JP6283519B2 - Control device, control method, and control program - Google Patents

Control device, control method, and control program Download PDF

Info

Publication number
JP6283519B2
JP6283519B2 JP2014000574A JP2014000574A JP6283519B2 JP 6283519 B2 JP6283519 B2 JP 6283519B2 JP 2014000574 A JP2014000574 A JP 2014000574A JP 2014000574 A JP2014000574 A JP 2014000574A JP 6283519 B2 JP6283519 B2 JP 6283519B2
Authority
JP
Japan
Prior art keywords
data
anonymity
candidate
anonymized
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014000574A
Other languages
Japanese (ja)
Other versions
JP2015130012A (en
Inventor
秀暢 小栗
秀暢 小栗
Original Assignee
富士通クラウドテクノロジーズ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 富士通クラウドテクノロジーズ株式会社 filed Critical 富士通クラウドテクノロジーズ株式会社
Priority to JP2014000574A priority Critical patent/JP6283519B2/en
Publication of JP2015130012A publication Critical patent/JP2015130012A/en
Application granted granted Critical
Publication of JP6283519B2 publication Critical patent/JP6283519B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、制御装置、制御方法、及び制御プログラムに関する。   The present invention relates to a control device, a control method, and a control program.

近年、情報漏洩の問題及び個人情報保護法の制定等により、個人情報の取り扱いが問題となっている。個人情報は、公的機関のみならず、種々の企業によって収集されている。例えば、商品又はサービスを購入する消費者(以下では、「個人」と呼ぶことがある)が商品又はサービスを購入する際に、会員登録することがある。この会員登録時には、通常、個人の氏名、年齢、性別、住所、及びメールアドレス等のデータが、個人に割り振られた個人IDと対応づけられた状態で、企業のシステムに登録(記憶)される。すなわち、企業のシステムは、「個人情報データ」を記憶しておく。ここで、「個人情報データ」は、例えば、氏名、年齢、性別、住所、メールアドレス、及び個人IDを含む。さらに、企業のシステムは、個人情報データが既に登録されている個人が商品又はサービスを購入する度に、その個人のIDに対応づけて、購入された商品又はサービスに関する情報を記憶する。これにより、企業は、収集した個人情報データを用いて、企業活動に利用することができる。   In recent years, the handling of personal information has become a problem due to the problem of information leakage and the enactment of the Personal Information Protection Law. Personal information is collected not only by public institutions but also by various companies. For example, a consumer who purchases a product or service (hereinafter sometimes referred to as “individual”) may register as a member when purchasing the product or service. At the time of membership registration, data such as an individual's name, age, gender, address, and e-mail address are usually registered (stored) in a company system in a state in which the data is associated with an individual ID assigned to the individual. . That is, the company system stores “personal information data”. Here, the “personal information data” includes, for example, a name, age, sex, address, e-mail address, and personal ID. Furthermore, every time an individual whose personal information data is already registered purchases a product or service, the company system stores information related to the purchased product or service in association with the ID of the individual. As a result, the company can use the collected personal information data for corporate activities.

一方で、例えば、個人情報データを収集した第1の企業以外の第2の企業が、その個人情報データを利用することを望むことがある。すなわち、データ収集主体とデータ利用主体とが異なる可能性がある。しかしながら、個人情報保護の観点から、個人の許可を得ること無しに、個人情報データそのものを提供することはできない。そこで、個人情報データを、個人を特定できない状態のデータ(以下では、「匿名化データ」と呼ぶことがある)に変換し、匿名化データを利用することが考えられている。   On the other hand, for example, a second company other than the first company that collected personal information data may desire to use the personal information data. That is, there is a possibility that the data collection entity and the data utilization entity are different. However, from the viewpoint of personal information protection, personal information data itself cannot be provided without obtaining personal permission. Therefore, it is considered that personal information data is converted into data in a state where an individual cannot be specified (hereinafter, sometimes referred to as “anonymized data”) and anonymized data is used.

特開2003−196391号公報JP 2003-196391 A

コンピュータセキュリティシンポジウム2009 (CSS2009) 論文集、page 1-6,“k-匿名性の確率的指標への拡張とその適用例”,2011-10-12Computer Security Symposium 2009 (CSS2009) Proceedings, page 1-6, “Expansion to probabilistic index of k-anonymity and its application example”, 2011-10-12

しかしながら、従来の匿名化データの利用提供技術では、匿名化データが、個人を特定されるリスク(つまり、「個人特定リスク」)が十分低減されたレベル(つまり、「匿名目標レベル」)に達していない状態で利用対象として提供されている可能性がある。   However, in the conventional technology for providing and using anonymized data, the anonymized data reaches a level (ie, “anonymity target level”) in which the risk of identifying an individual (ie, “personal identification risk”) is sufficiently reduced. There is a possibility that it is provided as a usage target in a state where it is not.

開示の技術は、上記に鑑みてなされたものであって、利用対象である匿名化データの個人特定リスクを低減することができる、制御装置、制御方法、及び制御プログラムを提供することを目的とする。   The disclosed technology has been made in view of the above, and an object thereof is to provide a control device, a control method, and a control program that can reduce the personal identification risk of anonymized data that is a usage target. To do.

開示の態様では、匿名化データの利用を制御する制御装置は、取得部と、選択部とを有する。前記取得部は、個人の情報に関する少なくとも1つの項目値を含む個人情報データが抽象化パターンに従って匿名化された匿名化データを取得する。前記選択部は、前記取得した匿名化データに対応する抽象化パターンがk−匿名性に基づく匿名要件を満たす場合、前記取得した匿名化データを、利用対象データの候補として選択する。   In the aspect of an indication, the control device which controls utilization of anonymization data has an acquisition part and a selection part. The acquisition unit acquires anonymized data obtained by anonymizing personal information data including at least one item value related to personal information according to an abstract pattern. When the abstraction pattern corresponding to the acquired anonymized data satisfies the anonymity requirement based on k-anonymity, the selecting unit selects the acquired anonymized data as a candidate for use target data.

開示の態様によれば、利用対象である匿名化データの個人特定リスクを低減することができる。   According to the aspect of an indication, the individual specific risk of the anonymization data which is a utilization object can be reduced.

図1は、実施例1の制御装置の一例を示すブロック図である。FIG. 1 is a block diagram illustrating an example of a control device according to the first embodiment. 図2は、リスク指標の算出例の説明に供する図である。FIG. 2 is a diagram for explaining an example of calculating a risk index. 図3は、実施例1の制御装置の処理動作の一例を示すフローチャートである。FIG. 3 is a flowchart illustrating an example of a processing operation of the control device according to the first embodiment. 図4は、実施例2の制御装置の一例を示すブロック図である。FIG. 4 is a block diagram illustrating an example of a control device according to the second embodiment. 図5は、実施例2の定性指標の説明に供する図である。FIG. 5 is a diagram for explaining the qualitative index of the second embodiment. 図6は、匿名化データの状態の説明に供する図である。FIG. 6 is a diagram for explaining the state of anonymized data. 図7は、実施例3の制御装置の一例を示すブロック図である。FIG. 7 is a block diagram illustrating an example of a control device according to the third embodiment. 図8は、実施例4の匿名化データの利用システムの一例を示す図である。FIG. 8 is a diagram illustrating an example of a system for using anonymized data according to the fourth embodiment. 図9は、個人情報テーブルの一例を示す図である。FIG. 9 is a diagram illustrating an example of the personal information table. 図10は、抽象化パターンの説明に供する図である。FIG. 10 is a diagram for explaining the abstraction pattern. 図11は、匿名化データテーブルの一例を示す図である。FIG. 11 is a diagram illustrating an example of the anonymization data table. 図12は、識別情報対応テーブルの一例を示す図である。FIG. 12 is a diagram illustrating an example of the identification information correspondence table. 図13は、抽象化パターンの選択処理の説明に供する図である。FIG. 13 is a diagram for explaining the abstraction pattern selection processing. 図14は、利用パターン候補テーブルの一例を示す図である。FIG. 14 is a diagram illustrating an example of a usage pattern candidate table. 図15は、実施例4の制御装置の処理動作の一例を示すフローチャートである。FIG. 15 is a flowchart illustrating an example of a processing operation of the control device according to the fourth embodiment. 図16は、実施例4の制御装置の処理動作の一例を示すフローチャートである。FIG. 16 is a flowchart illustrating an example of a processing operation of the control device according to the fourth embodiment. 図17は、実施例5の匿名化データの利用システムの一例を示す図である。FIG. 17 is a diagram illustrating an example of the anonymized data use system according to the fifth embodiment. 図18は、公開テーブルの一例を示す図である。FIG. 18 is a diagram illustrating an example of a public table. 図19は、実施例5の制御装置の処理動作の一例を示すフローチャートである。FIG. 19 is a flowchart illustrating an example of a processing operation of the control device according to the fifth embodiment. 図20は、実施例5の制御装置の処理動作の一例を示すフローチャートである。FIG. 20 is a flowchart illustrating an example of a processing operation of the control device according to the fifth embodiment. 図21は、制御装置のハードウェア構成例を示す図である。FIG. 21 is a diagram illustrating a hardware configuration example of the control device.

以下に、本願の開示する制御装置、制御方法、及び制御プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願の開示する制御装置、制御方法、及び制御プログラムが限定されるものではない。また、実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略される。また、実施形態において同等の処理ステップには同一の符号を付し、重複する説明は省略される。   Hereinafter, embodiments of a control device, a control method, and a control program disclosed in the present application will be described in detail with reference to the drawings. In addition, the control apparatus, the control method, and the control program which this application discloses are not limited by this embodiment. Moreover, the same code | symbol is attached | subjected to the structure which has the same function in embodiment, and the overlapping description is abbreviate | omitted. Further, in the embodiment, the same processing steps are denoted by the same reference numerals, and redundant description is omitted.

[実施例1]
[制御装置の構成例]
図1は、実施例1の制御装置の一例を示すブロック図である(例えば、後述する図11参照)。図1において、制御装置10は、記憶部11と、取得部12と、選択部13とを有する。 [Example 1]
[Configuration example of control device]
FIG. 1 is a block diagram illustrating an example of a control device according to the first embodiment (for example, see FIG. 11 described later). In FIG. 1, the control device 10 includes a storage unit 11, an acquisition unit 12, and a selection unit 13.

記憶部11は、「匿名化データテーブル」を記憶している。「匿名化データテーブル」には、「匿名化データ群」が記憶されている。「匿名化データ群」は、項目値についての複数の「抽象化パターン」に基づいて個人情報データを抽象化して得られた複数の匿名化データを含んでいる。例えば、個人IDと項目である年齢及び性別のそれぞれに対応する項目値を含み且つ個人IDが「111」、年齢の項目値が「18歳」、性別の項目値が「男」である個人情報データの場合、「匿名化データ群」には、個人ID「111」の個人に対応する匿名化データとして、「10代、男」、「10代以下、男」、「学生、男」等が含まれている。ここで、「10代、男」、「10代以下、男」、「学生、男」は、それぞれ異なる「抽象化パターン」である。すなわち、個人IDが「111」、年齢「18歳」、性別「男」である個人情報データの場合、第1の抽象化パターン「10代、男」で抽象化した匿名化データが、個人ID「111」に対応する「10代、男」というデータとなる。また、第2の抽象化パターン「10代以下、男」で抽象化した匿名化データが、個人ID「111」に対応する「10代以下、男」というデータとなる。また、第3の抽象化パターン「学生、男」で抽象化した匿名化データが、個人ID「111」に対応する「学生、男」というデータとなる。なお、「匿名化データテーブル」では、匿名化データ毎に異なる番号(つまり、「匿名化データ識別情報」)が付されている。   The storage unit 11 stores an “anonymized data table”. In the “anonymized data table”, “anonymized data group” is stored. The “anonymization data group” includes a plurality of anonymization data obtained by abstracting personal information data based on a plurality of “abstraction patterns” for item values. For example, personal information including individual IDs and item values corresponding to the items age and gender, personal ID “111”, age item value “18 years”, and gender item value “male” In the case of data, in the “anonymized data group”, anonymized data corresponding to the individual with the personal ID “111” includes “10's, male”, “10's and below, male”, “student, male”, etc. include. Here, “teens and men”, “teens and unders, men”, and “students and men” are different “abstraction patterns”. That is, in the case of personal information data whose personal ID is “111”, age “18 years”, and sex “male”, the anonymized data abstracted by the first abstract pattern “10th male” is personal ID data. The data is “teen, male” corresponding to “111”. Further, the anonymization data abstracted by the second abstraction pattern “10 or younger, male” becomes data “10 or younger, male” corresponding to the personal ID “111”. Further, the anonymized data abstracted by the third abstraction pattern “student, male” becomes data “student, male” corresponding to the personal ID “111”. In the “anonymized data table”, a different number (that is, “anonymized data identification information”) is assigned to each anonymized data.

取得部12は、記憶部11に記憶されている匿名化データ群を取得し、取得した匿名化データ群を選択部13へ出力する。   The acquisition unit 12 acquires the anonymized data group stored in the storage unit 11 and outputs the acquired anonymized data group to the selection unit 13.

選択部13は、複数の抽象化パターンの内で「匿名要件」を満たした抽象化パターンに対応する匿名化データを、「利用対象データ」の候補として選択する。すなわち、選択部13は、複数の抽象化パターンの内で「匿名要件」を満たす抽象化パターンを、「利用パターン」の候補として特定する。そして、選択部13は、特定した利用パターンの候補に対応する匿名化データを、利用対象データの候補として選択する。ここで、「匿名要件」は、少なくとも「k−匿名性」に基づく。さらに、「匿名要件」は、k−匿名性に加えて、「l−多様性」、及び「Pk−匿名性」の少なくともいずれか一方に基づいてもよい。なお、選択部13は、利用パターンの候補の識別情報と当該候補で匿名化された匿名化データの識別情報と対応づけて記憶する「パターン対応テーブル」を記憶部11に記憶させてもよい。また、選択部13は、利用パターンの候補の識別情報と、当該利用パターンの候補に対応する個人情報データの個人IDとを対応づけて記憶する「利用パターン候補テーブル」を記憶部11に記憶させてもよい(例えば、後述する図14参照)。   The selection unit 13 selects anonymized data corresponding to an abstract pattern that satisfies the “anonymity requirement” among a plurality of abstract patterns as candidates for “use target data”. That is, the selection unit 13 identifies an abstract pattern that satisfies the “anonymity requirement” among a plurality of abstract patterns as a candidate for “use pattern”. Then, the selection unit 13 selects anonymized data corresponding to the specified usage pattern candidate as a usage target data candidate. Here, the “anonymity requirement” is based on at least “k-anonymity”. Furthermore, the “anonymity requirement” may be based on at least one of “l-diversity” and “Pk-anonymity” in addition to k-anonymity. The selection unit 13 may cause the storage unit 11 to store a “pattern correspondence table” that is stored in association with the identification information of the usage pattern candidate and the identification information of the anonymized data anonymized by the candidate. Further, the selection unit 13 causes the storage unit 11 to store a “use pattern candidate table” that stores identification information of use pattern candidates and personal IDs of personal information data corresponding to the use pattern candidates in association with each other. (For example, refer to FIG. 14 described later).

例えば、「匿名要件」が「k−匿名性」にのみ基づく場合、「匿名要件」は、「抽象化パターンに対応する匿名化データの数が「第1の閾値」以上であること」である。この場合、選択部13は、各抽象化パターンに対応する匿名化データの数と第1の閾値とを比較し、その数が第1の閾値以上である抽象化パターンを「利用パターン」の候補として選択するとともに、利用パターンの候補に対応する匿名化データを、「利用対象データ」の候補として選択する。なお、「k−匿名性」とは、同じ属性を持つ個人がk人以上いる状態をいう。また、「l−多様性」とは、属性の組合せが少なくともl通り以上ある状態をいう。また、「Pk−匿名性」とは、個人情報データから個人を1/k以上の確率で当てることができない状態をいう。   For example, when the “anonymity requirement” is based only on “k-anonymity”, the “anonymity requirement” is “the number of anonymization data corresponding to the abstract pattern is equal to or greater than the“ first threshold ””. . In this case, the selection unit 13 compares the number of anonymized data corresponding to each abstract pattern with the first threshold value, and selects an abstract pattern whose number is equal to or greater than the first threshold as a candidate for “use pattern”. And the anonymized data corresponding to the usage pattern candidate is selected as a candidate for “use target data”. Note that “k-anonymity” refers to a state where there are k or more individuals having the same attribute. Further, “l-diversity” refers to a state where there are at least 1 or more combinations of attributes. “Pk-anonymity” refers to a state in which an individual cannot be hit with a probability of 1 / k or more from personal information data.

また、例えば、「匿名要件」がk−匿名性、l−多様性、及びPk−匿名性に基づく場合、「匿名要件」は、「個人特定リスクを表す「リスク指標」が「第2の閾値」以下であること」である。例えば、「リスク指標」は、リスク算出部(図示せず)において、k−匿名性、l−多様性、及びPk−匿名性の各々について算出された、個人が特定される確率値に基づいて、算出される。この場合、選択部13は、各抽象化パターンに対応する匿名化データのリスク指標と第2の閾値とを比較し、リスク指標が第2の閾値以下である抽象化パターンを「利用パターン」の候補として選択するとともに、利用パターンの候補に対応する匿名化データを、「利用対象データ」の候補として選択する。   Further, for example, when the “anonymity requirement” is based on k-anonymity, l-diversity, and Pk-anonymity, the “anonymity requirement” indicates that the “risk index” representing the individual identification risk is “second threshold value”. "Being below". For example, the “risk index” is based on a probability value for identifying an individual calculated for each of k-anonymity, l-diversity, and Pk-anonymity in a risk calculation unit (not shown). Is calculated. In this case, the selection unit 13 compares the risk index of the anonymized data corresponding to each abstract pattern with the second threshold value, and selects an abstract pattern whose risk index is equal to or less than the second threshold value as the “use pattern”. While selecting as a candidate, the anonymization data corresponding to the candidate of a utilization pattern are selected as a candidate of "utilization object data".

図2は、リスク指標の算出例の説明に供する図である。図2には、或る抽象化パターンに対応する、k−匿名性、l−多様性、及びPk−匿名性のそれぞれの値等が示されている。例えば、k−匿名性に関しては、その抽象化パターンに対応するk−匿名性の値(つまり、発生数)は、10である。つまり、その抽象化パターンに対応する匿名化データが10個存在することを示している。従って、この場合、個人が特定される確率値は、1/10=10%である。また、その抽象化パターンに対するl−多様性の値は、3である。つまり、その抽象化パターン(複数の項目を含む)に対する匿名化データが3つ存在することを示している。従って、この場合、個人が特定される確率値は、1/3=33%である。また、その抽象化パターンに対応するPk−匿名性の値は2%であり、個人が特定される確率値は1%となっている。ここで、図2における「優先度」は、k−匿名性、l−多様性、及びPk−匿名性のそれぞれに対する「重み付け係数」となっている。従って、図2の場合のリスク指標は、次のように算出することができる。
リスク指標の値=(1/10×0.8)+(1/3×0.2)=0.1467 FIG. 2 is a diagram for explaining an example of calculating a risk index. FIG. 2 shows respective values of k-anonymity, l-diversity, and Pk-anonymity corresponding to a certain abstraction pattern. For example, for k-anonymity, the value of k-anonymity (that is, the number of occurrences) corresponding to the abstract pattern is 10. That is, it shows that there are 10 anonymized data corresponding to the abstract pattern. Therefore, in this case, the probability value that the individual is specified is 1/10 = 10%. The l-diversity value for the abstraction pattern is 3. That is, it shows that there are three anonymized data for the abstraction pattern (including a plurality of items). Therefore, in this case, the probability value that the individual is specified is 1/3 = 33%. In addition, the value of Pk-anonymity corresponding to the abstract pattern is 2%, and the probability value that an individual is specified is 1%. Here, the “priority” in FIG. 2 is a “weighting coefficient” for each of k-anonymity, l-diversity, and Pk-anonymity. Therefore, the risk index in the case of FIG. 2 can be calculated as follows.
Risk index value = (1/10 × 0.8) + (1/3 × 0.2) = 0.1467

ここで、図2には、k−匿名性、l−多様性、及びPk−匿名性のそれぞれの値が取り得る、上限値(図2では、論理的最大値)及び下限値(図2では、下限閾値)が示されている。   Here, FIG. 2 shows an upper limit value (logical maximum value in FIG. 2) and a lower limit value (in FIG. 2) that can take values of k-anonymity, l-diversity, and Pk-anonymity. , Lower threshold).

[制御装置の動作例]
以上の構成を有する制御装置の処理動作の一例について説明する。図3は、実施例1の制御装置の処理動作の一例を示すフローチャートである。 [Control device operation example]
An example of the processing operation of the control device having the above configuration will be described. FIG. 3 is a flowchart illustrating an example of a processing operation of the control device according to the first embodiment.

制御装置10において、取得部12は、匿名化データ群を取得する(ステップS101)。   In the control device 10, the acquisition unit 12 acquires an anonymized data group (step S101).

選択部13は、各抽象化パターンについて匿名要件を満たしているか否かを判定する(ステップS102)。   The selection unit 13 determines whether or not anonymity requirements are satisfied for each abstraction pattern (step S102).

選択部13は、匿名化要件を満たした抽象化パターンに対応する匿名化データを、利用対象データの候補として選択する(ステップS103)。   The selection unit 13 selects anonymized data corresponding to the abstract pattern that satisfies the anonymization requirement as a candidate for use target data (step S103).

以上のように本実施例によれば、制御装置10において、取得部12は、匿名化データ群を取得する。そして、選択部13は、複数の抽象化パターンの内で匿名要件を満たした抽象化パターンに対応する匿名化データを、利用対象データの候補として選択する。   As described above, according to the present embodiment, in the control device 10, the acquisition unit 12 acquires an anonymized data group. And the selection part 13 selects the anonymization data corresponding to the abstract pattern which satisfy | filled the anonymity requirement among several abstract patterns as a candidate of utilization object data.

この制御装置10の構成により、匿名要件を満たした抽象化パターンに対応する匿名化データのみを利用対象データの候補とすることができる。すなわち、匿名化データの利用提供の前段階で、「匿名化フィルタ」を適用することができる。これにより、個人特定リスクを低減することができる。   With the configuration of the control device 10, only anonymized data corresponding to an abstract pattern that satisfies the anonymity requirement can be used as a candidate for use target data. That is, the “anonymization filter” can be applied at the stage prior to the provision and use of anonymized data. Thereby, an individual specific risk can be reduced.

また、匿名要件は、少なくともk−匿名性に基づく。さらに、匿名要件は、k−匿名性に加えて、l−多様性、及びPk−匿名性の少なくともいずれか一方に基づいてもよい。   Anonymity requirements are based at least on k-anonymity. Furthermore, the anonymity requirement may be based on at least one of l-diversity and Pk-anonymity in addition to k-anonymity.

なお、匿名要件がk−匿名性にのみ基づく場合、匿名化要件は、抽象化パターンに対応する匿名化データの数が第1の閾値以上であること、であってもよい。   When the anonymity requirement is based only on k-anonymity, the anonymization requirement may be that the number of anonymization data corresponding to the abstract pattern is equal to or greater than a first threshold value.

また、匿名要件がk−匿名性、l−多様性、及びPk−匿名性に基づく場合、匿名要件は、個人特定リスクを表すリスク指標が第2の閾値以下であること、であってもよい。例えば、リスク指標は、リスク算出部(図示せず)において、k−匿名性、l−多様性、及びPk−匿名性の各々について算出された、個人が特定される確率値に基づいて、算出されてもよい。   Further, when the anonymity requirement is based on k-anonymity, l-diversity, and Pk-anonymity, the anonymity requirement may be that a risk index representing an individual identification risk is equal to or less than a second threshold value. . For example, the risk index is calculated based on a probability value for identifying an individual calculated for each of k-anonymity, l-diversity, and Pk-anonymity in a risk calculation unit (not shown). May be.

なお、以上の説明では、匿名化データテーブルが制御装置10に記憶されていることを前提として説明を行ったが、これに限定されるものではない。例えば、匿名化データテーブルは、制御装置10とは別体の装置(例えば、個人情報テータの収集主体である企業等の装置)に記憶されていてもよい。   In the above description, the description has been made on the assumption that the anonymization data table is stored in the control device 10, but the present invention is not limited to this. For example, the anonymization data table may be stored in a device separate from the control device 10 (for example, a device such as a company that is a collection subject of personal information data).

[実施例2]
実施例2は、実施例1で選択された利用対象データの候補を、利用対象データとして決定する処理に関する。 [Example 2]
The second embodiment relates to a process for determining the use target data candidate selected in the first embodiment as the use target data.

図4は、実施例2の制御装置の一例を示すブロック図である。図4において、制御装置20は、決定部21と、出力制御部22とを有する。   FIG. 4 is a block diagram illustrating an example of a control device according to the second embodiment. In FIG. 4, the control device 20 includes a determination unit 21 and an output control unit 22.

決定部21は、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、「利用対象データ」として決定する。   When the use target data candidate selected by the selection unit 13 satisfies the “use requirement”, the determination unit 21 determines the use target data candidate as “use target data”.

「利用要件」は、例えば、「モラル要件」を含む。「モラル要件」は、例えば、匿名化データの利用者の属性、及び、匿名化データの利用者による利用態様の少なくともいずれか一方を含む。また、「モラル要件」として、匿名化データの利用を禁止する企業を定めてもよい。例えば、利用者の属性が風俗営業等である場合には、利用要件が満たされず、利用対象データの候補は、その利用者に対しては利用対象データとはされない。また、利用者による利用態様がアダルト関係の広告配信等である場合にも、利用要件が満たされず、利用対象データの候補は、その利用者に対しては利用対象データとはされない。   “Usage requirements” include, for example, “moral requirements”. The “moral requirement” includes, for example, at least one of the attribute of the user of the anonymized data and the usage mode by the user of the anonymized data. In addition, as a “moral requirement”, companies that prohibit the use of anonymized data may be defined. For example, when the user attribute is customs business or the like, the usage requirement is not satisfied, and the candidate for the usage target data is not used as the usage target data for the user. Also, when the usage mode by the user is adult-related advertisement delivery or the like, the usage requirements are not satisfied, and the usage target data candidate is not used as the usage target data for the user.

また、「利用要件」のパラメータとして、ユーザ又は第三者(法律家を含んでもよい)のアンケート結果、及び、インターネットにおける風評(顧客のクレームの数を含んでもよい)等から求められる「定性指標」が用いられてもよい。図5は、実施例2の定性指標の説明に供する図である。   In addition, as a parameter of “use requirements”, “qualitative indicators” obtained from questionnaire results of users or third parties (including lawyers) and reputations on the Internet (may include the number of customer complaints) May be used. FIG. 5 is a diagram for explaining the qualitative index of the second embodiment.

図5の「定性指標テーブル」は、項目として、「意見聴取者」、「人数」、「頻度」、「確認」、「下限設定」、「現在の値」、「優先度」を含んでいる。   The “qualitative index table” in FIG. 5 includes “opinion listener”, “number of people”, “frequency”, “confirmation”, “lower limit setting”, “current value”, and “priority” as items. .

図5の定性指標テーブルでは、「意見聴取者」として、「法学者・研究者」、「感度の高い顧客」、「通常のユーザ」、「自社の顧客以外」、「フェイスブック(登録商標)の該当ページへのコメント数」、「ツイッター(登録商標)の該当商品を含むつぶやき」が含まれている。   In the qualitative index table of FIG. 5, as “listeners”, “law scholars / researchers”, “sensitive customers”, “normal users”, “other than their own customers”, “Facebook (registered trademark)” "The number of comments on the corresponding page of" and "tweets including the corresponding product of Twitter (registered trademark)".

「法学者・研究者」に着目すると、「人数」の項目値である「10人」は、アンケートに答えた「法学者・研究者」の数が10人であることを意味している。また、「頻度」の項目値である「1回/月」は、月に1回の頻度でアンケートを実行していることを示している。また、「確認」の項目値である「不許可率」は、対象の利用者に匿名化データを利用させることについて不許可と回答した人数の割合を、「現在の値」の項目値とすることを示している。また、「下限設定」の項目値である「6人」は、アンケート回答者の必要最小限の値であり、6人を下回った場合には、その利用者への匿名化データの提供は一時停止される。「優先度」は、「現在の値」の項目値に対する重み付け係数である。すなわち、図5のテーブルでは、「法学者・研究者」、「感度の高い顧客」、「通常のユーザ」、「自社の顧客以外」の順番で重要度が低くなっている。この優先度を調整することで、多様な設定を行うことができる。また、「フェイスブック(登録商標)の該当ページへのコメント数」及び「ツイッター(登録商標)の該当商品を含むつぶやき」に対応するネガティブコメント数は、クローニングによって収集され、その数に対するデータマイニングの結果が「現在の値」の項目値となる。   When paying attention to “law scholars / researchers”, the item value “10 people” of “number of people” means that the number of “law scholars / researchers” who answered the questionnaire is ten. In addition, the item value of “frequency” “once / month” indicates that the questionnaire is executed once a month. In addition, the “non-permission rate” which is the item value of “confirmation” is the item value of “current value”, which is the ratio of the number of people who answered that the target user is not allowed to use anonymized data It is shown that. In addition, “6 people”, which is the item value of “lower limit setting”, is the minimum necessary value for questionnaire respondents. If the number is below 6, the anonymized data is temporarily provided to the user. Stopped. The “priority” is a weighting coefficient for the item value “current value”. That is, in the table of FIG. 5, the importance is low in the order of “law scholar / researcher”, “sensitive customer”, “normal user”, and “other than own customer”. Various settings can be performed by adjusting the priority. The number of negative comments corresponding to “the number of comments on the relevant page of Facebook (registered trademark)” and “tweet including the corresponding product of Twitter (registered trademark)” is collected by cloning, and data mining for that number is performed. The result is the item value of “current value”.

また、「利用要件」のパラメータには、例えば、匿名化データの利用者候補が事前に指定してきた、「k−匿名性の最低目標値」が含まれてもよい。すなわち、利用対象データの候補であっても、利用対象データの候補に対応する抽象化パターンのk−匿名性の値が、利用者候補が指定した「k−匿名性の最低目標値」より小さい場合、その利用対象データの候補は、その利用者候補に対しては利用対象データとはされない。つまり、「利用対象データの候補に対応する抽象化パターンのk−匿名性の値が、利用者候補が指定したk−匿名性の最低目標値以上であること」が、「利用要件」となる。   In addition, the parameter of “use requirement” may include, for example, “k-minimum target value of anonymity” specified in advance by a candidate user of anonymized data. That is, even if it is a candidate for the usage target data, the k-anonymity value of the abstract pattern corresponding to the usage target data candidate is smaller than the “k-minimum anonymity target value” specified by the user candidate. In this case, the use target data candidate is not used as the use target data for the user candidate. That is, “use requirement” is that “the k-anonymity value of the abstraction pattern corresponding to the candidate for use target data is not less than the minimum target value of k-anonymity specified by the user candidate”. .

また、「利用要件」のパラメータには、例えば、利用対象データの候補に対応する抽象化パターンの「価値」が含まれてもよい。この「価値」は、例えば、制御装置20が有する価値算出部(図示せず)によって、抽象化パターンを構成する各項目値毎についての、インターネットにおけるアクセス数又はクリック数等に基づいて、算出される。例えば、「算出された価値の最も高い抽象化パターンに対応する利用対象データの候補であること」が、「利用要件」となる。   Further, the “use requirement” parameter may include, for example, the “value” of the abstract pattern corresponding to the use target data candidate. This “value” is calculated, for example, by a value calculation unit (not shown) of the control device 20 based on the number of accesses or clicks on the Internet for each item value constituting the abstract pattern. The For example, “being a candidate for use target data corresponding to an abstract pattern with the highest calculated value” is a “use requirement”.

また、「利用要件」のパラメータには、匿名化データの利用者候補が事前に指定してきた「利用希望抽象化パターン」が含まれていてもよい。すなわち、「利用希望抽象化パターンと対応する利用対象データの候補であること」が、「利用要件」となる。   Further, the “use requirement” parameter may include a “use desired abstraction pattern” designated in advance by a candidate user of anonymized data. That is, “use requirement data candidate corresponding to the use desired abstraction pattern” is the “use requirement”.

なお、以上で例示した複数の利用要件は、それぞれ単独で用いられてもよいし、任意の組み合わせで用いられてもよい。また、1個人について利用対象データである匿名化データが複数存在する場合、決定部21は、最も詳しい、つまり項目値が下位概念である抽象化パターンに対応する匿名化データを利用対象データに決定すればよい。   Note that the plurality of usage requirements exemplified above may be used alone or in any combination. In addition, when there are a plurality of anonymized data that are usage target data for one individual, the determination unit 21 determines the most detailed, that is, the anonymization data corresponding to the abstract pattern whose item value is a subordinate concept as the usage target data. do it.

図4の説明に戻り、出力制御部22は、決定部21で決定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。   Returning to the description of FIG. 4, the output control unit 22 performs output control of “information” corresponding to the “user usage mode” corresponding to the usage target data determined by the determination unit 21.

例えば、利用者が利用態様として「広告配信」を事前に指定してきている場合、出力制御部22は、決定部21で決定された利用対象データに対応する個人に対して、その利用者から事前に取得している情報(例えば、広告及びクーポン等)を報知する制御を行う。例えば、記憶部11には、「個人情報テーブル」が記憶されている(例えば、後述する図9参照)。「個人情報テーブル」には、匿名化データの元となる個人情報データが記憶されている。各個人情報データは、例えば、個人ID、及び、個人の情報に関する少なくとも1つの項目値を含む。例えば、項目値の1つとして、個人のメールアドレスが含まれている。また、例えば、記憶部11には、個人IDと、上記の匿名化データ識別情報とを対応づけて記憶する「識別情報対応テーブル」が記憶されている(例えば、後述する図12参照)。そして、出力制御部22は、決定部21で決定された利用対象データの識別情報を、上記の匿名化データテーブルを用いて特定する。そして、出力制御部22は、特定した利用対象データの識別情報に対応する個人IDを、識別情報対応テーブルを用いて特定する。そして、出力制御部22は、特定した個人IDに対応するメールアドレスを用いて、広告を送信する。   For example, when the user has designated “advertising delivery” as the usage mode in advance, the output control unit 22 pre-selects the individual corresponding to the usage target data determined by the determination unit 21 from the user. Control for notifying information (for example, advertisements, coupons, etc.) acquired in is performed. For example, a “personal information table” is stored in the storage unit 11 (see, for example, FIG. 9 described later). The “personal information table” stores personal information data that is the source of anonymized data. Each personal information data includes, for example, a personal ID and at least one item value related to personal information. For example, a personal mail address is included as one of the item values. Further, for example, the storage unit 11 stores an “identification information correspondence table” that stores the personal ID and the anonymized data identification information in association with each other (see, for example, FIG. 12 described later). And the output control part 22 specifies the identification information of the utilization object data determined by the determination part 21 using said anonymization data table. And the output control part 22 specifies personal ID corresponding to the identification information of the specified utilization object data using an identification information corresponding table. And the output control part 22 transmits an advertisement using the mail address corresponding to the specified personal ID.

また、例えば、利用者が利用態様として「匿名化データの配信」を事前に指定してきている場合、出力制御部22は、その利用者の端末に対して利用対象データを送信する。   For example, when the user has designated “distribution of anonymized data” as the usage mode in advance, the output control unit 22 transmits the usage target data to the terminal of the user.

なお、出力制御部22は、実際に利用された利用対象データに対応する抽象化パターンのk−匿名性の値及び利用者識別情報を含むログ情報を、記憶部11に記憶させてもよい。   Note that the output control unit 22 may cause the storage unit 11 to store log information including the k-anonymity value of the abstract pattern corresponding to the actually used usage target data and the user identification information.

以上のように本実施例によれば、制御装置20において、決定部21は、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、選択部13で選択した利用対象データの候補を、利用対象データとして決定する。   As described above, according to the present embodiment, in the control device 20, the determination unit 21 determines that the usage target selected by the selection unit 13 satisfies the “use requirement”, and the usage selected by the selection unit 13. Target data candidates are determined as use target data.

この制御装置20の構成により、匿名要件に加えて利用要件を満たした利用対象データの候補のみを利用対象データとすることができるので、匿名化データ利用における、個人及び利用者等のリスクを低減させることができる。   With this configuration of the control device 20, since only the candidates for the usage target data that satisfy the usage requirements in addition to the anonymous requirements can be used as the usage target data, the risks of individuals and users in the use of anonymized data are reduced. Can be made.

ここで、実施例2の制御装置20によれば、例えば、図6に示すように、匿名化データを、「法的・モラル的違反状態」、「法的高リスク状態」、「モラル的高リスク状態」、「個人特定高リスク状態」、「モラル違反状態」、及び「利用可能状態」の6つの状態に分類することができる。そして、「利用可能状態」に分類される匿名化データのみを利用可能データとすることができる。   Here, according to the control device 20 of the second embodiment, for example, as shown in FIG. 6, the anonymized data is converted into “legal / moral violation state”, “legal high risk state”, “moral high risk”. It can be classified into six states: “risk state”, “individual specific high risk state”, “moral violation state”, and “available state”. Only anonymized data classified as “available state” can be used as usable data.

[実施例3]
実施例3は、実施例1及び実施例2で選択された利用対象データの候補を、オークション形式で利用対象データとして決定する処理に関する。 [Example 3]
The third embodiment relates to a process of determining the usage target data candidates selected in the first and second embodiments as usage target data in an auction format.

図7は、実施例3の制御装置の一例を示すブロック図である。図7において、制御装置30は、オークション制御部31を有する。   FIG. 7 is a block diagram illustrating an example of a control device according to the third embodiment. In FIG. 7, the control device 30 includes an auction control unit 31.

オークション制御部31は、選択部13で選択した利用対象データの候補に対応する抽象化パターン(つまり、上記の利用パターンの候補)に関する情報を、オークション対象の情報として利用者候補に公開する制御を行う。例えば、オークション制御部31は、利用者候補の端末からアクセスされると、「公開テーブル」を利用者候補の端末に表示させる制御を行う。「公開テーブル」は、例えば、項目として、「抽象化パターン」と、「抽象化パターンの番号」と、「k−匿名性の値」とを含む(例えば、後述する図18参照)。すなわち、「公開テーブル」では、選択部13で選択した利用対象データの複数の候補にそれぞれ対応する複数の抽象化パターンと、各抽象化パターンに対応する、識別情報及びk−匿名性の値とが対応づけられている。   The auction control unit 31 performs control for disclosing information on the abstract pattern corresponding to the usage target data selected by the selection unit 13 (that is, the usage pattern candidate) to the user candidates as auction target information. Do. For example, when accessed from a user candidate terminal, the auction control unit 31 performs control to display a “public table” on the user candidate terminal. The “public table” includes, for example, “abstract pattern”, “abstract pattern number”, and “k-anonymity value” as items (see, for example, FIG. 18 described later). That is, in the “public table”, a plurality of abstraction patterns respectively corresponding to a plurality of candidates for use target data selected by the selection unit 13, identification information and k-anonymity values corresponding to each abstraction pattern, and Are associated.

そして、オークション制御部31は、公開した各抽象化パターン(つまり、各オークション対象)に対する入札を受け付ける入札受付処理を行い、各オークション対象について最も入札額の高い利用者候補にそのオークション対象を落札させる。   Then, the auction control unit 31 performs a bid acceptance process for accepting a bid for each abstract pattern (that is, each auction target) that has been released, and makes the user candidate with the highest bid amount bid for that auction target for each auction target. .

そして、オークション制御部31は、落札されたオークション対象に対応する、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、利用対象データとして決定する。なお、オークション制御部31は、落札された抽象化パターンの識別情報と、上記のパターン対応テーブルとを用いて、落札された抽象化パターンに対応する匿名化データを特定し、これを利用対象データとして決定してもよい。また、オークション制御部31は、落札された抽象化パターンの識別情報と、落札した利用者の識別情報と、その利用者が指定してきている利用態様の識別情報とを対応づけた「落札パターンテーブル」を、記憶部11に記憶させてもよい。   Then, if the candidate for use target data selected by the selection unit 13 corresponding to the auction target for which a successful bid is satisfied satisfies the “use requirement”, the auction control unit 31 selects the use target data candidate as the use target data. Determine as. The auction control unit 31 specifies anonymized data corresponding to the abstract pattern that has been awarded using the identification information of the abstract pattern that has been awarded and the pattern correspondence table, and uses the anonymized data. May be determined as In addition, the auction control unit 31 associates the identification information of the abstract pattern that has been awarded, the identification information of the user who has made a successful bid, and the identification information of the usage mode designated by the user. May be stored in the storage unit 11.

ここで、オークション制御部31の「利用要件」としては、実施例2で説明したものを用いることができる。   Here, as the “use requirement” of the auction control unit 31, the one described in the second embodiment can be used.

そして、出力制御部22は、オークション制御部31で決定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。   Then, the output control unit 22 performs output control of “information” corresponding to the “user usage mode” corresponding to the usage target data determined by the auction control unit 31.

以上のように本実施例によれば、制御装置30において、オークション制御部31は、選択部13で選択した利用対象データの候補に対応する抽象化パターンに関する情報をオークション対象の情報として利用者候補に公開し、オークション対象を利用者候補に落札させる。   As described above, according to the present embodiment, in the control device 30, the auction control unit 31 uses the information related to the abstract pattern corresponding to the use target data candidate selected by the selection unit 13 as the user candidate information as the user candidate information. And make the auction target a successful bid for the user candidate.

この制御装置30の構成により、匿名要件を満たした抽象化パターンのみをオークション対象として公開することができるので、オークションにおける個人特定リスクを低減することができる。   With this configuration of the control device 30, only the abstract pattern that satisfies the anonymity requirement can be disclosed as an auction target, so that the personal identification risk in the auction can be reduced.

また、オークション制御部31は、落札されたオークション対象に対応する、選択部13で選択した利用対象データの候補が利用要件を満たしている場合、選択部13で選択した利用対象データの候補を、利用対象データとして決定する。   In addition, when the candidate for the usage target data selected by the selection unit 13 corresponding to the auction target for which a successful bid is made satisfies the usage requirements, the auction control unit 31 selects the usage target data candidate selected by the selection unit 13 as It is determined as usage target data.

この制御装置30の構成により、匿名要件に加えて利用要件を満たした利用対象データの候補のみを利用対象データとすることができるので、匿名化データの利用における、個人及び利用者等のリスクを低減させることができる。   Since the configuration of the control device 30 can use only the candidate for the usage target data that satisfies the usage requirement in addition to the anonymous requirement as the usage target data, the risk of individuals and users in using the anonymized data can be reduced. Can be reduced.

[実施例4]
実施例4は、実施例2で説明した匿名化フィルタの具体的な利用態様例に関する。 [Example 4]
The fourth embodiment relates to a specific usage mode example of the anonymization filter described in the second embodiment.

[利用システムの概要]
図8は、実施例4の匿名化データの利用システムの一例を示す図である。図8において、利用システム100は、制御装置120と、個人情報データを収集する収集システム130と、端末150とを有する。制御装置120は、実施例2で説明した制御装置20に対応し、制御装置20と基本的に同じ機能を有している。また、収集システム130は、例えば、病院に設置されたシステムである。また、端末150は、匿名化データの利用者候補の端末である。なお、図8では収集システム130及び端末150を1つ示しているが、この数はこれに限定されるものではない。すなわち、利用システム100は、収集システム130及び端末150をそれぞれ2つ以上有していてもよい。また、以下では、収集システム130が病院に設置されたシステムであるものとして説明を行う。 [Outline of the system used]
FIG. 8 is a diagram illustrating an example of a system for using anonymized data according to the fourth embodiment. In FIG. 8, the usage system 100 includes a control device 120, a collection system 130 that collects personal information data, and a terminal 150. The control device 120 corresponds to the control device 20 described in the second embodiment, and has basically the same function as the control device 20. The collection system 130 is a system installed in a hospital, for example. The terminal 150 is a terminal of a candidate user for anonymized data. In FIG. 8, one collection system 130 and one terminal 150 are shown, but this number is not limited to this. That is, the usage system 100 may include two or more collection systems 130 and two terminals 150, respectively. In the following description, it is assumed that the collection system 130 is a system installed in a hospital.

まず、収集システム130では、個人情報データ群(例えば、カルテ情報データ)が複数の抽象化パターンに従って匿名化処理され、匿名化データ群にされる。この匿名化データ群は、制御装置120へ提供される。   First, in the collection system 130, personal information data groups (for example, medical record information data) are anonymized according to a plurality of abstract patterns to be anonymized data groups. This anonymized data group is provided to the control device 120.

そして、制御装置120は、収集システム130から提供された匿名化データ群を用いて、利用対象データを決定する。   And the control apparatus 120 determines utilization object data using the anonymization data group provided from the collection system 130. FIG.

そして、制御装置120は、決定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。   Then, the control device 120 performs output control of “information” corresponding to the “user usage mode” corresponding to the determined usage target data.

例えば、制御装置120は、端末150から指定された「匿名化データの利用態様」が「広告配信」である場合、決定された利用対象データに対応する個人に対して、その利用者から事前に取得している情報(つまり、広告)を報知する制御を行う。   For example, when the “use mode of anonymized data” designated from the terminal 150 is “advertising delivery”, the control device 120 gives the individual corresponding to the determined use target data from the user in advance. Control to notify the acquired information (that is, advertisement) is performed.

また、制御装置120は、端末150から指定された「匿名化データの利用態様」が「匿名化データの配信」である場合、端末150に対して利用対象データを送信する。   In addition, when the “use mode of anonymized data” designated from the terminal 150 is “distribution of anonymized data”, the control device 120 transmits the usage target data to the terminal 150.

以上の動作処理(以下では、この動作処理を「バッチ処理」と呼ぶことがある)が行われた後に、収集システム130の後述する受付装置136で患者の受付処理が行われることがある。この場合、受付処理が行われた患者の個人IDが制御装置120に提供される。   After the above-described operation processing (hereinafter, this operation processing may be referred to as “batch processing”), patient reception processing may be performed by a reception device 136 described later of the collection system 130. In this case, the personal ID of the patient for which the reception process has been performed is provided to the control device 120.

そして、制御装置120は、提供された個人IDに対応する利用対象データを特定する。そして、制御装置120は、特定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。例えば、端末150から指定された「匿名化データの利用態様」が「広告配信」である場合、制御装置120は、収集システム130の後述する精算装置137から患者の精算時に出力されるレシートに広告が印字される制御を行う。また、広告の配信態様としては、例えば、後述する精算装置137に配設されるか、又は、後述する精算装置137の設置場所付近に設置された、サイネージに表示されてもよい。ここで説明した、バッチ処理後に行われた一連の処理を、以下では、「リアルタイム処理」と呼ぶことがある。   And the control apparatus 120 specifies the utilization object data corresponding to the provided personal ID. Then, the control device 120 performs output control of “information” corresponding to the “user usage mode” corresponding to the specified usage target data. For example, when the “use mode of anonymized data” specified from the terminal 150 is “advertisement delivery”, the control device 120 sends an advertisement to a receipt that is output at the time of patient settlement from a later-described settlement device 137 of the collection system 130. Performs control to print. Further, as an advertisement distribution mode, for example, the advertisement may be displayed on a signage that is disposed in a settlement apparatus 137 described later or installed near the installation location of the settlement apparatus 137 described later. A series of processing performed after the batch processing described here may be referred to as “real-time processing” below.

[収集システムの構成例]
図8において、収集システム130は、個人情報テーブル131と、匿名化処理部132と、匿名化データテーブル133と、識別情報対応テーブル134と、インタフェース(IF)135と、受付装置136と、精算装置137とを有する。 [Example of collection system configuration]
In FIG. 8, the collection system 130 includes a personal information table 131, an anonymization processing unit 132, an anonymization data table 133, an identification information correspondence table 134, an interface (IF) 135, an accepting device 136, and a checkout device. 137.

個人情報テーブル131は、個人情報データ群を記憶している。図9は、個人情報テーブルの一例を示す図である。図9に示す個人情報テーブルは、項目として、「個人ID」、「氏名」、「年齢」、「性別」、「住所」、「病名」、「メールアドレス」を含んでいる。   The personal information table 131 stores personal information data groups. FIG. 9 is a diagram illustrating an example of the personal information table. The personal information table shown in FIG. 9 includes “personal ID”, “name”, “age”, “sex”, “address”, “disease name”, and “mail address” as items.

匿名化処理部132は、個人情報テーブル131の個人情報データを複数の「抽象化パターン」に基づいて抽象化して、匿名化データ群を形成する。複数の抽象化パターンは、例えば、図10に示すような「木構造」で表すことができる。図10は、抽象化パターンの説明に供する図である。形成された匿名化データ群は、匿名化データテーブル133に記憶される。また、個人情報データの個人IDと、当該個人情報データから形成された匿名化データの識別情報との対応関係が、識別情報対応テーブル134に記憶される。   The anonymization processing unit 132 abstracts the personal information data in the personal information table 131 based on a plurality of “abstraction patterns” to form an anonymization data group. The plurality of abstraction patterns can be represented by, for example, a “tree structure” as shown in FIG. FIG. 10 is a diagram for explaining the abstraction pattern. The formed anonymized data group is stored in the anonymized data table 133. The correspondence relationship between the personal ID of the personal information data and the identification information of the anonymized data formed from the personal information data is stored in the identification information correspondence table 134.

図11は、匿名化データテーブルの一例を示す図である。また、図12は、識別情報対応テーブルの一例を示す図である。図12において、匿名化データ番号0001−0003の3つの匿名化データは、個人ID「0001」の個人情報データから形成されたものであることを示している。   FIG. 11 is a diagram illustrating an example of the anonymization data table. FIG. 12 is a diagram illustrating an example of the identification information correspondence table. In FIG. 12, three anonymized data of anonymized data numbers 0001-0003 are formed from personal information data of personal ID “0001”.

匿名化データテーブル133に記憶された匿名化データ群及び識別情報対応テーブル134に記憶された対応関係は、IF135を介して制御装置120へ提供される。   The correspondence stored in the anonymized data group stored in the anonymized data table 133 and the identification information correspondence table 134 is provided to the control device 120 via the IF 135.

受付装置136は、患者の受付処理を実行する。そして、受付装置136は、受付処理を行った患者の個人IDを、IF135を介して制御装置120へ提供する。   The accepting device 136 executes a patient accepting process. Then, the reception device 136 provides the personal ID of the patient who has performed the reception process to the control device 120 via the IF 135.

精算装置137は、患者の精算処理を実行する。そして、精算装置137は、制御装置120からその個人IDに対応する広告出力命令及び広告を受け取っている場合、レシートにその広告を印字する。   The settlement apparatus 137 executes a patient settlement process. When the settlement apparatus 137 receives an advertisement output command and an advertisement corresponding to the personal ID from the control apparatus 120, the settlement apparatus 137 prints the advertisement on a receipt.

[制御装置の構成例]
図8において、制御装置120は、IF15,16と、記憶部11と、取得部12と、選択部13と、決定部21と、出力制御部22とを有する。 [Configuration example of control device]
In FIG. 8, the control device 120 includes IFs 15 and 16, a storage unit 11, an acquisition unit 12, a selection unit 13, a determination unit 21, and an output control unit 22.

記憶部11は、収集システム130から送信された匿名化データテーブル及び識別情報対応テーブルを、IF15を介して受け取り、記憶する。   The storage unit 11 receives and stores the anonymized data table and the identification information correspondence table transmitted from the collection system 130 via the IF 15.

取得部12は、記憶部11から匿名化データ群を取得し、取得した匿名化データ群を選択部13へ出力する。   The acquisition unit 12 acquires the anonymized data group from the storage unit 11 and outputs the acquired anonymized data group to the selection unit 13.

選択部13は、対応する匿名化データの存在数、つまりk−匿名性の値(k値)が「第1の閾値」以上である抽象化パターンを、利用パターンの候補として特定する。例えば、各抽象化パターンの存在数が図13に示すようであり、且つ、第1の閾値が10である場合、抽象化パターン識別情報「0003」の抽象化パターンは、利用パターンの候補とされる。図13は、抽象化パターンの選択処理の説明に供する図である。   The selection unit 13 specifies an abstract pattern having a corresponding number of anonymized data, that is, a k-anonymity value (k value) equal to or greater than the “first threshold value” as a candidate for use pattern. For example, when the number of each abstraction pattern is as shown in FIG. 13 and the first threshold is 10, the abstraction pattern of the abstraction pattern identification information “0003” is regarded as a usage pattern candidate. The FIG. 13 is a diagram for explaining the abstraction pattern selection processing.

また、選択部13は、利用パターンの候補の識別情報と、当該利用パターンの候補に対応する個人情報データの個人IDとを対応づけて記憶する「利用パターン候補テーブル」を記憶部11にさせる。図14は、利用パターン候補テーブルの一例を示す図である。利用パターンの候補の識別情報「0003」に対応する抽象化パターンは、匿名化データ番号「0003」の匿名化データに対応し、当該匿名化データは、個人ID「0001」の個人情報データに対応する。このため、図14の利用パターン候補テーブルでは、個人情報ID「0001」と利用パターンの候補の識別情報「0003」とが、対応づけられている。   In addition, the selection unit 13 causes the storage unit 11 to store a “use pattern candidate table” that stores the identification information of the use pattern candidates and the personal ID of the personal information data corresponding to the use pattern candidates in association with each other. FIG. 14 is a diagram illustrating an example of a usage pattern candidate table. The abstract pattern corresponding to the identification information “0003” of the usage pattern candidate corresponds to the anonymized data of the anonymized data number “0003”, and the anonymized data corresponds to the personal information data of the personal ID “0001”. To do. Therefore, in the usage pattern candidate table of FIG. 14, the personal information ID “0001” and the usage pattern candidate identification information “0003” are associated with each other.

決定部21は、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、「利用対象データ」として決定する。   When the use target data candidate selected by the selection unit 13 satisfies the “use requirement”, the determination unit 21 determines the use target data candidate as “use target data”.

また、決定部21は、IF16を介して端末150から、「k−匿名性の最低目標値」や「利用希望抽象化パターン」等の利用要件及び「利用者の利用態様」等の指定を受け付ける。   Further, the determination unit 21 receives specification of usage requirements such as “minimum target value of k-anonymity” and “use desired abstraction pattern” and “user usage mode” from the terminal 150 via the IF 16. .

出力制御部22は、決定部21で決定された利用対象データに対応する「利用者の利用態様」に応じた「情報」の出力制御を行う。   The output control unit 22 performs output control of “information” corresponding to the “user usage mode” corresponding to the usage target data determined by the determination unit 21.

例えば、出力制御部22は、端末150から指定された「匿名化データの利用態様」が「広告配信」である場合、決定された利用対象データに対応する個人に対して、その利用者から事前に取得している情報(つまり、広告)を報知する制御を行う。   For example, when the “use mode of anonymized data” designated from the terminal 150 is “advertisement delivery”, the output control unit 22 gives advance notification to the individual corresponding to the determined use target data from the user. Control to notify the information (that is, the advertisement) acquired in is performed.

また、出力制御部22は、端末150から指定された「匿名化データの利用態様」が「匿名化データの配信」である場合、端末150に対して利用対象データを送信する。   The output control unit 22 transmits the usage target data to the terminal 150 when the “use mode of anonymized data” designated from the terminal 150 is “distribution of anonymized data”.

[利用システムの動作例]
以上の構成を有する利用システム100の処理動作例について説明する。図15及び図16は、実施例4の制御装置の処理動作の一例を示すフローチャートである。 [Example of system operation]
A processing operation example of the usage system 100 having the above configuration will be described. 15 and 16 are flowcharts illustrating an example of the processing operation of the control device according to the fourth embodiment.

制御装置120において、決定部21は、利用希望の受け付け処理を実行する(ステップS201)。例えば、端末150は、利用者候補の「利用要求信号」を制御装置120へ送信する。「利用要求信号」には、例えば、利用希望抽象化パターンの情報及び利用態様の情報が含まれる。決定部21は、端末150から送信された利用要求信号を、IF16を介して受け取る。そして、決定部21は、送信元である利用者候補の識別情報と、利用希望抽象化パターンの識別情報と、利用態様の情報とを対応付けで記憶しておく。なお、利用要求信号には、さらに、広告及びクーポンの内容が含まれる場合もある。   In the control device 120, the determination unit 21 executes a use request acceptance process (step S201). For example, the terminal 150 transmits a “use request signal” of a user candidate to the control device 120. The “usage request signal” includes, for example, information on the desired usage abstraction pattern and information on the usage mode. The determination unit 21 receives the usage request signal transmitted from the terminal 150 via the IF 16. And the determination part 21 memorize | stores the identification information of the user candidate who is a transmission source, the identification information of a utilization-desired abstraction pattern, and the information of a usage mode in association. The usage request signal may further include the contents of advertisements and coupons.

<バッチ処理>
取得部12は、匿名化データ群を取得する(ステップS202)。 <Batch processing>
The acquisition unit 12 acquires an anonymized data group (step S202).

選択部13は、取得部12が取得した匿名化データ群において、各抽象化パターンに対応する匿名化データの存在数をカウントする(ステップS203)。   The selection unit 13 counts the number of anonymized data corresponding to each abstract pattern in the anonymized data group acquired by the acquisition unit 12 (step S203).

選択部13は、カウントされた存在数に基づいて、利用パターンの候補及び利用対象データの候補を選択する(ステップS204)。例えば、選択部13は、カウントされた存在数が第1の閾値以上である抽象化パターンを、利用パターンの候補として選択する。そして、選択部13は、利用パターンの候補に対応する匿名化データを、利用対象パターンの候補として選択する。   The selection unit 13 selects a usage pattern candidate and a usage target data candidate based on the counted existence number (step S204). For example, the selection unit 13 selects an abstract pattern whose counted existence number is equal to or more than a first threshold as a usage pattern candidate. Then, the selection unit 13 selects anonymized data corresponding to the usage pattern candidate as a usage target pattern candidate.

選択部13は、「利用パターン候補テーブル」を更新する(ステップS205)。上記の通り、「利用パターン候補テーブル」は、利用パターンの候補の識別情報と、当該利用パターンの候補に対応する個人情報データの個人IDとを対応づけて記憶している。   The selection unit 13 updates the “use pattern candidate table” (step S205). As described above, the “use pattern candidate table” stores the use pattern candidate identification information and the personal ID of the personal information data corresponding to the use pattern candidate in association with each other.

決定部21は、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、「利用対象データ」として決定する(ステップS206)。ここで、説明を簡単にするために、「利用要件」がステップS201で受け付けられた「利用希望抽象化パターン」のみであるとする。この場合、決定部21は、利用希望抽象化パターンと一致する利用パターンの候補に対応する利用対象データの候補を、利用対象データとして決定する。   When the use target data candidate selected by the selection unit 13 satisfies the “use requirement”, the determination unit 21 determines the use target data candidate as “use target data” (step S206). Here, to simplify the description, it is assumed that the “use requirement” is only the “use desired abstraction pattern” accepted in step S201. In this case, the determination unit 21 determines the usage target data candidate corresponding to the usage pattern candidate that matches the usage abstraction pattern as the usage target data.

出力制御部22は、決定部21で決定された利用対象データの利用を実行する(ステップS207)。例えば、出力制御部22は、利用者が利用態様として「匿名化データの配信」を事前に指定してきている場合、出力制御部22は、その利用者の端末150に対して利用対象データを送信する。   The output control unit 22 uses the usage target data determined by the determination unit 21 (step S207). For example, when the user has designated “distribution of anonymized data” in advance as the usage mode, the output control unit 22 transmits the usage target data to the terminal 150 of the user. To do.

<リアルタイム処理>
上記のバッチ処理は、リアルタイム処理が実行される前に、実行されている。 <Real-time processing>
The above batch processing is executed before the real time processing is executed.

制御装置120において、取得部12は、収集システム130において受け付け処理が行われた患者の個人IDを取得する(ステップS301)。   In the control device 120, the acquisition unit 12 acquires the personal ID of the patient for which the reception process has been performed in the collection system 130 (step S301).

決定部21は、取得部12で取得された個人IDと、利用パターン候補テーブルとに基づいて、その個人IDに対応する利用パターンの候補を選択する(ステップS302)。   Based on the personal ID acquired by the acquisition unit 12 and the usage pattern candidate table, the determination unit 21 selects a usage pattern candidate corresponding to the personal ID (step S302).

決定部21は、選択した利用パターンの候補と、利用希望抽象化パターンとが一致する場合、その利用パターンの候補に対応する利用対象データの候補を、利用対象データとして決定する(ステップS303)。   When the selected usage pattern candidate matches the usage desired abstraction pattern, the determination unit 21 determines a usage target data candidate corresponding to the usage pattern candidate as usage target data (step S303).

出力制御部22は、決定部21で決定された利用対象データの利用を実行する(ステップS304)。例えば、出力制御部22は、利用者が利用態様として「広告配信」を事前に指定してきている場合、個人IDとともに広告情報をIF15及びIF135を介して精算装置137へ送信する。これにより、例えば、その患者の精算時に出力されるレシートに広告を印字することができる。   The output control unit 22 executes use of the usage target data determined by the determination unit 21 (step S304). For example, when the user has designated “advertisement distribution” as the usage mode in advance, the output control unit 22 transmits the advertisement information together with the personal ID to the settlement apparatus 137 via the IF 15 and IF 135. Thereby, for example, an advertisement can be printed on a receipt that is output when the patient is settled.

例えば、タクシー業者である利用者候補が利用希望抽象化パターンとして、「下半身骨折」という項目値を含む抽象化パターンを指定した場合、レシートに「帰りにタクシーのご利用はいかがですか? ××タクシー会社 電話番号yyy−456−7899」といった広告を印字することができる。   For example, if a taxi agent candidate specifies an abstraction pattern that includes an item value of “lower body fracture” as an abstraction pattern that he / she wishes to use, the receipt will say “How about using a taxi on the way home? An advertisement such as “taxi company phone number yyy-456-7899” can be printed.

[実施例5]
実施例5は、実施例3で説明した、匿名化データに関するオークションの具体的な利用態様例に関する。なお、実施例5の利用システムの基本構成は、実施例4の利用システム100と同じである。実施例4と実施例5の相違点は、主に、制御装置におけるオークション制御部の処理動作である。 [Example 5]
Example 5 relates to a specific usage example of an auction related to anonymized data described in Example 3. The basic configuration of the usage system of the fifth embodiment is the same as that of the usage system 100 of the fourth embodiment. The difference between the fourth embodiment and the fifth embodiment is mainly the processing operation of the auction control unit in the control device.

図17は、実施例5の匿名化データの利用システムの一例を示す図である。図17において、利用システム200は、制御装置230を有する。制御装置230は、実施例3で説明した制御装置30に対応し、制御装置30と基本的に同じ機能を有している。   FIG. 17 is a diagram illustrating an example of the anonymized data use system according to the fifth embodiment. In FIG. 17, the usage system 200 includes a control device 230. The control device 230 corresponds to the control device 30 described in the third embodiment, and has basically the same function as the control device 30.

図17において、制御装置230は、オークション制御部31を有する。   In FIG. 17, the control device 230 includes an auction control unit 31.

オークション制御部31は、選択部13で選択した利用対象データの候補に対応する抽象化パターン(つまり、上記の利用パターンの候補)に関する情報を、オークション対象の情報として利用者候補に公開する制御を行う。例えば、オークション制御部31は、利用者候補の端末からアクセスされると、「公開テーブル」を利用者候補の端末に表示させる制御を行う。図18は、公開テーブルの一例を示す図である。図18に示すように、公開テーブルは、抽象化パターン番号と、抽象化パターンと、存在数(つまり、k−匿名性の値)とを含む。図18に示す公開テーブルには、さらに、アクセス数と、クリック数と、値段とが含まれている。   The auction control unit 31 performs control for disclosing information on the abstract pattern corresponding to the usage target data selected by the selection unit 13 (that is, the usage pattern candidate) to the user candidates as auction target information. Do. For example, when accessed from a user candidate terminal, the auction control unit 31 performs control to display a “public table” on the user candidate terminal. FIG. 18 is a diagram illustrating an example of a public table. As illustrated in FIG. 18, the public table includes an abstract pattern number, an abstract pattern, and the number of existence (that is, k-anonymity value). The public table shown in FIG. 18 further includes the number of accesses, the number of clicks, and the price.

そして、オークション制御部31は、公開した各抽象化パターン(つまり、各オークション対象)に対する入札を受け付ける入札受付処理を行う。そして、オークション制御部31は、各オークション対象について最も入札額の高い利用者候補にそのオークション対象を落札させる。   And the auction control part 31 performs the bid reception process which receives the bid with respect to each open | released abstract pattern (namely, each auction object). Then, the auction control unit 31 causes the user candidate with the highest bid amount to make a successful bid for each auction target.

そして、オークション制御部31は、落札された抽象化パターンの識別情報と、落札した利用者の識別情報と、その利用者が指定してきている利用態様の識別情報とを対応づけた「落札パターンテーブル」を、記憶部11に記憶させる。   Then, the auction control unit 31 associates the identification information of the abstract pattern that has been awarded, the identification information of the user who has made a successful bid, and the identification information of the usage mode designated by the user. Is stored in the storage unit 11.

そして、オークション制御部31は、落札されたオークション対象に対応する、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、利用対象データとして決定する。   Then, if the candidate for use target data selected by the selection unit 13 corresponding to the auction target for which a successful bid is satisfied satisfies the “use requirement”, the auction control unit 31 selects the use target data candidate as the use target data. Determine as.

以上の構成を有する利用システム200の処理動作例について説明する。   A processing operation example of the usage system 200 having the above configuration will be described.

<バッチ処理>
図19は、実施例5の制御装置の処理動作の一例を示すフローチャートである。図19におけるステップS202−ステップS205の処理ステップは、図15の処理ステップと同等である。図19は、所謂バッチ処理に対応する。 <Batch processing>
FIG. 19 is a flowchart illustrating an example of a processing operation of the control device according to the fifth embodiment. The processing steps from step S202 to step S205 in FIG. 19 are equivalent to the processing steps in FIG. FIG. 19 corresponds to so-called batch processing.

オークション制御部31は、選択部13で選択した利用対象データの候補に対応する抽象化パターンに関する情報を、オークション対象の情報として利用者候補に公開する(ステップS401)。   The auction control unit 31 discloses information on the abstract pattern corresponding to the usage target data candidate selected by the selection unit 13 to the user candidates as auction target information (step S401).

オークション制御部31は、公開した各抽象化パターン(つまり、各オークション対象)に対する入札を受け付ける(ステップS402)。   The auction control unit 31 accepts a bid for each abstract pattern (that is, each auction target) disclosed (step S402).

オークション制御部31は、各オークション対象について落札者を決定する(ステップS403)。例えば、オークション制御部31は、各オークション対象について最も入札額の高い利用者候補にそのオークション対象を落札させる。   The auction control unit 31 determines the winning bidder for each auction target (step S403). For example, the auction control unit 31 causes the user candidate with the highest bid amount to make a successful bid for each auction target.

オークション制御部31は、「落札パターンテーブル」を更新する(ステップS404)。上記の通り、「落札パターンテーブル」は、落札された抽象化パターンの識別情報と、落札した利用者の識別情報と、その利用者が指定してきている利用態様の識別情報とを対応づけて記憶している。   The auction control unit 31 updates the “successful bid pattern table” (step S404). As described above, the “successful bid pattern table” stores the identification information of the abstract pattern that has been awarded, the identification information of the user who has made a successful bid, and the identification information of the usage mode designated by the user. doing.

オークション制御部31は、落札されたオークション対象に対応する、選択部13で選択した利用対象データの候補が「利用要件」を満たしている場合、その利用対象データの候補を、利用対象データとして決定する(ステップS405)。   When the use target data candidate selected by the selection unit 13 corresponding to the successful bid auction target satisfies the “use requirement”, the auction control unit 31 determines the use target data candidate as the use target data. (Step S405).

出力制御部22は、オークション制御部31で決定された利用対象データの利用を実行する(ステップS406)。   The output control unit 22 uses the usage target data determined by the auction control unit 31 (step S406).

<リアルタイム処理>
上記のバッチ処理は、リアルタイム処理が実行される前に、実行されている。図20は、実施例5の制御装置の処理動作の一例を示すフローチャートである。図20は、所謂リアルタイム処理に対応する。 <Real-time processing>
The above batch processing is executed before the real time processing is executed. FIG. 20 is a flowchart illustrating an example of a processing operation of the control device according to the fifth embodiment. FIG. 20 corresponds to so-called real-time processing.

制御装置230において、取得部12は、収集システム130において受け付け処理が行われた患者の個人IDを取得する(ステップS501)。   In the control device 230, the acquisition unit 12 acquires the personal ID of the patient for which the reception process has been performed in the collection system 130 (step S501).

オークション制御部31は、取得部12で取得された個人IDと、利用パターン候補テーブルとに基づいて、その個人IDに対応する利用パターンの候補を選択する(ステップS502)。   The auction control unit 31 selects a usage pattern candidate corresponding to the personal ID based on the personal ID acquired by the acquisition unit 12 and the usage pattern candidate table (step S502).

オークション制御部31は、選択した利用パターンの候補のうちで落札パターンテーブルに記憶されている利用パターンの候補に対応する利用対象データの候補を、利用対象データとして決定する(ステップS503)。   The auction control unit 31 determines use target data candidates corresponding to the use pattern candidates stored in the successful bid pattern table among the selected use pattern candidates as the use target data (step S503).

出力制御部22は、オークション制御部31で決定された利用対象データの利用を実行する(ステップS504)。   The output control unit 22 executes use of the usage target data determined by the auction control unit 31 (step S504).

[他の実施例]
[1]実施例4及び実施例5では、収集システムが病院システムであるものとして説明を行ったが、これに限定されるものではない。例えば、スーパーマーケットのシステムであってもよい。そして、顧客(個人)が購入した商品又は購入を検討している商品に関する情報をインターネットで制御装置へ送信し、制御装置が、レシピ、又は、他社の安売り広告等を報知する制御処理を行ってもよい。 [Other embodiments]
[1] In the fourth and fifth embodiments, the collection system is described as a hospital system. However, the present invention is not limited to this. For example, it may be a supermarket system. And the information regarding the product which the customer (individual) purchased or the product which purchase is considered is transmitted to the control device via the Internet, and the control device performs a control process for notifying a recipe or a bargain sale advertisement of other companies. Also good.

[2]実施例1から実施例5では、個人情報データの項目として、略固定、つまり殆ど変動しない項目が用いられているが、これに限定されるものではない。例えば、個人の位置情報、又は、買い物履歴情報等が用いられてもよい。   [2] In the first to fifth embodiments, the items of personal information data are items that are substantially fixed, that is, items that hardly change, but are not limited thereto. For example, personal location information or shopping history information may be used.

[3]実施例1から実施例5で図示した各部の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各部の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。   [3] Each component of each part illustrated in the first to fifth embodiments does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each part is not limited to the one shown in the figure, and all or a part thereof may be functionally or physically distributed / integrated in arbitrary units according to various loads and usage conditions. Can be configured.

更に、各装置で行われる各種処理機能は、CPU(Central Processing Unit)(又はMPU(Micro Processing Unit)、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部又は任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(又はMPU、MCU等のマイクロ・コンピュータ)で解析実行するプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしてもよい。   Furthermore, various processing functions performed in each device are performed on a CPU (Central Processing Unit) (or a microcomputer such as an MPU (Micro Processing Unit), MCU (Micro Controller Unit), etc.) in whole or in part. You may make it perform. Various processing functions may be executed entirely or arbitrarily on a program that is analyzed and executed by a CPU (or a microcomputer such as an MPU or MCU) or hardware based on wired logic. .

実施例1から実施例5の制御装置は、例えば、次のようなハードウェア構成により実現することができる。   The control devices according to the first to fifth embodiments can be realized by the following hardware configuration, for example.

図21は、制御装置のハードウェア構成例を示す図である。図21に示すように、制御装置300は、プロセッサ301と、メモリ302と、IF303を有する。   FIG. 21 is a diagram illustrating a hardware configuration example of the control device. As illustrated in FIG. 21, the control device 300 includes a processor 301, a memory 302, and an IF 303.

プロセッサ301の一例としては、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)等が挙げられる。また、メモリ302の一例としては、SDRAM(Synchronous Dynamic Random Access Memory)等のRAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ等が挙げられる。   Examples of the processor 301 include a central processing unit (CPU), a digital signal processor (DSP), and a field programmable gate array (FPGA). Further, examples of the memory 302 include a RAM (Random Access Memory) such as an SDRAM (Synchronous Dynamic Random Access Memory), a ROM (Read Only Memory), a flash memory, and the like.

そして、実施例1から実施例5の制御装置で行われる各種処理機能は、不揮発性記憶媒体などの各種メモリに格納されたプログラムを制御装置が備えるプロセッサで実行することによって実現してもよい。すなわち、取得部12と、選択部13と、決定部21と、出力制御部22と、オークション制御部31とによって実行される各処理に対応するプログラムがメモリ302に記録され、各プログラムがプロセッサ301で実行されてもよい。また、記憶部11は、メモリ302によって実現される。また、IF15,16は、IF303によって実現される。   Various processing functions performed by the control device according to the first to fifth embodiments may be realized by executing a program stored in various memories such as a nonvolatile storage medium using a processor included in the control device. That is, a program corresponding to each process executed by the acquisition unit 12, the selection unit 13, the determination unit 21, the output control unit 22, and the auction control unit 31 is recorded in the memory 302. May be executed. The storage unit 11 is realized by the memory 302. The IFs 15 and 16 are realized by the IF 303.

10,20,30 制御装置
11 記憶部
12 取得部
13 選択部
16,15,135 IF
21 決定部
22 出力制御部
31 オークション制御部
100,200 利用システム
120,230 制御装置
130 収集システム
131 個人情報テーブル
132 匿名化処理部
133 匿名化データテーブル
134 識別情報対応テーブル
136 受付装置
137 精算装置
150 端末 10, 20, 30 Control device 11 Storage unit 12 Acquisition unit 13 Selection unit 16, 15, 135 IF
21 decision unit 22 output control unit 31 auction control unit 100, 200 utilization system 120, 230 control device 130 collection system 131 personal information table 132 anonymization processing unit 133 anonymization data table 134 identification information correspondence table 136 reception device 137 settlement device 150 Terminal

Claims (11)

匿名化データの利用を制御する制御装置であって、
個人の情報に関する少なくとも1つの項目値を含む個人情報データが抽象化パターンに従って匿名化された匿名化データを取得する取得部と、
前記取得した匿名化データに対応する抽象化パターンがk−匿名性に基づく匿名要件を満たす場合、前記取得した匿名化データを、利用対象データの候補として選択する選択部と、
を具備することを特徴とする制御装置。 A control device that controls the use of anonymized data,
An acquisition unit that acquires anonymized data in which personal information data including at least one item value related to personal information is anonymized according to an abstraction pattern;
When the abstraction pattern corresponding to the acquired anonymized data satisfies the anonymity requirement based on k-anonymity, a selection unit that selects the acquired anonymized data as a candidate for use target data;
A control device comprising: 前記取得部は、匿名化データ群を取得し、
前記匿名化データ群は、項目値についての複数の抽象化パターンに基づいて個人情報データを抽象化して得られた複数の匿名化データを含み、
前記選択部は、前記複数の抽象化パターンの内で前記匿名要件を満たした抽象化パターンに対応する匿名化データを、前記利用対象データの候補として選択する、
ことを特徴とする請求項1に記載の制御装置。 The acquisition unit acquires an anonymized data group,
The anonymized data group includes a plurality of anonymized data obtained by abstracting personal information data based on a plurality of abstraction patterns for item values,
The selection unit selects anonymization data corresponding to an abstraction pattern that satisfies the anonymity requirement among the plurality of abstraction patterns as a candidate for the usage target data;
The control device according to claim 1. 前記選択した利用対象データの候補が利用要件を満たしている場合、前記選択した利用対象データの候補を、前記利用対象データとして決定する決定部を、さらに具備することを特徴とする請求項1又は2に記載の制御装置。   2. The method according to claim 1, further comprising a determination unit that determines the selected candidate for use target data as the use target data when the selected candidate for use target data satisfies a use requirement. 2. The control device according to 2. 前記選択した利用対象データの候補に対応する抽象化パターンに関する情報をオークション対象の情報として利用者候補に公開し、前記オークション対象を前記利用者候補に落札させ、前記落札されたオークション対象に対応する、前記選択した利用対象データの候補が利用要件を満たしている場合、前記選択した利用対象データの候補を、前記利用対象データとして決定するオークション制御部を、さらに具備することを特徴とする請求項1又は2に記載の制御装置。   Information regarding an abstraction pattern corresponding to the selected candidate for use target data is disclosed to the user candidate as auction target information, the user candidate is made a successful bid, and the auction target for which a bid is made The auction control unit may further comprise an auction control unit that determines the selected use target data candidate as the use target data when the selected use target data candidate satisfies a use requirement. The control device according to 1 or 2. 前記決定した利用対象データに対応する個人に対して、前記決定した利用対象データの利用者から取得した情報を報知する出力制御部を、さらに具備することを特徴とする請求項3又は4に記載の制御装置。   The output control part which alert | reports the information acquired from the user of the determined utilization target data with respect to the individual corresponding to the determined utilization target data is further provided. Control device. 前記決定した利用対象データに対応する利用者の端末に対して、前記決定した利用対象データを送信する出力制御部を、さらに具備することを特徴とする請求項3又は4に記載の制御装置。   The control apparatus according to claim 3, further comprising an output control unit that transmits the determined usage target data to a user terminal corresponding to the determined usage target data. 前記匿名要件は、前記k−匿名性に加えて、l−多様性、及びPk−匿名性の少なくともいずれか一方に基づく、
ことを特徴とする請求項1から6のいずれか一項に記載の制御装置。 The anonymity requirement is based on at least one of l-diversity and Pk-anonymity in addition to the k-anonymity.
The control device according to claim 1, wherein the control device is a control device. 前記k−匿名性、前記l−多様性、及び前記Pk−匿名性の各々について個人が特定される確率値を算出し、前記算出した確率値に基づいて、個人が特定されるリスク指標を前記匿名要件として算出する算出部を、さらに具備し、
前記選択部は、前記算出したリスク指標が閾値以下である場合、前記匿名要件が満たされていると判定する、
ことを特徴とする請求項に記載の制御装置。 A probability value for identifying an individual for each of the k-anonymity, the l-diversity, and the Pk-anonymity is calculated, and a risk index for identifying the individual is calculated based on the calculated probability value. Further comprising a calculation unit for calculating as an anonymous requirement,
The selection unit determines that the anonymity requirement is satisfied when the calculated risk index is equal to or less than a threshold value,
The control device according to claim 7 . 前記利用要件は、前記匿名化データの利用者の属性、及び、前記匿名化データの前記利用者による利用態様の少なくともいずれか一方を含む、モラル要件を含む、
ことを特徴とする請求項3又は4に記載の制御装置。 The usage requirement includes a moral requirement including an attribute of a user of the anonymized data and at least one of usage modes by the user of the anonymized data.
The control device according to claim 3 or 4, wherein 匿名化データの利用を制御する制御方法であって、
コンピュータが、少なくとも1つの項目値を含む個人情報データが抽象化パターンに従って匿名化された匿名化データを取得し、
前記コンピュータが、前記取得した匿名化データがk−匿名性に基づく匿名要件を満たすか否かを判定し、
前記コンピュータが、前記匿名要件を満たすと判定した場合、前記取得した匿名化データを、利用対象データの候補として選択する、
処理を行うことを特徴とする制御方法。 A control method for controlling the use of anonymized data,
The computer acquires anonymized data in which personal information data including at least one item value is anonymized according to an abstract pattern,
The computer determines whether the acquired anonymized data satisfies anonymity requirements based on k-anonymity,
When it is determined that the computer satisfies the anonymity requirement, the acquired anonymized data is selected as a candidate for use target data.
A control method characterized by performing processing . 匿名化データの利用を制御する制御プログラムであって、
少なくとも1つの項目値を含む個人情報データが抽象化パターンに従って匿名化された匿名化データを取得し、
前記取得した匿名化データがk−匿名性に基づく匿名要件を満たすか否かを判定し、
前記匿名要件を満たすと判定した場合、前記取得した匿名化データを、利用対象データの候補として選択する、
処理を、コンピュータに実行させる、
ことを特徴とする制御プログラム。 A control program for controlling the use of anonymized data,
Obtaining anonymized data in which personal information data including at least one item value is anonymized according to an abstraction pattern;
Determining whether the acquired anonymized data satisfies anonymity requirements based on k-anonymity,
When it is determined that the anonymity requirement is satisfied, the acquired anonymized data is selected as a candidate for use target data.
Let the computer execute the process,
A control program characterized by that.
JP2014000574A 2014-01-06 2014-01-06 Control device, control method, and control program Active JP6283519B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014000574A JP6283519B2 (en) 2014-01-06 2014-01-06 Control device, control method, and control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014000574A JP6283519B2 (en) 2014-01-06 2014-01-06 Control device, control method, and control program

Publications (2)

Publication Number Publication Date
JP2015130012A JP2015130012A (en) 2015-07-16
JP6283519B2 true JP6283519B2 (en) 2018-02-21

Family

ID=53760705

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014000574A Active JP6283519B2 (en) 2014-01-06 2014-01-06 Control device, control method, and control program

Country Status (1)

Country Link
JP (1) JP6283519B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107831512A (en) * 2017-10-30 2018-03-23 南京大学 A kind of location privacy protection method of MSB AGPS positioning

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107111616A (en) 2014-09-26 2017-08-29 上海贝尔股份有限公司 The secret protection of third party's data sharing

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005346248A (en) * 2004-06-01 2005-12-15 Mpo:Kk Information mediation method and device
JP5454262B2 (en) * 2010-03-18 2014-03-26 富士通株式会社 Privacy protection device, privacy protection method, privacy protection program, and life log management system
JP2014229039A (en) * 2013-05-22 2014-12-08 株式会社日立製作所 Privacy protection type data provision system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107831512A (en) * 2017-10-30 2018-03-23 南京大学 A kind of location privacy protection method of MSB AGPS positioning

Also Published As

Publication number Publication date
JP2015130012A (en) 2015-07-16

Similar Documents

Publication Publication Date Title
Kokolakis Privacy attitudes and privacy behaviour: A review of current research on the privacy paradox phenomenon
Zendehdel et al. Students’ online purchasing behavior in Malaysia: Understanding online shopping attitude
Onah et al. Out-of-pocket payments, health care access and utilisation in south-eastern Nigeria: a gender perspective
Sinaiko How do quality information and cost affect patient choice of provider in a tiered network setting? Results from a survey
JP6060298B1 (en) Information distribution apparatus, information distribution method, and information distribution program
Kushwaha et al. Investigating privacy paradox: Consumer data privacy behavioural intention and disclosure behaviour
Sherwood et al. HIV/AIDS National Strategic Plans of Sub-Saharan African countries: an analysis for gender equality and sex-disaggregated HIV targets
US10325252B2 (en) Payment management apparatus, payment management method, and storage medium
Ly et al. The economic transition of health in Africa: a call for progressive pragmatism to shape the future of health financing
Trkman et al. The roles of privacy concerns and trust in voluntary use of governmental proximity tracing applications
Anderson et al. Mapping of health communication and education strategies addressing the public health dangers of illicit online pharmacies
Morton “All my mates have got it, so it must be okay”: Constructing a Richer Understanding of Privacy Concerns—An Exploratory Focus Group Study
US20170213283A1 (en) Device and a computer software for provisioning a user with requested services
Whittaker et al. “I have only checked after the event”: Consumer approaches to safe online shopping
Murray Procurement fraud vulnerability: a case study
JP6283519B2 (en) Control device, control method, and control program
Mu et al. Structural changes in human mobility under the zero-COVID strategy in China
WO2016160318A1 (en) Systems and methods for generating donations from payment account transactions
KR102469802B1 (en) A method for providing product sales information based on product evaluation, and apparatus and system thereof
JP7156934B2 (en) Information processing method, program and information processing device
Htat et al. A total market approach for condoms in Myanmar: the need for the private, public and socially marketed sectors to work together for a sustainable condom market for HIV prevention
Mathur et al. Convenience, Satisfaction, and Post-Purchase Behavior in India's Health Insurance Market
Deetjen et al. Internet use and health: Connecting secondary data through spatial microsimulation
JP6347665B2 (en) Control device, control method, and control program
Kim Data Brokers and the Sale of Americans’ Mental Health Data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171023

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171107

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180129

R150 Certificate of patent or registration of utility model

Ref document number: 6283519

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350