JP6627328B2 - Anonymous processing device and anonymous processing method - Google Patents
Anonymous processing device and anonymous processing method Download PDFInfo
- Publication number
- JP6627328B2 JP6627328B2 JP2015164276A JP2015164276A JP6627328B2 JP 6627328 B2 JP6627328 B2 JP 6627328B2 JP 2015164276 A JP2015164276 A JP 2015164276A JP 2015164276 A JP2015164276 A JP 2015164276A JP 6627328 B2 JP6627328 B2 JP 6627328B2
- Authority
- JP
- Japan
- Prior art keywords
- attributes
- anonymization
- combination
- value
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、個人情報を匿名化又は多様化するための匿名処理技術に関する。 The present invention relates to an anonymous processing technique for anonymizing or diversifying personal information.
情報処理技術の発展に伴い、日常の多くの場面で情報が収集され、この収集された情報を用いた処理が行われている。例えば、消費者が店舗の会員となって商品を購入する場合、会員登録時に消費者の氏名、年齢、性別、住所、メールアドレス等を登録することが多い。そして、消費者が商品を購入すると、店舗側のシステムが、この消費者と購入した商品の情報を対応付けて記録する。このように購入した商品の情報を蓄積して分析すると、当該消費者の嗜好が推定でき、この消費者が好む新商品が発売された場合にダイレクトメールを発送するといったサービスを行うことができる。更に、多くの消費者の情報について分析することで、20代女性の好む商品や関東エリアで好まれる商品といった情報を導くことができ、マーケティング等に利用される。 2. Description of the Related Art With the development of information processing technology, information is collected in many everyday situations, and processing is performed using the collected information. For example, when a consumer becomes a member of a store and purchases a product, the name, age, gender, address, mail address, and the like of the consumer are often registered at the time of member registration. Then, when the consumer purchases the product, the store-side system records the information of the consumer and the purchased product in association with each other. By accumulating and analyzing the information of the purchased product in this way, it is possible to estimate the taste of the consumer and to provide a service such as sending out a direct mail when a new product desired by the consumer is released. Further, by analyzing information of many consumers, information such as products preferred by women in their twenties and products favored in the Kanto area can be derived and used for marketing and the like.
また、これらの情報は、当該店舗だけでなく、商品を製造するメーカや、他の企業にとっても新商品の開発や安全性の向上などに用いることができ、価値を有することがある。 In addition, such information can be used not only by the store, but also by a maker that manufactures the product and other companies to develop new products and improve safety, and may have value.
しかし、店舗が有する消費者の個人情報を各消費者の許諾を得ずに、他者へ提供することはできないため、従来は、前記会員登録時の契約に基づいて各消費者が許諾した範囲内で主に当該店舗において利用し、第三者へ個人情報が漏洩しないように管理していた。但し、近年、前記個人情報から有用な情報を導き、個人が特定できない状態で他者へ提供できれば、産業の活性化につながる可能性があるため、上記消費者に関する情報を匿名化した上で他者へ提供することが検討されている。 However, since the personal information of the consumer possessed by the store cannot be provided to other persons without obtaining the permission of each consumer, conventionally, the range of the license granted by each consumer based on the contract at the time of the member registration has been conventionally used. It was used mainly at the store and managed to prevent personal information from leaking to third parties. However, in recent years, if useful information can be derived from the personal information and provided to others in a state in which the individual cannot be identified, there is a possibility of activating the industry. To be provided to the public.
この場合、単に各消費者の氏名や電話番号等の識別情報を削除するだけでなく、他の情報と組み合わせても元の消費者が識別できないように匿名化する必要がある。 In this case, it is necessary to not only delete the identification information such as the name and the telephone number of each consumer, but also to make the original consumer unidentifiable even when combined with other information.
例えば、年齢が記載されている会員リストに25歳の人が一人だけであると、25歳の知人がその会員であることを知った時点で、その人を特定できることになる。即ち、25歳の会員という属性を持つ人が一人だけであると、他の情報と照らし合わせることで、個人を特定できる可能性が高い。 For example, if there is only one 25-year-old person in the member list in which the age is described, the person can be identified when a 25-year-old acquaintance knows that he is a member. That is, if there is only one person having the attribute of a 25-year-old member, there is a high possibility that the individual can be specified by comparing it with other information.
そこで、会員リストの年齢の記載を10歳区切りに抽象化し、20代が3人のように同じ属性を持つ人が複数人となるようにすれば、3人のうちの誰であるかを特定できなくなる。このように同じ属性を持つ人がk人以上いる状態を、「k−匿名性」を満たすと称し、そのようにデータを加工することを「k-匿名化」と称する。 Therefore, if the age description in the member list is abstracted into 10-year-old sections and if there are two or more people with the same attribute, such as three in their twenties, it is possible to specify which of the three people become unable. Such a state where there are k or more people having the same attribute is referred to as satisfying "k-anonymity", and processing data in such a manner is referred to as "k-anonymization".
また、匿名化の基準や手法としては、種々のものが提案されており、例えば、l−多様性、Pk匿名化、t-closeness(非特許文献1参照)が知られている。 In addition, various standards and methods for anonymization have been proposed, for example, l-diversity, Pk anonymization, and t-closeness (see Non-Patent Document 1).
個人情報をk-匿名化することで、再識別化や悪用のリスクを低減させ、第三者への情
報提供等が可能になるが、匿名状態とする処理や検定の処理に多大な計算リソースが必要になるという問題があった。匿名状態の生成処理と検定処理は、対象データの属性値同士の組み合わせで行われるため、組み合わせる属性の数を増加させたり、属性値の種類(選択肢数)が多い属性を組み合わせたりして、組み合わせ数(後述の区分数)が増加すると、指数関数的に計算量が増加するため、詳細なデータを得ようとすると、膨大な計算リソースが必要になってしまう。
By making personal information k-anonymous, it is possible to reduce the risk of re-identification and abuse, and to provide information to third parties. However, a great deal of computational resources are required for anonymous processing and verification processing. There was a problem that needed. Since the anonymous state generation process and the test process are performed using a combination of attribute values of the target data, the number of attributes to be combined is increased, or attributes with many types of attribute values (the number of choices) are combined. When the number (the number of sections to be described later) increases, the amount of calculation increases exponentially. Therefore, to obtain detailed data, an enormous amount of calculation resources is required.
また、詳細なデータを得ようとして、多数の属性を組み合わせると、組み合わされた属性値の出現数が劇的に減少するため匿名化できず、匿名化できるように属性値の抽象度を高くすると、匿名化できたとしても抽象度が高く、結果的に情報量の少ないデータとなってしまう。 Also, when trying to obtain detailed data, if many attributes are combined, the number of occurrences of the combined attribute values will decrease dramatically and it will not be possible to anonymize. However, even if the data can be anonymized, the abstraction is high, resulting in data with a small amount of information.
このため、従来、詳細で且つ匿名可能なデータを少ない演算処理量で得るため、OLA方式のようにボトムアップ又はトップダウンで匿名状態を確認する処理が提案されているが、トップから計算してボトム近くで最適解(GOD:Globally Optimal Dataset)が見つかることや、ボトムから計算してトップ近くでGODが見つかることもあり、確実に計算量が抑えられるものではなかった。 For this reason, in the past, in order to obtain detailed and anonymous data with a small amount of calculation processing, processing of confirming an anonymous state from the bottom up or from the top down as in the OLA method has been proposed. Since the optimal solution (GOD: Globally Optimal Dataset) was found near the bottom, or the GOD was found near the top calculated from the bottom, the calculation amount could not be reliably reduced.
そこで本発明は、詳細で且つ匿名化可能なデータを少ない演算処理量で求める技術を提供する。 Therefore, the present invention provides a technique for obtaining detailed and anonymous data with a small amount of arithmetic processing.
本発明に係る匿名処理装置は、
個人情報を複数の属性の組み合わせで匿名化する場合に、前記属性が取り得る属性値の組み合わせ数を区分数とし、前記属性の組み合わせで前記個人情報を匿名化した場合に、前記属性値の組み合わせが出現する数のうち最小の数を最小出現数とし、前記区分数と前記最少出現数の対応関係を記憶する記憶部と、
処理対象の個人情報を匿名化した場合の最少出現数を目標値以上とする場合に、前記区分数と前記最少出現数の対応関係に基づき、前記最少出現数が前記目標値となる前記区分数を予測値とする予測部と、
処理対象の個人情報を複数の属性の組み合わせで匿名化する匿名化部と、
前記匿名化を行った場合の最少出現数が前記目標値以上か否かの検定を行う検定部と、を備え、
前記匿名化部が、複数の属性の組み合わせで匿名化を行う場合の区分数に基づいて、前記属性の組み合わせを順位付けし、前記予測値と対応する区分数となる順位の属性の組み合わせで匿名化を行い、最少出現数が前記目標値以上でないと検定された場合に、前記順位付けに従い、前記予測値と対応する区分数と近い順に前記匿名化と前記検定を行う。
The anonymous processing device according to the present invention,
When the personal information is anonymized by a combination of a plurality of attributes, the number of combinations of attribute values that the attribute can take is defined as the number of categories, and when the personal information is anonymized by the combination of the attributes, the combination of the attribute values A storage unit that stores the correspondence between the number of divisions and the minimum number of occurrences, with the minimum number being the minimum occurrence number among the numbers in which
When the minimum number of appearances when the personal information to be processed is anonymized is equal to or more than the target value, based on the correspondence between the number of divisions and the minimum number of occurrences, the number of divisions where the minimum number of occurrences becomes the target value A prediction unit having a prediction value of
An anonymization unit that anonymizes personal information to be processed with a combination of a plurality of attributes;
A testing unit for testing whether or not the minimum number of appearances in the case of performing the anonymization is equal to or more than the target value,
The anonymization unit ranks the combinations of the attributes based on the number of classes when performing anonymization with a combination of a plurality of attributes, and anonymizes the combinations of the attributes having the ranks corresponding to the predicted values and the number of classes. When it is determined that the minimum number of occurrences is not greater than or equal to the target value, the anonymization and the test are performed in the order of the number of segments corresponding to the predicted value according to the ranking.
前記匿名処理装置は、前記匿名化を行った際の最少出現数が前記目標値以上であった場合に、当該匿名化を行った際の区分数で前記予測値を更新し、更新した予測値を用いて前記匿名化を行ってもよい。 The anonymous processing device, when the minimum number of appearances when performing the anonymization is equal to or more than the target value, updates the predicted value with the number of segments when performing the anonymization, the updated predicted value May be used to perform the anonymization.
前記匿名処理装置は、前記匿名化を行った際の最少出現数が前記目標値以上でないと検定された場合に、前記順位付けに従い、次に匿名化を行う属性の組み合わせを決定して匿名性を満たす属性の組み合わせを探索する順序を選択可能に複数設定してもよい。 The anonymous processing device, when it is determined that the minimum number of occurrences when performing the anonymization is not more than the target value, according to the ranking, determine the combination of the attributes to be subsequently anonymized, May be set in a selectable plurality in the order of searching for a combination of attributes that satisfies.
本発明に係る匿名処理方法は、
個人情報を複数の属性の組み合わせで匿名化する場合に、前記属性が取り得る属性値の組み合わせ数を区分数とし、前記属性の組み合わせで前記個人情報を匿名化した場合に、前記属性値の組み合わせが出現する数のうち最小の数を最小出現数とし、前記区分数と前記最少出現数の対応関係を記憶する記憶部を参照するステップと、
処理対象の個人情報を匿名化した場合の最少出現数を目標値以上とする場合に、前記区分数と前記最少出現数の対応関係に基づき、前記最少出現数が前記目標値となる前記区分数を予測値とするステップと、
処理対象の個人情報を複数の属性の組み合わせで匿名化するステップと、
前記匿名化を行った場合の最少出現数が前記目標値以上か否かの検定を行うステップと、
をコンピュータが実行し、
前記匿名化するステップにて、複数の属性の組み合わせで匿名化を行う場合の区分数に基づいて、前記属性の組み合わせを順位付けし、前記予測値と対応する区分数となる順位の属性の組み合わせで匿名化を行い、
前記検定を行うステップにて、最少出現数が前記目標値以上でないと検定された場合に、前記順位付けに従い、前記予測値と対応する区分数と近い順に前記匿名化と前記検定を行う。
The anonymous processing method according to the present invention,
When the personal information is anonymized by a combination of a plurality of attributes, the number of combinations of attribute values that the attribute can take is set to the number of categories, and when the personal information is anonymized by the combination of the attributes, the combination of the attribute values Is the minimum number of occurrences among the number of occurrences, the step of referring to a storage unit that stores the correspondence between the number of divisions and the minimum number of occurrences,
When the minimum number of appearances when the personal information to be processed is anonymized is equal to or more than the target value, based on the correspondence between the number of divisions and the minimum number of occurrences, the number of divisions where the minimum number of occurrences becomes the target value Taking as a predicted value;
Anonymizing personal information to be processed with a combination of a plurality of attributes;
Performing a test as to whether the minimum number of appearances in the case of performing the anonymization is equal to or more than the target value,
Is executed by the computer,
In the anonymizing step, the combinations of the attributes are ranked based on the number of segments in the case of performing the anonymization with a combination of a plurality of attributes, and the combination of the attributes of the order that is the number of segments corresponding to the predicted value Anonymize with
In the step of performing the test, when it is determined that the minimum number of occurrences is not equal to or greater than the target value, the anonymization and the test are performed according to the ranking and in ascending order of the number of segments corresponding to the predicted value.
前記匿名処理方法は、前記匿名化を行った際の最少出現数が前記目標値以上であった場合に、当該匿名化を行った際の区分数で前記予測値を更新し、更新した予測値を用いて前記匿名化を行ってもよい。 The anonymous processing method, when the minimum number of appearances when the anonymization is performed is equal to or more than the target value, updates the predicted value with the number of divisions when the anonymization is performed, and updates the updated predicted value May be used to perform the anonymization.
前記匿名処理方法は、前記匿名化を行った際の最少出現数が前記目標値以上でないと検定された場合に、前記順位付けに従い、次に匿名化を行う属性の組み合わせを決定して匿名性を満たす属性の組み合わせを探索する順序を選択可能に複数設定したものであってもよい。 In the anonymity processing method, when it is verified that the minimum number of appearances when performing the anonymization is not more than the target value, a combination of attributes to be subsequently anonymized is determined according to the ranking and the anonymity is determined. May be set in a selectable plurality in the order of searching for a combination of attributes that satisfy the condition.
また、本発明は、上記方法をコンピュータに実行させるためのプログラムであっても良い。更に、前記化プログラムは、コンピュータが読み取り可能な記録媒体に記録されていても良い。 Further, the present invention may be a program for causing a computer to execute the above method. Further, the conversion program may be recorded on a computer-readable recording medium.
ここで、コンピュータが読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記録媒体をいう。このような記録媒体の内コンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD-ROM、CD-R/W、DVD、DAT、8mmテープ、メモリカード等がある。 Here, the computer-readable recording medium refers to a recording medium that stores information such as data and programs by electrical, magnetic, optical, mechanical, or chemical action and can be read from a computer. . Examples of such a recording medium that can be removed from a computer include a flexible disk, a magneto-optical disk, a CD-ROM, a CD-R / W, a DVD, a DAT, an 8 mm tape, a memory card, and the like.
また、コンピュータに固定された記録媒体としてハードディスクやROM(リードオンリーメモリ)等がある。 Further, as a recording medium fixed to the computer, there is a hard disk, a ROM (Read Only Memory) or the like.
本発明は、詳細で且つ匿名化可能なデータを少ない演算処理量で求める技術を提供することができる。 The present invention can provide a technique for obtaining detailed and anonymous data with a small amount of calculation processing.
以下、図面を参照して本発明を実施するための形態について説明する。以下の実施の形態の構成は例示であり、本発明は実施の形態の構成に限定されない。 Hereinafter, embodiments for implementing the present invention will be described with reference to the drawings. The configuration of the following embodiment is an exemplification, and the present invention is not limited to the configuration of the embodiment.
〈実施形態1〉
図1は匿名化処理の説明図、図2は多様化処理の説明図である。図1(A)は、姓、年齢、性別の項目を含む会員情報から姓の項目を削除した例を示す。図1(A)に示すように年齢が記載されている会員情報に16歳の女性が一人だけであると、16歳の女性が、この会員であることが分かった時点で、その人を特定できる。即ち、16歳・女性という属性を持つ人が一人だけであると、他の情報と照らし合わせることで、個人を特定できる可能性がある。
<
FIG. 1 is an explanatory diagram of the anonymization process, and FIG. 2 is an explanatory diagram of the diversification process. FIG. 1A shows an example in which the last name item is deleted from the member information including the last name, age, and gender items. As shown in FIG. 1 (A), if there is only one 16-year-old woman in the member information in which the age is described, when the 16-year-old woman is found to be this member, that person is identified. it can. That is, if there is only one person having the attribute of 16-year-old woman, there is a possibility that the individual can be identified by comparing it with other information.
図1(B)では、会員リストの年齢の記載を抽象化し、0代(10歳未満)、10代、20代のように年代別とした。しかし、この場合でも10代女性は一人だけであり、図1(A)と同様に個人が特定できてしまい匿名化としては不十分である。 In FIG. 1B, the description of the age in the member list is abstracted and classified by age, such as 0s (under 10 years old), 10s, and 20s. However, even in this case, there is only one female teenager, and the individual can be identified similarly to FIG. 1A, which is insufficient for anonymization.
そこで、図1(C)では、更に抽象化し、10代以下(19歳以下)と20代のように年代の区切りを変更した。図1(C)の場合、10代以下の女性が2人であり、[10代以下]及び[女性]という属性が単一では無くなる。このため前述のように16歳の女性が、この会員であることが分かったとしても、どちらが当該16歳女性のデータであるかは特定できない。このように同じ属性を持つ人がk人以上いる状態を、「k-匿名性」を満たすと称し、そのようにデータを加工することを「k-匿名化」と称する。 Therefore, in FIG. 1 (C), the abstraction is further abstracted, and the division of the ages is changed as in teens and younger (19 years and younger) and in their 20s. In the case of FIG. 1C, there are two women under the age of ten, and the attributes [teens and under] and [female] are not single. For this reason, even if it turns out that a 16-year-old woman is this member as described above, it cannot be specified which is the data of the 16-year-old woman. Such a state where there are k or more people having the same attribute is referred to as “k-anonymity”, and processing data in such a manner is referred to as “k-anonymization”.
図2は、ユーザ毎の利用駅のデータを抽象化し、ユーザ毎の利用駅が属する区のデータとした例を示す。抽象化前のデータでは、駅が特定されているために、住居が新宿駅付近で勤務地が東京駅付近といったデータと照らし合わせることでユーザを特定できる可能性がある。このため利用駅を抽象化して、利用駅が属する区とすることで、新宿区内の駅と
千代田区内の駅を利用するユーザが複数となり、利用者が特定されなくなる。このように「新宿区内の駅と千代田区内の駅を利用する」のように属性値がl種類の可能性を持つよう抽象化することをl−多様化と称する。
FIG. 2 shows an example in which the data of the use station for each user is abstracted and the data of the ward to which the use station belongs for each user is used. Since the station is specified in the data before the abstraction, there is a possibility that the user can be specified by comparing the data with data such as a house near Shinjuku station and a work place near Tokyo station. For this reason, by abstracting the use station to the ward to which the use station belongs, the number of users who use the station in Shinjuku ward and the station in Chiyoda ward becomes multiple, and the user is not specified. Such an abstraction that the attribute value has one type of possibility, such as “using a station in Shinjuku ward and a station in Chiyoda ward”, is called l-diversification.
図3は、本実施形態における匿名化システム10の概略構成図である。匿名化システム10は、図1に示すように、匿名処理装置1と近似関数算出装置2を有している。
FIG. 3 is a schematic configuration diagram of the
匿名処理装置1は、データ受付部11や、区分数取得部12、係数取得部13、匿名化部15、検定部16、データ出力部18、予測部19、匿名結果DB(データベース)31、匿名情報縦列DB32を備えている。
The
データ受付部11は、個人と対応付けられた複数の項目(属性)を含む対象データ(個人情報)や、匿名化の条件、匿名化に係る命令等を受け付ける。なお、個人情報や匿名化の条件等の受付は、インターネット等のネットワークを介して受信するものや、記憶媒体から読み出されるもの、キーボード等の入力手段から入力されるものであっても良い。図4は個人情報の一例を示す図である。図4に示す例では、各行(タプル)に各個人の性別、投薬量、完治までの期間等の属性を対応付けて記録している。
The
区分数取得部12は、匿名化対象の個人情報を匿名化する際の区分数を取得する。区分数は、匿名情報に含まれる属性が取り得る属性値(語)の種類の数、換言すると匿名情報を構成する属性の値を同一の値毎に区分した場合の区分の数である。また、区分数取得部12は、一般化(抽象化)した属性値の区分数を取得しても良い。図5は、図4に示す属性B(投薬量)の値一般化階層(VGH:value generalization hierarchies)を示す図であ
る。属性Bは、1ml〜200mlの範囲で投薬した量を示すデータであり、図5のB3のように1ml毎の値に区分した場合、取り得る属性値は、1ml,2ml,3ml,4ml・・・200mlのように200種類となる。即ち、属性Bを1ml毎に区分した場合の区分数は、200区分である。また、属性Bを一般化(抽象化)し、例えば、図5のB2のように10ml毎の値に区分した場合、取り得る属性値は、1ml〜10ml,11ml〜20ml,21ml〜30ml・・・191ml〜200mlのように20種類となる。即ち、属性Bを10ml毎に区分した場合の区分数は、20区分である。また、属性Bを更に一般化し、例えばB1のように50ml毎の値に区分した場合、取り得る属性値は、1ml〜50ml,51ml〜100ml,101ml〜150ml,151ml〜200mlのように4種類となる。即ち、属性Bを50ml毎に区分した場合の区分数は、4区分である。図5において、B3の1ml,2ml,3ml,4ml・・・10mlの属性値を一般化したものが、B2の1ml〜10mlである。また、B2の1ml〜10ml,11ml〜20ml,21ml〜30ml,31ml〜40ml,41ml〜50mlの属性値を一般化したものが、B3の1ml〜50mlである。即ち、B3の属性値を一般化したものがB2の属性値であり、B2の属性値を一般化したものがB1の属性値であり、階層状に一般化されている。例えばB3のように同じ基準(1ml毎)で区切られた一般化の程度が同じ属性値の集合を一つの階層とし、これを一般化したB2の基準(10ml毎)で区切られた属性値の集合をB3の階層より一般化の程度の高いB2の階層としている。更に、B1の基準(50ml毎)で区切られた属性値の集合をB2の階層より一般化の程度の高いB1の階層としている。このように属性の値一般化階層を設定することで、B3の階層の7mlはB2の階層の1ml〜10ml、B3の階層の68mlはB2の階層の61ml〜70mlに一般化することができる。また、B2の階層の1ml〜10mlはB1の階層の1ml〜50ml、B2の階層の61ml〜70mlはB1の階層の51ml〜100mlに一般化することができる。
The number-of-
図6は、図4に示す属性C(完治までの期間)の値一般化階層を示す図である。属性Cは、1週〜12週の範囲で完治までの期間を示すデータであり、図6のC2のように1週
毎の値に区分した場合、取り得る属性値は、1週,2週,3週,4週・・・12週のように12種類、即ち、12区分となる。また、属性Cを一般化し、例えば、図6のC1のように月毎の値に区分した場合、取り得る属性値は、1月未満,1月〜2月未満,2月〜3月未満のように3種類、即ち、3区分となる。図6において、C2の1週,2週,3週,4週の属性値を一般化したものが、C1の1月未満、C2の9週,10週,11週,12週の属性値を一般化したものが、C1の2月〜3月未満である。即ち、C2の属性値を一般化したものがC1の属性値であり、階層状に一般化されている。例えばC2のように同じ基準(週毎)で区切られた一般化の程度が同じ属性値の集合を一つの階層とし、これを一般化したC1の基準(月毎)で区切られた属性値の集合をC2の階層より一般化の程度の高いC1の階層としている。このように属性の値一般化階層を設定することで、C2の階層の3週はC1の階層の1月未満、C2の階層の10週はC1の階層の2月〜3月未満に一般化することができる。
FIG. 6 is a diagram showing a value generalization hierarchy of the attribute C (period until complete recovery) shown in FIG. Attribute C is data indicating the period until complete recovery in the range of 1 week to 12 weeks. If the value is divided into weekly values as shown in C2 of FIG. 6, the possible attribute values are 1 week and 2 weeks. , 3 weeks, 4 weeks... 12 weeks, that is, 12 categories. Also, when the attribute C is generalized and divided into monthly values, for example, as indicated by C1 in FIG. 6, possible attribute values are less than January, less than January to February, and less than February to March. Thus, there are three types, that is, three sections. In FIG. 6, the generalized attribute values of C2 for one week, two weeks, three weeks, and four weeks are obtained by changing the attribute values of C1 for less than one month and C2 for nine weeks, ten weeks, eleven weeks, and twelve weeks. The generalization is less than February to March of C1. That is, the generalization of the attribute value of C2 is the attribute value of C1, and is generalized in a hierarchical manner. For example, a set of attribute values separated by the same criterion (every week) having the same degree of generalization, such as C2, is defined as one layer, and this is a generalized C1 criterion (monthly). The set is a layer of C1 having a higher degree of generalization than the layer of C2. By setting the attribute value generalization hierarchy in this way, three weeks of the hierarchy of C2 are generalized to less than January of the hierarchy of C1, and ten weeks of the hierarchy of C2 are generalized to less than February to March of the hierarchy of C1. can do.
図7は、属性B及び属性Cの属性一般化階層(DGH:Domain Generalization Hierachies)を示す図である。図7に示すように属性Bの階層構造は、上記B3の階層→B2の階
層→B1の階層→ルートとなっている。B3の階層は、{1ml,2ml,3ml,4ml・・・200ml}の属性値を含み、B2の階層は、{1ml〜10ml,11ml〜20ml,21ml〜30ml・・・191ml〜200ml}の属性値を含み、B1の階層は、{1ml〜50ml,51ml〜100ml,101ml〜150ml,151ml〜200ml}の属性値を含む。また、属性Cの階層構造は、上記C2の階層→C1の階層→ルートとなっている。C2の階層は、{1週,2週,3週,4週・・・12週}の属性値を含み、C1の階層は、{1月未満,1月〜2月未満,2月〜3月未満}の属性値を含む。このように、属性一般化階層として、各属性の階層構造及び各属性に含まれる属性値を設定している。
FIG. 7 is a diagram illustrating an attribute generalization hierarchy (DGH: Domain Generalization Hierachies) of the attribute B and the attribute C. As shown in FIG. 7, the hierarchical structure of the attribute B is as follows: the hierarchy of the above B3 → the hierarchy of the B2 → the hierarchy of the B1 → the root. The layer of B3 includes attribute values of {1 ml, 2 ml, 3 ml, 4 ml... 200 ml}, and the layer of B2 has attributes of {1 ml to 10 ml, 11 ml to 20 ml, 21 ml to 30 ml. Values, and the layer of B1 includes attribute values of {1 ml to 50 ml, 51 ml to 100 ml, 101 ml to 150 ml, 151 ml to 200 ml}. Further, the hierarchical structure of the attribute C is such that the above-mentioned hierarchy of C2 → the hierarchy of C1 → the root. The layer of C2 includes attribute values of {1 week, 2 weeks, 3 weeks, 4 weeks ... 12 weeks}, and the layer of C1 is {less than January, less than January to February, and 2 to 3 months. Includes attribute values for less than a month. As described above, as the attribute generalized hierarchy, the hierarchical structure of each attribute and the attribute value included in each attribute are set.
なお、属性は、数値に限定されるものではない。図8は、地域(属性D)の値一般化階層と属性一般化階層を示す図である。図8において、D3の階層は47都道府県、D2の階層は14地域区分、D1の階層は8地域区分を示している。 The attribute is not limited to a numerical value. FIG. 8 is a diagram showing a value generalized hierarchy and an attribute generalized hierarchy of a region (attribute D). In FIG. 8, the hierarchy of D3 indicates 47 prefectures, the hierarchy of D2 indicates 14 regions, and the hierarchy of D1 indicates 8 regions.
本実施形態では、最も一般化の程度が高い階層(最も抽象的な階層)を第一階層とし、第一階層の属性は、属性の記号に階層を示す数字1を付してB1,C1,D1のように示し、第二階層の属性は、B2,C2,D2、、第三階層の属性は、B3,C3,D3のように示す。 In the present embodiment, the hierarchy with the highest degree of generalization (the most abstract hierarchy) is defined as the first hierarchy, and the attributes of the first hierarchy are represented by B1, C1, The attribute of the second layer is indicated as B2, C2, D2, and the attribute of the third layer is indicated as B3, C3, D3.
各属性の値一般化階層及び属性一般化階層は、例えば、予め定めて記憶装置に記憶させておく。なお、属性が数値の場合には、匿名処理装置1が、入力された対象のデータや属性の範囲を所定の値で区分して値一般化階層及び属性一般化階層を作成しても良い。
The value generalized hierarchy and the attribute generalized hierarchy of each attribute are, for example, predetermined and stored in a storage device. When the attribute is a numerical value, the
また、属性は、一般化できるものに限定されず、一般化せずに用いる属性を有しても良い。例えば、属性A(性別)は、男,女の二区分としている。なお、階層状に一般化していない属性は、最も一般化の程度が高い階層(第一階層)として扱う。 Further, the attributes are not limited to those that can be generalized, and may have attributes used without generalization. For example, the attribute A (sex) is classified into two categories, male and female. It should be noted that an attribute that is not generalized in a hierarchical manner is handled as a hierarchy having the highest generalization (first hierarchy).
図9は、これらの属性を組み合わせた場合の区分数を示す図である。図9に示すように、属性を組み合わせた場合の区分数は、各属性の区分数を乗じた値となり、属性Aと属性B1を組み合わせた場合の区分数は8区分、属性Aと属性B2を組み合わせた場合の区分数は40区分、属性Aと属性C1を組み合わせた場合の区分数は6区分、属性Aと属性C2を組み合わせた場合の区分数は24区分である。 FIG. 9 is a diagram showing the number of sections when these attributes are combined. As shown in FIG. 9, the number of divisions when the attributes are combined is a value obtained by multiplying the number of divisions of each attribute. The number of divisions when the attribute A and the attribute B1 are combined is eight divisions, and the attribute A and the attribute B2 are The number of sections when combined is 40, the number of sections when attribute A and attribute C1 are combined is 6, and the number of sections when attribute A and attribute C2 are combined is 24.
同様に、属性B1と属性C1であれば8区分、属性B1と属性C2であれば24区分、属性B2と属性C1であれば60区分、属性B2と属性C2であれば240区分である。 Similarly, the attribute B1 and the attribute C1 have eight sections, the attribute B1 and the attribute C2 have 24 sections, the attribute B2 and the attribute C1 have 60 sections, and the attribute B2 and the attribute C2 have 240 sections.
更に、属性Aと属性B1と属性C1であれば24区分、属性Aと属性B1と属性C2であれば96区分、属性Aと属性B2と属性C1であれば120区分、属性Aと属性B2と属性C2であれば480区分である。 Further, if the attribute A, the attribute B1, and the attribute C1, 24 sections, if the attribute A, the attribute B1, and the attribute C2, 96 sections, if the attribute A, the attribute B2, and the attribute C1, 120 sections, the attribute A, the attribute B2, and the like. If it is attribute C2, it is 480 division.
係数取得部13は、近似関数算出装置2によって算出された近似関数を取得する。近似関数は、例えば、対象データを匿名化する際、区分数を増加させた場合の最少出現数の減少数又は前記減少数の全体数に対する割合である。
The
匿名化部15は、対象データを匿名化或いは多様化する際に、対象データ中の属性の値(属性値)であるワード(語)を前記値一般化階層に基づいて一般化したワードに替えることで匿名化を行い、対象データを匿名候補データとする。本実施形態においてワード(語)は、単語や句など、一まとまりの言葉であり、年齢や投薬量、完治までの期間、位置情報、電話番号等の数値、メールアドレスやIPアドレス等の識別情報、言葉と同様の意味を持つ記号等を含んでも良い。
When anonymizing or diversifying the target data, the anonymizing
検定部16は、匿名候補データの一個人と対応する属性値の組み合わせが、当該匿名候補データ中で基準数以上存在すること、少なくとも単一でないことを条件として検定する。換言すると、匿名候補データにおいて、一タプルの属性値の組み合わせのうち、一致する組み合わせの数(出現数)であって、最も少ないもの(最少出現数)が基準値以上であることを条件として検定する。即ち、k値(最少出現数)が基準値以上であること、またはl値が基準値以上であることを条件とした場合、検定部16は、匿名候補データがk−匿名性を満たしているかや、l−多様性を満たしているかを検定する。検定部16は、匿名候補データにおいて、一タプルの属性値の組み合わせが例えば(男,35ml,2月)であった場合、この属性値の組み合わせ(男,35ml,2月)と一致するものの数(出現数)をカウントし、当該匿名候補データの全ての組み合わせの中で、最も少ない出現数(最少出現数)が基準値以上であることを条件として検定する。検定部16は、この検定の結果、匿名性を満たした匿名候補データを匿名情報として匿名結果DB31に記憶させる。
The
データ出力部18は、匿名結果DB31から匿名化情報を読み出して出力する。ここで、匿名化情報の出力とは、例えば、表示装置による表示出力や、プリンタによる印刷出力、他のコンピュータへの送信、記憶媒体への書き込み等である。
The
予測部19は、処理対象の個人情報を匿名化した場合の最少出現数を目標値以上とする場合に、前記区分数と前記最少出現数の対応関係に基づき、前記最少出現数が前記目標値となる前記区分数を予測値とする。
When the minimum number of occurrences when the personal information to be processed is anonymized is equal to or more than the target value, the
また、近似関数算出装置2は、匿名情報取得部21や、出現数取得部22、係数算出部23、頻出パターンDB33、近似関数DB34を備えている。
The approximate
匿名情報取得部21は、個人情報を匿名化した匿名結果DB31から匿名情報を取得する。また、出現数取得部22は、匿名情報を構成する属性を語(属性値)毎に区分して区分数を求め、各区分における語の最少出現数を求める。
The anonymous
係数算出部と、区分数の異なる複数の前記区分数及び前記最少出現数の組み合わせに基づいて、前記区分数を増加させた場合の最少出現数の減少数又は前記減少数の全体数に対する割合を近似関数として求め、近似関数DB34に記憶する。
A coefficient calculation unit, based on a combination of a plurality of the different numbers of sections and the minimum number of sections, based on the combination of the minimum number of occurrences, the number of the minimum occurrences when the number of the sections is increased, or the ratio of the reduced number to the total number of the reduced number. It is obtained as an approximate function and stored in the
図10は匿名処理装置1及び近似関数算出装置2のハードウェア構成を示す図である。
匿名処理装置1及び近似関数算出装置2は、CPU101、メモリ102、通信制御部103、記憶装置104、入出力インタフェース105を有する所謂コンピュータである。
FIG. 10 is a diagram illustrating a hardware configuration of the
The
CPU101は、メモリ102に実行可能に展開されたプログラムを実行する。これにより、匿名処理装置1のCPU101は、前述のデータ受付部11や、区分数取得部12、係数取得部13、匿名化部15、検定部16、データ出力部18、予測部19の機能を提供する。また、近似関数算出装置2のCPU101は、前述の匿名情報取得部21や、出現数取得部22、係数算出部23の機能を提供する。
The
メモリ102は、主記憶装置ということもできる。メモリ102は、例えば、CPU101が実行するプログラムや、通信制御部103を介して受信したデータ、記憶装置104から読み出したデータ、その他のデータ等を記憶する。
The
通信制御部103は、ネットワークを介して他の装置と接続し、当該装置との通信を制御する。入出力インタフェース105は、表示装置やプリンタ等の出力手段や、キーボードやポインティングデバイス等の入力手段、ドライブ装置等の入出力手段が適宜接続される。ドライブ装置は、着脱可能な記憶媒体の読み書き装置であり、例えば、フラッシュメモリカードの入出力装置、USBメモリを接続するUSBのアダプタ等である。また、着脱可能な記憶媒体は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)等のディスク媒体であってもよい。ドライブ装置は、着脱可能な記憶媒体からプログラムを読み出し、記憶装置104に格納する。
The
記憶装置104は、外部記憶装置ということもできる。記憶装置104としては、SSD(Solid State Drive)やHDD等であってもよい。記憶装置104は、ドライブ装置
との間で、データを授受する。例えば、記憶装置104は、ドライブ装置からインストールされる情報処理プログラム等を記憶する。また、記憶装置104は、プログラムを読み出し、メモリ102に引き渡す。本実施形態では、匿名処理装置1の記憶装置104が前述の匿名結果DB31を格納している。また、近似関数算出装置2の記憶装置104が、頻出パターンDB33、近似関数DB34を格納している。
The
次に本実施形態における匿名化システム10の近似関数算出装置2がプログラムに従って実行する近似関数算出方法について説明する。図11は、近似関数算出方法の説明図である。近似関数算出装置2は、先ず他のコンピュータ或いは記憶装置から最も抽象的な値一般化階層と処理回数nを取得する(ステップS10)。なお、処理回数nは、サンプルの取得数、即ちサンプルを取得する処理の繰り返し数を示す所定値である。
Next, an approximate function calculation method executed by the approximate
次に匿名化処理DBから本実施形態の近似関数算出装置2は、対象データを取得し(ス
テップS20)、当該対象データの区分数をカウントして(ステップS30)、匿名化処理DBに記憶させる(ステップS40)。そして、近似関数算出装置2は、処理回数nが1に達したか否かを判定し(ステップS50)、処理回数nが1に達していなければ(ステップ
S50,No)、処理回数nをデクリメントして(ステップS60)、ステップS10に戻
り、ステップS10〜S50の処理を繰り返す。このステップS10〜S50の処理を所定回数う繰り返し、ステップS50で処理回数nが1と判定された場合(ステップS50
、Yes)、処理回数nを初期値に戻し(ステップS70)、ステップS90に移行する。
なお、ステップS90〜S150の処理は、値一般化階層の出現数の調査を行うものである。
Next, the approximate
, Yes), the number of processes n is returned to the initial value (step S70), and the routine goes to step S90.
Note that the processing of steps S90 to S150 is to investigate the number of appearances of the value generalized hierarchy.
近似関数算出装置2は、まだ出現数を求めていない値一般化階層のうち、最も抽象的な値一般化階層を取得し (ステップS90)、個人情報(対象情報)を取得する(ステップS100)。個人情報の各属性値をステップS90で取得した値一般化階層に合わせて一般
化し、各属性値の組み合わせについて出現数をカウントし(ステップS110)、このうち最小の出現数(k値)を求めて(ステップS120)、匿名化処置DBに格納する(ステッ
プS130)。 そして、近似関数算出装置2は、処理回数nが1に達したか否かを判定し(ステップS140)、処理回数nが1に達していなければ(ステップS140,No)、処理回数nをデクリメントして(ステップS150)、ステップS90に戻り、ステップS90〜S150の処理を繰り返す。このステップS90〜S150の処理を所定回数繰り返し、ステップS140で処理回数nが1と判定された場合(ステップS140、Yes)、図11の処理を終了する。
The approximation
次に、近似関数算出装置2は、図12に示すように、近似関数を取得する。近似関数算出装置2は、値一般化階層の区分数とk値のリストを取得し(ステップS210)、k値を配列に格納して平均値を求め(ステップS220)、式1によりβを求め(ステップS23
0)、式2によりαを求める(ステップS240)。
αxβ ・・・式3
図18は、横軸に区分数、縦軸に最少出現数をとり、近似関数の例を示したグラフである。
Next, the approximate
0), and α is obtained by Expression 2 (step S240).
αxβ ・ ・ ・
FIG. 18 is a graph showing an example of the approximation function with the horizontal axis representing the number of divisions and the vertical axis representing the minimum number of appearances.
また、近似関数算出装置2は、ターゲットとするk値、即ち、匿名化に必要な最少出現数を取得し(ステップS260)、式3を式4のように変形してターゲットのk値を満たすx値(区分数)を求め(ステップS270)、求めたx値を予測GOD値として匿名化処理DBに記憶する(ステップS280)。
図15は、値一般化階層の一例を示す図である。図15では、属性A,B,Cについて、各階層の属性を組み合わせた場合の区分数を昇順に並べて示している。なお、図15では、説明の便宜上、区分数を昇順に並べて示したが、必ずしも物理的に順番に並べる必要はなく、区分数に応じて属性の組み合わせを選択できれば良い。 FIG. 15 is a diagram illustrating an example of the value generalization hierarchy. FIG. 15 shows, for attributes A, B, and C, the number of sections when attributes of each layer are combined, arranged in ascending order. In FIG. 15, for convenience of explanation, the number of sections is shown in ascending order. However, it is not always necessary to physically arrange them in order, but it is sufficient that a combination of attributes can be selected according to the number of sections.
ここで匿名処理装置1は、ステップS350で選択した属性の組み合わせが複数か否か、即ち予測GODの値以下で最も大きい区分数を持つ組み合わせが複数存在するか否かを判定し(ステップS360)、複数存在する場合には(ステップS360,Yes)、優先度が設定されているか否かを判定する(ステップS370)。匿名処理装置1は、予め優先度が設定されている場合(ステップS370,Yes)、この優先度を記憶装置から読み出し、優先度の高い属性の組み合わせを選択する(ステップS380)。優先度は、例えば属性毎に設定しておき、各組み合わせで夫々属性の優先度を合計し、合計した優先度の高い組み合わせを選択する、或は最も優先度の高い属性を含む組み合わせを選択する。
Here, the
なお、優先度は、任意に設定した数値であっても良いし、インターネット等のネットワークの検索エンジンにおいて、各属性又は属性値を検索した際のヒット数や、各属性値の検索数、各属性値をSEMの広告キーワードとした場合の価格を取得して優先度として用いても良い。例えば、投薬量や治療期間等のように属性を示す語について検索エンジンから、ヒット数や、検索回数、SEM価格を取得し、ヒット数や検索回数が高いもの、SEM価格の高いものを優先するよう優先順位を決定して属性の組み合わせを選択する。 Note that the priority may be an arbitrarily set numerical value, or the number of hits when each attribute or attribute value is searched by a search engine of a network such as the Internet, the number of searches for each attribute value, and the number of attributes. The price when the value is used as the SEM advertisement keyword may be acquired and used as the priority. For example, the number of hits, the number of searches, and the SEM price are obtained from the search engine for words indicating attributes such as the dosage and the treatment period, and those with a high hit count, the number of searches, and those with a high SEM price are prioritized. And the combination of attributes is selected.
一方、このような優先度が設定されていない場合には(ステップS370,No)、各属性の内容に応じて優先順位を決定して属性の組み合わせを選択する(ステップS390)。例えば、組み合わせた属性の数が多いものを優先する。即ち、区分数が同じであれば属性を二つ組み合わせたものより、属性を三つ組み合わせたものを優先する。また、属性値の種類が多いものや、属性値の偏りが少ないものを優先しても良い。 On the other hand, when such a priority is not set (No at Step S370), a priority is determined according to the content of each attribute, and a combination of attributes is selected (Step S390). For example, priority is given to an attribute having a large number of combined attributes. That is, if the number of sections is the same, a combination of three attributes is given priority over a combination of two attributes. In addition, priority may be given to those having many types of attribute values and those having a small bias of attribute values.
なお、ステップS380,S390で属性の組み合わせの優先度を決める処理は、ステップS350で選択した組み合わせが複数の場合だけでなく、値一般化階層に基づいて作成した属性の組み合わせの全てについて、同一の区分数が複数存在する場合には、ステップS380,S390で優先度を決めてもよい。即ち、属性の組み合わせについて、区分数に従って昇順又は降順にソートして順位を付ける場合に、区分数が同一の組み合わせについては、ステップS380,S390で優先度に従って順位を決定しても良い。 The process of determining the priority of the combination of attributes in steps S380 and S390 is not limited to the case where there are a plurality of combinations selected in step S350, and is the same for all the combinations of attributes created based on the value generalization hierarchy. If there are a plurality of sections, the priority may be determined in steps S380 and S390. That is, in the case where the combinations of attributes are sorted and ranked in ascending or descending order according to the number of divisions, the ranks may be determined according to the priorities in steps S380 and S390 for the combinations having the same number of divisions.
このステップS380,S390で属性の組み合わせを選択した場合、或はステップS350で選択した属性の組み合わせが複数存在しないと判定した場合(ステップS360
,No)、選択した属性の組み合わせで個人情報Anを匿名化し、最少出現数(k値)を
求める(ステップS400)。
When a combination of attributes is selected in steps S380 and S390, or when it is determined that there is no plurality of combinations of attributes selected in step S350 (step S360
, No), the personal information An is anonymized by the combination of the selected attributes, and the minimum number of appearances (k value) is obtained (step S400).
そして、匿名処理装置1は、図14のステップS410において、予測GODに基づいて選択した属性の組み合わせで匿名化した場合の最少出現数がターゲット(目標値)以上か否かを判定する(ステップS410)、即ちk値をターゲットとして設定した場合には、k匿名性を満たしているか否かを判定する。
Then, in step S410 of FIG. 14, the
匿名処理装置1は、この最少出現数がターゲット以上であれば(ステップS410、Y
es)、ステップS490へ移行し、ターゲット以上でなければ(ステップS410、No)、予測GODに基づいて選択した属性の組み合わせ、即ちステップS380,S390
又はステップS350で選択した属性の組み合わせの順位を変数Jに設定し、変数mを初期値(m=1)に設定し(ステップS420)、順位がJ+mの属性の組み合わせで個人情報Anを匿名化する(ステップS430)。従って、予測GODに基づいて選択した属性の組み合わせよりも一つ順位が大きい属性の組み合わせ、即ち順位が一つ分詳細な属性の組み合わせで匿名化する。
If the minimum number of appearances is equal to or larger than the target (step S410, Y
es), the process proceeds to step S490, and if it is not equal to or more than the target (step S410, No), a combination of attributes selected based on the predicted GOD, that is, steps S380 and S390
Alternatively, the order of the combination of the attributes selected in step S350 is set in the variable J, the variable m is set to the initial value (m = 1) (step S420), and the personal information An is anonymized by the combination of the attributes in the order J + m. (Step S430). Therefore, anonymization is performed using a combination of attributes that is one rank higher than the combination of attributes selected based on the predicted GOD, that is, a combination of attributes that are detailed by one rank.
また、匿名処理装置1は、ステップS430で匿名化した場合の最少出現数がターゲット以上か否かを判定し(ステップS440)、この最少出現数がターゲット以上でなければ(ステップS440,No)、次に順位がJ−mの属性の組み合わせで個人情報Anを匿名化する(ステップS450)。従って、予測GODに基づいて選択した属性の組み合わせよりも一つ順位が小さい属性の組み合わせ、即ち順位が一つ分抽象的な属性の組み合わせで匿名化する。
Further, the
匿名処理装置1は、ステップS450で匿名化した場合の最少出現数がターゲット以上か否かを判定し(ステップS460)、この最少出現数がターゲット以上でなければ(ステ
ップS460,No)、変数mをインクリメントして(ステップS470)、ステップ43
0に戻り、順位がJ+mの属性の組み合わせで個人情報Anを匿名化する。このため、ステップS430の処理が2回目であれば、予測GODに基づいて選択した属性の組み合わせより二つ順位が大きい属性の組み合わせで匿名化し、更に、この最少出現数がターゲット以上でなければ(ステップS440,No) 、予測GODに基づいて選択した属性の組
み合わせより二つ順位が小さい属性の組み合わせで匿名化する(ステップS450)。そして、ステップS430の処理が3回目であれば、予測GODに基づいて選択した属性の組み合わせより三つ順位が大きい属性の組み合わせで匿名化し、更に、この最少出現数がターゲット以上でなければ(ステップS440,No) 、予測GODに基づいて選択した属
性の組み合わせより三つ順位が小さい属性の組み合わせで匿名化する(ステップS450)。
The
Returning to 0, the personal information An is anonymized by the combination of the attributes having the rank of J + m. For this reason, if the process in step S430 is the second time, anonymization is performed using a combination of attributes having two orders of magnitude higher than the combination of attributes selected based on the predicted GOD, and if the minimum number of occurrences is not equal to or greater than the target ( (Step S440, No), anonymization is performed using a combination of attributes having two smaller ranks than the combination of attributes selected based on the predicted GOD (Step S450). If the process in step S430 is the third time, anonymization is performed using a combination of attributes having three orders of magnitude higher than the combination of attributes selected based on the predicted GOD, and if the minimum number of occurrences is not equal to or greater than the target (step S430). (S440, No), anonymization is performed using a combination of attributes having three orders smaller than the combination of attributes selected based on the predicted GOD (step S450).
このように匿名性を満たさない場合には、予測GODに基づいて選択した属性の組み合わせよりも詳細な組み合わせと、抽象的な組み合わせで交互に匿名化してGODを探索する。 When the anonymity is not satisfied as described above, the GOD is searched by alternately anonymizing a combination that is more detailed than a combination of attributes selected based on the predicted GOD and an abstract combination.
そして、匿名処理装置1は、ステップS430で匿名化した匿名情報の最少出現数がターゲット以上と判定した場合(ステップS440,Yes)、或はステップS450で匿名化した匿名情報の最少出現数がターゲット以上と判定した場合(ステップS460,Ye
s)、この匿名情報の区分数で、予測GOD値を更新し(ステップS480)、匿名化処理
の結果を出力する(ステップS490)。本例では、予測GOD値、匿名化情報、及び当該匿名化情報の最少出現数(k値)を匿名化処理DBに記憶させる。
Then, the
s) The predicted GOD value is updated with the number of sections of the anonymous information (step S480), and the result of the anonymization process is output (step S490). In this example, the predicted GOD value, the anonymized information, and the minimum number of appearances (k value) of the anonymized information are stored in the anonymization processing DB.
このように図13,図14の匿名化処理によれば、予測GOD値からGOD値の探索を開始するので、匿名化の処置負荷を確実に低減できる。 As described above, according to the anonymization processing of FIGS. 13 and 14, since the search for the GOD value is started from the predicted GOD value, the processing load of the anonymization can be reliably reduced.
なお、類似した属性情報を有する個人情報を匿名化する場合、予測GOD値も類似する傾向にあるため、大量の個人情報を連続して匿名化処理する場合、図13,図14のように予測GOD値を求めた後は、この予測GOD値を用いて匿名化処理を行っても良い。図16は、この連続処理の例を示す図である。図16では、n件の個人情報を1〜nまで順に処理する例を示し、処理対象の個人情報をAnと示している。 When anonymizing personal information having similar attribute information, the predicted GOD value also tends to be similar. Therefore, when a large amount of personal information is continuously anonymized, the prediction is performed as shown in FIGS. After obtaining the GOD value, anonymization processing may be performed using the predicted GOD value. FIG. 16 is a diagram illustrating an example of this continuous processing. FIG. 16 shows an example in which n pieces of personal information are sequentially processed from 1 to n, and the personal information to be processed is indicated as An.
匿名処理装置1は、図16の処理を開始すると、先ず処理数nを初期値に設定し(ステ
ップS510)、処理対象とする個人データAnを個人データ蓄積DBから取得する(ステップS520)。なお、処理数nの初期値は、通常1と設定して、ステップS520で個
人データA1を取得するが、図13,図14の処理に続けて図16の処理を行う場合、図13,図14で個人データA1を処理するので、ステップS510で設定する初期値を2とし、ステップS520でA2以降の個人データを取得する。ここで、匿名処理装置1は、個人データAnが取得できたか否か、即ち未処理の個人データAnが存在するか否かを判定し(ステップS530)、未処理の個人データAnが存在した場合(ステップS530
,Yes)、予測GODの値と値一般化階層(書き換えパターン)とを匿名化処理DBか
ら取得する(ステップS540)。そして、匿名処理装置1は、取得した値一般化階層に含まれる属性の組み合わせのうち、予測GODの値以下で最も大きい区分数を持つ組み合わせを選択し、この属性の組み合わせで個人情報Anを匿名化し、最少出現数(k値)を求める(ステップS550)。
When the processing of FIG. 16 is started, the
, Yes), the value of the predicted GOD and the value generalized hierarchy (rewrite pattern) are acquired from the anonymization process DB (step S540). Then, the
そして、匿名処理装置1は、ステップS550で求めた最少出現数がターゲット(目標値)以上か否かを判定する(ステップS560)、即ちk値をターゲットとして設定した場合には、k匿名性を満たしているか否かを判定する。
Then, the
匿名処理装置1は、この最少出現数がターゲット以上であれば(ステップS560、Y
es)、匿名性を満たしているので、匿名化処理の結果を匿名化処理DBに記録し(ステップS660)、処理数nをインクリメントして(ステップS670)、ステップS520に
戻り、次の処理へ移行する。
If the minimum number of appearances is equal to or greater than the target (step S560, Y
es) Since the anonymity is satisfied, the result of the anonymization process is recorded in the anonymization process DB (step S660), the number of processes n is incremented (step S670), the process returns to step S520, and proceeds to the next process. Transition.
一方、ステップS550で求めた最少出現数がターゲット以上でなければ(ステップS
560、No)、予測GODに基づいて選択した属性の組み合わせ、即ちステップS55
0で選択した属性の組み合わせの順位を変数Jに設定し、変数mを初期値(m=1)に設定し(ステップS590)、順位がJ+mの属性の組み合わせで個人情報Anを匿名化する(ステップS600)。従って、予測GODに基づいて選択した属性の組み合わせよりも一つ順位が大きい属性の組み合わせ、即ち順位が一つ分詳細な属性の組み合わせで匿名化する。
On the other hand, if the minimum number of occurrences determined in step S550 is not equal to or greater than the target (step S550).
560, No), a combination of attributes selected based on the predicted GOD, ie, step S55
The rank of the combination of the attributes selected at 0 is set to the variable J, the variable m is set to the initial value (m = 1) (step S590), and the personal information An is anonymized by the combination of the attributes of the rank J + m (step S590). Step S600). Therefore, anonymization is performed using a combination of attributes that is one rank higher than the combination of attributes selected based on the predicted GOD, that is, a combination of attributes that are detailed by one rank.
また、匿名処理装置1は、ステップS600で匿名化した場合の最少出現数がターゲット以上か否かを判定し(ステップS610)、この最少出現数がターゲット以上でなければ(ステップS610,No)、次に順位がJ−mの属性の組み合わせで個人情報Anを匿名化する(ステップS620)。従って、予測GODに基づいて選択した属性の組み合わせよりも一つ順位が小さい属性の組み合わせ、即ち順位が一つ分抽象的な属性の組み合わせで匿名化する。
Further, the
匿名処理装置1は、ステップS620で匿名化した場合の最少出現数がターゲット以上か否かを判定し(ステップS630)、この最少出現数がターゲット以上でなければ(ステ
ップS630,No)、変数mをインクリメントして(ステップS640)、ステップ60
0に戻り、順位がJ+mの属性の組み合わせで個人情報Anを匿名化する。このため、ステップS600の処理が2回目であれば、予測GODに基づいて選択した属性の組み合わせより二つ順位が大きい属性の組み合わせで匿名化し、更に、この最少出現数がターゲット以上でなければ(ステップS610,No) 、予測GODに基づいて選択した属性の組
み合わせより二つ順位が小さい属性の組み合わせで匿名化する(ステップS620)。
The
Returning to 0, the personal information An is anonymized by the combination of the attributes having the rank of J + m. For this reason, if the process in step S600 is the second time, anonymization is performed using a combination of attributes that are two ranks higher than the combination of attributes selected based on the predicted GOD, and if the minimum number of occurrences is not equal to or greater than the target ( (Step S610, No), anonymization is performed using a combination of attributes having two smaller ranks than the combination of attributes selected based on the predicted GOD (Step S620).
このように匿名性を満たさない場合には、予測GODに基づいて選択した属性の組み合わせよりも詳細な組み合わせと、抽象的な組み合わせで交互に匿名化してGODを探索す
る。
When the anonymity is not satisfied as described above, the GOD is searched by alternately anonymizing a combination that is more detailed than a combination of attributes selected based on the predicted GOD and an abstract combination.
そして、匿名処理装置1は、ステップS600で匿名化した匿名情報の最少出現数がターゲット以上と判定した場合(ステップS610,Yes)、或はステップS620で匿名化した匿名情報の最少出現数がターゲット以上と判定した場合(ステップS630,Ye
s)、この匿名情報の区分数で、予測GOD値を更新し(ステップS650)、匿名化処理
の結果を出力する(ステップS660)。本例では、予測GOD値、匿名化情報、及び当該匿名化情報の最少出現数(k値)を匿名化処理DBに記憶させる。
Then, the
s) The predicted GOD value is updated with the number of sections of the anonymous information (step S650), and the result of the anonymization process is output (step S660). In this example, the predicted GOD value, the anonymized information, and the minimum number of appearances (k value) of the anonymized information are stored in the anonymization processing DB.
当該匿名情報に対するステップS660が完了した場合、処理数nをインクリメントして(ステップS670)、ステップS520へ戻り、次の個人データAnの処理に移行する。そして、ステップS520で、次の個人情報Anが取得できなくなった場合、即ち未処理の個人情報が存在しなくなった場合(ステップS530,No)、図16の処理を終了する。図16の匿名化処理によれば、匿名化が成功したGOD値を次の匿名化処理の予測GOD値として用いて連続処理することで、更に効率よく大量の個人情報を処理することができる。 When step S660 for the anonymous information is completed, the number of processes n is incremented (step S670), the process returns to step S520, and shifts to the process of the next personal data An. Then, in step S520, if the next personal information An cannot be obtained, that is, if there is no unprocessed personal information (No in step S530), the processing in FIG. 16 ends. According to the anonymization process of FIG. 16, a large amount of personal information can be processed more efficiently by performing continuous processing using the GOD value for which anonymization has succeeded as the predicted GOD value of the next anonymization process.
以上のように、本実施形態によれば、近似関数に基づいて予測GOD値を求め、この予測GOD値からGOD値の探索を開始するので、GOD値を求める処理が確実に低減できる。 As described above, according to the present embodiment, the predicted GOD value is obtained based on the approximation function, and the search for the GOD value is started from the predicted GOD value, so that the process of obtaining the GOD value can be reliably reduced.
また、予測GOD値を用いて類似する個人情報を連続して処理することで、大量の匿名情報を効率良く作成することができる。 Further, by processing similar personal information continuously using the predicted GOD value, a large amount of anonymous information can be efficiently created.
<変形例>
図17は、匿名化処理の変形例を示す図である。図14,図16の処理では、GODの探索を区分数の順で交互に行ったが、他の順序で探索を行っても良い。例えば、図14におけるGODの探索の処理(ステップS420〜S490)や図16におけるGODの探索の処理(ステップS590〜S660)を図17の処理に変えて行っても良い。
<Modified example>
FIG. 17 is a diagram illustrating a modification of the anonymization process. In the processes of FIGS. 14 and 16, the GOD search is performed alternately in the order of the number of sections, but the search may be performed in another order. For example, the GOD search process (steps S420 to S490) in FIG. 14 and the GOD search process (steps S590 to S660) in FIG. 16 may be changed to the process in FIG.
この場合、匿名処理装置1は、図14のステップS410で最少出現数がターゲット以上でないと判定した場合(ステップS410、No)、又は図16のステップS560で最少出現数がターゲット以上でないと判定した場合に(ステップS560、No)、探索パターンの指示を取得する(ステップS602)。ここで、探索パターンとは、予測GODに基づく属性の組み合わせで匿名化した場合の最少出現数がターゲット以上でなかった場合に、次に探索する属性の組み合わせの順序を示すものである。本例では、前述の図14、図16と同じく、交互に探索するものをパターン1、区分数mが大きくなる順番に探索するものをパターン2、区分数mが小さくなる順番に探索するものをパターン3としている。この探索パターンは、オペレータの入力を受ける構成や予め設定された値を読み出す構成であっても良い。
In this case, the
次に匿名処理装置1は、予測GODに基づいて選択した属性の組み合わせ、即ち図13のステップS350又は図16のステップS550で選択した属性の組み合わせの順位を変数Jに設定し、変数r及び変数mを初期値(例えばr=1,m=1)に設定し(ステッ
プS604)、探索パターンが1か否かを判定する(ステップS606)。
Next, the
探索バターンが1であれば(ステップS606,Yes)、匿名処理装置1は、ステップS608へ移行し、順位がJ+mの属性の組み合わせで個人情報Anを匿名化する。従って、予測GODに基づいて選択した属性の組み合わせよりも順位がmだけ大きい属性の組み合わせ、即ちmが1であれば、順位が1つ分詳細な属性の組み合わせで匿名化する。
If the search pattern is 1 (step S606, Yes), the
次に、匿名処理装置1は、ステップS608で匿名化した場合の最少出現数がターゲット以上か否かを判定し(ステップS610)、この最少出現数がターゲット以上でなければ(ステップS610,No)、次に順位がJ−mの属性の組み合わせで個人情報Anを匿名化する(ステップS620)。従って、予測GODに基づいて選択した属性の組み合わせよりも一つ順位がmだけ小さい属性の組み合わせ、即ちmが1であれば、順位が一つ分抽象的な属性の組み合わせで匿名化する。
Next, the
匿名処理装置1は、ステップS620で匿名化した場合の最少出現数がターゲット以上か否かを判定し(ステップS630)、この最少出現数がターゲット以上でなければ(ステ
ップS630,No)、変数mをインクリメントして(ステップS640)、ステップ60
6に戻り、ステップS608で匿名化した匿名情報の最少出現数がターゲット以上と判定した場合(ステップS610,Yes)、或はステップS620で匿名化した匿名情報の最少出現数がターゲット以上と判定した場合(ステップS630,Yes)、匿名化処理の結果を出力する(ステップS660)。本例では、予測GOD値、匿名化情報、及び当該匿名化情報の最少出現数(k値)を匿名化処理DBに記憶させる。
The
6, when it is determined in step S608 that the minimum number of appearances of the anonymized anonymous information is equal to or larger than the target (step S610, Yes), or in step S620, it is determined that the minimum number of appearances of the anonymized anonymous information is equal to or larger than the target. In this case (step S630, Yes), the result of the anonymization process is output (step S660). In this example, the predicted GOD value, the anonymized information, and the minimum number of appearances (k value) of the anonymized information are stored in the anonymization processing DB.
また、ステップS606で、探索パターンが1でないと判定した場合(ステップS60
6,No)、匿名処理装置1は、探索パターンが2か否かを判定し(ステップS710)、
探索バターンが2であれば(ステップS710,Yes)、ステップS715へ移行し、順位がJ+mの属性の組み合わせで個人情報Anを匿名化する(ステップS715)。なお、パターン2で探索を行う場合、ステップS715で匿名化を行う際のJの値は、パターン1と異ならせても良く、例えば所定数Qを減じて、(J−Q)+mのように、区分数の少ない属性の組み合わせから探索を開始するようにオフセットしても良い。
If it is determined in step S606 that the search pattern is not 1 (step S60
6, No), the
If the search pattern is 2 (step S710, Yes), the process proceeds to step S715, and the personal information An is anonymized using a combination of the attributes having the rank of J + m (step S715). When the search is performed using the
次に、匿名処理装置1は、匿名処理装置1は、ステップS715で匿名化した場合の最少出現数がターゲット以上か否かを判定し(ステップS720)、この最少出現数がターゲット以上でなければ(ステップS720,No)、変数rが所定数Rに達したか否かを判定し(ステップS750)、変数rが所定数Rに達していなければ (ステップS750,No)、変数mをインクリメントして(ステップS640)、ステップ606に戻る。
Next, the
一方、ステップS720において、匿名処理装置1は、ステップS715で匿名化した場合の最少出現数がターゲット以上と判定した場合(ステップS720,Yes)、匿名化処理の結果を出力し(ステップS730)、本例では、予測GOD値、匿名化情報、及び当該匿名化情報の最少出現数(k値)を匿名化処理DBに記憶させ、変数(匿名化の成功回数)rをインクリメントして(ステップS740)、ステップS750へ移行する。即ち、成功回数rが所定値Rに達するまで、変数mをインクリメントし、区分数を増やした属性の組み合わせでパターン2の探索を行う(ステップS710〜S750)。
On the other hand, in step S720, when the
また、ステップS710で、探索パターンが2でないと判定した場合(ステップS71
0,No)、匿名処理装置1は、ステップS755へ移行して、順位がJ−mの属性の組
み合わせで個人情報Anを匿名化する。なお、パターン3で探索を行う場合、ステップS755で匿名化を行う際のJの値は、パターン1と異ならせても良く、例えば所定数Pを加えて、(J+P)+mのように、区分数の多い属性の組み合わせから探索を開始するようにオフセットしても良い。
If it is determined in step S710 that the search pattern is not 2 (step S71)
(0, No), the
次に、匿名処理装置1は、ステップS755で匿名化した場合の最少出現数がターゲット以上か否かを判定し(ステップS760)、この最少出現数がターゲット以上でなければ(ステップS760,No)、変数rが所定数Rに達したか否かを判定し(ステップS75
0)、変数rが所定数Rに達していなければ (ステップS750,No)、変数mをインク
リメントして(ステップS640)、ステップ606に戻る。
Next, the
0), if the variable r has not reached the predetermined number R (No at Step S750), the variable m is incremented (Step S640), and the process returns to Step 606.
一方、ステップS760において、匿名処理装置1は、ステップS755で匿名化した場合の最少出現数がターゲット以上と判定した場合(ステップS760,Yes)、匿名化処理の結果を出力し(ステップS770)、本例では、予測GOD値、匿名化情報、及び当該匿名化情報の最少出現数(k値)を匿名化処理DBに記憶させ、変数(匿名化の成功回数)rをインクリメントして(ステップS780)、ステップS750へ移行する。即ち、成功回数rが所定値Rに達するまで、変数mをインクリメントし、区分数を減じた属性の組み合わせでパターン3の探索を行う(ステップS755〜S780)。
On the other hand, in step S760, when the
そして、ステップS660が完了した場合、又はステップS750で成功回数rが所定数に達した場合(ステップS750,Yes)、匿名処理装置1は、図14の探索処理であれば終了し、図16の探索処理であればステップS670へ移行する。なお、ステップS750では、成功回数rの判定だけでなく、成功回数rが1以上の場合、失敗回数が所定値に達し場合にもパターン2,3の探索が終了したものとして判定し(ステップS750
,Yes)、図14の探索処理であれば終了し、図16の探索処理であればステップS6
70へ移行しても良い。
Then, when step S660 is completed, or when the number of successes r reaches the predetermined number in step S750 (step S750, Yes), the
, Yes), if it is the search process of FIG. 14, the process is terminated, and if it is the search process of FIG. 16, step S6
70 may be performed.
このように、本変形例によれば、所望の探索パターンでGODの探索を行うことができる。このため、匿名化の目的等に応じて適切な匿名化処理を行うことが可能になる。 As described above, according to the present modification, GOD search can be performed with a desired search pattern. Therefore, it is possible to perform an appropriate anonymization process according to the purpose of the anonymization.
〈その他〉
本発明は、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
<Others>
The present invention is not limited to the illustrated examples described above, and it goes without saying that various changes can be made without departing from the spirit of the present invention.
1 匿名処理装置
2 近似関数算出装置
10 匿名化システム
11 データ受付部
12 区分数取得部
13 係数取得部
15 匿名化部
16 検定部
18 データ出力部
19 予測部
21 匿名情報取得部
22 出現数取得部
23 係数算出部
DESCRIPTION OF
Claims (3)
処理対象の個人情報を匿名化した場合の最少出現数を目標値以上とする場合に、前記区分数と前記最少出現数の対応関係に基づき、前記最少出現数が前記目標値となる前記区分数を予測値とする予測部と、
処理対象の個人情報を複数の属性の組み合わせで匿名化する匿名化部と、
前記匿名化を行った場合の最少出現数が前記目標値以上か否かの検定を行う検定部と、を備え、
前記匿名化部が、複数の属性の組み合わせで匿名化を行う場合の区分数に基づいて、前記属性の組み合わせを順位付けし、前記予測値と対応する区分数となる順位の属性の組み合わせで匿名化を行い、
前記匿名化を行った際の最少出現数が前記目標値以上でないと検定された場合には、
前記検定部が、前記順位付けに従い、前記予測値と対応する区分数と近い順に前記匿名化と前記検定を行い、
前記匿名化を行った際の最少出現数が前記目標値以上であると検定された場合には、
前記検定部が当該匿名化を行った際の区分数で前記予測値を更新し、
前記匿名化部が、更新した予測値を用いて前記匿名化を行う、
匿名処理装置。 When the personal information is anonymized by a combination of a plurality of attributes, the number of combinations of attribute values that the attribute can take is set to the number of categories, and when the personal information is anonymized by the combination of the attributes, the combination of the attribute values A storage unit that stores the correspondence between the number of divisions and the minimum number of occurrences, with the minimum number being the minimum occurrence number among the numbers in which
When the minimum number of appearances when the personal information to be processed is anonymized is equal to or more than the target value, based on the correspondence between the number of divisions and the minimum number of occurrences, the number of divisions where the minimum number of occurrences is the target value A prediction unit having a prediction value of
An anonymization unit that anonymizes personal information to be processed with a combination of a plurality of attributes;
A testing unit for testing whether the minimum number of occurrences when the anonymization is performed is equal to or greater than the target value,
The anonymization unit ranks the combinations of the attributes based on the number of classes when performing anonymization with a combination of a plurality of attributes, and anonymizes the combinations of the attributes having the ranks corresponding to the predicted values and the number of classes. ,
If the anonymous minimal number of occurrences when performing was assayed with the not more than the target value,
The assay portion may, in accordance with the ranking, have row the anonymous and the test on the number of divisions and close order corresponding to the predicted value,
When it is verified that the minimum number of appearances when performing the anonymization is equal to or more than the target value,
The test unit updates the predicted value with the number of segments when the anonymization is performed,
The anonymization unit performs the anonymization using the updated predicted value,
Anonymous processing device.
処理対象の個人情報を匿名化した場合の最少出現数を目標値以上とする場合に、前記区分数と前記最少出現数の対応関係に基づき、前記最少出現数が前記目標値となる前記区分数を予測値とするステップと、
処理対象の個人情報を複数の属性の組み合わせで匿名化するステップと、
前記匿名化を行った場合の最少出現数が前記目標値以上か否かの検定を行うステップと、
をコンピュータが実行し、
前記匿名化するステップにて、複数の属性の組み合わせで匿名化を行う場合の区分数に基づいて、前記属性の組み合わせを順位付けし、前記予測値と対応する区分数となる順位の属性の組み合わせで匿名化を行い、
前記検定を行うステップにて、前記匿名化を行った際の最少出現数が前記目標値以上でないと検定された場合に、前記順位付けに従い、前記予測値と対応する区分数と近い順に前記匿名化と前記検定を行い
前記匿名化を行った際の最少出現数が前記目標値以上であると検定された場合には、
前記検定を行うステップにて、当該匿名化を行った際の区分数で前記予測値を更新し、
前記匿名化するステップにて、更新した予測値を用いて前記匿名化を行う、
匿名処理方法。 When the personal information is anonymized by a combination of a plurality of attributes, the number of combinations of attribute values that the attribute can take is set to the number of categories, and when the personal information is anonymized by the combination of the attributes, the combination of the attribute values Is the minimum number of occurrences among the number of occurrences, the step of referring to a storage unit that stores the correspondence between the number of divisions and the minimum number of occurrences,
When the minimum number of appearances when the personal information to be processed is anonymized is equal to or more than the target value, based on the correspondence between the number of divisions and the minimum number of occurrences, the number of divisions where the minimum number of occurrences becomes the target value Taking as a predicted value;
Anonymizing personal information to be processed with a combination of a plurality of attributes;
Performing a test as to whether the minimum number of appearances in the case of performing the anonymization is equal to or more than the target value,
Is executed by the computer,
In the anonymizing step, the combinations of the attributes are ranked based on the number of segments in the case of performing the anonymization with a combination of a plurality of attributes, and the combination of the attributes of the order that is the number of segments corresponding to the predicted value Anonymize with
In the step of performing the test, when it is determined that the minimum number of occurrences when the anonymization is performed is not more than the target value, the anonymity is determined according to the ranking and in the order of the number of classifications corresponding to the predicted value. line doctor the reduction and the test
When it is verified that the minimum number of appearances when performing the anonymization is equal to or more than the target value,
In the step of performing the test, the predicted value is updated with the number of segments when the anonymization is performed,
In the anonymizing step, performing the anonymization using the updated predicted value,
Anonymous processing method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015164276A JP6627328B2 (en) | 2015-08-21 | 2015-08-21 | Anonymous processing device and anonymous processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015164276A JP6627328B2 (en) | 2015-08-21 | 2015-08-21 | Anonymous processing device and anonymous processing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017041212A JP2017041212A (en) | 2017-02-23 |
JP6627328B2 true JP6627328B2 (en) | 2020-01-08 |
Family
ID=58203013
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015164276A Active JP6627328B2 (en) | 2015-08-21 | 2015-08-21 | Anonymous processing device and anonymous processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6627328B2 (en) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010086179A (en) * | 2008-09-30 | 2010-04-15 | Oki Electric Ind Co Ltd | Information processing apparatus, computer program, and recording medium |
US20130138698A1 (en) * | 2010-05-19 | 2013-05-30 | Kunihiko Harada | Identity information de-identification device |
JP5611852B2 (en) * | 2011-01-31 | 2014-10-22 | Kddi株式会社 | Public information privacy protection device, public information privacy protection method and program |
JP5747012B2 (en) * | 2012-10-26 | 2015-07-08 | 株式会社東芝 | Anonymized data change system |
-
2015
- 2015-08-21 JP JP2015164276A patent/JP6627328B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017041212A (en) | 2017-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240037096A1 (en) | Searchable index | |
US7953735B2 (en) | Information processing apparatus, method and program | |
CN111008321B (en) | Logistic regression recommendation-based method, device, computing equipment and readable storage medium | |
US20140317756A1 (en) | Anonymization apparatus, anonymization method, and computer program | |
JP2017515184A (en) | Determining temporary transaction limits | |
US11687839B2 (en) | System and method for generating and optimizing artificial intelligence models | |
KR20090017268A (en) | Method for updating interest keyword of user and system for executing the method | |
US20240046157A1 (en) | System and method for generating and optimizing artificial intelligence models | |
Swaminathan et al. | Wearmail: On-the-go access to information in your email with a privacy-preserving human computation workflow | |
US20120239657A1 (en) | Category classification processing device and method | |
JP2014146218A (en) | Information providing device | |
US9201968B2 (en) | System and method for finding mood-dependent top selling/rated lists | |
CN111383072A (en) | User credit scoring method, storage medium and server | |
CN112685635A (en) | Item recommendation method, device, server and storage medium based on classification label | |
JP7278100B2 (en) | Post evaluation system and method | |
CN112288510A (en) | Article recommendation method, device, equipment and storage medium | |
JP6627328B2 (en) | Anonymous processing device and anonymous processing method | |
JP6334915B2 (en) | Anonymization system | |
KR101958555B1 (en) | Apparatus and method for providing search result | |
CN113254650B (en) | Knowledge graph-based assessment pushing method, system, equipment and medium | |
US10496693B2 (en) | Unified classification and ranking strategy | |
KR102296420B1 (en) | Method and system for trust level evaluationon personal data collector with privacy policy analysis | |
KR102205061B1 (en) | Method and apparatus of metadata recommendation service | |
JP2018156332A (en) | Generation device, generation method, and generation program | |
CN113254800A (en) | Information recommendation method and device, electronic equipment and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180821 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20190123 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190614 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190625 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190826 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191105 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191118 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6627328 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |