JP7364595B2 - 分析クエリ応答システム、分析クエリ実行装置、分析クエリ検証装置、分析クエリ応答方法及びプログラム - Google Patents

分析クエリ応答システム、分析クエリ実行装置、分析クエリ検証装置、分析クエリ応答方法及びプログラム Download PDF

Info

Publication number
JP7364595B2
JP7364595B2 JP2020561513A JP2020561513A JP7364595B2 JP 7364595 B2 JP7364595 B2 JP 7364595B2 JP 2020561513 A JP2020561513 A JP 2020561513A JP 2020561513 A JP2020561513 A JP 2020561513A JP 7364595 B2 JP7364595 B2 JP 7364595B2
Authority
JP
Japan
Prior art keywords
query
analysis
verification
analytical
analytical query
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020561513A
Other languages
English (en)
Other versions
JPWO2020130082A1 (ja
Inventor
敦謙 市川
浩気 濱田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2020130082A1 publication Critical patent/JPWO2020130082A1/ja
Application granted granted Critical
Publication of JP7364595B2 publication Critical patent/JP7364595B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2452Query translation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Description

本発明は、データのプライバシを保護しながら分析を要求できる、プライバシ保護クエリ応答技術に関する。
近年、様々な情報の利活用に関心が集まっている。特に、個人に密接に関わる情報である個人データについては、商業、医療及び福祉などのあらゆる分野で利活用の需要が高まっている。
一方で、個人データを利活用する際には、個人データに含まれる機微な情報であるプライバシに対する十分な配慮が求められる。特に、複数の個人データから得られた統計値などの分析結果を他者へ開示、提供する場合には、開示される統計値から個人データを逆推定されないように適切なプライバシ保護加工を行う必要がある。
こうした、プライバシ保護とデータ開示を両立させる方法は、「プライバシ保護データ出版(privacy-preserving data publishing)」と総称される。
プライバシ保護データ出版のモデルの1つに「プライバシ保護クエリ応答」というものがある。これは複数の個人データを保存するデータベース装置と、個人データに対し分析を要求するユーザ装置とからなるモデルである。プライバシ保護クエリ応答においては、まず、ユーザ装置がデータベース装置中のデータに対して実施したい分析クエリを作成し、データベース装置へ送付する。この分析クエリは、例えば何らかのプログラミング言語によって記述される。
データベース装置は、送付された分析クエリを自身の持つデータに対して実行し、予め自身で定めていたプライバシ保護指標に則り、分析実行結果に対してプライバシ保護加工を行ってユーザへと返送する。
プライバシ保護クエリ応答を実現する既存の方法として、非特許文献1及び2の方法などが知られている。
F.McSherry,"Privacy integrated queries: An Extensible Platform for Privacy-Preserving Data Analysis", In Proceedings of the 35th SIGMOD International Conference on Management of Data (SIGMOD), 2009. J.Hou, X.-Y.Li, T.Jung, Y.Wang,and D.Zheng,"CASTLE: Enhancing the utility of inequality query auditing without denial threats", TIFS, 2018.
従来技術において実現されるプライバシ保護クエリ応答では、データベース装置側で実装、整備された定型の計算であるライブラリ関数の計算と、その組み合わせによって実現できる分析クエリのみが、クエリとして送付できる。
四則演算、等号比較などの基本計算の組み合わせで構成される分析クエリなどの、ライブラリ関数に依存しない自由な分析クエリをクエリとして送付可能になれば、より幅広くデータの利活用が可能となるはずである。
しかしながら、作成可能な分析クエリの自由度が上がるほど、データのプライバシ侵害を目的とする不正な分析クエリの作成も容易になり、それによりデータベース装置で適切なプライバシ保護加工を行うことが困難となってしまう可能性がある。
そのため、従来技術ではライブラリ関数とその組み合わせのみに自由度を絞ることでプライバシ侵害を防いでいた。
本発明の目的は、従来よりも自由な分析クエリへの応答を可能とする分析クエリ応答システム、分析クエリ実行装置、分析クエリ検証装置、分析クエリ応答方法及びプログラムを提供することである。
この発明の一態様による分析クエリ応答システムは、分析クエリを生成して送信する利用者端末と、分析クエリが所定のプライバシ保護指標を満たすか第一の検証を行う検証実行部を含む分析クエリ検証装置と、個人データが記憶されている個人データ記憶部、及び、第一の検証に成功した場合には、個人データ記憶部から読み込んだ個人データに対して分析クエリに対応する分析を行うことにより分析結果を取得し、取得した分析結果に対して所定のプライバシ保護加工を行う分析クエリ実行保護加工部を含む分析クエリ実行装置と、を含むデータベース装置と、を備えている。分析クエリには、分析計算を行う関数qについての情報が少なくとも含まれている。利用者端末は、所定のプライバシ保護指標及び所定のプログラム言語の下で分析クエリを生成し、分析クエリ実行保護加工部は、第一の検証に成功しなかった場合には、分析クエリを棄却し、利用者端末は、分析クエリが所定のプライバシ保護指標を満たすことについての証明に関する情報である証明情報を更に生成して送信し、検証実行部は、証明情報を用いて分析クエリが所定のプライバシ保護指標を満たすか第一の検証を行う。
分析クエリが所定のプライバシ保護指標を満たすか検証する検証機能をデータベース装置に付与することで、従来よりも自由な分析クエリへの応答が可能となる。
図1は、分析クエリ応答システムの機能構成の例を示す図である。 図2は、データベース装置の機能構成の例を示す図である。 図3は、分析クエリ応答方法の処理手続きの例を示す図である。
以下、本発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
分析クエリ応答システムは、例えば図1に示すように、複数の個人データを蓄積、保存するデータベース装置2と、データベース装置2に対し分析クエリを作成、送信するユーザ装置である利用者端末1とを備えている。後述するように、データベース装置2は、予め定めたプライバシ保護指標に従って、任意に作成された分析クエリに対するプライバシ保護クエリ応答を実現する。分析クエリ応答方法は、分析クエリ応答システムの構成部が、図3及び以下に説明するステップS1からS4の処理を行うことにより例えば実現される。
データベース装置2は、個人データを記憶する記憶機能と、受信した分析クエリがプライバシ保護指標を満たし得ることを検証する検証機能と、個人データに対して分析クエリを実施しプライバシ保護加工を行うプライバシ保護加工機能とを有する。記憶機能は、個人データ記憶部211によって実現される。検証機能は、検証実行部222によって実現される。プライバシ保護加工機能は、分析クエリ実行保護加工部214によって実現される。
分析クエリは、予めデータベース装置2が予め指定したプログラミング言語によって記述される。データベース装置2及び利用者端末1では、このプログラミング言語の実行環境が構築できるものとする。
後述する本実施形態においては、「プライバシ保護指標」と「プログラミング言語」として、それぞれ従来技術である「差分プライバシ」と「ACL2」(例えば、参考文献1参照。)を用いる。ただし、プログラミング言語についてはACL2と同等かそれ以上の性能の定理証明機能を有するプログラミング言語を用いてもよい。
〔参考文献1〕"User manual for the ACL2 Theorem Prover and the ACL2 Community Books",[online]、[平成30年12月13日検索]、インターネット〈URL:http://www.cs.utexas.edu/users/moore/acl2/v8-0/combined-manual/index.html〉
差分プライバシは、例えば参考文献2で提案されるプライバシ保護指標である。
〔参考文献2〕C.Dwork,"Differential privacy",In Proceedings of the International Colloquium on Automata, Languages and Programming (ICALP)(2), 112, 2006.
プライバシ保護指標の定義では、複数のデータの組Dと、その中の1つのデータだけが異なる組~Dと、パラメータεとに対して、分析計算qとプライバシ保護加工Mが不等式Pr[M(q(D))=x]≦eεPr[M(q(~D))=x]を満たすとき、分析計算qとプライバシ保護加工Mはε-差分プライバシを満たす、とされる。パラメータεは0に近い所定の数を表し、Prは確率を表し、eは自然対数を表す。
上記の不等式は、分析計算qに異なる2つのデータD,~Dを入力した値q(D),q(~D)がプライバシ保護加工Mを行うことにより高い確率で同じ値xとなることを示している。これは、言い換えれば、分析元のデータがD,~Dのどちらであるか分析結果からの推定が困難になるということである。
差分プライバシにおいては、分析計算qの「振る舞い」に依存して適切なプライバシ保護加工Mを定める従来技法が多く存在する。分析計算qの「振る舞い」は、差分プライバシの文脈では「感度」と呼ばれる。
特に、「大域感度」と呼ばれるパラメータδq及びラプラスノイズLapを用いるプライバシ保護加工M(q(D))=q(D)+Lap(δq/ε)がε-差分プライバシを満たすことが知られている。したがって、どんな分析計算qに対しても、qの大域感度δqが得られれば、プライバシ保護加工Mを構成することが可能となる。大域感度は、例えばδq=maxD,~D(|q(D)-q(~D)|)として得ることができる。この大域感度δqの意味は、「qへの入力データを高々1つだけ変更(D→~D)した場合に生じ得る差分の最大値」である。
ACL2は、Common Lispをベースとするプログラミング言語であり、形式手法、定理証明器の1つである。
ACL2は、Common Lispと同様、四則演算などの基本計算を組み合わせて任意の計算を行う関数を記述できる。また、ACL2により、関数が「ある性質を満たしていること」の証明を記述することができ、証明が正しいことを検証することが可能である。
本実施形態は、ACL2によって記述された分析クエリに対し、適切にプライバシを保護して分析結果を応答するものである。
本実施形態では、初めにデータベース装置2が許容できるプライバシ予算を表すパラメータεの初期値が利用者端末1ごとに個別に定められているとする。また、必要に応じて、利用者端末1へ提供するライブラリ関数群及びライブラリ定理群をデータベース装置2でACL2により記述しておいてもよい。
<利用者端末1>
利用者端末1は、分析クエリを生成して送信する(ステップS1)。
分析クエリには、分析計算を行う関数qについての情報が少なくとも含まれているとする。分析クエリは、所定のプライバシ保護指標及び所定のプログラム言語の下で生成される。
利用者端末1は、分析クエリが所定のプライバシ保護指標を満たすことについての証明に関する情報である証明情報を更に生成して送信してもよい。所定のプライバシ保護指標がε-差分プライバシである場合には、証明情報は、分析クエリに対応する分析計算の大域感度に関する証明情報であってもよい。証明情報の例は、関数qの大域感度が性質δq≦Δdを満たすことの証明についての情報である。証明情報は、所定のプログラム言語の1つであるACL2によって例えば記述される。
データベース装置2から提供されたライブラリ関数群及びライブラリ定理群がある場合には、分析クエリ及び証明情報はライブラリ関数群及びライブラリ定理群によって記述されてもよい。
更に、利用者端末1は、分析クエリによって消費するプライバシ量を更に送信してもよい。所定のプライバシ保護指標がε-差分プライバシである場合には、このプライバシ量は、例えばパラメータεqである。
なお、利用者端末1は、データベース装置上の実データD(及び~D等)を知らないため、大域感度δqを直接算出することはできない。そのため、D,~Dの代わりに、関数qの入力変数X=(x1,...,xn)と、変数dを用いてXの任意の位置i(1≦i≦n)を加工した入力変数~X=(x1,...,xi+d,...,xn)の2つを用いて性質を証明する。すなわち、任意のX,~Xについて|q(X)-q(~X)|≦Δdを満たすならば、(X,~X)=(D,~D)においても同様であることから、max(|q(D)-q(~D)|)≦Δdが成り立つ。ただし、このΔdは定数であっても、d,Xを入力変数とする関数であってもよい。
例えば関数qが線形結合q(X)=Σ1≦k≦nakxkである場合には、q(~X)=(Σ1≦k≦n,k≠iakxk)+ai(xi+d)=(Σ1≦k≦nakxk)+aidより、|q(X)-q(~X)|=|aid|≦|maxi(ai)・d|となり、dが実データの値域の幅と一致するときΔd=|maxi(ai)・d|はqの大域感度と一致する。ここで、a1,...,anは、所定の数である。したがって、利用者端末1は、変数X,~X及びdについて、「|q(X)-q(~X)|≦|maxi(ai)・d|であることを証明する。
例えば、このようにして、利用者端末1は、実際の個人データを知ることなく、データベース装置2にとって未知の分析クエリに対応する分析計算の大域感度に関する証明情報を生成することができる。
<データベース装置2>
データベース装置2は、図2に示すように、分析クエリ実行装置21及び分析クエリ検証装置22を例えば備えている。
分析クエリ実行装置21は、個人データ記憶部211、分析クエリ受信部212、検証要求部213、分析クエリ実行保護加工部214及び分析結果送信部215を備えている。
分析クエリ検証装置22は、分析クエリ受信部221、検証実行部222及び検証結果送信部223を備えている。
個人データ記憶部211には、個人データが記憶されている。個人データは、例えば、数値、文字列など、形式を問わない任意の情報の組み合わせにより構成される。
分析クエリ受信部212は、利用者端末1が送信した分析クエリを受信する。分析クエリ受信部212は、分析クエリを検証要求部213に出力する。
検証要求部213は、分析クエリ及びその分析クエリに対応する検証要求を、分析クエリ検証装置22の分析クエリ受信部221に出力する。また、検証要求部213は、分析クエリを分析クエリ実行保護加工部214に出力する。
分析クエリ受信部221は、分析クエリ及びその分析クエリに対応する検証要求を、検証実行部222に出力する。
検証実行部222は、分析クエリに対応する検証要求を受けて、分析クエリが所定のプライバシ保護指標を満たすか第一の検証を行う(ステップS2)。第一の検証の結果は、検証結果送信部223に出力される。
なお、利用者端末1が証明情報を出力した場合には、分析クエリと共に証明情報が、分析クエリ受信部212、検証要求部213及び分析クエリ受信部221を介して、検証要求部213に入力される。この場合、検証実行部222は、証明情報を用いて、分析クエリが所定のプライバシ保護指標を満たすか第一の検証を行ってもよい。証明情報を用いることにより、第一の検証をより容易に行うことができる。
例えば、検証実行部222は、分析クエリに対応する分析計算qの性質について、利用者端末1によって主張される証明が正しいことをACL2の実行によって検証する。
検証結果送信部223は、第一の検証の結果を分析クエリ実行保護加工部214に出力する。
分析クエリ実行保護加工部214は、第一の検証の結果に基づいて第一の検証に成功したかを判断し、第一の検証に成功しなかった場合には、分析クエリを棄却する。
一方、第一の検証に成功した場合には、分析クエリ実行保護加工部214は、個人データ記憶部から読み込んだ個人データに対して分析クエリに対応する分析を行うことにより分析結果を取得し、取得した分析結果に対して所定のプライバシ保護加工を行う(ステップS3)。
分析クエリ実行保護加工部214は、例えば、証明された分析計算qの性質から大域感度の上界を導出し、εq-差分プライバシを満たすようにノイズνを生成して、分析結果q(D)に加算することによりプライバシ保護加工を行う。この場合、プライバシ保護加工された分析結果は、q(D)+νとなる。ノイズνは上述のようにν=Lap(Δdq)として生成してもよいし、その他の方法でεq-差分プライバシを満たすよう生成してもよい。
なお、利用者端末1が分析クエリによって消費するプライバシ量を更に送信した場合には、分析クエリと共にプライバシ量が、分析クエリ受信部212及び検証要求部213を介して、分析クエリ実行保護加工部214に入力される。
この場合、分析クエリ実行保護加工部214は、利用者端末1の予め定められたプライバシ予算の残余が、プライバシ量を上回るか第二の検証を更に行い、第一の検証及び第二の検証に成功した場合には、個人データ記憶部211から読み込んだ個人データに対して分析クエリに対応する分析を行うことにより分析結果を取得し、取得した分析結果に対して所定のプライバシ保護加工を行ってもよい。
すなわち、例えば、分析クエリ実行保護加工部214は、第一の検証に成功した場合には、消費するプライバシ量を表すパラメータεqと、プライバシ予算を表すパラメータεとを比較し、εq≦εが成り立つときのみ分析クエリを実行してもよい。
なお、プライバシ予算を表すパラメータεは、プライバシ予算を表すパラメータεから消費するプライバシ量εqを差し引いた残余ε-εqによって更新、保存される。
分析クエリ実行保護加工部214によって生成された分析結果は、分析結果送信部215に出力される。
分析結果送信部215は、分析結果を利用者端末1に送信する(ステップS4)。
以上により、分析クエリを従来よりも自由に作成できるプライバシ保護クエリ応答データベース装置を実現できる。
[変形例]
以上、本発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、本発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、本発明に含まれることはいうまでもない。
実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
例えば、分析クエリ応答システムの構成部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。
[プログラム、記録媒体]
上記説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。更に、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、更に、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
1 利用者端末
2 データベース装置
21 分析クエリ実行装置
211 個人データ記憶部
212 分析クエリ受信部
213 検証要求部
214 分析クエリ実行保護加工部
215 分析結果送信部
22 分析クエリ検証装置
221 分析クエリ受信部
222 検証実行部
223 検証結果送信部

Claims (6)

  1. 分析クエリを生成して送信する利用者端末と、
    前記分析クエリが所定のプライバシ保護指標を満たすか第一の検証を行う検証実行部を含む分析クエリ検証装置と、個人データが記憶されている個人データ記憶部、及び、前記第一の検証に成功した場合には、前記個人データ記憶部から読み込んだ前記個人データに対して前記分析クエリに対応する分析を行うことにより分析結果を取得し、前記取得した分析結果に対して所定のプライバシ保護加工を行う分析クエリ実行保護加工部を含む分析クエリ実行装置と、を含むデータベース装置と、
    を含み、
    前記分析クエリには、分析計算を行う関数qについての情報が少なくとも含まれており、
    前記利用者端末は、所定のプライバシ保護指標及び所定のプログラム言語の下で前記分析クエリを生成し、
    前記分析クエリ実行保護加工部は、前記第一の検証に成功しなかった場合には、前記分析クエリを棄却し、
    前記利用者端末は、前記分析クエリが前記所定のプライバシ保護指標を満たすことについての証明に関する情報である証明情報を更に生成して送信
    前記検証実行部は、前記証明情報を用いて前記分析クエリが所定のプライバシ保護指標を満たすか第一の検証を行う、
    分析クエリ応答システム。
  2. 請求項の分析クエリ応答システムであって、
    前記所定のプライバシ保護指標は、ε-差分プライバシであり、
    前記証明情報は、前記分析クエリに対応する分析計算の大域感度に関する証明情報であり、
    前記利用者端末は、前記分析クエリによって消費するプライバシ量を更に送信し、
    前記分析クエリ実行保護加工部は、前記利用者端末の予め定められたプライバシ予算の残余が、前記プライバシ量を上回るか第二の検証を更に行い、前記第一の検証及び前記第二の検証に成功した場合には、前記個人データ記憶部から読み込んだ前記個人データに対して前記分析クエリに対応する分析を行うことにより分析結果を取得し、前記取得した分析結果に対して所定のプライバシ保護加工を行い、
    前記分析クエリ実行保護加工部は、前記第一の検証及び前記第二の検証の何れかに成功しなかった場合には、前記分析クエリを棄却する、
    分析クエリ応答システム。
  3. 請求項1又は2の分析クエリ応答システムの分析クエリ実行装置。
  4. 請求項1又は2の分析クエリ応答システムの前記分析クエリ検証装置であって、
    前記分析クエリ検証装置は、前記分析クエリを受信する分析クエリ受信部、及び、前記検証実行部による検証結果を前記分析クエリ実行装置に送信する検証結果送信部を更に含む、
    分析クエリ検証装置。
  5. 利用者端末が、分析クエリを生成して送信するステップと、
    データベース装置の検証実行部が、前記分析クエリが所定のプライバシ保護指標を満たすか第一の検証を行うステップと、
    データベース装置の分析クエリ実行保護加工部が、前記第一の検証に成功した場合には、個人データが記憶されている個人データ記憶部から読み込んだ前記個人データに対して前記分析クエリに対応する分析を行うことにより分析結果を取得し、前記取得した分析結果に対して所定のプライバシ保護加工を行うステップと、
    を含み、
    前記分析クエリには、分析計算を行う関数qについての情報が少なくとも含まれており
    前記利用者端末は、所定のプライバシ保護指標及び所定のプログラム言語の下で前記分析クエリを生成し、
    前記分析クエリ実行保護加工部は、前記第一の検証に成功しなかった場合には、前記分析クエリを棄却し、
    前記利用者端末は、前記分析クエリが前記所定のプライバシ保護指標を満たすことについての証明に関する情報である証明情報を更に生成して送信し、
    前記検証実行部は、前記証明情報を用いて前記分析クエリが所定のプライバシ保護指標を満たすか第一の検証を行う、
    分析クエリ応答方法。
  6. 請求項の分析クエリ実行装置又は請求項の分析クエリ検証装置の各部としてコンピュータを機能させるためのプログラム。
JP2020561513A 2018-12-20 2019-12-19 分析クエリ応答システム、分析クエリ実行装置、分析クエリ検証装置、分析クエリ応答方法及びプログラム Active JP7364595B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018238166 2018-12-20
JP2018238166 2018-12-20
PCT/JP2019/049849 WO2020130082A1 (ja) 2018-12-20 2019-12-19 分析クエリ応答システム、分析クエリ実行装置、分析クエリ検証装置、分析クエリ応答方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2020130082A1 JPWO2020130082A1 (ja) 2021-10-14
JP7364595B2 true JP7364595B2 (ja) 2023-10-18

Family

ID=71100817

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020561513A Active JP7364595B2 (ja) 2018-12-20 2019-12-19 分析クエリ応答システム、分析クエリ実行装置、分析クエリ検証装置、分析クエリ応答方法及びプログラム

Country Status (6)

Country Link
US (1) US20220058290A1 (ja)
EP (1) EP3901808B1 (ja)
JP (1) JP7364595B2 (ja)
CN (1) CN113228022B (ja)
AU (1) AU2019407410B2 (ja)
WO (1) WO2020130082A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2023058247A1 (ja) * 2021-10-08 2023-04-13

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014038524A (ja) 2012-08-17 2014-02-27 Nippon Telegr & Teleph Corp <Ntt> 情報収集システム
JP2016012074A (ja) 2014-06-30 2016-01-21 株式会社Nttドコモ プライバシー保護装置、プライバシー保護方法及びデータベース作成方法
WO2016203752A1 (ja) 2015-06-15 2016-12-22 日本電気株式会社 情報処理装置、情報処理方法、及び、記憶媒体
JP2018165951A (ja) 2017-03-28 2018-10-25 株式会社Kddi総合研究所 セキュリティゲートウェイ装置、方法、及びプログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10231077B2 (en) * 2007-07-03 2019-03-12 Eingot Llc Records access and management
US9928379B1 (en) * 2008-09-08 2018-03-27 Steven Miles Hoffer Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor
US8661047B2 (en) * 2010-05-17 2014-02-25 Microsoft Corporation Geometric mechanism for privacy-preserving answers
US20150286827A1 (en) * 2012-12-03 2015-10-08 Nadia Fawaz Method and apparatus for nearly optimal private convolution
CN104135362B (zh) * 2014-07-21 2017-06-16 南京大学 一种基于差分隐私发布的数据的可用性计算方法
US10681088B2 (en) * 2015-09-30 2020-06-09 International Business Machines Corporation Data security system
US20170124152A1 (en) * 2015-11-02 2017-05-04 LeapYear Technologies, Inc. Differentially private processing and database storage
SG11201809476VA (en) * 2016-04-29 2018-11-29 Privitar Ltd Computer-implemented privacy engineering system and method
US11194864B2 (en) * 2016-05-10 2021-12-07 Aircloak Gmbh Systems and methods for anonymized statistical database queries
CN106529327B9 (zh) * 2016-10-08 2023-02-03 西安电子科技大学 混合云环境下面向加密数据库的数据存取系统及方法
CN108537055B (zh) * 2018-03-06 2022-04-05 南京邮电大学 一种数据查询隐私保护的隐私预算分配和数据发布方法及其系统
CN109977324B (zh) * 2019-03-28 2022-09-16 南京邮电大学 一种兴趣点挖掘方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014038524A (ja) 2012-08-17 2014-02-27 Nippon Telegr & Teleph Corp <Ntt> 情報収集システム
JP2016012074A (ja) 2014-06-30 2016-01-21 株式会社Nttドコモ プライバシー保護装置、プライバシー保護方法及びデータベース作成方法
WO2016203752A1 (ja) 2015-06-15 2016-12-22 日本電気株式会社 情報処理装置、情報処理方法、及び、記憶媒体
JP2018165951A (ja) 2017-03-28 2018-10-25 株式会社Kddi総合研究所 セキュリティゲートウェイ装置、方法、及びプログラム

Also Published As

Publication number Publication date
AU2019407410A1 (en) 2021-06-10
AU2019407410B2 (en) 2022-09-01
EP3901808B1 (en) 2023-10-11
WO2020130082A1 (ja) 2020-06-25
CN113228022B (zh) 2024-01-26
EP3901808A1 (en) 2021-10-27
JPWO2020130082A1 (ja) 2021-10-14
CN113228022A (zh) 2021-08-06
EP3901808A4 (en) 2022-09-14
US20220058290A1 (en) 2022-02-24

Similar Documents

Publication Publication Date Title
US11468186B2 (en) Data protection via aggregation-based obfuscation
JP7064576B2 (ja) 非集中型システムで集中型プライバシー制御を実施するためのシステムや方法
Ping et al. Datasynthesizer: Privacy-preserving synthetic datasets
US10572684B2 (en) Systems and methods for enforcing centralized privacy controls in de-centralized systems
KR102430649B1 (ko) 익명화를 위해 속성들을 자동으로 식별하기 위한 컴퓨터 구현 시스템 및 방법
US10404757B1 (en) Privacy enforcement in the storage and access of data in computer systems
JP5690935B2 (ja) セキュアなエージェント情報のためのシステム及び方法
US20200160319A1 (en) Entity-sovereign data wallets using distributed ledger technology
US20060041421A1 (en) Method and system for processing grammar-based legality expressions
US20170277907A1 (en) Abstracted Graphs from Social Relationship Graph
Bonatti et al. A rule-based trust negotiation system
US20170262653A1 (en) Abstracted Graphs from Social Relationship Graph
Siva Kumar et al. Efficient sensitivity orient blockchain encryption for improved data security in cloud
WO2019232393A1 (en) Tracking provenance of digital data
US20190171848A1 (en) Distributed data management and verification
JP7364595B2 (ja) 分析クエリ応答システム、分析クエリ実行装置、分析クエリ検証装置、分析クエリ応答方法及びプログラム
Garrido et al. Lessons learned: Surveying the practicality of differential privacy in the industry
Meis et al. Understanding the privacy goal intervenability
Ramsay The General Data ProtectionRegulation vs. The Blockchain: A legal study on the compatibility between blockchain technology and the GDPR
Peyrone et al. A formal model for blockchain-based consent management in data sharing
Asim et al. An interoperable security framework for connected healthcare
US12032712B2 (en) Data protection via aggregation-based obfuscation
Koussouris et al. Technical Components
Squicciarini et al. Policy driven node selection in MapReduce
WO2023056547A1 (en) Data governance system and method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210519

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220628

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220825

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20221206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230127

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20230127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20230127

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20230216

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20230221

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20230317

C211 Notice of termination of reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C211

Effective date: 20230322

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231005

R150 Certificate of patent or registration of utility model

Ref document number: 7364595

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150