WO2011013495A1

WO2011013495A1 - 情報管理装置、情報管理方法、及び情報管理プログラム

Info

Publication number: WO2011013495A1
Application number: PCT/JP2010/061592
Authority: WO
Inventors: 伸也宮川
Original assignee: 日本電気株式会社
Priority date: 2009-07-31
Filing date: 2010-07-08
Publication date: 2011-02-03
Also published as: CN102473227A; EP2461266A4; JP5729300B2; JPWO2011013495A1; US20120131030A1; EP2461266A1; CN102473227B; US8938433B2

Abstract

複数の個人ＩＤと、複数の個人ＩＤの各々に関連付けられた情報とを機密情報として格納する機密情報記憶部と、第１サービス提供装置から送信される所望の機密情報を取得するための第１検索条件を受信する受信部と、第１検索条件に合致する第１候補情報を機密情報記憶部から抽出する検索部と、第１サービス提供装置に既に送信されている複数の匿名化された情報を格納する送信履歴記憶部と、複数の匿名化された情報のうちで、第１候補情報と同じ種類の情報を有する第１情報に基づいて、第１候補情報と第１情報とが含まれるように加工した第１送信情報を生成する匿名化部と、第１送信情報を第１サービス提供装置へ送信する送信部とを具備する。

Description

情報管理装置、情報管理方法、及び情報管理プログラム

　本発明は、機密情報を管理する情報管理装置、情報管理方法、及び情報管理プログラムに関する。

　近年、プライバシ情報を安全に流通させるための技術が数多く提案されている。この種の技術として、例えば、特許文献１から３の技術が挙げられる。

　特許文献１には、プライバシ情報の提供方法に関し、人物を推測されることを防止しつつ、その人物のプライバシ情報を提供できるデータ開示装置が提案されている。このデータ開示装置は、１つ以上の属性から構成されるデータを１つ以上保持する保持手段と、データの特定の属性を開示する場合の匿名性を計算する匿名性計算手段と、計算した匿名性が所望する匿名性を有しない場合に、特定の属性のデータの粒度を変更し、所望の閾値以上の匿名性を有するようにして属性のデータを開示する粒度変更開示手段とを有することを特徴とする。このようなデータ開示装置は、匿名性確保が困難で開示できなかった個人情報を、記述粒度を粗くすることによって開示することができるというものである。

　特許文献２には、プライバシ情報を外部へ安全に公開する情報仲介システムが開示されている。この情報仲介システムは、利用者端末と、情報提供者端末と、仲介サーバとを有する。仲介サーバは、情報提供者端末から提供情報を収集して蓄積する手段と、情報提供者の属性情報を蓄積する手段と、提供情報の各項目と属性情報の各項目との組合せの公開条件を保持する手段とを備える。仲介サーバは、公開条件に従って組合せを公開し、組合せの公開が許可されていない場合、提供情報と属性情報とを名寄せするためのデータをダミー情報に書換えて情報を提供する。このような情報仲介システムは、利用者に提供情報を公開する範囲をきめ細かい条件に基づいて定義して、情報公開の仕方を変更することができるというものである。

　特許文献３には、会員のプライバシを保護しつつ、会員一人一人に合わせたサービスの提供を実現する会員情報管理センタ装置が開示されている。この会員情報管理センタ装置は、個別会員情報を個別会員ＩＤに対応づけて管理する複数の個別会員情報データベースと、二次会員情報を二次会員ＩＤに対応付けて管理する二次会員情報データベースとを備える。そして、会員情報管理センタ装置は、個別会員ＩＤと二次会員ＩＤとを対応づけて有する会員サービス提供装置から、個別会員ＩＤと二次会員ＩＤの対応関係を受信すると、会員情報について名寄せを行い、一意に推定されることを防止する所定の情報加工処理を実施して抽象化個別会員情報を作成する。更に、会員情報管理センタ装置は、二次会員ＩＤと抽象化個別会員情報とを含む名寄せ会員情報を作成して、二次会員情報データベースに記憶し、二次会員ＩＤと個別会員ＩＤの対応関係を破棄することを特徴とする。このような会員情報管理センタ装置は、会員情報がそのまま露呈しても個々の会員毎の詳細な会員情報は把握が困難であり、一定のレベルで会員のプライバシを守ることができるというものである。

特開２００７－２１９６３６号公報特開２００７－２６４７３０号公報特開２００６－２６８３３７号公報

　特許文献１に記載の技術は、利用者が情報を一部しか参照しない場合であっても、許可された範囲で全ての情報を参照することを前提に抽象化、細分化、匿名化等の処理を行っている。その結果、特許文献１に記載の技術には、情報の精度が落ちてしまうという問題点がある。特許文献２に記載の技術には、データにダミー情報が含まれていることを利用者が認識し、ダミー情報を解析から除かなくてはならない問題点がある。特許文献３に記載の技術には、複数の開示相手に対して異なる抽象化処理を行った二次会員情報を提供する場合、開示相手同士が名寄せを行うことにより、個別会員を特定できる問題点がある。

　本発明の目的は、実際に利用する範囲で、匿名性を満たす機密情報を提供することができる情報管理装置を提供することにある。

　本発明の情報管理装置は、複数の個人ＩＤと、複数の個人ＩＤの各々に関連付けられた情報とを機密情報として格納する機密情報記憶部と、第１サービス提供装置から送信される所望の機密情報を取得するための第１検索条件を受信する受信部と、第１検索条件に合致する第１候補情報を機密情報記憶部から抽出する検索部と、第１サービス提供装置に既に送信されている複数の匿名化された情報を格納する送信履歴記憶部と、複数の匿名化された情報のうちで、第１候補情報と同じ種類の情報を有する第１情報に基づいて、第１候補情報と第１情報とが含まれるように加工した第１送信情報を生成する匿名化部と、第１送信情報を第１サービス提供装置へ送信する送信部とを具備する。

　本発明の情報管理方法は、第１サービス提供装置から送信される所望の機密情報を取得するための第１検索条件を受信するステップと、複数の個人ＩＤと、複数の個人ＩＤの各々に関連付けられた情報とを機密情報として格納する機密情報記憶部から、第１検索条件に合致する第１候補情報を抽出するステップと、第１サービス提供装置に既に送信されている複数の匿名化された情報のうちで、第１候補情報と同じ種類の情報を有する第１情報に基づいて、第１候補情報と第１情報とが含まれるように加工した第１送信情報を生成するステップと、第１送信情報を第１サービス提供装置へ送信するステップとを具備する。

　本発明の情報管理プログラムは、第１サービス提供装置から送信される所望の機密情報を取得するための第１検索条件を受信するステップと、複数の個人ＩＤと、複数の個人ＩＤの各々に関連付けられた情報とを機密情報として格納する機密情報記憶部から、第１検索条件に合致する第１候補情報を抽出するステップと、第１サービス提供装置に既に送信されている複数の匿名化された情報のうちで、第１候補情報と同じ種類の情報を有する第１情報に基づいて、第１候補情報と第１情報とが含まれるように加工した第１送信情報を生成するステップと、第１送信情報を第１サービス提供装置へ送信するステップとをコンピュータ実行可能に具備する。

　本発明の情報管理装置は、実際に利用する範囲で、匿名性を満たす機密情報を提供することができる。

　上記発明の目的、効果、特徴は、添付される図面と連携して実施の形態から、より明らかになる。
図１は、本発明の第１の実施の形態による情報管理装置１００の構成を示す機能ブロック図である。図２は、情報管理装置１００の実施の形態における、ハードウェア構成例を示すブロック図である。図３は、本発明の情報管理装置１００の第１の実施の形態による処理動作を示したフローチャートである。図４は、本発明の第２の実施の形態による情報管理装置２００の構成を示す機能ブロック図である。図５は、本発明の情報管理装置２００の第２の実施の形態による処理動作を示したフローチャートである。図６は、本発明の第３の実施の形態による情報管理装置３００の構成を示す機能ブロック図である。図７は、本発明の情報管理装置３００の第３の実施の形態による処理動作を示したフローチャートである。図８は、機密情報記録部１０１が格納する行動情報を示した図である。図９は、送信履歴記憶部１０４が格納する送信履歴１０４ａの状態を示した図である。図１０は、住宅地エリアから、オフィス街エリアと繁華街エリアとの両方に移動する行動情報（個人ＩＤ「個人Ｚ」）を図８に追加した図である。図１１は、匿名化部１０５が、個人ＩＤ「個人Ｚ」の住宅地エリアとオフィス街エリアとの位置情報を、匿名化された「個人Ｃ」及び「個人Ｄ」と同じ広さをもつ位置情報に変換する様子を示した図である。図１２は、ＩＤ対応記憶部１１０が格納する個人ＩＤと、個人ＩＤに対応するサービス個人ＩＤとを示した表である。図１３は、機密情報記憶部１０１が格納する個人ＩＤが「個人Ａ」である人物の行動情報を示した図である。図１４は、住宅地エリアから繁華街エリアに移動する、個人ＩＤが「個人Ｂ」の人物の行動情報を図１３に追加した図である。

　以下、添付図面を参照して本発明の実施の形態による情報管理装置、情報管理方法、及び情報管理プログラムを説明する。

　（第１の実施の形態）
　本発明の第１の実施の形態を説明する。図１は、本発明の第１の実施の形態による情報管理装置１００の構成を示す機能ブロック図である。本発明の情報管理装置１００は、ネットワークなどの情報伝送経路を介して、複数のサービス提供装置１０（１０ａ、１０ｂ、１０ｃ）と接続される。複数のサービス提供装置１０の各々は、様々なサービス提供者によって操作される。本発明の情報管理装置１００は、格納している機密情報に匿名化を施して、各サービス提供装置１０へ送信することができる。図１を参照すると、情報管理装置１００は、機密情報記憶部１０１と、受信部１０２と、検索部１０３と、送信履歴記憶部１０４と、匿名化部１０５と、管理部１０６と、送信部１０７とを具備する。

　機密情報記憶部１０１は、複数の個人情報を機密情報として格納する。詳細には、機密情報記憶部１０１は、複数の個人ＩＤと、複数の個人ＩＤの各々に関連付けられた情報（個人情報）とを機密情報として格納する。個人ＩＤは、情報の所有者、発信者、管理者など人物を識別するＩＤである。複数の個人ＩＤの各々に関連付けられた情報は、氏名、住所など人物を特定する情報と、移動情報、購買情報など人物の特徴を明らかにする情報と、プライバシを侵害したりするような情報とのうち、少なくとも１つを含む。尚、個人ＩＤのフォーマットは、情報管理装置１００で一意に識別できればよく、ＵＵＩＤ（Ｕｎｉｖｅｒｓａｌｌｙ　Ｕｎｉｑｕｅ　Ｉｄｅｎｔｉｆｉｅｒ）のような形式でもよいし、ＯｐｅｎＩＤ等に採用されているＵＲＩ（Ｕｎｉｆｏｒｍ　Ｒｅｓｏｕｒｃｅ　Ｉｄｅｎｔｉｆｉｅｒ）やＸＲＩ（Ｅｘｔｅｎｓｉｂｌｅ　Ｒｅｓｏｕｒｃｅ　Ｉｄｅｎｔｉｆｉｅｒ）のような形式でもよい。

　受信部１０２は、サービス提供装置１０が所望の機密情報を取得するために送信する検索要求を受信する。検索要求は、人物の氏名や、情報の種類や、情報が生成された期間等の検索条件と、サービス提供装置１０又はサービス提供者を識別するサービスＩＤとを含む。受信部１０２は、受信した検索要求を検索部１０３に提供する。

　検索部１０３は、受け取った検索要求から検索条件を取り出す。検索部１０３は、機密情報記憶部１０１に格納されている機密情報の中から、検索条件に合致する複数の情報（候補情報）を抽出する。候補情報は、個人ＩＤと、個人ＩＤに関連付けられた複数の情報とを含む。検索部１０３は、複数の候補情報と、検索要求に含まれるサービスＩＤとを匿名化部１０５に提供する。

　送信履歴記憶部１０４は送信履歴を格納する。送信履歴は、各サービス提供装置１０に既に送信されている複数の匿名化された情報（送信情報）と、各送信情報の送信先のサービス提供装置１０を識別するサービスＩＤとを関連付けたものである。匿名化された情報（送信情報）は、複数の個人ＩＤと、複数の加工された情報とを含む。加工された情報は、機密情報記憶部１０１の個人ＩＤに対応する人物を特定されないように、複数の個人ＩＤに関連付けられた情報のうちの少なくとも２つを含むように加工（匿名化）された情報を示す。尚、機密情報の匿名化は後述する匿名化部１０５が行い、送信情報の送信は後述する送信部１０７が行う。サービスＩＤのフォーマットは、情報管理装置１００で一意に識別でき、サービス提供装置１０に対して送信情報を送信できる形式であればよく、ＵＲＬ（Ｕｎｉｆｏｒｍ　Ｒｅｓｏｕｒｃｅ　Ｌｏｃａｔｏｒ）やＵＲＩのような一般的な形式でもよい。

　匿名化部１０５は、検索部１０３から複数の候補情報とサービスＩＤとを受け取る。匿名化部１０５は、送信履歴記憶部１０４の送信履歴（サービスＩＤと送信情報との組）を参照して、受け取ったサービスＩＤと同じサービスＩＤと関連付けられた複数の送信情報を抽出する。次に、匿名化部１０５は、複数の候補情報と、抽出した複数の送信情報とをマージして仮送信情報を生成する。匿名化部１０５は、仮送信情報が匿名性を満たすように、複数の送信情報を用いて、複数の候補情報に対して、抽象化、曖昧化、部分削除等の加工（匿名化）を施す。換言すると、匿名化部１０５は、少なくとも１つの候補情報と、その候補情報と同じ種類の情報を有する少なくとも１つの送信情報とが含まれるように加工する。匿名化部１０５は、仮送信情報が匿名性を満たした時点で、匿名化された仮送信情報を新たな送信情報としてサービスＩＤと共に管理部１０６に提供する。尚、匿名化部１０５は、送信履歴記憶部１０４に送信情報が格納されていない場合、複数の候補情報を用いて、同じ種類の情報を有する少なくとも２つ以上の候補情報を含むように加工し、新たな送信情報を生成することができる。

　管理部１０６は、匿名化部１０５からサービスＩＤと新たな送信情報とを受け取る。管理部１０６は、サービス提供装置１０に送信される新たな送信情報をサービスＩＤと共に送信履歴記憶部１０４に提供する。更に、管理部１０６は、サービスＩＤと新たな送信情報とを送信部１０７へ提供する。尚、送信履歴記憶部１０４は、新たな送信情報をサービスＩＤと関連付けて、送信履歴に格納する。

　送信部１０７は、サービスＩＤと新たな送信情報とを受け取る。送信部１０７は、サービスＩＤに基づいて、新たな送信情報をサービス提供装置１０に送信する。

　本発明の実施の形態による情報管理装置１００は、コンピュータを用いて実現可能である。図２は、情報管理装置１００の実施の形態における、ハードウェア構成例を示すブロック図である。図２を参照すると、本発明の情報管理装置１００は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１と、記憶装置２と、入力装置３と、出力装置４と、各装置を接続するバス５とを備えるコンピュータシステムで構成される。

　ＣＰＵ１は、記憶装置２に格納されている本発明の情報管理装置１００に係る演算処理及び制御処理を行う。記憶装置２は、ハードディスクやメモリなど、情報の記録を行う装置である。記憶装置２は、ＣＤ－ＲＯＭやＤＶＤ等のコンピュータ読み取り可能な記憶媒体から読み取られたプログラム、入力装置３から入力された信号やプログラム、及びＣＰＵ１の処理結果を格納する。入力装置３は、マウス、キーボード、マイクロフォンなど、ユーザがコマンド及び信号を入力することが出来る装置である。出力装置４は、ディスプレイ、スピーカなど、ユーザに出力結果を認識させる装置である。尚、本発明はハードウェア構成例と示したものに限定されず、各部はハードウェアとソフトウェアとを単独又は組み合わせて実現することが出来る。

　図３は、本発明の情報管理装置１００の第１の実施の形態による処理動作を示したフローチャートである。図３を参照して、本発明の第１の実施の形態による処理動作を説明する。

　ステップＳ０１：
　受信部１０２は、サービス提供装置１０から検索要求を受信する。検索要求は、人物の氏名や、情報の種類や、情報が生成された期間等の検索条件と、サービス提供装置１０又はサービス提供者を識別するサービスＩＤとを含む。受信部１０２は、受信した検索要求を検索部１０３に提供する。

　ステップＳ０２：
　検索部１０３は、受け取った検索要求から検索条件を取り出す。検索部１０３は、機密情報記憶部１０１に格納されている機密情報の中から、検索条件に合致する複数の情報（候補情報）を抽出する。候補情報は、個人ＩＤと、個人ＩＤに関連付けられた複数の情報とを含む。検索部１０３は、複数の候補情報と、検索要求に含まれるサービスＩＤとを匿名化部１０５に提供する。

　ステップＳ０３：
　匿名化部１０５は、検索部１０３から複数の候補情報とサービスＩＤとを受け取る。匿名化部１０５は、送信履歴を用いて複数の候補情報を匿名化する。詳細には、匿名化部１０５は、送信履歴記憶部１０４の送信履歴（サービスＩＤと送信情報との組）を参照して、受け取ったサービスＩＤと同じサービスＩＤと関連付けられた複数の送信情報を抽出する。次に、匿名化部１０５は、複数の候補情報と、抽出した複数の送信情報とをマージして仮送信情報を生成する。匿名化部１０５は、仮送信情報が匿名性を満たすように、複数の送信情報を用いて、複数の候補情報に対して、抽象化、曖昧化、部分削除等の加工（匿名化）を施す。換言すると、匿名化部１０５は、少なくとも１つの候補情報と、その候補情報と同じ種類の情報を有する少なくとも１つの送信情報とが含まれるように加工する。匿名化部１０５は、仮送信情報が匿名性を満たした時点で、匿名化された仮送信情報を新たな送信情報としてサービスＩＤと共に管理部１０６に提供する。尚、匿名化部１０５は、送信履歴記憶部１０４に送信情報が格納されていない場合、複数の候補情報を用いて、同じ種類の情報を少なくとも２つ以上有するように加工し、新たな送信情報を生成することができる。

　ステップＳ０４：
　管理部１０６は、匿名化部１０５からサービスＩＤと新たな送信情報とを受け取る。管理部１０６は、サービス提供装置１０に送信される新たな送信情報をサービスＩＤと共に送信履歴記憶部１０４に提供する。更に、管理部１０６は、サービスＩＤと新たな送信情報とを送信部１０７へ提供する。送信履歴記憶部１０４は、新たな送信情報をサービスＩＤと関連付けて、送信履歴に格納する。

　ステップＳ０５：
　送信部１０７は、サービスＩＤと新たな送信情報とを受け取る。送信部１０７は、サービスＩＤに基づいて、新たな送信情報をサービス提供装置１０に送信する。

　以上説明したように、本発明の第１の実施の形態による情報管理装置１００は、サービス提供装置１０が要求する機密情報を、過去にそのサービス提供装置１０に送信した送信情報と併せて匿名化した上で提供することができる。機密情報全体を匿名化すると情報の精度が落ちすぎる場合であっても、サービス提供装置１０が要求する機密情報が全体の一部の場合には、情報の精度の落ちを最小限に抑えることができる。このように、本発明の第１の実施の形態の情報管理装置１００は、サービス提供装置１０に提供する機密情報の匿名性を確保する過程において、情報の精度を向上させることができる効果を奏する。

　（第２の実施の形態）
　本発明の第２の実施の形態を説明する。本発明の第２の実施の形態による情報管理装置２００が第１の実施の形態の情報管理装置１００と異なることは、機密情報に含まれる個人ＩＤをサービス提供装置１０毎に変換して提供できることである。

　図４は、本発明の第２の実施の形態による情報管理装置２００の構成を示す機能ブロック図である。図４を参照すると、本発明の第２の実施の形態による情報管理装置２００は、機密情報記憶部１０１と、受信部１０２と、検索部１０３と、送信履歴記憶部１０４と、匿名化部１０５と、管理部１０６と、送信部１０７と、ＩＤ対応記憶部１１０と、ＩＤ変換部１１１とを具備する。機密情報記憶部１０１と、受信部１０２と、検索部１０３と、送信履歴記憶部１０４と、匿名化部１０５と、管理部１０６と、送信部１０７とは、第１の実施の形態と同様であるため説明を省略する。

　ＩＤ対応記憶部１１０は、複数の個人ＩＤと、サービス提供装置１０毎に異なる複数のサービス個人ＩＤとを対応付けて格納する。

　ＩＤ変換部１１１は、検索部１０３から複数の候補情報と、サービスＩＤとを受け取る。ＩＤ変換部１１１は、複数の候補情報の各々に含まれる個人ＩＤを読み出す。ＩＤ変換部１１１は、ＩＤ対応記憶部１１０を参照して、受け取ったサービスＩＤと読み出した個人ＩＤとに対応するサービス個人ＩＤを抽出する。ＩＤ変換部１１１は、複数の候補情報の各々に含まれる個人ＩＤを、それぞれ抽出したサービス個人ＩＤに置き換える。ＩＤ変換部１１１は、サービスＩＤと、それぞれのサービス個人ＩＤを含む複数の候補情報とを匿名化部１０５へ提供する。

　図５は、本発明の第２の実施の形態による情報管理装置２００の処理動作を示したフローチャートである。図５を参照して、本発明の第２の実施の形態による処理動作を説明する。

　ステップＳ１０：
　受信部１０２は、サービス提供装置１０から検索要求を受信する。検索要求は、人物の氏名や、情報の種類や、情報が生成された期間等の検索条件と、サービス提供装置１０又はサービス提供者を識別するサービスＩＤとを含む。受信部１０２は、受信した検索要求を検索部１０３に提供する。

　ステップＳ１１：
　検索部１０３は、受け取った検索要求から検索条件を取り出す。検索部１０３は、機密情報記憶部１０１に格納されている機密情報の中から、検索条件に合致する複数の情報（候補情報）を抽出する。候補情報は、個人ＩＤと、個人ＩＤに関連付けられた複数の情報とを含む。検索部１０３は、複数の候補情報と、検索要求に含まれるサービスＩＤとをＩＤ変換部１１１に提供する。

　ステップＳ１２：
　ＩＤ変換部１１１は、検索部１０３から複数の候補情報と、サービスＩＤとを受け取る。ＩＤ変換部１１１は、複数の候補情報の各々に含まれる個人ＩＤを読み出す。ＩＤ変換部１１１は、ＩＤ対応記憶部１１０を参照して、受け取ったサービスＩＤと読み出した個人ＩＤとに対応するサービス個人ＩＤを抽出する。ＩＤ変換部１１１は、複数の候補情報の各々に含まれる個人ＩＤを、それぞれ抽出したサービス個人ＩＤに置き換える。ＩＤ変換部１１１は、サービスＩＤと、それぞれのサービス個人ＩＤを含む複数の候補情報とを匿名化部１０５へ提供する。

　ステップＳ１３：
　匿名化部１０５は、ＩＤ変換部１１１から複数の候補情報とサービスＩＤとを受け取る。匿名化部１０５は、送信履歴を用いて複数の候補情報を匿名化する。匿名化の詳細は、第１の実施の形態と同様である。

　ステップＳ１４：
　管理部１０６は、匿名化部１０５からサービスＩＤと新たな送信情報とを受け取る。管理部１０６は、サービス提供装置１０に送信される新たな送信情報をサービスＩＤと共に送信履歴記憶部１０４に提供する。更に、管理部１０６は、サービスＩＤと新たな送信情報とを送信部１０７へ提供する。送信履歴記憶部１０４は、新たな送信情報をサービスＩＤと関連付けて、送信履歴に格納する。

　ステップＳ１５：
　送信部１０７は、サービスＩＤと新たな送信情報とを受け取る。送信部１０７は、サービスＩＤに基づいて、新たな送信情報をサービス提供装置１０に送信する。

　以上説明したように、本発明の第２の実施の形態の情報管理装置２００は、各サービス提供装置１０が要求する機密情報の種類が異なる場合、サービス提供装置１０毎に異なるサービス個人ＩＤを含む匿名化された機密情報を提供することができる。これによって、情報管理装置２００は、複数のサービス提供装置１０が結託して情報の名寄せを行うことを防止する効果を奏する。つまり、複数のサービス提供装置１０が結託しても、各サービス提供装置１０は提供された機密情報が同じ人物の情報であることを判別できないため、その人物を特定されるおそれがない。従って、本発明の第２の実施の形態の情報管理装置２００は、複数の種類の異なる匿名化された機密情報が合わせることによって人物が特定されてしまう場合であっても、それら機密情報を異なるサービス提供装置１０に提供することができる。

　（第３の実施の形態）
　本発明の第３の実施の形態の説明をする。本発明の第３の実施の形態による情報管理装置３００が第１の実施の形態の情報管理装置１００と異なることは、匿名性を満たさないためにサービス提供装置１０へ送信しなかった情報を、以降の検索要求に対する匿名性の加工に用いることである。

　図６は、本発明の第３の実施の形態による情報管理装置３００の構成を示す機能ブロック図である。図６を参照すると、本発明の第３の実施の形態の情報管理装置３００は、機密情報記憶部１０１と、受信部１０２と、検索部１０３と、送信履歴記憶部１０４と、送信部１０７と、未送信履歴記憶部１２０と、第２の匿名化部１２１と、第２の管理部１２２とを具備する。機密情報記憶部１０１と、受信部１０２と、検索部１０３と、送信履歴記憶部１０４と、送信部１０７とは、第１及び第２の実施の形態と同様であるため説明を省略する。

　未送信履歴記憶部１２０は未送信履歴を格納する。未送信履歴は、匿名性を満たしていないため（匿名化できないため）にサービス提供装置１０へ送信されていない複数の情報（未送信情報）と、各未送信情報の送信先のサービスＩＤとを関連付けたものである。未送信情報は、候補情報に含まれる個人ＩＤと関連付けられた複数の情報の中で、匿名化できない複数の情報を個人ＩＤと関連付けたものである。

　第２の匿名化部１２１は、検索部１０３から複数の候補情報とサービスＩＤとを受け取る。第２の匿名化部１２１は、送信履歴記憶部１０４の送信履歴（サービスＩＤと送信情報との組）を参照して、受け取ったサービスＩＤと同じサービスＩＤと関連付けられた複数の送信情報を抽出する。更に、第２の匿名化部１２１は、未送信履歴記憶部１２０の未送信履歴（サービスＩＤと未送信情報との組）を参照して、受け取ったサービスＩＤと同じサービスＩＤと関連付けられた複数の未送信情報を抽出する。次に、第２の匿名化部１２１は、複数の候補情報と、抽出した複数の送信情報と、抽出した複数の未送信情報とをマージして仮送信情報を生成する。第２の匿名化部１２１は、仮送信情報が匿名性を満たすように、複数の送信情報と複数の未送信情報とを用いて、複数の候補情報に対して、抽象化、曖昧化、部分削除等の加工（匿名化）を施す。換言すると、第２の匿名化部１２１は、少なくとも１つの候補情報と、その候補情報と同じ種類の情報を有する少なくとも１つの未送信情報又は少なくとも１つの送信情報が含まれるように加工する。このとき、第２の匿名化部１２１は、候補情報に含まれる個人ＩＤと関連付けられた複数の情報の中で、未送信情報と送信情報との何れにも含まれない種類の情報を、匿名化できない未送信情報と判断する。そして、第２の匿名化部１２１は、匿名化された仮送信情報を新たな送信情報とし、複数の候補情報のうちで匿名化できない情報を新たな未送信情報として分割する。第２の匿名化部１２１は、匿名化された仮送信情報を新たな送信情報としてサービスＩＤと共に第２の管理部１２２に提供し、複数の候補情報のうちで匿名化できない情報を新たな未送信情報としてサービスＩＤと共に第２の管理部１２２に提供する。

　第２の管理部１２２は、新たな送信情報とサービスＩＤとを送信履歴記憶部１０４に提供し、新たな未送信情報とサービスＩＤとを未送信履歴記憶部１２０に提供する。

　図７は、本発明の第３の実施の形態による情報管理装置３００の処理動作を示したフローチャートである。図７を参照して、本発明の第３の実施の形態による処理動作を説明する。

　ステップＳ３０：
　受信部１０２は、サービス提供装置１０から検索要求を受信する。検索要求は、人物の氏名や、情報の種類や、情報の生成期間等の検索条件と、サービス提供装置１０又はサービス提供者を識別するサービスＩＤとを含む。受信部１０２は、受信した検索要求を検索部１０３に提供する。

　ステップＳ３１：
　検索部１０３は、受け取った検索要求から検索条件を取り出す。検索部１０３は、機密情報記憶部１０１に格納されている機密情報の中から、検索条件に合致する複数の情報（候補情報）を抽出する。候補情報は、個人ＩＤと、個人ＩＤに関連付けられた複数の情報とを含む。検索部１０３は、複数の候補情報と、検索要求に含まれるサービスＩＤとを第２の匿名化部１２１に提供する。

　ステップＳ３２：
　第２の匿名化部１２１は、検索部１０３から複数の候補情報とサービスＩＤとを受け取る。第２の匿名化部１２１は、送信履歴記憶部１０４の送信履歴（サービスＩＤと送信情報との組）を参照して、受け取ったサービスＩＤと同じサービスＩＤと関連付けられた複数の送信情報を抽出する。更に、第２の匿名化部１２１は、未送信履歴記憶部１２０の未送信履歴（サービスＩＤと未送信情報との組）を参照して、受け取ったサービスＩＤと同じサービスＩＤと関連付けられた複数の未送信情報を抽出する。次に、第２の匿名化部１２１は、複数の候補情報と、抽出した複数の送信情報と、抽出した複数の未送信情報とをマージして仮送信情報を生成する。第２の匿名化部１２１は、仮送信情報が匿名性を満たすように、複数の送信情報と複数の未送信情報とを用いて、複数の候補情報に対して、抽象化、曖昧化、部分削除等の加工（匿名化）を施す。換言すると、第２の匿名化部１２１は、少なくとも１つの候補情報と、その候補情報と同じ種類の情報を有する少なくとも１つの未送信情報又は少なくとも１つの送信情報が含まれるように加工する。このとき、第２の匿名化部１２１は、候補情報に含まれる個人ＩＤと関連付けられた複数の情報の中で、未送信情報と送信情報との何れにも含まれない種類の情報を、匿名化できない未送信情報と判断する。そして、第２の匿名化部１２１は、匿名化された仮送信情報を新たな送信情報とし、複数の候補情報のうちで匿名化できない情報を新たな未送信情報として分割する。第２の匿名化部１２１は、匿名化された仮送信情報を新たな送信情報としてサービスＩＤと共に第２の管理部１２２に提供し、複数の候補情報のうちで匿名化できない情報を新たな未送信情報としてサービスＩＤと共に第２の管理部１２２に提供する。

　ステップＳ３３及びステップＳ３４：
　第２の管理部１２２は、第２の匿名化部１２１からサービスＩＤと、新たな送信情報と、新たな未送信情報とを受け取る。第２の管理部１２２は、サービスＩＤ及び新たな送信情報を送信履歴記憶部１０４に提供し、サービスＩＤ及び新たな未送信情報を未送信履歴記憶部１２０に提供する。更に、第２の管理部１２２は、サービスＩＤと新たな送信情報とを送信部１０７へ提供する。送信履歴記憶部１０４は、新たな送信情報をサービスＩＤと関連付けて、送信履歴に格納する。また、未送信履歴記憶部１２０は、新たな未送信情報をサービスＩＤと関連付けて、未送信履歴に格納する。

　ステップＳ３５：
　送信部１０７は、管理部１０６からサービスＩＤと新たな送信情報とを受け取る。送信部１０７はサービスＩＤに基づいて、新たな送信情報をサービス提供装置１０に送信する。

　以上説明したように、本発明の第３の実施の形態の情報管理装置３００は、サービス提供装置１０によって要求されたのにもかかわらず匿名性を満たさないために送信されなかった情報を、それ以降に送信する情報の匿名性の加工に用いることができる。例えば、以前送られなかった情報が仮に送られていた場合を想定して情報を匿名化できるので、より精度が高い情報を送ることができる。

　以上、図面を参照して本発明の情報管理装置１００、２００、３００の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。例えば、本実施形態の情報管理装置１００、２００、３００は、サービス提供装置１０からの要求に応じて匿名化された機密情報を同期的に返却する他に、サービス提供装置１０からの要求を溜めておいて、まとめて機密情報を検索、匿名化し、サービス提供装置１０に返却してもよい。この場合、情報管理装置１００、２００、３００は、検索要求を記憶可能な記憶部（不図示）を有してもよい。また、検索部１０３は、その記憶部に記憶された同一のサービス提供装置１０からの検索要求が一定数以上になったときに、記憶部から１つ以上の検索要求を取り出し、各検索要求に合致する機密情報を検索してもよい。更に、匿名化部１０５及び第２の匿名化部１２１は、全ての機密情報に対して匿名化を行い、まとめて送信情報を生成してもよい。この構成によれば、より多くの機密情報を対象として匿名化を行えるため、機密情報の精度を高めることができる。

　匿名化部１０５及び第２の匿名化部１２１は、任意の方式によって機密情報を匿名化する構成について説明したが、例えば、匿名化の方式を選択できるようになっていてもよい。例えば、匿名化手法として、機密情報の精度を下げたり、機密情報の一部を削除したりする他に、一部の情報をダミー情報に置き換えたり、雑多な情報を加えて機密情報を目立たなくする等の処理を行ってもよい。即ち、サービス提供装置１０からの検索要求が、検索条件と、サービスＩＤと、匿名化手法を指定できるポリシとを含んでいてもよい。その場合、匿名化部１０５及び第２の匿名化部１２１の代わりにポリシを解釈して、指定された手法により機密情報を匿名化する匿名化部を有していてもよい。この構成によれば、サービス提供装置１０にとって利用しやすい形式で機密情報が提供されるので、機密情報を最大限に活用することができる。

　尚、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記憶媒体、コンピュータプログラム等の間で変更したものもまた、本発明の態様として有効である。また、本発明の各種の構成要素は、必ずしも個々に独立した存在である必要はなく、複数の構成要素が一個の部材として形成されていること、一つの構成要素が複数の部材で形成されていること、ある構成要素が他の構成要素の一部であること、ある構成要素の一部と他の構成要素の一部とが重複していること等でもよい。さらに、本発明のデータ処理方法および、コンピュータプログラムの複数の手順は個々に相違するタイミングで実行されることに限定されない。このため、ある手順の実行中に他の手順が発生すること、ある手順の実行タイミングと他の手順の実行タイミングとの一部ないし全部が重複していること、等でもよい。

　以下、本発明の情報管理装置１００、２００、３００の実施例として、機密情報として人物の行動情報を管理し、サービス提供装置１０に行動情報を提供する場合を例として説明する。

　（実施例１）
　図１の第１の実施の形態の情報管理装置１００を例に説明する。機密情報記憶部１０１は、個人ＩＤに関連付けられた情報として、人物がどのような行動をしたのかを表す移動情報を格納する。特に本実施例では、機密情報記憶部１０１は、個人ＩＤと、位置から位置への移動情報とを行動情報（機密情報）として格納する。より具体的には、機密情報記憶部１０１は、ＧＰＳによって計測される緯度・経度や、携帯電話の基地局を利用して計測されるエリア情報等によって表わされる位置情報と、ある位置から他の位置への移動を表す矢印とを含む有向グラフを移動情報として格納する。更に、機密情報記憶部１０１は、ある位置に滞在している時刻や時間帯、その位置において行った買い物や娯楽等の内容を更に関連付けて格納していてもよい。

　図８は、機密情報記録部１０１が格納する行動情報を示した図である。図８を参照すると、機密情報記憶部１０１は、行動情報として、個人ＩＤの「個人Ａ」、「個人Ｂ」、「個人Ｃ」、「個人Ｄ」と、移動情報とを関連付けて格納している。「個人Ａ」と「個人Ｂ」との各々に関連付けられた移動情報は、住宅地エリアのある位置から繁華街エリアのある位置に移動したことを表している。「個人Ｃ」と「個人Ｄ」との各々に関連付けられた移動情報は、住宅地エリアのある位置からオフィス街のある位置に移動したことを表している。

　図９は、送信履歴記憶部１０４が格納する送信履歴１０４ａの状態を示した図である。図９を参照すると、初期状態の状態（ａ）では、送信履歴１０４ａは空である。尚、匿名化部１０５は、移動情報を二つ以上含むように加工した場合（同じ行動を取る人物が二人以上いる場合）、匿名性が満たされたと判断する。

　以下、図３のフローチャートに沿って説明する。受信部１０２は、サービス提供装置１０ａから、図９に示されている検索要求１を受信する（図３のステップＳ０１）。検索要求１は、検索条件の「住宅地エリアからオフィスエリアに移動する人物の行動情報」と、サービス提供装置１０ａを識別するサービスＩＤの「ｈｔｔｐ：／／ｓｅｒｖｉｃｅ１．ｃｏｍ」とを含む。受信部１０２は、受信した検索要求を検索部１０３に提供する。

　検索部１０３は、受け取った検索要求から検索条件の「住宅地エリアからオフィスエリアに移動する人物の行動情報」を取り出す。検索部１０３は、機密情報記憶部１０１に格納されている機密情報の中から、検索条件に合致する複数の候補情報を抽出する。つまり、検索部１０３は、個人ＩＤの「個人Ｃ」及び「個人Ｃ」に関連付けられた移動情報と、個人ＩＤの「個人Ｄ」及び「個人Ｄ」に関連付けられた移動情報とを抽出する。検索部１０３は、複数の候補情報と、検索要求に含まれるサービスＩＤとを匿名化部１０５に提供する（図３のステップＳ０２）。

　匿名化部１０５は、検索部１０３から複数の候補情報とサービスＩＤとを受け取る。匿名化部１０５は、送信履歴１０４ａを用いて複数の候補情報を匿名化する。状態（ａ）では、送信履歴１０４ａに送信情報が格納されていないため、匿名化部１０５は複数の候補情報を用いて２つの移動情報を含むように加工し、新たな送信情報を生成する。つまり、匿名化部１０５は、「個人Ｃ」と「個人Ｄ」とのそれぞれに関連付けられた２つの移動情報を用いて、住宅地エリアとオフィスエリアとのそれぞれにおける位置情報を、二つの位置情報が含まれるようにある程度の広さをもつ位置情報に変換する（匿名化する）。匿名化部１０５は、新たな送信情報をサービスＩＤと共に管理部１０６に提供する（図３のステップＳ０３）。

　管理部１０６は、匿名化部１０５からサービスＩＤと新たな送信情報とを受け取る。管理部１０６は、サービス提供装置１０ａに送信される新たな送信情報をサービスＩＤと共に送信履歴記憶部１０４に提供する。更に、管理部１０６は、サービスＩＤと新たな送信情報とを送信部１０７へ提供する。送信履歴記憶部１０４は、新たな送信情報をサービスＩＤと関連付けて、送信履歴１０４ａに格納する。送信履歴１０４ａは、図９に示す状態（ｂ）となる（図３のステップＳ０４）。

　送信部１０７は、サービスＩＤと新たな送信情報とを受け取る。送信部１０７は、サービスＩＤの「ｈｔｔｐ：／／ｓｅｒｖｉｃｅ１．ｃｏｍ」に基づいて、新たな送信情報をサービス提供装置１０ａに送信する（図３のステップＳ０５）。

　情報管理装置１００は、サービス提供装置１０ｂに対しても同様に処理を行う。詳細には、検索部１０３が、受け取った検索要求２から検索条件の「住宅地エリアから繁華街エリアに移動する人物の行動情報」を取り出す。検索部１０３は、検索条件に合致する、個人ＩＤの「個人Ａ」及び「個人Ａ」に関連付けられた移動情報と、個人ＩＤの「個人Ｂ」及び「個人Ｂ」に関連付けられた移動情報とを複数の候補情報として抽出する。匿名化部１０５は、送信履歴１０４ａを用いて複数の候補情報を匿名化する。状態（ｂ）では、送信履歴１０４ａにサービス提供装置１０ｂのサービスＩＤと関連付けられた送信情報が格納されていないため、匿名化部１０５は複数の候補情報を用いて２つの移動情報を含むように加工し、新たな送信情報を生成する。匿名化部１０５は、匿名化された複数の候補情報を新たな送信情報としてサービスＩＤと共に管理部１０６に提供する。その後、送信履歴記憶部１０４は、新たな送信情報をサービスＩＤと関連付けて、送信履歴１０４ａに格納する。送信履歴１０４ａは図９に示す状態（ｃ）となる。尚、図９の状態（ｃ）において、上段がサービス提供装置１０ａ用であり、下段の送信履歴がサービス提供装置１０ｂ用を表す。

　次に、機密情報記憶部１０１に、住宅地エリアからオフィス街エリアと繁華街エリアとの両方に移動する人物の行動情報（個人ＩＤ「個人Ｚ」）が登録されたとする。図１０は、住宅地エリアから、オフィス街エリアと繁華街エリアとの両方に移動する行動情報（個人ＩＤ「個人Ｚ」）を図８に追加した図である。ここで、サービス提供装置１０ａが、住宅地エリアからオフィスエリアに移動する人物の行動情報に対して、前回の検索以降に追加された行動情報を検索する条件式を含む検索要求を情報管理装置１００に送信したとする。換言すると、ここでの検索条件は、前回の検索要求による検索実行以降に追加され、且つ、前回の検索要求と同じ種類の情報を検索することを示す。受信部１０２は、検索要求を受信する（図３のステップＳ０１）。

　検索部１０３は、検索条件に合致する個人ＩＤの「個人Ｚ」と、「個人Ｚ」に関連付けられた住宅地エリアからオフィス街エリアに移動する移動情報とを、候補情報として抽出する。検索部１０３は、候補情報と、検索要求に含まれるサービスＩＤとを匿名化部１０５に提供する（図３のステップＳ０２）。

　匿名化部１０５は、検索部１０３から候補情報とサービスＩＤとを受け取る。匿名化部１０５は、送信履歴を用いて候補情報を匿名化する（図３のステップＳ０３）。詳細には、匿名化部１０５は、送信履歴記憶部１０４の送信履歴１０４ａを参照して、サービス提供装置１０ａのサービスＩＤと同じサービスＩＤと関連付けられた送信情報を抽出する。次に、匿名化部１０５は、候補情報と、抽出した送信情報とをマージして仮送信情報を生成する。匿名化部１０５は、仮送信情報が匿名性を満たすように、送信情報を用いて、候補情報に対して、抽象化、曖昧化、部分削除等の加工（匿名化）を施す。換言すると、匿名化部１０５は、「個人Ｚ」の住宅地エリアからオフィス街エリアに移動する移動情報と、匿名化された「個人Ｃ」及び「個人Ｄ」の住宅地エリアからオフィス街エリアに移動する移動情報とが含まれるように加工する。図１１は、匿名化部１０５が、個人ＩＤ「個人Ｚ」の住宅地エリアとオフィス街エリアとの位置情報を、匿名化された「個人Ｃ」及び「個人Ｄ」と同じ広さをもつ位置情報に変換する様子を示した図である。匿名化部１０５は、新たな送信情報をサービスＩＤと共に管理部１０６に提供する。

　管理部１０６は、匿名化部１０５からサービス提供装置１０ａのサービスＩＤと、新たな送信情報とを受け取る。管理部１０６は、サービス提供装置１０ａに送信される新たな送信情報をサービスＩＤと共に送信履歴記憶部１０４に提供する。更に、管理部１０６は、サービスＩＤと新たな送信情報とを送信部１０７へ提供する。送信履歴記憶部１０４は、新たな送信情報をサービスＩＤと関連付けて、送信履歴に格納する（図３のステップＳ０４）。送信部１０７は、サービスＩＤと新たな送信情報とを受け取る。送信部１０７は、サービスＩＤに基づいて、新たな送信情報をサービス提供装置１０に送信する（図３のステップＳ０５）。

　（実施例２）
　次に、本発明の第２の実施の形態の情報管理装置２００の実施例として、要求元のサービス提供装置１０に応じて、個人ＩＤをサービス提供装置１０に固有のＩＤに変換する例を説明する。本実施例では、情報管理装置２００の機密情報記憶部１０１は、図８の行動情報と同様に、個人ＩＤの「個人Ａ」、「個人Ｂ」、「個人Ｃ」、「個人Ｄ」と移動情報とを関連付けて格納している。

　ＩＤ対応記憶部１１０は、複数の個人ＩＤと、サービス提供装置１０毎に異なる複数のサービス個人ＩＤとを対応付けて格納する。図１２は、ＩＤ対応記憶部１１０が格納する個人ＩＤと、個人ＩＤに対応するサービス個人ＩＤとを示した表である。図１２を参照すると、「個人Ａ」という個人ＩＤに対して、サービス提供装置１０ａに対する「個人α」と、サービス提供装置１０ｂに対する「個人１」というサービス個人ＩＤが設定されている。「個人Ｂ」、「個人Ｃ」、「個人Ｄ」についても同様である。

　以下、図５のフローチャートに沿って説明する。受信部１０２は、サービス提供装置１０ａから、図９に示されている検索要求１を受信する（図５のステップＳ１０）。検索要求１は、検索条件の「住宅地エリアからオフィスエリアに移動する人物の行動情報」と、サービス提供装置１０ａを識別するサービスＩＤの「ｈｔｔｐ：／／ｓｅｒｖｉｃｅ１．ｃｏｍ」とを含む。受信部１０２は、受信した検索要求を検索部１０３に提供する。

　検索部１０３は、受け取った検索要求から検索条件の「住宅地エリアからオフィスエリアに移動する人物の行動情報」を取り出す。検索部１０３は、機密情報記憶部１０１に格納されている機密情報の中から、検索条件に合致する個人ＩＤの「個人Ｃ」及び「個人Ｃ」に関連付けられた移動情報と、個人ＩＤの「個人Ｄ」及び「個人Ｄ」に関連付けられた移動情報とを、複数の候補情報として抽出する。検索部１０３は、複数の候補情報と、検索要求に含まれるサービスＩＤとをＩＤ変換部１１１に提供する（図５のステップＳ１１）。

　ＩＤ変換部１１１は、検索部１０３から複数の候補情報と、サービスＩＤとを受け取る。ＩＤ変換部１１１は、複数の候補情報に含まれる個人ＩＤの「個人Ｃ」と「個人Ｄ」とを読み出す。ＩＤ変換部１１１は、サービス提供装置１０ａに関連付けられた「個人Ｃ」と「個人Ｄ」に着目し、「個人Ｃ」に対応する「個人γ」と、「個人Ｄ」に対応する「個人δ」とをＩＤ対応記憶部１１０から抽出する。ＩＤ変換部１１１は、複数の候補情報の各々に含まれる個人ＩＤを、それぞれ抽出したサービス個人ＩＤに置き換える（図５のステップＳ１２）。ＩＤ変換部１１１は、サービスＩＤと、それぞれのサービス個人ＩＤを含む複数の候補情報とを匿名化部１０５へ提供する。以降の図５のステップＳ１３～ステップＳ１５は、実施例１の動作と同様であるため、説明を省略する。

　（実施例３）
　次に、本発明の第３の実施の形態の情報管理装置３００の実施例として、匿名性を満たさないためにサービス提供装置１０へ送信しなかった情報を、以降の検索要求に対する匿名性の加工に用いる例を説明する。本実施例では、機密情報記憶部１０１は、初期状態において個人ＩＤが「個人Ａ」である人物の行動情報を格納しているとする。図１３は、機密情報記憶部１０１が格納する個人ＩＤが「個人Ａ」である人物の行動情報を示した図である。図１３を参照すると、個人ＩＤの「個人Ａ」と関連付けられた移動情報は、住宅地エリアから繁華街エリアに移動したことを表している。尚、送信履歴記憶部１０４の送信履歴と、未送信履歴記憶部１２０の未送信履歴とは、初期状態では空とする。

　サービス提供装置１０が、住宅地エリアから繁華街エリアに移動する人物の行動情報を取得する検索条件を含む検索要求を情報管理装置３００に送信したとする。情報管理装置３００の受信部１０２は、検索要求を受信する（図７のステップＳ３０）。

　検索部１０３は、検索条件に合致する個人ＩＤの「個人Ａ」と、「個人Ａ」に関連付けられた住宅地エリアから繁華街エリアに移動する移動情報とを、候補情報として抽出する（図７のステップＳ３１）。検索部１０３は、候補情報と、検索要求に含まれるサービスＩＤとを第２の匿名化部１２１に提供する。

　第２の匿名化部１２１は、検索部１０３から候補情報とサービスＩＤとを受け取る。ここでは、送信履歴と未送信履歴とが空であるため、第２の匿名化部１２１は候補情報（個人ＩＤが「個人Ａ」の人物の行動情報）を新たな未送信情報とする（図７のステップＳ３２）。第２の匿名化部１２１は、新たな未送信情報をサービスＩＤと共に第２の管理部１２２に提供する。未送信履歴記憶部１２０は、未送信情報を格納する（図７のステップＳ３４）。

　次に、機密情報記憶部１０１に、住宅地エリアから繁華街エリアに移動する、個人ＩＤが「個人Ｂ」の人物の行動情報が登録されたとする。図１４は、住宅地エリアから繁華街エリアに移動する、個人ＩＤが「個人Ｂ」の人物の行動情報を図１３に追加した図である。ここで、サービス提供装置１０が、住宅地エリアから繁華街エリアに移動する人物の行動情報に対して、前回の検索以降に追加された行動情報を検索する条件式を含む検索要求を情報管理装置３００に送信したとする。換言すると、ここでの検索条件は、前回の検索要求による検索実行以降に追加され、且つ、前回の検索要求と同じ種類の情報（匿名化できない情報と同じ種類の情報）を検索することを示す。受信部１０２は、検索要求を受信する（図７のステップＳ３０）。検索部１０３は、機密情報記憶部１０１に格納されている機密情報の中から、検索条件に合致する個人ＩＤの「個人Ｂ」と、「個人Ｂ」に関連付けられた移動情報とを、候補情報として抽出する（図７のステップＳ３１）。検索部１０３は、候補情報と、検索要求に含まれるサービスＩＤとを第２の匿名化部１２１に提供する。

　第２の匿名化部１２１は、検索部１０３から候補情報とサービスＩＤとを受け取る。第２の匿名化部１２１は、未送信履歴記憶部１２０の未送信履歴（サービスＩＤと未送信情報との組）を参照して、サービス提供装置１０のサービスＩＤと同じサービスＩＤと関連付けられた未送信情報を抽出する。第２の匿名化部１２１は、候補情報と、抽出した未送信情報とをマージして仮送信情報を生成する。第２の匿名化部１２１は、仮送信情報が匿名性を満たすように、未送信情報を用いて、候補情報に対して、抽象化、曖昧化、部分削除等の加工（匿名化）を施す。換言すると、第２の匿名化部１２１は、候補情報（個人ＩＤが「個人Ｂ」の人物の行動情報）と、未送信情報（個人ＩＤが「個人Ａ」の人物の行動情報）とが含まれるように加工する。このとき、第２の匿名化部１２１は、個人ＩＤ「個人Ｂ」に関連付けられた複数の情報の中で、個人ＩＤ「個人Ａ」に関連付けられた情報に含まれない種類の情報を、匿名化できない未送信情報と判断する。そして、第２の匿名化部１２１は、匿名化された仮送信情報を新たな送信情報とし、匿名化できない情報を新たな未送信情報として分割する。第２の匿名化部１２１は、匿名化された仮送信情報を新たな送信情報としてサービスＩＤと共に第２の管理部１２２に提供し、匿名化できない情報を新たな未送信情報としてサービスＩＤと共に第２の管理部１２２に提供する（図７のステップＳ３２）。

　第２の管理部１２２は、第２の匿名化部１２１からサービスＩＤと、新たな送信情報と、新たな未送信情報とを受け取る。第２の管理部１２２は、サービスＩＤ及び新たな送信情報を送信履歴記憶部１０４に提供し、サービスＩＤ及び新たな未送信情報を未送信履歴記憶部１２０に提供する。更に、第２の管理部１２２は、サービスＩＤと新たな送信情報とを送信部１０７へ提供する。送信履歴記憶部１０４は、新たな送信情報をサービスＩＤと関連付けて、送信履歴に格納する（図７のステップＳ３３）。また、未送信履歴記憶部１２０は、新たな未送信情報をサービスＩＤと関連付けて、未送信履歴に格納する（図７のステップＳ３４）。送信部１０７は、管理部１０６からサービスＩＤと新たな送信情報とを受け取る。送信部１０７はサービスＩＤに基づいて、新たな送信情報をサービス提供装置１０に送信する（図７のステップＳ３５）。

　以上、実施形態（及び実施例）を参照して本願発明を説明したが、本願発明は上記実施形態（及び実施例）に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２００９年７月３１日に出願された日本出願特願２００９－１８００４１を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims

　複数の個人ＩＤと、前記複数の個人ＩＤの各々に関連付けられた情報とを機密情報として格納する機密情報記憶部と、
　第１サービス提供装置から送信される所望の機密情報を取得するための第１検索条件を受信する受信部と、
　前記第１検索条件に合致する第１候補情報を、前記機密情報記憶部から抽出する検索部と、
　前記第１サービス提供装置に既に送信されている、複数の匿名化された情報を格納する送信履歴記憶部と、
　前記複数の匿名化された情報のうちで、前記第１候補情報と同じ種類の情報を有する第１情報に基づいて、前記第１候補情報と前記第１情報とが含まれるように加工した第１送信情報を生成する匿名化部と、
　前記第１送信情報を前記第１サービス提供装置へ送信する送信部と
を具備する
　情報管理装置。
　請求項１に記載の情報管理装置であって、
　前記複数の個人ＩＤと、サービス提供装置毎に異なる複数のサービス個人ＩＤとを対応付けて格納するＩＤ対応記憶部と、
　前記第１候補情報を受け取り、前記第１候補情報に含まれる第１個人ＩＤを、前記第１個人ＩＤに対応する第１サービス個人ＩＤに置き換えるＩＤ変換部と
を更に備え、
　前記送信部は、前記第１サービス個人ＩＤを含む前記第１送信情報を前記第１サービス提供装置へ送信する
　情報管理装置。
　請求項１又は２に記載の情報管理装置であって、
　前記第１送信情報を受け取り、前記送信履歴記憶部に提供する管理部
を更に具備し、
　前記送信履歴記憶部は、前記第１送信情報を前記複数の匿名化された情報に含めて格納する
　情報管理装置。
　請求項１乃至３の何れか一項に記載の情報管理装置であって、
　前記第１候補情報に含まれる匿名化できない情報を未送信情報として格納する未送信履歴記憶部
を更に具備し、
　前記匿名化部は、前記第１候補情報に含まれる情報の中で、前記第１情報に含まれない種類の情報を前記匿名化できない情報と判断する
　情報管理装置。
　請求項４に記載の情報管理装置であって、
　前記機密情報記憶部が、前記第１検索条件に合致する前記第１候補情報が抽出された後に、前記匿名化できない情報と同じ種類の情報を有する第２情報を格納し、前記受信部が、前記第１サービス提供装置から、前記第１検索条件による検索実行以降に追加され、且つ、前記匿名化できない情報と同じ種類の情報を取得するための第２検索条件を受信したとき、
　前記検索部は、前記機密情報格納部から前記第２検索条件に合致する前記第２情報を第２候補情報として抽出し、
　前記匿名化部は、前記複数の匿名化された情報のうちで前記第２候補情報と同じ種類の情報を有する第３情報と、前記未送信情報との少なくとも一方と、前記第２候補情報とが含まれるように加工した第２送信情報を生成し、
　前記送信部は、前記第２送信情報を前記第１サービス提供装置へ送信する
　情報管理装置。
　第１サービス提供装置から送信される所望の機密情報を取得するための第１検索条件を受信するステップと、
　複数の個人ＩＤと、前記複数の個人ＩＤの各々に関連付けられた情報とを機密情報として格納する機密情報記憶部から、前記第１検索条件に合致する第１候補情報を抽出するステップと、
　前記第１サービス提供装置に既に送信されている複数の匿名化された情報のうちで、前記第１候補情報と同じ種類の情報を有する第１情報に基づいて、前記第１候補情報と前記第１情報とが含まれるように加工した第１送信情報を生成するステップと、
　前記第１送信情報を前記第１サービス提供装置へ送信するステップと
を具備する
　情報管理方法。
　請求項６に記載の情報管理方法であって、
　前記複数の個人ＩＤと、サービス提供装置毎に異なる複数のサービス個人ＩＤとを対応付けて格納するＩＤ対応記憶部に基づいて、前記第１候補情報に含まれる第１個人ＩＤを、前記第１個人ＩＤに対応する第１サービス個人ＩＤに置き換えるステップ
を更に備え、
　前記第１送信情報を生成するステップは、
　前記第１サービス個人ＩＤを含む前記第１候補情報と、前記第１情報とが含まれるように前記第１候補情報を加工する
　情報管理方法。
　請求項６又は７に記載の情報管理方法であって、
　前記第１送信情報を生成するステップは、
　前記第１候補情報に含まれる情報の中で、前記第１情報に含まれない種類の情報を匿名化できない情報と判断するステップと、
　前記匿名化できない情報を未送信情報として格納するステップと
を更に具備する
　情報管理方法。
　請求項８に記載の情報管理方法であって、
　前記第１検索条件に合致する前記第１候補情報が抽出された後に、前記匿名化できない情報と同じ種類の情報を有する第２情報を前記機密情報として格納するステップと、
　前記第１サービス提供装置から、前記第１検索条件による検索実行以降に追加され、且つ、前記匿名化できない情報と同じ種類の情報を取得するための第２検索条件を受信するステップと、
　前記機密情報格納部から前記第２検索条件に合致する前記第２情報を第２候補情報として抽出するステップと、
　前記複数の匿名化された情報のうちで前記第２候補情報と同じ種類の情報を有する第３情報と、前記未送信情報との少なくとも一方と、前記第２候補情報とが含まれるように加工した第２送信情報を生成するステップと、
　前記第２送信情報を前記第１サービス提供装置へ送信するステップと
を更に具備する
　情報管理方法。
　請求項６乃至９の何れか一項に記載の方法をコンピュータに実行させる
　情報管理プログラム。