WO2013027785A1

WO2013027785A1 - 匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体

Info

Publication number: WO2013027785A1
Application number: PCT/JP2012/071250
Authority: WO
Inventors: 貴之佐々木; 諒古川
Original assignee: 日本電気株式会社
Priority date: 2011-08-25
Filing date: 2012-08-16
Publication date: 2013-02-28
Also published as: EP2750074A1; CA2846471A1; JPWO2013027785A1; EP2750074A4; JP5983611B2; US20140208437A1

Abstract

　本発明は、有用なプライバシ情報を得るために利用者がどうすればよいかを示すことができる匿名化装置を提供する。その匿名化装置は、個人情報を含むプライバシ情報について、解析指示に基づいて、そのプライバシ情報の解析結果を出力する解析手段と、開示の対象を示す開示対象情報と開示の形式を示す開示形式情報とを含む開示要求に基づいて、その解析指示を生成し、解析手段に出力し、解析手段から受け取った解析結果の匿名性に基づいて、開示要求について、匿名性を高くするための変更を示唆するフィードバック情報を含む開示応答を生成し、出力するフィードバック情報生成手段と、を備える。

Description

匿名化装置、匿名化方法、及びそのためのプログラムを記録した記録媒体

　本発明は、プライバシ情報の開示を制御する匿名化装置、匿名化方法、及びそのためのプログラムに関する。

　特定の情報を解析し、解析した結果を利用者に提供する様々な技術が知られている。また、その特定の情報がプライバシ情報である場合、利用者に情報を提供する情報提供システムは、そのプライバシ情報の匿名性を確保する処理（匿名化）を必要とする。一方、利用者に対してプライバシ情報を開示する場合、情報提供システムは、その匿名化されたプライバシ情報に対し、例えば利用者の要求に応じた統計的な解析処理を実施する。そして、情報提供システムは、この解析によって得た解析情報を利用者に開示する。この場合、その解析情報における、その基となるプライバシ情報の匿名性を所定の水準で確保することも必要である。
　情報提供システムの一例が特許文献１に記載されている。特許文献１に記載の情報提供システムは、利用者にとっての行政統計情報のカテゴリに対する重視度を考慮して統計対象の評価値を算出する。そして、その情報提供システムは、その算出した評価値を用いて利用者に適合する統計対象の情報を抽出し、提供する。
　しかしながら、特許文献１に記載の情報提供システムは、個人情報を含む統計情報（プライバシ情報に関連する情報）のプライバシ保護（匿名性）について、考慮していないという問題点を有している。
　上述のような問題点に対応するデータ開示装置の一例が、特許文献２に記載されている。特許文献２のデータ開示装置は、プライバシ情報を開示する場合、そのプライバシ情報の匿名性を計算する。次に、そのデータ開示装置は、計算した匿名性が所望の値に満たない場合に、開示するプライバシ情報の粒度をシステムに保持する規定のルールに基づいて変更し、所望の匿名性を確保したプライバシ情報を出力する。

特開２００８−１１７０１４号公報特開２００７−２１９６３６号公報

　しかしながら、上述した技術文献２のデータ開示装置は、所望の匿名性を得るために、システムに保持する規定のルールに基づいて、開示するプライバシ情報の粒度を変更する。従って、そのデータ開示装置から出力されたプライバシ情報が利用者にとって有用でない場合が、考えられる。そのような場合、利用者は、有用なプライバシ情報を得るために、どのようにすればよいかを知ることができない。
　即ち、そのデータ開示装置は、有用なプライバシ情報を得るために、利用者がどうすればよいかを示すことができないという問題点を有する。
　本発明の目的の一例は、上述した問題点を解決できる匿名化装置、匿名化方法、及びそのためのプログラムを提供することにある。

　本発明の匿名化装置は、少なくとも１以上の個人毎の個人情報を含むプライバシ情報について、解析の対象とする前記個人情報を示す解析対象情報と解析の方法を示す解析方法情報とを含む解析指示に基づいて、前記プライバシ情報の解析結果を出力する解析手段と、前記プライバシ情報について、開示の対象を示す開示対象情報と開示の形式を示す開示形式情報とを含む開示要求に基づいて、前記解析指示を生成し、前記解析手段に出力し、前記解析手段から受け取った前記解析結果の匿名性に基づいて、前記開示対象情報及び前記開示形式情報の少なくとも一方について、前記匿名性を高くするための変更を示唆するフィードバック情報を含む開示応答を生成し、出力するフィードバック情報生成手段と、を含む。
　本発明の匿名化方法は、コンピュータが、少なくとも１以上の個人毎の個人情報を含むプライバシ情報について、解析の対象とする前記個人情報を示す解析対象情報と解析の方法を示す解析方法情報とを含む解析指示に基づいて、前記プライバシ情報の解析結果を出力し、前記プライバシ情報について、開示の対象を示す開示対象情報と開示の形式を示す開示形式情報とを含む開示要求に基づいて、前記解析指示を生成して出力し、前記解析結果の匿名性に基づいて、前記開示対象情報及び前記開示形式情報の少なくとも一方について、前記匿名性を高くするための変更を示唆するフィードバック情報を含む開示応答を生成し、出力する。
　本発明の不揮発性記憶媒体に記録されたプログラムは、コンピュータに、少なくとも１以上の個人毎の個人情報を含むプライバシ情報について、解析の対象とする前記個人情報を示す解析対象情報と解析の方法を示す解析方法情報とを含む解析指示に基づいて、前記プライバシ情報の解析結果を出力し、前記プライバシ情報について、開示の対象を示す開示対象情報と開示の形式を示す開示形式情報とを含む開示要求に基づいて、前記解析指示を生成して出力し、前記解析結果の匿名性に基づいて、前記開示対象情報及び前記開示形式情報の少なくとも一方について、前記匿名性を高くするための変更を示唆するフィードバック情報を含む開示応答を生成し、出力する処理を実行させる。

　本発明による効果は、有用なプライバシ情報を得るために利用者がどうすればよいかを示すことができることである。

図１は、第１の実施形態の構成を示すブロック図である。図２は、第１の実施形態におけるプライバシ情報の一例を示す図である。図３は、第１の実施形態におけるサンプル情報の一例を示す図である。図４は、第１の実施形態における開示要求の一例を示す図である。図５は、第１の実施形態における解析指示の一例を示す図である。図６は、第１の実施形態における解析結果の一例を示す図である。図７は、第１の実施形態における開示応答の一例を示す図である。図８は、第１の実施形態のハードウェア構成を示すブロック図である。図９は、第１の実施形態における解析結果の一例を示す図である。図１０は、第１の実施形態における匿名化装置の動作を示すフローチャートである。図１１は、第２の実施形態における開示応答の一例を示す図である。図１２は、本発明の第２の実施形態の構成を示すブロック図である。図１３は、プログラムを記録した不揮発性記憶媒体の例を示すブロック図である。

　次に、本発明の実施形態について図面を参照して詳細に説明する。
　［第１の実施形態］
　図１は、本発明の第１の実施形態の構成を示すブロック図である。
　図１を参照すると、本実施形態に係る匿名化装置１００は、解析部１１０、及びフィードバック情報生成部１２０を含む。
　まず、本実施形態に係る匿名化装置１００の概要を説明する。
　第１に、本実施形態に係る匿名化装置１００の解析部１１０は、プライバシ情報の解析を指示する解析指示に基づいて、プライバシ情報を解析し、解析結果を出力する。尚、解析指示は、少なくとも１以上の個人毎の個人情報を含むプライバシ情報について、解析の対象とする個人情報を示す解析対象情報とその解析の方法を示す解析方法情報とを含む。
　尚、解析部１１０は、プライバシ情報を解析する動作において、まず、プライバシ情報のうちの解析の対象とする個人情報を、解析指示に含まれる解析対象情報に基づいて選択する。以後、解析対象情報に基づいて選択された、プライバシ情報のうちの解析の対象とする個人情報をサンプル情報と呼ぶ。次に、解析部１１０は、サンプル情報を解析方法情報に基づいて解析する。解析部１１０は、その解析の解析結果をフィードバック情報生成部１２０に出力する。
　尚、解析結果は、例えば、属性値の一覧である。属性値の詳細は、後述する。また、解析結果は、フィッティングした関数のパラメータ（詳細は後述）であってもよい。尚、解析結果がフィッティングした関数のパラメータである場合については、後述の第３の実施形態において詳細に説明する。また、解析結果は、上記以外の任意のデータ解析手法による解析結果であってよい。
　第２に、匿名化装置１００のフィードバック情報生成部１２０は、開示要求を受け取る。例えば、フィードバック情報生成部１２０は、後述する図８に示す通信部１０７５を経由して、例えば外部装置（不図示）から、開示要求を受け取る。
　尚、開示要求は、プライバシ情報について、開示の対象を示す開示対象情報と開示の形式を示す開示形式情報とを含む。
　次に、フィードバック情報生成部１２０は、受け取った開示要求に基づいて、解析指示を発生し、その解析指示を解析部１１０に出力する。例えば、フィードバック情報生成部１２０は、開示対象情報に基づいて解析対象情報を生成し、開示対象情報及び開示形式情報に基づいて開示方法情報を生成して、解析指示を発生する。
　また、フィードバック情報生成部１２０は、解析部１１０から受け取った解析結果の匿名性を判定し、更に、その匿名性の判定結果に基づいて、フィードバック情報を含む開示応答を生成し、出力する。例えば、匿名性が所定の水準（閾値）より低い場合、フィードバック情報生成部１２０は、フィードバック情報を含む開示応答を、利用者が見えるようにディスプレイに出力してもよい。この場合、開示応答は、解析結果を含まない。また、フィードバック情報生成部１２０は、匿名性が所定の水準（閾値）より高い場合、開示応答としての解析結果を、ディスプレイに出力してもよい。
　ここで、解析結果の匿名性は、例えば、ｋ−匿名性（ｋ−ａｎｏｎｙｍｉｔｙ）である。また、解析結果の匿名性は、ｌ−多様性（ｌ−ｄｉｖｅｒｓｉｔｙ）であってもよい。また、解析結果の匿名性は、フィッティングした関数の情報量であってもよい。また、解析結果の匿名性は、上記以外の任意の匿名性指標であってよい。
　また、フィードバック情報は、開示対象情報及び開示形式情報の少なくとも一方についての変更を示唆する情報である。
　フィードバック情報生成部１２０は、フィードバック情報に基づいて、開示対象情報及び開示形式情報を変更し、解析部１１０に出力する機能を有していてもよい。この場合、フィードバック情報生成部１２０は、開示要求の変更後の解析結果６４０の匿名性が開示要求の変更前の解析結果６４０の匿名性に比べて高くなるよう、開示対象情報及び開示形式情報の少なくとも一方を変更することが好ましい。
　図２は、解析部１１０が受信するプライバシ情報６００の一例を示す図である。図２に示すように、プライバシ情報６００は、年齢情報６０１及び趣味情報６０２を属性情報として含むレコードから構成される。尚、属性情報は、属性名（例えば、「年齢情報」）と属性値（例えば、「３０」のような年齢情報６０１の値）を含む。尚、属性名は、属性情報の種別とも言う。尚、図２、図３、図６及び図９において、属性情報の属性名を図示しない。
　図３は、解析部１１０において、解析指示に含まれる解析対象情報に基づいて選択された、サンプル情報６１０の一例を示す図である。図３に示すように、サンプル情報６１０は、年齢情報６０１及び趣味情報６０２を属性情報として含むレコードから構成される。
　図４は、フィードバック情報生成部１２０が受信する開示要求６２０の一例を示す図である。図４に示すように、開示要求６２０は、開示対象情報６２１及び開示形式情報６２２を含む。
　開示対象情報６２１は、例えば、「年齢範囲が３０代の人の趣味情報」のような、解析の対象とするプライバシ情報６００の範囲（年齢範囲が３０代の人）、及び解析の対象とする属性情報の種別（趣味情報）を示す情報である。ここで、プライバシ情報６００の範囲は、例えば、組織名、年齢範囲、性別、地域、時間帯、その他任意の属性の内、任意のものの範囲を組み合わせた範囲であってよい。また、開示対象情報６２１が示す属性情報の種別は、任意の数の属性情報の種別であってよい。
　開示形式情報６２２は、プライバシ情報６００（サンプル情報６１０）の開示形式を示す情報である。開示形式情報６２２は、例えば、属性の一覧を作成して表示、ヒストグラムを作成して表示など、プライバシ情報６００の解析結果を、開示する形式を示す情報である。
　図５は、フィードバック情報生成部１２０が解析部１１０に出力する解析指示６３０の一例を示す図である。図５に示すように、解析指示６３０は、解析対象情報６３１（例えば、「３０代」）及び解析方法情報６３２（「例えば、「趣味情報の一覧を作成」）を含む。
　ここで、解析対象情報６３１は、解析部１１０で生成されるサンプル情報６１０（プライバシ情報６００の内の解析の対象とする情報）の範囲を示す情報である。解析対象情報６３１は、例えば、組織名、年齢範囲、性別、地域、時間帯、その他任意の属性の内、任意ものの範囲が組み合わされた情報である。
　例えば、解析対象情報６３１が組織名（例えば、「Ａ社」）である場合、サンプル情報６１０は、プライバシ情報６００の内、属性名が「組織名情報」であって属性値が「Ａ社」である属性情報を含むレコードで構成される。
　また、解析方法情報６３２は、サンプル情報６１０を解析する方法と、生成する解析結果の形式とを示す情報である。
　例えば、解析方法情報６３２は、サンプル情報６１０の内の特定の属性名（例えば、「趣味情報」）の属性値について、一覧表を生成することを示す情報である。この場合、解析方法情報６３２は、例えば、「趣味情報の一覧を生成」である。
　図６は、解析部１１０が出力する解析結果６４０の一例を示す図である。図６に示すように解析結果６４０は、例えば、趣味情報の一覧表である。
　図７は、フィードバック情報生成部１２０で生成される開示応答６５０の一例を示す図である。図７に示すように開示応答６５０は、フィードバック情報６５１を含む。
　前述したように、フィードバック情報６５１は、少なくとも開示対象情報６２１又は開示形式情報６２２の一方について、その内容の変更を示唆する情報である。従って、フィードバック情報６５１は、開示対象情報６２１及び開示形式情報６２２の両方について、それらの内容の変更を示唆する情報であってもよい。フィードバック情報６５１は、例えば、開示対象情報６２１である年齢範囲を広げる（例えば、「３０代」を「３０代及び４０代」に変更）ことを示唆する情報である。フィードバック情報６５１は、例えば、フィッティングのイテレーション回数（反復回数）の変更を示唆する情報であってもよい。
　以上が、匿名化装置１００の概要の説明である。
　次に、匿名化装置１００のハードウェア単位の構成要素について説明する。
　図８は、本実施形態における匿名化装置１００とその周辺装置のハードウェア構成を示す図である。図８に示されるように、匿名化装置１００は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１０７０、記憶部１０７１、記憶装置１０７２、入力部１０７３、出力部１０７４及び通信部１０７５を含む。
　ＣＰＵ１０７０は、オペレーティングシステム（不図示）を動作させて、本実施形態に係る匿名化装置１００の、全体の動作を制御する。また、ＣＰＵ１０７０は、例えば記憶装置１０７２に装着された不揮発性の記録媒体（不図示）から、記憶部１０７１にプログラムやデータを読み込む。そして、ＣＰＵ１０７０は、読み込んだプログラムに従って、また読み込んだデータに基づいて、図１に示す解析部１１０及びフィードバック情報生成部１２０として各種の処理を実行する。
　尚、ＣＰＵ１０７０は、通信網（不図示）に接続されている外部コンピュータ（不図示）から、記憶部１０７１にプログラム及びデータの内の任意のものをダウンロードするようにしてもよい。
　記憶部１０７１は、プログラム及びデータの内の任意のものを記憶する。記憶部１０７１は、図３に示すようなサンプル情報６１０を記憶してもよい。
　記憶装置１０７２は、例えば、光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク及び半導体メモリであって、不揮発性の記憶媒体を含む。記憶装置１０７２は、プログラムをコンピュータ読み取り可能に記録する。また、記憶装置１０７２は、データをコンピュータ読み取り可能に記録してもよい。記憶装置１０７２は、サンプル情報６１０を記憶してもよい。
　入力部１０７３は、例えばマウスやキーボード、内蔵のキーボタンなどで実現され、入力操作に用いられる。入力部１０７３は、マウスやキーボード、内蔵のキーボタンに限らず、例えばタッチパネル、加速度計、ジャイロセンサ、カメラなどでもよい。入力部１０７３は、例えば、開示要求６２０を入力するために用いられる。入力部１０７３は、プライバシ情報６００を入力しても良い。
　出力部１０７４は、例えばディスプレイで実現され、例えば開示応答６５０を確認するために用いられる。
　通信部１０７５は、外部装置（不図示）と通信を行う。匿名化装置１００は、例えば外部装置が保持する、サンプル情報６１０を、通信部１０７５を経由して、取得するようにしてもよい。また、匿名化装置１００は、通信部１０７５を経由して、外部装置から開示要求６２０を受けてもよい。また、匿名化装置１００は、通信部１０７５を経由して、開示応答６５０を外部装置に出力してもよい。通信部１０７５は、解析部１１０及びフィードバック情報生成部１２０に含まれてよい。
　以上が、匿名化装置１００のハードウェア単位の各構成要素についての説明である。
　以上説明したように、図１に示す機能単位のブロックは、図３に示すハードウェア構成によって実現される。但し、匿名化装置１００が備える各部の実現手段は、上記に限定されない。すなわち、匿名化装置１００は、物理的に結合した一つの装置により実現されてもよいし、物理的に分離した２つ以上の装置を有線又は無線で接続し、これら複数の装置により実現されてもよい。
　図１３は、プログラムを記録（記憶）する、記録媒体（記憶媒体）１０７７の例を示す図である。記録媒体１０７７は、情報を非一時的に記憶する不揮発性記録媒体である。尚、記録媒体１０７７は、情報を一時的に記憶する記録媒体であってもよい。記録媒体１０７７は、図１０に示す動作を匿名化装置１００（ＣＰＵ１０７０）に実行させるプログラム（ソフトウェア）のコードを記録する。尚、記録媒体１０７７は、更に、任意のプログラムやデータを記録してよい。
　また、前述のプログラム（ソフトウェア）のコードを記録した記録媒体１０７７が匿名化装置１００に供給され、匿名化装置１００（ＣＰＵ１０７０）は、記録媒体に格納されたプログラムのコードを読み込み、実行してもよい。或いは、ＣＰＵ１０７０は、記録媒体１０７７に格納されたプログラムのコードを、記憶部１０７１に格納するようにしてもよい。すなわち、本実施形態は、匿名化装置１００（ＣＰＵ１０７０）が実行するプログラムを、一時的に又は非一時的に、記憶する記録媒体の実施形態を含む。
　次に、解析部１１０について、更に詳細に説明する。上述したように、解析部１１０は、解析対象情報６３１と解析方法情報６３２とを含む解析指示６３０に基づいて、サンプル情報６１０（プライバシ情報６００から選択された情報）を解析し、解析結果６４０を生成し、出力する。
　解析部１１０は、解析対象情報６３１に基づいて、例えば、図８に示す記憶装置１０７２に記憶されているプライバシ情報６００から、解析対象情報６２１に基づいてサンプル情報６１０を選択する。尚、解析部１１０は、入力部１０７３を介して操作者が指定したプライバシ情報６００を取得し、そのプライバシ情報６００からサンプル情報６１０を選択するようにしてもよい。また、解析部１１０は、プライバシ情報６００の内、入力部１０７３を介して操作者が指定したサンプル情報６１０を取得するようにしてもよい。また、解析部１１０は、通信部１０７５を介して図示しない外部装置からプライバシ情報６００を取得し、そのプライバシ情報６００の内のサンプル情報６１０を解析対象情報６２１に基づいて選択するようにしてもよい。また、解析部１１０は、通信部１０７５を介して図示しない外部装置に対し、解析対象情報６２１に基づいてサンプル情報６１０の出力を要求し、その外部装置から出力されるサンプル情報６１０を取得するようにしてもよい。
　例えば、解析対象情報６３１が組織名（例えば、「Ａ社」）である場合、解析部１１０は、プライバシ情報６００の内、属性名が「組織名情報」であって属性値が「Ａ社」である属性情報を含むレコードを、サンプル情報６１０として選択或いは取得する。
　また、解析部１１０は、選択或いは取得したサンプル情報６１０を、解析方法情報６３２に基づいて解析し、解析結果６４０を生成し、出力する。
　解析方法情報６３２は、例えば、サンプル情報６１０の内の特定の属性名（例えば、「趣味情報」）の属性値を選択し、その属性値の一覧を生成することを示す情報である。解析方法情報６３２は、例えば、「趣味情報の一覧を生成」である。また、解析方法情報６３２は、サンプル情報６１０の内の特定の属性情報に特定の関数をフィッティングし、その関数のパラメータを算出することを示す情報であってもよい。
　解析方法情報６３２は、例えば、サンプル情報６１０に特定の関数（以後、モデル関数と呼ぶ）をフィットさせる（当てはめる）、フィッティング（関数フィッティングとも呼ばれる）であることを示す情報であってもよい。例えば、解析方法情報６３２は、モデル関数をフィットさせることを示す「ｙ＝ａｘ＋ｂをフィッティング」である。
　この場合、解析結果６４０は、フィッティングの手法を用いて、フィットされたモデル関数（前述のフィット関数）である。尚、解析結果６４０は、フィット関数のパラメータの値であってもよい。
　具体的には、フィティングは、例えば式１に示すようなモデル関数をサンプル情報６１０の分布に最もよく合うように、式１のパラメータａ、ｂを決定することである。即ち、フィット関数は、フィッティングの結果のパラメータを適用されたモデル関数である。尚、関数のフィティングは、当業者にとってよく知られた技術であるため、詳細な説明は省略する。

　解析部１１０は、例えば、サンプル情報６１０に、モデル関数をフィッティングさせる解析処理を実行し、解析結果６４０としてフィット関数を生成し、出力する。
　例えば、平均を求めるようなモデルの場合、モデル関数ｙは、ｙ＝ａである。また、モデルが回帰直線ならば、モデル関数ｆ（ｘ）は、ｆ（ｘ）＝ａｘ＋ｂである。また、モデルが正規分布ならば、モデル関数は、その正規分布の確率密度関数である。尚、モデル関数は、上述の関数以外の任意の関数であってよい。
　具体的には、解析結果６４０は、モデル関数が回帰直線を示すｆ（ｘ）＝ａｘ＋ｂ（ｘは属性情報の順番の値）である場合、以下の通りである。即ち、解析結果６４０は、例えば、モデル関数のパラメータであるａ及びｂそれぞれを「１．２８」及び「１５９．１３」とする、ｆ（ｘ）＝１．２８ｘ＋１５９．１３である。
　以上が、解析部１１０の詳細な説明である。
　次に、フィードバック情報生成部１２０について、詳細に説明する。上述したように、フィードバック情報生成部１２０は、開示要求６２０を受け取る。その次に、フィードバック情報生成部１２０は、その開示要求６２０に基づいて生成した解析指示６３０を解析部１１０に出力する。また、フィードバック情報生成部１２０は、解析部１１０から受け取った解析結果６４０に基づいて匿名性を判定し、判定結果に基づいて解析結果またはフィードバック情報６５１を含む開示応答６５０を生成し、出力する。
　具体的に説明すると、フィードバック情報生成部１２０は、受け取った開示要求６２０の開示対象情報６２１（例えば、「３０代の人の趣味情報」）から解析対象に関連する情報を抽出し、解析対象情報６３１（例えば、「３０代」）を生成する。
　同様に、フィードバック情報生成部１２０は、開示対象情報６２１（例えば、「３０代の人の趣味情報」）及び開示形式情報６２２（例えば、「属性値の一覧」）を組み合わせることによって、解析方法情報６３２（例えば、「趣味情報の一覧を生成」）を生成する。
　次に、フィードバック情報生成部１２０は、生成した解析対象情報６３１及び解析方法情報６３２を含む解析指示６３０を解析部１１０に出力する。
　また、フィードバック情報生成部１２０は、解析部１１０から受け取った解析結果６４０の匿名性（例えば、ｌ−多様性）を算出する。ここでｌ−多様性を匿名性とした場合、例えば、図６に示すように解析結果６４０の匿名性は、属性値が「スポーツ」と「散歩」であるため、「２」である。
　次に、フィードバック情報生成部１２０は、算出した匿名性が閾値（例えば、「３」）未満である場合、フィードバック情報６５１を生成し、出力する。
　フィードバック情報６５１は、上述したように、開示対象情報６２１及び開示形式情報６２２の少なくとも一方について、その内容の変更を示唆する情報である。この情報は、その変更後の解析結果６４０の匿名性がその変更前の解析結果６４０の匿名性に比べて高くなるような、開示対象情報６２１及び開示形式情報６２２の内容の変更を示唆する情報である。従って、利用者は、出力されたフィードバック情報を確認することによって、有用なプライバシ情報を得るためにどうすればよいかを示すことが可能になる。
　尚、変更後の解析結果６４０は、フィードバック情報６５１が示す情報で示唆されるように、内容を変更した開示対象情報６２１及び開示形式情報６２２に基づいて、匿名化装置１００が生成する解析結果６４０である。例えば、匿名化装置１００は、フィードバック情報６５１に基づいて開示対象情報６２１（「３０代の人の趣味情報」）を「３０代及び４０代の人の趣味情報」に変更した、開示対象情報６２１を含む開示要求６２０を受け取る。この場合、フィードバック情報生成部１２０は、この開示要求６２０に基づいて解析指示６３０を生成する。その次に、フィードバック情報生成部１２０は、その生成した解析指示６３０を出力する。
　次に、解析部１１０は、この解析指示６３０に基づいて、図９に示すような解析結果６４０を生成し、フィードバック情報生成部１２０に出力する。この場合、図９に示すように、解析結果６４０の属性値は、「スポーツ」、「散歩」及び「読書」である。従って、フィードバック情報生成部１２０は、図９に示す解析結果６４０の匿名性（ここでは、ｌ−多様性）として「３」を算出する。
　従って、フィードバック情報６５１は、解析部１１０が生成する解析結果６４０の匿名性が閾値を満足（例えば、匿名性が閾値以上）するように、開示対象情報６２１及び開示形式情報６２２の変更を示唆する情報である。
　匿名化装置１００は、解析結果６４０の匿名性が閾値を満足していない場合、その解析結果６４０を開示しない。具体的には、フィードバック情報生成部１２０は、その解析結果６４０に替えて、開示不可を示す情報を含む開示応答６５０を出力部１０７４に出力する。
　また、フィードバック情報生成部１２０は、解析部１１０から受け取った解析結果６４０の内容を改変し、その匿名性が閾値を満足する不正確な解析結果を生成してもよい。更に、フィードバック情報生成部１２０は、生成した不正確な解析結果を含む開示応答６５０を出力部１０７４に出力してもよい。
　例えば、フィードバック情報生成部１２０は、解析結果６４０の属性値（例えば「スポーツ」）の１つを、ダミーデータ（例えば「つり」）に変更する。ダミーデータは、例えば、プライバシ情報６００に含まれていないランダムに生成された情報、或いはサンプル情報６１０以外のプライバシ情報６００に基づいた情報である。
　また、フィードバック情報生成部１２０は、解析結果６４０がフィット関数である場合、フィット関数のパラメータの値を変更した解析結果６４０を含む開示応答６５０を出力するようにしてもよい。
　また、フィードバック情報生成部１２０は、サンプルデータの粒度を変更して解析するように解析部１１０に指示し、その応答として受け取った解析結果６４０を出力するようにしてもよい。尚、この場合、解析部１１０は、フィードバック情報生成部１２０の指示に基づいて、サンプル情報６１０の解析を実行する。
　また、匿名化装置１００は、解析結果６４０の匿名性が閾値を満足している場合、その解析結果６４０を含む開示応答６５０を出力する。
　上述のように、解析結果６４０の匿名性が閾値を満足していない場合、利用者は、解析結果を得ることができない。或いは、解析結果６４０の匿名性が閾値を満足していない場合、利用者が受け取る解析情報は、本来の解析結果より正確性が劣る解析結果である。一方、解析結果６４０の匿名性が閾値を満足している場合、利用者は、有用な解析情報を得ることができる。
　以上説明したように、フィードバック情報６５１は、自身にとって有用なプライバシ情報（プライバシ情報６００の解析結果６４０）を得るために、利用者はどうすればよいかを示す情報である。
　次に本実施形態の動作について、図１~図１０を参照して詳細に説明する。
　図１０は、本実施形態の動作を示すフローチャートである。
　匿名化装置１００は、開示要求６２０を受け取ったことを契機に動作を開始する。
　まず、フィードバック情報生成部１２０は、開示対象情報６２１に基づいて、解析対象情報６３１を生成する（Ｓ８０１）。
　次に、フィードバック情報生成部１２０は、開示対象情報６２１及び開示形式情報６２２に基づいて、解析方法情報６３２を生成する（Ｓ８０２）。
　次に、フィードバック情報生成部１２０は、生成した解析対象情報６３１及び解析方法情報６３２を含む解析指示６３０を解析部１１０に出力する（Ｓ８０３）。
　次に、解析部１１０は、受け取った解析指示６３０に含まれる解析対象情報６３１に基づいて、サンプル情報６１０を選択する（Ｓ８０４）。
　次に、解析部１１０は、選択したサンプル情報６１０を、受け取った解析指示６３０に含まれる解析方法情報６３２に基づいて解析し、解析結果６４０を生成する（Ｓ８０５）。
　次に、解析部１１０は、生成した解析結果６４０を出力する（Ｓ８０６）。
　次に、フィードバック情報生成部１２０は、解析部１１０から受け取った解析結果６４０の匿名性を算出する（Ｓ８０７）。
　次に、フィードバック情報生成部１２０は、算出した匿名性が閾値未満か否かを判定する（Ｓ８０８）。
　閾値以上（例えば、匿名性が「２」、閾値が「２」）の場合（Ｓ８０８でＹＥＳ）、フィードバック情報生成部１２０は、解析結果６４０を含む開示応答６５０を出力する（Ｓ８０９）。そして、処理は終了する。
　閾値未満（例えば、匿名性が「２」、閾値が「３」）の場合（Ｓ８０８でＮＯ）、フィードバック情報生成部１２０は、フィードバック情報６５１を生成する（Ｓ８１０）。
　例えば、フィードバック情報生成部１２０は、開示対象情報６２１に基づいて、サンプル情報６１０のレコード数が増加するように開示対象情報６２１を変更することを示唆する情報を含むフィードバック情報６５１を生成する。これは、サンプル情報６１０のレコード数が増加すると、属性値の種類も増加する方向であり、ｌ−匿名性が大きくなることが期待できるからである。
　尚、匿名化装置１００は、以下のようにしてフィードバック情報６５１を生成してもよい。まず、フィードバック情報生成部１２０は、図示しない手段に保持されている規則に基づいて内容を変更した、解析対象情報６３１及び解析方法情報６３２を生成する。
　図示しない手段に保持されている規則は、例えば、「解析対象として、１０の位（例えば、「３」）を、１増加した範囲の年齢（例えば、「４０代」）を追加する」である。
　次に、匿名化装置１００は、上述のＳ８０３~Ｓ８０７と同様の動作を実行し、内容を変更した解析対象情報６３１及び解析方法情報６３２に基づく解析結果６４０の匿名性を算出する。フィードバック情報生成部１２０は、このようにして算出した複数の匿名性に基づいて、フィードバック情報６５１を生成する。
　このとき、匿名化装置１００は、算出した匿名性が閾値よりも大きくなるまで、上記の手順を繰り返してもよい。匿名化装置１００は、例えば、「４０代」を解析対象に加えただけでは、算出した匿名性が閾値よりも低い場合、「５０代」を更に加えて、算出した匿名性が閾値以上であるかを確認する。そして、匿名化装置１００は、算出した匿名性が閾値以上であれば、フィードバック情報６５１を生成し、出力する。「５０代」を加えて算出した匿名性が閾値よりも低い場合、匿名化装置１００は、「６０代」を追加、「７０代」を追加…のように、匿名性を満たすまで続ける。全部の年齢を追加しても匿名性を満たさない場合、匿名化装置１００は、エラーを出力するようにしてもよい。
　次に、フィードバック情報生成部１２０は、生成したフィードバック情報６５１を含む開示応答６５０を出力する（Ｓ８１１）。そして、処理は終了する。
　尚、前述の説明において、フィードバック情報生成部１２０がフィードバック情報６５１を１つ生成する場合の、例を説明した。しかし、フィードバック情報生成部１２０は、複数のフィードバック情報６５１を生成してもよい。例えば、フィードバック情報生成部１２０は、「４０代」という解析対象を、「「２０代と３０代」に変更」というフィードバック情報６５１と、「「３０代と４０代」に変更」というフィードバック情報６５１とを生成してもよい。
　また、開示対象情報６２１が、解析の対象とするプライバシ情報６００の範囲を複数の条件によって示している場合、フィードバック情報生成部１２０は、それぞれの条件に対応するフィードバック情報６５１を生成してもよい。例えば、開示対象情報６２１が、解析の対象とするプライバシ情報６００の範囲として、「年齢が３０代、及び住所が東京」を示しているとする。この場合、フィードバック情報生成部１２０は、「年齢の条件を３０代と４０代に変更する」及び「住所の条件を東京と神奈川」に変更する」というような、それぞれの条件に対応するフィードバック情報６５１を生成してもよい。
　また、フィードバック情報生成部１２０は、複数の示唆を含むフィードバック情報６５１を出力してもよい。例えば、フィードバック情報生成部１２０は、「４０代」という解析対象を、「「２０代及び３０代」もしくは「３０代及び４０代」に変更」というフィードバック情報６５１を出力してもよい。また、フィードバック情報生成部１２０は、「年齢の条件を３０歳~４５歳に変更する、かつ住所の条件を東京と神奈川に変更する」というフィードバック情報６５１を出力してもよい。
　上述した本実施形態における第１の効果は、有用なプライバシ情報を得るために利用者がどうすればよいかを、示すことが可能になる点である。
　その理由は、以下のような構成を含むからである。第１に、解析部１１０は、プライバシ情報６００の解析を指示する解析指示６３０に基づいて、プライバシ情報６００を解析し、解析結果６４０を出力する。第２に、フィードバック情報生成部１２０は、解析指示６３０を解析部１１０に出力し、応答として受け取った解析結果６４０の匿名性に基づいて、フィードバック情報６５１を含む開示応答６５０を生成し、出力する。
　上述した本実施形態における第２の効果は、利用者がより適切な解析対象を決定するための情報を、示すことが可能になる点である。
　その理由は、フィードバック情報生成部１２０が複数のフィードバック情報６５１を生成し、及びフィードバック情報生成部１２０が複数の示唆を含むフィードバック情報６５１を生成し、出力するようにしたからである。
　［第２の実施の形態］
　次に、本発明の第２の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
　本実施形態の構成は、図１及び図８に示す第１の実施形態の匿名化装置１００の構成と同しである。
　本実施形態は、図６に示す解析結果６４０の匿名性が閾値を満足しないため、フィードバック情報生成部１２０が、不正確な解析結果を含む開示応答６５０を出力する場合の、動作が異なる。尚、フィードバック情報生成部１２０は、解析部１１０から受け取った解析結果６４０の内容を改変し、その匿名性が閾値を満足する不正確な解析結果を生成する。
　本実施形態において、フィードバック情報生成部１２０は、正確性情報を含む開示応答６５０を出力する。正確性情報は、開示要求６２０の応答として出力する不正確な解析結果が、どの程度正確（或いは、不正確）であるかを示す情報である。具体的には、正確性情報は、解析結果６４０に対応する不正確な解析結果の、正確性を示す。
　図１１は、開示応答６５０の一例を示す図である。図１１に示すように、開示応答６５０は、フィードバック情報６５１と正確性情報６５２とを含む。
　正確性情報６５２は、ある開示要求６２０に対応する解析結果６４０に対応する、匿名化装置１００が出力可能な不正確な解析結果の正確性を示す情報である。例えば、正確性情報６５２は、不正確な解析結果に正しい属性値が含まれている割り合いである（例えば、「８０％」）。
　また、正確性情報６５２は、例えば「属性値を少なくとも１つ入れ替え」のように文章で表現された情報であってもよい。また、正確性情報６５２は、サンプル情報６１０の粒度の変更率であってもよい。また、正確性情報６５２は、フィット関数のパラメータの値の変更の有無であってもよい。
　また、フィードバック情報生成部１２０は、例えば、「「８０％」が「１００％」に変化」のような正確性情報６５２を出力してもよい。この正確性情報６５２は、不正確な解析結果の正確性（８０％）と、フィードバック情報６５１に基づいて解析対象情報６３１及び解析方法情報６３２を変更した場合の解析結果６４０の正確性（１００％）とを含む。即ち、フィードバック情報６５１に基づいて解析対象情報６３１及び解析方法情報６３２を変更した場合の、正確性の変化に関連する情報を示している。例えば、フィードバック情報６５１とこの正確性情報６５２とは、開示対象の範囲が「３０代」の場合に正確性は「８０％」であり、開示対象の範囲が「３０代及び４０代」の場合に正確性は「１００％」であることを示す。
　上述した本実施形態における第１の効果は、第１の実施形態の効果に加えて、開示要求６２０の応答として取得できる不正確な解析結果が、どの程度正確であるかを、利用者に示すことが可能になる点である。
　その理由は、フィードバック情報生成部１２０が、正確性情報６５２を含む開示応答６５０を出力するようにしたからである。
　上述した本実施形態における第２の効果は、第１の実施形態の効果に加えて、フィードバック情報６５１に基づいて解析対象情報６３１及び解析方法情報６３２を変更した場合の、正確性の変化を、利用者に示すことが可能になる点である。
　その理由は、フィードバック情報生成部１２０が、不正確な解析結果と、フィードバック情報６５１に基づいて解析対象情報６３１及び解析方法情報６３２を変更した後の解析結果６４０の正確性と、を含む開示応答６５０を出力するようにしたからである。
　［第３の実施の形態］
　次に、本発明の第３の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
　本実施形態の構成は、図１及び図８に示す第１の実施形態の匿名化装置１００の構成と同じである。
　本実施形態は、利用者に対し、利用者にとって有用なプライバシ情報を得るために、開示形式を変更することを示唆する場合の実施形態である。
　本実施形態における開示要求６２０は、例えば、開示対象情報６２１が「３０代の身長」、開示形式情報６２２が「属性値の分布」である。
　フィードバック情報生成部１２０は、上述のような開示要求６２０を受け取る。
　本実施形態における解析指示６３０は、例えば、解析対象情報６３１が「３０代」、解析方法情報６３２が「身長の分布に「ａ＊ｅｘｐ（−ｂ＊ｘ＾４）」をフィッティング」である。ここで、「ａ＊ｅｘｐ（−ｂ＊ｘ＾４）」は、モデル関数であり、式２に示す数式を示す。以下の同様である。

　次に、フィードバック情報生成部１２０は、上述のような解析指示６３０を出力する。
　次に、解析部１１０は、その解析指示６３０を受け取る。
　次に、解析部１１０は、プライバシ情報６００を参照して、解析対象情報６３１に基づいてサンプル情報６１０を選択する。
　次に、解析部１１０は、選択したサンプル情報６１０に解析方法情報６３２で示されるモデル関数をフィッティングし、解析結果６４０を生成する。
　本実施形態における解析結果６４０は、例えば、フィット関数のパラメータ（例えば、ａ＝２．５、ｂ＝３．２）である。
　次に、解析部１１０は、解析結果６４０を出力する。
　次に、フィードバック情報生成部１２０は、その解析結果６４０を受け取る。
　次に、フィードバック情報生成部１２０は、その解析結果６４０に基づいて、フィードバック情報６５１及び正確性情報６５２を含む開示応答６５０を生成する。
　本実施形態における開示応答６５０のフィードバック情報６５１は、例えば、「「ａ＊ｅｘｐ（−ｂ＊ｘ＾４）」を「ａ＊ｅｘｐ（−ｂ＊ｘ＾２）」に変更」である。また、正確性情報６５２は、例えば、「「パラメータの変更大」が「パラメータの変更小」に変化」である。
　上述のように、本実施形態の匿名化装置１００は、開示対象情報６２１を変更する代わりに、開示形式情報６２２に関連する開示形式の変更を示唆する。尚、本実施形態においては、開示形式情報６２２は、解析方法情報６３２を直接示す情報ではない。
　従って、フィードバック情報生成部１２０は、例えば、記憶部１０７１に保持されている、モデル関数のリストを参照し、解析方法情報６３２及びフィードバック情報６５１を生成する。ここで、モデル関数のリストは、例えば、｛ａ＊ｅｘｐ（−ｂ＊ｘ＾４），ａ＊ｅｘｐ（−ｂ＊ｘ＾４），・・・｝である。
　例えば、「ｆ（ｘ）＝ａ＊ｅｘｐ（−ｂ＊ｘ＾２）」と「ｆ（ｘ）＝ａ＊ｅｘｐ（−ｂ＊ｘ＾４）」とを比較すると、「ｘ」の増加に伴って、後者の「ｆ（ｘ）」の値は、前者の「ｆ（ｘ）」の値に比べて急激に小さくなる。従って、後者の「ｆ（ｘ）＝ａ＊ｅｘｐ（−ｂ＊ｘ＾４）」で表される分布は、幅が狭く、匿名性は低くなる。
　そこで、フィードバック情報生成部１２０は、例えば、まず後者の式で解析部１１０に解析を指示し、解析結果６４０を受け取る。次に、フィードバック情報生成部１２０は、その解析結果６４０の匿名性が閾値より低い場合には、更に前者の式で解析部１１０に解析を指示し、解析結果６４０を受け取る。
　次に、フィードバック情報生成部１２０は、これらの解析結果６４０に基づいて、上述のようなフィードバック情報６５１及び正確性情報６５２を生成する。
　上述の開示応答６５０を受け取った利用者は、例えば、正確性情報６５２の「パラメータの変更小」に対応する、フィードバック情報６５１の［ｆ（ｘ）＝ａ＊ｅｘｐ（−ｂ＊ｘ＾２）」を、次の開示要求６２０の開示形式情報６２２とすることができる。
　尚、フィードバック情報生成部１２０は、正確性情報６５２を含まない開示応答６５０を出力するようにしてもよい。
　上述した本実施形態における効果は、第１の実施形態の効果に加えて、開示形式の変更による正確性の変化を、利用者に示すことが可能になる点である。
　その理由は、解析部１１０がサンプル情報６１０にモデル関数をフィッティングして解析結果６４０を生成し、フィードバック情報生成部１２０が開示形式を含むフィードバック情報６５１を生成するようにしたからである。
　［第４の実施の形態］
　次に、本発明の第４の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
　図１２は、第４の実施形態の構成を示すブロック図である。
　図１２を参照すると、本実施形態に係る匿名化装置２００は、解析部１１０、フィードバック情報生成部１２０及びサンプルレコード計数部１３０を含む。を含む。尚、図１２に示す構成要素は、ハードウェア単位の構成要素ではなく、機能単位の構成要素を示している。
　本実施形態に係る匿名化装置２００のハードウェア単位の構成要素は図８に示す匿名化装置１００と同等である。
　本実施形態は、第１の実施形態に比べて、解析結果６４０の匿名性が閾値を満足しない場合の動作が異なる。
　サンプルレコード計数部１３０は、解析対象情報６３１に基づいて、サンプルレコードを計数し、その結果を出力する。例えば、図２に示すプライバシ情報６００において、解析対象情報６３１が「３０代及び４０代」の場合、サンプルレコードの計数結果は、「１０」である。
　フィードバック情報生成部１２０は、解析結果６４０の匿名性が閾値を満足しない場合、図示しない手段に保持されている規則に基づいて解析対象情報６３１を変更する。例えば、図２に示すプライバシ情報６００において、解析対象情報６３１が「３０代」の場合、ｌ−匿名性は「２」である。ここで、閾値が「３」である場合、ｌ−匿名性が閾値未満であるため、解析結果６４０の匿名性は閾値を満足しない。そこで、例えば、フィードバック情報生成部１２０は、解析対象情報６３１を「３０代」から「３０代及び４０代」に変更する。
　次に、フィードバック情報生成部１２０は、変更した解析対象情報６３１をサンプルレコード計数部１３０に出力する。
　次に、フィードバック情報生成部１２０は、サンプルレコード計数部１３０からサンプルレコードの計数結果（例えば、「１０」）を受け取る。
　次に、フィードバック情報生成部１２０は、解析部１１０から受け取った解析結果６４０とサンプルレコード計数部１３０から受け取ったサンプルレコードの計数結果とに基づいて、フィードバック情報６５１を生成する。即ち、フィードバック情報生成部１２０は、サンプルレコードの数が増加（例えば、「５」から「１０」）することに基づいて、開示対象情報６２１を「３０代」から「３０代及び４０代」に変更することを示唆するフィードバック情報６５１を生成する。
　次に、フィードバック情報生成部１２０は、生成したフィードバック情報６５１を含む開示応答６５０を出力する。
　上述した本実施形態における効果は、第１の実施形態の効果に加えて、フィードバック情報６５１を生成する負荷を軽減することが可能になる点である。
　その理由は、サンプルレコード計数部１３０サンプルレコードを計数し、フィードバック情報生成部１２０がこの計数結果に基づいて、フィードバック情報６５１を生成するようにしたからである。
　以上の各実施形態で説明した各構成要素は、必ずしも個々に独立した存在である必要はない。例えば、各構成要素は、複数の構成要素が１個のモジュールとして実現されたり、１つの構成要素が複数のモジュールで実現されたりしてもよい。また、各構成要素は、ある構成要素が他の構成要素の一部であったり、ある構成要素の一部と他の構成要素の一部とが重複していたり、といったような構成であってもよい。
　以上説明した各実施形態における各構成要素及び各構成要素を実現するモジュールは、必要に応じ可能であれば、ハードウェア的に実現されても、コンピュータ及びプログラムで実現されても、ハードウェア的なモジュールとコンピュータ及びプログラムとの混在により実現されても良い。プログラムは、磁気ディスクや半導体メモリなど、不揮発性のコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られる。この読み取られたプログラムは、そのコンピュータの動作を制御することにより、そのコンピュータを前述した各実施形態における構成要素として機能させる。
　また、以上説明した各実施形態では、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障しない範囲で変更することができる。
　更に、以上説明した各実施形態では、複数の動作は個々に相違するタイミングで実行されることに限定されない。例えば、ある動作の実行中に他の動作が発生したり、ある動作と他の動作との実行タイミングが部分的に乃至全部において重複していたりしていてもよい。
　更に、以上説明した各実施形態では、ある動作が他の動作の契機になるように記載しているが、その記載はある動作と他の動作の全ての関係を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の関係は内容的に支障のない範囲で変更することができる。また各構成要素の各動作の具体的な記載は、各構成要素の各動作を限定するものではない。このため、各構成要素の具体的な各動作は、各実施形態を実施する上で機能的、性能的、その他の特性に対して支障をきたさない範囲内で変更されて良い。
　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
　この出願は、２０１１年８月２５日に出願された日本出願特願２０１１−１８３６１０を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　本発明は、例えば、プライバシ情報に基づく統計処理サービスに適用できる。

　１００　匿名化装置
　１１０　解析部
　１２０　フィードバック情報生成部
　１３０　サンプルレコード計数部
　２００　匿名化装置
　６００　プライバシ情報
　６０１　年齢情報
　６０２　趣味情報
　６１０　サンプル情報
　６２０　開示要求
　６２１　開示対象情報
　６２２　開示形式情報
　６３０　解析指示
　６３１　解析対象情報
　６３２　解析方法情報
　６４０　解析結果
　６５０　開示応答
　６５１　フィードバック情報
　６５２　正確性情報
　１０７０　ＣＰＵ
　１０７１　記憶部
　１０７２　記憶装置
　１０７３　入力部
　１０７４　出力部
　１０７５　通信部
　１０７７　記録媒体

Claims

　少なくとも１以上の個人毎の個人情報を含むプライバシ情報について、解析の対象とする前記個人情報を示す解析対象情報と解析の方法を示す解析方法情報とを含む解析指示に基づいて、前記プライバシ情報の解析結果を出力する解析手段と、
　前記プライバシ情報について、開示の対象を示す開示対象情報と開示の形式を示す開示形式情報とを含む開示要求に基づいて、前記解析指示を生成し、前記解析手段に出力し、前記解析手段から受け取った前記解析結果の匿名性に基づいて、前記開示対象情報及び前記開示形式情報の少なくとも一方について、前記匿名性を高くするための変更を示唆するフィードバック情報を含む開示応答を生成し、出力するフィードバック情報生成手段と、を含む
　匿名化装置。
　前記フィードバック情報生成手段は、前記解析結果に対応する、前記匿名性が閾値を満足するように前記解析結果の内容を改変した不正確な解析結果を生成し、前記不正確な解析結果の正確性を示す正確性情報を生成し、
　前記開示応答は、前記正確性情報を含む
　ことを特徴とする請求項１記載の匿名化装置。
　前記フィードバック情報生成手段は、前記不正確な解析結果の正確性に対応する、前記匿名性を高くする変更の示唆に基づいて前記開示対象情報及び前記開示形式情報を変更した場合の、解析結果の正確性を更に示す前記正確性情報を生成する
　ことを特徴とする請求項２記載の匿名化装置。
　前記解析部１１０は、特定の関数をフィッティングしてプライバシ情報を解析し
　前記フィードバック情報生成手段は、前記匿名性が高くなるように、前記開示形式情報において前記特定の関数を変更することを示唆するフィードバック情報を含む前記開示応答を生成する
　ことを特徴とする請求項１乃至３のいずれかに記載の匿名化装置。
　前記フィードバック情報生成手段は、前記解析の対象とする個人情報のレコード数が増加するように、前記開示対象情報を変更することを示唆するフィードバック情報を含む前記開示応答を生成する
　ことを特徴とする請求項１乃至４のいずれかに記載の匿名化装置。
　前記解析対象情報に基づいて、前記解析の対象とする個人情報のレコード数を計数し、計数結果を出力するサンプルレコード計数手段を更に含み、
　前記フィードバック情報生成手段は、前記解析結果と前記計数結果とに基づいて、前記を生成する
　ことを特徴とする請求項１乃至５のいずれかに記載の匿名化装置。
　コンピュータが、
　少なくとも１以上の個人毎の個人情報を含むプライバシ情報について、解析の対象とする前記個人情報を示す解析対象情報と解析の方法を示す解析方法情報とを含む解析指示に基づいて、前記プライバシ情報の解析結果を出力し、
　前記プライバシ情報について、開示の対象を示す開示対象情報と開示の形式を示す開示形式情報とを含む開示要求に基づいて、前記解析指示を生成して出力し、前記解析結果の匿名性に基づいて、前記開示対象情報及び前記開示形式情報の少なくとも一方について、前記匿名性を高くするための変更を示唆するフィードバック情報を含む開示応答を生成し、出力する
　匿名化方法。
　前記コンピュータが、
　前記解析結果に対応する、前記匿名性が閾値を満足するように前記解析結果の内容を改変した不正確な解析結果を生成し、前記不正確な解析結果の正確性を示す正確性情報を生成し、
　前記開示応答は、前記正確性情報を含む
　ことを特徴とする請求項７記載の匿名化方法。
　前記コンピュータが、
　前記不正確な解析結果の正確性に対応する、前記匿名性を高くする変更の示唆に基づいて前記開示対象情報及び前記開示形式情報を変更した場合の、解析結果の正確性を更に示す前記正確性情報を生成する
　ことを特徴とする請求項８記載の匿名化方法。
　コンピュータに、
　少なくとも１以上の個人毎の個人情報を含むプライバシ情報について、解析の対象とする前記個人情報を示す解析対象情報と解析の方法を示す解析方法情報とを含む解析指示に基づいて、前記プライバシ情報の解析結果を出力し、
　前記プライバシ情報について、開示の対象を示す開示対象情報と開示の形式を示す開示形式情報とを含む開示要求に基づいて、前記解析指示を生成して出力し、前記解析結果の匿名性に基づいて、前記開示対象情報及び前記開示形式情報の少なくとも一方について、前記匿名性を高くするための変更を示唆するフィードバック情報を含む開示応答を生成し、出力する処理を実行させる
　プログラムを記録した不揮発性媒体。