しかし、既存技術の手段では一般ユーザの日常的な行動と矛盾しない疑似的なデータを作成できるとは限らない。また、秘匿できるデータが位置情報のみとなる制限もあった。
本発明は上述のような課題に鑑みてなされたものであり、一般ユーザのユーザ行動データを必要により秘匿してプライバシを保護するようなことができるデータ処理システム、そのデータ処理装置およびユーザ端末装置、そのコンピュータプログラムおよびデータ処理方法、を提供するものである。
本発明のデータ処理システムは、一般ユーザの現状を反映して所定のデータサービスシステムに提供されるユーザ行動データを発生するデータ発生手段と、発生した現状のユーザ行動データを取得するデータ取得手段と、取得された現状のユーザ行動データを蓄積するデータ蓄積手段と、蓄積された現状のユーザ行動データをデータサービスシステムに提供するデータ提供手段と、提供される現状のユーザ行動データを秘匿するかを所定条件で判定する条件判定手段と、秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから生成する疑似生成手段と、生成された疑似行動データを蓄積される現状のユーザ行動データに付加させるデータ秘匿手段と、を有する。
本発明のデータ処理装置は、本発明のデータ処理システムにデータ発生手段およびデータサービスシステムとともに利用されるデータ処理装置であって、データ発生手段が発生した現状のユーザ行動データを取得するデータ取得手段と、取得された現状のユーザ行動データを蓄積するデータ蓄積手段と、蓄積された現状のユーザ行動データをデータサービスシステムに提供するデータ提供手段と、提供される現状のユーザ行動データを秘匿するかを所定条件で判定する条件判定手段と、秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから生成する疑似生成手段と、生成された疑似行動データを蓄積される現状のユーザ行動データに付加させるデータ秘匿手段と、を有する。
本発明のユーザ端末装置は、本発明のデータ処理システムにデータサービスシステムとともに利用されるユーザ端末装置であって、一般ユーザの現状を反映して所定のデータサービスシステムに提供されるユーザ行動データを発生するデータ発生手段と、発生した現状のユーザ行動データを取得するデータ取得手段と、取得された現状のユーザ行動データを蓄積するデータ蓄積手段と、蓄積された現状のユーザ行動データをデータサービスシステムに提供するデータ提供手段と、提供される現状のユーザ行動データを秘匿するかを所定条件で判定する条件判定手段と、秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから生成する疑似生成手段と、生成された疑似行動データを蓄積される現状のユーザ行動データに付加させるデータ秘匿手段と、を有する。
本発明の第一のコンピュータプログラムは、本発明のデータ処理装置のコンピュータプログラムであって、データ発生手段が発生した現状のユーザ行動データを取得するデータ取得処理と、取得された現状のユーザ行動データを蓄積するデータ蓄積処理と、蓄積された現状のユーザ行動データをデータサービスシステムに提供するデータ提供処理と、提供される現状のユーザ行動データを秘匿するかを所定条件で判定する条件判定処理と、秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから生成する疑似生成処理と、生成された疑似行動データを蓄積される現状のユーザ行動データに付加させるデータ秘匿処理と、をデータ処理装置に実行させる。
本発明の第二のコンピュータプログラムは、本発明のユーザ端末装置のコンピュータプログラムであって、一般ユーザの現状を反映して所定のデータサービスシステムに提供されるユーザ行動データを発生するデータ発生処理と、発生した現状のユーザ行動データを取得するデータ取得処理と、取得された現状のユーザ行動データを蓄積するデータ蓄積処理と、蓄積された現状のユーザ行動データをデータサービスシステムに提供するデータ提供処理と、提供される現状のユーザ行動データを秘匿するかを所定条件で判定する条件判定処理と、秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから生成する疑似生成処理と、生成された疑似行動データを蓄積される現状のユーザ行動データに付加させるデータ秘匿処理と、をユーザ端末装置に実行させる。
本発明の第一のデータ処理方法は、本発明のデータ処理装置のデータ処理方法であって、データ発生手段が発生した現状のユーザ行動データを取得するデータ取得動作と、取得された現状のユーザ行動データを蓄積するデータ蓄積動作と、蓄積された現状のユーザ行動データをデータサービスシステムに提供するデータ提供動作と、提供される現状のユーザ行動データを秘匿するかを所定条件で判定する条件判定動作と、秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから生成する疑似生成動作と、生成された疑似行動データを蓄積される現状のユーザ行動データに付加させるデータ秘匿動作と、を有する。
本発明の第二のデータ処理方法は、本発明のユーザ端末装置のデータ処理方法であって、一般ユーザの現状を反映して所定のデータサービスシステムに提供されるユーザ行動データを発生するデータ発生動作と、発生した現状のユーザ行動データを取得するデータ取得動作と、取得された現状のユーザ行動データを蓄積するデータ蓄積動作と、蓄積された現状のユーザ行動データをデータサービスシステムに提供するデータ提供動作と、提供される現状のユーザ行動データを秘匿するかを所定条件で判定する条件判定動作と、秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから生成する疑似生成動作と、生成された疑似行動データを蓄積される現状のユーザ行動データに付加させるデータ秘匿動作と、を有する。
なお、本発明の各種の構成要素は、その機能を実現するように形成されていればよく、例えば、所定の機能を発揮する専用のハードウェア、所定の機能がコンピュータプログラムにより付与されたデータ処理装置、コンピュータプログラムによりデータ処理装置に実現された所定の機能、これらの任意の組み合わせ、等として実現することができる。
また、本発明の各種の構成要素は、必ずしも個々に独立した存在である必要はなく、複数の構成要素が一個の部材として形成されていること、一つの構成要素が複数の部材で形成されていること、ある構成要素が他の構成要素の一部であること、ある構成要素の一部と他の構成要素の一部とが重複していること、等でもよい。
また、本発明のコンピュータプログラムおよびデータ処理方法は、複数の処理および動作を順番に記載してあるが、その記載の順番は複数の処理および複数の動作を実行する順番を限定するものではない。
このため、本発明のコンピュータプログラムおよびデータ処理方法を実施するときには、その複数の処理および複数の動作の順番は内容的に支障しない範囲で変更することができる。
さらに、本発明のコンピュータプログラムおよびデータ処理方法は、複数の処理および複数の動作が個々に相違するタイミングで実行されることに限定されない。このため、ある処理および動作の実行中に他の処理および動作が発生すること、ある処理および動作の実行タイミングと他の処理および動作の実行タイミングとの一部ないし全部が重複していること、等でもよい。
また、本発明で云うデータ処理装置およびユーザ端末装置は、コンピュータプログラムを読み取って対応する処理動作を実行できるように、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、I/F(Interface)ユニット、等の汎用デバイスで構築されたハードウェア、所定の処理動作を実行するように構築された専用の論理回路、これらの組み合わせ、等として実施することができる。
なお、本発明でコンピュータプログラムに対応した各種動作をデータ処理装置やユーザ端末装置に実行させることは、各種デバイスをデータ処理装置に動作制御させることなども意味している。
例えば、データ処理装置などに各種データを蓄積させることは、データ処理装置に固定されているHDD(Hard Disc Drive)等の情報記憶媒体にCPUが各種データを格納すること、データ処理装置に交換自在に装填されているCD−R(Compact Disc-Recordable)等の情報記憶媒体にCPUがCDドライブで各種データを格納すること、等を許容する。
本発明のデータ処理システムでは、一般ユーザの現状を反映して所定のデータサービスシステムに提供されるユーザ行動データをデータ発生手段が発生し、発生した現状のユーザ行動データをデータ取得手段が取得する。取得されたユーザ行動データをデータ蓄積手段が蓄積し、蓄積された現状のユーザ行動データをデータサービスシステムにデータ提供手段が提供する。ただし、提供される現状のユーザ行動データを秘匿するかを所定条件で条件判定手段が判定する。これで秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから疑似生成手段が生成する。生成された疑似行動データを蓄積される現状のユーザ行動データにデータ秘匿手段が付加する。従って、データサービスシステムに提供される一般ユーザの現状のユーザ行動データが、例えば、一般ユーザの指定やシステムの自動判断などにより疑似行動データに部分的に置換される。このため、一般ユーザのユーザ行動データを必要により秘匿してプライバシを保護するようなことができる。特に、ユーザ行動データを秘匿する疑似行動データが、蓄積されている過去のユーザ行動データから生成されるので、不自然な疑似行動データでユーザ行動データが秘匿されて疑義が発生するようなことも防止できる。
本発明の実施の第一の形態を図面を参照して以下に説明する。まず、図1ないし図3に示すように、本実施の形態のデータ処理システム100は、ユーザ端末装置110とデータ処理装置120とデータ提供先システム130とを有する。
ユーザ端末装置110は、例えば、携帯電話端末やパーソナルコンピュータなどからなり、一般ユーザ(図示せず)のユーザ行動データを発生する。データ提供先システム130は、例えば、一般ユーザと契約する携帯電話業者のサーバシステムなどからなり、契約によりユーザ行動データの記録などを実行する。
このため、図2に示すように、データ提供先システム130には多数のユーザ端末装置110が有線や無線で接続されている。ただし、本実施の形態のデータ処理システム100では、ユーザ端末装置110の少なくとも一部が、データ処理装置120を経由してデータ提供先システム130に接続されている。
このデータ処理装置120は、例えば、所定業者の通信ユニットやコンピュータユニットや記憶デバイス等を有するコンピュータ装置からなり、契約などによりデータ提供先システム130に記録されるユーザ行動データの秘匿をサービスとして提供する。
このデータ処理装置120は、コンピュータユニットが実装されているコンピュータプログラムに対応して各種ハードウェアを機能させることなどにより、例えば、図1に示すように、データ受信装置121、疑似データ生成装置122、データベース装置123、データ送信装置124、等を有している。
同様に、ユーザ端末装置110もコンピュータ装置からなり、実装されているコンピュータプログラムに対応して各種ハードウェアを機能させることなどにより、図3に示すように、データ発生部111や秘匿指定部112が形成されている。
データ発生部111は、一般ユーザの現状を反映して所定のデータサービスシステムであるデータ提供先システム130に提供されるユーザ行動データを発生する。例えば、ユーザ端末装置110が、いわゆるGPS携帯電話の場合、その移動軌跡データがユーザ行動データとしてGPSユニット(図示せず)により発生される。
秘匿指定部112は、上述のようにユーザ行動データが発生されるときに秘匿の有無を指定するユーザ開示ポリシが一般ユーザに指定される。これは、上述のようにGPS携帯電話からなるユーザ端末装置110のキーボードへの所定操作をコンピュータユニットが認識する機能などに相当する。
上述のようなユーザ端末装置110とデータ提供先システム130とを中継するデータ処理装置120は、より詳細には、図3に示すように、発生した現状のユーザ行動データを取得するデータ取得手段であるデータ受信装置121と、取得された現状のユーザ行動データを蓄積するデータ蓄積手段であるデータベース装置123と、蓄積された現状のユーザ行動データをデータ提供先システム130に提供するデータ提供手段であるデータ送信装置124と、提供される現状のユーザ行動データを秘匿するかを所定条件で判定する条件判定部125と、秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから生成する疑似生成手段である疑似データ生成装置122と、生成された疑似行動データを蓄積される現状のユーザ行動データに付加するデータ秘匿部126と、を有する。
なお、データ受信装置121は、前述のようにユーザ端末装置110で指定されたユーザ開示ポリシをユーザ行動データとともに取得するので、条件判定部125は、取得されたユーザ開示ポリシに対応して現状のユーザ行動データを秘匿するかを判定する。また、疑似データ生成装置122は、蓄積されている過去の複数のユーザ行動データから現状のユーザ行動データに類似した一つを選定して疑似行動データを生成する。
さらに、詳細には後述するが、データ送信装置124は、リアルタイムに提供している疑似行動データが提供していない現状のユーザ行動データと整合すると疑似行動データの提供を終了するとともに現状のユーザ行動データの提供を再開してもよい。また、条件判定部125は、疑似行動データを生成できる過去のユーザ行動データが検索されないと現状のユーザ行動データをデータ提供先システム130に提供させてもよい。
前述のように、上述のようなデータ処理装置120の各部は必要により各種ハードウェアを利用して実現されるが、本質的にはコンピュータユニットがコンピュータプログラムに対応して機能することで実現されている。
このようなコンピュータプログラムは、例えば、ユーザ端末装置110のデータ発生部111が発生した現状のユーザ行動データを取得するデータ取得処理と、取得された現状のユーザ行動データを蓄積するデータ蓄積処理と、蓄積された現状のユーザ行動データをデータ提供先システム130に提供するデータ提供処理と、提供される現状のユーザ行動データを秘匿するかを所定条件で判定する条件判定処理と、秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから生成する疑似生成処理と、生成された疑似行動データを蓄積される現状のユーザ行動データに付加するデータ秘匿処理と、をデータ処理装置120に実行させるように記述されている。
上述のような構成において、本実施の形態のデータ処理システム100の動作を以下に説明する。まず、ユーザ端末装置110を利用する一般ユーザは、所望によりユーザ行動データを記録するサービスを、データ提供先システム130の業者と契約する。
このようなサービスを契約した一般ユーザは、さらに所望により、その記録されるユーザ行動データを必要により秘匿するサービスをデータ処理装置120の業者と契約する。
上述のような状態で、例えば、一般ユーザの行動に対応してユーザ端末装置110がユーザ行動データを生成し、これがデータ提供先システム130に送信されて記録される。
ただし、ユーザ行動データがデータ処理装置120を経由して送信される場合は、一般ユーザの所望によりユーザ行動データの少なくとも一部を疑似行動データと置換することができる。
その場合、一般ユーザは所望によりユーザ端末装置110の手動操作でユーザ行動データの秘匿を指定する。すると、図4に示すように、この入力操作に対応したユーザ開示ポリシがユーザ行動データとともにユーザ端末装置110からデータ処理装置120に送信される。
このデータ処理装置120では、図6に示すように、疑似データ生成装置122はデータ受信装置121を経由してユーザ端末装置110からユーザ行動データを受信する(ステップ201)。
疑似データ生成装置122はユーザ開示ポリシが真値を渡さないことを示している場合(ステップ202−Y)、過去のユーザ行動データを参照して疑似行動データを作成し(ステップ203〜204)、ユーザ行動データに付加する(ステップ205)。
このとき、ユーザ行動データは、図5に示すように、本来のユーザ行動データである真値、疑似行動データからなる偽値、ユーザ開示ポリシ、の一組から構成されることになる。
ユーザ開示ポリシが真値を渡すことを示している場合は(ステップ202−N)、ステップ203〜205の処理は行われない。ユーザ行動データは、上述のような秘匿の有無に関係なくデータベース装置123に蓄積される(ステップ206)。
続いて、データ提供先システム130にユーザ行動データを渡す際、データ提供先システム130がユーザ開示ポリシの偽値利用対象だった場合(ステップ207−Y)、ユーザ行動データから偽値を抽出する(ステップ209)。
偽値利用対象でなかった場合は(ステップ207−N)、真値を抽出する(ステップ208)。最後に抽出したデータをデータ提供先システム130に送信する(ステップ210)。
以上のように、本実施の形態のデータ処理システム100では、従来と同様に、一般ユーザの現状を反映して所定のデータ提供先システム130に提供されるユーザ行動データをデータ発生部111が発生し、発生した現状のユーザ行動データをデータ受信装置121が取得する。取得されたユーザ行動データをデータベース装置123が蓄積し、蓄積された現状のユーザ行動データをデータ提供先システム130にデータ送信装置124が提供する。
ただし、従来とは相違して、提供される現状のユーザ行動データを秘匿するかを所定条件で条件判定部125が判定する。それで秘匿すると判定されると蓄積される現状のユーザ行動データと矛盾せず相違する疑似行動データを蓄積されている過去のユーザ行動データから疑似データ生成装置122が生成する。生成された疑似行動データを蓄積される現状のユーザ行動データにデータ秘匿部126が付加する。
従って、データ提供先システム130に提供される一般ユーザの現状のユーザ行動データが、例えば、一般ユーザの指定やシステムの自動判断などにより疑似行動データに部分的に置換される。
このため、一般ユーザのユーザ行動データを必要により秘匿してプライバシを保護するようなことができる。特に、ユーザ行動データを秘匿する疑似行動データが、蓄積されている過去のユーザ行動データから生成されるので、不自然な疑似行動データでユーザ行動データが秘匿されて疑義が発生するようなことも防止できる。
しかも、ユーザ行動データが発生されるときに秘匿の有無を指定するユーザ開示ポリシが一般ユーザによりユーザ端末装置110で指定されると、データ処理装置120は、指定されたユーザ開示ポリシをユーザ行動データとともに取得し、取得されたユーザ開示ポリシに対応して現状のユーザ行動データを秘匿するかを判定する。このため、一般ユーザの所望のタイミングで簡単かつ確実にユーザ行動データを秘匿することができる。
さらに、データ処理装置120は、蓄積されている過去の複数のユーザ行動データから現状のユーザ行動データに類似した一つを選定して疑似行動データを生成する。このため、簡単な処理でユーザ行動データを巧妙に秘匿することができる。
ここで、上述のようなデータ処理装置120の動作を図7ないし図16を参照して以下に具体的に説明する。まず、偽値の生成手順の第一の具体例を図7および図8に基づいて説明する。
ここでは前提としてデータベース装置123に蓄積されている一般ユーザのユーザ行動データの中に「偽値を返す」を選んでいないB−D−Eの経路に該当するものがあるとする。一般ユーザがA−B−C−E−Fの経路で移動する時に、B−E区間で「偽値を返す」設定をした場合、過去の位置情報の記録B−D−Eが偽値として生成される。
図9および図10のように一般ユーザがE地点に到着する前に過去のユーザ行動データが無くなった場合は偽値は値なし(Null)とする。逆に図11および図12のように一般ユーザが過去のユーザ行動データがD地点に達した段階で早くE地点に到着した場合は、D地点からE地点までの距離に応じた一定時間偽値を値なしとし、D地点からE地点へ急に移動したように見えないようにする。真値の位置に追いついた時点(G地点)で偽値の使用を解除する。
図13および図14のように一般ユーザがC地点以外(図11および図12のC地点)で「偽値を返す」設定を解除した場合、偽値で使用しているユーザ行動データの現在地から一般ユーザの現在地までの距離に応じた一定時間偽値を値なしとし、D地点からH地点へ急に移動したように見えないようにする。
ステップ202において、一般ユーザが明示的に「偽値を返す」設定をしなくても、疑似データ生成装置122が過去の位置情報からずれた位置情報を受信した場合は自動的に「偽値を返す」設定を行い、位置情報が過去の位置情報と一致するまで継続する形態もある。
自動的に「偽値を返す」設定が行われたあと、一般ユーザがさかのぼって設定を解除した場合は、図15および図16に示すようにB−Dの偽値を返していたのがB−Cに修正される。
ここで、上述のようなデータ処理システム100を利用した場合の一具体例を、図17ないし図19を参照して以下に例示する。まず、図17に挙げた構成の例では、複数のGPS機能付き携帯電話1301、1302、1303から一般ユーザ1、一般ユーザ2、および一般ユーザ3の位置情報をデータ受信用ウェブサーバ1304で受信する。
またデータ提供用ウェブサーバ1307を用いて、データ提供先システム130であるA社、B社、およびC社のクライアントPC1308、1309、1310へ一般ユーザの位置情報の提供を行う。
一般ユーザ1の日常的な行動が、二次元の位置情報で表すと図18のようになっており、この位置情報は偽値使用設定がされていないとする。また、一般ユーザ1はA社に対しては真値を提供し、B社とC社には偽値を提供するというユーザ開示ポリシを端末に設定しているとする。
ある日、一般ユーザ1が日常的な行動と異なる図19のような行動を行った場合、A社のクライアントでは図19と同じ位置情報が取得できるが、B社とC社のクライアントには偽値として図18の位置情報が提供される。これにより、一般ユーザ1はB社およびC社に対してのみ日常的でない自分の行動を秘匿することができる。
なお、本発明は本実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で各種の変形を許容する。例えば、上記形態ではユーザ端末装置110に秘匿指定部112が実装されており、一般ユーザが所望によりユーザ行動データの秘匿を指定できることを例示した。
しかし、これではユーザ行動データの秘匿が必要な場合に一般ユーザが指定を失念すると、秘匿されていないユーザ行動データがデータ提供先システム130に記録されることになる。そこで、真値が出現回数の多い過去のユーザ行動データからずれた場合に、自動的に偽値生成を開始してもよい(図示せず)。
この場合、データベース装置123は、蓄積する複数のユーザ行動データの少なくとも一部が同一パターンからなり、データ受信装置121は、同一パターンのユーザ行動データと一部のみ相違する現状のユーザ行動データを取得し、条件判定部125は、同一パターンのユーザ行動データと相違している現状のユーザ行動データの一部を秘匿すると判定し、疑似データ生成装置122は、取得される現状のユーザ行動データと相違する同一パターンのユーザ行動データの一部を疑似行動データとして生成すればよい。
なお、上述のような状態から一般ユーザが偽値生成を取り消した場合は、見かけの移動速度が急激に変化しないよう緩衝時間を設けるか、または自動的に偽値生成を開始した時から偽値生成を取り消した時までの偽値の履歴を真値に修正することがよい。
さらに、上述のように偽値を自動生成する設定の場合でも、必要により事前に自動生成を中止しておくこともできる。その場合、ユーザ端末装置110では、やはりユーザ行動データが発生されるときに秘匿の有無を指定するユーザ開示ポリシが一般ユーザに指定される。
そして、データ処理装置120では、指定されたユーザ開示ポリシをユーザ行動データとともに取得し、取得されたユーザ開示ポリシにより秘匿なしが指定されると疑似行動データの生成を中止し、データ送信装置124は、疑似行動データの提供を中止するとともに現状のユーザ行動データを提供すればよい。
また、上述のように基準となるユーザ行動データと疑似行動データとが多対一でなくともよく、一つのユーザ行動データを基準として指定しておいてもよい(図示せず)。この場合、データ受信装置121は、蓄積されているユーザ行動データと一部のみ相違する現状のユーザ行動データを取得し、条件判定部125は、取得される現状のユーザ行動データが蓄積されているユーザ行動データと一部のみ相違していると秘匿すると判定し、疑似データ生成装置122は、蓄積されているユーザ行動データの取得されるユーザ行動データと相違する部分を疑似行動データとして生成すればよい。
また、上記形態ではデータ処理装置120が蓄積されている過去の複数のユーザ行動データから現状のユーザ行動データに類似した一つを選定することで疑似行動データを生成することを例示した。
しかし、蓄積されている過去の複数のユーザ行動データから現状のユーザ行動データに類似した複数を抽出し、抽出された類似の複数のユーザ行動データを一般ユーザに提示して選定させた一つで疑似行動データを生成してもよい(図示せず)。
また、上記形態ではユーザ端末装置110がデータ処理装置120に直接にユーザ行動データおよび開示ポリシを提供することを例示した。しかし、図20に示すように、ユーザ端末装置1001と通信を行ったサービス装置1002が、一般ユーザのユーザ行動データをデータ処理装置1010のデータ受信装置1003に送信してもよい。
これはユーザ端末装置1001がデータ受信装置1003と直接通信できない場合や、決済情報などユーザ端末装置1001よりサービス装置1002側のほうがより詳細なユーザ行動データを生成できる場合に実施される。
さらに、上記形態では複数のユーザ端末装置110が共通の携帯電話サービスなどを利用していることを想定したが、図21に示すように、ユーザ端末装置がA社ユーザ端末装置1101、B社ユーザ端末装置1102の二種類、疑似データ生成装置がA社疑似データ生成装置1104、B社疑似データ生成装置1105の二種類、データ提供先システムがA社データ提供先システム1108、B社データ提供先システム1109の二種類、などとなっていてもよい。
このようにデータ受信装置、データベース装置、データ送信装置を共有しても、疑似データ生成装置が分かれていれば、複数の疑似行動データ生成サービスを実施することができる。
データベース装置、データ受信装置またはデータ送信装置が複数に分かれている場合、また、ユーザ端末装置やデータ提供先システムが一つの場合でも、同様に実施可能である。
さらに、上記形態ではユーザ端末装置110とデータ提供先システム130とを中継するデータ処理装置120が、ユーザ行動データを秘匿することを例示した。しかし、このようにユーザ行動データを秘匿する機能がユーザ端末装置に実装されていてもよい。
例えば、図22に示すように、ユーザ端末装置1201の中に行動データ生成装置1202と疑似データ生成装置1203、データベース装置1204が含まれていればよい。
疑似行動データの生成はユーザ端末装置1201の中で行なわれ、データ提供先システム1208には、図4または図5に示すように、現状のユーザ行動データか、必要により疑似行動データで秘匿されたユーザ行動データか、が提供されることになる。
これにより秘匿されていないユーザ行動データがデータ提供先システム1208に提供されることが無くなり、不正アクセスなどによるプライバシ漏洩の危険を減らすことができる。
また、図5に示すように、上記形態では疑似行動データで秘匿されたユーザ行動データが、ユーザ開示ポリシが内包されたままデータ提供先システム130に提供されることを例示した。
しかし、これではユーザ行動データのユーザ開示ポリシを解析することで秘匿が判明する可能性がある。そこで、上述のようにユーザ開示ポリシにより疑似行動データを生成してユーザ行動データを秘匿したとき、このユーザ行動データからユーザ開示ポリシを削除してデータ提供先システム130に提供してもよい(図示せず)。
さらに、上記形態ではユーザ端末装置110として、いわゆるGPS携帯電話を想定し、ユーザ行動データとして移動軌跡データを想定した。しかし、本発明のデータ処理システムは、例えば、GPSやブラウザ、電子マネークライアントなどを内蔵してユーザ行動データを生成するユーザ端末装置と、ユーザ端末装置からユーザ行動データを受信するユーザ行動データ受信装置と、ユーザ行動データの個々の値を記録するデータベース装置と、疑似的な情報を生成する疑似データ生成装置と、提供先からの要求を受け付けるデータ送信装置とを備えることができる(図示せず)。
その場合、ユーザ行動データは、位置情報、購買情報、ウェブ参照履歴などで構成されていてもよい。また、データの個々の値は、その行動が行われた時刻の情報を含むことができる。時刻の情報を含まない場合でも、行動が行われた順番でデータが並んでおり、行動の時間的な前後関係は識別可能とすることができる。
なお、上述のようなデータ処理システム100を一般ユーザが実際に利用する場合には、一般ユーザに対し現在位置から長時間(おおむね6時間以上)停止した地点までの過去のユーザ行動データの履歴を出現回数の多いパターン順に偽値の候補として表示し、一般ユーザに選択させてもよい。
一般的には、勤務先から自宅までの通勤の履歴が何パターンか表示され、その中から偽値に使うパターンを選択する形が好適である。パターン選択後はそのパターンの過去の履歴が偽値として使われる。
しかし、真値が偽値とほぼ同じ位置になって一定時間が経過した場合は偽値生成の設定を解除すればよい。一般的には、自宅または勤務先で真値と偽値が重なり、偽値設定を解除すればよい。
偽値の履歴が無くなってしまった場合は値なしを返せばよい。真値が偽値に近づいていない段階で一般ユーザが偽値生成の設定を解除した場合は、すぐに偽値=真値とせず、真値と偽値の間の距離に応じた一定時間偽値=値なしとし、見かけの移動速度が急激に変化しないようにすることがよい。
さらに、本実施の形態ではデータ処理装置の各部がコンピュータプログラムにより各種機能として論理的に実現されることを例示した。しかし、このような各部の各々を固有のハードウェアとして形成することもでき、ソフトウェアとハードウェアとの組み合わせとして実現することもできる。
なお、当然ながら、上述した実施の形態および複数の変形例は、その内容が相反しない範囲で組み合わせることができる。また、上述した実施の形態および変形例では、各部の構造などを具体的に説明したが、その構造などは本願発明を満足する範囲で各種に変更することができる。
この出願は、2008年10月31日に出願された日本出願特願2008−280749号を基礎とする優先権を主張し、その開示の全てを、ここに取り込む。