JP6462764B2 - 匿名型統計データベースのクエリのためのシステムおよび方法 - Google Patents
匿名型統計データベースのクエリのためのシステムおよび方法 Download PDFInfo
- Publication number
- JP6462764B2 JP6462764B2 JP2017092995A JP2017092995A JP6462764B2 JP 6462764 B2 JP6462764 B2 JP 6462764B2 JP 2017092995 A JP2017092995 A JP 2017092995A JP 2017092995 A JP2017092995 A JP 2017092995A JP 6462764 B2 JP6462764 B2 JP 6462764B2
- Authority
- JP
- Japan
- Prior art keywords
- query
- attack
- controller
- answer
- range
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/58—Random or pseudo-random number generators
- G06F7/582—Pseudo-random number generators
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
Description
以下では、本発明の例示的な実施形態を詳細に参照し、その例を添付の図面に示す。可能な限り、図面全体にわたって使用されている同じ参照符号は、同じかまたは同様の部分を示し、重複する説明は省略される。
いくつかの実施形態では、クローク内の固定乱数の2つの共通の使用法がある。1つは固定ノイズで、もう1つは固定閾値である。
図5を参照すると、統計処理の中央値(median)に対する回答摂動の例示的な実施形態では、真の中央値のユーザが、UID列および中央値が計算される列(中央値の列)を含むテーブル380からステップ358において計算される。固定閾値Tは、ステップ355においてテーブルのUIDセットから計算される。中央値の列からのユーザのオーダー(ordering)では、中央値よりも上または下の「T」人の別々のユーザがステップ365において選択される。ステップ370において、選択されたユーザと中央値のユーザが平均化される。この平均は、ステップ375において概数化されて(rounded)回答を生成する。
実施形態では、回答摂動の3つの原理が満たされる。理解されるように、実施形態では、固定処理(fixed operation)である。したがって、実施形態では、すべての中間値は、T1およびT2の最高値のユーザ(400および410)またはユーザの完全な集合(415および420)である1組のユーザに基づく。したがって、さらに理解されるように、実施形態では、外れ値の影響を除去すること、および任意のユーザの平均寄与に比例するノイズを追加することによって、個々のユーザについて何かが推測される可能性は非常に低い。
行調整の背後にある基本的な考え方は、攻撃ペア内の2つのクエリが、単一のユーザである被害者によって異なる必要があるという発見から導かれる。このことを考慮して、行調整は、特定のクエリの修正を積極的に検査して、その修正によって元のクエリの回答と変更されたクエリの回答との間に小さな差が生じるかどうかを確認する。差が小さい場合、差異を構成する行は、元のクエリと修正されたクエリとの間の差異を除去するように調整される。
Claims (20)
- データベースシステムの匿名化方法であって、
コントローラが、クエリを受信すること、
前記コントローラが、クエリ内の攻撃コンポーネントを識別すること、
前記コントローラが、前記攻撃コンポーネントの検査に適したデータストアから行と列を要求すること、
前記コントローラが、どの攻撃コンポーネントが削除または調整されたときに固定閾値よりも小さいUIDの差になるかを判定すること、
前記コントローラが、前記攻撃コンポーネントの影響を除去するために、前記クエリに適合する行に対して行を追加するかまたは削除すること、
前記コントローラが、得られた行調整済みテーブルに統計処理を適用すること、
前記コントローラが、得られた回答を出力すること、を備える匿名化方法。 - 前記コントローラが、前記クエリを検査して、すべての攻撃コンポーネントが識別されるように前記クエリが制約されていることを保証すること、
前記クエリが制約されていない場合、前記コントローラが、前記クエリを拒否すること、をさらに備える請求項1に記載の匿名化方法。 - 識別された攻撃コンポーネントが、スナップされたアライメントに適合しない範囲である場合に、前記コントローラが、クエリを拒否すること、をさらに備える請求項1に記載の匿名化方法。
- 前記コントローラが、前記クエリ内の識別された攻撃コンポーネントを、スナップされたアラインメントに適合する範囲に変更すること、をさらに備える請求項1に記載の匿名化方法。
- 識別された攻撃コンポーネントは、範囲の片側のみを指定し、
前記変更することは、範囲の反対側を追加する、請求項4に記載の匿名化方法。 - 前記変更することは、前記範囲を、スナップされたアライメントに個別に適合する複数の論理和された範囲に分割する、請求項4に記載の匿名化方法。
- 識別された攻撃コンポーネントは範囲であり、
前記コントローラが、スナップされたアライメントである重なり合う部分範囲を検出することにより、識別された攻撃コンポーネントを調整すること、
前記コントローラが、前記範囲を縮小して小さなUIDの差となる範囲の一部分を除外すること、をさらに備える請求項1に記載の匿名化方法。 - 前記コントローラが、摂動が固定されるように、出力された回答を摂動させること、をさらに備える請求項1に記載の匿名化方法。
- 前記コントローラが、前記回答が少なくとも固定閾値数の別個のUIDを有する行によって影響されることを保証すること、をさらに備える請求項8に記載の匿名化方法。
- 出力された回答は、固定ノイズで摂動される、請求項8に記載の匿名化方法。
- 前記固定ノイズの量は、個々のユーザデータの影響を隠すのに十分である、請求項10に記載の匿名化方法。
- 別個のUIDの数が、固定閾値を下回った場合に回答を抑制する、請求項1に記載の匿名化方法。
- 前記クエリが、スナップされたアラインメントを順守しない範囲に従ってグループ化する場合、前記コントローラが、前記クエリを拒否すること、をさらに備える請求項1に記載の匿名化方法。
- グループ化が、スナップされたアライメントを順守するように、スナップされたアライメントを順守しない範囲に従って前記クエリがグループ化する場合に、前記コントローラが、前記クエリを修正すること、をさらに備える請求項1に記載の匿名化方法。
- 非一時的なコンピュータ可読媒体であって、
クエリを受信すること、
クエリ内の攻撃コンポーネントを識別すること、
前記攻撃コンポーネントの検査に適したデータストアから行と列を要求すること、
どの攻撃コンポーネントが、削除または調整されたときに固定閾値よりも小さいUIDの差となるかを判定すること、
前記攻撃コンポーネントの影響を除去するために、前記クエリに適合する行に対して行を追加するかまたは削除すること、
得られた行調整済みテーブルに統計処理を適用すること、
得られた回答を出力すること、を実行するように、少なくとも1つのプロセッサとメモリデバイスとを含むコントローラを適合させるように構成された命令を格納する、非一時的なコンピュータ可読媒体。 - 格納された命令は、
前記クエリを検査して、すべての攻撃コンポーネントが識別されるように前記クエリが制約されていることを保証すること、
前記クエリが制約されていない場合、前記クエリを拒否すること、を実行するように前記コントローラを適合させるようにさらに構成される、請求項15に記載の非一時的なコンピュータ可読媒体。 - 格納された命令は、
摂動が固定されるように、出力された回答を摂動させること、を実行するように前記コントローラを適合させるようにさらに構成される、請求項15に記載の非一時的なコンピュータ可読媒体。 - クエリに対する結果を匿名化するクロークであって、
少なくとも1つのプロセッサと、
アプリケーションを格納するメモリデバイスと、を備え、
前記少なくとも1つのプロセッサにロードされると、前記アプリケーションは、
クエリを受信すること、
クエリ内の攻撃コンポーネントを識別すること、
前記攻撃コンポーネントの検査に適したデータストアから行と列を要求すること、
どの攻撃コンポーネントが、削除または調整されたときに固定閾値よりも小さいUIDの差となるかを判定すること、
前記攻撃コンポーネントの影響を除去するために、前記クエリに適合する行に対して行を追加するかまたは削除すること、
得られた行調整済みテーブルに統計的処理を適用すること、
得られた回答を出力すること、を実行するように前記クロークを適合させる、クローク。 - 前記アプリケーションは、
前記クエリを検査して、すべての攻撃コンポーネントが識別されるように前記クエリが制約されていることを保証すること、
前記クエリが制約されていない場合、前記クエリを拒否すること、を実行するように前記クロークをさらに適合させる、請求項18に記載のクローク。 - 前記アプリケーションは、
摂動が固定されるように、出力された回答を摂動させること、を実行するように前記クロークをさらに適合させる、請求項18に記載のクローク。
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662333910P | 2016-05-10 | 2016-05-10 | |
EP16169000 | 2016-05-10 | ||
EP16169000.3 | 2016-05-10 | ||
US62/333,910 | 2016-05-10 | ||
US15/366,449 US11194864B2 (en) | 2016-05-10 | 2016-12-01 | Systems and methods for anonymized statistical database queries |
US15/366,449 | 2016-12-01 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017204277A JP2017204277A (ja) | 2017-11-16 |
JP6462764B2 true JP6462764B2 (ja) | 2019-01-30 |
Family
ID=57471761
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017092995A Active JP6462764B2 (ja) | 2016-05-10 | 2017-05-09 | 匿名型統計データベースのクエリのためのシステムおよび方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11194864B2 (ja) |
EP (2) | EP3244336B1 (ja) |
JP (1) | JP6462764B2 (ja) |
KR (1) | KR102094771B1 (ja) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10798066B2 (en) | 2016-05-13 | 2020-10-06 | Kbc Groep Nv | System for retrieving privacy-filtered information from transaction data |
WO2018200348A1 (en) * | 2017-04-24 | 2018-11-01 | President And Fellows Of Harvard College | Systems and methods for accelerating exploratory statistical analysis |
US20190213613A1 (en) * | 2018-01-09 | 2019-07-11 | Information Resources, Inc. | Segmenting market data |
JP6845344B2 (ja) | 2018-06-05 | 2021-03-17 | グーグル エルエルシーGoogle LLC | データ漏洩リスクの評価 |
US20210356920A1 (en) * | 2018-10-26 | 2021-11-18 | Sony Corporation | Information processing apparatus, information processing method, and program |
US20220058290A1 (en) * | 2018-12-20 | 2022-02-24 | Nippon Telegraph And Telephone Corporation | Analysis query response system, analysis query execution apparatus, analysis query verification apparatus, analysis query response method, and program |
US11593360B2 (en) | 2019-08-29 | 2023-02-28 | Goldman Sachs & Co. LLC | Empirically providing data privacy with reduced noise |
US11416556B2 (en) * | 2019-12-19 | 2022-08-16 | Accenture Global Solutions Limited | Natural language dialogue system perturbation testing |
CN111143435B (zh) * | 2019-12-27 | 2021-04-13 | 杭州泽达鑫药盟信息科技有限公司 | 基于统计生成模型的医药云平台大数据异常在线预警方法 |
US11636280B2 (en) * | 2021-01-27 | 2023-04-25 | International Business Machines Corporation | Updating of statistical sets for decentralized distributed training of a machine learning model |
WO2022184063A1 (zh) * | 2021-03-01 | 2022-09-09 | 北京字跳网络技术有限公司 | 表格内容处理方法、装置、设备、存储介质 |
KR102627734B1 (ko) | 2022-01-04 | 2024-01-23 | 비씨카드(주) | 익명 값에 대한 예측 값을 결정하는 방법 및 디바이스 |
KR102428748B1 (ko) * | 2022-04-13 | 2022-08-04 | 주식회사 지란지교데이터 | 개인정보 보호를 위한 가상인물을 이용한 재현데이터 생성 방법 및 운영 시스템 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7085760B2 (en) * | 2002-10-03 | 2006-08-01 | International Business Machines Corporation | Data query differential analysis |
US7698250B2 (en) * | 2005-12-16 | 2010-04-13 | Microsoft Corporation | Differential data privacy |
US8140502B2 (en) * | 2008-06-27 | 2012-03-20 | Microsoft Corporation | Preserving individual information privacy by providing anonymized customer data |
US8544104B2 (en) * | 2010-05-10 | 2013-09-24 | International Business Machines Corporation | Enforcement of data privacy to maintain obfuscation of certain data |
US8682910B2 (en) * | 2010-08-03 | 2014-03-25 | Accenture Global Services Limited | Database anonymization for use in testing database-centric applications |
US8375030B2 (en) | 2010-12-03 | 2013-02-12 | Mitsubishi Electric Research Laboratories, Inc. | Differentially private aggregate classifier for multiple databases |
US8694551B2 (en) * | 2010-12-08 | 2014-04-08 | Ravishankar Ramamurthy | Auditing queries using query differentials |
US10108650B2 (en) * | 2012-11-12 | 2018-10-23 | Sony Corporation | Information processing device and information processing method |
US9367853B2 (en) | 2013-03-13 | 2016-06-14 | Salesforce.Com, Inc. | Systems, methods, and apparatuses for implementing data upload, processing, and predictive query API exposure |
US10440046B2 (en) * | 2015-09-25 | 2019-10-08 | Intel Corporation | Technologies for anonymous context attestation and threat analytics |
US9460311B2 (en) * | 2013-06-26 | 2016-10-04 | Sap Se | Method and system for on-the-fly anonymization on in-memory databases |
US10242229B2 (en) * | 2013-12-20 | 2019-03-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for managing access to a database |
US20150293923A1 (en) * | 2014-04-10 | 2015-10-15 | Max Planck Gesellschaft zur Förderung der Wissenschaften e.V. | Systems and methods for anonymized user list count |
WO2017187207A1 (en) * | 2016-04-29 | 2017-11-02 | Privitar Limited | Computer-implemented privacy engineering system and method |
-
2016
- 2016-12-01 US US15/366,449 patent/US11194864B2/en active Active
- 2016-12-02 EP EP16202010.1A patent/EP3244336B1/en active Active
-
2017
- 2017-05-08 KR KR1020170057518A patent/KR102094771B1/ko active IP Right Grant
- 2017-05-09 JP JP2017092995A patent/JP6462764B2/ja active Active
- 2017-05-10 EP EP17170505.6A patent/EP3244339B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
KR102094771B1 (ko) | 2020-03-31 |
EP3244339A1 (en) | 2017-11-15 |
KR20170126804A (ko) | 2017-11-20 |
JP2017204277A (ja) | 2017-11-16 |
US20170329873A1 (en) | 2017-11-16 |
EP3244336A1 (en) | 2017-11-15 |
EP3244339B1 (en) | 2019-10-09 |
EP3244336B1 (en) | 2019-02-06 |
US11194864B2 (en) | 2021-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6462764B2 (ja) | 匿名型統計データベースのクエリのためのシステムおよび方法 | |
Soria-Comas et al. | Individual differential privacy: A utility-preserving formulation of differential privacy guarantees | |
US11893133B2 (en) | Budget tracking in a differentially private database system | |
EP2930646B1 (en) | Systems and methods for anonymized user list counts | |
Yang et al. | Differential privacy in data publication and analysis | |
Francis et al. | Diffix: High-utility database anonymization | |
KR102129405B1 (ko) | 노이즈 엘리먼트를 이용하는 익명화된 통계 데이터베이스 쿼리를 위한 시스템 및 방법 | |
US11194823B2 (en) | Systems and methods for anonymized statistical database queries using noise elements | |
O'Keefe et al. | A summary of attack methods and confidentiality protection measures for fully automated remote analysis systems | |
Wang et al. | Hiding outliers into crowd: Privacy-preserving data publishing with outliers | |
Victor et al. | Privacy preserving sensitive data publishing using (k, n, m) anonymity approach | |
Francis et al. | Extended diffix | |
Jiang et al. | AnonPSI: An Anonymity Assessment Framework for PSI | |
Anindya et al. | Building a dossier on the cheap: Integrating distributed personal data resources under cost constraints | |
Vasudevan et al. | A review on text sanitization | |
Gong et al. | Aim: a new privacy preservation algorithm for incomplete microdata based on anatomy | |
Rohilla et al. | Efficient anonymization algorithms to prevent generalized losses and membership disclosure in microdata | |
WO2024065011A1 (en) | Protecting an input dataset against linking with further datasets | |
Chertov et al. | Improving efficiency of providing data group anonymity by automating data modification quality evaluation | |
Vadel | A Decision Support Tool to Evaluate Data Anonymization Software | |
Yang et al. | A Decision Tree Approach for Assessing and Mitigating Background and Identity Disclosure Risks | |
Mothali | Attacking Anonymization and Constructing Improved Differentially Private Classifiers | |
Xiao et al. | Anatomy: Privacy and correlation preserving publication | |
Francis et al. | Diffix-Aspen: High-Utility Database Anonymization | |
Sundaresan | Survey of privacy protection for medical data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180525 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180626 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180921 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181204 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181227 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6462764 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |