JP7380183B2 - Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program - Google Patents

Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program Download PDF

Info

Publication number
JP7380183B2
JP7380183B2 JP2019231235A JP2019231235A JP7380183B2 JP 7380183 B2 JP7380183 B2 JP 7380183B2 JP 2019231235 A JP2019231235 A JP 2019231235A JP 2019231235 A JP2019231235 A JP 2019231235A JP 7380183 B2 JP7380183 B2 JP 7380183B2
Authority
JP
Japan
Prior art keywords
information
anonymously processed
anonymity
anonymously
processed information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019231235A
Other languages
Japanese (ja)
Other versions
JP2021099668A (en
Inventor
幸太郎 山村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2019231235A priority Critical patent/JP7380183B2/en
Publication of JP2021099668A publication Critical patent/JP2021099668A/en
Application granted granted Critical
Publication of JP7380183B2 publication Critical patent/JP7380183B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムに関し、特に、情報の匿名化を図る際の匿名加工技術として、複数の匿名加工情報を組み合わせる突合時において匿名性の劣化が生じた情報の出力を防止することを可能にする匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムに関する。 The present invention relates to an anonymity deterioration information output prevention device, an anonymity deterioration information output prevention method, and an anonymity deterioration information output prevention program. The present invention relates to an anonymity-degraded information output prevention device, an anonymity-degraded information output prevention method, and an anonymity-degraded information output prevention program that make it possible to prevent the output of information whose anonymity has deteriorated during matching.

一般的に、個人情報や企業内で取り扱う情報を企業間で共有し、情報を結合・分析することは、社会的な価値を新たに創出することができるものとして大いに期待されている。 In general, sharing personal information and information handled within a company between companies, and combining and analyzing the information is highly expected to create new social value.

しかしながら、プライバシ保護の観点から、保護対象の個人や企業の同意がない状態では、個人情報や企業情報の第三者への提供は禁止されている場合が多い。また、企業自体においても、競争力の源泉となる情報を競合相手に開示することを嫌う傾向にある。 However, from the perspective of privacy protection, provision of personal information or corporate information to third parties is often prohibited without the consent of the individual or company to be protected. Furthermore, companies themselves tend to dislike disclosing information that is the source of their competitiveness to competitors.

かくのごとき社会の要請に着目した技術として、情報の自由な流通・利活用を促進することを目的とした匿名加工技術がある。本願でいうところの匿名加工技術は、例えば特許文献1の特開2019-95885号公報「匿名化データ評価システムおよび方法、並びに匿名レベル判定サーバ」等に記載されているような匿名化技術を適用するものである。この匿名加工技術は、対象とする情報自体の加工を行い、対象の人物等の属性を知ろうとする閲覧者に対して、センシティブ情報を隠すことにより、匿名性を有する匿名加工情報として提供することを可能にするものである。この匿名加工技術を採用することにより、例えば消費者の購買記録や行動履歴、災害時の動線など、従来の統計情報においては得ることができなかった情報が得られるようになり、情報のより詳細な分析が可能になる。 As a technology that focuses on such social needs, there is an anonymous processing technology that aims to promote the free distribution and utilization of information. The anonymization technology referred to in this application applies, for example, an anonymization technology described in Patent Document 1, JP 2019-95885A, "Anonymized data evaluation system and method, and anonymity level determination server", etc. It is something to do. This anonymous processing technology processes the target information itself and provides it as anonymously processed information with anonymity by hiding sensitive information from viewers who are trying to know the attributes of the target person. This is what makes it possible. By adopting this anonymous processing technology, it becomes possible to obtain information that could not be obtained with conventional statistical information, such as consumer purchase records, behavior history, and movement lines during disasters, and improve information. Detailed analysis becomes possible.

つまり、このような匿名加工技術を用いることにより、データ提供元企業において、該データ提供元企業などが自ら収集した個人情報や企業情報における無加工の個人情報や企業情報(無加工情報)について統計処理・匿名化を行い、匿名性を有する統計情報・匿名加工情報を得て、これら匿名性を有する統計情報・匿名加工情報を第三者の企業等へ提供することが可能になる。 In other words, by using such anonymous processing technology, data provider companies can collect statistics on unprocessed personal information and corporate information (unprocessed information) collected by the data provider companies, etc. It becomes possible to process and anonymize information, obtain anonymous statistical information and anonymously processed information, and provide this anonymous statistical information and anonymously processed information to third-party companies.

特開2019-095885号公報JP2019-095885A

しかしながら、本発明に関連する前記特許文献1等の現状の匿名加工技術に関しては、以下のような解決するべき課題がある。 However, with regard to the current anonymous processing technology such as the above-mentioned Patent Document 1 related to the present invention, there are the following problems to be solved.

複数のデータ提供元企業が匿名加工情報を提供する場合、複数のデータ提供元企業それぞれが提供する匿名加工情報を、第三者企業が集めて突合することは、各データ提供元企業が実施した匿名化処理が無意味となって、個人情報や企業情報の元情報が再特定されてしまう危険性があるため、原則禁止とされている。 When multiple data provider companies provide anonymously processed information, third-party companies must collect and collate the anonymously processed information provided by each of the multiple data provider companies. In principle, it is prohibited because anonymization processing becomes meaningless and there is a risk that the original personal information or corporate information may be re-identified.

また、複数のデータ提供元企業それぞれが、提供された情報に関して突合した分析を行う民間企業と委託契約を結び、データ提供元企業自身が保有する個人情報や企業情報を該民間企業へ提供すること、および、該民間企業が、提供された個人情報や企業情報を突合して、統計情報・匿名加工情報として、他の企業へ提供することも原則禁止とされている。 Additionally, each of the multiple data provider companies may enter into a contract with a private company that performs a combined analysis of the provided information, and provide personal information and corporate information held by the data provider company to the private company. In principle, it is also prohibited for private companies to collate the provided personal information and corporate information and provide it to other companies as statistical information or anonymously processed information.

かくのごとき事情から、社会的な価値を新たに創出することができるマーケット情報などの有効な情報を含む複数の匿名加工情報の突合を実施することができず、価値ある情報の流通を阻害する要因となっている。 Due to these circumstances, it is not possible to collate multiple pieces of anonymously processed information, including valid information such as market information that can create new social value, and this obstructs the distribution of valuable information. This is a contributing factor.

言い換えると、匿名化技術に関し、組織間におけるデータ結合分析への対応が困難であるため、マーケット情報などの有益な情報を含む複数の匿名加工情報の突合を実施することができず、価値ある情報の流通を阻害する要因となっている。 In other words, with regard to anonymization technology, it is difficult to handle data joint analysis between organizations, so it is not possible to compare multiple pieces of anonymously processed information, including useful information such as market information, and it is not possible to collect valuable information. This is a factor that hinders the distribution of

(本発明の目的)
本発明の目的は、かかる事情に鑑み、複数のデータ提供元企業が保有する匿名加工情報を突合した情報を出力する際に、匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止し、第三者へ匿名加工前の元の情報を漏洩させること無く、安全に、各データ提供元企業が提供する匿名加工情報を突合させることを可能にする匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムを提供することにある。 (Objective of the present invention)
In view of such circumstances, it is an object of the present invention to ensure that, when outputting information obtained by comparing anonymously processed information held by multiple data provider companies, information whose anonymity has deteriorated is output as compared anonymously processed information. Anonymity-degraded information output prevention device that enables securely collating anonymously processed information provided by each data provider company without leaking the original information before anonymous processing to a third party. An object of the present invention is to provide a method for preventing the output of information with degraded anonymity and a program for preventing the output of information with degraded anonymity.

前述の課題を解決するため、本発明による匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムは、主に、次のような特徴的な構成を採用している。 In order to solve the above-mentioned problems, the anonymity deterioration information output prevention device, the anonymity deterioration information output prevention method, and the anonymity deterioration information output prevention program according to the present invention mainly adopt the following characteristic configuration. ing.

(1)本発明による匿名加工劣化情報出力防止装置は、
突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行う機能と、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能と、を有する匿名性劣化情報出力防止装置であって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合部と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査部と、
を有していることを特徴とする。 (1) The anonymous processing deterioration information output prevention device according to the present invention includes:
Anonymously processed information of each data provider company to be compared, unprocessed information that is the original information before anonymous processing of the anonymously processed information, and processing policy information for anonymously processing the unprocessed information into the anonymously processed information Anonymity deteriorates when comparing the anonymously processed information obtained from each of the anonymously processed data stores of each data provider company. An anonymity deterioration information output prevention device having a function of preventing information from being output as verified anonymously processed information,
a secure memory area section that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by a third party;
an anonymously processed information matching unit that operates in the secure memory area unit, matches anonymously processed information of each of the data provider companies to be matched, and generates matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. An anonymously processed information inspection department that confirms whether the anonymity of anonymously processed information is guaranteed;
It is characterized by having the following.

(2)本発明による匿名性劣化情報出力防止方法は、
突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行うステップと、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止するステップと、を有する匿名性劣化情報出力防止方法であって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合ステップと、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査ステップと、
を有していることを特徴とする。 (2) The method for preventing the output of anonymity-deteriorating information according to the present invention is as follows:
Anonymously processed information of each data provider company to be compared, unprocessed information that is the original information before anonymous processing of the anonymously processed information, and processing policy information for anonymously processing the unprocessed information into the anonymously processed information Anonymity deteriorates during the step of communicating with the anonymously processed data store that stores the data, and when the anonymously processed information obtained from each of the anonymously processed data stores of each data provider company is combined. A method for preventing the output of information with degraded anonymity, the method comprising: preventing information from being output as verified anonymously processed information;
Anonymously processed information of each data provider company that operates in a secure memory area that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by third parties, and is subject to verification. an anonymously processed information matching step of comparing the information to generate matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. an anonymously processed information inspection step for confirming whether the anonymity of the anonymously processed information is guaranteed;
It is characterized by having the following.

(3)本発明による匿名性劣化情報出力防止プログラムは、
コンピュータにより実行されるプログラムとして、突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行う工程と、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する工程と、を有する匿名性劣化情報出力防止プログラムであって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合工程と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査工程と、
を有していることを特徴とする。 (3) The anonymity deterioration information output prevention program according to the present invention is
As a program executed by a computer, the anonymously processed information of each data provider company to be compared, the unprocessed information that is the original information before anonymous processing of the anonymously processed information, and the unprocessed information are converted into the anonymously processed information. A step of communicating with an anonymously processed data store that stores processing policy information for anonymous processing is combined with the anonymously processed information obtained from each of the anonymously processed data stores of each data provider company. A program for preventing the output of information with deteriorated anonymity, the program comprising: preventing information whose anonymity has deteriorated during verification from being output as verified anonymously processed information;
Anonymously processed information of each data provider company that operates in a secure memory area that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by third parties, and is subject to verification. an anonymously processed information matching step of comparing the information to generate matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. an anonymously processed information inspection step to confirm whether the anonymity of the anonymously processed information is guaranteed;
It is characterized by having the following.

本発明の匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムによれば、主に、以下のような効果を奏することができる。 According to the anonymity deterioration information output prevention device, the anonymity deterioration information output prevention method, and the anonymity deterioration information output prevention program of the present invention, the following effects can be achieved mainly.

すなわち、複数のデータ提供元企業が保有する匿名加工情報を突合して突合済み匿名加工情報を生成する際に、該突合済み匿名加工情報の匿名性を担保し、かつ、突合対象とする各データ提供元企業の匿名化の加工方針を満たした状態で、安全性が高い情報として生成されたか否かを確認することが可能であるので、匿名性を有することが十分に担保された状態の突合済み匿名加工情報を外部システムに対して提供することが可能である。 In other words, when comparing anonymously processed information held by multiple data provider companies to generate matched anonymously processed information, the anonymity of the matched anonymously processed information is guaranteed, and each data provision to be compared is It is possible to check whether the information was generated as highly secure information while satisfying the original company's anonymization processing policy, so it has been verified that anonymity is sufficiently guaranteed. It is possible to provide anonymously processed information to external systems.

本発明に係る匿名性劣化情報出力防止装置の内部構成の一例を示すブロック構成図である。1 is a block configuration diagram showing an example of the internal configuration of an anonymity deterioration information output prevention device according to the present invention. FIG. 図1に示すA社の匿名加工データストアの加工前情報DBに格納されている加工前情報の登録例を示すテーブルである。2 is a table showing a registration example of unprocessed information stored in an unprocessed information DB of an anonymously processed data store of Company A shown in FIG. 1; 図1に示すA社の匿名加工データストアの加工方針情報DBに登録されている加工方針情報の登録例を示すテーブルである。2 is a table showing a registration example of processing policy information registered in the processing policy information DB of the anonymously processed data store of Company A shown in FIG. 1; 図1に示すA社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の登録例を示すテーブルである。2 is a table showing a registration example of anonymously processed information stored in an anonymously processed information DB of an anonymously processed data store of Company A shown in FIG. 1; 図1に示すB社の匿名加工データストアの加工前情報DBに格納されている加工前情報の登録例を示すテーブルである。2 is a table showing an example of registration of unprocessed information stored in an unprocessed information DB of an anonymously processed data store of Company B shown in FIG. 1. FIG. 図1に示すB社の匿名加工データストアの加工方針情報DBに登録されている加工方針情報の登録例を示すテーブルである。2 is a table showing a registration example of processing policy information registered in the processing policy information DB of the anonymously processed data store of Company B shown in FIG. 1; 図1に示すB社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の登録例を示すテーブルである。2 is a table showing a registration example of anonymously processed information stored in an anonymously processed information DB of an anonymously processed data store of Company B shown in FIG. 1; 図1に示すC社の匿名加工データストアの加工前情報DBに格納されている加工前情報の登録例を示すテーブルである。2 is a table showing a registration example of unprocessed information stored in an unprocessed information DB of an anonymously processed data store of company C shown in FIG. 1; 図1に示すC社の匿名加工データストアの加工方針情報DBに登録されている加工方針情報の登録例を示すテーブルである。2 is a table showing a registration example of processing policy information registered in the processing policy information DB of the anonymously processed data store of Company C shown in FIG. 1; 図1に示すC社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の登録例を示すテーブルである。2 is a table showing a registration example of anonymously processed information stored in an anonymously processed information DB of an anonymously processed data store of company C shown in FIG. 1; 図1に示すC社の匿名加工データストアの加工方針情報DBに登録されている加工方針情報の図9とは異なる登録例を示すテーブルである。10 is a table showing a registration example different from FIG. 9 of processing policy information registered in the processing policy information DB of the anonymously processed data store of company C shown in FIG. 1. FIG. 図1に示すC社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の図10とは異なる登録例を示すテーブルである。11 is a table showing a different registration example from FIG. 10 of anonymously processed information stored in the anonymously processed information DB of the anonymously processed data store of company C shown in FIG. 1. FIG. 図1に本発明の一実施形態として示した匿名性劣化情報出力防止装置の動作の一例を示すフローチャートである。2 is a flowchart showing an example of the operation of the anonymity deterioration information output prevention device shown in FIG. 1 as an embodiment of the present invention. 図4に示したA社の匿名加工情報DBから読み込んだ匿名加工情報と図10に示したC社の匿名加工情報DBから読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルである。An example of matched anonymously processed information obtained by comparing the anonymously processed information read from the anonymously processed information DB of company A shown in FIG. 4 and the anonymously processed information read from the anonymously processed information DB of company C shown in FIG. This is the table shown below. 図4に示したA社の匿名加工情報DBから読み込んだ匿名加工情報と図12に示したC社の匿名加工情報DBから読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルである。An example of matched anonymously processed information obtained by comparing the anonymously processed information read from the anonymously processed information DB of company A shown in FIG. 4 with the anonymously processed information read from the anonymously processed information DB of company C shown in FIG. 12. This is the table shown below. 図4に示したA社の匿名加工情報DBから読み込んだ匿名加工情報と図7に示したB社の匿名加工情報DBから読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルである。An example of matched anonymously processed information obtained by comparing the anonymously processed information read from the anonymously processed information DB of company A shown in Figure 4 and the anonymously processed information read from the anonymously processed information DB of company B shown in Figure 7. This is the table shown below.

以下、本発明による匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラムの好適な実施形態について添付図を参照して説明する。なお、以下の説明においては、本発明による匿名性劣化情報出力防止装置および匿名性劣化情報出力防止方法について説明するが、かかる匿名性劣化情報出力防止方法をコンピュータにより実行可能な匿名性劣化情報出力防止プログラムとして実施するようにしても良いし、あるいは、匿名性劣化情報出力防止プログラムをコンピュータにより読み取り可能な記録媒体に記録するようにしても良いことは言うまでもない。また、以下の各図面に付した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではないことも言うまでもない。 Hereinafter, preferred embodiments of an anonymity-degraded information output prevention device, an anonymity-degraded information output prevention method, and an anonymity-degraded information output prevention program according to the present invention will be described with reference to the accompanying drawings. In the following explanation, an anonymity-degraded information output prevention device and an anonymity-degraded information output prevention method according to the present invention will be explained. It goes without saying that the program may be implemented as a prevention program, or the anonymity deterioration information output prevention program may be recorded on a computer-readable recording medium. In addition, the drawing reference numerals attached to the following drawings are added to each element for convenience as an example to aid understanding, and it goes without saying that the present invention is not intended to be limited to the embodiments shown in the figures. stomach.

(本発明の特徴)
本発明の実施形態の説明に先立って、本発明の特徴についてその概要をまず説明する。本発明は、複数のデータ提供元企業それぞれが保有する匿名加工情報を突合する際に匿名加工レベルが劣化する可能性があるので、匿名加工レベルが劣化した状態になった場合には突合済み匿名加工情報(複数の匿名加工情報を突合して生成した匿名加工情報)の外部システムへの流出を未然に防止し、外部システムに対しては、匿名加工レベルが劣化していない安全性が高い状態の突合済み匿名加工情報を確実に提供する仕組みを有していることを主要な特徴としている。 (Features of the present invention)
Prior to describing the embodiments of the present invention, an overview of the features of the present invention will be first explained. Since the level of anonymous processing may deteriorate when comparing the anonymously processed information held by multiple data provider companies, the present invention is designed to prevent We prevent the leakage of processed information (anonymously processed information generated by collating multiple pieces of anonymously processed information) to external systems, and provide information to external systems in a highly secure state where the level of anonymous processing has not deteriorated. Its main feature is that it has a mechanism to reliably provide verified anonymously processed information.

さらに詳しく説明すると、本発明の主要な特徴は次の通りである。 More specifically, the main features of the present invention are as follows.

本発明に係る匿名性劣化情報出力防止装置は、複数のデータ提供元企業それぞれが保有する匿名加工データストアに格納されているそれぞれの匿名加工情報を取得して、取得した複数のデータ提供元企業それぞれの匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能を有する装置であって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部と、
前記セキュアメモリ領域部にて動作し、複数のデータ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合部と、
前記セキュアメモリ領域部にて動作し、複数のデータ提供元企業それぞれにおいて適用されている加工前情報を匿名加工するための加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査部と、
を有している。 Anonymity deterioration information output prevention device according to the present invention acquires anonymously processed information stored in an anonymously processed data store owned by each of a plurality of data provider companies, and A device having a function of preventing information whose anonymity has deteriorated from being output as matched anonymously processed information when comparing each anonymously processed information,
a secure memory area section that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by a third party;
an anonymously processed information collation unit that operates in the secure memory area unit, collates anonymously processed information of a plurality of data provider companies, and generates collated anonymously processed information;
The anonymity of the matched anonymously processed information that operates in the secure memory area and is generated by taking into consideration the processing policy information for anonymously processing unprocessed information applied by each of the multiple data provider companies. An anonymously processed information inspection department that confirms whether the information is secured;
have.

ここで、突合済み匿名加工情報の匿名性が担保されているか否かを検査する前記匿名加工情報検査部は、内部に、
突合対象とする各データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業の前記匿名加工情報それぞれの匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認部と、
突合対象とする各データ提供元企業それぞれの前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認部と、
前記匿名性確認部と前記加工方針確認部との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理部と、
を有している。 Here, the anonymously processed information inspection unit that inspects whether or not the anonymity of the verified anonymously processed information is ensured internally,
With reference to the anonymously processed information of each data provider company to be matched, it is determined whether the matched anonymously processed information has a level of anonymity higher than the level of anonymity of each of the anonymously processed information of each data provider company to be matched. an anonymity confirmation unit that confirms whether or not anonymity exists;
By referring to the processing policy information and the unprocessed information of each data provider company to be matched, the matched anonymously processed information is determined based on the anonymization processing policy of each data provider company to be matched. A processing policy confirmation department that confirms whether the requirements are met;
a matching result processing unit that performs a process of outputting or discarding the matched anonymously processed information to an external system based on the confirmation results of the anonymity confirmation unit and the processing policy confirmation unit;
have.

そして、前記突合結果処理部は、
前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の前記匿名加工情報それぞれの匿名性のレベル以上であることが確認された場合であって、
かつ、
前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業の匿名化の加工方針を満たしていることが確認された場合には、
前記突合済み匿名加工情報を外部システムへ出力する処理を行う。 Then, the matching result processing unit
As a result of the confirmation by the anonymity confirmation unit, it is confirmed that the level of anonymity of the matched anonymously processed information is equal to or higher than the level of anonymity of each of the anonymously processed information of each data provider company to be matched. In the case that
and,
If it is confirmed as a confirmation result by the processing policy confirmation unit that the matched anonymously processed information satisfies the anonymization processing policy of each data provider company to be matched,
A process is performed to output the verified anonymously processed information to an external system.

一方、前記突合結果処理部は、
前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の前記匿名加工情報のいずれか1ないし複数における匿名性のレベル未満になっていることが確認された場合か、
あるいは、
前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、
前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う。 On the other hand, the matching result processing unit
As a result of the confirmation by the anonymity confirmation unit, the level of anonymity of the matched anonymously processed information is lower than the level of anonymity of one or more of the anonymously processed information of each data provider company to be matched. If it is confirmed that
or,
When it is confirmed that the verified anonymously processed information does not satisfy the anonymization processing policy of one or more of the data provider companies to be verified as a result of the verification by the processing policy confirmation department. teeth,
The verified anonymously processed information is deleted and processing is performed so as not to output it to an external system.

(本発明の実施形態の構成例)
次に、本発明に係る匿名性劣化情報出力防止装置の実施形態について、図1を参照しながら詳細に説明する。図1は、本発明に係る匿名性劣化情報出力防止装置の内部構成の一例を示すブロック構成図であり、該匿名性劣化情報出力防止装置に対して、突合対象となる複数の匿名加工情報それぞれを提供する複数のデータ提供元企業(A社、B社、C社)それぞれが所有する匿名加工データストアも含めて、その一例を示している。 (Configuration example of embodiment of the present invention)
Next, an embodiment of an anonymity deterioration information output prevention device according to the present invention will be described in detail with reference to FIG. FIG. 1 is a block diagram showing an example of the internal configuration of an anonymity-degraded information output prevention device according to the present invention. An example of this is shown, including anonymously processed data stores owned by multiple data provider companies (Company A, Company B, and Company C).

図1に示す匿名性劣化情報出力防止装置300は、各企業が提供する複数の匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能を有する装置であり、突合対象とする各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報を保存している匿名加工データストアとの間で通信を行う機能を有する装置である。すなわち、匿名性劣化情報出力防止装置300に対して複数の匿名加工データストアを通信可能な状態で接続することにより、各データ提供元企業(A社、B社、C社)それぞれが提供する匿名加工情報の組合せによる匿名性の劣化を防止することが可能な匿名加工情報の突合システムとして構築することができる。 The anonymity degraded information output prevention device 300 shown in FIG. 1 has a function of preventing information whose anonymity has degraded from being output as matched anonymously processed information when a plurality of anonymously processed information provided by each company is compared. A device that has the function of communicating with an anonymously processed data store that stores anonymously processed information of each data provider company (Company A, Company B, and Company C) to be compared. It is. That is, by connecting a plurality of anonymously processed data stores to the anonymity deterioration information output prevention device 300 in a communicable state, the anonymous information provided by each data provider company (Company A, Company B, Company C) is It is possible to construct an anonymously processed information matching system that can prevent deterioration of anonymity due to combinations of processed information.

なお、匿名加工データストアは、匿名加工情報を提供する各データ提供元企業(A社、B社、C社)ごとに配置されていて、図1には、匿名性劣化情報出力防止装置300と通信を行う複数の匿名加工データストアとして、A社の匿名加工データストア10、B社の匿名加工データストア11、C社の匿名加工データストア12が匿名性劣化情報出力防止装置300に接続されている例を示している。しかし、接続する匿名加工データストアの台数に関しては、かかる場合に限るものではなく、増減しても勿論構わない。 The anonymously processed data store is located for each data provider company (Company A, Company B, Company C) that provides anonymously processed information, and FIG. 1 shows anonymity degradation information output prevention device 300 and As a plurality of anonymously processed data stores that communicate, an anonymously processed data store 10 of company A, an anonymously processed data store 11 of company B, and an anonymously processed data store 12 of company C are connected to the anonymity deterioration information output prevention device 300. An example is shown below. However, the number of anonymously processed data stores to be connected is not limited to this case, and of course may be increased or decreased.

ここで、A社の匿名加工データストア10、B社の匿名加工データストア11、C社の匿名加工データストア12それぞれには、それぞれの匿名加工情報を格納している匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120のそれぞれを有している他に、A社、B社、C社それぞれにおいて匿名加工を施す前の元情報である加工前情報を格納している加工前情報DB101、加工前情報DB111、加工前情報DB121のそれぞれを有し、さらに、A社、B社、C社それぞれにおいて加工前情報を匿名加工して匿名加工情報を生成するための加工方針情報を登録している加工方針情報DB102、加工方針情報DB112、加工方針情報DB122のそれぞれも有している。 Here, the anonymously processed data store 10 of company A, the anonymously processed data store 11 of company B, and the anonymously processed data store 12 of company C each have an anonymously processed information DB 100 that stores the respective anonymously processed information, and an anonymously processed data store 10 that stores anonymously processed information. In addition to having each of the information DB 110 and the anonymously processed information DB 120, there is also an unprocessed information DB 101 that stores unprocessed information that is the original information before anonymous processing is performed at each of Company A, Company B, and Company C. It has an unprocessed information DB 111 and an unprocessed information DB 121, and also registers processing policy information for anonymously processing the unprocessed information and generating anonymously processed information in each of Company A, Company B, and Company C. It also has a processing policy information DB 102, a processing policy information DB 112, and a processing policy information DB 122.

なお、A社、B社、C社それぞれの加工方針情報DB102、加工方針情報DB112、加工方針情報DB122それぞれの加工方針情報に関しては、場合によっては、匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120それぞれの中に含む形で構成するようにしても良いが、ここでは、説明を簡素化するために、それぞれの加工方針情報DB102、加工方針情報DB112、加工方針情報DB122を、匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120とは独立に設置している場合について説明する。 Regarding the processing policy information of the processing policy information DB 102, processing policy information DB 112, and processing policy information DB 122 of Company A, Company B, and Company C, depending on the case, anonymous processing information DB 100, anonymous processing information DB 110, anonymous processing Although the information DB 120 may be configured to be included in each of the information DB 120, in order to simplify the explanation, the processing policy information DB 102, the processing policy information DB 112, and the processing policy information DB 122 are included here as anonymous processing information. A case where the DB 100, anonymously processed information DB 110, and anonymously processed information DB 120 are installed independently will be described.

また、図1に示す匿名性劣化情報出力防止装置300は、内部に、セキュアメモリ領域部310を有している。セキュアメモリ領域部310は、ソフトウェアレベルだけでなく、ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供する。 Further, the anonymity deterioration information output prevention device 300 shown in FIG. 1 has a secure memory area section 310 inside. The secure memory area unit 310 applies security functions not only at the software level but also at the hardware level to provide a secure memory space that cannot be intercepted by a third party.

つまり、セキュアメモリ領域部310は、匿名性劣化情報出力防止装置300内において、ソフトウェアだけではなくハードウェアによるサポートによって、アプリケーションの安全な実行環境を実現するための技術仕様(TEE:Trusted Execution Environment)を用いて、第三者によって傍受されることのないセキュアなメモリ空間を構築している。ここで、該セキュアメモリ領域部310は、既存のTSM(Trust Service Management)やSGX(Software Guard Extensions)、Trust Zoneといった技術を用いて、セキュアなメモリ空間を構築するようにしても良い。 In other words, the secure memory area unit 310 has technical specifications (TEE: Trusted Execution Environment) for realizing a safe execution environment for applications by supporting not only software but also hardware within the anonymity degradation information output prevention device 300. is used to construct a secure memory space that cannot be intercepted by a third party. Here, the secure memory area unit 310 may construct a secure memory space using existing technologies such as TSM (Trust Service Management), SGX (Software Guard Extensions), and Trust Zone.

そして、セキュアメモリ領域部310の内部において動作する処理部として、匿名加工情報突合部311と匿名加工情報検査部312とを有している。 The secure memory area section 310 includes an anonymously processed information matching section 311 and an anonymously processed information inspection section 312 as processing sections operating inside the secure memory area section 310.

匿名加工情報突合部311は、セキュアメモリ領域部310内において動作し、複数のデータ提供元企業の匿名加工情報DB(図1の場合は、匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120)のそれぞれから突合すべき匿名加工情報を取得して突合し、突合した匿名加工情報を、突合済み匿名加工情報として、匿名加工情報検査部312に対して出力する。 The anonymously processed information collation unit 311 operates within the secure memory area unit 310 and compares anonymously processed information DBs of multiple data provider companies (in the case of FIG. 1, anonymously processed information DB 100, anonymously processed information DB 110, anonymously processed information DB 120). ), the anonymously processed information to be compared is obtained and compared, and the anonymously processed information that has been compared is output to the anonymously processed information inspection unit 312 as compared anonymously processed information.

つまり、匿名加工情報突合部311は、セキュアメモリ領域部310において動作し、複数のデータ提供元企業の匿名加工情報(図1の場合は、A社の匿名加工データストア10の匿名加工情報DB100から提供される匿名加工情報、B社の匿名加工データストア11の匿名加工情報DB110から提供される匿名加工情報、C社の匿名加工データストア12の匿名加工情報DB120から提供される匿名加工情報)を突合し、突合済み匿名加工情報を生成する匿名加工情報生成手段である。 That is, the anonymously processed information collation unit 311 operates in the secure memory area unit 310, and collects anonymously processed information from multiple data provider companies (in the case of FIG. 1, from the anonymously processed information DB 100 of the anonymously processed data store 10 of Company A). (anonymously processed information provided from the anonymously processed information DB 110 of the anonymously processed data store 11 of company B, anonymously processed information provided from the anonymously processed information DB 120 of the anonymously processed data store 12 of company C) It is an anonymously processed information generation means that compares the information and generates the compared anonymously processed information.

ここで、複数の匿名加工情報を突合する動作は、前記匿名加工情報の各レコードそれぞれを構成する各項目(各欄:各カラム)を確認して、各項目(各欄:各カラム)のうち、突合対象の複数の前記匿名加工情報のレコードそれぞれに共通する各項目(各欄:各カラム)に同一の情報を有しているレコード同士を突合する。 Here, the operation of comparing multiple pieces of anonymously processed information is to check each item (each column: each column) constituting each record of the anonymously processed information, and select one of each item (each column: each column). , records having the same information in each item (each column) common to each of the plurality of anonymously processed information records to be matched are compared.

また、匿名加工情報検査部312は、匿名加工情報突合部311と同様に、セキュアメモリ領域部310内において動作し、匿名加工情報突合部311から前記突合済み匿名加工情報を受け取ると、突合対象の複数のデータ提供元企業に関する加工前情報DBと加工方針情報DB(図1の場合は、A社の加工前情報DB101と加工方針情報DB102、B社の加工前情報DB111と加工方針情報DB112、C社の加工前情報DB121と加工方針情報DB122)との、それぞれと通信を行って、それぞれの加工前情報と加工方針情報とを取得する。そして、取得したそれぞれの加工前情報と加工方針情報とを勘案して、匿名加工情報突合部311から受け取った前記突合済み匿名加工情報の匿名性の劣化検査を実施し、実施した劣化検査結果に従って、受け取った前記突合済み匿名加工情報の外部システムへの出力許可または破棄の判断を行う。 Similarly to the anonymously processed information matching unit 311, the anonymously processed information inspection unit 312 operates within the secure memory area unit 310, and upon receiving the matched anonymously processed information from the anonymously processed information matching unit 311, the anonymously processed information checking unit 312 checks the information to be compared. Pre-processing information DB and processing policy information DB for multiple data provider companies (in the case of Figure 1, company A's pre-processing information DB 101 and processing policy information DB 102, company B's pre-processing information DB 111 and processing policy information DB 112, and C The pre-processing information DB 121 and the processing policy information DB 122) of the company are communicated with to obtain the respective pre-processing information and processing policy information. Then, taking into account each acquired pre-processing information and processing policy information, a deterioration test for the anonymity of the matched anonymously processed information received from the anonymously processed information matching unit 311 is performed, and according to the results of the deterioration test conducted. , determines whether to permit output of the received verified anonymously processed information to an external system or to discard it.

つまり、匿名加工情報検査部312は、匿名加工情報突合部311と同様に、セキュアメモリ領域部310において動作し、突合対象とする複数のデータ提供元企業それぞれにおいて適用されているそれぞれの加工前情報を匿名加工するための加工方針情報を勘案して、匿名加工情報突合部311において生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを検査する検査手段である。 In other words, the anonymously processed information inspection unit 312 operates in the secure memory area unit 310 similarly to the anonymously processed information matching unit 311, and checks each unprocessed information applied in each of a plurality of data provider companies to be compared. This is an inspection means for inspecting whether or not the anonymity of the verified anonymously processed information generated by the anonymously processed information matching unit 311 is guaranteed, taking into account the processing policy information for anonymously processing the information.

さらに説明すると、前記突合済み匿名加工情報の匿名性が担保されているか否かを検査する匿名加工情報検査部312は、内部に、匿名性確認部3121と加工方針確認部3122と突合結果処理部3123とを有している。 To explain further, the anonymously processed information inspection section 312 that inspects whether the anonymity of the matched anonymously processed information is secured includes an anonymity confirmation section 3121, a processing policy confirmation section 3122, and a comparison result processing section. 3123.

匿名性確認部3121は、突合対象とする各データ提供元企業それぞれの匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業の前記匿名加工情報それぞれの匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認手段を提供する。具体的には、例えば、匿名性確認部3121は、突合済み匿名加工情報を構成する各レコードを確認し、レコード内の情報が同一の情報になっているレコード(すなわち同一レコード)の最少の個数が、突合対象とする各データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、該突合済み匿名加工情報は、突合対象とする各データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断するように構成する。 The anonymity confirmation unit 3121 refers to the anonymously processed information of each data provider company to be compared, and determines whether the matched anonymously processed information is the anonymously processed information of each data provider company to be compared. To provide an anonymity confirmation means for confirming whether or not the level of anonymity is higher than that of anonymity. Specifically, for example, the anonymity confirmation unit 3121 checks each record that constitutes the matched anonymously processed information, and determines the minimum number of records in which the information in the records is the same information (that is, the same records). is greater than or equal to the minimum number of the same records in the anonymously processed information of each data provider company to be matched, then the matched anonymously processed information is the same as each data to be compared. It is configured to determine that the anonymously processed information has a level of anonymity higher than the anonymity of the anonymously processed information of each provider company.

加工方針確認部3122は、突合対象とする各データ提供元企業それぞれの前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認手段を提供する。 The processing policy confirmation unit 3122 refers to the processing policy information and the pre-processing information of each data provider company to be compared, and determines whether the matched anonymously processed information is the data provider company to be compared. Provides a processing policy confirmation means for checking whether each anonymization processing policy is satisfied.

また、突合結果処理部3123は、匿名性確認部3121と加工方針確認部3122との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかのいずれかの処理を行う突合結果処理手段を提供する。 Furthermore, the matching result processing section 3123 either outputs the matched anonymously processed information to an external system or discards it, based on the confirmation results of the anonymity confirmation section 3121 and the processing policy confirmation section 3122. A matching result processing means is provided.

そして、突合結果処理部3123は、匿名性確認部3121における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の前記匿名加工情報それぞれの匿名性のレベル以上であることが確認された場合であって、かつ、加工方針確認部3122における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業それぞれの匿名化の加工方針を満たしていることが確認された場合には、前記突合済み匿名加工情報は匿名性が十分に担保されている情報であると判断して、前記突合済み匿名加工情報を外部システムへ出力する処理を行う。 The matching result processing unit 3123 determines, as a confirmation result in the anonymity confirmation unit 3121, that the level of anonymity of the matched anonymously processed information is the anonymity level of each of the anonymously processed information of each data provider company to be matched. , and as a result of the confirmation by the processing policy confirmation unit 3122, the matched anonymously processed information is verified to be anonymized by each data provider company to be matched. If it is confirmed that the policy is met, it is determined that the anonymity of the verified anonymously processed information is sufficiently guaranteed, and the verified anonymously processed information is output to an external system. Perform processing.

一方、突合結果処理部3123は、匿名性確認部3121における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業のいずれか1ないし複数における前記匿名加工情報の匿名性のレベル未満になっていることが確認された場合か、あるいは、加工方針確認部3122における確認結果として、前記突合済み匿名加工情報が、突合対象とする各データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、前記突合済み匿名加工情報は匿名性が劣化している情報であると判断して、前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う。 On the other hand, the matching result processing unit 3123 determines, as a confirmation result in the anonymity confirmation unit 3121, that the level of anonymity of the matched anonymously processed information is determined by the anonymity of one or more of the data provider companies to be matched. If it is confirmed that the processed information is below the level of anonymity, or as a result of the confirmation by the processing policy confirmation unit 3122, the matched anonymously processed information is verified by each data provider company to be matched. If it is confirmed that one or more of the anonymization processing policies are not satisfied, the matched anonymously processed information is determined to be information whose anonymity has deteriorated, and the matched anonymously processed information is determined to be information whose anonymity has deteriorated. Processing information is deleted and processing is performed so that it is not output to external systems.

ここで、複数のデータ提供元企業の加工前情報とは、図1の場合は、A社の匿名加工データストア10の加工前情報DB101から提供される加工前情報、B社の匿名加工データストア11の加工前情報DB111から提供される加工前情報、C社の匿名加工データストア12の加工前情報DB121から提供される加工前情報、である。 Here, in the case of FIG. 1, the unprocessed information of multiple data provider companies is the unprocessed information provided from the unprocessed information DB 101 of the anonymously processed data store 10 of company A, and the anonymously processed data store of company B. 11, and the unprocessed information provided from the unprocessed information DB 121 of the anonymously processed data store 12 of Company C.

また、複数の該データ提供元企業の加工前情報を匿名加工するための加工方針情報とは、図1の場合は、A社の匿名加工データストア10の加工方針情報DB102から提供される加工方針情報、B社の匿名加工データストア11の加工方針情報DB112から提供される加工方針情報、C社の匿名加工データストア12の加工方針情報DB122から提供される加工方針情報、である。なお、複数のデータ提供元企業の匿名加工情報とは、図1の場合は、A社の匿名加工データストア10の匿名加工情報DB100から提供される匿名加工情報、B社の匿名加工データストア11の匿名加工情報DB110から提供される匿名加工情報、C社の匿名加工データストア12の匿名加工情報DB120から提供される匿名加工情報、である。 Furthermore, in the case of FIG. 1, the processing policy information for anonymously processing unprocessed information of a plurality of data provider companies is the processing policy provided from the processing policy information DB 102 of the anonymously processed data store 10 of company A. information, processing policy information provided from the processing policy information DB 112 of the anonymously processed data store 11 of company B, and processing policy information provided from the processing policy information DB 122 of the anonymously processed data store 12 of company C. In the case of FIG. 1, the anonymously processed information of multiple data provider companies includes the anonymously processed information provided from the anonymously processed information DB 100 of the anonymously processed data store 10 of company A, and the anonymously processed information provided by the anonymously processed data store 11 of company B. The anonymously processed information provided from the anonymously processed information DB 110 of Company C, and the anonymously processed information provided from the anonymously processed information DB 120 of the anonymously processed data store 12 of Company C.

次に、複数のデータ提供元企業の加工前情報、加工方針情報、匿名加工情報の具体例を用いて、匿名性劣化情報出力防止装置300において生成する前記突合済み匿名加工情報の匿名性について、その一例を説明する。 Next, using specific examples of unprocessed information, processing policy information, and anonymously processed information of a plurality of data provider companies, we will discuss the anonymity of the matched anonymously processed information generated by the anonymity deterioration information output prevention device 300. An example of this will be explained.

図2は、図1に示すA社の匿名加工データストア10の加工前情報DB101に格納されている加工前情報の登録例を示すテーブルであり、コンビニA、コンビニBの各コンビニを利用した客層(性別および年齢)と購入した品物と支払方法(現金、キャッシュレスA,B,Cの各方式)とを調査会社によってリサーチした結果の登録例を示している。 FIG. 2 is a table showing an example of registration of unprocessed information stored in the unprocessed information DB 101 of the anonymously processed data store 10 of Company A shown in FIG. This shows an example of registration of the results of a research conducted by a research company regarding (gender and age), purchased items, and payment methods (cash, cashless methods A, B, and C).

また、図3は、図1に示すA社の匿名加工データストア10の加工方針情報DB102に登録されている加工方針情報の登録例を示すテーブルであり、図2のテーブルに格納されている加工前情報それぞれを匿名加工する際に適用する加工方針情報の登録例を示している。なお、本実施形態においては、説明を簡素化するために、加工前情報を匿名加工する加工方針として、図2の加工前情報のレコードそれぞれの各項目(各欄:各カラム)ごとに加工方法を設定している場合を例示し、例えば、加工前情報の項目を削除、加工前情報の項目をそのまま利用、または、加工前情報の項目の一般化や上位概念化を図る加工、等を指定する場合を示している。なお、以下に説明するB社の加工方針情報(図6)、C社の加工方針情報(図9および図11)に関しても、A社の加工方針情報(図3)と同様に、加工前情報のレコードそれぞれの各項目(各欄:各カラム)ごとに加工方法を設定している場合を例示している。 Further, FIG. 3 is a table showing a registration example of processing policy information registered in the processing policy information DB 102 of the anonymously processed data store 10 of Company A shown in FIG. An example of registration of processing policy information to be applied when anonymously processing each piece of previous information is shown. In addition, in this embodiment, in order to simplify the explanation, as a processing policy for anonymously processing the unprocessed information, a processing method is specified for each item (each column: each column) of each record of the unprocessed information in FIG. 2. For example, specifying deletion of unprocessed information items, use of unprocessed information items as they are, or processing to generalize or create higher-level concepts of unprocessed information items, etc. It shows the case. Regarding the processing policy information of Company B (Figure 6) and the processing policy information of Company C (Figures 9 and 11), which will be explained below, as well as the processing policy information of Company A (Figure 3), the pre-processing information This example shows a case where processing methods are set for each item (each column: each column) of each record.

さらに説明すると、例えば、図3の加工方針情報として、図2の加工前情報の各項目欄について、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および購買客の性別を示す性別欄は、そのまま利用するように設定する。また、購買客の年齢を示す年齢欄については、10歳単位で切り捨てて一般化を図る加工を施し、また、購入品を示す品物欄は、上位概念に変換する加工を施し、また、代金の支払方法を示す支払方法欄は、現金とキャッシュレスとの2つのいずれかに一般化する加工を施すように設定している。 To explain further, for example, as the processing policy information in Figure 3, for each item column of the unprocessed information in Figure 2, the ID column indicating the item number is deleted, and the user company column indicating the convenience store name and the customer's gender are deleted. The gender column that indicates the gender is set to be used as is. In addition, the age column showing the age of the purchaser was rounded down to the nearest 10 years to make it more generalized, and the product column showing the purchased items was converted to a higher-level concept. The payment method field indicating the payment method is set to generalize to either cash or cashless payment.

また、図4は、図1に示すA社の匿名加工データストア10の匿名加工情報DB100に格納されている匿名加工情報の登録例を示すテーブルであり、図2のテーブルに格納されている加工前情報を図3に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。 Further, FIG. 4 is a table showing a registration example of anonymously processed information stored in the anonymously processed information DB 100 of the anonymously processed data store 10 of Company A shown in FIG. This figure shows an example of registration of anonymously processed information in which previous information has been anonymously processed according to the processing policy illustrated in FIG. 3 .

ここで、匿名加工を行う際に、加工前情報の項目の一般化や上位概念化を図る加工として、k-匿名性を満たすような加工を行うことを匿名加工情報の匿名化を保証するための前提としている。k-匿名性とは、匿名加工した結果として、加工された匿名加工情報の各項目(各カラム)の情報が同一になっているレコードの個数が、同一レコード数閾値としてあらかじめ定めたk個未満のレコード数に絞り込まれていないことを保証するための指標であって、匿名加工情報の匿名化のレベルを示す指標として利用することが可能である。 Here, when performing anonymous processing, it is necessary to perform processing that satisfies k-anonymity as a processing that aims to generalize and superordinate the items of the unprocessed information in order to guarantee the anonymization of anonymously processed information. It is a premise. k-anonymity means that as a result of anonymization processing, the number of records in which the information in each item (each column) of the processed anonymously processed information is the same is less than k, which is predetermined as the threshold for the number of identical records. This is an indicator to ensure that the number of records has not been narrowed down to , and can be used as an indicator to indicate the level of anonymization of anonymously processed information.

例えば、k-匿名性を満たす加工の一例に関して、同一レコード数閾値k=3(すなわち匿名加工結果として同一のレコード情報になるレコード数が3個以上確保されていることを確認するための閾値)を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合について説明する。図4に示した匿名加工情報の場合、利用会社・性別・年齢・品物・支払方法の各欄(各カラム)が同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、3個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第6レコードの3個のレコード、第7レコード~第9レコードの3個のレコード、第10レコード~第12レコードの3個のレコード)であり、同一レコード数閾値k=3と同じ値である。したがって、図4に示した匿名加工情報に関しては、k-匿名性(k=3)を満たす匿名加工結果が得られていて、匿名加工情報の匿名性の劣化が発生していないことを示している。 For example, for an example of processing that satisfies k-anonymity, the threshold for the number of identical records is k = 3 (that is, the threshold for confirming that the number of records that have the same record information as the result of anonymous processing is 3 or more). A case will be explained in which the index is set in advance as an index for guaranteeing the anonymity of anonymously processed information. In the case of the anonymously processed information shown in Figure 4, the minimum number of records in which the user company, gender, age, product, and payment method fields (each column) have the same information (that is, the same record) is 3. (i.e. 3 records from 1st record to 3rd record, 3 records from 4th record to 6th record, 3 records from 7th record to 9th record, 10th record to 12th record) (3 records), which is the same value as the same record count threshold k=3. Therefore, regarding the anonymously processed information shown in Figure 4, an anonymously processed result that satisfies k-anonymity (k = 3) has been obtained, indicating that the anonymity of the anonymously processed information has not deteriorated. There is.

次に、図5、図6、図7は、B社の匿名加工データストア11に関するテーブルであり、それぞれ、A社の匿名加工データストア10における図2、図3、図4と同様に、加工前情報DB111、加工方針情報DB112、匿名加工情報DB110の登録例を示している。 Next, FIG. 5, FIG. 6, and FIG. 7 are tables related to the anonymously processed data store 11 of company B, and similarly to FIGS. 2, 3, and 4 in the anonymously processed data store 10 of company A, An example of registration of the previous information DB 111, processing policy information DB 112, and anonymous processing information DB 110 is shown.

ここで、図5は、図1に示すB社の匿名加工データストア11の加工前情報DB111に格納されている加工前情報の登録例を示すテーブルであり、代金の支払方法としてキャッシュレスを用いた場合を対象として、コンビニA、コンビニBの各コンビニを利用した客層(年齢)とキャッシュレスによる支払方式(キャッシュレスA,B,Cの各方式)とを調査会社によってリサーチした結果の登録例を示している。つまり、代金の支払方法が現金であった場合を除き、キャッシュレスのいずれかの方式を用いて代金を支払った場合に絞って登録している場合を示している。 Here, FIG. 5 is a table showing an example of registration of unprocessed information stored in the unprocessed information DB 111 of the anonymously processed data store 11 of Company B shown in FIG. An example of the registration of the results of a research conducted by a research company on the customer demographics (age) and cashless payment methods (cashless A, B, and C methods) that used convenience stores Convenience Store A and Convenience Store B. It shows. In other words, excluding cases where the payment method was cash, registration is limited to cases where the payment was made using any of the cashless methods.

また、図6は、図1に示すB社の匿名加工データストア11の加工方針情報DB112に登録されている加工方針情報の登録例を示すテーブルであり、図5のテーブルに格納されている加工前情報それぞれを匿名加工する際に適用する加工方針情報の登録例を示している。つまり、図6の加工方針情報として、図5の加工前情報の各項目欄について、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および代金のキャッシュレス支払方式を示す支払方式欄は、そのまま利用し、また、購買客の年齢を示す年齢欄は、10歳単位で切り捨てる加工を施すように設定している場合を示している。 Further, FIG. 6 is a table showing a registration example of processing policy information registered in the processing policy information DB 112 of the anonymously processed data store 11 of Company B shown in FIG. An example of registration of processing policy information to be applied when anonymously processing each piece of previous information is shown. In other words, as the processing policy information in Fig. 6, for each item column of the unprocessed information in Fig. 5, the ID column indicating the item number is deleted, and the user company column indicating the convenience store name and the cashless payment method of the price are deleted. The payment method column is used as is, and the age column indicating the age of the purchaser is set to be rounded down to the nearest 10 years.

また、図7は、図1に示すB社の匿名加工データストア11の匿名加工情報DB110に格納されている匿名加工情報の登録例を示すテーブルであり、図5のテーブルに格納されている加工前情報を図6に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。 Further, FIG. 7 is a table showing a registration example of anonymously processed information stored in the anonymously processed information DB 110 of the anonymously processed data store 11 of Company B shown in FIG. This figure shows an example of registration of anonymously processed information in which previous information has been anonymously processed according to the processing policy illustrated in FIG. 6 .

同一レコード数閾値k=3を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合、図7に示す匿名加工情報において、利用会社・年齢・支払方式の各欄(各カラム)のいずれも同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、図4の場合と同様、3個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第6レコードの3個のレコード、第7レコード~第9レコードの3個のレコード)であり、同一レコード数閾値k=3と同じ値である。したがって、図7に示した匿名加工情報に関しても、k-匿名性(k=3)を満たす匿名加工結果が得られていて、匿名加工情報の匿名性の劣化が発生していないことを示している。 If the same record number threshold k = 3 is set in advance as an index for guaranteeing the anonymity of anonymously processed information, in the anonymously processed information shown in Figure 7, each column of user company, age, and payment method (each column ), the minimum number of records (i.e., identical records) is 3 (i.e., the first to third records, the fourth record), as in the case of FIG. 3 records from record to 6th record, and 3 records from 7th record to 9th record), which is the same value as the same record number threshold k=3. Therefore, regarding the anonymously processed information shown in Figure 7, anonymized processing results satisfying k-anonymity (k = 3) have been obtained, indicating that no deterioration in the anonymity of the anonymously processed information has occurred. There is.

次に、図8、図9、図10は、C社の匿名加工データストア12に関するテーブルであり、それぞれ、A社の匿名加工データストア10における図2、図3、図4と同様に、加工前情報DB121、加工方針情報DB122、匿名加工情報DB120の登録例を示している。 Next, FIGS. 8, 9, and 10 are tables related to the anonymously processed data store 12 of company C, and similarly to FIGS. 2, 3, and 4 in the anonymously processed data store 10 of company A, the processing An example of registration of the previous information DB 121, processing policy information DB 122, and anonymous processing information DB 120 is shown.

ここで、図8は、図1に示すC社の匿名加工データストア12の加工前情報DB121に格納されている加工前情報の登録例を示すテーブルであり、コンビニA、コンビニBの各コンビニを利用した客層(性別および年齢)と各コンビニを利用した時間帯を示す利用時間帯(分以下を切り捨てた時刻)とを調査会社によってリサーチした結果の登録例を示している。 Here, FIG. 8 is a table showing an example of registration of unprocessed information stored in the unprocessed information DB 121 of the anonymously processed data store 12 of Company C shown in FIG. This is an example of the results of a research conducted by a research company on the demographics of customers (gender and age) and the hours of use (rounded down to the nearest minute) indicating the times when each convenience store was used.

また、図9は、図1に示すC社の匿名加工データストア12の加工方針情報DB122に登録されている加工方針情報の登録例を示すテーブルであり、図8のテーブルに格納されている加工前情報それぞれを匿名加工する際に適用する加工方針情報の登録例を示している。つまり、図9の加工方針情報として、図8の加工前情報の各項目欄について、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および購買客の性別を示す性別欄は、そのまま利用し、また、購買客の年齢を示す年齢欄は、10歳単位で切り捨てる加工を施している場合を示している。また、利用した時間帯を示す利用時間帯欄は、早朝(例えば4:00~7:00)、午前(例えば7:00~12:00)、午後(例えば12:00~17:00)、夜(例えば17:00~21:00)、深夜(例えば21:00~28:00)のいずれかの時間帯を示す時間幅として一般化した加工を施すように設定している場合を示している。 Further, FIG. 9 is a table showing a registration example of processing policy information registered in the processing policy information DB 122 of the anonymously processed data store 12 of Company C shown in FIG. An example of registration of processing policy information to be applied when anonymously processing each piece of previous information is shown. In other words, as the processing policy information in Figure 9, for each item column of the unprocessed information in Figure 8, the ID column indicating the item number is deleted, and the user company column indicating the convenience store name and the gender column indicating the gender of the customer are deleted. is used as is, and the age column indicating the age of the purchaser is rounded down to the nearest 10 years. In addition, the use time period column indicating the time of use includes early morning (for example, 4:00 to 7:00), morning (for example, 7:00 to 12:00), afternoon (for example, 12:00 to 17:00), Indicates a case where general processing is set to be performed as a time range indicating either night (for example, 17:00 to 21:00) or late night (for example, 21:00 to 28:00). There is.

また、図10は、図1に示すC社の匿名加工データストア12の匿名加工情報DB120に格納されている匿名加工情報の登録例を示すテーブルであり、図8のテーブルに格納されている加工前情報を図9に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。 Further, FIG. 10 is a table showing a registration example of anonymously processed information stored in the anonymously processed information DB 120 of the anonymously processed data store 12 of Company C shown in FIG. 9 shows an example of registration of anonymously processed information in which previous information has been anonymously processed according to the processing policy illustrated in FIG. 9.

図10の利用時間帯欄に示すように、匿名加工方法として一般化した加工結果を示す各コンビニを利用した購買客の利用時間帯としては、午前(7:00~12:00)、午後(12:00~18:00)、深夜(21:00~28:00)の各時間帯であり、早朝(4:00~7:00)、夜(18:00~21:00)の時間帯には利用していない加工結果になっている。 As shown in the hours of use column in Figure 10, the hours of use for shoppers who use each convenience store, which shows the processing results that have been generalized as an anonymous processing method, are morning (7:00 to 12:00), afternoon ( 12:00 to 18:00), late night (21:00 to 28:00), early morning (4:00 to 7:00), and night (18:00 to 21:00). This is a processing result that is not used.

同一レコード数閾値k=3を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合、図10に示す匿名加工情報において、利用会社・性別・年齢・利用時間帯の各欄(各カラム)のいずれも同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、図4の場合と同様、3個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第9レコードの6個のレコード、第10レコード~第12レコードの3個のレコード)であり、同一レコード数閾値k=3と同じ値である。したがって、図10に示した匿名加工情報に関しても、k-匿名性(k=3)を満たす匿名加工結果が得られていて、匿名加工情報の匿名性の劣化が発生していないことを示している。 If the same record number threshold k = 3 is set in advance as an index to guarantee the anonymity of anonymously processed information, each column of company, gender, age, and time of use in the anonymously processed information shown in Figure 10. As in the case of Figure 4, the minimum number of records in which all of the (each column) have the same information (i.e., identical records) is 3 (i.e., 3 records from the 1st record to the 3rd record). , 6 records from the 4th record to the 9th record, and 3 records from the 10th record to the 12th record), which is the same value as the same record number threshold k=3. Therefore, regarding the anonymously processed information shown in Figure 10, anonymized processing results satisfying k-anonymity (k = 3) have been obtained, indicating that no deterioration in the anonymity of the anonymously processed information has occurred. There is.

なお、図10とは異なる匿名加工情報を生成するために、図9の加工方針情報DB122における利用時間帯に関する加工方針情報の見直しを行い、例えば、図11に示すように、図9とは異なる加工方針を用いて利用時間帯に関する情報の一般化を行うようにすることも可能である。 In addition, in order to generate anonymously processed information different from that shown in FIG. 10, we reviewed the processing policy information regarding the usage time period in the processing policy information DB 122 shown in FIG. 9, and for example, as shown in FIG. It is also possible to generalize information regarding the usage time period using a processing policy.

図11は、図1に示すC社の匿名加工データストア12の加工方針情報DB122に登録されている加工方針情報の図9とは異なる登録例を示すテーブルであり、図8のテーブルに登録されている加工前情報を匿名加工する際に適用する加工方針として、利用時間帯情報に関し、図9に示した加工方針とは異なる設定した場合の一例を示している。 FIG. 11 is a table showing a registration example different from that shown in FIG. 9 of the processing policy information registered in the processing policy information DB 122 of the anonymously processed data store 12 of Company C shown in FIG. As a processing policy to be applied when anonymously processing unprocessed information, an example is shown in which a processing policy different from the processing policy shown in FIG. 9 is set regarding usage time zone information.

つまり、図11の加工方針情報においては、図8の加工前情報の各項目欄について、利用した時間帯を示す利用時間帯欄の利用時間帯に関する情報を除く他の情報に関しては、図9の場合と全く同じであり、項番を示すID欄は削除し、また、コンビニ名を示す利用会社欄および購買客の性別を示す性別欄は、そのまま利用し、また、購買客の年齢を示す年齢欄は、10歳単位で切り捨てる加工を施している。 In other words, in the processing policy information shown in FIG. 11, for each item column of the pre-processing information shown in FIG. It is exactly the same as in the case, and the ID field showing the item number is deleted, the user company field showing the convenience store name and the gender field showing the gender of the customer are used as they are, and the age field showing the customer's age is left unchanged. The column has been rounded down to the nearest 10 years.

一方、利用した時間帯を示す利用時間帯欄に関しては、図9の場合から変更して、夕方(例えば16:30~18:00)の時間帯をさらに追加することにより、図9の場合の午後(例えば12:00~18:00)をさらに2つの時間帯に細分化して、午後(例えば12:00~16:30)、夕方(例えば16:30~18:00)に分離して一般化するように変更している。 On the other hand, regarding the use time period column that shows the time period of use, by changing from the case of FIG. 9 and adding the time period of the evening (for example, 16:30 to 18:00), Afternoon (for example, 12:00 to 18:00) is further subdivided into two time periods: afternoon (for example, 12:00 to 16:30) and evening (for example, 16:30 to 18:00). It has been changed to become .

図12は、図1に示すC社の匿名加工データストアの匿名加工情報DBに格納されている匿名加工情報の図10とは異なる登録例を示すテーブルであり、図8のテーブルに格納されている加工前情報を図11に例示した加工方針に従って匿名加工した匿名加工情報の登録例を示している。なお、図12においては、図10の場合とは異なり、利用時間帯欄は、各時間帯を示す時間幅ではなく、早朝、午前、午後、夕方、夜、深夜のいずれかの用語を用いて示している。 FIG. 12 is a table showing a registration example different from that shown in FIG. 10 of anonymously processed information stored in the anonymously processed information DB of the anonymously processed data store of Company C shown in FIG. 12 shows an example of registration of anonymously processed information in which unprocessed information that is previously processed has been anonymously processed according to the processing policy illustrated in FIG. 11. In addition, in FIG. 12, unlike in the case of FIG. 10, the usage time period column does not use the time range to indicate each time period, but uses any of the terms early morning, morning, afternoon, evening, night, and late night. It shows.

図12の利用時間帯欄に示すように、匿名加工方法として一般化した加工結果を示す各コンビニを利用した購買客の利用時間帯としては、図10の場合と同様に、早朝(4:00~7:00)、夜(18:00~21:00)の時間帯にはどのコンビニも利用していないものの、図10の場合とは異なり、午前(7:00~12:00)、午後(12:00~16:30)、夕方(16:30~18:00)、深夜(21:00~28:00)の4つの時間帯のいずれかのコンビニを利用していることになる。 As shown in the usage time column in Figure 12, the usage time of customers who used each convenience store, which shows the processing results that have been generalized as an anonymous processing method, is as in the case of Figure 10. Although no convenience stores are used during the hours (18:00 to 21:00) and at night (18:00 to 21:00), unlike the case in Figure 10, in the morning (7:00 to 12:00) and in the afternoon This means that you will be using a convenience store during one of four time periods: (12:00-16:30), evening (16:30-18:00), and late night (21:00-28:00).

しかし、図12に示す匿名加工情報においては、利用会社・性別・年齢・利用時間帯の各欄(各カラム)のいずれも同一の情報になっているレコード(すなわち同一レコード)の最少の個数は、図4の場合とは異なり、2個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第7レコードの4個のレコード、第8レコード~第9レコードの2個のレコード、第10レコード~第12レコードの3個のレコード)になっている。つまり、図10の匿名加工情報の場合の最少の同一レコード数(3個)よりも低い値になっている。 However, in the anonymously processed information shown in Figure 12, the minimum number of records (i.e., identical records) in which all the fields (columns) of user company, gender, age, and time of use are the same is , unlike the case in FIG. record, 10th record to 12th record). In other words, the value is lower than the minimum number of identical records (3) in the case of anonymously processed information in FIG.

したがって、図10の場合と同様に、同一レコード数閾値k=3を匿名加工情報の匿名性を保証するための指標としてあらかじめ設定していた場合、図12に示す匿名加工情報においては、最少の同一レコード数(2個)が、同一レコード数閾値k=3未満の値になって、k-匿名性(k=3)を満たす匿名加工結果が得られていないことになり、匿名性が劣化していることになる。このため、図11に示した利用時間帯欄の加工方針に関しては、同一レコード数閾値k=3を用いている場合は、分類する時間帯を同一レコード数が3個以上になるように変更するか、または、利用時間帯欄そのものを削除するかのいずれかを選択し直すことが必要になる。 Therefore, as in the case of Fig. 10, if the same record number threshold k = 3 is set in advance as an index for guaranteeing the anonymity of anonymously processed information, in the anonymously processed information shown in Fig. 12, the minimum The number of identical records (2) becomes a value less than the threshold for the number of identical records k = 3, and anonymization processing results that satisfy k-anonymity (k = 3) are not obtained, and anonymity deteriorates. That means you are doing it. Therefore, regarding the processing policy for the usage time period column shown in Figure 11, if the same record number threshold k = 3 is used, the time period to be classified is changed so that the number of identical records is 3 or more. You will need to reselect either the option to delete the usage time slot field itself, or delete the usage time slot field itself.

(本発明の実施形態の動作例の説明)
次に、図1に本発明の一実施形態として示した匿名性劣化情報出力防止装置300の動作について、その一例を、図13のフローチャートを参照しながら詳細に説明する。図13は、図1に本発明の一実施形態として示した匿名性劣化情報出力防止装置300の動作の一例を示すフローチャートであり、図1に示したように、該匿名性劣化情報出力防止装置300に対して、突合対象となる複数の匿名加工情報それぞれを提供する複数のデータ提供元企業(A社、B社、C社)が所有するそれぞれの匿名加工データストア10、匿名加工データストア11、匿名加工データストア12が通信可能な状態で接続されて、複数の匿名加工情報の突合を行う突合システムとして構成されている場合を示している。 (Explanation of operation example of embodiment of the present invention)
Next, an example of the operation of the anonymity degradation information output prevention device 300 shown as an embodiment of the present invention in FIG. 1 will be described in detail with reference to the flowchart in FIG. 13. FIG. 13 is a flowchart showing an example of the operation of the anonymity deterioration information output prevention device 300 shown in FIG. 1 as an embodiment of the present invention. 300, each anonymously processed data store 10 and anonymously processed data store 11 owned by a plurality of data provider companies (Company A, Company B, and Company C) that provide a plurality of anonymously processed information to be compared. , the anonymously processed data store 12 is connected in a communicable state and configured as a matching system that matches a plurality of pieces of anonymously processed information.

図13のフローチャートは、匿名性劣化情報出力防止装置300のオペレータの操作により、複数のデータ提供元企業(A社、B社、C社)それぞれの匿名加工情報に関する突合の指示がなされると起動して、まず、該オペレータの指示内容が、匿名性劣化情報出力防止装置300のセキュアメモリ領域部310内において動作する匿名加工情報突合部311に対して送信される。 The flowchart in FIG. 13 is activated when the operator of the anonymity deterioration information output prevention device 300 instructs to compare anonymously processed information of each of a plurality of data provider companies (Company A, Company B, and Company C). First, the contents of the operator's instruction are transmitted to the anonymously processed information comparison unit 311 operating within the secure memory area unit 310 of the anonymity deterioration information output prevention device 300.

匿名加工情報突合部311は、前記オペレータからの指示内容を受け取ると、セキュアメモリ領域部310内において、該指示内容において指定されている複数のデータ提供元企業(A社、B社、C社)それぞれの匿名加工データストア(匿名加工データストア10、匿名加工データストア11、匿名加工データストア12)にアクセスして、それぞれの匿名加工情報DB(匿名加工情報DB100、匿名加工情報DB110、匿名加工情報DB120)から、それぞれの匿名加工情報を、突合すべき匿名加工情報として、読み込む(ステップS1) Upon receiving the instruction from the operator, the anonymously processed information matching unit 311 checks the data provider companies (Company A, Company B, Company C) specified in the instruction in the secure memory area unit 310. Access each anonymously processed data store (anonymously processed data store 10, anonymously processed data store 11, anonymously processed data store 12) and access each anonymously processed information DB (anonymously processed information DB100, anonymously processed information DB110, anonymously processed information DB 120), each piece of anonymously processed information is read as anonymously processed information to be compared (step S1).

次いで、匿名加工情報突合部311は、前記オペレータからの指示に従って、突合すべき匿名加工情報として読み込んだ、複数のデータ提供元企業(A社、B社、C社)それぞれに関する匿名加工情報の突合処理を行い、図14~図16に示すような、突合済み匿名加工情報として生成する(ステップS2)。なお、匿名加工情報の突合処理としては、前述したように、匿名加工情報の各レコードそれぞれを構成する各項目(カラム)のうち、突合対象の複数の匿名加工情報のレコードそれぞれに共通する項目(欄:カラム)として同一の情報を有しているレコード同士を突合する。 Next, in accordance with the instructions from the operator, the anonymously processed information comparison unit 311 performs a process of comparing the anonymously processed information regarding each of the plurality of data provider companies (Company A, Company B, and Company C) that has been read as the anonymously processed information to be compared. and generates verified anonymously processed information as shown in FIGS. 14 to 16 (step S2). As mentioned above, the anonymously processed information comparison process involves comparing the items (columns) that are common to each of the anonymously processed information records to be compared among the items (columns) that make up each anonymously processed information record. Match records that have the same information (columns).

ここで、図14は、図4に示したA社の匿名加工情報DB100から読み込んだ匿名加工情報と図10に示したC社の匿名加工情報DB120から読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルであり、図4の匿名加工情報と図10の匿名加工情報とを、利用会社・性別・年齢の各項目(各欄:各カラム)の情報が互いに合致する各項目(各欄:各カラム)同士を突合させて生成した突合済み匿名加工情報の一例を示している。すなわち、図14の突合済み匿名加工情報は、図4のA社の匿名加工情報の各項目(各欄:各カラム)に対して、図10のC社の匿名加工情報の利用時間帯欄の項目を組み合わせた情報によって構成される。 Here, FIG. 14 shows a comparison between the anonymously processed information read from the anonymously processed information DB 100 of company A shown in FIG. 4 and the anonymously processed information read from the anonymously processed information DB 120 of company C shown in FIG. This is a table showing an example of anonymously processed information, and the anonymously processed information in FIG. 4 and the anonymously processed information in FIG. An example of matched anonymously processed information generated by matching each item (each column: each column) is shown. In other words, the matched anonymously processed information in FIG. 14 corresponds to each item (each column: each column) of the anonymously processed information of company A in FIG. It is composed of information that is a combination of items.

なお、図14の突合済み匿名加工情報の場合、最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数(さらに説明すると、レコードを構成する各項目(各欄:各カラム)のいずれも同一の情報になっているレコードの最少の個数)は、3個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第6レコードの3個のレコード、第7レコード~第9レコードの3個のレコード、第10レコード~第12レコードの3個のレコード)である。 In the case of the matched anonymously processed information in FIG. : The minimum number of records in which all of the columns have the same information is 3 (i.e., 3 records from the 1st record to the 3rd record, and 3 records from the 4th record to the 6th record). , three records from the 7th record to the 9th record, and 3 records from the 10th record to the 12th record).

また、図15は、図4に示したA社の匿名加工情報DB100から読み込んだ匿名加工情報と図12に示したC社の匿名加工情報DB120から読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルであり、図4の匿名加工情報と図12の匿名加工情報とを、図14の場合と同様に、利用会社・性別・年齢の各項目(各欄:各カラム)の情報が互いに合致する各項目(各欄:各カラム)同士を突合させて生成した突合済み匿名加工情報の一例を示している。すなわち、図15の突合済み匿名加工情報は、図4のA社の匿名加工情報の各項目(各欄:各カラム)に対して、図12のC社の匿名加工情報の利用時間帯欄の項目を組み合わせた情報によって構成される。 Further, FIG. 15 shows the comparison process of the anonymously processed information read from the anonymously processed information DB 100 of company A shown in FIG. 4 and the anonymously processed information read from the anonymously processed information DB 120 of company C shown in FIG. This is a table showing an example of anonymously processed information, and the anonymously processed information in FIG. 4 and the anonymously processed information in FIG. ) shows an example of matched anonymously processed information generated by matching each item (each column: each column) whose information matches each other. In other words, the matched anonymously processed information in FIG. 15 corresponds to each item (each column: each column) of the anonymously processed information of company A in FIG. It is composed of information that is a combination of items.

なお、図15の突合済み匿名加工情報の場合、最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数は、図14の場合とは異なり、1個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第6レコードの3個のレコード、第7レコードのみの1個のレコード、第8レコード~第9レコードの2個のレコード、第10レコード~第12レコードの3個のレコード)である。 In the case of the matched anonymously processed information in FIG. 15, the minimum number of identical records, that is, the minimum number of identical records in which the information in the record is the same information, is 1 (i.e., unlike in the case of FIG. 14). , 3 records from the 1st record to the 3rd record, 3 records from the 4th record to the 6th record, 1 record from the 7th record only, 2 records from the 8th record to the 9th record, There are three records (10th record to 12th record).

また、図16は、図4に示したA社の匿名加工情報DB100から読み込んだ匿名加工情報と図7に示したB社の匿名加工情報DB110から読み込んだ匿名加工情報とを突合処理した突合済み匿名加工情報の一例を示すテーブルであり、図4の匿名加工情報と図7の匿名加工情報とを、利用会社・年齢の各項目(各欄:各カラム)の情報が互いに合致する各項目(各欄:各カラム)同士を突合させて生成した突合済み匿名加工情報の一例を示している。すなわち、図16の突合済み匿名加工情報は、図4のA社の匿名加工情報の各項目(各欄:各カラム)に対して、図7のB社の匿名加工情報の支払方式欄の項目を組み合わせた情報によって構成される。 Further, FIG. 16 shows the comparison process of the anonymously processed information read from the anonymously processed information DB 100 of company A shown in FIG. 4 and the anonymously processed information read from the anonymously processed information DB 110 of company B shown in FIG. This is a table showing an example of anonymously processed information, and the anonymously processed information in FIG. 4 and the anonymously processed information in FIG. An example of matched anonymously processed information generated by comparing each column (each column) is shown. In other words, the verified anonymously processed information in FIG. 16 corresponds to each item (each column: each column) of the anonymously processed information of company A in FIG. 4, and the item in the payment method column of the anonymously processed information of company B in FIG. It is composed of information that combines.

なお、図7のB社の匿名加工情報は、前述したように、代金を現金ではなくキャッシュレスを用いて支払った場合について登録しているので、図16の突合済み匿名加工情報においては、図4のA社の匿名加工情報における支払方法が現金の場合の各レコード(第7レコード~第9レコードの各レコード)に関しては、突合した支払方式欄(図7のB社の匿名加工情報の支払方式欄)は「-」(データ無しの旨を示す記号)が表示されている。 Note that, as mentioned above, the anonymously processed information of Company B in Figure 7 is registered for the case where the payment was made using cashless payment methods instead of cash, so in the matched anonymously processed information in Figure 16, Regarding each record (7th record to 9th record) where the payment method in the anonymously processed information of Company A in 4. ``-'' (a symbol indicating that there is no data) is displayed in the ``method column''.

ここで、図16の突合済み匿名加工情報の場合、最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数は、図14の場合と同様、3個(すなわち、第1レコード~第3レコードの3個のレコード、第4レコード~第6レコードの3個のレコード、第7レコード~第9レコードの3個のレコード、第10レコード~第12レコードの3個のレコード)である。 Here, in the case of the matched anonymously processed information in FIG. , 3 records from the 1st record to the 3rd record, 3 records from the 4th record to the 6th record, 3 records from the 7th record to the 9th record, and 3 records from the 10th record to the 12th record. record).

図13のフローチャートの説明に戻って、匿名加工情報突合部311において図14~図16に例示したような突合済み匿名加工情報を生成すると、次に、生成した各突合済み匿名加工情報の匿名性を検査するために、匿名加工情報検査部312を起動する。 Returning to the explanation of the flowchart in FIG. 13, when the anonymously processed information matching unit 311 generates the matched anonymously processed information as illustrated in FIGS. 14 to 16, the anonymity of each of the generated matched anonymously processed information In order to inspect the information, the anonymously processed information inspection unit 312 is activated.

起動された匿名加工情報検査部312は、匿名加工情報突合部311と同様、匿名性劣化情報出力防止装置300のセキュアメモリ領域部310内において動作する。そして、起動した匿名加工情報検査部312は、まず、匿名性確認部3121を起動して、匿名加工情報突合部311において生成した各突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有しているか否かを確認する(ステップS3)。 The activated anonymously processed information inspection unit 312 operates in the secure memory area unit 310 of the anonymity deterioration information output prevention device 300, similarly to the anonymously processed information matching unit 311. Then, the activated anonymously processed information inspection unit 312 first activates the anonymity confirmation unit 3121 to check whether each of the matched anonymously processed information generated in the anonymously processed information matching unit 311 is the data provider that is the respective matching source. It is confirmed whether the anonymous processed information of each of the original companies (Company A, Company B, and Company C) is more anonymous (Step S3).

つまり、匿名加工情報突合部311において生成した各突合済み匿名加工情報と、突合済み匿名加工情報それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報と、のそれぞれにおける最少同一レコード数すなわちレコード内の情報が同一の情報になっている同一レコードの最少の個数に関する情報を取得する。そして、取得した突合済み匿名加工情報の前記最少同一レコード数が、該突合済み匿名加工情報の突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報の前記最少同一レコード数以上の値になっているか否かを確認する。 In other words, each of the matched anonymously processed information generated by the anonymously processed information matching unit 311 and the anonymously processed information of each data provider company (Company A, Company B, and Company C) that are the sources of the matched anonymously processed information. and , that is, the minimum number of identical records in which the information in the records is the same information is acquired. Then, the minimum number of identical records of the obtained matched anonymously processed information is determined by the number of identical records of the anonymously processed information of each data provider company (Company A, Company B, Company C) that is the matching source of the anonymously processed information. Check whether the value is greater than or equal to the minimum number of identical records.

言い換えると、匿名加工情報突合部311において生成した突合済み匿名加工情報を構成する各レコードを確認し、該突合済み匿名加工情報におけるレコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、該突合済み匿名加工情報は、突合対象とする各データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断する。一方、前記突合済み匿名加工情報におけるレコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各データ提供元企業のうちのいずれか1ないし複数において前記匿名加工情報における前記同一レコードの最少の個数未満の値に絞り込まれてしまっていた場合には、該突合済み匿名加工情報は、突合対象とする各データ提供元企業の前記匿名加工情報のいずれかの匿名性よりも劣化したレベルの匿名性になっていると判断する。 In other words, each record constituting the matched anonymously processed information generated by the anonymously processed information matching unit 311 is checked, and the minimum number of identical records in which the information in the records in the matched anonymously processed information is the same is determined. If the number is greater than or equal to the minimum number of identical records in the anonymously processed information of each data provider company to be compared, the matched anonymously processed information will be It is determined that the level of anonymity is higher than the anonymity of the anonymously processed information of each data provider company. On the other hand, if the minimum number of identical records in which the information in the records in the matched anonymously processed information is the same is the one or more of the data provider companies to be matched, the anonymously processed If the information has been narrowed down to a value that is less than the minimum number of identical records, the matched anonymously processed information will be the same as any of the anonymously processed information of each data provider company to be matched. It is judged that the level of anonymity is worse than that of sex.

ここで、前述したように、本実施形態においては、図14に示す突合済み匿名加工情報の前記最少同一レコード数は3個であり、該突合済み匿名加工情報の突合元となる図4の匿名加工情報の前記最少同一レコード数および図10の匿名加工情報の前記最少同一レコード数はいずれも3個である。また、図15に示す突合済み匿名加工情報の前記最少同一レコード数は1個であり、該突合済み匿名加工情報の突合元となる図4の匿名加工情報の前記最少同一レコード数は3個であり、図12の匿名加工情報の前記最少同一レコード数は2個である。また、図16に示す突合済み匿名加工情報の前記最少同一レコード数は3個であり、該突合済み匿名加工情報の突合元となる図4の匿名加工情報の前記最少同一レコード数および図7の匿名加工情報の前記最少同一レコード数はいずれも3個である。 Here, as described above, in this embodiment, the minimum number of identical records in the matched anonymously processed information shown in FIG. 14 is three, and the anonymous The minimum number of identical records of processed information and the minimum number of identical records of anonymously processed information in FIG. 10 are both three. Further, the minimum number of identical records in the matched anonymously processed information shown in FIG. 15 is one, and the minimum number of identical records in the anonymously processed information in FIG. 4, which is the matching source of the matched anonymously processed information, is three. Yes, and the minimum number of identical records in the anonymously processed information in FIG. 12 is two. Further, the minimum number of identical records in the matched anonymously processed information shown in FIG. 16 is three, and the minimum number of identical records in the anonymously processed information in FIG. The minimum number of identical records of anonymously processed information is three in each case.

したがって、図14および図16のそれぞれに示す突合済み匿名加工情報に関しては、いずれも、突合元の各データ提供元企業の匿名加工情報(図4の匿名加工情報、図10の匿名加工情報および図7の匿名加工情報)の場合と同様、前記最少同一レコード数は3個であり、突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報の前記最少同一レコード数以上の値になっている。したがって、図14および図16のそれぞれに示す突合済み匿名加工情報に関しては、突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有している場合であると判定して(ステップS3のYES)、ステップS4の処理に移行する。 Therefore, regarding the matched anonymously processed information shown in FIGS. 14 and 16, the anonymously processed information of each data provider company that is the matching source (anonymously processed information in FIG. 4, anonymously processed information in FIG. 10, and 7), the minimum number of identical records is 3, and the minimum number of identical records is 3, and the minimum number of identical records for each data provider company (Company A, Company B, Company C) that is the matching source is 3. The value is greater than the number of records. Therefore, regarding the matched anonymously processed information shown in FIGS. 14 and 16, the matched anonymously processed information is anonymized by each data provider company (Company A, Company B, Company C) that is the source of the respective matching It is determined that the anonymity is greater than that of the processed information (YES in step S3), and the process proceeds to step S4.

これに対して、図15に示す突合済み匿名加工情報に関しては、前記最少同一レコード数が1個であり、突合元の一方の図4の匿名加工情報の前記最少同一レコード数が3個であり、突合元の他方の図12の匿名加工情報の前記最少同一レコード数が2個である。したがって、図15に示す突合済み匿名加工情報の前記最少同一レコード数は、突合元の図4および図12の匿名加工情報それぞれの前記最少同一レコード数よりも少ない値であり、図15に示す突合済み匿名加工情報に関しては、突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有していない場合であると判定して(ステップS3のNO)、ステップS7の処理に移行する。つまり、突合済み匿名加工情報の匿名性のレベルが、突合対象とする各データ提供元企業の匿名加工情報のいずれか1ないし複数における匿名性のレベル未満になっていることが確認された場合には、該突合済み匿名加工情報は、突合元のいずれか1ないし複数のデータ提供元企業の匿名加工情報よりも匿名性が劣化している情報であると判断して、ステップS7の処理に移行する。 On the other hand, regarding the matched anonymously processed information shown in FIG. 15, the minimum number of identical records is one, and the minimum number of identical records in the anonymously processed information in FIG. 4, which is the matching source, is three. , the minimum number of identical records in the anonymously processed information of the other matching source in FIG. 12 is two. Therefore, the minimum number of identical records in the matched anonymously processed information shown in FIG. 15 is a value smaller than the minimum number of identical records in each of the anonymously processed information in FIG. 4 and FIG. Regarding anonymously processed information, if the matched anonymously processed information does not have more anonymity than the anonymously processed information of each data provider company (Company A, Company B, Company C) that is the source of the comparison. It is determined that this is the case (NO in step S3), and the process moves to step S7. In other words, if it is confirmed that the level of anonymity of the matched anonymously processed information is lower than the level of anonymity of one or more of the anonymously processed information of each data provider company to be matched. determines that the matched anonymously processed information is information whose anonymity is worse than the anonymously processed information of one or more of the data provider companies that are the matching sources, and moves to the process of step S7. do.

図14および図16のそれぞれに示す突合済み匿名加工情報に関し、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの匿名加工情報以上の匿名性を有していると判定して、ステップS4の処理に移行すると、匿名加工情報検査部312は、次に、加工方針確認部3122を起動して、それぞれの突合元である各データ提供元企業(A社、B社、C社)の加工前情報DBと加工方針情報DBとにアクセスして、それぞれの加工前情報と加工方針情報とを読み込む(ステップS4)。 Regarding the matched anonymously processed information shown in each of Figures 14 and 16, the anonymity is greater than the anonymously processed information of each data provider company (Company A, Company B, Company C) that is the source of each comparison. When determining that there are The pre-processing information DB and processing policy information DB of companies B and C are accessed to read the respective pre-processing information and processing policy information (step S4).

すなわち、図14に示す突合済み匿名加工情報の場合は、A社の匿名加工データストア10の加工前情報DB101と加工方針情報DB102とからA社の加工前情報(図2の加工前情報)と加工方針情報(図3の加工方針情報)とを読み込むとともに、C社の匿名加工データストア12の加工前情報DB121と加工方針情報DB122とからC社の加工前情報(図8の加工前情報)と加工方針情報(図9の加工方針情報)とを読み込む。 That is, in the case of the verified anonymously processed information shown in FIG. 14, the unprocessed information of company A (the unprocessed information in FIG. 2) is retrieved from the unprocessed information DB 101 and the processing policy information DB 102 of the anonymously processed data store 10 of company A. The processing policy information (processing policy information in FIG. 3) is read, and the pre-processing information of company C (the pre-processing information in FIG. 8) is read from the pre-processing information DB 121 and processing policy information DB 122 of the anonymously processed data store 12 of company C. and processing policy information (processing policy information in FIG. 9).

また、図16に示す突合済み匿名加工情報の場合は、A社の匿名加工データストア10の加工前情報DB101と加工方針情報DB102とからA社の加工前情報(図2の加工前情報)と加工方針情報(図3の加工方針情報)とを読み込むとともに、B社の匿名加工データストア11の加工前情報DB111と加工方針情報DB112とからB社の加工前情報(図5の加工前情報)と加工方針情報(図6の加工方針情報)とを読み込む。 In the case of the verified anonymously processed information shown in FIG. 16, the unprocessed information of company A (the information before processing in FIG. 2) is obtained from the unprocessed information DB 101 and the processing policy information DB 102 of the anonymously processed data store 10 of company At the same time, the processing policy information (processing policy information in FIG. 3) is read, and the pre-processing information of company B (pre-processing information in FIG. 5) is read from the pre-processing information DB 111 and processing policy information DB 112 of the anonymously processed data store 11 of company B. and processing policy information (processing policy information in FIG. 6).

匿名加工情報検査部312の加工方針確認部3122は、図14および図16のそれぞれに示す突合済み匿名加工情報に関して、それぞれの突合元である各データ提供元企業(A社、B社、C社)それぞれの加工前情報と加工方針情報とを読み込むと、突合対象とする各データ提供元企業(A社、B社、C社)それぞれの加工前情報と加工方針情報とを参照して、図14および図16のそれぞれに示す突合済み匿名加工情報が、それぞれの突合元である各データ提供元企業における匿名化の加工方針を満たしているか否かを確認する(ステップS5)。 The processing policy confirmation unit 3122 of the anonymously processed information inspection unit 312 checks the data provider companies (Company A, Company B, Company C) that are the respective matching sources for the verified anonymously processed information shown in FIGS. 14 and 16. ) After reading the respective pre-processing information and processing policy information, the figure is It is confirmed whether the verified anonymously processed information shown in FIG. 14 and FIG. 16 satisfies the anonymization processing policy of each data provider company that is the source of the comparison (step S5).

つまり、図14の突合済み匿名加工情報の場合は、突合元であるA社の加工前情報(図2の加工前情報)を匿名加工するための加工方針情報(図3の加工方針情報)およびC社の加工前情報(図8の加工前情報)を匿名加工するための加工方針情報(図9の加工方針情報)のいずれの加工方針も満たしているか否かを確認する。また、図16の突合済み匿名加工情報の場合は、突合元であるA社の加工前情報(図2の加工前情報)を匿名加工するための加工方針情報(図3の加工方針情報)およびB社の加工前情報(図5の加工前情報)を匿名加工するための加工方針情報(図6の加工方針情報)のいずれの加工方針も満たしているか否かを確認する。 In other words, in the case of the matched anonymously processed information in Figure 14, the processing policy information (processing policy information in Figure 3) for anonymously processing the unprocessed information (unprocessed information in Figure 2) of company A, which is the matching source, and It is checked whether any of the processing policies of the processing policy information (processing policy information in FIG. 9) for anonymously processing the pre-processing information of company C (the pre-processing information in FIG. 8) is satisfied. In the case of the matched anonymously processed information in Figure 16, processing policy information (processing policy information in Figure 3) for anonymously processing the unprocessed information (unprocessed information in Figure 2) of company A, which is the matching source, and It is checked whether any of the processing policies of the processing policy information (processing policy information in FIG. 6) for anonymously processing the pre-processing information of company B (the pre-processing information in FIG. 5) is satisfied.

図14の突合済み匿名加工情報の場合は、突合元であるA社の加工方針情報(図3の加工方針情報)およびC社の加工方針情報(図9の加工方針情報)のいずれの加工方針も満たしているので(ステップS5のYES)、加工方針とk-匿名性との双方を満たしている状態、すなわち、十分な匿名性が担保された安全性が高い状態の突合済み匿名加工情報であって、外部システムに対して出力することが可能な状態であると判断して、ステップS6に進む。 In the case of the matched anonymously processed information in Figure 14, which of the processing policy information of company A (processing policy information in Figure 3) which is the matching source and the processing policy information of company C (processing policy information in Figure 9) (YES in step S5), the verified anonymously processed information satisfies both the processing policy and k-anonymity, that is, the checked anonymously processed information is in a highly secure state with sufficient anonymity guaranteed. Therefore, it is determined that it is possible to output to an external system, and the process proceeds to step S6.

ステップS6に進むと、匿名加工情報検査部312は、突合結果処理部3123を起動して、加工方針とk-匿名性との双方を満たしている状態、すなわち、十分な匿名性が担保された安全性が高い状態の突合済み匿名加工情報を、匿名性劣化情報出力防止装置300から外部のシステムに対して出力して、処理を終了する(ステップS6)。 Proceeding to step S6, the anonymously processed information inspection unit 312 activates the matching result processing unit 3123 and determines that both the processing policy and k-anonymity are satisfied, that is, sufficient anonymity is ensured. The verified anonymously processed information in a highly secure state is output from the anonymity deterioration information output prevention device 300 to an external system, and the process ends (step S6).

一方、図16の突合済み匿名加工情報の場合は、突合元であるA社の加工方針情報の支払方法欄の情報に対してC社の匿名加工情報の支払方式欄の情報がさらに結合されている状態になっているので、A社の加工前情報(図2の加工前情報)に対してk-匿名化を満たすように匿名加工を施していたA社の加工方針情報(図3の加工方針情報)に反した情報を生成してしまっている。 On the other hand, in the case of the matched anonymously processed information in Figure 16, the information in the payment method column of the anonymously processed information of company C is further combined with the information in the payment method column of the processing policy information of company A, which is the matching source. As a result, the processing policy information of Company A (processed information in Figure 3), which had been anonymized to satisfy k-anonymization, on Company A's unprocessed information (before processing information in Figure 2). (policy information) has been generated.

図16の突合済み匿名加工情報の場合についてさらに具体的に説明すると、次の通りである。すなわち、突合元であるデータ提供元企業の一つであるA社の匿名加工情報に関しては、A社の加工方針情報(図3の加工方針情報)に基づいて、A社の加工前情報(図2の加工前情報)の支払方法欄の情報(現金の他にキャッシュレスのA方式、B方式、C方式の情報が存在している)に対してk-匿名性を満たすように匿名加工(現金、キャッシュレスのいずれかに一般化した加工)を施して匿名加工情報(図4の匿名加工情報)を生成していた。 A more specific explanation of the case of the matched anonymously processed information in FIG. 16 is as follows. In other words, regarding the anonymously processed information of Company A, which is one of the data provider companies that are the source of the comparison, based on the processing policy information of Company A (processing policy information in Figure 3), the unprocessed information of Company A (Fig. The information in the payment method column (in addition to cash, there is information on cashless methods A, B, and C) of the unprocessed information in 2) is anonymously processed to satisfy k-anonymity ( Anonymously processed information (anonymously processed information in Figure 4) was generated by applying generalized processing to either cash or cashless transactions.

それにも関わらず、図16の突合済み匿名加工情報の場合、A社の該匿名加工情報に対して突合対象となるC社の匿名加工情報の支払方式欄の情報を結合した結果として、キャッシュレスのA方式、B方式、C方式に関する情報が追加されてしまい、突合元のA社の加工方針情報(図3の加工方針情報)に示した加工方針に反した情報が追加されている。 Nevertheless, in the case of the matched anonymously processed information in Figure 16, as a result of combining the anonymously processed information of company A with the information in the payment method column of the anonymously processed information of company C, which is the target of matching, cashless payment is possible. Information regarding the A method, B method, and C method has been added, and information that is contrary to the processing policy shown in the processing policy information of the matching source company A (the processing policy information in FIG. 3) has been added.

したがって、図16の突合済み匿名加工情報の場合は、突合元であるA社の加工方針情報(図3の加工方針情報)の加工方針を満たしていないので(ステップS5のNO)、突合元の加工方針を満たしていない状態すなわち匿名性が劣化した状態の突合済み匿名加工情報であると判断して、ステップS7に移行する。言い換えると、突合済み匿名加工情報が、突合対象とする各データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、該突合済み匿名加工情報の匿名性は劣化していると判断して、ステップS7に移行する。 Therefore, in the case of the matched anonymously processed information in FIG. 16, since it does not satisfy the processing policy of the processing policy information of company A (the processing policy information in FIG. 3), which is the matching source (NO in step S5), It is determined that the verified anonymously processed information does not satisfy the processing policy, that is, the anonymity has deteriorated, and the process moves to step S7. In other words, if it is confirmed that the matched anonymously processed information does not satisfy the anonymization processing policy of one or more of the data provider companies to be matched, the matched anonymously processed information It is determined that the anonymity of has deteriorated, and the process moves to step S7.

ステップS7に移行すると、匿名加工情報検査部312は、突合結果処理部3123を起動して、突合元である各データ提供元企業の匿名加工情報以上の匿名性を有していない状態(ステップS3のNOの状態)または突合元である各データ提供元企業の加工方針を満たしていない状態(ステップS5のNOの状態)にある突合済み匿名加工情報を、k-匿名性を満たしていない状態または突合元の加工方針を満たしていない状態であって、匿名性が劣化した状態の情報であると判断された場合として、外部のシステムに対して出力することなく、破棄してしまうことにより、処理を終了する(ステップS7)。 In step S7, the anonymously processed information inspection unit 312 activates the matching result processing unit 3123 to state that the anonymously processed information does not have more anonymity than the anonymously processed information of each data provider company that is the matching source (step S3 (NO state in step S5) or in a state that does not satisfy the processing policy of each data provider company that is the matching source (NO state in step S5). If it is determined that the information does not satisfy the matching source's processing policy and the anonymity has deteriorated, the process can be processed by discarding it without outputting it to an external system. (Step S7).

(実施形態の効果の説明)
以上に詳細に説明したように、本実施形態に係る匿名性劣化情報出力防止装置300においては、以下のような効果を奏することができる。 (Explanation of effects of embodiment)
As described above in detail, the anonymity deterioration information output prevention device 300 according to the present embodiment can achieve the following effects.

すなわち、複数のデータ提供元企業が保有する匿名加工情報を突合して突合済み匿名加工情報を生成する際に、該突合済み匿名加工情報の匿名性を担保し、かつ、突合対象とする各データ提供元企業の匿名化の加工方針を満たした状態で、安全性が高い情報として生成されたか否かを確実に確認することが可能であるので、匿名性を有することが十分に担保された状態の突合済み匿名加工情報を外部システムに対して提供することが可能である。 In other words, when comparing anonymously processed information held by multiple data provider companies to generate matched anonymously processed information, the anonymity of the matched anonymously processed information is guaranteed, and each data provision to be compared is It is possible to reliably confirm whether or not the information was generated as highly secure information while satisfying the original company's anonymization processing policy. It is possible to provide the verified anonymously processed information to an external system.

さらに、該突合済み匿名加工情報を生成する際に、第三者によって傍受されることのないセキュアなメモリ空間(セキュアメモリ領域部310)を用いて動作させることにより、突合対象とする複数のデータ提供元企業が保有する加工前情報を第三者に対して漏洩させることもなく、安全に、各データ提供元企業が提供する匿名加工情報を突合させた突合済み匿名加工情報を生成することが可能である。 Furthermore, when generating the matched anonymously processed information, by operating using a secure memory space (secure memory area section 310) that cannot be intercepted by a third party, multiple pieces of data to be matched can be generated. It is possible to safely generate matched anonymously processed information by collating anonymously processed information provided by each data provider company without leaking the unprocessed information held by the provider company to a third party. It is possible.

以上、本発明の好適な実施形態の構成を説明した。しかし、かかる実施形態は、本発明の単なる例示に過ぎず、何ら本発明を限定するものではないことに留意されたい。本発明の要旨を逸脱することなく、特定用途に応じて種々の変形変更が可能であることが、当業者には容易に理解できよう。 The configuration of the preferred embodiment of the present invention has been described above. However, it should be noted that such embodiments are merely illustrative of the present invention and do not limit the present invention in any way. Those skilled in the art will readily understand that various modifications and changes can be made depending on specific applications without departing from the spirit of the invention.

10 匿名加工データストア
11 匿名加工データストア
12 匿名加工データストア
100 匿名加工情報DB
101 加工前情報DB
102 加工方針情報DB
110 匿名加工情報DB
111 加工前情報DB
112 加工方針情報DB
120 匿名加工情報DB
121 加工前情報DB
122 加工方針情報DB
300 匿名性劣化情報出力防止装置
310 セキュアメモリ領域部
311 匿名加工情報突合部
312 匿名加工情報検査部
3121 匿名性確認部
3122 加工方針確認部
3123 突合結果処理部 10 Anonymously processed data store 11 Anonymously processed data store 12 Anonymously processed data store 100 Anonymously processed information DB
101 Pre-processing information DB
102 Processing policy information DB
110 Anonymous processing information DB
111 Pre-processing information DB
112 Processing policy information DB
120 Anonymous processing information DB
121 Pre-processing information DB
122 Processing policy information DB
300 Anonymity deterioration information output prevention device 310 Secure memory area unit 311 Anonymously processed information matching unit 312 Anonymously processed information inspection unit 3121 Anonymity confirmation unit 3122 Processing policy confirmation unit 3123 Matching result processing unit

Claims (10)

突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行う機能と、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する機能と、を有する匿名性劣化情報出力防止装置であって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合部と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査部と、
を有していることを特徴とする匿名性劣化情報出力防止装置。 Anonymously processed information of each data provider company to be compared, unprocessed information that is the original information before anonymous processing of the anonymously processed information, and processing policy information for anonymously processing the unprocessed information into the anonymously processed information Anonymity deteriorates when comparing the anonymously processed information obtained from each of the anonymously processed data stores of each data provider company. An anonymity deterioration information output prevention device having a function of preventing information from being output as verified anonymously processed information,
a secure memory area section that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by a third party;
an anonymously processed information matching unit that operates in the secure memory area unit, matches anonymously processed information of each of the data provider companies to be matched, and generates matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. An anonymously processed information inspection department that confirms whether the anonymity of anonymously processed information is guaranteed;
Anonymity deterioration information output prevention device characterized by having the following. 前記匿名加工情報検査部は、内部に、
突合対象とする各前記データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認部と、
突合対象とする各前記データ提供元企業の前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認部と、
前記匿名性確認部と前記加工方針確認部との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理部と、
を有していることを特徴とする請求項1に記載の匿名性劣化情報出力防止装置。 The anonymously processed information inspection department internally has the following:
With reference to the anonymously processed information of each of the data provider companies to be compared, the compared anonymously processed information is at a level higher than or equal to the level of anonymity of the anonymously processed information of each of the data provider companies to be compared. an anonymity confirmation unit that confirms whether or not the anonymity of the
With reference to the processing policy information and the unprocessed information of each of the data provider companies to be matched, the matched anonymously processed information is processed for anonymization of each of the data provider companies to be matched. A processing policy confirmation department that confirms whether the policy is met;
a matching result processing unit that performs a process of outputting or discarding the matched anonymously processed information to an external system based on the confirmation results of the anonymity confirmation unit and the processing policy confirmation unit;
The anonymity deterioration information output prevention device according to claim 1, characterized in that it has the following. 前記匿名性確認部は、
前記突合済み匿名加工情報を構成する各レコードを確認し、レコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、
該突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断する、
ことを特徴とする請求項2に記載の匿名性劣化情報出力防止装置。 The anonymity confirmation unit is
Each record constituting the matched anonymously processed information is checked, and the minimum number of identical records in which the information in the records is the same is determined by the anonymously processed information of each of the data provider companies to be matched. If the value is greater than or equal to the minimum number of identical records in the information,
determining that the matched anonymously processed information has a level of anonymity greater than or equal to the anonymity of the anonymously processed information of each of the data provider companies to be compared;
3. The anonymity-degraded information output prevention device according to claim 2. 前記突合結果処理部は、
前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性のレベル以上であることが確認された場合であって、
かつ、
前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしていることが確認された場合には、
前記突合済み匿名加工情報を外部システムへ出力する処理を行い、
一方、
前記匿名性確認部における確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業のいずれか1ないし複数における前記匿名加工情報の匿名性のレベル未満になっていることが確認された場合か、
または、
前記加工方針確認部における確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、
前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う、
ことを特徴とする請求項2または3に記載の匿名性劣化情報出力防止装置。 The matching result processing unit includes:
As a result of the confirmation by the anonymity confirmation unit, it is confirmed that the level of anonymity of the matched anonymously processed information is equal to or higher than the level of anonymity of the anonymously processed information of each of the data provider companies to be matched. In the case where
and,
As a result of the confirmation by the processing policy confirmation unit, if it is confirmed that the matched anonymously processed information satisfies the anonymization processing policy of each of the data provider companies to be matched,
Perform processing to output the verified anonymously processed information to an external system,
on the other hand,
As a result of the confirmation by the anonymity confirmation unit, the level of anonymity of the matched anonymously processed information is lower than the level of anonymity of the anonymously processed information of any one or more of the data provider companies to be matched. If it is confirmed that
or
As a result of the confirmation by the processing policy confirmation unit, it is confirmed that the matched anonymously processed information does not satisfy the anonymization processing policy of one or more of the data provider companies to be matched; for,
Deleting the verified anonymously processed information and not outputting it to an external system;
The anonymity-degraded information output prevention device according to claim 2 or 3, characterized in that: ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作する、突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行うステップと、前記セキュアメモリ領域部にて動作し、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止するステップと、を有する匿名性劣化情報出力防止方法であって、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合ステップと、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査ステップと、
を有していることを特徴とする匿名性劣化情報出力防止方法。 Anonymously processed information of each data provider company to be compared, which operates in a secure memory area that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by third parties. and an anonymously processed data store that stores unprocessed information, which is the original information before anonymously processing the anonymously processed information, and processing policy information for anonymously processing the unprocessed information into the anonymously processed information. Information whose anonymity has deteriorated has already been compared during the step of communicating and the matching of the anonymously processed information acquired from the anonymously processed data stores of each of the data provider companies by operating in the secure memory area section. A method for preventing the output of information with degraded anonymity, the method comprising: preventing the output of anonymously processed information;
an anonymously processed information matching step that operates in the secure memory area unit and matches the anonymously processed information of each of the data provider companies to be matched to generate matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. an anonymously processed information inspection step for confirming whether the anonymity of the anonymously processed information is guaranteed;
1. A method for preventing the output of information with degraded anonymity, the method comprising: 前記匿名加工情報検査ステップは、内部に、
突合対象とする各前記データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認ステップと、
突合対象とする各前記データ提供元企業の前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認ステップと、
前記匿名性確認ステップと前記加工方針確認ステップとの確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理ステップと、
を有していることを特徴とする請求項5に記載の匿名性劣化情報出力防止方法。 The anonymously processed information inspection step includes:
With reference to the anonymously processed information of each of the data provider companies to be compared, the compared anonymously processed information is at a level higher than or equal to the level of anonymity of the anonymously processed information of each of the data provider companies to be compared. an anonymity confirmation step of confirming whether or not the anonymity of the
With reference to the processing policy information and the unprocessed information of each of the data provider companies to be matched, the matched anonymously processed information is processed for anonymization of each of the data provider companies to be matched. a processing policy confirmation step to confirm whether the policy is met;
a matching result processing step of outputting or discarding the matched anonymously processed information to an external system based on the confirmation results of the anonymity confirmation step and the processing policy confirmation step;
6. The method for preventing output of anonymity-deteriorating information according to claim 5, further comprising: 前記匿名性確認ステップは、
前記突合済み匿名加工情報を構成する各レコードを確認し、レコード内の情報が同一の情報になっている同一レコードの最少の個数が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報における前記同一レコードの最少の個数以上の値になっていた場合には、
該突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有していると判断する、
ことを特徴とする請求項6に記載の匿名性劣化情報出力防止方法。 The anonymity confirmation step includes:
Each record constituting the matched anonymously processed information is checked, and the minimum number of identical records in which the information in the records is the same is determined by the anonymously processed information of each of the data provider companies to be matched. If the value is greater than or equal to the minimum number of identical records in the information,
determining that the matched anonymously processed information has a level of anonymity greater than or equal to the anonymity of the anonymously processed information of each of the data provider companies to be compared;
7. The method for preventing output of anonymity-deteriorating information according to claim 6. 前記突合結果処理ステップは、
前記匿名性確認ステップにおける確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性のレベル以上であることが確認された場合であって、
かつ、
前記加工方針確認ステップにおける確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしていることが確認された場合には、
前記突合済み匿名加工情報を外部システムへ出力する処理を行い、
一方、
前記匿名性確認ステップにおける確認結果として、前記突合済み匿名加工情報の匿名性のレベルが、突合対象とする各前記データ提供元企業のいずれか1ないし複数における前記匿名加工情報の匿名性のレベル未満になっていることが確認された場合か、
または、
前記加工方針確認ステップにおける確認結果として、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業のいずれか1ないし複数における匿名化の加工方針を満たしていないことが確認された場合には、
前記突合済み匿名加工情報を削除し、外部システムへは出力しない処理を行う、
ことを特徴とする請求項6または7に記載の匿名性劣化情報出力防止方法。 The matching result processing step includes:
As a confirmation result in the anonymity confirmation step, it is confirmed that the level of anonymity of the matched anonymously processed information is equal to or higher than the level of anonymity of the anonymously processed information of each of the data provider companies to be matched. In the case where
and,
As a result of the confirmation in the processing policy confirmation step, if it is confirmed that the matched anonymously processed information satisfies the anonymization processing policy of each of the data provider companies to be matched,
Perform processing to output the verified anonymously processed information to an external system,
on the other hand,
As a result of the confirmation in the anonymity confirmation step, the level of anonymity of the matched anonymously processed information is lower than the level of anonymity of the anonymously processed information of any one or more of the data provider companies to be matched. If it is confirmed that
or
As a result of the confirmation in the processing policy confirmation step, it is confirmed that the matched anonymously processed information does not satisfy the anonymization processing policy of one or more of the data provider companies to be matched; for,
Deleting the verified anonymously processed information and not outputting it to an external system;
The method for preventing output of anonymity-deteriorating information according to claim 6 or 7, characterized in that: 突合対象とする各データ提供元企業それぞれの匿名加工情報と該匿名加工情報の匿名加工前の元情報である加工前情報と前記加工前情報を前記匿名加工情報に匿名加工するための加工方針情報とを保存している匿名加工データストアとの間で通信を行う工程と、各前記データ提供元企業の前記匿名加工データストアそれぞれから取得した前記匿名加工情報を組み合わせる突合時において匿名性が劣化した情報が突合済み匿名加工情報として出力されることを防止する工程と、を有し、コンピュータにより実行される匿名性劣化情報出力防止プログラムであって、
ハードウェアレベルにおけるセキュリティ機能を適用して第三者に傍受されることのないセキュアなメモリ空間を提供するセキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業の匿名加工情報を突合し、突合済み匿名加工情報を生成する匿名加工情報突合工程と、
前記セキュアメモリ領域部にて動作し、突合対象とする各前記データ提供元企業それぞれにおいて適用されている前記加工前情報を匿名加工するための前記加工方針情報を勘案して、生成した前記突合済み匿名加工情報の匿名性が担保されているか否かを確認する匿名加工情報検査工程と、
を有していることを特徴とする匿名性劣化情報出力防止プログラム。 Anonymously processed information of each data provider company to be compared, unprocessed information that is the original information before anonymous processing of the anonymously processed information, and processing policy information for anonymously processing the unprocessed information into the anonymously processed information Anonymity deteriorated during the process of communicating with the anonymously processed data store that stores the data, and when comparing the anonymously processed information obtained from each of the anonymously processed data stores of each data provider company. A program for preventing the output of information with degraded anonymity, which is executed by a computer and includes the step of preventing information from being output as verified anonymously processed information,
Anonymously processed information of each data provider company that operates in a secure memory area that applies security functions at the hardware level to provide a secure memory space that cannot be intercepted by third parties, and is subject to verification. an anonymously processed information matching step of comparing the information to generate matched anonymously processed information;
The matched information is generated by taking into consideration the processing policy information for anonymously processing the unprocessed information, which operates in the secure memory area and is applied by each of the data provider companies to be matched. an anonymously processed information inspection step to confirm whether the anonymity of the anonymously processed information is guaranteed;
Anonymity deterioration information output prevention program characterized by having the following. 前記匿名加工情報検査工程は、内部に、
突合対象とする各前記データ提供元企業の前記匿名加工情報を参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの前記匿名加工情報の匿名性以上のレベルの匿名性を有しているか否かを確認する匿名性確認工程と、
突合対象とする各前記データ提供元企業の前記加工方針情報と前記加工前情報とを参照して、前記突合済み匿名加工情報が、突合対象とする各前記データ提供元企業それぞれの匿名化の加工方針を満たしているか否かを確認する加工方針確認工程と、
前記匿名性確認工程と前記加工方針確認工程との確認結果に基づいて、前記突合済み匿名加工情報を外部システムに対して出力するかまたは破棄するかの処理を行う突合結果処理工程と、
を有していることを特徴とする請求項9に記載の匿名性劣化情報出力防止プログラム。 In the anonymously processed information inspection step, internally,
With reference to the anonymously processed information of each of the data provider companies to be compared, the compared anonymously processed information is at a level higher than or equal to the level of anonymity of the anonymously processed information of each of the data provider companies to be compared. an anonymity confirmation step of confirming whether or not the anonymity of the
With reference to the processing policy information and the unprocessed information of each of the data provider companies to be matched, the matched anonymously processed information is processed for anonymization of each of the data provider companies to be matched. A processing policy confirmation process to confirm whether the policy is met or not;
a matching result processing step of outputting or discarding the matched anonymously processed information to an external system based on the confirmation results of the anonymity confirmation step and the processing policy confirmation step;
The anonymity deterioration information output prevention program according to claim 9, characterized in that it has the following.
JP2019231235A 2019-12-23 2019-12-23 Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program Active JP7380183B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019231235A JP7380183B2 (en) 2019-12-23 2019-12-23 Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019231235A JP7380183B2 (en) 2019-12-23 2019-12-23 Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program

Publications (2)

Publication Number Publication Date
JP2021099668A JP2021099668A (en) 2021-07-01
JP7380183B2 true JP7380183B2 (en) 2023-11-15

Family

ID=76541213

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019231235A Active JP7380183B2 (en) 2019-12-23 2019-12-23 Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program

Country Status (1)

Country Link
JP (1) JP7380183B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012067213A1 (en) 2010-11-16 2012-05-24 日本電気株式会社 Information processing system and anonymizing method
WO2013121739A1 (en) 2012-02-17 2013-08-22 日本電気株式会社 Anonymization device, and anonymization method
JP2014170369A (en) 2013-03-04 2014-09-18 Nec Corp Information processor, information processing system, and information anonymization method
WO2014185043A1 (en) 2013-05-15 2014-11-20 日本電気株式会社 Information processing device, information anonymization method, and recording medium
JP2015215676A (en) 2014-05-08 2015-12-03 学校法人慶應義塾 Anonymization system, issuing device, and program
JP2017076303A (en) 2015-10-16 2017-04-20 株式会社フィールトラスト Information processing system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012067213A1 (en) 2010-11-16 2012-05-24 日本電気株式会社 Information processing system and anonymizing method
WO2013121739A1 (en) 2012-02-17 2013-08-22 日本電気株式会社 Anonymization device, and anonymization method
US20150033356A1 (en) 2012-02-17 2015-01-29 Nec Corporation Anonymization device, anonymization method and computer readable medium
JP2014170369A (en) 2013-03-04 2014-09-18 Nec Corp Information processor, information processing system, and information anonymization method
WO2014185043A1 (en) 2013-05-15 2014-11-20 日本電気株式会社 Information processing device, information anonymization method, and recording medium
JP2015215676A (en) 2014-05-08 2015-12-03 学校法人慶應義塾 Anonymization system, issuing device, and program
JP2017076303A (en) 2015-10-16 2017-04-20 株式会社フィールトラスト Information processing system

Also Published As

Publication number Publication date
JP2021099668A (en) 2021-07-01

Similar Documents

Publication Publication Date Title
US10848501B2 (en) Real time pivoting on data to model governance properties
Elkoumy et al. Privacy and confidentiality in process mining: Threats and research challenges
Shen et al. Privacy enhancing technologies: A review
Murphy et al. From a sea of data to actionable insights: Big data and what it means for lawyers
Neama et al. Privacy, security, risk, and trust concerns in e-commerce
Aziz A systematic literature review of cyber insurance challenges
Hoffman et al. Securing the HIPAA security rule
Berghel Identity theft and financial fraud: Some strangeness in the proportions
JP7380183B2 (en) Anonymity-degraded information output prevention device, anonymity-degraded information output prevention method, and anonymity-degraded information output prevention program
Thorogood et al. Protecting the Privacy of Canadians ‘Health Information in the Cloud
Miller et al. Balancing security and privacy in the digital workplace
JP2019153060A (en) System, method and apparatus for information management
Davidoff Data breaches: crisis and opportunity
Aserkar et al. Impact of personal data protection (PDP) regulations on operations workflow
Kamarinou et al. Responsibilities of controllers and processors of personal data in clouds
Manna et al. Edprl: A language for specifying data privacy requirements of enterprises
Hess Enterprise Risk Management as a Measurement of Cybersecurity Effectiveness: A Correlational Study
Yee Model for reducing risks to private or sensitive data
Daswani et al. The marriott breach
Monfared et al. Information privacy practices in organizations: Activities, knowledge and skill requirements for information technology professionals
Nagahawatta et al. Security Concerns Influencing the Adoption of Cloud Computing by SMEs: A Literature
Moquin Trust or Consequences Replication: A Methodological Replication Study
US11954735B1 (en) Digital property protection systems
Manna et al. A risk‐based methodology for privacy requirements elicitation and control selection
Kikuchi et al. Best Security Measures to Reduce Cyber-Incident and Data Breach Risks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230801

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230921

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231016

R151 Written notification of patent or utility model registration

Ref document number: 7380183

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151