特許第6456162号(P6456162)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズの特許一覧

特許6456162匿名化処理装置、匿名化処理方法及びプログラム
<>
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000002
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000003
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000004
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000005
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000006
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000007
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000008
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000009
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000010
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000011
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000012
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000013
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000014
  • 特許6456162-匿名化処理装置、匿名化処理方法及びプログラム 図000015
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6456162
(24)【登録日】2018年12月28日
(45)【発行日】2019年1月23日
(54)【発明の名称】匿名化処理装置、匿名化処理方法及びプログラム
(51)【国際特許分類】
   G06F 21/62 20130101AFI20190110BHJP
   G06Q 50/22 20180101ALI20190110BHJP
【FI】
   G06F21/62 354
   G06Q50/22
【請求項の数】10
【全頁数】21
(21)【出願番号】特願2015-13504(P2015-13504)
(22)【出願日】2015年1月27日
(65)【公開番号】特開2016-139261(P2016-139261A)
(43)【公開日】2016年8月4日
【審査請求日】2018年1月16日
(73)【特許権者】
【識別番号】397014282
【氏名又は名称】株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】▲高▼橋 敬祐
(72)【発明者】
【氏名】矢葺 光佑
(72)【発明者】
【氏名】組橋 祐亮
【審査官】 平井 誠
(56)【参考文献】
【文献】 米国特許出願公開第2015/0007249(US,A1)
【文献】 特開2014−164477(JP,A)
【文献】 特開2012−150651(JP,A)
【文献】 Kun Guo et al.,Fast clustering-based anonymization approaches with time constraints for data streams,Knowledge Based Systems,2013年 7月31日,p.95-108
【文献】 Jianneng Cao et al.,CASTLE: Continuously Anonymizing Data Streams,IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING,2011年 6月30日,VOL.8, no.3,P337-352
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
入力データに対して匿名化を行い、匿名化された出力データを出力する匿名化処理装置であって、
前記入力データを受け付ける入力部と、
前記入力データに対して匿名化を行い、匿名化された前記入力データに対応する匿名化済みデータを生成する処理部と、
匿名化済みデータを記憶する第一の記憶部と、
前記第一の記憶部に記憶されている複数の匿名化済みデータが匿名性指標を満たす場合に、前記複数の匿名化済みデータの各々に対応する複数の出力データを生成して出力し、前記複数の匿名化済みデータを前記第一の記憶部から削除する出力部と、
匿名性を判断するための匿名化パターンを記憶する第二の記憶部と、を有し、
前記出力部は、前記複数の匿名化済みデータに基づいて前記匿名化パターンを生成して前記第二の記憶部に格納し、前記第一の記憶部に記憶されている匿名化済みデータに含まれる情報項目の各々と、前記匿名化パターンに含まれる情報項目の各々とが一致する場合、匿名化済みデータから出力データを生成して出力する、
匿名化処理装置。
【請求項2】
入力データに対して匿名化を行い、匿名化された出力データを出力する匿名化処理装置であって、
前記入力データを受け付ける入力部と、
前記入力データに対して匿名化を行い、匿名化された前記入力データに対応する匿名化済みデータを生成する処理部と、
匿名化済みデータを記憶する第一の記憶部と、
前記第一の記憶部に記憶されている複数の匿名化済みデータが匿名性指標を満たす場合に、前記複数の匿名化済みデータの各々に対応する複数の出力データを生成して出力し、前記複数の匿名化済みデータを前記第一の記憶部から削除する出力部と、
抽象度を指定する機械学習部と、を有し、
前記処理部は、前記抽象度に基づいて前記入力データに対して匿名化を行い、
前記出力部は、前記複数の匿名化済みデータが前記匿名性指標を満たすか否かの判断結果を前記機械学習部に送信し、
前記機械学習部は、前記判断結果に基づいて前記抽象度を変更する、
匿名化処理装置。
【請求項3】
前記出力部は、前記第一の記憶部に記憶されている匿名化済みデータに含まれる情報項目の各々が一致している匿名化済みデータが、少なくとも所定の数以上存在する場合に、前記匿名性指標を満たすと判断する、請求項1又は2に記載の匿名化処理装置。
【請求項4】
前記処理部は、所定の条件を満たす場合に、前記第一の記憶部に記憶されている匿名化済みデータを削除する、請求項1乃至3のいずれか一項に記載の匿名化処理装置。
【請求項5】
前記所定の条件は、匿名化済みデータに対応する前記入力データが、前記入力部で受け付けられてからの経過時間、又は、前記第一の記憶部に記憶可能なレコード数が所定の閾値を超えた場合である、請求項4に記載の匿名化処理装置。
【請求項6】
前記処理部は、前記抽象度が変更された場合、変更された前記抽象度に基づいて前記入力データに対して再度匿名化を行う、請求項に記載の匿名化処理装置。
【請求項7】
入力データに対して匿名化を行い、匿名化された出力データを出力し、第一の記憶部と第二の記憶部とを有する匿名化処理装置の匿名化処理方法であって、
前記入力データを受け付ける入力ステップと、
前記入力データに対して匿名化を行い、匿名化された前記入力データに対応する匿名化済みデータを生成する処理ステップと、
匿名化済みデータを前記第一の記憶部に記憶させる記憶ステップと、
前記第一の記憶部に記憶されている複数の匿名化済みデータが匿名性指標を満たす場合に、前記複数の匿名化済みデータの各々に対応する複数の出力データを生成して出力し、前記複数の匿名化済みデータを前記第一の記憶部から削除する出力ステップと、を有し、
前記出力ステップにおいて、前記匿名化処理装置は、前記複数の匿名化済みデータに基づいて、匿名性を判断するための匿名化パターンを生成して前記第二の記憶部に格納し、前記第一の記憶部に記憶されている匿名化済みデータに含まれる情報項目の各々と、前記匿名化パターンに含まれる情報項目の各々とが一致する場合、匿名化済みデータから出力データを生成して出力する、
匿名化処理方法。
【請求項8】
入力データに対して匿名化を行い、匿名化された出力データを出力し、第一の記憶部と抽象度を指定する機械学習部とを有する匿名化処理装置の匿名化処理方法であって、
前記入力データを受け付ける入力ステップと、
前記入力データに対して匿名化を行い、匿名化された前記入力データに対応する匿名化済みデータを生成する処理ステップと、
匿名化済みデータを前記第一の記憶部に記憶させる記憶ステップと、
前記第一の記憶部に記憶されている複数の匿名化済みデータが匿名性指標を満たす場合に、前記複数の匿名化済みデータの各々に対応する複数の出力データを生成して出力し、前記複数の匿名化済みデータを前記第一の記憶部から削除する出力ステップと、を有し、
前記処理ステップにおいて、前記匿名化処理装置は、前記抽象度に基づいて前記入力データに対して匿名化を行い、
前記出力ステップにおいて、前記匿名化処理装置は、前記複数の匿名化済みデータが前記匿名性指標を満たすか否かの判断結果を前記機械学習部に送信し、
前記機械学習部は、前記判断結果に基づいて前記抽象度を変更する、
匿名化処理方法。
【請求項9】
入力データに対して匿名化を行い、匿名化された出力データを出力する匿名化処理装置のプログラムであって、匿名化処理装置を、
前記入力データを受け付ける入力
前記入力データに対して匿名化を行い、匿名化された前記入力データに対応する匿名化済みデータを生成する処理
匿名化済みデータを記憶する第一の記憶部、
前記第一の記憶部に記憶されている複数の匿名化済みデータが匿名性指標を満たす場合に、前記複数の匿名化済みデータの各々に対応する複数の出力データを生成して出力し、前記複数の匿名化済みデータを前記第一の記憶部から削除する出力
匿名性を判断するための匿名化パターンを記憶する第二の記憶部、として機能させるためのプログラムであり、
前記出力部は、前記複数の匿名化済みデータに基づいて前記匿名化パターンを生成して前記第二の記憶部に格納し、前記第一の記憶部に記憶されている匿名化済みデータに含まれる情報項目の各々と、前記匿名化パターンに含まれる情報項目の各々とが一致する場合、匿名化済みデータから出力データを生成して出力する、
プログラム。
【請求項10】
入力データに対して匿名化を行い、匿名化された出力データを出力する匿名化処理装置のプログラムであって、匿名化処理装置を、
前記入力データを受け付ける入力
前記入力データに対して匿名化を行い、匿名化された前記入力データに対応する匿名化済みデータを生成する処理
匿名化済みデータを記憶する第一の記憶部、
前記第一の記憶部に記憶されている複数の匿名化済みデータが匿名性指標を満たす場合に、前記複数の匿名化済みデータの各々に対応する複数の出力データを生成して出力し、前記複数の匿名化済みデータを前記第一の記憶部から削除する出力
抽象度を指定する機械学習部、として機能させるためのプログラムであり
前記処理部は、前記抽象度に基づいて前記入力データに対して匿名化を行い、
前記出力部は、前記複数の匿名化済みデータが前記匿名性指標を満たすか否かの判断結果を前記機械学習部に送信し、
前記機械学習部は、前記判断結果に基づいて前記抽象度を変更する、
プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、匿名化処理装置、匿名化処理方法及びプログラムに関する。
【背景技術】
【0002】
近年、レコメンド技術のように、大量の個人情報を分析し、分析結果から得られる情報を様々に活用する技術が発達してきている。また、個人情報を分析するにあたり、個人のプライバシーを保護しつつデータ分析を行うことを可能にする匿名化技術が知られている。
【0003】
従来の匿名化技術は、大量の個人情報を格納したデータベースに対して、個人情報のうち予め決められた特定のカラムをバッチ処理で削除することで、匿名化処理を行っていた。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2014−153943号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来の匿名化技術はバッチ処理にて匿名化処理を行うことから、継続的にデータが入力されるリアルタイム処理システムに匿名化技術を適用することは困難であった。
【0006】
開示の技術は上記に鑑みてなされたものであって、継続的に入力されるデータに対してリアルタイム性を保ちつつ匿名化することができる技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
開示の技術の匿名化処理装置は、入力データに対して匿名化を行い、匿名化された出力データを出力する匿名化処理装置であって、
前記入力データを受け付ける入力部と、
前記入力データに対して匿名化を行い、匿名化された前記入力データに対応する匿名化済みデータを生成する処理部と、
匿名化済みデータを記憶する第一の記憶部と、
前記第一の記憶部に記憶されている複数の匿名化済みデータが匿名性指標を満たす場合に、前記複数の匿名化済みデータの各々に対応する複数の出力データを生成して出力し、前記複数の匿名化済みデータを前記第一の記憶部から削除する出力部と、
匿名性を判断するための匿名化パターンを記憶する第二の記憶部と、を有し、
前記出力部は、前記複数の匿名化済みデータに基づいて前記匿名化パターンを生成して前記第二の記憶部に格納し、前記第一の記憶部に記憶されている匿名化済みデータに含まれる情報項目の各々と、前記匿名化パターンに含まれる情報項目の各々とが一致する場合、匿名化済みデータから出力データを生成して出力する
【発明の効果】
【0008】
開示の技術によれば、継続的に入力されるデータに対してリアルタイム性を保ちつつ匿名化することができる技術を提供することができる。
【図面の簡単な説明】
【0009】
図1】実施の形態に係る匿名化処理装置の概要を示す図である。
図2】実施の形態に係る匿名化処理装置のハードウェア構成の一例を示す図である。
図3】実施の形態に係る匿名化処理装置のソフトウェア構成の一例を示す図である。
図4】設定情報の一例を示す図である。
図5】入力データ格納処理の処理手順の一例を示す図である。
図6】匿名化前データ及び匿名化処理管理情報の一例を示す図である。
図7】匿名化方法及び匿名化レベルを設定する処理手順の一例を示す図である。
図8】匿名化方法及び匿名化レベルが設定された匿名化処理管理情報の一例を示す図である。
図9】匿名化処理の処理手順の一例を示す図である。
図10】匿名化後データ及び匿名化処理管理情報の一例を示す図である。
図11】出力処理の処理手順の一例を示す図である。
図12】出力判断部の処理で入出力される各種データの一例を示す図である。
図13】教師データの一例を示す図である。
図14】匿名化処理における一般化の度合いを変更する場合の処理手順の一例を示す図である。
【発明を実施するための形態】
【0010】
以下、図面を参照して実施の形態について説明する。各図面において、同一構成部分には同一符号を付し、重複した説明を省略する場合がある。
【0011】
<概要>
図1は、実施の形態に係る匿名化処理装置の概要を示す図である。匿名化処理装置10は、外部システム等から、個人情報が含まれた入力データを受け付け、受け付けた入力データに対して匿名化処理を行う。また、匿名化処理装置10は、匿名化されたデータ(出力データ)を外部システム等に対して出力する。
【0012】
ここで、匿名化とは、個人情報から個人を特定する情報を取り除いたり(除去)、個人を特定する情報を確率的に変化させたり(ランダム化)、又は、個人を特定する情報の精度を落としたりする(一般化)ことで、個人を特定しにくくするデータ加工方法をいう。また、匿名性を評価する指標(匿名性指標)として、k−匿名性が知られている。k−匿名性とは、同じような属性の人が必ずk人以上存在する状態のことをいう。例えば、年齢が「30台」であると共に住所が「東京都港区」である人が10人存在する場合、このデータの匿名性は「k=10」と表現される。すなわち、kの値が大きいほど同じような属性を有する人が多いことになり、個人を特定しにくくなる(匿名性が高まる)。
【0013】
匿名化処理装置10は、入力されたデータに対してリアルタイムに匿名化を行うために、入力されたデータ及び匿名化されたデータを一旦インメモリデータベースに格納し、匿名化されたデータがk−匿名性を満たす場合に、匿名化されたデータを外部システム等に対して出力する。
【0014】
また、匿名化処理装置10は、入力されたデータを全てデータベースに蓄積し、適宜バッチ処理にて匿名化を行うシステムとは異なり、リアルタイム性を保ちつつ匿名化することを目的としている。そのため、匿名化処理装置10は、匿名化されたデータがすぐに出力できない場合(例えば、匿名化されたデータが所定の時間内にk−匿名性を満たせない場合、又は、インメモリデータベース内に蓄積されたレコード数が所定の閾値を超えた場合など)は、データの鮮度が落ちるため、匿名化されたデータを外部システム等に対して出力せずにインメモリデータベースから消去するようにする。
【0015】
また、匿名化処理装置10は、入力されたデータに対して、どのような匿名化方法(除去、ランダム化又は一般化)で匿名化を行うのかを示す情報、及び、匿名化方法ごとの匿名化の程度を示す情報に基づいて匿名化を行う。また、匿名化処理装置10は、匿名化されたデータが匿名性指標を満たせているのか、又は、匿名化されたデータが匿名性指標を満たせていないのかという評価結果(教師データ)を学習することで、個人を特定する情報を一般化する場合に、どの程度の一般化(以下、「一般化の度合い」ということがある)を行うのかを調整するオンライン機械学習フレームワークの機能を有する。
【0016】
なお、本実施の形態において、匿名化処理装置10に入力されるデータは、病院等で扱われる個人情報である前提で説明するが、本実施の形態に係る匿名化処理装置10は、他の個人情報を扱うシステムに対しても適用することが可能である。
【0017】
なお、本実施の形態において、匿名化処理装置10は、処理速度を向上させるためにインメモリデータベースを用いているが、他のデータベースを用いるようにしてもよい。
【0018】
なお、本実施の形態において、匿名化処理装置10は、匿名性指標としてk−匿名性を用いているが、他の匿名性指標を用いるようにしてもよい。
【0019】
なお、本実施の形態において、匿名化処理装置10は、匿名化方法として、除去、ランダム化、及び一般化を用いているが、これらの匿名化方法に限られず、他の匿名化方法を用いるようにしてもよい。
【0020】
<ハードウェア構成>
図2は、実施の形態に係る匿名化処理装置のハードウェア構成の一例を示す図である。実施の形態に係る匿名化処理装置10は、CPU101と、ROM102と、RAM103と、HDD104と、操作部105と、表示部106と、ドライブ装置107と、NIC(Network Interface card)108とを有する。
【0021】
CPU101は、匿名化処理装置10の全体制御を行うプロセッサである。CPU101は、HDD104等に記憶されたオペレーティングシステム、アプリケーション、各種サービス等のプログラムを実行し、匿名化処理装置10の各種機能を実現する。ROM102には、各種のプログラムやプログラムによって利用されるデータ等が記憶される。RAM103は、プログラムをロードするための記憶領域や、ロードされたプログラムのワーク領域等として用いられる。また、RAM103は、匿名化処理を行う際に用いるインメモリデータベースを保持する。HDD104には、各種情報及びプログラム等が記憶される。
【0022】
操作部105は、ユーザからの入力操作を受け付けるためのハードウェアであり、例えばキーボード又はマウスである。表示部106は、利用者に向けた表示を行うハードウェアである。
【0023】
ドライブ装置107は、プログラムを記録した記憶媒体109からプログラムを読み取る。ドライブ装置107によって読み取られたプログラムは、例えば、HDD104にインストールされる。NIC108は、匿名化処理装置10をネットワークに接続し、データの送受信を行うための通信インタフェースである。
【0024】
なお、記憶媒体109とは、非一時的(non-transitory)な記憶媒体を言う。記憶媒体109の例としては、磁気記憶媒体、光ディスク、光磁気記憶媒体、不揮発性メモリなどがある。
【0025】
<ソフトウェア構成>
図3は、実施の形態に係る匿名化処理装置のソフトウェア構成の一例を示す図である。実施の形態に係る匿名化処理装置10は、一時記憶部201と、設定情報記憶部202と、入力部203と、機械学習部204と、匿名化処理部205と、出力判断部206と、匿名化パターンDB記憶部207とを有する。これら各手段は、匿名化処理装置10にインストールされた1以上のプログラムが、CPU101に実行させる処理により実現され得る。
【0026】
一時記憶部201は、匿名化前データDB(Database)と、匿名化後データDBと、匿名化処理管理情報DBとを有する。匿名化前データDBは、匿名化前データ(匿名化処理される前のデータ)を格納するDBであり、レコード毎に1つの匿名化前データを格納する。匿名化後データDBは、匿名化後データ(匿名化処理された後のデータ)を格納するDBであり、レコード毎に1つの匿名化後データを格納する。匿名化処理管理情報DBは、レコード毎に1つの匿名化処理管理情報を格納する。匿名化処理管理情報は、匿名化前データと匿名化後データとを対応づけると共に、匿名化処理の進行状況と、匿名化方法及び匿名化レベルを示す情報とを含む。一時記憶部201は、RAM103に構築されるインメモリデータベースにより実現される。なお、一時記憶部201は、RAM103ではなく、HDD104等に構築される一般的なデータベースにより実現されるようにしてもよい。
【0027】
設定情報記憶部202は、匿名化処理装置10の動作に係る各種設定情報を格納する。入力部203、機械学習部204、匿名化処理部205及び出力判断部206は、設定情報記憶部202に格納される各種設定情報を必要に応じて参照することができる。
【0028】
入力部203は、外部システム等から入力データを受け付け、匿名化前データDBに新たなレコードを追加して、追加したレコードに受け付けた入力データを格納する。また、生成したレコードに対応する匿名化処理管理情報DBに新たなレコードを追加する。
【0029】
機械学習部204は、教師データによる学習結果に基づき、匿名化前データに対してどのように匿名化を行うのかを示す匿名化方法と、匿名化方法ごとの匿名化レベルとを示す情報を、匿名化処理管理情報に格納する。また、機械学習部204は、外部から受け取った教師データ又は出力判断部206から受け取った教師データに基づき、一般化の度合いを調整する。機械学習部204は、一般化の度合いを調整した場合、その旨をRPC(Remote Procedure Call)にて匿名化処理部205に通知する。
【0030】
匿名化処理部205は、匿名化前データに対応する匿名化処理管理情報に基づいて、匿名化前データを匿名化処理すると共に、匿名化後データDBに新たなレコードを追加し、追加したレコードに匿名化したデータを格納する。また、匿名化処理部205は、機械学習部204から一般化の度合いを変更した旨の通知を受けた場合、既に匿名化処理されたデータに対して再度匿名化処理を行う。
【0031】
また、匿名化処理部205は、匿名化後データが所定の時間内にk−匿名性を満たせない場合、又は、一時記憶部201に蓄積されたレコード数が所定の閾値を超えた場合、後述する生成日時が古い順に、匿名化前データと匿名化後データと匿名化処理管理情報とを一時記憶部201から削除する。
【0032】
出力判断部206は、匿名化後データDBに格納されている匿名化後データを検索し、匿名化後データがk−匿名性を満たすかどうか、又は、匿名化パターンDB記憶部207に格納されている匿名化パターンと匿名化後データとが一致するかどうかを判断する。匿名化後データがk−匿名性を満たす場合、又は、匿名化パターンと匿名化後データとが一致する場合、出力判断部206は、匿名化後データは匿名性指標を満たしていると判断し、匿名化後データを出力データとして出力する。また、出力判断部206は、出力データに対応する匿名化前データ、匿名化後データ及び匿名化処理管理情報を、一時記憶部201から削除する。
【0033】
また、匿名化後データがk−匿名性を満たさない場合、又は、匿名化パターンと匿名化後データとが一致しない場合、出力判断部206は、匿名化後データは匿名性指標を満たしていないと判断し、匿名化後データを出力データとして出力せずに匿名化後データDBに残しておく。
【0034】
また、出力判断部206は、匿名性指標を満たしているか又は満たしていないかの判断結果を、教師データとして機械学習部204に通知する。
【0035】
匿名化パターンDB記憶部207は、1又は複数の匿名化パターンを格納する。匿名化パターンDBは、過去に匿名性指標を満たすと判断された匿名化後データから生成される。言い換えると、匿名化パターンDBは、匿名性指標を満たすパターンをデータベース化したものである。出力判断部206は、匿名化パターンDBを用いて当該匿名化後データと匿名化パターンとが一致するかを確認するだけで、当該匿名化後データが匿名性指標を満たすか否かの判断を行うことができる。
【0036】
図4は、設定情報の一例を示す図である。実施の形態に係る匿名化処理装置10は、設定情報として、k−匿名性指標値、リアルタイム性定義情報、匿名性判定情報、及び出力対象情報を有する。これらの設定情報は、設定情報記憶部202に格納される。
【0037】
k−匿名性指標値は、k−匿名性の判断に用いる「k」の具体的な数である。リアルタイム性定義情報は、匿名化前データDB及び匿名化後データDBに格納されている、匿名化前データ及び匿名化後データの保持期限(生存期限)を定義する情報である。匿名性判定情報は、出力判断部206が、匿名化後データに含まれる各種カラムのうち、どのカラムを用いて匿名性を判断すればよいのかを示す情報である。出力対象情報は、匿名化後データに含まれる各種カラムのうち、どのカラムを出力データとして出力するかを示す情報である。出力判断部206は、匿名化後データのうち、出力対象情報に示されるカラムを抽出することで出力データを生成する。
【0038】
<処理手順>
(入力データ格納処理)
図5は、入力データ格納処理の処理手順の一例を示す図である。図6は、匿名化前データ及び匿名化処理管理情報の一例を示す図である。図5及び図6を用いて、入力部203に入力データが入力され、一時記憶部201に格納されるまでの処理手順について説明する。
【0039】
ステップS301で、入力部203は、外部システム等から入力データを受け付けると、匿名化前データDBに新たなレコードを生成し、匿名化前データDBの中でレコードを一意に識別するためのレコードIDを格納する。また、入力データを当該新たなレコードに格納する。図6(a)は、入力部203により匿名化前データDBに追加された匿名化前データの一例である。匿名化前データは、複数のカラム(レコードID、氏名、年齢、現住所、性別、受信年月日、診療科、担当医ID、症状)を有する。
【0040】
ステップS302で、入力部203は、匿名化処理管理情報DBに新たなレコードを生成し、匿名化処理管理情報DBの中でレコードを一意に識別するためのレコードIDを格納する。入力部203は、当該新たなレコードに、ステップS301の処理手順にて生成した匿名化前データのレコードID及び、ステップS301の処理手順にて匿名化前データを生成した日時を格納する。図6(b)は、入力部203により匿名化処理管理情報DBに追加された匿名化処理管理情報の一例である。匿名化処理管理情報は、複数のカラム(レコードID、匿名化前データレコードID、匿名化後データレコードID、匿名化方法設定フラグ、匿名化方法、匿名化レベル、匿名化済フラグ、生成日時)を有する。匿名化後データレコードID、匿名化方法設定フラグ、匿名化方法、匿名化レベル、及び匿名化済フラグは、機械学習部204、匿名化処理部205及び出力判断部206にて処理を行う際に利用されるカラムであるため、「NULL」又は「FALSE」が設定される。生成日時カラムは、匿名化前データが生成された日時を格納するカラムである。
【0041】
入力部203は、入力データが入力される度にステップS301及びステップS302の処理手順を繰り返し行うことで、入力データを一時記憶部201に順次格納する。
【0042】
(匿名化方法及び匿名化レベルの設定処理)
図7は、匿名化方法及び匿名化レベルを設定する処理手順の一例を示す図である。図8は、匿名化方法及び匿名化レベルが設定された匿名化処理管理情報の一例を示す図である。図7及び図8を用いて、機械学習部204が匿名化処理管理情報に匿名化方法及び匿名化レベルを設定する処理手順について説明する。
【0043】
ステップS401で、機械学習部204は、匿名化処理情報DBを検索し、「匿名化方法設定フラグ」がFALSEであるレコードを全て抽出する。ここで、匿名化方法設定フラグとは、機械学習部204が匿名化方法及び匿名化レベルを設定済みであるかを示すフラグである。「匿名化方法設定フラグ」が「FALSE」である場合、機械学習部204が匿名化方法及び匿名化レベルを設定していない状態であることを示し、匿名化方法設定フラグが「TRUE」である場合、機械学習部204が匿名化方法及び匿名化レベルを設定済みであることを示す。
【0044】
ステップS402で、機械学習部204は、ステップS401の処理手順で抽出したレコードの「匿名化方法」及び「匿名化レベル」カラムに、匿名化方法及び匿名化レベルを設定する。ここで、「匿名化方法」カラムには、匿名化前データの各カラムのうち、どのカラムをどのような匿名化方法で匿名化するのかを示す情報が格納される。また、「匿名化レベル」カラムには、ランダム化を行う場合にどのような比率でランダム化を行うのか、又は、一般化を行う場合に個人を特定する情報をどの程度一般化するのかを示す情報が格納される。図8に示す匿名化処理管理情報は、機械学習部204により「匿名化方法」及び「匿名化レベル」カラムが設定された匿名化処理管理情報の一例である。図8の匿名化処理管理情報は、「匿名化前データレコードID」カラムが示す匿名化前データに対して、「氏名」カラムを除去し、「年齢」の1の位を0に変更するように一般化し、「現住所」カラムの市区町村以降を削除するように一般化し、「性別」カラムを男女比が103:100になるようにランダム化し、「受信年月日」カラムの日付を削除するように一般化し、「担当医ID」カラムを除去し、「診療科」カラム及び「症状」カラムをそのまま残すように匿名化処理が行われるようにすることを示している。
【0045】
なお、ステップS401の処理手順で複数のレコードが抽出された場合、機械学習部204は、全てのレコードに対してステップS402の処理を行う。
【0046】
(匿名化処理)
図9は、匿名化処理の処理手順の一例を示す図である。図10は、匿名化後データ及び匿名化処理管理情報の一例を示す図である。図9及び図10を用いて、匿名化処理部205が、匿名化処理管理情報に基づいて匿名化処理を行う処理手順について説明する。
【0047】
ステップS501で、匿名化処理部205は、匿名化処理情報DBから、「匿名化方法設定フラグ」カラムがTRUEであるレコードを全て抽出する。
【0048】
ステップS502で、匿名化処理部205は、ステップS501の処理手順で抽出したレコードに対応する匿名化前データを、匿名化前データDBから検索する。
【0049】
ステップS503で、匿名化処理部205は、ステップS502で検索された匿名化前データに対して、当該匿名化前データに対応する匿名化処理情報の「匿名化方法」及び「匿名化レベル」カラムの設定内容に従って匿名化処理し、匿名化後データDBに新たなレコードを生成して格納する。図10(a)に、匿名化後データDBに格納された匿名化後データの具体例を示す。ステップS502の処理手順で検索された匿名化前データが図6(a)に示す匿名化前データであり、当該匿名化前データに対応する匿名化処理情報が図8に示す匿名化処理情報である場合、匿名化前データは、図10(a)のように匿名化されることになる。
【0050】
ステップS504で、匿名化処理部205は、匿名化処理情報の「匿名化済フラグ」カラムをTRUEに変更し、ステップS503の処理手順で匿名化後データDBに格納された匿名化後データのレコードIDを「匿名化後データレコードID」カラムに格納する。
【0051】
なお、ステップS501の処理手順で複数のレコードが抽出された場合、匿名化処理部205は、全てのレコードに対してステップS502乃至ステップS504の処理手順を行う。
【0052】
(出力処理)
図11は、出力処理の処理手順の一例を示す図である。図12は、出力判断部の処理で入出力される各種データの一例を示す図である。図13は、教師データの一例を示す図である。図11乃至図13を用いて、匿名化後データに基づいて出力データを出力する処理手順について説明する。
【0053】
ステップS601で、出力判断部206は、匿名化処理部205は、匿名化処理情報DBから、「匿名化済フラグ」カラムがTRUEであるレコードを全て抽出する。
【0054】
ステップS602で、出力判断部206は、ステップS601の処理手順で抽出したレコードに対応する匿名化後データを、匿名化後データDBから検索する。
【0055】
ステップS603で、出力判断部206は、設定情報記憶部202から匿名性判定情報を取得する。
【0056】
ステップS604で、出力判断部206は、ステップS602の処理手順で検索された匿名化後データ(以下、「出力判断される匿名化後データ」という)の各カラムのうち、匿名性判定情報に設定されているカラム(以下、「匿名性判定するカラム」という)を選択し、選択した全てのカラムの内容と一致するレコードが、匿名化パターンDBに存在するか否かを確認する。選択した全てのカラムの内容と一致するレコードが匿名化パターンDBに存在する場合、出力判断される匿名化後データはk−匿名性を満たしていると判断してステップS612の処理手順に進む。選択した全てのカラムの内容と一致するレコードが匿名化パターンDBに存在しない場合、ステップS605の処理手順に進む。
【0057】
ここで、図12を用いて具体例を説明する。出力判断される匿名化後データが図12(b1)に示す匿名化後データであり、匿名化パターンDBに、図12(a4)に示す匿名化パターンが含まれていると仮定する。また、匿名性判定情報には図4(c)に示すカラム(「氏名」、「年齢」、「現住所」、「性別」、「受信年月日」及び「担当医ID」)が設定されていると仮定する。
【0058】
出力判断部206は、図12(a1)に示す出力判断される匿名化後データに含まれるカラムのうち、匿名性判定するカラムを選択し、これらのカラムの設定値と同一の設定値を有するレコードが匿名化パターンDBに存在するかを確認する。図12(a1)の出力判断される匿名化後データの匿名性判定するカラムの設定値は、図12(a4)に示す匿名化パターンのカラムの設定値と同一である。従って、出力判断部206は、出力判断される匿名化後データはk−匿名性を満たしていると判断してステップS612の処理手順に進む。
【0059】
図11に戻り説明を続ける。ステップS605で、出力判断部206は、設定情報記憶部202からk−匿名性指標値を取得する。
【0060】
ステップS606で、出力判断部206は、出力判断される匿名化後データの各カラムのうち、匿名性判定するカラムを選択し、選択した全てのカラムの内容と一致するレコードが、匿名化後データDBにk件以上存在するかを確認する。k件以上存在する場合、出力判断される匿名化後データはk−匿名性を満たしていると判断してステップS608の処理手順に進み、k件以上存在しない場合、出力判断される匿名化後データはk−匿名性を満たしていないと判断してステップS607の処理手順に進む。
【0061】
ここで、図12を用いて具体例を説明する。出力判断される匿名化後データが図12(a1)に示す匿名化後データであり、匿名化後データDBに図12(a2)に示す3件の匿名化後データが存在していると仮定する。また、k−匿名性指標値は「3」であり、匿名性判定情報には図4(c)に示すカラムが設定されていると仮定する。
【0062】
出力判断部206は、図12(a1)に示す出力判断される匿名化後データに含まれるカラムのうち、匿名性判定するカラムを選択し、これらのカラムの設定値と同一の設定値を有するレコードが匿名化後データDBに存在するかを確認する。図12(a2)の3件の匿名化後データは、いずれも、匿名性判定するカラムの設定値が、出力判断される匿名化後データのカラムの設定値と同一である。従って、出力判断部206は、出力判断される匿名化後データはk−匿名性を満たしていると判断してステップS608の処理手順に進む。
【0063】
仮に、図12(a2)のうち、レコードIDがB95であるレコードが匿名化後データDBに存在しないとした場合、出力判断される匿名化後データの各カラムのうち、匿名性判定するカラムの内容と一致するレコードは、匿名化後データDBに2件しか存在しないことになる。従って、出力判断部206は、出力判断される匿名化後データはk−匿名性を満たしていないと判断してステップS607の処理手順に進む。
【0064】
図11に戻り説明を続ける。ステップS607で、出力判断部206は、出力判断される匿名化後データに対応する匿名化前データ及び匿名化処理管理情報から教師データを生成し、生成した教師データを機械学習部204に通知する。図13(a)は、ステップS607の処理手順で生成される教師データの一例である。教師データは、「k−匿名性基準適合フラグ」カラムが付加された匿名性判定情報と匿名化前データとを有するデータである。「k−匿名性基準適合フラグ」は、匿名化後データがk−匿名性を満たしているか否かを示すフラグである。匿名化後データがk−匿名性を満たしていると判断された場合、教師データの「k−匿名性基準適合フラグ」にはTRUEが設定され、k−匿名性を満たしていないと判断された場合、教師データの「k−匿名性基準適合フラグ」にはFALSEが設定される。出力判断部206は、ステップS607の処理手順で教師データを生成する際、「k−匿名性基準適合フラグ」カラムをFALSEに設定する。ステップS606の処理手順で、出力判断される匿名化後データはk−匿名性を満たしていないと判断されているためである。
【0065】
ステップS608で、出力判断部206は、設定情報記憶部202から出力対象情報を取得する。続いて、出力判断部206は、k件の匿名化後データの各々及び出力判断される匿名化後データから出力データを生成し、生成した出力データを外部システム等に出力する。なお、出力判断部206は、匿名化後データの各カラムから、出力対象情報に設定されているカラムを抽出することで出力データを生成する。
【0066】
ここで、図12を用いて具体例を説明する。出力判断される匿名化後データが図12(a1)に示す匿名化後データであり、匿名化後データDBに図12(a2)に示す3件の匿名化後データが存在していると仮定する。また、k−匿名性指標値は「3」であり、出力対象情報には図4(d)に示すカラム(「レコードID」、「年齢」、「現住所」、「性別」、「受信年月日」、「診療科」、「症状」)が設定されていると仮定する。この場合、ステップS608の処理手順により出力される出力データは、図12(a3)に示される4件の出力データになる。
【0067】
図11に戻り説明を続ける。ステップS609で、出力判断部206は、k件の匿名化後データのうち、いずれか1件の匿名化後データを選択し、選択した匿名化後データに対応する匿名化前データ及び匿名化処理管理情報から教師データを生成し、生成した教師データを機械学習部204に通知する。図13(b)は、ステップS609の処理手順で生成される教師データの具体例である。出力判断部206は、ステップS609の処理手順で教師データを生成する際、「k−匿名性基準適合フラグ」カラムをTRUEに設定する。ステップS606の処理手順で、出力判断される匿名化後データはk−匿名性を満たしていると判断されているためである。
【0068】
ステップS610で、出力判断部206は、k件の匿名化後データのうち、いずれか1件の匿名化後データを選択し、選択した匿名化後データから匿名性判定するカラムを抽出する。また、出力判断部206は、抽出したカラムから匿名化パターンを生成し、匿名化パターンに新たなレコードを追加して格納する。例えば、ステップS608で出力される出力データが図12(a3)の4件であると仮定した場合、図12(a4)に示す匿名化パターンが生成される。
【0069】
ステップS611で、出力判断部206は、ステップS608で出力したk件の出力データの各々に対応する匿名化前データ、匿名化後データ、及び匿名化処理管理情報を、匿名化前データDB、匿名化後データDB、及び匿名化処理管理情報DBから削除する。
【0070】
ステップS612で、出力判断部206は、設定情報記憶部202から出力対象情報を取得する。続いて、出力判断部206は、匿名化パターンDBに存在すると判断された匿名化後データの各カラムから、出力対象情報に設定されているカラムを抽出することで出力データを生成する。続いて、出力判断部206は、生成した出力データを外部システム等に出力する。
【0071】
ここで、図12を用いて具体例を説明する。出力判断される匿名化後データが図12(b1)に示す匿名化後データであり、出力対象情報には図4(d)に示すカラムが設定されていると仮定する。この場合、ステップS612の処理手順により出力される出力データは、図12(b2)に示す出力データになる。
【0072】
図11に戻り説明を続ける。ステップS613で、出力判断部206は、ステップS612で出力した出力データに対応する匿名化前データ、匿名化後データ、及び匿名化処理管理情報を、匿名化前データDB、匿名化後データDB、及び匿名化処理管理情報DBから削除する。
【0073】
なお、図11の処理手順において、ステップS601の処理手順で複数のレコードが抽出された場合、出力判断部206は、全てのレコードに対してステップS602乃至ステップS613の処理手順を行う。
【0074】
(再処理手順)
図14は、匿名化処理における一般化の度合いを変更する場合の処理手順の一例を示す図である。図14を用いて、機械学習部204が教師データに基づいて一般化の度合いを調整した場合に、匿名化処理部205が再度匿名化処理をやり直す場合の処理手順について説明する。
【0075】
ステップS701で、機械学習部204は、匿名化処理管理情報DBから、「匿名化方法設定フラグ」カラムがTRUEであるレコードを全て抽出する。
【0076】
ステップS702で、機械学習部204は、抽出された全てのレコードの「匿名化レベル」カラムの内容を、調整後の一般化の度合いに対応する内容に変更する。また、機械学習部204は、「匿名化レベル」カラムの内容を変更したことを、匿名化処理部205に通知する。
【0077】
ステップS703で、匿名化処理部205は、匿名化処理管理情報DBから、「匿名化済フラグ」がTRUEであるレコードを全て抽出する。
【0078】
ステップS704で、匿名化処理部205は、匿名化前データDBから、ステップS703で抽出した全てのレコードの各々に対応する全ての匿名化前データを抽出する。
【0079】
ステップS705で、匿名化処理部205は、ステップS704で検索された全ての匿名化前データの各々に対して、当該匿名化前データの各々に対応する匿名化処理情報の「匿名化方法」及び「匿名化レベル」カラムの設定内容に従って再度匿名化処理を行う。また、匿名化処理部205は、匿名化処理された匿名化前データの各カラムの内容を、匿名化後データDBのうち当該匿名化前データに対応する匿名化後データのレコードに上書きする。
【0080】
ここで、ステップS701乃至ステップS705の処理手順の具体例を説明する。例えば、匿名化前データが図6(a)に示す匿名化前データであり、匿名化後データが図10(a)に示す匿名化後データであると仮定する。また、機械学習部204は、ステップS702の処理手順において、図8の匿名化処理管理情報のうち現住所の匿名化レベルを「"現住所":"丁目以降を削除"」に変更したと仮定する。この場合、ステップS705の処理手順において、匿名化処理部205は、匿名化前データの現住所カラム("東京都足立区XY町1丁目位1−11−101")から丁目以降を削除した現住所カラム("東京都足立区XY町1丁目")を生成し、図10(a)に示す匿名化後データの現住所カラムに上書きする。
【0081】
(データ消去手順)
匿名化処理部205は、匿名化処理管理情報DBに格納されている各匿名化処理管理情報の各々の「生成日時」と現在の日時とを比較することで、リアルタイム性定義情報の保持期限に設定されている時間を経過しても、出力データとして出力されていないデータ(保持時間内にk−匿名性を満たせなかったデータ)の有無を確認する。
【0082】
匿名化処理部205は、匿名化処理管理情報の「生成日時」と現在の日時との差分が、リアルタイム性定義情報の保持期限を超えている場合、匿名化後データは保持期限内にk−匿名性を満たせなかったと判断する。また、匿名化処理部205は、匿名化後データは保持期限内にk−匿名性を満たせなかったと判断した場合、当該匿名化後データ、当該匿名化後データに対応する匿名化前データ及び匿名化処理管理情報を、匿名化前データDB、匿名化後データDB、及び匿名化処理管理情報DBから削除する。
【0083】
なお、匿名化処理部205は、「生成日時」と現在の日時とを比較する代わりに、例えば、一時記憶部201に蓄積されたレコード数が所定の閾値を超えた場合に、生成日時が古い順に、匿名化前データと匿名化後データと匿名化処理管理情報とを、匿名化前データDB、匿名化後データDB、及び匿名化処理管理情報DBから削除するようにしてもよい。
【0084】
(機械学習手順)
機械学習部204は、外部システム等から受け取った教師データ又は出力判断部206から受け取った教師データに基づき、一般化の度合いを調整する。機械学習部204は、教師データを利用者に参照させると共に、利用者からの指示に従って一般化の度合いを調整するようにしてもよいし、教師データに基づいて自動的に一般化の度合いを調整するようにしてもよい。
【0085】
機械学習部204は、「k−匿名性基準適合フラグ」がFALSEである教師データに対して、個人情報の項目の値を粗くする方向(一般化の度合いを高くする方向)に一般化の度合いを調整する。「k−匿名性基準適合フラグ」がTRUEである教師データに対して、個人情報を具体化する方向(一般化の度合いを低くする方向)に一般化の度合いを調整する。
【0086】
なお、機械学習部204は、教師データを受信する度に一般化の度合いを調整するのではなく、例えば、「k−匿名性基準適合フラグ」がFALSEである教師データが増加した場合に、個人情報の項目の値を粗くする方向(一般化の度合いを高くする方向)に一般化の度合いを調整し、「k−匿名性基準適合フラグ」がTRUEである教師データが増加した場合に、個人情報を具体化する方向(一般化の度合いを低くする方向)に一般化の度合いを調整するようにしてもよい。
【0087】
なお、個人情報の項目の値を粗くする方向とは、例えば、「"現住所":"丁目以降を削除"」の設定を「"現住所":"市区町村以降を削除"」の設定に変更することをいう。また、個人情報を具体化する方向とは、例えば、「"現住所":"市区町村以降を削除"」の設定を「"現住所":"丁目以降を削除"」の設定に変更することをいう。
【0088】
<効果>
以上、実施の形態に係る匿名化処理装置10は、外部システム等から入力される入力データに対して匿名化処理を行い、k−匿名性を満たす場合に、匿名化された出力データを出力するようにした。これにより、実施の形態に係る匿名化処理装置10は、継続的に入力されるデータに対して、匿名性を保証しつつリアルタイムに匿名化を行うことができる。
【0089】
以上、実施の形態に係る匿名化処理装置10は、匿名化されたデータがk−匿名性を満たすのか否かを示す教師データに基づき機械学習を行い、一般化の度合いを変更可能にした。実施の形態に係る匿名化処理装置10は、バッチ処理により匿名化を行うシステムとは異なり、匿名化対象のレコードの総数がいくつになるのか特定できないため、バッチ処理で匿名化を行うシステムと比較して一般化の度合いが高い方向で出力データを出力し続けてしまう可能性がある。そこで、実施の形態に係る匿名化処理装置10は、「k−匿名性基準適合フラグ」がTRUEである教師データに対して一般化の度合いを低くする方向に調整し、「k−匿名性基準適合フラグ」がFALSEである教師データに対して一般化の度合いを高くする方向に調整するようにした。これにより、実施の形態に係る匿名化処理装置10は、最適な一般化の度合いで匿名化処理されたデータを出力することができる。
【0090】
(第1項)
入力データに対して匿名化を行い、匿名化された出力データを出力する匿名化処理装置であって、
前記入力データを受け付ける入力部と、
前記入力データに対して匿名化を行い、匿名化された前記入力データに対応する匿名化済みデータを生成する処理部と、
匿名化済みデータを記憶する第一の記憶部と、
前記第一の記憶部に記憶されている複数の匿名化済みデータが匿名性指標を満たす場合に、前記複数の匿名化済みデータの各々に対応する複数の出力データを生成して出力し、前記複数の匿名化済みデータを前記第一の記憶部から削除する出力部と、
を有する、匿名化処理装置。
(第2項)
前記出力部は、前記第一の記憶部に記憶されている匿名化済みデータに含まれる情報項目の各々が一致している匿名化済みデータが、少なくとも所定の数以上存在する場合に、前記匿名性指標を満たすと判断する、第1項に記載の匿名化処理装置。
(第3項)
匿名性を判断するための匿名化パターンを記憶する第二の記憶部を有し、
前記出力部は、前記複数の匿名化済みデータに基づいて前記匿名化パターンを生成して前記第二の記憶部に格納し、前記第一の記憶部に記憶されている匿名化済みデータに含まれる情報項目の各々と、前記匿名化パターンに含まれる情報項目の各々とが一致する場合、匿名化済みデータから出力データを生成して出力する、第1項又は第2項に記載の匿名化処理装置。
(第4項)
前記処理部は、所定の条件を満たす場合に、前記第一の記憶部に記憶されている匿名化済みデータを削除する、第1項乃至第3項のいずれか一項に記載の匿名化処理装置。
(第5項)
前記所定の条件は、匿名化済みデータに対応する前記入力データが、前記入力部で受け付けられてからの経過時間、又は、前記第一の記憶部に記憶可能なレコード数が所定の閾値を超えた場合である、第4項に記載の匿名化処理装置。
(第6項)
抽象度を指定する機械学習部を有し、
前記処理部は、前記抽象度に基づいて前記入力データに対して匿名化を行い、
前記出力部は、前記複数の匿名化済みデータが前記匿名性指標を満たすか否かの判断結果を前記機械学習部に送信し、
前記機械学習部は、前記判断結果に基づいて前記抽象度を変更する、第1項乃至第5項のいずれか一項に記載の匿名化処理装置。
(第7項)
前記処理部は、前記抽象度が変更された場合、変更された前記抽象度に基づいて前記入力データに対して再度匿名化を行う、第6項に記載の匿名化処理装置。
(第8項)
入力データに対して匿名化を行い、匿名化された出力データを出力する匿名化処理装置の匿名化処理方法であって、
前記入力データを受け付ける入力ステップと、
前記入力データに対して匿名化を行い、匿名化された前記入力データに対応する匿名化済みデータを生成する処理ステップと、
匿名化済みデータを第一の記憶部に記憶させる記憶ステップと、
前記第一の記憶部に記憶されている複数の匿名化済みデータが匿名性指標を満たす場合に、前記複数の匿名化済みデータの各々に対応する複数の出力データを生成して出力し、前記複数の匿名化済みデータを前記第一の記憶部から削除する出力ステップと、
を有する、匿名化処理方法。
(第9項)
入力データに対して匿名化を行い、匿名化された出力データを出力する匿名化処理装置のプログラムであって、
匿名化処理装置に、
前記入力データを受け付ける入力ステップと、
前記入力データに対して匿名化を行い、匿名化された前記入力データに対応する匿名化済みデータを生成する処理ステップと、
匿名化済みデータを第一の記憶部に記憶させる記憶ステップと、
前記第一の記憶部に記憶されている複数の匿名化済みデータが匿名性指標を満たす場合に、前記複数の匿名化済みデータの各々に対応する複数の出力データを生成して出力し、前記複数の匿名化済みデータを前記第一の記憶部から削除する出力ステップと、
を実行させるプログラム。
<実施形態の補足>
以上、本発明は実施の形態に限定されるものではなく、本発明の範囲内で種々の変形及び改良が可能である。

【0091】
以上、実施の形態で述べたフローチャートは、矛盾の無い限り順序を入れ替えてもよい。
【0092】
以上、実施の形態の全部又は一部は、プログラムによって実装され得る。このプログラムは、記憶媒体に格納することができる。
【0093】
なお、実施の形態において、匿名化処理部205は、処理部の一例である。一時記憶部201は、第一の記憶部の一例である。匿名化パターンDB記憶部207は、第二の記憶部の一例である。匿名化後データは、匿名化済みデータの一例である。k−匿名性は、匿名性指標の一例である。一般化の度合いは、抽象度の一例である。
【符号の説明】
【0094】
10 匿名化処理装置
201 一時記憶部
202 設定情報記憶部
203 入力部
204 機械学習部
205 匿名化処理部
206 出力判断部
207 匿名化パターンDB記憶部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.