JP5691936B2 - Information processing method and apparatus - Google Patents

Information processing method and apparatus Download PDF

Info

Publication number
JP5691936B2
JP5691936B2 JP2011179587A JP2011179587A JP5691936B2 JP 5691936 B2 JP5691936 B2 JP 5691936B2 JP 2011179587 A JP2011179587 A JP 2011179587A JP 2011179587 A JP2011179587 A JP 2011179587A JP 5691936 B2 JP5691936 B2 JP 5691936B2
Authority
JP
Japan
Prior art keywords
data
anonymization
data sets
anonymization processing
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011179587A
Other languages
Japanese (ja)
Other versions
JP2013041536A (en
Inventor
津田 宏
宏 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2011179587A priority Critical patent/JP5691936B2/en
Publication of JP2013041536A publication Critical patent/JP2013041536A/en
Application granted granted Critical
Publication of JP5691936B2 publication Critical patent/JP5691936B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本技術は、データのプライバシ保護技術に関する。   The present technology relates to data privacy protection technology.

最近ではカーナビゲーションシステムや携帯電話機などに埋め込まれたGPS(Global Positioning System)受信機が、時々刻々と変化する現在位置を取得し、それに基づいてナビゲーションや近くのお店を紹介するなどのサービスが実用化されている。しかしながら、利用者としては、自分のプライバシデータである位置データについてはあまりサービス事業者に把握されずに、サービスを利用したいという要望もある。   Recently, GPS (Global Positioning System) receivers embedded in car navigation systems and mobile phones acquire current positions that change from moment to moment, and services such as introducing navigation and nearby shops based on the current location. It has been put into practical use. However, as a user, there is a demand for using the service without knowing so much by the service provider about the position data which is his privacy data.

一方、サービス事業者は、なるべくユーザの実データに近いデータを集めて、各種サービスを実現したい、と考えている。例えば、ある場所にいる人や車の集計値だけしか得られない場合には渋滞情報提供のようなことしかできないが、誰か特定はできなくても同一人物の行動履歴が取れれば、似たような経路を取っている人の行動予測など詳細な処理が可能になる。また、個人まで特定できれば、個人の移動経路などに合わせたお店の推薦などが可能になる。   On the other hand, the service provider wants to collect data as close as possible to the actual data of the user to realize various services. For example, if you can only get the aggregate value of people and cars in a certain place, you can only do traffic information provision, but if you can not identify someone but you can get the action history of the same person, it looks similar It is possible to perform detailed processing such as predicting the behavior of people who are taking various routes. In addition, if an individual can be identified, it is possible to recommend a store in accordance with the personal travel route.

これに関係して、ある範囲にいる人の属性に合わせて広告を配信する技術が存在している。この技術では、一定時間毎に、特定の属性を有する通行人の情報をサーバで収集し集計してそれに基づき適切な広告を選択する。しかしながら、これではサーバに各個人の実データが送信されてしまうので、サーバに蓄積されているデータを組み合わせることで個人の行動履歴が特定されてしまい、プライバシ侵害の恐れがある。また、このように特定の個人の実データをそのまま得て、保持していると、何らかの理由で漏洩してしまった場合のリスクが高い。   In relation to this, there is a technique for distributing advertisements according to the attributes of people within a certain range. In this technique, information on passers-by having a specific attribute is collected by a server at a certain time interval and aggregated, and an appropriate advertisement is selected based on the collected information. However, in this case, each individual's actual data is transmitted to the server, so that the personal action history is specified by combining the data stored in the server, which may infringe privacy. In addition, if real data of a specific individual is obtained and held as it is, there is a high risk of leakage for some reason.

また、タクシー利用者からの直接的要求が無い状態であっても、タクシーを効率的に配車するための技術も存在している。この技術では、不特定多数の利用者が所持する携帯電話などの携帯型端末から基地局に通知される情報を収集し、どの基地局の回りに携帯型端末が多く分布するかなど、端末の分布状態を取得する。車載装置から要求があったとき、その車載装置の現在位置を含む所定範囲における携帯型端末の分布情報を、その車載装置で表示する。携帯型端末の分布が分るので、タクシーの潜在的な利用者がどれ程いるかを把握できる、というものである。この技術によれば、分布情報は利用可能となっているが、それ以上のデータを利用できない。   There is also a technique for efficiently dispatching a taxi even when there is no direct request from a taxi user. In this technology, information notified to base stations from mobile terminals such as mobile phones possessed by an unspecified number of users is collected, and there are many mobile terminals distributed around which base stations. Get the distribution status. When a request is received from the in-vehicle device, the distribution information of the portable terminals in a predetermined range including the current position of the in-vehicle device is displayed on the in-vehicle device. Since the distribution of portable terminals is known, it is possible to grasp how many potential users of a taxi are. According to this technique, distribution information is available, but no more data can be used.

上で述べたように特定の個人の実データをそのまま得て、保持しているのはリスクが高いので、データに対して秘匿化処理を行うことが好ましい。この秘匿化技術には、k−匿名化技術がある。この技術は、データベースに含まれる個人データを、指定した属性(識別子に準ずるデータ項目。住所、年齢、性別など)を組み合わせて検索したとしても、kレコード(kは事前に与えた数値。)以下には絞り込めないようにデータをあいまい化する技術である。このようにデータベースを加工することで、特定個人のレコードを絞り込めなくすることで、個人のプライバシを守ることができる。   As described above, it is highly risky to obtain and hold actual data of a specific individual as it is, and therefore it is preferable to perform concealment processing on the data. This concealment technology includes k-anonymization technology. In this technique, even if personal data included in a database is searched by combining specified attributes (data items according to identifiers, address, age, sex, etc.), k records (k is a numerical value given in advance) or less. It is a technology to obscure data so that it cannot be narrowed down. By processing the database in this way, it is possible to protect the privacy of individuals by making it impossible to narrow down the records of specific individuals.

k−匿名化技術の1つであるDataflyでは、以下のような処理を実施する。なお、例えば図1に示すようなデータベースが予め存在しているものとする。(1)まず、指定された属性(例えば、Birthdate, Gender及びZIP)の属性値の組み合わせの数をカウントする。ここでは、図2において出現頻度「1」として示すように、12レコードのそれぞれが異なっている。指定された属性の属性値の組み合わせが同一であるレコードの数が閾値k(ここでは2)以上であれば、当該レコードについての処理は匿名化が完了している。なお、以下の説明の都合上、図2においてはレコードIDを付与している。   In Datafly which is one of k-anonymization technologies, the following processing is performed. For example, it is assumed that a database as shown in FIG. 1 exists in advance. (1) First, the number of combinations of attribute values of designated attributes (for example, Birthdate, Gender and ZIP) is counted. Here, as shown by the appearance frequency “1” in FIG. 2, each of the 12 records is different. If the number of records having the same combination of attribute values of the specified attributes is equal to or greater than the threshold value k (here, 2), the processing for the record is anonymized. For convenience of the following description, a record ID is given in FIG.

(2)指定された属性の属性値の組み合わせが同一であるレコードの数がk未満であるレコードについては、指定属性のうち最も値の種類が多い属性を選択し、値を一般化する。Birthdate、Gender及びZIPの各列の下に種類数を示しているが、Birthdateの種類が12種類で最も多い。従って、Birthdateの値を所定のルールで一般化する。例えば、9/20/65については1965年生まれということで、1965に一般化する。その他についても同様に一般化すると、図3に示すようなデータが得られる。なお、図3において、指定された属性の属性値の組み合わせが同一であるレコードについてはマージされている。具体的には、レコードIDがt1及びt2のレコードが同一になり、レコードIDがt3及びt4のレコードが同一になり、レコードIDがt5及びt6のレコードが同一になり、レコードIDがt9及びt10のレコードが同一になり、レコードIDがt11及びt12のレコードが同一になっている。これらのレコードについては、出現頻度が2となっており、閾値k以上であるので匿名化が完了している。   (2) For a record in which the number of records having the same combination of attribute values of designated attributes is less than k, the attribute having the largest value type is selected from the designated attributes, and the value is generalized. The number of types is shown under each column of Birthdate, Gender, and ZIP, but the number of types of Birthdate is the largest with 12 types. Therefore, the Birthdate value is generalized according to a predetermined rule. For example, 9/20/65 is born in 1965 and is generalized to 1965. If the other generalizations are similarly generalized, data as shown in FIG. 3 is obtained. In FIG. 3, the records having the same combination of attribute values of the designated attributes are merged. Specifically, the records with the record IDs t1 and t2 are the same, the records with the record IDs t3 and t4 are the same, the records with the record IDs t5 and t6 are the same, and the record IDs are t9 and t10. The records with the record IDs t11 and t12 are the same. For these records, the appearance frequency is 2, and since it is equal to or greater than the threshold value k, anonymization is completed.

(3)残りのレコード数がk以下になるまで、他の属性についてステップ(2)を繰り返す。   (3) Repeat step (2) for other attributes until the number of remaining records is equal to or less than k.

(4)残りのレコード数がk以下であれば、残りのレコードを削除する。図3の例の場合には、レコードIDがt7及びt8のレコードについてはマージできないので、破棄する。   (4) If the number of remaining records is k or less, the remaining records are deleted. In the case of the example in FIG. 3, the records with record IDs t7 and t8 cannot be merged and are discarded.

このような技術を次々に送られてくる個人情報等に対して適用するには、結局のところ実データを蓄積したデータベースを生成することになるので、プライバシの問題や漏洩のリスクなどがある。また、何度も(2)の処理を繰り返すのであれば処理コストが高いという問題もある。   In order to apply such technology to personal information and the like sent one after another, after all, a database storing actual data is generated, so there are privacy problems and risk of leakage. Further, if the process (2) is repeated many times, there is a problem that the processing cost is high.

特開2002−312673号公報JP 2002-312673 A 特開2007−249918号公報JP 2007-249918 A

Sweeney, Achieving k-anonymity privacy protection using Genralization and suppression, International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 2002Sweeney, Achieving k-anonymity privacy protection using Genralization and suppression, International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 2002

従って、本技術の目的は、一側面においては、個人情報を含むデータセットを活用する際にプライバシ保護を図るための新規な技術を提供することである。   Accordingly, an object of the present technology is, in one aspect, to provide a new technology for protecting privacy when a data set including personal information is used.

本技術に係る情報処理方法は、(A)所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1のステップと、(B)第1のステップにおいてデータセットの数が閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上となっているか判断又は確認する第2のステップと、(C)他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上となっていると第2のステップで判断又は確認された場合には、データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3のステップと、(D)第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4のステップとを含む。   In the information processing method according to the present technology, (A) the number of data sets received from the terminal device within a predetermined time, stored in the data storage unit, and including personal information of the user of the terminal device is determined in advance. A first step for determining whether the number of data sets is equal to or greater than the threshold value, and (B) if it is determined in the first step that the number of data sets is not equal to or greater than the threshold value, by communicating with another anonymization processing device A second step of determining or confirming whether the number of data sets is equal to or greater than a threshold when combined with a data set held in at least one of the data processing devices, and (C) in at least one of other anonymization processing devices If it is determined or confirmed in the second step that the number of data sets is equal to or greater than the threshold when combined with the data sets to be stored, the data storage unit stores them. A third step of performing a first anonymization process on at least a part of the data set being performed, and (D) a data set after the first anonymization process is obtained from a plurality of anonymization processing devices. And a fourth step of transmitting the data set to a computer that stores the data set.

個人情報を含むデータセットを活用する際にプライバシ保護を図ることができるようになる。   Privacy protection can be achieved when using a data set including personal information.

図1は、従来技術を説明するための図である。FIG. 1 is a diagram for explaining the prior art. 図2は、従来技術を説明するための図である。FIG. 2 is a diagram for explaining the related art. 図3は、従来技術を説明するための図である。FIG. 3 is a diagram for explaining the prior art. 図4は、実施の形態のシステム構成例を示す図である。FIG. 4 is a diagram illustrating a system configuration example according to the embodiment. 図5は、端末装置の機能ブロック図である。FIG. 5 is a functional block diagram of the terminal device. 図6は、匿名化処理装置の機能ブロック図である。FIG. 6 is a functional block diagram of the anonymization processing device. 図7は、隣接装置データ格納部に格納されているデータの一例を示す図である。FIG. 7 is a diagram illustrating an example of data stored in the adjacent device data storage unit. 図8は、サーバの機能ブロック図である。FIG. 8 is a functional block diagram of the server. 図9は、第1の実施の形態を説明するための模式図である。FIG. 9 is a schematic diagram for explaining the first embodiment. 図10は、第1の実施の形態を説明するための模式図である。FIG. 10 is a schematic diagram for explaining the first embodiment. 図11は、第1の実施の形態の処理を説明するための図である。FIG. 11 is a diagram for explaining the processing according to the first embodiment. 図12は、第1の実施の形態の処理フローを示す図である。FIG. 12 is a diagram illustrating a processing flow according to the first embodiment. 図13は、第1の実施の形態の処理フローを示す図である。FIG. 13 is a diagram illustrating a processing flow according to the first embodiment. 図14は、第1の実施の形態の処理フローを示す図である。FIG. 14 is a diagram illustrating a processing flow according to the first embodiment. 図15は、第1の実施の形態の処理フローを示す図である。FIG. 15 is a diagram illustrating a processing flow according to the first embodiment. 図16は、匿名化処理の処理フローを示す図である。FIG. 16 is a diagram illustrating a process flow of the anonymization process. 図17は、キャッシュに格納されているデータの一例を示す図である。FIG. 17 is a diagram illustrating an example of data stored in the cache. 図18は、匿名化処理後のデータの一例を示す図である。FIG. 18 is a diagram illustrating an example of data after the anonymization process. 図19は、第2の実施の形態の処理フローを示す図である。FIG. 19 is a diagram illustrating a processing flow according to the second embodiment. 図20は、秘匿レベルと閾値との対応関係を表すデータの一例を示す図である。FIG. 20 is a diagram illustrating an example of data representing a correspondence relationship between a confidential level and a threshold value. 図21は、第2の実施の形態の処理フローを示す図である。FIG. 21 is a diagram illustrating a processing flow according to the second embodiment. 図22は、第2の実施の形態の処理フローを示す図である。FIG. 22 is a diagram illustrating a processing flow according to the second embodiment. 図23は、第2の実施の形態の処理フローを示す図である。FIG. 23 is a diagram illustrating a processing flow according to the second embodiment. 図24は、第2の実施の形態の処理フローを示す図である。FIG. 24 is a diagram illustrating a processing flow according to the second embodiment. 図25は、第2の実施の形態の効果を説明するための図である。FIG. 25 is a diagram for explaining the effect of the second embodiment. 図26は、コンピュータの機能ブロック図である。FIG. 26 is a functional block diagram of a computer.

[実施の形態1]
図4に、本技術の第1の実施の形態に係るシステムの概要を示す。本実施の形態では、無線通信機能と位置データ取得機能(例えばGPS機能)とを有する携帯電話機や自動車などに搭載されるカーナビゲーション装置などの端末装置5(図4では5a乃至5d)から位置データ等を含むデータセットを、そのままサーバ7に送信するのではなく、サーバ7より端末装置寄りに設置された匿名化処理装置3(図4では3a及び3b)に送信する。そして、匿名化処理装置3において以下で説明する匿名化処理を行った上でサーバ7に送信する。サーバ7では、多数のデータセットについて所定の分析処理を実施する。 [Embodiment 1]
FIG. 4 shows an overview of a system according to the first embodiment of the present technology. In the present embodiment, position data is received from a terminal device 5 (5a to 5d in FIG. 4) such as a mobile phone having a wireless communication function and a position data acquisition function (for example, a GPS function) or a car navigation device mounted on an automobile. The data set including the above is not transmitted to the server 7 as it is, but is transmitted from the server 7 to the anonymization processing device 3 (3a and 3b in FIG. 4) installed closer to the terminal device. And it transmits to the server 7 after performing the anonymization process demonstrated below in the anonymization processing apparatus 3. FIG. The server 7 performs a predetermined analysis process on a large number of data sets.

匿名化処理装置3は、例えば端末装置5による無線通信のための基地局と一体になっているか、基地局と接続されており、近隣の匿名化処理装置3同士は、所定のルールで通信を行うようになっている。さらに、匿名化処理装置3は、インターネットその他のネットワーク1を介してサーバ7に接続されている。   The anonymization processing device 3 is integrated with, for example, a base station for wireless communication by the terminal device 5 or connected to the base station, and neighboring anonymization processing devices 3 communicate with each other according to a predetermined rule. To do. Furthermore, the anonymization processing device 3 is connected to the server 7 via the Internet 1 or other network 1.

図5に、端末装置5の機能ブロック図を示す。端末装置5は、GPS等の位置データ取得部51と、端末装置5のユーザの個人情報などの属性データを格納する属性データ格納部52と、位置データ取得部51が取得した位置データと属性データ格納部52に格納されている少なくとも一部のデータとを含むデータセットを定期的に基地局に送信するデータ送信部53とを有する。以下で述べる例では、送信するデータセットには、端末装置5の識別子(ID)と、緯度及び経度を含む位置データと、ユーザの年齢と、性別と、感染症の有無といったデータが含まれるものとする。   FIG. 5 shows a functional block diagram of the terminal device 5. The terminal device 5 includes a position data acquisition unit 51 such as GPS, an attribute data storage unit 52 that stores attribute data such as personal information of the user of the terminal device 5, and position data and attribute data acquired by the position data acquisition unit 51. And a data transmission unit 53 that periodically transmits a data set including at least a part of the data stored in the storage unit 52 to the base station. In the example described below, the data set to be transmitted includes data such as the identifier (ID) of the terminal device 5, position data including latitude and longitude, the user's age, gender, and presence / absence of infectious disease. And

図6に、匿名化処理装置3の機能ブロック図を示す。匿名化処理装置3は、通信部31と、キャッシュ32と、キュー33と、制御部34と、匿名化処理部35と、隣接装置データ格納部36とを有する。通信部31は、端末装置5からデータセットを受信すると共に、他の匿名化処理装置3と通信を行う。通信部31は、他の匿名化処理装置3と通信を行うが、問い合わせメッセージの送信先は、例えば図7に示すような隣接装置データ格納部36に格納されているデータを用いて決定する。図7の例では、装置名と装置IDとが対応付けられている。   In FIG. 6, the functional block diagram of the anonymization processing apparatus 3 is shown. The anonymization processing device 3 includes a communication unit 31, a cache 32, a queue 33, a control unit 34, an anonymization processing unit 35, and an adjacent device data storage unit 36. The communication unit 31 receives a data set from the terminal device 5 and communicates with another anonymization processing device 3. The communication unit 31 communicates with another anonymization processing device 3, but the transmission destination of the inquiry message is determined using data stored in the adjacent device data storage unit 36 as shown in FIG. 7, for example. In the example of FIG. 7, the device name and the device ID are associated with each other.

キャッシュ32は、例えばΔt時間毎に端末装置5からのデータセットを格納する。Δd毎に切り替えて用いるため、キャッシュ32は複数存在する場合もある。キュー33は、他の匿名化処理装置3から受信したメッセージを格納するキューである。制御部34は、キャッシュ32に格納されているデータセットの数、又はキャッシュ32に格納されているデータセットの数+他の匿名化処理装置3が保持しているデータセットの数、及び他の匿名化処理装置3からのメッセージに基づき、匿名化処理装置3の制御を行う。匿名化処理部35は、属性等に応じて値の同一化、マスク化等の匿名化処理を実施する。ハッシュ関数を有しており、属性値のハッシュ化を行う場合もある。   The cache 32 stores a data set from the terminal device 5 for every Δt time, for example. There are cases where there are a plurality of caches 32 because they are used by switching every Δd. The queue 33 is a queue that stores messages received from other anonymization processing devices 3. The control unit 34 determines the number of data sets stored in the cache 32, or the number of data sets stored in the cache 32 + the number of data sets held by another anonymization processing device 3, and other Based on the message from the anonymization processing device 3, the anonymization processing device 3 is controlled. The anonymization processing unit 35 performs anonymization processing such as value identification and masking according to attributes and the like. It has a hash function, and attribute values may be hashed.

図8に、サーバ7の機能ブロック図を示す。サーバ7は、匿名化処理装置3からのデータセットを受信するデータ受信部71と、データ受信部71が受信したデータセットを格納するデータベース73と、データベース73に蓄積されているデータセットを分析して所定のサービスを実施する分析処理部75とを有する。分析処理部75の処理結果は、端末装置5に自動的に配信したり要求に応じて配信される場合もある。さらに、他の端末に送信される場合もある。   FIG. 8 shows a functional block diagram of the server 7. The server 7 analyzes the data receiving unit 71 that receives the data set from the anonymization processing device 3, the database 73 that stores the data set received by the data receiving unit 71, and the data set accumulated in the database 73. And an analysis processing unit 75 for performing a predetermined service. The processing result of the analysis processing unit 75 may be automatically distributed to the terminal device 5 or distributed in response to a request. Furthermore, it may be transmitted to other terminals.

本実施の形態では、図9に模式的に示すように、匿名化処理装置3aには、時刻T1から単位時間Δtの間に、小さな丸で示した7つの端末装置5からデータセットが送信されて来ている。しかし、閾値としてK=10が設定されているとするとデータセットの数が不足していることになる。一方、隣接する匿名化処理装置3bには、時刻T1から単位時間Δtの間に、小さな丸で示した3つの端末装置5からデータセットが送信されてきているが、同じく閾値K=10が設定されているとするとデータセットの数が不足していることになる。ここで、本実施の形態では、匿名化処理装置3a及び3bが通信を行って、互いのデータセット数を加算するとK=10以上のデータセットがあることが分かれば、各々がデータセットに対して所定の匿名化処理を実施した後に、サーバ7に匿名化処理後のデータセットを送信する。その際、データセットに含まれる位置データについては、図9において×印で示されるような中間地点の位置データに同一化する。また、データセットに受信時刻が含まれている場合には、例えば時刻T1に同一化する。他の属性については、同一化する場合もあれば、一部マスク化する場合もある。その他の曖昧化を行うこともある。   In the present embodiment, as schematically shown in FIG. 9, a data set is transmitted from the seven terminal devices 5 indicated by small circles to the anonymization processing device 3a between time T1 and unit time Δt. Is coming. However, if K = 10 is set as the threshold, the number of data sets is insufficient. On the other hand, the data set is transmitted from the three terminal devices 5 indicated by small circles between the time T1 and the unit time Δt to the adjacent anonymization processing device 3b, but the threshold value K = 10 is also set. If so, the number of data sets is insufficient. Here, in this embodiment, if the anonymization processing devices 3a and 3b communicate and add each other's number of data sets, and know that there are K = 10 or more data sets, each of the data sets After performing the predetermined anonymization process, the data set after the anonymization process is transmitted to the server 7. At this time, the position data included in the data set is made the same as the position data of the intermediate point as indicated by a cross in FIG. Further, when the reception time is included in the data set, for example, it is made identical at time T1. Other attributes may be the same or may be partially masked. Other ambiguities may occur.

一方、図10に示すように、匿名化処理装置3aには、時刻T2から単位時間Δtの間に、小さな丸で示した10個の端末装置5からデータセットが送信されて来ており、データセット数が閾値K=10に達している。一方、隣接する匿名化処理装置3bには、時刻T2から単位時間Δtの間に、小さな丸で示した3つの端末装置5からデータセットが送信されてきているが、データセット数は閾値K=10に達していない。このような場合には、所定の匿名化処理後に、サーバ7にデータセットを送信する。例えば、位置データについては匿名化処理装置3aの位置データに同一化し、時刻データについては時刻T2に同一化し、他の属性については同一化する場合もあれば一部マスク化する場合もある。その他の曖昧化を行う場合もある。匿名化処理装置3bは、他の匿名化処理装置3と通信を行ってデータセット数が閾値K=10に達しない場合には、3つの端末装置5からデータセットを破棄する。   On the other hand, as shown in FIG. 10, the anonymization processing device 3a receives a data set from 10 terminal devices 5 indicated by small circles between time T2 and unit time Δt. The number of sets has reached the threshold value K = 10. On the other hand, data sets are transmitted to the adjacent anonymization processing device 3b from the three terminal devices 5 indicated by small circles between the time T2 and the unit time Δt, but the number of data sets is the threshold K = 10 has not been reached. In such a case, the data set is transmitted to the server 7 after a predetermined anonymization process. For example, the position data is made the same as the position data of the anonymization processing device 3a, the time data is made the same at time T2, and the other attributes are made the same or partially masked. There may be other obscurations. The anonymization processing device 3b communicates with another anonymization processing device 3 and discards the data sets from the three terminal devices 5 when the number of data sets does not reach the threshold value K = 10.

図9を用いて説明した処理についてより詳細に図11を用いて説明する。例えば、匿名化処理装置3aは、ID=10であり、位置がPaであり、開始時刻t1から単位時間Δtの間に5つのデータセット(N=5)を端末装置5から受信したものとする。また、匿名化処理装置3bは、ID=8であり、位置がPbであり、単位時間Δtの間に3つのデータセット(N=3)を端末装置5から受信したものとする。匿名化処理装置3cは、ID=18であり、位置がPcであり、単位時間Δtの間に7つのデータセット(N=7)を端末装置5から受信したものとすると。匿名化処理装置3dは、ID=6であり、位置がPdであり、単位時間Δtの間に6つのデータセット(N=6)を端末装置5から受信したものとする。   The process described with reference to FIG. 9 will be described in more detail with reference to FIG. For example, it is assumed that the anonymization processing device 3a has ID = 10, the position is Pa, and five data sets (N = 5) are received from the terminal device 5 between the start time t1 and the unit time Δt. . Further, it is assumed that the anonymization processing device 3b has ID = 8, the position is Pb, and three data sets (N = 3) are received from the terminal device 5 during the unit time Δt. It is assumed that the anonymization processing device 3c has ID = 18, the position is Pc, and seven data sets (N = 7) are received from the terminal device 5 during the unit time Δt. It is assumed that the anonymization processing device 3d has ID = 6, the position is Pd, and six data sets (N = 6) are received from the terminal device 5 during the unit time Δt.

閾値K=10であるとすると、いずれの匿名化処理装置3も受信したデータセットの数Nは閾値K=10に達していない。そこで、匿名化処理装置3aに着目すると、匿名化処理装置3aのID=10より小さいIDを有する匿名化処理装置3b及び3dには、問い合わせメッセージq(T,P,N)(具体的にはq(t1,Pa,5))を送信する。Tは開始時刻を表し、Pは位置を表し、Nはデータセット数を表す。また、匿名化処理装置3cも、問い合わせメッセージq(t1,Pc,7)を匿名化処理装置3a(並びに3b、3d及び3e)に送信し、匿名化処理装置3eも、問い合わせメッセージq(t1,Pe,2)を匿名化処理装置3a(並びに3b及び3d)に送信する。   Assuming that the threshold value K = 10, the number N of data sets received by any anonymization processing device 3 does not reach the threshold value K = 10. Therefore, when paying attention to the anonymization processing device 3a, the anonymization processing devices 3b and 3d having an ID smaller than ID = 10 of the anonymization processing device 3a are notified to the inquiry message q (T, P, N) (specifically, q (t1, Pa, 5)) is transmitted. T represents the start time, P represents the position, and N represents the number of data sets. The anonymization processing device 3c also transmits the inquiry message q (t1, Pc, 7) to the anonymization processing device 3a (and 3b, 3d, and 3e), and the anonymization processing device 3e also transmits the inquiry message q (t1, Pe, 2) is transmitted to the anonymization processing device 3a (and 3b and 3d).

なお、自IDよりも小さいIDを有する匿名化処理装置にのみ問い合わせメッセージを送信するのは、問い合わせメッセージ及び条件充足の可能性を表す応答メッセージの送り合い(メッセージのループ)といったようなことを回避するためである。   Note that sending an inquiry message only to an anonymization processing device having an ID smaller than its own ID avoids sending an inquiry message and a response message indicating the possibility of satisfying a condition (message loop). It is to do.

例えば、匿名化処理装置3aが問い合わせメッセージq(t1,Pc,7)を匿名化処理装置3cから最初に受信したとすると、データセット数N=7の問い合わせメッセージであるから、自分が有しているデータセットの数N=5と併せると閾値K=10を超える。従って、条件充足の可能性を表す応答メッセージyes(t1,Pa)を、匿名化処理装置3cに返信する。これに対して、他の匿名化処理装置3から問い合わせメッセージも条件充足の可能性を表す応答メッセージも受信していないので、匿名化処理装置3cは、匿名化処理装置3aに了承メッセージok(t1,Pc)を返信して、図9を用いて説明したように、各々保持するデータセットを匿名化した後にサーバ7に送信する。   For example, if the anonymization processing device 3a first receives the inquiry message q (t1, Pc, 7) from the anonymization processing device 3c, it is an inquiry message with the number of data sets N = 7. When combined with the number of data sets N = 5, the threshold value K = 10 is exceeded. Therefore, a response message yes (t1, Pa) representing the possibility of condition satisfaction is returned to the anonymization processing device 3c. On the other hand, since neither the inquiry message nor the response message indicating the possibility of satisfying the condition has been received from the other anonymization processing device 3, the anonymization processing device 3c sends an acknowledgment message ok (t1) to the anonymization processing device 3a. , Pc), and as described with reference to FIG. 9, the data sets to be held are anonymized and then transmitted to the server 7.

一方、匿名化処理装置3dは、匿名化処理装置3aから問い合わせメッセージq(t1,Pa,5)を受信すると、条件充足の可能性を表す応答メッセージyes(t1,Pd)を匿名化処理装置3aに返信する。しかしながら、既に匿名化処理装置3cに条件充足の可能性を表す応答メッセージyes(t1,Pa)を返信してしまっている匿名化処理装置3aは、匿名化処理装置3dに対して拒否メッセージng(t1,Pa)を送信する。   On the other hand, when the anonymization processing device 3d receives the inquiry message q (t1, Pa, 5) from the anonymization processing device 3a, the anonymization processing device 3a sends a response message yes (t1, Pd) indicating the possibility of condition satisfaction. Reply to However, the anonymization processing device 3a that has already returned the response message yes (t1, Pa) indicating the possibility of satisfying the condition to the anonymization processing device 3c is sent to the anonymization processing device 3d as a rejection message ng ( t1, Pa).

なお、匿名化処理装置3aは、匿名化処理装置3eからの問い合わせメッセージについては無視することになり、匿名化処理装置3bは匿名化処理装置3aからの問い合わせメッセージについては無視することになる。従って、匿名化処理装置3b、3d及び3eはデータセットを破棄することになる。   The anonymization processing device 3a ignores the inquiry message from the anonymization processing device 3e, and the anonymization processing device 3b ignores the inquiry message from the anonymization processing device 3a. Therefore, the anonymization processing devices 3b, 3d, and 3e discard the data set.

図11で説明した処理について詳細に図12乃至図18を用いて説明する。匿名化処理装置3の通信部31は、キャッシュ32に、開始時刻Tから1単位時間Δt間、受信したデータセットを格納する(図12:ステップS1)。また、制御部34は、キュー33を初期化する(ステップS3)。そして、制御部34は、キャッシュ32に格納されているデータセットの数を計数して、Nにキャッシュ32中のデータセット数を設定する(ステップS5)。そして、制御部34は、Nが予め設定されている閾値K以上となったか判断する(ステップS7)。N≧Kであれば、端子Aを介して図15のステップS41に移行する。他の匿名化処理装置3と通信を行うことなく、データセットに対して匿名化処理を実施した後にサーバ7に匿名化処理後のデータセットを送信する。   The processing described in FIG. 11 will be described in detail with reference to FIGS. The communication unit 31 of the anonymization processing device 3 stores the received data set in the cache 32 for one unit time Δt from the start time T (FIG. 12: step S1). In addition, the control unit 34 initializes the queue 33 (step S3). Then, the control unit 34 counts the number of data sets stored in the cache 32, and sets the number of data sets in the cache 32 to N (step S5). And the control part 34 judges whether N became more than the preset threshold value K (step S7). If N ≧ K, the process proceeds to step S41 in FIG. The data set after the anonymization process is transmitted to the server 7 after performing the anonymization process on the data set without performing communication with another anonymization processing device 3.

一方、NがK未満であれば、制御部34は、通信部31に、隣接匿名化処理装置3のうちIDが自IDよりも小さいものを特定して、問い合わせメッセージq(T,P,N)を送信させる(ステップS9)。Tは、例えば単位時間の計測開始時刻であるが、単位時間の計測終了時刻であってもよい。Pは、匿名化処理装置3の位置であり、Nはデータセット数である。なお、上でも述べたように、通信部31は、隣接装置データ格納部36に格納されているデータから、問い合わせメッセージを送信すべき匿名化処理装置3を特定する。自IDより小さいIDが隣接装置データ格納部36に格納されていない場合には、問い合わせメッセージを送信しない場合もある。なお、制御部34は、例えばこのタイミングで所定のタイムアウト時間の計測を開始する。このタイミング以降、通信部31は、他の匿名化処理装置3からメッセージを受信すると、キュー33に格納する。   On the other hand, if N is less than K, the control unit 34 identifies to the communication unit 31 one of the adjacent anonymization processing devices 3 whose ID is smaller than its own ID, and sends an inquiry message q (T, P, N ) Is transmitted (step S9). T is, for example, the measurement start time of unit time, but may be the measurement end time of unit time. P is the position of the anonymization processing device 3, and N is the number of data sets. As described above, the communication unit 31 specifies the anonymization processing device 3 to which the inquiry message should be transmitted from the data stored in the adjacent device data storage unit 36. If an ID smaller than its own ID is not stored in the adjacent device data storage unit 36, the inquiry message may not be transmitted. The control unit 34 starts measuring a predetermined timeout time, for example, at this timing. After this timing, when the communication unit 31 receives a message from another anonymization processing device 3, the communication unit 31 stores the message in the queue 33.

そして、制御部34は、タイムアウト時間を経過してタイムアウトになったか判断する(ステップS11)。タイムアウトになった場合には、端子Bを介して図15のステップS49に移行する。一方、タイムアウトになっていない場合には、制御部34は、OK待ち状態であるか判断する(ステップS13)。OK待ち状態は、他の匿名化処理装置3から、了解メッセージを待機する状態であり、OK待ちフラグがYesにセットされている状態である。OK待ち状態であれば、端子Cを介して図14のステップS27に移行する。   Then, the control unit 34 determines whether the time-out period has elapsed and a time-out has occurred (step S11). If the timeout has occurred, the process proceeds to step S49 in FIG. On the other hand, if the time-out has not occurred, the control unit 34 determines whether it is in an OK waiting state (step S13). The OK waiting state is a state in which an acknowledgment message is waited for from another anonymization processing device 3, and the OK waiting flag is set to Yes. If OK, the process proceeds to step S27 in FIG.

一方、OK待ち状態でなければ、制御部34は、キュー33の先頭から受信メッセージを読み出してQに設定する(ステップS15)。そして、処理は端子Dを介して図13の処理に移行する。   On the other hand, if not in the OK waiting state, the control unit 34 reads the received message from the head of the queue 33 and sets it to Q (step S15). Then, the processing shifts to the processing in FIG.

図13の処理の説明に移行して、制御部34は、Qに問い合わせメッセージq(T,P1,N1)(問い合わせメッセージqには、送信元匿名化処理装置3のID等を含むものとする)が設定されているか判断する(ステップS17)。図11でも匿名化処理装置3cが匿名化処理装置3aへ問い合わせメッセージq(t1,Pc,7)を送ってきているので、このような状況に該当するか判断している。Qに問い合わせメッセージq(T,P1,N1)が設定される場合には、制御部34は、(N+N1)がK以上となっているか判断する(ステップS19)。本実施の形態では、処理を簡単にするために、2つの匿名化処理装置3において保持するデータセットの数が閾値K以上となった場合にのみ、その2つの匿名化処理装置3からデータセットをサーバ7に送信するものとしている。但し、一般的には3以上の匿名化処理装置3であってもよい。(N+N1)がK未満である場合には、端子Eを介して図12のステップS11に戻る。   Shifting to the description of the processing in FIG. 13, the control unit 34 receives an inquiry message q (T, P1, N1) in Q (the inquiry message q includes the ID of the transmission source anonymization processing device 3 and the like). It is determined whether it is set (step S17). Also in FIG. 11, since the anonymization processing device 3c has sent the inquiry message q (t1, Pc, 7) to the anonymization processing device 3a, it is determined whether or not this situation is applicable. When the inquiry message q (T, P1, N1) is set in Q, the control unit 34 determines whether (N + N1) is equal to or greater than K (step S19). In the present embodiment, in order to simplify the processing, only when the number of data sets held in the two anonymization processing devices 3 is equal to or greater than the threshold value K, the data sets from the two anonymization processing devices 3 are used. Is transmitted to the server 7. However, in general, three or more anonymization processing apparatuses 3 may be used. If (N + N1) is less than K, the process returns to step S11 in FIG.

一方、(N+N1)がK以上である場合には、制御部34は、通信部31に、この問い合わせメッセージの送信元匿名化処理装置3宛に、条件充足の可能性を表す応答メッセージyes(T,P)(Pは自匿名化処理装置3の位置データ)を返信させる(ステップS21)。そして、制御部34は、OK待ちフラグをYesに設定して、OK待ち状態に遷移させる(ステップS23)。そして処理は端子Eを介して図12のステップS11に戻る。   On the other hand, if (N + N1) is equal to or greater than K, the control unit 34 sends a response message yes (T) indicating the possibility of satisfying the condition to the communication unit 31 to the source anonymization processing device 3 of the inquiry message. , P) (P is the position data of the self-anonymization processing device 3) is returned (step S21). And the control part 34 sets an OK waiting flag to Yes, and is changed to an OK waiting state (step S23). Then, the processing returns to step S11 in FIG.

これに対してQに問い合わせメッセージq(T,P1,N1)ではなく条件充足の可能性を表す応答メッセージyes(T,P1)(応答メッセージには送信元匿名化処理装置3のIDが含まれるものとする)が設定されている場合には、制御部34は、通信部31に、応答メッセージの送信元匿名化処理装置3宛に、了承メッセージok(T,P)を返信させる(ステップS25)。そして端子Fを介して図14のステップS31に移行する。この状況においては、応答メッセージyes(T,P1)の送信元匿名化処理装置3が(N+N2)≧Kであることを判断しており、了承メッセージok(T,P)を送信した匿名化処理装置3は直接は判断していない。しかし、応答メッセージyes(T,P1)は、(N+N2)≧Kである状況を通知しているので、この応答メッセージにて(N+N2)≧Kを判断又は確認していると言える。   On the other hand, Q is not an inquiry message q (T, P1, N1) but a response message yes (T, P1) indicating the possibility of condition satisfaction (the response message includes the ID of the source anonymization processing device 3) If it is set, the control unit 34 causes the communication unit 31 to return an acknowledgment message ok (T, P) to the transmission source anonymization processing device 3 of the response message (step S25). ). And it transfers to step S31 of FIG. In this situation, the anonymization process in which the transmission source anonymization processing device 3 of the response message yes (T, P1) has determined that (N + N2) ≧ K and the acknowledgment message ok (T, P) has been transmitted. The device 3 does not judge directly. However, since the response message yes (T, P1) notifies the situation of (N + N2) ≧ K, it can be said that (N + N2) ≧ K is determined or confirmed in this response message.

なお、図11の例では、匿名化処理装置3dから匿名化処理装置3aへ応答メッセージyes(t1,Pd)が送信されているが、その前に匿名化処理装置3aは、ステップS23でOK待ち状態に遷移しているので、ステップS25の処理は行われない。   In the example of FIG. 11, the response message yes (t1, Pd) is transmitted from the anonymization processing device 3d to the anonymization processing device 3a. Before that, the anonymization processing device 3a waits for OK in step S23. Since the state is changed, the process of step S25 is not performed.

次に、端子C以降の処理について図14を用いて説明する。すなわち、OK待ち状態である場合、制御部34は、キュー33の先頭から受信メッセージを読み出してQに設定する(ステップS27)。そして、制御部34は、Qに、了解メッセージok(T,P1)が設定されているか判断する(ステップS29)。T及びP1は、問い合わせメッセージにおけるT及びP1と同じでなければならない。Qに了解メッセージok(T,P1)が設定されていた場合、図11で匿名化処理装置3cから匿名化処理装置3aが了解メッセージok(t1,Pc)を受信したケースに該当する。これによって、ok(T,P1)の送信元匿名化処理装置3のデータセットの数N1と自匿名化処理装置3のデータセットの数Nの和がK以上であって、これらの匿名化処理装置3のデータセットを同一位置で収集したものとして取り扱う。   Next, processing after the terminal C will be described with reference to FIG. In other words, when in the OK waiting state, the control unit 34 reads the received message from the head of the queue 33 and sets it to Q (step S27). Then, the control unit 34 determines whether an acknowledgment message ok (T, P1) is set in Q (step S29). T and P1 must be the same as T and P1 in the inquiry message. When the approval message ok (T, P1) is set in Q, this corresponds to the case where the anonymization processing device 3a receives the approval message ok (t1, Pc) from the anonymization processing device 3c in FIG. Accordingly, the sum of the number N1 of the data sets of the transmission source anonymization processing device 3 of ok (T, P1) and the number N of the data sets of the self-anonymization processing device 3 is K or more, and these anonymization processing The data set of the apparatus 3 is handled as collected at the same position.

そうすると、制御部34は、匿名化処理部35に位置データP1を出力して、キャッシュ32におけるデータセットの位置データを(P+P1)/2に置換して匿名化させる(ステップS31)。図9を用いて説明したような処理を行う。そして端子Gを介して図15のステップS43に移行する。   Then, the control unit 34 outputs the position data P1 to the anonymization processing unit 35, replaces the position data of the data set in the cache 32 with (P + P1) / 2, and makes the data anonymous (step S31). The processing described with reference to FIG. 9 is performed. And it transfers to step S43 of FIG.

一方、Qに了解メッセージok(T,P1)が設定されていない場合には、制御部34は、Qに、条件充足の可能性を表す応答メッセージyes(T,P2)(P2はP1とは異なる匿名化処理装置3からの応答メッセージであることを表している)が設定されているか判断する(ステップS33)。これは、図11において、匿名化処理装置3dが匿名化処理装置3aに応答メッセージyes(t1,Pd)を送信したケースに該当する。Qに応答メッセージyes(T,P2)が設定されている場合には、制御部34は、通信部31に、応答メッセージの送信元匿名化処理装置3宛に、拒否メッセージng(T,P)を送信させる(ステップS35)。これは、図11において、匿名化処理装置3aが匿名化処理装置3dに拒否メッセージng(t1,Pa)を送信したケースに該当する。そして処理は端子Eを介して図12のステップS11に戻る。   On the other hand, when the acknowledgment message ok (T, P1) is not set in Q, the control unit 34 sends a response message yes (T, P2) (P2 is P1) indicating the possibility of satisfying the condition to Q. It is determined whether or not a response message from a different anonymization processing device 3 is set (step S33). This corresponds to the case where the anonymization processing device 3d transmits a response message yes (t1, Pd) to the anonymization processing device 3a in FIG. When the response message yes (T, P2) is set in Q, the control unit 34 sends the rejection message ng (T, P) to the communication unit 31 to the response message transmission source anonymization processing device 3. Is transmitted (step S35). This corresponds to the case in FIG. 11 in which the anonymization processing device 3a transmits a rejection message ng (t1, Pa) to the anonymization processing device 3d. Then, the processing returns to step S11 in FIG.

一方、Qに応答メッセージyes(T,P2)が設定されていない場合、制御部34は、Qに拒否メッセージng(T,P1)が設定されているか判断する(ステップS37)。Qに、ステップS29、S33及びS37で判断されているメッセージ以外のメッセージが設定されている場合には端子Eを介して図12のステップS11に戻る。   On the other hand, when the response message yes (T, P2) is not set in Q, the control unit 34 determines whether or not a rejection message ng (T, P1) is set in Q (step S37). When a message other than the messages determined in steps S29, S33, and S37 is set in Q, the process returns to step S11 in FIG.

一方、Qに拒否メッセージng(T,P1)(応答メッセージ(T,P)の送信先の匿名化処理装置3からの拒否メッセージ)が設定されている場合には、制御部34は、OK待ちフラグにNOを設定して、OK待ち状態から通常状態に戻す(ステップS39)。そして、端子Eを介して図12のステップS11に戻る。   On the other hand, when the rejection message ng (T, P1) (reject message from the anonymization processing device 3 that is the transmission destination of the response message (T, P)) is set in Q, the control unit 34 waits for OK. The flag is set to NO, and the normal state is restored from the OK waiting state (step S39). Then, the process returns to step S11 in FIG.

次に、端子A以降の処理について図15を用いて説明する。なお、端子F及び端子B以降の処理も同時に説明する。   Next, processing after the terminal A will be described with reference to FIG. In addition, the process after the terminal F and the terminal B is also demonstrated simultaneously.

端子A後、すなわち自匿名化処理装置3におけるデータセットの数NがK以上である場合には、制御部34は、匿名化処理部35に対して、キャッシュ32におけるデータセットの位置データを自匿名化処理装置3の位置Pで同一化することで匿名化させる(ステップS41)。さらに、制御部34は、匿名化処理部35に対して、キャッシュ32におけるデータセットの他の属性についての匿名化を実施させる(ステップS43)。受信時刻については計測開始時刻Tに同一化し、IDについてはハッシュ関数HによってH(ID)に変換し、他属性の匿名化については、例えば以下に示すような処理を各属性について実施する。   After the terminal A, that is, when the number N of data sets in the self-anonymization processing device 3 is K or more, the control unit 34 automatically sends the position data of the data set in the cache 32 to the anonymization processing unit 35. It anonymizes by making it the same in the position P of the anonymization processing apparatus 3 (step S41). Further, the control unit 34 causes the anonymization processing unit 35 to anonymize other attributes of the data set in the cache 32 (step S43). The reception time is made the same as the measurement start time T, the ID is converted into H (ID) by the hash function H, and the anonymization of other attributes is performed for each attribute, for example, as shown below.

具体的には、匿名化処理部35は、キャッシュ32中のデータセットにおける属性値分布を算出する(図16:ステップS51)。例えば、属性値の出現頻度を計数する。そして、匿名化処理部35は、特異値があるか判断する(ステップS53)。特異値とは、例えばデータセット数に対して出現頻度が非常に小さい属性値であり、予め定められた閾値未満しか出現しない属性値である。特異値が存在する場合には、匿名化処理部35は、特異値をNULLに置換することで一部マスク化する(ステップS55)。そしてステップS57に移行する。   Specifically, the anonymization processing unit 35 calculates the attribute value distribution in the data set in the cache 32 (FIG. 16: step S51). For example, the appearance frequency of attribute values is counted. And the anonymization process part 35 judges whether there exists a singular value (step S53). The singular value is, for example, an attribute value whose appearance frequency is very small with respect to the number of data sets, and is an attribute value that appears less than a predetermined threshold value. If a singular value exists, the anonymization processing unit 35 masks the singular value by replacing it with NULL (step S55). Then, control goes to a step S57.

一方、特異値が存在しない場合又はステップS55の後に、匿名化処理部35は、属性値が全て同一値であるか判断する(ステップS57)。属性値が全て同一値である場合には、匿名化処理部35は、ランダムにNULLに置換することで一部マスク化する(ステップS59)。そして呼び出し元の処理に戻る。一方、属性値が全て同一値ではない場合にも、呼び出し元の処理に戻る。   On the other hand, when there is no singular value or after step S55, the anonymization processing unit 35 determines whether all attribute values are the same value (step S57). If all the attribute values are the same value, the anonymization processing unit 35 masks partly by randomly replacing with NULL (step S59). Then, the process returns to the calling process. On the other hand, if all the attribute values are not the same value, the process returns to the calling process.

以上のような処理を実施することで、同じ時空間にいるユーザの属性値が全て同一の場合や、一人だけ特異な属性値を有するユーザがいる場合など、個人を特定する手がかりとなりそうな情報を隠すことができる。なお、分析したい内容や以下で述べるプライバシのレベルに応じて、特異値除去のみ行ったり、同一値除去のみ行ったり、場合によっては属性値の匿名化処理を行わない場合もある。   By performing the above process, information that seems to be a clue to identify individuals, such as when all the attribute values of users in the same spacetime are the same, or when there is a user with a unique attribute value for only one person Can be hidden. Depending on the content to be analyzed and the privacy level described below, only singular value removal may be performed, only identical value removal may be performed, or attribute value anonymization processing may not be performed.

例えば図17に示すようなデータセットがキャッシュ32に格納されている場合を考える。IDは、送信元の端末装置5のIDであり、日時はデータセットの受信時刻であり、緯度及び経度は、送信元の端末装置5の位置データであり、年齢、性別及び感染症の有無(Y/N)は、端末装置5のユーザの属性データである。   For example, consider a case where a data set as shown in FIG. The ID is the ID of the terminal device 5 that is the transmission source, the date and time is the reception time of the data set, the latitude and longitude are the position data of the terminal device 5 that is the transmission source, and age, sex, and presence / absence of infectious disease ( Y / N) is attribute data of the user of the terminal device 5.

本実施の形態における匿名化処理部35は、図18に示すように、IDについてはハッシュ関数Hによって変換し、日時については計測開始時刻によって同一化し、位置データ(緯度及び経度)については匿名化処理装置3の位置データ又は匿名化処理装置3の中間点の位置データで同一化する。さらに、匿名化処理部35は、性別については全て同一値であるのでランダムにNULLを設定して一部マスク化する。さらに、感染症の有無については、「Y」という特異値が存在するので、特異値をNULLを設定して一部マスク化する。   As shown in FIG. 18, the anonymization processing unit 35 in the present embodiment converts the ID by the hash function H, makes the date and time the same by the measurement start time, and makes the position data (latitude and longitude) anonymized. The identification is performed using the position data of the processing device 3 or the position data of the intermediate point of the anonymization processing device 3. Furthermore, since the anonymization processing unit 35 has the same value for all sexes, it randomly sets NULL and partially masks it. Furthermore, since there is a singular value “Y” for the presence or absence of infection, the singular value is partially masked by setting NULL.

図15の説明に戻って、制御部34は、通信部31に対して、キャッシュ32に格納されている匿名化処理後のデータセットをサーバ7に送信させる(ステップS45)。そして、処理終了でなければ(ステップS47:Noルート)、制御部34は、キャッシュ32をクリアし、時刻TをT+Δtで更新する(ステップS49)。そして、端子Hを介して図12のステップS1に戻る。一方、処理終了であれば(ステップS47:Yesルート)、処理を終了する。   Returning to the description of FIG. 15, the control unit 34 causes the communication unit 31 to transmit the anonymized data set stored in the cache 32 to the server 7 (step S <b> 45). If the processing is not finished (step S47: No route), the control unit 34 clears the cache 32 and updates the time T with T + Δt (step S49). Then, the process returns to step S1 in FIG. On the other hand, if the process is completed (step S47: Yes route), the process is terminated.

このような処理を実施することで、サーバ7には各ユーザの正確な位置は通知されず、少なくてもK個以上のデータセットは同一位置で収集されたことになる。従って、位置についてもプライバシ保護が図られている。さらに、隣接する匿名化処理装置3にも各ユーザの正確な位置は通知されないので、ここでも局所的にもプライバシ保護が図られている。また、匿名化処理装置3で匿名化処理が実施されているので、サーバ7では匿名化処理を行わないで済むため、サーバ7の処理負荷を下げることができる。   By performing such processing, the server 7 is not notified of the exact position of each user, and at least K data sets are collected at the same position. Therefore, privacy protection is also achieved for the position. Furthermore, since the exact position of each user is not notified to the adjacent anonymization processing device 3, privacy protection is also achieved here and locally. Further, since the anonymization process is performed by the anonymization processing device 3, the server 7 does not need to perform the anonymization process, and thus the processing load on the server 7 can be reduced.

[実施の形態2]
第1の実施の形態では、どの端末装置5からのデータセットについても同じように処理していた。しかし、端末装置5のユーザによっては、自分の属性データを含むデータセットについては秘匿レベルを高くしたいという場合もあれば、特に気にせずデータセットを可能な限りサーバに送信したいという場合もある。 [Embodiment 2]
In the first embodiment, the data set from any terminal device 5 is processed in the same manner. However, depending on the user of the terminal device 5, there is a case where it is desired to increase the secrecy level for a data set including its own attribute data, and there is a case where it is desired to transmit the data set to the server as much as possible without being particularly concerned.

本実施の形態では、ユーザが端末装置5のデータ送信部53に対して予め秘匿レベルを設定するものとする。具体的には、秘匿レベルL=3は、閾値K=50に対応し、50のデータセットがそろった場合にサーバに送信し、秘匿レベルL=2は、閾値K=10に対応し、10のデータセットがそろった場合にサーバに送信し、秘匿レベルL=1は、閾値K=1に対応し、必ずデータセットをサーバに送信する場合を想定する。なお、これは一例であって、レベル数を増減させ、閾値Kを他の値に変更することも可能である。   In the present embodiment, it is assumed that the user sets a secret level for the data transmission unit 53 of the terminal device 5 in advance. Specifically, the concealment level L = 3 corresponds to the threshold value K = 50 and is transmitted to the server when 50 data sets are prepared, and the concealment level L = 2 corresponds to the threshold value K = 10. It is assumed that the data set is transmitted to the server, and the concealment level L = 1 corresponds to the threshold value K = 1, and the data set is always transmitted to the server. This is an example, and the number of levels can be increased or decreased to change the threshold value K to another value.

このような秘匿レベルをユーザが設定する場合においても、基本的なシステムの構成及び各装置の構成については第1の実施の形態と同様であり、その機能が一部変更になるだけである。よって、第2の実施の形態においては、システム、端末装置5の構成、匿名化処理装置3の構成、サーバ7の構成についての説明を省略する。   Even when the user sets such a concealment level, the basic system configuration and the configuration of each device are the same as those in the first embodiment, and only the functions thereof are partially changed. Therefore, in 2nd Embodiment, the description about a system, the structure of the terminal device 5, the structure of the anonymization processing apparatus 3, and the structure of the server 7 is abbreviate | omitted.

次に、図19乃至図24を用いて、本実施の形態における処理フローを説明する。   Next, a processing flow in the present embodiment will be described with reference to FIGS.

匿名化処理装置3の通信部31は、キャッシュ32に、計測開始時刻Tから1単位時間Δt間、受信したデータセットを格納する(図19:ステップS101)。また、制御部34は、キュー33を初期化する(ステップS103)。さらに、制御部34は、キャッシュ32中のデータセットにおける最上位の秘匿レベルLを特定する(ステップS105)。   The communication unit 31 of the anonymization processing device 3 stores the received data set in the cache 32 for one unit time Δt from the measurement start time T (FIG. 19: step S101). Further, the control unit 34 initializes the queue 33 (step S103). Further, the control unit 34 specifies the highest secret level L in the data set in the cache 32 (step S105).

また、制御部34は、キャッシュ32に格納されているデータセットの数を計数して、Nにキャッシュ32中のデータセット数を設定する(ステップS107)。さらに、制御部34は、ステップS105で特定された秘匿レベルLに対応する閾値をKに設定する(ステップS109)。例えば、図20に示すようなテーブルを保持しておき、秘匿レベルに対応付けて閾値の数値が登録されている。   Further, the control unit 34 counts the number of data sets stored in the cache 32 and sets the number of data sets in the cache 32 to N (step S107). Further, the control unit 34 sets a threshold corresponding to the confidentiality level L specified in step S105 to K (step S109). For example, a table as shown in FIG. 20 is held, and a threshold value is registered in association with the confidentiality level.

そして、制御部34は、NがK以上となったか判断する(ステップS111)。N≧Kであれば、端子Jを介して図24のステップS155に移行する。他の匿名化処理装置3と通信を行うことなく、データセットに対して匿名化処理を実施した後にサーバ7に匿名化処理後のデータセットを送信する。   And the control part 34 judges whether N became K or more (step S111). If N ≧ K, the process proceeds to step S155 in FIG. The data set after the anonymization process is transmitted to the server 7 after performing the anonymization process on the data set without performing communication with another anonymization processing device 3.

一方、NがK未満であれば、制御部34は、通信部31に、隣接匿名化処理装置3のうちIDが自IDよりも小さいものを特定して、問い合わせメッセージq(T,P,N,L)を送信させる(ステップS113)。Tは、例えば単位時間の計測開始時刻であるが、単位時間の計測終了時刻であってもよい。Pは、匿名化処理装置3の位置であり、Nはデータセット数であり、Lは秘匿レベルである。なお、通信部31は、隣接装置データ格納部36に格納されているデータから、問い合わせメッセージを送信すべき匿名化処理装置3を特定する。自IDより小さいIDが隣接装置データ格納部36に格納されていない場合には、問い合わせメッセージを送信しない場合もある。なお、制御部34は、例えばこのタイミングで所定のタイムアウト時間の計測を開始する。このタイミング以降、通信部31は、他の匿名化処理装置3からメッセージを受信すると、キュー33に格納する。   On the other hand, if N is less than K, the control unit 34 identifies to the communication unit 31 one of the adjacent anonymization processing devices 3 whose ID is smaller than its own ID, and sends an inquiry message q (T, P, N , L) is transmitted (step S113). T is, for example, the measurement start time of unit time, but may be the measurement end time of unit time. P is the position of the anonymization processing device 3, N is the number of data sets, and L is the secret level. Note that the communication unit 31 specifies the anonymization processing device 3 to which the inquiry message should be transmitted from the data stored in the adjacent device data storage unit 36. If an ID smaller than its own ID is not stored in the adjacent device data storage unit 36, the inquiry message may not be transmitted. The control unit 34 starts measuring a predetermined timeout time, for example, at this timing. After this timing, when the communication unit 31 receives a message from another anonymization processing device 3, the communication unit 31 stores it in the queue 33.

そして、制御部34は、タイムアウト時間を経過してタイムアウトになったか判断する(ステップS115)。タイムアウトになった場合には、端子Kを介して図23のステップS147に移行する。本実施の形態では、最大秘匿レベルの数だけループを繰り返すことになるので、第1の実施の形態よりも1回分のタイムアウト時間の長さは短くなる。   Then, the control unit 34 determines whether the time-out period has elapsed and a time-out has occurred (step S115). If the timeout has occurred, the process proceeds to step S147 in FIG. In the present embodiment, the loop is repeated as many times as the maximum concealment level, so that the length of one time-out time is shorter than that in the first embodiment.

一方、タイムアウトになっていない場合には、制御部34は、OK待ち状態であるか判断する(ステップS117)。OK待ち状態は、他の匿名化処理装置3から、了解メッセージを待機する状態であり、OK待ちフラグがYesにセットされている。OK待ち状態であれば、端子Lを介して図22のステップS133に移行する。一方、OK待ち状態でなければ、端子Mを介して図21の処理に移行する。   On the other hand, if the time-out has not occurred, the control unit 34 determines whether it is in an OK waiting state (step S117). The OK waiting state is a state of waiting for an acknowledgment message from another anonymization processing device 3, and the OK waiting flag is set to Yes. If OK, the process proceeds to step S133 in FIG. On the other hand, if it is not in the OK waiting state, the processing shifts to the processing in FIG.

図21の処理の説明に移行して、制御部34は、キュー33の先頭から受信メッセージを読み出してQに設定する(ステップS119)。そして、制御部34は、Qに問い合わせメッセージq(T,P1,N1,L1)(問い合わせメッセージqには、送信元匿名化処理装置3のIDを含む)が設定されているか判断する(ステップS121)。   Shifting to the description of the processing in FIG. 21, the control unit 34 reads the received message from the head of the queue 33 and sets it to Q (step S119). Then, the control unit 34 determines whether an inquiry message q (T, P1, N1, L1) is set in Q (the inquiry message q includes the ID of the transmission source anonymization processing device 3) (step S121). ).

Qに問い合わせメッセージq(T,P1,N1,L1)が設定される場合には、制御部34は、自匿名化処理装置3のLが問い合わせメッセージに含まれるL1以上であるか判断する(ステップS123)。自匿名化処理装置3のLがL1未満である場合には、問い合わせメッセージの送信元匿名化処理装置3には、より高い秘匿レベルを要求しているデータセットが存在しているため、自匿名化処理装置3における秘匿レベルLを基準に処理すると、プライバシ保護の観点から問題が生ずるためである。L≧L1という条件を満たさない場合には、端子Nを介して図19のステップS115に戻る。   When the inquiry message q (T, P1, N1, L1) is set in Q, the control unit 34 determines whether or not L of the self-anonymization processing device 3 is equal to or greater than L1 included in the inquiry message (step) S123). When L of the self-anonymization processing device 3 is less than L1, the source anonymization processing device 3 of the inquiry message includes a data set requesting a higher secrecy level. This is because if the processing is performed based on the concealment level L in the data processing apparatus 3, a problem arises from the viewpoint of privacy protection. If the condition of L ≧ L1 is not satisfied, the process returns to step S115 in FIG.

一方、L≧L1という条件を満たす場合には、制御部34は、(N+N1)がK以上となっているか判断する(ステップS125)。本実施の形態でも、処理を簡単にするために、2つの匿名化処理装置3において保持するデータセットの数が閾値K以上となった場合にのみ、その2つの匿名化処理装置3からデータセットをサーバ7に送信するものとしている。但し、一般的には3以上の匿名化処理装置3であってもよい。(N+N1)がK未満である場合には、端子Nを介して図19のステップS115に戻る。   On the other hand, when the condition L ≧ L1 is satisfied, the control unit 34 determines whether (N + N1) is equal to or greater than K (step S125). Also in this embodiment, in order to simplify the processing, only when the number of data sets held in the two anonymization processing devices 3 is equal to or more than the threshold value K, the data sets from the two anonymization processing devices 3 are used. Is transmitted to the server 7. However, in general, three or more anonymization processing apparatuses 3 may be used. If (N + N1) is less than K, the process returns to step S115 in FIG.

一方、(N+N1)がK以上である場合には、制御部34は、通信部31に、この問い合わせメッセージの送信元匿名化処理装置3宛に、条件充足の可能性を表す応答メッセージyes(T,P)(Pは自匿名化処理装置3の位置データ)を返信させる(ステップS127)。そして、制御部34は、OK待ちフラグをYesに設定して、OK待ち状態に遷移させる(ステップS129)。そして処理は端子Nを介して図19のステップS115に戻る。   On the other hand, if (N + N1) is equal to or greater than K, the control unit 34 sends a response message yes (T) indicating the possibility of satisfying the condition to the communication unit 31 to the source anonymization processing device 3 of the inquiry message. , P) (P is the position data of the self-anonymization processing device 3) is returned (step S127). And the control part 34 sets an OK waiting flag to Yes, and makes it transfer to an OK waiting state (step S129). Then, the process returns to step S115 in FIG.

これに対してQに問い合わせメッセージq(T,P1,N1,L1)ではなく条件充足の可能性を表す応答メッセージyes(T,P1)(応答メッセージには送信元匿名化処理装置3のIDが含まれる)が設定されている場合には、制御部34は、通信部31に、応答メッセージの送信元匿名化処理装置3宛に、了承メッセージok(T,P)を返信させる(ステップS131)。そして端子Rを介して図22のステップS137に移行する。この状況においては、応答メッセージyes(T,P1)の送信元匿名化処理装置3が(N+N2)≧Kであることを判断しており、了承メッセージok(T,P)を送信した匿名化処理装置3は直接は判断していない。しかし、応答メッセージyes(T,P1)は、(N+N2)≧Kである状況を通知しているので、この応答メッセージにて(N+N2)≧Kを判断又は確認しているとも言える。   On the other hand, Q is not an inquiry message q (T, P1, N1, L1) but a response message yes (T, P1) indicating the possibility of condition satisfaction (the response message contains the ID of the source anonymization processing device 3). Is included), the control unit 34 causes the communication unit 31 to return an acknowledgment message ok (T, P) to the response message transmission source anonymization processing device 3 (step S131). . Then, the process proceeds to step S137 in FIG. In this situation, the anonymization process in which the transmission source anonymization processing device 3 of the response message yes (T, P1) has determined that (N + N2) ≧ K and the acknowledgment message ok (T, P) has been transmitted. The device 3 does not judge directly. However, since the response message yes (T, P1) notifies the situation of (N + N2) ≧ K, it can be said that (N + N2) ≧ K is determined or confirmed in this response message.

次に、端子L以降の処理について図22を用いて説明する。すなわち、OK待ち状態である場合、制御部34は、キュー33の先頭から受信メッセージを読み出してQに設定する(ステップS133)。そして、制御部34は、Qに、了解メッセージok(T,P1)が設定されているか判断する(ステップS135)。T及びP1は、問い合わせメッセージにおけるT及びP1と同じでなければならない。これによって、ok(T,P1)の送信元匿名化処理装置3のデータセットの数N1と自匿名化処理装置3のデータセットの数Nの合計が現在の閾値K以上であって、これらの匿名化処理装置3のデータセットを同一位置で収集したものとして取り扱う。   Next, processing after the terminal L will be described with reference to FIG. In other words, when in the OK waiting state, the control unit 34 reads the received message from the head of the queue 33 and sets it to Q (step S133). Then, the control unit 34 determines whether an acknowledgment message ok (T, P1) is set in Q (step S135). T and P1 must be the same as T and P1 in the inquiry message. As a result, the sum of the number N1 of data sets of the transmission source anonymization processing device 3 of ok (T, P1) and the number N of data sets of the self-anonymization processing device 3 is equal to or greater than the current threshold value K, and The data set of the anonymization processing device 3 is treated as collected at the same position.

そうすると、制御部34は、匿名化処理部35に位置データP1を出力して、キャッシュ32におけるデータセットの位置データを(P+P1)/2で置換することで匿名化させる(ステップS137)。図9を用いて説明したような処理を行う。そして端子Sを介して図24のステップS157に移行する。   Then, the control unit 34 outputs the position data P1 to the anonymization processing unit 35, and makes the position data of the data set in the cache 32 anonymized by (P + P1) / 2 (step S137). The processing described with reference to FIG. 9 is performed. Then, the process proceeds to step S157 in FIG.

一方、Qに了解メッセージok(T,P1)が設定されていない場合には、制御部34は、Qに、条件充足の可能性を表す応答メッセージyes(T,P2)(P2はP1とは異なる匿名化処理装置3からの応答メッセージであることを表している)が設定されているか判断する(ステップS139)。Qに応答メッセージyes(T,P2)が設定されている場合には、制御部34は、通信部31に、応答メッセージの送信元匿名化処理装置3宛に、拒否メッセージng(T,P)を送信させる(ステップS141)。そして処理は端子Nを介して図19のステップS115に戻る。   On the other hand, when the acknowledgment message ok (T, P1) is not set in Q, the control unit 34 sends a response message yes (T, P2) (P2 is P1) indicating the possibility of satisfying the condition to Q. It is determined whether a response message from a different anonymization processing device 3 is set (step S139). When the response message yes (T, P2) is set in Q, the control unit 34 sends the rejection message ng (T, P) to the communication unit 31 to the response message transmission source anonymization processing device 3. Is transmitted (step S141). Then, the process returns to step S115 in FIG.

一方、Qに応答メッセージyes(T,P2)が設定されていない場合、制御部34は、Qに拒否メッセージng(T,P1)が設定されているか判断する(ステップS143)。Qに、ステップS135、S139及びS143で判断されているメッセージ以外のメッセージが設定されている場合には端子Nを介して図19のステップS115に戻る。   On the other hand, when the response message yes (T, P2) is not set in Q, the control unit 34 determines whether or not a rejection message ng (T, P1) is set in Q (step S143). If a message other than the messages determined in steps S135, S139, and S143 is set in Q, the process returns to step S115 in FIG.

一方、Qに拒否メッセージng(T,P1)(応答メッセージ(T,P)の送信先の匿名化処理装置3からの拒否メッセージ)が設定されている場合には、制御部34は、OK待ちフラグにNOを設定して、OK待ち状態から通常状態に戻す(ステップS145)。そして、端子Nを介して図19のステップS115に戻る。   On the other hand, when the rejection message ng (T, P1) (reject message from the anonymization processing device 3 that is the transmission destination of the response message (T, P)) is set in Q, the control unit 34 waits for OK. The flag is set to NO, and the normal state is restored from the OK waiting state (step S145). Then, the process returns to step S115 in FIG.

次に、端子K以降の処理、すなわちタイムアウトが発生した場合の処理について図23を用いて説明する。タイムアウトが発生した場合には、現在の秘匿レベルLが高くて、対応する閾値K以上のデータセットを集められないということであるから、制御部34は、秘匿レベルL以上のデータセットをキャッシュ32から削除する(ステップS147)。これによって秘匿レベルの高いデータセットのプライバシ保護が図られる。その後、制御部34は、キャッシュ32にデータセットが残っているのか判断する(ステップS149)。キャッシュ32にデータセットが残っていない場合には、端子Wを介して図24のステップS163に移行する。   Next, processing after terminal K, that is, processing when a timeout occurs will be described with reference to FIG. If a timeout occurs, the current level of secrecy L is high and a corresponding data set of threshold value K or higher cannot be collected. Therefore, the control unit 34 caches a data set of level of secrecy L or higher. (Step S147). This protects the privacy of a data set with a high level of secrecy. Thereafter, the control unit 34 determines whether or not the data set remains in the cache 32 (step S149). If no data set remains in the cache 32, the process proceeds to step S163 in FIG.

一方、キャッシュ32にデータセットが残っている場合には、制御部34は、キャッシュ32中のデータセットにおける最上位の秘匿レベルを秘匿レベルLに設定する(ステップS151)。そして、制御部3は、Lが1であるか判断する(ステップS153)。Lが1であれば端子Jを介して図24の処理に移行する。一方、Lが2以上であれば端子Vを介して図19のステップS107に戻る。   On the other hand, when the data set remains in the cache 32, the control unit 34 sets the highest secret level in the data set in the cache 32 to the secret level L (step S151). Then, the control unit 3 determines whether L is 1 (step S153). If L is 1, the processing shifts to the processing in FIG. On the other hand, if L is 2 or more, the process returns to step S107 in FIG.

本実施の形態ではLが1の場合対応する閾値が1であるため、端子Jを介して図24の処理に移行して、キャッシュ32に格納されているデータセットをサーバ7に送信する。しかし、一般的にはLが1であっても閾値が2以上であることもあるので、そのような場合には端子Vを介して図19のステップS107に戻る。   In the present embodiment, when L is 1, the corresponding threshold value is 1. Therefore, the process proceeds to the process in FIG. 24 via the terminal J, and the data set stored in the cache 32 is transmitted to the server 7. However, generally, even if L is 1, the threshold value may be 2 or more. In such a case, the process returns to step S107 in FIG.

次に、端子J以降の処理について図24を説明する。なお、端子S及び端子W以降の処理も同時に説明する。   Next, the processing after the terminal J will be described with reference to FIG. The processing after the terminal S and the terminal W will also be described at the same time.

端子J後、すなわち自匿名化処理装置3におけるデータセットの数NがK以上である場合には、制御部34は、匿名化処理部35に対して、キャッシュ32におけるデータセットの位置データを自匿名化処理装置3の位置Pで同一化することで匿名化させる(ステップS155)。さらに、制御部34は、匿名化処理部35に対して、キャッシュ32におけるデータセットの他の属性についての匿名化を実施させる(ステップS157)。受信時刻については計測開始時刻Tに同一化し、IDについてはハッシュ関数HによってH(ID)に変換し、他属性の匿名化については、例えば図16に示すような処理を各属性について実施する。   After the terminal J, that is, when the number N of data sets in the self-anonymization processing device 3 is K or more, the control unit 34 automatically sends the position data of the data set in the cache 32 to the anonymization processing unit 35. It anonymizes by making it the same at the position P of the anonymization processing device 3 (step S155). Furthermore, the control unit 34 causes the anonymization processing unit 35 to anonymize other attributes of the data set in the cache 32 (step S157). The reception time is made the same as the measurement start time T, the ID is converted into H (ID) by the hash function H, and the anonymization of other attributes is performed for each attribute, for example, as shown in FIG.

その後、制御部34は、通信部31に対して、キャッシュ32に格納されている匿名化処理後のデータセットをサーバ7に送信させる(ステップS159)。そして、処理終了でなければ(ステップS161:Noルート)、制御部34は、キャッシュ32をクリアし、時刻TをT+Δtで更新する(ステップS163)。そして、端子Tを介して図19のステップS101に戻る。一方、処理終了であれば(ステップS161:Yesルート)、処理を終了する。   Then, the control part 34 makes the communication part 31 transmit the data set after the anonymization process stored in the cache 32 to the server 7 (step S159). If the processing is not finished (step S161: No route), the control unit 34 clears the cache 32 and updates the time T with T + Δt (step S163). Then, the process returns to step S101 in FIG. On the other hand, if the process is finished (step S161: Yes route), the process is finished.

このような処理を実施することで秘匿レベルに応じたデータセットの送信が行われる。例えば図25に示すように、エリアAのような大通りでは多数のユーザがデータセットを秘匿化処理装置3に送信するので、秘匿レベルL=3であってもサーバ7にデータセットが送信される。一方、エリアBのような大通りから少し入ったところでは、秘匿レベルL=3に設定されているデータセットについては送信されず、秘匿レベルL=2以下のデータセットであれば、サーバ7に送信される。さらに、自宅前の人通りの少ない通りでは、秘匿レベルL=3及びL=2に設定されているデータセットについては送信されず、秘匿レベルL=1のデータセットであれば、サーバ7に送信される。   By performing such processing, the data set corresponding to the confidential level is transmitted. For example, as shown in FIG. 25, since a large number of users transmit the data set to the concealment processing device 3 on the main street such as the area A, the data set is transmitted to the server 7 even if the concealment level L = 3. . On the other hand, when entering a little from the main street such as area B, the data set with the concealment level L = 3 is not transmitted, and the data set with the concealment level L = 2 or less is transmitted to the server 7. Is done. Further, on the street with few people in front of the house, the data set with the concealment level L = 3 and L = 2 is not transmitted, and the data set with the concealment level L = 1 is transmitted to the server 7. Is done.

本実施の形態によれば、第1の実施の形態の効果に加え、ユーザが指定する秘匿レベルに応じて各ユーザのデータセットのサーバへの送信を制御することができるようになる。   According to the present embodiment, in addition to the effects of the first embodiment, transmission of each user's data set to the server can be controlled according to the confidentiality level designated by the user.

なお、タイムアウト時間は秘匿レベルに応じて変更するようにしても良い。   Note that the timeout time may be changed according to the level of secrecy.

以上本技術の実施の形態について説明したが、本技術はこれに限定されるものではない。例えば、図5、図6及び図8で示した機能ブロック図は一例であって、必ずしも実際のプログラムモジュール構成と一致しない場合もある。処理フローにおいても、処理結果が変わらない限り、ステップの順番を入れ替えたり、並列実行するようにしても良い。   Although the embodiment of the present technology has been described above, the present technology is not limited to this. For example, the functional block diagrams shown in FIG. 5, FIG. 6, and FIG. 8 are examples, and may not necessarily match the actual program module configuration. Also in the processing flow, as long as the processing result does not change, the order of the steps may be changed or executed in parallel.

なお、匿名化処理装置3は、必ずしも基地局と1対1の関係にあるわけではない。例えば、複数台の基地局に対して1台の匿名化処理装置3が設けられる場合もある。また、多数のデータセットを受信する基地局の場合には、1台の基地局に対して複数台の匿名化処理装置3で並列処理してもよい。   Note that the anonymization processing device 3 is not necessarily in a one-to-one relationship with the base station. For example, one anonymization processing device 3 may be provided for a plurality of base stations. In the case of a base station that receives a large number of data sets, a plurality of anonymization processing devices 3 may perform parallel processing for one base station.

なお、上で述べた例では、2つの匿名化処理装置3の中間地点で位置データを置換するような例を示したが、2つの匿名化処理装置3の周辺であれば大きな問題は無い。また、2つの匿名化処理装置3の間をつなぐ線分を、保持するデータセット数の比で内分するような点を位置データとするような変形であっても良い。   In the above-described example, the example in which the position data is replaced at the midpoint between the two anonymization processing devices 3 has been described. Moreover, the deformation | transformation which makes the position data the point which divides the line segment which connects between the two anonymization processing apparatuses 3 by ratio of the number of the data sets to hold | maintain may be sufficient.

さらに、上で述べた例では位置データが端末装置5から送られてくる例を示したが、上で述べた処理で示したように位置データは匿名化処理装置3の位置データで置換されてしまう。従って、位置データが端末装置5から送られてこない場合にも、上で述べた処理は有効である。すなわち、位置データが端末装置5から送られてこなくても、匿名化処理装置3により、上で述べた処理で決定されている位置データを付加してから送信すればよい。   Further, in the example described above, the example in which the position data is sent from the terminal device 5 is shown. However, the position data is replaced with the position data of the anonymization processing device 3 as shown in the processing described above. End up. Therefore, the processing described above is effective even when the position data is not sent from the terminal device 5. That is, even if the position data is not sent from the terminal device 5, the anonymization processing device 3 may add the position data determined by the above-described processing and transmit the position data.

なお、上で述べた匿名化処理装置3及びサーバ7は、コンピュータ装置であって、図26に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本技術の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。   The anonymization processing device 3 and the server 7 described above are computer devices, and as shown in FIG. 26, a memory 2501, a CPU (Central Processing Unit) 2503, and a hard disk drive (HDD: Hard Disk Drive). A bus 2519 connects a display control unit 2507 connected to 2505, a display device 2509, a drive device 2513 for the removable disk 2511, an input device 2515, and a communication control unit 2517 for connecting to a network. An operating system (OS) and an application program for executing the processing in this embodiment are stored in the HDD 2505, and are read from the HDD 2505 to the memory 2501 when executed by the CPU 2503. The CPU 2503 controls the display control unit 2507, the communication control unit 2517, and the drive device 2513 according to the processing content of the application program, and performs a predetermined operation. Further, data in the middle of processing is mainly stored in the memory 2501, but may be stored in the HDD 2505. In an embodiment of the present technology, an application program for performing the above-described processing is stored in a computer-readable removable disk 2511 and distributed, and installed from the drive device 2513 to the HDD 2505. In some cases, the HDD 2505 may be installed via a network such as the Internet and the communication control unit 2517. Such a computer apparatus realizes various functions as described above by organically cooperating hardware such as the CPU 2503 and the memory 2501 described above and programs such as the OS and application programs. .

また、端末装置5については、HDD2505の代わりにフラッシュメモリを有しており、通信制御部2517が無線通信を行うようになっている。なお、匿名化処理装置3についても、端末装置5と同様にHDD2505の代わりにフラッシュメモリを用いるような場合もある。   Further, the terminal device 5 has a flash memory instead of the HDD 2505, and the communication control unit 2517 performs wireless communication. Note that the anonymization processing device 3 may use a flash memory instead of the HDD 2505 in the same manner as the terminal device 5.

以上述べた本実施の形態をまとめると、以下のようになる。   The above-described embodiment can be summarized as follows.

本実施の形態に係る情報処理方法は、(A)所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1の処理と、(B)第1の処理においてデータセットの数が閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上となっているか判断又は確認する第2の処理と、(C)他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上となっていると第2の処理で判断又は確認された場合には、データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3の処理と、(D)第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4の処理とを含む。   In the information processing method according to the present embodiment, (A) the number of data sets received from a terminal device within a predetermined time, stored in a data storage unit, and including personal information of the user of the terminal device is A first process for determining whether the threshold is equal to or greater than a predetermined threshold; and (B) if it is determined in the first process that the number of data sets is not equal to or greater than the threshold, the other is performed by communicating with another anonymization processing apparatus. A second process for determining or confirming whether the number of data sets is equal to or greater than a threshold when combined with a data set held in at least one of the anonymization processing apparatuses; and (C) at least one of other anonymization processing apparatuses If it is determined or confirmed in the second process that the number of data sets is equal to or greater than the threshold when combined with the data sets held in the above, the data sets are stored in the data storage unit. A third process for performing the first anonymization process on at least a part of the data set, and (D) a data set after the first anonymization process, a data set from a plurality of anonymization processing devices. And a fourth process to be transmitted to the storing computer.

このような処理を実施することで、コンピュータにはデータセットそのものを送信しないのでプライバシ保護が図られている。さらに、コンピュータにおいて匿名化処理を実施しなくても済むようになる。また、1つの匿名化処理装置ではデータセットが不足する場合でも、複数の匿名化処理装置でデータセット数の条件を充足する場合にはコンピュータにデータセットが送られるようになるので、データセットの有効活用がなされる。   By executing such processing, privacy protection is achieved because the data set itself is not transmitted to the computer. Furthermore, it becomes unnecessary to perform anonymization processing in the computer. In addition, even if one anonymization processing device has a shortage of data sets, a plurality of anonymization processing devices can send data sets to a computer if the conditions for the number of data sets are satisfied. Effective use is made.

なお、本実施の形態に係る情報処理方法は、(E)第1の処理においてデータセットの数が閾値以上であると判断された場合、データ格納部に格納されているデータセットの少なくとも一部に対して第2の匿名化処理を実施する第5の処理と、(F)第2の匿名化処理後のデータセットを、コンピュータに送信する第6の処理とをさらに含むようにしても良い。データセット数が閾値以上であれば、プライバシ保護を図ることが容易になる。   Note that in the information processing method according to the present embodiment, (E) in the first process, when it is determined that the number of data sets is equal to or greater than the threshold value, at least a part of the data sets stored in the data storage unit For example, a fifth process for performing the second anonymization process and (F) a sixth process for transmitting the data set after the second anonymization process to the computer may be further included. If the number of data sets is equal to or greater than the threshold value, it is easy to protect privacy.

また、本実施の形態に係る情報処理方法は、(G)他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上とならないと第2の処理で判断又は確認された場合、データ格納部に格納されているデータセットを破棄する第7の処理をさらに含むようにしても良い。プライバシ保護を確実にするためである。   In addition, the information processing method according to the present embodiment (G) determines in the second process that the number of data sets does not exceed the threshold when combined with the data sets held in at least one of the other anonymization processing devices. Alternatively, when it is confirmed, a seventh process of discarding the data set stored in the data storage unit may be further included. This is to ensure privacy protection.

さらに、上で述べた第4の処理において、匿名化処理装置の位置と他の匿名化処理装置の少なくともいずれかの位置とから算出される位置のデータを含むデータセットが送信されるようにしてもよい。例えば端末装置から位置データが送信されてこない場合でも、コンピュータ側では、プライバシ保護の観点で保護された位置データを利用できるようになる。   Furthermore, in the fourth process described above, a data set including data of a position calculated from the position of the anonymization processing device and at least one of the other anonymization processing devices is transmitted. Also good. For example, even when position data is not transmitted from the terminal device, the position data protected from the viewpoint of privacy protection can be used on the computer side.

また、上で述べたデータセットに位置データが含まれる場合、第1の匿名化処理が、位置データを、匿名化処理装置の位置と他の匿名化処理装置の少なくともいずれかの位置とから算出される位置のデータに置換する処理を含むようにしても良い。   In addition, when the position data is included in the data set described above, the first anonymization process calculates the position data from the position of the anonymization processing device and the position of at least one of the other anonymization processing devices. It is also possible to include a process of replacing the data at the position to be performed.

さらに、上で述べた第6の処理において、匿名化処理装置の位置を含むデータセットが送信されるようにしても良い。例えば端末装置から位置データが送信されてこない場合でも、コンピュータ側では、プライバシの観点で保護された位置データを利用できるようになる。   Furthermore, in the sixth process described above, a data set including the position of the anonymization processing device may be transmitted. For example, even when position data is not transmitted from the terminal device, the position data protected from the viewpoint of privacy can be used on the computer side.

さらに、上で述べたデータセットに位置データが含まれる場合、第2の匿名化処理が、位置データを、匿名化処理装置の位置に置換する処理を含むようにしても良い。   Furthermore, when position data is included in the data set described above, the second anonymization process may include a process of replacing the position data with the position of the anonymization processing device.

また、上で述べた第2の処理が、(b1)予め登録された他の匿名化処理装置のうち自匿名化処理装置の識別子よりも小さい識別子を有する匿名化処理装置に対して、データ格納部に格納されているデータセットの数を含む問い合わせメッセージを送信し、(b2)他の匿名化処理装置のいずれかである第2の匿名化処理装置からの問い合わせメッセージを受信して、当該問い合わせメッセージに含まれるデータセットの数とデータ格納部に格納されているデータセットの数とを加算すると閾値以上となっている場合には、条件充足の可能性を表すメッセージを返信し、第2の匿名化処理装置から了承メッセージを受信するとデータセットの数が閾値以上であると判断するようにしても良い。このようなプロトコルで通信を行うことで、データセット数が閾値以上であることを判断又は確認することができる。   In addition, the second processing described above stores data for an anonymization processing device having an identifier smaller than the identifier of the self-anonymization processing device among other anonymization processing devices registered in advance (b1). (B2) receiving an inquiry message from the second anonymization processing device which is one of other anonymization processing devices, and sending the inquiry message If the sum of the number of data sets included in the message and the number of data sets stored in the data storage unit is equal to or greater than the threshold value, a message indicating the possibility of satisfying the condition is returned, and the second When an acknowledgment message is received from the anonymization processing device, it may be determined that the number of data sets is equal to or greater than a threshold value. By performing communication using such a protocol, it can be determined or confirmed that the number of data sets is equal to or greater than a threshold value.

さらに、データセットには当該データセットの秘匿レベルが付加されている場合もある。このような場合、上で述べた第1の処理が、データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルである第1の秘匿レベルに対応する閾値を特定する処理を含むようにしてもよい。そして、その場合、他の匿名化処理装置の少なくともいずれかが、第1の秘匿レベル以下の第2の秘匿レベルを有する他の匿名化処理装置の少なくともいずれかであるようにしても良い。このようにすれば、秘匿レベルに応じて閾値を設定してデータセット数の条件を充足しているかを適切に判断できるようになる。   Furthermore, the data set may have a secret level of the data set added thereto. In such a case, the first process described above is a process for specifying a threshold value corresponding to the first secret level that is the highest secret level among the secret levels of the data set stored in the data storage unit. May be included. In that case, at least one of the other anonymization processing devices may be at least one of other anonymization processing devices having a second secrecy level equal to or lower than the first secrecy level. In this way, it becomes possible to appropriately determine whether the threshold value is set according to the level of secrecy and the condition for the number of data sets is satisfied.

また、本実施の形態に係る情報処理方法は、(H)他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せるとデータセットの数が閾値以上とならないと第2の処理で判断された場合、データ格納部において第1の秘匿レベルのデータセットを破棄する第8の処理と、(I)データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、2以上の値である閾値が対応付けられている秘匿レベルである場合には、第1の処理移行を実施させる第9の処理とをさらに含むようにしても良い。このようにすれば、秘匿レベルに応じて可能な限り多くのデータセットをコンピュータに送ることができるようになる。   In addition, the information processing method according to the present embodiment (H) determines in the second process that the number of data sets does not exceed the threshold when combined with the data sets held in at least one of the other anonymization processing devices. If it is, the eighth process of discarding the data set of the first secret level in the data storage unit, and (I) the highest secret level among the secret levels of the data set stored in the data storage unit, In the case of a secret level associated with a threshold value that is 2 or more, a ninth process for performing the first process shift may be further included. In this way, as many data sets as possible can be sent to the computer according to the level of secrecy.

さらに、本実施の形態に係る情報処理方法は、(J)データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、1である閾値が対応付けられている秘匿レベルである場合には、データ格納部に格納されているデータセットに対して第1の秘匿化処理を実施し、第4の処理を実施させる第10の処理をさらに含むようにしても良い。   Furthermore, in the information processing method according to the present embodiment, (J) the confidentiality level associated with a threshold having a highest confidentiality level of 1 among the confidentiality levels of the data sets stored in the data storage unit. In this case, the first concealment process may be performed on the data set stored in the data storage unit, and a tenth process for performing the fourth process may be further included.

なお、上で述べたような処理をコンピュータに実施させるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブル・ディスク、CD−ROMなどの光ディスク、光磁気ディスク、半導体メモリ(例えばROM)、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。なお、処理途中のデータについては、RAM等の記憶装置に一時保管される。   It is possible to create a program for causing a computer to carry out the processing described above, such as a flexible disk, an optical disk such as a CD-ROM, a magneto-optical disk, and a semiconductor memory (for example, ROM). Or a computer-readable storage medium such as a hard disk or a storage device. Note that data being processed is temporarily stored in a storage device such as a RAM.

以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。   The following supplementary notes are further disclosed with respect to the embodiments including the above examples.

(付記1)
匿名化処理装置により実行される情報処理方法であって、
所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1の処理と、
前記第1の処理において前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する第2の処理と、
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記第2の処理で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3の処理と、
前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4の処理と、
を含む情報処理方法。 (Appendix 1)
An information processing method executed by an anonymization processing device,
First processing for determining whether the number of data sets received from a terminal device within a predetermined time and stored in a data storage unit and including personal information of a user of the terminal device is equal to or greater than a predetermined threshold value When,
When it is determined in the first process that the number of the data sets is not equal to or greater than the threshold, the data sets are held in at least one of the other anonymization processing devices by communicating with the other anonymization processing devices. And a second process for determining or confirming whether the number of data sets is equal to or greater than the threshold value;
When it is determined or confirmed in the second process that the number of the data sets is equal to or more than the threshold when combined with the data sets held in at least one of the other anonymization processing devices, the data A third process for performing the first anonymization process on at least a part of the data set stored in the storage unit;
A fourth process for transmitting the data set after the first anonymization process to a computer that accumulates data sets from a plurality of anonymization processing apparatuses;
An information processing method including:

(付記2)
前記第1の処理において前記データセットの数が前記閾値以上であると判断された場合、前記データ格納部に格納されているデータセットの少なくとも一部に対して第2の匿名化処理を実施する第5の処理と、
前記第2の匿名化処理後のデータセットを、前記コンピュータに送信する第6の処理と、
をさらに含む付記1記載の情報処理方法。 (Appendix 2)
When it is determined in the first process that the number of the data sets is equal to or greater than the threshold value, a second anonymization process is performed on at least a part of the data sets stored in the data storage unit. A fifth process;
A sixth process of transmitting the data set after the second anonymization process to the computer;
The information processing method according to appendix 1, further comprising:

(付記3)
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上とならないと前記第2の処理で判断又は確認された場合、前記データ格納部に格納されているデータセットを破棄する第7の処理
をさらに含む付記1又は2記載の情報処理方法。 (Appendix 3)
When it is determined or confirmed in the second process that the number of the data sets does not exceed the threshold when combined with the data sets held in at least one of the other anonymization processing devices, the data storage unit stores the data sets. The information processing method according to supplementary note 1 or 2, further comprising: a seventh process of discarding the data set being processed.

(付記4)
前記第4の処理において、前記匿名化処理装置の位置と前記他の匿名化処理装置の少なくともいずれかの位置とから算出される位置のデータを含むデータセットが送信される
付記1乃至3のいずれか1つ記載の情報処理方法。 (Appendix 4)
In the fourth process, a data set including data of a position calculated from the position of the anonymization processing device and at least one of the other anonymization processing devices is transmitted. An information processing method according to claim 1.

(付記5)
前記データセットに位置データが含まれる場合、
前記第1の匿名化処理が、前記位置データを、前記匿名化処理装置の位置と前記他の匿名化処理装置の少なくともいずれかの位置とから算出される位置のデータに置換する処理を含む
付記1乃至3のいずれか1つの情報処理方法。 (Appendix 5)
If the data set contains location data,
The first anonymization process includes a process of replacing the position data with data of a position calculated from the position of the anonymization processing device and at least one of the other anonymization processing devices. Any one of the information processing methods 1 to 3.

(付記6)
前記第6の処理において、前記匿名化処理装置の位置を含むデータセットが送信される
付記2記載の情報処理方法。 (Appendix 6)
The information processing method according to claim 2, wherein a data set including a position of the anonymization processing device is transmitted in the sixth process.

(付記7)
前記データセットに位置データが含まれる場合、
前記第2の匿名化処理が、前記位置データを、前記匿名化処理装置の位置に置換する処理を含む付記2記載の情報処理方法。 (Appendix 7)
If the data set contains location data,
The information processing method according to supplementary note 2, wherein the second anonymization process includes a process of replacing the position data with a position of the anonymization processing device.

(付記8)
前記第2の処理が、
予め登録された他の匿名化処理装置のうち自匿名化処理装置の識別子よりも小さい識別子を有する匿名化処理装置に対して、前記データ格納部に格納されているデータセットの数を含む問い合わせメッセージを送信し、
他の匿名化処理装置のいずれかである第2の匿名化処理装置からの問い合わせメッセージを受信して、当該問い合わせメッセージに含まれるデータセットの数と前記データ格納部に格納されているデータセットの数とを加算すると前記閾値以上となっている場合には、条件充足の可能性を表すメッセージを返信し、前記第2の匿名化処理装置から了承メッセージを受信すると前記データセットの数が前記閾値以上であると判断する
処理を含む付記1乃至7のいずれか1つ記載の情報処理方法。 (Appendix 8)
The second process includes
Inquiry message including the number of data sets stored in the data storage unit for anonymization processing devices having an identifier smaller than the identifier of the self-anonymization processing device among other anonymization processing devices registered in advance Send
Receiving the inquiry message from the second anonymization processing device which is one of the other anonymization processing devices, and the number of data sets included in the inquiry message and the data set stored in the data storage unit If the number is greater than or equal to the threshold when the number is added, a message indicating the possibility of satisfying the condition is returned, and when an acknowledgment message is received from the second anonymization processing device, the number of the data sets becomes the threshold The information processing method according to any one of appendices 1 to 7, including a process of determining that it is the above.

(付記9)
前記データセットには当該データセットの秘匿レベルが付加されており、
前記第1の処理が、
前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルである第1の秘匿レベルに対応する閾値を特定する処理を含み、
前記他の匿名化処理装置の少なくともいずれかが、前記第1の秘匿レベル以下の第2の秘匿レベルを有する他の匿名化処理装置の少なくともいずれかである
付記1記載の情報処理方法。 (Appendix 9)
A secret level of the data set is added to the data set,
The first process includes
Including a process of specifying a threshold value corresponding to the first secret level that is the highest secret level among the secret levels of the data set stored in the data storage unit,
The information processing method according to claim 1, wherein at least one of the other anonymization processing devices is at least one of other anonymization processing devices having a second secrecy level equal to or lower than the first secrecy level.

(付記10)
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上とならないと前記第2の処理で判断された場合、前記データ格納部において前記第1の秘匿レベルのデータセットを破棄する第8の処理と、
前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、2以上の値である前記閾値が対応付けられている秘匿レベルである場合には、前記第1の処理移行を実施させる第9の処理と、
をさらに含む付記9記載の情報処理方法。 (Appendix 10)
When it is determined in the second process that the number of the data sets does not exceed the threshold when combined with the data sets held in at least one of the other anonymization processing devices, the data storage unit performs the first An eighth process of discarding the secret level data set of
When the highest level of the secret level of the data set stored in the data storage unit is a secret level associated with the threshold value which is a value of 2 or more, the first process A ninth process for carrying out the migration;
The information processing method according to appendix 9, further comprising:

(付記11)
前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、1である前記閾値が対応付けられている秘匿レベルである場合には、前記データ格納部に格納されているデータセットに対して前記第1の秘匿化処理を実施し、前記第4の処理を実施させる第10の処理
をさらに含む付記10記載の情報処理方法。 (Appendix 11)
If the highest level of the secret level of the data set stored in the data storage unit is a secret level associated with the threshold value of 1, the data level is stored in the data storage unit. The information processing method according to supplementary note 10, further comprising: a tenth process for performing the first concealment process on the existing data set and performing the fourth process.

(付記12)
匿名化処理装置に、
所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1の処理と、
前記第1の処理において前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する第2の処理と、
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記第2の処理で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3の処理と、
前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4の処理と、
を実行させるためのプログラム。 (Appendix 12)
In the anonymization processing device,
First processing for determining whether the number of data sets received from a terminal device within a predetermined time and stored in a data storage unit and including personal information of a user of the terminal device is equal to or greater than a predetermined threshold value When,
When it is determined in the first process that the number of the data sets is not equal to or greater than the threshold, the data sets are held in at least one of the other anonymization processing devices by communicating with the other anonymization processing devices. And a second process for determining or confirming whether the number of data sets is equal to or greater than the threshold value;
When it is determined or confirmed in the second process that the number of the data sets is equal to or more than the threshold when combined with the data sets held in at least one of the other anonymization processing devices, the data A third process for performing the first anonymization process on at least a part of the data set stored in the storage unit;
A fourth process for transmitting the data set after the first anonymization process to a computer that accumulates data sets from a plurality of anonymization processing apparatuses;
A program for running

(付記13)
匿名化処理装置であって、
所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断し、前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する制御部と、
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記制御部で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する匿名化処理部と、
前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する通信部と、
を有する匿名化処理装置。 (Appendix 13)
An anonymization processing device,
Determining whether the number of data sets received from the terminal device within a predetermined time and stored in the data storage unit and including the personal information of the user of the terminal device is equal to or greater than a predetermined threshold, When the number of data sets is determined to be not greater than or equal to the threshold value, the number of the data sets is combined with the data set held in at least one of the other anonymization processing devices by communicating with the other anonymization processing device. A control unit for judging or confirming whether it is above,
When the control unit determines or confirms that the number of the data sets is equal to or greater than the threshold when combined with the data sets held in at least one of the other anonymization processing devices, the data storage unit An anonymization processing unit that performs the first anonymization process on at least a part of the data set stored in
A communication unit that transmits the data set after the first anonymization processing to a computer that accumulates data sets from a plurality of anonymization processing devices;
An anonymization processing device.

1 ネットワーク
3 匿名化処理装置
5 端末装置
7 サーバ
31 通信部
32 キャッシュ
33 キュー
34 制御部
35 匿名化処理部
36 隣接装置データ格納部 1 Network 3 Anonymization Processing Device 5 Terminal Device 7 Server 31 Communication Unit 32 Cache 33 Queue 34 Control Unit 35 Anonymization Processing Unit 36 Adjacent Device Data Storage Unit

Claims (11)

匿名化処理装置により実行される情報処理方法であって、
所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1の処理と、
前記第1の処理において前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する第2の処理と、
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記第2の処理で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3の処理と、
前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4の処理と、
を含む情報処理方法。 An information processing method executed by an anonymization processing device,
First processing for determining whether the number of data sets received from a terminal device within a predetermined time and stored in a data storage unit and including personal information of a user of the terminal device is equal to or greater than a predetermined threshold value When,
When it is determined in the first process that the number of the data sets is not equal to or greater than the threshold, the data sets are held in at least one of the other anonymization processing devices by communicating with the other anonymization processing devices. And a second process for determining or confirming whether the number of data sets is equal to or greater than the threshold value;
When it is determined or confirmed in the second process that the number of the data sets is equal to or more than the threshold when combined with the data sets held in at least one of the other anonymization processing devices, the data A third process for performing the first anonymization process on at least a part of the data set stored in the storage unit;
A fourth process for transmitting the data set after the first anonymization process to a computer that accumulates data sets from a plurality of anonymization processing apparatuses;
An information processing method including: 前記第1の処理において前記データセットの数が前記閾値以上であると判断された場合、前記データ格納部に格納されているデータセットの少なくとも一部に対して第2の匿名化処理を実施する第5の処理と、
前記第2の匿名化処理後のデータセットを、前記コンピュータに送信する第6の処理と、
をさらに含む請求項1記載の情報処理方法。 When it is determined in the first process that the number of the data sets is equal to or greater than the threshold value, a second anonymization process is performed on at least a part of the data sets stored in the data storage unit. A fifth process;
A sixth process of transmitting the data set after the second anonymization process to the computer;
The information processing method according to claim 1, further comprising: 前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上とならないと前記第2の処理で判断又は確認された場合、前記データ格納部に格納されているデータセットを破棄する第7の処理
をさらに含む請求項1又は2記載の情報処理方法。 When it is determined or confirmed in the second process that the number of the data sets does not exceed the threshold when combined with the data sets held in at least one of the other anonymization processing devices, the data storage unit stores the data sets. The information processing method according to claim 1, further comprising: a seventh process of discarding the data set being processed. 前記データセットに位置データが含まれる場合、
前記第1の匿名化処理が、前記位置データを、前記匿名化処理装置の位置と前記他の匿名化処理装置の少なくともいずれかの位置とから算出される位置のデータに置換する処理を含む
請求項1乃至3のいずれか1つの情報処理方法。 If the data set contains location data,
The first anonymization process includes a process of replacing the position data with data at a position calculated from a position of the anonymization processing device and at least one of the other anonymization processing devices. Item 4. The information processing method according to any one of Items 1 to 3. 前記データセットに位置データが含まれる場合、
前記第2の匿名化処理が、前記位置データを、前記匿名化処理装置の位置に置換する処理を含む請求項2記載の情報処理方法。 If the data set contains location data,
The information processing method according to claim 2, wherein the second anonymization process includes a process of replacing the position data with a position of the anonymization processing device. 前記第2の処理が、
予め登録された他の匿名化処理装置のうち自匿名化処理装置の識別子よりも小さい識別子を有する匿名化処理装置に対して、前記データ格納部に格納されているデータセットの数を含む問い合わせメッセージを送信し、
他の匿名化処理装置のいずれかである第2の匿名化処理装置からの問い合わせメッセージを受信して、当該問い合わせメッセージに含まれるデータセットの数と前記データ格納部に格納されているデータセットの数とを加算すると前記閾値以上となっている場合には、条件充足の可能性を表すメッセージを返信し、前記第2の匿名化処理装置から了承メッセージを受信すると前記データセットの数が前記閾値以上であると判断する
処理を含む請求項1乃至6のいずれか1つ記載の情報処理方法。 The second process includes
Inquiry message including the number of data sets stored in the data storage unit for anonymization processing devices having an identifier smaller than the identifier of the self-anonymization processing device among other anonymization processing devices registered in advance Send
Receiving the inquiry message from the second anonymization processing device which is one of the other anonymization processing devices, and the number of data sets included in the inquiry message and the data set stored in the data storage unit If the number is greater than or equal to the threshold when the number is added, a message indicating the possibility of satisfying the condition is returned, and when an acknowledgment message is received from the second anonymization processing device, the number of the data sets becomes the threshold The information processing method according to any one of claims 1 to 6, including a process of determining that the above is true. 前記データセットには当該データセットの秘匿レベルが付加されており、
前記第1の処理が、
前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルである第1の秘匿レベルに対応する閾値を特定する処理を含み、
前記他の匿名化処理装置の少なくともいずれかが、前記第1の秘匿レベル以下の第2の秘匿レベルを有する他の匿名化処理装置の少なくともいずれかである
請求項1記載の情報処理方法。 A secret level of the data set is added to the data set,
The first process includes
Including a process of specifying a threshold value corresponding to the first secret level that is the highest secret level among the secret levels of the data set stored in the data storage unit,
The information processing method according to claim 1, wherein at least one of the other anonymization processing devices is at least one of other anonymization processing devices having a second secrecy level equal to or lower than the first secrecy level. 前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上とならないと前記第2の処理で判断された場合、前記データ格納部において前記第1の秘匿レベルのデータセットを破棄する第8の処理と、
前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、2以上の値である前記閾値が対応付けられている秘匿レベルである場合には、前記第1の処理移行を実施させる第9の処理と、
をさらに含む請求項7記載の情報処理方法。 When it is determined in the second process that the number of the data sets does not exceed the threshold when combined with the data sets held in at least one of the other anonymization processing devices, the data storage unit performs the first An eighth process of discarding the secret level data set of
When the highest level of the secret level of the data set stored in the data storage unit is a secret level associated with the threshold value which is a value of 2 or more, the first process A ninth process for carrying out the migration;
The information processing method according to claim 7, further comprising: 前記データ格納部に格納されているデータセットの秘匿レベルのうち最上位の秘匿レベルが、1である前記閾値が対応付けられている秘匿レベルである場合には、前記データ格納部に格納されているデータセットに対して前記第1の秘匿化処理を実施し、前記第4の処理を実施させる第10の処理
をさらに含む請求項8記載の情報処理方法。 If the highest level of the secret level of the data set stored in the data storage unit is a secret level associated with the threshold value of 1, the data level is stored in the data storage unit. The information processing method according to claim 8, further comprising: a tenth process for performing the first concealment process on a data set and performing the fourth process. 匿名化処理装置に、
所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断する第1の処理と、
前記第1の処理において前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する第2の処理と、
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記第2の処理で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する第3の処理と、
前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する第4の処理と、
を実行させるためのプログラム。 In the anonymization processing device,
First processing for determining whether the number of data sets received from a terminal device within a predetermined time and stored in a data storage unit and including personal information of a user of the terminal device is equal to or greater than a predetermined threshold value When,
When it is determined in the first process that the number of the data sets is not equal to or greater than the threshold, the data sets are held in at least one of the other anonymization processing devices by communicating with the other anonymization processing devices. And a second process for determining or confirming whether the number of data sets is equal to or greater than the threshold value;
When it is determined or confirmed in the second process that the number of the data sets is equal to or more than the threshold when combined with the data sets held in at least one of the other anonymization processing devices, the data A third process for performing the first anonymization process on at least a part of the data set stored in the storage unit;
A fourth process for transmitting the data set after the first anonymization process to a computer that accumulates data sets from a plurality of anonymization processing apparatuses;
A program for running 匿名化処理装置であって、
所定時間内において端末装置から受信し、データ格納部に格納されており且つ当該端末装置のユーザの個人情報を含むデータセットの数が、予め定められた閾値以上であるか判断し、前記データセットの数が前記閾値以上でないと判断された場合、他の匿名化処理装置と通信することによって他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっているか判断又は確認する制御部と、
前記他の匿名化処理装置の少なくともいずれかにおいて保持するデータセットと併せると前記データセットの数が前記閾値以上となっていると前記制御部で判断又は確認された場合には、前記データ格納部に格納されているデータセットの少なくとも一部に対して第1の匿名化処理を実施する匿名化処理部と、
前記第1の匿名化処理後のデータセットを、複数の匿名化処理装置からのデータセットを蓄積するコンピュータに送信する通信部と、
を有する匿名化処理装置。 An anonymization processing device,
Determining whether the number of data sets received from the terminal device within a predetermined time and stored in the data storage unit and including the personal information of the user of the terminal device is equal to or greater than a predetermined threshold, When the number of data sets is determined to be not greater than or equal to the threshold value, the number of the data sets is combined with the data set held in at least one of the other anonymization processing devices by communicating with the other anonymization processing device. A control unit for judging or confirming whether it is above,
When the control unit determines or confirms that the number of the data sets is equal to or greater than the threshold when combined with the data sets held in at least one of the other anonymization processing devices, the data storage unit An anonymization processing unit that performs the first anonymization process on at least a part of the data set stored in
A communication unit that transmits the data set after the first anonymization processing to a computer that accumulates data sets from a plurality of anonymization processing devices;
An anonymization processing device.
JP2011179587A 2011-08-19 2011-08-19 Information processing method and apparatus Expired - Fee Related JP5691936B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011179587A JP5691936B2 (en) 2011-08-19 2011-08-19 Information processing method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011179587A JP5691936B2 (en) 2011-08-19 2011-08-19 Information processing method and apparatus

Publications (2)

Publication Number Publication Date
JP2013041536A JP2013041536A (en) 2013-02-28
JP5691936B2 true JP5691936B2 (en) 2015-04-01

Family

ID=47889843

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011179587A Expired - Fee Related JP5691936B2 (en) 2011-08-19 2011-08-19 Information processing method and apparatus

Country Status (1)

Country Link
JP (1) JP5691936B2 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6125153B2 (en) * 2012-04-27 2017-05-10 Kddi株式会社 Position information anonymization device, position information anonymization method and program
JP6104674B2 (en) * 2013-03-29 2017-03-29 ニフティ株式会社 Anonymous information distribution system, anonymous information distribution method, and anonymous information distribution program
WO2014185043A1 (en) * 2013-05-15 2014-11-20 日本電気株式会社 Information processing device, information anonymization method, and recording medium
JP6471699B2 (en) * 2014-02-04 2019-02-20 日本電気株式会社 Information determination apparatus, information determination method, and program
JP6413769B2 (en) * 2015-01-05 2018-10-31 富士通株式会社 Data concealment device, data concealment program, and data concealment method
JP6435978B2 (en) * 2015-04-21 2018-12-12 トヨタ自動車株式会社 Location information anonymization method, movement information anonymization method, and apparatus
JP6779854B2 (en) * 2017-12-04 2020-11-04 Kddi株式会社 Anonymization device, anonymization method and anonymization program
JP7231020B2 (en) * 2019-05-21 2023-03-01 日本電信電話株式会社 Information processing device, information processing method and program
JP7219726B2 (en) * 2020-01-09 2023-02-08 Kddi株式会社 Risk assessment device, risk assessment method and risk assessment program

Also Published As

Publication number Publication date
JP2013041536A (en) 2013-02-28

Similar Documents

Publication Publication Date Title
JP5691936B2 (en) Information processing method and apparatus
US20200265475A1 (en) Systems and methods for using spatial and temporal analysis to associate data sources with mobile devices
JP5307153B2 (en) Method and system for message value calculation in a mobile environment
US20130185806A1 (en) Personal-information transmission/reception system, personal-information transmission/reception method, personal-information provision apparatus, preference management apparatus and computer program
US20090210480A1 (en) Method and system for collective socializing using a mobile social network
JP5799808B2 (en) Information management apparatus, data processing method thereof, and computer program
US10237244B2 (en) Method and apparatus for managing device context using an IP address in a communication system
WO2009065045A1 (en) Methods and systems for determining a geographic user profile to determine suitability of targeted content messages based on the profile
US10051428B2 (en) Subscriber location database
JP5729300B2 (en) Information management apparatus, information management method, and information management program
US20130018886A1 (en) Effect measurement device, effect measurement method, and effect measurement program
EP2603893A1 (en) Aggregating demographic distribution information
CN103329118A (en) Spatiotemporal annotation of data packets in wireless networks
US20170111778A1 (en) Adding a unique identification header to non-operator network communication
US11783372B2 (en) Systems and methods for using spatial and temporal analysis to associate data sources with mobile devices
JP2007287040A (en) Context information collecting system, its processing method and apparatus used therein
JP5112087B2 (en) Information distribution server, information distribution system, and information distribution method
US10687174B1 (en) Systems and methods for using spatial and temporal analysis to associate data sources with mobile devices
JP2014197251A (en) Electronic flier delivery device, method for managing point, and program
WO2012043300A1 (en) Information provision server, information provision system, information provision method and program
WO2018160895A1 (en) System and method for characterizing mobile entities based on mobile device signals
JP2016031595A (en) Information collection/distribution system, information collection/distribution method and program
CN105991630A (en) Shared access detection method and device
CN106339376B (en) Method and device for identifying hot microblog
JP6481795B1 (en) Message transfer apparatus, method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140508

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150106

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150119

R150 Certificate of patent or registration of utility model

Ref document number: 5691936

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees