JPWO2012067213A1 - 情報処理システム及び匿名化方法 - Google Patents

情報処理システム及び匿名化方法 Download PDF

Info

Publication number
JPWO2012067213A1
JPWO2012067213A1 JP2012544314A JP2012544314A JPWO2012067213A1 JP WO2012067213 A1 JPWO2012067213 A1 JP WO2012067213A1 JP 2012544314 A JP2012544314 A JP 2012544314A JP 2012544314 A JP2012544314 A JP 2012544314A JP WO2012067213 A1 JPWO2012067213 A1 JP WO2012067213A1
Authority
JP
Japan
Prior art keywords
anonymization
personal information
information
processing
anonymity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012544314A
Other languages
English (en)
Other versions
JP5979004B2 (ja
Inventor
伸也 宮川
伸也 宮川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2012067213A1 publication Critical patent/JPWO2012067213A1/ja
Application granted granted Critical
Publication of JP5979004B2 publication Critical patent/JP5979004B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/103Workflow collaboration or project management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Document Processing Apparatus (AREA)

Abstract

匿名化処理の適用順序を自在に設定できる情報処理システム。汎化など各種の匿名化処理について、抽象度や正確性のレベル(指標)とそれらに応じた処理とが規定され、また、処理されるべき項目とそれらに対応するレベルとがそれらの優先度とともにいくつか設定される。システムは、それらを匿名化ポリシとして参照し、匿名化されていないパーソナル情報(900)の各項目(402,403,・・・)について、低い優先度の匿名化(少ない欠落、低い抽象度、又は高い正確性)から高い優先度の匿名化(多い欠落、高い抽象度、又は低い正確性)へと処理を適用していく。利用者が選択した優先度の処理が全て終了するまでの間に匿名性判定で匿名性ありと判定すると、システムは、そこまでの匿名化の結果(そのまま、あるいは最後に選択的処理を経た結果)を、匿名化されたパーソナル情報として出力する。

Description

本発明は、個人のパーソナル情報を匿名化する技術に関する。
多様化する情報社会の中で、企業などのサービス提供者は、ユーザから提供され蓄積しているユーザの属性情報を広く流通させることができれば、さらなる利益を得ることが可能になる。一方、エンドユーザである情報利用者は、GPSやWi−Fi等のセンシングデバイスによって取得されるライフログを、積極的にサービス提供者に提供する代わりに、サービス提供者から有用なサービスを受けることが出来る。ユーザの属性情報のようなプライバシ性が高い情報の流通を促進するために、有効な方法の1つが、匿名化である。匿名化は、プライバシ性が高い情報に対し汎化、切落し、摂動等を行う情報処理である。すなわち、匿名化は、ユーザである情報提供者の個人あるいは情報内のユーザ個人を特定できない情報を生成する。
このような匿名化の技術分野において、特許文献1に記載されたこの種の技術は、ポリシ設定ルールとして優先度の異なる複数の適合条件を含み、文書が複数の適合条件に適合した場合に優先度の高い適合条件による操作制限を行なう技術が開示されている。この優先度を示すデータとしてスコア値がセットされている(特に、段落[0062]参照)。
また、特許文献2に記載された技術は、段落[0009]の課題の記載から明らかなように、文書に含まれる記述(例えば、医療分野のテキストでの病名)の抽象度を一定することで、記述の標準化を目指している。
特開2009−087216号公報 特開2009−146121号公報
しかしながら、上記関連技術は、最適であると判断される匿名化処理を見付けてその処理を実行するのみであり、匿名化処理の適用順序を柔軟に制御することはできなかった。従って、特許文献1に記載された技術においては、次のような問題点があった。すなわち、その問題点とは、匿名化された情報の利用要件が異なる場合であっても、匿名化レベル(匿名性)が等しければ、匿名化の結果が同一になることである。また、特許文献2に記載されたシステムにおいては、匿名化する項目の優先度が暗黙的に決められている。その結果、サービス提供者はユースケース毎に匿名化を実現しなければならないという問題があった。
本発明の目的は、上述の課題を解決する技術を提供することにある。
上記目的を達成するため、本発明に係る装置の一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置である。
その情報処理装置は、前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための匿名化処理を複数含み、前記複数の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
を含む。
上記目的を達成するため、本発明に係る方法の一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御方法である。
その制御方法は、前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供し、
前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択し、
前記匿名化処理の選択順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用し、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する。
上記目的を達成するため、本発明に係るプログラムの一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御プログラムであって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する処理と、
前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する処理と、
前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する処理と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する処理と、
をコンピュータに実行させる。
上記目的を達成するため、本発明に係るシステムの一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理システムであって、
前記パーソナル情報を取得するパーソナル情報取得手段と、
前記取得したパーソナル情報を記憶するパーソナル情報記憶手段と、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、前記パーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力手段と、
を含む。
上記目的を達成するため、本発明に係る方法他の実施形態は、
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化するパーソナル情報の匿名化方法であって、
前記パーソナル情報を取得するパーソナル情報取得ステップと、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供ステップと、
前記匿名化ポリシ提供ステップにおいて提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択ステップと、
前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、前記取得したパーソナル情報を記憶するパーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理ステップと、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価ステップと、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力ステップと、
を含む。
本発明によれば、パーソナル情報の利用要件を組み合わせて生成された匿名化処理の適用順序を自在に設定することが出来る。
本発明の第1実施形態に係る情報処理装置の構成を示すブロック図である。 本発明の第2実施形態に係る情報処理装置の機能構成を示すブロック図である。 本発明の第2実施形態に係る情報処理装置のハードウェア構成を示すブロック図である。 本発明の第2実施形態に係る情報処理装置のハードウェア構成を示すブロック図である。 本発明の第2実施形態に係るパーソナル情報記憶部の構成を示す図である。 本発明の第2実施形態に係る項目規定の例を示す図である。 本発明の第2実施形態に係る匿名化ポリシの構成を示す図である。 本発明の第2実施形態に係る匿名化情報記憶部の構成を示す図である。 本発明の第2実施形態に係る情報処理装置の動作手順を示すフローチャートである。 本発明の第2実施形態に係るパーソナル情報を抽象度で示す図である。 本発明の第2実施形態に係る匿名化ポリシの一例を抽象度で示す図である。 本発明の第2実施形態に係る処理の流れを説明するための図である。 本発明の第2実施形態に係る処理結果の変化を示す図である。 本発明の第3実施形態に係る情報処理装置の機能構成を示すブロック図である。 本発明の第3実施形態に係る項目限定選択のためのデータを示す図である。 本発明の第3実施形態に係る情報処理装置の動作手順を示すフローチャートである。 本発明の第3実施形態に係る匿名化ポリシと項目限定選択とによる処理の流れを説明するための図である。 本発明の第3実施形態に係る処理結果の変化を示す図である。 本発明の第4実施形態に係る情報処理装置の機能構成を示すブロック図である。 本発明の第4実施形態に係る情報処理装置の動作手順を示すフローチャートである。 本発明の第4実施形態に係る変更した匿名化ポリシの一例を示す図である。 本発明の第4実施形態に係る匿名化ポリシ変更後の処理の流れを説明するための図である。 本発明の第4実施形態に係る処理結果の変化を示す図である。 本発明の第5実施形態に係る情報処理装置の機能構成を示すブロック図である。 本発明の第5実施形態に係る情報処理装置の動作手順を示すフローチャートである。 本発明の第5実施形態に係る匿名性を有しない統合を説明するための図ある。 本発明の第5実施形態に係る匿名性を有しない統合の処理結果の変化を示す図である。 本発明の第5実施形態に係る匿名性を有する統合を説明するための図である。 本発明の第5実施形態に係る匿名性を有する統合の処理結果の変化を示図である。 本発明の第5実施形態に係る匿名性を有しない統合から匿名性を有する統合への処理結果の変化を示す図である。 本発明の第6実施形態に係る情報処理装置を含む情報処理システムの構成を示すブロック図である。
以下に、図面を参照して、本発明の実施の形態について例示的に詳しく説明する。ただし、以下の実施の形態に記載されている構成要素はあくまで例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。また、以下の各図において、本発明の本質に関わらない部分の構成については省略されており、図示されていない。
なお、本明細書で使用する“匿名化”は、プライバシ性の高いパーソナル情報に対する、汎化、切落し、分離、置換、摂動等の匿名化処理を含むが、これに限定はされない。ここで、“汎化”とは、パーソナル情報の項目を曖昧化して詳細な値を隠す処理であり、例えば、「住所」という項目に対する汎化であれば、番地や市区町村等を削除する処理である。“切落”しは、パーソナル情報から項目を削除する処理であり、パーソナル情報にその項目が含まれていること自体を隠す処理である。“分離”は、1ユーザのパーソナル情報の複数項目を複数のパーソナル情報に分ける処理であり、項目を組合せることによりユーザ(情報提供者とも言う)の個人特定や属性の推定が可能となるのを防ぐ処理である。“置換”は、項目の一部ないし全部を複数のパーソナル情報間で交換することにより、項目の組合せによるユーザの個人特定や属性推定を防ぐ処理である。“摂動”は、項目の値に対して一定の揺らぎを付加することによって正確な値を隠す処理である。特に、分離、置換、摂動の各処理は、ユーザ個人にパーソナライズされたサービスを提供するのではなく、統計処理の際にユーザのプライバシを保護することを主目的としている。
[第1実施形態]
本発明の第1実施形態としての情報処理装置100について、図1を用いて説明する。情報処理装置100は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する装置である。
図1に示すように、情報処理装置100は、匿名化ポリシ提供部102と、匿名化処理選択部104と、匿名化処理部106と、匿名性評価部108とを含む。匿名化ポリシ提供部102は、パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含む。また、匿名化ポリシ提供部102は、複数種類の匿名化処理のそれぞれに優先度が付加された、匿名化ポリシを提供する。優先度は、たとえば、パーソナル情報の利用要件に応じて匿名化ポリシ提供部102において決定された値でも良い。匿名化処理選択部104は、匿名化ポリシ提供部102が提供する匿名化ポリシに含まれる複数種類の匿名化処理を適用する場合に、優先度の低い匿名化処理から優先度の高い匿名化処理を順に選択する。匿名化処理部106は、匿名化処理選択部104によって選択された順に複数種類の匿名化処理をパーソナル情報に適用する。匿名性評価部108は、それぞれ匿名化処理を適用したパーソナル情報が、匿名性を有すると判断した場合に、当該匿名性を有する匿名化処理を適用したパーソナル情報を、情報利用者に提供する。
本実施形態により、パーソナル情報の利用要件を多様に組み合わせて生成された匿名化処理の適用順序を自在に設定できる。
[第2実施形態]
本発明による第2実施形態の情報処理装置は、情報提供者から提供されたパーソナル情報を、情報利用者に提供する場合に、情報利用者に対応して、優先度が付加された複数種類の匿名化処理を含む匿名化ポリシで匿名化を実行する。その場合に、各匿名化処理が、パーソナル情報の複数の項目の匿名化を含むように匿名化ポリシを作成ことが出来る。
本実施形態によれば、パーソナル情報の利用要件を組み合わせて生成された匿名化処理の適用順序を自在に設定することができる。さらに、匿名化ポリシに記載された優先度に従った順で、パーソナル情報の複数の項目に対しても匿名化処理を適用できる。したがって、第2実施形態の情報処理装置は、情報利用者の用途に合わせて迅速に匿名化されたパーソナル情報を提供することができる。すなわち、本実施形態により、項目に対して1つずつ匿名化処理を適用して匿名性を評価するよりも、パーソナル情報の情報利用者に対応する迅速な匿名化が可能になる。なお、以下の各実施形態では、匿名化処理を必須とする医療分野に本情報処理システムおよび情報処理装置を適用した例を示すが、適用分野は医療分野に限らず人、物、場所などが特定されることが不利益となる場合にあらゆる分野で適用が可能である。
〈第2実施形態の情報処理装置の構成〉
図2は、本発明の第2実施形態に係る情報処理装置200の機能構成を示すブロック図である。段階的匿名化装置である情報処理装置200は、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212とを具備する。
なお、情報処理装置200は、コンピュータとして例示される装置である。情報処理装置100および後述される他の匿名化のための情報処理装置における各要素(機能ブロック)は、図2等の構成要素を実現するプログラム(ソフトウェア)により、コンピュータのハードウェアを用いて実現される。そのような情報処理装置200は、例えば、CPU、メモリ(主記憶装置)、ハードディスク(大容量補助記憶装置)、及び通信装置を備え、キーボードやマウス等の入力装置やディスプレイやプリンタ等の出力装置と接続されたコンピュータで実現できる。そして、情報処理装置200は、CPUがハードディスクに記憶されるプログラムをメモリに読みだして実行することにより、上記匿名化処理選択部202〜匿名化情報記憶部212の各機能を実現することができる。その実現方法、装置には色々な変形例があることは、当事者には理解されるところである。以下説明する各図は、ハードウェア単位の構成ではなく、機能単位のブロックを示している。この情報処理装置200のハードウェア構成例は、後述される図3A及び図3Bで示される。
パーソナル情報記憶部208は、情報提供者(端末装置であるが、以下では単に情報提供者と称す)から提供されたパーソナル情報あるいはパーソナル情報を含む情報を記憶する。パーソナル情報は、名前や値を含む項目であり、汎化、切落し、分離、置換、摂動等の匿名化処理を1回以上適用できる項目を、1つ以上有する情報である。項目の一例としては、都道府県名、市区町村、番地等から構成される文字列を値として持つ「住所」という項目、または数値を値として持つ「年齢」という項目等が考えられる(具体例は、図4参照)。パーソナル情報記憶部208に記憶されるパーソナル情報は、実行できる匿名化処理や適用できるサービスを制限するものではない。
匿名化ポリシ記憶部210は、匿名化ポリシを記憶する。その匿名化ポリシは、0回以上の匿名化処理が施されたパーソナル情報の利用に関する匿名化の要件である。匿名化ポリシの匿名化処理は、パーソナル情報を構成する項目に関して、項目の有無、項目の抽象度、項目の正確性等の指標に対する優先度を含む。例えば、パーソナル情報が、住所と年齢という項目から構成される情報であり、項目別に指標が付与されている場合を仮定する。たとえば、住所については、指標1=全て、指標2=番地以外、指標3=都道府県のみ、年齢については、指標1=全て、指標2=無し、をそれぞれ指標として仮定する。この場合に、匿名化ポリシの各匿名化処理は、優先度3(住所:指標1、年齢:指標1)、優先度2(住所:指標2、年齢:指標1)、優先度1(住所:指標2、年齢:指標2)のように、住所と年齢の組で記述される(具体例は、図6や図13参照)。
匿名化情報記憶部212は、情報利用者を識別する識別子である情報利用者IDが付与されたパーソナル情報、または匿名化されたパーソナル情報を記憶する(具体例は、図7参照)。
匿名化処理選択部202は、匿名化ポリシ記憶部210に記憶された匿名化ポリシを参照し、匿名化ポリシに含まれる情報利用者IDを取り出す。そして、匿名化情報記憶部212に情報利用者IDが付与された最新のパーソナル情報が存在しない場合、匿名化処理選択部202は、パーソナル情報記憶部208に記憶される全ての最新のパーソナル情報を匿名化情報記憶部212に複製し、情報利用者IDを付与する。次に、匿名化処理選択部202は、パーソナル情報を構成する各項目に対して匿名化ポリシに記載された、一つ以上の項目名と指標から構成される優先度が最も低い組を取り出す。そして、匿名化処理選択部202は各項目に対して指標を満たすための匿名化処理を特定し、パーソナル情報と、項目名と、匿名化処理の内容を匿名化処理部204に渡す。匿名化処理選択部202は、匿名化情報記憶部212に記憶されている情報利用者IDが付与された全てのパーソナル情報に対して、この処理を実行する。
匿名化処理部204は、匿名化処理選択部202からパーソナル情報と、項目名と、匿名化処理の内容を受け取る。次に、匿名化処理部204は、受け取ったパーソナル情報の項目に対して指定された匿名化処理を適用し、匿名化されたパーソナル情報を生成する。そして、匿名化処理部204は、匿名化情報記憶部212に記憶されているパーソナル情報を匿名化されたパーソナル情報によって上書きする。
匿名性評価部206は、匿名化処理部204によって匿名化されたパーソナル情報が匿名性を有するか否かを、次のような条件により評価する。例えば、
・匿名化処理部204によって匿名化されたパーソナル情報から情報提供者が誰であるか判別できない、
・匿名化処理部204によって匿名化されたパーソナル情報が、匿名化情報記憶部212に記憶されている他のパーソナル情報と区別できない、
・匿名化処理部204によって匿名化されたパーソナル情報から情報提供者の属性が分からない、等である。そして、情報利用者が要求する全てのパーソナル情報が匿名性を有する場合、パーソナル情報を情報利用者に提供する。一方、全部または一部のパーソナル情報が匿名性を有していない場合、匿名化処理選択部202に対して、パーソナル情報に対してさらなる匿名化処理を適用することを指示する。
〈第2実施形態の情報処理装置のハードウェア構成〉
図3A及び図3Bは、本実施形態の情報処理装置200のハードウェア構成を示す図である。
図3Aで、CPU310は演算制御用のプロセッサであり、プログラムを実行することで図2の各機能構成部を実現する。ROM320は、初期データ及びプログラムなどの固定データ及びプログラムを記憶する。通信制御部330は、ネットワークを介して外部装置と通信する。通信制御部330は、外部装置から情報提供者によるパーソナル情報を受信し、外部装置の情報利用者に対してパーソナル情報を提供(送信)する。通信は無線でも有線でもよい。なお、本情報処理装置200は、LANに接続して限られた範囲で処理する場合も考えられる。その場合には、図示しない入力インタフェースと出力インタフェースを介して、図示しない入力装置と出力装置が接続される。
RAM340は、CPU310が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM340には、本実施形態の実現に必要なデータとして、情報提供者からの提供者データ341と、情報利用者への利用者データ342とを記憶する領域が確保される。さらに詳細には、図3Bに示すように、提供者データ341として、提供者を識別する提供者ID3401と提供されたパーソナル情報3402とが記憶される。また、利用者データ342として、利用者を識別する利用者ID3403と利用されるパーソナル情報3404とが記憶される。また、利用者データ342として、パーソナル情報に匿名化処理を適用した匿名化情報3405と、匿名化情報3405の匿名性を評価した結果である匿名性評価結果3406とが記憶される。なお、匿名化情報3405はパーソナル情報3404の領域に上書きされてもよい。さらに、利用者データ342として、パーソナル情報3404を匿名化するための匿名化ポリシ3407が記憶される。
ストレージ350は、匿名性評価アルゴリズム351、データ記憶部352、CPU310が実行するプログラム353を、不揮発に記憶する。さらに詳細には、図3Bに示すように、ストレージ350は、データ記憶部352として、情報提供者から提供されるパーソナル情報を提供者IDに対応させて記憶するパーソナル情報記憶部208を含む。また、ストレージ350は、データ記憶部352として、匿名化され情報利用者へ提供されたパーソナル情報を利用者IDに対応させて記憶する匿名化情報記憶部212を含む。また、ストレージ350は、データ記憶部352として、匿名化ポリシを予め利用者IDに対応させて記憶する匿名化ポリシ記憶部210を含む。すなわち、情報利用者のアクセス権などにより異なる匿名化ポリシを設定することが可能となる。匿名化ポリシ記憶部210の記憶領域には、予め登録された匿名化ポリシ3504が記憶される。また、項目規定記憶部として、匿名化ポリシを構成する各項目の指標を定義する項目規定3505が記憶される。また、データ記憶部352は、第5実施形態で使用される、匿名化され情報利用者へ提供されたパーソナル情報を利用者IDに対応させて蓄積する提供履歴記憶部2004を含む。
ストレージ350は、図3Bに示すように、プログラム353として、本情報処理装置200の動作手順を示す情報処理プログラム3506を格納する。また、ストレージ350は、プログラム353として、この情報処理プログラム3506の一部に含まれる、匿名化ポリシから実行する匿名化処理を選択する匿名化処理選択モジュール3507と匿名化処理を実行する匿名化モジュール3508とを格納する。
〈第2実施形態で使用される各データの構成〉
(パーソナル情報記憶部の構成)
図4は、本実施形態のパーソナル情報記憶部208の構成を示す図である。かかるパーソナル情報は、医療分野におけるパーソナル情報の例である。
パーソナル情報記憶部208は、パーソナル情報の識別子であるパーソナルID401に対応付けて、血縁402、住所403、年齢404、病歴405の項目のデータを記憶する。図4では、以下の匿名化の具体的処理の説明を簡略化するため、血縁402という属性として、氏名が記憶されている。
(項目規定の構成)
図5は、各項目についての、匿名化のレベルを指標として表わす項目規定3505の構成を示す図である。指標1が最も匿名性の低い指標で、指標2、3、4の順に匿名性が高くなる。図5は、本実施形態の具体例に対応して規定されている。
項目の血縁(氏名)の指標としては、図5の血縁規定データ501に示すように、全てを表記する指標1と、表記がない、あるいは記号で表わすという指標2とが、規定される。項目の住所の指標としては、図5の住所規定データ502に示すように、全てを表記する指標1と、番地以外を表記する指標2と、都道府県のみを表記する指標3と、表記がない指標4とが、規定される。項目の年齢の指標としては、図5の年齢規定データ503に示すように、全てを表記する指標1と、年代のみを表記する指標2と、表記がない指標3とが、規定される。項目の病歴の指標としては、図5の病歴規定データ504に示すように、全てを表記する指標1と、特殊な病歴は表記しない指標2と、表記がない指標3とが規定される。
(匿名化ポリシの構成)
図6は、匿名化ポリシ記憶部210内の匿名化ポリシ3504の一例を示す図である。ここで、データ601と602が各匿名化処理を示している。本明細書では、優先度の数値が大きい匿名化処理の方が、優先度が低いとしている。
図6の匿名化ポリシでは、優先度が最も低い匿名化処理601として、血縁(氏名)を指標2に匿名化し、住所を指標2に匿名化し、年齢を指標2に匿名化し、病歴は匿名化せずに指標1のままとする、匿名化処理が定義される。次に、優先度が低い匿名化処理602として、血縁(氏名)を指標2のままとし、住所を指標3に匿名化し、年齢を指標2のままとし、病歴を指標2に匿名化する、匿名化処理が定義される。
(匿名化情報の構成)
図7は、図6の匿名化ポリシと項目限定による匿名化とを行なった結果の、匿名化情報記憶部212の構成を示す図である。
図7の匿名化情報は、図4のパーソナル情報を匿名化した結果を示している。匿名化情報記憶部212は、パーソナル情報の識別子であるパーソナルID701に対応付けて、血縁702、住所703、年齢704、病歴705の項目のデータを記憶する。図7では、血縁(氏名)702は記号「X」、「Y」に匿名化されている。住所703は、都道府県のみの「東京都」に匿名化されている。年齢704は、年代の「50代」、「30代」に匿名化されている。病歴705は、パーソナルID001において「・K炎」のみに匿名化されている。なお、この匿名化情報は、それぞれ情報利用者の利用者IDに対応付けられて記憶される。
〈第2実施形態の情報処理装置の動作手順〉
次に、第2実施形態に係る情報処理装置200の動作手順(データ処理方法)について説明する。図8は、第2実施形態に係る情報処理装置200の動作手順の一例を示すフローチャートである。このフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図2に示す機能構成部の機能を実現する。
まず、ステップS801において、匿名化処理選択部202は、情報利用者の利用者IDを取り出す。次に、匿名化処理選択部202は、パーソナル情報記憶部208から情報利用者が要求するパーソナル情報の最新のパーソナル情報を読み出して、パーソナル情報3404に記憶する。ステップS805において、匿名化処理選択部202は、利用者IDに対応する匿名化ポリシの全匿名化処理を行なったかを、未選択の優先度の匿名化処理があるか否かで判定する。未選択の優先度の匿名化処理があれば、処理はステップS807に進む。匿名化処理選択部202は、ステップS807で、匿名化ポリシから残った匿名化処理の中で最も優先度の低い匿名化処理を選択する。そして、匿名化処理選択部202は、選択された匿名化処理に関連するパーソナル情報、項目名および匿名化処理の内容を匿名化処理部204に送信する。一方、未選択の優先度の匿名化処理がなければ、処理は、ステップS809に進む。もう匿名化ポリシには匿名化処理の規定はないので、情報の匿名化が成功しなかった。この場合、ステップS809において、匿名化処理選択部202は、情報利用者に情報の提供が出来ない旨を通知する。
ステップS811において、匿名化処理部204は、今までの匿名化処理を行なった結果のパーソナル情報に対して、新たな種類の匿名化処理による匿名化を実行して、その結果を匿名化情報3405に上書きする。ステップ813において、匿名性評価部206は、匿名処理結果のパーソナル情報に匿名性があるか否かを判定する。匿名性がないと判定すれば、処理はステップS805に戻って、ステップS805〜S813が繰り返される。匿名性評価部206は、匿名性があると判定すれば、処理はステップS815に進んで、匿名性評価部206は、利用者IDが示す情報利用者に匿名化されたパーソナル情報を提供する。
〈第2実施形態における具体的な匿名化処理の説明〉
上記、第2実施形態の情報処理装置200の構成、および各データを使用して、図8に従った匿名化処理を行なった場合の具体的な処理のイメージを、図9、図10、図11Aを用いて匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。
(匿名化されていないパーソナル情報)
図9は、情報提供者から提供された、まだ匿名化されてないパーソナル情報の抽象度を示す図である。まだ匿名化処理は適用されていないので、全項目において、抽象化はない。
(匿名化ポリシ)
図10は、匿名化ポリシを各匿名化処理によって抽象化される状態を示す図である。図において、番号“1”,“2”は、それぞれ図6に示す優先度1,2による抽象化の程度を示す。以下、番号“1”,“2”は、優先度1,2として説明する。下図5及び図6を参照すれば、図10において優先度2の血縁、住所、年齢の項目は、最初に匿名化を行なう項目である。それぞれの匿名化による抽象度の変化が、円柱のバーの長さで示されている。図10において優先度1の住所、病歴の項目は、次に匿名化を行なう項目である。
(匿名化処理)
図11Aは、匿名化処理部204による匿名化処理により、順に抽象度が高くなる様子を示す図である。
匿名化されていないパーソナル情報900は、優先度2の匿名化処理1000(2)により、最初の匿名化結果のパーソナル情報1110となる。次に、優先度1の匿名化処理1000(1)により、パーソナル情報900は、次の匿名化結果のパーソナル情報1120となる。ここで、匿名化ポリシに規定されている匿名化は終了する。もし、この間に匿名性評価部206による匿名性の判定で匿名性ありと判定されれば、匿名性を有する匿名化結果が匿名化されたパーソナル情報として出力される。
図11Bは、図11Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図11Bの参照番号は、図11Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
図4の中の2人のパーソナル情報900は、最初の匿名化処理1000(2)によって血縁(氏名)が記号(X、Y)1111に置き換わり、住所では番地以降が削除され(1112)、年齢では年代1113に置き換わっている。次の匿名化処理1000(1)によって、住所が都道府県のみの東京都以外は削除され(1121)、パーソナルID001の病歴から特殊なB病が削除された(1122)。
[第3実施形態]
以下、本発明の第3実施形態の情報処理装置について詳細に説明する。なお、以下において、第2実施形態と同様の機能や動作をする構成やステップがある場合、それらについて図中には同じ符号を付し、明細書中の説明を省略する場合がある。他の実施形態についても同様である。
第2実施形態における情報処理装置200は、優先度が付加された複数の種類の項目の匿名を含む匿名化処理で匿名化を実行する場合には、1回の匿名化処理で複数種類の項目の匿名化を一気に実行する。従って、複数種類の項目のどれかを次の段階に匿名化を進めれば匿名性が得られる場合にも、情報処理装置200は、一気に複数項目の匿名化を行なう。したがって、情報処理装置200は、過剰な匿名化により情報利用者に不十分な情報を提供することが発生する。この問題を解決するため、第3実施形態の情報処理装置1200(図12)は、一部の匿名化処理については一気に実行せずに項目を選択して段階的に匿名化を行なう。特に、情報処理装置1200は、匿名性を得られたと判断した後に最後の匿名化処理を項目に分けて再度行なう。これにより、出来るだけ情報内容を残すことができ、情報利用者へのサービスを向上させることが可能となる。このように、本実施形態によれば、情報利用者の用途に合わせて匿名化されると同時に、情報内容を可能な限り保存したパーソナル情報を提供することができる。
〈第3実施形態の情報処理装置の構成〉
図12は、本発明の第3実施形態に係る情報処理装置1200の機能構成を示すブロック図である。段階的匿名化装置である情報処理装置1200は、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212と、項目限定選択部1202とを具備する。
第3実施形態の構成での第2実施形態との相違点は、「項目限定選択部1202」を具備することであり、他の機能構成部は同様であるので説明は省略する。
項目限定選択部1202は、匿名化処理選択部202において選択された、匿名化ポリシの匿名化処理に対して、よりきめ細かな匿名化を行なうため複数種類の項目から、匿名化すべき項目の順序を決めて、項目を選択する。このとき項目限定選択部1202は、匿名化処理による変化が最も少ない項目と匿名化処理とを選択してもよいし、匿名性が最も高くなる項目と匿名化処理とを選択してもよいし、両方を満たす項目と匿名化処理とを選択してもよい。この選択は、最終結果の匿名性が十分であり、且つ、パーソナル情報の内容が情報使用者にとって有用となるように選択される。
本実施形態の情報処理装置1200のハードウェア構成は、第2実施形態の図3A及び図3Bと同様であるので、説明は省略する。ただし、本実施形態では、項目限定選択部1202が項目選択するためのデータが、図示されていないが、RAM340の匿名化ポリシ3407に追加され、またはストレージ350の匿名化ポリシ3504内に追加されてよい。
〈第3実施形態で使用されるデータの構成〉
第3実施形態で使用されるデータは、項目限定選択部1202が使用するデータを除いて、第2実施形態と同様とするので、説明は省略する。
(項目限定選択部が使用するデータの構成)
図13は、項目限定選択部1202が匿名化処理の複数の項目を分けて順に匿名化するために使用するデータ例1300を示す図である。ここでは、項目限定選択部1202は、図6の匿名化処理602を匿名化処理602−1と602−2の2つの分けて実行する。
図13の匿名化処理において、まず、匿名化処理602−1は、住所のみを指標3に匿名化し、病歴は匿名化せずに指標1のままとする。次に、匿名化処理602−2は、病歴を指標2に匿名化する。このような匿名化処理が項目限定選択部1202に設定されている。
〈第3実施形態の情報処理装置の動作手順〉
次に、第2実施形態に係る情報処理装置1200の動作手順(データ処理方法)について説明する。図14は、第3実施形態に係る情報処理装置1200の動作手順の一例を示すフローチャートである。このフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図12に示す機能構成部の機能を実現する。なお、図14のフローチャートの図8との相違点は、ステップS1401とS1403との追加であり、他の図8と同様のステップ番号は同様の処理であるので、説明は省略する。
ステップS807において、匿名化処理選択部202は匿名化ポリシから残った匿名化処理の中で最も優先度の低い匿名化処理を選択すると、ステップS1401において、項目限定選択部1202は、選択された匿名化処理において項目限定選択を行なうか否かを判定する。かかる判定は、図13のようなデータが有る場合、あるいは図14には煩雑となるため図示しなかったが、項目限定選択部1202は、匿名性ありとの判定された最後の匿名化処理などにおいて、項目限定選択を行なうと判定する。項目限定選択を行なわない場合は、処理はステップS811に進み、匿名化処理部204は複数種類の項目の匿名化を一気に行なう。項目限定選択部1202は、項目限定選択を行なう場合は、ステップS1403において、図13のようなデータに従って部分的な項目を選択し、その後、選択された項目に対し匿名化処理部204はステップS811の匿名化を実行する。なお、ステップS1403においては、その優先度については未選択を維持するので、ステップS805とS807においては、同じ優先度の匿名化処理が選択されて、ステップS811で残る項目の匿名化が行なわれる。例えば、図13の例では、最初のループでは匿名化処理602−1による匿名化が、次のループでは匿名化処理602−2による匿名化がおこなわれることになる。
〈第3実施形態における具体的な匿名化処理の説明〉
上記、第3実施形態の情報処理装置1200の構成、および各データを使用して、図14に従った匿名化処理を行なった場合の具体的な処理のイメージを、匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。
(匿名化ポリシ)
匿名化ポリシは、図10に示したものと同様である。ただし、本実施形態では、項目限定選択部により、図10における優先度1で示す匿名化処理の住所と病歴の項目は、2回の匿名化に分離されている。ここでは、優先度1−1と優先度1−2とする。
(匿名化処理)
図15Aは、匿名化処理により、順に抽象度が高くなる様子を示す図である。
匿名化されていないパーソナル情報900は、優先度2の匿名化処理1000(2)により、最初の匿名化結果のパーソナル情報1110となる。次に、最初の項目限定選択において、優先度1−1の匿名化処理1000(1−1)により、項目「住所」のみの匿名化が実行され、パーソナル情報1110は匿名化結果のパーソナル情報1510となる。次の項目限定選択では、優先度1−2の匿名化処理1000(1−2)により、病歴の匿名化が実行され、パーソナル情報1120となる。
図15Bは、図15Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図15Bの参照番号は、図15Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
図4の中の2人のパーソナル情報900は、最初の匿名化処理1000(2)によって血縁(氏名)が記号(X、Y)1111に置き換わり、住所では番地以降が削除され(1112)、年齢では年代1113に置き換わっている。次の匿名化処理1000(1−1)によって、住所が都道府県のみの東京都以外は削除された(1511)。この時点で、匿名性があると判定されないと、さらに、匿名化処理1000(1−2)によって、パーソナルID001の病歴から特殊なB病が削除される(1122)。
[第4実施形態]
以下、本発明の第4実施形態の情報処理装置について詳細に説明する。なお、以下において、第2及び第3実施形態と同様の機能や動作をする構成やステップがある場合、それらについて図中には同じ符号を付し、明細書中の説明を省略する場合がある。
上記第2及び実施形態に係る情報処理装置は、匿名化ポリシに記述された全ての優先度に対する匿名化処理を適用した後に、匿名性が満たされなければ、情報利用者へのパーソナル情報の提供は行なわれない。しかし、第3実施形態の情報処理装置は、匿名化ポリシに記載された全ての優先度に対する匿名化処理を適用した後に匿名性が満たされなければ、情報利用者が匿名化ポリシを変更する点で、第2及び第3実施形態と相違する。本実施形態によれば、情報利用者は匿名化ポリシを自在に変更してパーソナル情報を匿名化することができる。したがって、匿名性を有し且つ情報利用者にとって有用なパーソナル情報を対話的に取得することができる。
〈第4実施形態の情報処理装置の構成〉
まず、第4実施形態に係る情報処理装置の構成について説明する。図16は、第4実施形態に係る匿名化装置としての情報処理装置1600の機能構成を示すブロック図である。
情報処理装置1600は、図2と同様の機能を果たす、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212とを具備する。さらに、情報処理装置は、匿名化情報管理部1602と、匿名化ポリシ管理部1604とを具備する。以下、第2実施形態と相違する構成について説明する。
匿名化情報管理部1602は、匿名化処理選択部202から受け取った情報利用者IDが付与された特定のパーソナル情報を削除する。そのパーソナル情報は、匿名化情報記憶部212に記憶されている匿名性が得られなかった情報である。匿名化ポリシ管理部1604は、匿名化処理選択部202が匿名化ポリシに記述された全ての優先度に対する匿名化処理を選択してもパーソナル情報が匿名性を有しない場合に、情報利用者に対して匿名化ポリシの変更を要求する。さらに、匿名化ポリシ管理部1604は、情報利用者から変更された匿名化ポリシを受け付けて、匿名化ポリシ記憶部210に記憶されている匿名化ポリシを更新する。図3Bのハードウェア構成であれば、RAM340の匿名化ポリシ3407を上書きし、ストレージ350の匿名化ポリシ3504を書き換え、あるいは追加記憶することになる。
その他、第4実施形態の情報処理装置1600のハードウェア構成や使用される各データの構成は、第2実施形態と同様であるので、説明は省略する。
〈第4実施形態の情報処理装置の動作手順〉
次に、第4実施形態に係る情報処理装置1600の動作について説明する。図17は、第4実施形態に係る情報処理装置1600の動作の一例を示すフローチャートである。かかるフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図16の各機能構成部の機能を実現する。図17に示される情報処理装置1600の動作は、図8に示される第2実施形態の情報処理装置200の動作と同様のステップS801〜S807、S811〜S815を有する。しかし、第2実施形態の情報処理装置200の動作とは異なる、以下に説明するステップS1701〜S1705を有する。
ステップS805において、匿名化ポリシに未選択の優先度の匿名化処理が無くなった場合(S805のNO)、処理はステップS1701に進む。ステップS1701において、匿名性評価部206は、匿名化ポリシの全匿名化処理を行なっても匿名性が得られなかった旨を、情報利用者に通知する。匿名化ポリシ管理部1604は、通知に応答する情報利用者からの匿名化ポリシの入力、あるいは送信を待って、ステップS1703において、今まで使用してきた匿名化ポリシを情報利用者からの匿名化ポリシに変更する。そして、匿名化情報管理部1602は、ステップS1705において、前の匿名化ポリシで匿名化処理したパーソナル情報を匿名化情報記憶部212から削除する。
かかる処理の後、処理はステップS803に戻る。そして、匿名化処理選択部202は、再度、情報利用者が要求する匿名化すべきパーソナル情報をパーソナル情報記憶部208から読み出して、匿名化情報記憶部212に記憶する。そして、情報処理装置1600は、ステップS805からS813を繰り返して、変更された匿名化ポリシによる匿名化を実行する。
〈第4実施形態における具体的な匿名化処理の説明〉
上記、第4実施形態の情報処理装置1600の構成、および各データを使用して匿名化処理を行なった場合の具体的な処理のイメージを、匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。
まず、匿名化されていないパーソナル情報は図9の900とし、匿名化ポリシを抽象度であらわした図は図10の1000であるとする。
(最初の匿名化ポリシによる匿名化)
最初の匿名化ポリシは、図10に示す匿名化ポリシ1000であり、その匿名化処理の経過は、図11Aに示したものと同様である。そして、匿名化ポリシ1000による全ての匿名化処理を行なっても、匿名性の判定で匿名性なしと判定されたものと仮定する。
(更新した匿名化ポリシ)
図18は、図17のステップS1703で情報利用者により変更された匿名化ポリシ1800を示す図である。かかる変更された匿名化ポリシ1800は、図3BのRAM340の匿名化ポリシ3407に上書きされ、ストレージ350の匿名化ポリシ3504を書き換え、あるいは追加記憶される。
図18において、まず、新たな匿名化ポリシの項目規定として、血縁(氏名)の項目と年齢の項目とが、図5に示す項目規定3505から図18の項目規定1801及び1802のように変更される。図5において、血縁(氏名)の項目は指標1と指標2のみであってが、項目規定1801及び1802において、新たに“名字のみ”という指標2が追加され、全ての表記が指標1、名字のみが指標2、表記無し(または記号)が指標3とする。また、年齢の項目は指標1から指標3であったが、項目規定1801及び1802において新たに“未成人/成人/高齢”という指標3が追加され、全ての表記が指標1、年代のみが指標2、未成人/成人/高齢が指標3、表記無しが指標4とする。そして、匿名化ポリシは、この項目規定の変更を使って、優先度3から優先度1の匿名化処理1803〜1805が規定されている。
図18の匿名化ポリシ1810は、変更された匿名化ポリシを各匿名化処理によって抽象化される状態で示した図である。図18において優先度3で示す血縁、住所、年齢の項目は、最初に匿名化を行なう項目である。それぞれの匿名化による抽象度の変化が、バーの長さで示されている。図18において優先度2で示す住所、年齢、病歴の項目は、次に匿名化を行なう項目である。図18において優先度1で示す血縁の項目は、最後に匿名化を行なう項目である。
(更新した匿名化ポリシによる匿名化)
図19Aは、更新した匿名化ポリシによる匿名化処理の様子を示す図である。
匿名化されていないパーソナル情報900は、優先度3の匿名化処理1810(3)により、最初の匿名化結果のパーソナル情報1910となる。次に、優先度2の匿名化処理1810(2)により、パーソナル情報1910は、次の匿名化結果のパーソナル情報1920となる。最後に、優先度1の匿名化処理1810(1)により、パーソナル情報1920は、次の匿名化結果のパーソナル情報1930となる。この間の匿名性を有する匿名化結果が匿名化されたパーソナル情報として出力される。
図19Bは、図19Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図19Bの参照番号は、図19Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
図4の中の2つのパーソナル情報900は、最初の匿名化処理1810(3)によって血縁(氏名)が名字のみ1911に置き換わり、住所では番地以降が削除され(1912)、年齢では年代1913に置き換わっている。次の匿名化処理1820(2)によって、住所が都道府県のみの東京都以外は削除され(1921)、年齢では未成人/成人/高齢1922に置き換わり、パーソナルID001の病歴から特殊なB病が削除された(1923)。最後に、匿名化処理1810(1)によって、血縁(氏名)が記号(X、Y)に置き換わる(1931)。
[第5実施形態]
以下、本発明の第5実施形態の情報処理装置について詳細に説明する。なお、以下において、図中に第2乃至第4実施形態と同様の機能や動作をする構成やステップがある場合、それらは同じ符号が付され、明細書中の説明は省略される場合がある。上記第2及び第4実施形態に係る情報処理装置は、情報提供者がパーソナル情報を変更し、または情報利用者が匿名化ポリシを変更した場合に、それらのパーソナル情報を組み合わせることにより、個人を特定できる恐れがある。従って、第5実施形態の情報処理装置は、パーソナル情報をこれまでに情報利用者に提供したパーソナル情報と合わせて匿名化を有することを保証する。本実施形態によれば、情報利用者が匿名化ポリシを変更した場合や情報提供者がパーソナル情報を変更した場合であっても、情報利用者が個人を特定することを防ぐことができる。
〈第5実施形態の情報処理装置の構成〉
まず、第5実施形態に係る匿名化装置としての情報処理装置の構成について説明する。
図20は、第5実施形態に係る情報処理装置2000の機能構成を示すブロック図である。
情報処理装置2000は、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212と、項目限定選択部1202と、を具備する。これらは、第3実施形態と同様の機能を果たす。そして、第5実施形態の情報処理装置2000は、さらに、結合性評価部2002と、提供履歴記憶部2004とを具備する。
提供履歴記憶部2004は、匿名性を満たすパーソナル情報であり、情報利用者に提供されたパーソナル情報に情報利用者を表す情報利用者IDを付与して記憶する。結合性評価部2002は、匿名性評価部206から渡されたパーソナル情報と、提供履歴記憶部2004に記憶された提供履歴を統合して統合パーソナル情報を生成し、さらに統合パーソナル情報が匿名性を有するか否かを確認する。統合パーソナル情報が匿名性を有する場合、結合性評価部2002は、情報利用者にパーソナル情報を提供し、統合パーソナル情報が匿名性を有しない場合、結合性評価部2002は、再度、パーソナル情報を構成する項目に対して匿名化処理を適用するよう匿名化処理部204を制御する。
なお、第5実施形態の情報処理装置2000のハードウェア構成や使用される各データの構成は、第2実施形態と同様であるので、説明は省略する。また、提供履歴記憶部2004に記憶された、匿名化されたパーソナル情報の構成は、図7の匿名化情報記憶部212の構成と同様である。
〈第5実施形態の情報処理装置の動作手順〉
次に、第5実施形態に係る情報処理装置2000の動作について説明する。図21は、第5実施形態に係る情報処理装置2000の動作の一例を示すフローチャートである。かかるフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図20の各機能構成部の機能を実現する。図21に示される情報処理装置2000の動作は、図8に示される情報処理装置200の動作と同様のステップS801〜S815と、図14に示される情報処理装置1200の動作と同様のステップS1401、S1403を有する。第5実施形態では、さらに、以下に説明するステップS2101とS2103とを有する。
ステップS2101において、匿名性評価部206は、ステップS813において匿名性ありと判定した場合、結合性評価部2002は、既に匿名化が行なわれたパーソナル情報と結合しても匿名性があるかを判定する。匿名性が無いと判定されれば、ステップS805に戻ってさらに匿名化処理部204による匿名化処理が行なわれる。匿名性ありと判定されるとステップS2103に進んで、結合性評価部2002は、既に匿名化が行なわれたパーソナル情報と結合したパーソナル情報に情報利用者を表す情報利用者IDを付与して提供履歴記憶部2004に保存する。
〈第5実施形態における具体的な匿名化処理の説明〉
上記、第5実施形態の情報処理装置2000の構成、および各データを使用して匿名化処理を行なった場合、具体的な処理のイメージを、匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。本例では、図10の匿名化ポリシによって、項目限定選択部1202の処理により匿名性を得られた結果(図15の1510)を使って、図18の匿名化ポリシにより匿名化を行なう例を説明する。
(図18の優先度2の項目「住所」「病歴」までの匿名化ポリシの結合)
図22Aに示すように、結合性評価部2002は、第1パーソナル情報として図11Aの匿名性を得られた結果のパーソナル情報1510を得た匿名化ポリシ1000と、第2パーソナル情報として図18の匿名化結果のパーソナル情報2210までの匿名化処理を結合して、新たな匿名化ポリシを生成する。その結合において、結合性評価部2002は、各項目の抽象度の低い匿名化を選択する。結合結果の統合パーソナル情報の抽象度は、図22Aの統合パーソナル情報2220のようになる。すなわち、血縁の項目においては匿名化ポリシ1800における優先度3の匿名化が、病歴の項目においては匿名化ポリシ1000における匿名化なしが選ばれる。
図22Bは、図22Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図22Bの参照番号は、図22Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
結合性評価部2002は、匿名化ポリシ1000によって既に匿名化されたパーソナル情報1510と、匿名化ポリシ1800によって優先度“2”の項目「住所」「病歴」まで匿名化されたパーソナル情報2210と、を統合し、統合パーソナル情報2220を生成する。統合パーソナル情報2220では、血縁の項目はパーソナル情報2210の内容を維持し、病歴の項目2221はパーソナル情報1510の内容となる。
結合性評価部2002は、この統合パーソナル情報2220が、提供履歴記憶部2004の匿名化されたパーソナル情報1510及び現在匿名化中のパーソナル情報2210に対して匿名性を有するか否かを評価する。統合パーソナル情報2220が匿名性を有すれば、結合性評価部2002は、統合パーソナル情報2220を匿名化されたパーソナル情報として、提供履歴記憶部2004に記憶し、情報利用者に提供する。匿名性を有しない場合は、結合性評価部2002は、さらに匿名化処理を行なうよう匿名化処理部204に指示する。
(図18の優先度2までの匿名化ポリシの結合)
図23Aは、図22A及び図22Bでは匿名性を有しない場合の匿名化処理の結合を示す図である。図23Aでは、匿名化ポリシ1800の優先度2を最後まで実行し、第3パーソナル情報として図19Aの匿名化結果のパーソナル情報1920を得る。この時は、統合パーソナル情報2310となる。
図23Bは、図23Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図23Bの参照番号は、図23Aの匿名化結果のパーソナル情報に対する参照番号に対応している。匿名化ポリシ1000で既に匿名化されたパーソナル情報1510と、匿名化ポリシ1800で優先度2まで匿名化されたパーソナル情報1920と、が統合されて、統合パーソナル情報2310が生成される。統合パーソナル情報2310では、年齢項目2311が図22Bの年代のみから「未成人/成人/高齢」に匿名化されている。
結合性評価部2002は、この統合パーソナル情報2310が、提供履歴記憶部2004の匿名化されたパーソナル情報1510及び現在匿名化中のパーソナル情報1920に対して匿名性を有するか否かを評価する。本例では匿名性を有するとして、統合パーソナル情報2310が匿名化されたパーソナル情報として、提供履歴記憶部2004に記憶され、情報利用者に提供される。
図24は、図22Bの統合パーソナル情報2220から図23Bの統合パーソナル情報2310への変化を示す図である。本例では、統合パーソナル情報2220では匿名性を有しないが、統合パーソナル情報2310となれば匿名性を有するものとなる。
[第6実施形態]
上記第2乃至第5実施形態では、情報処理装置が集中的に情報提供者からのパーソナル情報の保持、匿名化、情報利用者への匿名化したパーソナル情報の提供を実行する構成を説明した。第6実施形態では、情報提供者からのパーソナル情報の保持、匿名化、情報利用者への匿名化したパーソナル情報の提供、をそれぞれ、あるいはその一部を分散処理する構成を示す。本実施形態によれば、情報提供者からのパーソナル情報の蓄積と、匿名化装置として特化した情報処理装置とを分離することで、匿名化処理を広範囲に適用可能となる。
図25は、匿名化装置として特化した情報処理装置2501を含む情報処理システム2500の構成を示す図である。
情報処理システム2500は、ネットワーク2504を介して接続された、匿名化装置として特化した情報処理装置2501と、パーソナル情報を蓄積する情報蓄積装置2502と、パーソナル情報の入出力をする通信端末機器類2503とを具備する。情報蓄積装置2502はLANを介して入出力端末2505からパーソナル情報を受信してもよい。図25の情報処理システム2500では、情報提供者及び情報利用者は通信端末機器類2503を使用して入出力を行なう。入力されたパーソナル情報は、それぞれの情報蓄積装置2502でパーソナル情報取得がされてパーソナル情報記憶部に蓄積される。通信端末機器類2503を使用して要求された、いずれかの情報蓄積装置2502のパーソナル情報は、情報処理装置2501に送られて匿名化された上で、通信端末機器類2503から匿名化情報出力により使用している情報利用者に提供される。
[他の実施形態]
以上、本発明の実施形態について詳述したが、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステム又は装置も、本発明の範疇に含まれる。
また、本発明は、複数の機器から構成されるシステムに適用されても良いし、単体の装置に適用されても良い。さらに、本発明は、実施形態の機能を実現する制御プログラムが、システム或いは装置に直接或いは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされる制御プログラム、或いはそのプログラムを格納した媒体、その制御プログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。
[実施形態の他の表現]
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置であって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
を含む情報処理装置。
(付記2)
情報提供者から提供されたパーソナル情報を記憶するパーソナル情報記憶手段を備える付記1に記載の情報処理装置。
(付記3)
前記匿名性評価手段は、前記匿名化処理手段によって匿名化処理が適用されたパーソナル情報が、他の情報提供者から提供されたパーソナル情報と区別できないこと、前記匿名化処理手段によって匿名化されたパーソナル情報から情報提供者が誰であるか判別できないこと、または、匿名化処理手段によって匿名化されたパーソナル情報から情報提供者の属性が分からないことを持って匿名性を有すると判断する付記1または2に記載の情報処理装置。
(付記4)
前記匿名化処理手段によって匿名化処理を適用したパーソナル情報を記憶する匿名化情報記憶手段を備え、
前記匿名化処理手段は、前記匿名性評価手段が前記匿名化処理を適用したパーソナル情報が匿名性を有しないと判断した場合に、前記匿名化情報記憶手段に記憶されたパーソナル情報に対して、さらに優先度の高い匿名化処理を適用する付記1乃至3のいずれか1項に記載の情報処理装置。
(付記5)
前記匿名化ポリシに含まれる各匿名化処理は、前記パーソナル情報に関連付け可能な前記少なくとも1つの項目の有無、該項目の抽象度のレベル、該項目の正確性のレベルのいずれかを表わす指標と、該指標に基づいて設定された前記匿名化処理の優先度とを含む付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
複数の前記項目の各項目の有無、各項目の抽象度のレベル、各項目の正確性のレベルのいずれかを表わす指標を各項目に対応付けて記憶する項目規定記憶手段と、
複数の項目に対する匿名化を含む匿名化処理から、予め定められた項目の匿名化を選択し、前記匿名化処理手段に提供する項目限定選択手段と、
を備える付記5に記載の情報処理装置。
(付記7)
前記匿名化ポリシ提供手段は、前記情報利用者に対応付けられた匿名化ポリシを記憶する匿名化ポリシ記憶手段を有し、前記情報利用者に対応して前記匿名化ポリシ記憶手段から読み出した匿名化ポリシを提供する付記1乃至6のいずれか1項に記載の情報処理装置。
(付記8)
前記匿名性評価手段は、前記匿名化ポリシに含まれる前記複数の匿名化処理の適用によってもパーソナル情報が匿名性を有しないと判断した場合に、その旨を前記情報利用者に通知する通知手段を有し、
前記匿名化ポリシ提供手段は、前記通知手段の通知に応答して前記情報利用者から提供された匿名化ポリシを提供する付記1乃至7のいずれか1項に記載の情報処理装置。
(付記9)
前記匿名性評価手段が匿名性を有すると判断した場合の匿名化処理の組を履歴として記憶する履歴記憶手段と、
前記匿名性評価手段が前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、現在の匿名化処理の組と前記履歴記憶手段に記憶された匿名化処理の組とを組み合わせて、新たな匿名化処理の組からなる匿名化ポリシを生成する生成手段とを備え、
前記匿名化処理手段は、前記生成手段が生成した匿名化ポリシの前記新たな匿名化処理の組を前記パーソナル情報に適用する付記1乃至8のいずれか1項に記載の情報処理装置。
(付記10)
前記匿名化処理は、前記パーソナル情報に対する汎化、切落し、分離、置換、摂動を含む付記1乃至9のいずれか1項に記載の情報処理装置。
(付記11)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御方法であって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供し、
前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択し、
前記匿名化処理の選択順に前記複数の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用し、
前記匿名化処理が適用されたパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する
情報処理装置の制御方法。
(付記12)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御プログラムであって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する処理と、
前記匿名化ポリシの提供によって提供される匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する処理と、
前記匿名化処理の選択順に前記複数の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する処理と、
前記匿名化処理が適用されたパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する処理と、
をコンピュータに実行させる制御プログラム。
(付記13)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理システムであって、
前記パーソナル情報を取得するパーソナル情報取得手段と、
前記取得したパーソナル情報を記憶するパーソナル情報記憶手段と、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、前記パーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力手段と、
を含む情報処理システム。
(付記14)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化するパーソナル情報の匿名化方法であって、
前記パーソナル情報を取得するパーソナル情報取得ステップと、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供ステップと、
前記匿名化ポリシ提供ステップにおいて提供する匿名化ポリシに含まれる前記複数の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択ステップと、
前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、前記取得したパーソナル情報を記憶するパーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理ステップと、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価ステップと、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力ステップと、
を含むパーソナル情報の匿名化方法。
以上、実施の形態を参照して本願発明を説明したが、本願発明は以上の実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で同業者が理解し得る様々な変更をすることができる。
この出願は、2010年11月16日に出願された日本出願特願2010−256045を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims (10)

  1. 個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置であって、
    前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
    前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
    前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する匿名化処理手段と、
    前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
    を含む情報処理装置。
  2. 前記匿名化処理手段によって匿名化処理を適用したパーソナル情報を記憶する匿名化情報記憶手段を備え、
    前記匿名化処理手段は、前記匿名性評価手段が前記匿名化処理を適用したパーソナル情報が匿名性を有しないと判断した場合に、前記匿名化情報記憶手段に記憶されたパーソナル情報に対して、さらに優先度の高い匿名化処理を適用する、請求項1に記載の情報処理装置。
  3. 前記匿名化ポリシに含まれる各匿名化処理は、前記パーソナル情報に関連付け可能な前記少なくとも1つの項目の有無、該項目の抽象度のレベル、該項目の正確性のレベルのいずれかを表わす指標と、該指標に基づいて設定された前記匿名化処理の優先度とを含む請求項1または2に記載の情報処理装置。
  4. 複数の前記項目の各項目の有無、各項目の抽象度のレベル、各項目の正確性のレベルのいずれかを表わす指標を各項目に対応付けて記憶する項目規定記憶手段と、
    複数の項目に対する匿名化を含む匿名化処理から、予め定められた項目の匿名化を選択し、前記匿名化処理手段に提供する項目限定選択手段と、
    を、さらに備える請求項3に記載の情報処理装置。
  5. 前記匿名性評価手段は、前記匿名化ポリシに含まれる前記複数の匿名化処理の適用によってもパーソナル情報が匿名性を有しないと判断した場合に、その旨を前記情報利用者に通知する通知手段を有し、
    前記匿名化ポリシ提供手段は、前記通知手段の通知に応答して前記情報利用者から提供された匿名化ポリシを提供する請求項1乃至4のいずれか1項に記載の情報処理装置。
  6. 前記匿名性評価手段が匿名性を有すると判断した場合の匿名化処理の組を履歴として記憶する履歴記憶手段と、
    前記匿名性評価手段が前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、現在の匿名化処理の組と前記履歴記憶手段に記憶された匿名化処理の組とを組み合わせて、新たな匿名化処理の組からなる匿名化ポリシを生成する生成手段とを備え、
    前記匿名化処理手段は、前記生成手段が生成した匿名化ポリシの前記新たな匿名化処理の組を前記パーソナル情報に適用する請求項1乃至5のいずれか1項に記載の情報処理装置。
  7. 個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御方法であって、
    前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供し、
    前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択し、
    前記匿名化処理の選択順に前記複数の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用し、
    前記匿名化処理が適用されたパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する
    情報処理装置の制御方法。
  8. 個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御プログラムであって、
    前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する処理と、
    前記匿名化ポリシの提供によって提供される匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する処理と、
    前記匿名化処理の選択順に前記複数の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する処理と、
    前記匿名化処理が適用されたパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する処理と、
    をコンピュータに実行させる制御プログラム。
  9. 個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理システムであって、
    前記パーソナル情報を取得するパーソナル情報取得手段と、
    前記取得したパーソナル情報を記憶するパーソナル情報記憶手段と、
    前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
    前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
    前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、前記パーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理手段と、
    前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
    前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力手段と、
    を含む情報処理システム。
  10. 個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化するパーソナル情報の匿名化方法であって、
    前記パーソナル情報を取得するパーソナル情報取得ステップと、
    前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供ステップと、
    前記匿名化ポリシ提供ステップにおいて提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択ステップと、
    前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、前記取得したパーソナル情報を記憶するパーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理ステップと、
    前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価ステップと、
    前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力ステップと、
    を含むパーソナル情報の匿名化方法。
JP2012544314A 2010-11-16 2011-11-14 情報処理システム及び匿名化方法 Active JP5979004B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2010256045 2010-11-16
JP2010256045 2010-11-16
PCT/JP2011/076610 WO2012067213A1 (ja) 2010-11-16 2011-11-14 情報処理システム及び匿名化方法

Publications (2)

Publication Number Publication Date
JPWO2012067213A1 true JPWO2012067213A1 (ja) 2014-05-19
JP5979004B2 JP5979004B2 (ja) 2016-08-24

Family

ID=46084133

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012544314A Active JP5979004B2 (ja) 2010-11-16 2011-11-14 情報処理システム及び匿名化方法

Country Status (4)

Country Link
US (1) US8918894B2 (ja)
EP (1) EP2642405B1 (ja)
JP (1) JP5979004B2 (ja)
WO (1) WO2012067213A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210334406A1 (en) * 2020-03-27 2021-10-28 EMC IP Holding Company LLC Intelligent and reversible data masking of computing environment information shared with external systems

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013183250A1 (ja) * 2012-06-04 2013-12-12 日本電気株式会社 匿名化を行う情報処理装置及び匿名化方法
JP5942634B2 (ja) * 2012-06-27 2016-06-29 富士通株式会社 秘匿化装置、秘匿化プログラムおよび秘匿化方法
JP5944268B2 (ja) * 2012-08-24 2016-07-05 Kddi株式会社 ユーザ非特定情報の提供記録を通知するユーザ情報管理装置、プログラム及び方法
US9898620B2 (en) * 2012-09-28 2018-02-20 Panasonic Intellectual Property Management Co., Ltd. Information management method and information management system
JP5747012B2 (ja) * 2012-10-26 2015-07-08 株式会社東芝 匿名化データ変更システム
JP6104674B2 (ja) * 2013-03-29 2017-03-29 ニフティ株式会社 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム
WO2014185043A1 (ja) * 2013-05-15 2014-11-20 日本電気株式会社 情報処理装置、情報匿名化方法、及び、記録媒体
US20160148018A1 (en) * 2013-06-21 2016-05-26 Rakuten, Inc. Information providing device, information providing method, and program
JP6264656B2 (ja) * 2014-05-08 2018-01-24 学校法人慶應義塾 匿名化システム、発行装置及びプログラム
JP2018516398A (ja) * 2015-03-26 2018-06-21 ノキア ソリューションズ アンド ネットワークス オサケユキチュア 通信におけるデータ検出の最適化
EP3427127B1 (en) 2016-03-11 2022-06-15 Limbic Life Ag Occupant support device and system for controlling objects
EP3226182A1 (en) * 2016-03-29 2017-10-04 Locatee AG Device, system and method for monitoring usage of functional facilities
US10242230B1 (en) * 2016-07-29 2019-03-26 Microsoft Technology Licensing, Llc Preventing inference attacks by joining on confidential data value
JP6484657B2 (ja) * 2017-03-17 2019-03-13 新日鉄住金ソリューションズ株式会社 情報処理装置、情報処理方法及びプログラム
US11188678B2 (en) * 2018-05-09 2021-11-30 Fujitsu Limited Detection and prevention of privacy violation due to database release
JP2019069174A (ja) * 2018-12-11 2019-05-09 Hoya株式会社 内視鏡プロセッサ及び情報管理方法
KR102254295B1 (ko) * 2019-04-15 2021-05-21 주식회사 파수 비식별 컴플라이언스를 지원하는 비식별화 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체
JP7380183B2 (ja) * 2019-12-23 2023-11-15 日本電気株式会社 匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラム
JP7363662B2 (ja) * 2020-04-28 2023-10-18 富士通株式会社 生成方法,情報処理装置及び生成プログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003021473A1 (en) * 2001-08-30 2003-03-13 Privasource, Inc. Data source privacy screening systems and methods
US7797725B2 (en) 2004-12-02 2010-09-14 Palo Alto Research Center Incorporated Systems and methods for protecting privacy
WO2007065262A1 (en) * 2005-12-08 2007-06-14 Sxip Identity Corporation Networked identtty framework
DE102006021371B4 (de) * 2006-05-08 2008-04-17 Siemens Ag Verfahren zur reversiblen Anonymisierung vertraulicher Datenteile und eine entsprechende Datenstruktur
JP2009087216A (ja) 2007-10-02 2009-04-23 Fuji Xerox Co Ltd 操作制限情報設定装置およびプログラム
JP5115170B2 (ja) 2007-12-13 2013-01-09 富士ゼロックス株式会社 文書編集装置、および文書編集方法、並びにコンピュータ・プログラム
JP2010086179A (ja) * 2008-09-30 2010-04-15 Oki Electric Ind Co Ltd 情報処理装置、コンピュータプログラムおよび記録媒体
JP5199143B2 (ja) * 2009-02-05 2013-05-15 技研商事インターナショナル株式会社 秘匿集計システム
JP5308898B2 (ja) 2009-04-21 2013-10-09 大成建設株式会社 人検知センサ
US8566357B2 (en) * 2009-10-09 2013-10-22 Nec Corporation Information management apparatus, data processing method and computer program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210334406A1 (en) * 2020-03-27 2021-10-28 EMC IP Holding Company LLC Intelligent and reversible data masking of computing environment information shared with external systems
US11960623B2 (en) * 2020-03-27 2024-04-16 EMC IP Holding Company LLC Intelligent and reversible data masking of computing environment information shared with external systems

Also Published As

Publication number Publication date
US8918894B2 (en) 2014-12-23
EP2642405B1 (en) 2019-05-22
EP2642405A1 (en) 2013-09-25
JP5979004B2 (ja) 2016-08-24
WO2012067213A1 (ja) 2012-05-24
US20130239226A1 (en) 2013-09-12
EP2642405A4 (en) 2017-04-05

Similar Documents

Publication Publication Date Title
JP5979004B2 (ja) 情報処理システム及び匿名化方法
JP5796574B2 (ja) 情報処理装置、制御方法及びプログラム
KR101862235B1 (ko) 사용자 인터페이스 요소 지정
JP5535203B2 (ja) 子ノード及び親ノードについてのメトリック値を特定することによるデータ品質トラッキング
US8924361B2 (en) Monitoring entitlement usage in an on-demand system
TWI454931B (zh) 專用介面工具集內通訊系統及方法
CN105051749A (zh) 基于策略的数据保护
JP6471699B2 (ja) 情報判定装置、情報判定方法及びプログラム
US20100205211A1 (en) System and Method for Generating a User Profile
US20210203645A1 (en) Programmatic control channel for automated data distribution
US20090182739A1 (en) Using metadata to route documents
CN105431815B (zh) 用于数据库工作负荷的输入-输出优先化
JPWO2013121738A1 (ja) 分散匿名化装置及び分散匿名化方法
US20140052649A1 (en) Data Management System for Generating a Report Document by Linking Technical Data to Intellectual Property Rights Data
JP2020052876A (ja) 情報処理プログラム、情報管理プログラム、装置、及び方法
CA2699690A1 (en) Personalizable cards shared via a computerized card service
JP4461034B2 (ja) 利用権発行方法、利用権発行装置、および利用権システム
US20100250367A1 (en) Relevancy of virtual markers
JP5649466B2 (ja) 重要度判定装置、重要度判定方法およびプログラム
JP2021018514A (ja) サーバー装置、データ管理システム、およびデータ管理方法
CA2476285C (en) Project management system
JP4300149B2 (ja) 現場監視システム、現場監視方法及び現場監視プログラム
JP7422699B2 (ja) データ流通仲介システム、及びデータ流通仲介方法
Alsaig et al. Storing and managing context and context history
US20240320357A1 (en) Data management system and data management method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151006

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160628

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160711

R150 Certificate of patent or registration of utility model

Ref document number: 5979004

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150