JP6450098B2 - 匿名化装置、匿名化方法及び匿名化プログラム - Google Patents

匿名化装置、匿名化方法及び匿名化プログラム Download PDF

Info

Publication number
JP6450098B2
JP6450098B2 JP2014127459A JP2014127459A JP6450098B2 JP 6450098 B2 JP6450098 B2 JP 6450098B2 JP 2014127459 A JP2014127459 A JP 2014127459A JP 2014127459 A JP2014127459 A JP 2014127459A JP 6450098 B2 JP6450098 B2 JP 6450098B2
Authority
JP
Japan
Prior art keywords
anonymization
unit
transition probability
trajectory data
link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014127459A
Other languages
English (en)
Other versions
JP2016009196A (ja
Inventor
清本 晋作
晋作 清本
三宅 優
優 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2014127459A priority Critical patent/JP6450098B2/ja
Publication of JP2016009196A publication Critical patent/JP2016009196A/ja
Application granted granted Critical
Publication of JP6450098B2 publication Critical patent/JP6450098B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、軌跡データの匿名化装置、匿名化方法及び匿名化プログラムに関する。
従来、ユーザが徒歩や乗り物で移動した軌跡を、位置情報が連結された軌跡データとして表現し、検索等に利用することが提案されている(例えば、特許文献1参照)。
特開2004−118290号公報
ところで、ユーザから提供される軌跡データは、個人の行動履歴を表しているため、プライバシの観点から、個人が特定されないように匿名化されることが望ましい。
しかしながら、従来技術では、軌跡データの精度を落とすことにより匿名化されていたため、データの精度に起因して軌跡データの活用先が限定されていた。また、精度が低下したとしても、個人が特定される問題は依然として残っていた。
本発明は、活用できる情報量の減少を抑制しつつ、軌跡データを匿名化できる匿名化装置、匿名化方法及び匿名化プログラムを提供することを目的とする。
本発明に係る匿名化装置は、ユーザの軌跡データを収集する収集部と、軌跡データに含まれる構成単位をノードとし、前記ノード間のリンクを、前記構成単位の遷移確率として定義した有向グラフを生成する生成部と、前記遷移確率の少なくとも一部を、所定の規則に従って変更する変更部と、を備える。
前記構成単位は、2つの地点間の移動ベクトルであってもよい。
前記構成単位は、地点であってもよい。
前記変更部は、前記遷移確率が1のリンクを削除してもよい。
前記変更部は、前記遷移確率を、第1の閾値の範囲で増減させてもよい。
前記変更部は、前記遷移確率が第2の閾値以下のリンクを追加してもよい。
前記収集部は、同一の構成単位を有する複数の軌跡データについて、当該同一の構成単位以降又は以前に連結されている構成単位を互いに入れ替えて受け付けてもよい。
本発明に係る匿名化方法は、コンピュータの制御部が、ユーザの軌跡データを収集する収集ステップと、軌跡データに含まれる構成単位をノードとし、前記ノード間のリンクを、前記構成単位の遷移確率として定義した有向グラフを生成する生成ステップと、前記遷移確率の少なくとも一部を、所定の規則に従って変更する変更ステップと、を実行する。
本発明に係る匿名化プログラムは、前記匿名化方法の各ステップをコンピュータに実行させる。
本発明によれば、活用できる情報量の減少を抑制しつつ、軌跡データを匿名化できる。
実施形態に係る匿名化装置の機能構成を示す図である。 実施形態に係る移動ベクトルの一例を示す図である。 実施形態に係る有向グラフの一例を示す図である。 実施形態に係る匿名化方法の第1の例を示す図である。 実施形態に係る匿名化方法の第2の例を示す図である。 実施形態に係る匿名化方法の第3の例を示す図である。 変形例に係る軌跡データ間での構成単位の入れ替えの一例を示す図である。
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る匿名化装置1の機能構成を示す図である。
匿名化装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、記憶部10及び制御部20の他、各種データの入出力デバイス等を備える。
記憶部10は、ハードウェア群を匿名化装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部10は、本実施形態の各機能を制御部20に実行させるプログラムを記憶する。
また、記憶部10は、データ提供者であるユーザから提供される軌跡データを蓄積する。軌跡データは、例えば、GPSから得られる緯度経度情報、住所の一部、あるいは、駅、停留所又はサービスエリア等のランドマーク情報等からなる地点が連結された、地点間の移動順序を示すデータであり、複数ユーザの軌跡データが蓄積される。
制御部20は、匿名化装置1の全体を制御する部分であり、記憶部10に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部20は、CPUであってよい。
また、制御部20は、収集部21と、生成部22と、変更部23とを備える。
収集部21は、複数のユーザの軌跡データを、データ提供者から収集し、記憶部10に記憶する。このとき、収集部21は、地域、日付、時間帯、ユーザ属性(例えば、性別、年齢等)等の条件の指定を受け付け、これらの指定条件に合致する軌跡データを収集してよい。
生成部22は、軌跡データに含まれる構成単位をノードとし、ノード間のリンクを、構成単位の遷移確率として定義した有向グラフを生成する。
ここで、グラフのノードとする構成単位は、個々の地点、又は2つの地点間の移動ベクトルである。以下、本実施形態では、移動ベクトルをノードとする場合を説明する。
図2は、本実施形態に係る移動ベクトルの一例を示す図である。
あるユーザが地点a、b、c、d、eの順に移動したことを示す軌跡データが得られた場合、生成部22は、この軌跡データ各地点間の移動を示すベクトル(a→b、b→c、c→d、d→e)に分割し、これらのベクトルの連結として軌跡を表現する。
さらに、生成部22は、複数の軌跡データから得られる同一のベクトルを1つのグループとして定義し、このグループをノードとする有向グラフを生成する。
ここで、有向グラフのリンクは、ベクトル間を遷移したユーザの人数又は延べ人数等で表される遷移の頻度に応じて遷移確率として定義される。
図3は、本実施形態に係る有向グラフの一例を示す図である。
グループA、B、C、D、E、Fは、遷移確率が付与された有向リンクにより連結されている。
例えば、グループAからグループBに3名、グループFに2名という遷移情報が軌跡データから得られた場合、遷移確率は、それぞれ「0.6」及び「0.4」と設定される。
このように、遷移確率によってノードが連結されることにより、人数情報が失われるので、弱い匿名化が実現される。
変更部23は、有向グラフに設定されたノード間の遷移確率の少なくとも一部を、所定の規則に従って変更する。
所定の規則は、例えば、次の(1)〜(3)のいずれか又はその組み合わせが採用される。
(1)変更部23は、遷移確率が1のリンクを削除する。
(2)変更部23は、遷移確率を、第1の閾値の範囲で増減させる。
(3)変更部23は、遷移確率が第2の閾値以下の偽のリンクを追加する。
図4は、本実施形態に係る匿名化方法の第1の例を示す図である。
グループFからグループEへの遷移確率が「1.0」であった場合、「b→d」から「d→a」に必ず遷移することが把握されるため、変更部23は、匿名化のために、このリンクを削除する。
図5は、本実施形態に係る匿名化方法の第2の例を示す図である。
グループAからは、グループB又はグループFへの遷移があり得る。変更部23は、これらの遷移確率について、実際の値(「0.6」及び「0.4」)を所定量だけ増減して偽の値(例えば、双方「0.5」)とすることで、匿名化を行う。
図6は、本実施形態に係る匿名化方法の第3の例を示す図である。
グループAからは、グループB又はグループFへの遷移があり得る。変更部23は、さらに、グループAからグループGへ所定の遷移確率で偽のリンクを追加することにより、匿名化を行う。なお、追加したリンクの元(グループA)から他のグループ(グループB及びグループF)へ遷移する遷移確率は、追加したリンクの遷移確率に応じて調整される。
以上のように、本実施形態によれば、匿名化装置1は、地点又は地点間の移動ベクトルをノードとし、軌跡データに基づくノード間の遷移確率を定義することにより、有向グラフを生成する。匿名化装置1は、この有向グラフにおける遷移確率に対して、軌跡情報の解析の問題にならない程度にノイズを入れて調整することにより、活用できる情報量の減少を抑制しつつ、軌跡データを匿名化できる。
この結果、匿名化装置1は、個々のユーザの移動履歴がトレースされることによるプライバシ侵害の虞を低減できる。
匿名化装置1は、有向グラフから遷移確率が1のリンクを削除する。したがって、匿名化装置1は、遷移の選択肢がない確定的な軌跡を除くことにより、ユーザの軌跡がトレースされる可能性を低減し、軌跡データを容易に匿名化できる。
匿名化装置1は、有向グラフにおける遷移確率を、第1の閾値の範囲で増減させる。したがって、匿名化装置1は、実際の遷移確率をダミーの値に調整することにより、ユーザの軌跡がトレースされる可能性を低減し、軌跡データを容易に匿名化できる。
匿名化装置1は、生成した有向グラフに対して、遷移確率が第2の閾値以下のリンクを追加する。したがって、匿名化装置1は、ダミーの軌跡情報を混ぜることにより、ユーザの軌跡がトレースされる可能性を低減し、軌跡データを容易に匿名化できる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。
収集部21は、同一の構成単位(地点又は移動ベクトル)を有する複数ユーザそれぞれの軌跡データについて、この同一の構成単位以降又は以前に連結されている構成単位を互いに入れ替えて受け付けてもよい。
図7は、軌跡データ間での構成単位の入れ替えの一例を示す図である。
軌跡データ1(a→b→c→d→e)及び軌跡データ2(f→b→c→g→h)は、共に構成単位である移動ベクトル「b→c」を有している。そこで、データ提供者は、この同一の移動ベクトル以降の軌跡を互いに入れ替え、それぞれ「a→b→c→g→h」及び「f→b→c→d→e」として、匿名化装置1へ提供する。
このように、ユーザ間で軌跡データの一部を入れ替えたとしても、生成部22により軌跡が細分化されるので、生成される有向グラフは変化しない。したがって、匿名化装置1は、データ利用者へ提供する出力を変えることなく、データ提供者から予め匿名化されたデータを受け取ることができるので、プライバシの保護をより良く保証できる。
前述の実施形態では、匿名化装置1は、複数ユーザの軌跡データを収集したが、これには限られず、同一ユーザの複数の軌跡データを収集して処理してもよい。
匿名化装置1による匿名化方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(匿名化装置1)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータ(匿名化装置1)に提供されてもよい。
1 匿名化装置
10 記憶部
20 制御部
21 収集部
22 生成部
23 変更部

Claims (9)

  1. ユーザの軌跡データを収集する収集部と、
    軌跡データに含まれる構成単位をノードとし、前記ノード間のリンクを、前記構成単位の遷移確率として定義した有向グラフを生成する生成部と、
    前記遷移確率の少なくとも一部、所定の規則に従ってノイズを入れ、ダミーとなる偽の値に変更する変更部と、を備える匿名化装置。
  2. 前記生成部は、2つの地点間の移動ベクトルを前記ノードとして前記有向グラフを生成する請求項1に記載の匿名化装置。
  3. 前記生成部は、地点を前記ノードとして前記有向グラフを生成する請求項1に記載の匿名化装置。
  4. 前記変更部は、前記遷移確率が1のリンクを削除する請求項1から請求項3のいずれかに記載の匿名化装置。
  5. 前記変更部は、前記遷移確率を、第1の閾値の範囲で増減させる請求項1から請求項4のいずれかに記載の匿名化装置。
  6. 前記変更部は、前記遷移確率が第2の閾値以下のリンクを追加する請求項1から請求項5のいずれかに記載の匿名化装置。
  7. 前記収集部は、同一の構成単位以降又は以前に連結されている構成単位が互いに入れ替えられた複数の軌跡データを収集する請求項1から請求項6のいずれかに記載の匿名化装置。
  8. コンピュータの制御部が、
    ユーザの軌跡データを収集する収集ステップと、
    軌跡データに含まれる構成単位をノードとし、前記ノード間のリンクを、前記構成単位の遷移確率として定義した有向グラフを生成する生成ステップと、
    前記遷移確率の少なくとも一部、所定の規則に従ってノイズを入れ、ダミーとなる偽の値に変更する変更ステップと、を実行する匿名化方法。
  9. 請求項8に記載の匿名化方法の各ステップを前記コンピュータに実行させるための匿名化プログラム。
JP2014127459A 2014-06-20 2014-06-20 匿名化装置、匿名化方法及び匿名化プログラム Active JP6450098B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014127459A JP6450098B2 (ja) 2014-06-20 2014-06-20 匿名化装置、匿名化方法及び匿名化プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014127459A JP6450098B2 (ja) 2014-06-20 2014-06-20 匿名化装置、匿名化方法及び匿名化プログラム

Publications (2)

Publication Number Publication Date
JP2016009196A JP2016009196A (ja) 2016-01-18
JP6450098B2 true JP6450098B2 (ja) 2019-01-09

Family

ID=55226743

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014127459A Active JP6450098B2 (ja) 2014-06-20 2014-06-20 匿名化装置、匿名化方法及び匿名化プログラム

Country Status (1)

Country Link
JP (1) JP6450098B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10831927B2 (en) 2017-11-22 2020-11-10 International Business Machines Corporation Noise propagation-based data anonymization
JP2019128640A (ja) * 2018-01-22 2019-08-01 ヤフー株式会社 提供装置、提供方法及び提供プログラム
JP7145917B2 (ja) * 2020-09-18 2022-10-03 ヤフー株式会社 情報処理装置、情報処理方法及び情報処理プログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012194783A (ja) * 2011-03-16 2012-10-11 Ntt Docomo Inc アプリケーションマーケットにおいて使用されるサーバ、通信端末、システム及びgui決定方法
JP5763384B2 (ja) * 2011-03-30 2015-08-12 株式会社国際電気通信基礎技術研究所 移動予測装置、ロボット制御装置、移動予測プログラムおよび移動予測方法
JP5745388B2 (ja) * 2011-11-17 2015-07-08 日本電信電話株式会社 コンテンツ推薦装置及び方法及びプログラム
JP5706805B2 (ja) * 2011-11-29 2015-04-22 Kddi株式会社 匿名データ生成装置、匿名データの生成方法およびプログラム
JP5538480B2 (ja) * 2012-06-21 2014-07-02 ヤフー株式会社 ルート公開装置、及びルート公開方法
JP5688425B2 (ja) * 2013-02-04 2015-03-25 株式会社三共 管理装置

Also Published As

Publication number Publication date
JP2016009196A (ja) 2016-01-18

Similar Documents

Publication Publication Date Title
US10679132B2 (en) Application recommending method and apparatus
US20150033356A1 (en) Anonymization device, anonymization method and computer readable medium
JP5511532B2 (ja) 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム
JP6584861B2 (ja) プライバシ保護装置、方法及びプログラム
JP6293003B2 (ja) プライバシー保護装置、方法及びプログラム
Nasridinov et al. A decision tree-based classification model for crime prediction
US11550937B2 (en) Privacy trustworthiness based API access
US8875305B2 (en) Anonymization of data over multiple temporal releases
WO2014181541A1 (ja) 匿名性を検証する情報処理装置及び匿名性検証方法
JPWO2012176923A1 (ja) 匿名化指標決定装置及び方法、並びに匿名化処理実行システム及び方法
JP5971115B2 (ja) 情報処理プログラム、情報処理方法及び装置
GB2498762A (en) Computing user traffic at the website based on user actions
JP6450098B2 (ja) 匿名化装置、匿名化方法及び匿名化プログラム
TWI701932B (zh) 一種身份認證方法、伺服器及用戶端設備
JP5974858B2 (ja) 匿名化処理方法及び装置
JP6370236B2 (ja) プライバシー保護装置、方法及びプログラム
Vijay et al. Two Layered Privacy Architecture for Big Data Framework
JP6487820B2 (ja) リスク評価装置、リスク評価方法及びリスク評価プログラム
JPWO2011016281A1 (ja) ベイジアンネットワーク構造学習のための情報処理装置及びプログラム
CN106776623B (zh) 一种用户行为分析方法和设备
JP5665685B2 (ja) 重要度判定装置、重要度判定方法およびプログラム
JP6280859B2 (ja) 行動ネットワーク情報抽出装置、行動ネットワーク情報抽出方法及び行動ネットワーク情報抽出プログラム
JP6292993B2 (ja) 抽出装置、抽出方法及び抽出プログラム
JP6212470B2 (ja) 行動ネットワーク情報抽出装置、行動ネットワーク情報抽出方法及び行動ネットワーク情報抽出プログラム
EP4060542B1 (en) System and method for data anonymization using optimization techniques

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170118

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171121

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180703

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180824

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181207

R150 Certificate of patent or registration of utility model

Ref document number: 6450098

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150