JP6310112B2 - Information processing system, information processing method, and information processing program - Google Patents
Information processing system, information processing method, and information processing program Download PDFInfo
- Publication number
- JP6310112B2 JP6310112B2 JP2017074001A JP2017074001A JP6310112B2 JP 6310112 B2 JP6310112 B2 JP 6310112B2 JP 2017074001 A JP2017074001 A JP 2017074001A JP 2017074001 A JP2017074001 A JP 2017074001A JP 6310112 B2 JP6310112 B2 JP 6310112B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- information processing
- test
- anonymous
- distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 110
- 238000003672 processing method Methods 0.000 title claims description 6
- 238000012360 testing method Methods 0.000 claims description 72
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 47
- 238000011156 evaluation Methods 0.000 description 33
- 238000012545 processing Methods 0.000 description 31
- 238000007726 management method Methods 0.000 description 24
- 238000004891 communication Methods 0.000 description 23
- 238000000034 method Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 238000001514 detection method Methods 0.000 description 11
- 230000005856 abnormality Effects 0.000 description 8
- 238000009825 accumulation Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 6
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 201000010099 disease Diseases 0.000 description 5
- 206010020772 Hypertension Diseases 0.000 description 4
- 238000003745 diagnosis Methods 0.000 description 4
- 239000003814 drug Substances 0.000 description 4
- 239000007787 solid Substances 0.000 description 4
- 206010052428 Wound Diseases 0.000 description 3
- 208000027418 Wounds and injury Diseases 0.000 description 3
- LFQSCWFLJHTTHZ-UHFFFAOYSA-N Ethanol Chemical compound CCO LFQSCWFLJHTTHZ-UHFFFAOYSA-N 0.000 description 2
- 208000017899 Foot injury Diseases 0.000 description 2
- 206010061225 Limb injury Diseases 0.000 description 2
- 241000208125 Nicotiana Species 0.000 description 2
- 235000002637 Nicotiana tabacum Nutrition 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000001356 surgical procedure Methods 0.000 description 2
- 206010016970 Foot fracture Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 208000006673 asthma Diseases 0.000 description 1
- 235000019504 cigarettes Nutrition 0.000 description 1
- 230000006735 deficit Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000001631 hypertensive effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 235000012054 meals Nutrition 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000029305 taxis Effects 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、個人情報を匿名化又は多様化して利用する技術に関する。 The present invention relates to a technique for using personal information by making it anonymous or diversified.
情報処理技術の発展に伴い、日常の多くの場面で情報が収集され、この収集された情報を用いた処理が行われている。例えば、消費者が店舗の会員となって商品を購入する場合、会員登録時に消費者の氏名、年齢、性別、住所、メールアドレス等を登録することが多い。そして、消費者が商品を購入すると、店舗側のシステムが、この消費者と購入した商品の情報を対応付けて記録する。このように購入した商品の情報を蓄積して分析すると、当該消費者の嗜好が推定でき、この消費者が好む新商品が発売されたような場合にダイレクトメールを発送するといったサービスを行うことができる。更に、多くの消費者の情報について分析することで、例えば、20代女性の好む商品や関東エリアで好まれる商品といった分類した消費者の情報を導くことができ、マーケティング等に利用される。 With the development of information processing technology, information is collected in many everyday situations, and processing using the collected information is performed. For example, when a consumer purchases a product as a member of a store, the consumer's name, age, gender, address, e-mail address, etc. are often registered at the time of membership registration. When a consumer purchases a product, the store-side system records the consumer and the purchased product information in association with each other. By accumulating and analyzing information on purchased products in this way, it is possible to estimate the consumer's preferences and perform a service such as sending a direct mail when a new product preferred by the consumer is released. it can. Furthermore, by analyzing information on many consumers, classified consumer information such as products preferred by women in their 20s and products preferred in the Kanto area can be derived and used for marketing and the like.
これらの情報は、当該店舗だけでなく、商品を製造するメーカや、他の企業にとっても利用価値が高く、例えば広告やクーポン等のレコメンドに用いたいという要求があった。 Such information has high utility value not only for the store but also for the manufacturer of the product and other companies, and there has been a demand to use it for recommendations such as advertisements and coupons.
しかし、店舗が有する消費者の個人情報を各消費者の許諾を得ずに、他者へ提供することはできない。同様に医療機関等で患者が診療を受けた際の情報(診療情報)を利用したいという要求があるが、機微情報でもある診療情報を各患者の許諾を得ずに、他者へ提供することはできない。 However, the consumer's personal information in the store cannot be provided to others without obtaining the consent of each consumer. Similarly, there is a request to use information (medical care information) when a patient has received medical care at a medical institution, etc., but providing medical information that is also sensitive information to another person without obtaining the consent of each patient. I can't.
このため個人から収集した情報を匿名化して他の事業者等に提供し、他の事業者からの広告を各個人へ仲介するシステムが提案されている。例えば、特開2005−346248号公報(特許文献5)では、診療情報(個人特定情報及び診断結果情報)から氏名等を除外して匿名化個人情報とし、匿名化個人情報を登録事業者に提供し、登録事業者から前記匿名化個人情報に対する広告メールを受け付け、当該広告メールを匿名化個人情報と対応する各個人のメールアドレス宛てに転送する情報仲介装置が提案されている。 For this reason, a system has been proposed in which information collected from individuals is anonymized and provided to other businesses and the like, and advertisements from other businesses are mediated to each individual. For example, in Japanese Patent Laid-Open No. 2005-346248 (Patent Document 5), anonymized personal information is provided to a registered business operator by excluding a name from medical information (personal identification information and diagnosis result information). In addition, an information mediating apparatus that accepts an advertisement mail for the anonymized personal information from a registered company and forwards the advertisement mail to each individual mail address corresponding to the anonymized personal information has been proposed.
特許文献5のシステムは、氏名等を除外することで、匿名化を行っているが、単に氏名を伏せるだけでは、匿名化が不十分な場合がある。
The system of
例えば、年齢と病名が記載されているデータに25歳で病名Xの人が一人だけであると、25歳の知人がその病名Xの患者であることを知った時点で、その人を特定できることになる。即ち、25歳で病名Xという属性を持つ人が一人だけであると、他の情報と照らし合わせることで、個人を特定できる可能性が高い。 For example, if the age and disease name data is 25 years old and there is only one person with the disease name X, the person can be identified when he / she knows that the 25-year-old acquaintance is a patient with the disease name X become. That is, if there is only one person with the attribute of disease name X at the age of 25, there is a high possibility that an individual can be identified by comparing with other information.
そこで、患者データの年齢の記載を10歳区切りに抽象化し、20代で病名Xの人が3人のように同じ属性を持つ人が複数人となるようにすれば、3人のうちの誰であるかを特定できなくなる。このように同じ属性を持つ人がk人以上いる状態を、「k-匿名性」を満たすと称し、そのようにデータを加工することを「k-匿名化」と称する。 Therefore, if the age description in the patient data is abstracted into 10-year breaks and there are multiple people with the same attributes, such as three people in their 20s who have a disease name X, whoever of the three It becomes impossible to specify whether or not. A state in which there are k or more people having the same attribute in this way is referred to as “k-anonymity” and processing such data is referred to as “k-anonymization”.
従来の匿名化を行う装置では、k-匿名性を満たすように各項目の値を抽象化する場合、単に同じ属性値が複数となるようにデータを区切るため、例え匿名性を満たしても利用価値の無いデータとなってしまうことがある。例えば、発育の研究をするためにデータを利用する場合、年齢の項目は重要であり、匿名化のために年齢の項目を抽象化し過ぎると、利用価値が無くなってしまう。この場合、操作者が抽象化する項目の優先度を指定し、年齢の項目の抽象化を少なくし、年齢以外の項目を抽象化することでk-匿名性を満たすようにする。また、匿名化のため、年齢の項目を17歳以上22歳未満のように区切ると、同一グループに成年と未成年が混在したり、高校生と社会人が混在したりすることになり、利用目的によっては価値の無いデータになってしまう。この場合、操作者が利用目的に応じて年齢の項目の区切りを指定し、他の項目を抽象化することで匿名性を満たすようにする。 In conventional anonymization devices, when abstracting the value of each item to satisfy k-anonymity, data is simply separated so that the same attribute value becomes multiple, so even if anonymity is satisfied Sometimes it becomes worthless data. For example, when data is used to study growth, the age item is important, and if the age item is too abstract for anonymization, the utility value is lost. In this case, the operator specifies the priority of the items to be abstracted, reduces the abstraction of the items of age, and satisfies the k-anonymity by abstracting items other than the age. For anonymization, if the age item is divided into 17 years old or older and less than 22 years old, adults and minors may be mixed in the same group, and high school students and adults may be mixed. Depending on the situation, it will be worthless data. In this case, the operator specifies the age item separator according to the purpose of use, and abstracts other items so as to satisfy anonymity.
このように従来の匿名化を行う装置でk-匿名化を行った場合、操作者の判断を必要とする機会が多く、実用的ではなかった。 As described above, when k-anonymization is performed by a conventional anonymization apparatus, there are many occasions that require an operator's judgment, which is not practical.
従って、個人情報を従来の装置で機械的に匿名化して外部へ出力し、広告やクーポン等のレコメンドに利用するシステムでは、k-匿名性を満たすような匿名化を行うことができず、充分な匿名化が行われていなかった。 Therefore, a system that anonymizes personal information mechanically with a conventional device and outputs it to the outside and uses it for recommendations such as advertisements and coupons cannot be anonymized so as to satisfy k-anonymity. Anonymization was not performed.
そこで本発明は、個人の情報を充分に匿名化し、匿名化したデータを前記個人と他の事業者との間の情報配信に利用可能にする技術を提供する。 Therefore, the present invention provides a technology for sufficiently anonymizing personal information and making the anonymized data available for information distribution between the individual and another business operator.
上記課題を解決するため、本発明の情報処理装置は、
個人と対応付けられた複数の項目を含む対象データを受信するデータ受付部と、
前記対象データ中の項目の値である語を抽象化した語に替えて抽象化候補データを生成する抽象化部と、
前記抽象化候補データに含まれる語の価値を受信し、前記抽象化候補データに含まれる語の価値に基づいて当該抽象化候補データの価値を求める価値判定部と、
前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定する検定部と、
前記検定の条件を満たした抽象化候補データの価値に基づいて選択した抽象化候補データを匿名情報として出力する出力部と、
前記匿名情報の特定の値に対する配信情報を受信する配信情報受信部と、
前記特定の値と対応する個人に対して前記配信情報を配信する配信部と、
を備える。
In order to solve the above problems, an information processing apparatus of the present invention provides:
A data receiving unit that receives target data including a plurality of items associated with an individual;
An abstraction unit that generates abstraction candidate data by replacing a word that is a value of an item in the target data with an abstracted word;
A value determination unit that receives the value of the word included in the abstraction candidate data and obtains the value of the abstraction candidate data based on the value of the word included in the abstraction candidate data;
A test unit that tests on condition that a combination of values of items of the abstraction candidate data is not limited to one individual of the target data;
An output unit that outputs the abstraction candidate data selected based on the value of the abstraction candidate data satisfying the test condition as anonymous information;
A distribution information receiving unit for receiving distribution information for a specific value of the anonymous information;
A distribution unit that distributes the distribution information to an individual corresponding to the specific value;
Is provided.
また、上記課題を解決するため、本発明の情報処理方法は、
個人と対応付けられた複数の項目を含む対象データを受信するステップと、
前記対象データ中の項目の値である語を抽象化した語に替えて抽象化候補データを生成するステップと、
前記抽象化候補データに含まれる語の価値を受信し、前記抽象化候補データに含まれる語の価値に基づいて当該抽象化候補データの価値を求めるステップと、
前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定するステップと、
前記検定の条件を満たした抽象化候補データの価値に基づいて抽象化候補データを選択するステップと
前記抽象化データの特定の値に対する配信情報を受信するステップと、
前記特定の値と対応する個人に対して前記配信情報を配信するステップと、
をコンピュータが実行する。
In order to solve the above-mentioned problem, an information processing method according to the present invention includes:
Receiving target data including a plurality of items associated with an individual;
Generating abstract candidate data by replacing words that are values of items in the target data with abstract words;
Receiving the value of the word included in the abstraction candidate data, and determining the value of the abstraction candidate data based on the value of the word included in the abstraction candidate data;
Testing a condition that a combination of values of the abstraction candidate data items is not limited to one individual of the target data;
Selecting abstraction candidate data based on the value of abstraction candidate data satisfying the test condition; receiving distribution information for a specific value of the abstraction data;
Delivering the delivery information to an individual corresponding to the specific value;
Is executed by the computer.
また、本発明は、上記方法をコンピュータに実行させるためのプログラムであっても良い。更に、前記プログラムは、コンピュータが読み取り可能な記録媒体に記録されていても良い。 The present invention may be a program for causing a computer to execute the above method. Furthermore, the program may be recorded on a computer-readable recording medium.
ここで、コンピュータが読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記録媒体をいう。このような記録媒体の内コンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD-ROM、CD-R/W、DVD、DAT、8mmテープ、メモリカード等がある。 Here, the computer-readable recording medium refers to a recording medium that accumulates information such as data and programs by electrical, magnetic, optical, mechanical, or chemical action and can be read from the computer. . Examples of such a recording medium that can be removed from the computer include a flexible disk, a magneto-optical disk, a CD-ROM, a CD-R / W, a DVD, a DAT, an 8 mm tape, and a memory card.
また、コンピュータに固定された記録媒体としてハードディスクやROM(リードオンリーメモリ)等がある。 Further, there are a hard disk, a ROM (read only memory), and the like as a recording medium fixed to the computer.
本発明は、個人の情報を充分に匿名化し、匿名化したデータを前記個人と他の事業者との間の情報配信に利用可能にする技術を提供できる。 The present invention can provide a technique for sufficiently anonymizing personal information and making the anonymized data available for information distribution between the individual and another business operator.
以下、図面を参照して本発明を実施するための形態について説明する。以下の実施の形態の構成は例示であり、本発明は実施の形態の構成に限定されない。 Hereinafter, embodiments for carrying out the present invention will be described with reference to the drawings. The configuration of the following embodiment is an exemplification, and the present invention is not limited to the configuration of the embodiment.
〈実施形態1〉
図1は匿名化処理の説明図、図2は情報処理システムの機能ブロック図である。
<
FIG. 1 is an explanatory diagram of anonymization processing, and FIG. 2 is a functional block diagram of the information processing system.
図1(A)は、姓、年齢、性別の項目を含む会員情報から姓の項目を削除した例を示す。図1(A)に示すように年齢が記載されている会員情報に16歳の女性が一人だけであると、16歳の女性が、この会員であることが分かった時点で、その人を特定できる。即ち、16歳・女性という属性を持つ人が一人だけであると、他の情報と照らし合わせることで、個人を特定できる可能性がある。 FIG. 1A shows an example in which the last name item is deleted from the member information including the last name, age, and gender items. As shown in Fig. 1 (A), if there is only one 16-year-old woman in the member information in which the age is described, when the 16-year-old woman is found to be this member, the person is identified. it can. That is, if there is only one person with the attribute of 16 years old and female, there is a possibility that an individual can be identified by comparing with other information.
図1(B)では、会員リストの年齢の記載を抽象化し、0代(10歳未満)、10代、20代のように年代別とした。しかし、この場合でも10代女性は一人だけであり、図1(A)と同様に個人が特定できてしまい匿名化としては不十分である。 In FIG. 1 (B), the description of the age in the member list is abstracted and classified by age, such as 0's (under 10 years), 10's, and 20's. However, even in this case, there is only one female teenager, and an individual can be identified as in FIG. 1A, which is insufficient for anonymization.
そこで、図1(C)では、更に抽象化し、10代以下(19歳以下)と20代のように年代の区切りを変更した。図1(C)の場合、10代以下の女性が2人であり、[10代以下]及び[女性]という属性が単一では無くなる。このため前述のように16歳の女性が、この会員であることが分かったとしても、どちらが当該16歳女性のデータであるかは特定できない。このように同じ属性を持つ人がk人以上いる状態を、「k-匿名性」を満たすと称し、そのようにデータを加工することを「k-匿名化」と称する。 Therefore, in FIG. 1 (C), it was further abstracted and the age divisions were changed to those in their teens (under 19 years old) and those in their 20s. In the case of FIG. 1C, there are two women in their teens or less, and the attributes of “10 or less” and [female] are not single. For this reason, even if it turns out that a 16-year-old woman is this member as mentioned above, it cannot be specified which is the data of the 16-year-old woman. A state in which there are k or more people having the same attribute in this way is referred to as “k-anonymity” and processing such data is referred to as “k-anonymization”.
図2に示すように情報処理システム100は、病院情報システム(HIS:Hospital Information System)10や、匿名価値評価システム20、配信情報管理システム30を
有する。病院情報システム10は、病院や健診センター等の医療機関に設けられ、治療や診断を受ける者(以下単に患者又はユーザと称す)の医療情報(個人情報)を管理するシステムである。匿名価値評価システム20は、検索エンジン40で検索に用いられたキーワードの統計情報に基づいて抽象化した語の価値を求め、この抽象化した語で構成される匿名情報の価値を算出するシステムである。配信情報管理システム30は、匿名情報を他の事業者(配信情報の発信者)へ提供及び当該事業者から匿名情報に対する配信情報を受信し、各患者に配信するシステムである。
As shown in FIG. 2, the
本実施形態1の情報処理システム100は、病院情報システム10が、医療情報を抽象化して複数の抽象化候補データ(以下単に抽象化候補とも称す)とした場合の価値を匿名価値評価システム20から取得し、この抽象化後の価値に基づいて選択した抽象化候補を匿名情報とし、配信情報管理システム30を介して他の事業者に提供する。そして、情報処理システム100は、他の事業者の端末50から当該匿名情報に対する広告やクーポン等の配信情報を受信して、この配信情報を当該匿名情報に対応する各個人宛てに出力する。
The
このように本実施形態1の情報処理システム100は、医療情報を匿名情報として他の事業者へ提供し、当該匿名情報に基づき特定の属性情報を持つ個人、例えば血圧が高い、介護が必要等といった属性情報を持つ個人をターゲットとした配信情報を他の事業者から受信し、この配信情報と対応する属性情報を持つ個人へ仲介することにより、各個人の匿名性を保ったまま配信情報を配信できる。即ち、情報処理システム100は、医療情報(個人情報)を他の事業者が広告等の配信に利用できるようにしている。
As described above, the
病院情報システム10は、患者の来院時に受け付けを行う受付機101や、患者に係る医療情報を入出力する入出力端末102、入出力端末102から入力された医療情報を管理する病院情報サーバ103を有する。
The
受付機101は、患者の診察券を読み取る読取装置や、受付番号を記載した受付レシートを印刷出力するプリンタを備える情報処理装置である。
The accepting
入出力端末102は、パーソナルコンピュータ等の情報処理装置であり、患者のカルテ(診療記録)を病院情報サーバ103から読み出して表示出力する表示部や、医師の診断結果や検査結果、薬の処方、検査のオーダ等の医療情報を入力する入力部を有している。
The input /
また、入出力端末102は、会計の処理を行う端末や、調剤の受け付けを行う端末として用いられても良い。
Further, the input /
病院情報サーバ103は、医療情報DB(データベース)19、匿名情報DB18、データ更新部15、データ受付部16、出力制御部17等の機能部を備えている。
The
データ受付部16は、個人と対応付けられた複数の項目を含む対象データを医療情報DB19から読み出し(取得し)、匿名情報DB18に記憶させる。
The
データ更新部15は、匿名情報DB18に記憶させた対象データ(個人情報)の各項目の値を後述の抽象化候補に基づいて抽象化した値に更新することにより、対象データを匿名情報とする。
The
出力制御部17は、配信情報管理システム30から受信した配信情報を患者に対して出力させる。ここで、配信情報の出力とは、表示装置による表示出力や、プリンタによる印刷出力、他の装置への送信、記憶媒体への書き込み等である。例えば、出力制御部17は、配信情報を受付機101に送信し、受付機101のプリンタによって受付レシートに配信情報を印刷させる。本実施形態において出力制御部17は、配信情報を患者(個人)へ配信する配信部の一形態である。
The
これに限らず、患者に対する出力は、受付機101のコントロールパネル(不図示)への表示出力や、会計時のレシートや予約票への印刷出力、会計を行う端末(不図示)のディスプレイへの表示出力、当該患者のメールアドレス宛てに電子メールを送信することであっても良い。また、患者への出力とは、当該患者が配信情報を受け取ることができれば、当該患者のみに限定して出力することに限らず、患者を含む不特定の人に対して出力することでも良い。
The output to the patient is not limited to this. The output to the control panel (not shown) of the accepting
例えば、当該患者が会計を待っている間に待合室に設置したデジタルサイネージに広告を表示出力することや、当該患者が薬局で調剤を依頼した際に、薬局内に広告を音声出力することでも良い。なお、配信情報は、上記出力方法によって出力可能な形式のデータであれば良く、例えば、テキスト、画像、動画、音データ等であっても良い。 For example, it may be possible to display and output an advertisement on digital signage installed in a waiting room while the patient is waiting for payment, or to output an advertisement in the pharmacy when the patient requests dispensing at the pharmacy. . The distribution information may be data in a format that can be output by the above output method, and may be, for example, text, an image, a moving image, sound data, or the like.
医療情報DB19は、入出力端末102によって入力された各患者の医療情報を記憶する。この医療情報は、例えば患者の診察時に入出力端末102によって読み出され、電子カルテとして利用される。また、医療情報DB19の医療情報は、データ受付部16によって匿名化の対象データとして読み出される。
The
匿名情報DB18は、個人情報(対象データ)が入力され、データ更新部15により抽象化候補に基づいて対象データの各項目の値が、抽象化した値に書き換えられ、匿名情報として保持する。なお、匿名情報DB18は、個人情報のうち、メールアドレスやFAX番号等の宛先情報を匿名情報と対応付けて保持しておき、出力制御部17が、配信情報の配信先として読み出せるようにしても良い。
The
また、匿名価値評価システム20は、抽象化部11、検定部13、選択部14、価値データ取得部21、価値判定部22、ワードカテゴリ分析部23、価値計算部24、検索情報蓄積DB25等の機能部を備えている。
The anonymous
抽象化部11は、対象データを匿名化或いは多様化する際に、対象データ中の項目の値であるワード(語)を抽象化したワードに替えて抽象化候補を生成する。本実施形態においてワード(語)は、単語や句など、一まとまりの言葉であり、位置情報や電話番号等の数値、メールアドレスやIPアドレス等の識別情報、言葉と同様の意味を持つ記号等を含んでも良い。
When the target data is anonymized or diversified, the
検定部13は、抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されない、即ち抽象化候補の一個人と対応する項目の値の組み合わせが、当該抽象化候補中で単一でないことを条件として検定する。例えば検定部13は、抽象化候補がk−匿名性を満たしているかを検定する。
The
選択部14は、前記検定の条件を満たした抽象化候補を匿名価値評価システム20で算出した価値に基づいて抽象化候補を選択する。例えば、選択部14は、k−匿名性を満たした複数の抽象化候補から価値が高い順に所定数の抽象化候補を選択する。
The
価値データ取得部21は、抽象化候補に含まれるワードの価値データを検索情報蓄積DBから取得(受信)する。また、価値データ取得部21は、検索情報蓄積DB25に前記ワードの価値データが登録されていない場合に、他の装置例えば検索エンジン40にリクエストし、取得した価値データを検索情報蓄積DB25に登録する機能(データリクエスト)や、定期的に他の装置を巡回して最新の価値データを取得し、検索情報蓄積DB25に登録されている価値データを更新する機能(データクローラ)を有する。
The value
本実施形態では、この価値データとして検索エンジン40から各ワードの統計情報を受信する。ここで、各ワードの統計情報は、例えばSEM(Search Engine Marketing)の
広告単価(クリック単価)や、クリック率、平均掲載順位、1日の表示回数、1日のクリック数等である。なお、価値の取得先は、検索エンジンに限らず、ウェブページやSNS等であっても良い。この場合、例えばウェブページやSNSにおける各ワードの使用頻度を価値としても良い。
In this embodiment, the statistical information of each word is received from the
価値判定部22は、抽象化候補に含まれるワードの価値に基づいて当該抽象化候補の価値を求め、病院情報サーバ103に通知する。
The
ワードカテゴリ分析部23は、ウェブサイト等のデータを分析して、新規のワードや、当該ワードを抽象化したワード(カテゴリ)を求め、検索情報蓄積DBに登録する。
The word
価値計算部24は、価値データ取得部21で取得したワードの価値に基づき、ワードの価値の年平均や月平均、週平均など、ワードの価値の統計情報を求める。
Based on the value of the word acquired by the value
検索情報蓄積DB25は、価値データ取得部21で取得したワードの価値や、ワードカテゴリ分析部23で求めたワードやカテゴリの情報、価値計算部24で求めた価値の統計情報などを記憶する。
The search
また、配信情報管理システム30は、匿名データ出力部31、配信データ受付部(配信情報受信部)32、モラルDB33を備えている。
The distribution
匿名データ出力部31は、病院情報サーバ103の匿名情報DB18から匿名情報を読み出して他の事業者の端末50へ送信する。ここで端末50への送信は、各端末50のアドレス宛てに電子メール等を送信するものでも良いし、匿名情報をウェブページとして提供するものでも良い。
The anonymous
例えば、他の事業者が要求する情報の条件(以下、要求条件とも称す)を端末50から受信した場合に、匿名データ出力部31が、この要求条件と適合し、且つモラルDB33のモラルに抵触しない匿名情報を匿名情報DB18から読み出して電子メール等で送信する。
For example, when an information condition requested by another business operator (hereinafter also referred to as a request condition) is received from the terminal 50, the anonymous
また、匿名データ出力部31は、端末50からの閲覧要求に対して、匿名情報が記載されたウェブページ、即ちHTML等で記述されたファイルをレスポンスとして返信するものでも良い。
Further, the anonymous
配信データ受付部32は、他の事業者の端末50から前記匿名情報の特定の属性値に対する配信情報を受信し、この配信情報を病院情報サーバ103に送信する。
The distribution
また、図2中、検索エンジン40は、インターネット等のネットワーク上に存在する情報の検索機能を提供するサイト(コンピュータ)である。即ち、検索エンジン40は、ユーザ端末から検索するキーワードを受信すると、このキーワードを含むウェブページのURL等のリストを検索結果として提供し、ユーザ端末に表示させる。
In FIG. 2, a
また、検索エンジン40は、この検索機能を利用し、検索結果にキーワードと連動した広告を表示させることや、キーワードに応じた広告料を支払ったスポンサーサイトへのリンクを表示させることも行う。この広告料は、例えば各キーワードの価値(各ワードの統計情報)を提示し、各キーワードに対する入札(広告オークション)によって決定する。このため、検索エンジン40は、検索されたワード毎に、1日の検索回数(表示回数)、検索結果の広告がクリックされた回数(クリック数)、1クリック当たりの広告料(クリック単価)等をワードの統計情報として記憶する。
In addition, the
また、これらの情報に基づき、検索エンジン40は、表示回数をクリック数で除したクリック率や、1日のクリック数にクリック単価を乗じた値(1日の費用)、広告の申し込み時(広告オークション時)に提示した費用に応じた広告の掲載順位等も求める。
Also, based on this information, the
検索エンジン40は、匿名価値評価システム20に対し、上記クリック数、表示回数、掲載順位、1日の費用、クリック率、クリック単価等の情報を提供するデータ出力部41や、これらワードに関する情報を記憶する検索ワード蓄積DB42を備える。
The
図3は病院情報サーバ103のハードウェア構成を示す図である。病院情報サーバ10
3は、演算処理部1、通信制御部3、記憶装置4、入出力インタフェース5を有する所謂情報処理装置(コンピュータ)である。
FIG. 3 is a diagram illustrating a hardware configuration of the
演算処理部1は、CPUやメインメモリを有し、CPUが、メインメモリに実行可能に展開されたプログラムを実行することで、前述のデータ更新部15、データ受付部16、出力制御部17の機能を提供する。
The
メインメモリは、主記憶装置ということもできる。メインメモリは、例えば、CPUが実行するプログラムや、通信制御部3を介して受信したデータ、記憶装置4から読み出したデータ、その他のデータ等を記憶する。
The main memory can also be called a main storage device. The main memory stores, for example, a program executed by the CPU, data received via the
通信制御部3は、ネットワークを介して他の装置、例えば受付機101や入出力端末102と接続し、当該装置との通信を制御する。
The
入出力インタフェース5は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。ドライブ装置は、着脱可能な記憶媒体の読み書き装置であり、例えば、フラッシュメモリカードの入出力装置、USBメモリを接続するUSBのアダプタ等である。また、着脱可能な記憶媒体は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、ブルーレイディスク(Blu-ray Disc(登録商標))等のディスク媒体であってもよい。ドライブ装置は、着脱可能な記憶媒体からプログラムを読み出し、記憶装置4に格納させる。
The input /
記憶装置4は、外部記憶装置(補助記憶装置)ということもできる。記憶装置4としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置4は、ドライブ
装置との間で、データを授受する。例えば、記憶装置4は、ドライブ装置からインストールされる情報処理プログラム等を記憶する。また、記憶装置4は、プログラムやデータが演算処理部1により読み出されて、メインメモリに引き渡す。本実施形態では、記憶装置4が前述の医療情報DB19や匿名情報DB18を格納している。
The
なお、受付機101、入出力端末102についても基本的なハードウェア構成は、図3と同様であり、受付機101、入出力端末102は、演算処理部、通信制御部、記憶装置、入出力インタフェースを有する情報処理装置である。例えば、受付機101は、入出力インタフェースに診察券の読取装置が接続され、演算処理部が読取装置を制御して診察券から患者の識別情報(患者ID)を読み取り、通信制御部を介して病院情報サーバ103へ送信する。また、受付機101は、入出力インタフェースにプリンタが接続され、受付番号と配信情報を印刷したレシートを出力する。
Note that the basic hardware configuration of the accepting
入出力端末102は、演算処理部が通信制御部を介して病院情報サーバ103から患者の医療情報を読み出して表示装置に表示させると共に、医師がキーボードやマウスを操作して診察の結果を入力し、通信制御部を介して病院情報サーバ103へ送信して医療情報DB19に記憶させる。
In the input /
図4は医療情報DB19の一例を示す図である。図4の医療情報DB19は、医療情報として、患者毎に、患者ID、氏名、年齢、性別、メールアドレス、診療履歴の項目を夫々対応付けて記憶している。
FIG. 4 is a diagram illustrating an example of the
患者IDは、患者を一意に識別する情報であり、例えば診察券番号や保険証の番号などである。 The patient ID is information for uniquely identifying a patient, and is, for example, an examination ticket number or an insurance card number.
メールアドレスは、患者の連絡先を示す情報であり、電話番号や住所などでも良い。 The e-mail address is information indicating the contact information of the patient, and may be a telephone number or an address.
診療履歴は、過去の診療の内容を診療日と共に記録した履歴情報であり、図4では直近の3回分の診療内容を示している。なお、診療履歴は、全ての履歴が記録されたものでも良いし、一部の履歴(例えば所定期間の履歴)を抽出したものでも良い。また、診療の内容は、傷病の名称、傷病の部位、受診した科(内科・外科等)、検査結果、処方された薬の名称などを含んでも良い。 The medical history is history information in which the contents of past medical care are recorded together with the medical treatment date, and FIG. 4 shows the contents of medical treatment for the latest three times. It should be noted that the medical history may be one in which the entire history is recorded, or a part of history (for example, history for a predetermined period) may be extracted. The contents of medical care may include the name of the wound, the site of the wound, the department (internal medicine, surgery, etc.), the examination result, the name of the prescribed medicine, and the like.
図5は匿名情報DB18の一例を示す図であり、図5(A)は対象データを書き込んだ直後の例を示す図、図5(B)は匿名化後の例を示す図である。図5(B)に示すように匿名情報DB18では、匿名情報IDや、年齢層、診療履歴を匿名情報とし、患者IDと対応付けて記憶している。ここで、匿名情報IDは、匿名化処理毎に各患者の匿名情報に割り当てる識別情報である。匿名情報IDは、匿名化情報にのみ付与され、他の処理では使用されないため、匿名情報IDが匿名情報の各レコードへ個別に付与されても他の情報と照合して個人が特定されることは無い。
FIG. 5 is a diagram illustrating an example of the
図6は匿名価値評価システム20の概略構成図である。匿名価値評価システム20は、演算処理部201、通信制御部203、記憶装置204、入出力インタフェース205を有する所謂情報処理装置(コンピュータ)である。
FIG. 6 is a schematic configuration diagram of the anonymous
演算処理部201は、CPUやメインメモリを有し、CPUが、メインメモリに実行可能に展開されたプログラムを実行することで、前述の抽象化部11、検定部13、選択部14、価値データ取得部21、価値判定部22、ワードカテゴリ分析部23、価値計算部24の機能を提供する。
The
メインメモリは、主記憶装置ということもできる。メインメモリは、例えば、CPUが実行するプログラムや、通信制御部203を介して受信したデータ、記憶装置204から読み出したデータ、その他のデータ等を記憶する。
The main memory can also be called a main storage device. The main memory stores, for example, programs executed by the CPU, data received via the
通信制御部203は、ネットワークを介して他の装置、例えば病院情報サーバ103と接続し、当該装置との通信を制御する。
The
入出力インタフェース205は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。
The input /
記憶装置204は、外部記憶装置(補助記憶装置)ということもできる。記憶装置204としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置204
は、ドライブ装置との間で、データを授受する。例えば、記憶装置204は、ドライブ装置からインストールされる情報処理プログラム等を記憶する。また、記憶装置4は、プログラムを読み出し、メモリに引き渡す。本実施形態では、記憶装置204が前述の検索情報蓄積DB25を格納している。
The
Transmits and receives data to and from the drive device. For example, the
図7は、検索情報蓄積DB25の一例を示す図である。検索情報蓄積DB25は、検索エンジン40から取得したワードとその価格(単価)を対応付けて価値データとして記憶している。
次に図8−図15を用いて本実施形態におけるデータの価値について説明する。図8は対象データにおける年齢の項目の一部の例を示す図である。図8に示すように対象データは、年齢si毎に人数ciを有している。例えば、18歳(s1)の人数(c1)が30人、19歳(s2)の人数(c2)が10人である。
FIG. 7 is a diagram illustrating an example of the search
Next, the value of data in the present embodiment will be described with reference to FIGS. FIG. 8 is a diagram showing an example of a part of the age item in the target data. As shown in FIG. 8, the target data has the number of people ci for each age si. For example, the number of people (c1) at the age of 18 (s1) is 30, and the number of people (c2) at the age of 19 (s2) is 10.
図9は、年齢siについて検索情報蓄積DB25から取得する価値データの一例を示す
。図9の価値データは、年齢si毎にSEM単価eiを有している。ここでSEM単価eiは、検索エンジン40が、広告オークション等、SEMの為に提示している価格である。
FIG. 9 shows an example of value data acquired from the search
この年齢siの価値は、SEM単価eiに人数ciを乗じた値であり、式1で示される。
The value of this age si is a value obtained by multiplying the SEM unit price ei by the number of people ci, and is represented by
si=ci×ei ・・・(式1)
そして、図10に示すように年齢の項目S(e)の価値は、各年齢siの総計であり、式2で示される。なお、図10においてnは5である。従って、年齢の項目S(e)の価値は、図11に示すように、2446円である。また、対象データにおける全ての項目の価値を合計したものが対象データの価値である。
si = ci × ei (Formula 1)
As shown in FIG. 10, the value of the age item S (e) is the total of each age si, and is expressed by
一方、図12は抽象化候補における年齢の項目の一部の例を示す図である。図12に示すように抽象化候補は、年代ki毎に人数ciを有している。例えば、10代(k1)の人数(c1)が40人、20代(k2)の人数(c2)が22人である。 On the other hand, FIG. 12 is a diagram showing an example of a part of the age item in the abstraction candidate. As shown in FIG. 12, the abstraction candidates have the number of people ci for each age ki. For example, the number of teenagers (k1) (c1) is 40, and the number of people in their 20s (k2) (c2) is 22.
図13は、年代kiについて取得する各ワードの価値データの一例を示す。図13の価値データは、年代ki毎にSEM単価eiを有している。 FIG. 13 shows an example of value data of each word acquired for the age ki. The value data in FIG. 13 has a SEM unit price ei for each age ki.
この年代kiの価値は、SEM単価eiに人数ciを乗じた値であり、式3で示される。
The value of this age ki is a value obtained by multiplying the SEM unit price ei by the number of people ci, and is expressed by
ki=ci×ei ・・・(式3)
そして、図14に示すように年代の項目S(k)の価値は、各年代kiの総計であり、式4で示される。なお、図14においてnは2である。従って、年代の項目S(k)の価値は、図15に示すように、2134円である。即ち、年齢の項目を年代に抽象化したことにより、価値が312円減損したことになる。また、抽象化候補における全ての項目の価値を合計したものが抽象化候補の価値である。
ki = ci × ei (Formula 3)
Then, as shown in FIG. 14, the value of the item S (k) of the age is the total of each age ki, and is expressed by
そして、ステップS150で求める抽象化候補の価値として、例えば式5に示すように、抽象化候補の価値を抽象化候補の価値と対象データの価値の合計で除した減損率M(k)を求める。
Then, as the value of the abstraction candidate obtained in step S150, for example, as shown in
M(k)=S(k)/(S(k)+S(e)) ・・・(式5)
図16は配信情報管理システム30の概略構成図である。配信情報管理システム30は、演算処理部301、通信制御部303、記憶装置304、入出力インタフェース305を有する所謂情報処理装置(コンピュータ)である。
M (k) = S (k) / (S (k) + S (e)) (Formula 5)
FIG. 16 is a schematic configuration diagram of the distribution
演算処理部301は、CPUやメインメモリを有し、CPUが、メインメモリに実行可能に展開されたプログラムを実行することで、前述の匿名データ出力部31及び配信データ受付部32の機能を提供する。
The
メインメモリは、主記憶装置ということもできる。メインメモリは、例えば、CPUが実行するプログラムや、通信制御部303を介して受信したデータ、記憶装置204から読み出したデータ、その他のデータ等を記憶する。
The main memory can also be called a main storage device. The main memory stores, for example, a program executed by the CPU, data received via the
通信制御部303は、ネットワークを介して他の装置、例えば病院情報サーバ103や他の事業者の端末50と接続し、当該装置との通信を制御する。
The
入出力インタフェース305は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。
The input /
記憶装置304は、外部記憶装置(補助記憶装置)ということもできる。記憶装置304としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置304
は、ドライブ装置との間で、データを授受する。例えば、記憶装置304は、ドライブ装置からインストールされる情報処理プログラム等を記憶する。また、記憶装置304は、前述のモラルDB33を格納している。
The
Transmits and receives data to and from the drive device. For example, the
図17は、配信情報管理システム30が、他の事業者の端末50から受信する要求情報の一例を示す図である。図17の要求情報は、事業者名、アドレス、条件、単価を夫々対応付けて記憶している。
FIG. 17 is a diagram illustrating an example of request information that the distribution
事業者名は、事業者を識別する情報であり、名称に限らずID等であっても良い。 The company name is information for identifying the company, and is not limited to the name but may be an ID or the like.
アドレスは、匿名情報の送信先を示す情報であり、メールアドレスの他、IPアドレス、FAX番号など、送信先を特定できる情報であれば良い。 The address is information indicating a transmission destination of anonymous information, and may be information that can specify the transmission destination such as an IP address and a FAX number in addition to a mail address.
条件は、要求する匿名情報の条件であり、図17の例では傷病名やその部位等を示すワードである。 The condition is a condition for requesting anonymous information, and in the example of FIG.
単価は、配信情報を患者へ配信した場合に事業者から情報処理システム100側に支払われる1件あたりの価格(対価)である。
The unit price is a price per unit (consideration) paid from the business operator to the
配信情報の概要は、配信情報の対象や種別などを示す情報である。図17の例では、タクシーや血圧計、食事指導等を対象とし、クーポンや広告、情報提供等の種別を示す。 The summary of distribution information is information indicating the target and type of distribution information. In the example of FIG. 17, taxis, sphygmomanometers, meal guidance, and the like are targeted, and types such as coupons, advertisements, and information provision are shown.
図18は、モラルDBの一例を示す図である。例えば、高血圧の患者に対して酒や煙草の広告を配信するのは望ましくない。このようにモラルに反した配信が行われないように、モラルDB33は、モラルに反する配信情報の対象と属性値とを対応付けて記憶している。
FIG. 18 is a diagram illustrating an example of a moral DB. For example, it is not desirable to deliver alcohol and tobacco advertisements to hypertensive patients. In this way, the
図18の例では、高血圧と酒・煙草、喘息と煙草、入院と旅行などのように、不適切な対象と属性値の組み合わせを記憶している。 In the example of FIG. 18, combinations of inappropriate objects and attribute values are stored, such as high blood pressure and alcohol / cigarettes, asthma and tobacco, hospitalization and travel.
上記のように本実施形態1では、病院情報システム10、匿名価値評価システム20、配信情報管理システム30を別の情報処理装置で構成したが、これら病院情報システム10、匿名価値評価システム20、配信情報管理システム30を一つの情報処理装置で構成しても良い。
As described above, in the first embodiment, the
図19は、情報処理システム100による匿名化処理の説明図である。病院情報サーバ103は、夜間のバッチ処理など、所定のタイミングでプログラムを起動し、図19の処理を開始する。
FIG. 19 is an explanatory diagram of anonymization processing by the
病院情報サーバ103は、先ず病院医療情報DB19から対象データを読み出す(ステップS10)。即ち、CPUが記憶装置4から対象データを受信する。なお、病院情報サーバ103は、対象データを内部の記憶装置4から読み出す構成に限らず、外部のファイルサーバ等から対象データを受信する構成であっても良い。対象データは、1日、1カ月、1年など、所定期間内の医療情報を抽出したものでも良いし、内科、外科、循環器科など、所定の属性値を持つデータを抽出したものでも良い。
The
次に病院情報サーバ103は、読み出した対象データの表記の揺れや各項目のデータ長、順序などが所定形式となるよう正規化して、匿名情報DB18に登録し、匿名価値評価システム20に通知する(ステップS20)。
Next, the
匿名価値評価システム20は、匿名情報DB18から対象データを読み出し(ステップS30)、対象データ中の各ワードについて、価値データが検索情報蓄積DB25に存在するか否かを判定する(ステップS40)。匿名価値評価システム20は、全てのワードの価値データが検索情報蓄積DB25に存在する場合にはステップS60へ移行し(ステップS40,Yes)、足りない価値データがある場合(ステップS40,No)、当該ワードの価値データを外部の装置、本例では検索エンジン40から取得する(ステップS50)。なお、検索エンジンから取得した価値データ以外、即ち検索情報蓄積DB25に存在したワードの価値情報は、検索情報蓄積DB25から取得する(ステップS60)。
The anonymous
また、匿名価値評価システム20は、匿名性を満たすため対象データの各項目を抽象化したワード(カテゴリ)に置き換えて抽象化候補を作成する(ステップS70)。なお、抽象化可能な項目が複数存在する場合には、各項目を抽象化した場合と抽象化しない場合の全てのパターンを作成する。例えば対象データに三つの項目A,B,Cが含まれ、全項目について抽象化が可能で、抽象化した項目をA´,B´,C´とした場合、図20に示すように、項目Aだけを抽象化した場合A´,B,C、項目A,Bを抽象化した場合A´,B´,Cなど、七つの候補パターンが作成できる。
Further, the anonymous
次に匿名価値評価システム20は、抽象化候補に含まれる各ワードの価値データに基づいて各パターンの抽象化候補の価値を算出し(ステップS80)、この抽象化候補の価値に基づいて検定の順番を決定する(ステップS90)。例えばこの価値が高い順(降順)に検定の順番を決定する。なお、全ての候補パターンについて検定を行うことが望ましいが、この抽象化候補の価値に基づき、価値の低過ぎる抽象化候補を順番から外しても良い。例えば、価値の高い順番で、所定番目以降或いは半分未満など所定割合未満の抽象化候補を外しても良い。また、抽象化候補の価値が対象データの価値に対して所定割合未満となった抽象化候補を外しても良い。これにより検定数が少なくなり、処理時間の短縮化が図れる。
Next, the anonymous
この検定の順番に従い、匿名価値評価システム20は、抽象化候補の匿名性を検定する(ステップS100)。例えば、k−匿名性を検定するため、一個人と対応付けられた異なる項目の値の組み合わせが当該抽象化候補中に存在する数(存在数)を求める。或いは、l多様性を検定するため、一個人と対応付けられた同じ項目の値の組み合わせが当該抽象化候補中に存在する数(存在数)を求める。そして、この存在数のうち最小のものを最低出現数(k値)として求め(ステップS110)、この最低出現数が1を超えているか否かを判定する(ステップS120)。即ち、ここでk値が1を超えていればk−匿名性を満たし、1であればk−匿名性を満たさない。同様にl値が1を超えていればl−多様性を満たし、1であればl−多様性を満たさない。
According to the order of this test, the anonymous
最低出現数(k値/l値)が1を超えていない場合(ステップS120,No)、匿名価値評価システム20は、抽象化候補のうち、少なくとも一つの項目の値を更に抽象化する、即ち抽象化したワードに置き換え(ステップS130)、ステップS100に戻る。例えば、「足骨折、15歳、男」という属性値を持つ患者が一人であった場合、「足傷病、15歳、男」のように抽象化する。
When the minimum number of appearances (k value / l value) does not exceed 1 (step S120, No), the anonymous
一方、最低出現数(k値/l値)が1を超えている場合(ステップS120,Yes)、匿名価値評価システム20は、当該抽象化候補の価値と元の対象データの価値との差分
を求め(ステップS140)、この差分や、この差分に基づく値、例えば対象データの価値に対する差分の割合、対象データの価値に対する抽象化候補の価値の割合を当該抽象化候補の価値として決定する(ステップS150)。
On the other hand, when the minimum number of appearances (k value / l value) exceeds 1 (step S120, Yes), the anonymous
また、匿名価値評価システム20は、検定していない候補パターンがあるか否かを判定し(ステップS160)、検定していない候補パターンがあれば(ステップS160,Yes)、ステップS90で決定した順番に従って、次の順番の抽象化候補を特定し(ステップS170)、ステップS100に戻って次の抽象化候補について検定を行う。
Further, the anonymous
このように各パターンの抽象化候補について検定を繰り返し、次の候補パターンが無くなった場合(ステップS160,No)、匿名価値評価システム20は、ステップS150で求各抽象化候補の価値に基づいて、採用すべき抽象化候補を選択し、病院情報サーバ103に通知する(ステップS180)。
In this way, when the test is repeated for the abstraction candidates of each pattern and the next candidate pattern disappears (No in step S160), the anonymous
抽象化候補の選択は、例えば、全候補パターンの中で価値の高い順に所定数の抽象化候補を選択する。即ち、匿名化情報は、1パターンに限らず、複数パターン作成しても良い。 For selection of abstraction candidates, for example, a predetermined number of abstraction candidates are selected in descending order of value among all candidate patterns. That is, the anonymization information is not limited to one pattern, and a plurality of patterns may be created.
また、匿名価値評価システム20は、配信情報管理システム30から、要求情報を取得し、要求情報と合致する候補パターンの中で価値の高い順に所定数の抽象化候補を選択しても良い。更に、匿名価値評価システム20は、全候補パターンの中から価値の高い順に複数の抽象化候補を出力し、この出力された抽象化候補の中から操作者が適切だと思う抽象化候補を指定し、この指定された抽象化候補を選択しても良い。
Further, the anonymous
なお、匿名情報DB18の更新は、選択された抽象化候補で対象データを上書きして匿名化データとしても良いし、対象データ中のワードを選択された抽象化候補と同じように抽象化することで匿名化データとしても良い。
The
病院情報サーバ103は、選択された抽象化候補に基づいて匿名情報DB18の対象データを更新し、配信情報管理システム30に通知する(ステップS190)。
The
配信情報管理システム30は、匿名情報DB18から匿名情報を読み出し、当該匿名情報と適合する要求情報を選択し、当該要求情報の送信先アドレスへ適合した匿名情報を送信する(ステップS200)。ここで匿名情報と要求情報との適合は、足の傷病、高血圧など匿名情報が有する属性値と要求情報の条件に含まれるワードが一致した場合に適合としても良い。また、匿名情報が有する属性値と要求情報の条件に含まれるワードが完全に一致した場合に限らず、部分的に一致した場合や、シソーラス等を参照して、匿名情報の属性値と要求情報のワードが、上位/下位関係、部分/全体関係、同義関係、類義関係などの所定の関係にある語であった場合に適合と判定しても良い。
The distribution
図21は、情報処理システム100が患者(ユーザ)に対して配信情報を出力する処理の説明図である。
FIG. 21 is an explanatory diagram of processing in which the
配信情報管理システム30は、他の事業者の端末50から前記匿名情報の特定の属性値に対する配信情報を受信する(ステップS210)。ここで配信情報は、配信対象を示す属性値と、患者に対して出力する広告やクーポン等の配信内容とを有している。例えば、属性値が「足傷病」、配信内容が「タクシークーポン」である配信情報を端末50が送信し、この配信情報を配信情報管理システム30が受信する。
The distribution
次に配信情報管理システム30は、受信した配信情報、即ち配信対象の属性値と配信内
容を病院情報サーバ103に送信する(ステップS220)。
Next, the distribution
病院情報サーバ103の出力制御部は、匿名情報DBを参照し、受信した配信情報と同じ属性値を持つ患者の患者ID、本例では診察券番号を特定し、モラルDB33を参照して当該患者の属性値と配信情報の組み合わせがモラルDBに該当しないこと(即ち、モラルに反しないこと)を確認し、当該患者の診察券番号と配信内容とを対応付けて記憶装置4に記憶する(ステップS230)。なお、当該患者の属性値と配信情報の組み合わせがモラルDBに該当する場合には、当該患者IDとの対応付けは行わない。
The output control unit of the
病院情報サーバ103は、各患者の来院時等の所定のタイミングで配信情報を読み出して当該患者に対して出力する(ステップS240)。
The
例えば、患者が診察券を受付機101に読み取らせて受付を行った場合に、受付機101が読み取った診察券番号を病院情報サーバ103に送信し、病院情報サーバ103の出力制御部17は、受信した診察券番号と対応する配信情報を記憶装置4から読み出して受付機101へ送信し、当該患者の受付シートに配信情報を印刷する。
For example, when the patient causes the
また、患者に対する出力は、これに限らず、会計用の入出力端末で診察券番号を読み取り会計処理を行う際に、入出力端末から病院情報サーバ103へ診察券番号を送信し、病院情報サーバ103の出力制御部17が、受信した診察券番号と対応する配信情報を記憶装置4から読み出して入出力端末へ返信し、入出力端末の表示装置に会計金額と共に配信情報を表示して当該患者に提示しても良い。
Further, the output to the patient is not limited to this, and when performing the accounting process by reading the examination ticket number at the accounting input / output terminal, the examination ticket number is transmitted from the input / output terminal to the
また、患者に対する出力は、会計用の入出力端末で診察券番号を読み取り会計処理を行う際に、会計の待合室に設置したデジタルサイネージに配信情報を出力し、当該患者を含む不特定の人に対して配信情報を出力することでも良い。 In addition, the patient information is output to the digital signage installed in the accounting waiting room when the examination ticket number is read and processed by the accounting input / output terminal, to the unspecified person including the patient. Alternatively, delivery information may be output.
以上のように本実施形態1の情報処理システム100は、医療情報を利用価値の高い状態で匿名化して匿名情報を配信情報の発信者へ提供し、この匿名情報に対する配信情報を匿名情報と対応する各個人に対して出力する。これにより情報処理システム100は、医療情報を充分に匿名化し、匿名化した情報をレコメンド等の発信者が利用できるようにする。
As described above, the
また、本実施形態1の情報処理システム100は、検索エンジン40で検索に用いられたキーワードの統計情報に基づいて匿名情報の価値を算出するので、操作者による判断を必要とせずに充分な匿名化を行うことができ、匿名情報の提供と配信情報の仲介を機械的に実行できる。
Further, since the
〈変形例〉
上記実施形態1では、対象データを一括して処理した例を示したが、これに限らず対象データを個別に処理して配信する構成としても良い。図22は、この変形例に係る匿名化処理の説明図である。なお、本変形例は、前述の実施形態1と比べ、図22に示す匿名化処理の流れが異なり、その他の構成は同じである。例えば情報処理システム100のハードウェア構成などは同じであり再度の説明は省略する。
<Modification>
In the first embodiment, the example in which the target data is collectively processed has been described. However, the present invention is not limited thereto, and the target data may be individually processed and distributed. FIG. 22 is an explanatory diagram of the anonymization process according to this modification. In addition, this modification differs in the flow of the anonymization process shown in FIG. 22 compared with the above-mentioned
患者が受付機101に診察券を読み取らせると、受付機101は読み取った診察券番号を病院情報サーバ103へ送信し、病院情報サーバ103は、この診察券番号と対応する患者(以下、対象患者とも称す)を含む医療情報を対象情報として医療情報DB19から読み出す(ステップS10)。
When the patient causes the
次に病院情報サーバ103は、読み出した対象データの表記の揺れや各項目のデータ長、順序などが所定形式となるよう正規化して、メモリに格納すると共に匿名価値評価システム20に通知する(ステップS25)。
Next, the
匿名価値評価システム20は、対象データを受信し(ステップS30)、対象データ中の各ワードについて、価値データが検索情報蓄積DB25に存在するか否かを判定する(ステップS40)。病院情報サーバ103は、全てのワードの価値データが検索情報蓄積DB25に存在する場合にはステップS60へ移行し(ステップS40,Yes)、足りない価値データがある場合(ステップS40,No)、当該ワードの価値データを外部の装置、本例では検索エンジン40から取得する(ステップS50)。なお、検索エンジン40から取得した価値データ以外、即ち検索情報蓄積DB25に存在したワードの価値情報は、検索情報蓄積DB25から取得する(ステップS60)。
The anonymous
また、匿名価値評価システム20は、対象患者のデータの匿名性を満たすように、対象データの各項目を抽象化したワード(カテゴリ)に置き換えて抽象化候補を作成する(ステップS70)。なお、抽象化可能な項目が複数存在する場合には、各項目を抽象化した場合と抽象化しない場合の全てのパターンを作成する。
Further, the anonymous
次に匿名価値評価システム20は、抽象化候補に含まれる各ワードの価値データに基づいて各パターンの抽象化候補の価値を算出し(ステップS80)、この抽象化候補の価値に基づいて検定を行う抽象化候補を決定する(ステップS95)。抽象化候補の決定は、例えば、全候補パターンの中で価値の高い順に所定数の抽象化候補に決定する。また、匿名価値評価システム20は、全候補パターンの中から価値の高い順に複数の抽象化候補を出力し、この出力された抽象化候補の中から操作者が適切だと思う抽象化候補を指定し、この指定された抽象化候補に決定しても良い。
Next, the anonymous
これらの抽象化候補について、匿名価値評価システム20は、抽象化候補の匿名性を検定する(ステップS100)。例えば、k−匿名性を検定するため、一個人と対応付けられた異なる項目の値の組み合わせが当該抽象化候補中に存在する数(存在数)を求める。或いは、l多様性を検定するため、一個人と対応付けられた同じ項目の値の組み合わせが当該抽象化候補中に存在する数(存在数)を求める。そして、この存在数のうち最小のものを最低出現数(k値/l値)として求め(ステップS110)、この最低出現数が1を超えているか否かを判定する(ステップS120)。
For these abstraction candidates, the anonymity
最低出現数(k値/l値)が1を超えていない場合(ステップS120,No)、匿名価値評価システム20は、抽象化候補のうち、少なくとも一つの項目の値を更に抽象化する、即ち抽象化したワードに置き換え(ステップS130)、ステップS100に戻る。
When the minimum number of appearances (k value / l value) does not exceed 1 (step S120, No), the anonymous
一方、最低出現数(k値/l値)が1を超えている場合(ステップS120,Yes)、匿名価値評価システム20は、当該抽象化候補を選択し、病院情報サーバ103に送信する(ステップS145)。
On the other hand, when the minimum number of appearances (k value / l value) exceeds 1 (step S120, Yes), the anonymous
病院情報サーバ103は、選択された抽象化候補に基づいて匿名情報DB18の対象データを更新し(ステップS155)、対象患者の匿名情報に固有の匿名情報IDを付加する(ステップS165)。即ち、この匿名情報IDが当該患者の診察券番号と対応付けられて匿名情報DB18に記憶され、匿名情報DB18を参照することで匿名情報IDから対象患者を特定できるようにしている。
The
そして、病院情報サーバ103は、匿名情報IDを付加した対象患者の匿名情報を配信情報管理システム30に送信する(ステップS175)。なお、匿名情報には、匿名情報
IDや匿名化した診療履歴等が含まれ、診察券番号は含まない。
Then, the
配信情報管理システム30は、病院情報サーバ103から受信した匿名情報と適合する要求情報を選択し、当該要求情報の送信先アドレスへ対象患者の匿名情報を送信する(ステップS185)。
The distribution
図23は、情報処理システム100が患者(ユーザ)に対して配信情報を出力する処理の説明図である。
FIG. 23 is an explanatory diagram of processing in which the
配信情報管理システム30は、他の事業者の端末50から前記匿名情報の特定の匿名情報ID(属性値)に対する配信情報を受信する(ステップS210)。ここで配信情報は、配信対象を示す匿名情報ID(属性値)と、患者に対して出力する広告やクーポン等の配信内容とを有している。例えば、匿名情報ID(属性値)が「999」、配信内容が「タクシークーポン」である配信情報を端末50が送信し、この配信情報を配信情報管理システム30が受信する。
The distribution
次に配信情報管理システム30は、受信した配信情報、即ち配信対象の匿名情報ID(属性値)と配信内容を病院情報サーバ103に送信する(ステップS220)。
Next, the distribution
病院情報サーバ103の出力制御部17は、匿名情報DBを参照し、受信した配信情報の匿名情報IDと対応する属性値を持つ患者の診察券番号を特定する(ステップS235)。
The
病院情報サーバ103は、対象患者の受付レシートに、診察券番号と対応付けられた配信情報を印刷することで、当該患者に対して配信情報の出力を行う(ステップS245)。なお、患者に対する出力は、これに限らず、会計用の入出力端末で診察券番号を読み取り会計処理を行う際に、入出力端末から病院情報サーバ103へ診察券番号を送信し、病院情報サーバ103の出力制御部17が、受信した診察券番号と対応する配信情報を記憶装置4から読み出して入出力端末へ返信し、入出力端末の表示装置に会計金額と共に配信情報を表示して当該患者に提示しても良い。また、会計用の入出力端末で診察券番号を読み取り会計処理を行う際に、会計の待合室に設置したデジタルサイネージに配信情報を出力し、当該患者を含む不特定の人に対して配信情報を出力しても良い。
The
以上のように本変形例の情報処理システム100は、各患者の医療情報を随時匿名化して匿名情報を配信情報の発信者へ提供し、この匿名情報に対する配信情報を匿名情報と対応する前記患者に対して出力できる。
As described above, the
〈実施形態2〉
図24は実施形態2に係る情報処理システム200の機能ブロック図、図25は情報処理システム200のハードウェア構成図である。図24に示すように情報処理システム200は、不法侵入等を検出したことをスマート家電等のネットワークを介してユーザに通知するシステムである。
<
FIG. 24 is a functional block diagram of the
不法侵入等を検出した場合、速やかにユーザへ通知する必要があり、ユーザの携帯電話へ通知することが考えられるが、ユーザが携帯電話を手元に置いていなければ、通知に気付かない場合がある。 When illegal intrusion is detected, it is necessary to notify the user promptly, and it may be possible to notify the user's mobile phone, but if the user does not have the mobile phone at hand, the notification may not be noticed. .
例えば、ユーザが運転中や入浴中、テレビの視聴中等に通知があった場合、ユーザは通知に気付かないこともある。このため、携帯電話に限らず、カーナビやテレビ等にも通知が行われると便利である。 For example, if the user is notified while driving, taking a bath, watching TV, or the like, the user may not notice the notification. For this reason, it is convenient that notification is performed not only on a mobile phone but also on a car navigation system, a television, or the like.
しかし、カーナビやテレビ等へ通知を行う場合、これらカーナビやテレビのメーカ等(他の事業者)が運営するサーバ等のシステムを介して通知することになるが、機微情報でもある通知をこのような他の事業者へユーザの同意なしに提供することはできない。 However, when a notification is sent to a car navigation system or a TV, the notification is made through a system such as a server operated by the manufacturer of the car navigation system or the TV (other business operators). It cannot be provided to other companies without the user's consent.
このため例えば通知内容を暗号化することで匿名性を担保することが考えられるが、例え通知内容を暗号化しても不法侵入等の発生時に特定のユーザへ通知した場合、このユーザに通知が行われたこと自体は分かってしまうので、不法侵入等が事件として報道された場合に、このユーザが事件の関係者であることが特定されてしまう可能性があるので、充分に匿名性が確保されない。 For this reason, for example, it is conceivable to ensure anonymity by encrypting the notification content, but even if the notification content is encrypted, if a specific user is notified when an illegal intrusion occurs, the user is notified. Since it is known that the intruder itself has been reported as an incident, there is a possibility that this user will be identified as a person involved in the incident, so anonymity is not sufficiently secured. .
そこで、本実施形態2の情報処理システム200は、通知を行うユーザの多様性も含めて充分に匿名性を満たすように抽象化して通知を行う。
Therefore, the
本実施形態2の情報処理システム200は、ユーザ情報DB219、抽象化部211、検定部213、選択部214、暗号化部215、データ受付部216、出力制御部217価値データ取得部221、価値判定部222、価値計算部224、検索情報蓄積DB225等の機能部を備えている。
The
データ受付部216は、セキュリティ会社のシステム70から通知先のユーザの識別情報(匿名情報ID)を含む通報データを受信し、当該ユーザのユーザ情報をユーザ情報DB219からメモリ上へ読み出す。本実施形態においてデータ受付部216は、匿名情報の特定の値(匿名情報ID)に対する配信情報を受信する配信情報受信部も兼ねている。なお、本例では、ユーザを特定するための情報、例えばセキュリティ会社のシステム70を利用する各ユーザについて匿名情報IDを予め割り当て、この匿名情報IDをユーザの識別情報としてセキュリティ会社に通知しておく。
The data reception unit 216 receives report data including identification information (anonymous information ID) of a notification destination user from the
抽象化部211は、対象データを多様化する際に、対象データ中の項目の値であるワード(語)を抽象化したワードに替えて抽象化候補を生成する。本実施形態においてワード(語)は、単語や句など、一まとまりの言葉であり、位置情報や電話番号等の数値、メールアドレスやIPアドレス等の識別情報、言葉と同様の意味を持つ記号等を含んでも良い。 When diversifying the target data, the abstraction unit 211 generates abstraction candidates by replacing words (words) that are values of items in the target data with abstracted words. In this embodiment, a word (word) is a group of words such as a word or a phrase, a numerical value such as location information or a telephone number, identification information such as an e-mail address or an IP address, a symbol having the same meaning as the word, or the like. May be included.
検定部213は、抽象化候補の一個人と対応する項目の値の組み合わせが、当該抽象化候補中で単一でないことを条件として検定する。例えば検定部213は、抽象化候補がl−多様性を満たしているかを検定する。 The test unit 213 performs test on the condition that the combination of the value of the item corresponding to one individual of the abstraction candidate is not single among the abstraction candidates. For example, the test unit 213 tests whether the abstraction candidate satisfies l-diversity.
選択部214は、前記検定の条件を満たした抽象化候補を匿名価値評価システム20で算出した価値に基づいて抽象化候補を選択する。例えば、選択部214は、l−多様性を満たした複数の抽象化候補から価値が高い順に所定数の抽象化候補を選択する。
The selection unit 214 selects an abstraction candidate based on the value calculated by the anonymous
暗号化部215は、ユーザへ通知する通知データを暗号化する。例えば、暗号化部215は、対象ユーザの秘密鍵で暗号化することで、対象ユーザの端末だけで通知内容を確認できるようにしても良い。 The encryption unit 215 encrypts the notification data notified to the user. For example, the encryption unit 215 may encrypt the content with the target user's private key so that the notification content can be confirmed only on the target user's terminal.
出力制御部217は、匿名化情報をユーザ情報の配信先に基づいて他の事業者のシステム60へ送信する。なお、本実施形態では、匿名化した通知データ(配信情報)を他の事業者のサーバ60を介してユーザ端末80へ配信する構成であるため、出力制御部17は、匿名情報を出力する出力部と、配信情報をユーザ(個人)へ配信する配信部とを兼ねる。
The output control unit 217 transmits the anonymized information to the system 60 of another business operator based on the distribution destination of the user information. In addition, in this embodiment, since it is the structure which distributes the anonymized notification data (distribution information) to the
ユーザ情報DB219は、通知を行う各ユーザの情報(以下ユーザ情報とも称す)を記憶する。
The
価値データ取得部221は、抽象化部211で生成した抽象化候補に含まれるワードの価値データを検索情報蓄積DBから取得(受信)する。また、価値データ取得部221は、検索情報蓄積DB225に前記ワードの価値データが登録されていない場合に、他の装置例えば検索エンジン40やSNSのサーバにリクエストし、取得した価値データを検索情報蓄積DB225に登録する機能(データリクエスト)や、定期的に他の装置を巡回して最新の価値データを取得し、検索情報蓄積DB225に登録されている価値データを更新する機能を有する。
The value data acquisition unit 221 acquires (receives) word value data included in the abstraction candidates generated by the abstraction unit 211 from the search information storage DB. In addition, when the value data of the word is not registered in the search information storage DB 225, the value data acquisition unit 221 makes a request to another device such as the
価値判定部222は、抽象化候補に含まれるワードの価値に基づいて当該抽象化候補の価値を求める。
検索情報蓄積DB225は、価値データ取得部211で取得したワードの価値などを記憶する。本実施形態において、ワードの価値は、抽象化を行う際の優先度を示す値(重み)であっても良い。例えば、操作者が各ワードについて予め定義した複数段階の重みであっても良い。
The value determination unit 222 obtains the value of the abstraction candidate based on the value of the word included in the abstraction candidate.
The search information accumulation DB 225 stores the value of the word acquired by the value data acquisition unit 211 and the like. In the present embodiment, the value of the word may be a value (weight) indicating a priority when performing abstraction. For example, it may be a plurality of levels of weights that the operator defines in advance for each word.
また、セキュリティ会社のシステム70は、各ユーザの家や車、店舗等に設けられた検出装置から異常を検出した旨の情報(通知データ)を受信した場合、この通知データと当該ユーザの識別情報とを情報処理システム200へ送信する。
When the
検出装置71は、不法侵入等の異常を検出して、この異常を示す情報(通知内容)と異常を通知するユーザを特定する情報(例えばユーザID)を通知データとしてシステム70に送信する。このユーザを特定する情報は、ユーザIDと対応付けられた検出装置71の設置場所(自宅住所等)や検出装置71のアドレス等であっても良い。なお、検出装置71は、不法侵入の検出に限らず、車の衝撃を検出して事故と判定した場合にシステム70へ通知するものや、子供やお年寄りが携帯して異常があった時にシステム70へ通知するものであっても良い。
The
また、他の事業者のシステム60は、情報処理システム200から受信した通知データを各ユーザ端末80へ中継する。ユーザ端末80は、通知データを受信して出力する機能を有した装置であり、例えば携帯電話、テレビ、カーナビ、オーディオ等である。また、エアコンや冷蔵庫、電子レンジ等であってもネットワークを介して受信した情報を操作パネル等に表示する機能を有する所謂スマート家電をユーザ端末80としても良い。
Further, the system 60 of another business operator relays the notification data received from the
ユーザ端末80は、例えばテレビであればテレビ番組を受信して表示させる構成を主要機能部とし、カーナビであれば経路案内をする構成を主要機能とし、この主要機能部のほかに、通知データを復号化する復号化部と、通知データを出力させる出力制御部を備える。通知データの出力は、表示装置への表示出力の他、音声出力や印刷出力であっても良い。
The
図25に示すように、情報処理システム200は、演算処理部291、通信制御部293、記憶装置294、入出力インタフェース295を有する所謂情報処理装置(コンピュータ)である。
As illustrated in FIG. 25, the
演算処理部291は、CPUやメインメモリを有し、CPUが、メインメモリに実行可能に展開されたプログラムを実行することで、前述の抽象化部211、検定部213、選択部214、暗号化部215、データ受付部216、出力制御部217、価値データ取得
部221、価値判定部222の機能を提供する。
The
メインメモリは、主記憶装置ということもできる。メインメモリは、例えば、CPUが実行するプログラムや、通信制御部293を介して受信したデータ、記憶装置294から読み出したデータ、その他のデータ等を記憶する。
The main memory can also be called a main storage device. The main memory stores, for example, a program executed by the CPU, data received via the
通信制御部293は、ネットワークを介して他の装置、例えば検出装置71や他の事業者のシステム60と接続し、当該装置との通信を制御する。
The
入出力インタフェース295は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。ドライブ装置は、着脱可能な記憶媒体の読み書き装置であり、例えば、フラッシュメモリカードの入出力装置、USBメモリを接続するUSBのアダプタ等である。また、着脱可能な記憶媒体は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、ブルーレイディスク(Blu-ray Disc)等のディスク媒体であってもよい。ドライブ装置は、着脱可能な記憶媒体からプログラムを読み出し、記憶装置294に格納する。
The input /
記憶装置294は、外部記憶装置(補助記憶装置)ということもできる。記憶装置294としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置294
は、ドライブ装置との間で、データを授受する。例えば、記憶装置294は、ドライブ装置からインストールされる情報処理プログラム等を記憶する。また、記憶装置204は、プログラムやデータが演算処理部291により読み出されて、メインメモリに引き渡す。本実施形態2では、記憶装置294が前述のユーザ情報DB219や検索情報蓄積DB225を格納している。
The
Transmits and receives data to and from the drive device. For example, the
なお、セキュリティ会社のシステム70や、検出装置71、他の事業者のシステム60、ユーザ端末80についても基本的なハードウェア構成は、図25と同様であり、当該システム60,70や、検出装置71、ユーザ端末80は、演算処理部、通信制御部、記憶装置、入出力インタフェースを有する情報処理装置である。
The basic hardware configuration of the
例えば、検出装置71は、入出力インタフェースに赤外線センサやガラス破壊センサ、開閉センサなど、異常を検出するためのセンサが接続され、センサが異常を検出した場合に演算処理部が通信制御部を介して通知データをシステム70へ送信する。
For example, in the
また、ユーザ端末80は、演算処理部が復号化部や出力制御部として機能し、通信制御部を介して受信した通知データを復号化し、入出力インタフェースを介して表示装置への表示出力、スピーカからの音声出力、プリンタによる印刷出力等を行わせる。
Further, in the
図26はユーザ情報DB219の一例を示す図である。図26のユーザ情報DB219は、ユーザ情報として、ユーザ毎に、ユーザID、氏名、年齢、性別、秘密鍵、送信先の項目を夫々対応付けて記憶している。
FIG. 26 is a diagram illustrating an example of the
ユーザIDは、ユーザを一意に識別する情報である。ユーザIDは、セキュリティ会社のシステム70で用いるIDや、他の事業者のシステム60で用いるIDを対応付けてそれぞれ記憶している。
The user ID is information that uniquely identifies the user. The user ID is stored in association with an ID used in the
秘密鍵は、通知データを送信する際に通知データを暗号化するための鍵情報である。
送信先は、各ユーザが利用しているユーザ端末80へ通知データを送信するためのアドレスであり、例えばメールアドレスやIPアドレス等である。
The secret key is key information for encrypting the notification data when transmitting the notification data.
The transmission destination is an address for transmitting notification data to the
図27は、情報処理システム200により通知データを匿名化(多様化)して配信する処理の説明図である。
FIG. 27 is an explanatory diagram of a process of anonymizing (diversifying) notification data by the
検出装置71が異常を検出し、通知データをセキュリティ会社のシステム70へ送信すると、当該システム70が、この通知データを情報処理システム200へ転送し、情報処理システム200が受信すると、情報処理システム200は、この通知データの識別情報と対応するユーザ(以下対象ユーザとも称す)のユーザ情報をユーザ情報DB219から読み出す(ステップS310)。
When the
次に情報処理システム200は、読み出した対象データの表記の揺れや各項目のデータ長、順序などが所定形式となるよう正規化して、メモリに格納する(ステップS325)。
Next, the
情報処理システム200は、対象データをメモリから読み出し(ステップS330)、対象データ中の各ワードについて、価値データが検索情報蓄積DB225に存在するか否かを判定する(ステップS340)。
The
情報処理システム200は、全てのワードの価値データが検索情報蓄積DB225に存在する場合にはステップS360へ移行し(ステップS340,Yes)、足りない価値データがある場合(ステップS340,No)、当該ワードの価値データを外部の装置、本例では検索エンジン40から取得する(ステップS350)。なお、検索エンジン40から取得した価値データ以外、即ち検索情報蓄積DB25に存在したワードの価値情報は、検索情報蓄積DB225から取得する(ステップS360)。
The
また、情報処理システム200は、対象ユーザのデータの匿名性を満たすように、対象データの各項目を抽象化したワード(カテゴリ)に置き換えて抽象化候補を作成する(ステップS370)。なお、抽象化可能な項目が複数存在する場合には、各項目を抽象化した場合と抽象化しない場合の全てのパターン或いは所定数のパターンを作成する。
Further, the
次に情報処理システム200は、抽象化候補に含まれる各ワードの価値データに基づいて各パターンの抽象化候補の価値を算出し(ステップS380)、この抽象化候補の価値に基づいて検定を行う抽象化候補を決定する(ステップS395)。抽象化候補の決定は、例えば、全候補パターンの中で最も価値の高い抽象化候補に決定する。
Next, the
これらの抽象化候補について、情報処理システム200は、抽象化候補の匿名性を検定する(ステップS400)。例えば、l多様性を検定するため、一ユーザと対応付けられた同じ項目の値の組み合わせが当該抽象化候補中に存在する数(存在数)を求める。そして、この存在数のうち最小のものを最低出現数(l値)として求め(ステップS410)、この最低出現数が1を超えているか否かを判定する(ステップS420)。
For these abstraction candidates, the
最低出現数(l値)が1を超えていない場合(ステップS420,No)、情報処理システム200は、抽象化候補のうち、少なくとも一つの項目の値を更に抽象化する、即ち抽象化したワードに置き換え(ステップS430)、ステップS400に戻る。
When the minimum appearance number (l value) does not exceed 1 (No in step S420), the
一方、最低出現数(l値)が1を超えている場合(ステップS420,Yes)、情報処理システム200は、当該抽象化候補を選択する(ステップS445)。
On the other hand, when the minimum number of appearances (l value) exceeds 1 (step S420, Yes), the
情報処理システム200は、選択された抽象化候補に該当する属性値を持つユーザ情報を抽出し(ステップS455)、各ユーザの送信先を求める(ステップS465)。
The
また、情報処理システム200は、通知データを対象ユーザの秘密鍵で暗号化する(ステップS475)。
Further, the
そして情報処理システム200は、暗号化した通知データをステップS465で求めた各ユーザの送信先宛てに送信する(ステップS485)。
Then, the
送信された通知データは、他の事業業者の各システム60を介して各ユーザ端末80に受信される。通知データを受信した各ユーザ端末80は、メモリに記憶させておいた各ユーザの秘密鍵を読み出し、当該秘密鍵を用いて通知データを復号化する。
The transmitted notification data is received by each
ここで、対象ユーザのユーザ端末80では秘密鍵が一致するため正しく復号化でき、復号化した通知内容が出力される。一方、他のユーザのユーザ端末80では、秘密鍵が暗号化に用いたものと異なるため、復号化に失敗するので、出力は行われない。即ち、通知内容は、対象ユーザのみに通知される。
Here, the
前述したように対象ユーザのみに通知データを通知すると、個人を特定できる可能性があるため、本実施形態2では対象ユーザ以外にダミーのユーザも含め、l−多様性を満たす複数のユーザに対して通知データを送信する。 As described above, if notification data is notified only to a target user, there is a possibility that an individual can be identified. Therefore, in the second embodiment, a plurality of users satisfying l-diversity including a dummy user in addition to the target user are included. To send notification data.
これにより本実施形態の情報処理システム200は、匿名性を保ちつつ、他の事業者のシステムを介して機微情報の通知を行うことができる。
Thereby, the
〈その他〉
本発明は、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
<Others>
The present invention is not limited to the illustrated examples described above, and various modifications can be made without departing from the scope of the present invention.
3 通信制御部
4 記憶装置
5 入出力インタフェース
10 病院情報システム
11 抽象化部
13 検定部
14 選択部
15 データ更新部
16 データ受付部
17 出力制御部
20 匿名価値評価システム
21 価値データ取得部
22 価値判定部
23 ワードカテゴリ分析部
24 価値計算部
30 配信情報管理システム
31 匿名データ出力部
32 配信データ受付部
40 検索エンジン
41 データ出力部
50 端末
60 他の事業者のシステム
70 セキュリティ会社のシステム
71 検出装置
80 ユーザ端末
100 情報処理システム
101 受付機
102 入出力端末
103 病院情報サーバ
200 情報処理システム
3
Claims (6)
前記匿名化装置が、
個人と対応付けられた複数の項目を含む対象データを前記情報処理装置から取得する対象データ取得部と、
前記対象データ中の項目の値である語を抽象化した語に替えて抽象化候補データを生成する抽象化部と、
前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定する検定部と、
前記検定の条件を満たした抽象化候補データを匿名情報として出力する出力部と、を有し、
前記配信管理装置が、
前記検定の条件を満たした匿名情報を取得する取得部と、
前記検定の条件を満たした匿名情報の特定の値に対する配信情報を受信する配信情報受信部と、
前記検定の条件を満たした匿名情報の特定の値、及び当該特定の値に対する配信情報を前記情報処理装置へ送信する送信部と、を有し、
前記情報処理装置が、
前記検定の条件を満たした匿名情報と前記個人の識別情報とを対応付けたデータベースを参照し、前記配信管理装置から受信した前記特定の値と対応する個人を特定し、当該個人に対して前記配信情報を出力させる出力制御部を有する、
情報処理システム。 An information processing system comprising an information processing device, an anonymization device, and a distribution management device,
The anonymization device is
A target data acquisition unit that acquires target data including a plurality of items associated with an individual from the information processing apparatus;
An abstraction unit that generates abstraction candidate data by replacing a word that is a value of an item in the target data with an abstracted word ;
A test unit that tests on condition that a combination of values of items of the abstraction candidate data is not limited to one individual of the target data;
Has an output unit for outputting the abstracted candidate data satisfying the condition of the test anonymously,
The distribution management device is
An acquisition unit for acquiring anonymous information that satisfies the conditions of the test;
A distribution information receiving unit that receives distribution information for a specific value of anonymous information that satisfies the conditions of the test;
A specific value of anonymous information that satisfies the condition of the test, and a transmission unit that transmits distribution information for the specific value to the information processing device,
The information processing apparatus is
Refer to a database that associates the anonymous information that satisfies the condition of the test and the identification information of the individual, identifies the individual corresponding to the specific value received from the distribution management device, and Having an output control unit for outputting distribution information;
Information processing system.
前記匿名化装置が、
個人と対応付けられた複数の項目を含む対象データを記憶する情報処理装置から前記対象データを取得する対象データ取得部と、
前記対象データ中の項目の値である語を抽象化した語に替えて抽象化候補データを生成する抽象化部と、
前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定する検定部と、
前記検定の条件を満たした抽象化候補データを匿名情報として前記情報処理装置に出力
する出力部と、を有し、
前記配信管理装置が、
前記情報処理装置から前記検定の条件を満たした匿名情報を取得する取得部と、
前記検定の条件を満たした匿名情報の特定の値に対する配信情報を受信する配信情報受信部と、
前記検定の条件を満たした匿名情報の特定の値、及び当該特定の値に対する配信情報を前記情報処理装置へ送信することで、前記情報処理装置に、前記特定の値と対応する個人に対して前記配信情報を出力させる送信部と、を有する、
情報処理システム。 An information processing system comprising an anonymization device and a distribution management device,
The anonymization device is
A target data acquisition unit that acquires the target data from an information processing apparatus that stores target data including a plurality of items associated with an individual;
An abstraction unit that generates abstraction candidate data by replacing a word that is a value of an item in the target data with an abstracted word ;
A test unit that tests on condition that a combination of values of items of the abstraction candidate data is not limited to one individual of the target data;
Has an output unit for outputting the abstracted candidate data satisfying the condition of the test to the information processing apparatus anonymously,
The distribution management device is
An acquisition unit that acquires anonymous information that satisfies the condition of the test from the information processing device;
A distribution information receiving unit that receives distribution information for a specific value of anonymous information that satisfies the conditions of the test;
By transmitting to the information processing device a specific value of anonymous information that satisfies the condition of the test and distribution information for the specific value, the information processing device is sent to the individual corresponding to the specific value. A transmission unit for outputting the distribution information,
Information processing system.
前記匿名化装置が、
個人と対応付けられた複数の項目を含む対象データを前記情報処理装置から取得するステップと、
前記対象データ中の項目の値である語を抽象化した語に替えて抽象化候補データを生成するステップと、
前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定するステップと、
前記検定の条件を満たした抽象化候補データを匿名情報として出力するステップと、を実行し
前記配信管理装置が、
前記検定の条件を満たした匿名情報を取得するステップと、
前記検定の条件を満たした匿名情報の特定の値に対する配信情報を受信するステップと、
前記検定の条件を満たした匿名情報の特定の値、及び当該特定の値に対する配信情報を前記情報処理装置へ送信するステップと、を実行し、
前記情報処理装置が、
前記検定の条件を満たした匿名情報と前記個人の識別情報とを対応付けたデータベースを参照し、前記配信管理装置から受信した前記特定の値と対応する個人を特定し、当該個人に対して前記配信情報を出力させるステップを実行する、
情報処理方法。 An information processing method executed by an information processing system including an information processing device, an anonymization device, and a distribution management device,
The anonymization device is
Obtaining target data including a plurality of items associated with an individual from the information processing apparatus;
Generating abstract candidate data by replacing words that are values of items in the target data with abstract words ;
Testing a condition that a combination of values of the abstraction candidate data items is not limited to one individual of the target data;
And outputting the abstracted candidate data satisfying the condition of the test anonymously, it will run the distribution management device,
Obtaining anonymous information that satisfies the conditions of the test;
Receiving distribution information for a specific value of anonymous information that satisfies the condition of the test;
A specific value of anonymous information that satisfies the conditions for the test, and a step of transmitting distribution information for the specific value to the information processing device, and
The information processing apparatus is
Refer to a database that associates the anonymous information that satisfies the condition of the test and the identification information of the individual, identifies the individual corresponding to the specific value received from the distribution management device, and Execute the step of outputting distribution information,
Information processing method.
前記匿名化装置が、
個人と対応付けられた複数の項目を含む対象データを記憶する情報処理装置から前記対象データを取得するステップと、
前記対象データ中の項目の値である語を抽象化した語に替えて抽象化候補データを生成するステップと、
前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定するステップと、
前記検定の条件を満たした抽象化候補データを匿名情報として前記情報処理装置に出力するステップと、を実行し、
前記配信管理装置が、
前記情報処理装置から前記検定の条件を満たした匿名情報を取得するステップと、
前記検定の条件を満たした匿名情報の特定の値に対する配信情報を受信するステップと、
前記検定の条件を満たした匿名情報の特定の値、及び当該特定の値に対する配信情報を前記情報処理装置へ送信することで、前記情報処理装置に、前記特定の値と対応する個人
に対して前記配信情報を出力させるステップと、を実行する、
情報処理方法。 An information processing method executed by an information processing system including an anonymization device and a distribution management device,
The anonymization device is
Obtaining the target data from an information processing apparatus that stores target data including a plurality of items associated with an individual;
Generating abstract candidate data by replacing words that are values of items in the target data with abstract words ;
Testing a condition that a combination of values of the abstraction candidate data items is not limited to one individual of the target data;
Perform, and outputting to the information processing apparatus abstraction candidate data satisfying the condition of the test anonymously,
The distribution management device is
Obtaining anonymous information that satisfies the conditions of the test from the information processing device;
Receiving distribution information for a specific value of anonymous information that satisfies the condition of the test;
By transmitting to the information processing device a specific value of anonymous information that satisfies the condition of the test and distribution information for the specific value, the information processing device is sent to the individual corresponding to the specific value. Outputting the distribution information; and
Information processing method.
前記匿名化装置に、
個人と対応付けられた複数の項目を含む対象データを前記情報処理装置から取得するステップと、
前記対象データ中の項目の値である語を抽象化した語に替えて抽象化候補データを生成するステップと、
前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定するステップと、
前記検定の条件を満たした抽象化候補データを匿名情報として出力するステップと、を実行させるための第1のプログラムと、
前記配信管理装置に、
前記検定の条件を満たした匿名情報を取得するステップと、
前記検定の条件を満たした匿名情報の特定の値に対する配信情報を受信するステップと、
前記検定の条件を満たした匿名情報の特定の値、及び当該特定の値に対する配信情報を前記情報処理装置へ送信するステップと、を実行させるための第2のプログラムと、
前記情報処理装置に、
前記検定の条件を満たした匿名情報と前記個人の識別情報とを対応付けたデータベースを参照し、前記配信管理装置から受信した前記特定の値と対応する個人を特定し、当該個人に対して前記配信情報を出力させるステップを実行させるための第3のプログラムと、を含む情報処理プログラム。 An information processing program provided by an information processing system for distributing distribution information, executed by an information processing device, an anonymization device, and a distribution management device,
In the anonymization device,
Obtaining target data including a plurality of items associated with an individual from the information processing apparatus;
Generating abstract candidate data by replacing words that are values of items in the target data with abstract words ;
Testing a condition that a combination of values of the abstraction candidate data items is not limited to one individual of the target data;
A first program for executing the steps, the outputting abstraction candidate data satisfying the condition of the test anonymously,
In the distribution management device,
Obtaining anonymous information that satisfies the conditions of the test;
Receiving distribution information for a specific value of anonymous information that satisfies the condition of the test;
A second value program for executing a specific value of anonymous information that satisfies the condition of the test, and a step of transmitting distribution information for the specific value to the information processing device;
In the information processing apparatus,
Refer to a database that associates the anonymous information that satisfies the condition of the test and the identification information of the individual, identifies the individual corresponding to the specific value received from the distribution management device, and A third program for executing a step of outputting distribution information.
前記匿名化装置に、
個人と対応付けられた複数の項目を含む対象データを記憶する情報処理装置から前記対象データを取得するステップと、
前記対象データ中の項目の値である語を抽象化した語に替えて抽象化候補データを生成するステップと、
前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定するステップと、
前記検定の条件を満たした抽象化候補データを匿名情報として前記情報処理装置に出力するステップと、を実行させるための第1のプログラムと、
前記配信管理装置に、
前記情報処理装置から前記検定の条件を満たした匿名情報を取得するステップと、
前記検定の条件を満たした匿名情報の特定の値に対する配信情報を受信するステップと、
前記検定の条件を満たした匿名情報の特定の値、及び当該特定の値に対する配信情報を前記情報処理装置へ送信することで、前記情報処理装置に、前記特定の値と対応する個人に対して前記配信情報を出力させるステップを実行させるための第2のプログラムと、
を含む情報処理プログラム。 An information processing program provided in an information processing system for distributing distribution information and executed by an anonymization device and a distribution management device,
In the anonymization device,
Obtaining the target data from an information processing apparatus that stores target data including a plurality of items associated with an individual;
Generating abstract candidate data by replacing words that are values of items in the target data with abstract words ;
Testing a condition that a combination of values of the abstraction candidate data items is not limited to one individual of the target data;
A first program for executing the steps of: outputting to the information processing apparatus abstraction candidate data satisfying the condition of the test anonymously,
In the distribution management device,
Obtaining anonymous information that satisfies the conditions of the test from the information processing device;
Receiving distribution information for a specific value of anonymous information that satisfies the condition of the test;
By transmitting to the information processing device a specific value of anonymous information that satisfies the condition of the test and distribution information for the specific value, the information processing device is sent to the individual corresponding to the specific value. A second program for executing the step of outputting the distribution information;
Information processing program including
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017074001A JP6310112B2 (en) | 2017-04-03 | 2017-04-03 | Information processing system, information processing method, and information processing program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017074001A JP6310112B2 (en) | 2017-04-03 | 2017-04-03 | Information processing system, information processing method, and information processing program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013023606A Division JP6214167B2 (en) | 2013-02-08 | 2013-02-08 | Information processing system, information processing method, and information processing program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017126368A JP2017126368A (en) | 2017-07-20 |
JP6310112B2 true JP6310112B2 (en) | 2018-04-11 |
Family
ID=59364364
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017074001A Active JP6310112B2 (en) | 2017-04-03 | 2017-04-03 | Information processing system, information processing method, and information processing program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6310112B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7099865B2 (en) * | 2018-05-07 | 2022-07-12 | 株式会社エム・エイチ・アイ | Information provision system, information provision method and program |
CN109064277B (en) * | 2018-07-25 | 2022-05-24 | 北京小米移动软件有限公司 | Commodity display method and device |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003108846A (en) * | 2001-09-28 | 2003-04-11 | Fujitsu Ltd | Sales promotion method, and sales promotion device |
US8856939B2 (en) * | 2008-09-05 | 2014-10-07 | Iowa State University Research Foundation, Inc. | Cloaking with footprints to provide location privacy protection in location-based services |
-
2017
- 2017-04-03 JP JP2017074001A patent/JP6310112B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017126368A (en) | 2017-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2010216147B2 (en) | Characterizing user information | |
US10600088B2 (en) | Targeting online ads based on healthcare demographics | |
US20050086109A1 (en) | Methods and apparatus for posting messages on documents delivered over a computer network | |
KR102257403B1 (en) | Personal Information Management Device, System, Method and Computer-readable Non-transitory Medium therefor | |
JP6214167B2 (en) | Information processing system, information processing method, and information processing program | |
JP2014153944A (en) | Information processing apparatus | |
King et al. | Profiling the mobile customer–Is industry self-regulation adequate to protect consumer privacy when behavioural advertisers target mobile phones?–Part II | |
US20090106098A1 (en) | Affiliated advertising widget | |
CN102246195A (en) | Information management support method, management information visualization device, information management system, and management information visualization method | |
KR102268778B1 (en) | System and method for providing target commercial service using customized commercial contents and feedback based realtime changing advertisment platform | |
JP2017126215A (en) | Device, method, and program for selecting information | |
JP6104674B2 (en) | Anonymous information distribution system, anonymous information distribution method, and anonymous information distribution program | |
WO2015004820A1 (en) | Electronic correspondence device, electronic correspondence method, and program storage medium | |
JP2009288906A (en) | Advertising effect measurement server and method of measuring effect of advertising | |
JP2016191978A (en) | Benefit granting management system and benefit granting management method | |
JP6310112B2 (en) | Information processing system, information processing method, and information processing program | |
JP6214150B2 (en) | Information processing apparatus, information processing method, and information processing program | |
Borenstein et al. | The effects of targeted digital advertising on consumer welfare | |
KR102218235B1 (en) | method and system for providing customized advertisement service | |
JP2002041408A (en) | Electronic mail system for direct advertisement | |
JP2009093552A (en) | Information collecting program, information collecting device, and method | |
Geronimo | Online browsing: Can, should, and may companies combine online and offline data to learn about you | |
JP2007164487A (en) | Beauty salon customer information system, customer information collection transmission device, program, and method, and customer information system | |
Jordan | Strengths and Weaknesses of Notice and Consent Requirements under the GDPR, the CCPA/CPRA, and the FCC Broadband Privacy Order | |
JP2021022403A (en) | Information selection device, information selection method, and information selection program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180129 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180213 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180315 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6310112 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |