特許第5796574号(P5796574)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電気株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧

(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5796574
(24)【登録日】2015年8月28日
(45)【発行日】2015年10月21日
(54)【発明の名称】情報処理装置、制御方法及びプログラム
(51)【国際特許分類】
   G06F 21/60 20130101AFI20151001BHJP
   G06F 21/62 20130101ALI20151001BHJP
   H04L 9/14 20060101ALI20151001BHJP
   G06F 17/30 20060101ALI20151001BHJP
【FI】
   G06F21/60 320
   G06F21/62 354
   H04L9/00 641
   G06F17/30 120A
   G06F17/30 240C
【請求項の数】10
【全頁数】28
(21)【出願番号】特願2012-514791(P2012-514791)
(86)(22)【出願日】2011年4月27日
(86)【国際出願番号】JP2011060685
(87)【国際公開番号】WO2011142327
(87)【国際公開日】20111117
【審査請求日】2014年3月17日
(31)【優先権主張番号】特願2010-108050(P2010-108050)
(32)【優先日】2010年5月10日
(33)【優先権主張国】JP
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度 経済産業省 「情報大航海プロジェクト(モデルサービスの開発と実証)」業務委託、産業技術力強化法第19条の適用を受ける特許出願
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100124154
【弁理士】
【氏名又は名称】下坂 直樹
(72)【発明者】
【氏名】森 拓也
【審査官】 青木 重徳
(56)【参考文献】
【文献】 特開2009−181207(JP,A)
【文献】 特開2003−016064(JP,A)
【文献】 国際公開第2006/132143(WO,A1)
【文献】 米国特許出願公開第2010/0077006(US,A1)
【文献】 佐藤 嘉則、川崎 明彦,“識別リスクを保証する個人情報匿名化システムの検討”,マルチメディア,分散,協調とモバイル(DICOMO2007)シンポジウム論文集 [CD−ROM],日本,社団法人情報処理学会,2007年 7月 4日,Vol.2007 No.1,p.1182−1189
【文献】 山口(繁富) 利恵、副田 俊介,“移動履歴を保持する際のk−匿名性の考え方”,コンピュータセキュリティシンポジウム2009 論文集 [第二分冊],日本,社団法人情報処理学会,2009年10月19日,第2009巻、第11号,p.751−756
【文献】 宮川 伸也、森 拓也、佐治 信之、小林 功、栗山 桂一,“位置情報における匿名性・多様性保証とその活用”,第72回(平成22年)全国大会講演論文集(3) ネットワーク セキュリティ,日本,社団法人情報処理学会,2010年 3月 8日,1G−5,p.3−577〜3−578
【文献】 村本 俊祐、上土井 陽子、若林 真一,“k−匿名性を利用したデータ一般化によるプライバシー保護”,電子情報通信学会 第18回データ工学ワークショップ論文集,日本,電子情報通信学会データ工学研究専門委員会[online],2007年 6月 1日,A7−10
【文献】 Akimichi Takemura,“Calculating minimum k-unsafe and maximum k-safe sets of variables for disclosure risk assessment of individual records in a microdata set”,CiteSeer,[online],1999年 1月,p.1-16,[retrieved on 2014-12-08]. Retrieved from the Internet,URL,<http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.27.868&rep=rep1&type=pdf>
【文献】 Baik Hoh, Marco Gruteser, Hui Xiong, Ansaf Alrabady,“Preserving Privacy in GPS Traces via Uncertainty-Aware Path Cloaking”,Proceedings of the 14th ACM conference on Computer and communications security (CCS'07),[online],2007年,p.161-171,[retrieved on 2014-12-08]. Retrieved from the Internet,URL,<http://delivery.acm.org/10.1145/1320000/1315266/p161-baik.pdf?ip=61.202.255.157&id=1315266&acc=ACTIVE%20SERVICE&key=61DAABF003F53B51.61DAABF003F53B51.4D4702B0C3E38B35.4D4702B0C3E38B35&CFID=461547579&CFTOKEN=52978345&__acm__=1418034950_5e269059f5965>
【文献】 Mohamed F. Mokbel, Chi-Yin Clow, Walid G. Aref,“The New Casper: Query Processing for Location Services without Compromising Privacy”,Proceedings of the 32nd international conference on Very large data (VLDB '06),[online],2006年,p.763-774,[retrieved on 2014-12-08]. Retrieved from the Internet,URL,<http://delivery.acm.org/10.1145/1170000/1164193/p763-mokbel.pdf?ip=61.202.255.157&id=1164193&acc=ACTIVE%20SERVICE&key=61DAABF003F53B51.61DAABF003F53B51.4D4702B0C3E38B35.4D4702B0C3E38B35&CFID=461547579&CFTOKEN=52978345&__acm__=1418035462_e9b3ff4b22a>
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/60
G06F 17/30
G06F 21/62
H04L 9/14
(57)【特許請求の範囲】
【請求項1】
複数の個人情報を、各個人情報の提供者の識別情報とそれぞれ対応付けて記憶する個人情報データベースと、
前記複数の個人情報の全てに適用可能な前記各個人情報の記載内容を曖昧化する処理内容を定義した複数種類のアルゴリズムを、アルゴリズム識別情報とそれぞれ対応付けて記憶するアルゴリズム定義部と、
前記個人情報データベースに記憶されている各個人情報の記載内容を、所定のアルゴリズム識別情報に対応するアルゴリズムに従って変更する記載内容変更部と、
変更後の記載内容毎に、各変更後の記載内容に変更される個人情報の提供者数を算出する記載内容別提供者数算出部と、
前記各提供者数のうちの最小値を所定の基準値と比較する比較部とを含み、
前記記載内容変更部が、前記最小値が前記基準値以上になるまで、各アルゴリズム識別情報に対応するアルゴリズムで前記個人情報データベースに記憶されている各個人情報の記載内容を変更する処理を繰り返す情報処理装置。
【請求項2】
請求項1に記載の情報処理装置であって、
前記記載内容変更部は、前記最小値が前記基準値以上である場合には、変更後の各記載内容をそれぞれ匿名情報として匿名情報データベースに記録することを特徴とする情報処理装置。
【請求項3】
請求項1又は請求項2に記載の情報処理装置であって、前記アルゴリズム識別情報が、各アルゴリズムに基づいて記載内容を変更した場合に見込まれる変更後の記載内容の該当者数に応じて定められることを特徴とする情報処理装置。
【請求項4】
請求項1乃至請求項3のいずれかに記載の情報処理装置であって、
前記記載内容変更部が、前記アルゴリズム定義部に記憶されているアルゴリズムに従って各記載内容を変更する際に、変更後の記載内容の該当者数が少ないと見込まれるアルゴリズムから順に各アルゴリズムを選択することを特徴とする情報処理装置。
【請求項5】
請求項1乃至請求項4のいずれかに記載の情報処理装置であって、
前記個人情報データベースに記憶されている各個人情報の記載内容を変更した結果、一旦、前記最小値が前記基準値以上となった後に、前記個人情報データベースに記憶されている個人情報のいずれかが削除された場合には、
前記記載内容変更部が、前記個人情報データベースに記憶されている残りの各個人情報について、前記最小値が前記基準値以上になるまで再度各記載内容を変更することを特徴とする情報処理装置。
【請求項6】
請求項1乃至請求項4のいずれかに記載の情報処理装置であって、
前記個人情報データベースに記憶されている各個人情報の記載内容の変更した結果、一旦、前記最小値が前記基準値以上となった後に、前記個人情報データベースに記憶されている個人情報のいずれかが削除された場合には、
前記記載内容別提供者数算出部が、前記削除された個人情報以外の各個人情報について、変更後の記載内容に変更される個人情報の提供者数を、変更後の記載内容毎に再度算出し、
前記比較部が、前記各提供者数のうちの最小値を所定の基準値と再度比較し、
前記記載内容変更部が、前記最小値が前記基準値以上でない場合に、前記個人情報データベースに記憶されている残りの各個人情報について、前記最小値が前記基準値以上になるまで再度各記載内容を変更することを特徴とする情報処理装置。
【請求項7】
請求項1乃至請求項6のいずれかに記載の情報処理装置であって、
前記各個人情報は、前記情報処理装置と通信可能に接続される複数の携帯電話機のそれぞれの位置情報を含むことを特徴とする情報処理装置。
【請求項8】
請求項1乃至請求項7のいずれかに記載の情報処理装置であって、
前記個人情報データベースに記憶される各個人情報の提供元である複数の提供者端末と、前記匿名情報データベースに記憶される各匿名情報を利用した情報を処理し、前記情報処理の結果を前記提供者端末に送信するサービス提供者サーバと、に通信可能に接続され、
前記匿名情報データベースに記憶されている各匿名情報を、前記サービス提供者サーバに送信する匿名情報提供部と、を備えることを特徴とする情報処理装置。
【請求項9】
情報処理装置に含まれる個人情報データベースに、複数の個人情報を、各個人情報の提供者の識別情報とそれぞれ対応付けて記憶し、
前記複数の個人情報の全てに適用可能な前記各個人情報の記載内容を曖昧化する処理内容を定義した複数種類のアルゴリズムを、アルゴリズム識別情報とそれぞれ対応付けて記憶し、
前記記憶されている各個人情報の記載内容を、所定のアルゴリズム識別情報に対応するアルゴリズムに従って変更し、
変更後の記載内容毎に、各変更後の記載内容に変更される個人情報の提供者数を算出し、
前記各提供者数のうちの最小値を所定の基準値と比較し、
前記最小値が前記基準値以上になるまで、各アルゴリズム識別情報に対応するアルゴリズムで前記個人情報データベースに記憶されている各個人情報の記載内容を変更する処理を繰り返す情報処理装置における制御方法。
【請求項10】
コンピュータに含まれる個人情報データベースに、複数の個人情報を、各個人情報の提供者の識別情報とそれぞれ対応付けて記憶する手順と、
前記複数の個人情報の全てに適用可能な前記各個人情報の記載内容を曖昧化する処理内容を定義した複数種類のアルゴリズムを、アルゴリズム識別情報とそれぞれ対応付けて記憶する手順と、
前記記憶されている各個人情報の記載内容を、所定のアルゴリズム識別情報に対応するアルゴリズムに従って変更する手順と、
変更後の記載内容毎に、各変更後の記載内容に変更される個人情報の提供者数を算出する手順と、
前記各提供者数のうちの最小値を所定の基準値と比較する手順と、
前記最小値が前記基準値以上になるまで、各アルゴリズム識別情報に対応するアルゴリズムで前記個人情報データベースに記憶されている各個人情報の記載内容を変更する処理を繰り返す手順と、をコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、匿名化後の個人情報の該当者が所定人数以上存在することを保証するように個人情報を匿名化する情報処理装置、制御方法及びプログラムに関する。
【背景技術】
【0002】
近年、インターネットを使ったサービスの普及に伴い、サービス利用者の個人情報(年齢、性別、趣味、職業など)を活用したサービスが、一般的になりつつある。このようなサービスを提供するサービス提供業者は、サービス利用者から収集した個人情報を基に、サービス利用者の特性に合わせた便利なサービスを、サービス利用者に提供する。
また、サービス利用者の個人情報を保護するために、サービス利用者から収集した個人情報を匿名化する技術も、開発されている(例えば、特許文献1、特許文献2、特許文献3を参照)。
また、秘匿化にレベルを備えることも行われている(例えば、特許文献4を参照)。
【特許文献1】特開2004−145483号公報
【特許文献2】特開2004−206319号公報
【特許文献3】特開2007−287102号公報
【特許文献4】特開2006−185311号公報
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかし、個人情報を匿名化したからと言って、個人情報の提供者が特定されないとは、必ずしも、言えない。例えば、匿名化した個人情報の該当者が一人しかいなければ、その個人情報の提供者を特定することは、可能である。
そのため、匿名化後の個人情報の該当者が所定人数以上存在することを保証するように個人情報を匿名化する技術が、求められている。
本発明は、上記課題を鑑みてなされたものである。本発明の目的は、匿名化後の個人情報の該当者が所定人数以上存在することを保証するように個人情報を匿名化する情報処理装置、制御方法及びプログラムを提供することにある。
【課題を解決するための手段】
【0004】
本発明の情報処理装置は、複数の個人情報を、各個人情報の提供者の識別情報とそれぞれ対応付けて記憶する個人情報データベースと、前記各個人情報の記載内容を曖昧化する処理内容を定義した複数種類のアルゴリズムを、アルゴリズム識別情報とそれぞれ対応付けて記憶するアルゴリズム定義部と、前記個人情報データベースに記憶されている各個人情報の記載内容を、所定のアルゴリズム識別情報に対応するアルゴリズムに従って変更する記載内容変更部と、変更後の記載内容毎に、各変更後の記載内容に変更される個人情報の提供者数を算出する記載内容別提供者数算出部と、前記各提供者数のうちの最小値を所定の基準値と比較する比較部とを含み、前記記載内容変更部が、前記最小値が前記基準値以上になるまで、各アルゴリズム識別情報に対応するアルゴリズムで前記個人情報データベースに記憶されている各個人情報の記載内容を変更する処理を繰り返すことを特徴とする。
また、本発明の制御方法は、複数の個人情報を、各個人情報の提供者の識別情報とそれぞれ対応付けて記憶し、前記各個人情報の記載内容を曖昧化する処理内容を定義した複数種類のアルゴリズムを、アルゴリズム識別情報とそれぞれ対応付けて記憶し、前記記憶されている各個人情報の記載内容を、所定のアルゴリズム識別情報に対応するアルゴリズムに従って変更し、変更後の記載内容毎に、各変更後の記載内容に変更される個人情報の提供者数を算出し、前記各提供者数のうちの最小値を所定の基準値と比較し、前記最小値が前記基準値以上になるまで、各アルゴリズム識別情報に対応するアルゴリズムで前記個人情報データベースに記憶されている各個人情報の記載内容を変更する処理を繰り返すことを特徴とする。
また、本発明のプログラムは、複数の個人情報を、各個人情報の提供者の識別情報とそれぞれ対応付けて記憶する手順と、前記各個人情報の記載内容を曖昧化する処理内容を定義した複数種類のアルゴリズムを、アルゴリズム識別情報とそれぞれ対応付けて記憶する手順と、を備える情報処理装置に、前記記憶されている各個人情報の記載内容を、所定のアルゴリズム識別情報に対応するアルゴリズムに従って変更する手順と、変更後の記載内容毎に、各変更後の記載内容に変更される個人情報の提供者数を算出する手順と、前記各提供者数のうちの最小値を所定の基準値と比較する手順と、前記最小値が前記基準値以上になるまで、各アルゴリズム識別情報に対応するアルゴリズムで記憶されている各個人情報の記載内容を変更する処理を繰り返す手順とをコンピュータに実行させる。
その他、本願が開示する課題及びその解決方法は、発明を実施するための最良の形態の欄、及び図面にて明らかにされる。
【発明の効果】
【0005】
本発明の処理装置は、匿名化後の個人情報の該当者が所定人数以上存在することを保証するように個人情報を匿名化することができる。
本発明の処理装置に基づき、サービス利用者は、個人が特定される不安を抱くことなく安心して個人情報を提供することができる。また、サービス利用者は、サービス利用者の個人情報を利用した便利なサービスの提供を受けることが可能となる。
【図面の簡単な説明】
【0006】
図1】本実施形態に係る匿名性保証システムの全体構成の一例を示す図である。
図2】本実施形態に係る匿名性保証装置の構成の一例を示すブロック図である。
図3】本実施形態に係る匿名性保証装置のハードウェア構成の一例を示すブロック図である。
図4】本実施形態に係る匿名性保証装置のハードディスクドライブの構成の一例を示す図である。
図5】本実施形態に係る利用者端末の構成の一例を示すブロック図である。
図6】本実施形態に係るサービス提供者サーバの構成の一例を示すブロック図である。
図7】本実施形態に係る個人情報データベースの一例を示す図である。
図8】本実施形態に係る匿名化レベル記憶部の一例を示す図である。
図9】本実施形態に係る関連情報データベースの一例を示す図である。
図10】本実施形態に係る匿名情報データベースの一例を示す図である。
図11】本実施形態に係る匿名化の一例を説明するための図である。
図12】本実施形態に係る匿名化の一例を説明するための図である。
図13】本実施形態に係る個人情報受信時の処理の流れの一例を示すシーケンス図である。
図14】本実施形態に係る個人情報削除要求受信時の処理の流れの一例を示すシーケンス図である。
図15】本実施形態に係る個人情報データベースの一例を示す図である。
図16】本実施形態に係る匿名化レベル記憶部の一例を示す図である。
図17】本実施形態に係る関連情報データベースの一例を示す図である。
図18】本実施形態に係る匿名情報データベースの一例を示す図である。
図19】本実施形態に係る匿名化の流れの一例を示すシーケンス図である。
図20】本実施形態に係る個人情報削除要求受信時の処理の流れの一例を示すシーケンス図である。
図21】本実施形態に係る関連情報データベースの一例を示す図である。
図22】本実施形態に係る関連情報データベースの一例を示す図である。
図23】本実施形態に係る匿名情報データベースの一例を示す図である。
図24】本実施形態に係る匿名化レベル記憶部の一例を示す図である。
図25】本実施形態に係る匿名性保証装置の構成の別の一例を示すブロック図である。
【発明を実施するための形態】
【0007】
(第一の実施の形態)
本発明の第1の実施形態に係る匿名性保証システム1000について、図面を参照して詳細に説明する。
<全体の構成>
図1に示すように、第1の実施形態に係る匿名性保証システム1000は、利用者端末100A及び100Bと、匿名性保証装置200と、サービス提供者サーバ300とがネットワーク400を介して通信可能に接続している。なお、以下では、記載の簡略化のため、利用者端末100Aと利用者端末100Bとを区別する必要が無い場合などには、適宜まとめて利用者端末100と記載する場合がある。
利用者端末100Aは、匿名性保証装置200に、利用者端末100Aの利用者の個人情報を送信する。また、利用者端末100Bも、同様に、匿名性保証装置200に、利用者端末100Bの利用者の個人情報を送信する。
これらの個人情報は、例えば、利用者端末100A及び100Bの利用者の電話番号、年齢、性別、住所、職業、趣味、利用者端末100A及び100Bの位置情報などである。このように、個人情報には、個人情報を取得した第三者が、個人情報の提供者を特定できる情報が含まれる。
また、利用者端末100は、匿名性保証装置200に、個人情報と共に、個人情報の提供者の識別情報を送信する。識別情報は、例えば、利用者端末100A及び100Bの利用者の氏名などである。
匿名性保証装置200は、利用者端末100から受信した個人情報と識別情報とを記憶する。また、匿名性保証装置200は、利用者端末100から受信した個人情報を匿名化し、匿名情報を作成する。匿名化とは、個人情報の記載内容を変更し、個人情報の提供者の特定を困難にする処理である。匿名化は、例えば、個人情報に含まれる情報量を削減する処理や、個人情報から個人を特定する困難性を高めるように個人情報の精度を下げる処理を含む。匿名化は、一般的に曖昧化と呼ぶことが出来る。
匿名化の結果、異なる個人情報から生成される匿名情報が同一となる場合が生じる。例えば、利用者から提供された電話番号(個人情報)の下一桁を削除するように匿名化した場合には、10個の個人情報が同一の匿名情報に変換される。この処理に基づき、匿名性保証装置200は、第三者が匿名情報を取得したとしても、第三者が個人情報の提供者を特定することを困難にできる。
また、詳しくは後述するが、本実施形態に係る匿名性保証装置200は、匿名化の強さを制御できる。この制御に基づき、匿名性保証装置200は、生成された匿名情報から個人を特定する際の困難性を制御できる。例えば、利用者から提供された電話番号(個人情報)の「下二桁」を削除するように匿名化した場合には、100個の個人情報が同一の匿名情報に変換されることになるため、匿名性保証装置200は、「下一桁」を削除する匿名化に比べて、個人の特定の困難性を高めることができる。
なお、本実施形態に係る匿名性保証装置200は、匿名情報から個人を特定する際の困難性を、後述する「基準匿名性」として表現しており、この「基準匿名性」を満たすように匿名化の強さを制御する。
例えば、匿名性保証装置200が利用者から提供された電話番号(個人情報)の下一桁を削除するように匿名化を制御している場合に、ある利用者から電話番号の提供を中止するとの申し出があり、その利用者の個人情報から生成された匿名情報を削除した結果、匿名化後の電話番号の提供者が一人しかいなくなるというケースも生じうる。この場合は、匿名化後の電話番号でも、その電話番号の提供者が一人しかいないため、その提供者は、特定されてしまう。
その場合、本実施形態に係る匿名性保証装置200は、匿名化後の電話番号が「基準匿名性」を満たすように、例えば、基の電話番号の「下二桁」を削除するように匿名化を変更して、電話番号を匿名化する。
匿名性保証装置200は、上記のように「基準匿名性」を満たすように作成した匿名情報を、サービス提供者サーバ300に送信する。
サービス提供者サーバ300は、匿名性保証装置200から受信した匿名情報を利用して、上記利用者端末100の利用者向けのサービスを、利用者端末100に提供する。
この匿名性保証装置200に基づき、利用者は、個人が特定される不安を抱くことなく、安心して個人情報を提供できる。また、利用者は、利用者の個人情報を利用した便利なサービスの提供を受けることが可能となる。
<利用者端末の構成>
利用者端末100の構成を図5に示す。
利用者端末100は、個人情報送信部110と、サービス要求送信部120と、サービス受信部130とを含む。
個人情報送信部110は、個人情報と識別情報とを匿名性保証装置200に送信する。サービス要求送信部120は、サービス提供者サーバ300にサービス実行要求を送信する。サービス受信部130は、サービス提供者サーバ300からサービスの実行結果を受信する。
<サービス提供者サーバの構成>
サービス提供者サーバ300の構成を図6に示す。サービス提供者サーバ300は、利用者端末100からサービス実行要求を受け、匿名性保証装置200から受信した匿名情報を利用して、利用者端末100の利用者へサービスを提供するための情報を処理する。そして、サービス提供者サーバ300は、情報の処理の結果である実行結果を利用者端末100に送信する。
あるいは、サービス提供者サーバ300は、利用者端末100からサービス実行要求を受信しなくても、自発的に、匿名情報を利用して情報を処理し、利用者端末100にその実行結果を送信もできる。
サービス提供者サーバ300は、サービス要求受信部310と、匿名情報要求部320と、匿名情報取得部330と、サービス実行部340と、サービス送信部350とを含む。
サービス要求受信部310は、利用者端末100からサービス実行要求を受け付ける。
匿名情報要求部320は、匿名性保証装置200に匿名情報を要求する。
匿名情報取得部330は、匿名性保証装置200から匿名情報を受信する。
サービス実行部340は、匿名性保証装置200から受信した匿名情報を利用して、利用者端末100の利用者へサービスを提供するための情報を処理する。
サービス送信部350は、利用者端末100に処理の実行結果を送信する。
<匿名性保証装置の構成>
図2に示すように、本実施形態に係る匿名性保証装置200は、個人情報更新受付部210と、データベース220と、個人情報匿名化プログラム230と、匿名情報提供部240とを含む。
データベース220は、個人情報データベース221と、関連情報データベース222と、匿名化レベル記憶部223と、基準匿名性記憶部224と、匿名情報データベース225とを含む。
個人情報匿名化プログラム230は、匿名化制御部231と、個人情報匿名化部232と、匿名性判定部233とを含む。
<ハードウェア構成>
図3に示すように、匿名性保証装置200は、CPU(Central Processing Unit)201と、メモリ202と、ポート203と、ハードディスクドライブ204と、記録媒体205と、記録媒体読取装置206と、入力装置207と、出力装置208とを含むコンピュータを用いても構成することができる。
CPU201は、匿名性保証装置200の全体を制御する。CPU201は、ハードディスクドライブ204に記憶された本実施の形態に係る各種の動作を行うためのコードから構成される個人情報匿名化プログラム230をメモリ202に読み出して実行し、匿名性保証装置200としての各種機能を実現する。
記録媒体読取装置206は、フレキシブルディスクや磁気テープ、コンパクトディスク等の記録媒体205に記録されているプログラムやデータを読み取るための装置である。読み取られたプログラムやデータは、メモリ202やハードディスクドライブ204に格納される。従って、匿名性保証装置200は、例えば、記録媒体205に記録された個人情報匿名化プログラム230を、記録媒体読取装置206を用いて上記記録媒体205から読み取り、メモリ202やハードディスクドライブ204に記憶できる。記録媒体読取装置206は、匿名性保証装置200に内蔵されている形態とすることもできるし、外付されている形態とすることもできる。
ハードディスクドライブ204は、例えば、ハードディスク装置や半導体記憶装置を用いることができる。ハードディスクドライブ204は、個人情報匿名化プログラム230及びデータベース220を記憶する。ハードディスクドライブ204が、個人情報匿名化プログラム230及びデータベース220を記憶している様子を図4に示す。
入力装置207は、匿名性保証装置200へのデータ入力等のために用いられる装置であり、ユーザインタフェースとして機能する。入力装置207は、例えば、キーボードやマウスを用いることができる。
出力装置208は、情報を外部に出力するための装置であり、ユーザインタフェースとして機能する。出力装置208は、例えば、ディスプレイやプリンタを用いることができる。
ポート203は、通信のための装置である。例えば、匿名性保証装置200は、ネットワーク400を介した利用者端末100、サービス提供者サーバ300等の他のコンピュータとの通信を、ポート203を経由してできる。また、例えば、匿名性保証装置200は、個人情報匿名化プログラム230及びデータベース220を、ポート203を経由して、他のコンピュータからネットワーク400を介して受信し、メモリ202やハードディスクドライブ204に記憶できる。
<個人情報更新受付部>
図2に戻って、個人情報更新受付部210は、利用者端末100から個人情報と識別情報とを受信し、個人情報と識別情報とを個人情報データベース221に書き込む。
<個人情報データベース>
個人情報データベース221は、利用者端末100から受信した個人情報と識別情報とを記憶する。個人情報データベース221の一例を図7に示す。利用者端末100から送信される個人情報には、例えば、「電話番号」と「生年月日」と「性別」とが含まれる。利用者端末100から送信される識別情報には、例えば、「利用者の氏名」が含まれる。
図7の個人情報データベース221は、ユーザAからユーザEまでの、5つの個人情報を記憶している。個人情報データベース221が記憶する各個人情報は、それぞれ「個人情報識別番号」を用いて識別される。
<匿名化レベル記憶部>
図2に戻って、匿名化レベル記憶部(特許請求の範囲に記載のアルゴリズム定義部に相当する)223は、匿名化の際に個人情報をどのように匿名化するかを、匿名化レベル(特許請求の範囲に記載のアルゴリズム識別情報に相当)ごとに記憶する。
例えば、図8に示す匿名化レベル記憶部223の一例は、匿名化レベル1からKまでの匿名化レベル毎に、個人情報をどのように匿名化するかを記憶している。なお、図8に示す例では、匿名化レベルの値が大きいほど、匿名化の個人情報の精度を下げる度合いが大きくなる。つまり、匿名化レベルの値が大きいほど、匿名化の個人情報内の情報量が大きく削減される。例えば、図8に示す例では、匿名化レベル1で電話番号を匿名化すると、電話番号の下2桁が伏せ字になる。匿名化レベル2では下3桁、匿名化レベル3では下4桁、匿名化レベルKではすべての桁が伏せ字になる。このように、匿名化レベルが高いほど、匿名化の個人情報の精度を下げる度合いが大きくなる。また、匿名化レベルを見るだけで匿名化の程度を把握することも可能である。
匿名化レベル記憶部223は、電話番号の下何桁かを伏せ字にする、生年月日の任意の桁を伏せ字にする、住所の番地を伏せ字にする、趣味や職業を上位概念化する、などのように、匿名化に応じた処理内容を、匿名化レベル毎に記載する。
<関連情報データベース>
関連情報データベース222の一例を図9に示す。関連情報データベース222は、個人情報データベース221に記憶されている個人情報に対して、後述する匿名化で生成される「暫定匿名情報」を記憶する。また、関連情報データベース222は、個人情報に含まれる「個人名」を別の文字列に変換することで生成される暫定匿名情報の識別子である「匿名ID(Identification)」を記憶する。また、関連情報データベース222は、「暫定匿名情報のもとになった個人情報の識別番号」と、「暫定匿名情報の匿名化レベル」と、「暫定属性情報が同一の匿名IDの数」とを暫定匿名情報毎に記憶する。
暫定匿名情報は、「匿名化後の電話番号」と、「匿名化後の生年月日」と、「匿名化後の性別」とを含む。「暫定匿名情報の匿名化レベル」欄は、その暫定匿名情報がどの匿名化レベルで匿名化されたかを記憶する。
<匿名情報データベース>
匿名情報データベース225の一例を図10に示す。匿名情報データベース225は、「匿名情報」と「匿名ID」とを記憶する。「匿名情報」とは、前述した暫定匿名情報のうち、後述する基準匿名性を満たしているものを表す。
匿名情報は、「匿名化後の電話番号」と、「匿名化後の生年月日」と、「匿名化後の性別」とを含む。
匿名情報データベース225が記憶する匿名情報は、後述する匿名情報提供部240を用いて、サービス提供者サーバ300に送信される。
<基準匿名性記憶部>
図2に戻って、基準匿名性記憶部224は、基準匿名性(特許請求の範囲に記載の「所定の基準値」に相当する)を記憶する。
ここで基準匿名性とは、本実施形態に係る匿名化に基づいて生成される匿名情報が満足する個人特定困難性の基準値である。例えば、本実施形態の匿名性保証装置200は、匿名性保証装置200が作成する全ての匿名情報を匿名属性情報が同一のもの同士でグループ化した場合に、各グループに属する匿名IDの個数の最小値が基準匿名性の値を上回るように、匿名化する。
このような処理に基づき、ある匿名情報が第三者に知られたとしても、その匿名情報の基になった個人情報を提供した人数が「基準匿名性」の数以上であるので、個人の特定は、困難となる。基準匿名性は、例えば、匿名性保証装置200の管理者が設定する値である。
<匿名化制御部>
匿名化制御部231は、個人情報匿名化部232に、匿名化レベルを指定して、個人情報データベース221に記憶されている個人情報を匿名化させる。また、匿名化制御部231は、上記匿名化に基づいて生成された暫定匿名情報を関連情報データベース222から取得して、それらの暫定匿名情報が基準匿名性を満たすかどうかを匿名性判定部233に判定させる。
匿名化制御部231は、判定の結果、匿名化に基づいて生成された上記匿名情報が基準匿名性を満たしていない場合には、匿名化レベルを変更して、再度、個人情報匿名化部232に個人情報を匿名化させる。
また、匿名化制御部231は、判定の結果、匿名化に基づいて生成された上記暫定匿名情報が基準匿名性を満たしている場合には、関連情報データベース222から上記暫定匿名情報を読み込み、匿名情報として匿名情報データベース225に書き込む。
<個人情報匿名化部>
個人情報匿名化部(特許請求の範囲に記載の記載内容変更部と記載内容別提供者数算出部に相当する)232は、匿名化制御部231から匿名化レベルを指定した匿名化の要求を受けると、匿名化レベル記憶部223を参照し、その匿名化レベルに応じた内容で、個人情報データベース221に記憶されている個人情報の匿名化し、暫定匿名情報を作成する。また、個人情報匿名化部232は、同一の暫定匿名情報を持つグループに属する匿名IDの数(後述する k−匿名性)を算出する。また、個人情報匿名化部232は、匿名化の際に、個人情報データベース221が記憶する各個人名を別の文字列へと変換し「匿名ID」を作成する。個人情報匿名化部232は、上記暫定匿名情報と、匿名IDと、匿名化レベルと、同一の暫定匿名情報を持つグループに属する匿名IDの数と、暫定匿名情報の基となった個人情報識別番号とを関連情報データベース222に書き込む。
<匿名性判定部>
匿名性判定部233(特許請求の範囲に記載の比較部に相当)は、上記匿名化に基づいて生成される匿名情報の同一の匿名情報を持つグループに属する匿名IDの数の最小値が基準匿名性以上か否かを判定する。
<匿名情報提供部>
匿名情報提供部240は、サービス提供者サーバ300から匿名情報の取得要求を受けると、匿名情報データベース225から匿名情報を読み出して、サービス提供者サーバ300に送信する。
<k−匿名性>
なお、本実施形態において、同一の暫定匿名情報を持つグループに属する匿名IDの数のことを「k−匿名性」と記すこともある。「k−匿名性」は、もちろん、同一の匿名情報を持つグループに属する匿名IDの数や、同一の個人情報を持つグループに属する利用者の人数にも適用できる。
k−匿名性(k−anonymity)について、図7図8図11図12を用いて説明する。本実施形態において、k−匿名性は、以下のように定義される。すなわち、個人情報を匿名化して生成される各匿名情報において、同一の匿名情報の基となった個人情報を提供した利用者が自分自身を含めk人以上存在するとき、その匿名情報のk−匿名性は、kである。k−匿名性は、匿名情報から個人を特定する困難性を表す指標になる。
図7に示される個人情報データベース221に記載される個人情報を、図8に示される匿名化レベル記憶部223に記載される匿名化レベル1で匿名化すると、図11に示すような匿名情報が生成される。
図11に示されるテーブルに記載される個人情報識別番号1、2の匿名情報は、電話番号、生年月日、性別の全てにおいて同一である。また、個人情報識別番号1、2の匿名情報の基となった個人情報は、匿名IDがuser_Aとuser_Bとで表される異なる2人の利用者から提供されたものであることがわかる。従って、個人情報識別番号1、2の匿名情報のk−匿名性は、それぞれ2である。
一方、個人情報識別番号3、4、5の匿名情報は、自分自身以外に、電話番号、生年月日、性別の全てにおいて同一である匿名情報が存在しないため、それぞれk−匿名性は、1である。
図7に示される個人情報データベース221に記載される個人情報を、図8に示される匿名化レベル記憶部223に記載される匿名化レベル2で匿名化すると、図12に示されるテーブルに記載される匿名情報が生成される。図12に示されるテーブルに記載される個人情報識別番号1、2、3で表される3つの匿名情報は、電話番号、生年月日、性別の全てにおいて同一である。また、個人情報識別番号1、2、3の匿名情報の基となった個人情報は、匿名IDがuser_A、user_B、user_Cで表される異なる3人の利用者から提供されたものであることがわかる。従って、個人情報識別番号1、2、3の匿名情報のk−匿名性は、それぞれ3である。同様に、個人情報識別番号4、5の匿名情報のk−匿名性は、それぞれ2である。
<処理の流れ>
本実施形態の全体の動作について詳細に説明する。
<個人情報受信処理>
図13のシーケンス図を参照して、利用者端末100から個人情報と識別情報とを受信したときの匿名性保証装置200の動作について説明する。
個人情報更新受付部210は、利用者端末100から個人情報と識別情報とを受信すると(A1)、受信した個人情報と識別情報とを個人情報データベース221に書き込む(A2)。
また、個人情報更新受付部210は、個人情報データベース221に記録されている個人情報の匿名化を匿名化制御部231に要求する(A3)。
<匿名化>
匿名化制御部231は、個人情報更新受付部210から匿名化の要求を受けると、個人情報匿名化部232に、まずは、匿名化レベルを1に指定した匿名化を指示する(A4)。
個人情報匿名化部232は、匿名化の指示を受けると、個人情報データベース221に記憶されている個人情報と識別情報とを読み出して(A5)、それら個人情報と識別情報との匿名化を開始する(A6)。
まず、個人情報匿名化部232は、各個人情報にそれぞれ付属する識別情報(個人名)を匿名IDに置き換える。匿名IDは、個人名を特定できない文字列である。
次に、個人情報匿名化部232は、匿名化レベル記憶部223を参照して、各個人情報を、匿名化レベル1で特定される内容で匿名化し、暫定匿名情報を生成する。また、個人情報匿名化部232は、匿名化後の各暫定匿名情報に対して、暫定属性情報が同一となる匿名IDの数(k−匿名性)を集計する。
そして、個人情報匿名化部232は、各暫定匿名情報を、匿名IDと、匿名化レベルと、暫定匿名情報が同一の匿名IDの数と、個人情報識別番号と、暫定匿名情報の基となった個人情報識別番号と、それぞれ対応付けて関連情報データベース222に記録し(A7)、匿名化制御部231に匿名化の完了を通知する(A8)。
匿名化制御部231は、個人情報匿名化部232から匿名化の完了通知を受けると、関連情報データベース222に記憶されている各暫定匿名情報が、基準匿名性を満たしているか否かの判定を匿名性判定部233に要求する(A9)。
匿名性判定部233は、基準匿名性記憶部224に記憶されている基準匿名性と、関連情報データベース222に記録されている「暫定匿名情報が同一の匿名IDの数の最小値」とを比較する(A10)。
匿名性判定部233は、比較の結果、関連情報データベース222に記憶されている「暫定匿名情報が同一の匿名IDの数の最小値」が基準匿名性未満であれば、その旨を匿名化制御部231に通知する(A11)。
同様に、匿名性判定部233は、比較の結果、関連情報データベース222に記憶されている「暫定匿名情報が同一の匿名IDの数の最小値」が基準匿名性以上であれば、その旨を匿名化制御部231に通知する(A11)。
匿名化制御部231は、匿名性判定部233から、関連情報データベース222に記憶されている「暫定匿名情報が同一の匿名IDの数の最小値」が基準匿名性未満である旨の通知を受けた場合には、匿名化レベルを一つ上げて、再度、個人情報匿名化部232に、匿名化を指示する(A12)。
以後、匿名化制御部231は、匿名性判定部233から、関連情報データベース222に記憶されている「暫定匿名情報が同一の匿名IDの数の最小値」が基準匿名性以上である旨の通知を受けるまで、匿名化レベルを一つずつ上げて、個人情報匿名化部232に匿名化を指示する(A4〜A11)。
一方、匿名化制御部231は、匿名性判定部233から、関連情報データベース222に記憶されている「暫定匿名情報が同一の匿名IDの数の最小値」が基準匿名性以上である旨の通知を受けると(A11、A12)、関連情報データベース222に記憶されている暫定匿名情報を読み込み(A13)、読み込んだ暫定匿名情報を、匿名情報として、匿名情報データベース225に書き込む(A14)。
<基準匿名性変更時の処理>
匿名性保証装置200の管理者が、基準匿名性を変更した場合の匿名性保証装置200の動作について説明する。
匿名性保証装置200の管理者が、基準匿名性を変更すると、基準匿名性記憶部224は、個人情報データベース221に記録されている個人情報の匿名化を、匿名化制御部231に要求する(A3)。以降の処理は、上記A4〜A14と同様である。
<個人情報削除要求受信時の処理>
図14のシーケンス図を参照して、利用者端末100から個人情報削除要求を受信した場合の、匿名性保証装置200の動作について説明する。個人情報削除要求とは、利用者が匿名性保証装置200への個人情報の提供を中止したいと考えた場合に、その利用者の利用者端末100から送信される要求である。
匿名性保証装置200は、利用者端末100から個人情報削除要求を受信した場合には、その利用者の個人情報と識別情報とを個人情報データベース221から削除すると共に、関連情報データベース222や匿名情報データベース225からも、その利用者の個人情報と識別情報とを基に生成された情報を削除する。この場合、匿名情報データベース225に記憶されているいずれかの匿名情報が基準匿名性を満たさなくなる可能性がある。
そのため、本実施形態に係る匿名性保証装置200は、個人情報削除要求を受信した場合には、以下を処理する。
個人情報更新受付部210は、利用者端末100から個人情報削除要求を受信する(B1)。そうすると、個人情報更新受付部210は、個人情報削除要求を送信してきた利用者端末100の利用者の個人情報と識別情報とを個人情報データベース221から削除する(B2)。
また、個人情報更新受付部210は、匿名化制御部231に、その利用者の個人情報と識別情報とを基に生成されたすべての情報を、関連情報データベース222及び匿名情報データベース225からの削除を指示する(B3)。
匿名化制御部231は、関連情報データベース222及び匿名情報データベース225から、その利用者の個人情報と識別情報とを基に生成された全ての情報を削除する(B4、B5)。なお、前述したように、関連情報データベース222及び匿名情報データベース225は、匿名情報と、その基となった個人情報との対応付けを、個人情報データベース221における個人情報識別番号を用いて記憶している。従って、匿名情報削除要求を受信した匿名化制御部231は、削除対象の個人情報と識別情報とを基に作成された情報を特定することができる。
そして、匿名化制御部231は、匿名性判定部233に、関連情報データベース222に記録されている各暫定匿名情報が、基準匿名性を満たしているか否かの判定を要求する(B6)。
匿名性判定部233は、基準匿名性記憶部224に記憶されている基準匿名性と、関連情報データベース222に記録されている「暫定属性情報が同一の匿名IDの数の最小値」とを比較する(B7)。
匿名性判定部233は、比較の結果、関連情報データベース222に記憶されている「暫定匿名情報が同一の匿名IDの数の最小値」が基準匿名性未満であれば、その旨を匿名化制御部231に通知する(B8)。
同様に、匿名性判定部233は、比較の結果、関連情報データベース222に記憶されている「暫定匿名情報が同一の匿名IDの数の最小値」が基準匿名性以上であれば、その旨を匿名化制御部231に通知する(B8)。
匿名化制御部231は、匿名性判定部233から、関連情報データベース222に記憶されている「暫定匿名情報が同一の匿名IDの数の最小値」が基準匿名性未満である旨の通知を受けた場合には(B8、B9)、匿名化レベルを一つ上げて、個人情報匿名化部232に、匿名化を指示する。この匿名化の際の匿名性保証装置200の動作は、上記で説明した個人情報受信時における動作(A4〜A14)と同様である。
一方、匿名化制御部231は、匿名性判定部233から、関連情報データベース222に記憶されている「暫定匿名情報が同一の匿名IDの数の最小値」が基準匿名性以上である旨の通知を受けると(B8、B9)、そこで処理を終了する。
本実施形態に係る匿名性保証装置200が提供する全ての匿名情報は、必ず基準匿名性を満たしていることが保証される。そのため、利用者は、個人が特定される不安を抱くことなく安心して個人情報を提供することができる。また、利用者は、利用者の個人情報を利用した便利なサービスの提供を受けることが可能となる。
また、本実施形態に係る匿名性保証装置200は、サービス利用者から個人情報の追加や削除などの更新要求があった場合、又は基準匿名性に変更があった場合でも、必ず基準匿名性を満たした匿名情報を提供することが可能である。
なお、本実施形態における個人情報削除要求受信時の匿名性保証装置200の動作では、個人情報データベース221が記憶する個人情報の匿名化の(A4〜A14)前に、削除対象の情報削除後の暫定匿名情報が基準匿名性を満たしているか否か判定する(B6〜B9)が、判定する前に個人情報データベース221に記憶されている個人情報を読み出して、匿名化を開始することもできる。
この処理に基づき、匿名性保証装置200が作成する全ての匿名情報は、基準匿名性を満たす範囲の中で最小の匿名化レベルで匿名化されるようにできる。
従って、本実施形態の匿名性保証装置200が提供する匿名情報は、必ず基準匿名性を満たしていることが保証されつつ、高い精度を持つことが可能となる。
(第2の実施形態)
第2の実施形態では、利用者端末100は、一例として、GPS(Global Positioning System)を備えた携帯電話機である。
利用者端末100は、匿名性保証装置200に、利用者端末100の「個人情報」と「携帯識別番号」とを送信する。利用者端末100が送信する個人情報は、「位置情報」と、「時刻情報」とを含む。「位置情報」は、利用者端末100の地理的な位置を表し、緯度と経度を含む。「時刻情報」は、GPSで位置情報を測定した時刻を表す。「携帯識別番号」は、位置情報を提供した携帯電話機を特定できる情報である。
利用者端末100が匿名性保証装置200に個人情報を送信するタイミングは、例えば、一定時間間隔毎としても良いし、利用者端末100が任意のタイミングで送信してもかまわない。
匿名性保証装置200は、利用者端末100から受信した個人情報と携帯識別番号とを記憶する。また、匿名性保証装置200は、利用者端末100から受信した個人情報を匿名化し、匿名情報を作成する。本実施形態における匿名化は、位置情報から、個人情報を提供した利用者端末100を特定する困難性を高めるよう、位置情報の精度を下げる処理である。
匿名性保証装置200は、利用者端末100から上記個人情報を受信すると、受信した個人情報を匿名化し、匿名情報を作成する。そして、匿名性保証装置200は、作成した匿名情報をサービス提供者サーバ300に送信する。
サービス提供者サーバ300は、匿名性保証装置200から受信した匿名情報を利用して、利用者端末100の地理的な位置情報を考慮に入れたサービスを利用者端末100に提供する。もしくは、匿名性保証装置200から受信した匿名情報は、行動分析のデータなどに活用する応用も考えられる。
<個人情報データベース>
第二の実施形態における個人情報データベース221の一例を図15に示す。個人情報データベース221は、利用者端末100から受信した個人情報と携帯識別番号とを記憶する。利用者端末100から送信される個人情報は、「位置情報」と「時刻情報」とを含む。「位置情報」は、「緯度」と「経度」に用いて表される。図15の個人情報データベース221は、7つの個人情報を記憶している。個人情報データベース221が記憶する各個人情報は、それぞれ個人情報識別番号に基づいて識別される。個人情報データベース221は、受信した個人情報を、時刻情報の新しい順にソートして記憶してもよい。
<匿名化レベル記憶部>
第二の実施形態における匿名化レベル記憶部223の一例を図16に示す。匿名化レベル記憶部223は、匿名化の際に位置情報をどのように匿名化するかを、匿名化レベルごとに記憶する。例えば、図16に示す匿名化レベル記憶部223は、匿名化レベル1からKまでの匿名化レベル毎に、位置情報をどのように匿名化するかを記憶している。図16に示す例では、匿名化レベルの値が大きいほど、匿名化の際に位置情報の精度を下げる度合いが大きくなる。例えば、匿名化レベル1で緯度と経度を匿名化すると、緯度と経度の小数点以下3位以下の端数が伏せ字となる。匿名化レベル2では、小数点以下2位以下、匿名化レベル3では小数点以下1位以下、匿名化レベルKではすべての桁が伏せ字となる。このように、匿名化レベルが高いほど、匿名化の際に位置情報の精度を下げる度合いが大きくなる。
<関連情報データベース>
第二の実施形態における関連情報データベース222の一例を図17に示す。関連情報データベース222は、個人情報データベース221に記憶されている位置情報を匿名化して生成される「暫定匿名情報」と、「時刻情報」と、「匿名ID」と、「暫定匿名情報のもとになった個人情報の識別番号」と、「暫定匿名情報の匿名化レベル」と、「暫定属性情報が同一の匿名IDの数」とを匿名情報毎に記憶する。暫定匿名情報は、「匿名化後の緯度」と「匿名化後の経度」とを含む。「暫定匿名情報の匿名化レベル」欄は、その暫定匿名情報がどの匿名化レベルで匿名化されたかを記憶する。
匿名ID欄は、個人情報に含まれる「携帯識別番号」を別の文字列に変換することで生成される暫定匿名情報の識別子を記載する。
<匿名情報データベース>
第二の実施形態における匿名情報データベース225の一例を図18に示す。匿名情報データベース225は、「匿名情報」と、「時刻情報」と、「匿名ID」とを記憶する。「匿名情報」とは、前述した暫定匿名情報のうち、基準匿名性を満たしているものを表す。匿名情報は、「匿名化後の緯度」と、「匿名化後の経度」とを含む。匿名情報データベース225が記憶する匿名情報は、後述する匿名情報提供部240を用いて、サービス提供者サーバ300に送信される。
<基準匿名性記憶部>
基準匿名性記憶部224は、基準匿名性を記憶する。ここで基準匿名性とは、本実施形態に係る匿名化に基づいて生成される匿名情報が満足する個人特定困難性の基準値である。例えば、本実施形態では、匿名性保証装置200は、作成する全ての匿名情報を、属性が同一のもの同士でグループ化した場合に各グループに属する匿名IDの個数の最小値が基準匿名性の値を上回るように、匿名化する。
このような処理に基づき、ある匿名情報が第三者に知られたとしても、その匿名情報の基になった個人情報を提供した利用者端末100の台数が「基準匿名性」の数以上あるので、匿名性保証装置200は、個人情報を提供した利用者端末100の特定を困難にできる。基準匿名性は、例えば、匿名性保証装置200の管理者が設定する値である。
<匿名化制御部>
匿名化制御部231は、一定時間間隔毎に、個人情報データベース221に蓄積された個人情報を読み出す。匿名化制御部231は、個人情報匿名化部232に、匿名化レベルを指定し、上記個人情報データベース221から読み出した個人情報を匿名化する。
また、匿名化制御部231は、上記匿名化に基づいて生成される暫定匿名情報を関連情報データベース222から取得して、それらの暫定匿名情報が基準匿名性を満たすかどうかを匿名性判定部233に判定させる。
匿名化制御部231は、判定の結果、匿名化に基づいて生成された上記匿名情報が基準匿名性を満たしていない場合には、匿名化レベルを変更して、再度、個人情報匿名化部232に匿名化させる。また、匿名化制御部231は、判定の結果、匿名化に基づいて生成された上記暫定匿名情報が基準匿名性を満たしている場合には、関連情報データベース222から上記暫定匿名情報を読み込み、匿名情報として匿名情報データベース225に書き込む。
<個人情報匿名化部>
個人情報匿名化部232は、匿名化制御部231から指定される匿名化レベルに応じた内容で、個人情報データベース221に記憶されている個人情報を匿名化する。
<匿名性判定部>
匿名性判定部233は、上記匿名化に基づいて生成される匿名情報が基準匿名性を満たすかどうかを判定する。
<匿名情報提供部>
匿名情報提供部240は、匿名情報データベース225から匿名情報を読み出して、サービス提供者サーバ300に送信する。
<k−匿名性>
ここで、第二の実施形態における「同一の匿名情報を持つ匿名IDの個数(k−匿名性)」について、図17を用いて説明する。図17のテーブルにおいて、「緯度 35.02X、経度 135.02X」という同一の暫定匿名情報が3つ存在している(個人情報識別番号1、3、4で表される暫定匿名情報)。しかし、これら3つの暫定匿名情報は、「緯度 35.02X、経度 135.02X」で現されるエリア内に3台の利用者端末100が存在することを意味していない。何故なら、匿名IDがuser_Aで表される同一の利用者端末100が、時刻を変えて複数回、匿名性保証装置200に個人情報を送信しているからである。実質、「緯度 35.02X、経度 135.02X」という暫定匿名情報を提供しているのは、匿名IDがuser_Aとuser_Cとで表される2台の利用者端末100である。本願発明ではk−匿名性を、匿名情報が同一となる「匿名情報の個数」ではなく、「匿名IDの個数」と定義しているので、個人情報識別番号1、3、4で表される暫定匿名情報のk−匿名性は、2である。
<処理の流れ>
本実施形態の全体の動作について詳細に説明する。
<個人情報受信処理>
図19のシーケンス図を参照して、利用者端末100から個人情報を受信したときの匿名性保証装置200の動作について説明する。個人情報更新受付部210は、利用者端末100から個人情報と携帯識別番号とを受信すると(C1)、受信した個人情報と携帯識別番号とを個人情報データベース221に書き込む(C2)。
<匿名化>
図19のシーケンス図を参照して、匿名化する際の匿名性保証装置200の動作について説明する。簡単のため、本実施形態において、基準匿名性は、2とする。
個人情報更新受付部210は、一定時間間隔ごとに、個人情報データベース221から読み出した個人情報の匿名化を匿名化制御部231に要求する(C3)。
あるいは、個人情報更新受付部210は、任意のタイミングで個人情報データベース221から読み出した個人情報の匿名化を匿名化制御部231に要求するように設定することもできる。
匿名化制御部231は、個人情報更新受付部210から匿名化の要求を受けると、個人情報匿名化部232に、まずは、匿名化レベルを1に指定した匿名化を指示する(C4)。
個人情報匿名化部232は、匿名化の指示を受けると、個人情報データベース221に記憶されている個人情報を読み出す(C5)。個人情報匿名化部232は、上記個人情報データベース221から個人情報を読み出す際に、時刻情報が新しい個人情報を読み出す。本実施形態では、匿名化する当日の日付の時刻情報を持つ個人情報を読み出すと仮定する。今、例えば、9月10日の01時00分に匿名化するとする。この場合、例えば、個人情報データベース221に、図15が示すような個人情報が記憶されていると仮定すると、個人情報匿名化部232は、個人情報識別番号1〜6までの個人情報を読み出す。
個人情報匿名化部232は、読み出した個人情報の匿名化を開始する(C6)。まず、個人情報匿名化部232は、各個人情報それぞれ含まれる携帯識別番号を匿名IDに置き換える。匿名IDは、利用者端末100を特定できない文字列である。
次に、個人情報匿名化部232は、匿名化レベル記憶部223を参照して、各個人情報を、匿名化レベル1で特定される内容で匿名化し、暫定匿名情報を生成する。また、個人情報匿名化部232は、匿名化後の各暫定匿名情報に対して、暫定属性情報が同一となる匿名IDの数(k−匿名性)を集計する。
そして、個人情報匿名化部232は、各暫定匿名情報を、個人情報識別番号と、匿名IDと、時刻情報と、匿名化レベルと、暫定属性情報が同一の匿名IDの数と、それぞれ対応付けて関連情報データベース222に記録し(C7)、匿名化制御部231に匿名化の完了を通知する(C8)。
匿名化制御部231は、個人情報匿名化部232から匿名化の完了通知を受けると、関連情報データベース222に記録されている各暫定匿名情報が、基準匿名性を満たしているか否かの判定を匿名性判定部233に要求する(C9)。
匿名性判定部233は、基準匿名性記憶部224に記憶されている基準匿名性と、関連情報データベース222に記録されている暫定属性情報が同一の匿名IDの数と、を比較する(C10)。
匿名性判定部233は、比較の結果、関連情報データベース222に記憶されている匿名化後の個人情報の中で、一つでも基準匿名性を満たしていないものがあれば、その旨を匿名化制御部231に通知する(C11、C12)。
匿名化制御部231は、匿名性判定部233から、関連情報データベース222に記憶されている暫定匿名情報の中で、一つでも基準匿名性を満たしていないものがあった旨の通知を受けた場合には、匿名化レベルを一つ上げて、再度、個人情報匿名化部232に、匿名化を指示する(C4)。
以後、匿名化制御部231は、匿名性判定部233から、関連情報データベース222に記憶されている全ての暫定匿名情報が基準匿名性を満たしている旨の通知を受けるまで、匿名化レベルを一つずつ上げて、個人情報匿名化部232に匿名化を指示する(C4〜C11)。
同様に、匿名性判定部233は、比較の結果、関連情報データベース222に記憶されている全ての暫定匿名情報が基準匿名性を満たしていれば、その旨を匿名化制御部231に通知する(C11、C12)。本実施形態では、図17に示すように、匿名化レベル1で匿名化して生成した全ての暫定匿名情報の「匿名化後の属性が同一の匿名IDの数(k−匿名性)」が基準匿名性を満たしているので、匿名化を繰り返すことなくC13以下のステップに進む。
匿名化制御部231は、匿名性判定部233から、関連情報データベース222に記憶されている全ての個人情報が基準匿名性を満たしている旨の通知を受けると(C12)、関連情報データベース222に記憶されている暫定匿名情報を読み込み(C13)、読み込んだ暫定匿名情報を匿名情報として、匿名情報データベース225に書き込む(C14)。
<個人情報削除要求受信時の処理>
次に、図20のシーケンス図を用いて、第二の実施形態における利用者端末100から個人情報削除要求を受信した場合の匿名性保証装置200の動作を説明する。個人情報削除要求とは、利用者が匿名性保証装置200への個人情報の提供を中止したいと考えた場合に、その利用者の利用者端末100から送信される要求である。
匿名性保証装置200は、利用者端末100から個人情報削除要求を受信した場合には、その利用者の個人情報と識別情報とを個人情報データベース221から削除すると共に、関連情報データベース222や匿名情報データベース225からも、その利用者の個人情報と識別情報とを基に生成された情報を削除する。
この場合、匿名情報データベース225に記憶されているいずれかの匿名情報が基準匿名性を満たさなくなる可能性がある。
そのため、本実施形態に係る匿名性保証装置200は、個人情報削除要求を受信した場合には、以下を処理する。
現在、個人情報データベース221は、図15に示すような個人情報を記憶していると仮定する。匿名性保証装置200が、携帯識別番号Aで表される利用者端末100の利用者から個人情報削除要求を受信したと仮定して、個人情報削除要求を受信した場合の第二の実施形態における匿名性保証装置200の動作について説明する。
個人情報更新受付部210は、利用者端末100から個人情報削除要求を受信する(D1)。そうすると、個人情報更新受付部210は、個人情報削除要求を送信してきた利用者端末100の利用者の個人情報と識別情報とを個人情報データベース221から削除する(D2)。
また、個人情報更新受付部210は、匿名化制御部231に、その利用者の個人情報と識別情報とを基に生成されたすべての情報の、関連情報データベース222及び匿名情報データベース225からの削除を指示する(D3)。匿名化制御部231は、関連情報データベース222及び匿名情報データベース225から、その利用者の個人情報と識別情報とを基に生成された全ての情報を削除する(D4、D5)。削除後の関連情報データベース222が記憶する暫定匿名情報を、図21に示す。
なお、前述したように、匿名情報データベース225は、匿名情報と、その基となった個人情報との対応付けを、個人情報データベース221における個人情報識別番号を用いて記憶している。従って、匿名情報削除要求を受信した匿名化制御部231は、削除対象の個人情報を基に作成された匿名情報を特定できる。
そして、匿名化制御部231は、匿名性判定部233に、関連情報データベース222に記録されている各暫定匿名情報が、基準匿名性を満たしているか否かの判定を要求する(D6)。
匿名性判定部233は、基準匿名性記憶部224に記憶されている基準匿名性と、関連情報データベース222が記録している同一の暫定匿名情報を持つ匿名IDの数とを比較する(D7)。
図21を参照すると、携帯識別番号Aから受信した個人情報を基に作成された暫定匿名情報が関連情報データベース222から削除された結果、個人情報識別番号2,4,5いずれの前提匿名情報も「匿名化後の属性が同一の匿名IDの数(k−匿名性)」が基準匿名性(=2)を満たせなくなることがわかる。個人情報識別番号2、5の暫定匿名情報は、緯度、経度とも同一であるが、個人情報識別番号2、5の暫定匿名情報の基となった個人情報を提供した利用者端末は、匿名IDがuser_Bで表される1台である。従って、個人情報識別番号2、5の暫定匿名情報の「匿名化後の属性が同一の匿名IDの数(k−匿名性)」は、1である。これは、基準匿名性(=2)を満たさない。
匿名性判定部233は、比較の結果、関連情報データベース222に記憶されている暫定匿名情報の中で、一つでも基準匿名性を満たしていないものがあれば、その旨を匿名化制御部231に通知する(D8)。
同様に、匿名性判定部233は、比較の結果、関連情報データベース222に記憶されている全ての暫定匿名情報が基準匿名性を満たしていれば、その旨を匿名化制御部231に通知する(D8)。
匿名化制御部231は、匿名性判定部233から、関連情報データベース222に記憶されている暫定匿名情報の中で、一つでも基準匿名性を満たしていないものがあった旨の通知を受けた場合には(D8、D9)、匿名化レベルを一つ上げて、個人情報匿名化部232に、匿名化を指示する。この匿名化の際の匿名性保証装置200の動作は、上記説明した個人情報受信時における動作(C4〜C14)と同様である。
本実施形態では、匿名化レベル1での匿名化の結果生成した暫定匿名情報が基準匿名性を満たさないので、匿名化レベル2で再度匿名化することになる。
匿名化レベル2で匿名化して生成した暫定匿名情報を図22に示す。図22において、個人情報識別番号2、4、5の暫定匿名情報は、緯度、経度とも同一で、基となった個人情報はuser_Bとuser_Cの2台の利用者端末から受信したことがわかる。従って、個人情報識別番号2、4、5の暫定匿名情報は、「匿名化後の属性が同一の匿名IDの数(k−匿名性)」が2である。この処理に基づき、すべての暫定匿名情報が基準匿名性(=2)を満たすので、暫定匿名情報は、匿名情報データベース225に匿名情報として記憶される(図23
本実施形態に係る匿名性保証装置200に基づけば、匿名性保証装置200が提供する全ての匿名情報は、必ず基準匿名性を満たしていることが保証される。そのため、利用者は、個人が特定される不安を抱くことなく安心して利用者端末の位置情報を提供することができる。また、利用者は、利用者端末の地理的な情報を利用した便利なサービスの提供を受けることが可能となる。
(第3の実施形態)
第3の実施形態では、匿名化レベル記憶部223は、緯度経度と地域メッシュコードとの対応関係を記憶するテーブルと、図24に示すような、匿名化レベルと地域メッシュコードの次数とを対応して記憶するテーブルとの、2つのテーブルを記憶する。
地域メッシュコードとは、総務省が定めた「統計に用いる標準地域メッシュおよび標準地域メッシュコード」(昭和48年行政管理庁告示第143号)のことである。地域メッシュコードは、統計に利用するために、地図を緯度及び経度に沿って区画して成る区域を、識別子を用いて表現した位置情報の識別情報である。
地域メッシュコードは、階層的な構造をしており、区域の広い順に、第一次メッシュ、第二次メッシュ、第三次メッシュ、2分の1地域メッシュの4階層から成る。第一次メッシュの中には、64個の第二次メッシュが包含される。第二次メッシュの中には、100個の第三次メッシュが包含される。第三次メッシュの中には、4つの2分の1地域メッシュが包含される。地域メッシュは、各階層の区域の識別子を列挙した形で表現される。
第一次メッシュは、4桁の数字で表される。第一次メッシュは、20万分の1の地勢図の1図葉の区画を1単位区画としたもので、緯度差は40分、経度差は1度となっている。1辺の長さは約80kmである。一次メッシュコードは、4桁の数字で、上2桁が緯度(1.5倍して分以下を切り上げたもの)、下2桁が経度(下2桁)を表す。
第二次メッシュは、第一次メッシュと合わせて3570−12のように表される。上4桁の3570が第一次メッシュを、続く12が第二次メッシュを表す。第二次メッシュは、第一次メッシュを緯線方向及び経線方向に8等分してできる区域で、1辺の長さは約10kmである。第二次メッシュコードは、2桁の数字で、上1桁が緯度方向、下1桁が経度方向を表す。
第三次メッシュは、緯線方向及び経線方向に10等分してできる区域であり、緯度差は30秒、経度差は45秒で、1辺の長さは約1kmである。第三次メッシュコードは、第二次メッシュコードと同様に2桁の数字で、上1桁が緯度方向、下1桁が経度方向を表す。これに第一次・第二次メッシュコードを合せて、第三次メッシュは、3570−12−34のように表す。
さらに細かな地域区分として2分の1地域メッシュがある。2分の1地域メッシュは、第三次メッシュを縦横に2等分したものである。南西側のメッシュを1、南東を2、北西を3、北東を4として、2分の1地域メッシュは、3570−12−34−3のように表す。
本実施形態における個人情報匿名化について図19を用いて説明する。第二の実施形態との差異があるのはC6のステップである。
まず、個人情報匿名化部232は、各個人情報にそれぞれ含まれる携帯識別番号を匿名IDに置き換える。匿名IDは、利用者端末100を特定できない文字列である。
次に、個人情報匿名化部232は、匿名化レベル記憶部223を参照して、各個人情報の緯度、経度で表される位置情報を地域メッシュコードに変換する。それから、個人情報匿名化部232は、地域メッシュコードに変換された各個人情報の位置情報に対して、図24に示すような匿名化レベルと処理内容とを対応させたテーブルを参照して、匿名化レベル1で特定される内容で匿名化し、暫定匿名情報を生成する。また、個人情報匿名化部232は、匿名化後の各暫定匿名情報に対して、暫定属性情報が同一となる匿名IDの数(k−匿名性)を集計する。他の処理に関しては、第二の実施形態と同様である。
本実施形態に係る匿名性保証装置200に基づけば、匿名性保証装置200が提供する全ての匿名情報は、必ず基準匿名性を満たしていることが保証される。そのため、利用者は、個人が特定される不安を抱くことなく安心して個人情報を提供することができる。また、利用者は、利用者端末の地理的な情報を利用した便利なサービスの提供を受けることが可能となる。
また、地域メッシュコードは、総務省が定めたものであり、各種統計によく用いられている。従って、匿名性保証装置200から受信した匿名情報を、行動分析のデータなどに活用したときに、例えば、他の統計情報と組み合わせて分析することが容易である。もちろん、地域メッシュコードは、総務省が定めたもの以外にも、独自に作成したものを用いても良い。
(その他の実施形態)
匿名化レベル記憶部(特許請求の範囲に記載のアルゴリズム定義部に相当する)223が記憶する処理内容は、個人情報の記載内容の一部を削除する処理を含むことができる。
匿名化レベル記憶部(特許請求の範囲に記載のアルゴリズム定義部に相当する)223が記憶する処理内容は、個人情報の記載内容の一部をより上位概念の語句に置き換える処理を含むことができる。
個人情報データベース221が記憶する個人情報は、匿名性保証装置(特許請求の範囲に記載の情報処理装置に相当する)200と通信可能に接続される複数の携帯電話機のそれぞれの位置情報を含むことができる。各携帯電話機の位置情報は、各携帯電話機の所在地の緯度および経度を示す情報を含むことができる。匿名化レベル記憶部223が記憶する処理内容は、緯度および経度の少なくとも一方の精度を下げる処理を含むことができる。
匿名化レベル記憶部(特許請求の範囲に記載のアルゴリズム定義部に相当する)223は、地図を緯度及び経度に沿って階層的に区画して成る最下層の区域をその区域を包含する各階層の区域の識別子を階層順に列挙して表現した識別情報と、最下層の区域の範囲を緯度及び経度で表した情報とを各最下層の区域についてそれぞれ対応付けて記憶すると共に、最下層の区域の識別情報を構成する各階層の識別子のうち、最下層の識別子からどの階層までの識別子を削除するかを示す複数のアルゴリズムを、より上位階層まで削除するアルゴリズムほど大きな数値となるアルゴリズム識別情報と対応付けて記憶することができる。
個人情報匿名化部(特許請求の範囲に記載の記載内容変更部と記載内容別提供者数算出部に相当する)232は、アルゴリズム定義部を参照し、個人情報データベース221に記憶されている各携帯電話機の所在地の緯度及び経度を示す各情報を、それぞれ対応する最下層の区域の識別情報に変換し、各識別情報を構成する各階層の識別子のうち最下層の識別子からアルゴリズムで定まる階層の識別子までを削除することができる。
アルゴリズムは、個人情報の記載内容の一部を削除する処理を含むことができる。
アルゴリズムは、個人情報の記載内容の一部をより上位概念の語句に置き換える処理を含むことができる。
各携帯電話機の位置情報は、各携帯電話機の所在地の緯度および経度を示す情報を含むことができる。
アルゴリズムは、緯度および経度の少なくとも一方の精度を下げる処理を含むことができる。
アルゴリズム定義部は、地図を緯度及び経度に沿って階層的に区画して成る最下層の区域をその区域を包含する各階層の区域の識別子を階層順に列挙して表現した識別情報と、最下層の区域の範囲を緯度及び経度で表した情報とを各最下層の区域についてそれぞれ対応付けて記憶すると共に、最下層の区域の識別情報を構成する各階層の識別子のうち、最下層の識別子からどの階層までの識別子を削除するかを示す複数のアルゴリズムを、より上位階層まで削除するアルゴリズムほど大きな数値となるアルゴリズム識別情報と対応付けて記憶することができる。
記載内容変更部は、アルゴリズム定義部を参照し、個人情報データベースに記憶されている各携帯電話機の所在地の緯度及び経度を示す各情報を、それぞれ対応する最下層の区域の識別情報に変換し、各識別情報を構成する各階層の識別子のうち最下層の識別子からアルゴリズムで定まる階層の識別子までを削除することができる。
なお、本発明の匿名性保証装置は、図2に示す構成に限らない。
図25は、本発明の別の実施形態に係る匿名性保証装置250の構成の一例を示すブロック図である。図25において、図2と同じ構成には同じ番号を付し詳細な説明は、省略する。
図25に示す匿名性保証装置250は、個人情報データベース221と、匿名化レベル記憶部223と、個人情報匿名化部232と、匿名性判定部233とを含む。個人情報匿名化部232は、記載内容変更部234と、記載内容別提供者数算出部235とを含む。
個人情報データベース221は、複数の個人情報を、各個人情報の提供者の識別情報とそれぞれ対応付けて記憶する。匿名化レベル記憶部223は、各個人情報の記載内容を匿名化する内容を定義した複数種類のアルゴリズムを、アルゴリズム識別情報とそれぞれ対応付けて記憶する。記載内容変更部234は、個人情報データベース221に記憶されている各個人情報の記載内容を、所定のアルゴリズム識別情報に対応するアルゴリズムに従って変更する。記載内容別提供者数算出部235は、変更後の記載内容毎に、各変更後の記載内容に変更される個人情報の提供者数を算出する。匿名性判定部233は、各提供者数のうちの最小値を所定の基準値と比較する。そして、記載内容変更部234が、最小値が基準値以上になるまで、各アルゴリズム識別情報に対応するアルゴリズムで個人情報データベース221に記憶されている各個人情報の記載内容を変更する。匿名性保証装置250は、これら処理を繰り返すして、匿名性保証装置200と同様の効果を実現する。
ここで、匿名性保証装置250は、特許請求の範囲に記載の情報処理装置に相当し、匿名化レベル記憶部223は、特許請求の範囲に記載のアルゴリズム定義部に相当し、匿名性判定部233は、特許請求の範囲の比較部に相当する。
なお図25に示す匿名性保証装置250は、本発明の最小構成となっている。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2010年5月10日に出願された日本出願特願2010−108050を基礎とする優先権を主張し、その開示の全てをここに取り込む。
【符号の説明】
【0008】
100 利用者端末
100A 利用者端末
100B 利用者端末
110 個人情報送信部
120 サービス要求送信部
130 サービス受信部
200 匿名性保証装置
201 CPU
202 メモリ
203 ポート
204 ハードディスクドライブ
205 記録媒体
206 記録媒体読取装置
207 入力装置
208 出力装置
210 個人情報更新受付部
220 データベース
221 個人情報データベース
222 関連情報データベース
223 匿名化レベル記憶部
224 基準匿名性記憶部
225 匿名情報データベース
230 個人情報匿名化プログラム
231 匿名化制御部
232 個人情報匿名化部
233 匿名性判定部
234 記載内容変更部
235 記載内容別提供者数算出部
240 匿名情報提供部
300 サービス提供者サーバ
310 サービス要求受信部
320 匿名情報要求部
330 匿名情報取得部
340 サービス実行部
350 サービス送信部
400 ネットワーク
1000 匿名性保証システム
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
図19
図20
図21
図22
図23
図24
図25
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.