JP6293003B2 - プライバシー保護装置、方法及びプログラム - Google Patents
プライバシー保護装置、方法及びプログラム Download PDFInfo
- Publication number
- JP6293003B2 JP6293003B2 JP2014140633A JP2014140633A JP6293003B2 JP 6293003 B2 JP6293003 B2 JP 6293003B2 JP 2014140633 A JP2014140633 A JP 2014140633A JP 2014140633 A JP2014140633 A JP 2014140633A JP 6293003 B2 JP6293003 B2 JP 6293003B2
- Authority
- JP
- Japan
- Prior art keywords
- processing
- quasi
- identifier
- anonymization
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、プライバシー保護装置、方法及びプログラムに関する。
従来より、データを統計処理することによって、データの有効活用が図られている。例えば、特定の病気にかかりやすい年代、性別、地域、人種といった情報を含む大量のデータが広く公開され、統計処理されて、その傾向分析や予防対策に用いられている。
このようなデータを公開する場合には、プライバシーを慎重に保護する必要があるため、そのデータの所有者が特定されないように、データの変形処理を行う必要がある。そのため、今までにも、プライバシーを保護するためのデータの変形処理に関する技術が多く開示されている。例えば、データの一部を一般化やあいまい化することにより、データを組み合わせても個人が特定されないようにする技術(例えば、k‐匿名化処理等)が開示されている(例えば、非特許文献1参照)。
Latanya Sweeney, k−anonymity: a model for protecting privacy, International Journal of Uncertainty, Fuzziness and Knowledge−Based Systems, Volume 10 Issue 5, October 2002, Pages 557 − 570.
しかしながら、従来の手法では、データ加工時に優先順位を指定することができず、データ利用者が求めるデータが欠落する可能性があった。また、従来方式では、早期の枝刈りにより最適な表が導出されないという問題があった。さらにトップダウン手法では、ボトムアップ手法に比べて無駄な処理が多いという問題点があった。そのうえ、l−多様性(l−diversity)を満たす高速な手法は無かった。また、部分匿名化には対応していなかった。さらに、出力されるテーブルの特性は限定されていた。その上、ごく少数のデータのために多数のデータが必要以上に一般化されてしまうという問題点があった。
本発明は、データ利用者が求める情報を欠落させることなく、かつ、情報のプライバシーを保護するプライバシー保護装置、方法及びプログラムを提供する。
本発明は、データ利用者に提供するデータセット(以降、テーブルという。)の加工時に、そのテーブルを構成する各属性に対して重み(重要度)を設定し、特殊な関数を用いて、加工したテーブルを評価することで、データ利用者が求める情報を可能な限り保持する。
すなわち、本発明は、トップダウン手法を実施した後、ボトムアップ手法により逆方向に変形し、さらにトップダウン手法で再度変形する、という処理を繰り返すことにより最適なテーブルを導出する。その際には、k−匿名性(k−anonymity)判定に加え、l−多様性(l−diversity)判定もしくはt−近似性(t−closeness)判定も行う。また、前処理によりトップダウン処理の欠点であった処理負荷がかかる問題を解決する。さらにトップダウン手法において評価ポイントの概算を導入し、不要な処理を削減する。そのうえ、評価ポイントが最高となったテーブルについて部分匿名化を実施することにより、さらに情報量の多いテーブルを作成する。
本発明は、評価ポイントの概算について、2種類の評価関数を用意し、選択制とすることにより異なる特性を持つテーブルを出力する。本手法により、より最適なテーブルを高速に得ることができる。
さらに、本発明は、事前サンプリング処理により一部のデータを削除することで、他のデータが必要以上に一般化されることを防止する機能を備える。
さらに、本発明は、事前サンプリング処理により一部のデータを削除することで、他のデータが必要以上に一般化されることを防止する機能を備える。
本発明の主な特徴について、重要度の入力、事前サンプリング処理、評価ポイントの算出、前処理、トップダウン処理、ボトムアップ処理、再トップダウン処理、部分匿名化処理、匿名性条件判定、及び木構造データごとに説明する
[重要度の入力]
匿名化されたテーブルの生成は、ユーザが入力した各属性の重要度に基づいて行う。重要度は、重要度ポイントの大きい順に属性の優先順位を表わし、ユーザが最も重視する属性を最上位とする。一般化処理においては、優先順位が最下位の属性から順に一般化を行い、k−匿名性を満たした段階で終了する。したがって、最上位の属性ほど、元の情報が保持される確率が高くなる。利用者は、GUIを利用して各属性に対して重要情報(sensitive information)、準識別子(quasi−identifier)、削除すべき情報、のうちどの情報であるか、及び優先順位を入力する。
なお、重要情報に指定された属性の変更は行われない。また、削除すべき情報に指定された情報は一般化の際に自動的に削除される。ユーザは、各優先順位に対して、重要度ポイント(数値)を設定する。この値は、一般化を行う属性を選択する際に使用される。
匿名化されたテーブルの生成は、ユーザが入力した各属性の重要度に基づいて行う。重要度は、重要度ポイントの大きい順に属性の優先順位を表わし、ユーザが最も重視する属性を最上位とする。一般化処理においては、優先順位が最下位の属性から順に一般化を行い、k−匿名性を満たした段階で終了する。したがって、最上位の属性ほど、元の情報が保持される確率が高くなる。利用者は、GUIを利用して各属性に対して重要情報(sensitive information)、準識別子(quasi−identifier)、削除すべき情報、のうちどの情報であるか、及び優先順位を入力する。
なお、重要情報に指定された属性の変更は行われない。また、削除すべき情報に指定された情報は一般化の際に自動的に削除される。ユーザは、各優先順位に対して、重要度ポイント(数値)を設定する。この値は、一般化を行う属性を選択する際に使用される。
[事前サンプリング処理]
k−匿名化を実施する対象属性は、上記の通り優先順位が設定されており、また属性ごとに一般化処理を行う上限が設定されているものとする。このとき、事前サンプリング処理は以下の手順で実施される。
k−匿名化を実施する対象属性は、上記の通り優先順位が設定されており、また属性ごとに一般化処理を行う上限が設定されているものとする。このとき、事前サンプリング処理は以下の手順で実施される。
(1)テーブルをk−匿名化を実施する対象属性でソートする。ソートによって対象属性の組が一致するレコードの数を数え上げることができる。
(2)対象属性の組が一致するレコードをグループ化し、グループごとのレコード数をカウントする。
(3)レコード数がM未満のグループを抽出する。Mはユーザによって設定された値である。
(4)優先順位が下位の属性から順に1段階ずつ一般化を実施する。1つの属性の一般化が終了するごとに、全てのグループがM以上のレコード数を持つようになったかどうかをチェックする。チェックを通れば終了する。全ての属性を上限まで一般化してもチェックを通らなかった場合には、次のステップに進む。
(5)ステップ(4)が終了した時点で、M未満のグループに所属するレコードは全て削除する。すなわち、元のテーブルからこのレコードを削除した後のテーブルで以降の匿名化処理を実施する。
(2)対象属性の組が一致するレコードをグループ化し、グループごとのレコード数をカウントする。
(3)レコード数がM未満のグループを抽出する。Mはユーザによって設定された値である。
(4)優先順位が下位の属性から順に1段階ずつ一般化を実施する。1つの属性の一般化が終了するごとに、全てのグループがM以上のレコード数を持つようになったかどうかをチェックする。チェックを通れば終了する。全ての属性を上限まで一般化してもチェックを通らなかった場合には、次のステップに進む。
(5)ステップ(4)が終了した時点で、M未満のグループに所属するレコードは全て削除する。すなわち、元のテーブルからこのレコードを削除した後のテーブルで以降の匿名化処理を実施する。
[評価ポイントの算出]
評価ポイントを算出する評価関数として以下の2種類の関数を用いる。
評価ポイントを算出する評価関数として以下の2種類の関数を用いる。
上記の2つの評価関数を選択する方式とすることにより、以下のような異なる特性を持つテーブルを出力できるようにする。
数式1の評価関数は、準識別子の属性値の種類数の変化と、準識別子の重要度とに依存するので、数式1の評価関数によれば、例えば、属性に偏った匿名化が可能である。
また、数式2の評価関数は、数式1の評価関数に比べて、偏りなく匿名化が可能である。
数式1の評価関数は、準識別子の属性値の種類数の変化と、準識別子の重要度とに依存するので、数式1の評価関数によれば、例えば、属性に偏った匿名化が可能である。
また、数式2の評価関数は、数式1の評価関数に比べて、偏りなく匿名化が可能である。
さらに、νを順序の代わりに、エントロピーを用いることで、さらに特性の異なるテーブルを導出することも可能である。
次に、テーブルの加工について説明する。
テーブルは、属性ごとに、準識別子か重要情報かを決め、テーブルを全ての準識別子からなる部分と、全ての重要情報からなる部分に分割する。
テーブルは、属性ごとに、準識別子か重要情報かを決め、テーブルを全ての準識別子からなる部分と、全ての重要情報からなる部分に分割する。
[前処理]
前処理では、それぞれの属性単体を、単体で(k+l)−匿名性を満たすように一般化する。lは、システムのパラメータとする。また、属性によってユーザが一般化の限界レベルを設定しているものについては、その限界レベルを超えて一般化はしない。
また、属性単体で(k+l)−匿名性を満たすように一般化したレコードが、k−匿名性(準識別子の属性値が全て等しいレコードがk個以上)を満たさなければ、各属性を1レベルだけ一般化して再度チェックを行う。この場合も、ユーザが設定した限界レベルを超えて一般化はせず、他の属性を一般化することで、k−匿名性を達成する。
前処理では、それぞれの属性単体を、単体で(k+l)−匿名性を満たすように一般化する。lは、システムのパラメータとする。また、属性によってユーザが一般化の限界レベルを設定しているものについては、その限界レベルを超えて一般化はしない。
また、属性単体で(k+l)−匿名性を満たすように一般化したレコードが、k−匿名性(準識別子の属性値が全て等しいレコードがk個以上)を満たさなければ、各属性を1レベルだけ一般化して再度チェックを行う。この場合も、ユーザが設定した限界レベルを超えて一般化はせず、他の属性を一般化することで、k−匿名性を達成する。
[トップダウン処理]
トップダウン処理は、以下の手順で行う。
トップダウン処理は、以下の手順で行う。
(1)まず、当該テーブルに対してソートを行い、全ての準識別子の属性値が一致するレコードを集めてグループ化を行う。
(2)次に、ユーザによって入力された属性の優先順位情報と、k−匿名性及びl−多様性判定からのフィードバック結果とを基に、詳細化を行う属性及びグループを選択する。具体的には、ユーザによって入力された優先順位が高い(例えば、重要度が大きい)属性から順に詳細化してトップダウン候補データを作成する。
その際には、各属性に対して、詳細化を行った場合に取り得る属性の種類の個数と、ユーザによって入力された優先順位(例えば、重要度が大きい順)情報とから、詳細化による評価ポイントの増加分を概算する。この概算結果が大きい順から、詳細化の対象とする。
また、可能性のある詳細化を順番に行ってトップダウン候補データを作成する際に、直前の詳細化を行ったトップダウン候補データの評価ポイントに対して、概算した評価ポイントの増加を考慮しても次に行う詳細化が評価ポイントの上で上回れない場合には、残りの詳細化手順によるトップダウン候補データの作成は行わない。
また、可能性のある詳細化を順番に行ってトップダウン候補データを作成する際に、直前の詳細化を行ったトップダウン候補データの評価ポイントに対して、概算した評価ポイントの増加を考慮しても次に行う詳細化が評価ポイントの上で上回れない場合には、残りの詳細化手順によるトップダウン候補データの作成は行わない。
(3)次に、選択したグループの詳細化を行い、k−匿名性及びl−多様性判定をする。具体的には、選択したグループについて、優先順位の高い(例えば、重要度が大きい)属性から順に詳細化(1レベル高い詳細化)を全ての属性について行い、候補データを作成する。
(3−1)k−匿名性及びl−多様性を満たす場合、トップダウン候補データについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。k−匿名性及びl−多様性を満たしたトップダウン候補データ及びその評価ポイントを保存する。
トップダウン候補データのうち、最も評価ポイントが大きいものを次の処理対象データとして、(1)から(3)の処理を繰り返す。
(3−2)k−匿名性及びl−多様性を満たさなくなった場合、k−匿名性及びl−多様性を満たさなくなった候補データの中から最も評価ポイントが大きいものをボトムアップ処理に受け渡す。
(3−1)k−匿名性及びl−多様性を満たす場合、トップダウン候補データについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。k−匿名性及びl−多様性を満たしたトップダウン候補データ及びその評価ポイントを保存する。
トップダウン候補データのうち、最も評価ポイントが大きいものを次の処理対象データとして、(1)から(3)の処理を繰り返す。
(3−2)k−匿名性及びl−多様性を満たさなくなった場合、k−匿名性及びl−多様性を満たさなくなった候補データの中から最も評価ポイントが大きいものをボトムアップ処理に受け渡す。
[ボトムアップ処理]
ボトムアップ処理は、以下の手順で行う。
ボトムアップ処理は、以下の手順で行う。
(1)トップダウン処理から渡された候補データについて、一般化を行い、ボトムアップ候補データを作成し、k−匿名性及びl−多様性判定をする。
(1−1)k−匿名性及びl−多様性を満たす場合、ボトムアップ候補データについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。評価ポイントを比較し、トップダウン処理において保存されたトップダウン候補データの評価ポイントも含めて最大の評価ポイントを得た候補データを匿名テーブルとして保存する。そして、その匿名テーブルを再トップダウン処理に受け渡す。
(1−1)k−匿名性及びl−多様性を満たす場合、ボトムアップ候補データについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。評価ポイントを比較し、トップダウン処理において保存されたトップダウン候補データの評価ポイントも含めて最大の評価ポイントを得た候補データを匿名テーブルとして保存する。そして、その匿名テーブルを再トップダウン処理に受け渡す。
(1−2)k−匿名性及びl−多様性を満たさない場合、ボトムアップ候補データの中から、上記の保存した匿名テーブルよりも評価ポイントが大きく、かつ、ボトムアップ候補データの中で評価ポイントが最も大きいものを選択し、再度ボトムアップ処理を行い同様の判定を行う。
全てのボトムアップ候補データがk−匿名性及びl−多様性を満たさず、かつ、現在保存されている匿名テーブルの評価ポイントを上回ることができない場合には、保存されている匿名テーブルをトップダウン処理に渡して終了する。
なお、ユーザが属性に対して一般化レベル限界を設定していた場合には、それを超えて一般化は行わない。
なお、ユーザが属性に対して一般化レベル限界を設定していた場合には、それを超えて一般化は行わない。
[再トップダウン処理]
再トップダウン処理は、トップダウン処理とほぼ同様の手順で行う。
ボトムアップ処理から渡された候補データの詳細化を行う。詳細化を行ったトップダウン候補データのうち、k−匿名性及びl−多様性判定に合格したトップダウン候補データについては、各属性の属性値の数を算出し、評価ポイントを導出する。トップダウン候補データのうち、最も評価ポイントが大きいものを次の処理対象データとする。そしてk−匿名性及びl−多様性を満たさなくなるまで、k−匿名性及びl−多様性を満たしたトップダウン候補データ及びその評価ポイントを保存しながら、トップダウン処理を繰り返す。k−匿名性及びl−多様性を満たさなくなった場合、k−匿名性及びl−多様性を満たさなくなった候補データの中から最も評価ポイントが大きいものをボトムアップ処理に受け渡す。
なお、この場合も、評価ポイントが最も大きいトップダウン候補データは、現在保存されている匿名テーブルの評価ポイントよりも評価ポイントが大きくなければならない。現在保存されている匿名テーブルの評価ポイントを上回ることができない場合には、保存されている匿名テーブルを部分匿名化処理に渡して終了する。
再トップダウン処理は、トップダウン処理とほぼ同様の手順で行う。
ボトムアップ処理から渡された候補データの詳細化を行う。詳細化を行ったトップダウン候補データのうち、k−匿名性及びl−多様性判定に合格したトップダウン候補データについては、各属性の属性値の数を算出し、評価ポイントを導出する。トップダウン候補データのうち、最も評価ポイントが大きいものを次の処理対象データとする。そしてk−匿名性及びl−多様性を満たさなくなるまで、k−匿名性及びl−多様性を満たしたトップダウン候補データ及びその評価ポイントを保存しながら、トップダウン処理を繰り返す。k−匿名性及びl−多様性を満たさなくなった場合、k−匿名性及びl−多様性を満たさなくなった候補データの中から最も評価ポイントが大きいものをボトムアップ処理に受け渡す。
なお、この場合も、評価ポイントが最も大きいトップダウン候補データは、現在保存されている匿名テーブルの評価ポイントよりも評価ポイントが大きくなければならない。現在保存されている匿名テーブルの評価ポイントを上回ることができない場合には、保存されている匿名テーブルを部分匿名化処理に渡して終了する。
[部分匿名化処理]
部分匿名化処理とは、各属性の詳細化(トップダウン)を一律に行うのではなく、細かいクラスタに分割し、各クラスタがk−匿名性及びl−多様性を満たすように詳細化処理を行う手法である。具体的には、準識別子から構成される属性値の組をグループ化し、クラスタとする。このクラスタ単位で、k−匿名性及びl−多様性を満たすように詳細化処理を実行する。各属性が単純木で構成されている場合、互いのクラスタは独立集合であることが保証されるので、各クラスタが、k−匿名性及びl−多様性を満たす限り、この処理によって、全体のk−匿名性及びl−多様性が失われることは無い。したがって、本プロセスでは、詳細化処理のみを行うので、実行によって、評価ポイントが必ず増加することを保証できる。したがって、評価ポイントの算出を省略することにより高速化できる。また、本プロセスはオプションとし、ユーザが望まない場合には処理を省略することも可能とする。最終的に得られたテーブルを匿名テーブル出力に渡して終了する。
部分匿名化処理とは、各属性の詳細化(トップダウン)を一律に行うのではなく、細かいクラスタに分割し、各クラスタがk−匿名性及びl−多様性を満たすように詳細化処理を行う手法である。具体的には、準識別子から構成される属性値の組をグループ化し、クラスタとする。このクラスタ単位で、k−匿名性及びl−多様性を満たすように詳細化処理を実行する。各属性が単純木で構成されている場合、互いのクラスタは独立集合であることが保証されるので、各クラスタが、k−匿名性及びl−多様性を満たす限り、この処理によって、全体のk−匿名性及びl−多様性が失われることは無い。したがって、本プロセスでは、詳細化処理のみを行うので、実行によって、評価ポイントが必ず増加することを保証できる。したがって、評価ポイントの算出を省略することにより高速化できる。また、本プロセスはオプションとし、ユーザが望まない場合には処理を省略することも可能とする。最終的に得られたテーブルを匿名テーブル出力に渡して終了する。
[匿名性条件判定]
k−匿名性及びl−多様性判定では、入力されたテーブルの全ての準識別子から構成される情報がk−匿名性を満たし、かつ、全ての重要情報から構成される情報がl−多様性もしくはt−近似性を満たすかどうか判定し、満たす場合はテーブルを匿名テーブル出力に受け渡す。満たさない場合、満たさなかったグループをフィードバック情報としてトップダウン処理、ボトムアップ処理、再トップダウン処理に返す。以下の表1に各判定条件を示す。
k−匿名性及びl−多様性判定では、入力されたテーブルの全ての準識別子から構成される情報がk−匿名性を満たし、かつ、全ての重要情報から構成される情報がl−多様性もしくはt−近似性を満たすかどうか判定し、満たす場合はテーブルを匿名テーブル出力に受け渡す。満たさない場合、満たさなかったグループをフィードバック情報としてトップダウン処理、ボトムアップ処理、再トップダウン処理に返す。以下の表1に各判定条件を示す。
匿名テーブル出力は、受け取ったテーブルを成形して出力する。受け取ったテーブルはテーブルそのものではなく、各属性の一般化のレベルで与えられている場合がある。このときには、元のテーブルも読み込み、各属性について与えられたレベルによる一般化を行った後出力する。
候補テーブルについて評価ポイントが一致した場合は、優先順位が高い順から属性を見ていき、一般化のレベルが低い方の候補テーブルを採用する。
[木構造データ]
属性が数値データではない場合、属性値の持つ意味の包含関係によって構築された木構造が、属性の一般化又は詳細化のための上位又は下位ノード探索のために必要である。例えば図3のように、年齢について、レベル0(L0)からレベル3(L3)、といった属性値の上下関係によって構成された階層構造を事前に作成しておく必要がある。したがって、各属性に対してこのような木構造データをユーザが設定可能とする。数値データに関しては一定の値ごとに階層化できるため、木構造データは必ずしも必要ではない。なお、木構造データの構成に関して既存のソフトウェアが使用できる場合は、使用してもよい。また、木構造データは各レベルのノード数を情報として含む。
属性が数値データではない場合、属性値の持つ意味の包含関係によって構築された木構造が、属性の一般化又は詳細化のための上位又は下位ノード探索のために必要である。例えば図3のように、年齢について、レベル0(L0)からレベル3(L3)、といった属性値の上下関係によって構成された階層構造を事前に作成しておく必要がある。したがって、各属性に対してこのような木構造データをユーザが設定可能とする。数値データに関しては一定の値ごとに階層化できるため、木構造データは必ずしも必要ではない。なお、木構造データの構成に関して既存のソフトウェアが使用できる場合は、使用してもよい。また、木構造データは各レベルのノード数を情報として含む。
具体的には、以下のような解決手段を提供する。
(1) 複数の属性から成るレコードであって前記属性のうち組み合わせると個人を特定することが可能な準識別子を含む複数の前記レコードから構成されるテーブルについて匿名化を行うプライバシー保護装置であって、前記テーブルについて、前記準識別子ごとに、その準識別子の属性値の一般化を行うための限度を表わす上限を設定する上限設定手段と、前記準識別子について設定された前記上限まで一般化を行い、全ての前記準識別子の属性値が一致するレコードを集めたグループについて、そのグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出し、抽出した前記特定のグループに含まれるレコードを、一般化を行う前の元の前記テーブルから削除する事前処理を行う事前処理手段と、前記事前処理手段によって前記事前処理がされた後の前記テーブルについて、匿名化を行う匿名化処理手段と、を備えるプライバシー保護装置。
(1) 複数の属性から成るレコードであって前記属性のうち組み合わせると個人を特定することが可能な準識別子を含む複数の前記レコードから構成されるテーブルについて匿名化を行うプライバシー保護装置であって、前記テーブルについて、前記準識別子ごとに、その準識別子の属性値の一般化を行うための限度を表わす上限を設定する上限設定手段と、前記準識別子について設定された前記上限まで一般化を行い、全ての前記準識別子の属性値が一致するレコードを集めたグループについて、そのグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出し、抽出した前記特定のグループに含まれるレコードを、一般化を行う前の元の前記テーブルから削除する事前処理を行う事前処理手段と、前記事前処理手段によって前記事前処理がされた後の前記テーブルについて、匿名化を行う匿名化処理手段と、を備えるプライバシー保護装置。
(1)の構成によれば、(1)に係るプライバシー保護装置は、テーブルについて、準識別子ごとに、その準識別子の属性値の一般化を行うための限度を表わす上限を設定し、準識別子について設定された上限まで一般化を行い、全ての準識別子の属性値が一致するレコードを集めたグループについて、そのグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出し、抽出した特定のグループに含まれるレコードを、一般化を行う前の元のテーブルから削除する事前処理を行い、事前処理がされた後のテーブルについて、匿名化を行う。
すなわち、(1)に係るプライバシー保護装置は、グループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出し、個人を特定する可能性が高いユニークな属性値を有するグループに含まれるレコードを元のテーブルから削除する。
したがって、(1)に係るプライバシー保護装置は、データ利用者が求める情報を欠落させることなく、かつ、情報のプライバシーを保護することができる。特に、事前処理により、個人を特定する可能性が高いユニークな属性値を有する一部のデータを削除することで、プライバシーを保護するために他のデータが必要以上に一般化されることを防止し、データ利用者が求める情報を欠落させないようにすることができる。
したがって、(1)に係るプライバシー保護装置は、データ利用者が求める情報を欠落させることなく、かつ、情報のプライバシーを保護することができる。特に、事前処理により、個人を特定する可能性が高いユニークな属性値を有する一部のデータを削除することで、プライバシーを保護するために他のデータが必要以上に一般化されることを防止し、データ利用者が求める情報を欠落させないようにすることができる。
(2) 前記事前処理手段は、前記準識別子ごとに前記上限まで一般化を行う各段階において全ての前記グループが所定のレコード数以上のレコードを含むと判断した場合に処理を終了する、(1)に記載のプライバシー保護装置。
したがって、(2)に係るプライバシー保護装置は、より最適なテーブルを得るための事前処理を高速に終了させることができる。
(3) 匿名化が行われた後の前記テーブルを利用する利用者の要求条件に基づいて、前記属性を、匿名化のために削除する識別子と、前記準識別子と、匿名化のための加工をしない重要情報とのいずれかに設定する属性設定手段と、前記属性設定手段によって設定された前記属性に基づいて前記事前処理手段によって事前処理された前記テーブルについて、前記準識別子ごとの属性値の一般化を行い、前記準識別子ごとにおいて所定の数値の匿名性を満たす前記テーブルを作成する前処理手段と、一般化のルールを階層構造として表わす一般化階層構造に基づいて、トップダウン処理による詳細化を行って前記テーブルを加工するトップダウン処理手段と、前記一般化階層構造に基づいて、ボトムアップ処理による一般化を行って前記テーブルを加工するボトムアップ処理手段と、前記テーブルを評価するための評価ポイントを評価関数により算出する評価ポイント算出手段と、全ての前記準識別子を組み合わせてk−匿名性を満たしているか否かと、前記重要情報においてl−多様性を満たしているか否かとについて判定する匿名化判定手段と、をさらに備え、前記匿名化処理手段は、前記前処理手段によって作成された前記テーブルについて、前記トップダウン処理手段による処理と前記ボトムアップ処理手段による処理とを、繰り返し、前記匿名化判定手段によってk−匿名性及びl−多様性を満たしていると判定された前記テーブルのうち、前記評価ポイント算出手段によって算出された前記評価ポイントが最大の前記テーブルを生成する、(1)又は(2)に記載のプライバシー保護装置。
したがって、(3)に係るプライバシー保護装置は、k−匿名性とl−多様性の両方を満たし、可能な限り最適なテーブルを高速に生成し、データ利用者が求める情報を欠落させることなく、かつ、情報のプライバシーを保護することができる。
(4) 前記準識別子に設定された属性ごとに、前記準識別子同士の相対的な重要性を表わす重要度を設定する重要度設定手段をさらに備え、前記評価関数は、設定された前記重要度を用いた数式1又は数式2で表わされ、いずれかが選択される、(3)に記載のプライバシー保護装置。
したがって、(4)に係るプライバシー保護装置は、データ利用者が求める情報によって評価関数を選択することにより、データ利用者が求める情報を欠落させることが、さらにないようにすることができる。
(5) 前記評価関数の前記重要度としてエントロピーを用いる、(4)に記載のプライバシー保護装置。
したがって、(5)に係るプライバシー保護装置は、データ利用者が求める情報に適した重要度を用いた評価関数により、データ利用者が求める情報を欠落させることが、さらにないようにすることができる。
(6) 前記準識別子の属性値の組み合わせに基づいてクラスタを形成し、形成した前記クラスタごとに、k−匿名性及びl−多様性を満たすように前記準識別子の一般化を行って、匿名化を行う部分匿名化処理手段をさらに備え、前記匿名化処理手段は、生成した前記テーブルを、前記部分匿名化処理手段によってさらに匿名化を行う、(1)から(5)のいずれかに記載のプライバシー保護装置。
したがって、(6)に係るプライバシー保護装置は、データ利用者が求める情報を部分匿名化により欠落させることなく、かつ、情報のプライバシーを保護することができる。
(7) (1)に記載にプライバシー保護装置が実行する方法であって、前記上限設定手段が、前記テーブルについて、前記準識別子ごとに、その準識別子の属性値の一般化を行うための限度を表わす上限を設定する上限設定ステップと、前記事前処理手段が、前記準識別子について設定された前記上限まで一般化を行い、全ての前記準識別子の属性値が一致するレコードを集めたグループについて、そのグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出し、抽出した前記特定のグループに含まれるレコードを、一般化を行う前の元の前記テーブルから削除する事前処理を行う事前処理ステップと、前記匿名化処理手段が、前記事前処理ステップによって前記事前処理がされた後の前記テーブルについて、匿名化を行う匿名化処理ステップと、を備える方法。
したがって、(7)に係る方法は、(1)と同様に、データ利用者が求める情報を欠落させることなく、かつ、情報のプライバシーを保護することができる。
(8) コンピュータに、(7)に記載の方法の各ステップを実行させるためのプログラム。
したがって、(8)に係るプログラムは、コンピュータに、データ利用者が求める情報を欠落させることなく、かつ、情報のプライバシーを保護することができるようにさせることができる。
本発明によれば、データ利用者が求める情報を欠落させることなく、かつ、情報のプライバシーを保護することができる。
また、k−匿名性とl−多様性の両方を満たし、可能な限り最適なテーブルを高速に導出する。最適なテーブルとして、部分匿名化も導入することで、より情報量が多いテーブルを得る。さらに、評価点計算をある程度自動化し、ユーザの負荷を軽減する。その上、事前サンプリングにより一部のデータを削除することで、他のデータが必要以上に一般化されることを防止する。
また、k−匿名性とl−多様性の両方を満たし、可能な限り最適なテーブルを高速に導出する。最適なテーブルとして、部分匿名化も導入することで、より情報量が多いテーブルを得る。さらに、評価点計算をある程度自動化し、ユーザの負荷を軽減する。その上、事前サンプリングにより一部のデータを削除することで、他のデータが必要以上に一般化されることを防止する。
以下、本発明の実施形態について、図を参照しながら説明する。
図1は、本発明の一実施形態に係るプライバシー保護装置10の構成を示すブロック図である。プライバシー保護装置10は、複数の属性から成るレコードであって属性のうち組み合わせると個人を特定することが可能な準識別子を含む複数のレコードから構成されるテーブルについて匿名化を行う。プライバシー保護装置10は、設定手段11(上限設定手段111、属性設定手段112及び重要度設定手段113)と、事前処理手段12と、匿名化処理手段13と、前処理手段131と、トップダウン処理手段132と、ボトムアップ処理手段133と、評価ポイント算出手段134と、匿名化判定手段135と、部分匿名化処理手段136とを備えている。各手段ごとに説明する。
図1は、本発明の一実施形態に係るプライバシー保護装置10の構成を示すブロック図である。プライバシー保護装置10は、複数の属性から成るレコードであって属性のうち組み合わせると個人を特定することが可能な準識別子を含む複数のレコードから構成されるテーブルについて匿名化を行う。プライバシー保護装置10は、設定手段11(上限設定手段111、属性設定手段112及び重要度設定手段113)と、事前処理手段12と、匿名化処理手段13と、前処理手段131と、トップダウン処理手段132と、ボトムアップ処理手段133と、評価ポイント算出手段134と、匿名化判定手段135と、部分匿名化処理手段136とを備えている。各手段ごとに説明する。
上限設定手段111は、テーブルについて、準識別子ごとに、その準識別子の属性値の一般化を行うための限度を表わす上限を設定する。
属性設定手段112は、匿名化が行われた後のテーブルを利用する利用者の要求条件に基づいて、属性を、匿名化のために削除する識別子と、準識別子と、匿名化のための加工をしない重要情報とのいずれかに設定する。
重要度設定手段113は、準識別子に設定された属性ごとに、準識別子同士の相対的な重要性を表わす重要度を設定する。
図2は、本発明の一実施形態に係るプライバシー保護装置10によって加工されるテーブルの例を示す図である。図2に示されるように、テーブルは、上限設定手段111によって準識別子ごとに、一般化を行うための限度(例えば、年齢についてL1、出身地についてL3等)が設定され、属性設定手段112によって、属性は削除される識別子と、準識別子と、重要情報とのいずれかに設定され、重要度設定手段113によって準識別子ごとに重要度(例えば、年齢についてQ1(例えば、優先順位が9位)、出身地についてQ3(例えば、優先順位が5位)等)が設定されている。
属性設定手段112は、匿名化が行われた後のテーブルを利用する利用者の要求条件に基づいて、属性を、匿名化のために削除する識別子と、準識別子と、匿名化のための加工をしない重要情報とのいずれかに設定する。
重要度設定手段113は、準識別子に設定された属性ごとに、準識別子同士の相対的な重要性を表わす重要度を設定する。
図2は、本発明の一実施形態に係るプライバシー保護装置10によって加工されるテーブルの例を示す図である。図2に示されるように、テーブルは、上限設定手段111によって準識別子ごとに、一般化を行うための限度(例えば、年齢についてL1、出身地についてL3等)が設定され、属性設定手段112によって、属性は削除される識別子と、準識別子と、重要情報とのいずれかに設定され、重要度設定手段113によって準識別子ごとに重要度(例えば、年齢についてQ1(例えば、優先順位が9位)、出身地についてQ3(例えば、優先順位が5位)等)が設定されている。
事前処理手段12は、準識別子について設定された上限まで一般化を行い、全ての準識別子の属性値が一致するレコードを集めたグループについて、そのグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出し、抽出した特定のグループに含まれるレコードを、一般化を行う前の元のテーブルから削除する事前処理を行う。
事前処理手段12は、準識別子ごとに上限まで一般化を行う各段階において全てのグループが所定のレコード数以上のレコードを含むと判断した場合に処理を終了する。
次に、前処理手段131、トップダウン処理手段132、ボトムアップ処理手段133、評価ポイント算出手段134、匿名化判定手段135、及び部分匿名化処理手段136をさらに備えた場合の匿名化処理手段13による最適なテーブルの生成について説明する。
事前処理手段12は、準識別子ごとに上限まで一般化を行う各段階において全てのグループが所定のレコード数以上のレコードを含むと判断した場合に処理を終了する。
次に、前処理手段131、トップダウン処理手段132、ボトムアップ処理手段133、評価ポイント算出手段134、匿名化判定手段135、及び部分匿名化処理手段136をさらに備えた場合の匿名化処理手段13による最適なテーブルの生成について説明する。
前処理手段131は、属性設定手段112によって設定された属性に基づいて事前処理手段12によって事前処理されたテーブルについて、準識別子ごとの属性値の一般化を行い、準識別子ごとにおいて所定の数値の匿名性を満たすテーブルを作成する。具体的には、前処理手段131は、テーブルについて、属性単体で(k+l)−匿名性を満たすように一般化する。lは、システムのパラメータである。前処理手段131は、属性ごとの一般化の限界レベル内で、一般化をする。
前処理手段131は、属性単体で(k+l)−匿名性を満たすように一般化したレコードが、k−匿名性(準識別子の属性値が全て等しいレコードがk個以上)を満たさなければ、各属性を1レベルだけ一般化して再度チェックを行う。この場合も、ユーザが設定した限界レベルを超えて一般化はせず、他の属性を一般化することで、k−匿名性を達成する。
前処理手段131は、属性単体で(k+l)−匿名性を満たすように一般化したレコードが、k−匿名性(準識別子の属性値が全て等しいレコードがk個以上)を満たさなければ、各属性を1レベルだけ一般化して再度チェックを行う。この場合も、ユーザが設定した限界レベルを超えて一般化はせず、他の属性を一般化することで、k−匿名性を達成する。
トップダウン処理手段132は、一般化のルールを階層構造として表わす一般化階層構造に基づいて、トップダウン処理による詳細化を行ってテーブルを加工する。
図3は、本発明の一実施形態に係るプライバシー保護装置10による属性値の階層化の例を示す図である。図3に示すように、例えば、年齢について、一般化又は詳細化のための階層構造が設定されている。
図4は、本発明の一実施形態に係るプライバシー保護装置10によるトップダウン処理又はボトムアップ処理を説明するための図である。図4が示すように、トップダウン処理手段132は、一般化階層構造(例えば、図3)に基づいて、トップダウン処理による詳細化を行う。そして、トップダウン処理手段132は、候補データを作成し、k−匿名性及びl−多様性を満たした候補データ及びその評価ポイントを保存しておくと共に、k−匿名性及びl−多様性を満たさなくなった候補データの中から最も評価ポイントが大きいものを抽出する。
図3は、本発明の一実施形態に係るプライバシー保護装置10による属性値の階層化の例を示す図である。図3に示すように、例えば、年齢について、一般化又は詳細化のための階層構造が設定されている。
図4は、本発明の一実施形態に係るプライバシー保護装置10によるトップダウン処理又はボトムアップ処理を説明するための図である。図4が示すように、トップダウン処理手段132は、一般化階層構造(例えば、図3)に基づいて、トップダウン処理による詳細化を行う。そして、トップダウン処理手段132は、候補データを作成し、k−匿名性及びl−多様性を満たした候補データ及びその評価ポイントを保存しておくと共に、k−匿名性及びl−多様性を満たさなくなった候補データの中から最も評価ポイントが大きいものを抽出する。
ボトムアップ処理手段133は、一般化階層構造に基づいて、ボトムアップ処理による一般化を行ってテーブルを加工する。図4が示すように、ボトムアップ処理手段133は、一般化階層構造(例えば、図3)に基づいて、一般化を行う。
具体的には、ボトムアップ処理手段133は、トップダウン処理から渡された候補データについて、一般化を行い、k−匿名性及びl−多様性を満たす場合、ボトムアップ候補データについて、評価ポイントを算出し、算出した評価ポイントを比較し、トップダウン処理において保存されたトップダウン候補データの評価ポイントも含めて最大の評価ポイントを得た候補データを匿名テーブルとして保存し、その匿名テーブルを再度、トップダウン処理に受け渡す。
具体的には、ボトムアップ処理手段133は、トップダウン処理から渡された候補データについて、一般化を行い、k−匿名性及びl−多様性を満たす場合、ボトムアップ候補データについて、評価ポイントを算出し、算出した評価ポイントを比較し、トップダウン処理において保存されたトップダウン候補データの評価ポイントも含めて最大の評価ポイントを得た候補データを匿名テーブルとして保存し、その匿名テーブルを再度、トップダウン処理に受け渡す。
評価ポイント算出手段134は、テーブルを評価するための評価ポイントを評価関数により算出する。
評価関数は、設定された重要度を用いた数式1又は数式2で表わされ、いずれかが選択される。
評価関数は、設定された重要度を用いた数式1又は数式2で表わされ、いずれかが選択される。
匿名化判定手段135は、全ての準識別子を組み合わせてk−匿名性を満たしているか否かと、重要情報においてl−多様性を満たしているか否かとについて判定する。匿名化判定手段135は、上述の表1のように表わされる匿名性条件判定によって、判定する。
匿名化処理手段13は、事前処理手段12によって事前処理がされた後のテーブルについて、前処理手段131によりテーブルを作成し、作成したテーブルについて、トップダウン処理手段132による処理とボトムアップ処理手段133による処理とを、繰り返す。
図5は、本発明の一実施形態に係るプライバシー保護装置10によるトップダウン処理とボトムアップ処理との繰り返しを説明するための図である。
図5が示すように、匿名化処理手段13は、トップダウン処理手段132により、k−匿名性を満たさなくなるまで詳細化を行ったトップダウン候補データを作成し、作成したトップダウン候補データのうち評価ポイントが最大の候補データについて、ボトムアップ処理手段133により、k−匿名性を満たすようになるまで一般化を行い、最適なテーブルを生成する。
このように、匿名化処理手段13は、匿名化判定手段135によってk−匿名性及びl−多様性を満たしていると判定されたテーブルのうち、評価ポイント算出手段134によって算出された評価ポイントが最大のテーブルを生成する。
図5は、本発明の一実施形態に係るプライバシー保護装置10によるトップダウン処理とボトムアップ処理との繰り返しを説明するための図である。
図5が示すように、匿名化処理手段13は、トップダウン処理手段132により、k−匿名性を満たさなくなるまで詳細化を行ったトップダウン候補データを作成し、作成したトップダウン候補データのうち評価ポイントが最大の候補データについて、ボトムアップ処理手段133により、k−匿名性を満たすようになるまで一般化を行い、最適なテーブルを生成する。
このように、匿名化処理手段13は、匿名化判定手段135によってk−匿名性及びl−多様性を満たしていると判定されたテーブルのうち、評価ポイント算出手段134によって算出された評価ポイントが最大のテーブルを生成する。
匿名化処理手段13は、生成したテーブルを、部分匿名化処理手段136によってさらに匿名化を行う。
部分匿名化処理手段136は、準識別子の属性値の組み合わせに基づいてクラスタを形成し、形成したクラスタごとに、k−匿名性及びl−多様性を満たすように準識別子の一般化を行って、匿名化を行う。
部分匿名化処理手段136は、準識別子の属性値の組み合わせに基づいてクラスタを形成し、形成したクラスタごとに、k−匿名性及びl−多様性を満たすように準識別子の一般化を行って、匿名化を行う。
図6は、本発明の一実施形態に係るプライバシー保護装置10の処理を示すフローチャートである。プライバシー保護装置10は、コンピュータ及びその周辺装置が備えるハードウェア並びに該ハードウェアを制御するソフトウェアによって構成され、以下の処理は、制御部(例えば、CPU)が、OSの下で所定のソフトウェアに従い実行する処理である。
ステップS101において、CPU(上限設定手段111、属性設定手段112、重要度設定手段113)は、設定処理をする。より具体的には、CPUは、属性について削除される識別子と、準識別子と、重要情報とのいずれかに設定し、設定された準識別子ごとに、一般化を行うための限度を設定し、準識別子ごとに重要度(優先順位)を設定する。
ステップS102において、CPU(事前処理手段12)は、事前処理(図7で示される処理)を実行する。
ステップS103において、CPU(前処理手段131)は、前処理をする。より具体的には、CPUは、テーブルについて、属性単体で(k+l)−匿名性を満たすように一般化する。
ステップS104において、CPU(匿名化処理手段13)は、匿名化処理(図8で示される処理)を実行する。
ステップS105において、CPU(部分匿名化処理手段136)は、部分匿名化処理をする。より具体的には、CPUは、準識別子の属性値の組み合わせに基づいてクラスタを形成し、形成したクラスタごとに、k−匿名性及びl−多様性を満たすように準識別子の一般化を行って、匿名化を行う。
ステップS106において、CPUは、作成されたテーブルを成形して出力する。その後、CPUは、処理を終了する。
図7は、本発明の一実施形態に係るプライバシー保護装置10の事前処理を示すフローチャートである。
ステップS201において、CPU(事前処理手段12)は、属性値が全て等しいレコードごとにグループ化する。
ステップS202において、CPU(事前処理手段12)は、グループごとのレコード数を算出する。
ステップS203において、CPU(事前処理手段12)は、グループごとのレコード数が所定のレコード数以上か否かを判断する。この判断がYESの場合、CPUは、処理をステップS103に戻し、この判断がNOの場合、CPUは、処理をステップS204に移す。
ステップS204において、CPU(事前処理手段12)は、全ての準識別子について上限まで一般化したか否かを判断する。この判断がYESの場合、CPUは、処理をステップS205に移し、この判断がNOの場合、CPUは、処理をステップS206に移す。
ステップS205において、CPU(事前処理手段12)は、所定のレコード数を含まないグループに属するレコードを元のテーブルから削除する。その後、CPUは、処理をステップS103に戻す。
ステップS206において、CPU(事前処理手段12)は、属性ごとに一段階の一般化をする。その後、CPUは、処理をステップS201に移す。
図8は、本発明の一実施形態に係るプライバシー保護装置10の匿名化処理を示すフローチャートである。
ステップS301において、CPU(匿名化処理手段13)は、準識別子の属性値が全て同じレコードをグループ化する。
ステップS302において、CPU(匿名化処理手段13)は、1つのグループを処理対象とする。
ステップS303において、CPU(匿名化処理手段13、トップダウン処理手段132)は、トップダウン処理(図9で示される処理)をする。
ステップS304において、CPU(匿名化処理手段13)は、ボトムアップ処理へ渡すべき候補テーブルが有るか否かを判断する。この判断がYESの場合、CPUは、処理をステップS305に移し、この判断がNOの場合、CPUは、処理をステップS307に移す。
ステップS305において、CPU(匿名化処理手段13、ボトムアップ処理手段133)は、ボトムアップ処理(図10で示される処理)をする。
ステップS306において、CPU(匿名化処理手段13、)は、トップダウン処理へ渡すべき候補テーブルが有るか否かを判断する。この判断がYESの場合、CPUは、処理をステップ303に移し、この判断がNOの場合、CPUは、処理をステップS307に移す。
ステップS307において、CPU(匿名化処理手段13)は、全てのグループについて終了か否かを判断する。この判断がYESの場合、CPUは、処理をステップS105に戻し、この判断がNOの場合、CPUは、処理をステップS302に移す。
図9は、本発明の一実施形態に係るプライバシー保護装置10のトップダウン処理を示すフローチャートである。
ステップS401において、CPU(トップダウン処理手段132)は、詳細化する属性の順番を求める。
ステップS402において、CPU(トップダウン処理手段132)は、1つの属性を処理対象としてセットする。
ステップS403において、CPU(トップダウン処理手段132)は、直前の属性による候補テーブルよりも評価ポイントが上回る可能性があるか否かを判断する。この判断がYESの場合、CPUは、処理をステップS404に移し、この判断がNOの場合、CPUは、処理をステップS407に移す。
ステップS404において、CPU(トップダウン処理手段132)は、各属性ごとにトップダウンによる詳細化を1段階行い、トップダウン候補テーブルを作成する。
ステップS405において、CPU(トップダウン処理手段132)は、k−匿名性及びl−多様性を満たすか否かを判断する。この判断がYESの場合、CPUは、処理をステップS406に移し、この判断がNOの場合、CPUは、処理をステップS407に移す。
ステップS406において、CPU(トップダウン処理手段132)は、候補テーブルの評価ポイントを算出し、トップダウン候補テーブルと共に記憶する。
ステップS407において、CPU(トップダウン処理手段132)は、属性について終了か否かを判断する。この判断がYESの場合、CPUは、処理をステップ408に移し、この判断がNOの場合、CPUは、処理をステップS402に移す。
ステップS408において、CPU(トップダウン処理手段132)は、k−匿名性及びl−多様性を満たすトップダウン候補テーブルがあるか否かを判断する。この判断がYESの場合、CPUは、処理をステップ409に移し、この判断がNOの場合、CPUは、処理をステップS410に移す。
ステップS409において、CPU(トップダウン処理手段132)は、算出した評価ポイントが最大のテーブルを抽出する。その後、CPUは、処理をステップS401に移す。
ステップS410において、CPU(トップダウン処理手段132)は、満たさない候補テーブルの中で評価ポイントが最大の候補テーブルを抽出してボトムアップ処理へ渡す。その後、CPUは、処理をステップS304に戻す。
図10は、本発明の一実施形態に係るプライバシー保護装置10のボトムアップ処理を示すフローチャートである。
ステップS501において、CPU(ボトムアップ処理手段133)は、トップダウン処理から出力されたテーブルを対象とする。
ステップS502において、CPU(ボトムアップ処理手段133)は、各属性ごとにボトムアップによる一般化を1段階行い、ボトムアップ候補テーブルを作成する。
ステップS503において、CPU(ボトムアップ処理手段133)は、候補テーブルの評価ポイントを算出する。
ステップS504において、CPU(ボトムアップ処理手段133)は、ボトムアップ候補データのうちk−匿名性及びl−多様性を満たす候補テーブルがあるか否かを判断する。この判断がYESの場合、CPUは、処理をステップS505に移し、この判断がNOの場合、CPUは、処理をステップS507に移す。
ステップS505において、CPU(ボトムアップ処理手段133)は、トップダウン候補テーブルを含めて、評価ポイントが最大のテーブルを匿名テーブルとして抽出し、記憶する。
ステップS506において、CPU(ボトムアップ処理手段133)は、匿名テーブルをトップダウン処理に渡す。その後、CPUは、処理をステップS306に戻す。
ステップS507において、CPU(ボトムアップ処理手段133)は、匿名テーブルがあるか否かを判断する。この判断がYESの場合、CPUは、処理をステップS508に移し、この判断がNOの場合、CPUは、処理をステップS509に移す。
ステップS508において、CPU(ボトムアップ処理手段133)は、匿名テーブルよりも評価ポイントが大きい候補テーブルを抽出する。
ステップS509において、CPU(ボトムアップ処理手段133)は、最も評価ポイントが大きい候補テーブルを抽出する。その後、CPUは、処理をステップS502に移す。
図11は、本発明の一実施形態に係るプライバシー保護装置10による事前処理がされたテーブルの例を示す図である。図11に示されるように、事前処理手段12によって抽出された特定のグループ(例えば、年齢が0才のグループ)に含まれるレコードは、一般化を行う前の元のテーブルから削除されている。
図12は、本発明の一実施形態に係るプライバシー保護装置10による前処理がされたテーブルの例を示す図である。図12に示されるように、テーブルは、属性単体で(k+l)−匿名性を満たすように一般化されている。
図13は、本発明の一実施形態に係るプライバシー保護装置10による匿名化処理がされたテーブルの例を示す図である。図13に示されるように、前処理手段131により前処理されたテーブルが、匿名化処理手段13によって、情報の欠落になるような行き過ぎた一般化が是正され、適正に匿名化されている。
図14は、本発明の一実施形態に係るプライバシー保護装置10による部分匿名化処理がされたテーブルの例を示す図である。図14に示されるように、匿名化処理手段13によって匿名化されたテーブルが、さらに、部分匿名化処理手段136によって部分匿名化され、特定のグループについてのk−匿名性及びl−多様性が適正化されている。
本実施形態によれば、プライバシー保護装置10は、テーブルについて、準識別子ごとに、その準識別子の属性値の一般化を行うための限度を表わす上限を設定し、準識別子について設定された上限まで一般化を行い、全ての準識別子の属性値が一致するレコードを集めたグループについて、そのグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出し、抽出した特定のグループに含まれるレコードを、一般化を行う前の元のテーブルから削除する事前処理を行い、事前処理がされた後のテーブルについて、匿名化を行う。
さらに、プライバシー保護装置10は、前処理によって作成されたテーブルについて、トップダウン処理による処理とボトムアップ処理による処理とを繰り返し、匿名化判定によってk−匿名性及びl−多様性を満たしていると判定されたテーブルのうち、評価関数によって算出された評価ポイントが最大のテーブルを生成する。評価関数は、設定された重要度を用いた数式1又は数式2で表わされ、いずれかが選択される。
したがって、プライバシー保護装置10は、k−匿名性とl−多様性の両方を満たし、可能な限り最適なテーブルを高速に生成すると共に、評価関数を選択して、データ利用者が求める情報を欠落させることなく、かつ、情報のプライバシーを保護したテーブルを生成することができる。
さらに、プライバシー保護装置10は、前処理によって作成されたテーブルについて、トップダウン処理による処理とボトムアップ処理による処理とを繰り返し、匿名化判定によってk−匿名性及びl−多様性を満たしていると判定されたテーブルのうち、評価関数によって算出された評価ポイントが最大のテーブルを生成する。評価関数は、設定された重要度を用いた数式1又は数式2で表わされ、いずれかが選択される。
したがって、プライバシー保護装置10は、k−匿名性とl−多様性の両方を満たし、可能な限り最適なテーブルを高速に生成すると共に、評価関数を選択して、データ利用者が求める情報を欠落させることなく、かつ、情報のプライバシーを保護したテーブルを生成することができる。
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
10 プライバシー保護装置
11 設定手段
111 上限設定手段
112 属性設定手段
113 重要度設定手段
12 事前処理手段
13 匿名化処理手段
131 前処理手段
132 トップダウン処理手段
133 ボトムアップ処理手段
134 評価ポイント算出手段
135 匿名化判定手段
136 部分匿名化処理手段
11 設定手段
111 上限設定手段
112 属性設定手段
113 重要度設定手段
12 事前処理手段
13 匿名化処理手段
131 前処理手段
132 トップダウン処理手段
133 ボトムアップ処理手段
134 評価ポイント算出手段
135 匿名化判定手段
136 部分匿名化処理手段
Claims (8)
- 複数の属性から成るレコードであって前記属性のうち組み合わせると個人を特定することが可能な準識別子を含む複数の前記レコードから構成されるテーブルについて匿名化を行うプライバシー保護装置であって、
前記テーブルについて、前記準識別子ごとに、その準識別子の属性値の一般化を行うための限度を表わす上限を設定する上限設定手段と、
前記準識別子について設定された前記上限まで一般化を行い、全ての前記準識別子の属性値が一致するレコードを集めたグループについて、そのグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出し、抽出した前記特定のグループに含まれるレコードを、一般化を行う前の元の前記テーブルから削除する事前処理を行う事前処理手段と、
前記事前処理手段によって前記事前処理がされた後の前記テーブルについて、匿名化を行う匿名化処理手段と、
を備えるプライバシー保護装置。 - 前記事前処理手段は、前記準識別子ごとに前記上限まで一般化を行う各段階において全ての前記グループが所定のレコード数以上のレコードを含むと判断した場合に処理を終了する、請求項1に記載のプライバシー保護装置。
- 匿名化が行われた後の前記テーブルを利用する利用者の要求条件に基づいて、前記属性を、匿名化のために削除する識別子と、前記準識別子と、匿名化のための加工をしない重要情報とのいずれかに設定する属性設定手段と、
前記属性設定手段によって設定された前記属性に基づいて前記事前処理手段によって事前処理された前記テーブルについて、前記準識別子ごとの属性値の一般化を行い、前記準識別子ごとにおいて所定の数値の匿名性を満たす前記テーブルを作成する前処理手段と、
一般化のルールを階層構造として表わす一般化階層構造に基づいて、トップダウン処理による詳細化を行って前記テーブルを加工するトップダウン処理手段と、
前記一般化階層構造に基づいて、ボトムアップ処理による一般化を行って前記テーブルを加工するボトムアップ処理手段と、
前記テーブルを評価するための評価ポイントを評価関数により算出する評価ポイント算出手段と、
全ての前記準識別子を組み合わせてk−匿名性を満たしているか否かと、前記重要情報においてl−多様性を満たしているか否かとについて判定する匿名化判定手段と、をさらに備え、
前記匿名化処理手段は、前記前処理手段によって作成された前記テーブルについて、前記トップダウン処理手段による処理と前記ボトムアップ処理手段による処理とを、繰り返し、前記匿名化判定手段によってk−匿名性及びl−多様性を満たしていると判定された前記テーブルのうち、前記評価ポイント算出手段によって算出された前記評価ポイントが最大の前記テーブルを生成する、
請求項1又は2に記載のプライバシー保護装置。 - 前記準識別子に設定された属性ごとに、前記準識別子同士の相対的な重要性を表わす重要度を設定する重要度設定手段をさらに備え、
前記評価関数は、設定された前記重要度を用いた数式1又は数式2で表わされ、いずれかが選択される、請求項3に記載のプライバシー保護装置。
- 前記評価関数の前記重要度としてエントロピーを用いる、請求項4に記載のプライバシー保護装置。
- 前記準識別子の属性値の組み合わせに基づいてクラスタを形成し、形成した前記クラスタごとに、k−匿名性及びl−多様性を満たすように前記準識別子の一般化を行って、匿名化を行う部分匿名化処理手段をさらに備え、
前記匿名化処理手段は、生成した前記テーブルを、前記部分匿名化処理手段によってさらに匿名化を行う、請求項1から5のいずれか一項に記載のプライバシー保護装置。 - 請求項1に記載のプライバシー保護装置が実行する方法であって、
前記上限設定手段が、前記テーブルについて、前記準識別子ごとに、その準識別子の属性値の一般化を行うための限度を表わす上限を設定する上限設定ステップと、
前記事前処理手段が、前記準識別子について設定された前記上限まで一般化を行い、全ての前記準識別子の属性値が一致するレコードを集めたグループについて、そのグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出し、抽出した前記特定のグループに含まれるレコードを、一般化を行う前の元の前記テーブルから削除する事前処理を行う事前処理ステップと、
前記匿名化処理手段が、前記事前処理ステップによって前記事前処理がされた後の前記テーブルについて、匿名化を行う匿名化処理ステップと、
を備える方法。 - コンピュータに、請求項7に記載の方法の各ステップを実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014140633A JP6293003B2 (ja) | 2014-07-08 | 2014-07-08 | プライバシー保護装置、方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014140633A JP6293003B2 (ja) | 2014-07-08 | 2014-07-08 | プライバシー保護装置、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016018379A JP2016018379A (ja) | 2016-02-01 |
| JP6293003B2 true JP6293003B2 (ja) | 2018-03-14 |
Family
ID=55233561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014140633A Active JP6293003B2 (ja) | 2014-07-08 | 2014-07-08 | プライバシー保護装置、方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6293003B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101879266B1 (ko) * | 2016-09-27 | 2018-07-17 | (주)조은아이앤에스 | 개인정보 비식별화 검증 시스템 |
| CN109983467B (zh) | 2016-11-28 | 2020-09-29 | 西门子股份公司 | 用于匿名化数据集的系统和方法 |
| KR102058030B1 (ko) * | 2017-09-20 | 2019-12-20 | 주식회사 티지360테크놀로지스 | 익명성 유지 시스템 및 그 방법 |
| US11507684B2 (en) * | 2017-10-11 | 2022-11-22 | Nippon Telegraph And Telephone Corporation | κ-anonymization device, method, and program |
| JP7154884B2 (ja) * | 2018-08-28 | 2022-10-18 | 株式会社Ye Digital | 情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システム |
| JP7242407B2 (ja) * | 2019-04-26 | 2023-03-20 | 株式会社日立製作所 | 匿名加工システム、匿名加工プログラム及び匿名加工方法 |
| JP7165795B2 (ja) * | 2020-08-31 | 2022-11-04 | 株式会社日立製作所 | データ解析システムのプライバシー保護データを生成する方法及びデバイス |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5611852B2 (ja) * | 2011-01-31 | 2014-10-22 | Kddi株式会社 | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム |
| JP5626733B2 (ja) * | 2011-10-04 | 2014-11-19 | 株式会社日立製作所 | 個人情報匿名化装置及び方法 |
| JP5782637B2 (ja) * | 2012-03-23 | 2015-09-24 | 西日本電信電話株式会社 | 属性選択装置、情報匿名化装置、属性選択方法、情報匿名化方法、属性選択プログラム、及び情報匿名化プログラム |
| JP5974858B2 (ja) * | 2012-11-27 | 2016-08-23 | 富士通株式会社 | 匿名化処理方法及び装置 |
-
2014
- 2014-07-08 JP JP2014140633A patent/JP6293003B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016018379A (ja) | 2016-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6293003B2 (ja) | プライバシー保護装置、方法及びプログラム | |
| US10679132B2 (en) | Application recommending method and apparatus | |
| JP6007969B2 (ja) | 匿名化装置及び匿名化方法 | |
| JP5611852B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| CN109983467B (zh) | 用于匿名化数据集的系统和方法 | |
| JP6413769B2 (ja) | データ秘匿装置、データ秘匿プログラムおよびデータ秘匿方法 | |
| JP5782637B2 (ja) | 属性選択装置、情報匿名化装置、属性選択方法、情報匿名化方法、属性選択プログラム、及び情報匿名化プログラム | |
| KR102490529B1 (ko) | 전주기적 비식별화 관리 장치 및 방법 | |
| JP2015114871A (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| US11550937B2 (en) | Privacy trustworthiness based API access | |
| US9250806B2 (en) | Computer-readable recording medium, information processing device, and system | |
| US11620406B2 (en) | Information processing device, information processing method, and recording medium | |
| JP7026653B2 (ja) | クラスタリング装置、クラスタリング方法及びクラスタリングプログラム | |
| JP5974858B2 (ja) | 匿名化処理方法及び装置 | |
| JP6370236B2 (ja) | プライバシー保護装置、方法及びプログラム | |
| JP2017228255A (ja) | 評価装置、評価方法及びプログラム | |
| JP2015176496A (ja) | 匿名化データにおけるリスク分析装置、方法及びプログラム | |
| JP5971115B2 (ja) | 情報処理プログラム、情報処理方法及び装置 | |
| JP6618875B2 (ja) | 評価装置、評価方法及び評価プログラム | |
| WO2014112045A1 (ja) | 秘匿化データ生成方法及び装置 | |
| JP2016009196A (ja) | 匿名化装置、匿名化方法及び匿名化プログラム | |
| CN109739367A (zh) | 候选词列表生成方法及装置 | |
| JP6437842B2 (ja) | プライバシー保護装置、方法及びプログラム | |
| JP6486865B2 (ja) | データ撹乱装置、データ撹乱方法、データ撹乱プログラム | |
| EP4060542B1 (en) | System and method for data anonymization using optimization techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170118 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171110 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171121 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180110 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180130 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180213 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6293003 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |