JP6584861B2 - プライバシ保護装置、方法及びプログラム - Google Patents
プライバシ保護装置、方法及びプログラム Download PDFInfo
- Publication number
- JP6584861B2 JP6584861B2 JP2015161720A JP2015161720A JP6584861B2 JP 6584861 B2 JP6584861 B2 JP 6584861B2 JP 2015161720 A JP2015161720 A JP 2015161720A JP 2015161720 A JP2015161720 A JP 2015161720A JP 6584861 B2 JP6584861 B2 JP 6584861B2
- Authority
- JP
- Japan
- Prior art keywords
- records
- anonymization
- anonymity
- privacy protection
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、プライバシ保護装置、方法及びプログラムに関する。
従来、個人から集められたデータは統計処理され、その結果得られた情報が活用されている。例えば、病気と、年代、性別、地域、人種等の情報とを含む大量のデータは統計処理されて、病気の傾向分析や予防対策に用いられている。
このようなデータを提供する場合には、提供者は、プライバシを慎重に保護し、個々のデータの所有者が特定されないように、データの変形処理を行う必要がある。そのため、今までにも、プライバシを保護するためのデータの変形処理に関する技術が多く開示されている。例えば、データの一部を一般化又はあいまい化することにより、データを組み合わせても個人が特定されないようにするk−匿名化の技術が開示されている(特許文献1、非特許文献1参照)。
また、匿名化技術を用いて、1つの元データからk−匿名性を満たす複数の匿名化データを生成することが可能である。提供者は、この特性を利用して、匿名化データを提供する際に、利用者ごとに異なる匿名化データを提供することで、匿名化データの漏洩元を特定することも可能である。
また、匿名化技術を用いて、1つの元データからk−匿名性を満たす複数の匿名化データを生成することが可能である。提供者は、この特性を利用して、匿名化データを提供する際に、利用者ごとに異なる匿名化データを提供することで、匿名化データの漏洩元を特定することも可能である。
B.Fung and K.Wang and P.Yu,"Top−down specialization for information and privacy preservation" Proc of ICDE 2005 pp.205−216
しかしながら、匿名化データ(以降、匿名化データを匿名テーブルといい、元データを元テーブルという。)を取得した攻撃者は、あるユーザ(データ提供者)の属性の一部をについて知識を有している可能性がある。このため、匿名化のレベル(k値)が低いと、攻撃者によりユーザの個人情報が絞り込まれる、又は特定されるリスクがあった。
本発明は、実環境を想定したリスク評価に基づいて、適切な匿名テーブルを生成できるプライバシ保護装置、方法及びプログラムを提供することを目的とする。
本発明に係るプライバシ保護装置は、組み合わせると個人を特定され得る準識別子を含んだ複数の属性からなる複数のレコードで構成されるテーブルを匿名化するプライバシ保護装置であって、前記準識別子の少なくともいずれかについて、属性値を一般化し、匿名テーブルを生成する匿名化処理部と、前記準識別子の全体に対して設定された前提知識量に基づいて、前記レコードごとの匿名性の度合いを算出し、前記テーブルの全レコードにおける前記匿名性の度合いの分布と所定の閾値との関係に基づいて、前記個人を特定されるリスクを評価するリスク評価部と、を備える。
前記前提知識量は、前記準識別子の全体に対する割合で設定されてもよい。
前記匿名性の度合いは、前記前提知識量に基づき特定される前記準識別子の属性値の組み合わせが同一であるレコードの数で示されてもよい。
前記リスク評価部は、前記匿名性の度合いの分布のうち、前記所定の閾値を超える割合が設定されたリスク値に満たない場合に、リスクが高いと判定してもよい。
前記プライバシ保護装置は、前記匿名化処理部による匿名化の前に、前記テーブルから、指定された割合でランダムにレコードを削除する事前処理部を備えてもよい。
本発明に係るプライバシ保護方法は、組み合わせると個人を特定され得る準識別子を含んだ複数の属性からなる複数のレコードで構成されるテーブルを匿名化するプライバシ保護方法であって、当該コンピュータが、前記準識別子の少なくともいずれかについて、属性値を一般化し、匿名テーブルを生成する匿名化処理ステップと、前記準識別子の全体に対して設定された前提知識量に基づいて、前記レコードごとの匿名性の度合いを算出し、前記テーブルの全レコードにおける前記匿名性の度合いの分布と所定の閾値との関係に基づいて、前記個人を特定されるリスクを評価するリスク評価ステップと、を実行する。
本発明に係るプライバシ保護プログラムは、コンピュータに、前記プライバシ保護方法の各ステップを実行させる。
本発明によれば、実環境を想定したリスク評価に基づいて、適切な匿名テーブルを生成できる。
以下、本発明の実施形態の一例について、図を参照しながら説明する。
図1は、本実施形態に係るプライバシ保護装置10の構成を示すブロック図である。
プライバシ保護装置10は、GUI部11と、読込処理部12と、出力処理部13と、木構造データ管理部14と、パラメータ管理部15と、事前処理部16と、匿名化処理部17と、類似度評価部18と、リスク評価部19とを備える。
図1は、本実施形態に係るプライバシ保護装置10の構成を示すブロック図である。
プライバシ保護装置10は、GUI部11と、読込処理部12と、出力処理部13と、木構造データ管理部14と、パラメータ管理部15と、事前処理部16と、匿名化処理部17と、類似度評価部18と、リスク評価部19とを備える。
プライバシ保護装置10が匿名化を行う元テーブルは、複数の属性項目からなり、属性項目のうち組み合わせると個人を特定することが可能な準識別子を含む複数のレコードから構成される。
例えば、レコードは、匿名化のための加工をしない重要情報(sensitive information)と、準識別子(quasi−identifier)と、匿名化のために削除すべき情報とを含む(後述する図4参照)。
例えば、レコードは、匿名化のための加工をしない重要情報(sensitive information)と、準識別子(quasi−identifier)と、匿名化のために削除すべき情報とを含む(後述する図4参照)。
GUI部11は、ユーザ(匿名テーブルの提供者)の操作入力を受け付け、又はユーザへ情報を出力するためのインタフェースであり、コンピュータにおける各種入出力デバイス、及び制御部(例えば、CPU)から構成される。
読込処理部12は、処理対象のデータ、すなわち元テーブルを記憶部から又は外部インタフェースを介して記憶装置から読み込む。
出力処理部13は、処理後のデータ、すなわち元テーブルを匿名化した匿名テーブルを外部へ出力する。
木構造データ管理部14は、後述の匿名化処理において属性値の一般化又は詳細化を行うために、匿名化処理部17が参照する情報を管理する。
パラメータ管理部15は、後述の各処理において用いられるユーザ設定情報(パラメータ)をGUI部11から受け付けて管理する。
事前処理部16は、同一のテーブルから複数の互いに異なる匿名テーブルを作成するため、及び適切な匿名化処理を効率的に行うため、後述の匿名化処理に先立って事前処理を行う。
匿名化処理部17は、後述の匿名化処理によって、元テーブルの匿名化を行う。
匿名化処理部17は、テーブルが所定の匿名性を有しているか否かを判定する匿名性条件判定部171と、テーブルの属性値を一般化するアルゴリズムを実行する一般化アルゴリズム処理部172と、テーブルの一部のレコードを詳細化する部分匿名化部173と、匿名化されたテーブルの情報量を評価する評価ポイント算出部174とを備える。
匿名化処理部17は、テーブルが所定の匿名性を有しているか否かを判定する匿名性条件判定部171と、テーブルの属性値を一般化するアルゴリズムを実行する一般化アルゴリズム処理部172と、テーブルの一部のレコードを詳細化する部分匿名化部173と、匿名化されたテーブルの情報量を評価する評価ポイント算出部174とを備える。
類似度評価部18は、類似度評価処理により、複数作成された匿名テーブルの相互の類似度を評価し、複数の提供先に対して類似した匿名テーブルを提供しないように制御する。
リスク評価部19は、リスク評価処理により、あるユーザの属性の知識を有する攻撃者がテーブルのレコードを特定するリスクを評価し、リスクの低い匿名テーブルを提供するように制御する。
[匿名テーブルの作成処理の実施例]
次に、上述の各部の機能の詳細と共に、匿名テーブルの作成処理の実施例について説明する。
プライバシ保護装置10は、テーブルの加工のときに、このテーブルを構成する各属性に対して重み(重要度)を設定し、所定の関数を用いて加工したテーブルを評価することで、利用者が求める情報を可能な限り保持すると共に匿名化されたテーブルを生成する。
次に、上述の各部の機能の詳細と共に、匿名テーブルの作成処理の実施例について説明する。
プライバシ保護装置10は、テーブルの加工のときに、このテーブルを構成する各属性に対して重み(重要度)を設定し、所定の関数を用いて加工したテーブルを評価することで、利用者が求める情報を可能な限り保持すると共に匿名化されたテーブルを生成する。
匿名テーブルの作成処理のうち匿名化処理において、プライバシ保護装置10は、トップダウン処理(後述の木構造データに基づいて、属性値の詳細化を行う処理)を実施した後、ボトムアップ処理(後述の木構造データに基づいて、属性値の一般化を行う処理)により逆方向に変形し、さらにトップダウン処理で再度変形する、という処理を繰り返すことにより、評価ポイントが極大となる最適なテーブルを導出する。この匿名化処理では、プライバシ保護装置10は、k−匿名性(k−anonymity)判定に加え、l−多様性(l−diversity)判定又はt−近似性(t−closeness)判定も行う。また、プライバシ保護装置10は、トップダウン処理において評価ポイントの概算を導入し、不要な処理を削減する。また、プライバシ保護装置10は、匿名化処理の後、評価ポイントが最高となったテーブルについて部分匿名化を実施することにより、さらに情報量の多いテーブルを作成する。
なお、評価ポイントについては、2種類の評価関数が用意され、選択制とすることにより異なる特性を持つテーブルの出力が可能である。
なお、評価ポイントについては、2種類の評価関数が用意され、選択制とすることにより異なる特性を持つテーブルの出力が可能である。
図2は、本実施形態に係るプライバシ保護装置10による匿名テーブルの作成処理を示すフローチャートである。
ステップS101において、パラメータ管理部15は、属性の重要度及び評価関数の種類を設定するための初期設定処理を行う。
ステップS102において、事前処理部16は、元テーブルの一部のレコードを削除する事前処理を行う。
ステップS103において、匿名化処理部17は、評価ポイントに基づいてトップダウン処理及びボトムアップ処理を繰り返す匿名化処理を行う。
ステップS104において、類似度評価部18は、作成した匿名テーブル同士の類似度を評価するための類似度評価処理を行う。
ステップS105において、リスク評価部19は、作成した匿名テーブルを提供することによるリスクを評価するためのリスク評価処理を行う。
以下、一般化又は詳細化のための木構造データ、及び各ステップの処理の詳細を説明する。
[一般化又は詳細化のための木構造データ]
属性値の一般化又は詳細化のために木構造データ管理部14において管理される木構造データについて説明する。
図3は、本実施形態に係るプライバシ保護装置10による属性値の階層化の例を示す図である。
図3の例では、年齢の匿名化レベルの階層がレベル0(L0)からレベル3(L3)まで設定されており、それぞれのレベルでの属性値の取り得る値を示している。例えば、年齢が「6」歳というレベル0のデータが1レベルだけ一般化されると、年齢が「6〜9」に匿名化され、さらに1レベルだけ一般化されると、年齢が「少年」に匿名化される。
なお、このような数値データに関しては、一定の値ごとに階層化できるため、木構造データは必ずしも必要ではない。
属性値の一般化又は詳細化のために木構造データ管理部14において管理される木構造データについて説明する。
図3は、本実施形態に係るプライバシ保護装置10による属性値の階層化の例を示す図である。
図3の例では、年齢の匿名化レベルの階層がレベル0(L0)からレベル3(L3)まで設定されており、それぞれのレベルでの属性値の取り得る値を示している。例えば、年齢が「6」歳というレベル0のデータが1レベルだけ一般化されると、年齢が「6〜9」に匿名化され、さらに1レベルだけ一般化されると、年齢が「少年」に匿名化される。
なお、このような数値データに関しては、一定の値ごとに階層化できるため、木構造データは必ずしも必要ではない。
属性値が数値データではない場合には、属性値の持つ意味の包含関係によって構築された木構造が、属性値の一般化又は詳細化のための上位又は下位ノード探索のために必要である。例えば、「Country,State,City,・・・」といった属性値の上下関係によって構成された階層構造を事前に作成しておく必要がある。すなわち、各属性に対してこのような木構造データを、提供者が設定可能とする。
なお、木構造データの構成に関しては、既存のソフトウェアを使用してもよい。また、木構造データは、各レベルのノード数を情報として含んでもよい。
なお、木構造データの構成に関しては、既存のソフトウェアを使用してもよい。また、木構造データは、各レベルのノード数を情報として含んでもよい。
(1)初期設定処理
初期設定処理は、以下の(1−1)「重要度の設定処理」、及び(1−2)「評価ポイントの設定処理」を含む。
初期設定処理は、以下の(1−1)「重要度の設定処理」、及び(1−2)「評価ポイントの設定処理」を含む。
(1−1)重要度の設定処理
匿名テーブルの作成は、利用者により要求された各属性の重要度(重み付け)に基づいて行われる。重要度は、属性の優先順位を表し、利用者が最も重視する属性を最上位とする。提供者は、各優先順位に対して、重要度ポイント(数値)を設定する。この値は、一般化を行う属性を選択する際に使用される。
匿名テーブルの作成は、利用者により要求された各属性の重要度(重み付け)に基づいて行われる。重要度は、属性の優先順位を表し、利用者が最も重視する属性を最上位とする。提供者は、各優先順位に対して、重要度ポイント(数値)を設定する。この値は、一般化を行う属性を選択する際に使用される。
一般化処理においては、優先順位が最下位の属性から順に一般化を行い、k−匿名性を満たしたレベルで終了する。したがって、重要度が最上位の属性ほど、元の情報が保持される確率が高くなる。提供者の入力により、プライバシ保護装置10は、各属性に対して重要情報、準識別子、又は削除すべき情報のうちどの情報であるかを設定すると共に、準識別子に対して優先順位としての重要度ポイントを設定する。なお、重要情報に指定された属性の値の変更(一般化)は行われない。また、削除すべき情報に指定された情報は、一般化の際に自動的に削除される。
図4は、本実施形態に係るプライバシ保護装置10により匿名化される前の元テーブルの例を示す図である。
元テーブルは、重要情報と準識別子と削除すべき情報とのいずれかに設定された複数の属性項目を含む複数のレコードから構成される。準識別子のそれぞれには、重要度が設定され、また、一般化の限界を示すレベルが設定される。
元テーブルは、重要情報と準識別子と削除すべき情報とのいずれかに設定された複数の属性項目を含む複数のレコードから構成される。準識別子のそれぞれには、重要度が設定され、また、一般化の限界を示すレベルが設定される。
(1−2)評価関数の設定処理
プライバシ保護装置10は、評価ポイントを算出するための評価関数として、以下の2種類の関数(数式1及び数式2)を選択的に用いる。
プライバシ保護装置10は、評価ポイントを算出するための評価関数として、以下の2種類の関数(数式1及び数式2)を選択的に用いる。
プライバシ保護装置10は、上記の2つの評価関数を選択して設定する方式とすることにより、以下のような異なる特性を持つ匿名テーブルを、利用者の要求に応じて選択的に出力できる。
数式1の評価関数は、匿名化による1つの属性項目の属性値の種類数の変化と重要度とに依存するので、プライバシ保護装置10は、ある属性に偏った匿名化が可能である。
数式2の評価関数は、準識別子の全ての項目における属性値の種類数に依存するので、プライバシ保護装置10は、数式1の評価関数に比べて、属性に偏りなく匿名化が可能である。
数式1の評価関数は、匿名化による1つの属性項目の属性値の種類数の変化と重要度とに依存するので、プライバシ保護装置10は、ある属性に偏った匿名化が可能である。
数式2の評価関数は、準識別子の全ての項目における属性値の種類数に依存するので、プライバシ保護装置10は、数式1の評価関数に比べて、属性に偏りなく匿名化が可能である。
さらに、プライバシ保護装置10は、重要度νを、単なる順序の代わりに、エントロピー(数式3)とすることで、さらに特性の異なるテーブルを導出することも可能である。
(2)事前処理
事前処理部16は、匿名化処理に先立って、事前処理により元テーブルの一部のレコードを削除する。事前処理は、以下の(2−1)「ランダム削除処理」及び(2−2)「事前サンプリング処理」を含む。
事前処理部16は、匿名化処理に先立って、事前処理により元テーブルの一部のレコードを削除する。事前処理は、以下の(2−1)「ランダム削除処理」及び(2−2)「事前サンプリング処理」を含む。
(2−1)ランダム削除処理
事前処理部16は、匿名化対象の元テーブルに対して、設定値に従いいくつかのレコードを削除することにより、匿名化処理への複数の入力データを作成する。
設定値は、削除するレコードの割合を表し、例えば0.1であれば、事前処理部16は、全体の10%のレコードをランダムに削除する。
事前処理部16は、匿名化対象の元テーブルに対して、設定値に従いいくつかのレコードを削除することにより、匿名化処理への複数の入力データを作成する。
設定値は、削除するレコードの割合を表し、例えば0.1であれば、事前処理部16は、全体の10%のレコードをランダムに削除する。
図5は、本実施形態に係るランダム削除処理を繰り返すことにより複数の入力データを作成する処理を示すフローチャートである。
ステップS201において、事前処理部16は、設定値に従って元テーブルから、所定の割合のレコードの削除を行う。
ステップS202において、事前処理部16は、レコードを削除した後のテーブルが他の削除後のテーブルと一致しているか否かを判定する。この判定がYESの場合、処理はステップS204に移り、判定がNOの場合、処理はステップS203に移る。
ステップS203において、事前処理部16は、レコードを削除した後のテーブルを、匿名化対象のデータとして保存する。
ステップS204において、事前処理部16は、指定された必要数のテーブルを作成、すなわちステップS203で保存したか否かを判定する。この判定がYESの場合、処理は終了し、判定がNOの場合、処理はステップS201に移ってテーブルの作成を繰り返す。
(2−2)事前サンプリング処理
事前処理部16は、ランダム削除処理後のテーブルに対して、準識別子ごとに、所定の段階まで一般化を行った後、全ての準識別子の属性値の組み合わせが一致するレコードを集めたグループを作成し、作成したグループに含まれるレコード数が所定の数未満である場合、これらのグループをランダム削除処理後のテーブルから削除する。
事前処理部16は、ランダム削除処理後のテーブルに対して、準識別子ごとに、所定の段階まで一般化を行った後、全ての準識別子の属性値の組み合わせが一致するレコードを集めたグループを作成し、作成したグループに含まれるレコード数が所定の数未満である場合、これらのグループをランダム削除処理後のテーブルから削除する。
このとき、事前処理部16は、削除対象となったグループに含まれるレコードのうちから、利用者ごとに異なる1又は複数のレコードをランダムに選択し、選択したレコードをランダム削除処理後のテーブルから削除することなく残しておいてもよい。このことにより、利用者ごとに異なる特徴レコードが匿名化対象のテーブルに存在することになる。この利用者ごとに異なる特徴は、匿名テーブルに引き継がれるため、利用者に提供された匿名テーブルが万が一漏洩した場合にも、漏洩元の利用者が特定される。
なお、このように事前サンプリング処理において利用者ごとに異なる複数のテーブルを作成する場合、ランダム削除処理による複数テーブルの作成は省略してもよい。
なお、このように事前サンプリング処理において利用者ごとに異なる複数のテーブルを作成する場合、ランダム削除処理による複数テーブルの作成は省略してもよい。
図6は、本実施形態に係るプライバシ保護装置10による事前サンプリング処理を示すフローチャートである。
ステップS301において、事前処理部16は、テーブルを、匿名化の対象である準識別子でソートし、属性値が全て等しいレコードごとにグループ化する。
ステップS302において、事前処理部16は、グループごとのレコード数をカウントする。
ステップS303において、事前処理部16は、グループごとのレコード数が所定の数以上か否かを判定する。この判定がYESの場合、処理はステップS307に移り、判定がNOの場合、処理はステップS304に移る。
ステップS304において、事前処理部16は、全ての準識別子について上限まで一般化したか否かを判定する。この判定がYESの場合、処理はステップS305に移り、判定がNOの場合、処理はステップS308に移る。
ステップS305において、事前処理部16は、レコード数が所定の数に満たないグループに属するレコードを、一般化を行う前の元のテーブルから削除する。その後、処理は終了する。
ステップS306において、事前処理部16は、優先順位(重要度)が下位の属性から順に、一段階の一般化をする。その後、処理はステップS301に戻る。
(3)匿名化処理
匿名化処理部17は、事前処理を行った元テーブルのそれぞれを加工し、匿名化処理を行う。なお、匿名化処理の前に、事前処理によって元テーブルから十分に大きな数の入力データが生成されているものとする。
匿名化処理部17は、事前処理を行った元テーブルのそれぞれを加工し、匿名化処理を行う。なお、匿名化処理の前に、事前処理によって元テーブルから十分に大きな数の入力データが生成されているものとする。
図7は、本実施形態に係るプライバシ保護装置10による匿名化処理を示すフローチャートである。
ステップS401において、匿名化処理部17は、準識別子と重要情報とを分別するテーブル分割処理を行う。
ステップS402において、匿名化処理部17は、属性ごとに単体で(k+l)−匿名性を満たすように一般化する前処理を行う。
ステップS403において、匿名化処理部17(一般化アルゴリズム処理部172)は、評価ポイント算出部174により算出される評価ポイントに基づいて、いずれかの準識別子の属性値を詳細化するトップダウン処理を行う。このとき、匿名化処理部17は、匿名性条件判定部171による匿名性条件判定処理の結果に応じてトップダウン処理を終了させる。
ステップS404において、匿名化処理部17(一般化アルゴリズム処理部172)は、評価ポイント算出部174により算出される評価ポイントに基づいて、いずれかの準識別子の属性値を一般化するボトムアップ処理を行う。このとき、匿名化処理部17は、匿名性条件判定部171による匿名性条件判定処理の結果に応じてボトムアップ処理を終了させる。
ステップS405において、匿名化処理部17(一般化アルゴリズム処理部172)は、トップダウン処理へ渡すべきボトムアップ候補テーブルが有るか否かを判定する。この判定がYESの場合、処理はステップS403に移り、判定がNOの場合、処理はステップS406に移る。
ステップS406において、匿名化処理部17(部分匿名化部173)は、トップダウン処理又はボトムアップ処理によって出力されたテーブルの一部のレコードに対して、部分匿名化処理を行う。
ステップS407において、匿名化処理部17は、匿名化されたテーブルを成形して出力する匿名テーブル出力処理を行う。
以下、匿名化処理における(3−1)「テーブル分割処理」、(3−2)「前処理」、(3−3)「トップダウン処理」、(3−4)「ボトムアップ処理」、(3−5)「部分匿名化処理」、(3−6)「匿名性条件判定処理」及び(3−7)「匿名テーブル出力処理」について詳述する。
(3−1)テーブル分割処理
匿名化処理部17は、入力されたテーブルの属性ごとに、準識別子か重要情報かを決め、全ての準識別子からなるテーブルと、全ての重要情報からなるテーブルとに分割する。
匿名化処理部17は、入力されたテーブルの属性ごとに、準識別子か重要情報かを決め、全ての準識別子からなるテーブルと、全ての重要情報からなるテーブルとに分割する。
(3−2)前処理
匿名化処理部17は、前処理において、それぞれの属性単体を、単体で(k+l)−匿名性を満たすように一般化する。lは、パラメータとして適宜設定される。なお、匿名化処理部17は、提供者が一般化の限界レベルを設定している属性については、この限界レベルを超えて一般化しない。
また、匿名化処理部17は、属性単体で(k+l)−匿名性を満たすように一般化したレコードが全体としてk−匿名性を満たさなければ、各属性を1レベルだけ、さらに一般化して再度チェックを行う。この場合も、匿名化処理部17は、提供者が設定した限界レベルを超えて一般化はせず、他の属性を一般化することでk−匿名性を達成する。
匿名化処理部17は、前処理において、それぞれの属性単体を、単体で(k+l)−匿名性を満たすように一般化する。lは、パラメータとして適宜設定される。なお、匿名化処理部17は、提供者が一般化の限界レベルを設定している属性については、この限界レベルを超えて一般化しない。
また、匿名化処理部17は、属性単体で(k+l)−匿名性を満たすように一般化したレコードが全体としてk−匿名性を満たさなければ、各属性を1レベルだけ、さらに一般化して再度チェックを行う。この場合も、匿名化処理部17は、提供者が設定した限界レベルを超えて一般化はせず、他の属性を一般化することでk−匿名性を達成する。
(3−3)トップダウン処理
まず、匿名化処理部17は、処理対象のテーブルをソートし、全ての準識別子の属性値が一致するレコードを集めてグループ化を行う。
次に、匿名化処理部17は、利用者又は提供者によって入力された属性の優先順位情報と、匿名性条件判定処理からのフィードバック結果とを基に、詳細化を行う属性を選択する。
具体的には、匿名化処理部17は、各属性に対して、詳細化を行った場合に取り得る属性値の数と、提供者によって入力された優先順位(例えば、重要度が大きい順)情報とから、詳細化による評価ポイントの増加分を概算する。匿名化処理部17は、この概算結果が大きい順に、詳細化の対象とする属性を決定する。
まず、匿名化処理部17は、処理対象のテーブルをソートし、全ての準識別子の属性値が一致するレコードを集めてグループ化を行う。
次に、匿名化処理部17は、利用者又は提供者によって入力された属性の優先順位情報と、匿名性条件判定処理からのフィードバック結果とを基に、詳細化を行う属性を選択する。
具体的には、匿名化処理部17は、各属性に対して、詳細化を行った場合に取り得る属性値の数と、提供者によって入力された優先順位(例えば、重要度が大きい順)情報とから、詳細化による評価ポイントの増加分を概算する。匿名化処理部17は、この概算結果が大きい順に、詳細化の対象とする属性を決定する。
匿名化処理部17は、テーブルの詳細化を行い、匿名性条件判定をする。具体的には、匿名化処理部17は、決定した属性の順番に詳細化(1レベル高い詳細化)を行い、トップダウン候補テーブルを作成する。このとき、匿名化処理部17は、直前の詳細化を行ったトップダウン候補テーブルの評価ポイントに対して、概算した評価ポイントの増加を考慮しても次に行う詳細化が評価ポイントの上で上回れない場合には、残りの属性の詳細化によるトップダウン候補テーブルの作成を行わない。
匿名性条件を満たす場合、匿名化処理部17は、トップダウン候補テーブルについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。匿名化処理部17は、匿名性条件を満たしたトップダウン候補テーブル及び評価ポイントを保存する。
匿名化処理部17は、トップダウン候補テーブルのうち、最も評価ポイントが大きいものを次の処理対象テーブルとして、トップダウン処理を繰り返す。
匿名化処理部17は、トップダウン候補テーブルのうち、最も評価ポイントが大きいものを次の処理対象テーブルとして、トップダウン処理を繰り返す。
匿名性条件を満たさなくなった場合、匿名化処理部17は、匿名性条件を満たさなくなったトップダウン候補テーブルの中から最も評価ポイントが大きいものをボトムアップ処理に受け渡す。
図8は、本実施形態に係るプライバシ保護装置10によるトップダウン処理を示すフローチャートである。
ステップS501において、匿名化処理部17は、評価ポイントの増加分の概算により、詳細化する属性の順番を決定する。
ステップS502において、匿名化処理部17は、1つの属性を処理対象として選択する。
ステップS503において、匿名化処理部17は、直前に選択した属性の詳細化による候補テーブルよりも評価ポイントが上回る可能性があるか否かを判定する。この判定がYESの場合、処理はステップS504に移り、判定がNOの場合、処理はステップS508に移る。
ステップS504において、匿名化処理部17は、選択した属性の詳細化を1段階行い、トップダウン候補テーブルを作成する。
ステップS505において、匿名化処理部17は、作成したトップダウン候補テーブルが匿名性条件(例えば、k−匿名性及びl−多様性)を満たすか否かを判定する。この判定がYESの場合、処理はステップS506に移り、判定がNOの場合、処理はステップS507に移る。
ステップS506において、匿名化処理部17は、候補テーブルの評価ポイントを算出し、トップダウン候補テーブルと共に保存する。
ステップS507において、匿名化処理部17は、全ての準識別子について詳細化を行ったか否かを判定する。この判定がYESの場合、処理はステップS508に移り、判定がNOの場合、処理はステップS502に移る。
ステップS508において、匿名化処理部17は、匿名性条件を満たすトップダウン候補テーブルがあるか否かを判定する。この判定がYESの場合、処理はステップS509に移り、判定がNOの場合、処理はステップS510に移る。
ステップS509において、匿名化処理部17は、算出した評価ポイントが最大のテーブルを抽出する。その後、処理はステップS501に移る。
ステップS510において、匿名化処理部17は、匿名性条件を満たさないトップダウン候補テーブルの中で評価ポイントが最大のテーブルを抽出してボトムアップ処理へ渡す。
(3−4)ボトムアップ処理
まず、匿名化処理部17は、処理対象のテーブルをソートし、全ての準識別子の属性値が一致するレコードを集めてグループ化を行う。
次に、匿名化処理部17は、利用者又は提供者によって入力された属性の優先順位情報と、匿名性条件判定処理からのフィードバック結果とを基に、一般化を行う属性を選択する。
まず、匿名化処理部17は、処理対象のテーブルをソートし、全ての準識別子の属性値が一致するレコードを集めてグループ化を行う。
次に、匿名化処理部17は、利用者又は提供者によって入力された属性の優先順位情報と、匿名性条件判定処理からのフィードバック結果とを基に、一般化を行う属性を選択する。
匿名化処理部17は、テーブルの一般化を行い、匿名性条件判定をする。具体的には、匿名化処理部17は、決定した属性の順番に一般化(1レベル高い一般化)を行い、ボトムアップ候補テーブルを作成する。
匿名性条件を満たす場合、匿名化処理部17は、ボトムアップ候補テーブルについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。匿名化処理部17は、導出した評価ポイントを比較し、トップダウン処理において保存された匿名性条件を満たすトップダウン候補テーブルの評価ポイントも含めて最大の評価ポイントを得た候補テーブルを保存する。そして、ボトムアップ処理は、この候補テーブルを再トップダウン処理に受け渡す。
匿名性条件を満たす場合、匿名化処理部17は、ボトムアップ候補テーブルについて、各属性における同じ属性値の個数を算出し、評価ポイントを導出する。匿名化処理部17は、導出した評価ポイントを比較し、トップダウン処理において保存された匿名性条件を満たすトップダウン候補テーブルの評価ポイントも含めて最大の評価ポイントを得た候補テーブルを保存する。そして、ボトムアップ処理は、この候補テーブルを再トップダウン処理に受け渡す。
匿名性条件を満たさない場合、匿名化処理部17は、ボトムアップ候補テーブルの中から、上記の保存した候補テーブルよりも評価ポイントが大きく、かつ、ボトムアップ候補テーブルの中で評価ポイントが最も大きいものを選択し、再度ボトムアップ処理を行い同様の判定を行う。
全てのボトムアップ候補テーブルが匿名性条件を満たさず、かつ、現在保存されている候補テーブルの評価ポイントを上回ることができない場合には、匿名化処理部17は、保存している候補テーブルを部分匿名化処理に渡す。
なお、提供者が属性に対して一般化の限界レベルを設定していた場合には、匿名化処理部17は、ボトムアップ処理において、限界レベルを超えて一般化を行わない。
なお、提供者が属性に対して一般化の限界レベルを設定していた場合には、匿名化処理部17は、ボトムアップ処理において、限界レベルを超えて一般化を行わない。
図9は、本実施形態に係るプライバシ保護装置10によるボトムアップ処理を示すフローチャートである。
ステップS601において、匿名化処理部17は、評価ポイントの増加分の概算により、一般化する属性の順番を決定する。
ステップS602において、匿名化処理部17は、選択した属性の一般化によって保存している候補テーブルの評価ポイントを上回ることができるか否かを判定する。この判定がYESの場合、処理はステップS604に移り、判定がNOの場合、処理はステップS603に移る。
ステップS603において、匿名化処理部17は、保存している候補テーブルを匿名テーブルとして出力する。その後、処理は終了する。
ステップS604において、匿名化処理部17は、選択した属性の一般化を1段階行い、ボトムアップ候補テーブルを作成する。
ステップS605において、匿名化処理部17は、ボトムアップ候補テーブルの評価ポイントを算出する。
ステップS606において、匿名化処理部17は、ボトムアップ候補テーブルのうち匿名性条件(例えば、k−匿名性及びl−多様性)を満たすテーブルがあるか否かを判定する。この判定がYESの場合、処理はステップS607に移り、判定がNOの場合、処理はステップS609に移る。
ステップS607において、匿名化処理部17は、保存されているトップダウン候補テーブルを含めて、評価ポイントが最大のテーブルを新たなトップダウン候補テーブルとして抽出し、保存する。
ステップS608において、匿名化処理部17は、保存したトップダウン候補テーブルをトップダウン処理に渡す。その後、処理は終了する。
ステップS609において、匿名化処理部17は、保存しているトップダウン候補テーブルよりも評価ポイントが大きく、かつ、ボトムアップ候補テーブルの中で評価ポイントが最も大きいテーブルを抽出する。その後、処理はステップS601に移る。
なお、匿名化処理部17は、トップダウン処理又はボトムアップ処理において複数の候補テーブルから次の処理対象を選択する際に、評価ポイントが一致した場合、重要度が高い順から属性を見ていき、一般化のレベルが低い方のテーブルを採用する。
(3−5)部分匿名化処理
匿名化処理部17(部分匿名化部173)は、部分匿名化処理において、各属性の詳細化(トップダウン)を一律に行うのではなく、細かいクラスタに分割し、各クラスタが匿名性条件を満たすように詳細化を行う。具体的には、匿名化処理部17は、準識別子から構成される属性値の組をグループ化し、クラスタとする。そして、匿名化処理部17は、このクラスタ単位で、匿名性条件を満たすように詳細化処理を実行する。
各属性が単純木で構成されている場合、互いのクラスタは独立集合であることが保証されるので、各クラスタが匿名性条件を満たす限り、部分匿名化処理によって、全体の匿名性が失われることはない。
また、匿名化処理部17は、部分匿名化処理では、詳細化のみを行うので、本処理の実行によって、評価ポイントは必ず増加する。したがって、匿名化処理部17は、評価ポイントの算出を省略することにより、高速化が可能である。また、部分匿名化処理はオプションとし、提供者又は利用者が望まない場合には省略してもよい。匿名化処理部17は、最終的に得られたテーブルを匿名テーブル出力処理に渡す。
匿名化処理部17(部分匿名化部173)は、部分匿名化処理において、各属性の詳細化(トップダウン)を一律に行うのではなく、細かいクラスタに分割し、各クラスタが匿名性条件を満たすように詳細化を行う。具体的には、匿名化処理部17は、準識別子から構成される属性値の組をグループ化し、クラスタとする。そして、匿名化処理部17は、このクラスタ単位で、匿名性条件を満たすように詳細化処理を実行する。
各属性が単純木で構成されている場合、互いのクラスタは独立集合であることが保証されるので、各クラスタが匿名性条件を満たす限り、部分匿名化処理によって、全体の匿名性が失われることはない。
また、匿名化処理部17は、部分匿名化処理では、詳細化のみを行うので、本処理の実行によって、評価ポイントは必ず増加する。したがって、匿名化処理部17は、評価ポイントの算出を省略することにより、高速化が可能である。また、部分匿名化処理はオプションとし、提供者又は利用者が望まない場合には省略してもよい。匿名化処理部17は、最終的に得られたテーブルを匿名テーブル出力処理に渡す。
(3−6)匿名性条件判定処理
匿名化処理部17(匿名性条件判定部171)は、匿名性条件として、入力されたテーブルの全ての準識別子から構成される情報がk−匿名性を満たし、かつ、全ての重要情報から構成される情報がl−多様性(l−Diversity若しくは(c,l)−Diversity)又はt−近似性(t−Closeness)を満たすか否かを判定する。また、匿名化処理部17は、テーブルがこれらの条件を満たさない場合、満たさなかったグループをフィードバック情報としてトップダウン処理又はボトムアップ処理に返す。
以下の表1に各判定条件を示す。なお、k−匿名性(k−Anonymity)と共に判定する条件は、これらのうち、いずれか1つ又は複数であってもよい。
匿名化処理部17(匿名性条件判定部171)は、匿名性条件として、入力されたテーブルの全ての準識別子から構成される情報がk−匿名性を満たし、かつ、全ての重要情報から構成される情報がl−多様性(l−Diversity若しくは(c,l)−Diversity)又はt−近似性(t−Closeness)を満たすか否かを判定する。また、匿名化処理部17は、テーブルがこれらの条件を満たさない場合、満たさなかったグループをフィードバック情報としてトップダウン処理又はボトムアップ処理に返す。
以下の表1に各判定条件を示す。なお、k−匿名性(k−Anonymity)と共に判定する条件は、これらのうち、いずれか1つ又は複数であってもよい。
(3−7)匿名テーブル出力処理
匿名化処理部17は、受け取ったテーブルを成形して出力する。受け取ったテーブルのデータは属性値そのものではなく、各属性の一般化のレベルで与えられている場合がある。このときには、匿名化処理部17は、元テーブルも読み込み、各属性について与えられたレベルによる一般化を行った後出力する。
匿名化処理部17は、受け取ったテーブルを成形して出力する。受け取ったテーブルのデータは属性値そのものではなく、各属性の一般化のレベルで与えられている場合がある。このときには、匿名化処理部17は、元テーブルも読み込み、各属性について与えられたレベルによる一般化を行った後出力する。
図10及び図11を参照して、上述のトップダウン処理及びボトムアップ処理について説明する。
図10は、本実施形態に係るプライバシ保護装置10によるトップダウン処理及びボトムアップ処理を説明するための図である。
ここで、準識別子の属性の種類は(A,B,C)の3種類である。それぞれの属性は、一般化又は詳細化のための木構造データを有し、一般化の限界レベルは、それぞれAがレベル2、Bがレベル3、Cがレベル1であるとする。
図10は、本実施形態に係るプライバシ保護装置10によるトップダウン処理及びボトムアップ処理を説明するための図である。
ここで、準識別子の属性の種類は(A,B,C)の3種類である。それぞれの属性は、一般化又は詳細化のための木構造データを有し、一般化の限界レベルは、それぞれAがレベル2、Bがレベル3、Cがレベル1であるとする。
ボトムアップ処理では、匿名化処理部17は、一般化の初期レベル(A0,B0,C0)から属性ごとに1レベルの一般化を行って、属性Aの一般化を行ったテーブル(A1,B0,C0)と、属性Bの一般化を行ったテーブル(A0,B1,C0)と、属性Cの一般化を行ったテーブル(A0,B0,C1)とを作成する。次に、匿名化処理部17は、作成したテーブルそれぞれから、さらに属性ごとに1レベルの一般化を行ってテーブルを作成していくが、一般化のレベルが属性ごとの限界レベルを超える場合、限界レベルを超える属性の一般化を行わない。図10は、このようなボトムアップ処理によって、テーブルが一般化される過程を示している。
トップダウン処理では、匿名化処理部17は、ボトムアップ処理とは逆方向に、詳細化の初期レベル(A2,B3,C1)から属性ごとに1レベルの詳細化を行って、属性Aの詳細化を行ったテーブル(A1,B3,C1)と、属性Bの詳細化を行ったテーブル(A2,B2,C1)と、属性Cの詳細化を行ったテーブル(A2,B3,C0)とを作成する。次に、匿名化処理部17は、作成したテーブルそれぞれから、さらに属性ごとに1レベルの詳細化を行ってテーブルを作成していく。図10は、このようなトップダウン処理によって、テーブルが詳細化される過程も示している。
匿名化処理部17は、このようなボトムアップ処理による一般化と、トップダウン処理による詳細化とを組み合わせて繰り返し、匿名性条件(例えば、k−匿名性及びl−多様性)を満たし、かつ、評価ポイントの高い適切な匿名テーブルを作成する。
ボトムアップ処理とトップダウン処理とを組み合わせた場合の例を次に説明する。
図11は、本実施形態に係るプライバシ保護装置10によるトップダウン処理とボトムアップ処理との繰り返しを説明するための図である。
図11は、本実施形態に係るプライバシ保護装置10によるトップダウン処理とボトムアップ処理との繰り返しを説明するための図である。
図11において、丸印は、図8のような過程において生成されるテーブルを示し、テーブルからテーブルへの矢印は、下方への矢印がトップダウン処理、上方への矢印がボトムアップ処理を示している。そして、図11の例は、図10のような過程において生成されるテーブルのうち、例えば、前処理が行われて(k+l)−匿名性を満たすように一般化されたテーブル601からトップダウン処理を開始する例である。
匿名化処理部17は、前処理後のテーブル601に対してトップダウン処理により詳細化を行って、トップダウン候補テーブル611,612を作成する。匿名化処理部17は、作成したトップダウン候補テーブル611及び612のうち、評価ポイントが最も大きいトップダウン候補テーブル611を処理対象として選択し、評価ポイントを保存しながら、詳細化と選択との処理を繰り返す。
そして、詳細化が行き過ぎて、匿名性条件を満たさなくなった場合、匿名化処理部17は、匿名性条件を満たさなくなったトップダウン候補テーブル631及び632の中から評価ポイントが最も大きいトップダウン候補テーブル632をボトムアップ処理に受け渡す。
そして、詳細化が行き過ぎて、匿名性条件を満たさなくなった場合、匿名化処理部17は、匿名性条件を満たさなくなったトップダウン候補テーブル631及び632の中から評価ポイントが最も大きいトップダウン候補テーブル632をボトムアップ処理に受け渡す。
匿名化処理部17は、渡されたトップダウン候補テーブル632に対してボトムアップ処理により一般化を行い、ボトムアップ候補テーブルを作成する。匿名化処理部17は、作成したボトムアップ候補テーブルのうち、評価ポイントが最も大きいボトムアップ候補テーブルを処理対象として選択し、評価ポイントが増加する間は匿名性条件を満たすまで、一般化と選択との処理を繰り返す。
そして、匿名性条件を満たすようになった場合、匿名化処理部17は、トップダウン処理において保存されたトップダウン候補テーブルの評価ポイントよりも大きい最大の評価ポイントを得たボトムアップ候補テーブル641を再トップダウン処理に渡す。
そして、匿名性条件を満たすようになった場合、匿名化処理部17は、トップダウン処理において保存されたトップダウン候補テーブルの評価ポイントよりも大きい最大の評価ポイントを得たボトムアップ候補テーブル641を再トップダウン処理に渡す。
このようにトップダウン処理及びボトムアップ処理が繰り返され、匿名性条件を満たす候補テーブル(例えば、候補テーブル651)の評価ポイントが、保存されている候補テーブル(例えば、ボトムアップ候補テーブル641)の評価ポイントを上回ることができなくなった場合、保存されている、評価ポイントが最高の候補テーブル(例えば、ボトムアップ候補テーブル641)は、部分匿名化処理が行われて、匿名テーブル701として出力される。
(4)類似度評価処理
類似度評価部18は、匿名化処理によって生成された匿名テーブル同士の全ての組み合わせごとにおける、匿名テーブル間の類似度を計測する。類似度は、属性値が一致する属性の割合が所定の割合以上であるレコードの総数と、匿名テーブルに含まれるレコードの総数との比率で表される。
すなわち、類似度は、属性値が一致する属性の個数と、準識別子を構成する属性の全個数との割合が所定の割合以上である場合にレコード同士が一致しているとみなされ、例えば、次の式で計算される。
匿名テーブルT1とT2との類似度:=一致しているレコードの総数/レコードの総数
ここで、匿名テーブルT1とT2とのレコードの総数は同一であると仮定している。なお、同一でない場合、レコードの総数は、大きい方、小さい方、又は両者の平均等、適宜決定されてよい。
類似度評価部18は、匿名化処理によって生成された匿名テーブル同士の全ての組み合わせごとにおける、匿名テーブル間の類似度を計測する。類似度は、属性値が一致する属性の割合が所定の割合以上であるレコードの総数と、匿名テーブルに含まれるレコードの総数との比率で表される。
すなわち、類似度は、属性値が一致する属性の個数と、準識別子を構成する属性の全個数との割合が所定の割合以上である場合にレコード同士が一致しているとみなされ、例えば、次の式で計算される。
匿名テーブルT1とT2との類似度:=一致しているレコードの総数/レコードの総数
ここで、匿名テーブルT1とT2とのレコードの総数は同一であると仮定している。なお、同一でない場合、レコードの総数は、大きい方、小さい方、又は両者の平均等、適宜決定されてよい。
類似度評価部18は、匿名テーブル同士の類似度がいずれも閾値未満の組み合わせのみからなるような匿名テーブルを選択する。
具体的には、類似度評価部18は、一の匿名テーブルと他の匿名テーブルとの全ての組み合わせにおいて、最高の類似度が閾値以上である場合に、最高の類似度の組み合わせにおける一方の匿名テーブルを削除する。
例えば、類似度評価部18は、匿名テーブル1と匿名テーブル2との組み合わせ、・・・、匿名テーブル1と匿名テーブルnとの組み合わせにおいて、匿名テーブル1と匿名テーブル2との組み合わせが最高の類似度であり、かつ、類似度が閾値以上である場合に、匿名テーブル2を削除する。次に、類似度評価部18は、匿名テーブル3と匿名テーブル1との組み合わせ、匿名テーブル3と匿名テーブル4との組み合わせ、・・・、匿名テーブル3と匿名テーブルnとの組み合わせにおいて、匿名テーブル3と匿名テーブル4との組み合わせが最高の類似度であり、かつ、類似度が閾値以上である場合に、匿名テーブル4を削除する。
この例のように、類似度評価部18は、最高の類似度が閾値以上である組み合わせにおける一方の匿名テーブルを削除することを繰り返し、残った匿名テーブルの組み合わせにおいて、類似度がいずれも閾値未満となるようにする。
具体的には、類似度評価部18は、一の匿名テーブルと他の匿名テーブルとの全ての組み合わせにおいて、最高の類似度が閾値以上である場合に、最高の類似度の組み合わせにおける一方の匿名テーブルを削除する。
例えば、類似度評価部18は、匿名テーブル1と匿名テーブル2との組み合わせ、・・・、匿名テーブル1と匿名テーブルnとの組み合わせにおいて、匿名テーブル1と匿名テーブル2との組み合わせが最高の類似度であり、かつ、類似度が閾値以上である場合に、匿名テーブル2を削除する。次に、類似度評価部18は、匿名テーブル3と匿名テーブル1との組み合わせ、匿名テーブル3と匿名テーブル4との組み合わせ、・・・、匿名テーブル3と匿名テーブルnとの組み合わせにおいて、匿名テーブル3と匿名テーブル4との組み合わせが最高の類似度であり、かつ、類似度が閾値以上である場合に、匿名テーブル4を削除する。
この例のように、類似度評価部18は、最高の類似度が閾値以上である組み合わせにおける一方の匿名テーブルを削除することを繰り返し、残った匿名テーブルの組み合わせにおいて、類似度がいずれも閾値未満となるようにする。
さらに、類似度評価部18は、選択する匿名テーブルの個数が所定の個数以内になるように、類似度の低い匿名テーブルの組み合わせから順に選択する。
具体的には、類似度評価部18は、匿名テーブル同士の類似度がいずれも閾値未満の組み合わせのみからなるような匿名テーブルの組み合わせのうち、類似度の最も低い匿名テーブルの組み合わせから順に選択し、選択した匿名テーブルの個数が所定の個数以内になるようにする。
具体的には、類似度評価部18は、匿名テーブル同士の類似度がいずれも閾値未満の組み合わせのみからなるような匿名テーブルの組み合わせのうち、類似度の最も低い匿名テーブルの組み合わせから順に選択し、選択した匿名テーブルの個数が所定の個数以内になるようにする。
図12は、本実施形態に係るプライバシ保護装置10による類似度評価処理を示すフローチャートである。
ステップS701において、類似度評価部18は、一の匿名テーブルと他の匿名テーブルとの組み合わせの類似度を算出する。
ステップS702において、類似度評価部18は、最大の類似度が閾値以上か否かを判定する。この判定がYESの場合、処理はステップS703に移り、判定がNOの場合、処理はステップS704に移る。
ステップS703において、類似度評価部18は、最大の類似度の組み合わせのうち一の匿名テーブルに対する他の匿名テーブルを削除する。
ステップS704において、類似度評価部18は、次の匿名テーブルがあるか否かを判定する。この判定がYESの場合、処理はステップS705に移り、判定がNOの場合、処理はステップS706に移る。
ステップS705において、類似度評価部18は、次の匿名テーブルを一の匿名テーブルとする。その後、処理はステップS701に移る。
ステップS706において、類似度評価部18は、残った匿名テーブルの組み合わせの類似度がいずれも閾値未満か否かを判定する。この判定がYESの場合、処理はステップS707に移り、判定がNOの場合、処理はステップS701に移る。
ステップS707において、類似度評価部18は、残った匿名テーブルの特徴量(例えば、ハッシュ値)を算出する。
ステップS708において、類似度評価部18は、匿名テーブルの提供先である利用者の識別情報と、特徴量(例えば、ハッシュ値)及び匿名テーブルとを対応付けて記憶する。
(5)リスク評価処理
リスク評価部19は、匿名テーブルを取得した攻撃者の前提知識量を設定することにより、テーブルの各レコード(個人)が特定又は絞り込まれるリスクの分布を作成する。
ここで、前提知識量とは、あるユーザの準識別子の全体に対して知識を有する割合であり、例えば、前提知識量が0.3と設定された場合、攻撃者は、3割の属性値を知っていることが想定される。なお、前提知識量の設定方法はこれには限られず、属性自体が指定されてもよい。
リスク評価部19は、匿名テーブルを取得した攻撃者の前提知識量を設定することにより、テーブルの各レコード(個人)が特定又は絞り込まれるリスクの分布を作成する。
ここで、前提知識量とは、あるユーザの準識別子の全体に対して知識を有する割合であり、例えば、前提知識量が0.3と設定された場合、攻撃者は、3割の属性値を知っていることが想定される。なお、前提知識量の設定方法はこれには限られず、属性自体が指定されてもよい。
具体的には、リスク評価部19は、設定された前提知識量に従ってランダムに準識別子を選択し、選択した準識別子の属性値を攻撃者が知っていると過程した場合のレコードごとの匿名性の度合い、すなわち知っている属性値の組み合わせに合致するレコードの数(実k値)を算出する。なお、前提知識量が100%よりも小さい場合、この実k値は、匿名化処理におけるk値よりも大きくなる。
リスク評価部19は、算出した実k値をソートした分布を、事前設定されたリスク値に従って評価する。
ここで、リスク値は、全体の何割のレコードの実k値が所定の閾値を上回っているべきかを示す値である。例えば、リスク値が0.8と設定された場合、全体の80%のレコードが実k値の閾値を上回っていなければ、匿名テーブルを提供することはリスクが高いと判定される。
リスク評価部19は、リスク値の条件を満たしていない、すなわちリスクの高い匿名テーブルを削除する。
ここで、リスク値は、全体の何割のレコードの実k値が所定の閾値を上回っているべきかを示す値である。例えば、リスク値が0.8と設定された場合、全体の80%のレコードが実k値の閾値を上回っていなければ、匿名テーブルを提供することはリスクが高いと判定される。
リスク評価部19は、リスク値の条件を満たしていない、すなわちリスクの高い匿名テーブルを削除する。
図13は、本実施形態に係るプライバシ保護装置10によるリスク評価処理を示すフローチャートである。
ステップS801において、リスク評価部19は、前提知識量及びリスク値を設定する。
ステップS802において、リスク評価部19は、設定された前提知識量に従ってランダムに準識別子を選択(サンプリング)し、選択した準識別子の属性値を攻撃者が知っていると過程した場合のレコードごとの実k値を算出する。
ステップS803において、リスク評価部19は、レコードごとの実k値を算出する。
ステップS804において、リスク評価部19は、所定回数のサンプリングを行ったか否かを判定する。この判定がYESの場合、処理はステップS805に移り、判定がNOの場合、処理はステップS802に移る。
ステップS805において、リスク評価部19は、所定回数繰り返されたサンプリングによる実k値を統計処理(例えば、平均値を算出)し、結果の実k値でソートすることによりリスク分布を作成する。
ステップS806において、リスク評価部19は、実k値が所定の閾値を超えるレコードの割合がリスク値以上か否かを判定する。この判定がYESの場合、処理はステップS807に移り、判定がNOの場合、処理はステップS808に移る。
ステップS807において、リスク評価部19は、提供することによるリスクが低いと判断し、匿名テーブルを出力する。
ステップS808において、リスク評価部19は、提供することによるリスクが高いと判断し、匿名テーブルを削除する。
本実施形態によれば、プライバシ保護装置10は、攻撃者の前提知識量の入力に基づいて、匿名テーブルの各レコードにおける匿名性の度合いを示すリスク分布を作成し、このリスク分布を所定の閾値との関係によって評価する。したがって、プライバシ保護装置10は、実環境を想定したリスク評価に基づいて、個人を特定されるリスクの高い匿名テーブルを排除することによって、適切な匿名テーブルを生成できる。
また、プライバシ保護装置10は、準識別子の全体に対する割合として前提知識量を設定できる。これにより、簡易なパラメータ設定により、容易にリスク分布を求めることができる。
また、プライバシ保護装置10は、前提知識量に基づいて、複数の準識別子のうち特定され得る属性値の組み合わせを想定し、匿名性の度合いとしての実k値を算出する。したがって、プライバシ保護装置10は、前提知識量から具体的な匿名性の度合いを定量的に算出できるので、効率的にリスク評価を行える。
また、プライバシ保護装置10は、実k値が所定の閾値を超える割合を、達成すべきリスク値によって指定させる。これにより、プライバシ保護装置10は、リスクの高い匿名テーブルを容易に判定し、効率的に適切な匿名テーブルを生成できる。
また、プライバシ保護装置10は、匿名化処理の前に、元テーブルから指定された割合でランダムにレコードを削除する。したがって、プライバシ保護装置10は、複数の匿名テーブルを作成する場合に、効率的に元データのバリエーションを増やすことができる。
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
プライバシ保護装置10による一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、コンピュータ読み取り可能な記録媒体(例えば、CD−ROMのようなリムーバブルメディア等)に記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
10 プライバシ保護装置
12 読込処理部
13 出力処理部
14 木構造データ管理部
15 パラメータ管理部
16 事前処理部
17 匿名化処理部
18 類似度評価部
19 リスク評価部
12 読込処理部
13 出力処理部
14 木構造データ管理部
15 パラメータ管理部
16 事前処理部
17 匿名化処理部
18 類似度評価部
19 リスク評価部
Claims (7)
- 組み合わせると個人を特定され得る準識別子を含んだ複数の属性からなる複数のレコードで構成されるテーブルを匿名化するプライバシ保護装置であって、
前記準識別子の少なくともいずれかについて、属性値を一般化し、匿名テーブルを生成する匿名化処理部と、
前記準識別子の全体に対して設定された前提知識量に基づいて、前記レコードごとの匿名性の度合いを算出し、前記匿名性の度合いが所定の閾値を超えているレコード数の全レコード数に対する割合を、設定されたリスク値と比較することにより、前記匿名テーブルを提供することのリスクを評価するリスク評価部と、を備えるプライバシ保護装置。 - 前記前提知識量は、前記準識別子の全体に対する割合で設定される請求項1に記載のプライバシ保護装置。
- 前記匿名性の度合いは、前記前提知識量に基づき特定される前記準識別子の属性値の組み合わせが同一であるレコードの数で示される請求項1又は請求項2に記載のプライバシ保護装置。
- 前記リスク評価部は、前記匿名性の度合いが前記所定の閾値を超えているレコード数の全レコード数に対する割合が前記リスク値に満たない場合に、リスクが高いと判定する請求項1から請求項3のいずれかに記載のプライバシ保護装置。
- 前記匿名化処理部による匿名化の前に、前記テーブルから、指定された割合でランダムにレコードを削除する事前処理部を備える請求項1から請求項4のいずれかに記載のプライバシ保護装置。
- 組み合わせると個人を特定され得る準識別子を含んだ複数の属性からなる複数のレコードで構成されるテーブルを匿名化するプライバシ保護方法であって、コンピュータが、
前記準識別子の少なくともいずれかについて、属性値を一般化し、匿名テーブルを生成する匿名化処理ステップと、
前記準識別子の全体に対して設定された前提知識量に基づいて、前記レコードごとの匿名性の度合いを算出し、前記匿名性の度合いが所定の閾値を超えているレコード数の全レコード数に対する割合を、設定されたリスク値と比較することにより、前記匿名テーブルを提供することのリスクを評価するリスク評価ステップと、を実行するプライバシ保護方法。 - コンピュータに、請求項6に記載の方法の各ステップを実行させるためのプライバシ保護プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015161720A JP6584861B2 (ja) | 2015-08-19 | 2015-08-19 | プライバシ保護装置、方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015161720A JP6584861B2 (ja) | 2015-08-19 | 2015-08-19 | プライバシ保護装置、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017041048A JP2017041048A (ja) | 2017-02-23 |
| JP6584861B2 true JP6584861B2 (ja) | 2019-10-02 |
Family
ID=58203081
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015161720A Active JP6584861B2 (ja) | 2015-08-19 | 2015-08-19 | プライバシ保護装置、方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6584861B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10915662B2 (en) * | 2017-12-15 | 2021-02-09 | International Business Machines Corporation | Data de-identification based on detection of allowable configurations for data de-identification processes |
| US11132453B2 (en) * | 2017-12-18 | 2021-09-28 | Mitsubishi Electric Research Laboratories, Inc. | Data-driven privacy-preserving communication |
| WO2020175305A1 (ja) * | 2019-02-26 | 2020-09-03 | 日本電信電話株式会社 | 匿名性評価装置、匿名性評価方法、プログラム |
| US11914740B2 (en) * | 2019-03-11 | 2024-02-27 | Nippon Telegraph And Telephone Corporation | Data generalization apparatus, data generalization method, and program |
| JP7149905B2 (ja) * | 2019-08-02 | 2022-10-07 | ミサワホーム株式会社 | 匿名化システム |
| CN113886886A (zh) * | 2020-09-04 | 2022-01-04 | 支付宝(杭州)信息技术有限公司 | 隐私保护算法的验证方法、装置及电子设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5042667B2 (ja) * | 2007-03-05 | 2012-10-03 | 株式会社日立製作所 | 情報出力装置、情報出力方法、及び、情報出力プログラム |
| US8316054B2 (en) * | 2008-09-22 | 2012-11-20 | University Of Ottawa | Re-identification risk in de-identified databases containing personal information |
| JP5611852B2 (ja) * | 2011-01-31 | 2014-10-22 | Kddi株式会社 | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム |
| WO2014136422A1 (ja) * | 2013-03-06 | 2014-09-12 | 日本電気株式会社 | 匿名化処理を行う情報処理装置及び匿名化方法 |
| JP6300588B2 (ja) * | 2014-03-17 | 2018-03-28 | Kddi株式会社 | 匿名化データにおけるリスク分析装置、方法及びプログラム |
-
2015
- 2015-08-19 JP JP2015161720A patent/JP6584861B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017041048A (ja) | 2017-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6584861B2 (ja) | プライバシ保護装置、方法及びプログラム | |
| US10817621B2 (en) | Anonymization processing device, anonymization processing method, and program | |
| JP6007969B2 (ja) | 匿名化装置及び匿名化方法 | |
| JP5611852B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| JP6293003B2 (ja) | プライバシー保護装置、方法及びプログラム | |
| JP5511532B2 (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| CN109983467B (zh) | 用于匿名化数据集的系统和方法 | |
| JP6413769B2 (ja) | データ秘匿装置、データ秘匿プログラムおよびデータ秘匿方法 | |
| JP2015114871A (ja) | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム | |
| Prasser et al. | A benchmark of globally-optimal anonymization methods for biomedical data | |
| JP6079270B2 (ja) | 情報提供装置 | |
| JP2019184852A (ja) | データ分析サーバ、データ分析システム、及びデータ分析方法 | |
| JP7026653B2 (ja) | クラスタリング装置、クラスタリング方法及びクラスタリングプログラム | |
| Liu et al. | Induction of modular classification rules by information entropy based rule generation | |
| JP2019204246A (ja) | 学習データ作成方法及び学習データ作成装置 | |
| JP6370236B2 (ja) | プライバシー保護装置、方法及びプログラム | |
| JP6450098B2 (ja) | 匿名化装置、匿名化方法及び匿名化プログラム | |
| KR101958555B1 (ko) | 검색 결과 제공 장치 및 방법 | |
| JP2017076170A (ja) | リスク評価装置、リスク評価方法及びリスク評価プログラム | |
| JP6437842B2 (ja) | プライバシー保護装置、方法及びプログラム | |
| CN109614542B (zh) | 公众号推荐方法、装置、计算机设备及存储介质 | |
| KR101815968B1 (ko) | 그룹 분리 기능을 제공하기 위한 악성코드 분류 시스템 및 그 방법 | |
| JP7219726B2 (ja) | リスク評価装置、リスク評価方法及びリスク評価プログラム | |
| JP2016184213A (ja) | 数値データを匿名化する方法及び数値データ匿名化サーバ | |
| CN109918488A (zh) | 用于相似文档检索的方法与设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180223 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181026 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181106 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181227 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190611 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190716 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190806 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190904 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6584861 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |