WO2021112216A1

WO2021112216A1 - データ分析システムおよびデータ分析方法

Info

Publication number: WO2021112216A1
Application number: PCT/JP2020/045220
Authority: WO
Inventors: 熊谷　洋子; 鍛　忠司; 繁幸谷; 宏樹内山; オニバンバス; 千秋太田原
Original assignee: 株式会社日立製作所
Priority date: 2019-12-05
Filing date: 2020-12-04
Publication date: 2021-06-10
Also published as: JP2021089679A; US20220382711A1; EP4071698A1

Abstract

【解決手段】データ分析システム（Ｓ）は、データ分析サーバ（１１）と、分析対象のデータを保持するデータ保持システム（１２）と、分析端末（１４）とを含む。データ分析サーバ（１１）は、分析端末（１４）からの分析要求に応じて、データ保持システム（１２）に対して、充足すべき要件に基づくデータの分析依頼を送信し、データ保持システム（１２）から受信した要件に基づくデータの分析結果を分析端末（１４）へ送信する。データ保持システム（１２）は、分析依頼に応じて、要件に基づいてデータを分析して分析結果を分析端末（１４）へ送信する。

Description

データ分析システムおよびデータ分析方法

　開示される主題は、データ分析システムおよびデータ分析方法に関する。

　近年、人の行動や企業活動が生み出すデータを企業間で活用し、競争力向上に活かす「データエコノミー」が拡大してきている。自組織が保持するデータだけでなく、他の組織が持つデータと組み合わせることで、新たなサービスを提供する試みがなされている。

　しかしながら、組織が保持するデータには、氏名、住所等の「個人情報」や、政治的見解、信教、保険医療情報等の「機微情報」、企業のノウハウ等の「企業秘密情報」などの、セキュアに管理すべき情報（ここではこれらのいずれか一つ以上を含む組織外には秘密にすべき情報を「機密データ」と呼ぶ）を含む場合が多く存在する。このため、組織外にデータを出すことが困難であり、組織間でのデータを組み合わせた分析をすることができず、データエコノミー実現の足かせとなっている。

　このような課題に対して、従来はデータを匿名化させた上で組織外に出すことを可能とし、匿名化させたデータ同士を組み合わせて分析する取り組みがなされている。匿名化の技術としては、例えば特許文献１のような方法が存在する。

　また、非特許文献１では、個人情報保護の観点から、個人が個人のデータの使用を制御できる手段としてDataboxという機器を個人の側に設置し、Databoxで集計等の処理を行い、個人情報を削除した状態でサーバにデータを収集するという方法が述べられている。

　さらに、特許文献２では、センサー等の入力デバイスで得られたデータを、複数に分割したうえで、分割した各データを異なるクラウドサーバへ送信し、各クラウドサーバで統計処理を行う。各クラウドサーバにおける統計処理を統計処理結果提供サービスにて収集し、全体の統計処理を行う方法が述べられている。データを複数に分割することで、いずれかのクラウドでデータが漏洩しても秘匿性を保つという方法である。

特開２０１９-１５３０６０号公報特開２０１５-１５８９３５号公報

Andy Crabtree他、"Building accountability into the Internet of Things: the IoT Databoxmodel"、[online]、27 January 2018、[令和1年10月15日検索]、インターネット＜URL：https://link.springer.com/article/10.1007/s40860-018-0054-5＞

　上記特許文献１では、匿名化された情報を組織間で活用した分析が可能となる。この場合、匿名化情報での分析は可能であるが、機密データを含めた状態でのよりきめ細やかなデータ分析をどう実施するかについては開示がない。

　非特許文献１においても、Databoxにおいて個人情報を削除するため、サーバでは個人情報が含まれない匿名化情報と同等の情報が収集される。すなわち、本方式でも機密データを含めた状態での分析はできない。

　同様に、特許文献２においても、データを分割することで匿名化と同じ効果が働くため、機密データを含めた状態での分析はできない。

　以上より、本願は、各組織が保持する機密データを含むデータを活用した分析を、各組織外に出すことなく実現することを一つの目的とする。

　上記課題を解決するために、本発明においては、一態様として、データ分析サーバと、分析対象のデータを保持するデータ保持システムと、分析端末とを含んだデータ分析システムにおいて、前記データ分析サーバは、前記分析端末からの分析要求に応じて、前記データ保持システムに対して、前記データの分析が充足すべき要件に基づく前記データの分析依頼を送信し、前記データ保持システムから受信した前記要件に基づく前記データの分析結果を前記分析端末へ送信し、前記データ保持システムは、前記分析依頼に応じて、前記要件に基づいて前記データを分析して分析結果を前記分析端末へ送信するようにした。

　本発明によれば、例えば、各組織が保持する機密データを含むデータを活用した分析を、各組織外に出すことなく実現できる。

実施例１に係るデータ分析システムの構成を例示する図である。図１に示すデータ分析サーバの内部構成を例示する図である。図１に示すデータ保持システムの内部構成を例示する図である。データ保持システムが保持するデータを例示する図である。図１に示す分析ロジック作成端末の内部構成を例示する図である。図１に示す分析端末の内部構成を例示する図である。図１に示すデータ分析サーバ、データ保持システム、分析ロジック作成端末、および分析端末のハードウェア構成を例示する図である。実施例１に係る分析ロジック登録フローを例示する図である。実施例１に係るデータ分析システムにおいて、データ分析サーバが保持するＤＢ情報管理テーブルのテーブル構成を例示する図である。実施例１に係るデータ分析システムにおいて、データ分析サーバが保持する分析ロジックテーブルのテーブル構成を例示する図である。実施例１に係る分析ステップの処理フローを例示する図である。実施例２に係る分析ステップの処理フローを例示する図である。実施例３に係る分析ステップの処理フローを例示する図である。実施例４に係る分析ステップの処理フローを例示する図である。実施例１に係る分析ステップにおいて、分析端末が出力する分析要求および分析結果の表示画面を例示する図である。

　以下、本発明の実施に好適な実施例を説明する。以下において、同一または類似の要素および処理に同一の符号を付し、重複説明を省略する。また、後出の実施例では、既出の実施例との差異を説明し、重複説明を省略する。

　また、以下の説明および各図で示す構成および処理は、本発明の理解および実施に必要な程度で実施例の概要を例示するものであり、本発明に係る実施の態様を限定することを意図する趣旨ではない。また、各実施例および各変形例は、本発明の趣旨を逸脱せず、互いに整合する範囲内で、一部または全部を組合せることができる。

＜実施例１に係るデータ分析システムＳの構成＞
　図１は、実施例１に係るデータ分析システムＳの構成を例示する図である。本実施例のデータ分析システムＳは、図１に例示するように、他組織が持つデータを対象にしたデータ分析を実施する分析端末１４_１～１４_Ｍ（「分析端末１４」と総称する）と、機密情報を含むデータを保持するデータ保持システム１２_１～１２_Ｌ（「データ保持システム１２」と総称する）と、分析端末１４とデータ保持システム１２間のやり取りを取り持つことで分析端末１４によるデータ分析を可能とするプラットフォームであるデータ分析サーバ１１と、分析端末１４が実行可能な分析ロジックを作成しデータ分析サーバ１１に登録する分析ロジック作成端末１３_１～１３_Ｎ（「分析ロジック作成端末１３」と総称する）と、ネットワーク１５を含んで構成されている。

　各データ保持システム１２は、それぞれ別の組織が管理していることを想定する。また、各分析ロジック作成端末１３は、データ保持システム１２を管理している組織と同一の組織に属することもできるし、データ保持システム１２の管理組織とは異なる組織に属することもできる。各分析端末１４も同様に、データ保持システム１２を管理している組織と同一の組織に属することもでき、あるいはデータ保持システム１２の管理組織とは異なる組織に属することもできる。データ分析サーバ１１は、他装置とは異なる組織が管理することを想定するが、いずれかの装置の管理組織と同一の組織が管理してもよい。

　なお、本明細書では、同一のデータ開示ポリシーの適用が及ぶ範囲を「組織」という。よって、「組織」が保持するデータは、同一のデータ開示ポリシーの適用が及ばない範囲外へは、開示されない。

　次に、図１のデータ分析システムＳを構成する各装置について説明する。

　まず、図２を用いて、データ分析サーバ１１を説明する。図２は、図１に示すデータ分析サーバ１１の内部構成を例示する図である。データ分析サーバ１１は、処理部２０ａと、記憶部２０ｂと、ネットワーク１５を介して他装置と通信を行うための通信部２０ｃと、データ分析サーバ１１のユーザから指示を受け取ったりユーザへ分析結果の表示等を行ったりする入出力部２０ｄと、を有する。

　処理部２０ａは、データ保持システム１２から要求されるＤＢ（Data Base）情報登録要求を受け取り、ＤＢ情報管理ＴＢＬ（Table）保持部２５にＤＢ情報を登録するＤＢ情報管理部２１と、分析ロジック作成端末１３から要求される分析ロジック登録要求を受け取り、分析ロジックＴＢＬ保持部２６に分析ロジックを登録する分析ロジック管理部２２と、分析端末１４から要求される分析要求に基づきデータ分析に関する処理を行う分析部２３と、データ分析サーバ１１の各部を統括的に制御する制御部２４と、を有する。

　記憶部２０ｂは、データ保持システム１２から登録されるＤＢ情報を格納するＤＢ情報管理テーブル８００（図９を参照して後述）を保持するＤＢ情報管理ＴＢＬ保持部２５と、分析ロジック作成端末１３から登録される分析ロジックの情報を格納する分析ロジックテーブル９００（図１０を参照して後述）を保持する分析ロジックＴＢＬ保持部２６と、分析ロジックの実行に必要な実行ファイルなどのエージェント情報を保持する分析ロジック保持部２７と、を有する。

　次に、図３を用いて、データ保持システム１２を説明する。図３は、図１に示すデータ保持システム１２の内部構成を例示する図である。データ保持システム１２は、処理部３０ａと、記憶部３０ｂと、ネットワーク１５を介して他装置と通信を行うための通信部３０ｃと、データ保持システム１２のユーザから指示を受け取ったりユーザへ分析結果の表示等を行ったりする入出力部３０ｄと、を有する。

　処理部３０ａは、データ保持部３４に格納されるデータの管理やデータ分析サーバ１１へそのＤＢ情報の登録を行うＤＢ情報管理部３１と、データ分析サーバ１１から受信した分析エージェントを実行させることでデータ保持部３４のデータ分析を行う分析部３２と、データ保持システム１２の各部を統括的に制御する制御部３３と、を有する。

　記憶部３０ｂは、データ保持システム１２が管理する機密データを含むデータを保持するデータ保持部３４を有する。図４は、図３に示すデータ保持部３４に保持されるデータを例示する図である。データ保持部３４には、図４に示すようなデータベーステーブルＴ１が格納されている。データベーステーブルＴ１は、企業などの組織ごとのデータを格納する。図４に示す例では、データベーステーブルＴ１は、取引日時を格納するカラムＴ１１、取引先企業名を格納するカラムＴ１２、購入品の名称を格納するカラムＴ１３、および品質の情報を格納するカラムＴ１４を有する。

　次に、図５を用いて、分析ロジック作成端末１３を説明する。図５は、図１に示す分析ロジック作成端末１３の内部構成を例示する図である。分析ロジック作成端末１３は、処理部４０ａと、記憶部４０ｂと、ネットワーク１５を介して他装置と通信を行うための通信部４０ｃと、分析ロジック作成端末１３のユーザから指示を受け取ったりユーザへ分析結果の表示等を行ったりする入出力部４０ｄと、を有する。

　処理部４０ａは、データ分析サーバ１１からＤＢ情報を取得したり、取得したＤＢ情報をＤＢ情報管理ＴＢＬ保持部４４に格納したりするＤＢ情報管理部４１と、ＤＢ情報管理ＴＢＬ保持部４４に格納されたＤＢ情報を参考に、分析ロジックを作成する分析ロジック作成部４２と、分析ロジック作成端末１３の各部を統括的に制御する制御部４３と、を有する。

　記憶部４０ｂは、データ分析サーバ１１から取得したＤＢ情報を管理するＤＢ情報管理ＴＢＬ保持部４４と、分析ロジック作成部４２で作成した分析ロジックを格納する分析ロジック保持部４５と、を有する。

　次に、図６を用いて、分析端末１４を説明する。図６は、図１に示す分析端末１４の内部構成を例示する図である。分析端末１４は、処理部５０ａと、記憶部５０ｂと、ネットワーク１５を介して他装置と通信を行うための通信部５０ｃと、分析端末１４のユーザから指示を受け取ったりユーザへ分析結果の表示等を行ったりする入出力部５０ｄと、を有する。

　処理部５０ａは、データ分析サーバ１１からＤＢ情報や分析ロジックを取得し、ＤＢ情報管理ＴＢＬ保持部５４や分析ロジック保持部５５に格納および管理するＤＢ情報および分析ロジック管理部５１と、これらの情報を活用して具体的な分析要求の作成や分析結果の受信、表示、管理を行う分析要求作成および結果管理部５２と、分析端末１４の各部を統括的に制御する制御部５３と、を有する。

　記憶部５０ｂは、データ分析サーバ１１から取得したＤＢ情報を管理するＤＢ情報管理ＴＢＬ保持部５４と、データ分析サーバ１１から取得した分析ロジックを格納する分析ロジック保持部５５と、分析端末１４で作成した分析要求やデータ分析サーバ１１から取得した分析結果を保持する分析要求および分析結果保持部５６と、を有する。

　図７は、図１に示すデータ分析サーバ１１、データ保持システム１２、分析ロジック作成端末１３、および分析端末１４のハードウェア構成を例示する図である。これらの各装置は、通信装置６１と、キーボードなどの入力部およびディスプレイなどの表示部を含む入出力装置６２と、ストレージなどの記憶装置６３と、ＣＰＵ６４と、ＲＡＭなどのメモリ６５と、がバスなどの内部通信線６６で接続されて構成されたコンピュータ６０上で、ＣＰＵ６４およびメモリ６５の協働によりプログラムが実行されることで実現される。

　次に、本実施例のデータ分析システムＳにおける処理フローについて説明する。以下に述べる処理フローは、データ分析サーバ１１、データ保持システム１２、分析ロジック作成端末１３、分析端末１４のそれぞれにおいて、記憶装置に格納された各プログラムがメモリにロードされ、ＣＰＵにより実行されることにより、データ分析システムＳを構成する各装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置に格納されてもよい。また各プログラムは、予め非一時的な可搬型記録媒体に記録され、媒体読み取り装置によって可搬型記録媒体から読み出され、または、他の装置の非一時的な記憶装置から通信媒体（ネットワークまたはネットワークを伝搬する搬送波）を介して取得されるなど、必要なときに導入されてもよい。

　本実施例に係るデータ分析システムＳにおける処理は、事前にデータ保持システム１２や分析ロジック作成端末１３からデータ分析サーバ１１に対してＤＢ情報や分析ロジックを登録する分析ロジック登録ステップと、分析ロジック登録ステップで登録された情報を活用して実際の分析を行う分析ステップと、の２つのステップからなる。

＜実施例１に係るデータ分析システムＳにおける分析ロジック登録ステップ＞
　図８を参照し、実施例１に係るデータ分析システムＳにおける分析ロジック登録ステップの処理フローを説明する。図８は、実施例１に係る分析ロジック登録フローを例示する図である。

　はじめに、データ保持システム１２は、データ分析サーバ１１へアクセスして、データ保持システム１２が保持するデータのＤＢ情報をデータ分析サーバ１１へ登録する（ステップＳ７０１、ステップＳ７０２（Ｓ７０１、Ｓ７０２と表現する。以下同様））。データ分析サーバ１１は、データ保持システム１２から登録されたＤＢ情報をＤＢ情報管理ＴＢＬ保持部２５に保持するＤＢ情報管理テーブル８００に登録しテーブル更新する（Ｓ７０３）。

　図９を参照して、実施例１に係るＤＢ情報を管理するＤＢ情報管理テーブル８００のテーブル構成を説明する。図９は、実施例１に係るデータ分析システムＳにおいて、データ分析サーバ１１が保持するＤＢ情報管理テーブル８００のテーブル構成を例示する図である。

　ＤＢ情報管理テーブル８００は、ＤＢ情報を登録したデータ保持システム１２の名称を示すデータ保持システム名８０１と、当該データ保持システム１２の属性情報であるデータ保持システムの属性８０２と、データ保持システム１２が保持するデータの項目名を示す項目名８０３と、各項目の説明を示す概要８０４と、各項目の書式情報を示す書式８０５と、各項目に対する要件を示す要件８０６と、を含んで構成される。

　データ保持システムの属性８０２は、例えば、当該データ保持システム１２を保有する企業の業種の情報や、当該データ保持システム１２が保持するデータの種別や、当該データ保持システム１２を保有する企業の従業員数や地域の情報等が記述可能であり、これ以外の情報を記述することも可能である。

　項目名８０３は、各データ保持システム１２が有するデータベーステーブルのカラム名に該当する。データ保持システム名８０１が「データ保持システムＡ（企業Ａ）」であるデータ保持システム１２が、図４に例示するデータベーステーブルＴ１を格納している場合には、図９に示すように、ＤＢ情報管理テーブル８００において、「データ保持システムＡ（企業Ａ）」に対応付けられて、データベーステーブルＴ１のカラムＴ１１～Ｔ１４の各名称が項目名８０３に格納される。

　また、要件８０６には、当該項目を分析する際に充足されるべき要件が記述される。要件８０６は、例えば、「個人情報」、「機微情報」、「企業の秘密情報」、「推定可能なプライバシー情報」などのうちの少なくとも１つを含む機密データも当該データ保持システム１２の外部へ出力しないことである。例えば、データ保持システム１２の名称と取引先企業名の関係性が分かる情報が、当該データ保持システム１２を保有する企業にとって機密情報となる場合に、その関係性が分析結果に含まれないことが要件として記述される。

　要件８０６は、図９に示すように、出力禁止範囲および／または出力許可範囲を指定することで記述してもよい。例えば、当該データ保持システム１２の名称（データ保持システムＡ）と取引先企業名の関係性が分かる情報を出力しないことを要件として規定する場合は、「出力禁止範囲」として「「データ保持システムＡ」と「取引先企業名」の関係」を記述する。また、例えば、当該データ保持システム１２の名称（データ保持システムＡ）が匿名化される場合は当該データ保持システム１２の名称を出力してよいことを要件として規定する場合は、「出力許可範囲」として「「データ保持システムＡ」の名称が匿名化される場合は出力可」を記述する。データの抽象化も、匿名化と同様である。

　なお、図９において、１つのデータ保持システム名８０１に対応付けられたデータ群が１つのデータ保持システム１２のＤＢ情報である。各データ保持システム１２は、自システムから登録されたＤＢ情報を、Ｓ７０１，Ｓ７０２のように、データ分析サーバ１１へ送信する。

　図８へ説明を戻す。次に、分析ロジック登録フローでは、分析ロジック作成端末１３は、データ分析サーバ１１にアクセスし（Ｓ７０４）、ＤＢ情報管理テーブル８００に記述されたＤＢ情報を取得し、当該分析ロジック作成端末１３のＤＢ情報管理ＴＢＬ保持部４４に格納する（Ｓ７０５）。

　分析ロジック作成端末１３は、当該取得したＤＢ情報を活用し、実行したい分析内容を実現する分析ロジックを作成する（Ｓ７０６）。具体的には、分析ロジック作成端末１３のユーザが、ＤＢ情報を参照しながら、各データ保持システム１２が保持するデータ項目をどのように活用すると、実行したい分析内容を実現できるかを検討し、分析ロジック作成部４２によりロジックを作成し、作成した分析ロジックを分析ロジック保持部４５へ格納する。

　分析ロジック作成端末１３は、Ｓ７０６で作成した分析ロジックを、データ分析サーバ１１に対して送付し、当該分析ロジックの登録要求を行う（Ｓ７０７）。

　当該分析ロジックの登録要求を受信したデータ分析サーバ１１は、当該分析ロジックの内容を審査する（Ｓ７０８）。具体的には、データ分析サーバ１１のユーザが登録要求のなされた分析ロジックの中身を目視で確認し、当該分析ロジックの内容が、ＤＢ情報管理テーブル８００の要件８０６に記述されている要件を充足するかどうかを確認する。要件を充足している場合、データ分析サーバ１１のユーザは当該分析ロジックをデータ分析サーバ１１に登録許可の旨を入力し、要件を充足していない場合は登録不許可の旨を入力する。

　なおＳ７０８において、データ分析サーバ１１は、ユーザによる分析ロジックの目視確認に代えて、登録要求のなされた分析ロジックがＤＢ情報管理テーブル８００の要件８０６に記述されている要件を充足するか否かの自動判定を行ってもよい。例えば要件をコード化あるいは定式化することで、コンピュータ処理での要件充足判断を行ってもよい。

　データ分析サーバ１１は、Ｓ７０８の審査結果が登録許可の場合は、当該分析ロジックの登録処理を行う（Ｓ７０９）。具体的には、当該分析ロジックの情報を分析ロジックＴＢＬ保持部２６に保持する分析ロジックテーブル９００に追加するとともに、分析ロジック保持部２７に分析ロジックの実行ファイルを格納する。

　ここで図１０を参照して、実施例１に係る分析ロジックテーブル９００のテーブル構成を説明する。図１０は、実施例１に係るデータ分析システムＳにおいて、データ分析サーバ１１が保持する分析ロジックテーブル９００のテーブル構成を例示する図である。

　分析ロジックテーブル９００は、分析ロジックの識別子である分析ロジックＩＤ９０１と、分析ロジックの名称である分析ロジック名９０２と、分析ロジックの処理内容を説明する分析ロジック概要９０３と、当該分析ロジックに必要な入力値を示す入力９０４と、当該分析ロジックを実行した結果得られる出力値を示す出力９０５と、当該分析ロジックの実行プログラムを示す機能９０６と、を含んで構成される。

　分析ロジック登録フローの最終ステップでは、データ分析サーバ１１は、分析ロジックの登録結果を分析ロジック作成端末１３へ送付する（Ｓ７１０）。具体的には、Ｓ７０８で登録不許可の判断がなされた場合は登録不許可の旨を送付し、Ｓ７０８で登録許可であり、Ｓ７０９で問題なく登録が実行された場合には、登録許可および登録済みの旨を送付する。

＜実施例１の分析ステップの処理フロー＞
　図１１は、実施例１に係る分析ステップの処理フローを例示する図である。図１１は、データ分析システムＳにおける分析ステップの実施例１として、図１０に例示した４つの分析ロジックのうち、分析ロジックＩＤ「L01」（不正企業との取引有無チェック）の分析ロジックを実行した場合の処理フローの例である。本分析ロジックは、同じ種類の分析要求（分析エージェント）を１つ以上のデータ保持システム１２へ送付し、分析した結果を分析端末１４へ送付するパターンである。

　図１０の分析ロジックＩＤ「L01」の分析ロジックにおいて、機能９０６に記載されている分配の実行ファイル「L01-01」は分析ロジック概要９０３に記載されているロジックに対応する実行ファイルである。必要なパラメータなどと共に分配の実行ファイル「L01-01」に基づいて生成された分析エージェントは、対象のデータ保持システム１２へ送信される。

　はじめに、分析端末１４は、データ分析サーバ１１にアクセスし（Ｓ１００１）、ＤＢ情報および分析ロジック情報を取得する（Ｓ１００２）。分析端末１４は、取得したＤＢ情報をＤＢ情報管理ＴＢＬ保持部５４に、分析ロジック情報を分析ロジック保持部５５に格納する。

　分析端末１４は、当該取得したＤＢ情報および分析ロジック情報を活用し、分析要求を作成する（Ｓ１００３）。具体的には、分析端末１４のユーザが、ＤＢ情報および分析ロジック情報を参照しながら、実行したい分析ロジックの選定や、当該選定した分析ロジックの入力値にどのような値を設定するのかを決定し、分析要求作成および結果管理部５２を用いて分析要求の電文を作成する。分析端末１４は、Ｓ１００３で作成した分析要求をデータ分析サーバへ送信する（Ｓ１００４）。

　データ分析サーバ１１は、分析端末１４から分析要求を受信すると、当該分析要求に基づき、送信先の各データ保持システム１２で実行可能な分析エージェントを生成する（Ｓ１００５）。

　例えば、図１０の分析ロジックＩＤ「L01」の場合は、複数のデータ保持システム１２に対して、当該データ保持システム１２のデータの中に、分析要求の入力として設定された不正企業名のリストのいずれかの企業名がマッチするかどうかの分析要求を行う必要がある。このため、各データ保持システム１２向けの分析要求として、不正企業名のリストのいずれかの企業名がデータ保持システム１２のデータベースに含まれるかを検索し、検索結果を応答するような分析エージェントを生成する。

　なお、各データ保持システム１２のＤＢ構成は異なる場合も考えられ、各データ保持システム１２のデータベースの何れの項目に対して検索をかけるべきかを判断し、各データ保持システム１２のデータベース構成に合致するようにそれぞれの分析エージェントを生成する。このようにすることで、各データ保持システム１２のＤＢ構成が異なる場合でも、分析エージェントによるデータ分析を行うことができる。

　データ分析サーバ１１は、Ｓ１００５で生成した分析要求である分析エージェントを、分析対象であるデータ保持システム１２_１およびデータ保持システム１２_２に対して送付する（Ｓ１００６、Ｓ１０１０）。

　データ保持システム１２_１およびデータ保持システム１２_２は、データ分析サーバ１１から分析エージェントを受信すると、分析部３２で分析エージェントを実行させることで分析を行う（Ｓ１００７、Ｓ１０１１）。具体的には、分析エージェントは、データ保持部３４に格納されたデータベーステーブルＴ１（図４参照）に対して、次のような処理を実行する。

　例えば、分析エージェントは、分析端末１４で設定された不正企業名である「Ｘ企業」、「Ｙ企業」、「Ｚ企業」を検索キーに、ある組織のデータ保持システム１２のデータベーステーブルＴ１の「取引先企業名」の列を検索する。図４のデータベーステーブルＴ１の例の場合、３行目のレコードが不正企業名「Ｘ企業」とマッチするため、分析エージェントは、当該組織と不正企業（「Ｘ企業」、「Ｙ企業」、「Ｚ企業」）との取引有無の分析で１件マッチしたという結果を取得する。分析エージェントは、取得した結果をデータ分析サーバ１１へそれぞれ送付する（Ｓ１００８、Ｓ１０１２）。

　データ分析サーバ１１は、データ保持システム１２から受信した分析結果をそれぞれ分析端末１４へ送付する（Ｓ１００９、Ｓ１０１３）。

　なお、分析エージェントの送付先であるデータ保持システム１２は、２つに限定するものではなく、３つ以上でもよい。

　実施例１の分析ステップによれば、分析結果を受信した分析端末１４では、各データ保持システム１２が行った不正企業名リストに記録された不正企業との取引有無を把握できるが、具体的にどの不正企業と取引があるのかは分からない。すなわち、分析ロジック登録フローにおいて、機密データを組織外へ出さない分析ロジックを登録し、分析処理フローでは当該分析ロジックを各データ保持システム１２へ送付し、各データ保持システム１２内で当該分析ロジックの実行結果である分析結果を受け取ることで、機密データをデータ保持システム１２から外部へ出さずに、機密データを対象とした分析が可能となる。

　すなわち、本実施例によれば、データ分析者は、自身が所属する組織とは異なる他組織が保持する機密データを当該他組織から外部へ出すことなく、機密データを含むデータを対象にして分析を実施することができる。また、組織が保持するデータを対象にしたデータ分析の際に当該組織から外部へ機密データが漏洩するリスクを低減しつつ、データ分析の利便性を提供することができる。

　なお、分析対象のデータ保持システム１２は単一でもよい。この場合においても、同様の仕組みにより機密データをデータ保持システム１２から外部へ出さずに、機密データを対象とした分析が可能となる。

＜実施例２の分析ステップの処理フロー＞
　図１２は、実施例２に係る分析ステップの処理フローを例示する図である。図１２は、データ分析システムＳにおける分析ステップの実施例２として、図１０に例示した４つの分析ロジックのうち、分析ロジックＩＤ「L02」（特定企業の品質評価集計）の分析ロジックを実行した場合の処理フローの例である。本分析ロジックは、同じ種類の分析要求（分析エージェント）を２つ以上のデータ保持システム１２へ送付し、分析した結果をデータ分析サーバ１１で統合した上で分析端末１４へ送付するパターンである。

　図１０の分析ロジックＩＤ「L02」の分析ロジックにおいて、機能９０６に記載されている分配の実行ファイル「L02-01」は分析ロジック概要９０３における「ロジックL02-1」に対応する実行ファイルであり、統合の実行ファイル「L02．Integrate」は分析ロジック概要９０３に記載されている「ロジックL02-2」に対応する実行ファイルである。必要なパラメータなどと共に分配の実行ファイル「L02-01」に基づいて生成された分析エージェントは、対象のデータ保持システム１２へ送信される。統合の実行ファイル「L02.Integrate」は、データ分析サーバ１１において、分析端末１４からの分析要求を分割した分析要求の送付対象の各データ保持システム１２から取得した分析結果を統合分析処理する際に実行される。

　実施例１と実施例２の違いは、データ分析サーバ１１が、複数のデータ保持システム１２からの分析結果を統合処理した上で分析端末１４へ送付する点である。具体的には、データ分析サーバ１１は、データ保持システム１２_１およびデータ保持システム１２_２からそれぞれ分析結果を受信すると（Ｓ１００８、Ｓ１０１２）、当該複数の分析結果の統合処理を実施し（Ｓ１１１３）、分析端末１４へ統合した分析結果を送信する（Ｓ１１１４）。

　実施例２によれば、分析結果を受信した分析端末１４では、例えば、特定企業に対する分析対象企業（データ保持システム１２）の評価を、個別ではなく総体的に把握できるが、具体的にどの分析対象企業（データ保持システム１２）が当該特定企業と取引があるかは分からない。すなわち、複数の分析対象企業（データ保持システム１２）での分析結果を統合することで、分析者に対して機密データを開示することなく、機密データを対象とした分析が可能となる。

＜実施例３の分析ステップの処理フロー＞
　図１３は、実施例３に係る分析ステップの処理フローを例示する図である。図１３は、データ分析システムＳにおける分析ステップの実施例３として、図１０に例示した４つの分析ロジックのうち、分析ロジックＩＤ「L03」（検索キーワードの傾向と取引数の相関分析）の分析ロジックを実行した場合の処理フローの例である。本分析ロジックは、異なる種類の分析要求（分析エージェント）を２つ以上のデータ保持システム１２へ、予め定められた順序で送付し、分析結果をデータ分析サーバ１１で統合した上で分析端末１４へ送付するパターンである。

　図１０の分析ロジックＩＤ「L03」において、機能９０６に記載されている分配の実行ファイル「L03-01」は分析ロジック概要９０３に記載されている「ロジックL03-1」に対応する実行ファイルであり、分配の実行ファイル「L03-02」は分析ロジック概要９０３に記載されている「ロジックL03-2」に対応する実行ファイルであり、統合の実行ファイル「L03.Integrate」は分析ロジック概要９０３に記載されている「ロジックL03-3」に対応する実行ファイルである。必要なパラメータなどと共に分配の実行ファイル「L03-01」「L03-02」に基づいて生成された分析エージェントは、対象のデータ保持システム１２へ送信される。統合の実行ファイル「L03.Integrate」は、データ分析サーバ１１において、分析端末１４からの分析要求を分割した分析要求の送付対象の各データ保持システム１２から取得した分析結果を統合および分析処理する際に実行される。

　実施例１および実施例２と、実施例３との違いは、データ分析サーバ１１が各データ保持システム１２へ送付する分析エージェントが、送付先に応じて分析内容が異なる点である。具体的には、データ分析サーバ１１は、分析端末１４のＳ１００３の処理で分析ロジックＩＤ「L03」の分析ロジックが選択されたことに応じて、データ保持システム１２_１に対する分析要求としてＳ１００５の処理で実行ファイル「L03-01」を基に生成した分析エージェントをデータ保持システム１２_１へ送付し（Ｓ１２０６）、データ保持システム１２_２に対する分析要求としてＳ１００５の処理で実行ファイル「L03-02」を基に生成した分析エージェントをデータ保持システム１２_２へ送付する（Ｓ１２０９）。

　各データ分析サーバ１１は、各分析要求に応じて各データ保持システム１２において分析を実行し（Ｓ１２０７、Ｓ１２１０）、分析結果を取得する（Ｓ１２０８、Ｓ１２１１）。データ分析サーバ１１は、それらの分析結果を各データ保持システム１２から取得し、分析結果を統合する（Ｓ１２１２）。そして、データ分析サーバ１１は、統合した分析結果を分析端末１４へ送付する（Ｓ１２１３）。

　実施例３によれば、分析結果を受信した分析端末１４では、例えば、特定地域の検索キーワードの傾向や、当該検索キーワードに対する特定地域の企業の取引数の相関関係は把握できるが、特定個人の検索キーワードや、特定企業の取り引数は把握できない。すなわち、データ保持システム１２側で分析処理を実施し、それらの分析結果を統合することで、機密データを分析者に対して開示せずとも、機密データを対象とした分析が可能となる。

＜実施例４の分析ステップの処理フロー＞
　図１４は、実施例４に係る分析ステップの処理フローを例示する図である。図１４は、データ分析システムＳにおける分析ステップの実施例４として、図１０に例示した４つの分析ロジックのうち、分析ロジックＩＤ「L04」（不正企業のターゲット分析）の分析ロジックを実行した場合の処理フローの例である。本分析ロジックは、異なる種類の分析要求（分析エージェント）のうち、１つを対象のデータ保持システム１２へ送付した後、当該分析結果に基づきもう一方の分析要求（分析エージェント）を他のデータ保持システム１２へ送付し、他のデータ保持システム１２での分析結果をデータ分析サーバ１１で統合および分析処理した上で分析端末１４へ送付するパターンである。

　図１０の分析ロジックＩＤ「L04」において、機能９０６に記載されている分配の実行ファイル「L04-01」は分析ロジック概要９０３に記載されている「ロジックL04-1」に対応する実行ファイルであり、分配の実行ファイル「L04-02」は分析ロジック概要９０３に記載されている「ロジックL04-2」に対応する実行ファイルであり、統合の実行ファイル「L04.Integrate」は分析ロジック概要９０３に記載されている「ロジックL04-3」に対応する実行ファイルである。必要なパラメータなどと共に分配の実行ファイル「L04-01」「L04-02」に基づいて生成された分析エージェントは、対象のデータ保持システム１２へ送信される。統合の実行ファイル「L04.Integrate」は、データ分析サーバ１１において、分析端末１４からの分析要求を分割した分析要求の送付対象の各データ保持システム１２から取得した分析結果を統合および分析処理する際に実行される。

　実施例１、２、３と実施例４の違いは、送付先のデータ保持システム１２に応じてデータ分析サーバ１１が送付する分析エージェントの分析内容が異なる点と、一つの分析結果を基に次の分析要求である分析エージェントを生成し、次のデータ保持システム１２へ送付する点である。具体的には、分析端末１４のＳ１００３の処理で分析ロジックＩＤ「L04」の分析ロジックが選択されたことに応じて、データ分析サーバ１１は、Ｓ１３０５の処理でデータ保持システム１２_１に対する分析ロジックである実行ファイル「L04-01」を基に生成した分析エージェントをデータ保持システム１２_１に送付し（Ｓ１３０６）、データ保持システム１２_１で分析エージェントにより分析実行され（Ｓ１３０７）、その分析結果を受信する（Ｓ１３０８）。そして、データ分析サーバ１１は、Ｓ１３０９の処理で、次のデータ保持システム１２_２へ分析エージェントを、Ｓ１３０８で受信した分析結果と実行ファイル「L04-02」に基づいて生成し、データ保持システム１２_２へ送付し（Ｓ１３１０）、データ保持システム１２_２で分析エージェントにより分析実行され（Ｓ１３１１）、その分析結果を受信する（Ｓ１３１２）。

　データ分析サーバ１１は、データ保持システム１２_２から取得した分析結果を統合および分析処理する（Ｓ１３１３）。そして、データ分析サーバ１１は、統合した分析結果を分析端末１４へ送付する（Ｓ１３１４）。

　なお、分析エージェントの送付先であるデータ保持システム１２は、２つに限定するものではなく、３つ以上でもよい。例えばデータ保持システム１２が３つの場合、２つ目のデータ保持システム１２の分析結果に基づき、３つめのデータ保持システム１２へ分析ロジックを生成し、送付する処理が追加となる。

　実施例４によれば、分析結果を受信した分析端末１４では、例えば、不審企業名およびどのような特徴の企業が狙われやすいのかを把握できるが、特定のどの企業が不審企業と取引があるのかは分からない。すなわち、データ保持システム１２側で分析処理を実施し、それらの分析結果の引継ぎや統合をすることで、機密データを分析者に対して開示することなく、機密データを対象とした分析が可能となる。なお、どのような特徴の企業が狙われやすいのかの情報を取得した分析端末１４は、その情報を同様の特徴を持つ企業群（業種）等へ情報提供することで、不審企業との取引を未然に防ぐ事が可能となる。

＜実施例に係る分析要求および分析結果の表示画面１４００＞
　図１５は、実施例に係る分析ステップにおいて、分析端末１４が出力する分析要求および分析結果の表示画面１４００を例示する図である。図１５では、実施例１における出力例を示す。表示画面１４００は、分析要求画面１４０１と分析結果画面１４０２を含んで構成されている。

　分析端末１４は、データ分析サーバ１１へアクセスし、ＤＢ情報および分析ロジック情報を取得すると（Ｓ１００１、Ｓ１００２（図１１）参照）、分析要求画面１４０１を表示部に表示する。分析端末１４のユーザは、分析要求画面１４０１において、自身が実行したい分析ロジックを「分析ロジック」のプルダウンメニューから選択し、分析要求の設定情報として、選択された分析ロジックの入力値であるチェック対象企業名および不正企業名リストの情報を入力する（Ｓ１００３（図１１）参照）。

　ここで、分析端末１４のユーザが分析要求画面１４０１において分析ロジックが選定されると、その入力値である「チェック対象企業名」には、当該分析ロジックを実行可能な企業名（データ保持システム１２を保持する企業の名称）が表示されるように制御してもよい。当該分析ロジックを実行可能な企業（データ保持システム１２）かどうかは、ＤＢ情報管理テーブル８００に記述される要件８０６を基に判断する。すなわち、当該分析ロジックを実行可能な企業とは、当該分析ロジックを実行した場合の出力が、ＤＢ情報管理テーブル８００に記載の当該企業（データ保持システム１２）の機密データに関する各要件８０６を充足する企業である。

　その後、分析要求画面１４０１において分析実行ボタンが押下されると、分析端末１４からデータ分析サーバ１１へ分析要求が送付される（Ｓ１００４（図１１）参照）。分析端末１４は、送付した分析要求に対する分析結果を受信すると、分析端末１４の分析結果画面１４０２に分析結果を表示する。図１５の例では、入力値として設定した企業Ａおよび企業Ｂに関して、不正企業（Ｘ企業、Ｙ企業、Ｚ企業）との取引の有無が表示される。図１５の分析結果画面１４０２に例示するように、チェック対象企業について、取引有無をチェックした全ての不正企業のうち、実際に取引があった不正企業の数を表示してもよい。

　なお、実施例２～４における表示画面１４００は、実施例１における表示画面１４００と同様に、分析要求画面１４０１における「入力値」が分析ロジックテーブル９００におけるロジックＩＤ「L02」、「L03」、L04」のそれぞれの入力９０４に応じた項目となり、分析結果画面１４０２の出力項目が分析ロジックテーブル９００におけるロジックＩＤ「L02」、「L03」、L04」のそれぞれの出力９０５に応じた項目となる。

　上述の構成、手順およびデータ構造を実現することにより、データ保持システム１２が保持する機密データを当該データ保持システム１２からその外部へ出すことなく、機密データを含むデータを対象にしたデータ分析が可能となり、機密データの漏洩リスクを軽減可能となる。これにより、従来よりも広い範囲のデータを活用し、安全な分析が可能となるため、新たなサービスの創生が可能となる。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例を含む。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、矛盾しない限りにおいて、ある実施例の構成の一部を他の実施例の構成で置き換え、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、構成の追加、削除、置換、統合、または分散をすることが可能である。また実施例で示した構成および処理は、処理効率または実装効率に基づいて適宜分散、統合、または入れ替えることが可能である。また実施例中で例示した各種データは、テーブル形式に限らず、他の形式のデータであってもよい。

　例えば、上述の実施例１～４について、いずれかまたは全部を組み合わせてもよい。また、上述の実施例１～４では、データ分析サーバ１１からデータ保持システム１２に対して分析エージェントを送付しているが、これに限定されるものではない。例えば、分析端末１４が、何らかの分析要求をデータ保持システム１２へ送付し、データ保持システム１２において分析要求に応じた分析処理が実行された分析結果を取得する形態であってもよい。

Ｓ：データ分析システム、１１：データ分析サーバ、１２，１２_１，１２_２，・・・，１２_Ｌ：データ保持システム、１３，１３_１，・・・，１３_Ｎ：分析ロジック作成端末、１４，１４_１，・・・，１４_Ｍ：分析端末、１４００：表示画面、１４０１：分析要求画面、１４０２：分析結果画面

Claims

　データ分析サーバと、分析対象のデータを保持するデータ保持システムと、分析端末とを含んだデータ分析システムであって、
　前記データ分析サーバは、
　前記分析端末からの分析要求に応じて、前記データ保持システムに対して、前記データの分析が充足すべき要件に基づく前記データの分析依頼を送信し、
　前記データ保持システムから受信した前記要件に基づく前記データの分析結果を前記分析端末へ送信し、
　前記データ保持システムは、
　前記分析依頼に応じて、前記要件に基づいて前記データを分析して分析結果を前記分析端末へ送信する
　ことを特徴とするデータ分析システム。
　請求項１に記載のデータ分析システムであって、
　前記データ分析サーバは、
　前記分析端末からの分析要求に応じて、前記要件に基づいて前記データを分析して分析結果を出力する分析エージェントを生成し、
　生成した前記分析エージェントを前記データ保持システムへ送信し、
　前記分析エージェントによる前記データの分析結果を前記データ保持システムから受信し、
　受信した前記分析結果を前記分析端末へ送信し、
　前記データ保持システムは、
　前記データ分析サーバから受信した前記分析エージェントを実行することで、前記要件に基づいて前記データを分析して分析結果を前記分析端末へ送信する
　ことを特徴とするデータ分析システム。
　請求項２に記載のデータ分析システムであって、
　前記データ分析サーバは、
　前記データ保持システムへ送信する前記分析エージェントを生成する際、分析対象とするデータ項目が該データ保持システムの何れのデータ項目に該当するかを判断し、該当する該データ保持システムのデータ項目に対して検索を行うように前記分析エージェントを生成する
　ことを特徴とするデータ分析システム。
　請求項２に記載のデータ分析システムであって、
　分析ロジック作成端末をさらに含み、
　前記データ分析サーバは、
　前記分析ロジック作成端末において作成された、前記データ保持システムが前記分析エージェントを実行して前記データを分析する際の分析ロジックが前記要件を充足する場合に、該分析ロジックおよび前記分析エージェントを作成する際に用いる該分析ロジックの実行ファイルを自装置へ登録する
　ことを特徴とするデータ分析システム。
　請求項４に記載のデータ分析システムであって、
　前記データ分析サーバは、
　前記分析ロジックを、該分析ロジックが充足する前記要件と共に自装置へ登録する
　ことを特徴とするデータ分析システム。
　請求項４に記載のデータ分析システムであって、
　前記データ分析サーバが、
　前記分析ロジックが前記要件を充足するか否かを判定する
　ことを特徴とするデータ分析システム。
　請求項４に記載のデータ分析システムであって、
　前記分析要求の対象は、複数の前記データ保持システムを含み、
　前記データ分析サーバは、
　生成した前記分析エージェントを複数の前記データ保持システムへそれぞれ送信し、
　前記分析エージェントによる各データ保持システムのそれぞれに保持されている各データの分析結果を受信し、
　受信したデータの分析結果を統合し、
　統合した前記分析結果を前記分析端末へ送信する
　ことを特徴とするデータ分析システム。
　請求項７に記載のデータ分析システムであって、
　複数の前記データ保持システムへそれぞれ送信する各分析エージェントは、同一の分析ロジックに基づく
　ことを特徴とするデータ分析システム。
　請求項７に記載のデータ分析システムであって、
　複数の前記データ保持システムへそれぞれ送信する各分析エージェントは、各データ保持システムに応じて異なる分析ロジックに基づく
　ことを特徴とするデータ分析システム。
　請求項４に記載のデータ分析システムであって、
　前記分析要求の対象は、複数の前記データ保持システムを含み、
　前記データ分析サーバは、
　第１の前記データ保持システムへ先行して送信した第１の前記分析エージェントによる第１の前記データ保持システムに保持されている第１の前記データの分析結果に基づいて、第２の前記データ保持システムへ送信する第２の前記分析エージェントを生成し、
　生成した第２の前記分析エージェントを第２の前記データ保持システムへ送信し、
　第２の前記分析エージェントによる第２の前記データ保持システムに保持されている第２の前記データの分析結果を受信し、
　受信した第２の前記データの分析結果をもとに統合処理を行い、
　前記統合処理の処理結果を前記分析端末へ送信する
　ことを特徴とするデータ分析システム。
　請求項１に記載のデータ分析システムであって、
　前記要件は、前記データ保持システムが保持する個人情報、機微情報、企業の秘密情報、および推定可能なプライバシー情報のうちの少なくとも１つを含む機密データを該データ保持システムの外部へ出力しないことである
　ことを特徴とするデータ分析システム。
　請求項４に記載のデータ分析システムであって、
　前記分析ロジックの選択および該分析ロジックに対応する入力値の入力を含む分析要求を受け付ける分析要求画面と、前記分析要求画面で受け付けられた分析要求に応じた前記データの分析結果を表示する分析結果画面と、を表示部へ表示する
　ことを特徴とするデータ分析システム。
　請求項１２に記載のデータ分析システムであって、
　前記分析要求画面において、前記分析ロジックが選定されると、対応する前記入力値において、前記要件に基づいて、該分析ロジックを実行可能な前記データ保持システムが分析対象として選択可能に表示される
　ことを特徴とするデータ分析システム。
　データ分析サーバと、分析対象のデータを保持するデータ保持システムと、分析端末とを含んだデータ分析システムが実行するデータ分析方法であって、
　前記データ分析サーバが、
　前記分析端末からの分析要求に応じて、前記データ保持システムに対して、前記データの分析が充足すべき要件に基づく前記データの分析依頼を送信し、
　前記データ保持システムから受信した前記要件に基づく前記データの分析結果を前記分析端末へ送信し、
　前記データ保持システムが、
　前記分析依頼に応じて、前記要件に基づいて前記データを分析して分析結果を前記分析端末へ送信する
　各処理を含んだことを特徴とするデータ分析方法。