WO2012017612A1

WO2012017612A1 - 匿名化情報共有装置および匿名化情報共有方法

Info

Publication number: WO2012017612A1
Application number: PCT/JP2011/004144
Authority: WO
Inventors: 江村　恒一; 誠也宮崎
Original assignee: パナソニック株式会社
Priority date: 2010-08-06
Filing date: 2011-07-22
Publication date: 2012-02-09
Also published as: US20130133050A1; US8752149B2; JPWO2012017612A1; JP5735485B2

Abstract

　分散管理型のネットワークで共有される匿名化情報に対し、出力元による管理を継続することができる匿名化情報共有装置。この装置（３００ｓ）は、共有化対象情報の一部または全部と処理パスワードとの組み合わせに対して第１の一方向性関数を適用して、認証ＩＤを生成する認証ＩＤ生成部（３２０）と、認証ＩＤを共有化対象情報に付加して、匿名化情報を生成する匿名化部（３３０）と、匿名化情報を出力して他の装置に保持させる情報共有部（３４０）と、処理パスワードを含む処理要求を送信し、他の装置に対して、他の装置が保持する匿名化情報の一部または全部と処理パスワードとの組み合わせに対して第１の一方向性関数を適用した結果と匿名化情報の認証ＩＤとの一致性に基づき、保持させた匿名化情報に対して、出力元にのみ許可される所定の処理の実行を要求する匿名化情報処理要求部（３５０）とを有する。

Description

匿名化情報共有装置および匿名化情報共有方法

　本発明は、出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有装置および匿名化情報共有方法に関する。

　携帯電話機からの呼び出し通報に対する警察等の迅速な対応を目的として、現在位置を特定する機能を携帯電話機に搭載することの法制化が進められている。また、これに伴い、全地球的測位システムの１つであるＧＰＳ（global positioning system）を搭載した携帯電話機の普及が進んでいる。一方で、第三世代携帯通信網により、携帯電話機からインターネットへの接続が容易となってきている。

　このような技術背景により、近年、ＧＰＳ機能を待ち受けアプリケーションとして常時起動しておくことを前提とした位置情報取得と、インターネットとを活用した、各種のサービスが登場している。例えば、位置情報が付加された一連の情報を、そのユーザの行動履歴として他者と共有するような、ライフストリーム（Life Stream）サービスやライフログ（Life Log）サービス（以下、「ライフストリームサービス」と総称する）は、その１つである。

　ライフストリームサービスの場合、情報の受信側で、情報の提供者（出力元）を識別し直す必要がある。なぜなら、同一のユーザによって提供された複数の情報が、同一のユーザによって提供されたものであることを示す必要があるからである。一方で、プライバシー確保の観点から、共有される個々の情報の出力元の匿名化を行う必要がある。

　したがって、このようなサービスでは、通常、ハンドルネーム等の個人情報以外の識別情報が、情報の出力元を特定するために用いられる。ここで、匿名化とは、個人を特定可能な情報（個人情報）が知られない状態にすることをいうものとする。また、出力元が匿名化された情報を「匿名化情報」というものとする。

　一方で、健康管理や病気のモニタリングに活用することを目的とした各種のサービスやシステムに、ライフストリームサービスを適用することが、注目されている。このようなサービスおよびシステムとしては、生活習慣改善ＡＳＰ（Application Service Provider）サービス、高齢者向け健康管理システム、活動量計や通信機能付血圧計が挙げられる。

　例えば、受信者の治療記録である診療情報は、従来では、医療機関ごとに保管されていた。ＥＭＲ（Electric Medical Record）等、受信者の治療記録である診療情報を電子化した電子カルテを、複数の医療機関がネットワーク上で共有する仕組みはあったが、大きな投資が必要であることから、このような仕組みは普及していない。

　これに対して、健康増進や病気予防、治療等へ役立てることを目的に、個人が自身の身体情報、行動情報、診療情報、処方箋情報等を収集、記録、活用するＰＨＲ（Personal Health Record）の導入が期待されている。

　ＰＨＲに上述のライフストリームサービスを適用することにより、医療機関は、医療機関毎に保管されるユーザの診療情報に加えて、身体情報や行動情報等を簡単に取得し、ユーザの生活習慣を把握することができる。更に、ＰＨＲに上述のライフストリームサービスを適用することにより、個人は、トレーニングでランニングした位置情報に加えて、健康管理情報を対応させて管理し、情報の一部を友人と共有したり公開したりすることができる。

　ところが、情報の閲覧者は、自分の位置の周辺に関する情報を検索して閲覧し、身近に起きた事柄に関する他者の情報を見付けることができる。したがって、状況によっては、匿名化情報の位置情報等から、匿名化情報の出力元の匿名性が失われてしまう可能性がある。

　例えば、あるユーザが、あるバス停で近所の住民と二人で並んでいた後に、ライフストリームサービスにおいてその時刻にそのバス停に居た旨の書き込み情報を発見したとする。この場合、ユーザは、その情報の書き込み主が、バス停に一緒に居た住民であることを特定することになる。

　このような事態は、情報の出力元が、状況に応じて匿名化情報を修正または削除することにより、防ぐことが可能である。したがって、匿名化情報の出力元は、共有化された後でも自己の匿名化情報に関する処理を自由に行うことができ、実質的に匿名化情報を自己の管理下に置けることが望ましい。

　そこで、特許文献１に記載の、出力元による匿名化情報の管理の継続を可能にする技術を、ライフストリームサービスに適用することが考えられる。

　図１は、特許文献１記載の匿名化情報共有装置の構成を示すブロック図である。

　図１に示すように、匿名化情報共有装置１０は、匿名化情報の出力元を特定する個人ＩＤ番号を取得する個人ＩＤ記憶部１１と、個人ＩＤ番号に対して一方向性関数を適用して匿名化番号を作成する匿名化番号作成部１２とを有する。

　匿名化情報共有装置１０は、各匿名化情報と匿名化番号とを対応付けた対応表を管理している。匿名化情報共有装置１０は、対応表破棄部１３によって、この対応表を、必要に応じて破棄する。また、匿名化情報共有装置１０は、個人ＩＤを渡されて匿名化情報に関する所定の処理の実行を要求されたとき、匿名化番号作成部１２においてその個人ＩＤから匿名化番号を再作成する。そして、匿名化情報共有装置１０は、再作成した匿名化番号に対応付けられた匿名化情報に対して、要求された処理を実行する。

　これにより、匿名化情報共有装置１０は、一旦共有化された匿名化情報に対し、匿名化情報の出力元および所有者以外に対しては匿名化情報の匿名性を保持したまま、出力元による管理を継続させることができる。

国際公開第２００８／０６９０１１号パンフレット

　特許文献１記載の技術は、病院のような権限が１箇所に集中した運用形態等、１つの装置で匿名化情報の保持および匿名化番号の管理を行うような集中管理型のネットワークにおいては有効である。

　しかしながら、特許文献１記載の技術は、上述のような、ｔｗｉｔｔｅｒ（登録商標）等の、不特定または特定多数が情報を投稿、閲覧するシステムや、特定端末間が直接通信するＰ２Ｐ（Peer to Peer）システム等の分散管理型のネットワークでは、匿名化情報管理の継続が困難であるという課題を有する。なぜなら、このようなネットワークでは、投稿等により一旦共有されてしまった匿名化情報（所有者が不特定である匿名化情報）を、削除する必要があるからである。

　本発明の目的は、分散管理型のネットワークで共有される匿名化情報に対し、出力元による管理を継続することができる匿名化情報共有装置および匿名化情報共有方法を提供することである。

　本発明の匿名化情報共有装置は、出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有装置であって、共有化対象情報毎に、前記共有化対象情報の一部または全部と処理パスワードとの組み合わせに対して第１の一方向性関数を適用して、認証ＩＤを生成する認証ＩＤ生成部と、生成された前記認証ＩＤを共有化対象情報に付加して、匿名化情報を生成する匿名化部と、生成された前記匿名化情報を出力して前記他の装置に保持させる情報共有部と、前記処理パスワードを含む処理要求を生成して前記他の装置へ送信し、前記他の装置に対して、前記他の装置が保持する匿名化情報の一部または全部と前記処理パスワードとの組み合わせに対して前記第１の一方向性関数を適用した結果と前記他の装置が保持する匿名化情報の認証ＩＤとの一致性に基づき、前記他の装置に保持させた匿名化情報に対して、出力元にのみ許可される所定の処理の実行を要求する匿名化情報処理要求部とを有する。

　本発明の匿名化情報共有装置は、出力元が匿名化された、共有化対象情報と認証ＩＤとを含む匿名化情報を、他の装置との間で共有する匿名化情報共有装置であって、前記他の装置から出力された前記匿名化情報を保持する情報共有部と、前記他の装置から、処理パスワードを含む処理要求を受信したとき、前記情報共有部が保持する前記匿名化情報毎に、前記匿名化情報の共有化対象情報の一部または全部と前記処理パスワードとの組み合わせに対して第１の一方向性関数を適用した結果と、前記匿名化情報の認証ＩＤとの一致性に基づき、前記匿名化情報に関する所定の処理を実行するか否かを判断する匿名化情報処理部とを有する。

　本発明の匿名化情報共有方法は、出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有方法であって、共有化対象情報毎に、前記共有化対象情報の一部または全部と処理パスワードとの組み合わせに対して第１の一方向性関数を適用して、認証ＩＤを生成するステップと、生成した前記認証ＩＤを共有化対象情報に付加して、匿名化情報を生成するステップと、生成した前記匿名化情報を出力して前記他の装置に保持させるステップと、前記処理パスワードを含む処理要求を生成して前記他の装置へ送信し、前記他の装置に対して、前記他の装置が保持する匿名化情報の一部または全部と前記処理パスワードとの組み合わせに対して前記第１の一方向性関数を適用した結果と前記他の装置が保持する匿名化情報の認証ＩＤとの一致性に基づき、前記他の装置に保持させた匿名化情報に対して、出力元にのみ許可される所定の処理の実行を要求するステップとを有する。

　本発明によれば、匿名化情報の出力元のみが、匿名化された状態を保持しつつ、匿名化情報に対する処理権限を持つ処理要求であることを認証し、匿名化情報に関する所定の処理を、匿名化情報を保持する装置に対して実行させることができる。すなわち、本発明は、分散管理型のネットワークで共有される匿名化情報に対し、出力元による管理を継続することができる。

従来の匿名化情報共有装置の構成の一例を示すブロック図本発明の実施の形態１に係る匿名化情報共有装置を含む匿名化情報共有システムの構成の一例を示すシステム構成図本実施の形態に係る匿名化情報共有装置の構成を示すブロック図本実施の形態１における処理の概要を模式的に示す図本実施の形態１に係る匿名化情報共有装置の動作を示すフローチャート本実施の形態１における匿名化情報出力処理を示すフローチャート本実施の形態１における匿名化情報削除処理を示すフローチャート本発明の実施の形態２に係る匿名化情報共有装置の構成を示すブロック図本実施の形態２における個人属性情報の匿名化を模式的に示す図本実施の形態２における処理の概要を模式的に示す図本実施の形態２に係る匿名化情報共有装置の動作を示すフローチャート本実施の形態２における匿名化情報出力処理を示すフローチャート本実施の形態２におけるリスク監視処理を示すフローチャート本実施の形態２における削除要求送信処理を示すフローチャート

　以下、本発明の各実施の形態について、図面を参照して詳細に説明する。

　（実施の形態１）
　図２は、本発明の実施の形態１に係る匿名化情報共有装置を含む匿名化情報共有システムの構成の一例を示すシステム構成図である。

　図２において、匿名化情報共有システム１００は、通信ネットワーク２００を介して互いに無線通信を行う、第１～第ｊの匿名化情報共有装置３００－１～３００－ｊを有する。第１～第ｊの匿名化情報共有装置３００－１～３００－ｊは、中央管理サーバ等を用いずに、互いの匿名化情報を送信し合って共有化する。すなわち、匿名化情報共有システム１００は、分散管理型のネットワークにおいて、匿名化情報の共有を行うシステムである。

　第１～第ｊの匿名化情報共有装置３００－１～３００－ｊは同一の構成を有する。したがって、以下、適宜、これらは、匿名化情報共有装置３００と総称する。また、本実施の形態において、適宜、ある匿名化情報の出力元の匿名化情報共有装置３００は、匿名化情報共有装置３００ｓと表記し、その匿名化情報の出力先の匿名化情報共有装置３００は、匿名化情報共有装置３００ｒと表記する。

　図３は、匿名化情報共有装置３００の構成を示すブロック図である。ここでは、匿名化情報を送信（出力）する際に使用される機能部と、匿名化情報を受信（入力）する際に使用される機能部とを分けて図示する。

　図３に示すように、匿名化情報の出力元である匿名化情報共有装置３００ｓは、情報非共有部３１０、認証ＩＤ生成部３２０、匿名化部３３０、情報共有部３４０、および匿名化情報処理要求部３５０を有する。また、匿名化情報の出力先である匿名化情報共有装置３００ｒは、上述の情報共有部３４０と、匿名化情報処理部３６０とを有する。

　情報蓄積部３１０は、共有化の対象となるデータであって、データ本体に時刻情報および位置情報が付加されたデータ（共有化対象情報、以下「個人属性情報」という）を格納する。

　時刻情報および位置情報は、例えば、ＧＰＳ（global positioning system）信号から取得された、日本標準時および現在位置の緯度経度である。データ本体は、例えばユーザの入力テキスト、センサが観測する脈拍や血圧等の生体信号情報、あるいは、歩数や活動強度等の活動量情報等である。

　なお、データ本体の情報フォーマットの一部または全部は、限定しないが、ＨＬ７（Health Level Seven）、Ｃｏｎｔｉｎｕａ　Ａｌｌｉａｎｃｅのガイドライン、ＤＩＣＯＭ（Digital Imaging and Communication）等で規定されたフォーマットとしても良い。また、データ本体は、これらのフォーマットで記述される情報の一部または全部を用いたものであっても良い。

　ＨＬ７は、医療情報交換のための標準規約であり、患者管理、オーダ、照会、財務、検査報告、マスタファイル、情報管理、予約、患者紹介、患者ケア、ラボラトリオートメーション、アプリケーション管理、人事管理等の情報交換を取り扱うためのものである。

　Ｃｏｎｔｉｎｕａ　Ａｌｌｉａｎｃｅは、予防的な健康管理（Health and Wellness）、慢性疾患管理（Disease Management）、高齢者の自立生活（Aging Independently）の３分野を中心に、システムの相互接続のためのガイドラインを策定し、実機器を用いた接続性検証やロゴ認証を行っている団体である。

　ＤＩＣＯＭは、米国放射線学会（ＡＣＲ）と北米電子機器工業会（ＮＥＭＡ）が開発した医用画像のフォーマットと、それらの画像を扱う医用画像機器間の通信プロトコルとを定義した、標準規格である。すなわち、ＤＩＣＯＭは、ＣＴ（Computed Tomography）やＭＲＩ（Magnetic Resonance Imaging）、ＣＲ（Computed Ragiography）等で撮影した医用画像を取り扱うためのものである。

　また、データ本体は、Ｇｏｏｇｌｅ　ＨｅａｌｔｈやＭｉｃｒｏｓｏｆｔ　Ｈｅａｌｔｈ　Ｖａｕｌｔといった健康情報記録サービスの情報そのものでも良い。また、データ本体は、健康情報記録サービスの情報へのリンク情報や、健康情報記録サービスのＡＰＩ（Application Program Interface）を介して得られる情報であっても良い。

　認証ＩＤ生成部３２０は、個人属性情報ごとに、個人属性情報の一部または全部と、削除パスワードと、データＩＤとの組み合わせに対して、一方向性関数の１つであるハッシュ関数を適用して、認証ＩＤを生成する。そして、認証ＩＤ生成部３２０は、生成した認証ＩＤを匿名化部３３０へ出力し、認証ＩＤと、認証ＩＤの生成に用いた削除パスワードとを、匿名化情報処理要求部３５０へ出力する。

　匿名化部３３０は、情報非共有部３１０に格納された個人属性情報を取得し、認証ＩＤ生成部３２０から入力された認証ＩＤを個人属性情報に付加して、匿名化情報を生成する。そして、匿名化部３３０は、生成した匿名化情報を、情報共有部３４０へ出力する。

　情報共有部３４０は、出力元の匿名化情報共有装置３００ｓにおいて、匿名化部３３０から入力された匿名化情報を、出力先の匿名化情報共有装置３００ｒの情報共有部３４０に送信する。また、情報共有部３４０は、出力先の匿名化情報共有装置３００ｒにおいて、他の匿名化情報共有装置３００ｓから送られてきた匿名化情報を受信し、これを保持する。

　すなわち、情報共有部３４０は、他の匿名化情報共有装置３００の情報共有部３４０との間で、例えば任意のピア・ツー・ピア（Ｐ２Ｐ）プロトコルを用いて、匿名化情報を共有する。

　匿名化情報処理要求部３５０は、認証ＩＤ生成部３２０から入力された認証ＩＤに対応する個人属性情報を削除する場合に、その認証ＩＤに対応する削除パスワードを含む削除要求を、他の匿名化情報共有装置３００ｒへ送信する。

　この削除要求は、要求先の匿名化情報共有装置３００ｒにおいて、その匿名化情報共有装置３００ｒの情報共有部３４０が保持する匿名化情報の削除を要求するものである。より具体的には、削除要求は、匿名化情報の一部または全部と削除パスワードとに対してハッシュ関数を適用した結果と、認証ＩＤが一致する匿名化情報が存在するとき、その匿名化情報の削除を要求するものである。

　ここでは、削除要求は、匿名化情報の一部または全部として、個人属性データの一部とデータＩＤとを指定するものとする。また、ハッシュ関数を適用する際の情報の並べ方等は、予め定められているものとする。

　匿名化情報処理部３６０は、匿名化情報の出力先の匿名化情報共有装置３００ｒにおいて、匿名化情報の出力元の匿名化情報共有装置３００ｓから送られてきた削除要求を受信する。匿名化情報処理部３６０は、情報共有部３４０に保持する匿名化情報の一部または全部と削除要求に含まれる削除パスワードとの組み合わせに対して、ハッシュ関数を適用した結果と、情報共有部３４０に保持された匿名化情報の認証ＩＤとを比較する。そして、匿名化情報処理部３６０は、ハッシュ関数を適用した結果と認証ＩＤが一致する匿名化情報が存在するとき、その匿名化情報を削除する。

　なお、匿名化情報処理部３６０は、図示しないが、例えば、ＣＰＵ（central processing unit）、ＲＡＭ（random access memory）等の記憶媒体、複数のキースイッチ等から成る操作部、液晶ディスプレイ等から成る表示部、および無線通信回路を有する。この場合、上述の各機能部は、ＣＰＵが制御プログラムを実行することにより実現する。

　このような構成を有する匿名化情報共有装置３００は、個人属性情報から匿名化情報を生成し、生成した匿名化情報を他の匿名化情報共有装置３００と共有することができる。　

　また、匿名化情報共有装置３００は、共有する個人属性情報毎に、個人属性情報の一部と、削除パスワードと、データＩＤとの組み合わせに対してハッシュ関数を適用して生成した認証ＩＤを付加し、匿名化情報を生成することができる。

　また、匿名化情報共有装置３００は、匿名化情報に対する削除権限を持つ削除要求であることを認証する削除パスワードを含めた削除要求を行うことにより、自己が出力元である匿名化情報を削除することができる。

　そして、匿名化情報共有装置３００は、保持する各匿名化情報の一部または全部と削除要求に含まれる削除パスワードとの組み合わせに対してハッシュ関数を適用した結果と、その匿名化情報の認証ＩＤとが一致するとき、その削除要求に従い、該当する匿名化情報を削除することができる。

　また、匿名化情報共有装置３００は、特に個人情報を特定したり公開したりすることなく、このような匿名化情報の削除を行うことができる。

　したがって、本実施の形態の匿名化情報共有装置３００は、分散型ネットワーク上で匿名化情報の共有化を可能にし、かつ、一旦共有化された匿名化情報を、出力元が匿名化された状態を保持しつつ、出力元のみが削除することを可能にする。

　次に、匿名化情報の共有化から削除までに各匿名化情報共有装置３００で行われる処理の概要について説明する。

　図４は、匿名化情報の共有化から削除までの処理の概要を模式的に示す図である。

　まず、ある匿名化情報共有装置３００ｓは、図４Ａに示すように、個人属性情報４１０を、情報非共有部３１０から匿名化部３３０へと渡す。

　次に、匿名化情報共有装置３００ｓは、図４Ｂに示すように、削除パスワード４２０を、認証ＩＤ生成部３２０から匿名化部３３０へと渡す。

　そして、図４Ｃに示すように、匿名化情報共有装置３００ｓは、個人属性情報４１０の一部と、データＩＤ４１５と、削除パスワード４２０との組み合わせに対して、ハッシュ関数を適用して認証ＩＤ４３０を生成する。

　そして、図４Ｄに示すように、匿名化情報共有装置３００ｓは、認証ＩＤ４３０を個人属性情報４１０に組み込んだ匿名化情報４４０を、自己の情報共有化部３４０に保持すると共に、他の匿名化情報共有装置３００ｒに送信する。これにより、匿名化情報共有装置３００ｓのｌ情報共有化部３４０と匿名化情報共有装置３００ｒの情報共有部３４０には、同一の匿名化情報４４０が保持される。

　そして、図４Ｅに示すように、出力元の匿名化情報共有装置３００ｓは、匿名化情報４４０の削除指示がユーザ等からあった場合、削除パスワード４２０を含む削除要求を、他の匿名化情報共有装置３００ｒへ送信する。

　すると、図４Ｆに示すように、匿名化情報共有装置３００ｒは、匿名化情報処理部３６０において、情報共有部３４０に保持する匿名化情報の一部または全部（ここでは個人属性情報４１０の一部およびデータＩＤ４１５）と削除パスワード４２０との組み合わせに対してハッシュ関数を適用する。

　そして、図４Ｇに示すように、匿名化情報共有装置３００ｒは、ハッシュ関数の結果と、匿名化情報４４０に組み込まれた認証ＩＤ４３０とを比較し、これらが一致するときは、匿名化情報４４０を削除する。

　匿名化情報共有システム１００の全ての匿名化情報共有装置３００は、同一のハッシュ関数を用いる。そして、匿名化情報共有システム１００の全ての匿名化情報共有装置３００は、匿名化情報４４０から認証ＩＤ４３０を抽出することができ、削除要求から削除パスワード４２０を抽出することができる。したがって、匿名化情報共有システム１００では、出力元の匿名化情報共有装置３００ｓは、匿名化情報４４０を削除要求によって削除することができる。

　また、認証ＩＤ４３０は、一方向性関数であるハッシュ関数により生成されるため、第三者は認証ＩＤ４３０から元の削除パスワードを特定することができない。したがって、共有化された匿名化情報４４０の出力元以外の装置は、匿名化情報４４０の認証ＩＤ４３０が分かっていても、その匿名化情報４４０を削除する削除要求の成りすましを行い、匿名化情報４４０を削除することはできない。

　次に、匿名化情報共有装置３００の動作について説明する。

　図５は、匿名化情報共有装置３００の動作を示すフローチャートである。

　まず、ステップＳ１０００において、匿名化部３３０は、匿名化情報の出力の指示があったか否かを判断する。この指示は、例えば、ユーザ操作による指示である。匿名化部３３０は、匿名化情報の出力の指示があった場合は（Ｓ１０００：ＹＥＳ）、ステップＳ２０００へ進む。また、匿名化部３３０は、匿名化情報の出力の指示が無い場合は（Ｓ１０００：ＮＯ）、そのままステップＳ３０００へ進む。

　ステップＳ２０００において、匿名化情報共有装置３００ｓは、匿名化情報出力処理を実行し、ステップＳ３０００へ進む。匿名化情報出力処理は、匿名化情報を生成し、生成した匿名化情報を、他の匿名化情報共有装置３００ｒへ出力して共有化する処理である。

　図６は、匿名化情報出力処理を示すフローチャートである。

　まず、ステップＳ２１００において、認証ＩＤ生成部３２０は、個人属性情報の一部と、予め用意した削除パスワードと、匿名化情報に対応するデータ毎に付与するデータＩＤとに対して、ハッシュ関数を適用することにより、認証ＩＤを生成する。削除パスワードは、例えば、個人属性情報が登録された年月日時分秒に８桁の乱数を加えた文字列等、個人属性情報毎に異なるパスワードであることが望ましい。さらに、認証ＩＤ生成部３２０は、生成した認証ＩＤを匿名化部３３０へ出力する。なお、これらの処理は、図５のステップＳ１０００の処理よりも先に実行されていても良い。

　そして、ステップＳ２２００において、匿名化部３３０は、情報非共有部３１０から個人属性情報を取得する。そして、匿名化部３３０は、取得した個人属性情報に、認証ＩＤ生成部３２０から入力された認証ＩＤおよびデータＩＤを付加して、匿名化情報を生成する。データＩＤは、例えば、個人属性情報が登録された年月日時分秒に３桁の通し番号を加えた文字列等、個人属性情報毎に異なるパスワードであることが望ましい。なお、これらの処理は、図５のステップＳ１０００の処理よりも先に実行されていても良い。そして、匿名化部３３０は、生成した匿名化情報を、情報共有部３４０へ出力する。

　そして、ステップＳ２３００において、情報共有部３４０は、匿名化部３３０から新たに入力された匿名化情報を、他の匿名化情報共有装置３００ｒに出力（送信）し、図５の処理へ戻る。この結果、匿名化情報は、他の匿名化情報共有装置３００ｒでの後述のステップＳ４０００の処理により、匿名化情報共有装置３００ｓの情報共有部３４０と、匿名化情報共有装置３００ｒの情報共有部３４０との間で、共有化される。

　図５のステップＳ３０００において、情報共有部３４０は、他の匿名化情報共有装置３００ｓから匿名化情報を受信したか否かを判断する。情報共有部３４０は、匿名化情報を受信した場合は（Ｓ３０００：ＹＥＳ）、ステップＳ４０００へ進む。また、情報共有部３４０は、匿名化情報を受信していない場合は（Ｓ３０００：ＮＯ）、そのままステップＳ５０００へ進む。

　ステップＳ４０００において、情報共有部３４０は、受信した匿名化情報を保持し、ステップＳ５０００へ進む。

　ステップＳ５０００において、匿名化情報処理要求部３５０は、共有化した匿名化情報の削除の指示があったか否かを判断する。この指示は、例えば、ユーザ操作による指示である。匿名化情報処理要求部３５０は、匿名化情報の削除の指示があった場合は（Ｓ５０００：ＹＥＳ）、ステップＳ６０００へ進む。また、匿名化情報処理要求部３５０は、匿名化情報の削除の指示が無い場合は（Ｓ５０００：ＮＯ）、そのままステップＳ７０００へ進む。

　ステップＳ６０００において、匿名化情報処理要求部３５０は、削除パスワードを含む削除要求を、他の匿名化情報共有装置３００ｒへ送信し、ステップＳ７０００へ進む。

　ステップＳ７０００において、匿名化情報処理部３６０は、他の匿名化情報共有装置３００ｓから削除要求を受信したか否かを判断する。匿名化情報処理部３６０は、削除要求を受信した場合は（Ｓ７０００：ＹＥＳ）、ステップＳ８０００へ進む。また、匿名化情報処理部３６０は、削除要求を受信していない場合は（Ｓ７０００：ＮＯ）、そのままステップＳ９０００へ進む。

　ステップＳ８０００において、匿名化情報共有装置３００ｒは、匿名化情報削除処理を実行する。匿名化情報削除処理は、削除要求を受けて、情報共有部３４０が保持する匿名化情報を適宜削除する処理である。

　図７は、匿名化情報削除処理を示すフローチャートである。

　まず、ステップＳ８１００において、匿名化情報処理部３６０は、受信した削除要求の削除パスワードを取得する。

　そして、ステップＳ８２００において、匿名化情報処理部３６０は、情報共有部３４０が保持する匿名化情報の中から１つを選択する。

　そして、ステップＳ８３００において、匿名化情報処理部３６０は、取得した削除パスワードと、選択中の匿名化情報に含まれるデータＩＤと、選択中の匿名化情報に含まれる個人属性情報との組み合わせに対して、ハッシュ関数を適用する。

　ステップＳ８４００において、匿名化情報処理部３６０は、ハッシュ関数を適用した結果が、選択中の匿名化情報の認証ＩＤと一致するか否かを判断する。匿名化情報処理部３６０は、適用結果と認証ＩＤとが一致する場合は（Ｓ８４００：ＹＥＳ）、ステップＳ８５００へ進む。また、匿名化情報処理部３６０は、適用結果と認証ＩＤとが一致しない場合は（Ｓ８４００：ＮＯ）、ステップＳ８６００へ進む。

　ステップＳ８５００において、匿名化情報処理部３６０は、選択中の匿名化情報を、情報共有部３４０から削除して、ステップＳ８６００へ進む。この結果、出力元からの削除要求である場合には、その削除要求に従って、匿名化情報が削除される。

　ステップＳ８６００において、匿名化情報処理部３６０は、情報共有部３４０に保持されている匿名化情報に、未選択のものがあるか否かを判断する。匿名化情報処理部３６０は、未選択の匿名化情報がある場合は（Ｓ８６００：ＹＥＳ）、ステップＳ８２００へ戻り、未選択の匿名化情報を選択して処理を繰り返す。また、匿名化情報処理部３６０は、未選択の匿名化情報が無い場合は（Ｓ８６００：ＮＯ）、図５の処理へ戻る。この結果、匿名化情報共有装置３００ｓは、他の匿名化情報共有装置３００ｒに保持されている匿名化情報が複数存在する場合でも、自装置が出力した匿名化情報を削除させることができる。

　なお、本実施の形態では、情報共有部３４０が保持する匿名化情報毎に、削除パスワードと匿名化情報に含まれるデータＩＤに対してハッシュ関数を適用し、同じ匿名化情報に含まれる認証ＩＤと一致するか判断している。

　しかし、匿名化情報のどの部分に基づいて判断を行えば良いかは、上述の例に限定されるものではない。例えば、削除パスワードとデータＩＤとのペアを送信して削除要求することにより、判断の対象を指定してもよい。この場合、匿名化情報を受信した匿名化情報共有装置３００ｒは、まずデータＩＤに基づいて匿名化情報の絞り込みを行ってからハッシュ関数の適用を行うことができるので、処理負荷および処理時間を大幅に削減することができる。

　ステップＳ９０００において、匿名化情報共有装置３００は、処理の終了を指示されたか否かを判断する。この指示は、例えばユーザ操作による指示である。匿名化情報共有装置３００は、処理の終了を指示されていない場合は（Ｓ９０００：ＮＯ）、ステップＳ１０００へ戻る。また、匿名化情報共有装置３００は、処理の終了を指示された場合は（Ｓ９０００：ＹＥＳ）、一連の処理を終了する。

　以上のように、本実施の形態に係る匿名化情報共有装置３００は、削除要求の削除パスワードと、匿名化情報に含まれるデータＩＤと、匿名化情報に含まれる個人属性情報の一部との組み合わせに対してハッシュ関数を適用する。そして、匿名化情報共有装置３００、その結果と匿名化情報の認証ＩＤとの一致性に基づいて、匿名化情報を削除させる。これにより、匿名化情報の出力元のみが、匿名化された状態を保持しつつ、匿名化情報に関する所定の処理を他の匿名化情報共有装置３００ｒに対して実行させることを可能にする。すなわち、本実施の形態に係る匿名化情報共有装置３００は、分散管理型のネットワークで共有される匿名化情報に対し、出力元による管理を継続することができる。

　また、匿名化情報共有装置３００は、削除パスワードを受信すると、上記ステップを実行すると同時にその端末が共有している全部、あるいはいくつかの匿名化情報共有装置に対して、その削除パスワードを転送する。これにより、どの装置が削除要求を発したかの発見を難しくすることができる。

　（実施の形態２）
　図８は、本発明の実施の形態２に係る匿名化情報共有装置の構成を示すブロック図であり、実施の形態１の図３に対応するものである。図３と同一部分には同一符号を付し、これについての説明を省略する。また、以下、適宜、ある匿名化情報の出力元の匿名化情報共有装置３００ａを匿名化情報共有装置３００ａｓと表記し、その匿名化情報の出力先の匿名化情報共有装置３００ａを匿名化情報共有装置３００ａｒと表記する。

　図８において、匿名化情報の出力元である匿名化情報共有装置３００ａｓの機能部は、図３の各機能部に加えて、個人属性情報蓄積部３７０ａ、データＩＤ記憶部３８０ａ、および個人識別リスク監視部３９０ａを有する。

　個人属性情報蓄積部３７０ａは、ユーザの現在位置の緯度経度情報等のセンサ情報を取得して個人属性情報を生成し、生成した個人属性情報を情報非共有部３１０に記録する。

　データＩＤ記憶部３８０ａは、ユーザにより任意に設定された個人パスワードを予め記憶する。また、データＩＤ記憶部３８０ａは、匿名化情報共有装置３００ａｓ内の各情報を特定するデータＩＤを保持する。

　すなわち、本実施の形態においては、データＩＤは、個人属性情報毎に異なる、ワンタイムパスワードを生成する際の鍵情報の一部であり、個人属性情報の操作権限を認証する公開鍵情報である。データＩＤは、例えば、個人属性情報が生成される際に、匿名化情報共有装置毎に、任意の方法、または、同一の方法を用いて任意のＩＤ体系で作成され、データＩＤ記憶部３８０ａに記憶される。

　なお、本実施の形態においては、匿名化部３３０は、認証ＩＤを、匿名状態がより維持され易いような情報に変換（匿名化）して、匿名化情報を生成するものとする。

　具体的には、本実施の形態においては、認証ＩＤ生成部３２０は、データＩＤと個人パスワードとの組み合わせに対してハッシュ関数を適用して、削除パスワードを生成するものとする。そして、認証ＩＤ生成部３２０は、実施の形態１と同様に、生成した削除パスワードと、データＩＤと、個人属性情報の一部または全部との組み合わせに対して、ハッシュ関数を適用して、認証ＩＤを生成するものとする。すなわち、本実施の形態においては、認証ＩＤだけでなく、削除パスワードも、匿名化情報毎に異なる内容となる。

　また、本実施の形態においては、匿名化情報処理要求部３５０は、認証ＩＤ生成部３２０と同様の処理により、削除パスワードを生成するものとする。

　個人識別リスク監視部３９０ａは、情報共有部３４０が保持する匿名化情報に基づいて、匿名化情報共有装置３００ａｓの個人識別リスクを監視する。ここで、個人識別リスクとは、匿名化情報共有装置３００ａｓが出力した匿名化情報の出力元である、個人または個人に紐付けられた、匿名化情報共有装置３００ａが特定される危険性の高さをいうものとする。そして、個人識別リスク監視部３９０ａは、個人識別リスクが高いとき、匿名化情報処理要求部３５０に対し、個人識別リスクが高い匿名化情報の削除を指示する。

　削除パスワードと認証ＩＤとを用いて認証を実現する最も単純な方法は、個人パスワードによるハッシュ値を認証ＩＤとし、個人パスワードを、削除パスワードとして用いることである。

しかしながら、この場合、すべての匿名化情報で同一の削除パスワードが用いられるため、削除パスワードの漏洩により、個人の任意の匿名化情報が削除、改ざんされるおそれがある。

　それを防ぐためには、匿名化情報毎に異なる削除パスワードを設定すれば良い。但し、その場合、ユーザは全ての匿名化情報の削除パスワードを準備し管理する必用がでてくるため、現実的ではない。

　そのため、本実施の形態の匿名化情報共有装置３００ａは、データＩＤと個人パスワードとの組み合わせにハッシュ関数を適用して、ユニークな削除パスワードを生成することにより、データ毎に削除パスワードを準備し管理する必要がない。

　このように、匿名化情報共有装置３００ａは、削除パスワードおよび認証ＩＤを、匿名化情報毎に変化させることができる。これにより、匿名化情報共有装置３００ａは、削除パスワードおよび認証ＩＤに基づいて行動を第三者に追跡されるリスクを低減することができる。

　また、匿名化情報共有装置３００ａは、個人識別リスクが高いとき、当該匿名化情報を削除し、個人識別リスクを低減することができる。個人識別リスクが高い状況とは、例えば、自装置が居た場所に同時間帯に居たとする他装置がおらず、匿名化情報をそのままにしておくと匿名化情報の出力元の匿名性が失われるおそれがあるような状況である。

　次に、匿名化情報の共有化から削除までに各匿名化情報共有装置３００ａで行われる処理の概要について説明する。

　図９は、匿名化部３３０における個人属性情報の匿名化を模式的に示す図である。

　図９に示すように、匿名化部３３０は、時刻ｔ～時刻ｔ＋ｍに生成された１＋ｍ個の個人属性情報５１０_ｔ～５１０_ｔ＋ｍを、元の個人属性情報の詳細が特定され難い１個の個人属性情報５２０に纏める。

　具体的には、匿名化部３３０は、個人属性情報５１０_ｔ～５１０_ｔ＋ｍの時刻情報５１１の代表値として、時刻レンジ５２１を決定する。

　また、匿名化部３３０は、第１～第ｎの代表データ５２３_１～５２３_ｎの位置レンジ５１２の代表値として、位置レンジ５２２を決定する。

　また、匿名化部３３０は、第１～第ｎの代表データ５２３_１～５２３_ｎの第１～第ｎのデータ本体５１３_１～５１３_ｎのそれぞれの代表値として、第１～第ｎの代表データ５２３_１～５２３_ｎを決定する。

　時刻レンジ５２１は、例えば、時刻ｔと、時刻ｔから時刻ｔ＋ｍまでの時間長ｄと、個人属性情報５１０_ｔ～５１０_ｔ＋ｍのサンプリング間隔ｓとから成る。

　位置レンジ５２２は、例えば、時刻ｔから時刻ｔ＋ｍまでの位置情報の分布範囲の中心位置の緯度経度情報Ｇと、分布範囲の中心位置からの半径ｒとから成る。

　代表データ５２３は、いずれかの時刻のデータ本体、頻出する語句や値、平均値等である。

　すなわち、匿名化情報共有装置３００ａは、個人のある時刻における居場所を示す情報を直接に共有するのではなく、ある空間範囲かつ時間範囲の集約情報や統計情報を共有する。このような個人属性情報５２０は、個人属性情報５１０_ｔ～５１０_ｔ＋ｍのそれぞれに比べて、出力元をより特定し難い（より匿名化された）情報と成り得る。したがって、ユーザは、位置情報を活用する有用なサービスを享受しながら、匿名化された情報を他者と共有することが可能となる。

　図１０は、本実施の形態における匿名化情報の共有化から削除までの処理の概要を模式的に示す図であり、実施の形態１の図４に対応するものである。

　まず、ある匿名化情報共有装置３００ａｓは、図１０Ａに示すように、個人属性情報６１０（図９の個人属性情報５２０に相当）を生成する。

　そして、図１０Ｂに示すように、匿名化情報共有装置３００ａｓは、個人属性情報６１０のデータＩＤ６２０を設定する。

　そして、図１０Ｃに示すように、匿名化情報共有装置３００ａｓは、データＩＤ６２０と予め設定された個人パスワード６３０との組み合わせに対して、ハッシュ関数を適用して削除パスワード６４０を生成する。

　そして、図１０Ｄに示すように、匿名化情報共有装置３００ａｓは、データＩＤ６２０と、個人属性情報６１０の一部または全部（ここでは代表データ）と、削除パスワード６４０との組み合わせに対してハッシュ関数を適用する。これにより、匿名化情報共有装置３００ａｓは、認証ＩＤ６５０を生成する。

　そして、図１０Ｅに示すように、匿名化情報共有装置３００ａｓは、認証ＩＤ６５０およびデータＩＤ６２０を個人属性情報６１０に組み込んだ匿名化情報６６０を、他の匿名化情報共有装置３００ａｒの情報共有部３４０に送信する。これにより、匿名化情報６６０は、共有される。

　そして、図１０Ｆに示すように、出力元の匿名化情報共有装置３００ａｓは、個人識別リスク監視部３９０ａ等から、共有化した匿名化情報６６０の削除指示を行う。

　このとき、匿名化情報共有装置３００ａｓは、図１０Ｂ、図１０Ｃと同様の手順により、削除パスワード６４０を生成する。そして、匿名化情報共有装置３００ａｓは、削除要求に含める形で、削除パスワード６４０を他の匿名化情報共有装置３００ａｒへ送信する。

　すると、図１０Ｇに示すように、他の匿名化情報共有装置３００ａｒは、匿名化情報処理部３６０において、個人属性情報６１０の一部または全部（代表データ）と、削除パスワード６４０と、データＩＤとの組み合わせに対して、ハッシュ関数を適用する。

　そして、図１０（Ｈ）に示すように、他の匿名化情報共有装置３００ａｒは、ハッシュ関数の結果と、匿名化情報６６０に組み込まれた認証ＩＤ６５０とを比較し、これらが一致するときは、匿名化情報６６０を削除する。

　全ての匿名化情報共有装置３００ａは、認証ＩＤの生成および削除パスワードの生成に同一のハッシュ関数を用いることができる。また、全ての匿名化情報共有装置３００ａは、ハッシュ関数を匿名化情報６６０の同一部分に対して適用することができる。したがって、各匿名化情報共有装置３００ａｓは、実施の形態１と同様に、自装置が出力して共有化した匿名化情報の管理を継続することができる。

　また、データＩＤは、個人属性情報６１０毎に異なる。また、個人パスワード６３０はユーザが任意に設定することができる。したがって、これらからハッシュ関数により生成される削除パスワード６４０は、出力元が非常に特定され難い情報となる。

　更に、データＩＤと、個人属性情報６１０自体と、削除パスワードとから、ハッシュ関数により生成される認証ＩＤも、出力元が非常に特定され難い情報となる。すなわち、匿名化情報共有装置３００ａは、匿名化情報の管理に用いるために付加的に送受信される各情報（以下「付加的情報」という）についても、匿名化された状態にすることができる。

　次に、匿名化情報共有装置３００ａの動作について説明する。

　図１１は、本実施の形態に係る匿名化情報共有装置３００ａの動作を示すフローチャートであり、実施の形態１の図５に対応するものである。図５と同一部分には同一符号を付し、これについての説明を省略する。

　匿名化情報共有装置３００ａｓは、ユーザ操作等により匿名化情報の出力の指示があった場合は（Ｓ１０００：ＹＥＳ）、ステップＳ２０００ａにおいて、実施の形態１とは異なる匿名化情報出力処理を実行する。

　図１２は、本実施の形態における匿名化情報出力処理を示すフローチャートであり、実施の形態１の図６に対応するものである。図６と同一部分には同一ステップ番号を付し、これについての説明を省略する。

　まず、ステップＳ２０１０ａにおいて、匿名化部３３０は、匿名化情報の出力の指示の対象となっている個人属性情報を取得し、これを匿名化する。すなわち、匿名化部３３０は、図９で説明したように、時刻ｔ～時刻ｔ＋ｍに生成された１＋ｍ個の個人属性情報５１０_ｔ～５１０_ｔ＋ｍが対象となっている場合には、これらを１個の個人属性情報５２０で代表させる。

　そして、ステップＳ２０２０ａにおいて、データＩＤ記憶部３８０ａは、匿名化部３３０が匿名化した個人属性情報のデータＩＤを生成する。そして、データＩＤ記憶部３８０ａは、生成したデータＩＤと予め設定された個人パスワードとを、認証ＩＤ生成部３２０へ出力する。

　そして、ステップＳ２０３０ａにおいて、認証ＩＤ生成部３２０は、入力されたデータＩＤと入力された個人パスワードとの組み合わせに対してハッシュ関数を適用する。これにより、認証ＩＤ生成部３２０は、削除パスワードを生成する。匿名化情報出力処理における以降の処理は、実施の形態１と同様である。

　また、匿名化情報共有装置３００ａｓは、削除指示の有無を判断する前に（図１１のＳ５０００）、ステップＳ４５００ａとして、リスク監視処理を実行する。リスク監視処理は、情報共有部３４０に保持された各匿名化情報の個人識別リスクを監視し、個人識別リスクが高くなった匿名化情報を削除させる処理である。

　図１３は、リスク監視処理を示すフローチャートである。

　まず、ステップＳ４５１０ａにおいて、個人識別リスク監視部３９０ａは、情報共有部３４０が保持する匿名化情報を、時刻レンジと位置レンジとの組み合わせに基づいてグルーピングする。具体的には、個人識別リスク監視部３９０ａは、例えば、自装置の匿名化情報に対して、時刻レンジと位置レンジとの両方が重なる他装置の匿名化情報が存在するとき、これらをグループ化する。

　そして、ステップＳ４５２０ａにおいて、個人識別リスク監視部３９０ａは、グループを構成する匿名化情報の数が閾値ｋ以下であるグループが存在するか否かを判断する。閾値ｋは、許容される個人識別リスクに応じて予め定められる値である。すなわち、閾値ｋは、時刻レンジおよび位置レンジが重なるという条件を満たす集団の中で、特定の個人が識別される可能性が出る、集団の最大母数である。

　個人識別リスク監視部３９０ａは、該当するグループが存在する場合は（Ｓ４５２０ａ：ＹＥＳ）、ステップＳ４５３０ａへ進む。また、個人識別リスク監視部３９０ａは、該当するグループが存在しない場合は（Ｓ４５２０ａ：ＮＯ）、そのまま図１１の処理に戻る。

　ステップＳ４５３０ａにおいて、個人識別リスク監視部３９０ａは、匿名化情報処理要求部３５０に対し、匿名化情報の数が閾値ｋ以下であるグループの自装置の匿名化情報の削除を指定して、図１１の処理に戻る。この結果、匿名化情報共有装置３００ａｓは、いずれかの自装置の匿名化情報の個人識別リスクが高いときに、これを検出し、その匿名化情報の削除を指示することができる。

　また、匿名化情報共有装置３００ａｓは、いずれかの匿名化情報を削除する旨の指示があった場合は（Ｓ５０００：ＹＥＳ）、ステップＳ６０００ａとして、削除要求送信処理を実行する。削除要求送信処理は、削除指定された匿名化情報の削除を要求する削除要求を他の匿名化情報共有装置３００ａｒへ送信する処理である。

　例えば、ある駅を示す位置レンジにおいて、通勤時間帯である８時から９時までの間の１時間の時刻レンジでは、匿名化情報の数が３００であり、１２時から１３時までの間の１時間の時刻レンジでは、匿名化情報の数が１０である状況を想定する。

　この場合、８時から９時までの時刻レンジのでは、個人を特定される可能性が低いが、１２時から１３時までの時刻レンジでは、個人を特定される可能性が高くなる。このような場合、例えば、ｋ＝３０を閾値として設定することにより、個人識別リスク監視部３９０ａは、匿名化情報の数が３０を下回るグループが存在するとき、そのグループの自装置の匿名化情報を削除することができる。

更に、匿名化情報を削除した後に、個人識別リスク監視部３９０ａは、自身が把握する匿名化情報数に基づいて、位置レンジを広げる。あるいは、個人識別リスク監視部３９０ａは、時刻レンジを広げる等、匿名化情報を作成する際の各種条件を再設定して、匿名化情報を作成し直して再び共有化してもよい。

　なお、個人識別リスク監視部３９０ａは、匿名化情報を生成する前に、個人識別リスクが低くなるような位置レンジおよび時刻レンジを設定するために用いられても良い。

　図１４は、本実施の形態における削除要求送信処理を示すフローチャートである。

　まず、ステップＳ６０１０ａにおいて、個人識別リスク監視部３９０ａは、削除が指定された匿名化情報のデータＩＤを取得する。そして、個人識別リスク監視部３９０ａは、取得したデータＩＤと予め設定された個人パスワードとを、匿名化情報処理要求部３５０へ出力する。

　そして、ステップＳ６０２０ａにおいて、匿名化情報処理要求部３５０は、入力されたデータＩＤと入力された個人パスワードとの組み合わせに対してハッシュ関数を適用する。これにより、匿名化情報処理要求部３５０は、削除パスワードを生成する。

　そして、ステップＳ６０３０ａにおいて、匿名化情報処理要求部３５０は、生成した削除パスワードを含む削除要求を、他の匿名化情報共有装置３００ａｒへ送信し、図１１の処理へ戻る。この結果、匿名化情報共有装置３００ａｓは、個人識別リスク監視部３９０ａ等により削除が指示された匿名化情報を、各匿名化情報共有装置３００ａの情報共有部３４０から削除することができる。

　また、本実施の形態に係る匿名化情報共有装置３００ａｒは、削除要求を他の匿名化情報共有装置３００ａｓから受信したとき（Ｓ７０００：ＹＥＳ）、ステップＳ８０００ａとして、実施の形態１とは異なる匿名化情報削除処理を実行する。

　このように、本実施の形態に係る匿名化情報共有装置３００ａは、匿名化情報毎に異なるデータＩＤと、ユーザ毎に異なる個人パスワードとに対して一方向性関数を適用した結果を、削除パスワードとして用いる。これにより、本実施の形態に係る匿名化情報共有装置３００ａは、削除要求の出力元の匿名性を確保することができる。

　なお、匿名化情報共有装置３００ａは、データＩＤのみ、あるいは個人属性情報の一部または全部等、匿名化情報毎に異なるような他の情報に対して一方向性関数を適用して、削除パスワードを生成しても良い。

　また、匿名化情報共有装置３００ａは、ハッシュ関数を適用して認証ＩＤおよび削除パスワードを生成する際に、匿名化情報に含まれる、時刻レンジ、位置レンジ、あるいはデータＩＤのみ等を、削除パスワードと組み合わせても良い。

　また、匿名化情報共有装置３００ａは、上述の例以外の基準を用いて、個人識別リスクが高いか否かを判断しても良い。例えば、匿名化情報共有装置３００ａは、ユーザの行動履歴が一定時間以上連続している場合に、個人識別リスクが高いと判断し、その連続性が失われるように、一部の匿名化情報を削除するようにしても良い。

　また、削除要求の送信は、必ずしも匿名化情報の送信を行った装置と同一の装置から行われなくても良い。例えば、削除要求の送信は、ユーザが同一である等、匿名化情報の出力元という観点において同一視することができる別の装置から行われても良い。この場合、削除要求を行う装置は、匿名化情報を送信した装置で用いられた削除パスワードを、なんらかの秘密通信手段により取得する必要がある。このようなシステム構成によっても、出力元による匿名化情報に対する管理の継続が可能である。

　また、以上説明した各実施の形態では、削除パスワードおよび認証ＩＤを生成する際に用いる一方向性関数をハッシュ関数としたが、他の各種の一方向性関数を用いることができる。

　また、共有化された匿名化情報に対して行う処理は、削除に限定されない。例えば、本実施の形態は、匿名化情報の内容に対する修正、他の匿名化情報共有装置における匿名化情報の管理状態の変更（第三者への公開の禁止等）等、匿名化情報の出力元にのみ許可されるような各種処理を適用することができる。

　２０１０年８月６日出願の特願２０１０－１７７５４０の日本出願に含まれる明細書、図面および要約書の開示内容は、すべて本願に援用される。

　本発明に係る匿名化情報共有装置および匿名化情報共有方法は、分散管理型のネットワークで共有される匿名化情報に対し、出力元による管理を継続することができる匿名化情報共有装置および匿名化情報共有方法として有用である。

　すなわち、本発明は、ピア・ツー・ピア型ネットワーク等における、権威ある中央システムの無いような情報共有システムにおいて、ユーザの位置情報等の特定の個人を識別する可能性のある情報を共有する場合に有用である。

　また、本発明は、中央システムに情報を投稿する情報共有システムにおいても、ユーザの位置情報等の特定の個人を識別する可能性のある情報を共有する場合に有用である。

　また、本発明は、サービス事業者がユーザの位置を管理しない位置共有型サービス、例えば、ｔｗｉｔｔｅｒ（登録商標）等のライフストリームサービスの用途に応用することができる。

　１００　匿名化情報共有システム
　２００　通信ネットワーク
　３００、３００ａ　匿名化情報共有装置
　３１０　情報非共有部
　３２０　認証ＩＤ生成部
　３３０　匿名化部
　３４０　情報共有部
　３５０　匿名化情報処理要求部
　３６０　匿名化情報処理部
　３７０ａ　個人属性情報蓄積部
　３８０ａ　データＩＤ記憶部
　３９０ａ　個人識別リスク監視部

Claims

　出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有装置であって、
　共有化対象情報毎に、前記共有化対象情報の一部または全部と処理パスワードとの組み合わせに対して第１の一方向性関数を適用して、認証ＩＤを生成する認証ＩＤ生成部と、
　生成された前記認証ＩＤを共有化対象情報に付加して、匿名化情報を生成する匿名化部と、
　生成された前記匿名化情報を出力して前記他の装置に保持させる情報共有部と、
　前記処理パスワードを含む処理要求を生成して前記他の装置へ送信し、前記他の装置に対して、前記他の装置が保持する匿名化情報の一部または全部と前記処理パスワードとの組み合わせに対して前記第１の一方向性関数を適用した結果と前記他の装置が保持する匿名化情報の認証ＩＤとの一致性に基づき、前記他の装置に保持させた匿名化情報に対して、出力元にのみ許可される所定の処理の実行を要求する匿名化情報処理要求部と、を有する、
　匿名化情報共有装置。
　前記認証ＩＤ生成部は、
　前記共有化対象情報の一部または全部と、前記処理パスワードと、データＩＤとの組み合わせに対して前記第１の一方向性関数を適用して、前記認証ＩＤを生成する、
　請求項１記載の匿名化情報共有装置。
　前記認証ＩＤ生成部は、
　個人パスワードと前記データＩＤとの組み合わせに対して第２の一方向性関数を適用して、前記処理パスワードを生成する、
　請求項１記載の匿名化情報共有装置。
　前記情報共有部は、
　前記匿名化情報共有装置から出力された匿名化情報および前記他の装置から出力された匿名化情報を保持し、
　前記情報共有部が保持する前記匿名化情報に基づいて、前記匿名化情報共有装置が出力した前記匿名化情報の出力元として前記匿名化情報共有装置が特定されるリスクを監視する個人識別リスク監視部、を更に有し、
　前記匿名化情報処理要求部は、
　前記リスクが高いとき、前記他の装置に対して前記所定の処理を要求し、
　前記所定の処理は、前記リスクが低くなるような処理である、
　請求項１記載の匿名化情報共有装置。
　前記所定の処理は、前記他の装置に保持させた前記匿名化情報の削除を含む、
　請求項１記載の匿名化情報共有装置。
　出力元が匿名化された、共有化対象情報と認証ＩＤとを含む匿名化情報を、他の装置との間で共有する匿名化情報共有装置であって、
　前記他の装置から出力された前記匿名化情報を保持する情報共有部と、
　前記他の装置から、処理パスワードを含む処理要求を受信したとき、前記情報共有部が保持する前記匿名化情報毎に、前記匿名化情報の共有化対象情報の一部または全部と前記処理パスワードとの組み合わせに対して第１の一方向性関数を適用した結果と、前記匿名化情報の認証ＩＤとの一致性に基づき、前記匿名化情報に関する所定の処理を実行するか否かを判断する匿名化情報処理部と、を有する、
　匿名化情報共有装置。
　出力元が匿名化された匿名化情報を他の装置との間で共有する匿名化情報共有方法であって、
　共有化対象情報毎に、前記共有化対象情報の一部または全部と処理パスワードとの組み合わせに対して第１の一方向性関数を適用して、認証ＩＤを生成するステップと、
　生成した前記認証ＩＤを共有化対象情報に付加して、匿名化情報を生成するステップと、
　生成した前記匿名化情報を出力して前記他の装置に保持させるステップと、
　前記処理パスワードを含む処理要求を生成して前記他の装置へ送信し、前記他の装置に対して、前記他の装置が保持する匿名化情報の一部または全部と前記処理パスワードとの組み合わせに対して前記第１の一方向性関数を適用した結果と前記他の装置が保持する匿名化情報の認証ＩＤとの一致性に基づき、前記他の装置に保持させた匿名化情報に対して、出力元にのみ許可される所定の処理の実行を要求するステップと、を有する、
　匿名化情報共有方法。