JP6177898B2 - 匿名化方法 - Google Patents

匿名化方法 Download PDF

Info

Publication number
JP6177898B2
JP6177898B2 JP2015515523A JP2015515523A JP6177898B2 JP 6177898 B2 JP6177898 B2 JP 6177898B2 JP 2015515523 A JP2015515523 A JP 2015515523A JP 2015515523 A JP2015515523 A JP 2015515523A JP 6177898 B2 JP6177898 B2 JP 6177898B2
Authority
JP
Japan
Prior art keywords
user
server
anonymization
data
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015515523A
Other languages
English (en)
Other versions
JP2015526782A5 (ja
JP2015526782A (ja
Inventor
ポーイヤック,ミレイユ
ペラニ,ベアトリス
プラーデン,アンヌ−マリー
Original Assignee
ジエマルト・エス・アー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ジエマルト・エス・アー filed Critical ジエマルト・エス・アー
Publication of JP2015526782A publication Critical patent/JP2015526782A/ja
Publication of JP2015526782A5 publication Critical patent/JP2015526782A5/ja
Application granted granted Critical
Publication of JP6177898B2 publication Critical patent/JP6177898B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/20Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel
    • H04W4/21Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel for social networking applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Bioethics (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は匿名化方法を目的とする。本発明は、また、このような匿名化方法を実施するシステムを目的とする。
今日、インターネットや無線ネットワーク等の新しい技術によって提案されたアプリケーションやサービスの増加に伴って、ユーザに個別的なサービスを提供するとともにその効率を高めるため、ますます多量のユーザ情報が保存されるようになっている。たとえば、ユーザの注意を惹きつけることが可能な製品を提案するためにユーザプロファイル情報を利用するターゲット広告がそれにあたる。ユーザに関するこれらの情報は、たとえば、GPS(Global Positioning System 全地球測位網)により供給される地理的定位(geo−localisation)技術を用いた位置特定情報や、スマートグリッド(SmartGrid)とも呼ばれる新しいインテリジェント配電網によって電気使用量の情報を収集することで得られるライフスタイル情報とすることができ、また、視聴率調査アプリケーションが提案するような、視聴したTV番組あるいは閲覧したウェブサイト情報のトレースおよび収集で得られる、ユーザの好み、余暇活動、および政治的、宗教的な嗜好まで含むことができる。ユーザを識別可能な多彩な識別子(たとえばインターネットのIPアドレスまたはHotSpot Wifiにおける情報、MACアドレス、携帯電話で使用されるSIMカードの識別子)にこれらの情報を結合することによって、ユーザのプロファイルを絞り込んで、たとえばインターネット広告のターゲッティングを改善することができる。このターゲティングは、特に、
− プライバシー侵害を増長する高いリスク
− 個人のプライバシーあるいは興味の中心や買い物等に関するデータが流用されるリスク
− 場合によっては、全体主義国家、マフィア、セクト、敵対する競争者等により監視され、または誘導されうる組織化または集団化のリスク
といった課題を提起する。
このような個人情報の集中とその保存は、プライバシー保護機関を懸念させている。昨今では、多数の国でユーザのプライバシー保護が法律で義務化されている。こうした法律の目的は、ユーザのプライバシーを保護可能なシステムを配備して、個人情報の開示が招くリスクに関してユーザの問題意識を高めることにある。このようなシステムは、特に、
− 個人データのあらゆる使用の前にユーザの同意を求め、
− これらのデータの利用を管理するとともに第3者機関に送信し、
− サーバに保存されているデータを保護し、
− 個人データをできるだけ早く匿名化する
ことを含む。
一方で、個人データをめぐるこのような権限は、たとえば(ターゲット広告のように)製品の販売を促進したり、あるいは(スマートグリッドのように)エネルギー消費量を均一化したり最適化したりするのに非常に有効であることが判明しているアプリケーションの展開を阻止する。
しかし、これらの法律は、技術的なサポートがないために適用できないことも多々ある。さらに、これらの法律により導入されるプライバシー尊重の保証は、法律が適用される国内領土の外に各種サーバが配置されたこれらのデータのデータ収集者には特に適用できないことが多い。
個人データ保護を保証するための解決方法の1つは、操作されるデータに匿名化プロセスを適用することからなる。データの匿名化は、個人データの集合から一人のユーザの身元を切り離すことからなる方法である。このプロセスは、収集されたデータを介して一人すなわち個人が特定されることを回避することをめざしている。現時点では、データ収集者が、情報システムに保存されている個人の秘密データの集合を識別し、適切な安全検査機構を装備することによってデータを匿名化するように、法律で義務付けられている国もある。
この方向に沿って、こうした個人情報の保存と閲覧を安全化するために匿名化ツールが形成されている。匿名化ツールは、暗号化手段、コンテンツにトランスレーションテーブルを適用することからなるトランスレーション手段、データベースのフィールドの一部分を隠すことが可能な「マスク(Mask)」アプリケーション、個人データの代替手段、あるいは、リーダの監視追跡を免れるために任意に仮想データを組み込む手段がある。
今日、このような情報の収集者は、プライバシーに関する法律を遵守するために、提供されている個人データのセンシティビティに応じて安全措置とツールとを適合させなければならない。しかし、このような措置やツールを配備することは、収集者の裁量にゆだねられている。
そのため、現実的には、収集者に対しても個人データを保護し、したがって個人データを匿名化するように、既知の匿名化プロセスを改善する必要性があると思われる。
本発明の目的は、まさに、この必要性を満たすことにある。そのため、本発明は、匿名化実行システムの一般的なアーキテクチャによって個人データ保護を保証する匿名化方法を提案する。
ネットワークアーキテクチャおよび、さまざまな作用者間の交換プロトコルは、操作されるデータの「パーソナル」基準が、本発明の匿名化方法によってそのソースで除去されるように構成される。このため、本発明によれば、ユーザの識別データの匿名化の保証は、もはやターゲットデータ収集者の裁量にゆだねられることはなく、この収集の前に実施される。
本発明の方法は、個人データの収集機関が、ユーザについてもこのユーザの識別データについても知ることなく、ユーザプロファイルに応じて特定ユーザの情報(視聴率調査、世論調査、位置特定など)を収集し、また、ユーザについてもこのユーザの識別データについても知ることなく、ユーザプロファイルに応じてターゲットメッセージ(広告、アラート…)を送信することができるように実施される。
そのため、本発明は、ユーザとターゲットメッセージの配信機関との間に、収集されたユーザの個人データの匿名化プロセスに貢献する第3者機関のサーバ(以下、匿名化サーバという)を介在させることを提案する。
匿名化サーバは、配信機関にユーザプロファイルデータを送る前に、ユーザの識別に貢献可能であっても配信機関に対してユーザを識別できないようにすることが潜在的に可能なあらゆるデータを、匿名化キーを用いて暗号化する。
本発明による方法は、ユーザ自身を除けば、どの作用者も、ユーザの個人データと、個人データをユーザに割り当て可能にする識別子の1つとに同時にアクセスしないようにすることをめざしている。
このため、本発明は、ユーザの個人データを保護するために完全かつ不可逆的な匿名化を可能にする方法を提案する。
本発明は、特に、データ収集サーバによるユーザプロファイルの収集に際して、ユーザの識別に貢献可能なデータを匿名化する方法であって、
収集すべきプロファイルデータを、端末とデータ収集サーバとの間で共有される秘密キーを用いて暗号化するステップと、
暗号化された収集プロファイルデータとユーザの識別に貢献可能なデータとを、端末と収集サーバとの間に配置された匿名化サーバに送信するステップと、
収集されたデータと暗号化された識別データとを前記収集サーバに送る前に、ユーザの識別に貢献可能なデータを前記匿名化サーバの匿名化キーを用いて暗号化するステップとを有する方法を目的とする。
本発明は、また、このような方法の実施システムを目的とする。
本発明は、添付図面を参照しながら以下の説明を読めば、いっそう理解されるであろう。添付図面は、例としてのみ挙げられており、本発明を少しも限定するものではない。
本発明の1つの実施形態によるユーザ識別データの匿名化システムの1つのアーキテクチャを概略的に示す図である。 本発明による方法の動作モードに対応する各ステップを示す図である。 本発明による1つの実施形態によるユーザ識別データの匿名化システムの1つのアーキテクチャを概略的に示す図である。
以下、添付図面に示されているような幾つかの好ましい実施形態を参照しながら、本発明について詳しく説明する。以下の説明では、本発明の理解を深めるために、多数の特定の細部について言及する。しかし、当業者にとって、これらの特定の細部の全部または一部がなくても本発明を実施可能であることはいうまでもない。
本発明の説明をむやみに分かりにくくしないようにするため、公知の構造、各種の装置またはアルゴリズムについては、詳しい説明を省く。
この説明では、プログラムまたはマイクロプロセッサを含むデバイスに1つのアクションが割り当てられた場合、このアクションは、このデバイスのメモリに記録された指示コードにより命令されるマイクロプロセッサによって実行されることに留意されたい。
図1は、本発明による1つの実施形態のアーキテクチャを概略的に示す図である。図1は、第1のネットワーク11に接続されたユーザ端末10を示している。図1の例では、ユーザ端末10が携帯電話である。端末10は、またパソコン、携帯情報端末、または他のあらゆる同等装置とすることができる。
初期化段階の間、行動に関するターゲットデータの収集サーバ12は、図2に示された予備ステップ20でユーザ端末10のアドレスを収集する。
ユーザ端末10のアドレスは、前記端末に対して通信設定とメッセージ受信とを可能にする識別子である。この識別アドレスは、移動通信網におけるIMSIまたはIMEIなど、ユーザに結合されるどのような識別子としてもよく、一方でまた、加入者ユーザ端末10のICCIDタイプのスマートカード識別子、あるいはスマートカードの「ブート」時に電話機が取得するTARフレームとすることができる。この識別子は、また、IPアドレス、イーサネット(登録商標)アドレス、さらにはメールアドレスといった、接続オペレータのもとでユーザを識別するあらゆる手段に基づいたものとすることもできるし、SIPまたはVoIPタイプの識別子、ENUMタイプの識別子、あるいは、他のあらゆる電子式識別子も考慮に入れることができる。
端末10のこの識別アドレスは、包含リストへの掲載と前記収集サーバからのターゲットメッセージ受信とを行う意図を明確に表明した人の識別アドレスを含む包含リストを用いて、収集サーバ12によって得られる。この識別アドレスは、データ入力の最中あるいは、第1のネットワーク11を介した端末10と収集サーバ12との対話の最中に、同様に収集サーバ12によって得られる。
データ収集サーバ12は、ユーザ端末10の行動データに適合する広告、編集コンテンツ、あるいは製品もしくはオンライン販売サービスの商標ラベルを確実に配信可能な広告主サーバとすることができる。収集サーバ12は、また、世論調査または視聴率調査会社のサーバとすることも可能である。一般に、収集サーバ12は、ユーザの行動、意見、興味の中心の識別および/または位置特定に関するデータを収集するあらゆるタイプのエンティティとすることができる。収集サーバ12は、また、配電網の使用量を最適化して、そこから負荷を予測可能な、配電網加入者の電気使用量の読み取り収集装置としてもよい。
本発明によれば、収集すべきデータを含む、ユーザ端末10と収集サーバ12との間のあらゆる通信は、匿名化プロセスを実施する第3者の匿名化サーバ13を介して行われる。このため、端末10と匿名化サーバ13は、第3のネットワーク15により接続される。匿名化サーバ13とデータ収集サーバ12は、第2のネットワーク14により接続される。
匿名化サーバ13は、ユーザにネットワークへのアクセスを提供し、前記ネットワークに接続するための識別子をユーザに割り当てるエンティティとすることができる。匿名化サーバ13は、たとえば移動通信網のオペレータ、仮想移動通信網のオペレータ、または、ユーザが加入しているインターネットサービスプロバイダ(ISP)とすることができる。匿名化サーバ13は、また、承認された専門の民間機関のサーバとすることも可能である。
ネットワーク用語は、たとえば、3GPP規格および3GPP2規格により規定されたGSM(登録商標)、GPRS、EDGE、UMTS、HSDPA、LTE、IMS、CDMA、CDMA2000等の技術、あるいは、イーサネット、インターネット、WI−FI(wireless fidelityの略語)および/またはWimax、RFID(無線識別を意味するRadio Frequency Identificationの略語)、NFC(数センチメートルの距離で行われるデータ交換技術に含まれる近距離無線通信を意味するNear Field Communicationの略語)、Bluetooth(登録商標)、IrDA(赤外線ファイル転送を可能にするInfrared Data Associationの略語)などに関連するあらゆる通信手段を指す。
1つの実施形態では、第1のネットワーク11がインターネットネットワークであり、第2のネットワーク14がインターネットネットワークであり、第3のネットワーク15が携帯電話ネットワークである。
図2は、本発明の方法による動作モードの各ステップを示している。ステップ21では、収集サーバ12が、当業者が公知の生成アルゴリズムにしたがって、基準キーSK、プロファイルキーPK、およびメッセージキーMKの3つのキーからなるセットを生成する。この3つのキーセットは、初期化段階の間に生成される。その後、この3つのキーセットは、端末10に送られて記憶される。好ましくは、これらのキーが、端末10のメモリまたは前記端末の安全化要素に安全に記憶され、この安全化要素は、スマートカードとすることができる。
この3つのキーセットは、端末10とデータ収集サーバ12との間の通信に匿名化サーバ13が容易にアクセスすることを回避する目的で生成される。キーの生成プロトコルおよび交換プロトコルは、当業者にとって比較的よく知られているので、詳しい説明を省く。
別の実施形態では、3つのキーセットがキー生成装置により生成され、その後、収集サーバ12と端末10とに送られる。
初期化段階の間、収集サーバ12は、ユーザプロファイルの作成のために基準リストを生成する。このリストでは、たとえばユーザの性別(男性または女性)、年齢、国籍、音楽の好み、余暇の過ごし方などを見つけることができる。
この基準リストは、また、視聴率調査の場合は視聴された番組リストとすることができ、インテリジェント配電網(英語のスマートグリッド)に関連するアプリケーションの場合は電気使用量の記録であり、あるいは位置特定に関連するサービスアプリケーション用もしくは位置特定に応じたターゲットアラート用のGPS(Global Positioning System:米語の位置特定システム)またはGalileo(欧州版GPS)とすることができる。
この基準リストは、たとえばターゲットデータ入力フォームの形式を取ることができる。これらのターゲットデータが、ユーザプロファイルを構成可能である。このフォームは、特に興味の中心、趣味、意見および/または身体的な特徴(体重、身長、年齢、性別など)に関してユーザにより記入されるフィールドを含む。
その後、ステップ22で、収集サーバ12は、基準キーSKを用いてターゲットデータ入力フォームあるいは基準リストを暗号化する。暗号化されたフォームは収集サーバ12から端末10に送られる。このフォームは、初期化段階の間に収集サーバ12から第1のネットワーク11を介して端末10に直接送られるか、あるいは、匿名化サーバ13とすることが可能な中間手段を介して送ることができる。
ステップ23で、端末10は、予め記録された基準キーSKを用いて、暗号化されたフォームまたは基準リストを復号する。端末10の暗号化操作と復号操作は、前記端末の安全化要素の内部で(端末が安全化要素を含んでいる場合)、あるいは専用のアプリケーションによって実施できるようにされている。
復号された入力フォームまたは基準リストは、グラフィックインターフェースを介して表示され、プロファイルデータの入力の際にユーザをガイドできるように端末10の画面に並べられた、各種の記述項目を含んでいる。この入力内容がユーザにより確定されると、端末10は、データベースから取り出されたプロファイルキーPKを用いて、確定されたフォームまたは基準リストをステップ24で暗号化する。
ユーザのプロファイルデータについても同様に、端末10にダウンロードされたアプリケーションから取り出し可能であり、学習期間の経過後、たとえばTV番組の視聴、閲覧サイト、あるいはオンラインで行った買い物の履歴を用いることによってユーザの嗜好が導き出される。アプリケーションは、以前に受信したリストから取り出された基準から、収集サーバ12に送るべきユーザプロファイルを構成するプロファイデータの種別を選択することができる。
ステップ25において、端末10は、ユーザ識別データと、ステップ24で暗号化されたプロファイルデータとを含むプロファイルメッセージを生成する。その後、このプロファイルメッセージは、匿名化サーバ13に送られる。
識別データは、ここでは、プロファイルデータの伝送プロトコル、一般にはHTTPインターネットプロトコルで使用されるソースである、インターネットアドレス等の端末10の識別アドレスとすることができる。
ステップ26で、匿名化サーバ13は、匿名化すべき識別データをプロファイルメッセージから取り出す。ステップ27で、匿名化サーバ13は、暗号化された識別子を得るために予め生成された匿名化キーAKを用いて、識別データを暗号化する。ステップ28で、匿名化サーバ13は、プロファイルメッセージから受信した、匿名化された識別データと暗号化プロファイルデータとを含む匿名化メッセージを生成する。その後、この匿名化メッセージは、匿名化サーバ13によって収集サーバ12に送られる。ユーザの識別データは、前記収集サーバにアクセスできないキーを用いて暗号化されているので、収集サーバ12は、いかなる場合もユーザの識別データにアクセスすることができない。
ステップ29で、収集サーバ12は、データベースから取り出されたプロファイルキーPKを用いて暗号化されたプロファイルデータを復号する。
ステップ30で、収集サーバ12は、ユーザのプロファイルデータに特徴が最も対応する視覚または聴覚メッセージに見合ったターゲット広告を、そのデータベース内で探す。この視覚または聴覚メッセージは、製品、サービス、イベント、企業のプロモーションを行うためのコンテンツを含むことができる。このメッセージは、また、ターゲットアラートとすることもできるが、もちろん、これがすべてというわけではない。
別の1つの実施形態では、収集サーバ12が、復号されたプロファイルデータを起点として、たとえば意見の集計、視聴率調査、または電気使用量の記録のための統計を取る。
ステップ31で、収集サーバ12は、データベースから取り出されたメッセージキーMKを用いて、このターゲット広告を暗号化する。ステップ32で、収集サーバ12は、暗号化された識別データと暗号化されたターゲット広告とを含むターゲットメッセージを生成する。その後、このターゲットメッセージは、匿名化サーバ13に送られる。ステップ33で、匿名化サーバ13は、データベースから取り出された匿名化キーAKを用いて、暗号化された識別データを復号する。その後、匿名化サーバ13は、識別データにより識別された宛先端末10に、暗号化されたターゲット広告を送る。ステップ34で、端末10は、データベースから取り出されたメッセージキーMKを用いて、暗号化されたターゲット広告を復号する。
本発明が、例として図示されている実施形態に制限されるものではないことは自明である。反対に、本発明は、この方法のあらゆる変形実施形態を含んでいる。
1つの実施形態では、匿名化サーバ13は、匿名化キーAKを用いてユーザ識別データを暗号化するために、決定的な暗号化アルゴリズムを使用する。この決定的な暗号化アルゴリズムは、同一データに対していつも同じ暗号化テキストを生成する暗号化システムである。このため、収集サーバ12は、経時的に匿名化サーバ13から受信したこの暗号化識別子の挙動を観察することができる。この暗号化識別子に対して受信したプロファイルデータを介して、収集サーバ12は、受信した暗号化識別子の統計分析により、ユーザの身元を知ることなくユーザプロファイルを絞り込むことができる。
図3に示された別の実施形態では、収集サーバ12とユーザ端末10との間に第3者サーバ16が介在している。このため、端末10と第3者サーバ16は、第4のネットワーク17によって接続されている。第3者サーバ16とデータ収集サーバ12は、第5のネットワーク18によって接続されている。第3者サーバ16は、匿名化キーAKを匿名化サーバ13と共有している。この匿名化キーAKは、匿名化サーバ13によって生成可能であり、その後、匿名化サーバは、記憶のために第3者サーバ16に匿名化キーを送り、あるいはその反対に行われる。変形実施形態では、この匿名化キーは、キー生成器により生成可能であり、その後、キーは、匿名化サーバ13と第3者サーバ16とに送られる。
好ましくは、第3者サーバ16は、承認された専門の民間機関の信頼サーバである。変形実施形態では、第3者サーバ16は、ユーザにネットワークへのアクセスを提供し、前記ネットワークで通信を行うための識別子をユーザに割り当てるエンティティとすることができる。
この実施形態では、図2に示されたステップ20からステップ31は、上記のように実行される。ステップ32から、収集サーバ12は、第3者サーバ16に、暗号化されたターゲット広告と暗号化された識別子とを含むターゲットメッセージを送る。第3者サーバ16は、ステップ33を実行し、宛先端末10に暗号化されたターゲット広告を送る。
この実施形態は、ユーザ情報を分散することによって作用者を増やしているために、それらの相関関係を難しくすることができる。
別の1つの実施形態では、収集サーバ12は、ターゲット広告の配信を担当するコンテンツプロバイダに、復号されたプロファイルデータを送る。収集サーバ12から受信したデータに応じて、コンテンツプロバイダは、適切なターゲット広告を選択し、図2のステップ31とステップ32を実行するために、これを前記収集サーバに送る。
別の1つの実施形態では、プロファイルデータの基準リストが、端末10と収集サーバ12との間でネットワーク11を介して平文でやり取りされる。基準の暗号化は、実際には任意であるが、匿名化サーバと第3者サーバとによる匿名化の可逆性を一段と困難にするためには暗号化することが好ましい。
1つの実施形態では、収集サーバ12の内部で秘密キーの管理と記憶を最適化するために、収集サーバ12が、この3つのキーセットをユーザ端末の集合と共有する。
別の1つの実施形態では、この3つのキーセットを単一の秘密キーに減らすことができる。この秘密キーは、収集サーバ12と端末10との間のあらゆるやり取りを暗号化するために使用可能である。
本発明による匿名化方法の間に生成されるキーは、たとえば、1つの単語、一連の単語、疑似乱数、あるいは長さ128ビットの数であるが、これがすべてというわけではない。
他の複数の実施形態では、他のさまざまな暗号アーキテクチャ、すなわち、
− 図2の実施形態により示されたような、対称な暗号アルゴリズムだけを使用するアーキテクチャ
− 非対称な暗号アルゴリズムだけを使用するアーキテクチャ。この実施形態では、生成される各キーが、秘密鍵/公開鍵の対である。この場合、データは、公開鍵を用いて暗号化され、秘密鍵を用いて復号される
− 上記の2つのアルゴリズムの組み合わせからなるアーキテクチャ
を検討可能である。
署名や完全性計算等によって暗号化アーキテクチャの複雑化を検討することも可能である。
本発明を実施するために選択されたネットワークアーキテクチャ、暗号化アーキテクチャおよび作用者が、いかなるものであろうとも、ユーザを識別可能なデータが匿名化キーを用いて暗号化されるように、また、ユーザと各作用者との間のやり取りの選定が次のようになされるようにすることを保証しなければならない。すなわち
− ターゲットデータの収集サーバが、ユーザの識別情報にアクセスできないようにする
− 端末と収集サーバとの間の中間サーバが、このユーザのプロファイルにアクセスしないようにする。
本発明の少なからぬ長所は、ユーザ識別データの匿名化がソースで実行されるので、入力されたフォームに含まれるデータは法律に照らしても問題とはならないことから、これらのデータ処理のためにユーザの同意を求める必要がもはやないことにある。

Claims (15)

  1. データ収集サーバ(12)によるユーザプロファイルの収集に際してユーザの識別に貢献可能なデータを匿名化する方法であって、
    前記ユーザの端末(10)により収集されたプロファイルデータを、前記端末とデータ収集サーバとの間で共有される秘密キーを用いて、前記端末によって、暗号化するステップと、
    暗号化されたプロファイルデータとユーザの識別に貢献可能なデータとを、端末と収集サーバとの間に配置された匿名化サーバ(13)に、前記端末によって、送信するステップと、
    暗号化された収集データと匿名化された識別データとを前記収集サーバに送る前に、ユーザの識別に貢献可能なデータを前記匿名化サーバの匿名化キーを用いて、前記匿名化サーバによって、暗号化するステップと
    匿名化された識別データと、ターゲット広告とを含むターゲットメッセージを、端末と収集サーバとの間に配置された第3者サーバ(16)に、前記収集サーバによって、送信するステップと、
    前記端末にターゲット広告を送信する前に、匿名化サーバと共有する匿名化キーを用いて匿名化された識別データを、前記第3者サーバによって、復号するステップと
    を含む、方法。
  2. 識別データは、決定論的な暗号化アルゴリズムにしたがって暗号化される、請求項1に記載の匿名化方法。
  3. 収集サーバは、収集されて暗号化されたプロファイルデータの受信時に、復号されたプロファイルデータに応じてターゲット広告を選択する、請求項1から2のいずれか一項に記載の匿名化方法。
  4. 前記ターゲット広告は、端末と共有されるキーを用いて暗号化される、請求項1からのいずれか一項に記載の匿名化方法。
  5. ターゲット広告は、製品、サービス、イベント、企業、またはターゲットアラートのプロモーションを行うためのコンテンツを有する視覚または聴覚メッセージである、請求項3から4のいずれか一項に記載の匿名化方法。
  6. プロファイルデータの収集は、
    ユーザプロファイルを作成するために収集サーバによってターゲット基準リストを作成するステップと、
    基準リストを端末に、収集サーバによって、送信するステップと、
    前記基準リストに応じてプロファイルデータを、端末によって、生成するステップとを含む、請求項1から5のいずれか一項に記載の匿名化方法。
  7. プロファイルデータの生成は、ユーザの入力か、または、学習期間を経てユーザの嗜好を導き出すことが可能な端末のアプリケーションに由来する、請求項6に記載の匿名化方法。
  8. 基準リストは、ユーザの性別(男性または女性)、年齢、国籍、音楽の好み、余暇の過ごし方、視聴された番組リスト、電気使用量の記録および/またはユーザの位置特定の申請を含む、請求項6から7のいずれか一項に記載の匿名化方法。
  9. 収集サーバとユーザ端末は、前記収集サーバと前記ユーザ端末との間でプロファイルデータを含むやり取りを暗号化するために使用される少なくとも1つの秘密キーを共有している、請求項1から8のいずれか一項に記載の匿名化方法。
  10. 収集サーバは、3つのキーセットをユーザ端末と共有し、前記3つのキーセットは、
    収集サーバから前記ユーザ端末に送信する前にユーザプロファイルに関する基準リストを暗号化するための基準キーと、
    ユーザ端末から前記収集サーバに送信する前にプロファイルデータを暗号化するためのプロファイルキーと、
    収集サーバから前記ユーザ端末に送信する前にユーザプロファイルに応じて選択された、ターゲット広告を暗号化するためのメッセージキーと、
    から構成される、請求項1から9のいずれか一項に記載の匿名化方法。
  11. 収集サーバは、ユーザ端末の集合と同じキーまたは同じ3つのキーセットを共有する、請求項9または10のいずれか一項に記載の匿名化方法。
  12. ユーザ端末は、携帯電話または携帯情報端末、またはコンピュータである、請求項1から11のいずれか一項に記載の匿名化方法。
  13. データ収集サーバは、広告配信、視聴率調査または世論調査サーバである、請求項1から12のいずれか一項に記載の匿名化方法。
  14. 匿名化サーバと第3者サーバは、前記端末のユーザにネットワークへのアクセスを提供するオペレータまたは承認された専門の民間機関のサーバである、請求項1から13のいずれか一項に記載の匿名化方法。
  15. ユーザ端末とユーザプロファイルデータの収集サーバとの間に配置される匿名化サーバおよび第3者サーバを含む匿名化システムであって、収集サーバによる前記ユーザプロファイルの収集に際して、前記ユーザの識別に貢献可能なデータを匿名化する請求項1から14のいずれか一項に記載の匿名化方法を実行可能な手段を含む、システム。
JP2015515523A 2012-06-06 2013-06-06 匿名化方法 Expired - Fee Related JP6177898B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP12305640.0 2012-06-06
EP12305640.0A EP2672418A1 (fr) 2012-06-06 2012-06-06 Procédé d'anonymisation
PCT/EP2013/061694 WO2013182639A1 (fr) 2012-06-06 2013-06-06 Procede d'anonymisation

Publications (3)

Publication Number Publication Date
JP2015526782A JP2015526782A (ja) 2015-09-10
JP2015526782A5 JP2015526782A5 (ja) 2016-02-25
JP6177898B2 true JP6177898B2 (ja) 2017-08-09

Family

ID=48577054

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015515523A Expired - Fee Related JP6177898B2 (ja) 2012-06-06 2013-06-06 匿名化方法

Country Status (4)

Country Link
US (1) US20150149765A1 (ja)
EP (2) EP2672418A1 (ja)
JP (1) JP6177898B2 (ja)
WO (1) WO2013182639A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017077600A1 (ja) * 2015-11-04 2017-05-11 株式会社 東芝 匿名化システム
CN107035895B (zh) * 2016-02-03 2021-09-07 厦门松霖科技股份有限公司 一种具有电子出水和机械出水两种模式的出水装置
US10261958B1 (en) * 2016-07-29 2019-04-16 Microsoft Technology Licensing, Llc Generating an association between confidential data and member attributes
US10511576B2 (en) 2017-06-08 2019-12-17 Microsoft Technology Licensing, Llc Privacy as a service by offloading user identification and network protection to a third party
JP7230329B2 (ja) * 2018-03-02 2023-03-01 富士フイルムビジネスイノベーション株式会社 情報処理システム
US11403420B2 (en) * 2018-08-31 2022-08-02 Visa International Service Association System, method, and computer program product for maintaining user privacy in advertisement networks
US11625752B2 (en) 2018-11-15 2023-04-11 Ravel Technologies SARL Cryptographic anonymization for zero-knowledge advertising methods, apparatus, and system
FR3091369B1 (fr) 2018-12-27 2022-11-11 Equensworldline Se Plateforme de sécurisation de données
FR3094109A1 (fr) 2019-03-21 2020-09-25 Roofstreet Procédé et système de traitement de données numériques provenant d’équipements connectés en garantissant la sécurité des données et la protection de la vie privée
US20200380148A1 (en) * 2019-06-03 2020-12-03 Otonomo Technologies Ltd. Method and system for aggregating users' consent
US11270025B2 (en) 2019-07-16 2022-03-08 Liveramp, Inc. Anonymized global opt-out
KR20210016838A (ko) * 2019-08-05 2021-02-17 삼성전자주식회사 서버 및 서버의 데이터 관리 방법
EP3905087B1 (en) * 2020-04-27 2023-01-18 Brighter AI Technologies GmbH Method and system for selective and privacy-preserving anonymization

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2298194A1 (en) * 2000-02-07 2001-08-07 Profilium Inc. Method and system for delivering and targeting advertisements over wireless networks
JP2002288502A (ja) * 2001-03-23 2002-10-04 Matsushita Electric Ind Co Ltd 電子クーポンサービス装置及び電子クーポンシステム
US7603703B2 (en) * 2001-04-12 2009-10-13 International Business Machines Corporation Method and system for controlled distribution of application code and content data within a computer network
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
JP2003316965A (ja) * 2002-04-19 2003-11-07 Omron Corp 情報収集システム,情報提供装置,仲介処理装置,情報匿名化装置,情報提供処理用のプログラム,情報中継処理用のプログラム
JP2006031640A (ja) * 2004-07-22 2006-02-02 Hitachi Ltd Icカード、icカード識別番号動的生成方法、icカード識別番号動的生成システム
US7925739B2 (en) * 2005-12-30 2011-04-12 Cisco Technology, Inc. System and method for enforcing advertising policies using digital rights management
US20080031459A1 (en) * 2006-08-07 2008-02-07 Seth Voltz Systems and Methods for Identity-Based Secure Communications
US20090013051A1 (en) * 2007-07-07 2009-01-08 Qualcomm Incorporated Method for transfer of information related to targeted content messages through a proxy server

Also Published As

Publication number Publication date
EP2859496A1 (fr) 2015-04-15
US20150149765A1 (en) 2015-05-28
EP2672418A1 (fr) 2013-12-11
JP2015526782A (ja) 2015-09-10
WO2013182639A1 (fr) 2013-12-12

Similar Documents

Publication Publication Date Title
JP6177898B2 (ja) 匿名化方法
JP7396580B2 (ja) メディアインプレッション及び検索語に関する分散型ユーザ情報を収集するための装置、記憶媒体、方法及びシステム
CN105900086B (zh) 跟踪用户对媒体的暴露的方法、装置以及设备,媒体装置
US9898620B2 (en) Information management method and information management system
JP2015526782A5 (ja)
CN104380690A (zh) 用于推荐服务的隐私保护系统的架构
US20140245012A1 (en) Enhancing data security using re-encryption
EP2926307B1 (en) Method for anonymisation by transmitting a data set between different entities
KR20170106912A (ko) 프록시 기반 프라이버시 보호 시스템 및 방법
CN101911055B (zh) 使用分布式人口统计选择电子广告的方法和设备
KR102245886B1 (ko) 협력형으로 개인정보를 보호하는 통신환경에서의 분석서버 및 분석서버의 동작 방법, 서비스제공장치 및 서비스제공장치의 동작 방법
US20130238890A1 (en) Method for transmitting information from a first information provider to a second information provider via an information intermediary
KR20160040399A (ko) 개인정보 관리 시스템 및 개인정보 관리 방법
Hayes et al. Privacy and security issues associated with mobile dating applications
KR102397651B1 (ko) 사용자 맞춤형 광고 방법 및 시스템

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160106

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170613

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170712

R150 Certificate of patent or registration of utility model

Ref document number: 6177898

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees