JP6487820B2 - リスク評価装置、リスク評価方法及びリスク評価プログラム - Google Patents
リスク評価装置、リスク評価方法及びリスク評価プログラム Download PDFInfo
- Publication number
- JP6487820B2 JP6487820B2 JP2015201860A JP2015201860A JP6487820B2 JP 6487820 B2 JP6487820 B2 JP 6487820B2 JP 2015201860 A JP2015201860 A JP 2015201860A JP 2015201860 A JP2015201860 A JP 2015201860A JP 6487820 B2 JP6487820 B2 JP 6487820B2
- Authority
- JP
- Japan
- Prior art keywords
- risk
- attributes
- combination
- personal identification
- data set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
以下、本発明の第1実施形態について説明する。
本実施形態のリスク評価装置1は、公開対象のデータセットと共に、個人識別リスクに対する許容値を入力として、公開可能な属性の組み合わせを出力する。
データセットの4つの属性のうち、年齢及び購入品が攻撃者に知られていると仮定すると、例えば年齢が「25−30」で購入品が「DVD」であるレコードの数は3であり、これらのレコードの個人識別リスクは、1/3となる。
本実施形態では、構造型データとして、木構造の一種である基数木(Radix Tree)を一例として説明する。
データセット(図1)の4つの属性のうち、年齢及び購入品が攻撃者に知られている場合、リスク評価装置1は、これらの属性値を連結した文字列を用いて、木構造を構築する。
リスク評価装置1は、入力部11と、選択部12と、算出部13と、出力部14とを備える。
なお、データセットに含まれるレコード及び属性は全て入力されなくてもよく、重要度に応じて一部のレコード及び属性が入力されてもよい。
選択部12は、属性の組み合わせの全てのパターンを選択してもよいし、ある上限数までのパターンを選択してもよい。また、攻撃者が知識として持つ属性が初期値として入力された場合には、選択部12は、これらの属性に対して追加する属性のパターンを選択する。
なお、出力される情報は、これには限られず、例えば、いずれかのレコードの個人識別リスクが許容できないレベルとなる属性の組み合わせが出力されてもよい。また、個人識別リスクが許容可能なレコード、又は許容できないレコードが出力されてもよい。
ステップS101において、入力部11は、評価の対象となるデータセットD(レコード数u、属性数v)、許容可能なリクス値N、及び攻撃者が知識として持つ属性ATTRa={attr1,・・・,attri}を入力として受け付ける。
ステップS103において、選択部12は、ステップS102で選択されたパターン毎にループ処理を行う。
ステップS105において、算出部13は、データセットDのレコード毎に、ATTRaの値の組み合わせKp=rp attr1‖・・・‖rp attri(p=1,・・・,u)(rp attrqは、レコードpにおける属性attrqの値)を、基数木から検索し、それぞれの出現回数nを算出する。ここで、ATTRa=φの場合、算出部13は、処理を行わない。
ステップS106において、算出部13は、出現回数nの逆数である1/nの最大値を、ATTRaに対する個人識別リスクとして保存する。
例えば、この新規ユーザの属性値が出力された属性の組み合わせのいずれとも一致しない場合、潜在リスクが高いと判断できる。この場合、データセットの提供者は、属性値を加工(削除、一般化等)することでリスクを下げる、又はこの新規ユーザ(レコード)を対象のデータセットに加えない等のプライバシ保護施策を取ることができる。
以下、本発明の第2実施形態について説明する。
本実施形態のリスク評価装置1は、公開対象のデータセットと共に、攻撃者が知識としてもつ属性の数、及び属性を組み合わせることによる個人識別リスクの変化率(リスク幅)の許容値を入力として、リスクが高い属性の組み合わせを出力する。
データセットに含まれる4つの属性のうち、例えば、住所及び購入品が攻撃者の知識属性として選択された場合、住所単独では属性値「大阪」に対する個人識別リスクが最大であり(k1=1/5)、購入品単独では属性値「BD」に対する個人識別リスクが最大である(k2=1/4)。したがって、単一の属性に対する最大の個人識別リスクは、kmax=1/4である。
一方、住所及び購入品の組み合わせでは「東京−BD」及び「大阪−BD」に対する個人識別リスクが最大で、K=1/2である。したがって、リスク幅は、K/kmax=2となる。
一方、年齢及び趣向の組み合わせでは「40−50−SF」に対する個人識別リスクが最大で、K=1/1である。したがって、リスク幅は、K/kmax=1となる。
なお、データセットに含まれるレコード及び属性は全て入力されなくてもよく、重要度に応じて一部のレコード及び属性が入力されてもよい。
選択部12は、属性の組み合わせの全てのパターンを選択してもよいし、ある上限数までのパターンを選択してもよい。
具体的には、出力部14は、例えば、リスク幅が許容可能なレベルを超える、すなわちリスクが高いと考えられる属性の組み合わせと、リスク幅及びレコード毎の個人識別リスクとを出力する。
なお、出力される情報は、これには限られず、例えば、リスク幅が許容可能なレベルに収まる、すなわちリスクが低いと考えられる属性の組み合わせが出力されてもよい。
ステップS201において、入力部11は、評価の対象となるデータセットD(レコード数u、属性数v)、許容可能なリクス幅y、及び攻撃者が知識として持つ属性の数xを入力として受け付ける。
ステップS203において、選択部12は、ステップS202で選択された知識属性ATTRaのパターン毎にループ処理を行う。
ステップS204において、算出部13は、ATTRaに含まれる単一の属性毎にループ処理を行う。
ステップS206において、算出部13は、データセットDのレコード毎に、属性値を基数木から検索し、それぞれの出現回数nを算出する。
ステップS207において、算出部13は、出現回数nの逆数である1/nの最大値を、選択された属性に対する個人識別リスクkとして保存する。
ステップS209において、算出部13は、データセットDのレコード毎に、ATTRaの値の組み合わせKp=rp attr1‖・・・‖rp attrx(p=1,・・・,u)(rp attrqは、レコードpにおける属性attrqの値)を、基数木から検索し、それぞれの出現回数nを算出する。
ステップS210において、算出部13は、出現回数nの逆数である1/nの最大値を、ATTRaに対する個人識別リスクKとして保存する。
出力された属性の組み合わせは、潜在リスクが高いと判断できるので、データセットの提供者は、属性値を加工(削除、一般化等)することでリスクを下げる等のプライバシ保護施策を取ることができる。
また、データセットの属性全体又は一部の匿名化レベルを変更して再度リスク評価を行うことで、リスク評価装置1は、データセットにおけるリスクの変化を定量的に評価できる。
以下、本発明の第3実施形態について説明する。
本実施形態のリスク評価装置1は、公開対象のデータセットと共に、属性毎の取得コスト、及び攻撃者の想定リソース、すなわち攻撃者が許容するコストの上限を入力として、攻撃者が知識として持ち得る属性の組み合わせを出力する。
なお、データセットに含まれるレコード及び属性は全て入力されなくてもよく、重要度に応じて一部のレコード及び属性が入力されてもよい。
選択部12は、属性の組み合わせの全てのパターンを選択してもよいし、ある上限数までのパターンを選択してもよい。また、攻撃者が知識として持つ属性が初期値として入力された場合には、選択部12は、これらの属性に対して追加する属性のパターンを選択する。
ステップS301において、入力部11は、各属性に取得コストが付与されたデータセットDc(レコード数u、属性数v)、攻撃者の想定リソースRa、及び攻撃者が知識として持つ属性ATTRa={attr1,・・・,attri}を入力として受け付ける。
ステップS303において、選択部12は、ステップS302で選択されたパターン毎にループ処理を行う。
ステップS305において、算出部13は、選択されたパターンに従って、ATTRaに新たな属性を追加する。その後、処理はステップS304に戻る。
ステップS310において、算出部13は、データセットDcのレコード毎に、ATTRaの値の組み合わせKp=rp attr1‖・・・‖rp attri(i=|ATTRa|)(p=1,・・・,u)(rp attrqは、レコードpにおける属性attrqの値)を、基数木から検索し、それぞれの出現回数nを算出する。
ステップS311において、算出部13は、出現回数nの逆数である1/nを、レコード毎のATTRaに対する個人識別リスクとして保存する。
データセットの提供者は、このような組み合わせを潜在リスクが高いと判断し、属性値を加工(削除、一般化等)することでリスクを下げる等のプライバシ保護施策を取ることができる。
以下、本発明の第4実施形態について説明する。
本実施形態のリスク評価装置1は、公開対象のデータセットと共に、匿名化レベルの定義ファイル、及び個人識別リスクに対する許容値を入力として、適切な匿名化レベルの組み合わせを出力する。
リスク評価装置1は、入力部11と、選択部12と、匿名化部15と、算出部13と、出力部14とを備える。
なお、データセットに含まれるレコード及び属性は全て入力されなくてもよく、重要度に応じて一部のレコード及び属性が入力されてもよい。
選択部12は、属性の組み合わせの全てのパターンを選択してもよいし、ある上限数までのパターンを選択してもよい。また、攻撃者が知識として持つ属性が初期値として入力された場合には、選択部12は、これらの属性に対して追加する属性のパターンを選択する。
このとき、匿名化部15は、属性ごとに全てのレコードの匿名化レベルを変更してもよいが、これには限られない。匿名化部15は、例えば、住所属性が「東京」のレコードのみ年齢属性の匿名化レベルを変更する等、複数の条件に従って一部のレコードを対象に匿名化レベルを変更してもよい。
また、匿名化部15は、組み合わせの中から一般化する属性の順序について、全てのパターンを選択してもよいし、ある上限数までのパターンを選択してもよい。
なお、出力される情報は、これには限られず、例えば、いずれかのレコードの個人識別リスクが許容できないレベルとなる属性及び匿名化レベルの組み合わせが出力されてもよい。また、個人識別リスクが許容可能なレコード、又は許容できないレコードが出力されてもよい。
ステップS401において、入力部11は、評価の対象となるデータセットD(レコード数u、属性数v)、攻撃者が知識として持つ属性ATTRa={attr1,・・・,attri}、及び許容可能なリクス値Nを入力として受け付ける。
なお、ATTRaの入力がない場合、選択部12は、全ての属性を選択してATTRaとする。
ステップS403において、匿名化部15は、ステップS402で選択されたパターン毎にループ処理を行う。
ステップS406において、算出部13は、データセットDのレコード毎に、ATTRaの値の組み合わせKp=rp attr1‖・・・‖rp attri(p=1,・・・,u)(rp attrqは、レコードpにおける属性attrqの値)を、基数木から検索し、それぞれの出現回数nを算出する。
ステップS407において、算出部13は、出現回数nの逆数である1/nの最大値を、個人識別リスクとして保存する。
11 入力部
12 選択部
13 算出部
14 出力部
15 匿名化部
Claims (9)
- データセットを提供した場合の個人識別リスクについて、許容可能なリスク値の入力を受け付ける入力部と、
前記データセットに含まれる複数の属性から、攻撃者が知識として持ち得る属性の組み合わせを選択する選択部と、
前記属性の組み合わせに対して、値が同一であるレコード数に基づいてレコード毎の個人識別リスクを算出する算出部と、
前記レコード毎の個人識別リスクが前記許容可能なリスク値で示されるリスクを超えるか否かによって区分された前記属性の組み合わせを出力する出力部と、を備えるリスク評価装置。 - データセットを提供した場合の個人識別リスクについて、当該データセットに含まれる複数の属性のいずれかが組み合わされることによる個人識別リスクの変化率に対する許容可能なリスク幅の入力を受け付ける入力部と、
前記複数の属性から、攻撃者が知識として持ち得る属性の組み合わせを選択する選択部と、
前記属性の組み合わせ、及び当該組み合わせに含まれる単一の属性それぞれに対して、値が同一であるレコード数に基づいてレコード毎の個人識別リスクを算出する算出部と、
前記選択部により選択された属性の組み合わせに含まれる単一の属性に対する最大の個人識別リスクから、当該属性の組み合わせに対する最大の個人識別リスクへの変化率が前記許容可能なリスク幅を超えるか否かによって区分された前記属性の組み合わせを出力する出力部と、を備えるリスク評価装置。 - データセットを提供した場合の個人識別リスクについて、攻撃者が知識として属性値を取得するための想定リソースの入力を受け付ける入力部と、
前記データセットに含まれる複数の属性から、攻撃者が知識として持ち得る属性の組み合わせを選択する選択部と、
前記属性の組み合わせに対して、値が同一であるレコード数に基づいてレコード毎の個人識別リスクを算出する算出部と、
前記属性の組み合わせに含まれる各属性の取得コストの合計が前記想定リソースを超えるか否かによって区分された前記属性の組み合わせ、及び前記個人識別リスクを出力する出力部と、を備えるリスク評価装置。 - データセットを提供した場合の個人識別リスクについて、許容可能なリスク値の入力を受け付ける入力部と、
前記データセットに含まれる複数の属性から、攻撃者が知識として持ち得る属性の組み合わせを選択する選択部と、
前記属性の組み合わせに含まれるいずれかの属性の匿名化レベルを上げる匿名化部と、
前記属性の組み合わせに対して、値が同一であるレコード数に基づいてレコード毎の個人識別リスクを算出する算出部と、
前記個人識別リスクの最大値が前記許容可能なリスク値で示されるリスクを超えるか否かによって区分された前記属性及び匿名化レベルの組み合わせを出力する出力部と、を備えるリスク評価装置。 - データセットを提供した場合の個人識別リスクについて、許容可能なリスク値の入力を受け付ける入力ステップと、
前記データセットに含まれる複数の属性から、攻撃者が知識として持ち得る属性の組み合わせを選択する選択ステップと、
前記属性の組み合わせに対して、値が同一であるレコード数に基づいてレコード毎の個人識別リスクを算出する算出ステップと、
前記レコード毎の個人識別リスクが前記許容可能なリスク値で示されるリスクを超えるか否かによって区分された前記属性の組み合わせを出力する出力ステップと、をコンピュータが実行するリスク評価方法。 - データセットを提供した場合の個人識別リスクについて、当該データセットに含まれる複数の属性のいずれかが組み合わされることによる個人識別リスクの変化率に対する許容可能なリスク幅の入力を受け付ける入力ステップと、
前記複数の属性から、攻撃者が知識として持ち得る属性の組み合わせを選択する選択ステップと、
前記属性の組み合わせ、及び当該組み合わせに含まれる単一の属性それぞれに対して、値が同一であるレコード数に基づいてレコード毎の個人識別リスクを算出する算出ステップと、
前記選択ステップにおいて選択された属性の組み合わせに含まれる単一の属性に対する最大の個人識別リスクから、当該属性の組み合わせに対する最大の個人識別リスクへの変化率が前記許容可能なリスク幅を超えるか否かによって区分された前記属性の組み合わせを出力する出力ステップと、をコンピュータが実行するリスク評価方法。 - データセットを提供した場合の個人識別リスクについて、攻撃者が知識として属性値を取得するための想定リソースの入力を受け付ける入力ステップと、
前記データセットに含まれる複数の属性から、攻撃者が知識として持ち得る属性の組み合わせを選択する選択ステップと、
前記属性の組み合わせに対して、値が同一であるレコード数に基づいてレコード毎の個人識別リスクを算出する算出ステップと、
前記属性の組み合わせに含まれる各属性の取得コストの合計が前記想定リソースを超えるか否かによって区分された前記属性の組み合わせ、及び前記個人識別リスクを出力する出力ステップと、をコンピュータが実行するリスク評価方法。 - データセットを提供した場合の個人識別リスクについて、許容可能なリスク値の入力を受け付ける入力ステップと、
前記データセットに含まれる複数の属性から、攻撃者が知識として持ち得る属性の組み合わせを選択する選択ステップと、
前記属性の組み合わせに含まれるいずれかの属性の匿名化レベルを上げる匿名化ステップと、
前記属性の組み合わせに対して、値が同一であるレコード数に基づいてレコード毎の個人識別リスクを算出する算出ステップと、
前記個人識別リスクの最大値が前記許容可能なリスク値で示されるリスクを超えるか否かによって区分された前記属性及び匿名化レベルの組み合わせを出力する出力ステップと、をコンピュータが実行するリスク評価方法。 - 請求項5から請求項8のいずれかに記載のリスク評価方法をコンピュータに実行させるためのリスク評価プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015201860A JP6487820B2 (ja) | 2015-10-13 | 2015-10-13 | リスク評価装置、リスク評価方法及びリスク評価プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015201860A JP6487820B2 (ja) | 2015-10-13 | 2015-10-13 | リスク評価装置、リスク評価方法及びリスク評価プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017076170A JP2017076170A (ja) | 2017-04-20 |
JP6487820B2 true JP6487820B2 (ja) | 2019-03-20 |
Family
ID=58551321
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015201860A Active JP6487820B2 (ja) | 2015-10-13 | 2015-10-13 | リスク評価装置、リスク評価方法及びリスク評価プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6487820B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6484657B2 (ja) * | 2017-03-17 | 2019-03-13 | 新日鉄住金ソリューションズ株式会社 | 情報処理装置、情報処理方法及びプログラム |
KR102369228B1 (ko) | 2017-05-25 | 2022-02-28 | 삼성에스디에스 주식회사 | 리스크 기반 인증을 위한 리스크 분석 장치 및 방법 |
WO2021260903A1 (ja) * | 2020-06-25 | 2021-12-30 | 三菱電機株式会社 | 匿名加工装置、匿名加工方法、及び、匿名加工プログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3866210B2 (ja) * | 2003-03-20 | 2007-01-10 | 株式会社エヌ・ティ・ティ・データ | 個人特定防止装置、個人特定防止方法、および、プログラム |
JP2006309737A (ja) * | 2005-03-28 | 2006-11-09 | Ntt Communications Kk | 開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム |
JP5042667B2 (ja) * | 2007-03-05 | 2012-10-03 | 株式会社日立製作所 | 情報出力装置、情報出力方法、及び、情報出力プログラム |
JP2011133958A (ja) * | 2009-12-22 | 2011-07-07 | Michio Kimura | 匿名度の指標値を算出する情報処理システムおよび匿名度の指標値の算出方法 |
-
2015
- 2015-10-13 JP JP2015201860A patent/JP6487820B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017076170A (ja) | 2017-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240223480A1 (en) | Systems and methods for social graph data analytics to determine connectivity within a community | |
US9071636B2 (en) | Predictive scoring management system for application behavior | |
CA2957674C (en) | Testing insecure computing environments using random data sets generated from characterizations of real data sets | |
KR20200057903A (ko) | 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법 | |
CN106209759A (zh) | 检测驻留在网络上的可疑文件 | |
JP6413769B2 (ja) | データ秘匿装置、データ秘匿プログラムおよびデータ秘匿方法 | |
CN111966912B (zh) | 基于知识图谱的推荐方法、装置、计算机设备及存储介质 | |
JP2021507360A (ja) | データを非特定化する方法、データを非特定化するためのシステム、および非データを特定化するためのコンピュータ・プログラム | |
Chakraborty et al. | A Secure IoT‐Based Cloud Platform Selection Using Entropy Distance Approach and Fuzzy Set Theory | |
CN105825137B (zh) | 一种确定敏感数据扩散行为的方法及装置 | |
JP6487820B2 (ja) | リスク評価装置、リスク評価方法及びリスク評価プログラム | |
CN114270391A (zh) | 量化隐私影响 | |
Borbor et al. | Diversifying network services under cost constraints for better resilience against unknown attacks | |
JP2020119085A (ja) | 計算機システム及び対象に関する目的を達成するために有用な情報の提示方法 | |
JP6977577B2 (ja) | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 | |
CN114154166A (zh) | 异常数据识别方法、装置、设备和存储介质 | |
Alamleh et al. | Machine learning-based detection of smartphone malware: Challenges and solutions | |
KR101959213B1 (ko) | 침해 사고 예측 방법 및 그 장치 | |
Borowiecki et al. | The potential of greed for independence | |
Maag et al. | Graph anonymization using machine learning | |
JP5568907B2 (ja) | 情報アセスメントシステム、情報アセスメント方法及びプログラム | |
CN104572066B (zh) | 用于面向屏幕的数据流分析的方法和系统 | |
Holland | Enabling Open Source Intelligence (OSINT) in private social networks | |
JP6229710B2 (ja) | 情報受信装置、情報受信システム、及び、情報受信方法 | |
Ergenç Bostanoǧlu et al. | Minimizing information loss in shared data: Hiding frequent patterns with multiple sensitive support thresholds |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180308 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190222 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6487820 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |