WO2020016973A1

WO2020016973A1 - 制御装置、データ分析システム、制御方法及びコンピュータプログラム

Info

Publication number: WO2020016973A1
Application number: PCT/JP2018/026979
Authority: WO
Inventors: 隆夫竹之内
Original assignee: 日本電気株式会社
Priority date: 2018-07-18
Filing date: 2018-07-18
Publication date: 2020-01-23
Also published as: JPWO2020016973A1; US20210342475A1; JP7124872B2; DE112018007834T5

Abstract

異なる管理主体にて収集された移動体の識別情報の利活用を促進する。制御装置は、第１の地点で取得された第１の移動体の識別情報を保持する第１の装置と、第２の地点で取得された第２の移動体の識別情報を保持する第２の装置と、のそれぞれに対して、所定の秘密計算サーバへの前記第１、第２の移動体の識別情報の提供を要求する要求部と、前記所定の秘密計算サーバに対し、前記第１の移動体の識別情報と前記第２の移動体の識別情報とに基づいた移動体の移動に関する計算処理を指示する指示部と、を備える。

Description

制御装置、データ分析システム、制御方法及びコンピュータプログラム

　本発明は、制御装置、データ分析システム、制御方法及びコンピュータプログラムに関する。

　特許文献１に、本人に尋ね人になっている自覚がなくても安否確認ができるというシステムが開示されている。同文献によると、本人の顔の特徴量と、本人或いは確認依頼者の個人情報（たとえば電話番号）の対が、確認依頼者によって、ポータルサーバ４のデータベースに登録される。現地サーバ２は常に、撮影された顔の特徴量を、データベースと照合し、類似する特徴量が見つかれば、登録された個人情報を提示して、被撮影者に確認を促す。さらに、同文献では、同一人の生体情報同士の照合のみが行え、他の用途への転用、統計情報の収集等を困難にするテンプレート保護技術が紹介されている。

　特許文献２には、定められた通行利用領域で人の動きを追跡する際、一人一人の身体的特徴を自動的に読取って取得し、同一人物を特定して追跡することができるという人間検出追跡システムが開示されている。

　非特許文献１は、経済産業省が公表しているカメラ画像の取り扱いに関する配慮事項を整理したガイドブックである。これによると、監視カメラ等で撮影された画像から得られた特徴量データは、原則として個人情報にあたると記載されている。

国際公開第２０１５／１５１１５５号特開平１１－１７５７３０号公報

経済産業省、"カメラ画像利活用ガイドブック"、［online］、［平成30年6月26日検索］、インターネット〈URL：http://www.meti.go.jp/press/2017/03/20180330005/20180330005-1.pdf〉

　以下の分析は、本発明によって与えられたものである。非特許文献１においても記載されているとおり、今後、監視カメラや防犯カメラで撮影した画像を利用したデータの利活用が普及していくことが想定される。しかしながら、こうしたカメラで撮影された画像から得られた特徴量データはあくまで個人情報であり、本人の事前の同意なくして第三者に提供することは厳に戒められる。

　一方で、動線解析（人流分析）においては、個人を特定し、その個人の動きを把握することは重要ではなく、ある地点にいたユーザのうち、何人のユーザが別の地点に移動したかといった程度の情報でも十分に価値がある。上記個人情報の問題さえ回避できれば、異なる管理主体で動線解析（人流分析）の結果を共有することができるといえる。そして、その用途は単なる店舗設計に止まらず、街作りや防犯対策等にも役立てられると考えられる。

　また上記は、監視カメラや防犯カメラで撮影した画像に限られず、各種の組織が特定の目的をもって入手する指紋データや虹彩データなどの生体情報一般に妥当する。例えば、施設Ａの入場時に得られた指紋データと、別の施設Ｂの入場時に得られた指紋データとを照合することで、特定の人物が、施設Ａから施設Ｂに移動したという情報が得られる。これは、上記カメラの特徴量データによる動線分析と同様の情報となりうる。また、このような動線分析の対象は人に限られず、車両や動物などにも適用可能だと考えられる。以下、これらの特徴量データ、生体情報その他おおよそ個体を識別可能な情報を「移動体の識別情報」という。

　本発明は、上記異なる管理主体にて収集された移動体の識別情報の利活用の促進に貢献できる制御装置、データ分析システム、制御方法及びコンピュータプログラムを提供することを目的とする。

　第１の視点によれば、第１の地点で取得された第１の移動体の識別情報を保持する第１の装置と、第２の地点で取得された第２の移動体の識別情報を保持する第２の装置と、のそれぞれに対して、所定の秘密計算サーバへの前記第１、第２の移動体の識別情報の提供を要求する要求部と、前記所定の秘密計算サーバに対し、前記第１の移動体の識別情報と前記第２の移動体の識別情報とに基づいた移動体の移動に関する計算処理を指示する指示部と、を備える制御装置が提供される。

　第２の視点によれば、所定の秘密計算サーバと、上記した制御装置と、を含むデータ分析システムが提供される。

　第３の視点によれば、第１の地点で取得された第１の移動体の識別情報を保持する第１の装置と、第２の地点で取得された第２の移動体の識別情報を保持する第２の装置と、のそれぞれに対して、所定の秘密計算サーバへの前記第１、第２の移動体の識別情報の提供を要求し、前記所定の秘密計算サーバに対し、前記第１の移動体の識別情報と前記第２の移動体の識別情報とに基づいた移動体の移動に関する計算処理を指示する、秘密計算サーバの制御方法が提供される。本方法は、秘密計算サーバを利用して所望の計算結果を得る制御装置という、特定の機械に結びつけられている。

　第４の視点によれば、第１の地点で取得された第１の移動体の識別情報を保持する第１の装置と、第２の地点で取得された第２の移動体の識別情報を保持する第２の装置と、のそれぞれに対して、所定の秘密計算サーバへの前記第１、第２の移動体の識別情報の提供を要求する処理と、前記所定の秘密計算サーバに対し、前記第１の移動体の識別情報と前記第２の移動体の識別情報とに基づいた移動体の移動に関する計算処理を指示する処理と、を制御装置に実行させるコンピュータプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な（非トランジトリーな）記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明によれば、異なる管理主体にて収集された移動体の識別情報の利活用を促進することが可能となる。

本発明の一実施形態の構成を示す図である。本発明の第１の実施形態のデータ分析システムの構成を示す図である。本発明の第１の実施形態のデータ分析システムの第１の装置の構成を示す図である。本発明の第１の実施形態のデータ分析システムの第１の装置が保持するデータの一例を示す図である。本発明の第１の実施形態のデータ分析システムの制御装置の構成を示す図である。本発明の第１の実施形態のデータ分析システムの動作を表したシーケンス図である。本発明の第１の実施形態のデータ分析システムによる人流分析処理の一例を説明するための図である。本発明の第１の実施形態のデータ分析システムによる人流分析処理の別の一例を説明するための図である。本発明の第１の実施形態のデータ分析システムによる人流分析処理の別の一例を説明するための図である。本発明の第１の実施形態のデータ分析システムによる分析結果の一例を説明するための図である。本発明の第２の実施形態のデータ分析システムの構成を示す図である。本発明の第２の実施形態のデータ分析システムの第１の装置の構成を示す図である。本発明の第２の実施形態のデータ分析システムの制御装置の構成を示す図である。本発明の第２の実施形態のデータ分析システムの動作を表したシーケンス図である。本発明の第２の実施形態のデータ分析システムの第１の装置が保持するデータの一例を示す図である。本発明の第３の実施形態のデータ分析システムの第１の装置が保持するデータの一例を示す図である。本発明のデータ分析システムの変形構成を示す図である。本発明の制御装置を構成するコンピュータの構成を示す図である。

　はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号（データ）の流れを模式的に示すものであり、双方向性を排除するものではない。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。

　本発明は、その一実施形態において、図１に示すように、第１の装置２１と、第２の装置２２と、秘密計算サーバ３０とに接続された制御装置１０にて実現できる。より具体的には、第１の装置２１は、第１の地点で取得された第１の移動体の識別情報を保持する。第２の装置２２は、第２の地点で取得された第２の移動体の識別情報を保持する。

　そして、制御装置１０は、要求部１１と、指示部１２とを備える。要求部１１は、前記第１の装置と、前記第２の装置とのそれぞれに対して、秘密計算サーバ３０への前記第１、第２の移動体の識別情報の提供を要求する。

　一方、指示部１２は、秘密計算サーバ３０に対し、前記第１の移動体の識別情報と前記第２の移動体の識別情報とに基づいた移動体の移動に関する計算処理を指示する。

　以上の結果、秘密計算サーバ３０は、前記第１の移動体の識別情報と前記第２の移動体の識別情報とに基づいた移動体の移動に関する計算処理を実行する。これにより、例えば、第１の地点と第２の地点との間を移動したと推測される移動体の数を計算することが可能となる。そして、前記第１、第２の移動体の識別情報の計算処理は、適宜暗号化した上で秘密計算サーバにて行われるので、第１、第２の移動体の識別情報の漏洩リスクを抑えることができる。

［第１の実施形態］
　続いて、本発明の第１の実施形態のデータ分析システムについて図面を参照して詳細に説明する。図２は、本発明の第１の実施形態のデータ分析システムの構成を示す図である。図２を参照すると、第１の装置２１と、第２の装置２２と、２台の秘密計算サーバ３０に、制御装置１０を接続した構成が示されている。

　第１の装置２１は、第１の地点で取得された第１の移動体の識別情報として、駅や各種の施設に設置されたカメラにて取得された画像から得られた通行人の顔特徴データを保持する装置である。

　第２の装置２２は、第２の地点で取得された第２の移動体の識別情報として、第１の地点とは異なる駅や各種の施設に設置されたカメラにて取得された画像から得られた通行人の顔特徴データを保持する装置である。

　ここで、第１の装置２１と第２の装置２２とは、互いに異なる管理主体（同一組織内でデータ管理責任者が異なる場合を含む。）によって管理されているものとする。また、第１の移動体の識別情報と第２の移動体の識別情報は、それぞれデータを外部に出さないように管理・運用されているものとする。即ち、前記第１、第２の移動体の識別情報は、それぞれの別の管理主体の下で取得されたデータであり、外部に出さない、一定期間経過後に破棄する等の条件の下に管理されている。

　２台の秘密計算サーバ３０は、第１の装置２１、第２の装置２２からそれぞれ、顔特徴データを秘密分散したシェア情報を受け取って、秘密分散方式の計算を行うサーバである。

　制御装置１０は、第１の装置２１、第２の装置２２に対し、秘密計算サーバ３０へのシェア情報の送信、及び、秘密計算サーバ３０に対し、シェア情報を用いた計算等を指示する装置である。

　図３は、本発明の第１の実施形態のデータ分析システムの第１の装置の構成を示す図である。図３を参照すると、タイマ２１２と、特徴量抽出部２１３と、特徴量保存部２１４と、秘密分散部２１５とを備え、カメラ２１１と接続された構成が示されている。

　カメラ２１１は、駅や各種の施設に設置された防犯カメラ等である。タイマ２１２は、撮影日時を記録するために用いられる。なお、図３の例では、カメラの台数は１台であるが、カメラの台数に制限はない。例えば、日中撮影用のカメラと、夜間撮影用のカメラを切り替えて動画データを取得可能な構成であってもよい。また例えば、画角や撮影方向の異なるカメラが複数配置された構成であってもよい。

　特徴量抽出部２１３は、カメラ２１１にて撮影された動画データから画像を切り出して、その中に写りこんでいる人物の顔特徴データを抽出する。なお、１つの画像に複数の人物の顔が写りこんでいる場合、特徴量抽出部２１３は、１つの画像からそれぞれの人物の顔の領域を特定し、複数の顔特徴データを抽出する。

　特徴量保存部２１４は、特徴量抽出部２１３にて抽出された顔特徴データにタイマ２１２から取得した日時情報を対応付けて保存する。

　図４は、特徴量保存部２１４にて保存されている顔特徴データの一例を示す図である。図４の例では、タイマ２１２から供給された日時と、顔の特徴量情報（顔特徴データ）とを対応付けたエントリを保存している例が示されている。顔の特徴量情報の１１，２３，４５・・・は、予め定めた顔特徴（顔ノード）間の特徴ベクトルを表している。

　秘密分散部２１５は、制御装置１０からの要求に応じて、特徴量保存部２１４から顔特徴データを取り出して、秘密計算サーバ３０への送付用のシェア情報を生成し、秘密計算サーバ３０に送信する。

　上記のような第１の装置２１は、同一組織（施設）における顔認証データを用いた人流分析を行う装置に、秘密分散部２１５を追加したことでも実現できる。また、第２の装置２２は、少なくともカメラ２１１と撮影領域が異なるカメラを備えるほかは、第１の装置２１と同一の構成であるため、説明を省略する。

　続いて、制御装置１０の構成について図面を参照して詳細に説明する。図５は、本発明の第１の実施形態のデータ分析システムの制御装置の構成を示す図である。図５を参照すると、要求部１１と、配布部１３と、指示部１２とを備えた構成が示されている。

　要求部１１は、予め設定された人流分析開始条件に基づいて、第１、第２の装置２１、２２に対し、秘密計算サーバ３０への送付用のシェア情報の生成と送信を要求する。人流分析開始条件としては、一定の時間毎に、過去一定期間に第１、第２の地点で撮影された動画に基づく、特定の精度の人流分析を行うといった条件が考えられる。また、人流分析開始条件としては、上記のような定期的なものだけでなく、例えば、ユーザから臨時的な人流分析を求める明示的な指示の受信を条件としてもよい。

　配布部１３は、上記人流分析開始条件に対応する内容と精度の秘密計算を秘密計算サーバ３０に実行させるための秘密計算回路（秘密計算プログラム）を、秘密計算サーバ３０に配布する。秘密計算回路（秘密計算プログラム）は、事前に作成したものであってもよいし、その都度、作成するものであってもよい。また、複数種の秘密計算回路（秘密計算プログラム）を、事前に秘密計算サーバ３０側に配布しておき、秘密計算サーバ３０側で、掲載内容に応じた秘密計算回路（秘密計算プログラム）を選択する構成も採用可能である。

　指示部１２は、上記要求部１１によるシェア情報を生成と送信が完了したタイミングで、秘密計算サーバ３０に秘密計算処理の実行を指示する。

　続いて、本実施形態の動作について図面を参照して詳細に説明する。図６は、本発明の第１の実施形態のデータ分析システムの動作を表したシーケンス図である。以下の説明では、配布部１３による秘密計算回路（プログラム）の配布は済んでいるものとして説明する。

　図６を参照すると、まず、第１、第２の装置２１、２２において、それぞれ特徴量データ（顔特徴データ）の蓄積が行われる（ステップＳ００１ａ、Ｓ００１ｂ）。

　その後、前記所定の人流分析開始条件が成立すると（ステップＳ００２）、制御装置１０は、第１、第２の装置２１、２２に対して、それぞれ秘密計算サーバ３０へのシェア情報の送信を指示する（ステップＳ００３）。

　第１、第２の装置２１、２２は、制御装置１０からの指示に基づいて、特徴量保存部２１４から顔特徴データを取り出して、秘密計算サーバ３０への送付用のシェア情報を生成し、秘密計算サーバ３０にそれぞれ送信する（ステップＳ００４ａ、Ｓ００４ｂ）。

　次に、制御装置１０は、秘密計算サーバ３０に対して、シェア情報による人流分析の実行を指示する（ステップＳ００５）。

　次に、秘密計算の実行指示を受けた秘密計算サーバ３０が互いに連携してシェア情報による人流分析処理を実行する（ステップＳ００６）。この人流分析処理の具体例については後に図７～図１０を用いて詳細に説明する。

　最後に、秘密計算サーバ３０は、人流分析の結果（計算結果）を制御装置１０に送信する（ステップＳ００７）。なお、図６の例では、秘密計算サーバ３０が人流分析の結果（計算結果）を制御装置１０に送信することとしているが、人流分析の結果（計算結果）の送信先は、制御装置１０以外でもよい。例えば、顔特徴データの提供元である第１、第２の装置２１、２２に、人流分析の結果（計算結果）を送信してもよい。これにより、第１、第２の装置２１、２２の管理主体は、人流分析の結果（計算結果）に基づいて、施設の運用や、来訪者に対する案内表示の改善に役立てることができる。また、第１、第２の装置２１、２２の管理主体は、顔特徴データを互いに渡すことなく、前記人流分析の結果（計算結果）を得ることができる。

　続いて、上記ステップＳ００６における人流分析処理の具体例について説明する。
［移動人数の集計］
　図７は、地点１のカメラに現れた人物と、地点２のカメラに現れた人物とのマッチングを行う例を示している。例えば、図７に示すように、２０１８／１／１１　１１：００－１１：３０の間の顔特徴データを照合することで、地点１と地点２間と移動した人数を計算することができる。秘密分散方式を用いることで、個々の秘密計算サーバ３０において、元の顔特徴データを復元できないようにしたまま、所望の計算処理を行わせることができる。例えば、地点１がＡ駅であり、地点２が、Ｂ球場（Ｂスタジアム）である場合、それぞれの管理主体が、Ａ駅で取得された顔特徴データと、Ｂ球場（Ｂスタジアム）で取得された顔特徴データを秘密にしたまま、Ａ駅からＢ球場（Ｂスタジアム）にＸＸ人移動したといった結果を得ることができる。また、この移動人数の集計結果は、個人情報を含まないため、第三者に有償で販売することなども可能となっている。なお、この顔特徴データの照合は、２つの特徴ベクトル間の距離を求め、その値を所定のしきい値と比較することで実施することができる。

［所要時間の集計］
　図８は、地点１のカメラに現れた人物と、地点２のカメラに現れた人物とのマッチングを行って、データを結合し、所要時間の集計を行う例を示している。例えば、図８に示すように、特定の時間帯の顔特徴データを照合することで、地点１と地点２の双方に出現した人物を特定することができる。そして、その人物が撮影された時間の差により、当該人物が地点１と地点２間の移動に要した時間を求めることができる。同様に、例えば、地点１がＡ駅であり、地点２が、Ｂ球場（Ｂスタジアム）である場合、それぞれの管理主体がそれぞれ管理する顔特徴データを秘密にしたまま、Ａ駅からＢ球場（Ｂスタジアム）に移動した人の平均所要時間がＸＸ分であるといった結果を得ることができる。また、この所要時間の集計結果は、個人情報を含まないため、第三者に有償で販売することなども可能となっている。また、このとき、図８に示すように、結合データには、顔特徴データが削除され、個体を特定できないようになっていることが好ましい。

［人流分析］
　図９は、地点１のカメラに現れた人物と、地点２のカメラに現れた人物とのマッチングを行って、データを結合し、人物の毎の所要時間のリストを作成する例を示している。さらに、図９の例では、作成した人物の毎の所要時間のリストから人流分析を行った結果を作成している。図１０の人流分析を行った結果の例では、人物毎の所要時間のリストを用いて、地点１から地点２に移動した人数やその平均移動時間といった情報を得ることが可能となっている。このとき、図９、図１０に示すように、分析結果からは、顔特徴データが削除され、かつ、Ｎｏ．１、Ｎｏ．２といった匿名化処理により個体を特定できない処理がなされていることが好ましい。同様に、例えば、地点１がＡ駅であり、地点２が、Ｂ球場（Ｂスタジアム）である場合、それぞれの管理主体がそれぞれ管理する顔特徴データを秘密にしたまま、Ａ駅からＢ球場（Ｂスタジアム）に移動した人がＸＸ人いて、その平均所要時間がＸＸ分であるといった結果を得ることができる。そしてこのような情報は、警備員や案内員の最適配置によるセーフティ、おもてなし、観光客の行動傾向分析に基づく観光・街づくり等に役立てることができる。従って、本発明のデータ分析システムは、移動体の移動に関する各種の分析をなしうるシステムとして機能するといえる。

　なお、上記図７から図９において同一人物として判定するしきい値（一致率）は、求められる精度やカメラの解像度等に応じて適宜設定することができる。例えば、図９では８５％以上の一致率が得られた場合に、同一人物として判定しているが、より厳密な判定が求められる場合には、一致率が９０％以上である場合に同一人物と判定するようにしてもよい。また、カメラの解像度が低かったり、撮影場所が暗く画質が低下している場合には、一致率が７０％以上である場合に同一人物と判定するようにしてもよい。このように、しきい値（一致率）は、顔特徴データの精度（品質）や求められる分析結果の精度等に応じて調整することができる。

　なお、上記した例では、顔特徴データは、日時情報を対応付けて保存されているものとして説明したが、顔特徴データの個々に日時情報を対応付けなくてもよい。例えば、一定の時間帯に認識された顔特徴データを、特徴量保存部２１４に保持させる構成であってもよい。

［第２の実施形態］
　続いて、要求される人流分析の処理速度、人流分析の処理精度等に応じて、秘密計算サーバにおける処理内容を切替できるようにした第２の実施形態について図面を参照して詳細に説明する。

　図１１は、本発明の第２の実施形態のデータ分析システムの構成を示す図である。図２に示した第１の実施形態との構成上の差異は、第１、第２の装置２１ａ、２２ａに、顔特徴データの桁数変更機能が追加され、制御装置１０ａにおいて顔特徴データの桁数変更指示機能と桁数に応じた秘密計算の指示機能が追加された点である。この桁数変更指示機能による桁数変更指示は、顔特徴データの特徴ベクトルの指定桁以下の値の切り捨てを指示するものである。

　図１２は、本発明の第２の実施形態のデータ分析システムの第１の装置２１ａの構成を示す図である。図３に示した第１の実施形態の第１の装置との相違点は、桁数指示受信部２１６が追加され、秘密分散部２１５ａが、指定桁数の顔特徴データからシェア情報を作成し、送信する点である。その他の構成は第１の実施形態と同様であるので、以下、その相違点を中心に説明する。

　桁数指示受信部２１６は、制御装置１０ａから、桁数指示付きのシェア情報送信指示を受信すると、秘密分散部２１５ａに送る。

　秘密分散部２１５ａは、桁数指示付きのシェア情報送信指示を受信すると、特徴量保存部２１４から顔特徴データを取り出し、その特徴ベクトルの桁数を削減する処理を行う。そして、秘密分散部２１５ａは、この桁数削減後の顔特徴データから、秘密計算サーバ３０への送付用のシェア情報を生成し、秘密計算サーバ３０に送信する。

　続いて、制御装置１０ａの構成について図面を参照して詳細に説明する。図１３は、本発明の第２の実施形態の制御装置１０ａの構成を示す図である。図５に示した第１の実施形態の制御装置との差異は、要求部１１ａが、第１、第２の装置に対し、桁数指示付きのシェア情報送信指示を送信する点である。その他の構成は第１の実施形態と同様であるので、以下、その相違点を中心に説明する。

　本実施形態の要求部１１ａは、さらに、人流分析開始条件や別途入力された人流分析の処理速度に応じて、シェア情報送信指示にて指定する桁数を決定する調整部１１１ａを備える。そして、要求部１１ａは、第１、第２の装置２１ａ、２２ａに対して、決定後の桁数を指定したシェア情報送信指示を送信する。例えば、桁数の削減を行わない場合の人流分析の所要時間が３０分である一方、ユーザから要求された人流分析の処理速度（所要時間）が１５分である場合が想定される。その場合、要求部１１ａは、第１、第２の装置２１ａ、２２ａに対して、顔特徴データの特徴ベクトルの有効桁をＸ桁だけ削減してシェア情報を作成、送信するよう指示する。

　指示部１２は、上記要求部１１ａによるシェア情報を生成と送信が完了したタイミングで、秘密計算サーバ３０に人流分析処理の実行を指示する。

　なお、第１の実施形態と同様に、事前に、顔特徴データの特徴ベクトルの有効桁数に応じた秘密計算回路（秘密計算プログラム）の配布が済んでいない場合は、配布部１３が、秘密計算回路（秘密計算プログラム）を作成し、配布する必要がある。

　続いて、本実施形態の動作について図面を参照して詳細に説明する。図１４は、本発明の第２の実施形態のデータ分析システムの動作を表したシーケンス図である。以下の説明では、配布部１３による秘密計算回路（プログラム）の配布は済んでいるものとして説明する。基本的な流れは第１の実施形態と同様であるので、以下、その相違点を中心に説明する。

　図６に示した第１の実施形態のシーケンス図との相違点は、ステップＳ００３ａにおいて、シェア情報の送信指示に、指定した顔特徴データの特徴ベクトルの有効桁数が指定されている点である。その他の流れは第１の実施形態と同様であるため説明を省略する。

　本実施形態によれば、要求される処理速度、処理精度を満足する人流分析の結果を提供することが可能となる。例えば、地点２の警備の強化の必要人員を見積もるため、地点１（第１の地点）から地点２（第２の地点）の直近３０分の人流を１５分以内に把握したいといった用途に、本実施形態は好適に適用することができる。同様に、例えば、地点１のイベント会場で販売する商品の量を見積もるため、地点２（第２の地点）から地点１（第１の地点）の直近１時間の人流を１０分以内に把握したいといった用途にも、本実施形態は好適に適用することができる。

　なお、上記した実施形態では、顔特徴データの特徴ベクトルの桁数を削減することで処理時間を短縮する例を挙げて説明したが、処理内容の切替はこれに限られない。例えば、顔特徴データの特徴ベクトルのうち、いくつかを削除（ベクトルの次元の削減）することで処理内容を切り替える形態も採用可能である。また、照合を行う顔特徴データの時間的範囲を狭めることでも処理時間を短縮することができる。これらのいずれか１つ以上を用いることで、データ量の削減機能、処理の高速化機能、又は計算量の削減機能を達成することができる。

　また、処理時間を短縮するという観点のほか、プライバシーの保護の観点で、あえて人物の同一性判定の精度を落としたいというニーズも想定される。この場合も同様に、顔特徴データの特徴ベクトルのうち、いくつかを削除したり、有効桁数を削減するといった処理内容の切替を行うことで、人物の同一性判定の精度を落とすことができる。

　また、例えば、図１５に示すように、個々の顔特徴データに精度情報（認識率）が付加されている場合には、精度情報を用いて処理速度や判定精度を調節することも可能である。例えば、精度（認識率）が所定値以下の顔特徴データは、人物の同一性判定の精度も当然に劣化するので、照合の対象から外すことで秘密分散による計算を高速化することができる。また、精度（認識率）が所定値以下の顔特徴データの特徴ベクトルの有効桁数を削減する方法も採用可能である。

　また、第１、第２の装置から送られた顔特徴データが少ない場合には、人物の同一性判定を厳密に行うと、実質的に個人が特定されてしまいプライバシーの問題が生じうる。その場合も上記した顔特徴データの特徴ベクトルのうち、いくつかを削除したり、有効桁数を削減することが有効である。さらには、顔特徴データが少ない場合には、人流分析処理を実施しない（省略する）ことも可能である。

　また、上記処理速度を見積もる方法としては、照合の対象となるデータ数や、上記秘密計算回路（プログラム）のＡＮＤ回路の数で処理速度を見積もる方法等を利用することができる。また、このシステムを用いて実施した秘密計算の処理時間の実績値に基づいて処理速度を見積もってもよい。

［第３の実施形態］
　上記した第１、第２の実施形態では、顔特徴データを用いて人物の同一性判定を行っていたが、顔特徴データ以外の情報を用いて、人物の同一性判定を行ってもよいことはもちろんである。例えば、図１６に示すように、第１、第２の装置で顔特徴データ以外に、人物の体型の特徴量（体型特徴データ）を保持している場合、これらを併用して、人物の同一性判定を行うこともできる。このようにすることで、人物の同一性判定の精度を高める変形も可能である。また、上記人物の体型の特徴量（体型特徴データ）に代えて、又は、併せて、人の歩き方の特徴を示す歩容データを用いて、人物の同一性判定を行ってもよいことはもちろんである。

　以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。また、以下の説明において、「Ａ及び／又はＢ」は、Ａ及びＢの少なくともいずれかという意味で用いる。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。

　例えば、上記した実施形態では、移動体の識別情報として顔特徴データを用いるものとして説明したが、顔特徴データ以外の生体情報や、機器のＩＤ等を移動体の識別情報として用いることも可能である。

　例えば、上記した実施形態では、２台の秘密計算サーバを用いる例を挙げて説明したが、３台以上の秘密計算サーバを用いてもよい（図１７参照）。

　例えば、上記した実施形態では、秘密計算サーバとして秘密分散方式で秘密計算を行うサーバを用いるものとして説明したが、準同型暗号、完全同型暗号等を用いて秘密計算を行うサーバを用いることもできる。制御装置１０、１０ａは、第１、第２の装置に対して、暗号化した顔特徴データの秘密計算サーバへの送信を要求することになる。

　例えば、上記した実施形態では、制御装置が独立して設けられているものとして説明したが、制御装置は第１の装置、または第２の装置のいずれかに含まれてもよい。また、制御装置は秘密計算サーバのいずれかに含まれてもよい。

　また、上記した第１～第３の実施形態に示した手順は、制御装置１０、１０ａとして機能するコンピュータ（図１８の９０００）に、制御装置１０、１０ａとしての機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図１８のＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）９０１０、通信インタフェース９０２０、メモリ９０３０、補助記憶装置９０４０を備える構成に例示される。すなわち、図１８のＣＰＵ９０１０にて、シェア情報送信要求プログラムや人流分析指示プログラムを実行し、その補助記憶装置９０４０等に保持された各計算パラメーターの更新処理を実施させればよい。

　即ち、上記した第１～第３の実施形態に示した制御装置１０、１０ａの各部（処理手段、機能）は、制御装置１０、１０ａに搭載されたプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。

　最後に、本発明の好ましい形態を要約する。
［第１の形態］
　（上記第１の視点による制御装置参照）
［第２の形態］
　上記した制御装置において、
　前記第１、第２の移動体の識別情報として、それぞれの別のカメラにて撮影された人物の顔特徴データを用いることができる。
［第３の形態］
　上記した制御装置において、
　前記第１、第２の移動体の識別情報として、それぞれの別のカメラにて撮影された人物の体型データを含むデータを用いることができる。
［第４の形態］
　上記した制御装置において、
　前記第１、第２の移動体の識別情報としては、それぞれの別の管理主体の下で取得されたデータが想定される。
［第５の形態］
　上記した制御装置において、
　前記所定の秘密計算サーバは、秘密分散方式により計算を行う複数台の秘密計算サーバであり、
　前記要求部は、前記第１、第２の装置に対し、第１の移動体の識別情報及び前記第２の移動体の識別情報を秘密分散したシェア情報に変換してから、前記秘密計算サーバに送信させる構成を採ることができる。
［第６の形態］
　上記した制御装置において、
　前記所定の秘密計算サーバに行わせる前記所定の計算処理として、前記第１の移動体の識別情報と、前記第２の移動体の識別情報とに基づいて前記第１の地点と前記第２の地点との間を移動した移動体の数を計算する処理を行わせることが好ましい。
［第７の形態］
　上記した制御装置において、
　前記所定の秘密計算サーバに行わせる前記所定の計算処理として、前記第１の移動体の識別情報と、前記第２の移動体の識別情報との照合による前記第１の地点と前記第２の地点との間を移動した移動体の移動データを作成する処理を行わせることが好ましい。
［第８の形態］
　上記した制御装置において、
　前記第１、第２の移動体の識別情報が、当該情報が取得された時刻を示す時刻情報を含む場合、
　前記所定の秘密計算サーバに行わせる前記所定の計算処理として、前記第１の地点と前記第２の地点との間を移動した移動体が前記移動に要した時間を含む移動データを作成させることもできる。
［第９の形態］
　上記した制御装置において、
　前記移動データは、個体を特定できないように処理がなされていることが好ましい。
［第１０の形態］
　上記した制御装置は、
　要求される処理時間又は処理精度を満たすために、前記計算処理の内容を切り替える調整部を備える構成を採ることができる。
［第１１の形態］
　前記調整部は、前記第１、第２の移動体の識別情報を構成する特徴量データを削減させることにより、前記計算処理の内容を切り替えることができる。
［第１２の形態］
　（上記第２の視点によるデータ処理システム参照）
［第１３の形態］
　（上記第３の視点による秘密計算サーバの制御方法参照）
［第１４の形態］
　（上記第４の視点によるコンピュータプログラム参照）
　なお、上記第１２～第１４の形態は、第１の形態と同様に、第２～第１１の形態に展開することが可能である。

　なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択（部分的削除を含む）が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

　１０、１０ａ　制御装置
　１１、１１ａ　要求部
　１２　指示部
　１３　配布部
　２１、２１ａ　第１の装置
　２２、２２ａ　第２の装置
　３０　秘密計算サーバ
　１１１ａ　調整部
　２１１　カメラ
　２１２　タイマ
　２１３　特徴量抽出部
　２１４　特徴量保存部
　２１５　秘密分散部
　２１６　桁数指示受信部
　９０００　コンピュータ
　９０１０　ＣＰＵ
　９０２０　通信インタフェース
　９０３０　メモリ
　９０４０　補助記憶装置

Claims

　第１の地点で取得された第１の移動体の識別情報を保持する第１の装置と、第２の地点で取得された第２の移動体の識別情報を保持する第２の装置と、のそれぞれに対して、所定の秘密計算サーバへの前記第１、第２の移動体の識別情報の提供を要求する要求部と、
　前記所定の秘密計算サーバに対し、前記第１の移動体の識別情報と前記第２の移動体の識別情報とに基づいた移動体の移動に関する計算処理を指示する指示部と、
　を備える制御装置。
　前記第１、第２の移動体の識別情報は、それぞれの別のカメラにて撮影された人物の顔特徴データを含む請求項１の制御装置。
　前記第１、第２の移動体の識別情報は、それぞれの別のカメラにて撮影された人物の体型データを含む請求項１又は２の制御装置。
　前記第１、第２の移動体の識別情報は、それぞれの別の管理主体の下で取得されたデータである請求項１から３いずれか一の制御装置。
　前記所定の秘密計算サーバは、秘密分散方式により計算を行う複数台の秘密計算サーバであり、
　前記要求部は、前記第１、第２の装置に対し、第１の移動体の識別情報及び前記第２の移動体の識別情報を秘密分散したシェア情報に変換してから、前記秘密計算サーバに送信させる請求項１から４いずれか一の制御装置。
　前記所定の計算処理は、前記第１の移動体の識別情報と、前記第２の移動体の識別情報とに基づいて前記第１の地点と前記第２の地点との間を移動した移動体の数を計算する処理である請求項１から５いずれか一の制御装置。
　前記所定の計算処理は、前記第１の移動体の識別情報と、前記第２の移動体の識別情報との照合による前記第１の地点と前記第２の地点との間を移動した移動体の移動データを作成する処理である請求項１から５いずれか一の制御装置。
　前記第１、第２の移動体の識別情報は、当該情報が取得された時刻を示す時刻情報を含み、
　前記所定の計算処理は、前記第１の地点と前記第２の地点との間を移動した移動体が前記移動に要した時間を含む移動データを作成する処理である請求項１から５いずれか一の制御装置。
　前記移動データは、個体を特定できないように処理がなされている請求項７又は８の制御装置。
　さらに、要求される処理時間を満たすために、前記計算処理の内容を切り替える調整部を備える請求項６から９いずれか一の制御装置。
　さらに、要求される処理精度を満たすために、前記計算処理の内容を切り替える調整部を備える請求項６から９いずれか一の制御装置。
　前記調整部は、前記第１、第２の移動体の識別情報を構成する特徴量データを削減させることにより、前記計算処理の内容を切り替える請求項１０又は１１の制御装置。
　所定の秘密計算サーバと、
　第１の地点で取得された第１の移動体の識別情報を保持する第１の装置と、第２の地点で取得された第２の移動体の識別情報を保持する第２の装置と、のそれぞれに対して、所定の秘密計算サーバへの前記第１、第２の移動体の識別情報の提供を要求する要求部と、
　前記所定の秘密計算サーバに対し、前記第１の移動体の識別情報と前記第２の移動体の識別情報とに基づいた移動体の移動に関する計算処理を指示する指示部と、
　を備える制御装置と、
　を含むデータ分析システム。
　第１の地点で取得された第１の移動体の識別情報を保持する第１の装置と、第２の地点で取得された第２の移動体の識別情報を保持する第２の装置と、のそれぞれに対して、所定の秘密計算サーバへの前記第１、第２の移動体の識別情報の提供を要求し、
　前記所定の秘密計算サーバに対し、前記第１の移動体の識別情報と前記第２の移動体の識別情報とに基づいた移動体の移動に関する計算処理を指示する、
　秘密計算サーバの制御方法。
　第１の地点で取得された第１の移動体の識別情報を保持する第１の装置と、第２の地点で取得された第２の移動体の識別情報を保持する第２の装置と、のそれぞれに対して、所定の秘密計算サーバへの前記第１、第２の移動体の識別情報の提供を要求する処理と、
　前記所定の秘密計算サーバに対し、前記第１の移動体の識別情報と前記第２の移動体の識別情報とに基づいた移動体の移動に関する計算処理を指示する処理と、
　を制御装置に実行させるコンピュータプログラム。