JP7458863B2 - 情報処理装置、情報処理方法、情報処理プログラム - Google Patents

情報処理装置、情報処理方法、情報処理プログラム Download PDF

Info

Publication number
JP7458863B2
JP7458863B2 JP2020068234A JP2020068234A JP7458863B2 JP 7458863 B2 JP7458863 B2 JP 7458863B2 JP 2020068234 A JP2020068234 A JP 2020068234A JP 2020068234 A JP2020068234 A JP 2020068234A JP 7458863 B2 JP7458863 B2 JP 7458863B2
Authority
JP
Japan
Prior art keywords
information
location information
area
location
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020068234A
Other languages
English (en)
Other versions
JP2021165878A (ja
Inventor
恒輝 村岡
圭介 永川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Blogwatcher Inc
Original Assignee
Blogwatcher Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Blogwatcher Inc filed Critical Blogwatcher Inc
Priority to JP2020068234A priority Critical patent/JP7458863B2/ja
Publication of JP2021165878A publication Critical patent/JP2021165878A/ja
Application granted granted Critical
Publication of JP7458863B2 publication Critical patent/JP7458863B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、情報処理装置、情報処理方法、情報処理プログラムに関する。
近年、個人情報(personal information)(パーソナルデータ等ともいう)を特定の個人を識別することができないように加工した情報(匿名化情報等ともいう)を、第三者によるデータ分析等に利活用することが検討されている。このため、個人情報を匿名化情報に加工する技術(匿名化、匿名加工、一般化等ともいう)が検討されている。
例えば、特許文献1では、差分プライバシー(Differential Privacy)を用いて個人情報を保護する技術が記載されている。差分プライバシーでは、個人情報に対して乱数から生成したノイズを付加することで、元の個人情報の漏洩を回避する。
国際公開2018-116366号公報
近年、位置を示す情報(位置情報、例えば、Global Positioning System(GPS)により取得される緯度及び経度等)を収集し、データ分析(例えば、ユーザの動線の分析等)に利活用することが検討されている。このような位置情報の利活用にあたっては、当該位置情報による個人の特定を防ぐために、当該位置情報の匿名化を適切に行うことが望まれる。
例えば、上記差分プライバシーを用いて位置情報に対して所定のノイズ幅のノイズをランダムに付加することが考えられる。しかしながら、位置情報の匿名性を確保するのに必要以上に大きいノイズ幅のノイズを位置情報に付与すると、当該位置情報の有用性が低下してしまう恐れがある。
そこで、本発明は、位置情報の匿名性を確保しながら、当該位置情報の有用性を向上可能な情報処理装置、情報処理方法、情報処理プログラムを提供する。
本発明の一態様に係る情報処理装置は、匿名化に関する処理を行う情報処理装置であって、ユーザの位置を示す位置情報を取得する取得部と、前記位置情報が属する領域における混雑度に基づいて、ノイズ幅を決定する決定部と、前記位置情報に対して前記ノイズ幅のノイズを付加する匿名化処理部と、を備える。
この態様によれば、位置情報が属する領域における混雑度に基づいて当該位置情報に付加されるノイズのノイズ幅が決定されるので、当該領域における位置情報の匿名性を確保しながら、当該位置情報の有用性を向上できる。
上記態様において、前記決定部は、前記領域における前記混雑度が高くなるほど、前記ノイズ幅を小さく決定してもよい。
この態様によれば、混雑度が相対的に高く、匿名性が確保し易い領域においては、ノイズ幅を小さくすることにより、位置情報の有用性を向上できる。
上記態様において、前記混雑度は、前記領域に属する位置情報の数に基づいて決定されてもよい。この態様によれば、上記領域における混雑度を適切に決定できる。
上記態様において、前記領域は、空間を分割して得られる複数の領域のうち前記位置情報が示す前記位置を含む領域、又は、該領域と前記位置情報に関する時間を含む所定の時間範囲とで構成される時空間領域であってもよい。
この態様によれば、位置情報が示す位置を含む領域、又は、当該領域と当該位置情報に関する時間を含む所定の時間範囲とで構成される時空間領域の混雑度に基づいてノイズ幅が決定されるので、当該位置を含む領域又は時空間領域固有の適切なノイズ幅を決定できる。
上記態様において、前記匿名化処理部は、前記位置情報と前記位置情報に関する時間を示す時間情報との少なくとも一つを、前記領域における代表値に変更してもよい。
この態様によれば、位置情報が属する領域の代表値に前記位置情報と前記位置情報に関する時間を示す時間情報との少なくとも一つが変更されるので、当該領域内における匿名性をより適切に確保できる。
上記態様において、前記領域に属する位置情報の数が所定数以下又はより小さい場合、前記位置情報を除去してもよい。
この態様によれば、位置情報が属する領域に他の位置情報が存在しない場合、当該位置情報が除去されるので、当該領域内における匿名性をより適切に確保できる。
本発明の他の態様に係る情報処理方法は、匿名化に関する処理を行う情報処理方法であって、ユーザの位置を示す位置情報を取得する工程と、前記位置情報が属する領域における混雑度に基づいて、ノイズ幅を決定する工程と、前記位置情報に対して前記ノイズ幅のノイズを付加する工程と、を有する。
本発明の他の態様に係る情報処理プログラムは、匿名化に関する処理を行う情報処理装置に、ユーザの位置を示す位置情報を取得することと、前記位置情報が属する領域における混雑度に基づいて、ノイズ幅を決定することと、前記位置情報に対して前記ノイズ幅のノイズを付加することと、を実行させる。
本発明によれば、位置情報の匿名性を確保しながら、当該位置情報の有用性を向上できる。
第1の実施形態に係る情報処理装置の構成の一例を示す図である。 第1の実施形態に係る記憶部で記憶される情報の一例を示す図である。 第1の実施形態に係る位置情報が属する領域の一例を示す図である。 第1の実施形態に係るノイズ幅の決定の一例を示す図である。 第1の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。 第2の実施形態に係る情報処理装置の構成の一例を示す図である。 第2の実施形態に係るk-匿名化の一例を示す図である。 第2の実施形態に係るノイズの付加の一例を示す図である。 第2の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。 第1及び第2の実施形態に係る情報処理装置のハードウェア構成の一例を示す図である。
添付図面を参照して、本発明の実施形態について説明する。なお、各図において、同一の符号を付したものは、同一又は同様の構成を有する。
(第1の実施形態)
第1の実施形態では、差分プライバシーを用いた位置情報の匿名化について説明する。差分プライバシーとは、「ある個人のデータを含むデータベースに対する問い合わせ結果が、その個人のデータを含まないデータベースへの問い合わせ結果と区別できないなら、その問い合わせは安全である」という考え方によりプライバシーを規定するものである。具体的には、差分プライバシーは、パラメータεを用いて以下のように定義される。
定義1:任意の隣接したデータベースD1及びD2(D1,D2∈D)に対し、ランダム化関数(randomized function)Κ:D→Rが下記式(1)を満たすとき、Κはε-差分プライバシーを満たす。ただし、ここで、Sは、Κの出力空間Rの任意の部分空間である(S⊆R)。
式(1)
Pr[Κ(D1)∈S]≦eε・Pr[Κ(D2)∈S]
上記定義1において、隣接したデータベースD1及びD2において、D1に含まれるある個人iに関するレコードxiが、D2では別のレコードに置換されている、又は、削除されているものとする。Κはデータベースへの問い合わせを表す。また、Κは確率的な出力を持つランダム化関数であり、Kの出力には所定の(given)ノイズが付加される。D1に対する問い合わせΚ(D1)と、D1からある個人iに関するレコードxiを除いたD2に対する問い合わせΚ(D2)が区別できないなら、D1からxiに関して意味がある情報を抽出することができない、すなわち、個人iのプライバシーは保護されるといえる。
第1の実施形態では、以上のような差分プライバシーにおけるレコードxiとして、位置情報を想定し、位置情報に対して付加するノイズのノイズ幅dを、当該位置情報が属する領域の混雑度に基づいて決定する。これにより、位置情報の匿名性を確保するのに必要以上に大きいノイズ幅dのノイズを位置情報に付与するのを防止できるので、当該領域における位置情報の匿名性を確保しながら、当該位置情報の有用性を向上できる。
<情報処理装置の構成>
図1は、第1の実施形態に係る情報処理装置の構成の一例を示す図である。図1に示すように、情報処理装置10は、記憶部11と、取得部12と、決定部13と、匿名化処理部14とを備える。
記憶部11は、ユーザの位置を示す位置情報を記憶する。具体的には、記憶部11は、当該位置情報と、当該位置情報に関する時間を示す時間情報と、を少なくとも関連付けて記憶してもよい。また、記憶部11は、当該位置情報及び時間情報に加えて、当該ユーザを識別するユーザ識別情報を関連付けて記憶してもよい。
図2は、第1の実施形態に係る記憶部で記憶される情報の一例を示す図である。図2に示すように、記憶部11は、あるユーザがある時間においてどこに位置するかを示す情報(以下、位置時間情報)を記憶してもよい。位置時間情報は、例えば、図2に示すように、ユーザ識別情報と位置情報と時間情報とを関連付けた情報であってもよい。
ここで、ユーザ識別情報は、ユーザの識別情報であり、例えば、ユーザの識別子であるユーザID、ユーザが保持する端末の識別子である端末ID、又は、広告配信用に付与されるユーザ固有の識別子である広告ID等であってもよい。当該広告IDは、IDFA(Identifier For Advertising)、AAID(Google Advertising ID)等と呼ばれてもよい。
また、位置情報は、ユーザの位置を示す情報であり、例えば、経度及び緯度を含んでもよい。当該位置情報は、例えば、GPS衛星からの信号により端末において取得されてもよいし、所定のセンサ(例えば、レーザセンサ、加速度センサ、ジャイロセンサ、カメラセンサ等)によって取得されてもよい。
また、時間情報は、位置情報に関する時間を示す情報であり、例えば、上記位置情報が取得される時間、又は、上記位置情報が示す位置にユーザが存在する時間を示してもよい。なお、時間情報は、当該時間(時、分及び秒の少なくとも一つ)に限られず、位置情報が取得される(又は、位置情報が示す位置に端末が存在する)日時、年月日等を示してよい。
なお、記憶部11に記憶される位置時間情報は、各ユーザの端末(又は、各ユーザの端末の位置時間情報を収集するサーバ等)から送信され、後述する通信部10cによって受信されたものであってもよい。或いは、当該位置時間情報は、コンピュータによって読み取り可能な記憶媒体(例えば、DVD、CD、USBメモリ等)に記憶されて情報処理装置10の提供されたものであってもよい。
取得部12は、位置情報を取得する。具体的には、取得部12は、記憶部11において記憶された位置時間情報(例えば、図2)を取得してもよい。また、取得部12は、位置情報が属する領域に関する領域情報を取得してもよい。
ここで、当該領域は、例えば、空間を分割して得られる複数の領域のうち当該位置情報が示す位置を含む領域(例えば、後述するメッシュ領域)であってもよいし、又は、当該領域と当該位置情報に関する時間を含む所定の時間範囲とで構成される時空間領域であってもよい。領域情報は、当該位置情報が示す位置を含む領域を示す情報(例えば、後述するメッシュID)であってもよいし、当該時空間領域を示す情報(例えば、後述する時空間領域ID)であってもよいし、両者を含んでもよい。
図3は、第1の実施形態に係る位置情報が属する領域の一例を示す図である。例えば、図3に示すように、位置情報が属する領域は、空間を分割して得られる複数の領域のうち当該位置情報が示す位置を含む領域であり、例えば、経度及び緯度を用いる地理座標内の所定領域であってもよい。なお、図3は例示にすぎず、これに限られない。当該空間は、2次元の座標系(平面地図)又は3次元の座標系(立体地図)等であってもよく、例えば、Simultaneous Localization And Mapping(SLAM)等で作成される座標系(地図)であってもよい。
図3に示すように、空間を分割して得られる領域は、メッシュ状の領域(メッシュ領域)であってもよい。各メッシュ領域は、所定距離(例えば、125m)四方で構成されてもよい。各メッシュ領域には、各メッシュ領域の識別情報であるメッシュIDが付与されてもよい。例えば、図3では、メッシュIDでそれぞれ識別されるメッシュ領域M0~M3が示される。
例えば、図3では、図2に示すユーザA~Jの位置情報が示す位置がどのメッシュ領域に含まれるかが示される。なお、図3では、時間軸の図示を省略するが、ユーザA~Jの位置情報は、それぞれ、同一の時間範囲(例えば、図2では、午前10時0分~15分の15分)内に取得されるものとする。すなわち、図3では、メッシュ領域M0~M3それぞれとある時間範囲(ここでは、午前10時0分~15分)とで構成される時空間領域TS0~TS3(不図示)のうちのどの時空間領域にユーザA~Jの位置情報が属するかが示されるともいえる。
なお、図3では、x0~x2、y、a0~a2、bは、所定の値であり、x0<x1<x2、a0<a1<a2の関係であるものとする。また、図2におけるx1A~x1Iはx1以上x2未満の任意の値であり、x0Jはx0以上x1未満の任意の値であり、a0A~a0F、a0H、a0Jは、a0以上a1未満の任意の値であり、a1G、a1Hは、a1以上a2未満の任意の値であるものとする。
例えば、図3では、ユーザA~F、Hの位置情報はメッシュ領域M2に属し、ユーザG及びIの位置情報はメッシュ領域M3に属し、ユーザJの位置情報はメッシュ領域M0に属する。なお、図3では、ある時間範囲(ここでは、午前10時0分~15分)においてメッシュ領域M0~M3に属する位置情報を示しており、メッシュ領域M0~M3は、それぞれ、時空間領域TS0~TS3(不図示)と言い換えることもできる。すなわち、ユーザA~F、Hの位置情報は時空間領域TS2に属し、ユーザG及びIの位置情報は時空間領域TS3に属し、ユーザJの位置情報は時空間領域TS0に属するともいえる。
決定部13は、位置情報が属する領域における混雑度に基づいて、当該領域に属する位置情報に付加されるノイズの幅(以下、「ノイズ幅」という)dを決定する。ノイズ幅dは、当該ノイズの量又は大きさ等を示す情報であってもよい。
ここで、当該領域における混雑度は、例えば、位置情報が属する領域(例えば、上記メッシュ領域又は時空間領域)における位置情報の数に基づいて決定されてもよい。具体的には、属する位置情報の数が多い領域ほど混雑度が高く決定され、属する位置情報の数が少ない領域ほど混雑度が低く決定されてもよい。
例えば、図3では、所定時間(例えば、午前10時0分~15分の15分間)においてメッシュ領域M0、M1、M2及びM3(上記の通り、時空間領域TS0、TS1、TS2及びTS3ともいえる)に属する位置情報の数は1、0、7及び2である。このため、午前10時0分~15分の間では、メッシュ領域M2の混雑度が最も高く決定され、メッシュ領域M3の混雑度が2番目に高く決定され、メッシュ領域M1の混雑度が3番目に高く決定される。
また、決定部13は、位置情報が属する領域における混雑度が高くなるほど、当該領域に属する位置情報に付加するノイズ幅dを小さく決定してもよい。具体的には、決定部13は、領域内における少なくとも二つの位置情報が入れ替わる確率が所定の割合(例えば、99%)以上又はより大きくなるように、当該ノイズ幅dを決定してもよい。また、決定部13は、混雑度pに対して単調に減少する関数f(p)を用いてノイズ幅dを決定してもよい。
図4は、第1の実施形態に係るノイズ幅の決定の一例を示す図である。図4では、図3で説明したように、ユーザA~F及びHの位置情報はメッシュ領域M2内の位置を示し、ユーザG、Iの位置情報はメッシュ領域M3内の位置を示し、ユーザJの位置情報はメッシュ領域M0内の位置を示すものとする。混雑度は、メッシュ領域M2、M3、M0の順番に高い。
図4に示すように、混雑度が高いメッシュ領域M2では、各位置情報に付加するノイズ幅dが小さくても、各位置情報によりユーザが特定される確率は低い(匿名性を確保し易い)。一方、混雑度が低いメッシュ領域M3では、各位置情報に付加するノイズ幅dが小さいと、各位置情報によりユーザが特定される確率が高くなる(匿名性を確保し難くなる)。
そこで、決定部13は、図4に示すように、混雑度が高いメッシュ領域M2に属する位置情報に対するノイズ幅dを、混雑度が低いメッシュ領域M3に属する各位置情報に対するノイズ幅dよりもノイズ幅dを小さく決定してもよい。一般に、情報に付加するノイズ幅dが小さい方が当該情報の有用性は高いと考えられる。このため、混雑度の高いメッシュ領域M2に属する位置情報に対しては相対的に小さいノイズ幅dを付加することで、当該位置情報の匿名性を確保しながら、有用性を向上できる。
一方、決定部13は、図4に示すように、混雑度が低いメッシュ領域M3又はM0に属する位置情報に対するノイズ幅dを、混雑度が高いメッシュ領域M2に属する各位置情報に対するノイズ幅dよりもノイズ幅dを小さく決定してもよい。これにより、混雑度の低いメッシュ領域M3に属する当該位置情報の匿名性を適切に確保できる。
匿名化処理部14は、決定部13によって決定されたノイズ幅dに基づいて、位置情報の匿名化に関する処理を行う。具体的には、匿名化処理部14は、差分プライバシー処理部141を備えてもよい。
差分プライバシー処理部141は、取得部12によって取得された位置情報に対して、差分プライバシーに関する処理を適用する。具体的には、差分プライバシー処理部141は、決定部13によって決定されるノイズ幅dのノイズ値を、取得部12によって取得される各位置情報(例えば、緯度及び経度の少なくとも一つを示す値)に付加する。具体的には、差分プライバシー処理部141は、上記ノイズ幅dに基づくランダム化関数Κに対して各位置情報を入力し、当該ランダム化関数Κに出力として上記ノイズ幅dのノイズが付加された位置情報を取得してもよい。上記ランダム化関数Κとしては、ラプラス分布に従うノイズ幅dの確率密度関数、又は、分散がノイズ幅dの正規分布に従う確率密度関数等を用いることができる。
匿名化処理部14は、以上のように各位置情報に対して匿名化処理を施した後の情報(匿名化情報)の出力(例えば、送信又は表示等)を制御してもよい。具体的には、匿名化処理部14は、後述する通信部10cによる他の装置に対する当該匿名化情報の送信を制御してもよい。また、匿名化処理部14は、後述する出力部eによる当該匿名化情報の表示を制御してもよい。なお、匿名化処理部14は、当該匿名化情報を記憶部11に記憶させ、通信部10c又は入力部10dからの指示に基づいて、当該記憶部11から取得した匿名化情報の出力を制御してもよい。
<情報処理装置の動作>
図5は、第1の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。図5に示すように、情報処理装置10は、ユーザの位置を示す位置情報を取得する(ステップS101)。具体的には、情報処理装置10は、当該位置情報と、当該ユーザを識別するユーザ識別情報と、当該位置情報に関する時間を示す時間情報とを関連付けた位置時間情報を記憶部11から取得してもよい。
情報処理装置10は、ステップS101で取得された各位置情報が属する領域(例えば、ある時間範囲内のメッシュ領域又は時空間領域)の混雑度に基づいて、当該領域に属する位置情報用のノイズ幅dを決定する(ステップS102)。例えば、図4に示すように、情報処理装置10は、各領域の混雑度が高いほど、各領域に属する位置情報のノイズ幅dを小さく決定してもよい。
情報処理装置10は、各位置情報に対して、ステップS103で決定されたノイズ幅dのノイズを付加する(ステップS103)。当該ノイズの値は、ノイズ幅bに基づくランダム化関数Κに基づいて決定されてもよい。情報処理装置10は、ノイズが付加された各位置情報である匿名化情報を出力する(ステップS104)。
以上のように、第1の実施形態に係る情報処理装置10では、各位置情報が属する領域(例えば、メッシュ領域又は時空間領域)の混雑度に基づいて各領域のノイズ幅dが決定されるので、各領域にマッピングされた位置時間情報の匿名性を確保しながら、有用性を確保できる。
(第2の実施形態)
第2の実施形態では、第1の実施形態に係る差分プライバシーを用いた匿名化処理と、k-匿名化を用いた匿名化処理との組み合わせについて説明する。k-匿名化とは、対象となるデータ内に同一の属性を持つデータがk件以上存在する(k-匿名性を満たす)ようにデータを変換することで、個人が識別される確率をk分の1以下に低減させることである。差分プライバシーに加えてk-匿名化を行うことにより蓄積されたデータの平均値を取っても匿名性を確保できる。
第2の実施形態では、差分プライバシーに加えて以上のようなk-匿名化を用いて、位置情報を匿名化する。これにより、攻撃者が時空間領域内の位置情報の平均値を取っても元の位置情報が漏洩するのを防止でき、匿名性をより適切に確保できる。なお、第2の実施形態では、第1の実施形態との相違点を中心に説明し、同様の部分については説明を省略する。また、以下では、k>1の場合を中心に説明するが、これに限られない。kの閾値は、1に限られず、所定数であればよい。
<情報処理装置の構成>
図6は、第2の実施形態に係る情報処理装置の構成の一例を示す図である。図6に示すように、情報処理装置10は、記憶部11と、取得部12と、決定部13と、匿名化処理部14とを備える。情報処理装置10の匿名化処理部14は、差分プライバシー処理部141に加えて、k-匿名化処理部142を具備する。
k-匿名化処理部142は、取得部12によって取得された位置情報に対して、k-匿名化に関する処理を適用する。具体的には、k-匿名化処理部142は、当該位置情報が属する領域(例えば、上記時空間領域)の代表値に、当該位置情報と当該位置情報に関する時間を示す時間情報との少なくとも一つを変更してもよい。
位置情報が属する領域の代表値とは、位置情報が示す位置を含むメッシュ領域の代表値であってもよいし、又は、時空間領域の代表値であってもよい。当該メッシュ領域の代表値は、例えば、当該メッシュ領域内の経度及び緯度の中央値、最小値又は最大値等であってもよい。また、時空間領域の代表値とは、上記メッシュ領域の代表値及び/又は所定の時間範囲内の代表値であってもよい。当該所定の時間範囲内の代表値は、例えば、当該所定の時間範囲の中央値、最小値又は最大値等であってもよい。
また、k-匿名化処理部142は、位置情報が属する領域にマッピングされる位置情報の数が所定数(例えば、1)以下又はより小さい場合、当該位置情報を記憶部11から除去してもよい。
図7は、第2の実施形態に係るk-匿名化の一例を示す図である。例えば、図7では、同一の時間範囲(例えば、午前10時0分から15分までの15分間)の異なる複数のメッシュ領域(例えば、メッシュ領域M0~M3)にそれぞれ対応する複数の時空間領域(例えば、時空間領域TS0~TS3)が示される。なお、図示しないが、同一のメッシュ領域の異なる複数の時間範囲にそれぞれ対応する複数の時空間領域が構成されてもよいことは勿論である。また、図7では、上記所定数が1であるものとするが、これに限られない。
例えば、図7では、時空間領域TS2に属するユーザA~F及びHの7つの位置情報を含む位置時間情報は、時空間領域TS2の代表値(例えば、図7では、時空間領域TS2内の緯度、経度及び時間の最小値)に変更される。これにより、ユーザA~F及びHの7つの位置時間情報が同一の代表値を示すことになるので、時空間領域TS2におけるk-匿名性(ここでは、k=7)を確保可能となる。
同様に、図7では、時空間領域TS3に属するユーザG及びIの2つの位置情報を含む位置時間情報は、時空間領域TS3の代表値(例えば、図7では、時空間領域TS3内の緯度、経度及び時間の最小値)に変更される。これにより、ユーザG及びIの2つの位置時間情報が同一の代表値を示すことになるので、時空間領域TS3におけるk-匿名性(ここでは、k=2)を確保可能となる。
一方、時空間領域TS0には、ユーザJの位置情報を含む位置時間情報のみが属するので、k-匿名化処理部142は、当該ユーザJの位置時間情報を記憶部11から除去してもよい。これにより、時空間領域TS0におけるk-匿名性(ここでは、k>1)を確保可能となる。
第2の実施形態において、差分プライバシー処理部141は、k-匿名化処理部142において上記k-匿名化に関する処理が施された位置情報に対して、差分プライバシーに関する処理を適用する。具体的には、差分プライバシー処理部141は、決定部13によって決定されるノイズ幅dのノイズ値を、k-匿名化処理部142においてk-匿名化に関する処理が適用された各位置情報(例えば、緯度及び経度の少なくとも一つを示す値)に付加してもよい。
図8は、第2の実施形態に係るノイズの付加の一例を示す図である。例えば、図8では、同一の時間範囲(例えば、午前10時0分から15分までの15分間)の異なる複数のメッシュ領域(例えば、メッシュ領域M0~M3)にそれぞれ対応する複数の時空間領域(例えば、時空間領域TS0~TS3)が示される。
例えば、図8では、ユーザA~Iの位置時間情報は、それぞれが属する時空間領域の代表値に変更されている。また、ユーザJの位置時間情報(図7)は、時空間領域TS0におけるk-匿名性(k>1)を満たさないので、除去されている。また、混雑度は、時空間領域TS2、TS3の順番に高い。
図8に示すように、混雑度が高い時空間領域TS2では、各位置情報に付加するノイズ幅dが小さくても、各位置情報によりユーザが特定される確率は低い(匿名性を確保し易い)。このため、図8に示すように、時空間領域TS2に属する位置情報には、時空間領域TS3に属する各位置情報に対するノイズ幅dよりも小さいノイズ幅dのノイズが付加されてもよい。
一方、混雑度が低い時空間領域TS3では、各位置情報に付加するノイズ幅dが小さいと、各位置情報によりユーザが特定される確率が高くなる(匿名性を確保し難くなる)。このため、図8に示すように、時空間領域TS3に属する位置情報には、時空間領域TS2に属する各位置情報に対するノイズ幅dよりも大きいノイズ幅dのノイズが付加されてもよい。
<情報処理装置の動作>
図9は、第2の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。図9に示すように、情報処理装置10は、ユーザの位置を示す位置情報を取得する(ステップS201)。具体的には、情報処理装置10は、当該位置情報と、当該ユーザを識別するユーザ識別情報と、当該位置情報に関する時間を示す時間情報とを関連付けた位置時間情報を記憶部11から取得してもよい。
情報処理装置10は、ステップS201で取得された各位置情報が属する領域(例えば、メッシュ領域又は時空間領域)の代表値に、当該位置情報及び時間情報の少なくとも一つを変更する(ステップS202)。例えば、図7に示すように、情報処理装置10は、ユーザA~F及びHの位置時間情報が属する時空間領域TS2の代表値に、当該各位置時間情報を変更してもよい。また、情報処理装置10は、ユーザG及びIの位置時間情報が属する時空間領域TS3の代表値に、当該各位置時間情報を変更してもよい。
情報処理装置10は、ステップS201で取得されたある位置情報が属する領域(例えば、ある時間範囲内のメッシュ領域又は時空間領域)におけるk-匿名性(k>1)が阻害される場合、当該位置情報を除去する(ステップS203)。例えば、図7に示すように、情報処理装置10は、時空間領域TS0に属するユーザJの位置時間情報を除去してもよい。
情報処理装置10は、ステップS202及びS203においてk-匿名化処理が施された位置情報に対して付加するノイズのノイズ幅を、当該位置情報が属する領域の混雑度に基づいて決定する(ステップS204)。
情報処理装置10は、各位置情報に対して、ステップS204で決定されたノイズ幅dのノイズを付加する(ステップS205)。当該ノイズの値は、ノイズ幅bに基づくランダム化関数Κに基づいて決定されてもよい。情報処理装置10は、ノイズが付加された各位置情報である匿名化情報を出力する(ステップS206)。
以上のように、第2の実施形態に係る情報処理装置10では、各位置情報に対してk-匿名化処理が施された後に、当該各位置情報が属する領域(例えば、メッシュ領域又は時空間領域)の混雑度に基づいて各領域のノイズ幅dが決定される。各領域にマッピングされた位置時間情報の匿名性をより適切に確保しながら、有用性を維持できる。
なお、上記第2の実施形態では、k-匿名化処理を施した後に、差分プライバシーに関する処理(すなわち、混雑度に基づいて決定されたノイズ幅のノイズの付加)が適用されたが、これに限られない。当該差分プライバシーに関する処理が適用された後に、k-匿名化処理が施されてもよい。
(ハードウェア構成)
次に、第1及び第2の実施形態に係る情報処理装置10のハードウェア構成を説明する。図10に示すように、情報処理装置10は、演算装置に相当するCPU(Central Processing Unit)10aと、記憶装置10bと、通信部10cと、入力部10dと、出力部10eとを有する。これらの各構成は、バスを介して相互にデータ送受信可能に接続される。なお、本例では、情報処理装置10は、一台のコンピュータで構成されるが、複数のコンピュータで構成されてもよい。
CPU10aは、記憶装置10bに記憶されたプログラムの実行に関する制御やデータの演算、加工を行う制御部である。CPU10aは、ユーザの位置を示す位置情報が属する領域における混雑度に基づいて、ノイズ幅を決定し、前記位置情報に対して前記ノイズ幅のノイズを付加する情報処理プログラムを実行する演算装置(演算部、制御部、制御装置等ともいう)であってもよい。CPU10aは、入力部10d及び/又は通信部10cから種々の入力データを受け取り、入力データの演算結果を出力部10eに出力(例えば、表示)したり、記憶装置10bに格納したり、又は、通信部10cを介して送信したりする。
記憶装置10bは、メモリ、HDD(Hard Disk Drive)、SSD(Solid State Drive)、の少なくとも一つである。情報処理装置10の記憶装置10bは、記憶部11を構成してもよい。また、情報処理装置10の記憶装置10bは、CPU10aが実行する情報処理プログラムを記憶してもよい。
通信部10cは、情報処理装置10を外部機器に接続するインターフェースである。通信部10cは、他の装置から送信される位置情報(又は位置時間情報)を受信して、CPU10aの制御に基づいて、当該位置情報(又は位置時間情報)を記憶装置10bに出力してもよい。通信部10cは、位置情報に対して匿名化処理が施された匿名化情報を他の装置に送信してもよい。
入力部10dは、ユーザからデータの入力を受け付けるものであり、例えば、キーボード、マウス、タッチパネル、マイクの少なくとも一つを含んでよい。入力部10dは、位置情報の匿名化処理の開始要求を受け付けてもよい。
出力部10eは、CPU10aによる演算結果を出力するものであり、例えば、LCD(Liquid Crystal Display)等のディスプレイ及びスピーカの少なくとも一つにより構成されてよい。出力部10eは、匿名化処理部14によって生成された匿名化情報を出力してもよい。
情報処理プログラムは、記憶装置10b等のコンピュータによって読み取り可能な記憶媒体に記憶されて提供されてもよいし、通信部10cにより接続されるネットワークを介して提供されてもよい。当該情報提供プログラムを格納した記憶媒体は、コンピュータ読み取り可能な非一時的な記憶媒体(Non-transitory computer readable medium)であってもよい。非一時的な記憶媒体は特に限定されないが、例えば、USBメモリ、CD-ROM又はDVD等の記憶媒体であってもよい。
情報処理装置10では、CPU10aが情報処理プログラムを実行することにより、取得部12、決定部13、匿名化処理部14等の動作が実現される。なお、これらの物理的な構成は例示であって、必ずしも独立した構成でなくてもよい。例えば、情報処理装置10は、CPU10aと記憶装置10bが一体化したLSI(Large-Scale Integration)を備えていてもよい。
以上説明した実施形態は、本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。実施形態が備える各要素並びにその配置、材料、条件、形状及びサイズ等は、例示したものに限定されるわけではなく適宜変更することができる。また、異なる実施形態で示した構成同士を部分的に置換し又は組み合わせることが可能である。
10…情報処理装置、11…記憶部、12…取得部、13…決定部、14…匿名化処理部、141…差分プライバシー処理部、142…k-匿名化処理部、10a…CPU、10b…記憶装置、10c…通信部、10d…入力部、10e…出力部

Claims (7)

  1. 匿名化に関する処理を行う情報処理装置であって、
    ユーザの位置を示す位置情報を取得する取得部と、
    前記位置情報が属する領域における混雑度に基づいて、ノイズ幅を決定する決定部と、
    前記位置情報に対して前記ノイズ幅のノイズを付加する匿名化処理部と、
    を備え
    前記混雑度は、前記取得部により取得された前記位置情報であって、前記領域に属する前記位置情報の数に基づいて決定される、
    情報処理装置。
  2. 前記決定部は、前記領域における前記混雑度が高くなるほど、前記ノイズ幅を小さく決定する、
    請求項1に記載の情報処理装置。
  3. 前記領域は、空間を分割して得られる複数の領域のうち前記位置情報が示す前記位置を含む領域、又は、該領域と前記位置情報に関する時間を含む所定の時間範囲とで構成される時空間領域である、
    請求項1又は請求項に記載の情報処理装置。
  4. 前記匿名化処理部は、前記位置情報と前記位置情報に関する時間を示す時間情報との少なくとも一つを、前記領域における代表値に変更する、
    請求項1から請求項のいずれかに記載の情報処理装置。
  5. 前記匿名化処理部は、前記領域に属する位置情報の数が所定数以下又はより小さい場合、前記位置情報を除去する、
    請求項1から請求項のいずれかに記載の情報処理装置。
  6. 匿名化に関する処理を行う情報処理方法であって、
    ユーザの位置を示す位置情報を取得する工程と、
    前記位置情報が属する領域における混雑度に基づいて、ノイズ幅を決定する工程と、
    前記位置情報に対して前記ノイズ幅のノイズを付加する工程と、
    を有し、
    前記混雑度は、前記取得する工程により取得された前記位置情報であって、前記領域に属する前記位置情報の数に基づいて決定される、
    情報処理方法。
  7. 匿名化に関する処理を行う情報処理装置に、
    ユーザの位置を示す位置情報を取得することと、
    前記位置情報が属する領域における混雑度に基づいて、ノイズ幅を決定することと、
    前記位置情報に対して前記ノイズ幅のノイズを付加することと、
    を実行させ
    前記混雑度は、前記取得することにより取得された前記位置情報であって、前記領域に属する前記位置情報の数に基づいて決定される、
    情報処理プログラム。
JP2020068234A 2020-04-06 2020-04-06 情報処理装置、情報処理方法、情報処理プログラム Active JP7458863B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020068234A JP7458863B2 (ja) 2020-04-06 2020-04-06 情報処理装置、情報処理方法、情報処理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020068234A JP7458863B2 (ja) 2020-04-06 2020-04-06 情報処理装置、情報処理方法、情報処理プログラム

Publications (2)

Publication Number Publication Date
JP2021165878A JP2021165878A (ja) 2021-10-14
JP7458863B2 true JP7458863B2 (ja) 2024-04-01

Family

ID=78021807

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020068234A Active JP7458863B2 (ja) 2020-04-06 2020-04-06 情報処理装置、情報処理方法、情報処理プログラム

Country Status (1)

Country Link
JP (1) JP7458863B2 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011123712A (ja) 2009-12-11 2011-06-23 Atsushi Tashiro 個人情報の外部委託解析システム
WO2012090628A1 (ja) 2010-12-27 2012-07-05 日本電気株式会社 情報保護装置及び情報保護方法
US20160066179A1 (en) 2014-08-29 2016-03-03 Apple Inc. Reduced resolution location determination for improved anonymity of user location
JP2016149099A (ja) 2015-02-13 2016-08-18 ソフトバンク株式会社 匿名化処理方法、匿名化処理プログラム、及び匿名化処理装置
JP2016206896A (ja) 2015-04-21 2016-12-08 トヨタ自動車株式会社 位置情報匿名化方法、移動情報匿名化方法、および装置
US20200012797A1 (en) 2018-07-08 2020-01-09 International Business Machines Corporation Method and system for semantic preserving location encryption

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011123712A (ja) 2009-12-11 2011-06-23 Atsushi Tashiro 個人情報の外部委託解析システム
WO2012090628A1 (ja) 2010-12-27 2012-07-05 日本電気株式会社 情報保護装置及び情報保護方法
US20160066179A1 (en) 2014-08-29 2016-03-03 Apple Inc. Reduced resolution location determination for improved anonymity of user location
JP2016149099A (ja) 2015-02-13 2016-08-18 ソフトバンク株式会社 匿名化処理方法、匿名化処理プログラム、及び匿名化処理装置
JP2016206896A (ja) 2015-04-21 2016-12-08 トヨタ自動車株式会社 位置情報匿名化方法、移動情報匿名化方法、および装置
US20200012797A1 (en) 2018-07-08 2020-01-09 International Business Machines Corporation Method and system for semantic preserving location encryption

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
正木 彰伍,時空間におけるクラスタリングを用いた軌跡情報のk-匿名化法,CSS2016 コンピュータセキュリティシンポジウム2016 論文集,日本,一般社団法人情報処理学会,2016年10月04日,Vol2016,No.2,第921-928頁

Also Published As

Publication number Publication date
JP2021165878A (ja) 2021-10-14

Similar Documents

Publication Publication Date Title
KR101757844B1 (ko) 요청된 정보를 삭제하기 위한 방법들 및 시스템들
JP6007969B2 (ja) 匿名化装置及び匿名化方法
JP5796574B2 (ja) 情報処理装置、制御方法及びプログラム
US10176340B2 (en) Abstracted graphs from social relationship graph
JP2017091515A (ja) 匿名化のために属性を自動的に識別するコンピュータ実装システムおよび方法
US20170277907A1 (en) Abstracted Graphs from Social Relationship Graph
EP3166042B1 (en) Computer-implemented system and method for anonymizing encrypted data
US20160306999A1 (en) Systems, methods, and computer-readable media for de-identifying information
JP5782637B2 (ja) 属性選択装置、情報匿名化装置、属性選択方法、情報匿名化方法、属性選択プログラム、及び情報匿名化プログラム
Kounadi et al. A geoprivacy by design guideline for research campaigns that use participatory sensing data
JP5782636B2 (ja) 情報匿名化システム、情報損失判定方法、及び情報損失判定プログラム
US10346639B2 (en) Anonymization identifier computing system
JP2016511891A (ja) 大規模データへの妨害攻撃に対するプライバシー
JP2016018379A (ja) プライバシー保護装置、方法及びプログラム
Naghizade et al. Privacy-and context-aware release of trajectory data
JP2017027137A (ja) 情報処理装置、情報処理方法、及び、プログラム
JP7458863B2 (ja) 情報処理装置、情報処理方法、情報処理プログラム
EP2911081A1 (en) Information processing device and information processing method
AU2019293106A1 (en) Personal information analysis system and personal information analysis method
WO2014030302A1 (ja) 匿名化を実行する情報処理装置及び匿名化処理方法
JP7422595B2 (ja) 情報処理装置、情報処理方法、情報処理プログラム
JP7490424B2 (ja) 情報処理装置、情報処理方法、情報処理プログラム
Miyakawa et al. Location l-diversity against multifarious inference attacks
WO2016067566A1 (ja) 情報処理装置、情報処理方法、及び、記録媒体
JP6550174B1 (ja) 情報処理装置、情報処理方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230315

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240227

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240319

R150 Certificate of patent or registration of utility model

Ref document number: 7458863

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150