WO2021070361A1

WO2021070361A1 - 維持置換確率生成装置、維持置換撹乱装置、維持置換確率生成方法、維持置換撹乱方法、プログラム

Info

Publication number: WO2021070361A1
Application number: PCT/JP2019/040235
Authority: WO
Inventors: 尭之三浦; 長谷川　聡
Original assignee: 日本電信電話株式会社
Priority date: 2019-10-11
Filing date: 2019-10-11
Publication date: 2021-04-15
Also published as: US20220382896A1; JPWO2021070361A1; JP7231053B2

Abstract

適切な程度の維持置換攪乱を実現する維持置換確率を生成することができる維持置換確率生成装置を提供する。所定の属性値の維持確率と、所定の属性値を他の属性値に一様な確率で置換する場合の置換確率群とを所定の属性値に対応する列または行として、行または列方向に配置してなる遷移行列Ｐと、属性値のヒストグラムのベクトル表現ｖが||Ｐｖ－ｖ||＝０となる各属性値の置換確率である大域的最適解が有る場合に大域的最適解を出力する大域的最適解判定部と、大域的最適解が無い場合に、ｉ番目とｊ番目の属性値に対応する双方の置換確率がε差分プライバシーを満たす条件と等価な不等式と、ｉ番目とｊ番目の属性値に対応する一方の置換確率と他方の維持確率がε差分プライバシーを満たす条件と等価な不等式から定義される領域を生成する領域生成部と、領域内で||Ｐｖ－ｖ||を最小化する領域内最適解を生成して出力する領域内最適解生成部を含む。

Description

維持置換確率生成装置、維持置換撹乱装置、維持置換確率生成方法、維持置換撹乱方法、プログラム

　本発明は、データベースに対して、個別データを確率的手法により秘匿する技術に関し、維持置換確率生成装置、維持置換撹乱装置、維持置換確率生成方法、維持置換撹乱方法、プログラムに関する。

　データベースに対して、個別データを確率的手法により秘匿する技術として、非特許文献１がある。ここで用いられている維持置換攪乱は、「各レコードに対し、一定の確率で情報を維持し一定の確率で情報を他のものに書き換える」という保護処理技術である。

Rakesh Agrawal, Ramakrishnan Srikant, and Dilys Thomas. Privacy preserving olap. In Proceedings of the 2005 ACM SIGMOD international conference on Management of data, pp. 251-262. ACM, 2005.

　しかし、非特許文献１におけるデータ保護処理手法では、各属性値に対して、一律の維持確率を設定しており、もとになるデータベースによっては必要以上に保護処理を加えてしまっている可能性があった。

　そこで本発明では、適切な程度の維持置換攪乱を実現する維持置換確率を生成することができる維持置換確率生成装置を提供することを目的とする。

　本発明の維持置換確率生成装置は、大域的最適解判定部と、領域生成部と、領域内最適解生成部を含む。

　大域的最適解判定部は、ｄを２以上の整数とし、ｄ個の属性値のそれぞれに対して、所定の属性値の維持確率と、所定の属性値を他の属性値に一様な確率で置換する場合の置換確率群とを所定の属性値に対応する列または行とし、各属性値に対応する列または行を、行または列方向に配置してなる遷移行列Ｐと、属性値のヒストグラムのベクトル表現ｖが||Ｐｖ－ｖ||＝０となる各属性値の置換確率である大域的最適解の有無を判定し、大域的最適解が有る場合に大域的最適解を出力する。領域生成部は、大域的最適解が無い場合に、１≦ｉ≦ｄ，１≦ｊ≦ｄかつｉ≠ｊを満たすｉ番目とｊ番目の属性値に対応する置換確率の座標（ｘ，ｙ）＝（ｑ_ｉ，ｑ_ｊ）が満たすべき領域であって、ｉ番目とｊ番目の属性値に対応する双方の置換確率がε差分プライバシーを満たす条件と等価な不等式と、ｉ番目とｊ番目の属性値に対応する一方の置換確率と他方の維持確率がε差分プライバシーを満たす条件と等価な不等式から定義される領域を生成する。領域内最適解生成部は、領域内で||Ｐｖ－ｖ||を最小化する領域内最適解を生成して出力する。

　本発明の維持置換確率生成装置によれば、適切な程度の維持置換攪乱を実現する維持置換確率を生成することができる。

実施例１の維持置換確率生成装置、維持置換撹乱装置の構成を示すブロック図。実施例１の維持置換確率生成装置、維持置換撹乱装置の動作を示すフローチャート。実施例１の維持置換確率生成装置、維持置換撹乱装置が生成する領域の例を示す図。コンピュータの機能構成例を示す図。

　以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　以下、実施例１の維持置換確率生成装置、維持置換撹乱装置について説明する。本実施例の維持置換確率生成装置、維持置換撹乱装置は、ヒストグラム形式のデータに対して、一定のプライバシー保護水準を満たしつつ、有用性が高い維持置換攪乱を実現する。

　以下、図１を参照して、本実施例の維持置換確率生成装置１１、維持置換撹乱装置１２の構成を説明する。同図に示すように、本実施例の維持置換確率生成装置１１は、大域的最適解判定部１１１と、領域生成部１１２と、領域内最適解生成部１１３とを含む。本実施例の維持置換撹乱装置１２は、上記構成に加え、維持置換撹乱実行部１２４を含んで構成される。

＜維持置換確率生成装置１１への入力、出力＞
　本実施例の維持置換確率生成装置１１への入力、出力は以下のとおりである。
入力－属性値のヒストグラムｖ＝（ｖ_１，…，ｖ_ｄ）∈Ｚ_ｄ（ｄ個の整数値の組み合わせ）
入力－プライバシー保護指標ε（正の実数）
出力－大域的最適解、または領域内最適解

＜維持置換撹乱装置１２への入力、出力＞
　本実施例の維持置換撹乱装置１２への入力、出力は以下のとおりである。
入力－属性値のヒストグラムｖ＝（ｖ_１，…，ｖ_ｄ）∈Ｚ_ｄ（ｄ個の整数値の組み合わせ、ｄは２以上の整数）
入力－プライバシー保護指標ε（正の実数）
入力－データ（維持置換撹乱を実行するデータ）
出力－ε差分プライバシーを満たすものの中で、||Ｐｖ－ｖ||を最小化する遷移行列Ｐに従う維持置換攪乱済みデータ
　ただし、
・||ｘ||はベクトルｘ∈Ｒ^ｄの２乗ノルムを表す。
・遷移行列Ｐについては後述する。
・ε差分プライバシーとは保護メカニズムの安全性を測る指標である（参考非特許文献１：Cynthia Dwork, Aaron Roth, et al. The algorithmic foundations of differential privacy. Foundations and Trends in Theoretical Computer Science, Vol. 9, No. 3-4, pp. 211-407, 2014.）

＜動作＞
　以下、図２を参照して、各構成要件の動作を説明する。なお、各構成要件の動作に先立ち、ヒストグラムｖ∈Ｚ^ｄ、プライバシー保護指標ε＞０を設定し、装置に入力するものとする。

［大域的最適解判定部１１１］
　大域的最適解判定部１１１は、ｄ個の属性値のそれぞれに対して、所定の属性値の維持確率と、所定の属性値を他の属性値に一様な確率で置換する場合の置換確率群とを所定の属性値に対応する列または行とし、各属性値に対応する列または行を、行または列方向に配置してなる遷移行列Ｐと、属性値のヒストグラムのベクトル表現ｖが||Ｐｖ－ｖ||＝０となる各属性値の置換確率である大域的最適解ｑ^?∈Ｒ^ｄの有無を判定し、大域的最適解が有る場合に大域的最適解を出力する（Ｓ１１１）。

≪遷移行列Ｐ≫
　ここで遷移行列Ｐは、インデックスｋの属性値の維持確率ｐ_ｋ＝１－ｑ_ｋ（ｋ＝１，…，ｄ）を用いて以下のように表現される。

　上述したように、従来技術では一律の維持確率を設定していたため、従来技術では、上記Ｐにおけるｑ_１＝ｑ_２＝…＝ｑ_ｄである（この値をαとする）。従って従来技術で遷移行列を構成しようとした場合、

と表現される。本実施例の維持置換確率生成装置１１、維持置換撹乱装置１２は、従来技術では、Ｐ_０と表されるべき遷移行列を、Ｐと表した点において、従来技術にはない特徴を有する。

　なお、ヒストグラムｖが固定されて入力されている状況では、||Ｐｖ－ｖ||はｑ＝（ｑ_１，…，ｑ_ｄ）の関数であることに注意する。||Ｐｖ－ｖ||は常に０以上の値をとるので、大域的最適解が存在すればそれが、最小値を与える点になる。

　なお、遷移行列Ｐにおいて、置換確率ｑ_１＝ｑ_２＝…＝ｑ_ｄ＝０とすれば、遷移行列は単位行列、すなわち

となる。この場合、当然||Ｐｖ－ｖ||＝０となるが、データの置換が行われていないため、データの保護ができていない。一般に||Ｐｖ－ｖ||の値を小さくしようとすることと、データの保護を強くしようとすることにはトレードオフの関係がある。そこで、後述するステップＳ１１２において、ε差分プライバシーの考え方を応用して、置換確率ｑ＝（ｑ_１，…，ｑ_ｄ）の満たすべき条件を定義する。

［領域生成部１１２］
　領域生成部１１２は、ステップＳ１１１の判定の結果、大域的最適解が無い場合に、１≦ｉ≦ｄ，１≦ｊ≦ｄかつｉ≠ｊを満たすｉ番目とｊ番目の属性値に対応する置換確率の座標（ｘ，ｙ）＝（ｑ_ｉ，ｑ_ｊ）が満たすべき領域であって、ｉ番目とｊ番目の属性値に対応する双方の置換確率がε差分プライバシーを満たす条件と等価な不等式と、ｉ番目とｊ番目の属性値に対応する一方の置換確率と他方の維持確率がε差分プライバシーを満たす条件と等価な不等式から定義される領域を生成する（Ｓ１１２）。

≪関数Ｍａｋｅ　ｄｏｍａｉｎ≫
　より詳細には、ステップＳ１１２は、以下の関数Ｍａｋｅ　ｄｏｍａｉｎを実行することにより実現される。関数Ｍａｋｅ　ｄｏｍａｉｎは次のような入出力をもつ関数である。
・入力（二つ）
－属性値のヒストグラムｖ＝（ｖ_１，…，ｖ_ｄ）∈Ｚ^ｄ（ｄ個の整数値の組み合わせ）
－プライバシー保護指標ε（正の実数）
・出力（二つ）
－３ｄ（ｄ－１）×ｄ行列Ａ
－３ｄ（ｄ－１）次ベクトルｂ

　ここで出力Ａ、ｂは、次の性質を満たしているものとする。ｑ∈Ｒ^ｄに対して連立不等式Ａｑ≦ｂは、任意の相異なるｉとｊ（１≦ｉ≦ｄ，１≦ｊ≦ｄ）に対して、（ｘ，ｙ）＝（ｑ_ｉ，ｑ_ｊ）が次の６つの不等式を満たすことと等価である。

　図３にステップＳ１１２で生成される領域の例を示す。同図に示すように、不等式（１）と不等式（２）を満たす領域は原点を通る二つの一次関数［１］［２］に挟まれる領域であって、不等式（１）と一次関数［１］、不等式（２）と一次関数［２］がそれぞれ対応している（以下も同様）。ここで不等式（１）、（２）は、

であるため、ｉ番目とｊ番目の属性値に対応する双方の置換確率ｑ_ｉ／（ｄ－１），ｑ_ｊ／（ｄ－１）がε差分プライバシーを満たす条件

と等価な不等式である。

　同様に不等式（３）、（４）は、一次関数［３］、［４］と対応し、

であるため、ｉ番目の属性値に対応する維持確率１－ｑ_ｉとｊ番目の属性値に対応する置換確率ｑ_ｊ／（ｄ－１）がε差分プライバシーを満たす条件

と等価な不等式である。

　同様に不等式（５）、（６）は、一次関数［５］、［６］と対応し、

であるため、ｉ番目の属性値に対応する置換確率ｑ_ｉ／（ｄ－１）とｊ番目の属性値に対応する維持確率１－ｑ_ｊがε差分プライバシーを満たす条件

と等価な不等式である。

　このように、従来とは異なる遷移行列Ｐの各成分である置換確率ｑ＝（ｑ_１，…，ｑ_ｄ）の満たすべき条件をε差分プライバシーの考え方を応用して６つの不等式で定義される領域として生成した点において、本実施例の維持置換確率生成装置１１、維持置換撹乱装置１２は、従来技術にはない特徴を有する。

［領域内最適解生成部１１３］
　領域内最適解生成部１１３は、上述の不等式（１）から（６）で定義される領域内で||Ｐｖ－ｖ||を最小化する領域内最適解を生成して出力する（Ｓ１１３）。

≪関数ＣＶＸＯＰＴ≫
　線形不等式によって表される領域上の二次式で表現される目的関数に対して、二次計画法を用いて最小値を与えるような点を求めるアルゴリズムをＣＶＸＯＰＴと書くことにする。ステップＳ１１３は、以下の関数ＣＶＸＯＰＴを実行することにより実現される。関数ＣＶＸＯＰＴは次のような入出力をもつ関数である。
・入力（二つ）
－領域｛ｑ∈Ｒ^ｄ｜Ａｑ≦ｂ｝
－領域上で定められた目的関数
・出力（一つ）
－目的関数を最小化する領域内の点ｑ^?∈Ｒ^ｄ

［維持置換撹乱実行部１２４］
　維持置換撹乱実行部１２４は、大域的最適解または領域内最適解に基づいて、入力されたデータの維持置換撹乱を実行する（Ｓ１２４）。

＜アルゴリズム１：本実施例の装置の具体的なアルゴリズム＞
　本実施例の維持置換確率生成装置１１、維持置換撹乱装置１２の動作は、例えば以下に示すアルゴリズム１で実現される。
Ｉｎｐｕｔ：ｖ（ヒストグラム）、ε（プライバシー保護指標）
Ｏｕｔｐｕｔ：||Ｐｖ－ｖ||を最小化するような遷移行列Ｐに従い、ε差分プライバシーを満たす維持置換攪乱済みデータ
１：ｖを降順に並び替える
２：Ａ，ｂ←Ｍａｋｅ　ｄｏｍａｉｎ（ｖ，ε）
３：ｉｆ　ｖ_１＞ｅ^ε・ｖ_ｄ　ｔｈｅｎ（大域的最適解の存在判定：存在しない場合１）
４：（ｑ_１，…，ｑ_ｄ）←ＣＶＸＯＰＴ（Ａ，ｂ，||Ｐｖ－ｖ||）

（大域的最適解の存在判定：存在しない場合２）
６：（ｑ_１，…，ｑ_ｄ）←ＣＶＸＯＰＴ（Ａ，ｂ，||Ｐｖ－ｖ||）
７：ｅｌｓｅ　（大域的最適解が存在する場合）

１０：ｅｎｄ　ｉｆ
１１：ｑ_１，…，ｑ_ｄを元のｖに対応するよう並び替える
１２：Ｐ←（ｑ_１，…，ｑ_ｄ）：遷移行列を作る
１３：Ｐに従う維持置換攪乱済みデータを出力

　アルゴリズム１の３行目と５行目において、大域的最適解が存在しない場合について二つの条件を設定しているのは、以下の理由である。大域的最適解が存在することは、以下の(i)、または(ii)かつ(iii)で表すことができる。

　なお、ｔ∈［０，１］であり、Ｄ_ε，ｄはアルゴリズムの入力の一つの領域を表す。すなわち、(i)⇔(ii)かつ(iii)であるため、大域的最適解が存在しない場合は、
not(i)⇔not((ii)かつ(iii))
　　　⇔not(ii)またはnot(iii)
である。従って、

または

を満たすことに相当し、最初の不等式がアルゴリズム１における３行目、二番目の不等式がアルゴリズム１における５行目の条件に、それぞれ相当している。

＜実施例１の維持置換確率生成装置１１、維持置換撹乱装置１２がもたらす効果＞
　従来手法より精度の高い分析を可能にするプライバシー保護が実現する。

＜補記＞
　本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、ＣＰＵ（Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい）、メモリであるＲＡＭやＲＯＭ、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、ＣＰＵ、ＲＡＭ、ＲＯＭ、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、ＣＤ－ＲＯＭなどの記録媒体を読み書きできる装置（ドライブ）などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

　ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるＲＯＭに記憶させておくこととしてもよい）。また、これらのプログラムの処理によって得られるデータなどは、ＲＡＭや外部記憶装置などに適宜に記憶される。

　ハードウェアエンティティでは、外部記憶装置（あるいはＲＯＭなど）に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にＣＰＵで解釈実行・処理される。その結果、ＣＰＵが所定の機能（上記、…部、…手段などと表した各構成要件）を実現する。

　本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。

　既述のように、上記実施形態において説明したハードウェアエンティティ（本発明の装置）における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

　上述の各種の処理は、図４に示すコンピュータの記録部１００２０に、上記方法の各ステップを実行させるプログラムを読み込ませ、制御部１００１０、入力部１００３０、出力部１００４０などに動作させることで実施できる。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、ＤＶＤ（Digital Versatile Disc）、ＤＶＤ－ＲＡＭ（Random Access Memory）、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ－Ｒ（Recordable）／ＲＷ（ReWritable）等を、光磁気記録媒体として、ＭＯ（Magneto-Optical disc）等を、半導体メモリとしてＥＥＰ－ＲＯＭ（Electrically Erasable and Programmable-Read Only Memory）等を用いることができる。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　ｄを２以上の整数とし、ｄ個の属性値のそれぞれに対して、所定の属性値の維持確率と、前記所定の属性値を他の属性値に一様な確率で置換する場合の置換確率群とを前記所定の属性値に対応する列または行とし、各属性値に対応する列または行を、行または列方向に配置してなる遷移行列Ｐと、前記属性値のヒストグラムのベクトル表現ｖが||Ｐｖ－ｖ||＝０となる各属性値の置換確率である大域的最適解の有無を判定し、前記大域的最適解が有る場合に前記大域的最適解を出力する大域的最適解判定部と、
　前記大域的最適解が無い場合に、１≦ｉ≦ｄ，１≦ｊ≦ｄかつｉ≠ｊを満たすｉ番目とｊ番目の属性値に対応する置換確率の座標（ｘ，ｙ）＝（ｑ_ｉ，ｑ_ｊ）が満たすべき領域であって、ｉ番目とｊ番目の属性値に対応する双方の置換確率がε差分プライバシーを満たす条件と等価な不等式と、ｉ番目とｊ番目の属性値に対応する一方の置換確率と他方の維持確率がε差分プライバシーを満たす条件と等価な不等式から定義される領域を生成する領域生成部と、
　前記領域内で||Ｐｖ－ｖ||を最小化する領域内最適解を生成して出力する領域内最適解生成部を含む
　維持置換確率生成装置。
　請求項１に記載の維持置換確率生成装置であって、
　前記領域生成部は、
　ｉ番目とｊ番目の属性値に対応する双方の置換確率がε差分プライバシーを満たす条件と等価な二つの不等式と、ｉ番目の属性値に対応する維持確率とｊ番目の属性値に対応する置換確率がε差分プライバシーを満たす条件と等価な二つの不等式と、ｉ番目の属性値に対応する置換確率とｊ番目の属性値に対応する維持確率がε差分プライバシーを満たす条件と等価な二つの不等式、すなわち六つの不等式から定義される領域を生成する
　維持置換確率生成装置。
　ｄを２以上の整数とし、ｄ個の属性値のそれぞれに対して、所定の属性値の維持確率と、前記所定の属性値を他の属性値に一様な確率で置換する場合の置換確率群とを前記所定の属性値に対応する列または行とし、各属性値に対応する列または行を、行または列方向に配置してなる遷移行列Ｐと、前記属性値のヒストグラムのベクトル表現ｖが||Ｐｖ－ｖ||＝０となる各属性値の置換確率である大域的最適解の有無を判定し、前記大域的最適解が有る場合に前記大域的最適解を出力する大域的最適解判定部と、
　前記大域的最適解が無い場合に、１≦ｉ≦ｄ，１≦ｊ≦ｄかつｉ≠ｊを満たすｉ番目とｊ番目の属性値に対応する置換確率の座標（ｘ，ｙ）＝（ｑ_ｉ，ｑ_ｊ）が満たすべき領域であって、ｉ番目とｊ番目の属性値に対応する双方の置換確率がε差分プライバシーを満たす条件と等価な不等式と、ｉ番目とｊ番目の属性値に対応する一方の置換確率と他方の維持確率がε差分プライバシーを満たす条件と等価な不等式から定義される領域を生成する領域生成部と、
　前記領域内で||Ｐｖ－ｖ||を最小化する領域内最適解を生成して出力する領域内最適解生成部と、
　前記大域的最適解または前記領域内最適解に基づいて、入力されたデータの維持置換撹乱を実行する維持置換撹乱実行部を含む
　維持置換撹乱装置。
　請求項３に記載の維持置換撹乱装置であって、
　前記領域生成部は、
　ｉ番目とｊ番目の属性値に対応する双方の置換確率がε差分プライバシーを満たす条件と等価な二つの不等式と、ｉ番目の属性値に対応する維持確率とｊ番目の属性値に対応する置換確率がε差分プライバシーを満たす条件と等価な二つの不等式と、ｉ番目の属性値に対応する置換確率とｊ番目の属性値に対応する維持確率がε差分プライバシーを満たす条件と等価な二つの不等式、すなわち六つの不等式から定義される領域を生成する
　維持置換撹乱装置。
　ｄを２以上の整数とし、ｄ個の属性値のそれぞれに対して、所定の属性値の維持確率と、前記所定の属性値を他の属性値に一様な確率で置換する場合の置換確率群とを前記所定の属性値に対応する列または行とし、各属性値に対応する列または行を、行または列方向に配置してなる遷移行列Ｐと、前記属性値のヒストグラムのベクトル表現ｖが||Ｐｖ－ｖ||＝０となる各属性値の置換確率である大域的最適解の有無を判定し、前記大域的最適解が有る場合に前記大域的最適解を出力するステップと、
　前記大域的最適解が無い場合に、１≦ｉ≦ｄ，１≦ｊ≦ｄかつｉ≠ｊを満たすｉ番目とｊ番目の属性値に対応する置換確率の座標（ｘ，ｙ）＝（ｑ_ｉ，ｑ_ｊ）が満たすべき領域であって、ｉ番目とｊ番目の属性値に対応する双方の置換確率がε差分プライバシーを満たす条件と等価な不等式と、ｉ番目とｊ番目の属性値に対応する一方の置換確率と他方の維持確率がε差分プライバシーを満たす条件と等価な不等式から定義される領域を生成するステップと、
　前記領域内で||Ｐｖ－ｖ||を最小化する領域内最適解を生成して出力するステップを含む
　維持置換確率生成方法。
　ｄを２以上の整数とし、ｄ個の属性値のそれぞれに対して、所定の属性値の維持確率と、前記所定の属性値を他の属性値に一様な確率で置換する場合の置換確率群とを前記所定の属性値に対応する列または行とし、各属性値に対応する列または行を、行または列方向に配置してなる遷移行列Ｐと、前記属性値のヒストグラムのベクトル表現ｖが||Ｐｖ－ｖ||＝０となる各属性値の置換確率である大域的最適解の有無を判定し、前記大域的最適解が有る場合に前記大域的最適解を出力するステップと、
　前記大域的最適解が無い場合に、１≦ｉ≦ｄ，１≦ｊ≦ｄかつｉ≠ｊを満たすｉ番目とｊ番目の属性値に対応する置換確率の座標（ｘ，ｙ）＝（ｑ_ｉ，ｑ_ｊ）が満たすべき領域であって、ｉ番目とｊ番目の属性値に対応する双方の置換確率がε差分プライバシーを満たす条件と等価な不等式と、ｉ番目とｊ番目の属性値に対応する一方の置換確率と他方の維持確率がε差分プライバシーを満たす条件と等価な不等式から定義される領域を生成するステップと、
　前記領域内で||Ｐｖ－ｖ||を最小化する領域内最適解を生成して出力するステップと、
　前記大域的最適解または前記領域内最適解に基づいて、入力されたデータの維持置換撹乱を実行するステップを含む
　維持置換撹乱方法。
　コンピュータを請求項１または２に記載の維持置換確率生成装置として機能させるプログラム。
　コンピュータを請求項３または４に記載の維持置換撹乱装置として機能させるプログラム。