JP5944268B2 - User information management apparatus, program, and method for notifying provision record of user non-specific information - Google Patents
User information management apparatus, program, and method for notifying provision record of user non-specific information Download PDFInfo
- Publication number
- JP5944268B2 JP5944268B2 JP2012185773A JP2012185773A JP5944268B2 JP 5944268 B2 JP5944268 B2 JP 5944268B2 JP 2012185773 A JP2012185773 A JP 2012185773A JP 2012185773 A JP2012185773 A JP 2012185773A JP 5944268 B2 JP5944268 B2 JP 5944268B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- user information
- specific information
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、個人情報を含むユーザ情報を加工し、提供する情報管理技術に関する。 The present invention relates to an information management technique for processing and providing user information including personal information.
現在、多くの分野におけるサービス事業者(サービス提供者)は、ユーザ(サービス利用者)に関するユーザ情報(個人情報、企業情報等)を取得し、管理する。例えば、サービス事業者であるインターネットプロバイダや携帯電話サービス事業者は、サービス利用の申込みを受けた際、本人確認を行った上で、取得したユーザ情報をデータベースに登録する。このようなユーザ情報は、サービス事業者とユーザとの連絡のため、さらには新規サービス開始時の本人確認のため、等に利用される。 Currently, service providers (service providers) in many fields acquire and manage user information (personal information, company information, etc.) related to users (service users). For example, when an Internet provider or mobile phone service provider, which is a service provider, receives an application for using a service, it performs identity verification and registers the acquired user information in a database. Such user information is used for communication between the service provider and the user, and for identity verification at the start of a new service.
多くの場合、サービス事業者によって提供されるサービスは、主幹となるサービスとその他の付帯的なサービスとに分類され、それぞれがさらに様々なサービスから構成される。従って、ユーザが受け得るサービス及びサービスの組合せの種類も多様であり、この種類に応じて、ユーザがサービス利用時に提供しなければならないユーザ情報の粒度(情報単位の大きさ)も様々に変化する。 In many cases, services provided by service providers are classified into main services and other ancillary services, each of which is further composed of various services. Accordingly, there are various types of services and combinations of services that the user can receive, and the granularity of user information (the size of the information unit) that the user must provide when using the service varies depending on this type. .
このような状況下で、ユーザは、サービス利用と引き替えに自身のユーザ情報が流出したり不正利用されたりするのではないかとの不安を抱え、できる限り少ない情報登録で済まそうとする。一方、サービス事業者は、粒度の高い情報登録が必要となるサービスを含め、より多くのサービスの利用を促進させようとする。 Under such circumstances, the user has anxiety that his / her user information may be leaked or illegally used in exchange for using the service, and tries to register as little information as possible. On the other hand, service providers try to promote the use of more services, including services that require highly granular information registration.
このように相反する意向が拮抗する状態の中で、幾つかのサービス事業者は、事業の透明性を提示する目的で、データベースに登録されたユーザ情報における統計値を公開している。例えば、非特許文献1では、携帯電話サービス事業者が第三者機関のホームページ上で主幹サービスの契約者数や付帯サービスの契約者数を公開している。
In such a state where conflicting intentions antagonize, some service providers publish statistical values in user information registered in the database for the purpose of presenting business transparency. For example, in Non-Patent
また、非特許文献2では、米国連邦政府が公共サービスを提供する際に収集した住民情報や地理情報を、統計値の形に編集して公開している。さらに、非特許文献3、4及び5では、非特許文献2のような形式で公開された情報を、組み合わせたり加工したりした上で配布・販売している。
In Non-Patent
さらに、米国の携帯電話事業者は、ユーザの許諾の下に、個人情報(ユーザ情報)を第三者サービス事業者に提供している。例えば、非特許文献6及び7では、第三者サービス事業者は、ユーザ(個人情報所有者)の認可を受けることによって、ユーザの個人情報(ユーザ情報)の一部にアクセスすることができる。具体的には、ユーザの現在位置や年齢等の属性情報を取得可能となる。
Further, mobile phone operators in the United States provide personal information (user information) to third party service operators with the permission of the user. For example, in Non-Patent
しかしながら、上述したような従来技術を用いても、ユーザが自身のユーザ情報の利用実態を追跡・把握することはできない。従って、ユーザがユーザ情報を提供することに不安を感じる状況は解消されない。その結果、提供サービスの種類によっては、ユーザがサービス利用を手控えがちになり、サービス事業者は十分な数のユーザを獲得し難い、という問題が生じる。 However, even if the conventional technology as described above is used, the user cannot track and grasp the actual usage status of his / her user information. Therefore, the situation where the user feels uneasy about providing user information is not solved. As a result, depending on the type of service provided, the user tends to refrain from using the service, and there is a problem that it is difficult for the service provider to acquire a sufficient number of users.
例えば、非特許文献1〜5に開示されたサービスでは、個人情報(ユーザ情報)を統計情報に変換した上で、この匿名化された情報を提供している。しかしながら、このような変換処理に依ったとしても、ユーザの知覚・認識し得ない形式で情報が流出してしまう問題が生じる。
For example, the services disclosed in
また、非特許文献6及び7では、第三者サービス事業者は、ユーザの個人情報(ユーザ情報)の一部にアクセスする際、ユーザ(個人情報所有者)の認可を受けねばならない。しかしながら、一度認可が行われば、それ以降の利用状態・実績について、ユーザは情報を得たり追跡したりすることができない問題が依然として残る。その結果、ユーザは、情報利用の認可を手控えがちになり、サービス事業者は、十分なサービスを提供することが困難となる問題が生じる。
In
そこで、本発明は、ユーザが自身のユーザ情報の利用実態を把握することができるユーザ情報管理装置、プログラム及び方法を提供することを目的とする。 Therefore, an object of the present invention is to provide a user information management apparatus, program, and method that allow a user to grasp the actual usage of user information.
本発明によれば、ユーザ情報を記憶するユーザ情報データベースを使用可能であり、ユーザを個別に特定可能なユーザ情報を管理するユーザ情報管理装置であって、
ユーザ情報から、ユーザの特定が不可能又は困難である非特定情報を生成する非特定情報生成手段と、
非特定情報を第三者に提供する非特定情報提供手段と、
記憶されたユーザ情報の属性毎に、対応するユーザの識別情報を記憶する識別情報データベースと、提供された非特定情報毎に、非特定情報を生成するのに使用された属性を記憶する提供履歴データベースとを用いて、第三者に提供された非特定情報に対応するユーザを割り出し、割り出されたユーザに向けて、非特定情報の提供記録を生成し、通知する提供記録生成・通知手段と
を有するユーザ情報管理装置が提供される。
According to the present invention, a user information database that can use a user information database that stores user information and manages user information that can individually identify users ,
Non-specific information generating means for generating non-specific information from which user identification is impossible or difficult,
A non-specific information providing means for providing non-specific information to a third party;
For each attribute of stored user information, an identification information database that stores identification information of the corresponding user, and a provision history that stores attributes used to generate non-specific information for each provided non-specific information Provided record generation / notification means for determining a user corresponding to non-specific information provided to a third party using a database , generating a non-specific information providing record for the determined user, and notifying it A user information management device is provided.
この本発明によるユーザ情報管理装置の一実施形態として、
本ユーザ情報管理装置が、ユーザ情報の属性毎に、第三者への開示を許可する条件である開示基準が設定された開示ポリシを生成して記憶する開示ポリシデータベースを更に使用可能であり、
非特定情報生成手段は、ユーザ情報から生成される情報のうち、開示ポリシに設定された開示基準を満たす属性に係る情報を使用して非特定情報を生成することも好ましい。
As one embodiment of the user information management device according to the present invention,
This user information management device for each attribute of the user information, Ri further available Der disclosure policy database that stores and generates a disclosure policy disclosure standards is a condition for permitting disclosure to third parties is set ,
The non-specific information generating means preferably generates non-specific information using information related to an attribute satisfying a disclosure standard set in a disclosure policy among information generated from user information.
さらに、上記実施形態において、非特定情報生成手段は、非特定化の度合いを示す非特定化パラメータを指定して実施される非特定化方法を用いて、ユーザ情報から非特定情報を生成し、
開示ポリシデータベースは、開示基準を、非特定化パラメータの限界値として設定することも好ましい。
Further, in the above embodiment, the non-specific information generating means generates non-specific information from the user information using a non-specific method implemented by specifying a non-specific parameter indicating the degree of non-specification,
It is also preferable that the disclosure policy database sets the disclosure criterion as a limit value of the non-specific parameter.
また、本発明によるユーザ情報管理装置の他の実施形態として、
本ユーザ情報管理装置が、第三者に対して非特定情報の利用を許可する利用許可手段を更に有しており、
非特定情報提供手段は、利用許可手段によって利用を許可された第三者にのみ、非特定情報を提供することも好ましい。
As another embodiment of the user information management device according to the present invention,
The user information management apparatus further includes a use permission means for permitting a third party to use non-specific information,
The non-specific information providing means preferably provides the non-specific information only to a third party whose use is permitted by the use permission means.
さらに、本発明によるユーザ情報管理装置の他の実施形態として、提供記録を通知されたユーザ毎に、ユーザに係る提供記録に対応した報酬値を設定する報酬設定手段を更に有することも好ましい。 Furthermore, as another embodiment of the user information management device according to the present invention, it is preferable to further include a reward setting means for setting a reward value corresponding to the provided record for the user for each user who is notified of the provided record.
また、上記の開示ポリシに係る実施形態において、開示ポリシデータベースは、提供対象である第三者の属性に基づいて決定される開示基準を設定することも好ましい。 In the embodiment related to the above disclosure policy, it is also preferable that the disclosure policy database sets a disclosure standard that is determined based on the attribute of the third party to be provided.
さらに、本発明によるユーザ情報管理装置の他の実施形態として、
非特定情報生成手段は、ユーザ情報から、ユーザが単独で特定される属性のデータを削除した匿名化情報を生成し、第三者の要求に基づいて、匿名化情報から非特定情報を生成することも好ましい。
Furthermore, as another embodiment of the user information management device according to the present invention,
The non-specific information generating unit generates anonymized information obtained by deleting the data of the attribute specified by the user alone from the user information, and generates non-specific information from the anonymized information based on a request from a third party. It is also preferable.
本発明によれば、また、ユーザ情報を記憶するユーザ情報データベースを使用可能であり、ユーザを個別に特定可能なユーザ情報を管理するユーザ情報管理装置であって、
ユーザ情報から、ユーザの特定が不可能又は困難である非特定情報を生成する非特定情報生成手段と、
非特定情報を第三者に提供する非特定情報提供手段と、
記憶されたユーザ情報の属性毎に、対応するユーザの識別情報を記憶する識別情報データベースを用いて、第三者に提供された非特定情報に対応するユーザを割り出し、割り出されたユーザに向けて、非特定情報の提供記録を生成し、通知する提供記録生成・通知手段と
を有し、
ユーザ情報の属性毎に、第三者への開示を許可する条件である開示基準であって、提供対象である第三者の属性に基づいて決定される開示基準が設定された開示ポリシを生成して記憶する開示ポリシデータベースを更に使用可能であり、
非特定情報生成手段は、ユーザ情報から生成される情報のうち、開示ポリシに設定された開示基準を満たす属性に係る情報を使用して非特定情報を生成する
ことを特徴とするユーザ情報管理装置が提供される。
本発明によれば、さらに、ユーザ情報を記憶するユーザ情報データベースを使用可能であり、ユーザを個別に特定可能なユーザ情報を管理するユーザ情報管理装置に搭載されたユーザ情報管理プログラムであって、
ユーザ情報から、ユーザの特定が不可能又は困難である非特定情報を生成する非特定情報生成手段と、
非特定情報を第三者に提供する非特定情報提供手段と、
記憶されたユーザ情報の属性毎に、対応するユーザの識別情報を記憶する識別情報データベースと、提供された非特定情報毎に、非特定情報を生成するのに使用された属性を記憶する提供履歴データベースとを用いて、第三者に提供された非特定情報に対応するユーザを割り出し、割り出されたユーザに向けて、非特定情報の提供記録を生成し、通知する提供記録生成・通知手段と
してコンピュータを機能させるユーザ情報管理プログラムが提供される。
According to the present invention, it is also possible to use a user information database that stores user information, and a user information management device that manages user information that can individually identify users,
Non-specific information generating means for generating non-specific information from which user identification is impossible or difficult,
A non-specific information providing means for providing non-specific information to a third party;
For each attribute of the stored user information, an identification information database that stores the identification information of the corresponding user is used to determine the user corresponding to the non-specific information provided to the third party, and to the determined user Providing record generation / notification means for generating and notifying provision record of non-specific information;
Have
For each attribute of user information, a disclosure policy that is a disclosure standard that is a condition for permitting disclosure to a third party and that is determined based on the attribute of the third party to be provided is generated. A disclosure policy database that is stored as
The non-specific information generation unit generates non-specific information using information related to attributes satisfying the disclosure criteria set in the disclosure policy among the information generated from the user information.
A user information management device is provided.
According to the present invention, it is further possible to use a user information database that stores user information, and a user information management program installed in a user information management device that manages user information that can individually identify users ,
Non-specific information generating means for generating non-specific information from which user identification is impossible or difficult,
A non-specific information providing means for providing non-specific information to a third party;
For each attribute of stored user information, an identification information database that stores identification information of the corresponding user, and a provision history that stores attributes used to generate non-specific information for each provided non-specific information Provided record generation / notification means for determining a user corresponding to non-specific information provided to a third party using a database , generating a non-specific information providing record for the determined user, and notifying it A user information management program for causing a computer to function is provided.
本発明によれば、さらにまた、ユーザ情報を記憶するユーザ情報データベースを使用可能であり、ユーザを個別に特定可能なユーザ情報を管理するユーザ情報管理装置におけるユーザ情報管理方法であって、
ユーザ情報から、ユーザの特定が不可能又は困難である非特定情報を生成するステップと、
非特定情報を第三者に提供するステップと、
記憶されたユーザ情報の属性毎に、対応するユーザの識別情報を記憶する識別情報データベースと、提供された非特定情報毎に、非特定情報を生成するのに使用された属性を記憶する提供履歴データベースとを用いて、第三者に提供された非特定情報に対応するユーザを割り出し、割り出されたユーザに向けて、非特定情報の提供記録を生成し、通知する第3のステップとを有するユーザ情報管理方法が提供される。
According to the present invention, there is further provided a user information management method in a user information management apparatus that can use a user information database that stores user information and manages user information that can individually identify users ,
From the user information, and Luz step to generate a non-specific information specific it is impossible or difficult for the user,
And Luz step to provide a non-specific information to a third party,
For each attribute of stored user information, an identification information database that stores identification information of the corresponding user, and a provision history that stores attributes used to generate non-specific information for each provided non-specific information A third step of determining a user corresponding to the non-specific information provided to a third party using the database, and generating and notifying a provision record of the non-specific information for the determined user; A user information management method is provided.
本発明のユーザ情報管理装置、プログラム及び方法によれば、ユーザ情報から生成された非特定情報の提供記録を、該当するユーザに通知することによって、ユーザが自身のユーザ情報の利用実態を把握することができる。 According to the user information management device, program, and method of the present invention, the user grasps the actual usage status of the user information by notifying the corresponding user of the provision record of the non-specific information generated from the user information. be able to.
以下では、本発明の実施形態について、図面を用いて詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図1は、本発明によるユーザ情報管理装置が設置されるネットワークの構成図、及び当該ユーザ情報管理装置の機能構成図である。 FIG. 1 is a configuration diagram of a network in which a user information management device according to the present invention is installed, and a functional configuration diagram of the user information management device.
[ユーザ情報管理システム]
図1によれば、ユーザ情報管理装置1は、通信事業者網4内に設置されており、「ユーザ情報」を管理するサービス事業者(サービス提供者)の装置である。「ユーザ情報」は、個人情報及び企業情報等であり、ユーザ(サービス利用者)を個別に特定可能な情報である。個人情報については、その有用性に配慮しながら個人の権利利益を保護すべく、特定の法律でその取り扱いが規制されている。
[User Information Management System]
According to FIG. 1, the user
ユーザ情報管理装置1は、通信事業者網4に接続された端末2のユーザに係る「ユーザ情報」を、通信によって又はその他の手段によって取得し、登録・記憶する。例えば、ユーザのサービス開始時に、住所、氏名、電話番号、口座番号等の該当するユーザに係る個人情報を収集して、登録・記憶する。この際、ユーザ情報管理装置1を運営するサービス事業者は、ユーザとの間で、ユーザ情報の利用範囲に関して、利用規約等の形の取り決めを行う。この上で、サービス事業者は、例えば、月次課金の処理を実施する際、ユーザの口座番号、住所等を参照する。
The user
また、ユーザ情報管理装置1は、サービスの透明性を示すために、「ユーザ情報」から、ユーザの特定が不可能又は困難である「非特定情報」としての統計情報を生成し、例えば、インターネット5を介して、第三者機関(サービス事業者装置3)に提供する。
Further, the user
さらに、ユーザ情報管理装置1は、第三者サービス事業者(サービス事業者装置3)の要求に基づいて、「ユーザ情報」から「非特定情報」を生成し、この「非特定情報」を、この第三者サービス事業者に、例えばインターネット5を介して提供する(参照させる)。一方、第三者サービス事業者は、個人に強く紐付いた個人情報等の「ユーザ情報」を必要とする場合、ユーザ情報管理装置1のサービス事業者から事前に認可を受け、この認可の下、ユーザ情報管理装置1から情報の提供を受ける。
Furthermore, the user
尚、ユーザは、予め開示ポリシという形で、第三者サービス事業者に提供する非特定情報の粒度を設定することができる。また、非特定情報の利用目的の許容範囲、許可する第三者サービス事業者の種類、情報利用回数の上限等を、予め設定しておくことも可能である。 In addition, the user can set the granularity of the non-specific information provided to the third party service provider in advance in the form of a disclosure policy. It is also possible to set in advance the allowable range of the purpose of using the non-specific information, the type of third party service provider to be permitted, the upper limit of the number of times of information use, and the like.
さらにまた、ユーザ情報管理装置1は、「非特定情報」の提供記録を、対応するユーザに帰還通知する。ここで、提供記録は、所定期間に提供した事実・内容を記録した提供履歴であってもよい。ユーザ情報管理装置1は、第三者サービス事業者(サービス事業者装置3)に情報を提供するたびに逐次、提供記録を端末2のユーザに通知してもよく、または定期的に、提供履歴を端末2のユーザに通知してもよい。
Furthermore, the user
ここで、端末2は、スマートフォン、タブレット型コンピュータ、又はパーソナルコンピュータ等の情報機器とすることができる。また、通信事業者網4は、サービス事業者が使用・管理するアクセスネットワークの一例であり、本発明は、通信事業者網4の使用に限定されるものではない。
Here, the
以上に述べたサービスを実現するために、ユーザ情報管理装置1は、
(a)「ユーザ情報」と、「ユーザ情報」の属性(項目)毎に対応するユーザの「識別情報」とを記憶し、
(b)「ユーザ情報」から「非特定情報」を生成し、
(c)「非特定情報」を第三者に提供し、
(d)「識別情報」を用いて、この第三者に提供された「非特定情報」に対応するユーザを割り出し、割り出されたユーザに向けて、「非特定情報」の提供記録を通知する。
In order to realize the service described above, the user
(A) storing “user information” and “identification information” of the user corresponding to each attribute (item) of “user information”;
(B) Generate “non-specific information” from “user information”,
(C) providing “non-specific information” to a third party;
(D) Using the “identification information”, the user corresponding to the “non-specific information” provided to the third party is determined, and the provision record of the “non-specific information” is notified to the determined user. To do.
ユーザ情報管理装置1は、このように「ユーザ情報」から生成された「非特定情報」の提供記録を、該当するユーザに通知することによって、ユーザが自身の「ユーザ情報」の利用実態を把握することを可能にする。
The user
[ユーザ情報管理装置1の機能構成]
同じく図1によれば、ユーザ情報管理装置1は、ユーザ側通信インタフェース100と、外部ネットワーク側通信インタフェース101と、ユーザ情報データベース110と、識別情報データベース111と、匿名化情報データベース112と、開示ポリシデータベース113と、提供履歴データベース114と、事業者データベース115と、プロセッサ・メモリとしての機能構成部とを備えている。ここで、機能構成部(プロセッサ・メモリ)は、ユーザ情報管理装置1に搭載されたコンピュータを機能させるプログラムを実行することによって、その機能を実現する。
[Functional configuration of user information management apparatus 1]
Similarly, according to FIG. 1, the user
この機能構成部(プロセッサ・メモリ)は、非特定情報生成部120と、非特定情報提供部121と、利用許可部122と、提供記録生成・通知部123と、報酬設定部124とを有している。
This functional configuration unit (processor / memory) includes a non-specific
ユーザ側通信インタフェース100は、端末2(ユーザ)から、通信事業者網4を介してユーザ情報を受信し、さらに、端末2(ユーザ)宛てに、第三者サービス事業者への非特定情報の提供記録を送信する際のインタフェースである。また、外部ネットワーク側通信インタフェース101は、サービス事業者装置3から、インターネット5を介して非特定情報の提供要求を受信し、さらに、サービス事業者装置3宛てに非特定情報を送信する際のインタフェースである。
The user-
ユーザ情報データベース110は、端末2(ユーザ)から受信したユーザ情報に基づいてユーザ情報テーブルを生成し、記憶する。尚、ユーザ情報テーブルは、通信で得られたユーザ情報ではなく、ユーザ情報管理装置1に直接入力されたユーザ情報を用いて生成されてもよい。このユーザ情報テーブルは、後に図2(A)を用いて説明されるように、個人(又は企業等)に係るデータの属性(項目)として、氏名(名称)、性別、電話番号、住所(居所)、年齢、現在位置等を有する。ユーザ情報テーブルの行及び列にはそれぞれ、行番号及び列番号が付与されており、各属性の各データに、例えば「12」といった行番号及び列番号の組からなる項目識別子が割り当てられる。
The
識別情報データベース111は、ユーザ情報データベース110における、各属性の各データに対応するユーザを記録したユーザ識別情報テーブルを記憶する。具体的に、ユーザ識別情報テーブルには、後に図2(B)を用いて説明されるように、各属性(項目)の各データを識別する項目識別子毎に、ユーザ毎に割り当てられたユーザ識別子が対応付けられ記録されている。これにより、ユーザ情報データベース110の各属性(項目)の各データに、当該データの該当者(ユーザ)が紐付けられる。
The
匿名化情報データベース112は、ユーザ情報テーブルから、ユーザが単独で特定される属性のデータを削除した、匿名化された情報である匿名化情報テーブルを記憶する。後に図3(A)を用いて説明されるように、匿名化情報データベース112は、ユーザ情報テーブルから、ユーザが単独で特定される属性、例えば氏名、電話番号等、のデータを削除したものである。ここで、例えば住所(居所)も削除対象となり得るが、削除する代わりに、例えば、住所を都道府県名、及び市名若しくは郡名までのデータとし、匿名化の程度を所定以上に保った状態で記録することも好ましい。
The
後に、このように作成された匿名化情報テーブルから、第三者サービス事業者の要求に基づいて、非特定情報が生成可能となる。尚、この匿名化情報テーブルを生成することなく、ユーザ情報テーブルから直接非特定情報を生成することも可能である。しかしながら、非特定情報を生成する際、匿名化情報テーブルを取り扱う方が、ユーザ情報保護の観点から好ましい場合もある。 Later, non-specific information can be generated from the anonymized information table created in this way based on the request of the third party service provider. In addition, it is also possible to produce | generate nonspecific information directly from a user information table, without producing | generating this anonymization information table. However, when generating non-specific information, it may be preferable to handle the anonymized information table from the viewpoint of protecting user information.
開示ポリシデータベース113は、ユーザ情報テーブルの各属性に対し、第三者サービス事業者への開示を許可する条件である開示基準がユーザ(識別子)毎に設定された開示ポリシを生成して記憶する。開示ポリシは、後に図3(B)を用いて説明されるように、ユーザ情報テーブルの属性のうち、例えば、
(a)氏名、電話番号については、開示しない、即ち開示不許可とし、
(b)性別については、後に説明する非特定化(匿名化)パラメータをkとして、k=1000以上のk匿名化処理をする、
といった指示内容をまとめたものである。即ち、開示ポリシにおける開示基準は、非特定化パラメータの限界値、例えば下限値、として設定可能である。
The
(A) Names and telephone numbers are not disclosed, that is, disclosure is not permitted.
(B) For gender, a non-specification (anonymization) parameter to be described later is set to k, and k = 1000 or more k anonymization processing is performed.
The instruction contents are summarized. That is, the disclosure standard in the disclosure policy can be set as a limit value of the non-specific parameter, for example, a lower limit value.
尚、開示ポリシデータベース113は、提供対象である第三者サービス事業者の属性に基づいて決定される開示基準を設定することも可能である。例えば、第三者サービス事業者が特定の認証機関の認証を受けているか否かによって、開示ポリシにおける開示基準を選択することも好ましい。また、「政府機関ならば開示(参照)を許可する」、「特定業種の大企業ならば開示(参照)を許可する」等の開示基準(ポリシ)を設定することも可能である。さらに、第三者サービス事業者の情報開示状況に合わせて、開示ポリシを設定することも好ましい。さらにまた、非特定情報の提供(参照)回数に上限を設けた開示基準を設定することも可能である。
The
さらに、第三者サービス事業者が、ユーザ自身と対等な関係にあるソーシャルネットワークサービス事業者であれば、ユーザ自身と同等の粒度で互いに情報を開示する設定にすることも可能である。さらにまた、ユーザの開示ポリシに加えて、ユーザ情報管理装置1を運営するサービス事業者も開示ポリシを有することも好ましい。この場合、このサービス事業者は、自らの開示ポリシに反する情報提供要求を拒否する。例えば、このサービス事業者が年齢に関する開示を一切拒否する開示ポリシを設定している場合、年齢に関する情報の提供(参照)依頼を受け付けない、とすることができる。
Furthermore, if the third-party service provider is a social network service provider having an equal relationship with the user himself, it is possible to make a setting for disclosing information from each other with the same granularity as the user himself / herself. Furthermore, in addition to the user disclosure policy, it is preferable that the service provider operating the user
提供履歴データベース114は、サービス事業者装置3に提供された非特定情報についての情報を記録した提供履歴テーブルを記憶する。提供履歴テーブルは、後に図3(C)を用いて説明されるように、提供日時、被提供者(提供先第三者名)、提供情報の種類、提供粒度等の項目を有している。この後、端末2(ユーザ)に帰還通知される提供履歴は、この提供履歴テーブルから、該当するユーザ分を取り出すことによって生成される。
The
事業者データベース115は、ユーザ情報管理装置1を運営するサービス事業者によって非特定情報取得を予め認可された第三者サービス事業者を、登録・記憶したデータベースである。ここで、ユーザ情報管理装置1のサービス事業者が第三者サービス事業者を認可するための認可条件として、例えば、第三者サービス事業者が政府機関であること又は特定業種の大企業であること等、を設定することも可能である。事業者データベース115には、このような認可条件を満たす第三者サービス事業者のみが登録されることが好ましい。
The
非特定情報生成部120は、ユーザ情報データベース110に記録されたユーザ情報テーブルのデータに対して非特定化処理を実施し、ユーザの特定が不可能又は困難である非特定情報を生成する。この際、非特定情報生成部120は、後に図3(B)に示す開示ポリシを用いて説明するように、ユーザ情報テーブルから生成される情報のうち、開示ポリシデータベース113に記録された開示ポリシに設定された開示基準を満たす属性に係る情報を使用して非特定情報を生成する。
The non-specific
具体的に、非特定情報生成部120は、非特定化の度合いを示す非特定化(匿名化)パラメータを指定して実施される非特定化方法、例えばパラメータkを使用するk匿名化法、を用いて、ユーザ情報テーブルから非特定情報を生成する。
Specifically, the non-specific
さらに、非特定情報生成部120は、匿名化情報生成部を有していて、ユーザ情報テーブルから、ユーザが単独で特定される属性のデータを削除した匿名化情報テーブルを生成し、同テーブルを予め匿名化情報データベース112に記録しておくことも好ましい。この場合、非特定情報生成部120は、第三者サービス事業者の要求に基づいて、記録された匿名化情報テーブルから非特定情報を生成する。
Further, the non-specific
非特定情報提供部121は、非特定情報生成部120で生成された非特定情報を、第三者サービス業者に提供する。また、利用許可部122は、非特定情報の利用許可要求を行った第三者サービス事業者(サービス事業者装置3)に対し、非特定情報の利用を許可する。この際、利用許可部122は、非特定情報の利用を許可するに当たって、この第三者サービス事業者が事業者データベース115に予め登録されたものであるか否かを確認し、予め登録されているサービス事業者にのみ、利用を許可することも好ましい。
The non-specific
この場合、非特定情報提供部121は、利用許可部122によって利用を許可された第三者サービス事業者(サービス事業者装置3)にのみ、非特定情報を提供する(参照させる)。
In this case, the non-specific
提供記録生成・通知部123は、非特定情報提供部121がサービス事業者装置3に提供した非特定情報を入力する。次いで、この非特定情報を用いて提供毎の記録となる提供履歴テーブルを生成・更新し、この提供履歴テーブルを提供履歴データベース114に記録する。
The provided record generation /
提供記録生成・通知部123は、さらに、識別情報データベース111に記録されたユーザ識別情報テーブルを用いて、サービス事業者装置3に提供された非特定情報に対応するユーザを割り出す。次いで、割り出されたユーザに向けて(ユーザ宛てに)、生成・更新された非特定情報の提供記録を通知する。ここで、提供記録生成・通知部123は、第三者サービス事業者(サービス事業者装置3)に情報を提供するたびに逐次、提供記録を端末2のユーザに通知してもよく、または定期的に、例えば毎月の頻度で、提供記録(提供履歴)を端末2のユーザに通知してもよい。
The provided record generation /
報酬設定部124は、提供記録の通知先であるユーザ毎に、当該ユーザに係る提供記録に対応した報酬値を設定する。この報酬は、有用な非特定情報(統計情報)を生成するのに必要なユーザ情報(個人情報)を提供してもらったことに対するユーザへの対価に相当する。報酬値は、例えば、(a)第三者サービス事業者への非特定情報の提供回数、(b)提供した非特定情報の項目数及び粒度等、に比例して増額するように設定されてもよい。報酬としては、カード上のポイント、現金、提供サービス料の割引等、種々の形態が可能である。例えば、非特定情報の提供1回当たり1円、といった報酬を配当することが可能である。このように、非特定情報提供の対価として報酬を設定することによって、ユーザのサービス利用を促進することが可能となる。
The
さらに、報酬設定部124は、あるユーザについて、所定の期間内での総報酬値が所定の範囲内の額となるように、開示ポリシデータベース113に、開示ポリシにおける開示基準としての非特定化パラメータ(k)の値を調整させることも可能である。この場合、ユーザは、ユーザ情報保護の観点から、非特定化パラメータの調整範囲を予め指定しておくことも好ましい。
Furthermore, the
以下、以上に述べたユーザ情報管理装置1におけるユーザ情報処理について、情報テーブル等を用いて詳細に説明する。
Hereinafter, user information processing in the user
図2は、本発明に係るユーザ情報テーブル及びユーザ識別情報テーブルについての一実施形態を示す概略図である。また、図3は、本発明に係る匿名化情報テーブル及び開示ポリシについての一実施形態を示す概略図である。さらに、図4は、本発明に係る、第三者サービス事業者からの提供要求、提供履歴テーブル、及び提供記録についての一実施形態を示す概略図である。 FIG. 2 is a schematic diagram showing an embodiment of a user information table and a user identification information table according to the present invention. FIG. 3 is a schematic diagram showing an embodiment of the anonymization information table and the disclosure policy according to the present invention. Furthermore, FIG. 4 is a schematic diagram showing an embodiment of a provision request from a third party service provider, a provision history table, and a provision record according to the present invention.
[ユーザ情報テーブル]
図2(A)によれば、ユーザ情報テーブルでは、個人(又は企業等)に係るデータの属性として、氏名(名称)、性別、電話番号、住所(居所)、年齢、現在位置等が各列をなす。また、ユーザ毎のデータが各行を占めている。ここで、第8列の属性「現在位置」は、ユーザの端末2が現在通信を確立している基地局の位置情報(例えば緯度経度情報)から決定される。従って、「現在位置」は、ユーザが移動して、端末2と通信する基地局が変更される度に更新される。
[User Information Table]
According to FIG. 2 (A), in the user information table, the name (name), gender, telephone number, address (residence), age, current position, etc. are columns as data attributes relating to individuals (or companies, etc.). Make. Data for each user occupies each line. Here, the attribute “current position” in the eighth column is determined from position information (for example, latitude / longitude information) of the base station with which the user's
尚、ユーザ情報テーブルの他の属性として、例えば、端末2が向いている「現在方位」が挙げられる。この「現在方位」は、端末2に内蔵された方位センサ(例えば3軸タイプの加速度センサ+3軸タイプの地磁気センサ)によって測定される端末2の方位情報が、通信事業者網4を介してユーザ情報管理装置1に送信されることによって、ユーザ情報テーブルに記録される。
In addition, as another attribute of the user information table, for example, “current direction” facing the
ユーザ情報テーブルのこれらの行及び列にはそれぞれ、行番号及び列番号が付与されており、各属性(項目)の各データに、行番号及び列番号の組からなる項目識別子が割り当てられる。例えば、第1行第2列の「(性別)女」というデータには、例えば「12」といった行番号及び列番号の組からなる項目識別子が付与される。さらに、各行はユーザ毎のデータの列挙であるので、この各行にユーザ識別子、例えばid0002、が付与される。 A row number and a column number are assigned to each of these rows and columns of the user information table, and an item identifier consisting of a set of a row number and a column number is assigned to each data of each attribute (item). For example, an item identifier composed of a combination of a row number and a column number such as “12” is assigned to the data “(sex) woman” in the first row and the second column. Furthermore, since each row is an enumeration of data for each user, a user identifier, for example, id0002 is given to each row.
[ユーザ識別情報テーブル]
図2(B)によれば、ユーザ識別情報テーブルでは、ユーザ情報テーブル(図2(A))の各項目識別子毎に、対応するユーザのユーザ識別子が記録される。このユーザ識別情報テーブルを使用することによって、ユーザ情報テーブルの各属性における各データが、どのユーザに属するものなのかが、確実に判別される。
[User Identification Information Table]
According to FIG. 2B, in the user identification information table, the user identifier of the corresponding user is recorded for each item identifier in the user information table (FIG. 2A). By using this user identification information table, it is reliably determined to which user each data in each attribute of the user information table belongs.
[匿名化情報テーブル]
図3(A)によれば、匿名化情報テーブルは、ユーザ情報テーブル(図2(A))から、ユーザが単独で特定される属性、例えば氏名、電話番号といった属性のデータを削除したものである。ここで、例えば住所(居所)も削除対象となり得るが、削除する代わりに、例えば、住所を都道府県名、及び市名若しくは郡名までのデータとし、匿名化の程度を所定以上に保った状態で記録することも好ましい。同じく年齢に関しても、例えば40歳から49歳までの年齢データを、40代として、匿名化の程度を所定以上に保った状態で記録することも好ましい。後に、このように作成された匿名化情報テーブルから、第三者サービス事業者の要求に基づいて、非特定情報が生成可能となる。
[Anonymization information table]
According to FIG. 3 (A), the anonymization information table is obtained by deleting attribute data such as a name and a telephone number from the user information table (FIG. 2 (A)). is there. Here, for example, an address (residence) can also be deleted, but instead of being deleted, for example, the address is data up to a prefecture name and a city name or county name, and the degree of anonymization is kept above a predetermined level It is also preferable to record with. Similarly, regarding age, it is also preferable to record age data from 40 years old to 49 years old, for example, in the 40s with the degree of anonymization maintained at a predetermined level or higher. Later, non-specific information can be generated from the anonymized information table created in this way based on the request of the third party service provider.
ここで、匿名化を含む、情報の非特定化の方法について説明する。個人情報を含むユーザ情報は、例えばすべてのユーザに関するデータを集計し、平均化等の加工処理を実施することによって、統計情報に変換することができる。ユーザ情報は、さらに、このように単純な合計(平均)等による統計処理だけでなく、例えば、
(a)k匿名化法、(b)l多様化法、(c)摂動法
といった非特定化法によって処理し、非特定化することが可能となる。
Here, a method of non-specification of information including anonymization will be described. User information including personal information can be converted into statistical information by, for example, totaling data regarding all users and performing processing such as averaging. The user information is not only statistical processing such as a simple sum (average), but also, for example,
It is possible to process and de-specify by a non-specific method such as (a) k anonymization method, (b) l diversification method, or (c) perturbation method.
このうち、k匿名化法は、ユーザ情報の1つの属性について、同一データ値を有するユーザが少なくともk人存在することを保証するデータ処理方法である。即ち、例えば一個人を、他の少なくとも(k−1)人に紛れさせ、個人が特定される確率を1/k以下に押さえ込む方法である。k匿名法は、非特定化の度合いを示す非特定化(匿名化)パラメータkを指定して実施される。 Among these, the k anonymization method is a data processing method that guarantees that at least k users having the same data value exist for one attribute of user information. That is, for example, one individual is confused with at least another (k-1) person, and the probability that the individual is specified is suppressed to 1 / k or less. The k-anonymity method is implemented by specifying a non-specification (anonymization) parameter k indicating the degree of non-specification.
また、l多様化法は、ユーザ情報の1つの属性について、少なくともl(エル)種類の異なるデータ値が存在することを保証するデータ処理方法である。これにより、例えば、この属性について一種類しかデータ値が存在しない場合、k人にまで特定された個人について、少なくともこの属性に関してはその一種類のデータ値をとる、ということが知られてしまう事態を回避することができる。l多様化法は、非特定化の度合いを示す非特定化パラメータlを指定して実施される。 The l diversification method is a data processing method that guarantees that at least l different types of data values exist for one attribute of user information. As a result, for example, when there is only one type of data value for this attribute, it is known that for one person specified up to k people, that one type of data value is taken at least for this attribute. Can be avoided. The l diversification method is performed by specifying a non-specific parameter l indicating the degree of non-specification.
さらに、摂動法は、ユーザ情報の1つの属性について、データ値に意図的にランダムノイズ(乱数)を加算して、当該属性の各データ値の特定を阻むデータ処理方法である。例えば、年齢がX=33歳、との個人情報データに、ガウス分布の乱数rを加算し、
(1) Y=X+r=38
のように、歪みを有する値(Y=38)をデータベースに登録する。これにより、例え第三者が38歳との属性値を取得しても、真のデータ値に辿り着くことはできない。摂動法については、非特定化の度合いを示す非特定化パラメータとして、乱数rの従うガウス分布の分布パラメータ、例えば平均μ及び標準偏差σ、が採用可能である。
Further, the perturbation method is a data processing method for intentionally adding random noise (random number) to a data value for one attribute of user information to prevent specification of each data value of the attribute. For example, a random number r having a Gaussian distribution is added to the personal information data that the age is X = 33 years old,
(1) Y = X + r = 38
As shown, a value having distortion (Y = 38) is registered in the database. Thereby, even if a third party acquires the attribute value of 38 years old, the true data value cannot be reached. As for the perturbation method, as a non-specific parameter indicating the degree of non-specification, a Gaussian distribution parameter according to the random number r, for example, mean μ and standard deviation σ can be adopted.
尚、以下の実施形態では、非特定化法としてk匿名化法を採用し、非特定化パラメータをkとしている。しかしながら、当然に、非特定化法としてl多様化法を使用し、非特定化パラメータをlとしてもよい。さらには、非特定化法として摂動法を採用し、非特定化パラメータを平均μ及び標準偏差σとすることも可能である。 In the following embodiment, the k-anonymization method is adopted as the non-specification method, and the non-specification parameter is set to k. However, as a matter of course, the l diversification method may be used as the despecification method, and the despecification parameter may be l. Furthermore, a perturbation method can be adopted as the non-specification method, and the non-specification parameters can be set to mean μ and standard deviation σ.
[開示ポリシ]
図3(B)によれば、開示ポリシは、ユーザ情報テーブル(図2(A))の各属性に対し、第三者サービス事業者への開示を許可する条件である開示基準がユーザ(識別子)毎に設定されたものである。開示ポリシは、ユーザ情報テーブルの属性のうち、例えば、
(a)氏名、電話番号については、開示しない、即ち開示不許可とし、
(b)性別、住所、年齢については、指定した非特定化(匿名化)パラメータk以上のk匿名化処理を実施する場合、その匿名化された属性データに係る情報を開示してもよい、
といった指示内容をまとめている。
[Disclosure Policy]
According to FIG. 3 (B), the disclosure policy is that the disclosure criteria, which is a condition for permitting disclosure to a third party service provider, for each attribute of the user information table (FIG. 2 (A)) is a user (identifier). ) Is set every time. The disclosure policy is, for example, among the attributes of the user information table.
(A) Names and telephone numbers are not disclosed, that is, disclosure is not permitted.
(B) About sex, an address, and age, when implementing the k anonymization process more than the designated non-specification (anonymization) parameter k, you may disclose the information concerning the anonymized attribute data.
The instruction contents are summarized.
非特定情報生成部120(図1)は、この開示ポリシを参照して、開示ポリシに設定されたk値を下限としたk匿名化法を実施し、この開示基準(k値)を満たす項目に係る情報を使用して非特定情報を生成する。 The non-specific information generation unit 120 (FIG. 1) refers to the disclosure policy, performs the k anonymization method with the k value set in the disclosure policy as a lower limit, and satisfies the disclosure criteria (k value) The non-specific information is generated using the information related to.
尚、開示ポリシにおいて、複数の属性の組合せ、例えば「性別」及び「住所」、に対して、非特定化パラメータkを指定することも可能である。これは、後に説明する提供要求の内容が、例えば「東京都在住の男性契約者数」といったものである場合に対応したポリシとなる。 In the disclosure policy, it is also possible to specify the non-specifying parameter k for a combination of a plurality of attributes, for example, “sex” and “address”. This is a policy corresponding to a case where the content of the provision request described later is, for example, “the number of male contractors living in Tokyo”.
[提供要求]
図4(A)によれば、サービス事業者装置3は、インターネット5を介して、非特定情報の提供(参照)要求を行う。ここで、この提供要求の内容として、例えば、
(a)男性契約者数(男性ユーザ数)、
(b)東京都在住の契約者数(東京都に住所を有するユーザ数)、
(c)(端末2の)現在位置が東京都内である契約者数(ユーザ数)
等の統計情報を要求するものが挙げられる。
[Provision request]
According to FIG. 4A, the
(A) Number of male contractors (number of male users),
(B) Number of subscribers residing in Tokyo (number of users with addresses in Tokyo),
(C) Number of subscribers (number of users) whose current position (of terminal 2) is in Tokyo
That require statistical information such as
このうち、例えば(a)男性契約者数の場合、属性「性別」に関して「男性」が指定されている。これは、結果的に参照粒度(参照時に指定される非特定化パラメータ値)として例えばk=5000が指定されたことに相当する。また、例えば(b)東京都在住の契約者数の場合、属性「住所」に関して「東京都」が指定されている。これは、結果的に参照粒度として例えばk=1000が指定されたことに相当する。さらに、(c)現在位置が東京都内である契約者数の場合、属性「現在位置」に関して「東京都」が指定されている。これは、結果的に参照粒度として例えばk=3000が指定されたことに相当する。 Among these, for example, in the case of (a) the number of male contractors, “male” is designated for the attribute “sex”. This corresponds to the fact that, for example, k = 5000 is designated as the reference granularity (unspecification parameter value designated at the time of reference). For example, in the case of (b) the number of subscribers residing in Tokyo, “Tokyo” is designated for the attribute “address”. As a result, for example, k = 1000 is designated as the reference granularity. Furthermore, (c) in the case of the number of subscribers whose current position is in Tokyo, “Tokyo” is designated for the attribute “current position”. As a result, for example, k = 3000 is designated as the reference granularity.
非特定情報生成部120(図1)は、この提供要求を受け取った際、開示ポリシ(図3(B))を参照して、匿名化情報テーブル(図3(A))に、指定されたk値に基づくk匿名化処理を実施し、非特定情報を生成する。 When the non-specific information generation unit 120 (FIG. 1) receives this provision request, it is designated in the anonymization information table (FIG. 3A) with reference to the disclosure policy (FIG. 3B). k anonymization processing based on the k value is performed to generate non-specific information.
一実施例として、例えば、提供要求が、(a)男性契約者数、である場合を説明する。開示ポリシ(図3(B))において、属性「性別」のk値は、id0004及びid0008のユーザ識別子を有するユーザではk=10000であって、その他のユーザではいずれもk=1000である。従って、匿名化情報テーブル(図3(A))の属性「性別」に対し、id0004及びid0008のユーザのデータを除外して、参照粒度k=5000としたk匿名化処理を行い、非特定情報、例えば「参照粒度k=5000とした男性契約者数=5,123(人)」、を生成する。 As an example, for example, a case where the provision request is (a) the number of male contractors will be described. In the disclosure policy (FIG. 3B), the k value of the attribute “gender” is k = 10000 for users having user identifiers id0004 and id0008, and k = 1000 for all other users. Accordingly, k anonymization processing is performed on the attribute “gender” in the anonymization information table (FIG. 3A) by excluding the user data of id0004 and id0008 and setting the reference granularity k = 5000 to obtain non-specific information. For example, “number of male contractors with reference granularity k = 5000 = 5,123 (persons)” is generated.
[提供履歴テーブル]
図4(B)によれば、提供履歴テーブルは、サービス事業者装置3に提供された非特定情報についての情報を記録したものである。提供履歴テーブルは、記録項目として、提供日時、被提供者、提供情報の種類、提供粒度等の項目を有している。また、他の記録項目として、参照(被提供)目的、参照(被提供)方法、提供回数、実施された非特定化処理の方法等が挙げられる。
[Offer History Table]
According to FIG. 4 (B), the provision history table records information about non-specific information provided to the
提供履歴テーブルの記録項目のうち、被提供者は、提供先である第三者サービス事業者名である。また、提供情報の種類は、例えば、「住所」に係る情報、「年齢」に係る情報等といった属性の種類であり、ユーザ情報テーブルに割り当てられた項目識別子が記録される項目とすることができる。さらに、提供粒度は、第三者サービス事業者に提供した非特定情報の粒度であり、非特定化パラメータkの値とすることができる。 Among the record items of the provision history table, the recipient is the name of the third party service provider that is the provision destination. The type of provided information is, for example, an attribute type such as information related to “address”, information related to “age”, and the like, and can be an item in which an item identifier assigned to the user information table is recorded. . Furthermore, the provision granularity is the granularity of the non-specific information provided to the third party service provider, and can be the value of the non-specific parameter k.
[提供記録]
図4(C)によれば、提供記録は、提供履歴テーブル(図4(B))から、該当するユーザ分のデータを取り出すことによって生成される。ここで、提供履歴テーブルの「提供情報の種類」に記録された項目識別子を用いて、ユーザ識別情報テーブル(図2(B))を参照することにより、該当するユーザ(ユーザ識別子)が取得される。
[Provided record]
According to FIG. 4C, the provision record is generated by extracting data for the corresponding user from the provision history table (FIG. 4B). Here, by referring to the user identification information table (FIG. 2B) using the item identifier recorded in the “type of provision information” of the provision history table, the corresponding user (user identifier) is acquired. The
提供記録は、記録項目として、提供日時、被提供者、提供情報の種類、提供粒度等の項目を有している。このうち、提供情報の種類には、「住所」、「年齢」等のユーザ情報テーブルにおける属性が記載される。また、他の記録項目として、参照(被提供)目的、参照(被提供)方法、提供回数、実施された非特定化処理の方法等が挙げられる。 The provided record has items such as provided date and time, recipient, type of provided information, provided granularity, and the like as record items. Among these, the provided information type describes attributes in the user information table such as “address” and “age”. Other recording items include a reference (provided) purpose, a reference (provided) method, the number of times of provision, a method of non-specification processing performed, and the like.
以上、ユーザ情報テーブル等を用いて、ユーザ情報管理装置1におけるユーザ情報処理について説明したが、この処理において使用されるユーザ情報テーブル、ユーザ識別情報テーブル、匿名化情報テーブル、開示ポリシ、提供要求、提供履歴テーブル、及び提供記録は、当然に上記実施形態の形式に限定されるものではない。各テーブルにおける項目についても、その他種々のものが採用可能である。
As described above, the user information processing in the user
[ユーザ情報管理方法]
図5は、本発明によるユーザ情報管理方法の一実施形態を示すシーケンス図である。
[User Information Management Method]
FIG. 5 is a sequence diagram showing an embodiment of a user information management method according to the present invention.
尚、図5のシーケンスの前提として、ユーザ情報管理装置1は、認可した第三者サービス事業者(サービス事業者装置3)を事業者データベース115(図1)に登録している。
(S500)ユーザ情報管理装置1は、端末2から通信事業者網4を介して又はユーザから別手段で、ユーザ情報を取得し、ユーザ情報テーブルを生成・登録する。
(S501)ユーザ情報管理装置1は、端末2から通信事業者網4を介して又はユーザから別手段で、開示基準に関する情報を取得し、開示ポリシを生成・登録する。
(S502)ユーザ情報管理装置1は、ユーザ情報テーブルに基づいて、ユーザ識別情報テーブルを生成・登録する。
(S503)ユーザ情報管理装置1は、ユーザ情報テーブルに基づいて、匿名化情報テーブルを生成・登録する。
As a premise of the sequence in FIG. 5, the user
(S500) The user
(S501) The user
(S502) The user
(S503) The user
(S504)第三者サービス事業者(サービス事業者装置3)は、ユーザ情報管理装置1に対し、非特定情報の利用許可要求を行う。
(S505)ユーザ情報管理装置1は、利用許可要求を行ってきた第三者サービス事業者(サービス事業者装置3)が認可された事業者として登録されているか否かを判定する。ここで、偽の判定、即ち登録されていないとの判定がなされた際、利用は許可できない旨を第三者サービス事業者(サービス事業者装置3)に通知する。
(S506)一方、ステップS505で真の判定がなされた際、ユーザ情報管理装置1は、この登録されている第三者サービス事業者(サービス事業者装置3)に対し、非特定情報の利用許可を通知する。
(S504) The third party service provider (service provider apparatus 3) makes a use permission request for non-specific information to the user
(S505) The user
(S506) On the other hand, when a true determination is made in step S505, the user
(S507)サービス事業者装置3は、ユーザ情報管理装置1に対し、所定の非特定情報の提供を要求する。
(S508)ユーザ情報管理装置1は、受信した提供要求の要求内容及び生成・登録した開示ポリシに基づいて、非特定情報を生成する。
(S509)ユーザ情報管理装置1は、サービス事業者装置3に、生成した非特定情報を送信(提供)する。
(S507) The
(S508) The user
(S509) The user
(S510)ユーザ情報管理装置1は、(複数の)サービス事業者装置3に非特定情報を提供する毎に、非特定情報の提供履歴テーブルを生成・更新する。
(S511)ユーザ情報管理装置1は、ユーザ識別情報テーブルに基づいて、提供履歴テーブルに対応するユーザ(の全て)を割り出す。
(S510) The user
(S511) The user
(S512)ユーザ情報管理装置1は、提供履歴テーブルから、割り出されたユーザ毎に、提供記録を生成する。
(S513)ユーザ情報管理装置1は、対応するユーザ(端末2)に対し、生成した提供記録を送信(帰還通知)する。
(S512) The user
(S513) The user
ここで、ステップS507〜S510は、(複数の)サービス事業者装置3による非特定情報の提供要求が生じる度に発生することも好ましい。また、ステップS510で提供履歴テーブルが生成・更新された後、定期的に、ステップS511〜S513(対応ユーザの割り出し〜提供記録の帰還通知)が発生することも好ましい。
Here, it is also preferable that steps S507 to S510 occur each time a request for provision of non-specific information is made by (a plurality of)
また、ステップS504〜S506(非特定情報の利用許可)の変更態様として、API(Application Programming Interface)認可の標準的手段であるOAuthプロトコルを用いて利用許可を行うことも可能である。この場合、最初に、端末2(ユーザ)が、第三者サービス事業者(サービス事業者装置3)に対し、ユーザ情報管理装置1からの認可が必要な非特定情報へのアクセス権を取得することを許可する。これは、例えば、ユーザが端末2に表示されたWeb画面上で所定リンクをクリックすることによって実現する。このようにOAuthプロトコルを用いた実施形態では、サービス事業者装置3は、個別にユーザからの許可を得た上で、ユーザ情報管理装置1から非特定情報の利用許可を受けることになる。
In addition, as a change mode of steps S504 to S506 (use permission of non-specific information), use permission can be performed using an OAuth protocol which is a standard means of API (Application Programming Interface) authorization. In this case, first, the terminal 2 (user) acquires an access right to the non-specific information that requires authorization from the user
以上、本発明によれば、ユーザ情報から生成された非特定情報の提供記録を、該当するユーザに通知することによって、ユーザが自身のユーザ情報の利用実態を把握することがきる。これにより、ユーザ情報(個人情報等)の取り扱いに対する不安を払拭することが可能となる。 As mentioned above, according to this invention, a user can grasp | ascertain the utilization actual condition of own user information by notifying the applicable user of the provision record of the nonspecific information produced | generated from user information. Thereby, it becomes possible to dispel the anxiety about handling of user information (personal information etc.).
また、その結果、サービス事業者も、個人情報及びプライバシの侵害の恐れがない範囲でユーザ情報を利用したサービスを円滑に実施することができる。さらに、ユーザにとってのユーザ情報の取り扱いに対する信頼感と、サービス事業者によるサービス利用の促進と、さらに第三者サービス事業者による有用な非特定情報(統計情報)の享受とを一度に実現することも可能となる。 As a result, the service provider can also smoothly implement a service using user information within a range where there is no risk of infringement of personal information and privacy. Furthermore, to realize the reliability of the handling of user information for users, the promotion of service use by service providers, and the enjoyment of useful non-specific information (statistical information) by third party service providers at once. Is also possible.
また、本発明は、通信事業者の個人情報(ユーザ情報)管理システムだけでなく、ソーシャルネットワークサービス、オンラインショッピングサービス、オンラインメールサービス、オンラインWeb検索サービス等の個人に関わる情報を管理する様々なサービスシステムに適用される。この際、これらのサービスシステムを運用するサービス事業者の事業運営の透明性を向上させることができるので、より多くのユーザを獲得することが期待される。 Further, the present invention is not only a personal information (user information) management system of a telecommunications carrier, but also various services for managing personal information such as social network services, online shopping services, online mail services, online web search services, etc. Applies to the system. At this time, since the transparency of the business operation of the service provider operating these service systems can be improved, it is expected to acquire more users.
尚、以上に述べた本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。 It should be noted that various changes, modifications, and omissions of the technical idea and the scope of the present invention can be easily made by those skilled in the art with respect to the various embodiments of the present invention described above. The above description is merely an example, and is not intended to be restrictive. The invention is limited only as defined in the following claims and the equivalents thereto.
1 ユーザ情報管理装置
100 ユーザ側通信インタフェース
101 外部ネットワーク側通信インタフェース
110 ユーザ情報データベース
111 識別情報データベース
112 匿名化情報データベース
113 開示ポリシデータベース
114 提供履歴データベース
115 事業者データベース
120 非特定情報生成部
121 非特定情報提供部
122 利用許可部
123 提供記録生成・通知部
124 報酬設定部
2 端末
3 サービス事業者装置
4 通信事業者網
5 インターネット
DESCRIPTION OF
Claims (10)
当該ユーザ情報から、ユーザの特定が不可能又は困難である非特定情報を生成する非特定情報生成手段と、
当該非特定情報を第三者に提供する非特定情報提供手段と、
記憶された当該ユーザ情報の属性毎に、対応するユーザの識別情報を記憶する識別情報データベースと、提供された非特定情報毎に、当該非特定情報を生成するのに使用された当該属性を記憶する提供履歴データベースとを用いて、当該第三者に提供された非特定情報に対応するユーザを割り出し、割り出されたユーザに向けて、当該非特定情報の提供記録を生成し、通知する提供記録生成・通知手段と
を有することを特徴とするユーザ情報管理装置。 A user information database that can use a user information database that stores user information and manages the user information that can individually identify users ,
Non-specific information generating means for generating non-specific information that is impossible or difficult to identify the user from the user information;
A non-specific information providing means for providing the non-specific information to a third party;
For each attribute of the stored user information, an identification information database that stores identification information of the corresponding user, and for each provided non-specific information, store the attribute used to generate the non-specific information Providing a record of the non-specific information provided to the third party by determining the user corresponding to the non-specific information provided to the third party using the provision history database A user information management apparatus comprising: a record generation / notification unit.
前記非特定情報生成手段は、当該ユーザ情報から生成される情報のうち、当該開示ポリシに設定された開示基準を満たす属性に係る情報を使用して当該非特定情報を生成する
ことを特徴とする請求項1に記載のユーザ情報管理装置。 For each attribute of the user information, Ri further available Der disclosure policy database that stores and generates a disclosure policy disclosure standards is a condition for permitting disclosure to third parties is set,
The non-specific information generation means generates the non-specific information using information related to an attribute that satisfies a disclosure standard set in the disclosure policy among information generated from the user information. The user information management device according to claim 1.
前記開示ポリシデータベースは、当該開示基準を、当該非特定化パラメータの限界値として設定する
ことを特徴とする請求項2に記載のユーザ情報管理装置。 The non-specific information generating means generates non-specific information from the user information using a non-specific method implemented by specifying a non-specific parameter indicating the degree of non-specification,
The user information management apparatus according to claim 2, wherein the disclosure policy database sets the disclosure criterion as a limit value of the non-specification parameter.
前記非特定情報提供手段は、前記利用許可手段によって利用を許可された第三者にのみ、当該非特定情報を提供する
ことを特徴とする請求項1から3のいずれか1項に記載のユーザ情報管理装置。 It further has a usage permission means that allows third parties to use the non-specific information,
4. The user according to claim 1, wherein the non-specific information providing unit provides the non-specific information only to a third party whose use is permitted by the use permission unit. 5. Information management device.
当該ユーザ情報から、ユーザの特定が不可能又は困難である非特定情報を生成する非特定情報生成手段と、 Non-specific information generating means for generating non-specific information that is impossible or difficult to identify the user from the user information;
当該非特定情報を第三者に提供する非特定情報提供手段と、 A non-specific information providing means for providing the non-specific information to a third party;
記憶された当該ユーザ情報の属性毎に、対応するユーザの識別情報を記憶する識別情報データベースを用いて、当該第三者に提供された非特定情報に対応するユーザを割り出し、割り出されたユーザに向けて、当該非特定情報の提供記録を生成し、通知する提供記録生成・通知手段と For each attribute of the stored user information, using the identification information database that stores the identification information of the corresponding user, the user corresponding to the non-specific information provided to the third party is determined, and the determined user Providing record generation / notification means for generating and notifying the provision record of the non-specific information
を有し、Have
当該ユーザ情報の属性毎に、第三者への開示を許可する条件である開示基準であって、提供対象である第三者の属性に基づいて決定される開示基準が設定された開示ポリシを生成して記憶する開示ポリシデータベースを更に使用可能であり、 For each attribute of the user information, a disclosure policy that is a disclosure standard that is a condition for permitting disclosure to a third party and that is determined based on the attribute of the third party to be provided is set. A disclosure policy database that is generated and stored can further be used;
前記非特定情報生成手段は、当該ユーザ情報から生成される情報のうち、当該開示ポリシに設定された開示基準を満たす属性に係る情報を使用して当該非特定情報を生成する The non-specific information generating means generates the non-specific information using information related to an attribute that satisfies a disclosure criterion set in the disclosure policy among information generated from the user information.
ことを特徴とするユーザ情報管理装置。A user information management device.
当該ユーザ情報から、ユーザの特定が不可能又は困難である非特定情報を生成する非特定情報生成手段と、
当該非特定情報を第三者に提供する非特定情報提供手段と、
記憶された当該ユーザ情報の属性毎に、対応するユーザの識別情報を記憶する識別情報データベースと、提供された非特定情報毎に、当該非特定情報を生成するのに使用された当該属性を記憶する提供履歴データベースとを用いて、当該第三者に提供された非特定情報に対応するユーザを割り出し、割り出されたユーザに向けて、当該非特定情報の提供記録を生成し、通知する提供記録生成・通知手段と
してコンピュータを機能させることを特徴とするユーザ情報管理プログラム。 A user information management program installed in a user information management apparatus that can use a user information database that stores user information and manages the user information that can individually identify users ,
Non-specific information generating means for generating non-specific information that is impossible or difficult to identify the user from the user information;
A non-specific information providing means for providing the non-specific information to a third party;
For each attribute of the stored user information, an identification information database that stores identification information of the corresponding user, and for each provided non-specific information, store the attribute used to generate the non-specific information Providing a record of the non-specific information provided to the third party by determining the user corresponding to the non-specific information provided to the third party using the provision history database A user information management program for causing a computer to function as a record generation / notification means.
当該ユーザ情報から、ユーザの特定が不可能又は困難である非特定情報を生成するステップと、
当該非特定情報を第三者に提供するステップと、
記憶された当該ユーザ情報の属性毎に、対応するユーザの識別情報を記憶する識別情報データベースと、提供された非特定情報毎に、当該非特定情報を生成するのに使用された当該属性を記憶する提供履歴データベースとを用いて、当該第三者に提供された非特定情報に対応するユーザを割り出し、割り出されたユーザに向けて、当該非特定情報の提供記録を生成し、通知するステップと
を有することを特徴とするユーザ情報管理方法。 A user information management method in a user information management apparatus that can use a user information database that stores user information and manages the user information that can individually identify users ,
From the user information, and Luz step to generate a non-specific information specific it is impossible or difficult for the user,
And Luz step to provide the non-specific information to a third party,
For each attribute of the stored user information, an identification information database that stores identification information of the corresponding user, and for each provided non-specific information, store the attribute used to generate the non-specific information with the provision history database for indexing the user corresponding to the non-specific information provided in the third party, to the user who indexed, generates a provide recording of the non-specific information, you notice the user information management method characterized in that it comprises a step.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012185773A JP5944268B2 (en) | 2012-08-24 | 2012-08-24 | User information management apparatus, program, and method for notifying provision record of user non-specific information |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012185773A JP5944268B2 (en) | 2012-08-24 | 2012-08-24 | User information management apparatus, program, and method for notifying provision record of user non-specific information |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014044528A JP2014044528A (en) | 2014-03-13 |
| JP5944268B2 true JP5944268B2 (en) | 2016-07-05 |
Family
ID=50395756
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012185773A Active JP5944268B2 (en) | 2012-08-24 | 2012-08-24 | User information management apparatus, program, and method for notifying provision record of user non-specific information |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5944268B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10004846B2 (en) | 2013-03-11 | 2018-06-26 | Boston Scientific Limited | Double action infusion pump |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6040194B2 (en) * | 2014-04-08 | 2016-12-07 | 日本電信電話株式会社 | Access authority processing system, access authority processing method, and program |
| JP6333198B2 (en) * | 2015-03-03 | 2018-05-30 | Kddi株式会社 | Access control apparatus, method and program |
| JP6528536B2 (en) * | 2015-05-18 | 2019-06-12 | 株式会社リコー | INFORMATION PROCESSING APPARATUS, PROGRAM, AND INFORMATION PROCESSING SYSTEM |
| JP6161750B2 (en) * | 2016-02-23 | 2017-07-12 | 富士通クラウドテクノロジーズ株式会社 | Determination method, determination apparatus, and determination program |
| JP6664342B2 (en) * | 2017-02-09 | 2020-03-13 | 日本電信電話株式会社 | Data distribution mediation device, data distribution mediation system, and data distribution mediation method |
| JP6710649B2 (en) * | 2017-02-21 | 2020-06-17 | Kddi株式会社 | Information processing apparatus, information processing method, and program |
| JP7143892B2 (en) * | 2018-03-05 | 2022-09-29 | オムロン株式会社 | Apparatus for predicting human weight and health care apparatus and method |
| JP6978385B2 (en) * | 2018-07-26 | 2021-12-08 | Kddi株式会社 | Anonymization device, anonymization method and anonymization program |
| JP2020119484A (en) * | 2019-01-25 | 2020-08-06 | 株式会社フロムスクラッチ | Content distribution system and program |
| JP2020197850A (en) * | 2019-05-31 | 2020-12-10 | 株式会社カルテットコミュニケーションズ | Information processing device, information processing method, and program |
| WO2021117183A1 (en) * | 2019-12-12 | 2021-06-17 | 富士通株式会社 | Anonymization data selection device, anonymization data selection method, and program |
| JPWO2022234734A1 (en) * | 2021-05-07 | 2022-11-10 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4001536B2 (en) * | 2002-10-09 | 2007-10-31 | 富士通株式会社 | Personal data protection distribution method and program |
| JP2005031966A (en) * | 2003-07-11 | 2005-02-03 | Nippon Telegr & Teleph Corp <Ntt> | Presence information using method, information user side terminal equipment, and information provider side terminal equipment |
| JP2005258495A (en) * | 2004-03-09 | 2005-09-22 | Hitachi Ltd | Database system with function for recording and disclosing personal information access record |
| JP2005284598A (en) * | 2004-03-29 | 2005-10-13 | Sanyo Electric Co Ltd | Personal information provision system, recording apparatus and computer program |
| JP2008077391A (en) * | 2006-09-21 | 2008-04-03 | Oki Telecommunication Systems Co Ltd | Personal information providing system, personal information retaining device used therefor, and personal information utilization device |
| JP5454262B2 (en) * | 2010-03-18 | 2014-03-26 | 富士通株式会社 | Privacy protection device, privacy protection method, privacy protection program, and life log management system |
| JP5735485B2 (en) * | 2010-08-06 | 2015-06-17 | パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America | Anonymized information sharing device and anonymized information sharing method |
| WO2012067213A1 (en) * | 2010-11-16 | 2012-05-24 | 日本電気株式会社 | Information processing system and anonymizing method |
-
2012
- 2012-08-24 JP JP2012185773A patent/JP5944268B2/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10004846B2 (en) | 2013-03-11 | 2018-06-26 | Boston Scientific Limited | Double action infusion pump |
| US11260168B2 (en) | 2013-03-11 | 2022-03-01 | Boston Scientific Limited | Double action infusion pump |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014044528A (en) | 2014-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5944268B2 (en) | User information management apparatus, program, and method for notifying provision record of user non-specific information | |
| JP7406512B2 (en) | Data anonymization for service subscriber privacy | |
| US11036674B2 (en) | Data processing systems for processing data subject access requests | |
| US10282559B2 (en) | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques | |
| Price et al. | Keeping ubiquitous computing to yourself: A practical model for user control of privacy | |
| US11244071B2 (en) | Data processing systems for use in automatically generating, populating, and submitting data subject access requests | |
| US10454973B2 (en) | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods | |
| US20210200899A1 (en) | Data processing systems and methods for synching privacy-related user consent across multiple computing devices | |
| US10438017B2 (en) | Data processing systems for processing data subject access requests | |
| US10509920B2 (en) | Data processing systems for processing data subject access requests | |
| US8131810B2 (en) | Reachability realization server, management system, management method and realization program | |
| US20150033330A1 (en) | Collection and analysis of customer data from application programming interface usage | |
| US20200117829A1 (en) | Data processing systems for processing data subject access requests | |
| CN105308614A (en) | Policy enforcement delays | |
| JP2015018342A (en) | Electronic correspondence device and program | |
| JP2005051475A (en) | System and method for managing personal information, and program thereof | |
| Barsocchi et al. | A privacy-by-design architecture for indoor localization systems | |
| KR101719198B1 (en) | Method for managing personal information and payment information in user terminal or device and recommendation system using the same | |
| US20130006762A1 (en) | System and method for collection and display of time sensitive information | |
| JP2004102913A (en) | Personal information managing system and method therefor | |
| JP2013012074A (en) | Information providing device, information providing program and information providing method | |
| JP2016040658A (en) | Inventory support device, inventory support method, and program | |
| JP2020047067A (en) | Content viewing history acquisition system, and content viewing history acquisition method | |
| Sweatt | A privacy-preserving personal sensor data ecosystem | |
| JPWO2012105599A1 (en) | Content access management system, server, method and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150109 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150811 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150917 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151110 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160426 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160525 |
|
| R150 | Certificate of patent (=grant) or registration of utility model |
Ref document number: 5944268 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |