次に、本発明における実施形態について図面を参照して説明する。
なお、各図面は、本発明の実施形態を説明するものである。そのため、本発明は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ符号を付し、その繰り返しの説明を、省略する場合がある。
また、以下の説明に用いる図面において、本発明の説明に関係しない部分の構成については、記載を省略し、図示しない場合もある。
説明に先立ち、本実施形態の説明で用いる用語について整理する。
「パーソナル情報」とは、個人(パーソナル)の属性を含む情報である。例えば、パーソナル情報は、個人の特徴を表す属性を含む。ここで、個人の特徴を表す属性は、準識別子及びセンシティブ属性を含む。以下、個人の特徴を表す属性を含め、パーソナル情報と言う。
「有効期間」とは、パーソナル情報が、パーソナル情報を記憶している装置又はシステムにおいて、有効である期間のことである。例えば、パーソナル情報が、データベースに記憶される場合、有効期間は、パーソナル情報がデータベースに記憶されている期間である。
より具体的に説明する。病気の治療のために1年間通院する患者を仮定する。その患者のパーソナル情報は、通院の開始時に病院のデータベースに記憶される。そして、1年間の通院後、病気が完治した場合、患者のパーソナル情報は、データベースから削除される。この場合、患者のパーソナル情報の有効期間は、病院のデータベースに記憶されている1年間である。そのため、有効期間は、「存続期間」といっても良い。
ただし、有効期間は、時間(例えば、年、月、日、時、分、又は、秒)のように連続した値に限る必要はない。例えば、治療のための通院回数が決まっている治療の場合、パーソナル情報の有効期間は、通院回数となる。
より具体的に説明する。血液検査の通院を仮定する。この場合、例えば、患者は、申込み、採血、及び、結果報告の三回通院する。この場合、有効期間は、三回となる。
<第1の実施形態>
まず、本発明における第1の実施形態に係る情報処理装置100の構成について、図面を参照して説明する。
図1は、第1の実施形態に係る情報処理装置100の構成の一例を示すブロック図である。
第1の実施形態に係る情報処理装置100は、パーソナル情報が追加・削除されるデータベースにおいて、プライバシーを保護するため、有効期間が同一又は所定の範囲のパーソナル情報を匿名化する。
そのため、情報処理装置100は、抽出部111と、変換部112と、パーソナル有効情報記憶部121と、結果記憶部122とを含む。
パーソナル有効情報記憶部121は、パーソナル情報と、パーソナル情報の有効期間とを、相互に参照できるように、記憶する。
なお、パーソナル有効情報記憶部121は、パーソナル情報と、有効期間とを、相互に参照できるように記憶すれば、記憶の形式に、特に制限はない。例えば、パーソナル有効情報記憶部121は、テーブルの形式を用いて、パーソナル情報と有効期間とを、異なるカラム(列)に記憶してもよい。また、パーソナル有効情報記憶部121は、パーソナル情報と有効期間とを、複数のテーブルに分けて、記憶してもよい。また、パーソナル有効情報記憶部121は、リレーショナルデータベース管理システム(RDBMS : Relational DataBase Management System)のような、データベース管理手法を用いて、記憶しても良い。
さらに、パーソナル有効情報記憶部121は、パーソナル情報と有効期間とに関連するパーソナル情報の識別子を記憶しても良い。
抽出部111は、パーソナル有効情報記憶部121に記憶されているパーソナル情報を、有効期間を参照して分類し、特定の有効期間の範囲となるパーソナル情報を含む集合データ(以下、単に「集合」と言う)を抽出する。
より詳細には、抽出部111は、パーソナル情報を、特定の範囲の有効期間毎に分類し、特定の範囲の有効期間のパーソナル情報を集めて集合を生成する。そして、抽出部111は、全てのパーソナル情報を用いて、複数の集合を生成する。そして、抽出部111は、集合を、変換部112に出力する。
より具体的には、抽出部111は、例えば、次のように動作する。
抽出部111は、パーソナル有効情報記憶部121からパーソナル情報と有効期間とを読み出す。読み出した有効期間を含む集合が作成済みの場合、抽出部111は、その集合に、パーソナル情報を追加する。有効期間を含む集合が作成されていない場合、抽出部111は、その有効期間を含む集合を作成し、その集合にパーソナル情報を追加する。
そして、抽出部111は、全てのパーソナル情報を集合に追加後、集合を抽出し、変換部112に出力する。
抽出部111は、上記の通り、パーソナル有効情報記憶部121に記憶されている全てのパーソナル情報を処理する。すなわち、抽出部111が生成する全集合の要素の総数は、パーソナル有効情報記憶部121に記憶されているパーソナル情報の総数である。
変換部112は、抽出部111が抽出した集合に含まれるパーソナル情報を、匿名性を満たすパーソナル情報に、変換する。以下、変換後のパーソナル情報を「保護済パーソナル情報」と言う。そして、変換部112は、保護済パーソナル情報を、結果記憶部122に記憶する。変換部112は、保護済パーソナル情報の他に、パーソナル有効情報記憶部121が記憶するパーソナル情報(変換前のパーソナル情報)の識別子を、結果記憶部122に記憶しても良い。
なお、変換部112が実施する保護済パーソナル情報への変換は、パーソナル情報が表す個人のプライバシーを守る変換であれば、特に制限はない。例えば、その変換は、「k−匿名性」又は「l−多様性」を満たす匿名化処理でも良い。
結果記憶部122は、変換部112で変換された保護済パーソナル情報を、記憶する。また、結果記憶部122は、パーソナル情報の識別子と保護済パーソナル情報の両方を、記憶しても良い。
例えば、結果記憶部122は、識別子としてのパーソナル有効情報記憶部121に記憶されたパーソナル情報のレコード番号と、保護済パーソナル情報を構成する属性値とを、1つのテーブルの各カラム(列)に記憶しても良い。
なお、結果記憶部122は、保護済パーソナル情報を参照できれば、記憶形式に特に制限はない。例えば、結果記憶部122は、パーソナル情報の識別子と保護済パーソナル情報の識別子とを1つのテーブルの異なるカラムに記憶し、別のテーブルに保護済パーソナル情報を構成する属性値を記憶し、さらに別のテーブルに識別子と属性値との関連情報を記憶してもよい。
次に、本実施形態に係る情報処理装置100の動作(データ処理方法)について、図面を参照して説明する。
図2は、本実施形態に係る情報処理装置100の動作の一例を示すフローチャートである。
なお、パーソナル有効情報記憶部121は、予め、パーソナル情報と有効期間とを含む複数のレコードを記憶しているとする。
まず、抽出部111は、パーソナル情報の集合のリストを抽出(生成)する(ステップS101)。
具体的には、抽出部111は、ステップS101において、例えば、次のように動作する。
抽出部111は、まず、空のリストを生成する。そして、抽出部111は、パーソナル有効情報記憶部121に記憶されている1つのレコード(パーソナル情報と有効期間との1つの組)を読み込む。抽出部111は、読み込んだパーソナル情報と有効期間とを参照し、その有効期間が含まれる集合がリストに存在するか否かを判定する。
有効期間が含まれる集合がリストに存在しない場合、抽出部111は、その有効期間を含む集合を生成し、リストに登録する。集合の生成(登録)後、抽出部111は、パーソナル情報を、生成した集合に追加する。
なお、抽出部111は、どのような集合を生成するかについて、予め設定されているとする。例えば、抽出部111は、年単位(例えば、「1年未満」、「1年以上2年未満」、「2年以上3年未満」、・・・)の集合を生成すると、設定されていても良い。あるいは、抽出部111は、所定の回数範囲(例えば、「1回−5回」、「6回−10回」、・・・)の集合を生成すると、設定されていても良い。
有効期間が含まれる集合がリストに存在する場合、抽出部111は、有効期間が含まれる集合に、パーソナル情報を追加する。
抽出部111は、パーソナル有効情報記憶部121に記憶されている全てのレコード(パーソナル情報と有効期間との組)を処理し、リストを生成する。
次に、変換部112は、抽出部111が生成したリストに、未処理(未変換)の要素(集合)があるか否かを判定する(ステップS103)。
リストの未処理の要素(集合)がある場合(ステップS103で「YES」)、変換部112は、抽出部111が抽出(生成)したリストから集合を、1つ取り出す。そして、変換部112は、集合を構成するパーソナル情報を、所定の匿名性を満たす保護済パーソナル情報に変換する(ステップS105)。
そして、変換部112は、結果記憶部122に、パーソナル情報の識別子と保護済パーソナル情報とを出力する(ステップS107)。結果記憶部122は、識別子と保護済パーソン情報とを記憶する。
そして、変換部112は、ステップS103に戻る。
リストに未処理の要素(集合)がある場合、変換部112は、上記の処理を繰り返す。
未処理の要素(集合)がない場合(ステップS103で「NO」)、情報処理装置100は、動作を終了する。
つまり、変換部112は、抽出部111が抽出したリストに登録されているすべての集合に対して、上記動作を実行する。
(動作例)
次に、本実施形態の情報処理装置100の動作について、具体的なパーソナル情報を含むデータを用いて説明する。
図3は、情報処理装置100の動作の説明に用いるパーソナル有効情報記憶部121が記憶するデータの一例を示す図である。
パーソナル有効情報記憶部121は、図3に示すデータ1001を記憶する。データ1001は、病状記録(個人に関連するパーソナル情報)として、識別子の番号(No.)と、患者の郵便番号(ZIPコード)と、年齢と、病状(センシティブ属性)との組合せのデータである。また、パーソナル有効情報記憶部121は、有効期間として、診療を受ける回数を、記憶する。
図4−図6は、情報処理装置100の動作を説明するための図であり、結果記憶部122が記憶するデータの推移の一例を示す図である。
なお、本実施形態の説明において、情報処理装置100が、ZIPコードと年齢とを抽象化しているのは、例示である。情報処理装置100が匿名化の対象とするデータは、これらに限る必要はない。
以下の説明では、情報処理装置100は、2−匿名性を満たすように匿名化する。
結果記憶部122は、図4に示すデータ1002の状態から、図5に示すデータ1003の状態を経由して、図6に示すデータ1004を記憶する。
まず、抽出部111は、有効期間が10回の病状記録の番号(No.)を付与した集合と、有効期間が1回である病状記録の番号(No.)を付与した集合とのリストを生成する(ステップS101)。
ここで、以下の説明の便宜のため、実施形態の説明に用いるリスト及び集合の記載書式を説明する。
以下、集合を{}、リストを[]、有効期間nが付与された集合を{}:nと表現する。なお、記載を明確にするため、「」を用いて記載を囲む場合もある。
この記載書式を用いると、抽出部111は、パーソナル有効情報記憶部121に記憶されるすべての病状記録から、リスト[{1,4}:10,{2,3}:1]を生成する。
ここで、結果記憶部122の初期状態は、図4に示すデータ1002のように、保護済パーソナル情報である匿名化された病状記録が、記憶されていない状態である。
変換部112は、リストに、未処理の要素(集合)があるか否かを判定する(ステップS103)。
リストに要素があるため(ステップS103で「YES」)、変換部112は、リストの先頭の集合「{1,4}:10」を取り出す。そして、変換部112は、ZIPと年齢とを汎化して、リストの要素であるNo.1とNo.4の病状記録を、匿名化する(ステップS105)。この結果、リストの先頭の集合は、「{2,3}:1」となる。
変換部112は、匿名化したNo.1とNo.4の病状記録を、図5に示すデータ1003のように、結果記憶部122に記憶する(ステップS107)。
次に、変換部112は、リストに、未処理の要素(集合)があるか否かを判定する(ステップS103)。
リストに要素があるため(ステップS103で「YES」)、変換部112は、リストの先頭の集合「{2,3}:1」を取り出し、リストの要素であるNo.2とNo.3の病状記録を、匿名化する(ステップS105)。
変換部112は、匿名化したNo.2とNo.3の病状記録を、図6に示すデータ1004のように、結果記憶部122に記憶する(ステップS107)。
そして、変換部112は、リストに、未処理の要素(集合)があるか否かを判定する(ステップS103)。
リストが空であるため(ステップS103で「NO」)、変換部112は、処理を終了する。
図6のデータ1004から明らかなとおり、データ1004の集合(「No.1とNo.4」及び「No.2とNo.3」)は、2−匿名化を満たす。さらに、データ1004の集合は、2−多様性も満たしている。
(実施形態の効果)
このように、本実施形態の情報処理装置100は、パーソナル情報が追加・削除されるデータベースにおいて、パーソナル情報が表す個人のプライバシーの保護する効果を提供できる。
その理由は、次のとおりである。
本実施形態の情報処理装置100は、有効期間が同一又は所定の範囲のデータの集合を抽出し、データを匿名化する。つまり、情報処理装置100は、パーソナル情報を、同一又は所定の範囲の有効期間の集合において匿名化する。
したがって、閲覧者は、有効期間を知っていても、匿名化されたデータから個人を特定できない。
例えば、ある個人が、病院に治療のために通い、パーソナル有効情報記憶部121に、パーソナル情報が記憶されたとする。情報処理装置100は、例えば、所定の期間より長く通院する長期通院者のデータ集合を抽出して、データを匿名化する。また、情報処理装置100は、所定の期間より短い通院期間のデータを抽出して、データを匿名化する。
したがって、閲覧者は、例えば、ある患者の通院が長期間であることを知っても、結果記憶部122に記憶される保護済(匿名化済)パーソナル情報を参照して、個人を特定できない。より具体的には、閲覧者は、例えば、有効期間(通院期間)が長いことを予測できるパーソナル情報(例えば、「症状」という属性の値(種類)が「重症」であるパーソナル情報)を入手しても、その特定個人のパーソナル情報を識別できない。
また、閲覧者は、例えば、有効期間(通院期間)が短いことを予測できるパーソナル情報(例えば、「症状」という属性の値(種類)が「軽症」であるパーソナル情報)を入手しても、その特定個人のパーソナル情報を識別できない。
このように、本実施形態に情報処理装置100は、パーソナル情報の有効期間を予測できる攻撃者が、特定個人のパーソナル情報を識別することを、防止できる。
つまり、本実施形態の情報処理装置100は、所定の有効期間の集団に属するパーソナル情報を、集団毎に匿名化する。そのため、情報処理装置100は、集合に属することを知る攻撃者から、特定個人のパーソナル情報の識別を、防止する。
(変形例1)
情報処理装置100の構成は、これまでの説明に限らない。
情報処理装置100は、各構成を複数の構成に分けても良い。
さらに、情報処理装置100は、1つの装置で構成される必要はない。例えば、情報処理装置100は、ネットワークを介して接続した抽出部111を含む装置と、変換部112を含む装置とを用いて構成されても良い。
あるいは、情報処理装置100は、パーソナル有効情報記憶部121と結果記憶部122とのいずれか、又は、両方を外部の記憶装置として構成しても良い。
図7は、第1の実施形態の変形例1の構成の一例を示すブロック図である。
情報処理装置101は、抽出部111と、変換部112とを含む。
抽出部111は、情報処理装置101の抽出部と同様に、図示しない記憶装置のパーソナル有効情報記憶部121に記憶されているパーソナル情報の集合を抽出する。
変換部112は、集合に含まれるパーソナル情報を匿名化し、図示しない記憶装置の結果記憶部122に記憶する。
このように構成された情報処理装置101は、情報処理装置100と同様の効果を実現できる。
その理由は、次のとおりである。
情報処理装置101の抽出部111及び変換部112は、情報処理装置100の抽出部111及び変換部112と同様に動作できるためである。
なお、情報処理装置101は、本発明の最小構成である。
(変形例2)
また、情報処理装置100は、複数の構成を1つの構成としても良い。
例えば、情報処理装置100は、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)と、入出力接続回路(IOC:Input/Output Circuit)と、ネットワークインターフェース回路(NIC:Network Interface Circuit)とを含むコンピュータ装置として実現しても良い。
図8は、本実施形態の情報処理装置100の変形例である情報処理装置600の構成の一例を示すブロック図である。
情報処理装置600は、CPU610と、ROM620と、RAM630と、内部記憶装置640と、IOC650と、NIC680とを含み、コンピュータを構成している。
CPU610は、ROM620からプログラムを読み込む。そして、CPU610は、読み込んだプログラムに基づいて、RAM630と、内部記憶装置640と、IOC650と、NIC680とを制御する。そして、CPU610は、これらの構成を制御し、図1に示す、抽出部111と、変換部112としての各機能を実現する。CPU610は、各機能を実現する際に、RAM630をプログラムの一時記憶として使用しても良い。
また、CPU610は、コンピュータで読み取り可能にプログラムを記憶した記憶媒体700が含むプログラムを、図示しない記憶媒体読み取り装置を用いて読み込んでも良い。あるいは、CPU610は、NIC680を介して、図示しない外部の装置からプログラムを受け取っても良い。
ROM620は、CPU610が実行するプログラム及び固定的なデータを記憶する。ROM620は、例えば、P−ROM(Programable-ROM)やフラッシュROMである。
RAM630は、CPU610が実行するプログラムやデータを一時的に記憶する。RAM630は、例えば、D−RAM(Dynamic-RAM)である。
内部記憶装置640は、情報処理装置600が長期的に保存するデータやプログラムを記憶する。また、内部記憶装置640は、CPU610の一時記憶装置として動作しても良い。内部記憶装置640は、パーソナル有効情報記憶部121又は結果記憶部122として動作する。内部記憶装置640は、例えば、ハードディスク装置、光磁気ディスク装置、SSD(Solid State Drive)又はディスクアレイ装置である。
IOC650は、CPU610と、入力機器660及び表示機器670とのデータを仲介する。IOC650は、例えば、IOインターフェースカードである。
入力機器660は、情報処理装置600の操作者からの入力指示を受け取る機器である。入力機器660は、例えば、キーボード、マウス又はタッチパネルである。
表示機器670は、情報処理装置600の操作者に情報を表示する機器である。表示機器670は、例えば、液晶ディスプレイである。
NIC680は、ネットワークを介した外部の装置とのデータのやり取りを中継する。NIC680は、例えば、LANカードである。
このように構成された情報処理装置600は、情報処理装置100と同様の効果を得ることができる。
その理由は、次のとおりである。
情報処理装置600のCPU610は、プログラムに基づいて情報処理装置100と同様の機能を実現できるためである。
<第2の実施形態>
第2の実施形態について、図面を参照して説明する。なお、第1の実施形態の同様の構成又はステップには、同じ符号を付し、明細書中の説明を省略する場合がある。
まず、第2の実施形態に係る情報処理装置200の構成について説明する。
図9は、本実施形態に係る情報処理装置200の構成の一例を示すブロック図である。
情報処理装置200は、削除部211と、抽出部212と、変換部112と、パーソナル有効情報記憶部121と、結果記憶部122とを含む。
第1の実施形態に係る情報処理装置100は、パーソナル有効情報記憶部121に記憶されたパーソナル情報が示す個人のプライバシーを、図2に示すフローを1回実行することで、保護する。つまり、第1の実施形態に係る情報処理装置100は、保護されていないパーソナル情報を、一度の処理で保護する。
一方、本実施形態の情報処理装置200は、複数のタイミングで、パーソナル有効情報記憶部121に記憶されているパーソナル情報が示す個人のプライバシーを保護するための処理を実行する点で、情報処理装置100と、相違する。つまり、情報処理装置200は、断続的に、すなわち、繰り返し処理を実行し、プライバシーを継続的に保護する。
第2の実施形態において、パーソナル有効情報記憶部121に記憶されるパーソナル情報は、時間経過に伴って変化する。つまり、新たなパーソナル情報が、パーソナル有効情報記憶部121に追加され、有効期間を過ぎたパーソナル情報が、パーソナル有効情報記憶部121から削除される。
したがって、パーソナル有効情報記憶部121に記憶されるパーソナル情報を、時間の経過とともに、継続的に保護する必要がある。そのため、情報処理装置200は、第1の実施形態に係る情報処理装置100の構成における抽出部111の代わりとして、抽出部212を含み、更に、削除部211を含む。以下、本実施形態の情報処理装置200における、情報処理装置100と相違する構成について、説明する。
削除部211は、パーソナル有効情報記憶部121に記憶されていないパーソナル情報の識別子と、そのパーソナル情報を変換して得られた保護済パーソナル情報とを、結果記憶部122から、削除する。
抽出部212は、パーソナル有効情報記憶部121に記憶されているパーソナル情報の中から、結果記憶部122にパーソナル情報の識別子が記憶されていないパーソナル情報を、抽出する。この抽出は、断続的に実行される。
そして、抽出部212は、抽出したパーソナル情報と、そのパーソナル情報の有効期間とを参照し、その有効期間が含まれる集合が、パーソナル情報のリストに存在するか否かを判定する。
集合が存在しない場合、抽出部212は、その有効期間を含む集合を作成し、リストに登録する。そして、抽出部212は、抽出したパーソナル情報を、要素として、作成した集合に追加する。
集合が存在する場合、抽出部212は、抽出したパーソナル情報を、要素として、その集合に追加する。
抽出部212は、パーソナル有効情報記憶部121に記憶されているすべてのパーソナル情報を、同様に処理する。
このように、抽出部212は、結果記憶部122にパーソナル情報の識別子が記憶されていないパーソナル情報の集合を、断続的に、抽出する。結果記憶部122に記憶されていないパーソナル情報は、変換部112が変換していない情報である。つまり、抽出部212は、パーソナル有効情報記憶部121に記憶されているパーソナル情報の中で、変換部112が変換していないパーソナル情報の集合を抽出する。
そして、抽出部212は、全てのパーソナル情報を処理後(つまり、集合を抽出後)、変換部112に出力する。
なお、最初の状態、つまり結果記憶部122にパーソナル情報を含まない場合、抽出部212は、抽出部111と同様に動作する。そのため、抽出部212は、抽出部111の機能を持つ第2の抽出部と言っても良い。なお、この場合、抽出部111は、第1の抽出部と言っても良い。
また、抽出部212は、抽出部111に相当する構成と、本実施形態で追加された機能を実現する構成とに分けて構成されても良い。
なお、情報処理装置200は、情報処理装置100と同様に、図8に示すコンピュータで構成されても良い。
次に、本実施形態に係る情報処理装置200の動作(データ処理方法)について説明する。
図10は、第2の実施形態に係る情報処理装置200の動作の一例を示すフローチャートである。
なお、情報処理装置200の動作のタイミングは、特に制限はない。例えば、情報処理装置200は、定期的に、動作しても良い。あるいは、情報処理装置200は、例えば、情報処理装置200の管理者、又は、図示しない管理装置の指示を基に、動作してもよい。
また、結果記憶部122は、記憶するパーソナル情報の識別子を記憶する。
削除部211は、パーソナル有効情報記憶部121に記憶されていないパーソナル情報の識別子と、そのパーソナル情報に対応する保護済パーソナル情報とを、結果記憶部122から削除する(ステップS201)。
次に、抽出部212は、新規のパーソナル情報の集合のリストを生成する(ステップS203)。
より具体的には、抽出部212は、例えば、次のように動作する。
まず、抽出部212は、空のリストを生成する。
そして、抽出部212は、パーソナル有効情報記憶部121に記憶されている1つのレコードから、パーソナル情報とそのパーソナル情報の有効期間とを読み込む。
抽出部212は、読み込んだパーソナル情報の識別子が、結果記憶部122に記憶されているか否かを判定する。
結果記憶部122に記憶されていない場合、抽出部212は、パーソナル情報の有効期間が含まれる集合が、リストに存在するか否かを判定する。
リストに存在しない場合、抽出部212は、有効期間を含む集合を、生成する。そして、抽出部212は、生成した集合を、リストに登録する。
集合が存在する場合又は集合の登録後、抽出部212は、有効期間を含む集合をリストから読み込む。そして、抽出部212は、読み込んだ集合に、パーソナル情報を登録する。
抽出部212は、パーソナル有効情報記憶部121に記憶されているすべてのパーソナル情報について、同様に、処理する。
次に、変換部112は、リストに、未処理の要素(集合)があるか否かを判定する(ステップS103)。
未処理の要素(集合)がある間(ステップS103が「YES」)、変換部112は、次の処理を繰り返す。
変換部112は、抽出部212が生成したリストから集合を1つ取り出し、集合を構成するパーソナル情報を変換し、保護済パーソナル情報を生成する(ステップS105)。
そして、変換部112は、結果記憶部122に、パーソナル情報への参照(識別子)と、保護済パーソナル情報とを記憶する(ステップS107)。
変換部112は、リストに登録されているすべての集合に対して、同様に、処理する。
(動作例)
次に、本実施形態の情報処理装置200の動作について、具体的なパーソナル情報を含んだデータを用いて説明する。
図11−14は、情報処理装置200の動作の説明に用いる、パーソナル有効情報記憶部121及び結果記憶部122が記憶するデータの一例を示す図である。
時刻t0において、パーソナル有効情報記憶部121は、図11に示すデータ2001を記憶する。データ2001は、病状記録(個人に関するパーソナル情報)として、病状記録を識別する番号(No.)と、患者のZIPコードと、年齢と、病状との組合せのデータである。また、データ2001は、有効期間(診療を受ける回数)を含む。
そして、抽出部111は、第1の実施形態と同様に、パーソナル有効情報記憶部121に記憶されているデータ2001からパーソナル情報を抽出する。変換部112は、第1の実施形態と同様に、パーソナル情報を、図11に示すデータ2002のように、匿名化する。そして、変換部112は、匿名化した保護済パーソナル情報を、結果記憶部122に記憶する。
時刻t0から所定の時間が経過した時刻t1において、パーソナル有効情報記憶部121は、図12のデータ2003を記憶する。データ2003は、時刻t0におけるデータ2001から、No.2及びNo.3の病状記録が削除され、新たに、No.5及びNo.6の病状記録が追加されたデータである。
そして、情報処理装置200は、図10を参照して説明したように動作する。
まず、削除部211は、図13のデータ2004に示すように、結果記憶部122に記憶された図11のデータ2002を参照し、結果記憶部122に記憶され、パーソナル有効情報記憶部121に記憶されていない、No.2及びNo.3のレコードを削除する(ステップS201)。
次に、抽出部212は、空のリストを生成する。そして、抽出部212は、パーソナル有効情報記憶部121に記憶されている病状記録であって、結果記憶部122にその番号(No.)が記憶されていない病状記録を読み込み、病状の集合のリスト[{5,6}:1]を生成する(ステップS203)。
リストに要素があるため(ステップS103で「YES」)、変換部112は、リストの先頭の集合「{5,6}:1」を取り出す。そして、変換部112は、集合の要素であるNo.5及びNo.6の病状記録を匿名化する(ステップS105)。
変換部112は、図14のデータ2005に示すように、匿名化したNo.5及びNo.6の病状記録を、結果記憶部122に記憶する(ステップS107)。
そして、リストに要素が存在しない(リストが空の)ため、変換部112は、処理を終了する(ステップS103で「NO」)。
(本実施形態の効果)
このように、本実施形態の情報処理装置200は、第1の実施形態の効果に加え、時間の経過に伴ってパーソナル情報が追加及び削除されるデータベースにおいて、パーソナル情報が表す個人のプライバシーの保護する効果を提供できる。
その理由は、次のとおりである。
本実施形態の情報処理装置200は、時間経過に伴って異なるパーソナル情報が断続的に記憶されるパーソナル有効情報記憶部121に対して、データを匿名化する。つまり、情報処理装置200は、断続的に、パーソナル有効情報記憶部121のデータ変更を参照して、結果記憶部122のデータを修正(追加及び/又は削除)するためである。
個人が、長期的にある集団に属する(例えば、長期通院としてパーソナル有効情報記憶部121にパーソナル情報が記憶される)場合、情報処理装置200は、時間が経過しても、結果記憶部122が記憶する集団に属する特定個人のパーソナル情報を、適切に、匿名化する。そのため、例えば、攻撃者は、長期に通院する患者を知っていても、結果記憶部122のパーソナル情報から、その特定個人のパーソナル情報を識別できない。
同様に、個人が、一時的にある集団に属する、例えば、病院に1回だけ訪れてパーソナル有効情報記憶部121にパーソナル情報が記憶される場合、情報処理装置200は、通信終了後、結果記憶部122が記憶するパーソナル情報を匿名化又は削除する。そのため、攻撃者は、患者(特定個人)を知っていても、結果記憶部122に1回だけ存在したパーソナル情報の中から、その特定個人のパーソナル情報を識別できない。
つまり、情報処理装置200は、特定個人のパーソナル情報が集団に属する有効期間にかかわらず、情報を保護できる。
このように、本実施形態の情報処理装置200は、攻撃者が保護済パーソナル情報を閲覧し続けても、攻撃者が特定個人のパーソナル情報を識別することを防止するように、パーソナル情報を匿名化できる。
<第3の実施形態>
第3の実施形態について、図面を参照して説明する。なお、第1及び第2の実施形態と同様の構成又はステップには、同じ符号を付し、詳細な説明を省略する場合がある。
まず、第3の実施形態に係る情報処理装置300の構成について説明する。
図15は、本実施形態に係る情報処理装置300の構成の一例を示すブロック図である。
情報処理装置300は、抽出部311と、変換部112と、変換部312と、パーソナル有効情報記憶部121と、結果記憶部122とを含む。
本実施形態の情報処理装置300は、第1の実施形態の情報処理装置100と、相対的に有効期間が近いパーソナル情報が表す個人の集合において個人のプライバシーを保護する点で、相違する。そのため、同じ構成についての説明を省略し、相違する構成について以下に説明する。
抽出部311は、抽出部111の機能に加え、パーソナル有効情報記憶部121に記憶されているパーソナル情報のうち、有効期間が所定の期間より長いパーソナル情報の集合と、それ以外の(有効期間が所定の期間より短い)パーソナル情報の集合とを抽出する。ここで、抽出部311は、有効期間が所定の期間より長いパーソナル情報の集合として、複数の集合を抽出しても良い。複数の集合を抽出する場合、抽出部311は、予め、所定の期間に加え、集合の分割点を保持しても良い。あるいは、抽出部311は、所定の期間に加え、各集合の範囲を保持しても良い。
なお、抽出部311は、抽出部111又は抽出部212に相当する構成と、本実施形態で追加された機能を実現する構成とに分けて構成されても良い。そのため、抽出部311は、第3の抽出部といっても良い。
例えば、所定の期間を1ヶ月とした場合について説明する。また、抽出部311は、有効期間が長い集合として、1年未満と1年以上の2つの集合を抽出するとする。
抽出部311は、有効期間が所定の期間より長いパーソナル情報の集合として、パーソナル有効情報記憶部121に記憶されているパーソナル情報のうち、1ヶ月以上1年未満の有効期間のパーソナル情報の集合と、1年以上の有効期間のパーソナル情報の集合とを生成(抽出)する。
そして、抽出部311は、それ以外のパーソナル情報の集合、つまり、有効期間が所定の期間より短い(1ヶ月未満)パーソナル情報の集合を抽出する。
このように、抽出部311は、有効期間が所定の期間より長い1つ又は複数の集合と、有効期間が所定の期間より短い集合とを抽出する。
変換部112は、第1の実施形態及び第2の実施形態の変換部112と同様に、抽出部311が抽出したパーソナル情報を要素とする各集合について、集合に含まれるパーソナル情報を変換し、保護済パーソナル情報を生成する。そして、変換部112は、保護済パーソナル情報を結果記憶部122に記憶する。
変換部312は、抽出部311が抽出した有効期間が所定の期間よりも短いパーソナル情報の少なくとも一部が、結果記憶部122に記憶されている保護済パーソナル情報の少なくとも一部と識別できないように、そのパーソナル情報の一部と保護済パーソナル情報の一部とを変換する。そして、変換部312、パーソナル情報の一部と保護済パーソナル情報の一部とを変換した変換後の保護済パーソナル情報を、結果記憶部122に記憶する。
変換部312は、有効期間が所定の期間より短いパーソナル情報の全てについて、上記のように変換し、変換後の保護済パーソナル情報として、結果記憶部122に記憶する。
そのため、変換部312は、変換部112を第1の変換部とすると、第2の変換部に相当する。
ただし、情報処理装置300は、変換部112と変換部312とを1つの構成で実現しても良い。本実施形態の説明において、変換部112と変換部312とを分けて説明するのは、説明する機能を明確にするためである。
なお、情報処理装置300は、情報処理装置100と同様に、図8に示すコンピュータで構成されても良い。
また、情報処理装置300は、第2の実施形態と同様に、抽出部111の機能に加え、抽出部212の機能及び削除部211の機能を含んでも良い。
次に、第3の実施形態に係る情報処理装置300の動作(データ処理方法)について、図面を参照して説明する。
図16は、第3の実施形態に係る情報処理装置300の動作の一例を示すフローチャートである。
まず、抽出部311は、有効期間が所定の期間より長いパーソナル情報の集合を生成する(ステップS301)。
より具体的には、抽出部311は、次のように動作する。
ここで、抽出部311は、判定の用いる所定の期間と範囲とを、予め、保持しているとする。
例えば、抽出部311は、所定の期間として1ヶ月を、範囲として1年未満と1年以上とを保持する。この場合、抽出部311は、1ヶ月以上1年未満の集合と、1年以上の集合とを生成する。
まず、抽出部311は、空のリストを生成する。そして、抽出部311は、パーソナル有効情報記憶部121に記憶されているパーソナル情報とそのパーソナル情報の有効期間とを読み込む。読み込んだパーソナル情報の有効期間が、所定の期間より長い場合、抽出部311は、その有効期間を含む範囲を含む集合が、リストに存在するか否かを判定する。
集合がリストに存在しない場合、抽出部311は、その有効期間を含む範囲を含む集合を生成し、集合をリストに登録する。集合をリストに登録後、抽出部311は、その有効期間の範囲を含む集合をリストから読み込み、その集合に読み込んだパーソナル情報を登録する。
一方、集合がリストに登録されている場合、抽出部311は、有効期間の範囲を含む集合をリストから読み込み、その集合に読み込んだパーソナル情報を登録する。
抽出部311は、パーソナル有効情報記憶部121に記憶されているすべてのパーソナル情報を、同様に処理する。
次に、変換部112は、リストに要素が存在するか否かを判定する(ステップS103)。
要素が存在する場合、変換部112は、抽出部311が生成したリストの集合を、1つ取り出す。そして、変換部112は、取り出した集合を構成するパーソナル情報を変換する(ステップS105)。つまり、変換部112は、保護済パーソナル情報を生成する。
そして、変換部112は、結果記憶部122に、パーソナル情報への参照(識別子)と保護済パーソナル情報とを記憶する(ステップS107)。
変換部112は、リストに登録されているすべての集合に対して、同様に処理する(ステップS103)。
次に、抽出部311は、有効期間が短いパーソナル情報の集合を生成する(ステップS303)。
具体的には、抽出部311は、次のように動作する。
まず、抽出部311は、空のリストを生成する。そして、抽出部311は、パーソナル有効情報記憶部121に記憶されているパーソナル情報とそのパーソナル情報の有効期間とを読み込む。読み込んだパーソナル情報の有効期間が所定の期間より短い場合、抽出部311は、読み込んだパーソナル情報をリストに追加する。抽出部311は、パーソナル有効情報記憶部121に記憶されているすべてのパーソナル情報を、同様に、処理する。
変換部312は、集合の各要素(パーソナル情報)及び匿名化済パーソナル情報を抽象化する(ステップS304)。
具体的には、変換部312は、次のよう動作する。
変換部312は、抽出部311が生成したリストから、パーソナル情報を1つ取り出す。そして、変換部312は、取り出したパーソナル情報が表す個人が、結果記憶部122に記憶されている所定の数の保護済パーソナル情報(つまり、少なくとも一部の保護済パーソナル情報)を表す個人と識別できないように、取り出したパーソナル情報及び所定の数の保護済パーソナル情報を変換する。そして、変換部312は、変換後のパーソナル情報を、保護済パーソナル情報として、結果記憶部122に記憶する。変換部312は、抽出部311が生成したリストに含まれる全てのパーソナル情報を処理する。
なお、抽出部311は、ステップS105とステップS303を分けずに動作しても良い。例えば、抽出部311は、パーソナル情報の有効期間を判定し、判定結果を基に、パーソナル情報を、変換部112が使用するリスト又は変換部312が使用するリストに登録しても良い。
(動作例)
次に、本実施形態の情報処理装置300の動作について、具体的なデータを用いて説明する。
図17−21は、情報処理装置300の動作の説明に用いる、パーソナル有効情報記憶部121及び結果記憶部122が記憶するデータの一例を示す図である。
パーソナル有効情報記憶部121は、例えば、図17に示すデータ3001を記憶する。データ3001は、病状記録(個人に関連するパーソナル情報)として、病状記録の番号(No.)と、患者のZIPコードと、年齢と、病状とを含むデータである。また、データ3001は、有効期間(治療を受ける回数)を含む。
また、抽出部311は、所定の期間として3回以上、範囲として「3〜4回」及び「5回以上」が設定されているとする。
まず、抽出部311は、図18に示すデータ3002のように、空のリストを生成する。
そして、抽出部311は、パーソナル有効情報記憶部121に記憶されている病状記録であって、所定の期間より長い病状記録として、有効期間が3回以上の病状記録を読み込む。そして、抽出部311は、3〜4回及び5回以上の有効期間の病状記録の番号(No.)の集合を構成し、その集合を要素とするリスト[{5,6}:5〜6,{2,4}:3〜4]を生成する(ステップS301)。
変換部112は、リストの先頭の集合「{5,6}:5〜6」を取り出す。そして、変換部112は、集合の要素であるNo.5及びNo.6が表すパーソナル有効情報記憶部121に記憶される病状記録を、匿名化する(ステップS105)。変換部112は、図19のデータ3003の示すように、匿名化したNo.5とNo.6の病状記録を、結果記憶部122に記憶する(ステップS107)。
次に、変換部112は、リストの次の集合「{2,4}:3〜4」を取り出す。そして、変換部112は、集合の要素であるNo.2及びNo.4が表すパーソナル有効情報記憶部121に記憶される病状記録を、匿名化する(ステップS105)。変換部112は、図20のデータ3004に示すように、匿名化したNo.2とNo.4の病状記録を、結果記憶部122に記憶する(ステップS107)。
同様に、変換部112は、リストの全ての要素を処理する(ステップS103)。
次に、抽出部311は、空のリストを生成する。そして、抽出部311は、パーソナル有効情報記憶部121に記憶されている病状記録であって、所定の期間よりも短い病状記録として、有効期間が3回未満の病状記録を読み込む。そして、抽出部311は、読み込んだ病状記録を基に、リスト[{1,3}:1〜2]を生成する(ステップS303)。
変換部312は、リストの要素であるNo.1及びNo.3の病状記録を匿名化する。ただし、変換部312は、リストの要素と、結果記憶部122に記憶されている保護済データとを変換する。
すなわち、変換部312は、No.1及びNo.3の病状記録の抽象化するデータ(ここでは、ZIPコードと年齢)に、最も近い図20のデータ3004で示す結果記憶部122に記憶される病状記録の抽象化されたデータ(ZIPコードと年齢)を、判別する。そして、変換部312は、No.1及びNo.3の病状記録と、判別した結果記憶部122の病状記録とが区別できないように、No.1及びNo.3の病状記録(各要素)及び結果記憶部122に記憶されている病状記録(匿名化済パーソナル情報)を変換(抽象化)する。そして、変換部312は、図21に示すデータ3005のように、結果記憶部122に匿名化済パーソナル情報を記憶する。
詳細に説明すると、変換部312は、次のように動作する。
すなわち、変換部312は、No.1及びNo.3の病状記録に近い病状記録として、No.5及びNo.6の病状記録を判別する。
そして、変換部312は、No.1の病状記録のZIPコードを「14853」から「1485*」に変換し、年齢を「33」から「31−34」に変換する。さらに、変換部312は、No.3の病状記録のZIPコードを「14850」から「1485*」に変換し、年齢を「31」から「31−34」に変換する。さらに、変換部312は、結果記憶部122に記憶されたNo.5及びNo.6の病状記録の年齢を「32−34」から「31−34」に変換する。
(本実施形態の効果)
このように本実施形態の情報処理装置300は、第1及び第2の実施形態の効果に加え、同一の有効期間のパーソナル情報の数が、匿名性を確保するために十分な数でない場合でも、パーソナル情報を表す個人のプライバシーの保護する効果を提供できる。
その理由は、次のとおりである。
情報処理装置300の変換部112は、有効期間が所定に期間より長いパーソナル情報の集合を匿名化する。また、変換部312は、有効期間が所定の期間より短いパーソナル情報を、匿名化する。つまり、情報処理装置300は、有効期間が相対的に近いパーソナル情報の集合を匿名化する。
また、情報処理装置300の変換部312は、有効期間が所定の期間より短いパーソナル情報を、個人を区別できないように、有効期間が所定の期間より長いパーソナル情報とともに匿名化する。そのため、同一の有効期間のパーソナル情報の数が十分でない場合でも、情報処理装置300は、パーソナル情報を表す個人のプライバシーを保護できる。
さらに、情報処理装置300は、有効期間が短いパーソナル情報を、有効期間が長いパーソナル情報と区別できないように匿名化する。そのため、攻撃者は、所定の個人の有効期間の長短を知っていても、有効期間の長短を基に個人と特定できない。
さらに、情報処理装置300は、有効期間が長いパーソナル情報を長期間保護する効果を実現できる。
その理由は、次のとおりである。
情報処理装置300は、所定の期間より長い集合を、複数の集合に分けて変換する。つまり、情報処理装置300は、有効期間が長いパーソナル情報を、同程度に有効期間が長いパーソナル情報の集合として変換する。例えば、情報処理装置300は、有効期間が10年以上のパーソナル情報の集合を匿名化する。
そのため、例えば、ある程度の期間が経過しても、有効期間が長い集合は、集合に含まれるパーソナル情報の変更を必要としない。
例えば、情報処理装置300は、有効期間が10年以上のパーソナル情報の集合を匿名化したとする。この場合、数年経過しても、有効期間が10年以上のパーソナル情報の集合への従属は、変更とならない。そのため、情報処理装置300は、プライバシーの保護状態を維持できる。
このように、情報処理装置300は、有効期間が長いパーソナル情報の保護を実現できる。
<第4の実施形態>
第4の実施形態について、図面を参照して説明する。なお、第1から第3の実施形態と同様の構成又はステップには、同じ符号を付し、詳細な説明を省略する場合がある。
まず、第4の実施形態に係る情報処理装置400の構成について説明する。
図22は、本実施形態に係る情報処理装置400の構成の一例を示すブロック図である。
情報処理装置400は、予測部411と、抽出部111と、変換部112と、パーソナル情報記憶部421と、相関記憶部422と、パーソナル有効情報記憶部121と、結果記憶部122とを含む。
第1の実施形態に係る情報処理装置100は、予め、パーソナル有効情報記憶部121に、パーソナル情報の有効期間が与えられることを前提とする。
一方、本実施形態の情報処理装置400は、パーソナル情報の有効期間を予測(又は、算出)する点で、情報処理装置100と、相違する。そのため、同じ構成についての説明を省略し、相違する構成について以下に説明する。
パーソナル情報記憶部421は、パーソナル情報を記憶する。
相関記憶部422は、パーソナル情報の性質とそのパーソナル情報の有効期間との相関を記憶する。
ここで、パーソナル情報の性質とは、パーソナル情報の有効期間に関連する情報である。
例えば、パーソナル情報の性質の「癌」、「心臓病」又は「腰痛」は、有効期間が長く、パーソナル情報の性質の「インフルエンザ」又は「感染症」は、有効期間が短い。
あるいは、パーソナル情報の性質の「持家」は、有効期間が長く、パーソナル情報の性質の「ホテル」は、有効期間が短い。
例えば、パーソナル情報が図36に示すデータ9001のような病状記録の場合、病名が、パーソナル情報の性質に相当する。また、病名が示す疾病の平均診療回数が、有効期間に相当する。そのため、相関記憶部422は、例えば、病名と平均診療回数(有効期間)との相関を記憶する。
予測部411は、パーソナル情報記憶部421に記憶されているパーソナル情報について、そのパーソナル情報の性質を相関記憶部422から検索する。そして、予測部411は、パーソナル情報と、その性質に対応する有効期間とを基に、パーソナル有効情報記憶部121が記憶する情報を作成し、パーソナル有効情報記憶部121に出力する。
なお、予測部411は、その他の情報を参照しても良い。
例えば、予測部411は、図示しない記憶部に記憶されているパーソナル情報の性質(所定の属性値)に対応する有効期間の情報を、参照しても良い。
より具体的には、予測部411は、次のような情報を参照しても良い。
例えば、年齢が高い人は、診療期間(有効期間)が長い。そこで、図示しない記憶部が、年齢と診療期間(有効期間)との相関情報を保持する。そして、予測部411は、パーソナル情報の性質に対応する有効期間を、年齢情報を基に修正しても良い。
あるいは、病歴が多い人は、診療期間が長くなる。そこで、図示しない記憶部が、病歴と診療期間(有効期間)との相関情報を保持する。そして、予測部411は、パーソナル情報の性質に対応する有効期間を、病歴情報を基に修正しても良い。
パーソナル有効情報記憶部121は、パーソナル情報と、その有効期間とを記憶する。
なお、情報処理装置400は、情報処理装置100と同様に、図8に示すコンピュータで構成されても良い。
また、情報処理装置400は、抽出部212、削除部211、変換部312、又は、抽出部311の機能を含んでも良い。
次に、第4の実施形態に係る情報処理装置400の動作(データ処理方法)について、図面を参照して説明する。
図23は、第4の実施形態に係る情報処理装置400の動作の一例を示すフローチャートである。
予測部411は、パーソナル情報記憶部421のパーソナル情報と、相関記憶部422の相関とを基に、パーソナル情報と有効期間とをパーソナル有効情報記憶部121に書き出す(ステップS401)。
具体的には、予測部411は、次のように動作する。
予測部411は、パーソナル情報記憶部421に記憶されているパーソナル情報の性質を、相関記憶部422から検索する。そして、予測部411は、パーソナル情報とその性質に対応する有効期間とをパーソナル有効情報記憶部121に記憶する(書き出す)。予測部411は、パーソナル情報記憶部421に記憶されている全てのパーソナル情報について、同様に、処理する。
図23に示されるステップS101〜S107は、第1の実施形態と同様のため、説明を省略する。
(動作例)
次に、本実施形態の情報処理装置400の予測部411の動作について、具体的なパーソナル情報含むデータを用いて説明する。
図24−26は、情報処理装置400の動作の説明に用いる、パーソナル情報記憶部421、相関記憶部422、及び、パーソナル有効情報記憶部121が記憶するデータの一例を示す図である。
パーソナル情報記憶部421は、例えば、図24に示すデータ4001を記憶する。データ4001は、病状記録として、病状記録の番号(No.)と、患者のZIPコードと、年齢と、病状とを含むデータである。
相関記憶部422は、例えば、図25に示すデータ4002を記憶する。データ4002は、相関として、病状と、有効期間(通院回数)とを含むデータである。
予測部411は、パーソナル情報記憶部421に記憶されている病状記録について、病状記録の病状を相関記憶部422から検索して、有効期間を読み出す。そして、予測部411は、図26に示すデータ4003ように、病状記録と有効期間とをパーソナル有効情報記憶部121に記憶する(ステップS401)。
(本実施形態の効果)
このように、本実施形態の情報処理装置400は、第1〜第3の実施形態の効果に加え、パーソナル情報の有効期間を予測(算出)して、パーソナル有効情報記憶部121に記憶する効果を提供することができる。
その理由は、次のとおりである。
情報処理装置400の予測部411が、パーソナル情報記憶部421及び相関記憶部422が記憶する情報を基に、パーソナル情報と有効期間とを、パーソナル有効情報記憶部121に記憶させるためである。
(変形例1)
情報処理装置400の相関記憶部422は、パーソナル情報の性質を、階層構造を用いて記憶しても良い。さらに、相関記憶部422は、全てのパーソナル情報の性質の有効期間ではなく、一部のパーソナル情報の性質の有効期間を記憶しても良い。つまり、情報処理装置400は、パーソナル情報の性質に階層構造を備え、パーソナル情報の性質の一部に有効期間を付与しても良い。
図面を参照して説明する。
図27は、本実施形態の相関記憶部422が記憶する階層構造のデータの一例を示す図である。
図27において、最上位層の概念は、「癌」である。「癌」の下位の層の概念は、「消化器系癌」、「呼吸器系癌」である。さらに、「消化器系癌」の下位の層の概念は、「胃癌」及び「大腸癌」である。また、「呼吸器系癌」の下位の層の概念は、「肺癌」及び「咽頭癌」である。
そして、相関記憶部422は、「癌」の有効期間として「10」を記憶する。
ここで、例えば、予測部411が、「胃癌」の有効期間を検索する場合を想定する。まず、予測部411は、相関記憶部422において、「胃癌」を検索する。そして、予測部411は、「胃癌」が有効期間を記憶しているか否かを判断する。「胃癌」は、有効期間を記憶していない。そこで、予測部411は、有効期間が見つかるまで、相関記憶部422の階層構造を、上位概念方向に検索する(辿る)。今の場合、有効期間の「10」が、最上位の「癌」に、記憶されている。そのため、予測部411は、階層構造を辿り、「癌」の有効期間「10」を、「胃癌」の有効期間として、検索する。
このように、予測部411は、個別には有効期間が付与されていないパーソナル情報の性質の有効期間を、予測できる。
本変形例の効果について説明する。
本変形例の相関記憶部422は、記憶容量を削減する効果、及び、有効期間が付与されていない性質の有効期間を与える効果を得ることができる。
その理由は、次のとおりである。
性質が有効期間を含まない場合、予測部411は、有効期間を含む性質まで、階層構造に沿って検索する。
そのため、本変形例の相関記憶部422は、全ての性質の有効期間を記憶する必要がなく、一部の性質の有効期間を記憶すれば良い。つまり、相関記憶部422は、記憶する有効期間を削減できるためである。
また、予測部411は、有効期間が付与されていない性質の有効期間を予測できるためである。
<第5の実施形態>
第5の実施形態について、図面を参照して説明する。なお、第1から第4の実施形態の同様の構成又はステップには、同じ符号を付し、明細書中の説明を省略する場合がある。
まず、第5の実施形態に係る情報処理装置500の構成について説明する。
図28は、本実施形態に係る情報処理装置500の構成の一例を示すブロック図である。
情報処理装置500は、入力部511と、分析部512と、予測部411と、抽出部111と、変換部112と、履歴記憶部521と、パーソナル情報記憶部421と、相関記憶部422と、パーソナル有効情報記憶部121と、結果記憶部122とを含む。
第4の実施形態に係る情報処理装置400は、パーソナル情報の性質と有効期間との相関が既に与えられていることを前提とする。
一方、本実施形態の情報処理装置500は、情報処理装置400と、パーソナル情報の性質と有効期間との相関を導出する点で、相違する。そのため、同じ構成についての説明を省略し、相違する構成について以下に説明する。
入力部511は、パーソナル情報が付与された登録要求、及び、パーソナル情報を指定した削除要求を受け取る。
ここで、パーソナル情報が付与された登録要求とは、情報処理装置500に登録するパーソナル情報を含む、パーソナル情報の登録要求である。
また、パーソナル情報を指定した削除要求とは、削除するパーソナル情報を指定するための情報を含む削除要求である。
なお、入力部511は、要求の送信元を特に限定されない。例えば、入力部511は、パーソナル情報の管理者が操作する端末、又は、ユーザが保有する携帯端末から、要求を受け取っても良い。
パーソナル情報が付与された登録要求を受け取った場合、入力部511は、そのパーソナル情報と、登録要求を受け付けた時刻(例えば、年月、日付、又は、日時)とを、履歴記憶部521に記憶する。さらに、入力部511は、パーソナル情報記憶部421に、受け取ったパーソナル情報を記憶する。
一方、パーソナル情報を指定した削除要求を受け取った場合、入力部511は、そのパーソナル情報と、削除要求を受け付けた時刻(例えば、年月、日付、又は、日時)とを、履歴記憶部521に記憶する。さらに、入力部511は、パーソナル情報記憶部421から、削除要求のパーソナル情報を削除する。
分析部512は、履歴記憶部521に記憶されているパーソナル情報の登録時刻と削除時刻日時と基に、パーソナル情報の有効期間を分析(算出)する。分析部512は、履歴記憶部521に記憶されているパーソナル情報の性質と、算出した有効期間との相関を導出する。そして、分析部512は、パーソナル情報の性質とその有効期間との相関を、相関記憶部422に記憶する。
なお、分析部512は、同様の属性値を含む複数のパーソナル情報を用いて、有効期間を分析(算出)しても良い。
例えば、パーソナル情報が年齢を含む場合、分析部512は、所定の年齢範囲を含むパーソナル情報の有効期間の平均値又は最大値を、有効期間としても良い。
履歴記憶部521は、上記に加え、パーソナル情報として、パーソナル情報の識別子と、パーソナル情報の性質と、そのパーソナル情報がパーソナル情報記憶部421に記憶されている期間とを記憶することが望ましい。
なお、情報処理装置500は、情報処理装置100と同様に、図8に示すコンピュータで構成されても良い。
また、情報処理装置500は、抽出部212、削除部211、変換部312、又は、抽出部311の機能を含んでも良い。
次に、第5の実施形態に係る情報処理装置500の動作(データ処理方法)について、図面を参照して説明する。
図29−31は、本実施形態に係る情報処理装置500の動作の一例を示すフローチャートである。
情報処理装置500は、動作として、図29に示される「登録フェーズ」と、図30に示される「削除フェーズ」と、図31に示される「分析フェーズ」とを含む。
まず、図29に示される登録フェーズの動作について説明する。
入力部511は、パーソナル情報が付与された登録要求を受信する。そして、入力部511は、パーソナル情報と、そのパーソナル情報の登録要求を受信した時刻(例えば、年月、日付、又は、日時)とを、履歴記憶部521に記憶する(ステップS501)。
さらに、入力部511は、パーソナル情報記憶部421に、受信したパーソナル情報を記憶する(ステップS503)。
なお、入力部511は、登録要求を、定期的に受信しても良く、不定期に受信してもよい。
次に、図30に示される削除フェーズの動作について説明する。
入力部511は、パーソナル情報が指定された削除要求を受信する。そして、入力部511は、パーソナル情報と、そのパーソナル情報の削除要求を受信した時刻(例えば、年月、日付、又は、日時)とを、履歴記憶部521に記憶する(ステップS505)。
さらに、入力部511は、削除要求のパーソナル情報を、パーソナル情報記憶部421から削除する(ステップS507)。
なお、入力部511は、削除要求を、定期的に受信しても良く、不定期に受信してもよい。
次に、図31に示される分析フェーズの動作について説明する。
分析部512は、履歴記憶部521に登録時刻と削除時刻との両方が登録されているパーソナル情報を読み出し、パーソナル情報の有効期間を算出する。つまり、分析部512は、パーソナル情報がパーソナル情報記憶部421に記憶されている期間(有効期間)を導出する。分析部512は、パーソナル情報を基に有効期間を導出する。そのため、有効期間は、パーソナル情報の性質と関連性がある。つまり、分析部512は、パーソナル情報の性質と、パーソナル情報の有効期間との相関を分析する(ステップS509)。
そして、分析部512は、分析した相関として、パーソナル情報の性質と、パーソナル情報の有効期間とを相関記憶部422に記憶する(ステップS511)。
(動作例)
次に、本実施形態の情報処理装置500の動作について、具体的なパーソナル情報を含むデータを用いて説明する。
図32−35は、情報処理装置500の動作の説明に用いる、履歴記憶部521、パーソナル情報記憶部421、及び、相関記憶部422が記憶するデータの一例を示す図である。
まず、2012年5月時点において、履歴記憶部521は、図32に示すデータ5001を記憶する。データ5001は、No.1とNo.3の病状と登録時刻と、No.2の病状と登録時刻と削除時刻とを含むデータである。
また、パーソナル情報記憶部421は、図32に示すデータ5002を記憶する。データ5002は、No.1の病状記録と、No3.の病状記録とを含むデータである。
2012年6月時点において、入力部511は、病状記録(パーソナル情報)が付与された登録要求を受信したとする。入力部511は、図33に示すデータ5003のように、病状記録のNo.の「4」と病状である「癌」とを履歴記憶部521に記憶する(ステップS501)。
また、入力部511は、図33に示すデータ5004のように、パーソナル情報記憶部421に、病状記録4の病状記録を記憶する(ステップS503)。
さらに、入力部511は、No.3の病状記録の削除要求を受信したとする。入力部511は、図33に示すデータ5003のように、履歴記憶部521に記憶されたNo.3の病状記録の「削除」のカラムに、削除要求を受信した時刻(年月)を記憶する(ステップS505)。そして、入力部511は、図33に示すデータ5004のように、パーソナル情報記憶部421に記憶されるNo.3の病状記録を削除する(ステップS507)。
2013年4月時点において、入力部511は、No.1及びNo.4の病状記録の削除要求を受信したとする。入力部511は、図34に示すデータ5005のように、履歴記憶部521のNo.1及びNo.4の病状記録の削除時刻(年月)を登録する。
さらに、入力部511は、図34に示すデータ5006のように、パーソナル情報記憶部421に記憶されていたNo.1及びNo.4の情報を削除する。
分析部512は、履歴記憶部521に記憶されているNo.1からNo.4の病状記録を読み込み、それぞれの病状に対する有効期間を算出する(ステップS509)。
そして、分析部512は、図35に示すデータ5007のように、病状(パーソナル情報の性質)と算出した有効期間との相関を、相関記憶部422に記憶する(ステップS511)。
(本実施形態の効果)
このように、本実施形態の情報処理装置500は、第4の実施形態の効果に加え、パーソナル情報の性質と有効期間との相関の入力を削減できる効果を提供できる。
その理由は、次のとおりである。
情報処理装置500の入力部511は、受信したパーソナル情報と、登録要求の時刻と、削除要求の時刻とを履歴記憶部521に記憶する。
そして、分析部512は、履歴記憶部521が記憶した履歴情報を基に、パーソナル情報の性質と有効期間との相関を算出し、相関記憶部422に記憶するためである。
さらに、情報処理装置500は、有効期間の予測の精度を向上できる効果を得ることができる。
その理由は、次のとおりである。
分析部512は、同様の属性値を含むパーソナル情報の有効期間を基に、有効期間を分析しても良い。誤差は、一般的に、正しい値を中心に分散して発生する。そのため、分析部512は、複数の情報を用いて、誤差の影響を低減できる、つまり、単独の情報が誤差を含む場合でも、分析部512は、同様の属性値を含むパーソナル情報の分析を基に、誤差の影響を低減できる。そのため、情報処理装置500は、適切な有効期間を分析できるからである。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出する抽出手段と、
前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する変換手段と、
を含む情報処理装置。
(付記2)
前記変換手段の変換が前記パーソナル情報の匿名化処理である
付記1に記載の情報処理装置
(付記3)
前記パーソナル情報と、前記パーソナル情報の有効期間との組を記憶するパーソナル有効情報記憶手段と、
前記変換後のパーソナル情報を記憶する結果記憶手段と、
を含む付記1又は付記2に記載の情報処理装置。
(付記4)
変換する前のパーソナル情報が前記パーソナル有効情報記憶手段に記憶されていない前記変換後のパーソナル情報を前記結果記憶手段から削除する削除手段を含み、
前記抽出手段が、前記変換手段が変換していない前記パーソナル有効情報記憶手段に記憶されているパーソナル情報を要素とする集合を抽出する
付記3に記載の情報処理装置。
(付記5)
前記抽出手段が、所定の期間より長い有効期間のパーソナル情報の集合と所定の期間より短い有効期間のパーソナル情報の集合とを抽出し、
前記変換手段が、有効期間が短いパーソナル情報の集合に含まれるパーソナル情報の少なくとも一部と前記変換後のパーソナル情報の少なくとも一部とが同様の変換後のパーソナル情報となるように、前記パーソナル情報の一部及び前記変換後のパーソナル情報の一部を変換する
付記1乃至付記4のいずれか1項に記載の情報処理装置。
(付記6)
前記抽出手段が、前記所定の期間より長い有効期間のパーソナル情報の集合を複数抽出し、
前記変換手段が、前記抽出した複数の集合毎に前記パーソナル情報を変換する
付記5に記載の情報処理装置。
(付記7)
パーソナル情報と、パーソナル情報の性質と有効期間との相関と、を基に、前記パーソナル情報の有効期間を予測する予測手段
を含む付記1乃至付記6のいずれか1項に記載の情報処理装置。
(付記8)
前記予測手段が、
前記パーソナル情報に含まれる属性値を用いて有効期間を予測する
付記7に記載の情報処理装置。
(付記9)
前記パーソナル情報の性質が階層構造を備え、前記性質の一部に有効期間を付与する
付記7又は付記8に記載の情報処理装置。
(付記10)
前記予測手段が、前記パーソナル情報の性質の階層構造を辿って前記有効期間を検索する
付記9に記載の情報処理装置。
(付記11)
前記パーソナル情報が記憶された時刻と、前記パーソナル情報が削除された時刻とを基に、前記パーソナル情報の有効期間を分析する分析手段、
を含む付記1乃至付記10のいずれか1項に記載の情報処理装置。
(付記12)
前記分析手段が、
前記パーソナル情報と同様の属性値を含むパーソナル情報の有効期間を基に、有効期間を分析する
付記11に記載の情報処理装置。
(付記13)
個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出し、
前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する
データ処理方法。
(付記14)
個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出する処理と、
前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する処理と
をコンピュータに実行させるプログラム。