WO2016013057A1 - Information protection system, information protection method, and information protection program - Google Patents

Information protection system, information protection method, and information protection program Download PDF

Info

Publication number
WO2016013057A1
WO2016013057A1 PCT/JP2014/069322 JP2014069322W WO2016013057A1 WO 2016013057 A1 WO2016013057 A1 WO 2016013057A1 JP 2014069322 W JP2014069322 W JP 2014069322W WO 2016013057 A1 WO2016013057 A1 WO 2016013057A1
Authority
WO
WIPO (PCT)
Prior art keywords
quasi
simulation
identifier
information
time
Prior art date
Application number
PCT/JP2014/069322
Other languages
French (fr)
Japanese (ja)
Inventor
紀宏 津嶋
雅之 吉野
Original Assignee
株式会社日立システムズ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立システムズ filed Critical 株式会社日立システムズ
Priority to PCT/JP2014/069322 priority Critical patent/WO2016013057A1/en
Priority to JP2015513927A priority patent/JP6046807B2/en
Publication of WO2016013057A1 publication Critical patent/WO2016013057A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Provided is an information protection system capable of setting an appropriate generalization unit for a quasi-identifier even in the case of time evolution in a k-anonymization process for a data set of personal information having the quasi-identifier. For this purpose, the information protection system is provided with a means for calculating a future k-value according to a calculation formula for the quasi-identifier that evolves over time, a means for comparing the calculated k-value and a preset reference value, and a means for displaying a result of the comparison, whereby implementation of a time evolution simulation is enabled.

Description

情報保護システム、情報保護方法及び情報保護プログラムInformation protection system, information protection method, and information protection program
 本発明は、情報保護システム、情報保護方法及び情報保護プログラムに関する。 The present invention relates to an information protection system, an information protection method, and an information protection program.
 特に、本発明はk-匿名化処理を実行する情報処理装置を用いて時間依存性のある元データを所定の時間間隔でk-匿名化処理を実行する運用環境で、準識別子の一般化単位を設定する方法において、準識別子の時間依存性に着目して、準識別子の一般化単位を適切に設定することが可能な情報保護システムである。本情報保護システムは、準識別子の時間依存性の相関関係を管理して時間をシミュレーションすることで一般化単位の設定最適化を実現するk-匿名化シミュレーション機能を有する情報保護システム、情報保護方法及び情報保護プログラムに関する。 In particular, the present invention provides a generalized unit of quasi-identifiers in an operational environment in which k-anonymization processing is performed on a time-dependent original data at a predetermined time interval using an information processing apparatus that performs k-anonymization processing. In the information protection system, the generalized unit of the quasi-identifier can be appropriately set by paying attention to the time dependency of the quasi-identifier. This information protection system is an information protection system having a k-anonymization simulation function that realizes optimization of generalized unit settings by managing time-correlation of quasi-identifiers and simulating time, and an information protection method And information protection programs.
 元データから「k」人以下の識別を困難にする「k-匿名性」を実現する「k-匿名化」処理をするサーバ装置において、元データの項目は「識別子」、「準識別子」、「その他情報」に分けられる。匿名化とは、ユーザを特定できないよう個人情報(プライバシ情報)を加工する処理のことである。また、匿名性の指標として「k-匿名化」が知られている。これは、「準識別子」を持つユーザにおける公開されたくない情報の組合せで、同じ組合せに属する人数をk人以上存在させることで、ユーザが特定される可能性を1/k以下にしてユーザ特定を困難する技術である。この「k-匿名化」に関する技術として、特許文献1及び非特許文献1がある。 In a server device that performs “k-anonymization” processing that realizes “k-anonymity” that makes it difficult to identify “k” or less people from the original data, the items of the original data are “identifier”, “quasi-identifier”, It is divided into “other information”. Anonymization is a process of processing personal information (privacy information) so that a user cannot be specified. Further, “k-anonymization” is known as an anonymity index. This is a combination of information that a user with a “quasi-identifier” does not want to be disclosed, and there are k or more people belonging to the same combination, thereby reducing the possibility that the user is specified to 1 / k or less. It is a technology that makes it difficult. As technologies related to this “k-anonymization”, there are Patent Literature 1 and Non-Patent Literature 1.
 また、「元データ」は「パーソナル情報」と呼ばれるデータセットの場合が多い。「パーソナル情報」とは、従来の個人情報保護法で定義された個人情報に、法令化はされていないがプライバシの考えも含んだデータである。 Also, “original data” is often a data set called “personal information”. “Personal information” is data that is not legalized but includes the idea of privacy in the personal information defined in the conventional personal information protection law.
 「元データ(パーソナル情報)」における「識別子」、「準識別子」、「その他情報」の分類は、例えば、非特許文献1に示す「パーソナル情報保護・解析基盤の開発・改良と検証」に関する報告書で定義されている。そのうち、「準識別子」の「一般化処理」と言われる処理がある。「一般化処理」とは、「年齢」を「年代」、「完全な住所」を「地域」に変換するなど、「準識別子」の値の抽象化を行うことで、それらの組み合わせに属する対象者(例えば、「年代」と「地域」)を「k」人以下に識別できなくすることで「k-匿名性」を実現する処理である。 The classification of “identifier”, “quasi-identifier”, and “other information” in “original data (personal information)” is, for example, a report on “development / improvement and verification of personal information protection / analysis infrastructure” shown in Non-Patent Document 1. Defined in the certificate. Among them, there is a process called “generalization process” of “quasi-identifier”. “Generalization” is a process that abstracts the value of “quasi-identifier” by converting “age” into “age” and “complete address” into “region”, and so on. This is a process for realizing “k-anonymity” by making it impossible to identify a person (for example, “age” and “region”) below “k” people.
PCT国際公開WO2012/090628号公報PCT International Publication No. WO2012 / 090628
 従来は上記文献の様に、時間発展するデータセットに対して、「k-匿名化」処理において準識別子の一般化単位を決める場合、ある時刻においてレコード数及び情報量を最大限残す事を目的としたアルゴリズムで処理されている。しかし、将来のデータセットの状態を予測して一般化単位を設定するという発想はなく、技術も確立されてない。 Conventionally, when the generalized unit of quasi-identifiers is determined in the “k-anonymization” process for time-evolving data sets as in the above document, the objective is to leave the maximum number of records and the amount of information at a certain time. It is processed with the algorithm. However, there is no idea of setting a generalized unit by predicting the state of a future data set, and no technology has been established.
 特許文献1では、時間発展する位置情報に含まれる測位データという準識別子に対して、一般化単位(抽象度)が高くなりすぎることを抑制するため、抽象度が所定の基準値を超えた場合には、アドホック(限定目的)に測位時間を分割している。すなわち、特許文献1では、時間発展(リアルタイム追加)する準識別子(位置情報)の一般化単位(抽象度)を、単位(抽象度)が大きくなることの防止する手段として「単位(抽象度)を分割」する方法を開示している。しかしながら、特許文献1では「一般化単位(抽象度)が大きくなったらその一般化単位を分割する」という技術を開示しているが、「計画的に単位を設定(変更)する」という技術は開示されていない。そのため、情報量を残すことだけを目的とした場合、一般化単位が合わない可能性が生じる。従って匿名化されたデータセットの分析が継続できなくなるという問題点がある。そこで、本発明は、匿名化されたデータセットの分析を継続させることができる情報保護システムを提供することにある。 In Patent Document 1, in order to prevent the generalized unit (abstraction level) from becoming too high with respect to the quasi-identifier of positioning data included in time-developing position information, the abstraction level exceeds a predetermined reference value. In this case, the positioning time is divided into ad hoc (limited purpose). That is, in Patent Document 1, a general unit (abstraction level) of a quasi-identifier (position information) that develops in time (added in real time) is expressed as “unit (abstraction level) as means for preventing the unit (abstraction level) from increasing. The method of dividing | segmenting "is disclosed. However, Patent Document 1 discloses a technique of “dividing the generalized unit when the generalized unit (abstraction level) increases”, but the technique of “setting (changing) the unit systematically” is disclosed. Not disclosed. Therefore, there is a possibility that the generalized unit does not match when the purpose is to leave only the information amount. Therefore, there is a problem that the analysis of the anonymized data set cannot be continued. Then, this invention is providing the information protection system which can continue the analysis of the anonymized data set.
 上記課題を解決するために、本発明の情報保護システムは、準識別子を有するデータセットにおいて、時間発展する準識別子の計算式を管理して、k-匿名化処理の時間発展シミュレーションを実行できる手段を設けた。例えば、本発明は以下のとおりである。 In order to solve the above-mentioned problem, the information protection system of the present invention is capable of managing a time-evolving quasi-identifier calculation formula in a data set having a quasi-identifier and executing a time-development simulation of k-anonymization processing. Was provided. For example, the present invention is as follows.
 情報保護システムは、準識別子を有するデータセット(パーソナル情報)に対し時間発展と共にk-匿名化処理を実行するシステムで、準識別子の時間発展によるk値の分布を計算する計算式を有し、計算式で時間発展に伴うデータセットを生成し、生成されたデータセットでのk値が予め設定した基準値を満足するかを判定し、準識別子の一般化単位が妥当であるかを評価することを特徴とする。 The information protection system is a system that executes k-anonymization processing with time evolution for a data set (personal information) having a quasi-identifier, and has a calculation formula for calculating a distribution of k values according to the time evolution of the quasi-identifier, Generate a data set with time evolution using a calculation formula, determine whether the k value in the generated data set satisfies a preset reference value, and evaluate whether the generalized unit of the quasi-identifier is valid It is characterized by that.
 情報保護システムは、準識別子を有するデータセットにおいて、時間発展する複数の準識別子の計算式を有し、複数の準識別子で相関関係がある準識別子を選択し、選択された準識別子の計算式で、時間発展に伴うデータセットを生成し、生成されたデータセットでのk値が予め設定した基準値を満足するかを判定し、準識別子の一般化単位が妥当であるかを評価することを特徴とする。 The information protection system has a plurality of quasi-identifier calculation formulas that evolve in time in a data set having a quasi-identifier, selects a quasi-identifier correlated with the plurality of quasi-identifiers, and calculates the selected quasi-identifier calculation formula To generate a data set with time evolution, determine whether the k value in the generated data set satisfies a preset reference value, and evaluate whether the generalized unit of the quasi-identifier is valid It is characterized by.
 情報保護システムは、時間発展に伴うデータセットの生成で使用した準識別子の一般化単位で分割し、分割した領域を組み合わせて作成したセル内のk値を算出し、算出したk値と予め設定した基準値とを比較し、基準値を満足しないセルを抽出することを特徴とする。 The information protection system divides the quasi-identifier used in generating the data set with time development into generalized units, calculates the k value in the cell created by combining the divided areas, and sets the calculated k value in advance. The extracted reference value is compared, and a cell that does not satisfy the reference value is extracted.
 情報保護システムは、異なる2つ以上の時間発展シミュレーションを実行でき、準識別子の計算式を2つ以上設定することが可能であることを特徴とする。 The information protection system can execute two or more different time evolution simulations, and can set two or more quasi-identifier calculation formulas.
 本発明の情報保護システムでは、元データで設定した準識別子の一般化単位が「k」の値を担保(満足)しているとしても、数年後にその一般化単位の設定が有効にk値を満足できているか否かを評価できる。 In the information protection system of the present invention, even if the generalized unit of the quasi-identifier set in the original data secures (satisfies) the value of “k”, the setting of the generalized unit becomes effective after several years. Can be evaluated.
 また、数年後に元データで設定した一般化単位で必要とする「k」の値を満足できない場合でも、予め一般化単位を、元データに対し数年後のシミュレーションしたデータセットでも満足できるように設定しておくことで、数年後に一般化単位変更をするという従来方法によって生じるデータ単位の不整合も、未然に防げる。 In addition, even if the value of “k” required in the generalized unit set in the original data after several years cannot be satisfied, the generalized unit can be satisfied in the simulated data set several years after the original data in advance. By setting to, data unit inconsistency caused by the conventional method of changing the generalized unit after several years can be prevented in advance.
 更に、一般化単位に不整合が生じると、例えば分析の軸の単位が異なることに起因して、継続した分析結果比較ができないなどという問題が生じるが、数年後のデータセットをシミュレーションすることで予め一般化単位を数年後でも変わらないように設定することが可能となり、データの可用性を向上させられる。なお、前述以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。 Furthermore, if inconsistencies occur in generalized units, there will be a problem that the comparison of the analysis results cannot be continued due to, for example, the unit of the analysis axis being different, but it is necessary to simulate a data set after several years. Thus, it becomes possible to set the generalized unit in advance so as not to change even after several years, and the data availability can be improved. Problems, configurations, and effects other than those described above will be clarified by the following description of embodiments.
図1は、k-匿名化処理におけるk値の時間依存評価シミュレーション機能を実現する情報保護システムの構成図である。FIG. 1 is a configuration diagram of an information protection system that realizes a k-value time-dependent evaluation simulation function in k-anonymization processing. 図2は、各データの構造と、データ間の関連性を示す対応図である。FIG. 2 is a correspondence diagram showing the structure of each data and the relationship between the data. 図3は、元データテーブルの構成例を示す図である。FIG. 3 is a diagram illustrating a configuration example of the original data table. 図4は、準識別子管理マスタ(JSM)テーブルの構成例を示す図である。FIG. 4 is a diagram illustrating a configuration example of a semi-identifier management master (JSM) table. 図5は、シミュレーション定義マスタ(SDM)テーブルの構成例を示す図である。FIG. 5 is a diagram illustrating a configuration example of a simulation definition master (SDM) table. 図6は、シミュレーションジャーナルテーブル(SJT)の構成例を示す図である。FIG. 6 is a diagram illustrating a configuration example of a simulation journal table (SJT). 図7は、k-匿名化処理におけるk値の時間依存評価シミュレーションの全体処理を示すフローチャートである。FIG. 7 is a flowchart showing the entire process of the time-dependent evaluation simulation of the k value in the k-anonymization process. 図8は、準識別子の選択・登録処理を示すフローチャートである。FIG. 8 is a flowchart showing the quasi-identifier selection / registration process. 図9は、実行するシミュレーション内容の設定処理を示すフローチャートである。FIG. 9 is a flowchart showing a simulation content setting process to be executed. 図10は、シミュレーション実行処理を示すフローチャートである。FIG. 10 is a flowchart showing the simulation execution process. 図11は、n年後のデータセットの生成処理を示すフローチャートである。FIG. 11 is a flowchart showing a data set generation process after n years. 図12は、一般化単位を3歳とし年齢を変化させた場合のシミュレーション実行結果を示す図である。FIG. 12 is a diagram illustrating a simulation execution result when the generalized unit is 3 years old and the age is changed. 図13は、一般化単位を5歳とし年齢を変化させた場合のシミュレーション実行結果を示す図である。FIG. 13 is a diagram showing a simulation execution result when the generalized unit is 5 years old and the age is changed. 図14は、年齢及び住居年数を変化させ一般化単位をそれぞれ5歳とした場合のシミュレーション実行前の状態を示す図である。FIG. 14 is a diagram illustrating a state before the simulation is executed when the age and the age of residence are changed and the generalized unit is 5 years old. 図15は、年齢及び住居年数を変化させ一般化単位をそれぞれ5歳とした場合のシミュレーション実行後の状態を示す図である。FIG. 15 is a diagram illustrating a state after the simulation is executed when the age and the number of years of residence are changed and the generalized unit is 5 years old.
 以下、図面を参照しながら実施の形態を説明する。なお、以下の説明では、「管理テーブル」等の表現にて各種情報を説明することがあるが、各種情報は、テーブル以外のデータ構造で表現されていてもよい。また、データ構造に依存しないことを示すために「管理テーブル」を「管理情報」と呼ぶことができる。 Hereinafter, embodiments will be described with reference to the drawings. In the following description, various types of information may be described using an expression such as “management table”, but the various types of information may be expressed using a data structure other than a table. Further, the “management table” can be referred to as “management information” to indicate that it does not depend on the data structure.
 また、「プログラム」を主語として処理を説明する場合がある。そのプログラムは、プロセッサ、例えば、MP(Micro Processor)やCPU(Central Processing Unit)によって実行されるもので、定められた処理をするものである。なお、適宜に記憶資源(例えばメモリ)及び通信インターフェース装置(例えば、通信ポート)を用いながら行うため、処理の主語がプロセッサとされてもよい。プロセッサは、CPUの他に専用ハードウェアを有していても良い。コンピュータプログラムは、プログラムソースから各コンピュータにインストールされても良い。プログラムソースは、例えば、プログラム配布サーバ又は記憶メディアなどで提供されるものであっても良い。 Also, there are cases where the process is explained using “program” as the subject. The program is executed by a processor, for example, an MP (Micro Processor) or a CPU (Central Processing Unit), and performs a predetermined process. Note that the subject of processing may be a processor because the storage resource (for example, a memory) and a communication interface device (for example, a communication port) are used as appropriate. The processor may have dedicated hardware in addition to the CPU. The computer program may be installed on each computer from a program source. The program source may be provided by, for example, a program distribution server or a storage medium.
 また、各要素、例えば、コントローラは番号などで識別可能であるが、識別可能な情報であれば、名前など他種の識別情報が用いられても良い。本実施例の図及び説明において同一部分には同一符号を付与しているが、本発明が本実施例に制限されることは無く、本発明の思想に合致するあらゆる応用例が本発明の技術的範囲に含まれる。また、特に限定しない限り、各構成要素は複数でも単数でも構わない。 Further, each element, for example, the controller can be identified by a number or the like, but other types of identification information such as a name may be used as long as it is identifiable information. In the drawings and description of the present embodiment, the same reference numerals are given to the same parts. However, the present invention is not limited to the present embodiment, and any application examples that meet the idea of the present invention can be applied. Included in the scope. Further, unless specifically limited, each component may be plural or singular.
<システム構成>図1
 図1は、k-匿名化処理におけるk値の時間依存評価シミュレーション機能を実現する情報保護システムの構成図である。情報保護システムは、k値の時間依存評価シミュレーション装置(評価シミュレーション装置と略す)1と、ネットワーク101を介して評価シミュレーション装置1と接続する操作端末100から構成される。 <System configuration> Fig. 1
FIG. 1 is a configuration diagram of an information protection system that realizes a k-value time-dependent evaluation simulation function in k-anonymization processing. The information protection system includes a k-value time-dependent evaluation simulation apparatus (abbreviated as an evaluation simulation apparatus) 1 and an operation terminal 100 connected to the evaluation simulation apparatus 1 via a network 101.
 また、評価シミュレーション装置1は、シミュレーション管理装置10、CPU-a11、記憶装置a12、ネットワーク101との通信接続を制御する通信装置13、k-匿名化処理の結果や判定結果及びシミュレーション状況を確認するための表示装置14を備える。 The evaluation simulation apparatus 1 also checks the simulation management apparatus 10, the CPU-a 11, the storage apparatus a 12, the communication apparatus 13 that controls communication connection with the network 101, the k-anonymization processing result, the determination result, and the simulation status. The display device 14 is provided.
 また、CPU-a11は、元データないし時間t=t+n(n:0以上の整数)でのデータセットにおけるk-匿名化処理を行うk-匿名化処理装置105と、k-匿名化処理装置105の処理結果が妥当であるかを判定する判定装置114を備える。記憶装置a12には、元データ(時間t=t)30を格納する元データ(時間t=t)格納用記憶媒体(メモリやHDD)を備える。 Further, the CPU-a11 performs k-anonymization processing device 105 for performing k-anonymization processing on the original data or a data set with time t = t + n (n is an integer equal to or greater than 0), and k-anonymization processing device 105. Is provided with a determination device 114 that determines whether or not the processing result is valid. The storage device a12 includes a storage medium (memory or HDD) for storing original data (time t = t) for storing the original data (time t = t) 30.
 シミュレーション管理装置10は、CPU-b15と記憶装置b16を備える。CPU-b15は、データセット(時間t=t+n)108を生成し管理するデータセット(時間t=t+n)生成装置107、実行するシミュレーション内容を定義し管理するシミュレーション定義装置109、定義された準識別子を管理する準識別子管理装置112を備える。 The simulation management device 10 includes a CPU-b 15 and a storage device b16. The CPU-b 15 includes a data set (time t = t + n) generation device 107 that generates and manages a data set (time t = t + n) 108, a simulation definition device 109 that defines and manages simulation contents to be executed, and a defined quasi-identifier A quasi-identifier management device 112 for managing
 記憶装置bは、データセット(時間t=t+n)108を格納するデータセット(時間t=t+n)格納用記憶媒体、シミュレーション定義マスタ50の情報を格納するシミュレーション定義マスタ格納用記憶媒体、シミュレーションジャーナル60の情報を格納するシミュレーションジャーナル格納用記憶媒体、準識別子管理マスタ40の情報を格納する準識別子管理マスタ格納用記憶媒体を備える。これら記憶媒体はメモリやHDDなどである。 The storage device b includes a storage medium for storing a data set (time t = t + n) that stores the data set (time t = t + n) 108, a storage medium for storing simulation definition master that stores information on the simulation definition master 50, and a simulation journal 60. A storage medium for storing a simulation journal for storing the above information, and a storage medium for storing a semi-identifier management master for storing information of the semi-identifier management master 40. These storage media are memory, HDD, and the like.
 シミュレーション実行者は、操作者端末100を用いて、ネットワーク101を介して、k-匿名化処理装置105の処理結果を表示装置14で確認する。処理結果は、判定装置114によって妥当かどうかが判定され、その判定結果も表示装置14に表示される。なお、処理結果や判定結果を操作者端末100が取得し、操作者端末100の表示部(図示せず)に表示させてもよい。 The simulation executor uses the operator terminal 100 to check the processing result of the k-anonymization processing device 105 on the display device 14 via the network 101. Whether the processing result is valid or not is determined by the determination device 114, and the determination result is also displayed on the display device 14. The processing result and the determination result may be acquired by the operator terminal 100 and displayed on a display unit (not shown) of the operator terminal 100.
 従来技術では、元データ(時間t=t)30をk-匿名化処理装置105で匿名化処理して、その処理結果を表示装置14で表示させていただけであった。このk-匿名化処理装置105は、前述の非特許文献1に記載されている構成を用いてよいし、他の構成でもよい。なお、k-匿名化処理内容は一般に知られているもので、その例として非特許文献1や特許文献1に記載のものがある。 In the prior art, the original data (time t = t) 30 was anonymized by the k-anonymization processing device 105 and the processing result was displayed on the display device 14. The k-anonymization processing device 105 may use the configuration described in Non-Patent Document 1 described above, or may have another configuration. The content of k-anonymization processing is generally known, and examples thereof include those described in Non-Patent Document 1 and Patent Document 1.
 一方、シミュレーション実行者は、操作者端末100を用いて、元データ(時間t=t)30での準識別子を定義する。操作者端末100は、定義された準識別子の情報を受け付けて、ネットワーク101経由で評価シミュレーション装置1に送信する。評価シミュレーション装置1は、受信した準識別子の情報を、準識別子管理装置112に送る。準識別子管理装置112は、受信した準識別子の情報を準識別子管理マスタ40に格納するとともに、シミュレーション定義装置109に送る。 On the other hand, the simulation executor defines a quasi-identifier in the original data (time t = t) 30 using the operator terminal 100. The operator terminal 100 receives information on the defined quasi-identifier and transmits it to the evaluation simulation apparatus 1 via the network 101. The evaluation simulation apparatus 1 sends the received quasi-identifier information to the quasi-identifier management apparatus 112. The quasi-identifier management device 112 stores the received quasi-identifier information in the quasi-identifier management master 40 and sends it to the simulation definition device 109.
 また、シミュレーション実行者は、シミュレーション内容を検討する。検討結果(どのような計算で時間発展させるかの計算式、シミュレーション期間、k値の基準値、初期一般化単位等)を操作端末100経由で評価シミュレーション装置1に送信する。操作端末100は、受け付けたシミュレーション内容を、評価シミュレーション装置1に送信し、評価シミュレーション装置1は受信したシミュレーション内容を、シミュレーション定義装置109に送る。シミュレーション定義装置109は、受信したシミュレーション内容のうち計算式に関する情報以外をシミュレーション定義マスタ50に格納して管理する。また、計算式に関する情報は、シミュレーションジャーナル60に登録する。 Also, the simulation executor examines the simulation contents. The examination results (calculation formula for what kind of calculation is used for time evolution, simulation period, reference value of k value, initial generalized unit, etc.) are transmitted to the evaluation simulation apparatus 1 via the operation terminal 100. The operation terminal 100 transmits the received simulation contents to the evaluation simulation apparatus 1, and the evaluation simulation apparatus 1 transmits the received simulation contents to the simulation definition apparatus 109. The simulation definition device 109 stores and manages information other than information related to the calculation formula in the received simulation contents in the simulation definition master 50. Information about the calculation formula is registered in the simulation journal 60.
 シミュレーション実行者は、登録されたシミュレーションから実際に実行するシミュレーションを決定する。その動作は、例えば、シミュレーション実行者は、操作端末100にプルダウンメニューで表示された登録シミュレーション名称と内容から、実行するシミュレーション名称を選択する。操作端末100は、選択されたシミュレーション名称を評価シミュレーション装置1に送信する。 The simulation executor determines a simulation to be actually executed from the registered simulation. For example, the simulation executor selects a simulation name to be executed from the registered simulation name and content displayed on the operation terminal 100 using a pull-down menu. The operation terminal 100 transmits the selected simulation name to the evaluation simulation apparatus 1.
 評価シミュレーション装置1は受信したシミュレーション名称をシミュレーション定義装置109に送り、シミュレーション定義装置109は、実際に実行するシミュレーションの詳細情報(実行シミュレーション詳細情報)をシミュレーションジャーナル60及びシミュレーション定義マスタ50から取得する。 The evaluation simulation apparatus 1 sends the received simulation name to the simulation definition apparatus 109, and the simulation definition apparatus 109 acquires detailed information (execution simulation detailed information) of the simulation actually executed from the simulation journal 60 and the simulation definition master 50.
 そして、シミュレーション定義装置109は、取得した実行シミュレーション詳細情報をデータセット(時間t=t+n)生成装置107で、時間発展させたデータセット(時間t=t+n)108を生成する。そして、生成したデータセット(時間t=t+n)108を、データセット(時間t=t+n)生成装置107はk-匿名化処理装置105を用いて匿名化処理をして、処理結果を表示装置14で表示する。また、処理結果を判定装置114によって妥当性が判定され、その判定結果も表示装置14で表示する。 Then, the simulation definition device 109 uses the data set (time t = t + n) generation device 107 to generate the data set (time t = t + n) 108 in which the acquired execution simulation detailed information is time-developed. The generated data set (time t = t + n) 108 is anonymized by the data set (time t = t + n) generation device 107 using the k-anonymization processing device 105, and the processing result is displayed on the display device 14. Is displayed. The validity of the processing result is determined by the determination device 114, and the determination result is also displayed on the display device 14.
 ここで、「t=t+n」という表現は、ある時間「t」から時間発展させて、次のシミュレーション結果を表示させる時間(これを「t+n」と表現)にした場合の時間、即ち次のシミュレーションの時間である「t+n」の時間、を表現している。時間nの単位は、年、月、日、時、分、秒、期などで、どれを用いてもシミュレーションすることができる。また、整数でなく、0.5年などの小数でもよい。このような単位を選択することで、時間的に詳細なシミュレーションが可能となる。また、長期的なシミュレーションを可能できるので、分析効率を向上できる。 Here, the expression “t = t + n” is a time when the time is developed from a certain time “t” to display the next simulation result (this is expressed as “t + n”), that is, the next simulation. The time of “t + n” that is the time of. The unit of time n is year, month, day, hour, minute, second, period, etc., and any unit can be used for simulation. Moreover, it may be a decimal number such as 0.5 years instead of an integer. By selecting such a unit, a temporally detailed simulation is possible. In addition, since long-term simulation can be performed, analysis efficiency can be improved.
<データ構造と関連性>図2
 図2は、各データの構造と、データ間の関連性を示す対応図である。評価シミュレーション装置1で使用または管理されるデータとして、元データテーブル30、準識別子管理マスタ(JSM:Jun Shikibetsu Master)テーブル40、シミュレーション定義マスタ(SDM:Simulation Definition Master)テーブル50、シミュレーションジャーナルテーブル(SJT:Simulation Journal  Table)60がある。 <Data structure and relationship> Fig. 2
FIG. 2 is a correspondence diagram showing the structure of each data and the relationship between the data. As data used or managed by the evaluation simulation apparatus 1, an original data table 30, a semi-identifier management master (JSM) table 40, a simulation definition master (SDM) table 50, a simulation journal table (SJT). : Simulation Journal Table) 60.
 元データテーブル30は、例えば、図に示すように、識別子として、識別子1(名前)、識別子2(会員ID)を有し、準識別子として、準識別子1(年齢)、準識別子2(住所)、準識別子3(入居年)、準識別子4(保険割引ステージ)を有し、その他情報としてその他1(年収)、その他2(車所有)を有する。評価シミュレーション装置1では、元データテーブル30のうち、準識別子候補を決める。この例では、「生年(年齢)」、「住所」、「入居年」、「保険割引ステージ」を準識別子として選択している。 For example, as shown in the figure, the original data table 30 has an identifier 1 (name) and an identifier 2 (member ID) as identifiers, and a quasi-identifier 1 (age) and a quasi-identifier 2 (address) as quasi-identifiers. , Quasi-identifier 3 (year of occupancy), quasi-identifier 4 (insurance discount stage), and other information (other 1) (annual income) and other 2 (car ownership). In the evaluation simulation apparatus 1, quasi-identifier candidates are determined in the original data table 30. In this example, “birth year (age)”, “address”, “year of residence”, and “insurance discount stage” are selected as quasi-identifiers.
 元データテーブル30の準識別子で、準識別子管理マスタテーブル40を構成する。準識別子管理マスタテーブル40は、JSM_準識別子IDとJSM_準識別子を有する。つまり、元データテーブル30の準識別子と、準識別子管理マスタ(JSM)テーブル40のJSM_準識別子とが対応する。 The quasi-identifier management master table 40 is composed of the quasi-identifiers of the original data table 30. The semi-identifier management master table 40 has a JSM_quasi-identifier ID and a JSM_quasi-identifier. That is, the quasi-identifier of the original data table 30 corresponds to the JSM_quasi-identifier of the quasi-identifier management master (JSM) table 40.
 シミュレーション定義マスタ(SDM)テーブル50は、SDM_シミュレーションIDと、SDM_シミュレーション名を有する。シミュレーションジャーナルテーブル(SJT)60は、SJT_シミュレーションIDと、SJT_準識別子ID、SJT_計算式を有する。シミュレーション定義マスタ(SDM)テーブル50のSDM_シミュレーションIDと、シミュレーションジャーナルテーブル(SJT)60のSJT_シミュレーションIDとが対応する。また、準識別子管理マスタテーブル40のJSM_準識別子IDと、シミュレーションジャーナルテーブル(SJT)60のSJT_準識別子IDが対応する。これらのデータやテーブルを用いて、評価シミュレーション装置1は、k-匿名化処理におけるk値の時間依存評価シミュレーションを実行する。 The simulation definition master (SDM) table 50 has an SDM_simulation ID and an SDM_simulation name. The simulation journal table (SJT) 60 has SJT_simulation ID, SJT_quasi-identifier ID, and SJT_calculation formula. The SDM_simulation ID in the simulation definition master (SDM) table 50 corresponds to the SJT_simulation ID in the simulation journal table (SJT) 60. Further, the JSM_quasi-identifier ID of the semi-identifier management master table 40 corresponds to the SJT_quasi-identifier ID of the simulation journal table (SJT) 60. Using these data and tables, the evaluation simulation apparatus 1 executes a time-dependent evaluation simulation of the k value in the k-anonymization process.
<データ構造と関連性>図3
 図3は、元データテーブルの構成例を示す図である。元データテーブル30は、番号(#)301、識別子302、準識別子303、その他情報304を有する。前述のように、識別子302には名前、会員番号(会員ID)の情報を格納する欄を、準識別子303には年齢(生年)、住所、入居年数(入居年)、保険割引ステージの情報を格納する欄を、その他情報304には年収、車所有の情報を格納する欄を有する。 <Data structure and relationship> Fig. 3
FIG. 3 is a diagram illustrating a configuration example of the original data table. The original data table 30 includes a number (#) 301, an identifier 302, a quasi-identifier 303, and other information 304. As described above, the identifier 302 has a column for storing information of name and member number (member ID), and the quasi-identifier 303 has age (birth year), address, years of occupancy (year of occupancy), and insurance discount stage information. The other information 304 has a column for storing annual income and vehicle ownership information.
<準識別子管理マスタテーブル>図4
 図4は、準識別子管理マスタ(JSM)テーブルの構成例を示す図である。準識別子管理マスタ(JSM)テーブル40は、JSM_準識別子ID401とJSM_準識別子402を有する。JSM_準識別子ID401は、JSM_準識別子を一意に識別するためのIDである。JSM_準識別子ID401に対応するJSM_準識別子402に選択された準識別子の候補を格納する。 <Quasi-identifier management master table> FIG.
FIG. 4 is a diagram illustrating a configuration example of a semi-identifier management master (JSM) table. The semi-identifier management master (JSM) table 40 has a JSM_quasi-identifier ID 401 and a JSM_quasi-identifier 402. The JSM_quasi-identifier ID 401 is an ID for uniquely identifying the JSM_quasi-identifier. The candidate of the selected semi-identifier is stored in the JSM_quasi-identifier 402 corresponding to the JSM_quasi-identifier ID 401.
 本例では、JSM_準識別子ID401が“1”から“4”に対応するJSM_準識別子402のエントリに、“年齢(生年)”、“住所”、“入居年数(入居年)”、“保険割引ステージ”という情報を格納している。 In this example, the entries of JSM_quasi-identifier 402 corresponding to JSM_quasi-identifier ID 401 from “1” to “4” include “age (year of birth)”, “address”, “year of occupancy (year of occupancy)”, “insurance discount” Information “stage” is stored.
<シミュレーション定義マスタ(SDM)テーブル>図5
 図5は、シミュレーション定義マスタ(SDM)テーブルの構成例を示す図である。シミュレーション定義マスタ(SDM)テーブル50は、シミュレーションを一意に識別するためのSDM_ID501と、SDM_シミュレーション名502を有する。評価シミュレーション装置1は、シミュレーション実行者からの実行したいシミュレーション情報を受信すると、シミュレーション定義マスタ(SDM)テーブル50に実行したいシミュレーションを登録して、IDを採番する。また、採番されたシミュレーションにおける準識別子の時間発展に関する計算式をシミュレーションジャーナルテーブル(SJT)60に登録する。 <Simulation Definition Master (SDM) Table> FIG.
FIG. 5 is a diagram illustrating a configuration example of a simulation definition master (SDM) table. The simulation definition master (SDM) table 50 has an SDM_ID 501 for uniquely identifying a simulation and an SDM_simulation name 502. Upon receiving simulation information to be executed from a simulation executor, the evaluation simulation apparatus 1 registers the simulation to be executed in the simulation definition master (SDM) table 50 and assigns an ID. Also, a calculation formula relating to the time evolution of the quasi-identifier in the assigned simulation is registered in the simulation journal table (SJT) 60.
 本例では、SDM_ID501が“1”から“3” に対応するSDM_シミュレーション名502のエントリに、“年齢だけ時間経過評価”、“年齢と住居年数を時間経過評価”、“保険割引ステージ評価1”の情報を格納している。 In this example, the entries of SDM_simulation names 502 corresponding to SDM_IDs 501 from “1” to “3” include “Elapsed time evaluation by age”, “Elapsed time evaluation of age and residence years”, and “Insurance discount stage evaluation 1”. Is stored.
<シミュレーションジャーナルテーブル>図6
 図6は、シミュレーションジャーナルテーブル(SJT)の構成例示す図である。シミュレーションジャーナルテーブル(SJT)60は、全てのシミュレーションの計算式を管理するテーブルの一例である。シミュレーションジャーナルテーブル(SJT)60は、番号(#)601、シミュレーションを一意に識別するためのSJT_シミュレーションID602、準識別子を一意に識別するためのSJT_準識別子ID603、SJT_計算式604を有する。 <Simulation journal table> FIG.
FIG. 6 is a diagram illustrating a configuration example of a simulation journal table (SJT). The simulation journal table (SJT) 60 is an example of a table that manages all simulation calculation formulas. The simulation journal table (SJT) 60 has a number (#) 601, an SJT_simulation ID 602 for uniquely identifying a simulation, an SJT_quasi-identifier ID 603 for uniquely identifying a quasi-identifier, and an SJT_calculation formula 604.
 例えば、SJT_シミュレーションID602が“1”のシミュレーションは、図5のシミュレーション定義マスタ50から「年齢だけ時間経過評価」を実行するシミュレーションである。そのため、年齢(SJT_準識別子ID603が“1”)だけが毎年時間発展して「(年齢(t+n)=年齢(t)+n)」という計算式で表現でき、他の準識別子は「固定」としている。 For example, the simulation with the SJT_simulation ID 602 of “1” is a simulation that executes “time-evaluation by age” from the simulation definition master 50 of FIG. Therefore, only the age (SJT_quasi-identifier ID 603 is “1”) develops time every year and can be expressed by the formula “(age (t + n) = age (t) + n)”, and other quasi-identifiers are “fixed”. It is said.
 また、SJT_シミュレーションIDが“2”のシミュレーションは、シミュレーション定義マスタ50から「年齢と住居年数とを時間経過評価」を実行するシミュレーションである。そのため、年齢(SJT_準識別子ID603が“1”)と住居年数(SJT_準識別子ID603が“2”)が毎年時間発展して「(年齢(t+n)=年齢(t)+n)」、「(住居年数(t+n)=住居年数(t)+n)」という計算式で表現でき、他の準識別子は「固定」としている。 Further, the simulation with the SJT_simulation ID “2” is a simulation that executes “time-evaluation of age and age of residence” from the simulation definition master 50. For this reason, the age (SJT_quasi-identifier ID 603 is “1”) and the number of years of residence (SJT_quasi-identifier ID 603 is “2”) are time-developed every year as “(age (t + n) = age (t) + n)”, “ It can be expressed by the calculation formula (year of residence (t + n) = year of residence (t) + n), and other quasi-identifiers are “fixed”.
 更に、SJT_シミュレーションIDが“3”のシミュレーションは、シミュレーション定義マスタ50から「保険割引ステージ評価1(年齢と住居年数と保険割引ステージの時間経過評価)」を実行するシミュレーションであるので、年齢(SJT_準識別子ID603が“1”)と住居年数(SJT_準識別子ID603が“2”)が毎年時間発展して「(年齢(t+n)=年齢(t)+n)」、「住所(t+n)=住所(t)+n」、「(住居年数(t+n)=住居年数(t)+n)」という計算式に加えて、「保険割引ステージ(t+n)」は、
 (1)ブロンズ:(年齢(t+n)+入居年数(t+n))*0.01<0.4の場合
 (2)シルバー:(年齢(t+n)+入居年数(t+n))*0.01<0.5の場合
 (3)ゴールド:(年齢(t+n)+入居年数(t+n))*0.01<0.6の場合
 (4)プラチナ:(年齢(t+n)+入居年数(t+n))*0.01≧0.6の場合
         (0.6以上で、保険割引ステージがプラチナとなる)
で算出される。つまり、本発明では、準識別子間(年齢と入居年数)の相関の計算を行うことで、別の準識別子に対するシミュレーションを行うことができる。 Furthermore, since the simulation with SJT_simulation ID “3” is a simulation that executes “insurance discount stage evaluation 1 (age, residence years, and time lapse evaluation of insurance discount stage)” from the simulation definition master 50, the age ( SJT_quasi-identifier ID 603 is “1”) and the number of years of residence (SJT_quasi-identifier ID 603 is “2”) develops time every year to “(age (t + n) = age (t) + n)”, “address (t + n)” = Address (t) + n ”,“ (residence years (t + n) = residence years (t) + n) ”, and“ insurance discount stage (t + n) ”
(1) Bronze: (age (t + n) + years of occupancy (t + n)) * 0.01 <0.4 (2) silver: (age (t + n) + years of occupancy (t + n)) * 0.01 <0 .5 case (3) Gold: (age (t + n) + years of occupancy (t + n)) * 0.01 <0.6 (4) platinum: (age (t + n) + years of occupancy (t + n)) * 0 .01 ≧ 0.6 (0.6 or more, insurance discount stage is platinum)
Is calculated by That is, in the present invention, a simulation for another quasi-identifier can be performed by calculating a correlation between quasi-identifiers (age and number of years of occupancy).
 上記の計算式は一例であり、例えば、年代によって車の事故率が変化することに着目して、車両保険(損害保険)の保険料や保険割引率、付帯オプション等を変えられるようにしてもよい。また、年齢や年代によって、年収が変化(増収ないし減収)することに着目し信用情報での与信度を変えられるようにしてもよい。住宅ローンの借り入れ残額等も年齢等と組み合わせて、シミュレーションを、評価シミュレーション装置1で実行してもよい。 The above calculation formula is an example. For example, paying attention to the fact that the car accident rate changes with the age, the insurance premiums, insurance discount rates, incidental options, etc. of vehicle insurance (non-life insurance) can be changed. Good. Further, paying attention to the fact that the annual income changes (increased or decreased) depending on the age and age, the credit level in the credit information may be changed. The simulation may be executed by the evaluation simulation apparatus 1 by combining the remaining amount of the mortgage loan with the age or the like.
 次に、処理の動作について、シミュレーション管理装置10を、処理を実行する主体として説明するが、その他の装置、例えば、評価シミュレーション装置1が主体でもかまわない。 Next, the operation of the process will be described with the simulation management apparatus 10 as a main body that executes the process, but another apparatus, for example, the evaluation simulation apparatus 1 may be the main body.
<k値の時間依存評価シミュレーションの全体処理>図7
 図7は、k-匿名化処理におけるk値の時間依存評価シミュレーションの全体処理を示すフローチャートである。 <Overall Processing of Time-Dependent Evaluation Simulation of k Value> FIG.
FIG. 7 is a flowchart showing the entire process of the time-dependent evaluation simulation of the k value in the k-anonymization process.
 S701で、シミュレーション管理装置10は、元データ(t=t)テーブル30を記憶装置a12からロードする。 In S701, the simulation management apparatus 10 loads the original data (t = t) table 30 from the storage device a12.
 S702で、シミュレーション管理装置10は、S701でのk値の基準値を設定する。S703で、シミュレーション管理装置10は、シミュレーションする期間を設定する。S704で、シミュレーション管理装置10は、元データ(t=t)テーブル30より準識別子を定義する。k-匿名化処理装置105が、ロードした元データ(t=t)テーブル30を所定のk値で匿名化処理を施す。その結果を判定装置114で判定し妥当であれば、シミュレーション管理装置10は、匿名化処理を施したk値と、k-匿名化処理結果を採用する。 In S702, the simulation management apparatus 10 sets a reference value for the k value in S701. In S703, the simulation management apparatus 10 sets a simulation period. In S <b> 704, the simulation management apparatus 10 defines a quasi-identifier from the original data (t = t) table 30. The k-anonymization processing device 105 anonymizes the loaded original data (t = t) table 30 with a predetermined k value. If the result is determined by the determination device 114 and is appropriate, the simulation management device 10 adopts the k value subjected to the anonymization process and the k-anonymization process result.
 S705で、シミュレーション管理装置10は、S704で定義した準識別子を準識別子管理マスタ(JSM)テーブル40に登録する。S706で、シミュレーション管理装置10は、シミュレーション名とシミュレーションの方法を、シミュレーション定義マスタ(SDM)テーブル50と、シミュレーションジャーナルテーブル(SJT)60に登録する。S707で、シミュレーション管理装置10は、シミュレーションを実行する。 In S705, the simulation management apparatus 10 registers the quasi-identifier defined in S704 in the quasi-identifier management master (JSM) table 40. In S706, the simulation management apparatus 10 registers the simulation name and the simulation method in the simulation definition master (SDM) table 50 and the simulation journal table (SJT) 60. In S707, the simulation management apparatus 10 executes a simulation.
 以上の処理が、k-匿名化処理におけるk値の時間依存評価シミュレーションの全体処理である。次に、詳細な処理内容を図8以降で説明する。 The above processing is the entire processing of the time-dependent evaluation simulation of the k value in the k-anonymization processing. Next, detailed processing contents will be described with reference to FIG.
<準識別子の選択・登録処理>図8
 図8は、準識別子の選択・登録処理を示すフローチャートである。本処理は、図7のS704及びS705の処理に相当する。 <Quasi-identifier selection / registration process> FIG.
FIG. 8 is a flowchart showing the quasi-identifier selection / registration process. This process corresponds to the processes of S704 and S705 in FIG.
 S801で、シミュレーション管理装置10は、元データ(t=t)テーブル30から、準識別子を選別する。 In S801, the simulation management apparatus 10 selects a quasi-identifier from the original data (t = t) table 30.
 S802で、シミュレーション管理装置10は、準識別子管理装置112に選別された準識別子のフィールド名を準識別子管理マスタ(JSM)テーブル40に登録する。つまり、準識別子管理装置112は、準識別子管理マスタ(JSM)テーブル40のJSM_準識別子ID401における最大番号の次の番号を採番し、採番された番号に対応するJSM_準識別子402に準識別子のフィールド名を格納する。 In S802, the simulation management apparatus 10 registers the field names of the quasi-identifiers selected by the quasi-identifier management apparatus 112 in the quasi-identifier management master (JSM) table 40. That is, the quasi-identifier management device 112 assigns a number next to the maximum number in the JSM_quasi-identifier ID 401 of the quasi-identifier management master (JSM) table 40, and assigns a quasi-identifier to the JSM_quasi-identifier 402 corresponding to the number assigned. Stores the field name.
 以上の処理で、準識別子の選別と準識別子管理マスタ(JSM)テーブル40への登録が完了する。次に、実行するシミュレーション内容の設定処理について説明する。 With the above processing, selection of the quasi-identifier and registration in the quasi-identifier management master (JSM) table 40 are completed. Next, a simulation content setting process to be executed will be described.
<シミュレーション内容の設定処理>図9
 図9は、実行するシミュレーション内容の設定処理を示すフローチャートである。本処理は、図7のS706の処理に相当する。 <Simulation Content Setting Processing> FIG.
FIG. 9 is a flowchart showing a simulation content setting process to be executed. This process corresponds to the process of S706 in FIG.
 S901で、シミュレーション管理装置10は、シミュレーション定義装置109へ実行するシミュレーションの名称をシミュレーション定義マスタ(SDM)テーブル50に登録してSDM_シミュレーションIDを採番するよう指示する。シミュレーション定義装置109は、シミュレーション名称をシミュレーション定義マスタ(SDM)テーブル50に登録し、SDM_シミュレーションIDを採番する。 In S901, the simulation management apparatus 10 instructs the simulation definition apparatus 109 to register the name of the simulation to be executed in the simulation definition master (SDM) table 50 and to assign an SDM_simulation ID. The simulation definition device 109 registers a simulation name in the simulation definition master (SDM) table 50 and assigns an SDM_simulation ID.
 S902で、シミュレーション管理装置10は、シミュレーション定義装置109に実行するシミュレーションで、各準識別子を時間発展させる計算式をシミュレーションジャーナルテーブル(SJT)60に登録するよう指示する。シミュレーション定義装置109は、シミュレーションジャーナルテーブル(SJT)60のSJT_シミュレーションID602にシミュレーション定義マスタ(SDM)テーブル50のSDM_ID501の情報を、SJT_準識別子603に、準識別子管理マスタ(JSM)テーブル40のJSM_準識別子ID401の情報を、SJT_計算式604に各準識別子を時間発展させる計算式を格納する。 In S <b> 902, the simulation management apparatus 10 instructs the simulation definition apparatus 109 to register in the simulation journal table (SJT) 60 a calculation formula for temporal development of each quasi-identifier. The simulation definition device 109 stores information of SDM_ID 501 of the simulation definition master (SDM) table 50 in SJT_simulation ID 602 of the simulation journal table (SJT) 60, information of SDM_ID 501 in SJT_quasi identifier 603, and JSM_quasi The information of the identifier ID 401 is stored in the SJT_calculation formula 604 as a calculation formula for developing each quasi-identifier over time.
 S903で、シミュレーション管理装置10は、シミュレーション定義装置109にシミュレーションジャーナルテーブル(SJT)60に、全ての準識別子のシミュレーションID、準識別子ID、計算式を登録するよう指示する。指示を受けたシミュレーション定義装置109は、S902の処理を全準識別子について実行して、所定の情報をシミュレーションジャーナルテーブル(SJT)60に設定する。 In S903, the simulation management apparatus 10 instructs the simulation definition apparatus 109 to register the simulation IDs, quasi-identifier IDs, and calculation formulas of all quasi-identifiers in the simulation journal table (SJT) 60. Upon receiving the instruction, the simulation definition device 109 executes the process of S902 for all the quasi-identifiers and sets predetermined information in the simulation journal table (SJT) 60.
 以上の処理で、実行するシミュレーションで必要な計算式やシミュレーションIDを確定させることができる。次に、実際のシミュレーション実行処理の動作について説明する。 With the above processing, calculation formulas and simulation IDs necessary for the simulation to be executed can be determined. Next, the operation of the actual simulation execution process will be described.
<シミュレーション実行処理>図10
 図10は、シミュレーション実行処理を示すフローチャートである。本処理は、図7のS707の処理に相当する。 <Simulation execution processing> FIG.
FIG. 10 is a flowchart showing the simulation execution process. This process corresponds to the process of S707 in FIG.
 S1001で、シミュレーション管理装置10は、シミュレーションする準識別子の一般化単位を設定する。ここでは、シミュレーション管理装置10は、年齢の一般化単位を“3歳”と設定し、住所の一般化単位を“1丁目”と設定する。 In S1001, the simulation management apparatus 10 sets a generalized unit of a quasi-identifier to be simulated. Here, the simulation management apparatus 10 sets the age generalization unit as “3 years old”, and sets the address generalization unit as “1 chome”.
 S1002で、シミュレーション管理装置10は、設定された一般化単位を組み合わせて「セル」を設定する。つまり、図12に示すようにシミュレーション管理装置10は、縦軸方向に住所の番地を1番地刻みで、横軸方向に年齢を1歳刻みで配置した矩形領域をまず設定する。そして、1丁目1番地から1丁目11番地までで、年齢の一般化単位を“3歳”刻みの「セル」(図中の太い黒線で囲われた部分)を1つ以上設定する。図12では、4つの「セル」を設定している。 In S1002, the simulation management apparatus 10 sets a “cell” by combining the set generalization units. That is, as shown in FIG. 12, the simulation management apparatus 10 first sets a rectangular area in which the address is arranged in increments of 1 in the vertical axis direction and the age in 1 year increments in the horizontal axis direction. One or more “cells” (portions surrounded by thick black lines in the figure) are set as generalized units of age from 1 to 1 at 1 to 11 at 1-chome. In FIG. 12, four “cells” are set.
 S1003で、シミュレーション管理装置10は、iにシミュレーション開始年を設定する(i=シミュレーション開始年)。例えば、シミュレーション管理装置10は、i=西暦2015年と設定する。 In S1003, the simulation management apparatus 10 sets a simulation start year for i (i = simulation start year). For example, the simulation management apparatus 10 sets i = year 2015.
 S1004で、シミュレーション管理装置10は、シミュレーションジャーナルテーブル(SJT)60を参照して、i年(=2015年)のデータセットを作成する。 In S1004, the simulation management apparatus 10 refers to the simulation journal table (SJT) 60 and creates a data set for year i (= 2015).
 S1005で、シミュレーション管理装置10は、k-匿名化処理装置105にi年のデータセットを送信し、k-匿名化処理を実行させる。 In S1005, the simulation management apparatus 10 transmits the i-year data set to the k-anonymization processing apparatus 105 to execute the k-anonymization process.
 S1006で、シミュレーション管理装置10は、S1005でのk-匿名化処理の処理結果が妥当かどうかを判定装置114で判定させる。そして、設定されたシミュレーションをする準識別子の一般化単位の組み合わせで表現される各セルでのk値を算出する。つまり、シミュレーション管理装置10は、妥当と判断されたk値の候補を決定する。 In S1006, the simulation management apparatus 10 causes the determination apparatus 114 to determine whether the processing result of the k-anonymization process in S1005 is appropriate. And k value in each cell expressed with the combination of the generalized unit of the semi-identifier which performs the set simulation is calculated. That is, the simulation management apparatus 10 determines k value candidates determined to be appropriate.
 S1007で、シミュレーション管理装置10は、k値を算出した結果、設定された基準値よりも小さなk値となるかを判断する。算出したk値が設定された基準値より小さい場合(Yes)、シミュレーション管理装置10は、S1008を実行する。例えば、算出したk値が“2”で、設定された基準値が“5”であれば、匿名化の基準を満足しない(個人を特定されてしまう)と、シミュレーション管理装置10は判断する。 In S1007, the simulation management apparatus 10 determines whether the k value is smaller than the set reference value as a result of calculating the k value. When the calculated k value is smaller than the set reference value (Yes), the simulation management apparatus 10 executes S1008. For example, if the calculated k value is “2” and the set reference value is “5”, the simulation management apparatus 10 determines that the anonymization standard is not satisfied (an individual is specified).
 算出したk値が設定された基準値より大きい場合(No)、シミュレーション管理装置10は、S1009を実行する。つまり、算出したk値が“7”であれば、設定された基準値が“5”より大きいので、匿名化の基準を満足する(個人を特定される可能性は1/k(=7)以下である)と、シミュレーション管理装置10は判断する。 When the calculated k value is larger than the set reference value (No), the simulation management apparatus 10 executes S1009. That is, if the calculated k value is “7”, the set reference value is larger than “5”, and therefore the anonymization standard is satisfied (the possibility of specifying an individual is 1 / k (= 7)). The simulation management apparatus 10 determines that the following is true.
 S1008で、シミュレーション管理装置10は、k値が設定された基準値よりも小さな値のセルの情報を、表示装置14の画面に表示してシミュレーション実行者に通知する。また、シミュレーション管理装置10は、基準値よりも小さな値のセルの情報を操作端末100に送信し、操作端末100の表示画面に表示して基準値を満足しないと警告してもよい。 In S1008, the simulation management apparatus 10 displays the information of the cell having a value smaller than the reference value for which the k value is set on the screen of the display device 14, and notifies the simulation performer. In addition, the simulation management apparatus 10 may transmit information on a cell having a value smaller than the reference value to the operation terminal 100 and display it on the display screen of the operation terminal 100 to warn that the reference value is not satisfied.
 S1009で、シミュレーション管理装置10は、i=i+1とする。つまり、シミュレーションを実行する年を、シミュレーション開始年に1年加えた年とする。この時、i年は2016年となる。S1010で、シミュレーション管理装置10は、iの値(年)がシミュレーション終了年以上であるかを判断する。iの値(年)がシミュレーション終了年以上であれば、シミュレーション管理装置10は、シミュレーションを終了する。iの値(年)がシミュレーション終了年未満であれば、シミュレーション管理装置10は、再びS1004以降の処理を実行する。 In S1009, the simulation management apparatus 10 sets i = i + 1. That is, the year in which the simulation is executed is a year obtained by adding one year to the simulation start year. At this time, year i is 2016. In S1010, the simulation management apparatus 10 determines whether the value (year) of i is greater than or equal to the simulation end year. If the value (year) of i is greater than or equal to the simulation end year, the simulation management apparatus 10 ends the simulation. If the value (year) of i is less than the simulation end year, the simulation management apparatus 10 executes the processing from S1004 onwards.
 以上のシミュレーションにより、将来に設定されたk値が基準値を満足するか否かを判断できるので、匿名化を担保することができる。 By the above simulation, it can be determined whether or not the k value set in the future satisfies the reference value, so that anonymization can be ensured.
<n年後のデータセットの生成処理>図11
 図11は、n年後のデータセットの生成処理を示すフローチャートである。本処理は、図10のS1004でi=i+nとして算出する処理である。 <Generation processing of data set after n years> FIG.
FIG. 11 is a flowchart showing a data set generation process after n years. This process is a process of calculating as i = i + n in S1004 of FIG.
 S1101で、シミュレーション管理装置10は、シミュレーション定義マスタ(SDM)テーブル50から、シミュレーションするシミュレーションID(SDM_ID501の情報)を選択する。 In S1101, the simulation management apparatus 10 selects a simulation ID (information of SDM_ID 501) to be simulated from the simulation definition master (SDM) table 50.
 S1102で、シミュレーション管理装置10は、シミュレーションジャーナルテーブル(JST)60から、S1101で選択したシミュレーションID(SDM_ID501の情報)における全てのSJT_準識別子ID603と計算式を取得する。例えば、シミュレーション管理装置10は、SDM_ID501が“2”の「年齢と住居年数を時間経過評価」を選択すると、対応するSJT_シミュレーションIDが同じ“2”である項目(番号(#)601が“5”から“8”)のSJT_準識別子ID603と、SJT_計算式604とを取得する。 In S1102, the simulation management apparatus 10 acquires, from the simulation journal table (JST) 60, all SJT_quasi-identifier IDs 603 and calculation formulas in the simulation ID selected in S1101 (information of SDM_ID 501). For example, when the simulation management apparatus 10 selects “Evaluation of age and age of residence over time” whose SDM_ID 501 is “2”, the corresponding SJT_simulation ID is the same “2” (number (#) 601 is “5”). SJT_quasi-identifier ID 603 and “SJT_calculation formula 604” are acquired.
 S1103で、シミュレーション管理装置10は、データセット(時間t=t+n)生成装置107にデータセット(時間t=t+n)の生成を指示する。データセット(時間t=t+n)生成装置107は、取得した計算式を用いて各準識別子の時間t=t+nにおける値を計算して、時間t=t+nにおけるデータセット(時間t=t+n)を生成する。そして、データセット(時間t=t+n)生成装置107は、生成したデータセット(時間t=t+n)を記憶装置b16にデータセット(時間t=t+n)108として格納する。そして、シミュレーション管理装置10は、n年後のデータセットの生成処理を終了する。 In S1103, the simulation management apparatus 10 instructs the data set (time t = t + n) generation apparatus 107 to generate the data set (time t = t + n). The data set (time t = t + n) generation device 107 calculates the value of each quasi-identifier at time t = t + n using the obtained calculation formula, and generates the data set (time t = t + n) at time t = t + n. To do. The data set (time t = t + n) generation device 107 stores the generated data set (time t = t + n) as the data set (time t = t + n) 108 in the storage device b16. Then, the simulation management apparatus 10 ends the data set generation process after n years.
 本n年後のデータセットの生成処理により、元データを変更することなく現存させることができ、更にn年後のデータセット(時間t=t+n)を生成でき、また生成したデータセット(時間t=t+n)を保存することができる。なお、nの値は、本例のシミュレーションのように1年単位でもよいし、前述のように0.5年という小数を用いることができる。更に、将来ではなく、過去に向かってシミュレーションを行うことも本実施例では可能であるので、マイナス値(-1年、-0.5年)も用いることができる。 By the generation process of the data set after n years, the original data can exist without change, and the data set after n years (time t = t + n) can be generated, and the generated data set (time t = T + n) can be saved. Note that the value of n may be a year unit as in the simulation of this example, or a decimal number of 0.5 years may be used as described above. Furthermore, since it is possible in this embodiment to perform a simulation toward the past instead of the future, a negative value (−1 year, −0.5 year) can also be used.
<シミュレーション実行結果1>図12
 図12は、一般化単位を3歳とし年齢を変化させた場合のシミュレーション実行結果を示す図である。図12に、「年齢だけ時間経過評価」するシミュレーションの結果の例を示す。ここでは、「k値が5人以上であること」を基準値として設定した。また、図12では、一般化単位を「0歳から開始し3歳単位」としている。シミュレーション開始年を2015年として1年毎の時間経過評価シミュレーションを実行する。 <Simulation execution result 1> FIG.
FIG. 12 is a diagram illustrating a simulation execution result when the generalized unit is 3 years old and the age is changed. FIG. 12 shows an example of the result of a simulation of “time-evaluated by age”. Here, “k value is 5 or more” is set as a reference value. Further, in FIG. 12, the generalized unit is “starting from 0 years old and 3 years old”. The simulation for year is set to 2015, and the time course evaluation simulation is executed every year.
 まず、2015年(●:黒塗り丸印が、2015年時点で所定の住所に居住している所定の年齢である人を表す)は、全てのセルで基準値「k値が5人以上であること」を満たしている。例えば、住所が1丁目の1番地から11番地に居住している31歳から33歳の人のk値は“8”である。同じく、34歳から36歳の人のk値は“7”、37歳から39歳の人のk値は“13”、40歳から42歳の人のk値は“9”である。そのため、2015年時点では、所が1丁目の1番地から11番地に居住している3歳単位の年代に分けた各セル(黒い太線で囲われた部分)は、基準値「k値が5人以上であること」を満足していることが分かる。 First, in 2015 (●: black circle represents a person of a predetermined age living at a predetermined address as of 2015), the reference value “k value is 5 or more in all cells. Satisfies certain things. For example, the k value of a person between the ages of 31 and 33 who lives at addresses 1 to 11 of 1-chome is “8”. Similarly, the k value of people aged 34 to 36 is “7”, the k value of people 37 to 39 is “13”, and the k value of people 40 to 42 is “9”. Therefore, as of 2015, each cell divided into three-year-old age (location surrounded by a black thick line) living at 1 to 11 at 1-chome is the reference value “k value is 5 You can see that you are satisfied that you are more than people.
 一方、2015年から1年経過した2016年(◎:二重丸が、2016年時点で所定の住所に居住している所定の年齢である人を表す)は、全てのセルで基準値「k値が5人以上であること」を満たしていない。31歳から33歳の人のk値は“6”で、37歳から39歳の人のk値は“13”で基準値「k値が5人以上であること」を満足している。しかし、34歳から36歳の人のk値は“4”、40歳から42歳の人のk値も“4”であるので、基準値「k値が5人以上であること」を満足していない。 On the other hand, in 2016 when one year has passed since 2015 (◎: double circle indicates a person of a predetermined age who lives at a predetermined address as of 2016), the reference value “k” The value is 5 or more. The k value of people aged 31 to 33 is “6”, and the k value of people aged 37 to 39 is “13”, satisfying the reference value “k value is 5 or more”. However, since the k value of people aged 34 to 36 is “4” and the k value of people aged 40 to 42 is also “4”, the standard value “k value is 5 or more” is satisfied. Not done.
 そのため、k-匿名化処理装置105の匿名化処理結果を、判定装置114が判定した結果はk値が不全(健全ではない)となる。そこで、判定装置114は表示装置14の画面ないし操作端末100の画面にアラートとして通知する。そして、そのシミュレーション結果を基に一般化単位を見直す。その結果を、図13に示す。 Therefore, the result of the determination device 114 determining the anonymization processing result of the k-anonymization processing device 105 is that the k value is insufficiency (not healthy). Therefore, the determination device 114 notifies the screen of the display device 14 or the screen of the operation terminal 100 as an alert. Then, review the generalized unit based on the simulation results. The result is shown in FIG.
<シミュレーション実行結果2>図13
 図13は、一般化単位を5歳とし年齢を変化させた場合のシミュレーション実行結果を示す図である。図13で示すように、一般化単位を「0歳から開始し5歳単位」にすることで、全てのセル(黒い太線で囲われた部分)で、2015年(●:黒塗り丸印)も2016年(◎:二重丸)も基準値「k値が5人以上であること」をクリアできることが分かる。 <Simulation execution result 2> FIG.
FIG. 13 is a diagram showing a simulation execution result when the generalized unit is 5 years old and the age is changed. As shown in FIG. 13, by setting the generalized unit to “starting from 0 years old and 5 years old”, in all cells (the part surrounded by the black thick line), 2015 (●: black circle) As for 2016 (◎: double circle), it is clear that the reference value “k value is 5 or more” can be cleared.
 つまり、2015年の30歳から34歳の人のk値は“10”、35歳から39歳の人のk値は“18”、40歳から44歳の人のk値は“9”であり、基準値「k値が5人以上であること」を満足している。同じく、2016年の30歳から34歳の人のk値は“12”、35歳から39歳の人のk値は“15”、40歳から44歳の人のk値は“12”であり、基準値「k値が5人以上であること」を満足している。 In other words, the k value for people aged 30 to 34 in 2015 is “10”, the k value for people aged 35 to 39 is “18”, and the k value for people aged 40 to 44 is “9”. Yes, the reference value “k value is 5 or more” is satisfied. Similarly, the k value for people aged 30 to 34 in 2016 is “12”, the k value for people aged 35 to 39 is “15”, and the k value for people aged 40 to 44 is “12”. Yes, the reference value “k value is 5 or more” is satisfied.
 一般化単位の変更は、開始年齢を図3に示す元データテーブル30の準識別子303の年齢が最小となる会員のデータとし、セルの分割年数を1年から10年くらいまで変化させて、それぞれのセルの分割年数で時間経過シミュレーションを繰り返し、基準値を満足するかを判断し、満足した複数の分割年数の中から適当な年数を選択することもできる。また、算出したk値も含めシミュレーション結果をシミュレーション管理装置10の記憶装置b16に格納しておくことで、k値を変えた場合(例えば、k値=5からk値=7)でも、k値の健全性を判断できる。 The generalized unit is changed by changing the start age to the member data with the minimum age of the quasi-identifier 303 of the original data table 30 shown in FIG. It is also possible to repeat the time lapse simulation with the number of division years of the cell, determine whether the reference value is satisfied, and select an appropriate number of years from among the plurality of satisfied division years. Even if the k value is changed by storing the simulation result including the calculated k value in the storage device b16 of the simulation management apparatus 10 (for example, k value = 5 to k value = 7), the k value Can determine the soundness of
 このように、時間経過シミュレーションを行うことで、設定したk値の健全性(将来でも匿名化を維持できるか否かの尺度)を判定できるので、安定した情報保護システムを提供できる。 Thus, by performing the time lapse simulation, the soundness of the set k value (a measure of whether or not anonymization can be maintained in the future) can be determined, so that a stable information protection system can be provided.
<シミュレーション実行結果3>図14、図15
 図14は、年齢及び住居年数を変化させ一般化単位をそれぞれ5歳とした場合のシミュレーション実行前の状態を示す図である(2015年時点)。図15は、年齢及び住居年数を変化させ一般化単位をそれぞれ5歳とした場合のシミュレーション実行後の状態を示す図である(2016年予測)。 <Simulation execution result 3> FIGS. 14 and 15
FIG. 14 is a diagram showing a state before the simulation execution when the age and the age of residence are changed and the generalized unit is 5 years old (as of 2015). FIG. 15 is a diagram showing a state after the simulation is executed when the age and the age of residence are changed and the generalized unit is 5 years old (2016 prediction).
 2015年の結果(図14)では、全てのセル(黒い太線で囲われた部分)で基準値「k値が5人以上であること」をクリアしている。一方、2016年(図15)では、住居年数が5年から9年で年齢が35歳から39歳のセルと、住居年数が10年から14年で年齢が40歳から44歳のセル(二重線で囲った部分)は、k値が“4”と“3”である。そのため、基準値「k値が5人以上であること」をクリアしていないと判断できる。 In the 2015 results (FIG. 14), the reference value “k value is 5 or more” is cleared in all cells (the portion surrounded by the black thick line). On the other hand, in 2016 (FIG. 15), a cell having a residence age of 5 to 9 years and an age of 35 to 39 years, and a cell having a residence age of 10 to 14 years and an age of 40 to 44 years (two The k value is “4” and “3” in the portion surrounded by a heavy line. Therefore, it can be determined that the reference value “k value is 5 or more” is not cleared.
 この場合、準識別子である「年齢」、「住居年数」、「住所」のいずれかの一般化単位を予め大きくして、かつ将来を見越して倍数として利用可能な単位を設定するなど、検討の余地が広がり、データの可用性の向上と情報損失を抑える、という効果を得ることができる。 In this case, consider increasing the generalized unit of any of the quasi-identifiers “age”, “year of residence”, or “address” in advance, and setting a unit that can be used as a multiple in anticipation of the future. The room is expanded, and the effects of improving data availability and suppressing information loss can be obtained.
 以上説明したように、本発明の情報保護システムでは、時間発展する準識別子の計算式で将来のk値を算出する手段と、算出されたk値と予め設定された基準値とを比較する手段と、比較した結果を表示する手段とを備え、時間発展シミュレーションの実行を可能とする。そのため、準識別子を有する個人情報のデータセットのk-匿名化処理で、時間発展でも準識別子の適切な一般化単位を設定できる。また、匿名化されたデータセットの分析を継続させることができる。 As described above, in the information protection system of the present invention, the means for calculating the future k value using the time-evolving quasi-identifier calculation formula and the means for comparing the calculated k value with a preset reference value And means for displaying the result of comparison, enabling execution of a time evolution simulation. Therefore, an appropriate generalized unit of the quasi-identifier can be set even with time development by k-anonymization processing of the data set of personal information having the quasi-identifier. Moreover, the analysis of the anonymized data set can be continued.
 なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。 In addition, this invention is not limited to the above-mentioned Example, Various modifications are included. The above-described embodiments have been described in detail for easy understanding of the present invention, and are not necessarily limited to those having all the configurations described. Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment. Each of the above-described configurations, functions, processing units, processing means, and the like may be realized by hardware by designing a part or all of them with, for example, an integrated circuit. Each of the above-described configurations, functions, and the like may be realized by software by interpreting and executing a program that realizes each function by the processor.
 各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(SolID State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置いてもよい。また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。 Information such as a program, a table, and a file for realizing each function may be stored in a memory, a hard disk, a recording device such as an SSD (SolID State Drive), or a recording medium such as an IC card, an SD card, or a DVD. Further, the control lines and information lines indicate what is considered necessary for the explanation, and not all the control lines and information lines on the product are necessarily shown. Actually, it may be considered that almost all the components are connected to each other.
 1:k値の時間依存評価シミュレーション装置
 10:シミュレーション管理装置
 11:CPUa
 12:記憶装置a
 13:通信装置
 14:表示装置
 15:CPUb
 16:記憶装置b
 30:元データ(t=t)テーブル
 40:準識別子管理マスタ(JSM)テーブル
 50:シミュレーション定義マスタ(SDM)テーブル
 60:シミュレーションジャーナルテーブル(SJT)
 100:操作者端末
 101:ネットワーク
 105:k-匿名化処理装置
 107:データセット(時間t=t+n)生成装置
 108:データセット(時間t=t+n)
 109:シミュレーション定義装置
 112:準識別子管理装置
 114:判定装置 1: Time-dependent evaluation simulation device for k value 10: Simulation management device 11: CPUa
12: Storage device a
13: Communication device 14: Display device 15: CPUb
16: Storage device b
30: Original data (t = t) table 40: Semi-identifier management master (JSM) table 50: Simulation definition master (SDM) table 60: Simulation journal table (SJT)
100: operator terminal 101: network 105: k-anonymization processing device 107: data set (time t = t + n) generation device 108: data set (time t = t + n)
109: Simulation definition device 112: Semi-identifier management device 114: Determination device

Claims (9)

  1.  操作端末とネットワークを介して接続する情報保護システムであって、
     前記情報保護システムは、
     個人情報を識別子情報、準識別子情報、当該識別子情報及び当該準識別子情報に属さないその他情報に分類した結果を元データセットとして格納する記憶装置と、
     前記準識別子情報と、当該準識別子情報の一般化単位でk-匿名化を実行するk-匿名化処理装置と、
     前記k-匿名化処理装置でk-匿名化された匿名化データのk値が匿名化基準値を満足するかを判定する判定装置と、
     時間発展シミュレーションを行うシミュレーション管理装置と
    を備え、
     前記シミュレーション管理装置は、
     時間発展シミュレーションで使用される前記準識別子情報を管理する準識別子情報管理装置と、
     時間発展させる準識別子情報と、当該時間発展させる準識別子の計算式と、時間発展開始年を少なくとも含む時間発展シミュレーション実行条件を管理するシミュレーション定義装置と、
     前記元データセットに対し時間発展の状態を示す時間発展データセットを、時間発展する準識別子の計算式で生成する時間発展データセット生成装置と、
    を備え、
     前記シミュレーション管理装置が、前記時間発展データセット生成装置で生成された時間発展データセットを、前記準識別子情報の一般化単位を用いて前記k-匿名化処理装置でk-匿名化を行い、当該k-匿名化で算出された一般化単位毎のk値が予め設定された基準値を満足するかを前記判定装置で判定する
     ことを特徴とする情報保護システム。     An information protection system connected to an operation terminal via a network,
    The information protection system includes:
    A storage device that stores the result of classifying personal information into identifier information, quasi-identifier information, the identifier information, and other information not belonging to the quasi-identifier information, as an original data set;
    The quasi-identifier information, and a k-anonymization processing device that performs k-anonymization in a generalized unit of the quasi-identifier information;
    A determination device for determining whether a k value of anonymized data k-anonymized by the k-anonymization processing device satisfies an anonymization reference value;
    A simulation management device for performing time evolution simulations,
    The simulation management device includes:
    A quasi-identifier information management device for managing the quasi-identifier information used in the time evolution simulation;
    Quasi-identifier information for time development, a calculation formula for the quasi-identifier for time development, and a simulation definition device for managing a time development simulation execution condition including at least a time development start year,
    A time evolution data set generating device that generates a time evolution data set indicating a state of time evolution with respect to the original data set by a calculation formula of a quasi-identifier that is time evolution;
    With
    The simulation management device performs k-anonymization on the time evolution data set generated by the time evolution data set generation device by the k-anonymization processing device using a generalized unit of the semi-identifier information, The information protection system, wherein the determination device determines whether the k value for each generalized unit calculated by k-anonymization satisfies a preset reference value.
  2.  請求項1記載の情報保護システムであって、前記シミュレーション管理装置は、時間発展する複数の準識別子の計算式を有し、
     複数の準識別子で相関関係がある準識別子を選択し、
     選択された準識別子の計算式で時間発展に伴うデータセットを生成し、
     生成されたデータセットでのk値が予め設定した基準値を満足するかを判定し、
     準識別子の一般化単位が妥当であるかを評価する
     ことを特徴とする情報保護システム。     The information protection system according to claim 1, wherein the simulation management device has a plurality of quasi-identifier calculation formulas that develop over time,
    Select a quasi-identifier that is correlated with multiple quasi-identifiers,
    Generate a data set with time evolution with the selected quasi-identifier formula,
    Determine whether the k value in the generated data set satisfies a preset reference value,
    An information protection system characterized by evaluating whether a generalized unit of a quasi-identifier is valid.
  3.  請求項1記載の情報保護システムであって、前記シミュレーション管理装置は、
     時間発展に伴うデータセットの生成で使用した準識別子の一般化単位で分割し、
     前記分割した領域を組み合わせて作成したセル内のk値を算出し、
     前記算出したk値と予め設定した基準値とを比較して基準値を満足しないセルを抽出する
     ことを特徴とする情報保護システム。     The information protection system according to claim 1, wherein the simulation management device includes:
    Divide into generalized units of quasi-identifiers used in the generation of datasets with time evolution,
    Calculate the k value in the cell created by combining the divided areas,
    A cell that does not satisfy the reference value is extracted by comparing the calculated k value with a preset reference value.
  4.  請求項1記載の情報保護システムであって、前記シミュレーション管理装置は、異なる2つ以上の時間発展シミュレーションを実行することを特徴とする情報保護システム。 2. The information protection system according to claim 1, wherein the simulation management device executes two or more different time development simulations.
  5.  請求項4記載の情報保護システムであって、前記シミュレーション管理装置は、準識別子の計算式を2つ以上設定可能であることを特徴とする情報保護システム。 5. The information protection system according to claim 4, wherein the simulation management apparatus can set two or more quasi-identifier calculation formulas.
  6.  請求項1記載の情報保護システムであって、前記情報保護システムは更に表示装置を備え、当該表示装置に前記元データセット、前記時間発展データセット、前記判定装置での判定結果のいずれか1つ以上を表示する
    ことを特徴とする情報保護システム。     The information protection system according to claim 1, wherein the information protection system further includes a display device, and the display device includes any one of the original data set, the time development data set, and a determination result of the determination device. An information protection system characterized by displaying the above.
  7.  請求項1記載の情報保護システムであって、前記情報保護システムは、前記k値が前記基準値を満足しない場合、前記時間発展開始年ないし前記一般化単位を変更して時間発展シミュレーションを行う
     ことを特徴とする情報保護システム。     2. The information protection system according to claim 1, wherein when the k value does not satisfy the reference value, the information protection system performs a time evolution simulation by changing the time development start year or the generalized unit. An information protection system characterized by
  8.  操作端末とネットワークを介して接続する情報保護システムの情報保護方法であって、
     前記情報保護システムは、
     個人情報を識別子情報、準識別子情報、当該識別子情報及び当該準識別子情報に属さないその他情報に分類した結果を元データセットとして格納する記憶装置と、
     前記準識別子情報と、当該準識別子情報の一般化単位でk-匿名化を実行するk-匿名化処理装置と、
     前記k-匿名化処理装置でk-匿名化された匿名化データのk値が匿名化基準値を満足するかを判定する判定装置と、
     時間発展シミュレーションを行うシミュレーション管理装置と
    を備え、
     前記シミュレーション管理装置は、
     時間発展シミュレーションで使用される前記準識別子情報を管理する準識別子情報管理装置と、
     時間発展させる準識別子情報と、当該時間発展させる準識別子の計算式と、時間発展開始年を少なくとも含む時間発展シミュレーション実行条件を管理するシミュレーション定義装置と、
     前記元データセットに対し時間発展の状態を示す時間発展データセットを、時間発展する準識別子の計算式で生成する時間発展データセット生成装置と、
    を備え、
     前記シミュレーション管理装置が、前記時間発展データセット生成装置で生成された時間発展データセットを、前記準識別子情報の一般化単位を用いて前記k-匿名化処理装置でk-匿名化を行うステップと、
    前記k-匿名化で算出された一般化単位毎のk値が予め設定された基準値を満足するかを前記判定装置で判定するステップとを有する
     ことを特徴とする情報保護システムの情報保護方法。     An information protection method for an information protection system connected to an operation terminal via a network,
    The information protection system includes:
    A storage device that stores the result of classifying personal information into identifier information, quasi-identifier information, the identifier information, and other information not belonging to the quasi-identifier information, as an original data set;
    The quasi-identifier information, and a k-anonymization processing device that performs k-anonymization in a generalized unit of the quasi-identifier information;
    A determination device for determining whether a k value of anonymized data k-anonymized by the k-anonymization processing device satisfies an anonymization reference value;
    A simulation management device for performing time evolution simulations,
    The simulation management device includes:
    A quasi-identifier information management device for managing the quasi-identifier information used in the time evolution simulation;
    Quasi-identifier information for time development, a calculation formula for the quasi-identifier for time development, and a simulation definition device for managing a time development simulation execution condition including at least a time development start year,
    A time evolution data set generating device that generates a time evolution data set indicating a state of time evolution with respect to the original data set by a calculation formula of a quasi-identifier that is time evolution;
    With
    The simulation management device performs k-anonymization on the time evolution data set generated by the time evolution data set generation device by the k-anonymization processing device using a generalized unit of the semi-identifier information; ,
    An information protection method for an information protection system, comprising: determining by the determination device whether the k value for each generalized unit calculated by the k-anonymization satisfies a preset reference value .
  9.  操作端末とネットワークを介して接続する情報保護システム上で動作する情報保護プログラムであって、
     前記情報保護システムは、
     個人情報を識別子情報、準識別子情報、当該識別子情報及び当該準識別子情報に属さないその他情報に分類した結果を元データセットとして格納する記憶装置と、
     前記準識別子情報と、当該準識別子情報の一般化単位でk-匿名化を実行するk-匿名化処理装置と、
     前記k-匿名化処理装置でk-匿名化された匿名化データのk値が匿名化基準値を満足するかを判定する判定装置と、
     時間発展シミュレーションを行うシミュレーション管理装置と
    を備え、
     前記シミュレーション管理装置は、
     時間発展シミュレーションで使用される前記準識別子情報を管理する準識別子情報管理装置と、
     時間発展させる準識別子情報と、当該時間発展させる準識別子の計算式と、時間発展開始年を少なくとも含む時間発展シミュレーション実行条件を管理するシミュレーション定義装置と、
     前記元データセットに対し時間発展の状態を示す時間発展データセットを、時間発展する準識別子の計算式で生成する時間発展データセット生成装置と、
    を備え、
     前記情報保護プログラムは、
     前記シミュレーション管理装置が、前記時間発展データセット生成装置で生成された時間発展データセットを、前記準識別子情報の一般化単位を用いて前記k-匿名化処理装置でk-匿名化を実行させる機能と、
     当該k-匿名化で算出された一般化単位毎のk値が予め設定された基準値を満足するかを前記判定装置で判定させる機能とを有する
     ことを特徴とする情報保護プログラム。

          An information protection program that operates on an information protection system connected to an operation terminal via a network,
    The information protection system includes:
    A storage device that stores the result of classifying personal information into identifier information, quasi-identifier information, the identifier information, and other information not belonging to the quasi-identifier information, as an original data set;
    The quasi-identifier information, and a k-anonymization processing device that performs k-anonymization in a generalized unit of the quasi-identifier information;
    A determination device for determining whether a k value of anonymized data k-anonymized by the k-anonymization processing device satisfies an anonymization reference value;
    A simulation management device for performing time evolution simulations,
    The simulation management device includes:
    A quasi-identifier information management device for managing the quasi-identifier information used in the time evolution simulation;
    Quasi-identifier information for time development, a calculation formula for the quasi-identifier for time development, and a simulation definition device for managing a time development simulation execution condition including at least a time development start year,
    A time evolution data set generating device that generates a time evolution data set indicating a state of time evolution with respect to the original data set by a calculation formula of a quasi-identifier that is time evolution;
    With
    The information protection program is
    A function for causing the simulation management apparatus to perform k-anonymization on the time-developed data set generated by the time-expanded data set generating apparatus by the k-anonymization processing apparatus using a generalized unit of the quasi-identifier information; When,
    An information protection program, comprising: a function for causing the determination device to determine whether the k value for each generalized unit calculated by k-anonymization satisfies a preset reference value.

PCT/JP2014/069322 2014-07-22 2014-07-22 Information protection system, information protection method, and information protection program WO2016013057A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/JP2014/069322 WO2016013057A1 (en) 2014-07-22 2014-07-22 Information protection system, information protection method, and information protection program
JP2015513927A JP6046807B2 (en) 2014-07-22 2014-07-22 Information protection system, information protection method, and information protection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/069322 WO2016013057A1 (en) 2014-07-22 2014-07-22 Information protection system, information protection method, and information protection program

Publications (1)

Publication Number Publication Date
WO2016013057A1 true WO2016013057A1 (en) 2016-01-28

Family

ID=55162614

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2014/069322 WO2016013057A1 (en) 2014-07-22 2014-07-22 Information protection system, information protection method, and information protection program

Country Status (2)

Country Link
JP (1) JP6046807B2 (en)
WO (1) WO2016013057A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017215868A (en) * 2016-06-01 2017-12-07 Necソリューションイノベータ株式会社 Anonymization processor, anonymization processing method, and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012063546A1 (en) * 2010-11-09 2012-05-18 日本電気株式会社 De-identification device and de-identification method
WO2012090628A1 (en) * 2010-12-27 2012-07-05 日本電気株式会社 Information security device and information security method
WO2014007049A1 (en) * 2012-07-03 2014-01-09 株式会社日立システムズ Service provision method and service provision system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8438650B2 (en) * 2010-07-06 2013-05-07 At&T Intellectual Property I, L.P. Anonymization of data over multiple temporal releases

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012063546A1 (en) * 2010-11-09 2012-05-18 日本電気株式会社 De-identification device and de-identification method
WO2012090628A1 (en) * 2010-12-27 2012-07-05 日本電気株式会社 Information security device and information security method
WO2014007049A1 (en) * 2012-07-03 2014-01-09 株式会社日立システムズ Service provision method and service provision system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017215868A (en) * 2016-06-01 2017-12-07 Necソリューションイノベータ株式会社 Anonymization processor, anonymization processing method, and program

Also Published As

Publication number Publication date
JP6046807B2 (en) 2016-12-21
JPWO2016013057A1 (en) 2017-04-27

Similar Documents

Publication Publication Date Title
JP6803980B1 (en) Secret sharing without a trusted initializer
JP6597066B2 (en) Personal information anonymization method, program, and information processing apparatus
US20180336368A1 (en) Anonymity assessment system
US11386216B2 (en) Verification of privacy in a shared resource environment
US11055071B2 (en) Building segment-specific executable program code for modeling outputs
US11157523B2 (en) Structured data correlation from internal and external knowledge bases
Bedoya-Valencia et al. Evaluating alternative resource allocation in an emergency department using discrete event simulation
Toltzis et al. Evidence-based pediatric outcome predictors to guide the allocation of critical care resources in a mass casualty event
WO2021138271A1 (en) Creating predictor variables for prediction models from unstructured data using natural language processing
Tertilt et al. Generic performance prediction for ERP and SOA applications
US11386983B2 (en) Preserving privacy for data analysis
Strong et al. Building a Bayesian decision support system for evaluating COVID-19 countermeasure strategies
Rowley et al. A latent class model for competing risks
CN114519376A (en) Data segmentation using neural networks
JP6046807B2 (en) Information protection system, information protection method, and information protection program
WO2014188638A1 (en) Shared risk group management system, shared risk group management method, and shared risk group management program
US20180260447A1 (en) Advanced anomaly correlation pattern recognition system
US9996606B2 (en) Method for determining condition of category division of key performance indicator, and computer and computer program therefor
Saarela et al. A flexible parametric approach for estimating continuous‐time inverse probability of treatment and censoring weights
Souza et al. Measuring data credibility and medical coding: a case study using a nationwide Portuguese inpatient database
WO2013114911A1 (en) Risk assessment system, risk assessment method, and program
Nikolakopoulos Misuse of the sign test in narrative synthesis of evidence
US20170185735A1 (en) Analyzing doctor-doctor, patient-doctor, and patient-patient social networks
US10606917B2 (en) System, method, and recording medium for differentiated and partial feature update in alternating least square
Lilley et al. A centralized approach to out‐of‐province genetic testing leads to cost savings: the Alberta experience

Legal Events

Date Code Title Description
ENP Entry into the national phase

Ref document number: 2015513927

Country of ref document: JP

Kind code of ref document: A

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14898276

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14898276

Country of ref document: EP

Kind code of ref document: A1