WO2012067213A1 - 情報処理システム及び匿名化方法 - Google Patents
情報処理システム及び匿名化方法 Download PDFInfo
- Publication number
- WO2012067213A1 WO2012067213A1 PCT/JP2011/076610 JP2011076610W WO2012067213A1 WO 2012067213 A1 WO2012067213 A1 WO 2012067213A1 JP 2011076610 W JP2011076610 W JP 2011076610W WO 2012067213 A1 WO2012067213 A1 WO 2012067213A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- anonymization
- personal information
- information
- processing
- anonymity
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Definitions
- the present invention relates to a technique for anonymizing personal information of an individual.
- Anonymization is information processing that generalizes, cuts off, perturbs, etc. information with high privacy. That is, anonymization generates information that cannot identify an individual of an information provider who is a user or an individual user in information.
- this type of technique described in Patent Document 1 includes a plurality of conformance conditions having different priorities as policy setting rules, and takes precedence when a document conforms to a plurality of conformance conditions.
- a technique for restricting operation based on a high degree of matching condition is disclosed.
- a score value is set as data indicating this priority (particularly, see paragraph [0062]).
- the technique described in Patent Document 2 makes it possible to make the abstraction level of a description (for example, a disease name in a text in the medical field) included in a document constant. Aims to standardize the description.
- the technique described in Patent Document 1 has the following problems. That is, the problem is that the anonymization results are the same if the anonymization level (anonymity) is the same even if the usage requirements for the anonymized information are different. Moreover, in the system described in Patent Document 2, the priority of items to be anonymized is implicitly determined. As a result, there is a problem that the service provider has to realize anonymization for each use case.
- the objective of this invention is providing the technique which solves the above-mentioned subject.
- an apparatus that anonymizes the personal information when using personal information connectable to an individual.
- the information processing apparatus includes a plurality of anonymization processes for increasing anonymity for at least one item that can be associated with the personal information, and anonymization in which a priority is added to each of the plurality of anonymization processes
- Anonymization policy providing means for providing a policy;
- Anonymization processing means for applying the plural types of anonymization processes included in the anonymization policy provided by the anonymization policy providing means, the anonymization process that sequentially selects the anonymization processes with the higher priority from the anonymization processes with the lower priority Process selection means, Anonymization processing means for applying the plural types of anonymization processing to the personal information used by information users in the order selected by the anonymization processing selection means;
- the anonymity evaluation means that provides the information user with the personal information to which the anonymization process is applied, and including.
- an embodiment of a method according to the present invention is a method for controlling an information processing apparatus that anonymizes personal information when using personal information that can be linked to an individual.
- the control method includes a plurality of types of anonymization processing for increasing anonymity for at least one item that can be associated with the personal information, and a priority is added to each of the plurality of types of anonymization processing.
- an embodiment of a program according to the present invention is a control program for an information processing apparatus that anonymizes the personal information when using personal information connectable with an individual.
- an anonymization policy including a plurality of types of anonymization processing for increasing anonymity for at least one item that can be associated with the personal information, and a priority is added to each of the plurality of types of anonymization processing Processing
- a process of sequentially selecting the anonymization process having a high priority from the anonymization process having a low priority A process of applying the plural types of anonymization processes to the personal information used by an information user in the order selected in the anonymization process selection step;
- a process of providing the information user with the personal information to which the anonymization process up to the anonymization process is applied; Is executed on the computer.
- an embodiment of a system is an information processing system that anonymizes the personal information when using personal information connectable to an individual, Personal information acquisition means for acquiring the personal information; Personal information storage means for storing the acquired personal information; Provide an anonymization policy including a plurality of types of anonymization processing for increasing anonymity for at least one item that can be associated with the personal information, and a priority is added to each of the plurality of types of anonymization processing Anonymization policy providing means to When applying the plural types of anonymization processes included in the anonymization policy provided by the anonymization policy providing means, the anonymization process that sequentially selects the anonymization processes with the higher priority from the anonymization processes with the lower priority Process selection means, Anonymization processing means for applying the plurality of types of anonymization processing to personal information used by information users among personal information stored in the personal information storage means in the order selected by the anonymization processing selection means; , When it is determined that the personal information to which the anonymization process is applied has anonymity, the anonymity evaluation means that provides the information user with
- a personal information anonymization method for anonymizing the personal information when using personal information connectable with an individual A personal information acquisition step of acquiring the personal information; Provide an anonymization policy including a plurality of types of anonymization processing for increasing anonymity for at least one item that can be associated with the personal information, and a priority is added to each of the plurality of types of anonymization processing
- Anonymization policy providing step When applying the plural types of anonymization processes included in the anonymization policy provided in the anonymization policy providing step, anonymization is selected in order from the low-priority anonymization process to the high-priority anonymization process.
- the plural types of anonymization processes are applied to the personal information used by the information user in the order selected in the anonymization process selection step.
- the anonymity evaluation step of providing the information user with the personal information to which the anonymization process up to the anonymization process is applied;
- ADVANTAGE OF THE INVENTION According to this invention, the application order of the anonymization process produced
- anonymization used in the present specification includes anonymization processing such as generalization, clipping, separation, replacement, and perturbation for personal information with high privacy, but is not limited thereto.
- generalization is a process of obfuscating items of personal information and hiding detailed values. For example, in the case of generalization for an item “address”, an address, a city, a municipality, etc. are deleted.
- “Cut off” is a process of deleting an item from the personal information and a process of hiding that the item is included in the personal information.
- “Separation” is a process of dividing a plurality of items of personal information of one user into a plurality of pieces of personal information. By combining the items, it is possible to identify a user (also referred to as an information provider) and estimate attributes. It is a process to prevent.
- “Replacement” is processing for preventing personal identification and attribute estimation of a user by a combination of items by exchanging a part or all of items between a plurality of pieces of personal information.
- Perfectment is a process of hiding an accurate value by adding a certain fluctuation to the value of an item.
- the separation, replacement, and perturbation processes are not intended to provide personalized services to individual users but to protect the privacy of users during statistical processing.
- An information processing apparatus 100 as a first embodiment of the present invention will be described with reference to FIG. 1.
- the information processing apparatus 100 is an apparatus that anonymizes the personal information when using personal information that can be linked to an individual.
- the information processing apparatus 100 includes an anonymization policy providing unit 102, an anonymization processing selection unit 104, an anonymization processing unit 106, and an anonymity evaluation unit 108.
- the anonymization policy providing unit 102 includes a plurality of types of anonymization processing for increasing anonymity for at least one item that can be associated with personal information.
- the anonymization policy providing unit 102 provides an anonymization policy in which a priority is added to each of a plurality of types of anonymization processing.
- the priority may be, for example, a value determined by the anonymization policy providing unit 102 in accordance with personal information usage requirements.
- the anonymization process selection unit 104 when applying a plurality of types of anonymization process included in the anonymization policy provided by the anonymization policy providing unit 102, anonymization process with higher priority from anonymization process with lower priority Select in order.
- the anonymization processing unit 106 applies a plurality of types of anonymization processing to personal information in the order selected by the anonymization processing selection unit 104.
- the information processing apparatus provides a plurality of types of information to which priority is added corresponding to an information user when providing personal information provided by the information provider to the information user.
- Anonymization is executed with an anonymization policy including anonymization processing. In that case, an anonymization policy can be created so that each anonymization process may include anonymization of a plurality of items of personal information.
- the information processing apparatus can provide personal information that is quickly anonymized in accordance with the use of the information user. That is, according to the present embodiment, it is possible to perform anonymization quickly corresponding to the information user of personal information, rather than evaluating anonymity by applying anonymization processing to each item one by one.
- the information processing system and the information processing apparatus are applied to a medical field that requires anonymization processing is shown. It can be applied in all fields when it is disadvantageous to be specified.
- FIG. 2 is a block diagram showing a functional configuration of the information processing apparatus 200 according to the second embodiment of the present invention.
- An information processing apparatus 200 that is a stepwise anonymization apparatus includes an anonymization processing selection unit 202, an anonymization processing unit 204, an anonymity evaluation unit 206, a personal information storage unit 208, an anonymization policy storage unit 210, Anonymized information storage unit 212.
- the information processing apparatus 200 is an apparatus exemplified as a computer. Each element (functional block) in the information processing apparatus 100 and other information processing apparatus for anonymization described later is realized by using computer hardware by a program (software) that realizes the components shown in FIG. Is done.
- Such an information processing device 200 includes, for example, a CPU, a memory (main storage device), a hard disk (large-capacity auxiliary storage device), and a communication device, an input device such as a keyboard and a mouse, and an output device such as a display and a printer. It can be realized with a computer connected to.
- the information processing apparatus 200 can realize the functions of the anonymization processing selection unit 202 to the anonymization information storage unit 212 when the CPU reads the program stored in the hard disk into the memory and executes the program. . It will be understood by those skilled in the art that there are various modifications in the implementation method and apparatus. Each figure described below shows functional unit blocks, not hardware unit configurations. A hardware configuration example of the information processing apparatus 200 is shown in FIGS.
- the personal information storage unit 208 stores personal information provided by an information provider (which is a terminal device, but simply referred to as an information provider below) or information including personal information.
- Personal information is an item including a name and a value, and is information having one or more items to which anonymization processing such as generalization, cut-off, separation, replacement, and perturbation can be applied one or more times.
- an item “address” having a character string composed of a prefecture name, a city, a town, a street address, etc. as a value
- an item “age” having a numerical value as a value (specific example) (See FIG. 4).
- the personal information stored in the personal information storage unit 208 does not limit the anonymization process that can be executed and the applicable service.
- the anonymization policy storage unit 210 stores the anonymization policy.
- the anonymization policy is a requirement for anonymization regarding the use of personal information that has been subjected to zero or more anonymization processes.
- the anonymization process of the anonymization policy includes priorities for indicators such as the presence / absence of an item, the abstraction level of the item, and the accuracy of the item with respect to the items constituting the personal information. For example, it is assumed that personal information is information composed of items of address and age, and an index is assigned to each item.
- each anonymization process of the anonymization policy has priority 3 (address: index 1, age: index 1), priority 2 (address: index 2, age: index 1), priority 1 (address: It is described by a pair of an address and an age like index 2, age: index 2) (refer to FIG. 6 and FIG. 13 for specific examples).
- the anonymized information storage unit 212 stores personal information to which an information user ID that is an identifier for identifying an information user is assigned, or anonymized personal information (see FIG. 7 for a specific example).
- the anonymization process selection unit 202 refers to the anonymization policy stored in the anonymization policy storage unit 210 and extracts the information user ID included in the anonymization policy. If the latest personal information to which the information user ID is assigned does not exist in the anonymized information storage unit 212, the anonymization process selection unit 202 stores all the latest personal information stored in the personal information storage unit 208. It duplicates in the anonymized information storage part 212, and gives information user ID. Next, the anonymization process selection unit 202 takes out a set having the lowest priority composed of one or more item names and indexes described in the anonymization policy for each item constituting the personal information.
- the anonymization process selection part 202 specifies the anonymization process for satisfy
- the anonymization process selection unit 202 executes this process for all personal information to which the information user ID stored in the anonymization information storage unit 212 is assigned.
- the anonymization processing unit 204 receives personal information, item names, and the content of the anonymization processing from the anonymization processing selection unit 202. Next, the anonymization processing unit 204 applies the specified anonymization process to the received personal information item to generate anonymized personal information. Then, the anonymization processing unit 204 overwrites the personal information stored in the anonymized information storage unit 212 with the anonymized personal information.
- the anonymity evaluation unit 206 evaluates whether or not the personal information anonymized by the anonymization processing unit 204 has anonymity under the following conditions. For example, -It is impossible to determine who the information provider is from the personal information anonymized by the anonymization processing unit 204. The personal information anonymized by the anonymization processing unit 204 cannot be distinguished from other personal information stored in the anonymization information storage unit 212. The attribute of the information provider is not known from the personal information anonymized by the anonymization processing unit 204. When all personal information requested by the information user has anonymity, the personal information is provided to the information user. On the other hand, when all or part of the personal information does not have anonymity, the anonymization process selection unit 202 is instructed to apply a further anonymization process to the personal information.
- 3A and 3B are diagrams illustrating a hardware configuration of the information processing apparatus 200 according to the present embodiment.
- a CPU 310 is a processor for arithmetic control, and implements each functional component of FIG. 2 by executing a program.
- the ROM 320 stores fixed data and programs such as initial data and programs.
- the communication control unit 330 communicates with an external device via a network.
- the communication control unit 330 receives personal information from an information provider from an external device, and provides (transmits) personal information to an information user of the external device. Communication may be wireless or wired. Note that the information processing apparatus 200 may be connected to a LAN for processing within a limited range.
- the RAM 340 is a random access memory that the CPU 310 uses as a work area for temporary storage.
- the RAM 340 has an area for storing provider data 341 from the information provider and user data 342 to the information user as data necessary for realizing the present embodiment. More specifically, as shown in FIG. 3B, a provider ID 3401 for identifying a provider and provided personal information 3402 are stored as provider data 341.
- a user ID 3403 for identifying a user and personal information 3404 to be used are stored.
- anonymized information 3405 obtained by applying anonymization processing to personal information and anonymity evaluation result 3406 that is a result of evaluating anonymity of anonymized information 3405 are stored as user data 342.
- the anonymization information 3405 may be overwritten in the area of the personal information 3404.
- anonymization policy 3407 for anonymizing personal information 3404 is stored as user data 342.
- the storage 350 stores the anonymity evaluation algorithm 351, the data storage unit 352, and the program 353 executed by the CPU 310 in a nonvolatile manner. More specifically, as shown in FIG. 3B, the storage 350 includes a personal information storage unit 208 that stores personal information provided by the information provider in association with the provider ID as the data storage unit 352.
- the storage 350 includes an anonymized information storage unit 212 that stores anonymized personal information provided to the information user in association with the user ID as the data storage unit 352.
- the storage 350 includes an anonymization policy storage unit 210 that stores an anonymization policy in association with a user ID in advance as the data storage unit 352. That is, it is possible to set different anonymization policies depending on the access right of the information user.
- An anonymized policy 3504 registered in advance is stored in the storage area of the anonymized policy storage unit 210.
- an item rule 3505 defining an index of each item constituting the anonymization policy is stored as the item rule storage unit.
- the data storage unit 352 includes a provision history storage unit 2004 that is used in the fifth embodiment and stores personal information that is anonymized and provided to an information user in association with a user ID.
- the storage 350 stores an information processing program 3506 indicating an operation procedure of the information processing apparatus 200 as a program 353.
- the storage 350 includes an anonymization process selection module 3507 for selecting an anonymization process to be executed from the anonymization policy and an anonymization module for executing the anonymization process, which are included in a part of the information processing program 3506 as the program 353. 3508 is stored.
- FIG. 4 is a diagram showing a configuration of the personal information storage unit 208 of the present embodiment.
- FIG. 5 is a diagram showing a configuration of an item definition 3505 that represents the level of anonymization as an index for each item.
- the index 1 is the index with the lowest anonymity, and the anonymity increases in the order of the indices 2, 3, and 4.
- FIG. 5 is defined corresponding to a specific example of the present embodiment.
- an index 1 that indicates all and an index 2 that is not described or is represented by a symbol are defined.
- the index of the address of the item as shown in the address regulation data 502 in FIG. 5, there is no notation of the index 1 that indicates all, the index 2 that indicates other than the address, the index 3 that indicates only the prefecture.
- An index 4 is defined.
- an index 1 indicating all, an index 2 indicating only the age, and an index 3 without description are specified.
- the medical history index of the item as shown in the medical history defining data 504 in FIG.
- FIG. 6 is a diagram illustrating an example of the anonymization policy 3504 in the anonymization policy storage unit 210.
- data 601 and 602 indicate each anonymization process.
- the anonymization process having a large priority value has a lower priority.
- the anonymization policy of FIG. 6 as the anonymization process 601 having the lowest priority, the blood relative (name) is anonymized to index 2, the address is anonymized to index 2, the age is anonymized to index 2, and the medical history is anonymized The anonymization process is defined to keep the index 1 without.
- FIG. 7 is a diagram illustrating a configuration of the anonymized information storage unit 212 as a result of performing the anonymization policy of FIG. 6 and anonymization by item limitation. 7 shows the result of anonymizing the personal information of FIG.
- the anonymized information storage unit 212 stores the data of the items of the blood 702, the address 703, the age 704, and the medical history 705 in association with the personal ID 701 that is the identifier of the personal information.
- the blood relative (name) 702 is anonymized to symbols “X” and “Y”.
- FIG. 8 is a flowchart illustrating an example of an operation procedure of the information processing apparatus 200 according to the second embodiment. This flowchart is executed by the CPU 310 of FIG. 3A using the RAM 340, and realizes the function of the functional component shown in FIG.
- step S801 the anonymization process selection unit 202 extracts the user ID of the information user.
- the anonymization process selection unit 202 reads the latest personal information of personal information requested by the information user from the personal information storage unit 208 and stores it in the personal information 3404.
- step S805 the anonymization process selection unit 202 determines whether an anonymization process of an anonymization policy corresponding to the user ID has been performed based on whether there is an anonymization process with an unselected priority. If there is an unselected priority anonymization process, the process proceeds to step S807.
- step S807 the anonymization process selection unit 202 selects the anonymization process having the lowest priority among the anonymization processes remaining from the anonymization policy.
- the anonymization process selection part 202 transmits the personal information relevant to the selected anonymization process, the item name, and the content of the anonymization process to the anonymization process part 204.
- FIG. On the other hand, if there is no unselected priority anonymization process, the process proceeds to step S809. Since the anonymization policy no longer provides for anonymization processing, information anonymization was not successful. In this case, in step S809, the anonymization process selection unit 202 notifies the information user that information cannot be provided. In step S811, the anonymization processing unit 204 executes anonymization by a new type of anonymization process on the personal information obtained as a result of the previous anonymization process, and the result is anonymized information 3405. Overwrite to.
- step 813 the anonymity evaluation unit 206 determines whether or not the personal information of the anonymity processing result has anonymity. If it is determined that there is no anonymity, the process returns to step S805, and steps S805 to S813 are repeated. If the anonymity evaluation unit 206 determines that there is anonymity, the process proceeds to step S815, and the anonymity evaluation unit 206 provides anonymized personal information to the information user indicated by the user ID.
- FIG. 9 is a diagram showing the abstraction level of personal information provided by an information provider and not yet anonymized. Since anonymization processing has not been applied yet, there is no abstraction in all items.
- FIG. 10 is a diagram illustrating a state in which the anonymization policy is abstracted by each anonymization process. In the figure, numbers “1” and “2” indicate the degree of abstraction based on the priorities 1 and 2 shown in FIG. Hereinafter, the numbers “1” and “2” will be described as priorities 1 and 2. Referring to FIG. 5 and FIG. 6 below, in FIG.
- FIG. 11A is a diagram illustrating a state in which the degree of abstraction increases in order by the anonymization process by the anonymization processing unit 204.
- the personal information 900 that has not been anonymized becomes the personal information 1110 of the first anonymization result by the anonymization process 1000 (2) of priority 2.
- the personal information 900 becomes the personal information 1120 of the next anonymization result by the anonymization process 1000 (1) of the priority 1.
- the anonymization specified in the anonymization policy ends.
- FIG. 11B is a diagram illustrating a change in a specific anonymization process result indicated by an abstraction level in FIG. 11A.
- the reference number in FIG. 11B corresponds to the reference number for the personal information of the anonymization result in FIG. 11A.
- the blood relative (name) is replaced with the symbol (X, Y) 1111 and the address and subsequent addresses are deleted in the address (1112). Then it has been replaced by the 1113s.
- next anonymization process 1000 (1) addresses other than the prefecture only in Tokyo were deleted (1121), and special B disease was deleted from the medical history of personal ID 001 (1122).
- the information processing apparatus according to the third embodiment of the present invention will be described in detail below. In the following, when there are configurations and steps that perform the same functions and operations as in the second embodiment, these are given the same reference numerals in the drawings and the description in the specification may be omitted. The same applies to other embodiments.
- the information processing apparatus 200 according to the second embodiment performs anonymization by anonymization processing including anonymity of a plurality of types of items to which priority is added, a plurality of types of items are obtained by one anonymization processing. Perform anonymization of at once.
- the information processing apparatus 200 performs anonymization of the plurality of items at once. Accordingly, the information processing apparatus 200 may provide insufficient information to the information user due to excessive anonymization.
- the information processing apparatus 1200 (FIG. 12) according to the third embodiment selects an item without performing a part of anonymization processing at once, and performs anonymization step by step. In particular, after determining that anonymity is obtained, the information processing apparatus 1200 divides the last anonymization process into items and performs again. As a result, the information content can be kept as much as possible, and the service to the information user can be improved.
- FIG. 12 is a block diagram showing a functional configuration of the information processing apparatus 1200 according to the third embodiment of the present invention.
- An information processing apparatus 1200 that is a stepwise anonymization apparatus includes an anonymization processing selection unit 202, an anonymization processing unit 204, an anonymity evaluation unit 206, a personal information storage unit 208, an anonymization policy storage unit 210, and Anonymized information storage unit 212 and item limitation selection unit 1202 are provided.
- the difference of the configuration of the third embodiment from the second embodiment is that it includes an “item limitation selection unit 1202”, and the other functional configuration units are the same, so the description thereof is omitted.
- the item limitation selection unit 1202 selects the order of items to be anonymized from a plurality of types of items in order to perform finer anonymization for the anonymization process of the anonymization policy selected in the anonymization process selection unit 202. Decide and select an item. At this time, the item limitation selection unit 1202 may select the item and the anonymization process with the least change due to the anonymization process, or may select the item and anonymization process with the highest anonymity. , An item satisfying both and an anonymization process may be selected.
- FIG. 13 is a diagram illustrating a data example 1300 used by the item limitation selection unit 1202 to divide a plurality of items of anonymization processing and anonymize sequentially.
- the item limitation selection unit 1202 executes the anonymization process 602 of FIG. 6 in two parts, anonymization processes 602-1 and 602-2.
- the anonymization process of FIG. 13 first, the anonymization process 602-1 anonymizes only the address into the index 3 and keeps the medical history as the index 1 without anonymizing.
- the anonymization process 602-2 anonymizes the medical history to the index 2.
- Such anonymization processing is set in the item limitation selection unit 1202. ⁇ Operation Procedure of Information Processing Apparatus of Third Embodiment> Next, an operation procedure (data processing method) of the information processing apparatus 1200 according to the second embodiment will be described.
- FIG. 14 is a flowchart illustrating an example of an operation procedure of the information processing apparatus 1200 according to the third embodiment. This flowchart is executed by the CPU 310 of FIG. 3A using the RAM 340, and realizes the function of the functional component shown in FIG.
- the difference between the flowchart of FIG. 14 and FIG. 8 is the addition of steps S1401 and S1403, and the same step numbers as those of FIG.
- step S807 when the anonymization process selection unit 202 selects the anonymization process having the lowest priority among the anonymization processes remaining from the anonymization policy, in step S1401, the item limitation selection unit 1202 selects the selected anonymous It is determined whether or not the item limited selection is performed in the process. Such determination is not shown in the case where there is data as shown in FIG.
- the item limitation selection unit 1202 is the last anonymization process in which it is determined that there is anonymity, etc. It is determined that the item limited selection is performed.
- the process proceeds to step S811, and the anonymization processing unit 204 performs anonymization of a plurality of types of items at once.
- the item limitation selection unit 1202 performs item limitation selection, in step S1403, the item limitation selection unit 1202 selects a partial item according to the data as shown in FIG. 13, and then the anonymization processing unit 204 performs step S811 on the selected item. Perform anonymization of.
- step S1403 since the priority is not selected, anonymization processing with the same priority is selected in steps S805 and S807, and the remaining items are anonymized in step S811.
- anonymization by the anonymization process 602-1 is performed in the first loop
- anonymization by the anonymization process 602-2 is performed in the next loop.
- ⁇ Description of specific anonymization process in the third embodiment> Using the configuration of the information processing apparatus 1200 of the third embodiment and each data, an image of a specific process when the anonymization process according to FIG. 14 is performed with one index of anonymization The level of abstraction will be explained with a bar. In the following items, the shorter one is abstracted.
- the personal information includes four items of blood relative, address, age, and medical history.
- the anonymization policy is the same as that shown in FIG. However, in the present embodiment, the item limitation selection unit separates the anonymization process address and medical history items indicated by priority 1 in FIG. 10 into two anonymizations. Here, priority 1-1 and priority 1-2 are assumed.
- FIG. 15A is a diagram illustrating a state in which the degree of abstraction becomes higher in order by the anonymization process.
- the personal information 900 that has not been anonymized becomes the personal information 1110 of the first anonymization result by the anonymization process 1000 (2) of priority 2.
- FIG. 15B is a diagram illustrating a change in a specific anonymization processing result indicated by an abstraction level in FIG. 15A.
- the reference number in FIG. 15B corresponds to the reference number for the personal information of the anonymization result in FIG. 15A.
- the information processing apparatus If the anonymity is not satisfied after applying the anonymization process for all priorities described in the anonymization policy, the information processing apparatus according to the second and second embodiments provides personal information to the information user. Is not done. However, in the information processing apparatus according to the third embodiment, if anonymity is not satisfied after applying anonymization processing for all priorities described in the anonymization policy, the information user changes the anonymization policy. This is different from the second and third embodiments. According to this embodiment, the information user can anonymize personal information by freely changing the anonymization policy.
- FIG. 16 is a block diagram showing a functional configuration of an information processing apparatus 1600 as an anonymization apparatus according to the fourth embodiment.
- the information processing apparatus 1600 performs the same function as in FIG. 2, and anonymization processing selection unit 202, anonymization processing unit 204, anonymity evaluation unit 206, personal information storage unit 208, and anonymization policy storage unit 210. And an anonymized information storage unit 212.
- the information processing apparatus includes an anonymized information management unit 1602 and an anonymization policy management unit 1604.
- an anonymized information management unit 1602 and an anonymization policy management unit 1604.
- the anonymization information management unit 1602 deletes the specific personal information to which the information user ID received from the anonymization process selection unit 202 is assigned.
- the personal information is information for which anonymity stored in the anonymized information storage unit 212 was not obtained.
- the anonymization policy management unit 1604 selects anonymization processing for all priorities described in the anonymization policy by the anonymization processing selection unit 202, the personal information does not have anonymity. Request change of anonymization policy.
- the anonymization policy management unit 1604 receives the anonymization policy changed from the information user, and updates the anonymization policy stored in the anonymization policy storage unit 210. 3B, the anonymization policy 3407 of the RAM 340 is overwritten, and the anonymization policy 3504 of the storage 350 is rewritten or additionally stored.
- FIG. 17 is a flowchart illustrating an example of the operation of the information processing apparatus 1600 according to the fourth embodiment. Such a flowchart is executed by the CPU 310 in FIG. 3A using the RAM 340, and realizes the functions of the respective functional components in FIG. The operation of the information processing apparatus 1600 illustrated in FIG.
- step S805 when there is no anonymization process with an unselected priority in the anonymization policy (NO in S805), the process proceeds to step S1701.
- step S1701 the anonymity evaluation unit 206 notifies the information user that anonymity has not been obtained even if the anonymization policy is completely anonymized.
- the anonymization policy management unit 1604 waits for the input or transmission of the anonymization policy from the information user who responds to the notification.
- step S1703 the anonymization policy management unit 1604 uses the anonymization policy from the information user.
- step S1705 the anonymized information management unit 1602 deletes the personal information that has been anonymized with the previous anonymization policy from the anonymized information storage unit 212.
- the processing returns to step S803.
- the anonymization process selection part 202 reads the personal information which the information user requests
- the information processing apparatus 1600 repeats steps S805 to S813 to execute anonymization using the changed anonymization policy.
- the configuration of the information processing apparatus 1600 of the fourth embodiment and the image of the specific processing when the anonymization processing is performed using each data are represented by the degree of abstraction that is one index of anonymization. Explain with the bar. In the following items, the shorter one is abstracted. Further, it is assumed that the personal information includes four items of blood relative, address, age, and medical history. First, it is assumed that the personal information that has not been anonymized is 900 in FIG. 9, and the diagram that represents the anonymization policy in terms of abstraction is 1000 in FIG. (Anonymization by the first anonymization policy) The first anonymization policy is the anonymization policy 1000 shown in FIG. 10, and the process of the anonymization process is the same as that shown in FIG. 11A.
- FIG. 18 is a diagram showing the anonymization policy 1800 changed by the information user in step S1703 of FIG.
- the changed anonymization policy 1800 is overwritten on the anonymization policy 3407 of the RAM 340 of FIG. 3B, and the anonymization policy 3504 of the storage 350 is rewritten or additionally stored.
- FIG. 18 first, as a new anonymization policy item rule, a blood related (name) item and an age item are changed from the item rule 3505 shown in FIG. 5 to the item rules 1801 and 1802 in FIG. The In FIG.
- the related items are only the index 1 and the index 2, but in the item rules 1801 and 1802, the index 2 of “only the surname” is newly added, and all notations are the index 1 and the surname Only 2 is index 2, and no notation (or symbol) is index 3.
- the age items were from index 1 to index 3.
- an index 3 of “non-adult / adult / elderly” was newly added, all notations are index 1, and only the age is the index. 2.
- Index 3 is for non-adult / adult / elderly, and index 4 is for no notation.
- the anonymization processes 1803 to 1805 of priority 3 to priority 1 are defined using the change in the item rules.
- FIG. 18 is a diagram illustrating the changed anonymization policy in a state abstracted by each anonymization process.
- the bloodline, address, and age items indicated by priority 3 are items that are first anonymized.
- the change in the degree of abstraction due to each anonymization is indicated by the length of the bar.
- the items of address, age, and medical history indicated by priority 2 in FIG. 18 are items to be anonymized next.
- a related item indicated by priority 1 is an item to be anonymized last.
- FIG. 19A is a diagram illustrating an anonymization process using an updated anonymization policy.
- the personal information 900 that has not been anonymized becomes the personal information 1910 of the first anonymization result by the anonymization process 1810 (3) of the priority 3.
- FIG. 19B is a diagram illustrating a change in a specific anonymization processing result indicated by an abstraction level in FIG. 19A.
- the reference numbers in FIG. 19B correspond to the reference numbers for the personal information of the anonymization result in FIG. 19A.
- the first anonymization process 1810 (3) replaces the blood relative (name) with the last name only 1911, deletes the address after the address (1912), and replaces the age with the age 1913. ing.
- addresses other than the prefecture only in Tokyo are deleted (1921), and the age is replaced with non-adult / adult / old age 1922, and special B disease is deleted from the history of personal ID001. (1923).
- the anonymization process 1810 (1) replaces the blood relative (name) with the symbol (X, Y) (1931).
- the information processing apparatus when there are configurations and steps that perform the same functions and operations as in the second to fourth embodiments, they are denoted by the same reference numerals, and description in the specification may be omitted. .
- the information processing apparatus When the information provider changes the personal information or the information user changes the anonymization policy, the information processing apparatus according to the second and fourth embodiments described above combines the personal information to There is a risk of identification. Therefore, the information processing apparatus of the fifth embodiment ensures that personal information is anonymized together with personal information that has been provided to information users so far. According to this embodiment, even if the information user changes the anonymization policy or the information provider changes the personal information, the information user can be prevented from specifying an individual.
- FIG. 20 is a block diagram illustrating a functional configuration of the information processing apparatus 2000 according to the fifth embodiment.
- the information processing apparatus 2000 includes an anonymization processing selection unit 202, an anonymization processing unit 204, an anonymity evaluation unit 206, a personal information storage unit 208, an anonymization policy storage unit 210, and an anonymization information storage unit 212. And an item limitation selection unit 1202. These perform the same functions as in the third embodiment.
- the information processing apparatus 2000 according to the fifth embodiment further includes a connectivity evaluation unit 2002 and a provision history storage unit 2004.
- the provision history storage unit 2004 is personal information that satisfies anonymity, and stores the personal information provided to the information user with an information user ID representing the information user.
- the connectivity evaluation unit 2002 integrates the personal information passed from the anonymity evaluation unit 206 and the provision history stored in the provision history storage unit 2004 to generate integrated personal information, and the integrated personal information has anonymity. Check if you have it. When the integrated personal information has anonymity, the connectivity evaluation unit 2002 provides personal information to the information user. When the integrated personal information does not have anonymity, the connectivity evaluation unit 2002 again returns the personal information.
- the anonymization processing unit 204 is controlled to apply the anonymization process to the items to be configured.
- FIG. 21 is a flowchart illustrating an example of the operation of the information processing apparatus 2000 according to the fifth embodiment. Such a flowchart is executed by the CPU 310 in FIG. 3A while using the RAM 340, thereby realizing the functions of the respective functional components in FIG.
- the operation of the information processing apparatus 2000 shown in FIG. 21 is the same as steps S801 to S815 as the operation of the information processing apparatus 200 shown in FIG. 8, and the same step S1401 as the operation of the information processing apparatus 1200 shown in FIG. S1403.
- the fifth embodiment further includes steps S2101 and S2103 described below.
- step S2101 if the anonymity evaluation unit 206 determines that there is anonymity in step S813, the connectivity evaluation unit 2002 determines whether there is anonymity even if it is combined with personal information that has already been anonymized. To do. If it determines with there being no anonymity, it will return to step S805 and the anonymization process by the anonymization process part 204 will be performed further.
- the process advances to step S2103, and the connectivity evaluation unit 2002 provides the personal information combined with the personal information that has already been anonymized, with an information user ID representing the information user provided. Saved in the history storage unit 2004.
- a specific image of the process is represented by the degree of abstraction that is one index of anonymization. Explain with the bar. In the following items, the shorter one is abstracted. Further, it is assumed that the personal information includes four items of blood relative, address, age, and medical history.
- the anonymization policy of FIG. 10 is used to perform anonymization by the anonymization policy of FIG.
- the connectivity evaluation unit 2002 includes the anonymization policy 1000 that has obtained the personal information 1510 as a result of obtaining the anonymity of FIG. 11A as the first personal information, and the second personal information in FIG.
- the anonymization process up to the personal information 2210 of the anonymization result is combined to generate a new anonymization policy.
- the connectivity evaluation unit 2002 selects anonymization with a low abstraction level of each item. The level of abstraction of the integrated personal information as a result of the combination is as shown in the integrated personal information 2220 in FIG. 22A.
- FIG. 22B is a diagram illustrating a change in a specific anonymization processing result indicated by an abstraction level in FIG. 22A.
- the reference number in FIG. 22B corresponds to the reference number for the personal information of the anonymization result in FIG. 22A.
- the connectivity evaluation unit 2002 includes personal information 1510 that has already been anonymized by the anonymization policy 1000, personal information 2210 that has been anonymized to the items “address” and “medical history” of the priority “2” by the anonymization policy 1800, Are integrated to generate integrated personal information 2220.
- the blood related item maintains the content of the personal information 2210, and the medical history item 2221 becomes the content of the personal information 1510.
- the connectivity evaluation unit 2002 evaluates whether the integrated personal information 2220 has anonymity with respect to the anonymized personal information 1510 and the personal information 2210 currently anonymized in the provision history storage unit 2004. If the integrated personal information 2220 has anonymity, the connectivity evaluation unit 2002 stores the integrated personal information 2220 as anonymized personal information in the provision history storage unit 2004 and provides it to the information user. When it does not have anonymity, the connectivity evaluation unit 2002 instructs the anonymization processing unit 204 to further perform anonymization processing. (Combination of anonymization policies up to priority 2 in FIG. 18) FIG.
- FIG. 23A is a diagram showing a combination of anonymization processing when there is no anonymity in FIGS. 22A and 22B.
- the priority 2 of the anonymization policy 1800 is executed to the end, and the personal information 1920 of the anonymization result of FIG. 19A is obtained as the third personal information.
- the integrated personal information 2310 is obtained.
- FIG. 23B is a diagram illustrating a change in a specific anonymization processing result indicated by an abstraction level in FIG. 23A.
- the reference number in FIG. 23B corresponds to the reference number for the personal information of the anonymization result in FIG. 23A.
- the personal information 1510 already anonymized by the anonymization policy 1000 and the personal information 1920 anonymized to priority 2 by the anonymization policy 1800 are integrated to generate integrated personal information 2310.
- the age item 2311 is anonymized as “not adult / adult / old” only from the age of FIG. 22B.
- the connectivity evaluation unit 2002 evaluates whether or not the integrated personal information 2310 has anonymity with respect to the anonymized personal information 1510 and the personal information 1920 currently anonymized in the provision history storage unit 2004.
- the integrated personal information 2310 is stored as anonymized personal information in the provision history storage unit 2004 and provided to the information user as having anonymity.
- FIG. 24 is a diagram showing a change from the integrated personal information 2220 in FIG. 22B to the integrated personal information 2310 in FIG. 23B.
- the integrated personal information 2220 does not have anonymity, but the integrated personal information 2310 has anonymity.
- FIG. 25 is a diagram illustrating a configuration of an information processing system 2500 including an information processing device 2501 specialized as an anonymization device.
- the information processing system 2500 includes an information processing device 2501 specialized as an anonymization device, an information storage device 2502 that stores personal information, and communication terminal devices that input and output personal information, connected via a network 2504. 2503.
- the information storage device 2502 may receive personal information from the input / output terminal 2505 via the LAN.
- the information provider and the information user perform input / output using the communication terminal device 2503.
- the input personal information is acquired by the respective information storage devices 2502 and stored in the personal information storage unit.
- Personal information of one of the information storage devices 2502 requested using the communication terminal device 2503 is sent to the information processing device 2501 to be anonymized, and then anonymized information is output from the communication terminal device 2503. It is provided to the information user who is using.
- An information processing apparatus that anonymizes the personal information when using personal information connectable with an individual, Provide an anonymization policy including a plurality of types of anonymization processing for increasing anonymity for at least one item that can be associated with the personal information, and a priority is added to each of the plurality of types of anonymization processing
- Anonymization policy providing means to When applying the plural types of anonymization processes included in the anonymization policy provided by the anonymization policy providing means, the anonymization process that sequentially selects the anonymization processes with the higher priority from the anonymization processes with the lower priority Process selection means, Anonymization processing means for applying the plural types of anonymization processing to the personal information used by information users in the order selected by the anonymization processing selection means; When it is determined that the personal information to which the anonymization process is applied has anonymity, the anonymity evaluation means that provides the information user with the personal information to which the anonymization process is applied, and
- the anonymity evaluation means is anonymized by the anonymization processing means that personal information to which anonymization processing is applied by the anonymization processing means cannot be distinguished from personal information provided by other information providers.
- Anonymized information storage means for storing personal information applied with anonymization processing by the anonymization processing means, The anonymization processing means, when the anonymity evaluation means determines that the personal information to which the anonymization process is applied has no anonymity, with respect to the personal information stored in the anonymization information storage means, Furthermore, the information processing apparatus according to any one of appendices 1 to 3, to which anonymization processing with a high priority is applied.
- Each anonymization process included in the anonymization policy includes an index indicating either the presence / absence of the at least one item that can be associated with the personal information, the level of abstraction of the item, or the level of accuracy of the item.
- the information processing apparatus according to any one of appendices 1 to 4, including a priority of the anonymization process set based on the index.
- the information processing apparatus includes anonymization policy storage means for storing an anonymization policy associated with the information user, and anonymity read from the anonymization policy storage means corresponding to the information user 7.
- the information processing apparatus according to any one of appendices 1 to 6, which provides an information policy.
- And generating means for generating an anonymization policy comprising a set of new anonymization processes The information processing apparatus according to any one of appendices 1 to 8, wherein the anonymization processing unit applies the new anonymization processing group of the anonymization policy generated by the generation unit to the personal information.
- a method for controlling an information processing apparatus A control program for an information processing apparatus that anonymizes the personal information when using personal information connectable with an individual, Provide an anonymization policy including a plurality of types of anonymization processing for increasing anonymity for at least one item that can be associated with the personal information, and a priority is added to each of the plurality of types of anonymization processing Processing to When applying the plural types of anonymization processes included in the anonymization policy provided by providing the anonymization policy, the anonymization processes with the higher priority are selected in order from the anonymization processes with the lower priority.
- An information processing system for anonymizing the personal information when using personal information connectable with an individual Personal information acquisition means for acquiring the personal information; Personal information storage means for storing the acquired personal information; Provide an anonymization policy including a plurality of types of anonymization processing for increasing anonymity for at least one item that can be associated with the personal information, and a priority is added to each of the plurality of types of anonymization processing
- Anonymization policy providing means to When applying the plural types of anonymization processes included in the anonymization policy provided by the anonymization policy providing means, the anonymization process that sequentially selects the anonymization processes with the higher priority from the anonymization processes with the lower priority Process selection means, Anonymization processing means for applying the plurality of types of anonymization processing to personal information used by information users among personal information stored in the personal information storage means in the order selected by the anonymization processing selection means; , When it is determined that the personal information to which the anonymization process is applied has anonymity, the anonymity evaluation means that provides the information user with the personal information to which the anonymization process is applied, and Anonym
- a process selection step Among the personal information stored in the personal information storage means for storing the acquired personal information, the plural types of anonymization processes are applied to the personal information used by the information user in the order selected in the anonymization process selection step.
- Anonymization processing steps to apply When it is determined that the personal information to which the anonymization process is applied has anonymity, the anonymity evaluation step of providing the information user with the personal information to which the anonymization process up to the anonymization process is applied; Anonymized information output step for outputting the personal information provided to the information user; Anonymizing method of personal information including While the present invention has been described with reference to the embodiments, the present invention is not limited to the above embodiments.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Entrepreneurship & Innovation (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- General Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Marketing (AREA)
- Economics (AREA)
- Data Mining & Analysis (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
Abstract
匿名化処理の適用順序を自在に設定できる情報処理システム。汎化など各種の匿名化処理について、抽象度や正確性のレベル(指標)とそれらに応じた処理とが規定され、また、処理されるべき項目とそれらに対応するレベルとがそれらの優先度とともにいくつか設定される。システムは、それらを匿名化ポリシとして参照し、匿名化されていないパーソナル情報(900)の各項目(402,403,...)について、低い優先度の匿名化(少ない欠落、低い抽象度、又は高い正確性)から高い優先度の匿名化(多い欠落、高い抽象度、又は低い正確性)へと処理を適用していく。利用者が選択した優先度の処理が全て終了するまでの間に匿名性判定で匿名性ありと判定すると、システムは、そこまでの匿名化の結果(そのまま、あるいは最後に選択的処理を経た結果)を、匿名化されたパーソナル情報として出力する。
Description
本発明は、個人のパーソナル情報を匿名化する技術に関する。
多様化する情報社会の中で、企業などのサービス提供者は、ユーザから提供され蓄積しているユーザの属性情報を広く流通させることができれば、さらなる利益を得ることが可能になる。一方、エンドユーザである情報利用者は、GPSやWi−Fi等のセンシングデバイスによって取得されるライフログを、積極的にサービス提供者に提供する代わりに、サービス提供者から有用なサービスを受けることが出来る。ユーザの属性情報のようなプライバシ性が高い情報の流通を促進するために、有効な方法の1つが、匿名化である。匿名化は、プライバシ性が高い情報に対し汎化、切落し、摂動等を行う情報処理である。すなわち、匿名化は、ユーザである情報提供者の個人あるいは情報内のユーザ個人を特定できない情報を生成する。
このような匿名化の技術分野において、特許文献1に記載されたこの種の技術は、ポリシ設定ルールとして優先度の異なる複数の適合条件を含み、文書が複数の適合条件に適合した場合に優先度の高い適合条件による操作制限を行なう技術が開示されている。この優先度を示すデータとしてスコア値がセットされている(特に、段落[0062]参照)。
また、特許文献2に記載された技術は、段落[0009]の課題の記載から明らかなように、文書に含まれる記述(例えば、医療分野のテキストでの病名)の抽象度を一定することで、記述の標準化を目指している。
このような匿名化の技術分野において、特許文献1に記載されたこの種の技術は、ポリシ設定ルールとして優先度の異なる複数の適合条件を含み、文書が複数の適合条件に適合した場合に優先度の高い適合条件による操作制限を行なう技術が開示されている。この優先度を示すデータとしてスコア値がセットされている(特に、段落[0062]参照)。
また、特許文献2に記載された技術は、段落[0009]の課題の記載から明らかなように、文書に含まれる記述(例えば、医療分野のテキストでの病名)の抽象度を一定することで、記述の標準化を目指している。
しかしながら、上記関連技術は、最適であると判断される匿名化処理を見付けてその処理を実行するのみであり、匿名化処理の適用順序を柔軟に制御することはできなかった。従って、特許文献1に記載された技術においては、次のような問題点があった。すなわち、その問題点とは、匿名化された情報の利用要件が異なる場合であっても、匿名化レベル(匿名性)が等しければ、匿名化の結果が同一になることである。また、特許文献2に記載されたシステムにおいては、匿名化する項目の優先度が暗黙的に決められている。その結果、サービス提供者はユースケース毎に匿名化を実現しなければならないという問題があった。
本発明の目的は、上述の課題を解決する技術を提供することにある。
上記目的を達成するため、本発明に係る装置の一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置である。
その情報処理装置は、前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための匿名化処理を複数含み、前記複数の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
を含む。
上記目的を達成するため、本発明に係る方法の一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御方法である。
その制御方法は、前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供し、
前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択し、
前記匿名化処理の選択順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用し、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する。
上記目的を達成するため、本発明に係るプログラムの一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御プログラムであって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する処理と、
前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する処理と、
前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する処理と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する処理と、
をコンピュータに実行させる。
上記目的を達成するため、本発明に係るシステムの一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理システムであって、
前記パーソナル情報を取得するパーソナル情報取得手段と、
前記取得したパーソナル情報を記憶するパーソナル情報記憶手段と、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、前記パーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力手段と、
を含む。
上記目的を達成するため、本発明に係る方法他の実施形態は、
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化するパーソナル情報の匿名化方法であって、
前記パーソナル情報を取得するパーソナル情報取得ステップと、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供ステップと、
前記匿名化ポリシ提供ステップにおいて提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択ステップと、
前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、前記取得したパーソナル情報を記憶するパーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理ステップと、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価ステップと、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力ステップと、
を含む。
本発明によれば、パーソナル情報の利用要件を組み合わせて生成された匿名化処理の適用順序を自在に設定することが出来る。
本発明の目的は、上述の課題を解決する技術を提供することにある。
上記目的を達成するため、本発明に係る装置の一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置である。
その情報処理装置は、前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための匿名化処理を複数含み、前記複数の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
を含む。
上記目的を達成するため、本発明に係る方法の一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御方法である。
その制御方法は、前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供し、
前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択し、
前記匿名化処理の選択順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用し、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する。
上記目的を達成するため、本発明に係るプログラムの一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御プログラムであって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する処理と、
前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する処理と、
前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する処理と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する処理と、
をコンピュータに実行させる。
上記目的を達成するため、本発明に係るシステムの一実施形態は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理システムであって、
前記パーソナル情報を取得するパーソナル情報取得手段と、
前記取得したパーソナル情報を記憶するパーソナル情報記憶手段と、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、前記パーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力手段と、
を含む。
上記目的を達成するため、本発明に係る方法他の実施形態は、
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化するパーソナル情報の匿名化方法であって、
前記パーソナル情報を取得するパーソナル情報取得ステップと、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供ステップと、
前記匿名化ポリシ提供ステップにおいて提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択ステップと、
前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、前記取得したパーソナル情報を記憶するパーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理ステップと、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価ステップと、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力ステップと、
を含む。
本発明によれば、パーソナル情報の利用要件を組み合わせて生成された匿名化処理の適用順序を自在に設定することが出来る。
以下に、図面を参照して、本発明の実施の形態について例示的に詳しく説明する。ただし、以下の実施の形態に記載されている構成要素はあくまで例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。また、以下の各図において、本発明の本質に関わらない部分の構成については省略されており、図示されていない。
なお、本明細書で使用する“匿名化”は、プライバシ性の高いパーソナル情報に対する、汎化、切落し、分離、置換、摂動等の匿名化処理を含むが、これに限定はされない。ここで、“汎化”とは、パーソナル情報の項目を曖昧化して詳細な値を隠す処理であり、例えば、「住所」という項目に対する汎化であれば、番地や市区町村等を削除する処理である。“切落”しは、パーソナル情報から項目を削除する処理であり、パーソナル情報にその項目が含まれていること自体を隠す処理である。“分離”は、1ユーザのパーソナル情報の複数項目を複数のパーソナル情報に分ける処理であり、項目を組合せることによりユーザ(情報提供者とも言う)の個人特定や属性の推定が可能となるのを防ぐ処理である。“置換”は、項目の一部ないし全部を複数のパーソナル情報間で交換することにより、項目の組合せによるユーザの個人特定や属性推定を防ぐ処理である。“摂動”は、項目の値に対して一定の揺らぎを付加することによって正確な値を隠す処理である。特に、分離、置換、摂動の各処理は、ユーザ個人にパーソナライズされたサービスを提供するのではなく、統計処理の際にユーザのプライバシを保護することを主目的としている。
[第1実施形態]
本発明の第1実施形態としての情報処理装置100について、図1を用いて説明する。情報処理装置100は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する装置である。
図1に示すように、情報処理装置100は、匿名化ポリシ提供部102と、匿名化処理選択部104と、匿名化処理部106と、匿名性評価部108とを含む。匿名化ポリシ提供部102は、パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含む。また、匿名化ポリシ提供部102は、複数種類の匿名化処理のそれぞれに優先度が付加された、匿名化ポリシを提供する。優先度は、たとえば、パーソナル情報の利用要件に応じて匿名化ポリシ提供部102において決定された値でも良い。匿名化処理選択部104は、匿名化ポリシ提供部102が提供する匿名化ポリシに含まれる複数種類の匿名化処理を適用する場合に、優先度の低い匿名化処理から優先度の高い匿名化処理を順に選択する。匿名化処理部106は、匿名化処理選択部104によって選択された順に複数種類の匿名化処理をパーソナル情報に適用する。匿名性評価部108は、それぞれ匿名化処理を適用したパーソナル情報が、匿名性を有すると判断した場合に、当該匿名性を有する匿名化処理を適用したパーソナル情報を、情報利用者に提供する。
本実施形態により、パーソナル情報の利用要件を多様に組み合わせて生成された匿名化処理の適用順序を自在に設定できる。
[第2実施形態]
本発明による第2実施形態の情報処理装置は、情報提供者から提供されたパーソナル情報を、情報利用者に提供する場合に、情報利用者に対応して、優先度が付加された複数種類の匿名化処理を含む匿名化ポリシで匿名化を実行する。その場合に、各匿名化処理が、パーソナル情報の複数の項目の匿名化を含むように匿名化ポリシを作成ことが出来る。
本実施形態によれば、パーソナル情報の利用要件を組み合わせて生成された匿名化処理の適用順序を自在に設定することができる。さらに、匿名化ポリシに記載された優先度に従った順で、パーソナル情報の複数の項目に対しても匿名化処理を適用できる。したがって、第2実施形態の情報処理装置は、情報利用者の用途に合わせて迅速に匿名化されたパーソナル情報を提供することができる。すなわち、本実施形態により、項目に対して1つずつ匿名化処理を適用して匿名性を評価するよりも、パーソナル情報の情報利用者に対応する迅速な匿名化が可能になる。なお、以下の各実施形態では、匿名化処理を必須とする医療分野に本情報処理システムおよび情報処理装置を適用した例を示すが、適用分野は医療分野に限らず人、物、場所などが特定されることが不利益となる場合にあらゆる分野で適用が可能である。
〈第2実施形態の情報処理装置の構成〉
図2は、本発明の第2実施形態に係る情報処理装置200の機能構成を示すブロック図である。段階的匿名化装置である情報処理装置200は、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212とを具備する。
なお、情報処理装置200は、コンピュータとして例示される装置である。情報処理装置100および後述される他の匿名化のための情報処理装置における各要素(機能ブロック)は、図2等の構成要素を実現するプログラム(ソフトウェア)により、コンピュータのハードウェアを用いて実現される。そのような情報処理装置200は、例えば、CPU、メモリ(主記憶装置)、ハードディスク(大容量補助記憶装置)、及び通信装置を備え、キーボードやマウス等の入力装置やディスプレイやプリンタ等の出力装置と接続されたコンピュータで実現できる。そして、情報処理装置200は、CPUがハードディスクに記憶されるプログラムをメモリに読みだして実行することにより、上記匿名化処理選択部202~匿名化情報記憶部212の各機能を実現することができる。その実現方法、装置には色々な変形例があることは、当事者には理解されるところである。以下説明する各図は、ハードウェア単位の構成ではなく、機能単位のブロックを示している。この情報処理装置200のハードウェア構成例は、後述される図3A及び図3Bで示される。
パーソナル情報記憶部208は、情報提供者(端末装置であるが、以下では単に情報提供者と称す)から提供されたパーソナル情報あるいはパーソナル情報を含む情報を記憶する。パーソナル情報は、名前や値を含む項目であり、汎化、切落し、分離、置換、摂動等の匿名化処理を1回以上適用できる項目を、1つ以上有する情報である。項目の一例としては、都道府県名、市区町村、番地等から構成される文字列を値として持つ「住所」という項目、または数値を値として持つ「年齢」という項目等が考えられる(具体例は、図4参照)。パーソナル情報記憶部208に記憶されるパーソナル情報は、実行できる匿名化処理や適用できるサービスを制限するものではない。
匿名化ポリシ記憶部210は、匿名化ポリシを記憶する。その匿名化ポリシは、0回以上の匿名化処理が施されたパーソナル情報の利用に関する匿名化の要件である。匿名化ポリシの匿名化処理は、パーソナル情報を構成する項目に関して、項目の有無、項目の抽象度、項目の正確性等の指標に対する優先度を含む。例えば、パーソナル情報が、住所と年齢という項目から構成される情報であり、項目別に指標が付与されている場合を仮定する。たとえば、住所については、指標1=全て、指標2=番地以外、指標3=都道府県のみ、年齢については、指標1=全て、指標2=無し、をそれぞれ指標として仮定する。この場合に、匿名化ポリシの各匿名化処理は、優先度3(住所:指標1、年齢:指標1)、優先度2(住所:指標2、年齢:指標1)、優先度1(住所:指標2、年齢:指標2)のように、住所と年齢の組で記述される(具体例は、図6や図13参照)。
匿名化情報記憶部212は、情報利用者を識別する識別子である情報利用者IDが付与されたパーソナル情報、または匿名化されたパーソナル情報を記憶する(具体例は、図7参照)。
匿名化処理選択部202は、匿名化ポリシ記憶部210に記憶された匿名化ポリシを参照し、匿名化ポリシに含まれる情報利用者IDを取り出す。そして、匿名化情報記憶部212に情報利用者IDが付与された最新のパーソナル情報が存在しない場合、匿名化処理選択部202は、パーソナル情報記憶部208に記憶される全ての最新のパーソナル情報を匿名化情報記憶部212に複製し、情報利用者IDを付与する。次に、匿名化処理選択部202は、パーソナル情報を構成する各項目に対して匿名化ポリシに記載された、一つ以上の項目名と指標から構成される優先度が最も低い組を取り出す。そして、匿名化処理選択部202は各項目に対して指標を満たすための匿名化処理を特定し、パーソナル情報と、項目名と、匿名化処理の内容を匿名化処理部204に渡す。匿名化処理選択部202は、匿名化情報記憶部212に記憶されている情報利用者IDが付与された全てのパーソナル情報に対して、この処理を実行する。
匿名化処理部204は、匿名化処理選択部202からパーソナル情報と、項目名と、匿名化処理の内容を受け取る。次に、匿名化処理部204は、受け取ったパーソナル情報の項目に対して指定された匿名化処理を適用し、匿名化されたパーソナル情報を生成する。そして、匿名化処理部204は、匿名化情報記憶部212に記憶されているパーソナル情報を匿名化されたパーソナル情報によって上書きする。
匿名性評価部206は、匿名化処理部204によって匿名化されたパーソナル情報が匿名性を有するか否かを、次のような条件により評価する。例えば、
・匿名化処理部204によって匿名化されたパーソナル情報から情報提供者が誰であるか判別できない、
・匿名化処理部204によって匿名化されたパーソナル情報が、匿名化情報記憶部212に記憶されている他のパーソナル情報と区別できない、
・匿名化処理部204によって匿名化されたパーソナル情報から情報提供者の属性が分からない、等である。そして、情報利用者が要求する全てのパーソナル情報が匿名性を有する場合、パーソナル情報を情報利用者に提供する。一方、全部または一部のパーソナル情報が匿名性を有していない場合、匿名化処理選択部202に対して、パーソナル情報に対してさらなる匿名化処理を適用することを指示する。
〈第2実施形態の情報処理装置のハードウェア構成〉
図3A及び図3Bは、本実施形態の情報処理装置200のハードウェア構成を示す図である。
図3Aで、CPU310は演算制御用のプロセッサであり、プログラムを実行することで図2の各機能構成部を実現する。ROM320は、初期データ及びプログラムなどの固定データ及びプログラムを記憶する。通信制御部330は、ネットワークを介して外部装置と通信する。通信制御部330は、外部装置から情報提供者によるパーソナル情報を受信し、外部装置の情報利用者に対してパーソナル情報を提供(送信)する。通信は無線でも有線でもよい。なお、本情報処理装置200は、LANに接続して限られた範囲で処理する場合も考えられる。その場合には、図示しない入力インタフェースと出力インタフェースを介して、図示しない入力装置と出力装置が接続される。
RAM340は、CPU310が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM340には、本実施形態の実現に必要なデータとして、情報提供者からの提供者データ341と、情報利用者への利用者データ342とを記憶する領域が確保される。さらに詳細には、図3Bに示すように、提供者データ341として、提供者を識別する提供者ID3401と提供されたパーソナル情報3402とが記憶される。また、利用者データ342として、利用者を識別する利用者ID3403と利用されるパーソナル情報3404とが記憶される。また、利用者データ342として、パーソナル情報に匿名化処理を適用した匿名化情報3405と、匿名化情報3405の匿名性を評価した結果である匿名性評価結果3406とが記憶される。なお、匿名化情報3405はパーソナル情報3404の領域に上書きされてもよい。さらに、利用者データ342として、パーソナル情報3404を匿名化するための匿名化ポリシ3407が記憶される。
ストレージ350は、匿名性評価アルゴリズム351、データ記憶部352、CPU310が実行するプログラム353を、不揮発に記憶する。さらに詳細には、図3Bに示すように、ストレージ350は、データ記憶部352として、情報提供者から提供されるパーソナル情報を提供者IDに対応させて記憶するパーソナル情報記憶部208を含む。また、ストレージ350は、データ記憶部352として、匿名化され情報利用者へ提供されたパーソナル情報を利用者IDに対応させて記憶する匿名化情報記憶部212を含む。また、ストレージ350は、データ記憶部352として、匿名化ポリシを予め利用者IDに対応させて記憶する匿名化ポリシ記憶部210を含む。すなわち、情報利用者のアクセス権などにより異なる匿名化ポリシを設定することが可能となる。匿名化ポリシ記憶部210の記憶領域には、予め登録された匿名化ポリシ3504が記憶される。また、項目規定記憶部として、匿名化ポリシを構成する各項目の指標を定義する項目規定3505が記憶される。また、データ記憶部352は、第5実施形態で使用される、匿名化され情報利用者へ提供されたパーソナル情報を利用者IDに対応させて蓄積する提供履歴記憶部2004を含む。
ストレージ350は、図3Bに示すように、プログラム353として、本情報処理装置200の動作手順を示す情報処理プログラム3506を格納する。また、ストレージ350は、プログラム353として、この情報処理プログラム3506の一部に含まれる、匿名化ポリシから実行する匿名化処理を選択する匿名化処理選択モジュール3507と匿名化処理を実行する匿名化モジュール3508とを格納する。
〈第2実施形態で使用される各データの構成〉
(パーソナル情報記憶部の構成)
図4は、本実施形態のパーソナル情報記憶部208の構成を示す図である。かかるパーソナル情報は、医療分野におけるパーソナル情報の例である。
パーソナル情報記憶部208は、パーソナル情報の識別子であるパーソナルID401に対応付けて、血縁402、住所403、年齢404、病歴405の項目のデータを記憶する。図4では、以下の匿名化の具体的処理の説明を簡略化するため、血縁402という属性として、氏名が記憶されている。
(項目規定の構成)
図5は、各項目についての、匿名化のレベルを指標として表わす項目規定3505の構成を示す図である。指標1が最も匿名性の低い指標で、指標2、3、4の順に匿名性が高くなる。図5は、本実施形態の具体例に対応して規定されている。
項目の血縁(氏名)の指標としては、図5の血縁規定データ501に示すように、全てを表記する指標1と、表記がない、あるいは記号で表わすという指標2とが、規定される。項目の住所の指標としては、図5の住所規定データ502に示すように、全てを表記する指標1と、番地以外を表記する指標2と、都道府県のみを表記する指標3と、表記がない指標4とが、規定される。項目の年齢の指標としては、図5の年齢規定データ503に示すように、全てを表記する指標1と、年代のみを表記する指標2と、表記がない指標3とが、規定される。項目の病歴の指標としては、図5の病歴規定データ504に示すように、全てを表記する指標1と、特殊な病歴は表記しない指標2と、表記がない指標3とが規定される。
(匿名化ポリシの構成)
図6は、匿名化ポリシ記憶部210内の匿名化ポリシ3504の一例を示す図である。ここで、データ601と602が各匿名化処理を示している。本明細書では、優先度の数値が大きい匿名化処理の方が、優先度が低いとしている。
図6の匿名化ポリシでは、優先度が最も低い匿名化処理601として、血縁(氏名)を指標2に匿名化し、住所を指標2に匿名化し、年齢を指標2に匿名化し、病歴は匿名化せずに指標1のままとする、匿名化処理が定義される。次に、優先度が低い匿名化処理602として、血縁(氏名)を指標2のままとし、住所を指標3に匿名化し、年齢を指標2のままとし、病歴を指標2に匿名化する、匿名化処理が定義される。
(匿名化情報の構成)
図7は、図6の匿名化ポリシと項目限定による匿名化とを行なった結果の、匿名化情報記憶部212の構成を示す図である。
図7の匿名化情報は、図4のパーソナル情報を匿名化した結果を示している。匿名化情報記憶部212は、パーソナル情報の識別子であるパーソナルID701に対応付けて、血縁702、住所703、年齢704、病歴705の項目のデータを記憶する。図7では、血縁(氏名)702は記号「X」、「Y」に匿名化されている。住所703は、都道府県のみの「東京都」に匿名化されている。年齢704は、年代の「50代」、「30代」に匿名化されている。病歴705は、パーソナルID001において「・K炎」のみに匿名化されている。なお、この匿名化情報は、それぞれ情報利用者の利用者IDに対応付けられて記憶される。
〈第2実施形態の情報処理装置の動作手順〉
次に、第2実施形態に係る情報処理装置200の動作手順(データ処理方法)について説明する。図8は、第2実施形態に係る情報処理装置200の動作手順の一例を示すフローチャートである。このフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図2に示す機能構成部の機能を実現する。
まず、ステップS801において、匿名化処理選択部202は、情報利用者の利用者IDを取り出す。次に、匿名化処理選択部202は、パーソナル情報記憶部208から情報利用者が要求するパーソナル情報の最新のパーソナル情報を読み出して、パーソナル情報3404に記憶する。ステップS805において、匿名化処理選択部202は、利用者IDに対応する匿名化ポリシの全匿名化処理を行なったかを、未選択の優先度の匿名化処理があるか否かで判定する。未選択の優先度の匿名化処理があれば、処理はステップS807に進む。匿名化処理選択部202は、ステップS807で、匿名化ポリシから残った匿名化処理の中で最も優先度の低い匿名化処理を選択する。そして、匿名化処理選択部202は、選択された匿名化処理に関連するパーソナル情報、項目名および匿名化処理の内容を匿名化処理部204に送信する。一方、未選択の優先度の匿名化処理がなければ、処理は、ステップS809に進む。もう匿名化ポリシには匿名化処理の規定はないので、情報の匿名化が成功しなかった。この場合、ステップS809において、匿名化処理選択部202は、情報利用者に情報の提供が出来ない旨を通知する。
ステップS811において、匿名化処理部204は、今までの匿名化処理を行なった結果のパーソナル情報に対して、新たな種類の匿名化処理による匿名化を実行して、その結果を匿名化情報3405に上書きする。ステップ813において、匿名性評価部206は、匿名処理結果のパーソナル情報に匿名性があるか否かを判定する。匿名性がないと判定すれば、処理はステップS805に戻って、ステップS805~S813が繰り返される。匿名性評価部206は、匿名性があると判定すれば、処理はステップS815に進んで、匿名性評価部206は、利用者IDが示す情報利用者に匿名化されたパーソナル情報を提供する。
〈第2実施形態における具体的な匿名化処理の説明〉
上記、第2実施形態の情報処理装置200の構成、および各データを使用して、図8に従った匿名化処理を行なった場合の具体的な処理のイメージを、図9、図10、図11Aを用いて匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。
(匿名化されていないパーソナル情報)
図9は、情報提供者から提供された、まだ匿名化されてないパーソナル情報の抽象度を示す図である。まだ匿名化処理は適用されていないので、全項目において、抽象化はない。
(匿名化ポリシ)
図10は、匿名化ポリシを各匿名化処理によって抽象化される状態を示す図である。図において、番号“1”,“2”は、それぞれ図6に示す優先度1,2による抽象化の程度を示す。以下、番号“1”,“2”は、優先度1,2として説明する。下図5及び図6を参照すれば、図10において優先度2の血縁、住所、年齢の項目は、最初に匿名化を行なう項目である。それぞれの匿名化による抽象度の変化が、円柱のバーの長さで示されている。図10において優先度1の住所、病歴の項目は、次に匿名化を行なう項目である。
(匿名化処理)
図11Aは、匿名化処理部204による匿名化処理により、順に抽象度が高くなる様子を示す図である。
匿名化されていないパーソナル情報900は、優先度2の匿名化処理1000(2)により、最初の匿名化結果のパーソナル情報1110となる。次に、優先度1の匿名化処理1000(1)により、パーソナル情報900は、次の匿名化結果のパーソナル情報1120となる。ここで、匿名化ポリシに規定されている匿名化は終了する。もし、この間に匿名性評価部206による匿名性の判定で匿名性ありと判定されれば、匿名性を有する匿名化結果が匿名化されたパーソナル情報として出力される。
図11Bは、図11Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図11Bの参照番号は、図11Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
図4の中の2人のパーソナル情報900は、最初の匿名化処理1000(2)によって血縁(氏名)が記号(X、Y)1111に置き換わり、住所では番地以降が削除され(1112)、年齢では年代1113に置き換わっている。次の匿名化処理1000(1)によって、住所が都道府県のみの東京都以外は削除され(1121)、パーソナルID001の病歴から特殊なB病が削除された(1122)。
[第3実施形態]
以下、本発明の第3実施形態の情報処理装置について詳細に説明する。なお、以下において、第2実施形態と同様の機能や動作をする構成やステップがある場合、それらについて図中には同じ符号を付し、明細書中の説明を省略する場合がある。他の実施形態についても同様である。
第2実施形態における情報処理装置200は、優先度が付加された複数の種類の項目の匿名を含む匿名化処理で匿名化を実行する場合には、1回の匿名化処理で複数種類の項目の匿名化を一気に実行する。従って、複数種類の項目のどれかを次の段階に匿名化を進めれば匿名性が得られる場合にも、情報処理装置200は、一気に複数項目の匿名化を行なう。したがって、情報処理装置200は、過剰な匿名化により情報利用者に不十分な情報を提供することが発生する。この問題を解決するため、第3実施形態の情報処理装置1200(図12)は、一部の匿名化処理については一気に実行せずに項目を選択して段階的に匿名化を行なう。特に、情報処理装置1200は、匿名性を得られたと判断した後に最後の匿名化処理を項目に分けて再度行なう。これにより、出来るだけ情報内容を残すことができ、情報利用者へのサービスを向上させることが可能となる。このように、本実施形態によれば、情報利用者の用途に合わせて匿名化されると同時に、情報内容を可能な限り保存したパーソナル情報を提供することができる。
〈第3実施形態の情報処理装置の構成〉
図12は、本発明の第3実施形態に係る情報処理装置1200の機能構成を示すブロック図である。段階的匿名化装置である情報処理装置1200は、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212と、項目限定選択部1202とを具備する。
第3実施形態の構成での第2実施形態との相違点は、「項目限定選択部1202」を具備することであり、他の機能構成部は同様であるので説明は省略する。
項目限定選択部1202は、匿名化処理選択部202において選択された、匿名化ポリシの匿名化処理に対して、よりきめ細かな匿名化を行なうため複数種類の項目から、匿名化すべき項目の順序を決めて、項目を選択する。このとき項目限定選択部1202は、匿名化処理による変化が最も少ない項目と匿名化処理とを選択してもよいし、匿名性が最も高くなる項目と匿名化処理とを選択してもよいし、両方を満たす項目と匿名化処理とを選択してもよい。この選択は、最終結果の匿名性が十分であり、且つ、パーソナル情報の内容が情報使用者にとって有用となるように選択される。
本実施形態の情報処理装置1200のハードウェア構成は、第2実施形態の図3A及び図3Bと同様であるので、説明は省略する。ただし、本実施形態では、項目限定選択部1202が項目選択するためのデータが、図示されていないが、RAM340の匿名化ポリシ3407に追加され、またはストレージ350の匿名化ポリシ3504内に追加されてよい。
〈第3実施形態で使用されるデータの構成〉
第3実施形態で使用されるデータは、項目限定選択部1202が使用するデータを除いて、第2実施形態と同様とするので、説明は省略する。
(項目限定選択部が使用するデータの構成)
図13は、項目限定選択部1202が匿名化処理の複数の項目を分けて順に匿名化するために使用するデータ例1300を示す図である。ここでは、項目限定選択部1202は、図6の匿名化処理602を匿名化処理602−1と602−2の2つの分けて実行する。
図13の匿名化処理において、まず、匿名化処理602−1は、住所のみを指標3に匿名化し、病歴は匿名化せずに指標1のままとする。次に、匿名化処理602−2は、病歴を指標2に匿名化する。このような匿名化処理が項目限定選択部1202に設定されている。
〈第3実施形態の情報処理装置の動作手順〉
次に、第2実施形態に係る情報処理装置1200の動作手順(データ処理方法)について説明する。図14は、第3実施形態に係る情報処理装置1200の動作手順の一例を示すフローチャートである。このフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図12に示す機能構成部の機能を実現する。なお、図14のフローチャートの図8との相違点は、ステップS1401とS1403との追加であり、他の図8と同様のステップ番号は同様の処理であるので、説明は省略する。
ステップS807において、匿名化処理選択部202は匿名化ポリシから残った匿名化処理の中で最も優先度の低い匿名化処理を選択すると、ステップS1401において、項目限定選択部1202は、選択された匿名化処理において項目限定選択を行なうか否かを判定する。かかる判定は、図13のようなデータが有る場合、あるいは図14には煩雑となるため図示しなかったが、項目限定選択部1202は、匿名性ありとの判定された最後の匿名化処理などにおいて、項目限定選択を行なうと判定する。項目限定選択を行なわない場合は、処理はステップS811に進み、匿名化処理部204は複数種類の項目の匿名化を一気に行なう。項目限定選択部1202は、項目限定選択を行なう場合は、ステップS1403において、図13のようなデータに従って部分的な項目を選択し、その後、選択された項目に対し匿名化処理部204はステップS811の匿名化を実行する。なお、ステップS1403においては、その優先度については未選択を維持するので、ステップS805とS807においては、同じ優先度の匿名化処理が選択されて、ステップS811で残る項目の匿名化が行なわれる。例えば、図13の例では、最初のループでは匿名化処理602−1による匿名化が、次のループでは匿名化処理602−2による匿名化がおこなわれることになる。
〈第3実施形態における具体的な匿名化処理の説明〉
上記、第3実施形態の情報処理装置1200の構成、および各データを使用して、図14に従った匿名化処理を行なった場合の具体的な処理のイメージを、匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。
(匿名化ポリシ)
匿名化ポリシは、図10に示したものと同様である。ただし、本実施形態では、項目限定選択部により、図10における優先度1で示す匿名化処理の住所と病歴の項目は、2回の匿名化に分離されている。ここでは、優先度1−1と優先度1−2とする。
(匿名化処理)
図15Aは、匿名化処理により、順に抽象度が高くなる様子を示す図である。
匿名化されていないパーソナル情報900は、優先度2の匿名化処理1000(2)により、最初の匿名化結果のパーソナル情報1110となる。次に、最初の項目限定選択において、優先度1−1の匿名化処理1000(1−1)により、項目「住所」のみの匿名化が実行され、パーソナル情報1110は匿名化結果のパーソナル情報1510となる。次の項目限定選択では、優先度1−2の匿名化処理1000(1−2)により、病歴の匿名化が実行され、パーソナル情報1120となる。
図15Bは、図15Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図15Bの参照番号は、図15Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
図4の中の2人のパーソナル情報900は、最初の匿名化処理1000(2)によって血縁(氏名)が記号(X、Y)1111に置き換わり、住所では番地以降が削除され(1112)、年齢では年代1113に置き換わっている。次の匿名化処理1000(1−1)によって、住所が都道府県のみの東京都以外は削除された(1511)。この時点で、匿名性があると判定されないと、さらに、匿名化処理1000(1−2)によって、パーソナルID001の病歴から特殊なB病が削除される(1122)。
[第4実施形態]
以下、本発明の第4実施形態の情報処理装置について詳細に説明する。なお、以下において、第2及び第3実施形態と同様の機能や動作をする構成やステップがある場合、それらについて図中には同じ符号を付し、明細書中の説明を省略する場合がある。
上記第2及び実施形態に係る情報処理装置は、匿名化ポリシに記述された全ての優先度に対する匿名化処理を適用した後に、匿名性が満たされなければ、情報利用者へのパーソナル情報の提供は行なわれない。しかし、第3実施形態の情報処理装置は、匿名化ポリシに記載された全ての優先度に対する匿名化処理を適用した後に匿名性が満たされなければ、情報利用者が匿名化ポリシを変更する点で、第2及び第3実施形態と相違する。本実施形態によれば、情報利用者は匿名化ポリシを自在に変更してパーソナル情報を匿名化することができる。したがって、匿名性を有し且つ情報利用者にとって有用なパーソナル情報を対話的に取得することができる。
〈第4実施形態の情報処理装置の構成〉
まず、第4実施形態に係る情報処理装置の構成について説明する。図16は、第4実施形態に係る匿名化装置としての情報処理装置1600の機能構成を示すブロック図である。
情報処理装置1600は、図2と同様の機能を果たす、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212とを具備する。さらに、情報処理装置は、匿名化情報管理部1602と、匿名化ポリシ管理部1604とを具備する。以下、第2実施形態と相違する構成について説明する。
匿名化情報管理部1602は、匿名化処理選択部202から受け取った情報利用者IDが付与された特定のパーソナル情報を削除する。そのパーソナル情報は、匿名化情報記憶部212に記憶されている匿名性が得られなかった情報である。匿名化ポリシ管理部1604は、匿名化処理選択部202が匿名化ポリシに記述された全ての優先度に対する匿名化処理を選択してもパーソナル情報が匿名性を有しない場合に、情報利用者に対して匿名化ポリシの変更を要求する。さらに、匿名化ポリシ管理部1604は、情報利用者から変更された匿名化ポリシを受け付けて、匿名化ポリシ記憶部210に記憶されている匿名化ポリシを更新する。図3Bのハードウェア構成であれば、RAM340の匿名化ポリシ3407を上書きし、ストレージ350の匿名化ポリシ3504を書き換え、あるいは追加記憶することになる。
その他、第4実施形態の情報処理装置1600のハードウェア構成や使用される各データの構成は、第2実施形態と同様であるので、説明は省略する。
〈第4実施形態の情報処理装置の動作手順〉
次に、第4実施形態に係る情報処理装置1600の動作について説明する。図17は、第4実施形態に係る情報処理装置1600の動作の一例を示すフローチャートである。かかるフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図16の各機能構成部の機能を実現する。図17に示される情報処理装置1600の動作は、図8に示される第2実施形態の情報処理装置200の動作と同様のステップS801~S807、S811~S815を有する。しかし、第2実施形態の情報処理装置200の動作とは異なる、以下に説明するステップS1701~S1705を有する。
ステップS805において、匿名化ポリシに未選択の優先度の匿名化処理が無くなった場合(S805のNO)、処理はステップS1701に進む。ステップS1701において、匿名性評価部206は、匿名化ポリシの全匿名化処理を行なっても匿名性が得られなかった旨を、情報利用者に通知する。匿名化ポリシ管理部1604は、通知に応答する情報利用者からの匿名化ポリシの入力、あるいは送信を待って、ステップS1703において、今まで使用してきた匿名化ポリシを情報利用者からの匿名化ポリシに変更する。そして、匿名化情報管理部1602は、ステップS1705において、前の匿名化ポリシで匿名化処理したパーソナル情報を匿名化情報記憶部212から削除する。
かかる処理の後、処理はステップS803に戻る。そして、匿名化処理選択部202は、再度、情報利用者が要求する匿名化すべきパーソナル情報をパーソナル情報記憶部208から読み出して、匿名化情報記憶部212に記憶する。そして、情報処理装置1600は、ステップS805からS813を繰り返して、変更された匿名化ポリシによる匿名化を実行する。
〈第4実施形態における具体的な匿名化処理の説明〉
上記、第4実施形態の情報処理装置1600の構成、および各データを使用して匿名化処理を行なった場合の具体的な処理のイメージを、匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。
まず、匿名化されていないパーソナル情報は図9の900とし、匿名化ポリシを抽象度であらわした図は図10の1000であるとする。
(最初の匿名化ポリシによる匿名化)
最初の匿名化ポリシは、図10に示す匿名化ポリシ1000であり、その匿名化処理の経過は、図11Aに示したものと同様である。そして、匿名化ポリシ1000による全ての匿名化処理を行なっても、匿名性の判定で匿名性なしと判定されたものと仮定する。
(更新した匿名化ポリシ)
図18は、図17のステップS1703で情報利用者により変更された匿名化ポリシ1800を示す図である。かかる変更された匿名化ポリシ1800は、図3BのRAM340の匿名化ポリシ3407に上書きされ、ストレージ350の匿名化ポリシ3504を書き換え、あるいは追加記憶される。
図18において、まず、新たな匿名化ポリシの項目規定として、血縁(氏名)の項目と年齢の項目とが、図5に示す項目規定3505から図18の項目規定1801及び1802のように変更される。図5において、血縁(氏名)の項目は指標1と指標2のみであってが、項目規定1801及び1802において、新たに“名字のみ”という指標2が追加され、全ての表記が指標1、名字のみが指標2、表記無し(または記号)が指標3とする。また、年齢の項目は指標1から指標3であったが、項目規定1801及び1802において新たに“未成人/成人/高齢”という指標3が追加され、全ての表記が指標1、年代のみが指標2、未成人/成人/高齢が指標3、表記無しが指標4とする。そして、匿名化ポリシは、この項目規定の変更を使って、優先度3から優先度1の匿名化処理1803~1805が規定されている。
図18の匿名化ポリシ1810は、変更された匿名化ポリシを各匿名化処理によって抽象化される状態で示した図である。図18において優先度3で示す血縁、住所、年齢の項目は、最初に匿名化を行なう項目である。それぞれの匿名化による抽象度の変化が、バーの長さで示されている。図18において優先度2で示す住所、年齢、病歴の項目は、次に匿名化を行なう項目である。図18において優先度1で示す血縁の項目は、最後に匿名化を行なう項目である。
(更新した匿名化ポリシによる匿名化)
図19Aは、更新した匿名化ポリシによる匿名化処理の様子を示す図である。
匿名化されていないパーソナル情報900は、優先度3の匿名化処理1810(3)により、最初の匿名化結果のパーソナル情報1910となる。次に、優先度2の匿名化処理1810(2)により、パーソナル情報1910は、次の匿名化結果のパーソナル情報1920となる。最後に、優先度1の匿名化処理1810(1)により、パーソナル情報1920は、次の匿名化結果のパーソナル情報1930となる。この間の匿名性を有する匿名化結果が匿名化されたパーソナル情報として出力される。
図19Bは、図19Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図19Bの参照番号は、図19Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
図4の中の2つのパーソナル情報900は、最初の匿名化処理1810(3)によって血縁(氏名)が名字のみ1911に置き換わり、住所では番地以降が削除され(1912)、年齢では年代1913に置き換わっている。次の匿名化処理1820(2)によって、住所が都道府県のみの東京都以外は削除され(1921)、年齢では未成人/成人/高齢1922に置き換わり、パーソナルID001の病歴から特殊なB病が削除された(1923)。最後に、匿名化処理1810(1)によって、血縁(氏名)が記号(X、Y)に置き換わる(1931)。
[第5実施形態]
以下、本発明の第5実施形態の情報処理装置について詳細に説明する。なお、以下において、図中に第2乃至第4実施形態と同様の機能や動作をする構成やステップがある場合、それらは同じ符号が付され、明細書中の説明は省略される場合がある。上記第2及び第4実施形態に係る情報処理装置は、情報提供者がパーソナル情報を変更し、または情報利用者が匿名化ポリシを変更した場合に、それらのパーソナル情報を組み合わせることにより、個人を特定できる恐れがある。従って、第5実施形態の情報処理装置は、パーソナル情報をこれまでに情報利用者に提供したパーソナル情報と合わせて匿名化を有することを保証する。本実施形態によれば、情報利用者が匿名化ポリシを変更した場合や情報提供者がパーソナル情報を変更した場合であっても、情報利用者が個人を特定することを防ぐことができる。
〈第5実施形態の情報処理装置の構成〉
まず、第5実施形態に係る匿名化装置としての情報処理装置の構成について説明する。
図20は、第5実施形態に係る情報処理装置2000の機能構成を示すブロック図である。
情報処理装置2000は、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212と、項目限定選択部1202と、を具備する。これらは、第3実施形態と同様の機能を果たす。そして、第5実施形態の情報処理装置2000は、さらに、結合性評価部2002と、提供履歴記憶部2004とを具備する。
提供履歴記憶部2004は、匿名性を満たすパーソナル情報であり、情報利用者に提供されたパーソナル情報に情報利用者を表す情報利用者IDを付与して記憶する。結合性評価部2002は、匿名性評価部206から渡されたパーソナル情報と、提供履歴記憶部2004に記憶された提供履歴を統合して統合パーソナル情報を生成し、さらに統合パーソナル情報が匿名性を有するか否かを確認する。統合パーソナル情報が匿名性を有する場合、結合性評価部2002は、情報利用者にパーソナル情報を提供し、統合パーソナル情報が匿名性を有しない場合、結合性評価部2002は、再度、パーソナル情報を構成する項目に対して匿名化処理を適用するよう匿名化処理部204を制御する。
なお、第5実施形態の情報処理装置2000のハードウェア構成や使用される各データの構成は、第2実施形態と同様であるので、説明は省略する。また、提供履歴記憶部2004に記憶された、匿名化されたパーソナル情報の構成は、図7の匿名化情報記憶部212の構成と同様である。
〈第5実施形態の情報処理装置の動作手順〉
次に、第5実施形態に係る情報処理装置2000の動作について説明する。図21は、第5実施形態に係る情報処理装置2000の動作の一例を示すフローチャートである。かかるフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図20の各機能構成部の機能を実現する。図21に示される情報処理装置2000の動作は、図8に示される情報処理装置200の動作と同様のステップS801~S815と、図14に示される情報処理装置1200の動作と同様のステップS1401、S1403を有する。第5実施形態では、さらに、以下に説明するステップS2101とS2103とを有する。
ステップS2101において、匿名性評価部206は、ステップS813において匿名性ありと判定した場合、結合性評価部2002は、既に匿名化が行なわれたパーソナル情報と結合しても匿名性があるかを判定する。匿名性が無いと判定されれば、ステップS805に戻ってさらに匿名化処理部204による匿名化処理が行なわれる。匿名性ありと判定されるとステップS2103に進んで、結合性評価部2002は、既に匿名化が行なわれたパーソナル情報と結合したパーソナル情報に情報利用者を表す情報利用者IDを付与して提供履歴記憶部2004に保存する。
〈第5実施形態における具体的な匿名化処理の説明〉
上記、第5実施形態の情報処理装置2000の構成、および各データを使用して匿名化処理を行なった場合、具体的な処理のイメージを、匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。本例では、図10の匿名化ポリシによって、項目限定選択部1202の処理により匿名性を得られた結果(図15の1510)を使って、図18の匿名化ポリシにより匿名化を行なう例を説明する。
(図18の優先度2の項目「住所」「病歴」までの匿名化ポリシの結合)
図22Aに示すように、結合性評価部2002は、第1パーソナル情報として図11Aの匿名性を得られた結果のパーソナル情報1510を得た匿名化ポリシ1000と、第2パーソナル情報として図18の匿名化結果のパーソナル情報2210までの匿名化処理を結合して、新たな匿名化ポリシを生成する。その結合において、結合性評価部2002は、各項目の抽象度の低い匿名化を選択する。結合結果の統合パーソナル情報の抽象度は、図22Aの統合パーソナル情報2220のようになる。すなわち、血縁の項目においては匿名化ポリシ1800における優先度3の匿名化が、病歴の項目においては匿名化ポリシ1000における匿名化なしが選ばれる。
図22Bは、図22Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図22Bの参照番号は、図22Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
結合性評価部2002は、匿名化ポリシ1000によって既に匿名化されたパーソナル情報1510と、匿名化ポリシ1800によって優先度“2”の項目「住所」「病歴」まで匿名化されたパーソナル情報2210と、を統合し、統合パーソナル情報2220を生成する。統合パーソナル情報2220では、血縁の項目はパーソナル情報2210の内容を維持し、病歴の項目2221はパーソナル情報1510の内容となる。
結合性評価部2002は、この統合パーソナル情報2220が、提供履歴記憶部2004の匿名化されたパーソナル情報1510及び現在匿名化中のパーソナル情報2210に対して匿名性を有するか否かを評価する。統合パーソナル情報2220が匿名性を有すれば、結合性評価部2002は、統合パーソナル情報2220を匿名化されたパーソナル情報として、提供履歴記憶部2004に記憶し、情報利用者に提供する。匿名性を有しない場合は、結合性評価部2002は、さらに匿名化処理を行なうよう匿名化処理部204に指示する。
(図18の優先度2までの匿名化ポリシの結合)
図23Aは、図22A及び図22Bでは匿名性を有しない場合の匿名化処理の結合を示す図である。図23Aでは、匿名化ポリシ1800の優先度2を最後まで実行し、第3パーソナル情報として図19Aの匿名化結果のパーソナル情報1920を得る。この時は、統合パーソナル情報2310となる。
図23Bは、図23Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図23Bの参照番号は、図23Aの匿名化結果のパーソナル情報に対する参照番号に対応している。匿名化ポリシ1000で既に匿名化されたパーソナル情報1510と、匿名化ポリシ1800で優先度2まで匿名化されたパーソナル情報1920と、が統合されて、統合パーソナル情報2310が生成される。統合パーソナル情報2310では、年齢項目2311が図22Bの年代のみから「未成人/成人/高齢」に匿名化されている。
結合性評価部2002は、この統合パーソナル情報2310が、提供履歴記憶部2004の匿名化されたパーソナル情報1510及び現在匿名化中のパーソナル情報1920に対して匿名性を有するか否かを評価する。本例では匿名性を有するとして、統合パーソナル情報2310が匿名化されたパーソナル情報として、提供履歴記憶部2004に記憶され、情報利用者に提供される。
図24は、図22Bの統合パーソナル情報2220から図23Bの統合パーソナル情報2310への変化を示す図である。本例では、統合パーソナル情報2220では匿名性を有しないが、統合パーソナル情報2310となれば匿名性を有するものとなる。
[第6実施形態]
上記第2乃至第5実施形態では、情報処理装置が集中的に情報提供者からのパーソナル情報の保持、匿名化、情報利用者への匿名化したパーソナル情報の提供を実行する構成を説明した。第6実施形態では、情報提供者からのパーソナル情報の保持、匿名化、情報利用者への匿名化したパーソナル情報の提供、をそれぞれ、あるいはその一部を分散処理する構成を示す。本実施形態によれば、情報提供者からのパーソナル情報の蓄積と、匿名化装置として特化した情報処理装置とを分離することで、匿名化処理を広範囲に適用可能となる。
図25は、匿名化装置として特化した情報処理装置2501を含む情報処理システム2500の構成を示す図である。
情報処理システム2500は、ネットワーク2504を介して接続された、匿名化装置として特化した情報処理装置2501と、パーソナル情報を蓄積する情報蓄積装置2502と、パーソナル情報の入出力をする通信端末機器類2503とを具備する。情報蓄積装置2502はLANを介して入出力端末2505からパーソナル情報を受信してもよい。図25の情報処理システム2500では、情報提供者及び情報利用者は通信端末機器類2503を使用して入出力を行なう。入力されたパーソナル情報は、それぞれの情報蓄積装置2502でパーソナル情報取得がされてパーソナル情報記憶部に蓄積される。通信端末機器類2503を使用して要求された、いずれかの情報蓄積装置2502のパーソナル情報は、情報処理装置2501に送られて匿名化された上で、通信端末機器類2503から匿名化情報出力により使用している情報利用者に提供される。
[他の実施形態]
以上、本発明の実施形態について詳述したが、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステム又は装置も、本発明の範疇に含まれる。
また、本発明は、複数の機器から構成されるシステムに適用されても良いし、単体の装置に適用されても良い。さらに、本発明は、実施形態の機能を実現する制御プログラムが、システム或いは装置に直接或いは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされる制御プログラム、或いはそのプログラムを格納した媒体、その制御プログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。
[実施形態の他の表現]
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置であって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
を含む情報処理装置。
(付記2)
情報提供者から提供されたパーソナル情報を記憶するパーソナル情報記憶手段を備える付記1に記載の情報処理装置。
(付記3)
前記匿名性評価手段は、前記匿名化処理手段によって匿名化処理が適用されたパーソナル情報が、他の情報提供者から提供されたパーソナル情報と区別できないこと、前記匿名化処理手段によって匿名化されたパーソナル情報から情報提供者が誰であるか判別できないこと、または、匿名化処理手段によって匿名化されたパーソナル情報から情報提供者の属性が分からないことを持って匿名性を有すると判断する付記1または2に記載の情報処理装置。
(付記4)
前記匿名化処理手段によって匿名化処理を適用したパーソナル情報を記憶する匿名化情報記憶手段を備え、
前記匿名化処理手段は、前記匿名性評価手段が前記匿名化処理を適用したパーソナル情報が匿名性を有しないと判断した場合に、前記匿名化情報記憶手段に記憶されたパーソナル情報に対して、さらに優先度の高い匿名化処理を適用する付記1乃至3のいずれか1項に記載の情報処理装置。
(付記5)
前記匿名化ポリシに含まれる各匿名化処理は、前記パーソナル情報に関連付け可能な前記少なくとも1つの項目の有無、該項目の抽象度のレベル、該項目の正確性のレベルのいずれかを表わす指標と、該指標に基づいて設定された前記匿名化処理の優先度とを含む付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
複数の前記項目の各項目の有無、各項目の抽象度のレベル、各項目の正確性のレベルのいずれかを表わす指標を各項目に対応付けて記憶する項目規定記憶手段と、
複数の項目に対する匿名化を含む匿名化処理から、予め定められた項目の匿名化を選択し、前記匿名化処理手段に提供する項目限定選択手段と、
を備える付記5に記載の情報処理装置。
(付記7)
前記匿名化ポリシ提供手段は、前記情報利用者に対応付けられた匿名化ポリシを記憶する匿名化ポリシ記憶手段を有し、前記情報利用者に対応して前記匿名化ポリシ記憶手段から読み出した匿名化ポリシを提供する付記1乃至6のいずれか1項に記載の情報処理装置。
(付記8)
前記匿名性評価手段は、前記匿名化ポリシに含まれる前記複数の匿名化処理の適用によってもパーソナル情報が匿名性を有しないと判断した場合に、その旨を前記情報利用者に通知する通知手段を有し、
前記匿名化ポリシ提供手段は、前記通知手段の通知に応答して前記情報利用者から提供された匿名化ポリシを提供する付記1乃至7のいずれか1項に記載の情報処理装置。
(付記9)
前記匿名性評価手段が匿名性を有すると判断した場合の匿名化処理の組を履歴として記憶する履歴記憶手段と、
前記匿名性評価手段が前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、現在の匿名化処理の組と前記履歴記憶手段に記憶された匿名化処理の組とを組み合わせて、新たな匿名化処理の組からなる匿名化ポリシを生成する生成手段とを備え、
前記匿名化処理手段は、前記生成手段が生成した匿名化ポリシの前記新たな匿名化処理の組を前記パーソナル情報に適用する付記1乃至8のいずれか1項に記載の情報処理装置。
(付記10)
前記匿名化処理は、前記パーソナル情報に対する汎化、切落し、分離、置換、摂動を含む付記1乃至9のいずれか1項に記載の情報処理装置。
(付記11)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御方法であって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供し、
前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択し、
前記匿名化処理の選択順に前記複数の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用し、
前記匿名化処理が適用されたパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する
情報処理装置の制御方法。
(付記12)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御プログラムであって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する処理と、
前記匿名化ポリシの提供によって提供される匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する処理と、
前記匿名化処理の選択順に前記複数の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する処理と、
前記匿名化処理が適用されたパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する処理と、
をコンピュータに実行させる制御プログラム。
(付記13)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理システムであって、
前記パーソナル情報を取得するパーソナル情報取得手段と、
前記取得したパーソナル情報を記憶するパーソナル情報記憶手段と、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、前記パーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力手段と、
を含む情報処理システム。
(付記14)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化するパーソナル情報の匿名化方法であって、
前記パーソナル情報を取得するパーソナル情報取得ステップと、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供ステップと、
前記匿名化ポリシ提供ステップにおいて提供する匿名化ポリシに含まれる前記複数の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択ステップと、
前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、前記取得したパーソナル情報を記憶するパーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理ステップと、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価ステップと、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力ステップと、
を含むパーソナル情報の匿名化方法。
以上、実施の形態を参照して本願発明を説明したが、本願発明は以上の実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で同業者が理解し得る様々な変更をすることができる。
この出願は、2010年11月16日に出願された日本出願特願2010−256045を基礎とする優先権を主張し、その開示の全てをここに取り込む。
なお、本明細書で使用する“匿名化”は、プライバシ性の高いパーソナル情報に対する、汎化、切落し、分離、置換、摂動等の匿名化処理を含むが、これに限定はされない。ここで、“汎化”とは、パーソナル情報の項目を曖昧化して詳細な値を隠す処理であり、例えば、「住所」という項目に対する汎化であれば、番地や市区町村等を削除する処理である。“切落”しは、パーソナル情報から項目を削除する処理であり、パーソナル情報にその項目が含まれていること自体を隠す処理である。“分離”は、1ユーザのパーソナル情報の複数項目を複数のパーソナル情報に分ける処理であり、項目を組合せることによりユーザ(情報提供者とも言う)の個人特定や属性の推定が可能となるのを防ぐ処理である。“置換”は、項目の一部ないし全部を複数のパーソナル情報間で交換することにより、項目の組合せによるユーザの個人特定や属性推定を防ぐ処理である。“摂動”は、項目の値に対して一定の揺らぎを付加することによって正確な値を隠す処理である。特に、分離、置換、摂動の各処理は、ユーザ個人にパーソナライズされたサービスを提供するのではなく、統計処理の際にユーザのプライバシを保護することを主目的としている。
[第1実施形態]
本発明の第1実施形態としての情報処理装置100について、図1を用いて説明する。情報処理装置100は、個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する装置である。
図1に示すように、情報処理装置100は、匿名化ポリシ提供部102と、匿名化処理選択部104と、匿名化処理部106と、匿名性評価部108とを含む。匿名化ポリシ提供部102は、パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含む。また、匿名化ポリシ提供部102は、複数種類の匿名化処理のそれぞれに優先度が付加された、匿名化ポリシを提供する。優先度は、たとえば、パーソナル情報の利用要件に応じて匿名化ポリシ提供部102において決定された値でも良い。匿名化処理選択部104は、匿名化ポリシ提供部102が提供する匿名化ポリシに含まれる複数種類の匿名化処理を適用する場合に、優先度の低い匿名化処理から優先度の高い匿名化処理を順に選択する。匿名化処理部106は、匿名化処理選択部104によって選択された順に複数種類の匿名化処理をパーソナル情報に適用する。匿名性評価部108は、それぞれ匿名化処理を適用したパーソナル情報が、匿名性を有すると判断した場合に、当該匿名性を有する匿名化処理を適用したパーソナル情報を、情報利用者に提供する。
本実施形態により、パーソナル情報の利用要件を多様に組み合わせて生成された匿名化処理の適用順序を自在に設定できる。
[第2実施形態]
本発明による第2実施形態の情報処理装置は、情報提供者から提供されたパーソナル情報を、情報利用者に提供する場合に、情報利用者に対応して、優先度が付加された複数種類の匿名化処理を含む匿名化ポリシで匿名化を実行する。その場合に、各匿名化処理が、パーソナル情報の複数の項目の匿名化を含むように匿名化ポリシを作成ことが出来る。
本実施形態によれば、パーソナル情報の利用要件を組み合わせて生成された匿名化処理の適用順序を自在に設定することができる。さらに、匿名化ポリシに記載された優先度に従った順で、パーソナル情報の複数の項目に対しても匿名化処理を適用できる。したがって、第2実施形態の情報処理装置は、情報利用者の用途に合わせて迅速に匿名化されたパーソナル情報を提供することができる。すなわち、本実施形態により、項目に対して1つずつ匿名化処理を適用して匿名性を評価するよりも、パーソナル情報の情報利用者に対応する迅速な匿名化が可能になる。なお、以下の各実施形態では、匿名化処理を必須とする医療分野に本情報処理システムおよび情報処理装置を適用した例を示すが、適用分野は医療分野に限らず人、物、場所などが特定されることが不利益となる場合にあらゆる分野で適用が可能である。
〈第2実施形態の情報処理装置の構成〉
図2は、本発明の第2実施形態に係る情報処理装置200の機能構成を示すブロック図である。段階的匿名化装置である情報処理装置200は、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212とを具備する。
なお、情報処理装置200は、コンピュータとして例示される装置である。情報処理装置100および後述される他の匿名化のための情報処理装置における各要素(機能ブロック)は、図2等の構成要素を実現するプログラム(ソフトウェア)により、コンピュータのハードウェアを用いて実現される。そのような情報処理装置200は、例えば、CPU、メモリ(主記憶装置)、ハードディスク(大容量補助記憶装置)、及び通信装置を備え、キーボードやマウス等の入力装置やディスプレイやプリンタ等の出力装置と接続されたコンピュータで実現できる。そして、情報処理装置200は、CPUがハードディスクに記憶されるプログラムをメモリに読みだして実行することにより、上記匿名化処理選択部202~匿名化情報記憶部212の各機能を実現することができる。その実現方法、装置には色々な変形例があることは、当事者には理解されるところである。以下説明する各図は、ハードウェア単位の構成ではなく、機能単位のブロックを示している。この情報処理装置200のハードウェア構成例は、後述される図3A及び図3Bで示される。
パーソナル情報記憶部208は、情報提供者(端末装置であるが、以下では単に情報提供者と称す)から提供されたパーソナル情報あるいはパーソナル情報を含む情報を記憶する。パーソナル情報は、名前や値を含む項目であり、汎化、切落し、分離、置換、摂動等の匿名化処理を1回以上適用できる項目を、1つ以上有する情報である。項目の一例としては、都道府県名、市区町村、番地等から構成される文字列を値として持つ「住所」という項目、または数値を値として持つ「年齢」という項目等が考えられる(具体例は、図4参照)。パーソナル情報記憶部208に記憶されるパーソナル情報は、実行できる匿名化処理や適用できるサービスを制限するものではない。
匿名化ポリシ記憶部210は、匿名化ポリシを記憶する。その匿名化ポリシは、0回以上の匿名化処理が施されたパーソナル情報の利用に関する匿名化の要件である。匿名化ポリシの匿名化処理は、パーソナル情報を構成する項目に関して、項目の有無、項目の抽象度、項目の正確性等の指標に対する優先度を含む。例えば、パーソナル情報が、住所と年齢という項目から構成される情報であり、項目別に指標が付与されている場合を仮定する。たとえば、住所については、指標1=全て、指標2=番地以外、指標3=都道府県のみ、年齢については、指標1=全て、指標2=無し、をそれぞれ指標として仮定する。この場合に、匿名化ポリシの各匿名化処理は、優先度3(住所:指標1、年齢:指標1)、優先度2(住所:指標2、年齢:指標1)、優先度1(住所:指標2、年齢:指標2)のように、住所と年齢の組で記述される(具体例は、図6や図13参照)。
匿名化情報記憶部212は、情報利用者を識別する識別子である情報利用者IDが付与されたパーソナル情報、または匿名化されたパーソナル情報を記憶する(具体例は、図7参照)。
匿名化処理選択部202は、匿名化ポリシ記憶部210に記憶された匿名化ポリシを参照し、匿名化ポリシに含まれる情報利用者IDを取り出す。そして、匿名化情報記憶部212に情報利用者IDが付与された最新のパーソナル情報が存在しない場合、匿名化処理選択部202は、パーソナル情報記憶部208に記憶される全ての最新のパーソナル情報を匿名化情報記憶部212に複製し、情報利用者IDを付与する。次に、匿名化処理選択部202は、パーソナル情報を構成する各項目に対して匿名化ポリシに記載された、一つ以上の項目名と指標から構成される優先度が最も低い組を取り出す。そして、匿名化処理選択部202は各項目に対して指標を満たすための匿名化処理を特定し、パーソナル情報と、項目名と、匿名化処理の内容を匿名化処理部204に渡す。匿名化処理選択部202は、匿名化情報記憶部212に記憶されている情報利用者IDが付与された全てのパーソナル情報に対して、この処理を実行する。
匿名化処理部204は、匿名化処理選択部202からパーソナル情報と、項目名と、匿名化処理の内容を受け取る。次に、匿名化処理部204は、受け取ったパーソナル情報の項目に対して指定された匿名化処理を適用し、匿名化されたパーソナル情報を生成する。そして、匿名化処理部204は、匿名化情報記憶部212に記憶されているパーソナル情報を匿名化されたパーソナル情報によって上書きする。
匿名性評価部206は、匿名化処理部204によって匿名化されたパーソナル情報が匿名性を有するか否かを、次のような条件により評価する。例えば、
・匿名化処理部204によって匿名化されたパーソナル情報から情報提供者が誰であるか判別できない、
・匿名化処理部204によって匿名化されたパーソナル情報が、匿名化情報記憶部212に記憶されている他のパーソナル情報と区別できない、
・匿名化処理部204によって匿名化されたパーソナル情報から情報提供者の属性が分からない、等である。そして、情報利用者が要求する全てのパーソナル情報が匿名性を有する場合、パーソナル情報を情報利用者に提供する。一方、全部または一部のパーソナル情報が匿名性を有していない場合、匿名化処理選択部202に対して、パーソナル情報に対してさらなる匿名化処理を適用することを指示する。
〈第2実施形態の情報処理装置のハードウェア構成〉
図3A及び図3Bは、本実施形態の情報処理装置200のハードウェア構成を示す図である。
図3Aで、CPU310は演算制御用のプロセッサであり、プログラムを実行することで図2の各機能構成部を実現する。ROM320は、初期データ及びプログラムなどの固定データ及びプログラムを記憶する。通信制御部330は、ネットワークを介して外部装置と通信する。通信制御部330は、外部装置から情報提供者によるパーソナル情報を受信し、外部装置の情報利用者に対してパーソナル情報を提供(送信)する。通信は無線でも有線でもよい。なお、本情報処理装置200は、LANに接続して限られた範囲で処理する場合も考えられる。その場合には、図示しない入力インタフェースと出力インタフェースを介して、図示しない入力装置と出力装置が接続される。
RAM340は、CPU310が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM340には、本実施形態の実現に必要なデータとして、情報提供者からの提供者データ341と、情報利用者への利用者データ342とを記憶する領域が確保される。さらに詳細には、図3Bに示すように、提供者データ341として、提供者を識別する提供者ID3401と提供されたパーソナル情報3402とが記憶される。また、利用者データ342として、利用者を識別する利用者ID3403と利用されるパーソナル情報3404とが記憶される。また、利用者データ342として、パーソナル情報に匿名化処理を適用した匿名化情報3405と、匿名化情報3405の匿名性を評価した結果である匿名性評価結果3406とが記憶される。なお、匿名化情報3405はパーソナル情報3404の領域に上書きされてもよい。さらに、利用者データ342として、パーソナル情報3404を匿名化するための匿名化ポリシ3407が記憶される。
ストレージ350は、匿名性評価アルゴリズム351、データ記憶部352、CPU310が実行するプログラム353を、不揮発に記憶する。さらに詳細には、図3Bに示すように、ストレージ350は、データ記憶部352として、情報提供者から提供されるパーソナル情報を提供者IDに対応させて記憶するパーソナル情報記憶部208を含む。また、ストレージ350は、データ記憶部352として、匿名化され情報利用者へ提供されたパーソナル情報を利用者IDに対応させて記憶する匿名化情報記憶部212を含む。また、ストレージ350は、データ記憶部352として、匿名化ポリシを予め利用者IDに対応させて記憶する匿名化ポリシ記憶部210を含む。すなわち、情報利用者のアクセス権などにより異なる匿名化ポリシを設定することが可能となる。匿名化ポリシ記憶部210の記憶領域には、予め登録された匿名化ポリシ3504が記憶される。また、項目規定記憶部として、匿名化ポリシを構成する各項目の指標を定義する項目規定3505が記憶される。また、データ記憶部352は、第5実施形態で使用される、匿名化され情報利用者へ提供されたパーソナル情報を利用者IDに対応させて蓄積する提供履歴記憶部2004を含む。
ストレージ350は、図3Bに示すように、プログラム353として、本情報処理装置200の動作手順を示す情報処理プログラム3506を格納する。また、ストレージ350は、プログラム353として、この情報処理プログラム3506の一部に含まれる、匿名化ポリシから実行する匿名化処理を選択する匿名化処理選択モジュール3507と匿名化処理を実行する匿名化モジュール3508とを格納する。
〈第2実施形態で使用される各データの構成〉
(パーソナル情報記憶部の構成)
図4は、本実施形態のパーソナル情報記憶部208の構成を示す図である。かかるパーソナル情報は、医療分野におけるパーソナル情報の例である。
パーソナル情報記憶部208は、パーソナル情報の識別子であるパーソナルID401に対応付けて、血縁402、住所403、年齢404、病歴405の項目のデータを記憶する。図4では、以下の匿名化の具体的処理の説明を簡略化するため、血縁402という属性として、氏名が記憶されている。
(項目規定の構成)
図5は、各項目についての、匿名化のレベルを指標として表わす項目規定3505の構成を示す図である。指標1が最も匿名性の低い指標で、指標2、3、4の順に匿名性が高くなる。図5は、本実施形態の具体例に対応して規定されている。
項目の血縁(氏名)の指標としては、図5の血縁規定データ501に示すように、全てを表記する指標1と、表記がない、あるいは記号で表わすという指標2とが、規定される。項目の住所の指標としては、図5の住所規定データ502に示すように、全てを表記する指標1と、番地以外を表記する指標2と、都道府県のみを表記する指標3と、表記がない指標4とが、規定される。項目の年齢の指標としては、図5の年齢規定データ503に示すように、全てを表記する指標1と、年代のみを表記する指標2と、表記がない指標3とが、規定される。項目の病歴の指標としては、図5の病歴規定データ504に示すように、全てを表記する指標1と、特殊な病歴は表記しない指標2と、表記がない指標3とが規定される。
(匿名化ポリシの構成)
図6は、匿名化ポリシ記憶部210内の匿名化ポリシ3504の一例を示す図である。ここで、データ601と602が各匿名化処理を示している。本明細書では、優先度の数値が大きい匿名化処理の方が、優先度が低いとしている。
図6の匿名化ポリシでは、優先度が最も低い匿名化処理601として、血縁(氏名)を指標2に匿名化し、住所を指標2に匿名化し、年齢を指標2に匿名化し、病歴は匿名化せずに指標1のままとする、匿名化処理が定義される。次に、優先度が低い匿名化処理602として、血縁(氏名)を指標2のままとし、住所を指標3に匿名化し、年齢を指標2のままとし、病歴を指標2に匿名化する、匿名化処理が定義される。
(匿名化情報の構成)
図7は、図6の匿名化ポリシと項目限定による匿名化とを行なった結果の、匿名化情報記憶部212の構成を示す図である。
図7の匿名化情報は、図4のパーソナル情報を匿名化した結果を示している。匿名化情報記憶部212は、パーソナル情報の識別子であるパーソナルID701に対応付けて、血縁702、住所703、年齢704、病歴705の項目のデータを記憶する。図7では、血縁(氏名)702は記号「X」、「Y」に匿名化されている。住所703は、都道府県のみの「東京都」に匿名化されている。年齢704は、年代の「50代」、「30代」に匿名化されている。病歴705は、パーソナルID001において「・K炎」のみに匿名化されている。なお、この匿名化情報は、それぞれ情報利用者の利用者IDに対応付けられて記憶される。
〈第2実施形態の情報処理装置の動作手順〉
次に、第2実施形態に係る情報処理装置200の動作手順(データ処理方法)について説明する。図8は、第2実施形態に係る情報処理装置200の動作手順の一例を示すフローチャートである。このフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図2に示す機能構成部の機能を実現する。
まず、ステップS801において、匿名化処理選択部202は、情報利用者の利用者IDを取り出す。次に、匿名化処理選択部202は、パーソナル情報記憶部208から情報利用者が要求するパーソナル情報の最新のパーソナル情報を読み出して、パーソナル情報3404に記憶する。ステップS805において、匿名化処理選択部202は、利用者IDに対応する匿名化ポリシの全匿名化処理を行なったかを、未選択の優先度の匿名化処理があるか否かで判定する。未選択の優先度の匿名化処理があれば、処理はステップS807に進む。匿名化処理選択部202は、ステップS807で、匿名化ポリシから残った匿名化処理の中で最も優先度の低い匿名化処理を選択する。そして、匿名化処理選択部202は、選択された匿名化処理に関連するパーソナル情報、項目名および匿名化処理の内容を匿名化処理部204に送信する。一方、未選択の優先度の匿名化処理がなければ、処理は、ステップS809に進む。もう匿名化ポリシには匿名化処理の規定はないので、情報の匿名化が成功しなかった。この場合、ステップS809において、匿名化処理選択部202は、情報利用者に情報の提供が出来ない旨を通知する。
ステップS811において、匿名化処理部204は、今までの匿名化処理を行なった結果のパーソナル情報に対して、新たな種類の匿名化処理による匿名化を実行して、その結果を匿名化情報3405に上書きする。ステップ813において、匿名性評価部206は、匿名処理結果のパーソナル情報に匿名性があるか否かを判定する。匿名性がないと判定すれば、処理はステップS805に戻って、ステップS805~S813が繰り返される。匿名性評価部206は、匿名性があると判定すれば、処理はステップS815に進んで、匿名性評価部206は、利用者IDが示す情報利用者に匿名化されたパーソナル情報を提供する。
〈第2実施形態における具体的な匿名化処理の説明〉
上記、第2実施形態の情報処理装置200の構成、および各データを使用して、図8に従った匿名化処理を行なった場合の具体的な処理のイメージを、図9、図10、図11Aを用いて匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。
(匿名化されていないパーソナル情報)
図9は、情報提供者から提供された、まだ匿名化されてないパーソナル情報の抽象度を示す図である。まだ匿名化処理は適用されていないので、全項目において、抽象化はない。
(匿名化ポリシ)
図10は、匿名化ポリシを各匿名化処理によって抽象化される状態を示す図である。図において、番号“1”,“2”は、それぞれ図6に示す優先度1,2による抽象化の程度を示す。以下、番号“1”,“2”は、優先度1,2として説明する。下図5及び図6を参照すれば、図10において優先度2の血縁、住所、年齢の項目は、最初に匿名化を行なう項目である。それぞれの匿名化による抽象度の変化が、円柱のバーの長さで示されている。図10において優先度1の住所、病歴の項目は、次に匿名化を行なう項目である。
(匿名化処理)
図11Aは、匿名化処理部204による匿名化処理により、順に抽象度が高くなる様子を示す図である。
匿名化されていないパーソナル情報900は、優先度2の匿名化処理1000(2)により、最初の匿名化結果のパーソナル情報1110となる。次に、優先度1の匿名化処理1000(1)により、パーソナル情報900は、次の匿名化結果のパーソナル情報1120となる。ここで、匿名化ポリシに規定されている匿名化は終了する。もし、この間に匿名性評価部206による匿名性の判定で匿名性ありと判定されれば、匿名性を有する匿名化結果が匿名化されたパーソナル情報として出力される。
図11Bは、図11Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図11Bの参照番号は、図11Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
図4の中の2人のパーソナル情報900は、最初の匿名化処理1000(2)によって血縁(氏名)が記号(X、Y)1111に置き換わり、住所では番地以降が削除され(1112)、年齢では年代1113に置き換わっている。次の匿名化処理1000(1)によって、住所が都道府県のみの東京都以外は削除され(1121)、パーソナルID001の病歴から特殊なB病が削除された(1122)。
[第3実施形態]
以下、本発明の第3実施形態の情報処理装置について詳細に説明する。なお、以下において、第2実施形態と同様の機能や動作をする構成やステップがある場合、それらについて図中には同じ符号を付し、明細書中の説明を省略する場合がある。他の実施形態についても同様である。
第2実施形態における情報処理装置200は、優先度が付加された複数の種類の項目の匿名を含む匿名化処理で匿名化を実行する場合には、1回の匿名化処理で複数種類の項目の匿名化を一気に実行する。従って、複数種類の項目のどれかを次の段階に匿名化を進めれば匿名性が得られる場合にも、情報処理装置200は、一気に複数項目の匿名化を行なう。したがって、情報処理装置200は、過剰な匿名化により情報利用者に不十分な情報を提供することが発生する。この問題を解決するため、第3実施形態の情報処理装置1200(図12)は、一部の匿名化処理については一気に実行せずに項目を選択して段階的に匿名化を行なう。特に、情報処理装置1200は、匿名性を得られたと判断した後に最後の匿名化処理を項目に分けて再度行なう。これにより、出来るだけ情報内容を残すことができ、情報利用者へのサービスを向上させることが可能となる。このように、本実施形態によれば、情報利用者の用途に合わせて匿名化されると同時に、情報内容を可能な限り保存したパーソナル情報を提供することができる。
〈第3実施形態の情報処理装置の構成〉
図12は、本発明の第3実施形態に係る情報処理装置1200の機能構成を示すブロック図である。段階的匿名化装置である情報処理装置1200は、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212と、項目限定選択部1202とを具備する。
第3実施形態の構成での第2実施形態との相違点は、「項目限定選択部1202」を具備することであり、他の機能構成部は同様であるので説明は省略する。
項目限定選択部1202は、匿名化処理選択部202において選択された、匿名化ポリシの匿名化処理に対して、よりきめ細かな匿名化を行なうため複数種類の項目から、匿名化すべき項目の順序を決めて、項目を選択する。このとき項目限定選択部1202は、匿名化処理による変化が最も少ない項目と匿名化処理とを選択してもよいし、匿名性が最も高くなる項目と匿名化処理とを選択してもよいし、両方を満たす項目と匿名化処理とを選択してもよい。この選択は、最終結果の匿名性が十分であり、且つ、パーソナル情報の内容が情報使用者にとって有用となるように選択される。
本実施形態の情報処理装置1200のハードウェア構成は、第2実施形態の図3A及び図3Bと同様であるので、説明は省略する。ただし、本実施形態では、項目限定選択部1202が項目選択するためのデータが、図示されていないが、RAM340の匿名化ポリシ3407に追加され、またはストレージ350の匿名化ポリシ3504内に追加されてよい。
〈第3実施形態で使用されるデータの構成〉
第3実施形態で使用されるデータは、項目限定選択部1202が使用するデータを除いて、第2実施形態と同様とするので、説明は省略する。
(項目限定選択部が使用するデータの構成)
図13は、項目限定選択部1202が匿名化処理の複数の項目を分けて順に匿名化するために使用するデータ例1300を示す図である。ここでは、項目限定選択部1202は、図6の匿名化処理602を匿名化処理602−1と602−2の2つの分けて実行する。
図13の匿名化処理において、まず、匿名化処理602−1は、住所のみを指標3に匿名化し、病歴は匿名化せずに指標1のままとする。次に、匿名化処理602−2は、病歴を指標2に匿名化する。このような匿名化処理が項目限定選択部1202に設定されている。
〈第3実施形態の情報処理装置の動作手順〉
次に、第2実施形態に係る情報処理装置1200の動作手順(データ処理方法)について説明する。図14は、第3実施形態に係る情報処理装置1200の動作手順の一例を示すフローチャートである。このフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図12に示す機能構成部の機能を実現する。なお、図14のフローチャートの図8との相違点は、ステップS1401とS1403との追加であり、他の図8と同様のステップ番号は同様の処理であるので、説明は省略する。
ステップS807において、匿名化処理選択部202は匿名化ポリシから残った匿名化処理の中で最も優先度の低い匿名化処理を選択すると、ステップS1401において、項目限定選択部1202は、選択された匿名化処理において項目限定選択を行なうか否かを判定する。かかる判定は、図13のようなデータが有る場合、あるいは図14には煩雑となるため図示しなかったが、項目限定選択部1202は、匿名性ありとの判定された最後の匿名化処理などにおいて、項目限定選択を行なうと判定する。項目限定選択を行なわない場合は、処理はステップS811に進み、匿名化処理部204は複数種類の項目の匿名化を一気に行なう。項目限定選択部1202は、項目限定選択を行なう場合は、ステップS1403において、図13のようなデータに従って部分的な項目を選択し、その後、選択された項目に対し匿名化処理部204はステップS811の匿名化を実行する。なお、ステップS1403においては、その優先度については未選択を維持するので、ステップS805とS807においては、同じ優先度の匿名化処理が選択されて、ステップS811で残る項目の匿名化が行なわれる。例えば、図13の例では、最初のループでは匿名化処理602−1による匿名化が、次のループでは匿名化処理602−2による匿名化がおこなわれることになる。
〈第3実施形態における具体的な匿名化処理の説明〉
上記、第3実施形態の情報処理装置1200の構成、および各データを使用して、図14に従った匿名化処理を行なった場合の具体的な処理のイメージを、匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。
(匿名化ポリシ)
匿名化ポリシは、図10に示したものと同様である。ただし、本実施形態では、項目限定選択部により、図10における優先度1で示す匿名化処理の住所と病歴の項目は、2回の匿名化に分離されている。ここでは、優先度1−1と優先度1−2とする。
(匿名化処理)
図15Aは、匿名化処理により、順に抽象度が高くなる様子を示す図である。
匿名化されていないパーソナル情報900は、優先度2の匿名化処理1000(2)により、最初の匿名化結果のパーソナル情報1110となる。次に、最初の項目限定選択において、優先度1−1の匿名化処理1000(1−1)により、項目「住所」のみの匿名化が実行され、パーソナル情報1110は匿名化結果のパーソナル情報1510となる。次の項目限定選択では、優先度1−2の匿名化処理1000(1−2)により、病歴の匿名化が実行され、パーソナル情報1120となる。
図15Bは、図15Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図15Bの参照番号は、図15Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
図4の中の2人のパーソナル情報900は、最初の匿名化処理1000(2)によって血縁(氏名)が記号(X、Y)1111に置き換わり、住所では番地以降が削除され(1112)、年齢では年代1113に置き換わっている。次の匿名化処理1000(1−1)によって、住所が都道府県のみの東京都以外は削除された(1511)。この時点で、匿名性があると判定されないと、さらに、匿名化処理1000(1−2)によって、パーソナルID001の病歴から特殊なB病が削除される(1122)。
[第4実施形態]
以下、本発明の第4実施形態の情報処理装置について詳細に説明する。なお、以下において、第2及び第3実施形態と同様の機能や動作をする構成やステップがある場合、それらについて図中には同じ符号を付し、明細書中の説明を省略する場合がある。
上記第2及び実施形態に係る情報処理装置は、匿名化ポリシに記述された全ての優先度に対する匿名化処理を適用した後に、匿名性が満たされなければ、情報利用者へのパーソナル情報の提供は行なわれない。しかし、第3実施形態の情報処理装置は、匿名化ポリシに記載された全ての優先度に対する匿名化処理を適用した後に匿名性が満たされなければ、情報利用者が匿名化ポリシを変更する点で、第2及び第3実施形態と相違する。本実施形態によれば、情報利用者は匿名化ポリシを自在に変更してパーソナル情報を匿名化することができる。したがって、匿名性を有し且つ情報利用者にとって有用なパーソナル情報を対話的に取得することができる。
〈第4実施形態の情報処理装置の構成〉
まず、第4実施形態に係る情報処理装置の構成について説明する。図16は、第4実施形態に係る匿名化装置としての情報処理装置1600の機能構成を示すブロック図である。
情報処理装置1600は、図2と同様の機能を果たす、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212とを具備する。さらに、情報処理装置は、匿名化情報管理部1602と、匿名化ポリシ管理部1604とを具備する。以下、第2実施形態と相違する構成について説明する。
匿名化情報管理部1602は、匿名化処理選択部202から受け取った情報利用者IDが付与された特定のパーソナル情報を削除する。そのパーソナル情報は、匿名化情報記憶部212に記憶されている匿名性が得られなかった情報である。匿名化ポリシ管理部1604は、匿名化処理選択部202が匿名化ポリシに記述された全ての優先度に対する匿名化処理を選択してもパーソナル情報が匿名性を有しない場合に、情報利用者に対して匿名化ポリシの変更を要求する。さらに、匿名化ポリシ管理部1604は、情報利用者から変更された匿名化ポリシを受け付けて、匿名化ポリシ記憶部210に記憶されている匿名化ポリシを更新する。図3Bのハードウェア構成であれば、RAM340の匿名化ポリシ3407を上書きし、ストレージ350の匿名化ポリシ3504を書き換え、あるいは追加記憶することになる。
その他、第4実施形態の情報処理装置1600のハードウェア構成や使用される各データの構成は、第2実施形態と同様であるので、説明は省略する。
〈第4実施形態の情報処理装置の動作手順〉
次に、第4実施形態に係る情報処理装置1600の動作について説明する。図17は、第4実施形態に係る情報処理装置1600の動作の一例を示すフローチャートである。かかるフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図16の各機能構成部の機能を実現する。図17に示される情報処理装置1600の動作は、図8に示される第2実施形態の情報処理装置200の動作と同様のステップS801~S807、S811~S815を有する。しかし、第2実施形態の情報処理装置200の動作とは異なる、以下に説明するステップS1701~S1705を有する。
ステップS805において、匿名化ポリシに未選択の優先度の匿名化処理が無くなった場合(S805のNO)、処理はステップS1701に進む。ステップS1701において、匿名性評価部206は、匿名化ポリシの全匿名化処理を行なっても匿名性が得られなかった旨を、情報利用者に通知する。匿名化ポリシ管理部1604は、通知に応答する情報利用者からの匿名化ポリシの入力、あるいは送信を待って、ステップS1703において、今まで使用してきた匿名化ポリシを情報利用者からの匿名化ポリシに変更する。そして、匿名化情報管理部1602は、ステップS1705において、前の匿名化ポリシで匿名化処理したパーソナル情報を匿名化情報記憶部212から削除する。
かかる処理の後、処理はステップS803に戻る。そして、匿名化処理選択部202は、再度、情報利用者が要求する匿名化すべきパーソナル情報をパーソナル情報記憶部208から読み出して、匿名化情報記憶部212に記憶する。そして、情報処理装置1600は、ステップS805からS813を繰り返して、変更された匿名化ポリシによる匿名化を実行する。
〈第4実施形態における具体的な匿名化処理の説明〉
上記、第4実施形態の情報処理装置1600の構成、および各データを使用して匿名化処理を行なった場合の具体的な処理のイメージを、匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。
まず、匿名化されていないパーソナル情報は図9の900とし、匿名化ポリシを抽象度であらわした図は図10の1000であるとする。
(最初の匿名化ポリシによる匿名化)
最初の匿名化ポリシは、図10に示す匿名化ポリシ1000であり、その匿名化処理の経過は、図11Aに示したものと同様である。そして、匿名化ポリシ1000による全ての匿名化処理を行なっても、匿名性の判定で匿名性なしと判定されたものと仮定する。
(更新した匿名化ポリシ)
図18は、図17のステップS1703で情報利用者により変更された匿名化ポリシ1800を示す図である。かかる変更された匿名化ポリシ1800は、図3BのRAM340の匿名化ポリシ3407に上書きされ、ストレージ350の匿名化ポリシ3504を書き換え、あるいは追加記憶される。
図18において、まず、新たな匿名化ポリシの項目規定として、血縁(氏名)の項目と年齢の項目とが、図5に示す項目規定3505から図18の項目規定1801及び1802のように変更される。図5において、血縁(氏名)の項目は指標1と指標2のみであってが、項目規定1801及び1802において、新たに“名字のみ”という指標2が追加され、全ての表記が指標1、名字のみが指標2、表記無し(または記号)が指標3とする。また、年齢の項目は指標1から指標3であったが、項目規定1801及び1802において新たに“未成人/成人/高齢”という指標3が追加され、全ての表記が指標1、年代のみが指標2、未成人/成人/高齢が指標3、表記無しが指標4とする。そして、匿名化ポリシは、この項目規定の変更を使って、優先度3から優先度1の匿名化処理1803~1805が規定されている。
図18の匿名化ポリシ1810は、変更された匿名化ポリシを各匿名化処理によって抽象化される状態で示した図である。図18において優先度3で示す血縁、住所、年齢の項目は、最初に匿名化を行なう項目である。それぞれの匿名化による抽象度の変化が、バーの長さで示されている。図18において優先度2で示す住所、年齢、病歴の項目は、次に匿名化を行なう項目である。図18において優先度1で示す血縁の項目は、最後に匿名化を行なう項目である。
(更新した匿名化ポリシによる匿名化)
図19Aは、更新した匿名化ポリシによる匿名化処理の様子を示す図である。
匿名化されていないパーソナル情報900は、優先度3の匿名化処理1810(3)により、最初の匿名化結果のパーソナル情報1910となる。次に、優先度2の匿名化処理1810(2)により、パーソナル情報1910は、次の匿名化結果のパーソナル情報1920となる。最後に、優先度1の匿名化処理1810(1)により、パーソナル情報1920は、次の匿名化結果のパーソナル情報1930となる。この間の匿名性を有する匿名化結果が匿名化されたパーソナル情報として出力される。
図19Bは、図19Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図19Bの参照番号は、図19Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
図4の中の2つのパーソナル情報900は、最初の匿名化処理1810(3)によって血縁(氏名)が名字のみ1911に置き換わり、住所では番地以降が削除され(1912)、年齢では年代1913に置き換わっている。次の匿名化処理1820(2)によって、住所が都道府県のみの東京都以外は削除され(1921)、年齢では未成人/成人/高齢1922に置き換わり、パーソナルID001の病歴から特殊なB病が削除された(1923)。最後に、匿名化処理1810(1)によって、血縁(氏名)が記号(X、Y)に置き換わる(1931)。
[第5実施形態]
以下、本発明の第5実施形態の情報処理装置について詳細に説明する。なお、以下において、図中に第2乃至第4実施形態と同様の機能や動作をする構成やステップがある場合、それらは同じ符号が付され、明細書中の説明は省略される場合がある。上記第2及び第4実施形態に係る情報処理装置は、情報提供者がパーソナル情報を変更し、または情報利用者が匿名化ポリシを変更した場合に、それらのパーソナル情報を組み合わせることにより、個人を特定できる恐れがある。従って、第5実施形態の情報処理装置は、パーソナル情報をこれまでに情報利用者に提供したパーソナル情報と合わせて匿名化を有することを保証する。本実施形態によれば、情報利用者が匿名化ポリシを変更した場合や情報提供者がパーソナル情報を変更した場合であっても、情報利用者が個人を特定することを防ぐことができる。
〈第5実施形態の情報処理装置の構成〉
まず、第5実施形態に係る匿名化装置としての情報処理装置の構成について説明する。
図20は、第5実施形態に係る情報処理装置2000の機能構成を示すブロック図である。
情報処理装置2000は、匿名化処理選択部202と、匿名化処理部204と、匿名性評価部206と、パーソナル情報記憶部208と、匿名化ポリシ記憶部210と、匿名化情報記憶部212と、項目限定選択部1202と、を具備する。これらは、第3実施形態と同様の機能を果たす。そして、第5実施形態の情報処理装置2000は、さらに、結合性評価部2002と、提供履歴記憶部2004とを具備する。
提供履歴記憶部2004は、匿名性を満たすパーソナル情報であり、情報利用者に提供されたパーソナル情報に情報利用者を表す情報利用者IDを付与して記憶する。結合性評価部2002は、匿名性評価部206から渡されたパーソナル情報と、提供履歴記憶部2004に記憶された提供履歴を統合して統合パーソナル情報を生成し、さらに統合パーソナル情報が匿名性を有するか否かを確認する。統合パーソナル情報が匿名性を有する場合、結合性評価部2002は、情報利用者にパーソナル情報を提供し、統合パーソナル情報が匿名性を有しない場合、結合性評価部2002は、再度、パーソナル情報を構成する項目に対して匿名化処理を適用するよう匿名化処理部204を制御する。
なお、第5実施形態の情報処理装置2000のハードウェア構成や使用される各データの構成は、第2実施形態と同様であるので、説明は省略する。また、提供履歴記憶部2004に記憶された、匿名化されたパーソナル情報の構成は、図7の匿名化情報記憶部212の構成と同様である。
〈第5実施形態の情報処理装置の動作手順〉
次に、第5実施形態に係る情報処理装置2000の動作について説明する。図21は、第5実施形態に係る情報処理装置2000の動作の一例を示すフローチャートである。かかるフローチャートは、図3AのCPU310によりRAM340を使用しながら実行されて、図20の各機能構成部の機能を実現する。図21に示される情報処理装置2000の動作は、図8に示される情報処理装置200の動作と同様のステップS801~S815と、図14に示される情報処理装置1200の動作と同様のステップS1401、S1403を有する。第5実施形態では、さらに、以下に説明するステップS2101とS2103とを有する。
ステップS2101において、匿名性評価部206は、ステップS813において匿名性ありと判定した場合、結合性評価部2002は、既に匿名化が行なわれたパーソナル情報と結合しても匿名性があるかを判定する。匿名性が無いと判定されれば、ステップS805に戻ってさらに匿名化処理部204による匿名化処理が行なわれる。匿名性ありと判定されるとステップS2103に進んで、結合性評価部2002は、既に匿名化が行なわれたパーソナル情報と結合したパーソナル情報に情報利用者を表す情報利用者IDを付与して提供履歴記憶部2004に保存する。
〈第5実施形態における具体的な匿名化処理の説明〉
上記、第5実施形態の情報処理装置2000の構成、および各データを使用して匿名化処理を行なった場合、具体的な処理のイメージを、匿名化の1つの指標である抽象化の程度をバーで示しながら、説明する。以下の各項目のバーにおいては、短い方が抽象化されたものとする。また、パーソナル情報は、血縁、住所、年齢、病歴の4つの項目を含むとする。本例では、図10の匿名化ポリシによって、項目限定選択部1202の処理により匿名性を得られた結果(図15の1510)を使って、図18の匿名化ポリシにより匿名化を行なう例を説明する。
(図18の優先度2の項目「住所」「病歴」までの匿名化ポリシの結合)
図22Aに示すように、結合性評価部2002は、第1パーソナル情報として図11Aの匿名性を得られた結果のパーソナル情報1510を得た匿名化ポリシ1000と、第2パーソナル情報として図18の匿名化結果のパーソナル情報2210までの匿名化処理を結合して、新たな匿名化ポリシを生成する。その結合において、結合性評価部2002は、各項目の抽象度の低い匿名化を選択する。結合結果の統合パーソナル情報の抽象度は、図22Aの統合パーソナル情報2220のようになる。すなわち、血縁の項目においては匿名化ポリシ1800における優先度3の匿名化が、病歴の項目においては匿名化ポリシ1000における匿名化なしが選ばれる。
図22Bは、図22Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図22Bの参照番号は、図22Aの匿名化結果のパーソナル情報に対する参照番号に対応している。
結合性評価部2002は、匿名化ポリシ1000によって既に匿名化されたパーソナル情報1510と、匿名化ポリシ1800によって優先度“2”の項目「住所」「病歴」まで匿名化されたパーソナル情報2210と、を統合し、統合パーソナル情報2220を生成する。統合パーソナル情報2220では、血縁の項目はパーソナル情報2210の内容を維持し、病歴の項目2221はパーソナル情報1510の内容となる。
結合性評価部2002は、この統合パーソナル情報2220が、提供履歴記憶部2004の匿名化されたパーソナル情報1510及び現在匿名化中のパーソナル情報2210に対して匿名性を有するか否かを評価する。統合パーソナル情報2220が匿名性を有すれば、結合性評価部2002は、統合パーソナル情報2220を匿名化されたパーソナル情報として、提供履歴記憶部2004に記憶し、情報利用者に提供する。匿名性を有しない場合は、結合性評価部2002は、さらに匿名化処理を行なうよう匿名化処理部204に指示する。
(図18の優先度2までの匿名化ポリシの結合)
図23Aは、図22A及び図22Bでは匿名性を有しない場合の匿名化処理の結合を示す図である。図23Aでは、匿名化ポリシ1800の優先度2を最後まで実行し、第3パーソナル情報として図19Aの匿名化結果のパーソナル情報1920を得る。この時は、統合パーソナル情報2310となる。
図23Bは、図23Aでは抽象度で示した、具体的な匿名化処理結果の変化を示す図である。図23Bの参照番号は、図23Aの匿名化結果のパーソナル情報に対する参照番号に対応している。匿名化ポリシ1000で既に匿名化されたパーソナル情報1510と、匿名化ポリシ1800で優先度2まで匿名化されたパーソナル情報1920と、が統合されて、統合パーソナル情報2310が生成される。統合パーソナル情報2310では、年齢項目2311が図22Bの年代のみから「未成人/成人/高齢」に匿名化されている。
結合性評価部2002は、この統合パーソナル情報2310が、提供履歴記憶部2004の匿名化されたパーソナル情報1510及び現在匿名化中のパーソナル情報1920に対して匿名性を有するか否かを評価する。本例では匿名性を有するとして、統合パーソナル情報2310が匿名化されたパーソナル情報として、提供履歴記憶部2004に記憶され、情報利用者に提供される。
図24は、図22Bの統合パーソナル情報2220から図23Bの統合パーソナル情報2310への変化を示す図である。本例では、統合パーソナル情報2220では匿名性を有しないが、統合パーソナル情報2310となれば匿名性を有するものとなる。
[第6実施形態]
上記第2乃至第5実施形態では、情報処理装置が集中的に情報提供者からのパーソナル情報の保持、匿名化、情報利用者への匿名化したパーソナル情報の提供を実行する構成を説明した。第6実施形態では、情報提供者からのパーソナル情報の保持、匿名化、情報利用者への匿名化したパーソナル情報の提供、をそれぞれ、あるいはその一部を分散処理する構成を示す。本実施形態によれば、情報提供者からのパーソナル情報の蓄積と、匿名化装置として特化した情報処理装置とを分離することで、匿名化処理を広範囲に適用可能となる。
図25は、匿名化装置として特化した情報処理装置2501を含む情報処理システム2500の構成を示す図である。
情報処理システム2500は、ネットワーク2504を介して接続された、匿名化装置として特化した情報処理装置2501と、パーソナル情報を蓄積する情報蓄積装置2502と、パーソナル情報の入出力をする通信端末機器類2503とを具備する。情報蓄積装置2502はLANを介して入出力端末2505からパーソナル情報を受信してもよい。図25の情報処理システム2500では、情報提供者及び情報利用者は通信端末機器類2503を使用して入出力を行なう。入力されたパーソナル情報は、それぞれの情報蓄積装置2502でパーソナル情報取得がされてパーソナル情報記憶部に蓄積される。通信端末機器類2503を使用して要求された、いずれかの情報蓄積装置2502のパーソナル情報は、情報処理装置2501に送られて匿名化された上で、通信端末機器類2503から匿名化情報出力により使用している情報利用者に提供される。
[他の実施形態]
以上、本発明の実施形態について詳述したが、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステム又は装置も、本発明の範疇に含まれる。
また、本発明は、複数の機器から構成されるシステムに適用されても良いし、単体の装置に適用されても良い。さらに、本発明は、実施形態の機能を実現する制御プログラムが、システム或いは装置に直接或いは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされる制御プログラム、或いはそのプログラムを格納した媒体、その制御プログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。
[実施形態の他の表現]
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置であって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
を含む情報処理装置。
(付記2)
情報提供者から提供されたパーソナル情報を記憶するパーソナル情報記憶手段を備える付記1に記載の情報処理装置。
(付記3)
前記匿名性評価手段は、前記匿名化処理手段によって匿名化処理が適用されたパーソナル情報が、他の情報提供者から提供されたパーソナル情報と区別できないこと、前記匿名化処理手段によって匿名化されたパーソナル情報から情報提供者が誰であるか判別できないこと、または、匿名化処理手段によって匿名化されたパーソナル情報から情報提供者の属性が分からないことを持って匿名性を有すると判断する付記1または2に記載の情報処理装置。
(付記4)
前記匿名化処理手段によって匿名化処理を適用したパーソナル情報を記憶する匿名化情報記憶手段を備え、
前記匿名化処理手段は、前記匿名性評価手段が前記匿名化処理を適用したパーソナル情報が匿名性を有しないと判断した場合に、前記匿名化情報記憶手段に記憶されたパーソナル情報に対して、さらに優先度の高い匿名化処理を適用する付記1乃至3のいずれか1項に記載の情報処理装置。
(付記5)
前記匿名化ポリシに含まれる各匿名化処理は、前記パーソナル情報に関連付け可能な前記少なくとも1つの項目の有無、該項目の抽象度のレベル、該項目の正確性のレベルのいずれかを表わす指標と、該指標に基づいて設定された前記匿名化処理の優先度とを含む付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
複数の前記項目の各項目の有無、各項目の抽象度のレベル、各項目の正確性のレベルのいずれかを表わす指標を各項目に対応付けて記憶する項目規定記憶手段と、
複数の項目に対する匿名化を含む匿名化処理から、予め定められた項目の匿名化を選択し、前記匿名化処理手段に提供する項目限定選択手段と、
を備える付記5に記載の情報処理装置。
(付記7)
前記匿名化ポリシ提供手段は、前記情報利用者に対応付けられた匿名化ポリシを記憶する匿名化ポリシ記憶手段を有し、前記情報利用者に対応して前記匿名化ポリシ記憶手段から読み出した匿名化ポリシを提供する付記1乃至6のいずれか1項に記載の情報処理装置。
(付記8)
前記匿名性評価手段は、前記匿名化ポリシに含まれる前記複数の匿名化処理の適用によってもパーソナル情報が匿名性を有しないと判断した場合に、その旨を前記情報利用者に通知する通知手段を有し、
前記匿名化ポリシ提供手段は、前記通知手段の通知に応答して前記情報利用者から提供された匿名化ポリシを提供する付記1乃至7のいずれか1項に記載の情報処理装置。
(付記9)
前記匿名性評価手段が匿名性を有すると判断した場合の匿名化処理の組を履歴として記憶する履歴記憶手段と、
前記匿名性評価手段が前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、現在の匿名化処理の組と前記履歴記憶手段に記憶された匿名化処理の組とを組み合わせて、新たな匿名化処理の組からなる匿名化ポリシを生成する生成手段とを備え、
前記匿名化処理手段は、前記生成手段が生成した匿名化ポリシの前記新たな匿名化処理の組を前記パーソナル情報に適用する付記1乃至8のいずれか1項に記載の情報処理装置。
(付記10)
前記匿名化処理は、前記パーソナル情報に対する汎化、切落し、分離、置換、摂動を含む付記1乃至9のいずれか1項に記載の情報処理装置。
(付記11)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御方法であって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供し、
前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択し、
前記匿名化処理の選択順に前記複数の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用し、
前記匿名化処理が適用されたパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する
情報処理装置の制御方法。
(付記12)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御プログラムであって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する処理と、
前記匿名化ポリシの提供によって提供される匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する処理と、
前記匿名化処理の選択順に前記複数の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する処理と、
前記匿名化処理が適用されたパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する処理と、
をコンピュータに実行させる制御プログラム。
(付記13)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理システムであって、
前記パーソナル情報を取得するパーソナル情報取得手段と、
前記取得したパーソナル情報を記憶するパーソナル情報記憶手段と、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、前記パーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力手段と、
を含む情報処理システム。
(付記14)
個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化するパーソナル情報の匿名化方法であって、
前記パーソナル情報を取得するパーソナル情報取得ステップと、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供ステップと、
前記匿名化ポリシ提供ステップにおいて提供する匿名化ポリシに含まれる前記複数の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択ステップと、
前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、前記取得したパーソナル情報を記憶するパーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理ステップと、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価ステップと、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力ステップと、
を含むパーソナル情報の匿名化方法。
以上、実施の形態を参照して本願発明を説明したが、本願発明は以上の実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で同業者が理解し得る様々な変更をすることができる。
この出願は、2010年11月16日に出願された日本出願特願2010−256045を基礎とする優先権を主張し、その開示の全てをここに取り込む。
Claims (10)
- 個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置であって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
を含む情報処理装置。 - 前記匿名化処理手段によって匿名化処理を適用したパーソナル情報を記憶する匿名化情報記憶手段を備え、
前記匿名化処理手段は、前記匿名性評価手段が前記匿名化処理を適用したパーソナル情報が匿名性を有しないと判断した場合に、前記匿名化情報記憶手段に記憶されたパーソナル情報に対して、さらに優先度の高い匿名化処理を適用する、請求項1に記載の情報処理装置。 - 前記匿名化ポリシに含まれる各匿名化処理は、前記パーソナル情報に関連付け可能な前記少なくとも1つの項目の有無、該項目の抽象度のレベル、該項目の正確性のレベルのいずれかを表わす指標と、該指標に基づいて設定された前記匿名化処理の優先度とを含む請求項1または2に記載の情報処理装置。
- 複数の前記項目の各項目の有無、各項目の抽象度のレベル、各項目の正確性のレベルのいずれかを表わす指標を各項目に対応付けて記憶する項目規定記憶手段と、
複数の項目に対する匿名化を含む匿名化処理から、予め定められた項目の匿名化を選択し、前記匿名化処理手段に提供する項目限定選択手段と、
を、さらに備える請求項3に記載の情報処理装置。 - 前記匿名性評価手段は、前記匿名化ポリシに含まれる前記複数の匿名化処理の適用によってもパーソナル情報が匿名性を有しないと判断した場合に、その旨を前記情報利用者に通知する通知手段を有し、
前記匿名化ポリシ提供手段は、前記通知手段の通知に応答して前記情報利用者から提供された匿名化ポリシを提供する請求項1乃至4のいずれか1項に記載の情報処理装置。 - 前記匿名性評価手段が匿名性を有すると判断した場合の匿名化処理の組を履歴として記憶する履歴記憶手段と、
前記匿名性評価手段が前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、現在の匿名化処理の組と前記履歴記憶手段に記憶された匿名化処理の組とを組み合わせて、新たな匿名化処理の組からなる匿名化ポリシを生成する生成手段とを備え、
前記匿名化処理手段は、前記生成手段が生成した匿名化ポリシの前記新たな匿名化処理の組を前記パーソナル情報に適用する請求項1乃至5のいずれか1項に記載の情報処理装置。 - 個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御方法であって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供し、
前記優先度が付加された匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択し、
前記匿名化処理の選択順に前記複数の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用し、
前記匿名化処理が適用されたパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する
情報処理装置の制御方法。 - 個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理装置の制御プログラムであって、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する処理と、
前記匿名化ポリシの提供によって提供される匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する処理と、
前記匿名化処理の選択順に前記複数の匿名化処理を、情報利用者が利用する前記パーソナル情報に適用する処理と、
前記匿名化処理が適用されたパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する処理と、
をコンピュータに実行させる制御プログラム。 - 個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化する情報処理システムであって、
前記パーソナル情報を取得するパーソナル情報取得手段と、
前記取得したパーソナル情報を記憶するパーソナル情報記憶手段と、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供手段と、
前記匿名化ポリシ提供手段が提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択手段と、
前記匿名化処理選択手段によって選択された順に前記複数種類の匿名化処理を、前記パーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理手段と、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価手段と、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力手段と、
を含む情報処理システム。 - 個人と連結可能なパーソナル情報を利用する場合に前記パーソナル情報を匿名化するパーソナル情報の匿名化方法であって、
前記パーソナル情報を取得するパーソナル情報取得ステップと、
前記パーソナル情報に関連付け可能な少なくとも1つの項目に対して匿名性を高めるための複数種類の匿名化処理を含み、前記複数種類の匿名化処理のそれぞれに優先度が付加された匿名化ポリシを提供する匿名化ポリシ提供ステップと、
前記匿名化ポリシ提供ステップにおいて提供する匿名化ポリシに含まれる前記複数種類の匿名化処理を適用する場合に、前記優先度の低い匿名化処理から前記優先度の高い匿名化処理を順に選択する匿名化処理選択ステップと、
前記匿名化処理選択ステップにおいて選択された順に前記複数種類の匿名化処理を、前記取得したパーソナル情報を記憶するパーソナル情報記憶手段に記憶されたパーソナル情報のうち、情報利用者が利用するパーソナル情報に適用する匿名化処理ステップと、
前記匿名化処理を適用したパーソナル情報が匿名性を有すると判断した場合に、当該匿名化処理までの匿名化処理を適用した前記パーソナル情報を前記情報利用者に提供する匿名性評価ステップと、
前記情報利用者に提供された前記パーソナル情報を出力する匿名化情報出力ステップと、
を含むパーソナル情報の匿名化方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012544314A JP5979004B2 (ja) | 2010-11-16 | 2011-11-14 | 情報処理システム及び匿名化方法 |
| US13/884,207 US8918894B2 (en) | 2010-11-16 | 2011-11-14 | Information processing system, anonymization method, information processing device, and its control method and control program |
| EP11841533.0A EP2642405B1 (en) | 2010-11-16 | 2011-11-14 | Information processing system and anonymizing method |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010256045 | 2010-11-16 | ||
| JP2010-256045 | 2010-11-16 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2012067213A1 true WO2012067213A1 (ja) | 2012-05-24 |
Family
ID=46084133
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2011/076610 WO2012067213A1 (ja) | 2010-11-16 | 2011-11-14 | 情報処理システム及び匿名化方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8918894B2 (ja) |
| EP (1) | EP2642405B1 (ja) |
| JP (1) | JP5979004B2 (ja) |
| WO (1) | WO2012067213A1 (ja) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013183250A1 (ja) * | 2012-06-04 | 2013-12-12 | 日本電気株式会社 | 匿名化を行う情報処理装置及び匿名化方法 |
| JP2014011503A (ja) * | 2012-06-27 | 2014-01-20 | Fujitsu Ltd | 秘匿化装置、秘匿化プログラムおよび秘匿化方法 |
| JP2014044528A (ja) * | 2012-08-24 | 2014-03-13 | Kddi Corp | ユーザ非特定情報の提供記録を通知するユーザ情報管理装置、プログラム及び方法 |
| JP2014199589A (ja) * | 2013-03-29 | 2014-10-23 | ニフティ株式会社 | 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム |
| WO2014185043A1 (ja) * | 2013-05-15 | 2014-11-20 | 日本電気株式会社 | 情報処理装置、情報匿名化方法、及び、記録媒体 |
| WO2014203402A1 (ja) * | 2013-06-21 | 2014-12-24 | 楽天株式会社 | 情報提供装置、情報提供方法及びプログラム |
| WO2015170531A1 (ja) * | 2014-05-08 | 2015-11-12 | 学校法人慶應義塾 | 匿名化システム、発行装置及びプログラム |
| JP2018516398A (ja) * | 2015-03-26 | 2018-06-21 | ノキア ソリューションズ アンド ネットワークス オサケユキチュア | 通信におけるデータ検出の最適化 |
| JP2019511800A (ja) * | 2016-03-29 | 2019-04-25 | ロケーティー アーゲー | 機能施設の使用をモニタリングするための装置、システムおよび方法 |
| JP2019069174A (ja) * | 2018-12-11 | 2019-05-09 | Hoya株式会社 | 内視鏡プロセッサ及び情報管理方法 |
| JP7363662B2 (ja) | 2020-04-28 | 2023-10-18 | 富士通株式会社 | 生成方法,情報処理装置及び生成プログラム |
| JP7380183B2 (ja) | 2019-12-23 | 2023-11-15 | 日本電気株式会社 | 匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラム |
| US11893147B2 (en) | 2016-03-11 | 2024-02-06 | Limbic Life Ag | Occupant support device and system for controlling objects |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9898620B2 (en) * | 2012-09-28 | 2018-02-20 | Panasonic Intellectual Property Management Co., Ltd. | Information management method and information management system |
| JP5747012B2 (ja) * | 2012-10-26 | 2015-07-08 | 株式会社東芝 | 匿名化データ変更システム |
| US10242230B1 (en) * | 2016-07-29 | 2019-03-26 | Microsoft Technology Licensing, Llc | Preventing inference attacks by joining on confidential data value |
| JP6484657B2 (ja) * | 2017-03-17 | 2019-03-13 | 新日鉄住金ソリューションズ株式会社 | 情報処理装置、情報処理方法及びプログラム |
| US11188678B2 (en) * | 2018-05-09 | 2021-11-30 | Fujitsu Limited | Detection and prevention of privacy violation due to database release |
| KR102254295B1 (ko) * | 2019-04-15 | 2021-05-21 | 주식회사 파수 | 비식별 컴플라이언스를 지원하는 비식별화 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체 |
| US11960623B2 (en) * | 2020-03-27 | 2024-04-16 | EMC IP Holding Company LLC | Intelligent and reversible data masking of computing environment information shared with external systems |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060123461A1 (en) * | 2004-12-02 | 2006-06-08 | Xerox Corporation | Systems and methods for protecting privacy |
| JP2009087216A (ja) | 2007-10-02 | 2009-04-23 | Fuji Xerox Co Ltd | 操作制限情報設定装置およびプログラム |
| JP2009146121A (ja) | 2007-12-13 | 2009-07-02 | Fuji Xerox Co Ltd | 文書編集装置、および文書編集方法、並びにコンピュータ・プログラム |
| JP2010086179A (ja) * | 2008-09-30 | 2010-04-15 | Oki Electric Ind Co Ltd | 情報処理装置、コンピュータプログラムおよび記録媒体 |
| JP2010256045A (ja) | 2009-04-21 | 2010-11-11 | Taisei Corp | 広域・高精度人体検知センサ |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003021473A1 (en) * | 2001-08-30 | 2003-03-13 | Privasource, Inc. | Data source privacy screening systems and methods |
| US8635679B2 (en) * | 2005-12-08 | 2014-01-21 | Webler Solutions, Llc | Networked identity framework |
| DE102006021371B4 (de) * | 2006-05-08 | 2008-04-17 | Siemens Ag | Verfahren zur reversiblen Anonymisierung vertraulicher Datenteile und eine entsprechende Datenstruktur |
| JP5199143B2 (ja) * | 2009-02-05 | 2013-05-15 | 技研商事インターナショナル株式会社 | 秘匿集計システム |
| JP5757241B2 (ja) * | 2009-10-09 | 2015-07-29 | 日本電気株式会社 | 情報管理装置、そのデータ処理方法、およびコンピュータプログラム |
-
2011
- 2011-11-14 JP JP2012544314A patent/JP5979004B2/ja active Active
- 2011-11-14 WO PCT/JP2011/076610 patent/WO2012067213A1/ja active Application Filing
- 2011-11-14 US US13/884,207 patent/US8918894B2/en active Active
- 2011-11-14 EP EP11841533.0A patent/EP2642405B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060123461A1 (en) * | 2004-12-02 | 2006-06-08 | Xerox Corporation | Systems and methods for protecting privacy |
| JP2009087216A (ja) | 2007-10-02 | 2009-04-23 | Fuji Xerox Co Ltd | 操作制限情報設定装置およびプログラム |
| JP2009146121A (ja) | 2007-12-13 | 2009-07-02 | Fuji Xerox Co Ltd | 文書編集装置、および文書編集方法、並びにコンピュータ・プログラム |
| JP2010086179A (ja) * | 2008-09-30 | 2010-04-15 | Oki Electric Ind Co Ltd | 情報処理装置、コンピュータプログラムおよび記録媒体 |
| JP2010256045A (ja) | 2009-04-21 | 2010-11-11 | Taisei Corp | 広域・高精度人体検知センサ |
Non-Patent Citations (5)
| Title |
|---|
| "Infomation Grand Voyage Project-Consortium", KOJIN JOHO TOKUMEIKA KIBAN NO KOCHIKU USER'S MANUAL, 23 February 2009 (2009-02-23), XP008172388 * |
| BENITEZ K. ET AL.: "Beyond Safe Harbor: Automatic Discovery of Health Information De-identification Policy Alternatives", PROCEEDINGS OF THE 1ST ACM INTERNATIONAL HEALTH INFORMATICS SYMPOSIUM (IHI '10), 11 November 2010 (2010-11-11) - 12 November 2010 (2010-11-12), pages 163 - 172, XP055087562 * |
| BHUMIRATANA B. ET AL.: "Privacy Aware Data Sharing: Balancing the Usability and Privacy of Datasets", PROCEEDINGS OF THE 2ND INTERNATIONAL CONFERENCE ON PERVASIVE TECHNOLOGIES RELATED TO ASSISTIVE ENVIRONMENTS (PETRA '09), 9 June 2009 (2009-06-09) - 13 June 2009 (2009-06-13), XP055087566 * |
| FUNG B.C.M. ET AL.: "Privacy-Preserving Data Publishing: A Survey of Recent Developments", ACM COMPUTING SURVEYS, vol. 42, no. 4, June 2010 (2010-06-01), pages 14-1 - 14-53, XP055087546 * |
| See also references of EP2642405A4 * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013183250A1 (ja) * | 2012-06-04 | 2013-12-12 | 日本電気株式会社 | 匿名化を行う情報処理装置及び匿名化方法 |
| JP2014011503A (ja) * | 2012-06-27 | 2014-01-20 | Fujitsu Ltd | 秘匿化装置、秘匿化プログラムおよび秘匿化方法 |
| JP2014044528A (ja) * | 2012-08-24 | 2014-03-13 | Kddi Corp | ユーザ非特定情報の提供記録を通知するユーザ情報管理装置、プログラム及び方法 |
| JP2014199589A (ja) * | 2013-03-29 | 2014-10-23 | ニフティ株式会社 | 匿名情報配信システム、匿名情報配信方法及び匿名情報配信プログラム |
| WO2014185043A1 (ja) * | 2013-05-15 | 2014-11-20 | 日本電気株式会社 | 情報処理装置、情報匿名化方法、及び、記録媒体 |
| WO2014203402A1 (ja) * | 2013-06-21 | 2014-12-24 | 楽天株式会社 | 情報提供装置、情報提供方法及びプログラム |
| CN105378746A (zh) * | 2013-06-21 | 2016-03-02 | 乐天株式会社 | 信息提供装置、信息提供方法及程序 |
| JPWO2014203402A1 (ja) * | 2013-06-21 | 2017-02-23 | 楽天株式会社 | 情報提供装置、情報提供方法及びプログラム |
| US10303897B2 (en) | 2014-05-08 | 2019-05-28 | Keio University | Anonymization system, issuance device, and storage medium |
| WO2015170531A1 (ja) * | 2014-05-08 | 2015-11-12 | 学校法人慶應義塾 | 匿名化システム、発行装置及びプログラム |
| JP2015215676A (ja) * | 2014-05-08 | 2015-12-03 | 学校法人慶應義塾 | 匿名化システム、発行装置及びプログラム |
| JP2018516398A (ja) * | 2015-03-26 | 2018-06-21 | ノキア ソリューションズ アンド ネットワークス オサケユキチュア | 通信におけるデータ検出の最適化 |
| US11893147B2 (en) | 2016-03-11 | 2024-02-06 | Limbic Life Ag | Occupant support device and system for controlling objects |
| JP2019511800A (ja) * | 2016-03-29 | 2019-04-25 | ロケーティー アーゲー | 機能施設の使用をモニタリングするための装置、システムおよび方法 |
| US10600013B2 (en) | 2016-03-29 | 2020-03-24 | Locatee Ag | Device, system and method for monitoring usage of functional facilities |
| JP2020194549A (ja) * | 2016-03-29 | 2020-12-03 | ロケーティー アーゲー | 機能施設の使用をモニタリングするための装置、システムおよび方法 |
| US11386372B2 (en) | 2016-03-29 | 2022-07-12 | Locatee Ag | Device, system and method for monitoring usage of functional facilities |
| JP7150353B2 (ja) | 2016-03-29 | 2022-10-11 | ロケーティー アーゲー | 機能施設の使用をモニタリングするための装置、システムおよび方法 |
| JP2019069174A (ja) * | 2018-12-11 | 2019-05-09 | Hoya株式会社 | 内視鏡プロセッサ及び情報管理方法 |
| JP7380183B2 (ja) | 2019-12-23 | 2023-11-15 | 日本電気株式会社 | 匿名性劣化情報出力防止装置、匿名性劣化情報出力防止方法および匿名性劣化情報出力防止プログラム |
| JP7363662B2 (ja) | 2020-04-28 | 2023-10-18 | 富士通株式会社 | 生成方法,情報処理装置及び生成プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5979004B2 (ja) | 2016-08-24 |
| US8918894B2 (en) | 2014-12-23 |
| US20130239226A1 (en) | 2013-09-12 |
| EP2642405B1 (en) | 2019-05-22 |
| EP2642405A1 (en) | 2013-09-25 |
| JPWO2012067213A1 (ja) | 2014-05-19 |
| EP2642405A4 (en) | 2017-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5979004B2 (ja) | 情報処理システム及び匿名化方法 | |
| US5778365A (en) | File management device | |
| JP5535203B2 (ja) | 子ノード及び親ノードについてのメトリック値を特定することによるデータ品質トラッキング | |
| TWI454931B (zh) | 專用介面工具集內通訊系統及方法 | |
| US9575843B2 (en) | Managing back up sets based on user feedback | |
| AU2006234977B2 (en) | Enterprise software system having multidimensional XBRL engine | |
| US20030188198A1 (en) | Inheritance of controls within a hierarchy of data processing system resources | |
| US20150113134A1 (en) | Monitoring entitlement usage in an on-demand system | |
| WO2011142327A1 (ja) | 情報処理装置、制御方法及びプログラム | |
| CA2735065A1 (en) | Systems and methods for creating a form for receiving data relating to a health care incident | |
| US20090182739A1 (en) | Using metadata to route documents | |
| CN105431815B (zh) | 用于数据库工作负荷的输入-输出优先化 | |
| US7774373B2 (en) | Method and system for implementing multiple web services for a service query | |
| JP2020052876A (ja) | 情報処理プログラム、情報管理プログラム、装置、及び方法 | |
| JPWO2012127757A1 (ja) | 履歴収集装置、推薦装置、履歴収集方法、およびプログラム | |
| US20140081910A1 (en) | Method and apparatus for document updating | |
| CN108647308A (zh) | 分布式系统的序列号生成方法及装置 | |
| WO2014185043A1 (ja) | 情報処理装置、情報匿名化方法、及び、記録媒体 | |
| JP2021018514A (ja) | サーバー装置、データ管理システム、およびデータ管理方法 | |
| JP5186808B2 (ja) | 情報処理装置及びプログラム | |
| JP4300149B2 (ja) | 現場監視システム、現場監視方法及び現場監視プログラム | |
| US20030204538A1 (en) | Project management system | |
| Alsaig et al. | Storing and managing context and context history | |
| Saleh et al. | Management of Users' Privacy Preferences in Context | |
| Abel et al. | User Modeling and User Profile Exchange for SemanticWeb Applications. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 11841533 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 13884207 Country of ref document: US |
|
| ENP | Entry into the national phase |
Ref document number: 2012544314 Country of ref document: JP Kind code of ref document: A |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2011841533 Country of ref document: EP |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |