WO2014050257A1

WO2014050257A1 - 匿名化データの粒度管理装置および粒度管理方法

Info

Publication number: WO2014050257A1
Application number: PCT/JP2013/068826
Authority: WO
Inventors: 正人橘; 紀宏津嶋
Original assignee: 株式会社日立システムズ
Priority date: 2012-09-28
Filing date: 2013-07-10
Publication date: 2014-04-03
Also published as: SG11201400377WA; JP2014071618A; JP6108432B2

Abstract

　サービス基盤事業者側において、複数のデータ提供事業者からの様々な情報（データ）を収集し、当該データの評価を行った上で、受入可能なデータを分析対象データとして分析し、当該分析データを複数のデータ提供事業者側に提供（開示）可能とするサービス基盤事業者装置における情報分析装置および方法を提供すること。　複数のデータ提供事業者（サービス享受事業者および当該サービス享受事業者に対してサービスを提供するサービス提供事業者）のサービス提供事業者およびサービス享受者に対してサービスを提供するサービス基盤事業者装置を含むサービス提供システムにおいて、前記サービス基盤事業者装置に前記データ提供事業者に応じた粒度定義書を送付し、当該粒度定義書に基づいて入力される前記データ提供事業者側から送られてくるｋ－匿名化データを受け、当該データを分析対象データとして受け入れ可能か否かを評価する制御手段を設けた。

Description

匿名化データの粒度管理装置および粒度管理方法

　本発明は、データ提供事業者、例えば複数のサービス提供事業者、複数のサービス享受事業者などから提供される匿名化データの粒度を評価し、管理する機能を有する匿名化データの粒度管理装置および粒度管理方法に関する。

　更に詳述すれば、本発明は、例えば、複数のサービス提供事業者や複数のサービス享受事業者側から提供されるｋ－匿名性を満たす匿名化データ（以下、ｋ－匿名化データと言う）を受け、当該ｋ－匿名化データの粒度およびｋの値を元に当該データの受け入れ可否を評価し、当該ｋ－匿名化データから個人識別が識別されるような情報漏洩リスクの高いデータを拒否し、その他を受け入れ、管理する機能を有する匿名化データの粒度管理装置および粒度管理方法に関する。
　本発明は、匿名化データの粒度管理装置および粒度管理方法にあって、匿名化に関係しない項目のデータ（非匿名化データ）についても、データ粒度を揃えて、受け入れを管理する機能を有するものであってもよい。

　インターネットの発展に伴い、企業の業種や業務内容を切り口にして、それぞれに有効なサービスを提供する各種サービス事業者、例えば飲食業界に対して人気メニューなどの商品情報を提供するサービス事業者や当該サービス事業者に食材などを提供したりする卸サービス事業者や小売サービス事業者、食材などの生産事業者などが増加している。

　例えば、近年、インターネットやＷｅｂなどを利用して、飲食店などのサービス享受事業者側に特定の業務サービスを提供するサービス提供事業者側に対して、その特定の業務サービスの基盤となるサービス基盤を提供し、該サービス基盤に基づく業務サービスをもってサービス享受事業者側のビジネスを支援するサービス提供システムが存在する。

　このようなサービス提供システムは、サービス基盤事業者装置、サービス提供事業者装置、サービス享受事業者装置、及びユーザ端末装置を有する。

　サービス基盤事業者装置は、提供するサービス基盤に基づく機能（サービス）、例えばＳａａＳ（Software　as　a　Service）型による業務システムをサービス提供事業者装置に提供するシステム又は装置である。

　サービス提供事業者装置は、サービス基盤事業者装置から提供されるサービス基盤に基づく業務システム（業務ＳａａＳ）を受けるシステム又は装置である。また、例えば、当該業務システムをサービス享受事業者（或いは直接ユーザから）の要求に応じてカスタマイズしてサービス享受事業者に提供するシステム又は装置である。

　サービス享受事業者装置は、例えばユーザから提供されるユーザ情報をサービス提供事業者装置側に提供する装置である。

　ユーザ端末装置は、例えば、自らユーザ情報を入力し、サービス享受事業者装置側に提供する端末である。また、このユーザ端末装置は、ユーザ自身の携帯端末をかざすことにより、当該携帯端末の情報を自動的に収集することができるようなものであってもよい。
　そして、サービス享受事業者やサービス提供事業者が所有するオリジナルユーザ情報は、有益な情報を含んでいる。サービス基盤事業者は、この有益なオリジナルユーザ情報の提供を受け、当該情報の分析を可能とすれば、よりよいビジネス支援を行うことが期待できる。

　本技術分野の背景技術として、特開２００９－９３５６９号公報（特許文献１）、特開平９－１５３０９４号公報（特許文献２）、「個人情報匿名化技術」（非特許文献１）がある。

　特許文献１には、ＳａａＳ環境からＳＩ環境へ変更する場合、ＳａａＳ形態で利用を始めた業務サービスにおいて、埋没コストや機会損失の発生を軽減するものであり、業務サービスをＳａａＳ事業者環境（Ａ社）からＳＩ形態の環境（Ｂ市）に移行する場合、Ｂ市に業務サービスのアドレスを記録するサービスアドレスリストを設け、業務サービスの移行に合わせてサービスアドレスリストのアドレスを更新する。また、Ａ社に蓄積された業務データも移行する場合、Ａ社及びＢ市に業務データのアドレスを記録するデータアドレスリストを設け、業務データの移行に合わせて双方のデータアドレスリストのアドレスを更新する。それらの更新においては、アドレスが論理的に同一になるようにアクセス方法を変更する技術が開示されている。

　特許文献２には、顧客に関する情報と、顧客が商品の購入を検討したときに参照した商品の情報と、顧客が購入した商品の情報とから商品の販売促進効果を分析する販売促進効果分析方法及びその実施システムが開示されている。

　非特許文献１には、収集した個人情報を企業の資産として利用するためのｋ－匿名化技術が開示されている。

特開２００９－９３５６９号公報特開平９－１５３０９４号公報

http://www.meti.go.jp/policy/it_policy/daikoukai/igvp/contents/pdf/C-1.pdf

　特許文献１に記載されたようなサービス提供システムによれば、サービス基盤事業者は、サービス提供事業者の業務支援ができる。また、サービス提供事業者は、サービス享受事業者の業務支援ができる。そして、これらの業務支援により、システム全体の業務を効率化でき、業務効率を向上することができる。

　また、係るサービスを提供する各サービス提供事業者及びサービス基盤事業者側では、それぞれ各ユーザに関するデータ、例えば嗜好や行動履歴などのデータを保持（蓄積）、管理しているのが通常である。

　従って、このユーザに関するデータを分析し、当該分析結果に基づく有益な情報をサービス提供事業者からサービスの提供を受ける側のサービス享受事業者（店舗、一般企業など）に対して、提供できるシステムがあれば、より業務効率を向上することが期待できる。

　ここで、本発明における「ユーザ」とは、本システムを利用する個人、団体、企業であり、特定ユーザ（一の個人、一の団体、一の企業が特定可能なユーザ）と不特定ユーザ（個人、団体、企業が特定不可能又は特定困難なユーザ）を含む。ユーザが本システムで使用する端末等を「ユーザ側端末」と言う。以下、本発明において、ユーザに関して「個人」とした用語はユーザとしての団体及び企業を含むものである。

　また、「サービス享受事業者」とは、本システムによる本来事業支援サービス（第１のサービス）の提供を受ける事業体であり、当該サービス享受事業者側に設けられたシステム構成装置を「サービス享受事業者装置」と言う。ここでの「側に設ける」との用語の意義は、サービス享受事業者内に設けることのみを意味するものではない。この「側に設ける」との用語は、以下同様に用いる。

　また、「サービス提供事業者」とは、本システムによる本来事業支援サービス（第１のサービス）を提供する事業体であり、当該サービス提供事業者側に設けられたシステム構成装置を「サービス提供事業者装置」と言う。

　また、「サービス基盤事業者」とは、複数のサービス提供事業者を束ねる企業であって、サービスの基盤、例えば業務や予約機能（業務サービスや予約サービス）などをサービス提供事業者及び／又はサービス享受事業者に提供する事業体である。そして、契約に基づきサービス享受事業者装置及び／又はサービス提供事業者装置から、情報を随時収集し、当該情報を例えば分析して、サービス享受事業者側及び／又はサービス提供事業者側に分析情報（第２のサービス）として提供する。当該サービス基盤事業者側に設けられたシステム構成装置を「サービス基盤事業者装置」と言う。

　また、「データ提供事業者」とは、サービス提供事業者やサービス享受事業者を指している。そして、オリジナルユーザ情報Ｉａ、Ｉｂ、をｋ－匿名性を満たす匿名化データＸＩａ、ＸＩｂをサービス基盤事業者側に提供するデータとして送信する。当該データ提供事業者側に設けられたシステム構成装置を「データ提供事業者装置」と言う。

　また、サービス基盤事業者は、複数のサービス提供事業者を束ねる企業であることから、当該サービス基盤事業者側において、複数のサービス提供事業者側に蓄積している各種データを融合し、分析することができれば、より高付加価値な分析が可能となり、その結果として、サービスをサービス提供事業者、又は／及びサービス享受事業者を含むユーザに対して、より高付加価値な分析結果を提供することが可能となる。

大容量データの分析が可能なＩＴ環境が整いつつある現状にあっては、技術的には、大容量データから、上述した高付加価値な分析を行うことは可能である。

　「高付加価値な分析」とは、パーソナライゼーション（Personalization：得意客、および見込みユーザごとの好みや属性に応じた情報を電子メールなどで発信すること）や併売リコメンド（recommendation：、ユーザの好みを分析し、各ユーザごとに興味のありそうな情報を選択して表示するサービスのこと）などを実現可能にする基礎データを提供するための分析を言う。

　「粒度」とは、分析するデータの粗さ、あるいは細かさを示し、分析データの何処までを分析単位としてみるか、ということを言う。本例では、説明を簡略する意味で、主としてｋ－匿名化データの粒度を挙げて説明する。

　しかし、サービス提供事業者やサービス基盤事業者側において、この高付加価値な分析を行うとき、課題となるのが、各サービス享受事業者側の以下のような要望に対してどのように対処するか、大きな課題があった。

　例えば、特に同じ業種に属しているサービス享受事業者（例えば、飲食店など）である場合、各サービス享受事業者間では、「同じ地区の同じジャンルのお店（サービス享受事業者）には、情報は提供したくない」と言う要望である。

　また、業務サービス事業者を利用しているサービス享受事業者は、「同業他社のサービス享受事業者には、情報を提供したくない」と言う要望である。

　従来、このような要望に対処できるシステム、つまりサービス提供事業者、及びサービス基盤事業者において、複数のサービス享受事業者から収集した各種データを融合し、より高付加価値な分析を行い、当該分析情報をサービス享受事業者が相互にビジネス上有益と思われるサービスとして提供するものとして、例えば、「単純匿名化」を用いたサービス（以下、単純匿名化サービスと言う）が考えられる。すなわち、利用者（ユーザ）の情報から個人情報を分離し、「個人を特定できる識別情報（単独でも個人を一意に特定できる情報、例えば氏名、完全な住所、メールアドレス等）」は、「仮名化」などの「単純匿名化」を施した上で、サービス事業者が管理する方法である。つまり、これらの情報を分離して管理し、かつこれらの情報を統一のＩＤで紐付けし、関連性を維持しながら、機微な情報を管理する構成である。

　この単純匿名化サービスによれば、「個人ごとの情報」は匿名化情報であるので、情報リスク低減の効果は期待できる。しかし、このような単純匿名化サービスは、個人情報を保護する、と言う観点から見るに、個人情報漏洩リスクを完全に取り去ることは難しい、と言う課題がある。

　係る課題（個人情報漏洩リスクのみ）を是正する方法として、非特許文献１に記載されたｋ－匿名化手法を用いることが考えられる。

　しかし、ｋ－匿名化技術を用いてデータを収集する場合、複数のデータ提供事業者間において、ｋ－匿名化処理におけるデータ粒度をコントロールできない。
　つまり、単純匿名化サービスは、サービス事業者側から、例えば「一部情報を匿名化して預けたい」、「個人ごとの情報を個人を特定できないように管理したい」、「匿名情報のみでサービスしたい」など、サービス事業者側に委ねられていることから、複数のデータ提供事業者間の匿名化データを融合して分析するに際して、データ粒度が異なることに起因して、分析の軸が合わずに、分析ができない、若しくは分析精度が下がる、と言う新たな課題があった。

　また、分析方法として、特許文献２に記載の如く、サービス享受事業者側から収集した情報を、統計分析技術を利用して、分析する方法が考えられるが、当該統計分析では統計処理を行った分析であることから、個別のサービス享受事業者を推測することは不可能な分析結果となり、サービス享受事業者側にとって、上述したような高付加価値な分析情報を得ることは期待できない。

　その一方、サービス享受事業者側は、各サービス享受事業者（自社）が持っている情報の中から特定の情報ならば、他のサービス提供事業者、或いは他のサービス享受授業者に対して有償で提供してもよいとの要望もある。つまり、自社にとって不都合がなければ、自社の情報を積極的に「売る」と言う発想である。

　そこで、本発明は、例えば、サービス基盤事業者側において、当該サービス基盤事業者から提供される粒度定義書に基づき、複数のデータ提供事業者にて作成される様々なｋ－匿名化データテーブル（以下、ｋ－匿名化データ．ｔｂと言う）を収集し、当該ｋ－匿名化データ．ｔｂに含まれる情報を元に当該データを受入るか否かのデータ評価を可能とする匿名化データの粒度管理装置および粒度管理方法を提供することにある。

　また、本発明は、受け入れデータに対して、タイムスタンプ、課金情報などを付与することが可能な匿名化データの粒度管理装置および粒度管理方法を提供することにある。

　上記課題を達成するために、本発明は、サービス基盤事業者装置側からデータ提供事業者装置側にデータ粒度を定義する粒度定義書類ファイル（以下、粒度定義書．ＣＳＶと言う）を送信し、当該粒度定義書．ＣＳＶに基づいて、当該データ提供事業者装置側にて作成されるｋ－匿名化データを含むｋ－匿名化データ．ｔｂを受け、当該ｋ－匿名化．ｔｂに含まれる、データの安全性の指標となるｋの値および／またはデータの粒度の条件を満たしたデータのみを、受け入れるデータ評価を行う手段を設けたことにある。

　ｋ－匿名化データｊ．ｔｂには、ｋ－匿名化データの他、非匿名化データが含まれていてもよい。ｋ－匿名化処理は、提供するデータの準識別子（氏名や住所など）に対して行う。

　具体的には、例えば以下のとおりである。

　本発明の匿名化データの粒度管理装置は、データ提供事業者装置と、サービス基盤事業者装置と、を有し、前記サービス基盤事業者装置は、前記データ提供事業者装置に対して、データの粒度を定義する粒度定義書．ＣＳＶを配信する手段と、前記データ提供事業者装置側にて前記粒度定義書．ＣＳＶに基づき作成されるｋ－匿名化データを含むｋ－匿名化データ．ｔｂを受ける手段と、前記ｋ－匿名化データ．ｔｂのｋ－匿名化データの粒度およびｋの値をもって、前記ｋ－匿名化データを受け入れるか否かを評価する手段と、を有し、前記ｋ－匿名化データから、個人情報漏洩リスクを防止し、かつ複数のｋ－匿名化データの融合、分析精度を向上することを可能とすることを特徴とする。

　前記ｋ－匿名化データ．ｔｂを受ける手段は、前記ｋ－匿名化データ．ｔｂの前記粒度定義書．ＣＳＶで定義されているｋ－匿名化処理された前記ｋ－匿名化データを受けるとき、前記データ提供事業者装置から当該データの提供者を特定するＩＤ、定義書Ｎｏを受ける、ことを特徴とする。

　前記匿名化データの粒度管理装置は、さらに、前記データ評価手段により、受入れ可能と判断した場合、当該データにタイムスタンプおよび報奨金情報を付与する手段と、前記データ受入れ否と判断した場合、その旨を前記データ提供事業者装置側に通知する手段、を有する、ことを特徴とする。

　前記匿名化データの粒度管理装置は、前記データ評価手段による評価結果、データ受入可とした場合、前記記憶手段に登録する手段、前記受入れたデータを分析するデータ分析手段、を有し、前記サービス基盤事業者装置側にて、前記データ提供事業者装置から受入れ可能な複数のデータを分析対象データとして融合し、当該融合データを前記データ分析手段により、分析した分析データとし前記データ提供装置側に配信送付可能とすることを特徴とする。

　前記匿名化データの粒度管理装置であって、前記粒度定義書．ＣＳＶは、データ粒度定義が１種類、又は異なる複数の種類からなり、前記粒度定義書．ＣＳＶに基づき作成される前記ｋ－匿名化データ．ｔｂは1種類、又は２種類以上の複数のデータの集まりである、ことを特徴とする。

　本発明の匿名化データの粒度管理方法は、データ提供事業者装置と、サービス基盤事業者装置と、を有し、前記サービス基盤事業者装置側において、前記データ提供事業者装置側から送られてくる匿名化データの粒度を管理する方法であって、前記データ提供事業者装置に対して、データの粒度を定義する粒度定義書．ＣＳＶを配信するステップと、前記データ提供事業者装置側にて前記粒度定義書．ＣＳＶに基づき作成されるｋ－匿名化データを含むｋ－匿名化データ．ｔｂを受けるステップと、前記ｋ－匿名化データ．ｔｂのｋ－匿名化データの粒度およびｋの値をもって、前記ｋ－匿名化データを受け入れるか否かを評価するステップと、を有し、前記ｋ－匿名化データから、個人情報漏洩リスクを防止し、かつ複数のｋ－匿名化データの融合、分析精度を向上することを特徴とする。

　前記匿名化データの粒度管理方法であって、さらに、前記データ評価手段により、受入れ可能と判断した場合、当該データにタイムスタンプおよび報奨金情報を付与するステップと、前記データ受入れ否と判断した場合、その旨を前記データ提供事業者装置側に通知するステップと、を有する、ことを特徴とする。

　前記匿名化データの粒度管理方法であって、前記データ評価手段による評価結果、データ受入可とした場合、前記記憶手段に登録するステップと、前記受入れたデータを分析するステップと、を有し、前記サービス基盤事業者装置側にて、前記データ提供事業者装置から受入れ可能な複数のデータを分析対象データとして融合し、当該融合データを前記データ分析手段により、分析した分析データとし、配信することを特徴とする。

　本発明によれば、サービス基盤事業者側において、データ粒度を定義しているので、データ提供事業者からのｋ－匿名化データの準識別子、例えば場所、時間の粒度が揃ったｋ－匿名化処理データを収集することができ、データ提供事業者間のデータを統合／融合して分析する際、分析の軸が合った分析作業をスムーズに行うことができる。

　また、サービス基盤事業者側で、ｋ－匿名化データのｋの値を指定することによって、データ提供事業者側から見れば、データ提供事業者から収集したデータは、既にｋ匿名化されている故に、サービス基盤事業者にて個人情報漏洩対策（ｋ－匿名化処理）を改めてする行う必要がない、と言う効果を奏する。

　例えば、単純匿名化では、個人情報漏洩リスクがあったが、ｋ－匿名化により、個人情報リスクを除去することができ、より安全、安心なサービスを提供することが可能である。また、ｋ－匿名化したデータであってもデータ提供事業者間のデータ共有や統合／融合が可能である。

　上述した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

本発明の匿名化データの粒度管理装置が提供されるサービス提供システムの全体概要を示す図である。図１のサービス基盤事業者装置とデータ提供事業者装置の各構成を示すブロック図である。図２のサービス基盤事業者装置の演算装置（制御手段）の構成例を示すブロック図である。図２の粒度定義書管理マスタＤＢのテーブル例を示す図である。図２の粒度定義書管理マスタＤＢの粒度定義書．ＣＳＶ例を示す図である。図２のｋ－匿名化データ作成部により作成されるｋ－匿名化データ．ｔｂのデータの構成例を示す図である。ｋ－匿名化データ．ｔｂ（テーブル名Ｇ０００１．ｔｂ）の一例（ｋ＝１であって、データ受入れ不可）を示す図である。ｋ－匿名化データ．ｔｂ（テーブル名Ｇ０００１．ｔｂ）の一例（ｋ＝２であって、データ受入れ可）を示す図である。ｋ－匿名化データ管理マスタＤＢ３１２２のテーブル例である。本発明の匿名化データの粒度管理装置の処理フローを説明するフローチャート図である。

　以下、その実施態様について図面を参照して説明する。まず、サービス享受事業者のビジネスを支援するサービス提供システムの概略について説明する。

　サービス提供システムは、アプリケーションサービスやＳＩ、つまり予約機能や業務ＳａａＳなどのサービス（第１のサービスＳ１）をサービス提供事業者側に提供するサービス基盤事業者システム又は装置（以下、サービス基盤事業者装置と称する）と、サービス享受事業者（飲食店など）の要望に応じて第１のサービスをカスタマイズしてサービス享受事業者に提供するサービス提供事業者システム又は装置（以下、サービス提供事業者装置と称する）と、から構成される。

　サービス享受事業者（飲食店など）は、ユーザ（消費者）に飲食や商材などを提供し、またユーザからユーザ情報（オリジナル情報）の提供を受ける。

　サービス基盤事業者装置は、ＳａａＳ以外、例えばＯＳを含むプラットフォームを貸し出しするＰａａＳ（Platform　as　a　Service）、ＡＳＰ（Application　Service　Provider）サービス等を提供する装置であってもよい。

　以下、飲食業界（飲食店）と、そのサービス提供事業者と、サービス基盤事業者とを主として説明する。

　まず、サービス提供システムの概要について説明する。サービス提供システムのサービス基盤事業者装置は、サービス提供事業者装置に対して予約管理サービス（アプリケーションサービス）などを提供するアプリケーションサーバ（以下、サービス基盤事業者用サーバと称する）を有する。

　サービス提供事業者装置は、この予約管理サービスをサービス享受事業者の要望に沿ってカスタマイズし、サービス享受事業者からユーザ（消費者）の予約情報を受付け管理するアプリケーションサーバ（以下、サービス提供事業者用サーバと称する）を有する。つまり、サービス基盤事業者装置とサービス提供事業者装置との協働をもって、サービス享受事業者のビジネスを支援する仕組みである。

　このような仕組みのシステムは、一般的にサービス享受事業者毎の個別案件ベースで対応するものである。
　従って、サービス基盤事業者装置は、サービス提供事業者装置に対して、第１のサービスＳ１を提供し、サービス提供事業者装置はサービス享受事業者に対して、カスタマイズした第１のサービス（サービス開始）を提供し、また該提供した第１のサービスに基づくユーザ情報（オリジナル情報）Ｉａ、Ｉｂなどを管理するのみであった。

　このサービス提供方法としては、例えばＳａａＳが挙げられる。ＳａａＳとは、情報システム（ソフトウェア）が提供する機能（第１のサービス）を、サービス提供事業者やサービス享受事業者が、特に新たなシステムを構築・導入することなく、ネットワーク経由で利用することを可能にするＩＣＴ活用環境である。

　一般的には、ＳａａＳでは、必要なときに必要なサービスを、特別なシステム構築の必要もなく素早く利用できるというメリットがある。また、ＳａａＳでは、社内に特別な環境を用意する必要はないことから、その機能（サービス）の運用開始時間を早め、コストも低減できる。また、インターネットやＷＡＮを使用することになるが、ネットワークやブラウザの技術革新により、社内システムを利用するのとほぼ同等の操作が可能である。

　また、サービス提供事業者やサービス享受事業者にとっては、サービス基盤事業者から提供されるＳａａＳやＳＩ及び運用・保守を利用することにより、コスト削減、売上拡大を図ることが期待できる。

　本発明は、斯様なデータ提供事業者の装置（サービス提供事業者装置Ａ、Ｂ、サービス享受事業者装置ａ１、ａ２、ｂ１、ｂ２など）からのデータを評価し、データ共有や融合、また個人情報漏洩リスクを取り去るものである。

　以下、本発明の実施例について図面に基づき、説明する。本実施例は、Ｋ－匿名化データであっても、間接個人識別が可能な提供データは、その受け入れを拒否し（個人情報漏洩防止）、第三者に公開しても個人識別の特定が困難なデータのみを受け入れ、当該受け入れた複数のデータを融合して効率的に分析することを可能とするものである。

　図１は、本発明の匿名化データの粒度管理装置をサービス基盤事業者装置に適用したサービス提供システムの全体構成を示す図である。

　サービス提供システムは、データ提供事業者のデータ提供事業者装置１２、サービス基盤事業者のサービス基盤事業者装置３、を有する。

　データ提供事業者装置１２は、複数のサービス提供事業者Ａ、Ｂ・・・の複数のサービス提供事業者装置２、複数のサービス享受事業者ａ、ｂ・・・のサービス享受事業者装置１、を有する。

　データ提供事業者装置１２は、データ提供事業者用サーバ１２１からなる。
　各サービス享受事業者装置１は、例えば複数の店舗ａ１、ａ２や複数の企業ｂ１、ｂ２側の装置であって、サービス享受事業者用サーバ１１からなる。そして、各サービス享受事業者用サーバ１１は、オリジナルユーザ情報ＩａやＩｂをサービス提供事業者装置２に対して出力する。

　このオリジナルユーザ情報ＩａやＩｂは、サービス基盤事業者装置３からネットワーク４を経由して提供する第１のサービスＳ１（業務／予約機能など）に対応してユーザ側から送られてくるものである。

　各サービス提供事業者装置２は、各オリジナルユーザ情報Ｉａ、Ｉｂを受け、当該オリジナルユーザ情報の出所元、つまりユーザが特定できない程度にｋ－匿名化し、当該匿名化ユーザ情報ＸＩａ、ＸＩｂをｋ－匿名化データとしてネットワーク４を介してサービス基盤事業者装置３側に送信する。

　ｋ－匿名化は、例えば上述した非特許文献１のｋ匿名化手法を利用する。そのｋ－匿名化については後述する。

　サービス基盤事業者装置３は、サービス基盤事業者用サーバ３１からなる。サービス基盤事業者用サーバ３１は、データ提供事業者用サーバ１２１側に対して、データ粒度を定義する粒度定義書．ＣＳＶ（Comma　Separated　Values：カンマで区切ったファイル形式）を配信し、また当該粒度定義書．ＣＳＶに基づき作成され、前記データ提供事業者用サーバ１２１から提供されるｋ－匿名性を満たすデータを受け、当該データを評価する機能を有する。

　図２は、サービス基盤事業者用サーバ３１およびデータ提供事業者用サーバ１２１の構成を示すブロック図である。

　サービス基盤事業者用サーバ３１は、入出力装置（入出力インターフェース）３１１、記憶装置（記憶手段）３１２、演算装置（演算手段）３１３、を有する。

　入出力装置３１１は、ｋ－匿名化データを含むｋ－匿名化データ．ｔｂを受信し、また後述するデータ受け入れ否通知、分析データをデータ提供事業者装置１２側に送信する機能を有する。

　記憶装置３１２は、データ提供事業者管理マスタＤＢ３１２１、ｋ－匿名化データ管理ＤＢ３１２２、粒度定義書管理マスタＤＢ３１２３、分析データ登録ＤＢ３１２４（図３参照）、を有する。

　データ提供事業者管理マスタＤＢ３１２１は、データ提供事業者マスタテーブル（図示せず）を有する。データ提供事業者マスタテーブルは、サービス提供事業者装置２に関連するプロフィールの各情報、例えばサービス提供事業者名（Ａ、Ｂ・・・）、メールアドレス、住所などの情報を記憶管理するテーブルスキームを構成する。

　ｋ－匿名化データ管理ＤＢ３１２２は、ｋ－匿名化データ管理テーブルＴ２を有する。ｋ－匿名化データ管理テーブルＴ２（図９参照）については後述する。

　粒度定義書管理マスタＤＢ３１２３は、複数の粒度定義書１．ＣＳＶ、粒度定義書２．ＣＳＶ、粒度定義書３．ＣＳＶを有する。粒度定義書．ＣＳＶ（図５参照）については後述する。

　演算装置３１３は、ＣＰＵなどの制御手段３１３１を有する。制御手段３１３１は、データ提供事業者認識部３１３１１、ｋ－匿名化データ評価部３１３１２、データ登録部３１３１３、データ分析部３１３１４、を有する。

　データ提供事業者認識部３１３１１は、データ提供事業者装置１２１からのｋ－匿名化データの提供者を、提供者ＩＤをもって認識する。

　ｋ－匿名化データ評価部３１３１２は、データ提供事業者装置１２１からのｋ－匿名化データを受け入れるか否かを評価する。その評価は、データの粒度およびｋの値をもって実施する。

　データ登録部３１３１３は、ｋ－匿名化データ評価部３１３１２により、受け入れ可と評価したデータをｋ－匿名化データ融合管理マスタＤＢ３１２２に登録する。

　データ分析部３１３１４は、受け入れた複数のデータを分析し、当該分析データをデータ提供事業者事業者用サーバ側からの要求に応じて提供する。

　また、制御手段３１３１は、図３に示す如く、タイムスタンプ部３１３１５、報奨金情報付与部３１３１６、データ分析部３１３１４、分析データ配信部３１３１７、データ受入否通知およびデータ廃棄機能を有するデータ受入可否結果通知部＆データ廃棄部３１３１８、を有する。

　タイムスタンプ部３１３１５は、受け入れたデータにタイムタイムスタンプを付与する。報奨金情報付与部３１３１６は、受け入れたデータで報奨金対象である旨を示す情報を付与する。

　分析データ配信部３１３１７は、データ分析部３１３１４による分析結果をデータ提供事業者サーバ１２１側に配信する。

　データ受入可否結果通知部＆データ廃棄部３１３１８は、ｋ－匿名化データ評価部３１３１２による評価結果のデータ受入可否をデータ提供者装置１２１側に通知する。ここで、ｋ－匿名化データ受け入れ否と評価した場合には、その旨をデータ提供事業者事業者サーバ１２１側に通知すると共に当該評価対象データを廃棄する。

　データ提供事業者事業者用サーバ１２１は、粒度定義書．ＣＳＶ要求部１２１１、粒度定義書．ＣＳＶ受信部１２１２、提供元データ登録ＤＢ１２１３、ｋ－匿名化データ作成部１２１４、ｋ－匿名化データ送信部１２１５、データ受入否通知および分析データ受信部１２１６、を有する。

　粒度定義書．ＣＳＶ要求部１２１１は、提供元のテータ、つまりオリジナルユーザ情報を第三者に対して、提供しようとする場合、サービス基盤事業者用サーバ３１に対して、粒度定義書．ＣＳＶの要求を行う。

　粒度定義書．ＣＳＶ受信部１２１２は、サービス基盤事業者用サーバ３１からの粒度定義書．ＣＳＶ（粒度定義書１．ＣＳＶ、粒度定義書２．ＣＳＶ、粒度定義書３．ＣＳＶ）を受信する。この粒度定義書．ＣＳＶは、ネット上に公開しておき、データを提供する側に適した粒度定義書．ＣＳＶをダウンロードするようにしてもよい。

　ｋ－匿名化データ作成部１２１４は、粒度定義書．ＣＳＶに基づいて、提供元データ登録ＤＢ１２１３の元データ（オリジナルユーザ情報）を入力し、ｋ－匿名化データを作成する。

　ｋ－匿名化データ送信部１２１５は、ｋ－匿名化データ作成部１２１４により作成されたｋ－匿名化データ（年代、地域など）をサービス基盤事業者サーバ３１側に送信する。このとき、データ提供事業者を示す提供者ＩＤ（Ｇ、Ａ、Ｙなど）、定義書Ｎｏ（１、２、３）を別ファイルで送信する。

　データ受入否通知および分析データ受信部１２１６は、データ受入拒否されたとき、サービス基盤事業者サーバ３１からの通知を受け、また分析データを受信する

　図４は、粒度定義管理マスタＤＢ３１２３のテーブルＴ１の内容を示す図である。同図において、テーブルＴ１は、定義書Ｎｏ（１、２、３）と定義書名（定義書１．ＣＳＶ、定義書２．ＣＳＶ、定義書３．ＣＳＶ）の情報を含んでいる。

　図５は、定義書１．ＣＳＶ、定義書２．ＣＳＶ、定義書３．ＣＳＶの各一例を示す図である。同図において、定義書１．ＣＳＶは、「ｋ，年代（幅），年代（始まり），居住地域，勤務地地域，１日，週（始まり），１年（始まり）」等の定義項目を有する。

　そして、定義書１．ＣＳＶは、「ｋ，年代（幅），年代（始まり），居住地域，勤務地地域，１日，週（始まり），１年（始まり）」が、「２，３才，０才，市区町村，都道府県，５時－２９時，月曜日，１月１日」の例をしている。
　定義書２．ＣＳＶは、「ｋ，年代（幅），年代（始まり），居住地域，勤務地地域，１日，週（始まり），１年（始まり）」が、「２，５才，０才，市区町村，都道府県，５時－２４時，月曜日，１月１日」であり、定義書３．ＣＳＶは、「ｋ，年代（幅），年代（始まり），居住地域，勤務地地域，１日，週（始まり），１年（始まり）」が、「５，３才，０才，市区町村，都道府県，５時－２９時，月曜日，１月１日」の例を示している。
　また、定義書ｎ．ＣＳＶは、「ｋ，年代（幅），年代（始まり），居住地域，勤務地地域，１日，週（始まり），１年（始まり）」が、「５，１０才，０才，市区町村，都道府県，０時－２４時，日曜日，第１週目の日曜日」の例を示している。

　図６は、ｋ－匿名化データ．ｔｂのデータ構成を示す図である。同図において、データとして、年代、居住地域、その他が含まれる。年代、居住地域は、準識別子であるので、これらはデータ提供事業者側にて、サービス基盤事業者側から送信される粒度定義書．ＣＳＶに従って、ｋ－匿名化する。

　図７は、図６の一具体例を示すものであって、ｋ－匿名化データ．ｔｂのテーブル名：Ｇ０００１．ｔｂ、　ｋ＝２の例を示す図である。同図において、テーブルＴ３は、準識別子として、年代、居住地域の２項目のデータを含んでいる。また、その他として、支払方法、金額のデータを含んでいる。

　ここで、「年代：３０－３４　居住地域：東京都品川区」、「年代：３５－３９　居住地域：東京都港区」、「年代：２０－２４　居住地域：東京都港区」、「年代：２５－２９　居住地域：東京都品川区」は、それぞれｋ＝２を満たすので、これらのデータは受入れ可と評価する。しかし、「年代：３０－３４　居住地域：東京都港区」、「年代：６０－６４　居住地域：東京都品川区」は、ｋ＝１なので、これらのデータは受入れ否と評価する。

　図８は、テーブル名：Ｇ０００１．ｔｂ、　ｋ＝２に対して、ｋ－匿名化データ評価部３１３１２により、評価した後、受入れデータのみを含むテーブルＴ３’の例を示す図である。

　図９は、ｋ－匿名化データ管理マスタＤＢ３１２２のテーブルＴ２の内容を示す図である。同図において、テーブルＴ２は、テーブル名（Ｇ０００１．ｔｂ，Ｇ０００２．ｔｂ、Ａ０００１．ｔｂ、Ｇ０００３．ｔｂ、Ｙ０００１．ｔｂ、Ｇ０００４．ｔｂ）、データ提供事業者ＩＤ（Ｇ、Ｇ、Ａ、Ｇ、Ｙ、Ｇ）、時刻（タイムスタンプ）、報奨金、レコード数、項目数（ｋ－匿名化処理した準識別子；年代、地域の項目数）、粒度定義書Ｎｏ（１、１、２、２、３、３）などの情報を含んでいる。

　図１０は、サービス基盤事業者用サーバとデータ提供事業者用サーバの各処理手順を示すフローチャートである。

　データ提供事業者用サーバ１２１は、ステップＳ１２１にて、サービス基盤事業者用サーバ３１に粒度定義書要求する。

　サービス基盤事業者用サーバ３１は、ステップＳ３１１にて、前記粒度定義書要求を受信する。次いで、ステップＳ３１２にて、当該粒度定義書要求に応じた粒度定義書．ＣＳＶ（例えば、粒度定義書１．ＣＳＶ）を粒度定義書管理マスタＤＢ３１２３から抽出し、データ提供事業者用サーバ１２１に送信する。

　データ提供事業者用サーバ１２１は、ステップＳ１２２にて、粒度定義書１．ＣＳＶを受信する。

　次に、ステップＳ１２３にて、粒度定義書１．ＣＳＶに基づき作成されるｋ－匿名化データをサービス基盤事業者用サーバ３１に送信する。

　サービス基盤事業者用サーバ３１は、ステップＳ３１３にて、ｋ－匿名化データを受信する。このとき、ｋ－匿名化データの他、当該データの提供者を特定するデータ提供者ＩＤ（図９参照）、定義書Ｎｏ（図４参照）も受信する。これらは、データ提供事業者用サーバ１２１から送信するものであるが、ｋ－匿名化データと、データ提供者ＩＤ、定義書Ｎｏは、別ファイルで送信する。

　次いで、ステップＳ３１４にて、ｋ－匿名化データを評価する。このデータ評価は、ｋ－匿名化データの粒度およびｋの値を元に実行する。

　例えば、サービス基盤事業者用サーバ１２１側にてｋの値が２と定義している場合、ｋの値が２以上の場合は、データ受入可と評価し、２以下の場合には、Ｋ－匿名化データであっても、間接的に個人情報が特定される可能性が高いと判断し、データ受入否と評価する。このｋの値は、２以上の複数に設定する。また、このｋの値は、データを提供する提供者側により、設定してもよい。

　ステップＳ３１５にて、データ受入可否の結果は、ステップＳ３２２にて、データ提供事業者側サーバ１２１に通知する。
ステップＳ３１５にて、データ受入否とした場合には、その旨の通知と共に、このときの評価対象データをステップＳ３２１に廃棄処理する。
データ提供事業者用サーバ１２１では、ステップＳ１２６にて、その通知を受け、この通知により、受け入れ可否を把握することができる。

　データ受入可とした場合には、ステップＳ３１６にて、当該データの受け入れ日を示すタイムスタンプを受け入れデータに付与する。また、ステップＳ３１７にて、当該受け入れデータの価値を示す報奨金情報を付与する。これらのステップは、必要に応じて行う。

　次に、ステップＳ３１８にて、受け入れたデータをＫ－匿名化データ登録ＤＢ３１２２に登録する。

　ステップＳ３１９にて、例えば、データ提供事業者側からの依頼に基づき、当該依頼に適したＫ－匿名化データ（１以上）をｋ－匿名化データＤＢ３１２２から抽出し、当該抽出データのデータ分析を行う。

　この分析データは、ステップＳ３２０にて、データ提供事業者用サーバ１２１に送信する。そして、この送信は、例えば、データ提供者用サーバ１２１側でのステップＳ１２４におけるｋ－匿名化データ要求に基づいて実行される。データ提供事業者用サーバ１２１は、ステップＳ１２５にて、分析Ｋ－匿名化データを受信する。

　上述した実施例の如く、データ評価、分析のシステム化により、粒度定義書に合っており、かつデータ評価基準を充足していれば、その提供データに対して報奨金（値段）情報を付けて支払うような仕組みを容易に実現できる。

　また、分析のシステム化により、粒度定義書に合っていれば、その提供データに対して報奨金（値段）を付けて支払うような仕組みを容易に実現できる。

　上述した実施例では、ｋ－匿名化データを受信し、次いで当該データを評価し、受入れデータのみをｋ－匿名化データ管理マスタ３１２２に登録するステップとしているが、ｋ－匿名化データを一旦ｋ－匿名化データ管理マスタ３１２２に登録した後、分析データとして受入れ可能か否かを評価し、当該データの中から受入れ可のデータのみを分析対象のデータとするステップとしてもよい。

　なお、本発明は上述した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記録装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に置くことができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

１　サービス享受事業者装置
２　サービス提供事業者装置
２１　サービス提供事業者用サーバ
３　サービス基盤事業者装置
３１　サービス基盤事業者用サーバ
１２１　データ提供事業者用サーバ
１２１１　粒度定義書要求部
１２１２　粒度定義書受信部
１２１３　提供元データ登録部
１２１４　ｋ－匿名化データ作成部
１２１５　ｋ－匿名化データ送信部
３１１　入出力装置
３１２　記憶装置
３１３　演算装置
３１３１　制御手段
３１２１　データ提供事業者管理マスタＤＢ
３１２２　ｋ－匿名化融合管理マスタＤＢ
３１２３　粒度定義書管理マスタＤＢ
３１２４　分析データ登録ＤＢ

Claims

　データ提供事業者装置と、サービス基盤事業者装置と、を有し、
　前記サービス基盤事業者装置は、
　前記データ提供事業者装置に対して、データの粒度を定義する粒度定義書．ＣＳＶを配信する手段と、
　前記データ提供事業者装置側にて前記粒度定義書．ＣＳＶに基づき作成されるｋ－匿名化データを含むｋ－匿名化データ．ｔｂを受ける手段と、
　前記ｋ－匿名化データ．ｔｂのｋ－匿名化データの粒度およびｋの値をもって、前記ｋ－匿名化データを受け入れるか否かを評価する手段と、
　を有し、
　前記ｋ－匿名化データから、個人情報漏洩リスクを防止し、かつ複数のｋ－匿名化データの融合、分析精度を向上することを可能とする匿名化データの粒度管理装置。
　請求項１に記載された匿名化データの粒度管理装置であって、
　前記ｋ－匿名化データ．ｔｂを受ける手段は、前記ｋ－匿名化データ．ｔｂの前記粒度定義書．ＣＳＶで定義されているｋ－匿名化処理された前記ｋ－匿名化データを受けるとき、前記データ提供事業者装置から当該データの提供者を特定するＩＤ、定義書Ｎｏを受ける
　ことを特徴とする匿名化データの粒度管理装置。
　請求項１に記載の匿名化データの粒度管理装置であって、
　前記サービス基盤事業者装置は、
　さらに、前記データ評価手段により、受入れ可能と判断した場合、当該データにタイムスタンプおよび報奨金情報を付与する手段と、
　前記データ受入れ否と判断した場合、その旨を前記データ提供事業者装置側に通知する手段、
　を有する、
　ことを特徴とする匿名化データの粒度管理装置。
　請求項１に記載の匿名化データの粒度管理装置であって、
　前記サービス基盤事業者装置は、
　前記データ評価手段による評価結果、データ受入可とした場合、前記記憶手段に登録する手段、
　前記受入れたデータを分析するデータ分析手段、
　を有し、
　前記サービス基盤事業者装置側にて、前記データ提供事業者装置から受入れ可能な複数のデータを分析対象データとして融合し、当該融合データを前記データ分析手段により、分析した分析データとし前記データ提供装置側に配信送付可能とする
　ことを特徴とする匿名化データの粒度管理装置。
　請求項１～請求項４の何れか１項に記載の匿名化データの粒度管理装置であって、
　前記粒度定義書．ＣＳＶは、データ粒度定義が１種類、又は異なる複数の種類からなり、前記粒度定義書．ＣＳＶに基づき作成される前記ｋ－匿名化データ．ｔｂは1種類、又は２種類以上の複数のデータの集まりである
　ことを特徴とする匿名化データの粒度管理装置。
　データ提供事業者装置と、サービス基盤事業者装置と、を有し、
　前記サービス基盤事業者装置側において、前記データ提供事業者装置側から送られてくる匿名化データの粒度を管理する方法であって、
　前記データ提供事業者装置に対して、データの粒度を定義する粒度定義書．ＣＳＶを配信するステップと、
　前記データ提供事業者装置側にて前記粒度定義書．ＣＳＶに基づき作成されるｋ－匿名化データを含むｋ－匿名化データ．ｔｂを受けるステップと、
　前記ｋ－匿名化データ．ｔｂのｋ－匿名化データの粒度およびｋの値をもって、前記ｋ－匿名化データを受け入れるか否かを評価するステップと、
　を有し、
　前記ｋ－匿名化データから、個人情報漏洩リスクを防止し、かつ複数のｋ－匿名化データの融合、分析精度を向上することを可能とする匿名化データの粒度管理方法。
　請求項６に記載の匿名化データの粒度管理方法であって、
　さらに、前記データ評価手段により、受入れ可能と判断した場合、当該データにタイムスタンプおよび報奨金情報を付与するステップと、
　前記データ受入れ否と判断した場合、その旨を前記データ提供事業者装置側に通知するステップ、
　を有する、
　ことを特徴とする匿名化データの粒度管理方法。
　請求項６に記載の匿名化データの粒度管理方法であって、
　前記データ評価手段による評価結果、データ受入可とした場合、前記記憶手段に登録するステップと、
　前記受入れたデータを分析するステップと、
を有し、
　前記サービス基盤事業者装置側にて、前記データ提供事業者装置から受入れ可能な複数のデータを分析対象データとして融合し、当該融合データを前記データ分析手段により、分析した分析データとし前記データ提供装置側に配信送付可能とする
　ことを特徴とする匿名化データの粒度管理方法。