WO2013027782A1

WO2013027782A1 - 匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体

Info

Publication number: WO2013027782A1
Application number: PCT/JP2012/071247
Authority: WO
Inventors: 貴之佐々木; 諒古川
Original assignee: 日本電気株式会社
Priority date: 2011-08-25
Filing date: 2012-08-16
Publication date: 2013-02-28

Abstract

　本発明は、プライバシ情報を統計処理した結果における、元のプライバシ情報に対する匿名性と、その統計処理結果の有用性とのトレードオフが適切である、プライバシ情報の統計処理結果を、得ることができる匿名化装置を提供する。その匿名化装置は、複数の個人の属性情報を含むプライバシ情報を、統計処理することによって解析し、統計処理結果を出力する解析手段と、複数のそれら統計処理結果の内、そのプライバシ情報に対する匿名性の高さを示す匿名性値が閾値を満たし、かつそのプライバシ情報に最も合致するその統計処理結果を選択し、出力する選択手段と、を備える。

Description

匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体

　本発明は、プライバシ情報を開示する匿名化装置、匿名化方法、及びそのためのプログラムに関する。

　プライバシ情報を活用する場合において、一定のプライバシを保護するための関連技術が知られている。
　データ開示装置の一例が特許文献１に記載されている。特許文献１のデータ開示装置は、プライバシ情報を開示する場合の匿名性を計算する。次に、このデータ開示装置は、その計算結果が所望の値に満たない場合、開示するプライバシ情報の粒度を変更して匿名性を増加させる。そして、このデータ開示装置は、その計算結果が所望の値を満たした場合に、そのプライバシ情報を開示する。

特開２００７−２１９６３６号公報

　しかしながら、上述した技術文献１に記載された技術は、以下の問題点を有する。その問題点は、そのデータ開示装置により開示されたプライバシ情報について統計処理を実施した場合、その統計処理の結果における、元のプライバシ情報に対する匿名性と、その統計処理結果の有用性とのトレードオフが適切でない場合があることである。
　その理由は、以下の通りである。技術文献１に記載された技術は、そのデータ開示装置により、開示可能な匿名性を有するようにプライバシ情報の粒度を変更する。そのように匿名性を確保して開示されたプライバシ情報について統計処理を実行した場合、その統計処理の結果の匿名性は、開示されたプライバシ情報に比べて増加する。匿名性が増加することは、そこから得られる情報量（エントロピー）が増加することである。従って、有用性は、相対的に低下する。
　即ち、技術文献１に記載された技術は、そのデータ開示装置により開示されたプライバシ情報を用いて統計処理を実施した場合、その統計処理結果は、匿名性が過多であり、有用性が不足したものとなる場合がある。
　本発明の目的の一例は、上述した問題点を解決できる匿名化装置、匿名化方法、及びそのためのプログラムを提供することにある。

　本発明の匿名化装置は、複数の個人の属性情報を含むプライバシ情報を、統計処理することによって解析し、統計処理結果を出力する解析手段と、複数の前記統計処理結果の内、前記プライバシ情報に対する匿名性の高さを示す匿名性値が閾値を満たし、かつ前記プライバシ情報に最も合致する前記統計処理結果を選択し、出力する選択手段と、を含む。
　本発明の匿名化方法は、コンピュータが、複数の個人の属性情報を含むプライバシ情報を、統計処理することによって解析し、統計処理結果を出力し、複数の前記統計処理結果の内、前記プライバシ情報に対する匿名性の高さを示す匿名性値が閾値を満たし、かつ前記プライバシ情報に最も合致する前記統計処理結果を選択し、出力する。
　本発明の不揮発性記憶媒体に記録されたプログラムは、コンピュータに、複数の個人の属性情報を含むプライバシ情報を、統計処理することによって解析し、統計処理結果を出力し、複数の前記統計処理結果の内、前記プライバシ情報に対する匿名性の高さを示す匿名性値が閾値を満たし、かつ前記プライバシ情報に最も合致する前記統計処理結果を選択し、出力する、処理を実行させる。

　本発明による効果は、プライバシ情報を統計処理した結果における、元のプライバシ情報に対する匿名性と、その統計処理結果の有用性とのトレードオフが適切である、プライバシ情報の統計処理結果を、得ることができることである。

図１は、第１の実施形態の構成を示すブロック図である。図２は、第１の実施形態におけるプライバシ情報の一例を示す図である。図３は、第１の実施形態のハードウェア構成を示すブロック図である。図４は、第１の実施形態におけるカイ２乗分布表の例を示す図である。図５は、第１の実施形態における匿名化装置の動作を示すフローチャートである。図６は、第１の実施形態における最小反復回数データ及び最大反復回数データの例を示す図である。図７は、第１の実施形態における匿名化装置の変形例の動作を示すフローチャートである。図８は、第１の実施形態におけるプライバシ情報の一例を示す図である。図９は、第１の実施形態におけるプライバシ情報の一例を示す図である。図１０は、第１の実施形態におけるプライバシ情報の一例を示す図である。図１１は、プログラムを記録した不揮発性記憶媒体の例を示すブロック図である。

　次に、本発明の実施形態について図面を参照して詳細に説明する。
　［第１の実施の形態］
　図１は、本発明の第１の実施形態の構成を示すブロック図である。
　図１を参照すると、本実施形態に係る匿名化装置１００は、解析部１１０及び選択部１２０を含む。尚、図１に示す構成要素は、ハードウェア単位の構成要素ではなく、機能単位の構成要素を示している。
　まず、本実施形態に係る匿名化装置１００の各構成要素の概要を説明する。
　解析部１１０は、複数の個人の属性情報を含むプライバシ情報を、統計処理することによって解析し、統計処理結果を出力する。
　図２は、プライバシ情報６２０の例を示す図である。図２を参照すると、プライバシ情報６２０は、複数の個人の属性情報６２１から成る。
　選択部１２０は、解析部１１０が出力した複数の統計処理結果の内、その統計処理結果に対応する匿名性値が閾値を満たし、かつプライバシ情報６２０に最も合致する統計処理結果を選択し、出力する。ここで、匿名性値は、その匿名性値に対応する統計処理結果における、元のプライバシ情報６２０に対する、匿名性の高さを示す。
　尚、匿名性値が高いほど、その匿名性値に対応する統計処理結果は、元のプライバシ情報６２０の特徴をより少なく含み、元のプライバシ情報に合致していない。尚、プライバシ情報６２０の特徴とは、プライバシ情報６２０に含まれる属性情報６２１を正確に示す情報のことである。一方、匿名性値が低いほど、その統計処理結果は、元のプライバシ情報６２０の特徴をより多く含み、元のプライバシ情報により合致している。従って、有用性は、その匿名性が高いほど低下し、その匿名性が低いほど向上する。
　次に、匿名化装置１００のハードウェア単位の構成要素について説明する。
　図３は、本実施形態における匿名化装置１００とその周辺装置のハードウェア構成を示す図である。図３に示されるように、匿名化装置１００は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１０７０、記憶部１０７１、記憶装置１０７２、入力部１０７３、出力部１０７４及び通信部１０７５を含む。
　ＣＰＵ１０７０は、オペレーティングシステム（不図示）を動作させて、本実施形態に係る匿名化装置１００の全体の動作を制御する。また、ＣＰＵ１０７０は、例えば記憶装置１０７２に装着された不揮発性の記録媒体（不図示）から、記憶部１０７１にプログラムやデータを読み込む。そして、ＣＰＵ１０７０は、読み込んだプログラムに従って、また読み込んだデータに基づいて、図１に示す解析部１１０及び選択部１２０として各種の処理を実行する。
　尚、ＣＰＵ１０７０は、通信網（不図示）に接続されている外部コンピュータ（不図示）から、記憶部１０７１にプログラム及びデータの内の任意のものをダウンロードするようにしてもよい。
　記憶部１０７１は、プログラム及びデータの内の任意のものを記憶する。記憶部１０７１は、解析部１１０が解析する図２に示すようなプライバシ情報６２０を記憶してもよい。
　記憶装置１０７２は、例えば、光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク及び半導体メモリであって、不揮発性の記憶媒体を含む。記憶装置１０７２は、プログラムをコンピュータ読み取り可能に記録する。また、記憶装置１０７２は、データをコンピュータ読み取り可能に記録してもよい。記憶装置１０７２は、解析部１１０が解析するプライバシ情報６２０を記憶してもよい。
　入力部１０７３は、例えばマウスやキーボード、内蔵のキーボタンなどで実現され、入力操作に用いられる。入力部１０７３は、マウスやキーボード、内蔵のキーボタンに限らず、例えばタッチパネル、加速度計、ジャイロセンサ、カメラなどでもよい。
　出力部１０７４は、例えばディスプレイで実現され、出力を確認するために用いられる。
　通信部１０７５は、外部装置（不図示）と通信を行う。匿名化装置１００は、例えば外部装置が保持する解析部１１０が解析するプライバシ情報６２０を、通信部１０７５を経由して、取得するようにしてもよい。また、匿名化装置１００は、通信部１０７５を経由して、外部装置から動作開始の指示を受けてもよい。また、匿名化装置１００は、通信部１０７５を経由して、統計処理結果を外部装置に出力してもよい。通信部１０７５は、解析部１１０及び選択部１２０に含まれてよい。
　以上が、匿名化装置１００のハードウェア単位の各構成要素についての説明である。
　以上説明したように、図１に示す機能単位のブロックは、図３に示すハードウェア構成によって実現される。但し、匿名化装置１００が備える各部の実現手段は、上記に限定されない。すなわち、匿名化装置１００は、物理的に結合した一つの装置により実現されてもよいし、物理的に分離した２つ以上の装置を有線または無線で接続し、これら複数の装置により実現されてもよい。
　図１１は、プログラムを記録（記憶）する、記録媒体（記憶媒体）１０７７の例を示す図である。記録媒体１０７７は、情報を非一時的に記憶する不揮発性記録媒体である。尚、記録媒体１０７７は、情報を一時的に記憶する記録媒体であってもよい。記録媒体１０７７は、図５及び図６に示す動作を匿名化装置１００（ＣＰＵ１０７０）に実行させるプログラム（ソフトウェア）のコードを記録する。尚、記録媒体１０７７は、更に、任意のプログラムやデータを記録してよい。
　また、前述のプログラム（ソフトウェア）のコードを記録した記録媒体１０７７が匿名化装置１００に供給され、匿名化装置１００（ＣＰＵ１０７０）は、記録媒体に格納されたプログラムのコードを読み込み、実行してもよい。或いは、ＣＰＵ１０７０は、記録媒体１０７７に格納されたプログラムのコードを、記憶部１０７１に格納するようにしてもよい。すなわち、本実施形態は、匿名化装置１００（ＣＰＵ１０７０）が実行するプログラムを、一時的にまたは非一時的に、記憶する記録媒体の実施形態を含む。
　次に、解析部１１０について、詳細に説明する。
　解析部１１０は、例えば、統計処理の実行内容を示す統計処理パラメータに基づいて、図２に示すようなプライバシ情報６２０を統計処理することによって解析し、統計処理結果を出力する。
　解析部１１０は、例えば、図３に示す記憶装置１０７２に記憶されているプライバシ情報６２０を取得する。尚、解析部１１０は、入力部１０７３を介して操作者が指定したプライバシ情報６２０を取得するようにしてもよい。また、解析部１１０は、通信部１０７５を介して図示しない外部装置からプライバシ情報６２０を取得するようにしてもよい。
　また、解析部１１０は、統計処理の実行内容を示す統計処理パラメータを決定する。解析部１１０は、例えば、予め与えられ、図３に示す記憶部１０７１に記憶している統計処理パラメータを取得し、それを統計処理パラメータとして決定する。尚、解析部１１０は、入力部１０７３を介して操作者が指定した統計処理パラメータを取得し、決定するようにしてもよい。また、解析部１１０は、通信部１０７５を介して図示しない外部装置から統計処理パラメータを取得し、決定するようにしてもよい。また、解析部１１０は、統計処理パラメータそのものではなく、統計処理パラメータを決定するための情報を取得し、取得した情報に基づいて統計処理パラメータを決定するようにしてもよい。
　統計処理は、例えば、プライバシ情報６２０に特定の関数（以後、モデル関数と呼ぶ）をフィットさせる（当てはめる）、フィッティング（関数フィッティングとも呼ばれる）である。ここで、モデル関数は、その統計処理における統計モデルに対応する、例えば予め与えられた関数である。また、モデル関数は、解析結果を利用する利用者が、例えば図３に示す入力部１０７３から入力した関数であってもよい。
　即ち、統計処理結果は、例えば、フィッティングの手法を用いて、フィットされたモデル関数（以後、フィット関数と呼ぶ）である。尚、統計処理結果は、フィット関数のパラメータの値であってもよい。
　具体的には、フィティングは、例えば式１に示すようなモデル関数をプライバシ情報６２０の分布に最もよく合うように、式１のパラメータａ、ｂを決定することである。即ち、フィット関数は、フィッティングの結果のパラメータを適用されたモデル関数である。尚、関数のフィティングは、当業者にとってよく知られた技術であるため、詳細な説明は省略する。

　解析部１１０は、例えば、プライバシ情報６２０に、モデル関数をフィッティングさせる解析処理を実行し、統計処理結果としてフィット関数を生成し、出力する。
　例えば、平均を求めるようなモデルの場合、モデル関数ｙは、ｙ＝ａである。また、モデルが回帰直線ならば、モデル関数ｆ（ｘ）は、ｆ（ｘ）＝ａｘ＋ｂである。また、モデルが正規分布ならば、モデル関数は、その正規分布の確率密度関数である。尚、モデル関数は、上述の関数以外の、任意の関数であってよい。
　具体的には、統計処理結果は、モデル関数が回帰直線を示すｆ（ｘ）＝ａｘ＋ｂ（ｘは属性情報６２１の順番の値）である場合、以下の通りである。即ち、統計処理結果は、例えば、モデル関数のパラメータであるａ及びｂそれぞれを「１．２８」及び「１５９．１３」とする、ｆ（ｘ）＝１．２８ｘ＋１５９．１３である。
　統計処理のパラメータは、例えば、フィッティング処理におけるイテレーション回数（反復回数）である。
　以上が、解析部１１０の詳細な説明である。
　次に、選択部１２０について、詳細に説明する。
　選択部１２０は、上述したように、解析部１１０が出力した複数の統計処理結果の内、対応する匿名性値が閾値を満たし、かつプライバシ情報６２０に最も合致する統計処理結果を選択し、出力する。
　匿名性値は、例えば、フィット関数から導出される理論値からの誤差の、分散の推定値、即ち、属性情報６２１それぞれと属性情報６２１それぞれに対応するその理論値との残差の平方和の値である。
　具体的には、統計処理パラメータである反復回数を１０回とする、図２に示すプライバシ情報６２０の統計処理結果が、ｆ（ｘ）＝１．２８ｘ＋１５９．１３であった場合、選択部１２０は、匿名性値を以下のように算出する。
　「ｘ」が「１」の理論値は、ｆ（１）＝１．２８×１＋１５９．１＝１６０．４である。同様に、「ｘ」が、「２」、「３」、「４」、「５」、「６」及び「７」それぞれの理論値は、「１６１．７」、「１６３．０」、「１６４．３」、「１６５．５」、「１６６．８」及び「１６８．１」である。
　「ｘ」が「１」の属性情報６２１と対応するその理論値との残差は、１６１．１−１６０．４＝０．５である。同様に、「ｘ」が、「２」、「３」、「４」、「５」、「６」及び「７」それぞれの属性情報６２１と対応するその理論値との残差は、「０．３」、「０．３」、「２．６」、「０．２」、「０．５」及び「０．２」である。
　従って、属性情報６２１それぞれと対応するその理論値との残差の平方和の値は、「４．６」である。
　即ち、プライバシ情報６２０の統計処理結果が、ｆ（ｘ）＝１．２８ｘ＋１５９．１３であった場合、選択部１２０は、匿名性値を「４．６」と算出する。同様に、統計処理パラメータである反復回数を９回とする、プライバシ情報６２０の統計処理結果が、ｆ（ｘ）＝１．６８ｘ＋１５５．１であった場合、選択部１２０は、匿名性値を「４９．０」と算出する。同様に、統計処理パラメータである反復回数を８回とする、プライバシ情報６２０の統計処理結果が、ｆ（ｘ）＝０．４８ｘ＋１６７．１であった場合、選択部１２０は、匿名性値を「１８４．６」と算出する。同様に、統計処理パラメータである反復回数を７回とする、プライバシ情報６２０の統計処理結果が、ｆ（ｘ）＝２．４８ｘ＋１４７．１であった場合、選択部１２０は、匿名性値を「４０６．６」と算出する。
　また、匿名性値は、カイ２乗値であってもよい。具体的には、選択部１２０は、例えば、カイ２乗値＝（（属性情報−対応する理論値）の２乗）÷対応する理論値）により、カイ２乗値を算出する。
　具体的には、図２に示すプライバシ情報６２０の統計処理結果が、ｆ（ｘ）＝１．２８ｘ＋１５９．１３であった場合、選択部１２０は、上述の計算式によりカイ２乗値＝０．０２８０を算出する。
　同様に、プライバシ情報６２０の統計処理結果が、ｆ（ｘ）＝１．６８ｘ＋１５５．１であった場合、選択部１２０は、カイ２乗値＝０．３０７３を算出する。同様に、プライバシ情報６２０の統計処理結果が、ｆ（ｘ）＝０．４８ｘ＋１６７．１であった場合、選択部１２０は、カイ２乗値＝１．０９５を算出する。同様に、プライバシ情報６２０の統計処理結果が、ｆ（ｘ）＝２．４８ｘ＋１４７．１であった場合、選択部１２０は、カイ２乗値＝２．６４５を算出する。
　選択部１２０は、上述のように算出した匿名性値に基づいて、対応する匿名性値が閾値を満たし、かつプライバシ情報６２０に最も合致する統計処理結果を選択し、選択した統計処理結果を出力部１０７４に出力する。
　具体的には、匿名性値が、例えば、上述の誤差の分散の推定値である場合、閾値を例えば１００とすると、選択部１２０は、匿名性値が「１８４．６」に対応する、統計処理結果であるｆ（ｘ）＝０．４８ｘ＋１６７．１を選択する。尚、閾値は、例えば、記憶装置１０７２に記憶されていてよい。
　また、匿名性値が、例えば、上述のカイ２乗値である場合、選択部１２０は以下のようにして、統計処理結果を選択する。尚、閾値は、カイ２乗分布の下側確率が０．０１（１％）の、カイ２乗値であるとする。
　まず、選択部１２０は、自由度＝属性情報数−１により、自由度「６」を算出する。
　図４は、カイ２乗分布表６３０の例を示す図である。図４に示すように、カイ２乗分布表６３０は、自由度と確率とから決定されるカイ２乗値を示す表である。尚、カイ２乗分布表６３０は、例えば、記憶装置１０７２に予め記憶されていてよい。
　次に、選択部１２０は、カイ２乗分布表を参照し、算出したカイ２乗値と自由度とに基づいて、閾値以上でかつ最も低い匿名性値「１．０９５」を検出し、この匿名性値に対応する統計処理結果であるｆ（ｘ）＝０．４８ｘ＋１６７．１を選択する。
　以上が、選択部１２０の詳細な説明である。
　選択部１２０は、フィット関数の情報量と、そのフィット関数がデータからどれくらいずれているかを示すカイ２乗分布の下側確率とに基づいて、匿名性値を算出してもよい。
　具体的には、選択部１２０は、フィッティングの結果として求めたパラメータを、モデル関数に代入してフィット関数を取得する。次に、選択部１２０は、そのフィット関数の面積が「１」になるように、そのフィット関数に定数を掛けて分布の確率密度Ｐ（ｘ）を算出する。次に、選択部１２０は、その確率密度Ｐ（ｘ）について、「∫Ｐ（ｘ）ｌｏｇＰ（ｘ）ｄｘ」を算出し、この算出結果を情報量とする。ここで、「∫Ｐ（ｘ）ｌｏｇＰ（ｘ）ｄｘ」の積分範囲は、関数の定義域、もしくはマイナス無限大からプラス無限大までである。
　また、選択部１２０は、例えば、自由度とカイ２乗の値に基づいて、図４に示すようなカイ２乗分布表を参照し、カイ２乗分布の下側確率を求める。尚、選択部１２０は、カイ２乗分布を０からカイ２乗の値まで積分し、カイ２乗分布の下側確率を求めてもよい。
　そして、選択部１２０は、情報量とカイ２乗分布の下側確率とに基づいて、匿名性値を算出する。例えば、選択部１２０は、情報量とカイ２乗分布の下側確率とを掛けた値を、匿名性値としてもよい。
　次に本実施形態の動作について、図１~図７を参照して詳細に説明する。
　図５は、本実施形態の動作を示すフローチャートである。
　まず、解析部１１０は、例えば図２に示すようなプライバシ情報６２０を取得する（Ｓ７０１）。
　次に、解析部１１０は、例えば図６に示すような最小反復回数データ６４１（回数４）と最大反復回数データ６４２（回数１０）とを取得する（Ｓ７０２）。図６は、最小反復回数データ６４１と最大反復回数データ６４２との例を示す図である。最小反復回数データ６４１と最大反復回数データ６４２とは、例えば、予め与えられ記憶部１０７１に記憶されていてよい。
　次に、解析部１１０は、統計処理パラメータを決定する（Ｓ７０３）。具体的には、解析部１１０は、本処理において１回目に統計処理パラメータを決定する場合、最小反復回数データ６４１の値「４」を統計処理パラメータとして決定する。解析部１１０は、２回目以後に統計処理パラメータを決定する場合、決定済みの統計処理パラメータに順次１ずつ加算する。尚、加算する数は「１」に限らず、任意の数であってよい。
　次に、解析部１１０は、統計処理パラメータが最大反復回数データ６４２の値「１０」を超えたか否かを判定する（Ｓ７０４）。超えている場合（Ｓ７０４でＹＥＳ）、処理は終了する。
　超えていない場合（Ｓ７０４でＮＯ）、解析部１１０は、その統計処理パラメータに基づいて、取得したプライバシ情報６２０を解析し、統計処理結果を算出する（Ｓ７０５）。即ち、解析部１１０は、統計処理パラメータが示す反復回数分のフィッティングを実行し、フィット関数のパラメータを算出する。尚、解析部１１０は、プライバシ情報６２０の解析を１から実行するのではなく、前回の統計処理（例えば、現在の統計処理パラメータが「４」である場合、統計処理パラメータが「３」であった時の統計処理）の続きとして実行するようにしてよい。
　次に、解析部１１０は、算出した統計処理結果を選択部１２０に出力する（Ｓ７０６）。
　次に、選択部１２０は、受け取った統計処理結果に基づいて、匿名性値を算出する（Ｓ７１０）。
　次に、選択部１２０は、算出した匿名性値が閾値以上であるか否かを判定する（Ｓ７１１）。閾値以上でない場合（Ｓ７１１でＮＯ）、処理はＳ７０２へ戻る。
　閾値以上である場合（Ｓ７１１でＮＯ）、選択部１２０は、本処理において統計処理結果を受け取ったのが１回目であるか否かを判定する（Ｓ７１２）。
　１回目である場合（Ｓ７１２でＹＥＳ）、処理は終了する。尚、選択部１２０は、処理を終了する前に、統計処理結果の開示不可を示す、エラー情報を出力するようにしてもよい。
　１回目でない場合（Ｓ７１２でＮＯ）、選択部１２０は、受け取った統計処理結果を出力する（Ｓ７１３）。
　尚、解析部１１０は、最大反復回数データ６４２で示される回数分のイテレーションを実行するようにしてよい。そして、解析部１１０は、それらの複数のイテレーションにおいてモデル関数に適用したパラメータ（以後、イテレーションパラメータと呼ぶ）を含む統計処理結果を、選択部１２０に出力するようにしてよい。この場合、選択部１２０は、受け取った統計処理結果に基づいて、それぞれのイテレーションパラメータに対応する匿名性値を算出する。そして、選択部１２０は、それらの算出した匿名性値の内の、閾値以上でかつ最も低い匿名性値に対応するイテレーションパラメータを統計処理結果として出力するようにしてもよい。
　また、選択部１２０は、匿名性値が閾値以上であり、かつカイ２乗の値が最も小さい反復回数に対応する、統計処理結果を出力するようにしてもよい。
　次に、匿名化装置１００の変形例の動作について説明する。
　上述した匿名化装置１００は、以下のように動作する。第１に、解析部１１０が、イテレーションの回数（反復回数）を予め決定して、プライバシ情報を統計処理し、統計処理結果を出力する。第２に、選択部１２０が、統計処理結果に対応する匿名性値の内の、閾値以上でかつ最も低い匿名性値に対応する統計処理結果を選択する。
　一方、匿名化装置１００の変形例は、以下のように動作する。第１に、解析部１１０は、イテレーションの回数を予め決定することなくフィッティング処理を実行する。そして、解析部１１０は、フィッティング処理のイテレーション毎にモデル関数に適用したパラメータ（イテレーションパラメータ）に対応する統計処理結果を出力する。第２に、選択部１２０は、そのイテレーション毎に出力される統計処理結果に対応する匿名性値を算出し、その算出した匿名性値に基づいて、出力する統計処理結果を決定する。
　図７は、本実施形態の匿名化装置１００の変形例の動作を示すフローチャートである。
　まず、解析部１１０は、例えば図２に示すようなプライバシ情報６２０を取得する（Ｓ８０１）。
　解析部１１０は、イテレーションにおいてモデル関数に適用するパラメータ（イテレーションパラメータ）を、モデル関数がよりプライバシ情報に合う（合致する／当てはまる）ように変更し、統計処理結果を算出する（Ｓ８０２）。即ち、解析部１１０は、フィッティング処理のうちの、１回のイテレーションを実行する。尚、イテレーションパラメータの初期値は予め定められているものとする。
　例えば、イテレーションパラメータの変更の仕方は、ガウス・ニュートン法や、最急降下法を用いて、カイ２乗の値が小さくなるように、イテレーションパラメータを探索することによって、決定してもよい。ガウス・ニュートン法や、最急降下法は公知であるため、説明は省略する。
　次に、解析部１１０は、算出した統計処理結果を選択部１２０に出力する（Ｓ８０３）。
　次に、選択部１２０は、受け取った統計処理結果に基づいて、匿名性値を算出する（Ｓ８０４）。
　次に、選択部１２０は、算出した匿名性値が閾値以上であるか否かを判定する（Ｓ８０５）。匿名性値が閾値以上である場合（Ｓ８０５でＹＥＳ）、処理はＳ８０８へ進む。
　匿名性値が閾値以上でない場合（Ｓ８０５でＮＯ）、処理は、Ｓ８０６へ進む。尚、匿名性値が閾値以上でないということは、今回の統計処理結果（例えば、今回のイテレーションパラメータ）の公開は、不正なプライバシの公開にあたり、開示できないことを示す。
　Ｓ８０６において、選択部１２０は、受け取った統計処理結果がそのフィッティングにおける最初の統計処理結果（１回目のイテレーションの実行結果）であるか否かを判定する（Ｓ８０６）。最初の処理結果である場合（Ｓ８０５でＹＥＳ）、処理は終了する。尚、選択部１２０は、処理の終了の前にエラーメッセージを出力するようにしてもよい。
　最初の統計処理結果でない場合（Ｓ８０６でＮＯ）、選択部１２０は、統計処理結果（１つ前のイテレーションの実行結果）を出力する（Ｓ８０７）。そして、処理は終了する。１つ前のイテレーションの実行結果は、それに対するＳ８０５の判定において閾値以上と判定されており、不正なプライバシの公開が起こらないことが確認されている。
　Ｓ８０８において、選択部１２０は、フィッティングを終了するか否かを判定する（Ｓ８０８）。具体的には、選択部１２０は、匿名性値が閾値以上である統計処理結果に対して、よりプライバシ情報に合致するイテレーションパラメータを求めることができるか否かを、判定する。
　フィッティングを終了する場合（Ｓ８０８でＹＥＳ）、処理はＳ８０９へ進む。フィッティングを終了しない場合（Ｓ８０８でＮＯ）、処理はＳ８０２へ戻る。
　例えば、前回及び今回のイテレーションの実行結果それぞれにおけるカイ２乗の値の差が予め定められた値以下の場合、選択部１２０は、フィッティングを終了すると判定する。なぜならば、前回及び今回のイテレーションとの実行結果それぞれに対応するカイ２乗の値の差が予め定められた値以下であることは、即ち、これ以上プライバシ情報に効果的に合致するようには、モデル関数をフィッティングできないことを意味するからである。つまり、イテレーションパラメータをよりプライバシ情報に合致するように変更する前及び変更した後それぞれにおいて算出したカイ２乗の値の差が予め決めた閾値よりも小さい場合、選択部１２０は、これ以上カイ２乗の値を減らすことができないと判断する。すなわち、選択部１２０は、これ以上精度よくフィッティングを行うことは不可能と判断し、フィッティング処理を終了する。
　Ｓ８０９において、選択部１２０は、今回の統計処理結果（例えば、今回のイテレーションパラメータ）を出力する（Ｓ８０９）。この統計処理結果は、Ｓ８０５の判定において閾値以上と判定されており、不正なプライバシの公開が起こらないことが確認されている。
　尚、Ｓ８０８において、前回及び今回のイテレーションとの実行結果それぞれに対応するカイ２乗の値の差が閾値より大きい場合、選択部１２０は、更にプライバシ情報に合致するようにフィッティングできる可能性があると判定する。前回及び今回のイテレーションとの実行結果それぞれに対応するカイ２乗の値の差が、閾値より大きいということは、前回のイテレーションの実行結果よりも、今回のイテレーションの実行結果の方が、よりプライバシ情報に合致することを示す。
　尚、選択部１２０は、カイ２乗に基づいたイテレーションパラメータの誤差を出力してもよい。例えば、上記の動作によって選択した、イテレーションパラメータをＡとすると、選択部１２０は、カイ２乗の値が最小値よりも１大きくなるようなパラメータＡ’とＡ’’とを解析部１１０に算出させ、Ａ’とＡ’’とをＡの誤差範囲として開示してもよい。このとき、Ａ’＞Ａ＞Ａ’’である。また、選択部１２０は、誤差（Ａ’−Ａ、及び、Ａ−Ａ’’）を開示してもよい。
　また、選択部１２０は、ステップＳ８０７において、以下のように動作してもよい。
　選択部１２０は、２つのイテレーションパラメータの間に存在する、より適切なパラメータを探索する。ここで、２つのイテレーションパラメータは、匿名性値が閾値以上である前回のイテレーション及び匿名性値が閾値以下である今回のイテレーションそれぞれの実行結果である。また、より適切なパラメータとは、前回のイテレーションの実行結果のイテレーションパラメータに比べて、よりプライバシ情報に合致し、かつ匿名性値が閾値を満たすパラメータである。
　次に、選択部１２０は、探索したパラメータを、高精度統計処理結果として出力する。
　例えば、選択部１２０は、前回のイテレーションパラメータと今回のイテレーションパラメータとの間をＮ等分する、モデル関数に適用するＮ−１組のパラメータを算出する。次に、選択部１２０は、それらのパラメータそれぞれについて、対応する匿名性値とカイ２乗の値を計算する。
　次に、選択部１２０は、それらのＮ−１組のパラメータの内、匿名性値が閾値を満たし、かつ、カイ２乗の値が最も小さいパラメータを、解析結果として出力する。
　例えば、「ｙ＝−ａ＊ｘ＾２＋１００」をモデル関数として、「ａ＝１００．５」の場合に匿名性値が閾値を満たし、「ａ＝１００．１」の場合に匿名性値が閾値を満たさないとする。この場合、選択部１２０は、「ａ＝１００．５」及び「１００．１」の間を４等分する、「ａ＝１００．４」、「１００．３」及び「１００．２」を、モデル関数に適用するパラメータとして算出する。そして、選択部１２０は、これらの算出したパラメータの内、匿名性値が閾値を満たし、かつ、カイ２乗の値が最も小さいパラメータを探索する。
　尚、選択部１２０は、前回のイテレーションパラメータと、今回のイテレーションパラメータとの間を、二分探索法によって探索してもよい。
　また、選択部１２０は、匿名性値が閾値を満たし、かつ、カイ２乗から求めた誤差が小さい解析結果を出力してもよい。
　尚、選択部１２０は、フィッティング処理が完了した後に、各イテレーションにおける匿名性値を算出するようにしてもよい。この場合、選択部１２０は、各回のイテレーションのイテレーションパラメータを図示しない手段に記録するようにしてもよい。そして、選択部１２０は、各イテレーションのうち、対応する匿名性値が閾値を満たし、かつ上述の誤差が最も小さいイテレーションを特定する。次に、選択部１２０は、特定したイテレーションに対応するイテレーションパラメータを統計処理結果として出力する。
　以上が、本実施形態の変形例の動作の説明である。
　尚、解析部１１０は、フィッティング処理の前に、プライバシ情報に対して前処理を加えてもよい。例えば、解析部１１０は、プライバシ情報に基づいてヒストグラムを生成し、生成したヒストグラムに対してフィッティング処理を実行してもよい。
　また、解析部１１０は、予め定められた標準的な反復回数で実行した統計処理の統計処理結果を出力するようにしてもよい。この場合、選択部１２０は、受け取った統計処理結果に対応する匿名性値を算出し、その結果に基づいて反復回数の増減分を解析部１１０に指示するようにしてもよい。
　上述した本実施形態における第１の効果は、プライバシ情報を統計処理した結果における、元のプライバシ情報に対する匿名性と、その統計処理結果の有用性とのトレードオフが適切である、プライバシ情報の統計処理結果を、得ることが可能になる点である。
　その理由は、以下のような構成を含むからである。即ち、第１に解析部１１０が統計処理パラメータに基づいて、プライバシ情報を解析して統計処理結果を算出する。第２に、選択部１２０が、複数の統計処理結果の内、匿名性値が閾値を満たし、かつプライバシ情報に最も合致する統計処理結果を選択し、出力する。
　上述した本実施形態における第２の効果は、１回のフィッティング処理で、匿名性値が閾値以上でかつ最も低い統計処理結果を選択するように匿名化装置１００の動作を効率化することが可能になる点である。
　その理由は、解析部１１０が１回のイテレーション毎に統計処理結果を出力し、選択部１２０が、その統計処理結果に基づいて、フィッティングを終了するか継続するかを判定するようにしたからである。
　上述した本実施形態における第３の効果は、カイ２乗に基づいた、数学的な誤差を算出し、開示することが可能になる点である。即ち、値をぼかしたりノイズを加えたりする場合、数学的な誤差を算出することはできないという、一般的な匿名化手法の問題点を解決できる点である。
　その理由は、解析部１１０がカイ２乗の値に対応するイテレーションパラメータを算出し、選択部１２０がそれらのイテレーションパラメータの差を誤差として出力するようにしたからである。
　上述した本実施形態における第４の効果は、よりプライバシ情報に合致し、かつ、匿名性値が閾値を満たす統計処理結果を開示することが可能になる点である。
　その理由は、選択部１２０が、より適切なイテレーションパラメータを探索し、出力するようにしたからである。
　［第２の実施の形態］
　次に、本発明の第２の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
　本実施形態の構成は、図１及び図３に示す第１の実施形態の匿名化装置１００の構成と同じである。
　本実施形態は、統計処理パラメータを図２に示すプライバシ情報６２０の属性情報６２１の粒度とする点が第１の実施形態と異なる。また、本実施形態において、モデル関数は正規分布の確率密度関数であり、統計処理結果は正規分布の平均の値及び標準偏差の値である。更に、本実施形態において、本実施形態の匿名化装置１００は、標準偏差を匿名性値として、その標準偏差が閾値以上で、かつ粒度が最も密である元の属性情報６２１の標準偏差に最も近い、その標準偏差を含む解析結果を出力する。
　具体的には、統計処理パラメータである粒度は、属性情報６２１が個人の身長である場合、例えば、１ミリメートル、１センチメートル、５センチメートル及び１０センチメートルである。尚、粒度は、上記以外の任意の値であってよい。
　また、モデル関数は、式２に示す確率密度関数を持つ正規分布である。

　尚、モデル関数は、式３に示すようなガウス関数でもよい。フィッティングによって、決定するパラメータはａ、μ、σである。ここで、式２に示す正規分布の確率密度関数は、式３に示すガウス関数のａを、２πの平方根とσとを乗じた値の逆数とした式である。

　フィット関数（統計処理結果）は、例えば式２において、μ（平均）を「１６４．２」、σの２乗（分散）を「７．０９」とする確率密度関数である。
　また、統計処理結果は、フィット関数のパラメータである、その確率密度関数のμ（平均）とσの２乗（分散）との値である。そして、フィット関数は、例えば式２において、μ（平均）を「１６４．２」、σの２乗（分散）を「７．０８６」とする確率密度関数である。
　また、匿名性値は、標準偏差σ（例えば、「２．６６２」（σの２乗（分散）「７．０９」の平方根）である。
　解析部１１０は、例えば、以下のように、複数の統計処理パラメータ（粒度）に基づいて統計処理結果を算出し、算出した統計処理結果を選択部１２０へ出力する。
　図２に示すプライバシ情報６２０の属性情報６２１は、粒度が「１ミリメートル」の場合の個人の身長である。この、図２に示すプライバシ情報６２０が、元のプライバシ情報６２０である。
　図８は、プライバシ情報６２２の例を示す図である。図８に示すプライバシ情報６２２の属性情報６２３は、図２の属性情報６２１の粒度を「１センチメートル」にしたものである。
　図９は、プライバシ情報６２４の例を示す図である。図９に示すプライバシ情報６２４の属性情報６２５は、図２の属性情報６２１の粒度を「５センチメートル」にしたものである。
　図１０は、プライバシ情報６２６の例を示す図である。図１０に示すプライバシ情報６２６の属性情報６２７は、図２の属性情報６２１の粒度を「１０センチメートル」にしたものである。
　まず、解析部１１０は、図２に示すプライバシ情報６２０に基づいて、図８に示すプライバシ情報６２２、図９に示すプライバシ情報６２４及び図１０に示すプライバシ情報６２６を生成し、例えば、図３に示す記憶部１０７１に格納する。
　次に、解析部１１０は、図２に示すプライバシ情報６２０を解析し、μが「１６４．２」及びσの２乗が「７．０８６」である統計処理結果を算出する。
　また、解析部１１０は、図８に示すプライバシ情報６２２を解析し、μが「１６４．３」及びσの２乗が「８．４９０」である統計処理結果を算出する。
　また、解析部１１０は、図９に示すプライバシ情報６２４を解析し、μが「１６４．３」及びσの２乗が「１７．３５」である統計処理結果を算出する。
　また、解析部１１０は、図１０に示すプライバシ情報６２６を解析し、μが「１６５．７」及びσの２乗が「２８．５７」である統計処理結果を算出する。
　選択部１２０は、例えば、以下のように、受け取った複数の統計処理結果に基づいて、匿名性値（標準偏差σ）が閾値以上でかつ最も低い統計処理結果を選択し、出力する。
　まず、選択部１２０は、統計処理パラメータである粒度が「１ミリメートル」の統計処理結果の匿名性値として、標準偏差σを「２．９１」と算出する。
　同様に、選択部１２０は、粒度が「１センチメートル」、「５センチメートル」及び「１０センチメートル」それぞれの標準偏差σを、「２．９１４」、「４．１６５」及び「５．３４５」を算出する。
　次に、選択部１２０は、例えば匿名性値の閾値を３とすると、標準偏差が閾値以上で、粒度が最も密である元の属性情報６２１の標準偏差に最も近い、標準偏差σ（匿名性値）の「４．１６５」を検出する。そして、選択部１２０は、検出した標準偏差σ（匿名性値）が「４．１６５」に対応する、μが「１６４．３」及びσの２乗が「１７．３５」の統計処理結果を選択し、出力する。
　上述した本実施形態における効果は、プライバシ情報を統計処理した結果における、元のプライバシ情報に対する匿名性と、その統計処理結果の有用性とのトレードオフが適切である、プライバシ情報の統計処理結果を、得ることが可能になる点である。
　その理由は、以下のような構成を含むからである。即ち、第１に解析部１１０が統計処理パラメータに基づいて、プライバシ情報を解析して統計処理結果を算出する。第２に、選択部１２０が、複数の統計処理結果の内、匿名性値が閾値を満たし、かつプライバシ情報に最も合致する統計処理結果を選択し、出力する。
　以上説明した実施形態において、図５及び図７に示すように、匿名化装置１００は、フィッティングをする際にイテレーションを行って、匿名性値が閾値を満たすようにイテレーションを停止する動作をした。例えば、匿名化装置１００は、非線形計画法などを用いて、匿名性値が閾値を満たし、かつ、カイ二乗の値が最小となるパラメータの値を求めてもよい。例えば、匿名化装置１００は、非線形計画法のペナルティ関数法を用いて、その匿名性値が閾値を満たし、かつ、カイ二乗の値が最小となるという条件を満たすパラメータの値を求めることができる。この場合、カイ二乗を求める式を目的関数、匿名性値が減ると値が増加する関数をペナルティ関数としてよい。
　上述のように動作する匿名化装置１００は、フィッティングを行うパラメータが複数ある場合に、多次元のパラメータ空間内で最良のパラメータを選択することができる。従って、匿名化装置１００は、出力する解析結果の精度を向上することができる。
　以上の各実施形態で説明した各構成要素は、必ずしも個々に独立した存在である必要はない。例えば、各構成要素は、複数の構成要素が１個のモジュールとして実現されたり、１つの構成要素が複数のモジュールで実現されたりしてもよい。また、各構成要素は、ある構成要素が他の構成要素の一部であったり、ある構成要素の一部と他の構成要素の一部とが重複していたり、といったような構成であってもよい。
　以上説明した各実施形態における各構成要素及び各構成要素を実現するモジュールは、必要に応じ可能であれば、ハードウェア的に実現されても良いし、コンピュータ及びプログラムで実現されても良いし、ハードウェア的なモジュールとコンピュータ及びプログラムとの混在により実現されても良い。プログラムは、磁気ディスクや半導体メモリなど、不揮発性のコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られる。この読み取られたプログラムは、そのコンピュータの動作を制御することにより、そのコンピュータを前述した各実施形態における構成要素として機能させる。
　また、以上説明した各実施形態では、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障しない範囲で変更することができる。
　更に、以上説明した各実施形態では、複数の動作は個々に相違するタイミングで実行されることに限定されない。例えば、ある動作の実行中に他の動作が発生したり、ある動作と他の動作との実行タイミングが部分的に乃至全部において重複していたりしていてもよい。
　更に、以上説明した各実施形態では、ある動作が他の動作の契機になるように記載しているが、その記載はある動作と他の動作の全ての関係を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の関係は内容的に支障のない範囲で変更することができる。また各構成要素の各動作の具体的な記載は、各構成要素の各動作を限定するものではない。このため、各構成要素の具体的な各動作は、各実施形態を実施する上で機能的、性能的、その他の特性に対して支障をきたさない範囲内で変更されて良い。
　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
　この出願は、２０１１年８月２５日に出願された日本出願特願２０１１−１８３６０９を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　本発明は、例えば、プライバシ情報に基づく統計処理サービスに適用できる。

　１００　匿名化装置
　１１０　解析部
　１２０　選択部
　６２０　プライバシ情報
　６２１　属性情報
　６２２　プライバシ情報
　６２３　属性情報
　６２４　プライバシ情報
　６２５　属性情報
　６２６　プライバシ情報
　６２７　属性情報
　６３０　カイ２乗分布表
　６４１　最小反復回数データ
　６４２　最大反復回数データ
　１０７０　ＣＰＵ
　１０７１　記憶部
　１０７２　記憶装置
　１０７３　入力部
　１０７４　出力部
　１０７５　通信部
　１０７７　記録媒体

Claims

　複数の個人の属性情報を含むプライバシ情報を、統計処理することによって解析し、統計処理結果を出力する解析手段と、
　複数の前記統計処理結果の内、前記プライバシ情報に対する匿名性の高さを示す匿名性値が閾値を満たし、かつ前記プライバシ情報に最も合致する前記統計処理結果を選択し、出力する選択手段と、を含む
　匿名化装置。
　前記統計処理は、前記プライバシ情報へのモデル関数のフィッティングであり、
　前記統計処理結果は、前記フィッティングにより決定された、モデル関数に適用するパラメータの値を少なくとも含む
　ことを特徴とする請求項１記載の匿名化装置。
　前記解析処理は、前記フィッティングのイテレーション毎に前記パラメータの値を出力し、
　前記選択手段は、前記パラメータの値に基づいて、前記解析手段に前記フィッティングを継続させるか否かを判定する
　ことを特徴とする請求項２記載の匿名化装置。
　前記選択手段は、前記統計処理結果に基づいて、いずれの前記統計処理結果よりもプライバシ情報により合致し、かつ前記匿名性値が前記閾値を満たす高精度統計処理結果を生成し、出力する
　ことを特徴とする請求項２または３のいずれかに記載の匿名化装置。
　前記解析手段は、前記フィッティングにおける前記イテレーションの回数を含む統計処理パラメータに基づいて、統計処理する
　ことを特徴とする請求項２乃至４のいずれかに記載の匿名化装置。
　前記解析手段は、前記属性情報の粒度を含む統計処理パラメータに基づいて、統計処理する
　ことを特徴とする請求項２乃至５のいずれかに記載の匿名化装置。
　前記匿名性値は、前記統計処理結果に対応するカイ２乗値である
　ことを特徴とする請求項２乃至６のいずれかに記載の匿名化装置。
　前記選択手段は、前記統計処理結果に対応する情報量とカイ２乗値とに基づいて、前記匿名性値を算出する
　ことを特徴とする請求項２乃至７のいずれかに記載の匿名化装置。
　前記匿名性値は、前記統計処理結果に対応する、前記属性情報と前記属性情報それぞれに対応する理論値との残差の平方和である、
　ことを特徴とする請求項２乃至８のいずれかに記載の匿名化装置。
　前記モデル関数は、正規分布の確率密度関数またはガウス関数であり、
　前記統計処理結果は、前記正規分布の確率密度関数またはガウス関数における平均の値と標準偏差との値であり、
　前記選択手段は、前記標準偏差を前記匿名性値として、前記標準偏差が閾値以上で、前記粒度が最も密である元の前記属性情報の前記標準偏差に、最も近い前記標準偏差を含む前記統計処理結果を出力する
　ことを特徴とする請求項６記載の匿名化装置。
　コンピュータが、複数の個人の属性情報を含むプライバシ情報を、統計処理することによって解析し、統計処理結果を出力し、
　複数の前記統計処理結果の内、前記プライバシ情報に対する匿名性の高さを示す匿名性値が閾値を満たし、かつ前記プライバシ情報に最も合致する前記統計処理結果を選択し、出力する
　匿名化方法。
　前記統計処理は、前記プライバシ情報へのモデル関数のフィッティングであり、
　前記統計処理結果は、前記フィッティングにより決定された、モデル関数に適用するパラメータの値を少なくとも含む
　ことを特徴とする請求項１１記載の匿名化方法。
　コンピュータが、
　前記フィッティングのイテレーション毎に前記パラメータの値を出力し、
　前記パラメータの値に基づいて、前記解析手段に前記フィッティングを継続させるか否かを判定する
　ことを特徴とする請求項１２記載の匿名化方法。
　コンピュータが、
　前記統計処理結果に基づいて、いずれの前記統計処理結果よりもプライバシ情報により合致し、かつ前記匿名性値が前記閾値を満たす高精度統計処理結果を生成し、出力する
　ことを特徴とする請求項１２または１３のいずれかに記載の匿名化方法。
　コンピュータに、複数の個人の属性情報を含むプライバシ情報を、統計処理することによって解析し、統計処理結果を出力し、
　複数の前記統計処理結果の内、前記プライバシ情報に対する匿名性の高さを示す匿名性値が閾値を満たし、かつ前記プライバシ情報に最も合致する前記統計処理結果を選択し、出力する、処理を実行させる
　プログラムを記録した不揮発性媒体。
　前記統計処理は、前記プライバシ情報へのモデル関数のフィッティングであり、
　前記統計処理結果は、前記フィッティングにより決定された、モデル関数に適用するパラメータの値を少なくとも含む
　ことを特徴とする請求項１５記載のプログラムを記録した不揮発性媒体。
　コンピュータに、
　前記フィッティングのイテレーション毎に前記パラメータの値を出力し、
　前記パラメータの値に基づいて、前記解析手段に前記フィッティングを継続させるか否かを判定する、処理を実行させる
　ことを特徴とする請求項１６記載のプログラムを記録した不揮発性媒体。
　コンピュータに、
　前記統計処理結果に基づいて、いずれの前記統計処理結果よりもプライバシ情報により合致し、かつ前記匿名性値が前記閾値を満たす高精度統計処理結果を生成し、出力する、処理を実行させる
　ことを特徴とする請求項１６または１７のいずれかに記載のプログラムを記録した不揮発性媒体。