JPWO2014049995A1 - 匿名化を実行する情報処理装置、匿名化方法及びプログラムを記録した記録媒体 - Google Patents

匿名化を実行する情報処理装置、匿名化方法及びプログラムを記録した記録媒体 Download PDF

Info

Publication number
JPWO2014049995A1
JPWO2014049995A1 JP2014538140A JP2014538140A JPWO2014049995A1 JP WO2014049995 A1 JPWO2014049995 A1 JP WO2014049995A1 JP 2014538140 A JP2014538140 A JP 2014538140A JP 2014538140 A JP2014538140 A JP 2014538140A JP WO2014049995 A1 JPWO2014049995 A1 JP WO2014049995A1
Authority
JP
Japan
Prior art keywords
record
records
group
conclusion
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014538140A
Other languages
English (en)
Other versions
JP6079783B2 (ja
Inventor
翼 高橋
翼 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2014049995A1 publication Critical patent/JPWO2014049995A1/ja
Application granted granted Critical
Publication of JP6079783B2 publication Critical patent/JP6079783B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2465Query processing support for facilitating data mining operations in structured databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Computational Linguistics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Mathematical Physics (AREA)
  • Fuzzy Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本発明は、レコード間の対応関係の情報が曖昧になりすぎないように匿名化を実行する情報処理装置を提供する。その情報処理装置は、固有識別子を同一として対応する第1の属性を含む第1のレコードと第2の属性を含む第2のレコードとの組の中から、第2のレコード群に対応する第1のレコード群のそれぞれにおいて第1及び第2のそれぞれのl−多様性を充足可能であることと、第1及び第2のレコードとの間に存在する対応関係の抽象度とに基づいて、複数の第2のレコードの組を抽出する手段と、その第2のレコードの組からなる匿名グループのデータセットをその第2のレコードの組において第2のl−多様性を充足し、対応する第1のレコードの組において第1のl−多様性を充足するように、生成する手段を備える。

Description

本発明は、個人情報等のように、オリジナルな情報内容のままで公開や利用されることが好ましくない情報を匿名化する情報処理装置、匿名化方法、及びそのためのプログラムに関する。
購買履歴や診療履歴等のように、サービス提供者によって日々ユーザ(利用者)に提供されるサービス活動から生まれるログ情報は、それらのサービス提供者によって、履歴情報として蓄積されている。これらの履歴情報を分析することで、特定の利用者の行動パターンの把握、ある集団が持つ固有の傾向の把握、将来起こり得る事象の予測、及び過去の事象に対する要因分析等が可能である。これらの履歴情報及びその分析結果を利用することで、サービス提供者は、自己の事業の強化や見直しが可能である。よって、履歴情報は、利用価値が非常に高い有益な情報である。ここで、ある集団は、複数の利用者からなる集団である。
サービス提供者以外の第三者にとっても、このようなサービス提供者が保有する履歴情報は有益である。例えば、その第三者は、係る履歴情報を利用することで、自身では得られなかった情報を手にすることができる。従って、この第三者自身のサービスやマーケティングの強化が可能である。また、サービス提供者自身が、その第三者に対して、履歴情報の分析を依頼する場合や、研究を目的として、係る履歴情報を公開する場合もある。
上述のように利用価値の高い履歴情報には、その履歴情報の主体にとって他人に知られたくない情報や、第三者に知られるべきでない情報が含まれている場合がある。このような情報は、一般に、センシティブ情報(機微情報:Sensitive Attribute(SA)、 Sensitive Value)と呼ばれる。例えば、購買履歴の場合は、購入した商品がセンシティブ情報に成り得る。診療情報の場合は、傷病名や、診療行為名がセンシティブ情報である。
履歴情報には、サービス利用者を一意に識別するユーザ識別子(ユーザID)と、サービス利用者を特徴付ける複数の属性(属性情報)とが付与されている場合が多い。ユーザ識別子には、氏名、会員番号や被保険者番号などが該当する。サービス利用者を特徴付ける属性には、性別、生年月日、職業、居住エリア、郵便番号などが該当する。サービス提供者は、これらのユーザ識別子と、複数種類の属性と、センシティブ情報とを、一つのレコードとして記録する。そして、サービス提供者は、係るレコードを、該当するユーザ(サービス利用者)がサービスを享受する度に、履歴情報として蓄積する。ユーザ識別子が付与されたままの履歴情報が第三者に提供されると、その第三者はそのユーザ識別子を用いることによってサービス利用者を特定することが可能である。このため、プライバシ侵害の問題が、発生し得る。
また、複数のレコードによって構成されるデータセットの中から、各レコードに付与されている属性値を1つ以上組み合わせることにより、ある個人を特定できてしまう場合がある。このように個人を特定し得る属性は、準識別子(Quasi−Identifier)と呼ばれる。即ち、例えユーザ識別子を取り除いた履歴情報であっても、準識別子に基づいてある個人を特定可能であれば、プライバシ侵害が発生し得る。
但し、その一方で、全ての準識別子を履歴情報から取り除いてしまうと、統計的な分析が不可能になる。従って、その履歴情報の本来の有益性が大幅に失われる。例えば、その統計的な分析とは、その全ての準識別子取り除かれた履歴情報に対する分析である。具体的には、ある年代が好んで購入する傾向にある製品の分析や、ある地域に居住する住民が罹患する特有の傷病の分析等が行えない。
このような特性を有する履歴情報のデータセットを、本来の有用性を保ちながら、プライバシを保護した形態に変換する手法として、匿名化(匿名化技術:Anonymization)が知られている。
例えば、特許文献1は、入力されたデータを属性毎に準識別子或いは重要情報に分類し、全てのその準識別子における“k−匿名性”と全てのその重要情報における“l−多様性”とを満たすデータセットを出力する技術を開示する。
非特許文献1は、最もよく知られた匿名性指標であるk−匿名性を提案する。匿名化対象のデータセットに、係るk−匿名性を充足させる手法は、“k−匿名化”と呼ばれる。このk−匿名化では、同じ準識別子を有するレコードがその匿名化対象のデータセットの中に少なくともk個以上存在するように、対象となる準識別子を変換する処理が行われる。この変換処理としては、一般化、切り落とし等の方式が知られている。係る一般化において、元の詳細な情報は、抽象化された情報に変換される。
非特許文献2は、係るk−匿名性を発展させた匿名性指標の1つである、l−多様性を提案する。匿名化対象のデータセットに、係るl−多様性を充足させる手法は、“l−多様化”と呼ばれる。このl−多様化では、同じ準識別子を持つ複数のレコードに、少なくともl種類以上の異なるセンシティブ情報が含まれるように、対象となる準識別子を変換する処理が行われる。
ここで、k−匿名化は、準識別子と関連付けされるレコードの数がk個以上になることを保証する。また、l−多様化は、準識別子と関連付けされるセンシティブ情報の種類がl種類以上になることを保証する。
上述したk−匿名化や、l−多様化では、同一のユーザ識別子を持つ複数のレコードが存在する場合に、それらレコード間の順序や関係等の、互いに異なる事象間の対応関係(換言すれば、特徴、遷移、プロパティ:以下、本願では「対応関係」と称する)が考慮されていない。そのため、係るレコード間の性質が曖昧になったり、失われたりしてしまう場合がある。
また、同一のユーザ識別子を持つ複数のレコードを対象とした、時間軸上における順序を保存した匿名化方法として、移動軌跡に対する匿名化技術が知られている。
非特許文献3は、位置情報が時系列に関連付けされた移動軌跡を匿名化する技術に関する論文である。より具体的に、非特許文献3に記載された匿名化技術は、係る移動軌跡の始点から終点までを一連のシーケンスとみなして、一貫したk−匿名性を保証する匿名化技術である。この移動軌跡の匿名化技術では、地理的に類似するk個以上の移動軌跡を束ねたチューブ状の匿名移動軌跡が生成される。移動軌跡の匿名化技術では、匿名性の制約の中で、地理的な類似性を最大化した匿名移動軌跡が生成される。
非特許文献3に代表される移動軌跡の匿名化方式では、同一のユーザ識別子を与えられたレコード間に存在する性質のうち、特に、時系列な順序関係が保たれる。
特開2012−003440号公報
L.Sweeney,"k−anonymity:a model for protecting privacy", International Journal on Uncertainty, Fuzziness and Knowledge−based Systems,10(5),pp.555−570,2002. A.Machanavajjhala, D.Kifer, J.Gehrke and M.Venkitasubramaniam, "l−Diversity: Privacy Beyond k−Anonymity", ACM Transactions on Knowledge Discovery from Data,Volume1 Issue1,March 2007 Article No. 3. O.Abul, F.Bonchi and M.Nanni、"Never Walk Alone: Uncertainty for Anonymity in Moving Objects Databases." In Proceedings of 24th IEEE International Conference on Data Engineering, pp.376−385,2008.
しかしながら、上述した特許文献及び非特許文献に記載された技術においては、対応関係の情報を含むデータセットがl−多様性を充足するように匿名化を施された場合、その情報が曖昧になりすぎる場合があるという問題点がある。ここで、「対応関係」の情報とは、「同一の固有識別子(ユーザ識別子)を有するレコード間の対応関係」の情報である。ここで、そのデータセットは、例えば、同一の固有識別子をそれぞれが有するレコードの組を、1以上含む、複数のレコードから構成されるデータセットである。
そのデータセットにおいて、例えば、それらのレコードの一部からなるレコード群毎にl−多様性が定められる。そして、それらのl−多様性を充足するようにデータセットが匿名化される。そうした場合に、その匿名化されたデータセットに含まれる「同一の固有識別子を有するレコード間の対応関係」が、元のデータセットのそれに比べて曖昧になりすぎる場合がある。
その情報(「対応関係」の情報)が曖昧になりすぎる場合がある理由は、以下のとおりである。
上述の特許文献及び非特許文献に記載の技術は、「同一の固有識別子を有するレコード間の対応関係」の情報を、維持するために必要な考慮を払っていない。そのため、それらのレコード群毎に定められたl−多様性を充足するように、データセットが匿名化された場合、元のデータセットには存在しなかった、余分な「同一の固有識別子を有するレコード間の対応関係」が付加される場合がある。
特許文献1では、「同一の固有識別子を有するレコード間の対応関係」の情報を考慮していない。
非特許文献1は、l−多様性に関する技術を開示していない。
非特許文献2では、地理的な類似性を最大化した匿名移動軌跡を構築することを主たる目的としており、必ずしも、各レコード間の性質(対応関係)が維持されるわけではない。また、非特許文献3では、l−多様性の匿名性の保証には対応していない。
次に、具体的な例を説明する。
図28は、匿名化前データセットの一例を示す図である。図28に示す匿名化前データセットは、複数の第1のレコードと複数の第2のレコードとを含む。その第1のレコードは、固有識別子と診療月、年齢及び病名の属性とを含み、診療月の属性値が「4月」である。その第2のレコードは、固有識別子と診療月、年齢及び病名の属性とを含み、診療月の属性値が「5月」である。
また、図28に示す匿名化前データセットは、同一の固有識別子を有する第1のレコードと第2のレコードとの間の対応関係の、情報を含んでいる。例えば、その対応関係は、固有識別子が「1」の第1のレコード及び第2のレコードのそれぞれに含まれる病名の属性値の「U」と「A」との対応関係(以後、「U−A」と表記する)である。
図29は、図28に示す匿名化前データセットが匿名化された、匿名化後データセットの一例を示す図である。図29に示す匿名化後データセットは、その匿名化前データセットの第1のレコードからなる第1のレコード群が、l=3でl−多様性を充足するように匿名化されている。また、匿名化後データセットは、その匿名化前データセットの第2のレコードからなる第2のレコード群が、l=2でl−多様性を充足するように匿名化されている。
例えば、図28に示す匿名化前データセットにおいて、固有識別子が「6」、「7」及び「9」のレコードは、図29に示す匿名化後データセットにおいて、固有識別子に替えて同一のグループ識別子である「101」を付与されている。また、同一のグループ識別子を持つレコードは、準識別子である属性の属性値が同一の値に汎化されている。
図28に示す匿名化前のデータセットにおいて、固有識別子が「6」、「7」及び「9」に対応する「同一の固有識別子を有するレコード間の対応関係」は、「Y−E」、「X−D」及び「W−C」である。
一方、図29に示す匿名化後データセットにおいて、グループ識別子が「101」に対応する「同一の固有識別子を有するレコード間の対応関係」は、「Y−E」、「Y−D」、「Y−C」、「X−E」、「X−D」、「X−C」、「W−E」、「W−D」及び「W−C」である。即ち、図29に示す匿名化後データセットは、図28に示す匿名化前のデータセットに存在しない「同一の固有識別子を有するレコード間の対応関係」である、「Y−C」及び「W−E」が余分に付加されてしまっている。
以上が、「同一の固有識別子を有するレコード間の対応関係」の情報が曖昧になりすぎるという問題の具体例である。
本発明の目的は、上述した問題点を解決する情報処理装置、匿名化方法、及びそのためのプログラムを提供することにある。
本発明の情報処理装置は、固有識別子及び少なくとも1つの第1の属性を含む第1のレコードと、前記固有識別子と同一の固有識別子及び少なくとも1つの第2の属性を含む第2のレコードと、の組が複数件含まれるデータセットの中から、複数の前記第2のレコードを含む第2のレコード群において第2のl−多様性を充足可能であること、前記第2のレコード群に含まれる第2のレコードと組を成す前記第1のレコードから成る前記第1のレコード群において第1のl−多様性を充足可能であること、及び前記第1のレコードと前記第2のレコードとの間に存在する対応関係の抽象度に基づいて、複数の前記第2のレコードを抽出するレコード抽出手段と、前記レコード抽出手段によって抽出された前記第2のレコードからなる匿名グループデータセットを、前記匿名グループデータセットにおいて前記第2のl−多様性を充足可能であり、かつ前記匿名グループデータセットに含まれる第2のレコードと組を成す前記第1のレコードからなる第1のレコード群において前記第1のl−多様性を充足可能であるように、生成し、出力する匿名グループ生成手段と、を備える。
本発明の匿名化方法は、コンピュータが、固有識別子及び少なくとも1つの第1の属性を含む第1のレコードと、前記固有識別子と同一の固有識別子及び少なくとも1つの第2の属性を含む第2のレコードと、の組が複数件含まれるデータセットの中から、前記第2のレコードからなる第2のレコード群において第2のl−多様性を充足可能であること、前記第2のレコード群に含まれる第2のレコードと組を成す前記第1のレコードから成る前記第1のレコード群において第1のl−多様性を充足可能であること、及び前記第1のレコードと前記第2のレコードとの間に存在する対応関係の抽象度に基づいて、複数の前記第2のレコードを抽出し、前記抽出された前記第2のレコードからなる匿名グループデータセットを、前記匿名グループデータセットにおいて前記第2のl−多様性を充足可能であり、かつ前記匿名グループデータセットに含まれる第2のレコードと組を成す前記第1のレコードからなる第1のレコード群において前記第1のl−多様性を充足可能であるように、生成し、出力する。
本発明のコンピュータ読み取り可能な不揮発性記録媒体に記録されたプログラムは、固有識別子及び少なくとも1つの第1の属性を含む第1のレコードと、前記固有識別子と同一の固有識別子及び少なくとも1つの第2の属性を含む第2のレコードと、の組が複数件含まれるデータセットの中から、前記第2のレコードからなる第2のレコード群において第2のl−多様性を充足可能であること、前記第2のレコード群に含まれる第2のレコードと組を成す前記第1のレコードから成る前記第1のレコード群において第1のl−多様性を充足可能であること、及び前記第1のレコードと前記第2のレコードとの間に存在する対応関係の抽象度に基づいて、複数の前記第2のレコードを抽出する処理と、前記抽出された前記第2のレコードからなる匿名グループデータセットを、前記匿名グループデータセットにおいて前記第2のl−多様性を充足可能であり、かつ前記匿名グループデータセットに含まれる第2のレコードと組を成す前記第1のレコードからなる第1のレコード群において前記第1のl−多様性を充足可能であるように、生成し、出力する処理と、をコンピュータに実行させる。
本発明は、「同一の固有識別子(ユーザ識別子)を有するレコード間の対応関係」の情報を含むデータセットがl−多様性を充足するように匿名化を施された場合に、その対応関係の情報が曖昧になりすぎることを防止することが可能になるという効果がある。
図1は、第1の実施形態に係る匿名化装置の構成を示すブロック図である。 図2は、第1の実施形態に係る匿名化装置を含むシステムの構成を示すブロック図である。 図3は、データセットの一例を示す図である。 図4は、ソートされた前提レコード分の一例を示す図である。 図5は、ソートされた結論レコード分の一例を示す図である。 図6は、前提匿名グループデータセットの一例を示す図である。 図7は、結論匿名グループデータセットの一例を示す図である。 図8は、抽出レコード群の一例を示す図である。 図9は、結論レコードを纏めた抽出結論レコード群の一例を表す図である。 図10は、共通部分レコード群の一例を示す図である。 図11は、前提属性値が同一の前提レコード毎に結論レコードを纏めた共通部分結論レコード群の一例を表す図である。 図12は、結論ソートレコード群の一例を示す図である。 図13は、結論属性値が同一の結論レコードを纏めた結論ソート結論レコード群の一例を表す図である。 図14は、匿名グループ結論レコード群の一例を示す図である。 図15は、グループ識別子毎に結論レコードを纏めた、匿名グループ結論レコード群の一例を表す図である。 図16は、本実施形態に係る匿名化装置を実現するコンピュータのハードウェア構成を示す図である。 図17は、本実施形態の動作を示すフローチャートである。 図18は、残レコードの一例を示す図である。 図19は、結論匿名グループの一例を示す図である。 図20は、結論匿名グループの一例を示す図である。 図21は、結論匿名グループの一例を示す図である。 図22は、第2の実施形態に係る匿名化装置200の構成を示すブロック図である。 図23は、遷移ベクトルの組み合わせの一例を示す図である。 図24は、2つの遷移ベクトルの組み合わせの一例を示す図である。 図25は、遷移ベクトル間の類似度が「0」か否かを示す図である。 図26は、利用済みの遷移ベクトルを除いた遷移ベクトルの一例を示す図である。 図27は、遷移ベクトル間の組み合わせを示す図である。 図28は、匿名化前データセットの一例を示す図である。 図29は、匿名化後データセットの一例を示す図である。
本発明を実施するための形態について図面を参照して詳細に説明する。尚、各図面及び明細書記載の各実施形態において、同様の構成要素には同様の符号を付与し、適宜説明を省略する。
<<<第1の実施形態>>>
図1は、本発明の第1の実施形態に係る匿名化装置100の構成を示すブロック図である。尚、匿名化装置(匿名化装置100)は、一般的に情報処理装置とも呼ばれる。
図1に示すように、本実施形態に係る匿名化装置100は、レコード抽出部110と、匿名グループ生成部120とを含む。
図2は、本実施形態に係る匿名化装置100を含む匿名化システム101の構成を示すブロック図である。
図2に示すように、匿名化システム101は、匿名化装置100と履歴情報記憶部500と匿名化情報記憶部600とを含む。
まず、匿名化システム101における、匿名化装置100の動作の概要を説明する。
===履歴情報記憶部500===
履歴情報記憶部500は、図3に示すような、データセット510を記憶する。図3に示すように、例えば、データセット510は、固有識別子と、診療月、年齢及び病名の属性とを含む、複数のレコードから成る履歴情報である。また、データセット510は、同一の固有識別子を有する、「診療月」の属性値が「4月」のレコード(前提レコード)と「診療月」の属性値が「5月」のレコード(結論レコード)との間の対応関係の情報を含んでいる。
前提レコードと結論レコードとは、同じ属性を含んでいなくてもよい。例えば、その前提レコードが固有識別子及びあるセンシティブ属性のみを含み、その結論レコードが固有識別子と他のセンシティブ属性のみを含む、データセットであってもよい。
図4及び図5は、以下の説明の便宜上、図3に示すデータセット510を前提レコード(第1のレコード)分と結論レコード(第2のレコード)分とに分けて示す図である。即ち、図4及び図5に示す前提レコード分521及び結論レコード分522は、匿名化装置100が生成するものではなく、説明のために便宜的に示す図である。図4は、前提レコードから成る、前提レコード分521を示す。図5は、結論レコードから成る、結論レコード分522を示す。
以下の実施形態では、結論レコード分522を、前提レコード分521を参照しながら、前提レコード分521との間に存在する対応関係を保つように匿名化する方法について説明する。
===匿名化装置100===
匿名化装置100は、データセット510の中から、複数の結論レコード(結論レコード群、第1のレコード群とも呼ばれる)を抽出し、更に対応関係の抽象度に基づいて、その結論レコード群から複数の結論レコードを抽出する。ここで、その結論レコード群を構成するその複数の結論レコードは、その結論レコード群において第2のl−多様性を充足可能な複数の結論レコードであり、かつ、それらの結論レコードのそれぞれと組を成す複数の前提レコード(前提レコード群、第1のレコード群とも呼ばれる)において第1のl−多様性を充足可能であるような、複数の結論レコードである。
次に、匿名化装置100は、それらの抽出された複数の結論レコードから、結論レコードからなる結論匿名グループデータセット(匿名グループデータセットとも呼ばれる)を生成し、出力する。ここで、その結論レコードは、第2のl−多様性を充足し、かつ『それらの抽出された複数の結論レコード』との対応関係がある第1のレコード群に対して第1のl−多様性を充足する匿名化が可能なレコードである。
また、匿名化装置100は、前提匿名グループデータセットに含まれる前提レコードのそれぞれ及び匿名グループデータセットに含まれる結論レコードのそれぞれに対して、それらの前提レコードと結論レコードとの対応関係を付与するようにしてもよい。ここで、その前提匿名グループデータセットは、結論匿名グループデータセットに含まれる結論レコードのそれぞれと組を成す複数の前提レコードが匿名化された、データセットである。
===匿名化情報記憶部600===
匿名化情報記憶部600は、匿名化装置100が出力する、前提匿名グループデータセット及び結論匿名グループデータセットを含む、匿名グループデータセットを記憶する。
図6は、前提匿名グループデータセット611の一例を示す図である。図7は、結論匿名グループデータセット612の一例を示す図である。
図6及び図7に示すように、前提匿名グループデータセット611及び結論匿名グループデータセット612のレコードのそれぞれは、固有識別子に替えて、グループ識別子及び関連識別子を含む。尚、図6において、点線枠で囲ったその固有識別子は、前提レコード分521のレコードのそれぞれと、前提匿名グループデータセット611のレコードのそれぞれとの関連を判りやすくするために記載したものである。従って、その固有識別子は、前提匿名グループデータセット611には含まれない。尚、図7において点線枠で囲ったその固有識別子も、同様に結論匿名グループデータセット612には含まれない。
そのグループ識別子は、ある前提匿名グループに含まれる複数の前提レコードに同一に付与された識別子である。同様に、そのグループ識別子は、ある結論匿名グループに含まれる複数の結論レコードに同一に付与された識別子である。関連識別子は、同一の固有識別子を有する他方のレコードの、グループ識別子である。即ち、同一のそのグループ識別子に対応する複数の前提レコードは、一つの前提匿名グループを形成する。同様に、同一のグループ識別子に対応する複数の結論レコードは、一つの結論匿名グループを形成する。
尚、前提匿名グループデータセット611及び結論匿名グループデータセット612のレコードのそれぞれは、これらの固有識別子を含んでもよい。その場合、匿名化情報記憶部600は、外部からの前提匿名グループデータセット611及び結論匿名グループデータセット612の取得要求に対して、それらの固有識別子を削除して出力するようにしてもよい。
以上が、匿名化装置100の動作の概要の説明である。
次に、匿名化装置100が備える各構成要素について、詳細に説明する。尚、図1に示す構成要素は、ハードウェア単位の構成要素でも、コンピュータ装置の機能単位に分割した構成要素でもよい。ここでは、図1に示す構成要素は、コンピュータ装置の機能単位に分割した構成要素として説明する。
===レコード抽出部110===
レコード抽出部110は、遷移ベクトルを生成する。例えば、その遷移ベクトルは、前提レコードに含まれる第1の属性(以下、前提属性と呼ぶ)の属性値毎の、結論レコードに含まれる第2の属性(以下、結論属性と呼ぶ)の各属性値が、その前提レコードと組を成す結論レコードに出現する頻度を要素とするベクトルである。換言すると、その遷移ベクトルは、前提属性の属性値毎の、結論属性の各属性値の出現頻度を要素とするベクトルである。ここで、前提属性は、前提レコードに含まれる第1の属性である。また、結論属性は、結論レコードに含まれる第2の属性である。その出現頻度は、結論属性の各属性値が、その前提レコードと組みを成す、その結論レコードに出現する頻度前提レコードと組みをなす。
具体的には、レコード抽出部110は、図4に示す前提レコード分521及び図5に示す結論レコード分522を参照して次のように遷移ベクトルを算出する。
前提レコードに含まれる前提属性は、図4に示す前提レコード分521の前提レコードの、病名の属性である。また、結論レコードに含まれる結論属性は、図5に示す結論レコード分522のレコードの、病名の属性である。
例えば、病名の属性値が「U」のその前提レコードは、固有識別子が「1」、「13」、「27」、「39」、「14」、「26」、「28」、「29」、「38」、「11」及び「12」の前提レコード群のレコードである。これらの前提レコードと組を成す結論レコードは、同一の固有識別子「1」、「13」、「27」、「39」、「14」、「26」、「28」、「29」、「38」、「11」及び「12」を有する結論レコードである。
次に、レコード抽出部110は、これらの結論レコードに含まれる病名の属性として出現する属性値の出現頻度を算出する。ここでその属性値は、4回出現の「A」、3回出現の「B」、2回出現の「C」及び2回出現の「D」である。従って、それぞれのその出現頻度は、「A」が0.37(=4÷11)、「B」が0.28(=3÷11)、「C」が0.19(=2÷11)及び「D」が0.19(=2÷11)である。また、その結論レコードの病名の属性の属性値である「E」及び「F」は、病名の属性値が「U」の前提レコードと組を成す結論レコードには出現しない。従って、「E」及び「F」のそれぞれの出現頻度は、いずれも「0」である。
以上より、レコード抽出部110は、その属性値の「U」についての遷移ベクトルtrを、以下のとおり生成する。
tr=(0.37,0.28,0.19,0.19,0.00,0.00)
同様にして、レコード抽出部110は、属性値の「V」、「W」、「X」、「Y」及び「Z」のそれぞれの、遷移ベクトルtr、tr、tr、tr及びtrを以下のとおり生成する。
tr=(0.22,0.44,0.22,0.11,0.00,0.00)
tr=(0.22,0.33,0.33,0.11,0.00,0.00)
tr=(0.20,0.20,0.00,0.20,0.40,0.00)
tr=(0.00,0.00,0.00,0.67,0.33,0.00)
tr=(0.00,0.00,0.00,0.00,0.00,1.00)
次に、レコード抽出部110は、これらの遷移ベクトル間の類似度を算出する。レコード抽出部110は、それらの遷移ベクトルのいずれか2つの遷移ベクトルが、結論レコード群において第2のl−多様性を充足可能である場合、それらの遷移ベクトル同士の類似度として、それらの遷移ベクトルの内積を算出する。尚、レコード抽出部110は、ベクトル間の類似性を表現する類似度、ベクトル間の非類似性を表現する距離であれば、内積に限らず、例えばユークリッド距離などを距離として算出してもよい。また、レコード抽出部110は、それらの遷移ベクトルのいずれか2つの遷移ベクトルが、結論レコード群において第2のl−多様性を充足可能でない場合、それらの遷移ベクトル同士の類似度を「0」とする。
ここで、「2つの遷移ベクトルが、結論レコード群において第2のl−多様性を充足可能」とは、2つの遷移ベクトルそれぞれに対応する結論レコードの、結論属性の結論属性値が、第2のl−多様性のl種類(例えば、2種類)以上、共起していることである。即ちそれは、2つの遷移ベクトルそれぞれに対応する結論レコードのそれぞれ同士で同一である、結論属性の結論属性値が、第2のl−多様性のl種類(例えば、2種類)以上、存在することである。
具体的には、レコード抽出部110は、遷移ベクトルtrと遷移ベクトルtrとの類似度sim(U、V)を、遷移ベクトルtrと遷移ベクトルtrの内積である「0.26」と算出する。同様に、レコード抽出部110は、他の類似度を以下のとおり算出する。
sim(U、W)=0.25
sim(U、X)=0.16
sim(U、Y)=0.12
sim(U、Z)=0.00
sim(V、W)=0.28
sim(V、X)=0.16
sim(V、Y)=0.07
sim(V、Z)=0.00
sim(W、X)=0.13
sim(W、Y)=0.07
sim(W、Z)=0.00
sim(X、Y)=0.27
sim(X、Z)=0.00
sim(Y、Z)=0.00
次に、レコード抽出部110は、類似度の大きい遷移ベクトルの順(即ち抽象度が小さい順)に、第1のl−多様性の種類数のその遷移ベクトルに対応する、前提属性値を含む前提レコードと、その前提レコードと組を成す結論レコードと、を抽出する。尚、「第1のl−多様性の種類数のその遷移ベクトルに対応する」は、「対応関係を持つ前提レコード群(第2のレコードと組を成す第1のレコードから成る、第1のレコード群)において第1のl−多様性を充足可能である」と言われることもある。
また、レコード抽出部110は、上述の結論レコードのみを抽出するようにしてもよい。この場合、レコード抽出部110は、以後の処理において、抽出した結論レコードの固有識別子に基づいて、データセット510の前提レコードを参照するようにしてもよい。
具体的には、レコード抽出部110は、以下のようにして前提レコードと結論レコードとの組を抽出する。その抽出される前提レコードと結論レコードとの組は、抽象度が小さくなるように抽出されればよく、その順序はいかなる順序であってもよい。
ここで、前提レコードと結論レコードとの組の抽出の一例を示す。「U」、「V」、「W」、「X」及び「Y」のそれぞれの前提属性値に対応する、その類似度の合計のそれぞれは、「0.80」、「0.78」、「0.74」、「0.72」及び「0.54」である。そこで、レコード抽出部110は、その類似度の合計が最大である、「U」の前提属性値に対応する遷移ベクトルtr、を選択する。次に、レコード抽出部110は、遷移ベクトルtrとのその類似度が大きい順に、遷移ベクトルtr及び遷移ベクトルtrを選択する。
これらに対応する前提レコードと、その前提レコードと組を成す結論レコードとは、固有識別子が「1」、「13」、「27」、「39」、「14」、「26」、「28」、「29」、「38」、「11」、「12」、「2」、「25」、「10」、「15」、「16」、「30」、「24」、「31」、「3」、「32」、「37」、「4」、「22」、「23」、「9」、「17」、「36」及び「33」のレコードである。レコード抽出部110は、これらのレコードを抽出する。
図8は、上述のようにしてレコード抽出部110が抽出した、抽出レコード群530の一例を示す図である。図8は、組を成す前提レコード及び結論レコードのそれぞれが抽出前提レコード群531及び抽出結論レコード群532のそれぞれに含まれるレコードとして、抽出レコード群530を示す図である。
図9は、図8に示す抽出レコード群530について、前提属性値が同一の前提レコード毎に、結論レコードを纏めた抽出結論レコード群532の一例を表す図である。尚、図9において、結論レコード5321の上段に固有識別子(例えば、「1」)を記し、下段に前提属性値と結論属性値と(例えば、「U−A」)を記す。以降の図11、図13、図15、図18、図19、図20及び図21も同様である。
図9に示すように、例えば、前提属性値が「U」の前提レコードに対応する、結論レコードは、固有識別子が「1」、「13」、「27」、「39」、「14」、「26」、「28」、「29」、「38」、「11」、「12」のレコードである。
===匿名グループ生成部120===
匿名グループ生成部120は、抽出レコード群530から、前提属性値が同一の前提レコード毎に、前提レコードと結論レコードとの組を抽出する。その抽出の際、匿名グループ生成部120は、その前提属性値が同一の前提レコードに対応する、結論属性値が同一の結論レコードの数が共通になるように、その前提レコードとその結論レコードとの組を抽出する。即ち、匿名グループ生成部120は、その前提属性値が同一の前提レコード毎に対応する、その結論属性値が同一のその結論レコードの数の最小値の分だけ、前提レコードと結論レコードとの組を抽出する。
また、匿名グループ生成部120は、上述の結論レコードのみを抽出するようにしてもよい。この場合、匿名グループ生成部120は、以後の処理において、抽出した結論レコードの固有識別子に基づいて、データセット510の前提レコードを参照するようにしてもよい。
例えば、匿名グループ生成部120は、前提属性値が「U」、「V」及び「W」それぞれの結論属性値が「A」の結論レコードの数を比較して、最小値が2であると判定する。
その最小値が2であることに基づいて、匿名グループ生成部120は、前提属性値が同一の前提レコード毎に、前提レコードと結論レコードとの組を2個ずつ抽出する。例えば、前提属性値が「U」である前提レコードと、それらに対する結論属性値が「A」である結論レコードとの組は、固有識別子が「1」、「13」、「27」及び「39」の、前提レコードと結論レコードとの組である。そこで、匿名グループ生成部120は、例えば、固有識別子が「1」及び「13」の、前提レコードと結論レコードとの組を抽出する。
図10は、組を成す前提レコード及び結論レコードのそれぞれを共通部分前提レコード群541及び共通部分結論レコード群542のそれぞれに含まれるレコードとして、共通部分レコード群540の一例を示す図である。共通部分レコード群540は、図8に示す抽出レコード群530から抽出された、前提レコードと結論レコードとの組から成る。ここで、その前提レコードと結論レコードとは、前提属性値が同一の前提レコード毎に対応する結論レコード群が共通になるように抽出される。即ち、共通部分レコード群540は、前述のように抽出された前提レコード及び結論レコードのそれぞれを、共通部分前提レコード群541及び共通部分結論レコード群542として含む。
図11は、図10に示す共通部分レコード群540について、前提属性値が同一の前提レコード毎に、結論レコードを纏めた共通部分結論レコード群542の一例を表す図である。
図11に示すように、例えば、前提属性値が「U」、「V」及び「W」のそれぞれの前提レコードに対応する、結論属性値が「A」の結論レコードの数は、いずれも2つである。
図12は、図10の共通部分レコード群540を、共通部分前提レコード群541の結論属性でソートした状態で、結論ソートレコード群550として示す図である。図12に示す結論ソートレコード群550は、匿名化装置100が生成するものではなく、説明の便宜上示す図である。図12は、結論属性でソートされた状態の、組を成す前提レコードと結論レコードとの組のそれぞれが結論ソート前提レコード群551及び結論ソート結論レコード群552のそれぞれに含まれるレコードとして、結論ソートレコード群550(共通部分レコード群540)を示す。
図13は、図10に示す共通部分結論レコード群542を、図12に示す結論ソート結論レコード群552にソートしたように、結論属性値が同一の結論レコードを纏めた結論ソート結論レコード群552(共通部分結論レコード群542)の一例を表す図である。
図13に示すように、例えば、結論属性値が「A」の結論レコードは、前提属性値が「U」、「V」及び「W」のそれぞれの前提レコードに対応する2組の組み合わせ(以後、組み合わせCと呼ぶ)を形成する。それらの2組の組み合わせCは、固有識別子が、例えば「1」、「2」及び「32」の組み合わせと、「13」、「25」及び「37」の組み合わせとである。尚、組み合わせCは、前提属性値が「U」、「V」及び「W」のそれぞれの前提レコードに対応する組み合わせであれば、任意の組み合わせであってよい。即ち、組み合わせCは、第1のl−多様性を充足する前提レコードに対応する組み合わせである。
次に、匿名グループ生成部120は、共通部分結論レコード群542を利用して、第2のl−多様性を満たす結論匿名グループにグループ分けされた結論レコードから成る、匿名グループ結論レコード群562を生成する。
例えば、匿名グループ生成部120は、結論ソート結論レコード群552から、結論属性値が「B」の組み合わせCと結論属性値が「A」の組み合わせCとを選択して結論匿名グループを生成し、これにグループ識別子(例えば、「201」)を付与する。この際、匿名グループ生成部120は、組み合わせCの残数が結論属性値毎にできるだけ均一になるように、組み合わせCを選択してもよい。
図14は、共通部分結論レコード群542を利用して生成された、匿名グループ結論レコード群562の一例を示す図である。尚、図中の点線枠で囲った前提レコード群は、結論レコードと前提レコードとの関連を判りやすくするために記載したものであり、匿名グループ結論レコード群562には含まれない。
図15は、図14に示す匿名グループ結論レコード群562について、グループ識別子毎に結論レコードを纏めた、匿名グループ結論レコード群562の一例を表す図である。
次に、匿名グループ生成部120は、匿名グループ結論レコード群562の各グループ(グループ識別子が同一の結論レコードの集合)毎に、結論属性以外の準識別子の属性値(ここでは、年齢の属性値)を汎化(同一の値に変換)し、図7に示す結論匿名グループデータセット612を生成し、結論匿名グループデータセット(第2の匿名グループデータセット)として出力する。尚、図7に示す結論匿名グループデータセット612はグループ識別子でソートされているが、匿名グループ生成部120が出力する結論匿名グループデータセットの結論レコードは任意の並び順であってよい。
尚、匿名グループ生成部120は、結論属性以外の準識別子の属性値(ここでは、診療月及び年齢の属性値)を汎化する必要がない場合(例えば、結論レコードがこれらの属性を含んでいない場合)、匿名グループ結論レコード群562をそのまま、結論匿名グループデータセットとして出力するようにしてもよい。
以上は、結論レコードからなる結論匿名グループデータセットの生成についての説明である。
次に、前提レコードからなる前提匿名グループデータセットの生成について説明する。尚、その前提匿名グループデータセットは、以下の方法に限らず、他の匿名化装置や方法によって生成されていてもよい。
匿名グループ生成部120は、図10に示す共通部分前提レコード群541を利用して、図6に示す前提匿名グループデータセット611を生成し、出力する。
具体的には、匿名グループ生成部120は、共通部分前提レコード群541の先頭から第1のl−多様性の種類数の前提属性値に対応する前提レコードの組み合わせ(例えば、固有識別子が「1」、「2」及び「32」の前提レコードの組み合わせ)を順次抽出する。そして、匿名グループ生成部120は、その抽出した組み合わせのそれぞれに、グループ識別子(例えば、「101」)を付与する。即ち、その抽出した組み合わせのそれぞれは、前提匿名グループを形成する。
次に、匿名グループ生成部120は、同一のグループ識別子を付与した前提レコードのそれぞれの、前提属性以外の準識別子の属性値(ここでは、年齢の属性値)を汎化(同一の値に変換)する。
更に、匿名グループ生成部120は、同一の固有識別子を有する結論レコードのグループ識別子を関連識別子とし、図6に示す前提匿名グループデータセット611を生成する。
以上が、前提レコードからなる前提匿名グループデータセットの生成についての説明である。
以上が、匿名化装置100の機能単位の各構成要素についての説明である。
次に、匿名化装置100のハードウェア単位の構成要素について説明する。
図16は、本実施形態に係る匿名化装置100を実現するコンピュータ700のハードウェア構成を示す図である。
図16に示すように、コンピュータ700は、CPU(Central Processing Unit)701、記憶部702、記憶装置703、入力部704、出力部705及び通信部706を含む。更に、コンピュータ700は、外部から供給される記録媒体(または記憶媒体)707を含む。記録媒体707は、情報を非一時的に記憶する不揮発性記録媒体であってもよい。
CPU701は、オペレーティングシステム(不図示)を動作させて、コンピュータ700の、全体の動作を制御する。また、CPU701は、例えば記憶装置703に装着された記録媒体707から、プログラムやデータを読み込み、読み込んだプログラムやデータを記憶部702に書き込む。ここで、そのプログラムは、例えば、後述の図17に示すフローチャートの動作をコンピュータ700に実行させるプログラムである。
そして、CPU701は、読み込んだプログラムに従って、また読み込んだデータに基づいて、図1に示すレコード抽出部110及び匿名グループ生成部120として各種の処理を実行する。
尚、CPU701は、通信網(不図示)に接続されている外部コンピュータ(不図示)から、記憶部702にプログラムやデータをダウンロードするようにしてもよい。
記憶部702は、プログラムやデータを記憶する。記憶部702は、データセット510、抽出レコード群530、共通部分レコード群540、匿名グループ結論レコード群562、前提匿名グループデータセット611及び結論匿名グループデータセット612などを記憶してもよい。また、記憶部702は、履歴情報記憶部500及び匿名化情報記憶部600を含んでよい。
記憶装置703は、例えば、光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク及び半導体メモリであって、記録媒体707を含む。記憶装置703(記録媒体707)は、プログラムをコンピュータ読み取り可能に記憶する。また、記憶装置703は、データを記憶してもよい。記憶装置703は、記憶部702と同様のデータを記憶してもよい。また、記憶装置703は、履歴情報記憶部500及び匿名化情報記憶部600を含んでよい。
入力部704は、例えばマウスやキーボード、内蔵のキーボタンなどで実現され、入力操作に用いられる。入力部704は、マウスやキーボード、内蔵のキーボタンに限らず、例えばタッチパネル、加速度計、ジャイロセンサ、カメラなどでもよい。
出力部705は、例えばディスプレイで実現され、出力を確認するために用いられる。
通信部706は、外部とのインタフェースを実現する。通信部706は、レコード抽出部110及び匿名グループ生成部120の一部として含まれる。
以上説明したように、図1に示す匿名化装置100の機能単位のブロックは、図2に示すハードウェア構成のコンピュータ700によって実現される。但し、コンピュータ700が備える各部の実現手段は、上記に限定されない。すなわち、コンピュータ700は、物理的に結合した1つの装置により実現されてもよいし、物理的に分離した2つ以上の装置を有線または無線で接続し、これら複数の装置により実現されてもよい。
尚、上述のプログラムのコードを記録した記録媒体707が、コンピュータ700に供給され、CPU701は、記録媒体707に格納されたプログラムのコードを読み出して実行するようにしてもよい。或いは、CPU701は、記録媒体707に格納されたプログラムのコードを、記憶部702、記憶装置703またはその両方に格納するようにしてもよい。すなわち、本実施形態は、コンピュータ700(CPU701)が実行するプログラム(ソフトウェア)を、一時的にまたは非一時的に、記憶する記録媒体707の実施形態を含む。
以上が、本実施形態における匿名化装置100を実現するコンピュータ700の、ハードウェア単位の各構成要素についての説明である。
次に本実施形態の動作について、図1〜図17を参照して詳細に説明する。
図17は、本実施形態の動作を示すフローチャートである。尚、このフローチャートによる処理は、前述したCPUによるプログラム制御に基づいて、実行されても良い。また、処理のステップ名については、S601のように、記号で記載する。
レコード抽出部110は、遷移ベクトルを生成する(S601)。
次に、レコード抽出部110は、遷移ベクトル間の類似度を算出する(S602)。
次に、レコード抽出部110は、類似度の大きい遷移ベクトルの順に、第1のl−多様性の種類数のその遷移ベクトルに対応する、前提属性値を含む前提レコードと、その前提レコードと組を成す結論レコードと、を抽出し、抽出レコード群530として出力する(S603)。
次に、匿名グループ生成部120は、抽出レコード群530から、前提属性値が同一の前提レコード毎に、「それらの前提レコードに対応する、結論属性値が同一の結論レコードの数が共通」になるように、共通部分レコード群540として、前提レコードと結論レコードとの組を抽出する(S604)。
次に、匿名グループ生成部120は、共通部分結論レコード群542を利用して、第2のl−多様性を満たす結論匿名グループにグループ分けされた結論レコードから成る匿名グループ結論レコード群562を生成する(S606)。
次に、匿名グループ生成部120は、匿名グループ結論レコード群562のグループ毎に、結論属性以外の準識別子の属性値を汎化し、結論匿名グループデータセット612を生成し、結論匿名グループとして出力する(S607)。
次に、匿名グループ生成部120は、前提レコードのグループ化を行う。匿名グループ生成部120は、共通部分前提レコード群541の先頭から第1のl−多様性の種類数の前提属性値に対応する前提レコードの組み合わせを順次抽出し、その抽出した組み合わせのそれぞれにグループ識別子を付与する(S608)。
但し、前提レコードのグループ化は、この方法によらず、様々な方法を用いてよい。例えば、ここでの前提レコードを結論レコードとし、他のレコード群を前提レコードとして、ここでの前提レコードがグループ化されていてもよい。
次に、匿名グループ生成部120は、同一のグループ識別子を付与した前提レコードそれぞれの、前提属性以外の準識別子の属性値を汎化する(S609)。
次に、匿名グループ生成部120は、同一の固有識別子を有する結論レコードのグループ識別子を関連識別子として、図6に示す前提匿名グループデータセット611を生成し、出力する(S610)。
<<<本実施形態の第1の変形例>>>
匿名グループ生成部120は、図17に示す動作において出力された前提匿名グループデータセット(第1の匿名グループデータセット)と結論匿名グループデータセット(第2の匿名グループデータセット)とに、対応関係の抽象化が発生しないように追加可能な、残レコードを追加する。ここで、その残レコードは、その結論匿名グループデータセットに含まれる結論レコードの有する固有識別子以外の、他の固有識別子を有する結論レコードである。
図を用いて、具体的な例を説明する。
図18は、図5に示す結論レコード分522から、図7に示す結論匿名グループデータセット612を除いた残レコード570の一例を示す図である。
匿名グループ生成部120は、特定の結論匿名グループに対して、以下の条件に合致する、複数の前提レコードと結論レコードとの組を追加する。第一の条件は、その複数の前提レコードが、その特定の結論匿名グループに含まれる結論レコードと組を成す、いずれの前提レコードの前提属性値とも異なる、同一の前提属性値を有することである。第2の条件は、その複数の結論レコードが、その特定の結論匿名グループに含まれる前提レコードのそれぞれの、前提属性値の全ての種類を含むことである。
例えば、匿名グループ生成部120は、図17に示すステップS606の次に、特定の結論匿名グループとして、グループ識別子が「201」のグループを選択する。
更に、匿名グループ生成部120は、前提属性値が「U」、「V」及び「W」以外の前提属性値に対応し、結論属性値が「A」及び「B」を有する結論レコードを残レコード570から抽出する。
次に、匿名グループ生成部120は、抽出した結論レコードに「201」のグループ識別子を付与する。
次に、匿名グループ生成部120は、図7に示すステップS607以降の処理を、抽出した結論レコードとそれに対応する前提レコードを含めて、実行する。
図19は、上述のようにして形成された、グループ識別子が「201」の結論匿名グループの一例を、模式的に示す図である。図19に示すように、匿名化前の固有識別子毎の対応関係は8種類である。また、これらの結論レコードが全て同じグループ識別子のもとにグループ化された場合、即ち前提属性値と結論属性値とを任意に入れ替え可能とされた場合、やはり対応関係は8種類である。即ち、対応関係の抽象化は発生しない。
また、匿名グループ生成部120は、特定の結論匿名グループに対して、以下の条件に合致する、複数の前提レコードと結論レコードとの組を追加するようにしてもよい。第一の条件は、その複数の結論レコードが、その特定の結論匿名グループに含まれる結論レコードの結論属性値のいずれとも異なる、同一の結論属性値を有することである。第2の条件は、その複数の前提レコードのそれぞれが、その特定の結論匿名グループに含まれる結論レコードに対応する前提レコードのそれぞれの、前提属性値の全ての種類を含むことである。
図20は、上述の条件に基づいて形成された結論匿名グループの一例を模式的に示す図である。
<<<本実施形態の第2の変形例>>>
匿名グループ生成部120は、残レコードから、第1のl−多様性及び第2のl−多様性のそれぞれを充足する匿名化が可能な、前提レコードからなる前提匿名グループ及び結論レコードからなる結論匿名グループのそれぞれを生成する。ここで、その残レコードは、図17に示す動作において出力された結論匿名グループデータセットに含まれる結論レコードの有する固有識別子以外の、固有識別子を有する結論レコードである。
図21は、残レコード570から生成した結論匿名グループの一例を示す図である。図21に示すように、上述のようにして生成された結論匿名グループは、第2のl−多様性を充足し、それらの結論レコードに対応する前提レコードからなる匿名グループは、第1のl−多様性を充足する。但し、匿名化前の固有識別子毎の対応関係は5種類であるのに対し、グループ化された場合の対応関係は9種類である。従って、対応関係の抽象化が、発生する。
<<<本実施形態の第3の変形例>>>
上述の説明においては、レコード抽出部110及び匿名グループ生成部120は、診療月の属性値が「4月」のレコードを前提レコード(第1のレコード)とし、診療月の属性値が「5月」のレコードを結論レコード(第2のレコード)として、処理した。しかし、レコード抽出部110及び匿名グループ生成部120は、診療月の属性値が「5月」のレコードを前提レコード(第1のレコード)とし、診療月の属性値が「4月」のレコードを結論レコード(第2のレコード)としてもよい。
即ち、対応関係は、属性の物理的な性質に係わらず、任意の方向の対応関係であってよい。
<<<本実施形態の第4の変形例>>>
上述の説明においては、レコード抽出部110及び匿名グループ生成部120は、各動作におけるレコードの抽出及び選択を、前提属性値と結論属性値との関係のみを考慮して、図示されている順番で行うようにした。しかし、レコード抽出部110及び匿名グループ生成部120は、他の属性の匿名化(例えば、年齢の汎化)を考慮して、各動作におけるレコードの抽出及び選択を行う(例えば、年齢の属性値が近いレコードを同一のグループにする)ようにしてもよい。
<<<本実施形態の第5の変形例>>>
図7に示すステップS608からステップS610までの処理のそれぞれは、その順番を守った上で、ステップS604以降の、任意のタイミングで実行してもよい。
<<<本実施形態の第6の変形例]
匿名グループ生成部120は、前提匿名グループデータセットと結論匿名データセットとを別々に出力してもよいし、纏めて1つのデータセットとして出力してもよい。
<<<本実施形態の第7の変形例>>>
匿名グループ生成部120は、結論匿名グループデータセットの結論レコードに対して、対応する前提レコードのグループ識別子を、関連識別子として関連付けてもよい。この場合、匿名グループ生成部120は、前提レコードに関連識別子を関連付けないようにしてもよい。
<<<本実施形態の第8の変形例>>>
匿名グループ生成部120は、対応関係にある前提匿名グループの前提レコードと結論匿名グループの結論レコードとについてグループ識別子を一致させてもよい。この場合、匿名グループ生成部120は、前提レコード及び結論レコードに関連識別子を関連付けないようにしてもよい。
上述した本実施形態における第1の効果は、「同一の固有識別子を有するレコード間の対応関係」の情報を含むデータセットがl−多様性を充足するように匿名化を施された場合に、その対応関係の情報が曖昧になりすぎることを防止することが可能になる点である。
その理由は、以下のような構成を含むからである。即ち、第1にレコード抽出部110が、第1及び第2のl−多様性を充足可能であることと対応関係の抽象度とに基づいて、前提レコード及び結論レコードを抽出する。第2に、匿名グループ生成部120が、レコード抽出部110によって抽出された前提レコードを参照し、同じく抽出された結論レコードから第1のl−多様性と第2のl−多様性とを充足可能にするように結論レコードを抽出して結論匿名グループを生成する。
上述した本実施形態における第2の効果は、「同一の固有識別子を有するレコード間の対応関係」の情報を含むデータセットが、前提レコードと結論レコードとで異なるlの値のl−多様性を充足するように匿名化を施された場合にも、その対応関係の情報が曖昧になりすぎることを防止することが可能になる点である。
その理由は、第1の効果の理由と同じである。
上述した本実施形態における第3の効果は、データセットに含まれるレコードをより有効に利用することが可能になる点である。
その理由は、匿名グループ生成部120が、前提匿名グループデータセットと結論匿名グループデータセットとに、対応関係の抽象化が発生しないように追加可能な、残レコードを追加するようにしたからである。
上述した本実施形態における第4の効果は、データセットに含まれるレコードを、更に、より有効に利用することが可能になる点である。
その理由は、匿名グループ生成部120が、残レコードから、前提匿名グループ及び結論匿名グループのそれぞれを生成するようにしたからである。
上述した本実施形態における第5の効果は、データセットの匿名化を、利用価値が低くならないように施すことが可能になる点である。
その理由は、レコード抽出部110及び匿名グループ生成部120が、他の属性の匿名化を考慮して、各動作におけるレコードの抽出及び選択を、行うようにしたからである。
<<<第2の実施形態>>>
次に、本発明の第2の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図22は、本発明の第2の実施形態に係る匿名化装置200の構成を示すブロック図である。
図22に示す構成要素は、ハードウェア単位の構成要素ではなく、機能単位の構成要素を示している。尚、図22に示す構成要素は、ハードウェア単位の構成要素でも、コンピュータ装置の機能単位に分割した構成要素でもよい。ここでは、図1に示す構成要素は、コンピュータ装置の機能単位に分割した構成要素として説明する。
図22を参照すると、本実施形態に係る匿名化装置200は、第1の実施形態の匿名化装置100と比べて、遷移ベクトル抽出部230を更に含み、レコード抽出部110に替えてレコード抽出部210を含む。
===遷移ベクトル抽出部230===
遷移ベクトル抽出部230は、複数の遷移ベクトルについての類似度の算出対象を示す、算出対象情報を生成する。そして、遷移ベクトル抽出部230は、その算出対象情報をレコード抽出部210に出力する。
算出対象情報に含まれる算出対象を抽出する操作について具体的に説明する。
<<<第一の抽出操作>>>
遷移ベクトル抽出部230は、2つの遷移ベクトル間に、第2のl−多様性のl種類以上の、要素の共起が存在する場合、その2つの遷移ベクトルの組み合わせを算出対象として抽出する。
例えば、第2のl−多様性のlが「2」であるとする。また、遷移ベクトル抽出部230が処理の対処とする複数の遷移ベクトルを以下のとおりであるとする。
tr=(0.3, 0.2, 0.2, 0.0, 0.0, 0.0, 0.0,
0.1, 0.1, 0.0, 0.2)
tr=(0.2, 0.0, 0.2, 0.0, 0.0, 0.0, 0.0,
0.0, 0.1, 0.3, 0.2)
tr=(0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0,
0.1, 0.1, 0.2, 0.0)
tr=(0.0, 0.0, 0.1, 0.0, 0.2, 0.1, 0.1,
0.2, 0.2, 0.0, 0.0)
tr=(0.0, 0.0, 0.2, 0.1, 0.2, 0.0, 0.0,
0.0, 0.0, 0.0, 0.0)
tr=(0.0, 0.0, 0.0, 0.0, 0.0, 0.1, 0.2,
0.0, 0.0, 0.0, 0.0)
tr=(0.0, 0.0, 0.1, 0.2, 0.2, 0.0, 0.0,
0.0, 0.0, 0.0, 0.0)
この場合、遷移ベクトルtrと遷移ベクトルtrとは、1、3、9及び11番目の各要素が共起している。従って、遷移ベクトル抽出部230は、遷移ベクトルtrと遷移ベクトルtrとの組み合わせを算出対象として抽出する。
また、遷移ベクトルtrと遷移ベクトルtrとは、3番目の要素だけが共起している(共起している要素が1種類である)。従って、遷移ベクトル抽出部230は、遷移ベクトルtrと遷移ベクトルtrとの組み合わせを算出対象として抽出しない。
図23は、遷移ベクトル抽出部230が抽出した2つの遷移ベクトルの組み合わせの、一例を示す図である。図23は、各遷移ベクトルをノードとし、算出対象の2つのベクトルの組み合わせをエッジで示す。
以上のようにして、遷移ベクトル抽出部230は、例えば、以下に示す算出対象情報を生成する。
(tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr
<<<第二の抽出操作>>>
遷移ベクトル抽出部230は、ある遷移ベクトルについて、その遷移ベクトルとの類似度が「0」ではない他の遷移ベクトルが、第1のl−多様性のl種類の「l−1」個以上存在する場合、その遷移ベクトルと他の遷移ベクトルとの組み合わせを算出対象として抽出する。
尚、遷移ベクトル抽出部230は、類似度が遷移ベクトル間の内積である場合、それらの遷移ベクトルに対応する各要素間のそれぞれの、論理積をとることで遷移ベクトル間の類似度が「0」か否かを判定する。即ち、各要素間の論理積の全てが「0」の場合、遷移ベクトル抽出部230は、遷移ベクトル間の類似度が「0」であると判定する。各要素間の論理積のいずれかが「0」でない場合、遷移ベクトル抽出部230は、遷移ベクトル間の類似度が「0」でないと判定する。
例えば、第1のl−多様性のlが「3」であるとする。また、遷移ベクトル抽出部230が処理の対処とする複数の遷移ベクトルを第一の抽出操作で示した例のとおりであるとする。
この場合、遷移ベクトルtrについて、遷移ベクトルtrとの類似度が「0」でない他の遷移ベクトルは遷移ベクトルtr、遷移ベクトルtr及び遷移ベクトルtrである。従って、遷移ベクトル抽出部230は、遷移ベクトルtrと遷移ベクトルtr及び遷移ベクトルtrとの組み合わせを算出対象として抽出する。
また、遷移ベクトルtrについて、遷移ベクトルtrとの類似度が「0」でない他の遷移ベクトルは遷移ベクトルtrのみである。従って、遷移ベクトル抽出部230は、遷移ベクトルtrと他の遷移ベクトルとの組み合わせを算出対象として抽出しない。
図24は、遷移ベクトル抽出部230が抽出した2つの遷移ベクトルの組み合わせの、一例を示す図である。図24は、各遷移ベクトルをノードとし、算出対象の2つのベクトルの組み合わせをエッジで示す。
以上のようにして、遷移ベクトル抽出部230は、例えば、以下に示す算出対象情報を生成する。
(tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr
<<<第三の抽出操作>>>
遷移ベクトル抽出部230は、第1のl−多様性のl個のある遷移ベクトルについて、それらの遷移ベクトル間の類似度のいずれもが、「0」ではない場合、それらの遷移ベクトル間の組み合わせを算出対象として抽出する。
図25は、遷移ベクトル抽出部230が処理対象とする遷移ベクトル間の類似度が「0」か否かを示す模式図である。図25は、各遷移ベクトルをノードとし、ある2つの遷移ベクトル間の類似度が「0」でないことをエッジで示す。
例えば、第1のl−多様性のlが「3」の場合、遷移ベクトル抽出部230は、3個の遷移ベクトルtr、遷移ベクトルtr及び遷移ベクトルtrについて、それらの遷移ベクトル間の類似度のいずれもが、「0」ではない(エッジがある)ので、それらの遷移ベクトル間の組み合わせを算出対象として抽出する。また、遷移ベクトル抽出部230は、3個の遷移ベクトルtr、遷移ベクトルtr及び遷移ベクトルtrについて、遷移ベクトルtrと遷移ベクトルtrとの類似度が「0」であるので、それらの遷移ベクトル間の組み合わせを、算出対象として抽出しない。
以上のようにして、遷移ベクトル抽出部230は、例えば、以下に示す算出対象情報を生成する。
(tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr
また、同様にして、第1のl−多様性のlが「4」の場合、遷移ベクトル抽出部230は、以下に示す算出対象情報を生成する。
(tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr 、tr−tr
以上が、算出対象情報に含まれる算出対象を抽出する操作の説明である。
尚、遷移ベクトル抽出部230は、上述の第一、二及び三の抽出操作を単独でも、任意に組み合わせてでも、実行してよい。
===レコード抽出部210===
レコード抽出部210は、生成した遷移ベクトルを遷移ベクトル抽出部230に出力する。そして、レコード抽出部210は、遷移ベクトル抽出部230からその抽出した結果を受け取る。
例えば、レコード抽出部210は、図17に示すステップS601に続けて、生成した遷移ベクトルを遷移ベクトル抽出部230に出力する。そして、レコード抽出部210は、遷移ベクトル抽出部230からその抽出した結果を受け取ると、ステップS602以後の動作を実行する。
尚、レコード抽出部210は、図17に示すステップS603に続けて、利用済みの遷移ベクトルを除いた遷移ベクトルを遷移ベクトル抽出部230に出力するようにしてもよい。この場合、レコード抽出部210は、遷移ベクトル抽出部230からその抽出した結果を受け取ると、再度ステップS602から以後の動作を実行するようにしてもよい。ここで、利用済みの遷移ベクトルは、ステップS603において抽出した前提レコードに対応する遷移ベクトルである。
図26は、レコード抽出部210が出力する、利用済みの遷移ベクトルを除いた遷移ベクトルの一例を示す図である。例えば、レコード抽出部210は、図17のステップS603において、3個の遷移ベクトルtr、遷移ベクトルtr及び遷移ベクトルtrを利用したとする。この場合、レコード抽出部210は、3個の遷移ベクトルtr、遷移ベクトルtr及び遷移ベクトルtrを除いた、遷移ベクトルtr、遷移ベクトルtr、遷移ベクトルtr及び遷移ベクトルtrを遷移ベクトル抽出部230に出力する。
図27は、遷移ベクトル抽出部230が、レコード抽出部210から受け取った遷移ベクトルについて、算出対象として抽出する遷移ベクトル間の組み合わせを示す図である。この場合、遷移ベクトル抽出部230は、以下に示す算出対象情報を生成する。
(tr−tr 、tr−tr 、tr−tr
上述した本実施形態における第1の効果は、第1の実施形態の効果に加えて、効率よく匿名化することが可能になる点である。
その理由は、遷移ベクトル抽出部230が複数の遷移ベクトルについての類似度の算出対象を示す算出対象情報を生成し、レコード抽出部210がその算出対象情報に基づいて、類似度を算出するようにしたからである。即ち、必要のない類似度について、その算出処理を実行しないようにしたからである。
また、レコード抽出部210が、利用済みの遷移ベクトルを除いた遷移ベクトルを遷移ベクトル抽出部230に出力し、算出対象情報を取得するようにしたので、更に匿名化を効率化することが可能になる。
以上の各実施形態で説明した各構成要素は、必ずしも個々に独立した存在である必要はない。例えば、各構成要素は、複数の構成要素が1個のモジュールとして実現されてよい。また、各構成要素は、1つの構成要素が複数のモジュールで実現されてもよい。また、各構成要素は、ある構成要素が他の構成要素の一部であるような構成であってよい。また、各構成要素は、ある構成要素の一部と他の構成要素の一部とが重複するような構成であってもよい。
以上説明した各実施形態における各構成要素及び各構成要素を実現するモジュールは、必要に応じ、可能であれば、ハードウェア的に実現されてよい。また、各構成要素及び各構成要素を実現するモジュールは、コンピュータ及びプログラムで実現されてよい。また、各構成要素及び各構成要素を実現するモジュールは、ハードウェア的なモジュールとコンピュータ及びプログラムとの混在により実現されてもよい。
そのプログラムは、例えば、磁気ディスクや半導体メモリなど、不揮発性のコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られる。この読み取られたプログラムは、そのコンピュータの動作を制御することにより、そのコンピュータを前述した各実施形態における構成要素として機能させる。
また、以上説明した各実施形態では、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障しない範囲で変更することができる。
更に、以上説明した各実施形態では、複数の動作は個々に相違するタイミングで実行されることに限定されない。例えば、ある動作の実行中に他の動作が発生したり、ある動作と他の動作との実行タイミングが部分的に乃至全部において重複していたりしていてもよい。
更に、以上説明した各実施形態では、ある動作が他の動作の契機になるように記載しているが、その記載はある動作と他の動作との全ての関係を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の関係は内容的に支障のない範囲で変更することができる。また各構成要素の各動作の具体的な記載は、各構成要素の各動作を限定するものではない。このため、各構成要素の具体的な各動作は、各実施形態を実施する上で機能的、性能的、その他の特性に対して支障をきたさない範囲内で変更されて良い。
以上、各実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2012年9月26日に出願された日本出願特願2012−212454を基礎とする優先権を主張し、その開示の全てをここに取り込む。
100 匿名化装置
101 匿名化システム
110 レコード抽出部
120 匿名グループ生成部
210 レコード抽出部
230 遷移ベクトル抽出部
500 履歴情報記憶部
510 データセット
521 前提レコード分
522 結論レコード分
530 抽出レコード群
531 抽出前提レコード群
532 抽出結論レコード群
540 共通部分レコード群
541 共通部分前提レコード群
542 共通部分結論レコード群
550 結論ソートレコード群
551 結論ソート前提レコード群
552 結論ソート結論レコード群
562 匿名グループ結論レコード群
570 残レコード
600 匿名化情報記憶部
611 前提匿名グループデータセット
612 結論匿名グループデータセット
700 コンピュータ
701 CPU
702 記憶部
703 記憶装置
704 入力部
705 出力部
706 通信部
707 記録媒体
5321 結論レコード

Claims (14)

  1. 固有識別子及び少なくとも1つの第1の属性を含む第1のレコードと、前記固有識別子と同一の固有識別子及び少なくとも1つの第2の属性を含む第2のレコードと、の組が複数件含まれるデータセットの中から、複数の前記第2のレコードを含む第2のレコード群において第2のl−多様性を充足可能であること、前記第2のレコード群に含まれる第2のレコードと組を成す前記第1のレコードから成る前記第1のレコード群において第1のl−多様性を充足可能であること、及び前記第1のレコードと前記第2のレコードとの間に存在する対応関係の抽象度に基づいて、複数の前記第2のレコードを抽出するレコード抽出手段と、
    前記レコード抽出手段によって抽出された前記第2のレコードからなる匿名グループデータセットを、前記匿名グループデータセットにおいて前記第2のl−多様性を充足可能であり、かつ前記匿名グループデータセットに含まれる第2のレコードと組を成す前記第1のレコードからなる第1のレコード群において前記第1のl−多様性を充足可能であるように、生成し、出力する匿名グループ生成手段と、を備える
    情報処理装置。
  2. 前記匿名グループ生成手段は、更に、前記匿名グループデータセット及び前記匿名グループデータセットに含まれる第2のレコードのそれぞれと組を成す複数の前記第1のレコードが匿名化された前提匿名グループデータセットに対し、前記匿名グループデータセットに含まれる第2のレコードと前記前提匿名グループデータセットに含まれる第1のレコードとの前記対応関係を示す情報を付与して出力する
    ことを特徴とする請求項1記載の情報処理装置。
  3. 前記レコード抽出手段は、
    前記第1のレコードに含まれる前記第1の属性の属性値毎の、前記第2のレコードに含まれる第2の属性の各第2の属性値が、前記第1のレコードと前記組を成す前記第2のレコードに出現する頻度を要素とする遷移ベクトルを生成し、
    2つの前記遷移ベクトルのそれぞれに対応する前記第2のレコードのそれぞれ同士で同一である前記第2の属性の第2の属性値の数が、前記第2のl−多様性の種類数未満である前記遷移ベクトル間の類似度を最低値の0として、前記遷移ベクトル間の類似度を算出し、
    前記類似度が相対的に大きい順の、前記第1のl−多様性の種類数の前記遷移ベクトルのそれぞれに対応する前記第1の属性値を含む第1レコードと組を成す前記第2のレコードを、前記抽象度が相対的に小さい前記第2のレコードとして抽出する、
    ことを特徴とする請求項1または2記載の情報処理装置。
  4. 複数の前記遷移ベクトルについての前記類似度の算出対象を示す算出対象情報を生成し、前記算出対象情報を出力する遷移ベクトル抽出手段を更に含み、
    前記レコード抽出手段は、前記生成した遷移ベクトルを前記遷移ベクトル抽出手段に出力し、前記遷移ベクトル抽出手段から前記算出対象情報を取得する
    ことを特徴とする請求項3記載の情報処理装置。
  5. 前記レコード抽出手段は、前記抽出した第1のレコードに対応する前記遷移ベクトルを除いた、前記生成した遷移ベクトルを遷移ベクトル抽出手段に出力する
    ことを特徴とする請求項4記載の情報処理装置。
  6. 前記匿名グループ生成手段は、前記匿名グループデータセットに含まれる第2のレコードの第2の属性の属性値と、匿名化された前記第1のレコード群に含まれる第1のレコードの第1の属性の属性値との間の前記対応関係の種類の数が増加しないように、前記匿名グループデータセットを生成する、
    ことを特徴とする請求項1乃至5のいずれか1項に記載の情報処理装置。
  7. 前記匿名グループ生成手段は、更に、前記匿名グループデータセットに前記対応関係の抽象化が発生しないように追加可能な、前記匿名グループデータセットに含まれていない、前記第2のレコードを前記匿名グループデータセットに追加する、
    ことを特徴とする請求項6記載の情報処理装置。
  8. 前記匿名グループ生成手段は、更に、前記匿名グループデータセットに含まれていない前記第2のレコードから、前記第2のl−多様性を充足する匿名化が可能な前記第2のレコードの組であって、前記第2のl−多様性を充足する匿名化が可能な前記第2のレコードと組を成す前記第1のレコードの組において前記第1のl−多様性を充足可能である、前記第2のレコードの組を抽出し、前記匿名グループデータセットに追加する
    ことを特徴とする請求項6または7記載の情報処理装置。
  9. コンピュータが、
    固有識別子及び少なくとも1つの第1の属性を含む第1のレコードと、前記固有識別子と同一の固有識別子及び少なくとも1つの第2の属性を含む第2のレコードと、の組が複数件含まれるデータセットの中から、前記第2のレコードからなる第2のレコード群において第2のl−多様性を充足可能であること、前記第2のレコード群に含まれる第2のレコードと組を成す前記第1のレコードから成る前記第1のレコード群において第1のl−多様性を充足可能であること、及び前記第1のレコードと前記第2のレコードとの間に存在する対応関係の抽象度に基づいて、複数の前記第2のレコードを抽出し、
    前記抽出された前記第2のレコードからなる匿名グループデータセットを、前記匿名グループデータセットにおいて前記第2のl−多様性を充足可能であり、かつ前記匿名グループデータセットに含まれる第2のレコードと組を成す前記第1のレコードからなる第1のレコード群において前記第1のl−多様性を充足可能であるように、生成し、出力する
    匿名化方法。
  10. 前記第2のレコードの抽出は、
    前記第1のレコードに含まれる前記第1の属性の属性値毎の、前記第2のレコードに含まれる第2の属性の第2の各属性値が、前記第1のレコードと前記組を成す前記第2のレコードに出現する頻度を要素とする遷移ベクトルを生成し、
    2つの前記遷移ベクトルそれぞれに対応する第2のレコードのそれぞれ同士で同一である、前記第2の属性の第2の属性値の数が、前記第2のl−多様性の種類数未満である前記遷移ベクトル間の類似度を最低値の0として、前記遷移ベクトル間の類似度を算出し、
    前記類似度が相対的に大きい順の、前記第1のl−多様性の種類数の前記遷移ベクトルそれぞれに対応する前記第1の属性値を含む第1レコードと組を成す前記第2のレコードとを、前記抽象度が相対的に小さい前記第2のレコードとして抽出する、
    ことを特徴とする請求項9記載の匿名化方法。
  11. 前記コンピュータが、更に、複数の前記遷移ベクトルについての前記類似度の算出対象を示す算出対象情報を生成し、前記算出対象情報を出力し、
    前記第2のレコードの抽出において、前記生成した遷移ベクトルに対応する前記算出対象情報に基づいて、前記遷移ベクトル間の類似度を算出する
    ことを特徴とする請求項10記載の匿名化方法。
  12. 固有識別子及び少なくとも1つの第1の属性を含む第1のレコードと、前記固有識別子と同一の固有識別子及び少なくとも1つの第2の属性を含む第2のレコードと、の組が複数件含まれるデータセットの中から、前記第2のレコードからなる第2のレコード群において第2のl−多様性を充足可能であること、前記第2のレコード群に含まれる第2のレコードと組を成す前記第1のレコードから成る前記第1のレコード群において第1のl−多様性を充足可能であること、及び前記第1のレコードと前記第2のレコードとの間に存在する対応関係の抽象度に基づいて、複数の前記第2のレコードを抽出する処理と、
    前記抽出された前記第2のレコードからなる匿名グループデータセットを、前記匿名グループデータセットにおいて前記第2のl−多様性を充足可能であり、かつ前記匿名グループデータセットに含まれる第2のレコードと組を成す前記第1のレコードからなる第1のレコード群において前記第1のl−多様性を充足可能であるように、生成し、出力する処理と、をコンピュータに実行させるための
    プログラムを記録したコンピュータ読み取り可能不揮発性記録媒体。
  13. 前記第2のレコードを抽出する処理において、
    前記第1のレコードに含まれる前記第1の属性の属性値毎の、前記第2のレコードに含まれる第2の属性の各第2の属性値が、前記第1のレコードと前記組を成す前記第2のレコード出現する頻度を要素とする遷移ベクトルを生成し、
    2つの前記遷移ベクトルそれぞれに対応する第2のレコードのそれぞれ同士で同一である、前記第2の属性の第2の属性値の数が、前記第2のl−多様性の種類数未満である前記遷移ベクトル間の類似度を最低値の0として、前記遷移ベクトル間の類似度を算出し、
    前記類似度が相対的に大きい順の、前記第1のl−多様性の種類数の前記遷移ベクトルそれぞれに対応する前記第1の属性値を含む第1レコードと組を成す前記第2のレコードとを、前記抽象度が相対的に小さい前記第2のレコードとして抽出する、処理を前記コンピュータに実行させる
    前記プログラムを記録した請求項12記載のコンピュータ読み取り可能不揮発性記録媒体。
  14. 複数の前記遷移ベクトルについての前記類似度の算出対象を示す算出対象情報を生成し、前記算出対象情報を出力する処理を、更に、前記コンピュータに実行させ、
    前記第2のレコードの抽出において、前記生成した遷移ベクトルに対応する前記算出対象情報に基づいて、前記遷移ベクトル間の類似度を算出する、処理を前記コンピュータに実行させる
    前記プログラムを記録した請求項13記載のプログラムを記録した不揮発性記録媒体。
JP2014538140A 2012-09-26 2013-09-12 匿名化を実行する情報処理装置及び匿名化方法、及びプログラム Active JP6079783B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012212454 2012-09-26
JP2012212454 2012-09-26
PCT/JP2013/005392 WO2014049995A1 (ja) 2012-09-26 2013-09-12 匿名化を実行する情報処理装置、匿名化方法及びプログラムを記録した記録媒体

Publications (2)

Publication Number Publication Date
JPWO2014049995A1 true JPWO2014049995A1 (ja) 2016-08-22
JP6079783B2 JP6079783B2 (ja) 2017-02-15

Family

ID=50387441

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014538140A Active JP6079783B2 (ja) 2012-09-26 2013-09-12 匿名化を実行する情報処理装置及び匿名化方法、及びプログラム

Country Status (3)

Country Link
US (1) US20150254462A1 (ja)
JP (1) JP6079783B2 (ja)
WO (1) WO2014049995A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015174777A1 (ko) * 2014-05-15 2015-11-19 삼성전자 주식회사 단말 장치, 클라우드 장치, 단말 장치의 구동방법, 데이터 협업처리 방법 및 컴퓨터 판독가능 기록매체
JP6978763B2 (ja) * 2017-07-10 2021-12-08 クラシエホームプロダクツ株式会社 洗浄剤組成物
US10565399B2 (en) * 2017-10-26 2020-02-18 Sap Se Bottom up data anonymization in an in-memory database
WO2019189969A1 (ko) 2018-03-30 2019-10-03 주식회사 그리즐리 빅데이터 개인정보 익명화 및 익명 데이터 결합 방법
WO2020222140A1 (en) * 2019-04-29 2020-11-05 Telefonaktiebolaget Lm Ericsson (Publ) Data anonymization views
US11775592B2 (en) * 2020-08-07 2023-10-03 SECURITI, Inc. System and method for association of data elements within a document

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012090628A1 (ja) * 2010-12-27 2012-07-05 日本電気株式会社 情報保護装置及び情報保護方法
JP2012159982A (ja) * 2011-01-31 2012-08-23 Kddi Corp 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8631500B2 (en) * 2010-06-29 2014-01-14 At&T Intellectual Property I, L.P. Generating minimality-attack-resistant data
US20110202774A1 (en) * 2010-02-15 2011-08-18 Charles Henry Kratsch System for Collection and Longitudinal Analysis of Anonymous Student Data

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012090628A1 (ja) * 2010-12-27 2012-07-05 日本電気株式会社 情報保護装置及び情報保護方法
JP2012159982A (ja) * 2011-01-31 2012-08-23 Kddi Corp 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6013060768; 高橋 翼: '時系列データに対するl-多様化方式の提案' 第4回データ工学と情報マネジメントに関するフォーラム論文集 (第10回日本データベース学会年次大会) , 20120830, 3.6節〜4.2節, 電子情報通信学会,日本データベース学会,情報処理学会 *
JPN6013060769; 竹之内隆夫: '複数のデータ提供のための匿名化' コンピュータセキュリティシンポジウム2013 論文集 Vol.2013,No.4, 20131014, 第893-900頁, 情報処理学会 *

Also Published As

Publication number Publication date
US20150254462A1 (en) 2015-09-10
JP6079783B2 (ja) 2017-02-15
WO2014049995A1 (ja) 2014-04-03

Similar Documents

Publication Publication Date Title
JP6079783B2 (ja) 匿名化を実行する情報処理装置及び匿名化方法、及びプログラム
Bahri et al. Big data for healthcare: a survey
JP6015658B2 (ja) 匿名化装置、及び、匿名化方法
WO2013088681A1 (ja) 匿名化装置、匿名化方法、並びにコンピュータ・プログラム
WO2014181541A1 (ja) 匿名性を検証する情報処理装置及び匿名性検証方法
JP6398724B2 (ja) 情報処理装置、および、情報処理方法
Sisodia et al. Fast prediction of web user browsing behaviours using most interesting patterns
WO2015079647A1 (ja) 情報処理装置および情報処理方法
Li et al. MapReduce-based web mining for prediction of web-user navigation
JP6301767B2 (ja) パーソナル情報匿名化装置
Qureshi et al. Efficient prediction of missed clinical appointment using machine learning
Kapoor Data mining: Past, present and future scenario
Gudivada et al. Data quality centric application framework for big data
Mathew et al. Distributed privacy-preserving decision support system for highly imbalanced clinical data
Wang et al. MapReduce-based frequent pattern mining framework with multiple item support
JP5478229B2 (ja) データ解析システム、及びその方法
Balajee et al. A Survey on Machine Learning Algorithms and finding the best out there for the considered seven Medical Data Sets Scenario
KR102272021B1 (ko) 빅데이터 수집 시스템
JP4146326B2 (ja) 時系列活動データ分析装置、方法及びプログラム
JP5665685B2 (ja) 重要度判定装置、重要度判定方法およびプログラム
El Ouazzani et al. Proximity measurement for hierarchical categorical attributes in Big Data
JP5875535B2 (ja) 匿名化装置、匿名化方法、プログラム
JP5875536B2 (ja) 匿名化装置、匿名化方法、プログラム
JP7477791B2 (ja) 処理装置、処理方法および処理プログラム
Ma et al. Knowledge-driven user behavior pattern discovery for system security enhancement

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160816

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160927

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170102

R150 Certificate of patent or registration of utility model

Ref document number: 6079783

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150