JP7003822B2 - 情報処理装置、情報処理システム、及びプライバシ保護プログラム - Google Patents

情報処理装置、情報処理システム、及びプライバシ保護プログラム Download PDF

Info

Publication number
JP7003822B2
JP7003822B2 JP2018076805A JP2018076805A JP7003822B2 JP 7003822 B2 JP7003822 B2 JP 7003822B2 JP 2018076805 A JP2018076805 A JP 2018076805A JP 2018076805 A JP2018076805 A JP 2018076805A JP 7003822 B2 JP7003822 B2 JP 7003822B2
Authority
JP
Japan
Prior art keywords
information
region
time
area
range
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018076805A
Other languages
English (en)
Other versions
JP2019185473A (ja
Inventor
静子 市川
潤也 可児
久俊 山岡
直樹 西口
英一 高橋
宏太 板倉
章 司波
美和 岡林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018076805A priority Critical patent/JP7003822B2/ja
Priority to US16/376,582 priority patent/US11212648B2/en
Publication of JP2019185473A publication Critical patent/JP2019185473A/ja
Application granted granted Critical
Publication of JP7003822B2 publication Critical patent/JP7003822B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Traffic Control Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、情報処理装置、情報処理システム、及びプライバシ保護プログラムに関する。
従来、ユーザが保持する端末からユーザのリアルタイムな位置情報を取得し、取得した位置情報に基づいて、位置に関連する情報を端末に提供するサービスが知られている。このようなサービスを利用するユーザは、詳細な位置情報をサービス提供者に教えたくない場合もあるため、端末からサービス提供者に送信する位置情報をユーザの存在位置を抽象化した位置情報とすることがある。例えば、端末からサービス提供者に送信する位置情報としては、ユーザが存在している市区町村の名称とすることができる。
特開2009-296452号公報
しかしながら、個々の時点において抽象化した位置情報を送信したとしても、複数の時点の抽象化した位置情報を組み合わせて解析すると、ユーザが存在する又は存在した範囲(存在範囲)として、知られたくない程度に狭い範囲が特定できてしまう場合がある。このような場合には、ユーザのプライバシが侵害されるおそれがある。
このようなプライバシの侵害を回避するための方法としては、ユーザの存在位置をより広い領域で抽象化することが考えられる。この場合、端末からサービス提供者に送信する位置情報は、例えば都道府県の名称などとすることができる。しかしながら、この場合には、サービス提供者から提供される情報が都道府県全体の情報となり、情報量が膨大になるおそれがある。
また、プライバシの侵害を回避するための方法としては、抽象化した位置情報を送信するタイミングを遅らせることも考えられるが、このようにすると、ユーザの位置に関連する情報をリアルタイムに提供することができない。
1つの側面では、本発明は、外部装置から位置に関連する情報を取得する際のプライバシ保護を実現することが可能な情報処理装置、情報処理システム及びプライバシ保護プログラムを提供することを目的とする。
一つの態様では、情報処理装置は、位置検出装置が第1の時刻に検出した位置を含む第1の領域の情報と、前記位置検出装置が前記第1の時刻よりも前の第2の時刻に検出した位置を含み、前記第2の時刻に前記位置検出装置が存在する領域の情報として外部装置に対して既に送信している第2の領域の情報と、の組み合わせから、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び、前記第2の時刻において前記位置検出装置が存在可能な範囲を特定する特定部と、前記特定部が特定した前記存在可能な範囲が、予め定められている第三者に知られてもよい存在可能範囲の条件を満たしているか否かを判断する判断部と、前記条件を満たしていない場合に、前記第1の領域の情報と前記第1の領域以外の領域とを含む第3の領域の情報を、前記第1の時刻に前記位置検出装置が存在する領域の情報として前記外部装置に対して送信する送信部と、前記外部装置から前記第3の領域に関連する情報を受信する受信部と、を備える。
外部装置から位置に関連する情報を取得する際のプライバシ保護を実現することができる。
一実施形態に係る情報処理システムの構成を概略的に示す図である。 図2(a)は、ユーザ端末のハードウェア構成を示す図であり、図2(b)は、サービス提供装置及び個人データ管理サーバのハードウェア構成を示す図である。 ユーザ端末、個人データ管理サーバ、サービス提供装置の機能ブロック図である。 プライバシ保護条件を示す図である。 図5(a)は、リクエスト済み領域情報ログの一例を示す図であり、図5(b)は、存在可能範囲の代表点を説明するための図である。 個人データ管理サーバの一連の処理を示すフローチャートである。 図5のステップS16の詳細処理を示すフローチャートである。 図6のステップS18の詳細処理を示すフローチャートである。 図9(a)、図9(b)は、リクエスト済み領域情報ログの変遷を示す図である。 図10(a)、図10(b)は、図6~図8の処理を説明するための図(その1)である。 図11(a)、図11(b)は、図6~図8の処理を説明するための図(その2)である。 図6~図8の処理を説明するための図(その3)である。 図13(a)、図13(b)は、図6~図8の処理を説明するための図(その4)である。 図14(a)、図14(b)は、図6~図8の処理を説明するための図(その5)である。 図15(a)、図15(b)は、図6~図8の処理を説明するための図(その6)である。 図16(a)、図16(b)は、図6~図8の処理を説明するための図(その7)である。 図17(a)、図17(b)は、図6~図8の処理を説明するための図(その8)である。 図18(a)、図18(b)は、図6~図8の処理を説明するための図(その9)である。 変形例を示す図(その1)である。 変形例を示す図(その2)である。 変形例を示す図(その3)である。
以下、情報処理システムの一実施形態について、図1~図18(b)に基づいて詳細に説明する。図1には、一実施形態に係る情報処理システム100の構成が概略的に示されている。
図1に示すように、情報処理システム100は、端末としてのユーザ端末70と、外部装置としてのサービス提供装置10と、情報処理装置としての個人データ管理サーバ20と、を備える。ユーザ端末70と、サービス提供装置10と、個人データ管理サーバ20は、インターネットなどのネットワーク80に接続されている。
ユーザ端末70は、スマートフォンやタブレット型端末などのユーザが携帯可能な端末である。図2(a)には、ユーザ端末70のハードウェア構成が示されている。図2(a)に示すように、ユーザ端末70は、CPU(Central Processing Unit)190、ROM(Read Only Memory)192、RAM(Random Access Memory)194、記憶部(ここではHDD(Hard Disk Drive))196、ネットワークインタフェース197、表示部193、入力部195、位置検出装置189、及び可搬型記憶媒体用ドライブ199等を備えている。表示部193は、液晶ディスプレイ等を含み、入力部195は、タッチパネルや物理ボタン、キーボード等を含む。位置検出装置189は、GPS(Global Positioning System)センサ等を含む。これらユーザ端末70の構成各部は、バス198に接続されている。ユーザ端末70では、ROM192あるいはHDD196に格納されているプログラム、或いは可搬型記憶媒体用ドライブ199が可搬型記憶媒体191から読み取ったプログラムをCPU190が実行することにより、図3に示す、位置情報送信部72、及びサービス情報受信部74としての機能が実現されている。なお、図3のユーザ端末70の各部の機能は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されてもよい。
位置情報送信部72は、サービス提供装置10に対して現在の位置に関連する情報の提供をリクエストする場合に、位置検出装置189で取得された現在位置の情報を、個人データ管理サーバ20に送信する。
サービス情報受信部74は、サービス提供装置10から個人データ管理サーバ20に送信されてくる情報の全部又は一部を個人データ管理サーバ20から受信する。サービス情報受信部74が受信した情報は、ユーザ端末70の現在位置に関連する情報であり、表示部193に表示されるなどして、ユーザに提供される。
図1に戻り、個人データ管理サーバ20は、ユーザ端末70からユーザ端末70の現在位置の情報とともに、現在位置に関連する情報のリクエストを受信する。そして、個人データ管理サーバ20は、ユーザ端末70の現在位置の情報を抽象化し、抽象化した現在位置の情報とともにリクエストをサービス提供装置10に送信する。この場合、個人データ管理サーバ20は、ユーザ端末70を利用するユーザのプライバシが侵害されないように、抽象化した現在位置の情報にダミーの情報を付加して、サービス提供装置10に送信する場合がある。
また、個人データ管理サーバ20は、リクエストに対応する情報がサービス提供装置10から送信されてきた場合に、受信した情報の全部又は一部をユーザ端末70に送信する。なお、個人データ管理サーバ20のハードウェア構成や機能の詳細については後述する。
サービス提供装置10は、個人データ管理サーバ20からリクエストを受信し、受信したリクエストに基づいて、ユーザ端末70に提供する情報を抽出して、個人データ管理サーバ20に送信する。図2(b)には、サービス提供装置10のハードウェア構成が示されている。図2(b)に示すように、サービス提供装置10は、CPU90、ROM92、RAM94、記憶部(ここではHDD)96、ネットワークインタフェース97、及び可搬型記憶媒体用ドライブ99等を備えている。これらサービス提供装置10の構成各部は、バス98に接続されている。サービス提供装置10では、ROM92あるいはHDD96に格納されているプログラム、或いは可搬型記憶媒体用ドライブ99が可搬型記憶媒体91から読み取ったプログラムをCPU90が実行することにより、図3に示す、リクエスト受信部12、処理部14、サービス情報送信部16としての機能が実現されている。なお、図3のサービス提供装置10の各部の機能は、例えば、ASICやFPGA等の集積回路により実現されてもよい。
リクエスト受信部12は、個人データ管理サーバ20から送信されてくるリクエスト(ユーザ端末70の抽象化した現在位置の情報やダミーの情報を含む)を受信する。リクエスト受信部12は、受信したリクエストを処理部14に受け渡す。
処理部14は、リクエストを受け取ると、受け取ったリクエストに基づいて、ユーザ端末70に提供する情報を抽出し、サービス情報送信部16に受け渡す。
サービス情報送信部16は、処理部14から受け取った情報を個人データ管理サーバ20に送信する。
(個人データ管理サーバ20のハードウェア構成及び機能について)
個人データ管理サーバ20は、サービス提供装置10と同様、図2(b)に示すようなハードウェア構成を有する。具体的には、個人データ管理サーバ20は、CPU90、ROM92、RAM94、記憶部(HDD)96、ネットワークインタフェース97、及び可搬型記憶媒体用ドライブ99等を備えている。個人データ管理サーバ20では、ROM92あるいはHDD96に格納されているプログラム(プライバシ保護プログラムを含む)、或いは可搬型記憶媒体用ドライブ99が可搬型記憶媒体91から読み取ったプログラム(プライバシ保護プログラムを含む)をCPU90が実行することにより、図3の各部の機能が実現されている。なお、図3の個人データ管理サーバ20の各部の機能は、例えば、ASICやFPGA等の集積回路により実現されてもよい。
個人データ管理サーバ20は、CPU90がプログラムを実行することにより、図3に示す、位置情報取得部22、抽象化部24、特定部及び判断部としてのプライバシ侵害判定部26、ダミー領域生成部28、領域統合部30、リクエスト送信部32、受信部としてのサービス情報受信部34、選択部としてのサービス情報選択部36、として機能する。
位置情報取得部22は、ユーザ端末70の位置情報送信部72から送信されてくるユーザ端末70の現在位置の情報を取得し、抽象化部24に受け渡す。
抽象化部24は、プライバシ保護条件40に基づいて、受け取ったユーザ端末70の位置情報を抽象化する。ここで、プライバシ保護条件40は、一例として、図4に示すようなデータであるものとする。図4のプライバシ保護条件40においては、ユーザごと(ユーザIDごと)に、抽象化用プライバシ保護条件と、侵害判定用プライバシ保護条件と、が定義されている。なお、プライバシ保護条件40は、各ユーザが予め設定しておく条件であるものとする。
例えば、図4の例では、ユーザID=Aの場合、抽象化部24は、受け取ったユーザ端末70の現在位置の情報を、現在位置を含む市区町村名に変換することで、抽象化する。また、ユーザID=Bの場合、抽象化部24は、受け取ったユーザ端末70の位置情報を、該位置情報を含む都道府県名に変換することで、抽象化する。また、ユーザID=Cの場合、抽象化部24は、受け取ったユーザ端末70の位置情報を、該位置情報を含む街区名に変換することで、抽象化する。なお、抽象化した現在位置の情報は、ユーザが存在する領域を示す情報であるため、抽象化した現在位置を以下においては「存在領域」と呼ぶものとする。なお、侵害判定用プライバシ保護条件は、プライバシ侵害判定部26において用いられるものであるので、詳細については後述する。
プライバシ侵害判定部26は、ユーザ端末70の存在領域の情報をサービス提供装置10に送信した場合に、プライバシが侵害されるか否かを判定する。ここで、個々の時点において抽象化した現在位置の情報(存在領域の情報)を送信したとしても、複数の時点の存在領域を組み合わせて解析すると、ユーザが存在する又は存在した範囲(存在可能範囲)として、知られたくない程度に狭い範囲が特定できてしまう場合がある。この場合における「知られたくない程度」が図4のプライバシ保護条件40の「侵害判定用プライバシ保護条件」である。すなわち、侵害判定用プライバシ保護条件は、予め定められている、第三者に知られたくない存在可能範囲の条件である。例えば、図4のユーザID=Aの場合、複数の時点の存在領域情報を組み合わせて解析した場合に特定される存在可能範囲が、存在領域の70%以上でなければプライバシが侵害されると判定される。また、ユーザID=Bの場合、複数の時点の存在領域情報を組み合わせて解析した場合に特定される存在可能範囲が、面積30km2以上でなければプライバシが侵害されると判定される。なお、プライバシ侵害判定部26の具体的な処理については、後述する。
ダミー領域生成部28は、プライバシ侵害判定部26によりユーザのプライバシが侵害されると判定された場合に、ユーザ端末70の存在領域の情報と一緒にサービス提供装置10に送信するダミーの情報を生成する。ダミーの情報は、存在領域の近傍の別の領域(ダミー領域)の情報である。例えば、存在領域がA区である場合には、A区の近傍に存在する区がダミー領域となる。
領域統合部30は、抽象化部24が変換した存在領域の情報と、ダミー領域生成部28が生成したダミー領域の情報とを統合して、リクエスト送信部32に受け渡す。なお、プライバシ侵害判定部26においてプライバシが侵害されないと判定された場合には、ユーザ端末70の存在領域の情報が、抽象化部24からリクエスト送信部32に直接受け渡される。
リクエスト送信部32は、ユーザ端末70からのリクエストを、領域統合部30又は抽象化部24から受け取った領域の情報とともに、サービス提供装置10のリクエスト受信部12に対して送信する。なお、リクエスト送信部32は、リクエストの内容をリクエスト済み領域情報ログ42に格納する。リクエスト済み領域情報ログ42は、一例として、図5(a)に示すようなデータ構造を有する。図5(a)のリクエスト済み領域情報ログ42は、ユーザ端末70ごと(ユーザIDごと)に用意されているものとする。
図5(a)に示すように、リクエスト済み領域情報ログ42には、「日時」、「存在領域情報」、「ダミー領域情報」、「存在可能範囲」の各情報が格納される。「日時」の欄には、ユーザ端末70からリクエストを受信した日時の情報が格納される。「存在領域情報」の欄には、ユーザ端末70の現在位置を抽象化した存在領域の情報(例えばユーザ端末70が存在する市区町村名)が格納される。「ダミー領域情報」の欄には、サービス提供装置10に送信したダミー領域の情報(例えばユーザ端末70が存在する市区町村の近傍の市区町村名)が格納される。「存在可能範囲」の欄には、サービス提供装置10が特定することができるユーザ端末70の存在可能範囲の情報が格納される。具体的には、「存在可能範囲」には、存在可能範囲を規定するための複数の代表点の緯度、経度の情報が格納される。図5(a)の例では、存在可能範囲は東京都の中野区全体であるため、代表点は、図5(b)に示すような中野区と他の区との境界に位置する白丸で示す複数の点(例えば境界線の向きが所定角度以上変化する点)である。なお、図5(b)において示す代表点は一例であり、実際の代表点の個数や位置は図5(b)とは異なっている。
サービス情報受信部34は、サービス提供装置10のサービス情報送信部16から情報を受信すると、受信した情報をサービス情報選択部36に受け渡す。
サービス情報選択部36は、サービス情報受信部34が受信した情報のうち、ユーザ端末70の存在領域に関連する情報を選択(抽出)し、ユーザ端末70のサービス情報受信部74に送信する。なお、サービス情報選択部36は、情報選択(抽出)の際に、リクエスト済み領域情報ログ42の存在領域情報の欄を参照する。
(個人データ管理サーバ20の処理について)
次に、個人データ管理サーバ20の処理について、図6~図8のフローチャートに沿って、その他図面を適宜参照しつつ詳細に説明する。なお、説明の前提として、図4のユーザID=Aのユーザがユーザ端末70を利用しているものとする。また、リクエスト済み領域情報ログ42には、ユーザID=Aのユーザ端末70のログデータが一切存在していないものとする。
図6は、個人データ管理サーバ20の全体処理を示すフローチャートである。図6の処理では、まず、ステップS10において、位置情報取得部22が、リクエストが発生するまで待機する。ユーザ端末70の位置情報送信部72から現在の位置情報とリクエストが送信されてくると、ステップS12に移行し、位置情報送信部72は、現在の位置情報とリクエストを受信して、抽象化部24に送信する。
次いで、ステップS14では、抽象化部24が、現在の位置情報を抽象化して存在領域情報を生成する。この場合、抽象化部24は、図4のプライバシ保護条件40からユーザID=Aのユーザの抽象化用プライバシ保護条件「市区町村」を得て、ユーザ端末70の現在の位置情報を抽象化する。例えば、ユーザ端末70が中野区内に存在している場合には、存在領域は「中野区」となる。
次いで、ステップS16では、プライバシ侵害判定部26が、プライバシ侵害判定処理を実行する。このステップS16では、図7のフローチャートに沿った処理が実行される。なお、図7の処理では、今回のリクエストがn番目のリクエストとなる。
図7の処理では、ステップS30において、プライバシ侵害判定部26は、(n-1)番目のリクエストに関する情報がリクエスト済み領域情報ログ42に格納されているか否かを判断する。なお、上述したように、リクエスト済み領域情報ログ42には、ユーザID=Aのログが存在していないため、ステップS30の判断は否定される。ステップS30の判断が否定された場合には、プライバシ侵害判定部26は、ステップS32において「プライバシ侵害無し」と判定し、図7の全処理を終了して、図6のステップS17に移行する。
図6のステップS17に移行すると、プライバシ侵害判定部26は、プライバシ侵害有りと判定されたか否かを判断する。このステップS17の判断が否定された場合には、ステップS22に移行する。
ステップS22に移行すると、リクエスト送信部32が、リクエストをサービス提供装置10(リクエスト受信部12)に送信する。このとき、リクエスト送信部32は、存在領域(中野区)の情報をリクエストとともに送信する。
次いで、ステップS24では、リクエスト送信部32が、リクエスト済み領域情報ログ42を更新する。本例の場合、図5(a)のように、存在領域情報の欄に「中野区」が格納されるが、ダミー領域情報の欄は空欄となる。また、存在可能範囲の欄には、図5(b)に示す中野区の境界の代表点(白丸で示す点)の緯度、経度の情報が格納される。
次いで、ステップS26に移行すると、サービス情報受信部34が、サービス提供装置10から送信されてくるサービス情報(ここでは、存在領域(中野区)に関連する情報)を受信する。
次いで、ステップS28では、サービス情報選択部36が、リクエスト済み領域情報ログ42を参照して、受信したサービス情報の中から、ユーザ端末70に提供すべき情報を選択して、ユーザ端末70(サービス情報受信部74)に送信する。なお、ユーザ端末70の存在領域が中野区であり、サービス情報受信部34が、サービス情報として存在領域(中野区)に関連する情報のみを受信した場合には、サービス情報選択部36は、受信したすべての情報をユーザ端末70に送信する。その後は、ステップS10に戻る。
次に、リクエスト済み領域情報ログ42に図9(a)に示すようなログが格納されている状況において、2017年10月25日の14:00:00にユーザ端末70からリクエストが発生する場合について説明する。この14:00:00におけるユーザ端末70の現在位置は世田谷区内であるものとする。なお、図9(a)のログデータの「存在可能範囲」の欄には、渋谷区全体の領域を規定する代表点の緯度・軽度の情報が格納されているものとする。
ユーザ端末70からリクエストが発生すると、図6のステップS10の判断が肯定され、ステップS12に移行する。ステップS12に移行すると、位置情報送信部72は、現在の位置情報とリクエストを受信して、抽象化部24に送信する。次いで、ステップS14では、抽象化部24が、現在の位置情報を抽象化して存在領域の情報を生成する。この場合、存在領域は「世田谷区」となる。
次いで、ステップS16では、図7のプライバシ侵害判定処理が実行される。図7の処理では、まず、ステップS30において、プライバシ侵害判定部26が、リクエスト済み領域情報ログ42に(n-1)番目のリクエストがあるか否かを判断する。ここでは、図9(a)に示すように、リクエスト済み領域情報ログ42に直前に得られたリクエスト((n-1)番目のリクエスト)の情報が格納されているので、ステップS30の判断は肯定され、ステップS34に移行する。
ステップS34に移行すると、プライバシ侵害判定部26は、(n-1)番目のリクエストとn番目のリクエストのインターバル時間を算出する。本例では、インターバル時間が30分と算出される。
次いで、ステップS36では、プライバシ侵害判定部26が、(n-1)番目のリクエストにおける存在可能範囲の境界からインターバル時間内で移動できる範囲(移動可能範囲)を求める。この場合、(n-1)番目のリクエストの存在可能範囲が渋谷区全域であるため、渋谷区の境界からインターバル時間(30分)以内に移動可能な範囲として、図10(a)において破線で示す範囲を特定する。なお、移動可能範囲は、境界上の各点からインターバル時間に基づく所定距離だけ離れた点を繋いだ範囲などとすることができる。
次いで、ステップS38では、プライバシ侵害判定部26が、n番目リクエストの存在領域の面積に対する、求めた移動可能範囲に含まれるn番目リクエストの存在領域の面積の割合を求める。具体的には、プライバシ侵害判定部26は、世田谷区の面積に対する、求めた移動可能範囲(破線内領域)と重複する世田谷区内の面積(図10(b)において黒塗りされた部分の面積)の割合を求める。
次いで、ステップS40では、プライバシ侵害判定部26が、n番目リクエストのプライバシ保護条件をクリアしているか否かを判断する。この場合、プライバシ侵害判定部26は、図4のユーザID=Aの侵害判定用プライバシ保護条件(割合が70%以上)をクリアしているか否かを判断する。図10(b)の例では、黒塗り部分が世田谷区に対して占める割合が世田谷区の70%以上となっていないため、ステップS40の判断は否定され、ステップS44に移行する。ステップS44では、プライバシ侵害判定部26が、n番目のリクエストにおいてプライバシ侵害が有ると判定する。一方、ステップS40の判断が肯定された場合には、ステップS42に移行し、プライバシ侵害判定部26は、n番目のリクエストにおいてプライバシ侵害が無いと判定する。ステップS42又はS44の後は、ステップS46に移行する。
ステップS46に移行すると、プライバシ侵害判定部26は、n番目のリクエストでの存在可能範囲の境界からインターバル時間内での移動可能範囲を求める。この場合、図11(a)において太実線で示すような移動可能範囲が特定されたとする。
次いで、ステップS48では、プライバシ侵害判定部26が、(n-1)番目リクエストの存在領域の面積に対する、求めた移動可能範囲に含まれる(n-1)番目リクエストの存在領域の面積の割合を求める。具体的には、プライバシ侵害判定部26は、渋谷区の面積に対する、求めた移動可能範囲(太実線内領域)と重複する渋谷区内の面積(図11(b)において黒塗りされた部分の面積)との割合を求める。この場合、図11(b)に示すように、移動可能範囲の中に渋谷区の全てが含まれているため、割合は100%となる。
次いで、ステップS50では、プライバシ侵害判定部26が、n番目リクエストのプライバシ保護条件をクリアしているか否かを判断する。この場合、プライバシ侵害判定部26は、図4のユーザID=Aの侵害判定用プライバシ保護条件(割合が70%以上)をクリアしているか否かを判断する。図11(b)の例では、ステップS48で求めた割合が70%以上となっているため、ステップS50の判断は肯定され、ステップS52に移行する。
ステップS52に移行すると、プライバシ侵害判定部26は、n番目のリクエストにおいてプライバシ侵害が無いと判定する。一方、ステップ50の判断が否定され、ステップS54に移行した場合には、プライバシ侵害判定部26は、n番目のリクエストにおいてプライバシ侵害が有ると判定する。ステップS52又はS54の後は、図7の全処理を終了し、図6のステップS17に移行する。なお、図7の処理においては、ステップS36~S44の処理と、ステップS46~S54の処理の順番を入れ替えてもよいし、同時並行的に実行することとしてもよい。
図6のステップS17に移行すると、プライバシ侵害判定部26は、プライバシ侵害有りと判定されたか否かを判断する。ここでは、図7の処理においてステップS44及び/又はステップS54を経ていた場合に、ステップS17の判断が肯定される。ステップS17の判断が肯定されると、ステップS18に移行する。
ステップS18に移行すると、ダミー領域生成部28が、ダミー領域情報生成処理を実行する。具体的には、ダミー領域生成部28は、図8のフローチャートに沿った処理を実行する。
図8の処理では、まず、ステップS60において、ダミー領域生成部28が、(n-1)番目リクエスト時の移動可能範囲(図12において破線で囲まれた領域)とn番目リクエストの移動可能範囲(図12において実線で囲まれた領域)が重複する領域に少なくとも一部が含まれている領域(区)を追加候補領域として抽出する。この場合、図12に示すように、重複する領域に少なくとも一部が含まれる「杉並区」、「中野区」、「目黒区」、「品川区」、「港区」、「新宿区」が追加候補領域として抽出される。
次いで、ステップS62では、ダミー領域生成部28が、全ての追加候補領域を1つずつn番目のリクエストの存在領域に追加した場合の、(n-1)番目のリクエスト時及びn番目リクエスト時の存在可能範囲の増加面積を求める。
例えば、追加候補領域である「杉並区」をn番目のリクエストの存在領域に追加するとする。この場合、図13(a)に示すように、n番目のリクエストの存在領域が世田谷区と杉並区になることで、太実線で示すn番目リクエスト時の移動可能範囲が図12よりも広がる。そして、n番目リクエスト時の存在可能範囲は、杉並区内において黒塗りで示す範囲の面積だけ増加する。一方、(n-1)番目のリクエスト時の存在可能範囲の増加面積は0である。
また、例えば、追加候補領域である「目黒区」をn番目のリクエストの存在領域に追加するとする。この場合、図13(b)に示すように、n番目のリクエストの存在領域が世田谷区と目黒区になることで、太実線で示すn番目リクエスト時の移動可能範囲が図12よりも広がる。そして、n番目リクエスト時の存在可能範囲は、目黒区内において黒塗りで示す範囲の面積だけ増加する。一方、(n-1)番目のリクエスト時の存在可能範囲の増加面積は0である。
その他の追加候補領域についても、同様の処理にして、増加面積の計算を行う。なお、ここでは、一例として、「杉並区」、「目黒区」、「品川区」…の順に増加面積が多かったものとする。
次いで、ステップS64では、ダミー領域生成部28が、n番目のリクエストの存在領域に対して、増加面積が多い順に追加候補領域を1つ追加する。まず、ダミー領域生成部28は、n番目のリクエストの存在領域(世田谷区)に杉並区を追加する。この場合、n番目リクエストにおける存在可能範囲は、図13(a)において黒塗りで示す部分となる。
次いで、ステップS66では、ダミー領域生成部28が、プライバシ保護条件をクリアしているか否かを判断する。ここでは、ダミー領域生成部28は、図13(a)において黒塗りで示す部分の面積が、n番目リクエスト時の存在領域(世田谷区)の面積の70%以上であるか否かを判断する。このステップS66の判断が否定された場合には、ステップS64に戻る。
次いで、ステップS64では、次に増加面積が多かった目黒区をn番目のリクエストの存在領域(ここでは世田谷区と杉並区)に追加する。この場合、n番目リクエストにおける存在可能範囲は、図14(a)において黒塗りで示す部分となる。次いで、ステップS66では、ダミー領域生成部28は、図14(a)において黒塗りで示す部分の面積が、n番目リクエスト時の存在領域(世田谷区)の70%以上であるか否かを判断する。このステップS66の判断が否定された場合には、再度ステップS64に戻る。
そして、ステップS64に戻ると、次に増加面積が多かった品川区をn番目のリクエストの存在領域(ここでは世田谷区と杉並区と目黒区)に追加する。この場合、n番目リクエストにおける存在可能範囲は、図14(b)において黒塗りで示す部分となる。次いで、ステップS66では、ダミー領域生成部28は、図14(b)において黒塗りで示す部分の面積が、n番目リクエスト時の存在領域(世田谷区)の面積の70%以上であるか否かを判断する。ここでの判断が肯定されると、図8の全処理が終了し、図6のステップS20に移行する。なお、ステップS64において追加された追加候補領域(杉並区、目黒区、品川区)がダミー領域であり、ダミー領域の情報は、ダミー領域生成部28から領域統合部30に送信される。
図6のステップS20に移行すると、領域統合部30は、存在領域(世田谷区)の情報と、ダミー領域(杉並区、目黒区、品川区)の情報とを統合し、リクエスト送信部32に送信する。
次いで、ステップS22では、リクエスト送信部32が、リクエストをサービス提供装置10(リクエスト受信部12)に送信する。このとき、リクエスト送信部32は、存在領域(世田谷区)の情報とダミー領域(杉並区、目黒区、品川区)の情報とをリクエストとともに送信する。
次いで、ステップS24では、リクエスト送信部32が、リクエスト済み領域情報ログ42を更新する。本例の場合、図9(b)のように、存在領域情報の欄に「世田谷区」が格納され、ダミー領域情報の欄に「杉並区、目黒区、品川区」が格納される。そして、存在可能範囲の欄には、図14(b)に示す黒塗り部分の複数の代表点の緯度、経度の情報が格納されるようになっている。
次いで、ステップS26に移行すると、サービス情報受信部34は、サービス提供装置10から送信されてくるサービス情報(ここでは、存在領域(世田谷区)に関連する情報と、ダミー領域(杉並区、目黒区、品川区)に関連する情報)を受信する。
次いで、ステップS28では、サービス情報選択部36が、リクエスト済み領域情報ログ42を参照して、受信したサービス情報の中から、ユーザ端末70に提供すべき情報を選択して、ユーザ端末70(サービス情報受信部74)に送信する。なお、サービス情報受信部34は、サービス情報として存在領域(世田谷区)に関連する情報と、ダミー領域情報(杉並区、目黒区、品川区)に関連する情報を受信している。一方、ユーザ端末70の現在の存在領域は世田谷区であるため、受信した情報の中から存在領域(世田谷区)に関連する情報のみを選択(抽出)して、ユーザ端末70に送信する。その後は、ステップS10に戻る。
上述した図10(a)~図14(b)の例は、n番目のリクエストにおいてプライバシ侵害があるが、(n-1)番目のリクエストにおいてプライバシ侵害が無い場合の例である。以下においては、別の例として、(n-1)番目のリクエストにおいてプライバシ侵害があるが、n番目のリクエストにおいてプライバシ侵害が無い場合の例について説明する。
図15(a)には、(n-1)番目のリクエスト時の存在領域が世田谷区であり、n番目のリクエスト時の存在領域が渋谷区である場合を示している。この場合、図15(b)において太実線で示す範囲が、n番目リクエスト時の移動可能範囲であり、破線で示す範囲が、(n-1)番目リクエスト時の移動可能範囲である。
本例では、(n-1)番目リクエストの存在領域の面積(世田谷区の面積)に対する、n番目リクエスト時の移動可能範囲に含まれる(n-1)番目リクエストの存在領域の面積(図15(b)の黒塗り部分の面積)の割合が70%以上でない。したがって、(n-1)番目のリクエストにおいてプライバシ侵害がある。一方、n番目リクエストの存在領域の面積(渋谷区の面積)に対する、(n-1)番目リクエスト時の移動可能範囲に含まれるn番目リクエストの存在領域の面積(渋谷区全体の面積)の割合は、100%である。したがって、n番目のリクエストにおいてプライバシ侵害はない。
この場合、図8のステップS64では、図16(a)に示すように、ダミー領域生成部28が、n番目のリクエスト時の存在領域(渋谷区)に杉並区を追加する。これによりn番目のリクエスト時の移動可能範囲(太実線で囲まれた範囲)の大きさが図15(b)よりも大きくなるため、(n-1)番目のリクエスト時の存在可能範囲が黒塗りで示すように大きくなる。ただし、この段階では、(n-1)番目のリクエスト時の存在可能範囲(黒塗りの範囲)の面積が世田谷区全体の面積の70%を超えていないため、ステップS66の判断は否定され、ステップS64に戻る。
そして、ステップS64では、図16(b)に示すように、ダミー領域生成部28が、n番目のリクエスト時の存在領域(ここでは、渋谷区と杉並区)に目黒区を追加する。これによりn番目のリクエスト時の移動可能範囲(太実線で囲まれた範囲)の大きさが図16(a)よりも大きくなるため、(n-1)番目のリクエスト時の存在可能範囲が黒塗りで示すように大きくなる。この場合、(n-1)番目のリクエスト時の存在可能範囲(黒塗りの範囲)の面積が世田谷区全体の面積の70%を超えていれば、ステップS66の判断は肯定され、図6のステップS20に移行する。
ステップS20に移行すると、領域統合部30は、存在領域(渋谷区)の情報と、ダミー領域(杉並区、目黒区)の情報とを統合し、リクエスト送信部32に送信する。その後は、ステップS22~S28の処理を前述したのと同様に実行する。
なお、上記処理により、(n-1)番目のリクエスト時の存在可能範囲は変化するため、リクエスト済み領域情報ログ42の(n-1)番目のリクエストの存在可能範囲の情報は更新される。
次に、(n-1)番目のリクエスト及びn番目のリクエストの両方においてプライバシ侵害がある場合の例について説明する。
図17(a)には、(n-1)番目のリクエスト時の存在領域が渋谷区であり、n番目のリクエスト時の存在領域が豊島区である場合を示している。この場合、図17(a)において太実線で示す範囲が、n番目リクエスト時の移動可能範囲であり、破線で示す範囲が、(n-1)番目リクエスト時の移動可能範囲である。
図17(a)においては、(n-1)番目リクエスト時の存在可能範囲(渋谷区内の存在可能範囲)及びn番目リクエスト時の存在可能範囲(豊島区内の存在可能範囲)にハッチングが付されている。図17(a)からわかるように、(n-1)番目リクエスト時の存在可能範囲は、渋谷区全体の面積の70%以上ではなく、n番目リクエスト時の存在可能範囲は、豊島区全体の面積の70%以上ではない。
この場合、ダミー領域生成部28が、図17(b)に示すようにn番目リクエスト時の存在領域(豊島区)に新宿区を追加すると、n番目リクエスト時の移動可能範囲が図17(a)よりも広がる。このとき、n番目のリクエスト時の存在可能範囲は、図18(a)に示す黒塗りの領域となり、当該存在可能範囲は、豊島区全体の面積の70%以上となる。また、(n-1)番目のリクエスト時の存在可能範囲は、図18(b)に示す黒塗りの領域となり、当該存在可能範囲は、渋谷区全体の面積の70%以上となる。したがって、本例では、ダミー領域生成部28は、新宿区をダミー領域とすることで、プライバシが侵害されるのを防止することができる。
なお、上記処理により、(n-1)番目のリクエスト時の存在可能範囲は変化するため、リクエスト済み領域情報ログ42の(n-1)番目のリクエストの存在可能範囲の情報は更新される。
なお、図6の処理を繰り返す場合、個人データ管理サーバ20では、(n+1)番目のリクエストがあると、n番目のリクエストを送信する際に求めた存在可能範囲をn番目のリクエスト時の存在領域として扱って、上記と同様の処理を実行するものとする。
これまでの説明からわかるように、本実施形態では、ダミー領域生成部28、領域統合部30、及びリクエスト送信部32により、プライバシ保護条件を満たしていない場合に、n番目のリクエスト時の存在領域と、該存在領域以外のダミー領域とを、リクエストとともにサービス提供装置10に送信する送信部としての機能が実現されている。
以上、詳細に説明したように、本実施形態によると、プライバシ侵害判定部26は、ユーザ端末70の位置検出装置189が第1の時刻(n番目のリクエスト時)に検出した位置を含む存在領域(第1の領域)の情報と、第1の時刻よりも前の第2の時刻((n-1)番目のリクエスト時)に検出した位置を含む存在領域(第2の領域)の情報と、の組み合わせからn番目のリクエスト時におけるユーザ端末70の存在可能範囲及び(n-1)番目のリクエスト時におけるユーザ端末70の存在可能範囲を特定し(S38、S48)、各存在可能範囲が、プライバシ保護条件(予め定められている第三者に知られてもよい存在可能範囲の条件)を満たしているか否かを判断する。そして、ダミー領域生成部28は、プライバシ保護条件を満たしていない場合に、n番目のリクエスト時の存在領域以外の領域をダミー領域とし、リクエスト送信部32は、領域統合部30が統合した存在領域とダミー領域(第3の領域)を、リクエストとともにサービス提供装置10に送信する。また、サービス情報受信部34は、サービス提供装置10から存在領域とダミー領域に関連する情報を受信する。これにより、本実施形態では、n番目のリクエスト時の存在領域と(n-1)番目のリクエスト時の存在領域とを組み合わせて解析するとプライバシが侵害されてしまうような場合に、存在領域とダミー領域とを送信することで、存在領域に関連する情報を取得する際のプライバシ侵害を抑制することができる。また、本実施形態では、例えば、プライバシの侵害を回避するために位置情報を更に広い範囲で抽象化する場合と比べ、サービス提供装置10から受信する情報量の増加を抑制することができる。また、本実施形態では、ユーザ端末70の存在領域の情報をサービス提供装置10にリアルタイムに送信することができるため、ユーザ端末70では、存在領域に関連する情報をリアルタイムに取得することが可能である。
また、本実施形態では、ダミー領域生成部28は、n番目のリクエストを送信する前に、n番目のリクエスト時の存在領域とダミー領域とを送信することで、プライバシ保護条件がクリアできることを確認している(S66)。これにより、確実にプライバシ侵害を防止することができる。
また、本実施形態では、プライバシ保護条件をクリアできるまで、ダミー領域を1つずつ追加することとしている(S64、S66)。これにより、送信するダミー領域を必要最小限とすることができる。また、送信するダミー領域を必要最小限とすることで、サービス提供装置10から受信するダミー領域に関連する情報の量を低減することができる。
また、本実施形態では、サービス情報選択部36は、サービス提供装置10から受信した情報から存在領域に関連する情報を選択して、ユーザ端末70に送信することとしている。これにより、ユーザ端末70では、サービス提供装置10が提供する情報の質を低下させることなく、ユーザのプライバシを保護することができる。
なお、上記実施形態では、存在可能範囲がプライバシ保護条件を満たしているか否かを判断する場合に、存在可能範囲の面積に基づいて判断する場合について説明したが、これに限られるものではない。例えば、存在可能範囲に含まれる道路の長さに基づいて、プライバシ保護条件を満たしているか否かを判断することとしてもよい。この場合、プライバシ侵害判定部26は、存在領域に含まれる全道路の長さに対する、存在可能範囲に含まれる道路の長さが所定割合以上である場合や、存在可能範囲に含まれる道路の長さが所定以上である場合に、プライバシ保護条件を満たしていると判断することができる。また、例えば、存在可能範囲に含まれる地名の数に基づいて、プライバシ保護条件を満たしているか否かを判断することとしてもよい。この場合、プライバシ侵害判定部26は、存在領域に含まれる全地名の数に対する、存在可能範囲に含まれる地名の数が所定割合以上である場合や、存在可能範囲に含まれる地名の数が所定以上である場合に、プライバシ保護条件を満たしていると判断することができる。また、例えば、存在可能範囲に含まれるランドマークの数に基づいて、プライバシ保護条件を満たしているか否かを判断することとしてもよい。この場合、プライバシ侵害判定部26は、存在領域に含まれる全ランドマークの数に対する、存在可能範囲に含まれるランドマークの数が所定割合以上である場合や、存在可能範囲に含まれるランドマークの数が所定以上である場合に、プライバシ保護条件を満たしていると判断することができる。
なお、上記実施形態では、ユーザの移動方法を特定又は限定することができる場合には、特定又は限定された移動方法を考慮して、移動可能範囲(図9(a)の破線で囲まれた範囲、図10(a)の太実線で囲まれた範囲など)を求めることとしてもよい。例えば、ユーザが車で移動していることが分かっている場合には、時速50kmで移動するという条件で移動可能範囲を求めるようにしてもよい。また、ユーザが徒歩で移動していることが分かっている場合には時速4km、ユーザが電車で移動していることが分かっている場合には時速110kmで移動するという条件で移動可能範囲を求めることとしてもよい。なお、ユーザの移動方法を特定できない場合には、選択可能な移動方法のうち最も速い速度で移動していると仮定して、移動可能範囲を求めることとしてもよい。
また、上記実施形態では、移動方法に応じて、ユーザが移動可能な範囲を制限してもよい。例えば、ユーザが車で移動していることが分かっている場合には、移動可能範囲を車道が繋がっている範囲に限定してもよい。また、ユーザが徒歩で移動していることが分かっている場合には、徒歩で立ち入り可能な範囲に限定してもよい。なお、ユーザの移動方法は、例えばユーザ端末70が有する加速度センサで検出される振動に基づいて特定してもよいし、ユーザがユーザ端末70に対して移動方法の情報を入力するようにしてもよい。
なお、上記実施形態の個人データ管理サーバ20では、図19に示すように、サービス情報選択部36がユーザ端末70に送信しなかった情報(すなわち、ダミー領域の情報)を記憶する記憶部としての情報記憶部52を有していてもよい。この場合、位置情報取得部22は、ユーザ端末70の現在位置を受信したときに、受信した現在位置に関連する情報が情報記憶部52に記憶されているか否かを確認する。そして、現在位置に関連する情報が情報記憶部52に記憶されていた場合には、位置情報取得部22からサービス情報選択部36にその旨を通知する。サービス情報選択部36は、この通知を受けた場合には、情報記憶部52から現在位置に関連する情報を読み出し、ユーザ端末70に送信する。このようにすることで、個人データ管理サーバ20とサービス提供装置10との間の通信回数を減らすことが可能となる。なお、情報は時々刻々と変化するため、データベースにおいては、情報を記憶した日時を管理しておき、データベースに記憶してから所定時間が経過したときに情報を破棄するようにすることが好ましい。なお、図19の例において、ダミー領域を選定する場合(図8のS64、S66)には、ユーザ端末70の移動方向(又は今後移動するであろう方向)を考慮することとしてもよい。この場合、ユーザ端末70の移動方向に基づいて、移動方向に沿って存在する領域(例えば市区町村)を優先的にダミー領域として設定することとしてもよい。これにより、今後利用される可能性の高い情報を情報記憶部52に記憶しておく(プリキャッシュしておく)ことができるようになる。
なお、上記実施形態では、図3に示すように、個人データ管理サーバ20がサービス情報選択部36を有する場合について説明したが、これに限られるものではない。例えば、図20に示すように、個人データ管理サーバ20のサービス情報選択部36を省略し、サービス情報選択部36と同様の機能のサービス情報選択部36’をユーザ端末70’に持たせてもよい。
また、上記実施形態では、図1や図3に示すように、情報処理システム100が個人データ管理サーバ20を有する場合について説明したが、これに限られるものではない。すなわち、図21に示すように、情報処理システム100から個人データ管理サーバ20を省略し、個人データ管理サーバ20の機能を有するユーザ端末70”を用いることとしてもよい。なお、ユーザ端末70”の位置情報取得部22は、図2(a)の位置検出装置189から位置情報を取得する。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、処理装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記憶媒体(ただし、搬送波は除く)に記録しておくことができる。
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD(Digital Versatile Disc)、CD-ROM(Compact Disc Read Only Memory)などの可搬型記憶媒体の形態で販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
プログラムを実行するコンピュータは、例えば、可搬型記憶媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記憶媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形実施可能である。
なお、以上の実施形態の説明に関して、更に以下の付記を開示する。
(付記1) 位置検出装置が第1の時刻に検出した位置を含む第1の領域の情報と、前記位置検出装置が前記第1の時刻よりも前の第2の時刻に検出した位置を含み、前記第2の時刻に前記位置検出装置が存在する領域の情報として外部装置に対して既に送信している第2の領域の情報と、の組み合わせから、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び、前記第2の時刻において前記位置検出装置が存在可能な範囲を特定する特定部と、
前記特定部が特定した前記存在可能な範囲が、予め定められている第三者に知られてもよい存在可能範囲の条件を満たしているか否かを判断する判断部と、
前記条件を満たしていない場合に、前記第1の領域の情報と前記第1の領域以外の領域とを含む第3の領域の情報を、前記第1の時刻に前記位置検出装置が存在する領域の情報として前記外部装置に対して送信する送信部と、
前記外部装置から前記第3の領域に関連する情報を受信する受信部と、
を備える情報処理装置。
(付記2) 前記判断部は、前記特定部が特定した存在可能範囲の面積が前記条件を満たしているか否か、前記特定部が特定した存在可能範囲に含まれる道路の長さが前記条件を満たしているか否か、前記特定部が特定した存在可能範囲に含まれる地名の数が前記条件を満たしているか否か、及び前記特定部が特定した存在可能範囲に含まれる予め定められているランドマークの数が前記条件を満たしているか否か、の少なくとも1つの判断を行う、
ことを特徴とする付記1に記載の情報処理装置。
(付記3) 前記第3の領域の情報と、前記第2の領域の情報との組み合わせから特定される、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び/又は、前記第2の時刻において前記位置検出装置が存在可能な範囲は、前記条件を満たす、
ことを特徴とする付記1又は2に記載の情報処理装置。
(付記4) 前記送信部は、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び、前記第2の時刻において前記位置検出装置が存在可能な範囲が前記条件を満たすまで、前記第1の領域以外の領域を1つずつ追加して前記第3の領域を決定する、
ことを特徴とする付記3に記載の情報処理装置。
(付記5) 前記第1の領域以外の領域を前記第3の領域に追加する順は、前記位置検出装置の移動方向に基づく順である、ことを特徴とする付記4に記載の情報処理装置。
(付記6) 前記特定部は、予め設定されている移動方法に基づいて、前記存在可能な範囲を特定する、ことを特徴とする付記1~5のいずれかに記載の情報処理装置。
(付記7) 前記受信部が受信した前記第3の領域に関連する情報から、前記第1の領域に関連する情報を選択する選択部を更に備える付記1~6のいずれかに記載の情報処理装置。
(付記8) 前記第3の領域に関連する情報のうち、前記第1の領域に関連する情報以外の情報を記憶する記憶部を更に備える付記7に記載の情報処理装置。
(付記9) 位置検出装置を有する端末と、
前記端末から、前記位置検出装置が検出した位置の情報を取得する情報処理装置と、を備え、
前記情報処理装置は、
前記位置検出装置が第1の時刻に検出した位置を含む第1の領域の情報と、前記位置検出装置が前記第1の時刻よりも前の第2の時刻に検出した位置を含み、前記第2の時刻に前記位置検出装置が存在する領域の情報として外部装置に対して既に送信している第2の領域の情報と、の組み合わせから、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び、前記第2の時刻において前記位置検出装置が存在可能な範囲を特定する特定部と、
前記特定部が特定した存在可能範囲が、予め定められている第三者に知られてもよい存在可能範囲の条件を満たしているか否かを判断する判断部と、
前記条件を満たしていない場合に、前記第1の領域の情報と前記第1の領域以外の領域とを含む第3の領域の情報を、前記第1の時刻に前記位置検出装置が存在する領域の情報として前記外部装置に対して送信する送信部と、
前記外部装置から前記第3の領域に関連する情報を受信する受信部と、
を有することを特徴とする情報処理システム。
(付記10) 位置検出装置が第1の時刻に検出した位置を含む第1の領域の情報と、前記位置検出装置が前記第1の時刻よりも前の第2の時刻に検出した位置を含み、前記第2の時刻に前記位置検出装置が存在する領域の情報として外部装置に対して既に送信している第2の領域の情報と、の組み合わせから、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び、前記第2の時刻において前記位置検出装置が存在可能な範囲を特定し、
特定した前記存在可能な範囲が、予め定められている第三者に知られてもよい存在可能範囲の条件を満たしているか否かを判断し、
前記条件を満たしていない場合に、前記第1の領域の情報と前記第1の領域以外の領域とを含む第3の領域の情報を、前記第1の時刻に前記位置検出装置が存在する領域の情報として前記外部装置に対して送信し、
前記外部装置から前記第3の領域に関連する情報を受信する、
処理をコンピュータに実行させるためのプライバシ保護プログラム。
(付記11) 前記判断する処理では、前記特定する処理で特定した存在可能範囲の面積が前記条件を満たしているか否か、前記特定する処理で特定した存在可能範囲に含まれる道路の長さが前記条件を満たしているか否か、前記特定する処理で特定した存在可能範囲に含まれる地名の数が前記条件を満たしているか否か、及び前記特定する処理で特定した存在可能範囲に含まれる予め定められているランドマークの数が前記条件を満たしているか否か、の少なくとも1つの判断を行う、
ことを特徴とする付記10に記載のプライバシ保護プログラム。
(付記12) 前記第3の領域の情報と、前記第2の領域の情報との組み合わせから特定される、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び/又は、前記第2の時刻において前記位置検出装置が存在可能な範囲は、前記条件を満たす、
ことを特徴とする付記10又は11に記載のプライバシ保護プログラム。
(付記13) 前記送信する処理では、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び、前記第2の時刻において前記位置検出装置が存在可能な範囲が前記条件を満たすまで、前記第1の領域以外の領域を1つずつ追加して前記第3の領域を決定する、
ことを特徴とする付記12に記載のプライバシ保護プログラム。
(付記14) 前記第1の領域以外の領域を前記第3の領域に追加する順は、前記位置検出装置の移動方向に基づく順である、ことを特徴とする付記13に記載のプライバシ保護プログラム。
(付記15) 前記特定する処理では、予め設定されている移動方法に基づいて、前記存在可能な範囲を特定する、ことを特徴とする付記10~14のいずれかに記載のプライバシ保護プログラム。
(付記16) 前記受信する処理で受信した前記第3の領域に関連する情報から、前記第1の領域に関連する情報を選択する処理を、前記コンピュータが更に実行することを特徴とする付記10~15のいずれかに記載のプライバシ保護プログラム。
(付記17) 前記第3の領域に関連する情報のうち、前記第1の領域に関連する情報以外の情報を記憶部に記憶する処理を前記コンピュータが更に実行することを特徴とする付記16に記載のプライバシ保護プログラム。
10 サービス提供装置(外部装置)
20 個人データ管理サーバ(情報処理装置)
26 プライバシ侵害判定部(特定部、判断部)
28 ダミー領域生成部(送信部の一部)
30 領域統合部(送信部の一部)
32 リクエスト送信部(送信部の一部)
34 サービス情報受信部(受信部)
36 サービス情報選択部(選択部)
52 情報記憶部(記憶部)
70 ユーザ端末(端末)
100 情報処理システム
189 位置検出装置

Claims (10)

  1. 位置検出装置が第1の時刻に検出した位置を含む第1の領域の情報と、前記位置検出装置が前記第1の時刻よりも前の第2の時刻に検出した位置を含み、前記第2の時刻に前記位置検出装置が存在する領域の情報として外部装置に対して既に送信している第2の領域の情報と、の組み合わせから、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び、前記第2の時刻において前記位置検出装置が存在可能な範囲を特定する特定部と、
    前記特定部が特定した前記存在可能な範囲が、予め定められている第三者に知られてもよい存在可能範囲の条件を満たしているか否かを判断する判断部と、
    前記条件を満たしていない場合に、前記第1の領域の情報と前記第1の領域以外の領域とを含む第3の領域の情報を、前記第1の時刻に前記位置検出装置が存在する領域の情報として前記外部装置に対して送信する送信部と、
    前記外部装置から前記第3の領域に関連する情報を受信する受信部と、
    を備える情報処理装置。
  2. 前記判断部は、前記特定部が特定した存在可能範囲の面積が前記条件を満たしているか否か、前記特定部が特定した存在可能範囲に含まれる道路の長さが前記条件を満たしているか否か、前記特定部が特定した存在可能範囲に含まれる地名の数が前記条件を満たしているか否か、及び前記特定部が特定した存在可能範囲に含まれる予め定められているランドマークの数が前記条件を満たしているか否か、の少なくとも1つの判断を行う、
    ことを特徴とする請求項1に記載の情報処理装置。
  3. 前記第3の領域の情報と、前記第2の領域の情報との組み合わせから特定される、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び/又は、前記第2の時刻において前記位置検出装置が存在可能な範囲は、前記条件を満たす、
    ことを特徴とする請求項1又は2に記載の情報処理装置。
  4. 前記送信部は、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び、前記第2の時刻において前記位置検出装置が存在可能な範囲が前記条件を満たすまで、前記第1の領域以外の領域を1つずつ追加して前記第3の領域を決定する、
    ことを特徴とする請求項3に記載の情報処理装置。
  5. 前記第1の領域以外の領域を前記第3の領域に追加する順は、前記位置検出装置の移動方向に基づく順である、ことを特徴とする請求項4に記載の情報処理装置。
  6. 前記特定部は、予め設定されている移動方法に基づいて、前記存在可能な範囲を特定する、ことを特徴とする請求項1~5のいずれか一項に記載の情報処理装置。
  7. 前記受信部が受信した前記第3の領域に関連する情報から、前記第1の領域に関連する情報を選択する選択部を更に備える請求項1~6のいずれか一項に記載の情報処理装置。
  8. 前記第3の領域に関連する情報のうち、前記第1の領域に関連する情報以外の情報を記憶する記憶部を更に備える請求項7に記載の情報処理装置。
  9. 位置検出装置を有する端末と、
    前記端末から、前記位置検出装置が検出した位置の情報を取得する情報処理装置と、を備え、
    前記情報処理装置は、
    前記位置検出装置が第1の時刻に検出した位置を含む第1の領域の情報と、前記位置検出装置が前記第1の時刻よりも前の第2の時刻に検出した位置を含み、前記第2の時刻に前記位置検出装置が存在する領域の情報として外部装置に対して既に送信している第2の領域の情報と、の組み合わせから、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び、前記第2の時刻において前記位置検出装置が存在可能な範囲を特定する特定部と、
    前記特定部が特定した存在可能範囲が、予め定められている第三者に知られてもよい存在可能範囲の条件を満たしているか否かを判断する判断部と、
    前記条件を満たしていない場合に、前記第1の領域の情報と前記第1の領域以外の領域とを含む第3の領域の情報を、前記第1の時刻に前記位置検出装置が存在する領域の情報として前記外部装置に対して送信する送信部と、
    前記外部装置から前記第3の領域に関連する情報を受信する受信部と、
    を有することを特徴とする情報処理システム。
  10. 位置検出装置が第1の時刻に検出した位置を含む第1の領域の情報と、前記位置検出装置が前記第1の時刻よりも前の第2の時刻に検出した位置を含み、前記第2の時刻に前記位置検出装置が存在する領域の情報として外部装置に対して既に送信している第2の領域の情報と、の組み合わせから、前記第1の時刻において前記位置検出装置が存在可能な範囲、及び、前記第2の時刻において前記位置検出装置が存在可能な範囲を特定し、
    特定した前記存在可能な範囲が、予め定められている第三者に知られてもよい存在可能範囲の条件を満たしているか否かを判断し、
    前記条件を満たしていない場合に、前記第1の領域の情報と前記第1の領域以外の領域とを含む第3の領域の情報を、前記第1の時刻に前記位置検出装置が存在する領域の情報として前記外部装置に対して送信し、
    前記外部装置から前記第3の領域に関連する情報を受信する、
    処理をコンピュータに実行させるためのプライバシ保護プログラム。
JP2018076805A 2018-04-12 2018-04-12 情報処理装置、情報処理システム、及びプライバシ保護プログラム Active JP7003822B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018076805A JP7003822B2 (ja) 2018-04-12 2018-04-12 情報処理装置、情報処理システム、及びプライバシ保護プログラム
US16/376,582 US11212648B2 (en) 2018-04-12 2019-04-05 Information processing apparatus, information processing system, and privacy protection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018076805A JP7003822B2 (ja) 2018-04-12 2018-04-12 情報処理装置、情報処理システム、及びプライバシ保護プログラム

Publications (2)

Publication Number Publication Date
JP2019185473A JP2019185473A (ja) 2019-10-24
JP7003822B2 true JP7003822B2 (ja) 2022-01-21

Family

ID=68162284

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018076805A Active JP7003822B2 (ja) 2018-04-12 2018-04-12 情報処理装置、情報処理システム、及びプライバシ保護プログラム

Country Status (2)

Country Link
US (1) US11212648B2 (ja)
JP (1) JP7003822B2 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001359169A (ja) 2000-06-16 2001-12-26 Fuji Xerox Co Ltd 情報提供システム
JP2005215876A (ja) 2004-01-28 2005-08-11 Nec Corp 旅客位置情報システム及び携帯情報端末及びサーバ装置
JP2010262395A (ja) 2009-04-30 2010-11-18 Nippon Telegr & Teleph Corp <Ntt> 情報開示支援装置、情報開示支援方法及び情報開示支援プログラム
US20150087335A1 (en) 2013-07-02 2015-03-26 Google Inc. Obscuring true location for location-based services
JP2016206896A (ja) 2015-04-21 2016-12-08 トヨタ自動車株式会社 位置情報匿名化方法、移動情報匿名化方法、および装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5257871B2 (ja) 2008-06-06 2013-08-07 学校法人日本大学 位置情報管理システム
US20150160023A1 (en) * 2008-10-21 2015-06-11 Google Inc. Personalized Traffic Alerts
US10200824B2 (en) * 2015-05-27 2019-02-05 Apple Inc. Systems and methods for proactively identifying and surfacing relevant content on a touch-sensitive device

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001359169A (ja) 2000-06-16 2001-12-26 Fuji Xerox Co Ltd 情報提供システム
JP2005215876A (ja) 2004-01-28 2005-08-11 Nec Corp 旅客位置情報システム及び携帯情報端末及びサーバ装置
JP2010262395A (ja) 2009-04-30 2010-11-18 Nippon Telegr & Teleph Corp <Ntt> 情報開示支援装置、情報開示支援方法及び情報開示支援プログラム
US20150087335A1 (en) 2013-07-02 2015-03-26 Google Inc. Obscuring true location for location-based services
JP2016535327A (ja) 2013-07-02 2016-11-10 グーグル インコーポレイテッド ロケーションベースのサービスのための真のロケーションを曖昧化すること
JP2016206896A (ja) 2015-04-21 2016-12-08 トヨタ自動車株式会社 位置情報匿名化方法、移動情報匿名化方法、および装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
林田 秀平 外3名,ユーザの移動先候補の推定に基づく逐次的なダミー生成による位置曖昧化手法,マルチメディア、分散、協調とモバイル(DICOMO2017)シンポジウム論文集,Vol.2017, No.1,日本,一般社団法人情報処理学会,2017年06月21日,pp. 332--339

Also Published As

Publication number Publication date
US20190320291A1 (en) 2019-10-17
US11212648B2 (en) 2021-12-28
JP2019185473A (ja) 2019-10-24

Similar Documents

Publication Publication Date Title
US20230231926A1 (en) Method and system for predicting a geographic location of a network entity
US8392111B2 (en) Navigation method, medium, and system
US10054451B2 (en) Interactive dynamic cloud navigation system
WO2014142057A1 (ja) サーバ装置、渋滞予兆情報表示システム、渋滞予兆情報配信方法、渋滞予兆情報表示方法およびプログラム
US9749796B2 (en) Location uncertainty in search
US9641639B2 (en) Dynamic caching during travel
JP6870736B2 (ja) 情報処理装置、情報提供方法、および情報提供システム
JP2010169441A (ja) 情報出力端末、情報出力方法、情報出力プログラムおよび記録媒体
US11818622B1 (en) System and method of using spatial and temporal signals to identify and prevent attacks
EP2104835B1 (en) Method for sensing covering state according to velocity and system for providing traffic information using the same method
JP7003822B2 (ja) 情報処理装置、情報処理システム、及びプライバシ保護プログラム
GB2577309A (en) Apparatus and method for vehicle searching
JP5879008B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
WO2016085971A2 (en) Distribution of location-based augmented reality captures
JP7412505B2 (ja) 同期ローカル検索結果のための可視ネットワークの添付
EP1505519A2 (en) Data processing method and system
JP4777555B2 (ja) ナビゲーションシステムにおけるデータ送信方法およびサーバ装置、記録媒体、端末装置
CN113124889A (zh) 路径规划方法、装置及电子设备
KR20160046930A (ko) 사용자 맞춤형 통합 교통정보 제공 방법 및 시스템
JP4561044B2 (ja) データファイルの送信方法および送信プログラム
WO2014162612A1 (ja) 情報提供システム、端末、情報提供方法および情報提供プログラム
JP2022087118A (ja) 情報管理システム、情報提供システム、情報管理方法、情報処理方法、およびプログラム
KR20190133337A (ko) 캐릭터 단말을 이용한 방문지 관련 서비스 보안 처리 장치 및 방법
JP5935729B2 (ja) 位置情報送信システム
JP2021047666A (ja) 情報処理装置、情報処理システム、情報処理方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210113

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211213

R150 Certificate of patent or registration of utility model

Ref document number: 7003822

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150