JP7154884B2 - 情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システム - Google Patents
情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システム Download PDFInfo
- Publication number
- JP7154884B2 JP7154884B2 JP2018159367A JP2018159367A JP7154884B2 JP 7154884 B2 JP7154884 B2 JP 7154884B2 JP 2018159367 A JP2018159367 A JP 2018159367A JP 2018159367 A JP2018159367 A JP 2018159367A JP 7154884 B2 JP7154884 B2 JP 7154884B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- processing
- information
- personal information
- anonymization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
開示の実施形態は、情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システムに関する。
近年、情報通信技術(ICT:Information and Communication Technology)の飛躍的な進展に伴い、多種多様かつ膨大なデータ群、いわゆるビッグデータの収集および分析が可能となっている(たとえば、特許文献1参照)。
しかしながら、上述した従来技術には、個人の権利利益の保護を図りつつ、個人情報を有効に活用するうえで更なる改善の余地がある。
ビッグデータは、特に、個人の行動・状態等に関する情報に代表される、パーソナルデータについては利用価値が高いとされている。その一方で、2015年に改正個人情報保護法が施行されたことが示すように、パーソナルデータの利用は、特定の個人の権利利益を侵害する危険性を孕んでいるため、その取り扱いには細心の注意を払うことが要請されている。
実施形態の一態様は、上記に鑑みてなされたものであって、個人の権利利益の保護を図りつつ、個人情報を有効に活用することができる情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システムを提供することを目的とする。
実施形態の一態様に係る情報秘匿化方法は、コンピュータが実行する情報秘匿化方法であって、抽出工程と、加工工程とを含む。前記抽出工程は、個人情報を含むデータのデータ群を抽出する。前記加工工程は、前記個人情報を少なくとも個人の識別子を含む所定のカテゴリに分類するとともに、該カテゴリごとで予め設定された規則性に基づいて前記個人情報から前記個人が一意に特定されないように前記データを加工する。また、加工後の前記データは、カラム単位で構成されており、前記加工工程は、前記データから少なくとも前記識別子に分類される前記個人情報を削除する加工を行い、加工後の前記データを任意のカラムのまとまりで分断し、分断されたまとまりごとで異なる暗号化処理を施す。
実施形態の一態様によれば、個人の権利利益の保護を図りつつ、個人情報を有効に活用することができる。
以下、添付図面を参照して、本願の開示する情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システムの実施形態を詳細に説明する。なお、以下に示す実施形態によりこの発明が限定されるものではない。
また、以下では、実施形態に係る情報提供システム1が、医療分野のビッグデータ(以下、「医療ビッグデータ」と言う)を分析して統計モデルを生成し、これをクラウドサービスとしてエンドユーザに提供する場合を例に挙げて説明を行う。
まず、実施形態に係る情報提供システム1の概要について、図1を用いて説明する。図1は、実施形態に係る情報提供システム1の概要説明図である。
図1に示すように、情報提供システム1は、匿名加工装置10と、分析サーバ20と、ユーザ端末30とを含む。匿名加工装置10は、医療ビッグデータシステム2と、分析システム3との間に介在させて設けられ、医療ビッグデータシステム2および分析サーバ20の双方に接続される。ここで、医療ビッグデータシステム2は、医療分野に関連する多種多様かつ膨大なデータ群である医療ビッグデータを保持している。分析システム3は、分析サーバ20を含み、前述のクラウドサービスを提供する事業者によって管理・運用されるセキュア環境のシステムである。
情報提供システム1は、医療ビッグデータから抽出した各種データをたとえば機械学習によって分析し、分析結果としての学習モデル22aをエンドユーザUへクラウドサービスとして提供するものである。
ただし、医療ビッグデータには一般に、たとえば医療機関で受診した患者や、かかる患者の傷病等を特定可能な個人情報が含まれている。こうした個人情報は、たとえば精度の高い分析を行うという点では利用価値が高いが、特定の個人の権利利益を侵害する危険性を孕んでいるため、その取り扱いには細心の注意を払う必要がある。
そこで、実施形態に係る情報提供システム1では、医療ビッグデータから抽出され、分析に用いられる各種データにおいて、個人を一意に特定する個人情報を、匿名加工装置10によって秘匿化、言い換えれば匿名加工することとした。
具体的には、実施形態に係る情報秘匿化方法では、匿名加工装置10が、医療ビッグデータシステム2から個人情報を含む医療ビッグデータを抽出して、匿名加工を行う(ステップS1)。このとき、匿名加工装置10は、個人情報を所定のカテゴリに分類するとともに、かかるカテゴリごとで予め設定された規則性に基づいて個人情報から個人が一意に特定されないようにデータを加工する。
上記の所定のカテゴリは、たとえば個人の識別子、個人の属性および個人に関する履歴等である。匿名加工装置10は、これら各カテゴリにおいて、個人が一意に特定されず、かつ、分析用として利用可能な形態となるように、各カテゴリごとで予め設定された規則性に沿ってデータを加工する。加工後のデータからは、個人が一意に特定される可能性のある情報の一切が削除される。その具体的な加工の態様については、図4~図8を用いた説明で後述する。
そして、匿名加工装置10は、加工後のデータを分析サーバ20へ取得させる。匿名加工装置10は、分析システム3のセキュア環境においてたとえば加工後のデータを分析サーバ20へファイル出力することによって、加工後のデータを分析サーバ20へ取得させる。なお、匿名加工装置10は、かかる加工後のデータの受け渡し時等においてデータが復号化され、個人情報が漏洩することのないように、上記の匿名加工において暗号化処理も施している。
そして、分析サーバ20は、匿名加工装置10から受け取った加工後のデータに基づいて学習モデル22aを生成する(ステップS2)。学習モデル22aは、エンドユーザUに提供されるたとえば医療分野の統計モデルである。学習モデル22aは、たとえばディープラーニング等の機械学習のアルゴリズムを用いて生成される。
そして、分析サーバ20は、生成した学習モデル22aを、ネットワークNを介して有線または無線により通信可能に接続されたユーザ端末30へ、クラウドサービスとして提供する(ステップS3)。ネットワークNは、LAN(Local Area Network)、WAN(Wide Area Network)、電話網(携帯電話網、固定電話網等)、地域IP(Internet Protocol)網、インターネット等の通信ネットワークである。ネットワークNには、有線ネットワークが含まれていてもよいし、無線ネットワークが含まれていてもよい。
ユーザ端末30は、エンドユーザUによって利用される端末装置であって、たとえば、スマートフォンを含む携帯電話機や、タブレット端末や、デスクトップ型PCや、ノート型PCや、PDA(Personal Digital Assistant)、ウェアラブルデバイス(wearable device)等の情報処理装置である。
エンドユーザUは、かかるユーザ端末30にインストールされたアプリ等を介し、分析サーバ20の分析結果である学習モデル22aを任意に利用することができる。
このように、実施形態に係る情報提供システム1は、分析サーバ20による分析に先立って、匿名加工装置10が、個人情報を含む医療ビッグデータを抽出し、個人情報を所定のカテゴリに分類するとともに、かかるカテゴリごとで予め設定された規則性に基づいて個人情報から個人が一意に特定されないようにデータを加工する。
そして、分析サーバ20が、匿名加工装置10によって加工されたデータに基づく機械学習により学習モデル22aを生成し、生成された学習モデル22aをクラウドサービスとして提供する。
したがって、実施形態に係る情報提供システム1によれば、個人の権利利益の保護を図りつつ、個人情報を有効に活用することができる。以下、上述した情報提供システム1の構成例について、さらに具体的に説明する。
図2は、実施形態に係る情報提供システム1のブロック図である。なお、図2では、実施形態の特徴を説明するために必要な構成要素を機能ブロックで表しており、一般的な構成要素についての記載を省略している。
換言すれば、図2に図示される各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。たとえば、各機能ブロックの分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することが可能である。
また、図2を用いた説明では、これまでに既に述べた構成要素については、説明を簡略化するか、省略する場合がある。また、図2を用いた説明では主に、匿名加工装置10と分析サーバ20の構成例について説明する。
まず、匿名加工装置10から説明する。匿名加工装置10は、通信インタフェース11と、記憶部12と、制御部13とを有する。なお、匿名加工装置10は、匿名加工装置10を利用する管理者等から各種操作を受け付ける入力部(例えば、キーボードやマウス等)や、各種情報を表示するための表示部(例えば、液晶ディスプレイ等)を有してもよい。
通信インタフェース11は、例えば、NIC(Network Interface Card)等によって実現される。通信インタフェース11は、分析システム3のセキュア環境において分析システム3と有線または無線で接続され、分析サーバ20との間で情報の送受信を行う。
記憶部12は、たとえば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、図2の例では、記憶部12は、加工データDB(データベース)12aを記憶する。加工データDB12aは、匿名加工後のデータが格納される。
制御部13は、コントローラ(controller)であり、たとえば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、匿名加工装置10内部の記憶装置に記憶されている各種プログラム(情報秘匿化プログラムの一例に相当)がRAMを作業領域として実行されることにより実現される。また、制御部13は、たとえば、コントローラであり、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現される。
図2に示すように、制御部13は、抽出部13aと、加工部13bと、出力部13cとを有し、以下に説明する情報処理の機能や作用を実現または実行する。抽出部13aおよび加工部13bの一部は、医療ビッグデータシステム2の環境下において機能する。加工部13bの他の一部および出力部13cは、分析システム3の環境下において機能する。なお、制御部13の内部構成は、図2に示した構成に限られず、後述する情報処理を行うことができる構成であれば他の構成であってもよい。また、制御部13が有する各処理部の接続関係は、図2に示した接続関係に限られず、他の接続関係であってもよい。たとえば図2では、1つの制御部13を示しているが、医療ビッグデータシステム2の環境下および分析システム3の環境下のそれぞれで動作する2つの制御部を備えることとし、かかる2つの制御部がたとえばバス通信等によって情報のやり取りを行うようにしてもよい。
制御部13は、個人情報を含む医療ビッグデータを抽出し、個人情報を所定のカテゴリに分類するとともに、かかるカテゴリごとで予め設定された規則性に基づいて個人情報から個人が一意に特定されないようにデータを加工する。
抽出部13aは、通信インタフェース11を介して医療ビッグデータシステム2から分析用の医療ビッグデータを抽出する。また、抽出部13aは、抽出した医療ビッグデータを加工部13bへ渡す。
加工部13bは、抽出部13aから加工前のデータを受け取り、匿名加工を施す。ここで、加工部13bの構成例についてより具体的に説明する。図3は、加工部13bのブロック図である。
図3に示すように、加工部13bは、分類加工部13baと、レアデータ削除部13bbと、分断暗号化部13bcとを有する。分類加工部13baは、医療ビッグデータシステム2の環境下において機能する。レアデータ削除部13bbおよび分断暗号化部13bcは、分析システム3の環境下において機能する。
分類加工部13baは、加工前のデータに含まれる個人情報を所定のカテゴリに分類するとともに、かかるカテゴリごとで予め設定された規則性に基づいて個人情報から個人が一意に特定されないようにデータを加工する。
レアデータ削除部13bbは、レアデータ、すなわち希少データを削除する。たとえばレアデータ削除部13bbは、加工前のデータを、抽出した医療ビッグデータを母集団とする統計学上の標本とした場合に、標本数が所定値以下であるものを削除する。
分断暗号化部13bcは、カラム単位で構成された加工後のデータを任意のカラムのまとまりで分断し、分断されたまとまりごとで異なる暗号化処理を施す。
ここで、加工部13bが実行する加工処理の具体例について、図4~図8を用いて説明する。図4~図8は、加工処理の具体例を示す図(その1)~(その5)である。
図4には、加工前のデータの1レコード分の一例を示している。図4に示すように、かかる1レコード分には、「患者番号」、「被保険者番号」、「氏名」、「年齢」、「性別」、「住所」、「傷病名」および「検査値」がそれぞれ格納される個人情報項目が含まれているものとする。なお、図示していないが、「マイナンバー」が含まれてもよい。
分類加工部13baは、これら個人情報項目から個人特定に繋がる要素の加工を行う。具体的には、分類加工部13baは、これら個人情報項目をたとえば「識別子」、「属性」および「履歴」の各カテゴリに分類する。
図4の例では、「識別子」カテゴリには、「患者番号」、「被保険者番号」、「マイナンバー」および「氏名」が含まれることとなる。また、「属性」カテゴリには、「年齢」、「性別」および「住所」が含まれることとなる。また、「履歴」カテゴリには、「傷病名」および「検査値」が含まれることとなる。
そして、分類加工部13baは、かかるカテゴリごとで予め設定されたルールに基づいて個人情報から個人が一意に特定されないようにデータを加工する。具体的には、図5に示すように、分類加工部13baは、「識別子」カテゴリに分類された個人情報項目については、項目自体を削除する。
また、分類加工部13baは、「属性」カテゴリに分類された個人情報項目については、個人が一意に特定されない内容へ書き換えるか、または、分析用として不要であれば削除する。
また、分類加工部13baは、「履歴」カテゴリに分類された個人情報項目については、特異値に配慮して利用するか、または、分析用として不要であれば削除する。特異値に配慮して利用とは、たとえば丸め等によって端数処理を行うなどして、分析用として影響がない範囲で言わば目立たくなくする。なお、かかる端数処理は、「属性」カテゴリに対し適用してもよい。
このようなルールに従って分類加工部13baが匿名加工を行った例を図6に示す。図6の上段には、医療ビッグデータシステム2の種々のDBに存在する各種データを、中段には分類加工部13baが加工中のデータを、下段には分類加工部13baが加工した加工後のデータをそれぞれ示している。
図6の上段に示すように、医療ビッグデータシステム2の種々のDBには、たとえば「患者番号」や「被保険者番号」といった、個人を一意に特定可能な項目を含んだ各種データが保持されている。
分類加工部13baは、これら種々のDBからそれぞれ抽出された各種データをマッチングし、図6の中段に示すように、個人ごとのレコードとしてまとめ上げる。このとき、各レコードを識別するIDとして、たとえば「仮ID」が割り当てられる。
そして、分類加工部13baは、かかるレコードのそれぞれを、上述したルールに沿って、図6の下段に示すように加工する。
図6の下段に示す例では、たとえば「識別子」カテゴリに分類された「患者番号」、「被保険者番号」、「マイナンバー」および「氏名」は、加工後には、個人が一意に特定されないように削除されたことが分かる。
また、「属性」カテゴリの「年齢」は、加工後にはたとえば端数処理が行われたことが分かる。また、同カテゴリの「性別」は、元々が個人を一意に特定する内容ではないので、そのままとされたことが分かる。また、同カテゴリの「住所」は、分析用として不要であることから削除されたことが分かる。
また、「履歴」カテゴリの「傷病名」は、個人を一意に特定する可能性が薄いので、そのままとされたことが分かる。なお、難病等で罹患者数がきわめて少なく、個人が特定される可能性があるケースは、次のレアデータ削除で処置する。
また、「履歴」カテゴリの「検査値」は、加工後にはたとえば端数処理が行われ、分析用として影響がない範囲で目立たなくされたことが分かる。
また、加工中において各レコードに割り当てられた「仮ID」は、個人を特定する可能性を含むことから、最終的にはやはり削除されたことが分かる。このように、分類加工部13baは、カテゴリごとで予め設定された規則性に基づいて個人情報から個人が一意に特定されないようにデータを加工し、分析システム3側へ受け渡すこととなる。したがって、分析システム3が分類加工部13baから加工後のデータを受け取った際には、少なくとも明らかに個人を一意に特定する可能性のある項目は排除されている。
そのうえで、レアデータ削除部13bbは、上記したようにレアデータを削除する。たとえば、図7に示すように、レアデータ削除部13bbは、分類加工部13baから受け取った全データを母集団とする各データの正規分布をとり、かかる正規分布における標準偏差2σ以上に該当するデータ(図中のM1部参照)を削除する。
なお、かかる正規分布において標準偏差によって正規化される連続的な変数は、「傷病名」や「検査値」、「地域」、「処方薬」等、あらゆる要素を用いることができる。したがって、こうした要素の総当たりでそれぞれ正規分布をとり、正規分布ごとでレアデータに該当するデータを削除してよい。
このようなレアデータ削除を行うことにより、たとえば罹患者数が少ない傷病や、きわめて特異な検査値、局所的にある傷病が流行した地域、特殊な処方薬等によって個人が特定されてしまうリスクを軽減することができる。なお、図7の例では標準偏差2σ以上としたが、あくまで一例であって、レアデータを判定する基準を限定するものではない。
また、分断暗号化部13bcは、上記したように、カラム単位で構成された加工後のデータを任意のカラムのまとまりで分断し、分断されたまとまりごとで異なる暗号化処理を施す。
具体的には、分断暗号化部13bcは、図8に示すように、たとえば加工後のデータがカラムa~iの単位で構成されている場合に、匿名加工装置10を利用する管理者といったユーザの指示に基づき、一例としてカラムa,d,g、カラムb,e,hおよびカラムc,f,iのまとまりで分断する。そのうえで、分断暗号化部13bcは、分断されたカラムa,d,g、カラムb,e,hおよびカラムc,f,iのまとまりごとで、暗号化#1,#2,#3として示す異なる暗号化処理を施す。異なる暗号化処理は、たとえばAES(Advanced Encryption Standard)を用いたそれぞれ異なる複合キーによる暗号化処理である。
このような分断暗号化を行うことにより、データ通信時におけるデータ流出およびその悪用を防止することができる。
図3の説明に戻り、つづいて出力部13cについて説明する。出力部13cは、加工データDB12aに格納された加工後のデータを、通信インタフェース11を介して分析サーバ20へ出力する。
分析サーバ20は、通信インタフェース21と、記憶部22と、制御部23とを有する。なお、分析サーバ20は、匿名加工装置10と同様に、分析サーバ20を利用する管理者等から各種操作を受け付ける入力部や、各種情報を表示するための表示部を有してもよい。
通信インタフェース21は、通信インタフェース11と同様に、たとえばNIC(Network Interface Card)等によって実現される。通信インタフェース21は、セキュア環境内のネットワークを通じて匿名加工装置10と有線または無線で接続され、匿名加工装置10との間で情報の送受信を行う。また、通信インタフェース21は、ネットワークNと有線または無線で接続され、ネットワークNを介して、図示略のユーザ端末30との間で情報の送受信を行う。
記憶部22は、記憶部12と同様の記憶装置によって実現され、図2の例では、記憶部22は、学習モデル22aを記憶する。
制御部23は、制御部13と同様にコントローラであり、取得部23aと、生成部23bと、提供部23cとを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部23の内部構成は、図2に示した構成に限られず、後述する情報処理を行うことができる構成であれば他の構成であってもよい。また、制御部23が有する各処理部の接続関係は、図2に示した接続関係に限られず、他の接続関係であってもよい。
制御部23は、匿名加工装置10によって加工されたデータに基づく機械学習により学習モデル22aを生成し、生成された学習モデル22aをクラウドサービスとして提供する。
取得部23aは、匿名加工装置10から、ネットワークNを介して匿名加工後のデータを取得する。また、取得部23aは、取得した加工後のデータを生成部23bへ渡す。
生成部23bは、受け取った加工後のデータを用いて機械学習を実行し、学習モデル22aを生成する。また、生成部23bは、生成した学習モデル22aを記憶部22に記憶させる。
提供部23cは、生成部23bによって生成された学習モデル22aを、ネットワークNを介したクラウドサービスとして、図示略のユーザ端末30へ提供する。
次に、実施形態に係る情報提供システム1が実行する処理手順について図9を用いて説明する。図9は、実施形態に係る情報提供システム1が実行する処理手順を示すフローチャートである。
図9に示すように、匿名加工装置10の抽出部13aが、個人情報を含む医療ビッグデータを抽出する(ステップS101)。そして、匿名加工装置10の加工部13bが、抽出されたデータにつき、個人情報を所定のカテゴリに分類するとともに、カテゴリごとのルールに基づいて匿名加工を行う(ステップS102)。
つづいて、分析サーバ20の生成部23bが、匿名加工装置10によって加工されたデータに基づく機械学習により学習モデル22aを生成する(ステップS103)。そして、分析サーバ20の提供部23cが、生成された学習モデル22aをクラウドサービスとして提供し(ステップS104)、処理を終了する。
上述してきた実施形態に係る匿名加工装置10や分析サーバ20、ユーザ端末30は、たとえば図10に示すような構成のコンピュータ60によって実現される。以下、匿名加工装置10を例に挙げて説明する。図10は、匿名加工装置10の機能を実現するコンピュータの一例を示すハードウェア構成図である。コンピュータ60は、CPU(Central Processing Unit)61、RAM(Random Access Memory)62、ROM(Read Only Memory)63、HDD(Hard Disk Drive)64、通信インタフェース(I/F)65、入出力インタフェース(I/F)66、およびメディアインタフェース(I/F)67を備える。
CPU61は、ROM63またはHDD64に格納されたプログラムに基づいて動作し、各部の制御を行う。ROM63は、コンピュータ60の起動時にCPU61によって実行されるブートプログラムや、コンピュータ60のハードウェアに依存するプログラム等を格納する。
HDD64は、CPU61によって実行されるプログラムおよび当該プログラムによって使用されるデータ等を格納する。通信インタフェース65は、通信ネットワーク(たとえば分析システム3内のネットワークに対応)を介して他の機器からデータを受信してCPU61へ送り、CPU61が生成したデータを、通信ネットワークを介して他の機器へ送信する。
CPU61は、入出力インタフェース66を介して、ディスプレイやプリンタ等の出力装置、および、キーボードやマウス等の入力装置を制御する。CPU61は、入出力インタフェース66を介して、入力装置からデータを取得する。また、CPU61は、生成したデータを、入出力インタフェース66を介して出力装置へ出力する。
メディアインタフェース67は、記録媒体68に格納されたプログラムまたはデータを読み取り、RAM62を介してCPU61に提供する。CPU61は、当該プログラムを、メディアインタフェース67を介して記録媒体68からRAM62上にロードし、ロードしたプログラムを実行する。記録媒体68は、たとえばDVD(Digital Versatile Disc)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等である。
たとえば、コンピュータ60が実施形態に係る匿名加工装置10として機能する場合、コンピュータ60のCPU61は、RAM62上にロードされたプログラムを実行することにより、制御部13の各機能を実現する。また、HDD64には、記憶部12内のデータが記憶される。コンピュータ60のCPU61は、これらのプログラムを、記録媒体68から読み取って実行するが、他の例として、他の装置から、通信ネットワークを介してこれらのプログラムを取得してもよい。
上述してきたように、実施形態に係る情報提供システム1は、匿名加工装置10(「情報秘匿化装置」の一例に相当)を備える。匿名加工装置10は、抽出部13aと、加工部13bとを備える。抽出部13aは、個人情報を含むデータのデータ群を抽出する。加工部13bは、抽出されたデータの個人情報を所定のカテゴリに分類するとともに、かかるカテゴリごとで予め設定された規則性に基づいて個人情報から個人が一意に特定されないように上記データを加工する。
したがって、実施形態に係る匿名加工装置10によれば、個人の権利利益の保護を図りつつ、個人情報を有効に活用することを可能にすることができる。
(その他の実施形態)
上述した実施形態では、ビッグデータが医療ビッグデータである場合を例に挙げて説明したが、無論、実施形態の適用分野を限定するものではない。すなわち、個人情報を含むものであれば、種々の分野のビッグデータを利用することができる。
上述した実施形態では、ビッグデータが医療ビッグデータである場合を例に挙げて説明したが、無論、実施形態の適用分野を限定するものではない。すなわち、個人情報を含むものであれば、種々の分野のビッグデータを利用することができる。
また、上述した実施形態では、分析サーバ20が機械学習による分析を行うこととし、機械学習のアルゴリズムとしてディープラーニングを用いるものとしたが、用いるアルゴリズムを限定するものではない。したがって、SVM(Support Vector Machine)のようなパターン識別器を用いたサポートベクタ回帰等の回帰分析手法により機械学習を実行し、学習モデル22aを生成してもよい。また、ここで、パターン識別器はSVMに限らず、たとえばアダブースト(AdaBoost)などであってもよい。また、ランダムフォレストなどを用いてもよい。
また、上述した匿名加工装置10は、分類加工処理を行う第1加工装置と、レアデータ削除処理および分断暗号化処理を行う第2加工装置とが分離されてもよい。この場合、第1加工装置は、少なくとも分類加工部13baを有し、たとえば医療ビッグデータシステムに設けられる。第2加工装置は、少なくともレアデータ削除部13bbおよび分断暗号化部13bcを有し、分析システム3に設けられる。そして、上記の匿名加工装置10による処理は、第1加工装置と、第2加工装置との各装置を含む情報提供システム1によって実現される。
さらなる効果や変形例は、当業者によって容易に導き出すことができる。このため、本発明のより広範な態様は、以上のように表しかつ記述した特定の詳細および代表的な実施形態に限定されるものではない。したがって、添付の特許請求の範囲およびその均等物によって定義される総括的な発明の概念の精神または範囲から逸脱することなく、様々な変更が可能である。
1 情報提供システム
2 医療ビッグデータシステム
3 分析システム
10 匿名加工装置
11 通信インタフェース
12 記憶部
13 制御部
13a 抽出部
13b 加工部
13ba 分類加工部
13bb レアデータ削除部
13bc 分断暗号化部
13c 出力部
20 分析サーバ
21 通信インタフェース
22 記憶部
22a 学習モデル
23 制御部
23a 取得部
23b 生成部
23c 提供部
2 医療ビッグデータシステム
3 分析システム
10 匿名加工装置
11 通信インタフェース
12 記憶部
13 制御部
13a 抽出部
13b 加工部
13ba 分類加工部
13bb レアデータ削除部
13bc 分断暗号化部
13c 出力部
20 分析サーバ
21 通信インタフェース
22 記憶部
22a 学習モデル
23 制御部
23a 取得部
23b 生成部
23c 提供部
Claims (9)
- コンピュータが実行する情報秘匿化方法であって、
個人情報を含むデータのデータ群を抽出する抽出工程と、
前記個人情報を少なくとも個人の識別子を含む所定のカテゴリに分類するとともに、該カテゴリごとで予め設定された規則性に基づいて前記個人情報から前記個人が一意に特定されないように前記データを加工する加工工程と
を含み、
加工後の前記データは、カラム単位で構成されており、
前記加工工程は、
前記データから少なくとも前記識別子に分類される前記個人情報を削除する加工を行い、加工後の前記データを任意のカラムのまとまりで分断し、分断されたまとまりごとで異なる暗号化処理を施す
ことを特徴とする情報秘匿化方法。 - 前記加工工程は、
少なくとも前記個人情報を、前記識別子、前記個人の属性および前記個人に関する履歴に分類する
ことを特徴とする請求項1に記載の情報秘匿化方法。 - 前記加工工程は、
前記属性に分類される前記個人情報を、前記個人が一意に特定されない内容へ書き換えるか、または、削除する
ことを特徴とする請求項2に記載の情報秘匿化方法。 - 前記加工工程は、
前記履歴に分類される前記個人情報を、特異値を示さないように書き換えるか、または、削除する
ことを特徴とする請求項2または3に記載の情報秘匿化方法。 - 前記加工工程は、
前記データを、前記データ群を母集団とする統計学上の標本とした場合に、標本数が所定値以下である前記データを削除する
ことを特徴とする請求項1~4のいずれか一つに記載の情報秘匿化方法。 - 前記加工工程は、
前記データの正規分布における標準偏差2σ以上に該当する前記データを削除する
ことを特徴とする請求項5に記載の情報秘匿化方法。 - 個人情報を含むデータのデータ群を抽出する抽出手順と、
前記個人情報を少なくとも個人の識別子を含む所定のカテゴリに分類するとともに、該カテゴリごとで予め設定された規則性に基づいて前記個人情報から前記個人が一意に特定されないように前記データを加工する加工手順と
をコンピュータに実行させ、
加工後の前記データは、カラム単位で構成されており、
前記加工手順は、
前記データから少なくとも前記識別子に分類される前記個人情報を削除する加工を行い、加工後の前記データを任意のカラムのまとまりで分断し、分断されたまとまりごとで異なる暗号化処理を施す
ことを特徴とする情報秘匿化プログラム。 - 個人情報を含むデータのデータ群を抽出する抽出部と、
前記個人情報を少なくとも個人の識別子を含む所定のカテゴリに分類するとともに、該カテゴリごとで予め設定された規則性に基づいて前記個人情報から前記個人が一意に特定されないように前記データを加工する加工部と
を備え、
加工後の前記データは、カラム単位で構成されており、
前記加工部は、
前記データから少なくとも前記識別子に分類される前記個人情報を削除する加工を行い、加工後の前記データを任意のカラムのまとまりで分断し、分断されたまとまりごとで異なる暗号化処理を施す
ことを特徴とする情報秘匿化装置。 - 請求項8に記載の情報秘匿化装置と、
前記情報秘匿化装置と通信可能に接続されるサーバ装置と
を備え、
前記情報秘匿化装置は、
ビッグデータから前記データ群を抽出し、
前記サーバ装置は、
前記情報秘匿化装置によって加工された前記データに基づく機械学習により学習モデルを生成する生成部と、
前記生成部によって生成された前記学習モデルをクラウドサービスとして提供する提供部と
を備えることを特徴とする情報提供システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018159367A JP7154884B2 (ja) | 2018-08-28 | 2018-08-28 | 情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018159367A JP7154884B2 (ja) | 2018-08-28 | 2018-08-28 | 情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020035066A JP2020035066A (ja) | 2020-03-05 |
| JP7154884B2 true JP7154884B2 (ja) | 2022-10-18 |
Family
ID=69668117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018159367A Active JP7154884B2 (ja) | 2018-08-28 | 2018-08-28 | 情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7154884B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020195419A1 (ja) * | 2019-03-27 | 2020-10-01 | パナソニックIpマネジメント株式会社 | 情報処理システム、コンピュータシステム、情報処理方法、及び、プログラム |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005234866A (ja) | 2004-02-19 | 2005-09-02 | Nippon Telegr & Teleph Corp <Ntt> | プライバシ情報管理サーバ及び方法並びにプログラム |
| JP2013084027A (ja) | 2011-10-06 | 2013-05-09 | Kddi Corp | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム |
| JP2014026305A (ja) | 2012-07-24 | 2014-02-06 | Mitsubishi Electric Corp | データ処理装置及びデータベースシステム及びデータ処理方法及びプログラム |
| JP2015114871A (ja) | 2013-12-12 | 2015-06-22 | Kddi株式会社 | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム |
| WO2016002086A1 (ja) | 2014-07-04 | 2016-01-07 | 株式会社日立製作所 | 匿名化データ提供装置及び方法 |
| JP2016018379A (ja) | 2014-07-08 | 2016-02-01 | Kddi株式会社 | プライバシー保護装置、方法及びプログラム |
| US20160277435A1 (en) | 2015-03-18 | 2016-09-22 | Qualcomm Incorporated | Methods and Systems for Automated Anonymous Crowdsourcing of Characterized Device Behaviors |
-
2018
- 2018-08-28 JP JP2018159367A patent/JP7154884B2/ja active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005234866A (ja) | 2004-02-19 | 2005-09-02 | Nippon Telegr & Teleph Corp <Ntt> | プライバシ情報管理サーバ及び方法並びにプログラム |
| JP2013084027A (ja) | 2011-10-06 | 2013-05-09 | Kddi Corp | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム |
| JP2014026305A (ja) | 2012-07-24 | 2014-02-06 | Mitsubishi Electric Corp | データ処理装置及びデータベースシステム及びデータ処理方法及びプログラム |
| JP2015114871A (ja) | 2013-12-12 | 2015-06-22 | Kddi株式会社 | 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム |
| WO2016002086A1 (ja) | 2014-07-04 | 2016-01-07 | 株式会社日立製作所 | 匿名化データ提供装置及び方法 |
| JP2016018379A (ja) | 2014-07-08 | 2016-02-01 | Kddi株式会社 | プライバシー保護装置、方法及びプログラム |
| US20160277435A1 (en) | 2015-03-18 | 2016-09-22 | Qualcomm Incorporated | Methods and Systems for Automated Anonymous Crowdsourcing of Characterized Device Behaviors |
| JP2018513467A (ja) | 2015-03-18 | 2018-05-24 | クアルコム,インコーポレイテッド | 特性化されたデバイス挙動の自動化匿名クラウドソーシングのための方法およびシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020035066A (ja) | 2020-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11983298B2 (en) | Computer system and method of operating same for handling anonymous data | |
| EP3090524B1 (en) | Role-based anonymization | |
| EP3063691B1 (en) | Dynamic de-identification and anonymity | |
| US9866592B2 (en) | Policy enforcement system | |
| JP2020519210A (ja) | 非集中型システムで集中型プライバシー制御を実施するためのシステムや方法 | |
| US9977922B2 (en) | Multi-tier storage based on data anonymization | |
| US20160306999A1 (en) | Systems, methods, and computer-readable media for de-identifying information | |
| US10216940B2 (en) | Systems, methods, apparatuses, and computer program products for truncated, encrypted searching of encrypted identifiers | |
| US11741258B2 (en) | Dynamic data dissemination under declarative data subject constraints | |
| US20190180208A1 (en) | Computer-implemented system and method for implementing evidence-based practices for social resource planning, allocation and management | |
| Costa et al. | A fog and blockchain software architecture for a global scale vaccination strategy | |
| US10892042B2 (en) | Augmenting datasets using de-identified data and selected authorized records | |
| JP2017537405A (ja) | プライバシーファイアウォールを実装するシステム及び方法 | |
| JP7154884B2 (ja) | 情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システム | |
| CA3063035A1 (en) | Generating synthetic non-reversible electronic data records based on real-time electronic querying | |
| WO2022233236A1 (en) | Secure data analytics | |
| JP2020095518A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| Adamakis et al. | Visualizing the risks of de-anonymization in high-dimensional data | |
| JP2021019277A (ja) | 提供装置、提供方法および提供プログラム | |
| WO2013190810A1 (ja) | 情報処理装置、及び、情報匿名化方法 | |
| EA038077B1 (ru) | Способ и система маркировки действий пользователя для последующего анализа и накопления | |
| Rabbi et al. | A secure real time data processing framework for personally controlled electronic health record (PCEHR) system | |
| JP7323825B2 (ja) | データベースシステム、分散処理装置、データベース装置、分散処理方法、および、分散処理プログラム | |
| US20230317224A1 (en) | Patient specified health record on blockchain | |
| RU2693646C1 (ru) | Способ и система подбора предложений для пользователя на основании анализа его действий |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210604 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220328 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220405 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220530 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220927 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221005 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7154884 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |