JP6597066B2 - 個人情報匿名化方法、プログラム、及び情報処理装置 - Google Patents

個人情報匿名化方法、プログラム、及び情報処理装置 Download PDF

Info

Publication number
JP6597066B2
JP6597066B2 JP2015171057A JP2015171057A JP6597066B2 JP 6597066 B2 JP6597066 B2 JP 6597066B2 JP 2015171057 A JP2015171057 A JP 2015171057A JP 2015171057 A JP2015171057 A JP 2015171057A JP 6597066 B2 JP6597066 B2 JP 6597066B2
Authority
JP
Japan
Prior art keywords
anonymization
data
personal information
group
groups
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015171057A
Other languages
English (en)
Other versions
JP2017049693A (ja
Inventor
雅弘 ▲浜▼本
伸志 松根
孝夫 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015171057A priority Critical patent/JP6597066B2/ja
Priority to EP16180105.5A priority patent/EP3136284B1/en
Priority to US15/214,819 priority patent/US10289869B2/en
Publication of JP2017049693A publication Critical patent/JP2017049693A/ja
Application granted granted Critical
Publication of JP6597066B2 publication Critical patent/JP6597066B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、個人情報匿名化方法、プログラム、及び情報処理装置に関する。
近年、クラウドコンピューティングの普及や業務、スマートフォンなどの通信デバイスの多様化により、従来、オンプレミス(自社運用による)で蓄積してきた情報が、企業又は組織の外部にも蓄積され活用されるようになっている。
これらの情報の中には、顧客の情報や個人情報も含まれている。一方、業務ビジネスやクラウド上で、情報の利活用を目的とした業務では、「個人情報の保護に関する法律(通称:個人情報保護法)」をはじめとする法律やガイドラインにより、特定の個人が識別されることがないよう適切に情報を加工することが義務付けられている。
また、我が国の「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号利用等に関する法律の一部を改正する法律」(2015年第189回国会審議中)では、ICT(Information and Communication Technology)による情報のさらなる利活用を目的として、個人が特定し難い状態に情報を加工すれば、即ち、匿名化すれば、本人の同意なしに第三者に提供できるという内容で審議が行われている。
データを匿名化して利用する観点において、複数のデータ提供事業者からの様々なk−匿名化データを受け、当該データを受入可能であるかを評価する技術等が知られている。
特開2014−71618号公報 特開2014−86037号公報
しかしながら、匿名化されたデータが絶対に個人を特定できないことを保証できるものではないという見解が出されており、現状では、匿名化後のデータを有識者が目視で確認したり、組織内に設けられた第三者委員会により匿名化後の情報を検証して承認するプロセスなどが行われている。
即ち、匿名化後のデータを評価する最終段では、有識者が行っており、客観的な評価が難しい上、ビッグデータ等の膨大なデータ量が利活用の対象となる場合には、想定した通りの匿名化が実施されたか否かを確認するのは、専門的知識と時間とを要する。
有識者による匿名化評価の最終段階において、どの程度にまで匿名化できたのか、匿名化されていないデータに係る情報を容易に把握することができないと言った問題がある。
したがって、1つの側面では、本発明は、匿名化後のデータの評価を容易にすることを目的とする。
一態様によれば、複数のデータに含まれる個人情報を、該個人情報に対する共通化の条件に基づいて匿名化処理を施して、該複数のデータ内の共通部に基づいて複数のグループのいずれかに分類し、前記複数のグループに対してグループ単位でデータの総数を算出し、前記データの総数に応じて前記複数のグループを分類し、分類結果を出力する、処理をコンピュータが行うことを特徴とする個人情報匿名化方法が提供される。
また、上記課題を解決するための手段として、コンピュータに上記処理を実行させるためのプログラム、及び、上記方法を行う情報処理装置とすることもできる。
匿名化後のデータの評価を容易にできる。
本実施例における匿名化システムのネットワーク構成図である。 サーバのハードウェア構成を示す図である。 クライアントのハードウェア構成を示す図である。 匿名化システムにおける全体処理の概要を説明するためのフローチャート図である。 クライアント及びサーバの機能構成例を示す図である。 匿名化処理を説明するための図である。 評価元情報生成処理を説明するための図である。 クライアントで表示される評価結果画面例を示す図である。 第2グラフ化処理を説明するための図である。 棒グラフの例を示す図である。 曖昧化処理を説明するための図である。 曖昧化処理による統計情報の更新例を示す図である。
以下、本発明の実施の形態を図面に基づいて説明する。本実施例における、個人情報の匿名化及び評価を行う匿名化システムについて説明する。図1は、本実施例における匿名化システムのネットワーク構成図である。図1に示す匿名化システム1000は、サーバ100と、複数のクライアント3とがネットワーク2を介して接続されている。なお、個人情報は、特定の個人に係る情報であるが、以下の実施形態にかかる匿名化処理は、個人を特定できないようにする処理と、個人を識別できないようにする処理、の少なくとも何れかを含むものとする。
サーバ100は、クライアント3から提供されるデータ(例えば、個人情報)を匿名化するとともに、匿名化の程度をクライアント3へ提示する匿名化処理を行う匿名化部40を有する。
クライアント3は、サーバ100が提供する個人情報を匿名化するサービスを利用して、匿名化前ファイル1aをサーバ100に匿名化させて匿名化後ファイル1bを得る。匿名化前ファイル1aは、個人名以外の利活用の対象となる項目を含んでいる。匿名化前ファイル1aの実体は、クライアント3の内部に保持される構成として説明するが、クライアント3の外部で管理されていてもよい。
匿名化システム1000において、個人情報を匿名化する際の、クライアント3及びサーバ100のやり取りの概要を説明する。クライアント3は、ネットワーク2を介してサーバ100に接続し、以降、ネットワーク2を介してサーバ100に所望の匿名化の程度(k値)に応じた匿名化処理を行わせる。以下、手順を説明する。
<手順1>
クライアント3は、ユーザによって指定された、匿名化前ファイル1aに対する匿名化条件(k値を含む)を示す匿名化条件設定要求8aをサーバ100に送信する。サーバ100は、クライアント3の匿名化条件設定要求8aに応じて、匿名化条件を設定する。
<手順2>
ユーザの匿名化前ファイル1aを指定した匿名化を実行する操作に応じて、クライアント3は、サーバ100に匿名化実行要求8bを行う。サーバ100は、匿名化実行要求8bに応じて、クライアント3から指定された匿名化前ファイル1aに対して、設定した匿名化条件で指定されるk値で匿名化処理を実行する。
<手順3>
クライアント3は、サーバ100へ匿名化評価要求8cを送信する。匿名化評価要求8cに応じて、サーバ100は、匿名化処理を実行した結果、即ち、匿名化後ファイル1bを用いて、匿名化の状態を評価する。本実施例では、サーバ100は、匿名化後ファイル1bに対する評価情報1cを提供する。
評価情報1cによって、以下の1つ以上がクライアント3に表示され、ユーザに提示される。
・k値毎の割合を示す円グラフ
・匿名化項目値の組み合せ毎の割合を示す棒グラフ
<手順4>
クライアント3は、評価情報1cの表示後、ユーザによる匿名化後ファイル1bを曖昧化する操作に応じて、匿名化結果の曖昧化要求8dをサーバ100に行う。曖昧化要求8dには、ユーザが指定した期待k値1dが含まれる。
サーバ100は、曖昧化要求8dで指定される期待k値1dに従って、匿名化後ファイル1bを曖昧化する。匿名化後ファイル1bを曖昧化する曖昧化処理は、見かけ上、曖昧化要求8dで指定される期待k値1dを満たすように、匿名化処理の結果として得られた匿名化後ファイル1bの個人情報を複製又は削除する処理である。
<手順5>
クライアント3は、評価情報1cの表示後、ユーザによる匿名化処理を見直す操作に応じて、条件見直し要求8eがサーバ100へ送信する。条件見直し要求8eを受信すると、サーバ100は、評価情報1cに基づいて推奨k値1eを求め、クライアント3へ送信する。
<手順6:手順1への戻り>
クライアント3は、推奨k値1eを受信すると、サーバ100に推奨k値1eを指定した匿名化条件設定要求8aを送信することで、上述した手順1から手順5を繰り返す。
このように、本実施例では、サーバ100は、匿名化後ファイル1bがどの程度匿名化を実現しているかを示す評価情報1cを提供する。評価情報1cに基づいて、匿名化後ファイル1bの曖昧化、及び/又は、匿名化処理の見直しを行うことができる。
k値とは、匿名化後ファイル1bにおいて、k個の個人情報(k個のレコード)の夫々によってk人の個人を特定できない場合の値である。匿名化項目の組み合せ毎の各グループ内において、特定できない個人の人数(個人を特定できないレコードの数)に相当する。一方で、グループ内で個人情報(レコード)がk個未満の場合、個人の特定が許容される。匿名化項目とは、匿名化前ファイル1aに対して、値を匿名化する項目である。
k=2の匿名化は、2以上の個人情報から2人以上の各個人を特定できない匿名化をいう。2人以上の全ての個人情報に共通する情報のみが残され、共通しない情報は削除される。この場合、匿名化後ファイル1bには、1個人のみが属するグループが存在する場合がある。
k=3の匿名化は、3以上の個人情報から3人以上の各個人を特定できない匿名化をいう。3人以上の全ての個人情報に共通する情報のみが残され、共通しない情報は削除される。この場合、匿名化後ファイル1bには、2個人が属し、2個人間では各々を特定できないグループ,1個人のみが属するグループの1つ以上が存在する場合がある。k値は、複数の個人情報間の共通度を指定していると言える。
本実施例では、個人情報を匿名化した匿名化後ファイル1bで、複数の個人情報の共通部でグループ化し、匿名化後ファイル1bのレコード総数に対する各グループのレコード数の割合を求めて、k値毎の割合及び/又は共通部毎の割合でグラフ表示することで、匿名化評価を容易とする。
匿名化処理を行うサーバ100は、図2に示すようなハードウェア構成を有する。図2は、サーバのハードウェア構成を示す図である。図2において、サーバ100は、コンピュータによって制御される情報処理装置であって、CPU(Central Processing Unit)11aと、主記憶装置12aと、補助記憶装置13aと、入力装置14aと、表示装置15aと、通信I/F(インターフェース)17aと、ドライブ装置18aとを有し、バスB1に接続される。
CPU11aは、主記憶装置12aに格納されたプログラムに従ってサーバ100を制御するプロセッサに相当する。主記憶装置12aには、RAM(Random Access Memory)、ROM(Read Only Memory)等が用いられ、CPU11aにて実行されるプログラム、CPU11aでの処理に必要なデータ、CPU11aでの処理にて得られたデータ等を記憶又は一時保存する。
補助記憶装置13aには、HDD(Hard Disk Drive)等が用いられ、各種処理を実行するためのプログラム等のデータを格納する。補助記憶装置13aに格納されているプログラムの一部が主記憶装置12aにロードされ、CPU11に実行されることによって、各種処理が実現される。主記憶装置12a及び/又は補助記憶装置13aが記憶部130aに相当する。
入力装置14aは、マウス、キーボード等を有し、サーバ管理者がサーバ100による処理に必要な各種情報を入力するために用いられる。表示装置15aは、CPU11の制御のもとに必要な各種情報を表示する。入力装置14aと表示装置15aとは、一体化したタッチパネル等によるユーザインタフェースであってもよい。通信I/F17aは、有線又は無線などのネットワークを通じて通信を行う。通信I/F17aによる通信は無線又は有線に限定されるものではない。
サーバ100によって行われる処理を実現するプログラムは、例えば、CD−ROM(Compact Disc Read-Only Memory)等の記憶媒体19aによってサーバ100に提供される。
ドライブ装置18aは、ドライブ装置18aにセットされた記憶媒体19a(例えば、CD−ROM等)とサーバ100とのインターフェースを行う。
また、記憶媒体19aに、後述される本実施の形態に係る種々の処理を実現するプログラムを格納し、この記憶媒体19aに格納されたプログラムは、ドライブ装置18aを介してサーバ100にインストールされる。インストールされたプログラムは、サーバ100により実行可能となる。
尚、プログラムを格納する記憶媒体19aはCD−ROMに限定されず、コンピュータが読み取り可能な、構造(structure)を有する1つ以上の非一時的(non-transitory)な、有形(tangible)な媒体であればよい。コンピュータ読取可能な記憶媒体として、CD−ROMの他に、DVDディスク、USBメモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリであっても良い。
図3は、クライアントのハードウェア構成を示す図である。図3において、クライアント3は、コンピュータによって制御されるタブレット型、携帯電話等の情報処理端末であって、CPU(Central Processing Unit)11bと、主記憶装置12bと、ユーザI/F(インターフェース)16bと、通信I/F17bと、ドライブ装置18bとを有し、バスB2に接続される。
CPU11bは、主記憶装置12bに格納されたプログラムに従ってクライアント3を制御するプロセッサに相当する。主記憶装置12bには、RAM(Random Access Memory)、ROM(Read Only Memory)等が用いられ、CPU11bにて実行されるプログラム、CPU11bでの処理に必要なデータ、CPU11bでの処理にて得られたデータ等を記憶又は一時保存する。主記憶装置12bに格納されているプログラムが、CPU11bに実行されることによって、各種処理が実現される。
ユーザI/F16bは、CPU11bの制御のもとに必要な各種情報を表示し、また、ユーザによる操作入力を可能とするタッチパネル等である。通信I/F17bによる通信は無線又は有線に限定されるものではない。
クライアント3によって行われる処理を実現するプログラムは、ネットワーク2を介して外部装置からダウンロードされる。或いは、予めクライアント3の主記憶装置12b又は記憶媒体19bに記憶されていても良い。主記憶装置12b及び/又は記憶媒体19bが記憶部130bに相当する。
ドライブ装置18bは、ドライブ装置18bにセットされた記憶媒体19b(例えば、SD(Secure Digital)メモリカード等)とクライアント3とのインターフェースを行う。尚、記憶媒体19bは、コンピュータが読み取り可能な、構造(structure)を有する1つ以上の非一時的(non-transitory)な、有形(tangible)な媒体であればよい。
クライアント3は、デスクトップ型、ノートブック型、ラップトップ型等の情報処理端末であっても良く、そのハードウェア構成は、図2のハードウェア構成と同様であるので、その説明を省略する。
図4は、匿名化システムにおける全体処理の概要を説明するためのフローチャート図である。図4において、匿名化システム1000では、クライアント3は、ユーザから匿名化条件の設置を受け付けると、サーバ100へ匿名化条件設定要求8aを行う(ステップS61)。サーバ100は、匿名化条件設定要求8aで指定される匿名化条件を記憶部130aに記憶する。
その後、クライアント3は、ユーザの匿名化処理を実行する操作に応じて、匿名化実行要求8bをサーバ100へ送信する(ステップS62)。サーバ100は、匿名化実行要求8bで指定される匿名化前ファイル1aに対して匿名化処理を実行する。
そして、サーバ100は、匿名化後ファイル1bのk値(k=1、2、3・・・)毎にレコード数を集計して評価情報1cの生成を行う(ステップS63)。生成した評価情報1cは、円グラフ又は棒グラフにより、クライアント3のユーザI/F16bに表示される。
クライアント3にて、評価情報1cの表示後、ユーザの操作が行われると、自動曖昧化を選択したか否かが判断される(ステップS64)。自動曖昧化が選択された場合(ステップS64のYES)、クライアント3は、サーバ100へ曖昧化要求8dを行い、サーバ100は、ユーザの期待k値1dに従って匿名化後ファイル1bに対して匿名化を改善する処理を行う(ステップS65)。
一方、自動曖昧化が選択されなかった場合(ステップS64のNO)、クライアント3は、条件の見直しが選択されたか否かを判断する(ステップS66)。条件の見直しが選択された場合(ステップS66のYES)、クライアント3は、サーバ100へ条件見直し要求8eを行い、サーバ100は、推奨k値1eをクライアント3へ送信する。その後、クライアント3では、推奨k値を匿名化条件とした匿名化処理を行うため、ステップS61から上述した同様の処理が繰り返される。
一方、条件の見直しが選択されなかった場合(ステップS66のNO)、匿名化システム1000による全体処理が終了する。即ち、クライアント3は、サーバ100から匿名化後ファイル1bを引き取り、クライアント3のユーザの管理の元、匿名化された個人情報が利活用される。
次に、匿名化システム1000における、クライアント3及びサーバ100の機能構成例について説明する。図5は、クライアント及びサーバの機能構成例を示す図である。
先ず、サーバ100の機能構成例について説明する。図5において、サーバ100は、クライアント3からの要求に応じて、クライアント3が指定する匿名化ファイル1aに対して個人情報の匿名化を行う匿名化部40を有する。
匿名化部40は、更に、条件設定部41と、匿名化部42と、評価元情報生成部43aと、第1グラフ化部43bと、第2グラフ化部43cと、曖昧化部44と、条件見直し部45とを有する。条件設定部41と、匿名化部42と、評価元情報生成部43aと、第1グラフ化部43bと、第2グラフ化部43cと、曖昧化部44と、条件見直し部45とは、サーバ100にインストールされたプログラムが、サーバ100のCPU11aに実行させる処理により実現される。
サーバ100において、記憶部130aには、匿名化条件設定情報51、匿名化後ファイル1b、評価元情報53a、第1評価後情報53b、第2評価後情報53c、統計情報59等が記憶される。
条件設定部41は、クライアント3から送信された匿名化条件設定要求8aを通信I/F17aを介して受信し、匿名化条件設定要求8aで指定される匿名化条件を示す匿名化条件設定情報51を記憶部130aに設定する条件設定処理を行う。匿名化条件には、k値、1以上の匿名化項目の組み合せ等が含まれる。条件設定部41は、匿名化条件設定情報51を記憶後、通信I/F17aを介して、クライアント3に設定完了通知を行う。
匿名化部42は、クライアント3から送信された匿名化実行要求8bを通信I/F17aを介して受信し、匿名化実行要求8bで指定された匿名化ファイル1aに対して、記憶部130aに記憶されている匿名化条件設定情報51に従って、匿名化処理を実行し、実行後には、通信I/F17aを介して、クライアント3に実行完了通知を送信する匿名化処理を行う。
匿名化処理は、例えば、予め設定された匿名化条件に従って、k人以下には個人情報から個人を特定できないように匿名化前ファイル1aの各個人情報を曖昧化するk−匿名化処理である。
評価元情報生成部43aは、クライアント3から送信された匿名化評価要求8cを通信I/F17aを介して受信し、匿名化後ファイル1bを匿名化項目の値の組み合せ毎にグループ化して評価元情報53aを生成し、記憶部130aに記憶する評価元情報生成処理を行う。
評価元情報生成部43aは、匿名化項目の値の組み合せ毎に個人情報をグループ化して、評価元情報53aを生成する評価元情報生成処理を行う。評価元情報生成部43aは、各グループの個人情報の数(即ち、レコード数)からk値を取得し、また、グループ毎に匿名化後ファイル1bの個人情報の総数(即ち、レコード総数)に対する割合を算出して統計情報59を取得する。統計情報59によって、グループ毎に、判定されたk値、割合等が示される。
第1グラフ化部43bは、記憶部130aに記憶されている統計情報59aを用いて、k値毎の割合を示す第1評価後情報53bを作成し記憶部130aに記憶する第1グラフ化処理を行う。第1グラフ化部43bは、第1評価後情報53bに基づいて円グラフ33bを作成し、作成した円グラフ33bを示す評価情報1cが、通信I/F17aを介して、クライアント3に送信される。
評価情報1cは、第1評価後情報53bを含むようにしても良い。クライアント3側にて、第1評価後情報53bに基づいて円グラフ33bを描画し、ユーザI/F16bに表示するようにしてもよい。
第2グラフ化部43cは、記憶部130aに記憶されている統計情報59aを用いて、k値毎の割合を示す第2評価後情報53cを作成し記憶部130aに記憶する第2グラフ化処理を行う。第2グラフ化部43cは、第2評価後情報53cに基づいて棒グラフ33cを作成し、作成した棒グラフ33cを示す評価情報1cが、通信I/F17aを介して、クライアント3に送信される。
評価情報1cは、第2評価後情報53cを含むようにしても良い。クライアント3側にて、第2評価後情報53cに基づいて棒グラフ33cを描画し、ユーザI/F16bに表示するようにしてもよい。
円グラフ33bを評価元情報53とするか、棒グラフ33cを評価元情報53とするか、又は、円グラフ33b及び棒グラフ33cを評価元情報53とするかは、クライアント3のユーザによって選択可能とすればよく、匿名化評価要求8cで指定されればよい。
曖昧化部44は、クライアント3から送信された曖昧化要求8dを通信I/F17aを介して受信し、匿名化後ファイル1bから曖昧化要求8dで指定される期待k値1d未満のグループに属するレコードを特定し、k件以上になるよう個人情報を曖昧化する曖昧化処理を行う。曖昧化処理によって、見かけ上、匿名化後ファイル1bには、期待k値1d未満の個人情報は存在しなくなる。
曖昧化部44は、曖昧化処理後に、再度、グループ毎のk値と割合とを算出して統計情報59を更新し、通信I/F17aを介して、クライアント3に曖昧化完了通知を行う。更新された統計情報59をクライアント3に送信してもよい。又は、クライアント3において、評価情報1cの更新要求をサーバ100に行うようにしてもよい。この場合、円グラフ33b及び/又は棒グラフ33cがサーバ100からクライアント3に提供され、クライアント3のユーザI/F16bに更新された円グラフ33b及び/又は棒グラフ33cが表示される。
条件見直し部45は、クライアント3から送信された条件見直し要求8eを通信I/F17aを介して受信し、匿名化後ファイル1bに対して、記憶部130aに記憶されている第2評価後情報53cに基づいて、割合が最も高いk値を推奨k値として取得し、通信I/F17aを介して、クライアント3に推奨k値を送信する条件見直し処理を行う。
次に、クライアント3の機能構成例について説明する。図5において、クライアント3は、匿名化条件設定部31と、匿名化実行部32と、評価情報生成部33と、匿名化改善部34と、k値取得部35とを有する。匿名化条件設定部31と、匿名化実行部32と、評価情報生成部33と、匿名化改善部34と、k値取得部35とは、クライアント3にインストールされたプログラムが、クライアント3のCPU11bに実行させる処理により実現される。又は、これら処理部は、サーバ100から提供され、サーバ100によって制御される、Webブラウザ上で動作するスクリプトコードにより実現されてもよい。
クライアント3において、記憶部130bには、匿名化前ファイル1a、評価情報1c、期待k値1d、推奨k値1e等が、少なくとも一時的に保持される。
匿名化条件設定部31は、ユーザから、匿名化の程度を表すk値、匿名化する1以上の項目(匿名化項目)等を取得し、サーバ100へ匿名化条件設定要求8aを通信I/F17bを介して送信し、サーバ100に匿名化条件を設定させる匿名化条件設定処理を行う。
匿名化条件設定部31は、k値、匿名化項目等を設定するための設定画面をユーザI/F16bに表示して、ユーザからこれらの値を取得すればよい。匿名化条件設定部31は、サーバ100から送信された設定完了通知を通信I/F17bを介して受信すると、匿名化条件設定処理を終了する。
匿名化実行部32は、ユーザが設定した匿名化条件で匿名化を実行する操作に応じて、サーバ100へ匿名化実行要求8bを通信I/F17bを介して送信し、サーバ100に個人情報を匿名化させる匿名化実行処理を行う。
匿名化実行部32は、匿名化するファイルを指定する領域、匿名化を実行するボタン等を有する匿名化実行画面をユーザI/F16bに表示して、ユーザからファイルの格納場所を取得すればよい。匿名化実行要求8bは、匿名化前ファイル1aの実体を含んでも良いし、格納場所を指定してもよい。匿名化実行部32は、サーバ100から送信された実行完了通知を通信I/F17bを介して受信すると、匿名化実行処理を終了する。
評価情報生成部33は、ユーザの評価情報の生成に係る操作、又は、匿名化実行処理の終了に応じて、サーバ100へ匿名化評価要求8cを通信I/F17bを介して送信し、サーバ100に匿名化後ファイル1bの匿名化の評価を行わせ、サーバ100から評価情報1cを受信してユーザI/F16bに表示する評価情報生成処理を行う。
評価情報生成部33は、サーバ100から受信した評価情報1cに基づいて、円グラフ33b及び/又は棒グラフ33cをユーザI/F16bに表示して評価情報生成処理を終了する。円グラフ33b及び/又は棒グラフ33cをユーザI/F16bに表示する画面に、匿名化を改善するための「自動曖昧化」ボタン、匿名化する条件を見直すための「条件の見直し」ボタン等が表示されることが望ましい。
匿名化改善部34は、ユーザによる「自動曖昧化」を指示する操作に応じて、サーバ100へ曖昧化要求8dを通信I/F17bを介して送信し、サーバ100に曖昧化要求8dで指定される期待k値1dに従って匿名化後ファイル1bの個人情報に対して曖昧化を行わせる匿名化改善処理を行う。匿名化改善部34は、サーバ100から送信された曖昧化完了通知を通信I/F17bを介して受信すると、匿名化改善処理を終了する。
k値取得部35は、ユーザによる「条件の見直し」を指示する操作に応じて、サーバ100へ条件見直し要求8eを通信I/F17bを介して送信し、サーバ100に匿名化前ファイル1aに対する匿名化条件の見直しを行わせ、サーバ100から推奨k値1eを受信するk値取得処理を行う。
次に、本実施例におけるサーバ100の匿名化部40による個人情報匿名化処理をデータ例を用て説明する。先ず、サーバ100の個人情報匿名化処理部44における、匿名化処理について説明する。
図6は、匿名化処理を説明するための図である。図6では、個人の傷病履歴に係る個人情報を含むファイルを匿名化前ファイル1aの一例として示し、k−匿名化処理以外の匿名化処理の場合と、k−匿名化処理の場合との違いを説明する。k−匿名化処理以外の匿名化処理の一例として、マスキング匿名化処理で説明する。
匿名化前ファイル1aは、氏名、住所、性別、年齢、診断結果等の項目を含む。匿名化する際には、匿名化前ファイル1aから氏名の項目は削除され、氏名以外の住所、性別、年齢、診断結果等の項目から匿名化項目が設定される。
この例では、住所、性別、及び年齢を匿名化項目とする。即ち、図6に示す匿名化前ファイル1aにおいて、住所「東京都大田区平和島2」、性別「男」、及び年齢「75」の値の組み合せは、1レコードしか存在していないため、氏名がなくても個人「○○ ○○」を特定できる可能性が高い。
マスキング匿名化処理では、1つ以上の項目について、項目値の丸めて精度を粗くする、項目値を削除又は所定値への置き換えによりマスキングする等により、個人情報が匿名化される。
マスキング後ファイル1mでは、匿名化前ファイル1aに対してマスキング匿名化を行った場合のデータ例を示している。
この例では、住所に関して、地域を都道府県に丸めている。住所の精度が低下することで、個人特定が困難になるが、地域性の傾向分析で利用する場合には、精度が低下する。また、年齢に関して、マスキングすることで個人特定が困難になるが、年齢での分析が行えない。マスキング後ファイル1mでは、利活用の観点において有効なデータを提供できない。
k−匿名化処理の概要について説明する。ここでは、k=2の場合で説明する。即ち、匿名化後ファイル1bにおいて、匿名化前ファイル1aを匿名化項目が同じ値のレコードが2件以上存在することを許容して匿名化したことを意味する。
匿名化後ファイル1bでは、住所及び年齢の値を曖昧化した結果を示している。匿名化後ファイル1bにおいて、住所、性別、及び年齢を組み合せても、2レコード以下に絞り込めない状態まで、項目値の精度を粗くしているが、全レコードに対して一律に精度を粗くしていない。
例えば、住所「東京都大田区」のレコードは2件存在し、住所「東京都」のレコードは2件存在する。従って、一部のレコードに対しては、都道府県より詳細に特定した地域の個人情報を取得できるため、地域性分析が可能である。
年齢についても、「60〜70代」、「10〜20代」の夫々についてレコードが少なくとも2件存在する。かつ、「60〜70代」、「10〜20代」の夫々の年代での分析が可能である。
図7は、評価元情報生成処理を説明するための図である。図7において、サーバ100の評価元情報生成部43aは、匿名化後ファイル1bの住所、性別、及び年齢の3つの項目の値の組み合せ毎にグループIDを付与して評価元情報53aを生成する。評価元情報53aは、匿名化後ファイル1bの既存の項目にグループIDの項目が追加されたファイルに相当する。即ち、評価元情報53aは、住所、性別、年齢、診断結果、グループID等の項目を有する。
この例では、住所「東京都大田区」、性別「男」、及び年齢「60〜70代」を示すレコードがグループG001に分類され、住所「東京都」、性別「女」、及び年齢「10〜20代」を示すレコードがグループG002に分類され、住所「神奈川県川崎市中原区」、性別「男」、及び年齢「60〜70代」を示すレコードがグループG003に分類される。
グループG001では2件のレコードが分類され、グループG002では3件のレコードが分類され、グループG003では1件のレコードが分類される。
評価元情報生成部43aは、評価元情報53aを参照して、グループID毎に、グループIDが同一のレコードの件数をカウントすることで、k値を得る。よって、k値は、匿名化項目、この例では、住所、性別、及び年齢、の値の組み合せが一致するレコードの件数を示す。
評価元情報生成部43aは、グループID毎に、評価元情報53aのレコード総数に対する割合を算出して、統計情報59を生成する。統計情報59は、グループID、k値、割合等の項目を有する。
この例では、統計情報59によって、グループID[G001]はk値「2」及び割合「33%」であり、グループID「G002」はk値「3」及び割合「50%」であり、グループID「G003」はk値「1」及び割合「17%」であったことを示している。グループ毎に、異なるk値を示しているが、同じk値で2以上のグループが存在してもよい。
図8は、クライアントで表示される評価結果画面例を示す図である。図8では、サーバ100の匿名化部40の第1グラフ化部43bが、統計情報59に基づいて生成された円グラフ33bの、クライアント3のユーザI/F16bでの表示例を示している。
クライアント3では、評価情報生成部33によって、サーバ100から受信した評価情報1cに基づいて、ユーザI/F16bに評価結果画面G91が表示される。評価結果画面G91は、第1表示領域91aと、第2表示領域91bとを有する。
第1表示領域91aは、匿名化処理に係る種々の情報を表示する領域である。第2表示領域91bは、匿名化後ファイル1bの匿名化状態を評価した評価結果を表示する領域である。
第1表示領域91aでは、クライアント3がサーバ100に要求した匿名化に関する基本情報が表示される。例えば、要求を識別する要求ID、依頼日、処理完了日時、処理前コード数、処理後コード数、匿名化後ファイル、k値、匿名化項目等の情報が表示される。匿名化後ファイルの項目では、サーバ100の記憶部130aに記憶された、匿名化前ファイル1aを匿名化することで得た匿名化後ファイル1bを、ユーザがクライアント3からダウンロード可能なように表示される。また、匿名化した際の匿名化条件が、k値、匿名化項目で示される。
第2表示領域91bでは、匿名化後ファイル1bの匿名化状態の評価結果を表示する。例えば、匿名化後ファイル1bの全体グループ数(匿名化項目値の組み合せ数)91c、円グラフ33b(又は棒グラフ33c)、グラフ切替ボタン91e、自動曖昧化ボタン91f、条件の見直しボタン91g等が表示される。
円グラフ33bの一例として、設定した匿名化条件より大きいk値のレコード数の割合、匿名化条件のk値のレコード数の割合、匿名化条件より小さいk値のレコード数の割合を示している。例えば、匿名化条件「k=3」で匿名化した場合、k>3の割合、k=3の割合、及びk<3の割合が示される。匿名化条件を満たすのは、k=3及びk>3のレコードである。
このように表示された円グラフ33b上で、ユーザがk<3の割合の領域を選択すると、対象のレコードを示す画面G92が表示される。画面G92の例として、ここでは、k<3のレコードはk=1のレコード1件の内容が表示される。例えば、住所「神奈川県川崎市中原区」、性別「男」、年齢「60〜70代」、診断結果「インフルエンザ」、グループID「G003」のレコードである。ユーザは、匿名化条件を満たさないレコードの内容を具体的に知ることができる。
グラフ切替ボタン91eは、ユーザに選択されることで、この例では、棒グラフ33cへの表示に切り替わる。棒グラフ33cが表示されている状態で、グラフ切替ボタン91eが選択された場合には、円グラフ33bが表示される。
ユーザは、画面G92の匿名化条件を満たさないレコードの内容を確認する等により、指定したk値を満たすように曖昧化する場合には、自動曖昧化ボタン91fを選択する。自動曖昧化ボタン91fの選択の際には、ユーザが期待するk値(期待k値1d)が設定可能となる。期待k値1dが設定されなくてもよい。その際には、匿名化条件のk値(=3)をデフォルト値とする。サーバ100へ、曖昧化要求8dが送信される。
サーバ100は、曖昧化部44による曖昧化処理の後、曖昧化部44は、評価元情報生成部43a、第1グラフ化部43b、及び第2グラフ化部43cに夫々の処理を行わせ、曖昧化の結果として、評価情報1cをクライアント3へ送信する。そのようにすることで、クライアント3では、ユーザI/F16bに表示中の評価結果画面G91の第2表示領域91bの表示を更新させることができる。
ユーザは、第2表示領域91bにおいて、更新された円グラフ33b(又は棒グラフ33c)を参照することで、匿名化条件を見直すと判断した場合、条件の見直しボタン91gを選択する。条件の見直しボタン91gの選択に応じて、条件見直し要求8eが送信される。
サーバ100では、条件見直し部45により匿名化条件の見直しが行われ、得られた推奨k値1eがクライアント3に提供される。クライアント3では、推奨k値1eの受信により、匿名化条件設定部31による匿名化条件設定処理が再度行われる。匿名化条件設定処理では、推奨k値1eが匿名化条件として匿名化条件設定要求8aで指定され、サーバ100へと送信される。
図9は、第2グラフ化処理を説明するための図である。図8において、サーバ100の匿名化部40の第2グラフ化部43cは、記憶部130aに記憶された評価元情報53aと、統計情報59とを参照して、第2評価後情報53bを作成し、記憶部130aに記憶する。
第2評価後情報53bでは、統計情報59の既存の項目に加えて、匿名化項目(住所、性別、及び年齢)が追加される。
第2グラフ化部43cは、統計情報59の各レコードのグループIDの値と一致するレコードを評価元情報53aから取得して、取得したレコードの住所、性別、及び年齢の値を第2評価後情報53bに設定して、第2評価後情報53bを完成させる。そして、第2グラフ化部43cは、第2評価後情報53bを所定の並び替え順でソートする。例えば、割合、匿名化項目の昇順に並び替えて、割合に基づいて棒グラフ33cを描画する。
図10は、棒グラフの例を示す図である。図10に示す棒グラフ33cでは、第2評価後情報53cの割合の項目において、数値と数値の高さを棒グラフで表している。棒グラフ33cの表示は、この例に限定されない。
クライアント3に表示された図8の評価結果画面G91において、第2表示領域91bに棒グラフ33cが表示される。
ユーザが、第2表示領域91bの自動曖昧化ボタン91fを選択すると、クライアント3からサーバ100へ曖昧化要求8dが送信される。サーバ100の匿名化部40の曖昧化部44による曖昧化処理について図11及び図12で説明する。
図11は、曖昧化処理を説明するための図である。図11において、曖昧化部44は、曖昧化要求8dで指定される期待k値1dに基づいて、記憶部130aに記憶されている統計情報59を参照し、グループIDを取得する。以下、期待k値1dによりk=2が指定された場合で説明する。この例では、取得したグループIDは「G003」となる。
曖昧化部44は、匿名化後ファイル1bからグループID「G003」のレコードを検索して、検索された各レコードを複製して、評価元情報53a−2を生成する。複製は、少なくとも期待k値1dに達するまで複製する。期待k値1dより大きいk値が存在する場合には、最も大きいk値に達するまで複製してもよい。
その結果、グループID「G003」のレコード9rが複製された評価元情報53a−2を得る。ここでは、複製する例を示したが、削除して曖昧化するようにしてもよい。また、複製か削除かは、ユーザが、自動曖昧化ボタン91fを選択した時に設定可能としてもよい。
図12は、曖昧化処理による統計情報の更新例を示す図である。図12において、曖昧化部44は、曖昧化後の評価元情報53aを用いて、統計情報59を更新して、統計情報59−2を取得する。
統計情報59−2では、グループID「G003」のk値が「1」から「2」へと変更になり、全てのグループにおいて、k値は2以上を示している。従って、期待k値1dを満たす匿名化後のファイル1bを提供できる。
グループID「G001」の割合は、即ち、G001で特定される匿名化項目値の組み合せのレコード(個人情報)の割合は、「33%」から「29%」へと変化している。グループID「G002」の割合は、即ち、G002で特定される匿名化項目値の組み合せのレコード(個人情報)の割合は、「50%」から「43%」へと変化している。また、グループID「G003」の割合は、即ち、G003で特定される匿名化項目値の組み合せのレコード(個人情報)の割合は、「17%」から「29%」へと変化している。
曖昧化部44は、第1グラフ化部43b及び/又は第2グラフ化部43cに、評価元情報53a−2及び統計情報59−2を用いて、第1評価後情報53b及び/又は第2評価後情報53cを生成させることにより、クライアント3へ、曖昧化処理後の評価情報1cを提供する。
図10に例示する棒グラフ33cのデータ例で、条件見直し部45による条件見直し処理の例を説明する。条件見直し部45は、第2評価後情報53c(棒グラフ33c)に基づいて、割合が最も高いk値を推奨k値1eとして決定する。この場合、推奨k値1eは「3」となる。
割合が最も高いk値が複数ある場合は、その中で最も小さいk値を推奨k値1eとする。k値は小さいほど一般的に利活用には有効であるため、最も小さいk値を採用する。
上述したように、本実施例によれば、クライアント3のユーザは、匿名化後ファイル1bの匿名化の状態を、k値の割合を示す円グラフ33b及び/又は匿名化項目の割合を示す棒グラフ33cにより、客観的な数値に基づいて匿名化を容易に評価できる。従って、匿名化後ファイル1bの評価に係る時間を削減することができる。
また、ユーザは、期待k値1dを指定するのみで、ユーザが所望する期待k値1dまで匿名化後ファイル1bのレコード全てを曖昧化できる。
更に、匿名化条件を見直す場合には、ユーザは、推奨k値1eにて匿名化し、その評価を参照することができる。
このように、本実施例におけるサーバ100は、ユーザの匿名化後ファイル1bに対するによる評価を容易にすることができる。
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、主々の変形や変更が可能である。
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
個人情報を含むデータを、該個人情報の共通度に基づいて、複数のグループのいずれかに分類し、
前記複数のグループ毎に、該グループに含まれる前記データの前記個人情報について該個人情報を共通化させる匿名化処理を施すとともに、各グループについてグループに含まれるデータの総数を算出し、
前記データの総数に応じてグループを分類し、
分類結果を出力する、
処理をコンピュータが行うことを特徴とする個人情報匿名化方法。
(付記2)
前記分類結果は、特定のデータの総数を持つグループの数、全グループのうちどの程度の割合で存在するかを示す情報を含む、ことを特徴とする付記1記載の個人情報匿名化方法。
(付記3)
複数のグループのうち、最も多くの数のデータを含む特定のグループと同じ数のデータが含まれるように、前記複数のグループのうち、前記特定のグループ以外のグループについて、グループに属するデータの匿名化処理後の個人情報と同じ個人情報を含むデータを1又は複数追加する、
処理を前記コンピュータが行うことを特徴とする付記1記載の個人情報匿名化方法。
(付記4)
各グループに分類する前記データの基準数の入力を受け付けると、複数のグループのうち、前記各グループに分類される該データの数が前記基準数未満であるグループを特定し、
特定した前記グループに含まれる前記データの数が前記基準数以上となるまで、該データを複製する、
処理を前記コンピュータが行うことを特徴とする付記1記載の個人情報匿名化方法。
(付記5)
各グループに分類する前記データの基準数の入力を受け付けると、複数のグループのうち、前記各グループに分類される該データの数が前記基準数未満であるグループを特定し、
特定した前記グループに含まれる前記データを削除する、
処理を前記コンピュータが行うことを特徴とする付記1記載の個人情報匿名化方法。
(付記6)
前記コンピュータは、
前記個人情報の共通度を見直す要求を受け付けると、全グループのデータ数に対する各グループに含まれる前記データの総数の割合のうち、該割合が最も高いグループの該データの総数を出力し、
出力した前記割合が最も高いグループの前記データの総数を前記共通度に設定して、前記匿名化処理を行って前記データの総数を算出し、該データの総数に応じてグループを分類した前記分類結果を出力する処理を繰り返す
ことを特徴とする付記1乃至5のいずれか一項記載の個人情報匿名化方法。
(付記7)
前記コンピュータは、
前記データの前記個人情報に対して、前記共通度に基づく人数未満の個人の特定を許容して、該個人情報の共通部分を匿名化する前記匿名化処理を行う
ことを特徴とする付記6記載の個人情報匿名化方法。
(付記8)
個人情報を含むデータを、該個人情報の共通度に基づいて、複数のグループのいずれかに分類し、
前記複数のグループ毎に、該グループに含まれる前記データの前記個人情報について該個人情報を共通化させる匿名化処理を施すとともに、各グループについてグループに含まれるデータの総数を算出し、
前記データの総数に応じてグループを分類し、
分類結果を出力する、
処理をコンピュータに実行させることを特徴とする個人情報匿名化プログラム。
(付記9)
個人情報を含むデータを、該個人情報の共通度に基づいて、複数のグループのいずれかに分類し、前記複数のグループ毎に、該グループに含まれる前記データの前記個人情報について該個人情報を共通化させる匿名化処理を施すとともに、各グループについてグループに含まれるデータの総数を算出する算出部と、
前記データの総数に応じてグループを分類し、分類結果を出力する出力部と、
を有することを特徴とする情報処理装置。
1a 匿名化前ファイル、 1b 匿名化後ファイル
1c 評価情報
1d 期待k値、 1e 推奨k値
2 ネットワーク
3 クライアント
8a 匿名化条件設定要求、 8b 匿名化実行要求
8c 匿名化評価要求、 8d 匿名化要求
8e 条件見直し要求
11a、11b CPU
12a、12b 主記憶装置
13a 補助記憶装置
14a 入力装置、 15a 表示装置
16b ユーザI/F
17a、17b 通信I/F
18a、18b ドライブ装置
19a、19b 記憶媒体
31 匿名化条件設定部、 32 匿名化実行部
33 評価情報生成部
33b 円グラフ、 33c 棒グラフ
34 匿名化改善部、 35 k値取得部
40 個人情報匿名化処理部
41 条件設定部、 42 匿名化部
43a 評価元情報生成部
43b 第1グラフ化部、 43c 第2グラフ化部
44 曖昧化部、 45 条件見直し部
51 匿名化条件設定情報
53a 評価元情報
53b 第1評価後情報、 53c 第2評価後情報
59 統計情報
91a 第1表示領域、 91b 第2表示領域
91c 全体グループ数、 91e グラフ切替ボタン
91f 自動曖昧化ボタン、 91g 条件の見直しボタン
100 サーバ
130a、130b 記憶部
1000 匿名化システム
B1、B2 バス
G91 評価結果画面

Claims (7)

  1. 複数のデータに含まれる個人情報を、該個人情報に対する共通化の条件に基づいて匿名化処理を施して、該複数のデータ内の共通部に基づいて複数のグループのいずれかに分類し、
    前記複数のグループに対してグループ単位でデータの総数を算出し、
    前記データの総数に応じて前記複数のグループを分類し、
    分類結果を出力する、
    処理をコンピュータが行うことを特徴とする個人情報匿名化方法。
  2. 前記分類結果は、特定のデータの総数を持つグループの数、全グループのうちどの程度の割合で存在するかを示す情報を含む、ことを特徴とする請求項1記載の個人情報匿名化方法。
  3. 複数のグループのうち、最も多くの数のデータを含む特定のグループと同じ数のデータが含まれるように、前記複数のグループのうち、前記特定のグループ以外のグループについて、グループに属するデータの匿名化処理後の個人情報と同じ個人情報を含むデータを1又は複数追加する、
    処理を前記コンピュータが行うことを特徴とする請求項1記載の個人情報匿名化方法。
  4. 各グループに分類する前記データの基準数の入力を受け付けると、複数のグループのうち、前記各グループに分類される該データの数が前記基準数未満であるグループを特定し、
    特定した前記グループに含まれる前記データの数が前記基準数以上となるまで、該データを複製する、
    処理を前記コンピュータが行うことを特徴とする請求項1記載の個人情報匿名化方法。
  5. 前記コンピュータは、
    前記個人情報に対する前記共通化の条件を見直す要求を受け付けると、全グループのデータ数に対する各グループに含まれる前記データの総数の割合のうち、該割合が最も高いグループの該データの総数を出力し、
    出力した前記割合が最も高いグループの前記データの総数を前記共通化の条件に設定して、前記匿名化処理を行って前記データの総数を算出し、該データの総数に応じてグループを分類した前記分類結果を出力する処理を繰り返す
    ことを特徴とする請求項1乃至4のいずれか一項記載の個人情報匿名化方法。
  6. 複数のデータに含まれる個人情報を、該個人情報に対する共通化の条件に基づいて匿名化処理を施して、該複数のデータ内の共通部に基づいて複数のグループのいずれかに分類し、
    前記複数のグループに対してグループ単位でデータの総数を算出し、
    前記データの総数に応じて前記複数のグループを分類し、
    分類結果を出力する、
    処理をコンピュータに実行させることを特徴とする個人情報匿名化プログラム。
  7. 複数のデータに含まれる個人情報を、該個人情報に対する共通化の条件に基づいて匿名化処理を施して、該複数のデータ内の共通部に基づいて複数のグループのいずれかに分類し、前記複数のグループに対してグループ単位でデータの総数を算出する算出部と、
    前記データの総数に応じて前記複数のグループを分類し、分類結果を出力する出力部と、
    を有することを特徴とする情報処理装置。
JP2015171057A 2015-08-31 2015-08-31 個人情報匿名化方法、プログラム、及び情報処理装置 Active JP6597066B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2015171057A JP6597066B2 (ja) 2015-08-31 2015-08-31 個人情報匿名化方法、プログラム、及び情報処理装置
EP16180105.5A EP3136284B1 (en) 2015-08-31 2016-07-19 Personal information anonymization method, personal information anonymization program, and information processing apparatus
US15/214,819 US10289869B2 (en) 2015-08-31 2016-07-20 Personal information anonymization method, recording medium, and information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015171057A JP6597066B2 (ja) 2015-08-31 2015-08-31 個人情報匿名化方法、プログラム、及び情報処理装置

Publications (2)

Publication Number Publication Date
JP2017049693A JP2017049693A (ja) 2017-03-09
JP6597066B2 true JP6597066B2 (ja) 2019-10-30

Family

ID=56551186

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015171057A Active JP6597066B2 (ja) 2015-08-31 2015-08-31 個人情報匿名化方法、プログラム、及び情報処理装置

Country Status (3)

Country Link
US (1) US10289869B2 (ja)
EP (1) EP3136284B1 (ja)
JP (1) JP6597066B2 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6484657B2 (ja) * 2017-03-17 2019-03-13 新日鉄住金ソリューションズ株式会社 情報処理装置、情報処理方法及びプログラム
US10963590B1 (en) * 2018-04-27 2021-03-30 Cisco Technology, Inc. Automated data anonymization
JP7164333B2 (ja) * 2018-06-27 2022-11-01 株式会社日立製作所 個人情報分析システム
US20210240853A1 (en) * 2018-08-28 2021-08-05 Koninklijke Philips N.V. De-identification of protected information
US20220222369A1 (en) * 2019-05-21 2022-07-14 Nippon Telegraph And Telephone Corporation Information processing apparatus, information processing method and program
US20220229853A1 (en) * 2019-05-21 2022-07-21 Nippon Telegraph And Telephone Corporation Information processing apparatus, information processing method and program
WO2020235017A1 (ja) * 2019-05-21 2020-11-26 日本電信電話株式会社 情報処理装置、情報処理方法及びプログラム
JP7231020B2 (ja) * 2019-05-21 2023-03-01 日本電信電話株式会社 情報処理装置、情報処理方法及びプログラム
WO2020235019A1 (ja) * 2019-05-21 2020-11-26 日本電信電話株式会社 情報処理装置、情報処理方法及びプログラム
US11176275B2 (en) * 2019-07-08 2021-11-16 International Business Machines Corporation De-identifying source entity data
JP7287207B2 (ja) * 2019-09-13 2023-06-06 富士通株式会社 情報処理装置、制御プログラムおよび制御方法
KR20220134578A (ko) * 2020-03-11 2022-10-05 가부시키가이샤 히다치 고쿠사이 덴키 단말 장치 및 rf 전원 장치
US11960623B2 (en) * 2020-03-27 2024-04-16 EMC IP Holding Company LLC Intelligent and reversible data masking of computing environment information shared with external systems
JP2022121227A (ja) * 2021-02-08 2022-08-19 富士フイルムビジネスイノベーション株式会社 情報処理装置及びプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6015658B2 (ja) * 2011-09-02 2016-10-26 日本電気株式会社 匿名化装置、及び、匿名化方法
JPWO2014006851A1 (ja) * 2012-07-02 2016-06-02 日本電気株式会社 匿名化装置、匿名化システム、匿名化方法、及び、匿名化プログラム
JP6108432B2 (ja) 2012-09-28 2017-04-05 株式会社日立システムズ 匿名化データの粒度管理装置および粒度管理方法
JP5747012B2 (ja) 2012-10-26 2015-07-08 株式会社東芝 匿名化データ変更システム
US9129117B2 (en) * 2012-12-27 2015-09-08 Industrial Technology Research Institute Generation method and device for generating anonymous dataset, and method and device for risk evaluation
WO2014109277A1 (ja) * 2013-01-10 2014-07-17 日本電気株式会社 情報処理装置、および、情報処理方法
JPWO2014181541A1 (ja) * 2013-05-09 2017-02-23 日本電気株式会社 匿名性を検証する情報処理装置及び匿名性検証方法
JP6078437B2 (ja) * 2013-08-28 2017-02-08 株式会社日立ソリューションズ パーソナル情報匿名化システム

Also Published As

Publication number Publication date
EP3136284B1 (en) 2020-03-18
US20170061156A1 (en) 2017-03-02
US10289869B2 (en) 2019-05-14
JP2017049693A (ja) 2017-03-09
EP3136284A1 (en) 2017-03-01

Similar Documents

Publication Publication Date Title
JP6597066B2 (ja) 個人情報匿名化方法、プログラム、及び情報処理装置
US20200356901A1 (en) Target variable distribution-based acceptance of machine learning test data sets
US10977389B2 (en) Anonymity assessment system
US11770450B2 (en) Dynamic routing of file system objects
JP2016522475A (ja) 複数ヴァージョンをテストするための方法及びデバイス
CN109522751B (zh) 访问权限控制方法、装置、电子设备及计算机可读介质
US20160306999A1 (en) Systems, methods, and computer-readable media for de-identifying information
JP2021507360A (ja) データを非特定化する方法、データを非特定化するためのシステム、および非データを特定化するためのコンピュータ・プログラム
CN111190689A (zh) 数字孪生系统仿真方法及装置
JP2014066831A (ja) データ処理プログラム、データ処理装置及びデータ処理システム
JP2020003989A (ja) 個人情報分析システム、及び個人情報分析方法
CN112396314A (zh) 任务分配方法、装置、电子设备及存储介质
JP6280270B1 (ja) 内部取引判定装置、内部取引判定方法および内部取引判定プログラム
JP2017076170A (ja) リスク評価装置、リスク評価方法及びリスク評価プログラム
US20120016890A1 (en) Assigning visual characteristics to records
CN111259080A (zh) 一种科研大数据闭环信息管理方法
JP2018190383A (ja) 内部取引判定装置、内部取引判定方法および内部取引判定プログラム
JP6600368B2 (ja) データ変換装置、データ変換方法およびデータ変換プログラム
JP6472904B2 (ja) データ参照権限管理装置、データ参照権限管理方法およびデータ参照権限管理プログラム
JP6280271B1 (ja) データ変換装置、データ変換方法およびデータ変換プログラム
JP6280269B1 (ja) データ参照権限管理装置、データ参照権限管理方法およびデータ参照権限管理プログラム
JP6824303B2 (ja) データ参照権限管理装置、データ参照権限管理方法およびデータ参照権限管理プログラム
JP2017182792A (ja) 集約データ作成装置、集約データ作成方法、及び、集約データ作成プログラム
JP6280268B1 (ja) データ集計装置、データ集計方法およびデータ集計プログラム
JP7209127B1 (ja) 経営情報システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190219

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190422

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190903

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190916

R150 Certificate of patent or registration of utility model

Ref document number: 6597066

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150