JP6715816B2 - Anonymized data evaluation system and method, and anonymity level determination server - Google Patents
Anonymized data evaluation system and method, and anonymity level determination server Download PDFInfo
- Publication number
- JP6715816B2 JP6715816B2 JP2017222539A JP2017222539A JP6715816B2 JP 6715816 B2 JP6715816 B2 JP 6715816B2 JP 2017222539 A JP2017222539 A JP 2017222539A JP 2017222539 A JP2017222539 A JP 2017222539A JP 6715816 B2 JP6715816 B2 JP 6715816B2
- Authority
- JP
- Japan
- Prior art keywords
- anonymous
- anonymity
- level
- data
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/10—Text processing
- G06F40/12—Use of codes for handling textual entities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Artificial Intelligence (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Document Processing Apparatus (AREA)
- Storage Device Security (AREA)
Description
本発明は、元データ(個人情報やパーソナル情報など)を匿名化したデータの匿名性(匿名レベル)を評価する匿名化データ評価システム及び方法、並びに匿名レベル判定サーバに関する。 The present invention relates to an anonymized data evaluation system and method for evaluating anonymity (anonymity level) of data obtained by anonymizing original data (personal information, personal information, etc.), and an anonymity level determination server.
インターネットの発展に伴い、企業の業種や業務内容を切り口にして、それぞれに有効なサービスを提供する各種サービス事業者、例えば、飲食業界に対して人気メニューなどの商品情報を提供するサービス事業者や当該サービス事業者に食材などを提供したりする卸サービス事業者や小売サービス事業者、食材などの精算事業者などが増加傾向にある。
このような各種サービス事業者は、個人情報やパーソナル情報(従来の個人情報保護法で定義された個人情報に、法令化はされていないがプライバシの考えも含んだデータである)、例えば、氏名、ユーザID、会員番号、免許証番号や、住所、電話番号、メールアドレス、といった、個人に対して一意に付与された情報や単独で個人を特定できる情報、などを利用する場合、それらの情報の取り扱いに注意が必要である。例えば、個人に関連付けて収集した各種の属性情報や、サービスの利用に伴って蓄積される個人に関する属性情報は、個人の日常生活や行動、生活習慣に関する情報が多く含まれている。このような情報を事業やサービスで利用する場合には、以下のリスクについて注意する必要がある。
情報から個人情報が特定され、個人に関する様々な属性情報や履歴情報が第3者に知られる(個人識別リスク)。
特定の個人に関するプライベート、或いはセンシティブな情報が推定され、個人のプライバシーが侵害される(属性推定リスク)。
With the development of the Internet, various service providers that provide effective services for each type of business and business content, for example, service providers that provide product information such as popular menus to the restaurant industry, The number of wholesale service providers, retail service providers, and food settlement companies that provide foodstuffs to the service providers is increasing.
Such various service providers use personal information and personal information (personal information defined by the conventional Personal Information Protection Law is data that is not legalized but also includes privacy ideas), for example, name. , User ID, membership number, license number, address, telephone number, email address, etc., information that is uniquely assigned to an individual or information that can individually identify an individual, if such information is used Be careful when handling. For example, various kinds of attribute information collected in association with an individual and attribute information about an individual accumulated as a service is used include much information about an individual's daily life, behavior, and lifestyle. When using such information in businesses and services, it is necessary to pay attention to the following risks.
Personal information is specified from the information, and various attribute information and history information about the individual are known to a third party (personal identification risk).
Private or sensitive information about a specific individual is estimated, and the privacy of the individual is violated (attribute estimation risk).
こうしたパーソナル情報の利活用におけるリスクを低減し、安全な二次利用を可能にする手段の一つとして、パーソナル情報の匿名化がある。
この匿名化は、改正個人情報保護法の制定により、個人情報を適切な匿名化処理により「匿名加工情報」、つまり、個人の特定が可能な情報を含まないように加工し、個人識別を防止する処理することで、第3者への提供・活用が法的に可能となった。例えば、「年齢」を「年代」、「完全な住所」を「地域」に変換するなど、「準識別子」の値の抽象化を行うことで、それらの組み合わせに属する対象者(例えば、「年代」と「地域」)を「k」人以下に識別できなくすることで「k−匿名性」を実現する処理である。
Anonymization of personal information is one of the means for reducing the risk in utilizing and utilizing such personal information and enabling safe secondary use.
This anonymization is based on the enactment of the revised Personal Information Protection Law, which processes personal information by appropriate anonymization processing so that it does not include "anonymous processed information", that is, information that can identify an individual, and prevents personal identification. By doing so, it became legally possible to provide and utilize it to third parties. For example, by converting "age" to "age" and "complete address" to "region", the value of the "quasi-identifier" is abstracted, so that the target persons (for example, "age") , And “region”) are not distinguishable to “k” persons or less, and thereby “k-anonymity” is realized.
しかし、「匿名加工情報」を作成する上での、具体的な指標や評価ルールなどは定まっておらず、各業界団体等によるガイドラインの作成が待たれるところである。
また、「匿名加工情報」の指標を定めて匿名化を行っても、個人情報がどのレベル(どの水準)まで匿名化されているか、例えば、単純匿名化手段において、「切り落とし」、「仮名化」、「あいまい化」、などの匿名化が適切になされているか、つまり、匿名化情報(匿名化データ)の安全性や有用性(データの粒度)を、正しく評価・提示することができなければ、安心して匿名加工情報の提供・受領を行うことでできない。
However, specific indicators and evaluation rules for creating "anonymous processing information" have not been set, and the creation of guidelines by various industry groups is awaited.
In addition, even if anonymization is performed by setting the index of "anonymous processed information", to what level (level) the personal information is anonymized, for example, in the simple anonymization means, "cut off", "pseudonymization" , "Ambiguity", etc. must be properly anonymized, that is, the safety and usefulness (data granularity) of anonymized information (anonymized data) must be correctly evaluated and presented. For example, it is not possible to provide/receive anonymously processed information with peace of mind.
匿名化ができているか否かを判定する従来技術として、特開2010−86179号公報(特許文献1)がある。特許文献1では、匿名化区分を項目毎にグループ化し、項目毎に該グループ化後の最小のデータ数を算出することにより匿名化処理を実行しており、匿名化処理の結果に対して、所定の閾値を下回る項目が存在しているか否かを判定する技術が開示されている。
Japanese Patent Laid-Open No. 2010-86179 (Patent Document 1) is a conventional technique for determining whether anonymization has been completed. In
しかし、特許文献1では、匿名性指標として、安全性指標の一つであるk−匿名性のみの評価であり、その他の安全性指標を含む総合的な匿名性の評価となっておらず、匿名化処理後のデータ(匿名化データ)のみを対象とした評価であり、元データである個人情報を合わせた評価は行っていない。また、所定の閾値を下回る項目が存在しているか否かの一意な評価のみであり、再識別リスクに応じた匿名レベル分けの評価とはなっていない。再識別リスクの再識別とは、一旦匿名化したパーソナル情報から、外部のデータを用いて個人が再度識別できてしまうことである。このため、「匿名加工情報」の総合的な匿名レベルの判定をすることができない。つまり、「匿名加工情報」の総合的な匿名レベルの判定については考慮されていない。匿名化した情報(データ)がどれだけ安全であるか、どの程度匿名化されるかを示すことは、利活用を考える事業者にとっては重要である。
However, in
本発明は、係る点に鑑み、個人情報(元データ)を匿名化処理した匿名化情報(匿名化データ)の安全性や有用性を、正しく評価・提示することができる技術を提供することを目的とする。 In view of the above point, the present invention provides a technique that can correctly evaluate and present the safety and usefulness of anonymized information (anonymized data) obtained by anonymizing personal information (original data). To aim.
上記課題を解決するために、本発明は、1つ以上の識別匿名性評価サーバにより、個人情報(元データ)と匿名化情報(匿名化データ)の比較から算出した識別匿名レベルと、1つ以上の非識別匿名性評価サーバにより、匿名化情報(匿名化データ)のみから算出した非識別匿名レベルとを合算して匿名化データを評価する匿名化データ評価システムを設け、当該匿名化データ評価システムにより、匿名化データの総合的な匿名レベルを算出可能とするものである。 In order to solve the above problems, the present invention provides an identification anonymity level calculated from a comparison of personal information (original data) and anonymization information (anonymization data) by one or more identification anonymity evaluation servers, and one. The non-identification anonymity evaluation server described above provides an anonymization data evaluation system that evaluates anonymization data by adding the non-identification anonymity level calculated only from the anonymization information (anonymization data), and the anonymization data evaluation The system makes it possible to calculate the overall anonymity level of anonymized data.
例えば、代表的な本発明の匿名化データ評価システム及び方法、匿名レベル判定サーバ 、並びに符号化データ流通システムの一つは、個人情報を匿名化したデータの匿名性を評価する匿名化データ評価システムにおいて、
匿名データ利用者端末と、匿名レベル判定サーバと、匿名性を評価する1つ以上の識別匿名性評価サーバと、匿名性を評価する1つ以上の非識別匿名性評価サーバと、を備え、
前記匿名データ利用者端末は、
前記個人情報と当該個人情報を匿名化したデータ、および匿名性評価申請情報を前記匿名レベル判定サーバに送信する通信装置、を含み、
前記1つ以上の識別匿名性評価サーバは、
前記匿名データ利用者端末から送信された個人情報および匿名化したデータを、前記匿名レベル判定サーバを介して受信し、また、匿名化したデータの識別匿名レベルを前記匿名レベル判定サーバに送信する通信装置と、
前記個人情報および匿名化したデータから前記匿名化したデータの識別匿名レベルを、匿名レベルの判定指標を元に判定し、当該判定した識別匿名レベルを匿名レベル個別判定結果として出力する識別匿名レベル個別判定部、を含み、
前記1つ以上の非識別匿名性評価サーバは、
前記匿名データ利用者端末から送信された匿名化したデータを、前記匿名レベル判定サーバを介して受信し、また、前記匿名化したデータの非識別匿名レベルを前記匿名レベル判定サーバに送信する通信装置と、
前記匿名化したデータから前記匿名化したデータの非識別匿名レベルを、匿名レベルの判定指標を元に判定し、当該判定した非識別匿名レベルを匿名レベル個別判定結果として出力する非識別匿名レベル個別判定部、を含み、
前記匿名レベル判定サーバは、
前記匿名性評価申請情報に基づき、前記匿名データ利用者端末から送信された個人情報と匿名化したデータを前記1つ以上の識別匿名性評価サーバに、および、前記匿名化したデータを前記1つ以上の非識別匿名性評価サーバに送信し、かつ、前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルを受信する通信装置と、
前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルから前記匿名化したデータの匿名レベルを、匿名レベルの判定指標を元に総合判定する匿名レベル総合判定部、を含む
ことを特徴とする。
For example, one of typical anonymized data evaluation system and method of the present invention, anonymity level determination server, and encoded data distribution system is an anonymized data evaluation system for evaluating anonymity of data in which personal information is anonymized. At
Anonymous data user terminal, an anonymity level determination server, one or more identification anonymity evaluation servers that evaluate anonymity, and one or more non-identification anonymity evaluation servers that evaluate anonymity,
The anonymous data user terminal,
The personal information and data anonymizing the personal information, and a communication device for transmitting anonymity evaluation application information to the anonymous level determination server,
The one or more identification anonymity evaluation servers,
Communication for receiving personal information and anonymized data transmitted from the anonymous data user terminal via the anonymity level determination server, and transmitting the identification anonymity level of the anonymized data to the anonymity level determination server. Device,
Identification anonymous level of the data the anonymous from the personal information and anonymous data, determines based on the determination indicator anonymous level identification anonymous level to output the identification anonymous levels the determination as anonymous level individual determination result Including an individual determination unit,
The one or more non-identification anonymity assessment servers,
A communication device that receives anonymized data transmitted from the anonymous data user terminal via the anonymity level determination server, and also transmits a non-identification anonymous level of the anonymized data to the anonymity level determination server. When,
The indiscriminate anonymous level of the data the anonymous from the anonymous data, determines based on the determination indicator anonymous level, non-identity anonymous level at which the non-discrimination anonymous levels the determination as anonymous level individual determination result Including an individual determination unit,
The anonymous level determination server,
Based on the anonymity evaluation application information, the personal information transmitted from the anonymous data user terminal and the anonymized data are transmitted to the one or more identification anonymity evaluation servers, and the anonymized data is the one. The identification transmitted to the above non-identification anonymity evaluation server and is an anonymous level individual determination result determined by the one or more identification anonymity evaluation servers and the one or more non-identification anonymity evaluation servers A communication device for receiving anonymity levels and non-identifying anonymity levels;
Data the anonymous from the one or more identification anonymity evaluation server and the one or more anonymous level is determined by indiscriminate anonymity evaluation server is an individual determination that said identification anonymous level and non-discriminating anonymous level Anonymity level comprehensive determination unit for comprehensively determining the anonymous level of the above based on the determination index of the anonymous level.
本願発明によれば、個人情報(元データ)の「匿名加工情報」がどのレベル(どの水準)まで匿名化されているかを、総合的に正しく評価・提示することができ、その結果として、例えば、個人情報を取り扱うサービス事業者(匿名加工情報取扱者)は、安心して匿名加工情報の提供・受領を行うことでできる。
上記した以外の課題、構成、効果は、以下の実施形態の説明により明らかにされる。
According to the present invention, it is possible to comprehensively correctly evaluate and present to what level (which level) the "anonymous processed information" of personal information (original data) is anonymized, and as a result, for example, A service provider (person who handles anonymous processing information) that handles personal information can provide and receive anonymous processing information with peace of mind.
Problems, configurations, and effects other than those described above will be clarified by the following description of the embodiments.
以下に、本発明の一実施形態について、図1〜図3を用いて説明する。
まず、本発明の実施例において、使用する用語について説明する。
One embodiment of the present invention will be described below with reference to FIGS. 1 to 3.
First, terms used in the embodiments of the present invention will be described.
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述、などにより特定の個人を識別することができる「元データ」をいう。他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。 "Personal information" is information about a living individual, and is "original data" that can identify a specific individual by the name, date of birth, and other description included in the information. Including those that can be easily matched to other information, which will allow identification of a particular individual.
「個人情報(元データ)」には、識別情報(識別子)、準識別子(準識別子)、その他情報を含む。識別情報(識別子)は、それ自体では個人を特定し得る情報であり、例えば、氏名、ID、などである。準識別子(準識別子)は、識別情報を除く、複数の情報の組合せで個人を特定し得る情報であり、例えば、電話番号や年齢、住所、などである。その他情報は、個人を特定できる可能性が低く、基本的には匿名化処理の対象としない情報である。 The "personal information (original data)" includes identification information (identifier), quasi-identifier (quasi-identifier), and other information. The identification information (identifier) is information that can identify an individual by itself, and is, for example, a name, an ID, or the like. A quasi-identifier (quasi-identifier) is information that can identify an individual with a combination of a plurality of information excluding identification information, and is, for example, a telephone number, an age, an address, or the like. The other information is information that is unlikely to identify an individual and is basically not targeted for anonymization processing.
「パーソナル情報(パーソナルデータ)」とは、単独で個人情報か否かに関わらず、個人と連結可能な情報の総称である。 “Personal information (personal data)” is a generic term for information that can be linked to an individual regardless of whether or not it is personal information alone.
「匿名化情報(匿名化データ)」とは、個人情報(元データ)において、識別情報(識別子)の仮名化や切り落とし、準識別情報や指定情報の切り落としやあいまい化の処理を適用して、個人の識別を困難にした情報である。 "Anonymized information (anonymized data)" means that the personal information (original data) is processed by pseudonymization or cutoff of identification information (identifier), cutoff or ambiguous processing of quasi-identification information or designated information, This information makes it difficult to identify individuals.
「個人情報の仮名化」とは、個人に対して、符号や番号等を付与し、個人を特定できない状態にすることである。 “Personal information pseudonymization” is to give a code or number to an individual so that the individual cannot be identified.
「個人情報の切り落とし」とは、個人を特定、あるいは識別する情報を削除することで、匿名化をすることである。 “Cut-off of personal information” is to anonymize by deleting information that identifies or identifies an individual.
「個人情報のあいまい化」とは、個人情報(元データ)に対して、情報量を落としたり、ノイズを乗せたりして、個人を識別できない状態にすることである。 “Ambiguity of personal information” is to make the individual information indistinguishable by reducing the amount of information or adding noise to the personal information (original data).
「k−匿名化」とは、属性情報の一般化や抑制などにより、k−匿名性を充たすように共通の属性情報の組合せを持つ複数のレコード集合を構成することである。即ち、同じような属性の人がk人以上いる状態を、「k-匿名性」を満たすといい、そのようにデータを加工することを「k-匿名化」と呼ばれている。 “K-anonymization” is to configure a plurality of record sets having a common combination of attribute information so as to satisfy k-anonymity by generalizing or suppressing attribute information. That is, a state in which there are k or more people with similar attributes is said to satisfy "k-anonymity", and processing data in such a manner is called "k-anonymization".
「k−匿名性:k-anonymity」(個人識別)とは、匿名化指標の代表的な一つで、レコード毎の個人識別リスクに関する指標であり、同じ準識別情報の組合せを持つレコードが、匿名化データ中に少なくともk個存在していることを評価する。 “K-anonymity: k-anonymity” (personal identification) is one of the representative anonymization indexes, and is an index related to individual identification risk for each record, and records having the same combination of quasi-identification information are It is evaluated that at least k pieces exist in the anonymized data.
「l−多様性:l-diversity」(属性推定)とは、属性にl(エル)種類以上の多様性があるかの指標であり、ある属性がl−多様性を満たすようにデータを加工することである。 "L-Diversity: l-diversity" (attribute estimation) is an index of whether an attribute has more than l (el) types of diversity, and data is processed so that an attribute satisfies l-diversity. It is to be.
「階層情報」とは、匿名化情報(匿名化データ)の持つそれぞれの値に対して、一般化することでどのような値に置き換えるかを階層的に定義したものであり、何段階まで一般化できるかは階層の数で決まる。 "Hierarchical information" is a hierarchical definition of what value each value of anonymized information (anonymized data) has and is replaced by generalizing it. Whether it can be realized depends on the number of layers.
「匿名化指標(匿名性指標)」とは、匿名化情報(匿名化データ)の安全性や有用性を評価する指標であり、安全性と有用性の評価指標間には、定性的に互いにトレードオフの関係にあり、安全性が高ければ有用性は下がり、有用性を保つとリスクが残り安全性が下がる。 "Anonymization index (anonymity index)" is an index that evaluates the safety and usefulness of anonymized information (anonymized data). There is a trade-off relationship, and if the safety is high, the usefulness decreases, and if the usefulness is maintained, risks remain and the safety decreases.
「情報損失」とは、匿名化指標の一つで、データ全体の有用性に関する指標(有用性指標)であり、匿名化前(元データ)のレコードに対して、匿名化後(匿名化データ)のレコードがどのくらい情報を失っているかを評価する。この「情報損失」は、匿名化前(元データ)と匿名化後(匿名化データ)との差により求めることができる。 "Information loss" is one of the anonymization indexes, and is an index related to the usefulness of the entire data (usability index). For records before anonymization (source data), after anonymization (anonymization data) ) Evaluates how much information the record has lost. This "information loss" can be calculated by the difference between before anonymization (original data) and after anonymization (anonymized data).
「識別匿名」および「非識別匿名」とは、匿名化されたデータが識別可能であるか否かの違いであって、例えば、匿名化データが「Aさん」からのデータであると識別できる場合は、識別匿名となり、誰からのデータか全く識別できない場合は、非識別匿名化となる。 "Identified anonymous" and "non-identified anonymous" are differences in whether anonymized data can be identified, and for example, the anonymized data can be identified as data from "Mr. A". In this case, identification is anonymous, and if the data cannot be identified at all, it is non-identification anonymization.
図1は、本発明の匿名性評価システムの構成例を例示する図である。
匿名性評価システムは、匿名データ利用者が利用する1つ以上の匿名データ利用者端末1(1−A、1−B)と、1つ以上の匿名化データの利用者が利用する1つ以上の匿名レベル判定サーバ2(2−A)と、1つ以上の識別匿名性評価サーバ3(3−1、3−2)と、1つ以上の非識別匿名性評価サーバ4(4−A、4−B)と、を備えている。本例では、匿名データ利用者端末1、識別匿名性評価サーバ3、非識別匿名性評価サーバ4は、それぞれ2つの場合の例を示し、匿名レベル判定サーバ2は、1つの場合の例を示している。
FIG. 1 is a diagram illustrating a configuration example of an anonymity evaluation system of the present invention.
The anonymity evaluation system includes one or more anonymous data user terminals 1 (1-A, 1-B) used by anonymous data users and one or more anonymous user users using anonymized data. Anonymity level determination server 2 (2-A), one or more identification anonymity evaluation servers 3 (3-1, 3-2), and one or more non-identification anonymity evaluation servers 4 (4-A, 4-B). In this example, the anonymous
匿名データ利用者端末1と匿名レベル判定サーバ2は、ネットワーク51を介して相互に各種の情報(データ)を送受信できるように接続されている。
また、匿名レベル判定サーバ2と1つ以上の識別匿名性評価サーバ3および1つ以上の非識別匿名性評価サーバ4は、ネットワーク52を介して相互に各種の情報(データ)を送受信できるように接続されている。
ここで、個人情報保護法の定義では、匿名データ利用者端末1を扱う匿名化データの利用者とは「匿名加工情報取扱事業者」と呼ばれる。
The anonymous
In addition, the anonymous
Here, in the definition of the Personal Information Protection Law, a user of anonymized data that handles the anonymous
次に、図1の匿名性評価システムを構成する各装置の機能概略について説明する。
匿名データ利用者端末1は、例えば、匿名データ利用者端末1自身で、又は他のサーバで匿名化処理した匿名化情報(以下、匿名化データと称する)を匿名レベル判定サーバ2(2−1)へ送信する機能、匿名化データの匿名レベルの判定、つまり、匿名レベル判定申請を匿名レベル判定サーバ2に対して行う機能を有する。
Next, the functional outline of each device that constitutes the anonymity evaluation system of FIG. 1 will be described.
The anonymous
そして、匿名データ利用者端末1は、上述した機能を実現する、例えば、計算機11を備え、計算機11は、演算装置111、記憶装置112、入出力装置113、通信装置114、読取装置115、などを有する。
The anonymous
演算装置111は、匿名化処理部1111、制御部1112、を備えている。 The arithmetic device 111 includes an anonymization processing unit 1111 and a control unit 1112.
匿名化処理部1111は、記憶装置112の個人情報記憶部1121に記憶されている個人情報(元データ)を所望の匿名化の手法により匿名化、例えば、識別情報、準識別情報、などを含む情報を所定のk値で匿名化処理、つまり、k−匿名化処理して匿名化データを生成し、当該匿名化データを匿名データ記憶部1122に記憶するなどの匿名化処理全般に関する機能を有する。 The anonymization processing unit 1111 anonymizes the personal information (original data) stored in the personal information storage unit 1121 of the storage device 112 by a desired anonymization method, for example, includes identification information, semi-identification information, and the like. Anonymization processing of information with a predetermined k value, that is, k-anonymization processing to generate anonymized data, and stores the anonymized data in the anonymous data storage unit 1122. ..
制御部1112は、匿名データ利用者端末1に備わる各装置や各部の全体処理を制御する機能を有する。
例えば、個人情報記憶部1121から個人情報(元データ)を読込み、当該読込んだ個人情報(元データ)を匿名化処理部1111に入力し、匿名化処理部1111により、上述した匿名化処理を行うことで匿名化データを生成し、当該匿名化データを記憶装置112の匿名データ記憶部1122に記憶し、通信装置114により個人情報(元データ)および生成された匿名化データを、ネットワーク51を介して、匿名レベル判定サーバ2に送信するなどの全体処理を制御する。
The control unit 1112 has a function of controlling the overall processing of each device and each unit included in the anonymous
For example, the personal information (original data) is read from the personal information storage unit 1121, the read personal information (original data) is input to the anonymization processing unit 1111, and the anonymization processing unit 1111 performs the above-described anonymization processing. By doing so, anonymized data is generated, the anonymized data is stored in the anonymous data storage unit 1122 of the storage device 112, and the personal information (original data) and the anonymized data generated by the
通信装置114は、匿名レベル判定サーバ2との間において、ネットワーク51を介して、各種情報、例えば、個人情報、匿名化データ、匿名レベル、などを送受信する通信部を有する。
The
入出力装置113は、利用者からの入力、例えば、匿名レベル判定申請(匿名レベル判定依頼)、などを受け付けたり、また、利用者に対し、その判定結果などの情報を表示したりする機能を含む入出力部を有する。
The input/
読取装置115は、可搬性を有する記憶媒体から情報を読み取る機能を含む読取部を有する。 The reading device 115 has a reading unit having a function of reading information from a portable storage medium.
記憶装置112は、個人情報記憶部1121、匿名データ記憶部1122、を有する。
個人情報記憶部1121には、匿名化データの元データとなる個人情報(識別子、準識別子、その他の情報を含む元データ)が記憶されており、個人情報記憶部1121には、個人情報(元データ)を匿名化した匿名化データが記憶される。
The storage device 112 has a personal information storage unit 1121 and an anonymous data storage unit 1122.
The personal information storage unit 1121 stores personal information (original data including identifiers, quasi-identifiers, and other information) that is the original data of the anonymized data. The personal information storage unit 1121 stores personal information (original data Data) is anonymized data is stored.
匿名レベル判定サーバ2は、匿名データ利用者端末1から送信される個人情報(元データ)や匿名化データ、などの情報を受信し、記憶装置112に記憶する機能、
匿名データ利用者端末1から匿名レベル判定申請又は匿名レベル判定依頼を受けたとき、個人情報(元データ)および匿名化データ、を含む情報を識別匿名性評価サーバ3に送信し、また、匿名化データ、を含む情報を非識別匿名性評価サーバ4に送信すると共に識別匿名性評価サーバ3および非識別匿名性評価サーバ4に対して匿名レベル個別判定要求する機能、
識別匿名性評価サーバ3および非識別匿名性評価サーバ4にて判定された結果(識別匿名レベル結果および非識別匿名レベル結果)を受信する機能、
識別匿名性評価サーバ3および非識別匿名性評価サーバ4にて判定された結果(識別匿名レベル結果および非識別匿名レベル結果)により、匿名レベルを総合的に判定し、その匿名レベル総合判定結果を出力する機能、
総合的に判定した匿名レベル総合判定結果を匿名データ利用者端末1へ送信する機能、
を有する。
The anonymous
When an anonymous level determination application or an anonymous level determination request is received from the anonymous
A function of receiving the results (identification anonymous level result and non-identification anonymous level result) determined by the identification
Anonymity level is comprehensively determined by the results determined by the identification
A function that sends the comprehensive determination result of the anonymous level comprehensive determination result to the anonymous
Have.
また、匿名レベル判定サーバ2は、識別匿名性評価サーバ3および非識別匿名性評価サーバ4が、それぞれ複数存在する場合には、匿名データ利用者端末1から匿名レベル判定申請又は匿名レベル判定依頼を受けたとき、個人情報(元データ)、匿名化データ、などの情報を、識別匿名性評価サーバ3および非識別匿名性評価サーバ4の何れに送信するか、その送信先を決定し、当該決定した送信先である1つ以上の識別匿名性評価サーバ3および1つ以上の非識別匿名性評価サーバ4へ個人情報(元データ)、匿名化情報(匿名化データ)、などの情報を振分けて送信する機能、
また、匿名データ利用者端末1から受信した個人情報(元データ)と匿名化データとの差分を元に、有用性を示す指標である情報の損失量(情報エントロピー値等)を算出し、情報価値レベルを判定する機能、
を有する。
In addition, the anonymous
In addition, based on the difference between the personal information (original data) received from the anonymous
Have.
そして、匿名レベル判定サーバ2は、上述した機能を実現する、例えば、計算機21を備え、計算機21は、演算装置211、記憶装置212、通信装置214、を有する。
Then, the anonymous
演算装置211は、匿名レベル総合判定部2111、情報価値レベル判定部2113、制御部2112、振分処理部2114、を備える。
The arithmetic device 211 includes an anonymous level comprehensive determination unit 2111, an information value level determination unit 2113, a control unit 2112, and a
振分処理部2114は、匿名データ利用者端末1からの匿名レベルの匿名レベル判定申請情報を含む匿名レベル判定依頼を受けたとき、当該匿名レベル判定申請情報(匿名性評価申請情報)に含まれる利用分野、利用用途、などに基づく組織信頼度を元に、匿名化データに対する匿名レベル個別判定を行う1つ以上の識別匿名性評価サーバ3および1つ以上の非識別匿名性評価サーバ4の振り分け先を決定する機能を有する。
例えば、個人情報(元データ)および匿名化データ、を含む情報を送信先である組織信頼度の高い識別匿名性評価サーバ3―A、3−B、の何れかに振分け、また、匿名化データ、を含む情報を、送信先である組織信頼度の高い非識別匿名性評価サーバ4―A、4−B、の何れかに振分ける。
When receiving the anonymous level determination request including the anonymous level determination application information of the anonymous level from the anonymous
For example, information including personal information (original data) and anonymized data is distributed to one of the identification anonymity evaluation servers 3 -A and 3-B having a high organizational reliability, which is the destination, and the anonymized data. The information including, is distributed to any of the non-identification anonymity evaluation servers 4-A and 4-B having a high organizational reliability, which is a transmission destination.
匿名レベル総合判定部2111は、識別匿名性評価サーバ3および非識別匿名性評価サーバ4により評価された識別匿名性評価結果および非識別匿名性評価結果を受信し、当該匿名レベル個別判定結果により、匿名化データに対する匿名レベルを総合的に判定し、その判定結果を生成するなどの匿名レベル判定処理全般に関する機能を有する。匿名レベルを総合的に判定する際には、記憶装置212の匿名レベル判定指標記憶部2123に予め格納された匿名レベル判定指標を参照する。
The anonymity level comprehensive determination unit 2111 receives the identification anonymity evaluation result and the non-identification anonymity evaluation result evaluated by the identification
情報価値レベル判定部2113は、匿名データ利用者端末1から受信した個人情報(元データ)と匿名化データとの差分を元に、有用性を示す指標である情報の損失量(情報エントロピー値等)を算出し、情報価値レベルを判定する機能を有する。
The information value level determination unit 2113, based on the difference between the personal information (original data) received from the anonymous
制御部2112は、匿名レベル判定サーバ2に備わる各部の全体処理を制御する機能を有する。
例えば、記憶装置212の個人情報記憶部2121から個人情報(元データ)を読込み、匿名データ記憶部2122から匿名化データを読込み、これらの読込んだ各情報を振分処理部2114で決定された匿名レベル個別判定の振り分け先である、識別匿名性評価サーバ3の1以上、および非識別匿名性評価サーバ4の1以上に対して、ネットワーク52を介して送信すると共に、識別匿名性評価依頼および非識別匿名性評価依頼、つまり、匿名化データの匿名レベル個別判定依頼をするなどの全体処理を制御する。
The control unit 2112 has a function of controlling the overall processing of each unit included in the anonymous
For example, the personal information (original data) is read from the personal information storage unit 2121 of the
通信装置214は、匿名データ利用者端末1および識別匿名性評価サーバ3と非識別匿名性評価サーバ4との間において、ネットワーク51およびネットワーク52を介して各種の情報、例えば、個人情報、匿名化データ、匿名レベル、などを送受信する機能を含む通信部を有する。
The communication device 214, between the anonymous
記憶装置212の個人情報記憶部2121には、匿名データ利用者端末1から受信した個人情報(元データ)が記憶され、匿名データ記憶部2122には、匿名データ利用者端末1から受信した匿名化データが記憶される。
The personal information storage unit 2121 of the
匿名レベル判定指標記憶部2123には、識別匿名性評価サーバ3および非識別匿名性評価サーバ4から受信した匿名レベル個別判定結果(含識別匿名レベルおよび非識別匿名レベル)などから匿名レベル総合判定結果を算出するための匿名レベル判定指標、つまり、匿名化指標に関する情報が記憶される。例えば、以下のような匿名レベル判定指標を有する。
識別匿名性評価サーバ3は、匿名化されたデータに対して安全性の判断基準である匿名性評価指標(匿名化データの安全性を示す匿名レベル判定指標)を算出する機能、例えば、匿名レベル判定サーバ2から受信した個人情報(元データ)および匿名化データから、匿名化データの安全性を示す評価指標である識別匿名レベル個別判定結果を算出する機能、
匿名レベル判定サーバ2から受信した個人情報(元データ)と匿名化データとの差分を元に、有用性を示す指標である情報の損失量(情報エントロピー値等)を算出し、情報価値レベルを判定する機能、
を有する。
The identification
Based on the difference between the personal information (original data) received from the anonymity
Have.
そして、識別匿名性評価サーバ3は、上述した機能を実現する、例えば、計算機31を備え、計算機31は、演算装置311、記憶装置312、通信装置314、を有する。
Then, the identification
演算装置311は、識別匿名レベル個別判定部3111と、制御部3112と、情報価値レベル判定部3113と、を備える。
The arithmetic device 311 includes an identification anonymous level individual determination unit 3111, a
識別匿名レベル個別判定部3111は、匿名レベル判定サーバ2から受信した個人情報(元データ)および匿名化データから、識別匿名レベル個別判定結果を算出するなどの匿名レベル判定処理全般に関する機能を有する。識別匿名レベルを個別に判定する際には、記憶装置312の匿名レベル判定指標記憶部3123に予め格納された匿名レベル判定指標を参照する。
The identification anonymity level individual determination unit 3111 has a function related to anonymity level determination processing in general, such as calculating an identification anonymous level individual determination result from personal information (original data) and anonymization data received from the anonymity
通信装置314は、匿名レベル判定サーバ2との間において、ネットワーク52を介して各種情報(個人情報、匿名化データ、匿名レベル等)を送受信する処理に関する機能を有する。
The
制御部3112は、識別匿名性評価サーバ3に備わる各装置や各部全体処理を制御する機能を有する。
例えば、個人情報記憶部3121から個人情報(元データ)を読込み、匿名データ記憶部3122から匿名化データを読込み、匿名レベル判定指標記憶部3123から読み込んだ匿名レベル個別判定結果を算出するための匿名レベル判定指標(匿名化指標)に基づき識別匿名レベル判定結果を生成する等の全体処理を制御する。
The
For example, anonymity for reading personal information (original data) from the personal information storage unit 3121, anonymized data from the anonymous data storage unit 3122, and calculating the anonymous level individual determination result read from the anonymous level determination index storage unit 3123. It controls the entire process such as generating the identification anonymous level determination result based on the level determination index (anonymization index).
記憶装置312の個人情報記憶部3121には、匿名レベル判定サーバ2から受信した個人情報(元データ)が記憶され、匿名データ記憶部3122には、匿名レベル判定サーバ2から受信した匿名化データが記憶される。
匿名レベル判定指標記憶部3123には、匿名レベル判定サーバ2から受信した個人情報および匿名化データから、匿名レベル個別判定結果を算出するための匿名レベル判定指標(匿名化指標)に関する情報が記憶される。
The personal information storage unit 3121 of the
The anonymous level determination index storage unit 3123 stores information about an anonymous level determination index (anonymization index) for calculating an anonymous level individual determination result from personal information and anonymization data received from the anonymous
非識別匿名性評価サーバ4は、匿名化されたデータに対して安全性の判断基準である匿名性評価指標(匿名化データの安全性を示す匿名レベル判定指標)を算出する機能、例えば、匿名レベル判定サーバ2から受信した匿名化データから、匿名化データの安全性を示す評価指標である非識別匿名レベル個別判定結果を算出する機能、
を有する。
The non-identification
Have.
そして、非識別匿名性評価サーバ4は、上述した機能を実現する、例えば、計算機41を備え、計算機41は、演算装置411、記憶装置412、通信装置414、を有する。
演算装置411は、非識別匿名レベル個別判定部4111と、制御部4112と、備える。
Then, the non-identification
The arithmetic device 411 includes a non-identification anonymous level individual determination unit 4111 and a control unit 4112.
非識別匿名レベル個別判定部4111は、匿名レベル判定サーバ2から受信した匿名化データから、非識別匿名レベル個別判定結果を算出するなどの匿名レベル判定処理全般に関する機能を有する。非識別匿名レベルを個別に判定する際には、記憶装置412の匿名レベル判定指標記憶部4123に予め格納された匿名レベル判定指標を参照する。
The non-identification anonymous level individual determination unit 4111 has a function relating to overall anonymous level determination processing such as calculating a non-identification anonymous level individual determination result from the anonymized data received from the anonymous
制御部4112は、非識別匿名性評価サーバ4に備わる各装置や各部の全体処理を制御する機能を有する。
例えば、匿名データ記憶部4122から匿名データを読込み、匿名レベル判定指標記憶部4123から読み込んだ匿名レベル個別判定結果を算出するための匿名レベル判定指標に基づき非識別匿名レベル判定結果を生成する等の全体処理を制御する。
The control unit 4112 has a function of controlling overall processing of each device and each unit included in the non-identification
For example, the anonymous data is read from the anonymous data storage unit 4122, and the non-identification anonymous level determination result is generated based on the anonymous level determination index for calculating the anonymous level individual determination result read from the anonymous level determination index storage unit 4123. Control the whole process.
通信装置414は、匿名レベル判定サーバ2との間において、ネットワーク52を介して情報、例えば、匿名データ、匿名レベル、などを送受信する処理に関する機能を有する。
The communication device 414 has a function related to a process of transmitting and receiving information, for example, anonymous data, anonymity level, and the like, to and from the anonymous
記憶装置412の匿名データ記憶部4122には、匿名レベル判定サーバ2から受信した匿名化データが記憶される。
匿名レベル判定指標記憶部4123には、匿名レベル判定サーバ2から受信した匿名化データから、非識別匿名レベル個別判定結果を算出するための匿名レベル判定指標(匿名化指標)に関する情報が記憶される。
The anonymized data storage unit 4122 of the storage device 412 stores anonymized data received from the anonymity
The anonymity level determination index storage unit 4123 stores information about anonymity level determination index (anonymization index) for calculating the non-identification anonymous level individual determination result from the anonymization data received from the anonymous
なお、上述した実施例では、匿名データ利用者端末1、匿名レベル判定サーバ2、識別匿名性評価サーバ3、非識別匿名性評価サーバ4は、CPU、メモリ、ハードディスク、などの外部記憶装置、ネットワークを介して他装置と通信を行なうための通信装置、キーボードやマウスなどの入力装置、表示装置やプリンタなどの出力装置、可搬性を有する記憶媒体から情報を読み取る読取装置、などを備えた一般的な電子計算機により構成しており、上述の端末や各サーバの処理は、CPUの内部に格納された各種プログラムを読み込むことで実現される。なお、各機能をCPUで実現する方法のみならず、それぞれをモジュールで実現、すなわち個別のハードウエアとして実現しても良い。
In the above-described embodiment, the anonymous
図2は、本発明の匿名性評価システムにおける匿名レベル判定サーバ2と匿名データ利用者端末1間における各情報(データ)の送受信、匿名レベル判定申請を説明するためのシーケンスを示す図である。
FIG. 2 is a diagram showing a sequence for explaining transmission/reception of each information (data) between the anonymous
図2のシーケンスに基づく動作は以下のとおりである。
ステップS11:まず、匿名データ利用者端末1は、個人情報記憶部1121に記憶されている個人情報(元データ)を元に、匿名化処理部1111によって匿名化データを生成し、当該匿名化データを匿名データ記憶部1122に記憶する。
ここで、匿名化データの生成にあたっては、匿名データ利用者端末1自身で生成するのではなく、他のサーバに委託して匿名化データを生成しても良い。
The operation based on the sequence of FIG. 2 is as follows.
Step S11: First, the anonymization
Here, in generating the anonymized data, the anonymized data may not be generated by the anonymous
ステップS12:匿名データ利用者端末1は、通信装置114にて、個人情報記憶部1121に記憶される個人情報(元データ)と匿名データ記憶部1122に記憶される匿名化データと共に、匿名化データの利用分野、利用用途、などを明示して匿名レベル判定申請を匿名レベル判定サーバ2に送信する。
ここで、送信する個人情報(元データ)は、匿名性評価に支障がない範囲で個人を識別可能な情報をマスキングしたり、ランダムな符号化(トーカナイズ)を行っても良い。
Step S12: The anonymous
Here, the personal information to be transmitted (original data) may be masked with information that can identify an individual within a range that does not hinder the anonymity evaluation, or may be randomly encoded (talkize).
ステップS21:次に、匿名レベル判定サーバ2は、振分処理部2114にて匿名レベル個別判定要求の振り分け先を判定する。この振り分け先の判定は、匿名データ利用者端末1から受信した匿名レベル判定申請に含まれる匿名化データの利用分野、利用用途など、および匿名レベル判定指標記憶部2123に記憶されている1つ以上の識別匿名性評価サーバ3および1つ以上の非識別匿名性評価サーバ4の各々の組織信頼度を元に行う。
Step S21: Next, the anonymity
ステップS22:続いて、匿名レベル判定サーバ2は、ステップS21にて判定した振り分け先に従い、当該振り分け先の1つ以上の識別匿名性評価サーバ3および当該振り分け先の1つ以上の非識別匿名性評価サーバ4に対し、匿名レベル個別判定を要求する。また、当該要求に対する各々の識別匿名性評価サーバ3および非識別匿名性評価サーバ4から送信される匿名レベル個別判定結果を受信する。
Step S22: Subsequently, the anonymous
ステップS23:また、匿名レベル判定サーバ2は、匿名レベル総合判定部2111にて、当該各々の識別匿名性評価サーバ3および非識別匿名性評価サーバ4から受信した当該匿名レベル個別判定結果、および匿名レベル判定指標記憶部2123に記憶されている匿名レベルの判定指標を元に、匿名レベルの総合判定結果を出力する。
Step S23: Further, the anonymous
ステップS24:匿名レベル判定サーバ2は、通信装置214にて、当該匿名レベルの総合判定結果を匿名データ利用者端末1に送信する。個人情報の匿名化に際しては、各産業によって所定の匿名化レベルが設定されている。故に、このとき、個人情報が指標通りに匿名化されているか否かも併せて評価し、その結果も併せて匿名データ利用者端末1に送信するとよい。
Step S24: The anonymous
ステップS13:最後に、匿名データ利用者端末1は、前記匿名レベルの総合判定結果を受信する。そして、匿名データ利用者端末1と匿名レベル判定サーバ2間の素情報の送受信処理を終了する。
Step S13: Finally, the anonymous
図3は、本発明の匿名性評価システムにおける匿名レベル判定サーバ2と識別匿名性評価サーバ3、非識別匿名性評価サーバ4で協調して匿名レベルの総合を判定する処理を説明するためのシーケンスを示す図である。
FIG. 3 is a sequence for explaining a process of cooperatively determining anonymity level by the anonymity
図3のシーケンスに基づく動作は以下のとおりである。
ステップS25:まず、匿名レベル判定サーバ2は、上述したステップS21にて判定した振り分け先に従い、当該振り分け先の1つ以上の識別匿名性評価サーバ3に対して、記憶装置212の個人情報記憶部2121に記憶されている個人情報(元データ)と匿名データ記憶部2122に記憶されている匿名化データを送信すると共に、識別匿名性評価依頼をする。
The operation based on the sequence of FIG. 3 is as follows.
Step S25: First, according to the distribution destination determined in step S21 described above, the anonymous
ステップS26:続いて、匿名レベル判定サーバ2は、ステップS21にて判定した振り分け先に従い、当該振り分け先の1つ以上の非識別匿名性評価サーバ4に対して、記憶装置212の匿名データ記憶部2122に記憶されている匿名データを送信すると共に、非識別匿名性評価依頼をする。
Step S26: Subsequently, the anonymous
ステップS31:識別匿名性評価サーバ3は、匿名レベル判定サーバ2から送信された個人情報(元データ)と匿名化データを受信し、当該個人情報(元データ)と匿名化データを元に、質的属性間の距離等の評価値を算出し、識別匿名レベルを判定する。この距離は、質的属性間の差の絶対値から求める。
また、匿名レベル判定サーバ2から受信した個人情報(元データ)と匿名化データを元に、質的属性間の距離等の評価値を算出し、識別匿名レベルを判定する。
Step S31: The identification
Further, based on the personal information (original data) and the anonymized data received from the anonymous
ステップS32:次に、識別匿名性評価サーバ3は、判定した識別匿名レベル(識別匿名性判定結果)を匿名レベル判定サーバ2に送信する。
Step S32: Next, the identification
ここで、ステップS31において、識別匿名性評価サーバ3の情報価値レベル判定部3113にて、受信した個人情報(元データ)と匿名化データとの差分を元に、有用性を示す指標である情報の損失量(情報エントロピー値等)を算出し、情報価値レベルを判定しても良い。
また、ステップS31において、識別匿名レベル結果と共に、情報価値レベル結果を送信しても良い。
この場合、ステップS23において、匿名レベル判定サーバ2の情報価値レベル判定部2113にて、1つ以上の識別匿名性評価サーバ3から受信した1つ以上の情報価値レベルを元に、情報価値総合判定結果を出力し、ステップS24において、当該匿名レベルの総合判定結果と併せて情報価値総合判定結果を匿名データ利用者端末1に送信しても良い。
Here, in step S31, the information value level determination unit 3113 of the identification
Further, in step S31, the information value level result may be transmitted together with the identification anonymous level result.
In this case, in step S23, the information value level determination unit 2113 of the anonymous
ステップS41:また、非識別匿名性評価サーバ4は、匿名レベル判定サーバ2から送信された匿名化データを受信し、当該匿名化データを元に、k匿名性やl多様性、などの評価値、つまり、匿名化データの安全性を示す評価指標(匿名レベル判定指標)を算出し、当該指標から非識別匿名レベルを判定する。
Step S41: Further, the non-identification
ステップS42:非識別匿名性評価サーバ4は、判定した非識別匿名レベルを匿名レベル判定サーバ2に送信する。
Step S42: The non-identification
以上述べた実施例によれば、匿名化処理した匿名化データの安全性や有用性の評価が行え、また、評価結果として表示される指標の値を確認することができる。また、1つ以上の識別匿名性評価サーバにより、個人情報(元データ)と匿名化データの比較から算出した識別匿名レベルと、1つ以上の非識別匿名性評価サーバにより、匿名化データのみから算出した非識別匿名レベルとを合算して匿名化データを評価する匿名化データ評価システムを設けた匿名化データ評価システムにより、匿名化データの総合的な匿名レベルを算出可能である。また、匿名化の算出結果や安全性の評価指標を定量的に示すことができる。 According to the embodiment described above, the safety and usefulness of the anonymized data that has been anonymized can be evaluated, and the value of the index displayed as the evaluation result can be confirmed. In addition, the identification anonymity level calculated from comparison of personal information (original data) and anonymized data by one or more identification anonymity evaluation servers, and the anonymization data only by one or more non-identification anonymity evaluation servers. Anonymized data evaluation system provided with an anonymized data evaluation system that evaluates anonymized data by summing the calculated non-identification anonymity level can calculate a comprehensive anonymity level of anonymized data. In addition, it is possible to quantitatively show the anonymization calculation result and the safety evaluation index.
なお、本発明は上述した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。 It should be noted that the present invention is not limited to the above-described embodiments, but includes various modifications. For example, the above-described embodiments have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those having all the configurations described. Further, a part of the configuration of a certain embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of a certain embodiment. Further, it is possible to add/delete/replace other configurations with respect to a part of the configurations of the respective embodiments. Further, the above-described respective configurations, functions and the like may be realized by software by the processor interpreting and executing a program for realizing each function. Information such as a program, a table, and a file that realizes each function can be placed in a memory, a hard disk, a recording device such as an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, and a DVD.
1・・・匿名データ利用者端末
2・・・匿名レベル判定サーバ
3・・・識別匿名性評価サーバ
4・・・非識別匿名性評価サーバ
51、52:ネットワーク
111、211、311、411・・・演算装置
113・・・入出力装置
114、214、314、414・・・通信装置
1111・・・匿名化処理部
1112、2112、3112、4112・・・制御部
2111・・・匿名レベル総合判定部
1121、2121、3121・・・個人情報記憶部
1122、2122、3122、4122・・・匿名データ記憶部
2123、3123、4123・・・匿名レベル判定指標記憶部
3111・・・識別匿名レベル個別判定部
2113、3113・・・情報価値レベル判定部
4111・・・非識別匿名レベル個別判定部
1... Anonymous
Claims (12)
匿名データ利用者端末と、匿名レベル判定サーバと、匿名性を評価する1つ以上の識別匿名性評価サーバと、匿名性を評価する1つ以上の非識別匿名性評価サーバと、を備え、
前記匿名データ利用者端末は、
前記個人情報と当該個人情報を匿名化したデータ、および匿名性評価申請情報を前記匿名レベル判定サーバに送信する通信装置、を含み、
前記1つ以上の識別匿名性評価サーバは、
前記匿名データ利用者端末から送信された個人情報および匿名化したデータを、前記匿名レベル判定サーバを介して受信し、また、匿名化したデータの識別匿名レベルを前記匿名レベル判定サーバに送信する通信装置と、
前記個人情報および匿名化したデータから前記匿名化したデータの識別匿名レベルを、匿名レベルの判定指標を元に判定し、当該判定した識別匿名レベルを匿名レベル個別判定結果として出力する識別匿名レベル個別判定部、を含み、
前記1つ以上の非識別匿名性評価サーバは、
前記匿名データ利用者端末から送信された匿名化したデータを、前記匿名レベル判定サーバを介して受信し、また、前記匿名化したデータの非識別匿名レベルを前記匿名レベル判定サーバに送信する通信装置と、
前記匿名化したデータから前記匿名化したデータの非識別匿名レベルを、匿名レベルの判定指標を元に判定し、当該判定した非識別匿名レベルを匿名レベル個別判定結果として出力する非識別匿名レベル個別判定部、を含み、
前記匿名レベル判定サーバは、
前記匿名性評価申請情報に基づき、前記匿名データ利用者端末から送信された個人情報と匿名化したデータを前記1つ以上の識別匿名性評価サーバに、および、前記匿名化したデータを前記1つ以上の非識別匿名性評価サーバに送信し、かつ、前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルを受信する通信装置と、
前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルから前記匿名化したデータの匿名レベルを、匿名レベルの判定指標を元に総合判定する匿名レベル総合判定部、を含む
ことを特徴とする匿名化データ評価システム。 In the anonymized data evaluation system that evaluates the anonymity of the data obtained by anonymizing personal information,
Anonymous data user terminal, an anonymity level determination server, one or more identification anonymity evaluation servers that evaluate anonymity, and one or more non-identification anonymity evaluation servers that evaluate anonymity,
The anonymous data user terminal,
The personal information and data anonymizing the personal information, and a communication device for transmitting anonymity evaluation application information to the anonymous level determination server,
The one or more identification anonymity evaluation servers,
Communication for receiving personal information and anonymized data transmitted from the anonymous data user terminal via the anonymity level determination server, and transmitting the identification anonymity level of the anonymized data to the anonymity level determination server. Device,
Identification anonymous level of the data the anonymous from the personal information and anonymous data, determines based on the determination indicator anonymous level identification anonymous level to output the identification anonymous levels the determination as anonymous level individual determination result Including an individual determination unit,
The one or more non-identification anonymity assessment servers,
A communication device that receives anonymized data transmitted from the anonymous data user terminal via the anonymity level determination server, and also transmits a non-identification anonymous level of the anonymized data to the anonymity level determination server. When,
The indiscriminate anonymous level of the data the anonymous from the anonymous data, determines based on the determination indicator anonymous level, non-identity anonymous level at which the non-discrimination anonymous levels the determination as anonymous level individual determination result Including an individual determination unit,
The anonymous level determination server,
Based on the anonymity evaluation application information, the personal information transmitted from the anonymous data user terminal and the anonymized data are transmitted to the one or more identification anonymity evaluation servers, and the anonymized data is the one. The identification transmitted to the above non-identification anonymity evaluation server and is an anonymous level individual determination result determined by the one or more identification anonymity evaluation servers and the one or more non-identification anonymity evaluation servers A communication device for receiving anonymity levels and non-identifying anonymity levels;
Data the anonymous from the one or more identification anonymity evaluation server and the one or more anonymous level is determined by indiscriminate anonymity evaluation server is an individual determination that said identification anonymous level and non-discriminating anonymous level An anonymized data evaluation system comprising: an anonymity level comprehensive determination unit that comprehensively determines the anonymous level of the above based on the determination index of the anonymous level.
前記識別匿名レベル個別判定部は、
前記個人情報および前記匿名化したデータを元に、質的属性間の距離の評価値を算出し、前記識別匿名レベルを判定し、
前記非識別匿名レベル個別判定部は、
前記匿名化したデータを元に、k−匿名性、又はl(エル)多様性の評価値を算出し、前記非識別匿名レベルを判定する、
ことを特徴とする匿名化データ評価システム。 In the anonymized data evaluation system according to claim 1,
The identification anonymous level individual determination unit,
Based on the personal information and the anonymized data, calculate an evaluation value of the distance between qualitative attributes, to determine the identification anonymous level,
The non-identification anonymous level individual determination unit,
Based on the anonymized data, an evaluation value of k-anonymity or l (el) diversity is calculated to determine the non-discrimination anonymous level.
Anonymized data evaluation system.
前記匿名レベル判定サーバは、さらに、振分処理部を含み、
前記振分処理部は、
前記匿名データ利用者端末から送信され、前記匿名性評価申請情報を受けたとき、当該匿名性評価申請情報に含まれる利用分野又は利用用途、に基づく組織信頼度を元に、前記個人情報および匿名化したデータの、前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバへの振分け先を判定する、
ことを特徴とする匿名化データ評価システム。 In the anonymized data evaluation system according to claim 1,
The anonymous level determination server further includes a distribution processing unit,
The distribution processing unit,
When sent from the anonymous data user terminal and received the anonymity evaluation application information, the personal information and the anonymity are based on the organizational reliability based on the field of use or the purpose of use included in the anonymity evaluation application information. Determining the distribution destination of the converted data to the one or more identification anonymity evaluation servers and the one or more non-identification anonymity evaluation servers,
Anonymized data evaluation system.
前記1つ以上の識別匿名性評価サーバは、さらに、情報価値レベル判定部を含み、
前記情報価値レベル判定部は、
前記匿名レベル判定サーバから送信された個人情報および匿名化したデータから、情報価値レベルを個別判定し、
前記匿名レベル判定サーバは、さらに、情報価値レベル判定部、を含み、
前記情報価値レベル判定部は、
前記1つ以上の識別匿名性評価サーバにて判定された情報価値レベル判定結果である個別の情報価値レベルから情報価値レベルを総合判定する
ことを特徴とする匿名化データ評価システム。 In the anonymized data evaluation system according to claim 1,
The one or more identification anonymity evaluation servers further include an information value level determination unit,
The information value level determination unit,
From the personal information and anonymized data transmitted from the anonymous level determination server, the information value level is individually determined,
The anonymous level determination server further includes an information value level determination unit,
The information value level determination unit,
An anonymized data evaluation system, wherein an information value level is comprehensively determined from individual information value levels which are information value level determination results determined by the one or more identification anonymity evaluation servers.
前記匿名レベル判定サーバにおける前記情報価値レベル判定部は、
前記匿名データ利用者端末から受信した個人情報と前記匿名化したデータとの差分を元に、情報の損失量を算出し、情報価値レベルを判定する
ことを特徴とする匿名化データ評価システム。 In the anonymized data evaluation system according to claim 4,
The information value level determination unit in the anonymous level determination server ,
The anonymous data user the personal information received from the terminal based on the difference between the anonymous data, to calculate the loss of information, anonymous data evaluation system, characterized in that determining the information value level.
演算装置、通信装置、を備え、
前記通信装置は、
匿名データ利用者端末から送信された個人情報と匿名化したデータ、および匿名性評価申請情報を受けた場合、当該個人情報と匿名化したデータを1つ以上の識別匿名性評価サーバに送信し、前記匿名化したデータを1つ以上の非識別匿名性評価サーバに送信し、
前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて、前記匿名化したデータに対する匿名レベル個別判定結果である識別匿名レベルおよび非識別匿名レベルを受信する通信部を含み、
前記演算装置は、
前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルから前記匿名化したデータの匿名レベルを、匿名レベル判定指標を参照して総合判定する匿名レベル総合判定部、を含む
ことを特徴とする匿名レベル判定サーバ。 In the anonymity level determination server in the anonymized data evaluation system that evaluates the anonymity of the data obtained by anonymizing personal information,
Computation device, communication device,
The communication device is
Anonymous data When personal information and anonymized data sent from a user terminal and anonymity evaluation application information are received, the personal information and anonymized data are sent to one or more identification anonymity evaluation servers, Sending the anonymized data to one or more non-identifying anonymity assessment servers,
Wherein at least one identification anonymity evaluation server and the one or more non-identity anonymity evaluation server receives the identification anonymous level and indiscriminate anonymous level is anonymous level individual judgment result for said anonymized data Including the communication unit,
The arithmetic unit is
Data the anonymous from the one or more identification anonymity evaluation server and the one or more anonymous level is determined by indiscriminate anonymity evaluation server is an individual determination that said identification anonymous level and non-discriminating anonymous level Anonymity level determination server, comprising: anonymity level comprehensive determination unit that comprehensively determines the anonymous level of the anonymous level determination index.
前記演算装置は、さらに、
前記匿名データ利用者端末から送信され、前記匿名性評価申請情報を受けたとき、当該匿名性評価申請情報に含まれる利用分野又は利用用途に基づく組織信頼度を元に、前記個人情報および匿名化したデータの、前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバへの振分け先を判定する振分処理部、を含む
ことを特徴とする匿名レベル判定サーバ。 In the anonymous level determination server according to claim 6,
The arithmetic unit further comprises
When the anonymity evaluation application information is transmitted from the anonymous data user terminal and the anonymity evaluation application information is received, the personal information and anonymization are performed based on the organizational reliability based on the field of use or the intended use included in the anonymity evaluation application information. An anonymity level determination server, comprising: a distribution processing unit that determines a distribution destination of the obtained data to the one or more identification anonymity evaluation servers and the one or more non-identification anonymity evaluation servers.
前記演算装置は、さらに、
前記匿名データ利用者端末から受信した個人情報と匿名化データとの差分を元に、情報の損失量を算出し、情報価値レベルを判定する情報価値レベル判定部、を含む
ことを特徴とする匿名レベル判定サーバ。 In the anonymous level determination server according to claim 6,
The arithmetic unit further comprises
Anonymity characterized by including an information value level determination unit that calculates the amount of information loss and determines the information value level based on the difference between the personal information received from the anonymous data user terminal and the anonymized data. Level judgment server.
前記匿名レベル判定サーバは、
匿名データ利用者端末から送信された個人情報および匿名化したデータを1つ以上の識別匿名性評価サーバに送信するステップ、
前記匿名化したデータを1つ以上の非識別匿名性評価サーバに送信するステップ、
前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名化したデータに対する識別匿名レベルおよび非識別匿名レベルを受信するステップを含み、
前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび非識別匿名レベルから前記匿名化したデータの匿名レベルを総合判定するステップ、を含む
ことを特徴とする匿名レベル判定方法。 In the anonymity level determination method in the anonymized data evaluation system provided with an anonymity level determination server that evaluates the anonymity of the data obtained by anonymizing personal information,
The anonymous level determination server ,
Anonymous data: a step of transmitting personal information and anonymized data transmitted from the user terminal to one or more identification anonymity evaluation servers,
Sending the anonymized data to one or more non-identifying anonymity assessment servers,
Comprising the step of receiving identification anonymous level and indiscriminate anonymous level for anonymized data determined by said one or more identification anonymity evaluation server and the one or more non-identity anonymity evaluation server,
Data the anonymous from the one or more identification anonymity evaluation server and the one or more anonymous level is determined by indiscriminate anonymity evaluation server is an individual determination that said identification anonymous level and non-discriminating anonymous level Anonymity level determination method comprising: comprehensively determining anonymity level of.
前記匿名レベル判定サーバは、さらに、
匿名データ利用者端末から送信され、匿名性評価申請情報を受けたとき、当該匿名性評価申請情報に含まれる利用分野又は利用用途に基づく組織信頼度を元に、前記個人情報と前記匿名化したデータの振分け先である、前記1つ以上の識別匿名性評価サーバおよび前記1つ以上の非識別匿名性評価サーバを判定するステップ、を含むことを特徴とする匿名レベル判定方法。 The anonymous level determination method according to claim 9,
The anonymous level determination server ,
Anonymous data When sent from a user terminal and received anonymity evaluation application information, based on the organizational reliability based on the field of use or intended use included in the anonymity evaluation application information, the anonymization was performed with the personal information. An anonymity level determination method, comprising: determining the one or more identification anonymity evaluation servers and the one or more non-identification anonymity evaluation servers that are data distribution destinations.
前記匿名レベル判定サーバは、さらに、
前記個人情報および匿名化したデータから、情報価値レベルを個別判定するステップ、を含む
ことを特徴とする匿名レベル判定方法。 The anonymous level determination method according to claim 9,
The anonymous level determination server ,
A method of individually determining an information value level from the personal information and anonymized data.
前記匿名データ利用者端末は、
個人情報および当該個人情報を匿名化したデータを前記匿名レベル判定サーバに送信するステップ、を含み、
前記識別匿名性評価サーバは、
前記匿名データ利用者端末から送信された前記個人情報および前記匿名化したデータを受信するステップ、
前記個人情報および前記匿名化したデータから識別匿名レベルを判定するステップ、を含み、
前記非識別匿名性評価サーバは、
前記匿名データ利用者端末から送信された前記匿名化したデータを受信するステップ、
前記匿名化したデータから非識別匿名レベルを判定するステップ、を含み、
前記匿名レベル判定サーバは、
前記匿名データ利用者端末から送信された前記個人情報および前記匿名化したデータを受信するステップ、
前記匿名データ利用者端末から受信した前記個人情報および前記匿名化したデータを前記1つ以上の識別匿名性評価サーバに送信するステップ、
前記匿名データ利用者端末から受信した前記匿名化したデータを前記1つ以上の非識別匿名性評価サーバに送信するステップ、
前記識別匿名レベルを判定するステップおよび前記非識別匿名レベルを判定するステップにて判定された匿名レベル個別判定結果である前記識別匿名レベルおよび前記非識別匿名レベルを受信するステップ、
前記匿名レベル個別判定結果である前記識別匿名レベルおよび前記非識別匿名レベルから前記匿名化したデータの匿名レベルを総合判定するステップ、を含む
ことを特徴とする匿名レベル判定方法。 A method of determining anonymity level in the anonymized data evaluation system according to claim 1, comprising:
The anonymous data user terminal,
Transmitting personal information and data obtained by anonymizing the personal information to the anonymous level determination server,
The identification anonymity evaluation server,
Receiving the personal information and the anonymized data transmitted from the anonymous data user terminal,
Determining an identification anonymity level from the personal information and the anonymized data,
The non-identification anonymity evaluation server,
Receiving the anonymized data transmitted from the anonymous data user terminal,
Determining a non-identification anonymity level from the anonymized data,
The anonymous level determination server,
Receiving the personal information and the anonymized data transmitted from the anonymous data user terminal,
Transmitting the personal information and the anonymized data received from the anonymous data user terminal to the one or more identification anonymity evaluation servers;
Transmitting the anonymized data received from the anonymous data user terminal to the one or more non-identification anonymity evaluation servers,
Receiving the identification anonymous level and the non-identification anonymous level, which are the anonymous level individual determination results determined in the step of determining the identification anonymous level and the step of determining the non-identification anonymous level,
Anonymous level determination method characterized by comprising the comprehensive determining, anonymous level of the data the anonymous from the anonymous level is individually determined that said identification anonymous level and the non-identification anonymous level.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017222539A JP6715816B2 (en) | 2017-11-20 | 2017-11-20 | Anonymized data evaluation system and method, and anonymity level determination server |
| PCT/JP2018/041687 WO2019098136A1 (en) | 2017-11-20 | 2018-11-09 | Evaluation system and method of anonymized data, and anonymity level determination server |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017222539A JP6715816B2 (en) | 2017-11-20 | 2017-11-20 | Anonymized data evaluation system and method, and anonymity level determination server |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2019095885A JP2019095885A (en) | 2019-06-20 |
| JP2019095885A5 JP2019095885A5 (en) | 2020-04-30 |
| JP6715816B2 true JP6715816B2 (en) | 2020-07-01 |
Family
ID=66539089
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017222539A Active JP6715816B2 (en) | 2017-11-20 | 2017-11-20 | Anonymized data evaluation system and method, and anonymity level determination server |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP6715816B2 (en) |
| WO (1) | WO2019098136A1 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021065004A1 (en) * | 2019-10-04 | 2021-04-08 | 日本電信電話株式会社 | Identification estimation risk evaluating device, identification estimation risk evaluating method, and program |
| JP7031084B2 (en) * | 2020-01-14 | 2022-03-07 | 三菱電機株式会社 | Anonymous processing evaluation system, anonymous processing evaluation method and anonymous processing evaluation program |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013121738A1 (en) * | 2012-02-17 | 2013-08-22 | 日本電気株式会社 | Distributed anonymization device, and distributed anonymization method |
| JP6223853B2 (en) * | 2014-02-13 | 2017-11-01 | 株式会社東芝 | Anonymization index calculation system |
| JP2016184213A (en) * | 2015-03-25 | 2016-10-20 | 株式会社日立ソリューションズ | Method for anonymizing numeric data, and numeric data anonymization server |
-
2017
- 2017-11-20 JP JP2017222539A patent/JP6715816B2/en active Active
-
2018
- 2018-11-09 WO PCT/JP2018/041687 patent/WO2019098136A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019095885A (en) | 2019-06-20 |
| WO2019098136A1 (en) | 2019-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10574540B2 (en) | Method and system for facilitating management of service agreements for consumer clarity over multiple channels | |
| Daubert et al. | A view on privacy & trust in IoT | |
| Narayanan et al. | A precautionary approach to big data privacy | |
| Brandtzaeg et al. | Losing control to data-hungry apps: A mixed-methods approach to mobile app privacy | |
| Huckvale et al. | Unaddressed privacy risks in accredited health and wellness apps: a cross-sectional systematic assessment | |
| CA2929269C (en) | Dynamic de-identification and anonymity | |
| Malin et al. | Never too old for anonymity: a statistical standard for demographic data sharing via the HIPAA Privacy Rule | |
| EP3063691B1 (en) | Dynamic de-identification and anonymity | |
| Hintze | Viewing the GDPR through a de-identification lens: a tool for compliance, clarification, and consistency | |
| Jabeen et al. | Trust and reputation management in healthcare systems: taxonomy, requirements and open issues | |
| US20140287723A1 (en) | Mobile Applications For Dynamic De-Identification And Anonymity | |
| US8522358B2 (en) | Universal identity service avatar ecosystem | |
| US20170262653A1 (en) | Abstracted Graphs from Social Relationship Graph | |
| US10069842B1 (en) | Secure resource access based on psychometrics | |
| US20200151351A1 (en) | Verification of Privacy in a Shared Resource Environment | |
| JP6715816B2 (en) | Anonymized data evaluation system and method, and anonymity level determination server | |
| Saksena et al. | Rebooting consent in the digital age: a governance framework for health data exchange | |
| US9882911B2 (en) | Autonomous trust evaluation engine to grant access to user private data | |
| JP5520330B2 (en) | Information trading system | |
| JP6523581B2 (en) | INFORMATION PROVIDING DEVICE, INFORMATION PROVIDING SYSTEM, INFORMATION PROVIDING METHOD, AND INFORMATION PROVIDING PROGRAM | |
| US20150244779A1 (en) | Distributed personal analytics, broker and processing systems and methods | |
| JP2023543716A (en) | Data analytics privacy platform with quantified re-identification risk | |
| JP2015141642A (en) | Use agreement management device | |
| Obiria et al. | A location-based privacy-preserving m-learning model to enhance distance education in Kenya | |
| JP5602782B2 (en) | Information provider terminal and information transaction method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200317 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200317 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200421 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200525 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200602 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200609 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6715816 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |