ホーム > 特許ランキング > アルプスアルパイン株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022149375
(43)【公開日】2022-10-06
(54)【発明の名称】端末、ログデータの処理方法およびプログラム
(51)【国際特許分類】
G06F 11/34 20060101AFI20220929BHJP
G06F 21/62 20130101ALI20220929BHJP
【FI】
G06F11/34 176
G06F21/62 354
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2021051501
(22)【出願日】2021-03-25
(71)【出願人】
【識別番号】000010098
【氏名又は名称】アルプスアルパイン株式会社
(74)【代理人】
【識別番号】100105784
【弁理士】
【氏名又は名称】橘 和之
(74)【代理人】
【識別番号】100098497
【弁理士】
【氏名又は名称】片寄 恭三
(74)【代理人】
【識別番号】100099748
【弁理士】
【氏名又は名称】佐藤 克志
(74)【代理人】
【識別番号】100103171
【弁理士】
【氏名又は名称】雨貝 正彦
(72)【発明者】
【氏名】津村 光美
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042MA08
5B042MA09
5B042MA10
5B042MA14
(57)【要約】
【課題】匿名化されるべきログが本当に匿名化されているかどうかというユーザの不安を緩和すると共に、ユーザが移動を行った後、事後的に匿名化を希望するようになったログについても匿名化できるようにした「端末、ログデータの処理方法およびプログラム」を提供する。
【解決手段】端末2は、位置検出部10により検出された位置のログをログデータ16に記録するログ記録部11と、ログが示す移動経路が地図上に描画された画面をタッチスクリーン4に表示し、地図上の領域がユーザにより指定されたときに、ログデータ16に記録されたログのうち、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化する匿名化部12と、匿名化部12による匿名化が完了した後のログデータ16を管理サーバ3に送信するログデータ送信部13とを備え、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化してから外部装置に送付するようにしている。
【選択図】図2
【解決手段】端末2は、位置検出部10により検出された位置のログをログデータ16に記録するログ記録部11と、ログが示す移動経路が地図上に描画された画面をタッチスクリーン4に表示し、地図上の領域がユーザにより指定されたときに、ログデータ16に記録されたログのうち、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化する匿名化部12と、匿名化部12による匿名化が完了した後のログデータ16を管理サーバ3に送信するログデータ送信部13とを備え、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化してから外部装置に送付するようにしている。
【選択図】図2
【特許請求の範囲】
【請求項1】
位置を検出する位置検出部と、
前記位置検出部により検出された位置のログをログデータに記録するログ記録部と、
前記ログ記録部により記録されたログが示す移動経路が地図上に描画された画面を表示部に表示し、地図上の領域がユーザにより指定されたときに、前記ログデータに記録されたログのうち、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化する匿名化部と、
前記匿名化部による匿名化が完了した後の前記ログデータを外部装置に送信するログデータ送信部と、
を備えることを特徴とする端末。
前記位置検出部により検出された位置のログをログデータに記録するログ記録部と、
前記ログ記録部により記録されたログが示す移動経路が地図上に描画された画面を表示部に表示し、地図上の領域がユーザにより指定されたときに、前記ログデータに記録されたログのうち、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化する匿名化部と、
前記匿名化部による匿名化が完了した後の前記ログデータを外部装置に送信するログデータ送信部と、
を備えることを特徴とする端末。
【請求項2】
前記匿名化部は、
ユーザに指定された領域内に閾値以上の個数の施設が含まれているか否かを判別し、含まれていない場合は、前記閾値以上の個数の施設が含まれるように領域を拡張し、
前記ログデータに記録されたログのうち、拡張後の領域に含まれる移動経路に属するログを匿名化する
ことを特徴とする請求項1に記載の端末。
ユーザに指定された領域内に閾値以上の個数の施設が含まれているか否かを判別し、含まれていない場合は、前記閾値以上の個数の施設が含まれるように領域を拡張し、
前記ログデータに記録されたログのうち、拡張後の領域に含まれる移動経路に属するログを匿名化する
ことを特徴とする請求項1に記載の端末。
【請求項3】
前記匿名化部は、ユーザにより設定された前記閾値以上の個数の施設が含まれるように領域を拡張する
ことを特徴とする請求項2に記載の端末。
ことを特徴とする請求項2に記載の端末。
【請求項4】
前記匿名化部は、ユーザにより指定された領域を、ユーザの指示に基づいて登録し、次回以降、登録された領域については、ユーザの指定によらず匿名化の対象とする
ことを特徴とする請求項1から3の何れか1項に記載の端末。
ことを特徴とする請求項1から3の何れか1項に記載の端末。
【請求項5】
位置を検出する位置検出部と、前記位置検出部により検出された位置のログをログデータに記録するログ記録部とを備える端末によるログデータの処理方法であって、
前記端末の匿名化部が、前記ログ記録部により記録されたログが示す移動経路が地図上に描画された画面を表示部に表示し、地図上の領域がユーザにより指定されたときに、前記ログデータに記録されたログのうち、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化するステップと、
前記端末のログデータ送信部が、前記匿名化部による匿名化が完了した後の前記ログデータを外部装置に送信するステップと、
を含むことを特徴とするログデータの処理方法。
前記端末の匿名化部が、前記ログ記録部により記録されたログが示す移動経路が地図上に描画された画面を表示部に表示し、地図上の領域がユーザにより指定されたときに、前記ログデータに記録されたログのうち、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化するステップと、
前記端末のログデータ送信部が、前記匿名化部による匿名化が完了した後の前記ログデータを外部装置に送信するステップと、
を含むことを特徴とするログデータの処理方法。
【請求項6】
端末のコンピュータにより実行されるプログラムであって、
前記コンピュータを、
位置を検出する位置検出部と、
前記位置検出部により検出された位置のログをログデータに記録するログ記録部と、
前記ログ記録部により記録されたログが示す移動経路が地図上に描画された画面を表示部に表示し、地図上の領域がユーザにより指定されたときに、前記ログデータに記録されたログのうち、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化する匿名化部と、
前記匿名化部による匿名化が完了した後の前記ログデータを外部装置に送信するログデータ送信部と、
として機能させることを特徴とするプログラム。
前記コンピュータを、
位置を検出する位置検出部と、
前記位置検出部により検出された位置のログをログデータに記録するログ記録部と、
前記ログ記録部により記録されたログが示す移動経路が地図上に描画された画面を表示部に表示し、地図上の領域がユーザにより指定されたときに、前記ログデータに記録されたログのうち、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化する匿名化部と、
前記匿名化部による匿名化が完了した後の前記ログデータを外部装置に送信するログデータ送信部と、
として機能させることを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末、ログデータの処理方法およびプログラムに関し、特に、ログデータを外部装置に送信する端末、この端末によるログデータの処理方法、および、この端末に実行されるプログラムに用いて好適なものである。
【背景技術】
【0002】
近年、位置を検出する機能を有する端末が普及してきており、当該機能を利用して検出された位置のログを記録し、ログが記録されたログデータを端末からサーバ等の外部装置に送信することが広く行われている。一例としてGPSユニットが搭載されたスマートフォンから外部装置に対してログデータを送信したり、同じくGPSユニットが搭載されたカーナビゲーションから外部装置に対してログデータを送信したりするシステムが存在する。外部装置に記憶されたログデータは例えば、ビッグデータとして分析するために利用されたり、端末の所有者の行動を分析するために利用されたりする。
【0003】
上述したシステムでは、外部装置に様々なログデータが累積的に記録されることになるが、ログデータには、ユーザに関する個人的な事項が特定されるログや、ユーザが秘匿したいと考えるログ(以下「要匿名化ログ」という)が記録されている場合がある。このような要匿名化ログは、個人情報保護およびプライバシー保護の観点から匿名化(削除、スクランブル化および曖昧化を含む概念)する必要があり、従来は、外部装置に蓄積されたログデータから機械的或いは人為的な手段でこのような内容のログが削除されていた。
【0004】
なお特許文献1,2には、個人情報の漏洩を防止することを目的として以下の処理を行う装置が記載されている。すなわち特許文献1には、車両に搭載されたナビゲーション装置20が、車車間通信或いは路車間通信に際し、車両が予め定められた保護範囲内(一例として自宅近辺)に位置しているときは、位置に関する情報を削除して情報を送信し、これにより個人情報(一例として自宅の位置)が漏洩しないようにする技術が記載されている。また特許文献2には、車両に搭載される車載機200が、路側機100から位置情報の要求があったときに、予め定められた領域(一例として、自宅11aの特定が容易と推定される領域)において取得した位置情報を送信しないようにし、これにより個人情報(一例として自宅の位置)が漏洩しないようにする技術が記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2012-199780号公報
【特許文献2】特開2012-163569号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら従来のシステムでは、要匿名化ログを含むログデータが一旦、外部装置に送信され、外部装置側で要匿名化ログが匿名化されることになる。このため、ユーザが、自身が関知し得ない遠い場所で要匿名化ログの匿名化に関連する処理が行われているような印象を抱き、要匿名化ログが本当に匿名化されているかどうか不安に思うケースがあった。
【0007】
この点に関し特許文献1、2に記載された技術を応用して、以下のようにすることが考えられる。すなわち、ユーザが予めログを記録したくない領域を登録する。そしてこの領域にユーザが位置しているときにはログが記録されないようにすることが考えられる。このようにすれば、ログデータには、ユーザが指定した領域に属するログが含まれないことになり、サーバにユーザが望まないログが送信されないことになり、上述した不安をユーザが抱くことを防止できる。
【0008】
しかしながらこの場合、事前に登録された領域にユーザが位置している場合にのみ、ログが送信されないことになるため、ユーザがある移動経路に従って移動した後、事後的に一部の経路のログに関して匿名化したいと考えた場合(例えば、病気になって病院に行った後、病院の位置に対応するログを匿名化したいと考えた場合)に、そのログについて送信されてしまうという問題が発生する。
【0009】
本発明は、このような問題を解決するために成されたものであり、匿名化されるべきログが本当に匿名化されているかどうかというユーザの不安を緩和すると共に、ユーザが移動を行った後、事後的に匿名化を希望するようになったログについても匿名化できるようにすることを目的とする。
【課題を解決するための手段】
【0010】
上記した課題を解決するために、本発明では、位置のログをログデータに記録し、ログが示す移動経路が地図上に描画された画面を表示部に表示し、地図上の領域がユーザにより指定されたときに、ログデータに記録されたログのうち、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化し、匿名化が完了した後のログデータを外部装置に送信するようにしている。
【発明の効果】
【0011】
上記のように構成した本発明によれば、ユーザの指示に基づくログの匿名化が端末側で行われ、匿名化が完了した後のログデータが外部装置に送信されることになる。つまり外部装置側で匿名化が行われないため、匿名化されるべきログが本当に匿名化されているかどうかというユーザの不安を緩和できる。更に事前に領域が登録され、登録された領域に含まれる移動経路に属するログのみが自動で匿名化されるのではなく、ユーザが移動経路を参照しつつ指定した領域に含まれる移動経路に属するログが匿名化される。このためユーザが移動を行った後、事後的に匿名化を希望するようになったログについても、匿名化をすることができる。
【図面の簡単な説明】
【0012】
【図1】本発明の一実施形態に係るログデータ管理システムの構成例を示す図である。
【図2】本発明の一実施形態に係る端末の機能構成例を示すブロック図である。
【図3】ログデータの内容を示す図である。
【図4】匿名化希望入力画面を示す図である。
【図5】ユーザの操作の説明に利用する図である。
【図6】匿名化部の処理の説明に利用する図である。
【図7】匿名化部の処理の説明に利用する図である。
【図8】匿名化領域確認画面を示す図である。
【図9】タッチスクリーンに表示される画面を示す図である。
【図10】本発明の一実施形態に係る端末の動作例を示すフローチャートである。
【図11】本発明の一実施形態に係る端末の動作例を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明の一実施形態を図面に基づいて説明する。図1は、本実施形態に係るログデータ管理システム1の構成例を示す図である。図1で示すように、ログデータ管理システム1は、端末2と管理サーバ3とを備えている。端末2および管理サーバ3は共に、インターネットを含むネットワークNに接続可能である。
【0014】
管理サーバ3は、端末2をクライアントの1つとするサーバ装置である。図1では、管理サーバ3を1つのブロックで表しているが、管理サーバ3は単一のサーバ装置である必要はなく、例えば複数のサーバ装置により構成されてもよく、また、所定のシステムの一部であってもよい。
【0015】
端末2は、タブレット型の筐体の全面の広い領域にタッチスクリーン4(表示パネル+タッチパネル)が設けられたスマートフォンである。端末2は、GPSユニットが搭載され、端末2の現在位置を検出する位置検出機能を有している。タッチスクリーン4は、特許請求の範囲の「表示部」に相当する。
【0016】
なお端末2はスマートフォンに限られず、後述する処理を実行可能な装置であればよい。一例として、電話機能を有さないタブレット端末や、カーナビゲーション等の車載装置を端末2として機能させることができる。図1では、無数に存在する端末2の1つを例示的に示している。端末2には、事前に所定のアプリケーション(以下「専用アプリ」という。専用アプリは特許請求の範囲の「プログラム」に相当する)が、アプリケーションダウンロードシステムを利用してインストールされている。専用アプリの機能については後述する。
【0017】
図2は、端末2の機能構成例を示すブロック図である。図2で示すように端末2は機能構成として、位置検出部10とログ記録部11と匿名化部12とログデータ送信部13とを備えている。本実施形態において上記各機能ブロック10~13は、コンピュータのCPU、RAM、ROM等を備えて構成され、CPUがROM、ハードディスクまたは半導体メモリ等の記憶媒体に記憶された専用アプリ(ただしOS、OSが提供するAPI、その他の付随するプログラムを含む)をRAMに読み出して実行することによって実現される。ただし、上記各機能ブロック10~13の構成方法は、本実施形態で例示する方法に限られず、ハードウェア、DSP(Digital Signal Processor)、ソフトウェアのいずれによっても構成することが可能である。
【0018】
従って上記各機能ブロック10~13の機能は、専用アプリを例えば記録媒体に記録し、コンピュータに読み込ませることによって実現できるものである。専用アプリを記録する記録媒体としては、CD-ROMや、フレキシブルディスク、ハードディスク、磁気テープ、光ディスク、光磁気ディスク、DVD、不揮発性メモリカード等を用いることができる。また専用アプリは、インターネット等のネットワークNを介してコンピュータにダウンロードすることが想定されているが、専用アプリが端末2のコンピュータに実装される手段はどのようなものであってもよい。
【0019】
図2で示すように端末2は記憶手段として、記憶部14を備えている。
【0020】
上述した通り端末2には、専用アプリがインストールされている。この専用アプリは、少なくとも以下のサービス(以下「専用サービス」という)を提供する。専用サービスでは、ある一定期間(以下「観測期間」という)において、端末2の位置のログが記憶部14に記憶されたログデータ16に記録され、一定期間が経過した後、ユーザの指示に応じてログデータが管理サーバ3に送信される。観測期間は、例えば一週間や、三日間、一日間、一日の特定の時間帯、ユーザが開始指示をしてから終了指示をするまでの期間、専用アプリが起動している期間等である。以下、観測期間においてログがログデータ16に記録されるシーン(以下「ログ記録シーン」という)と、ログデータ16が管理サーバ3に送信されるシーン(以下「ログデータ送信シーン」という)とに分けて、端末2の処理について説明する。
【0021】
<ログ記録シーン>
観測期間の間、位置検出部10は所定周期で、端末2の位置検出機能を利用して端末2の現在位置(緯度、経度によって表されるものとする)を検出する。所定周期は例えば、1分や3分、5分等(当然、もっと短くてもよくもっと長くてもよい)であり、固定値でもよく、ユーザが設定できる構成でもよい。
観測期間の間、位置検出部10は所定周期で、端末2の位置検出機能を利用して端末2の現在位置(緯度、経度によって表されるものとする)を検出する。所定周期は例えば、1分や3分、5分等(当然、もっと短くてもよくもっと長くてもよい)であり、固定値でもよく、ユーザが設定できる構成でもよい。
【0022】
ログ記録部11は、観測期間に対応するログデータ16を記憶部14に記憶する。そしてログ記録部11は、観測期間の間、位置検出部10が所定周期で検出する現在位置を示す情報を取得し、現在日時(日付+時刻)を示すログ日時情報J1と、現在位置を示すログ位置情報J2とを対応付けてログデータ16に記録する。
【0023】
図3(A)はログデータ16の内容を模式的に示す図である。ログ記録シーンにおいて位置検出部10およびログ記録部11により以上の処理が行われる結果、ある観測期間が終了すると、その観測期間におけるログ日時情報J1とログ位置情報J2との組み合わせが時系列でログデータ16に記録された状態となる。以下、ログ日時情報J1とログ位置情報J2との組み合わせを「ログ単位情報J3」(特許請求の範囲の「ログ」に相当)という。ログデータ16に記録されたログ単位情報J3により、観測期間におけるユーザの移動経路が示される。以上の通り、本実施形態ではログ単位情報J3は、リアルタイムで管理サーバ3に送信されることなく、一旦、ログデータ16に記録される。
【0024】
<ログデータ送信シーン>
観測期間が完了した後の任意のタイミングで、ユーザは、専用アプリが提供する所定のインタフェイスに、以下で示すログデータ送信処理の開始を指示する。当該指示があったことを検出すると匿名化部12は、匿名化希望入力画面17(図4)をタッチスクリーン4に表示する。匿名化希望入力画面17は、特許請求の範囲の「画面」に相当する。
観測期間が完了した後の任意のタイミングで、ユーザは、専用アプリが提供する所定のインタフェイスに、以下で示すログデータ送信処理の開始を指示する。当該指示があったことを検出すると匿名化部12は、匿名化希望入力画面17(図4)をタッチスクリーン4に表示する。匿名化希望入力画面17は、特許請求の範囲の「画面」に相当する。
【0025】
【0026】
匿名化部12は、初期状態の匿名化希望入力画面17を以下の方法で表示する。すなわち匿名化部12は、ログデータ16を参照し、スタート地点(ログデータ16における1つ目のログ単位情報J3のログ位置情報J2が示す位置)を特定する。次いで匿名化部12は、地図提供サービスを提供する外部サーバにWebApiを利用してアクセスし、地図を描画するための情報を受信し、受信した情報に基づいてスタート地点が中心に近い場所に位置した所定スケールの地図を表示する。匿名化部12から外部サーバへのアクセスの際には、スタート地点の位置を示す情報、地図のスケールを示す情報、その他の必要な情報が外部サーバに適切に提供される。
【0027】
地図の表示と共に、匿名化部12は、ログデータ16を参照し、ログデータ16が示す移動経路を示す移動経路画像18を地図上に表示する。移動経路画像18は、ログ位置情報J2が示す位置に丸点がプロットされると共に、時系列に従って丸点が線によって結ばれた画像とされる。ただし丸点は描画されず、移動経路を示す線だけが描画される構成でもよい。匿名化部12は、外部サーバと非同期で通信し、ユーザのタッチ操作(スワイプやピンチイン、ピンチアウト等)に応じて適宜、匿名化希望入力画面17の地図を遷移、拡張、縮小、回転する。匿名化部12は、地図の遷移等に応じて、表示された地図中の適切な位置に移動経路画像18を描画する。以下では、ユーザにより、匿名化希望入力画面17における地図の遷移等は適宜、適切に行われるものとし、特に説明しない。
【0028】
なお本実施形態の匿名化希望入力画面17の初期状態はあくまで一例である。例えば匿名化部12が、移動経路の全体が表示されるようなスケールで地図を表示し、地図上に移動経路の全体を示す移動経路画像18を描画する構成でもよい。
【0029】
ここで上述したように専用サービスでは最終的には、端末2から管理サーバ3へとログデータ16が送信される。そして記憶部14に記憶されているログデータ16には、ユーザに関する個人的な事項が特定されるログや、ユーザが秘匿したいと考えるログ(以下「要匿名化ログ」という)が記録されている場合がある。要匿名化ログは例えば、ユーザの自宅付近の移動経路を示すログや、ユーザの職場付近の移動経路を示すログ等である。
【0030】
以上を踏まえ、匿名化希望入力画面17は、地図上の任意の領域の外縁を指でなぞることにより、その領域を指定することが可能に構成されている。ユーザは、匿名化希望入力画面17に対して以下の入力を行う。すなわちユーザは、匿名化希望入力画面17の移動経路画像18を参照することにより、観測期間における自身の移動経路を認識する。次いでユーザは、移動経路の中で、匿名化したい経路(自身に関する個人的な事項が特定されると考える経路や、秘匿したいと考える経路。以下「要匿名化経路」という)を認識し、その経路が含まれるように地図上の領域の外縁を指でなぞる。
【0031】
例えば図5(A)を参照し、移動経路画像18が示す移動経路のうち、点線の枠で囲んだ経路について、ユーザが要匿名化経路と考えたとする。この場合、図5(B)で示すようにユーザは点線で囲まれた経路が含まれるような領域の外縁を指でなぞる(図5(B)は途中の状態を示している)。図5(B)で示すように、ユーザが指でなぞった箇所には、その軌跡を示す線が描画される。図5(C)で示すように、ユーザが指でなぞった領域が閉じられた領域となると、その領域の指定が確定し、地図上で指定が確定したことが明示される。本実施形態では、確定した領域内が所定の色で薄く塗りつぶされることにより、領域の指定が確定したことが明示される。以上のユーザの行為は、ログの匿名化を希望する経路(厳密には、そのような経路が含まれる領域)を指定する行為に相当する。
【0032】
ユーザは、複数の異なる閉じられた領域を指定することも可能である(当然、1つも指定しなくてもよい)。ユーザは、領域の指定を完了すると、匿名化希望入力画面17の確定ボタン21(図4、5参照)をタッチして、入力を確定する。以下、ユーザにより指定された領域を指定領域という。以下では、1つ以上の指定領域が指定されたものとして匿名化部12の処理を説明する。
【0033】
ユーザにより入力が確定されると匿名化部12は、記憶部14に記憶された施設データベース20を参照する。施設データベース20とは、地図上の施設ごとに、地図上の位置を示す施設位置情報が対応付けて登録されたデータベースである(当然、施設に関する施設位置情報以外の情報が登録されていてもよい)。本実施形態では、施設とは、人間が立ち寄ることができ或いは滞在できる場所として予め登録された対象を意味する。次いで匿名化部12は、施設データベース20の各施設の施設位置情報に基づいて、ユーザにより指定された領域内に位置する施設の個数を特定する。
【0034】
次いで匿名化部12は、ユーザにより予め設定された施設個数閾値(閾値)を認識する。匿名化部12は、専用アプリの機能により、ユーザに施設個数閾値を設定するユーザインタフェイスを提供する。ユーザは、このユーザインタフェイスを利用して、施設個数閾値を設定する。施設個数閾値の意義については後に明らかとなる。次いで匿名化部12は、指定領域内の施設の個数が施設個数閾値以上か否かを判別する。指定領域内の施設の個数が施設個数閾値以上の場合、匿名化部12は、指定領域を囲み、南北に延びる一対の辺と東西に延びる一対の辺からなる矩形の領域を匿名化領域として特定する。
【0035】
図6の各図は、匿名化希望入力画面17の地図の部分を簡略化して模式的に示す図である。例えば図6(A)で示す地図上で、同図で示す態様で指定領域が指定され、指定領域には10個の施設が含まれていたとする。また施設個数閾値は「6」であったとする。この場合、指定領域内には施設個数閾値以上の個数の施設が存在する。この場合、匿名化部12は、図6(B)の矩形の領域R6Bを匿名化領域として特定する。
【0036】
一方、指定領域内の施設の個数が施設個数閾値以上ではない場合、匿名化部12は、拡張後の領域に施設個数閾値が示す個数(或いは施設個数閾値以上の個数)の施設が含まれるように指定領域を拡張し、拡張後の指定領域を匿名化領域として特定する。本実施形態では匿名化部12は、以下の方法で指定領域を拡張する。
【0037】
すなわち図7(A)で示す地図上で、同図で示す態様で指定領域が指定され、指定領域には3つの施設が含まれていたとする。また、施設個数閾値は6であったとする。この場合、指定領域内の施設の個数は、施設個数閾値以上ではない。この場合、匿名化部12は、図7(B)で示すように指定領域を囲み、南北に延びる一対の辺と東西に延びる一対の辺からなる矩形の領域R7Bを特定する。次いで匿名化部12は、領域R7Bの中心点M7Bを特定する。次いで匿名化部12は、施設データベース20の各施設の施設位置情報に基づいて領域7Bの外側の施設のうち、中心点Mから最も近い施設を特定する。図7(B)では、施設S1が領域R7Bの外側で中心点M7Bから最も近い施設であり、匿名化部12は、この施設S1を特定する。
【0038】
匿名化部12は、特定した施設S1が含まれた状態となるように、領域R7Bを施設S1側に向かって拡張する。図7(C)の符号R7Cは、拡張後の領域を示している。次いで匿名化部12は、施設データベース20の各施設の施設位置情報に基づいて、図7(C)の領域R7Cの外側の施設のうち、中心点M7Bから最も近い施設を特定する。図7(C)では、施設S2が領域R7Cの外側で、中心点M7Bから最も近い施設であり、匿名化部12は、この施設S2を特定する。次いで匿名化部12は、特定した施設S2が含まれた状態となるように、領域R7Cを施設S2側(図中左上側)に向かって拡張する。図7(D)の符号R7Dは、拡張後の領域を示している。
【0039】
以上のようにして匿名化部12は、中心点M7Bから近い順に施設が含まれていくように指定領域を順次、拡張していき、施設個数閾値が示す個数以上の施設がその内側に含まれた状態となったときの領域を匿名化領域とする。図7(E)の符号R7Eは、最終的に匿名化領域として特定される領域を示している。
【0040】
なお、指定領域内に施設個数閾値が示す個数の施設が含まれない場合に指定領域を拡張する方法は、本実施形態で例示した方法に限られない。一例として、指定領域を囲む矩形の領域について、当該矩形の領域内の所定の点を中心として相似性を維持したまま(縦横比を維持したまま)拡張していき、施設個数閾値が示す個数の施設が含まれた状態となったときの領域を匿名化領域としてもよい。また、矩形以外の形状(例えば、円)の領域を拡張するようにしてもよい。
【0041】
匿名化領域を特定した後、匿名化部12は、匿名化領域確認画面22をタッチスクリーン4に表示する。図8(A)は、図6(B)で示す領域R6Bが匿名化領域として特定された場合の匿名化領域確認画面22を示している。図8(B)は、図7(E)で示す領域R7Eが匿名化領域として特定された場合の匿名化領域確認画面22を示している。図8の各図で示すように匿名化領域確認画面22では、地図上で匿名化領域が明示される。更に匿名化領域確認画面22では、地図上に表示された領域(=匿名化領域)に含まれるログを匿名化する旨の情報が表示される。更に匿名化領域確認画面22には、地図上に表示された匿名化領域に含まれるログを匿名化することについて問題ない場合に操作されるボタン23、指定領域を指定しなおす場合に操作されるボタン24、および、施設個数閾値を設定しなおす場合に操作されるボタン25が表示される。ユーザは、ボタン24を操作することによって指定領域を指定しなおすことができ、また、ボタン25を操作することによって施設個数閾値を設定しなおすことができる。
【0042】
ボタン23が操作された場合、匿名化部12は、ログデータ16のログ単位情報J3のうち、ログ位置情報J2が示す位置が匿名化領域内に位置するログ単位情報J3を特定する。匿名化部12は、ログ単位情報J3のそれぞれについて、匿名化領域に対応する地図上の閉じられた領域に、ログ位置情報J2が示す位置が属するか否かを判別することによって、ログデータ16のログ単位情報J3のうち、ログ位置情報J2が示す位置が匿名化領域内に位置するログ単位情報J3を特定する。次いで匿名化部12は、ログデータ16のログ単位情報J3のうち、ログ位置情報J2が示す位置が匿名化領域内に位置するログ単位情報J3について、ログ位置情報J2の値を、匿名化明示情報に更新する。
【0043】
匿名化明示情報とは、ログ位置情報J2が匿名化された情報であり、特に本実施形態では、実際の緯度や経度とは関係のない予め定められた文字列(記号を含む)とされている。匿名化明示情報は、ログ位置情報J2が確実に匿名化されたものであればよく、ヌル値であってもよい。例えばログデータ16の内容が図3(A)で示すものであったとする。そしてログ単位情報J31~J33は、そのログ位置情報J2が示す位置が匿名化領域内に位置しているものとする。この場合、匿名化部12は、ログ単位情報J31~J33のそれぞれについて、ログ位置情報J2の値を、匿名化明示情報(図3の例では、文字列「XXX」)に変更する。この結果、ログデータの内容は、図3(B)に示す内容となる。
【0044】
ここで図6(B)の例では、領域R6Bが匿名化領域である。この場合、匿名化領域たる領域R6Bに含まれるポイントP61、P62のそれぞれに対応するログ単位情報J3について、ログ位置情報J2が匿名化明示情報に書き換えられる(匿名化される)。また図7(E)の例では、領域R7Eが匿名化領域である。この場合、匿名化領域たる領域R7Eに含まれるポイントP71、P72、P73、P73、P74、P75のそれぞれに対応するログ単位情報J3について、ログ位置情報J2が匿名化明示情報に書き換えられる(匿名化される)。
【0045】
ここで、あるログ単位情報J3のログ位置情報J2が示す位置が指定領域内に位置している場合、ユーザが、そのログ位置情報J2について匿名化を希望しているということである。そして匿名化部12により以上の処理が実行されることにより、ユーザにより指定された指定領域に含まれる移動経路に属するログについて確実に匿名化がなされることになる。
【0046】
更に本実施形態では、指定領域内に施設個数閾値が示す個数以上の施設が存在しない場合は、施設個数閾値が示す個数以上の施設が含まれるように指定領域を拡張した上で、拡張後の指定領域(拡張後の領域)に含まれる移動経路に属するログが匿名化される。これにより以下の効果を奏する。すなわち図7(B)を参照し、図7(B)の領域R7Bには、3個の施設が含まれている。仮に、この領域R7Bに属するログ(ログ単位情報J3)をのみを匿名化する(ログ位置情報J2を匿名化明示情報に書き換える)こととすると、匿名化の対象となった領域R7B内には、3個の施設しか存在しないことになる。このため、ユーザが経由した位置の候補が少ない個数に絞られることになる。従って、ログデータ16からユーザが実際に経由した位置を推定され得るのではないかと、ユーザが、不安に思う可能性がある。
【0047】
一方で本実施形態によれば、指定領域内に施設個数閾値が示す個数以上の施設が存在しない場合は、施設個数閾値が示す個数以上の施設が含まれるように指定領域が拡張された上で、拡張後の領域に含まれる移動経路に属するログが匿名化される。このため、匿名化の対象となった領域に属する施設が多数となり、ログデータ16からはユーザが実際に経由した位置を推定されない(推定にされにくい)とユーザに感じさせることができる。
【0048】
更に匿名化部12は、図9(A)で示す画面を表示し、今回、指定された領域を登録するか否か問い合わせる。登録する旨の指示があった場合、匿名化部12は、図9(B)で示す画面を表示し、指定領域をどのようなカテゴリで登録するか選択させる。匿名化部12は、ユーザにより指定領域を登録する旨の指示があった場合、ユーザにより指定されたカテゴリで登録する(地図上で指定領域を特定するための情報を記憶部14に記憶する)。匿名化部12は、このようにして登録された指定領域については、次回以降、ユーザの指定によらず匿名化の対象とする。
【0049】
ログデータ送信部13は、匿名化部12によるログデータ16の匿名化が完了すると、匿名化が完了した後のログデータ16を管理サーバ3(外部装置)に送信する。管理サーバ3は、ログデータ16を受信すると共に、データベースに記憶する。管理サーバ3に記憶されたログデータ16は例えば、ビッグデータとして分析するために利用されたり、端末2の所有者の行動を分析するために利用されたりする。
【0050】
以上説明したように、本実施形態では、端末2は、位置のログをログデータ16に記録し、ログが示す移動経路が地図上に描画された画面をタッチスクリーン4(表示部)に表示し、地図上の領域がユーザにより指定されたときに、ログデータ16に記録されたログのうち、ユーザにより指定された領域に含まれる移動経路に属するログを匿名化し、匿名化が完了した後のログデータ16を管理サーバ3(外部装置)に送信する。
【0051】
この構成によれば、ユーザの指示に基づくログの匿名化が端末2側で行われ、匿名化が完了した後のログデータ16が管理サーバ3に送信されることになる。つまり管理サーバ3側で匿名化が行われないため、匿名化されるべきログが本当に匿名化されているかどうかというユーザの不安を緩和できる。更に事前に領域が登録され、登録された領域に含まれる移動経路に属するログのみが自動で匿名化されるのではなく、移動経路画像18が示す移動経路を参照しつつユーザが指定した領域に含まれる移動経路に属するログが匿名化される。このため、ユーザが移動を行った後、事後的に匿名化を希望するようになったログについても、匿名化することができる。
【0052】
次に本発明の一実施形態に係る端末2によりログデータの処理方法を実現する動作の動作例を、フローチャートを用いて説明する。図10は、ログ記録シーンにおける端末2の動作を示すフローチャートであり、特に観測期間において周期毎に行われる端末2の動作を示している。図10で示すように位置検出部10は、端末2の現在位置を検出する(ステップSA1)。ログ記録部11は、ステップSA1で位置検出部10により検出された現在位置に基づいて、ログ日時情報J1とログ位置情報J2とを含むログ単位情報J3をログデータ16に記録する(ステップSA)。
【0053】
図11は、ログデータ送信シーンにおける端末2の動作例を示すフローチャートである。以下の説明において、ユーザに対して複数の選択肢が与えられた場合において、ユーザは、説明に都合のよい選択肢を選択するものとする。
【0054】
図11で示すように、ユーザは、ログデータ送信処理の開始を指示する(ステップSX1)。当該指示に応じて匿名化部12は、匿名化希望入力画面17をタッチスクリーン4に表示する(ステップSB1)。ユーザは、匿名化希望入力画面17を利用して指定領域を指定する(ステップSX2)。上述した通りユーザによる指定領域の指定は、匿名化希望入力画面17に表示された地図の所望の領域の外縁が指でなぞられることによって行われる。
【0055】
指定領域の指定に応じて、匿名化部12は、施設データベース20を参照する(ステップSB2)。次いで匿名化部12は、ユーザにより予め設定された施設個数閾値を認識する(ステップSB3)。次いで匿名化部12は、指定領域内の施設の個数が施設個数閾値以上か否かを判別する(ステップSB4)。指定領域内の施設の個数が施設個数閾値以上の場合(ステップSB4:YES)、匿名化部12は、指定領域を囲む矩形の領域を匿名化領域として特定する(ステップSB5)。ステップSB5の処理後、処理手順はステップSB7へ移行する。
【0056】
指定領域内の施設の個数が施設個数閾値以上ではない場合(ステップSB4:NO)、匿名化部12は、拡張後の領域に施設個数閾値が示す個数(或いは施設個数閾値以上の個数)の施設が含まれるように指定領域を拡張し、拡張後の指定領域を匿名化領域として特定する(ステップSB6)。ステップSB6の処理後、処理手順はステップSB7へ移行する。
【0057】
ステップSB7において、匿名化部12は、匿名化領域確認画面22をタッチスクリーン4に表示する。ユーザは、ボタン23を操作する(ステップSX3)。ボタン23が操作されると匿名化部12は、ログデータ16のログ単位情報J3のうち、ログ位置情報J2が示す位置が匿名化領域内に位置するログ単位情報J3について、ログ位置情報J2の値を、匿名化明示情報に更新する(ステップSB8)。
【0058】
次いで匿名化部12は、指定された領域を登録するか否か問い合わせる画面をタッチスクリーン4に表示する(ステップSB9)。ユーザは登録する旨の指示をする(ステップSX4)。匿名化部12は、カテゴリを選択させる画面を表示する(ステップSB10)。ユーザは、カテゴリを選択する(ステップSX5)。匿名化部12は、指定領域について、ユーザにより指定されたカテゴリで登録する(ステップSB11)。
【0059】
ログデータ送信部13は、匿名化部12による匿名化が完了した後のログデータ16を管理サーバ3に送信する(ステップSB12)。
【0060】
以上、本発明の実施形態を説明したが、上記実施形態はいずれも本発明を実現するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が弦敵的に解釈されてはならないものであある。すなわち、本発明はその要旨、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
【0061】
例えば、端末2がスマートフォンでなくてもよいことは上述した通りであるが、特に端末2はカーナビゲーション等のGPSユニットによる位置検出機能を有する車載装置であってもよい。
【0062】
また上記実施形態では、匿名化部12は、外部サーバの機能により地図を描画していた。この点に関し、端末2の記憶部14に地図データが記憶され、匿名化部12が地図データに基づいて地図を描画する構成でもよい。また本実施形態では、施設データベース20が記憶部14に記憶され、匿名化部12は、施設データベース20に基づいて地図上の施設の位置を特定した。この点に関し、匿名化部12が外部装置に問い合わせることによって地図上の施設の位置を特定する構成でもよい。
【0063】
また本実施形態では、あるログ単位情報J3(ログ)についての匿名化は、そのログ単位情報J3のログ位置情報J2の値を予め定められた文字列からなる匿名化明示情報へと変換することによって行われた。一方で、匿名化の方法は、本実施形態で示した方法に限られない。一例として、ログ単位情報J3を削除するようにしてもよい。この方法で匿名化が行われる場合、図3(A)で示すログデータ16については、ログ単位情報J31、J32、J33が削除される。
【0064】
また上記実施形態では、指定領域に施設個数閾値が示す個数以上の施設が存在しない場合には、施設領域を拡張し、拡張後の領域に含まれるログを匿名化したが、このような拡張をしなくてもよい。ただし拡張に関する処理を行ったほうが、匿名化の実効性を高めることができることは、上記実施形態で述べた通りである。
【0065】
また上記実施形態において、ある機能ブロックが実行するとした処理の一部を端末2と外部装置とが協同して実行する構成でもよい。一例として匿名化部12の一部の処理を、端末2に接続されたクラウドサーバと協同で実行する構成でもよい。
【0066】
また上記実施形態では、ユーザは領域の外縁をなぞることによって指定領域を指定したが、指定領域を指定する方法は上記実施形態で示した方法に限られない。一例として、四隅をピンポイントでタッチすることによって指定領域が指定できるようにしてもよい。
【0067】
また上記実施形態では、施設個数閾値はユーザが設定していたが、これを固定値としてもよい。
【0068】
また上記実施形態では匿名化領域は矩形であったが、匿名化領域は矩形でなくてもよい。
【符号の説明】
【0069】
2 端末
3 管理サーバ(外部装置)
4 タッチスクリーン(表示部)
10 位置検出部
11 ログ記録部
12 匿名化部
14 ログデータ送信部
17 匿名化希望入力画面(画面)
3 管理サーバ(外部装置)
4 タッチスクリーン(表示部)
10 位置検出部
11 ログ記録部
12 匿名化部
14 ログデータ送信部
17 匿名化希望入力画面(画面)
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
