JP6370236B2 - プライバシー保護装置、方法及びプログラム - Google Patents
プライバシー保護装置、方法及びプログラム Download PDFInfo
- Publication number
- JP6370236B2 JP6370236B2 JP2015025338A JP2015025338A JP6370236B2 JP 6370236 B2 JP6370236 B2 JP 6370236B2 JP 2015025338 A JP2015025338 A JP 2015025338A JP 2015025338 A JP2015025338 A JP 2015025338A JP 6370236 B2 JP6370236 B2 JP 6370236B2
- Authority
- JP
- Japan
- Prior art keywords
- record
- records
- processing
- privacy protection
- protection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、プライバシー保護装置、方法及びプログラムに関する。
従来より、集められたデータは統計処理され、その結果得られた情報が活用されている。例えば、病気と、年代、性別、地域、人種といった情報とを含む大量のデータは統計処理されて、病気の傾向分析や予防対策に用いられている。
このようなデータを提供する場合には、提供者は、プライバシーを慎重に保護し、個々のデータの所有者が特定されないように、データの変形処理を行う必要がある。そのため、今までにも、プライバシーを保護するためのデータの変形処理に関する技術が多く開示されている。例えば、データの一部を一般化やあいまい化することにより、データを組み合わせても個人が特定されないようにする技術が開示されている(非特許文献1、非特許文献2参照)。
Latanya Sweeney, k−anonymity: a model for protecting privacy, International Journal of Uncertainty, Fuzziness and Knowledge−Based Systems, Volume 10 Issue 5, October 2002, Pages 557 − 570.
B.Fung and K.Wang and P.Yu,"Top−down specialization for information and privacy preservation" Proc of ICDE 2005 pp.205−216
しかしながら、上述の開示されている技術は、データの漏洩に対する技術ではないので、データの提供後に、データの利用者がデータを漏洩させても、誰が漏洩させたのかを特定することは困難であった。
そこで、プライバシーが保護されるように加工したデータセット(以降、テーブルという。)を提供した後に、提供したテーブルが漏洩されても、漏洩させた利用者を特定できる装置が望まれている。
本発明は、利用者に提供したテーブルが漏洩されても、漏洩させた利用者を特定できるプライバシー保護装置、方法及びプログラムを提供する。
具体的には、以下のような解決手段を提供する。
(1) 複数の属性から成るレコードであって前記属性のうち組み合わせると個人を特定することが可能な準識別子を含む複数の前記レコードから構成されるテーブルについて匿名化を行い、利用者に提供するプライバシー保護装置であって、前記テーブルに、前記利用者ごとに異なる特徴レコードを追加する事前処理を行う事前処理手段と、前記事前処理手段によって前記事前処理がされた後のテーブルについて、匿名化を行う匿名化処理手段と、前記匿名化処理手段によって匿名化が行われたテーブルと、前記利用者の識別情報とを対応付けてテーブル記憶手段に記憶させるテーブル記憶制御手段と、を備えるプライバシー保護装置。
(1) 複数の属性から成るレコードであって前記属性のうち組み合わせると個人を特定することが可能な準識別子を含む複数の前記レコードから構成されるテーブルについて匿名化を行い、利用者に提供するプライバシー保護装置であって、前記テーブルに、前記利用者ごとに異なる特徴レコードを追加する事前処理を行う事前処理手段と、前記事前処理手段によって前記事前処理がされた後のテーブルについて、匿名化を行う匿名化処理手段と、前記匿名化処理手段によって匿名化が行われたテーブルと、前記利用者の識別情報とを対応付けてテーブル記憶手段に記憶させるテーブル記憶制御手段と、を備えるプライバシー保護装置。
(1)に係るプライバシー保護装置は、利用者ごとに異なる特徴レコードを保持する匿名化後のテーブルと、利用者とを対応付けて記憶させることにより、利用者に提供したテーブルが漏洩されても、漏洩させた利用者を特定することができる。
(2) 前記事前処理手段は、前記複数のレコードの一部を前記特徴レコードに置換する、(1)に記載のプライバシー保護装置。
(2)に係るプライバシー保護装置は、テーブルの一部のレコードを特徴レコードに置換することによって、匿名化後のテーブルを特徴付ける。
(3) 前記テーブルについて、前記準識別子ごとに、所定の段階まで一般化を行い、全ての前記準識別子の属性値が一致するレコードを集めたグループを作成し、作成したグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出する抽出手段と、前記特定のグループに含まれるレコードのうちから前記利用者ごとに異なるレコードをランダムに選択する選択手段と、をさらに備え、前記事前処理手段は、前記特定のグループに含まれるレコードに対応する、一般化を行う前の元のレコードを、一般化を行う前の元の前記テーブルから削除した後、前記選択されたレコードに基づいて生成したレコードを前記特徴レコードとして追加する、(1)又は(2)に記載のプライバシー保護装置。
(3)に係るプライバシー保護装置は、ランダムに選択したレコードを特徴レコードとして追加することによって、匿名化後のテーブルを特徴付ける。
(4) 前記事前処理手段が前記特徴レコードとして追加するレコードは、前記選択されたレコードに対応する、一般化を行う前の元のレコードである、(3)に記載のプライバシー保護装置。
(4)に係るプライバシー保護装置は、元のテーブルから削除してもよいレコードを残すことによって、匿名化後のテーブルを特徴付ける。
(5) 前記事前処理手段が前記特徴レコードとして追加するレコードは、前記選択されたレコードに対応する、一般化を行う前の元のレコードを含む複数のレコードを統計処理して生成した新たなレコードである、(3)に記載のプライバシー保護装置。
(5)に係るプライバシー保護装置は、元のテーブルから削除してもよいレコードと、元のテーブルの主要なレコードとの統計処理により作成されたレコードを加えることにより、匿名化後のテーブルを特徴付ける。
(6) 前記選択手段は、複数のレコードを選択する、(1)から(3)のいずれか一に記載のプライバシー保護装置。
(6)に係るプライバシー保護装置は、元のテーブルから削除してもよいレコードのうち複数のレコードを選択することにより、匿名化後のテーブルをより明瞭に特徴付ける。さらに、プライバシー保護装置は、複数のレコードの組み合わせにより、多数の利用者ごとへの特徴付けを可能にする。
(7) (1)に記載にプライバシー保護装置が実行する方法であって、前記事前処理手段が、前記テーブルに、前記利用者ごとに異なる特徴レコードを追加する事前処理を行う事前処理ステップと、前記匿名化処理手段が、前記事前処理ステップによって前記事前処理がされた後のテーブルについて、匿名化を行う匿名化処理ステップと、前記テーブル記憶制御手段が、前記匿名化処理ステップによって匿名化が行われたテーブルと、前記利用者の識別情報とを対応付けてテーブル記憶手段に記憶させるテーブル記憶制御ステップと、を備える方法。
(7)に係る方法は、(1)と同様に、利用者に提供したテーブルが漏洩されても、漏洩させた利用者を特定できる。
(8) コンピュータに、(7)に記載の方法の各ステップを実行させるためのプログラム。
(8)に係るプログラムは、利用者に提供したテーブルが漏洩されても、漏洩させた利用者を特定できるように、コンピュータに機能させることができる。
本発明によれば、利用者に提供したテーブルが漏洩されても、漏洩させた利用者を特定することができる。
以下、本発明の実施形態について、図を参照しながら説明する。
図1は、本発明の一実施形態に係るプライバシー保護装置10の構成を示すブロック図である。プライバシー保護装置10は、抽出手段11と、選択手段12と、事前処理手段13と、匿名化処理手段14と、テーブル記憶制御手段15と、テーブル記憶手段31とを備える。
図1は、本発明の一実施形態に係るプライバシー保護装置10の構成を示すブロック図である。プライバシー保護装置10は、抽出手段11と、選択手段12と、事前処理手段13と、匿名化処理手段14と、テーブル記憶制御手段15と、テーブル記憶手段31とを備える。
プライバシー保護装置10が利用者に提供するテーブルは、複数の属性から成るレコードであって属性のうち組み合わせると個人を特定することが可能な準識別子を含む複数のレコードから構成される。
例えば、レコードは、匿名化のための加工をしない重要情報(sensitive information)と、準識別子(quasi−identifier)と、匿名化のために削除する削除すべき情報と、を含む(後述する図3参照)。
例えば、レコードは、匿名化のための加工をしない重要情報(sensitive information)と、準識別子(quasi−identifier)と、匿名化のために削除する削除すべき情報と、を含む(後述する図3参照)。
抽出手段11は、テーブルについて、準識別子ごとに、所定の段階まで一般化を行い、全ての準識別子の属性値が一致するレコードを集めたグループを作成し、作成したグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出する。
ここで、匿名化のための属性値の一般化又は詳細化のための木構造データについて説明する。
属性値が数値データではない場合、属性値の持つ意味の包含関係によって構築された木構造が、属性値の一般化又は詳細化のための上位又は下位ノード探索のために必要である。図2を参照して属性値の階層構造について説明する。図2は、属性値の階層化の例を示す図である。図2の例は、年齢の階層化がレベル0(L0)からレベル3(L3)に設定され、それぞれのレベルでの属性値の取り得る値についての木構造を表形式で示している。例えば、図2は、年齢が「6」歳であるレコードが1レベルだけ一般化されると、年齢が「6〜9」に一般化され、さらに1レベルだけ一般化されると、年齢が「少年」に一般化されることを示している。
このように、属性値の上下関係によって構成された階層構造を事前に作成しておく必要がある。すなわち、各属性に対してこのような木構造データを提供者が設定可能とする。数値データに関しては一定の値ごとに階層化できるため、木構造データは必ずしも必要ではない。なお、木構造データの構成に関して既存のソフトウェアを使用できる場合は、使用してもよい。また、木構造データは各レベルのノード数を情報として含んでもよい。
属性値が数値データではない場合、属性値の持つ意味の包含関係によって構築された木構造が、属性値の一般化又は詳細化のための上位又は下位ノード探索のために必要である。図2を参照して属性値の階層構造について説明する。図2は、属性値の階層化の例を示す図である。図2の例は、年齢の階層化がレベル0(L0)からレベル3(L3)に設定され、それぞれのレベルでの属性値の取り得る値についての木構造を表形式で示している。例えば、図2は、年齢が「6」歳であるレコードが1レベルだけ一般化されると、年齢が「6〜9」に一般化され、さらに1レベルだけ一般化されると、年齢が「少年」に一般化されることを示している。
このように、属性値の上下関係によって構成された階層構造を事前に作成しておく必要がある。すなわち、各属性に対してこのような木構造データを提供者が設定可能とする。数値データに関しては一定の値ごとに階層化できるため、木構造データは必ずしも必要ではない。なお、木構造データの構成に関して既存のソフトウェアを使用できる場合は、使用してもよい。また、木構造データは各レベルのノード数を情報として含んでもよい。
上述のような属性値の階層構造が設定されている場合、具体的には、抽出手段11は、準識別子ごとに、例えば、年齢について、匿名化のレベルL0からL3のうち上限のレベルL2まで一般化を行い、一般化の結果、全ての準識別子の属性値が一致するレコード同士を1つのグループとする。そして、抽出手段11は、一般化したにも関わらず、グループに含まれるレコード数が所定のレコード数未満であるような特定のグループを抽出する。
選択手段12は、特定のグループに含まれるレコードのうちから利用者ごとに異なるレコードをランダムに選択する。選択手段12は、複数のレコードを選択してもよい。
具体的には、選択手段12は、選択したレコードについての情報を記憶手段(例えば、メモリ等)に記憶させ、重複しないように選択するとしてもよい。選択手段12は、特定のグループに含まれるレコードのうちから、利用者ごとに異なる数のレコードをランダムに選択するとしてもよいし、利用者ごとに異なるレコードの組み合わせをランダムに選択するとしてもよい。
具体的には、選択手段12は、選択したレコードについての情報を記憶手段(例えば、メモリ等)に記憶させ、重複しないように選択するとしてもよい。選択手段12は、特定のグループに含まれるレコードのうちから、利用者ごとに異なる数のレコードをランダムに選択するとしてもよいし、利用者ごとに異なるレコードの組み合わせをランダムに選択するとしてもよい。
事前処理手段13は、テーブルに、利用者ごとに異なる特徴レコードを追加する。事前処理手段13は、複数のレコードの一部を特徴レコードに置換する。
具体的には、事前処理手段13は、抽出手段11によって抽出された特定のグループに含まれるレコードに対応する、一般化を行う前の元のレコードを、一般化を行う前の元のテーブルから削除した後、選択手段12によって選択されたレコードに基づいて生成したレコードを特徴レコードとして追加する。
具体的には、事前処理手段13は、抽出手段11によって抽出された特定のグループに含まれるレコードに対応する、一般化を行う前の元のレコードを、一般化を行う前の元のテーブルから削除した後、選択手段12によって選択されたレコードに基づいて生成したレコードを特徴レコードとして追加する。
事前処理手段13は、選択手段12によって選択されたレコードに対応する、一般化を行う前の元のレコードを、元のテーブルに追加するとしてもよい。
また、事前処理手段13は、選択手段12によって選択されたレコードに対応する、一般化を行う前の元のレコードを含む複数のレコードを統計処理して新たなレコードを生成し、生成したレコードを元のテーブルに追加するとしてもよい。
例えば、事前処理手段13は、選択されたレコードに対応する、一般化を行う前の元のレコードと、抽出された特定のグループに類似するグループに含まれるレコード(グループが複数ある場合は、複数のグループに含まれるそれぞれのレコード)に対応する、一般化を行う前の元のレコードとに基づいて、それぞれの属性値の平均値に相当する属性値を有するレコードを生成し、生成したレコードを追加するとしてもよい。また、事前処理手段13は、同様に、それぞれの属性値を比較して中間値に相当する属性値を有するレコードを生成し、生成したレコードを追加するとしてもよい。事前処理手段13は、例えば、属性値が一致する属性の割合が所定の割合以上であるグループ同士を、類似するグループとしてよい。
例えば、事前処理手段13は、選択されたレコードに対応する、一般化を行う前の元のレコードと、抽出された特定のグループに類似するグループに含まれるレコード(グループが複数ある場合は、複数のグループに含まれるそれぞれのレコード)に対応する、一般化を行う前の元のレコードとに基づいて、それぞれの属性値の平均値に相当する属性値を有するレコードを生成し、生成したレコードを追加するとしてもよい。また、事前処理手段13は、同様に、それぞれの属性値を比較して中間値に相当する属性値を有するレコードを生成し、生成したレコードを追加するとしてもよい。事前処理手段13は、例えば、属性値が一致する属性の割合が所定の割合以上であるグループ同士を、類似するグループとしてよい。
匿名化処理手段14は、事前処理手段13によって事前処理がされた後のテーブルについて、匿名化を行う。具体的な匿名化処理手段14については、匿名化処理の例により後述する。
テーブル記憶制御手段15は、匿名化処理手段14によって匿名化が行われたテーブルと、利用者の識別情報とを対応付けてテーブル記憶手段31に記憶させる。具体的には、テーブル記憶制御手段15は、後述する図4が示すように、匿名化が行われたテーブルと、利用者の識別情報とを対応付けてテーブル記憶手段31に記憶させる。利用者の識別情報は、管理者又は提供者等により入力されるとしてよい。
このようなテーブル記憶手段31に基づけば、例えば、漏洩されたと疑われるテーブルの特徴と、テーブル記憶手段31に記憶されているテーブルとの特徴とが同様であれば、プライバシー保護装置10は、テーブル記憶手段31に記憶されているテーブルに対応付けられている利用者を、漏洩させた利用者であると特定することができる。
このようなテーブル記憶手段31に基づけば、例えば、漏洩されたと疑われるテーブルの特徴と、テーブル記憶手段31に記憶されているテーブルとの特徴とが同様であれば、プライバシー保護装置10は、テーブル記憶手段31に記憶されているテーブルに対応付けられている利用者を、漏洩させた利用者であると特定することができる。
図3は、本発明の一実施形態に係るプライバシー保護装置10による事前処理がされたテーブルの例を示す図である。図3が示すように、事前処理手段13によって事前処理されたテーブルには、抽出された特定のグループ(例えば、年齢、性別、出身地、住所の一般化された属性値が「幼年」、「男」、「甲信越」、「都区内」のグループ)に含まれるレコードに対応する、一般化を行う前のレコード(例えば、「0才」、「男」、「山梨」、「豊島区」)が、特徴レコードとして追加されている。
図4は、本発明の一実施形態に係るプライバシー保護装置10のテーブル記憶手段31の例を示す図である。図4が示すように、テーブル記憶手段31は、匿名化が行われた匿名テーブルと、入力された利用者識別情報とを対応付けて記憶する。
[匿名化処理の実施例]
次に、匿名化処理の実施例について説明する。
匿名化処理は、テーブルの加工時に、そのテーブルを構成する各属性に対して重み(重要度)を設定し、特殊な関数を用いて、加工したテーブルを評価することで、データ利用者が求める情報を可能な限り保持すると共に匿名化されたテーブルを生成する。
次に、匿名化処理の実施例について説明する。
匿名化処理は、テーブルの加工時に、そのテーブルを構成する各属性に対して重み(重要度)を設定し、特殊な関数を用いて、加工したテーブルを評価することで、データ利用者が求める情報を可能な限り保持すると共に匿名化されたテーブルを生成する。
匿名化処理のうちテーブルの加工処理は、トップダウン処理(上述の木構造データに基づいて、属性値の詳細化を行う処理)を実施した後、ボトムアップ処理(上述の木構造データに基づいて、属性値の一般化を行う処理)により逆方向に変形し、さらにトップダウン処理で再度変形する、という処理を繰り返すことにより最適なテーブルを導出する。その際には、加工処理は、k−匿名性(k−anonymity)判定に加え、l−多様性(l−diversity)判定もしくはt−近似性(t−closeness)判定も行う。また、匿名化処理は、トップダウン処理において評価ポイントの概算を導入し、不要な処理を削減する。そのうえ、加工処理は、評価ポイントが最高となったテーブルについて部分匿名化を実施することにより、さらに情報量の多いテーブルを作成する。
なお、評価ポイントの概算については、2種類の評価関数が用意され、選択制とすることにより異なる特性を持つテーブルの出力が可能である。
なお、評価ポイントの概算については、2種類の評価関数が用意され、選択制とすることにより異なる特性を持つテーブルの出力が可能である。
すなわち、匿名化処理は、重要度の入力と、加工処理におけるトップダウン処理の処理負荷を軽減するための前処理と、評価ポイントの概算を導入したトップダウン処理及びボトムアップ処理を繰り返す加工処理と、部分匿名化処理と、を含む。匿名化処理の例として、重要度の入力、評価ポイントの算出、前処理、トップダウン処理、ボトムアップ処理、再トップダウン処理、部分匿名化処理、匿名性条件判定、及び匿名テーブル出力ごとに説明する。
[重要度の入力]
匿名化されたテーブルの生成は、利用者によって要求された各属性の重要度に基づいて行われる。重要度は、重要度ポイントの大きい順に属性の優先順位を表し、利用者が最も重視する属性を最上位とする。提供者は、各優先順位に対して、重要度ポイント(数値)を設定する。この値は、一般化を行う属性を選択する際に使用される。
一般化処理においては、優先順位が最下位の属性から順に一般化を行い、k−匿名性を満たしたレベルで終了する。したがって、重要度が最上位の属性ほど、元の情報が保持される確率が高くなる。提供者の入力により、プライバシー保護装置10は、各属性に対して重要情報(sensitive information)、準識別子(quasi−identifier)、削除すべき情報のうちどの情報であるか、及び優先順位を設定するとしてよい。なお、重要情報に指定された属性の変更は行われない。また、削除すべき情報に指定された情報は一般化の際に自動的に削除される。
匿名化されたテーブルの生成は、利用者によって要求された各属性の重要度に基づいて行われる。重要度は、重要度ポイントの大きい順に属性の優先順位を表し、利用者が最も重視する属性を最上位とする。提供者は、各優先順位に対して、重要度ポイント(数値)を設定する。この値は、一般化を行う属性を選択する際に使用される。
一般化処理においては、優先順位が最下位の属性から順に一般化を行い、k−匿名性を満たしたレベルで終了する。したがって、重要度が最上位の属性ほど、元の情報が保持される確率が高くなる。提供者の入力により、プライバシー保護装置10は、各属性に対して重要情報(sensitive information)、準識別子(quasi−identifier)、削除すべき情報のうちどの情報であるか、及び優先順位を設定するとしてよい。なお、重要情報に指定された属性の変更は行われない。また、削除すべき情報に指定された情報は一般化の際に自動的に削除される。
[評価ポイントの算出]
評価ポイントを算出する評価関数として以下の2種類の関数を用いる。
評価ポイントを算出する評価関数として以下の2種類の関数を用いる。
上記の2つの評価関数を選択する方式とすることにより、以下のような異なる特性を持つテーブルを出力できるようにする。
数式1の評価関数は、準識別子の属性値の種類数の変化と、準識別子の重要度とに依存するので、数式1の評価関数によれば、例えば、属性に偏った匿名化が可能である。
また、数式2の評価関数は、数式1の評価関数に比べて、偏りなく匿名化が可能である。
数式1の評価関数は、準識別子の属性値の種類数の変化と、準識別子の重要度とに依存するので、数式1の評価関数によれば、例えば、属性に偏った匿名化が可能である。
また、数式2の評価関数は、数式1の評価関数に比べて、偏りなく匿名化が可能である。
さらに、νを順序の代わりに、エントロピーを用いることで、さらに特性の異なるテーブルを導出することも可能である。
次に、テーブルの加工について説明する。
テーブルは、属性ごとに、準識別子か重要情報かが決められ、テーブルを全ての準識別子からなる部分と、全ての重要情報からなる部分とに分割される。
テーブルは、属性ごとに、準識別子か重要情報かが決められ、テーブルを全ての準識別子からなる部分と、全ての重要情報からなる部分とに分割される。
[前処理]
前処理は、それぞれの属性単体を、単体で(k+l)−匿名性を満たすように一般化する。lは、システムのパラメータである。また、前処理は、属性によって提供者が一般化の限界レベルを設定しているものについては、その限界レベルを超えて一般化はしない。
また、属性単体で(k+l)−匿名性を満たすように一般化したレコードが、k−匿名性(準識別子の属性値が全て等しいレコードがk個以上)を満たさなければ、前処理は、各属性を1レベルだけ一般化して再度チェックを行う。この場合も、前処理は、提供者が設定した限界レベルを超えて一般化はせず、他の属性を一般化することで、(k+l)−匿名性を達成する。
前処理は、それぞれの属性単体を、単体で(k+l)−匿名性を満たすように一般化する。lは、システムのパラメータである。また、前処理は、属性によって提供者が一般化の限界レベルを設定しているものについては、その限界レベルを超えて一般化はしない。
また、属性単体で(k+l)−匿名性を満たすように一般化したレコードが、k−匿名性(準識別子の属性値が全て等しいレコードがk個以上)を満たさなければ、前処理は、各属性を1レベルだけ一般化して再度チェックを行う。この場合も、前処理は、提供者が設定した限界レベルを超えて一般化はせず、他の属性を一般化することで、(k+l)−匿名性を達成する。
[トップダウン処理]
トップダウン処理は、以下の手順を行う。
トップダウン処理は、以下の手順を行う。
(1)まず、トップダウン処理は、当該テーブルに対してソートを行い、全ての準識別子の属性値が一致するレコードを集めてグループ化を行う。
(2)次に、トップダウン処理は、提供者によって入力された属性の優先順位情報と、k−匿名性及びl−多様性判定からのフィードバック結果とを基に、詳細化を行う属性及びグループを選択する。
その際には、トップダウン処理は、各属性に対して、詳細化を行った場合に取り得る属性の種類の個数と、提供者によって入力された優先順位(例えば、重要度が大きい順)情報とから、詳細化による評価ポイントの増加分を概算する。トップダウン処理は、この概算結果が大きい順から、詳細化の対象とする。
また、トップダウン処理は、可能性のある詳細化を順番に行ってトップダウン候補テーブルを作成する際に、直前の詳細化を行ったトップダウン候補テーブルの評価ポイントに対して、概算した評価ポイントの増加を考慮しても次に行う詳細化が評価ポイントの上で上回れない場合には、残りの詳細化手順によるトップダウン候補テーブルの作成を行わない。
また、トップダウン処理は、可能性のある詳細化を順番に行ってトップダウン候補テーブルを作成する際に、直前の詳細化を行ったトップダウン候補テーブルの評価ポイントに対して、概算した評価ポイントの増加を考慮しても次に行う詳細化が評価ポイントの上で上回れない場合には、残りの詳細化手順によるトップダウン候補テーブルの作成を行わない。
(3)次に、トップダウン処理は、選択したグループの詳細化を行い、k−匿名性及びl−多様性判定をする。具体的には、トップダウン処理は、選択したグループについて、優先順位の高い(例えば、重要度が大きい)属性から順に詳細化(1レベル高い詳細化)を全ての属性について行い、トップダウン候補テーブルを作成する。
(3−1)k−匿名性及びl−多様性を満たす場合、トップダウン処理は、トップダウン候補テーブルについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。k−匿名性及びl−多様性を満たしたトップダウン候補テーブル及びその評価ポイントを保存する。
トップダウン処理は、トップダウン候補テーブルのうち、最も評価ポイントが大きいものを次の処理対象データとして、処理を繰り返す。
(3−1)k−匿名性及びl−多様性を満たす場合、トップダウン処理は、トップダウン候補テーブルについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。k−匿名性及びl−多様性を満たしたトップダウン候補テーブル及びその評価ポイントを保存する。
トップダウン処理は、トップダウン候補テーブルのうち、最も評価ポイントが大きいものを次の処理対象データとして、処理を繰り返す。
(3−2)k−匿名性及びl−多様性を満たさなくなった場合、トップダウン処理は、k−匿名性及びl−多様性を満たさなくなったトップダウン候補テーブルの中から最も評価ポイントが大きいものをボトムアップ処理に受け渡す。
[ボトムアップ処理]
ボトムアップ処理は、以下の手順を行う。
ボトムアップ処理は、以下の手順を行う。
(1)まず、ボトムアップ処理は、当該テーブルに対してソートを行い、全ての準識別子の属性値が一致するレコードを集めてグループ化を行う。
(2)次に、ボトムアップ処理は、提供者によって入力された属性の優先順位情報と、k−匿名性及びl−多様性判定からのフィードバック結果とを基に、一般化を行う属性及びグループを選択する。
(3)次に、ボトムアップ処理は、選択したグループの一般化を行い、k−匿名性及びl−多様性判定をする。具体的には、ボトムアップ処理は、選択したグループについて、優先順位の高い(例えば、重要度が大きい)属性から順に一般化(1レベル高い一般化)を全ての属性について行い、ボトムアップ候補テーブルを作成する。
(3−1)k−匿名性及びl−多様性を満たす場合、ボトムアップ処理は、ボトムアップ候補テーブルについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。ボトムアップ処理は、評価ポイントを比較し、トップダウン処理において保存されたトップダウン候補テーブルの評価ポイントも含めて最大の評価ポイントを得た候補テーブルを匿名テーブルとして保存する。そして、ボトムアップ処理は、その匿名テーブルを再トップダウン処理に受け渡す。
(3−1)k−匿名性及びl−多様性を満たす場合、ボトムアップ処理は、ボトムアップ候補テーブルについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。ボトムアップ処理は、評価ポイントを比較し、トップダウン処理において保存されたトップダウン候補テーブルの評価ポイントも含めて最大の評価ポイントを得た候補テーブルを匿名テーブルとして保存する。そして、ボトムアップ処理は、その匿名テーブルを再トップダウン処理に受け渡す。
(3−2)k−匿名性及びl−多様性を満たさない場合、ボトムアップ処理は、ボトムアップ候補テーブルの中から、上記の保存した匿名テーブルよりも評価ポイントが大きく、かつ、ボトムアップ候補テーブルの中で評価ポイントが最も大きいものを選択し、再度ボトムアップ処理を行い同様の判定を行う。
(3−3)全てのボトムアップ候補テーブルがk−匿名性及びl−多様性を満たさず、かつ、現在保存されている匿名テーブルの評価ポイントを上回ることができない場合には、ボトムアップ処理は、保存している匿名テーブルを出力し、部分匿名化処理に渡して終了する。
なお、提供者が属性に対して一般化の限界レベルを設定していた場合には、ボトムアップ処理は、それを超えて一般化は行わない。
なお、提供者が属性に対して一般化の限界レベルを設定していた場合には、ボトムアップ処理は、それを超えて一般化は行わない。
[再トップダウン処理]
再トップダウン処理は、トップダウン処理とほぼ同様の手順で行う。
再トップダウン処理は、ボトムアップ処理から渡された候補テーブルの詳細化を行う。詳細化を行ったトップダウン候補テーブルのうち、k−匿名性及びl−多様性判定に合格したトップダウン候補テーブルについては、再トップダウン処理は、各属性の属性値の数を算出し、評価ポイントを導出する。再トップダウン処理は、トップダウン候補テーブルのうち、最も評価ポイントが大きいものを次の処理対象データとする。そして、再トップダウン処理は、k−匿名性及びl−多様性を満たさなくなるまで、k−匿名性及びl−多様性を満たしたトップダウン候補テーブル及びその評価ポイントを保存しながら、処理を繰り返す。k−匿名性及びl−多様性を満たさなくなった場合、再トップダウン処理は、k−匿名性及びl−多様性を満たさなくなったトップダウン候補テーブルの中から最も評価ポイントが大きいものをボトムアップ処理に受け渡す。
なお、この場合も、評価ポイントが最も大きいトップダウン候補テーブルは、現在保存されている匿名テーブルの評価ポイントよりも評価ポイントが大きくなければならない。現在保存されている匿名テーブルの評価ポイントを上回ることができない場合には、再トップダウン処理は、保存している匿名テーブルを出力し、部分匿名化処理に渡して終了する。
再トップダウン処理は、トップダウン処理とほぼ同様の手順で行う。
再トップダウン処理は、ボトムアップ処理から渡された候補テーブルの詳細化を行う。詳細化を行ったトップダウン候補テーブルのうち、k−匿名性及びl−多様性判定に合格したトップダウン候補テーブルについては、再トップダウン処理は、各属性の属性値の数を算出し、評価ポイントを導出する。再トップダウン処理は、トップダウン候補テーブルのうち、最も評価ポイントが大きいものを次の処理対象データとする。そして、再トップダウン処理は、k−匿名性及びl−多様性を満たさなくなるまで、k−匿名性及びl−多様性を満たしたトップダウン候補テーブル及びその評価ポイントを保存しながら、処理を繰り返す。k−匿名性及びl−多様性を満たさなくなった場合、再トップダウン処理は、k−匿名性及びl−多様性を満たさなくなったトップダウン候補テーブルの中から最も評価ポイントが大きいものをボトムアップ処理に受け渡す。
なお、この場合も、評価ポイントが最も大きいトップダウン候補テーブルは、現在保存されている匿名テーブルの評価ポイントよりも評価ポイントが大きくなければならない。現在保存されている匿名テーブルの評価ポイントを上回ることができない場合には、再トップダウン処理は、保存している匿名テーブルを出力し、部分匿名化処理に渡して終了する。
トップダウン候補テーブルについて評価ポイントが一致した場合、再トップダウン処理は、優先順位が高い順から属性を見ていき、一般化のレベルが低い方のトップダウン候補テーブルを採用する。
[部分匿名化処理]
部分匿名化処理は、各属性の詳細化(トップダウン)を一律に行うのではなく、細かいクラスタに分割し、各クラスタがk−匿名性及びl−多様性を満たすように詳細化を行う。具体的には、部分匿名化処理は、準識別子から構成される属性値の組をグループ化し、クラスタとする。部分匿名化処理は、このクラスタ単位で、k−匿名性及びl−多様性を満たすように詳細化処理を実行する。各属性が単純木で構成されている場合、互いのクラスタは独立集合であることが保証されるので、各クラスタが、k−匿名性及びl−多様性を満たす限り、部分匿名化処理によって、全体のk−匿名性及びl−多様性が失われることは無い。すなわち、本プロセスでは、詳細化処理のみを行うので、部分匿名化処理の実行によって、評価ポイントが必ず増加することが保証される。したがって、部分匿名化処理は、評価ポイントの算出を省略することにより、高速化が可能である。また、本プロセスはオプションとし、提供者が望まない場合には処理を省略することも可能とする。部分匿名化処理は、最終的に得られたテーブルを匿名テーブル出力に渡して終了する。
部分匿名化処理は、各属性の詳細化(トップダウン)を一律に行うのではなく、細かいクラスタに分割し、各クラスタがk−匿名性及びl−多様性を満たすように詳細化を行う。具体的には、部分匿名化処理は、準識別子から構成される属性値の組をグループ化し、クラスタとする。部分匿名化処理は、このクラスタ単位で、k−匿名性及びl−多様性を満たすように詳細化処理を実行する。各属性が単純木で構成されている場合、互いのクラスタは独立集合であることが保証されるので、各クラスタが、k−匿名性及びl−多様性を満たす限り、部分匿名化処理によって、全体のk−匿名性及びl−多様性が失われることは無い。すなわち、本プロセスでは、詳細化処理のみを行うので、部分匿名化処理の実行によって、評価ポイントが必ず増加することが保証される。したがって、部分匿名化処理は、評価ポイントの算出を省略することにより、高速化が可能である。また、本プロセスはオプションとし、提供者が望まない場合には処理を省略することも可能とする。部分匿名化処理は、最終的に得られたテーブルを匿名テーブル出力に渡して終了する。
[匿名性条件判定]
k−匿名性及びl−多様性判定は、入力されたテーブルの全ての準識別子から構成される情報がk−匿名性を満たし、かつ、全ての重要情報から構成される情報がl−多様性もしくはt−近似性を満たすかどうか判定し、満たす場合はテーブルを匿名テーブル出力に受け渡す。満たさない場合、k−匿名性及びl−多様性判定は、満たさなかったグループをフィードバック情報としてトップダウン処理、ボトムアップ処理、再トップダウン処理に返す。以下の表1に各判定条件を示す。
k−匿名性及びl−多様性判定は、入力されたテーブルの全ての準識別子から構成される情報がk−匿名性を満たし、かつ、全ての重要情報から構成される情報がl−多様性もしくはt−近似性を満たすかどうか判定し、満たす場合はテーブルを匿名テーブル出力に受け渡す。満たさない場合、k−匿名性及びl−多様性判定は、満たさなかったグループをフィードバック情報としてトップダウン処理、ボトムアップ処理、再トップダウン処理に返す。以下の表1に各判定条件を示す。
[匿名テーブル出力]
匿名テーブル出力は、受け取ったテーブルを成形して出力する。受け取ったテーブルはテーブルそのものではなく、各属性の一般化のレベルで与えられている場合がある。このときには、匿名テーブル出力は、元のテーブルも読み込み、各属性について与えられたレベルによる一般化を行った後出力する。
匿名テーブル出力は、受け取ったテーブルを成形して出力する。受け取ったテーブルはテーブルそのものではなく、各属性の一般化のレベルで与えられている場合がある。このときには、匿名テーブル出力は、元のテーブルも読み込み、各属性について与えられたレベルによる一般化を行った後出力する。
図5及び図6を参照して、上述のトップダウン処理及びボトムアップ処理について説明する。図5は、本発明の一実施形態に係るプライバシー保護装置10によるトップダウン処理又はボトムアップ処理を説明するための図である。図5において、準識別子の属性の種類が(A,B,C)であり、それぞれの属性が一般化又は詳細化のための木構造データ(図2参照)を有し、一般化の限界レベルがそれぞれAがレベル2、Bがレベル3、Cがレベル1であるとする。
図5の例が示すように、ボトムアップ処理は、一般化の初期レベル(A0,B0,C0)から属性ごとに1レベルの一般化を行って、属性Aの一般化を行ったテーブル(A1,B0,C0)と、属性Bの一般化を行ったテーブル(A0,B1,C0)と、属性Cの一般化を行ったテーブル(A0,B0,C1)とを作成する。ボトムアップ処理は、同様の一段階の一般化を、属性の一般化の限界レベルまでそれぞれ行い、k−匿名性を有するテーブルを作成する。次に、ボトムアップ処理は、図5の例が示すように、それぞれのテーブルから属性ごとに1レベルの一般化を行って、それぞれのテーブルを作成するが、一般化のレベルが属性ごとの限界レベルを超える場合、限界レベルを超える属性の一般化を行わない。図5は、このようなボトムアップ処理によって、テーブルが一般化される過程を示している。
トップダウン処理は、図5が示すように、ボトムアップ処理とは逆方向に、詳細化の初期レベル(A2,B3,C1)から属性ごとに1レベルの詳細化を行って、属性Aの詳細化を行ったテーブル(A1,B3,C1)と、属性Bの詳細化を行ったテーブル(A2,B2,C1)と、属性Cの詳細化を行ったテーブル(A2,B3,C0)とを作成する。トップダウン処理は、同様の一段階の一般化を、属性の詳細化の限界までそれぞれ行い、k−匿名性を有するテーブルを作成する。次に、トップダウン処理は、図5の例が示すように、それぞれのテーブルから属性ごとに1レベルの詳細化を行って、それぞれのテーブルを作成する(レベル0を超えて詳細化はできない)。図5は、このようなトップダウン処理によって、テーブルが詳細化される過程も示している。
そして、図5は、例えば、ボトムアップ処理の一般化の過程の3段階目のテーブルと、トップダウン処理の詳細化の過程の3段階目のテーブルとが、一般化の同じレベルの属性を有するテーブルになり、そのうちの一部がk−匿名性を満たす場合を示している。
加工処理は、このようなボトムアップ処理による一般化と、トップダウン処理による詳細化とを組み合わせて繰り返し、k−匿名性及びl−多様性を満たす適切な匿名テーブルを作成する。
ボトムアップ処理とトップダウン処理とを組み合わせた場合の例を次に説明する。
図5の例が示すように、ボトムアップ処理は、一般化の初期レベル(A0,B0,C0)から属性ごとに1レベルの一般化を行って、属性Aの一般化を行ったテーブル(A1,B0,C0)と、属性Bの一般化を行ったテーブル(A0,B1,C0)と、属性Cの一般化を行ったテーブル(A0,B0,C1)とを作成する。ボトムアップ処理は、同様の一段階の一般化を、属性の一般化の限界レベルまでそれぞれ行い、k−匿名性を有するテーブルを作成する。次に、ボトムアップ処理は、図5の例が示すように、それぞれのテーブルから属性ごとに1レベルの一般化を行って、それぞれのテーブルを作成するが、一般化のレベルが属性ごとの限界レベルを超える場合、限界レベルを超える属性の一般化を行わない。図5は、このようなボトムアップ処理によって、テーブルが一般化される過程を示している。
トップダウン処理は、図5が示すように、ボトムアップ処理とは逆方向に、詳細化の初期レベル(A2,B3,C1)から属性ごとに1レベルの詳細化を行って、属性Aの詳細化を行ったテーブル(A1,B3,C1)と、属性Bの詳細化を行ったテーブル(A2,B2,C1)と、属性Cの詳細化を行ったテーブル(A2,B3,C0)とを作成する。トップダウン処理は、同様の一段階の一般化を、属性の詳細化の限界までそれぞれ行い、k−匿名性を有するテーブルを作成する。次に、トップダウン処理は、図5の例が示すように、それぞれのテーブルから属性ごとに1レベルの詳細化を行って、それぞれのテーブルを作成する(レベル0を超えて詳細化はできない)。図5は、このようなトップダウン処理によって、テーブルが詳細化される過程も示している。
そして、図5は、例えば、ボトムアップ処理の一般化の過程の3段階目のテーブルと、トップダウン処理の詳細化の過程の3段階目のテーブルとが、一般化の同じレベルの属性を有するテーブルになり、そのうちの一部がk−匿名性を満たす場合を示している。
加工処理は、このようなボトムアップ処理による一般化と、トップダウン処理による詳細化とを組み合わせて繰り返し、k−匿名性及びl−多様性を満たす適切な匿名テーブルを作成する。
ボトムアップ処理とトップダウン処理とを組み合わせた場合の例を次に説明する。
図6は、本発明の一実施形態に係るプライバシー保護装置10によるトップダウン処理とボトムアップ処理との繰り返しを説明するための図である。図6において、丸印は、図5のような過程において生成されるテーブルを示し、テーブルからテーブルへの矢印は、下方への矢印がトップダウン処理、上方への矢印がボトムアップ処理を示している。そして、図6の例は、図5のような過程において生成されるテーブルのうち、例えば、前処理が行われて(k+l)−匿名性を満たすように一般化されたテーブル601からトップダウン処理を開始する例である。
図6が示すように、トップダウン処理は、前処理が行われた前処理後のテーブル601に詳細化を行って、トップダウン候補テーブル611,612を作成する。
トップダウン処理は、作成したトップダウン候補テーブル611,612のうち、評価ポイントが最も大きいトップダウン候補テーブル611を処理対象として選択し、評価ポイントを保存しながら、詳細化と選択との処理を繰り返す。
そして、詳細化が行き過ぎて、k−匿名性及びl−多様性を満たさなくなった場合、トップダウン処理は、k−匿名性及びl−多様性を満たさなくなったトップダウン候補テーブル631,632の中から評価ポイントが最も大きいトップダウン候補テーブル632をボトムアップ処理に受け渡す。
ボトムアップ処理は、渡されたトップダウン候補テーブル632の一般化を行い、ボトムアップ候補テーブルを作成し、作成したボトムアップ候補テーブルのうち、評価ポイントが最も大きいボトムアップ候補テーブルを処理対象として選択し、評価ポイントを保存しながら、一般化と選択との処理を繰り返す。
そして、k−匿名性及びl−多様性を満たすようになった場合、ボトムアップ処理は、トップダウン処理において保存されたトップダウン候補テーブルの評価ポイントも含めて最大の評価ポイントを得たボトムアップ候補テーブル641を再トップダウン処理に渡す。
このような処理が繰り返され、k−匿名性及びl−多様性を満たす候補テーブル(例えば、候補テーブル651)の評価ポイントが、保存されている候補テーブル(例えば、ボトムアップ候補テーブル641)の評価ポイントを上回ることができなくなった場合、保存されている、評価ポイントが最高の候補テーブル(例えば、ボトムアップ候補テーブル641)は、匿名テーブルとされ、部分匿名化処理が行われて、最適な匿名化したテーブルとして出力テーブル701とされる。
図6が示すように、トップダウン処理は、前処理が行われた前処理後のテーブル601に詳細化を行って、トップダウン候補テーブル611,612を作成する。
トップダウン処理は、作成したトップダウン候補テーブル611,612のうち、評価ポイントが最も大きいトップダウン候補テーブル611を処理対象として選択し、評価ポイントを保存しながら、詳細化と選択との処理を繰り返す。
そして、詳細化が行き過ぎて、k−匿名性及びl−多様性を満たさなくなった場合、トップダウン処理は、k−匿名性及びl−多様性を満たさなくなったトップダウン候補テーブル631,632の中から評価ポイントが最も大きいトップダウン候補テーブル632をボトムアップ処理に受け渡す。
ボトムアップ処理は、渡されたトップダウン候補テーブル632の一般化を行い、ボトムアップ候補テーブルを作成し、作成したボトムアップ候補テーブルのうち、評価ポイントが最も大きいボトムアップ候補テーブルを処理対象として選択し、評価ポイントを保存しながら、一般化と選択との処理を繰り返す。
そして、k−匿名性及びl−多様性を満たすようになった場合、ボトムアップ処理は、トップダウン処理において保存されたトップダウン候補テーブルの評価ポイントも含めて最大の評価ポイントを得たボトムアップ候補テーブル641を再トップダウン処理に渡す。
このような処理が繰り返され、k−匿名性及びl−多様性を満たす候補テーブル(例えば、候補テーブル651)の評価ポイントが、保存されている候補テーブル(例えば、ボトムアップ候補テーブル641)の評価ポイントを上回ることができなくなった場合、保存されている、評価ポイントが最高の候補テーブル(例えば、ボトムアップ候補テーブル641)は、匿名テーブルとされ、部分匿名化処理が行われて、最適な匿名化したテーブルとして出力テーブル701とされる。
図7は、本発明の一実施形態に係るプライバシー保護装置10の処理の例を示すフローチャートである。プライバシー保護装置10は、コンピュータ及びその周辺装置が備えるハードウェア並びに該ハードウェアを制御するソフトウェアによって構成され、以下の処理は、制御部(例えば、CPU)が、OSの下で所定のソフトウェアに従い実行する処理である。
ステップS101において、CPUは、設定処理をする。より具体的には、CPUは、属性について、削除される識別子と、準識別子と、重要情報とのいずれかを設定し、設定した準識別子ごとに、一般化を行うための限度を設定し、準識別子ごとに重要度(優先順位)を設定する。
ステップS102において、CPU(抽出手段11、選択手段12,事前処理手段13)は、事前サンプリング処理(図9で示される処理)を実行する。
ステップS103において、CPU(匿名化処理手段14)は、匿名化処理(図8、及び図10から図13で示される処理)を実行する。
ステップS104において、CPU(テーブル記憶制御手段15)は、ステップS103において匿名化されたテーブルと、入力された利用者の識別情報とを対応付けてテーブル記憶手段31に記憶させる。
ステップS105において、CPUは、匿名化されたテーブルを成形して出力する。その後、CPUは、処理を終了する。
図8は、本発明の一実施形態に係るプライバシー保護装置10の匿名化処理の例を示すフローチャートである。
ステップS111において、CPU(匿名化処理手段14)は、前処理をする。より具体的には、CPUは、テーブルについて、属性単体で(k+l)−匿名性を満たすように一般化する。
ステップS112において、CPU(匿名化処理手段14)は、加工処理(図10から図13で示される処理)を実行する。
ステップS113において、CPU(匿名化処理手段14)は、部分匿名化処理をする。より具体的には、CPUは、準識別子の属性値の組み合わせに基づいてクラスタを形成し、形成したクラスタごとに、k−匿名性及びl−多様性を満たすように準識別子の一般化を行って、匿名化を行う。その後、CPUは、処理をステップS104に戻す。
図9は、本発明の一実施形態に係るプライバシー保護装置10の事前サンプリング処理の例を示すフローチャートである。
ステップS201において、CPU(抽出手段11)は、属性値が全て等しいレコードごとにグループ化する。
ステップS202において、CPU(抽出手段11)は、グループごとのレコード数を算出する。
ステップS203において、CPU(抽出手段11)は、グループごとのレコード数が所定のレコード数以上か否かを判断する。この判断がYESの場合、CPUは、処理をステップS207に移し、この判断がNOの場合、CPUは、処理をステップS204に移す。
ステップS204において、CPU(抽出手段11)は、全ての準識別子について上限まで一般化したか否かを判断する。この判断がYESの場合、CPUは、処理をステップS205に移し、この判断がNOの場合、CPUは、処理をステップS208に移す。
ステップS205において、CPU(事前処理手段13)は、特定のグループに属するレコードに対応する元のレコードを、元のテーブルから削除する。その後、CPUは、処理をステップS206に移す。
ステップS206において、CPU(選択手段12、事前処理手段13)は、特定のグループに属するレコードから選択したレコードに対応する、一般化を行う前の元のレコードに基づいて生成したレコードを、元のテーブルに追加する。その後、CPUは、処理をステップS103に戻す。
ステップS207において、CPU(選択手段12、事前処理手段13)は、一般化の一段階前における特定のグループに属するレコードに対応する元のレコードを、元のテーブルから削除し、特定のグループに属するレコードから選択したレコードに対応する、一般化を行う前の元のレコードに基づいて生成したレコードを、元のテーブルに追加する。その後、CPUは、処理をステップS103に戻す。
ステップS208において、CPU(事前処理手段13)は、属性ごとに一段階の一般化をする。その後、CPUは、処理をステップS201に移す。
図10は、本発明の一実施形態に係るプライバシー保護装置10の匿名化処理手段14による加工処理の例を示すフローチャートである。
ステップS301において、CPUは、準識別子の属性値が全て同じレコードをグループ化する。
ステップS302において、CPUは、1つのグループを処理対象とする。
ステップS303において、CPUは、トップダウン処理(図11及び図12で示される処理)をする。
ステップS304において、CPUは、ボトムアップ処理へ渡すべきトップダウン候補テーブルが有るか否かを判断する。この判断がYESの場合、CPUは、処理をステップS305に移し、この判断がNOの場合、CPUは、処理をステップS307に移す。
ステップS305において、CPUは、ボトムアップ処理(図13で示される処理)をする。
ステップS306において、CPUは、トップダウン処理へ渡すべきボトムアップ候補テーブルが有るか否かを判断する。この判断がYESの場合、CPUは、処理をステップ303に移し、この判断がNOの場合、CPUは、処理をステップS307に移す。
ステップS307において、CPUは、トップダウン処理又はボトムアップ処理によって出力されたグループごとの匿名テーブルを、1つの匿名テーブルにする。
ステップS308において、CPUは、全てのグループについて終了か否かを判断する。この判断がYESの場合、CPUは、処理をステップS113に戻し、この判断がNOの場合、CPUは、処理をステップS302に移す。
図11及び図12は、本発明の一実施形態に係るプライバシー保護装置10のトップダウン処理の例を示すフローチャートである。
ステップS401において、CPUは、詳細化する属性の順番を求める。
ステップS402において、CPUは、1つの属性を処理対象としてセットする。
ステップS403において、CPUは、直前の属性による候補テーブルよりも評価ポイントが上回る可能性があるか否かを判断する。この判断がYESの場合、CPUは、処理をステップS404に移し、この判断がNOの場合、CPUは、処理をステップS407に移す。
ステップS404において、CPUは、各属性ごとにトップダウンによる詳細化を1段階行い、トップダウン候補テーブルを作成する。
ステップS405において、CPUは、k−匿名性及びl−多様性を満たすか否かを判断する。この判断がYESの場合、CPUは、処理をステップS406に移し、この判断がNOの場合、CPUは、処理をステップS407に移す。
ステップS406において、CPUは、候補テーブルの評価ポイントを算出し、トップダウン候補テーブルと共に保存する。
ステップS407において、CPUは、属性について終了か否かを判断する。この判断がYESの場合、CPUは、処理をステップ408に移し、この判断がNOの場合、CPUは、処理をステップS402に移す。
ステップS408において、CPUは、k−匿名性及びl−多様性を満たすトップダウン候補テーブルがあるか否かを判断する。この判断がYESの場合、CPUは、処理をステップ409に移し、この判断がNOの場合、CPUは、処理をステップS410に移す。
ステップS409において、CPUは、算出した評価ポイントが最大のテーブルを抽出する。その後、CPUは、処理をステップS401に移す。
ステップS410において、CPUは、再トップダウン処理か否かを判断する。この判断がYESの場合、CPUは、処理をステップ411に移し、この判断がNOの場合、CPUは、処理をステップS413に移す。
ステップS411において、CPUは、保存している匿名テーブルの評価ポイントを上回ることができるか否かを判断する。この判断がYESの場合、CPUは、処理をステップ413に移し、この判断がNOの場合、CPUは、処理をステップS412に移す。
ステップS412において、CPUは、保存している匿名テーブルを出力する。その後、CPUは、処理をステップS304に戻す。
ステップS413において、CPUは、満たさない候補テーブルの中で評価ポイントが最大のトップダウン候補テーブルを抽出してボトムアップ処理へ渡す。その後、CPUは、処理をステップS304に戻す。
図13は、本発明の一実施形態に係るプライバシー保護装置10のボトムアップ処理の例を示すフローチャートである。
ステップS501において、CPUは、トップダウン処理から出力されたテーブルを対象とする。
ステップS502において、CPUは、各属性ごとにボトムアップによる一般化を1段階行い、ボトムアップ候補テーブルを作成する。
ステップS503において、CPUは、ボトムアップ候補テーブルの評価ポイントを算出する。
ステップS504において、CPUは、ボトムアップ候補テーブルのうちk−匿名性及びl−多様性を満たすボトムアップ候補テーブルがあるか否かを判断する。この判断がYESの場合、CPUは、処理をステップS505に移し、この判断がNOの場合、CPUは、処理をステップS507に移す。
ステップS505において、CPUは、トップダウン候補テーブルを含めて、評価ポイントが最大のテーブルを匿名テーブルとして抽出し、保存する。
ステップS506において、CPUは、匿名テーブルをトップダウン処理に渡す。その後、CPUは、処理をステップS306に戻す。
ステップS507において、CPUは、保存している匿名テーブルの評価ポイントを上回ることができるか否かを判断する。この判断がYESの場合、CPUは、処理をステップS509に移し、この判断がNOの場合、CPUは、処理をステップS508に移す。
ステップS508において、CPUは、保存している匿名テーブルを出力する。その後、CPUは、処理をステップS306に戻す。
ステップS509において、CPUは、保存している匿名テーブルよりも評価ポイントが大きく、かつ、ボトムアップ候補テーブルの中で評価ポイントが最も大きい候補テーブルを抽出する。その後、CPUは、処理をステップS502に移す。
本実施形態によれば、プライバシー保護装置10は、利用者ごとに異なる特徴レコードを保持する匿名化後のテーブルと、利用者とを対応付けてテーブル記憶手段31に記憶させることにより、利用者に提供したテーブルが漏洩されても、漏洩させた利用者を特定することができる。
さらに、プライバシー保護装置10は、テーブルの一部のレコードを特徴レコードに置換することによって、匿名化後のテーブルを特徴付ける。
さらに、プライバシー保護装置10は、ランダムに選択したレコードを特徴レコードとして追加することによって、匿名化後のテーブルを特徴付ける。
さらに、プライバシー保護装置10は、元のテーブルから削除してもよいレコードを残すことによって、匿名化後のテーブルを特徴付ける。
さらに、プライバシー保護装置10は、元のテーブルから削除してもよいレコードと、元のテーブルの主要なレコードとの統計処理により作成されたレコードを加えることにより、匿名化後のテーブルを特徴付ける。
さらに、プライバシー保護装置10は、元のテーブルから削除してもよいレコードのうち複数のレコードを選択することにより、匿名化後のテーブルをより明瞭に特徴付ける。さらに、プライバシー保護装置10は、複数のレコードの組み合わせにより、多数の利用者ごとへの特徴付けを可能にする。
さらに、プライバシー保護装置10は、テーブルの一部のレコードを特徴レコードに置換することによって、匿名化後のテーブルを特徴付ける。
さらに、プライバシー保護装置10は、ランダムに選択したレコードを特徴レコードとして追加することによって、匿名化後のテーブルを特徴付ける。
さらに、プライバシー保護装置10は、元のテーブルから削除してもよいレコードを残すことによって、匿名化後のテーブルを特徴付ける。
さらに、プライバシー保護装置10は、元のテーブルから削除してもよいレコードと、元のテーブルの主要なレコードとの統計処理により作成されたレコードを加えることにより、匿名化後のテーブルを特徴付ける。
さらに、プライバシー保護装置10は、元のテーブルから削除してもよいレコードのうち複数のレコードを選択することにより、匿名化後のテーブルをより明瞭に特徴付ける。さらに、プライバシー保護装置10は、複数のレコードの組み合わせにより、多数の利用者ごとへの特徴付けを可能にする。
このように、プライバシー保護装置10は、一般化しても所定のレコード数を含まない特定のグループに含まれるレコードに基づいて生成されたレコードを、元のテーブルにいくつか残存させ、残存させたテーブルを、匿名化する。すなわち、プライバシー保護装置10によって匿名化されたテーブルには、特定のグループに含まれるレコードに基づいて生成されたレコードによる特徴が、匿名化処理によって匿名化後のテーブル全体に広がって保持されている。
これに対し、例えば、匿名化後のテーブルに、匿名化後のテーブルを特徴付けるためのレコードを付加しても、特徴が匿名化後のテーブル全体に広がることはない。このような場合、付加したレコードを含まないような一部の漏洩に対して、漏洩させた利用者を特定することは、困難である。
本実施形態のように、元のテーブルの特定のグループに含まれるレコードのいくつかを残存させて匿名化すると、匿名化後のテーブル全体に特徴を保持させることができるので、プライバシー保護装置10は、部分的に漏洩させた利用者を特定することも可能である。
これに対し、例えば、匿名化後のテーブルに、匿名化後のテーブルを特徴付けるためのレコードを付加しても、特徴が匿名化後のテーブル全体に広がることはない。このような場合、付加したレコードを含まないような一部の漏洩に対して、漏洩させた利用者を特定することは、困難である。
本実施形態のように、元のテーブルの特定のグループに含まれるレコードのいくつかを残存させて匿名化すると、匿名化後のテーブル全体に特徴を保持させることができるので、プライバシー保護装置10は、部分的に漏洩させた利用者を特定することも可能である。
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
プライバシー保護装置10による一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、コンピュータ読み取り可能な記録媒体(例えば、CD−ROMのようなリムーバブルメディア等)に記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
10 プライバシー保護装置
11 抽出手段
12 選択手段
13 事前処理手段
14 匿名化処理手段
15 テーブル記憶制御手段
31 テーブル記憶手段
11 抽出手段
12 選択手段
13 事前処理手段
14 匿名化処理手段
15 テーブル記憶制御手段
31 テーブル記憶手段
Claims (8)
- 複数の属性から成るレコードであって前記属性のうち組み合わせると個人を特定することが可能な準識別子を含む複数の前記レコードから構成されるテーブルについて匿名化を行い、利用者に提供するプライバシー保護装置であって、
前記テーブルに、前記利用者ごとに異なる特徴レコードを追加する事前処理を行う事前処理手段と、
前記事前処理手段によって前記事前処理がされた後のテーブルについて、匿名化を行う匿名化処理手段と、
前記匿名化処理手段によって匿名化が行われたテーブルと、前記利用者の識別情報とを対応付けてテーブル記憶手段に記憶させるテーブル記憶制御手段と、
を備えるプライバシー保護装置。 - 前記事前処理手段は、前記複数のレコードの一部を前記特徴レコードに置換する、請求項1に記載のプライバシー保護装置。
- 前記テーブルについて、前記準識別子ごとに、所定の段階まで一般化を行い、全ての前記準識別子の属性値が一致するレコードを集めたグループを作成し、作成したグループに含まれるレコード数が所定のレコード数未満である特定のグループを抽出する抽出手段と、
前記特定のグループに含まれるレコードのうちから前記利用者ごとに異なるレコードをランダムに選択する選択手段と、をさらに備え、
前記事前処理手段は、前記特定のグループに含まれるレコードに対応する、一般化を行う前の元のレコードを、一般化を行う前の元の前記テーブルから削除した後、前記選択されたレコードに基づいて生成したレコードを前記特徴レコードとして追加する、
請求項1又は2に記載のプライバシー保護装置。 - 前記事前処理手段が前記特徴レコードとして追加するレコードは、前記選択されたレコードに対応する、一般化を行う前の元のレコードである、請求項3に記載のプライバシー保護装置。
- 前記事前処理手段が前記特徴レコードとして追加するレコードは、前記選択されたレコードに対応する、一般化を行う前の元のレコードを含む複数のレコードを統計処理して生成した新たなレコードである、請求項3に記載のプライバシー保護装置。
- 前記選択手段は、複数のレコードを選択する、請求項3から5のいずれか一項に記載のプライバシー保護装置。
- 請求項1に記載のプライバシー保護装置が実行する方法であって、
前記事前処理手段が、前記テーブルに、前記利用者ごとに異なる特徴レコードを追加する事前処理を行う事前処理ステップと、
前記匿名化処理手段が、前記事前処理ステップによって前記事前処理がされた後のテーブルについて、匿名化を行う匿名化処理ステップと、
前記テーブル記憶制御手段が、前記匿名化処理ステップによって匿名化が行われたテーブルと、前記利用者の識別情報とを対応付けてテーブル記憶手段に記憶させるテーブル記憶制御ステップと、
を備える方法。 - コンピュータに、請求項7に記載の方法の各ステップを実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015025338A JP6370236B2 (ja) | 2015-02-12 | 2015-02-12 | プライバシー保護装置、方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015025338A JP6370236B2 (ja) | 2015-02-12 | 2015-02-12 | プライバシー保護装置、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016148993A JP2016148993A (ja) | 2016-08-18 |
| JP6370236B2 true JP6370236B2 (ja) | 2018-08-08 |
Family
ID=56691284
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015025338A Active JP6370236B2 (ja) | 2015-02-12 | 2015-02-12 | プライバシー保護装置、方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6370236B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220004544A1 (en) * | 2019-02-26 | 2022-01-06 | Nippon Telegraph And Telephone Corporation | Anonymity evaluation apparatus, anonymity evaluation method, and program |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101834505B1 (ko) | 2016-08-19 | 2018-03-05 | (주)이지서티 | 데이터 순서를 이용한 원본 데이터 확인 방법 및 시스템 |
| JP7374796B2 (ja) | 2020-02-07 | 2023-11-07 | 日鉄ソリューションズ株式会社 | 情報処理装置、情報処理方法及びプログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005222135A (ja) * | 2004-02-03 | 2005-08-18 | Internatl Business Mach Corp <Ibm> | データベースアクセス監視装置、情報流出元特定システム、データベースアクセス監視方法、情報流出元特定方法、およびプログラム |
| JP2006140944A (ja) * | 2004-11-15 | 2006-06-01 | Hitachi Ltd | 情報埋め込み装置、方法、システムおよび利用者端末 |
-
2015
- 2015-02-12 JP JP2015025338A patent/JP6370236B2/ja active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220004544A1 (en) * | 2019-02-26 | 2022-01-06 | Nippon Telegraph And Telephone Corporation | Anonymity evaluation apparatus, anonymity evaluation method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016148993A (ja) | 2016-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6293003B2 (ja) | プライバシー保護装置、方法及びプログラム | |
| US10817621B2 (en) | Anonymization processing device, anonymization processing method, and program | |
| CN109614238B (zh) | 一种目标对象识别方法、装置、系统及可读存储介质 | |
| JP6007969B2 (ja) | 匿名化装置及び匿名化方法 | |
| JP5611852B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| JP6584861B2 (ja) | プライバシ保護装置、方法及びプログラム | |
| CN109983467B (zh) | 用于匿名化数据集的系统和方法 | |
| JP6413769B2 (ja) | データ秘匿装置、データ秘匿プログラムおよびデータ秘匿方法 | |
| KR102490529B1 (ko) | 전주기적 비식별화 관리 장치 및 방법 | |
| JP6370236B2 (ja) | プライバシー保護装置、方法及びプログラム | |
| WO2014181541A1 (ja) | 匿名性を検証する情報処理装置及び匿名性検証方法 | |
| JP2015114871A (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| US11620406B2 (en) | Information processing device, information processing method, and recording medium | |
| JP7026653B2 (ja) | クラスタリング装置、クラスタリング方法及びクラスタリングプログラム | |
| JP6450098B2 (ja) | 匿名化装置、匿名化方法及び匿名化プログラム | |
| JP6487820B2 (ja) | リスク評価装置、リスク評価方法及びリスク評価プログラム | |
| JP6618875B2 (ja) | 評価装置、評価方法及び評価プログラム | |
| JP2014011503A (ja) | 秘匿化装置、秘匿化プログラムおよび秘匿化方法 | |
| JP6437842B2 (ja) | プライバシー保護装置、方法及びプログラム | |
| JP2017224240A (ja) | 表データ検索装置、表データ検索方法、及び表データ検索プログラム | |
| KR101804426B1 (ko) | Gpgpu를 이용한 데이터 익명화의 병렬적 처리 방법 | |
| JP7219726B2 (ja) | リスク評価装置、リスク評価方法及びリスク評価プログラム | |
| JP6486865B2 (ja) | データ撹乱装置、データ撹乱方法、データ撹乱プログラム | |
| JP7179795B2 (ja) | 匿名化装置、匿名化方法及び匿名化プログラム | |
| JP2016115112A (ja) | データ匿名化装置、プログラム、及び方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170816 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180329 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180417 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180531 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180703 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180710 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6370236 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |