JPWO2014061275A1 - 情報処理装置及び情報処理方法 - Google Patents

情報処理装置及び情報処理方法 Download PDF

Info

Publication number
JPWO2014061275A1
JPWO2014061275A1 JP2014541954A JP2014541954A JPWO2014061275A1 JP WO2014061275 A1 JPWO2014061275 A1 JP WO2014061275A1 JP 2014541954 A JP2014541954 A JP 2014541954A JP 2014541954 A JP2014541954 A JP 2014541954A JP WO2014061275 A1 JPWO2014061275 A1 JP WO2014061275A1
Authority
JP
Japan
Prior art keywords
data
division
information processing
group
anonymization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014541954A
Other languages
English (en)
Inventor
隆夫 竹之内
隆夫 竹之内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2014061275A1 publication Critical patent/JPWO2014061275A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Medical Informatics (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

複数の提供元からのデータを適切に匿名化する。本発明の情報処理装置は、データの匿名化の指標を受け取る指標受取手段と、データを匿名化のために分割したグループが含むレコード数を計測するレコード数計測手段と、指標とレコード数とを基にグループの分割点を決定するための分割点決定関数を選択する分割点決定関数選択手段と、選択された分割点決定関数を基にデータの分割点を算出し、データをグループに分ける分割決定手段と、グループを基にデータを匿名化する抽象化手段とを含む。

Description

本発明は、情報処理に関し、特に、データの匿名化処理に関する。
IT技術の発達に伴い、多くのデータ(情報)が、情報処理装置や情報処理システムに、蓄積されている。科学技術の発展には、蓄積されたデータの利用(例えば、データ・マイニング)が、有用である。
例えば、厚生労働省は、健康保険の支払のために、病院の診療報酬明細書(レセプト)のデータを保有している。医学研究機関は、レセプトのデータを用いると、医学研究の質の向上や効率化を実現できる。
しかし、レセプトは、個人データを含む。個人データは、一般的に、個人を特定(識別)するデータ(識別子(ID:Identifier))と、個人が公開したくない属性データ(センシティブ・データ)とを含んでいる。個人データの保有元は、プライバシー保護のため、第三者に、データをそのままでは提供できない。
そこで、個人のプライバシーを保護して個人データを提供するための技術が、用いられている。
このような技術の手法は、大きく分けて、「暗号法」と「摂動法」とがある。
暗号法は、データの少なくとも一部を暗号化して、データを提供する手法である。ただし、暗号法は、暗号処理に大きな計算コストが必要である。
一方、摂動法は、暗号化を用いず、データへの雑音の加算やデータの間引きのような抽象化や非同定化を用いて、個人のプライバシーを保護する手法である。このような摂動法の手法は、データの匿名化と言われる。匿名化後のデータは、匿名性を備えることになる。
このような匿名化として、「k−匿名化」が、広く用いられる。
k−匿名化とは、同じ準識別子を含むデータを、少なくとも「k」個含むようにデータを匿名化することである。つまり、k−匿名化されたデータは、データ集合の中に、そのデータ以外の少なくとも「k−1」個の同じ準識別子を含むデータが、含まれている。このようなデータの状態は、k−匿名性と言われる。つまり、k−匿名化されたデータは、k−匿名性を備える。
なお、準識別子とは、単独では識別子(明確な識別子)とならないが、組み合わせると識別子となるデータである。
情報を提供する側は、第三者に情報を提供する前に、情報処理装置を用いて、k−匿名性を満たすように、データを匿名化する(例えば、特許文献1を参照)。なお、データを匿名化する情報処理装置は、一般的に、データの匿名性を確保できるグループに分割し、そのグループに含まれるデータの準識別子を匿名化する。
ここで、グループ分割とは、匿名化する準識別子(属性)を基に、データを複数のグループに分けることである。グループを分ける境界は、「分割点」と言う。
なお、匿名化する準識別子が1種類の場合、準識別子を座標とした空間(準識別子空間)は、1次元となる。そのため、境界は、点となる。しかし、匿名化する準識別子は、1つに限る必要がない。情報処理装置は、複数の準識別子を、匿名化しても良い。情報処理装置が複数の準識別子を匿名化する場合、準識別子空間は、複数次元となる。そのため、グループを分ける境界は、点ではなく、線、又は、広がりを持つ面若しくは空間となる。ただし、一般的に、グループを分ける境界は、特に区別されずに、「分割点」と言われている。そのため、以下、特に区別せず「分割点」として説明する。
匿名化を実施する情報処理装置は、例えば、次のようにグループ分けを進める。
(1)情報処理装置は、準識別子の属性値が最も曖昧な(匿名化された)値となる1つのグループを、生成する。
(2)情報処理装置は、データをグループに分ける分割点を決定し、その分割点でグループを分割する。
(3)情報処理装置は、分割後のグループについてk−匿名性を満たすか否かを確認する。
(4)k−匿名性を満たす場合、情報処理装置は、分割後のグループに対して(2)〜(4)の動作を繰り返す。
(5)k−匿名性を満たさない場合、情報処理装置は、分割を元に戻し、分割を終了する。
(6)情報処理装置は、全てのグループが(5)となるまで、(2)〜(5)を繰り返す。
このようなグループ分けが終了すると、情報処理装置は、グループ分けを基に、データを匿名化する。
特開2011−170632
特許文献1に記載の技術は、データの提供元が1つの場合を想定している。
しかし、データの提供元は、1つとは限らない。
例えば、研究機関は、複数の病院のデータを用いて研究したい場合がある。
このような場合、複数の病院のデータを結合してk−匿名性を確保したデータが、研究機関に提供される。
複数の提供元(病院)のデータを結合したデータは、研究機関に対して、k−匿名性を確保している。しかし、提供されたデータは、他の者に対して、例えば、提供元に対してk−匿名性を確保できない場合がある。
例えば、データの提供元は、自分が提供したデータを知っている。そのため、データの提供元は、k−匿名性を確保したデータと自分が提供したデータとを基に、データのk−匿名化を下げることができる場合がある。
この場合について、具体的に、説明する。
例えば、結合後のデータが、4−匿名性を備えているとする。
一方、提供元は、提供してデータが、匿名化後のどの準識別子となるかが分かる。
そこで、提供元は、提供したデータを匿名化後のデータから削除し、データの匿名性を、4−匿名性から3−匿名性に下げることができる。
さらに、提供した3つのデータが匿名化後の同じ準識別子となる場合、提供元は、その3つのデータを、匿名化後のデータから削除できる。匿名化後のデータは、4−匿名性を備える。つまり、匿名化後のデータは、そのデータ以外に、3個の同じ準識別子を含むデータが含まれている。しかし、提供元は、自分が提供した3個のデータを除いて、他の提供元から提供されたデータを特定できる。
このように、特許文献1に記載の技術は、複数の提供元からデータの提供を受ける場合、データの提供元に対して、匿名性を確保できない場合があるという問題点があった。
本発明の目的は、上記問題点を解決し、提供元に対しても、データの適切な匿名化を実現できる情報処理装置、及び、情報処理方法を提供することにある。
本発明の情報処理装置は、データの匿名化の指標を受け取る指標受取手段と、前記データを匿名化のために分割したグループが含むレコード数を計測するレコード数計測手段と、前記指標と前記レコード数とを基に前記グループの分割点を決定するための分割点決定関数を選択する分割点決定関数選択手段と、選択された前記分割点決定関数を基に前記データの分割点を算出し、前記データをグループに分ける分割決定手段と、前記グループを基に前記データを匿名化する抽象化手段とを含む。
本発明の情報処理方法は、データの匿名化の指標を受け取り、前記データを匿名化のために分割したグループが含むレコード数を計測し、前記指標と前記レコード数とを基に前記グループの分割点を決定するための分割点決定関数を選択し、選択された前記分割点決定関数を基に前記データの分割点を算出し、前記データをグループに分け、前記グループを基に前記データを匿名化する。
本発明のプログラムは、データの匿名化の指標を受け取る受取処理と、前記データを匿名化のために分割したグループが含むレコード数を計測する計測処理と、前記指標と前記レコード数とを基に前記グループの分割点を決定するための分割点決定関数を選択する選択処理と、選択された前記分割点決定関数を基に前記データの分割点を算出する算出処理と、前記データをグループに分けるグループ分け処理と、前記グループを基に前記データを匿名化する匿名化処理とをコンピュータに実行させる。
本発明によれば、提供元に対しても、データの適切な匿名化を、実現できる。
図1は、本発明における第1の実施形態に係る情報処理装置を含む情報システムの一例を示すブロック図である。 図2は、第1の実施形態に係る情報処理装置の構成の一例を示すブロック図である。 図3は、第1の実施形態に係る情報処理装置の詳細な構成の一例を示すブロック図である。 図4は、良くない分割の一例を示す図である。 図5は、良い分割の一例を示す図である。 図6は、良い分割の一例を示す図である。 図7は、分割点決定関数選択部の動作の一例を示すフローチャートである。 図8は、第1の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。 図9は、第1の実施形態に係る情報処理装置の説明に用いるデータの図である。 図10は、第1の実施形態に係るデータの一例を説明するための図である。 図11は、データの分割の一例を示すブロック図である。 図12は、第1の実施形態に係るデータの分割を説明するための図である。 図13は、第1の実施形態に係るデータの分割を説明するための図である。 図14は、第1の実施形態に係るデータの分割を説明するための図である。 図15は、匿名化後のデータの一例を示す図である。 図16は、偏るように分割した場合の分割の一例を示す図である。 図17は、偏らないように分割した場合の分割の一例を示す図である。 図18は、第1の実施形態に係る情報処理装置の構成の一例を示すブロック図である。
次に、本発明の実施形態について図面を参照して説明する。
本発明のおける情報処理装置の一例として、データの匿名化の依頼を受けて、データを匿名化する装置を用いて説明する。ただし、本発明の情報処理装置は、これに限らない。例えば、本発明の情報処理装置は、統計データを収集する装置でも良い。又は、本発明の情報処理装置は、データを分類する装置でも良い。
なお、各図面は、本発明の実施形態を説明するものである。そのため、本発明は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ番号を付し、その繰り返しの説明を、省略する場合がある。
次に、本実施形態の説明に用いる用語について整理する。
「k−匿名化」とは、既に説明したとおり、同じ準識別子(又は準識別子の組)を含むデータを少なくとも「k」個含むように、データを匿名化することである。k−匿名化されたデータは、「k−匿名性」を備える。つまり、k−匿名性を備えたデータは、同じ準識別子(又は準識別子の組)を含むデータを、少なくとも「k−1」個含まれることが保障される。
「sk−site−匿名化」とは、データ集合から、データの提供元(サイト(site)、以下、単に「提供元」と言う)のデータ(レコード数)を除いたデータにおいて、同じ準識別子を含むデータを少なくとも「sk」個含むように匿名化することである。sk−site−匿名化されたデータは、「sk−site−匿名性」を備える。
例えば、6−匿名性を備えた匿名化データを作成した場合を考える。そして、同じ識別子の含むデータのグループにおいて、各提供元からデータが、最大で2個含まれるとする。この場合、匿名化したデータから提供元のデータ(最大で2個)を除いたデータは、同じ準識別子を含むデータが少なくとも4(6−2=4)個、つまり、4−匿名性を有する。そのため、この場合の匿名化後のデータは、6−匿名性及び4−site−匿名性を有する。
なお、本実施形態の情報処理装置は、sk−site−匿名性として、単独の提供元に対する匿名性に限る必要はない。本実施形態の情報処理装置は、複数の提供元の組み合わせに対応したsk−site−匿名性を確保しても良い。
例えば、上記の例を用いると、次のようになる。
同様に、6−匿名性を備えた匿名化データを作成した場合を考える。また、同じ識別子の含むデータのグループにおいて、各提供元からデータが最大で2個含まれるとする。そして、2つの提供元に対応したsk−site−匿名性を考える。この場合、匿名化したデータから2つの提供元のデータ(最大で4個)を除いたデータは、同じ準識別子を含むデータが少なくとも2(6−4=2)個、つまり、2−匿名性を有する。そのため、この場合の匿名化後のデータは、6−匿名性及び2−site−匿名性を有する。
さらに、本実施形態の情報処理装置は、組み合わせる提供元の数を可変としても良い。
例えば、情報処理装置は、提供元の信頼度を基に、次に説明するように、sk−site−匿名性を確保しても良い。なお、提供元の信頼度は、特に制限はない。一例として、ここでは、提供元の結託の可能性の程度を用いて説明する。
提供元は、4者(提供元A、B、C、D)とする。
そして、提供元A、提供元B及び提供元Cは、結託する可能性が高いとする。一方、提供元Dは、他の提供元と結託する可能性が低いとする。
この場合、情報処理装置は、sk−site−匿名性として、次に示す単独の提供元及び結託した提供元に対してsk−site−匿名性を確保する。
単独:提供元A、提供元B、提供元C、提供元D
結託:提供元A+提供元B、提供元B+提供元C、提供元C+提供元A、提供元A+提供元B+提供元C
ただし、以下の説明では、説明の便宜のため、sk−site−匿名化の対象の提供元の数を1つとして説明する。
本実施形態の情報処理装置は、匿名化において、少なくとも、所定のsk−site−匿名性を満足するように匿名化する。
「匿名化」とは、一般的に、匿名化のためのデータの加工処理に限らず、データを匿名化するために必要な処理(例えば、グループに分ける処理)を含めた処理を意味する。本実施形態の説明においても、匿名化の処理は、匿名化のためにグループに分ける処理及びグループに分けたデータを変更する処理を含む(広義の匿名化)。ただし、「匿名化」は、グループに分けた後のデータを変更する処理を意味する場合がある(狭義の匿名化)。そのため、本実施形態の説明において、広義の匿名化と狭義の匿名化の区別を明確にして説明する場合、狭義の匿名化を「抽象化」と言うことがある。
「分割」とは、以下の実施形態の説明では、データをグループの分けることである。そのため、分割を、「グループ化」又は「グループ分け」とも言う。
「分割点」は、既に説明したとおり、グループを分ける境界のことである。
「レコード数」とは、以下の本実施形態の説明では、データの数のことである。グループのレコード数とは、そのグループに含まれるデータの数である。
(第1の実施形態)
図1は、第1の実施形態における情報処理装置10を含む情報処理システム40の構成の一例を示すブロック図である。
情報処理システム40は、情報処理装置10と、処理依頼装置30とを含む。情報処理装置10と処理依頼装置30とは、例えば、ネットワークを介して接続している。
処理依頼装置30は、データを匿名化するため、情報処理装置10にデータの匿名化を依頼する装置である。
処理依頼装置30は、匿名化を依頼するとき、依頼する匿名化を示す指標と、匿名化するデータ(匿名化前データ)とを情報処理装置10に送信する。そして、処理依頼装置30は、情報処理装置10から、匿名化後のデータを受け取る。
そのため、処理依頼装置30は、匿名化前データ保持部310と、データ送信部320と、匿名化処理開始依頼部330と、結果受信部340と、匿名化後データ保持部350とを含む。
匿名化前データ保持部310は、情報処理装置10に匿名化を依頼する匿名化前データを保持する。
なお、処理依頼装置30は、予め、匿名化前データを保持しておけばよく、どのように匿名化前データを受け取るかについて、特に制限はない。例えば、処理依頼装置30は、提供元からデータを受け取り、データを結合し、匿名化前データを作成し、匿名化前データとして保持しても良い。あるいは、処理依頼装置30は、図示しない装置から結合後の匿名化前データを受けとっても良い。
データ送信部320は、匿名化前データを、情報処理装置10に送信する。
匿名化処理開始依頼部330は、情報処理装置10に、送信した匿名化前データの匿名化を依頼する。依頼の際、匿名化処理開始依頼部330は、匿名化の指標を情報処理装置10に送信する。
なお、匿名化処理開始依頼部330は、データ送信部320のデータの送信の前に、指標を情報処理装置10に送信してもよい。この場合、匿名化処理開始依頼部330は、データ送信部320が匿名化前データを送信後、情報処理装置10に、匿名化の開始を依頼する。
結果受信部340は、情報処理装置10から匿名化したデータ(匿名化後データ)を受け取り、匿名化後データ保持部350に保存する。
匿名化後データ保持部350は、匿名化後データを保持する。
ただし、処理依頼装置30と情報処理装置10との情報のやり取りは、これに限る必要はない。
例えば、処理依頼装置30は、情報処理装置10に、匿名化のためのデータの分割点の決定を依頼しても良い。
具体的には、処理依頼装置30は、次のように動作する。
処理依頼装置30は、匿名化の指標と匿名化前データとを情報処理装置10に送信する。情報処理装置10は、受け取った指標と匿名化前データとを基に、データを匿名化するための分割点を決定する。情報処理装置10は、決定した分割点を処理依頼装置30に送信する。処理依頼装置30は、受け取った分割点を基にデータを匿名化して、匿名化後データを作成し、保持しても良い。
また、匿名化前データは、処理依頼装置30ではなく、図示しない別の装置が保持しても良い。この場合、処理依頼装置30は、情報処理装置10に、指標とデータの保存場所とを通知する。そして、情報処理装置10は、データの保存場所からデータを取り出し、指標に基づき保存場所のデータを匿名化すればよい。
さらに、処理依頼装置30は、情報処理装置10に、データを送信しなくても良い。この場合、処理依頼装置30は、指標とデータの保存装置(例えば、処理依頼装置30又は図示しない別の装置)を通知する。そして、情報処理装置10は、指標を基に、データの保存場所のデータを参照して、データの分割点を決定する。そして、情報処理装置10は、分割点を、データの保存装置に通知する。そして、データの保存装置は、受け取った分割点を基に、データを匿名化する。
次に、情報処理装置10について、図面を参照して説明する。
図2は、情報処理装置10の構成の一例を示すブロック図である。
情報処理装置10は、分割化部100と、抽象化部150と、グループ情報保持部200とを含む。
グループ情報保持部200は、処理依頼装置30から受け取った匿名化前データ及び抽象化部150が匿名化した匿名化後データを保持する。なお、グループ情報保持部200は、情報処理装置10の処理の途中のデータ(例えば、分割化部100の決定した分割グループの状態)を保持しても良い。
分割化部100は、受け取った指標とデータとを基に、データを匿名化するためのグループ分割を決定する。つまり、分割化部100は、匿名化のための分割点を決定する。
抽象化部150は、分割化部100が決定したグループの分割(分割点)を基に、データを匿名化する。なお、抽象化部150の匿名化は、狭義の匿名化(抽象化)である。
図3は、第1の実施形態に係る情報処理装置10の、より詳細な構成の一例を示すブロック図である。
図3に示す分割化部100は、指標受取部110と、レコード数計測部120と、分割点決定関数選択部130と、分割決定部140とを含む。
なお、本実施形態の情報処理装置10は、既に説明したとおり、必ずしもデータを保持しなくても動作できる。そのため、図3では、グループ情報保持部200を省略した。
指標受取部110は、処理依頼装置30から、処理の対象となるデータを匿名化するための指標を、受け取る。このような指標は、例えば、k−匿名性又はsk−site−匿名性である。
レコード数計測部120は、グループのレコード数を計測する。
分割点決定関数選択部130は、所定の判定基準を基に、分割決定部140が用いる分割点決定関数を選択する。ここで、分割点決定関数とは、データのグループの分割点を決定するための値(スコア)を計算する関数である。分割点決定関数選択部130については、後ほど詳細に説明する。
分割決定部140は、選択された分割点決定関数を基に、データの分割点を決定する。つまり、分割決定部140は、分割点決定関数を基に、データをグループに分ける。
分割化部100は、これらの構成を基に、指標を満たす範囲で、可能な限り、データを多くのグループに分割する。
そして、分割化部100での分割終了後、抽象化部150は、分割したグループを基に、データを匿名化する。抽象化部150が匿名化したデータが、「匿名化後データ」である。
次に、分割点決定関数選択部130について図面を参照して、さらに説明する。
まず、本実施形態の情報処理装置10の分割について説明する。
一般的に、分割できるグループの数が多い分割、つまり、グループに含まれるレコード数が少ない分割は、匿名化率が低く、匿名後のデータの情報の劣化が少ない。そのため、グループに含まれるレコード数が少ない分割は、良い分割である。
そして、各分割において、できる限り、次の条件を満足するように分割を進めると、情報処理装置10は、良い分割を実現できる。
条件1の分割:グループ内の提供元が、偏らない(以下、[分割1]とする)。
条件2の分割:グループ内の提供元が、1つである(以下、[分割2]とする)。
上記の分割を進める理由は、どちらの分割も、分割後のグループにおいて、sk−site−匿名性を確保が、容易なためである。
図を参照して、分割の良否について説明する。
なお、次の図4乃至図6を参照した説明において、指標は、4−匿名性と2−site−匿名性とする。また、各図において、左のグループが、良い分割又はよくない分割の後のグループの状態である。右のグループが、左のグループを基にした最終的なグループ分割である。
図4は、良くない分割後のグループの一例を示す図である。図4の左に示す分割後のグループは、提供元が偏っており、かつ、提供元が複数となっている。そのため、情報処理装置10は、図4の左に示す分割後のグループを、図4の右に示すように、2つ又は3つのグループに分割する。
図5は、[分割1]に対応する良い分割の一例を示す図である。図5の左に示す分割後のグループは、提供元が偏っていない。そのため、情報処理装置10は、図5の左の分割後のグループを、図5の右に示すように、4つのグループに分割できる。
図6は、[分割2]に対応する良い分割の一例を示す図である。図6の左に示す分割後のグループは、提供元が1つである。そのため、情報処理装置10は、図6の左の分割後のグループを、図6の右に示すように、2種類の4つのグループに分割できる。
ただし、[分割2]の条件を満足するように分割を進めることは、提供元を偏るように分割を進めることである。このような[分割2]は、[分割1]の条件を悪くする分割である。
また、[分割1]の条件を満足するように分割を進めることは、[分割2]の条件を満足する分割を実現できない。
このように、情報処理装置10は、[分割1]の条件と[分割2]の条件とを同時に満足するように分割できない。
sk−site匿名性を確保するためには、[分割2]の条件の満足が、最も望ましい。しかし、[分割2]の条件を満たすように分割を進めたが、[分割2]の条件を満たす前に、指標(例えば、k−匿名性)を満足できなくなった場合、情報処理装置10は、それ以上分割を進めることができない。その結果の分割は、[分割1]の条件及び「分割2]の条件とも満足できない分割となる。情報処理装置10は、このような分割を避けることが望ましい。
そこで、本実施形態の情報処理装置10は、分割点決定関数選択部130を含む。そして、情報処理装置10は、以下で説明するように、分割決定部140が分割点を決定するために用いる分割点決定関数分割を、切り換える。
図7は、分割点決定関数選択部130の動作の一例を示すフローチャートである。
まず、分割点決定関数選択部130は、提供元が1つになるまで分割が進む前に、指標を満たさなくなる可能性があるか否かを確認する(ステップS500)。具体的には、分割点決定関数選択部130は、所定の判定基準を基に、提供元を偏るように分割するか否かを判定する。
偏るように分割する場合(ステップS500で「YES」)、分割点決定関数選択部130は、提供元の数が偏るような分割点決定関数を選択する(ステップS510)。
一方、偏るように分割しない場合(ステップS500で「NO」)、分割点決定関数選択部130は、提供元が偏らないような分割点決定関数を選択する(ステップS520)。
分割点決定関数選択部130は、所定の判断基準として、いろいろな判断基準を採用できる。例えば、分割点決定関数選択部130は、所定の閾値と、グループ分割に伴う数値とを比較してもよい。
そして、分割点決定関数選択部130は、所定の閾値として、例えば、指標(k−匿名性、sk−site−匿名性)又は提供元の数を基に、閾値の値を設定すればよい。
また、分割点決定関数選択部130は、グループ分割に伴う数値として、グループのサイズ(レコード数)又はグループの総数を用いれば良い。
判定基準の幾つか例示すると、次のような判定基準が想定できる。なお、以下の式の変数は、次のとおりとする。
L:グループ内のレコード数
k:k−匿名性
sk:sk−site−匿名性
M:提供元の数
Mg:グループ内の提供元の数
C:所定の定数
(1)「グループの状態」と「指標」との比較の例
a) 「L」と「C×sk」との比較
b) 「L」と「C×k」との比較
(2)「グループの状態」と「指標」及び「提供元」の情報の組合せに基づく比較の例
a) 「L」と「sk×M」との比較
b) 「L」と「sk×Mg」との比較
c) 「L」と「k×M」との比較
なお、判定基準は、予め匿名化に先立ち、情報処理装置10に設定されていればよい。例えば、情報処理装置10は、予め判定基準を保持しても良い。あるいは、情報処理装置10は、処理依頼装置30など他の装置から判定基準を受け取っても良い。
また、分割点決定関数選択部130は、分割点決定関数を選択する場合、少なくとも、次に示すいずれかの選択を実行する。
(1)複数の分割点決定関数から、適用する分割点決定関数を選択する。
(2)分割点の判定に用いる分割点決定関数のスコアの大小の判定を選択する。
大小の判定の選択とは、例えば、次のような選択である。
値の大小:関数の値が大きいか、又は、関数の値が小さいかのどちらかの選択
正負 :関数の値又は変化率が正となるか、負となるかのどちらかの選択
(3)分割点決定関数のパラメータを選択する。
パラメータの選択とは、例えば、次のような内容である。
分割点決定関数が、「f(x)=αg(x)+βh(x)」の場合、分割点決定関数選択部130は、αの値とβの値とを、所定の値(例えば、−1、0、1)から選択する。ここで、g(x)とh(x)は、所定の関数である。この選択は、関数の組合せを選択することでもある。
分割点決定関数選択部130は、上記の選択を、組み合わせてもよい。例えば、分割点決定関数選択部130は、複数の分割点決定関数から選択後、その関数の値の大小を選択しても良い。
なお、分割点決定関数選択部130の分割点決定関数の選択は、提供元が偏る又は偏らないという、相異なる動作の選択である。そのため、分割点決定関数選択部130の選択は、不連続となる選択肢からの選択となる。例えば、上記の(3)の場合、分割点決定関数選択部130は、α及びβの値を、連続的な値から選択するのではなく、離散的な値から選択する。
また、分割点決定関数選択部130は、分割点決定関数として、いろいろな関数を使用できる。例えば、分割点決定関数選択部130は、エントロピーを用いても良いし、データの平均値又は中央値を用いても良い。
例えば、分割点決定関数選択部130は、分割点決定関数として、グループ分割後のエントロピーの和である次の数式を用いてもよい。
[数式1]
Figure 2014061275
なお、ここで、Entropy(group)は、次の数式となる。
[数式2]
Figure 2014061275
そして、提供元を偏らせる場合(ステップS510)、分割点決定関数選択部130は、分割点決定関数のスコアが小さくなるように選択する。つまり、情報処理装置10は、エントロピーが小さな分割点で分割する。
一方、提供元を偏らせない場合(ステップS520)、分割点決定関数選択部130は、分割点決定関数のスコアが大きくなるように選択する。つまり、情報処理装置10は、エントロピーが大きな分割点で分割する。
次に、情報処理装置10の動作について図面を参照して説明する。
図8は、情報処理装置10の動作の一例を示すフローチャートである。
情報処理装置10の指標受取部110は、匿名化のための指標を受け取る(ステップS600)。
情報処理装置10は、匿名化の対象となるデータ(匿名化前データ)を受け取る(ステップS601)。情報処理装置10は、受け取ったデータをグループ情報保持部200に保存する。
匿名化前データは、一般的に、グループ分けされていない。
分割化部100の分割決定部140は、最初に、データ全体を1つのグループとする。この処理は、データの初期化とも言える。なお、抽象化部150が、初期化後の1グループの状態で匿名化すると、データは、最も匿名化率が高い匿名化となる。
ただし、情報処理装置10は、これに限らず、ある程度グループ分けされたデータを受け取っても良い。
次に、分割化部100のレコード数計測部120は、グループのレコード数を計測する(ステップS620)。グループが複数ある場合、レコード数計測部120は、計測していない全てのグループのレコード数を計測する。ただし、レコード数計測部120は、再計測を含め、全てのグループのレコード数を計測しても良い。
次に、分割点決定関数選択部130は、所定の判定基準を基に、分割点決定関数を選択する(ステップS630)。
分割決定部140は、選択された分割点決定関数を用いて、グループ分けする分割点を決定する(ステップS640)。そして、分割決定部140は、分割点でデータをグループに分ける。ここで、分割決定部140は、グループ情報保持部200に、新しいグループに関する情報又は分割状態を保存しても良い。
そして、分割決定部140は、新しいグループが、指標(k−匿名性及びsk−site−匿名性)を満足するか否かを確認する(ステップS650)。
指標を満足する場合(ステップS650で「YES」)、分割化部100は、ステップS320に戻り、処理を継続する。
指標を満足しない場合(ステップS650で「NO」)、そのグループは、グループ分けできない。そのため、分割決定部140は、今回の分割を取り止め、グループを元に戻す(ステップS660)。つまり、分割決定部140は、グループ分割を1つ前のグループ分けの状態とする。以下、分割できなくなったグループの状態を、「分割完了」と言う。
次に、分割決定部140は、全てのグループにおいて分割完了か否かを判定する(ステップS670)。
まだ分割ができるグループがある場合(ステップS670で「NO」)、分割化部100は、ステップS320に戻り、処理を継続する。
全てのグループが分割完了の場合(ステップS670で「YES」)、分割化部100は、処理を終了する。
分割化部100の処理終了後、抽象化部150は、データをグループ分けに沿って匿名化(狭義の匿名化)し、匿名化後データ生成する。そして、抽象化部150は、匿名化後データを、グループ情報保持部200に保存する。さらに、抽象化部150は、匿名化後データを処理依頼装置30に返す(ステップS680)。
次に、具体的なデータを用いて本実施形態の情報処理装置10のグループ分けについて説明する。
図9は、情報処理装置10の動作の説明の用いるデータの準識別子(属性)の分布を示す図である。
図9に示すデータの縦方向及び横方向は、属性の値又は範囲を示す。図9のデータは、2つの準識別子の分布を2次元の表として示している。また、「A、B、C及びD」は、提供元を示す。つまり、図9は、4箇所の提供元からのデータを結合したデータを、2つの準識別子の分布で示した一例である。
なお、図9のデータが2次元であるのは、既に説明したとおり、例示である。本実施形態の情報処理装置10は、匿名化する準識別子の数に特に制限はない。本実施形態の情報処理装置10は、1つの準識別子を用いても良く、2つより多い準識別子を用いても良い。
図10は、図9に示すデータの作成の一例を説明するための図である。
例えば、処理依頼装置30は、図10の左に示す提供元A乃至提供元Dのデータを結合し、図10の中央のデータを作成する。このデータを基に、情報処理装置10は、データの匿名化において、年齢及び体重に対応した分布として、図10の右側に示す分布のデータ(図9のデータ)を作成する。
なお、以下では、一例として、4−匿名性と2−site−匿名性を確保するとして説明する。
本実施形態の情報処理装置10の分割の説明の前に、一般的な分割手法(例えば、Mondrian)を用いた分割について説明する。Mondrianを用いた分割は、値域(range)が大きな準識別子の、中央値(median)を分割点とする。そのため、Mondrianを用いた手法は、図9に示すデータを、図11に示すように、2回分割し、3グループに分割する。
次に、分割点決定関数選択部130を用いた情報処理装置10のデータの分割について説明する。
この説明において、分割点決定関数選択部130は、判定基準として、「L(グループのサイズ)」と、「sk(sk−site−匿名性)×M(提供元の数)」との比較を用いるとする。
図9のデータは、提供元が4つである。また、今回の指標は、2−site−匿名性である。そのため、分割点決定関数選択部130は、「L」と「8=2×4」とを比較する。
そして、「L>8」の場合、分割点決定関数選択部130は、提供元が偏るように分割点決定関数を選択する。
一方、「L≦8」の場合、分割点決定関数選択部130は、提供元が偏らないような分割点決定関数を選択する。
(1)初期状態
初期状態では、全体が、1つのグループである。つまり、Lは、「16」である。
そのため、「L(=16)>8」が、成り立つ(ステップS500が「YES」)。
そこで、分割点決定関数選択部130は、提供元が偏るように分割点決定関数を選択する。例えば、数式(1)を用いる場合、分割点決定関数選択部130は、分割点決定関数のスコアが小さくなることを選択する。
図12は、分割決定部140が決定した分割後のグループを示す。この場合の、スコアは、次のようになる。
score=左のグループのentropy+右のグループのentropy
=(0.15904+0.15904+0.00000+0.15904)
+(0.00000+0.00000+0.00000+0.00000)
=0.47712
なお、数値は、小数第6位を四捨五入している。
図12の右のグループは、提供元が1つ(分割2)となっている。
(2)2回目の分割
図12の右のグループは、L=4のため、ステップS500の判定が「NO」となる。また、これ以上分割すると、4−匿名性を満たさなくなるため、右のグループは、分割終了である。
一方、左のグループは、L=12のため、ステップS500の判定が「YES」となる。そこで、分割点決定関数選択部130は、左のグループに対して、提供元が偏るように分割点決定関数を選択する。例えば、数式(1)を用いる場合、分割点決定関数選択部130は、分割点決定関数のスコアが小さくなることを選択する。
図13は、分割後のグループを示す。この場合のスコアは、次のようになる。
score=左のグループのentropy+右のグループのentropy
=(0.15052+0.15052+0.00000+0.00000)
+(0.00000+0.00000+0.00000+0.00000)
=0.30104
なお、数値は、小数第6位を四捨五入している。
図13の中央のグループは、提供元が1つ(分割2)となっている。
(3)3回目の分割
図13の2回目の分割点の右のグループ(図13の中央のグループ)は、L=4のため、ステップS500の判定が「NO」となる。また、これ以上分割すると、4−匿名性を満たさなくなるため、右のグループは、分割終了である。
一方、左のグループは、L=8のため、ステップS500の判定が「NO」となる。また、左のグループは、分割しても4−匿名性を満たす。そこで、分割点決定関数選択部130は、左のグループに対して、分割元が偏らないような分割点決定関数を選択する。例えば、数式(1)を用いる場合、分割点決定関数選択部130は、分割点決定関数のスコアが大きくなるように選択する。
図14は、分割後のグループを示す。この場合のスコアは、次のようになる。
score=左のグループのentropy+右のグループのentropy
=(0.15052+0.15052+0.00000+0.00000)
+(0.15052+0.15052+0.00000+0.00000)
=0.60208
なお、数値は、小数第6位を四捨五入している。
図14の左の2つのグループは、情報の提供元が同じ数(分割1)となっている。
3回目の分割後、全てのグループのレコード数は、4となる。そのため、分割化部100は、全てのグループが分割終了と判断する。
この後、抽象化部150は、データを匿名化する。
ここで、本実施形態の情報処理装置10の分割結果である図14と、図11に示した分割を比較すると、本実施形態の情報処理装置10は、より多くのグループに分割できた。
図15は、図10のデータに図14の分割を適用して匿名化したデータの一例である。なお、図15において、明確な識別子であるIDは、匿名化に伴い、削除されている。
図15に示す匿名化後データは、例えば、提供元Aの攻撃者が、匿名後データを取得しても、2−匿名性を確保している。つまり、匿名化後データは、2−site−匿名性を確保している。
ここで、参考として、分割点決定関数選択部130を用いない場合の分割を説明する。
この場合、分割を切り換えないため、実施される分割は、「偏らないような分割」と、「偏るような分割」とのどちらかとなる。
図16は、偏るように分割した場合の分割の一例である。図16の分割は、図13に示す分割と同じである。しかし、図16の左のグループは、偏るように分割すると、sk−site−匿名性を満たすことができない。そのため、偏るように分割した場合、分割は、3グループとなる。
図17は、偏らないように分割した場合の分割の一例である。この場合も、分割は、3グループとなる。
本実施形態の情報処理装置10の分割(図14)は、図16及び図17の分割より、適切な分割である。
このように、本実施形態の情報処理装置10は、提供元に対しても、データの適切な匿名化の実現する効果を得ることができる。
その理由は、次のとおりある。
本実施形態の分割点決定関数選択部130は、提供元を1つする分割が可能な場合、提供元を偏るよう、分割点決定関数を選択する。そのため、情報処理装置10は、提供元が1つとなるグループを作成できる。また、提供元を1つにする分割ができない場合、分割点決定関数選択部130は、提供元を偏らないよう分割点決定関数を選択する。そのため、情報処理装置10は、提供元が1つになる前に指標を満たさなくなる分割を避け、提供元が偏らないグループを作成できる。
なお、グループ分割において、データの提供元が大きく偏ったグループが発生する場合がある。例えば、わずかな数(例えば、数パーセント)のデータを除き、グループ内の提供元が、同じグループが発生する場合がある。このような場合、情報処理装置10は、分割点決定関数を用いた分割を実行しないで、提供元が異なるデータを削除又は別グループに移動して、提供元が1つのグループを作成しても良い。
また、本実施形態の情報処理装置10の説明において「提供元を偏るように分割」及び「提供元を偏らないように分割」として説明した。しかし、情報処理装置10は、「色」との用語を用いて、「1色になるように分割」及び「色が偏らないように分割」との処理として実施しても良い。例えば、「1色になるような分割」する処理とは、分割後の色の数を数え、1色であるか否かの判断を基に分割する処理である。
<変形例>
なお、情報処理装置10の構成は、図2及び図3に示す構成に限らない。
情報処理装置10は、図2及び図3に示した構成を、複数の構成に分けても良い。例えば、分割決定部140は、分割点を求める構成と、分割点を基にグループに分ける構成とに分けても良い。また、抽象化部150は、データを匿名化する構成と、匿名化後データを送信する構成に分けても良い。
また、情報処理装置10は、幾つかの構成を1つの構成としても良い。例えば、分割点決定関数選択部130と分割決定部140は、1つの構成としても良い。
さらに、本実施形態の情報処理装置10は、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)と、IO(Input/Output unit)と、NIC(Network Interface Circuit又はNetwork interface Card)とを含むコンピュータとして実現しても良い。
図18は、本実施形態の別の構成である情報処理装置70の構成の一例を示すブロック図である。
情報処理装置70は、CPU710と、ROM720と、RAM730と、内部記憶装置740と、IO750と、入力機器760と、表示機器770と、NIC780とを含み、コンピュータを構成している。
CPU710は、ROM720又は内部記憶装置740からプログラムを読み込む。そして、CPU710は、読み込んだプログラムに基づいて、図3の情報処理装置10の指標受取部110と、レコード数計測部120と、分割点決定関数選択部130と、分割決定部140と、抽象化部150としての各機能を実現する。CPU710は、各機能を実現する際に、RAM730及び内部記憶装置740を一時記憶として使用する。また、CPU710は、IO750を介して、入力機器760から入力データを受信し、表示機器770にデータを表示する。
なお、CPU710は、コンピュータで読み取り可能にプログラムを記憶した記憶媒体790が含むプログラムを、図示しない記憶媒体読み取り装置を用いて読み込んでも良い。あるいは、CPU710は、NIC780を介して、図示しない外部の装置からプログラムを受け取っても良い。
ROM720は、CPU710が実行するプログラム及び固定的なデータを記憶する。ROM720は、例えば、P−ROM(Programmable-ROM)又はフラッシュROMである。
RAM730は、CPU710が実行するプログラム及びデータを一時的に記憶する。RAM730は、例えば、D−RAM(Dynamic-RAM)である。
内部記憶装置740は、情報処理装置70の長期的に保存するデータ及びプログラムを記憶する。また、内部記憶装置740は、CPU710の一時記憶装置として動作しても良い。内部記憶装置740は、例えば、ハードディスク装置、光磁気ディスク装置、SSD(Solid State Drive)又はディスクアレイ装置である。
なお、内部記憶装置740又はRAM730は、グループ情報保持部200として動作しても良い。
IO750は、CPU710と、入力機器760及び表示機器770とのデータを仲介する。IO750は、例えば、IOインターフェースカードである。
入力機器760は、情報処理装置70の操作者からの入力指示を受信する入力部である。入力機器760は、例えば、キーボード、マウス又はタッチパネルである。
表示機器770は、情報処理装置70の表示部である。表示機器770は、例えば、液晶ディスプレイである。
NIC780は、ネットワークを介した他の装置(例えば、処理依頼装置30)との情報のやり取りを中継する。NIC780は、例えば、LAN(Local Area Network)カードである。
このように構成された情報処理装置70は、情報処理装置10と同様に効果を得ることができる。
その理由は、情報処理装置70のCPU710が、プログラムに基づいて情報処理装置10と同様の動作を実現できるためである。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2012年10月18日に出願された日本出願特願2012−230937を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10 情報処理装置
30 処理依頼装置
40 情報処理システム
70 情報処理装置
100 分割化部
110 指標受取部
120 レコード数計測部
130 分割点決定関数選択部
140 分割決定部
150 抽象化部
200 グループ情報保持部
310 匿名化前データ保持部
320 データ送信部
330 匿名化処理開始依頼部
340 結果受信部
350 匿名化後データ保持部
710 CPU
720 ROM
730 RAM
740 内部記憶装置
750 IO
760 入力機器
770 表示機器
780 NIC
790 記憶媒体

Claims (9)

  1. データの匿名化の指標を受け取る指標受取手段と、
    前記データを匿名化のために分割したグループが含むレコード数を計測するレコード数計測手段と、
    前記指標と前記レコード数とを基に前記グループの分割点を決定するための分割点決定関数を選択する分割点決定関数選択手段と、
    選択された前記分割点決定関数を基に前記データの分割点を算出し、前記データをグループに分ける分割決定手段と、
    前記グループを基に前記データを匿名化する抽象化手段と
    を含む情報処理装置。
  2. 前記分割点決定関数選択手段が、
    前記選択として、分割後のグループのデータの提供元が偏るような分割となる分割点決定関数と、提供元が偏らない分割となる分割点決定関数とを選択する
    ことを特徴とする請求項1に記載の情報処理装置。
  3. 前記分割点決定関数選択手段が、
    前記指標と前記レコードとを基に、提供元が1つとなる分割ができるか否かを判定し、
    提供元が1つとなる分割ができる場合、提供元が偏るような分割となる分割点決定関数を選択し、
    分割できないと判定した場合、提供元が偏らない分割となる分割点決定関数を選択する
    ことを特徴とする請求項2に記載の情報処理装置。
  4. 前記分割点決定関数選択手段が、
    前記指標として、同じ準識別子を含むデータを少なくともk個含むk−匿名性、いずれの提供元のデータを除いても同じ準識別子を含むデータを少なくともsk個含むsk−site−匿名性又は提供元の数の少なくとも1つを用いる
    ことを特徴とする請求項1乃至請求項3のいずれか1項に記載の情報処理装置。
  5. 前記分割点決定関数選択手段が、
    前記sk−site−匿名性として、少なくとも一部の提供元の組み合わせを対象とする
    ことを特徴とする請求項4に記載の情報処理装置。
  6. 前記分割点決定関数選択手段が、
    関数の選択として、
    複数の関数からの選択、関数の値の大小の判定又は関数の組合せの少なくとも1つを実行する
    ことを特徴とする請求項1乃至請求項5のいずれか1項に記載の情報処理装置。
  7. 前記分割点決定関数選択手段が、
    前記分割点決定関数としてデータのエントロピーを含む関数を用い、
    前記選択として、分割点決定関数の大小の判定を選択する
    ことを特徴とする請求項6に記載の情報処理装置。
  8. データの匿名化の指標を受け取り、
    前記データを匿名化のために分割したグループが含むレコード数を計測し、
    前記指標と前記レコード数とを基に前記グループの分割点を決定するための分割点決定関数を選択し、
    選択された前記分割点決定関数を基に前記データの分割点を算出し、前記データをグループに分け、
    前記グループを基に前記データを匿名化する
    情報処理方法。
  9. データの匿名化の指標を受け取る受取処理と、
    前記データを匿名化のために分割したグループが含むレコード数を計測する計測処理と、
    前記指標と前記レコード数とを基に前記グループの分割点を決定するための分割点決定関数を選択する選択処理と、
    選択された前記分割点決定関数を基に前記データの分割点を算出する算出処理と、
    前記データをグループに分けるグループ分け処理と、
    前記グループを基に前記データを匿名化する匿名化処理と
    をコンピュータに実行させるプログラム。
JP2014541954A 2012-10-18 2013-10-17 情報処理装置及び情報処理方法 Pending JPWO2014061275A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012230937 2012-10-18
JP2012230937 2012-10-18
PCT/JP2013/006175 WO2014061275A1 (ja) 2012-10-18 2013-10-17 情報処理装置及び情報処理方法

Publications (1)

Publication Number Publication Date
JPWO2014061275A1 true JPWO2014061275A1 (ja) 2016-09-05

Family

ID=50487854

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014541954A Pending JPWO2014061275A1 (ja) 2012-10-18 2013-10-17 情報処理装置及び情報処理方法

Country Status (4)

Country Link
US (1) US9607174B2 (ja)
EP (1) EP2911081A4 (ja)
JP (1) JPWO2014061275A1 (ja)
WO (1) WO2014061275A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6347665B2 (ja) * 2014-05-15 2018-06-27 富士通クラウドテクノロジーズ株式会社 制御装置、制御方法、及び制御プログラム
JP6456162B2 (ja) * 2015-01-27 2019-01-23 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ 匿名化処理装置、匿名化処理方法及びプログラム
JP6504089B2 (ja) * 2016-03-10 2019-04-24 横河電機株式会社 工程監視装置、工程監視システム、工程監視方法、工程監視プログラム及び記録媒体
US10445527B2 (en) * 2016-12-21 2019-10-15 Sap Se Differential privacy and outlier detection within a non-interactive model
CN109753809B (zh) * 2018-11-27 2021-07-06 国网浙江省电力有限公司 一种基于云存储系统的电网数据块分割方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8631500B2 (en) * 2010-06-29 2014-01-14 At&T Intellectual Property I, L.P. Generating minimality-attack-resistant data
JP2007219636A (ja) 2006-02-14 2007-08-30 Nippon Telegr & Teleph Corp <Ntt> データ開示方法およびデータ開示装置
US8590049B2 (en) * 2009-08-17 2013-11-19 At&T Intellectual Property I, L.P. Method and apparatus for providing anonymization of data
JP5416614B2 (ja) 2010-02-18 2014-02-12 Kddi株式会社 公開情報のプライバシー保護装置、公開情報のプライバシー保護方法およびプログラム

Also Published As

Publication number Publication date
EP2911081A1 (en) 2015-08-26
WO2014061275A1 (ja) 2014-04-24
EP2911081A4 (en) 2016-06-08
US9607174B2 (en) 2017-03-28
US20150286841A1 (en) 2015-10-08

Similar Documents

Publication Publication Date Title
Lankshear et al. Standardized synoptic cancer pathology reports—so what and who cares?: a population-based satisfaction survey of 970 pathologists, surgeons, and oncologists
WO2014061275A1 (ja) 情報処理装置及び情報処理方法
CN110582987B (zh) 用于在多个实体系统之间交换敏感信息的方法和系统
WO2013121739A1 (ja) 匿名化装置及び匿名化方法
Kramer et al. Comparing observed and predicted mortality among ICUs using different prognostic systems: why do performance assessments differ?
US9824185B2 (en) Electronic health records data management systems and methods
US20190333155A1 (en) Health insurance cost prediction reporting via private transfer learning
Fremont et al. When race/ethnicity data are lacking: using advanced indirect estimation methods to measure disparities
US20210165913A1 (en) Controlling access to de-identified data sets based on a risk of re- identification
US20160306999A1 (en) Systems, methods, and computer-readable media for de-identifying information
US20170046520A1 (en) Data center privacy
CN104081348A (zh) 通过在虚拟数据中心中最佳地放置vm而减少存储器使用的系统和方法
US20200162238A1 (en) User access control in blockchain
JP2021513179A (ja) ブロックチェーンを基にした同意管理システムおよび方法
CN110502519A (zh) 一种数据聚合的方法、装置、设备及存储介质
WO2013121738A1 (ja) 分散匿名化装置及び分散匿名化方法
JP2017027137A (ja) 情報処理装置、情報処理方法、及び、プログラム
Bhowmik et al. A comprehensive county level model to identify factors affecting hospital capacity and predict future hospital demand
EP3816835A1 (en) Personal information analysis system and personal information analysis method
JP2015141642A (ja) 利用同意管理装置
JP7351347B2 (ja) 情報取引システム、情報取引方法及びプログラム
Vyse et al. A review of current data to support decision making for introduction of next generation higher valency pneumococcal conjugate vaccination of immunocompetent older adults in the UK
Croft et al. Location-based anonymization: comparison and evaluation of the Voronoi-based aggregation system
US20220147651A1 (en) Data management method, non-transitory computer readable medium, and data management system
Koo et al. Mapping disadvantage: identifying inequities in functional outcomes for prostate cancer survivors based on geography