JP5757241B2 - 情報管理装置、そのデータ処理方法、およびコンピュータプログラム - Google Patents

情報管理装置、そのデータ処理方法、およびコンピュータプログラム Download PDF

Info

Publication number
JP5757241B2
JP5757241B2 JP2011535451A JP2011535451A JP5757241B2 JP 5757241 B2 JP5757241 B2 JP 5757241B2 JP 2011535451 A JP2011535451 A JP 2011535451A JP 2011535451 A JP2011535451 A JP 2011535451A JP 5757241 B2 JP5757241 B2 JP 5757241B2
Authority
JP
Japan
Prior art keywords
information
node
user
abstraction
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011535451A
Other languages
English (en)
Other versions
JPWO2011043418A1 (ja
Inventor
伸也 宮川
伸也 宮川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011535451A priority Critical patent/JP5757241B2/ja
Publication of JPWO2011043418A1 publication Critical patent/JPWO2011043418A1/ja
Application granted granted Critical
Publication of JP5757241B2 publication Critical patent/JP5757241B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/219Managing data history or versioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/205Parsing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/025Services making use of location information using location based information parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Computational Linguistics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、情報管理装置、そのデータ処理方法、およびコンピュータプログラムに関し、位置情報を管理する情報管理装置、そのデータ処理方法、およびコンピュータプログラムに関する。
近年、携帯端末や自動車等に搭載されたGPS(Global Positioning System)や無線LAN(Local Area Network)等によって測定される位置情報を活用したサービスが増加している。位置情報は、自宅、勤務先、学校等の個人(携帯端末や自動車等のユーザ)を特定し、そのユーザに接触可能となる情報や、趣味・嗜好や通院等の他人に知られたくない情報である可能性があり、プライバシ性が高い情報と考えられる。そのようなプライバシ情報は匿名化をすることで、匿名性を確保することができる。
ここで匿名化とは、ユーザを特定できないようにプライバシ情報を加工する処理である。ユーザがどの程度特定できないかを示す指標を匿名性指標と呼ぶ。既存の匿名性指標として良く知られているものに、k匿名性(k−anonymity)とl多様性(l−diversity)とがある。以下、ユーザ情報は、ユーザを識別する1つ以上の準識別子と、1つ以上のセンシティブ情報から構成されているものとして、匿名性指標について説明する。まず、k匿名性は、準識別子の匿名化により、同じ準識別子がk通り以上になることを保証する指標である。k匿名性を満たすことによって、ユーザが1人に特定されない。一方、l多様性は、準識別子の匿名化により、同じ準識別子のセンシティブ情報がl通り以上になることを保証する指標である。l多様性を満たすことによって、ユーザのセンシティブ情報が知られることを防止することができる。
例えば、図1Aのような患者の病状記録を例として考える。図1Aの病状記録では、準識別子としてZIPコード、年齢、国籍が記録され、センシティブ情報として病状が記録されている。匿名化処理は、ZIPコードと年齢の場合、任意の桁を伏せることで行われ、国籍の場合、国名を伏せることで行われるとする。図1Bに、図1Aの病状記録を匿名化した例を表す。ZIPコード、年齢、国籍を匿名化することによって、同一の準識別子を持つ2つグループが形成される。k匿名性のkはグループの人数であり、この例ではいずれもk=4となる。k≧2を保証することによって、どの行がどのユーザを表す情報であるのかを特定できなくなる。l匿名性のlは、グループの病状の数であり、ユーザ1〜4が属するグループではl=2となり、ユーザ5〜8が属するグループではl=1となる。ZIPコードが148**であり、30代のユーザが通院していることを知る閲覧者がこのテーブル(図1B)を見た場合、ユーザが「がん」であることがわかってしまう。しかし、l≧2(ユーザ1〜4)を保証することによって、ユーザを知る閲覧者であってもユーザの特徴(この例では病状)をさらに知ることを防ぐことができる。他に知られている匿名性指標として、t近似性、m不変性等があるが、説明を割愛する。
携帯端末や自動車等によって定期的に計測された位置情報は、情報によって性質が異なる。例えば、位置情報が、自宅や勤務地等の個人を特定する情報である可能性もあるし、趣味や嗜好を明確する場所や通院する病院等の個人の特徴を明確にする情報である可能性もある。単体の位置情報では、このような性質を知ることは難しいが、同じユーザの複数の位置情報を解析し、毎日長時間滞在する場所等を知ることによって、その性質を明確にできる場合が多い。したがって、位置履歴(同じユーザの複数の位置情報)を構成する各位置情報は準識別子でもあり、センシティブ情報でもあると考えるべきである。
位置情報の匿名化に関して、単体の位置情報は、その「場」にいる閲覧者がユーザを特定することができる情報となりうる。ユーザが特定されてしまうと、その後に同じユーザの位置情報が閲覧された場合に、そのユーザがどこに行っているかを知られてしまうことになる。そのため、単体の位置情報は、k匿名性を保証し、ユーザが特定されることを防ぐ必要がある。図2は、単体の位置情報の匿名化の例を示す概念図である。ここでは、ユーザ1〜ユーザ4の位置情報をk匿名性(k≧4)を満たすように匿名化(抽象化)した例を示している。図2において、黒点は各ユーザの緯度・経度を示すピンポイントの位置情報であり、灰色の円はエリアを表す。各ユーザのピンポイント情報を、4人のユーザが含まれるエリア情報に変換することによって、その「場」にいた閲覧者に対して、ユーザ全員を特定することを困難にすることができる。
上記技術に関連して、プライバシ情報の匿名性を確保しつつ、サービスに利用可能とする技術として、情報を匿名化するシステムの一例が特許文献1、2に記載されている。
特許文献1(特開2005−234866号公報)のプライバシ情報管理サーバは、複数の端末間を接続し通信を行うためのネットワークにおける前記端末のユーザのプライバシ情報を管理する。そのプライバシ情報管理サーバは、ユーザのプライバシ情報を格納するプライバシ情報データベースと、該プライバシ情報データベースにおけるプライバシ情報の管理を行うプライバシ情報管理手段と、前記プライバシ情報データベースにおける登録ユーザ総数に対する、プライバシ情報の種類から特定されるユーザの割合を計算する統計処理手段とを有する。そして、前記プライバシ情報管理手段が、ユーザのプライバシ情報の要求メッセージを前記端末から受信した際、前記プライバシ情報データベースを検索して、このプライバシ情報が検索されると、前記統計処理手段が登録ユーザ総数に対するそのプライバシ情報を有する該ユーザの割合を計算し、あらかじめ定めた閾値以上である場合、前記端末にプライバシ情報を送信する。
また、特許文献2(特開2007−219636号公報)に記載されたデータ開示装置は、プライバシ情報を含むデータを管理する。そのデータ開示装置は、1つ以上の属性から構成されるデータを1つ以上保持する保持手段と、データの特性の属性を開示する場合の匿名性を計算する匿名性計算手段と、前記計算した匿名性が所望する匿名性を有しない場合には、特定の属性のデータの粒度を変更し、所望の閾値以上の匿名性を有するようにして前記属性のデータを開示する粒度変更開示手段とを有する。
また、関連する技術として、特許文献3(特開2005−031965号公報)に記載されたプレゼンス情報利用方法は、情報利用者側端末装置が、情報提供者側端末装置が開示したプレゼンス情報を、サーバ装置によるサービス制御のもとで通信ネットワークを介して利用する。このプレゼンス情報利用方法において、情報利用者側端末装置は、以下のステップを実施する。プレゼンス情報の収集をサーバ装置に依頼する情報収集依頼ステップと、前記サーバ装置が、情報提供者募集の広告および案内を情報提供者側端末装置に対し送信し、情報提供者側端末装置と連携して応募受信や契約を行い、前記契約の内容と情報提供者側端末装置からのプレゼンス対象情報とから生成されたプレゼンス情報を受信するプレゼンス情報受信ステップと、生成された前記プレゼンス情報の蓄積または統計処理をするプレゼンス情報蓄積または統計処理ステップと、統計処理されたプレゼンス情報に対する料金情報の蓄積を行って報酬の支払を支援する料金情報蓄積ステップ、である。
また、特許文献4(特開2004−029940号公報)に記載された情報提供システムは、ネットワークに接続され、情報を管理する第1の情報処理装置と、前記第1の情報処理装置に前記情報を提供する第2の情報処理装置と、前記第1の情報処理装置より前記情報を取得する第3の情報処理装置とを備える。この情報提供システムにおいて、前記第1の情報処理装置は、前記第2の情報処理装置より供給された、前記第2の情報処理装置の周辺に関する周辺情報を取得する周辺情報取得手段と、前記周辺情報取得手段により取得された前記周辺情報より統計情報を生成する統計情報生成手段と、前記第3の情報処理装置より前記統計情報の要求を受け付ける要求受け付け手段と、前記要求受け付け手段により受け付けられた前記要求に基づいて、前記統計情報生成手段により生成された前記統計情報を、前記第3の情報処理装置に供給する統計情報供給手段とを備える。前記第2の情報処理装置は、前記周辺情報を収集する周辺情報収集手段と、前記周辺情報収集手段により収集された前記周辺情報を、前記第1の情報処理装置に供給する周辺情報供給手段と、前記周辺情報供給手段による前記周辺情報の供給を制御する供給制御手段とを備える。前記第3の情報処理装置は、前記統計情報を要求する統計情報要求手段と、前記統計情報要求手段により要求された前記統計情報を取得する統計情報取得手段とを備える。
また、特許文献5(特開2004−318391号公報)に記載の情報提供装置は、ネットワークを介してアクセス装置と通信可能であり、アクセス装置からの要求に基づきアクセス装置に情報提供を行う。この情報提供装置は、個人に関する個人情報を記憶する個人情報記憶部と、前記アクセス装置から個人情報を検索する検索条件を含む個人情報送信要求を受信する受信部と、前記受信部が受信した個人情報送信要求に含まれる検索条件を確認し、前記個人情報送信要求に含まれる検索条件の中に個人を特定可能な条件が含まれるときは前記個人を特定可能な条件を削除し前記個人を特定可能な条件を削除した検索条件を確認後検索条件として出力し、前記個人情報送信要求に含まれる検索条件の中に個人を特定可能な条件が含まれないときは前記個人情報送信要求に含まれる検索条件をそのまま確認後検索条件として出力する検索条件確認部と、前記検索条件確認部の出力した確認後検索条件を入力し入力した確認後検索条件に基づいて前記個人情報記憶部を検索し個人情報を抽出する個人情報抽出部と、前記個人情報抽出部の抽出した個人情報を用いて、前記抽出した個人情報を識別するためのデータIDを所定の規則により生成し、生成したデータIDを前記抽出した個人情報に付与するデータID生成部と、前記個人情報抽出部が抽出しデータIDが付与された個人情報から個人の特定が可能か否かを所定の規則により判断し、個人の特定が不可能と判断したときは前記データIDが付与された個人情報を前記アクセス装置に送信する検索結果判断部とを備えている。
また、特許文献6(特開2005−346248号公報)に記載の情報仲介装置は、メールアドレスを含み且つ個人を特定するための個人特定情報と当該個人の診断結果情報とを格納する第1データ格納部と、前記第1データ格納部を参照して、前記個人特定情報から氏名を含む所定の情報を除外し、残余の個人特定情報と前記診断結果情報のうち少なくとも一部とを匿名化個人情報として第2データ格納部に格納する匿名化手段と、前記第2データ格納部に格納された前記匿名化個人情報に対する、登録事業者の端末からのアクセスを可能にする手段と、前記第2データ格納部に格納された匿名化個人情報における情報種別に基づき規定される複数の分類の各々につき、前記第1データ格納部に格納された情報を利用して、所属する個人を識別し、前記複数の分類の各々につき所属する個人の識別情報を第3データ格納部に格納する手段と、前記第3データ格納部に含まれる前記複数の分類の各々につき、前記登録事業者からの広告メールを受け付け、前記第3データ格納部に格納された前記所属する個人の識別情報を用いて前記第1データ格納部に格納されたメールアドレス宛に前記広告メールを転送する手段と、を有する。
また、特許文献7(特開2007−179500号公報)匿名化識別情報生成システムは、遺伝情報を解析する対象の被験者毎に固有の被験者識別情報と、各被験者間の関係を示す被験者関係情報と、を取得する情報取得手段と、前記情報取得手段が取得した前記被験者識別情報を暗号化して暗号化識別情報を生成する識別情報暗号化手段と、前記識別情報暗号化手段が生成した前記暗号化識別情報と、前記情報取得手段が取得した前記被験者関係情報と、に基づいて暗号化情報を生成する暗号化情報生成手段と、前記暗号化情報生成手段が生成した前記暗号化情報を、解析用の他の装置に送信する暗号化情報送信手段と、を備える。
特開2005−234866号公報 特開2007−219636号公報 特開2005−031965号公報 特開2004−029940号公報 特開2004−318391号公報 特開2005−346248号公報 特開2007−179500号公報
上記図2で説明した匿名化の技術では、単体の位置情報に対しては有効であるが、複数の位置情報から構成される位置履歴に対しては必ずしも有効とは言えない。例えば、ユーザがある場所にいたことを知っている閲覧者に対して、そのユーザが他にどこに行ったのかを知られる情報となり得るからである。
また、上述した特許文献1に記載されたシステムにおいては、緯度・経度により表される位置情報のような互いに重なりが少ないプライバシ情報を匿名化しようとした場合、ほとんどのプライバシ情報が閾値を満たさないと考えられる。そのため、そのようなプライバシ情報をほとんど外部に送信できない(サービスに利用できない)という問題があった。
上述した特許文献2に記載されたシステムにおいては、特に、複数の位置情報から構成される行動履歴を対象とした場合、同じ行動をとるユーザの数が所定数以上になるように位置情報を匿名化するため、行動履歴からユーザを特定することはできなくなるとしている。しかし、ユーザの行動履歴の一部を知る閲覧者に対して、そのユーザが別の位置に行ったことを知られる可能性があるという問題があった。
本発明は上述した問題に鑑みて成されたものであり、本発明の目的は、プライバシ情報を匿名性を確保しつつサービスに利用する場合において、ユーザの行動の一部を知る閲覧者であっても閲覧者の知らない行動を新たに知ることがより困難になる情報管理装置、そのデータ処理方法、情報管理システム、およびコンピュータプログラムを提供することにある。
上記課題を解決するために、本発明の情報管理装置は、情報受付部と、利用者情報記憶部と、第1の抽出部と、加工部と、抽象化手法記憶部と、抽象化部と、検査部とを備える。情報受付部は、複数の携帯端末から位置情報を定期的に受信する。ここで、位置情報は、携帯端末の位置を示す測位データと、測位データの測位時刻及び携帯端末のユーザの識別情報を有する付随データとを含む。利用者情報記憶部は、情報受付部が受信した位置情報をユーザ毎に行動履歴として記憶する。第1の抽出部は、利用者情報記憶部に記憶されている行動履歴を構成する各位置情報について、それぞれ、単一の位置情報を対象情報とし、位置情報のユーザの識別情報と対象情報から構成されるノードを生成する。加工部は、ノードに含まれる対象情報について、対象情報が示す位置に移動する前の位置を示す位置情報と対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合をノードに登録する。抽象化手法記憶部は、位置情報に対する抽象化手法を記憶する。抽象化部は、記ノードの対象情報に対して、抽象化手法記憶部に記憶される抽象化手法を適用する。検査部は、抽象化部が抽象化した対象情報を有するノードに対して、ノードのユーザの識別情報とは異なり、ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、他ノードの数が閾値以上であったときにノードの対象情報を匿名情報として出力する。
また、本発明の情報管理装置は、情報受付部と、利用者情報記憶部と、第2の抽出部と、加工部と、抽象化手法記憶部と、抽象化部と、検査部とを備える。情報受付部は、複数の携帯端末から位置情報を定期的に受信する。ここで、位置情報は、携帯端末の位置を示す測位データと、測位データの測位時刻及び携帯端末のユーザの識別情報を有する付随データとを含む。利用者情報記憶部は、情報受付部が受信した位置情報をユーザ毎に行動履歴として記憶する。第2の抽出部は、利用者情報記憶部に記憶されている行動履歴を構成する1つ以上の位置情報についてべき集合を生成し、べき集合の各要素を対象情報とし、位置情報のユーザの識別情報と対象情報から構成されるノードを生成する。加工部は、ノードに含まれる対象情報について、対象情報が示す位置に移動する前の位置を示す位置情報と対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合をノードに登録する。抽象化手法記憶部は、位置情報に対する抽象化手法を記憶する。抽象化部は、ノードの対象情報に対して、抽象化手法記憶部に記憶される抽象化手法を適用する。検査部は、抽象化部が抽象化した対象情報を有するノードに対して、ノードのユーザの識別情報とは異なり、ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、他ノードの数が閾値以上であったときにノードの対象情報を匿名情報として出力する。
また、本発明の情報管理装置のデータ処理方法は、複数の端末機器から位置情報を定期的に受信して利用者情報記憶部に記憶するステップと、利用者情報記憶部に記憶されている行動履歴を構成する各位置情報について、それぞれ、単一の位置情報を対象情報とし、位置情報のユーザの識別情報と対象情報から構成されるノードを生成するステップと、ノードに含まれる対象情報について、対象情報が示す位置に移動する前の位置を示す位置情報と対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合をノードに登録するステップと、ノードの対象情報に対して、抽象化手法記憶部に記憶される抽象化手法を適用するステップと、抽象化した対象情報を有するノードに対して、ノードのユーザの識別情報とは異なり、ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、他ノードの数が閾値以上であったときにノードの対象情報を匿名情報として出力するステップとを備える。ただし、情報管理装置は、複数の携帯端末から受信した位置情報をユーザ毎に行動履歴として記憶する利用者情報記憶部と、ここで、位置情報は、携帯端末の位置を示す測位データと、測位データの測位時刻及び携帯端末のユーザの識別情報を有する付随データとを含み、位置情報に対する抽象化手法を記憶する抽象化手法記憶部とを備える。
また、本発明の情報管理装置のデータ処理方法は、複数の端末機器から位置情報を定期的に受信して利用者情報記憶部に記憶するステップと、利用者情報記憶部に記憶されている行動履歴を構成する1つ以上の位置情報についてべき集合を生成し、べき集合の各要素を対象情報とし、位置情報のユーザの識別情報と対象情報から構成されるノードを生成するステップと、ノードに含まれる対象情報について、対象情報が示す位置に移動する前の位置を示す位置情報と対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合をノードに登録するステップと、ノードの対象情報に対して、抽象化手法記憶部に記憶される抽象化手法を適用するステップと、抽象化した対象情報を有するノードに対して、ノードのユーザの識別情報とは異なり、ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、他ノードの数が閾値以上であったときにノードの対象情報を匿名情報として出力するステップとを備える。ただし、情報管理装置は、複数の携帯端末から受信した位置情報をユーザ毎に行動履歴として記憶する利用者情報記憶部と、ここで、位置情報は、携帯端末の位置を示す測位データと、測位データの測位時刻及び携帯端末のユーザの識別情報を有する付随データとを含み、位置情報に対する抽象化手法を記憶する抽象化手法記憶部とを備える。
また、本発明の情報管理装置のデータ処理方法をコンピュータに実行させるプログラムは、複数の端末機器から位置情報を定期的に受信して利用者情報記憶部に記憶するステップと、利用者情報記憶部に記憶されている行動履歴を構成する各位置情報について、それぞれ、単一の位置情報を対象情報とし、位置情報のユーザの識別情報と対象情報から構成されるノードを生成するステップと、ノードに含まれる対象情報について、対象情報が示す位置に移動する前の位置を示す位置情報と対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合をノードに登録するステップと、ノードの対象情報に対して、抽象化手法記憶部に記憶される抽象化手法を適用するステップと、抽象化した対象情報を有するノードに対して、ノードのユーザの識別情報とは異なり、ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、他ノードの数が閾値以上であったときにノードの対象情報を匿名情報として出力するステップとを備える。ただし、情報管理装置は、複数の携帯端末から受信した位置情報をユーザ毎に行動履歴として記憶する利用者情報記憶部と、ここで、位置情報は、携帯端末の位置を示す測位データと、測位データの測位時刻及び携帯端末のユーザの識別情報を有する付随データとを含み、位置情報に対する抽象化手法を記憶する抽象化手法記憶部とを備えるデータ管理方法をコンピュータに実行させる。
また、本発明の情報管理装置のデータ処理方法をコンピュータに実行させるプログラムは、複数の端末機器から位置情報を定期的に受信して利用者情報記憶部に記憶するステップと、利用者情報記憶部に記憶されている行動履歴を構成する1つ以上の位置情報についてべき集合を生成し、べき集合の各要素を対象情報とし、位置情報のユーザの識別情報と対象情報から構成されるノードを生成するステップと、ノードに含まれる対象情報について、対象情報が示す位置に移動する前の位置を示す位置情報と対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合をノードに登録するステップと、ノードの対象情報に対して、抽象化手法記憶部に記憶される抽象化手法を適用するステップと、抽象化した対象情報を有するノードに対して、ノードのユーザの識別情報とは異なり、ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、他ノードの数が閾値以上であったときにノードの対象情報を匿名情報として出力するステップとを備える。ただし、情報管理装置は、複数の携帯端末から受信した位置情報をユーザ毎に行動履歴として記憶する利用者情報記憶部と、ここで、位置情報は、携帯端末の位置を示す測位データと、測位データの測位時刻及び携帯端末のユーザの識別情報を有する付随データとを含み、位置情報に対する抽象化手法と優先度とを関連付けて記憶する抽象化手法記憶部とを備えるデータ管理方法をコンピュータに実行させる。
本発明によれば、ユーザの行動の一部を知る閲覧者であっても閲覧者の知らない行動を新たに知ることができないように行動履歴を匿名化する情報管理装置、そのデータ処理方法、およびコンピュータプログラムが提供される。
図1Aは、匿名性指標を説明するための情報(匿名化前)の一例を示す表である。 図1Bは、匿名性指標を説明するための情報(匿名化後)の一例を示す表である。 図2は、単体の位置情報の匿名化の例を示す概念図である。 図3は、本発明の第1の実施の形態に係る匿名化の例を示す概念図である。 図4は、本発明の第1の実施の形態に係る情報管理装置の構成を示す機能ブロック図である。 図5は、本発明の第1の実施の形態に係る情報管理装置の動作(匿名化フェーズ)の一例を示すフローチャートである。 図6は、本発明の第1、2、3の実施の形態に係る情報管理装置の動作(参照フェーズ)の一例を示すフローチャートである。 図7Aは、本発明の第2の実施の形態に係る匿名化の例を示す概念図である。 図7Bは、本発明の第2の実施の形態に係る匿名化の例を示す概念図である。 図8は、本発明の第2の実施の形態に係る匿名化の例を示す概念図である。 図9は、本発明の第2の実施の形態に係る匿名化の例を示す概念図である。 図10は、本発明の第2の実施の形態に係る情報管理装置の構成を示す機能ブロック図である。 図11は、本発明の第2、3の実施の形態に係る情報管理装置の動作(匿名化フェーズ)の一例を示すフローチャートである。 図12は、本発明の第3の実施の形態に係る情報管理装置の構成を示す機能ブロック図である。 図13は、本発明の第3の実施の形態に係る情報管理装置の動作(匿名化フェーズ)の一例を示すフローチャートである。 図14は、本発明の実施例に係る情報管理装置の利用者情報記憶部の一例を示す表である。 図15は、本発明の実施例に係る情報処理装置の処理を説明するための図である。 図16は、本発明の実施例に係る情報管理装置の抽象化手法記憶部の一例を示す表である。 図17は、本発明の実施例に係る情報管理装置の処理を説明するための図である。 図18は、本発明の実施例に係る情報管理装置の処理を説明するための図である。 図19は、本発明の実施例に係る情報管理装置の匿名情報記憶部の一例を示す表である。 図20は、本発明の実施例に係る情報管理装置の処理を説明するための図である。 図21は、本発明の実施例に係る情報管理装置の処理を説明するための図である。 図22は、本発明の実施例に係る情報管理装置の処理を説明するための図である。 図23は、本発明の実施例に係る情報管理装置の匿名情報記憶部の一例を示す表である。 図24は、本発明の実施例に係る情報管理装置の処理を説明するための図である。 図25は、本発明の実施例に係る情報管理装置の処理を説明するための図である。 図26は、本発明の実施例に係る情報管理装置の処理を説明するための図である。 図27は、本発明の実施例に係る情報管理装置の処理を説明するための図である。
以下、本発明の情報管理装置、そのデータ処理方法、およびコンピュータプログラムの実施の形態に関して、添付図面を参照して説明する。以下の各図において、本発明の本質に関わらない部分の構成については省略してあり、図示されていない。
(第1の実施の形態)
まず、本発明の第1の実施の形態に係る情報管理装置による匿名化について説明する。図3は、本発明の第1の実施の形態に係る匿名化の例を示す概念図である。上述のように、位置履歴は、複数の位置情報から構成されるため、ユーザがある場所にいたことを知っている閲覧者に対して、そのユーザが他にどこに行ったのかを知られる情報となりうる。そのため、本実施の形態では、位置履歴がl多様性を保証し、閲覧者が知らない位置情報を知られることを防止する。図3は、ユーザ1〜ユーザ4の位置履歴をl多様性(l=4)を満たすように匿名化(抽象化)した例である。ここで、図3において、各点は各ユーザの緯度・経度を表すピンポイントの位置情報であり、点と点を結ぶ矢印は、矢印の元から矢印の先にユーザが移動したことを表す。また、円はエリアを表す。この例では、ユーザ1がエリアの中央(円の中央の点)にいること知る閲覧者が、位置履歴をみたときに、ユーザ1が他にどこに行くのかを知られないように、行き先の候補がl通りとなるように、中央の点を抽象化する。lを増加する(l多様性を高める)ことで、匿名性をより高くすることができる。この多様化は、一つの位置に関して多様性を高める。そのことから、そのような多様性をSDLD(Single−Dimensional l−Diversity:1次元l多様性)ということができる。そして、第1の実施の形態では、1次元l多様性が所定の条件を満たすように、複数の位置情報(位置履歴)を多様化する。以下、本発明の第1の実施の形態について詳細に説明する。
まず、本発明の第1の実施の形態に係る情報管理装置100の構成について説明する。図4は、本発明の第1の実施の形態に係る情報管理装置100の構成を示す機能ブロック図である。情報管理装置100は、情報受付部102と、利用者情報記憶部104と、第1の抽出部106と、加工部108と、抽象化手法記憶部110と、抽象化部112と、検査部114と、匿名情報記憶部116と、出力部118とを具備する。
情報管理装置100は、コンピュータに例示される情報処理装置である。情報管理装置100及び後述される他の情報管理装置における各構成要素(機能ブロック)は、図4等の構成要素を実現するプログラム(ソフトウェア)により、情報処理装置のハードウェアを用いて実現される。例えば、コンピュータのCPU(Central Processing Unit)、主記憶装置、補助記憶装置のようなハードウェアと、記憶装置に格納され主記憶装置にロードされた図4の構成要素を実現するプログラム(ソフトウェア)とが協働した手段により、本情報管理装置100(各構成要素)の目的に対応したデータの演算処理を実行することで実現される。そして、その実現方法、装置にはいろいろな変形例があることは、当事者には理解されるところである。以下説明する各図は、ハードウェア単位の構成ではなく、機能単位のブロックを示している。
そのような情報管理装置100は、例えば、CPU、メモリ(主記憶装置)、ハードディスク(補助記憶装置)、及び通信装置を備え、キーボードやマウス等の入力装置やディスプレイや、プリンタ等の出力装置と接続されたコンピュータにより実現することができる。そして、CPUがハードディスクに記憶されるプログラムをメモリに読み出して実行することにより、上記情報受付部102〜出力部118の各機能を実現することができる。
情報受付部102は、複数の端末機器とネットワークによって接続されている。各端末機器は、各ユーザに携帯されている。その携帯端末は、GPSや無線LAN等の測位装置を搭載している。情報受付部102は、その端末機器から位置情報を適宜(例示:定期的、設定時刻毎、ユーザのボタン操作による送信など)受信する。その位置情報は、測位データと付随データとから構成され、測位装置によって生成される。ただし、その測位データは、緯度や経度や高度等の組合せにより位置を表す。その付随データは、測位時刻と、ユーザ名又はユーザID(又は携帯端末ID)のようなユーザ情報とを表す。なお、測位データは、緯度・経度・高度等によって表現されるピンポイント情報だけでなく、総務省が規定する地域メッシュコードによって表現されるエリア情報等であっても良い。
利用者情報記憶部104は、ユーザから送信され情報受付部102が連続的に受信する位置情報を、ユーザ毎に行動履歴として記録する。すなわち、利用者情報記憶部104は、例えば、ユーザ名(又はユーザID)と測位時刻と測位データとを関連付けて行動履歴として記録している。その行動履歴は、例えば測位時刻を用いることで、時系列に沿って記憶されることが好ましい。ただし、第1の抽出部106がその行動履歴を高速に参照できるのであれば、その限りではない。
第1の抽出部106は、利用者情報記憶部104に記憶されている行動履歴を構成する各位置情報について、それぞれ、単一の位置情報を対象情報とし、その対象情報(単一の位置情報)のユーザ名とその対象情報とから構成されるノードを生成する。第1の抽出部106は、この処理を利用者情報記憶部104に登録されている全ユーザの行動履歴(すなわちすべての位置情報)に関して実行する。すなわち、位置情報の個数と同数のノードが形成される。
加工部108は、第1の抽出部106によって生成された各ノードについて、ノードに含まれる対象情報が示す位置に移動する前の位置を示す位置情報と、対象情報が示す位置から移動した先の位置を示す位置情報とをいずれも移動情報とし、その移動情報を要素とする移動情報集合を生成して、そのノードに登録する。移動情報は、対象情報に対して前/後の時刻に実際にいた位置を表す単一の位置情報であってもよいし、対象情報に対して前/後の時刻にいる可能性がある1つ以上の位置を表す位置情報の集合であっても良い。可能性がある位置については、統計解析部(図示されず)がユーザの過去の実際にいた位置を表す位置情報に関する統計処理により、位置予測を行って決定することができる。また、移動する前の位置を示す位置情報及び移動する後の位置を示す位置情報のいずれか一方しか存在しない場合や、両方とも存在しない場合であってもよい。このとき、例えば、ノードには、対象情報と、その前の時刻にいた位置を示す位置情報と、その後の時刻にいた位置を示す位置情報とが含まれる。
抽象化手法記憶部110は、位置情報を抽象化するための抽象化手法とその優先度を記憶する。抽象化手法の一例としては、時刻抽象化、ユーザ識別子削除、位置抽象化、位置情報一部削除等が考えられる。ただし、時刻抽象化は、年・月・日・時・分・秒によって表現される時刻からいずれかの一部を削除する。ユーザ識別子削除は、一部の位置情報に含まれるユーザ名(又はユーザID)のような識別子を変更・削除する。位置抽象化は、緯度や経度で表されるピンポイントの位置や地域メッシュコード等のエリア情報をより広域の情報に変換する。位置情報削除は、行動履歴からの一部の位置情報を削除する。また、ユーザ等の提供者側が提供可能な匿名度の下限や、サービスプロバイダ等の閲覧者側が活用できる情報の抽象度の上限が設定されていてもよい。そして、抽象化手法記憶部110の管理者等が、抽象化手法の追加や削除や変更等の管理を行えることが好ましい。すなわち、情報管理装置100が管理部(図示されず)を更に備え、その管理部が、利用者情報記憶部104に記憶されている位置情報の傾向や、匿名情報記憶部116に記憶されている匿名情報の精度等を判断材料として、匿名情報の内容を調整する。
抽象化部112は、各ノードに含まれる対象情報に対して、抽象手法記憶部110に記憶される抽象化手法を優先度順に適用する。すなわち、対象情報に対して、まず優先度1の抽象化手法を適用する。そして、その抽象化手法で抽象化された対象情報が後述の検査部114の検査を通らない場合、その対象情報に対して次の優先度2の抽象化手法を適用し、検査部114の検査を受ける。以下、検査を通るまで順次優先度を下げて抽象化を行う。
ここで、抽象化手法は、優先度が高いほど抽象化の程度は相対的に低く、優先度が低いほど抽象化の程度が相対的に高くなっている。従って、優先度の高い抽象化手法で抽象化された対象情報は、元の対象情報に対して相対的に近い又は同じ(焦点の合った)情報となる。一方、優先度の低い抽象化手法で抽象化された対象情報は、元の対象情報に対して相対的に遠い(焦点のぼやけた)情報となる。単一の対象情報だけで見れば、優先度の低い抽象化手法を用いるほど抽象化されて匿名性が高まる。すなわち、ノードの対象情報は、抽象化部112で適用される抽象化手法により、元の位置情報よりも抽象化されて匿名性が高まることになる。
検査部114は、抽象化手法が適用されたノードに対して、そのノードのユーザ名とは異なり、そのノードの対象情報の位置と同じ位置の対象情報を持ち、そのノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを列挙する。そして、その他ノードの数が閾値以上であったときに、そのノードの対象情報(抽象化手法により抽象化されて匿名化された位置情報)を匿名情報として出力する。
匿名情報記憶部116は、検査部114から出力された匿名情報を記憶する。匿名情報は、検査部114による検査を通過したノードの対象情報であり、抽象化手法により抽象化されて匿名化された位置情報である。すなわち、匿名情報記憶部116は、例えば、匿名化されたユーザ名(又はユーザID)と匿名化された測位時刻と匿名化された測位データとを関連付けて行動履歴として記録している。ただし、少なくとも一つが匿名化されていればよい。
出力部118は、位置情報を活用したサービスを提供するサービスプロバイダ等の匿名情報(抽象化により匿名化された位置情報)を利用する要求者(閲覧者)からの要求を受け付ける。そして、その要求を満たす匿名情報(抽象化により匿名化された位置情報)を匿名情報記憶部116から検索して、要求者(閲覧者)に送信する。
次に、本発明の第1の実施の形態に係る情報管理装置100の動作(データ処理方法)について説明する。図5と図6は、本発明の第1の実施の形態に係る情報管理装置100の動作の一例を示すフローチャートである。情報管理装置100の動作は、図5に示される匿名化フェーズと、図6に示される参照フェーズとを備えている。ただし、匿名化フェーズは、複数のユーザから集約した位置情報からユーザが特定されないような匿名情報を生成する工程を含んでいる。参照フェーズは、閲覧者の要求を満たす匿名情報を検索して提供する工程を含んでいる。
まず、図5の匿名化フェーズについて説明する。
情報受付部102は、緯度や経度や高度等を組み合わせて位置とする測位データと、測位時刻やユーザ名を表す記号等の付随データとから構成される位置情報を複数の端末機器(ユーザ)から定期的に受信する。そして、ユーザから送信された位置情報を集約して、ユーザ毎に行動履歴として、利用者情報記憶部104(利用者情報記憶装置)に記憶する(情報受付手順:図5のステップS101)。
第1の抽出部106は、利用者情報記憶部104に記憶されている行動履歴を構成する位置情報(すなわちすべての位置情報)について、それぞれ、単一の位置情報を対象情報として、位置情報のユーザ名と対象情報とから構成されるノードを生成する(第1の抽出手順:図5のステップS103)。
加工部108は、ノードに含まれる対象情報について、対象情報が示す位置に移動する前の位置を示す位置情報と、その対象情報が示す位置から移動した後の位置を示す位置情報とをいずれも移動情報として、1つ以上の移動情報を要素として持つ移動情報集合を生成し、そのノードに登録する(加工手順:図5のステップS105)。
抽象化手法記憶部110(抽象化手法記憶装置)は、予め時刻抽象化、ユーザ識別子削除、位置の抽象化、位置情報削除等の位置情報に対する抽象化の手法とその優先度を記憶している。抽象化部112は、抽象化手法記憶部110に記憶される抽象化手法であり、ノードにまだ適用していない最も優先度が高い抽象化方法を選択し、そのノードの対象情報に対して抽象化方法を適用する(抽象化手順:図5のステップS107)。その結果、そのノードの対象情報は、適用される抽象化手法によっては、元の位置情報よりも抽象化されて匿名性が高まる。
検査部114は、ノードに対して、そのノードのユーザ名とは異なり、そのノードの対象情報の位置と同じ位置の対象情報を持ち、そのノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを列挙する。すなわち、列挙されるノードは、ユーザと同じ位置にいた別のユーザのノードであって、そのユーザが前後の時刻で異なる位置にいるようなノードである。そして、他ノードの数が閾値以上であるか否かを検査する(図5のステップS109)。そして、他ノードの数が閾値以上であった場合(図5のステップS109:Yes)、そのノードの対象情報(抽象化手法により抽象化されて匿名化された位置情報)を匿名情報として出力し、匿名情報記憶部114(匿名情報記憶装置)に、その匿名情報(抽象化により匿名化された位置情報)を記憶する(図5のステップS111;以上、検査手順:図5のステップS109〜S111)。これにより、所望のl多様性を確保することができる。また、結果として、所望のk匿名性も確保することができる。
次に、図6の参照フェーズについて説明する。
出力部118は、匿名情報(抽象化により匿名化された位置情報)を利用するサービスプロバイダ等の要求者(閲覧者)から、所定条件の情報提供の要求を受け付ける(受付手順:図6のステップS121)。
出力部118は、匿名情報記憶部116の内容を検索して、その所定条件を満たす匿名情報(抽象化により匿名化された位置情報)を抽出し、要求者(閲覧者)に出力する(出力手順:図6のステップS123)。
このように本実施の形態の情報管理装置100によれば、各ノード(対象情報)に対して所定の検査条件を満足するように抽象化が施される。すなわち、あるノードに対して、そのノードのユーザ名とは異なり、そのノードの対象情報の位置と同じ位置の対象情報を持ち、そのノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードの数が閾値以上となるように、抽象化が行われる。従って、ユーザの任意の一箇所の位置情報が同じであり、その位置情報以外の位置情報が異なる他ユーザが存在するように抽象化(匿名化)がおこなわれる。これにより、ユーザがある一箇所の位置(あるノード)に過去にいたことを知っている閲覧者が、匿名化されたユーザの行動履歴を閲覧しようとしたとき、当該ある一箇所と同様の位置にいた他ユーザの匿名化された行動履歴と区別がつけられなくなっているので、ユーザを特定することと、ユーザが他に行った場所を知ることが困難になる。それにより、ユーザの行動の一部を知る閲覧者であっても閲覧者の知らない行動を新たに知ることができないように行動履歴を匿名化することが可能となる。
(第2の実施の形態)
まず、本発明の第2の実施の形態に係る情報管理装置による匿名化について説明する。図7A及び図7Bは、本発明の第2の実施の形態に係る匿名化の例を示す概念図である。第1の実施の形態では、ユーザがある一箇所の位置に過去にいたことを知っている閲覧者が、匿名化されたユーザの行動履歴を閲覧しようとしたとき、当該ある一箇所と同様の位置にいた他ユーザの匿名化された行動履歴と区別がつけられなくなっているので、ユーザを特定することと、ユーザが他に行った場所を知ることが困難になる。しかし、閲覧者が、ユーザがある複数の箇所の位置に過去にいたことを知っている場合、当該閲覧者に対して、ユーザ及びその位置履歴を匿名化することが困難になる場合がある。そこで、第2の実施の形態では、ユーザがある複数の箇所の位置に過去にいたことを知っている閲覧者に対しても、ユーザの位置履歴を知ることができないように匿名化を実施する。
例えば、図7A及び図7Bの例のように自宅、勤務地、及び病院を行動範囲とするユーザについて考える。その場合、図7Aに示すように閲覧者が自宅と勤務地を知っていたとき、自宅や勤務地や病院それぞれについてl多様性を満たすように匿名化(抽象化)をしても、自宅を含むエリア及び勤務地を含むエリアの両エリアに存在するユーザが一人しかいない場合、そのユーザが病院を含むエリアに移動した場合、そのユーザが病院に行っていることを知られる可能性がある。また、図7Bに示すように閲覧者が病院と勤務地を知っていたとき、を病院含むエリア及び勤務地を含むエリアの両エリアに存在するユーザが一人しかいない場合、そのユーザが自宅を含むエリアに移動した場合、そのユーザの自宅が知られる可能性がある。第2の実施の形態では、このようにユーザがある複数の箇所の位置に過去にいたことを知っている閲覧者に対しても、ユーザの位置履歴を知ることができないように匿名化を実施する。
これを実現するために、閲覧者が知る可能性がある位置情報の組合せを列挙し、それぞれについてl多様性を満たすように位置情報を匿名化する方式を採用する。具体的な方法として、ユーザ1の位置履歴が2地点の位置情報を含む場合を図8に、3地点の位置情報を含む場合を図9に示す。例えば図8において、位置A及び位置Bをそれぞれ空間抽象化して匿名化する場合、位置Aに関しては、位置Aの周辺にはいるが位置Bの周辺に行かないユーザ2を含むように位置Aを含むエリアを形成する(空間抽象化する)。一方、位置Bに関しては、位置Bの周辺にはいるが位置Aの周辺に行かないユーザ3を含むように位置Bを含むエリアを形成する(空間抽象化する)。このように、各位置での空間抽象化を、その位置の情報のみを用いて単独で行うのではなく、互いの位置での情報を参照しながら互いに関連付けて行う。それにより、仮に、ユーザ1が位置A及び位置Bに存在することが知られていても、その後、どこに行くのかについてはユーザ2やユーザ3の存在により、匿名化を図ることができる。また、例えば、図9の場合も、基本的に同様に考えることができる。ただし、閲覧者が知っている位置情報のパターンは、いずれか1つ知っている3通り、及びいずれか2つ知っている3通りの合計6通りある。そのため、例えば、まず、いずれか1つ知っている3通りの場合について、図8のように空間抽象化を行う(図の中央)。そして、いずれか2つ知っている3通りの場合について、更に空間抽象化を行う。
この多様化は、単に複数の位置の各々において多様性を高めるのでなく、複数の位置について可能な組合せを生成し、それらの組合せごとに多様性を高める。すなわち、多次元的な多様性を取り扱っている。そのことから、そのような多様性をMDLD(Multi−Dimensional l−Diversity:多次元l多様性)ということができる。そして、第2の実施の形態では、多次元l多様性(MDLD)の所定の条件を満たすように、複数の位置情報(位置履歴)が多様化される(多様性を高めている)。ここで、MDLDの所定の条件を満たす(以下、MDLD保証ともいう)とは、以下のように定義される。
ユーザの移動範囲(移動圏、後述)に含まれる(そのユーザの)位置(ノード)がn個あったとき、位置の重なり方は2−1通り存在する。MDLD保証とは、すべてが重なる場合を除いた2−2通りについて、それぞれを満たす他ユーザが少なくとも1人以上存在することを保証することである。例えば、ユーザの行動が位置p1、p2、p3から構成される場合、ユーザの移動圏はp1,p2,p3を含む範囲であり、ユーザの移動圏に含まれる(そのユーザの)位置は3個である。この行動との重なり方を重なる位置の集合で表現すると、{p1}、{p2}、{p3}、{p1,p2}、{p2,p3}、{p3,p1}、{p1,p2,p3}の7通り(2−1=7)となる。すべてが重なる{p1,p2,p3}を除いた6通り(2−2=6)について、それぞれを満たす他ユーザが少なくとも1人存在することを保証することが、MDLD保証(MDLDを満たすこと)となる。
以下、本発明の第2の実施の形態について詳細に説明する。なお、以下において、第1の実施の形態と同様の機能や動作をする構成やステップがある場合、それらについて図中には同じ符号を付し、明細書中の説明を省略する場合がある。他の実施の形態や実施例についても同様である。
まず、本発明の第2の実施の形態に係る情報管理装置200の構成について説明する。図10は、本発明の実施の形態に係る情報管理装置200の構成を示す機能ブロック図である。情報管理装置200は、情報受付部102と、利用者情報記憶部104と、第2の抽出部202と、加工部108と、抽象化手法記憶部110と、抽象化部112と、検査部114と、匿名情報記憶部116と、出力部118とを具備する。
上記第1の実施の形態に係る情報管理装置100は、ユーザの任意の一箇所の位置情報が同じであり、その位置情報以外の位置情報が異なる他ユーザが存在するように匿名化処理を行うことにより、一箇所の位置を基準としてその他の位置の多様性を保証している。しかし、本実施の形態の情報管理装置200は、情報管理装置100とは、ユーザの位置情報の任意の組合せを基準として、その他の位置の多様性を保証する点で相違する。相違する構成について以下に説明する。
情報処理装置200は、上記第1の実施の形態に係る情報管理装置100の構成における第1の抽出部106の代わりとして、第2の抽出部202を備えている。第2の抽出部202は、利用者情報記憶部104に記憶されるユーザ毎の行動履歴を構成する1つ以上の位置情報に対して任意の集合を生成して、集合を対象情報として、位置情報のユーザ名と対象情報とから構成されるノードを生成する。
すなわち、第2の抽出部202は、利用者情報記憶部104に記憶されているユーザ毎の位置情報の集合を元集合として、任意の組合せを抽出して部分集合を生成する。具体的には、第2の抽出部202は、あるユーザの部分集合として、あらゆる組合せ、いわゆる、元集合に対するべき集合を生成する。たとえば、あるユーザの位置情報であるAとBとCから構成される元集合{A,B,C}に対しては、7通りの部分集合({A}、{B}、{C}、{A,B}、{A,C}、{B,C}、{A,B,C})を生成する。そして、それら部分集合(べき集合の要素)を対象情報として、それぞれノードを生成する。
加工部108は、各ノード(各部分集合)について、その部分集合を構成する各位置情報が示す位置に移動する前の位置を示す位置情報と、その部分集合を構成する各位置情報が示す位置から移動した後の位置を示す位置情報であって、その部分集合に含まれない位置情報とをいずれも移動情報として抽出し、抽出したすべての移動情報を移動情報集合としてノードに付与する。この場合にも、移動情報は、対象情報に対して前/後の時刻に実際にいた位置を表す単一の位置情報であってもよいし、対象情報に対して前/後の時刻にいる可能性がある1つ以上の位置を表す位置情報の集合であっても良い。また、移動する前の位置を示す位置情報及び移動する後の位置を示す位置情報のいずれか一方しか存在しない場合や、両方とも存在しない場合であってもよい。このとき、例えば、ノードには、部分集合(少なくとも一つの対象情報)と、その前の時刻にいた位置を示す位置情報と、その後の時刻にいた位置を示す位置情報とが含まれる。
検査部114において、各ノードについて匿名性を検査するとき、閾値を設定し、閾値と比較して匿名性を判断する。閾値は、匿名化ポリシとしてユーザが設定可能とするのが好ましい。すなわち、情報管理装置200において、匿名性の度合いを決定する閾値を受け付ける設定受付部(図示されず)をさらに備えることができ、検査部114は、抽象化部110が生成した位置情報について、閾値と比較して匿名性の判断を変えることができる。
次に、本発明の第2の実施の形態に係る情報管理装置200の動作(データ処理方法)について説明する。図11と図6は、本発明の第2の実施の形態に係る情報管理装置200の動作の一例を示すフローチャートである。情報管理装置200の動作は、図11に示される匿名化フェーズと、図6に示される参照フェーズとを備えている。ただし、匿名化フェーズは、図11に示されるように、図5に示される情報管理装置100の動作と同様のステップS101、S105〜S109を有し、さらに、以下に説明するステップS201を有している。参照フェーズは、図6に示される情報管理装置100と同様の参照フェーズを有している。
まず、図11の匿名化フェーズについて説明する。
情報受付部102は、情報受付手順を実行する(図11のステップS101)。
第2の抽出部206は、ステップS101によって蓄積されたユーザ毎の行動履歴を示す位置情報の集合から、ユーザ毎にべき集合を生成する。そして、そのべき集合を構成する各要素に対して、それぞれ、ノードを割り当て、各要素に含まれるすべての位置情報を対象情報として、それら対象情報が示す位置に移動する前にいた位置の位置情報と、それら対象位置情報が示す位置から移動した後の位置の位置情報とであって、各要素に含まれない位置情報の集合を移動情報集合としてノードに付与する(第2の抽出手順:図11のステップS201)。
その後、加工部108は、加工手順を実行する(図11のステップS105)。次に、抽象化部112は、抽象化手順を実行する(図11のステップS107)。そして、検査部114は、検査手順を実行する(図11のステップS109〜S111)。続いて、出力部118は、受付手順(図6のステップS121)及び出力手順(図6のステップS123)を実行する。
以上説明したように、本実施の形態の情報管理装置200によれば、ユーザの位置情報の任意の組合せに対して同様の位置情報の組合せから構成され、かつ、その組合せに含まれない位置情報の集合が異なる他ユーザが存在することが保証される。そのため、ユーザが複数の位置にいたことを知る閲覧者が位置情報の集合を参照したとしても、ユーザを特定することと、ユーザが閲覧者が知る位置以外にいた位置を知ることを困難にできる。それにより、ユーザの行動の一部を知る閲覧者であっても閲覧者の知らない行動を新たに知ることができないように行動履歴を匿名化することが可能となる。
(第3の実施の形態)
まず、本発明の第3の実施の形態に係る情報管理装置300の構成について説明する。図12は、本発明の実施の形態に係る情報管理装置300の構成を示す機能ブロック図である。情報管理装置300は、情報受付部102と、利用者情報記憶部104と、第2の抽出部202と、加工部108と、抽象化手法記憶部110と、抽象化部112と、検査部114と、匿名情報記憶部116と、出力部118と、設定受付部302と、提示部304と、サンプル記憶部306とを具備する。
本実施形態の情報管理装置300は、上記第2の実施の形態の情報管理装置200とは、提供者が匿名性の閾値を変更したときに、閲覧者に提供される位置情報のサンプルを確認できる点で相違する。相違する構成について以下に説明する。
設定受付部302は、検査部114による位置情報の匿名性検査における閾値の設定変更を受け付ける。サンプル記憶部306は、閾値を変更したことによって検査部114を通過する位置情報をサンプルとして記憶する。提示部304は、サンプル記憶部306に記憶されたサンプルを提示する。
提示部304は、検査部114が位置情報の匿名性を判断するときに使う閾値をいくつか列挙し、設定受付部302に対していくつかの閾値を指定する。提示部304は、設定されている閾値を満たす位置情報が記憶されているサンプル記憶部306から位置情報を参照し、閾値と位置情報を提供者に提示する。提供者は、閾値によって変化する位置情報を参照し、自分にとってどの閾値が妥当であるかを判断することができる。
次に、本発明の第3の実施の形態に係る情報管理装置300の動作(データ処理方法)について説明する。図13と図11と図6は、本発明の第3の実施の形態に係る情報管理装置300の動作の一例を示すフローチャートである。情報管理装置300の動作は、図13に示されるサンプル生成フェーズと、図11に示される匿名化フェーズと、図6に示される参照フェーズとを備えている。ただし、サンプル生成フェーズは、図13に示されるように、図11に示される情報管理装置200の動作と同様のステップS101、S201、S105〜S109を有し、さらに、以下に説明するステップS301〜S305を有している。匿名化フェーズは、図11に示される情報管理装置200の動作と同様の匿名化フェーズを有している。参照フェーズは、図6に示される情報管理装置100と同様の参照フェーズを有している。
まず、図13のサンプル生成フェーズについて説明する。
情報受付部102は、情報受付手順を実行する(図13のステップS101)。
図12の提示部304は、抽象化部110に設定可能な匿名化の閾値リストを生成し、リストの先頭から順に閾値を設定受付部302に対して設定する(図13のステップS301)。次に、第2の抽出部206は、第2の抽出手順を実行する(図13のステップS201)。その後、加工部108は、加工手順を実行する(図13のステップS105)。次に、抽象化部112は、抽象化手順を実行する(図13のステップS107)。そして、検査部114は、検査手順を実行する(図13のステップS109)。
検査部114は、位置情報がステップS301にて設定した閾値を満たす場合に、サンプル記憶部306に位置情報を記憶する(図13のステップS303)。提示部304は、閾値リストに含まれるすべての閾値について、図13のステップS301、S201、S105、S107、S109、S303の処理を繰り返す(図13のステップS305)。
なお、図11に示される匿名化フェーズ及び図6に示される参照フェーズは、それぞれ第2の実施の形態及び第3の実施の形態と同様であるのでその説明を省略する。
以上説明したように、本実施の形態の情報管理装置300によれば、匿名性の閾値に応じて、閲覧者に提供される位置情報のサンプルを提供者が確認することができるので、提供者は適切な閾値の値を決定することができる。
「実施例」
(実施例1)
以下、本発明の情報管理装置の実施例として、複数ユーザの位置情報を入力として受け取り、SDLD(1次元l多様性)を高めるように各ユーザの位置情報を匿名化する例(匿名化フェーズ)を説明する。本実施例は第1の実施の形態における一つの具体例を示している。
情報受付部102は、ユーザA〜ユーザDの位置情報を定期的に受け付け、例えば、地図上に記載したときに図14で表されるような位置情報リストを利用者情報記憶部104に記憶する(ステップS101)。図14は、一例として、1時間置きに受信されるユーザA〜ユーザDの位置情報の一部を示している。この例では、位置情報は、緯度・経度によって表される測位データ(“位置”)と、ユーザ名と測位時刻によって表される付随データ(“測位時刻”及び“ユーザ名”)から構成されている。
図14の位置情報リストのユーザA〜ユーザDの各位置情報が、例えば、図15のように地図上に図示されるとする。図15において、黒点はユーザが長期的に滞在する場所が緯度・経度で表された位置を表し、黒点と黒点を結ぶ線は、線に付されたユーザ名を持つユーザが2つの位置を移動することを表す。そして、ユーザAは位置A1と位置A2に長期的に滞在していて、その2点を相互に往復している。ユーザBは位置B1と位置B2に長期的に滞在していて、その2点を相互に往復している。ユーザCは位置C1と位置C2に長期的に滞在していて、その2点を相互に往復している。ユーザDは位置D1と位置D2に長期的に滞在していて、その2点を相互に往復している。また、位置A1−位置B1間、位置A2−位置B2間、位置C2−位置D2間の距離は、いずれも300m以内であるとする。また、位置A1−位置C1間、位置B1−位置C1間、位置A2−位置D1間、位置B2−位置D1間の距離はいずれも500m以内であるとする。
第1の抽出部106は、すべての位置情報について、図15の各黒点のユーザ名と、その黒点の1つを対象情報として含むようなノードを生成する(ステップS103)。ここで、位置Xを含むノードをノードXと記す。
次に、加工部108は、各ノードの対象情報が示す位置に移動する前の位置情報と、その対象情報が示す位置から移動した後の位置情報とを移動情報として、1つ以上の移動情報を要素として持つ移動情報集合をノードに付与する(ステップS105)。図15の例においては、ノードの対象情報を示す黒点から線によってつながれているもうひとつの黒点を移動情報として、移動情報を要素とする移動情報集合を生成し、そのノードに登録する。たとえば、ノードA1については、ノードA1に含まれる位置A1(対象情報)と線でつながれている位置A2(対象情報が示す位置から移動した後の位置情報)を要素とするような{A2}を移動情報集合としてノードA1に登録する。この例の場合、対象情報が示す位置に移動する前の位置情報はない。逆に、ノードA2については、ノードA2に含まれる位置A2(対象情報)と線でつながれている位置A1(対象情報が示す位置から移動する前の位置情報)を要素とするような{A1}を移動情報集合としてノードA2に登録する。この例の場合、対象情報が示す位置に移動した後の位置情報はない。
抽象化手法記憶部110には、図16に示す抽象化手法と優先度とが互いに関連付けられて記憶されているとする。優先度は、各ノードに含まれる対象情報に対して行う抽象化の操作を表し、優先度は適用する順番を表す。また、抽象化手法としては、位置を300m範囲に拡大や位置情報削除など位置の抽象化が例示されている。たとえば、1回目に位置情報に対して抽象化手法を適用する際には、優先度1に記載されているように抽象化処理を行わず、2回目に位置情報に対して抽象化手法を適用する際には、優先度1に記載されているように位置を300m範囲に拡大し位置を抽象化する。
抽象化部112は、全てのノードに対して、抽象化手法記憶部110に記憶された優先度1の抽象化手法を適用する(ステップS107)。図16に記載されたように、優先度1の抽象化方法は、何も処理しない(「何もしない」)ことである。そのため、ノードの対象情報は図15に示したままで変化はない。
検査部114は、各ノードについて、ユーザ名が異なり、対象情報の位置が同じであり、移動情報集合が異なるような他ノードを検索する(ステップS109)。しかし、図15の場合、対象情報が一致するノードがひとつも存在しないため、検査部114による検査を通過するノードは存在しない(ステップS109:No)。
次に、抽象化部112は、各ノードに対して優先度2の抽象化方法を適用する(ステップS107)。図16に記載されたように、優先度2の抽象化方法は、緯度・経度で表された位置情報を直径300mの範囲の円に拡大する(「位置を300m範囲に拡大」)ことである。この抽象化によって、ユーザの位置を正確に把握できる緯度・経度の情報から、300mの範囲の中にいるといったあいまいな情報にすることができる。すなわち、正確な緯度・経度の情報を抽象化により匿名化された対象情報にすることができる。
すなわち、抽象化部112は、すべてのノードに対して、抽象化手法記憶部110に記憶された優先度2の抽象化手法を適用することによって、図17の円のような対象情報(抽象化により匿名化された位置情報)を得ることが出来る。黒点を含む円は、直径300mの領域を表し、黒点によって表されるそれぞれの位置がぼやかされたことを表す。たとえば、ユーザAの位置A1とユーザBの位置B1は同じ位置であると判断される。
検査部114は各ノードについて、ユーザ名が異なり、対象情報の位置が同じであり、移動情報集合が異なる他ノードを検索し、他ノードが閾値以上存在するかどうかを検査する(ステップS109)。ここで、閾値は1に設定されているとして、条件を満たす他ノードが1つあれば、検査を通過するとする。位置C2を含むノードC2について、同じ位置にユーザDの位置D2があり、ノードC2の移動情報は{位置C1}であり、ノードD2の移動情報は{位置D1}であり、位置C1と位置D1は異なる位置であるために、ノードC2とノードD2は検査を通過し(ステップS109:Yes)、匿名情報記憶部116に記憶される(ステップS111)。
一方、そのほかのノードについては、検査部による検査を通過しない。たとえば、ノードA1については、同じ位置にユーザBの位置B1があるが、ノードA1の移動情報は位置A2であり、ノードB1の移動情報が位置B2であり、位置A2と位置B2は同じ位置であるために、検査を通過しない(ステップS109:No)。そのほかのノードについても同様である。
次に、抽象化部112は、検査を通過していないノードA1、A2、B1、B2、C1、D1に対して、再び、抽象化手法を適用する(ステップS107)。それぞれのノードは抽象化方法が3回目に適用されるノードであるため、図16に記載したように、優先度3の抽象化方向が適用される。優先度3の抽象化方向は、位置情報を直径500mの範囲の円に拡大する(「位置を500m範囲に拡大」)ことである。この抽象化によって、ユーザの位置を、500mの範囲の中にいるといった更にあいまいな情報にすることができる。すなわち、300mの範囲の中にいるという情報から、更に抽象化されてより匿名化された対象情報にすることができる。
すなわち、抽象化部112は、すべてのノードに対して、抽象化手法記憶部110に記憶された優先度2の抽象化手法を適用することによって、図18のような対象情報(更に抽象化されてより匿名化された位置情報)を得ることが出来る。黒点を含む大きな円は、直径500mの範囲を表し、黒点によって表されるそれぞれの位置が更にぼやかされたことを表す。たとえば、ユーザAの位置A1とユーザBの位置B1とユーザCの位置C1が同じ位置であると判断される。
検査部114は、各ノードについて、ユーザ名が異なり、対象情報の位置が同じであり、移動情報集合が異なる他ノードを検索し、他ノードが閾値以上存在するかどうかを検査する(ステップS109)。ノードA1については、ノードB1とノードC1が同じ位置であり、ノードC1の移動情報に含まれる位置C2が、ノードA1の移動情報の位置A2と異なる位置であるために、検査部114による検査を通過する。ノードB1とノードC1についても同様である。また、ノードA2については、ノードB2とノードD1が同じ位置であり、ノードD1の移動情報に含まれる位置D2が、ノードA2の移動情報のA1と異なる位置であるために、検査部による検査を通過する。ノードB2とノードD1についても同様である。このことから、ノードA1、B1、C1、A2、B2、D1は検査部114による検査に通過し(ステップS109:Yes)、匿名情報記憶部116に記憶される(ステップS111)。
匿名情報記憶部116は、上記の利用者情報記憶部104に対応させて記載すると、例えば、図19に示すように表すことができる。この図に示されるように、位置の範囲が広がり(抽象化され)、同じような位置にいるユーザが増えることにより匿名化が図られている。
(実施例2)
次に、本発明の情報管理装置の実施例として、閲覧者がユーザの一部の位置を知っていたとしてもユーザの他の位置を知ることができなくるすために、MDLD(多次元l多様性)を高めるように各ユーザの位置情報について匿名化処理を行う例(匿名化フェーズ)を説明する。本実施例は第2の実施の形態における一つの具体例を示している。
情報受付部102は、ユーザA〜ユーザHの位置情報を定期的に受け付け、例えば、地図上に記載したときに図20で表されるような位置情報リストを利用者情報記憶部104に記憶する(ステップS101)。図20において、黒点と線は上記の実施例1と同様であり、黒点はユーザが長期的に滞在する場所が緯度・経度によって表現された位置を表し、線はユーザが滞在した位置を相互に往復したことを表す。黒点に付与した位置XN(N=1、2、3、…)は、ユーザX(A,B,C,D,E,F,G,H,…)の位置情報であることを表す。
なお、位置H1、位置D1は位置A1から直径300mの円の範囲にあり、位置B1と位置C1は位置A1から直径500mの円の範囲にある。また、位置G1、位置F2は位置A3から直径300mの円の範囲にあり、位置H2、位置B3は位置A1から直径500mの円の範囲にある。さらに、位置C2,位置E1、位置F1は位置A2から直径300mの円の範囲にあり、位置B2は位置A2から直径500mの円の範囲にある。
以下では、便宜上、ユーザAの位置情報の匿名化について焦点を絞って説明するが、他のユーザの位置情報の匿名化についても同様である。
第2の抽出部202は、ユーザAの任意の位置情報を要素とする集合(部分集合)を対象情報として、対象情報を含むノードを生成する(ステップS201)。例えば、ユーザAの位置情報は、A1とA2とA3であるため、元集合は{A1,A2,A3}であり、その部分集合、すなわち対象情報は、{A1}、{A2}、{A3}、{A1,A2}、{A1,A3}、{A2,A3}、{A1,A2,A3}となる。そして、それら対象情報を含むノードを生成する。
加工部108は、各ノードについて、ノードに含まれる対象情報から線によってつながれている位置を移動情報として、移動情報を要素とする移動情報集合をそのノードに登録する(ステップS105)。{A1}を対象情報とするノードの移動情報集合は{A2,A3}となる。{A2}を対象情報とするノードの移動情報集合は{A1,A3}となる
1,A2}を位置情報とするノードの移動情報集合は{A3}となる。{A1,A3}を位置情報とするノードの移動情報集合は{A2}となる。{A2,A3}を位置情報とするノードの移動情報集合は{A1}となる。さらに、{A1,A2,A3}を位置情報とするノードの移動情報集合は、{}となる。
抽象化手法記憶部110には、実施例1と同様に図16に示す抽象化手法と優先度とが互いに関連付けられて記憶されているとする。
抽象化部112は、全てのノードに対して、抽象化手法記憶部110に記憶された優先度1の抽象化手法を適用する(ステップS107)。図16に記載したように、優先度1の抽象化方法は、何も処理しない(「何もしない」)ことである。そのため、ノードの対象情報は図20に示したままで変化はない。
検査部114は、各ノードについて、ユーザ名が異なり、対象情報の位置が同じであり、移動情報集合が異なるような他ノードを検索する(ステップS109)。しかし、図20の場合、対象情報が一致するノードがひとつも存在しないため、検査部114による検査を通過するノードは存在しない(ステップS109:No)。
次に、抽象化部112は、各ノードに対して優先度2の抽象化方法を適用する(ステップS107)。
図16に記載されたように、優先度2の抽象化方法は、緯度・経度で表された位置情報を直径300mの範囲の円に拡大する(「位置を300m範囲に拡大」)ことである。この抽象化によって、ユーザの位置を正確に把握できる緯度・経度の情報から、300mの範囲の中にいるといったあいまいな情報にすることができる。すなわち、正確な緯度・経度の情報を抽象化により匿名化された対象情報にすることができる。
すなわち、抽象化部112は、図16に記載されたように、すべてのノードに対して、抽象化手法記憶部110に記憶された優先度2の抽象化手法を適用することによって、図21のような対象情報(抽象化により匿名化された位置情報)を得ることができる。黒点を含む円は、直径300mの領域を表し、黒点によって表されるそれぞれの位置がぼやかされたことを表す。たとえば、ユーザAの位置A1とユーザHの位置H1は同じ位置であると判断される。
検査部114は、各ノードについて、同じ位置にいて、異なる移動情報を持つ他ユーザのノードが閾値以上いるかどうかを検査する(ステップS109)。なお、閾値は1に設定されているとし、条件を満たす他ユーザのノードが1つであれば、検査を通過するとする。{A1}を位置情報とするノードA1については、ノードA1の移動情報と異なる移動情報を持ち、A1と同じ位置を示す{D1}を位置情報とするノードD1が存在するために検査を通過する。{A2}を位置情報とするノードA1については、ノードA2の移動情報と異なる移動情報を持ち、A2と同じ位置を示す{E1}を位置情報とするノードE1が存在するために検査を通過する。{A3}を位置情報とするノードA3については、ノードA1の移動情報と異なる移動情報を持ち、A3と同じ位置を示す{G1}を位置情報とするノードG1が存在するために検査を通過する。さらに、{A2,A3}を位置情報とするノードA2−A3については、このノードと異なる移動情報を持ち、かつ、{A2,A3}と同じ位置を示す{F1,F2}を位置情報とするノードが存在するために検査を通過する。しかし、その他のノードA1−A2(位置情報{A1,A2})、ノードA1−A3(位置情報{A1,A3})、及びノードA1−A2−A3(位置情報{A1,A2,A3})については検査を通過しない。このように、A1とA2とA3を含むその他のノードが検査を通過しないため、すべてのノードを再び抽象化の対象とする(ステップS109:No)。
次に、抽象化部112は、全てのノードに対して優先度3の抽象化方法を適用する(ステップS107)。図16に記載されたように、優先度3の抽象化方法は、緯度・経度で表された位置情報を直径500mの範囲の円に拡大する(「位置を500m範囲に拡大」)ことである。この抽象化によって、ユーザの位置を正確に把握できる緯度・経度の情報から、500mの範囲の中にいるといったあいまいな情報にすることができる。すなわち、300mの範囲の中にいるという情報から、更に抽象化されてより匿名化された対象情報にすることができる。
すなわち、抽象化部112は、すべてのノードに対して、抽象化手法記憶部110に記憶された優先度3の抽象化手法を適用することによって、図22のような対象情報(更に抽象化されてより匿名化された位置情報)を持つノードを生成する。黒点を含む円は、直径500mの領域を表し、黒点によって表されるそれぞれの位置がぼやかされたことを表す。たとえば、ユーザAの位置A1とユーザBの位置B1は同じ位置であると判断される。
検査部114は、再び、各ノードについて、同じ位置にいて、異なる移動情報を持つ他ユーザのノードが1つ以上あるかどうかを検査する(ステップS109)。そして、この場合、すべてのノードについて検査を通過する(ステップS109:Yes)ため、すべてのノードを構成する位置A1、A2、A3を匿名情報記憶部116に記憶する(ステップS111)。
匿名情報記憶部116は、ユーザA、ユーザBについては、例えば、図23のように表すことができる。この図に示されるように、位置の範囲が広がり(抽象化され)、同じような位置にいるユーザが増えることにより匿名化が図られている。
(実施例3)
次に、本発明の情報管理装置の実施例として、閲覧者が匿名性の閾値の違いによるサンプルを参照しながら適切な閾値を決定する例(サンプル生成フェーズ)を説明する。本実施例は第3の実施の形態における一つの具体例を示している。
実施例2と同様に、情報受付部102は、ユーザA〜ユーザHの位置情報を定期的に受け付け、例えば、地図上に記載したときに図20で表されるような位置情報リストを利用者情報記憶部104に記憶する(ステップS101)。
検査部114に対して設定可能な閾値の値は、0、0.2、1のいずれかであるとする。閾値が0とは、ユーザのすべてのノードにおいて、位置情報が同じで移動情報が異なるユーザが一人も存在しなくてもよいことを表す。閾値が0.2とは、ユーザのすべてのノードの20%のノードにおいて、位置情報が同じで移動情報が異なるユーザが少なくとも一人存在することを表す。閾値が1とは、ユーザのすべてのノードにおいて、位置情報が同じで移動情報が異なるユーザが少なくとも一人は存在することを表す。
提示部304は、まず、閾値として0を検査部114に設定する(ステップS301)。閾値が0の場合、優先度1の状態で検査を通ることになるため、図24の位置情報がサンプルとして生成される(ステップS201、S105〜S109、S303)。
次に、提示部304は他の閾値を設定可能であるので(ステップS305:Yes)、提示部304は他の閾値として0.2を検査部114に設定する(ステップS301)。優先度2の抽象化手法を適用することによって、7つのノードのうち、2つのノードが検査を通るため、この状態における図25のようなサンプルが生成される(ステップS201、S105〜S109、S303)。
さらに、提示部304は他の閾値を設定可能であるので(ステップS305:Yes)、提示部304は他の閾値として1を検査部114に設定する。実施例2において説明したように、優先度3の抽象化手法を適用することによって、7つすべてのノードが検査部の検査を通過するため、図26のようなサンプルとして生成する。
提示部304は、以上によって生成された3つのサンプルと閾値の値をユーザAに提示し、ユーザAはサンプルを見比べて、ユーザAが望む閾値の値を設定受付部302に設定する。
(実施例4)
次に、本発明の情報管理装置の実施例として、MDLD(多次元l多様性)を満たす(MDLD保証が成立する)匿名化アルゴリズムについて図27を参照して説明する。本実施例は第2の実施の形態における一つの変形例を示している。
まず、第2の抽出部206は、利用者情報記憶部104を参照して、対象ユーザの(緯度・経度形式のノードからなる)移動圏を導出する(ステップS401)。対象ユーザは全ユーザである。
ただし、移動圏は、ユーザがこれまでにいた一箇所以上の位置、もしくは、これから移動する一箇所以上の位置を表し、一つ以上のノードから構成される。そして、移動圏は、第2の実施の形態におけるべき集合の要素である部分集合(又は第2の実施の形態におけるノード)に対応する。また、本実施例におけるノードは、緯度・経度やメッシュコード(メッシュを識別するための数字表現のコード)で表されるユーザの一つの位置を表す。すなわち、当該ノードは、第2の実施の形態におけるノードに含まれる位置(情報)に対応する。また、メッシュは、例えば、総務省が定義する地域メッシュであり、対象となる種別は、1/4メッシュ(250m四方)、1/2メッシュ(250m四方)、2倍メッシュ(2km四方)がある。
次に、第2の抽出部206は、対象ユーザの移動圏内のノードを緯度・経度から最小エリアに変換する(ステップS402)。例えば、移動圏を構成する緯度・経度形式のノードを1/4メッシュコードに変換する。対象ユーザは、全ユーザである。このとき、加工部108は各移動圏について所定の移動情報を抽出し、移動情報集合としてその移動圏に付与する。
そして、すべての対象ユーザについての匿名化が完了するまで(ステップS403:Yes)、一人の対象ユーザごとに、以下のステップS404〜S406の匿名化を繰り返す。
そして、検査部114は、全ノードのMDLD適合率を算出する(ステップS404)。すなわち、あるユーザの移動圏に含まれる全ノードのMDLD適合率を算出する。
ここで、MDLD適合率は、以下の通りである。ユーザの移動圏に含まれる(そのユーザの)位置(ノード)がn個あり、ある1個のノードに着目したとき、そのノードを含む位置の重なり方は2n−1通り存在し、その中からすべてのノードと重なる場合を除いた2n−1−1通りのうち、何通りが他ユーザ(一人以上であれば可)と重なっているのかを表す値をMDLD適合率と呼ぶこととする。例えば、4個のノードp1、p2、p3、p4を含む行動のうち、ある1個のノードp1に着目したとき、そのノードp1を含む位置の重なり方は、{p1}、{p1,p2}、{p1,p3}、{p1,p4}、{p1,p2,p3}、{p1,p2,p4}、{p1,p3,p4}であり、24−1−1=7通り存在する。ここで{p1,p2}、{p1,p4}と同じ位置を行動範囲に含む他のユーザ(一人以上)しか存在しない場合、MDLD適合率は2/7となる。
抽象化部112は、MDLD適合率・ノード優先度が最も低いノードを抽象化・無効化する(ステップS405)。移動圏に含まれる有効ノード(無効化されていないノード)のうち、MDLD適合率が最も低いノードのエリアを1段階(例示:図16に記載した優先度の段階)だけ抽象化する。ただし、該当するノードのエリアが2倍メッシュコードの場合、そのノードを無効化する(優先度4の位置情報削除に相当)。
ただし、移動圏に含まれる有効ノードのうちMDLD適合率が最も低く、かつ、その中でノード優先度が最も低いノードのエリアを1段階だけ抽象化しても良い。ここで、ノード優先度とは、ノード自体の優先度であり、行動範囲の場合、自宅や勤務地等のより頻繁に訪れる場所の当該優先度を高くする。例えば、利用者情報記憶部104を参照して、各ノードについて訪問する頻度や滞在する頻度を抽出して比較することで、当該優先度を判断することができる。
検査部114は、全有効ノードのMDLD適合率が1か否かを判定する(ステップS406)。すべての有効ノードの適合率が1になった時点で1ユーザの移動圏の匿名化処理を完了する。
以上示された各実施の形態(各実施例)において、実施の形態(実施例)間の各構成要素を任意の組合せたもの、各実施の形態(各実施例)の表現を方法、装置、記憶媒体、コンピュータプログラム等の間で変換したものもまた、本発明の態様として有効である。
また、各実施の形態(各実施例)の各種の構成要素は、必ずしも個々に独立した存在である必要はなく、複数の構成要素が一個の機器として形成されていること、一つの構成要素が複数の機器で形成されていること、ある構成要素が他の構成要素の一部であること、ある構成要素の一部と他の構成要素の一部とが重複していること、等でもよい。
また、各実施の形態(各実施例)のデータ処理方法およびコンピュータプログラムには複数の手順を順番に記載してあるが、その記載の順番は複数の手順を実行する順番を限定するものではない。このため、各実施の形態(各実施例)のデータ処理方法およびコンピュータプログラムを実施するときには、その複数の手順の順番は内容的に支障がない範囲で変更することができる。
さらに、各実施の形態(各実施例)のデータ処理方法およびコンピュータプログラムの複数の手順は個々に相違するタイミングで実行されることに限定されない。このため、ある手順の実行中に他の手順が発生すること、ある手順の実行タイミングと他の手順の実行タイミングとの一部ないし全部が重複していること、等でもよい。
以上、各実施の形態(各実施例)を参照して本発明を説明したが、本発明は上記各実施の形態(各実施例)に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施の形態(各実施例)の技術は、技術的矛盾の発生しない限り互いに適用可能である。
この出願は、2009年10月9日に出願された特許出願番号2009−234897号の日本特許出願に基づいており、その出願による優先権の利益を主張し、その出願の開示は、引用することにより、そっくりそのままここに組み込まれている。

Claims (16)

  1. 複数の携帯端末から位置情報を定期的に受信する情報受付部と、ここで、前記位置情報は、前記携帯端末の位置を示す測位データと、前記測位データの測位時刻及び前記携帯端末のユーザの識別情報を有する付随データとを含み、
    前記情報受付部が受信した位置情報をユーザ毎に行動履歴として記憶する利用者情報記憶部と、
    前記利用者情報記憶部に記憶されている行動履歴を構成する各位置情報について、それぞれ、単一の位置情報を対象情報とし、前記位置情報のユーザの識別情報と前記対象情報から構成されるノードを生成する第1の抽出部と、
    前記ノードに含まれる対象情報について、前記対象情報が示す位置に移動する前の位置を示す位置情報と前記対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合を前記ノードに登録する加工部と、
    位置情報に対する抽象化手法を記憶する抽象化手法記憶部と、
    前記ノードの対象情報に対して、前記抽象化手法記憶部に記憶される抽象化手法を適用する抽象化部と、
    前記抽象化部が抽象化した対象情報を有する前記ノードに対して、前記ノードのユーザの識別情報とは異なり、前記ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、前記ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、前記他ノードの数が閾値以上であったときに前記ノードの対象情報を匿名情報として出力する検査部と
    を備える
    情報管理装置。
  2. 複数の携帯端末から位置情報を定期的に受信する情報受付部と、ここで、前記位置情報は、前記携帯端末の位置を示す測位データと、前記測位データの測位時刻及び前記携帯端末のユーザの識別情報を有する付随データとを含み、
    前記情報受付部が受信した位置情報をユーザ毎に行動履歴として記憶する利用者情報記憶部と、
    前記利用者情報記憶部に記憶されている行動履歴を構成する1つ以上の位置情報についてべき集合を生成し、前記べき集合の各要素を対象情報とし、前記位置情報のユーザの識別情報と前記対象情報から構成されるノードを生成する第2の抽出部と、
    前記ノードに含まれる対象情報について、前記対象情報が示す位置に移動する前の位置を示す位置情報と前記対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合を前記ノードに登録する加工部と、
    位置情報に対する抽象化手法を記憶する抽象化手法記憶部と、
    前記ノードの対象情報に対して、前記抽象化手法記憶部に記憶される抽象化手法を適用する抽象化部と、
    前記抽象化部が抽象化した対象情報を有する前記ノードに対して、前記ノードのユーザの識別情報とは異なり、前記ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、前記ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、前記他ノードの数が閾値以上であったときに前記ノードの対象情報を匿名情報として出力する検査部と
    を備える
    情報管理装置。
  3. 請求項1又は2に記載の情報管理装置において、
    前記抽象化手法記憶部は、抽象化手法と優先度とを関連付けて記憶し、
    前記抽象化部は、前記他ノードが閾値未満であったとき、更に、前記ノードの対象情報に対して、前記抽象化手法記憶部に記憶される抽象化手法のうち、抽象化回数に応じた優先度の抽象化手法で抽象化を行い、
    前記検査部は、更に前記抽象化部が抽象化した対象情報を有する前記ノードに対して、前記他ノードを抽出し、前記他ノードの数が閾値以上であったときに前記ノードの対象情報を前記匿名情報として出力する
    情報管理装置。
  4. 請求項2に記載の情報管理装置において、
    前記検査部は、前記対象情報に含まれる全ての位置情報について、1個の位置情報ごとに多様性適合率を計算し、前記全ての位置情報の前記多様性適合率が閾値以上の場合、前記ノードの対象情報を匿名情報として出力し、
    ここで、前記1個の位置情報の前記多様性適合率は、前記全ての位置情報がn個のとき、当該1個の位置情報を含む位置の重なり方である2n−1通りから前記全ての位置情報と重なる場合を除いた(2n−1−1)通りのうち、何通りが他ユーザの位置情報と重なっているかを表す値であり、
    前記全ての位置情報の前記多様性適合率が閾値未満の場合、前記抽象化部は、前記多様性適合率の最も低い前記1個の位置情報を更に1段階抽象化する
    情報管理装置。
  5. 請求項1乃至4のいずれか一項に記載の情報管理装置において、
    前記抽象化手法は、測位時刻の抽象化、ユーザ識別情報の削除、測位データの抽象化、及び位置情報の一部削除のうちのいずれか一つである
    情報管理装置。
  6. 請求項2に記載の情報管理装置において、
    前記抽象化手法記憶部に対して、抽象化手法の追加、削除、変更等の管理を行うための管理部
    をさらに備える
    情報管理装置。
  7. 請求項2に記載の情報管理装置において、
    前記検査部を通過する閾値を設定可能な設定受付部
    をさらに備える
    情報管理装置。
  8. 請求項7に記載の情報管理装置において、
    前記閾値の違いによって前記検査部を通過する前記匿名情報の違いをユーザに提示する提示部
    をさらに備える
    情報管理装置。
  9. 情報管理装置のデータ処理方法であって、
    前記情報管理装置は、
    複数の携帯端末から受信した位置情報をユーザ毎に行動履歴として記憶する利用者情報記憶部と、ここで、前記位置情報は、前記携帯端末の位置を示す測位データと、前記測位データの測位時刻及び前記携帯端末のユーザの識別情報を有する付随データとを含み、
    位置情報に対する抽象化手法を記憶する抽象化手法記憶部と
    を備え、
    前記データ処理方法は、
    前記複数の携帯端末から位置情報を定期的に受信して前記利用者情報記憶部に記憶するステップと、
    前記利用者情報記憶部に記憶されている行動履歴を構成する各位置情報について、それぞれ、単一の位置情報を対象情報とし、前記位置情報のユーザの識別情報と前記対象情報から構成されるノードを生成するステップと、
    前記ノードに含まれる対象情報について、前記対象情報が示す位置に移動する前の位置を示す位置情報と前記対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合を前記ノードに登録するステップと、
    前記ノードの対象情報に対して、前記抽象化手法記憶部に記憶される抽象化手法を適用するステップと、
    前記抽象化手法を適用するステップにより抽象化した対象情報を有する前記ノードに対して、前記ノードのユーザの識別情報とは異なり、前記ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、前記ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、前記他ノードの数が閾値以上であったときに前記ノードの対象情報を匿名情報として出力するステップと
    を備える
    データ管理方法。
  10. 情報管理装置のデータ処理方法であって、
    前記情報管理装置は、
    複数の携帯端末から受信した位置情報をユーザ毎に行動履歴として記憶する利用者情報記憶部と、ここで、前記位置情報は、前記携帯端末の位置を示す測位データと、前記測位データの測位時刻及び前記携帯端末のユーザの識別情報を有する付随データとを含み、
    位置情報に対する抽象化手法を記憶する抽象化手法記憶部と
    を備え、
    前記データ処理方法は、
    前記複数の携帯端末から位置情報を定期的に受信して前記利用者情報記憶部に記憶するステップと、
    前記利用者情報記憶部に記憶されている行動履歴を構成する1つ以上の位置情報についてべき集合を生成し、前記べき集合の各要素を対象情報とし、前記位置情報のユーザの識別情報と前記対象情報から構成されるノードを生成するステップと、
    前記ノードに含まれる対象情報について、前記対象情報が示す位置に移動する前の位置を示す位置情報と前記対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合を前記ノードに登録するステップと、
    前記ノードの対象情報に対して、前記抽象化手法記憶部に記憶される抽象化手法を適用するステップと、
    前記抽象化手法を適用するステップにより抽象化した対象情報を有する前記ノードに対して、前記ノードのユーザの識別情報とは異なり、前記ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、前記ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、前記他ノードの数が閾値以上であったときに前記ノードの対象情報を匿名情報として出力するステップと
    を備える
    データ管理方法。
  11. 請求項9又は10に記載のデータ管理方法において、
    前記抽象化手法記憶部は、抽象化手法と優先度とを関連付けて記憶し、
    前記他ノードが閾値未満であったとき、更に、前記ノードの対象情報に対して、前記抽象化手法記憶部に記憶される抽象化手法のうち、抽象化回数に応じた優先度の抽象化手法で抽象化を行うステップと、
    更に前記抽象化手法を適用するステップにより抽象化した対象情報を有する前記ノードに対して、前記他ノードを抽出し、前記他ノードの数が閾値以上であったときに前記ノードの対象情報を前記匿名情報として出力するステップと
    を更に備える
    データ管理方法。
  12. 請求項10に記載のデータ管理方法において、
    前記ノードの対象情報を匿名情報として出力するステップは、
    前記対象情報に含まれる全ての位置情報について、1個の位置情報ごとに多様性適合率を計算し、前記全ての位置情報の前記多様性適合率が閾値以上の場合、前記ノードの対象情報を匿名情報として出力するステップを含み、
    ここで、前記1個の位置情報の前記多様性適合率は、前記全ての位置情報がn個のとき、当該1個の位置情報を含む位置の重なり方である2n−1通りから前記全ての位置情報と重なる場合を除いた(2n−1−1)通りのうち、何通りが他ユーザの位置情報と重なっているかを表す値であり、
    前記抽象化手法を適用するステップは、
    前記全ての位置情報の前記多様性適合率が閾値未満の場合、前記多様性適合率の最も低い前記1個の位置情報を1段階抽象化するステップを含む
    データ管理方法。
  13. 情報管理装置のデータ処理方法をコンピュータに実行させるプログラムであって、
    前記情報管理装置は、
    複数の携帯端末から受信した位置情報をユーザ毎に行動履歴として記憶する利用者情報記憶部と、ここで、前記位置情報は、前記携帯端末の位置を示す測位データと、前記測位データの測位時刻及び前記携帯端末のユーザの識別情報を有する付随データとを含み、
    位置情報に対する抽象化手法を記憶する抽象化手法記憶部と
    を備え、
    前記プログラムは、
    前記複数の携帯端末から位置情報を定期的に受信して前記利用者情報記憶部に記憶するステップと、
    前記利用者情報記憶部に記憶されている行動履歴を構成する各位置情報について、それぞれ、単一の位置情報を対象情報とし、前記位置情報のユーザの識別情報と前記対象情報から構成されるノードを生成するステップと、
    前記ノードに含まれる対象情報について、前記対象情報が示す位置に移動する前の位置を示す位置情報と前記対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合を前記ノードに登録するステップと、
    前記ノードの対象情報に対して、前記抽象化手法記憶部に記憶される抽象化手法を適用するステップと、
    前記抽象化手法を適用するステップにより抽象化した対象情報を有する前記ノードに対して、前記ノードのユーザの識別情報とは異なり、前記ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、前記ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、前記他ノードの数が閾値以上であったときに前記ノードの対象情報を匿名情報として出力するステップと
    を備えるデータ管理方法をコンピュータに実行させるプログラム。
  14. 情報管理装置のデータ処理方法をコンピュータに実行させるプログラムであって、
    前記情報管理装置は、
    複数の携帯端末から受信した位置情報をユーザ毎に行動履歴として記憶する利用者情報記憶部と、ここで、前記位置情報は、前記携帯端末の位置を示す測位データと、前記測位データの測位時刻及び前記携帯端末のユーザの識別情報を有する付随データとを含み、
    位置情報に対する抽象化手法を記憶する抽象化手法記憶部と
    を備え、
    前記プログラムは、
    前記複数の携帯端末から位置情報を定期的に受信して前記利用者情報記憶部に記憶するステップと、
    前記利用者情報記憶部に記憶されている行動履歴を構成する1つ以上の位置情報についてべき集合を生成し、前記べき集合の各要素を対象情報とし、前記位置情報のユーザの識別情報と前記対象情報から構成されるノードを生成するステップと、
    前記ノードに含まれる対象情報について、前記対象情報が示す位置に移動する前の位置を示す位置情報と前記対象情報が示す位置から移動した後の位置を示す位置情報の少なくとも一方を要素とする移動情報集合を前記ノードに登録するステップと、
    前記ノードの対象情報に対して、前記抽象化手法記憶部に記憶される抽象化手法を適用するステップと、
    前記抽象化手法を適用するステップにより抽象化した対象情報を有する前記ノードに対して、前記ノードのユーザの識別情報とは異なり、前記ノードの対象情報の位置と同じ位置又は前記ノードの対象情報の位置に含まれる位置の対象情報を持ち、前記ノードの移動情報集合との積集合が空集合となる移動情報集合を持つ他ノードを抽出し、前記他ノードの数が閾値以上であったときに前記ノードの対象情報を匿名情報として出力するステップと
    を備えるデータ管理方法をコンピュータに実行させるプログラム。
  15. 請求項13又は14に記載のプログラムにおいて、
    前記抽象化手法記憶部は、抽象化手法と優先度とを関連付けて記憶し、
    前記他ノードが閾値未満であったとき、更に、前記ノードの対象情報に対して、前記抽象化手法記憶部に記憶される抽象化手法のうち、抽象化回数に応じた優先度の抽象化手法を適用するステップと、
    更に前記抽象化手法を適用するステップにより抽象化した対象情報を有する前記ノードに対して、前記他ノードを抽出し、前記他ノードの数が閾値以上であったときに前記ノードの対象情報を前記匿名情報として出力するステップとを更に備えるデータ管理方法をコンピュータに実行させるプログラム。
  16. 請求項14に記載のプログラムにおいて、
    前記ノードの対象情報を匿名情報として出力するステップは、
    前記対象情報に含まれる全ての位置情報について、1個の位置情報ごとに多様性適合率を計算し、前記全ての位置情報の前記多様性適合率が閾値以上の場合、前記ノードの対象情報を匿名情報として出力するステップを含み、
    ここで、前記1個の位置情報の前記多様性適合率は、前記全ての位置情報がn個のとき、当該1個の位置情報を含む位置の重なり方である2n−1通りから前記全ての位置情報と重なる場合を除いた(2n−1−1)通りのうち、何通りが他ユーザの位置情報と重なっているかを表す値であり、
    前記抽象化手法を適用するステップは、
    前記全ての位置情報の前記多様性適合率が閾値未満の場合、前記多様性適合率の最も低い前記1個の位置情報を1段階抽象化するステップを含むデータ管理方法をコンピュータに実行させるプログラム。
JP2011535451A 2009-10-09 2010-10-07 情報管理装置、そのデータ処理方法、およびコンピュータプログラム Active JP5757241B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011535451A JP5757241B2 (ja) 2009-10-09 2010-10-07 情報管理装置、そのデータ処理方法、およびコンピュータプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009234897 2009-10-09
JP2009234897 2009-10-09
JP2011535451A JP5757241B2 (ja) 2009-10-09 2010-10-07 情報管理装置、そのデータ処理方法、およびコンピュータプログラム
PCT/JP2010/067646 WO2011043418A1 (ja) 2009-10-09 2010-10-07 情報管理装置、そのデータ処理方法、およびコンピュータプログラム

Publications (2)

Publication Number Publication Date
JPWO2011043418A1 JPWO2011043418A1 (ja) 2013-03-04
JP5757241B2 true JP5757241B2 (ja) 2015-07-29

Family

ID=43856868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011535451A Active JP5757241B2 (ja) 2009-10-09 2010-10-07 情報管理装置、そのデータ処理方法、およびコンピュータプログラム

Country Status (5)

Country Link
US (2) US8566357B2 (ja)
EP (1) EP2487639A4 (ja)
JP (1) JP5757241B2 (ja)
CN (1) CN102667830B (ja)
WO (1) WO2011043418A1 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012067213A1 (ja) * 2010-11-16 2012-05-24 日本電気株式会社 情報処理システム及び匿名化方法
JP5839460B2 (ja) * 2011-10-06 2016-01-06 Kddi株式会社 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム
US8677154B2 (en) * 2011-10-31 2014-03-18 International Business Machines Corporation Protecting sensitive data in a transmission
JP5758315B2 (ja) * 2012-01-27 2015-08-05 日本電信電話株式会社 匿名データ提供システム、匿名データ装置、及びそれらが実行する方法
TW201331770A (zh) * 2012-01-31 2013-08-01 Ibm 在資料組中保存隱私的方法與系統
JP6125153B2 (ja) * 2012-04-27 2017-05-10 Kddi株式会社 位置情報匿名化装置、位置情報匿名化方法およびプログラム
JP5962472B2 (ja) * 2012-12-03 2016-08-03 富士通株式会社 匿名化データ生成方法、装置及びプログラム
JP2014164477A (ja) * 2013-02-25 2014-09-08 Hitachi Systems Ltd k−匿名データベース制御装置及び制御方法
JP6042229B2 (ja) * 2013-02-25 2016-12-14 株式会社日立システムズ k−匿名データベース制御サーバおよび制御方法
US9594926B2 (en) 2013-03-05 2017-03-14 Hitachi, Ltd. Data processing apparatus, data processing system, and data processing method
JP6063821B2 (ja) * 2013-06-12 2017-01-18 株式会社日立ソリューションズ センサデータ管理システム
JP2015103025A (ja) * 2013-11-25 2015-06-04 富士通株式会社 経路情報処理装置、方法、及びプログラム
JP6053181B2 (ja) * 2014-02-25 2016-12-27 日本電信電話株式会社 情報収集システムとその情報収集装置、情報提供装置、匿名情報収集方法及びプログラム
JP6264656B2 (ja) * 2014-05-08 2018-01-24 学校法人慶應義塾 匿名化システム、発行装置及びプログラム
CA2852253A1 (en) * 2014-05-23 2015-11-23 University Of Ottawa System and method for shifting dates in the de-identification of datesets
CN104199829B (zh) * 2014-07-25 2017-07-04 中国科学院自动化研究所 情感数据分类方法和系统
WO2016039012A1 (ja) * 2014-09-12 2016-03-17 エブリセンス インク 情報仲介システム
JP6456162B2 (ja) * 2015-01-27 2019-01-23 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ 匿名化処理装置、匿名化処理方法及びプログラム
JP6469465B2 (ja) * 2015-02-02 2019-02-13 株式会社インテック 位置情報管理装置及び位置情報管理方法
US10552870B1 (en) * 2016-06-30 2020-02-04 Quantcast Corporation Privacy-safe frequency distribution of geo-features for mobile devices
JP6588880B2 (ja) * 2016-09-30 2019-10-09 日本電信電話株式会社 匿名化装置、匿名化方法、およびプログラム
JP2018198038A (ja) * 2017-05-25 2018-12-13 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
JP6271799B1 (ja) * 2017-07-18 2018-01-31 ヤフー株式会社 データ管理システム、およびデータ管理方法
JP7099231B2 (ja) * 2018-09-28 2022-07-12 富士通株式会社 情報処理プログラム、情報管理プログラム、装置、及び方法
CN109547477B (zh) * 2018-12-27 2021-04-23 石更箭数据科技(上海)有限公司 一种数据处理方法及其装置、介质、终端
WO2020175305A1 (ja) * 2019-02-26 2020-09-03 日本電信電話株式会社 匿名性評価装置、匿名性評価方法、プログラム
JP7304234B2 (ja) * 2019-08-09 2023-07-06 株式会社日立製作所 データサーバ、秘匿匿名化システム、及び暗号化方法
JP7551123B2 (ja) * 2021-07-01 2024-09-17 株式会社MaaS Tech Japan プログラム及び情報処理装置
WO2023131684A1 (en) * 2022-01-06 2023-07-13 Volkswagen Aktiengesellschaft A method, a computer program product and a device for dynamic spatial anonymization of vehicle data in a cloud environment
EP4209952A1 (en) * 2022-01-06 2023-07-12 Volkswagen Ag A method, a computer program product and a device for dynamic spatial anonymization of vehicle data in a cloud environment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005234866A (ja) * 2004-02-19 2005-09-02 Nippon Telegr & Teleph Corp <Ntt> プライバシ情報管理サーバ及び方法並びにプログラム
JP2005244547A (ja) * 2004-02-26 2005-09-08 Nippon Telegr & Teleph Corp <Ntt> 位置情報提供条件決定方法とそのプログラム、位置情報送信装置、位置情報受信装置及び移動通信端末
JP2005531263A (ja) * 2002-06-27 2005-10-13 クゥアルコム・インコーポレイテッド 無線通信システムにおいて動作する装置の地理的位置情報の制御
WO2008108158A1 (ja) * 2007-03-02 2008-09-12 Nec Corporation 情報開示制御システム、情報開示制御プログラム、情報開示制御方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020111172A1 (en) * 2001-02-14 2002-08-15 Dewolf Frederik M. Location based profiling
US7130611B2 (en) 2000-11-16 2006-10-31 Ntt Docomo, Inc. Moving status information providing method and server
JP2004029940A (ja) 2002-06-21 2004-01-29 Sony Corp 情報提供システム、情報処理装置および方法、記録媒体、並びにプログラム
US7202801B2 (en) * 2002-12-11 2007-04-10 Geospatial Technologies, Inc. Method and apparatus for an automated location-based, dynamic notification system (ALDNS)
JP4429619B2 (ja) 2003-04-15 2010-03-10 三菱電機株式会社 情報提供装置
JP2005031965A (ja) 2003-07-11 2005-02-03 Nippon Telegr & Teleph Corp <Ntt> プレゼンス情報利用方法、情報利用者側端末装置、情報提供者側端末装置およびサーバ装置
JP2005346248A (ja) 2004-06-01 2005-12-15 Mpo:Kk 情報仲介方法及び装置
US7707413B2 (en) * 2004-12-02 2010-04-27 Palo Alto Research Center Incorporated Systems and methods for protecting private information in a mobile environment
JP4822842B2 (ja) 2005-12-28 2011-11-24 株式会社エヌ・ティ・ティ・データ 匿名化識別情報生成システム、及び、プログラム。
JP2007219636A (ja) 2006-02-14 2007-08-30 Nippon Telegr & Teleph Corp <Ntt> データ開示方法およびデータ開示装置
US8571580B2 (en) * 2006-06-01 2013-10-29 Loopt Llc. Displaying the location of individuals on an interactive map display on a mobile communication device
CN101933026B (zh) * 2008-01-31 2013-01-30 富士通株式会社 公开信息发送方法、公开信息发送系统、中央装置以及程序
JP5333891B2 (ja) 2008-03-28 2013-11-06 住友大阪セメント株式会社 セメントモルタル用組成物、および舗装体の補修方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005531263A (ja) * 2002-06-27 2005-10-13 クゥアルコム・インコーポレイテッド 無線通信システムにおいて動作する装置の地理的位置情報の制御
JP2005234866A (ja) * 2004-02-19 2005-09-02 Nippon Telegr & Teleph Corp <Ntt> プライバシ情報管理サーバ及び方法並びにプログラム
JP2005244547A (ja) * 2004-02-26 2005-09-08 Nippon Telegr & Teleph Corp <Ntt> 位置情報提供条件決定方法とそのプログラム、位置情報送信装置、位置情報受信装置及び移動通信端末
WO2008108158A1 (ja) * 2007-03-02 2008-09-12 Nec Corporation 情報開示制御システム、情報開示制御プログラム、情報開示制御方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNJ200910061168; 森 拓也 他: '行動情報収集型サービスにおける行動情報抽象化手法とプライバシ性の変化についての報告' 第71回(平成21年)全国大会講演論文集(3) , 20090310, P.3-345-346, 社団法人情報処理学会 *
JPN6014039199; 森 拓也 他: '行動情報収集型サービスにおける行動情報抽象化手法とプライバシ性の変化についての報告' 第71回(平成21年)全国大会講演論文集(3) , 20090310, P.3-345-346, 社団法人情報処理学会 *

Also Published As

Publication number Publication date
US20120197915A1 (en) 2012-08-02
JPWO2011043418A1 (ja) 2013-03-04
CN102667830B (zh) 2016-03-23
EP2487639A4 (en) 2017-05-24
US8849861B2 (en) 2014-09-30
WO2011043418A1 (ja) 2011-04-14
EP2487639A1 (en) 2012-08-15
US8566357B2 (en) 2013-10-22
US20140040289A1 (en) 2014-02-06
CN102667830A (zh) 2012-09-12

Similar Documents

Publication Publication Date Title
JP5757241B2 (ja) 情報管理装置、そのデータ処理方法、およびコンピュータプログラム
Cai et al. Integrating spatial and temporal contexts into a factorization model for POI recommendation
Fiore et al. An integrated big and fast data analytics platform for smart urban transportation management
Xiao et al. Inferring social ties between users with human location history
CN104735614B (zh) 用于基于位置的移动应用和服务选择的方法和移动设备
US20180268337A1 (en) User objective assistance technologies
US20130144721A1 (en) Individualization service providing system, server, terminal using user&#39;s feed back and privacy based on user and method thereof
US20090024546A1 (en) System, method and apparatus for predictive modeling of spatially distributed data for location based commercial services
AU2017399007A1 (en) Mobility gene for trajectory data
US20130132481A1 (en) Method, apparatus and system for providing social network service using social activities
CN101911065B (zh) 访问对象信息检索装置
CN104937375A (zh) 目的地预测装置、目的地预测方法、目的地显示方法
JP5799808B2 (ja) 情報管理装置、そのデータ処理方法、およびコンピュータプログラム
US20160350557A1 (en) Information determination apparatus, information determination method and recording medium
Kontogianni et al. Designing a smart tourism mobile application: User modelling through social networks’ user implicit data
Massimo et al. Popularity, novelty and relevance in point of interest recommendation: an experimental analysis
JP6988521B2 (ja) 情報処理プログラム、情報処理方法および情報処理装置
JP2019139654A (ja) 提供装置、提供方法及び提供プログラム
Wang et al. Mining user preferences of new locations on location-based social networks: a multidimensional cloud model approach
KR101964450B1 (ko) 기계학습 기반 공공데이터 추천을 위한 로그 교환 방법
JP6602436B1 (ja) データクレンジング・名寄せに関する情報処理システム
CN113780328A (zh) 信息推送方法、装置及存储介质
Nezhadettehad et al. Predicting Next Useful Location With Context-Awareness: The State-Of-The-Art
KR20200114379A (ko) 특허 기반 사회관계망 제공 시스템 및 방법
KR101902362B1 (ko) 서비스 제공자 식별 정보 기반의 연계형 예약 서비스 제공 장치 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130911

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150507

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150520

R150 Certificate of patent or registration of utility model

Ref document number: 5757241

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150