WO2013121790A1

WO2013121790A1 - プライバシ情報を扱う情報処理装置、プライバシ情報を扱う情報処理システム、プライバシ情報を扱う情報処理方法及びプログラム

Info

Publication number: WO2013121790A1
Application number: PCT/JP2013/000825
Authority: WO
Inventors: 諒古川
Original assignee: 日本電気株式会社
Priority date: 2012-02-17
Filing date: 2013-02-15
Publication date: 2013-08-22
Also published as: JPWO2013121790A1; US9418233B2; US20150012965A1

Abstract

　ポリシ間で競合が生じた場合において、プライバシ情報保有者とプライバシ情報利用者との間で手間をかけずに容易にポリシを決定することができる技術を提供する。本発明におけるプライバシ情報を扱う情報処理装置は、プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出する抽出処理を実行する類似ユーザ抽出手段と、抽出したユーザ識別子の集合と、ユーザによって入力されたサービス識別子と、に基づいてポリシの集合を取得して出力するポリシレコメンド手段と、を含む。

Description

プライバシ情報を扱う情報処理装置、プライバシ情報を扱う情報処理システム、プライバシ情報を扱う情報処理方法及びプログラム

　本発明はプライバシポリシについての技術に関し、特にプライバシ情報保有者とプライバシ情報利用者との間で適切なポリシを設定する技術に関する。

　近年、プライバシ情報保有者の属性情報（年齢、性別、住所など）や行動情報（位置情報、商品購買情報など）を取得し、プライバシ情報保有者の嗜好に合った広告の配信などに利用するサービスが注目されている。

　このようなサービスにおいて、属性情報や行動情報はプライバシ情報であるため、サービスの提供者であるプライバシ情報利用者が、一方的に属性情報や行動情報を取得又は利用してしまうとプライバシ情報保有者のプライバシが侵害されることになる。そのため、プライバシ情報利用者によるプライバシ情報の取り扱い方（開示条件、データ保護の要件など）を、プライバシ情報保有者が制御できる必要がある。

　このような制御を行う方法として、非特許文献１に記載のＰ３Ｐ（Ｐｌａｔｆｏｒｍ　ｆｏｒ　Ｐｒｉｖａｃｙ　Ｐｒｅｆｅｒｅｎｃｅｓ）などを用いたポリシベースの制御方法がある。

　Ｐ３Ｐの技術は、プライバシ情報の取り扱い方を以下のように制御する。前提として、サービスを提供するプライバシ情報利用者は、収集するプライバシ情報とその取り扱い方法をＸＭＬで記載したポリシファイル（以下、「サービスポリシ」という。）を設定する。また、プライバシ情報保有者は、提供するプライバシ情報とそのデータ開示方法をＸＭＬで記載したポリシファイル（以下、「ユーザポリシ」という。）を設定する。Ｐ３Ｐの技術は、ユーザポリシとサービスポリシの間で、データ開示の条件が整合するかどうかを調査することで、データ開示の判断を自動的又は半自動的に実施する。

　Ｐ３Ｐの技術は、ユーザポリシとサービスポリシが競合し、データ開示の合意が得られない場合（たとえば、両者のデータ開示の条件が相反する場合）、プライバシ情報利用者はデータを利用できなくなる、或いは、プライバシ情報保有者はサービスを受けることができなくなる。そのため、プライバシ情報保有者とプライバシ情報利用者は、ポリシの合意形成を行う必要がある。このような２者間でのポリシの合意形成方法はポリシ調停方法と呼ばれる。

　ポリシ調停方法の一例が、非特許文献２に記載されている。非特許文献２に記載のポリシ調停方法は、ネットワークで接続されたプライバシ情報保有端末とプライバシ情報利用端末とから構成されている。

　非特許文献２に記載のポリシ調停方法は次のように動作する。

　すなわち、プライバシ情報利用端末は、利用ポリシ（サービスポリシ）をプライバシ情報保有端末へ送信する。

　プライバシ情報保有端末は、利用ポリシとプライバシポリシ（ユーザポリシ）の比較を行い、競合がなければ、プライバシ情報保有者の属性情報を送信する。

　競合がある場合、プライバシ情報保有端末は、利用及び保持の条件をプライバシ情報利用端末へ送信する。

　プライバシ情報利用端末は、条件を満たすように新しい利用ポリシを生成し、生成した利用ポリシをプライバシ情報保有端末へ送信する。

　非特許文献２に記載のポリシ調停方法は、上述のポリシの送信及び比較、条件の送信並びに新しいポリシの生成を両者の合意が形成されるまで繰り返すことでポリシ調停を行う。

　非特許文献２と同様の技術は、特許文献１にも記載されている。

　また、本発明に関連する他の技術が、特許文献２に記載されている。

　特許文献２は、情報処理端末によりアクセス可能な情報に対するアクセス制限の内容を、アクセス制限情報として出力するアクセス制限情報出力装置を開示する。

　特許文献２において、記憶手段は、既に設定されたアクセス制限の内容を、予め定められた基準に基づいて分けられた項目毎に示すアクセス制限情報である設定済みアクセス制限情報を、設定した利用者毎に記憶する。

　出力要求受付手段は、アクセス制限情報の出力要求と、要求対象の項目の指定と、を要求者が利用する端末装置から受け付ける。

　選択手段は、記憶手段に記憶された設定済みアクセス制限情報のうち、要求者の設定済みアクセス制限情報と内容が類似する他者の設定済みアクセス制限情報を少なくとも一つ選択する。

　出力手段は、選択された設定済みアクセス制限情報が示す内容のうち、指定された項目に対応する内容をアクセス制限情報として端末装置に出力する。

　特許文献２に記載のアクセス制御情報出力装置は、上述の構成を採用することにより、要求者の方針に合ったアクセス制限情報を、手間をかけずに設定できる。

特開２００４－１９２３５３号公報特開２００９－２５８８２６号公報

http://www.w3.org/p3p Makoto Hatakeyama、Hidehito　Gomi著、"Privacy Policy Negotiation Framework for Attribute Exchange"、W3C Workshop on Languages for Privacy Policy Negotiation and Semantics-Driven Enforcement、2006年、http://www.w3.org/2006/07/privacy-ws/papers/22-hatakeyama-negotiation-attributes/

　非特許文献２や特許文献１に記載の技術は、プライバシ情報保有者とプライバシ情報利用者の間でポリシの競合が生じた場合でも、複数回の対話を行うことで、プライバシ情報保有者とプライバシ情報利用者の間で柔軟にポリシを合意できる。

　しかしながら、プライバシ情報保有者が、さまざまに存在するプライバシ情報利用者に対して、柔軟にポリシ調停を行うことは、プライバシ情報保有者にとって負荷が高い。

　つまり、プライバシ情報保有者は、複数のプライバシ情報利用者とポリシを決定する場合、複数のプライバシ情報利用者ごとに複数回の対話を行う必要があり、非特許文献２や特許文献１に記載の技術は、その対話が手間となり負荷が高くなる。

　一方、特許文献２に記載の技術は、要求者の方針に合ったアクセス制限情報を、手間をかけずに設定できる。

　しかしながら、特許文献２に記載の技術は、アクセス制御ポリシに関する技術であってプライバシポリシに関する技術ではない。そのため、特許文献２に記載の技術は、ポリシ間で競合が生じた場合にポリシ調停を行う、という課題を解決することができない。

　以上より本発明の目的は、ポリシ間で競合が生じた場合において、プライバシ情報保有者とプライバシ情報利用者との間で手間をかけずに容易にポリシを決定することができる技術を提供することである。

　上記目的を達成するため、本発明におけるプライバシ情報を扱う情報処理装置は、プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出する類似ユーザ抽出手段と、前記抽出したユーザ識別子の集合と、前記ユーザによって入力されたサービス識別子と、に基づいてポリシの集合を取得して出力するポリシレコメンド手段と、を含む。

　また、上記目的を達成するため、本発明におけるプライバシ情報を扱う情報処理システムは、プライバシ情報を扱う情報処理装置と、前記ポリシレコメンド手段によって出力されたポリシの集合の中からユーザの入力により選択されたポリシを、前記プライバシ情報を扱う情報処理装置へ送信するユーザ端末と、を含む。
また、上記目的を達成するため、本発明におけるユーザ端末は、前記プライバシ情報を扱う情報処理装置の前記ポリシレコメンド手段によって出力されたポリシの集合の中から、ユーザの入力により選択されたポリシを、前記プライバシ情報を扱う情報処理装置へ送信する。

　また、上記目的を達成するため、本発明におけるプライバシ情報を扱う情報処理方法は、プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出し、前記抽出したユーザ識別子の集合と、前記ユーザによって入力されたサービス識別子とに基づいてポリシの集合を取得して出力する。

　また、上記目的を達成するため、本発明におけるプログラムは、プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出し、前記抽出したユーザ識別子の集合と、前記ユーザによって入力されたサービス識別子とに基づいてポリシの集合を取得して出力する、処理をコンピュータに実行させる。

　本発明における技術によれば、ポリシ間で競合が生じた場合において、プライバシ情報保有者とプライバシ情報利用者との間で手間をかけずに容易にポリシを決定することができる。

本発明の第１実施形態に係るプライバシポリシレコメンドシステム１０００の構成を示すブロック図である。類似ユーザ抽出部１０３の詳細を示すブロック図である。第１実施形態におけるプライバシポリシレコメンドシステム１００の動作を示すフローチャート図である。類似ユーザ抽出部１０３がユーザ識別子集合を取得する動作を示すフローチャート図である。類似度計算部１０７がユーザ識別子の類似度を計算する動作を示すフローチャート図である。本実施例におけるポリシの一例を示す図である。ポリシ格納部１０１に格納されているデータの例を示す図である。ユーザ識別子＝“１”のユーザのユーザポリシの例を示す図である。サービス識別子＝“３”のサービス提供者のサービスポリシの例を示す図であるユーザ抽出部１０６が抽出する（サービス識別子、ポリシ）の組の集合の例を示す図である。ユーザ抽出部１０６が抽出する（ユーザ識別子、（サービス識別子、ポリシ）の組の集合）の組の集合の例を示す図である。類似度計算部１０７に入力されるＳ１及びＳ２の例を示す図である。サービス識別子＝“１”に対して類似度計算部１０７が取得するポリシの例を示す図である。類似度計算の対象となる所定のユーザ識別子に対するサービス識別子ごとの距離を示す図である。ユーザ識別子＝“１”と、他の所定のユーザ識別子との類似度を示す図である。ユーザに推薦されるポリシ集合の例を示す図である。本発明によってポリシ格納部１０１のデータが更新された状態を示す図である。第２実施形態に係るプライバシポリシレコメンド装置３００の構成を示すブロック図である。第１実施形態におけるプライバシポリシレコメンド装置１００のハードウェア構成の例を示すブロック図である。第１の実施形態に係るユーザ端末２００の構成を示すブロック図である。

　＜第１実施形態＞
　本発明の第１実施形態について図面を参照して詳細に説明する。

　まず、前提として本実施形態においてポリシは、データ属性とデータ属性ごとのアクション（プライバシ情報の取り扱い方）が記述されているものとする。データ属性は、氏名、年齢、住所などの属性情報と、位置情報、購買情報などの行動情報を含めて、データの性質を識別する値である。データ属性ごとのアクションは、プライバシ情報の取り扱い方を記述するものである。

　プライバシ情報の取り扱い方には、プライバシ情報を「提供する」か「提供しない」か、の他に「プライバシ情報に保護処理を実施して提供する」、といった取り扱い方がある。プライバシ情報に保護処理を実施して提供する態様には、「暗号化を施して提供する」や「ノイズを加えて提供する」などの取り扱い方がある。

　図１は、本発明の第１実施形態に係るプライバシポリシレコメンドシステム１０００の構成を示すブロック図である。図１に示すように、プライバシポリシレコメンドシステム１０００は、プライバシポリシレコメンド装置１００と、ユーザ端末２００と、を含む。また、プライバシポリシレコメンド装置１００は、ポリシ格納部１０１と、競合判定部１０２と、類似ユーザ抽出部１０３と、ポリシレコメンド部１０４と、ポリシ受信部１０５と、を含む。

　ポリシ格納部１０１は、ユーザであるプライバシ情報保有者を識別するユーザ識別子と、サービス提供者であるプライバシ情報利用者を識別するサービス識別子と、ユーザ識別子及びサービス識別子ごとのプライバシ情報の取り扱いを規定するポリシと、を格納する。

　競合判定部１０２は、ユーザによって入力されたデータのポリシと、サービス提供者毎に予め設定されているサービスのポリシとの間に競合が存在するか否かを判定する。なお、本明細書で記述される「ユーザによって入力された」、「ユーザにより、・・・が入力される」、「ユーザにより入力された」は、ユーザ自身による入力の他に、ユーザ以外の者によるユーザの意志を反映した入力も含まれる。

　具体的には、競合判定部１０２は、ユーザ端末２００を介してユーザにより、当該ユーザのユーザ識別子と、当該ユーザが提供を受けたいサービスのサービス識別子と、当該ユーザのプライバシ情報の取り扱いを規定するユーザポリシと、が入力される。

　競合判定部１０２は、ユーザにより入力されたサービス識別子のサービスポリシを、サービス提供者から取得する。

　競合判定部１０２は、ユーザにより入力されたユーザポリシと、サービス提供者から取得したサービスポリシとの間に競合が存在するか否かを判定する。競合が存在すると判定すると、競合判定部１０２は、ユーザによって入力されたユーザ識別子と、サービス識別子と、抽出処理の実行命令と、を類似ユーザ抽出部１０３に出力する。競合が存在しないと判定すると、競合判定部１０２は、サービス提供者にサービスの提供を促し、ユーザによる次のデータの入力を待つ。

　類似ユーザ抽出部１０３は、競合判定部１０２によって競合が存在すると判定された場合に抽出処理の実行命令を受け、ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を、ポリシ格納部１０１から抽出する。ここで、類似ユーザ抽出部１０３は、ユーザ識別子が類似するか否かを、当該ユーザ識別子と対応するサービス識別子及びポリシが類似するか否かによって判定しても良い。

　具体的には、類似ユーザ抽出部１０３は、ポリシ格納部１０１に格納されるデータのうち、ユーザによって入力されたユーザ識別子に対応するサービス識別子及びポリシと類似するサービス識別子及びポリシが設定された他のユーザのユーザ識別子を、該当する集合として抽出する。ここで、類似ユーザ抽出部１０３は、サービス識別子及びポリシが類似するか否かについて、サービス識別子が同一でポリシが類似する場合は類似と判定し、サービス識別子が異なる場合又はサービス識別子が同一でポリシが類似でない場合は、類似でないと判定しても良い。

　類似ユーザ抽出部１０３は、抽出したユーザ識別子の集合をポリシレコメンド部１０４に出力する。また、類似ユーザ抽出部１０３は、ユーザによって入力されたサービス識別子をポリシレコメンド部１０４に出力する。

　ポリシレコメンド部１０４は、類似ユーザ抽出部１０３から入力されたユーザ識別子の集合と、ユーザによって入力されたサービス識別子とに基づいて、ポリシ格納部１０１からポリシの集合を取得する。

　ポリシレコメンド部１０４は、ポリシ格納部１０１から取得したポリシの集合をユーザ端末２００に出力する。

　ポリシ受信部１０５は、ポリシレコメンド部１０４から出力されたポリシの集合からユーザが選択したポリシを受信し、ユーザ識別子及びサービス識別子と対応付けてポリシ格納部１０１へ格納する。

　ユーザ端末２００は、上述の、ユーザによるユーザ識別子、サービス識別子及びユーザポリシの入力を受け付ける。ユーザ端末２００は、ユーザにより入力されたユーザ識別子、サービス識別子及びユーザポリシを競合判定部１０２に出力する。

　また、ユーザ端末２００は、ポリシレコメンド部１０４からポリシの集合が入力される。ユーザ端末２００は、例えばディスプレイなどにポリシの集合を表示し、ユーザによるポリシの選択を受け付ける。ユーザ端末２００は、選択されたポリシをポリシ受信部１０５へ送信する。

　ここで、ユーザ端末２００の具体的な構成について説明する。図２０は、第１の実施形態に係るユーザ端末２００の構成を示すブロック図である。図２０に示すようにユーザ端末２００は、制御部２０１、送受信部２０２を備える。ユーザ端末２００の送受信部２０２は、情報処理装置１００のポリシレコメンド部１０４によって出力されたポリシの集合を受信する。続いて、ユーザ端末２００の制御部２０１は、ユーザ端末２００のディスプレイ（図示せず）に受信したポリシの集合を表示し、ユーザに受信したポリシの集合からのポリシの選択を促す。ユーザ端末２００の入力部（図示せず）を介してユーザに選択されたポリシは、送受信部２０２によってプライバシ情報を扱う情報処理装置１００へ送信される。

　次に、図２を参照して、類似ユーザ抽出部１０３の詳細を説明する。

　図２は、類似ユーザ抽出部１０３の詳細を示すブロック図である。図２に示すように、類似ユーザ抽出部１０３は、ユーザ抽出部１０６と、類似度計算部１０７と、を含む。

　ユーザ抽出部１０６は、ユーザによって入力されたユーザ識別子に対応するサービス識別子及びポリシの集合と、ユーザによって入力されたサービス識別子に対応するユーザ識別子の集合と、をポリシ格納部１０１から抽出する。

　ユーザ抽出部１０６は、抽出したサービス識別子及びポリシの集合と、ユーザ識別子の集合とを類似度計算部１０５に出力する。

　類似度計算部１０７は、ユーザ抽出部１０６により抽出された、サービス識別子及びポリシの集合と、ユーザ識別子の集合とに基づいてサービス識別子の類似度を計算する。類似度計算部１０７は、計算したサービス識別子の類似度に基づいて、ユーザ識別子間の類似度を計算する。

　類似度計算部１０７は、サービス識別子の類似度を、サービス識別子毎にポリシ間の距離の逆数に基づいて計算し、サービス識別子毎の類似度を総積することでユーザ識別子間の類似度を計算しても良い。また、類似度計算部１０７は、ポリシ間の距離を、２つのポリシの間でデータ属性ごとの取り扱い方法が不一致であるデータ属性の数として計算しても良い。

　類似度計算部１０７は、ユーザ識別子間の類似度の計算結果に基づいて、類似度が高いユーザ識別子の集合をポリシ格納部１０１から抽出する。類似度計算部１０７は、抽出したユーザ識別子の集合をポリシレコメンド部１０４に出力する。

　次に本実施形態の全体的な動作について詳細に説明する。

　図３は、第１実施形態におけるプライバシポリシレコメンドシステム１００の動作を示すフローチャート図である。図３に示すように、競合判定部１０２にユーザ端末２００からユーザ識別子、サービス識別子及びユーザポリシが入力される。競合判定部１０２は、入力されたサービス識別子が示すサービス提供者のサービスポリシを取得し、ユーザポリシとサービスポリシとの間に競合があるか否かを判定する（ステップＡ１）。

　競合があると判定された場合（ステップＡ２－Ｙｅｓ）、処理はＡ３に進む。競合が存在しないと判定された場合（ステップＡ２－Ｎｏ）、再びユーザからデータが入力されるのを待つ。

　競合判定部１０２は、類似ユーザ抽出部１０３にユーザ識別子、サービス識別子を渡し、抽出処理の実行を命ずる（ステップＡ３）。

　類似ユーザ抽出部１０３は、ポリシ格納部１０１、入力されたユーザ識別子と類似するユーザ識別子の集合を取得する（ステップＡ４）。具体的には類似ユーザ抽出部１０３は、ポリシ格納部１０１が格納するデータのうち、入力されたユーザ識別子と対応するサービス識別子と同一のサービス識別子を持つデータのうち、サービス識別子間の設定されているポリシが類似しているデータのユーザ識別子集合を取得する。

　ポリシレコメンド部１０４は、類似ユーザ抽出部１０３が抽出したユーザ識別子集合と、ユーザによって入力されたサービス識別子を元にポリシ格納部１０１から、ユーザに対し推薦するポリシの集合を取得する（ステップＡ５）。

　ポリシレコメンド部１０４は、取得したポリシの集合をユーザ端末２００へ送信し、ユーザへ推薦する（ステップＡ６）。具体的には、ポリシレコメンド部１０４は、ユーザ端末２００に対しポリシの集合をディスプレイに表示するよう制御する。

　ポリシ受信部１０５は、ユーザが選択しユーザ端末２００から送信されたポリシを受け取り、ポリシ格納部１０１に格納する（ステップＡ７）。

　次に、図３のステップＡ３におけるユーザ識別子集合を抽出する動作の一例について詳細に説明する。

　図４は、類似ユーザ抽出部１０３がユーザ識別子集合を取得する動作を示すフローチャート図である。図４に示すように、ユーザ抽出部１０６は、ユーザによって入力されたユーザ識別子に対応する（サービス識別子、ポリシ）の組の集合を、ポリシ格納部１０１から取得する（ステップＢ１）。

　ユーザ抽出部１０６は、ユーザによって入力されたサービス識別子に対応するユーザ識別子の集合を、ポリシ格納部１０１から取得する（ステップＢ２）。

　ユーザ抽出部１０６は、ポリシ格納部１０１から、ステップＢ２で取得したユーザ識別子の集合に対応する（サービス識別子、ポリシ）の組の集合を取得し、（ユーザ識別子、（サービス識別子、ポリシ）の組の集合）の組の集合を取得する（ステップＢ３）。ユーザ抽出部１０６は、入力されたユーザ識別子に対応する（サービス識別子、ポリシ）の組の集合と、ユーザ識別子の集合に対応する（ユーザ識別子、（サービス識別子、ポリシ）の組の集合）の組の集合を、類似度計算部１０７へ出力する。

　類似度計算部１０７は、入力されたユーザ識別子に対応する（サービス識別子、ポリシ）の組の集合と、ユーザ識別子の集合に対応する（ユーザ識別子、（サービス識別子、ポリシ）の組の集合）の組の集合に基づいて、ユーザ識別子間の類似度を計算する（ステップＢ４）。

　類似度計算部１０７は、類似度が高いユーザ識別子を一定数個取得し、ユーザ集合としてポリシレコメンド部１０４に出力する（ステップＢ５）。

　次に、図４のステップＢ４におけるユーザ識別子の類似度を計算する動作の一例について詳細に説明する。

　図５は、類似度計算部１０７がユーザ識別子の類似度を計算する動作を示すフローチャート図である。図５に示すように、２つの（サービス識別子、ポリシ）の組の集合Ｓ１、Ｓ２が入力される（ステップＣ１）。ここで、Ｓ１は、ユーザによって入力されたユーザ識別子に対応する（サービス識別子、ポリシ）の組の集合である。また、Ｓ２は、ユーザ識別子の集合（ステップＢ２で取得したユーザ識別子の集合）に対応する（ユーザ識別子、（サービス識別子、ポリシ）の組の集合）の組の集合に含まれる、一つのユーザ識別子に対応する（サービス識別子、ポリシ）の組の集合である。

　類似度計算部１０７は、ユーザ識別子の類似度の初期化を行う（ステップＣ２）。例えば、類似度をＳｉｍと表現すると、類似度計算部１０７は、Ｓｉｍ＝１．０とする。

　類似度計算部１０７は、Ｓ１に含まれる所定のサービス識別子について、以下で説明するステップＣ３～Ｃ５を繰り返す。なお、所定のサービス識別子とあるが、類似度計算部１０７がユーザ識別子の類似度を計算するために、全てのサービス識別子を対象としてもよく、或いは、一部のサービス識別子を対象としてもよい。

　類似度計算部１０７は、Ｓ１に含まれるサービス識別子の一つにつき、Ｓ１及びＳ２から当該サービス識別子に対応するポリシＰ１、Ｐ２を取得する（ステップＣ３）。

　類似度計算部１０７は、２つのポリシＰ１、Ｐ２間の距離ｄを計算する（ステップＣ４）。類似度計算部１０７は、サービス識別子に対応するＰ２がＳ２内に存在しないときはｄ＝０としても良い。ポリシ間の距離は、例えばポリシ内でデータ属性に対するアクションが異なる数で計算しても良く、これに限定されず他の方法で計算しても良い。本実施形態においては、類似度計算部１０７は、ポリシ間の距離を、ポリシ内でデータ属性に対するアクションが異なる数で計算するものとする。

　類似度計算部１０７は、サービス識別子の類似度を、サービス識別子毎にポリシ間の距離の逆数に基づいて計算する。すなわち、類似度計算部１０７は、サービス識別子の類似度を、Ｓｉｍ＝Ｓｉｍ／（ｄ＋１）として計算する（ステップＣ５）。なお、サービス識別子の類似度は、上記に限定されず他の方法で計算しても良い。

　また、類似度計算部１０７は、サービス識別子毎の類似度を総積することでユーザ識別子間の類似度を計算する。なお、ユーザ識別子間の類似度は、上記に限定されず他の方法で計算しても良い。

　次に、具体的な例と上述のフローチャートを用いて本発明における第１実施形態の実施例を説明する。

　図６は、本実施例におけるポリシの一例を示す図である。図６に示すように、本実施例ではポリシとして、データ属性に対してアクションを“提供する”、“提供しない”の２値を、ＡＣＴＩＯＮタグを用いて設定できるＸＭＬとして記述される例について述べる。　図６で示すポリシは、ユーザの「名前」、「住所」、「位置情報」及び「購買情報」をプライバシ情報として、それぞれの情報をサービス提供者に「提供する」か「提供しない」かについて表している。具体的に図６は、「名前」は「提供する」、「住所」は「提供しない」、「位置情報」は「提供しない」、「購買情報」は「提供する」とするポリシの例である。

　図７は、ポリシ格納部１０１に格納されているデータの例を示す図である。図７に示すように、ポリシ格納部１０１は、ユーザ識別子と、サービス識別子と、ポリシとを対応付けて格納する。ポリシ格納部１０１が格納するデータは、プライバシ情報保有者とプライバシ情報利用者との間で既にポリシ調停が完了している。

　以下、ユーザ識別子＝“１”のプライバシ情報保有者がサービス識別子＝“３”のプライバシ情報利用者に対してサービスの提供を求める場面でのプライバシポリシレコメンドシステム１０００の動作を説明する。

　ユーザ識別子＝“１”のプライバシ情報保有者であるユーザは、ユーザ端末２００に、自身のユーザ識別子＝“１”と、求めるサービスの提供者のサービス識別子＝“３”と、自身のユーザポリシとを入力する。

　図８は、ユーザ識別子＝“１”のユーザのユーザポリシの例を示す図である。図８に示すように、ユーザ識別子＝“１”のユーザは、ポリシを、「名前」を「提供する」、「住所」を「提供しない」、「位置情報」を「提供しない」、「購買情報」を「提供する」と設定している。

　ユーザ端末２００は、ユーザによって入力されたユーザ識別子と、サービス識別子と、ユーザポリシとをプライバシポリシレコメンド装置１００の競合判定部１０２に出力する。

　競合判定部１０２は、ユーザ端末２００から「ユーザ識別子＝“１”」、「サービス識別子＝“３”」及び図８に示すユーザポリシが入力され、ユーザポリシとサービスポリシの間に競合が存在するか否かを判定する（ステップＡ１）。競合判定のため、まず競合判定部１０２は、ユーザによって入力されたサービス識別子のサービスポリシを外部から取得する。競合判定部１０２は、直接プライバシ情報利用者にサービスポリシを問い合わせても良いし、各プライバシ情報利用者のサービスポリシがまとめられた外部のデータベースに問い合わせても良い。

　図９は、サービス識別子＝“３”のサービス提供者のサービスポリシの例を示す図である。図９に示すように、サービス識別子＝“３”のサービス提供者は、４つのプライバシ情報を「提供する」ことを要求している。

　競合判定部１０２は、図８に示すユーザポリシと、図９に示すサービスポリシの間で競合が存在するか否かを判定する。本実施例において、競合判定部１０２は、所定のプライバシ情報を「提供する」ことを要求するサービス識別子＝“３”のサービスポリシとの競合判定において、ユーザポリシに、（１）「位置情報」が「提供しない」に設定されている、又は（２）「提供しない」に設定されているデータ属性が３つ以上ある、のいずれかの場合に競合が存在すると判定するものとする。上記の判定方法は一例であり、競合判定部１０２は、他に様々な指標で競合の存在を判定して良い。また、所定のプライバシ情報とあるが、全てのプライバシ情報でもよく、或いは、一部のプライバシ情報でもよい。

　図８に示すユーザポリシは、「位置情報」が「提供しない」となっているため、競合判定部１０２は、ユーザポリシとサービスポリシの間に競合が存在すると判定する（ステップＡ２－Ｙｅｓ）。

　競合判定部１０２は、類似ユーザ抽出部１０３へユーザ識別子＝“１”とサービス識別子＝“３”を出力し、抽出処理の実行を命令する（ステップＡ３）。

　類似ユーザ抽出部１０３は、競合判定部１０２からユーザ識別子＝“１”が入力されると、ポリシ格納部１０１からユーザ識別子＝“１”に類似するユーザ識別子の集合を取得する（ステップＡ４）。つまり、類似ユーザ抽出部１０３は、ユーザ識別子＝“１”のデータとサービス識別子が同一であり、設定しているポリシが類似しているデータのユーザ識別子の集合を取得する。

　類似ユーザ抽出部１０３における抽出処理の動作をより詳細に説明する。

　まず、ユーザ抽出部１０６は、入力されたユーザ識別子に対応する（サービス識別子、ポリシ）の組の集合を、ポリシ格納部１０１から取得する（ステップＢ１）。

　図１０は、ユーザ抽出部１０６が抽出する（サービス識別子、ポリシ）の組の集合を示す図である。本実施例では、ユーザ抽出部１０６は、ポリシ格納部１０１が格納する図７のデータから、ユーザ識別子＝“１”のデータを抽出し、図１０のようなデータを取得する。

　次に、ユーザ抽出部１０６は、入力されたサービス識別子に対応するユーザ識別子の集合を、ポリシ格納部１０１から取得する（ステップＢ２）。図７のデータを参照すると、サービス識別子＝“３”が設定されているユーザ識別子は“２”、“３”及び“４”である。そのため、ユーザ抽出部１０６は、ユーザ識別子の集合｛“２”、“３”、“４”｝を取得する。

　次に、ユーザ抽出部１０６は、ポリシ格納部１０１から、ユーザ識別子の集合に対応する（サービス識別子、ポリシ）の組の集合を取得し、（ユーザ識別子、（サービス識別子、ポリシ）の組の集合）の組の集合を取得する（ステップＢ３）。

　図７を参照すると、ユーザ識別子の集合｛“２”、“３”、“４”｝のそれぞれに対応するサービス識別子は、ユーザ識別子＝“２”に対してはサービス識別子｛“１”、“２”、“３”｝であり、ユーザ識別子＝“３”に対してはサービス識別子｛“１”、“２”、“３”｝であり、ユーザ識別子＝“４”に対してはサービス識別子｛“２”、“３”｝である。そのため、ユーザ抽出部１０６は、（ユーザ識別子、（サービス識別子、ポリシ）の組の集合）の組の集合として、図１１に示すようなデータを取得する。

　次に、ユーザ抽出部１０６は、入力されたユーザ識別子に対応する（サービス識別子、ポリシ）の組の集合（図１０）と、ユーザ識別子の集合に含まれる一つのユーザ識別子に対応する（サービス識別子、ポリシ）の組の集合（例えば図１１のユーザ識別子＝“２”の集合）を、類似度計算部１０７へ出力する。類似度計算部１０７は、ユーザ識別子の類似度を計算する（ステップＢ４）。

　以下では例としてユーザ識別子＝“２”との類似度を計算する動作を示す。

　まず、類似度計算部１０７は、２つの（サービス識別子、ポリシ）の組の集合Ｓ１、Ｓ２が入力される（ステップＣ１）。Ｓ１は、入力されたユーザ識別子に対応する（サービス識別子、ポリシ）の組の集合（図１０）である。Ｓ２は、ユーザ識別子の集合に含まれる一つのユーザ識別子に対応する（サービス識別子、ポリシ）の組の集合（図１１のユーザ識別子＝“２”の集合）である。

　図１２は、類似度計算部１０７に入力されるＳ１及びＳ２の例を示す図である。類似度計算部１０７は、図１２に示すようなデータが入力される。

　次に、類似度計算部１０７は、類似度Ｓｉｍ＝１．０と初期化を行う（ステップＣ２）。

　次に、類似度計算部１０７は、Ｓ１に含まれる所定のサービス識別子について、以下で説明するステップＣ３～Ｃ５を繰り返す。本実施例ではサービス識別子＝“１”、“２”対して繰り返しが行われるが、以下には例としてサービス識別子＝“１”について説明する。

　類似度計算部１０７は、一つのサービス識別子に対してＳ１、Ｓ２に含まれる当該サービス識別子に対応するポリシＰ１、Ｐ２を取得する（ステップＣ３）。

　図１３は、サービス識別子＝“１”に対して類似度計算部１０７が取得するポリシの例を示す図である。類似度計算部１０７は、サービス識別子＝“１”に対して図１３に示すようなポリシＰ１、Ｐ２を取得する。

　次に、類似度計算部１０７は、２つのポリシＰ１、Ｐ２間の距離ｄを計算する（ステップＣ４）。本実施例は、ポリシ間の距離の計算方法として、ポリシ内でデータ属性に対するアクションが異なる数を利用する。

　具体的には、Ｐ１は「名前」が「提供しない」、「住所」が「提供しない」、「位置情報」が「提供しない」、「購買情報」が「提供する」に設定されている。一方Ｐ２も同様に「名前」が「提供しない」、「住所」が「提供しない」、「位置情報」が「提供しない」、「購買情報」が「提供する」に設定されており、異なるアクションは０個である。そのため、類似度計算部１０７は、ユーザ識別子＝“１”と“２”の間におけるサービス識別子＝“１”に対するポリシ間の距離をｄ＝０と計算する。

　類似度計算部１０７は、Ｓｉｍ＝Ｓｉｍ／（ｄ＋１）とする（ステップＣ５）。ここで、Ｓｉｍ＝１．０と初期化されているので、類似度計算部１０７は、Ｓｉｍを、Ｓｉｍ＝１．０／（０＋１）＝１．０とする。すなわち類似度計算部１０７は、ユーザ識別子＝“１”と“２”の間におけるサービス識別子＝“１”の類似度を１．０と計算する。

　ステップＣ３からステップＣ５は、Ｓ１に含まれる所定のサービス識別子について繰り返される。サービス識別子＝“２”についても、類似度計算部１０７は距離ｄ＝０と計算するので、Ｓｉｍは再び、Ｓｉｍ＝１．０／（０＋１）＝１．０となる。すなわち、類似度計算部１０７は、ユーザ識別子＝“１”とユーザ識別子＝“２”の類似度を“１”であると算出する。

　図１４は、類似度計算の対象となる所定のユーザ識別子に対するサービス識別子ごとの距離を示す図である。図１４に示すように、ユーザ識別子＝“４”、サービス識別子＝“１”の距離は０となっている。図１１を参照すると、ユーザ識別子＝“４”はサービス識別子＝“１”のデータを持たない。このように、類似度計算部１０７は、Ｐ１のサービス識別子に対応するＰ２がＳ２内に存在しないときはｄ＝０としても良い。なお、所定のユーザ識別子とあるが、類似度計算部１０７がユーザ識別子の類似度を計算する対象は、全てのユーザ識別子としてもよく、或いは、一部のユーザ識別子であってもよい。

　図１５は、ユーザ識別子＝“１”と、他の所定のユーザ識別子との類似度を示す図である。例えばユーザ識別子＝“３”との類似度を考えると、サービス識別子＝“１”、“２”との距離はそれぞれ“４”と“２”である。従って、類似度計算部１０７は、ユーザ識別子＝“１”とユーザ識別子＝“３”との間におけるサービス識別子＝“１”の類似度を、Ｓｉｍ＝１．０／（４＋１）＝１／５と計算する。また、類似度計算部１０７は、ユーザ識別子＝“１”とユーザ識別子＝“３”との間におけるサービス識別子＝“２”の類似度を、Ｓｉｍ＝１．０／（２＋１）＝１／３と計算する。

　本実施例において類似度計算部１０７は、サービス識別子毎の類似度を総積することでユーザ識別子間の類似度を計算する。具体的には、類似度計算部１０７は、ユーザ識別子＝“１”　とユーザ識別子＝“３”の類似度を、１／５×１／３＝１／１５として計算する。

　次に、類似度計算部１０７は、類似度が高いユーザ識別子を所定の個数取得し、類似するユーザ識別子の集合として出力する（ステップＢ５、ステップＡ４）。本実施例においては２つのユーザ識別子を出力するものとすると、類似度計算部１０７は、ユーザ識別子集合｛“２”、“４”｝を出力する。

　次に、ポリシレコメンド部１０４は、類似度計算部１０７から出力されたユーザ識別子集合と、ユーザによって入力されたサービス識別子を元に、ユーザに対し推薦するポリシ集合をポリシ格納部１０１から取得する（ステップＡ５）。具体的には、ポリシレコメンド部１０４は、ユーザ識別子＝“２”、“４”のそれぞれについてサービス識別子＝“３”のポリシを図７に示すデータから取得する。

　図１６は、ユーザに推薦されるポリシ集合の例を示す図である。

　次に、ポリシレコメンド部１０４は、取得したポリシ集合をユーザ端末２００へ送信し、ユーザに推薦する（ステップＡ６）。

　ポリシ受信部１０５は、ユーザが選択し、ユーザ端末から送信されたポリシを受け取りポリシ格納部１０１に格納する（ステップＡ７）。たとえば、ユーザがユーザ識別子＝“４”と同じポリシを選択したとすると、ポリシ格納部１０１は図１７のように更新される。

　図１７は、本発明によってポリシ格納部１０１のデータが更新された状態を示す図である。図１７に示すように、図７に示すデータに対して、ユーザ識別子＝“１”のサービス識別子＝“３”のデータが追加されている。新たに追加されたポリシは、「名前」が「提供する」、「住所」が「提供しない」、「位置情報」が「提供する」、「購買情報」が「提供しない」に設定されている。

　このポリシは、（１）「位置情報」が「提供しない」に設定されている、又は（２）「提供しない」に設定されているデータ属性が３つ以上ある、のいずれにも該当しないため、サービス識別子＝“３”のサービスポリシと競合は発生しない。

　以上説明したように、第１実施形態におけるプライバシポリシレコメンドシステム１０００によれば、ポリシ間で競合が生じた場合において、プライバシ情報保有者とプライバシ情報利用者との間で手間をかけずに容易にポリシを決定することができる。

　その理由は、競合判定部１０２がポリシ間で競合が生じていると判定すると、類似ユーザ抽出部１０３がプライバシ情報保有者と類似するポリシを設定している、他のプライバシ情報保有者の集合を抽出し、ポリシレコメンド部１０４が、ポリシの傾向が類似するプライバシ情報保有者がプライバシ情報利用者に設定しているポリシを推薦するからである。

　上記構成を採用することにより、プライバシポリシレコメンドシステム１０００は、競合が生じていると判定した場合に、プライバシ情報利用者ごとに複雑なポリシ調停などを行わずに、適切に、かつポリシ調停が既に完了しているポリシを設定することができる。

　＜第２実施形態＞　本発明の第２実施形態について図面を参照して詳細に説明する。

　図１８は、第２実施形態に係るプライバシポリシレコメンド装置３００の構成を示すブロック図である。図１８に示すように、プライバシポリシレコメンド装置３００は、類似ユーザ抽出部３０１と、ポリシレコメンド部３０２とを含む。

　類似ユーザ抽出部３０１は、プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出する抽出処理を実行する。

　ポリシレコメンド部３０２は、類似ユーザ抽出部３０１が抽出したユーザ識別子の集合と、ユーザによって入力されたサービス識別子とに基づいてポリシの集合を取得して出力する。

　以上説明したように、第２実施形態に係るプライバシポリシレコメンド装置３００によれば、ポリシ間で競合が生じた場合において、プライバシ情報保有者とプライバシ情報利用者との間で手間をかけずに容易にポリシを決定することができる。

　図１９は、第２実施形態におけるプライバシポリシレコメンド装置１００及び３００のハードウェア構成の例を示すブロック図である。図１９に示すように、プライバシポリシレコメンド装置を構成する各部は、ＣＰＵ１（Central Processing Unit 1）と、ネットワーク接続用の通信ＩＦ２（通信インターフェース２）と、メモリ３と、プログラムを格納するハードディスク等の記憶装置４とを含み、バスを通して入力装置５及び出力装置６と接続される、コンピュータ装置によって実現される。ただし、プライバシポリシレコメンド装置の構成は、図１９に示すコンピュータ装置に限定されない。

　ＣＰＵ１は、オペレーティングシステムを動作させてプライバシポリシレコメンド装置３００の全体を制御する。また、ＣＰＵ１は、例えばドライブ装置などに装着された記録媒体からメモリ３にプログラムやデータを読み出し、これにしたがって各種の処理を実行する。

　例えば競合判定部と、類似ユーザ抽出部と、ポリシレコメンド部と、ポリシ受信部とは、ＣＰＵ１及びプログラムによって実現されても良い。

　記録装置４は、例えば光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク、半導体メモリ等であって、コンピュータプログラムをコンピュータ読み取り可能に記録する。また、コンピュータプログラムは、通信網に接続されている図示しない外部コンピュータからダウンロードされても良い。

　例えば、ポリシ格納部は記録装置４によって実現されても良い。

　入力装置５は、例えばマウスやキーボード等である。出力装置６は、例えばディスプレイ等である。プライバシポリシレコメンド装置自身が入力装置及び出力装置を備えていても良いし、通信ＩＦ２を通じて通信するユーザ端末が備えていても良い。

　なお、これまでに説明した各実施形態のブロック図（図１、図２及び図１８）は、ハードウェア単位の構成ではなく、機能単位のブロックを示している。これらの機能ブロックはハードウェア及びソフトウェアの任意の組み合わせによって実現される。また、プライバシポリシレコメンド装置の構成部の実現手段は特に限定されない。すなわち、プライバシポリシレコメンド装置は、物理的に結合した一つの装置により実現されても良いし、物理的に分離した二つ以上の装置を有線又は無線で接続し、これら複数の装置により実現されても良い。

　なお、上述の各実施の形態では、プライバシポリシレコメンド装置、又は、プライバシポリシレコメンドシステムの例で説明したが、これに限られるものではなく、プライバシ情報を扱う情報処理装置、又は、プライバシ情報を扱う情報処理システムであれば本発明は適用可能である。」
　＜実施形態の他の表現＞
　上記の各実施の形態においては、以下に示すようなプライバシ情報を扱う情報処理装置、プライバシ情報を扱う情報処理システム、プライバシ情報を扱う情報処理方法及びプログラムの特徴的構成が示されている（以下のように限定されるわけではない）。なお、本発明のプログラムは、上記の各実施形態で説明した各動作を、コンピュータに実行させるプログラムであれば良い。
（付記１）
　プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出する類似ユーザ抽出手段と、
　前記抽出したユーザ識別子の集合と、前記ユーザによって入力されたサービス識別子と、に基づいてポリシの集合を取得して出力するポリシレコメンド手段と、
　を含むプライバシ情報を扱う情報処理装置。
（付記２）
　プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が存在するか否かを判定する競合判定手段と、
　をさらに含む、
　付記１に記載のプライバシ情報を扱う情報処理装置。
（付記３）
　プライバシ情報保有者であるユーザを識別するユーザ識別子と、プライバシ情報利用者であるサービス提供者を識別するサービス識別子と、ユーザ識別子及びサービス識別子ごとのプライバシ情報の取り扱いを規定するポリシと、を格納するポリシ格納手段と、
　をさらに含み、
　前記類似ユーザ抽出手段は、前記ポリシ格納手段から、前記ユーザによって入力されたユーザ識別子に対応するサービス識別子及びポリシと類似するサービス識別子及びポリシが設定された他ユーザのユーザ識別子の集合を、類似するユーザ識別子の集合として抽出し、
　前記ポリシレコメンド手段は、前記ポリシの集合を前記ポリシ格納手段から取得する、
　付記１又は２に記載のプライバシ情報を扱う情報処理装置。
（付記４）
　前記ポリシレコメンド手段から出力されたポリシの集合から前記ユーザが選択したポリシを受信し、ユーザ識別子及びサービス識別子と対応付けて前記ポリシ格納手段へ格納するポリシ受信手段と、
　をさらに含む付記３に記載のプライバシ情報を扱う情報処理装置。
（付記５）
　前記ポリシ格納手段に格納されるポリシは、
　データの種類を規定するデータ属性と、当該データ属性に対する取り扱いの方法を記述することによってプライバシ情報の取り扱いを規定する、
　付記３又は４に記載のプライバシ情報を扱う情報処理装置。
（付記６）
　前記類似ユーザ抽出手段は、
　前記ユーザによって入力されたユーザ識別子に対応するサービス識別子及びポリシの集合と、前記ユーザによって入力されたサービス識別子に対応するユーザ識別子の集合と、を前記ポリシ格納手段から抽出するユーザ抽出手段と、
　前記抽出された、サービス識別子及びポリシの集合と、ユーザ識別子の集合とに基づいて計算されるサービス識別子の類似度に基づいて、ユーザ識別子間の類似度を計算する類似度計算手段と、
　を含む付記３～５のいずれか１項に記載のプライバシ情報を扱う情報処理装置。
（付記７）
　前記類似度計算手段は、
　前記サービス識別子の類似度を、サービス識別子毎にポリシ間の距離の逆数に基づいて計算し、当該サービス識別子毎の類似度を総積することで前記ユーザ識別子間の類似度を計算する、
　付記６に記載のプライバシ情報を扱う情報処理装置。
（付記８）
　前記類似度計算手段は、
　前記ポリシ間の距離を、２つのポリシの間でデータ属性ごとの取り扱い方法が不一致であるデータ属性の数として計算する、
　付記７に記載のプライバシ情報を扱う情報処理装置。
（付記９）
　付記１～８のいずれか１項に記載のプライバシ情報を扱う情報処理装置と、
　前記ポリシレコメンド手段によって出力されたポリシの集合の中からユーザの入力により選択されたポリシを、前記プライバシ情報を扱う情報処理装置へ送信するユーザ端末と、
　を含むプライバシ情報を扱う情報処理システム。
（付記１０）
　プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出する抽出処理を実行し、
　前記抽出したユーザ識別子の集合と、前記ユーザによって入力されたサービス識別子とに基づいてポリシの集合を取得して出力する、
　プライバシ情報を扱う情報処理方法。
（付記１１）
　プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出する抽出処理を実行し、
　前記抽出したユーザ識別子の集合と、前記ユーザによって入力されたサービス識別子とに基づいてポリシの集合を取得して出力する、
　処理をコンピュータに実行させるプログラム。
（付記１２）
　付記１に記載のプライバシ情報を扱う情報処理装置の前記ポリシレコメンド手段によって出力されたポリシの集合の中から、ユーザの入力により選択されたポリシを、前記プライバシ情報を扱う情報処理装置へ送信するユーザ端末。

　以上、各実施形態及び実施例を参照して本発明を説明したが、本発明は以上の実施形態及び実施例に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で同業者が理解し得る様々な変更をすることができる。
この出願は、２０１２年２月１７日に出願された日本出願特願２０１２－３２９９１を基礎出願とする優先権を主張し、その開示の全てをここに取り込む。

　本発明は、プライバシ情報を利用するレコメンデーションサービスやＳＮＳサービスにおけるプライバシポリシの設定といった用途に適用できる。

　１　　ＣＰＵ
　２　　通信ＩＦ
　３　　メモリ
　４　　記憶装置
　５　　入力装置
　６　　出力装置
　１００、３００　プライバシポリシレコメンド装置
　１０１　ポリシ格納部
　１０２　競合判定部
　１０３、３０１　類似ユーザ抽出部
　１０４、３０２　ポリシレコメンド部
　１０５　ポリシ受信部
　１０６　ユーザ抽出部
　１０７　類似度計算部
　２００　ユーザ端末
　１０００　プライバシポリシレコメンドシステム

Claims

　プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出する類似ユーザ抽出手段と、
　前記抽出したユーザ識別子の集合と、前記ユーザによって入力されたサービス識別子と、に基づいてポリシの集合を取得して出力するポリシレコメンド手段と、
　を含むプライバシ情報を扱う情報処理装置。
　プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が存在するか否かを判定する競合判定手段と、
　をさらに含む、
　請求項１に記載のプライバシ情報を扱う情報処理装置。
　プライバシ情報保有者であるユーザを識別するユーザ識別子と、プライバシ情報利用者であるサービス提供者を識別するサービス識別子と、ユーザ識別子及びサービス識別子ごとのプライバシ情報の取り扱いを規定するポリシと、を格納するポリシ格納手段と、
　をさらに含み、
　前記類似ユーザ抽出手段は、前記ポリシ格納手段から、前記ユーザによって入力されたユーザ識別子に対応するサービス識別子及びポリシと類似するサービス識別子及びポリシが設定された他ユーザのユーザ識別子の集合を、類似するユーザ識別子の集合として抽出し、
　前記ポリシレコメンド手段は、前記ポリシの集合を前記ポリシ格納手段から取得する、
　請求項１に記載のプライバシ情報を扱う情報処理装置。
　前記ポリシレコメンド手段から出力されたポリシの集合から前記ユーザが選択したポリシを受信し、ユーザ識別子及びサービス識別子と対応付けて前記ポリシ格納手段へ格納するポリシ受信手段と、
　をさらに含む請求項３に記載のプライバシ情報を扱う情報処理装置。
　前記ポリシ格納手段に格納されるポリシは、
　データの種類を規定するデータ属性と、当該データ属性に対する取り扱いの方法を記述することによってプライバシ情報の取り扱いを規定する、
　請求項３に記載のプライバシ情報を扱う情報処理装置。
　前記類似ユーザ抽出手段は、
　前記ユーザによって入力されたユーザ識別子に対応するサービス識別子及びポリシの集合と、前記ユーザによって入力されたサービス識別子に対応するユーザ識別子の集合と、を前記ポリシ格納手段から抽出するユーザ抽出手段と、
　前記抽出された、サービス識別子及びポリシの集合と、ユーザ識別子の集合とに基づいて計算されるサービス識別子の類似度に基づいて、ユーザ識別子間の類似度を計算する類似度計算手段と、
　を含む請求項３に記載のプライバシ情報を扱う情報処理装置。
　前記類似度計算手段は、
　前記サービス識別子の類似度を、サービス識別子毎にポリシ間の距離の逆数に基づいて計算し、当該サービス識別子毎の類似度を総積することで前記ユーザ識別子間の類似度を計算する、
　請求項６に記載のプライバシ情報を扱う情報処理装置。
　請求項１に記載のプライバシ情報を扱う情報処理装置と、
　前記ポリシレコメンド手段によって出力されたポリシの集合の中からユーザの入力により選択されたポリシを、前記プライバシ情報を扱う情報処理装置へ送信するユーザ端末と、
　を含むプライバシ情報を扱う情報処理システム。
　請求項１に記載のプライバシ情報を扱う情報処理装置の前記ポリシレコメンド手段によって出力されたポリシの集合の中から、ユーザの入力により選択されたポリシを、前記プライバシ情報を扱う情報処理装置へ送信するユーザ端末。
　プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出し、
　前記抽出したユーザ識別子の集合と、前記ユーザによって入力されたサービス識別子とに基づいてポリシの集合を取得して出力する、
　プライバシ情報を扱う情報処理方法。
　プライバシ情報保有者であるユーザによって入力されたポリシと、プライバシ情報利用者であるサービス提供者毎に予め設定されているサービスのポリシとの間に競合が生じた場合に、当該ユーザによって入力されたユーザ識別子と類似する他ユーザのユーザ識別子の集合を抽出し、
　前記抽出したユーザ識別子の集合と、前記ユーザによって入力されたサービス識別子とに基づいてポリシの集合を取得して出力する、
　処理をコンピュータに実行させるプログラム。