JP6747438B2 - Information processing apparatus, information processing method, and program - Google Patents
Information processing apparatus, information processing method, and program Download PDFInfo
- Publication number
- JP6747438B2 JP6747438B2 JP2017524605A JP2017524605A JP6747438B2 JP 6747438 B2 JP6747438 B2 JP 6747438B2 JP 2017524605 A JP2017524605 A JP 2017524605A JP 2017524605 A JP2017524605 A JP 2017524605A JP 6747438 B2 JP6747438 B2 JP 6747438B2
- Authority
- JP
- Japan
- Prior art keywords
- privacy
- strength
- remaining
- information processing
- privacy strength
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、情報処理に関し、特に、個人に関する情報(個人情報、パーソナル情報、又は、プライバシー情報)を扱う情報処理装置、情報処理方法、及びプログラムに関する。 The present invention relates to information processing, and more particularly, to an information processing device, an information processing method, and a program that handle information about an individual (personal information, personal information, or privacy information).
近年、様々なサービスにおいて、個人に関する情報(個人情報、パーソナルデータ、又は、プライバシー情報)が、情報処理装置に蓄積されるようになっている。 In recent years, in various services, information about an individual (personal information, personal data, or privacy information) has been accumulated in an information processing device.
このようなプライバシー情報としては、ヘルスケア(健康管理)に関するデータ(情報)が、挙げられる。ここで、健康管理に関するデータとは、例えば、健康管理データ、診療履歴、又は、レセプト(診療報酬明細書)である。 Examples of such privacy information include data (information) related to health care (health management). Here, the data relating to health management is, for example, health management data, medical history, or a receipt (medical treatment fee statement).
あるいは、プライバシー情報としては、個人又は個人が所有する装置(例えば、端末又は乗用車)に関する位置の情報が、挙げられる。ここで、位置の情報とは、例えば、移動の履歴、又は、無線アクセスポイント等のような位置が特定される装置の利用履歴である。 Alternatively, the privacy information may include position information regarding an individual or a device (for example, a terminal or a passenger car) owned by the individual. Here, the position information is, for example, a movement history or a usage history of a device such as a wireless access point whose position is specified.
さらに、プライバシー情報であるレセプトを構成する情報(属性)には、生年、性別、傷病名、及び、薬剤名等がある。そのため、例えば、レセプトは、上記の属性に関するデータを含む情報(レコード)として構成される。そして、情報処理装置は、レコードから構成されたデータセット(集合)として、プライバシー情報(例えば、レセプト)を蓄積する。 Further, the information (attribute) that constitutes the receipt, which is privacy information, includes the year of birth, sex, injury/illness name, drug name, and the like. Therefore, for example, the receipt is configured as information (record) including data regarding the above attributes. Then, the information processing apparatus accumulates the privacy information (for example, a receipt) as a data set (collection) composed of records.
プライバシー情報が、オリジナルな情報(元の情報)の内容が判別できる状態で公開又は利用されると、そのプライバシー情報に関連する個人に対するプライバシー侵害の発生が、懸念される。つまり、プライバシー保護の観点からは、オリジナルな情報(元の情報)の内容が判別できる状態でのプライバシー情報の公開、又は、利用は、好ましくない。 If the privacy information is published or used in a state where the content of the original information (original information) can be discriminated, there is a concern that privacy infringement for individuals related to the privacy information may occur. That is, from the viewpoint of privacy protection, it is not preferable to disclose or use the privacy information in a state where the content of the original information (original information) can be discriminated.
一方、プライバシー情報は、プライバシー侵害の懸念がなければ、有益性の高い二次活用をもたらす。ここで、二次活用(二次利用)とは、例えば、プライバシー情報を、そのプライバシー情報を生成又は蓄積しているサービス事業者とは異なる事業者(第三者)に提供し、その第三者のサービスに、プライバシー情報を利用させることである。あるいは、二次活用とは、第三者に対してプライバシー情報を提供し、第三者にプライバシー情報の分析などを依頼(アウトソーシング)することである。 On the other hand, privacy information provides highly useful secondary usage if there is no concern of privacy infringement. Here, the secondary utilization (secondary utilization) means, for example, providing privacy information to a business operator (third party) different from the service business operator who generates or stores the privacy information, and It is to make the service of the person use the privacy information. Alternatively, the secondary utilization is to provide privacy information to a third party and request the third party to analyze the privacy information (outsourcing).
プライバシー情報の二次活用は、プライバシー情報の分析又は研究を促進する。そして、二次活用に基づく分析結果又は研究結果は、プライバシー情報を用いたサービスの強化に用いることができる。このように、第三者は、二次活用を基に、プライバシー情報の持つ高い有益性を享受できる。 Secondary use of privacy information facilitates analysis or research of privacy information. Then, the analysis result or the research result based on the secondary utilization can be used for strengthening the service using the privacy information. In this way, the third party can enjoy the high benefit of the privacy information based on the secondary utilization.
例えば、上記のような第三者として、製薬会社が、想定される。製薬会社は、診療情報を基に、薬品の共起関係又は相関関係を分析できる。つまり、製薬会社は、診療情報を用いて、薬品がどのように利用されているのかを知ることができる。さらに、製薬会社は、薬品の利用状態を分析することができる。 For example, a pharmaceutical company is assumed as the third party as described above. A pharmaceutical company can analyze the co-occurrence relationship or correlation of drugs based on medical information. That is, the pharmaceutical company can know how the medicine is used by using the medical care information. Further, the pharmaceutical company can analyze the usage status of the drug.
しかしながら、プライバシー情報を含むデータセット(例えば、診療情報)は、プライバシー侵害の懸念から、そのまま状態では、二次活用することが難しい。そこで、プライバシー情報は、プライバシーを保護する処理を施されてから、第三者に提供される。 However, a data set including privacy information (for example, medical care information) is difficult to be secondarily used as it is because of concern about privacy infringement. Therefore, the privacy information is provided to a third party after being subjected to privacy protection processing.
プライバシーを保護した第三者へのプライバシー情報の提供を実現するデータの提供方法として、「クエリ(query)応答型データ出版」がある。クエリ応答型データ出版とは、データの利用者からの問い合わせ(クエリ)に対して、オリジナルのデータ又はオリジナルのデータを集計した集計データに対してノイズを付加したデータを提供するデータの提供方法である。つまり、クエリ応答型データ出版とは、オリジナルのデータの詳細を隠ぺいしたデータを提供するデータの提供方法である。 As a data providing method for realizing the provision of privacy information to a privacy-protected third party, there is "query response data publishing". Query response type data publishing is a data providing method that provides original data or data obtained by adding noise to aggregate data obtained by aggregating original data in response to a query from a user of the data. is there. That is, query response type data publishing is a data providing method that provides data that hides the details of the original data.
ただし、プライバシー情報への攻撃者として、異なる状態又は時間におけるデータの変化(例えば、差分又は比率)を基に、プライバシーを侵害しようとする者がいる。以下、異なる状態又は時間におけるプライバシー情報のデータの変化を基に特定されるプライバシーをまとめて、「差分プライバシー(DP:Differential Privacy)」と呼ぶ。 However, as an attacker of privacy information, there is a person who tries to invade privacy based on a change (eg, difference or ratio) of data in different states or times. Hereinafter, the privacy specified based on the change of the privacy information data in different states or times will be collectively referred to as “differential privacy (DP)”.
クエリ応答型データ出版を処理する情報処理装置は、差分プライバシーの保護を保証するために、所定の性質を満たすランダムなノイズの付加を用いて、データの細かな変化を隠ぺいする(非特許文献1及び2を参照)。例えば、このようなクエリ応答型データ出版を処理する情報処理装置は、任意の1レコード、つまり、任意の1個人のプライバシー情報の存在及び不在の変化にかかわらず、出力が得られる確率がほとんど変わらないことを保証する。 An information processing device that processes query response type data publishing hides minute changes in data by adding random noise that satisfies a predetermined property in order to guarantee protection of differential privacy (Non-Patent Document 1). And 2). For example, an information processing apparatus that processes such query response type data publishing has almost the same probability that an output is obtained regardless of the presence or absence of the privacy information of any one record, that is, any one individual. Guaranteed to not.
ここで、上記における出力とは、例えば、オリジナルデータ又は集計データにノイズが付加された出力(出力値)である。また、「確率がほとんど変わらない」とは、上記の任意の1レコードが存在するときにおける出力値の生成確率と、不在の時における同じ値の出力値の生成確率との変化(差分又は比率)が、所定の値以下(又は、所定の範囲内)に制限されることである。 Here, the output in the above is, for example, an output (output value) in which noise is added to the original data or the aggregated data. Further, "the probability is almost unchanged" means a change (difference or ratio) between the generation probability of the output value when the above-mentioned arbitrary one record exists and the generation probability of the output value of the same value when there is no record. Is limited to a predetermined value or less (or within a predetermined range).
差分プライバシーの保護を保証する代表的なモデルとして、ε−差分プライバシー(ε-Differential Privacy)がある。ここで、ε−差分プライバシーにおけるεとは、上述の確率の変化の絶対値の上界を規定するパラメータである。そして、ε−差分プライバシーを処理する情報処理装置は、パラメータ(ε)を基に、出力データの利用者におけるオリジナルデータ又は集計データに対する推論能力を制限する。具体的には、ε−差分プライバシーを処理する情報処理装置は、次に示す数式1を用いる。 As a typical model that guarantees protection of differential privacy, there is ε-Differential Privacy. Here, ε in ε-differential privacy is a parameter that defines the upper bound of the absolute value of the above-described probability change. Then, the information processing device that processes the ε-differential privacy limits the inference ability of the user of the output data with respect to the original data or the aggregated data, based on the parameter (ε). Specifically, the information processing apparatus that processes ε-differential privacy uses Equation 1 shown below.
[数式1]
[Formula 1]
数式1は、差分プライバシーに基づいて、出力(出力値)の確率の差異が制限されることを表す数式である。数式1において、D及びD’は、データベースを示す。データベースDは、プライバシー情報のデータベースである。また、データベースD’は、データベースDに対し、1レコードが異なるデータベースである。関数q(・)は、データベースへの問い合わせ(クエリ)に対する応答を表す関数である。関数M(・)は、応答(q(・))の値をランダム化(乱択)又は攪乱するメカニズムに対応する関数である。xは、関数M(・)が出力する値(データ)である。関数Pr(・)は、関数M(・)の出力値が「x」となる確率を表す。関数exp(・)は、自然対数の底(e)を底とし、引き数をべき指数とする指数関数である。つまり、数式1は、データベースDに対するクエリの応答を攪乱した結果が「x」となる確率と、データベースD’に対するクエリの応答を攪乱した結果が「x」となる確率との比が、exp(ε)以下となることを保証することを表す。 Expression 1 is an expression representing that the difference in the probability of the output (output value) is limited based on the differential privacy. In Expression 1, D and D′ represent databases. The database D is a database of privacy information. Further, the database D'is a database different in one record from the database D. The function q(•) is a function that represents a response to a query to the database. The function M(•) is a function corresponding to a mechanism for randomizing (randomizing) or disturbing the value of the response (q(•)). x is a value (data) output by the function M(•). The function Pr(•) represents the probability that the output value of the function M(•) will be “x”. The function exp(·) is an exponential function whose base is the base (e) of natural logarithm and whose argument is a power exponent. That is, in Equation 1, the ratio of the probability that the result of disturbing the query response to the database D is “x” and the probability that the result of disturbing the query response to the database D′ is “x” is exp( ε) Indicates that it is guaranteed that
図6は、一般的な、ε−差分プライバシーを用いたクエリ応答型データ出版を処理する情報処理装置の一例を示す図である。図6に示すように、データの依頼者は、図示しない問い合わせ機器を操作して、データを保有する情報処理装置90にデータのクエリ(問い合わせ(q))を送信する。ここで、問い合わせ(q)は、分析などのデータ処理、又は、そのようなデータ処理の依頼などである。また、以下、「データの依頼者が、問い合わせ機器を操作しての問い合わせ」を、単に、「依頼者からの問い合わせ」と呼ぶ。
FIG. 6 is a diagram illustrating an example of a general information processing apparatus that processes query response type data publishing using ε-differential privacy. As shown in FIG. 6, the data requester operates an inquiry device (not shown) to transmit a data query (inquiry (q)) to the
図6に示すように、情報処理装置90は、パーソナルデータを保存するパーソナルデータ記憶部91と、差分プライバシー処理部92とを含む。
As shown in FIG. 6, the
パーソナルデータ記憶部91は、パーソナルデータを、データベース(例えば、上記の「D」又は「D’」)として保存する。
The personal
差分プライバシー処理部92は、所定の差分プライバシーを満足するように、パーソナルデータを処理(ランダム化又は攪乱)する。
The differential
情報処理装置90は、上記の構成を用いて、次のように動作する。
The
情報処理装置90は、パーソナルデータ記憶部91のデータベース(D)から、問い合わせ(q)に対応したパーソナルデータを抽出する。以下、抽出されたパーソナルデータを、「q(D)」とする。
The
そして、差分プライバシー処理部92は、抽出されたパーソナルデータ(q(D))を所定の差分プライバシー(例えば、ε−差分プライバシーを示す数式1)を満足するように処理(例えば、ランダム化又は攪乱)する。この処理結果を、q*(D)とする。q*(D)は、依頼者が元のデータを推測困難なように加工された秘密情報である。Then, the differential
そして、情報処理装置90は、推測困難な秘密情報に加工されたデータ(q*(D))を依頼者に送信する。Then, the
図7は、差分プライバシーを保証しないクエリ応答型データ出版を説明するための図である。つまり、図7は、差分プライバシー処理部92を含まない情報処理装置90の動作に相当する。
FIG. 7 is a diagram for explaining query response type data publishing that does not guarantee differential privacy. That is, FIG. 7 corresponds to the operation of the
図7に示すように、ある時点において、パーソナルデータ記憶部91は、データベース(D)として、5人(Ana、Bob、Cris、David、Elsa)の年収データを保存している。また、別のある時点において、パーソナルデータ記憶部91は、上記のデータベース(D)の状態からElsaに関するデータが削除(異動)されたデータベース(D’)を保存している。そして、依頼者は、問い合わせ(q)として、平均年収を依頼したとする。
As shown in FIG. 7, at some point, the personal
この問い合わせ(q)に対し、図7に示すように、差分プライバシーを保証しないクエリ応答型データ出版は、Aliceが異動前のデータベース(D)の時には、平均年収として8万ドル(q(D)=8万ドル)とのデータを出力(出版)する。また、差分プライバシーを保証しないクエリ応答型データ出版は、Aliceが異動後のデータベース(D’)の時には、平均年収として5万ドル(q(D’)=5万ドル)とのデータを出力(出版)する。 In response to this inquiry (q), as shown in FIG. 7, in the query response type data publishing that does not guarantee the differential privacy, the average annual income is $80,000 (q(D)) when Alice is the database (D) before transfer. = (80,000 dollars) data is output (published). In addition, query response type data publishing that does not guarantee differential privacy outputs data with an average annual income of 50,000 dollars (q(D')=50,000 dollars) when Alice is the database (D') after transfer ( Publish.
この場合、依頼者は、q(D)とq(D’)との差を基に、異動者の年収が20万ドルであることが分かる(推定可能である)。そのため、依頼者が、異動した者がElsaであることを知ると、依頼者は、Elsaの年収を推定できる。 In this case, the client finds that the annual income of the transferee is 200,000 dollars (estimable) based on the difference between q(D) and q(D'). Therefore, when the client knows that the transferred person is Elsa, the client can estimate the annual income of Elsa.
図8は、差分プライバシーを保証するクエリ応答型データ出版を説明するための図である。つまり、図8は、情報処理装置90の動作に相当する。なお、図8に示されている攪乱(M)は、差分プライバシー処理部92の動作に相当する。また、図8において、問い合わせ(q)など図7の同様の変数は、同様の動作及び機能を示す。
FIG. 8 is a diagram for explaining query response type data publishing that guarantees differential privacy. That is, FIG. 8 corresponds to the operation of the
図8において、パーソナルデータ記憶部91がデータベース(D)を保存している場合、情報処理装置90の差分プライバシー処理部92は、応答(q(D))を攪乱した値(q*(D)=62,050ドル)を算出する。そして、情報処理装置90は、攪乱した値(q*(D)=62,050ドル)を依頼者に送信する。In FIG. 8, when the personal
同様に、パーソナルデータ記憶部91がデータベース(D’)を保存している場合、差分プライバシー処理部92は、応答(q(D’))を攪乱した値(q*(D’)=62,050ドル)を算出する。そして、情報処理装置90は、攪乱した値(q*(D’)=62,050ドル)を依頼者に送信する。Similarly, when the personal
なお、図8は、一例として、最も差異が小さい場合である、q*(D)とq*(D’)との値が同じである場合を示している。Note that FIG. 8 shows, as an example, the case where the values of q * (D) and q * (D′) are the same, which is the case where the difference is the smallest.
図8に示すように、依頼者は、撹乱された値を受信するため、異動した者がElsaと分かっても、Elsaの年収を推定できない。 As shown in FIG. 8, since the client receives the disturbed value, even if the transferred person is found to be Elsa, the annual income of Elsa cannot be estimated.
なお、上記の動作において、差分プライバシー処理部92は、出力として、数式1に沿った値を算出する。
In the above operation, the differential
図9は、差分プライバシーを確保するための算出に用いる確率の一例を示す図である。差分プライバシー処理部92は、図9に示すように、ラプラス分布に従う確率を基に、攪乱した後の値が、所定の差又は比率となるような出力値を生成する。つまり、情報処理装置90が出力する値は、所定の差又は比率の範囲に含まれる。
FIG. 9 is a diagram illustrating an example of probabilities used for calculation for ensuring differential privacy. As shown in FIG. 9, the differential
このように、依頼者は、情報処理装置90が出力した値の差分を用いて、プライバシー情報(例えば、年収)を推定できない。つまり、依頼者は、異動者を知ることができても(例えば、Elsaの存在及び不在を知っていても)、その異動者のプライバシー情報(例えば、年収)を推定できない。
Thus, the client cannot estimate the privacy information (for example, annual income) using the difference between the values output by the
問い合わせの回数の増加は、ε−差分プライバシーを保証するクエリ応答型データ出版に対する、プライバシー情報の推定能力を向上させる(例えば、非特許文献2の構成可能性(composability)を参照)。 Increasing the number of queries improves the estimation capability of privacy information for query response type data publishing that guarantees ε-differential privacy (see, for example, composability of Non-Patent Document 2).
例えば、ε−差分プライバシーを保証するクエリ応答型データ出版を処理する情報処理装置が、n(nは任意の自然数)回の各問い合わせに対してε−差分プライバシー(ε)を保証する場合、差分プライバシーの総計は、「n×ε」となる。 For example, when an information processing device that processes a query response type data publishing that guarantees ε-differential privacy guarantees ε-differential privacy (ε) for each n (n is any natural number) queries, The total privacy is “n×ε”.
あるいは、ε−差分プライバシーを保証するクエリ応答型データ出版を処理する情報処理装置が、n回の問い合わせの総計としてε−差分プライバシー強度(ε)を保証する場合、プライバシー強度(εi)は、例えば、次のようになる。すなわち、各問い合わせ(qi)に対するプライバシー強度(εi)は、「εi=ε/n」となる。Alternatively, when the information processing apparatus that processes the query response type data publishing that guarantees the ε-differential privacy guarantees the ε-differential privacy strength (ε) as the total of n queries, the privacy strength (ε i ) is For example: In other words, privacy intensity for each query (q i) (ε i) is "ε i = ε / n".
つまり、ε−差分プライバシーを保証するクエリ応答型データ出版を処理する情報処理装置は、全ての問い合わせに対するプライバシー強度の合計と、各プライバシー強度(εi)とを、予め設計する必要がある。例えば、全ての問い合わせに対するプライバシー強度の合計を「εT」とし、各プライバシー強度を「εi」とする。この場合、ε−差分プライバシーを保証するクエリ応答型データ出版を処理する情報処理装置は、「εT≧Σεi」を満足するように、プライバシー強度の合計及び各プライバシー強度を設計する必要がある。That is, an information processing device that processes query response type data publishing that guarantees ε-differential privacy needs to design in advance the total privacy strength for all inquiries and each privacy strength (ε i ). For example, the sum of privacy intensities for all inquiries is “ε T ”, and each privacy intensity is “ε i ”. In this case, the information processing device that processes the query response type data publishing that guarantees ε-differential privacy needs to design the total privacy strength and each privacy strength so as to satisfy “ε T ≧Σε i ”. ..
図10は、複数(n個)の問い合わせに対して所定のプライバシー強度(εT)を確保するように設定されたプライバシー強度(εi)の一例を示す図である。図10において、個別のプライバシー強度(εi)は、その合計が所定のプライバシー強度(εT)となる(εT=Σεi)ように、設計されている。FIG. 10 is a diagram showing an example of privacy strength (ε i ) set so as to secure a predetermined privacy strength (ε T ) for a plurality of (n) inquiries. In FIG. 10, the individual privacy strengths (ε i ) are designed so that the sum thereof becomes a predetermined privacy strength (ε T ) (ε T =Σε i ).
このように、複数回の問い合わせに対して所定のプライバシー強度(εT)を確保するためには、予め、各問い合わせにおけるプライバシー強度(εi)を設計することが必要である。そして、個別のプライバシー強度(εi)を設計するためには、事前に、最大の問い合わせ回数(n)を設定することが必要である。As described above, in order to secure the predetermined privacy strength (ε T ) for a plurality of inquiries, it is necessary to design the privacy strength (ε i ) in each inquiry in advance. Then, in order to design the individual privacy strength (ε i ), it is necessary to set the maximum inquiry count (n) in advance.
つまり、非特許文献1及び2に記載の技術は、予め設定した問い合わせ回数を超えた問い合わせに応答できないという問題点があった。 That is, the techniques described in Non-Patent Documents 1 and 2 have a problem that they cannot respond to inquiries that exceed the preset number of inquiries.
本発明の目的は、上記問題点を解決し、予め問い合わせの回数を設定しなくてもε−差分プライバシーを保証するクエリ応答データ出版を処理できる情報処理装置、情報処理方法、及び、プログラムを提供することにある。 An object of the present invention is to provide an information processing device, an information processing method, and a program that solve the above-mentioned problems and can process query response data publishing that guarantees ε-differential privacy without setting the number of queries in advance. To do.
本発明の一形態における情報処理装置は、ε−差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶するパラメータ記憶手段と、残プライバシー強度を記憶する残プライバシー強度記憶手段と、残プライバシー割合と残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定するプライバシー強度決定手段とを含む。 An information processing apparatus according to an aspect of the present invention is a sum of a privacy strength that is satisfied as a total in publishing query response data that guarantees ε-differential privacy, and a privacy strength that remains after setting a privacy strength determined in response to an inquiry. Parameter storage means for storing the remaining privacy ratio, which is the rate of change in the remaining privacy strength, remaining privacy strength storage means for storing the remaining privacy strength, and a response to the inquiry based on the remaining privacy ratio and the remaining privacy strength. Privacy strength determining means for determining privacy strength.
本発明の一形態におけるデータ処理方法は、ε−差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶し、残プライバシー強度を記憶し、残プライバシー割合と残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定する。 A data processing method according to an aspect of the present invention is a sum of a privacy strength that is satisfied as a total in query response data publishing that guarantees ε-differential privacy, and a privacy strength that remains after setting a privacy strength determined in response to a query. The remaining privacy ratio, which is the rate of change of the remaining privacy strength, is stored, the remaining privacy strength is stored, and the privacy strength for the inquiry is determined based on the remaining privacy ratio and the remaining privacy strength.
本発明の一形態におけるプログラムは、ε−差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶する処理と、残プライバシー強度を記憶する処理と、残プライバシー割合と残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定する処理とをコンピュータに実行させる。
A program according to an aspect of the present invention is a total of a privacy strength that is satisfied as a total in publishing query response data that guarantees ε-differential privacy, and a privacy strength that remains after setting a privacy strength determined in response to a query. A process of storing a remaining privacy ratio, which is a change ratio of the remaining privacy intensity, a process of storing the remaining privacy intensity, and a process of determining a privacy intensity for an inquiry based on the remaining privacy percentage and the remaining privacy intensity. Let the computer run .
本発明に基づけば、予め、問い合わせの回数を設定しなくても、ε−差分プライバシーを保証するクエリ応答データ出版を実現するとの効果を奏することができる。 According to the present invention, it is possible to achieve the effect of realizing query response data publication that guarantees ε-differential privacy without setting the number of queries in advance.
以下、本発明の実施の形態について、図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
なお、各図面は、本発明の実施形態を説明するものである。ただし、本発明は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ番号を付し、その繰り返しの説明を、省略する場合がある。 Each drawing explains the embodiment of the present invention. However, the present invention is not limited to the description of each drawing. In addition, the same numbers are given to the same configurations in the respective drawings, and repeated description thereof may be omitted.
また、以下の説明に用いる図面において、本発明の説明に関係しない部分の構成については、記載を省略し、図示しない場合もある。 Further, in the drawings used for the following description, the configuration of the portion not related to the description of the present invention may be omitted and not illustrated.
なお、説明に先立ち、以下の説明に用いる変数をまとめておく。 Prior to the explanation, variables used in the following explanation will be summarized.
プライバシー強度(εT)は、ε−差分プライバシーにおける総計(トータル)として満足するプライバシー強度である。そのため、以下、プライバシー強度(εT)を、総計プライバシー強度とも呼ぶ。The privacy strength (ε T ) is the privacy strength that is satisfied as a total in ε-differential privacy. Therefore, hereinafter, the privacy strength (ε T ) is also referred to as the total privacy strength.
問い合わせ(qi)は、i番目の問い合わせ(クエリ)である。The inquiry (q i ) is the i-th inquiry (query).
プライバシー強度(εi)は、i番目の問い合わせ(qi)に対して決定されるプライバシー強度である。The privacy strength (ε i ) is the privacy strength determined for the i-th inquiry (q i ).
残プライバシー強度(ε*)は、問い合わせ(例えば、qi)に対して決定されたプライバシー強度(例えば、εi)を設定した後に残る設定可能なプライバシー強度の合計である。つまり、残プライバシー強度(ε*)は、トータルのプライバシー強度(εT)から、その時点までの問い合わせ(q1、q2、…、qi)に対して決定したプライバシー強度(ε1、ε2、…、εi)を除いた、残りのプライバシー強度である。The remaining privacy strength (ε * ) is the total configurable privacy strength remaining after setting the determined privacy strength (eg, ε i ) for the query (eg, q i ). That is, the remaining privacy strength (ε * ) is the privacy strength (ε 1 , ε) determined from the total privacy strength (ε T ) to the inquiry (q 1 , q 2 ,..., Q i ) up to that point. 2 ,..., ε i ) is the remaining privacy strength.
なお、問い合わせ(qi)の回数との関係を明確にする場合、残プライバシー強度(ε*)にも、符号を付す。つまり、残プライバシー強度(ε* i)は、i番目の問い合わせ(qi)に対してプライバシー強度(εi)を設定後の残プライバシー強度である。つまり、残プライバシー強度(ε*)とプライバシー強度(ε)との関係は、次の数式2の通りである。When clarifying the relationship with the number of inquiries (q i ), the residual privacy strength (ε * ) is also given a symbol. That is, the remaining privacy strength (ε * i ) is the remaining privacy strength after setting the privacy strength (ε i ) for the i-th inquiry (q i ). That is, the relationship between the remaining privacy strength (ε * ) and the privacy strength (ε) is as shown in the following mathematical formula 2.
[数式2]
ε* i=ε* i−1−εi
なお、最初の問い合わせ(q1)を受ける前の残プライバシー強度、つまり、残プライバシー強度(ε*)の初期値を、残プライバシー強度(ε* 0)とする。残プライバシー強度(ε* 0)は、トータルのプライバシー強度(εT)である(ε* 0=εT)。[Formula 2]
ε * i = ε * i- 1 -ε i
In addition, the remaining privacy strength before undergoing the first query (q 1), in other words, the initial value of the remaining privacy strength (ε *), and the remaining privacy strength (ε * 0). The remaining privacy strength (ε * 0) is a total of privacy strength (ε T) (ε * 0 = ε T).
残プライバシー割合(α)は、各問い合わせ(qi)に対するプライバシー強度(εi)を設定後の残プライバシー強度(ε*)の変化の割合である。残プライバシー割合(α)の値は、1未満の正の実数である(0<α<1)。The remaining privacy ratio (α) is the ratio of change in the remaining privacy strength (ε * ) after setting the privacy strength (ε i ) for each inquiry (q i ). The value of the remaining privacy ratio (α) is a positive real number less than 1 (0<α<1).
つまり、残プライバシー強度(ε* i)と、そのひとつ前の残プライバシー強度(ε* i−1)との関係は、次の数式3のようになる。That is, the relationship between the remaining privacy strength (ε * i ) and the immediately preceding remaining privacy strength (ε * i−1 ) is as shown in the following Expression 3.
[数式3]
ε* i=α×ε* i−1
ここで、最初の残プライバシー強度(ε* 0)は、プライバシー強度(εT)である。そのため、最初の残プライバシー強度(ε* 0)を除くと、残プライバシー強度(ε* i(i=1、2、…))の値は、ゼロより大きく、プライバシー強度(εT)未満の実数である(0<ε* i<εT、i=1、2、…)。[Formula 3]
ε * i =α×ε * i-1
Here, the first of the remaining privacy strength (ε * 0) is a privacy strength (ε T). Therefore, except the first residue privacy strength (epsilon * 0), the remaining privacy strength (ε * i (i = 1,2 , ...)) value of greater than zero, the privacy strength (epsilon T) less than the real it is (0 <ε * i <ε T, i = 1,2, ...).
また、数式2に数式3を代入して変形すると、残プライバシー強度(ε* i−1)とプライバシー強度(εi)との関係は、次の数式4のようになる。When Equation 3 is substituted into Equation 2 and transformed, the relationship between the remaining privacy strength (ε * i−1 ) and the privacy strength (ε i ) is as shown in Equation 4 below.
[数式4]
εi=(1−α)×ε* i−1
つまり、プライバシー強度(εi)は、残プライバシー割合(α)と残プライバシー強度(ε* i−1)とを基に算出される。[Formula 4]
ε i =(1−α)×ε * i−1
That is, the privacy strength (ε i ) is calculated based on the remaining privacy ratio (α) and the remaining privacy strength (ε * i−1 ).
なお、以下、「1−α」を「β」とする。つまり、残プライバシー強度(ε* i−1)とプライバシー強度(εi)との関係は、次の数式5ようにも表される。In the following, “1-α” will be referred to as “β”. In other words, the relationship of the remaining privacy strength (ε * i-1) and Privacy intensity (epsilon i) is represented in the following formula 5 so.
[数式5]
εi=β×ε* i−1
<第1の実施形態>
以下、図面を参照して、本発明における第1の実施形態に係る情報処理装置10を説明する。[Formula 5]
ε i =β×ε * i−1
<First Embodiment>
Hereinafter, an
[構成の説明]
まず、第1の実施形態に係る情報処理装置10の構成について説明する。[Description of configuration]
First, the configuration of the
図1は、本発明における第1の実施形態に係る情報処理装置10の構成の一例を示すブロック図である。
FIG. 1 is a block diagram showing an example of the configuration of an
図1に示すように、情報処理装置10は、プライバシー強度決定部11と、残プライバシー強度記憶部12と、パラメータ記憶部13とを含む。
As shown in FIG. 1, the
なお、情報処理装置10は、決定したプライバシー強度(εi)を基に、応答を作成する。ただし、情報処理装置10は、応答を作成する手法として、一般的なε−差分プライバシーを保証する処理を用いればよい。より具体的には、情報処理装置10は、問い合わせ(qi)に対して、ε−差分プライバシーを保証した出力を応答するために、プライバシー強度(εi)を利用した差分プライベートに基づく攪乱又は乱択を用いればよい。ここで、攪乱又は乱択の手法としては、例えば、ラプラスメカニズム(Laplace Mechanism)、又は、指数メカニズム(Exponential Mechanism)が知られている。情報処理装置10は、これらの手法を用いればよい。ただし、情報処理装置10は、これらの手法に限らず、攪乱又はランダム化(乱択)のメカニズムとして、問い合わせ(qi)に応じて適切なものを選択してよい。そのため、ε−差分プライバシーを保証する応答を生成する構成及び動作の説明を省略する。The
次に、情報処理装置10の各部は、次のとおりである。なお、各部の動作については、後ほど詳細に説明する。
Next, each unit of the
プライバシー強度決定部11は、残プライバシー強度記憶部12に記録された残プライバシー強度(ε* i−1)と、パラメータ記憶部13に記録された残プライバシー割合(α)とに基づいて、問い合わせ(qi)に対するプライバシー強度(εi)を決定する。そして、プライバシー強度決定部11は、決定したプライバシー強度(εi)を用いて、残プライバシー強度(ε*)を更新する。つまり、プライバシー強度決定部11は、プライバシー強度(εi)と残プライバシー強度(ε* i)とを算出する。The privacy
残プライバシー強度記憶部12は、算出された残プライバシー強度(ε* i)を記録する。ここで、残プライバシー強度記憶部12は、前の残プライバシー強度(ε* i−1)を保存する必要はない。つまり、残プライバシー強度記憶部12は、算出された残プライバシー強度(ε* i)で、記録している残プライバシー強度(ε* i−1)を更新してもよい。The remaining privacy
つまり、本実施形態では、説明の便宜のため、残プライバシー強度(ε*)に符号を付して説明しているが、情報処理装置10は、実際の処理としては、1つの変数として、残プライバシー強度(ε*)を処理してもよい。That is, in the present embodiment, for convenience of description, the remaining privacy strength (ε * ) is attached with a reference numeral, but the
パラメータ記憶部13は、パラメータを記憶する。パラメータは、既に説明した、総計(トータル)プライバシー強度(εT)、及び、残プライバシー割合(α)である。ただし、パラメータ記憶部13は、パラメータとして、他の値を含めてもよい。The
[動作の説明]
次の、図面を参照して、情報処理装置10の動作について説明する。[Description of operation]
Next, the operation of the
本実施形態に係る情報処理装置10は、問い合わせ(qi)に対して、ε−差分プライバシーを保証したプライバシー強度(εi)を出力する。そのため、情報処理装置10は、残プライバシー強度(ε*)及び残プライバシー割合(α)を基に、問い合わせ(qi)に対するプライバシー強度(εi)を決定(算出)する。ただし、後ほど説明するとおり、情報処理装置10は、問い合わせの回数に制限のないようにプライバシー強度(εi)を決定する。The
まず、情報処理装置10における残プライバシー強度(ε*)の初期設定について説明する。First, the initial setting of the remaining privacy strength (ε * ) in the
図2は、第1の実施形態に係る情報処理装置10における残プライバシー強度(ε*)を初期設定する動作の一例を示すフローチャートである。FIG. 2 is a flowchart showing an example of an operation of initializing the remaining privacy strength (ε * ) in the
まず、情報処理装置10は、以下で説明する処理の前に、初期設定として、パラメータである総計プライバシー強度(εT)及び残プライバシー割合(α)をパラメータ記憶部13に記憶する(ステップS110)。情報処理装置10は、パラメータとして、β(=1−α)を含めて記憶してもよい。βを記憶すると、情報処理装置10は、以下で説明する処理において、引き算処理の処理回数を削減できる。First, the
なお、情報処理装置10がパラメータを記憶する手法は、特に制限はない。例えば、情報処理装置10の管理者が、情報処理装置10を操作して、パラメータ記憶部13に、パラメータを設定してもよい。あるいは、情報処理装置10が、図示しない外部の装置からパラメータを受信し、パラメータ記憶部13に記憶させてもよい。
There is no particular limitation on the method for the
続いて、情報処理装置10のプライバシー強度決定部11は、パラメータを基に、残プライバシー強度記憶部12が記憶する残プライバシー強度(ε*)を初期設定する(ステップS120)。具体的には、既に説明した通り、プライバシー強度決定部11は、残プライバシー強度記憶部12が記憶する残プライバシー強度(ε*)の初期値(ε* 0)として、パラメータ記憶部13に記憶したトータルのプライバシー強度(εT)の値を設定する。Then, the privacy
そして、情報処理装置10は、残プライバシー強度(ε*)の初期設定の動作を終了する。Then, the
次の、情報処理装置10における残プライバシー強度(ε*)を更新について説明する。Next, updating of the remaining privacy strength (ε * ) in the
図3は、第1の実施形態に係る情報処理装置10のプライバシー強度(εi)を決定(算出)する動作の一例を示すフローチャートである。FIG. 3 is a flowchart showing an example of the operation of determining (calculating) the privacy strength (ε i ) of the
情報処理装置10のプライバシー強度決定部11は、問い合わせ(qi)を受け取ると、残プライバシー強度(ε*)及び残プライバシー割合(α)に基づいて、問い合わせ(qi)に対するプライバシー強度(εi)を決定する(ステップS210)。なお、詳細に説明すると、この時の残プライバシー強度(ε*)は、残プライバシー強度(ε* i−1)である。Privacy
そして、プライバシー強度決定部11は、決定したプライバシー強度(εi)又は残プライバシー強度(ε* i−1)、及び、残プライバシー割合(α)を基に、更新後の残プライバシー強度(ε* i)を算出する(ステップS220)。The privacy
そして、プライバシー強度決定部11は、残プライバシー強度記憶部12が記憶する残プライバシー強度(ε*)を更新する(ステップS230)。より詳細には、プライバシー強度決定部11は、算出した残プライバシー強度(ε* i)で、残プライバシー強度記憶部12が記憶している残プライバシー強度(ε* i−1)を更新する。Then, the privacy
そして、情報処理装置10は、プライバシー強度を決定する動作を終了する。
Then, the
次に、ステップS210及びS220の動作を詳細に説明する。 Next, the operations of steps S210 and S220 will be described in detail.
情報処理装置10のプライバシー強度決定部11は、既に説明した数式4を用いて、問い合わせ(qi)に対応したプライバシー強度(εi)を算出する。The privacy
このとき、プライバシー強度(εi)及び残プライバシー強度(ε* i)の最初の値は、具体的には、次のようになる。At this time, the initial values of the privacy strength (ε i ) and the remaining privacy strength (ε * i ) are specifically as follows.
まず、残プライバシー強度(ε*)の初期値(ε* 0)は、次の数式6の通りである。First, the initial value (ε * 0 ) of the remaining privacy strength (ε * ) is given by the following mathematical expression 6.
[数式6]
ε* 0=εT
そのため、最初の問い合わせ(q1)に対するプライバシー強度(ε1)は、次の数式7のようになる。[Formula 6]
ε * 0 = ε T
Therefore, the first query (q 1) to privacy intensity (epsilon 1) is given by the following Equation 7.
[数式7]
ε1=(1−α)×ε* 0=(1−α)×εT=β×εT
その結果、残プライバシー強度(ε* 1)は、次の数式8のとおりである。[Formula 7]
ε 1 =(1−α)×ε * 0 =(1−α)×ε T =β×ε T
As a result, the remaining privacy strength (ε * 1 ) is as shown in the following mathematical formula 8.
[数式8]
ε* 1=ε* 0(=εT)−ε1=εT−(1−α)×εT=α×εT(=α×ε* 0)
なお、数式8は、残プライバシー割合(α)の定義からも示すことができる。[Formula 8]
ε * 1 = ε * 0 ( = ε T) -ε 1 = ε T - (1-α) × ε T = α × ε T (= α × ε * 0)
In addition, Formula 8 can also be shown from the definition of the remaining privacy ratio (α).
次の問い合わせ(q2)に対するプライバシー強度(ε2)は、次の数式9のようになる。The privacy strength (ε 2 ) for the next inquiry (q 2 ) is given by the following Expression 9.
[数式9]
ε2=(1−α)×ε* 1=(1−α)×α×εT=α×β×εT=α×ε1
このときの残プライバシー強度(ε* 2)は、次の数式10のとおりである。[Formula 9]
ε 2 =(1−α)×ε * 1 =(1−α)×α×ε T =α×β×ε T =α×ε 1
The remaining privacy strength (ε * 2 ) at this time is as shown in the following
[数式10]
ε* 2=ε* 1−ε2=α×εT−α×β×εT=α×(1−β)×εT=α2×εT
次の問い合わせ(q3)に対するプライバシー強度(ε3)は、次の数式11のようになる。[Formula 10]
ε * 2 = ε * 1 -ε 2 = α × ε T -α × β × ε T = α × (1-β) × ε T = α 2 × ε T
The privacy strength (ε 3 ) for the next inquiry (q 3 ) is given by the following
[数式11]
ε3=(1−α)×ε* 2=(1−α)×α2×εT=β×α2×εT=α×ε2
このときの残プライバシー強度(ε* 3)は、次の数式12のとおりである。[Formula 11]
ε 3 =(1-α)×ε * 2 =(1-α)×α 2 ×ε T =β×α 2 ×ε T =α×ε 2
The remaining privacy strength (ε * 3 ) at this time is as shown in the following
[数式12]
ε* 3=ε* 2−ε3=α2×εT−β×α2×εT=α2×(1−β)×εT=α3×εT
また、ここで、残プライバシー強度(ε* i−1)は「ε* i−1=αi−1×εT」なので、「εi」及び「ε* i」は、それぞれ、次の数式13及び数式14のようになる。[Formula 12]
ε * 3 = ε * 2 -ε 3 = α 2 × ε T -β × α 2 × ε T = α 2 × (1-β) × ε T = α 3 × ε T
Further, where the residual privacy strength (ε * i-1) is because "ε * i-1 = α i -1 × ε T ,""epsiloni" and "epsilon * i", respectively, the following
[数式13]
εi=(1−α)×ε* i−1=αi−1×β×εT=αi−1×ε1
[数式14]
ε* i=ε* i−1−εi=αi−1×εT−β×αi−1×εT
=αi−1×(1−β)×εT=αi×εT=αi−1×ε* 1 [Formula 13]
ε i =(1-α)×ε * i−1 =α i−1 ×β×ε T =α i−1 ×ε 1
[Formula 14]
ε * i = ε * i- 1 -ε i = α i-1 × ε T -β × α i-1 × ε T
=α i-1 ×(1-β)×ε T =α i ×ε T =α i-1 ×ε * 1
つまり、プライバシー強度(εi)は、ε1(=β×εT)を初項、及び、公比を残プライバシー割合(α)とする等比数列である。That is, the privacy strength (ε i ) is a geometric progression in which ε 1 (=β×ε T ) is the first term and the public ratio is the remaining privacy ratio (α).
そのため、n回の問い合わせにおけるプライバシー強度(εi)の和(Sn)は、次の数式15のようになる。Therefore, the sum (S n ) of privacy intensities (ε i ) in n inquiries is given by the following Expression 15.
[数式15]
[Formula 15]
ここで、残プライバシー割合(α)は、1未満の正の実数である(0<α<1)。そのため、プライバシー強度(εi)の和(Sn)は、次の数式16のように、プライバシー強度(εT)より小さい。Here, the remaining privacy ratio (α) is a positive real number less than 1 (0<α<1). Therefore, the sum (S n ) of the privacy strengths (ε i ) is smaller than the privacy strength (ε T ) as in the following Expression 16.
[数式16]
Sn=(1−αn)×εT<εT
つまり、プライバシー強度(εi)の和(Sn)は、プライバシー強度(εT)を超えることはない。[Formula 16]
S n =(1−α n )×ε T <ε T
That is, the sum (S n ) of the privacy strengths (ε i ) does not exceed the privacy strength (ε T ).
さらに、プライバシー強度(εi)の無限級数和(つまり、和(Sn)の極限)は、次の数式17のように「εT」となる。Furthermore, the infinite series sum (that is, the limit of the sum (S n )) of the privacy strength (ε i ) becomes “ε T ”as in the following Expression 17.
[数式17]
[Formula 17]
情報処理装置10のプライバシー強度決定部11は、上記のように、問い合わせ(qi)に対してプライバシー強度(εi)を決定する。As described above, the privacy
そのため、情報処理装置10は、問い合わせ(qi)の回数に制限なく、プライバシー強度(εi)を決定(算出)できる。あるいは、情報処理装置10は、問い合わせ(qi)の回数に制限なく、残プライバシー強度(ε*)決定できる。あるいは、情報処理装置10は、いずれの問い合わせ(qi)についても、その問い合わせに続く問い合わせ(qi+1)を必ず受け付けることができる。すなわち、情報処理装置10は、回数に制限なく、全ての問い合わせ(q1、q2、…、qi、…)に対して、ε−差分プライバシーを保証することができる。Therefore, the
図4は、第1の実施形態に係る情報処理装置10が決定するプライバシー強度(εi)の一例を示す図である。FIG. 4 is a diagram showing an example of privacy strength (ε i ) determined by the
図4に示すように、情報処理装置10のプライバシー強度決定部11は、数式4を基に、数式13に示すプライバシー強度(εi)及び数式14に示す残プライバシー強度(ε* i)を決定して、ε−差分プライバシーを保証する。As shown in FIG. 4, the privacy
なお、問い合わせ(qi)に対して設定されるプライバシー強度(εi)は、問い合わせ(qi)の回数を重ねるにしたがって、残プライバシー割合(α)の値に応じて減衰する。つまり、第1の実施形態に係る情報処理装置10において、ε−差分プライバシーが保証された出力の精度は、残プライバシー割合(α)の値に応じて減衰する。例えば、i回目の問い合わせ(qi)の出力の精度は、最初の問い合わせ(q1)に対して「αi−1」に減衰される。そのため、情報処理装置10は、残プライバシー割合(α)に基に、出力の精度の減衰度合いを制御できる。Incidentally, the inquiry (q i) Privacy intensity (epsilon i) is set for in accordance with overlaying the number of queries (q i), attenuated according to the value of the remaining privacy proportion (alpha). That is, in the
[効果の説明]
次に、本実施形態の効果について説明する。[Explanation of effects]
Next, the effect of this embodiment will be described.
本実施形態に係る情報処理装置10は、問い合わせの回数を設定しなくても、ε−差分プライバシーを保証するクエリ応答データ出版を実現するとの効果を奏する。
The
その理由は、次のとおりである。 The reason is as follows.
情報処理装置10のプライバシー強度決定部11は、残プライバシー強度(ε*)と残プライバシー割合(α)とを基に、プライバシー強度(εi)を決定する。さらに、情報処理装置10は、プライバシー強度(εi)を、残プライバシー割合(α)を公比とする等比数列として決定する。The privacy
そのため、プライバシー強度決定部11は、問い合わせの回数に制限されずに、プライバシー強度(εi)を決定できるためである。Therefore, the privacy
また、本実施形態に係る情報処理装置10は、残プライバシー割合(α)に基に、出力の精度の減衰度合いを制御できる。
Further, the
その理由は、情報処理装置10が、残プライバシー割合(α)を公比とする等比数例を用いて、プライバシー強度(εi)を決定するためである。The reason is that the
[変形例]
以上の説明した情報処理装置10は、次のように構成される。[Modification]
The
例えば、情報処理装置10の各構成部は、ハードウェア回路で構成されてもよい。
For example, each component of the
また、情報処理装置10は、各構成部が、ネットワークを介して接続した複数の装置を用いて、構成されてもよい。
Further, the
また、情報処理装置10は、複数の構成部を1つのハードウェアで構成されてもよい。
Further, the
また、情報処理装置10は、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)とを含むコンピュータ装置として実現されてもよい。情報処理装置10は、上記構成に加え、さらに、入出力接続回路(IOC:Input / Output Circuit)と、ネットワークインターフェース回路(NIC:Network Interface Circuit)とを含むコンピュータ装置として実現されてもよい。
The
図5は、本変形例に係る情報処理装置600の構成の一例を示すブロック図である。
FIG. 5: is a block diagram which shows an example of a structure of the
情報処理装置600は、CPU610と、ROM620と、RAM630と、内部記憶装置640と、IOC650と、NIC680とを含み、コンピュータ装置として構成されている。
The
CPU610は、ROM620からプログラムを読み込む。そして、CPU610は、読み込んだプログラムに基づいて、RAM630と、内部記憶装置640と、IOC650と、NIC680とを制御する。そして、CPU610を含むコンピュータは、これらの構成を制御し、図1に示す、プライバシー強度決定部11と、残プライバシー強度記憶部12と、パラメータ記憶部13としての各機能を実現する。
The
CPU610は、各機能を実現する際に、RAM630又は内部記憶装置640を、プログラムの一時記憶として使用してもよい。
The
また、CPU610は、コンピュータで読み取り可能にプログラムを記憶した記憶媒体700が含むプログラムを、図示しない記憶媒体読み取り装置を用いて読み込んでもよい。あるいは、CPU610は、NIC680を介して、図示しない外部の装置からプログラムを受け取り、RAM630に保存して、保存したプログラムを基に動作してもよい。
Further, the
ROM620は、CPU610が実行するプログラム及び固定的なデータを記憶する。ROM620は、例えば、P−ROM(Programmable-ROM)又はフラッシュROMである。
The
RAM630は、CPU610が実行するプログラム及びデータを一時的に記憶する。RAM630は、例えば、D−RAM(Dynamic-RAM)である。
The
内部記憶装置640は、情報処理装置600が長期的に保存するデータ及びプログラムを記憶する。内部記憶装置640は、残プライバシー強度記憶部12及びパラメータ記憶部13として動作する。また、内部記憶装置640は、CPU610の一時記憶装置として動作してもよい。内部記憶装置640は、例えば、ハードディスク装置、光磁気ディスク装置、SSD(Solid State Drive)、又はディスクアレイ装置である。
The
ここで、ROM620と内部記憶装置640とは、不揮発性(non-transitory)の記憶媒体である。一方、RAM630は、揮発性(transitory)の記憶媒体である。そして、CPU610は、ROM620、内部記憶装置640、又は、RAM630に記憶されているプログラムを基に動作可能である。つまり、CPU610は、不揮発性記憶媒体又は揮発性記憶媒体を用いて動作可能である。
Here, the
IOC650は、CPU610と、入力機器660及び表示機器670とのデータを仲介する。IOC650は、例えば、IOインターフェースカード又はUSB(Universal Serial Bus)カードである。
The
入力機器660は、情報処理装置600の操作者からの入力指示を受け取る機器である。入力機器660は、例えば、キーボード、マウス、又はタッチパネルである。
The
表示機器670は、情報処理装置600の操作者に情報を表示する機器である。表示機器670は、例えば、液晶ディスプレイである。
The
NIC680は、ネットワークを介した図示しない外部の装置とのデータのやり取りを中継する。NIC680は、例えば、LAN(Local Area Network)カードである。
The
このように構成された情報処理装置600は、情報処理装置10と同様の効果を得ることができる。
The
その理由は、情報処理装置600のCPU610が、プログラムに基づいて情報処理装置10と同様の機能を実現できるためである。
The reason is that the
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成及び詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。 Although the present invention has been described with reference to the exemplary embodiments, the present invention is not limited to the above exemplary embodiments. Various modifications that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.
この出願は、2015年 6月15日に出願された日本出願特願2015−120047を基礎とする優先権を主張し、その開示の全てをここに取り込む。 This application claims the priority on the basis of Japanese application Japanese Patent Application No. 2015-120047 for which it applied on June 15, 2015, and takes in those the indications of all here.
10 情報処理装置
11 プライバシー強度決定部
12 残プライバシー強度記憶部
13 パラメータ記憶部
90 情報処理装置
91 パーソナルデータ記憶部
92 差分プライバシー処理部
600 情報処理装置
610 CPU
620 ROM
630 RAM
640 内部記憶装置
650 IOC
660 入力機器
670 表示機器
680 NIC
700 記憶媒体10
620 ROM
630 RAM
640
660
700 storage medium
Claims (9)
前記残プライバシー強度を記憶する残プライバシー強度記憶手段と、
前記残プライバシー割合と前記残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定するプライバシー強度決定手段とを備え、
前記プライバシー強度決定手段が決定した前記プライバシー強度に基づいて前記クエリ応答データ出版の応答を作成する
を含む情報処理装置。 ε-Differential It is the rate of change in the remaining privacy strength, which is the total of the privacy strength that is satisfied as a total in publishing the query response data that guarantees privacy, and the privacy strength that remains after setting the privacy strength determined in response to the inquiry. Parameter storage means for storing the remaining privacy ratio,
Residual privacy strength storage means for storing the residual privacy strength,
Based on the remaining privacy ratio and the remaining privacy strength, a privacy strength determination means for determining the privacy strength for an inquiry ,
An information processing apparatus comprising: creating a response for publishing the query response data based on the privacy strength determined by the privacy strength determining means .
決定した前記プライバシー強度を基に、前記残プライバシー強度を更新する
請求項1に記載の情報処理装置。 The privacy strength determination means,
The information processing apparatus according to claim 1, wherein the remaining privacy strength is updated based on the determined privacy strength.
前記残プライバシー割合を公比とする等比級列を用いて前記プライバシー強度を決定する
請求項1又は2に記載の情報処理装置。 The privacy strength determination means,
The information processing apparatus according to claim 1, wherein the privacy strength is determined using a geometric progression having the remaining privacy ratio as a public ratio.
前記残プライバシー割合をα、i−1番目の問い合わせ後の前記残プライバシー強度をε* i−1、及び、i番目の問い合わせに対するプライバシー強度をεiとしたとき、前記プライバシー強度εiを次の数式1
[数式1]
εi=(1−α)×ε* i−1
を用いて算出する
請求項1ないし3のいずれか1項に記載の情報処理装置。 The privacy strength determination means,
When the residual privacy ratio is α, the residual privacy strength after the i−1 th inquiry is ε * i−1 , and the privacy strength for the i th inquiry is ε i , the privacy strength ε i is Formula 1
[Formula 1]
ε i =(1−α)×ε * i−1
The information processing device according to claim 1, wherein the information processing device is calculated using.
前記残プライバシー割合をα、i−1番目の問い合わせ後の前記残プライバシー強度をε* i−1、及び、i番目の前記残プライバシー強度をε* iとしたとき、i番目の前記残プライバシー強度ε* iを次の数式2
[数式2]
ε* i=α×ε* i−1
を用いて算出する
請求項1ないし4のいずれか1項に記載の情報処理装置。 The privacy strength determination means,
When the remaining privacy ratio is α, the remaining privacy strength after the i−1 th inquiry is ε * i−1 , and the i th remaining privacy strength is ε * i , the i th remaining privacy strength Let ε * i be the following formula 2
[Formula 2]
ε * i =α×ε * i-1
The information processing apparatus according to claim 1, wherein the information processing apparatus is calculated using.
問い合わせを受ける前の前記残プライバシー強度を前記総計プライバシー強度とする
請求項1ないし5のいずれか1項に記載の情報処理装置。 The privacy strength determination means,
The information processing apparatus according to any one of claims 1 to 5, wherein the remaining privacy strength before the inquiry is received is the total privacy strength.
1回以上の問い合わせを受けた後の前記残プライバシー強度を前記総計プライバシー強度とする
請求項1ないし5のいずれか1項に記載の情報処理装置。 The privacy strength determination means,
The information processing device according to any one of claims 1 to 5, wherein the remaining privacy strength after receiving one or more inquiries is the total privacy strength.
ε−差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶し、
前記残プライバシー強度を記憶し、
前記残プライバシー割合と前記残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定し、
決定した前記プライバシー強度に基づいて前記クエリ応答データ出版の応答を作成する
情報処理方法。 The information processing device
ε-Differential It is the ratio of the change in the remaining privacy strength, which is the total of the privacy strength that is satisfied as a total in publishing the query response data that guarantees privacy, and the privacy strength that remains after setting the privacy strength determined in response to the inquiry. Remember the remaining privacy ratio,
Memorize the remaining privacy strength,
Based on the remaining privacy ratio and the remaining privacy strength, determine the privacy strength for the inquiry ,
An information processing method for creating a response for publishing the query response data based on the determined privacy strength .
前記残プライバシー強度を記憶する処理と、
前記残プライバシー割合と前記残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定する処理と、
決定した前記プライバシー強度に基づいて前記クエリ応答データ出版の応答を作成する処理と
をコンピュータに実行させるプログラム。 ε-Differential It is the rate of change in the remaining privacy strength, which is the total of the privacy strength that is satisfied as a total in publishing the query response data that guarantees privacy, and the privacy strength that remains after setting the privacy strength determined in response to the inquiry. A process of storing the remaining privacy ratio,
A process of storing the remaining privacy strength,
Based on the remaining privacy ratio and the remaining privacy strength, a process of determining the privacy strength for the inquiry ,
A program that causes a computer to execute a process of creating a response for publishing the query response data based on the determined privacy strength .
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015120047 | 2015-06-15 | ||
JP2015120047 | 2015-06-15 | ||
PCT/JP2016/002838 WO2016203752A1 (en) | 2015-06-15 | 2016-06-13 | Information processing device, information processing method, and storage medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2016203752A1 JPWO2016203752A1 (en) | 2018-04-05 |
JP6747438B2 true JP6747438B2 (en) | 2020-08-26 |
Family
ID=57545085
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017524605A Active JP6747438B2 (en) | 2015-06-15 | 2016-06-13 | Information processing apparatus, information processing method, and program |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6747438B2 (en) |
WO (1) | WO2016203752A1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102057723B1 (en) * | 2017-12-22 | 2019-12-19 | 고려대학교 산학협력단 | Method and appartus for performing DB based private spatial decomposition |
JP7364595B2 (en) * | 2018-12-20 | 2023-10-18 | 日本電信電話株式会社 | Analytical query response system, analytical query execution device, analytical query verification device, analytical query response method and program |
JP7493087B1 (en) | 2023-11-30 | 2024-05-30 | Kddi株式会社 | Information processing device and information processing method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7698250B2 (en) * | 2005-12-16 | 2010-04-13 | Microsoft Corporation | Differential data privacy |
US8375030B2 (en) * | 2010-12-03 | 2013-02-12 | Mitsubishi Electric Research Laboratories, Inc. | Differentially private aggregate classifier for multiple databases |
-
2016
- 2016-06-13 JP JP2017524605A patent/JP6747438B2/en active Active
- 2016-06-13 WO PCT/JP2016/002838 patent/WO2016203752A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2016203752A1 (en) | 2016-12-22 |
JPWO2016203752A1 (en) | 2018-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Gros et al. | Containment efficiency and control strategies for the corona pandemic costs | |
Brunelli et al. | Estimation using all available covariate information versus a fixed look‐back window for dichotomous covariates | |
US8990252B2 (en) | Anonymity measuring device | |
JP6597066B2 (en) | Personal information anonymization method, program, and information processing apparatus | |
JP6747438B2 (en) | Information processing apparatus, information processing method, and program | |
JP6060298B1 (en) | Information distribution apparatus, information distribution method, and information distribution program | |
US20210303729A1 (en) | Computer system of computer servers and dedicated computer clients specially programmed to generate synthetic non-reversible electronic data records based on real-time electronic querying and methods of use thereof | |
US20200098458A1 (en) | Medical cannabis platform with physician and patient portals | |
US20130018921A1 (en) | Need-to-know information access using quantified risk | |
JP6711519B2 (en) | Evaluation device, evaluation method and program | |
JP2018180856A (en) | Information providing program, information providing method and information providing device | |
Sun et al. | Estimation of the association for bivariate interval‐censored failure time data | |
Young et al. | Simulation from a known Cox MSM using standard parametric models for the g‐formula | |
Alzahrani et al. | [Retracted] Towards Understanding the Usability Attributes of AI‐Enabled eHealth Mobile Applications | |
Locey et al. | An interactive tool to forecast US hospital needs in the coronavirus 2019 pandemic | |
Bhattacharjee et al. | Properties of aging functions and their means | |
WO2020000804A1 (en) | Method, system, and server for obtaining medical information | |
JP2020095518A (en) | Information processing device, information processing method, and program | |
WO2016092830A1 (en) | Information processing device, information processing method, and recording medium | |
JP7040296B2 (en) | Remote interpretation management device, remote interpretation system and program | |
US8880546B1 (en) | System, method, and computer program for refining a set of keywords utilizing historical activity thresholds | |
Hacking et al. | Setting priorities in health research using the model proposed by the World Health Organization: development of a quantitative methodology using tuberculosis in South Africa as a worked example | |
Yarmand et al. | Analytic solution of the susceptible-infective epidemic model with state-dependent contact rates and different intervention policies | |
JP2016110472A (en) | Information processing apparatus, information processing method, and program | |
Salcedo-Varela et al. | Optimal piecewise constant vaccination and lockdown policies for COVID-19 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171201 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190515 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200512 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200619 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200707 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200720 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6747438 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |