JP6283519B2 - Control device, control method, and control program - Google Patents
Control device, control method, and control program Download PDFInfo
- Publication number
- JP6283519B2 JP6283519B2 JP2014000574A JP2014000574A JP6283519B2 JP 6283519 B2 JP6283519 B2 JP 6283519B2 JP 2014000574 A JP2014000574 A JP 2014000574A JP 2014000574 A JP2014000574 A JP 2014000574A JP 6283519 B2 JP6283519 B2 JP 6283519B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- anonymity
- candidate
- anonymized
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、制御装置、制御方法、及び制御プログラムに関する。 The present invention relates to a control device, a control method, and a control program.
近年、情報漏洩の問題及び個人情報保護法の制定等により、個人情報の取り扱いが問題となっている。個人情報は、公的機関のみならず、種々の企業によって収集されている。例えば、商品又はサービスを購入する消費者(以下では、「個人」と呼ぶことがある)が商品又はサービスを購入する際に、会員登録することがある。この会員登録時には、通常、個人の氏名、年齢、性別、住所、及びメールアドレス等のデータが、個人に割り振られた個人IDと対応づけられた状態で、企業のシステムに登録(記憶)される。すなわち、企業のシステムは、「個人情報データ」を記憶しておく。ここで、「個人情報データ」は、例えば、氏名、年齢、性別、住所、メールアドレス、及び個人IDを含む。さらに、企業のシステムは、個人情報データが既に登録されている個人が商品又はサービスを購入する度に、その個人のIDに対応づけて、購入された商品又はサービスに関する情報を記憶する。これにより、企業は、収集した個人情報データを用いて、企業活動に利用することができる。 In recent years, the handling of personal information has become a problem due to the problem of information leakage and the enactment of the Personal Information Protection Law. Personal information is collected not only by public institutions but also by various companies. For example, a consumer who purchases a product or service (hereinafter sometimes referred to as “individual”) may register as a member when purchasing the product or service. At the time of membership registration, data such as an individual's name, age, gender, address, and e-mail address are usually registered (stored) in a company system in a state in which the data is associated with an individual ID assigned to the individual. . That is, the company system stores “personal information data”. Here, the “personal information data” includes, for example, a name, age, sex, address, e-mail address, and personal ID. Furthermore, every time an individual whose personal information data is already registered purchases a product or service, the company system stores information related to the purchased product or service in association with the ID of the individual. As a result, the company can use the collected personal information data for corporate activities.
一方で、例えば、個人情報データを収集した第1の企業以外の第2の企業が、その個人情報データを利用することを望むことがある。すなわち、データ収集主体とデータ利用主体とが異なる可能性がある。しかしながら、個人情報保護の観点から、個人の許可を得ること無しに、個人情報データそのものを提供することはできない。そこで、個人情報データを、個人を特定できない状態のデータ(以下では、「匿名化データ」と呼ぶことがある)に変換し、匿名化データを利用することが考えられている。 On the other hand, for example, a second company other than the first company that collected personal information data may desire to use the personal information data. That is, there is a possibility that the data collection entity and the data utilization entity are different. However, from the viewpoint of personal information protection, personal information data itself cannot be provided without obtaining personal permission. Therefore, it is considered that personal information data is converted into data in a state where an individual cannot be specified (hereinafter, sometimes referred to as “anonymized data”) and anonymized data is used.
しかしながら、従来の匿名化データの利用提供技術では、匿名化データが、個人を特定されるリスク(つまり、「個人特定リスク」)が十分低減されたレベル(つまり、「匿名目標レベル」)に達していない状態で利用対象として提供されている可能性がある。 However, in the conventional technology for providing and using anonymized data, the anonymized data reaches a level (ie, “anonymity target level”) in which the risk of identifying an individual (ie, “personal identification risk”) is sufficiently reduced. There is a possibility that it is provided as a usage target in a state where it is not.
開示の技術は、上記に鑑みてなされたものであって、利用対象である匿名化データの個人特定リスクを低減することができる、制御装置、制御方法、及び制御プログラムを提供することを目的とする。 The disclosed technology has been made in view of the above, and an object thereof is to provide a control device, a control method, and a control program that can reduce the personal identification risk of anonymized data that is a usage target. To do.
開示の態様では、匿名化データの利用を制御する制御装置は、取得部と、選択部とを有する。前記取得部は、個人の情報に関する少なくとも1つの項目値を含む個人情報データが抽象化パターンに従って匿名化された匿名化データを取得する。前記選択部は、前記取得した匿名化データに対応する抽象化パターンがk−匿名性に基づく匿名要件を満たす場合、前記取得した匿名化データを、利用対象データの候補として選択する。 In the aspect of an indication, the control device which controls utilization of anonymization data has an acquisition part and a selection part. The acquisition unit acquires anonymized data obtained by anonymizing personal information data including at least one item value related to personal information according to an abstract pattern. When the abstraction pattern corresponding to the acquired anonymized data satisfies the anonymity requirement based on k-anonymity, the selecting unit selects the acquired anonymized data as a candidate for use target data.
開示の態様によれば、利用対象である匿名化データの個人特定リスクを低減することができる。 According to the aspect of an indication, the individual specific risk of the anonymization data which is a utilization object can be reduced.
以下に、本願の開示する制御装置、制御方法、及び制御プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願の開示する制御装置、制御方法、及び制御プログラムが限定されるものではない。また、実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略される。また、実施形態において同等の処理ステップには同一の符号を付し、重複する説明は省略される。 Hereinafter, embodiments of a control device, a control method, and a control program disclosed in the present application will be described in detail with reference to the drawings. In addition, the control apparatus, the control method, and the control program which this application discloses are not limited by this embodiment. Moreover, the same code | symbol is attached | subjected to the structure which has the same function in embodiment, and the overlapping description is abbreviate | omitted. Further, in the embodiment, the same processing steps are denoted by the same reference numerals, and redundant description is omitted.
[実施例1]
[制御装置の構成例]
図1は、実施例1の制御装置の一例を示すブロック図である(例えば、後述する図11参照)。図1において、制御装置10は、記憶部11と、取得部12と、選択部13とを有する。
[Example 1]
[Configuration example of control device]
FIG. 1 is a block diagram illustrating an example of a control device according to the first embodiment (for example, see FIG. 11 described later). In FIG. 1, the
記憶部11は、「匿名化データテーブル」を記憶している。「匿名化データテーブル」には、「匿名化データ群」が記憶されている。「匿名化データ群」は、項目値についての複数の「抽象化パターン」に基づいて個人情報データを抽象化して得られた複数の匿名化データを含んでいる。例えば、個人IDと項目である年齢及び性別のそれぞれに対応する項目値を含み且つ個人IDが「111」、年齢の項目値が「18歳」、性別の項目値が「男」である個人情報データの場合、「匿名化データ群」には、個人ID「111」の個人に対応する匿名化データとして、「10代、男」、「10代以下、男」、「学生、男」等が含まれている。ここで、「10代、男」、「10代以下、男」、「学生、男」は、それぞれ異なる「抽象化パターン」である。すなわち、個人IDが「111」、年齢「18歳」、性別「男」である個人情報データの場合、第1の抽象化パターン「10代、男」で抽象化した匿名化データが、個人ID「111」に対応する「10代、男」というデータとなる。また、第2の抽象化パターン「10代以下、男」で抽象化した匿名化データが、個人ID「111」に対応する「10代以下、男」というデータとなる。また、第3の抽象化パターン「学生、男」で抽象化した匿名化データが、個人ID「111」に対応する「学生、男」というデータとなる。なお、「匿名化データテーブル」では、匿名化データ毎に異なる番号(つまり、「匿名化データ識別情報」)が付されている。
The
取得部12は、記憶部11に記憶されている匿名化データ群を取得し、取得した匿名化データ群を選択部13へ出力する。
The
選択部13は、複数の抽象化パターンの内で「匿名要件」を満たした抽象化パターンに対応する匿名化データを、「利用対象データ」の候補として選択する。すなわち、選択部13は、複数の抽象化パターンの内で「匿名要件」を満たす抽象化パターンを、「利用パターン」の候補として特定する。そして、選択部13は、特定した利用パターンの候補に対応する匿名化データを、利用対象データの候補として選択する。ここで、「匿名要件」は、少なくとも「k−匿名性」に基づく。さらに、「匿名要件」は、k−匿名性に加えて、「l−多様性」、及び「Pk−匿名性」の少なくともいずれか一方に基づいてもよい。なお、選択部13は、利用パターンの候補の識別情報と当該候補で匿名化された匿名化データの識別情報と対応づけて記憶する「パターン対応テーブル」を記憶部11に記憶させてもよい。また、選択部13は、利用パターンの候補の識別情報と、当該利用パターンの候補に対応する個人情報データの個人IDとを対応づけて記憶する「利用パターン候補テーブル」を記憶部11に記憶させてもよい(例えば、後述する図14参照)。
The
例えば、「匿名要件」が「k−匿名性」にのみ基づく場合、「匿名要件」は、「抽象化パターンに対応する匿名化データの数が「第1の閾値」以上であること」である。この場合、選択部13は、各抽象化パターンに対応する匿名化データの数と第1の閾値とを比較し、その数が第1の閾値以上である抽象化パターンを「利用パターン」の候補として選択するとともに、利用パターンの候補に対応する匿名化データを、「利用対象データ」の候補として選択する。なお、「k−匿名性」とは、同じ属性を持つ個人がk人以上いる状態をいう。また、「l−多様性」とは、属性の組合せが少なくともl通り以上ある状態をいう。また、「Pk−匿名性」とは、個人情報データから個人を1/k以上の確率で当てることができない状態をいう。
For example, when the “anonymity requirement” is based only on “k-anonymity”, the “anonymity requirement” is “the number of anonymization data corresponding to the abstract pattern is equal to or greater than the“ first threshold ””. . In this case, the
また、例えば、「匿名要件」がk−匿名性、l−多様性、及びPk−匿名性に基づく場合、「匿名要件」は、「個人特定リスクを表す「リスク指標」が「第2の閾値」以下であること」である。例えば、「リスク指標」は、リスク算出部(図示せず)において、k−匿名性、l−多様性、及びPk−匿名性の各々について算出された、個人が特定される確率値に基づいて、算出される。この場合、選択部13は、各抽象化パターンに対応する匿名化データのリスク指標と第2の閾値とを比較し、リスク指標が第2の閾値以下である抽象化パターンを「利用パターン」の候補として選択するとともに、利用パターンの候補に対応する匿名化データを、「利用対象データ」の候補として選択する。
Further, for example, when the “anonymity requirement” is based on k-anonymity, l-diversity, and Pk-anonymity, the “anonymity requirement” indicates that the “risk index” representing the individual identification risk is “second threshold value”. "Being below". For example, the “risk index” is based on a probability value for identifying an individual calculated for each of k-anonymity, l-diversity, and Pk-anonymity in a risk calculation unit (not shown). Is calculated. In this case, the
図2は、リスク指標の算出例の説明に供する図である。図2には、或る抽象化パターンに対応する、k−匿名性、l−多様性、及びPk−匿名性のそれぞれの値等が示されている。例えば、k−匿名性に関しては、その抽象化パターンに対応するk−匿名性の値(つまり、発生数)は、10である。つまり、その抽象化パターンに対応する匿名化データが10個存在することを示している。従って、この場合、個人が特定される確率値は、1/10=10%である。また、その抽象化パターンに対するl−多様性の値は、3である。つまり、その抽象化パターン(複数の項目を含む)に対する匿名化データが3つ存在することを示している。従って、この場合、個人が特定される確率値は、1/3=33%である。また、その抽象化パターンに対応するPk−匿名性の値は2%であり、個人が特定される確率値は1%となっている。ここで、図2における「優先度」は、k−匿名性、l−多様性、及びPk−匿名性のそれぞれに対する「重み付け係数」となっている。従って、図2の場合のリスク指標は、次のように算出することができる。
リスク指標の値=(1/10×0.8)+(1/3×0.2)=0.1467
FIG. 2 is a diagram for explaining an example of calculating a risk index. FIG. 2 shows respective values of k-anonymity, l-diversity, and Pk-anonymity corresponding to a certain abstraction pattern. For example, for k-anonymity, the value of k-anonymity (that is, the number of occurrences) corresponding to the abstract pattern is 10. That is, it shows that there are 10 anonymized data corresponding to the abstract pattern. Therefore, in this case, the probability value that the individual is specified is 1/10 = 10%. The l-diversity value for the abstraction pattern is 3. That is, it shows that there are three anonymized data for the abstraction pattern (including a plurality of items). Therefore, in this case, the probability value that the individual is specified is 1/3 = 33%. In addition, the value of Pk-anonymity corresponding to the abstract pattern is 2%, and the probability value that an individual is specified is 1%. Here, the “priority” in FIG. 2 is a “weighting coefficient” for each of k-anonymity, l-diversity, and Pk-anonymity. Therefore, the risk index in the case of FIG. 2 can be calculated as follows.
Risk index value = (1/10 × 0.8) + (1/3 × 0.2) = 0.1467
ここで、図2には、k−匿名性、l−多様性、及びPk−匿名性のそれぞれの値が取り得る、上限値(図2では、論理的最大値)及び下限値(図2では、下限閾値)が示されている。 Here, FIG. 2 shows an upper limit value (logical maximum value in FIG. 2) and a lower limit value (in FIG. 2) that can take values of k-anonymity, l-diversity, and Pk-anonymity. , Lower threshold).
[制御装置の動作例]
以上の構成を有する制御装置の処理動作の一例について説明する。図3は、実施例1の制御装置の処理動作の一例を示すフローチャートである。
[Control device operation example]
An example of the processing operation of the control device having the above configuration will be described. FIG. 3 is a flowchart illustrating an example of a processing operation of the control device according to the first embodiment.
制御装置10において、取得部12は、匿名化データ群を取得する(ステップS101)。
In the
選択部13は、各抽象化パターンについて匿名要件を満たしているか否かを判定する(ステップS102)。
The
選択部13は、匿名化要件を満たした抽象化パターンに対応する匿名化データを、利用対象データの候補として選択する(ステップS103)。
The
以上のように本実施例によれば、制御装置10において、取得部12は、匿名化データ群を取得する。そして、選択部13は、複数の抽象化パターンの内で匿名要件を満たした抽象化パターンに対応する匿名化データを、利用対象データの候補として選択する。
As described above, according to the present embodiment, in the
この制御装置10の構成により、匿名要件を満たした抽象化パターンに対応する匿名化データのみを利用対象データの候補とすることができる。すなわち、匿名化データの利用提供の前段階で、「匿名化フィルタ」を適用することができる。これにより、個人特定リスクを低減することができる。
With the configuration of the
また、匿名要件は、少なくともk−匿名性に基づく。さらに、匿名要件は、k−匿名性に加えて、l−多様性、及びPk−匿名性の少なくともいずれか一方に基づいてもよい。 Anonymity requirements are based at least on k-anonymity. Furthermore, the anonymity requirement may be based on at least one of l-diversity and Pk-anonymity in addition to k-anonymity.
なお、匿名要件がk−匿名性にのみ基づく場合、匿名化要件は、抽象化パターンに対応する匿名化データの数が第1の閾値以上であること、であってもよい。 When the anonymity requirement is based only on k-anonymity, the anonymization requirement may be that the number of anonymization data corresponding to the abstract pattern is equal to or greater than a first threshold value.
また、匿名要件がk−匿名性、l−多様性、及びPk−匿名性に基づく場合、匿名要件は、個人特定リスクを表すリスク指標が第2の閾値以下であること、であってもよい。例えば、リスク指標は、リスク算出部(図示せず)において、k−匿名性、l−多様性、及びPk−匿名性の各々について算出された、個人が特定される確率値に基づいて、算出されてもよい。 Further, when the anonymity requirement is based on k-anonymity, l-diversity, and Pk-anonymity, the anonymity requirement may be that a risk index representing an individual identification risk is equal to or less than a second threshold value. . For example, the risk index is calculated based on a probability value for identifying an individual calculated for each of k-anonymity, l-diversity, and Pk-anonymity in a risk calculation unit (not shown). May be.
なお、以上の説明では、匿名化データテーブルが制御装置10に記憶されていることを前提として説明を行ったが、これに限定されるものではない。例えば、匿名化データテーブルは、制御装置10とは別体の装置(例えば、個人情報テータの収集主体である企業等の装置)に記憶されていてもよい。
In the above description, the description has been made on the assumption that the anonymization data table is stored in the
[実施例2]
実施例2は、実施例1で選択された利用対象データの候補を、利用対象データとして決定する処理に関する。
[Example 2]
The second embodiment relates to a process for determining the use target data candidate selected in the first embodiment as the use target data.
図4は、実施例2の制御装置の一例を示すブロック図である。図4において、制御装置20は、決定部21と、出力制御部22とを有する。
FIG. 4 is a block diagram illustrating an example of a control device according to the second embodiment. In FIG. 4, the
決定部21は、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、「利用対象データ」として決定する。
When the use target data candidate selected by the
「利用要件」は、例えば、「モラル要件」を含む。「モラル要件」は、例えば、匿名化データの利用者の属性、及び、匿名化データの利用者による利用態様の少なくともいずれか一方を含む。また、「モラル要件」として、匿名化データの利用を禁止する企業を定めてもよい。例えば、利用者の属性が風俗営業等である場合には、利用要件が満たされず、利用対象データの候補は、その利用者に対しては利用対象データとはされない。また、利用者による利用態様がアダルト関係の広告配信等である場合にも、利用要件が満たされず、利用対象データの候補は、その利用者に対しては利用対象データとはされない。 “Usage requirements” include, for example, “moral requirements”. The “moral requirement” includes, for example, at least one of the attribute of the user of the anonymized data and the usage mode by the user of the anonymized data. In addition, as a “moral requirement”, companies that prohibit the use of anonymized data may be defined. For example, when the user attribute is customs business or the like, the usage requirement is not satisfied, and the candidate for the usage target data is not used as the usage target data for the user. Also, when the usage mode by the user is adult-related advertisement delivery or the like, the usage requirements are not satisfied, and the usage target data candidate is not used as the usage target data for the user.
また、「利用要件」のパラメータとして、ユーザ又は第三者(法律家を含んでもよい)のアンケート結果、及び、インターネットにおける風評(顧客のクレームの数を含んでもよい)等から求められる「定性指標」が用いられてもよい。図5は、実施例2の定性指標の説明に供する図である。 In addition, as a parameter of “use requirements”, “qualitative indicators” obtained from questionnaire results of users or third parties (including lawyers) and reputations on the Internet (may include the number of customer complaints) May be used. FIG. 5 is a diagram for explaining the qualitative index of the second embodiment.
図5の「定性指標テーブル」は、項目として、「意見聴取者」、「人数」、「頻度」、「確認」、「下限設定」、「現在の値」、「優先度」を含んでいる。 The “qualitative index table” in FIG. 5 includes “opinion listener”, “number of people”, “frequency”, “confirmation”, “lower limit setting”, “current value”, and “priority” as items. .
図5の定性指標テーブルでは、「意見聴取者」として、「法学者・研究者」、「感度の高い顧客」、「通常のユーザ」、「自社の顧客以外」、「フェイスブック(登録商標)の該当ページへのコメント数」、「ツイッター(登録商標)の該当商品を含むつぶやき」が含まれている。 In the qualitative index table of FIG. 5, as “listeners”, “law scholars / researchers”, “sensitive customers”, “normal users”, “other than their own customers”, “Facebook (registered trademark)” "The number of comments on the corresponding page of" and "tweets including the corresponding product of Twitter (registered trademark)".
「法学者・研究者」に着目すると、「人数」の項目値である「10人」は、アンケートに答えた「法学者・研究者」の数が10人であることを意味している。また、「頻度」の項目値である「1回/月」は、月に1回の頻度でアンケートを実行していることを示している。また、「確認」の項目値である「不許可率」は、対象の利用者に匿名化データを利用させることについて不許可と回答した人数の割合を、「現在の値」の項目値とすることを示している。また、「下限設定」の項目値である「6人」は、アンケート回答者の必要最小限の値であり、6人を下回った場合には、その利用者への匿名化データの提供は一時停止される。「優先度」は、「現在の値」の項目値に対する重み付け係数である。すなわち、図5のテーブルでは、「法学者・研究者」、「感度の高い顧客」、「通常のユーザ」、「自社の顧客以外」の順番で重要度が低くなっている。この優先度を調整することで、多様な設定を行うことができる。また、「フェイスブック(登録商標)の該当ページへのコメント数」及び「ツイッター(登録商標)の該当商品を含むつぶやき」に対応するネガティブコメント数は、クローニングによって収集され、その数に対するデータマイニングの結果が「現在の値」の項目値となる。 When paying attention to “law scholars / researchers”, the item value “10 people” of “number of people” means that the number of “law scholars / researchers” who answered the questionnaire is ten. In addition, the item value of “frequency” “once / month” indicates that the questionnaire is executed once a month. In addition, the “non-permission rate” which is the item value of “confirmation” is the item value of “current value”, which is the ratio of the number of people who answered that the target user is not allowed to use anonymized data It is shown that. In addition, “6 people”, which is the item value of “lower limit setting”, is the minimum necessary value for questionnaire respondents. If the number is below 6, the anonymized data is temporarily provided to the user. Stopped. The “priority” is a weighting coefficient for the item value “current value”. That is, in the table of FIG. 5, the importance is low in the order of “law scholar / researcher”, “sensitive customer”, “normal user”, and “other than own customer”. Various settings can be performed by adjusting the priority. The number of negative comments corresponding to “the number of comments on the relevant page of Facebook (registered trademark)” and “tweet including the corresponding product of Twitter (registered trademark)” is collected by cloning, and data mining for that number is performed. The result is the item value of “current value”.
また、「利用要件」のパラメータには、例えば、匿名化データの利用者候補が事前に指定してきた、「k−匿名性の最低目標値」が含まれてもよい。すなわち、利用対象データの候補であっても、利用対象データの候補に対応する抽象化パターンのk−匿名性の値が、利用者候補が指定した「k−匿名性の最低目標値」より小さい場合、その利用対象データの候補は、その利用者候補に対しては利用対象データとはされない。つまり、「利用対象データの候補に対応する抽象化パターンのk−匿名性の値が、利用者候補が指定したk−匿名性の最低目標値以上であること」が、「利用要件」となる。 In addition, the parameter of “use requirement” may include, for example, “k-minimum target value of anonymity” specified in advance by a candidate user of anonymized data. That is, even if it is a candidate for the usage target data, the k-anonymity value of the abstract pattern corresponding to the usage target data candidate is smaller than the “k-minimum anonymity target value” specified by the user candidate. In this case, the use target data candidate is not used as the use target data for the user candidate. That is, “use requirement” is that “the k-anonymity value of the abstraction pattern corresponding to the candidate for use target data is not less than the minimum target value of k-anonymity specified by the user candidate”. .
また、「利用要件」のパラメータには、例えば、利用対象データの候補に対応する抽象化パターンの「価値」が含まれてもよい。この「価値」は、例えば、制御装置20が有する価値算出部(図示せず)によって、抽象化パターンを構成する各項目値毎についての、インターネットにおけるアクセス数又はクリック数等に基づいて、算出される。例えば、「算出された価値の最も高い抽象化パターンに対応する利用対象データの候補であること」が、「利用要件」となる。
Further, the “use requirement” parameter may include, for example, the “value” of the abstract pattern corresponding to the use target data candidate. This “value” is calculated, for example, by a value calculation unit (not shown) of the
また、「利用要件」のパラメータには、匿名化データの利用者候補が事前に指定してきた「利用希望抽象化パターン」が含まれていてもよい。すなわち、「利用希望抽象化パターンと対応する利用対象データの候補であること」が、「利用要件」となる。 Further, the “use requirement” parameter may include a “use desired abstraction pattern” designated in advance by a candidate user of anonymized data. That is, “use requirement data candidate corresponding to the use desired abstraction pattern” is the “use requirement”.
なお、以上で例示した複数の利用要件は、それぞれ単独で用いられてもよいし、任意の組み合わせで用いられてもよい。また、1個人について利用対象データである匿名化データが複数存在する場合、決定部21は、最も詳しい、つまり項目値が下位概念である抽象化パターンに対応する匿名化データを利用対象データに決定すればよい。
Note that the plurality of usage requirements exemplified above may be used alone or in any combination. In addition, when there are a plurality of anonymized data that are usage target data for one individual, the
図4の説明に戻り、出力制御部22は、決定部21で決定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。
Returning to the description of FIG. 4, the
例えば、利用者が利用態様として「広告配信」を事前に指定してきている場合、出力制御部22は、決定部21で決定された利用対象データに対応する個人に対して、その利用者から事前に取得している情報(例えば、広告及びクーポン等)を報知する制御を行う。例えば、記憶部11には、「個人情報テーブル」が記憶されている(例えば、後述する図9参照)。「個人情報テーブル」には、匿名化データの元となる個人情報データが記憶されている。各個人情報データは、例えば、個人ID、及び、個人の情報に関する少なくとも1つの項目値を含む。例えば、項目値の1つとして、個人のメールアドレスが含まれている。また、例えば、記憶部11には、個人IDと、上記の匿名化データ識別情報とを対応づけて記憶する「識別情報対応テーブル」が記憶されている(例えば、後述する図12参照)。そして、出力制御部22は、決定部21で決定された利用対象データの識別情報を、上記の匿名化データテーブルを用いて特定する。そして、出力制御部22は、特定した利用対象データの識別情報に対応する個人IDを、識別情報対応テーブルを用いて特定する。そして、出力制御部22は、特定した個人IDに対応するメールアドレスを用いて、広告を送信する。
For example, when the user has designated “advertising delivery” as the usage mode in advance, the
また、例えば、利用者が利用態様として「匿名化データの配信」を事前に指定してきている場合、出力制御部22は、その利用者の端末に対して利用対象データを送信する。
For example, when the user has designated “distribution of anonymized data” as the usage mode in advance, the
なお、出力制御部22は、実際に利用された利用対象データに対応する抽象化パターンのk−匿名性の値及び利用者識別情報を含むログ情報を、記憶部11に記憶させてもよい。
Note that the
以上のように本実施例によれば、制御装置20において、決定部21は、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、選択部13で選択した利用対象データの候補を、利用対象データとして決定する。
As described above, according to the present embodiment, in the
この制御装置20の構成により、匿名要件に加えて利用要件を満たした利用対象データの候補のみを利用対象データとすることができるので、匿名化データ利用における、個人及び利用者等のリスクを低減させることができる。
With this configuration of the
ここで、実施例2の制御装置20によれば、例えば、図6に示すように、匿名化データを、「法的・モラル的違反状態」、「法的高リスク状態」、「モラル的高リスク状態」、「個人特定高リスク状態」、「モラル違反状態」、及び「利用可能状態」の6つの状態に分類することができる。そして、「利用可能状態」に分類される匿名化データのみを利用可能データとすることができる。
Here, according to the
[実施例3]
実施例3は、実施例1及び実施例2で選択された利用対象データの候補を、オークション形式で利用対象データとして決定する処理に関する。
[Example 3]
The third embodiment relates to a process of determining the usage target data candidates selected in the first and second embodiments as usage target data in an auction format.
図7は、実施例3の制御装置の一例を示すブロック図である。図7において、制御装置30は、オークション制御部31を有する。
FIG. 7 is a block diagram illustrating an example of a control device according to the third embodiment. In FIG. 7, the
オークション制御部31は、選択部13で選択した利用対象データの候補に対応する抽象化パターン(つまり、上記の利用パターンの候補)に関する情報を、オークション対象の情報として利用者候補に公開する制御を行う。例えば、オークション制御部31は、利用者候補の端末からアクセスされると、「公開テーブル」を利用者候補の端末に表示させる制御を行う。「公開テーブル」は、例えば、項目として、「抽象化パターン」と、「抽象化パターンの番号」と、「k−匿名性の値」とを含む(例えば、後述する図18参照)。すなわち、「公開テーブル」では、選択部13で選択した利用対象データの複数の候補にそれぞれ対応する複数の抽象化パターンと、各抽象化パターンに対応する、識別情報及びk−匿名性の値とが対応づけられている。
The
そして、オークション制御部31は、公開した各抽象化パターン(つまり、各オークション対象)に対する入札を受け付ける入札受付処理を行い、各オークション対象について最も入札額の高い利用者候補にそのオークション対象を落札させる。
Then, the
そして、オークション制御部31は、落札されたオークション対象に対応する、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、利用対象データとして決定する。なお、オークション制御部31は、落札された抽象化パターンの識別情報と、上記のパターン対応テーブルとを用いて、落札された抽象化パターンに対応する匿名化データを特定し、これを利用対象データとして決定してもよい。また、オークション制御部31は、落札された抽象化パターンの識別情報と、落札した利用者の識別情報と、その利用者が指定してきている利用態様の識別情報とを対応づけた「落札パターンテーブル」を、記憶部11に記憶させてもよい。
Then, if the candidate for use target data selected by the
ここで、オークション制御部31の「利用要件」としては、実施例2で説明したものを用いることができる。
Here, as the “use requirement” of the
そして、出力制御部22は、オークション制御部31で決定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。
Then, the
以上のように本実施例によれば、制御装置30において、オークション制御部31は、選択部13で選択した利用対象データの候補に対応する抽象化パターンに関する情報をオークション対象の情報として利用者候補に公開し、オークション対象を利用者候補に落札させる。
As described above, according to the present embodiment, in the
この制御装置30の構成により、匿名要件を満たした抽象化パターンのみをオークション対象として公開することができるので、オークションにおける個人特定リスクを低減することができる。
With this configuration of the
また、オークション制御部31は、落札されたオークション対象に対応する、選択部13で選択した利用対象データの候補が利用要件を満たしている場合、選択部13で選択した利用対象データの候補を、利用対象データとして決定する。
In addition, when the candidate for the usage target data selected by the
この制御装置30の構成により、匿名要件に加えて利用要件を満たした利用対象データの候補のみを利用対象データとすることができるので、匿名化データの利用における、個人及び利用者等のリスクを低減させることができる。
Since the configuration of the
[実施例4]
実施例4は、実施例2で説明した匿名化フィルタの具体的な利用態様例に関する。
[Example 4]
The fourth embodiment relates to a specific usage mode example of the anonymization filter described in the second embodiment.
[利用システムの概要]
図8は、実施例4の匿名化データの利用システムの一例を示す図である。図8において、利用システム100は、制御装置120と、個人情報データを収集する収集システム130と、端末150とを有する。制御装置120は、実施例2で説明した制御装置20に対応し、制御装置20と基本的に同じ機能を有している。また、収集システム130は、例えば、病院に設置されたシステムである。また、端末150は、匿名化データの利用者候補の端末である。なお、図8では収集システム130及び端末150を1つ示しているが、この数はこれに限定されるものではない。すなわち、利用システム100は、収集システム130及び端末150をそれぞれ2つ以上有していてもよい。また、以下では、収集システム130が病院に設置されたシステムであるものとして説明を行う。
[Outline of the system used]
FIG. 8 is a diagram illustrating an example of a system for using anonymized data according to the fourth embodiment. In FIG. 8, the
まず、収集システム130では、個人情報データ群(例えば、カルテ情報データ)が複数の抽象化パターンに従って匿名化処理され、匿名化データ群にされる。この匿名化データ群は、制御装置120へ提供される。 First, in the collection system 130, personal information data groups (for example, medical record information data) are anonymized according to a plurality of abstract patterns to be anonymized data groups. This anonymized data group is provided to the control device 120.
そして、制御装置120は、収集システム130から提供された匿名化データ群を用いて、利用対象データを決定する。 And the control apparatus 120 determines utilization object data using the anonymization data group provided from the collection system 130. FIG.
そして、制御装置120は、決定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。 Then, the control device 120 performs output control of “information” corresponding to the “user usage mode” corresponding to the determined usage target data.
例えば、制御装置120は、端末150から指定された「匿名化データの利用態様」が「広告配信」である場合、決定された利用対象データに対応する個人に対して、その利用者から事前に取得している情報(つまり、広告)を報知する制御を行う。 For example, when the “use mode of anonymized data” designated from the terminal 150 is “advertising delivery”, the control device 120 gives the individual corresponding to the determined use target data from the user in advance. Control to notify the acquired information (that is, advertisement) is performed.
また、制御装置120は、端末150から指定された「匿名化データの利用態様」が「匿名化データの配信」である場合、端末150に対して利用対象データを送信する。 In addition, when the “use mode of anonymized data” designated from the terminal 150 is “distribution of anonymized data”, the control device 120 transmits the usage target data to the terminal 150.
以上の動作処理(以下では、この動作処理を「バッチ処理」と呼ぶことがある)が行われた後に、収集システム130の後述する受付装置136で患者の受付処理が行われることがある。この場合、受付処理が行われた患者の個人IDが制御装置120に提供される。 After the above-described operation processing (hereinafter, this operation processing may be referred to as “batch processing”), patient reception processing may be performed by a reception device 136 described later of the collection system 130. In this case, the personal ID of the patient for which the reception process has been performed is provided to the control device 120.
そして、制御装置120は、提供された個人IDに対応する利用対象データを特定する。そして、制御装置120は、特定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。例えば、端末150から指定された「匿名化データの利用態様」が「広告配信」である場合、制御装置120は、収集システム130の後述する精算装置137から患者の精算時に出力されるレシートに広告が印字される制御を行う。また、広告の配信態様としては、例えば、後述する精算装置137に配設されるか、又は、後述する精算装置137の設置場所付近に設置された、サイネージに表示されてもよい。ここで説明した、バッチ処理後に行われた一連の処理を、以下では、「リアルタイム処理」と呼ぶことがある。
And the control apparatus 120 specifies the utilization object data corresponding to the provided personal ID. Then, the control device 120 performs output control of “information” corresponding to the “user usage mode” corresponding to the specified usage target data. For example, when the “use mode of anonymized data” specified from the terminal 150 is “advertisement delivery”, the control device 120 sends an advertisement to a receipt that is output at the time of patient settlement from a later-described
[収集システムの構成例]
図8において、収集システム130は、個人情報テーブル131と、匿名化処理部132と、匿名化データテーブル133と、識別情報対応テーブル134と、インタフェース(IF)135と、受付装置136と、精算装置137とを有する。
[Example of collection system configuration]
In FIG. 8, the collection system 130 includes a personal information table 131, an
個人情報テーブル131は、個人情報データ群を記憶している。図9は、個人情報テーブルの一例を示す図である。図9に示す個人情報テーブルは、項目として、「個人ID」、「氏名」、「年齢」、「性別」、「住所」、「病名」、「メールアドレス」を含んでいる。 The personal information table 131 stores personal information data groups. FIG. 9 is a diagram illustrating an example of the personal information table. The personal information table shown in FIG. 9 includes “personal ID”, “name”, “age”, “sex”, “address”, “disease name”, and “mail address” as items.
匿名化処理部132は、個人情報テーブル131の個人情報データを複数の「抽象化パターン」に基づいて抽象化して、匿名化データ群を形成する。複数の抽象化パターンは、例えば、図10に示すような「木構造」で表すことができる。図10は、抽象化パターンの説明に供する図である。形成された匿名化データ群は、匿名化データテーブル133に記憶される。また、個人情報データの個人IDと、当該個人情報データから形成された匿名化データの識別情報との対応関係が、識別情報対応テーブル134に記憶される。
The
図11は、匿名化データテーブルの一例を示す図である。また、図12は、識別情報対応テーブルの一例を示す図である。図12において、匿名化データ番号0001−0003の3つの匿名化データは、個人ID「0001」の個人情報データから形成されたものであることを示している。 FIG. 11 is a diagram illustrating an example of the anonymization data table. FIG. 12 is a diagram illustrating an example of the identification information correspondence table. In FIG. 12, three anonymized data of anonymized data numbers 0001-0003 are formed from personal information data of personal ID “0001”.
匿名化データテーブル133に記憶された匿名化データ群及び識別情報対応テーブル134に記憶された対応関係は、IF135を介して制御装置120へ提供される。 The correspondence stored in the anonymized data group stored in the anonymized data table 133 and the identification information correspondence table 134 is provided to the control device 120 via the IF 135.
受付装置136は、患者の受付処理を実行する。そして、受付装置136は、受付処理を行った患者の個人IDを、IF135を介して制御装置120へ提供する。 The accepting device 136 executes a patient accepting process. Then, the reception device 136 provides the personal ID of the patient who has performed the reception process to the control device 120 via the IF 135.
精算装置137は、患者の精算処理を実行する。そして、精算装置137は、制御装置120からその個人IDに対応する広告出力命令及び広告を受け取っている場合、レシートにその広告を印字する。
The
[制御装置の構成例]
図8において、制御装置120は、IF15,16と、記憶部11と、取得部12と、選択部13と、決定部21と、出力制御部22とを有する。
[Configuration example of control device]
In FIG. 8, the control device 120 includes
記憶部11は、収集システム130から送信された匿名化データテーブル及び識別情報対応テーブルを、IF15を介して受け取り、記憶する。
The
取得部12は、記憶部11から匿名化データ群を取得し、取得した匿名化データ群を選択部13へ出力する。
The
選択部13は、対応する匿名化データの存在数、つまりk−匿名性の値(k値)が「第1の閾値」以上である抽象化パターンを、利用パターンの候補として特定する。例えば、各抽象化パターンの存在数が図13に示すようであり、且つ、第1の閾値が10である場合、抽象化パターン識別情報「0003」の抽象化パターンは、利用パターンの候補とされる。図13は、抽象化パターンの選択処理の説明に供する図である。
The
また、選択部13は、利用パターンの候補の識別情報と、当該利用パターンの候補に対応する個人情報データの個人IDとを対応づけて記憶する「利用パターン候補テーブル」を記憶部11にさせる。図14は、利用パターン候補テーブルの一例を示す図である。利用パターンの候補の識別情報「0003」に対応する抽象化パターンは、匿名化データ番号「0003」の匿名化データに対応し、当該匿名化データは、個人ID「0001」の個人情報データに対応する。このため、図14の利用パターン候補テーブルでは、個人情報ID「0001」と利用パターンの候補の識別情報「0003」とが、対応づけられている。
In addition, the
決定部21は、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、「利用対象データ」として決定する。
When the use target data candidate selected by the
また、決定部21は、IF16を介して端末150から、「k−匿名性の最低目標値」や「利用希望抽象化パターン」等の利用要件及び「利用者の利用態様」等の指定を受け付ける。
Further, the
出力制御部22は、決定部21で決定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。
The
例えば、出力制御部22は、端末150から指定された「匿名化データの利用態様」が「広告配信」である場合、決定された利用対象データに対応する個人に対して、その利用者から事前に取得している情報(つまり、広告)を報知する制御を行う。
For example, when the “use mode of anonymized data” designated from the terminal 150 is “advertisement delivery”, the
また、出力制御部22は、端末150から指定された「匿名化データの利用態様」が「匿名化データの配信」である場合、端末150に対して利用対象データを送信する。
The
[利用システムの動作例]
以上の構成を有する利用システム100の処理動作例について説明する。図15及び図16は、実施例4の制御装置の処理動作の一例を示すフローチャートである。
[Example of system operation]
A processing operation example of the
制御装置120において、決定部21は、利用希望の受け付け処理を実行する(ステップS201)。例えば、端末150は、利用者候補の「利用要求信号」を制御装置120へ送信する。「利用要求信号」には、例えば、利用希望抽象化パターンの情報及び利用態様の情報が含まれる。決定部21は、端末150から送信された利用要求信号を、IF16を介して受け取る。そして、決定部21は、送信元である利用者候補の識別情報と、利用希望抽象化パターンの識別情報と、利用態様の情報とを対応付けで記憶しておく。なお、利用要求信号には、さらに、広告及びクーポンの内容が含まれる場合もある。
In the control device 120, the
<バッチ処理>
取得部12は、匿名化データ群を取得する(ステップS202)。
<Batch processing>
The
選択部13は、取得部12が取得した匿名化データ群において、各抽象化パターンに対応する匿名化データの存在数をカウントする(ステップS203)。
The
選択部13は、カウントされた存在数に基づいて、利用パターンの候補及び利用対象データの候補を選択する(ステップS204)。例えば、選択部13は、カウントされた存在数が第1の閾値以上である抽象化パターンを、利用パターンの候補として選択する。そして、選択部13は、利用パターンの候補に対応する匿名化データを、利用対象パターンの候補として選択する。
The
選択部13は、「利用パターン候補テーブル」を更新する(ステップS205)。上記の通り、「利用パターン候補テーブル」は、利用パターンの候補の識別情報と、当該利用パターンの候補に対応する個人情報データの個人IDとを対応づけて記憶している。
The
決定部21は、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、「利用対象データ」として決定する(ステップS206)。ここで、説明を簡単にするために、「利用要件」がステップS201で受け付けられた「利用希望抽象化パターン」のみであるとする。この場合、決定部21は、利用希望抽象化パターンと一致する利用パターンの候補に対応する利用対象データの候補を、利用対象データとして決定する。
When the use target data candidate selected by the
出力制御部22は、決定部21で決定された利用対象データの利用を実行する(ステップS207)。例えば、出力制御部22は、利用者が利用態様として「匿名化データの配信」を事前に指定してきている場合、出力制御部22は、その利用者の端末150に対して利用対象データを送信する。
The
<リアルタイム処理>
上記のバッチ処理は、リアルタイム処理が実行される前に、実行されている。
<Real-time processing>
The above batch processing is executed before the real time processing is executed.
制御装置120において、取得部12は、収集システム130において受け付け処理が行われた患者の個人IDを取得する(ステップS301)。
In the control device 120, the
決定部21は、取得部12で取得された個人IDと、利用パターン候補テーブルとに基づいて、その個人IDに対応する利用パターンの候補を選択する(ステップS302)。
Based on the personal ID acquired by the
決定部21は、選択した利用パターンの候補と、利用希望抽象化パターンとが一致する場合、その利用パターンの候補に対応する利用対象データの候補を、利用対象データとして決定する(ステップS303)。
When the selected usage pattern candidate matches the usage desired abstraction pattern, the
出力制御部22は、決定部21で決定された利用対象データの利用を実行する(ステップS304)。例えば、出力制御部22は、利用者が利用態様として「広告配信」を事前に指定してきている場合、個人IDとともに広告情報をIF15及びIF135を介して精算装置137へ送信する。これにより、例えば、その患者の精算時に出力されるレシートに広告を印字することができる。
The
例えば、タクシー業者である利用者候補が利用希望抽象化パターンとして、「下半身骨折」という項目値を含む抽象化パターンを指定した場合、レシートに「帰りにタクシーのご利用はいかがですか? ××タクシー会社 電話番号yyy−456−7899」といった広告を印字することができる。 For example, if a taxi agent candidate specifies an abstraction pattern that includes an item value of “lower body fracture” as an abstraction pattern that he / she wishes to use, the receipt will say “How about using a taxi on the way home? An advertisement such as “taxi company phone number yyy-456-7899” can be printed.
[実施例5]
実施例5は、実施例3で説明した、匿名化データに関するオークションの具体的な利用態様例に関する。なお、実施例5の利用システムの基本構成は、実施例4の利用システム100と同じである。実施例4と実施例5の相違点は、主に、制御装置におけるオークション制御部の処理動作である。
[Example 5]
Example 5 relates to a specific usage example of an auction related to anonymized data described in Example 3. The basic configuration of the usage system of the fifth embodiment is the same as that of the
図17は、実施例5の匿名化データの利用システムの一例を示す図である。図17において、利用システム200は、制御装置230を有する。制御装置230は、実施例3で説明した制御装置30に対応し、制御装置30と基本的に同じ機能を有している。
FIG. 17 is a diagram illustrating an example of the anonymized data use system according to the fifth embodiment. In FIG. 17, the
図17において、制御装置230は、オークション制御部31を有する。
In FIG. 17, the
オークション制御部31は、選択部13で選択した利用対象データの候補に対応する抽象化パターン(つまり、上記の利用パターンの候補)に関する情報を、オークション対象の情報として利用者候補に公開する制御を行う。例えば、オークション制御部31は、利用者候補の端末からアクセスされると、「公開テーブル」を利用者候補の端末に表示させる制御を行う。図18は、公開テーブルの一例を示す図である。図18に示すように、公開テーブルは、抽象化パターン番号と、抽象化パターンと、存在数(つまり、k−匿名性の値)とを含む。図18に示す公開テーブルには、さらに、アクセス数と、クリック数と、値段とが含まれている。
The
そして、オークション制御部31は、公開した各抽象化パターン(つまり、各オークション対象)に対する入札を受け付ける入札受付処理を行う。そして、オークション制御部31は、各オークション対象について最も入札額の高い利用者候補にそのオークション対象を落札させる。
And the
そして、オークション制御部31は、落札された抽象化パターンの識別情報と、落札した利用者の識別情報と、その利用者が指定してきている利用態様の識別情報とを対応づけた「落札パターンテーブル」を、記憶部11に記憶させる。
Then, the
そして、オークション制御部31は、落札されたオークション対象に対応する、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、利用対象データとして決定する。
Then, if the candidate for use target data selected by the
以上の構成を有する利用システム200の処理動作例について説明する。
A processing operation example of the
<バッチ処理>
図19は、実施例5の制御装置の処理動作の一例を示すフローチャートである。図19におけるステップS202−ステップS205の処理ステップは、図15の処理ステップと同等である。図19は、所謂バッチ処理に対応する。
<Batch processing>
FIG. 19 is a flowchart illustrating an example of a processing operation of the control device according to the fifth embodiment. The processing steps from step S202 to step S205 in FIG. 19 are equivalent to the processing steps in FIG. FIG. 19 corresponds to so-called batch processing.
オークション制御部31は、選択部13で選択した利用対象データの候補に対応する抽象化パターンに関する情報を、オークション対象の情報として利用者候補に公開する(ステップS401)。
The
オークション制御部31は、公開した各抽象化パターン(つまり、各オークション対象)に対する入札を受け付ける(ステップS402)。
The
オークション制御部31は、各オークション対象について落札者を決定する(ステップS403)。例えば、オークション制御部31は、各オークション対象について最も入札額の高い利用者候補にそのオークション対象を落札させる。
The
オークション制御部31は、「落札パターンテーブル」を更新する(ステップS404)。上記の通り、「落札パターンテーブル」は、落札された抽象化パターンの識別情報と、落札した利用者の識別情報と、その利用者が指定してきている利用態様の識別情報とを対応づけて記憶している。
The
オークション制御部31は、落札されたオークション対象に対応する、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、利用対象データとして決定する(ステップS405)。
When the use target data candidate selected by the
出力制御部22は、オークション制御部31で決定された利用対象データの利用を実行する(ステップS406)。
The
<リアルタイム処理>
上記のバッチ処理は、リアルタイム処理が実行される前に、実行されている。図20は、実施例5の制御装置の処理動作の一例を示すフローチャートである。図20は、所謂リアルタイム処理に対応する。
<Real-time processing>
The above batch processing is executed before the real time processing is executed. FIG. 20 is a flowchart illustrating an example of a processing operation of the control device according to the fifth embodiment. FIG. 20 corresponds to so-called real-time processing.
制御装置230において、取得部12は、収集システム130において受け付け処理が行われた患者の個人IDを取得する(ステップS501)。
In the
オークション制御部31は、取得部12で取得された個人IDと、利用パターン候補テーブルとに基づいて、その個人IDに対応する利用パターンの候補を選択する(ステップS502)。
The
オークション制御部31は、選択した利用パターンの候補のうちで落札パターンテーブルに記憶されている利用パターンの候補に対応する利用対象データの候補を、利用対象データとして決定する(ステップS503)。
The
出力制御部22は、オークション制御部31で決定された利用対象データの利用を実行する(ステップS504)。
The
[他の実施例]
[1]実施例4及び実施例5では、収集システムが病院システムであるものとして説明を行ったが、これに限定されるものではない。例えば、スーパーマーケットのシステムであってもよい。そして、顧客(個人)が購入した商品又は購入を検討している商品に関する情報をインターネットで制御装置へ送信し、制御装置が、レシピ、又は、他社の安売り広告等を報知する制御処理を行ってもよい。
[Other embodiments]
[1] In the fourth and fifth embodiments, the collection system is described as a hospital system. However, the present invention is not limited to this. For example, it may be a supermarket system. And the information regarding the product which the customer (individual) purchased or the product which purchase is considered is transmitted to the control device via the Internet, and the control device performs a control process for notifying a recipe or a bargain sale advertisement of other companies. Also good.
[2]実施例1から実施例5では、個人情報データの項目として、略固定、つまり殆ど変動しない項目が用いられているが、これに限定されるものではない。例えば、個人の位置情報、又は、買い物履歴情報等が用いられてもよい。 [2] In the first to fifth embodiments, the items of personal information data are items that are substantially fixed, that is, items that hardly change, but are not limited thereto. For example, personal location information or shopping history information may be used.
[3]実施例1から実施例5で図示した各部の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各部の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。 [3] Each component of each part illustrated in the first to fifth embodiments does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each part is not limited to the one shown in the figure, and all or a part thereof may be functionally or physically distributed / integrated in arbitrary units according to various loads and usage conditions. Can be configured.
更に、各装置で行われる各種処理機能は、CPU(Central Processing Unit)(又はMPU(Micro Processing Unit)、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部又は任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(又はMPU、MCU等のマイクロ・コンピュータ)で解析実行するプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしてもよい。 Furthermore, various processing functions performed in each device are performed on a CPU (Central Processing Unit) (or a microcomputer such as an MPU (Micro Processing Unit), MCU (Micro Controller Unit), etc.) in whole or in part. You may make it perform. Various processing functions may be executed entirely or arbitrarily on a program that is analyzed and executed by a CPU (or a microcomputer such as an MPU or MCU) or hardware based on wired logic. .
実施例1から実施例5の制御装置は、例えば、次のようなハードウェア構成により実現することができる。 The control devices according to the first to fifth embodiments can be realized by the following hardware configuration, for example.
図21は、制御装置のハードウェア構成例を示す図である。図21に示すように、制御装置300は、プロセッサ301と、メモリ302と、IF303を有する。
FIG. 21 is a diagram illustrating a hardware configuration example of the control device. As illustrated in FIG. 21, the
プロセッサ301の一例としては、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)等が挙げられる。また、メモリ302の一例としては、SDRAM(Synchronous Dynamic Random Access Memory)等のRAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ等が挙げられる。 Examples of the processor 301 include a central processing unit (CPU), a digital signal processor (DSP), and a field programmable gate array (FPGA). Further, examples of the memory 302 include a RAM (Random Access Memory) such as an SDRAM (Synchronous Dynamic Random Access Memory), a ROM (Read Only Memory), a flash memory, and the like.
そして、実施例1から実施例5の制御装置で行われる各種処理機能は、不揮発性記憶媒体などの各種メモリに格納されたプログラムを制御装置が備えるプロセッサで実行することによって実現してもよい。すなわち、取得部12と、選択部13と、決定部21と、出力制御部22と、オークション制御部31とによって実行される各処理に対応するプログラムがメモリ302に記録され、各プログラムがプロセッサ301で実行されてもよい。また、記憶部11は、メモリ302によって実現される。また、IF15,16は、IF303によって実現される。
Various processing functions performed by the control device according to the first to fifth embodiments may be realized by executing a program stored in various memories such as a nonvolatile storage medium using a processor included in the control device. That is, a program corresponding to each process executed by the
10,20,30 制御装置
11 記憶部
12 取得部
13 選択部
16,15,135 IF
21 決定部
22 出力制御部
31 オークション制御部
100,200 利用システム
120,230 制御装置
130 収集システム
131 個人情報テーブル
132 匿名化処理部
133 匿名化データテーブル
134 識別情報対応テーブル
136 受付装置
137 精算装置
150 端末
10, 20, 30
21
Claims (11)
個人の情報に関する少なくとも1つの項目値を含む個人情報データが抽象化パターンに従って匿名化された匿名化データを取得する取得部と、
前記取得した匿名化データに対応する抽象化パターンがk−匿名性に基づく匿名要件を満たす場合、前記取得した匿名化データを、利用対象データの候補として選択する選択部と、
を具備することを特徴とする制御装置。 A control device that controls the use of anonymized data,
An acquisition unit that acquires anonymized data in which personal information data including at least one item value related to personal information is anonymized according to an abstraction pattern;
When the abstraction pattern corresponding to the acquired anonymized data satisfies the anonymity requirement based on k-anonymity, a selection unit that selects the acquired anonymized data as a candidate for use target data;
A control device comprising:
前記匿名化データ群は、項目値についての複数の抽象化パターンに基づいて個人情報データを抽象化して得られた複数の匿名化データを含み、
前記選択部は、前記複数の抽象化パターンの内で前記匿名要件を満たした抽象化パターンに対応する匿名化データを、前記利用対象データの候補として選択する、
ことを特徴とする請求項1に記載の制御装置。 The acquisition unit acquires an anonymized data group,
The anonymized data group includes a plurality of anonymized data obtained by abstracting personal information data based on a plurality of abstraction patterns for item values,
The selection unit selects anonymization data corresponding to an abstraction pattern that satisfies the anonymity requirement among the plurality of abstraction patterns as a candidate for the usage target data;
The control device according to claim 1.
ことを特徴とする請求項1から6のいずれか一項に記載の制御装置。 The anonymity requirement is based on at least one of l-diversity and Pk-anonymity in addition to the k-anonymity.
The control device according to claim 1, wherein the control device is a control device.
前記選択部は、前記算出したリスク指標が閾値以下である場合、前記匿名要件が満たされていると判定する、
ことを特徴とする請求項7に記載の制御装置。 A probability value for identifying an individual for each of the k-anonymity, the l-diversity, and the Pk-anonymity is calculated, and a risk index for identifying the individual is calculated based on the calculated probability value. Further comprising a calculation unit for calculating as an anonymous requirement,
The selection unit determines that the anonymity requirement is satisfied when the calculated risk index is equal to or less than a threshold value,
The control device according to claim 7 .
ことを特徴とする請求項3又は4に記載の制御装置。 The usage requirement includes a moral requirement including an attribute of a user of the anonymized data and at least one of usage modes by the user of the anonymized data.
The control device according to claim 3 or 4, wherein
コンピュータが、少なくとも1つの項目値を含む個人情報データが抽象化パターンに従って匿名化された匿名化データを取得し、
前記コンピュータが、前記取得した匿名化データがk−匿名性に基づく匿名要件を満たすか否かを判定し、
前記コンピュータが、前記匿名要件を満たすと判定した場合、前記取得した匿名化データを、利用対象データの候補として選択する、
処理を行うことを特徴とする制御方法。 A control method for controlling the use of anonymized data,
The computer acquires anonymized data in which personal information data including at least one item value is anonymized according to an abstract pattern,
The computer determines whether the acquired anonymized data satisfies anonymity requirements based on k-anonymity,
When it is determined that the computer satisfies the anonymity requirement, the acquired anonymized data is selected as a candidate for use target data.
A control method characterized by performing processing .
少なくとも1つの項目値を含む個人情報データが抽象化パターンに従って匿名化された匿名化データを取得し、
前記取得した匿名化データがk−匿名性に基づく匿名要件を満たすか否かを判定し、
前記匿名要件を満たすと判定した場合、前記取得した匿名化データを、利用対象データの候補として選択する、
処理を、コンピュータに実行させる、
ことを特徴とする制御プログラム。 A control program for controlling the use of anonymized data,
Obtaining anonymized data in which personal information data including at least one item value is anonymized according to an abstraction pattern;
Determining whether the acquired anonymized data satisfies anonymity requirements based on k-anonymity,
When it is determined that the anonymity requirement is satisfied, the acquired anonymized data is selected as a candidate for use target data.
Let the computer execute the process,
A control program characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014000574A JP6283519B2 (en) | 2014-01-06 | 2014-01-06 | Control device, control method, and control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014000574A JP6283519B2 (en) | 2014-01-06 | 2014-01-06 | Control device, control method, and control program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015130012A JP2015130012A (en) | 2015-07-16 |
JP6283519B2 true JP6283519B2 (en) | 2018-02-21 |
Family
ID=53760705
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014000574A Active JP6283519B2 (en) | 2014-01-06 | 2014-01-06 | Control device, control method, and control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6283519B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107831512A (en) * | 2017-10-30 | 2018-03-23 | 南京大学 | A kind of location privacy protection method of MSB AGPS positioning |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107111616A (en) | 2014-09-26 | 2017-08-29 | 上海贝尔股份有限公司 | The secret protection of third party's data sharing |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005346248A (en) * | 2004-06-01 | 2005-12-15 | Mpo:Kk | Information mediation method and device |
JP5454262B2 (en) * | 2010-03-18 | 2014-03-26 | 富士通株式会社 | Privacy protection device, privacy protection method, privacy protection program, and life log management system |
JP2014229039A (en) * | 2013-05-22 | 2014-12-08 | 株式会社日立製作所 | Privacy protection type data provision system |
-
2014
- 2014-01-06 JP JP2014000574A patent/JP6283519B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107831512A (en) * | 2017-10-30 | 2018-03-23 | 南京大学 | A kind of location privacy protection method of MSB AGPS positioning |
Also Published As
Publication number | Publication date |
---|---|
JP2015130012A (en) | 2015-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kokolakis | Privacy attitudes and privacy behaviour: A review of current research on the privacy paradox phenomenon | |
Zendehdel et al. | Students’ online purchasing behavior in Malaysia: Understanding online shopping attitude | |
Onah et al. | Out-of-pocket payments, health care access and utilisation in south-eastern Nigeria: a gender perspective | |
Sinaiko | How do quality information and cost affect patient choice of provider in a tiered network setting? Results from a survey | |
JP6060298B1 (en) | Information distribution apparatus, information distribution method, and information distribution program | |
Kushwaha et al. | Investigating privacy paradox: Consumer data privacy behavioural intention and disclosure behaviour | |
Sherwood et al. | HIV/AIDS National Strategic Plans of Sub-Saharan African countries: an analysis for gender equality and sex-disaggregated HIV targets | |
US10325252B2 (en) | Payment management apparatus, payment management method, and storage medium | |
Ly et al. | The economic transition of health in Africa: a call for progressive pragmatism to shape the future of health financing | |
Trkman et al. | The roles of privacy concerns and trust in voluntary use of governmental proximity tracing applications | |
Anderson et al. | Mapping of health communication and education strategies addressing the public health dangers of illicit online pharmacies | |
Morton | “All my mates have got it, so it must be okay”: Constructing a Richer Understanding of Privacy Concerns—An Exploratory Focus Group Study | |
US20170213283A1 (en) | Device and a computer software for provisioning a user with requested services | |
Whittaker et al. | “I have only checked after the event”: Consumer approaches to safe online shopping | |
Murray | Procurement fraud vulnerability: a case study | |
JP6283519B2 (en) | Control device, control method, and control program | |
Mu et al. | Structural changes in human mobility under the zero-COVID strategy in China | |
WO2016160318A1 (en) | Systems and methods for generating donations from payment account transactions | |
KR102469802B1 (en) | A method for providing product sales information based on product evaluation, and apparatus and system thereof | |
JP7156934B2 (en) | Information processing method, program and information processing device | |
Htat et al. | A total market approach for condoms in Myanmar: the need for the private, public and socially marketed sectors to work together for a sustainable condom market for HIV prevention | |
Mathur et al. | Convenience, Satisfaction, and Post-Purchase Behavior in India's Health Insurance Market | |
Deetjen et al. | Internet use and health: Connecting secondary data through spatial microsimulation | |
JP6347665B2 (en) | Control device, control method, and control program | |
Kim | Data Brokers and the Sale of Americans’ Mental Health Data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170105 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171023 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171107 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171226 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180116 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180129 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6283519 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |