JP6979041B2 - プライバシー対応データを記録するための方法およびシステム - Google Patents

プライバシー対応データを記録するための方法およびシステム Download PDF

Info

Publication number
JP6979041B2
JP6979041B2 JP2019005986A JP2019005986A JP6979041B2 JP 6979041 B2 JP6979041 B2 JP 6979041B2 JP 2019005986 A JP2019005986 A JP 2019005986A JP 2019005986 A JP2019005986 A JP 2019005986A JP 6979041 B2 JP6979041 B2 JP 6979041B2
Authority
JP
Japan
Prior art keywords
data
person
privacy
face
microprocessor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019005986A
Other languages
English (en)
Other versions
JP2019165431A (ja
Inventor
アイネッケ,ニルス
フックス,シュテファン
リヒター,アンドレアス
クノルツ,クリスティアーネ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Research Institute Europe GmbH
Original Assignee
Honda Research Institute Europe GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Research Institute Europe GmbH filed Critical Honda Research Institute Europe GmbH
Publication of JP2019165431A publication Critical patent/JP2019165431A/ja
Application granted granted Critical
Publication of JP6979041B2 publication Critical patent/JP6979041B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T11/002D [Two Dimensional] image generation
    • G06T11/60Editing figures and text; Combining figures or text
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0723Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips the record carrier comprising an arrangement for non-contact communication, e.g. wireless communication circuits on transponder cards, non-contact smart cards or RFIDs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/16Human faces, e.g. facial parts, sketches or expressions
    • G06V40/172Classification, e.g. identification

Description

本発明は、非公開データを記録することに同意する人または非同意である人が存在する雑多な場面において、プライバシー対応データを記録することができる方法およびシステムに関する。
今日、映像データは、多くの場所で、多くの様々な装置によって記録されている。このデータは、たとえば、監視カメラにより監視目的で記録することができる。当然のこととして、こうした監視システムは、人々および彼らの行動が容易に認識できる画像データを生成する。ある特定の目的の環境上で生成される映像データの他の用途は、車における先進運転者支援システム用の車線検出または交通信号検出などの、特別な機能を実現するために使用することができる。しかし、日常生活の他の装置も、映像データを使用してユーザの満足を増大させる。例として、装置の真の所有者がロック解除を求めていることを顔認識アルゴリズムが示したときにロックが解除される、スマートフォンまたは任意の他の装置を挙げることができる。
多くの場合、データを揮発性メモリに保持し、その揮発性メモリのみに基づいてデータを処理することが可能である。これは、たとえば、装置がロック解除されるまでのみデータが問題となるロック解除ルーチンの場合である。その後、データは装置から削除することができる。もちろん、これは監視目的で生成される映像データとは異なる。この点で、データを不揮発性メモリに記録し、記憶することは興味深いことであろう。しかし、特に新しいディープラーニング技術は、訓練するために大量のデータを必要とするので、機能性を改善するためにも、データを記憶することは有用なことであろう。
個人に関する情報は、こうした記憶されたデータから導出できるので、一部の人が自身の非公開データを記録されたくないことは明らかである。映像データが一度に1人だけを監視する限りは、たとえば、スマートフォンのユーザのように、いつでもデータ記録の同意を与えることができる。しかし、複数の人が、同一の対象、たとえば、所謂「スマートハウス」の一部屋または少なくとも「スマートルーム」を利用するといった、他の状況がある。この場合、非公開データの記録への同意について確認を求められるのは1人だけでなく、複数の異なる人々である。というのも、こうした異なる人々は、まさに同時に記録される可能性があるからである。多くの場合、こうした人々たとえば訪問者は、事前に知らされることすらない。
通常、個人のデータが記録されないことを保証するために、厳しいルールが使用される。たとえば、特許文献1は、データが送信または記録される前に、機密に関わる画像部分が暗号化されるシステムを記載している。しかし、同意を与えた人と、たとえば非公開データの記録に対する非同意を積極的に表明した人との間に区別はない。
他のアプローチが、たとえば、特許文献2に開示されている。ここでは、映像通信システムは、画像の最前面にいる人は自身の画像の送信に興味を持っているが、背景に見ることができる他のすべての人々はこうした興味を持たないものと仮定し、すべての背景情報が不明瞭化される。
これらのすべてのアプローチは、人によって与えられる個々の同意が全く考慮されず、したがって環境監視からの情報を使用する可能性は極めて限られている、という問題を有している。
米国特許出願公開第2007/0296817(A1)号 米国特許出願公開第2014/0176663(A1)号
したがって、本発明の目的は、人のプライバシーを侵害することなく、監視データについての、可能な限り広範なデータベースを提供することである。
この目的は、独立請求項による方法およびシステムによって達成される。有利な態様は従属請求項で定義される。
本発明によれば、環境の区域(area)が、1つまたは複数のセンサによって検知される。1つまたは複数のセンサによって生成される監視データは、検知された環境に関する情報を含み、したがって、人に関する情報もまた含む可能性がある。本発明によれば、監視された環境に存在する人々が判定され、監視された人々の中の、自身の非公開データの記録に同意しなかった人が特定される。人々の存在を判定し特定するために、マイクロプロセッサを使用して監視データを処理する。監視データから、マイクロプロセッサはさらに、自身の非公開データの記録に同意しなかった人々の非公開データを不明瞭化することにより、プライバシー対応監視データを生成する。最終的に、このプライバシー対応監視データは、後の分析、またはたとえばディープラーニングアルゴリズムに利用できるように、記憶される。本発明の大きな利点は、たとえば取り込まれた画像内の特定可能なすべての非公開データを、削除し、不明瞭にし、または暗号化する必要があるわけではなく、自身の非公開データの記録に同意せず、したがって同意を与えなかった人のデータのみを対象にすればよいことである。
特に、たとえば複数の異なる人々が同時にまたは時間順に存在することのある場所で監視カメラを使用するシステムにおいては、このことが、後の処理で使用することができるデータ量を劇的に増大させる。スマートルームまたはスマートハウスの部屋の例に戻ると、このことは、たとえば部屋の中で人の存在に気づくセンサは、システムを向上させるための重要な情報を提供することができることを意味する。他方で、自身の非公開データについての利用やその他の処理を望まない人のプライバシーは、依然として尊重される。
監視データは、特に、取り込まれた静止画または取り込まれた動画、音声ファイル、および独自に入手されたセンサデータから導出されたメタデータ、のうちの少なくとも1つを含む。こうしたメタデータは、たとえば移動パターンまたは人であり得る。以下の説明では、もっぱら画像取り込みの例について言及するが、同じ原理が音声データまたはメタデータにも当てはまることは明白である。
監視データが、少なくとも1つの重要区域(critical area)を含む画像データの場合、プライバシー対応情報は、画像内で特定されたこの一つ又は複数の重要区域を不明瞭化することによって生成される。重要区域とは、たとえば人の顔、全身、もしくは人によって運転される車両のナンバープレートなどのプライバシー関連情報、または、より一般的には、直接または間接に人の特定が可能な任意の情報を含む画像内の区域をいう。不明瞭化は、たとえば、重要区域を不鮮明にする、重要区域内でランダム化された画素交換を行う、重要区域の画素を黒い画素もしくは白い画素で置き換える、所定の代替顔を使用して顔の置き換えを行う、または、重要区域の画素を背景画素で置き換えることによって行われる。もちろん、不明瞭化の様々な方法を組み合わせることも可能である。
環境検知が複数のカメラを使用して行われると、特に有利である。システムが複数のカメラを備え、これらの複数のカメラすべてが同時に画像(静止画、一連の静止画、動画のいずれでも)を取り込む場合、画像内の重要区域を、他のカメラで同時に取り込まれた背景画素で置き換えることが可能である。これらのカメラがキャリブレート(較正)されている場合には、1つのカメラによって取り込まれた画像内の重要区域の位置は、複数のカメラのうちの他の1台のカメラによって取り込まれた画像内の位置情報に変換することができる。これにより、他のカメラの画像内の対応する区域もまた、不明瞭化が可能となる。さらに、1つの画像内において遮蔽された(物影に隠れた)背景画素を、こうした位置情報に基づいて抽出することができる。これにより、特に、背景画素により重要区域の画素の置き換えが行われる場合、常に近時関係を有する画素を使用できるという利点がある。たとえば、周囲の明かりが時刻につれて変化する場合でも、照明が同質であるという印象が維持される。
顔認識アルゴリズムによって人を特定することが特に好ましい。こうした顔認識アルゴリズムについての有利な例は、ニューラルネットワークを用いて顔を高次元ベクトルに変換し、新しい顔からの高次元ベクトルの距離を、訓練された顔の基準ベクトルのセットと比較することである。こうしたニューラルネットワークを使用することにより、高い認識率を得ることができるという利点がある。さらに、非公開データを記録または記憶することについて人が同意を与えた場合に、その人の顔の特徴を記述する高次元ベクトルを記憶しておくことができる。
他方、自身の非公開データを記憶することに明白に非同意を示した人に対しては、実際の顔の画像の代わりに、その人の顔の低次元バイナリベクトルを記憶することが可能であると有利である。このアプローチにより、自身の非公開データを記録することに非同意を示した人は、なおも自動的に特定され得るものの、こうした低次元バイナリベクトルのリバースエンジニアリングは不良設定問題(an ill−posed problem)であり、したがって、個々人のプライバシーは維持されることが保証される。これを行わない場合、こうした人々は、画像に現れ且つシステムにとって未知の人であると判定されるたびに、確認を求められることが必要となろう。すなわち、このようにベクトルの次元を減らして当該ベクトルを記録しておくものとすれば、確認を求められて非同意を示した人と、以前に現れたことがなかったためにシステムにとって完全に未知な人と、を区別することが可能となる。
明白に非同意を示した人だけでなく全く特定することができない人の非公開データも、不明瞭化することが好ましい。すなわち、同意を与えた人であると積極的に特定された人のデータのみが不明瞭化されず、したがって、それらの人たちの非公開データを記録することができる。これにより、システムは、いかなる人のプライバシーも侵害することなく自動的に動作し得ることが保証される。
実際のバイナリベクトルを記憶するのではなく、記録に非同意を示した人からのすべてのバイナリベクトルまたは顔に関して、分類子(classifier)またはクラスタアルゴリズム(たとえば、K平均法)を訓練するものとすることができ、これによりセキュリティがさらに一層向上する。すなわち、上述のリバースエンジニアリングは、さらに困難となる。1つの顔をリバースエンジニアリングする努力は、訓練される人の顔のベクトルの数につれて増大する。さらに、非同意を示した人からのバイナリベクトルを使用したこのような分類子またはクラスタアルゴリズムにより、非同意を示した人と、システムにとって完全に未知の人と、の区別が可能となる。これにより、自身の非公開データが記録されるか否かについて同意するかどうかを全く知られていない人に対して確認を求める機会ができる。その結果、非同意を示した人のバイナリベクトルおよび同意した人の顔ベクトルを保持する不揮発性メモリに記憶されたデータベースを、継続的に強化することができる。もちろん、ある人がデータの記録に実際に同意したという情報と共に、このような記録の設定がよりきめ細かなものとなり得る。特に、例えばある人は経路を追跡して記録することには同意したが、鮮明なカメラフレームを記憶することには同意しなかった、というような個々の人の好み(preference)を記憶することが可能である。この場合には、その人が大体においては非公開データの記録に同意していても、その人の重要領域においては画像を不明瞭化する、といったことが可能となる。
基準ベクトルをRFID装置(無線自動識別装置)に記憶しておくと、特に有利である。この場合、個人特有のデータは、その人の管理下にあるRFID以外には記憶されず、マイクロプロセッサによる顔認識を行う必要があるときにのみ、そのRIDにアクセスされるものとすることができる。
1つの有利な実施形態によれば、環境検知では、一連の画像が取り込まれて人の特定が行われ、当該一連の複数の画像にわたってそれらの人が追跡される。これにより、現在の画像に人の認識および特定に使用される顔が現れていない場合でも、取り込まれた画像において認識される任意の人についての、正しい特定および関連付けが可能となる。上記追跡は、時間において後方(過去)または前方(将来)に向かって行うことができる。ただし、特に、時間において後方への追跡では、過去の画像が取り込まれた当時には同意したのか非同意を申し立てたのかが不明な人についてのデータを、正しく不明瞭化しまたは記録することができる。その人の顔が後の画像において最初に観測され顔認識プロセスまたはアルゴリズムが実行できるようになって初めて、その人の非公開データに関して正しく動作することが可能となる。
上述した好みやプライバシーについての設定により、特に、移動や軌跡などについての第2レベルのデータの記憶が可能となる。ただし、そのような場合でも、記憶され又は記録されたデータは特定の人の直接的な推定を可能とするものではないことが保証される。
データベースを強化すべく、人についての特定が行えなかったときにはその都度、その人に対し、非公開データの記憶に明白に同意するか非同意を示すかについて確認を求めることが有利である。
本発明の他の有利な態様によれば、上述の処理が、揮発性メモリの上でのみ行われる。すなわち、1つまたは複数のセンサによって生成されたすべての監視データは揮発性メモリに保持され、このデータに関するすべての処理、プライバシー対応データの不明瞭化および生成は、すべてこの揮発性メモリ上で行われる。その後に、当該生成されたプライバシー対応データのみが、不揮発性メモリに書き込まれて記録される。このアプローチにより、予めその人が同意を与えていない限り、たとえ電源障害が発生した場合であってもその人の非公開データが不揮発性メモリに記憶されることはないことが保証される。その時点でまだ不明瞭化されていないデータは、揮発性メモリにのみ保持され、したがって電源障害の場合には消失する。
さらに有利な態様によれば、本システムはまた、たとえばスマートルームを利用する人が携行し得るNFC(near field communication、近距離無線通信)カードなどのRFID(radio−frequency identification)装置を備える。こうしたRFID装置は、たとえばアクセス制御システムで使用することができるので、スマートルームを使用する人は必ずこのRFID装置を携行することとなる。このカードは、その人がスマートルームへのアクセス許可を得たときにその人に対して発行され、その人は、その時点で非公開データの記録に同意するか非同意を示すかについての確認を求められるものとすることができる。この確認に関する情報は、このRFID装置に記憶されるものとすることができ、アクセスが制御されたその部屋に誰かが入るたびに、システムはそのキーカードによってその人を認識し、したがって、データ記録が許可されているか否かを知る。アクセス制御が使用されるこうしたシステムにおいては、入室を監視するための専用カメラを使用することが特に有利である。これにより、部屋に入ると直ちに個人の特定がなされることが保証される。
本発明の有利な態様は、以下に述べる添付の図面に基づく記載から、より一層明らかになるであろう。
本発明のシステムのブロック図である。 主な方法ステップを示すフロー図である。 重要区域を背景画素により置き換えるための画素の抽出を示す図である。 後方追跡(過去方向追跡)および前方追跡(将来方向追跡)を示す図である。
図1は、本発明の方法を実行するシステム1のブロック図である。システム1は、少なくとも1つのセンサユニット2を備える。センサユニット2は、本ケースでは複数のセンサ2を備えている。複数のセンサ2は、具体的に、第1のカメラ2.1、第2のカメラ2.2、およびマイクロフォン2.3を含み得る。カメラ2.1およびカメラ2.2の撮影可能範囲は、その監視区域が少なくとも部分的に重複するような範囲である。監視区域のこうした重複は、不明瞭化される重要区域に関する情報を共有するために極めて有利なだけでなく、他のカメラによって取り込まれた画像についての重要区域の画素の置き換えに用いることのできる背景画素を決定する目的においても極めて有利である。後者は、図3に関連してより詳細に説明する。情報を共有することにより、位置変換に基づいて複数のカメラの画像中の重要区域を不明瞭化することが可能となる。
前置き部においてすでに述べたように、以下で述べる説明は、1つまたは複数のカメラによって取り込まれた画像、特に、監視データを形成する取り込まれた動画の例に関してなされる。しかし、個人を特定するために適切な、1つまたは複数のセンサ2によって生成された任意の他の信号を、代わりに使用してもよい。明らかな例は、マイクロフォン2.3を使用して作成された音声ファイルであって、特定の人に特徴的な人の声を取り込んだ音声ファイルである。
センサユニット2によって生成された監視データは、揮発性メモリ3に送信される。揮発性メモリ3は、マイクロプロセッサ5がそのデータを完全に処理する間に限り、監視データを保持する。マイクロプロセッサ5は、センサユニット2によって生成されたデータについての監視データ処理の全てを担当するだけでなく、後述する処理によりプライバシー対応データを生成して不揮発性メモリ4に記録することも行う。後述においてより詳細に記述するように、マイクロプロセッサ5は、自身の非公開データの記録に同意しなかった人の非公開データのみを選択的に不明瞭化したプライバシー対応データを生成する。これにより、たとえば、同時に又は時系列的に複数の異なる人々を含み得る動画が、自身の非公開データの記録に同意しなかった人のデータのみが不明瞭化されて記録され得る。他方で、人によって記録することが許可されている事項については、そのすべての詳細が細部にわたって不揮発性メモリ4に記憶される。
不揮発性メモリ4は、さらに、個人の特定に使用される基準ベクトルが保存されたデータベース4.1を記憶する。すなわち、監視データが揮発性メモリ3に存在しているときは、マイクロプロセッサ5が判定アルゴリズムを実行することにより顔認識が実行され、ある人が画像中に存在することがそのデータから判定される。こうした顔認識の実行には、人工ニューラルネットワークを使用することが好ましい。こうしたネットワークは、人の顔をビット列によって表される低次元空間に変換するように事前訓練(pre−train)される。この学習された変換は、ビュー(view)が異なっても同じ顔は同じビット列に、異なる顔は異なるビット列に変換されように強化される。すなわち、一つの顔について一つの画像があれば、顔認識の事後訓練(post train)には十分である。後で他の顔のビット列と比較して顔認識を行うべく、その顔のビット列を記憶するだけでよい。このビット列はデータベース4.1に記憶され、新たな画像内で人が特定されると、マイクロプロセッサによりこのビット列との比較が実行される。
データベース4.1は、純粋なビット列は当然ながら、それに加えて、個人の特定情報(identification information)を記憶し、及び有利にはその人のプライバシーの設定または好みを記憶するものとし得ることに留意されたい。こうしたプライバシー設定(または好み)は、マイクロプロセッサ5によりデータベース4.1から取り出されて、非公開データまたはその一部を正しく不明瞭化するために使用されるものとすることができる。たとえば、ある人が非公開データの記録に概ね同意している場合でも、その人が詳細な画像データは記録しないことを選択している可能性がある。したがって、データを不揮発性メモリ4に記憶する前に、その画像内の顔の区域を、マイクロプロセッサ5によって不鮮明にするものとすることができる。
データベース4.1に記憶されたデータ、特に基準ベクトル(顔ベクトル)またはビット列は、代替としてRFID装置6に記憶するものとすることができる点に留意されたい。その場合、マイクロプロセッサ5は、基準ベクトルだけでなく、プライバシー設定、特定情報などのそれぞれの情報を入手するために、RFID装置6と通信を行う必要がある。特定対象である人がRFID装置を携行していない場合や、より一般的にはRFIDへのアクセスができない場合には、その人はシステムにとって未知であるものとして扱われるであろう。RFID装置に少なくとも基準ベクトルを記憶する利点は、システムの他の部分、すなわち不揮発性メモリ4、およびここでは特にデータベース4.1が、個人に特有のいかなるデータも全く記憶しないことである。ここに示す本発明の説明では、記載を簡潔にすべく、基準ベクトル及びその他の情報がデータベース4.1に記憶されるものとしているが、以下で述べるすべての説明は、RFID装置6を、当該RFID装置6との通信(データの保存及び取り出し)を行うことのできるマイクロプロセッサ5と共に備えるシステムについても、同様に当てはまることは明らかである。
画像が最終的に不揮発性メモリ4に記憶される前に、画像データ内の重要区域が不明瞭化される。こうした不明瞭化は、重要区域の不鮮明化を含んでもよいが、重要区域内にある区域の画素を無作為に交換すること、重要区域内の画素を黒い画素のみ、または白い画素のみ、または黒と白の画素からなるパターンによって置き換えることを含んでもよい。他のアプローチは、重要区域が人の顔である場合に、この重要区域を所定の代替顔で置き換えることである。当該所定の代替顔は、たとえば、不揮発性メモリ4に記憶された標準的な顔または人工的な顔であるものとすることができる。最後に、重要区域の画素は、また、背景画像から取られた画素によって置き換えるものとすることができる。一つの方法として、重要区域に対応する背景画素は、同じカメラ2.1または2.2によってある時点で取り込まれた、その区域が当該特定された人によって遮蔽されていない他の画像から取ることができる。他の方法として、上記背景画素は、特に、同一の時点において他のカメラによって撮られた画像から抽出するものとすることができる。
上述の説明では、重要区域は、常に顔であるものとした。ただし、重要区域は、直接または間接に特定可能な、その画像中の任意の部分、たとえばナンバープレートであってもよい。
図2は、本発明の簡略化されたフロー図を示す。上述したように、ステップS1における環境監視は、センサユニット2およびすべての利用可能なセンサ2によって行われる。これらのセンサ2は、たとえば、スマートルームで使用される複数のセンサ2であるものとすることができ、また、テレビ画面の前のソファーに向けられたカメラを含むものとすることができる。当該カメラが取り込んだ画像内で人がソファーに座っていることが検出された場合、例えばテレビの電源が自動的にオンされ得る。
センサユニット2によって生成された監視データは、当該監視データを処理することができるように、ステップS2において揮発性メモリ3に保持される。揮発性メモリ3に保存された監視データ中の一または複数の人を当該揮発性メモリ3上で判定すべく、マイクロプロセッサ5により処理が実行される。ステップS3において人の識別が行われ、監視データ内で人が識別された場合、ステップS4において、好ましい実施形態にしたがって顔ベクトル判定が実行され、個人が特定される。顔ベクトル判定それ自体は当分野でよく知られており、高次元顔ベクトルを使用することが好ましい。
上述したように、非公開データを記録することについて既に同意または非同意を示した人の顔ベクトルは、データベース4.1(またはRFID6)に記憶される。ステップS5において、識別された人についての識別された顔ベクトルを、記憶されている顔ベクトルと比較することにより、現在監視されている顔がデータベースに既に記録されているか否かを判断することができる。
その比較の結果が、その顔はすでにデータベース4.1に記録されている、というものである場合、その顔ベクトルに関連付けられた人が、非公開データを記録することに同意しているか否かがさらに判定される。ステップS6におけるこの判定がイエスの場合、すなわち、その人が非公開データの記録に同意している場合には、監視データは、プライバシー対応データの生成に際して変更されることなく維持される。
逆に、顔がデータベース4.1に記憶されていない場合、すなわち、その人がシステム1にとっては全くの未知である場合には、その人は、ステップS8において、非公開データの記録に同意するかについて確認を求められる。その後、ステップS9において、その人が実際に同意をしたか否かが判定される。イエスの場合、ステップS10において、顔ベクトルと、オプション(任意選択)としての何らかの好みまたはプライバシーの設定と、がデータベース4.1に記憶される。
もちろん、非公開データの記録に同意することについて確認を求められた人は、こうした記録に明白に非同意を示すこともできる。ステップS9において、たとえばユーザインタフェースにより、同意が得られないことがシステム1へ入力されると、本方法はステップS11へ進む。そうした場合、顔ベクトルの次元は低減され、低減された次元を有する顔ベクトルがデータベース4.1に記憶される。このような次元が低減された顔ベクトルを記憶することにより、リバースエンジニアリングはほとんど不可能となり、したがって、システムのセキュリティがたとえ侵害されたとしても、特定の人を識別することは不可能であることが保証される。他方で、取り込まれた画像中に人が存在すると判定されたとき、この特定の人が、以前にすでにデータ記録に同意するかについて確認を求められたか否かを判定することも可能である。このようにすれば、要求の繰り返しを避けることでき、その人を煩わせることはない。
顔ベクトルの次元が低減され、低減された顔ベクトルがデータベース4.1に記憶されたあとで、この人に関する非公開データがステップS12で不明瞭化される。次いで、この不明瞭化されたデータを使用して、ステップS7でプライバシー対応データが生成され、ステップS13において、このデータは、既に述べたように記憶される。
1つの画像または特定の連続した画像に、複数の人が同時に存在する可能性があることは明らかである。もちろん、プライバシー対応データの記録は、最後にのみ行われる。あらゆる人のそれぞれに対して、データの関連部分が、必要であれば最初に不明瞭化される。同意がなされている場合には、その人の非公開データは、プライバシー設定における設定に従ってとり扱われ、非同意である場合には、関連する非公開データは、上述したいずれかの方法で不明瞭化される。最後に、それぞれの人に対応するそれぞれの重要区域が、すべてその人によって示された同意又は非同意に従って処理されることにより、プライバシー対応データにより画像生成が行われ、その後に、場合によってはそれぞれに相異なる処理が行われた複数の重要区域を含む画像の全体が、ステップS13において不揮発性メモリ4に記録される。
図3は、カメラ2.1によって撮影された画像内の重要区域を置き換えるために使用されることとなる背景画素の決定方法の例を示す。カメラ2.1およびカメラ2.2は、少なくとも部分的に重なり合った区域に向けられている。ある人6が部屋の中に立っており、したがってカメラ2.1の視点から矢印で示した床の一定の区域15が見えなくなる。カメラ2.1および2.2はキャリブレート(較正)されているので、カメラ2.1の画像内の区域を、カメラ2.2の画像へ位置変換することができる。したがって、カメラ2.1の画像内で得られた位置情報に基づいて、カメラ2.2の画像内の対応する画素を決定することが可能である。次いで、こうした画素を使用して、カメラ2.1の画像内の重要区域のそれぞれの画素を置き換えることになる。ただし、カメラ2.2の画像内のその人の顔の不明瞭化も、こうした位置変換に基づいて行うことができる。
最後に、図4は、前方追跡(将来方向追跡)および後方追跡(過去方向追跡)を説明するための簡単な図を示す。タイムラインに沿って、複数の画像(フレーム)が少なくとも1つのカメラによって取り込まれる。簡略化したこの例においては、4つの連続した画像、s、i−1、i、i+1、およびeを用いて説明する。フレームsにおいて、すでに人が存在すると判定され得る。しかしながら、顔認識ができないために、その人を特定することができないこととなり得る。これは、たとえば、その人を背後からしか取り込めないような方向にカメラが向いている場合に起こり得る。この例では、その人は、フレームiが取り込まれるときだけ、向きが変わって顔認識が可能となる。その後、異なる複数のフレームで常に見えていたその人を後方追跡することにより、その特定された人を、フレームsおよびフレームi−1において見えていた人に関連付けることができる。このように、フレームiでのみ顔が視認可能で、且つ、その後に、その人が、自身を何らかの方法で特定できるような任意の非公開データが記録されることに完全に非同意を示していると判断される場合にも、その人が特定された最初のフレームをも含むすべてにおいて、データの不鮮明化を行うことができる。すなわち、人が存在していると判定されるもののその人の特定ができないという場合には、それらのフレームは揮発性メモリ3に保持される。
他方で、フレームiから開始する前方追跡により、顔認識の反復実行を要することなく、判定された人を直接特定することができる。
上述したように、本発明は、スマートルームや、カメラで強化された装置において使用するのが特に適している。ただし、もちろん、この基本原理は、個人に関する情報を含んだ環境監視からデータを生成することのできる任意の装置またはシステムに適用することができる。

Claims (30)

  1. プライバシーを侵害することなく監視データを記録するための方法であって、
    環境を検知し、前記検知された環境に関する情報を含む監視データを生成するステップ(S1)と、
    前記検知された環境内の1人または複数人の存在を判定するために、前記監視データを処理するステップ(S3)と、
    前記存在する人(々)のうちで、自身の非公開データを記憶することに同意しなかった人(々)を特定するステップ(S4、S5)と、
    そのような人々の前記非公開データを不明瞭化することにより、プライバシー対応監視データを生成するステップ(S7)と、
    前記プライバシー対応監視データを記憶するステップ(S13)と、を含み、
    前記監視データは、少なくとも1つの重要区域を含む、取り込まれた静止画または動画を含み、前記要区域は、プライバシー関連情報を含む画像区域であり、
    前記環境の検知は、複数のカメラ(2.1、2.2)を使用して行われ、
    前記複数のカメラ(2.1、2.2)は、一のカメラ(2.1)によって取り込まれた画像内の重要区域の位置が、前記複数のカメラのうちの他のカメラ(2.2)によって取り込まれた画像内の位置に変換できるように較正され、
    こうした位置変換に基づいて、不明瞭化は、少なくとも前記重要区域の画素を、前記他のカメラ(2.2)によって取り込まれた少なくとも1つの画像から抽出された背景画素により置き換えることによって実行される方法。
  2. 前記監視データは、音声ファイル、および、もともと入手されたセンサデータから導出されたメタデータ、のうちの少なくとも1つを更に含む、
    ことを特徴とする、請求項1に記載の方法。
  3. 顔認識(S4)によって人が特定される、
    ことを特徴とする、請求項1または2に記載の方法。
  4. 顔認識のために、ニューラルネットワークを使用して顔の画像を高次元ベクトルに変換し、新しい顔からの前記高次元ベクトルの距離が訓練された顔の基準ベクトルのセットと比較される(S5)ことを特徴とする、請求項3に記載の方法。
  5. 個人関連データを記憶することに同意した各人に対して、顔を記述する基準ベクトルが記憶されることを特徴とする、請求項4に記載の方法。
  6. 同意した人の基準ベクトルがRFID装置に記憶されることを特徴とする、請求項4または5に記載の方法。
  7. 非公開データの記憶に不同意を表明した人に関して低次元バイナリベクトルが記憶される(S11)ことを特徴とする、請求項4ないし6のいずれか一項に記載の方法。
  8. 明白に非同意を示した人、および全く特定することができない人のデータに関して、非公開データの不明瞭化が実行されることを特徴とする、請求項7に記載の方法。
  9. 非公開データの記憶に非同意を示した人に関して代表的なベクトルが生成されることを特徴とする、請求項7または8に記載の方法。
  10. 前記環境の検知は、一連の画像を取り込むことを含み、
    特定された人が、一連の画像(フレームs、フレームi−1、フレームi、フレームi+1、フレームe)にわたって追跡される、
    ことを特徴とする、請求項1ないし9のいずれか一項に記載の方法。
  11. 追跡が、時間において後方に遡って実行されることを特徴とする、請求項10に記載の方法。
  12. プライバシー設定に応じて、特定の人を直接推定することができない第2レベルのデータが記憶されることを特徴とする、請求項1ないし11のいずれか一項に記載の方法。
  13. 全く特定することができない人に、非公開データを記憶することに明白に同意するか非同意を示すかについての確認を求める(S8)ことを特徴とする、請求項1ないし12のいずれか一項に記載の方法。
  14. 監視データが揮発性メモリ(3)に保持され、不明瞭化を含むデータ処理が前記揮発性メモリ(3)上で実行され、プライバシー対応データの記憶が不揮発性メモリ(4)上で実行される(S13)ことを特徴とする、請求項1ないし13のいずれか一項に記載の方法。
  15. 非公開データを記憶することへの同意に関する情報が、RFID装置に記憶されることを特徴とする、請求項1ないし14のいずれか一項に記載の方法。
  16. プライバシーを侵害することなく監視データを記録するためのシステムであって、
    環境を検知し、および前記検知された環境に関する情報を含む監視データを生成する複数のカメラ(2.1、2.2、2.3)と、
    前記検知された環境内の1人または複数人の存在を判定し、前記存在する人(々)のうちで、自身の非公開データを記憶することに同意しなかった人(々)を特定し、こうした人々の前記非公開データを不明瞭化することによりプライバシー対応監視データを生成する(S7)、よう構成された、前記監視データを処理するマイクロプロセッサ(5)と、
    前記プライバシー対応監視データを記憶するメモリ(4)と、
    を備え、
    前記監視データは、少なくとも1つの重要区域を含む、取り込まれた静止画または動画を含み、前記要区域は、プライバシー関連情報を含む画像区域であり、
    前記環境の検知は、複数のカメラ(2.1、2.2)を使用して行われ、
    前記複数のカメラ(2.1、2.2)は、一のカメラ(2.1)によって取り込まれた画像内の重要区域の位置が、前記複数のカメラのうちの他のカメラ(2.2)によって取り込まれた画像内の位置に変換できるように較正され、
    こうした位置変換に基づいて、不明瞭化は、少なくとも前記重要区域の画素を、前記他のカメラ(2.2)によって取り込まれた少なくとも1つの画像から抽出された背景画素により置き換えることによって実行されるシステム。
  17. 前記環境を検知するマイクロフォン(2.3)を更に含むことを特徴とする、請求項16に記載のシステム。
  18. 前記マイクロプロセッサ(5)は、顔認識により人を特定するように構成されていることを特徴とする、請求項16または17に記載のシステム。
  19. 顔認識のために、ニューラルネットワークを使用して顔の画像を高次元ベクトルに変換し、新しい顔からの前記高次元ベクトルの距離が訓練された顔の基準ベクトルのセットと比較される(S5)ことを特徴とする、請求項18に記載のシステム。
  20. 前記マイクロプロセッサ(5)は、個人関連データを記憶することに同意した各人に対して、顔を記述する基準ベクトルを記憶する(S10)よう構成されている、
    ことを特徴とする、請求項19に記載のシステム。
  21. 前記マイクロプロセッサ(5)は、RFID装置と通信して前記RFID装置上で基準ベクトルを取り出し及び記憶することができるように構成されている、
    ことを特徴とする、請求項20に記載のシステム。
  22. 前記マイクロプロセッサ(5)は、非公開データの記録に不同意を表明した人に関して低次元バイナリベクトルを生成し記憶するよう構成されている、
    ことを特徴とする、請求項19ないし21のいずれか一項に記載のシステム。
  23. 前記マイクロプロセッサ(5)は、明白に非同意を示した人、および全く特定することができない人のデータに関して、非公開データの不明瞭化を実行するよう構成されている、
    ことを特徴とする、請求項22に記載のシステム。
  24. 前記マイクロプロセッサ(5)は、非公開データの記憶に非同意を示した人に関して代表的なベクトルを生成するよう構成されている、
    ことを特徴とする、請求項20ないし23のいずれか一項に記載のシステム。
  25. 前記環境の検知は、一連の画像を取り込むことを含み、
    特定された人が、前記一連の画像(フレームs、フレームi−1、フレームi、フレームi+1、フレームe)にわたって追跡される、
    ことを特徴とする、請求項16ないし24のいずれか一項に記載のシステム。
  26. 前記マイクロプロセッサ(5)は、時間において後方に遡って追跡を実行するよう構成されている、
    ことを特徴とする、請求項25に記載のシステム。
  27. 前記マイクロプロセッサ(5)は、プライバシー設定に応じて、特定の人を直接推定することができない第2レベルのデータを記憶するよう構成されている、
    ことを特徴とする、請求項16ないし26のいずれか一項に記載のシステム。
  28. 全く特定することができない人に、非公開データを記憶することに明白に同意するか非同意を示すかについて確認を求める(S8)ことを特徴とする、請求項16ないし27のいずれか一項に記載のシステム。
  29. 前記システム(1)は、揮発性メモリ(3)を備え、
    前記マイクロプロセッサ(5)は、
    不明瞭化を含むデータ処理を前記揮発性メモリ(3)上で実行し、
    プライバシー対応データを不揮発性メモリ(4)に記憶する、
    よう構成されている、
    ことを特徴とする、請求項16ないし28のいずれか一項に記載のシステム。
  30. 前記システム(1)は、RFID装置を備え、
    非公開データを記憶することへの同意に関する情報が、RFID装置上に記憶される、
    ことを特徴とする、請求項16ないし28のいずれか一項に記載のシステム。
JP2019005986A 2018-01-23 2019-01-17 プライバシー対応データを記録するための方法およびシステム Active JP6979041B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP18152972.8 2018-01-23
EP18152972.8A EP3514760B1 (en) 2018-01-23 2018-01-23 Method and system for privacy compliant data recording

Publications (2)

Publication Number Publication Date
JP2019165431A JP2019165431A (ja) 2019-09-26
JP6979041B2 true JP6979041B2 (ja) 2021-12-08

Family

ID=61074312

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019005986A Active JP6979041B2 (ja) 2018-01-23 2019-01-17 プライバシー対応データを記録するための方法およびシステム

Country Status (3)

Country Link
US (1) US11188679B2 (ja)
EP (1) EP3514760B1 (ja)
JP (1) JP6979041B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11477385B2 (en) * 2019-05-15 2022-10-18 Asustek Computer Inc. Electronic device with rotatable camera for protecting privacy
US11250606B2 (en) * 2019-07-31 2022-02-15 Grabango Co. Privacy protection in vision systems
KR102313554B1 (ko) * 2019-11-28 2021-10-18 한국전자기술연구원 개인정보 비식별화 방법 및 시스템
DE102020120828A1 (de) * 2020-01-29 2021-07-29 Eto Magnetic Gmbh Verfahren zu einer Zuordnung eines Urhebers einer digitalen Mediendatei und/oder zu einer Distribution der digitalen Mediendatei, Aufnahmegerät und Anzeigegerät
KR20220152866A (ko) * 2021-05-10 2022-11-17 삼성전자주식회사 로봇 장치, 그 제어 방법, 및 프로그램이 기록된 기록매체
KR102473801B1 (ko) 2021-07-07 2022-12-05 주식회사 딥핑소스 공간 내에서 오브젝트들을 익명화하여 추적하는 방법 및 이를 이용한 익명화 추적 장치
CN114048489B (zh) * 2021-09-01 2022-11-18 广东智媒云图科技股份有限公司 一种基于隐私保护的人体属性数据处理方法及装置

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6580574B1 (en) * 2001-05-25 2003-06-17 Western Digital Technologies, Inc. Mobile device comprising a disk storage system protected by a pressure-sensitive detector
JP2003298905A (ja) * 2002-04-02 2003-10-17 Mitsubishi Plastics Ind Ltd デジタルカメラ
WO2004105383A1 (ja) * 2003-05-20 2004-12-02 Matsushita Electric Industrial Co., Ltd. 撮像システム
JP4217664B2 (ja) * 2004-06-28 2009-02-04 キヤノン株式会社 画像処理方法、画像処理装置
US20070296817A1 (en) 2004-07-09 2007-12-27 Touradj Ebrahimi Smart Video Surveillance System Ensuring Privacy
JP5002131B2 (ja) * 2005-04-05 2012-08-15 キヤノン株式会社 監視用撮像装置及びその制御方法
JP4760172B2 (ja) * 2005-07-08 2011-08-31 フリュー株式会社 画像処理装置、ユーザid格納端末装置、写真撮影装置、画像処理端末装置、画像処理方法、および画像処理システム
ATE524784T1 (de) * 2005-09-30 2011-09-15 Irobot Corp Begleitroboter für persönliche interaktion
WO2009001530A1 (ja) * 2007-06-22 2008-12-31 Panasonic Corporation カメラ装置、および、撮影方法
JP2009033738A (ja) * 2007-07-04 2009-02-12 Sanyo Electric Co Ltd 撮像装置、画像ファイルのデータ構造
EP2263190A2 (en) * 2008-02-13 2010-12-22 Ubisoft Entertainment S.A. Live-action image capture
JP5709367B2 (ja) * 2009-10-23 2015-04-30 キヤノン株式会社 画像処理装置、および画像処理方法
JP2011223109A (ja) * 2010-04-05 2011-11-04 Nikon Corp 撮像装置および画像ファイル生成方法
JP2012010256A (ja) * 2010-06-28 2012-01-12 Nikon Corp 撮像装置および画像処理プログラム
JP5555103B2 (ja) * 2010-09-06 2014-07-23 キヤノン株式会社 画像記録装置、方法及びプログラム
US8494231B2 (en) * 2010-11-01 2013-07-23 Microsoft Corporation Face recognition in video content
US9916538B2 (en) * 2012-09-15 2018-03-13 Z Advanced Computing, Inc. Method and system for feature detection
US9124762B2 (en) 2012-12-20 2015-09-01 Microsoft Technology Licensing, Llc Privacy camera
KR101990368B1 (ko) * 2014-05-07 2019-09-30 한화테크윈 주식회사 감시 카메라 및 감시 시스템
US9679194B2 (en) * 2014-07-17 2017-06-13 At&T Intellectual Property I, L.P. Automated obscurity for pervasive imaging
KR102094509B1 (ko) * 2014-07-31 2020-03-27 삼성전자주식회사 촬영 제한 요소를 포함하는 영상을 수정하는 방법, 이를 수행하기 위한 디바이스 및 시스템
CN105407261A (zh) * 2014-08-15 2016-03-16 索尼公司 图像处理装置、方法以及电子设备
US9830505B2 (en) * 2014-11-12 2017-11-28 International Business Machines Corporation Identifying and obscuring faces of specific individuals in an image
CN106803877A (zh) * 2015-11-26 2017-06-06 西安中兴新软件有限责任公司 一种摄影摄像方法和装置
JP6732522B2 (ja) * 2016-05-02 2020-07-29 キヤノン株式会社 画像処理装置、画像処理方法およびプログラム

Also Published As

Publication number Publication date
EP3514760B1 (en) 2020-06-17
US20190228182A1 (en) 2019-07-25
JP2019165431A (ja) 2019-09-26
EP3514760A1 (en) 2019-07-24
US11188679B2 (en) 2021-11-30

Similar Documents

Publication Publication Date Title
JP6979041B2 (ja) プライバシー対応データを記録するための方法およびシステム
US11062577B2 (en) Parcel theft deterrence for A/V recording and communication devices
US10762646B2 (en) Neighborhood alert mode for triggering multi-device recording, multi-camera locating, and multi-camera event stitching for audio/video recording and communication devices
US20180247504A1 (en) Identification of suspicious persons using audio/video recording and communication devices
US10726690B2 (en) Parcel theft deterrence for audio/video recording and communication devices
JP2019508801A (ja) なりすまし防止顔認識のための生体検知
US20070201694A1 (en) Privacy management in imaging system
US20030231769A1 (en) Application independent system, method, and architecture for privacy protection, enhancement, control, and accountability in imaging service systems
CN104268963A (zh) 一种智能门锁系统及智能门锁、智能报警门
JP2016072964A (ja) 被写体再識別のためのシステム及び方法
US20180091730A1 (en) Security devices configured for capturing recognizable facial images
KR20090108591A (ko) 리소스에 대한 액세스 제어 방법, 시스템 및 컴퓨터 판독 가능한 저장 매체
JP2008108243A (ja) 人物認識装置および人物認識方法
JP2009116600A (ja) 入退室管理システム
EP3516865B1 (en) Parcel theft deterrence for wireless audio/video recording and communication devices
Fuzail et al. Face detection system for attendance of class’ students
US20190138794A1 (en) Face recognition system and method thereof
WO2018037355A1 (en) A system and method for automated vehicle and face detection and their classification
JP5955056B2 (ja) 顔画像認証装置
CN116805436A (zh) 一种智能门禁、控制系统及控制方法
KR102093858B1 (ko) 바이오메트릭스 기반 차량 제어 장치 및 이를 이용한 차량 제어 방법
CA3055600A1 (en) Method and system for enhancing a vms by intelligently employing access control information therein
JP5341001B2 (ja) 画像監視装置
JP7142443B2 (ja) 画像認証システム、画像認証方法および画像認証プログラム
US20240046729A1 (en) Auto-programming door and camera relationships for a security system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190808

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200914

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210803

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211007

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211019

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211112

R150 Certificate of patent or registration of utility model

Ref document number: 6979041

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150