JP6042229B2 - k−匿名データベース制御サーバおよび制御方法 - Google Patents

k−匿名データベース制御サーバおよび制御方法 Download PDF

Info

Publication number
JP6042229B2
JP6042229B2 JP2013034444A JP2013034444A JP6042229B2 JP 6042229 B2 JP6042229 B2 JP 6042229B2 JP 2013034444 A JP2013034444 A JP 2013034444A JP 2013034444 A JP2013034444 A JP 2013034444A JP 6042229 B2 JP6042229 B2 JP 6042229B2
Authority
JP
Japan
Prior art keywords
data
anonymous
file
quasi
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013034444A
Other languages
English (en)
Other versions
JP2014164476A (ja
Inventor
紀宏 津嶋
紀宏 津嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2013034444A priority Critical patent/JP6042229B2/ja
Publication of JP2014164476A publication Critical patent/JP2014164476A/ja
Application granted granted Critical
Publication of JP6042229B2 publication Critical patent/JP6042229B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、k−匿名データベース制御サーバおよび制御方法に関し、特に個人情報を保護するk−匿名データベース制御サーバおよび制御方法に関する。
個人を対象としたサービス業を主とする事業者は、ネットワークを介して個人情報を含む情報を大量に取得できるようになっている。取得した情報の事業者による共有化や二次利用などは、プライバシー保護に反する場合がある。そこで、非特許文献1に記載されるように、個人情報を含む情報の取り扱いがプライバシー保護に反しない方法が提案されている。
特に、プライバシー保護の指標の一つとしてk−匿名性が提案されている。個人情報を統合化したデータ(ベース)から特定できる、各項目に関して同じ属性を持つ個人が少なくともk人であるというものである。この指標を満足するデータ(ベース)がk−匿名データ(ベース)と呼ばれる。個人情報は、氏名や住所などのように個人を特定できる項目である識別子、年齢や住居地域などように他の項目と組み合わせることにより個人を特定できる項目である準識別子、および他の項目と組み合わせても個人を特定できるとは考えられないその他項目に分けられる。k−匿名データベースでは、個人を特定できないようにするために、識別子を含まず(識別子の切り落とし)、準識別子はあいまい化される。他の準識別子と組み合わせても、同じ属性の個人がk人以上いるように、準識別子があいまい化される。
このようなk−匿名データベースは、格納されている個人情報の母集団の中でk−匿名性が保証されているので、そのk−匿名データベースが単独で利用されるときはk−匿名性が保証される。しかし、公開されている他のデータベースのデータやk−匿名データベースに格納されているデータに関する知識との突き合わせ(照合)により、k−匿名データベースはk−匿名性が保証されなくなる場合があることが知られている。
情報大航海ロジェクト「パーソナル情報保護・解析基盤」http://www.meti.go.jp/policy/it_policy/daikoukai/igvp/cp2_jp/common/024/010/post−61.html (2013.2.5)
k−匿名データベースと突き合わせの可能性がある、公開されている他のデータベースが予め分っている場合は、k−匿名性が保証されるか否かを人手によるチェックに委ね、k−匿名性が保証されない場合は、k−匿名性の保証を妨げる、k−匿名データベースのその他項目を準識別子とするなどのk−匿名データベースの構築に手戻りが発生していた。
そこで、k−匿名データベースのk−匿名性が保証されなくなる場合を少なくする、すなわちk−匿名データベースに格納されている個人情報からk未満の人数の属性の特定を困難とするデータベース制御サーバおよび制御方法が必要とされる。ここでは、公開されている他のデータベースのデータとの照合によりk−匿名性が保証されなくなるリスクを低減するk−匿名データベース制御サーバおよび制御方法を提案する。
開示するk−匿名データベース制御サーバは、元データファイルを入力し、k−匿名データファイルを出力するk−匿名データベース制御サーバであって、他の項目と組み合わせることにより個人を特定できる項目を曖昧化した準識別子の組合せ及びその組合せの各々を識別するための第1の匿名IDを格納する準識別子マスタファイル、元データファイルの第1のデータの各々に関して、準識別子マスタファイルを参照して第1のデータの各々の項目の内容を準識別子に置換し、置換した準識別子の組合せを識別する第1の匿名IDを第2の匿名IDとして設定した第2のデータを格納したワークファイルを生成するワークファイル生成部、及び、ワークファイルの第2のデータを入出力装置に表示し、表示した第2のデータに対する入出力装置からの確認入力に応答して、ワークファイルの第2のデータの各々に関して、第2の匿名IDを参照してk−匿名性を確保できない第2のデータ及び入出力装置から非公開の指定を受けた第2のデータを、ワークファイルから削除したk−匿名データファイルを生成する。
本発明のk−匿名データベース制御サーバによれば、k−匿名性が保証されなくなるリスクを低減することができる。
k−匿名データベースシステムの構成例である。 識別子マスタファイルの例である。 準識別子マスタファイルの例である。 生成部の処理フローチャートである。 生成部の処理を説明するための元データファイルの例である。 生成部の処理を説明するためのワークファイルの例である。 確認部の処理フローチャートである。 入出力装置の表示画面例である。 k−匿名データファイルの例である。 準識別子マスタファイルの他の例である。 ワークファイルの他の例である。
図1に、k−匿名データベースシステムの構成例を示す。k−匿名データベースシステムにおけるk−匿名データベース制御サーバ(以下、制御サーバ)10は、k−匿名データベースの元にするデータベースである元データファイル40を入力し、k−匿名データベースとしてのk−匿名データファイル70を出力する。元データファイル40は、個人情報を含むデータベースを有する元データファイル提供サーバ11から制御サーバ10に提供される。制御サーバ10が出力するk−匿名データファイル70は、k−匿名データベースとしてk−匿名データベースサービスサーバ12によってユーザに公開される。制御サーバ10は、ワークファイル50を持ち、入出力装置80を接続している。
元データファイル40、ワークファイル50及びk−匿名データファイル70はディスク装置などの記憶装置に格納される。これらのファイルは、データ保護(個人情報保護)の観点から、物理的にまたは論理的に互いに異なる記憶装置に格納されることが望ましい。
制御サーバ10は、ワークファイル生成部(以下、生成部)100及びk−匿名データファイル確認部(以下、確認部)200の処理を実行するCPU20、並びに識別子マスタファイル31、準識別子マスタファイル32、及びワーキング領域33を有するメモリ30を含んでいる。ワーキング領域33は、後述するように、生成部100が、WKA、WKB,WKCに分けて作業領域として用いる。
k−匿名データベースのkの値は、同じ属性を持つ個人が少なくともk人であるという意味であるので、k−匿名データベースサービスサーバ12のユーザによるデータの使い勝手の観点からは小さな値が望まれるが、k−匿名データベースから個人情報を特定し難くする観点からは大きな値が望まれる。ここでは、説明を簡単にするために、kの値を2とする。後述する識別子、準識別子およびkの値の決定は、元データファイル40に対応してk−匿名データファイル70を生成するための、個人情報保護を考慮した考え方に依存するものであり、ここでは言及しない。
本実施形態では、k−匿名性の余裕を表すnを導入する。これを余裕nと呼ぶ。説明する例では、同じ準識別子を持つデータの数がk以上のデータであるが、データの数がk+n未満のとき、そのようなデータを含むk−匿名データファイル70をk−匿名データベースとして公開しても良いかをオペレータに確認する。ここでは、説明を簡単にするために、余裕nの値を1とする。
図2に、識別子マスタファイル31の例を示す。識別子マスタファイル31は、氏名などのように個人を特定できる項目である識別子を格納し、ここでは、後述する元データファイル40のデータ(データレコード)を特定する項目である元IDと元データファイル40の項目として含まれる名前を格納している。識別子マスタファイル31は、前述の個人情報保護の考え方に基づいて予め作られる。
図3に、準識別子マスタファイル32の例を示す。準識別子マスタファイル32は、年齢や住所などように他の項目と組み合わせることにより個人を特定できる項目を曖昧化した準識別子の組合せを格納する。ここでは、後述する元データファイル40の項目である年齢を曖昧化した年代34および住所を曖昧化した地域35の組合せの一つ一つに、匿名ID36と呼ぶIDを格納している。すなわち、匿名IDは、他の項目と組み合わせることにより個人を特定できる項目を曖昧化した準識別子の組合せの各々を識別する識別子である。図3に示す例では、25〜29歳の年代34の、地域35としてP市S町に住む個人を表す匿名ID36が「5」である。
図3は、2項目の準識別子の組合せを示す2次元テーブルで表しているが、準識別子の項目数に応じて、準識別子マスタファイル32の構成として望ましい形式が選択される。準識別子マスタファイル32は、前述の個人情報保護の考え方に基づいて予め作られる。
準識別子の曖昧化について簡単に説明する。たとえば、他の項目と組み合わせることにより個人を特定できる、年齢を年代34とすることにより、一般に年代34には多くの個人が含まれるので、個人を特定し難くなる。同様に、町名や番地を含む住所を、番地を削除した町名を地域35とすることにより、地域35には多くの個人の住所が含まれるので、個人を特定し難くなる。これが、準識別子の曖昧化の例である。
準識別子マスタファイル32は、他の観点に立つと、元データファイル40の各データを準識別子の組合せによって分類したカテゴリーの一覧表である。したがって、準識別子マスタファイル32の匿名ID36は、各カテゴリーに付した識別子(記号、番号など)である。ここでは、k匿名性に関する識別子との混同を避けるために匿名IDと呼ぶ。
図4に、生成部100の処理フローチャートを示す。生成部100の処理は、元データファイル40からワークファイル50を生成する処理である。生成部100の処理の説明のために、図5に示す元データファイル40及び図6に示すワークファイル50の例を用いる。
図5に示す元データファイル40は、データの項目として元ID41、名前42、年齢43、および住所44を含み、元ID41が「1」〜「15」のデータが格納されている。図6に示すワークファイル50には、各データに関して、元データファイル40から複写した元ID51、名前52、年齢53、および住所54、識別子55として年代56及び地域57、更に匿名ID58、公開フラグ59及び警告フラグ60がある。
生成部100は、たとえば、元データファイル提供サーバ11から元データファイル40を提供する旨のメッセージを受けた制御サーバ10によって起動される。生成部100の実行開始は、他の方法として、制御サーバ10による元データファイル40へのアクセス可能の検知に基づいても良く、多様である。
生成部100は、元データファイル40からワークファイル50を生成する(ステップ101)。元データファイル40の各データをワークファイル50に複写する。図2の識別子マスタファイル31に定義された識別子である元ID41および名前42の複写は説明を分かりやすくするためである。確認部200の説明で後述するように、ワークファイル50からk−匿名データファイル70を生成する段階で、これらの識別子を削除するので、これらの識別子を複写する必要が無い。各データを識別するために、以下の説明では元ID41や元ID52を用いるが、識別子を複写しない場合は、これらに代えて、ファイルのレコード番号などのデータを特定できる情報を用いればよい。
次に、準識別子マスタファイル32を参照して、元データファイル40の年齢43および住所44を、ワークファイル50の準識別子55の年代56および地域57として格納する。たとえば、元ID51が「1」、名前52が「AA」の、年齢53の「33歳」、住所54の「P市S町1−2−3」は、準識別子マスタファイル32では、各々年代34として「30−34」、地域35として「P市S町」であるので、それぞれを準識別子55の年代56および地域57に置換して、ワークファイル50に格納する。
生成部100は、準識別子マスタファイル32を参照して、ワークファイル50の各データの準識別子55と対応する匿名ID36を、そのデータの匿名ID58として格納する(ステップ102)。たとえば、ワークファイル50の元ID51が「1」のデータの準識別子55は、年代56が「30−34」であり、地域57が「P市S町」であるので、準識別子マスタファイル32を参照すると、匿名ID36として「7」が得られるので、この「7」を元ID51が「1」のデータの匿名ID58として格納する。
生成部100は、ワークファイル50の各データの公開フラグ59に0を格納する(ステップ103)。公開フラグ59は、対応するデータのk−匿名データとしての、公開可(フラグ=1)又は公開不可(非公開:フラグ=0)を示す。公開可は、k−匿名性が確保されているとして公開可能なデータを示す。逆に、非公開は、k−匿名性が確保されていないので、公開不可能なデータを示す。
生成部100は、匿名IDの初期値を作業領域WKAに設定する(ステップ104)。匿名IDの初期値とは、準識別子マスタファイル32の匿名ID36の最小値又は最大値である。ここでは、最小値として説明する。作業領域WKAは、準識別子マスタファイル32に定義されているすべての匿名ID36に関してステップ105〜ステップ112を実行するためのインデックスである。
生成部100は、作業領域WKBおよびWKCをクリアする(ステップ105)。WKCは、カウンタとして用いる。
生成部100は、ワークファイル50の各データに関して、WKAの匿名IDに等しい匿名ID58のデータの元ID51をWKBに格納し、WKCの内容に1を加算する(ステップ106)。ワークファイル50の各データ(図6の場合、15人分のデータ)に関して、本ステップを終了すると、WKCの値(カウンタ値)に相当する数の元ID51がWKBに格納されている。
生成部100は、WKCの値(カウンタ値)がk以上であるかを判定し(ステップ107)、k以上である場合は、同じ匿名ID58のデータの数がk以上であり、k‐匿名性を確保できることを意味するので、WKBに格納しているデータの元ID51に対応する公開フラグ59に1(公開)を格納する(ステップ108)。ステップ107の判定でk未満の場合は、k‐匿名性を確保できないことを意味するので、ステップ108〜ステップ110をスキップし(公開フラグ59は0)、ステップ111に移る。
生成部100は、WKCの値(カウンタ値)がk+n未満であるかを判定し(ステップ109)、k+n未満である場合は、同じ匿名ID58のデータがk以上であるが、k+n未満であり、k‐匿名性に余裕が無いことを意味するので、WKBに格納しているデータの元ID51に対応する警告フラグ60に1(警告)を格納する(ステップ110)。ステップ109の判定でk+n未満でない場合(k+n以上の場合)は、k‐匿名性に余裕があることを意味するので、ステップ110をスキップし(警告フラグ60は0又はブランク)、ステップ111に移る。
生成部100は、WKAの匿名IDの値を更新する(ステップ111)。ステップ104で最小値を格納したので、1を加算する。
生成部100は、WKAに格納されている匿名IDの値が、準識別子マスタファイル32の匿名ID36の最大値を超えているかにより終了を判定し(ステップ112)、超えていなければ、ステップ105に戻り、ステップ105〜ステップ112のループ処理を繰り返す。
ステップ105〜ステップ112のループ処理を繰り返し、ワークファイル50の各データに関してk‐匿名性を確保できるならば、換言すると同じ匿名ID58のデータの数がk以上であるならば、それらに対応する公開フラグ59を1とし、k+n未満ならば、警告フラグ60を1とする。ステップ112の判定で終了したならば、生成部100は、確認部200を起動する(ステップ113)。
以上のように生成部100は、元データファイル40を複写したデータの各々に関して、準識別子マスタファイル32を参照して、データの各々の準識別子に対応する項目(年齢53、住所54)の内容を準識別子55(年代56、地域57)に置換し、置換した準識別子55の組合せを識別する匿名ID36を匿名ID58として設定したデータを格納したワークファイル50を生成し、ワークファイル50のデータの各々に関して、匿名ID58を参照して、k−匿名性を確保できるデータの公開フラグ59を公開とし、k+n未満ならば、警告フラグ60を警告とする。
図7に、確認部200の処理フローチャートを示す。確認部200の処理は、ワークファイル50の警告フラグ60が1(警告)であるデータを入出力装置80に表示し、入出力装置80からの公開の可否の確認入力に応じて、ワークファイル50からk−匿名データファイル70を生成する処理である。
確認部200は、ワークファイル50の警告フラグ60が1(警告)であるデータを入出力装置80に表示する(ステップ201)。
図8に入出力装置80の表示画面例を示す。表示画面は、警告領域81、準識別子マスタファイル選択領域82、及び確認ボタン83を表示する。警告領域81には、ワークファイル50の警告フラグ60が1(警告)であるデータを表示する。ワークファイル50の内容をすべて表示してもよいが、入出力装置80の表示画面に比べてワークファイル50のデータの数は一般に膨大であり、画面のスクロール操作などを必要とするので、警告フラグ60が1(警告)であるデータに限定して表示することが望ましい。
表示項目は、ワークファイル50の少なくとも準識別子55(年代56、地域57)、匿名ID58、公開フラグ59である。元データファイル40に含まれる項目は、確認に必要な範囲で選択的に表示すればよい。
準識別子マスタファイル選択領域82には、複数の準識別子マスタファイル32が制御サーバ10に用意されている場合に、それらの一覧表を表示する。一覧表の項目は、選択欄、ファイル番号欄、準識別子マスタファイル32の準識別子(年代、地域)の欄がある。準識別子(年代、地域)の欄の内容により、準識別子マスタファイル32を特定できるならば、ファイル番号欄は必要ない。選択欄には、ワークファイル50を生成するときに用いた準識別子マスタファイル32を明示する(図中の○)。準識別子(年代、地域)の欄には、準識別子マスタファイル32の準識別子の曖昧化のレベルを示す情報を表示する。たとえば、年代は5歳間隔、10歳間隔などである。
表示内容の変更入力が可能な欄は、警告領域81の公開フラグ欄(ワークファイル50の公開フラグ59に対応)、準識別子マスタファイル選択領域82の選択欄である。公開フラグ欄には、オペレータが0(非公開)を入力することができる。準識別子マスタファイル選択領域82の選択欄は、ワークファイル50を生成するときに用いた準識別子マスタファイル32とは異なる準識別子マスタファイル32をオペレータが選択すると、オペレータが選択した準識別子マスタファイル32の選択欄に選択内容を明示する。たとえば、ワークファイル50を生成するときに用いた準識別子マスタファイル32の選択欄の「○」を消去して、オペレータが選択した準識別子マスタファイル32の選択欄に「○」を表示する。表示内容を確認できたときに、オペレータは確認ボタン83を押すことにより確認入力する。
確認部200の処理の説明に戻る。確認部200は、確認ボタン83が押されるまで待つ(ステップ202)。確認ボタン83が押されたならば、異なる準識別子マスタファイル32が入出力装置80から選択入力されたかを判定し(ステップ203)、異なる準識別子マスタファイル32であれば、選択された準識別子マスタファイル32を伴って、生成部100を起動して処理を終了する。生成部100は、選択された新たな準識別子マスタファイル32を参照して、図4を用いて説明した処理を実行する。
確認部200は、警告領域81の公開フラグ欄が1(公開)から0(非公開)に変更入力されたかを判定し(ステップ204)、変更入力されているならば、変更入力されているデータに対応するワークファイル50の公開フラグ59に0(非公開)を格納する(ステップ205)。公開フラグ欄に変更入力されてなければ、ステップ206に移る。
確認部200は、ワークファイル50から非公開のデータ(行)を削除し、準識別子55以外の項目(列)を削除して、k−匿名データファイル70を生成し(ステップ206)、k−匿名データベースサービスサーバ12にk−匿名データファイル70へのアクセスを許可する(ステップ207)。前述のように、元データファイル40を複写した項目については、説明の分り易さのために複写してあるので、必ずしも削除の対象ではない。
図9に、k−匿名データファイル70の例を示す。これは、図8の入出力装置80の警告領域81の匿名ID「4」に対応した公開フラグが非公開にされた(図8に、1→0と表記)データの公開フラグ59を非公開にした(図6に、1→0と表記)ワークファイル50から生成したk−匿名データファイル70の例である。k−匿名データファイル70には、ステップ206の処理により、準識別子71として年代72と地域73が含まれている。
図10に、図3とは異なる、準識別子マスタファイル32の例である。図8の入出力装置80の準識別子マスタファイル選択領域82において、選択されたファイル番号「2」の準識別子マスタファイル32の例である。図10の準識別子マスタファイル32は、年代34の曖昧化のレベルが、図3とは異なり、10歳間隔になっている。
図11に、図10の準識別子マスタファイル32を参照して生成した、図5の元データファイル40に対応したワークファイル50の例を示す。この例では、年代34が10歳間隔であるので、警告フラグが1(警告)のデータの数が、図6に示したワークファイル50に比べて減少している。これは、準識別子をより曖昧化したために、個人を特定できる可能性が減少したことを示している。
以上の確認部200の処理により、入出力装置80からの新たな準識別子マスタファイル32の選択に応じて、選択された準識別子マスタファイル32を参照して、新たなワークファイル50を生成し、改めて確認部200の処理が実行される。また、入出力装置80からの公開フラグの変更入力に応じて、変更入力されたデータをワークファイル50から削除したk−匿名データファイル70を生成することができる。
本実施形態によれば、k−匿名性の余裕を表すnを導入し、匿名IDが等しいデータの数が、k以上n未満の場合に警告することにより、k−匿名性が保証されなくなるリスクを低減することができる。
10:k−匿名データベース制御サーバ、11:元データファイル提供サーバ、12:k−匿名データベースサービスサーバ、20:CPU、30:メモリ、31:識別子マスタファイル、32:準識別子マスタファイル、33:ワーキング領域、40:元データファイル、50:ワークファイル、70:k−匿名データファイル、80:入出力装置、100:k−匿名データファイル生成部、200:k−匿名データファイル確認部。

Claims (10)

  1. 元データファイルを入力し、k−匿名データファイルを出力するk−匿名データベース制御サーバであって、
    他の項目と組み合わせることにより個人を特定できる項目を曖昧化した準識別子の組合せ及び前記組合せの各々を識別するための第1の匿名IDを格納する準識別子マスタファイル、
    前記元データファイルの第1のデータの各々に関して、前記準識別子マスタファイルを参照して前記第1のデータの各々の前記項目の内容を前記準識別子に置換し、置換した前記準識別子の組合せを識別する前記第1の匿名IDを第2の匿名IDとして設定した第2のデータを格納したワークファイルを生成するワークファイル生成部、及び、
    前記ワークファイルの前記第2のデータを入出力装置に表示し、表示した前記第2のデータに対する前記入出力装置からの確認入力に応答して、前記ワークファイルの前記第2のデータの各々に関して、前記第2の匿名IDを参照してk−匿名性を確保できない前記第2のデータ及び前記入出力装置から非公開の指定を受けた前記第2のデータを、前記ワークファイルから削除した前記k−匿名データファイルを生成するk−匿名データファイル確認部を有することを特徴とするk−匿名データベース制御サーバ。
  2. 前記k−匿名データファイル確認部は、参照した前記準識別子マスタファイルを特定する情報を前記入出力装置に表示し、表示した前記準識別子マスタファイルと異なる準識別子マスタファイルの選択入力に応答して、選択された前記準識別子マスタファイルを用いて改めてワークファイルを生成するためにワークファイル生成部を起動することを特徴とする請求項1記載のk−匿名データベース制御サーバ。
  3. 前記入出力装置に表示する前記第2のデータは、前記第2の匿名IDを参照してk−匿名性を確保できるが、k−匿名性に余裕がないデータであることを特徴とする請求項2記載のk−匿名データベース制御サーバ。
  4. k−匿名性を確保できない前記第2のデータは、前記ワークファイルの前記第2のデータの各々に関して、互いに等しい前記匿名IDの前記第2のデータの数が、予め定めた値であるk未満の前記第2のデータであることを特徴とする請求項1〜3のいずれか1項に記載のk−匿名データベース制御サーバ。
  5. k−匿名性に余裕がない前記第2のデータは、前記ワークファイルの前記第2のデータの各々に関して、互いに等しい前記匿名IDの前記第2のデータの数が、予め定めた値であるk以上の前記第2のデータであり、nを余裕として、k+n未満の前記第2のデータであることを特徴とする請求項3または請求項4に記載のk−匿名データベース制御サーバ。
  6. 元データファイルを入力し、k−匿名データファイルを出力するk−匿名データベース制御サーバによる制御方法であって、前記k−匿名データベース制御サーバは、
    他の項目と組み合わせることにより個人を特定できる項目を曖昧化した準識別子の組合せ及び前記組合せの各々を識別するための第1の匿名IDを格納する準識別子マスタファイルを有し、
    前記元データファイルの第1のデータの各々に関して、前記準識別子マスタファイルを参照して前記第1のデータの各々の前記項目の内容を前記準識別子に置換し、置換した前記準識別子の組合せを識別する前記第1の匿名IDを第2の匿名IDとして設定した第2のデータを格納したワークファイルを生成し、
    前記ワークファイルの前記第2のデータを入出力装置に表示し、表示した前記第2のデータに対する前記入出力装置からの確認入力に応答して、前記ワークファイルの前記第2のデータの各々に関して、前記第2の匿名IDを参照してk−匿名性を確保できない前記第2のデータ及び前記入出力装置から非公開の指定を受けた前記第2のデータを、前記ワークファイルから削除した前記k−匿名データファイルを生成することを特徴とするk−匿名データベース制御方法。
  7. 前記k−匿名データベース制御サーバは、参照した前記準識別子マスタファイルを特定する情報を前記入出力装置に表示し、表示した前記準識別子マスタファイルと異なる準識別子マスタファイルの選択入力に応答して、選択された前記準識別子マスタファイルを用いて改めてワークファイルを生成することを特徴とする請求項6記載のk−匿名データベース制御方法。
  8. 前記入出力装置に表示する前記第2のデータは、前記第2の匿名IDを参照してk−匿名性を確保できるが、k−匿名性に余裕がないデータであることを特徴とする請求項7記載のk−匿名データベース制御方法。
  9. k−匿名性を確保できない前記第2のデータは、前記ワークファイルの前記第2のデータの各々に関して、互いに等しい前記匿名IDの前記第2のデータの数が、予め定めた値であるk未満の前記第2のデータであることを特徴とする請求項6〜8のいずれか1項に記載のk−匿名データベース制御方法。
  10. k−匿名性に余裕がない前記第2のデータは、前記ワークファイルの前記第2のデータの各々に関して、互いに等しい前記匿名IDの前記第2のデータの数が、予め定めた値であるk以上の前記第2のデータであり、nを余裕として、k+n未満の前記第2のデータであることを特徴とする請求項8または請求項9に記載のk−匿名データベース制御方法。
JP2013034444A 2013-02-25 2013-02-25 k−匿名データベース制御サーバおよび制御方法 Expired - Fee Related JP6042229B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013034444A JP6042229B2 (ja) 2013-02-25 2013-02-25 k−匿名データベース制御サーバおよび制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013034444A JP6042229B2 (ja) 2013-02-25 2013-02-25 k−匿名データベース制御サーバおよび制御方法

Publications (2)

Publication Number Publication Date
JP2014164476A JP2014164476A (ja) 2014-09-08
JP6042229B2 true JP6042229B2 (ja) 2016-12-14

Family

ID=51615034

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013034444A Expired - Fee Related JP6042229B2 (ja) 2013-02-25 2013-02-25 k−匿名データベース制御サーバおよび制御方法

Country Status (1)

Country Link
JP (1) JP6042229B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104318167A (zh) * 2014-10-07 2015-01-28 北京理工大学 一种改进的k-匿名中准标识符求解方法
CN105160266B (zh) * 2015-07-08 2018-09-04 北方信息控制集团有限公司 基于k-匿名的运动轨迹数据隐私保护方法
CN110088758B (zh) * 2016-12-28 2023-04-07 索尼公司 服务器设备、信息管理方法、信息处理设备、信息处理方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5042667B2 (ja) * 2007-03-05 2012-10-03 株式会社日立製作所 情報出力装置、情報出力方法、及び、情報出力プログラム
CN102667830B (zh) * 2009-10-09 2016-03-23 日本电气株式会社 信息管理装置以及数据处理方法
WO2012063546A1 (ja) * 2010-11-09 2012-05-18 日本電気株式会社 匿名化装置及び匿名化方法
US9087203B2 (en) * 2010-12-27 2015-07-21 Nec Corporation Information protection device and information protection method
CA2840049A1 (en) * 2011-06-20 2012-12-27 Nec Corporation Anonymization index determination device and method, and anonymization process execution system and method
JP5782636B2 (ja) * 2012-03-12 2015-09-24 西日本電信電話株式会社 情報匿名化システム、情報損失判定方法、及び情報損失判定プログラム
JP5971115B2 (ja) * 2012-12-26 2016-08-17 富士通株式会社 情報処理プログラム、情報処理方法及び装置

Also Published As

Publication number Publication date
JP2014164476A (ja) 2014-09-08

Similar Documents

Publication Publication Date Title
US9530105B2 (en) Managing entity organizational chart
JP6206840B2 (ja) テキストマッチング装置、テキスト分類装置及びそれらのためのコンピュータプログラム
US20140012833A1 (en) Protection of data privacy in an enterprise system
JP6518768B2 (ja) レポートの構築
JP6246951B2 (ja) ユーザコンタクトエントリのデータ設定
US20220245175A1 (en) Metadata classification
JP6078437B2 (ja) パーソナル情報匿名化システム
US8224839B2 (en) Search query extension
US11294960B1 (en) Entity mapping
CA2897412C (en) Collecting and auditing structured data layered on unstructured objects
US10726034B2 (en) Modular electronic data analysis computing system
JP2019144723A (ja) 匿名加工装置、情報匿名化方法、およびプログラム
JP2013190838A (ja) 情報匿名化システム、情報損失判定方法、及び情報損失判定プログラム
JP6042229B2 (ja) k−匿名データベース制御サーバおよび制御方法
EP2570943B1 (en) Protection of data privacy in an enterprise system
US8782777B2 (en) Use of synthetic context-based objects to secure data stores
JP2014534542A (ja) ユーザ作成コンテンツの処理方法及び装置
CN114282071A (zh) 基于图数据库的请求处理方法、装置、设备及存储介质
JP2014164477A (ja) k−匿名データベース制御装置及び制御方法
US20200007644A1 (en) Dossier interface and distribution
EP2544104A1 (en) Database consistent sample data extraction
JP2011113103A (ja) マルチテナント型コンピュータシステム
JP2015094988A (ja) データ構造、データ生成装置、その方法及びプログラム
US20190243981A1 (en) Simplifying data protection in cds based access
JP7366168B2 (ja) プログラム、情報処理装置、情報処理システム、情報処理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151207

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161018

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161109

R150 Certificate of patent or registration of utility model

Ref document number: 6042229

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees