WO2012090628A1

WO2012090628A1 - 情報保護装置及び情報保護方法

Info

Publication number: WO2012090628A1
Application number: PCT/JP2011/077162
Authority: WO
Inventors: 翼高橋
Original assignee: 日本電気株式会社
Priority date: 2010-12-27
Filing date: 2011-11-25
Publication date: 2012-07-05
Also published as: JP5846548B2; US20130269038A1; JPWO2012090628A1; CA2821438A1; US9087203B2

Abstract

　位置情報がリアルタイムに追加されていく場合において、移動軌跡の匿名性を確保するとともに、位置情報に含まれる測位データの抽象度が高くなりすぎることを抑制する。第１の測位時間の匿名情報が所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第１の測位時間より前の第２の測位時間の匿名情報のグループを２つ以上のグループに分割し、分割されたグループにより抽象化された第１の測位時間の測位データを含む匿名情報を生成し、第２の測位時間の匿名情報と対応づけて匿名情報記憶部に格納する。

Description

情報保護装置及び情報保護方法

　本発明は、情報保護装置及び情報保護方法に関する。

　近年、携帯端末や自動車に搭載されたＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）や無線ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）等によって測位される測位データを含む位置情報の利用が様々な場面で増加している。さらに、位置情報を定期的に取得し、携帯端末や自動車のユーザの移動軌跡や行動履歴を記録するサービスが増加している。

　位置情報は、自宅や勤務先、通学先等、ユーザを特定可能な情報のほかに、趣味や通院先等の他人に知られたくない情報を含む可能性がある。そのため、位置情報はプライバシ性が高い情報である。また、位置情報の時系列情報である移動軌跡は、個人のプライバシ性の高い場所への経路や滞在、不在を表すことがあり、ユーザの特定可能性は単独の位置情報よりも高い。さらに、サービス提供者やデータ解析者による移動軌跡のリアルタイムな利用によって、ユーザは常に追跡や監視といった脅威に晒される。そのため、移動軌跡は非常にプライバシ性の高いプライバシ情報である。そこで、このようなプライバシ情報をサービス提供者やデータ解析者に提供する際には、匿名化によって匿名性を確保することが求められる。

　匿名化とは、ユーザを特定できないようにプライバシ情報を加工する処理である。ユーザを特定できない度合を示す指標を匿名性指標と呼ぶ。既存の匿名性指標として、ｋ匿名性（ｋ－ａｎｏｎｙｍｉｔｙ）がよく知られている。プライバシ情報の中で、ユーザを一意に識別することが可能な識別子ではないが、背景知識等を考慮するとユーザを識別する可能性がある情報は、準識別子（間接識別子）と呼ばれる。また、ユーザが知られたくない情報はセンシティブ情報と呼ばれる。ｋ匿名性は、準識別子の匿名化によって、同じ準識別子を持つセンシティブ情報がｋ個以上存在することを保証する指標である。ｋ匿名性を保証することで、ユーザが特定される可能性が１／ｋ以下となり、ユーザの特定を困難にすることができる。

　図１３のような患者の病状記録を例に挙げる。図１３の病状記録では、患者の病状が患者の名前、性別、職業、年齢と共に記録されている。病状はセンシティブ情報であり、プライバシ性の高い情報である。名前は個人を一意に識別する識別子であり、性別、職業、年齢は個人を識別する可能性のある準識別子である。例えば、患者の名前が分からなくても、職業と年齢の組合せに基づいて患者を推定することができる場合がある。つまり、たとえ患者の名前を伏せた状態であっても、患者の職業と年齢を知る人に、その患者の病状を知られてしまう可能性がある。これを回避するために、職業と年齢を抽象化したものが図１４である。図１４は、図１３の病状記録をｋ＝２のｋ匿名性が保証されるように、匿名化を行った匿名情報である。図１４の匿名情報では、職業と年齢が分かったとしても、すべての職業と年齢の組合せについて２通り以上の病状が存在する。これによって、患者の職業と年齢を知る人であっても、患者の病状を正確に知ることはできない。なお、匿名性の指標としては、ｋ匿名性以外にも、ｌ多様性やｔ近接性、ｍ不変性等が知られている。

O. Abul，F. Bonchi，M. Nanni著，「Never Walk Alone: Uncertainty for Anonymity in Moving Objects Databases」，Proceedings of The 24th International Conference on Data Engineering, IEEE，2008年4月，p. 376-385

　ところで、位置情報や移動軌跡は、上述のような情報とは性質が異なる。位置情報の測位データは特定の場所を指し示す情報である。測位データが誰にとってもプライバシ性の高い場所を示す場合もあるが、一般的に、特定の測位データのプライバシ性は紐づくユーザによって異なる。測位データが病院や自宅などの場所を示していたとしても、ユーザと測位データが紐づいただけでは、どんな意味を持つ場所かを推測することは困難である。一方、移動軌跡のように連続する測位データからは、滞在している時間帯や、その長さといった情報が得られる。このような情報からは、測位データの指し示す場所の意味を推測することが可能である。そして、推測した情報にもとづいてユーザを特定することが可能となる。したがって、移動軌跡を構成する測位データは準識別子であると同時に、センシティブ情報でもあると考えることができる。

　図１５は、位置情報にｋ匿名化を施した情報である。各点が位置情報の測位データを表し、楕円が楕円内に包含される位置情報の測位データを抽象化することによって位置情報を匿名化して得られる匿名情報である。図１５では、ｋ＝４のｋ匿名性が保証されており、ユーザの正確な位置はわからない。

　また、前述した位置情報の持つ特徴に加えて、移動軌跡はユーザの生活の実態を表すという特徴を持つ。ユーザと移動軌跡が紐づけられることで、そのユーザにとってプライバシ性の高い場所を含むすべての行き先・滞在先が露わになる。また、行動の監視や追跡をされる危険性がある。そのため、移動軌跡のプライバシ性は単独の位置情報や、単なる複数の位置情報の組合せと比べて、極めて高いプライバシ性を有する。さらに、移動軌跡中のいくつかの位置情報の測位データが露わになるだけで、ユーザの特定が可能な場合がある。例えば、自宅の場所や勤務先、最寄駅等の情報は、同僚や友人に知られていることが多い。そのため、移動軌跡の中にこれらの場所の測位データが含まれていると、移動軌跡が紐づくユーザが特定されてしまい、これらの場所以外の通院先や嗜好を明確にするような場所といったプライバシ情報が流出してしまうおそれがある。

　そこで、ユーザと移動軌跡の紐づけを困難にするために移動軌跡の匿名化が行われる。ｋ匿名性を保証するためには、ｋ個以上の移動軌跡を含むように匿名化された移動軌跡を生成する必要がある。図１６は、移動軌跡を匿名化した例を示す図である。図１６では、４個の移動軌跡を包含するようにチューブ状の移動軌跡が生成されている。このように移動軌跡とユーザとの対応付けを曖昧にした情報を匿名情報と呼ぶ。対象となる移動軌跡は移動軌跡の始点から終点までの全区間において匿名情報に包含される。そのため、匿名情報内の特定の時間における位置情報も常にｋ匿名性が満たされている。つまり、図１６に示される匿名情報は、ｋ匿名性（ｋ＝４）を満たしている。

　非特許文献１には、匿名情報による匿名化手法の一例が開示されている。非特許文献１は、蓄積された移動軌跡に対する匿名化の手法を示した論文であり、（ｋ，δ）－ａｎｏｎｙｍｉｔｙという匿名性指標を用い、データベースに蓄積された静的な移動軌跡をチューブ状に汎化する匿名化手法が提案されている。これは移動軌跡の始点と終点が明らかなデータに対して、移動軌跡間の距離が近いものをグループ化して抽象化することで匿名化を行う手法である。静的な移動軌跡に対するｋ匿名性の保証とは、始点－終点間で一貫してｋ個以上の移動軌跡が同じグループ（匿名情報）に含まれることを保証することである。これによって、ユーザの移動軌跡中のある１つの滞在地点が分かったとしても、どの移動軌跡であるかを特定することはできない。移動軌跡の集合は、緯度・経度とそれらを測位した時間の３次元空間においてチューブ状に抽象化され、匿名情報として出力される。

　図１６に示した匿名化の手法は、あらかじめ決まった期間の移動軌跡に対する匿名化には有効であるが、位置情報が時々刻々と追加されるような移動軌跡をリアルタイムに匿名化するには必ずしも有効ではない。このような環境では、未知の位置情報が定期的に到着することによって移動軌跡が時間軸上に伸長（増加）していく。そのため、匿名性を保証しながら移動軌跡をリアルタイムに利用するためには、移動軌跡の増分に対するリアルタイムな匿名化が必要となる。このような匿名化を行う場合、既に匿名化された結果を考慮したうえで増分に対する匿名化を行う必要がある。これは、静的な移動軌跡に対する匿名化と同様に、複数の位置情報の組み合わせを利用することによるユーザと移動軌跡の対応付けを困難にするためである。図１６に示した匿名化の手法は、蓄積済の移動軌跡に対して匿名化を行うものであり、移動軌跡の増分に対する匿名化は想定されていない。特に、図１６に示した匿名化の手法は、始点と終点間の全経路において匿名性を満たすように一度に匿名化を行う巨視的なものであり、移動軌跡の増分のように局所的な位置情報を対象とするものではない。

　そのため、新たに到着した増分に対して図１６に示した匿名化の手法を適用する場合、増分データとそれ以前のデータをそれぞれ終点および始点と捉えた短い経路に対して匿名化を行うことが想定される。このようなときにｋ匿名性を保証するには、以前に匿名化した匿名情報と少なくともｋ個以上の同じ移動軌跡を用いて匿名情報を構成する必要がある。

　ところで、ユーザは、それぞれ個々人の思考で行動し、移動する。そのため、過去のある時点において移動軌跡が隣接していたユーザが、将来も同じように隣接した移動軌跡を辿り続けるとは言い難い。そのため、図１６に示した匿名化の手法では、時間の経過に伴って、匿名情報を形成する移動軌跡同士の地理的類似度は低くなり、匿名情報の抽象度が徐々に高くなっていくことが想定される。つまり、常に同じ移動軌跡の組合せから匿名情報を構成すると、移動軌跡に含まれる位置情報の測位データが過度に抽象化されてしまい、意味のない情報となってしまうことがある。また、過去に匿名化した移動軌跡を考慮せずに、異なる時間間隔の移動軌跡をそれぞれ独立して匿名化を行うと匿名性を担保できない。

　本発明はこのような事情に鑑みてなされたものであり、位置情報がリアルタイムに追加されていく場合において、移動軌跡の匿名性を確保するとともに、位置情報に含まれる測位データの抽象度が高くなりすぎることを抑制することを目的とする。

　本発明の一側面に係る情報保護装置は、ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を記憶する移動軌跡記憶部と、測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化された測位データを、複数のユーザの移動軌跡の識別子及び測位時間と対応づけて匿名情報として記憶する匿名情報記憶部と、移動軌跡記憶部を参照し、匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、複数のユーザの位置情報について、匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、匿名情報記憶部に記憶されている匿名情報と対応づけて匿名情報記憶部に格納する増分抽象化部と、第１の測位時間の匿名情報が所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第１の測位時間より前の第２の測位時間の匿名情報のグループを２つ以上のグループに分割し、分割されたグループにより抽象化された第１の測位時間の測位データを含む匿名情報を生成し、第２の測位時間の匿名情報と対応づけて匿名情報記憶部に格納する分割部と、を備える。

　なお、本発明において、「部」とは、単に物理的手段を意味するものではなく、その「部」が有する機能をソフトウェアによって実現する場合も含む。また、１つの「部」や装置が有する機能が２つ以上の物理的手段や装置により実現されても、２つ以上の「部」や装置の機能が１つの物理的手段や装置により実現されても良い。

　本発明によれば、位置情報がリアルタイムに追加されていく場合において、移動軌跡の匿名性を確保するとともに、位置情報に含まれる測位データの抽象度が高くなりすぎることを抑制することができる。

本発明の第１の実施形態である情報保護装置の構成を示す図である。移動軌跡の匿名化の一例を示す図である。匿名情報の動的再構成の一例を示す図である。匿名情報の構成の一例を示す図である。第１の実施形態における匿名化処理の一例を示すフローチャートである。匿名情報の分割の一例を示す図である。匿名情報の合成の一例を示す図である。匿名情報の再構築の一例を示す図である。匿名情報の一例を示す図である。第１の実施形態における匿名情報の推移の一例を示す図である。第２の実施形態における匿名情報の推移の一例を示す図である。第２の実施形態における匿名化処理の一例を示すフローチャートである。患者の病状記録の一例を示す図である。患者の病状記録を匿名化した一例を示す図である。位置情報を匿名化した一例を示す図である。移動軌跡を匿名化した一例を示す図である。

　以下、図面を参照して本発明の一実施形態について説明する。
（第１の実施形態）

　まず、本発明の第１の実施形態について説明する。図１は、本発明の第１の実施形態である情報保護装置の構成を示す図である。

　情報保護装置１０は、位置情報受付部２０、移動軌跡記憶部２２、初期抽象化部２４、匿名情報記憶部２６、増分抽象化部２８、継続可能性評価部３０、分割部３２、合成部３４、再構築部３６、匿名性指標受付部３８、及び継続可能性基準値受付部４０を含んで構成されている。情報保護装置１０は、例えばサーバ等の情報処理装置であり、ＣＰＵやメモリ、記憶装置を含んでいる。そして、移動軌跡記憶部２２及び匿名情報記憶部２６は、メモリや記憶装置上の記憶領域を用いて実現することができる。また、位置情報受付部２０、初期抽象化部２４、増分抽象化部２８、継続可能性評価部３０、分割部３２、合成部３４、再構築部３６、匿名性指標受付部３８、及び継続可能性基準値受付部４０は、メモリに格納されたプログラムをＣＰＵが実行することにより実現することができる。

　情報保護装置１０は、複数のユーザから送信されてくる位置情報の履歴である移動軌跡に対してリアルタイムに匿名化を施し、匿名情報を出力する。情報保護装置１０の各部の詳細な説明の前に、情報保護装置１０における匿名化の概念について説明する。

　図２は、移動軌跡の匿名化の一例を示す図である。ここで、移動軌跡は、複数の位置情報から構成されるユーザ毎の位置情報の時系列情報である。また、各位置情報には、ユーザの位置を示す測位データが含まれている。そのため、ユーザがある日時にある場所にいたことを知っている場合、移動軌跡の閲覧者は、そのユーザがそれ以外にどこに行ったのかを知ることができてしまう可能性がある。そこで、情報保護装置１０は、移動軌跡のｋ匿名性をリアルタイムに保証し、閲覧者が知らない位置情報や移動軌跡が知られてしまうことを抑制する。

　図２の例では、ｋ匿名性（ｋ＝４）を満たすように、ユーザＡ～Ｄの移動軌跡が匿名化（抽象化）されている。図２において、各点はある時刻におけるユーザ毎の位置情報に対応し、位置情報の測位データによって示される位置を表している。そして、点と点をつなぐ矢印は、矢印の始点の位置から終点の位置へ当該ユーザが移動したことを表し、点と矢印の接続関係による連鎖が当該ユーザの移動軌跡を表す。また、楕円は複数の位置情報によって示される位置を含む範囲（エリア）を表す。楕円に含まれる点は、その点を示す位置情報の当該ユーザがそのエリア内に滞在したことを表す。

　図２の例では、時刻ｔ０において、４人のユーザの位置情報が楕円の中に含まれている。これは、４人のユーザの時刻ｔ０における位置情報を、測位データのグループ化（クラスタリング）によって楕円が示すエリアに抽象化することにより、匿名化していることを示している。図２に示すように、４人のユーザの位置情報は、ｋ匿名性（ｋ＝４）を満たすエリアに抽象化される形で匿名化されている。同様に、時刻ｔ１における各ユーザの位置情報もｋ匿名性を満たしている。

　このとき、ｔ１の匿名情報をｔ０の匿名情報を構成するユーザからｋ人以上を選んで構成することで、［ｔ０，ｔ１］間の移動軌跡はｋ匿名性を満たすこととなる。図２では、二つの楕円とその間を結ぶ点線が、その楕円間がｋ匿名性を満たすように匿名化されていることを表している。

　情報保護装置１０は、匿名情報の生成をリアルタイムに行うことができる。例えば、既に時刻ｔ２までの匿名情報が生成されている状態で、さらに、時刻ｔ３の位置情報が追加された場合、情報保護装置１０は、時刻ｔ２までの匿名情報を考慮したうえで時刻ｔ３の位置情報から匿名情報をリアルタイムに生成する。

　図２において、時刻ｔ３における位置情報は、白抜きされた点（白点）で表されている。白点は、各ユーザの位置情報の内、最近測位された位置情報を表している。それ以外の点（以降、黒点）は、白点以前に受信した位置情報であり、既に匿名情報を構成している位置情報である。白点に対する匿名化は、同じユーザの黒点が含まれる匿名情報と同じグループで行うことができる。このように匿名化を行うことで、移動軌跡のｋ匿名性を満たしながら、移動軌跡の新たな増分データ（白点）に対する匿名化を、増分データの到着に合わせてリアルタイムに行うことが可能となる。

　ただし、常に同じ移動軌跡の組合せを用いて匿名情報を構成すると、匿名情報におけるエリアが徐々に広くなってくることが考えられる。つまり、測位データの抽象度が過剰となってしまうことがある。このように、測位データの抽象度が過剰になってしまうと、匿名性を保証することができるものの、情報の損失が大きい位置情報、移動軌跡となってしまい、利用価値の少ない匿名情報となってしまう可能性がある。

　そこで、情報保護装置１０は、匿名情報の分割や合成によって匿名情報を動的に再構成することにより、測位データの抽象度が高くなりすぎることを抑制している。図３は、情報保護装置１０における匿名情報の動的再構成の一例を示す図である。図３に示す例では、左側の匿名情報は、途中で２つに分割されている。また、右側の匿名情報は、途中で別の匿名情報と合成されている。このように匿名情報の分割や合成を行うことにより、分割や合成前よりも測位データの抽象度が高くなりすぎてしまうことが抑制されている。

　なお、測位データの抽象度は、匿名情報の情報量を示すものであり、例えば、エリアの大きさや、エリアに含まれる位置情報の密度により求められる。例えば、広すぎるエリアは利用価値が少なく、匿名情報の情報量が小さいと言うことができる。
　図１に戻り、情報保護装置１０における各部の詳細について説明する。

　位置情報受付部２０は、複数のユーザ端末とネットワークを介して通信可能に接続されている。ユーザ端末は、ＧＰＳや無線ＬＡＮ等による測位機能を有する情報処理装置であり、例えば、携帯端末やカーナビゲーション装置等である。このようなユーザ端末では、定期的に端末の位置を測位し、測位された経度・緯度・高度等の情報を含む測位データに、測位時間やユーザＩＤを付加した位置情報を例えば携帯電話の無線ネットワークを介して位置情報保護装置１０に送信する。位置情報受付部２０はこのように定期的に送信されてくる各ユーザ端末からの位置情報を受信し、移動軌跡記憶部２２に格納する。

　なお、ユーザＩＤは、ユーザを識別可能な情報であり、例えば、ユーザ名や、ユーザＩＤ、端末ＩＤを用いることができる。また、測位データは、緯度・経度・高度等によって表現される詳細な情報に限られず、例えば、総務省が規定する地域メッシュコードによって表現されるような所定の範囲を表すエリア情報等であっても良い。

　移動軌跡記憶部２２は、位置情報受付部２０が時々刻々と連続的に受信したユーザの位置情報をユーザ毎に記録する。つまり、移動軌跡記憶部２２には、位置情報の履歴である移動軌跡が記憶される。なお、移動軌跡記憶部２２には、ユーザ毎に時系列に沿って位置情報を格納してもよいし、特に順序は関係なく位置情報を格納してもよい。

　初期抽象化部２４は、匿名情報がまだ作成されていないユーザの位置情報について、測位時間が同一の複数のユーザの位置情報の測位データをグループ化して抽象化することにより匿名情報を生成し、匿名情報記憶部２６に格納する。なお、測位データをグループ化する際に、測位時間が完全に同一である必要はなく、ある幅の同一の時間帯に属している測位時間を同一の測位時間と判定することができる。

　図４は、匿名情報記憶部２６に格納される匿名情報の一例を示す図である。図４に示すように、匿名情報には、匿名情報ＩＤ、親匿名情報ＩＤ、移動軌跡ＩＤ、測位時間、及びエリア情報が含まれる。

　匿名情報ＩＤは、匿名情報の識別子であり、測位データの抽象化により生成される、位置情報のグループを示している。例えば、図２に示した１連の匿名情報に対して、１つの匿名情報ＩＤが付与される。そして、分割や合成等の再構成処理によって、匿名情報における位置情報のグループが変更されると、新たに生成された匿名情報に対して新たな匿名情報ＩＤが付与される。このとき、再構成前の匿名情報と再構成後の匿名情報とを関連づけるために、再構成前の匿名情報ＩＤが親匿名情報ＩＤに設定される。つまり、親匿名情報ＩＤは、匿名情報の親子関係を示す情報である。

　移動軌跡ＩＤは、匿名情報に含まれる複数のユーザの移動軌跡の識別子である。例えば、図２に示した匿名情報には、ユーザＡ～Ｄの４人の移動軌跡が含まれている。この場合、匿名情報がどのユーザの移動軌跡を匿名化したものであるかを示す情報が移動軌跡ＩＤに設定される。例えば、図４に示すように、ユーザＡ～Ｄの４人の移動軌跡に対する移動軌跡ＩＤとしてＡ～Ｄが設定される。なお、移動軌跡ＩＤは、あるユーザの移動軌跡に対する匿名情報が既に存在するかどうかを確認するために用いられる。例えば、移動軌跡ＩＤには、位置情報に含まれるユーザＩＤを設定することができる。この場合、位置情報に含まれるユーザＩＤが移動軌跡ＩＤとして設定された匿名情報の存在有無を確認することにより、あるユーザに対する匿名情報が既に作成されているかどうかを確認することができる。また、移動軌跡ＩＤは、ユーザＩＤそのものでなくてもよく、ユーザＩＤとの関係を識別可能なものであればよい。また、移動軌跡ＩＤのみによってユーザＩＤとの関係を識別可能である必要はなく、例えば、ユーザＩＤと移動軌跡ＩＤとの対応関係を示す情報を匿名情報とは別に匿名情報記憶部２６に格納しておくこととしてもよい。

　測位時間には、測位データをグループ化する際の基準とされた測位時間が設定される。なお、匿名情報における測位時間は、特定の時刻ではなく、ある幅を有する時間帯を示す情報とすることができる。

　エリア情報には、複数のユーザの位置情報の測位データによって示される位置を包含するエリアを識別するための情報が設定される。例えば、図２に示したように匿名情報におけるエリアの形状を楕円とする場合であれば、中心点の緯度・経度、長径、短径をエリア情報に設定することができる。なお、エリアの形状は楕円に限られず、識別可能な形状であれば任意の形状とすることができる。

　図１に戻り、増分抽象化部２８は、匿名情報が既に作成されているユーザの位置情報を移動軌跡記憶部２２から抽出し、測位データをグループ化して抽象化することにより、位置情報を匿名化する。この際、増分抽象化部２８は、匿名情報記憶部２６に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成する。これにより、先に匿名情報記憶部２６に記憶されている匿名情報がｋ匿名性を満たしていれば、新たに生成される匿名情報もｋ匿名性を満たすこととなる。

　継続可能性評価部３０は、増分抽象化部２８が位置情報の測位データを抽象化して生成した匿名情報の継続可能性を評価する。ここで、継続可能性とは、分割や合成を行わずに匿名情報を同じ移動軌跡の組合せで継続可能な度合いを示す指標であり、匿名情報の情報量によって判定することができる。継続可能性の指標の具体例としては、エリアの大きさや匿名情報の密度があげられる。匿名情報の密度は、例えば、匿名情報を構成する移動軌跡の数をエリアの大きさで割ることにより求めることができる。

　分割部３２は、増分抽象化部２８が測位データの抽象化によって生成した匿名情報を、抽象化の度合いが小さくなるように複数の匿名情報に分割する。なお、分割部３２は、匿名情報を構成する移動軌跡の数がｋ以上になるように、すなわち、分割後もｋ匿名性が満たされるように分割を行う。分割後の匿名情報は、分割前の匿名情報と対応づけられて匿名情報記憶部２６に格納される。つまり、分割後の匿名情報には、分割前の匿名情報とは異なる新たな匿名情報ＩＤが付与されるとともに、分割前の匿名情報の匿名情報ＩＤが親匿名情報ＩＤに設定される。

　合成部３４は、増分抽象化部２８や分割部３２が生成した匿名情報を、抽象化の度合いが小さくなるように複数の匿名情報を一つの匿名情報に合成する。合成後の匿名情報は、合成前の匿名情報と対応づけられて匿名情報記憶部２６に格納される。つまり、合成後の匿名情報には、合成前の匿名情報とは異なる新たな匿名情報ＩＤが付与されるとともに、合成前の匿名情報の匿名情報ＩＤが親匿名情報ＩＤに設定される。

　再構築部３６は、分割により生成された匿名情報が、分割前の匿名情報と対応づけられると、分割前後の匿名情報を含む匿名化された移動軌跡がｋ匿名性を満たさない場合、分割前後の匿名情報の対応関係を解消する。つまり、分割後の匿名情報に対して分割前の匿名情報とは異なる匿名情報ＩＤが付与されるとともに、親匿名情報ＩＤが初期化される。このような再構築は、合成された匿名情報が再度分割された場合に必要となることがある。例えば、ｋ個の移動軌跡から構成される２つの匿名情報を合成し、その後分割が行われると、合成以前と同じ移動軌跡から構成される匿名情報へ分割される場合のみ、移動軌跡のｋ匿名性が保証され、それ以外の場合はｋ匿名性が保証されない。このようにｋ匿名性が保証されない分割処理時に、再構築部３６による匿名情報の再構築が行われる。

　匿名性指標受付部３８は、情報保護装置１０において移動軌跡を匿名化する際の基準となる匿名性指標（例えば、ｋ匿名性における“ｋ”）をユーザから受け付けて記憶する。

　継続可能性基準値受付部４０は、匿名情報の継続可能性を判断する際の基準値をユーザから受け付けて記憶する。前述したように、この基準値は、例えば、匿名情報における測位データの抽象度を示す値とすることができる。

　次に、情報保護装置１０における匿名化処理について具体例を参照しつつ説明する。図５は、第１の実施形態における匿名化処理の一例を示すフローチャートである。また、図６～図９は、生成される匿名情報の一例を示す図である。ここでは、匿名性指標受付部３８が受け付けた匿名性指標が、ｋ＝２のｋ匿名性であるとして説明する。

　位置情報受付部２０は、複数のユーザ端末から位置情報を定期的に受け付け、位置情報の履歴を移動軌跡として移動軌跡記憶部２２に蓄積する（Ｓ５０１）。例えば、位置情報受付部２０は、各ユーザ端末から１分置きにユーザの位置情報を受信する。

　増分抽象化部２８は、移動軌跡記憶部２２から定期的に位置情報を受け取り、位置情報の測位データを抽象化することにより匿名情報を生成する。例えば、増分抽象化部２８には、位置情報受付部２０が１分置きに受信する位置情報が移動軌跡記憶部２２を介して受け渡される。増分抽象化部２８は、位置情報を受け取ると、各位置情報と対応する移動軌跡ＩＤを持つ匿名情報が匿名情報記憶部２６に存在しているか確認する（Ｓ５０２）。なお、匿名情報の存在有無の確認は、初期抽出化部２４が行ってもよい。

　対応する匿名情報が存在しない場合（Ｓ５０２：Ｎ）、初期抽象化部２４は、測位時間が同一の位置情報について、各グループ（クラスタ）がｋ個以上の位置情報から構成されるように、測位データによって示される位置が近い位置情報をグループ化（クラスタリング）する。つまり、初期抽象化部２４は、複数のユーザの位置情報の測位データをグループ化して抽象化することにより匿名情報を生成する（Ｓ５０３）。具体的には、初期抽象化部２４は、各グループにおける位置情報の測位データで示される位置を包含するエリアを求め、このエリアを示すエリア情報が設定された匿名情報を生成する。なお、複数の位置を包含するエリアは、例えば、これらの位置を包含する面積が最小の楕円とすることができる。図６には、時刻ｔ０における５人のユーザの位置情報をグループ化して匿名情報を新たに生成した例が示されている。また、図６の例では、この匿名情報に対して“Ｔ００１”の匿名情報ＩＤが付与されている。また、図９には、匿名情報記憶部２６に格納された匿名情報の例が示されている。このように位置情報を抽象化することで、エリアに含まれるユーザの位置情報は同一視され、ユーザの詳細な位置を特定することができなくなる。

　一方、対応する匿名情報が存在する場合（Ｓ５０２：Ｙ）、増分抽象化部２８は、その匿名情報を構成する移動軌跡の集合と同じ移動軌跡ＩＤを持つすべての位置情報に対して、測位データの抽象化を実施する（Ｓ５０４）。そして、増分抽象化部２８は、先に生成された匿名情報と同じ匿名情報ＩＤ及び移動軌跡ＩＤを付与した匿名情報を生成する。例えば、図６では、時刻ｔ１における５人のユーザの位置情報について、時刻ｔ０の匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報が生成されている。

　続いて、継続可能性評価部３０は、増分抽象化部２８によって生成された匿名情報に対して継続可能性を評価する（Ｓ５０５）。例えば、エリアの面積が所定の基準値より大きい場合や、匿名情報の密度が所定の基準値より低い場合に、継続可能性が閾値未満であると判断される。例えば、図６では、時刻ｔ１の匿名情報は継続可能性を満たすものであると判定されている。

　継続可能性が閾値未満である場合（Ｓ５０５：Ｙ）、匿名情報の動的再構成が行われる。本実施形では、匿名情報の動的再構成として、分割処理及び合成処理が実行される。

　分割部３２は、継続可能性が閾値未満となった匿名情報を分割する（Ｓ５０６）。なお、分割処理には、既存のクラスタリング手法や、分類手法の適用が可能であり、状況に応じて様々な手法を選択して適用したり、組み合わせて適用したりすることが考えられる。例えば、分割部３２は、２ｋ個以上の移動軌跡が含まれる匿名情報を２つの匿名情報に分割することができる。このとき、移動軌跡の数が２ｋ個未満であるために分割できなかった匿名情報は、後の合成処理の候補として合成候補リストに追加することができる。また、分割部３２は、継続可能性が閾値未満となっているのが一時的なものであるかどうかを考慮したうえで匿名情報を分割することができる。例えば、分割部３２は、分割後の二つの匿名情報のエリア間にオーバーラップがなく、エリア間の距離が閾値以上である場合に匿名情報を分割する。

　ここで、エリア間の距離は、例えば、２つのエリアの最近接点間の距離や、２つのエリアの中心点間の距離とすることができる。また、エリア間の距離は、前の時刻におけるエリアから分割後の２つのエリアへの遷移の角度であってもよい。

　例えば、図６の時刻ｔ２における匿名情報は、エリアが広くなり、継続可能性が閾値未満となっている。そのため、この匿名情報を破線で示した２つのグループに分割することが考えられる。このとき、２つのグループのエリア間の距離ｌ（エル）２は、所定の閾値Ｌよりも小さいため、分割部３２は分割処理を行わない。

　また、例えば、図６の時刻ｔ３においても同様に２つのグループに分割することが考えられる。このとき、２つのグループのエリア間の距離ｌ（エル）３は、所定の閾値Ｌより大きいため、分割部３２は、新たな２つの匿名情報を生成する。そして、分割部３２は、図９に示すように、分割により生成された２つの匿名情報に匿名情報ＩＤとして“Ｔ００２”、“Ｔ００３”を付与し、親匿名情報ＩＤに“Ｔ００１”を設定する。

　分割処理が行われた後、再構築部３６は、分割後の匿名情報がｋ匿名性に違反していないかどうか確認し（Ｓ５０７）、違反している場合は（Ｓ５０７：Ｙ）、移動軌跡の再構築を行う（Ｓ５０８）。前述したように、このような再構築が必要となるのは合成された匿名情報を分割する場合である。再構築の具体例については合成処理の後に説明する。

　続いて、合成部３４による合成処理が実行される（Ｓ５０９）。分割処理時に、移動軌跡の数が２ｋ未満であり、分割できなかった匿名情報が合成処理の候補として合成候補リストに追加される。合成部３４は、合成候補リストに含まれる匿名情報に対して、合成後の継続可能性が合成前の２つの匿名情報の継続可能性の平均よりも高くなるように匿名情報の合成を行う。具体的には、合成部３４は、合成候補リスト内の匿名情報について、エリアがオーバーラップする面積が大きいものから順に合成を試みる。そして、合成部３４は、合成後の匿名情報の継続可能性が、合成前の二つの匿名情報の継続可能性の平均よりも大きければ合成を承認し、そうでなければ合成を行わない。この処理が、合成候補リスト内のすべての匿名情報に対して行われる。そして、合成部３４は、合成後の匿名情報に対して新たに匿名情報ＩＤを付与し、親匿名情報ＩＤに合成前の匿名情報ＩＤを設定する。

　例えば、図７の時刻ｔ５において、匿名情報ＩＤが“Ｔ００３”と“Ｔ００４”の２つの匿名情報が合成候補リストに含まれているとする。ここで、合成部３４は、これら２つの匿名情報を合成した場合に継続可能性が改善されるかどうかを判定する。図７の例では、継続可能性が改善されないと判定され、時刻ｔ５においては合成は行われていない。一方、時刻ｔ６においては、２つの匿名情報を合成することにより、継続可能性が改善されるため、合成部３４は２つの匿名情報を合成し、匿名情報ＩＤが“Ｔ００５”である新たな匿名情報を生成している。

　図８には、時刻ｔ６に合成された匿名情報が時刻ｔ７に再度分割された例が示されている。図８に示すように、時刻ｔ７において、匿名情報ＩＤが“Ｔ００６”、“Ｔ００７”である２つの匿名情報が生成されている。このとき、再構築部３６は、時刻ｔ７までの移動軌跡がｋ匿名性に違反するかどうかを評価する。違反する場合、再構築部３６は、分割後の匿名情報に対して新たに移動軌跡ＩＤを付与するとともに、親匿名情報ＩＤを初期化する。この再構築処理により、移動軌跡の継続性はなくなるものの、ｋ匿名性は維持されることとなる。

　そして、最後に、抽象化処理、分割処理、再構築処理、及び合成処理により生成された匿名情報が匿名情報記憶部２６に格納される（Ｓ５１０）。これにより、図９に示すように、分割や合成により構成された親子関係が設定された匿名情報が匿名情報記憶部２６に格納される。また、再構築により親子関係が解消された匿名情報が匿名情報記憶部２６に格納される。なお、匿名情報記憶部２６に対する匿名情報の格納は、各処理において個別に行ってもよい。

　匿名情報記憶部２６に記憶される匿名情報は、チューブ状の情報でなくてもよい。例えば、匿名情報の中心点や重心点の座標値、エリア内からランダムに標本した座標値であってもよい。また、匿名情報の本来のエリアを記憶するのではなく、中心座標や重心座標からある一定サイズのエリアを常に記憶し続けてもよい。また、記憶する匿名情報内には、実際にユーザ端末から測位した位置情報を匿名化した情報以外が含まれてもよい。また、中心座標、重心座標、エリアに対してノイズを付加した情報を記憶してもよい。加えて、測位時刻すべての匿名情報を記憶しなくてもよく、記憶の間隔は一定でもよいし、匿名化処理の負荷やデータセットのサイズ等の様々な要因から動的に変更があってもよい。
（第２の実施形態）

　次に、本発明の第２の実施形態について説明する。第２の実施形態における情報保護装置１０の構成は第１の実施形態と同様である。ただし、初期抽象化部２４において匿名情報を生成する処理が第１の実施形態とは異なっている。具体的には、第２の実施形態では、初期抽象化部２４は、継続可能性が高くなるように匿名情報の生成を行う。

　例えば、初期抽象化部２４は、初期抽象化を行う際に、抽象化対象の位置情報の密集度を考慮して、匿名情報を生成するときの初期匿名度を導出する。この初期匿名度は、位置情報の密集度に応じて高く設定することができる。初期匿名度を大きくすることで、その分だけ分割による細分化を行い易く、移動軌跡の再構築(合成後の分割)による情報損失の機会を減らすことができる。そのため、ユーザの移動軌跡を匿名化した匿名情報を、長い期間に渡って連続した情報として提供することが可能となる。

　図１０は、ｋ匿名性（ｋ＝３）を満たすように第１の実施形態で匿名化を行った移動軌跡の匿名情報の一例を示している。図１０の例では、はじめに匿名情報を形成する際に、近接する位置情報の測位データがｋ匿名性を満たす範囲内で最小限の構成でグループ化し、抽象化している。このように必要最小限の匿名情報の形成は、時間経過後も分割処理が行いづらく、合成処理を行うまで抽象化の度合いを抑制することができない場合がある。

　そこで、第２の実施形態では、初期抽象化部２４は、図１１に示すように、位置情報の密集度の高い区域では、匿名情報を構成する位置情報の数を高く設定している。つまり、初期抽象化部２４は、匿名情報に対して求められる所定の匿名性指標より高い匿名性を満たすように匿名情報の生成を行っている。このように密集度の高い区域においては、多くの位置情報から一つの匿名情報を構成しても、測位データの抽象度を低く抑えることが可能である。また、分割時の構成の自由度も高く、継続可能性の高い匿名情報を構成することが可能となる。

　図１２は、第２の実施形態における匿名化処理の一例を示すフローチャートである。図１２に示すフローチャートにおいて、初期抽象化部２４以外の処理については第１の実施形態における図５のフローチャートで示した処理と同じである。

　ここでは、第１の実施形態とは異なる、初期抽出化部２４における処理についてのみ説明する。

　初期抽象化部２４は、移動軌跡記憶部２２から抽出した位置情報のユーザ識別子に対応する匿名情報が匿名情報記憶部２６に存在しない場合に（Ｓ５０２：Ｎ）、各位置情報がｋ匿名性を満たすように各位置情報の測位データの抽象化を行う。まず、初期抽象化部２４は、各位置情報に対して、位置情報の測位データで示される位置を中心とする半径Ｒ以内に存在する位置情報の数Ｒｎｕｍを数える。ここで、すべての位置情報の集合をＰとする。初期抽象化部２４は、Ｐに含まれる位置情報に対して、Ｒｎｕｍが多い順に以下の処理を行う。位置情報ｐ∈Ｐの半径Ｒ以内に含まれる位置情報の集合をＱとする。初期抽象化部２４は、｜Ｑ｜≧（ｋ－１）であれば、Ｐ＝Ｐ－Ｑ－ｐを処理し、ｐとＱからクラスタを構成する（Ｓ５０３－１）。

　次に、初期抽象化部２４は、クラスタを形成していない位置情報がｋ匿名性を満たすようにグループ化する。このとき、初期抽象化部２４は、構成されたクラスタとクラスタに含まれない位置情報を対象にして、単連結法やｋ平均法などのクラスタリング手法で、すべてのクラスタがサイズｋ以上になるまでクラスタリングを行うことができる。そして、初期抽象化部２４は、最終的に形成された各クラスタの匿名情報を生成し、匿名情報記憶部２６に格納する（Ｓ５０３－２）。

　また、初期抽象化部２４は、上述のＳ５０３－１とＳ５０３－２の限りではない。例えば以下のような方法でもよい。すべての位置情報を対象に、ｋ平均法のような密集度に基づくクラスタリングで位置情報群を分割する。分割によって生成されたクラスタがｋ個以上の位置情報を含んでいればさらに分割を行い、ｋ個未満であればこの分割を取りやめる。このとき、収束するまでクラスタリングによる分割を行わずに、クラスタのエリアのサイズがある閾値以下になったら終了させることで、密集地帯では密なクラスタを生成できる。

　以上、本発明の実施形態について説明した。本実施形態によれば、測位データの抽象度が所定の基準値より低くなるように匿名情報が分割されるとともに、分割前後の匿名情報に親子関係が設定される。したがって、位置情報がリアルタイムに追加されていく場合において、移動軌跡の匿名性を確保するとともに、位置情報に含まれる測位データの抽象度が高くなりすぎることを抑制することが可能となる。

　また、本実施形態では、測位データの抽象度が所定の基準値より高い場合に分割処理が実行される。これにより、無駄な分割を防ぐことが可能となり、継続可能性を高めることができる。

　また、本実施形態では、エリア間の距離が所定の閾値より大きくなる場合に分割処理が実行される。つまり、２つ以上のグループが異なる方向へ進んでいく可能性が高いと考えられる場合に、分割処理が行われる。換言すると、測位データの抽象度が所定の基準値より高くなった場合であっても、分割されたエリア間の距離が近い場合は、分割されたエリアが再び近づく可能性があるため、分割処理は行われない。これにより、分割の回数を削減することが可能となり、将来の継続可能性を高めることができる。

　また、本実施形態では、分割すると匿名性指標が満たされなくなってしまう２つ以上の匿名情報を合成することにより、測位データの抽象度を合成前よりも低くすることができる。

　さらに、本実施形態では、合成された匿名情報が再度分割された場合に、移動軌跡が匿名性指標を満たさなくなる場合は、分割前後の親子関係が解消される。これにより、移動軌跡の匿名性を確保することが可能となる。

　また、本実施形態では、継続可能性が高くなるように最初の匿名情報を生成することができる。すなわち、初期抽象化部２４は、所定の大きさの領域に含まれる測位データによって示される位置の数が最大となるように測位データをグループ化して匿名情報を生成することができる。これにより、匿名化により生成される匿名情報の継続可能性を高めることが可能となる。

　なお、本実施形態は、本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明は、その趣旨を逸脱することなく、変更／改良され得るととともに、本発明にはその等価物も含まれる。

　例えば、本実施形態では、初期抽象化部２４または増分抽象化部２８によって生成された匿名情報が匿名情報記憶部２６に格納される例を示したが、情報保護装置１０の外部で生成された匿名情報が匿名情報記憶部２６に格納されることとしてもよい。つまり、増分抽象化部２８は、外部から提供される匿名情報に対して、リアルタイムに追加される位置情報から生成される匿名情報を追加していくことができる。

　また、例えば、本実施形態では、継続可能性が閾値未満である場合に分割処理が行われることとしたが、継続可能性が閾値未満であるかどうかにかかわらず、継続可能性が改善されるように分割を行うこととしてもよい。

　また、本実施形態では、測位データの抽象度を判定するための指標として、匿名情報におけるエリアの大きさや、エリアに含まれる位置情報の密度を示したが、匿名情報以外の情報を考慮して測位データの抽象度を判定することとしてもよい。例えば、エリアの特性を考慮して、測位データの抽象度を判定することもできる。具体的には、例えば、エリアに滞在している人の数やエリアの人口密度、エリア内に存在する施設の密集度を考慮して測位データの抽象度を判定してもよい。例えば、同じ大きさのエリアであっても、施設の密集度が高いほど抽象度が高いと判定することができる。施設の密集度が高いエリアでは、多くの施設に対応する位置情報が１つのエリアに抽象化されるからである。

　また、本実施形態では、分割部３２とは別に継続可能性評価部３０及び再構築部３６が設けられているが、継続性評価部３０及び再構築部３６は分割部３２に含まれていてもよい。

　この出願は、２０１０年１２月２７日に出願された日本出願特願２０１０－２９０８１９を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　本実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

（付記１）ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を記憶する移動軌跡記憶部と、測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化された測位データを、前記複数のユーザの移動軌跡の識別子及び前記測位時間と対応づけて匿名情報として記憶する匿名情報記憶部と、前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納する増分抽象化部と、第１の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第１の測位時間より前の第２の測位時間の前記匿名情報のグループを２つ以上のグループに分割し、分割されたグループにより抽象化された前記第１の測位時間の測位データを含む匿名情報を生成し、前記第２の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する分割部と、を備える情報保護装置。

（付記２）付記１に記載の情報保護装置であって、前記移動軌跡記憶部を参照し、前記匿名情報記憶部に前記匿名情報が記憶されていない、測位時間が同一の複数のユーザの位置情報について、前記所定の匿名性指標を満たすように前記複数のユーザの位置情報の測位データをグループ化して抽象化することにより、前記複数のユーザの移動軌跡の識別子、測位時間、及び抽象化された測位データを含む匿名情報を初期生成する初期抽象化部をさらに備える、情報保護装置。　

（付記３）付記２に記載の情報保護装置であって、前記初期抽象化部は、前記所定の匿名性指標を満たすとともに、所定の大きさの領域に含まれる測位データによって示される位置の数が最大となるように測位データをグループ化して前記匿名情報を生成する、情報保護装置。

（付記４）付記１～３の何れか一項に記載の情報保護装置であって、前記分割部は、前記第１の測位時間の前記匿名情報における抽象化された測位データの抽象度が前記所定の基準値より高い場合に、該第１の測位時間の匿名情報を前記２つ以上のグループに分割する、情報保護装置。

（付記５）付記１～４の何れか一項に記載の情報保護装置であって、前記分割部は、分割された場合に各グループにより抽象化された測位データによって表される領域間の距離が所定の閾値より大きくなることを条件に、前記匿名情報を分割する、情報保護装置。

（付記６）付記１～５の何れか一項に記載の情報保護装置であって、合成された場合に合成後のグループにより抽象化された測位データの抽象度が、合成前の各グループにより抽象化された測位データの抽象度より低くなることを条件に、第３の測位時間の匿名情報における２つ以上のグループを合成したグループにより抽象化された、前記第３の測位時間より後の第４の測位時間の測位データを含む匿名情報を生成し、前記第３の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する合成部をさらに備える、情報保護装置。

（付記７）付記６に記載の情報保護装置であって、前記分割部は、第５の測位時間の匿名情報を該第５の測位時間より前の第６の測位時間の匿名情報と対応づけると、該第５の測位時間までの移動軌跡が前記所定の匿名性指標を満たさない場合は、前記第５の測位時間の匿名情報を前記第６の測位時間の匿名情報と対応づけずに前記匿名情報記憶部に格納する、情報保護装置。

（付記８）付記１～７の何れか一項に記載の情報保護装置であって、前記所定の匿名性指標を受け付ける匿名性指標受付部をさらに備える、情報保護装置。

（付記９）付記１～８の何れか一項に記載の情報保護装置であって、前記所定の基準値を受け付ける基準値受付部をさらに備える、情報保護装置。

（付記１０）ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を移動軌跡記憶部に格納し、前記移動軌跡記憶部を参照し、測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化することにより、前記複数のユーザの移動軌跡の識別子、測位時間、及び抽象化された測位データを含む匿名情報を初期生成して匿名情報記憶部に格納し、前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納し、第１の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第１の測位時間より前の第２の測位時間の前記匿名情報のグループを２つ以上のグループに分割し、分割されたグループにより抽象化された前記第１の測位時間の測位データを含む匿名情報を生成し、前記第２の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する、情報保護方法。

（付記１１）コンピュータに、ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を移動軌跡記憶部に格納する機能と、測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化された測位データを、前記複数のユーザの移動軌跡の識別子及び前記測位時間と対応づけて匿名情報として匿名情報記憶部に格納する機能と、前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納する機能と、第１の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第１の測位時間より前の第２の測位時間の前記匿名情報のグループを２つ以上のグループに分割し、分割されたグループにより抽象化された前記第１の測位時間の測位データを含む匿名情報を生成し、前記第２の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する機能と、を実現させるプログラム。

　１０　情報保護装置
　２０　位置情報受付部
　２２　移動軌跡記憶部
　２４　初期抽象化部
　２６　匿名情報記憶部
　２８　増分抽象化部
　３０　継続可能性評価部
　３２　分割部
　３４　合成部
　３６　再構築部

Claims

　ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を記憶する移動軌跡記憶部と、
　測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化された測位データを、前記複数のユーザの移動軌跡の識別子及び前記測位時間と対応づけて匿名情報として記憶する匿名情報記憶部と、
　前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納する増分抽象化部と、
　第１の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第１の測位時間より前の第２の測位時間の前記匿名情報のグループを２つ以上のグループに分割し、分割されたグループにより抽象化された前記第１の測位時間の測位データを含む匿名情報を生成し、前記第２の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する分割部と、
　を備える情報保護装置。
　請求項１に記載の情報保護装置であって、
　前記移動軌跡記憶部を参照し、前記匿名情報記憶部に前記匿名情報が記憶されていない、測位時間が同一の複数のユーザの位置情報について、前記所定の匿名性指標を満たすように前記複数のユーザの位置情報の測位データをグループ化して抽象化することにより、前記複数のユーザの移動軌跡の識別子、測位時間、及び抽象化された測位データを含む匿名情報を初期生成する初期抽象化部をさらに備える、情報保護装置。　
　請求項２に記載の情報保護装置であって、
　前記初期抽象化部は、前記所定の匿名性指標を満たすとともに、所定の大きさの領域に含まれる測位データによって示される位置の数が最大となるように測位データをグループ化して前記匿名情報を生成する、情報保護装置。
　請求項１～３の何れか一項に記載の情報保護装置であって、
　前記分割部は、前記第１の測位時間の前記匿名情報における抽象化された測位データの抽象度が前記所定の基準値より高い場合に、該第１の測位時間の匿名情報を前記２つ以上のグループに分割する、情報保護装置。
　請求項１～４の何れか一項に記載の情報保護装置であって、
　前記分割部は、分割された場合に各グループにより抽象化された測位データによって表される領域間の距離が所定の閾値より大きくなることを条件に、前記匿名情報を分割する、情報保護装置。
　請求項１～５の何れか一項に記載の情報保護装置であって、
　合成された場合に合成後のグループにより抽象化された測位データの抽象度が、合成前の各グループにより抽象化された測位データの抽象度より低くなることを条件に、第３の測位時間の匿名情報における２つ以上のグループを合成したグループにより抽象化された、前記第３の測位時間より後の第４の測位時間の測位データを含む匿名情報を生成し、前記第３の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する合成部をさらに備える、情報保護装置。
　請求項６に記載の情報保護装置であって、
　前記分割部は、第５の測位時間の匿名情報を該第５の測位時間より前の第６の測位時間の匿名情報と対応づけると、該第５の測位時間までの移動軌跡が前記所定の匿名性指標を満たさない場合は、前記第５の測位時間の匿名情報を前記第６の測位時間の匿名情報と対応づけずに前記匿名情報記憶部に格納する、情報保護装置。
　請求項１～７の何れか一項に記載の情報保護装置であって、
　前記所定の匿名性指標を受け付ける匿名性指標受付部をさらに備える、情報保護装置。
　請求項１～８の何れか一項に記載の情報保護装置であって、
　前記所定の基準値を受け付ける基準値受付部をさらに備える、情報保護装置。
　ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を移動軌跡記憶部に格納し、
　前記移動軌跡記憶部を参照し、測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化することにより、前記複数のユーザの移動軌跡の識別子、測位時間、及び抽象化された測位データを含む匿名情報を初期生成して匿名情報記憶部に格納し、
　前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納し、
　第１の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第１の測位時間より前の第２の測位時間の前記匿名情報のグループを２つ以上のグループに分割し、分割されたグループにより抽象化された前記第１の測位時間の測位データを含む匿名情報を生成し、前記第２の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する、
　情報保護方法。
　コンピュータに、
　ユーザ識別子、ユーザの位置を示す測位データ、及び測位時間を含む位置情報の履歴である移動軌跡を移動軌跡記憶部に格納する機能と、
　測位時間が同一の位置情報が所定の匿名性指標を満たすように、複数のユーザの位置情報の測位データをグループ化して抽象化された測位データを、前記複数のユーザの移動軌跡の識別子及び前記測位時間と対応づけて匿名情報として匿名情報記憶部に格納する機能と、
　前記移動軌跡記憶部を参照し、前記匿名情報記憶部に記憶されている匿名情報の測位時間より後の同一の測位時間を含む、前記複数のユーザの位置情報について、前記匿名情報記憶部に記憶されている匿名情報と同一のグループで測位データをグループ化して抽象化することにより匿名情報を生成し、前記匿名情報記憶部に記憶されている匿名情報と対応づけて前記匿名情報記憶部に格納する機能と、
　第１の測位時間の前記匿名情報が前記所定の匿名性指標を満たし、かつ、該匿名情報における抽象化された測位データの抽象度が所定の基準値より低くなるように、該第１の測位時間より前の第２の測位時間の前記匿名情報のグループを２つ以上のグループに分割し、分割されたグループにより抽象化された前記第１の測位時間の測位データを含む匿名情報を生成し、前記第２の測位時間の匿名情報と対応づけて前記匿名情報記憶部に格納する機能と、
　を実現させるプログラム。