JP6334915B2 - Anonymization system - Google Patents
Anonymization system Download PDFInfo
- Publication number
- JP6334915B2 JP6334915B2 JP2013270368A JP2013270368A JP6334915B2 JP 6334915 B2 JP6334915 B2 JP 6334915B2 JP 2013270368 A JP2013270368 A JP 2013270368A JP 2013270368 A JP2013270368 A JP 2013270368A JP 6334915 B2 JP6334915 B2 JP 6334915B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- anonymous information
- authority
- anonymization
- anonymous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、個人情報を匿名化又は多様化して利用する技術に関する。 The present invention relates to a technique for using personal information by making it anonymous or diversified.
情報処理技術の発展に伴い、日常の多くの場面で情報が収集され、この収集された情報を用いた処理が行われている。例えば、消費者が店舗の会員となって商品を購入する場合、会員登録時に消費者の氏名、年齢、性別、住所、メールアドレス等を登録することが多い。そして、消費者が商品を購入すると、店舗側のシステムが、この消費者と購入した商品の情報を対応付けて記録する。このように購入した商品の情報を蓄積して分析すると、当該消費者の嗜好が推定でき、この消費者が好む新商品が発売されたような場合にダイレクトメールを発送するといったサービスを行うことができる。更に、多くの消費者の情報について分析することで、20代女性の好む商品や関東エリアで好まれる商品といった情報を導くことができ、マーケティング等に利用される。 With the development of information processing technology, information is collected in many everyday situations, and processing using the collected information is performed. For example, when a consumer purchases a product as a member of a store, the consumer's name, age, gender, address, e-mail address, etc. are often registered at the time of membership registration. When a consumer purchases a product, the store-side system records the consumer and the purchased product information in association with each other. By accumulating and analyzing information on purchased products in this way, it is possible to estimate the consumer's preferences and perform a service such as sending a direct mail when a new product preferred by the consumer is released. it can. Furthermore, by analyzing information of many consumers, information such as products preferred by women in their 20s and products preferred in the Kanto area can be derived and used for marketing and the like.
これらの情報は、当該店舗だけでなく、商品を製造するメーカや、他の企業にとっても利用価値が高く、例えば広告やクーポン等のレコメンドに用いたいという要求があった。 Such information has high utility value not only for the store but also for the manufacturer of the product and other companies, and there has been a demand to use it for recommendations such as advertisements and coupons.
しかし、店舗が有する消費者の個人情報を各消費者の許諾を得ずに、他者へ提供することはできない。このため、上記消費者に関する情報を他者へ提供する場合には、個人を特定できないように、匿名化する必要がある。 However, the consumer's personal information in the store cannot be provided to others without obtaining the consent of each consumer. For this reason, when providing information related to the consumer to others, it is necessary to anonymize so that individuals cannot be identified.
従来の匿名化方法には、氏名や電話番号のように個人を直接特定する情報を削除することで匿名化を行うものがあるが、これだけでは不十分な場合がある。例えば、年齢が記載されている会員リストに25歳の人が一人だけであると、25歳の知人がその会員であることを知った時点で、その人を特定できることになる。即ち、25歳の会員という属性を持つ人が一人だけであると、他の情報と照らし合わせることで、間接的に個人を特定できる可能性が高い。
Some conventional anonymization methods perform anonymization by deleting information that directly identifies an individual such as a name and a telephone number, but this alone may not be sufficient. For example, if there is only one
そこで、会員リストの年齢の記載を10歳区切りに抽象化し、20代が3人のように同じ属性を持つ人が複数人となるようにすれば、3人のうちの誰であるかを特定できなくなる。このように、個人情報を他の事業者へ提供する場合は、直接的に個人を特定できないことは勿論、間接的にも個人を特定できないよう充分な匿名化を行うことが望まれている。 Therefore, if the age description in the member list is abstracted into 10-year breaks, and there are multiple people with the same attribute, such as three in their 20s, who of the three is identified become unable. As described above, when providing personal information to other business operators, it is desired that anonymization is sufficiently performed so that an individual cannot be identified indirectly, as well as an individual cannot be identified directly.
また、匿名情報の重要度等に応じて、匿名情報にアクセス出来る権限のランクを設定し、このランク以上の権限を有する人には、匿名情報へのアクセスを許可し、このランク以上の権限がない人には匿名情報へのアクセスを許可しないようにアクセス管理を行うことがある。 Also, depending on the importance of anonymous information, etc., set the rank of authority that can access anonymous information, and for those who have authority over this rank, allow access to anonymous information, and authority over this rank Access management may be performed so that no one is allowed access to anonymous information.
充分な匿名化を行うために各項目の値を抽象化し過ぎると、例え匿名性を満たしても利用価値の無いデータとなってしまうことがある。例えば、ファッションの傾向を知るためにデータを利用する場合、年齢の項目は重要であり、匿名化のために年齢の項目を抽象化し過ぎると、ファッションに関するマーケティングデータとしての利用価値は無くなってしまう。また、匿名性を満たすため、単に同じ属性を持つ人が複数人となるように年齢の項目を区切って抽象化した結果、例えば17歳以上22歳未満のような区切りでグループが作成されると、同一グループに成年と未成年が混在したり、高校生と社会人が混在したりすることになり、嗜好や生活スタイルが大きく異なる人の情報が混在してしまい統計情報やマーケティング情報としての利用価値が無くなってしまう。 If the value of each item is excessively abstracted in order to perform sufficient anonymization, even if the anonymity is satisfied, there may be data having no utility value. For example, when data is used to know the trend of fashion, the age item is important, and if the age item is excessively abstracted for anonymization, the use value as fashion marketing data is lost. In addition, in order to satisfy anonymity, as a result of separating and abstracting age items so that there are multiple people with the same attribute, for example, when a group is created with a break such as 17 to 22 years old Since the same group is mixed with adults and minors, high school students and working adults are mixed, information on people with very different tastes and lifestyles is mixed, and the use value as statistical information and marketing information Will disappear.
そこで本出願人は、複数の抽象化候補を作成し、各抽象化候補の価値を求めて、価値の高い抽象化候補を匿名情報として選択することで、自動的に利用価値の高い匿名情報が得られるようにした匿名化システムを提案している。 Therefore, the applicant creates a plurality of abstraction candidates, obtains the value of each abstraction candidate, and selects a high-value abstraction candidate as anonymous information, so that anonymous information with high utility value is automatically obtained. We propose an anonymization system that can be obtained.
一方、アクセス管理を行うためには、管理者が、利用者のアクセス権限のランクについて、各利用者の所属や立場、契約等に応じて、予め決定していた。また、匿名情報のアクセス権限のランクについても管理者が、当該匿名情報のジャンルや、重要度、抽象化の程度等に応じて決定していた。 On the other hand, in order to perform access management, the administrator determines the rank of the access authority of the user in advance according to the affiliation, position, contract, etc. of each user. Also, the rank of the access authority for anonymous information is determined by the administrator according to the genre, importance, and level of abstraction of the anonymous information.
このようにアクセス権の設定は、人手を要する負荷の高い処理である。従って上述のように自動的に利用価値の高い匿名情報が得られるようにした匿名化システムにおいて、複数の匿名情報が自動的に得られたとしても、各匿名情報に手動でアクセス権限のレベルを決定していたのでは、円滑に匿名情報を提供することができない。 Thus, the setting of access rights is a high-load process that requires manpower. Therefore, in the anonymization system in which anonymous information having high utility value is automatically obtained as described above, even if a plurality of anonymous information is automatically obtained, the level of access authority is manually set for each anonymous information. If it has been decided, anonymous information cannot be provided smoothly.
特に、様々な利用者にとって利用価値の高い匿名情報を提供できるように、抽象化の程度や抽象化する項目を変えて非常に多くの匿名情報を生成する場合、各々の匿名情報についてアクセル権限のレベルを手動で設定するのは現実的でないため、このように様々な利用者のニーズに特化した多種の匿名情報をアクセス管理することが出来なかった。 In particular, when generating a large amount of anonymous information by changing the degree of abstraction and the items to be abstracted so that anonymous information with high utility value can be provided for various users, the accelerator authority of each anonymous information Since it is not practical to set the level manually, it was not possible to access and manage various types of anonymous information specialized for the needs of various users.
そこで本発明は、匿名情報を構成する語の出現数に基づいてアクセス権限を求め、アクセス権限を自動で設定して適切にアクセス管理を行う技術を提供する。 Therefore, the present invention provides a technique for obtaining access authority based on the number of occurrences of words constituting anonymous information, and automatically setting access authority and appropriately managing access.
上記課題を解決するため、本発明の権限設定装置は、
匿名情報を取得する匿名情報取得部と、
前記匿名情報を構成する語の出現数を求める出現数取得部と、
前記匿名情報の出現数に基づいて当該匿名情報のアクセス権限を決定する権限決定部と、を備える。
In order to solve the above problems, the authority setting device of the present invention is
An anonymous information acquisition unit for acquiring anonymous information;
An appearance number obtaining unit for obtaining the number of appearances of words constituting the anonymous information;
An authority determining unit that determines an access authority for the anonymous information based on the number of appearances of the anonymous information.
前記権限設定装置は、前記匿名情報を構成する語の出現数のうち最少の出現数を最少出現数とし、前記匿名情報を構成する語の全数に対する前記最少出現数の割合を最少出現率とし、前記権限決定部が、前記最少出現率に基づいて当該匿名情報のアクセス権限を決定しても良い。 The authority setting device has the minimum number of appearances of the words constituting the anonymous information as the minimum number of appearances, and the ratio of the minimum number of appearances to the total number of words constituting the anonymous information as the minimum appearance rate, The authority determining unit may determine the access authority for the anonymous information based on the minimum appearance rate.
前記権限設定装置は、前記匿名情報の最少出現率と前記アクセス権限とを対応付けて記憶した権限記憶部を参照して、前記権限決定部が前記匿名情報の出現数に基づく前記アクセス権限を決定しても良い。 The authority setting device refers to an authority storage unit that associates and stores a minimum appearance rate of the anonymous information and the access authority, and the authority determining unit determines the access authority based on the number of appearances of the anonymous information. You may do it.
前記権限設定装置は、前記権限決定部が、前記匿名情報の最少出現率に応じて前記アクセス権限のランクを決定しても良い。 In the authority setting device, the authority determining unit may determine the rank of the access authority according to a minimum appearance rate of the anonymous information.
また、上記課題を解決するため、本発明の匿名化装置は、
匿名化の対象データを取得するデータ取得部と、
前記対象データを構成する複数の語の少なくとも一つを抽象化して抽象化候補データとする抽象化部と、
前記抽化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定する検定部と、
前記検定の条件を満たした前記抽象化候補データを匿名情報として選択する選択部と、
前記匿名情報を構成する語の出現数を求める出現数取得部と、
前記匿名情報の出現数に基づいて当該匿名情報のアクセス権限を決定する権限決定部と、を備える。
Moreover, in order to solve the said subject, the anonymization apparatus of this invention is
A data acquisition unit for acquiring anonymization target data;
An abstraction unit that abstracts at least one of a plurality of words constituting the target data to be abstraction candidate data;
A test unit for testing on condition that the combination of the values of the items of the extraction candidate data is not limited to one individual of the target data;
A selection unit that selects the abstraction candidate data satisfying the test condition as anonymous information;
An appearance number obtaining unit for obtaining the number of appearances of words constituting the anonymous information;
An authority determining unit that determines an access authority for the anonymous information based on the number of appearances of the anonymous information.
前記匿名化装置は、前記匿名情報を構成する語の出現数のうち最少の出現数を最少出現数とし、前記匿名情報を構成する語の全数に対する前記最少出現数の割合を最少出現率とし、前記権限決定部が、前記最少出現率に基づいて当該匿名情報のアクセス権限を決定しても良い。 The anonymization device, the number of appearances of the words constituting the anonymous information is the minimum number of appearances, the ratio of the minimum number of appearances to the total number of words constituting the anonymous information is the minimum appearance rate, The authority determining unit may determine the access authority for the anonymous information based on the minimum appearance rate.
前記匿名化装置は、前記匿名情報の最少出現率と前記アクセス権限とを対応付けて記憶した権限記憶部を参照して、前記権限決定部が前記匿名情報の出現数に基づく前記アクセス権限を決定しても良い。 The anonymization device refers to an authority storage unit that associates and stores a minimum appearance rate of the anonymous information and the access authority, and the authority determination unit determines the access authority based on the number of appearances of the anonymous information. You may do it.
前記匿名化装置は、前記権限決定部が、前記匿名情報の最少出現率に応じて前記アクセス権限のランクを決定しても良い。 In the anonymization device, the authority determining unit may determine the rank of the access authority according to a minimum appearance rate of the anonymous information.
また、上記課題を解決するため、本発明の匿名化システムは、
匿名化の対象データを取得するデータ取得部と、
前記対象データを構成する複数の語の少なくとも一つを抽象化して抽象化候補データとする抽象化部と、
前記抽化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定する検定部と、
前記検定の条件を満たした前記抽象化候補データを匿名情報として選択する選択部と、
前記匿名情報を構成する語の出現数を求める出現数取得部と、
前記匿名情報の出現数に基づいて当該匿名情報のアクセス権限を決定する権限決定部と、
ユーザの端末から前記匿名情報へのアクセス要求を受けた場合に、当該ユーザのアクセス権限と当該匿名情報のアクセス権限とを比較し、当該ユーザのアクセス権限が当該匿名情報のアクセスに必要なアクセス権限とを比較し、レベルと対応する匿名レベルの匿名情報へのアクセスを許可するアクセス制御部と、
を備える。
Moreover, in order to solve the said subject, the anonymization system of this invention is
A data acquisition unit for acquiring anonymization target data;
An abstraction unit that abstracts at least one of a plurality of words constituting the target data to be abstraction candidate data;
A test unit for testing on condition that the combination of the values of the items of the extraction candidate data is not limited to one individual of the target data;
A selection unit that selects the abstraction candidate data satisfying the test condition as anonymous information;
An appearance number obtaining unit for obtaining the number of appearances of words constituting the anonymous information;
An authority determining unit that determines the access authority of the anonymous information based on the number of appearances of the anonymous information;
When an access request to the anonymous information is received from the user's terminal, the access authority of the user is compared with the access authority of the anonymous information, and the access authority of the user is necessary for accessing the anonymous information. And an access control unit that permits access to anonymous information of the anonymous level corresponding to the level,
Is provided.
前記匿名化システムは、前記匿名情報を構成する語の出現数のうち最少の出現数を最少出現数とし、前記匿名情報を構成する語の全数に対する前記最少出現数の割合を最少出現率とし、前記権限決定部が、前記最少出現率に基づいて当該匿名情報のアクセス権限を決定しても良い。 The anonymization system is defined as the minimum number of appearances of the words constituting the anonymous information, the minimum number of appearances, and the ratio of the minimum number of appearances to the total number of words constituting the anonymous information as the minimum appearance rate, The authority determining unit may determine the access authority for the anonymous information based on the minimum appearance rate.
前記匿名化システムは、前記匿名情報の最少出現率と前記アクセス権限とを対応付けて記憶した権限記憶部を参照して、前記権限決定部が前記匿名情報の出現数に基づく前記アクセス権限を決定しても良い。 The anonymization system refers to an authority storage unit that associates and stores a minimum appearance rate of the anonymous information and the access authority, and the authority determination unit determines the access authority based on the number of appearances of the anonymous information. You may do it.
前記匿名化システムは、前記権限決定部が、前記匿名情報の最少出現率に応じて前記アクセス権限のランクを決定しても良い。 In the anonymization system, the authority determining unit may determine the rank of the access authority according to a minimum appearance rate of the anonymous information.
また、上記課題を解決するため、本発明の権限設定方法は、
匿名情報を取得するステップと、
前記匿名情報を構成する語の出現数を求めるステップと、
前記匿名情報の出現数に基づいて当該匿名情報のアクセス権限を決定するステップと、をコンピュータが実行する。
In addition, in order to solve the above problem, the authority setting method of the present invention includes:
Obtaining anonymous information;
Determining the number of occurrences of words constituting the anonymous information;
The computer executes a step of determining an access authority for the anonymous information based on the number of appearances of the anonymous information.
前記権限設定方法において、前記コンピュータは、前記匿名情報を構成する語の出現数のうち最少の出現数を最少出現数とし、前記匿名情報を構成する語の全数に対する前記最少出現数の割合を最少出現率とし、前記最少出現率に基づいて当該匿名情報のアクセス権限を決定しても良い。 In the authority setting method, the computer sets the minimum number of appearances of the words constituting the anonymous information as the minimum number of appearances, and minimizes the ratio of the minimum number of appearances to the total number of words constituting the anonymous information. The access rate for the anonymous information may be determined based on the minimum appearance rate.
前記権限設定方法において、前記コンピュータは、前記匿名情報の最少出現率と前記アクセス権限とを対応付けて記憶した権限記憶部を参照して、前記匿名情報の出現数に基づく前記アクセス権限を決定しても良い。 In the authority setting method, the computer determines the access authority based on the number of appearances of the anonymous information with reference to an authority storage unit that stores the minimum appearance rate of the anonymous information and the access authority in association with each other. May be.
前記権限設定方法において、前記コンピュータは、前記匿名情報の最少出現率に応じて前記アクセス権限のランクを決定しても良い。 In the authority setting method, the computer may determine the rank of the access authority according to a minimum appearance rate of the anonymous information.
また、本発明は、上記権限設定方法をコンピュータに実行させるための権限設定プログラムであっても良い。更に、前記権限設定プログラムは、コンピュータが読み取り可能な記憶媒体に記録されていても良い。 Further, the present invention may be an authority setting program for causing a computer to execute the authority setting method. Further, the authority setting program may be recorded on a computer-readable storage medium.
ここで、コンピュータが読み取り可能な記憶媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記憶媒体をいう。このような記憶媒体の内コンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD-ROM、CD-R/W、DVD、DAT、8mmテープ、メモリカード等がある。また、コンピュータに固定された記憶媒体としてハードディスクやROM(リードオンリーメモリ)等がある。 Here, the computer-readable storage medium refers to a storage medium that stores information such as data and programs by electrical, magnetic, optical, mechanical, or chemical action and can be read from the computer. . Examples of such storage media that can be removed from the computer include a flexible disk, a magneto-optical disk, a CD-ROM, a CD-R / W, a DVD, a DAT, an 8 mm tape, and a memory card. Further, there are a hard disk, a ROM (read only memory) and the like as a storage medium fixed to the computer.
本発明は、匿名情報を構成する語の出現数に基づいてアクセス権限を求め、アクセス権限を自動で設定して適切にアクセス管理を行う技術を提供できる。 INDUSTRIAL APPLICABILITY The present invention can provide a technique for obtaining access authority based on the number of appearances of words constituting anonymous information, automatically setting access authority, and appropriately managing access.
以下、図面を参照して本発明を実施するための形態について説明する。以下の実施の形態の構成は例示であり、本発明は実施の形態の構成に限定されない。 Hereinafter, embodiments for carrying out the present invention will be described with reference to the drawings. The configuration of the following embodiment is an exemplification, and the present invention is not limited to the configuration of the embodiment.
〈実施形態1〉
§1.匿名化
図1はk−匿名化の説明図であり、図1(A)は、姓、年齢、性別の項目を含む会員情
報から姓の項目を削除した例を示す。
<
§1. Anonymization FIG. 1 is an explanatory diagram of k-anonymization, and FIG. 1A shows an example in which the last name item is deleted from the member information including the last name, age, and sex items.
図1(A)に示すように年齢が記載されている会員情報に16歳の女性が一人だけであると、16歳の女性が、この会員であることが分かった時点で、その人を特定できる。即ち、16歳・女性という属性を持つ人が一人だけであると、他の情報と照らし合わせることで、個人を特定できる可能性がある。 As shown in Fig. 1 (A), if there is only one 16-year-old woman in the member information in which the age is described, when the 16-year-old woman is found to be this member, the person is identified. it can. That is, if there is only one person with the attribute of 16 years old and female, there is a possibility that an individual can be identified by comparing with other information.
図1(B)では、会員リストの年齢の記載を抽象化し、0代(10歳未満)、10代、20代のように年代別とした。しかし、この場合でも10代女性は一人だけであり、図1(A)と同様に個人が特定できてしまい匿名化としては不十分である。 In FIG. 1 (B), the description of the age in the member list is abstracted and classified by age, such as 0's (under 10 years), 10's, and 20's. However, even in this case, there is only one female teenager, and an individual can be identified as in FIG. 1A, which is insufficient for anonymization.
そこで、図1(C)では、更に抽象化し、10代以下(19歳以下)と20代のように年代の区切りを変更した。図1(C)の場合、10代以下の女性が2人であり、[10代以下]及び[女性]という属性が単一では無くなる。このため前述のように16歳の女性が、この会員であることが分かったとしても、どちらが当該16歳女性のデータであるかは特定できない。このように同じ属性を持つ人がk人(本例では2人)以上いる状態を、「k-匿名性」を満たすと称し、そのようにデータを加工することを「k-匿名化」と称する。 Therefore, in FIG. 1 (C), it was further abstracted and the age divisions were changed to those in their teens (under 19 years old) and those in their 20s. In the case of FIG. 1C, there are two women in their teens or less, and the attributes of “10 or less” and [female] are not single. For this reason, even if it turns out that a 16-year-old woman is this member as mentioned above, it cannot be specified which is the data of the 16-year-old woman. In this way, the state where there are more than k people (2 people in this example) with the same attribute is called “k-anonymity”, and processing such data as “k-anonymization” Called.
図2は、l−多様化の説明図であり、ユーザ毎の利用駅のデータを抽象化し、ユーザ毎の利用駅が属する区のデータとした例を示す。 FIG. 2 is an explanatory diagram of l-diversification, and shows an example in which the data of the used station for each user is abstracted and used as data of the ward to which the used station for each user belongs.
抽象化前のデータでは、駅が特定されているために、住居が新宿駅付近で勤務地が東京駅付近といったデータと照らし合わせることでユーザを特定できる可能性がある。このため利用駅を抽象化して、利用駅が属する区とすることで、新宿区内の駅と千代田区内の駅を利用するユーザが複数となり、利用者が特定されなくなる。このように「新宿区内の駅と千代田区内の駅を利用する」のように属性値がl種類の可能性を持つ状態を、「l-多
様性」を満たすと称し、そのようにデータを加工することを「l-多様化」と称する。
In the pre-abstraction data, since the station is specified, there is a possibility that the user can be specified by comparing the data such as the residence near Shinjuku Station and the work place near Tokyo Station. For this reason, by abstracting the use station and making it a ward to which the use station belongs, there are a plurality of users who use stations in Shinjuku ward and stations in Chiyoda ward, and the user is not specified. In this way, the state where the attribute value has the possibility of l types, such as “Use stations in Shinjuku ward and Chiyoda ward” is called “I-diversity” and data like that Is called “l-diversification”.
本実施形態1の匿名化システム100は、この「k-匿名性」や「l-多様性」を満たす
ように対象データを抽象化する、即ちデータの項目の値の組み合わせが、対象データの一個人に限定されないように抽象化することにより匿名化を行う。
The
§2.システム構成
図3は、匿名化システムの機能ブロック図である。本実施形態1の匿名化システム100は、個人情報の匿名化を行う匿名化装置10や、匿名化装置10で匿名化された匿名情報を記憶する匿名情報DB145、ユーザ端末30からのアクセス要求を受信し、各ユーザのアクセス権限に応じて匿名情報を提供する管理サーバ20を有する。
§2. System Configuration FIG. 3 is a functional block diagram of the anonymization system. The
図3に示すように匿名化装置10は、データ取得部101や、抽象化部102、検定部103、選択部104、価値判定部106、価値データ取得部107、ワードカテゴリ分析部108、ワード価値計算部109、出現数取得部111、権限決定部112、個人情報データベース(DB)131、公開条件DB132、検索情報蓄積DB133、一時処理DB134、権限設定DB(権限記憶部)135を備えている。
As shown in FIG. 3, the
データ取得部101は、個人と対応付けられた複数の項目を含むデータ、即ち個人情報を匿名化の対象データとして取得する。例えば、データ取得部101は、ネットワークを介して他のコンピュータからデータを受信する、又はネットワークを介してデータベースから対象データを読み出す。また、データ取得部101は、イベント会場の来場者が記載
したアンケートや来場者から聞き取った個人情報をキーボード等から入力して個人情報DB131に記憶しておき、この個人情報を個人情報DB131からデータ取得部101が対象データとして読み出す。また、来場者の名刺やアンケートに記載された事項を読み取り、OCR(Optical Character Recognition)により電子データとしても良いし、来場
者のRF−IDタグやICチップ等から当該来場者の情報を取得しても良い。なお、データ取得部101は、匿名化の対象データだけでなく、事業者側で匿名化した匿名情報を取得しても良い。即ち、データ取得部101は、匿名情報取得部として機能しても良い。
The
抽象化部102は、前記次元からなる統合匿名化辞書を参照し、前記対象データ中の項目の値である語を前記優先度に基づいて抽象化した語に替えて匿名化候補データを生成する。
The
検定部103は、前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定する。例えば、検定部103は、抽象化候補データの項目の値の組み合わせが、k−匿名性を満たすこと、或いはl−多様性を満たすことを条件として検定する。
The
選択部104は、検定の条件を満たした抽象化候補データの価値に基づいて抽象化候補データを選択する。例えば、選択部104は、k−匿名性やl−多様性を満たした抽象化候補データを価値が高い順に所定数選択する。また、選択部104は、k−匿名性やl−多様性を満たした抽象化候補データのうち、最も価値が高い抽象化候補データを選択しても良い。
The
価値判定部106は、抽象化候補データに含まれるワードの価値に基づいて当該抽象化候補データの価値を求める。
The
価値データ取得部107は、抽象化候補データに含まれるワードの価値データを検索情報蓄積DBから取得(受信)する。また、価値データ取得部107は、検索情報蓄積DBに前記ワードの価値データが登録されていない場合に、他の装置にリクエストし、取得した価値データを検索情報蓄積DBに登録する機能(データリクエスト)や、定期的に他の装置を巡回して最新の価値データを取得し、検索情報蓄積DBに登録されている価値データを更新する機能(データクローラ)を有する。本実施形態では、この価値データとして検索エンジン90から各ワードの統計情報を受信する。ここで、各ワードの統計情報は、例えばSEMの広告単価(クリック単価)や、クリック率、平均掲載順位、1日の表示回数、1日のクリック数等である。なお、価値の取得先は、検索エンジンに限らず、ウェブページやSNS等であっても良い。この場合、例えばウェブページやSNSにおける各ワードの使用頻度を価値としても良い。
The value
ワードカテゴリ分析部108は、ウェブサイト等のデータを分析して、新規のワードや、当該ワードを抽象化したワード(カテゴリ)を求め、検索情報蓄積DBに登録する。
The word
価値計算部109は、価値データ取得部107で取得したワードの価値に基づき、ワードの価値の年平均や月平均、週平均など、ワードの価値の統計情報を求める。
Based on the value of the word acquired by the value
出現数取得部111は、前記匿名情報を構成する語の出現数を求める。例えば、匿名情報において、一個人の情報を一つのデータ(1レコード)とし、同じ情報(語)が幾つ出現したかを出現数としてカウントする。なお、各個人の情報が、単一の項目からなる場合には、当該項目の値である語が同じもの毎に出現数をカウントし、複数の項目からなる場合には、当該複数の項目の値である語の組み合わせが同じもの毎に出現数をカウントする。
The appearance
また、出現数取得部111は、前記匿名情報を構成する語の出現数のうち最少の出現数を最少出現数とし、前記匿名情報を構成する語の全数に対する前記最少出現数の割合を最少出現率として求める出現率取得部として機能しても良い。
Further, the appearance
権限決定部112は、前記匿名情報の出現数又はこの出現数に基づいて算出した最少出現率等の値に基づいて当該匿名情報のアクセス権限を決定し、匿名情報に付加して匿名情報DB145に記憶させる。権限決定部112は、例えば、匿名情報の出現数又は前記出現数に基づいて算出した出現率等の値と前記アクセス権限とを対応付けて記憶した権限記憶部を参照して、前記権限決定部が前記匿名情報の出現数に基づく前記アクセス権限を決定する。
The
図4は、個人情報DB131の一例を示す図である。個人情報DB131は、データ取得部101が他のコンピュータから受信した個人情報やキーボード等の匿名化前の個人情報を記憶している。図4の個人情報は、例えば、個人ID、年齢、住所、車名等を記憶している。
FIG. 4 is a diagram illustrating an example of the
個人IDは、会員番号やシリアル番号等の個人を識別するための識別情報であり、氏名や電話番号、メールアドレスであっても良い。 The personal ID is identification information for identifying an individual such as a member number or a serial number, and may be a name, a telephone number, or an e-mail address.
車名は、当該個人の車を識別する情報であり、名称、通称、愛称等である。なお、本願において車名は、年式や型番等の識別情報を含んでも良い。 The vehicle name is information for identifying the individual vehicle, and is a name, common name, nickname, or the like. In the present application, the vehicle name may include identification information such as year and model number.
公開条件DB132は、公開可能な匿名情報の条件を記憶し、例えば「最少出現数が30以上の場合に公開可、但し外部公開不可」「キーワード=○○○が含まれている場合、△月□日以降公開可」のように、公開可能な最少出現数や、社外への公開の可否、公開不可とするキーワードを公開条件として記憶している。なお、公開条件は、「辞書ID=D1を用いた場合、最少出現数が5以上の場合に内部公開可、それ以下の場合は公開不可と
し、また、最少出現数が10以上の場合に外部公開可、それ以下の場合は外部公開不可とする」といったように、匿名化に用いた辞書に応じて公開の可否を定める条件であっても良い。
The
また、匿名情報DB145は、匿名化装置10で匿名化した匿名情報を記憶している。匿名情報DB145は、匿名化前の個人情報が異なる匿名情報や匿名化に用いる辞書が異なる匿名情報等、複数の匿名情報を記憶すると共に、これらの匿名情報へのアクセスを管理するための情報を記憶する。
The
図5は、匿名情報DB145に記憶される匿名情報の一例を示す図である。匿名情報は、個人情報の各語を抽象化したものであり、図5の例では、年代、住所(都道府県名)、車種、最少出現数を対応付けて記憶している。
FIG. 5 is a diagram illustrating an example of anonymous information stored in the
図6は、匿名情報へのアクセスを管理するための情報(以下アクセス管理情報とも称す)の一例を示す図である。このアクセス管理情報は、図6に示すように、例えば、レベル、匿名情報ID、使用辞書、最少出現率、情報種別、概要等を含んでいる。ここで、レベルは、当該匿名情報にアクセス可能な権限を示す情報であり、後述のように当該匿名情報の最少出現数や最少出現数に基づいて算出した最少出現率等の値に基づいて求めている。 FIG. 6 is a diagram illustrating an example of information for managing access to anonymous information (hereinafter also referred to as access management information). As shown in FIG. 6, this access management information includes, for example, a level, an anonymous information ID, a usage dictionary, a minimum appearance rate, an information type, an outline, and the like. Here, the level is information indicating an authority to access the anonymous information, and is obtained based on a value such as the minimum appearance rate calculated based on the minimum appearance number or the minimum appearance number of the anonymous information as described later. ing.
匿名情報IDは、匿名情報を一意に識別する情報である。使用辞書は、当該匿名情報の匿名化に用いた辞書を示す情報であり、例えば各辞書の識別情報である。最少出現率は、当該匿名情報を構成する語の全数に対する最少出現数の割合である。ここで最少出現数は
、当該匿名情報において同じ属性値を持つ個人の人数、即ち匿名情報を構成する語の出現数のうち最少のものである。
The anonymous information ID is information that uniquely identifies anonymous information. The use dictionary is information indicating a dictionary used for anonymization of the anonymous information, for example, identification information of each dictionary. The minimum appearance rate is a ratio of the minimum number of appearances to the total number of words constituting the anonymous information. Here, the minimum number of appearances is the smallest number of individuals having the same attribute value in the anonymous information, that is, the number of appearances of words constituting the anonymous information.
情報種別は、当該匿名情報が複数の個人情報に基づく統計情報であるか、特定の事業者が持つ個人情報を匿名化したものか等の種別を示す。図6の例では、匿名情報が、複数の匿名情報の平均や合計を求めた統計情報の場合に、この種別を平均又は合計と示し、特定の事業者の個人情報を匿名化したものの場合、この事業者の名称を示している。概要は、当該匿名情報の説明であり、例えば匿名情報に含まれる項目や匿名化の条件を示す。 The information type indicates a type such as whether the anonymous information is statistical information based on a plurality of personal information or anonymized personal information held by a specific business operator. In the example of FIG. 6, when the anonymous information is statistical information obtained by calculating the average or total of a plurality of anonymous information, this type is shown as average or total, and the personal information of a specific business operator is anonymized, The name of this company is shown. The overview is an explanation of the anonymous information, and shows items included in the anonymous information and conditions for anonymization, for example.
なお、匿名情報DB145は、匿名化装置10又は管理サーバ20が備えた記憶装置に格納されたものでも良いし、匿名化装置10及び管理サーバ20からアクセス可能であれば独立したファイルサーバ等の装置に格納されたものでも良い。
The
また、管理サーバ20は、図3に示すように、要求受付部201や、アクセス制御部202、出力制御部203、ユーザ管理DB251を備えている。
As shown in FIG. 3, the
要求受付部201は、匿名情報を取得するためのアクセス要求を利用者の端末から受信する。
The
アクセス制御部202は、利用者からのアクセス要求を受信した場合に、当該利用者の権限レベルと対応する匿名レベルの匿名情報へのアクセスを許可する。
When the
出力制御部203は、アクセス制御部202によってアクセスを許可した匿名情報を匿名情報DB145から読み出して出力する。例えば要求元の利用者の端末30へ送信する。ここで、匿名情報の出力とは、表示装置による表示出力や、プリンタによる印刷出力、他のコンピュータへの送信、記憶媒体への書き込み等であっても良い。
The
図7は匿名化装置10のハードウェア構成を示す図である。匿名化装置10は、CPU11、メモリ12、通信制御部13、記憶装置14、入出力インタフェース15を有する所謂コンピュータである。
FIG. 7 is a diagram illustrating a hardware configuration of the
CPU11は、メモリ12に実行可能に展開されたプログラムを実行し、前述のデータ取得部101や、抽象化部102、検定部103、選択部104、価値判定部106、価値データ取得部107、ワードカテゴリ分析部108、ワード価値計算部109、出現数取得部111、権限決定部112の機能を提供する。
The
メモリ12は、主記憶装置ということもできる。メモリ12は、例えば、CPU11が実行するプログラムや、通信制御部13を介して受信したデータ、記憶装置14から読み出したデータ、その他のデータ等を記憶する。
The
通信制御部13は、ネットワークを介して他の装置と接続し、当該装置との通信を制御する。入出力インタフェース15は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。ドライブ装置は、着脱可能な記憶媒体の読み書き装置であり、例えば、フラッシュメモリカードの入出力装置、USBメモリを接続するUSBのアダプタ等である。また、着脱可能な記憶媒体は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、ブルーレイディスク(Blu-ray(登録商標) Disc)等のディスク媒体であってもよい。ドライブ装置は、着脱可能な記憶媒体からプログラムを読み出し、記憶装置14に格納する。
The
記憶装置14は、外部記憶装置ということもできる。記憶装置14としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置14は、ドライブ装置との間
で、データを授受する。例えば、記憶装置14は、ドライブ装置からインストールされるプログラム等を記憶する。また、記憶装置14は、プログラムを読み出し、メモリ12に引き渡す。本実施形態では、記憶装置14が前述の、個人情報DB131及び公開条件DB132を格納している。
The
図8は管理サーバ20のハードウェア構成を示す図である。管理サーバ20は、CPU21、メモリ22、通信制御部23、記憶装置24、入出力インタフェース25を有する所謂コンピュータである。
FIG. 8 is a diagram illustrating a hardware configuration of the
CPU21は、メモリ22に実行可能に展開されたプログラムを実行し、前述の要求受付部201や、アクセス制御部202、出力制御部203の機能を提供する。
The
メモリ22は、主記憶装置ということもできる。メモリ22は、例えば、CPU21が実行するプログラムや、通信制御部23を介して受信したデータ、記憶装置24から読み出したデータ、その他のデータ等を記憶する。
The
通信制御部23は、ネットワークを介して他の装置と接続し、当該装置との通信を制御する。入出力インタフェース25は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。ドライブ装置は、着脱可能な記憶媒体の読み書き装置であり、例えば、フラッシュメモリカードの入出力装置、USBメモリを接続するUSBのアダプタ等である。また、着脱可能な記憶媒体は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、ブルーレイディスク(Blu-ray Disc)等のディスク媒体であってもよい。ドライブ装置は、着脱可能な記憶媒体からプログラムを読み出し、記憶装置24に格納する。
The
記憶装置24は、外部記憶装置ということもできる。記憶装置24としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置24は、ドライブ装置との間
で、データを授受する。例えば、記憶装置24は、ドライブ装置からインストールされる情報処理プログラム等を記憶する。また、記憶装置24は、プログラムを読み出し、メモリ22に引き渡す。本実施形態では、記憶装置24が前述のユーザ管理DB251を格納している。
The
図9は、ユーザ管理DB251が記憶するユーザ管理情報の一例を示す図である。図9に示すように、ユーザ管理DB251は、各ユーザの識別情報(ユーザID)と、権限情報と、使用可能辞書の情報を対応つけてユーザ管理情報としている。
FIG. 9 is a diagram illustrating an example of user management information stored in the
§3.匿名化方法
次に本実施形態の匿名化方法について説明する。図10は、匿名化装置10がプログラムに従って実行する匿名化方法の概略を示した説明図である。図10に示すように、匿名化装置10は、先ず匿名化情報を取得し(ステップS1)、この匿名情報が公開条件を満たしているか否かを判定し(ステップS2)、公開条件を満たした匿名情報にアクセス権限を設定する(ステップS3)。
§3. Anonymization method Next, the anonymization method of this embodiment will be described. FIG. 10 is an explanatory diagram showing an outline of an anonymization method executed by the
なお、ステップS1における匿名化情報の取得は、個人情報を有する事業者が匿名化した匿名情報をそれぞれの事業者から匿名化装置10が受信するものでも良いし、それぞれの事業者から匿名化装置10が個人情報を受信し、匿名化して取得するものでも良い。
In addition, acquisition of the anonymization information in step S1 may be such that the
図11は、匿名化の処理を示す図である。匿名化装置10は、匿名化の処理を行う場合
、図11に示すように、先ず他のコンピュータ或いは入力手段から個人情報を取得(受信)し(ステップS10)、この個人情報を所定形式となるよう正規化して個人情報DB131に登録する(ステップS20)。
FIG. 11 is a diagram illustrating anonymization processing. When performing anonymization processing, the
匿名化装置10は、個人情報を個人情報DB131から対象データとして読み出す(ステップS30)。ここで、匿名化装置10は、個人情報に個人IDや氏名、電話番号、メールアドレスのように、個人を識別するための情報で、抽象化したのでは意味の無いデータは、読み出さずに対象データから外しても良い。
次に匿名化装置10は、対象データ中の各ワードについて、価値データが検索情報蓄積DB133に存在するか否か、即ち既に価値データを取得済みか否かを判定する(ステップS40)。匿名化装置10は、全てのワードの価値データが検索情報蓄積DB133に存在する場合にはステップS60へ移行し(ステップS40,Yes)、足りない価値データがある場合(ステップS40,No)、当該ワードの価値データを外部の装置、本例では検索エンジン90から取得する(ステップS50)。なお、検索エンジンから取得した価値データ以外、即ち検索情報蓄積DB133に存在したワードの価値情報は、検索情報蓄積DB133から取得する(ステップS60)。
The
Next, the
また、匿名化装置10は、匿名性を満たすため対象データの各項目を抽象化したワード(カテゴリ)に置き換えることで抽象化し、抽象化候補データを作成する(ステップS70)。各ワードの抽象化は、図12〜図14に示すように抽象化前のワードと抽象化後のワードとを対応付けて記憶した辞書を用いて、抽象化前のワードと対応する抽象化後のワードにおきかえる。図12は、車名と対応するメーカ名に抽象化する辞書の例を示している。図13は、車名と対応する車種に抽象化する辞書の例を示している。図14は、車名と対応する車両の区分に抽象化する辞書の例を示している。図12〜図14では、車名の項目についてのみ示したが、年齢や住所等、他の項目についても同様に対応するワードが各辞書に含まれている。各辞書は、システム100側で一意に識別できるように、辞書IDが付されており、例えば図12〜図14の辞書の辞書IDはD1〜D3である。
Further, the
また、抽象化可能な項目が複数存在する場合には、各項目を抽象化した場合と抽象化しない場合の全てのパターンを作成する。例えば対象データに三つの項目A,B,Cが含まれ、全項目について抽象化が可能で、抽象化した項目をA´,B´,C´とした場合、図15に示すように、項目Aだけを抽象化した場合A´,B,C、項目A,Bを抽象化した場合A´,B´,Cなど、七つの候補パターンが作成できる。また、全項目を用いるものに限らず、A´,BやB´,Cなど、一部の項目を用いた候補パターンを作成しても良い。 When there are a plurality of items that can be abstracted, all patterns are created when each item is abstracted and when it is not abstracted. For example, if the target data includes three items A, B, and C and all items can be abstracted, and the abstracted items are A ′, B ′, and C ′, as shown in FIG. Seven candidate patterns can be created, such as A ′, B, C when only A is abstracted, and A ′, B ′, C when items A and B are abstracted. Moreover, you may create the candidate pattern using some items, such as A ', B, B', and C, without using all items.
次に匿名化装置10は、抽象化候補データに含まれる各ワードの価値データに基づいて各パターンの抽象化候補データの価値を算出し(ステップS80)、この抽象化候補データの価値に基づいて検定の順番を決定する(ステップS90)。例えばこの価値が高い順(降順)に検定の順番を決定する。なお、全ての候補パターンについて検定を行うことが望ましいが、この抽象化候補データの価値に基づき、価値の低過ぎる抽象化候補データを順番から外しても良い。例えば、価値の高い順番で、所定番目以降或いは半分未満など所定割合未満の抽象化候補データを外しても良い。また、抽象化候補データの価値が対象データの価値に対して所定割合未満となった抽象化候補データを外しても良い。これにより検定数が少なくなり、処理時間の短縮化が図れる。
Next, the
この検定の順番に従い、匿名化装置10は、抽象化候補データの匿名性を検定する(ステップS100)。例えば、k−匿名性を検定するため、一個人と対応付けられた異なる項目の値の組み合わせが当該抽象化候補データ中に存在する数(存在数)を求める。或いは、l多様性を検定するため、一個人と対応付けられた同じ項目の値の組み合わせが当該
抽象化候補データ中に存在する数(存在数)を求める。そして、この存在数のうち最小のものを最低出現数(k値/l値)として求め(ステップS110)、この最低出現数が1を超えているか否かを判定する(ステップS120)。即ち、ここでk値が1を超えていればk−匿名性を満たし、1であればk−匿名性を満たさない。同様にl値が1を超えていればl−多様性を満たし、1であればl−多様性を満たさない。
In accordance with the order of this test, the
最低出現数(k値/l値)が1を超えていない場合(ステップS120,No)、匿名化装置10は、抽象化候補データのうち、少なくとも一つの項目の値を更に抽象化する、即ち抽象化したワードに置き換え(ステップS130)、ステップS100に戻る。
When the minimum number of appearances (k value / l value) does not exceed 1 (step S120, No), the
一方、最低出現数(k値/l値)が1を超えている場合(ステップS120,Yes)、匿名化装置10は、当該抽象化候補データの価値と元の対象データの価値との差分を求め(ステップS140)、この差分や、この差分に基づく値、例えば対象データの価値に対する差分の割合、対象データの価値に対する抽象化候補データの価値の割合を当該抽象化候補データの価値として決定する(ステップS150)。
On the other hand, when the minimum number of appearances (k value / l value) exceeds 1 (step S120, Yes), the
また、匿名化装置10は、検定していない候補パターンがあるか否かを判定し(ステップS160)、検定していない候補パターンがあれば(ステップS160,Yes)、ステップS90で決定した順番に従って、次の順番の抽象化候補データを特定し(ステップS170)、ステップS100に戻って次の抽象化候補データについて検定を行う。
Further, the
このように各パターンの抽象化候補データについて検定を繰り返し、次の候補パターンが無くなった場合(ステップS160,No)、匿名化装置10は、ステップS150で求各抽象化候補データの価値に基づいて、採用すべき抽象化候補データを選択し(ステップS180)、匿名情報として匿名情報DB145に記憶する(ステップS190)。
In this way, when the test is repeated for the abstraction candidate data of each pattern and there is no next candidate pattern (step S160, No), the
抽象化候補データの選択は、例えば、全候補パターンの中で価値の高い順に所定数の抽象化候補データを選択する。また、匿名化装置10は、全候補パターンの中から価値の高い順に複数の抽象化候補データを出力し、この出力された抽象化候補データの中から操作者が適切だと思う抽象化候補データを指定し、この指定された抽象化候補データを選択しても良い。
次に図16−図23を用いて本実施形態におけるデータの価値について説明する。図16は対象データにおける年齢の項目の一部の例を示す図である。図16に示すように対象データは、年齢si毎に人数ciを有している。例えば、18歳(s1)の人数(c1)が30人、19歳(s2)の人数(c2)が10人である。
In the selection of abstraction candidate data, for example, a predetermined number of abstraction candidate data is selected in descending order of value among all candidate patterns. The
Next, the value of data in this embodiment will be described with reference to FIGS. FIG. 16 is a diagram illustrating an example of a part of the age item in the target data. As shown in FIG. 16, the target data has the number of people ci for each age si. For example, the number of people (c1) at the age of 18 (s1) is 30, and the number of people (c2) at the age of 19 (s2) is 10.
図17は、年齢siについて取得する価値データの一例を示す。図17の価値データは、年齢si毎にSEM単価eiを有している。 FIG. 17 shows an example of value data acquired for the age si. The value data in FIG. 17 has a SEM unit price ei for each age si.
この年齢siの価値は、SEM単価eiに人数ciを乗じた値であり、式1で示される。
The value of this age si is a value obtained by multiplying the SEM unit price ei by the number of people ci, and is represented by
si=ci×ei ・・・(式1)
そして、図18に示すように年齢の項目S(e)の価値は、各年齢siの総計であり、式2で示される。なお、図18においてnは5である。従って、年齢の項目S(e)の価値は、図19に示すように、2446円である。また、対象データにおける全ての項目の価値を合計したものが対象データの価値である。
si = ci × ei (Formula 1)
As shown in FIG. 18, the value of the age item S (e) is the total of each age si, and is expressed by
一方、図20は抽象化候補データにおける年齢の項目の一部の例を示す図である。図20に示すように抽象化候補データは、年代ki毎に人数ciを有している。例えば、10
代(k1)の人数(c1)が40人、20代(k2)の人数(c2)が22人である。
On the other hand, FIG. 20 is a diagram showing an example of part of the age item in the abstraction candidate data. As shown in FIG. 20, the abstraction candidate data has the number of people ci for each age ki. For example, 10
The number of teenagers (k1) (c1) is 40 people, and the number of people in their 20s (k2) (c2) is 22 people.
図21は、年代kiについて取得する各ワードの価値データの一例を示す。図21の価値データは、年代ki毎にSEM単価eiを有している。 FIG. 21 shows an example of value data of each word acquired for the age ki. The value data in FIG. 21 has a SEM unit price ei for each age ki.
この年代kiの価値は、SEM単価eiに人数ciを乗じた値であり、式3で示される。
The value of this age ki is a value obtained by multiplying the SEM unit price ei by the number of people ci, and is expressed by
ki=ci×ei ・・・(式3)
そして、図22に示すように年代の項目S(k)の価値は、各年代kiの総計であり、式4で示される。なお、図22においてnは2である。従って、年齢の項目S(k)の価値は、図23に示すように、2134円である。即ち、年齢の項目を年代に抽象化したことにより、価値が312円減損したことになる。また、抽象化候補データにおける全ての項目の価値を合計したものが抽象化候補データの価値である。
ki = ci × ei (Formula 3)
Then, as shown in FIG. 22, the value of the item S (k) of the age is the total of each age ki, and is expressed by
そして、ステップS150で求める抽象化候補データの価値として、例えば式5に示すように、抽象化候補データの価値を抽象化候補データの価値と対象データの価値の合計で除した減損率M(k)を求める。
Then, as the value of the abstraction candidate data obtained in step S150, for example, as shown in
M(k)=S(k)/(S(k)+S(e)) ・・・(式5)
このように本実施形態の匿名化装置10は、各抽象化候補データの価値を抽象化したワードの価値に基づいて評価することにより、自動で適切な匿名化処理を行うことができる。即ち、抽象化の程度を異ならせて、多数の匿名情報を自動生成するといったことができる。
M (k) = S (k) / (S (k) + S (e)) (Formula 5)
Thus, the
図24は、匿名化装置10が匿名情報の公開条件を確認する処理を示す図である。公開条件を確認するステップS2では、図24に示すように匿名化装置10は、ステップS1で取得した匿名情報について公開条件を確認する匿名情報を対象データとして記憶装置14から読み出し(ステップS210)、公開条件を確認していない匿名情報、即ち未確認の匿名情報が存在するか否かを判定し(ステップS220)、未確認の匿名情報が存在しなければ処理を終了し(ステップS220,No)、未確認の匿名情報が存在すれば(ステップS220,Yes)、ステップS230に移行する。
FIG. 24 is a diagram illustrating processing in which the
ステップS230では、未確認の匿名情報を権限設定DB135の権限情報と照合し、当該匿名情報に対応する権限情報が権限設定DB135に記憶されているか否かを判定する(ステップS240)。
In step S230, the unconfirmed anonymous information is checked against the authority information in the
ステップS240において、当該匿名情報に対応する権限情報が権限設定DB135に記憶されていない、例えば当該匿名情報の提供元や提供先と一致する情報が権限設定DB135に無く、対応する権限情報が記憶されていないと判定された場合(ステップS240、No)、権限設定DB135へ新規に権限情報を追加する。新規権限情報を追加する場合、匿名化装置10は、例えば当該匿名情報の提供元の事業者の装置から権限情報を取得して権限設定DB135に記憶させる(ステップS245)。なお、匿名化装置10は、新規権限情報を追加する場合、匿名化装置10の操作者に権限情報の入力を促し、権限情報が入力された場合に、この権限情報を権限設定DB135に記憶させても良い。
In step S240, the authority information corresponding to the anonymous information is not stored in the
ステップS245の処理により匿名情報に対する権限情報が権限設定DB135に記憶された場合や、ステップS240で匿名情報に対応する権限情報が権限設定DB135に全て記憶されていると判定した場合、(ステップS240、Yes)、この匿名情報を一時処理DB134に格納する(ステップS250)。
When authority information for anonymous information is stored in the
次に匿名化装置10は、一時処理DB134に格納した匿名情報が、公開条件DB132の公開条件に合致しているか否かを判定する(ステップS260)。ここで匿名情報が、公開条件DB132の公開条件に合致していなければ(ステップS260,No)、ステップS210に戻って次の匿名情報の処理に移る。一方、匿名情報が、公開条件DB132の公開条件に合致していれば(ステップS260,Yes)、当該匿名情報を匿名情報DB145に格納し、ステップS210に戻って次の匿名情報の処理に移る。
Next, the
図25Aは、権限設定DB135の一例を示す図である。権限設定DB135は、匿名化情報の最少出現数等の情報とアクセス権限(ランク)とを対応付けた権限設定情報を記憶している。即ち、権限設定DB135は、権限記憶部の一形態である。図25Aの例では、最少出現率の他、提供元や提供先、使用可能辞書の情報とアクセス権限(ランク)とを対応付けている。ここで、提供元は、匿名情報又は匿名化前の個人情報を提供した事業者を示す情報であり、提供元の事業者毎に各ランクの最少出現率や使用可能辞書が定められている。なお、図25Aの権限設定DB135では、複数の事業者に係る匿名情報を統計情報化したものの場合、提供元の項目に、平均や合計等、統計情報の種別を記憶している。提供先は、匿名情報の提供先(送信先)を示す情報である。最少出現率は、データ総数に対する最少出現数の割合であり、最少出現率が小さい場合、データ全体に対して個々のデータの占める割合が小さく、希釈された情報であるため、低いランクと対応付け、最少出現率が大きい場合、データ全体に対して個々のデータの占める割合が大きく、個々のデータから全体のデータを把握し易くなるため、高いランクと対応付けている。
FIG. 25A is a diagram illustrating an example of the
例えば、図25Aの権限設定DB135では、提供元が販売店Pであって、当該匿名情報の提供先が、同一事業者内、即ち販売店Pの場合には最少出現率が0.05%未満でランクAと対応付けられ、同匿名情報の提供先が、事業者外の場合には最少出現率が0.05%未満でランクCのように事業者内に提供する場合と比べて高いランクと対応付けられている。また、提供先は、提供先に応じたランクの指定が無い場合、制限無しとしても良い。更に、提供先は、特定の事業者名や業種としても良い。例えば競合する事業者が提供先の場合は、他の事業者(事業者外)に提供するよりも高いランクと対応付け、業務提携している事業者が提供先の場合は、他の事業者(事業者外)に提供するよりも低いランクと対応付けても良い。同様に提供先が自動車販売店の場合や自動車修理工場の場合等、業種によって指定されても良い。
For example, in the
また、図25Aの権限設定DB135において、提供元が販売店Pであって、使用可能辞書がD1の場合、ランクA〜Dの何れかと対応付けられ、使用可能辞書がD2の場合、ランクEと対応付けられている。
Further, in the
なお、図25Aの権限設定DB135では、最少出現率を含む条件とランクを対応付けているが、これに限らず、図25Bに示すように、最少出限数を含む条件とランクとを対応付けて記憶しても良い。
In the
例えば、図25Bの権限設定DB135では、提供元が販売店Pであって、当該匿名情報の提供先が、同一事業者内の場合は最少出現数が50以上でランクAであるのに対し、同匿名情報の提供先が、事業者外の場合は最少出現数が50以上でランクCのように事業者内に提供する場合と比べて高いランクと対応付けられている。
For example, in the
図26は、公開条件DB132の一例を示す図である。公開条件DB132は、匿名条件の属性値と公開条件とを対応付けて記憶している。例えば、図26では、属性値に応じた最少出現数を指定し、属性値に車種が含まれている場合、最少出現率が0.05%未満であることを公開条件としている。即ち、匿名情報に車種が含まれている場合、最少出現
率が0.05%未満であれば匿名情報DB145に格納して公開の対象とし、最少出現率が0.05%以上であれば匿名情報DB145に格納せず非公開とする。同様に属性値にメーカ名が含まれている場合、最少出現率が0.1%未満であることを公開条件としている。また、公開条件を国内メーカとし、国内メーカの情報を抽出して公開の対象とし、国外メーカの情報を非公開としても良い。なお、本例において、国内メーカと国外メーカとの判別は、予めメーカ名毎に、国内メーカであるか国外メーカであるかを示すテーブルを用意しておき、匿名化装置10は、このテーブルを参照し、メーカ名に応じて国内メーカか否かを判定する。また、公開条件として、公開する期日や期間を定めても良い。図26の例では、匿名情報が、所定のキーワード“▽ベンタ○ール”を含む場合、公開条件が“○月○日以降”であるので、“▽ベンタ○ール”を含むレコード又は匿名情報について、○月○日以降は公開対象とし、○月○日までは非公開とする。また、図26の例では、匿名情報が、所定のキーワード“力○一ラ”を含む場合、公開条件が“1月1日〜2月28日”であるので、“力○一ラ”を含むレコード又は匿名情報について、1月1日〜2月28日の期間は公開対象とし、この期間以外は非公開とする。
FIG. 26 is a diagram illustrating an example of the
図24の公開条件の確認処理が完了した場合、匿名化装置10は、次に各匿名情報のアクセス権限を設定する(ステップS3)。図27は、このアクセス権限を設定する処理の具体例を示す。匿名化装置10は、権限設定DB135から権限情報を取得し(ステップS310)、匿名情報DB145から各匿名情報の最少出現率等の情報、例えば最少出現率、提供元、提供先、使用辞書といった情報を読み出し、これらの情報と対応するアクセス権限を権限設定DB135から求めて、当該匿名情報のアクセス権限情報として匿名情報DB145に記憶させる(ステップS320)。
When the confirmation process of the disclosure condition in FIG. 24 is completed, the
例えば、匿名化装置10は、権限設定DB135を参照し、ステップS310で取得した匿名情報の最少出現率、提供元、提供先、使用辞書が全て適合するランクを当該匿名情報のアクセス権限情報として決定する。なお、最少出現率のように、低いランクの条件に適合した際、それよりも高いランクの条件にも同時に適合する場合、最も低いランクに決定する。図25Aの例では、提供元が販売店P、提供先が同一事業者内、即ち販売店P、使用辞書がD1、最少出現率が0.05%未満の場合、匿名化装置10は、アクセス権限をランクAと決定する。また、提供元が販売店P、提供先が事業者外、使用辞書がD1、最少出現率が0.05%未満の場合、匿名化装置10は、アクセス権限をランクCと決定する。そして、提供元が販売店P、提供先が同一事業者内、使用辞書がD2、最少出現率が0.2%の場合、使用可能辞書以外はランクCの条件を満たすが、辞書D2と適合する使用可能辞書はランクEであるため、匿名化装置10は、アクセス権限をランクEと決定する。
For example, the
また、匿名化装置10は、これらの匿名情報について合計、平均、標準偏差等の統計情報を求め、ステップS320と同様に当該統計情報のアクセス権限を求め、当該統計情報とアクセス権限とを対応付けて匿名情報DB145に記憶させる(ステップS330)。
Further, the
上記のようにアクセス権限を付加した匿名情報に対するアクセス管理について、次に説明する。図28は、管理サーバ20が匿名情報のアクセス権限に応じて当該匿名情報へのアクセスを管理するアクセス管理方法の説明図である。
Next, access management for anonymous information to which access authority is added as described above will be described. FIG. 28 is an explanatory diagram of an access management method in which the
管理サーバ20は、ユーザ端末30から匿名情報へのアクセス要求を受けた場合に、図28の処理を開始し、まずユーザの認証を行う(ステップS410)。ユーザの認証処理は、管理サーバ20が、ユーザIDやパスワード等の認証情報をユーザ端末30から受信し、この認証情報を登録済の情報と比較して一致していれば認証成功として次のステップS430へ移行し、一致しなければ認証失敗として図28の処理を終了する。なお、管理サーバ20が、ウエブサーバの機能を有し、匿名情報等の情報をウエブページとして提供
し、ユーザ端末30が所謂ウエブブラウザの機能によって管理サーバ20にアクセスする構成の場合、認証情報はHTTP Cookie等によってユーザ端末30から管理サーバ20へ送
信されても良い。また、認証情報は、ユーザの操作によってキーボード等の入力手段から入力され、ユーザ端末30から管理サーバ20へ送信されても良い。
When receiving the request for access to the anonymous information from the
認証が成功した場合、管理サーバ20は、ユーザ管理DB251から当該ユーザのユーザ管理情報を取得する(ステップS420)。このユーザ管理情報は、例えば図9のようにユーザID、アクセス権限、使用可能辞書等の情報を対応付けてユーザ管理DB251に記録されたものである。ユーザIDは、各ユーザを一意に識別するための識別情報である。ユーザのアクセス権限は、当該ユーザの持つ権限、即ち当該ユーザのアクセスが可能な匿名情報の範囲を示す情報である。特に、図9の例では、アクセス権限の範囲(アクセス可能な範囲)をランクで示している。例えば権限の低い(アクセス可能な範囲が狭い)順にランクA〜Eとした場合、ランクAはランクAの匿名情報をアクセス範囲とし、ランクBはランクAとランクBの匿名情報をアクセス範囲とし、ランクEはランクAからランクEの匿名情報をアクセス範囲とする。このように上位の権限の範囲に、下位の権限の範囲が含まれるように設定しても良いし、各権限を独立に設定しても良い。例えば、権限Aと権限Eを有するユーザは、権限A、Eの匿名情報のみアクセスでき、権限B,C,Dにはアクセスできない、というように設定しても良い。
When the authentication is successful, the
そして管理サーバ20は、当該ユーザの権限内の匿名情報、即ち当該ユーザのアクセス権限でアクセス可能な匿名情報の概要情報を匿名情報DB145から取得する(ステップS430)。この概要情報の取得は、図6に示すように、予め各匿名情報のアクセス管理情報に記録されている概要情報を読み出すものでも良いし、項目名や匿名情報の一部のデータを概要情報として読み出しても良い。
Then, the
管理サーバ20は、この取得した概要情報をユーザ端末30に送信し(ステップS440)、提供する匿名情報の選択を促す(ステップS450)。例えば管理サーバ20が、概要情報を一覧表示させるウエブページとしてユーザ端末30へ提供すると共に、キーワード検索や絞り込みのための入力欄を表示させて匿名情報の選択を促す。
The
そして、ユーザが前記概要情報の一覧の中から匿名情報を選択して、ユーザ端末30からリクエストし、管理サーバ20がこのリクエストを受信すると(ステップS460)、管理サーバ20は、この匿名情報のアクセス権限とユーザのアクセス権限とを比較して(ステップS470)、当該ユーザが当該匿名情報にアクセスする権限を有しているか否かを再確認する(ステップS480)。
Then, when the user selects anonymous information from the summary information list and makes a request from the
この結果、管理サーバ20は、当該ユーザが当該匿名情報にアクセスする権限を有していないと判定した場合には(ステップS480,No)、図28の処理を終了し、当該ユーザが当該匿名情報にアクセスする権限を有していると判定した場合には(ステップS480、Yes)、利用日時や当該ユーザの情報(ユーザID等)を履歴情報として記憶装置24に記憶させる(ステップS490)。また、管理サーバ20は、リクエストを受けた匿名情報を匿名情報DB145から取得し(ステップS500)、リクエスト元のユーザ端末30に送信して表示させる(ステップS510)。
As a result, if the
このようにアクセス権限に基づいて権限を有するユーザにのみ匿名情報を送信するので、匿名情報に対するアクセス制御を適切に行うことができる。特に、本実施形態によれば、アクセス管理に用いる匿名情報のアクセス権限を最少出現率等の情報から求め、アクセス権限を自動で設定できる。このため、個人情報を抽象化して匿名化する際に、複数の抽象化候補を生成し、抽象化後の価値に基づいて選択した抽象化候補を匿名情報とするシステムにおいても、前述のように最少出現率等の情報から匿名情報にアクセス権限を付加す
ることで、人手を要することなくアクセス管理を行うことができる。
Thus, since anonymous information is transmitted only to the authorized user based on the access authority, it is possible to appropriately control access to the anonymous information. In particular, according to this embodiment, the access authority of anonymous information used for access management can be obtained from information such as the minimum appearance rate, and the access authority can be automatically set. For this reason, when anonymizing and personalizing personal information, a plurality of abstraction candidates are generated and the abstraction candidate selected based on the value after the abstraction is used as anonymous information as described above. By adding access authority to the anonymous information from the information such as the minimum appearance rate, access management can be performed without requiring manpower.
〈実施形態2〉
図29は本実施形態2に係る匿名化システムの機能ブロック図である。本実施形態2の匿名化システム200は、複数の事業者が出展する展示会において、各事業者が来場者から収集した個人情報の匿名化を行うシステムであり、各事業者の匿名化装置10や、各事業者で匿名化した匿名情報を管理する管理サーバ20を有する。
<
FIG. 29 is a functional block diagram of the anonymization system according to the second embodiment. An
本実施形態2の匿名化システム200では、管理サーバ20が、各事業者の匿名化装置10から夫々匿名化辞書を取得し、各事業者の匿名化辞書を統合して統合匿名化辞書を生成し、各統合匿名化辞書にIDを付して各事業者の匿名化装置10へ配信する。そして、各事業者の匿名化装置10が共通の統合匿名化辞書を用いて個人情報を匿名化して匿名情報とし、匿名情報DB(Data Base)145に登録し、前記統合匿名化辞書のIDや最少
出現率に基づいて、当該匿名情報に対するアクセスの管理を行う。
In the
図29に示すように、管理サーバ20は、要求受付部201や、アクセス制御部202、出力制御部203、ユーザ管理DB251、辞書取得部211、統合部212、優先度決定部213、辞書管理部214、匿名情報登録部215、匿名情報制御部216、選択部217、辞書DB231、優先度DB232を備えている。即ち、本実施形態1の管理サーバ20は、辞書取得部211、統合部212、優先度決定部213及び選択部217を備えた辞書作成装置でもある。
As shown in FIG. 29, the
要求受付部201は、匿名情報を取得するためのアクセス要求を利用者の端末から受信する。
The
アクセス制御部202は、利用者からのアクセス要求を受信した場合に、当該利用者の権限レベルと対応する匿名レベルの匿名情報へのアクセスを許可する。
When the
出力制御部203は、アクセス制御部202によってアクセスを許可した匿名情報を匿名情報DB145から読み出して出力する。例えば要求元の利用者の端末30へ送信する。ここで、匿名情報の出力とは、表示装置による表示出力や、プリンタによる印刷出力、他のコンピュータへの送信、記憶媒体への書き込み等であっても良い。
The
辞書取得部211は、対象データに含まれる語を抽象化した語に替えて匿名化するため、前記語と前記抽象化した語とを対応付けて記憶した複数の匿名化辞書を各事業者の匿名化装置10から取得する。本実施形態では、各事業者の匿名化装置10から送信された匿名化辞書を辞書取得部211が受信し、辞書DB231に登録する。
In order to anonymize the word included in the target data by replacing the word included in the target data with an abstracted word, the dictionary acquiring unit 211 stores a plurality of anonymized dictionaries storing the word and the abstracted word in association with each operator. Obtained from the
統合部212は、各事業者の匿名化装置10から取得した複数の匿名化辞書を統合して統合匿名化辞書を作成する。例えば統合部212は、複数の匿名化辞書に含まれる各語の対応関係に基づいて、抽象化した語を上位、抽象化前の語を下位とし、前記複数の匿名化辞書に含まれる各語と、前記複数の匿名化辞書に存在する上位及び下位の語とを対応付け、対応する上位の語が存在しない最上位の語をルートとして対応する下位の語が存在しない最下位の語までのツリー状の対応関係にある語の次元を前記最上位の語毎に生成し、統合匿名化辞書として辞書DB231に記憶させる。この各最上位の語をルートとするツリー状の語の次元が統合匿名化辞書を構成する。
The
優先度決定部213は、前記統合匿名化辞書を構成する次元の夫々について、当該次元に含まれる語に基づいて優先度を決定する。例えば、優先度決定部213は、各次元に含まれる語の数、各次元に含まれる語について上位と下位の関係にある段階の数、各次元に
含まれる語の価値のうち少なくとも一つに基づいて前記優先度を決定する。なお、前記語について予め定めた値を、例えば優先度DB232が記憶しておき、優先度決定部213は、優先度DB232を参照して優先度を決定する。
The priority determination unit 213 determines the priority for each dimension constituting the integrated anonymization dictionary based on the words included in the dimension. For example, the priority determination unit 213 sets at least one of the number of words included in each dimension, the number of stages having a higher and lower relationship for the words included in each dimension, and the value of the word included in each dimension. Based on the priority, the priority is determined. For example, the
選択部217は、前記統合部212で生成した複数の次元のうち、統合匿名化辞書として採用する次元と採用しない次元とを前記優先度に基づいて選択する。
The
辞書管理部214は、統合部212で作成された統合匿名化辞書を管理する。例えば辞書管理部214は、統合匿名化辞書を辞書DB231から読み出して各事業者の匿名化装置10へ配信する。
The
匿名情報登録部215は、各事業者の匿名化装置10から匿名情報を取得し、共通DB233に登録する。
The anonymous
匿名情報制御部216は、共通DB233に登録された匿名情報の出力処理等を制御する。例えば、匿名化装置10等の情報処理装置から匿名情報の取得要求を受けた場合に、該当する匿名情報を要求元の情報処理装置へ配信する。本実施形態1において、匿名情報制御部216は、出力部の一形態である。
The anonymous
図30は辞書DB231の例を示す図である。辞書DB231は、抽象化前のワード(以下、下位のワードとも称す)と、当該ワードを抽象化した後のワード(以下、上位のワ
ードとも称す)とを対応付けて記憶している。
FIG. 30 is a diagram illustrating an example of the
図31は、優先度DB232の例を示す図である。優先度DB232は、各ワードについて、優先度を決定するための値(価値)を記憶している。図31の例では、各ワードに対して、1日当たりのクリック数、1日当たりの表示回数、参入企業数、1日当たりのコスト、クリック率、SEM価格(獲得価格)など、SEMに用いられる値が記憶されている。
FIG. 31 is a diagram illustrating an example of the
図32は、共通DB233の例を示す図である。共通DB233は、各事業者の匿名化装置10で統合匿名化辞書を用いて匿名化した匿名情報を記憶している。図32の例では、来訪ブース、年齢、性別、所属企業、役職、興味を示した商品、ステータスなどの項目のデータを記憶している。この項目や各項目の抽象化の程度は、後述のように統合匿名化辞書や検定の結果等によって決まる。
FIG. 32 is a diagram illustrating an example of the common DB 233. The common DB 233 stores anonymized information that has been anonymized using the integrated anonymization dictionary by the
また、各事業者の匿名化装置10は、図29に示すように、データ取得部101や、抽象化部102、検定部103、選択部104、価値判定部106、価値データ取得部107、ワードカテゴリ分析部108、ワード価値計算部109、出現数取得部111、権限決定部112、出力制御部121、個人情報DB131、公開条件DB132、検索情報蓄積DB133、一時処理DB134、権限設定DB(権限記憶部)135を備えている。
Further, as shown in FIG. 29, the
データ取得部101は、個人と対応付けられた複数の項目を含むデータ、即ち個人情報を対象データとして取得する。例えば来場者が記載したアンケートや来場者から聞き取った個人情報をキーボード等から入力して個人情報DB131に記憶しておき、この個人情報を個人情報DB131からデータ取得部101が対象データとして読み出す。また、来場者の名刺やアンケートに記載された事項を読み取り、OCR(Optical Character Recognition)により電子データとしても良いし、来場者のRF−IDタグやICチップ等か
ら当該来場者の情報を取得しても良い。
The
抽象化部102は、前記次元からなる統合匿名化辞書を参照し、前記対象データ中の項目の値である語を前記優先度に基づいて抽象化した語に替えて匿名化候補データを生成する。
The
検定部103は、前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定する。例えば、検定部103は、抽象化候補データの項目の値の組み合わせが、k−匿名性を満たすこと、或いはl−多様性を満たすことを条件として検定する。
The
選択部104は、検定の条件を満たした抽象化候補データの価値に基づいて抽象化候補データを選択する。例えば、選択部104は、k−匿名性やl−多様性を満たした抽象化候補データを価値が高い順に所定数選択する。また、選択部104は、k−匿名性やl−多様性を満たした抽象化候補データのうち、最も価値が高い抽象化候補データを選択しても良い。
The
価値判定部106は、抽象化候補データに含まれるワードの価値に基づいて当該抽象化候補データの価値を求める。
The
価値データ取得部107は、抽象化候補データに含まれるワードの価値データを検索情報蓄積DBから取得(受信)する。また、価値データ取得部107は、検索情報蓄積DBに前記ワードの価値データが登録されていない場合に、他の装置にリクエストし、取得した価値データを検索情報蓄積DBに登録する機能(データリクエスト)や、定期的に他の装置を巡回して最新の価値データを取得し、検索情報蓄積DBに登録されている価値データを更新する機能(データクローラ)を有する。本実施形態では、この価値データとして検索エンジン90から各ワードの統計情報を受信する。ここで、各ワードの統計情報は、例えばSEMの広告単価(クリック単価)や、クリック率、平均掲載順位、1日の表示回数、1日のクリック数等である。なお、価値の取得先は、検索エンジンに限らず、ウェブページやSNS等であっても良い。この場合、例えばウェブページやSNSにおける各ワードの使用頻度を価値としても良い。
The value
ワードカテゴリ分析部108は、ウェブサイト等のデータを分析して、新規のワードや、当該ワードを抽象化したワード(カテゴリ)を求め、検索情報蓄積DBに登録する。
The word
価値計算部109は、価値データ取得部107で取得したワードの価値に基づき、ワードの価値の年平均や月平均、週平均など、ワードの価値の統計情報を求める。
Based on the value of the word acquired by the value
出現数取得部111は、前記匿名情報を構成する語の出現数を求める。例えば、匿名情報において、一個人の情報を一つのデータ(1レコード)とし、同じ情報(語)が幾つ出現したかを出現数としてカウントする。なお、各個人の情報が、単一の項目からなる場合には、当該項目の値である語が同じもの毎に出現数をカウントし、複数の項目からなる場合には、当該複数の項目の値である語の組み合わせが同じもの毎に出現数をカウントする。
The appearance
また、出現数取得部111は、前記匿名情報を構成する語の出現数のうち最少の出現数を最少出現数とし、前記匿名情報を構成する語の全数に対する前記最少出現数の割合を最少出現率として求める出現率取得部として機能しても良い。
Further, the appearance
権限決定部112は、前記匿名情報の出現数又はこの出現数に基づいて算出した最少出現率等の値に基づいて当該匿名情報のアクセス権限を決定し、匿名情報に付加して匿名情報DB145に記憶させる。権限決定部112は、例えば、匿名情報の出現数又は前記出
現数に基づいて算出した出現率等の値と前記アクセス権限とを対応付けて記憶した権限記憶部を参照して、前記権限決定部が前記匿名情報の出現数に基づく前記アクセス権限を決定する。
The
出力制御部121は、前記検定の条件を満たした抽象化候補データを匿名情報として出力する。例えば、出力制御部121は、匿名情報を管理サーバ20へ送信する。
The
図33は、個人情報DB131の例を示す図である。個人情報DB131は、データ取得部101で取得した個人情報を記憶している。図33の例では氏名、メール、所属企業名、役職、興味、ステータス等を記憶している。
FIG. 33 is a diagram illustrating an example of the
公開条件DB132は、公開可能な匿名情報の条件を記憶し、例えば「最少出現数が30以上の場合に公開可、但し外部公開不可」「キーワード=○○○が含まれている場合、△月□日以降公開可」のように、公開可能な最少出現数や、社外への公開の可否、公開不可とするキーワードを公開条件として記憶している。なお、公開条件は、「辞書ID=D1を用いた場合、最少出現数が5以上の場合に内部公開可、それ以下の場合は公開不可と
し、また、最少出現数が10以上の場合に外部公開可、それ以下の場合は外部公開不可とする」といったように、匿名化に用いた辞書に応じて公開の可否を定める条件であっても良い。
The
また、匿名情報DB145は、匿名化装置10で匿名化した匿名情報を記憶している。匿名情報DB145は、匿名化前の個人情報が異なる匿名情報や匿名化に用いる辞書が異なる匿名情報等、複数の匿名情報を記憶すると共に、これらの匿名情報へのアクセスを管理するための情報を記憶する。
The
図34は、匿名情報DB145に記憶される匿名情報の一例を示す図である。匿名情報は、個人情報の各語を抽象化したものであり、図34の例では、年代、住所(都道府県名)、車種、最少出現数を対応付けて記憶している。
FIG. 34 is a diagram illustrating an example of anonymous information stored in the
図35は、匿名情報へのアクセスを管理するための情報(以下アクセス管理情報とも称す)の一例を示す図である。このアクセス管理情報は、図35に示すように、例えば、レベル、匿名情報ID、使用辞書、最少出現数率、情報種別、概要等を含んでいる。ここで、レベルは、当該匿名情報にアクセス可能な権限を示す情報であり、後述のように当該匿名情報の最少出現数や最少出現数に基づいて算出した最少出現率等の値に基づいて求めている。 FIG. 35 is a diagram illustrating an example of information for managing access to anonymous information (hereinafter also referred to as access management information). As shown in FIG. 35, this access management information includes, for example, a level, an anonymous information ID, a usage dictionary, a minimum appearance rate, an information type, and an outline. Here, the level is information indicating an authority to access the anonymous information, and is obtained based on a value such as the minimum appearance rate calculated based on the minimum appearance number or the minimum appearance number of the anonymous information as described later. ing.
匿名情報IDは、匿名情報を一意に識別する情報である。使用辞書は、当該匿名情報の匿名化に用いた辞書を示す情報であり、例えば各辞書の識別情報である。最少出現率は、当該匿名情報を構成する語の全数に対する最少出現数の割合である。ここで最少出現数は、当該匿名情報において同じ属性値を持つ個人の人数、即ち匿名情報を構成する語の出現数を求めた場合に、この同じ属性値毎の人数(出現数)のうち最少のものである。 The anonymous information ID is information that uniquely identifies anonymous information. The use dictionary is information indicating a dictionary used for anonymization of the anonymous information, for example, identification information of each dictionary. The minimum appearance rate is a ratio of the minimum number of appearances to the total number of words constituting the anonymous information. Here, the minimum number of appearances is the smallest of the number of individuals (the number of appearances) for each same attribute value when the number of individuals having the same attribute value in the anonymous information, that is, the number of appearances of words constituting the anonymous information is obtained. belongs to.
情報種別は、当該匿名情報が複数の個人情報に基づく統計情報であるか、特定の事業者が持つ個人情報を匿名化したものか等の種別を示す。図35の例では、匿名情報が、複数の匿名情報の平均や合計を求めた統計情報の場合に、この種別を平均又は合計と示し、特定の事業者の個人情報を匿名化したものの場合、この事業者の名称を示している。概要は、当該匿名情報の説明であり、例えば匿名情報に含まれる項目や匿名化の条件を示す。 The information type indicates a type such as whether the anonymous information is statistical information based on a plurality of personal information or anonymized personal information held by a specific business operator. In the example of FIG. 35, in the case where the anonymous information is statistical information obtained by calculating the average or total of a plurality of anonymous information, this type is shown as average or total, and the personal information of a specific business operator is anonymized, The name of this company is shown. The overview is an explanation of the anonymous information, and shows items included in the anonymous information and conditions for anonymization, for example.
なお、匿名情報DB145は、匿名化装置10又は管理サーバ20が備えた記憶装置に格納されたものでも良いし、匿名化装置10及び管理サーバ20からアクセス可能であれ
ば独立したファイルサーバ等の装置に格納されたものでも良い。
The
図36は管理サーバ20のハードウェア構成を示す図である。管理サーバ20は、CPU21、メモリ22、通信制御部23、記憶装置24、入出力インタフェース25を有する所謂コンピュータである。
FIG. 36 is a diagram illustrating a hardware configuration of the
CPU21は、メモリ22に実行可能に展開されたプログラムを実行し、前述の辞書取得部211や、統合部212、優先度決定部213、辞書管理部214、匿名情報登録部215、匿名情報制御部216、選択部217、要求受付部201、アクセス制御部202、出力制御部203の機能を提供する。
The
メモリ22は、主記憶装置ということもできる。メモリ22は、例えば、CPU21が実行するプログラムや、通信制御部23を介して受信したデータ、記憶装置24から読み出したデータ、その他のデータ等を記憶する。
The
通信制御部23は、ネットワークを介して他の装置と接続し、当該装置との通信を制御する。入出力インタフェース25は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。ドライブ装置は、着脱可能な記憶媒体の読み書き装置であり、例えば、フラッシュメモリカードの入出力装置、USBメモリを接続するUSBのアダプタ等である。また、着脱可能な記憶媒体は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、ブルーレイディスク(Blu-ray Disc)等のディスク媒体であってもよい。ドライブ装置は、着脱可能な記憶媒体からプログラムを読み出し、記憶装置24に格納する。
The
記憶装置24は、外部記憶装置ということもできる。記憶装置24としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置24は、ドライブ装置との間
で、データを授受する。例えば、記憶装置24は、ドライブ装置からインストールされる情報処理プログラム等を記憶する。また、記憶装置24は、プログラムを読み出し、メモリ22に引き渡す。本実施形態では、記憶装置24が前述の辞書DB231、優先度DB232、共通DB233を格納している。
The
図37は匿名化装置10のハードウェア構成を示す図である。匿名化装置10は、CPU11、メモリ12、通信制御部13、記憶装置14、入出力インタフェース15を有する所謂コンピュータである。
FIG. 37 is a diagram illustrating a hardware configuration of the
CPU11は、メモリ12に実行可能に展開されたプログラムを実行し、前述のデータ取得部101や、抽象化部102、検定部103、選択部104、価値判定部106、価値データ取得部107、ワードカテゴリ分析部108、ワード価値計算部109、出現数取得部111、権限決定部112、出力制御部121の機能を提供する。
The
メモリ12は、主記憶装置ということもできる。メモリ12は、例えば、CPU11が実行するプログラムや、通信制御部13を介して受信したデータ、記憶装置14から読み出したデータ、その他のデータ等を記憶する。
The
通信制御部13は、ネットワークを介して他の装置と接続し、当該装置との通信を制御する。入出力インタフェース15は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。ドライブ装置は、着脱可能な記憶媒体の読み書き装置であり、例えば、フラッシュメモリカードの入出力装置、USBメモリを接続するUSBのアダプタ等である。また、着脱可能な記憶媒体は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、
ブルーレイディスク(Blu-ray Disc)等のディスク媒体であってもよい。ドライブ装置は、着脱可能な記憶媒体からプログラムを読み出し、記憶装置14に格納する。
The
It may be a disc medium such as a Blu-ray Disc. The drive device reads the program from the removable storage medium and stores it in the
記憶装置14は、外部記憶装置ということもできる。記憶装置14としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置14は、ドライブ装置との間
で、データを授受する。例えば、記憶装置14は、ドライブ装置からインストールされるプログラム等を記憶する。また、記憶装置14は、プログラムを読み出し、メモリ12に引き渡す。本実施形態では、記憶装置14が前述の個人情報DB131、公開条件DB132、検索情報蓄積DB133、一時処理DB134、権限設定DB(権限記憶部)135を格納している。
The
§3.匿名化方法
次に図38〜図45を用いて匿名化方法について説明する。図38は、管理サーバ20がプログラムに従って実行する統合匿名化辞書を作成する処理の説明図である。
§3. Anonymization method Next, the anonymization method will be described with reference to FIGS. 38 to 45. FIG. 38 is an explanatory diagram of processing for creating an integrated anonymization dictionary executed by the
(3−1)統合匿名化辞書の作成
まず、管理サーバ20は、各事業者の匿名化装置10から各事業者の匿名化辞書を受信する(ステップS510)。
(3-1) Creation of Integrated Anonymization Dictionary First, the
次に管理サーバ20は、各事業者の匿名化辞書を統合する(ステップS520)。なお、匿名化辞書を統合する際の具体的な処理については後述する。
Next, the
また、管理サーバ20は、統合匿名化辞書を構成するワードの次元について、優先度を決定し(ステップS530)、この優先度に基づいて統合匿名化辞書に採用する次元と採用しない次元とを選択する(ステップS540)。
次に管理サーバ20は、作成した統合匿名化辞書を一意に識別できるように、辞書ID当該統合匿名化辞書に付す(ステップS550)。辞書IDは、例えば辞書を示す情報“D”と、作成順にカウントするシリアルナンバー“1,2,3・・・”とを組み合わせて生成される。
また、管理サーバ20は、作成した統合匿名化辞書に係る権限情報を権限設定DB135に登録する。即ち、作成した統合匿名化辞書“D4”を用いて匿名化した匿名情報の最少出現率が0.05%以下であればランクA、最少出現率が0.1%以下であればランクCのように、作成した統合匿名化辞書を用いて匿名化した匿名情報の権限情報を判断するための権限情報を
例えば、提供元の事業者名や、当該事業者の業種、匿名化辞書のジャンル、匿名化辞書の重要度、統合した匿名化辞書の数といった匿名化辞書や提供元の事業者に係る情報と権限情報とを対応付けて記憶した権限テーブルを記憶装置24に予め記憶しておき、管理サーバ20は、取得した匿名化辞書や提供元の事業者に係る情報と対応する権限情報を権限テーブルから取得して権限設定DB135に登録する。また、ステップS510で、各事業者の匿名化装置10から匿名化辞書と共に、ランクや提供先等の権限情報を受信し、これを当該事業者の権限情報として権限設定DB135に登録する。更に、管理サーバ20は、担当者に権限情報の入力を促し、入力された権限情報を権限設定DB135に登録しても良い。
Further, the
Next, the
Further, the
そして、管理サーバ20は、ステップS540で選択した次元から構成される統合匿名化辞書を各匿名化装置10へ配信する(ステップS550)。
And the
図39は、ステップS520における匿名化辞書を統合する処理の説明図である。管理サーバ20は、先ず、各事業者の匿名化辞書を記憶した辞書DB231から最下位のワードを抽出する(ステップS610)。例えば各事業者の匿名化辞書には、図30に示すよ
うに「ソフトA」を抽象化した語が「伝票ソフト」と記憶されており、「ソフトA」に対して一段階上位のワードが「伝票ソフト」であることがわかる。同様に、「ソフトZ」を抽象化した語が「伝票ソフト」であり、「ソフトB」を抽象化した語が「会計ソフト」である。
FIG. 39 is an explanatory diagram of the process of integrating the anonymization dictionary in step S520. The
更に、「ソフトA」や「ソフトZ」に対して一段階上位のワードである「伝票ソフト」についても一段階上位のワードが「業務ソフト」と記憶されている。 In addition, for “slip software” which is a word one level higher than “soft A” and “soft Z”, the word one level higher is stored as “business software”.
このように辞書DB231に上位・下位の関係と共に記憶されているワードのうち、下位のワードと対応付けられていないワード、即ち最も下位のワードを一つ抽出する。
In this way, out of the words stored in the
次に管理サーバ20は、ステップS610で抽出したワードより一つ上位のワードを求め、一つ上位の段階(抽象化レベル)を設定する(ステップS620)。例えば、ステップS610で抽出したワードが「ソフトA」であれば、「伝票ソフト」を一段階上位のワードとして抽出する。
Next, the
管理サーバ20は、ステップS620で抽出したワードと対応する一つ下位のワードと同じ段階(抽象化レベル)のワードを抽出する(ステップS630)。例えば、ステップS620で抽出したワードが「伝票ソフト」であれば、「ソフトA」と同じ段階の「ソフトZ」が抽出される。
The
更に、管理サーバ20は、ステップS630で抽出したワードと対応する下位のワードがあれば抽出し、対応する下位のワードが無くなるまで下位のワードの抽出を繰り返す(ステップS640)。
Further, the
ステップS640で、下位のワードが出尽くした場合に、管理サーバ20は、直前のステップS620又はステップS660で設定した段階が最上位か否か、即ち更に上位のワードが存在するか否かを判定し、最上位でなければ(ステップS650,No)、一つ上位のワードを求め、一つ上位の段階(抽象化レベル)を設定してステップと130に戻る(ステップS660)。例えば、ステップS620で設定したワードが「伝票ソフト」であった場合、一つ上位のワード「業務ソフト」を求め、一つ上位の段階として設定する。
When the lower word is exhausted in step S640, the
そして、ステップS630へ戻り、ステップS630,S640の処理を行った後、ステップS650で、直前のステップS620又はステップS660で設定した段階が最上位と判定した場合(ステップS650,Yes)、前記複数の匿名化辞書に含まれる全てのワードの処理が終了したか否かを判定し(ステップS670)、残りのワードがあれば(ステップS670,No)、ステップS610に戻って処理を繰り返し、全てのワードの処理が終了したならば(ステップS670,Yes)図39の処理を終了する。 Then, after returning to step S630 and performing the processing of steps S630 and S640, if it is determined in step S650 that the stage set in the immediately preceding step S620 or step S660 is the highest (step S650, Yes), the plurality of It is determined whether or not all the words included in the anonymization dictionary have been processed (step S670), and if there are remaining words (step S670, No), the process returns to step S610 to repeat the process, and all the words If the above process is completed (step S670, Yes), the process in FIG. 39 is terminated.
(3−2)次元の説明
図40は、図39の処理によって作成される各次元の説明図である。図40の例では、「IT製品」をルートとする次元について示している。即ち、図40の次元において、「IT製品」が最上位の段階のワードである。
(3-2) Description of Dimensions FIG. 40 is an explanatory diagram of each dimension created by the process of FIG. In the example of FIG. 40, a dimension having “IT product” as a root is shown. That is, in the dimension of FIG. 40, “IT product” is the word at the highest level.
「IT製品」は、その一つ下位の段階(図40の例では段階4)のワードとして「ソフト」「ハード」が対応付けられている。そして、「ソフト」は、その一つ下位の段階(図40の例では段階3)のワードとして「業務ソフト」「個人ソフト」が対応付けられている。
“IT product” is associated with “software” and “hardware” as words at the next lower level (
また、「業務ソフト」は、その一つ下位の段階(図40の例では段階2)のワードとし
て「伝票ソフト」「会計ソフト」「顧客管理ソフト」が対応付けられ、「伝票ソフト」は、その一つ下位の段階(図40の例では段階1、最下位の段階)のワードとして「ソフトA」「ソフトZ」が対応付けられている。なお、「個人ソフト」は、その一つ下位の段階のワードとして「ソフトV」「ソフトU」と対応付けられ、「ハード」は、その一つ下位の段階のワードとして「サーバD」「サーバE」と対応付けられている。
In addition, “business software” is associated with “slip software”, “accounting software”, and “customer management software” as the words of the next lower stage (
このように本実施形態の統合部は、各事業者の匿名化辞書に基づいて図40に示すような次元を複数作成する。ここで次元は、最上位のワードをルートとし、最下位のワードにかけて樹状に対応付けられた対応関係であり、最上位のワード毎に生成される。即ち統合部は、各事業者の匿名化辞書に含まれる全てのワードをまとめて樹状に対応つけて複数の次元とすることにより匿名化辞書を統合化している。そして、この複数の次元が、統合匿名化辞書である。 As described above, the integration unit of the present embodiment creates a plurality of dimensions as shown in FIG. 40 based on the anonymization dictionary of each business operator. Here, the dimension is a correspondence relationship in which the highest word is rooted and associated with the lowest word in a tree form, and is generated for each highest word. That is, the integration unit integrates the anonymization dictionary by combining all words included in the anonymization dictionary of each business operator into a plurality of dimensions by associating them with a tree. The plurality of dimensions is an integrated anonymization dictionary.
図41は複数の次元の説明図である。図41に示すように、あるワードを抽象化する次元は複数存在し得る。例えば、図41の次元aでは、「ソフトウェアA」を「会計ソフト」、「業務ソフト」に抽象化し、次元cでは、「ソフトウェアA」を「a社製品」、「パッケージ」に抽象化する。また、次元bや次元dでもそれぞれ異なるワードに抽象化する。 FIG. 41 is an explanatory diagram of a plurality of dimensions. As shown in FIG. 41, there can be multiple dimensions for abstracting a word. For example, in dimension a in FIG. 41, “software A” is abstracted into “accounting software” and “business software”, and in dimension c, “software A” is abstracted into “a company product” and “package”. Also, the dimension b and dimension d are abstracted into different words.
特に本実施形態の統合匿名化辞書は、多数の事業者の匿名化辞書を統合しているので、例えば数十〜数百の次元を含むことになり、全ての次元を用いて抽象化を行うと、データ量が膨大になってしまう。このため、本実施形態では、統合匿名化辞書の各次元について、抽象化に採用する次元の優先度を決定している。 In particular, since the integrated anonymization dictionary of this embodiment integrates anonymization dictionaries of a large number of operators, for example, it includes tens to hundreds of dimensions, and abstraction is performed using all dimensions. And the amount of data becomes enormous. For this reason, in this embodiment, the priority of the dimension employ | adopted for abstraction is determined about each dimension of an integrated anonymization dictionary.
(3−3)優先度の説明
次に、図41〜図43を用いてステップS30における優先度の決定処理の詳細について説明する。図42は、図41に示した次元に含まれる各ワードに重み付けをした例を示す図である。図42の例では、各次元に含まれるワードの夫々が、当該ワードの段階と対応付けて記憶されると共に、三種類の重み付けが行われる。重み付け1では、重要フラグの有無を付し、重み付け2では、検索回数を付し、重み付け3では、SEM(Search Engine Marketing)価格を付している。ここで重要フラグは、ユーザが重要か否かを入力し
た値であり、重要なワード、即ち抽象化に利用したいワードには重要と記録する(重要フラグを立てる)。
(3-3) Description of Priority Next, details of the priority determination process in step S30 will be described with reference to FIGS. FIG. 42 is a diagram illustrating an example in which each word included in the dimension illustrated in FIG. 41 is weighted. In the example of FIG. 42, each word included in each dimension is stored in association with the stage of the word, and three types of weighting are performed.
また、優先度決定部213は、図31に示す優先度DB232からワードの価値を読み出し、図41に示すように対応するワードに重み付けとして付加する。 Moreover, the priority determination part 213 reads the value of a word from the priority DB232 shown in FIG. 31, and adds it to a corresponding word as a weight as shown in FIG.
そして図41に示した次元のワードの数や、段階の和、各ワードの重み付けを次元毎に集計して、優先度を決定する。 Then, the number of words in the dimension shown in FIG. 41, the sum of steps, and the weight of each word are totaled for each dimension to determine the priority.
図43は、各ワードの重みを集計して各次元の優先度を求める処理の説明図である。図43において、次元aの各ワードについて、ワード数、段階数の和、重み付け1、重み付け2、重み付け3を集計したものが表51Aである。同様に次元bを集計した表が51B、次元cを集計した表が51Cである。
FIG. 43 is an explanatory diagram of a process for calculating the priority of each dimension by adding up the weights of the respective words. In FIG. 43, for each word of dimension a, Table 51A is a summation of the number of words, the sum of the number of steps,
ワード数は、各次元に含まれるワードの総数であり、図43の例では、次元aが25、次元bが50、次元cが9である。このワード数が多いと、抽象化のバリエーションが多く、l−多様性を満たし難くなる、即ち安全性が低くなることが考えられるが、データとしての詳細性は高いため、ワード数が多いものを優先する。 The number of words is the total number of words included in each dimension. In the example of FIG. 43, dimension a is 25, dimension b is 50, and dimension c is 9. If this number of words is large, there will be many variations of abstraction, and it will be difficult to satisfy 1-diversity, that is, safety will be low. Prioritize.
段階数の和とは、段階の数に、当該段階に属するワードの数を乗じ、総計を求めたものであり、例えば(段階数5×ワード数1)+(段階数4×ワード数2)+(段階数3×ワード数2)+(段階数2×ワード数3)+(段階数1×ワード数9)=34と求める。この段階数の和が多いと、上位の段階が多く存在し、抽象度の高い選択肢が多く存在することになり、適切な抽象化レベルで抽象化可能で、安全性が高いため、段階数の和が多いものを優先する。
The sum of the number of stages is obtained by multiplying the number of stages by the number of words belonging to the stage and obtaining a total, for example, (number of
同様に、重み付け1〜3についても、重要フラグの数や、検索回数、SEM価格の総計を求め、この値の高い、即ち価値の高いものを優先する。
Similarly, for the
そして、これらワード数、段階数の和、重み付け1〜3について、次式に基づいて全体出現率(全体数に対する割合)を求める。 And about these word number, the sum of the number of steps, and the weights 1-3, the whole appearance rate (ratio with respect to the whole number) is calculated | required based on following Formula.
全体出現率=tf/idf
=次元aの値/(次元aの値+次元bの値+次元cの値+・・・)
この全体出現率を各次元について比較したものが表52である。表52の各次元について、ワード数、段階数の和、重み付け1〜3の全体出現率を合計して全体優先度を定めている。
Overall appearance rate = tf / idf
= Value of dimension a / (value of dimension a + value of dimension b + value of dimension c +...)
Table 52 shows a comparison of the overall appearance rate for each dimension. For each dimension in Table 52, the total priority is determined by summing the number of words, the sum of the number of stages, and the overall appearance rates of
このように各次元について全体優先度を求め、この全体優先度に基づいて選択部217が統合匿名化辞書に採用する次元と採用しない次元とを選択する。例えば、選択部217が表52の全体優先度を参照し、全体優先度が高い順に所定数の次元を採用し、これ以外の全体優先度が低い次元は採用しない。
In this way, the overall priority is obtained for each dimension, and the dimension that the
なお、選択の基準は、全体優先度の順だけでなく、重要フラグを含む次元は採用し、重要フラグを含まない次元については全体優先度が高い順に所定数の次元を採用するといったように選択条件を設定しても良い。 The selection criteria are not only the order of the overall priority, but the dimension including the important flag is adopted, and the dimension not including the important flag is selected such that a predetermined number of dimensions are adopted in descending order of the overall priority. Conditions may be set.
また、選択の対象は、例えば統合匿名化辞書に含まれる全ての次元を選択の対象とし、全体優先度に基づいて所定数の次元を採用しても良いし、同じワードを含む次元毎に選択の対象とし、全体優先度に基づいて所定数の次元を採用しても良い。 The selection target may be, for example, all dimensions included in the integrated anonymization dictionary, and a predetermined number of dimensions may be adopted based on the overall priority, or may be selected for each dimension including the same word. And a predetermined number of dimensions may be adopted based on the overall priority.
(3−4)匿名化方法
各匿名化装置10は、管理サーバ(辞書作成装置)20から受信した統合匿名化辞書を用いて匿名化を行い、匿名化した匿名情報を管理サーバ20へ送信する。この統合匿名化辞書を用いたことと、作成した匿名情報を管理サーバ20へ送信すること以外の匿名化の処理については、前述した実施形態1の図11の説明と同じである。なお、匿名化装置10は、ステップS180で採用する抽象化候補を選択して匿名情報を作成した後、匿名情報を管理サーバ20へ送信して匿名情報を匿名情報DB145に登録させる(ステップS190)。
管理サーバ20は、図10に示すように、匿名化装置10から匿名化情報を取得し(ス
テップS1)、この匿名情報が公開条件を満たしているか否かを判定し(ステップS2)、
公開条件を満たした匿名情報にアクセス権限を設定する(ステップS3)。即ち、本実施形態2では、管理サーバ20が、前述した実施形態1の図24の説明と同様に公開条件を確認する処理 (ステップS2)及び、図27の説明と同様にアクセス権限を設定する処理 (
ステップS3)を行う。
(3-4) Anonymization method Each
As shown in FIG. 10, the
Access authority is set for anonymous information that satisfies the disclosure conditions (step S3). In other words, in the second embodiment, the
Step S3) is performed.
なお、ステップS1における匿名化情報の取得は、個人情報を有する事業者が匿名化した匿名情報をそれぞれの事業者から匿名化装置10が受信するものでも良いし、それぞれの事業者から匿名化装置10が個人情報を受信し、匿名化して取得するものでも良い。
In addition, acquisition of the anonymization information in step S1 may be such that the
§4.匿名情報の具体例
次に図44,図45を用いて匿名情報の具体例について説明する。図44は、A社における匿名化の例を示す図であり、図44(a)は、A社が収集した個人情報、図44(b)は、図44(a)の個人情報をA社独自の匿名化辞書で匿名化した場合の匿名情報の例を示す図、図44(c)は、図44(a)の個人情報を統合匿名化辞書で匿名化した場合の匿名情報の例を示す図である。
§4. Specific Example of Anonymous Information Next, a specific example of anonymous information will be described with reference to FIGS. 44 and 45. 44 is a diagram showing an example of anonymization in Company A, FIG. 44 (a) shows personal information collected by Company A, and FIG. 44 (b) shows personal information in FIG. 44 (a). The figure which shows the example of the anonymous information at the time of anonymizing with an original anonymization dictionary, FIG.44 (c) is an example of the anonymous information at the time of anonymizing the personal information of Fig.44 (a) with an integrated anonymization dictionary. FIG.
A社の匿名化装置10は、図44(a)の個人情報を独自の匿名化辞書で匿名化した場合、図44(b)に示すように、氏名とメールアドレスの項目を削除し、年齢を年代に、所属企業を上場企業又は非上場企業に、役職を管理職や社員、アルバイトに抽象化する。
When the
これに対して、A社の匿名化装置10は、図44(a)の個人情報を統合匿名化辞書で匿名化した場合、図44(c)に示すように、氏名とメールアドレスの項目を削除し、年齢を年代に、所属企業を上場企業又は非上場企業、及び所属企業を業種に抽象化する。また、A社の匿名化装置10は、統合匿名化辞書を用いた場合、役職をマネージャやスタッフに、興味を示した商品を伝票ソフトやサーバに抽象化すると共に、来訪ブースの項目を追加して、A社に来訪した人のデータであることを示す値「A社」を入力する。
On the other hand, when the
一方、図45は、B社における匿名化の例を示す図であり、図45(a)は、B社が収集した個人情報、図45(b)は、図45(a)の個人情報をB社独自の匿名化辞書で匿名化した場合の匿名情報の例を示す図、図45(c)は、図45(a)の個人情報を統合匿名化辞書で匿名化した場合の匿名情報の例を示す図である。 On the other hand, FIG. 45 is a diagram showing an example of anonymization in company B, FIG. 45 (a) shows personal information collected by company B, and FIG. 45 (b) shows personal information in FIG. 45 (a). The figure which shows the example of the anonymized information at the time of anonymizing with B company original anonymization dictionary, FIG.45 (c) is anonymity information at the time of anonymizing the personal information of FIG.45 (a) with an integrated anonymization dictionary. It is a figure which shows an example.
B社の匿名化装置10は、図45(a)の個人情報を独自の匿名化辞書で匿名化した場合、図45(b)に示すように、氏名とメールアドレスの項目を削除し、年齢を年代に、所属企業を業種に、職種を開発や総務に抽象化する。
When the
これに対して、B社の匿名化装置10は、図45(a)の個人情報を統合匿名化辞書で匿名化した場合、図45(c)に示すように、氏名とメールアドレスの項目を削除し、年齢を年代に、所属企業を上場企業又は非上場企業、及び所属企業を業種に抽象化する。また、B社の匿名化装置10は、統合匿名化辞書を用いた場合、職種を技術職や事務に、興味を示した商品を会計ソフトやサーバに抽象化すると共に、来訪ブースの項目を追加して、B社に来訪した人のデータであることを示す値「B社」を入力する。
On the other hand, when the
このように各事業者の匿名化装置10は、統合匿名化辞書に基づいて所属企業の項目を複数の次元で抽象化する。前述のように統合匿名化辞書には優先度の高い次元が採用されているので、この統合匿名化辞書に存在する次元で抽象化することにより、各事業者にとって有用な抽象化を行うことができる。
Thus, the
また、前述のように匿名化辞書を統合したことにより、抽象化する際のワードの対応関係が再編され、A社の役職やB社の職種のように独自の項目についても共通の次元で抽象化されるので、類似の項目を有する他社のデータと比較することができる。 In addition, by integrating the anonymization dictionary as described above, the correspondence relationship of words at the time of abstraction is reorganized, and unique items such as the positions of company A and company B are also abstracted in a common dimension. Therefore, it can be compared with data from other companies that have similar items.
§5.匿名情報の配信
上記のようにアクセス権限を付加した匿名情報に対するアクセス管理について、次に説明する。アクセス管理の手順は、前述した実施形態1の図28の説明と同様であるため、図28を用いて説明する。
§5. Distribution of Anonymous Information Access management for anonymous information to which access authority is added as described above will be described next. The access management procedure is the same as that described in FIG. 28 of the first embodiment, and will be described with reference to FIG.
管理サーバ20は、ユーザ端末30や各事業者の匿名化装置10(以下単にユーザ端末
30と称す)から匿名情報へのアクセス要求を受けた場合に、図28の処理を開始し、まずユーザの認証を行う(ステップS410)。ユーザの認証処理は、管理サーバ20が、ユーザIDやパスワード等の認証情報をユーザ端末30から受信し、この認証情報を登録済の情報と比較して一致していれば認証成功として次のステップS430へ移行し、一致しなければ認証失敗として図28の処理を終了する。なお、管理サーバ20が、ウエブサーバの機能を有し、匿名情報等の情報をウエブページとして提供し、ユーザ端末30が所謂ウエブブラウザの機能によって管理サーバ20にアクセスする構成の場合、認証情報はHTTP Cookie等によってユーザ端末30から管理サーバ20へ送信されても良い。また、
認証情報は、ユーザの操作によってキーボード等の入力手段から入力され、ユーザ端末30から管理サーバ20へ送信されても良い。
When the
The authentication information may be input from an input unit such as a keyboard by a user operation and transmitted from the
認証が成功した場合、管理サーバ20は、ユーザ管理DB251から当該ユーザのユーザ管理情報を取得する(ステップS420)。このユーザ管理情報は、例えば図9のようにユーザID、アクセス権限、使用可能辞書等の情報を対応付けてユーザ管理DB251に記録されたものである。ユーザIDは、各ユーザを一意に識別するための識別情報である。ユーザのアクセス権限は、当該ユーザの持つ権限、即ち当該ユーザのアクセスが可能な匿名情報の範囲を示す情報である。特に、図9の例では、アクセス権限の範囲(アクセス可能な範囲)をランクで示している。例えば権限の低い(アクセス可能な範囲が狭い)順にランクA〜Eとした場合、ランクAはランクAの匿名情報をアクセス範囲とし、ランクBはランクAとランクBの匿名情報をアクセス範囲とし、ランクEはランクAからランクEの匿名情報をアクセス範囲とする。このように上位の権限の範囲に、下位の権限の範囲が含まれるように設定しても良いし、各権限を独立に設定しても良い。例えば、権限Aと権限Eを有するユーザは、権限A、Eの匿名情報のみアクセスでき、権限B,C,Dにはアクセスできない、というように設定しても良い。
When the authentication is successful, the
そして管理サーバ20は、当該ユーザの権限内の匿名情報、即ち当該ユーザのアクセス権限でアクセス可能な匿名情報の概要情報を匿名情報DB145から取得する(ステップS430)。この概要情報の取得は、図35のように、予め各匿名情報のアクセス管理情報に記録されている概要情報を読み出すものでも良いし、項目名や匿名情報の一部のデータを概要情報として読み出しても良い。
Then, the
管理サーバ20は、この取得した概要情報をユーザ端末30に送信し(ステップS440)、提供する匿名情報の選択を促す(ステップS450)。例えば管理サーバ20が、概要情報を一覧表示させるウエブページとしてユーザ端末30へ提供すると共に、キーワード検索や絞り込みのための入力欄を表示させて匿名情報の選択を促す。
The
そして、ユーザが前記概要情報の一覧の中から匿名情報を選択して、ユーザ端末30からリクエストし、管理サーバ20がこのリクエストを受信すると(ステップS460)、管理サーバ20は、この匿名情報のアクセス権限とユーザのアクセス権限とを比較して(ステップS470)、当該ユーザが当該匿名情報にアクセスする権限を有しているか否かを再確認する(ステップS480)。このときリクエストする匿名情報は、匿名情報の全項目であっても良いし、項目によって指定された範囲であっても良い。例えば、年代、性別、来訪ブース、興味を示した商品のように必要な項目が指定されたリクエストであっても良いし、年代が20代、性別が男性、興味を示した商品がハード、ステータスが資料請求又は商談のように項目の値が指定されたリクエストであっても良い。
Then, when the user selects anonymous information from the summary information list and makes a request from the
この結果、管理サーバ20は、当該ユーザが当該匿名情報にアクセスする権限を有していないと判定した場合には(ステップS480,No)、図28の処理を終了し、当該ユーザが当該匿名情報にアクセスする権限を有していると判定した場合には(ステップS480、Yes)、利用日時や当該ユーザの情報(ユーザID等)を履歴情報として記憶装置24に記憶させる(ステップS490)。また、管理サーバ20は、リクエストを受けた匿名情報を匿名情報DB145から取得し(ステップS500)、リクエスト元のユーザ端末30に送信して表示させる(ステップS510)。
As a result, if the
このように本実施形態2によれば、複数の事業者がそれぞれに収集した個人情報を共通の統合匿名化辞書を用いて匿名化を行い、匿名情報を匿名情報DBに登録することで、この匿名情報を一元的に利用することができる。この場合でも本実施形態2の匿名化システムは、アクセス権限に基づいて権限を有するユーザにのみ匿名情報を送信するので、匿名情報に対するアクセス制御を適切に行うことができる。特に、本実施形態2によれば、各事業者の匿名化辞書を統合した統合匿名化辞書を作成した際、当該統合匿名化辞書に係る権限情報を自動で設定でき、複数の事業者がそれぞれに収集した個人情報に基づく匿名情報を共有する場合でも、人手を要することなくアクセス管理を行うことができる。 As described above, according to the second embodiment, the personal information collected by each of the plurality of companies is anonymized using a common integrated anonymization dictionary, and the anonymous information is registered in the anonymous information DB. Anonymous information can be used centrally. Even in this case, the anonymization system of the second exemplary embodiment transmits anonymous information only to authorized users based on the access authority, and thus can appropriately control access to the anonymous information. In particular, according to the second embodiment, when creating an integrated anonymization dictionary that integrates the anonymization dictionaries of each operator, authority information related to the integrated anonymization dictionary can be automatically set, Even when anonymous information based on personal information collected is shared, access management can be performed without human intervention.
〈その他〉
本発明は、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
<Others>
The present invention is not limited to the illustrated examples described above, and various modifications can be made without departing from the scope of the present invention.
10 匿名化装置
12 メモリ
13 通信制御部
14 記憶装置
15 入出力インタフェース
20 管理サーバ
22 メモリ
23 通信制御部
24 記憶装置
25 入出力インタフェース
30 ユーザ端末
41 検定用DB
61 ナビゲーションシステム
100 匿名化システム
101 データ取得部
102 抽象化部
103 検定部
104 選択部
105 レベル登録部
106 価値判定部
107 価値データ取得部
108 ワードカテゴリ分析部
109 ワード価値計算部
111 出現数取得部
112 権限決定部
120 検索エンジン
131 個人情報DB
132 公開条件DB
133 検索情報蓄積DB
134 一時処理DB
135 権限設定DB
145 匿名情報DB
201 要求受付部
202 アクセス制御部
203 出力制御部
251 ユーザ管理DB
DESCRIPTION OF
61
132 release condition DB
133 Search information storage DB
134 Temporary processing DB
135 Authority setting DB
145 Anonymous Information DB
201
Claims (9)
前記匿名情報が複数のレコードを有し、各レコードが複数の項目を有し、前記各レコードが有する前記項目の値である語の組み合わせのうち、同じ組み合わせ毎の数を出現数として求める出現数取得部と、
前記出現数に基づいて当該匿名情報のアクセス権限を決定する権限決定部と、
を備える権限設定装置。 An anonymous information acquisition unit for acquiring anonymous information;
The number of appearances in which the anonymous information has a plurality of records, each record has a plurality of items, and the number of the same combinations among the word combinations that are the values of the items of the respective records is obtained as the number of appearances An acquisition unit;
And authority determination unit which determines the access rights of the anonymous information based on the previous Kide current number,
An authority setting device comprising:
前記対象データを構成する複数の項目の値である語の少なくとも一つを抽象化して抽象化候補データとする抽象化部と、
前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定する検定部と、
前記検定の条件を満たした前記抽象化候補データを匿名情報として選択する選択部と、
前記匿名情報が複数のレコードを有し、各レコードが複数の項目を有し、前記各レコードが有する前記項目の値である語の組み合わせのうち、同じ組み合わせ毎の数を出現数として求める出現数取得部と、
前記出現数に基づいて当該匿名情報のアクセス権限を決定する権限決定部と、
を備える匿名化装置。 A data acquisition unit for acquiring anonymization target data;
An abstraction unit that abstracts at least one of the words that are values of a plurality of items constituting the target data to be abstraction candidate data;
A test unit that tests on condition that a combination of values of items of the abstraction candidate data is not limited to one individual of the target data;
A selection unit that selects the abstraction candidate data satisfying the test condition as anonymous information;
The number of appearances in which the anonymous information has a plurality of records, each record has a plurality of items, and the number of the same combinations among the word combinations that are the values of the items of the respective records is obtained as the number of appearances An acquisition unit;
And authority determination unit which determines the access rights of the anonymous information based on the previous Kide current number,
Anonymization device comprising:
前記対象データを構成する複数の項目の値である語の少なくとも一つを抽象化して抽象化候補データとする抽象化部と、
前記抽象化候補データの項目の値の組み合わせが、前記対象データの一個人に限定されないことを条件として検定する検定部と、
前記検定の条件を満たした前記抽象化候補データを匿名情報として選択する選択部と、
前記匿名情報が複数のレコードを有し、各レコードが複数の項目を有し、前記各レコードが有する前記項目の値である語の組み合わせのうち、同じ組み合わせ毎の数を出現数として求める出現数取得部と、
前記出現数に基づいて当該匿名情報のアクセス権限を決定する権限決定部と、
ユーザの端末から前記匿名情報へのアクセス要求を受けた場合に、当該ユーザのアクセス権限と当該匿名情報のアクセス権限とを比較し、当該匿名情報のアクセス権限が当該ユーザのアクセス権限の範囲内であれば、当該匿名情報へのアクセスを許可するアクセス制御部と、
を備える匿名化システム。 A data acquisition unit for acquiring anonymization target data;
An abstraction unit that abstracts at least one of the words that are values of a plurality of items constituting the target data to be abstraction candidate data;
A test unit that tests on condition that a combination of values of items of the abstraction candidate data is not limited to one individual of the target data;
A selection unit that selects the abstraction candidate data satisfying the test condition as anonymous information;
The number of appearances in which the anonymous information has a plurality of records, each record has a plurality of items, and the number of the same combinations among the word combinations that are the values of the items of the respective records is obtained as the number of appearances An acquisition unit;
And authority determination unit which determines the access rights of the anonymous information based on the previous Kide current number,
When an access request to the anonymous information is received from the user terminal, the access authority of the user and the access authority of the anonymous information are compared, and the access authority of the anonymous information is within the range of the access authority of the user. If there is an access control unit that allows access to the anonymous information,
Anonymization system with
前記匿名情報が複数のレコードを有し、各レコードが複数の項目を有し、前記各レコードが有する前記項目の値である語の組み合わせのうち、同じ組み合わせ毎の数を出現数として求めるステップと、
前記出現数に基づいて当該匿名情報のアクセス権限を決定するステップと、をコンピュータが実行する権限設定方法。 Obtaining anonymous information;
The anonymous information has a plurality of records, each record has a plurality of items, and among the combinations of words that are the values of the items each record has, obtaining the number of the same combination as the number of appearances; ,
Authority setting method determining the access rights of the anonymous information, the computer executes based on the previous Kide current number.
前記匿名情報が複数のレコードを有し、各レコードが複数の項目を有し、前記各レコードが有する前記項目の値である語の組み合わせのうち、同じ組み合わせ毎の数を出現数として求めるステップと、
前記出現数に基づいて当該匿名情報のアクセス権限を決定するステップと、をコンピュータに実行させるための権限設定プログラム。 Obtaining anonymous information;
The anonymous information has a plurality of records, each record has a plurality of items, and among the combinations of words that are the values of the items each record has, obtaining the number of the same combination as the number of appearances; ,
Authority setting program for executing the steps of determining the access rights of the anonymous information based on the previous Kide current number to the computer.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013270368A JP6334915B2 (en) | 2013-12-26 | 2013-12-26 | Anonymization system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013270368A JP6334915B2 (en) | 2013-12-26 | 2013-12-26 | Anonymization system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015125646A JP2015125646A (en) | 2015-07-06 |
JP6334915B2 true JP6334915B2 (en) | 2018-05-30 |
Family
ID=53536300
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013270368A Active JP6334915B2 (en) | 2013-12-26 | 2013-12-26 | Anonymization system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6334915B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020072239A1 (en) * | 2018-10-03 | 2020-04-09 | Equifax Inc. | Controlling access to multi-granularity data |
US11489843B2 (en) | 2018-05-16 | 2022-11-01 | Equifax Inc. | Controlling access to secured data via timed filtering of data |
JP7428917B2 (en) * | 2021-12-27 | 2024-02-07 | キヤノンマーケティングジャパン株式会社 | Information processing device, information processing method, program |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7797725B2 (en) * | 2004-12-02 | 2010-09-14 | Palo Alto Research Center Incorporated | Systems and methods for protecting privacy |
US8397304B2 (en) * | 2008-04-16 | 2013-03-12 | Nokia Corporation | Privacy management of data |
JP5153443B2 (en) * | 2008-04-30 | 2013-02-27 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Information processing system, information processing apparatus, information processing method, and program |
JP5492296B2 (en) * | 2010-05-19 | 2014-05-14 | 株式会社日立製作所 | Personal information anonymization device |
JP5782637B2 (en) * | 2012-03-23 | 2015-09-24 | 西日本電信電話株式会社 | Attribute selection device, information anonymization device, attribute selection method, information anonymization method, attribute selection program, and information anonymization program |
-
2013
- 2013-12-26 JP JP2013270368A patent/JP6334915B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015125646A (en) | 2015-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220122097A1 (en) | Method and system for providing business intelligence based on user behavior | |
US8838629B2 (en) | Anonymous information exchange | |
US7865451B2 (en) | Systems and methods for verifying jobseeker data | |
US8825662B1 (en) | System and method for creating customized IP zones utilizing predictive modeling | |
WO2011142327A1 (en) | Information processing device, control method and program | |
US7761441B2 (en) | Community search system through network and method thereof | |
US20240037573A1 (en) | Method and apparatus for group filtered reports | |
WO2011043429A1 (en) | Information management device, data processing method thereof, and computer program | |
JP5034279B2 (en) | Attribute estimation program and attribute information providing system | |
US10552430B2 (en) | Increasing utilization of a computer system | |
US20150066807A1 (en) | System and method of providing a virtual guestbook | |
JP6334915B2 (en) | Anonymization system | |
US20080243595A1 (en) | Information processing device, information processing method and information processing program | |
KR100849434B1 (en) | An agent's system and method for promoting professionals by evaluating their career and efforts | |
JP6214150B2 (en) | Information processing apparatus, information processing method, and information processing program | |
JP6169444B2 (en) | Anonymization system | |
CN103366296A (en) | Server device, information providing method and information providing system | |
Longley et al. | Classification through consultation: Public views of the geography of the e-society | |
US11973841B2 (en) | System and method for user model based on app behavior | |
JP7194562B2 (en) | Information processing method and information processing system | |
CN102799593B (en) | Individualized search sort method and system | |
JP6375107B2 (en) | Anonymization device, anonymization method, and anonymization program | |
JP6313944B2 (en) | Anonymization system, anonymization method and anonymization program | |
JP6339403B2 (en) | Information processing apparatus, information processing method, and information processing program | |
US20080162153A1 (en) | Apparatus for group filtered reports |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170829 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170831 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171030 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180306 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180328 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180403 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180427 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6334915 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |