14, 14a ... public data generation unit, 15 ... last update time storage unit, 16 ... random number generation unit, 17 ... reception unit, 18 ... storage device, 19, 19a ... Information disclosure program, 20 ... public reference value storage unit, 21 ... subset Xi creation unit, 22 ... set Y creation unit, 23 ... public candidate designation unit, 24 ... public candidate memory

Claims (5)

コンピュータに、検索要求に応じてデータベースに記憶されたデータを読出して検索応答として公開する機能を実現させるための情報公開プログラムにおいて、
コンピュータに、
前記検索応答におけるデータ数の公開基準値を時間経過に伴ってランダムに設定する機能と、
前記検索応答におけるデータ数が前記公開基準値以上の場合のみ前記検索要求に対して検索応答を返す機能と
を実現させることを特徴とする情報公開プログラム。In an information disclosure program for causing a computer to realize a function of reading data stored in a database in response to a search request and publishing it as a search response,
On the computer,
A function of randomly setting a public reference value of the number of data in the search response as time passes;
Information disclosure program, characterized in that to achieve a function of the number of data in the search response returns a search response against the search request only if at least the public reference value. コンピュータに、前記検索応答におけるデータ数の公開の下限値を設定する機能と、前記検索応答におけるデータ数の公開の上限値を設定する機能とを実現させ、
前記公開基準値をランダムに設定する機能は、前記公開基準値を前記下限値と前記上限値との間で、時間経過に伴ってランダムに設定する
ことを特徴とする請求項1記載の情報公開プログラム。A computer, a function of setting a lower limit value of the data number of the public in the search response, to realize a function of setting the upper limit of the number of data published in the search response,
Wherein the ability to set a random public reference value, the public reference value between the upper limit and the lower limit value, information disclosure of claim 1, wherein the set randomly over time program. 前記上限値は、前記データベースに記憶されたデータの総数から前記下限値を減算した値であることを特徴とする請求項2記載の情報公開プログラム。  3. The information disclosure program according to claim 2, wherein the upper limit value is a value obtained by subtracting the lower limit value from the total number of data stored in the database. コンピュータに、検索条件を指定した検索要求によりデータベースを検索し、前記データベースから、前記検索条件で指定した項目の値により分類された区分毎のデータ数を読出して検索応答として公開する機能を実現させるための情報公開プログラムにおいて、
コンピュータに、
前記検索応答におけるデータ数の公開基準値を設定する機能と、
前記データベースに記憶された前記検索応答の対象となる各区分を、合算したデータ数が前記公開基準値以上でかつ上限値未満になるように、ランダムに組合せる機能と、
前記組合せた区分と合算したデータ数とを前記検索応答に組込んで応答する機能と
実現させることを特徴とする情報公開プログラム。The computer searches the database by specifying a search condition search request, from the database, thereby realizing the functions to be exposed as search response the number of data for each classified by the value of the specified item classification reads that in the retrieval condition In the information disclosure program for
On the computer,
A function of setting a public reference value of the number of data in the search response;
Each segment of interest of the search response stored in the database, as summed the number of data is less than the the public reference value or more and the upper limit value, a function of combining randomly,
An information publishing program that realizes a function of incorporating and combining the combination classification and the total number of data into the search response. 前記上限値は、前記データベースに記憶された全部の区分のデータ数の加算値から前記公開基準値を減算した値であることを特徴とする請求項4記載の情報公開プログラム。  5. The information disclosure program according to claim 4, wherein the upper limit value is a value obtained by subtracting the disclosure reference value from an addition value of the number of data of all sections stored in the database.
JP2003070137A 2003-03-14 2003-03-14 Information disclosure program Expired - Fee Related JP4350399B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003070137A JP4350399B2 (en) 2003-03-14 2003-03-14 Information disclosure program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003070137A JP4350399B2 (en) 2003-03-14 2003-03-14 Information disclosure program

Publications (2)

Publication Number Publication Date
JP2004280396A JP2004280396A (en) 2004-10-07
JP4350399B2 true JP4350399B2 (en) 2009-10-21

Family

ID=33286961

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003070137A Expired - Fee Related JP4350399B2 (en) 2003-03-14 2003-03-14 Information disclosure program

Country Status (1)

Country Link
JP (1) JP4350399B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6264656B2 (en) * 2014-05-08 2018-01-24 学校法人慶應義塾 Anonymization system, issuing device and program

Also Published As

Publication number Publication date
JP2004280396A (en) 2004-10-07

Similar Documents

Publication Publication Date Title
Abowd et al. An economic analysis of privacy protection and statistical accuracy as social choices
Wang et al. Searchable encryption over feature-rich data
Domingo-Ferrer et al. From t-closeness to differential privacy and vice versa in data anonymization
Matturdi et al. Big Data security and privacy: A review
Song et al. Discovering high utility itemsets based on the artificial bee colony algorithm
Kinney et al. Synlbd 2.0: improving the synthetic longitudinal business database
CN106021541A (en) Secondary k-anonymity privacy protection algorithm for differentiating quasi-identifier attributes
Lin et al. Efficient hiding of confidential high-utility itemsets with minimal side effects
Miquel-Ribé et al. The Wikipedia diversity observatory: A project to identify and bridge content gaps in Wikipedia
Mohammadi et al. A genetic algorithm for simultaneous lotsizing and sequencing of the permutation flow shops with sequence-dependent setups
Zhao et al. Global optimization for generalized linear multiplicative programming using convex relaxation
Khan et al. Graph-based management and mining of blockchain data
Gagliardelli et al. A big data platform exploiting auditable tokenization to promote good practices inside local energy communities
Yan et al. Multi-keywords fuzzy search encryption supporting dynamic update in an intelligent edge network
Walambe et al. Integration of explainable AI and blockchain for secure storage of human readable justifications for credit risk assessment
JP4350399B2 (en) Information disclosure program
Ni et al. Differential private preservation multi-core DBScan clustering for network user data
CN108647243A (en) Industrial big data storage method based on time series
Mai et al. An efficient approach for mining closed high utility itemsets and generators
Narula et al. Privacy preservation using various anonymity models
Bao et al. PMRS: A privacy-preserving multi-keyword ranked search over encrypted cloud data
CN110851431A (en) Data processing method and device for data center station
Liu et al. Secure data publishing of private trajectory in edge computing of iot
Sheela et al. Information Retrieval in Business Industry Using Blockchain Technology and Artificial Intelligence
Zhang et al. A new method for identifying key and common themes based on text mining: An example in the field of urban expansion

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090106

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090630

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090722

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120731

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130731

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees