JP6053181B2 - 情報収集システムとその情報収集装置、情報提供装置、匿名情報収集方法及びプログラム - Google Patents

情報収集システムとその情報収集装置、情報提供装置、匿名情報収集方法及びプログラム Download PDF

Info

Publication number
JP6053181B2
JP6053181B2 JP2014034083A JP2014034083A JP6053181B2 JP 6053181 B2 JP6053181 B2 JP 6053181B2 JP 2014034083 A JP2014034083 A JP 2014034083A JP 2014034083 A JP2014034083 A JP 2014034083A JP 6053181 B2 JP6053181 B2 JP 6053181B2
Authority
JP
Japan
Prior art keywords
information
anonymity
quasi
identifier
collection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014034083A
Other languages
English (en)
Other versions
JP2015158852A (ja
Inventor
大地 朝日
大地 朝日
知洋 井上
知洋 井上
筒井 章博
章博 筒井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014034083A priority Critical patent/JP6053181B2/ja
Publication of JP2015158852A publication Critical patent/JP2015158852A/ja
Application granted granted Critical
Publication of JP6053181B2 publication Critical patent/JP6053181B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、情報収集者が情報提供者からその個人情報を匿名化して収集するための情報収集システムとその情報収集装置、情報提供装置、情報収集方法及びプログラムに関する。
ユーザの手元にあるデータベース上の個人情報を匿名化して第三者に提供、又は公に公開する手法として、k-匿名化アルゴリズムが知られている。k-匿名化アルゴリズムは、事前に決められたkに対してk-匿名を満たすように匿名化処理する。図34はその一例を示す図である。k-匿名化処理では、個人情報を識別子、準識別子、機微情報、機微でない情報の4種類に分割する。識別子は名前等の本人を直接識別できる情報、準識別子は他のデータベースとの組み合わせによって個人を識別する可能性がある情報である。k-匿名化アルゴリズムでは、識別子を公開する際に除外すれば、情報を悪用しようとする人たちに準識別子が既に知られていると仮定しても、k-匿名化が成り立っているときには、同じ準識別子を持つタプルが少なくとも(k-1)行あるため、個人と機微情報との対応関係はk分の1までしか絞り込むことができない(例えば非特許文献1を参照)。
また、与えられたデータベースの属性を一般化して除外することで匿名化を行うアルゴリズムも知られている。一般化とは、情報を分類上で一つ上の抽象度の値に変更する処理のことであり、例えば「武蔵野市」を一般化すると「東京都」になる。
一方、匿名通信技術の1つとして、TCP/IPにおける接続経路の匿名化を実現する技術が既に確立されている。例えば、Tor(The Onion Router)、TCP/IPにおける接続経路の匿名化を実現するための規格、及びそのリファレンス実装であるソフトウェアがこれに該当する(例えば非特許文献2を参照)。これらの匿名通信技術を適用すると、通信相手に通信元のIPアドレスを知られることなく通信を行うことが可能となる。
"Privacy-preserving data publishing": A survey of recent developments (Journal ACM Computing Surveys (CSUR) Surveys Homepage archive Volume 42 Issue 4, June 2010 Article No. 14 ) Tor: The Second-Generation Onion Router、インターネット<URL:https://www.torproject.org/docs/documentation.html.en#DesignDoc https://svn.torproject.org/svn/projects/design-paper/tor-design.pdf>
ところが、従来の匿名化技術には以下のような課題があった。
(1)データ収集者に対する匿名性
従来の匿名化技術は、既に多くの人の個人情報を持っている情報収集者がその情報を公開又は情報利用者に提供する際に、個人情報を匿名化することを目的としている。しかしこの場合、情報提供者から情報収集者へ個人情報を提供する際には、匿名化通信を適用してはいても、個人情報自体に対しては匿名化処理が行われないため、情報提供者の機微な情報の内容と自身との間の対応関係が情報収集者に推測されてしまうおそれがある。個人と機微な情報との対応関係が知られてしまうと、その情報が悪用されて情報提供者が不利益を被る。一方、悪用される可能性を恐れて情報提供者が情報提供に応じないと、情報分析に支障を来し情報収集者が不利益を被る。
例えば、個人と機微情報の対応関係が知られてしまう例として、情報収集者が(誕生日、性別、病気)の3つの内容の個人情報を集めている場合が考えられる。ここで、「病気」が機微な情報で、「誕生日」と「性別」が準識別子だとすると、従来の匿名化技術を用いると情報提供者は匿名通信により例えば(4月12日生、男、ガン)のような情報を匿名で提供することができる。この方法では通信先から個人が特定されることはないが、情報の内容から個人と機微情報との間の対応関係が情報収集者に知られる可能性がある。情報収集者が既に(4月12日生、男)はAさんであることを知っている場合には、Aさんがガンであることが情報収集者に推測されてしまう。
(2)個人の希望する匿名性の反映、提供者の人数
情報収集者が情報提供者から収集した個人情報を情報利用者に提供する際に、情報提供者は自身が提供した個人情報に対しどの程度の匿名化をして欲しいか要望を出すことができなかった。仮に要望を出したとしても、従来の技術では事前に決められている匿名度kに対して匿名化処理が行われるので、情報提供者からの匿名化の要望を取り入れることができなかった。そのため、情報提供者から機微な情報を情報収集者が集める際に、「自分の希望する匿名性が保障されない」、「実現される匿名性が分からない」等の理由で情報提供者候補が情報提供を断り、情報収集者が必要としている人数分の個人情報を集めることが困難になる場合があった。
(3)情報の有用性の確保
情報提供者からの情報提供を推進するには、情報提供者が希望する匿名化を取り入れればよい。しかし、情報提供者の要望だけを取り入れて匿名化・一般化の処理を行うと、過度な匿名化が行われる可能性がある。匿名化し過ぎると情報収集者にとって収集した情報の有用性がなくなってしまい、その後の情報分析や情報利用者への分析結果の情報提供を行うことができなくなってしまう。
この発明は上記事情に着目してなされたもので、その目的とするところは、情報提供者に対しては希望する匿名性を保障し、情報収集者に対しては収集した情報の有効性を保障することを可能にした情報収集システムとその情報収集装置、情報提供装置、情報収集方法及びプログラムを提供することにある。
上記目的を達成するためにこの発明の第1の観点は、情報収集装置が複数の情報提供装置からその情報提供者の個人情報を匿名化して収集する情報収集システムにあって、上記情報収集装置では、上記個人情報のうち収集を要求する機微情報の種類と、情報提供者を間接的に特定する準識別子の種類とを含む収集要求情報を生成し、当該生成された収集要求情報を上記複数の情報提供装置のうち情報提供者候補となる情報提供装置群へ選択的に送信する。これに対し上記複数の情報提供装置は、上記収集要求情報を受信した場合に、当該収集要求情報に含まれる準識別子の種類に対応する値を個人情報記憶部から読み出し、当該読み出された準識別子の値と、情報提供者が希望する匿名度を表す情報を、上記情報収集装置へ返信する。また上記情報収集装置は、上記情報提供者候補となる情報提供装置群から返信された準識別子の値及び希望する匿名度と、準識別子に対し予め設定した一般化許容条件及び情報収集希望者数とに基づいて、上記一般化許容条件の範囲内で情報提供候補者数が上記情報収集希望者数以上となる実現可能匿名度と一般化方法を決定し、当該決定された実現可能匿名度と、上記一般化方法により一般化された上記準識別子を上記複数の情報提供装置へ送信する。これに対し上記複数の情報提供装置は、上記情報収集装置から送信された実現可能匿名度と一般化された準識別子を受信した場合に、当該受信された実現可能匿名度を上記情報提供者が希望する匿名度と比較し、実現可能匿名度が希望する匿名度より高い場合に、上記収集要求情報に含まれる機微情報の種類に対応する機微情報を上記個人情報記憶部から読み出して、上記要求元の情報収集装置へ送信するようにしたものである。
この発明の第2の観点は、上記実現可能匿名度と一般化方法を決定する際に、上記実現可能匿名度と一般化方法の決定に失敗した場合に、上記情報提供者候補を増加させ、この増加された情報提供者候補について上記第1及び第2の手段と協同して上記実現可能匿名度と一般化方法の決定処理を再度実行するようにしたものである。
この発明の第1の観点によれば、情報提供装置から情報収集装置へ個人情報を送信する際に、当該個人情報の準識別子が情報提供者の希望する匿名度に応じて一般化される。このため、情報収集装置に収集された個人情報の中には同じ準識別子を有する個人情報が必ず複数存在することになり、これにより仮に情報収集者がある情報提供者についての事前知識を有していたとしても、当該情報提供者から提供された情報を特定することは困難となる。
また、情報提供者が自身の機微情報の提供に先立ち希望する匿名度を情報収集装置に伝え、情報収集装置はこの通知された希望する匿名度を1つの条件として、実現可能な匿名度を決定して情報提供者に要求するようにしているので、情報提供者にとっては希望する匿名性が保障され、さらに実現される匿名性を確認することができ、これにより不安は解消される。
さらに、情報収集装置では、予め設定された一般化許容条件の範囲内で情報提供候補者数が予め設定した情報収集希望者数以上となるように実現可能匿名度と一般化方法が決定されるので、過度な匿名度を希望している提供候補者を切り捨て、データ収集者側が集めたい精度と同等、もしくはそれ以下の匿名度を希望している情報提供者候補から情報提供を受けることが可能となる。すなわち、過度な匿名化が行われることを防止して提供された情報の有用性を保障することができる。
この発明の第2の観点によれば、実現可能匿名度と一般化方法を決定する際に、当該決定処理が成功したか失敗したかが判定され、失敗した場合には情報提供者候補を増加させて、この増加された情報提供者候補を対象に実現可能匿名度と一般化方法の決定処理が再度実行される。このため、情報収集者が有効な分析等を行うに必要な情報提供者数をより確実に確保することが可能となり、これにより収集情報の有効性をさらに高めることができる。
すなわちこの発明によれば、情報提供者に対しては希望する匿名性を保障し、情報収集者に対しては収集した情報の有効性を保障することを可能にした情報収集システムとその情報収集装置、情報提供装置、情報収集方法及びプログラムを提供することができる。
この発明の第1の実施形態における情報収集システムの概要を示す図。 この発明の第1の実施形態における匿名度・一般化決定処理の概要を示す図。 一般化の種類の一例を示す図。 この発明の第1の実施形態に係る情報収集システムの全体構成を示す概略図。 図4に示したシステムの情報提供装置の機能構成を示すブロック図。 図4に示したシステムの情報収集装置の機能構成を示すブロック図。 図5に示した情報提供装置及び図6に示した情報収集装置内の各処理部間の情報の流れを示す図。 図4に示したシステムの全体の処理の流れを示すフローチャート。 図8に示したフローチャートのうち管理部の処理1の手順と処理内容の一例を示す図。 図8に示したフローチャートのうち提供判定部の処理1の手順と処理内容の一例を示す図。 図8に示したフローチャートのうち管理部の処理2の手順と処理内容の一例を示す図。 図8に示したフローチャートのうち終了判定部の処理の手順と処理内容の一例を示す図。 図8に示したフローチャートのうち匿名度検査部の処理の手順と処理内容の一例を示す図。 図8に示したフローチャートのうち一般化処理部の処理の手順と処理内容の一例を示す図。 図8に示したフローチャートのうち管理部の処理3の手順と処理内容の一例を示す図。 図8に示したフローチャートのうち提供判定部の処理2の手順と処理内容の一例を示す図。 図8に示したフローチャートのうち匿名度決定部の処理1の手順と処理内容の一例を示す図。 図8に示したフローチャートのうち匿名度決定部の処理2の手順と処理内容の一例を示す図。 図8に示したフローチャートのうち個人情報管理部の処理の手順と処理内容の一例を示す図。 図7に示したシステムによる第1の動作を示すシーケンス図。 図7に示したシステムによる第2の動作を示すシーケンス図。 図7に示したシステムによる第3の動作を示すシーケンス図。 この発明の第2の実施形態の課題を説明するための図。 この発明の第2の実施形態に係る情報収集システムの概略構成図。 この発明の第2の実施形態に係る情報収集システムにおける情報の流れを示すシーケンス図。 この発明の第3の実施形態に係る情報収集システムの概略構成図。 この発明の第4の実施形態に係る情報収集システムの概略構成図。 この発明の第4の実施形態におけるシステムの動作を示すシーケンス図。 この発明の第4の実施形態におけるシステムの動作を示すシーケンス図。 この発明の第4の実施形態の別の実施例を説明するための図。 この発明の第5の実施形態の課題を説明するための図。 この発明の第5の実施形態に係る情報収集システムの概略構成図。 この発明の第1の実施形態による効果を説明するための図。 従来の匿名化技術の処理の一例を示す図。
以下、図面を参照してこの発明に係わる実施形態を説明する。
[第1の実施形態]
(概要)
図1は、この発明に係る情報収集方法の第1の実施形態の概要を示すもので、図中の1は情報提供者側の装置を、2は情報収集者側の装置をそれぞれ示している。
情報提供者が所有する個人情報を匿名化して情報収集者が収集する際に、先ずステップST1において情報収集側の装置2から情報提供者候補の装置1に対し、使用する準識別子の種類と欲しい機微情報の種類を通知する。これに対し情報提供者候補の装置1はステップST2において準識別子の種類に対応する値と希望する匿名度を情報収集者側の装置2に返答する。この返答を受けて情報収集側の装置2は、ステップST3において実施可能な匿名度と一般化の方法を決定する処理を行い、この決定した実現可能な匿名度と一般化の方法をステップST4により情報提供者候補の装置1へ通知する。情報提供者候補の装置1は、ステップST5において、上記通知された匿名度と一般化の方法に従い、一般化した準識別子の値と機微情報を情報収集側の装置2へ送信する。
上記処理手順のうち実施可能な匿名度と一般化の方法を決定する処理は、以下のように行われる。図2はその概要を示すものである。すなわち、先ず準識別子ごとに実現可能なもので最大の匿名度を求める。その結果、実現可能な匿名がなかった準識別子については一般化処理を行い、上記最大の匿名度の算出処理に戻る。以上の処理を一般化許可条件で定義された一般化回数の上限になるまで繰り返す。そして、情報提供者候補の数が希望する数に達したならば終了し、人数が足りない場合には情報提供者候補を増やしてリトライする。
一般化処理には、具体的なものを抽象化する処理と、準識別子の種類を減らす処理がある。前者は、例えば図3に示すように「東京都武蔵野市」を「東京都」する処理である。後者は、例えば図3に示すように、使用する準識別子(誕生日、性別、住所)から「住所」を除外して、使用する準識別子を(誕生日、性別)のみにする処理である。これらは一般化の許可条件で定義される。
(構成)
図4は、この発明の第1の実施形態における情報収集システムの全体構成を示す図である。このシステムは、複数の情報提供者がそれぞれ使用する情報提供装置TM1〜TMnと、情報収集者が使用する情報収集装置SVとを備え、これらの装置間で通信ネットワークNWを介して情報提供者の個人情報を匿名化して収集するための処理を実行するようにしたものである。
通信ネットワークNWは、インターネットと、このインターネットにアクセスするためのアクセス網とから構成される。アクセス網としては、有線電話網、CATV(Cable Television)網、有線LAN、携帯電話網やWiMAX(登録商標)、無線LAN等の移動通信網が用いられる。
情報収集装置SVは、例えばクラウド又はWeb上に配置されたサーバコンピュータからなり、図6に示すように制御ユニット60と、記憶ユニット70と、通信インタフェース80を備えている。
通信インタフェース80は、上記通信ネットワークNWを介して各情報提供装置TM1〜TMnとの間で情報通信を行うもので、通信プロトコルとしては例えばTCP/IP(Transmission Control Protocol/Internet Protocol)が用いられる。
制御ユニット60はCPU(Central Processing Unit)を有し、この発明を実施するための処理機能として、管理部61と、匿名度決定部62と、終了判定部63と、匿名度検査部64と、一般化処理部65を備えている。これらの処理機能は何れも記憶ユニット70に格納されたプログラムを上記CPUに実行させることにより実現される。
図7は、先に述べた情報提供装置SV内、及び情報収集装置TM1〜TMn内の各部間の情報の流れを示す図である。
管理部61は、以下の処理機能を有する。
(1) 情報収集処理の開始に先立ち、使用する準識別子の種類及び欲しい機微情報の種類を決定し、さらに一般化ツリー、希望の参加人数及び一般化回数の上限を決定する。そして、上記決定した使用する準識別子の種類及び欲しい機微情報の種類を、通信インタフェース80から情報提供者候補となる情報提供装置TM1〜TMiへそれぞれ送信する。なお、情報提供者候補となる情報提供装置は、希望する情報収集希望者数(希望参加人数)より多くなるように設定する。またそれと共に、希望の参加人数及び一般化回数の上限値を終了判定部63に通知し、さらに一般化ツリーを一般化処理部65に通知する処理。
(2) 全ての情報提供者候補の情報提供装置TM1〜TMiから、準識別子の値と希望匿名度とのペア(以後タプルと呼ぶ)が通信インタフェース80を介して受信された場合に、この受信された各タプルを準識別子の値が等しいグループに分ける。そして、当該分割された各グループを匿名度決定部62に通知する。また、情報提供者候補数が希望参加人数に満たない場合には、匿名度がNULLでないグループを参加グループ表に加えると共に、全タプル、実現可能匿名度及び参加グループ表を終了判定部63に通知する処理。
なお、後に情報提供者候補を追加し、当該追加した情報提供者候補の情報提供装置TKjから準識別子の値及び希望匿名度を受信した場合には、当該タプルを上記先に受信したタプル群に追加する。全グループの結果を匿名度決定部から受信する。
(3) 終了判定部63から全タプル、実現可能匿名度、実行済一般化表及び参加グループ表を受け取った場合に、先ず参加数nを計算する。参加数nは参加グループ表内のグループの実現可能匿名度の和として求められる。次に上記計算された参加数nと希望の参加人数Nとの比較を行い、n≧Nならば「成功」と判定し、n<Nならば「失敗」と判定とする。そして、判定結果が「成功」だった場合には、各提供者候補に関係がある実現可能匿名度及び実行済一般化の情報を、通信インタフェース80から情報提供候補の情報提供装置TM1〜TMiへ送信する。これに対し、判定結果が「失敗」だった場合には、情報提供者候補を追加し、この追加した情報提供者候補の情報提供装置TMj,TMk,…へ、使用する準識別子と欲しい機微情報の取得要求を送信する処理。
匿名度決定部62は、上記管理部61及び一般化処理部65から準識別子の値が等しいグループを入力として受け取った場合に、この受け取ったグループに含まれるタプルを希望匿名度の昇順に並べる。そして、自分の希望匿名度≦自分の順位を満たすタプルに標を付け、当該標がついたタプルの中で順位が最大のタプルの順位を実現可能匿名度とし、標がついているタプルがないグループの実現可能匿名度をNULLとする。そして、上記求めた実現可能匿名度を管理部61に返す処理を行う。
終了判定部63は、以下の処理機能を有する。
(1) 管理部61、匿名度検査部64及び一般化処理部65から、実現可能匿名度、実行済一般化情報、参加グループ表及び全タプルを受け取った場合に、この受け取った実現可能匿名度及び実行済一般化情報から、一般化を行った回数を計算する。そして、一般化を行った回数mを一般化回数の上限Mと比較し、M>mであれば一般化が可能と判定し、M≦mであれば成功・失敗と判定する処理。
(2) 一般化が可能と判定した場合には、入力された実現可能匿名度、実行済一般化、参加グループ表及び全タプルを匿名度検査部64に送る。一方、成功・失敗と判定した場合には、当該判定結果と、上記入力された実現可能匿名度、実行済一般化、参加グループ表及び全タプルを管理部61に送る処理。
匿名度検査部64は、以下の処理機能を有する。
(1) 終了判定部63から全タプル、実現可能匿名度、実行済一般化及び参加グループ表を受け取った場合に、先ず参加グループ表に存在しないグループで実現可能匿名度がNULLではない準識別子グループを探す。そして、この条件を満たすグループが存在した場合には、その中で実現可能匿名度が最も高いグループを参加グループ表に加える処理。
(2) これに対し、上記条件を満たすグループがなかった場合には、上記受け取った全タプル、実現可能匿名度、実行済一般化及び参加グループ表をそのまま一般化処理部65に送る。また、上記条件を満たすグループがあり参加グループ表を更新した場合には、全タプル、実現可能匿名度、実行済一般化及び更新した参加グループ表を終了判定部63に送る処理。
一般化処理部65は、以下の処理機能を有する。
(1) 匿名度検査部64から全タプル、実現可能匿名度、実行済一般化及び参加グループ表を受け取った場合に、参加グループ表にない準識別子グループの中で一般化が可能な全組み合わせを作成する。その結果、条件を満たす組み合わせが存在しない場合には、現在の準識別子の中で一般化が可能な全組み合わせを作成する。そして、上記作成された全組み合わせについて準識別子の一般化処理を行い、等しい準識別子グループに分別して当該グループを匿名度決定部62に送信すると共に、行った一般化処理を実行済一般化表に記録する処理。
(2) 全組み合わせの実現可能匿名度を匿名度決定部62から受信した場合に、全組み合わせの中で実現可能匿名度が最も大きいグループを参加グループ表に加える。またそれと共に、実行済一般化表を更新する。そして、全タプル、更新した実現可能匿名度、実行済一般化及び参加グループ表を終了判定部63に送る処理。
情報提供装置TM1〜TMnは、例えばパーソナルコンピュータ等の固定端末、携帯電話機やスマートホン、PDA(Personal Digital Assistant)、タブレット型端末等の携帯端末からなり、図5に示すように制御ユニット10と、記憶ユニット20と、キーボード又はタブレットからなる入力デバイス30と、液晶表示器からなる表示デバイス40と、通信インタフェース50を備えている。
通信インタフェース50は、上記通信ネットワークNWを介して情報収集装置SVとの間で情報通信を行うもので、通信プロトコルとしては例えばTCP/IP(Transmission Control Protocol/Internet Protocol)が用いられる。
制御ユニット10はCPU(Central Processing Unit)を有し、この発明を実施するための処理機能として提供判定部11及び個人情報管理部12を備えている。これらの処理機能は何れも記憶ユニット20に格納されたプログラムを上記CPUに実行させることにより実現される。
提供判定部11は、以下の処理機能を有する。
(1) 情報収集装置SVから要求情報(使用する準識別子、欲しい機微情報)を通信インタフェース50を介して受信した場合に、準識別子の値を個人情報管理部12に要求して取得し、機微情報の提供に要求する希望匿名度の値を決定する。そして、上記取得した準識別子の値と上記決定した希望匿名度をペアにして、通信インタフェース50から上記情報収集装置SVへ返送する処理。
(2) 情報収集装置SVから使用する準識別子の値と、実現可能匿名度の情報を通信インタフェース50を介して受信した場合に、当該受信した実現可能匿名度を希望匿名度と比較する。そして、実現可能匿名度が希望匿名度より小さい場合は個人情報を提供しないことに決定して、拒否通知を通信インタフェース50から情報収集装置SVへ送信する。また、実現可能匿名度が希望匿名度以上であった場合には、収集者が取得を希望している個人情報を個人情報管理部12に要求して該当する個人情報を取得し、この取得した個人情報を一般化した準識別子の値と機微情報の値を、匿名通信技術を使用して通信ネットワーク50から情報収集装置SVへ送信する処理。
個人情報管理部12は、提供判定部11からの取得要求に応じて記憶ユニット20をアクセスし、当該記憶ユニット20から上記要求された情報を読み出して提供判定部11に返す処理を行う。
(動作)
次に、以上のように構成された情報収集装置SV及び情報提供装置TM1〜TMnの動作を説明する。図8はその全体の処理の流れを示すフローチャート、図9乃至図19は各処理部の処理手順と処理内容を示すフローチャートである。
先ずステップS1において、情報収集装置SVの管理部61から情報提供者候補となる情報提供装置TM1〜TMiに対し、個人情報の提供を要求するための情報を送信する処理1が以下のように行われる。図9はその処理手順と処理内容を示すフローチャートである。
すなわち、先ずステップS11において、使用する準識別子と、欲しい機微情報が決定される。例えば、使用する準識別子は「誕生日」、欲しい機微情報は「病気」に決定される。続いてステップS12により、一般化ツリー、希望の参加人数及び一般化回数の上限が決定される。例えば、一般化ツリーは「○年×月△日→○年×月→○年」、参加人数は「100人」、一般化回数の上限は「12」と決定される。
以上のように決定された各情報のうち、使用する準識別子及び欲しい機微情報は、ステップS13において情報提供者候補となる情報提供装置TM1〜TMiへ送信される。なお、情報提供者候補は希望する参加人数より多く設定される。また、上記希望の参加人数、一般化回数の上限の種類数は終了判定部63に通知され、一般化ツリーは一般化処理部65に通知される。
次にステップS2では、情報提供者候補となる情報提供装置TM1〜TMiにおいてそれぞれ希望する匿名度の値を決定する処理が行われる。図10はその処理手順と処理内容を示すフローチャートである。
情報提供装置TM1〜TMiでは、上記使用する準識別子及び欲しい機微情報が受信されると、先ずステップS21で提供判定部11から個別情報管理部12に対し準識別子の値が要求される。この要求に対し個別情報管理部12では、図19に示すようにステップS111により記憶ユニット20から上記要求された情報が読み出され、提供判定部11に返送される。
例えば、上記要求する準識別子の値が「誕生日」であれば、情報提供装置TM1では「1999年7月15日」が読み出され、また情報提供装置TM2では「1986年11月19日」が読み出されて、提供判定部11に返送される。
提供判定部11では、上記返送された準識別子の値がステップS22で受信されると、ステップS23において機微情報の提供に対する希望匿名度の値が決定される。例えば、情報提供装置TM1では“5”、情報提供装置TM2では“10”とそれぞれ決定される。そして、上記読み出された準識別子の値と上記決定された希望匿名度の値とのペアが、上記要求元の情報収集装置SVへ返送される。
次にステップS3では、情報収集装置SVの管理部61により以下のような処理が行われる。図11はその処理手順と処理内容を示すフローチャートである。
すなわち、全ての情報提供者候補の情報提供装置TM1〜TMiからそれぞれ準識別子の値と希望匿名度の値とのペア(タプル)を受信したことがステップS31で確認されると、先ずステップS32において、上記受信された各タプルが準識別子の値の等しいグループに分けられる。そして、当該分けられた各グループがステップS33により匿名度決定部62に通知される。
例えば、情報提供者候補とした「200人」のユーザ全員からタプルが受信されると、準識別子の値が「1999年7月16日」の組、「1986年11月19日」の組、…というようにグループ分けされ、匿名度決定部62に通知される。
匿名度決定部62では、上記管理部61から準識別子の各グループが通知されると、そのグループごとに匿名度を決定する処理が以下のように行われる。図17はその処理手順と処理内容の一例を示すフローチャートである。
すなわち、先ずステップS91により、上記管理部61から受け取ったグループごとに、当該グループに含まれるタプルが希望匿名度の昇順に並べられる。続いてステップS92により、「自分の希望匿名度≦自分の順位」を満たすタプルに標が付けられる。次にステップS93において、当該標が付けられたタプルの中で順位が最大のタプルの順位が実現可能匿名度に決定される。一方、標がついているタプルのないグループについては、実現可能匿名度はNULLとされる。そして、このように決定された実現可能匿名度は管理部61に返却される。
例えば、いま図17に例示したように、管理部61からタプルとして「1993年、5」「1993年、11」、「1993年、5」、「1993年、9」、…を受け取ったとする。この場合、これらのタプルは「1993年、4」、「1993年、5」、「1993年、5」、「1993年、6」、…のように並べられ、これらのタプルの中で「自分の希望匿名度≦自分の順位」を満たすタプルに標“○”が付けられる。そして、当該標“○”が付けられたタプルの中で順位が最大のタプルの順位、つまり図17の例では「1993年、2」の順位“3”が実現可能匿名度となり、管理部61に返却される。
図18は「自分の希望匿名度≦自分の順位」を満たすタプルが存在しない場合の例を示したもので、ステップS102では何れのタプルにも標“○”が付けられない。このため、ステップS103では実現可能匿名度はNULLとされ、この実現可能匿名度NULLが管理部61に返却される。
管理部61では、上記匿名度決定部62から返送された実現可能匿名度をステップS34により受信すると、ステップS35において実現可能匿名度がNULLではないグループを参加グループ表に加える処理が行われる。この処理後の実現可能匿名度及び参加グループ表は終了判定部63に通知される。
例えば、いま図11に例示したように、匿名度決定部62から2つのグループについてそれぞれ「準識別子の値が1999年7月16日の組で実現可能匿名度5」、「準識別子の値が1986年11月19日の組で実現可能匿名度NULL」が返却されたとすると、このうち実現可能匿名度がNULLではないグループ、つまり準識別子の値が「1999年7月16日の組」のグループが参加グループ表に加えられる。そして、「準識別子の値が1999年7月16日の組で実現可能匿名度“5”」と、参加グループ表が終了判定部63に通知される。
次にステップS4において、終了判定部63により以下の処理が実行される。図12はその処理手順と処理内容を示すフローチャートである。
すなわち、管理部61から実現可能匿名度と参加グループ表が通知され、さらに後述する一般化処理部65から実行済一般化表が通知されると、先ずステップS41において、上記受け取った実行済一般化表から一般化が行われた回数が計算される。そして、ステップS42において、上記一般化が行われた回数mが一般化回数の上限Mと比較され、ステップS43によりM>mと判定されればステップS44で「一般化が可能」と判定される。この場合、入力された実現可能匿名度、実行済一般化、参加グループ表及び全タプルが匿名度検査部64に送られる。
これに対しステップS45によりM≦mと判定された場合には、ステップS46で「成功・失敗」と判定される。そして、この場合には当該判定結果と、上記入力された実現可能匿名度、実行済一般化表、参加グループ表及び全タプルが管理部61に返却される。
例えば、いま図12に示したように管理部61から、「準識別子の値が1999年7月16日の組で実現可能匿名度“5”」と、参加グループ「1999年7月16日、…」が通知され、さらに一般化処理部65から実行済一般化表として「1986年11月16日→ 1986年11月、…」が通知されたとする。このとき、開始時の準識別子の種類数が「100(1999年7月16日が100種)」で、かつ実行済一般化表から一般化を行った準識別子の種類数が「50(1986年11月16日→ 1986年11月の左側(一般化前の準識別子)が50種)」だったとすると、実行済一般化表から一般化処理で生成された準識別子の種類数は「10(1986年11月16日→ 1986年11月の右側(一般化後の準識別子)が10種)」と計算される。なお、残りの準識別子数は100−50+10=60となる。
そして、一般化回数の上限Mを「20」とした場合、一般化した回数が「12」であれば、(一般化回数の上限20)>(一般化した回数12)となるので「一般化可能」と判定される。これに対し、一般化した回数が「22」であれば、(一般化回数の上限20)≦(一般化した回数22)となるため「成功・失敗」と判定される。
上記終了判定部63において「一般化可能」と判定されると、匿名度検査部64ではステップS5により以下のように匿名度の検査が行われる。図13はその処理手順と処理内容を示すフローチャートである。
すなわち、先ずステップS51において、上記終了判定部63から受け取った参加グループ表に存在しないグループで、実現可能匿名度がNULLではない準識別子グループが探索される。そして、この条件を満たすグループが存在するとステップS53で判定された場合には、ステップS54においてその中で実現可能匿名度が最も高いグループが参加グループ表に追加され、その結果が終了判定部63に返却される。これに対し、上記条件を満たすグループがなかった場合には、上記受け取った全タプル、実現可能匿名度、実行済一般化及び参加グループ表がそのまま一般化処理部65に送られる。
例えば、いま「準識別子の値が1999年7月16日の組で実現可能匿名度“5”」、…と、参加グループとして「1999年7月16日」、…と、実行済一般化表として「1986年11月16日→ 1986年11月」、…が終了判定部63から通知されたとする。この場合には、「準識別子の値が1999年7月16日の組で実現可能匿名度“5”」、「準識別子の値が1989年5月の組で実現可能匿名度11」、「準識別子の値が1983年の組で実現可能匿名度“20”」、…と、参加グループ表「1999年7月16日、1989年5月」、…が比較され、実現可能匿名度がNULLでないのに参加グループ表に入ってない準識別子グループが探索される。
そして、実現可能匿名度がNULLではなく参加グループ表にないグループである、「準識別子の値が1983年の組で実現可能匿名度“20”」、…の中で、実現可能匿名度がもっとも大きいグループが選択されて参加グループ表に追加される。またそれと共に、このとき行われていた一般化の種類が実行済一般化表に追加される。最後に、「準識別子の値が1999年7月16日の組で実現可能匿名度“5”」、…と、参加グループ「1999年7月16日、…」と、実行済一般化表「1986年11月16日→ 1986年11月、…」が終了判定部63に返却される。
上記匿名度検査部64において、参加グループ表に存在しないグループで、実現可能匿名度がNULLではない準識別子グループが見つからなかった場合には、ステップS6に移行する。ステップS6では、一般化処理部65により準識別子グループを一般化する処理が行われる。図14はその処理手順と処理内容を示すフローチャートである。
一般化処理部65では、先ずステップS61において、上記匿名度検査部64から受け取った参加グループ表にない準識別子グループの中で一般化が可能な全ての組み合わせが作成される。そして、条件を満たす組み合わせが存在しないとステップS63で判定された場合には、現在の準識別子の中で一般化が可能な全ての組み合わせがステップS65で作成される。
例えば、いま図14に例示したように、「準識別子の値が1999年7月16日の組で実現可能匿名度“5”」…、参加グループ「1999年7月16日…、」及び実行済一般化表「1986年11月16日→ 1986年11月…、」が匿名度検査部64から通知されたとする。このうち参加表にないグループが、「1978年5月11日」、「1978年5月14日」、「1978年5月22日」、「1978年5月17日」、「1978年5月15日」、「1988年6月15日」、…だったとすると、一般化できる組み合わせとして「1978年5月」が作成される。これに対し、このような組が作れない場合には、参加グループ表にあるグループも含めて組み合わせが作成される。
一般化処理部65では、次にステップS65において、上記作成された準識別子グループの中で一般化が可能な全ての組み合わせ、又は現在の準識別子の中で一般化が可能な全ての組み合わせについて、準識別子の一般化処理が行われる。そして、この一般化処理されたグループが匿名度決定部62に通知される。
匿名度決定部62では、図17又は図18にて説明したように、上記一般化処理部65から通知されたグループについての実現可能匿名度が求められる。例えば、一般化処理部65から「準識別子の値が1978年5月の組」が通知されたとすると、「準識別子の値が1978年5月の組で匿名度“5”」が求められ、一般化処理部65に返却される。
一般化処理部65では、上記匿名度決定部62から全ての組の一般化処理の結果が返却されたことがステップS66で確認されると、ステップS67において上記全ての組の中で実現可能匿名度が最も大きいグループが抽出され、参加グループ表に加えられる。またそれと共に、実行済一般化表が更新される。この更新された参加グループ表と実行済一般化表は、終了判定部63に通知される。
例えば、いま図14に例示したように「準識別子の値が1978年7月の組で実現可能匿名度“5”」、「準識別子の値が1989年5月の組で実現可能匿名度“11”」、…だったとする。この場合、実現可能匿名度が一番大きい準識別子、つまり「1989年5月11日→1989年5月」が参加グループ表に追加され、さらにこの準識別子の一般化方法が実行済一般化に追加される。
終了判定部63では、上記一般化処理部65から更新された参加グループ表と実行済一般化表が通知されると、図12に示した手順に従い再度「一般化可能」か「成功・失敗」かを判定する処理が行われる。そして、この判定の結果「成功・失敗」と判定されると、全タプル、実現可能匿名度、実行済一般化表及び参加グループ表が管理部61に通知される。
管理部61では、上記終了判定部63から上記「成功・失敗」の判定に伴い全タプル、実現可能匿名度、実行済一般化表及び参加グループ表が判定結果が通知されると、ステップS7において「成功」か「失敗」かを判定するための処理が実行される。図15はその処理手順と処理内容を示すフローチャートである。
すなわち、先ずステップS71において参加数nが計算される。参加数nは参加グループ表内のグループの実現可能匿名度の和として算出される。続いて上記計算された参加数nが希望の参加人数Nと比較され、n≧Nならば「成功」と判定され、n<Nならば「失敗」と判定される。そして、判定結果が「成功」だった場合には、ステップS72において、先に匿名度決定部62で決定された準識別子とその実現可能匿名度の情報がそれぞれ対応する情報提供装置TM1〜TMiへ送信される。
例えば、いま図15に例示したように、終了判定部63から「準識別子の値が1999年7月16日の組で実現可能匿名度5」、…と、参加グループ「1999年7月16日、…」と、実行済一般化表「1986年11月16日→ 1986年11月」、…が通知されたとする。この場合、参加グループ表内に含まれるグループの情報、例えば「準識別子の値が1999年7月16日の組で実現可能匿名度“5”」、「準識別子の値が1986年11月の組で実現可能匿名度“10”」、「準識別子の値が2001年の組で実現可能匿名度“20”」、…をもとに、各グループの参加人数の合計nが例えばn=15+10+20+…のように計算される。そして、その合計参加人数nが希望参加人数N(N=100)と比較され、合計参加人数nが希望参加人数N=100以上であれば「成功」、未満であれば「失敗」とそれぞれ判定される。
そして、「成功」と判定された場合には、匿名度決定部62で決定された準識別子とその実現可能匿名度の情報、例えば「準識別子が1999年7月で実現可能匿名度5」が対応する情報提供装置TM1へ、また「準識別子が1986年で実現可能匿名度10」が情報提供装置TM2へ送信される。
情報提供装置TM1,TM2の各提供判定部11では、それぞれ上記情報収集装置SVから上記使用する準識別子と実現可能匿名度が送られると、ステップS8において個人情報を匿名化して送信する処理が実行される。図16はその処理手順と処理内容を示すフローチャートである。
先ずステップS81において、受信した実現可能匿名度が希望匿名度と比較される。そして、ステップS82において実現可能匿名度が希望匿名度より小さいと判定された場合には、ステップS83により個人情報を提供しないと決定され、拒否通知が情報収集装置SVへ送信される。
一方、ステップS84において実現可能匿名度が希望匿名度以上と判定された場合には、ステップS85により収集者が取得を希望している個人情報の取得要求が個人情報管理部12に送られる。個人情報管理部12では、図19に示すようにステップS111において、上記提供判定部11からの取得要求に応じて記憶ユニット20から上記要求された個人情報が読み出され、提供判定部11に返送される。提供判定部11では、上記個人情報が受信されると、ステップS86において当該受信された個人情報を一般化した準識別子の値と機微情報の値が生成され、当該情報が匿名通信技術を使用して情報収集装置SVへ送信される。
例えば、いま情報収集装置SVから、「準識別子が1999年7月で実現可能匿名度“10”」が送られたとする。この場合、実現可能匿名度“10”が希望匿名度と比較される。そして、例えば希望匿名度が“15”だったとすると、実現可能匿名度“10”は希望匿名度“15”より小さいため、拒否通知処理が行われる。
これに対し、例えば希望匿名度が“5”だったとすると、実現可能匿名度“10”は希望匿名度“5”より大きいため、個人情報を匿名化して送信する処理が行われる。例えば、図16の例では、個人情報管理部12により機微情報として「インフルエンザ」が読み出され、この「インフルエンザ」が準識別子である「1999年7月」と共に情報収集装置SVへ送信される。情報収集装置SVの管理部61は、上記情報提供装置TM1〜TMiから送信された個人情報が受信されると、当該個人情報を記憶ユニットに70に格納する。
一方、情報収集装置SVの管理部61において、ステップS73により合計参加人数nが希望参加人数N未満となり、これにより「失敗」と判定されると、情報提供者候補が追加される。そして、この追加された情報提供者候補の情報提供装置TMj,TMk,…へ、使用する準識別子と欲しい機微情報の取得要求が送信される。例えば図15に例示したように、使用する準識別子として「誕生日」、欲しい機微情報として「病歴」の取得要求が送信される。
この取得要求を受信すると情報提供者装置TMj,TMk,…では、ステップS2において提供判定部11の制御の下、先に図10において説明したように機微情報の提供に対する希望匿名度の値が決定され、この決定された希望匿名度の値が準識別子の値と共に要求元の情報収集装置SVへ返送される。この準識別子の値と希望匿名度の値が受信されると、情報収集装置SVでは先に述べたステップS3〜S9による処理が行われる。
図20乃至図22は、以上述べた情報収集装置SV及び情報提供装置TM1〜TMnの各処理部間における情報の流れを示したもので、このうち図20は情報提供者数が希望人数以上と判定されて匿名度の設定に成功した場合のシーケンスを、図21は情報提供者数が希望人数に満たず匿名度の設定に失敗した場合のシーケンスを、図22は一般化処理が可能と判定された場合のシーケンスをそれぞれ示している。
(効果)
以上詳述したように第1の実施形態では、以下のような処理を行っている。すなわち、情報提供装置TM1〜TMnに保存されたユーザの個人情報を匿名化して情報収集装置SVで収集する際に、先ず情報収集装置SVから情報提供者候補の装置TM1〜TMiに対し、使用する準識別子と欲しい機微情報を通知する。これに対し情報提供装置TM1〜TMiは準識別子の値と希望する匿名度を情報収集装置SVに返答する。この返答を受けて情報収集装置SVは、実施可能な匿名度と一般化の方法を決定する処理を行う。具体的には、先ず準識別子ごとに実現可能なもので最大の匿名度を求め、実現可能な匿名がなかった準識別子については一般化処理を行い、上記最大の匿名度の算出処理に戻る。以上の処理を一般化回数の上限になるまで繰り返す。そして、人数が希望に達したならば終了し、人数が足りない場合には候補者を増やしてリトライする。情報収集装置SVは、上記決定した実現可能匿名度と一般化の方法を情報提供装置TM1〜TMiへ通知する。情報提供装置TM1〜TMiは、上記通知された実現可能匿名度と一般化の方法に従い、一般化した準識別子の値と機微情報を情報収集装置SVへ送信する。
したがって、情報提供装置TM1〜TMnから情報収集装置SVへ個人情報を送信する際に、当該個人情報の準識別子が情報提供者の希望する匿名度に応じて一般化される。このため、情報収集装置SVに収集された個人情報の中には同じ準識別子を有する個人情報が必ず複数存在することになり、これにより仮に情報収集者がある情報提供者についての事前知識を有していたとしても、当該情報提供装置TM1〜TMnから提供された情報を特定することは困難となる。図34はこの効果を説明するための匿名化処理の一例を示すものである。
また、装置TM1〜TMnから情報提供者自身が希望する匿名度が事前に情報収集装置SVに伝えられ、情報収集装置SVではこの通知された希望する匿名度を1つの条件として実現可能な匿名度が決定されるので、情報提供者にとっては希望する匿名性が保障され、さらに実現される匿名性を確認することができ、これにより不安は解消される。
さらに、情報収集装置SVでは、予め設定された一般化回数の上限内で情報提供候補者数が予め設定した情報収集希望者数以上となるように実現可能匿名度と一般化方法が決定されるので、過度な匿名度を希望している提供候補者を切り捨て、データ収集者側が集めたい精度と同等、もしくはそれ以下の匿名度を希望している情報提供者候補から情報提供を受けることが可能となる。すなわち、過度な匿名化が行われることを防止して提供された情報の有用性を保障することができる。
さらに、実現可能匿名度と一般化方法を決定する際に、当該決定処理が成功したか失敗したかが判定され、失敗した場合には情報提供者候補を増加させて、この増加された情報提供者候補を対象に実現可能匿名度と一般化方法の決定処理がリトライされる。このため、情報収集者が有効な分析等を行うに必要な情報提供者数をより確実に確保することが可能となり、これにより収集情報の有効性をさらに高めることができる。
[第2の実施形態]
第1の実施形態による情報収集方法では、情報収集者が嘘の実現可能匿名度を通知すると、本当は提供しないはずの提供者候補から機微情報を引き出すことが可能となってしまう。例えば図23に示すように、実現可能匿名度が本当は“6”なのに、実現可能匿名度が“10”だと情報収集者が嘘の通知をすると、希望匿名度が“10”の情報提供者候補は機微情報を提供してしまうため、本当に実現可能匿名度が“10”になることは保障されない。
そこで、この発明の第2の実施形態では、信頼できる第三者のサーバ装置を追加し、この第三者のサーバ装置により情報提供者候補の数を実現可能匿名度の数と比較することにより、情報提供者候補の数が実現可能匿名度の数以上か否かをチェックするようにしている。
図24はこの発明の第2の実施形態に係る情報収集システムの概略構成図、図25は当該システムにおける情報の流れを示すシーケンス図である。なお、本実施形態の基本機能は第1の実施形態と同一なので、第1の実施形態の説明で用いた図面をそのまま使用し、異なる機能のみを説明する。
情報収集装置SVの管理部61は、図15に示した処理3において、実現可能匿名度及び一般化方法の決定処理が終了すると、使用する準識別子の値と、実現可能匿名度を情報提供者候補の情報提供装置TM1〜TMiに通知する。これに対し情報提供者装置TM1〜TMiの提供判定部11は、上記情報提供装置SVから準識別子の値と実現可能匿名度が通知されると、この通知された実現可能匿名度を希望匿名度と比較して実現可能匿名度が希望匿名度以上であれば、上記受け取った準識別子の値と実現可能匿名度を図25に示すように信用できる第三者のサーバ装置へ転送する。
サーバ装置は、情報提供者候補ごとに、その情報提供装置TM1〜TMiから受信した準識別子の値と実現可能匿名度から、同じ準識別子の値を送ってきた他の情報提供者候補の数が実現可能匿名度の数以上かどうかをそれぞれチェックする。そして、そのチェック結果を表す情報を、送信元の情報提供装置TM1〜TMiにそれぞれ通知する。これに対し情報提供装置TM1〜TMiの提供判定部11は、上記通知された判定結果をもとに実現可能匿名度が実現されることが確認できた場合に限り、機微情報を情報収集装置SVへ送信する。
以上の機能を追加することで、情報収集者が実現可能匿名度の値を偽ること防止することが可能となる。
[第3の実施形態]
この発明の第3の実施形態は、情報収集者が実現可能匿名度の値を偽ること防止するために、情報提供者候補となる情報提供装置TM1〜TMiの提供判定部11間にP2P(Pear-to-Pear)方式を採用したネットワークを構成し、これにより情報収集者から通知された実現可能匿名度が正しいことを確認するようにしたものである。
図26はこの発明の第3の実施形態に係る情報収集システムの概略構成図である。同図において、情報提供者候補となる情報提供装置TM1〜TMiの提供判定部11間には、P2P方式を採用したネットワークが構成される。なお、このネットワークに情報収集装置SVは加わっていない。
情報収集装置SVの管理部61は、情報提供候補が使用する準識別子の値と実現可能匿名度をそれぞれ情報提供装置TM1〜TMiへ通知する際に、準識別子の値ごとのハッシュのソルト(ハッシュ用の追加データ)を併せて通知する。
これに対し情報提供装置TM1〜TMiの提供判定部11は、上記通知された実現可能匿名度と希望匿名度を比較し、実現可能匿名度が希望匿名以上であれば、情報収集装置SVから通知された準識別子の値、実現可能匿名度及びソルトを合わせてハッシュ関数で計算する。このとき、ハッシュ関数は予め提供者候補間で使用する関数を決めておく。そして、上記計算されたハッシュの値をP2Pネットワークを介して他の情報提供装置との間で転送し合って共有することで、自装置と同じハッシュ値を提出した情報提供者候補が実現可能匿名度と同じ数存在するか否かを判定する。この判定の結果、実現可能匿名度が同じハッシュ値を提出した人数以下だった場合に限り、機微情報を情報収集装置SVへ送信する。なお、ハッシュ関数を使用するのは準識別子の値が他の情報提供者候補に流通することを防ぐためである。
[第4の実施形態]
第1の実施形態に係る情報収集システムでは、情報収集者が自由に情報提供者候補を選択することができる。このため、ある個人の個人情報が含まれているかどうかが分かっているので、その個人の後にその個人と機微情報の対応に利用される可能性がある。
そこで、この発明の第4の実施形態では、前記第2の実施形態と同様に、信頼できる第三者のサーバ装置を設け、情報収集装置SVから依頼を受けた情報提供者候補の情報提供装置TM1〜TMiが、信頼できるサーバ装置に対し別の情報提供者候補の情報提供装置へ自身の情報提供権の再配布を依頼する。さらに、その後の情報収集装置SVとの通信にはすべて匿名通信を使用して、通信先から情報提供者候補を特定できないようにするものである。
図27はこの発明の第4の実施形態に係る情報収集システムの概略構成図、図28及び図29は当該システムにおける情報の流れを示すシーケンス図である。なお、本実施形態の基本機能は第1の実施形態と同一なので、第1の実施形態の説明で用いた図面をそのまま使用し、異なる機能のみを説明する。
情報収集装置SVの管理部61は、図9に示した処理1において、情報収集装置SVの管理部61から、選択した情報提供者候補の情報提供装置TM1〜TMiに対し、使用する準識別子の種類と機微情報の種類を表す情報を通知する。これに対し情報提供装置TM1〜TMiの提供判定部11は、信用できるサーバ装置に対し、図28に示すように別の情報提供者候補の情報提供装置への情報提供権の再配布を依頼する。上記情報提供権の再配布を受け取ると、情報提供装置TM1〜TMiの提供判定部11は、以後情報収集装置SVとの通信にはすべて匿名通信を使用し、これにより通信先から情報提供者候補を特定できないようにする。
またそれと共に情報収集装置SVの管理部61は、図15に示した処理3において、準識別子の種類と欲しい機微情報の種類を表す情報を最初に送信した情報提供者候補の情報提供装置TM1〜TMiに対し、使用する準識別子の値と、実現可能匿名度の全リストを送信する。
これに対し情報提供装置TM1〜TMiの提供判定部11は、上記情報収集装置SVから準識別子の値と実現可能匿名度の全リストを受け取ると、図29に示すように信用できるサーバ装置に対し、当該受け取った準識別子の値と実現可能匿名度の全リストを他の情報提供装置へ転送する。上記準識別子の値と実現可能匿名度の全リストを受け取ると情報提供装置の提供判定部11は、通知された実現可能匿名度と希望匿名度とを比較する。そして、実現可能匿名度が希望匿名度以上の場合には、個人情報管理部12により記憶ユニット20から読み出された機微情報を情報収集装置SVへ送信する。
なお、この第4の実施形態においても、先に述べた第3の実施形態と同様に、P2P通信を使用して依頼権の交換を行うことで同じ処理を実現するようにしてもよい。図30はその情報の流れを示した図である。すなわち、上記信頼できるサーバ装置による転送処理を、情報提供装置TM1〜TMiの提供判定部11間でP2Pネットワークを介して行うことができる。
[第5の実施形態]
第1の実施形態では、同じ情報収集者が同じ機微情報を複数回要求して来た場合、当該情報収集者が前回までに得ている情報と新たに獲得した情報とを結合させることで、要求している匿名性が保障されなくなる可能性がある。図31はその一例を示した図である。
この発明の第5の実施形態は、上記課題を以下のように解決する。図32はこの発明の第5の実施形態に係る情報収集システムの概略構成図である。なお、本実施形態においても基本機能は第1の実施形態と同一なので、第1の実施形態の説明で用いた図面をそのまま使用し、異なる機能のみを説明する。
すなわち、情報提供者候補の情報提供装置TM1〜TMiの提供判定部11は、以前にどの情報収集装置にどの機微情報を提供したかを表す情報提供履歴を作成し保存しておく。なお、この実施形態においても、前記第2及び第4の実施形態と同様に第三者の信用できるサーバ装置が設けられている。
情報収集装置SVの管理部61が、図9に示した処理1を終了して、使用する準識別子の種類と要求とする機微情報の種類を表す情報を送信すると、情報提供装置TM1〜TMiの提供判定部11は、要求元の情報収集装置SVが、要求された機微情報の種類に対応する機微情報を過去に提供したことがある相手かどうかを、情報提供履歴をもとに判定する。そして、以前に提供したことがあった場合には、第三者の信頼できるサーバ装置を使用して提供権の再配布を行う。この処理を、過去に一度も機微情報を提供したことがない情報提供者候補に辿り着くまで転送処理を繰り返す。
なお、この第5の実施形態においても、先に述べた第3の実施形態と同様に、P2P通信を使用して依頼権の交換を行うことで同じ処理を実現するようにしてもよい。すなわち、上記信頼できるサーバ装置による転送処理を、情報提供装置TM1〜TMiの提供判定部11間でP2Pネットワークを介して行うことができる。
[その他の実施形態]
なお、この発明は上記各実施形態に限定されるものではない。例えば、情報提供装置及び情報収集装置の構成とその処理手順及び処理内容、通信プロトコル、個人情報の種類や構成等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
要するにこの発明は、上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、各実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
1…情報提供者候補の装置、2…情報収集者側の装置、TM1〜TMn…情報提供装置、SV…情報収集装置、NW…通信ネットワーク、10…情報提供装置の制御ユニット、11…提供判定部、12…個人情報管理部、20…情報提供装置の記憶ユニット、30…入力デバイス、40…表示デバイス、50…情報提供装置の通信インタフェース、60…情報収集装置の制御ユニット、61…管理部、62…匿名度決定部、63…終了判定部、64…匿名度検査部、65…一般化処理部、70…情報収集装置の記憶ユニット、80…情報収集装置の通信インタフェース。

Claims (8)

  1. 情報収集装置が複数の情報提供装置からその情報提供者の個人情報を匿名化して収集する情報収集システムであって、
    前記情報収集装置は、前記個人情報のうち収集を要求する機微情報の種類と、情報提供者を間接的に特定する準識別子の種類とを含む収集要求情報を生成し、当該生成された収集要求情報を前記複数の情報提供装置のうち情報提供者候補となる情報提供装置群へ選択的に送信する第1の手段を備え、
    前記複数の情報提供装置は、前記収集要求情報を受信した場合に、当該収集要求情報に含まれる準識別子の種類に対応する値を個人情報記憶部から読み出し、当該読み出された準識別子の値と、情報提供者が希望する匿名度を表す情報を、前記情報収集装置へ返信する第2の手段を備え、
    前記情報収集装置は、前記情報提供者候補となる情報提供装置群から返信された準識別子の値及び希望する匿名度と、準識別子に対し予め設定した一般化許容条件及び情報収集希望者数とに基づいて、前記一般化許容条件の範囲内で情報提供候補者数が前記情報収集希望者数以上となる実現可能匿名度と一般化方法を決定し、当該決定された実現可能匿名度と、前記一般化方法により一般化された前記準識別子を前記複数の情報提供装置へ送信する第3の手段を備え、
    前記複数の情報提供装置は、前記情報収集装置から送信された実現可能匿名度と一般化された準識別子を受信した場合に、当該受信された実現可能匿名度を前記情報提供者が希望する匿名度と比較し、実現可能匿名度が希望する匿名度より高い場合に、前記収集要求情報に含まれる機微情報の種類に対応する機微情報を前記個人情報記憶部から読み出し、前記情報収集装置へ送信する第4の手段を備える
    ことを特徴とする情報収集システム。
  2. 前記第3の手段は、前記実現可能匿名度と一般化方法の決定に失敗した場合に、前記情報提供者候補を増加させ、この増加された情報提供者候補について前記第1及び第2の手段と協同して前記実現可能匿名度と一般化方法の決定処理を再度実行することを特徴とする請求項1記載の情報収集システム。
  3. 複数の情報提供装置からその情報提供者の個人情報を匿名化して収集する情報収集装置であって、
    前記個人情報のうち収集を要求する機微情報の種類と、情報提供者を間接的に特定する準識別子の種類とを含む収集要求情報を生成し、当該生成された収集要求情報を前記複数の情報提供装置のうち情報提供者候補となる情報提供装置群へ選択的に送信する手段と、
    前記情報提供者候補となる情報提供装置群から、前記準識別子の種類に対応する値と、情報提供者が希望する匿名度を表す情報が返信された場合に、当該準識別子の値及び希望する匿名度と、準識別子に対し予め設定した一般化許容条件及び情報収集希望者数とに基づいて、前記一般化許容条件の範囲内で情報提供候補者数が前記情報収集希望者数以上となる実現可能匿名度と一般化方法を決定し、当該決定された実現可能匿名度と、前記一般化方法により一般化された前記準識別子を前記複数の情報提供装置へ送信する決定手段と
    を具備することを特徴とする情報収集装置。
  4. 前記決定手段は、前記実現可能匿名度と一般化方法の決定に失敗した場合に、前記情報提供者候補を増加させ、この増加された情報提供者候補について前記実現可能匿名度と一般化方法の決定処理を再度実行することを特徴とする請求項3記載の情報収集装置。
  5. 情報収集装置が複数の情報提供装置からその情報提供者の個人情報を匿名化して収集する情報収集システムで使用される前記情報提供装置であって、
    前記情報収集装置から、前記個人情報のうち収集を要求する機微情報の種類と、情報提供者を間接的に特定する準識別子の種類とを含む収集要求情報を受信した場合に、当該収集要求情報に含まれる準識別子の種類に対応する値を個人情報記憶部から読み出し、当該読み出された準識別子の値と、情報提供者が希望する匿名度を表す情報を、前記情報収集装置へ返信する手段と、
    前記情報収集装置から、前記準識別子に対し予め設定された一般化許容条件の範囲内で情報提供候補者数が情報収集希望者数以上となるように決定された実現可能匿名度を受信した場合に、当該受信された実現可能匿名度を前記情報提供者が希望する匿名度と比較し、実現可能匿名度が希望する匿名度より高い場合に、前記収集要求情報に含まれる機微情報の種類に対応する機微情報を前記個人情報記憶部から読み出し、前記情報収集装置へ送信する手段と
    を具備することを特徴とする情報提供装置。
  6. 情報収集装置が複数の情報提供装置からその情報提供者の個人情報を匿名化して収集する情報収集システムが実行する情報収集方法であって、
    前記情報収集装置が、前記個人情報のうち収集を要求する機微情報の種類と、情報提供者を間接的に特定する準識別子の種類とを含む収集要求情報を生成し、当該生成された収集要求情報を前記複数の情報提供装置のうち情報提供者候補となる情報提供装置群へ選択的に送信する第1の過程と、
    前記複数の情報提供装置が、前記収集要求情報を受信した場合に、当該収集要求情報に含まれる準識別子の種類に対応する値を個人情報記憶部から読み出し、当該読み出された準識別子の値と、情報提供者が希望する匿名度を表す情報を、前記情報収集装置へ返信する第2の過程と、
    前記情報収集装置が、前記情報提供者候補となる情報提供装置群から返信された準識別子の値及び希望する匿名度と、準識別子に対し予め設定した一般化許容条件及び情報収集希望者数とに基づいて、前記一般化許容条件の範囲内で情報提供候補者数が前記情報収集希望者数以上となる実現可能匿名度と一般化方法を決定し、当該決定された実現可能匿名度と、前記一般化方法により一般化された前記準識別子を前記複数の情報提供装置へ送信する第3の過程と、
    前記複数の情報提供装置が、前記情報収集装置から送信された実現可能匿名度と一般化された準識別子を受信した場合に、当該受信された実現可能匿名度を前記情報提供者が希望する匿名度と比較し、実現可能匿名度が希望する匿名度より高い場合に、前記収集要求情報に含まれる機微情報の種類に対応する機微情報を前記個人情報記憶部から読み出し、前記情報収集装置へ送信する第4の過程と
    を具備することを特徴とする情報収集方法。
  7. 複数の情報提供装置からその情報提供者の個人情報を匿名化して収集する、コンピュータを備えた情報収集装置で使用されるプログラムであって、
    前記個人情報のうち収集を要求する機微情報の種類と、情報提供者を間接的に特定する準識別子の種類とを含む収集要求情報を生成し、当該生成された収集要求情報を前記複数の情報提供装置のうち情報提供者候補となる情報提供装置群へ選択的に送信する処理と、
    前記情報提供者候補となる情報提供装置群から、前記準識別子の種類に対応する値と、情報提供者が希望する匿名度を表す情報が返信された場合に、当該準識別子の値及び希望する匿名度と、準識別子に対し予め設定した一般化許容条件及び情報収集希望者数とに基づいて、前記一般化許容条件の範囲内で情報提供候補者数が前記情報収集希望者数以上となる実現可能匿名度と一般化方法を決定し、当該決定された実現可能匿名度と、前記一般化方法により一般化された前記準識別子を前記複数の情報提供装置へ送信する処理と
    を、前記コンピュータに実行させるプログラム。
  8. 情報収集装置がコンピュータを備えた複数の情報提供装置からその情報提供者の個人情報を匿名化して収集する情報収集システムで使用される、前記情報提供装置で使用されるプログラムであって、
    前記情報収集装置から、前記個人情報のうち収集を要求する機微情報の種類と、情報提供者を間接的に特定する準識別子の種類とを含む収集要求情報を受信した場合に、当該収集要求情報に含まれる準識別子の種類に対応する値を個人情報記憶部から読み出し、当該読み出された準識別子の値と、情報提供者が希望する匿名度を表す情報を、前記情報収集装置へ返信する処理と、
    前記情報収集装置から、前記準識別子に対し予め設定された一般化許容条件の範囲内で情報提供候補者数が情報収集希望者数以上となるように決定された実現可能匿名度を受信した場合に、当該受信された実現可能匿名度を前記情報提供者が希望する匿名度と比較し、実現可能匿名度が希望する匿名度より高い場合に、前記収集要求情報に含まれる機微情報の種類に対応する機微情報を前記個人情報記憶部から読み出し、前記情報収集装置へ送信する処理と
    を、前記コンピュータに実行させるプログラム。
JP2014034083A 2014-02-25 2014-02-25 情報収集システムとその情報収集装置、情報提供装置、匿名情報収集方法及びプログラム Active JP6053181B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014034083A JP6053181B2 (ja) 2014-02-25 2014-02-25 情報収集システムとその情報収集装置、情報提供装置、匿名情報収集方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014034083A JP6053181B2 (ja) 2014-02-25 2014-02-25 情報収集システムとその情報収集装置、情報提供装置、匿名情報収集方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2015158852A JP2015158852A (ja) 2015-09-03
JP6053181B2 true JP6053181B2 (ja) 2016-12-27

Family

ID=54182780

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014034083A Active JP6053181B2 (ja) 2014-02-25 2014-02-25 情報収集システムとその情報収集装置、情報提供装置、匿名情報収集方法及びプログラム

Country Status (1)

Country Link
JP (1) JP6053181B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6706965B2 (ja) * 2016-02-24 2020-06-10 株式会社Kddi総合研究所 通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム
JP6610334B2 (ja) * 2016-02-29 2019-11-27 富士通株式会社 漏洩リスク提供装置、漏洩リスク提供方法および漏洩リスク提供プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7269578B2 (en) * 2001-04-10 2007-09-11 Latanya Sweeney Systems and methods for deidentifying entries in a data source
JP5757241B2 (ja) * 2009-10-09 2015-07-29 日本電気株式会社 情報管理装置、そのデータ処理方法、およびコンピュータプログラム
JP5611852B2 (ja) * 2011-01-31 2014-10-22 Kddi株式会社 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム
WO2013031997A1 (ja) * 2011-09-02 2013-03-07 日本電気株式会社 匿名化装置、及び、匿名化方法
JP5602782B2 (ja) * 2012-04-05 2014-10-08 日本電信電話株式会社 情報提供者端末、及び情報取引方法

Also Published As

Publication number Publication date
JP2015158852A (ja) 2015-09-03

Similar Documents

Publication Publication Date Title
Amintoosi et al. A reputation framework for social participatory sensing systems
CA2929269C (en) Dynamic de-identification and anonymity
US9977911B2 (en) Methods and systems for managing permissions to access mobile device resources
Deepa et al. Hybrid Context Aware Recommendation System for E-Health Care by merkle hash tree from cloud using evolutionary algorithm
US11082226B2 (en) Zero-knowledge identity verification in a distributed computing system
US10984410B2 (en) Entity-sovereign data wallets using distributed ledger technology
US20200287719A1 (en) Zero-knowledge identity verification in a distributed computing system
US10817791B1 (en) Systems and methods for guided user actions on a computing device
US20140214895A1 (en) Systems and method for the privacy-maintaining strategic integration of public and multi-user personal electronic data and history
US8346950B1 (en) Hosted application server
US20200159847A1 (en) Contribution of multiparty data aggregation using distributed ledger technology
EP3063691A2 (en) Dynamic de-identification and anonymity
US9419946B2 (en) Method and apparatus for anonymously acquiring service information
JP4871991B2 (ja) 情報アクセス制御システムとそのサーバ装置、情報アクセス制御方法、アクセス制御ルール設定制御方法
US8713053B2 (en) Active tags
JP5991386B2 (ja) ネットワークシステム
US20210243183A1 (en) Automated on call and ad hoc access to restricted resources
EP2725538B1 (en) Privacy protected dynamic clustering of end users
Geng et al. Did-efed: Facilitating federated learning as a service with decentralized identities
JP6053181B2 (ja) 情報収集システムとその情報収集装置、情報提供装置、匿名情報収集方法及びプログラム
Dhekane et al. Talash: Friend Finding In Federated Social Networks.
US20160246997A1 (en) Social network reports
Zhao et al. EPLA: efficient personal location anonymity
KR102137798B1 (ko) 시멘틱 웹 기반 IoT 기기의 기본 분산 소셜 그룹을 형성하는 방법 및 이를 위한 IoT기기
KR102107125B1 (ko) 시멘틱 웹 기반의 iot의 기본신원정보(bii) 및 신원확인절차(idp)에 대한 정의와 그 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161128

R150 Certificate of patent or registration of utility model

Ref document number: 6053181

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150