JP6558126B2 - Information processing system and information processing method - Google Patents
Information processing system and information processing method Download PDFInfo
- Publication number
- JP6558126B2 JP6558126B2 JP2015152837A JP2015152837A JP6558126B2 JP 6558126 B2 JP6558126 B2 JP 6558126B2 JP 2015152837 A JP2015152837 A JP 2015152837A JP 2015152837 A JP2015152837 A JP 2015152837A JP 6558126 B2 JP6558126 B2 JP 6558126B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- information processing
- information
- server
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、情報処理システム及び情報処理方法に関する。 The present invention relates to an information processing system and an information processing method.
近年、情報漏洩の問題及び個人情報保護法の制定等により、個人情報の取り扱いが問題となっている。例えば、企業(以下では「データ提供者」と呼ぶことがある)の商品又はサービスを購入する消費者等の個人(以下では、「一般ユーザ」と呼ぶことがある)が商品又はサービスを購入する際に、会員登録することがある。この会員登録時には、通常、一般ユーザの氏名、年齢、性別、住所、及びメールアドレス等のデータが、一般ユーザに割り振られた個人IDと対応づけられた状態で、データ提供者のシステムに登録(記憶)される。すなわち、データ提供者のシステムは、「個人情報データ」を記憶しておく。ここで、「個人情報データ」は、例えば、氏名、年齢、性別、住所、メールアドレス、及び個人IDを含む。 In recent years, the handling of personal information has become a problem due to the problem of information leakage and the enactment of the Personal Information Protection Law. For example, an individual such as a consumer (hereinafter sometimes referred to as a “general user”) who purchases a product or service of a company (hereinafter sometimes referred to as a “data provider”) purchases the product or service. In some cases, you may register as a member. At the time of membership registration, data such as the general user's name, age, gender, address, and e-mail address is usually registered in the data provider's system in a state in which the data is associated with the personal ID assigned to the general user ( Remembered). That is, the data provider system stores “personal information data”. Here, the “personal information data” includes, for example, a name, age, sex, address, e-mail address, and personal ID.
さらに、データ提供者のシステムは、個人情報データが既に登録されている一般ユーザが商品又はサービスを購入する度に、その一般ユーザの個人IDに対応づけて、購入された商品又はサービスに関する情報を記憶する。これにより、データ提供者は、収集した個人情報データを用いて、企業活動に利用することができる。 Furthermore, each time a general user whose personal information data has already been registered purchases a product or service, the data provider system associates the personal ID of the general user with information about the purchased product or service. Remember. Thus, the data provider can use the collected personal information data for business activities.
一方で、例えば、個人情報データを正常に収集したデータ提供者以外の企業が、その個人情報データを利用することを望むことがある。すなわち、データ収集主体とデータ利用主体とが異なる可能性がある。しかしながら、個人情報保護の観点から、一般ユーザの許可を得ること無しに、個人情報データそのものを提供することはできない。そこで、個人情報データを正常に収集したデータ提供者が、個人情報データを、個人を特定できない状態のデータ(以下では、「匿名化データ」と呼ぶことがある)に変換し、匿名化データを提供することが考えられる。 On the other hand, for example, a company other than the data provider who normally collects personal information data may desire to use the personal information data. That is, there is a possibility that the data collection entity and the data utilization entity are different. However, from the viewpoint of personal information protection, personal information data itself cannot be provided without obtaining permission from a general user. Therefore, a data provider who has successfully collected personal information data converts the personal information data into data that cannot identify an individual (hereinafter sometimes referred to as “anonymized data”), It is possible to provide.
一般的に、匿名化データには、各個人のレコードを管理するために識別子が付与されている。識別子は、例えば匿名化データに新たな項目を追加する場合又は匿名化データに含まれる属性値を更新する場合に、追加、更新等の対象となるレコードを特定することに使用される。 In general, anonymized data is given an identifier to manage each individual record. The identifier is used to specify a record to be added, updated, etc., for example, when adding a new item to the anonymized data or updating an attribute value included in the anonymized data.
しかし、第三者に匿名化データを提供する場合に、当該識別子をそのまま付与すると、匿名化データに含まれる各レコードの個人が特定される。このため、第三者に匿名化データを流通させる際、匿名化データに付与された第1の識別子を第三者から隠蔽するために、当該第1の識別子を第2の識別子に変換して提供する場合がある。 However, when providing anonymized data to a third party, if the identifier is given as it is, an individual of each record included in the anonymized data is specified. For this reason, when distributing anonymized data to a third party, in order to conceal the first identifier assigned to the anonymized data from the third party, the first identifier is converted into a second identifier. May be provided.
また、今後改正され、施行が予定される個人情報保護法では、個人を特定できないように一定レベルの加工度で匿名化処理を行った個人情報を一般ユーザの許可なく流通させることが可能となることから、匿名化データの流通が期待される。 In addition, the Personal Information Protection Law, which will be revised in the future, will enable the distribution of personal information that has been anonymized at a certain level of processing so that individuals cannot be identified without permission from general users. Therefore, the distribution of anonymized data is expected.
しかし、識別子を変換した匿名化データを提供した場合において、第1の識別子と第2の識別子との対照情報が漏洩すると、提供された匿名化データに付与される第2の識別子に基づいて第1の識別子が特定され、個人を特定されるおそれがある。識別子を変換する技術者が、当該対照情報を削除することも考えられるが、対照情報を適切な手順で消去したことを当該技術者が証明することは困難である。技術的な手違い等により対照情報が削除されずに残り、又は悪意のある技術者により対照情報が奪われる等により、対照情報が漏洩した場合は、当該対照情報を用いて個人が特定されるおそれがある。 However, in the case where the anonymized data obtained by converting the identifier is provided, if the comparison information between the first identifier and the second identifier is leaked, the second identifier is given based on the second identifier assigned to the provided anonymized data. One identifier is specified, and there is a possibility that an individual is specified. Although it is conceivable that the engineer who converts the identifier deletes the reference information, it is difficult for the engineer to prove that the control information has been deleted by an appropriate procedure. If the control information is leaked due to a technical error, etc. that remains without being deleted, or the control information is taken away by a malicious engineer, the individual may be identified using the control information There is.
1つの側面では、匿名化データの提供の際に、個人が特定されることを防ぐ情報処理システム及び情報処理方法を提供することを目的とする。 In one aspect, an object is to provide an information processing system and an information processing method for preventing an individual from being specified when anonymized data is provided.
1つの側面では、情報処理システムは、匿名化データを提供する第1の情報処理装置と、匿名化データの提供を受ける第2の情報処理装置とを有する。第1の情報処理装置は、個人情報が匿名化された匿名化データに付与される第1の識別子に対して、第2の識別子を生成する第1生成部と、匿名化データと第2の識別子とを対応付けた第1のデータを生成する第2生成部とを有する。第2の情報処理装置は、第1の情報処理装置から取得した第1のデータに含まれる第2の識別子に対して、第3の識別子を生成する生成部と、匿名化データと第3の識別子とを対応付けた第2のデータをデータ利用者に提供する提供部とを有する。 In one aspect, an information processing system includes a first information processing apparatus that provides anonymized data and a second information processing apparatus that receives provision of anonymized data. The first information processing device is configured to generate a second identifier for the first identifier assigned to the anonymized data in which the personal information is anonymized, the anonymized data, and the second A second generation unit that generates first data associated with the identifier. The second information processing device includes a generation unit that generates a third identifier for the second identifier included in the first data acquired from the first information processing device, anonymized data, and a third And a providing unit that provides second data associated with the identifier to the data user.
一実施態様によれば、匿名化データの提供の際に、個人が特定されることを防ぐ。 According to one embodiment, an individual is prevented from being specified when providing anonymized data.
以下に、本願の開示する情報処理システム及び情報処理方法の実施例を図面に基づいて詳細に説明する。なお、本実施例により、開示技術が限定されるものではない。また、以下に示す各実施例は、矛盾を起こさない範囲で適宜組み合わせても良い。 Embodiments of an information processing system and an information processing method disclosed in the present application will be described below in detail with reference to the drawings. The disclosed technology is not limited by the present embodiment. Moreover, you may combine suitably each Example shown below in the range which does not cause contradiction.
[全体構成]
本実施例においては、データ提供者がプラットフォーム(以下では「PF」と呼ぶ。)に提供する匿名化データにおいて、識別子を変換する構成について説明する。図1は、実施例1におけるシステムの全体構成の一例を示す模式図である。図1に示すように、実施例1におけるシステムは、データ提供者サーバ100(以下では「DPサーバ100」と呼ぶ。)と、プラットフォームサーバ300(以下では「PFサーバ300」と呼ぶ。)と、データ利用者端末500とを含む。
[overall structure]
In this embodiment, a configuration for converting an identifier in anonymized data provided by a data provider to a platform (hereinafter referred to as “PF”) will be described. FIG. 1 is a schematic diagram illustrating an example of the overall configuration of the system according to the first embodiment. As shown in FIG. 1, the system according to the first embodiment includes a data provider server 100 (hereinafter referred to as “
DPサーバ100は、個人の特定を防ぐ措置を施した上で、匿名化データを提供する。PFサーバ300は、提供された個人情報を、個人の特定を防ぐ措置を施した上で、データ利用者端末500に提供する。なお、図1においてはDPサーバ100、PFサーバ300及びデータ利用者端末500がそれぞれ一者づつである例を示したが、実施例はこれに限られず、それぞれ複数有するような構成であってもよい。
The
本システムにおいて、DPサーバ100は、例えば一般ユーザから提供された個人情報を用いて、自ら匿名化データを生成し、又は第三者に匿名化データを生成させる。DPサーバ100は、生成された匿名化データを流通させるために、PFサーバ300に提供する。
In this system, the
その際、DPサーバ100は、個人の特定を防ぐため、匿名化データの各レコードに付与された第1の識別子(以下では「ID1」と呼ぶ。)を第2の識別子(以下では「ID2」と呼ぶ。)に変換する。DPサーバ100は、ID1とID2とを連結するためのID対照情報(以下では「第1のID対照情報」と呼ぶ。)を暗号化して記憶する。なお、本実施例においては、暗号化した情報の安全性を高めるため、第1のID対照情報に対して、DPサーバ100とPFサーバ300との両方が暗号化処理を行う。
At this time, the
また、年収や病歴等、特に厳重な秘密保持が求められるセンシティブな属性値(以下では「SA」と呼ぶ。)が匿名化データに含まれる場合、DPサーバ100はSAを削除し、又は暗号化する等、SAの漏洩を防ぐための措置を施す。
Further, when sensitive attribute values (hereinafter referred to as “SA”) that require particularly strict confidentiality such as annual income and medical history are included in the anonymized data, the
その後、DPサーバ100は、ID2と、当該IDに対応するSA以外の属性値(以下では「QID(Quasi IDentifier)」と呼ぶ。)と、暗号化された第1のID対照情報とを、PFサーバ300に送信する。なお、DPサーバ100が、暗号化されたSAを合わせてPFサーバ300に送信するような構成であってもよい。
Thereafter, the
データを受信したPFサーバ300は、受信したデータに含まれるID2を、第3の識別子(以下では「ID3」と呼ぶ。)に変換する。PFサーバ300は、ID2とID3とを連結するためのID対照情報(以下では「第2のID対照情報」と呼ぶ。)を暗号化する。
The
その後、PFサーバ300は、暗号化された第1のID対照情報を再暗号化するとともに、暗号化された第2のID対照情報と合わせてDPサーバ100に送信する。なお、本実施例においては、第1のID対照情報と同様に、第2のID対照情報に対しても、DPサーバ100とPFサーバ300との両方が暗号化処理を行う。
Thereafter, the
データを受信したDPサーバ100は、再暗号化された第1のID対照情報を記憶する。また、DPサーバ100は、暗号化された第2のID対照情報を再暗号化し、PFサーバ300に送信する。
The
データを受信したPFサーバ300は、再暗号化された第2のID対照情報を記憶する。また、PFサーバ300は、ID3と、受信したQIDとを対応付けて記憶するとともに、データ利用者端末500から要求を受けた場合にこれを提供する。
The
次に、データの追加又は更新等について説明する。PFサーバ300は、データ利用者端末500からID3を含むデータの追加又は更新の依頼を受けた場合、DPサーバ100とともに、第1のID対照情報及び第2のID対照情報を復号する。PFサーバ300は、データ利用者端末500から受信したID3に対応するID2をDPサーバ100に送信し、DPサーバ100は、ID2に対応するID1の追加・更新情報を取得する。
Next, addition or update of data will be described. When receiving a request to add or update data including ID3 from the
その後、DPサーバ100は、PFサーバ300に当該追加・更新情報とID2とを対応付けて送信し、PFサーバ300は当該追加・更新情報をID3と対応付けてデータ利用者端末500に送信する。なお、暗号化されたSAを復号して提供する構成については、実施例2において説明する。
Thereafter, the
次に、本実施例において実装されるシステムの機能構成について説明する。図2は、実施例1におけるシステムの一例を示す機能ブロック図である。図2に示すように、本実施例におけるシステムは、DPサーバ100と、PFサーバ300と、データ利用者端末500とを有する。
Next, the functional configuration of the system implemented in the present embodiment will be described. FIG. 2 is a functional block diagram illustrating an example of a system according to the first embodiment. As shown in FIG. 2, the system in the present embodiment includes a
DPサーバ100と、PFサーバ300とは、ネットワークNを通じて、相互に通信可能に接続される。PFサーバ300は、ネットワークNを通じて、データ利用者端末500と相互に通信可能に接続される。かかるネットワークNには、有線または無線を問わず、インターネット(Internet)を始め、LAN(Local Area Network)やVPN(Virtual Private Network)などの任意の種類の通信網を採用できる。なお、図2においては、DPサーバ100、PFサーバ300及びデータ利用者端末500がそれぞれ1台づつである例を示したが、実施例はこれに限られない。例えば、DPサーバ100、PFサーバ300及びデータ利用者端末500を複数有するような構成であってもよい。
The
[DPサーバの機能構成]
まず、DPサーバ100の機能構成について説明する。DPサーバ100は、匿名化データに付与される識別子を変換し、PFサーバ300に提供する処理を行うコンピュータである。図2に示されるように、DPサーバ100は、記憶部120と、制御部130とを有する。なお、DPサーバ100は、図2に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
[Functional configuration of DP server]
First, the functional configuration of the
次に、DPサーバ100の各機能ブロックについて説明する。記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。記憶部120は、匿名化情報DB121、ID管理DB123、提供情報DB124及び操作ログDB125を有する。また、記憶部120は、制御部130での処理に用いる各種情報を記憶する。
Next, each functional block of the
匿名化情報DB121は、生成された匿名化データを、識別子と対応付けて記憶する記憶部である。匿名化データは、例えば、一般ユーザから取得した個人情報に、属性値を抽象化する等の匿名化処理を施すことにより生成される。なお、個人情報に含まれる年齢や収入等の属性値が更新された場合、又は新たな個人に関する属性値を取得した場合、匿名化データも適宜更新される。
The
図3及び図4を用いて、匿名化処理の概要について説明する。図3は、実施例1における個人情報の一例を示す図である。また、図4は、実施例1における匿名化情報DBに記憶される情報の一例を示す図である。図3は、「ID1」、「属性1性別(QID)」、「属性2年齢(QID)」及び「属性n年収(SA)」の項目を含む。一方、図4においては、図3に示される「属性2年齢(QID)」が、匿名化処理において、図4に示される「属性2年代(QID)」に抽象化される。図4に示されるその他の項目については、図3に示される項目と同様である。なお、図3及び図4において、図示しないその他の属性を含むような構成であってもよい。 The outline | summary of anonymization processing is demonstrated using FIG.3 and FIG.4. FIG. 3 is a diagram illustrating an example of personal information according to the first embodiment. FIG. 4 is a diagram illustrating an example of information stored in the anonymization information DB according to the first embodiment. FIG. 3 includes items of “ID1”, “attribute 1 sex (QID)”, “attribute 2 age (QID)”, and “attribute n annual income (SA)”. On the other hand, in FIG. 4, “attribute 2 age (QID)” shown in FIG. 3 is abstracted into “attribute 2 age (QID)” shown in FIG. 4 in the anonymization process. Other items shown in FIG. 4 are the same as the items shown in FIG. 3 and 4 may include other attributes not shown.
例えば、図3に示される「45」や「52」などの属性値は、図4においてそれぞれ「40−50代」に抽象化される。同様に、図3の「属性n年収(SA)」に示される「550万」や「240万」などの属性値は、図4においてそれぞれ「500万円台」や「300万円未満」に抽象化される。各属性値は、「ID1」に示す識別子により一意に識別される。 For example, the attribute values such as “45” and “52” shown in FIG. 3 are abstracted to “40-50 generations” in FIG. Similarly, the attribute values such as “5.5 million” and “2.4 million” shown in “attribute n annual income (SA)” in FIG. 3 are respectively “5 million yen” and “less than 3 million yen” in FIG. Abstracted. Each attribute value is uniquely identified by the identifier indicated by “ID1”.
また、図4においては、各レコードが順不同に並び替えて記憶される。これは、例えば50音順や年齢順などのレコードの並び順に基づいて、各レコードに該当する個人を推定されることを防ぐためである。 Moreover, in FIG. 4, the records are rearranged in random order and stored. This is to prevent an individual corresponding to each record from being estimated on the basis of the order of records such as the order of the Japanese syllabary or the order of age.
図2の説明に戻って、ID管理DB123は、ID1とID2とを対応づける第1のID対照情報を記憶する記憶部である。ID管理DB123に格納される情報について、図5を用いて説明する。図5は、実施例1におけるデータ提供者サーバのID管理DBに記憶される情報の一例を示す図である。図5に示すように、ID管理DB123は、「ID1」と、「ID2」とを対応付けて記憶する。例えば、「A003」というID1には、「Z123」というID2が対応付けられて記憶される。
Returning to the description of FIG. 2, the
なお、図5においては、ID1とID2とが一意に対応する例を示したが、実施例はこれに限られず、データ利用者ごとに、又はデータを提供する度に、ID1に対応するID2を新たに生成するような構成であってもよい。この場合、ID管理DB123は、図5に示すような情報を、データ利用者に割り振られた識別子等に対応付けて記憶する。
5 shows an example in which ID1 and ID2 uniquely correspond to each other. However, the embodiment is not limited to this, and ID2 corresponding to ID1 is assigned to each data user or each time data is provided. A new configuration may be used. In this case, the
また、図5に示す例においては、図4に示す「属性1性別(QID)」及び「属性2年代(QID)」もID1及びID2と合わせて記憶されるが、図4に示す「属性n年収(SA)」は、本実施例においては削除される。 In the example shown in FIG. 5, “attribute 1 sex (QID)” and “attribute 2 age (QID)” shown in FIG. 4 are also stored together with ID1 and ID2, but “attribute n” shown in FIG. “Annual income (SA)” is deleted in this embodiment.
図2の説明に戻って、提供情報DB124は、PFサーバ300に提供される情報を記憶する記憶部である。提供情報DB124に格納される情報について、図6を用いて説明する。図6は、実施例1における提供情報DBに記憶される情報の一例を示す図である。図6に示すように、提供情報DB124は、図5に示すようなID管理DB123に記憶される情報のうち、「ID2」、「属性1性別(QID)」及び「属性2年代(QID)」のみを含み、「ID1」は削除されている。
Returning to the description of FIG. 2, the
図2の説明に戻って、操作ログDB125は、匿名化データに対する取得要求や暗号化等の操作を記憶する記憶部である。操作ログDB125は、例えば、ID1に対応するID2が生成されたこと、SAが暗号化され又は復号されたこと、ID2及びQIDがPFサーバ300に送信されたこと、第1のID対照情報が暗号化され又は復号されたこと等の操作を記録する。操作ログDB125は、各操作履歴を、操作を行った担当者のIDや、操作が行われた日時等と対応付けて記録する。
Returning to the description of FIG. 2, the
図2の説明に戻って、制御部130は、例えば、CPUやMPU(Micro Processing Unit)等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部130は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されるようにしてもよい。
Returning to the description of FIG. 2, the
この制御部130は、ID生成部131と、暗号処理部133と、送受信部135とを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部130の内部構成は、図2に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、ID生成部131、暗号処理部133及び送受信部135は、プロセッサなどの電子回路の一例またはプロセッサなどが実行するプロセスの一例である。
The
ID生成部131は、ID1に対応するID2を生成する処理部である。ID生成部131は、例えば、図5に示すように、「A003」というID1に対応して、「Z123」というID2を生成し、ID管理DB123に記憶する。ID生成部131は、第1生成部及び第2生成部の一例である。
The
暗号処理部133は、複数のIDを対応付けるID対照情報を暗号化し、又は復号する処理部である。具体的には、暗号処理部133は、図5に示すようなID1とID2とを対応付ける情報を暗号化して、ID管理DB123に記憶し、また暗号化された情報を復号する。また、上で述べたように、暗号処理部133は、PFサーバ300により暗号化された第2のID対照情報をさらに再暗号化する。なお、暗号処理部133は、ID管理DB123全体を暗号化する構成であっても、ID管理DB123の内容を出力したファイルを暗号化する構成であってもよい。
The
送受信部135は、PFサーバ300に情報を送信し、又はPFサーバ300から情報を受信する処理部である。例えば、送受信部135は、提供情報DB124に記憶された、図6に示すような情報を読み出し、PFサーバ300に送信する。また、送受信部135は、例えば、PFサーバ300から暗号化したID対照情報の復号要求を受信し、暗号処理部133に指示を出力する。
The transmission /
[PFサーバの機能構成]
次に、図2の説明に戻って、PFサーバ300の機能構成について説明する。PFサーバ300は、DPサーバ100から匿名化データの提供を受け、データ利用者端末500に提供する処理を行うコンピュータである。図2に示されるように、PFサーバ300は、記憶部320と、制御部330とを有する。なお、PFサーバ300は、図2に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
[Functional configuration of PF server]
Next, returning to the description of FIG. 2, the functional configuration of the
次に、PFサーバ300の各機能ブロックについて説明する。記憶部320は、例えば、RAM、フラッシュメモリ等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。記憶部320は、ID管理DB323と、公開情報DB324と、操作ログDB325とを有する。また、記憶部320は、制御部330での処理に用いる各種情報を記憶する。
Next, each functional block of the
ID管理DB323は、ID2とID3とを対応づける第2のID対照情報を記憶する記憶部である。ID管理DB323に格納される情報について、図7を用いて説明する。図7は、実施例1におけるプラットフォームサーバのID管理DBに記憶される情報の一例を示す図である。図7に示すように、ID管理DB323は、「ID2」と、「ID3」とを対応付けて記憶する。例えば、「Z123」というID2には、「ABC1」というID3が対応付けられて記憶される。
The
図2の説明に戻って、公開情報DB324は、PFサーバ300に提供される情報を記憶する記憶部である。公開情報DB324に格納される情報について、図8を用いて説明する。図8は、実施例1における公開情報DBに記憶される情報の一例を示す図である。図8に示すように、公開情報DB324は、図6に示す提供情報DB124に示す情報のうち、「ID2」を「ID3」に変換した情報を記憶する。
Returning to the description of FIG. 2, the
図2の説明に戻って、操作ログDB325は、匿名化データに対する取得要求や暗号化等の操作を記憶する記憶部である。操作ログDB325は、例えば、ID2に対応するID3が生成されたこと、第2のID対照情報が暗号化され又は復号されたこと等の操作を記録する。また、操作ログDB325は、データ利用者端末500に対して匿名化データを提供したこと、データ利用者端末500から追加情報取得のリクエストを受信したこと等の操作も記録する。操作ログDB325は、各操作履歴を、操作を行った担当者のIDや、操作が行われた日時等と対応付けて記録する。
Returning to the description of FIG. 2, the
制御部330は、例えば、CPUやMPU等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部330は、例えば、ASICやFPGA等の集積回路により実現されるようにしてもよい。
The
この制御部330は、ID生成部331と、暗号処理部333と、送受信部335とを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部330の内部構成は、図2に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、ID生成部331、暗号処理部333及び送受信部335は、プロセッサなどの電子回路の一例またはプロセッサなどが実行するプロセスの一例である。
The
ID生成部331は、ID2に対応するID3を生成する処理部である。ID生成部331は、例えば、図7に示すように、「Z123」というID2に対応して、「ABC1」というID3を生成し、ID管理DB323に記憶する。ID生成部331は、生成部の一例である。
The
暗号処理部333は、複数のIDを対応付けるID対照情報を暗号化し、又は復号する処理部である。具体的には、暗号処理部333は、図7に示すようなID2とID3とを対応付ける第2のID対照情報を暗号化して、ID管理DB323に記憶し、また暗号化された情報を復号する。また、上で述べたように、暗号処理部333は、DPサーバ100により暗号化された第1のID対照情報をさらに再暗号化する。
The
送受信部335は、DPサーバ100及びデータ利用者端末500との間で情報を送受信する処理部である。例えば、送受信部335は、DPサーバ100からID2とQIDとの組み合わせを受信し、記憶部320に記憶する。また、送受信部335は、データ利用者端末500からデータの追加又は更新のリクエストを受信すると、DPサーバ100にリクエストを送信する。送受信部335は、提供部の一例である。
The transmission /
[処理の流れ]
次に、DPサーバ100及びPFサーバ300による処理の流れについて説明する。図9は、実施例1における暗号化処理の流れの一例を示すフローチャートである。なお、各ステップにおいて実行された処理の内容については、適宜操作ログDB125又は操作ログDB325に記録される。
[Process flow]
Next, the flow of processing by the
まず、DPサーバ100のID生成部131は、匿名化情報DB121に記憶された匿名化データの各レコードを順不同に並べ替える(ステップS101)。次に、ID生成部131は、順不同に並べ替えた匿名化データに付与されたID1に対応するID2を生成し、第1のID対照情報をID管理DB123に記憶する(ステップS111)。
First, the
次に、暗号処理部133は、匿名化情報DB121に記憶された匿名化データからSAを削除する(ステップS121)。なお、SAを暗号化する構成については、実施例2において説明する。
Next, the
その後、ID生成部131は、匿名化情報DB121から匿名化データ及び識別子を読み出し、匿名化データに付与されたID1をID2に置き換えて、提供情報DB124に記憶する(ステップS131)。そして、送受信部135は、提供情報DB124に記憶されたID2及びQIDを、PFサーバ300に送信する(ステップS135)。
After that, the
PFサーバ300の送受信部335が、DPサーバ100からID2とQIDとを受信すると(ステップS141)、ID生成部331は、ID2に対応するID3を生成し、第2のID対照情報をID管理DB323に記憶する(ステップS143)。次に、暗号処理部333は、第2のID対照情報を暗号化し、ID管理DB323に記憶する(ステップS145)。
When the transmission /
次に、送受信部335は、DPサーバ100に、暗号化された第2のID対照情報を送信する(ステップS151)。DPサーバ100の送受信部135が暗号化された第2のID対照情報を受信すると、暗号処理部133は、暗号化された第2のID対照情報を再暗号化する(ステップS161)。次に、暗号処理部133は、ID管理DB123に記憶された第1のID対照情報を暗号化する(ステップS163)。次に、送受信部135は、暗号化された第1のID対照情報と、再暗号化された第2のID対照情報とを、PFサーバ300に送信する(ステップS165)。
Next, the transmission /
PFサーバ300の送受信部335は、暗号化された第1のID対照情報と、再暗号化された第2のID対照情報とを受信すると、再暗号化された第2のID対照情報をID管理DB323に格納する(ステップS171)。次に、暗号処理部333は、暗号化された第1のID対照情報を再暗号化する(ステップS173)。
When the transmission /
その後、送受信部335は、処理に用いた中間データを削除し、再暗号化された第1のID対照情報をDPサーバ100に送信する(ステップS175)。再暗号化された第1のID対照情報を受信したDPサーバ100の送受信部135は、再暗号化された第1のID対照情報をID管理DB123に格納するとともに、処理に用いた中間データを削除する(ステップS181)。
Thereafter, the transmission /
次に、データ利用者に提供するデータを更新又は追加するための復号処理について、図10を用いて説明する。図10は、実施例1における復号処理の流れの一例を示すフローチャートである。まず、PFサーバ300の送受信部335は、データ利用者端末500から、データの更新又は追加のリクエストを受信すると(ステップS201)、当該リクエストがデータ利用者とプラットフォームとの契約等の条件を満たすかを判定する(ステップS203)。条件を満たさない場合(ステップS203:No)、処理を終了する。
Next, decryption processing for updating or adding data to be provided to the data user will be described with reference to FIG. FIG. 10 is a flowchart illustrating an exemplary flow of a decoding process according to the first embodiment. First, when the transmission /
一方、当該リクエストが条件を満たす場合(ステップS203:Yes)、送受信部335は、DPサーバ100に、確認依頼を送信する(ステップS205)。DPサーバ100の送受信部135は、確認依頼を受信すると(ステップS221)、当該リクエストがプラットフォームとデータ提供者との契約等の条件を満たすかを判定する(ステップS223)。条件を満たさない場合(ステップS223:No)、送受信部135は、PFサーバ300に処理不能を通知し(ステップS225)、処理を終了する。
On the other hand, when the request satisfies the condition (step S203: Yes), the transmission /
一方、当該リクエストが条件を満たす場合(ステップS223:Yes)、暗号処理部133は、ID管理DB123に記憶された第1のID対照情報を復号し、PFサーバ300に送信する(ステップS231)。PFサーバ300の送受信部335は、復号された第1のID対照情報を受信し、暗号処理部333がこれを再復号する(ステップS241)。次に、暗号処理部333は、ID管理DB323に記憶された第2のID対照情報を復号する(ステップS243)。次に、送受信部335は、再復号された第1のID対照情報と、復号された第2のID対照情報とをDPサーバ100に送信する(ステップS245)。
On the other hand, when the request satisfies the condition (step S223: Yes), the
DPサーバ100の送受信部135が、復号された第2のID対照情報を受信すると、暗号処理部133は、受信された第2のID対照情報を再復号する(ステップS251)。次に、ID生成部131は、再復号された第1のID対照情報及び第2のID対照情報を用いて、ID3に対応するID1を特定し、匿名化情報DB121からID1に対応する追加情報又は更新情報(以下「追加情報等」と呼ぶ。)を取得する(ステップS253)。次に、送受信部135は、取得した追加情報等を、ID2と対応付けてPFサーバ300に送信する(ステップS255)。
When the transmission /
PFサーバ300の送受信部335が、DPサーバ100から追加情報等を受信すると(ステップS261)、ID生成部331は、追加情報等をID3と対応付け、データ利用者に提供する(ステップS263)。
When the transmission /
以上のような構成により、DPサーバ100は単独でID1からID3を対応付けることができず、またPFサーバ300は単独でID3からID1を対応付けることができない。すなわち、DPサーバ100が生成した第1のID対照情報と、PFサーバ300が生成した第2のID対照情報との両方がそろわなければ、ID3からID1に再連結することができなくなる。これにより、いずれか一方のID対照情報が漏洩しても、匿名化データに付与された識別子により個人が特定されることを防止できる。
With the configuration described above, the
なお、識別子そのものを削除する場合と異なり、データ提供者とプラットフォームとが合意すれば、ID3とID1とを対応付けることで、DPサーバ100が保有する匿名化データと再連結することができる。このため、データ利用者端末500が、提供されたデータについてさらに別の項目の提供を受けることや、提供されたデータをアップデートすることもできる。
Unlike the case where the identifier itself is deleted, if the data provider and the platform agree, it is possible to reconnect the anonymized data held by the
本実施例においては、PFサーバ300が暗号化した第2のID対照情報をDPサーバ100に送信し、DPサーバ100がこれを再暗号化する構成を説明したが、実施例はこれに限られない。例えば、DPサーバ100が予め暗号化した第1のID対照情報をPFサーバ300に送信し、PFサーバ300が再暗号化した第1のID対照情報と、暗号化した第2のID対照情報とをDPサーバ100に送信するような構成であってもよい。
In the present embodiment, the second ID reference information encrypted by the
また、本実施例においては、DPサーバ100側でID1からID2に変換し、ID1をPFサーバ300に受け渡さない構成について説明したが、実施例はこれに限られない。例えば、DPサーバ100がID1をPFサーバ300に受け渡し、PFサーバ300がID1に対応するID2及びID3を生成するような構成であってもよい。これにより、DPサーバ100がIDを変換する機能を有しない場合であっても、データ利用者に変換したIDを付与した匿名化データを提供することができる。
In the present embodiment, the configuration is described in which the
DPサーバ100が提供する匿名化データには、収入や病歴等のSAが含まれる場合がある。SAは、他の属性値と比較して、特に厳重に秘密を保持することが要求される。しかし、SAそのものを削除してしまうと、後にSAの提供を求められた場合に、提供済みのデータとの連結ができなくなる。
The anonymization data provided by the
[全体構成]
以下の実施例においては、再連結可能なSAの漏洩を防ぐ構成について説明する。本実施例の全体構成について、図1を用いて説明する。本実施例においては、DPサーバ100は、SAを削除せずに暗号化して保持する。
[overall structure]
In the following embodiment, a configuration for preventing releasable SA leakage will be described. The overall configuration of this embodiment will be described with reference to FIG. In this embodiment, the
図1の符号1001に示すように、データ利用者端末500からID3を含むSAの追加提供のリクエストを受けたPFサーバ300は、リクエストに含まれるID3をID2に変換し、DPサーバ100にSAの復号をリクエストする。なお、当該リクエストは、対象となる匿名化データに付与されたID3全てを含むものに限られず、一部のID3だけを含むものであってもよい。
As indicated by
リクエストをうけたDPサーバ100は、ID2をID1に変換し、ID1に対応するSAを復号して、ID2とともにPFサーバ300に送信する。PFサーバ300は、受信した復号済みSAを、ID3とともにデータ利用者端末500に送信する。
Upon receiving the request, the
次に、本実施例において実装されるシステムの機能構成について、図2を用いて説明する。本実施例におけるシステムも、実施例1におけるシステムと同様に、DPサーバ100と、PFサーバ300と、データ利用者端末500とを有し、それぞれが実施例1における各コンピュータと同様の機能構成を有する。以下において、実施例1と同様の構成を有する機能ブロックについては、詳細な説明を省略する。
Next, the functional configuration of the system implemented in the present embodiment will be described with reference to FIG. Similarly to the system in the first embodiment, the system in the present embodiment also includes the
[DPサーバの機能構成]
まず、本実施例におけるDPサーバ100の機能構成のうち、実施例1における機能構成と異なる点について説明する。本実施例において、DPサーバ100のID管理DB123に記憶される情報の一例を、図11を用いて説明する。図11は、実施例2におけるID管理DBに記憶される情報の一例を示す図である。図11の符号1101に示すように、本実施例におけるID管理DB123は、図5に示す「ID1」、「ID2」、「属性1性別(QID)」及び「属性2年代(QID)」の各情報に加えて、「属性n年収(CSA)」をさらに含む。なお、「属性n年収(CSA)」は、「属性n年収(SA)」を暗号化した属性値である。例えば、「属性n年収(CSA)」の「qrq242q34」のレコードは、図4に示す「属性n年収(SA)」が「500万円台」のレコードを暗号化した属性値であることを示す。
[Functional configuration of DP server]
First, differences in the functional configuration of the
なお、SA単体で暗号化するのではなく、SAと他の属性値とを合わせて暗号化した属性値を「属性n年収(CSA)」として記憶するような構成であってもよい。例えば、SAである「年収」と、他の属性値である「年代」とを合わせて暗号化するような構成が考えられる。この場合、SAが同じ「500万円台」であっても、「40−50代」と「30代」とでは、暗号化された属性値が異なることになる。なお、暗号処理部133がSAを暗号化する際に、属性値ごとに暗号鍵を変更するような構成であってもよい。
Instead of encrypting the SA alone, the configuration may be such that the attribute value encrypted by combining the SA and other attribute values is stored as “attribute n annual income (CSA)”. For example, a configuration is conceivable in which the “annual income” that is SA and the “age” that is another attribute value are encrypted together. In this case, even if the SA is in the “5 million yen range”, the encrypted attribute values are different between “40-50s” and “30s”. Note that the
図2の説明に戻って、本実施例におけるDPサーバ100の提供情報DB124においては、図11に示す情報のうち、「ID1」を削除した情報が記憶される。すなわち、提供情報DB124には、「ID2」と、「属性1性別(QID)」と、「属性2年代(QID)」と、「属性n年収(CSA)」とが対応付けられて記憶される。この場合において、「属性n年収(CSA)」は暗号化されているため、PFサーバ300やデータ利用者端末500において年収を把握することはできない。
Returning to the description of FIG. 2, in the
本実施例における暗号処理部133は、匿名化情報DB121からSA、又はSA及びその他の属性値を読み出して暗号化し、ID管理DB123に記憶する。暗号処理部133は、例えば、「属性n年収(SA)」と「属性2年代(QID)」とを読み出して暗号化し、「属性n年収(CSA)」としてID管理DB123に記憶する。また、暗号処理部133は、PFサーバ300からリクエストを受けた場合に、「属性n年収(CSA)」を復号する処理を行う。
The
[PFサーバの機能構成]
次に、本実施例におけるPFサーバ300の機能構成のうち、実施例1における機能構成と異なる点について説明する。公開情報DB324は、DPサーバ100の提供情報DB124に記憶される情報のうち、「ID2」を「ID3」に変換した情報が記憶される。すなわち、公開情報DB324には、「ID3」と、「属性1性別(QID)」と、「属性2年代(QID)」と、「属性n年収(CSA)」とが対応付けられて記憶される。
[Functional configuration of PF server]
Next, differences in the functional configuration of the
本実施例における送受信部335は、データ利用者端末500に、「属性n年収(CSA)」を含むデータを送信し、データ利用者端末500から、SA開示のリクエストを受信する。具体的には、送受信部335は、データ利用者端末500から、開示を希望するSAの項目と、開示を希望するレコードのID3を受信する。リクエストを受信した送受信部335は、DPサーバ100に、ID3に対応するID2を含むリクエストを送信する。
The transmission /
ここで、データ利用者端末500から受信するリクエストについて詳細に説明する。「属性n年収(CSA)」を受信したデータ利用者端末500において、暗号化されたCSAから元データである「属性n年収(SA)」を復号することはできない。しかし、データ利用者端末500において、「属性n年収(CSA)」の各属性値に該当する個人が、それぞれ何人いるかを集計することは可能であるため、データ利用者端末500の利用者は、例えば当該集計結果に基づいて復号を要求するCSAを特定する。
Here, the request received from the
匿名化データの利用を認めるか否かを判断する上で、匿名化データのどの属性値についても、該当する個人が少なくともk人以上いるか否かという条件がある。かかる条件を満たす人数を「k−匿名レベル」といい、匿名化データの利用を認める条件として、例えばk−匿名レベル「10」といえば、匿名化データのどの属性値についても、該当する個人が10人以上いなければならないことを示す。 In determining whether or not to allow the use of anonymized data, there is a condition whether or not there are at least k corresponding individuals for any attribute value of anonymized data. The number of persons satisfying such conditions is referred to as “k-anonymity level”. As a condition for permitting the use of anonymized data, for example, k-anonymity level “10”, for any attribute value of anonymized data, Indicates that there must be at least 10 people.
データ利用者端末500の利用者は、「属性n年収(CSA)」の各属性値のうち、例えばk−匿名レベル「10」を満たす属性値について、SA開示のリクエストを送信する。図12は、実施例2におけるk−匿名レベルの判定について説明する図である。図12は、CSAの各属性値に該当するレコードが何件あるかを示す。図12の符号1201に示すように、例えばCSAの属性値が「qrq242q34」であるレコードは260件存在し、またCSAの属性値が「y464w34yj」であるレコードは5件存在する。
The user of the
図12において、「属性n元データ」の欄は、CSAの各属性値に対応する、暗号化前のSAの元データを示す。例えば、CSAの属性値が「qrq242q34」であるレコードは、SAの属性値が「500万円台」であったレコードを暗号化したものであることを示す。なお、図12において、「属性n元データ」の欄は、説明のために便宜的に記載されたものであり、PFサーバ300又はデータ利用者端末500においてその属性値を把握することはできない。
In FIG. 12, the column “attribute n original data” indicates the original data of the SA before encryption corresponding to each attribute value of the CSA. For example, a record whose CSA attribute value is “qrq242q34” indicates that a record whose SA attribute value is “5 million yen level” is encrypted. In FIG. 12, the column “attribute n original data” is described for convenience of explanation, and the
データ利用者端末500の利用者は、例えば、図12の符号1201に示すように、「qrq242q34」が何の属性値を暗号化したものかがわからなくとも、復号した当該属性値を含む匿名化データが、k−匿名レベル「10」を満たすことを特定できる。一方、図12の符号1201に示す「y464w34yj」のレコードは5件しかないため、データ利用者端末500の利用者は、復号した当該属性値を含む匿名化データが、k−匿名レベル「10」を満たさないことを特定できる。
For example, as shown by
以上の特定の結果、データ利用者端末500は、例えばk−匿名レベル「10」に関する条件を満たす属性値である「qrq242q34」及び「53yt5ytrh1」のいずれかに該当するID3を指定して、SA開示のリクエストを送信する。
As a result of the above specific, the
上で述べたようなk−匿名レベルに基づく判定の結果、図13に示すような復号されたSAを含むデータが得られる。図13は、実施例2における復号されたSAを含むデータの一例を示す図である。図13に示すように、レコード数が「260」である属性値、及びレコード数が「110」である属性値については、CSAが部分的に復号され、暗号化前のSAである年収「500万円台」及び「600万円台」が記憶される。 As a result of the determination based on the k-anonymity level as described above, data including the decrypted SA as shown in FIG. 13 is obtained. FIG. 13 is a diagram illustrating an example of data including the decoded SA in the second embodiment. As shown in FIG. 13, for the attribute value with the number of records “260” and the attribute value with the number of records “110”, the CSA is partially decrypted and the annual income “500” which is the SA before encryption. "10,000 yen" and "6 million yen" are stored.
一方、図12においてレコード数が「1」及び「5」である各属性値については、当該属性値を復号した匿名化データがk−匿名レベル「10」を満たさなくなるため、CSAは復号されず、図13において、年収及びその他の属性値「不明」となっている。なお、図13に示す例においては、レコード数が「1」である各属性値と、レコード数が「5」である各属性値とを集約して、レコード数が「6」である属性値として表示している。 On the other hand, for each attribute value having the number of records “1” and “5” in FIG. 12, the anonymized data obtained by decrypting the attribute value does not satisfy the k-anonymity level “10”, so the CSA is not decrypted. In FIG. 13, the annual income and other attribute values are “unknown”. In the example shown in FIG. 13, the attribute values with the record number “1” and the attribute values with the record number “5” are aggregated to obtain the attribute value with the record number “6”. It is displayed as.
[処理の流れ]
次に、本実施例における処理の流れについて、図9及び図14を用いて説明する。なお、実施例1と同様に、各ステップにおいて実行された処理の内容については、適宜操作ログDB125又は操作ログDB325に記録される。
[Process flow]
Next, the flow of processing in this embodiment will be described with reference to FIGS. Similar to the first embodiment, the contents of the processing executed in each step are appropriately recorded in the
まず、暗号化処理においては、図9のステップS121及びS131において、ID生成部131及び暗号処理部133は、実施例1に示されるようにSAを削除するのではなく、SAを暗号化して提供情報DB124に記憶する。それ以外の処理については実施例1と同様であるので、詳細な説明は省略する。なお、SA以外のデータの更新又は追加に関する処理については、実施例1における図10に示す処理と同様であるので、詳細な説明は省略する。
First, in the encryption process, in steps S121 and S131 in FIG. 9, the
次に、データ利用者からSA開示のリクエストがあった場合の処理について説明する。図14は、実施例2における復号処理の流れの一例を示すフローチャートである。まず、PFサーバ300は、データ利用者端末500から、対象とするSAの種別、及び対象とするID3を含むSA開示のリクエストを受信する(ステップS301)。
Next, processing when a data user requests SA disclosure will be described. FIG. 14 is a flowchart illustrating an exemplary flow of a decoding process according to the second embodiment. First, the
リクエストを受信したPFサーバ300の送受信部335は、当該リクエストがデータ利用者とプラットフォームとの契約等の条件を満たすかを判定する(ステップS303)。送受信部335は、例えば、暗号化されたSAに含まれるレコードの件数が、契約等で定められたk−匿名レベルを満たすか否かを判定する。条件を満たさない場合(ステップS303:No)、処理を終了する。
The transmission /
一方、当該リクエストが条件を満たす場合(ステップS303:Yes)、送受信部335は、ID管理DB323を参照してID3に対応するID2を取得する(ステップS305)。その後、送受信部335は、DPサーバ100に、ID2を含むSA復号のリクエストを送信する(ステップS311)。その際、送受信部335は、例えば、当該リクエストがk−匿名レベル等の条件を満たすことをDPサーバ100に通知する。なお、ID管理DB323に記憶される第2のID対照情報が暗号化されている場合、例えば図10のステップS231乃至S251に示すような処理を行い、第2のID対照情報を復号する。
On the other hand, when the request satisfies the condition (step S303: Yes), the transmission /
DPサーバ100の送受信部135は、SA復号のリクエストを受信すると(ステップS321)、当該リクエストがプラットフォームとデータ提供者との契約等の条件を満たすかを判定する(ステップS323)。条件を満たさない場合(ステップS323:No)、送受信部135は、PFサーバ300に処理不能を通知し(ステップS325)、処理を終了する。
When receiving the SA decryption request (step S321), the transmission /
一方、当該リクエストが条件を満たす場合(ステップS323:Yes)、暗号処理部133は、ID管理DB123を参照して、受信したID2に対応するID1を取得する(ステップS331)。なお、ID管理DB123に記憶される第1のID対照情報が暗号化されている場合、例えば図10のステップS231乃至S251に示すような処理を行い、第1のID対照情報を復号する。
On the other hand, when the request satisfies the condition (step S323: Yes), the
次に、暗号処理部133は、提供情報DB124を参照し、ID1に対応するCSAを復号する(ステップS333)。そして、送受信部135は、復号されたSAと、受信したID2とを対応付けて、PFサーバ300に送信する(ステップS335)。
Next, the
PFサーバ300の送受信部335が、ID2と、復号されたSAとを受信すると(ステップS341)、暗号処理部333は、ID管理DB323を参照してID2をID3に変換する(ステップS343)。次に、送受信部335は、復号されたSAとID3とを対応付けたデータを、データ利用者端末500に送信する(ステップS345)。
When the transmission /
以上説明したような処理により、SAを再連結できる匿名化データの提供において、SAの漏洩を防ぐことができる。また、暗号化されたCSAに基づいて、SAの各属性値に該当するレコード数を特定できるため、k−匿名レベルの設定に応じたSAの開示が可能となる。 Through the processing described above, it is possible to prevent SA leakage in providing anonymized data that can reconnect SAs. Moreover, since the number of records corresponding to each attribute value of SA can be specified based on the encrypted CSA, SA can be disclosed according to the setting of k-anonymity level.
なお、暗号処理部133がSAを暗号化する際の暗号鍵を属性値ごとに変更するような構成においては、DPサーバ100がPFサーバ300に対して特定の属性値に対応する暗号鍵を提供するような構成であってもよい。PFサーバ300又はデータ利用者端末500が、提供された暗号鍵を用いてCSAを復号するような構成とすることにより、他のSAが漏洩することなく特定のSAを復号でき、復号処理を簡略化できる。
In a configuration in which the
また、本実施例においては、SAを可逆的に暗号化し、「属性n年収(CSA)」を復号してSAを取得する構成について説明したが、実施の形態はこれに限られない。例えば、暗号処理部133が、SAを不可逆的に暗号化するような構成であってもよい。不可逆的に暗号化することで、CSAからSAを解読されるリスクをさらに低減しつつ、PFサーバ300又はデータ利用者端末500においてCSAの各属性値の件数をカウントできる。なお、SAを不可逆的に暗号化する場合、DPサーバ100はCSAからSAへの復号ができないため、例えば匿名化情報DB121から該当するID1に対応する元データを読み出して、ID2と対応付けてPFサーバに送信する。
In the present embodiment, the configuration has been described in which the SA is reversibly encrypted and the “attribute n annual income (CSA)” is decrypted to obtain the SA, but the embodiment is not limited thereto. For example, the
なお、本実施例においては、データ利用者端末500が、開示を希望するSAに対応するID3を送信する構成について説明したが、実施の形態はこれに限られない。例えば、データ利用者端末500からリクエストを受信したPFサーバ300が、k−匿名レベル等の条件を満たすID2を特定して、DPサーバ100にリクエストを送信するような構成であってもよい。かかる構成によれば、PFサーバ300が、データ利用者端末500に開示する匿名化データを、k−匿名レベル等の条件に基づいてコントロールできる。
In the present embodiment, the configuration in which the
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。例えば、図9、図10及び図14に示す各処理は、上記の順番に限定されるものではなく、処理内容を矛盾させない範囲において、同時に実施してもよく、順序を入れ替えて実施してもよい。 Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above. For example, the processes shown in FIG. 9, FIG. 10 and FIG. 14 are not limited to the above order, and may be performed at the same time as long as the processing contents do not contradict each other. Good.
また、本実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともできる。あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 In addition, among the processes described in the present embodiment, all or part of the processes described as being automatically performed can be manually performed. Alternatively, all or part of the processing described as being performed manually can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.
また、上で述べた各実施例においては、DPサーバ100とPFサーバ300の2者による二重暗号化によって情報の機密性を高める手段を採っているが、実際には2者による暗号化は、途中の暗号が傍受されることによって強度が減少することが知られている。例えば、何者かが途中の暗号と平文とを取得した場合、Meet in the Middle Attack(中間一致攻撃)等により暗号鍵を特定できるおそれがあることが知られている。そのため、安全性向上のために、2者以外にも、機密を守ることが出来る第三者機関や会社内における独立したセキュリティ部門などを含めた3者以上により暗号化するような構成であってもよい。
In each of the above-described embodiments, the
上で述べた各実施例においては、個人情報に基づいて生成された匿名化データについて実施する例として説明したが、適用範囲はこれに限られない。例えば、企業等の法人に関する情報など、当該情報に該当する対象を特定されることを抑制したいその他の情報について各実施例を実施してもよい。 In each Example mentioned above, although demonstrated as an example implemented about the anonymization data produced | generated based on personal information, an application range is not restricted to this. For example, you may implement each Example about the other information which wants to suppress specifying the object applicable to the said information, such as information regarding corporations, such as a company.
[システム]
また、図示した装置の各構成は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、任意の単位で分散または統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[system]
Further, each configuration of the illustrated apparatus does not necessarily need to be physically configured as illustrated. That is, it can be configured to be distributed or integrated in arbitrary units. Furthermore, all or a part of each processing function performed in each device may be realized by a CPU and a program that is analyzed and executed by the CPU, or may be realized as hardware by wired logic.
更に、各装置で行われる各種処理機能は、CPU(又はMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部又は任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(又はMPU、MCU等のマイクロ・コンピュータ)で解析実行するプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしてもよい。 Furthermore, various processing functions performed in each device may be executed entirely or arbitrarily on a CPU (or a microcomputer such as an MPU or MCU (Micro Controller Unit)). Various processing functions may be executed entirely or arbitrarily on a program that is analyzed and executed by a CPU (or a microcomputer such as an MPU or MCU) or hardware based on wired logic. .
上記DPサーバ100、PFサーバ300、及びデータ利用者端末500は、例えば、図15に示すコンピュータ2000のようなハードウェア構成により実現することができる。図15は、ハードウェア構成の一例を示す図である。図15に示すように、コンピュータ2000は、プロセッサ2001と、メモリ2002と、IF2003を有する。
The
プロセッサ2001の一例としては、CPU、DSP(Digital Signal Processor)、FPGA等が挙げられる。また、メモリ2002の一例としては、SDRAM(Synchronous Dynamic Random Access Memory)等のRAM、ROM(Read Only Memory)、フラッシュメモリ等が挙げられる。
Examples of the
そして、上記DPサーバ100、PFサーバ300、及びデータ利用者端末500で行われる各種処理機能は、不揮発性記憶媒体などの各種メモリに格納されたプログラムを制御装置が備えるプロセッサで実行することによって実現してもよい。すなわち、ID生成部131及び331、暗号処理部133及び333、並びに送受信部135及び335によって実行される各処理に対応するプログラムがメモリ2002に記録され、各プログラムがプロセッサ2001で実行されてもよい。
Various processing functions performed in the
100 データ提供者サーバ
300 プラットフォームサーバ
500 データ利用者端末
120、320 記憶部
121 匿名化情報DB
123、323 ID管理DB
124 提供情報DB
324 公開情報DB
125、325 操作ログDB
130、330 制御部
131、331 ID生成部
133、333 暗号処理部
135、335 送受信部
DESCRIPTION OF
123, 323 ID management DB
124 Provided information DB
324 Public Information DB
125, 325 Operation log DB
130, 330
Claims (8)
前記第1の情報処理装置は、
個人情報が匿名化された匿名化データに付与される第1の識別子に対して、第2の識別子を生成する第1生成部と、
前記匿名化データと前記第2の識別子とを対応付けた第1のデータを生成する第2生成部と
を有し、
前記第2の情報処理装置は、
前記第1の情報処理装置から取得した前記第1のデータに含まれる前記第2の識別子に対して、第3の識別子を生成する生成部と、
前記匿名化データと前記第3の識別子とを対応付けた第2のデータをデータ利用者に提供する提供部と
を有することを特徴とする情報処理システム。 In an information processing system having a first information processing device that provides anonymized data and a second information processing device that receives provision of the anonymized data,
The first information processing apparatus includes:
A first generator for generating a second identifier for the first identifier assigned to the anonymized data in which the personal information is anonymized;
A second generation unit that generates first data in which the anonymization data and the second identifier are associated with each other;
The second information processing apparatus
A generating unit that generates a third identifier for the second identifier included in the first data acquired from the first information processing apparatus;
An information processing system comprising: a providing unit that provides the data user with second data in which the anonymized data is associated with the third identifier.
ことを特徴とする請求項1に記載の情報処理システム。 From the second information processing apparatus in which the second generation unit of the first information processing apparatus reversibly encrypts the anonymized data or a part of the anonymized data, and acquires the encrypted data. When the notification that the encrypted data satisfies a predetermined k-anonymity level is received, an encryption key for decrypting the encrypted data is provided to the second information processing apparatus. The information processing system according to claim 1.
前記第1の情報処理装置の第1生成部が、暗号化された前記対照情報をさらに再暗号化することを特徴とする請求項1乃至5のいずれか1つに記載の情報処理システム。 The generation unit of the second information processing apparatus encrypts contrast information indicating a correspondence relationship between the second identifier and the third identifier,
The information processing system according to claim 1, wherein the first generation unit of the first information processing apparatus further re-encrypts the encrypted comparison information.
前記第1の情報処理装置が、
個人情報が匿名化された匿名化データに付与される第1の識別子に対して、第2の識別子を生成し、
前記匿名化データと前記第2の識別子とを対応付けた第1のデータを生成する処理を行い、
前記第2の情報処理装置が、
前記第1のデータを取得し、
取得した前記第1のデータに含まれる前記第2の識別子に対して、第3の識別子を生成し、
前記匿名化データと前記第3の識別子とを対応付けた第2のデータをデータ利用者に提供する
処理を行うことを特徴とする情報処理方法。 An information processing method executed by a first information processing device that provides anonymized data and a second information processing device that receives provision of the anonymized data,
The first information processing apparatus is
For the first identifier assigned to the anonymized data in which the personal information is anonymized, a second identifier is generated,
Performing a process of generating first data in which the anonymized data and the second identifier are associated with each other;
The second information processing apparatus is
Obtaining the first data;
Generating a third identifier for the second identifier included in the acquired first data;
The information processing method characterized by performing the process which provides the data user with the 2nd data which matched the said anonymization data and the said 3rd identifier.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015152837A JP6558126B2 (en) | 2015-07-31 | 2015-07-31 | Information processing system and information processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015152837A JP6558126B2 (en) | 2015-07-31 | 2015-07-31 | Information processing system and information processing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017033305A JP2017033305A (en) | 2017-02-09 |
JP6558126B2 true JP6558126B2 (en) | 2019-08-14 |
Family
ID=57989445
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015152837A Active JP6558126B2 (en) | 2015-07-31 | 2015-07-31 | Information processing system and information processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6558126B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7105034B2 (en) * | 2017-03-24 | 2022-07-22 | 富士通株式会社 | Data transmission processing program, data transmission processing device, and data transmission processing method |
JP6979562B2 (en) * | 2017-03-31 | 2021-12-15 | パナソニックIpマネジメント株式会社 | Energy database system |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006293577A (en) * | 2005-04-08 | 2006-10-26 | Hitachi Ltd | Data entry method |
EP2229650A1 (en) * | 2007-12-28 | 2010-09-22 | Koninklijke Philips Electronics N.V. | Information interchange system and apparatus |
JP2010211590A (en) * | 2009-03-11 | 2010-09-24 | Kansai Electric Power Co Inc:The | Data conversion program, data converter and data conversion method |
JP2010237811A (en) * | 2009-03-30 | 2010-10-21 | Nec Corp | Personal information management system and personal information management method |
-
2015
- 2015-07-31 JP JP2015152837A patent/JP6558126B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017033305A (en) | 2017-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3298532B1 (en) | Encryption and decryption system and method | |
CN111539813B (en) | Method, device, equipment and system for backtracking processing of business behaviors | |
JP5639660B2 (en) | Confirmable trust for data through the wrapper complex | |
US9767299B2 (en) | Secure cloud data sharing | |
US20160292453A1 (en) | Health care information system and method for securely storing and controlling access to health care data | |
US20150026462A1 (en) | Method and system for access-controlled decryption in big data stores | |
US20130117802A1 (en) | Authorization-based redaction of data | |
CN108885672B (en) | Access management method, information processing device, program, and recording medium | |
US11509709B1 (en) | Providing access to encrypted insights using anonymous insight records | |
EP4068130A1 (en) | Data sharing system, data sharing method, and data sharing program | |
JP2020519097A (en) | Creating a matching cohort and exchanging protected data using blockchain | |
Zala et al. | PRMS: design and development of patients’ E-healthcare records management system for privacy preservation in third party cloud platforms | |
CN111132150A (en) | Method and device for protecting data, storage medium and electronic equipment | |
US20220200791A1 (en) | Method for encrypting and storing computer files and associated encryption and storage device | |
US20150143107A1 (en) | Data security tools for shared data | |
US10216940B2 (en) | Systems, methods, apparatuses, and computer program products for truncated, encrypted searching of encrypted identifiers | |
WO2019058952A1 (en) | Medical data search system, medical data search method, and medical data search program | |
Zhou et al. | A secure role-based cloud storage system for encrypted patient-centric health records | |
WO2018184441A1 (en) | Method and device for processing user information | |
Lee et al. | Privacy Preservation in Patient Information Exchange Systems Based on Blockchain: System Design Study | |
JP6558126B2 (en) | Information processing system and information processing method | |
Ikuomola et al. | Securing patient privacy in e-health cloud using homomorphic encryption and access control | |
CN116663047A (en) | Fine-granularity safe data sharing method for privacy protection of patient health record | |
TW202301160A (en) | Private joining, analysis and sharing of information located on a plurality of information stores | |
Sri et al. | A Framework for Uncertain Cloud Data Security and Recovery Based on Hybrid Multi-User Medical Decision Learning Patterns |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180720 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20190118 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190124 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190214 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190531 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190618 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190701 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6558126 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |