JP5846548B2 - 情報保護装置及び情報保護方法 - Google Patents

情報保護装置及び情報保護方法 Download PDF

Info

Publication number
JP5846548B2
JP5846548B2 JP2012550783A JP2012550783A JP5846548B2 JP 5846548 B2 JP5846548 B2 JP 5846548B2 JP 2012550783 A JP2012550783 A JP 2012550783A JP 2012550783 A JP2012550783 A JP 2012550783A JP 5846548 B2 JP5846548 B2 JP 5846548B2
Authority
JP
Japan
Prior art keywords
information
anonymous information
anonymous
positioning
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012550783A
Other languages
English (en)
Other versions
JPWO2012090628A1 (ja
Inventor
翼 高橋
翼 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2012550783A priority Critical patent/JP5846548B2/ja
Publication of JPWO2012090628A1 publication Critical patent/JPWO2012090628A1/ja
Application granted granted Critical
Publication of JP5846548B2 publication Critical patent/JP5846548B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、情報保護装置及び情報保護方法に関する。
近年、携帯端末や自動車に搭載されたGPS(Global Positioning System)や無線LAN(Local Area Network)等によって測位される測位データを含む位置情報の利用が様々な場面で増加している。さらに、位置情報を定期的に取得し、携帯端末や自動車のユーザの移動軌跡や行動履歴を記録するサービスが増加している。
位置情報は、自宅や勤務先、通学先等、ユーザを特定可能な情報のほかに、趣味や通院先等の他人に知られたくない情報を含む可能性がある。そのため、位置情報はプライバシ性が高い情報である。また、位置情報の時系列情報である移動軌跡は、個人のプライバシ性の高い場所への経路や滞在、不在を表すことがあり、ユーザの特定可能性は単独の位置情報よりも高い。さらに、サービス提供者やデータ解析者による移動軌跡のリアルタイムな利用によって、ユーザは常に追跡や監視といった脅威に晒される。そのため、移動軌跡は非常にプライバシ性の高いプライバシ情報である。そこで、このようなプライバシ情報をサービス提供者やデータ解析者に提供する際には、匿名化によって匿名性を確保することが求められる。
匿名化とは、ユーザを特定できないようにプライバシ情報を加工する処理である。ユーザを特定できない度合を示す指標を匿名性指標と呼ぶ。既存の匿名性指標として、k匿名性(k−anonymity)がよく知られている。プライバシ情報の中で、ユーザを一意に識別することが可能な識別子ではないが、背景知識等を考慮するとユーザを識別する可能性がある情報は、準識別子(間接識別子)と呼ばれる。また、ユーザが知られたくない情報はセンシティブ情報と呼ばれる。k匿名性は、準識別子の匿名化によって、同じ準識別子を持つセンシティブ情報がk個以上存在することを保証する指標である。k匿名性を保証することで、ユーザが特定される可能性が1/k以下となり、ユーザの特定を困難にすることができる。
図13のような患者の病状記録を例に挙げる。図13の病状記録では、患者の病状が患者の名前、性別、職業、年齢と共に記録されている。病状はセンシティブ情報であり、プライバシ性の高い情報である。名前は個人を一意に識別する識別子であり、性別、職業、年齢は個人を識別する可能性のある準識別子である。例えば、患者の名前が分からなくても、職業と年齢の組合せに基づいて患者を推定することができる場合がある。つまり、たとえ患者の名前を伏せた状態であっても、患者の職業と年齢を知る人に、その患者の病状を知られてしまう可能性がある。これを回避するために、職業と年齢を抽象化したものが図14である。図14は、図13の病状記録をk=2のk匿名性が保証されるように、匿名化を行った匿名情報である。図14の匿名情報では、職業と年齢が分かったとしても、すべての職業と年齢の組合せについて2通り以上の病状が存在する。これによって、患者の職業と年齢を知る人であっても、患者の病状を正確に知ることはできない。なお、匿名性の指標としては、k匿名性以外にも、l多様性やt近接性、m不変性等が知られている。
O. Abul,F. Bonchi,M. Nanni著,「Never Walk Alone: Uncertainty for Anonymity in Moving Objects Databases」,Proceedings of The 24th International Conference on Data Engineering, IEEE,2008年4月,p. 376-385
ところで、位置情報や移動軌跡は、上述のような情報とは性質が異なる。位置情報の測位データは特定の場所を指し示す情報である。測位データが誰にとってもプライバシ性の高い場所を示す場合もあるが、一般的に、特定の測位データのプライバシ性は紐づくユーザによって異なる。測位データが病院や自宅などの場所を示していたとしても、ユーザと測位データが紐づいただけでは、どんな意味を持つ場所かを推測することは困難である。一方、移動軌跡のように連続する測位データからは、滞在している時間帯や、その長さといった情報が得られる。このような情報からは、測位データの指し示す場所の意味を推測することが可能である。そして、推測した情報にもとづいてユーザを特定することが可能となる。したがって、移動軌跡を構成する測位データは準識別子であると同時に、センシティブ情報でもあると考えることができる。
図15は、位置情報にk匿名化を施した情報である。各点が位置情報の測位データを表し、楕円が楕円内に包含される位置情報の測位データを抽象化することによって位置情報を匿名化して得られる匿名情報である。図15では、k=4のk匿名性が保証されており、ユーザの正確な位置はわからない。
また、前述した位置情報の持つ特徴に加えて、移動軌跡はユーザの生活の実態を表すという特徴を持つ。ユーザと移動軌跡が紐づけられることで、そのユーザにとってプライバシ性の高い場所を含むすべての行き先・滞在先が露わになる。また、行動の監視や追跡をされる危険性がある。そのため、移動軌跡のプライバシ性は単独の位置情報や、単なる複数の位置情報の組合せと比べて、極めて高いプライバシ性を有する。さらに、移動軌跡中のいくつかの位置情報の測位データが露わになるだけで、ユーザの特定が可能な場合がある。例えば、自宅の場所や勤務先、最寄駅等の情報は、同僚や友人に知られていることが多い。そのため、移動軌跡の中にこれらの場所の測位データが含まれていると、移動軌跡が紐づくユーザが特定されてしまい、これらの場所以外の通院先や嗜好を明確にするような場所といったプライバシ情報が流出してしまうおそれがある。
そこで、ユーザと移動軌跡の紐づけを困難にするために移動軌跡の匿名化が行われる。k匿名性を保証するためには、k個以上の移動軌跡を含むように匿名化された移動軌跡を生成する必要がある。図16は、移動軌跡を匿名化した例を示す図である。図16では、4個の移動軌跡を包含するようにチューブ状の移動軌跡が生成されている。このように移動軌跡とユーザとの対応付けを曖昧にした情報を匿名情報と呼ぶ。対象となる移動軌跡は移動軌跡の始点から終点までの全区間において匿名情報に包含される。そのため、匿名情報内の特定の時間における位置情報も常にk匿名性が満たされている。つまり、図16に示される匿名情報は、k匿名性(k=4)を満たしている。
非特許文献1には、匿名情報による匿名化手法の一例が開示されている。非特許文献1は、蓄積された移動軌跡に対する匿名化の手法を示した論文であり、(k,δ)−anonymityという匿名性指標を用い、データベースに蓄積された静的な移動軌跡をチューブ状に汎化する匿名化手法が提案されている。これは移動軌跡の始点と終点が明らかなデータに対して、移動軌跡間の距離が近いものをグループ化して抽象化することで匿名化を行う手法である。静的な移動軌跡に対するk匿名性の保証とは、始点−終点間で一貫してk個以上の移動軌跡が同じグループ(匿名情報)に含まれることを保証することである。これによって、ユーザの移動軌跡中のある1つの滞在地点が分かったとしても、どの移動軌跡であるかを特定することはできない。移動軌跡の集合は、緯度・経度とそれらを測位した時間の3次元空間においてチューブ状に抽象化され、匿名情報として出力される。
図16に示した匿名化の手法は、 あらかじめ決まった期間の移動軌跡に対する匿名化には有効であるが、位置情報が時々刻々と追加されるような移動軌跡をリアルタイムに匿名化するには必ずしも有効ではない。このような環境では、未知の位置情報が定期的に到着することによって移動軌跡が時間軸上に伸長(増加)していく。そのため、匿名性を保証しながら移動軌跡をリアルタイムに利用するためには、移動軌跡の増分に対するリアルタイムな匿名化が必要となる。このような匿名化を行う場合、既に匿名化された結果を考慮したうえで増分に対する匿名化を行う必要がある。これは、静的な移動軌跡に対する匿名化と同様に、複数の位置情報の組み合わせを利用することによるユーザと移動軌跡の対応付けを困難にするためである。図16に示した匿名化の手法は、蓄積済の移動軌跡に対して匿名化を行うものであり、移動軌跡の増分に対する匿名化は想定されていない。特に、図16に示した匿名化の手法は、始点と終点間の全経路において匿名性を満たすように一度に匿名化を行う巨視的なものであり、移動軌跡の増分のように局所的な位置情報を対象とするものではない。
そのため、新たに到着した増分に対して図16に示した匿名化の手法を適用する場合、増分データとそれ以前のデータをそれぞれ終点および始点と捉えた短い経路に対して匿名化を行うことが想定される。このようなときにk匿名性を保証するには、以前に匿名化した匿名情報と少なくともk個以上の同じ移動軌跡を用いて匿名情報を構成する必要がある。
ところで、ユーザは、それぞれ個々人の思考で行動し、移動する。そのため、過去のある時点において移動軌跡が隣接していたユーザが、将来も同じように隣接した移動軌跡を辿り続けるとは言い難い。そのため、図16に示した匿名化の手法では、時間の経過に伴って、匿名情報を形成する移動軌跡同士の地理的類似度は低くなり、匿名情報の抽象度が徐々に高くなっていくことが想定される。つまり、常に同じ移動軌跡の組合せから匿名情報を構成すると、移動軌跡に含まれる位置情報の測位データが過度に抽象化されてしまい、意味のない情報となってしまうことがある。また、過去に匿名化した移動軌跡を考慮せずに、異なる時間間隔の移動軌跡をそれぞれ独立して匿名化を行うと匿名性を担保できない。
本発明はこのような事情に鑑みてなされたものであり、位置情報がリアルタイムに追加されていく場合において、移動軌跡の匿名性を確保するとともに、位置情報に含まれる測位データの抽象度が高くなりすぎることを抑制することを目的とする。
本発明の一側面に係る情報保護装置は、ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を記憶する移動軌跡記憶部と、測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化された測位データを、複数のユーザの移動軌跡の識別子及び測位時間と対応づけて匿名情報として記憶する匿名情報記憶部と、移動軌跡記憶部を参照し、匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、複数のユーザの位置情報について、匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、匿名情報記憶部に記憶されている匿名情報と対応づけて匿名情報記憶部に格納する増分抽象化部と、第1の測位時間の匿名情報が所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第1の測位時間より前の第2の測位時間の匿名情報のグループを2つ以上のグループに分割し、分割されたグループにより抽象化された第1の測位時間の測位データを含む匿名情報を生成し、第2の測位時間の匿名情報と対応づけて匿名情報記憶部に格納する分割部と、を備える。
なお、本発明において、「部」とは、単に物理的手段を意味するものではなく、その「部」が有する機能をソフトウェアによって実現する場合も含む。また、1つの「部」や装置が有する機能が2つ以上の物理的手段や装置により実現されても、2つ以上の「部」や装置の機能が1つの物理的手段や装置により実現されても良い。
本発明によれば、位置情報がリアルタイムに追加されていく場合において、移動軌跡の匿名性を確保するとともに、位置情報に含まれる測位データの抽象度が高くなりすぎることを抑制することができる。
本発明の第1の実施形態である情報保護装置の構成を示す図である。 移動軌跡の匿名化の一例を示す図である。 匿名情報の動的再構成の一例を示す図である。 匿名情報の構成の一例を示す図である。 第1の実施形態における匿名化処理の一例を示すフローチャートである。 匿名情報の分割の一例を示す図である。 匿名情報の合成の一例を示す図である。 匿名情報の再構築の一例を示す図である。 匿名情報の一例を示す図である。 第1の実施形態における匿名情報の推移の一例を示す図である。 第2の実施形態における匿名情報の推移の一例を示す図である。 第2の実施形態における匿名化処理の一例を示すフローチャートである。 患者の病状記録の一例を示す図である。 患者の病状記録を匿名化した一例を示す図である。 位置情報を匿名化した一例を示す図である。 移動軌跡を匿名化した一例を示す図である。
以下、図面を参照して本発明の一実施形態について説明する。
(第1の実施形態)
まず、本発明の第1の実施形態について説明する。図1は、本発明の第1の実施形態である情報保護装置の構成を示す図である。
情報保護装置10は、位置情報受付部20、移動軌跡記憶部22、初期抽象化部24、匿名情報記憶部26、増分抽象化部28、継続可能性評価部30、分割部32、合成部34、再構築部36、匿名性指標受付部38、及び継続可能性基準値受付部40を含んで構成されている。情報保護装置10は、例えばサーバ等の情報処理装置であり、CPUやメモリ、記憶装置を含んでいる。そして、移動軌跡記憶部22及び匿名情報記憶部26は、メモリや記憶装置上の記憶領域を用いて実現することができる。また、位置情報受付部20、初期抽象化部24、増分抽象化部28、継続可能性評価部30、分割部32、合成部34、再構築部36、匿名性指標受付部38、及び継続可能性基準値受付部40は、メモリに格納されたプログラムをCPUが実行することにより実現することができる。
情報保護装置10は、複数のユーザから送信されてくる位置情報の履歴である移動軌跡に対してリアルタイムに匿名化を施し、匿名情報を出力する。情報保護装置10の各部の詳細な説明の前に、情報保護装置10における匿名化の概念について説明する。
図2は、移動軌跡の匿名化の一例を示す図である。ここで、移動軌跡は、複数の位置情報から構成されるユーザ毎の位置情報の時系列情報である。また、各位置情報には、ユーザの位置を示す測位データが含まれている。そのため、ユーザがある日時にある場所にいたことを知っている場合、移動軌跡の閲覧者は、そのユーザがそれ以外にどこに行ったのかを知ることができてしまう可能性がある。そこで、情報保護装置10は、移動軌跡のk匿名性をリアルタイムに保証し、閲覧者が知らない位置情報や移動軌跡が知られてしまうことを抑制する。
図2の例では、k匿名性(k=4)を満たすように、ユーザA〜Dの移動軌跡が匿名化(抽象化)されている。図2において、各点はある時刻におけるユーザ毎の位置情報に対応し、位置情報の測位データによって示される位置を表している。そして、点と点をつなぐ矢印は、矢印の始点の位置から終点の位置へ当該ユーザが移動したことを表し、点と矢印の接続関係による連鎖が当該ユーザの移動軌跡を表す。また、楕円は複数の位置情報によって示される位置を含む範囲(エリア)を表す。楕円に含まれる点は、その点を示す位置情報の当該ユーザがそのエリア内に滞在したことを表す。
図2の例では、時刻t0において、4人のユーザの位置情報が楕円の中に含まれている。これは、4人のユーザの時刻t0における位置情報を、測位データのグループ化(クラスタリング)によって楕円が示すエリアに抽象化することにより、匿名化していることを示している。図2に示すように、4人のユーザの位置情報は、k匿名性(k=4)を満たすエリアに抽象化される形で匿名化されている。同様に、時刻t1における各ユーザの位置情報もk匿名性を満たしている。
このとき、t1の匿名情報をt0の匿名情報を構成するユーザからk人以上を選んで構成することで、[t0,t1]間の移動軌跡はk匿名性を満たすこととなる。図2では、二つの楕円とその間を結ぶ点線が、その楕円間がk匿名性を満たすように匿名化されていることを表している。
情報保護装置10は、匿名情報の生成をリアルタイムに行うことができる。例えば、既に時刻t2までの匿名情報が生成されている状態で、さらに、時刻t3の位置情報が追加された場合、情報保護装置10は、時刻t2までの匿名情報を考慮したうえで時刻t3の位置情報から匿名情報をリアルタイムに生成する。
図2において、時刻t3における位置情報は、白抜きされた点(白点)で表されている。白点は、各ユーザの位置情報の内、最近測位された位置情報を表している。それ以外の点(以降、黒点)は、白点以前に受信した位置情報であり、既に匿名情報を構成している位置情報である。白点に対する匿名化は、同じユーザの黒点が含まれる匿名情報と同じグループで行うことができる。このように匿名化を行うことで、移動軌跡のk匿名性を満たしながら、移動軌跡の新たな増分データ(白点)に対する匿名化を、増分データの到着に合わせてリアルタイムに行うことが可能となる。
ただし、常に同じ移動軌跡の組合せを用いて匿名情報を構成すると、匿名情報におけるエリアが徐々に広くなってくることが考えられる。つまり、測位データの抽象度が過剰となってしまうことがある。このように、測位データの抽象度が過剰になってしまうと、匿名性を保証することができるものの、情報の損失が大きい位置情報、移動軌跡となってしまい、利用価値の少ない匿名情報となってしまう可能性がある。
そこで、情報保護装置10は、匿名情報の分割や合成によって匿名情報を動的に再構成することにより、測位データの抽象度が高くなりすぎることを抑制している。図3は、情報保護装置10における匿名情報の動的再構成の一例を示す図である。図3に示す例では、左側の匿名情報は、途中で2つに分割されている。また、右側の匿名情報は、途中で別の匿名情報と合成されている。このように匿名情報の分割や合成を行うことにより、分割や合成前よりも測位データの抽象度が高くなりすぎてしまうことが抑制されている。
なお、測位データの抽象度は、匿名情報の情報量を示すものであり、例えば、エリアの大きさや、エリアに含まれる位置情報の密度により求められる。例えば、広すぎるエリアは利用価値が少なく、匿名情報の情報量が小さいと言うことができる。
図1に戻り、情報保護装置10における各部の詳細について説明する。
位置情報受付部20は、複数のユーザ端末とネットワークを介して通信可能に接続されている。ユーザ端末は、GPSや無線LAN等による測位機能を有する情報処理装置であり、例えば、携帯端末やカーナビゲーション装置等である。このようなユーザ端末では、定期的に端末の位置を測位し、測位された経度・緯度・高度等の情報を含む測位データに、測位時間やユーザIDを付加した位置情報を例えば携帯電話の無線ネットワークを介して位置情報保護装置10に送信する。位置情報受付部20はこのように定期的に送信されてくる各ユーザ端末からの位置情報を受信し、移動軌跡記憶部22に格納する。
なお、ユーザIDは、ユーザを識別可能な情報であり、例えば、ユーザ名や、ユーザID、端末IDを用いることができる。また、測位データは、緯度・経度・高度等によって表現される詳細な情報に限られず、例えば、総務省が規定する地域メッシュコードによって表現されるような所定の範囲を表すエリア情報等であっても良い。
移動軌跡記憶部22は、位置情報受付部20が時々刻々と連続的に受信したユーザの位置情報をユーザ毎に記録する。つまり、移動軌跡記憶部22には、位置情報の履歴である移動軌跡が記憶される。なお、移動軌跡記憶部22には、ユーザ毎に時系列に沿って位置情報を格納してもよいし、特に順序は関係なく位置情報を格納してもよい。
初期抽象化部24は、匿名情報がまだ作成されていないユーザの位置情報について、測位時間が同一の複数のユーザの位置情報の測位データをグループ化して抽象化することにより匿名情報を生成し、匿名情報記憶部26に格納する。なお、測位データをグループ化する際に、測位時間が完全に同一である必要はなく、ある幅の同一の時間帯に属している測位時間を同一の測位時間と判定することができる。
図4は、匿名情報記憶部26に格納される匿名情報の一例を示す図である。図4に示すように、匿名情報には、匿名情報ID、親匿名情報ID、移動軌跡ID、測位時間、及びエリア情報が含まれる。
匿名情報IDは、匿名情報の識別子であり、測位データの抽象化により生成される、位置情報のグループを示している。例えば、図2に示した1連の匿名情報に対して、1つの匿名情報IDが付与される。そして、分割や合成等の再構成処理によって、匿名情報における位置情報のグループが変更されると、新たに生成された匿名情報に対して新たな匿名情報IDが付与される。このとき、再構成前の匿名情報と再構成後の匿名情報とを関連づけるために、再構成前の匿名情報IDが親匿名情報IDに設定される。つまり、親匿名情報IDは、匿名情報の親子関係を示す情報である。
移動軌跡IDは、匿名情報に含まれる複数のユーザの移動軌跡の識別子である。例えば、図2に示した匿名情報には、ユーザA〜Dの4人の移動軌跡が含まれている。この場合、匿名情報がどのユーザの移動軌跡を匿名化したものであるかを示す情報が移動軌跡IDに設定される。例えば、図4に示すように、ユーザA〜Dの4人の移動軌跡に対する移動軌跡IDとしてA〜Dが設定される。なお、移動軌跡IDは、あるユーザの移動軌跡に対する匿名情報が既に存在するかどうかを確認するために用いられる。例えば、移動軌跡IDには、位置情報に含まれるユーザIDを設定することができる。この場合、位置情報に含まれるユーザIDが移動軌跡IDとして設定された匿名情報の存在有無を確認することにより、あるユーザに対する匿名情報が既に作成されているかどうかを確認することができる。また、移動軌跡IDは、ユーザIDそのものでなくてもよく、ユーザIDとの関係を識別可能なものであればよい。また、移動軌跡IDのみによってユーザIDとの関係を識別可能である必要はなく、例えば、ユーザIDと移動軌跡IDとの対応関係を示す情報を匿名情報とは別に匿名情報記憶部26に格納しておくこととしてもよい。
測位時間には、測位データをグループ化する際の基準とされた測位時間が設定される。なお、匿名情報における測位時間は、特定の時刻ではなく、ある幅を有する時間帯を示す情報とすることができる。
エリア情報には、複数のユーザの位置情報の測位データによって示される位置を包含するエリアを識別するための情報が設定される。例えば、図2に示したように匿名情報におけるエリアの形状を楕円とする場合であれば、中心点の緯度・経度、長径、短径をエリア情報に設定することができる。なお、エリアの形状は楕円に限られず、識別可能な形状であれば任意の形状とすることができる。
図1に戻り、増分抽象化部28は、匿名情報が既に作成されているユーザの位置情報を移動軌跡記憶部22から抽出し、測位データをグループ化して抽象化することにより、位置情報を匿名化する。この際、増分抽象化部28は、匿名情報記憶部26に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成する。これにより、先に匿名情報記憶部26に記憶されている匿名情報がk匿名性を満たしていれば、新たに生成される匿名情報もk匿名性を満たすこととなる。
継続可能性評価部30は、増分抽象化部28が位置情報の測位データを抽象化して生成した匿名情報の継続可能性を評価する。ここで、継続可能性とは、分割や合成を行わずに匿名情報を同じ移動軌跡の組合せで継続可能な度合いを示す指標であり、匿名情報の情報量によって判定することができる。継続可能性の指標の具体例としては、エリアの大きさや匿名情報の密度があげられる。匿名情報の密度は、例えば、匿名情報を構成する移動軌跡の数をエリアの大きさで割ることにより求めることができる。
分割部32は、増分抽象化部28が測位データの抽象化によって生成した匿名情報を、抽象化の度合いが小さくなるように複数の匿名情報に分割する。なお、分割部32は、匿名情報を構成する移動軌跡の数がk以上になるように、すなわち、分割後もk匿名性が満たされるように分割を行う。分割後の匿名情報は、分割前の匿名情報と対応づけられて匿名情報記憶部26に格納される。つまり、分割後の匿名情報には、分割前の匿名情報とは異なる新たな匿名情報IDが付与されるとともに、分割前の匿名情報の匿名情報IDが親匿名情報IDに設定される。
合成部34は、増分抽象化部28や分割部32が生成した匿名情報を、抽象化の度合いが小さくなるように複数の匿名情報を一つの匿名情報に合成する。合成後の匿名情報は、合成前の匿名情報と対応づけられて匿名情報記憶部26に格納される。つまり、合成後の匿名情報には、合成前の匿名情報とは異なる新たな匿名情報IDが付与されるとともに、合成前の匿名情報の匿名情報IDが親匿名情報IDに設定される。
再構築部36は、分割により生成された匿名情報が、分割前の匿名情報と対応づけられると、分割前後の匿名情報を含む匿名化された移動軌跡がk匿名性を満たさない場合、分割前後の匿名情報の対応関係を解消する。つまり、分割後の匿名情報に対して分割前の匿名情報とは異なる匿名情報IDが付与されるとともに、親匿名情報IDが初期化される。このような再構築は、合成された匿名情報が再度分割された場合に必要となることがある。例えば、k個の移動軌跡から構成される2つの匿名情報を合成し、その後分割が行われると、合成以前と同じ移動軌跡から構成される匿名情報へ分割される場合のみ、移動軌跡のk匿名性が保証され、それ以外の場合はk匿名性が保証されない。このようにk匿名性が保証されない分割処理時に、再構築部36による匿名情報の再構築が行われる。
匿名性指標受付部38は、情報保護装置10において移動軌跡を匿名化する際の基準となる匿名性指標(例えば、k匿名性における“k”)をユーザから受け付けて記憶する。
継続可能性基準値受付部40は、匿名情報の継続可能性を判断する際の基準値をユーザから受け付けて記憶する。前述したように、この基準値は、例えば、匿名情報における測位データの抽象度を示す値とすることができる。
次に、情報保護装置10における匿名化処理について具体例を参照しつつ説明する。図5は、第1の実施形態における匿名化処理の一例を示すフローチャートである。また、図6〜図9は、生成される匿名情報の一例を示す図である。ここでは、匿名性指標受付部38が受け付けた匿名性指標が、k=2のk匿名性であるとして説明する。
位置情報受付部20は、複数のユーザ端末から位置情報を定期的に受け付け、位置情報の履歴を移動軌跡として移動軌跡記憶部22に蓄積する(S501)。例えば、位置情報受付部20は、各ユーザ端末から1分置きにユーザの位置情報を受信する。
増分抽象化部28は、移動軌跡記憶部22から定期的に位置情報を受け取り、位置情報の測位データを抽象化することにより匿名情報を生成する。例えば、増分抽象化部28には、位置情報受付部20が1分置きに受信する位置情報が移動軌跡記憶部22を介して受け渡される。増分抽象化部28は、位置情報を受け取ると、各位置情報と対応する移動軌跡IDを持つ匿名情報が匿名情報記憶部26に存在しているか確認する(S502)。なお、匿名情報の存在有無の確認は、初期抽出化部24が行ってもよい。
対応する匿名情報が存在しない場合(S502:N)、初期抽象化部24は、測位時間が同一の位置情報について、各グループ(クラスタ)がk個以上の位置情報から構成されるように、測位データによって示される位置が近い位置情報をグループ化(クラスタリング)する。つまり、初期抽象化部24は、複数のユーザの位置情報の測位データをグループ化して抽象化することにより匿名情報を生成する(S503)。具体的には、初期抽象化部24は、各グループにおける位置情報の測位データで示される位置を包含するエリアを求め、このエリアを示すエリア情報が設定された匿名情報を生成する。なお、複数の位置を包含するエリアは、例えば、これらの位置を包含する面積が最小の楕円とすることができる。図6には、時刻t0における5人のユーザの位置情報をグループ化して匿名情報を新たに生成した例が示されている。また、図6の例では、この匿名情報に対して“T001”の匿名情報IDが付与されている。また、図9には、匿名情報記憶部26に格納された匿名情報の例が示されている。このように位置情報を抽象化することで、エリアに含まれるユーザの位置情報は同一視され、ユーザの詳細な位置を特定することができなくなる。
一方、対応する匿名情報が存在する場合(S502:Y)、増分抽象化部28は、その匿名情報を構成する移動軌跡の集合と同じ移動軌跡IDを持つすべての位置情報に対して、測位データの抽象化を実施する(S504)。そして、増分抽象化部28は、先に生成された匿名情報と同じ匿名情報ID及び移動軌跡IDを付与した匿名情報を生成する。例えば、図6では、時刻t1における5人のユーザの位置情報について、時刻t0の匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報が生成されている。
続いて、継続可能性評価部30は、増分抽象化部28によって生成された匿名情報に対して継続可能性を評価する(S505)。例えば、エリアの面積が所定の基準値より大きい場合や、匿名情報の密度が所定の基準値より低い場合に、継続可能性が閾値未満であると判断される。例えば、図6では、時刻t1の匿名情報は継続可能性を満たすものであると判定されている。
継続可能性が閾値未満である場合(S505:Y)、匿名情報の動的再構成が行われる。本実施形では、匿名情報の動的再構成として、分割処理及び合成処理が実行される。
分割部32は、継続可能性が閾値未満となった匿名情報を分割する(S506)。なお、分割処理には、既存のクラスタリング手法や、分類手法の適用が可能であり、状況に応じて様々な手法を選択して適用したり、組み合わせて適用したりすることが考えられる。例えば、分割部32は、2k個以上の移動軌跡が含まれる匿名情報を2つの匿名情報に分割することができる。このとき、移動軌跡の数が2k個未満であるために分割できなかった匿名情報は、後の合成処理の候補として合成候補リストに追加することができる。また、分割部32は、継続可能性が閾値未満となっているのが一時的なものであるかどうかを考慮したうえで匿名情報を分割することができる。例えば、分割部32は、分割後の二つの匿名情報のエリア間にオーバーラップがなく、エリア間の距離が閾値以上である場合に匿名情報を分割する。
ここで、エリア間の距離は、例えば、2つのエリアの最近接点間の距離や、2つのエリアの中心点間の距離とすることができる。また、エリア間の距離は、前の時刻におけるエリアから分割後の2つのエリアへの遷移の角度であってもよい。
例えば、図6の時刻t2における匿名情報は、エリアが広くなり、継続可能性が閾値未満となっている。そのため、この匿名情報を破線で示した2つのグループに分割することが考えられる。このとき、2つのグループのエリア間の距離l(エル)2は、所定の閾値Lよりも小さいため、分割部32は分割処理を行わない。
また、例えば、図6の時刻t3においても同様に2つのグループに分割することが考えられる。このとき、2つのグループのエリア間の距離l(エル)3は、所定の閾値Lより大きいため、分割部32は、新たな2つの匿名情報を生成する。そして、分割部32は、図9に示すように、分割により生成された2つの匿名情報に匿名情報IDとして“T002”、“T003”を付与し、親匿名情報IDに“T001”を設定する。
分割処理が行われた後、再構築部36は、分割後の匿名情報がk匿名性に違反していないかどうか確認し(S507)、違反している場合は(S507:Y)、移動軌跡の再構築を行う(S508)。前述したように、このような再構築が必要となるのは合成された匿名情報を分割する場合である。再構築の具体例については合成処理の後に説明する。
続いて、合成部34による合成処理が実行される(S509)。分割処理時に、移動軌跡の数が2k未満であり、分割できなかった匿名情報が合成処理の候補として合成候補リストに追加される。合成部34は、合成候補リストに含まれる匿名情報に対して、合成後の継続可能性が合成前の2つの匿名情報の継続可能性の平均よりも高くなるように匿名情報の合成を行う。具体的には、合成部34は、合成候補リスト内の匿名情報について、エリアがオーバーラップする面積が大きいものから順に合成を試みる。そして、合成部34は、合成後の匿名情報の継続可能性が、合成前の二つの匿名情報の継続可能性の平均よりも大きければ合成を承認し、そうでなければ合成を行わない。この処理が、合成候補リスト内のすべての匿名情報に対して行われる。そして、合成部34は、合成後の匿名情報に対して新たに匿名情報IDを付与し、親匿名情報IDに合成前の匿名情報IDを設定する。
例えば、図7の時刻t5において、匿名情報IDが“T003”と“T004”の2つの匿名情報が合成候補リストに含まれているとする。ここで、合成部34は、これら2つの匿名情報を合成した場合に継続可能性が改善されるかどうかを判定する。図7の例では、継続可能性が改善されないと判定され、時刻t5においては合成は行われていない。一方、時刻t6においては、2つの匿名情報を合成することにより、継続可能性が改善されるため、合成部34は2つの匿名情報を合成し、匿名情報IDが“T005”である新たな匿名情報を生成している。
図8には、時刻t6に合成された匿名情報が時刻t7に再度分割された例が示されている。図8に示すように、時刻t7において、匿名情報IDが“T006”、“T007”である2つの匿名情報が生成されている。このとき、再構築部36は、時刻t7までの移動軌跡がk匿名性に違反するかどうかを評価する。違反する場合、再構築部36は、分割後の匿名情報に対して新たに移動軌跡IDを付与するとともに、親匿名情報IDを初期化する。この再構築処理により、移動軌跡の継続性はなくなるものの、k匿名性は維持されることとなる。
そして、最後に、抽象化処理、分割処理、再構築処理、及び合成処理により生成された匿名情報が匿名情報記憶部26に格納される(S510)。これにより、図9に示すように、分割や合成により構成された親子関係が設定された匿名情報が匿名情報記憶部26に格納される。また、再構築により親子関係が解消された匿名情報が匿名情報記憶部26に格納される。なお、匿名情報記憶部26に対する匿名情報の格納は、各処理において個別に行ってもよい。
匿名情報記憶部26に記憶される匿名情報は、チューブ状の情報でなくてもよい。例えば、匿名情報の中心点や重心点の座標値、エリア内からランダムに標本した座標値であってもよい。また、匿名情報の本来のエリアを記憶するのではなく、中心座標や重心座標からある一定サイズのエリアを常に記憶し続けてもよい。また、記憶する匿名情報内には、実際にユーザ端末から測位した位置情報を匿名化した情報以外が含まれてもよい。また、中心座標、重心座標、エリアに対してノイズを付加した情報を記憶してもよい。加えて、測位時刻すべての匿名情報を記憶しなくてもよく、記憶の間隔は一定でもよいし、匿名化処理の負荷やデータセットのサイズ等の様々な要因から動的に変更があってもよい。
(第2の実施形態)
次に、本発明の第2の実施形態について説明する。第2の実施形態における情報保護装置10の構成は第1の実施形態と同様である。ただし、初期抽象化部24において匿名情報を生成する処理が第1の実施形態とは異なっている。具体的には、第2の実施形態では、初期抽象化部24は、継続可能性が高くなるように匿名情報の生成を行う。
例えば、初期抽象化部24は、初期抽象化を行う際に、抽象化対象の位置情報の密集度を考慮して、匿名情報を生成するときの初期匿名度を導出する。この初期匿名度は、位置情報の密集度に応じて高く設定することができる。初期匿名度を大きくすることで、その分だけ分割による細分化を行い易く、移動軌跡の再構築(合成後の分割)による情報損失の機会を減らすことができる。そのため、ユーザの移動軌跡を匿名化した匿名情報を、長い期間に渡って連続した情報として提供することが可能となる。
図10は、k匿名性(k=3)を満たすように第1の実施形態で匿名化を行った移動軌跡の匿名情報の一例を示している。図10の例では、はじめに匿名情報を形成する際に、近接する位置情報の測位データがk匿名性を満たす範囲内で最小限の構成でグループ化し、抽象化している。このように必要最小限の匿名情報の形成は、時間経過後も分割処理が行いづらく、合成処理を行うまで抽象化の度合いを抑制することができない場合がある。
そこで、第2の実施形態では、初期抽象化部24は、図11に示すように、位置情報の密集度の高い区域では、匿名情報を構成する位置情報の数を高く設定している。つまり、初期抽象化部24は、匿名情報に対して求められる所定の匿名性指標より高い匿名性を満たすように匿名情報の生成を行っている。このように密集度の高い区域においては、多くの位置情報から一つの匿名情報を構成しても、測位データの抽象度を低く抑えることが可能である。また、分割時の構成の自由度も高く、継続可能性の高い匿名情報を構成することが可能となる。
図12は、第2の実施形態における匿名化処理の一例を示すフローチャートである。図12に示すフローチャートにおいて、初期抽象化部24以外の処理については第1の実施形態における図5のフローチャートで示した処理と同じである。
ここでは、第1の実施形態とは異なる、初期抽出化部24における処理についてのみ説明する。
初期抽象化部24は、移動軌跡記憶部22から抽出した位置情報のユーザ識別子に対応する匿名情報が匿名情報記憶部26に存在しない場合に(S502:N)、各位置情報がk匿名性を満たすように各位置情報の測位データの抽象化を行う。まず、初期抽象化部24は、各位置情報に対して、位置情報の測位データで示される位置を中心とする半径R以内に存在する位置情報の数Rnumを数える。ここで、すべての位置情報の集合をPとする。初期抽象化部24は、Pに含まれる位置情報に対して、Rnumが多い順に以下の処理を行う。位置情報p∈Pの半径R以内に含まれる位置情報の集合をQとする。初期抽象化部24は、|Q|≧(k−1)であれば、P=P−Q−pを処理し、pとQからクラスタを構成する(S503−1)。
次に、初期抽象化部24は、クラスタを形成していない位置情報がk匿名性を満たすようにグループ化する。このとき、初期抽象化部24は、構成されたクラスタとクラスタに含まれない位置情報を対象にして、単連結法やk平均法などのクラスタリング手法で、すべてのクラスタがサイズk以上になるまでクラスタリングを行うことができる。そして、初期抽象化部24は、最終的に形成された各クラスタの匿名情報を生成し、匿名情報記憶部26に格納する(S503−2)。
また、初期抽象化部24は、上述のS503−1とS503−2の限りではない。例えば以下のような方法でもよい。すべての位置情報を対象に、k平均法のような密集度に基づくクラスタリングで位置情報群を分割する。分割によって生成されたクラスタがk個以上の位置情報を含んでいればさらに分割を行い、k個未満であればこの分割を取りやめる。このとき、収束するまでクラスタリングによる分割を行わずに、クラスタのエリアのサイズがある閾値以下になったら終了させることで、密集地帯では密なクラスタを生成できる。
以上、本発明の実施形態について説明した。本実施形態によれば、測位データの抽象度が所定の基準値より低くなるように匿名情報が分割されるとともに、分割前後の匿名情報に親子関係が設定される。したがって、位置情報がリアルタイムに追加されていく場合において、移動軌跡の匿名性を確保するとともに、位置情報に含まれる測位データの抽象度が高くなりすぎることを抑制することが可能となる。
また、本実施形態では、測位データの抽象度が所定の基準値より高い場合に分割処理が実行される。これにより、無駄な分割を防ぐことが可能となり、継続可能性を高めることができる。
また、本実施形態では、エリア間の距離が所定の閾値より大きくなる場合に分割処理が実行される。つまり、2つ以上のグループが異なる方向へ進んでいく可能性が高いと考えられる場合に、分割処理が行われる。換言すると、測位データの抽象度が所定の基準値より高くなった場合であっても、分割されたエリア間の距離が近い場合は、分割されたエリアが再び近づく可能性があるため、分割処理は行われない。これにより、分割の回数を削減することが可能となり、将来の継続可能性を高めることができる。
また、本実施形態では、分割すると匿名性指標が満たされなくなってしまう2つ以上の匿名情報を合成することにより、測位データの抽象度を合成前よりも低くすることができる。
さらに、本実施形態では、合成された匿名情報が再度分割された場合に、移動軌跡が匿名性指標を満たさなくなる場合は、分割前後の親子関係が解消される。これにより、移動軌跡の匿名性を確保することが可能となる。
また、本実施形態では、継続可能性が高くなるように最初の匿名情報を生成することができる。すなわち、初期抽象化部24は、所定の大きさの領域に含まれる測位データによって示される位置の数が最大となるように測位データをグループ化して匿名情報を生成することができる。これにより、匿名化により生成される匿名情報の継続可能性を高めることが可能となる。
なお、本実施形態は、本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明は、その趣旨を逸脱することなく、変更/改良され得るととともに、本発明にはその等価物も含まれる。
例えば、本実施形態では、初期抽象化部24または増分抽象化部28によって生成された匿名情報が匿名情報記憶部26に格納される例を示したが、情報保護装置10の外部で生成された匿名情報が匿名情報記憶部26に格納されることとしてもよい。つまり、増分抽象化部28は、外部から提供される匿名情報に対して、リアルタイムに追加される位置情報から生成される匿名情報を追加していくことができる。
また、例えば、本実施形態では、継続可能性が閾値未満である場合に分割処理が行われることとしたが、継続可能性が閾値未満であるかどうかにかかわらず、継続可能性が改善されるように分割を行うこととしてもよい。
また、本実施形態では、測位データの抽象度を判定するための指標として、匿名情報におけるエリアの大きさや、エリアに含まれる位置情報の密度を示したが、匿名情報以外の情報を考慮して測位データの抽象度を判定することとしてもよい。例えば、エリアの特性を考慮して、測位データの抽象度を判定することもできる。具体的には、例えば、エリアに滞在している人の数やエリアの人口密度、エリア内に存在する施設の密集度を考慮して測位データの抽象度を判定してもよい。例えば、同じ大きさのエリアであっても、施設の密集度が高いほど抽象度が高いと判定することができる。施設の密集度が高いエリアでは、多くの施設に対応する位置情報が1つのエリアに抽象化されるからである。
また、本実施形態では、分割部32とは別に継続可能性評価部30及び再構築部36が設けられているが、継続性評価部30及び再構築部36は分割部32に含まれていてもよい。
この出願は、2010年12月27日に出願された日本出願特願2010−290819を基礎とする優先権を主張し、その開示の全てをここに取り込む。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
本実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を記憶する移動軌跡記憶部と、測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化された測位データを、前記複数のユーザの移動軌跡の識別子及び前記測位時間と対応づけて匿名情報として記憶する匿名情報記憶部と、前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納する増分抽象化部と、第1の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第1の測位時間より前の第2の測位時間の前記匿名情報のグループを2つ以上のグループに分割し、分割されたグループにより抽象化された前記第1の測位時間の測位データを含む匿名情報を生成し、前記第2の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する分割部と、を備える情報保護装置。
(付記2)付記1に記載の情報保護装置であって、前記移動軌跡記憶部を参照し、前記匿名情報記憶部に前記匿名情報が記憶されていない、測位時間が同一の複数のユーザの位置情報について、前記所定の匿名性指標を満たすように前記複数のユーザの位置情報の測位データをグループ化して抽象化することにより、前記複数のユーザの移動軌跡の識別子、測位時間、及び抽象化された測位データを含む匿名情報を初期生成する初期抽象化部をさらに備える、情報保護装置。
(付記3)付記2に記載の情報保護装置であって、前記初期抽象化部は、前記所定の匿名性指標を満たすとともに、所定の大きさの領域に含まれる測位データによって示される位置の数が最大となるように測位データをグループ化して前記匿名情報を生成する、情報保護装置。
(付記4)付記1〜3の何れか一項に記載の情報保護装置であって、前記分割部は、前記第1の測位時間の前記匿名情報における抽象化された測位データの抽象度が前記所定の基準値より高い場合に、該第1の測位時間の匿名情報を前記2つ以上のグループに分割する、情報保護装置。
(付記5)付記1〜4の何れか一項に記載の情報保護装置であって、前記分割部は、分割された場合に各グループにより抽象化された測位データによって表される領域間の距離が所定の閾値より大きくなることを条件に、前記匿名情報を分割する、情報保護装置。
(付記6)付記1〜5の何れか一項に記載の情報保護装置であって、合成された場合に合成後のグループにより抽象化された測位データの抽象度が、合成前の各グループにより抽象化された測位データの抽象度より低くなることを条件に、第3の測位時間の匿名情報における2つ以上のグループを合成したグループにより抽象化された、前記第3の測位時間より後の第4の測位時間の測位データを含む匿名情報を生成し、前記第3の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する合成部をさらに備える、情報保護装置。
(付記7)付記6に記載の情報保護装置であって、前記分割部は、第5の測位時間の匿名情報を該第5の測位時間より前の第6の測位時間の匿名情報と対応づけると、該第5の測位時間までの移動軌跡が前記所定の匿名性指標を満たさない場合は、前記第5の測位時間の匿名情報を前記第6の測位時間の匿名情報と対応づけずに前記匿名情報記憶部に格納する、情報保護装置。
(付記8)付記1〜7の何れか一項に記載の情報保護装置であって、前記所定の匿名性指標を受け付ける匿名性指標受付部をさらに備える、情報保護装置。
(付記9)付記1〜8の何れか一項に記載の情報保護装置であって、前記所定の基準値を受け付ける基準値受付部をさらに備える、情報保護装置。
(付記10)ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を移動軌跡記憶部に格納し、前記移動軌跡記憶部を参照し、測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化することにより、前記複数のユーザの移動軌跡の識別子、測位時間、及び抽象化された測位データを含む匿名情報を初期生成して匿名情報記憶部に格納し、前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納し、第1の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第1の測位時間より前の第2の測位時間の前記匿名情報のグループを2つ以上のグループに分割し、分割されたグループにより抽象化された前記第1の測位時間の測位データを含む匿名情報を生成し、前記第2の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する、情報保護方法。
(付記11)コンピュータに、ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を移動軌跡記憶部に格納する機能と、測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化された測位データを、前記複数のユーザの移動軌跡の識別子及び前記測位時間と対応づけて匿名情報として匿名情報記憶部に格納する機能と、前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納する機能と、第1の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第1の測位時間より前の第2の測位時間の前記匿名情報のグループを2つ以上のグループに分割し、分割されたグループにより抽象化された前記第1の測位時間の測位データを含む匿名情報を生成し、前記第2の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する機能と、を実現させるプログラム。
10 情報保護装置
20 位置情報受付部
22 移動軌跡記憶部
24 初期抽象化部
26 匿名情報記憶部
28 増分抽象化部
30 継続可能性評価部
32 分割部
34 合成部
36 再構築部

Claims (11)

  1. ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を記憶する移動軌跡記憶部と、
    測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化された測位データを、前記複数のユーザの移動軌跡の識別子及び前記測位時間と対応づけて匿名情報として記憶する匿名情報記憶部と、
    前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納する増分抽象化部と、
    第1の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第1の測位時間より前の第2の測位時間の前記匿名情報のグループを2つ以上のグループに分割し、分割されたグループにより抽象化された前記第1の測位時間の測位データを含む匿名情報を生成し、前記第2の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する分割部と、
    を備える情報保護装置。
  2. 請求項1に記載の情報保護装置であって、
    前記移動軌跡記憶部を参照し、前記匿名情報記憶部に前記匿名情報が記憶されていない、測位時間が同一の複数のユーザの位置情報について、前記所定の匿名性指標を満たすように前記複数のユーザの位置情報の測位データをグループ化して抽象化することにより、前記複数のユーザの移動軌跡の識別子、測位時間、及び抽象化された測位データを含む匿名情報を初期生成する初期抽象化部をさらに備える、情報保護装置。
  3. 請求項2に記載の情報保護装置であって、
    前記初期抽象化部は、前記所定の匿名性指標を満たすとともに、所定の大きさの領域に含まれる測位データによって示される位置の数が最大となるように測位データをグループ化して前記匿名情報を生成する、情報保護装置。
  4. 請求項1〜3の何れか一項に記載の情報保護装置であって、
    前記分割部は、前記第1の測位時間の前記匿名情報における抽象化された測位データの抽象度が前記所定の基準値より高い場合に、該第1の測位時間の匿名情報を前記2つ以上のグループに分割する、情報保護装置。
  5. 請求項1〜4の何れか一項に記載の情報保護装置であって、
    前記分割部は、分割された場合に各グループにより抽象化された測位データによって表される領域間の距離が所定の閾値より大きくなることを条件に、前記匿名情報を分割する、情報保護装置。
  6. 請求項1〜5の何れか一項に記載の情報保護装置であって、
    合成された場合に合成後のグループにより抽象化された測位データの抽象度が、合成前の各グループにより抽象化された測位データの抽象度より低くなることを条件に、第3の測位時間の匿名情報における2つ以上のグループを合成したグループにより抽象化された、前記第3の測位時間より後の第4の測位時間の測位データを含む匿名情報を生成し、前記第3の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する合成部をさらに備える、情報保護装置。
  7. 請求項6に記載の情報保護装置であって、
    前記分割部は、第5の測位時間の匿名情報を該第5の測位時間より前の第6の測位時間の匿名情報と対応づけると、該第5の測位時間までの移動軌跡が前記所定の匿名性指標を満たさない場合は、前記第5の測位時間の匿名情報を前記第6の測位時間の匿名情報と対応づけずに前記匿名情報記憶部に格納する、情報保護装置。
  8. 請求項1〜7の何れか一項に記載の情報保護装置であって、
    前記所定の匿名性指標を受け付ける匿名性指標受付部をさらに備える、情報保護装置。
  9. 請求項1〜8の何れか一項に記載の情報保護装置であって、
    前記所定の基準値を受け付ける基準値受付部をさらに備える、情報保護装置。
  10. ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を移動軌跡記憶部に格納し、
    前記移動軌跡記憶部を参照し、測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化することにより、前記複数のユーザの移動軌跡の識別子、測位時間、及び抽象化された測位データを含む匿名情報を初期生成して匿名情報記憶部に格納し、
    前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納し、
    第1の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第1の測位時間より前の第2の測位時間の前記匿名情報のグループを2つ以上のグループに分割し、分割されたグループにより抽象化された前記第1の測位時間の測位データを含む匿名情報を生成し、前記第2の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する、
    情報保護方法。
  11. コンピュータに、
    ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を移動軌跡記憶部に格納する機能と、
    測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化された測位データを、前記複数のユーザの移動軌跡の識別子及び前記測位時間と対応づけて匿名情報として匿名情報記憶部に格納する機能と、
    前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納する機能と、
    第1の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第1の測位時間より前の第2の測位時間の前記匿名情報のグループを2つ以上のグループに分割し、分割されたグループにより抽象化された前記第1の測位時間の測位データを含む匿名情報を生成し、前記第2の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する機能と、
    を実現させるプログラム。
JP2012550783A 2010-12-27 2011-11-25 情報保護装置及び情報保護方法 Active JP5846548B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012550783A JP5846548B2 (ja) 2010-12-27 2011-11-25 情報保護装置及び情報保護方法

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2010290819 2010-12-27
JP2010290819 2010-12-27
PCT/JP2011/077162 WO2012090628A1 (ja) 2010-12-27 2011-11-25 情報保護装置及び情報保護方法
JP2012550783A JP5846548B2 (ja) 2010-12-27 2011-11-25 情報保護装置及び情報保護方法

Publications (2)

Publication Number Publication Date
JPWO2012090628A1 JPWO2012090628A1 (ja) 2014-06-05
JP5846548B2 true JP5846548B2 (ja) 2016-01-20

Family

ID=46382748

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012550783A Active JP5846548B2 (ja) 2010-12-27 2011-11-25 情報保護装置及び情報保護方法

Country Status (4)

Country Link
US (1) US9087203B2 (ja)
JP (1) JP5846548B2 (ja)
CA (1) CA2821438A1 (ja)
WO (1) WO2012090628A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11423416B2 (en) * 2020-06-19 2022-08-23 Apple Inc. Impact based fraud detection
WO2023286968A1 (ko) * 2021-07-12 2023-01-19 주식회사 메쉬코리아 위치 정보의 비식별화 방법 및 장치

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6125153B2 (ja) * 2012-04-27 2017-05-10 Kddi株式会社 位置情報匿名化装置、位置情報匿名化方法およびプログラム
JP6079783B2 (ja) * 2012-09-26 2017-02-15 日本電気株式会社 匿名化を実行する情報処理装置及び匿名化方法、及びプログラム
US10108650B2 (en) 2012-11-12 2018-10-23 Sony Corporation Information processing device and information processing method
JP5962472B2 (ja) * 2012-12-03 2016-08-03 富士通株式会社 匿名化データ生成方法、装置及びプログラム
JP6015777B2 (ja) * 2013-01-16 2016-10-26 富士通株式会社 秘匿化データ生成方法及び装置
JP6042229B2 (ja) * 2013-02-25 2016-12-14 株式会社日立システムズ k−匿名データベース制御サーバおよび制御方法
US20140380489A1 (en) * 2013-06-20 2014-12-25 Alcatel-Lucent Bell Labs France Systems and methods for data anonymization
JP6156071B2 (ja) * 2013-11-06 2017-07-05 富士通株式会社 匿名化データ生成方法、装置及びプログラム
US9135452B2 (en) * 2013-11-21 2015-09-15 International Business Machines Corporation Method and system for anonymization in continuous location-based services
JP2015103025A (ja) * 2013-11-25 2015-06-04 富士通株式会社 経路情報処理装置、方法、及びプログラム
WO2015118801A1 (ja) * 2014-02-04 2015-08-13 日本電気株式会社 情報判定装置、情報判定方法及び記録媒体
JP6345482B2 (ja) * 2014-05-19 2018-06-20 富士通クラウドテクノロジーズ株式会社 制御装置、制御方法、及び制御プログラム
WO2016013057A1 (ja) * 2014-07-22 2016-01-28 株式会社日立システムズ 情報保護システム、情報保護方法及び情報保護プログラム
US10013576B2 (en) * 2014-12-12 2018-07-03 Panasonic Intellectual Property Management Co., Ltd. History information anonymization method and history information anonymization device for anonymizing history information
JP6497661B2 (ja) * 2014-12-12 2019-04-10 パナソニックIpマネジメント株式会社 履歴情報匿名化方法及び履歴情報匿名化装置
US9396210B1 (en) 2015-03-12 2016-07-19 Verve Wireless, Inc. Systems, methods, and apparatus for reverse geocoding
JP6435978B2 (ja) * 2015-04-21 2018-12-12 トヨタ自動車株式会社 位置情報匿名化方法、移動情報匿名化方法、および装置
US9760718B2 (en) 2015-09-18 2017-09-12 International Business Machines Corporation Utility-aware anonymization of sequential and location datasets
KR20170040552A (ko) 2015-10-05 2017-04-13 울산과학기술원 분산형 내부 덕트를 가진 한국형 액체금속냉각로 핵연료 집합체
JP6588880B2 (ja) * 2016-09-30 2019-10-09 日本電信電話株式会社 匿名化装置、匿名化方法、およびプログラム
US11194931B2 (en) 2016-12-28 2021-12-07 Sony Corporation Server device, information management method, information processing device, and information processing method
US10452510B2 (en) * 2017-10-25 2019-10-22 Oracle International Corporation Hybrid clustering-partitioning techniques that optimizes accuracy and compute cost for prognostic surveillance of sensor data
US10713385B2 (en) * 2018-07-03 2020-07-14 International Business Machines Corporation Position data pseudonymization
US11042648B2 (en) * 2019-07-17 2021-06-22 Here Global B.V. Quantification of privacy risk in location trajectories
JP7490424B2 (ja) 2020-04-06 2024-05-27 株式会社ブログウォッチャー 情報処理装置、情報処理方法、情報処理プログラム
JP7458863B2 (ja) 2020-04-06 2024-04-01 株式会社ブログウォッチャー 情報処理装置、情報処理方法、情報処理プログラム
US11526628B2 (en) * 2020-05-29 2022-12-13 Here Global B.V. Method and apparatus for device-side trajectory anonymization based on negative gapping
US11184762B1 (en) * 2020-06-26 2021-11-23 Moj.Io, Inc. Compute system with anonymization mechanism and method of operation thereof
US11751007B2 (en) * 2021-06-04 2023-09-05 Here Global B.V. Method, apparatus, and computer program product for anonymizing trajectories and stay points

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4597867B2 (ja) * 2003-12-08 2010-12-15 石井 美恵子 プライバシー保護方法、プライバシー保護用識別子発信装置、プライバシー保護システムおよびプログラム
US9088450B2 (en) * 2012-10-31 2015-07-21 Elwha Llc Methods and systems for data services
US9710670B2 (en) * 2012-12-20 2017-07-18 Intel Corporation Publication and removal of attributes in a multi-user computing system

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
JPN6011068100; 株式会社エヌ・ティ・ティ・ドコモ: 平成21年度情報大航海プロジェクト(モデルサービスの開発と実証)事業報告書 , 20101201, pp. 43-68 *
JPN6011068103; 高橋翼,他: '移動軌跡ストリームに対するリアルタイムk匿名化手法の提案' deim 2011 Proceedings , 20110727, C5-1 *
JPN7011004705; R. Yarovoy, F. Bonchi, L. V. S. Lakshmanan and W. H. Wang: 'Anonymizing Moving Objects: How to Hide a MOB in a Crowd?' Proceedings of the 12th International Conference on Extending Database Technology (EDBT '09) , 2009, pp. 72-83, ACM *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11423416B2 (en) * 2020-06-19 2022-08-23 Apple Inc. Impact based fraud detection
WO2023286968A1 (ko) * 2021-07-12 2023-01-19 주식회사 메쉬코리아 위치 정보의 비식별화 방법 및 장치
KR20230010485A (ko) * 2021-07-12 2023-01-19 주식회사 메쉬코리아 위치 정보의 비식별화 방법 및 장치
KR102507480B1 (ko) * 2021-07-12 2023-03-09 주식회사 메쉬코리아 위치 정보의 비식별화 방법 및 장치

Also Published As

Publication number Publication date
JPWO2012090628A1 (ja) 2014-06-05
US20130269038A1 (en) 2013-10-10
WO2012090628A1 (ja) 2012-07-05
CA2821438A1 (en) 2012-07-05
US9087203B2 (en) 2015-07-21

Similar Documents

Publication Publication Date Title
JP5846548B2 (ja) 情報保護装置及び情報保護方法
AU2017399007B2 (en) Mobility gene for trajectory data
Memon et al. Search me if you can: Multiple mix zones with location privacy protection for mapping services
Bonchi et al. Trajectory anonymity in publishing personal mobility data
Qiao et al. Predicting long-term trajectories of connected vehicles via the prefix-projection technique
US20220136857A1 (en) Safety-aware route recommendation system and method
Palanisamy et al. Anonymizing continuous queries with delay-tolerant mix-zones over road networks
JP6464849B2 (ja) 移動経路データ匿名化装置および方法
US10169468B2 (en) Secure monitoring technique for moving k-nearest queries in road network
Chow et al. Privacy of spatial trajectories
WO2018150228A1 (en) Mobility gene for visit data
US20210172759A1 (en) Map Matching and Trajectory Analysis
Ma et al. A voronoi-based location privacy-preserving method for continuous query in LBS
US9752888B2 (en) Method and apparatus of computing location of safe exit for moving range query in road network
Shin et al. A profile anonymization model for location-based services
Kapp et al. Generative models for synthetic urban mobility data: A systematic literature review
Miura et al. A hybrid method of user privacy protection for location based services
Miura et al. Evaluation of a hybrid method of user location anonymization
Hikita et al. Preliminary study about advantageous trajectory anonymization methods based on population
Kalui et al. Personalized privacy aware framework for moving objects in participatory sensing
Chen et al. Quantifying location privacy revisited: Preliminary report
Ruipeng New User Similarity Measures Based on Mobility Profiles
Rajesh et al. A survey on trajectory privacy in participatory sensing applications
Nair et al. Privacy Preserving in Participatory Sensing
Khetarpaul et al. Mining optimal meeting points for moving users in spatio-temporal space

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141009

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151102

R150 Certificate of patent or registration of utility model

Ref document number: 5846548

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151115