JP6445415B2 - 匿名化装置、匿名化方法、プログラム - Google Patents

匿名化装置、匿名化方法、プログラム Download PDF

Info

Publication number
JP6445415B2
JP6445415B2 JP2015200169A JP2015200169A JP6445415B2 JP 6445415 B2 JP6445415 B2 JP 6445415B2 JP 2015200169 A JP2015200169 A JP 2015200169A JP 2015200169 A JP2015200169 A JP 2015200169A JP 6445415 B2 JP6445415 B2 JP 6445415B2
Authority
JP
Japan
Prior art keywords
probability
value
attribute
anonymization
equal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015200169A
Other languages
English (en)
Other versions
JP2017073022A (ja
Inventor
千田 浩司
浩司 千田
亮 菊池
亮 菊池
大 五十嵐
大 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015200169A priority Critical patent/JP6445415B2/ja
Publication of JP2017073022A publication Critical patent/JP2017073022A/ja
Application granted granted Critical
Publication of JP6445415B2 publication Critical patent/JP6445415B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、匿名化装置、匿名化方法、プログラムに関する。
顧客情報等のパーソナルデータ(個人に関する情報)を保有する組織や部署等が、当該パーソナルデータを別の組織や部署等に開示、あるいは公開する際、当該パーソナルデータに対応する個人のプライバシーが損なわれないよう匿名化技術がしばしば用いられる。ここで匿名化とは、特定の個人に対するプライバシー侵害のリスクを下げるためにデータを加工する処理を指すものとする。匿名化として例えば、名前など特定の個人を直接識別しやすいデータ(識別子)をパーソナルデータから削除する方法がある。さらに年齢や性別など、特定の個人を絞り込めるデータ(準識別子)についても、一般化(例えば年齢を年代に変更)や撹乱(例えば性別を10%の確率で入れ替え)などを行う方法もある。どの程度一般化や撹乱などを行うべきか、いくつかの指標が提案されている。Sweeneyは、同じ準識別子の組合せを持つデータがk個以上となるように匿名化を行う指標「k-匿名性」を提案した(非特許文献1)。図1は、各個人のパーソナルデータが各行(各レコード)に記されている表形式のパーソナルデータのセット(以下、パーソナルデータセットという)を例示する図である。図1の例において、名前を識別子、性別と年齢を準識別子とする。このとき、識別子(名前)の列の値を削除し、さらに準識別子(性別、年齢)の列の値がk個以上同じとなるようデータを加工すれば、k-匿名性を満たすデータが得られる。図2は、レコードの一部削除により2-匿名性(k-匿名性のkの値を2としたもの)を満たした例を示す図である。図3は、準識別子の値の一般化により2-匿名性を満たした例を示す図である。なお図2、図3においてハッチングを施したセルは、該当セル内のデータ(値)の削除を意味するものとする。これにより、例えばパーソナルデータセットに含まれるChrisの性別と年齢(M,30)を知っていても、レコードを一意に識別できないため、Chrisの年収(属性値)を知ることが一般に難しくなる。図2、図3の例では、Chrisの年収が$57Kか$81Kのどちらか分からない。
しかしレコードを一意に識別できなくても、候補のレコードの年収が全て同じ値であれば年収を知られてしまう。また候補のレコードのほとんどの年収が同じであれば、高い確率で年収を推定できてしまう。このように匿名化したパーソナルデータセット(以降、単に匿名化データと呼ぶ)の属性値の偏りから特定の個人のデータを推定することを同種攻撃(homogeneity attack)と呼ぶ。同種攻撃の対策としてWongらは、k-匿名性を満たしつつ、αを超える割合で属性値が同じ値とならないことを指標とする「(α,k)-匿名性」を提案した(非特許文献2)。例えば図2、図3の例からChrisの年収は$57Kか$81Kのどちらかとなり、どちらも同じ割合のため、Chrisの年収に関しては(0.5,2)-匿名性を満たす。
k-匿名性のその他の問題点として、例えば「Chrisの年収は$60K以下」ということを知っていれば、Chrisの年収は$57Kであることが分かってしまうことが指摘されている。このように匿名化データと元々知っている情報から特定の個人のデータを推定することを背景知識攻撃(background knowledge attack)と呼ぶ。背景知識攻撃の対策としてTrutaらは、k-匿名性を満たしつつ、候補のレコードがp通り以上の属性値を持つことを指標とする「p-センシティブk-匿名性」を提案した(非特許文献3)。例えば図2の例ではChrisの年収に関して2-センシティブ2-匿名性を満たす。
一方、Evfimievskiらは匿名化したパーソナルデータセットの開示前後の知識の差を指標とする「ρ1-to-ρ2プライバシー侵害」を提案した(非特許文献4)。X,Yをそれぞれ匿名化前後のパーソナルデータセットの確率変数、Q(x)を匿名化前のデータを入力とする述語関数としたとき、0<ρ12<1を満たす定数ρ12について
Figure 0006445415
となるとき、yの開示はρ1-to-ρ2プライバシー侵害と見なす。ここでPr(Q(X))はQ(X)が真と推定できる確率(事前確率)であり、この事前確率を例えば「Chrisの年収が$60K以下であることが真と推定できる確率」とすれば、「Chrisの年収が$60K以下であることが真と推定できる確率は30%」といった背景知識が考えられる。そしてPr(Q(X)|Y=y)は匿名化データyの開示によってQ(X)が真と推定できる確率(事後確率)であり、この事後確率を例えば「匿名化データyの開示によってChrisの年収が$60K以下であることが真と推定できる確率」とすることができる。例えばこの事後確率が60%であれば、匿名化データyの開示によって事後確率(60%)が背景知識による事前確率(30%)よりも上昇し、新たな知識が得られたことを意味する。
「ρ1-to-ρ2プライバシー侵害」は、yという知識が与えられることで、Q(X)が真と推定できる確率がρ1以下からρ2以上になるとプライバシー侵害のリスクが高いと考える指標である。この指標では、Q(X)が真と推定できる確率がρ2以上からρ1以下になる場合も同様にリスクが高いと考える。
L. Sweeney, "k-anonymity: A model for protecting privacy," Int' l Journal on Uncertainty, Fuzziness and Knowledge-based Systems, Vol.10, No.5, pp.557-570, 2002. R. Wong, J. Li, A. Fu, and K. Wang, "(α,k)-anonymity: an enhanced k-anonymity model for privacy preserving data publishing," Proc. of ACM SIGKDD 2006, pp.754-759, 2006. T.M. Truta and B. Vinay, "Privacy protection: p-sensitive k-anonymity property," Proc. of 22nd IEEE Int’l Conf. on Data Engineering Workshops, 2006. A. Evfimievski, J. Gehrke, and R. Srikant, "Limiting privacy breaches in privacy preserving data mining," Proc. of PODS '03, pp.211-222, 2003.
前述の通り、匿名化に対する指標は様々提案されている。しかし如何なる攻撃をも防ぐことは困難であることが知られており、適切で受容性の高い指標の確立と、当該指標を満たす匿名化手法が望まれる。
このような状況に鑑み、本発明では、同種攻撃と背景知識攻撃を防ぐための新たな指標を満たす匿名化を実行できる匿名化装置を提供することを目的とする。
本発明の匿名化装置は、データセットにおける何れかのレコードの何れかの属性の属性値が第1の値となる条件付き確率が、第1の定数以下であって第2の定数以上となるように、匿名化データを生成する。
本発明の匿名化装置によれば、同種攻撃と背景知識攻撃を防ぐための新たな指標を満たす匿名化を実行できる。
各個人のパーソナルデータが各行に記されている表形式のパーソナルデータセットを例示する図。 レコードの一部削除により2-匿名性を満たした例を示す図。 準識別子の値の一般化により2-匿名性を満たした例を示す図。 実施例1の匿名化装置の構成の概要を示すブロック図。 実施例1の匿名化装置の動作の概要を示すフローチャート。 実施例1の匿名化装置の構成の詳細を示すブロック図。 実施例1の匿名化装置の動作の詳細を示すフローチャート。 確率θおよび式(6)の式変形を説明する図。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
以下、図4、図5を参照して、実施例1の匿名化装置の構成及び動作の概要を説明する。図4に示すように、本実施例の匿名化装置1は、匿名化データを生成、出力する装置である。図5に示すように、本実施例の匿名化装置1は、パーソナルデータセットを与えられた場合の、パーソナルデータセットにおける何れかのレコード(後述するr)の何れかの属性(後述するA)の属性値が第1の値(後述するau)となる条件付き確率(後述するPr(A=au|Y=y))が、第1の定数(後述するα)以下であって第2の定数以上(後述するγ)となるように、匿名化データを生成する(S1)。
以下にステップS1について詳細に説明する。パーソナルデータセットの何れかの属性A(年収など、センシティブなデータの項目)の取り得るm個の値(属性値)をaw(ただしw=1,2,…,m)とする。このとき、元のパーソナルデータセットの何れかのレコード(好適には、全てのレコード)について、属性Aの属性値を推定できる確率が一定の範囲内となるような指標を定める。具体的には、Yを匿名化データの確率変数、yを匿名化データ、第1の定数α、第2の定数γを0≦γ<α≦1を満たす定数とし、Aの属性値である第1の値au(ただしu=1,2,…,m)について、yを与えられた場合に何れかのレコードの属性Aの属性値が第1の値auと推定できる条件付き確率Pr(A=au|Y=y)が、
Figure 0006445415
および
Figure 0006445415
を満たすことを新たな指標とし、匿名化装置1は、ステップS1において、当該指標を満足するように、匿名化データを生成する。
式(2)は(α,k)-匿名性同様、同種攻撃の対策となる指標である。そして式(3)は背景知識攻撃の対策となる指標であり、任意のレコードのAの属性値がauである可能性をγ以上の確率で否定できないことを保証する指標である。
次に、図6、図7を参照して、本実施例の匿名化装置1の構成及び動作の詳細を説明する。図6に示すように、本実施例の匿名化装置1は、パーソナルデータ記憶部11と、撹乱係数生成部12と、定数記憶部13と、データ攪乱部14を含む構成である。パーソナルデータ記憶部11には、前述したパーソナルデータセットが記憶されている。定数記憶部13には、前述した第1の定数α、第2の定数γが記憶されている。撹乱係数生成部12は、条件付き確率(Pr(A=au|Y=y))が、第1の定数(α)以下であって第2の定数(γ)以上となるように条件付き確率を計算する。図7に示すように、撹乱係数生成部12は、前述した「何れかの」レコード(r)の属性値が第1の値(au)となる確率(Pr(A=au))と、属性値が匿名化後に第1の値(au)から第2の値(avとする)に遷移する確率である第1の遷移確率(後述するqu,v)と、当該レコード(r)の属性値が、m個の取り得る各属性値(aw,w=1,2,…,m)となる各確率(Pr(A=aw),w=1,2,…,m)と、m個の取り得る各属性値(aw,w=1,2,…,m)が匿名化後に第2の値(av)に遷移する確率である第2の遷移確率(後述するqw,v,w=1,2,…,m)に基づいて、条件付き確率(Pr(A=au|Y=y))を計算し、第1、または第2の遷移確率(qu,vまたはqw,v)に基づいて撹乱係数(後述するρ)を生成する(S12)。データ攪乱部14は、撹乱係数(ρ)と、パーソナルデータセットに基づいて、匿名化データを生成し、出力する(S14)。
以下、ステップS12について詳細に説明する。ベイズの定理より、
Figure 0006445415
が成り立つ。すなわち、匿名化データyを開示する前に、あるレコードのAの属性値がawと推定できる確率Pr(A=aw)と、当該レコードのAの属性値がawであるときに匿名化データがyとなる確率Pr(Y=y|A=aw)が分かれば、式(4)の値を求めることができる。そして何れかのレコード(好適には、全てのレコード)について式(4)の値を求め、その最大値が式(2)を満たし、かつ最小値が式(3)を満たすように匿名化データyを作成すればよい。
匿名化は例えば以下の撹乱手法を用いる。あるレコードのAの属性値を第1の値(au)としたとき、匿名化後の属性値が第2の値(av)となる確率(第1の遷移確率)を撹乱係数ρと、属性値の取り得る値の個数mを用いて、
Figure 0006445415
とする。ただし、撹乱係数ρは0以上1以下の実数とする。第2の遷移確率も同様とする。すなわち、撹乱係数生成部12は、式(2)および式(3)を満たすような撹乱係数ρの値を生成すればよい。
Pr(A=aw)の値は、特定のレコードの属性値の推定を試みる攻撃者の背景知識(事前知識)と考える。すなわち、撹乱係数生成部12は、Pr(A=aw)の値を予め設定された攻撃者の事前知識に基づいて計算する。例えば、攻撃者が特定のレコードの属性値について事前に何も分からないものと設定した場合、撹乱係数生成部12は、属性値の分布が一様分布に従うものとして、各確率(Pr(A=aw),w=1,2,…,m)を取得してもよい。この場合、攻撃者が属性値の分布は一様であると仮定したものと設定し、例えばPr(A=aw)=1/m、あるいはこれに類似の値とすることができる。また、攻撃者が元のパーソナルデータセットにおける各属性値(aw,w=1,2,…,m)の頻度を知っているものと設定した場合、撹乱係数生成部12は、パーソナルデータセットにおける各属性値(aw,w=1,2,…,m)の頻度に基づいて、各確率(Pr(A=aw),w=1,2,…,m)を取得してもよい。
最後にPr(Y=y|A=aw)の値について説明する。あるレコードrの属性Aの値がawであるときに匿名化データがyとなる確率を求める。式(2)および式(3)を最も満たしにくい匿名化データyは、yの属性Aの値が最も偏っている場合、すなわち全てのレコードの属性Aの値がすべて等しい場合である。yの属性Aの値が最も偏っている例について図8に例示した。図8に示すようなyについてPr(Y=y|A=aw)を求める。各レコードの属性Aの値は独立と仮定し、yの全レコードの属性Aの値を第2の値(av)とし、yにおいてレコードr以外のレコードの属性Aの値が全て第2の値(av)となる確率をθとする(図8参照)。すると式(4)は以下の式(6)のように変形できる。
Figure 0006445415
式(6)は、ステップS12に登場する、何れかのレコードの属性値が第1の値となる確率(Pr(A=au))、第1の遷移確率(qu,v)、何れかのレコードの属性値が各属性値となる各確率(Pr(A=aw),w=1,2,…,m)、第2の遷移確率(qw,v,w=1,2,…,m)を用いた表現となっていることに注意する。式(6)に式(5)を代入し、攻撃者の背景知識Pr(A=aw)を決めてやることで式(2)および式(3)を満たす撹乱係数ρを決定することができる。
図8の例、および式(6)では、匿名化データyの属性Aの値が最も偏っている場合に注目した式変形を行ったが、上記とは異なるアプローチをとることもできる。具体的には、元のパーソナルデータセットが上記指標(式(2)および式(3))を最も満足しにくい場合として、元のパーソナルデータセットの属性値を全て等しい値(atとする)とした場合を考える。この場合、匿名化データyの期待値における属性値の頻度の割合は、式(5)によりqt,vで与えられる。従ってこの場合、撹乱係数生成部12は、
Figure 0006445415
により、条件付き確率を計算する。式(7)においても、ステップS12に登場する、何れかのレコードの属性値が第1の値となる確率(Pr(A=au))、第1の遷移確率(qu,v)、何れかのレコードの属性値が各属性値となる各確率(Pr(A=aw),w=1,2,…,m)、第2の遷移確率(qw,v,w=1,2,…,m)が用いられていることに注意する。さらには、元のパーソナルデータセットの属性値の分布がある種の条件を満たすと仮定し、当該分布から匿名化データyの期待値における属性値の頻度の割合を求め、それを基に式(7)同様に条件付確率を求めても良い。この場合、ある種の条件を満たすように元のパーソナルデータセットを加工し、当該加工データを匿名化すれば良い。
なお本明細書では、パーソナルデータセットの匿名化を前提に説明を進めたが、匿名化に用いるデータは必ずしもパーソナルな性質を有していなくてもよい。本明細書に開示した発明は、データセット全般の匿名化に用いることができる。
<補記>
本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部、CPU(Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい)、メモリであるRAMやROM、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、CPU、RAM、ROM、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、CD−ROMなどの記録媒体を読み書きできる装置(ドライブ)などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。
ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている(外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるROMに記憶させておくこととしてもよい)。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。
ハードウェアエンティティでは、外部記憶装置(あるいはROMなど)に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にCPUで解釈実行・処理される。その結果、CPUが所定の機能(上記、…部、…手段などと表した各構成要件)を実現する。
本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。
既述のように、上記実施形態において説明したハードウェアエンティティ(本発明の装置)における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (7)

  1. データセットにおける何れかのレコードの何れかの属性の属性値が第1の値となる条件付き確率が、第1の定数以下であって第2の定数以上となるように匿名化データを生成する匿名化装置であって、
    前記条件付き確率が前記第1の定数以下であって前記第2の定数以上となるように、前記何れかのレコードの前記属性値が前記第1の値となる確率と、前記属性値が匿名化後に前記第1の値から第2の値に遷移する確率である第1の遷移確率と、前記何れかのレコードの前記属性値が取り得る各属性値となる各確率と、前記取り得る各属性値が匿名化後に前記第2の値に遷移する確率である第2の遷移確率に基づいて、前記条件付き確率を計算し、前記第1の遷移確率または前記第2の遷移確率に基づいて攪乱係数を生成する撹乱係数生成部と、
    前記撹乱係数と、前記データセットに基づいて、前記匿名化データを生成し、出力するデータ攪乱部と、
    を含む匿名化装置。
  2. 請求項1に記載の匿名化装置であって、
    前記第1の遷移確率および前記第2の遷移確率が、前記撹乱係数と、取り得る属性値の個数に基づく関係式で定義され、
    前記撹乱係数生成部は、
    前記関係式に基づいて前記撹乱係数を生成する
    匿名化装置。
  3. 請求項1まは2に記載の匿名化装置であって、
    前記撹乱係数生成部は、
    予め設定された攻撃者の事前知識に基づいて、前記属性値が取り得る各属性値となる各確率を取得する
    匿名化装置。
  4. 請求項1から3の何れかに記載の匿名化装置であって、
    前記撹乱係数生成部は、
    前記条件付き確率の条件である所定の値の匿名化データの全てのレコードの前記何れかの属性の属性値を全て等しい値として、前記条件付き確率を計算する
    匿名化装置。
  5. 請求項1から3の何れかに記載の匿名化装置であって、
    前記撹乱係数生成部は、
    前記データセットの全てのレコードの前記何れかの属性の属性値を全て等しい値として、前記条件付き確率を計算する
    匿名化装置。
  6. データセットにおける何れかのレコードの何れかの属性の属性値が第1の値となる条件付き確率が、第1の定数以下であって第2の定数以上となるように、匿名化データを生成する匿名化装置が実行する匿名化方法であって、
    前記条件付き確率が前記第1の定数以下であって前記第2の定数以上となるように、前記何れかのレコードの前記属性値が前記第1の値となる確率と、前記属性値が匿名化後に前記第1の値から第2の値に遷移する確率である第1の遷移確率と、前記何れかのレコードの前記属性値が取り得る各属性値となる各確率と、前記取り得る各属性値が匿名化後に前記第2の値に遷移する確率である第2の遷移確率に基づいて、前記条件付き確率を計算し、前記第1の遷移確率または前記第2の遷移確率に基づいて攪乱係数を生成するステップと、
    前記撹乱係数と、前記データセットに基づいて、前記匿名化データを生成し、出力するステップを含む匿名化方法。
  7. コンピュータを、請求項1から5の何れかに記載の匿名化装置として機能させるプログラム。
JP2015200169A 2015-10-08 2015-10-08 匿名化装置、匿名化方法、プログラム Active JP6445415B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015200169A JP6445415B2 (ja) 2015-10-08 2015-10-08 匿名化装置、匿名化方法、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015200169A JP6445415B2 (ja) 2015-10-08 2015-10-08 匿名化装置、匿名化方法、プログラム

Publications (2)

Publication Number Publication Date
JP2017073022A JP2017073022A (ja) 2017-04-13
JP6445415B2 true JP6445415B2 (ja) 2018-12-26

Family

ID=58538754

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015200169A Active JP6445415B2 (ja) 2015-10-08 2015-10-08 匿名化装置、匿名化方法、プログラム

Country Status (1)

Country Link
JP (1) JP6445415B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6484657B2 (ja) 2017-03-17 2019-03-13 新日鉄住金ソリューションズ株式会社 情報処理装置、情報処理方法及びプログラム
CN111201532B (zh) * 2017-10-11 2023-08-15 日本电信电话株式会社 k-匿名化装置、方法以及记录介质
US11948669B2 (en) 2018-08-29 2024-04-02 Canon Medical Systems Corporation Medical information management apparatus and medical information management system
US11972021B2 (en) * 2019-02-26 2024-04-30 Nippon Telegraph And Telephone Corporation Anonymization apparatus, anonymization method, and program

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9355258B2 (en) * 2011-09-28 2016-05-31 Tata Consultancy Services Limited System and method for database privacy protection
JP5772563B2 (ja) * 2011-12-14 2015-09-02 富士通株式会社 情報処理方法、装置及びプログラム

Also Published As

Publication number Publication date
JP2017073022A (ja) 2017-04-13

Similar Documents

Publication Publication Date Title
JP6445415B2 (ja) 匿名化装置、匿名化方法、プログラム
JP5782636B2 (ja) 情報匿名化システム、情報損失判定方法、及び情報損失判定プログラム
JP6618875B2 (ja) 評価装置、評価方法及び評価プログラム
JP6556681B2 (ja) 匿名化テーブル生成装置、匿名化テーブル生成方法、プログラム
JP6549076B2 (ja) 匿名化テーブル生成装置、匿名化テーブル生成方法、プログラム
JP6021178B2 (ja) ノイズ加算装置、ノイズ加算方法、およびプログラム
JP6588880B2 (ja) 匿名化装置、匿名化方法、およびプログラム
JP5411715B2 (ja) 疑似データ生成装置、疑似データ生成方法、プログラム及び記録媒体
JP5651568B2 (ja) データベース撹乱装置、システム、方法及びプログラム
Ergenç Bostanoǧlu et al. Minimizing information loss in shared data: Hiding frequent patterns with multiple sensitive support thresholds
JP5914291B2 (ja) 遷移確率算出装置、集計値算出装置、遷移確率算出方法、集計値算出方法
EP3933634B1 (en) Anonymity evaluation device, anonymity evaluation method, and program
EP3933635B1 (en) Anonymizing apparatus, anonymizing method, and program
JP2014191431A (ja) 匿名化システム、所持装置、匿名化装置、利用者装置、匿名化方法、およびプログラム
JP6486865B2 (ja) データ撹乱装置、データ撹乱方法、データ撹乱プログラム
JP5639094B2 (ja) データベース撹乱パラメータ決定装置、データベース撹乱システム及び方法並びにデータベース撹乱装置
WO2024047735A1 (ja) 公平性評価プログラム、公平性評価方法、及び、情報処理装置
Dankar et al. Efficient private information retrieval for geographical aggregation
WO2023058151A1 (ja) サブグラフマッチング装置、サブグラフマッチング方法、プログラム
JP5875535B2 (ja) 匿名化装置、匿名化方法、プログラム
US20220277110A1 (en) Secure computation system, secure computation method, and secure computation program
US20210271993A1 (en) Observed event determination apparatus, observed event determination method, and computer readable recording medium
Roehrig et al. Exact and heuristic methods for cell suppression in multi-dimensional linked tables
WO2014181542A1 (ja) 情報処理装置、情報処理方法、および、記録媒体
JP2014219876A (ja) 再符号化を実行する情報処理装置、再符号化方法、及びそのためのプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180725

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180828

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181009

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181127

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181129

R150 Certificate of patent or registration of utility model

Ref document number: 6445415

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150