JPWO2015118801A1 - 情報判定装置、情報判定方法及びプログラム - Google Patents

情報判定装置、情報判定方法及びプログラム Download PDF

Info

Publication number
JPWO2015118801A1
JPWO2015118801A1 JP2015561194A JP2015561194A JPWO2015118801A1 JP WO2015118801 A1 JPWO2015118801 A1 JP WO2015118801A1 JP 2015561194 A JP2015561194 A JP 2015561194A JP 2015561194 A JP2015561194 A JP 2015561194A JP WO2015118801 A1 JPWO2015118801 A1 JP WO2015118801A1
Authority
JP
Japan
Prior art keywords
data
determination
data set
individual
stream data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015561194A
Other languages
English (en)
Other versions
JP6471699B2 (ja
Inventor
紗和子 見上
紗和子 見上
藤山 健一郎
健一郎 藤山
健太郎 山崎
健太郎 山崎
佑嗣 小林
佑嗣 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2015118801A1 publication Critical patent/JPWO2015118801A1/ja
Application granted granted Critical
Publication of JP6471699B2 publication Critical patent/JP6471699B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2282Tablespace storage structures; Management thereof

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Medical Informatics (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

時々刻々と追加されるストリームデータに関し、当該ストリームデータから個人が特定できるか否かを判定する情報判定装置を提供する。情報判定装置は、時系列に沿って取得されたストリームデータを記憶する第1の記憶部と、第1の記憶部に記憶されたストリームデータの数が所定値以上か否かを判定する第1の判定部と、第1の記憶部に記憶されたストリームデータの数が所定値以上の場合に、第1の記憶部に記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定し、判定に用いたデータセットと判定結果とを出力する第2の判定部と、を備える。

Description

本発明は、情報判定装置、情報判定方法及び記録媒体に関する。特に、データの集合により個人が特定できるか否かを判定する情報判定装置、情報判定方法及び記録媒体に関する。
近年、様々な個人情報が集積され、集積されたデータに基づいたサービスの普及が始まっている。例えば、IC(Integrated Circuit)タグにより管理される購入商品、GPS(Global Positioning System)信号を用いたモバイル端末の位置情報、ソーシャルメディアへの投稿、WEB(ウェブ)サイトの検索履歴、オンラインストアにおける商品購入履歴等の個人情報が収集されている。そして、この収集された個人情報は、消費者が興味のある商品を推薦するようなサービスに活用されている。なお、以降の説明において、スマートフォン等のデータを生成する装置を、ソースと表記する。
ソースから収集したデータを用いたサービスを提供する際に、当該サービスを実現するためのアプリケーションを開発する必要がある。その際、モバイル端末に通信網を提供する通信事業者やオンラインショッピングの運営業者が自らアプリケーションを開発することもあるが、外部にアプリケーションの開発を委託する場合もある。あるいは、通信事業者等のデータ保有者から個人情報を購入し、当該個人情報に基づいて独自のサービスを提供する業者も存在する。つまり、個人情報を収集する主体と、個人情報を利用する主体と、が一致しないことがある。このような場合には、データ保有者とデータ利用者の間で、個人情報の移動が生じることになる。その際、データ利用者に提供されたデータに基づいて、データ保有者に情報を提供した個人(ソースの保持者)が特定され、個人のプライバシが流出することを防止する必要がある。
ここで、非特許文献1において、所謂、k−匿名化と称される匿名化技術が開示されている。k−匿名化とは、同じ準識別子(quasi-identifier)を持つセンシティブ情報がk個(但し、kは2以上の整数、以下同じ)より少ない場合、準識別子の匿名化により、同じ準識別子を持つセンシティブ情報がk個以上存在することを保証する技術である。なお、準識別子とは、他の値と組み合わせることで非公開の属性を推測することができるような属性をいう。つまり、準識別子とは、ユーザを一意に識別できる識別子とは異なるが、背景知識等を考慮することでユーザを識別(ユーザを特定)できる可能性のある情報をいう。例えば、性別、年齢、職業等が準識別子に該当する。また、センシティブ情報とは、他人に知られたくない個人情報をいう。例えば、趣味や病状等がセンシティブ情報に該当する。
図22を用いて、k−匿名化処理の一例を説明する。図22において、kは3とし、年齢と職業が準識別子、病名がセンシティブ情報に該当する。図22の(a)は、患者の年齢、職業、病名に関する匿名化処理前の情報である。図22の(b)は、患者の年齢、職業、病名に関する匿名化処理後の情報である。図22の(a)に示す3つのデータのそれぞれは、年齢と職業がそれぞれ異なるため、27歳のプログラマが癌を患っていることが分かる。そのため、年齢(27歳)と職業(プログラマ)を知る人であれば、当該患者を特定できる可能性がある。
そこで、準識別子である年齢と職業を抽象化する作業が、k−匿名化である。具体的には、図22の(b)に示すように、年齢と職業を患者間で同一とすることで、年齢と職業が同じ患者がk人(ここでは3人)以上存在するため、患者の年齢と職業を知る人であっても、患者の病名を正確に知ることはできない。このように、k−匿名性を保証することで、個人が特定される可能性が1/k以下となる。
L. Sweeney, "k-anonymity: a model for protecting privacy", International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, vol.10, no.5, pp.557-570, 2002.
なお、上記先行技術文献の開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。
ここで、上述のk−匿名化のような匿名化処理は、データ保有者がある程度の期間に亘り収集したデータに対して行われることが想定されている。具体的には、数日〜数年間に亘り計測した位置情報や購入履歴といった、ハードディスクに格納されている大量のデータに対して、匿名化処理が行われるのが通常である。このような膨大な蓄積データから、アプリケーション開発者が要求するデータが、当事者(データ保有者とアプリケーション開発者)間で定めた頻度(例えば、数日に一度〜数ヶ月に一度)で抽出され、アプリケーションの開発に使用される。
そのため、アプリケーション開発者に提供されるデータ量も膨大なものとなる。このような状況下にて、抽出されたデータ(アプリケーション開発者に提供されるデータ)から個人が特定される可能性があると判断された場合に、匿名化処理が実行される。しかし、ネットワーク技術等の発達により、時々刻々と変化するストリームデータ(例えば、消費者の位置情報)を利用したサービスに対する需要が高まってきている。即ち、ソースから提供されたストリームデータをリアルタイムに処理する必要がある。
ここで、ストリームデータにも個人情報が含まれるため、ストリームデータから個人が特定できる場合には、何かしらの匿名化処理が求められる。しかし、ストリームデータは時々刻々と変化し、定期的に追加されるデータであるため、匿名化処理(例えば、k−匿名化処理)を行うのに十分なデータ量が確保されないことがある。
一方、位置情報のようなストリームデータを数日〜数ヶ月に亘り蓄積し、匿名化した状態にてアプリケーション開発者に提供すれば、個人が一意に識別される可能性は大幅に低減できる。しかし、位置情報を用いたサービスでは、ストリームデータをリアルタイムに処理し、消費者の位置に応じたタイムリーな情報提供に価値があるものである。即ち、ストリームデータを長期に蓄積した後に匿名化処理を実行することは許容されない。従って、時々刻々と発生するストリームデータから個人が特定できるか否かを判定し、適切な匿名化処理を匿名化装置に実行させる情報判定装置が望まれる。
本発明は、時々刻々と追加されるストリームデータに関し、当該ストリームデータから個人が特定できるか否かを判定することに寄与する情報判定装置、情報判定方法及び記録媒体を提供することを目的とする。
本発明の第1の視点によれば、時系列に沿って取得されたストリームデータを記憶する第1の記憶手段と、前記第1の記憶手段に記憶されたストリームデータの数が所定値以上か否かを判定する第1の判定手段と、前記第1の記憶手段に記憶されたストリームデータの数が所定値以上の場合に、前記第1の記憶手段に記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定し、前記判定に用いたデータセットと判定結果とを出力する第2の判定手段と、を備える情報判定装置が提供される。
本発明の第2の視点によれば、時系列に沿って取得されたストリームデータを記憶し、前記記憶されたストリームデータの数が所定値以上か否かを判定する第1の判定を行い、前記記憶されたストリームデータの数が所定値以上の場合に、前記記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する第2の判定を行い、前記第2の判定に用いたデータセットと判定結果とを出力する工程と、を含む情報判定方法が提供される。
本発明の第3の視点によれば、時系列に沿って取得されたストリームデータを記憶する処理と、前記記憶されたストリームデータの数が所定値以上か否かを判定する第1の判定を行う処理と、前記記憶されたストリームデータの数が所定値以上の場合に、前記記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する第2の判定を行う処理と、前記第2の判定に用いたデータセットと判定結果とを出力する処理と、を情報判定装置に搭載されたコンピュータに実行させるプログラムを記録するコンピュータ読み取り可能な記録媒体が提供される。
なお、このコンピュータが読み取り可能な記憶媒体に記録されたコンピュータプログラムも本発明の範疇に含まれる。また、記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
本発明の各視点によれば、時々刻々と追加されるストリームデータに関し、当該ストリームデータから個人が特定できるか否かを判定することに寄与する情報判定装置、情報判定方法及び記録媒体が、提供される。
一実施形態の概要を説明するための図である。 第1の実施形態に係るデータ処理システムの一構成例を示す図である。 第1の実施形態に係る情報判定装置の内部構成の一例を示す図である。 モバイル端末が送信するストリームデータの一例である。 データ記憶部が記憶するストリームデータの一例を示す図である。 第1の実施形態に係る情報判定装置の動作の一例を示すフローチャートである。 匿名化装置の内部構成の一例を示す図である。 第1の実施形態に係る情報判定装置が送信するデータセットの一例を示す図である。 第2の実施形態に係る情報判定装置の内部構成の一例を示す図である。 準識別子記憶部の保持する準識別子とそのカテゴリ分けの一例を示す図である。 匿名化可能データ数更新部の動作の一例を示すフローチャートである。 複数のデータセットの一例を示す図である。 複数のデータセットの一例を示す図である。 第3の実施形態に係る情報判定装置の内部構成の一例を示す図である。 特定可否判定部の動作の一例を示すフローチャートである。 過去のデータセットから個人が特定され得るか否かを判定する処理の一例を示すフローチャートである。 情報判定装置から送信されるデータセットの一例を示す図である。 第4の実施形態に係るデータ処理システムの一構成例を示す図である。 第4の実施形態に係る情報判定装置の内部構成の一例を示す図である。 データセット記憶部が保持するデータの一例を示す図である。 第4の実施形態に係る情報判定装置の動作の一例を示すフローチャートである。 k−匿名化処理を説明するための図である。
初めに、図1を用いて一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。
上述のように、時々刻々と追加されるストリームデータに関し、当該ストリームデータから個人が特定できるか否かを判定することに寄与する情報判定装置が望まれる。
そこで、一例として図1に示す情報判定装置100を提供する。情報判定装置100は、第1の記憶部101と、第1の判定部102と、第2の判定部103とを備える。第1の記憶部101は、情報処理装置100が時系列に沿って取得したストリームデータを記憶する。第1の判定部102は、第1の記憶部101に記憶されたストリームデータの数が所定値以上か否かを判定する。第2の判定部103は、第1の記憶部101に記憶されたストリームデータの数が所定値以上の場合に、第1の記憶部101に記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する。そして、第2の判定部103は、個人が特定されるか否かを判定したデータセットと判定結果とを出力する。
情報判定装置100は、匿名化装置にて匿名化する際に最低限必要となる数のストリームデータが、第1の記憶部101に記憶されているか判定する(第1の判定部102)。
第1の判定部102は、匿名化装置にて匿名化処理が実行できる程度の数のストリームデータがバッファされたか否かを判定する。この判定により、匿名化装置にて匿名化処理を実行するには少なすぎるストリームデータを、匿名化装置に送信することを防止する。そのため、時々刻々と追加されるストリームデータに対する匿名化処理が確かなものとなる。また、情報判定装置100は、バッファされたストリームデータの数が、所定値以上となった後、匿名化装置に送信しようとするデータセットに、個人が特定され得るストリームデータが含まれるか否かを判定する(第2の判定部103)。その結果、時々刻々と追加されるストリームデータから個人が特定できるか否かを判定できる情報判定装置が提供される。
以下に具体的な実施の形態について、図面を参照してさらに詳しく説明する。
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
図2は、第1の実施形態に係るデータ処理システムの一構成例を示す図である。図2を参照すると、データ処理システムは、ネットワーク10と、複数のモバイル端末20−1〜20−n(nは2以上の整数、以下同じ)と、情報判定装置30と、匿名化装置40と、サーバ50と、を含んで構成される。なお、以降の説明において、モバイル端末20−1〜20−nを区別する特段の理由がない場合には、単に「モバイル端末20」と表記する。
図2に示す端末及び各装置は、ネットワーク10を介して相互に接続されている。図2のデータ処理システムでは、モバイル端末20からサーバ50に向けてストリームデータが送られ、サーバ50にて情報処理された後、モバイル端末20にストリームデータを返信することで、ユーザに情報提供サービス等を提供する。その際、モバイル端末20が送信するストリームデータは、情報判定装置30に取り込まれる。
情報判定装置30は、当該ストリームデータ(受信データ)から個人が特定され得るか否かを判定し、受信データと共に判定結果を匿名化装置40に送信する。なお、情報判定装置30から匿名化装置40に送信される判定結果は、本実施の形態では、受信データから個人が特定され得ると判定されたことを示す「特定可能」と、個人が特定されることがないと判定した「特定不能」との2種である。
匿名化装置40は、通知された判定結果が「特定可能」である場合には、受信データに匿名化処理を施し、サーバ50に送信する。一方、匿名化装置40は、通知された判定結果が「特定不能」である場合には、受信データに匿名化処理を施さず、サーバ50に送信する。
モバイル端末20が送信するストリームデータには、モバイル端末20の位置に応じて、時々刻々と変化し、追加される位置情報が含まれる。そのため、モバイル端末20は、ストリームデータを送信する装置(ソース)である。但し、モバイル端末20が送信するストリームデータに位置情報が含まれることに限定する趣旨ではない。モバイル端末20が送信するストリームデータは、例えば、モバイル端末20のユーザの生体情報(例えば、脈拍等)を含むストリームデータであってもよい。
以上のように、図2に示す情報判定装置30は、モバイル端末20が送信するストリームデータから個人が特定できるか否かを判定し、判定結果を匿名化装置40に通知する。
図3は、情報判定装置30の内部構成の一例を示す図である。図3を参照すると、情報判定装置30は、受信部201と、データ記憶部(第1の記憶部)202と、データ数判定部(第1の判定部)203と、匿名化可能データ数記憶部204と、特定可否判定部(第2の判定部)205と、準識別子記憶部206と、保持データ更新部207と、送信部208と、を含んで構成される。
受信部201は、モバイル端末20が送信するストリームデータを受信する。そして、受信部201は、受信したストリームデータ(以下、受信データとも呼ぶ)をデータ記憶部202に格納する手段である。即ち、受信部201は、モバイル端末20が送信するストリームデータを時系列に沿って取得する。また、受信部201は、受信データをデータ数判定部203に引き渡す。
なお、上述のように、モバイル端末20が送信するデータはストリームデータであって、ソースであるモバイル端末20に関する情報、モバイル端末20を使用するユーザ(ソースの保持者)に関する情報、モバイル端末20が計測した情報から算出される情報等を含む。モバイル端末20に関する情報とは、例えば、モバイル端末の種別又は機種名等である。また、モバイル端末20を使用するユーザ(ソースの保持者)に関する情報とは、例えば、年齢、職業等である。また、モバイル端末20が計測した情報から算出される情報とは、例えば、位置、データ取得時の時刻、ユーザによる端末の操作状況や状態等である。また、モバイル端末20が送信するストリームデータには、他の値と組み合わせることで、個人を特定し得る準識別子に区分される情報(単に、データとも呼ぶ)を1以上含む。
図4は、モバイル端末20が送信するストリームデータの一例である。図4に示すストリームデータは、ユーザに関する情報である性別、年齢、職業と、モバイル端末20が計測した情報から算出される情報である端末の位置、状態(ユーザは移動中)、時刻と、を含む。
データ記憶部202は、ハードディスク等の記憶媒体を含んで構成され、ストリームデータを記憶する。データ記憶部202の初期状態は、図5の(a)に示すように記憶データがない状態(0個のストリームデータを保持する状態)である。データ記憶部202は、受信部201から受信データを取得するたびに、受信データを管理するテーブルやデータベースを更新する(図5の(b)、図5の(c)参照)。
なお、以降の説明において、情報判定装置30がモバイル端末20から受信したストリームデータの集合をデータセットと表記する。例えば、図5の(c)には、3つのストリームデータ(D1〜D3)を構成要素とするデータセットが例示されている。また、図5以降の図面における「番号」の項目は、説明の便宜上、付したものであり、モバイル端末20から送信されるストリームデータに含まれるものではない。
データ数判定部203は、データ記憶部202に記憶されたストリームデータ(受信データ)の数が所定値以上か否かを判定する手段である。具体的には、データ数判定部203は、データ記憶部202が保持するデータセットに含まれるストリームデータの数(データ数と呼ぶ)と、匿名化可能データ数記憶部204が保持する匿名化可能データ数と、を比較する。データ数判定部203は、データ記憶部202から取得したデータ数が匿名化可能データ数以上の場合には、受信部201から取得したストリームデータを特定可否判定部205に引き渡す。一方、データ数判定部203は、データ記憶部202が保持するデータ数が、匿名化可能データ数未満の場合には、特段の動作を行わない。
ここで、匿名化可能データ数とは、システム管理者が設定する値であって、匿名化装置40にて匿名化処理を行うのに必要となるデータ数以上の数とする。具体的には、匿名化装置40にて、k−匿名化処理が行われ、kが3である場合には、システム管理者は、匿名化可能データ数として3以上の値を設定する。
匿名化可能データ数記憶部204は、データ数判定部203にて使用する匿名化可能データ数を記憶する手段である。
準識別子記憶部206は、1個以上の準識別子を記憶する。システム管理者は、準識別子記憶部206が記憶する準識別子を予め登録する。より具体的には、システム管理者は、各モバイル端末20から送信されるストリームデータのうち、準識別子に区分されるデータが一致すると不都合があると考える準識別子を準識別子記憶部206に登録する。例えば、図5において、システム管理者が、「年齢」が一致すると、各モバイル端末20の所有者が特定される可能性が高いと判断すれば、準識別子記憶部206に「年齢」を登録する。あるいは、システム管理者が、「年齢」と「職業」が共に一致した場合に、個人が特定される可能性が高いと判断すれば、準識別子記憶部206に「年齢」と「職業」を登録する。
なお、第1の実施形態では、データ記憶部202、匿名化可能データ数記憶部204、準識別子記憶部206のそれぞれが異なる構成として説明するが、これらは1つの記憶装置により構成されてもよいし、任意に組み合わせて構成してもよい。
特定可否判定部205は、データ記憶部202に記憶されたストリームデータの数が匿名化可能データ数以上の場合に、データ記憶部202に記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する手段である。より具体的には、特定可否判定部205は、データ数判定部203からのストリームデータの取得を契機として、準識別子記憶部206が保持する準識別子に基づき、データ記憶部202に保持されるデータセットから個人が特定できるか否かを判定する。
特定可否判定部205は、データ記憶部202が保持するデータセットと、準識別子記憶部206が保持する準識別子と、をそれぞれ取得する。特定可否判定部205は、取得したデータセットを構成するストリームデータのそれぞれに含まれ、準識別子記憶部206から取得した準識別子と同じ準識別子に区分される、1以上のデータが不一致の場合に、個人が特定されると判定する。即ち、特定可否判定部205は、データセットを構成するストリームデータを構成するデータであって、準識別子に区分されるデータのうち、準識別子記憶部206が保持する準識別子に対応する準識別子に区分されるデータが互いに異なるか否かを判定する。そして、特定可否判定部205は、上記データが互いに異なる場合に、当該データセットには個人が特定され得るストリームデータが含まれると判定する。換言すれば、データセットを構成するデータに含まれ、準識別子に区分されるデータであって、準識別子記憶部206が保持する準識別子に対応する準識別子に区分されるデータが互いに一致すれば、当該データセットには個人が特定され得るストリームデータが含まれないと判定される。
例えば、図5の(c)において、ストリームデータD1〜D3からなるデータセットに関し、準識別子記憶部206が保持する準識別子が「年齢」であれば、ストリームデータD1〜D3における「年齢」に相当するデータ値は互いに異なる。そのため、特定可否判定部205は、当該データセットには個人が特定され得るストリームデータが含まれると判定する。一方、準識別子記憶部206が保持する準識別子が「性別」であれば、ストリームデータD1〜D3における「性別」に相当するデータ値は互いに同一である。そのため、特定可否判定部205は、当該データセットには個人が特定され得るストリームデータが含まれないと判定する。
特定可否判定部205は、データ記憶部202から取得した、上記判定に用いたデータセットと、当該データセットに個人が特定可能なストリームデータが含まれるか否かの判定結果(「特定可能」又は「特定不能」)と、を保持データ更新部207に引き渡す。特定可否判定部205は、当該判定が下されたデータセット及び判定結果を、保持データ更新部207及び送信部208を介して、外部に出力する。
保持データ更新部207は、特定可否判定部205から、判定が下されたデータセットと判定結果を取得した場合に、データ記憶部202に対して、判定が下されたデータセットに相当するデータセットの削除を指示し、データ記憶部202の記憶内容を更新する手段である。その後、保持データ更新部207は、特定可否判定部205から取得したデータセット及び判定結果を、送信部208を介して、匿名化装置40に送信する。
送信部208は、少なくともデータセットと判定結果を匿名化装置40に送信する手段である。
情報判定装置30の動作の概略をまとめると、図6に示すフローチャートのとおりとなる。
ステップS101において、受信部201は、モバイル端末20からストリームデータを受信する。その後、受信部201は、受信したストリームデータ(受信データ)をデータ記憶部202に格納する(ステップS102)。併せて、受信部201は、受信したストリームデータをデータ数判定部203に引き渡す。
ステップS103において、データ数判定部203は、データ記憶部202が保持するデータセットを取得し、当該データセットのデータ数と、匿名化可能データ数記憶部204が保持する匿名化可能データ数と、を比較する。
比較した結果、データセットに含まれるデータ数が匿名化可能データ数以上の場合(ステップS103、Yes分岐)には、データ数判定部203は、ストリームデータを特定可否判定部205に引き渡す。一方、比較した結果、データセットに含まれるデータ数が匿名化可能データ数未満の場合(ステップS103、No分岐)には、処理を終了する。
ステップS104において、特定可否判定部205は、データ記憶部202から取得したデータセットと準識別子記憶部206が保持する準識別子とにより、取得したデータセットから個人が特定され得るか否かを判定し、その判定結果を生成する。その後、特定可否判定部205は、取得したデータセットと判定結果を保持データ更新部207に引き渡す。
ステップS105において、保持データ更新部207は、取得したデータセットに相当するデータセットを削除する指示を、データ記憶部202に対して行う。その後、保持データ更新部207は、データセットと判定結果を送信部208に引き渡す。
ステップS106において、送信部208は、取得したデータセットと判定結果を匿名化装置40に送信し、処理を終了する。
図7は、匿名化装置40の内部構成の一例を示す図である。図7を参照すると、匿名化装置40は、少なくともデータセット及び判定結果を受信する受信部301と、匿名化部302と、匿名化部302を経由したデータセットを送信する送信部303と、を含んで構成される。
匿名化部302は、例えば、非特許文献1にて開示されるようなk−匿名化処理を実行することで、受信したデータセットに対する匿名化処理を行う。但し、匿名化処理を限定する趣旨ではなく、他の匿名化方法であってもよい。匿名化部302は、情報判定装置30から受信した判定結果が「特定可能」を示す場合に、匿名化処理を実行する。一方、匿名化部302は、受信した判定結果が「特定不能」を示す場合には、特段の処理を行わず、そのままデータセットを送信部303に引き渡す。
次に、図5及び図6を参照しながら、第1の実施形態に係る情報判定装置30の動作を具体的に説明する。その際、匿名化装置40はk−匿名化処理を実行するものとし、kは「3」とする。そのため、システム管理者は、情報判定装置30の匿名化可能データ数記憶部204に、匿名化可能データ数として「3」を予め登録しておく。但し、k−匿名化処理では、k個以上のストリームデータがあれば、ストリームデータの匿名化が可能であるため、匿名化可能データ数は「3」以上であればよい。
また、システム管理者は、準識別子記憶部206が保持する準識別子として、「年齢」と「職業」を予め登録する。さらに、データ記憶部202が記憶する各受信データの構成は、図5に示すように、「性別」、「年齢」、「職業」、「位置」、「状態」、「時刻」の各項目を含むものとする。さらにまた、動作の説明をする際のデータ記憶部202が記憶するデータセットは、図5の(b)のとおりとする。このような状態にて、受信部201が、図5の(d)に示すストリームデータを受信した場合を考える。
受信部201が、図5の(d)に示すストリームデータを受信(図6、ステップS101)すると、受信データをデータ記憶部202に格納する(ステップS102)。その結果、データ記憶部202が保持するデータセットは、図5の(c)となる。また、受信部201は、図5の(d)に示すストリームデータを、データ数判定部203に引き渡す。
ストリームデータ(図5の(d))を取得したデータ数判定部203は、データ記憶部202からデータセットに含まれるデータ数を取得する。データ記憶部202から取得したデータ数は、匿名化処理が行えるだけのデータ数(即ち、匿名化可能データ数記憶部204が保持する「3」)以上である(ステップS103、Yes分岐)ため、特定可否判定部205にストリームデータ(図5の(d))を引き渡す。ストリームデータ(図5の(d))を取得した特定可否判定部205は、データ記憶部202が保持するデータセット(図5の(c))を取得する。
特定可否判定部205が、取得したデータセットに含まれる3つのストリームデータそれぞれにおいて、準識別子記憶部206が保持する準識別子である「年齢」と「職業」に区分されるデータは、異なる。そのため、特定可否判定部205は、取得したデータセットには個人が一意に特定され得るストリームデータが含まれると判定する(ステップS104)。取得したデータセットには個人が一意に特定され得るストリームデータが含まれるので、特定可否判定部205は「特定可能」の判定結果を生成する。
その後、特定可否判定部205は、データセット(図5の(c))と「特定可能」を示す判定結果を、保持データ更新部207に引き渡す。データセット(図5の(c))と「特定可能」を示す判定結果を取得した保持データ更新部207は、当該取得したデータセットをデータ記憶部202から削除(ステップS105)する。その結果、データ記憶部202が記憶するストリームデータはなくなる(図5の(a))。
その後、保持データ更新部207は、取得したデータセットと「特定可能」を示す判定結果を、送信部208に引き渡す。送信部208は、取得したデータセット(図5の(c))と「特定可能」を示す判定結果を、匿名化装置40に送信する(ステップS106)。
以上のように、第1の実施形態に係る情報判定装置30は、匿名化装置40にて匿名化する際に最低限必要となる数のストリームデータが、データ記憶部202に記憶されているか判定する(第1の判定)。即ち、情報判定装置30は、匿名化装置40にて匿名化処理が実行できる程度の数のストリームデータがバッファ(蓄積)されたか否かを判定する。この第1の判定により、情報判定装置30は、匿名化装置40にて匿名化処理を実行するには少なすぎるストリームデータを、匿名化装置40に送信することを防止する。一方で、情報判定装置30が、ストリームデータをバッファする数は、必要最低限の数であるので、時々刻々と追加されるストリームデータを利用したサービスのリアルタイム性を損なうことがない。即ち、情報判定装置30は、第1の判定により、匿名化装置40による確実な匿名化処理の実行と、ストリームデータに対するリアルタイムな情報処理と、を両立する。
さらに、情報判定装置30は、匿名化装置40に送信しようとするデータセットに、個人が特定され得るストリームデータが含まれるか否かを判定する(第2の判定)。情報判定装置30は、この第2の判定結果を匿名化装置40に送信する。匿名化装置40では、この判定結果に基づいて、データセットに対する匿名化処理の要否を判断すればよく、特段、匿名化を要しないデータセットを匿名化することがない。そのため、匿名化装置40の負荷が軽減され、処理時間が短縮されることで、ストリームデータに対する情報処理のリアルタイム性を向上させることができる。
[第2の実施形態]
続いて、第2の実施形態について図面を参照して詳細に説明する。
第1の実施形態においては、情報判定装置30にストリームデータが所定数(匿名化可能データ数)以上蓄積されている場合に、データセットから個人が特定され得るか否かを判定する。
しかし、所定数以上のストリームデータが存在しても、匿名化装置40での匿名化が適切でない場合がある。例えば、匿名化可能データ数記憶部204が保持する匿名化可能データ数が3であり、情報判定装置30が送信するデータセットが、図8のとおりであったとする。なお、匿名化装置40は、kが3、準識別子として「年齢」、「職業」を用いてk−匿名化処理を実行するものとする。
その際、準識別子である「年齢」が22歳から55歳までと範囲が広く、匿名化処理を行うと、「年齢=20〜60」のように過度に抽象化されることになる。過度に抽象化されたデータセットは、当該データセットを利用しようとする業者にとって無価値な場合がある。例えば、20代の男性が興味ある事項と50代の男性が興味ある事項が大きく異なり、年齢に応じて、提供する情報を切り替えるような業者にとっては、上記のように過度に抽象化されたデータセットは無価値である。
そこで、第2の実施形態に係る情報判定装置30aでは、匿名化装置40での匿名化処理にて抽象度が過度に高くなる可能性を低減するため、特定可否判定部205で扱うデータ数を調整する。なお、データセットが「無価値」であるか否かは、当該データセットを利用するサービス内容に依存するため、システム管理者がサービスと匿名化処理の内容を勘案し、どのようなデータセットであれば意味を持つか(無価値とならないか)を定めるものとする。
図9は、第2の実施形態に係る情報判定装置30aの内部構成の一例を示す図である。
図9において図3と同一構成要素には、同一の符号を付し、その説明を省略する。情報判定装置30と情報判定装置30aの相違点は、特定可否判定部205aの動作と、準識別子記憶部206aが保持する内容と、匿名化可能データ数更新部(第3の判定部)209をさらに備える点である。
特定可否判定部205aの基本的な機能及び動作は、特定可否判定部205の機能及び動作と同じである。相違する点は、特定可否判定部205aは、データセットから個人が特定され得るか否かの判定がなされたデータセットを匿名化可能データ数更新部209に引き渡す点である。また、特定可否判定部205aは、匿名化可能データ数更新部209から、データセット及び判定結果の出力指示を受けた後、データセット及び判定結果を保持データ更新部207に引き渡す。
準識別子記憶部206aは、準識別子と、細分化された準識別子に区分されるデータが取り得る値とをカテゴリ分けして記憶する。なお、システム管理者は、準識別子に区分されたデータを所定の分類にカテゴリ分けし、準識別子記憶部206aに登録するものとする。より具体的には、システム管理者は、各準識別子が取り得る値を、ストリームデータを利用する業者にとってデータとして意味のある抽象度にて分類し、「分類名:値1、値2、・・・、値m」のようなフォーマットにて準識別子記憶部206aに登録する。ここで、「データとして意味のある抽象度にて分類」とは、準識別子の各値を、当該分類の程度まで抽象化したとしても、データが情報として意味がある単位にて分類することである。なお、準識別子記憶部206aは、第1の実施形態にて説明した、システム管理者が登録する準識別子も記憶する。
図10は、準識別子記憶部206aの保持する準識別子とそのカテゴリ分けの一例を示す図である。例えば、図10を参照すると、「職業」の準識別子の取り得る値として、アナウンサー、学芸員、塾講師、エンジニア、医師、一般事務員、受付等が例示されている。これらのうちアナウンサーや学芸員等は「専門」に割り振られ、エンジニアや医師等は「技術」に割り振られている。このように、準識別子記憶部206aは、複数の分類にカテゴリ分けされた、準識別子に区分されるデータが取り得る値(例えば、アナウンサー、エンジニア等)と、該複数のカテゴリの夫々を代表するデータ(例えば、「専門」、「技術」等の分類名)との関係を規定する情報を記憶する。
匿名化可能データ数更新部209は、匿名化装置40においてデータセットが匿名化された場合の抽象度を適切に保つように、匿名化の対象となるデータセットに含まれるデータ数を調整する手段である。匿名化可能データ数更新部209は、特定可否判定部205aからデータセットを取得した際に、当該データセットに対して匿名化処理を施すと過度に抽象度が高くなり、無価値な情報に該当するか判定する。より具体的には、匿名化可能データ数更新部209は、特定可否判定部205aにてデータセットから個人が特定されると判定された場合に、同種の準識別子に区分される1以上のデータを、準識別子記憶部206aが記憶する情報を用いて変換する。この同種の準識別子に区分される1以上のデータとは、判定が下されたデータセットを構成する複数のストリームデータのそれぞれに含まれるものである。
例えば、図8を参照すると、図8に示すデータセットはストリームデータD1〜D3が含まれている。システム管理者が登録した準識別子が「年齢」である場合には、ストリームデータD1〜D3に含まれるデータのうち、「年齢」に区分されるデータは互いに異なる。そのため、特定可否判定部205aは、データセットにより個人が特定可能と判定する。その後、匿名化可能データ数更新部209は、ストリームデータD1〜D3に含まれる「年齢」に区分されるデータを、準識別子記憶部206aに記憶された情報に基づき変換する。より具体的には、匿名化可能データ数更新部209は、ストリームデータD1とD3の「年齢」を「20代」、ストリームデータD2の「年齢」を「50代」に、それぞれ変換する。
その後、匿名化可能データ数更新部209は、変換後のデータを含む複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する。その際の具体的な手法は、第1の実施形態にて説明したとおりである。図8に示すデータセットにおける、準識別子に区分されるデータ変換の例では、ストリームデータD1とD3の年齢はそれぞれ「20代」に変換される。そのため、匿名化可能データ数更新部209は、当該2つのストリームデータからは個人が特定されないと判定する。但し、この場合には、ストリームデータD2の年齢が「50代」であるので、ストリームデータD1〜D3からなるデータセットに対する判定は、個人が特定可能となる。
さらに、匿名化可能データ数更新部209は、匿名化されたデータセットが無価値になると判断した場合には、匿名化可能データ数記憶部204が記憶する匿名化可能データ数を所定数分大きくする。匿名化可能データ数記憶部204が記憶する匿名化可能データ数が大きくなれば、データセット内にて同じ準識別子の値を持つストリームデータが存在する確率が上がるためである。例えば、図8を参照して説明した上述の例では、ストリームデータD2の年齢が「50代」であるため、個人が特定可能である。そのため、図8に示す3つのストリームデータD1〜D3を匿名化装置40に送信すると、「年齢」が過度に抽象化される可能性がある。従って、このような場合に、匿名化可能データ数更新部209は、匿名化されたデータセットは無価値なものと判断する。匿名化可能データ数更新部209は、判断した結果、匿名化可能データ数記憶部204が保持する匿名化可能データ数を大きくすることで、データセットを構成するストリームデータの数を多くする。データセットを構成するストリームデータの数が多くなれば、同じ準識別子に区分されるデータが存在する確率が上昇し、データセットからの個人の特定を不可能にする。上述の例では、ストリームデータD1〜D3に追加されたストリームデータの準識別子「年齢」に区分されるデータであって、変換後のデータが「50代」となれば、当該データを含むストリームデータが追加されたデータセットから個人が特定できなくなくなる。
図11は、匿名化可能データ数更新部209の動作の一例を示すフローチャートである。
ステップS201において、匿名化可能データ数更新部209は、特定可否判定部205aからデータセットを取得する。
ステップS202において、匿名化可能データ数更新部209は、データセットを構成する各ストリームデータの準識別子に区分されるデータを、準識別子記憶部206aが保持する分類名に変換する。例えば、匿名化可能データ数更新部209は、準識別子「職業」が取る値が「エンジニア」であれば、「技術」に変換し、変換後のデータセットを生成する。
ステップS203において、匿名化可能データ数更新部209は、変換後のデータセットに関し、個人が特定され得るストリームデータが含まれるか否かを判定する。その際の具体的な判定方法は、第1の実施形態にて説明した内容と同一でよいため説明を省略する。
変換後のデータセットに個人が特定され得るストリームデータが含まれる場合(ステップS203、Yes分岐)には、準識別子記憶部206aにて格納されている分類よりも抽象度を高くしなければ、個人が特定される可能性が高いことを意味する。一方で、これ以上、抽象度を高めてしまうと、情報として無価値になるとシステム管理者が判断しているため、データセットを構成するデータ数を増やし、同じ準識別子の値を持つストリームデータが存在する確率を上昇させる処理を行う。そこで、匿名化可能データ数更新部209は、匿名化可能データ数記憶部204が記憶する匿名化可能データ数の値を大きくする(ステップS204)。
なお、ステップS204の処理が終了した後は、匿名化可能データ数更新部209は処理を終了する。これにより、特定可否判定部205aは、更新された匿名化可能データ数を用いて、再び、データセットから個人が特定され得るか否かを判定する。その場合、更新された匿名化可能データ数を用いて、判定が下されたデータセットに対して、匿名化可能データ数更新部209は、ステップS201〜S203の処理を繰り返す。
匿名化可能データ数の増加と変換後のデータセットに対する判定処理が繰り返された結果、変換後のデータセットに個人が特定され得るストリームデータが含まれないと判定された場合(ステップS203、No分岐)には、ステップS205に処理を進める。この場合、システム管理者が考える上限の抽象化により、個人が特定されることは回避できることになる。そこで、匿名化可能データ数更新部209は、特定可否判定部205aに対して、データセット及び判定結果の出力指示を行う(ステップS205)。
あるいは、匿名化可能データ数更新部209は、変換後のデータセットから個人が特定可能ではない(ステップS203、No分岐)と判定した後、匿名化可能データ数記憶部204が記憶する匿名化可能データ数の値を所定数分小さくしてもよい。その場合には、匿名化可能データ数更新部209は、匿名化可能データ数を順次小さくする。そして、情報判定装置30aは、匿名化可能データ数更新部209による図11に示す処理と、特定可否判定部205aによる再判定処理とを繰り返す。その後、匿名化可能データ数更新部209は、匿名化可能データ数が下限を示す(ステップS203にてYes分岐となる)際の1サイクル前の匿名化可能データ数におけるデータセットを出力する指示を行う。
なお、第2の実施形態では、過度な抽象化によりデータセットが無価値とならないように、システム管理者が、準識別子に区分されるデータが取り得る値をカテゴリ分けして、準識別子記憶部206aに記憶させる。つまり、システム管理者が、サーバ50から提供されるサービスの性質と匿名化装置40での匿名化処理の内容を勘案し、準識別子記憶部206aが記憶する内容を定めている。そのため、情報判定装置30aは、準識別子を変換した後のデータセットではなく、データ記憶部202が保持するデータセットを、匿名化装置40に送信する。
一方で、情報判定装置30aは、匿名化装置40に対して、準識別子を変換した後の複数のストリームデータからなるデータセットを送信してもよい。この場合には、匿名化装置40における一部の処理を、情報判定装置30aに取り込むことになるため、匿名化装置40の負荷が軽減できる。
以上のように、第2の実施形態に係る匿名化可能データ数更新部209は、特定可否判定部205aにて判定が下されたデータセットを構成するストリームデータの準識別子に区分されるデータを、準識別子記憶部206aに記憶された情報に基づき変換する機能を備える。また、匿名化可能データ数更新部209は、準識別子を変換したデータセットから、個人が特定され得るか否かを判定する機能を備える。さらに、匿名化可能データ数更新部209は、必要に応じて、匿名化可能データ数を更新する機能を備える。
第2の実施形態に係る情報判定装置30aは、データセットを匿名化した場合に抽象化が過度に高くなると判断した場合に、匿名化可能データ数の値を調整する。その結果、匿名化装置40での匿名化処理にて、データセットに含まれるデータの抽象度が過度に高くなる可能性を低減できる。
[第3の実施形態]
続いて、第3の実施形態について図面を参照して詳細に説明する。
第1の実施形態に係る情報判定装置30は、ストリームデータに対する個人の特定可否を判定している。しかし、ストリームデータは時々刻々と追加されるデータである。そのため、あるタイミングにて情報判定装置30から匿名化装置40に送られるデータセットだけからは個人が特定できないとしても、他のタイミングにて送信された複数のデータセットを組み合わせると個人が特定できる可能性がある。
例えば、時刻T0の時点におけるデータセットが図12の(a)、時刻T1の時点におけるデータセットが図12の(b)、時刻T2の時点におけるデータセットが図12の(c)とする。なお、図12では、ストリームデータのソースであるモバイル端末20を識別するID(Identifier)も、モバイル端末20から情報判定装置30に送信されるものとする。
図12を参照すると、準識別子が「性別」と「年齢」であった場合、第1の実施形態に係る情報判定装置30は、各データセットから個人を特定できないと判定する。その結果、匿名化装置40は、各データセットに対する匿名化処理は行われず、IDを匿名IDに置換し、サーバ50に送信する。具体的には、匿名化装置40は、図12の(a)に示すデータセットを図13の(a)に、図12の(b)に示すデータセットを図13の(b)に、図12の(c)に示すデータセットを図13の(c)にそれぞれ変換する。そして、匿名化装置40は、変換したデータセットをサーバ50に送信する。その結果、3つのデータセットのそれぞれに、「00A」という匿名IDが含まれることになる。そのため、これらの3つのデータセットを受信したサーバ50(アプリケーション開発者)は、「匿名ID=00A」の人物が、22歳の男性で、(X1、Y1)にある会社に勤務していると個人を特定する可能性がある。
第3の実施形態に係る情報判定装置30bは、複数のデータセットを組み合わせることで個人が特定できるか否かを判定すると共に、その可能性を低減させる。
図14は、第3の実施形態に係る情報判定装置30bの内部構成の一例を示す図である。図14において図3と同一構成要素には、同一の符号を付し、その説明を省略する。情報判定装置30と情報判定装置30bの相違点は、特定可否判定部205bの動作と、送信済みデータセット記憶部(第2の記憶部)210をさらに備える点である。
特定可否判定部205bは、データ記憶部202に記憶されたデータセットに基づいて個人が特定されると判定した場合に、データ記憶部202と送信済みデータセット記憶部210に記憶されたデータセットに基づいて個人が特定されるか否かを再び判定する手段である。これにより、特定可否判定部205bは、複数のデータセットを組み合わせることで個人が特定できるか否かを判定する。
より具体的には、特定可否判定部205bは、個人が特定されると判定したデータセットに含まれる複数のストリームデータのうち、同種の準識別子に区分される1以上のデータを含まないストリームデータが、送信済みデータセット記憶部210に記憶されたデータセットに存する回数を計数する。ここで、同種の準識別子に区分される1以上のデータを含まないストリームデータとは、個人が特定され得るストリームデータである。そして、特定可否判定部205bは、計数した回数が所定の値以上の場合に、判定したデータセットに基づいて個人が特定されるか否かを判定する。つまり、特定可否判定部205bは、データ記憶部202に格納されている各ストリームデータについて、過去一定期間に送信したデータセットに、一定回数以上同じ準識別子に区分されるデータを持つストリームデータが存在する場合に、個人が特定され得ると判定する。なお、上記の「一定期間」や「一定回数」は、システム管理者が予め情報判定装置30bに設定する値である。また、特定可否判定部205bは、送信部208を介して匿名化装置40に送信するデータセットを、送信済みデータセット記憶部210に格納する。
送信済みデータセット記憶部210は、情報判定装置30bが匿名化装置40に送信したデータセットを記憶する手段である。
図15は、特定可否判定部205bの動作の一例を示すフローチャートである。
特定可否判定部205bは、データ数判定部203からストリームデータを受信(ステップS301)した際、データ記憶部202が保持するデータセットから個人が特定され得るか判定する(ステップS302)。なお、その際の具体的な判定方法は、第1の実施形態にて説明した方法と同様でよいため、さらなる説明を省略する。
データセットから個人が特定され得る場合(ステップS302、Yes分岐)には、特定可否判定部205bは、データセット及び判定結果を保持データ更新部207に引き渡す(ステップS303)。この場合の判定結果は「特定可能」であるため、データセットを受信した匿名化装置40は、当該データセットを匿名化する。
一方、データセットから個人が特定されない場合(ステップS302、No分岐)には、特定可否判定部205bは、過去のデータセットから個人が特定され得るか否かを判定する(ステップS304)。具体的には、特定可否判定部205bは、データ記憶部202が保持するデータセットを構成する各ストリームデータについて、過去一定期間内に送信したデータセットに、一定回数以上、同じ準識別子に区分されるデータを持つストリームデータが存在するか否かを検証する。これにより、特定可否判定部205bは、現時点のデータセットと過去のデータセットとを組み合わせて個人が特定され得るか否かを判定する。なお、「一定期間」は所定数のデータセットとしてもよい。また、より具体的な、判定方法は後述する。
特定可否判定部205bは、過去のデータセットと組み合わせても個人が特定されないと判定した場合(ステップS304、No分岐)には、ステップS303の処理を実行する。この場合、現時点でのデータセットは、ステップS302にて、現時点でのデータセットから個人が特定されないと判定されている。さらに、ステップS304にて、過去のデータセットからも個人が特定されないと判定されている。従って、匿名化装置40において、現時点でのデータセットを匿名化しなくとも、個人が特定される可能性は低い。そこで、特定可否判定部205bは、ステップS304を経由して、ステップS303の処理を実行する場合には、判定結果に「特定不能」を設定し、データセットを添えて保持データ更新部207に引き渡す。
特定可否判定部205bは、過去のデータセットと組み合わせると個人が特定されると判定した場合(ステップS304、Yes分岐)には、送信済みデータセット記憶部210に格納されているデータセットのうち、予め定めた一定期間を経過したデータセットを削除する(ステップS305)。さらに、特定可否判定部205bは、現時点においてデータ記憶部202が保持するデータセットと現在時刻からなるデータのペアを送信済みデータセット記憶部210に追加し、更新する。
ステップS306において、特定可否判定部205bは、データセット、判定結果、過去のデータセットと組み合わせて個人が特定され得るストリームデータ(被疑データと表記する)を、保持データ更新部207に引き渡す。この場合、送信しようとするデータセットから個人が特定可能ではないが、過去のデータセットを考慮すれば、個人が特定される可能性が高い。そのため、特定可否判定部205bは、判定結果として「特定不明」を設定するなど、「特定可能」や「特定不能」と区別することが望ましい。なお、「特定不明」を示す判定結果を受信した匿名化装置40は、受信したデータセットに対して匿名化処理を施せば、個人が特定される可能性が減少する。
あるいは、特定可否判定部205bは、被疑データの準識別子の値を操作(例えば、準識別子が年齢であれば、データ値に+1とする等の処理)する等の処理を行うことにより、過去のデータセットとの組み合わせを困難にしてもよい。
次に、図15におけるステップS304の詳細について説明する。
図16は、過去のデータセットと組み合わせて個人が特定され得るか否かを判定する処理の一例を示すフローチャートである。なお、図16では、データセットを構成するデータのうち、ステップS302にて個人が特定され得ると判定されたストリームデータをデータAと表記する。また、データAを格納する変数をxとし、データAが過去の一定期間内に送信されたデータセットに出現する回数をカウントする変数をyとする。
ステップS401において、特定可否判定部205bは、変数x及びyを初期化する。
ステップS402において、特定可否判定部205bは、送信済みデータセット記憶部210が保持するデータセットについて、データAの準識別子に区分されるデータと同じデータが存在するか否かを判定する。このようなデータが存在すれば(ステップS402、Yes分岐)、特定可否判定部205bは、変数yをインクリメント(y=y+1)する(ステップS403)。同じデータが出現しなければ(ステップS402、No分岐)、特定可否判定部205bは、特段の処理を行わない。
ステップS404において、特定可否判定部205bは、送信済みデータセット記憶部210が保持する過去に送信済みのデータセットであって、予め定めた一定期間内の各データセットに関し、ステップS402の処理が終了したか否かを判定する。つまり、特定可否判定部205bは、上記データセットに対し、準識別子に区分されるデータが同じデータが存在するかを確認する処理が終了したか否かを判定する。必要なデータセットの確認が終了していなければ(ステップS404、No分岐)、特定可否判定部205bは、ステップS402以降の処理を繰り返す。
必要なデータセットの確認が終了していれば(ステップS404、Yes分岐)、特定可否判定部205bは、変数yと予め定めた値(一定値)との比較を行う(ステップS405)。
比較した結果、変数yが一定値以上であれば(ステップS405、Yes分岐)、特定可否判定部205bは、変数xにデータAをセットする(ステップS406)。データAがセットされた変数xは、被疑データとして扱われる。比較した結果、変数yが一定値未満であれば(ステップS405、No分岐)、特定可否判定部205bは、特段の処理を行わない。
以上のように、第3の実施形態に係る情報判定装置30bは、複数のデータセットを組み合わせることで個人が特定できるか否かを判定する。また、情報判定装置30bは、過去のデータセットと組み合わせることで、個人が特定され得るストリームデータを被疑データとして匿名化装置40に送信することで、個人が特定される可能性を低減させる。
[第4の実施形態]
続いて、第4の実施形態について図面を参照して詳細に説明する。
第1の実施形態に係る情報判定装置30及び匿名化装置40では、モバイル端末20からの受信データをサーバ50に転送している。しかし、情報判定装置30又は匿名化装置40にて、サーバ50に送信するデータセットを絞り込むようなシステムも考えられる。
例えば、情報判定装置30に特定の条件(ルール)を設定しておき、当該条件を満たすデータセットに限り、サーバ50に受信データを送信するようなシステムが考えられる。
このような場合、情報判定装置30に複数の条件が設定され、各条件を満たすデータセットがサーバ50に送信された場合に、各データセットを統合することで、個人が特定される可能性がある。
例えば、サーバ50にて実現されるアプリケーションが、特定の条件を満たすストリームデータを配信するソース(モバイル端末20)にクーポンを配信するクーポン配信サービスであることを考える。その場合、位置情報が駅Aから半径500m以内にいるユーザにレストランAの割引券付きであるクーポン1を配信し、駅Aから半径300m以内にいるユーザにレストランBの割引券付きであるクーポン2を配信するとする。
このとき、サーバ50は、クーポン1を配信するために、位置が駅Aから半径500m以内である情報を含むデータセットとして、情報判定装置30から図17の(a)に示すデータセットを受信したものとする。また、サーバ50は、クーポン2を配信するために、位置が駅Aから半径300m以内である情報を含むデータセットとして、情報判定装置30から図17の(b)に示すデータセットを受信したものとする。
すると、k−匿名化処理(k=2、準識別子は年齢と職業とする)を実行することで、2つのデータセットに限り利用する場合には、個人を特定することはできない。しかし、2つのデータセット(図17の(a)と図17の(b)のデータセット)を統合すると、駅Aから半径300mから500mの間に位置するソース(モバイル端末20)のストリームデータは、図17の(a)のストリームデータD3であることが判明し、個人が特定される可能性がある。
第4の実施形態に係る情報判定装置31では、複数の条件から絞り込まれて取得したデータセットを組み合わせることで、個人が特定できるか否かを判定する。なお、第4の実施形態に係る情報判定装置31は、第1の実施形態に係る情報判定装置30と匿名化装置40の間に配置され、動作するものとする(図18参照)。
情報判定装置30には、データセットを送信する際に判定される複数の条件が設定されており、各条件とサービスが関連付けられて管理されている。そこで、情報判定装置30は、特定の条件に関連付けされたサービスを識別するID(サービスID)と共にデータセットを送信するものとする。
図19は、第4の実施形態に係る情報判定装置31の内部構成の一例を示す図である。
図19を参照すると、情報判定装置31は、受信部401と、データセット記憶部402と、特定可否判定部403と、準識別子記憶部404と、送信部405と、を含んで構成される。
受信部401は、情報判定装置30から受信したサービスIDとデータセットを、データセット記憶部402に格納する。なお、データセット記憶部402は、0個以上のサービスIDとデータセットのペアを保持する(図20参照)。受信部401は、受信したサービスIDに対応する、データセット記憶部402に格納されたサービスIDのカラムのデータセットを、受信したデータセットに更新する。次に、受信部401は、受信したサービスIDとデータセットを特定可否判定部403に引き渡す。
特定可否判定部403は、複数の条件に基づいて取得したデータセットを組み合わせた場合に、個人が特定され得るか否かを判定する。ここで、情報判定装置30に設定されている条件がz個存在する場合に、各データセットは、最大2の数のグループに分類される。例えば、情報判定装置30に設定されている条件が2つ(条件1、条件2)の場合を考える。この場合、条件1、条件2いずれも適用されない場合、条件1が適用される場合、条件2が適用される場合、条件1及び条件2が共に適用される場合、の4グループに分類される。
その後、特定可否判定部403は、分類された各グループを構成するデータセットについて、第1の実施形態にて説明した準識別子を用いた個人の特定可否に関する判定を行う。
送信部405は、取得した判定結果とデータセットを、匿名化装置40に送信する。準識別子記憶部404は、第1の実施形態にて説明した準識別子記憶部206と同様に、準識別子を記憶する。
情報判定装置31の動作の概略をまとめると、図21に示すフローチャートのとおりとなる。
ステップS501において、受信部401は、情報判定装置30からデータセットとサービスIDを受信する。その後、受信部401は、データセット記憶部402のデータセットを受信したデータセットに更新する(ステップS502)。併せて、受信部401は、受信したデータセットとサービスIDを、特定可否判定部403に引き渡す。
ステップS503において、特定可否判定部403は、サービスIDを取得した際に、データセット記憶部402が保持するデータセットから個人が特定され得るか判定する。
その後、特定可否判定部403は、データセットと判定結果を、送信部405に引き渡す。
ステップS504において、送信部405は、データセットと判定結果を、匿名化装置40に送信する。なお、ステップS503における判定の結果、個人が特定できる場合には、たとえ、当該データセット単独では個人が特定できない場合であっても、送信部405は、判定結果として「特定可能」を匿名化装置40に送信する。これにより、匿名化装置40は、当該データセットに対して匿名化処理を施すことになるため、該データセットから個人が特定され得る可能性を低減できる。
以上のように、第4の実施形態に係る情報判定装置31は、複数の条件から絞り込まれて取得したデータセットを組み合わせることで、個人が特定できるか否かを判定し、個人が特定され得る可能性を低減する。
なお、第1乃至第4の実施形態にて説明したデータ処理システムの構成(図2、図18)は例示であって、システムの構成を限定する趣旨ではない。例えば、情報判定装置30の機能が匿名化装置40に組み込まれていてもよい。あるいは、第4の実施形態にて説明した情報判定装置31は、情報判定装置30、30a、30bの機能の一部として実装されていてもよい。
また、情報判定装置30等のデータ数判定部203、特定可否判定部205、保持データ更新部207等の各部が行う処理は、情報判定装置30に搭載されたコンピュータに、そのハードウェアを用いて、上述した各処理を実行させるコンピュータプログラムにより実現できる。つまり、データ数判定部203等が行う機能を何らかのハードウェア、及び/又は、ソフトウェアで実行する手段があればよい。
さらに、コンピュータの記憶部に、上述したコンピュータプログラムをインストールすることにより、コンピュータを情報判定装置として機能させることができる。さらにまた、上述したコンピュータプログラムをコンピュータに実行させることにより、コンピュータによりデータセットから個人が特定できるか否かの判定方法を実行することができる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
時系列に沿って取得されたストリームデータを記憶する第1の記憶部と、
前記第1の記憶部に記憶されたストリームデータの数が所定値以上か否かを判定する第1の判定部と、
前記第1の記憶部に記憶されたストリームデータの数が所定値以上の場合に、前記第1の記憶部に記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定し、前記判定に用いたデータセットと判定結果とを出力する第2の判定部と、
を備える情報判定装置。
[付記2]
前記第1の記憶部に記憶されたストリームデータは、他の値と組み合わせることで、個人を特定し得る準識別子に区分されるデータを含み、
前記第2の判定部は、前記第1の記憶部に記憶された複数のストリームデータのそれぞれに含まれ、同種の準識別子に区分される1以上のデータが不一致の場合に、個人が特定されると判定する、付記1に記載の情報判定装置。
[付記3]
前記第2の判定部から、該第2の判定部が前記判定に用いたデータセットと前記判定結果とを取得した場合に、前記第1の記憶部に対して、前記判定に用いたデータセットに相当するデータセットの削除を指示するデータ更新部をさらに備える付記1又は2に記載の情報判定装置。
[付記4]
準識別子に区分されるデータが取り得る値は複数のカテゴリに分けられており、
前記複数のカテゴリを代表するデータと各カテゴリに含まれるデータとの関係を規定する情報に基づいて、前記各カテゴリに含まれるデータを、前記カテゴリを代表するデータに変換し、前記変換後のデータを含む複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する第3の判定部をさらに備える付記1乃至3のいずれか一に記載の情報判定装置。
[付記5]
前記第3の判定部は、個人が特定できると判定した場合に、前記第1の判定部にて使用する所定値を所定数分大きくし、
個人が特定できないと判定した場合に、前記第1の判定部にて使用する所定値を所定数分小さくする、付記4に記載の情報判定装置。
[付記6]
前記第2の判定部が過去に出力した、該第2の判定部が前記判定に用いたデータセットを記憶する第2の記憶部をさらに備え、
前記第2の判定部は、前記第1の記憶部に記憶されたデータセットに基づいて個人が特定されると判定した場合に、前記第1及び第2の記憶部に記憶されたデータセットに基づいて個人が特定されるか否かを再び判定することで、前記判定に用いたデータセットに基づいて個人が特定されるか否かを判定する、付記1乃至5のいずれか一に記載の情報判定装置。
[付記7]
前記第2の判定部は、個人が特定されると判定したデータセットに含まれる複数のストリームデータのうち、同種の準識別子に区分される1以上のデータを含まないストリームデータが、前記第2の記憶部に記憶されたデータセットに存する回数を計数し、計数した回数が所定の値以上の場合に、前記判定に用いたデータセットに基づいて個人が特定されるか否かを再び判定する、付記6に記載の情報判定装置。
[付記8]
外部から供給されるストリームデータを受信し、前記第1の記憶部に記憶する受信部と、
前記第2の判定部により判定されたデータセット及び前記判定結果を、外部に出力する送信部と、をさらに備える付記1乃至7のいずれか一に記載の情報判定装置。
[付記9]
前記第1の記憶部に記憶されるストリームデータには、ストリームデータを生成する生成装置に関するデータと、前記生成装置の保持者に関するデータと、前記生成装置が計測した情報に基づき生成されるデータと、を含む付記1乃至8のいずれか一に記載の情報判定装置。
[付記10]
時系列に沿って取得された複数のストリームデータからなるデータセットであって、所定の規則に基づいて絞り込まれた、複数のデータセットを記憶する記憶部と、
前記絞り込まれた複数のデータセットを組み合わせることで、前記取得されたストリームデータに関係する個人が特定されるか否かを判定する判定部と、
を備える情報判定装置。
[付記11]
時系列に沿って取得されたストリームデータを記憶し、
前記記憶されたストリームデータの数が所定値以上か否かを判定する第1の判定を行い、
前記記憶されたストリームデータの数が所定値以上の場合に、前記記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する第2の判定を行い、
前記第2の判定に用いたデータセットと判定結果とを出力する、
情報判定方法。
[付記12]
時系列に沿って取得されたストリームデータを記憶する処理と、
前記記憶されたストリームデータの数が所定値以上か否かを判定する第1の判定を行う処理と、
前記記憶されたストリームデータの数が所定値以上の場合に、前記記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する第2の判定を行う処理と、
前記第2の判定に用いたデータセットと判定結果とを出力する処理と、
を情報判定装置に搭載されたコンピュータに実行させるプログラムを記録するコンピュータ読み取り可能な記録媒体。
[付記13]
付記1乃至10のいずれか一に記載の情報判定装置と、
前記情報判定装置が送信するデータセットに対する匿名化処理の実施を、前記判定結果に基づいて定める匿名化装置と、
を含むデータ処理システム。
なお、付記11〜付記13の各形態は、付記1と同様に、付記2〜付記9の形態に展開することが可能である。
なお、引用した上記の非特許文献の開示は、本書に引用をもって繰り込むものとする。
本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
この出願は、2014年2月4日に出願された日本出願特願2014−019439を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10 ネットワーク
20、20−1〜20−n モバイル端末
30、30a、30b、31、100 情報判定装置
40 匿名化装置
50 サーバ
101 第1の記憶部
102 第1の判定部
103 第2の判定部
201、301、401 受信部
202 データ記憶部
203 データ数判定部
204 匿名化可能データ数記憶部
205、205a、205b、403 特定可否判定部
206、206a、404 準識別子記憶部
207 保持データ更新部
208、303、405 送信部
209 匿名化可能データ数更新部
210 送信済みデータセット記憶部
302 匿名化部
402 データセット記憶部

Claims (10)

  1. 時系列に沿って取得されたストリームデータを記憶する第1の記憶手段と、
    前記第1の記憶手段に記憶されたストリームデータの数が所定値以上か否かを判定する第1の判定手段と、
    前記第1の記憶手段に記憶されたストリームデータの数が所定値以上の場合に、前記第1の記憶手段に記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定し、前記判定に用いたデータセットと判定結果とを出力する第2の判定手段と、
    を備える情報判定装置。
  2. 前記第1の記憶手段に記憶されたストリームデータは、他の値と組み合わせることで、個人を特定し得る準識別子に区分されるデータを含み、
    前記第2の判定手段は、前記第1の記憶手段に記憶された複数のストリームデータのそれぞれに含まれ、同種の準識別子に区分される1以上のデータが不一致の場合に、個人が特定されると判定する、請求項1に記載の情報判定装置。
  3. 前記第2の判定手段から、該第2の判定手段が前記判定に用いたデータセットと前記判定結果とを取得した場合に、前記第1の記憶手段に対して、前記判定に用いたデータセットに相当するデータセットの削除を指示するデータ更新手段をさらに備える請求項1又は2に記載の情報判定装置。
  4. 準識別子に区分されるデータが取り得る値は複数のカテゴリに分けられており、
    前記複数のカテゴリを代表するデータと各カテゴリに含まれるデータとの関係を規定する情報に基づいて、前記各カテゴリに含まれるデータを、前記カテゴリを代表するデータに変換し、前記変換後のデータを含む複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する第3の判定手段をさらに備える請求項1乃至3のいずれか一項に記載の情報判定装置。
  5. 前記第3の判定手段は、個人が特定できると判定した場合に、前記第1の判定手段にて使用する所定値を所定数分大きくし、
    個人が特定できないと判定した場合に、前記第1の判定手段にて使用する所定値を所定数分小さくする、請求項4に記載の情報判定装置。
  6. 前記第2の判定手段が過去に出力した、該第2の判定手段が前記判定に用いたデータセットを記憶する第2の記憶手段をさらに備え、
    前記第2の判定手段は、前記第1の記憶手段に記憶されたデータセットに基づいて個人が特定されると判定した場合に、前記第1及び第2の記憶手段に記憶されたデータセットに基づいて個人が特定されるか否かを再び判定することで、前記判定に用いたデータセットに基づいて個人が特定されるか否かを判定する、請求項1乃至5のいずれか一項に記載の情報判定装置。
  7. 前記第2の判定手段は、個人が特定されると判定したデータセットに含まれる複数のストリームデータのうち、同種の準識別子に区分される1以上のデータを含まないストリームデータが、前記第2の記憶手段に記憶されたデータセットに存する回数を計数し、計数した回数が所定の値以上の場合に、前記判定に用いたデータセットに基づいて個人が特定されるか否かを再び判定する、請求項6に記載の情報判定装置。
  8. 外部から供給されるストリームデータを受信し、前記第1の記憶手段に記憶する受信手段と、
    前記第2の判定手段により判定されたデータセット及び前記判定結果を、外部に出力する送信手段と、をさらに備える請求項1乃至7のいずれか一項に記載の情報判定装置。
  9. 時系列に沿って取得されたストリームデータを記憶し、
    前記記憶されたストリームデータの数が所定値以上か否かを判定する第1の判定を行い、
    前記記憶されたストリームデータの数が所定値以上の場合に、前記記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する第2の判定を行い、
    前記第2の判定に用いたデータセットと判定結果とを出力する、
    情報判定方法。
  10. 時系列に沿って取得されたストリームデータを記憶する処理と、
    前記記憶されたストリームデータの数が所定値以上か否かを判定する第1の判定を行う処理と、
    前記記憶されたストリームデータの数が所定値以上の場合に、前記記憶された複数のストリームデータからなるデータセットに基づいて個人が特定されるか否かを判定する第2の判定を行う処理と、
    前記第2の判定に用いたデータセットと判定結果とを出力する処理と、
    を情報判定装置に搭載されたコンピュータに実行させるプログラムを記録するコンピュータ読み取り可能な記録媒体。
JP2015561194A 2014-02-04 2015-01-14 情報判定装置、情報判定方法及びプログラム Active JP6471699B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014019439 2014-02-04
JP2014019439 2014-02-04
PCT/JP2015/000135 WO2015118801A1 (ja) 2014-02-04 2015-01-14 情報判定装置、情報判定方法及び記録媒体

Publications (2)

Publication Number Publication Date
JPWO2015118801A1 true JPWO2015118801A1 (ja) 2017-03-23
JP6471699B2 JP6471699B2 (ja) 2019-02-20

Family

ID=53777616

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015561194A Active JP6471699B2 (ja) 2014-02-04 2015-01-14 情報判定装置、情報判定方法及びプログラム

Country Status (3)

Country Link
US (1) US9959427B2 (ja)
JP (1) JP6471699B2 (ja)
WO (1) WO2015118801A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10013576B2 (en) * 2014-12-12 2018-07-03 Panasonic Intellectual Property Management Co., Ltd. History information anonymization method and history information anonymization device for anonymizing history information
US11087024B2 (en) * 2016-01-29 2021-08-10 Samsung Electronics Co., Ltd. System and method to enable privacy-preserving real time services against inference attacks
US10778647B2 (en) * 2016-06-17 2020-09-15 Cisco Technology, Inc. Data anonymization for distributed hierarchical networks
JP6748612B2 (ja) * 2017-07-13 2020-09-02 日本電信電話株式会社 匿名性評価装置、匿名性評価方法、およびプログラム
TWI644224B (zh) * 2017-10-18 2018-12-11 財團法人工業技術研究院 資料去識別化方法、資料去識別化裝置及執行資料去識別化方法的非暫態電腦可讀取儲存媒體
JP6779854B2 (ja) * 2017-12-04 2020-11-04 Kddi株式会社 匿名化装置、匿名化方法及び匿名化プログラム
WO2020149141A1 (ja) * 2019-01-15 2020-07-23 ソニー株式会社 データ処理装置、データ処理方法、データ処理プログラム、端末装置およびデータ処理システム
US11550953B2 (en) * 2020-09-16 2023-01-10 Saudi Arabian Oil Company Preserving cloud anonymity

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011142327A1 (ja) * 2010-05-10 2011-11-17 日本電気株式会社 情報処理装置、制御方法及びプログラム
WO2012090628A1 (ja) * 2010-12-27 2012-07-05 日本電気株式会社 情報保護装置及び情報保護方法
JP2013041536A (ja) * 2011-08-19 2013-02-28 Fujitsu Ltd 情報処理方法及び装置
WO2013121739A1 (ja) * 2012-02-17 2013-08-22 日本電気株式会社 匿名化装置及び匿名化方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8627483B2 (en) * 2008-12-18 2014-01-07 Accenture Global Services Limited Data anonymization based on guessing anonymity
US20110010563A1 (en) * 2009-07-13 2011-01-13 Kindsight, Inc. Method and apparatus for anonymous data processing
CA2734545A1 (en) * 2010-03-19 2011-09-19 University Of Ottawa A system and method for evaluating marketer re-identification risk
JP5942634B2 (ja) * 2012-06-27 2016-06-29 富士通株式会社 秘匿化装置、秘匿化プログラムおよび秘匿化方法
US8972605B2 (en) * 2012-11-07 2015-03-03 Verizon Patent And Licensing Inc. Secure location identification service
TW201426578A (zh) * 2012-12-27 2014-07-01 Ind Tech Res Inst 匿名資料集的產生方法及裝置與風險評估方法及裝置
US10146958B2 (en) * 2013-03-14 2018-12-04 Mitsubishi Electric Research Laboratories, Inc. Privacy preserving statistical analysis on distributed databases

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011142327A1 (ja) * 2010-05-10 2011-11-17 日本電気株式会社 情報処理装置、制御方法及びプログラム
WO2012090628A1 (ja) * 2010-12-27 2012-07-05 日本電気株式会社 情報保護装置及び情報保護方法
JP2013041536A (ja) * 2011-08-19 2013-02-28 Fujitsu Ltd 情報処理方法及び装置
WO2013121739A1 (ja) * 2012-02-17 2013-08-22 日本電気株式会社 匿名化装置及び匿名化方法

Also Published As

Publication number Publication date
JP6471699B2 (ja) 2019-02-20
US9959427B2 (en) 2018-05-01
WO2015118801A1 (ja) 2015-08-13
US20160350557A1 (en) 2016-12-01

Similar Documents

Publication Publication Date Title
JP6471699B2 (ja) 情報判定装置、情報判定方法及びプログラム
US8849861B2 (en) Information management apparatus, data processing method and computer program
US20140317756A1 (en) Anonymization apparatus, anonymization method, and computer program
US8938433B2 (en) Information management apparatus, information management method, and information control program
CN105431844A (zh) 用于搜索系统的第三方搜索应用
JP6817169B2 (ja) データ流通方法及びデータ流通基盤装置
JP5723331B2 (ja) サービス提供方法及びサービス提供システム
Martin Using indoor location system data to enhance the quality of healthcare event logs: opportunities and challenges
JP6214150B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2014199589A (ja) 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム
JPWO2014030302A1 (ja) 匿名化を実行する情報処理装置及び匿名化処理方法
JP2014011503A (ja) 秘匿化装置、秘匿化プログラムおよび秘匿化方法
JP7341655B2 (ja) 情報処理装置及びプログラム
JP6267398B2 (ja) サービス設計支援システムおよびサービス設計支援方法
JP2014146268A (ja) 端末装置、サーバ装置、及びプッシュ型配信プログラム
US20140100872A1 (en) Method, apparatus, and computer program product for sharing patient charting templates
JP7441157B2 (ja) データ管理方法、コンピュータプログラム及びデータ管理システム
KR102640123B1 (ko) 빅데이터의 비식별화 처리방법
Luo et al. Swan: A novel mobile system to track and analyze social well-being
Sarkar et al. Visualization of COVID-19 Pandemic: An Analysis Through Machine Intelligent Technique Toward Big Data Paradigm
Ndubuisi-Obi et al. Using public-private data to understand compliance with mobility restrictions in Sierra Leone
JP7107077B2 (ja) ユーザ分析装置及びプログラム
JP7278512B1 (ja) グラフ処理装置、グラフ処理システム及びグラフ処理方法
JP6375107B2 (ja) 匿名化装置、匿名化方法、及び匿名化プログラム
JP7460188B2 (ja) 行動支援システム、行動支援方法及び行動支援プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190107

R150 Certificate of patent or registration of utility model

Ref document number: 6471699

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150