WO2016203752A1

WO2016203752A1 - 情報処理装置、情報処理方法、及び、記憶媒体

Info

Publication number: WO2016203752A1
Application number: PCT/JP2016/002838
Authority: WO
Inventors: 翼高橋
Original assignee: 日本電気株式会社
Priority date: 2015-06-15
Filing date: 2016-06-13
Publication date: 2016-12-22
Also published as: JP6747438B2; JPWO2016203752A1

Abstract

問い合わせの回数を設定せずにε－差分プライバシーを保証するクエリ応答データ出版を実現するため、本発明の情報処理装置は、ε－差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶するパラメータ記憶手段と、残プライバシー強度を記憶する残プライバシー強度記憶手段と、残プライバシー割合と残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定するプライバシー強度決定手段とを含む。

Description

情報処理装置、情報処理方法、及び、記憶媒体

　本発明は、情報処理に関し、特に、個人に関する情報（個人情報、パーソナル情報、又は、プライバシー情報）を扱う情報処理装置、情報処理方法、及び記録媒体に関する。

　近年、様々なサービスにおいて、個人に関する情報（個人情報、パーソナルデータ、又は、プライバシー情報）が、情報処理装置に蓄積されるようになっている。

　このようなプライバシー情報としては、ヘルスケア（健康管理）に関するデータ（情報）が、挙げられる。ここで、健康管理に関するデータとは、例えば、健康管理データ、診療履歴、又は、レセプト（診療報酬明細書）である。

　あるいは、プライバシー情報としては、個人又は個人が所有する装置（例えば、端末又は乗用車）に関する位置の情報が、挙げられる。ここで、位置の情報とは、例えば、移動の履歴、又は、無線アクセスポイント等のような位置が特定される装置の利用履歴である。

　さらに、プライバシー情報であるレセプトを構成する情報（属性）には、生年、性別、傷病名、及び、薬剤名等がある。そのため、例えば、レセプトは、上記の属性に関するデータを含む情報（レコード）として構成される。そして、情報処理装置は、レコードから構成されたデータセット（集合）として、プライバシー情報（例えば、レセプト）を蓄積する。

　プライバシー情報が、オリジナルな情報（元の情報）の内容が判別できる状態で公開又は利用されると、そのプライバシー情報に関連する個人に対するプライバシー侵害の発生が、懸念される。つまり、プライバシー保護の観点からは、オリジナルな情報（元の情報）の内容が判別できる状態でのプライバシー情報の公開、又は、利用は、好ましくない。

　一方、プライバシー情報は、プライバシー侵害の懸念がなければ、有益性の高い二次活用をもたらす。ここで、二次活用（二次利用）とは、例えば、プライバシー情報を、そのプライバシー情報を生成又は蓄積しているサービス事業者とは異なる事業者（第三者）に提供し、その第三者のサービスに、プライバシー情報を利用させることである。あるいは、二次活用とは、第三者に対してプライバシー情報を提供し、第三者にプライバシー情報の分析などを依頼（アウトソーシング）することである。

　プライバシー情報の二次活用は、プライバシー情報の分析又は研究を促進する。そして、二次活用に基づく分析結果又は研究結果は、プライバシー情報を用いたサービスの強化に用いることができる。このように、第三者は、二次活用を基に、プライバシー情報の持つ高い有益性を享受できる。

　例えば、上記のような第三者として、製薬会社が、想定される。製薬会社は、診療情報を基に、薬品の共起関係又は相関関係を分析できる。つまり、製薬会社は、診療情報を用いて、薬品がどのように利用されているのかを知ることができる。さらに、製薬会社は、薬品の利用状態を分析することができる。

　しかしながら、プライバシー情報を含むデータセット（例えば、診療情報）は、プライバシー侵害の懸念から、そのまま状態では、二次活用することが難しい。そこで、プライバシー情報は、プライバシーを保護する処理を施されてから、第三者に提供される。

　プライバシーを保護した第三者へのプライバシー情報の提供を実現するデータの提供方法として、「クエリ（query）応答型データ出版」がある。クエリ応答型データ出版とは、データの利用者からの問い合わせ（クエリ）に対して、オリジナルのデータ又はオリジナルのデータを集計した集計データに対してノイズを付加したデータを提供するデータの提供方法である。つまり、クエリ応答型データ出版とは、オリジナルのデータの詳細を隠ぺいしたデータを提供するデータの提供方法である。

　ただし、プライバシー情報への攻撃者として、異なる状態又は時間におけるデータの変化（例えば、差分又は比率）を基に、プライバシーを侵害しようとする者がいる。以下、異なる状態又は時間におけるプライバシー情報のデータの変化を基に特定されるプライバシーをまとめて、「差分プライバシー（ＤＰ：Differential Privacy）」と呼ぶ。

　クエリ応答型データ出版を処理する情報処理装置は、差分プライバシーの保護を保証するために、所定の性質を満たすランダムなノイズの付加を用いて、データの細かな変化を隠ぺいする（非特許文献１及び２を参照）。例えば、このようなクエリ応答型データ出版を処理する情報処理装置は、任意の１レコード、つまり、任意の１個人のプライバシー情報の存在及び不在の変化にかかわらず、出力が得られる確率がほとんど変わらないことを保証する。

　ここで、上記における出力とは、例えば、オリジナルデータ又は集計データにノイズが付加された出力（出力値）である。また、「確率がほとんど変わらない」とは、上記の任意の１レコードが存在するときにおける出力値の生成確率と、不在の時における同じ値の出力値の生成確率との変化（差分又は比率）が、所定の値以下（又は、所定の範囲内）に制限されることである。

　差分プライバシーの保護を保証する代表的なモデルとして、ε－差分プライバシー（ε-Differential Privacy）がある。ここで、ε－差分プライバシーにおけるεとは、上述の確率の変化の絶対値の上界を規定するパラメータである。そして、ε－差分プライバシーを処理する情報処理装置は、パラメータ（ε）を基に、出力データの利用者におけるオリジナルデータ又は集計データに対する推論能力を制限する。具体的には、ε－差分プライバシーを処理する情報処理装置は、次に示す数式１を用いる。

　［数式１］

　数式１は、差分プライバシーに基づいて、出力（出力値）の確率の差異が制限されることを表す数式である。数式１において、Ｄ及びＤ’は、データベースを示す。データベースＤは、プライバシー情報のデータベースである。また、データベースＤ’は、データベースＤに対し、１レコードが異なるデータベースである。関数ｑ（・）は、データベースへの問い合わせ（クエリ）に対する応答を表す関数である。関数Ｍ（・）は、応答（ｑ（・））の値をランダム化（乱択）又は攪乱するメカニズムに対応する関数である。ｘは、関数Ｍ（・）が出力する値（データ）である。関数Ｐｒ（・）は、関数Ｍ（・）の出力値が「ｘ」となる確率を表す。関数ｅｘｐ（・）は、自然対数の底（ｅ）を底とし、引き数をべき指数とする指数関数である。つまり、数式１は、データベースＤに対するクエリの応答を攪乱した結果が「ｘ」となる確率と、データベースＤ’に対するクエリの応答を攪乱した結果が「ｘ」となる確率との比が、ｅｘｐ（ε）以下となることを保証することを表す。

　図６は、一般的な、ε－差分プライバシーを用いたクエリ応答型データ出版を処理する情報処理装置の一例を示す図である。図６に示すように、データの依頼者は、図示しない問い合わせ機器を操作して、データを保有する情報処理装置９０にデータのクエリ（問い合わせ（ｑ））を送信する。ここで、問い合わせ（ｑ）は、分析などのデータ処理、又は、そのようなデータ処理の依頼などである。また、以下、「データの依頼者が、問い合わせ機器を操作しての問い合わせ」を、単に、「依頼者からの問い合わせ」と呼ぶ。

　図６に示すように、情報処理装置９０は、パーソナルデータを保存するパーソナルデータ記憶部９１と、差分プライバシー処理部９２とを含む。

　パーソナルデータ記憶部９１は、パーソナルデータを、データベース（例えば、上記の「Ｄ」又は「Ｄ’」）として保存する。

　差分プライバシー処理部９２は、所定の差分プライバシーを満足するように、パーソナルデータを処理（ランダム化又は攪乱）する。

　情報処理装置９０は、上記の構成を用いて、次のように動作する。

　情報処理装置９０は、パーソナルデータ記憶部９１のデータベース（Ｄ）から、問い合わせ（ｑ）に対応したパーソナルデータを抽出する。以下、抽出されたパーソナルデータを、「ｑ（Ｄ）」とする。

　そして、差分プライバシー処理部９２は、抽出されたパーソナルデータ（ｑ（Ｄ））を所定の差分プライバシー（例えば、ε－差分プライバシーを示す数式１）を満足するように処理（例えば、ランダム化又は攪乱）する。この処理結果を、ｑ^＊（Ｄ）とする。ｑ^＊（Ｄ）は、依頼者が元のデータを推測困難なように加工された秘密情報である。

　そして、情報処理装置９０は、推測困難な秘密情報に加工されたデータ（ｑ^＊（Ｄ））を依頼者に送信する。

　図７は、差分プライバシーを保証しないクエリ応答型データ出版を説明するための図である。つまり、図７は、差分プライバシー処理部９２を含まない情報処理装置９０の動作に相当する。

　図７に示すように、ある時点において、パーソナルデータ記憶部９１は、データベース（Ｄ）として、５人（Ａｎａ、Ｂｏｂ、Ｃｒｉｓ、Ｄａｖｉｄ、Ｅｌｓａ）の年収データを保存している。また、別のある時点において、パーソナルデータ記憶部９１は、上記のデータベース（Ｄ）の状態からＥｌｓａに関するデータが削除（異動）されたデータベース（Ｄ’）を保存している。そして、依頼者は、問い合わせ（ｑ）として、平均年収を依頼したとする。

　この問い合わせ(ｑ)に対し、図７に示すように、差分プライバシーを保証しないクエリ応答型データ出版は、Ａｌｉｃｅが異動前のデータベース（Ｄ）の時には、平均年収として８万ドル（ｑ（Ｄ）＝８万ドル）とのデータを出力（出版）する。また、差分プライバシーを保証しないクエリ応答型データ出版は、Ａｌｉｃｅが異動後のデータベース（Ｄ’）の時には、平均年収として５万ドル（ｑ（Ｄ’）＝５万ドル）とのデータを出力（出版）する。

　この場合、依頼者は、ｑ（Ｄ）とｑ（Ｄ’）との差を基に、異動者の年収が２０万ドルであることが分かる（推定可能である）。そのため、依頼者が、異動した者がＥｌｓａであることを知ると、依頼者は、Ｅｌｓａの年収を推定できる。

　図８は、差分プライバシーを保証するクエリ応答型データ出版を説明するための図である。つまり、図８は、情報処理装置９０の動作に相当する。なお、図８に示されている攪乱（Ｍ）は、差分プライバシー処理部９２の動作に相当する。また、図８において、問い合わせ（ｑ）など図７の同様の変数は、同様の動作及び機能を示す。

　図８において、パーソナルデータ記憶部９１がデータベース（Ｄ）を保存している場合、情報処理装置９０の差分プライバシー処理部９２は、応答（ｑ（Ｄ））を攪乱した値（ｑ^＊（Ｄ）＝６２，０５０ドル）を算出する。そして、情報処理装置９０は、攪乱した値（ｑ^＊（Ｄ）＝６２，０５０ドル）を依頼者に送信する。

　同様に、パーソナルデータ記憶部９１がデータベース（Ｄ’）を保存している場合、差分プライバシー処理部９２は、応答（ｑ（Ｄ’））を攪乱した値（ｑ^＊（Ｄ’）＝６２，０５０ドル）を算出する。そして、情報処理装置９０は、攪乱した値（ｑ^＊（Ｄ’）＝６２，０５０ドル）を依頼者に送信する。

　なお、図８は、一例として、最も差異が小さい場合である、ｑ^＊（Ｄ）とｑ^＊（Ｄ’）との値が同じである場合を示している。

　図８に示すように、依頼者は、撹乱された値を受信するため、異動した者がＥｌｓａと分かっても、Ｅｌｓａの年収を推定できない。

　なお、上記の動作において、差分プライバシー処理部９２は、出力として、数式１に沿った値を算出する。

　図９は、差分プライバシーを確保するための算出に用いる確率の一例を示す図である。差分プライバシー処理部９２は、図９に示すように、ラプラス分布に従う確率を基に、攪乱した後の値が、所定の差又は比率となるような出力値を生成する。つまり、情報処理装置９０が出力する値は、所定の差又は比率の範囲に含まれる。

　このように、依頼者は、情報処理装置９０が出力した値の差分を用いて、プライバシー情報（例えば、年収）を推定できない。つまり、依頼者は、異動者を知ることができても（例えば、Ｅｌｓａの存在及び不在を知っていても）、その異動者のプライバシー情報（例えば、年収）を推定できない。

Cynthia Dwork, "Differential privacy", ICALP'06 Proceedings of the 33rd international conference on Automata, Languages and Programming - Volume Part II, p.p. 1-12, July 10, 2006 (Publisher: Springer-Verlag Berlin, Heidelberg) Frank D. McSherry, "Privacy integrated queries: an extensible platform for privacy preserving data analysis", SIGMOD '09 Proceedings of the 2009 ACM SIGMOD International Conference on Management of data, pp. 19-30, June 29, 2009 (Publisher: ACM New York, NY, USA)

　問い合わせの回数の増加は、ε－差分プライバシーを保証するクエリ応答型データ出版に対する、プライバシー情報の推定能力を向上させる（例えば、非特許文献２の構成可能性（composability）を参照）。

　例えば、ε－差分プライバシーを保証するクエリ応答型データ出版を処理する情報処理装置が、ｎ（ｎは任意の自然数）回の各問い合わせに対してε－差分プライバシー（ε）を保証する場合、差分プライバシーの総計は、「ｎ×ε」となる。

　あるいは、ε－差分プライバシーを保証するクエリ応答型データ出版を処理する情報処理装置が、ｎ回の問い合わせの総計としてε－差分プライバシー強度（ε）を保証する場合、プライバシー強度（ε_ｉ）は、例えば、次のようになる。すなわち、各問い合わせ（ｑ_ｉ）に対するプライバシー強度（ε_ｉ）は、「ε_ｉ＝ε／ｎ」となる。

　つまり、ε－差分プライバシーを保証するクエリ応答型データ出版を処理する情報処理装置は、全ての問い合わせに対するプライバシー強度の合計と、各プライバシー強度（ε_ｉ）とを、予め設計する必要がある。例えば、全ての問い合わせに対するプライバシー強度の合計を「ε_Ｔ」とし、各プライバシー強度を「ε_ｉ」とする。この場合、ε－差分プライバシーを保証するクエリ応答型データ出版を処理する情報処理装置は、「ε_Ｔ≧Σε_ｉ」を満足するように、プライバシー強度の合計及び各プライバシー強度を設計する必要がある。

　図１０は、複数（ｎ個）の問い合わせに対して所定のプライバシー強度（ε_Ｔ）を確保するように設定されたプライバシー強度（ε_ｉ）の一例を示す図である。図１０において、個別のプライバシー強度（ε_ｉ）は、その合計が所定のプライバシー強度（ε_Ｔ）となる（ε_Ｔ＝Σε_ｉ）ように、設計されている。

　このように、複数回の問い合わせに対して所定のプライバシー強度（ε_Ｔ）を確保するためには、予め、各問い合わせにおけるプライバシー強度（ε_ｉ）を設計することが必要である。そして、個別のプライバシー強度（ε_ｉ）を設計するためには、事前に、最大の問い合わせ回数（ｎ）を設定することが必要である。

　つまり、非特許文献１及び２に記載の技術は、予め設定した問い合わせ回数を超えた問い合わせに応答できないという問題点があった。

　本発明の目的は、上記問題点を解決し、予め問い合わせの回数を設定しなくてもε－差分プライバシーを保証するクエリ応答データ出版を処理できる情報処理装置、情報処理方法、及び、記憶媒体を提供することにある。

　本発明の一形態における情報処理装置は、ε－差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶するパラメータ記憶手段と、残プライバシー強度を記憶する残プライバシー強度記憶手段と、残プライバシー割合と残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定するプライバシー強度決定手段とを含む。

　本発明の一形態におけるデータ処理方法は、ε－差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶し、残プライバシー強度を記憶し、残プライバシー割合と残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定する。

　本発明の一形態における記憶媒体は、ε－差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶する処理と、残プライバシー強度を記憶する処理と、残プライバシー割合と残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定する処理とをコンピュータに実行させるプログラムを記憶する。

　本発明に基づけば、予め、問い合わせの回数を設定しなくても、ε－差分プライバシーを保証するクエリ応答データ出版を実現するとの効果を奏することができる。

図１は、本発明における第１の実施形態に係る情報処理装置の構成の一例を示すブロック図である。図２は、第１の実施形態に係る情報処理装置における残プライバシー強度を初期設定する動作の一例を示すフローチャートである。図３は、第１の実施形態に係る情報処理装置におけるプライバシー強度を決定する動作の一例を示すフローチャートである。図４は、第１の実施形態に係る情報処理装置が決定するプライバシー強度の一例を示す図である。図５は、第１の実施形態に係る情報処理装置の別の構成の一例を示すブロック図である。図６は、一般的なε－差分プライバシーを用いたクエリ応答型データ出版を処理する情報処理装置の一例を示す図である。図７は、差分プライバシーを保証しないクエリ応答型データ出版を説明するための図である。図８は、差分プライバシーを保証するクエリ応答型データ出版を説明するための図である。図９は、差分プライバシーを確保するための算出に用いられる確率の一例を示す図である。図１０は、複数の問い合わせに対して所定のプライバシー強度を確保するように設計されたプライバシー強度の一例を示す図である。

　以下、本発明の実施の形態について、図面を参照して詳細に説明する。

　なお、各図面は、本発明の実施形態を説明するものである。ただし、本発明は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ番号を付し、その繰り返しの説明を、省略する場合がある。

　また、以下の説明に用いる図面において、本発明の説明に関係しない部分の構成については、記載を省略し、図示しない場合もある。

　なお、説明に先立ち、以下の説明に用いる変数をまとめておく。

　プライバシー強度（ε_Ｔ）は、ε－差分プライバシーにおける総計（トータル）として満足するプライバシー強度である。そのため、以下、プライバシー強度（ε_Ｔ）を、総計プライバシー強度とも呼ぶ。

　問い合わせ（ｑ_ｉ）は、ｉ番目の問い合わせ（クエリ）である。

　プライバシー強度（ε_ｉ）は、ｉ番目の問い合わせ（ｑ_ｉ）に対して決定されるプライバシー強度である。

　残プライバシー強度（ε^＊）は、問い合わせ（例えば、ｑ_ｉ）に対して決定されたプライバシー強度（例えば、ε_ｉ）を設定した後に残る設定可能なプライバシー強度の合計である。つまり、残プライバシー強度（ε^＊）は、トータルのプライバシー強度（ε_Ｔ）から、その時点までの問い合わせ（ｑ_１、ｑ_２、…、ｑ_ｉ）に対して決定したプライバシー強度（ε_１、ε_２、…、ε_ｉ）を除いた、残りのプライバシー強度である。

　なお、問い合わせ（ｑ_ｉ）の回数との関係を明確にする場合、残プライバシー強度（ε^＊）にも、符号を付す。つまり、残プライバシー強度（ε^＊ _ｉ）は、ｉ番目の問い合わせ（ｑ_ｉ）に対してプライバシー強度（ε_ｉ）を設定後の残プライバシー強度である。つまり、残プライバシー強度（ε^＊）とプライバシー強度（ε）との関係は、次の数式２の通りである。

　［数式２］
ε^＊ _ｉ＝ε^＊ _ｉ－１－ε_ｉ
　なお、最初の問い合わせ（ｑ_１）を受ける前の残プライバシー強度、つまり、残プライバシー強度（ε^＊）の初期値を、残プライバシー強度（ε^＊ _０）とする。残プライバシー強度（ε^＊ _０）は、トータルのプライバシー強度（ε_Ｔ）である（ε^＊ _０＝ε_Ｔ）。

　残プライバシー割合（α）は、各問い合わせ（ｑ_ｉ）に対するプライバシー強度（ε_ｉ）を設定後の残プライバシー強度（ε^＊）の変化の割合である。残プライバシー割合（α）の値は、１未満の正の実数である（０＜α＜１）。

　つまり、残プライバシー強度（ε^＊ _ｉ）と、そのひとつ前の残プライバシー強度（ε^＊ _ｉ－１）との関係は、次の数式３のようになる。

　［数式３］
ε^＊ _ｉ＝α×ε^＊ _ｉ－１
　ここで、最初の残プライバシー強度（ε^＊ _０）は、プライバシー強度（ε_Ｔ）である。そのため、最初の残プライバシー強度（ε^＊ _０）を除くと、残プライバシー強度（ε^＊ _ｉ（ｉ＝１、２、…））の値は、ゼロより大きく、プライバシー強度（ε_Ｔ）未満の実数である（０＜ε^＊ _ｉ＜ε_Ｔ、ｉ＝１、２、…）。

　また、数式２に数式３を代入して変形すると、残プライバシー強度（ε^＊ _ｉ－１）とプライバシー強度（ε_ｉ）との関係は、次の数式４のようになる。

　［数式４］
ε_ｉ＝（１－α）×ε^＊ _ｉ－１
　つまり、プライバシー強度（ε_ｉ）は、残プライバシー割合（α）と残プライバシー強度（ε^＊ _ｉ－１）とを基に算出される。

　なお、以下、「１－α」を「β」とする。つまり、残プライバシー強度（ε^＊ _ｉ－１）とプライバシー強度（ε_ｉ）との関係は、次の数式５ようにも表される。

　［数式５］
ε_ｉ＝β×ε^＊ _ｉ－１
　＜第１の実施形態＞
　以下、図面を参照して、本発明における第１の実施形態に係る情報処理装置１０を説明する。

　［構成の説明］
　まず、第１の実施形態に係る情報処理装置１０の構成について説明する。

　図１は、本発明における第１の実施形態に係る情報処理装置１０の構成の一例を示すブロック図である。

　図１に示すように、情報処理装置１０は、プライバシー強度決定部１１と、残プライバシー強度記憶部１２と、パラメータ記憶部１３とを含む。

　なお、情報処理装置１０は、決定したプライバシー強度（ε_ｉ）を基に、応答を作成する。ただし、情報処理装置１０は、応答を作成する手法として、一般的なε－差分プライバシーを保証する処理を用いればよい。より具体的には、情報処理装置１０は、問い合わせ（ｑ_ｉ）に対して、ε－差分プライバシーを保証した出力を応答するために、プライバシー強度（ε_ｉ）を利用した差分プライベートに基づく攪乱又は乱択を用いればよい。ここで、攪乱又は乱択の手法としては、例えば、ラプラスメカニズム（Laplace Mechanism）、又は、指数メカニズム（Exponential Mechanism）が知られている。情報処理装置１０は、これらの手法を用いればよい。ただし、情報処理装置１０は、これらの手法に限らず、攪乱又はランダム化（乱択）のメカニズムとして、問い合わせ（ｑ_ｉ）に応じて適切なものを選択してよい。そのため、ε－差分プライバシーを保証する応答を生成する構成及び動作の説明を省略する。

　次に、情報処理装置１０の各部は、次のとおりである。なお、各部の動作については、後ほど詳細に説明する。

　プライバシー強度決定部１１は、残プライバシー強度記憶部１２に記録された残プライバシー強度（ε^＊ _ｉ－１）と、パラメータ記憶部１３に記録された残プライバシー割合（α）とに基づいて、問い合わせ（ｑ_ｉ）に対するプライバシー強度（ε_ｉ）を決定する。そして、プライバシー強度決定部１１は、決定したプライバシー強度（ε_ｉ）を用いて、残プライバシー強度（ε^＊）を更新する。つまり、プライバシー強度決定部１１は、プライバシー強度（ε_ｉ）と残プライバシー強度（ε^＊ _ｉ）とを算出する。

　残プライバシー強度記憶部１２は、算出された残プライバシー強度（ε^＊ _ｉ）を記録する。ここで、残プライバシー強度記憶部１２は、前の残プライバシー強度（ε^＊ _ｉ－１）を保存する必要はない。つまり、残プライバシー強度記憶部１２は、算出された残プライバシー強度（ε^＊ _ｉ）で、記録している残プライバシー強度（ε^＊ _ｉ－１）を更新してもよい。

　つまり、本実施形態では、説明の便宜のため、残プライバシー強度（ε^＊）に符号を付して説明しているが、情報処理装置１０は、実際の処理としては、１つの変数として、残プライバシー強度（ε^＊）を処理してもよい。

　パラメータ記憶部１３は、パラメータを記憶する。パラメータは、既に説明した、総計（トータル）プライバシー強度（ε_Ｔ）、及び、残プライバシー割合（α）である。ただし、パラメータ記憶部１３は、パラメータとして、他の値を含めてもよい。

　［動作の説明］
　次の、図面を参照して、情報処理装置１０の動作について説明する。

　本実施形態に係る情報処理装置１０は、問い合わせ（ｑ_ｉ）に対して、ε－差分プライバシーを保証したプライバシー強度（ε_ｉ）を出力する。そのため、情報処理装置１０は、残プライバシー強度（ε^＊）及び残プライバシー割合（α）を基に、問い合わせ（ｑ_ｉ）に対するプライバシー強度（ε_ｉ）を決定（算出）する。ただし、後ほど説明するとおり、情報処理装置１０は、問い合わせの回数に制限のないようにプライバシー強度（ε_ｉ）を決定する。

　まず、情報処理装置１０における残プライバシー強度（ε^＊）の初期設定について説明する。

　図２は、第１の実施形態に係る情報処理装置１０における残プライバシー強度（ε^＊）を初期設定する動作の一例を示すフローチャートである。

　まず、情報処理装置１０は、以下で説明する処理の前に、初期設定として、パラメータである総計プライバシー強度（ε_Ｔ）及び残プライバシー割合（α）をパラメータ記憶部１３に記憶する（ステップＳ１１０）。情報処理装置１０は、パラメータとして、β（＝１－α）を含めて記憶してもよい。βを記憶すると、情報処理装置１０は、以下で説明する処理において、引き算処理の処理回数を削減できる。

　なお、情報処理装置１０がパラメータを記憶する手法は、特に制限はない。例えば、情報処理装置１０の管理者が、情報処理装置１０を操作して、パラメータ記憶部１３に、パラメータを設定してもよい。あるいは、情報処理装置１０が、図示しない外部の装置からパラメータを受信し、パラメータ記憶部１３に記憶させてもよい。

　続いて、情報処理装置１０のプライバシー強度決定部１１は、パラメータを基に、残プライバシー強度記憶部１２が記憶する残プライバシー強度（ε^＊）を初期設定する（ステップＳ１２０）。具体的には、既に説明した通り、プライバシー強度決定部１１は、残プライバシー強度記憶部１２が記憶する残プライバシー強度（ε^＊）の初期値（ε^＊ _０）として、パラメータ記憶部１３に記憶したトータルのプライバシー強度（ε_Ｔ）の値を設定する。

　そして、情報処理装置１０は、残プライバシー強度（ε^＊）の初期設定の動作を終了する。

　次の、情報処理装置１０における残プライバシー強度（ε^＊）を更新について説明する。

　図３は、第１の実施形態に係る情報処理装置１０のプライバシー強度（ε_ｉ）を決定（算出）する動作の一例を示すフローチャートである。

　情報処理装置１０のプライバシー強度決定部１１は、問い合わせ（ｑ_ｉ）を受け取ると、残プライバシー強度（ε^＊）及び残プライバシー割合（α）に基づいて、問い合わせ（ｑ_ｉ）に対するプライバシー強度（ε_ｉ）を決定する（ステップＳ２１０）。なお、詳細に説明すると、この時の残プライバシー強度（ε^＊）は、残プライバシー強度（ε^＊ _ｉ－１）である。

　そして、プライバシー強度決定部１１は、決定したプライバシー強度（ε_ｉ）又は残プライバシー強度（ε^＊ _ｉ－１）、及び、残プライバシー割合（α）を基に、更新後の残プライバシー強度（ε^＊ _ｉ）を算出する（ステップＳ２２０）。

　そして、プライバシー強度決定部１１は、残プライバシー強度記憶部１２が記憶する残プライバシー強度（ε^＊）を更新する（ステップＳ２３０）。より詳細には、プライバシー強度決定部１１は、算出した残プライバシー強度（ε^＊ _ｉ）で、残プライバシー強度記憶部１２が記憶している残プライバシー強度（ε^＊ _ｉ－１）を更新する。

　そして、情報処理装置１０は、プライバシー強度を決定する動作を終了する。

　次に、ステップＳ２１０及びＳ２２０の動作を詳細に説明する。

　情報処理装置１０のプライバシー強度決定部１１は、既に説明した数式４を用いて、問い合わせ（ｑ_ｉ）に対応したプライバシー強度（ε_ｉ）を算出する。

　このとき、プライバシー強度（ε_ｉ）及び残プライバシー強度（ε^＊ _ｉ）の最初の値は、具体的には、次のようになる。

　まず、残プライバシー強度（ε^＊）の初期値（ε^＊ _０）は、次の数式６の通りである。

　［数式６］
ε^＊ _０＝ε_Ｔ
　そのため、最初の問い合わせ（ｑ_１）に対するプライバシー強度（ε_１）は、次の数式７のようになる。

　［数式７］
ε_１＝（１－α）×ε^＊ _０＝（１－α）×ε_Ｔ＝β×ε_Ｔ
　その結果、残プライバシー強度（ε^＊ _１）は、次の数式８のとおりである。

　［数式８］
ε^＊ _１＝ε^＊ _０（＝ε_Ｔ）－ε_１＝ε_Ｔ－（１－α）×ε_Ｔ＝α×ε_Ｔ（＝α×ε^＊ _０）
　なお、数式８は、残プライバシー割合（α）の定義からも示すことができる。

　次の問い合わせ（ｑ_２）に対するプライバシー強度（ε_２）は、次の数式９のようになる。

　［数式９］
ε_２＝（１－α）×ε^＊ _１＝（１－α）×α×ε_Ｔ＝α×β×ε_Ｔ＝α×ε_１
　このときの残プライバシー強度（ε^＊ _２）は、次の数式１０のとおりである。

　［数式１０］
ε^＊ _２＝ε^＊ _１－ε_２＝α×ε_Ｔ－α×β×ε_Ｔ＝α×（１－β）×ε_Ｔ＝α^２×ε_Ｔ
　次の問い合わせ（ｑ_３）に対するプライバシー強度（ε_３）は、次の数式１１のようになる。

　［数式１１］
ε_３＝（１－α）×ε^＊ _２＝（１－α）×α^２×ε_Ｔ＝β×α^２×ε_Ｔ＝α×ε_２
　このときの残プライバシー強度（ε^＊ _３）は、次の数式１２のとおりである。

　［数式１２］
ε^＊ _３＝ε^＊ _２－ε_３＝α^２×ε_Ｔ－β×α^２×ε_Ｔ＝α^２×（１－β）×ε_Ｔ＝α^３×ε_Ｔ
　また、ここで、残プライバシー強度（ε^＊ _ｉ－１）は「ε^＊ _ｉ－１＝α^ｉ－１×ε_Ｔ」なので、「ε_ｉ」及び「ε^＊ _ｉ」は、それぞれ、次の数式１３及び数式１４のようになる。

　［数式１３］
ε_ｉ＝（１－α）×ε^＊ _ｉ－１＝α^ｉ－１×β×ε_Ｔ＝α^ｉ－１×ε_１
　［数式１４］
ε^＊ _ｉ＝ε^＊ _ｉ－１－ε_ｉ＝α^ｉ－１×ε_Ｔ－β×α^ｉ－１×ε_Ｔ
　　＝α^ｉ－１×（１－β）×ε_Ｔ＝α^ｉ×ε_Ｔ＝α^ｉ－１×ε^＊ _１

　つまり、プライバシー強度（ε_ｉ）は、ε_１（＝β×ε_Ｔ）を初項、及び、公比を残プライバシー割合（α）とする等比数列である。

　そのため、ｎ回の問い合わせにおけるプライバシー強度（ε_ｉ）の和（Ｓ_ｎ）は、次の数式１５のようになる。

　［数式１５］

　ここで、残プライバシー割合（α）は、１未満の正の実数である（０＜α＜１）。そのため、プライバシー強度（ε_ｉ）の和（Ｓ_ｎ）は、次の数式１６のように、プライバシー強度（ε_Ｔ）より小さい。

　［数式１６］
Ｓ_ｎ＝（１－α^ｎ）×ε_Ｔ＜ε_Ｔ
　つまり、プライバシー強度（ε_ｉ）の和（Ｓ_ｎ）は、プライバシー強度（ε_Ｔ）を超えることはない。

　さらに、プライバシー強度（ε_ｉ）の無限級数和（つまり、和（Ｓ_ｎ）の極限）は、次の数式１７のように「ε_Ｔ」となる。

　［数式１７］

　情報処理装置１０のプライバシー強度決定部１１は、上記のように、問い合わせ（ｑ_ｉ）に対してプライバシー強度（ε_ｉ）を決定する。

　そのため、情報処理装置１０は、問い合わせ（ｑ_ｉ）の回数に制限なく、プライバシー強度（ε_ｉ）を決定（算出）できる。あるいは、情報処理装置１０は、問い合わせ（ｑ_ｉ）の回数に制限なく、残プライバシー強度（ε^＊）決定できる。あるいは、情報処理装置１０は、いずれの問い合わせ（ｑ_ｉ）についても、その問い合わせに続く問い合わせ（ｑ_ｉ＋１）を必ず受け付けることができる。すなわち、情報処理装置１０は、回数に制限なく、全ての問い合わせ（ｑ_１、ｑ_２、…、ｑ_ｉ、…）に対して、ε－差分プライバシーを保証することができる。

　図４は、第１の実施形態に係る情報処理装置１０が決定するプライバシー強度（ε_ｉ）の一例を示す図である。

　図４に示すように、情報処理装置１０のプライバシー強度決定部１１は、数式４を基に、数式１３に示すプライバシー強度（ε_ｉ）及び数式１４に示す残プライバシー強度（ε^＊ _ｉ）を決定して、ε－差分プライバシーを保証する。

　なお、問い合わせ（ｑ_ｉ）に対して設定されるプライバシー強度（ε_ｉ）は、問い合わせ（ｑ_ｉ）の回数を重ねるにしたがって、残プライバシー割合（α）の値に応じて減衰する。つまり、第１の実施形態に係る情報処理装置１０において、ε－差分プライバシーが保証された出力の精度は、残プライバシー割合（α）の値に応じて減衰する。例えば、ｉ回目の問い合わせ（ｑ_ｉ）の出力の精度は、最初の問い合わせ（ｑ_１）に対して「α^ｉ－１」に減衰される。そのため、情報処理装置１０は、残プライバシー割合（α）に基に、出力の精度の減衰度合いを制御できる。

　［効果の説明］
　次に、本実施形態の効果について説明する。

　本実施形態に係る情報処理装置１０は、問い合わせの回数を設定しなくても、ε－差分プライバシーを保証するクエリ応答データ出版を実現するとの効果を奏する。

　その理由は、次のとおりである。

　情報処理装置１０のプライバシー強度決定部１１は、残プライバシー強度（ε^＊）と残プライバシー割合（α）とを基に、プライバシー強度（ε_ｉ）を決定する。さらに、情報処理装置１０は、プライバシー強度（ε_ｉ）を、残プライバシー割合（α）を公比とする等比数列として決定する。

　そのため、プライバシー強度決定部１１は、問い合わせの回数に制限されずに、プライバシー強度（ε_ｉ）を決定できるためである。

　また、本実施形態に係る情報処理装置１０は、残プライバシー割合（α）に基に、出力の精度の減衰度合いを制御できる。

　その理由は、情報処理装置１０が、残プライバシー割合（α）を公比とする等比数例を用いて、プライバシー強度（ε_ｉ）を決定するためである。

　［変形例］
　以上の説明した情報処理装置１０は、次のように構成される。

　例えば、情報処理装置１０の各構成部は、ハードウェア回路で構成されてもよい。

　また、情報処理装置１０は、各構成部が、ネットワークを介して接続した複数の装置を用いて、構成されてもよい。

　また、情報処理装置１０は、複数の構成部を１つのハードウェアで構成されてもよい。

　また、情報処理装置１０は、ＣＰＵ（Central Processing Unit）と、ＲＯＭ（Read Only Memory）と、ＲＡＭ（Random Access Memory）とを含むコンピュータ装置として実現されてもよい。情報処理装置１０は、上記構成に加え、さらに、入出力接続回路（ＩＯＣ：Input / Output Circuit）と、ネットワークインターフェース回路（ＮＩＣ：Network Interface Circuit）とを含むコンピュータ装置として実現されてもよい。

　図５は、本変形例に係る情報処理装置６００の構成の一例を示すブロック図である。

　情報処理装置６００は、ＣＰＵ６１０と、ＲＯＭ６２０と、ＲＡＭ６３０と、内部記憶装置６４０と、ＩＯＣ６５０と、ＮＩＣ６８０とを含み、コンピュータ装置として構成されている。

　ＣＰＵ６１０は、ＲＯＭ６２０からプログラムを読み込む。そして、ＣＰＵ６１０は、読み込んだプログラムに基づいて、ＲＡＭ６３０と、内部記憶装置６４０と、ＩＯＣ６５０と、ＮＩＣ６８０とを制御する。そして、ＣＰＵ６１０を含むコンピュータは、これらの構成を制御し、図１に示す、プライバシー強度決定部１１と、残プライバシー強度記憶部１２と、パラメータ記憶部１３としての各機能を実現する。

　ＣＰＵ６１０は、各機能を実現する際に、ＲＡＭ６３０又は内部記憶装置６４０を、プログラムの一時記憶として使用してもよい。

　また、ＣＰＵ６１０は、コンピュータで読み取り可能にプログラムを記憶した記憶媒体７００が含むプログラムを、図示しない記憶媒体読み取り装置を用いて読み込んでもよい。あるいは、ＣＰＵ６１０は、ＮＩＣ６８０を介して、図示しない外部の装置からプログラムを受け取り、ＲＡＭ６３０に保存して、保存したプログラムを基に動作してもよい。

　ＲＯＭ６２０は、ＣＰＵ６１０が実行するプログラム及び固定的なデータを記憶する。ＲＯＭ６２０は、例えば、Ｐ－ＲＯＭ（Programmable-ROM）又はフラッシュＲＯＭである。

　ＲＡＭ６３０は、ＣＰＵ６１０が実行するプログラム及びデータを一時的に記憶する。ＲＡＭ６３０は、例えば、Ｄ－ＲＡＭ（Dynamic-RAM）である。

　内部記憶装置６４０は、情報処理装置６００が長期的に保存するデータ及びプログラムを記憶する。内部記憶装置６４０は、残プライバシー強度記憶部１２及びパラメータ記憶部１３として動作する。また、内部記憶装置６４０は、ＣＰＵ６１０の一時記憶装置として動作してもよい。内部記憶装置６４０は、例えば、ハードディスク装置、光磁気ディスク装置、ＳＳＤ（Solid State Drive）、又はディスクアレイ装置である。

　ここで、ＲＯＭ６２０と内部記憶装置６４０とは、不揮発性（non-transitory）の記憶媒体である。一方、ＲＡＭ６３０は、揮発性（transitory）の記憶媒体である。そして、ＣＰＵ６１０は、ＲＯＭ６２０、内部記憶装置６４０、又は、ＲＡＭ６３０に記憶されているプログラムを基に動作可能である。つまり、ＣＰＵ６１０は、不揮発性記憶媒体又は揮発性記憶媒体を用いて動作可能である。

　ＩＯＣ６５０は、ＣＰＵ６１０と、入力機器６６０及び表示機器６７０とのデータを仲介する。ＩＯＣ６５０は、例えば、ＩＯインターフェースカード又はＵＳＢ（Universal Serial Bus）カードである。

　入力機器６６０は、情報処理装置６００の操作者からの入力指示を受け取る機器である。入力機器６６０は、例えば、キーボード、マウス、又はタッチパネルである。

　表示機器６７０は、情報処理装置６００の操作者に情報を表示する機器である。表示機器６７０は、例えば、液晶ディスプレイである。

　ＮＩＣ６８０は、ネットワークを介した図示しない外部の装置とのデータのやり取りを中継する。ＮＩＣ６８０は、例えば、ＬＡＮ（Local Area Network）カードである。

　このように構成された情報処理装置６００は、情報処理装置１０と同様の効果を得ることができる。

　その理由は、情報処理装置６００のＣＰＵ６１０が、プログラムに基づいて情報処理装置１０と同様の機能を実現できるためである。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成及び詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１５年　６月１５日に出願された日本出願特願２０１５－１２００４７を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１０　情報処理装置
　１１　プライバシー強度決定部
　１２　残プライバシー強度記憶部
　１３　パラメータ記憶部
　９０　情報処理装置
　９１　パーソナルデータ記憶部
　９２　差分プライバシー処理部
　６００　情報処理装置
　６１０　ＣＰＵ
　６２０　ＲＯＭ
　６３０　ＲＡＭ
　６４０　内部記憶装置
　６５０　ＩＯＣ
　６６０　入力機器
　６７０　表示機器
　６８０　ＮＩＣ
　７００　記憶媒体

Claims

　ε－差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶するパラメータ記憶手段と、
　前記残プライバシー強度を記憶する残プライバシー強度記憶手段と、
　前記残プライバシー割合と前記残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定するプライバシー強度決定手段と
　を含む情報処理装置。
　前記プライバシー強度決定手段が、
　決定した前記プライバシー強度を基に、前記残プライバシー強度を更新する
　請求項１に記載の情報処理装置。
　前記プライバシー強度決定手段が、
　前記残プライバシー割合を公比とする等比級列を用いて前記プライバシー強度を決定する
　請求項１又は２に記載の情報処理装置。
　前記プライバシー強度決定手段が、
　前記残プライバシー割合をα、ｉ－１番目の問い合わせ後の前記残プライバシー強度をε^＊ _ｉ－１、及び、ｉ番目の問い合わせに対するプライバシー強度をε_ｉとしたとき、前記プライバシー強度ε_ｉを次の数式１
　［数式１］
ε_ｉ＝（１－α）×ε^＊ _ｉ－１
を用いて算出する
　請求項１ないし３のいずれか１項に記載の情報処理装置。
　前記プライバシー強度決定手段が、
　前記残プライバシー割合をα、ｉ－１番目の問い合わせ後の前記残プライバシー強度をε^＊ _ｉ－１、及び、ｉ番目の前記残プライバシー強度をε^＊ _ｉとしたとき、ｉ番目の前記残プライバシー強度ε^＊ _ｉを次の数式２
　［数式２］
ε^＊ _ｉ＝α×ε^＊ _ｉ－１
を用いて算出する
　請求項１ないし４のいずれか１項に記載の情報処理装置。
　前記プライバシー強度決定手段が、
　問い合わせを受ける前の前記残プライバシー強度を前記総計プライバシー強度とする
　請求項１ないし５のいずれか１項に記載の情報処理装置。
　前記プライバシー強度決定手段が、
　１回以上の問い合わせを受けた後の前記残プライバシー強度を前記総計プライバシー強度とする
　請求項１ないし５のいずれか１項に記載の情報処理装置。
　ε－差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶し、
　前記残プライバシー強度を記憶し、
　前記残プライバシー割合と前記残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定する
　情報処理方法。
　ε－差分プライバシーを保証するクエリ応答データ出版において総計として満足する総計プライバシー強度と、問い合わせに対応して決定されたプライバシー強度を設定後に残るプライバシー強度の合計である残プライバシー強度の変化の割合である残プライバシー割合とを記憶する処理と、
　前記残プライバシー強度を記憶する処理と、
　前記残プライバシー割合と前記残プライバシー強度とを基に、問い合わせに対するプライバシー強度を決定する処理と
　をコンピュータに実行させるプログラムを記憶するコンピュータ読み取り可能な記憶媒体。