特許6192601 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社日立ソリューションズの特許一覧

特許6192601パーソナル情報管理システム及びパーソナル情報匿名化装置

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6192601

(24)【登録日】2017年8月18日

(45)【発行日】2017年9月6日

(54)【発明の名称】パーソナル情報管理システム及びパーソナル情報匿名化装置

(51)【国際特許分類】

G06F 21/62 20130101AFI20170828BHJP

G09C 1/00 20060101ALI20170828BHJP

【ＦＩ】

G06F21/62 354

G09C1/00 660D

【請求項の数】2

【全頁数】11

(21)【出願番号】特願2014-129680(P2014-129680)

(22)【出願日】2014年6月24日

(65)【公開番号】特開2016-9338(P2016-9338A)

(43)【公開日】2016年1月18日

【審査請求日】2016年9月7日

(73)【特許権者】

【識別番号】000233055

【氏名又は名称】株式会社日立ソリューションズ

(74)【代理人】

【識別番号】100091096

【弁理士】

【氏名又は名称】平木祐輔

(74)【代理人】

【識別番号】100102576

【弁理士】

【氏名又は名称】渡辺敏章

(74)【代理人】

【識別番号】100114546

【弁理士】

【氏名又は名称】頭師教文

(72)【発明者】

【氏名】岡田健一

(72)【発明者】

【氏名】中村雄一

(72)【発明者】

【氏名】井堀和明

【審査官】平井誠

(56)【参考文献】

【文献】国際公開第２０１１／１４５４０１（ＷＯ，Ａ１）

【文献】国際公開第２０１３／０３１９９７（ＷＯ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ２１／６２

(57)【特許請求の範囲】

【請求項1】

匿名化対象データ及び一般化階層データを同じ秘密鍵を用いて暗号化する機能と、処理結果を暗号化匿名化対象データ及び暗号化一般化階層データとして匿名化装置に送信する機能と、前記匿名化装置から受信した匿名化暗号データを復号して匿名化データを生成する機能とを有するデータ管理装置と、
ネットワーク経由で接続された前記データ管理装置に対して匿名化処理サービスを提供する匿名化装置であり、前記暗号化匿名化対象データ及び前記暗号化一般化階層データを受信する機能と、前記暗号化匿名化対象データを前記暗号化一般化階層データに従って匿名化する機能と、処理結果を前記匿名化暗号データとして前記データ管理装置に送信する機能とを有する匿名化装置と
を有するパーソナル情報管理システム。

【請求項2】

ネットワーク経由で接続されたデータ管理装置に対して匿名化処理サービスを提供するパーソナル情報匿名化装置であって、
前記データ管理装置において同じ秘密鍵を用いて暗号化された匿名化対象データ及び一般化階層データを、それぞれ暗号化匿名化対象データ及び暗号化一般化階層データとして受信する機能と、
前記暗号化匿名化対象データを前記暗号化一般化階層データに従って匿名化する機能と、
処理結果を匿名化暗号データとして前記データ管理装置に送信する機能と
を有するパーソナル情報匿名化装置。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、匿名化処理サービスの利用側の装置と匿名化処理サービスの提供側の装置で構成されるパーソナル情報管理システムに関する。

【背景技術】

【0002】

クラウドコンピューティングや分散処理技術の発展により、これまで企業や団体で蓄積されてきた大量のデータの分析や利活用が現実的な時間で可能となってきている。これらのデータには、多くの場合、(1)氏名や住所のように個人を特定できる情報、(2)年齢、職業、学歴のように必ずしも個人を特定するものではないが個人に関連する情報が含まれている。以下、これらの情報を「パーソナル情報」と呼ぶ。パーソナル情報を利活用する現場では、プライバシーの保護に対する十分な配慮が求められる。

【0003】

しかし、プライバシーの保護は、個人情報保護法で定める個人情報をデータから削除するだけでは十分でないことがある。例えば識別番号のようにそれ自体で個人を特定できる情報をデータから削除しても、それぞれ単独では個人を特定できない属性情報（例えば年齢、国籍、職業）の組み合わせにより、個人を特定できる場合がある。このような場合が、パーソナル情報を利活用する上での技術課題の一つとして知られている。

【0004】

この技術課題を解決するための手段の一つに、ｋ−匿名化技術がある。ここで、「ｋ−匿名性を満たす」とは、データを構成する属性を組み合わせても個人を一意に特定することができず、同じ属性値の組み合わせを有するデータがデータベース内に少なくともｋ個存在する状態を言う。「ｋ−匿名化技術」は、前述の「ｋ−匿名性を満たす」ようにデータを加工（匿名化）処理する技術をいう。ｋ−匿名化技術では、匿名化対象のデータに対して、どのように加工（匿名化）するかを定義した情報「一般化階層定義」を用い、データの匿名化処理を行う。つまり、匿名化対象データと一般化階層データの両方を処理装置（例えばコンピュータ）に入力することで、匿名化データが生成される。その処理動作例は、特許文献１や非特許文献１に詳細に述べられている。

【先行技術文献】

【特許文献】

【0005】

【特許文献1】国際公開第２０１１／１４５４０１号

【非特許文献】

【0006】

【非特許文献1】（株）日立コンサルティング：「平成２１年度経済産業省情報大航海プロジェクト（基盤共通技術の開発・改良と検証）パーソナル情報保護・解析基盤の開発・完了と検証個人情報匿名化基盤外部仕様書」ｐ．５３（２０１０年０３月）

【発明の概要】

【発明が解決しようとする課題】

【0007】

現在、パーソナル情報の匿名化処理自体をクラウドサービスとして提供するビジネス形態がある。このビジネス形態の場合、サービスを利用する側は、インターネット経由で、サービスを提供する側に匿名化対象データを渡す必要がある。しかし、このデータの流れは、利用側の保持するデータの内容が、サービスの提供側である第三者に晒されるリスクを伴う。

【0008】

そこで、本発明者らは、匿名化処理サービスの利用側と匿名化処理サービスの提供者が異なる場合（例えばクラウドサービスとして提供される匿名化処理サービスを利用する場合）にも、利用者側の保持するデータの中身を第三者に晒さずに済み、しかも、情報漏えい等のリスクも低下させることができる仕組みを提供する。

【課題を解決するための手段】

【0009】

上記課題を解決するために、例えば特許請求の範囲に記載の構成を採用する。本明細書は上記課題を解決する手段を複数含んでいるが、その一例を挙げるならば、「匿名化対象データ及び一般化階層データを同じ秘密鍵を用いて暗号化する機能と、処理結果を暗号化匿名化対象データ及び暗号化一般化階層データとして匿名化装置に送信する機能と、前記匿名化装置から受信した匿名化暗号データを復号して匿名化データを生成する機能とを有するデータ管理装置と、ネットワーク経由で接続された前記データ管理装置に対して匿名化処理サービスを提供する匿名化装置であり、前記データ管理装置から前記暗号化匿名化対象データ及び前記暗号化一般化階層データを受信する機能と、前記暗号化匿名化対象データを前記暗号化一般化階層データに従って匿名化する機能と、処理結果を前記匿名化暗号データとして前記データ管理装置に送信する機能とを有する匿名化装置と、を有するパーソナル情報管理システム」を特徴とする。

【0010】

また、他の一例を挙げるならば、「ネットワーク経由で接続されたデータ管理装置に対して匿名化処理サービスを提供するパーソナル情報匿名化装置であって、前記データ管理装置において同じ秘密鍵を用いて暗号化された匿名化対象データ及び一般化階層データを、それぞれ暗号化匿名化対象データ及び暗号化一般化階層データとして受信する機能と、前記暗号化匿名化対象データを前記暗号化一般化階層データに従って匿名化する機能と、処理結果を匿名化暗号データとして前記データ管理装置に送信する機能とを有するパーソナル情報匿名化装置」を特徴とする。

【発明の効果】

【0011】

本発明によれば、利用者側の保持するデータの中身を第三者に晒すことなく匿名化処理サービスを利用でき、しかも、情報漏えい等のリスクも低下させることができる。前述した以外の課題、構成及び効果は、以下の実施の形態の説明により明らかにされる。

【図面の簡単な説明】

【0012】

【図1】パーソナル情報管理システムの実施例を示す図。

【図2】パーソナル情報管理システムで実行されるデータ処理の概要を示す図。

【図3】匿名化対象データの暗号化処理の流れを説明するフローチャート。

【図4】暗号化前後の匿名化対象データを説明する図。

【図5】一般化階層データの暗号化処理の流れを説明するフローチャート。

【図6】暗号化前後の一般化階層データを説明する図。

【図7】匿名化暗号データの復号処理の流れを説明するフローチャート。

【図8】復号前後の匿名化対象データを説明する図。

【図9】サービスの提供イメージを示す図。

【発明を実施するための形態】

【0013】

以下、添付の図面に基づいて、本発明の実施の形態を説明する。ただし、本発明の実施の態様は、本発明の一例に過ぎず、本発明の技術的範囲を限定するものではない。

【0014】

（１）パーソナル情報管理システムの全体構成
図１に、パーソナル情報管理システムの全体構成の一例を示す。本システムは、インターネット経由で接続された匿名化データ管理装置１００と匿名化装置２００で構成される。匿名化データ管理装置１００は、匿名化処理サービスを利用する側のサーバ又は端末装置である。匿名化装置２００は、匿名化処理サービスを提供する側のサーバ装置又は端末装置である。図１では、説明を簡単にするために、匿名化データ管理装置１００と匿名化装置２００をそれぞれ１台ずつ描いているが、いずれも複数台存在しても良い。本システムは、匿名化処理サービスの利用者と提供者が異なる場合を想定している。匿名化処理サービスは、例えばクラウドサービスの一つとして提供される。

【0015】

（１−１）匿名化データ管理装置１００の構成
匿名化データ管理装置１００は、例えばコンピュータ（サーバを含む）として構成される。すなわち、匿名化データ管理装置１００は、各種のプログラムを実行するＣＰＵ、ＢＩＯＳ等を記憶するＲＯＭ、各種のプログラムに実行領域や作業領域を提供するＲＡＭ、各種のプログラムやデータを格納するハードディスク装置、入出力インタフェース（通信インタフェースを含む）、入力装置（例えばマウス、キーボード）、出力装置（例えばディスプレイ）等で構成される。後述する処理部はプログラムの実行を通じて提供される。また、後述する各種のデータは、ＲＡＭやハードディスク装置に記憶される。

【0016】

匿名化対象データ入力処理部１０１は、匿名化対象であるデータ（匿名化対象データ１１０）をＲＡＭ上にロードする処理部である。一般化階層データ作成処理部１０２は、匿名化処理の実行時に必要となる一般化階層データ１１１を作成する処理部である。ここで、一般化階層データ１１１は、匿名化対象データ１１０を匿名化するときの変換方法を定義するデータである。匿名化対象データ暗号化処理部１０３は、匿名化対象データ入力処理部１０１がロードした匿名化対象データ１１０を秘密鍵１１３によって暗号化する処理部である。一般化階層データ暗号化処理部１０４は、一般化階層データ作成処理部１０２が作成した一般化階層データ１１１を秘密鍵１１３によって暗号化する処理部である。ここで、匿名化対象データの暗号化に使用する秘密鍵１１３と一般化階層データ１１１の暗号化に使用する秘密鍵１１３は同じものである。

【0017】

暗号化匿名化対象データ出力処理部１０５は、匿名化対象データ暗号化処理部１０３による暗号化により生成された暗号化匿名化対象データ１１４を、インターネット経由で匿名化装置２００に出力する処理部である。暗号化一般化階層データ出力処理部１０６は、一般化階層データ暗号化処理部１０４による暗号化により生成された暗号化一般化階層データ１１５を、インターネット経由で匿名化装置２００に出力する処理部である。

【0018】

匿名化暗号データ入力処理部１０７は、匿名化処理により生成された匿名化暗号データ１１２をインターネット経由で匿名化装置２００から受け取ってＲＡＭ上にロードする処理部である。匿名化暗号データ復号処理部１０８は、前述した秘密鍵１１３を使用して、ＲＡＭ上にロードされた匿名化暗号データ１１２を復号化する処理部である。匿名化データ出力部１０９は、復号化によって生成された平文（最終的な匿名化処理結果としての匿名化データ１１６）をハードディスク装置に書き込む処理部である。以上のように、匿名化データ管理装置１００は、匿名化サービスの利用に先立って、匿名化対象データ１１０及び一般化階層データ１１１を暗号化する処理と、匿名化装置２００から戻される匿名化暗号データ１１２を復号して特定の属性が匿名化された匿名化データ１１６を生成する処理とを実行する。

【0019】

（１−２）匿名化装置２００の構成
匿名化装置２００は、例えばコンピュータ（サーバを含む）として構成される。すなわち、匿名化装置２００は、各種のプログラムを実行するＣＰＵ、ＢＩＯＳ等を記憶するＲＯＭ、各種のプログラムに実行領域や作業領域を提供するＲＡＭ、各種のプログラムやデータを格納するハードディスク装置、入出力インタフェース（通信インタフェースを含む）、入力装置（例えばマウス、キーボード）、出力装置（例えばディスプレイ）等で構成される。後述する処理部はプログラムの実行を通じて提供される。また、後述する各種のデータは、ＲＡＭやハードディスク装置に記憶される。

【0020】

暗号化匿名化対象データ入力処理部２０１は、インターネット経由で暗号化匿名化対象データ１１４（暗号化された状態の匿名化対象データ）を受信する処理部である。暗号化一般化階層データ入力処理部２０２は、インターネット経由で暗号化一般化階層データ１１５（暗号化された状態の一般階層化データ）を受信する処理部である。暗号化データ匿名化処理部２０３は、前述の暗号化一般化階層データ１１５に基づいて暗号化匿名化対象データ１１４を匿名化する処理部である。この匿名化処理により匿名化暗号データ１１２が生成される。匿名化暗号データ出力処理部２０４は、匿名化暗号データ１１２をインターネット経由で匿名化データ管理装置１００に返却する処理部である。以上のように、匿名化装置２００は、暗号化された状態の匿名化対象データ１１０（暗号化匿名化対象データ１１４）を、同じく暗号化された状態の一般化階層データ１１１（暗号化一般化階層データ１１５）によって匿名化する処理と、生成された匿名化暗号データ１１２をデータの提供元である匿名化データ管理装置１００に戻す処理とを実行する。

【0021】

このように、匿名化装置２００は、匿名化したいデータを受け取る機能部と、匿名化したいデータに適用する一般化階層データを受け取る機能部と、匿名化したいデータの匿名化処理を実行する機能部と、匿名化処理の結果である匿名化暗号データを出力する機能部を備えていれば良い。従って、匿名化装置２００には、平文の状態でデータを匿名化する既存の匿名化装置と同様の仕組みを流用することができる。匿名化処理の対象であるデータと、匿名化処理で使用する変換方法を定義する一般化階層データとの区別が可能であれば、匿名化装置２００は、入出力するデータが暗号化されているかどうかを意識せずに済む。

【0022】

（２）パーソナル情報管理システムで実行される処理の概要
図２に、パーソナル情報管理システムで実行されるデータ処理の概要を示す。当該データ処理の実行により、データの中身を第三者に晒すことなくデータを匿名化できる。まず、匿名化データ管理装置１００によって、匿名化対象データ入力処理Ｓ２０１、一般化階層データ作成処理Ｓ２０２、匿名化対象データ暗号化処理Ｓ２０３、一般化階層データ暗号化処理Ｓ２０４、暗号化匿名化対象データ出力処理Ｓ２０５、暗号化一般化階層データ出力処理Ｓ２０６が実行される。以降の処理は、匿名化装置２００に引き継がれる。

【0023】

処理を引き継いだ匿名化装置２００は、暗号化匿名化対象データ入力処理Ｓ２０７、暗号化一般化階層データ入力処理Ｓ２０８、暗号化匿名化対象データ匿名化処理Ｓ２０９、匿名化暗号データ出力処理Ｓ２１０を実行する。以上で、匿名化装置２００の処理は終了する。本実施例における匿名化装置２００は、暗号化された状態のデータをそのまま匿名化する。この後の処理は、再び、匿名化データ管理装置１００が実行する。匿名化データ管理装置１００は、匿名化暗号データ入力処理Ｓ２１１、匿名化暗号データ復号処理Ｓ２１２、匿名化の結果であるデータを最終的に平文として出力する匿名化データ出力処理Ｓ２１３を実行する。以下では、各処理において実行される処理内容を詳細に説明する。

【0024】

（２−１）匿名化対象データ入力処理Ｓ２０１
匿名化対象データ入力処理部１０１が、ハードディスク装置等の記憶領域上に格納されている匿名化対象データ１１０を匿名化データ管理装置１００のＲＡＭ上にロードする。なお、匿名化対象データ１１０は、必ずしも匿名化データ管理装置１００と同一筐体内のハードディスク装置等に格納されている必要はなく、第三者に対してセキュリティが確保されたネットワークストレージ上に格納されていても良い。

【0025】

（２−２）一般化階層データ作成処理Ｓ２０２
一般化階層データ作成処理部１０２が、匿名化処理で必要となる一般化階層データ１１１を作成する。一般化階層データ１１１の作成には、既知の手法（例えば特許文献１に記載の技術）を用いれば良い。例えば特許文献１に記載の技術を適用する場合、一般化階層データ作成処理部１０２は、匿名化対象データ１１０とその属性値種別情報（個々の属性の種別を示す情報であり、例えば「文字列」、「順序保存型」、「その他」で与えられる）を入力した後、匿名化対象データ１１０の各属性から全ての属性値の頻度を取得し、取得された頻度情報と前記属性値種別情報に基づいてＨｕｆｆｍａｎ符号木またはＳｈａｎｎｏｎ−Ｆａｎｏ符号木またはＨｕ−Ｔｕｃｋｅｒ符号木を作成する。作成された木の構造が一般化階層データである。

【0026】

（２−３）匿名化対象データ暗号化処理Ｓ２０３
匿名化対象データ暗号化処理部１０３は、図３に示す手順に従って、匿名化対象データ１１０を暗号化する。まず、匿名化対象データ暗号化処理部１０３は、秘密鍵１１３を匿名化データ管理装置１００のＲＡＭ上にロードし（Ｓ３０１）、ロードした秘密鍵１１３で匿名化対象データ１１０を暗号化し（Ｓ３０２）、処理結果を暗号化匿名化対象データ１１４として出力する（Ｓ３０３）。暗号化前後のデータ例を図４に示す。

【0027】

暗号化する前の匿名化対象データ１１０は、図４の左側に示すような表形式のデータであり、列名を表すヘッダ行４００と、それ以降のデータ行４０１で構成される。匿名化対象データ１１０を暗号化した後のデータである暗号化匿名化対象データ１１４は、図４の右側に示すような表形式のデータであり、列名を表す暗号化ヘッダ行４０２と、それ以降の暗号化データ行４０３で構成される。暗号化ヘッダ行４０２はヘッダ行４００を秘密鍵１１３によって列ごとに暗号化したものであり、暗号化データ行４０３はデータ行４０１を秘密鍵１１３によって１レコードの列ごとに暗号化したものである。

【0028】

（２−４）一般階層化データ暗号化処理Ｓ２０４
一般化階層データ暗号化処理部１０４は、図５に示す手順に従って、一般化階層データ１１１を暗号化する。まず、一般化階層データ暗号化処理部１０４は、秘密鍵１１３を匿名化データ管理装置１００の主記憶上にロードし（Ｓ５０１）する。秘密鍵１１３は、匿名化対象データ１１０の暗号化に使用する秘密鍵と同じであるので、匿名化対象データ暗号化処理Ｓ２０３で既にＲＡＭ上にロードしてある秘密鍵１１３を使用しても良い。その場合には、Ｓ５０１の処理は省略される。

【0029】

次に、一般化階層データ暗号化処理部１０４は、秘密鍵１１３で一般化階層データ１１１を暗号化し（Ｓ５０２）、処理結果を暗号化一般化階層データ１１５として出力する（Ｓ５０３）。暗号化前後のデータ例を図６に示す。暗号化する前の一般化階層データ１１１は、図６の左側に示すような木構造のデータである。一般化階層データ１１１を暗号化した後のデータである暗号化一般化階層データ１１５は、図６の右側に示すような木構造のデータである。暗号化一般化階層データ１１５は、一般化階層データ１１１の個々のノードの値を秘密鍵１１３によって暗号化したものである。

【0030】

（２−５）暗号化匿名化対象データ出力処理Ｓ２０５
暗号化匿名化対象データ出力処理部１０５は、Ｓ２０３で生成された暗号化匿名化対象データ１１４をインターネット経由で匿名化装置２００に出力する。

【0031】

（２−６）暗号化一般化階層データ出力処理Ｓ２０６
暗号化一般化階層データ出力処理部１０６は、Ｓ２０４で生成された暗号化一般化階層データ１１５をインターネット経由で匿名化装置２００に出力する。

【0032】

（２−７）暗号化匿名化対象データ入力処理Ｓ２０７
暗号化匿名化対象データ入力処理部２０１は、インターネット経由で暗号化匿名化対象データ１１４を受信し、匿名化装置２００のＲＡＭ上にロードする。本実施例の場合、匿名化処理の対象であるデータは暗号化されているが、暗号化匿名化対象データ入力処理部２０１は、暗号化されていないデータの匿名化処理にも利用できる。本実施例の場合、暗号化匿名化対象データ入力処理部２０１は、受信したデータが暗号化匿名化対象データ１１４であることを例えばファイル名等から判別する。

【0033】

（２−８）暗号化一般化階層データ入力処理Ｓ２０８
暗号化一般化階層データ入力処理部２０２は、インターネット経由で暗号化一般化階層データ１１５を受信し、匿名化装置２００のＲＡＭ上にロードする。なお、暗号化されていないデータの秘匿化する際には、暗号化されていない一般化階層データが入力される。本実施例の場合、暗号化一般化階層データ入力処理部２０２は、受信したデータが暗号化一般化階層データ１１５であることを例えばファイル名等から判別する。

【0034】

（２−９）暗号化匿名化対象データ匿名化処理Ｓ２０９
暗号化データ匿名化処理部２０３は、匿名化装置２００のＲＡＭ上にロードされた暗号化匿名化対象データ１１４を、暗号化一般化階層データ１１５の記述に従って匿名化し、匿名化暗号データ１１２を生成する。ここでの匿名化処理は、暗号化された状態のデータに対して直接実行される。このため、匿名化処理サービスがクラウドサービスとして提供される場合でも、利用者のデータが第三者に晒される可能性を排除できる。また、万一、暗号化匿名化対象データが漏洩する事故が生じた場合でも、パーソナル情報の安全性を保つことができる。なお、匿名化暗号データ１１２の作成には、既知の手法（例えば特許文献１に記載の技術）を用いることができる。例えば暗号化データ匿名化処理部２０３は、暗号化一般化階層データ１１５の属性値と一致した暗号化匿名化対象データ１１４の属性値を、暗号化一般化階層データ１１５の木構造において根（親）側に位置する属性値に置換する。

【0035】

（２−１０）匿名化暗号データ出力処理Ｓ２１０
匿名化暗号データ出力処理部２０４は、生成された匿名化暗号データ１１２をインターネット経由で匿名化データ管理装置１００に出力する。本実施例の場合、匿名化暗号データ１１２は、暗号化匿名化対象データ１１４の属性値を匿名化したデータであるので、匿名化対象データ１１０を暗号化した状態である。もっとも、暗号化されていないデータを匿名化する場合には、暗号化されていないデータが出力されることになる。

【0036】

（２−１１）匿名化暗号データ入力処理Ｓ２１１
匿名化暗号データ入力処理部１０７は、インターネット経由で匿名化暗号データ１１２を受信すると、当該データを匿名化データ管理装置１００のＲＡＭ上にロードする。

【0037】

（２−１２）匿名化暗号データ復号処理Ｓ２１２
匿名化暗号データ復号処理部１０８は、図７に示すように、秘密鍵１１３を匿名化データ管理装置１００のＲＡＭ上にロードし（Ｓ７０１）、その秘密鍵１１３を用いて匿名化暗号データ１１２を復号し（Ｓ７０２）、匿名化データ１１６を生成する。

【0038】

暗号化前後のデータ例を図８に示す。復号前の匿名化暗号データ１１２は、図８の左側に示すような表形式のデータであり、列名を表す復号前ヘッダ行８００と、それ以降の復号前データ行８０１からなる。匿名化暗号データ１１２を復号した後の平文データである匿名化データ１１６は、図８の右側に示すような表形式のデータであり、列名を表す匿名化データヘッダ行８０２と、それ以降の匿名化データ行８０３からなる。匿名化データヘッダ行８０２は復号前ヘッダ行８００を秘密鍵１１３によって列ごとに復号したものであり、匿名化対象データ１１０のヘッダ行４００と同じものになる。匿名化データ行８０３は復号前データ行８０１を秘密鍵１１３によって１レコードの列ごとに復号したものである。本実施例の場合、「神奈川県川崎市」や「神奈川県横浜市」はいずれも神奈川県に匿名化されている。また、年齢の“35”や“37”はいずれも“30-39”に匿名化されている。

【0039】

（２−１３）匿名化データ出力処理Ｓ２１３
匿名化データ出力部１０９は、平文に復号されたデータである匿名化データ１１６をハードディスク装置等の記憶装置に書き出す。

【0040】

（３）まとめ
図９に、前述した実施例を通じて実現されるサービスの提供イメージを示す。図９に示すように、匿名化対象データの暗号化は匿名化したい列に対してだけ行えば良い。また、匿名化したい属性のみ暗号化しても良い。本実施例に係るパーソナル情報管理システムの場合には、匿名化データ管理装置１００においてデータの暗号化と復号化を実行し、クラウドサービスを提供する匿名化装置２００は暗号化された状態のデータに対して直接匿名化処理を実行する。このため、サービスの利用者は、匿名化対象データ１１０と一般化階層データ１１１の内容をサービスの提供者に対して秘密にしたまま匿名化サービスを利用することができる。また、本実施例の場合、同じ秘密鍵１１３を用いて暗号化された一般化階層データ（暗号化一般化階層データ１１５）と暗号化匿名化対象データ１１４を併せて匿名化装置２００に送信する。この場合、匿名化対象データの属性値を暗号化した後の値と、当該値に対応する一般化階層データの属性値を暗号化した後の値との一致が保証されるため、暗号化された状態のデータを直接匿名化することができる。

【0041】

なお、本発明は、上述した実施例の構成に限定されるものでなく、様々な変形例を含んでいる。例えば上述した実施例は、本発明を分かりやすく説明するために、一部の実施例について詳細に説明したものであり、必ずしも説明した全ての構成を備える必要は無い。また、ある実施例の一部を他の実施例の構成に置き換えることが可能であり、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成に他の構成を追加し、又は、各実施例の一部構成を他の構成で置換し、又は各実施例の一部構成を削除することも可能である。

【0042】

また、上述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路その他のハードウェアとして実現しても良い。また、上記の各構成、機能等は、それぞれの機能を実現するプログラムをプロセッサが解釈して実行することにより実現しても良い。すなわち、各構成等をソフトウェアにより実現しても良い。この場合、各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD（Solid State Drive）等の記憶装置、ICカード、SDカード、DVD等の記憶媒体に格納することができる。また、制御線や情報線は、説明上必要と考えられるものを示すものであり、製品上必要な全ての制御線や情報線を表すものでない。実際にはほとんど全ての構成が相互に接続されていると考えて良い。

【符号の説明】

【0043】

１００…匿名化データ管理装置、１０１…匿名化対象データ入力処理部、１０２…一般化階層データ作成処理部、１０３…匿名化対象データ暗号化処理部、１０４…一般化階層データ暗号化処理部、１０５…暗号化匿名化対象データ出力処理部、１０６…暗号化一般化階層データ出力処理部、１０７…匿名化暗号データ入力処理部、１０８…匿名化暗号データ復号処理部、１０９…匿名化データ出力部、１１０…匿名化対象データ、１１１…一般化階層データ、１１２…匿名化暗号データ、１１３…秘密鍵、１１４…暗号化匿名化対象データ、１１５…暗号化一般化階層データ、１１６…匿名化データ、２００…匿名化装置、２０１…暗号化匿名化対象データ入力処理部、２０２…暗号化一般化階層データ入力処理部、２０３…暗号化データ匿名化処理部、２０４…匿名化暗号データ出力処理部。

【図1】