JP7143696B2 - Anonymization device, anonymization system, anonymization method, and program - Google Patents

Anonymization device, anonymization system, anonymization method, and program Download PDF

Info

Publication number
JP7143696B2
JP7143696B2 JP2018171615A JP2018171615A JP7143696B2 JP 7143696 B2 JP7143696 B2 JP 7143696B2 JP 2018171615 A JP2018171615 A JP 2018171615A JP 2018171615 A JP2018171615 A JP 2018171615A JP 7143696 B2 JP7143696 B2 JP 7143696B2
Authority
JP
Japan
Prior art keywords
information
attribute information
anonymization
individual
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018171615A
Other languages
Japanese (ja)
Other versions
JP2020042723A (en
Inventor
正裕 ▲高▼屋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2018171615A priority Critical patent/JP7143696B2/en
Publication of JP2020042723A publication Critical patent/JP2020042723A/en
Application granted granted Critical
Publication of JP7143696B2 publication Critical patent/JP7143696B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、情報、特に、個人情報を匿名加工するための匿名加工装置、情報匿名化方法、およびプログラムに関する。 The present invention relates to an anonymization device, an information anonymization method, and a program for anonymizing information, particularly personal information.

個人情報の取得および流通(第三者への提供)を実現する場合には、本人の同意を得る必要がある。個人情報は、たとえば、生存する個人に関する情報であって、氏名、生年月日、住所等により特定の個人を識別できる情報である。 When acquiring and distributing personal information (providing it to a third party), it is necessary to obtain the consent of the individual. Personal information is, for example, information about a living individual, and is information that can identify a specific individual by name, date of birth, address, or the like.

これに対して、匿名加工情報は、本人の同意を得る必要はない。匿名加工情報は、個人情報を加工した情報であり、個人を特定することができず、かつ、加工する前の個人情報へと戻すことができない状態にした情報のことである。従って、匿名加工情報は、個人情報とは異なり、比較的自由に利活用することができる。 On the other hand, anonymously processed information does not require the consent of the individual. Anonymously processed information is information obtained by processing personal information, and is information that cannot be used to identify an individual and cannot be restored to the personal information before processing. Therefore, unlike personal information, anonymously processed information can be used relatively freely.

上記に関連して、たとえば、特許文献1には、出現率および残存率に基づいて匿名化する属性を選択する技術が記載されている。特許文献2には、匿名化のための所定の匿名加工ルールに基づいて匿名化を行う技術が記載されている。なお、データに含まれる個人情報の所有者である個人のプライバシーを保護するための条件は、国によって定義が変わることがあるほか、時代によっても変化することがある。その変化に対応するため、特許文献3には、複数のプライバシー保護条件情報を用意しておく技術が記載されている。 In relation to the above, for example, Patent Literature 1 describes a technique for selecting attributes to be anonymized based on appearance rate and survival rate. Patent Literature 2 describes a technique for anonymization based on a predetermined anonymization rule for anonymization. The conditions for protecting the privacy of individuals who own personal information contained in data may have different definitions depending on the country, and may also change with the times. In order to deal with such changes, Patent Literature 3 describes a technique for preparing a plurality of pieces of privacy protection condition information.

特開2013-200659号公報JP 2013-200659 A 特開2017-168130号公報JP 2017-168130 A 特開2014-229039号公報JP 2014-229039 A

平成28年(2016年)11月に、日本の内閣府の外局である個人情報保護委員会から、「個人情報の保護に関する法律についてのガイドライン」が発行されるまで、匿名加工情報を加工するための匿名加工ルールの実施例となるガイドラインは存在しなかった。 Process anonymously processed information until November 2016, when the Personal Information Protection Commission, an external bureau of the Cabinet Office of Japan, issues the "Guidelines for the Act on the Protection of Personal Information." There was no guideline as an example of anonymization rules for

また、匿名加工情報を作成する場合であっても、業者は、所定の匿名加工ルールを遵守しなければならない。上記において、業者とは、たとえば、匿名加工情報を保有する保有業者や、匿名加工情報を利活用する利活用業者のことである。また、上記において、所定の匿名加工ルールとは、個人を特定することができず、かつ、加工する前の個人情報へと戻すことができない状態を維持するためのルールのことである。この匿名加工ルールに従わなかった場合、法違反と判断される可能性がある。そこで、たとえば、保有業者は、法違反とならないように、個人を特定可能なデータ項目を、丸ごと削除する等して対応していた。 In addition, even when creating anonymously processed information, the trader must comply with predetermined anonymous processing rules. In the above, the trader is, for example, a holding trader who holds anonymously processed information and a utilization trader who utilizes anonymously processed information. Further, in the above, the predetermined anonymization rule is a rule for maintaining a state in which an individual cannot be identified and personal information cannot be restored to the state before processing. Failure to comply with this anonymization rule may be considered a violation of the law. Therefore, for example, in order not to violate the law, the holding company has taken measures such as deleting all data items that can identify individuals.

ここで、匿名加工ルール上の属性情報名と、個人情報の属性情報名とは必ずしも一致しない。たとえば、属性情報名が「氏名」であり、属性情報名が「名前」の場合である。従って、単に「属性情報名」同士の文言一致判定のみに基づいて匿名加工を行うか否かを判断する装置の場合、その属性情報が匿名加工の対象ではないと判断される場合がある。この場合、文言こそ一致しないが概念的には同一の意味を持つ属性情報名の個人情報が、匿名加工されずにそのまま流出してしまう虞がある。匿名化すべき情報をそのまま流出させた場合、その個人のプライバシーが侵されるだけでなく、流出させた業者については法違反と見なされる可能性もある。 Here, the attribute information name on the anonymization rule and the attribute information name of personal information do not necessarily match. For example, the attribute information name is "name" and the attribute information name is "name". Therefore, in the case of a device that determines whether or not to perform anonymization simply based on word matching determination between "attribute information names", it may be determined that the attribute information is not subject to anonymization. In this case, there is a risk that personal information with attribute information names that do not match in terms of words but have the same meaning conceptually will leak out as they are without being processed anonymously. If information that should be anonymized is leaked as it is, not only will the individual's privacy be violated, but the company that leaked it may be considered a violation of the law.

そのような事態を回避するために、作業者が属性名同士を目視で比較するなどの対策が考えられる。しかしながら、全ての情報を目視で判断することは極めて困難であり、作業者の負担が増大するだけでなく、予期せぬ作業ミス(場合によっては情報流出に繋がるミス)が発生する可能性がある。 In order to avoid such a situation, it is conceivable that the operator visually compares the attribute names. However, it is extremely difficult to visually determine all information, which not only increases the burden on workers, but can also lead to unexpected work mistakes (sometimes mistakes that lead to information leakage). .

特許文献1-3の技術では、上記課題を解決することはほぼ不可能である。 It is almost impossible to solve the above problems with the techniques of Patent Documents 1 to 3.

本発明は、上記課題を解決するためになされたものであり、作業者の作業負担を増大させることなく、プライバシー侵害や法違反のリスクを低減させることが可能な技術を提供することを目的とする。 The present invention has been made to solve the above problems, and aims to provide a technology that can reduce the risk of privacy infringement and law violation without increasing the work burden on workers. do.

本発明の匿名加工装置は、第1属性情報と前記第1属性情報についての個別個人情報とを含む個人情報と、第2属性情報と前記第2属性情報についての個別加工ルール情報とを含む匿名加工ルール情報とを取得し、前記第1属性情報と同じセマンティック領域に属する前記第2属性情報が存在するか否かを判定し、前記第1属性情報と同じ前記セマンティック領域に属する前記第2属性情報が存在する場合、前記セマンティック領域に属する前記第2属性情報についての前記個別加工ルール情報に基づいて、当該第1属性情報についての前記個別個人情報を加工して匿名加工情報を作成する匿名加工処理手段を備える。 An anonymity processing device of the present invention includes personal information including first attribute information and individual personal information about the first attribute information, and anonymity including second attribute information and individual processing rule information about the second attribute information. obtaining processing rule information, determining whether or not the second attribute information belonging to the same semantic area as the first attribute information exists, and determining whether the second attribute information belonging to the same semantic area as the first attribute information exists; Anonymous processing for creating anonymously processed information by processing the individual personal information for the first attribute information, if the information exists, based on the individual processing rule information for the second attribute information belonging to the semantic area. A processing means is provided.

本発明の匿名加工方法は、第1属性情報と前記第1属性情報についての個別個人情報とを含む個人情報と、第2属性情報と前記第2属性情報についての個別加工ルール情報とを含む匿名加工ルール情報とを取得し、前記第1属性情報と同じセマンティック領域に属する前記第2属性情報が存在するか否かを判定し、前記第1属性情報と同じ前記セマンティック領域に属する前記第2属性情報が存在する場合、前記セマンティック領域に属する前記第2属性情報についての前記個別加工ルール情報に基づいて、当該第1属性情報についての前記個別個人情報を加工して匿名加工情報を作成することを特徴とする。 An anonymization method of the present invention includes personal information including first attribute information and individual personal information about the first attribute information, and anonymization including second attribute information and individual processing rule information about the second attribute information. obtaining processing rule information, determining whether or not the second attribute information belonging to the same semantic area as the first attribute information exists, and determining whether the second attribute information belonging to the same semantic area as the first attribute information exists; creating anonymously processed information by processing the individual personal information for the first attribute information, if the information exists, based on the individual processing rule information for the second attribute information belonging to the semantic area; Characterized by

本発明のプログラムは、匿名加工装置のコンピュータに、第1属性情報と前記第1属性情報についての個別個人情報とを含む個人情報と、第2属性情報と前記第2属性情報についての個別加工ルール情報とを含む匿名加工ルール情報とを取得する処理と、前記第1属性情報と同じセマンティック領域に属する前記第2属性情報が存在するか否かを判定し、前記第1属性情報と同じ前記セマンティック領域に属する前記第2属性情報が存在する場合、前記セマンティック領域に属する前記第2属性情報についての前記個別加工ルール情報に基づいて、当該第1属性情報についての前記個別個人情報を加工して匿名加工情報を作成する処理と、を実行させるためのプログラムである。 The program of the present invention stores personal information including first attribute information and individual personal information about the first attribute information, second attribute information and individual processing rules about the second attribute information, in the computer of the anonymous processing device. and determining whether or not the second attribute information belonging to the same semantic area as the first attribute information exists, and determining whether the second attribute information has the same semantic as the first attribute information. When the second attribute information belonging to the area exists, based on the individual processing rule information for the second attribute information belonging to the semantic area, the individual personal information for the first attribute information is processed for anonymity. It is a program for executing a process of creating machining information.

本発明によれば、作業者の作業負担を増大させることなく、プライバシー侵害や法違反のリスクを低減させることが可能となる。 ADVANTAGE OF THE INVENTION According to this invention, it becomes possible to reduce the risk of a privacy invasion and a law violation, without increasing a worker's work burden.

本発明の第1の実施形態に係る匿名加工装置の構成例を示すブロック図である。1 is a block diagram showing a configuration example of an anonymous processing device according to a first embodiment of the present invention; FIG. 図1に示される匿名加工装置の動作例(匿名加工方法)を説明するフローチャートである。2 is a flowchart for explaining an operation example (anonymization method) of the anonymization device shown in FIG. 1; 本発明の第2の実施形態に係る匿名加工装置の構成例を示すブロック図である。FIG. 11 is a block diagram showing a configuration example of an anonymous processing device according to a second embodiment of the present invention; 個人情報のデータ構成例を示す。A data configuration example of personal information is shown. 匿名加工ルール情報のデータ構成例を示す。A data configuration example of anonymous processing rule information is shown. 公開用個人情報のデータ構成例を示す。A data configuration example of public personal information is shown. セマンティック領域のデータ構成例を示す。4 shows a data configuration example of a semantic area; 図3に示される匿名加工装置の動作例(匿名加工方法)を説明するためのフローチャートである。FIG. 4 is a flow chart for explaining an operation example (anonymization method) of the anonymization device shown in FIG. 3; FIG. 本発明の第3の実施形態に係る匿名加工装置の構成例を示すブロック図である。FIG. 11 is a block diagram showing a configuration example of an anonymous processing device according to a third embodiment of the present invention; 本発明の第4の実施形態に係る匿名加工システムの構成例を示すブロック図である。FIG. 14 is a block diagram showing a configuration example of an anonymous processing system according to a fourth embodiment of the present invention;

[第1の実施形態]
図1は、本発明の第1の実施形態に係る匿名加工装置10の構成例を示すブロック図である。匿名加工装置10は、個人情報に対して匿名加工処理を実施して匿名加工情報を作成する装置である。 [First embodiment]
FIG. 1 is a block diagram showing a configuration example of an anonymous processing device 10 according to the first embodiment of the present invention. The anonymization device 10 is a device that creates anonymously processed information by performing anonymization processing on personal information.

個人情報とは、生存する個人に関する情報であって、氏名、生年月日、住所等により特定の個人を識別できる情報のことである。一方、「個人情報の保護に関する法律についてのガイドライン」によれば、匿名加工情報とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報である。「個人情報の保護に関する法律についてのガイドライン」は、平成28年(2016年)11月に、日本の内閣府の外局である個人情報保護委員会から発行されたものである。以下、本書では、「個人情報の保護に関する法律についてのガイドライン」は、略して、「個人情報保護法ガイドライン」と呼ばれる。 Personal information is information about a living individual, and is information that can identify a specific individual by name, date of birth, address, or the like. On the other hand, according to the "Guidelines for the Act on the Protection of Personal Information," anonymously processed information refers to personal information that is processed in such a way that it is impossible to identify a specific individual by taking measures determined according to the classification of personal information. It is information about individuals obtained by processing into "Guidelines for the Act on the Protection of Personal Information" was issued in November 2016 by the Personal Information Protection Commission, an external bureau of the Cabinet Office of Japan. Hereinafter, in this document, the "Guidelines for the Act on the Protection of Personal Information" will be abbreviated as the "Guidelines for the Act on the Protection of Personal Information."

匿名加工装置10は、匿名加工処理部14(匿名加工処理手段の一例)を備える。匿名加工処理部14は、第1属性情報とその第1属性情報についての個別個人情報とを含む個人情報と、第2属性情報とその第2属性情報についての個別加工ルール情報とを含む匿名加工ルール情報とを取得する。 The anonymization device 10 includes an anonymization processing unit 14 (an example of anonymization processing means). Anonymization processing unit 14 performs anonymous processing including personal information including first attribute information and individual personal information about the first attribute information, and second attribute information and individual processing rule information about the second attribute information. Get rule information and

匿名加工処理部14は、第1属性情報と同じセマンティック領域に属する第2属性情報が存在するか否かを判定する。 The anonymous processing unit 14 determines whether or not there is second attribute information belonging to the same semantic area as the first attribute information.

ここで、セマンティック領域とは、概念的に同一と見なすことが可能な、あるいは見なしても支障がない、複数の文言をグループ化したときのその一群の概念を指す。ここで、文言とは、具体的には、単語や品詞(たとえば、名詞)の総称した意味で使用する。セマンティック領域は、他に、たとえば、単に「セマンティック」、「セマンティックドメイン」、あるいは「意味領域」と呼ばれることもある。 Here, the semantic domain refers to a group of concepts when a plurality of phrases are grouped together, which can be conceptually regarded as the same or can be regarded as having no problem. Here, the phrase is specifically used as a generic term for words and parts of speech (for example, nouns). A semantic domain may also be referred to, for example, simply as a "semantic", a "semantic domain", or a "semantic domain".

第1属性情報と同じセマンティック領域に属する第2属性情報が存在する場合、匿名加工処理部14は、同じセマンティック領域に属する第2属性情報についての個別加工ルール情報に基づいて、当該第1属性情報についての個別個人情報を加工して匿名加工情報を作成する。 If there is second attribute information belonging to the same semantic area as the first attribute information, the anonymous processing unit 14 processes the first attribute information based on the individual processing rule information for the second attribute information belonging to the same semantic area. Create anonymously processed information by processing individual personal information about

匿名加工ルール情報は、法律に則ったガイドライン、たとえば、個人情報保護法ガイドラインに記載される加工についてのルールを電子データ化した情報である。匿名加工ルール情報は、たとえば、ルール情報データベースに格納される。そして、ルール情報データベースは、匿名加工装置10の内部に存在してもよいし、匿名加工装置10の外部に存在してもよい。ルール情報データベースが匿名加工装置10の外部に存在する場合、ルール情報データベースは、所定の通信インタフェースを介して、匿名加工装置10と通信可能に接続される。 The anonymous processing rule information is information in which processing rules described in guidelines in accordance with laws, for example, guidelines of the Personal Information Protection Act, are converted into electronic data. Anonymization rule information is stored, for example, in a rule information database. The rule information database may exist inside the anonymous processing device 10 or may exist outside the anonymous processing device 10 . When the rule information database exists outside the anonymization device 10, the rule information database is communicably connected to the anonymization device 10 via a predetermined communication interface.

図2は、図1に示される匿名加工装置10の動作例(匿名加工方法)を説明するフローチャートである。なお、匿名加工処理の実施に先だって、ルール情報データベースには、上述した匿名加工ルール情報が予め格納されているものとする。また、以下の説明では、法律に則ったガイドラインが、たとえば、個人情報保護法ガイドラインである場合を例に挙げる。 FIG. 2 is a flowchart for explaining an operation example (anonymization method) of the anonymization device 10 shown in FIG. It is assumed that the above-described anonymous processing rule information is stored in advance in the rule information database prior to the execution of the anonymous processing. Also, in the following description, a case where the guideline in accordance with the law is, for example, the personal information protection law guideline will be taken as an example.

まず、匿名加工処理部14は、個人情報を取得する(ステップS1)。個人情報の取得方法は任意である。たとえば、個人情報は、匿名加工装置10の内部に設けられる個人情報データベース(図1において不図示)から読み出されるか、あるいは、匿名加工装置10の外部の装置から供給される。その後、匿名加工処理部14は、匿名加工ルール情報を取得する。なお、匿名加工ルール情報の取得は、個人情報200を取得する以前に完了していてもよい。 First, the anonymous processing unit 14 acquires personal information (step S1). The acquisition method of personal information is arbitrary. For example, the personal information is read from a personal information database (not shown in FIG. 1) provided inside the anonymous processing device 10, or supplied from a device external to the anonymous processing device 10. FIG. Thereafter, the anonymous processing unit 14 acquires anonymous processing rule information. Acquisition of the anonymization rule information may be completed before the personal information 200 is acquired.

匿名加工処理部14は、第1属性情報と同じセマンティック領域に属する第2属性情報が存在するか否かを判定する。 The anonymous processing unit 14 determines whether or not there is second attribute information belonging to the same semantic area as the first attribute information.

第1属性情報と同じセマンティック領域に属する第2属性情報が存在する場合、匿名加工処理部14は、セマンティック領域に属する第2属性情報についての個別加工ルール情報に基づいて、当該第1属性情報についての前記個別個人情報を加工して匿名加工情報を作成する(ステップS2)。 If there is second attribute information belonging to the same semantic area as the first attribute information, the anonymous processing unit 14 performs process the individual personal information to create anonymously processed information (step S2).

なお、個人情報や匿名加工ルール情報の各内容、および匿名加工処理部14における匿名加工処理については、以下の第2の実施形態にて説明するものが採用されてもよい。 The content of the personal information and the anonymization rule information and the anonymization processing in the anonymization processing unit 14 may be those described in the second embodiment below.

以上説明した第1の実施形態において、匿名加工処理部14は、第1属性情報と同じセマンティック領域に属する第2属性情報が存在する場合、同じセマンティック領域に属する第2属性情報についての個別加工ルール情報に基づいて、当該第1属性情報についての個別個人情報を加工する。上述したように、セマンティック領域とは、概念的に同一と見なすことが可能な、あるいは見なしても支障がない、複数の文言をグループ化したときのその一群の概念を指す。従って、文言一致はしないが、概念的には同一の属性情報名の個人情報が匿名加工されずにそのまま流出してしまう可能性は低くなる。さらに、同じセマンティック領域に属する第2属性情報が存在するか否かの判定自体は、人手(すなわち、作業者の目視確認等)ではなく、匿名加工装置10により自動的に実行される。 In the first embodiment described above, when there is second attribute information belonging to the same semantic area as the first attribute information, the anonymous processing unit 14 sets the individual processing rule for the second attribute information belonging to the same semantic area. Individual personal information about the first attribute information is processed based on the information. As described above, the semantic domain refers to a group of concepts when a plurality of phrases are grouped that can be conceptually regarded as the same or can be regarded as the same. Therefore, although the wording does not match, there is a low possibility that personal information with the same attribute information name will leak out as it is without being anonymized. Furthermore, the determination itself as to whether or not there is second attribute information belonging to the same semantic area is automatically performed by the anonymization device 10 rather than manually (that is, visual confirmation by an operator, etc.).

従って、第1の実施形態によれば、作業者の作業負担を増大させることなく、プライバシー侵害や法違反のリスクを低減させることが可能となる。
[第2の実施形態]
(構成の説明)
図3は、本発明の第2の実施形態に係る匿名加工装置100の構成例を示すブロック図である。匿名加工装置100は、図1に示す匿名加工装置10を基本とする構成を含み、匿名加工装置10と同様に、個人情報に対して匿名加工処理および匿名加工検索を実施して匿名加工情報を作成する。 Therefore, according to the first embodiment, it is possible to reduce the risk of privacy infringement and law violation without increasing the work burden on the worker.
[Second embodiment]
(Description of configuration)
FIG. 3 is a block diagram showing a configuration example of an anonymous processing device 100 according to the second embodiment of the present invention. The anonymization device 100 includes a configuration based on the anonymization device 10 shown in FIG. create.

匿名加工装置100は、匿名加工処理部102(匿名加工処理手段の一例)と、個人情報データベース104と、ルール情報データベース106と、公開用個人情報データベース108と、セマンティック辞書109と、を備える。 The anonymization device 100 includes an anonymization processor 102 (an example of anonymization processing means), a personal information database 104 , a rule information database 106 , a public personal information database 108 , and a semantic dictionary 109 .

個人情報データベース104は、個人情報200を格納する。図4は、個人情報200のデータ構成例を示す。個人情報200は、属性を示す情報である第1属性情報202と、第1属性情報202の属性値を示す情報である個別個人情報204とで構成される。 Personal information database 104 stores personal information 200 . FIG. 4 shows a data configuration example of the personal information 200. As shown in FIG. The personal information 200 is composed of first attribute information 202 which is information indicating an attribute and individual personal information 204 which is information indicating an attribute value of the first attribute information 202 .

図4では、個人情報200が1つであり、第1属性情報202が4つの属性(たとえば、「名前」、「年齢」、「住所」、および「職業」)のそれぞれである場合が例示される。この場合、第1属性情報202の属性値である個別個人情報204は、4つの属性値(たとえば、「日電太郎」、「39」、「神奈川県川崎市中原区」、および「会社員」)のそれぞれである。もちろん、個人情報200の数は、2以上であってもよい。また、第1属性情報202の数は、3以下であってもよく、5以上であってもよい。 FIG. 4 illustrates a case where there is one piece of personal information 200 and the first attribute information 202 is each of four attributes (for example, "name", "age", "address", and "occupation"). be. In this case, the individual personal information 204, which is the attribute value of the first attribute information 202, has four attribute values (for example, "Nichiden Taro", "39", "Nakahara Ward, Kawasaki City, Kanagawa Prefecture", and "company employee"). Each of Of course, the number of pieces of personal information 200 may be two or more. Also, the number of pieces of first attribute information 202 may be 3 or less, or may be 5 or more.

ルール情報データベース106は、法律に則ったガイドラインに記載される加工についてのルールを電子化した匿名加工ルール情報210を格納する。 The rule information database 106 stores anonymous processing rule information 210 in which processing rules described in legal guidelines are digitized.

本実施形態では、匿名加工ルール情報210が個人情報保護法ガイドラインに記載される匿名加工ルール情報である場合を例に挙げる。図5は、匿名加工ルール情報210のデータ構成例を示す。匿名加工ルール情報210は、図5に示されるように、第2属性情報212(たとえば、「氏名」、「年齢」、「住所」、および「職業」のそれぞれ)と、第2属性情報212の各々の加工ルールを表す個別加工ルール情報214(たとえば、「削除」、「一桁目を切り捨て」、「都道府県と市のみを残す」、および「残す」のそれぞれ)と、で構成される。もちろん、第2属性情報212の数は、3以下であってもよく、5以上であってもよい。 In this embodiment, the case where the anonymous processing rule information 210 is the anonymous processing rule information described in the Personal Information Protection Law guidelines is taken as an example. FIG. 5 shows a data configuration example of the anonymous processing rule information 210. As shown in FIG. Anonymization rule information 210, as shown in FIG. Individual processing rule information 214 representing each processing rule (for example, "delete", "truncate first digit", "leave prefecture and city only", and "leave"). Of course, the number of pieces of second attribute information 212 may be three or less, or may be five or more.

公開用個人情報データベース108は、少なくとも1つの個別個人情報204が匿名加工された個人情報であり、第三者に公開可能な公開用個人情報220を格納する。図6は、公開用個人情報220のデータ構成例を示す。公開用個人情報220は、加工済個別個人情報222(たとえば、「30代」、「神奈川県川崎市」、および「会社員」のそれぞれ)で構成される。 The public personal information database 108 stores public personal information 220 which is personal information in which at least one piece of individual personal information 204 is anonymized and which can be disclosed to a third party. FIG. 6 shows a data configuration example of the public personal information 220. As shown in FIG. Public personal information 220 is composed of processed individual personal information 222 (for example, each of “30s”, “Kawasaki City, Kanagawa Prefecture”, and “office worker”).

セマンティック辞書109は、少なくとも1つのセマンティック領域230を含む。セマンティック領域とは、概念的に同一と見なすことが可能な、あるいは見なしても支障がない、複数の文言をグループ化したときのその一群の概念を指す。セマンティック領域は、他に、たとえば、単に「セマンティック」、「セマンティックドメイン」、あるいは「意味領域」などと呼ばれることもある。 Semantic dictionary 109 includes at least one semantic region 230 . A semantic domain refers to a group of concepts when a plurality of phrases are grouped that can be regarded as being conceptually the same or can be regarded as having no problem. A semantic domain may also be referred to, for example, simply as "semantic", "semantic domain", or "semantic domain".

図7は、セマンティック領域230のデータ構成例を示す。この場合、セマンティック領域230は、一例として、「ある人を識別する」概念を表しており、たとえば、「氏名」、「名前」、「人名」、「名」、「姓名」を、同一概念の要素として含む。 FIG. 7 shows a data configuration example of the semantic area 230 . In this case, the semantic area 230 represents, as an example, the concept of “identifying a certain person”, and for example, “name”, “first name”, “personal name”, “first name”, and “last name” are the same concepts. Contains as an element.

セマンティック辞書109は、匿名加工装置100の提供者自らが作成したものであってもよいし、クラウドサービスとして無償で利用できるものを採用してもよい。 The semantic dictionary 109 may be created by the provider of the anonymization device 100, or may be available free of charge as a cloud service.

匿名加工処理部102は、基本的には、図1に示す匿名加工処理部14と同様に、取得した個人情報200に対して、匿名加工ルール情報210に基づいて匿名加工処理を実施する。 The anonymous processing unit 102 basically performs anonymous processing on the acquired personal information 200 based on the anonymous processing rule information 210, similarly to the anonymous processing unit 14 shown in FIG.

詳細には、匿名加工処理部102は、個人情報データベース104から個人情報200を取得する。匿名加工処理部102は、第1属性情報202と同じセマンティック領域に属する第2属性情報212が存在するか否かを判定する。換言すれば、匿名加工処理部102は、第1属性情報202と概念が共通する第2属性情報212が存在するか否かを判定する。 Specifically, the anonymous processing unit 102 acquires the personal information 200 from the personal information database 104 . The anonymous processing unit 102 determines whether or not there is second attribute information 212 belonging to the same semantic area as the first attribute information 202 . In other words, the anonymous processing unit 102 determines whether or not there is second attribute information 212 having a common concept with the first attribute information 202 .

この判定において、セマンティック辞書109が用いられる。匿名加工処理部102は、セマンティック辞書109を参照し、第2属性情報212(たとえば、「氏名」)が属するセマンティック領域230を特定する。匿名加工処理部102は、特定したセマンティック領域230内の全要素(たとえば、図7の「氏名」、「名前」、「人名」、「名」、「姓名」)と、取得した個人情報200内の全ての第1属性情報202とを比較する。 The semantic dictionary 109 is used in this determination. The anonymization processing unit 102 refers to the semantic dictionary 109 and identifies the semantic region 230 to which the second attribute information 212 (for example, "name") belongs. The anonymization processing unit 102 processes all elements in the specified semantic area 230 (for example, “name”, “name”, “personal name”, “first name”, and “last name” in FIG. 7) and the acquired personal information 200 are compared with all of the first attribute information 202 of .

第1属性情報202が第2属性情報212と同一の「氏名」であった場合、当然のことながら第1属性情報202と第2属性情報212の概念は共通する。さらに、第1属性情報202が「名前」であった場合、文言自体は同一ではないが、「名前」はセマンティック領域230に含まれた要素の一つであるから、第1属性情報202と第2属性情報212の概念は共通すると判断できる。 If the first attribute information 202 is the same "name" as the second attribute information 212, the concepts of the first attribute information 202 and the second attribute information 212 are of course common. Further, when the first attribute information 202 is "name", the wording itself is not the same, but since "name" is one of the elements included in the semantic region 230, the first attribute information 202 and the first attribute information 202 are not the same. It can be judged that the concept of the two attribute information 212 is common.

第1属性情報202と同じセマンティック領域に属する第2属性情報212が存在する場合、匿名加工処理部102は、当該第1属性情報202についての個別個人情報204を、同じセマンティック領域に属する第2属性情報212についての個別加工ルール情報214に基づいて匿名加工する。 If there is second attribute information 212 belonging to the same semantic area as the first attribute information 202, the anonymous processing unit 102 converts the individual personal information 204 of the first attribute information 202 into the second attribute belonging to the same semantic area. The information 212 is processed anonymously based on the individual processing rule information 214 .

匿名加工処理部102は、少なくとも1つの個別個人情報204が匿名加工された個人情報である公開用個人情報220を、公開用個人情報データベース108に格納する。 The anonymization processor 102 stores public personal information 220 , which is personal information obtained by anonymizing at least one piece of individual personal information 204 , in the public personal information database 108 .

なお、個人情報200には、匿名加工の対象とならない情報が含まれる場合がある。すなわち、個人情報200には、匿名加工ルール情報210内の全ての第2属性情報212とセマンティックが一致しない第1属性情報202を有する情報が含まれる場合がある。このような情報は、本実施形態では、属性不一致情報と呼ばれる。属性不一致情報に対して匿名加工は実施されない。また、属性不一致情報の扱いは任意である。たとえば、属性不一致情報は、匿名加工処理されずにそのままの状態で公開用個人情報データベース108に格納されてもよい。 The personal information 200 may include information that is not subject to anonymous processing. That is, the personal information 200 may include information having the first attribute information 202 whose semantics do not match all the second attribute information 212 in the anonymization rule information 210 . Such information is referred to as attribute mismatch information in this embodiment. Anonymization is not performed on attribute mismatch information. Also, handling of attribute mismatch information is optional. For example, attribute mismatch information may be stored in public personal information database 108 as it is without anonymization processing.

匿名加工処理部102は、たとえば、IC(Integrated Circuit)やFPGA(Field Programmable Gate Array)等の電子回路で構成されてもよい。あるいは、匿名加工処理部102は、コンピュータ(たとえば、CPU(Central Processing Unit))がメモリに記憶されたプログラムを実行する構成であってもよい。もちろん、匿名加工処理部102は、電子回路とコンピュータの組み合わせにて構成されてもよい。
(動作の説明)
図8は、図3に示す匿名加工装置100の動作例(匿名加工方法)を説明するためのフローチャートである。なお、具体的には、図8で説明するステップS10~S14は、匿名加工処理部102で実行される処理を説明するものである。これらの処理の実施に先だって、ルール情報データベース106には、匿名加工ルール情報210が予め格納されているものとする。 The anonymous processing unit 102 may be configured by an electronic circuit such as an IC (Integrated Circuit) or FPGA (Field Programmable Gate Array). Alternatively, the anonymous processing unit 102 may be configured such that a computer (for example, a CPU (Central Processing Unit)) executes a program stored in memory. Of course, the anonymous processing unit 102 may be configured by a combination of an electronic circuit and a computer.
(Description of operation)
FIG. 8 is a flowchart for explaining an operation example (anonymization method) of the anonymization processing device 100 shown in FIG. Specifically, steps S10 to S14 described with reference to FIG. 8 describe processing executed by the anonymous processing unit 102. FIG. It is assumed that anonymization rule information 210 is stored in advance in the rule information database 106 prior to execution of these processes.

匿名加工処理部102は、たとえば、個人情報データベース104から、個人情報200を取得する(ステップS10)。個人情報200の取得を契機として、匿名加工処理部102は、ルール情報データベース106から匿名加工ルール情報210を取得する。なお、匿名加工ルール情報210の取得は、個人情報200を取得する以前に完了していてもよい。 The anonymous processing unit 102 acquires personal information 200 from, for example, the personal information database 104 (step S10). Triggered by the acquisition of the personal information 200 , the anonymization processing unit 102 acquires the anonymization rule information 210 from the rule information database 106 . Acquisition of the anonymization rule information 210 may be completed before the personal information 200 is acquired.

匿名加工処理部102は、第1属性情報202と同じセマンティック領域に属する第2属性情報212が存在するか否かを判定する(ステップS11)。たとえば、上述したように、匿名加工処理部102は、セマンティック辞書109を参照し、第2属性情報212(たとえば、「氏名」)が属するセマンティック領域230を特定する。匿名加工処理部102は、特定したセマンティック領域230内の全要素(たとえば、図7の「氏名」、「名前」、「人名」、「名」、「姓名」)と、取得した個人情報200の全ての第1属性情報202とを比較する。第2属性情報212が存在しない情報は、上述したとおり、属性不一致情報と呼ばれる。 The anonymous processing unit 102 determines whether or not there is second attribute information 212 belonging to the same semantic region as the first attribute information 202 (step S11). For example, as described above, the anonymization processing unit 102 refers to the semantic dictionary 109 and identifies the semantic region 230 to which the second attribute information 212 (for example, "name") belongs. The anonymization processing unit 102 extracts all elements in the specified semantic area 230 (for example, “name”, “name”, “personal name”, “first name”, and “last name” in FIG. 7) and the acquired personal information 200. All the first attribute information 202 are compared. Information without the second attribute information 212 is called attribute mismatch information as described above.

第1属性情報202と同じセマンティック領域に属する第2属性情報212が存在する場合(ステップS11においてYes)、匿名加工処理部102は、当該第1属性情報202についての個別個人情報204を、同じセマンティック領域に属する第2属性情報212についての個別加工ルール情報214に基づいて匿名加工する(ステップS12)。 If the second attribute information 212 belonging to the same semantic domain as the first attribute information 202 exists (Yes in step S11), the anonymous processing unit 102 converts the individual personal information 204 for the first attribute information 202 into the same semantic domain. The second attribute information 212 belonging to the area is processed anonymously based on the individual processing rule information 214 (step S12).

たとえば、ある1つの第1属性情報202が「名前」で、匿名加工処理部102は、第1属性情報202が「氏名」の場合、属性情報名は一致しないがセマンティックが一致するため、個別個人情報204の「日電太郎」を、「氏名」の個別加工ルール情報214が「削除」であることから、これに従い削除する。 For example, if one piece of the first attribute information 202 is "name" and the anonymization processing unit 102 sets the first attribute information 202 to "name", the attribute information name does not match but the semantics match. "Taro Nichiden" in the information 204 is deleted because the individual processing rule information 214 for "name" is "delete".

一方、第1属性情報202と同じセマンティック領域に属する第2属性情報212が存在しない場合(ステップS11においてNo)、匿名加工処理部102は、当該第1属性情報202の個別個人情報204に対して匿名加工処理を実施しない(ステップS13)。 On the other hand, if the second attribute information 212 belonging to the same semantic area as the first attribute information 202 does not exist (No in step S11), the anonymous processing unit 102 processes the individual personal information 204 of the first attribute information 202 Anonymization processing is not performed (step S13).

なお、図8では示されてはいないが、ある1つの個人情報200の全ての第1属性情報202についての総当たり比較が終了されるまで、ステップS11~S13の処理が繰り返し実行される。さらに、個人情報データベース104に複数の個人情報200が格納されている場合には、全ての個人情報200についての処理が終了するまで、ステップS10~S13の処理が繰り返し実行される。 Although not shown in FIG. 8, the processes of steps S11 to S13 are repeatedly executed until the round-robin comparison of all the first attribute information 202 of one piece of personal information 200 is completed. Furthermore, when a plurality of pieces of personal information 200 are stored in the personal information database 104, the processing of steps S10 to S13 is repeatedly executed until the processing of all the pieces of personal information 200 is completed.

匿名加工処理部102は、個別個人情報204が匿名加工された個人情報である公開用個人情報220を、公開用個人情報データベース108に格納する(ステップS14)。匿名加工処理部102は、たとえば図6に示される公開用個人情報220を、公開用個人情報データベース108に格納する。図6は、図4に示される個人情報200が、図5に示される匿名加工ルール情報210に基づいて匿名加工した公開用個人情報220を示している。
(効果の説明)
以上説明した第2の実施形態において、匿名加工処理部102は、第1属性情報202と同じセマンティック領域に属する第2属性情報212が存在する場合、同じセマンティック領域に属する第2属性情報212についての個別加工ルール情報214に基づいて、当該第1属性情報202についての個別個人情報を加工する。上述したように、セマンティック領域とは、概念的に同一と見なすことが可能な、あるいは見なしても支障がない、複数の文言をグループ化したときのその一群の概念を指す。従って、文言一致はしないが、概念的には同一の属性情報名の個人情報が匿名加工されずにそのまま流出してしまう可能性は低くなる。さらに、同じセマンティック領域に属する第2属性情報212が存在するか否かの判定自体は、人手(すなわち、作業者の目視確認等)ではなく、匿名加工装置100により自動的に実施される。 The anonymization processor 102 stores public personal information 220, which is personal information obtained by anonymizing the individual personal information 204, in the public personal information database 108 (step S14). The anonymous processing unit 102 stores the public personal information 220 shown in FIG. 6, for example, in the public personal information database 108 . FIG. 6 shows public personal information 220 obtained by anonymizing the personal information 200 shown in FIG. 4 based on the anonymous processing rule information 210 shown in FIG.
(Explanation of effect)
In the second embodiment described above, when there is second attribute information 212 belonging to the same semantic area as the first attribute information 202, the anonymization processing unit 102 performs Based on the individual processing rule information 214, the individual personal information about the first attribute information 202 is processed. As described above, the semantic domain refers to a group of concepts when a plurality of phrases are grouped that can be conceptually regarded as the same or can be regarded as the same. Therefore, although the wording does not match, there is a low possibility that personal information with the same attribute information name will leak out as it is without being anonymized. Furthermore, the determination itself as to whether or not the second attribute information 212 belonging to the same semantic region exists is automatically performed by the anonymization processing device 100 rather than manually (that is, visual confirmation by the operator, etc.).

従って、第2の実施形態によれば、作業者の作業負担を増大させることなく、プライバシー侵害や法違反のリスクを低減させることが可能となる。 Therefore, according to the second embodiment, it is possible to reduce the risk of privacy infringement and law violation without increasing the work burden on the operator.

なお、以上説明した第2の実施形態では、個人情報200を格納する個人情報データベース104が匿名加工装置100に内蔵されている例が示されているが、個人情報データベース104は、匿名加工装置100の外部にあってもよい。ただし、その場合、個人情報データベース104と匿名加工装置100との間のネットワークには、個人情報が漏洩しないような対策が施されている。 In the second embodiment described above, an example in which the personal information database 104 that stores the personal information 200 is built in the anonymization device 100 is shown. may be outside the However, in that case, the network between the personal information database 104 and the anonymization device 100 is provided with measures to prevent leakage of personal information.

また、第2実施形態では、セマンティック辞書109が匿名加工装置100に内蔵されている例が示されているが、セマンティック辞書109は、匿名加工装置100の外部にあってもよい。
[第3の実施形態]
図9は、本発明の第3の実施形態に係る匿名加工装置300の構成例を示すブロック図であり、詳細には、図1に示す匿名加工装置10、または図3に示す匿名加工装置100を、コンピュータによって実現した匿名加工装置300のブロック図である。匿名加工装置300は、記憶装置302と、プロセッサ等を含む演算装置304(コンピュータ)と、を備える。記憶装置302は、コンピュータ読み取り可能な記録媒体であり、コンピュータプログラム350を記憶する。コンピュータプログラム350は、たとえば、第1の実施形態で説明した動作や第2の実施形態で説明した動作を演算装置304に実行させるためのプログラムである。たとえば、コンピュータプログラム350は、法律に則ったガイドラインに記載される加工についてのルールを電子データ化した匿名加工ルール情報を格納するルール情報データベースから、匿名加工ルール情報を取得し、取得した匿名加工ルール情報に基づいて個人情報を加工して匿名加工情報を作成する処理である。 Also, in the second embodiment, an example in which the semantic dictionary 109 is built in the anonymization device 100 is shown, but the semantic dictionary 109 may be outside the anonymization device 100 .
[Third Embodiment]
FIG. 9 is a block diagram showing a configuration example of an anonymous processing device 300 according to the third embodiment of the present invention. Specifically, the anonymous processing device 10 shown in FIG. 1 or the anonymous processing device 100 shown in FIG. is a block diagram of an anonymous processing device 300 implemented by a computer. The anonymous processing device 300 includes a storage device 302 and an arithmetic device 304 (computer) including a processor and the like. The storage device 302 is a computer-readable recording medium and stores a computer program 350 . The computer program 350 is, for example, a program for causing the arithmetic device 304 to execute the operations described in the first embodiment and the operations described in the second embodiment. For example, the computer program 350 acquires the anonymous processing rule information from the rule information database that stores the anonymous processing rule information, which is electronic data of the processing rules described in legal guidelines, and acquires the acquired anonymous processing rule. This is a process of processing personal information based on information to create anonymously processed information.

なお、演算装置304の例としては、たとえば、プログラムを読み取り実行する、1つまたはそれ以上のCPUと、CPUが実行する命令を記憶するメモリを挙げることができる。また、コンピュータ読み取り可能な記録媒体は、たとえば、非一時的な記憶装置である。非一時的な記憶装置の例としては、たとえば、光ディスク、磁気ディスク、ROM(Read Only Memory)、不揮発性半導体メモリ等の可搬媒体、コンピュータシステムに内蔵されるハードディスクを挙げることができる。また、コンピュータ読み取り可能な記録媒体は、一時的な記憶装置であってもよい。一時的な記憶装置の例としては、たとえば、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の信号線、あるいは、コンピュータシステム内部の揮発性メモリを挙げることができる。 It should be noted that examples of computing device 304 include, for example, one or more CPUs that read and execute programs, and memory that stores instructions for execution by the CPUs. Also, the computer-readable recording medium is, for example, a non-temporary storage device. Examples of non-temporary storage devices include portable media such as optical disks, magnetic disks, ROMs (Read Only Memory), non-volatile semiconductor memories, and hard disks built into computer systems. A computer-readable recording medium may also be a temporary storage device. Examples of temporary storage devices include signal lines for transmitting programs via networks such as the Internet and communication lines such as telephone lines, and volatile memories within computer systems.

以上説明した第3の実施形態によれば、第1および第2の実施形態と同様に、第3の実施形態によれば、作業者の作業負担を増大させることなく、プライバシー侵害や法違反のリスクを低減させることが可能となる。
[第4の実施形態]
図10は、本発明の第4の実施形態に係る匿名加工システム400の構成例を示すブロック図である。匿名加工システム400は、匿名加工装置402と、情報処理装置404と、を備える。 According to the third embodiment described above, similarly to the first and second embodiments, according to the third embodiment, there is no increase in the work burden on workers, and privacy violations and legal violations are prevented. Risk can be reduced.
[Fourth embodiment]
FIG. 10 is a block diagram showing a configuration example of an anonymous processing system 400 according to the fourth embodiment of the invention. The anonymous processing system 400 includes an anonymous processing device 402 and an information processing device 404 .

匿名加工装置402は、インターネット等のネットワーク406を介して、情報処理装置404と通信可能に接続される。 The anonymization device 402 is communicably connected to the information processing device 404 via a network 406 such as the Internet.

情報処理装置404は、個人情報についての匿名加工処理を所望するユーザの装置である。匿名加工装置402は、たとえば、第1~3の実施形態のいずれかの匿名加工装置である。匿名加工装置402は、情報処理装置404の依頼に基づいて個人情報に対して匿名加工処理を実施する。匿名加工処理は、上述したとおりである。 The information processing device 404 is a device of a user who desires anonymous processing of personal information. The anonymous processing device 402 is, for example, any one of the first to third embodiments. The anonymization device 402 performs anonymization processing on personal information based on a request from the information processing device 404 . Anonymous processing is as described above.

以上説明した第4の実施形態によれば、たとえば、匿名加工装置402をクラウド上に設けることが可能となる。すなわち、本実施形態によれば、ネットワーク越しに匿名加工サービスを提供することが可能となる。その場合、第1~第3の実施形態による効果が達成されることは説明するまでもない。 According to the fourth embodiment described above, for example, it is possible to provide the anonymous processing device 402 on the cloud. That is, according to this embodiment, it is possible to provide anonymization service over the network. In that case, it goes without saying that the effects of the first to third embodiments are achieved.

以上、各実施形態を用いて本発明を説明したが、本発明の技術的範囲は、上記各実施形態の記載に限定されない。上記各実施形態に多様な変更又は改良を加えることが可能であることは当業者にとって自明である。従って、そのような変更又は改良を加えた形態もまた本発明の技術的範囲に含まれることは説明するまでもない。また、以上説明した各実施形態において使用される、数値や各構成の名称等は例示的なものであり適宜変更可能である。 Although the present invention has been described using each embodiment, the technical scope of the present invention is not limited to the description of each embodiment. It is obvious to those skilled in the art that various modifications or improvements can be made to each of the above embodiments. Therefore, it is needless to say that the forms with such changes or improvements are also included in the technical scope of the present invention. Numerical values, names of components, and the like used in each of the embodiments described above are examples and can be changed as appropriate.

10 匿名加工装置
14 匿名加工処理部
100 匿名加工装置
102 匿名加工処理部
104 個人情報データベース
106 ルール情報データベース
108 公開用個人情報データベース
109 セマンティック辞書
200 個人情報
202 第1属性情報
204 個別個人情報
210 匿名加工ルール情報
212 第2属性情報
214 個別加工ルール情報
220 公開用個人情報
230 セマンティック領域
300 匿名加工装置
302 記憶装置
304 演算装置
350 コンピュータプログラム
400 匿名加工システム
402 匿名加工装置
404 情報処理装置
406 ネットワーク 10 Anonymous processing device 14 Anonymous processing unit 100 Anonymous processing device 102 Anonymous processing unit 104 Personal information database 106 Rule information database 108 Public personal information database 109 Semantic dictionary 200 Personal information 202 First attribute information 204 Individual personal information 210 Anonymous processing Rule information 212 Second attribute information 214 Individual processing rule information 220 Public personal information 230 Semantic area 300 Anonymous processing device 302 Storage device 304 Arithmetic device 350 Computer program 400 Anonymous processing system 402 Anonymous processing device 404 Information processing device 406 Network

Claims (7)

第1属性情報と前記第1属性情報についての個別個人情報とを含む個人情報と、第2属性情報と前記第2属性情報についての個別加工ルール情報とを含む匿名加工ルール情報とを取得し、前記第1属性情報と同じセマンティック領域に属する前記第2属性情報が存在するか否かを判定し、前記第1属性情報と同じ前記セマンティック領域に属する前記第2属性情報が存在する場合、前記セマンティック領域に属する前記第2属性情報についての前記個別加工ルール情報に基づいて、当該第1属性情報についての前記個別個人情報を加工して匿名加工情報を作成する匿名加工処理手段
備え、
前記第2属性情報は、少なくとも、年齢、及び、住所を含み、
前記個別加工ルール情報は、年齢についての一桁目の切り捨て、及び、住所についての都道府県と市とを残す、を含む
ことを特徴とする匿名加工装置。 Acquiring personal information including first attribute information and individual personal information about the first attribute information, and anonymous processing rule information including second attribute information and individual processing rule information about the second attribute information, determining whether the second attribute information belonging to the same semantic area as the first attribute information exists, and if the second attribute information belonging to the same semantic area as the first attribute information exists, the semantic an anonymous processing means for processing the individual personal information for the first attribute information to create anonymously processed information based on the individual processing rule information for the second attribute information belonging to an area ;
The second attribute information includes at least age and address,
The individual processing rule information includes truncating the first digit of the age and leaving the prefecture and city of the address.
An anonymous processing device characterized by: 前記第1属性情報と同じ前記セマンティック領域に属する前記第2属性情報が存在しないと判定された場合、前記匿名加工処理手段は、当該第1属性情報の前記個別個人情報を加工しないことを特徴とする請求項1記載の匿名加工装置。 When it is determined that the second attribute information belonging to the same semantic area as the first attribute information does not exist, the anonymous processing means does not process the individual personal information of the first attribute information. The anonymous processing device according to claim 1. 前記第1属性情報と同じ前記セマンティック領域に属する前記第2属性情報が存在するか否かを判定する場合、前記匿名加工処理手段は、セマンティック辞書を参照することを特徴とする請求項1または2記載の匿名加工装置。 3. When determining whether or not the second attribute information belonging to the same semantic area as the first attribute information exists, the anonymous processing means refers to a semantic dictionary. The anonymization device described. 前記セマンティック辞書は、少なくとも1つの前記セマンティック領域を含み、前記セマンティック領域は、概念的に同一と見なすことが可能な、少なくとも2つの文言を要素として含むことを特徴とする請求項3記載の匿名加工装置。 4. Anonymous processing according to claim 3, wherein said semantic dictionary includes at least one said semantic area, and said semantic area includes as elements at least two words that can be regarded as being conceptually identical. Device. 請求項1乃至4のいずれか1項に記載の匿名加工装置と、
ユーザの情報処理装置と、
を備え、
前記匿名加工装置は、ネットワークを介して、前記情報処理装置と通信可能に接続され、
前記匿名加工装置は、前記情報処理装置の依頼に基づいて前記個人情報に対して匿名加工処理を実施することを特徴とする匿名加工システム。 an anonymous processing device according to any one of claims 1 to 4;
a user's information processing device;
with
The anonymization device is communicably connected to the information processing device via a network,
An anonymization system, wherein the anonymization device performs anonymization processing on the personal information based on a request from the information processing device. 匿名加工装置が、
第1属性情報と前記第1属性情報についての個別個人情報とを含む個人情報と、第2属性情報と前記第2属性情報についての個別加工ルール情報とを含む匿名加工ルール情報とを取得し、
前記第1属性情報と同じセマンティック領域に属する前記第2属性情報が存在するか否かを判定し、前記第1属性情報と同じ前記セマンティック領域に属する前記第2属性情報が存在する場合、前記セマンティック領域に属する前記第2属性情報についての前記個別加工ルール情報に基づいて、当該第1属性情報についての前記個別個人情報を加工して匿名加工情報を作成し、
前記第2属性情報は、少なくとも、年齢、及び、住所を含み、
前記個別加工ルール情報は、年齢についての一桁目の切り捨て、及び、住所についての都道府県と市とを残す、を含む
ことを特徴とする匿名加工方法。 Anonymous processing device
Acquiring personal information including first attribute information and individual personal information about the first attribute information, and anonymous processing rule information including second attribute information and individual processing rule information about the second attribute information,
determining whether the second attribute information belonging to the same semantic area as the first attribute information exists, and if the second attribute information belonging to the same semantic area as the first attribute information exists, the semantic creating anonymously processed information by processing the individual personal information for the first attribute information based on the individual processing rule information for the second attribute information belonging to an area;
The second attribute information includes at least age and address,
The individual processing rule information includes truncating the first digit of the age and leaving the prefecture and city of the address.
An anonymous processing method characterized by: 匿名加工装置のコンピュータに、
第1属性情報と前記第1属性情報についての個別個人情報とを含む個人情報と、第2属性情報と前記第2属性情報についての個別加工ルール情報とを含む匿名加工ルール情報とを取得する処理と、
前記第1属性情報と同じセマンティック領域に属する前記第2属性情報が存在するか否かを判定し、前記第1属性情報と同じ前記セマンティック領域に属する前記第2属性情報が存在する場合、前記セマンティック領域に属する前記第2属性情報についての前記個別加工ルール情報に基づいて、当該第1属性情報についての前記個別個人情報を加工して匿名加工情報を作成する処理と
実行させ、
前記第2属性情報は、少なくとも、年齢、及び、住所を含み、
前記個別加工ルール情報は、年齢についての一桁目の切り捨て、及び、住所についての都道府県と市とを残す、を含む
プログラム。 on the computer of the anonymization device,
A process of acquiring personal information including first attribute information and individual personal information about the first attribute information, and anonymous processing rule information including second attribute information and individual processing rule information about the second attribute information When,
determining whether the second attribute information belonging to the same semantic area as the first attribute information exists, and if the second attribute information belonging to the same semantic area as the first attribute information exists, the semantic a process of processing the individual personal information about the first attribute information to create anonymously processed information based on the individual processing rule information about the second attribute information belonging to the area ;
The second attribute information includes at least age and address,
The individual processing rule information includes truncating the first digit of the age and leaving the prefecture and city of the address.
program.
JP2018171615A 2018-09-13 2018-09-13 Anonymization device, anonymization system, anonymization method, and program Active JP7143696B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018171615A JP7143696B2 (en) 2018-09-13 2018-09-13 Anonymization device, anonymization system, anonymization method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018171615A JP7143696B2 (en) 2018-09-13 2018-09-13 Anonymization device, anonymization system, anonymization method, and program

Publications (2)

Publication Number Publication Date
JP2020042723A JP2020042723A (en) 2020-03-19
JP7143696B2 true JP7143696B2 (en) 2022-09-29

Family

ID=69798449

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018171615A Active JP7143696B2 (en) 2018-09-13 2018-09-13 Anonymization device, anonymization system, anonymization method, and program

Country Status (1)

Country Link
JP (1) JP7143696B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7075063B2 (en) * 2020-04-06 2022-05-25 株式会社4Din Anonymous processing equipment, anonymous processing method and anonymous processing program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006092208A (en) 2004-09-22 2006-04-06 Fuji Xerox Co Ltd Insertion processor, insertion processing method, and insertion processing program
JP2015041319A (en) 2013-08-23 2015-03-02 株式会社リコー Data management device, data management method, and program
JP2015041145A (en) 2013-08-20 2015-03-02 株式会社野村総合研究所 Personal information detection device and computer program
JP2017091515A (en) 2015-11-03 2017-05-25 パロ アルト リサーチ センター インコーポレイテッド Computer-implemented system and method for automatically identifying attributes for anonymization

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006092208A (en) 2004-09-22 2006-04-06 Fuji Xerox Co Ltd Insertion processor, insertion processing method, and insertion processing program
JP2015041145A (en) 2013-08-20 2015-03-02 株式会社野村総合研究所 Personal information detection device and computer program
JP2015041319A (en) 2013-08-23 2015-03-02 株式会社リコー Data management device, data management method, and program
JP2017091515A (en) 2015-11-03 2017-05-25 パロ アルト リサーチ センター インコーポレイテッド Computer-implemented system and method for automatically identifying attributes for anonymization

Also Published As

Publication number Publication date
JP2020042723A (en) 2020-03-19

Similar Documents

Publication Publication Date Title
JP7201326B2 (en) Anonymous processing device, information anonymization method, and program
US10740488B2 (en) Cognitive data anonymization
US9959311B2 (en) Natural language interface to databases
US9230132B2 (en) Anonymization for data having a relational part and sequential part
US9311369B2 (en) Virtual masked database
US10454932B2 (en) Search engine with privacy protection
US9652512B2 (en) Secure matching supporting fuzzy data
US10404757B1 (en) Privacy enforcement in the storage and access of data in computer systems
US10042921B2 (en) Robust and readily domain-adaptable natural language interface to databases
TWI443533B (en) Computer method and apparatus providing brokered privacy of user data during searches
JP7266354B2 (en) Data anonymization
CN109983467B (en) System and method for anonymizing data sets
WO2013105076A1 (en) Automated document redaction
JP7143696B2 (en) Anonymization device, anonymization system, anonymization method, and program
JP6040194B2 (en) Access authority processing system, access authority processing method, and program
US20220123935A1 (en) Masking sensitive information in a document
Muralidhar et al. An enhanced data perturbation approach for small data sets
US11934551B2 (en) Processing per-use requests for user data
Borden et al. Opening up dark digital archives through the use of analytics to identify sensitive content
Chen et al. Architecture and building the medical image anonymization service: cloud, big data and automation
CN107194278B (en) A kind of data generaliza-tion method based on Skyline
JP2006244177A (en) Database device
KR20060056233A (en) Privacy markup on entity models
EP3901808B1 (en) Analysis query response system, analysis query execution device, analysis query verification device, analysis query response method, and program
JP6995667B2 (en) Information management system, information management method and information management device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210816

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20211015

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220729

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220816

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220829

R151 Written notification of patent or utility model registration

Ref document number: 7143696

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151