JP7380183B2 - Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program - Google Patents
Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program Download PDFInfo
- Publication number
- JP7380183B2 JP7380183B2 JP2019231235A JP2019231235A JP7380183B2 JP 7380183 B2 JP7380183 B2 JP 7380183B2 JP 2019231235 A JP2019231235 A JP 2019231235A JP 2019231235 A JP2019231235 A JP 2019231235A JP 7380183 B2 JP7380183 B2 JP 7380183B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- anonymously processed
- anonymity
- anonymously
- processed information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 61
- 230000002265 prevention Effects 0.000 title claims description 53
- 238000012545 processing Methods 0.000 claims description 257
- 238000012790 confirmation Methods 0.000 claims description 67
- 230000006866 deterioration Effects 0.000 claims description 38
- 238000007689 inspection Methods 0.000 claims description 24
- 230000006870 function Effects 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 5
- 238000007781 pre-processing Methods 0.000 description 25
- 238000005516 engineering process Methods 0.000 description 10
- 238000011160 research Methods 0.000 description 6
- 238000003672 processing method Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000015556 catabolic process Effects 0.000 description 3
- 238000006731 degradation reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000011157 data evaluation Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 210000002784 stomach Anatomy 0.000 description 1
Images
Description
本発明は、匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムに関し、特に、情報の匿名化を図る際の匿名加工技術として、複数の匿名加工情報を組み合わせる突合時において匿名性の劣化が生じた情報の出力を防止することを可能にする匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムに関する。 The present invention relates to an anonymity deterioration information output prevention device, an anonymity deterioration information output prevention method, and an anonymity deterioration information output prevention program. The present invention relates to an anonymity-degraded information output prevention device, an anonymity-degraded information output prevention method, and an anonymity-degraded information output prevention program that make it possible to prevent the output of information whose anonymity has deteriorated during matching.
一般的に、個人情報や企業内で取り扱う情報を企業間で共有し、情報を結合・分析することは、社会的な価値を新たに創出することができるものとして大いに期待されている。 In general, sharing personal information and information handled within a company between companies, and combining and analyzing the information is highly expected to create new social value.
しかしながら、プライバシ保護の観点から、保護対象の個人や企業の同意がない状態では、個人情報や企業情報の第三者への提供は禁止されている場合が多い。また、企業自体においても、競争力の源泉となる情報を競合相手に開示することを嫌う傾向にある。 However, from the perspective of privacy protection, provision of personal information or corporate information to third parties is often prohibited without the consent of the individual or company to be protected. Furthermore, companies themselves tend to dislike disclosing information that is the source of their competitiveness to competitors.
かくのごとき社会の要請に着目した技術として、情報の自由な流通・利活用を促進することを目的とした匿名加工技術がある。本願でいうところの匿名加工技術は、例えば特許文献1の特開2019-95885号公報「匿名化データ評価システムおよび方法、並びに匿名レベル判定サーバ」等に記載されているような匿名化技術を適用するものである。この匿名加工技術は、対象とする情報自体の加工を行い、対象の人物等の属性を知ろうとする閲覧者に対して、センシティブ情報を隠すことにより、匿名性を有する匿名加工情報として提供することを可能にするものである。この匿名加工技術を採用することにより、例えば消費者の購買記録や行動履歴、災害時の動線など、従来の統計情報においては得ることができなかった情報が得られるようになり、情報のより詳細な分析が可能になる。
As a technology that focuses on such social needs, there is an anonymous processing technology that aims to promote the free distribution and utilization of information. The anonymization technology referred to in this application applies, for example, an anonymization technology described in
つまり、このような匿名加工技術を用いることにより、データ提供元企業において、該データ提供元企業などが自ら収集した個人情報や企業情報における無加工の個人情報や企業情報(無加工情報)について統計処理・匿名化を行い、匿名性を有する統計情報・匿名加工情報を得て、これら匿名性を有する統計情報・匿名加工情報を第三者の企業等へ提供することが可能になる。 In other words, by using such anonymous processing technology, data provider companies can collect statistics on unprocessed personal information and corporate information (unprocessed information) collected by the data provider companies, etc. It becomes possible to process and anonymize information, obtain anonymous statistical information and anonymously processed information, and provide this anonymous statistical information and anonymously processed information to third-party companies.
しかしながら、本発明に関連する前記特許文献1等の現状の匿名加工技術に関しては、以下のような解決するべき課題がある。
However, with regard to the current anonymous processing technology such as the above-mentioned
複数のデータ提供元企業が匿名加工情報を提供する場合、複数のデータ提供元企業それぞれが提供する匿名加工情報を、第三者企業が集めて突合することは、各データ提供元企業が実施した匿名化処理が無意味となって、個人情報や企業情報の元情報が再特定されてしまう危険性があるため、原則禁止とされている。 When multiple data provider companies provide anonymously processed information, third-party companies must collect and collate the anonymously processed information provided by each of the multiple data provider companies. In principle, it is prohibited because anonymization processing becomes meaningless and there is a risk that the original personal information or corporate information may be re-identified.
また、複数のデータ提供元企業それぞれが、提供された情報に関して突合した分析を行う民間企業と委託契約を結び、データ提供元企業自身が保有する個人情報や企業情報を該民間企業へ提供すること、および、該民間企業が、提供された個人情報や企業情報を突合して、統計情報・匿名加工情報として、他の企業へ提供することも原則禁止とされている。 Additionally, each of the multiple data provider companies may enter into a contract with a private company that performs a combined analysis of the provided information, and provide personal information and corporate information held by the data provider company to the private company. In principle, it is also prohibited for private companies to collate the provided personal information and corporate information and provide it to other companies as statistical information or anonymously processed information.
かくのごとき事情から、社会的な価値を新たに創出することができるマーケット情報などの有効な情報を含む複数の匿名加工情報の突合を実施することができず、価値ある情報の流通を阻害する要因となっている。 Due to these circumstances, it is not possible to collate multiple pieces of anonymously processed information, including valid information such as market information that can create new social value, and this obstructs the distribution of valuable information. This is a contributing factor.
言い換えると、匿名化技術に関し、組織間におけるデータ結合分析への対応が困難であるため、マーケット情報などの有益な情報を含む複数の匿名加工情報の突合を実施することができず、価値ある情報の流通を阻害する要因となっている。 In other words, with regard to anonymization technology, it is difficult to handle data joint analysis between organizations, so it is not possible to compare multiple pieces of anonymously processed information, including useful information such as market information, and it is not possible to collect valuable information. This is a factor that hinders the distribution of
(本発明の目的)
本発明の目的は、かかる事情に鑑み、複数のデータ提供元企業が保有する匿名加工情報を突合した情報を出力する際に、匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止し、第三者へ匿名加工前の元の情報を漏洩させること無く、安全に、各データ提供元企業が提供する匿名加工情報を突合させることを可能にする匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムを提供することにある。
(Objective of the present invention)
In view of such circumstances, it is an object of the present invention to ensure that, when outputting information obtained by comparing anonymously processed information held by multiple data provider companies, information whose anonymity has deteriorated is output as compared anonymously processed information. Anonymity-degraded information output prevention device that enables securely collating anonymously processed information provided by each data provider company without leaking the original information before anonymous processing to a third party. An object of the present invention is to provide a method for preventing the output of information with degraded anonymity and a program for preventing the output of information with degraded anonymity.
前述の課題を解決するため、本発明による匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムは、主に、次のような特徴的な構成を採用している。 In order to solve the above-mentioned problems, the anonymity deterioration information output prevention device, the anonymity deterioration information output prevention method, and the anonymity deterioration information output prevention program according to the present invention mainly adopt the following characteristic configuration. ing.
(1)本発明による匿名加工劣化情報出力防止装置は、
突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行う機能と、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能と、を有する匿名性劣化情報出力防止装置であって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合部と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査部と、
を有していることを特徴とする。
(1) The anonymous processing deterioration information output prevention device according to the present invention includes:
Anonymously processed information of each data provider company to be compared, unprocessed information that is the original information before anonymous processing of the anonymously processed information, and processing policy information for anonymously processing the unprocessed information into the anonymously processed information Anonymity deteriorates when comparing the anonymously processed information obtained from each of the anonymously processed data stores of each data provider company. An anonymity deterioration information output prevention device having a function of preventing information from being output as verified anonymously processed information,
a secure memory area section that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by a third party;
an anonymously processed information matching unit that operates in the secure memory area unit, matches anonymously processed information of each of the data provider companies to be matched, and generates matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. An anonymously processed information inspection department that confirms whether the anonymity of anonymously processed information is guaranteed;
It is characterized by having the following.
(2)本発明による匿名性劣化情報出力防止方法は、
突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行うステップと、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止するステップと、を有する匿名性劣化情報出力防止方法であって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合ステップと、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査ステップと、
を有していることを特徴とする。
(2) The method for preventing the output of anonymity-deteriorating information according to the present invention is as follows:
Anonymously processed information of each data provider company to be compared, unprocessed information that is the original information before anonymous processing of the anonymously processed information, and processing policy information for anonymously processing the unprocessed information into the anonymously processed information Anonymity deteriorates during the step of communicating with the anonymously processed data store that stores the data, and when the anonymously processed information obtained from each of the anonymously processed data stores of each data provider company is combined. A method for preventing the output of information with degraded anonymity, the method comprising: preventing information from being output as verified anonymously processed information;
Anonymously processed information of each data provider company that operates in a secure memory area that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by third parties, and is subject to verification. an anonymously processed information matching step of comparing the information to generate matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. an anonymously processed information inspection step for confirming whether the anonymity of the anonymously processed information is guaranteed;
It is characterized by having the following.
(3)本発明による匿名性劣化情報出力防止プログラムは、
コンピュータにより実行されるプログラムとして、突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行う工程と、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する工程と、を有する匿名性劣化情報出力防止プログラムであって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合工程と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査工程と、
を有していることを特徴とする。
(3) The anonymity deterioration information output prevention program according to the present invention is
As a program executed by a computer, the anonymously processed information of each data provider company to be compared, the unprocessed information that is the original information before anonymous processing of the anonymously processed information, and the unprocessed information are converted into the anonymously processed information. A step of communicating with an anonymously processed data store that stores processing policy information for anonymous processing is combined with the anonymously processed information obtained from each of the anonymously processed data stores of each data provider company. A program for preventing the output of information with deteriorated anonymity, the program comprising: preventing information whose anonymity has deteriorated during verification from being output as verified anonymously processed information;
Anonymously processed information of each data provider company that operates in a secure memory area that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by third parties, and is subject to verification. an anonymously processed information matching step of comparing the information to generate matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. an anonymously processed information inspection step to confirm whether the anonymity of the anonymously processed information is guaranteed;
It is characterized by having the following.
本発明の匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムによれば、主に、以下のような効果を奏することができる。 According to the anonymity deterioration information output prevention device, the anonymity deterioration information output prevention method, and the anonymity deterioration information output prevention program of the present invention, the following effects can be achieved mainly.
すなわち、複数のデータ提供元企業が保有する匿名加工情報を突合して突合済み匿名加工情報を生成する際に、該突合済み匿名加工情報の匿名性を担保し、かつ、突合対象とする各データ提供元企業の匿名化の加工方針を満たした状態で、安全性が高い情報として生成されたか否かを確認することが可能であるので、匿名性を有することが十分に担保された状態の突合済み匿名加工情報を外部システムに対して提供することが可能である。 In other words, when comparing anonymously processed information held by multiple data provider companies to generate matched anonymously processed information, the anonymity of the matched anonymously processed information is guaranteed, and each data provision to be compared is It is possible to check whether the information was generated as highly secure information while satisfying the original company's anonymization processing policy, so it has been verified that anonymity is sufficiently guaranteed. It is possible to provide anonymously processed information to external systems.
以下、本発明による匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムの好適な実施形態について添付図を参照して説明する。なお、以下の説明においては、本発明による匿名性劣化情報出力防止装置および匿名性劣化情報出力防止方法について説明するが、かかる匿名性劣化情報出力防止方法をコンピュータにより実行可能な匿名性劣化情報出力防止プログラムとして実施するようにしても良いし、あるいは、匿名性劣化情報出力防止プログラムをコンピュータにより読み取り可能な記録媒体に記録するようにしても良いことは言うまでもない。また、以下の各図面に付した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではないことも言うまでもない。 Hereinafter, preferred embodiments of an anonymity-degraded information output prevention device, an anonymity-degraded information output prevention method, and an anonymity-degraded information output prevention program according to the present invention will be described with reference to the accompanying drawings. In the following explanation, an anonymity-degraded information output prevention device and an anonymity-degraded information output prevention method according to the present invention will be explained. It goes without saying that the program may be implemented as a prevention program, or the anonymity deterioration information output prevention program may be recorded on a computer-readable recording medium. In addition, the drawing reference numerals attached to the following drawings are added to each element for convenience as an example to aid understanding, and it goes without saying that the present invention is not intended to be limited to the embodiments shown in the figures. stomach.
(本発明の特徴)
本発明の実施形態の説明に先立って、本発明の特徴についてその概要をまず説明する。本発明は、複数のデータ提供元企業それぞれが保有する匿名加工情報を突合する際に匿名加工レベルが劣化する可能性があるので、匿名加工レベルが劣化した状態になった場合には突合済み匿名加工情報(複数の匿名加工情報を突合して生成した匿名加工情報)の外部システムへの流出を未然に防止し、外部システムに対しては、匿名加工レベルが劣化していない安全性が高い状態の突合済み匿名加工情報を確実に提供する仕組みを有していることを主要な特徴としている。
(Features of the present invention)
Prior to describing the embodiments of the present invention, an overview of the features of the present invention will be first explained. Since the level of anonymous processing may deteriorate when comparing the anonymously processed information held by multiple data provider companies, the present invention is designed to prevent We prevent the leakage of processed information (anonymously processed information generated by collating multiple pieces of anonymously processed information) to external systems, and provide information to external systems in a highly secure state where the level of anonymous processing has not deteriorated. Its main feature is that it has a mechanism to reliably provide verified anonymously processed information.
さらに詳しく説明すると、本発明の主要な特徴は次の通りである。 More specifically, the main features of the present invention are as follows.
本発明に係る匿名性劣化情報出力防止装置は、複数のデータ提供元企業それぞれが保有する匿名加工データストアに格納されているそれぞれの匿名加工情報を取得して、取得した複数のデータ提供元企業それぞれの匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能を有する装置であって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部と、
前記セキュアメモリ領域部にて動作し、複数のデータ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合部と、
前記セキュアメモリ領域部にて動作し、複数のデータ提供元企業それぞれにおいて適用されている加工前情報を匿名加工するための加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査部と、
を有している。
Anonymity deterioration information output prevention device according to the present invention acquires anonymously processed information stored in an anonymously processed data store owned by each of a plurality of data provider companies, and A device having a function of preventing information whose anonymity has deteriorated from being output as matched anonymously processed information when comparing each anonymously processed information,
a secure memory area section that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by a third party;
an anonymously processed information collation unit that operates in the secure memory area unit, collates anonymously processed information of a plurality of data provider companies, and generates collated anonymously processed information;
The anonymity of the matched anonymously processed information that operates in the secure memory area and is generated by taking into consideration the processing policy information for anonymously processing unprocessed information applied by each of the multiple data provider companies. An anonymously processed information inspection department that confirms whether the information is secured;
have.
ここで、突合済み匿名加工情報の匿名性が担保されているか否かを検査する前記匿名加工情報検査部は、内部に、
突合対象とする各データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業の前記匿名加工情報それぞれの匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認部と、
突合対象とする各データ提供元企業それぞれの前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認部と、
前記匿名性確認部と前記加工方針確認部との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理部と、
を有している。
Here, the anonymously processed information inspection unit that inspects whether or not the anonymity of the verified anonymously processed information is ensured internally,
With reference to the anonymously processed information of each data provider company to be matched, it is determined whether the matched anonymously processed information has a level of anonymity higher than the level of anonymity of each of the anonymously processed information of each data provider company to be matched. an anonymity confirmation unit that confirms whether or not anonymity exists;
By referring to the processing policy information and the unprocessed information of each data provider company to be matched, the matched anonymously processed information is determined based on the anonymization processing policy of each data provider company to be matched. A processing policy confirmation department that confirms whether the requirements are met;
a matching result processing unit that performs a process of outputting or discarding the matched anonymously processed information to an external system based on the confirmation results of the anonymity confirmation unit and the processing policy confirmation unit;
have.
そして、前記突合結果処理部は、
前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の前記匿名加工情報それぞれの匿名性のレベル以上であることが確認された場合であって、
かつ、
前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業の匿名化の加工方針を満たしていることが確認された場合には、
前記突合済み匿名加工情報を外部システムへ出力する処理を行う。
Then, the matching result processing unit
As a result of the confirmation by the anonymity confirmation unit, it is confirmed that the level of anonymity of the matched anonymously processed information is equal to or higher than the level of anonymity of each of the anonymously processed information of each data provider company to be matched. In the case that
and,
If it is confirmed as a confirmation result by the processing policy confirmation unit that the matched anonymously processed information satisfies the anonymization processing policy of each data provider company to be matched,
A process is performed to output the verified anonymously processed information to an external system.
一方、前記突合結果処理部は、
前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の前記匿名加工情報のいずれか1ないし複数における匿名性のレベル未満になっていることが確認された場合か、
あるいは、
前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、
前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う。
On the other hand, the matching result processing unit
As a result of the confirmation by the anonymity confirmation unit, the level of anonymity of the matched anonymously processed information is lower than the level of anonymity of one or more of the anonymously processed information of each data provider company to be matched. If it is confirmed that
or,
When it is confirmed that the verified anonymously processed information does not satisfy the anonymization processing policy of one or more of the data provider companies to be verified as a result of the verification by the processing policy confirmation department. teeth,
The verified anonymously processed information is deleted and processing is performed so as not to output it to an external system.
(本発明の実施形態の構成例)
次に、本発明に係る匿名性劣化情報出力防止装置の実施形態について、図1を参照しながら詳細に説明する。図1は、本発明に係る匿名性劣化情報出力防止装置の内部構成の一例を示すブロック構成図であり、該匿名性劣化情報出力防止装置に対して、突合対象となる複数の匿名加工情報それぞれを提供する複数のデータ提供元企業(A社、B社、C社)それぞれが所有する匿名加工データストアも含めて、その一例を示している。
(Configuration example of embodiment of the present invention)
Next, an embodiment of an anonymity deterioration information output prevention device according to the present invention will be described in detail with reference to FIG. FIG. 1 is a block diagram showing an example of the internal configuration of an anonymity-degraded information output prevention device according to the present invention. An example of this is shown, including anonymously processed data stores owned by multiple data provider companies (Company A, Company B, and Company C).
図1に示す匿名性劣化情報出力防止装置300は、各企業が提供する複数の匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能を有する装置であり、突合対象とする各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報を保存している匿名加工データストアとの間で通信を行う機能を有する装置である。すなわち、匿名性劣化情報出力防止装置300に対して複数の匿名加工データストアを通信可能な状態で接続することにより、各データ提供元企業(A社、B社、C社)それぞれが提供する匿名加工情報の組合せによる匿名性の劣化を防止することが可能な匿名加工情報の突合システムとして構築することができる。
The anonymity degraded information
なお、匿名加工データストアは、匿名加工情報を提供する各データ提供元企業(A社、B社、C社)ごとに配置されていて、図1には、匿名性劣化情報出力防止装置300と通信を行う複数の匿名加工データストアとして、A社の匿名加工データストア10、B社の匿名加工データストア11、C社の匿名加工データストア12が匿名性劣化情報出力防止装置300に接続されている例を示している。しかし、接続する匿名加工データストアの台数に関しては、かかる場合に限るものではなく、増減しても勿論構わない。
The anonymously processed data store is located for each data provider company (Company A, Company B, Company C) that provides anonymously processed information, and FIG. 1 shows anonymity degradation information
ここで、A社の匿名加工データストア10、B社の匿名加工データストア11、C社の匿名加工データストア12それぞれには、それぞれの匿名加工情報を格納している匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120のそれぞれを有している他に、A社、B社、C社それぞれにおいて匿名加工を施す前の元情報である加工前情報を格納している加工前情報DB101、加工前情報DB111、加工前情報DB121のそれぞれを有し、さらに、A社、B社、C社それぞれにおいて加工前情報を匿名加工して匿名加工情報を生成するための加工方針情報を登録している加工方針情報DB102、加工方針情報DB112、加工方針情報DB122のそれぞれも有している。
Here, the anonymously processed
なお、A社、B社、C社それぞれの加工方針情報DB102、加工方針情報DB112、加工方針情報DB122それぞれの加工方針情報に関しては、場合によっては、匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120それぞれの中に含む形で構成するようにしても良いが、ここでは、説明を簡素化するために、それぞれの加工方針情報DB102、加工方針情報DB112、加工方針情報DB122を、匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120とは独立に設置している場合について説明する。
Regarding the processing policy information of the processing
また、図1に示す匿名性劣化情報出力防止装置300は、内部に、セキュアメモリ領域部310を有している。セキュアメモリ領域部310は、ソフトウェアレベルだけでなく、ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供する。
Further, the anonymity deterioration information
つまり、セキュアメモリ領域部310は、匿名性劣化情報出力防止装置300内において、ソフトウェアだけではなくハードウェアによるサポートによって、アプリケーションの安全な実行環境を実現するための技術仕様(TEE:Trusted Execution Environment)を用いて、第三者によって傍受されることのないセキュアなメモリ空間を構築している。ここで、該セキュアメモリ領域部310は、既存のTSM(Trust Service Management)やSGX(Software Guard Extensions)、Trust Zoneといった技術を用いて、セキュアなメモリ空間を構築するようにしても良い。
In other words, the secure
そして、セキュアメモリ領域部310の内部において動作する処理部として、匿名加工情報突合部311と匿名加工情報検査部312とを有している。
The secure
匿名加工情報突合部311は、セキュアメモリ領域部310内において動作し、複数のデータ提供元企業の匿名加工情報DB(図1の場合は、匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120)のそれぞれから突合すべき匿名加工情報を取得して突合し、突合した匿名加工情報を、突合済み匿名加工情報として、匿名加工情報検査部312に対して出力する。
The anonymously processed
つまり、匿名加工情報突合部311は、セキュアメモリ領域部310において動作し、複数のデータ提供元企業の匿名加工情報(図1の場合は、A社の匿名加工データストア10の匿名加工情報DB100から提供される匿名加工情報、B社の匿名加工データストア11の匿名加工情報DB110から提供される匿名加工情報、C社の匿名加工データストア12の匿名加工情報DB120から提供される匿名加工情報)を突合し、突合済み匿名加工情報を生成する匿名加工情報生成手段である。
That is, the anonymously processed
ここで、複数の匿名加工情報を突合する動作は、前記匿名加工情報の各レコードそれぞれを構成する各項目(各欄:各カラム)を確認して、各項目(各欄:各カラム)のうち、突合対象の複数の前記匿名加工情報のレコードそれぞれに共通する各項目(各欄:各カラム)に同一の情報を有しているレコード同士を突合する。 Here, the operation of comparing multiple pieces of anonymously processed information is to check each item (each column: each column) constituting each record of the anonymously processed information, and select one of each item (each column: each column). , records having the same information in each item (each column) common to each of the plurality of anonymously processed information records to be matched are compared.
また、匿名加工情報検査部312は、匿名加工情報突合部311と同様に、セキュアメモリ領域部310内において動作し、匿名加工情報突合部311から前記突合済み匿名加工情報を受け取ると、突合対象の複数のデータ提供元企業に関する加工前情報DBと加工方針情報DB(図1の場合は、A社の加工前情報DB101と加工方針情報DB102、B社の加工前情報DB111と加工方針情報DB112、C社の加工前情報DB121と加工方針情報DB122)との、それぞれと通信を行って、それぞれの加工前情報と加工方針情報とを取得する。そして、取得したそれぞれの加工前情報と加工方針情報とを勘案して、匿名加工情報突合部311から受け取った前記突合済み匿名加工情報の匿名性の劣化検査を実施し、実施した劣化検査結果に従って、受け取った前記突合済み匿名加工情報の外部システムへの出力許可または破棄の判断を行う。
Similarly to the anonymously processed
つまり、匿名加工情報検査部312は、匿名加工情報突合部311と同様に、セキュアメモリ領域部310において動作し、突合対象とする複数のデータ提供元企業それぞれにおいて適用されているそれぞれの加工前情報を匿名加工するための加工方針情報を勘案して、匿名加工情報突合部311において生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを検査する検査手段である。
In other words, the anonymously processed
さらに説明すると、前記突合済み匿名加工情報の匿名性が担保されているか否かを検査する匿名加工情報検査部312は、内部に、匿名性確認部3121と加工方針確認部3122と突合結果処理部3123とを有している。
To explain further, the anonymously processed
匿名性確認部3121は、突合対象とする各データ提供元企業それぞれの匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業の前記匿名加工情報それぞれの匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認手段を提供する。具体的には、例えば、匿名性確認部3121は、突合済み匿名加工情報を構成する各レコードを確認し、レコード内の情報が同一の情報になっているレコード(すなわち同一レコード)の最少の個数が、突合対象とする各データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、該突合済み匿名加工情報は、突合対象とする各データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断するように構成する。
The
加工方針確認部3122は、突合対象とする各データ提供元企業それぞれの前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認手段を提供する。
The processing
また、突合結果処理部3123は、匿名性確認部3121と加工方針確認部3122との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかのいずれかの処理を行う突合結果処理手段を提供する。
Furthermore, the matching
そして、突合結果処理部3123は、匿名性確認部3121における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の前記匿名加工情報それぞれの匿名性のレベル以上であることが確認された場合であって、かつ、加工方針確認部3122における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業それぞれの匿名化の加工方針を満たしていることが確認された場合には、前記突合済み匿名加工情報は匿名性が十分に担保されている情報であると判断して、前記突合済み匿名加工情報を外部システムへ出力する処理を行う。
The matching
一方、突合結果処理部3123は、匿名性確認部3121における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業のいずれか1ないし複数における前記匿名加工情報の匿名性のレベル未満になっていることが確認された場合か、あるいは、加工方針確認部3122における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、前記突合済み匿名加工情報は匿名性が劣化している情報であると判断して、前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う。
On the other hand, the matching
ここで、複数のデータ提供元企業の加工前情報とは、図1の場合は、A社の匿名加工データストア10の加工前情報DB101から提供される加工前情報、B社の匿名加工データストア11の加工前情報DB111から提供される加工前情報、C社の匿名加工データストア12の加工前情報DB121から提供される加工前情報、である。
Here, in the case of FIG. 1, the unprocessed information of multiple data provider companies is the unprocessed information provided from the
また、複数の該データ提供元企業の加工前情報を匿名加工するための加工方針情報とは、図1の場合は、A社の匿名加工データストア10の加工方針情報DB102から提供される加工方針情報、B社の匿名加工データストア11の加工方針情報DB112から提供される加工方針情報、C社の匿名加工データストア12の加工方針情報DB122から提供される加工方針情報、である。なお、複数のデータ提供元企業の匿名加工情報とは、図1の場合は、A社の匿名加工データストア10の匿名加工情報DB100から提供される匿名加工情報、B社の匿名加工データストア11の匿名加工情報DB110から提供される匿名加工情報、C社の匿名加工データストア12の匿名加工情報DB120から提供される匿名加工情報、である。
Furthermore, in the case of FIG. 1, the processing policy information for anonymously processing unprocessed information of a plurality of data provider companies is the processing policy provided from the processing
次に、複数のデータ提供元企業の加工前情報、加工方針情報、匿名加工情報の具体例を用いて、匿名性劣化情報出力防止装置300において生成する前記突合済み匿名加工情報の匿名性について、その一例を説明する。
Next, using specific examples of unprocessed information, processing policy information, and anonymously processed information of a plurality of data provider companies, we will discuss the anonymity of the matched anonymously processed information generated by the anonymity deterioration information
図2は、図1に示すA社の匿名加工データストア10の加工前情報DB101に格納されている加工前情報の登録例を示すテーブルであり、コンビニA、コンビニBの各コンビニを利用した客層(性別および年齢)と購入した品物と支払方法(現金、キャッシュレスA,B,Cの各方式)とを調査会社によってリサーチした結果の登録例を示している。
FIG. 2 is a table showing an example of registration of unprocessed information stored in the
また、図3は、図1に示すA社の匿名加工データストア10の加工方針情報DB102に登録されている加工方針情報の登録例を示すテーブルであり、図2のテーブルに格納されている加工前情報それぞれを匿名加工する際に適用する加工方針情報の登録例を示している。なお、本実施形態においては、説明を簡素化するために、加工前情報を匿名加工する加工方針として、図2の加工前情報のレコードそれぞれの各項目(各欄:各カラム)ごとに加工方法を設定している場合を例示し、例えば、加工前情報の項目を削除、加工前情報の項目をそのまま利用、または、加工前情報の項目の一般化や上位概念化を図る加工、等を指定する場合を示している。なお、以下に説明するB社の加工方針情報(図6)、C社の加工方針情報(図9および図11)に関しても、A社の加工方針情報(図3)と同様に、加工前情報のレコードそれぞれの各項目(各欄:各カラム)ごとに加工方法を設定している場合を例示している。
Further, FIG. 3 is a table showing a registration example of processing policy information registered in the processing
さらに説明すると、例えば、図3の加工方針情報として、図2の加工前情報の各項目欄について、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および購買客の性別を示す性別欄は、そのまま利用するように設定する。また、購買客の年齢を示す年齢欄については、10歳単位で切り捨てて一般化を図る加工を施し、また、購入品を示す品物欄は、上位概念に変換する加工を施し、また、代金の支払方法を示す支払方法欄は、現金とキャッシュレスとの2つのいずれかに一般化する加工を施すように設定している。 To explain further, for example, as the processing policy information in Figure 3, for each item column of the unprocessed information in Figure 2, the ID column indicating the item number is deleted, and the user company column indicating the convenience store name and the customer's gender are deleted. The gender column that indicates the gender is set to be used as is. In addition, the age column showing the age of the purchaser was rounded down to the nearest 10 years to make it more generalized, and the product column showing the purchased items was converted to a higher-level concept. The payment method field indicating the payment method is set to generalize to either cash or cashless payment.
また、図4は、図1に示すA社の匿名加工データストア10の匿名加工情報DB100に格納されている匿名加工情報の登録例を示すテーブルであり、図2のテーブルに格納されている加工前情報を図3に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。
Further, FIG. 4 is a table showing a registration example of anonymously processed information stored in the anonymously processed
ここで、匿名加工を行う際に、加工前情報の項目の一般化や上位概念化を図る加工として、k-匿名性を満たすような加工を行うことを匿名加工情報の匿名化を保証するための前提としている。k-匿名性とは、匿名加工した結果として、加工された匿名加工情報の各項目(各カラム)の情報が同一になっているレコードの個数が、同一レコード数閾値としてあらかじめ定めたk個未満のレコード数に絞り込まれていないことを保証するための指標であって、匿名加工情報の匿名化のレベルを示す指標として利用することが可能である。 Here, when performing anonymous processing, it is necessary to perform processing that satisfies k-anonymity as a processing that aims to generalize and superordinate the items of the unprocessed information in order to guarantee the anonymization of anonymously processed information. It is a premise. k-anonymity means that as a result of anonymization processing, the number of records in which the information in each item (each column) of the processed anonymously processed information is the same is less than k, which is predetermined as the threshold for the number of identical records. This is an indicator to ensure that the number of records has not been narrowed down to , and can be used as an indicator to indicate the level of anonymization of anonymously processed information.
例えば、k-匿名性を満たす加工の一例に関して、同一レコード数閾値k=3(すなわち匿名加工結果として同一のレコード情報になるレコード数が3個以上確保されていることを確認するための閾値)を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合について説明する。図4に示した匿名加工情報の場合、利用会社・性別・年齢・品物・支払方法の各欄(各カラム)が同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、3個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第6レコードの3個のレコード、第7レコード~第9レコードの3個のレコード、第10レコード~第12レコードの3個のレコード)であり、同一レコード数閾値k=3と同じ値である。したがって、図4に示した匿名加工情報に関しては、k-匿名性(k=3)を満たす匿名加工結果が得られていて、匿名加工情報の匿名性の劣化が発生していないことを示している。 For example, for an example of processing that satisfies k-anonymity, the threshold for the number of identical records is k = 3 (that is, the threshold for confirming that the number of records that have the same record information as the result of anonymous processing is 3 or more). A case will be explained in which the index is set in advance as an index for guaranteeing the anonymity of anonymously processed information. In the case of the anonymously processed information shown in Figure 4, the minimum number of records in which the user company, gender, age, product, and payment method fields (each column) have the same information (that is, the same record) is 3. (i.e. 3 records from 1st record to 3rd record, 3 records from 4th record to 6th record, 3 records from 7th record to 9th record, 10th record to 12th record) (3 records), which is the same value as the same record count threshold k=3. Therefore, regarding the anonymously processed information shown in Figure 4, an anonymously processed result that satisfies k-anonymity (k = 3) has been obtained, indicating that the anonymity of the anonymously processed information has not deteriorated. There is.
次に、図5、図6、図7は、B社の匿名加工データストア11に関するテーブルであり、それぞれ、A社の匿名加工データストア10における図2、図3、図4と同様に、加工前情報DB111、加工方針情報DB112、匿名加工情報DB110の登録例を示している。
Next, FIG. 5, FIG. 6, and FIG. 7 are tables related to the anonymously processed
ここで、図5は、図1に示すB社の匿名加工データストア11の加工前情報DB111に格納されている加工前情報の登録例を示すテーブルであり、代金の支払方法としてキャッシュレスを用いた場合を対象として、コンビニA、コンビニBの各コンビニを利用した客層(年齢)とキャッシュレスによる支払方式(キャッシュレスA,B,Cの各方式)とを調査会社によってリサーチした結果の登録例を示している。つまり、代金の支払方法が現金であった場合を除き、キャッシュレスのいずれかの方式を用いて代金を支払った場合に絞って登録している場合を示している。
Here, FIG. 5 is a table showing an example of registration of unprocessed information stored in the
また、図6は、図1に示すB社の匿名加工データストア11の加工方針情報DB112に登録されている加工方針情報の登録例を示すテーブルであり、図5のテーブルに格納されている加工前情報それぞれを匿名加工する際に適用する加工方針情報の登録例を示している。つまり、図6の加工方針情報として、図5の加工前情報の各項目欄について、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および代金のキャッシュレス支払方式を示す支払方式欄は、そのまま利用し、また、購買客の年齢を示す年齢欄は、10歳単位で切り捨てる加工を施すように設定している場合を示している。
Further, FIG. 6 is a table showing a registration example of processing policy information registered in the processing
また、図7は、図1に示すB社の匿名加工データストア11の匿名加工情報DB110に格納されている匿名加工情報の登録例を示すテーブルであり、図5のテーブルに格納されている加工前情報を図6に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。
Further, FIG. 7 is a table showing a registration example of anonymously processed information stored in the anonymously processed
同一レコード数閾値k=3を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合、図7に示す匿名加工情報において、利用会社・年齢・支払方式の各欄(各カラム)のいずれも同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、図4の場合と同様、3個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第6レコードの3個のレコード、第7レコード~第9レコードの3個のレコード)であり、同一レコード数閾値k=3と同じ値である。したがって、図7に示した匿名加工情報に関しても、k-匿名性(k=3)を満たす匿名加工結果が得られていて、匿名加工情報の匿名性の劣化が発生していないことを示している。 If the same record number threshold k = 3 is set in advance as an index for guaranteeing the anonymity of anonymously processed information, in the anonymously processed information shown in Figure 7, each column of user company, age, and payment method (each column ), the minimum number of records (i.e., identical records) is 3 (i.e., the first to third records, the fourth record), as in the case of FIG. 3 records from record to 6th record, and 3 records from 7th record to 9th record), which is the same value as the same record number threshold k=3. Therefore, regarding the anonymously processed information shown in Figure 7, anonymized processing results satisfying k-anonymity (k = 3) have been obtained, indicating that no deterioration in the anonymity of the anonymously processed information has occurred. There is.
次に、図8、図9、図10は、C社の匿名加工データストア12に関するテーブルであり、それぞれ、A社の匿名加工データストア10における図2、図3、図4と同様に、加工前情報DB121、加工方針情報DB122、匿名加工情報DB120の登録例を示している。
Next, FIGS. 8, 9, and 10 are tables related to the anonymously processed
ここで、図8は、図1に示すC社の匿名加工データストア12の加工前情報DB121に格納されている加工前情報の登録例を示すテーブルであり、コンビニA、コンビニBの各コンビニを利用した客層(性別および年齢)と各コンビニを利用した時間帯を示す利用時間帯(分以下を切り捨てた時刻)とを調査会社によってリサーチした結果の登録例を示している。
Here, FIG. 8 is a table showing an example of registration of unprocessed information stored in the
また、図9は、図1に示すC社の匿名加工データストア12の加工方針情報DB122に登録されている加工方針情報の登録例を示すテーブルであり、図8のテーブルに格納されている加工前情報それぞれを匿名加工する際に適用する加工方針情報の登録例を示している。つまり、図9の加工方針情報として、図8の加工前情報の各項目欄について、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および購買客の性別を示す性別欄は、そのまま利用し、また、購買客の年齢を示す年齢欄は、10歳単位で切り捨てる加工を施している場合を示している。また、利用した時間帯を示す利用時間帯欄は、早朝(例えば4:00~7:00)、午前(例えば7:00~12:00)、午後(例えば12:00~17:00)、夜(例えば17:00~21:00)、深夜(例えば21:00~28:00)のいずれかの時間帯を示す時間幅として一般化した加工を施すように設定している場合を示している。
Further, FIG. 9 is a table showing a registration example of processing policy information registered in the processing
また、図10は、図1に示すC社の匿名加工データストア12の匿名加工情報DB120に格納されている匿名加工情報の登録例を示すテーブルであり、図8のテーブルに格納されている加工前情報を図9に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。
Further, FIG. 10 is a table showing a registration example of anonymously processed information stored in the anonymously processed
図10の利用時間帯欄に示すように、匿名加工方法として一般化した加工結果を示す各コンビニを利用した購買客の利用時間帯としては、午前(7:00~12:00)、午後(12:00~18:00)、深夜(21:00~28:00)の各時間帯であり、早朝(4:00~7:00)、夜(18:00~21:00)の時間帯には利用していない加工結果になっている。 As shown in the hours of use column in Figure 10, the hours of use for shoppers who use each convenience store, which shows the processing results that have been generalized as an anonymous processing method, are morning (7:00 to 12:00), afternoon ( 12:00 to 18:00), late night (21:00 to 28:00), early morning (4:00 to 7:00), and night (18:00 to 21:00). This is a processing result that is not used.
同一レコード数閾値k=3を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合、図10に示す匿名加工情報において、利用会社・性別・年齢・利用時間帯の各欄(各カラム)のいずれも同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、図4の場合と同様、3個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第9レコードの6個のレコード、第10レコード~第12レコードの3個のレコード)であり、同一レコード数閾値k=3と同じ値である。したがって、図10に示した匿名加工情報に関しても、k-匿名性(k=3)を満たす匿名加工結果が得られていて、匿名加工情報の匿名性の劣化が発生していないことを示している。 If the same record number threshold k = 3 is set in advance as an index to guarantee the anonymity of anonymously processed information, each column of company, gender, age, and time of use in the anonymously processed information shown in Figure 10. As in the case of Figure 4, the minimum number of records in which all of the (each column) have the same information (i.e., identical records) is 3 (i.e., 3 records from the 1st record to the 3rd record). , 6 records from the 4th record to the 9th record, and 3 records from the 10th record to the 12th record), which is the same value as the same record number threshold k=3. Therefore, regarding the anonymously processed information shown in Figure 10, anonymized processing results satisfying k-anonymity (k = 3) have been obtained, indicating that no deterioration in the anonymity of the anonymously processed information has occurred. There is.
なお、図10とは異なる匿名加工情報を生成するために、図9の加工方針情報DB122における利用時間帯に関する加工方針情報の見直しを行い、例えば、図11に示すように、図9とは異なる加工方針を用いて利用時間帯に関する情報の一般化を行うようにすることも可能である。
In addition, in order to generate anonymously processed information different from that shown in FIG. 10, we reviewed the processing policy information regarding the usage time period in the processing
図11は、図1に示すC社の匿名加工データストア12の加工方針情報DB122に登録されている加工方針情報の図9とは異なる登録例を示すテーブルであり、図8のテーブルに登録されている加工前情報を匿名加工する際に適用する加工方針として、利用時間帯情報に関し、図9に示した加工方針とは異なる設定した場合の一例を示している。
FIG. 11 is a table showing a registration example different from that shown in FIG. 9 of the processing policy information registered in the processing
つまり、図11の加工方針情報においては、図8の加工前情報の各項目欄について、利用した時間帯を示す利用時間帯欄の利用時間帯に関する情報を除く他の情報に関しては、図9の場合と全く同じであり、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および購買客の性別を示す性別欄は、そのまま利用し、また、購買客の年齢を示す年齢欄は、10歳単位で切り捨てる加工を施している。 In other words, in the processing policy information shown in FIG. 11, for each item column of the pre-processing information shown in FIG. It is exactly the same as in the case, and the ID field showing the item number is deleted, the user company field showing the convenience store name and the gender field showing the gender of the customer are used as they are, and the age field showing the customer's age is left unchanged. The column has been rounded down to the nearest 10 years.
一方、利用した時間帯を示す利用時間帯欄に関しては、図9の場合から変更して、夕方(例えば16:30~18:00)の時間帯をさらに追加することにより、図9の場合の午後(例えば12:00~18:00)をさらに2つの時間帯に細分化して、午後(例えば12:00~16:30)、夕方(例えば16:30~18:00)に分離して一般化するように変更している。 On the other hand, regarding the use time period column that shows the time period of use, by changing from the case of FIG. 9 and adding the time period of the evening (for example, 16:30 to 18:00), Afternoon (for example, 12:00 to 18:00) is further subdivided into two time periods: afternoon (for example, 12:00 to 16:30) and evening (for example, 16:30 to 18:00). It has been changed to become .
図12は、図1に示すC社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の図10とは異なる登録例を示すテーブルであり、図8のテーブルに格納されている加工前情報を図11に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。なお、図12においては、図10の場合とは異なり、利用時間帯欄は、各時間帯を示す時間幅ではなく、早朝、午前、午後、夕方、夜、深夜のいずれかの用語を用いて示している。 FIG. 12 is a table showing a registration example different from that shown in FIG. 10 of anonymously processed information stored in the anonymously processed information DB of the anonymously processed data store of Company C shown in FIG. 12 shows an example of registration of anonymously processed information in which unprocessed information that is previously processed has been anonymously processed according to the processing policy illustrated in FIG. 11. In addition, in FIG. 12, unlike in the case of FIG. 10, the usage time period column does not use the time range to indicate each time period, but uses any of the terms early morning, morning, afternoon, evening, night, and late night. It shows.
図12の利用時間帯欄に示すように、匿名加工方法として一般化した加工結果を示す各コンビニを利用した購買客の利用時間帯としては、図10の場合と同様に、早朝(4:00~7:00)、夜(18:00~21:00)の時間帯にはどのコンビニも利用していないものの、図10の場合とは異なり、午前(7:00~12:00)、午後(12:00~16:30)、夕方(16:30~18:00)、深夜(21:00~28:00)の4つの時間帯のいずれかのコンビニを利用していることになる。 As shown in the usage time column in Figure 12, the usage time of customers who used each convenience store, which shows the processing results that have been generalized as an anonymous processing method, is as in the case of Figure 10. Although no convenience stores are used during the hours (18:00 to 21:00) and at night (18:00 to 21:00), unlike the case in Figure 10, in the morning (7:00 to 12:00) and in the afternoon This means that you will be using a convenience store during one of four time periods: (12:00-16:30), evening (16:30-18:00), and late night (21:00-28:00).
しかし、図12に示す匿名加工情報においては、利用会社・性別・年齢・利用時間帯の各欄(各カラム)のいずれも同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、図4の場合とは異なり、2個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第7レコードの4個のレコード、第8レコード~第9レコードの2個のレコード、第10レコード~第12レコードの3個のレコード)になっている。つまり、図10の匿名加工情報の場合の最少の同一レコード数(3個)よりも低い値になっている。 However, in the anonymously processed information shown in Figure 12, the minimum number of records (i.e., identical records) in which all the fields (columns) of user company, gender, age, and time of use are the same is , unlike the case in FIG. record, 10th record to 12th record). In other words, the value is lower than the minimum number of identical records (3) in the case of anonymously processed information in FIG.
したがって、図10の場合と同様に、同一レコード数閾値k=3を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合、図12に示す匿名加工情報においては、最少の同一レコード数(2個)が、同一レコード数閾値k=3未満の値になって、k-匿名性(k=3)を満たす匿名加工結果が得られていないことになり、匿名性が劣化していることになる。このため、図11に示した利用時間帯欄の加工方針に関しては、同一レコード数閾値k=3を用いている場合は、分類する時間帯を同一レコード数が3個以上になるように変更するか、または、利用時間帯欄そのものを削除するかのいずれかを選択し直すことが必要になる。 Therefore, as in the case of Fig. 10, if the same record number threshold k = 3 is set in advance as an index for guaranteeing the anonymity of anonymously processed information, in the anonymously processed information shown in Fig. 12, the minimum The number of identical records (2) becomes a value less than the threshold for the number of identical records k = 3, and anonymization processing results that satisfy k-anonymity (k = 3) are not obtained, and anonymity deteriorates. That means you are doing it. Therefore, regarding the processing policy for the usage time period column shown in Figure 11, if the same record number threshold k = 3 is used, the time period to be classified is changed so that the number of identical records is 3 or more. You will need to reselect either the option to delete the usage time slot field itself, or delete the usage time slot field itself.
(本発明の実施形態の動作例の説明)
次に、図1に本発明の一実施形態として示した匿名性劣化情報出力防止装置300の動作について、その一例を、図13のフローチャートを参照しながら詳細に説明する。図13は、図1に本発明の一実施形態として示した匿名性劣化情報出力防止装置300の動作の一例を示すフローチャートであり、図1に示したように、該匿名性劣化情報出力防止装置300に対して、突合対象となる複数の匿名加工情報それぞれを提供する複数のデータ提供元企業(A社、B社、C社)が所有するそれぞれの匿名加工データストア10、匿名加工データストア11、匿名加工データストア12が通信可能な状態で接続されて、複数の匿名加工情報の突合を行う突合システムとして構成されている場合を示している。
(Explanation of operation example of embodiment of the present invention)
Next, an example of the operation of the anonymity degradation information
図13のフローチャートは、匿名性劣化情報出力防止装置300のオペレータの操作により、複数のデータ提供元企業(A社、B社、C社)それぞれの匿名加工情報に関する突合の指示がなされると起動して、まず、該オペレータの指示内容が、匿名性劣化情報出力防止装置300のセキュアメモリ領域部310内において動作する匿名加工情報突合部311に対して送信される。
The flowchart in FIG. 13 is activated when the operator of the anonymity deterioration information
匿名加工情報突合部311は、前記オペレータからの指示内容を受け取ると、セキュアメモリ領域部310内において、該指示内容において指定されている複数のデータ提供元企業(A社、B社、C社)それぞれの匿名加工データストア(匿名加工データストア10、匿名加工データストア11、匿名加工データストア12)にアクセスして、それぞれの匿名加工情報DB(匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120)から、それぞれの匿名加工情報を、突合すべき匿名加工情報として、読み込む(ステップS1)
Upon receiving the instruction from the operator, the anonymously processed
次いで、匿名加工情報突合部311は、前記オペレータからの指示に従って、突合すべき匿名加工情報として読み込んだ、複数のデータ提供元企業(A社、B社、C社)それぞれに関する匿名加工情報の突合処理を行い、図14~図16に示すような、突合済み匿名加工情報として生成する(ステップS2)。なお、匿名加工情報の突合処理としては、前述したように、匿名加工情報の各レコードそれぞれを構成する各項目(カラム)のうち、突合対象の複数の匿名加工情報のレコードそれぞれに共通する項目(欄:カラム)として同一の情報を有しているレコード同士を突合する。
Next, in accordance with the instructions from the operator, the anonymously processed
ここで、図14は、図4に示したA社の匿名加工情報DB100から読み込んだ匿名加工情報と図10に示したC社の匿名加工情報DB120から読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルであり、図4の匿名加工情報と図10の匿名加工情報とを、利用会社・性別・年齢の各項目(各欄:各カラム)の情報が互いに合致する各項目(各欄:各カラム)同士を突合させて生成した突合済み匿名加工情報の一例を示している。すなわち、図14の突合済み匿名加工情報は、図4のA社の匿名加工情報の各項目(各欄:各カラム)に対して、図10のC社の匿名加工情報の利用時間帯欄の項目を組み合わせた情報によって構成される。
Here, FIG. 14 shows a comparison between the anonymously processed information read from the anonymously processed
なお、図14の突合済み匿名加工情報の場合、最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数(さらに説明すると、レコードを構成する各項目(各欄:各カラム)のいずれも同一の情報になっているレコードの最少の個数)は、3個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第6レコードの3個のレコード、第7レコード~第9レコードの3個のレコード、第10レコード~第12レコードの3個のレコード)である。 In the case of the matched anonymously processed information in FIG. : The minimum number of records in which all of the columns have the same information is 3 (i.e., 3 records from the 1st record to the 3rd record, and 3 records from the 4th record to the 6th record). , three records from the 7th record to the 9th record, and 3 records from the 10th record to the 12th record).
また、図15は、図4に示したA社の匿名加工情報DB100から読み込んだ匿名加工情報と図12に示したC社の匿名加工情報DB120から読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルであり、図4の匿名加工情報と図12の匿名加工情報とを、図14の場合と同様に、利用会社・性別・年齢の各項目(各欄:各カラム)の情報が互いに合致する各項目(各欄:各カラム)同士を突合させて生成した突合済み匿名加工情報の一例を示している。すなわち、図15の突合済み匿名加工情報は、図4のA社の匿名加工情報の各項目(各欄:各カラム)に対して、図12のC社の匿名加工情報の利用時間帯欄の項目を組み合わせた情報によって構成される。
Further, FIG. 15 shows the comparison process of the anonymously processed information read from the anonymously processed
なお、図15の突合済み匿名加工情報の場合、最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数は、図14の場合とは異なり、1個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第6レコードの3個のレコード、第7レコードのみの1個のレコード、第8レコード~第9レコードの2個のレコード、第10レコード~第12レコードの3個のレコード)である。 In the case of the matched anonymously processed information in FIG. 15, the minimum number of identical records, that is, the minimum number of identical records in which the information in the record is the same information, is 1 (i.e., unlike in the case of FIG. 14). , 3 records from the 1st record to the 3rd record, 3 records from the 4th record to the 6th record, 1 record from the 7th record only, 2 records from the 8th record to the 9th record, There are three records (10th record to 12th record).
また、図16は、図4に示したA社の匿名加工情報DB100から読み込んだ匿名加工情報と図7に示したB社の匿名加工情報DB110から読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルであり、図4の匿名加工情報と図7の匿名加工情報とを、利用会社・年齢の各項目(各欄:各カラム)の情報が互いに合致する各項目(各欄:各カラム)同士を突合させて生成した突合済み匿名加工情報の一例を示している。すなわち、図16の突合済み匿名加工情報は、図4のA社の匿名加工情報の各項目(各欄:各カラム)に対して、図7のB社の匿名加工情報の支払方式欄の項目を組み合わせた情報によって構成される。
Further, FIG. 16 shows the comparison process of the anonymously processed information read from the anonymously processed
なお、図7のB社の匿名加工情報は、前述したように、代金を現金ではなくキャッシュレスを用いて支払った場合について登録しているので、図16の突合済み匿名加工情報においては、図4のA社の匿名加工情報における支払方法が現金の場合の各レコード(第7レコード~第9レコードの各レコード)に関しては、突合した支払方式欄(図7のB社の匿名加工情報の支払方式欄)は「-」(データ無しの旨を示す記号)が表示されている。 Note that, as mentioned above, the anonymously processed information of Company B in Figure 7 is registered for the case where the payment was made using cashless payment methods instead of cash, so in the matched anonymously processed information in Figure 16, Regarding each record (7th record to 9th record) where the payment method in the anonymously processed information of Company A in 4. ``-'' (a symbol indicating that there is no data) is displayed in the ``method column''.
ここで、図16の突合済み匿名加工情報の場合、最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数は、図14の場合と同様、3個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第6レコードの3個のレコード、第7レコード~第9レコードの3個のレコード、第10レコード~第12レコードの3個のレコード)である。 Here, in the case of the matched anonymously processed information in FIG. , 3 records from the 1st record to the 3rd record, 3 records from the 4th record to the 6th record, 3 records from the 7th record to the 9th record, and 3 records from the 10th record to the 12th record. record).
図13のフローチャートの説明に戻って、匿名加工情報突合部311において図14~図16に例示したような突合済み匿名加工情報を生成すると、次に、生成した各突合済み匿名加工情報の匿名性を検査するために、匿名加工情報検査部312を起動する。
Returning to the explanation of the flowchart in FIG. 13, when the anonymously processed
起動された匿名加工情報検査部312は、匿名加工情報突合部311と同様、匿名性劣化情報出力防止装置300のセキュアメモリ領域部310内において動作する。そして、起動した匿名加工情報検査部312は、まず、匿名性確認部3121を起動して、匿名加工情報突合部311において生成した各突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有しているか否かを確認する(ステップS3)。
The activated anonymously processed
つまり、匿名加工情報突合部311において生成した各突合済み匿名加工情報と、突合済み匿名加工情報それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報と、のそれぞれにおける最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数に関する情報を取得する。そして、取得した突合済み匿名加工情報の前記最少同一レコード数が、該突合済み匿名加工情報の突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報の前記最少同一レコード数以上の値になっているか否かを確認する。
In other words, each of the matched anonymously processed information generated by the anonymously processed
言い換えると、匿名加工情報突合部311において生成した突合済み匿名加工情報を構成する各レコードを確認し、該突合済み匿名加工情報におけるレコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、該突合済み匿名加工情報は、突合対象とする各データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断する。一方、前記突合済み匿名加工情報におけるレコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各データ提供元企業のうちのいずれか1ないし複数において前記匿名加工情報における前記同一レコードの最少の個数未満の値に絞り込まれてしまっていた場合には、該突合済み匿名加工情報は、突合対象とする各データ提供元企業の前記匿名加工情報のいずれかの匿名性よりも劣化したレベルの匿名性になっていると判断する。
In other words, each record constituting the matched anonymously processed information generated by the anonymously processed
ここで、前述したように、本実施形態においては、図14に示す突合済み匿名加工情報の前記最少同一レコード数は3個であり、該突合済み匿名加工情報の突合元となる図4の匿名加工情報の前記最少同一レコード数および図10の匿名加工情報の前記最少同一レコード数はいずれも3個である。また、図15に示す突合済み匿名加工情報の前記最少同一レコード数は1個であり、該突合済み匿名加工情報の突合元となる図4の匿名加工情報の前記最少同一レコード数は3個であり、図12の匿名加工情報の前記最少同一レコード数は2個である。また、図16に示す突合済み匿名加工情報の前記最少同一レコード数は3個であり、該突合済み匿名加工情報の突合元となる図4の匿名加工情報の前記最少同一レコード数および図7の匿名加工情報の前記最少同一レコード数はいずれも3個である。 Here, as described above, in this embodiment, the minimum number of identical records in the matched anonymously processed information shown in FIG. 14 is three, and the anonymous The minimum number of identical records of processed information and the minimum number of identical records of anonymously processed information in FIG. 10 are both three. Further, the minimum number of identical records in the matched anonymously processed information shown in FIG. 15 is one, and the minimum number of identical records in the anonymously processed information in FIG. 4, which is the matching source of the matched anonymously processed information, is three. Yes, and the minimum number of identical records in the anonymously processed information in FIG. 12 is two. Further, the minimum number of identical records in the matched anonymously processed information shown in FIG. 16 is three, and the minimum number of identical records in the anonymously processed information in FIG. The minimum number of identical records of anonymously processed information is three in each case.
したがって、図14および図16のそれぞれに示す突合済み匿名加工情報に関しては、いずれも、突合元の各データ提供元企業の匿名加工情報(図4の匿名加工情報、図10の匿名加工情報および図7の匿名加工情報)の場合と同様、前記最少同一レコード数は3個であり、突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報の前記最少同一レコード数以上の値になっている。したがって、図14および図16のそれぞれに示す突合済み匿名加工情報に関しては、突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有している場合であると判定して(ステップS3のYES)、ステップS4の処理に移行する。 Therefore, regarding the matched anonymously processed information shown in FIGS. 14 and 16, the anonymously processed information of each data provider company that is the matching source (anonymously processed information in FIG. 4, anonymously processed information in FIG. 10, and 7), the minimum number of identical records is 3, and the minimum number of identical records is 3, and the minimum number of identical records for each data provider company (Company A, Company B, Company C) that is the matching source is 3. The value is greater than the number of records. Therefore, regarding the matched anonymously processed information shown in FIGS. 14 and 16, the matched anonymously processed information is anonymized by each data provider company (Company A, Company B, Company C) that is the source of the respective matching It is determined that the anonymity is greater than that of the processed information (YES in step S3), and the process proceeds to step S4.
これに対して、図15に示す突合済み匿名加工情報に関しては、前記最少同一レコード数が1個であり、突合元の一方の図4の匿名加工情報の前記最少同一レコード数が3個であり、突合元の他方の図12の匿名加工情報の前記最少同一レコード数が2個である。したがって、図15に示す突合済み匿名加工情報の前記最少同一レコード数は、突合元の図4および図12の匿名加工情報それぞれの前記最少同一レコード数よりも少ない値であり、図15に示す突合済み匿名加工情報に関しては、突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有していない場合であると判定して(ステップS3のNO)、ステップS7の処理に移行する。つまり、突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の匿名加工情報のいずれか1ないし複数における匿名性のレベル未満になっていることが確認された場合には、該突合済み匿名加工情報は、突合元のいずれか1ないし複数のデータ提供元企業の匿名加工情報よりも匿名性が劣化している情報であると判断して、ステップS7の処理に移行する。 On the other hand, regarding the matched anonymously processed information shown in FIG. 15, the minimum number of identical records is one, and the minimum number of identical records in the anonymously processed information in FIG. 4, which is the matching source, is three. , the minimum number of identical records in the anonymously processed information of the other matching source in FIG. 12 is two. Therefore, the minimum number of identical records in the matched anonymously processed information shown in FIG. 15 is a value smaller than the minimum number of identical records in each of the anonymously processed information in FIG. 4 and FIG. Regarding anonymously processed information, if the matched anonymously processed information does not have more anonymity than the anonymously processed information of each data provider company (Company A, Company B, Company C) that is the source of the comparison. It is determined that this is the case (NO in step S3), and the process moves to step S7. In other words, if it is confirmed that the level of anonymity of the matched anonymously processed information is lower than the level of anonymity of one or more of the anonymously processed information of each data provider company to be matched. determines that the matched anonymously processed information is information whose anonymity is worse than the anonymously processed information of one or more of the data provider companies that are the matching sources, and moves to the process of step S7. do.
図14および図16のそれぞれに示す突合済み匿名加工情報に関し、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有していると判定して、ステップS4の処理に移行すると、匿名加工情報検査部312は、次に、加工方針確認部3122を起動して、それぞれの突合元である各データ提供元企業(A社、B社、C社)の加工前情報DBと加工方針情報DBとにアクセスして、それぞれの加工前情報と加工方針情報とを読み込む(ステップS4)。 Regarding the matched anonymously processed information shown in each of Figures 14 and 16, the anonymity is greater than the anonymously processed information of each data provider company (Company A, Company B, Company C) that is the source of each comparison. When determining that there are The pre-processing information DB and processing policy information DB of companies B and C are accessed to read the respective pre-processing information and processing policy information (step S4).
すなわち、図14に示す突合済み匿名加工情報の場合は、A社の匿名加工データストア10の加工前情報DB101と加工方針情報DB102とからA社の加工前情報(図2の加工前情報)と加工方針情報(図3の加工方針情報)とを読み込むとともに、C社の匿名加工データストア12の加工前情報DB121と加工方針情報DB122とからC社の加工前情報(図8の加工前情報)と加工方針情報(図9の加工方針情報)とを読み込む。
That is, in the case of the verified anonymously processed information shown in FIG. 14, the unprocessed information of company A (the unprocessed information in FIG. 2) is retrieved from the
また、図16に示す突合済み匿名加工情報の場合は、A社の匿名加工データストア10の加工前情報DB101と加工方針情報DB102とからA社の加工前情報(図2の加工前情報)と加工方針情報(図3の加工方針情報)とを読み込むとともに、B社の匿名加工データストア11の加工前情報DB111と加工方針情報DB112とからB社の加工前情報(図5の加工前情報)と加工方針情報(図6の加工方針情報)とを読み込む。
In the case of the verified anonymously processed information shown in FIG. 16, the unprocessed information of company A (the information before processing in FIG. 2) is obtained from the
匿名加工情報検査部312の加工方針確認部3122は、図14および図16のそれぞれに示す突合済み匿名加工情報に関して、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの加工前情報と加工方針情報とを読み込むと、突合対象とする各データ提供元企業(A社、B社、C社)それぞれの加工前情報と加工方針情報とを参照して、図14および図16のそれぞれに示す突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業における匿名化の加工方針を満たしているか否かを確認する(ステップS5)。
The processing
つまり、図14の突合済み匿名加工情報の場合は、突合元であるA社の加工前情報(図2の加工前情報)を匿名加工するための加工方針情報(図3の加工方針情報)およびC社の加工前情報(図8の加工前情報)を匿名加工するための加工方針情報(図9の加工方針情報)のいずれの加工方針も満たしているか否かを確認する。また、図16の突合済み匿名加工情報の場合は、突合元であるA社の加工前情報(図2の加工前情報)を匿名加工するための加工方針情報(図3の加工方針情報)およびB社の加工前情報(図5の加工前情報)を匿名加工するための加工方針情報(図6の加工方針情報)のいずれの加工方針も満たしているか否かを確認する。 In other words, in the case of the matched anonymously processed information in Figure 14, the processing policy information (processing policy information in Figure 3) for anonymously processing the unprocessed information (unprocessed information in Figure 2) of company A, which is the matching source, and It is checked whether any of the processing policies of the processing policy information (processing policy information in FIG. 9) for anonymously processing the pre-processing information of company C (the pre-processing information in FIG. 8) is satisfied. In the case of the matched anonymously processed information in Figure 16, processing policy information (processing policy information in Figure 3) for anonymously processing the unprocessed information (unprocessed information in Figure 2) of company A, which is the matching source, and It is checked whether any of the processing policies of the processing policy information (processing policy information in FIG. 6) for anonymously processing the pre-processing information of company B (the pre-processing information in FIG. 5) is satisfied.
図14の突合済み匿名加工情報の場合は、突合元であるA社の加工方針情報(図3の加工方針情報)およびC社の加工方針情報(図9の加工方針情報)のいずれの加工方針も満たしているので(ステップS5のYES)、加工方針とk-匿名性との双方を満たしている状態、すなわち、十分な匿名性が担保された安全性が高い状態の突合済み匿名加工情報であって、外部システムに対して出力することが可能な状態であると判断して、ステップS6に進む。 In the case of the matched anonymously processed information in Figure 14, which of the processing policy information of company A (processing policy information in Figure 3) which is the matching source and the processing policy information of company C (processing policy information in Figure 9) (YES in step S5), the verified anonymously processed information satisfies both the processing policy and k-anonymity, that is, the checked anonymously processed information is in a highly secure state with sufficient anonymity guaranteed. Therefore, it is determined that it is possible to output to an external system, and the process proceeds to step S6.
ステップS6に進むと、匿名加工情報検査部312は、突合結果処理部3123を起動して、加工方針とk-匿名性との双方を満たしている状態、すなわち、十分な匿名性が担保された安全性が高い状態の突合済み匿名加工情報を、匿名性劣化情報出力防止装置300から外部のシステムに対して出力して、処理を終了する(ステップS6)。
Proceeding to step S6, the anonymously processed
一方、図16の突合済み匿名加工情報の場合は、突合元であるA社の加工方針情報の支払方法欄の情報に対してC社の匿名加工情報の支払方式欄の情報がさらに結合されている状態になっているので、A社の加工前情報(図2の加工前情報)に対してk-匿名化を満たすように匿名加工を施していたA社の加工方針情報(図3の加工方針情報)に反した情報を生成してしまっている。 On the other hand, in the case of the matched anonymously processed information in Figure 16, the information in the payment method column of the anonymously processed information of company C is further combined with the information in the payment method column of the processing policy information of company A, which is the matching source. As a result, the processing policy information of Company A (processed information in Figure 3), which had been anonymized to satisfy k-anonymization, on Company A's unprocessed information (before processing information in Figure 2). (policy information) has been generated.
図16の突合済み匿名加工情報の場合についてさらに具体的に説明すると、次の通りである。すなわち、突合元であるデータ提供元企業の一つであるA社の匿名加工情報に関しては、A社の加工方針情報(図3の加工方針情報)に基づいて、A社の加工前情報(図2の加工前情報)の支払方法欄の情報(現金の他にキャッシュレスのA方式、B方式、C方式の情報が存在している)に対してk-匿名性を満たすように匿名加工(現金、キャッシュレスのいずれかに一般化した加工)を施して匿名加工情報(図4の匿名加工情報)を生成していた。 A more specific explanation of the case of the matched anonymously processed information in FIG. 16 is as follows. In other words, regarding the anonymously processed information of Company A, which is one of the data provider companies that are the source of the comparison, based on the processing policy information of Company A (processing policy information in Figure 3), the unprocessed information of Company A (Fig. The information in the payment method column (in addition to cash, there is information on cashless methods A, B, and C) of the unprocessed information in 2) is anonymously processed to satisfy k-anonymity ( Anonymously processed information (anonymously processed information in Figure 4) was generated by applying generalized processing to either cash or cashless transactions.
それにも関わらず、図16の突合済み匿名加工情報の場合、A社の該匿名加工情報に対して突合対象となるC社の匿名加工情報の支払方式欄の情報を結合した結果として、キャッシュレスのA方式、B方式、C方式に関する情報が追加されてしまい、突合元のA社の加工方針情報(図3の加工方針情報)に示した加工方針に反した情報が追加されている。 Nevertheless, in the case of the matched anonymously processed information in Figure 16, as a result of combining the anonymously processed information of company A with the information in the payment method column of the anonymously processed information of company C, which is the target of matching, cashless payment is possible. Information regarding the A method, B method, and C method has been added, and information that is contrary to the processing policy shown in the processing policy information of the matching source company A (the processing policy information in FIG. 3) has been added.
したがって、図16の突合済み匿名加工情報の場合は、突合元であるA社の加工方針情報(図3の加工方針情報)の加工方針を満たしていないので(ステップS5のNO)、突合元の加工方針を満たしていない状態すなわち匿名性が劣化した状態の突合済み匿名加工情報であると判断して、ステップS7に移行する。言い換えると、突合済み匿名加工情報が、突合対象とする各データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、該突合済み匿名加工情報の匿名性は劣化していると判断して、ステップS7に移行する。 Therefore, in the case of the matched anonymously processed information in FIG. 16, since it does not satisfy the processing policy of the processing policy information of company A (the processing policy information in FIG. 3), which is the matching source (NO in step S5), It is determined that the verified anonymously processed information does not satisfy the processing policy, that is, the anonymity has deteriorated, and the process moves to step S7. In other words, if it is confirmed that the matched anonymously processed information does not satisfy the anonymization processing policy of one or more of the data provider companies to be matched, the matched anonymously processed information It is determined that the anonymity of has deteriorated, and the process moves to step S7.
ステップS7に移行すると、匿名加工情報検査部312は、突合結果処理部3123を起動して、突合元である各データ提供元企業の匿名加工情報以上の匿名性を有していない状態(ステップS3のNOの状態)または突合元である各データ提供元企業の加工方針を満たしていない状態(ステップS5のNOの状態)にある突合済み匿名加工情報を、k-匿名性を満たしていない状態または突合元の加工方針を満たしていない状態であって、匿名性が劣化した状態の情報であると判断された場合として、外部のシステムに対して出力することなく、破棄してしまうことにより、処理を終了する(ステップS7)。
In step S7, the anonymously processed
(実施形態の効果の説明)
以上に詳細に説明したように、本実施形態に係る匿名性劣化情報出力防止装置300においては、以下のような効果を奏することができる。
(Explanation of effects of embodiment)
As described above in detail, the anonymity deterioration information
すなわち、複数のデータ提供元企業が保有する匿名加工情報を突合して突合済み匿名加工情報を生成する際に、該突合済み匿名加工情報の匿名性を担保し、かつ、突合対象とする各データ提供元企業の匿名化の加工方針を満たした状態で、安全性が高い情報として生成されたか否かを確実に確認することが可能であるので、匿名性を有することが十分に担保された状態の突合済み匿名加工情報を外部システムに対して提供することが可能である。 In other words, when comparing anonymously processed information held by multiple data provider companies to generate matched anonymously processed information, the anonymity of the matched anonymously processed information is guaranteed, and each data provision to be compared is It is possible to reliably confirm whether or not the information was generated as highly secure information while satisfying the original company's anonymization processing policy. It is possible to provide the verified anonymously processed information to an external system.
さらに、該突合済み匿名加工情報を生成する際に、第三者によって傍受されることのないセキュアなメモリ空間(セキュアメモリ領域部310)を用いて動作させることにより、突合対象とする複数のデータ提供元企業が保有する加工前情報を第三者に対して漏洩させることもなく、安全に、各データ提供元企業が提供する匿名加工情報を突合させた突合済み匿名加工情報を生成することが可能である。 Furthermore, when generating the matched anonymously processed information, by operating using a secure memory space (secure memory area section 310) that cannot be intercepted by a third party, multiple pieces of data to be matched can be generated. It is possible to safely generate matched anonymously processed information by collating anonymously processed information provided by each data provider company without leaking the unprocessed information held by the provider company to a third party. It is possible.
以上、本発明の好適な実施形態の構成を説明した。しかし、かかる実施形態は、本発明の単なる例示に過ぎず、何ら本発明を限定するものではないことに留意されたい。本発明の要旨を逸脱することなく、特定用途に応じて種々の変形変更が可能であることが、当業者には容易に理解できよう。 The configuration of the preferred embodiment of the present invention has been described above. However, it should be noted that such embodiments are merely illustrative of the present invention and do not limit the present invention in any way. Those skilled in the art will readily understand that various modifications and changes can be made depending on specific applications without departing from the spirit of the invention.
10 匿名加工データストア
11 匿名加工データストア
12 匿名加工データストア
100 匿名加工情報DB
101 加工前情報DB
102 加工方針情報DB
110 匿名加工情報DB
111 加工前情報DB
112 加工方針情報DB
120 匿名加工情報DB
121 加工前情報DB
122 加工方針情報DB
300 匿名性劣化情報出力防止装置
310 セキュアメモリ領域部
311 匿名加工情報突合部
312 匿名加工情報検査部
3121 匿名性確認部
3122 加工方針確認部
3123 突合結果処理部
10 Anonymously processed
101 Pre-processing information DB
102 Processing policy information DB
110 Anonymous processing information DB
111 Pre-processing information DB
112 Processing policy information DB
120 Anonymous processing information DB
121 Pre-processing information DB
122 Processing policy information DB
300 Anonymity deterioration information
Claims (10)
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合部と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査部と、
を有していることを特徴とする匿名性劣化情報出力防止装置。 Anonymously processed information of each data provider company to be compared, unprocessed information that is the original information before anonymous processing of the anonymously processed information, and processing policy information for anonymously processing the unprocessed information into the anonymously processed information Anonymity deteriorates when comparing the anonymously processed information obtained from each of the anonymously processed data stores of each data provider company. An anonymity deterioration information output prevention device having a function of preventing information from being output as verified anonymously processed information,
a secure memory area section that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by a third party;
an anonymously processed information matching unit that operates in the secure memory area unit, matches anonymously processed information of each of the data provider companies to be matched, and generates matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. An anonymously processed information inspection department that confirms whether the anonymity of anonymously processed information is guaranteed;
Anonymity deterioration information output prevention device characterized by having the following.
突合対象とする各前記データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認部と、
突合対象とする各前記データ提供元企業の前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認部と、
前記匿名性確認部と前記加工方針確認部との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理部と、
を有していることを特徴とする請求項1に記載の匿名性劣化情報出力防止装置。 The anonymously processed information inspection department internally has the following:
With reference to the anonymously processed information of each of the data provider companies to be compared, the compared anonymously processed information is at a level higher than or equal to the level of anonymity of the anonymously processed information of each of the data provider companies to be compared. an anonymity confirmation unit that confirms whether or not the anonymity of the
With reference to the processing policy information and the unprocessed information of each of the data provider companies to be matched, the matched anonymously processed information is processed for anonymization of each of the data provider companies to be matched. A processing policy confirmation department that confirms whether the policy is met;
a matching result processing unit that performs a process of outputting or discarding the matched anonymously processed information to an external system based on the confirmation results of the anonymity confirmation unit and the processing policy confirmation unit;
The anonymity deterioration information output prevention device according to claim 1, characterized in that it has the following.
前記突合済み匿名加工情報を構成する各レコードを確認し、レコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、
該突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断する、
ことを特徴とする請求項2に記載の匿名性劣化情報出力防止装置。 The anonymity confirmation unit is
Each record constituting the matched anonymously processed information is checked, and the minimum number of identical records in which the information in the records is the same is determined by the anonymously processed information of each of the data provider companies to be matched. If the value is greater than or equal to the minimum number of identical records in the information,
determining that the matched anonymously processed information has a level of anonymity greater than or equal to the anonymity of the anonymously processed information of each of the data provider companies to be compared;
3. The anonymity-degraded information output prevention device according to claim 2.
前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性のレベル以上であることが確認された場合であって、
かつ、
前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしていることが確認された場合には、
前記突合済み匿名加工情報を外部システムへ出力する処理を行い、
一方、
前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業のいずれか1ないし複数における前記匿名加工情報の匿名性のレベル未満になっていることが確認された場合か、
または、
前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、
前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う、
ことを特徴とする請求項2または3に記載の匿名性劣化情報出力防止装置。 The matching result processing unit includes:
As a result of the confirmation by the anonymity confirmation unit, it is confirmed that the level of anonymity of the matched anonymously processed information is equal to or higher than the level of anonymity of the anonymously processed information of each of the data provider companies to be matched. In the case where
and,
As a result of the confirmation by the processing policy confirmation unit, if it is confirmed that the matched anonymously processed information satisfies the anonymization processing policy of each of the data provider companies to be matched,
Perform processing to output the verified anonymously processed information to an external system,
on the other hand,
As a result of the confirmation by the anonymity confirmation unit, the level of anonymity of the matched anonymously processed information is lower than the level of anonymity of the anonymously processed information of any one or more of the data provider companies to be matched. If it is confirmed that
or
As a result of the confirmation by the processing policy confirmation unit, it is confirmed that the matched anonymously processed information does not satisfy the anonymization processing policy of one or more of the data provider companies to be matched; for,
Deleting the verified anonymously processed information and not outputting it to an external system;
The anonymity-degraded information output prevention device according to claim 2 or 3, characterized in that:
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合ステップと、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査ステップと、
を有していることを特徴とする匿名性劣化情報出力防止方法。 Anonymously processed information of each data provider company to be compared, which operates in a secure memory area that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by third parties. and an anonymously processed data store that stores unprocessed information, which is the original information before anonymously processing the anonymously processed information, and processing policy information for anonymously processing the unprocessed information into the anonymously processed information. Information whose anonymity has deteriorated has already been compared during the step of communicating and the matching of the anonymously processed information acquired from the anonymously processed data stores of each of the data provider companies by operating in the secure memory area section. A method for preventing the output of information with degraded anonymity, the method comprising: preventing the output of anonymously processed information;
an anonymously processed information matching step that operates in the secure memory area unit and matches the anonymously processed information of each of the data provider companies to be matched to generate matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. an anonymously processed information inspection step for confirming whether the anonymity of the anonymously processed information is guaranteed;
1. A method for preventing the output of information with degraded anonymity, the method comprising:
突合対象とする各前記データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認ステップと、
突合対象とする各前記データ提供元企業の前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認ステップと、
前記匿名性確認ステップと前記加工方針確認ステップとの確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理ステップと、
を有していることを特徴とする請求項5に記載の匿名性劣化情報出力防止方法。 The anonymously processed information inspection step includes:
With reference to the anonymously processed information of each of the data provider companies to be compared, the compared anonymously processed information is at a level higher than or equal to the level of anonymity of the anonymously processed information of each of the data provider companies to be compared. an anonymity confirmation step of confirming whether or not the anonymity of the
With reference to the processing policy information and the unprocessed information of each of the data provider companies to be matched, the matched anonymously processed information is processed for anonymization of each of the data provider companies to be matched. a processing policy confirmation step to confirm whether the policy is met;
a matching result processing step of outputting or discarding the matched anonymously processed information to an external system based on the confirmation results of the anonymity confirmation step and the processing policy confirmation step;
6. The method for preventing output of anonymity-deteriorating information according to claim 5, further comprising:
前記突合済み匿名加工情報を構成する各レコードを確認し、レコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、
該突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断する、
ことを特徴とする請求項6に記載の匿名性劣化情報出力防止方法。 The anonymity confirmation step includes:
Each record constituting the matched anonymously processed information is checked, and the minimum number of identical records in which the information in the records is the same is determined by the anonymously processed information of each of the data provider companies to be matched. If the value is greater than or equal to the minimum number of identical records in the information,
determining that the matched anonymously processed information has a level of anonymity greater than or equal to the anonymity of the anonymously processed information of each of the data provider companies to be compared;
7. The method for preventing output of anonymity-deteriorating information according to claim 6.
前記匿名性確認ステップにおける確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性のレベル以上であることが確認された場合であって、
かつ、
前記加工方針確認ステップにおける確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしていることが確認された場合には、
前記突合済み匿名加工情報を外部システムへ出力する処理を行い、
一方、
前記匿名性確認ステップにおける確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業のいずれか1ないし複数における前記匿名加工情報の匿名性のレベル未満になっていることが確認された場合か、
または、
前記加工方針確認ステップにおける確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、
前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う、
ことを特徴とする請求項6または7に記載の匿名性劣化情報出力防止方法。 The matching result processing step includes:
As a confirmation result in the anonymity confirmation step, it is confirmed that the level of anonymity of the matched anonymously processed information is equal to or higher than the level of anonymity of the anonymously processed information of each of the data provider companies to be matched. In the case where
and,
As a result of the confirmation in the processing policy confirmation step, if it is confirmed that the matched anonymously processed information satisfies the anonymization processing policy of each of the data provider companies to be matched,
Perform processing to output the verified anonymously processed information to an external system,
on the other hand,
As a result of the confirmation in the anonymity confirmation step, the level of anonymity of the matched anonymously processed information is lower than the level of anonymity of the anonymously processed information of any one or more of the data provider companies to be matched. If it is confirmed that
or
As a result of the confirmation in the processing policy confirmation step, it is confirmed that the matched anonymously processed information does not satisfy the anonymization processing policy of one or more of the data provider companies to be matched; for,
Deleting the verified anonymously processed information and not outputting it to an external system;
The method for preventing output of anonymity-deteriorating information according to claim 6 or 7, characterized in that:
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合工程と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査工程と、
を有していることを特徴とする匿名性劣化情報出力防止プログラム。 Anonymously processed information of each data provider company to be compared, unprocessed information that is the original information before anonymous processing of the anonymously processed information, and processing policy information for anonymously processing the unprocessed information into the anonymously processed information Anonymity deteriorated during the process of communicating with the anonymously processed data store that stores the data, and when comparing the anonymously processed information obtained from each of the anonymously processed data stores of each data provider company. A program for preventing the output of information with degraded anonymity, which is executed by a computer and includes the step of preventing information from being output as verified anonymously processed information,
Anonymously processed information of each data provider company that operates in a secure memory area that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by third parties, and is subject to verification. an anonymously processed information matching step of comparing the information to generate matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. an anonymously processed information inspection step to confirm whether the anonymity of the anonymously processed information is guaranteed;
Anonymity deterioration information output prevention program characterized by having the following.
突合対象とする各前記データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認工程と、
突合対象とする各前記データ提供元企業の前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認工程と、
前記匿名性確認工程と前記加工方針確認工程との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理工程と、
を有していることを特徴とする請求項9に記載の匿名性劣化情報出力防止プログラム。 In the anonymously processed information inspection step, internally,
With reference to the anonymously processed information of each of the data provider companies to be compared, the compared anonymously processed information is at a level higher than or equal to the level of anonymity of the anonymously processed information of each of the data provider companies to be compared. an anonymity confirmation step of confirming whether or not the anonymity of the
With reference to the processing policy information and the unprocessed information of each of the data provider companies to be matched, the matched anonymously processed information is processed for anonymization of each of the data provider companies to be matched. A processing policy confirmation process to confirm whether the policy is met or not;
a matching result processing step of outputting or discarding the matched anonymously processed information to an external system based on the confirmation results of the anonymity confirmation step and the processing policy confirmation step;
The anonymity deterioration information output prevention program according to claim 9, characterized in that it has the following.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019231235A JP7380183B2 (en) | 2019-12-23 | 2019-12-23 | Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019231235A JP7380183B2 (en) | 2019-12-23 | 2019-12-23 | Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021099668A JP2021099668A (en) | 2021-07-01 |
JP7380183B2 true JP7380183B2 (en) | 2023-11-15 |
Family
ID=76541213
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019231235A Active JP7380183B2 (en) | 2019-12-23 | 2019-12-23 | Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7380183B2 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012067213A1 (en) | 2010-11-16 | 2012-05-24 | 日本電気株式会社 | Information processing system and anonymizing method |
WO2013121739A1 (en) | 2012-02-17 | 2013-08-22 | 日本電気株式会社 | Anonymization device, and anonymization method |
JP2014170369A (en) | 2013-03-04 | 2014-09-18 | Nec Corp | Information processor, information processing system, and information anonymization method |
WO2014185043A1 (en) | 2013-05-15 | 2014-11-20 | 日本電気株式会社 | Information processing device, information anonymization method, and recording medium |
JP2015215676A (en) | 2014-05-08 | 2015-12-03 | 学校法人慶應義塾 | Anonymization system, issuing device, and program |
JP2017076303A (en) | 2015-10-16 | 2017-04-20 | 株式会社フィールトラスト | Information processing system |
-
2019
- 2019-12-23 JP JP2019231235A patent/JP7380183B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012067213A1 (en) | 2010-11-16 | 2012-05-24 | 日本電気株式会社 | Information processing system and anonymizing method |
WO2013121739A1 (en) | 2012-02-17 | 2013-08-22 | 日本電気株式会社 | Anonymization device, and anonymization method |
US20150033356A1 (en) | 2012-02-17 | 2015-01-29 | Nec Corporation | Anonymization device, anonymization method and computer readable medium |
JP2014170369A (en) | 2013-03-04 | 2014-09-18 | Nec Corp | Information processor, information processing system, and information anonymization method |
WO2014185043A1 (en) | 2013-05-15 | 2014-11-20 | 日本電気株式会社 | Information processing device, information anonymization method, and recording medium |
JP2015215676A (en) | 2014-05-08 | 2015-12-03 | 学校法人慶應義塾 | Anonymization system, issuing device, and program |
JP2017076303A (en) | 2015-10-16 | 2017-04-20 | 株式会社フィールトラスト | Information processing system |
Also Published As
Publication number | Publication date |
---|---|
JP2021099668A (en) | 2021-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10848501B2 (en) | Real time pivoting on data to model governance properties | |
Elkoumy et al. | Privacy and confidentiality in process mining: Threats and research challenges | |
Shen et al. | Privacy enhancing technologies: A review | |
Murphy et al. | From a sea of data to actionable insights: Big data and what it means for lawyers | |
Neama et al. | Privacy, security, risk, and trust concerns in e-commerce | |
Aziz | A systematic literature review of cyber insurance challenges | |
Hoffman et al. | Securing the HIPAA security rule | |
Berghel | Identity theft and financial fraud: Some strangeness in the proportions | |
JP7380183B2 (en) | Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program | |
Thorogood et al. | Protecting the Privacy of Canadians ‘Health Information in the Cloud | |
Miller et al. | Balancing security and privacy in the digital workplace | |
JP2019153060A (en) | System, method and apparatus for information management | |
Davidoff | Data breaches: crisis and opportunity | |
Aserkar et al. | Impact of personal data protection (PDP) regulations on operations workflow | |
Kamarinou et al. | Responsibilities of controllers and processors of personal data in clouds | |
Manna et al. | Edprl: A language for specifying data privacy requirements of enterprises | |
Hess | Enterprise Risk Management as a Measurement of Cybersecurity Effectiveness: A Correlational Study | |
Yee | Model for reducing risks to private or sensitive data | |
Daswani et al. | The marriott breach | |
Monfared et al. | Information privacy practices in organizations: Activities, knowledge and skill requirements for information technology professionals | |
Nagahawatta et al. | Security Concerns Influencing the Adoption of Cloud Computing by SMEs: A Literature | |
Moquin | Trust or Consequences Replication: A Methodological Replication Study | |
US11954735B1 (en) | Digital property protection systems | |
Manna et al. | A risk‐based methodology for privacy requirements elicitation and control selection | |
Kikuchi et al. | Best Security Measures to Reduce Cyber-Incident and Data Breach Risks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221107 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230613 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230801 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230921 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231003 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231016 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7380183 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |