知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023141486
(43)【公開日】2023-10-05
(54)【発明の名称】制御方法、制御プログラム、及び、情報処理装置
(51)【国際特許分類】
G06F 21/62 20130101AFI20230928BHJP
【FI】
G06F21/62 354
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2022047831
(22)【出願日】2022-03-24
(71)【出願人】
【識別番号】000005223
【氏名又は名称】富士通株式会社
(74)【代理人】
【識別番号】100092978
【弁理士】
【氏名又は名称】真田 有
(74)【代理人】
【識別番号】100189201
【弁理士】
【氏名又は名称】横田 功
(72)【発明者】
【氏名】佐々木 佑樹
(57)【要約】
【課題】データ提供者が望まない条件で個人データが利用されることを抑制する。
【解決手段】コンピュータは、第1の個人データと個人識別性に関する条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記条件を満たすか否かを判定し、前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、処理を実行する。
【選択図】図10
【解決手段】コンピュータは、第1の個人データと個人識別性に関する条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記条件を満たすか否かを判定し、前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、処理を実行する。
【選択図】図10
【特許請求の範囲】
【請求項1】
第1の個人データと個人識別性に関する第1条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記第1条件を満たすか否かを判定し、
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
処理をコンピュータが実行する、制御方法。
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
処理をコンピュータが実行する、制御方法。
【請求項2】
前記第1条件は、同一の個人データの数に関する条件であり、
前記制御及び前記通知の少なくとも一方を行なう処理は、前記複数の個人データのうちの、前記第1の個人データと同一である個人データの数が、前記第1条件を満たす場合に、前記制御を行なう処理を含む、
請求項1に記載の制御方法。
前記制御及び前記通知の少なくとも一方を行なう処理は、前記複数の個人データのうちの、前記第1の個人データと同一である個人データの数が、前記第1条件を満たす場合に、前記制御を行なう処理を含む、
請求項1に記載の制御方法。
【請求項3】
属性及び属性値を示す属性情報と匿名性に関する第2条件とを受け付けると、前記属性情報に応じた複数の個人データを前記データベースから抽出し、
抽出した前記複数の個人データのうちの前記第2条件を満たす個人データを出力する、
処理を前記コンピュータが実行する、請求項1又は請求項2に記載の制御方法。
抽出した前記複数の個人データのうちの前記第2条件を満たす個人データを出力する、
処理を前記コンピュータが実行する、請求項1又は請求項2に記載の制御方法。
【請求項4】
前記出力する処理は、
前記抽出した複数の個人データの前記第1条件ごとの統計値を算出し、
前記統計値から得られる前記第1条件ごとの個人データの匿名性が前記第2条件を満たすときの個人データのうちの前記第1条件が最小である前記個人データを出力する、処理を含む、
請求項3に記載の制御方法。
前記抽出した複数の個人データの前記第1条件ごとの統計値を算出し、
前記統計値から得られる前記第1条件ごとの個人データの匿名性が前記第2条件を満たすときの個人データのうちの前記第1条件が最小である前記個人データを出力する、処理を含む、
請求項3に記載の制御方法。
【請求項5】
第1の個人データと個人識別性に関する第1条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記第1条件を満たすか否かを判定し、
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
処理をコンピュータに実行させる、制御プログラム。
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
処理をコンピュータに実行させる、制御プログラム。
【請求項6】
第1の個人データと個人識別性に関する第1条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記第1条件を満たすか否かを判定し、
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
制御部を備える、情報処理装置。
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
制御部を備える、情報処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、制御方法、制御プログラム、及び、情報処理装置に関する。
【背景技術】
【0002】
分散型技術を安全に利用可能とするTrusted Webの枠組みが提案されている。Trusted Webには、データ提供者の個人情報からデータベースを生成し、データ利用者に提供することで、データ流通を実現するデータ処理技術が含まれる。
【0003】
データ処理技術によれば、データ提供者(例えば個人)と、データ利用者(例えば企業)との間で1対1による個人情報の取引交渉を実現できる可能性がある。
【0004】
データ処理技術では、データ提供者から提供される個人情報(「提供データ」と表記する場合がある)に対して、個人識別性を取り除く、又は、ノイズを付与することによって、個人情報の再識別リスクを低減するための保護処理が行なわれる。
【0005】
保護処理としては、例えば、提供データと同一の属性値の組(セット)を有するk個のデータをデータベースに保持することで、提供データの匿名性を向上させるk-匿名化が知られている。以下、提供データに含まれる属性値の組(セット)を、「属性値タプル」又は「タプル」と表記する場合がある。
【0006】
なお、所定の評価基準により、プライバシーデータに対する安全性評価を実現する評価手法が知られている。安全性としては、例えば、個人識別性、一例として匿名性が挙げられる。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2011-134153号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
データ処理技術に評価手法を適用する場合、データ提供者は、データ処理技術の管理者(以下、「データ管理者」と表記する場合がある)が提示するデータ利用ポリシーに同意し、個人情報を提供した後に、プライバシーリスクを評価可能となる。
【0009】
このように、データ管理者では、各データ提供者からデータを収集してからプライバシーリスクの評価が実施される。換言すれば、データ提供者は、提供データ(属性値タプル)の個人識別性を提供データの提供前に評価できず、例えば、データ提供者が意図するよりも高い個人識別性を持つ提供データがデータベースに蓄積される可能性がある。
【0010】
1つの側面では、本発明は、データ提供者が望まない条件で個人データが利用されることを抑制することを目的の1つとする。
【課題を解決するための手段】
【0011】
1つの側面では、制御方法は、コンピュータが以下の処理を実行してよい。前記処理は、第1の個人データと個人識別性に関する第1条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記第1条件を満たすか否かを判定する処理を含んでよい。また、前記処理は、前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう処理を含んでよい。
【発明の効果】
【0012】
1つの側面では、本発明は、データ提供者が望まない条件で個人データが利用されることを抑制することができる。
【図面の簡単な説明】
【0013】
【図1】一実施形態の比較例に係るデータ管理システムの構成例を示すブロック図である。
【図2】プライバシー保護処理の一例であるk-匿名化処理を説明する図である。
【図3】一実施形態に係るデータ管理システムの機能構成例を示すブロック図である。
【図4】一実施形態に係るサーバの機能を実現するコンピュータのハードウェア(HW)構成例を示すブロック図である。
【図5】データ提供側における匿名性評価の一例を示す図である。
【図6】提供評価部による提供評価処理の一例を説明する図である。
【図7】データ利用側における匿名性と価値評価との一例を説明するための図である。
【図8】利用評価部による利用評価処理の一例を説明する図である。
【図9】利用評価部による利用評価処理の一例を説明する図である。
【図10】一実施形態に係るサーバによる提供評価処理の動作例を説明するフローチャートである。
【図11】一実施形態に係るサーバによる利用評価処理の動作例を説明するフローチャートである。
【発明を実施するための形態】
【0014】
以下、図面を参照して本発明の実施の形態を説明する。ただし、以下に説明する実施形態は、あくまでも例示であり、以下に明示しない種々の変形又は技術の適用を排除する意図はない。例えば、本実施形態を、その趣旨を逸脱しない範囲で種々変形して実施することができる。なお、以下の説明で用いる図面において、同一符号を付した部分は、特に断らない限り、同一若しくは同様の部分を表す。
【0015】
〔A〕比較例
図1は、一実施形態の比較例に係るデータ管理システム100の構成例を示すブロック図である。図1に示すように、比較例に係るデータ管理システム100は、データ提供者1Aの端末110、データ管理者1Bのサーバ120、及び、データ利用者1Cの端末130を備えてよい。
図1は、一実施形態の比較例に係るデータ管理システム100の構成例を示すブロック図である。図1に示すように、比較例に係るデータ管理システム100は、データ提供者1Aの端末110、データ管理者1Bのサーバ120、及び、データ利用者1Cの端末130を備えてよい。
【0016】
データ提供者1Aは、個人情報をデータ管理者1Bに提供する者であり、例えば個人であってもよい。データ利用者1Cは、データ管理者1Bが提供する個人情報(提供データ)を利用する者であり、例えば企業であってもよい。
【0017】
データ管理者1Bは、データ提供者1Aから個人情報を収集し、データ利用者1Cに提供することで、データ流通を実現する者であり、例えば、データ処理技術によるサービスを提供する団体、組織、企業等であってよい。
【0018】
図1に示すように、データ管理者1Bは、データ提供側の処理として、サーバ120から所定のデータ提供条件121をデータ提供者1Aに提示する(符号A1参照)。
【0019】
データ提供者1Aは、データ提供条件121に同意する場合に、端末110の提供者DB(Database)111から個人情報である提供データ112を読み出して、サーバ120に送信する(符号A2参照)。
【0020】
サーバ120は、提供データ受信部122で提供データ112を受信すると、データ統合部123により提供データ112をデータ管理DB124に統合(格納)する(符号A3参照)。
【0021】
また、データ管理者1Bは、データ利用側の処理として、サーバ120から所定のデータ利用条件125をデータ利用者1Cに提示する(符号B1参照)。
【0022】
データ利用者1Cがデータ利用条件125に同意すると、サーバ120は、データ管理DB124から提供データを読み出す。そして、サーバ120は、プライバシー保護処理部126により、提供データに対して、データ提供条件121及びデータ利用条件125に合致するプライバシー保護処理を実行する(符号B2参照)。
【0023】
端末130は、プライバシー保護処理が施された提供データを受信して利用者DB131に格納し、データ132を利用する(符号B3参照)。
【0024】
図2は、プライバシー保護処理の一例であるk-匿名化処理を説明する図である。k-匿名化処理は、例えば、図1のプライバシー保護処理部126により実行されてよいが、データ統合部123により、データ管理DB124に格納される提供データに対して実行されてもよい。
【0025】
図2に示すように、プライバシー保護処理部126は、k-匿名化処理において、k-匿名性が実現するまで、収集したデータの値を書き換える。
【0026】
以下の説明において、「k-匿名性」とは、或るデータセット、例えばデータ管理DB124内の全データについて、どの属性値の組も、同一の属性値の組がk-1件以上存在することを示す。「k-匿名化」とは、異なる属性値の組を持つデータを、抑制又は一般化等によって、k-匿名性を持つように変換することを意味する。
【0027】
図2では、元データとなるデータ管理DB124内のデータの属性値の組(郵便番号,年齢,性別)について、k=2とした2-匿名化を行ない、データ132を生成する例を示す。
【0028】
なお、プライバシー保護処理部126は、元データの各属性を、識別子、準識別子、及び、機密情報に分類し、機密情報(図2の例では病状)を匿名性評価に含めない(k-匿名化の対象外とする)ことも許容される。病状を含める場合、匿名性がなくなる可能性があるためである。以下の説明では、簡単のために、図2に例示するように、全ての属性情報を含めて匿名性を評価する場合を説明する。
【0029】
k-匿名化において、kの値を大きくするほど、データの識別性及び多様性が減少し、データの価値が失われることになる。一方で、kの値が小さいほど、データの個人識別性が低下する、換言すれば、個人情報が復元されるリスクが高くなる。
【0030】
サーバ120(プライバシー保護処理部126)は、どの程度の匿名性レベルとするか、換言すれば、kの値を決定する。図2の例では、匿名性レベルがk=2である。この場合、郵便番号又は年齢が第三者(例えば攻撃者)に知られた場合、k-匿名化されたデータ132は、1/2の個人識別性があるといえる。
【0031】
図1に例示するTrusted Webの一態様では、個人及び企業間での1対1での取引交渉が可能になるが、個人及び企業のそれぞれにおいて、以下のような個人情報活用に関する不都合が生じる場合がある。
【0032】
一例として、データ提供側の処理に関し、データ提供者1Aは、データ提供条件121に同意し、提供データ112の提供後に、プライバシーリスクの評価が可能となる。例えば、データ提供者1Aは、提供前に、提供データ112に含まれる属性から各属性の値の個人識別性を判断及び制御できない。このように、データ提供者1Aは、提供データ112単独では統計的に計算されるプライバシーリスクを事前評価できないため、個人識別性の高いデータが利活用されることを望まない場合であっても、当該データが利活用される可能性を排除できない。
【0033】
また、データ提供者1Aは、自身が提供するデータ(或いはデータセット)の希少性、換言すれば価値を事前に評価できないため、適切な対価を得られない場合がある。
【0034】
さらに、データ利用側の処理に関し、データ利用者1Cは、データ利用条件125の同意後にデータ132を取得するため、データ132の取得後に、属性値の個人識別性が高いことが判明する可能性がある。この場合、個人識別性の高さに応じた適切なデータ132の管理が求められるため、想定以上のリスク及び管理コストが発生する可能性がある。
【0035】
また、データ利用者1Cは、例えば、個々のデータ提供者1Aからデータ132を収集する場合、データ利用者1Cが望む属性の値を持つデータ提供者1Aが一定数以上存在するか否かを事前に制御できない。データ利用者1C、例えば企業は、費用等の観点から、できるだけ最小のデータ132を受け取ることを望む。しかし、受け取るデータ132に、必要な情報(例えば属性値タプル)が含まれていないと利用価値がないため、データ利用者1Cは、できるだけ多くのデータ132を集めることになる。従って、データ利用者1Cにとって、コストが増加する可能性がある。
【0036】
このように、図1に例示するTrusted Webの一態様では、データ提供側及びデータ利用側の一方又は双方において、個人情報の匿名性の保証と、個人情報の価値の保証との両立が困難になる場合がある。
【0037】
そこで、一実施形態では、1つの側面において、データ提供者が望まない条件で個人データが利用されることを抑制するための手法を説明する。
【0038】
〔B〕構成例
以下、上述した手法を実現するための構成として、一実施形態に係るデータ管理システム1(図3参照)を例に挙げて説明する。
以下、上述した手法を実現するための構成として、一実施形態に係るデータ管理システム1(図3参照)を例に挙げて説明する。
【0039】
図3は、一実施形態に係るデータ管理システム1の機能構成例を示すブロック図である。図3に示すように、データ管理システム1は、例示的に、データ提供者1Aが利用する端末10、データ管理者1Bが利用するサーバ20、及び、データ利用者1Cが利用する端末30を備えてよい。端末10及びサーバ20は、図示しないネットワークを介して相互に通信可能に接続されてよい。サーバ20及び端末30は、図示しないネットワークを介して相互に通信可能に接続されてよい。
【0040】
〔B-1〕ハードウェア構成例
一実施形態に係るサーバ20は、仮想サーバ(VM;Virtual Machine)であってもよいし、物理サーバであってもよい。また、サーバ20の機能は、1台のコンピュータにより実現されてもよいし、2台以上のコンピュータにより実現されてもよい。さらに、サーバ20の機能のうちの少なくとも一部は、クラウド環境により提供されるHW(Hardware)リソース及びNW(Network)リソースを用いて実現されてもよい。
一実施形態に係るサーバ20は、仮想サーバ(VM;Virtual Machine)であってもよいし、物理サーバであってもよい。また、サーバ20の機能は、1台のコンピュータにより実現されてもよいし、2台以上のコンピュータにより実現されてもよい。さらに、サーバ20の機能のうちの少なくとも一部は、クラウド環境により提供されるHW(Hardware)リソース及びNW(Network)リソースを用いて実現されてもよい。
【0041】
図4は、一実施形態に係るサーバ20の機能を実現するコンピュータ2のハードウェア(HW)構成例を示すブロック図である。サーバ20の機能を実現するHWリソースとして、複数のコンピュータが用いられる場合は、各コンピュータが図4に例示するHW構成を備えてよい。
【0042】
図4に示すように、コンピュータ2は、HW構成として、例示的に、プロセッサ2a、メモリ2b、記憶部2c、IF(Interface)部2d、I/O(Input / Output)部2e、及び読取部2fを備えてよい。
【0043】
プロセッサ2aは、種々の制御や演算を行なう演算処理装置の一例である。プロセッサ2aは、コンピュータ2内の各ブロックとバス2iで相互に通信可能に接続されてよい。なお、プロセッサ2aは、複数のプロセッサを含むマルチプロセッサであってもよいし、複数のプロセッサコアを有するマルチコアプロセッサであってもよく、或いは、マルチコアプロセッサを複数有する構成であってもよい。
【0044】
プロセッサ2aとしては、例えば、CPU、MPU、GPU、APU、DSP、ASIC、FPGA等の集積回路(IC;Integrated Circuit)が挙げられる。なお、プロセッサ2aとして、これらの集積回路の2以上の組み合わせが用いられてもよい。CPUはCentral Processing Unitの略称であり、MPUはMicro Processing Unitの略称である。GPUはGraphics Processing Unitの略称であり、APUはAccelerated Processing Unitの略称である。DSPはDigital Signal Processorの略称であり、ASICはApplication Specific ICの略称であり、FPGAはField-Programmable Gate Arrayの略称である。
【0045】
例えば、一実施形態に係るサーバ20が機械学習処理を実行する場合、プロセッサ2aは、データ管理処理を実行するCPU等の処理装置と、機械学習処理を実行するアクセラレータとの組み合わせであってよい。アクセラレータとしては、例えば、上述したGPU、APU、DSP、ASIC又はFPGA等が挙げられる。
【0046】
メモリ2bは、種々のデータやプログラム等の情報を格納するHWの一例である。メモリ2bとしては、例えばDRAM(Dynamic Random Access Memory)等の揮発性メモリ、及び、PM(Persistent Memory)等の不揮発性メモリ、の一方又は双方が挙げられる。
【0047】
記憶部2cは、種々のデータやプログラム等の情報を格納するHWの一例である。記憶部2cとしては、HDD(Hard Disk Drive)等の磁気ディスク装置、SSD(Solid State Drive)等の半導体ドライブ装置、不揮発性メモリ等の各種記憶装置が挙げられる。不揮発性メモリとしては、例えば、フラッシュメモリ、SCM(Storage Class Memory)、ROM(Read Only Memory)等が挙げられる。
【0048】
記憶部2cは、コンピュータ2の各種機能の全部若しくは一部を実現するプログラム2g(制御プログラム)を格納してよい。
【0049】
例えば、サーバ20のプロセッサ2aは、記憶部2cに格納されたプログラム2gをメモリ2bに展開して実行することにより、後述するサーバ20(図3に例示する制御部29)としての機能を実現できる。
【0050】
IF部2dは、サーバ20と他の装置との間のネットワークを含む種々のネットワークとの間の接続及び通信の制御等を行なう通信IFの一例である。他の装置としては、例えば、端末10又は端末30等のコンピュータが挙げられる。
【0051】
例えば、IF部2dは、イーサネット(登録商標)等のLAN(Local Area Network)、或いは、FC(Fibre Channel)等の光通信等に準拠したアダプタを含んでよい。当該アダプタは、無線及び有線の一方又は双方の通信方式に対応してよい。
【0052】
なお、プログラム2gは、当該通信IFを介して、ネットワークからコンピュータ2にダウンロードされ、記憶部2cに格納されてもよい。
【0053】
I/O部2eは、入力装置、及び、出力装置、の一方又は双方を含んでよい。入力装置としては、例えば、キーボード、マウス、タッチパネル等が挙げられる。出力装置としては、例えば、モニタ、プロジェクタ、プリンタ等が挙げられる。また、I/O部2eは、入力装置及び表示装置が一体となったタッチパネル等を含んでもよい。
【0054】
読取部2fは、記録媒体2hに記録されたデータやプログラムの情報を読み出すリーダの一例である。読取部2fは、記録媒体2hを接続可能又は挿入可能な接続端子又は装置を含んでよい。読取部2fとしては、例えば、USB(Universal Serial Bus)等に準拠したアダプタ、記録ディスクへのアクセスを行なうドライブ装置、SDカード等のフラッシュメモリへのアクセスを行なうカードリーダ等が挙げられる。なお、記録媒体2hにはプログラム2gが格納されてもよく、読取部2fが記録媒体2hからプログラム2gを読み出して記憶部2cに格納してもよい。
【0055】
記録媒体2hとしては、例示的に、磁気/光ディスクやフラッシュメモリ等の非一時的なコンピュータ読取可能な記録媒体が挙げられる。磁気/光ディスクとしては、例示的に、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disc)、ブルーレイディスク、HVD(Holographic Versatile Disc)等が挙げられる。フラッシュメモリとしては、例示的に、USBメモリやSDカード等の半導体メモリが挙げられる。
【0056】
上述したコンピュータ2のHW構成は例示である。従って、コンピュータ2内でのHWの増減(例えば任意のブロックの追加や削除)、分割、任意の組み合わせでの統合、又は、バスの追加若しくは削除等は適宜行なわれてもよい。
【0057】
また、図3に示す端末10及び端末30の一方又は双方を実現するHWとして、図4に示すコンピュータ2が用いられてもよい。例えば、端末10のプロセッサ2aは、記憶部2cに格納されたプログラム2gをメモリ2bに展開して実行することにより、後述する端末10としての機能を実現できる。また、例えば、端末30のプロセッサ2aは、記憶部2cに格納されたプログラム2gをメモリ2bに展開して実行することにより、後述する端末30としての機能を実現できる。
【0058】
〔B-2〕機能構成例
次に、図3を参照して、データ管理システム1の機能構成例(ソフトウェア構成例)を説明する。
次に、図3を参照して、データ管理システム1の機能構成例(ソフトウェア構成例)を説明する。
【0059】
データ管理システム1は、個人情報を、データ提供者1A(例えば個人)、データ利用者1C(例えば企業)、並びに、データ管理者1B(例えば情報銀行、プラットフォーマ、スマートコントラクト等の仲介者)の間で流通させるためのシステムである。例えば、データ管理システム1は、データ提供者1Aから取得した個人情報からデータベースを生成し、データ利用者1Cに提供するデータ処理技術により実現される。
【0060】
データ管理システム1では、「データ」は、データ提供者1A、データ管理者1B及びデータ利用者1C間で共通のデータ構造及び語彙で表現されてよい。データ提供者1Aは、所定の条件が満たされる場合、データ管理者1Bを介して、個人情報の生データ、或いは、仮名化、匿名化又は統計化された状態のデータ、をデータ利用者1Cに提供することに同意しているものとする。
【0061】
図3に示すように、端末10は、データ提供者1Aの個人情報に関するデータを格納する提供者DB11を備える。端末10は、提供者DB11から抽出した提供データ12と、データ提供条件13とをサーバ20に送信する。
【0062】
提供データ12は、第1の個人データの一例であり、個人情報の生データ又は仮名化データ等の属性値タプルデータであってよい。
【0063】
データ提供条件13は、個人識別性に関する第1条件の一例であり、例えば、k-匿名性の指標となるk値(kP)であってよい。kPは、同一の個人データの数に関する条件の一例である。例えば、kP=1である場合、匿名性無し(生データ又は仮名化データである提供データ12そのもの)を意味し、kP>2である場合、k-匿名性有り(確率的な個人識別可能性有り)を意味してよい。
【0064】
これにより、端末10は、データ提供条件13が満たされる場合に提供データ12を提供する、という提供ポリシーに合意するものとして、提供依頼を行なう。なお、端末10は、例えば、サーバ20による評価結果を評価値14として受信することで、データ提供条件13が満たされるか否かを検知できる。
【0065】
図5は、データ提供側における匿名性評価の一例を示す図である。一実施形態において、データ提供側では、データ提供者1Aが提供する提供データ12に関する属性値タプルが、匿名性の観点でサーバ20側でどのように見えるかについて着目する。
【0066】
例えば、図5に示すように、提供データ12が(郵便番号、性別、糖尿病分類、身長、体重、体脂肪率)の属性値タプルである場合を想定する。
【0067】
サーバ20側のデータの第1の例では、符号C1に示すように、仮名化データである提供データ12をサーバ20に提供すると、当該提供データ12が、サーバ20においてk=3の匿名性を有する場合を示す。
【0068】
サーバ20側のデータの第2の例では、符号C2に示すように、匿名加工した提供データ12をサーバ20に提供すると、当該提供データ12が、サーバ20においてk=5の匿名性を有する場合を示す。
【0069】
図5に示すように、サーバ20において、提供データ12と同じ属性値の組、換言すれば、提供データ12と区別できないタプルが存在する場合に、提供データ12を含めた当該組の数kに応じた匿名性があることを意味する。
【0070】
データ提供者1Aは、どの程度の匿名性を求めるかに応じて、kPの値、換言すれば、データ提供条件13を指定することができる。
【0071】
図3に示すように、サーバ20は、例示的に、提供評価部20A、利用評価部20B、提供データ受信部21、データ統合部25、及び、データ管理DB26を備えてよい。提供評価部20A、利用評価部20B、提供データ受信部21、及び、データ統合部25は、制御部29の一例である。
【0072】
提供評価部20Aは、データ提供者1Aが提供に合意する前のデータに対して、当該データの匿名性、換言すれば、データ集合における希少価値に関する評価を行ない、評価結果を評価値14として端末10に通知する。
【0073】
このために、提供評価部20Aは、重複評価データDB22、匿名性評価部23及び匿名性条件統合部24を備えてよい。
【0074】
提供データ受信部21は、端末10から提供データ12及びデータ提供条件13を受信し、提供評価部20Aに出力する。例えば、提供データ受信部21は、提供データ12を仮名化して(提供データ12が仮名化データである場合はそのまま)抽出し、重複評価データDB22に格納する。また、提供データ受信部21は、データ提供条件13を匿名性評価部23に出力する。
【0075】
匿名性評価部23は、重複評価データDB22に対して、データ提供条件13に応じて段階的にデータ集合を作成して、提供データ12の匿名性を評価し、評価値14を出力する。
【0076】
図6は、提供評価部20Aによる提供評価処理の一例を説明する図である。図6に示すように、提供データ12が(年齢、性別、BMI、BP、GLU)の属性値(タプルT)であり、データ提供条件13が、提供条件#0(kP=2)、提供条件#1(kP=3)、又は、提供条件#2(kP=1)である場合を例に挙げる。なお、重複評価データDB22の4番目のエントリには、提供データ受信部21により提供データ12のタプルTが登録されているものとする。
【0077】
匿名性評価部23は、提供データ12の組(タプルT)とデータ提供条件13とを紐付けたタプル23aと、重複評価データDB22に含まれる複数の属性値の組(タプル)とを比較する。例えば、匿名性評価部23は、重複評価データDB22に含まれる複数のデータのうちの、提供データ12と同一であるデータ(タプル)の数が、kP-1個である場合に、データ提供条件13が満たされると判定してよい。
【0078】
図6において提供条件#0の場合、kP=2は、提供データ12のタプルTと同一のタプルが1つでも重複評価データDB22に存在すれば、提供データ12が提供可能であることを意味する。重複評価データDB22には、3番目のエントリに提供データ12のタプルTと同一のタプルが1つ存在する。
【0079】
この場合、匿名性評価部23は、提供データ12が提供可能であると判定し、重複評価データDB22の4番目のエントリの提供可否に「OK」を登録する。また、タプルTの登録により、重複評価データDB22の3番目のエントリ(kP=2)が提供可能となる。そこで、匿名性評価部23は、3番目のエントリの提供可否を「NG」から「OK」に更新する。
【0080】
図6において提供条件#1の場合、kP=3は、提供データ12のタプルTと同一のタプルが2つ重複評価データDB22に存在すれば、提供データ12が提供可能であることを意味する。重複評価データDB22には、3番目のエントリに提供データ12のタプルTと同一のタプルが1つ存在するだけである。
【0081】
この場合、匿名性評価部23は、提供データ12が提供不可能であると判定し、重複評価データDB22の4番目のエントリの提供可否に「NG」を仮登録する。「仮登録」されたエントリは、仮登録されてから一定期間(一例として、1時間等)が経過するまでの間に、提供可否「OK」に更新される余地があるエントリである。例えば、匿名性評価部23は、他のデータ提供者1A等から、タプルTと同一のタプルを提供データ12として受信すると、提供条件#0の場合の3番目のエントリと同様に、仮登録したエントリの提供可否を「OK」に更新してよい。仮登録してから一定期間経過後に提供可否「NG」であるエントリは、削除されてよい。
【0082】
図6において提供条件#2の場合、kP=1は、提供データ12のタプルTと同一のタプルが重複評価データDB22に存在しなくても、提供データ12が提供可能であることを意味する。重複評価データDB22には、3番目のエントリに提供データ12のタプルTと同一のタプルが1つ存在する。
【0083】
この場合、匿名性評価部23は、提供データ12が提供可能であると判定し、重複評価データDB22の4番目のエントリの提供可否に「OK」を登録する。また、タプル23aの登録により、重複評価データDB22の3番目のエントリ(kP=2)が提供可能となる。そこで、匿名性評価部23は、3番目のエントリの提供可否を「NG」から「OK」に更新する。
【0084】
匿名性評価部23は、重複評価データDB22への提供可否の登録又は更新が発生した場合に、端末10に評価値14を通知してよい。
【0085】
例えば、匿名性評価部23は、タプルTの提供可否が「OK」である場合、又は、「NG」から「OK」に更新された場合に、評価値14として、提供データ12の提供を行なうことを端末10に通知してよい。また、例えば、匿名性評価部23は、タプルTの提供可否が「NG」である場合に、評価値14として、データ提供条件13が満たされないため、一定期間に亘って登録を保留することを端末10に通知してよい。さらに、例えば、匿名性評価部23は、タプルTの提供可否が「NG」のまま一定時間経過した場合に、評価値14として、提供データ12の提供を行なわない(提供に失敗した)ことを、端末10に通知してよい。
【0086】
匿名性条件統合部24は、重複評価データDB22から、提供可否が「OK」であるエントリ、換言すれば、匿名性評価部23による匿名性評価の条件をクリアしたエントリを抽出する。
【0087】
データ統合部25は、匿名性条件統合部24が抽出したエントリをデータ管理DB26に登録する。
【0088】
このように、匿名性条件統合部24及びデータ統合部25は、提供データ12のデータ管理DB26への登録の制御を行なうといえる。
【0089】
データ管理DB26は、データ提供者1Aから提供される個人情報(データ)を格納する。データ管理DB26は、重複評価データDB22と同様のデータ構造を有してよい。例えば、データ管理DB26は、重複評価データDB22のうちの、提供可否が「NG」のエントリを除外したDBであると捉えられてもよい。
【0090】
なお、一実施形態では、サーバ20が、重複評価データDB22及びデータ管理DB26の双方を備えるものとしたが、これに限定されるものではなく、サーバ20は、重複評価データDB22及びデータ管理DB26のいずれか一方を備えてもよい。例えば、重複評価データDB22が省略される場合、提供評価部20Aは、データ管理DB26にタプル23aを登録又は仮登録してよい。この場合、データ管理DB26におけるエントリの有効性は、提供可否が「OK」か「NG」かに応じて管理されてもよい。
【0091】
このように、重複評価データDB22及びデータ管理DB26の一方又は双方は、1以上の個人データが登録されるデータベースの一例である。
【0092】
なお、重複評価データDB22及びデータ管理DB26の一方又は双方は、図4に示すメモリ2b及び記憶部2cの一方又は双方が有する記憶領域により実現されてよい。
【0093】
以上のように、提供評価部20Aは、データ提供者1Aから要求されるデータ提供条件13(匿名性)が保証される場合に、データ管理DB26に提供データ12を登録する。これにより、取引されるデータの匿名性に関する信頼性を高めることができる。
【0094】
図3に示すように、端末30は、データ利用者1Cが利用する個人情報に関するデータを格納する利用者DB33を備える。端末30は、データ利用条件31をサーバ20に送信する。
【0095】
データ利用条件31は、一例として、要求価値と要求匿名性とを含んでよい。
【0096】
要求価値は、属性及び属性値を示す属性情報の一例であり、例えば、データ利用者1Cが利用を希望する(要求する)属性値タプルであってよい。
【0097】
要求匿名性は、匿名性に関する第2条件の一例であり、例えば、データ利用者1Cが要求する最小のk値(kR)であってよい。要求匿名性は、要求プライバシー条件又は許容リスク値と称されてもよい。kRは、k-匿名性の指標となる値であり、例えば、kR=1である場合、匿名性無し(仮名化データそのもの)を意味し、kR>2である場合、k-匿名性有り(確率的な個人識別可能性有り)を意味してよい。
【0098】
これにより、端末30は、データ利用条件31が満たされる場合にデータ34の提供を受ける、という利用ポリシーに合意するものとして、利用依頼を行なう。なお、端末30は、例えば、サーバ20による判定結果32を受信することで、データ利用条件31が満たされるか否かを検知できる。
【0099】
図7は、データ利用側における匿名性と価値評価との一例を説明するための図である。一実施形態において、データ利用側では、サーバ20の有するデータ管理DB26全体が、匿名性の観点でどのように見えるか、並びに、データ利用者1Cが要求する属性及び属性値が含まれているかについて着目する。
【0100】
例えば、図7に示すように、データ管理DB26が(郵便番号、性別、糖尿病分類、身長、体重、体脂肪率)の属性値タプルを有する場合を想定する。
【0101】
第1の例では、符号D1に示すように、データ管理DB26のタプルがk=2の匿名性を有する場合を示す。
【0102】
第2の例では、符号D2に示すように、データ管理DB26のタプルがk=4の匿名性を有する場合を示す。
【0103】
データ利用者1Cは、データ管理DB26がどのレベルの匿名性を有するか、及び、データ利用者1Cが利用したいデータ34の属性値タプルが含まれるか否かに応じて、kRの値、換言すれば、データ利用条件31を指定することができる。
【0104】
図3の説明に戻り、利用評価部20Bは、利用価値判定部27及び許容リスク別データ抽出部28を備えてよい。
【0105】
利用価値判定部27は、端末30からデータ利用条件31を受信すると、データ利用条件31を許容リスク別データ抽出部28に通知する。また、利用価値判定部27は、許容リスク別データ抽出部28により抽出及び集約された評価用データに基づき、利用価値の判定処理を行ない、判定結果32及びデータ34の一方又は双方を端末30に通知する。
【0106】
許容リスク別データ抽出部28は、データ管理DB26から、データ利用条件31に応じたデータの抽出及び集約を行ない、評価用データを作成する。例えば、許容リスク別データ抽出部28は、データ管理DB26から、データ利用条件31の要求価値の属性値に一致するデータ集合を抽出してよい。
【0107】
【0108】
また、図8では、第1の例(符号E1参照)として、データ利用条件31の要求価値が(T1、T2、T3)であり、要求匿名性がkR=2である場合を例に挙げる。
【0109】
さらに、図9では、第2の例(符号E2参照)として、データ利用条件31の要求価値が(T1、T2、T3、T4)であり、要求匿名性がkR=3である場合を例に挙げる。また、図9では、第3の例(符号E3参照)として、データ利用条件31の要求価値が(T1、T2、T3、T4)であり、要求匿名性がkR=4である場合を例に挙げる。
【0110】
T1~T4のそれぞれは、データ管理DB26の属性値の組み合わせを示す。一例として、T1は、図8に示すデータ管理DB26の1番目のエントリに記載された属性値の組み合わせである。
【0111】
許容リスク別データ抽出部28は、データ管理DB26からデータ集合を抽出し、データ集合における、データ提供条件13(kP)ごとの統計値28aを算出する。統計値28aは、kPごとに、データ管理DB26のタプルを集計及び統計化した情報である。
【0112】
符号E1の例では、統計値28aは、データ管理DB26において、kP=1の場合、T1を満たすタプルが1個、T2を満たすタプルが1個、T3を満たすタプルが0個存在し、T1~T3の匿名性はk=1であることを示す。
【0113】
なお、k(kP)は、値が小さいほど匿名性が低い。換言すれば、kPの小さいデータは、利用の自由度が高いといえる。このため、統計値28aには、kP=2の場合、kP=2に該当する統計値に加えて、下位のkP=1に該当する統計値が加算されてよい。同様に、kP=3の場合、統計値28aには、kP=1、kP=2及びkP=3の統計値が加算されてよい。
【0114】
利用価値判定部27は、許容リスク別データ抽出部28がデータ管理DB26から抽出したデータ集合が、データ利用条件31の要求匿名性kR及び要求価値を満たすか否かを、統計値28aに基づき評価し、データ利用者1Cへの提供可否を判定する。
【0115】
判定により、複数のデータ集合がデータ利用者1Cに提供可能になった場合、利用価値判定部27は、例えば、提供可能なデータ集合のうちの最小のデータセットを提供してよい。換言すれば、利用価値判定部27は、統計値28aから得られるデータ提供条件13ごとのデータ(タプル)の匿名性が要求匿名性kRを満たすときのデータ(タプル)のうちのデータ提供条件13が最小であるデータを出力する。
【0116】
要求価値を満たすデータ集合が存在しない場合、利用価値判定部27は、提供不可能と判定し処理を終了してもよいし、データ提供者1Aによりデータがデータ管理DB26に蓄積されるまで所定期間待ち合わせ、蓄積後に再評価を行なってもよい。
【0117】
図8の符号E1の例では、利用価値判定部27は、要求匿名性kR=2に対して、統計値28aでは、kP=1,k=1であるため、要求匿名性kRが満たされないと判定する。kP=2、kP=3の場合も同様に、それぞれk=1であるため、利用価値判定部27は、要求匿名性kRが満たされない(NGである)と判定する。図8に例示するように、統計値28aに基づく評価により、全てNGであると判定された場合、利用価値判定部27は、提供不可能と判定する、或いは、所定期間待ち合わせ後の再評価を行なってよい。
【0118】
図9の符号E2の例では、利用価値判定部27は、要求匿名性kR=3に対して、統計値28aでは、kP=1,k=1であるため、要求匿名性kRが満たされないと判定する。kP=2,k=1の場合も同様に、利用価値判定部27は、要求匿名性kRが満たされない(NGである)と判定する。kP=3の場合、k=3であり、要求匿名性kRが満たされるが、要求価値のT4=0であるため、利用価値判定部27は、要求価値が満たされない(NGである)と判定する。kP=4の場合、k=4であり、且つ、T1~T4の全ての属性がデータ管理DB26に含まれるため、利用価値判定部27は、要求価値及び要求匿名性kRが満たされる(OKである)と判定する。
【0119】
図9の符号E3の例では、利用価値判定部27は、要求匿名性kR=4に対して、統計値28aでは、kP=1,k=1であるため、要求匿名性kRが満たされないと判定する。kP=2の場合、k=4であり、要求匿名性kRが満たされるが、要求価値のT4=0であるため、利用価値判定部27は、要求価値が満たされない(NGである)と判定する。kP=3の場合、k=3であるため、要求匿名性kRが満たされないと判定する。kP=4の場合、k=4であり、且つ、T1~T4の全ての属性がデータ管理DB26に含まれるため、利用価値判定部27は、要求価値及び要求匿名性kRが満たされる(OKである)と判定する。
【0120】
このように、利用価値判定部27は、要求匿名性kR以上の匿名性kP(k)であり、要求価値を満たす属性値を有するデータ集合を、データ利用者1Cに出力するデータ34に決定する。
【0121】
なお、利用価値判定部27は、データ管理DB26から抽出したデータの全数をNmaxとし、要求価値に含まれる属性値タプルの種類数をmとして、下記式(1)のようにデータ数が不足する場合、利用評価処理をスキップしてもよい。
データ数Nmax < kR * m (1)
データ数Nmax < kR * m (1)
【0122】
利用価値判定部27は、利用評価処理において、データ管理DB26(統計値28a)がデータ利用条件31を満たす場合、判定結果32として、データ利用条件31が満たされていることの通知、及び、データ34を端末30に送信してよい。
【0123】
〔C〕動作例
次に、一実施形態に係るデータ管理システム1の動作例を説明する。図10は、一実施形態に係るサーバ20による提供評価処理の動作例を説明するフローチャートであり、図11は、一実施形態に係るサーバ20による利用評価処理の動作例を説明するフローチャートである。
次に、一実施形態に係るデータ管理システム1の動作例を説明する。図10は、一実施形態に係るサーバ20による提供評価処理の動作例を説明するフローチャートであり、図11は、一実施形態に係るサーバ20による利用評価処理の動作例を説明するフローチャートである。
【0124】
〔C-1〕提供評価処理
図10に例示するように、データ管理システム1において、サーバ20の提供データ受信部21は、端末10から提供データ12及びデータ提供条件13を受信する(ステップS1)。
図10に例示するように、データ管理システム1において、サーバ20の提供データ受信部21は、端末10から提供データ12及びデータ提供条件13を受信する(ステップS1)。
【0125】
提供データ受信部21は、提供データ12を仮名化し、重複評価データDB22に登録する(ステップS2)。
【0126】
提供評価部20Aの匿名性評価部23は、重複評価データDB22中の、提供データ12と同一のタプル数をカウントする(ステップS3)。
【0127】
匿名性評価部23は、同一のタプルの集合のデータ提供条件13を評価する(ステップS4)。
【0128】
匿名性評価部23は、同一のタプル数により、データ提供条件13、例えばkPが満たされるか否かを判定する(ステップS5)。データ提供条件13が満たされない場合(ステップS5でNO)、匿名性評価部23は、重複評価データDB22の提供データ12のエントリの提供可否に「NG」を設定し(ステップS6)、一定時間が経過したか否かを判定する(ステップS7)。
【0129】
一定時間が経過していない場合(ステップS7でNO)、処理がステップS5に移行する。一定時間が経過した場合(ステップS7でYES)、匿名性評価部23は、重複評価データDB22から提供データ12のエントリを削除し(ステップS8)、処理がステップS10に移行する。
【0130】
ステップS5において、データ提供条件13が満たされる場合(ステップS5でYES)、匿名性評価部23は、重複評価データDB22内の同一のタプルでデータ提供条件13を満たすエントリの提供可否を「OK」に更新し(ステップS9)、処理がステップS10に移行する。
【0131】
ステップS10では、匿名性評価部23は、提供可否に応じた評価値14を端末10に出力する。
【0132】
匿名性条件統合部24及びデータ統合部25は、提供可否が「OK」である提供データ12をデータ管理DB26に登録し(ステップS11)、提供評価処理が終了する。
【0133】
〔C-2〕利用評価処理
図11に例示するように、データ管理システム1において、サーバ20の利用評価部20Bの利用価値判定部27は、端末30からデータ利用条件31を受信する(ステップS21)。
図11に例示するように、データ管理システム1において、サーバ20の利用評価部20Bの利用価値判定部27は、端末30からデータ利用条件31を受信する(ステップS21)。
【0134】
許容リスク別データ抽出部28は、データ利用条件31に合わせて、データ管理DB26からデータ提供条件13(kP)ごとにデータを抽出する(ステップS22)。
【0135】
許容リスク別データ抽出部28は、Nmax<kR*mが満たされるか否かを判定する(ステップS23)。Nmax<kR*mが満たされる場合(ステップS23でYES)、抽出したデータ数が、利用評価を行なうのに不十分である(足りない)ことを意味する。この場合、利用価値判定部27は、データの提供が不可能であることの通知を含む判定結果32を端末30に送信し(ステップS29)、利用評価処理が終了する。
【0136】
Nmax<kR*mが満たされない場合(ステップS23でNO)、抽出したデータ数が利用評価を行なうのに十分であることを意味する。許容リスク別データ抽出部28は、抽出したデータを、データ提供条件13ごとに統計化し、評価用テーブルとして統計値28aを生成する(ステップS24)。
【0137】
利用価値判定部27は、統計値28aにおいて、kPが最小の統計値の組がデータ利用条件31(kR,要求価値)を満たすか否かを判定する(ステップS25)。
【0138】
kPが最小の統計値の組がデータ利用条件31を満たす場合(ステップS25でYES)、利用価値判定部27は、提供することの通知とデータ34とを含む判定結果32を端末30に提供(送信)し(ステップS26)、利用評価処理が終了する。
【0139】
kPが最小の統計値の組がデータ利用条件31を満たさない場合(ステップS25でNO)、利用価値判定部27は、データ利用条件31を満たさない統計値の組を評価用テーブルから削除し(ステップS27)、未評価のkPの統計値の組があるか否かを判定する(ステップS28)。未評価のkPの統計値の組がある場合(ステップS28でYES)、処理がステップS25に移行する。
【0140】
未評価のkPの統計値の組がない場合(ステップS28でNO)、利用価値判定部27は、データの提供が不可能であることの通知を含む判定結果32を端末30に送信し(ステップS29)、利用評価処理が終了する。
【0141】
〔D〕一実施形態の効果
一実施形態に係るデータ管理システム1では、サーバ20は、提供データ12とデータ提供条件13とを受け付けると、データ管理DB26に登録された個人データ(個人情報)と提供データ12とを含む複数の個人データにおける当該提供データ12の個人識別性がデータ提供条件13を満たすか否かを判定する。当該判定処理は、上述した提供評価部20Aにより実行される。そして、サーバ20は、当該判定の結果に基づき、提供データ12のデータ管理DB26への登録の制御、及び、当該判定の結果に応じた評価値14の通知、の少なくとも一方を行なう。
一実施形態に係るデータ管理システム1では、サーバ20は、提供データ12とデータ提供条件13とを受け付けると、データ管理DB26に登録された個人データ(個人情報)と提供データ12とを含む複数の個人データにおける当該提供データ12の個人識別性がデータ提供条件13を満たすか否かを判定する。当該判定処理は、上述した提供評価部20Aにより実行される。そして、サーバ20は、当該判定の結果に基づき、提供データ12のデータ管理DB26への登録の制御、及び、当該判定の結果に応じた評価値14の通知、の少なくとも一方を行なう。
【0142】
これにより、サーバ20は、データ提供者1Aが望まない条件で個人データが利用されることを抑制することができる。
【0143】
また、サーバ20は、端末10によるデータ提供に先立ち、提供評価前に属性情報や個人に関する情報の提供を完了させずに、提供する属性値からの個人識別リスクが一定以下である(換言すれば、匿名性がある)ことを保証できる。
【0144】
さらに、サーバ20は、端末30へのデータ提供に先立ち、利用評価前に属性情報や個人に関する情報の提供を完了させずに、端末30が要求する属性値を一定以上含む(換言すれば、価値がある)ことを保証できる。
【0145】
このように、サーバ20によれば、端末10及び端末30の間でのデータ交換においてやり取りされるデータが、取引主体の要求を満たすことを保証できる。
【0146】
また、サーバ20によれば、データの取引主体が希望する条件を満たしつつ、データの値を可能な限り書き換えずに、匿名性を実現することができる。
【0147】
ところで、上述したように、比較例に係るデータ管理システム100では、個々のデータ提供者1Aは、自身の属性データを提供する前に、自身の属性がどの程度の個人識別性を有する状態で利用されるかを制御できない。
【0148】
また、比較例に係るデータ管理システム100では、データ利用者1Cは、個々のデータ提供者1Aからデータを収集する場合、自身の望む属性が一定数以上データに存在するか否かを判定できない。このため、データ利用者1Cが収集した属性の偏りによっては、通常以上に機微なデータである場合がある。この場合、当該データを処理するためのコスト及びリスクが増加する。
【0149】
一実施形態に係るデータ管理システム1によれば、サーバ20は、個人情報をやり取りする前に、データ提供者1A及びデータ利用者1Cのそれぞれにデータの匿名性を評価するための条件を提示、指定又は選択させることができる。これにより、サーバ20は、取引対象のデータが、データ提供者1A及びデータ利用者1Cのそれぞれが望むデータであり、且つ、想定したリスクに収まっていることを事前に検証することができる。
【0150】
従って、データ提供者1Aが、自身の想定できないリスクのあるデータを提供することを抑制できる。また、データ利用者1Cが、想定外のデータを提供されるリスクを減少させることができ、また、データ利用者1Cが求めるデータの質を高めることができる。
【0151】
〔E〕その他
上述した一実施形態に係る技術は、以下のように変形、変更して実施することができる。
上述した一実施形態に係る技術は、以下のように変形、変更して実施することができる。
【0152】
例えば、図3に示すデータ管理システム1のサーバ20が備える提供評価部20A(匿名性評価部23及び匿名性条件統合部24)、利用評価部20B(利用価値判定部27及び許容リスク別データ抽出部28)、提供データ受信部21、並びに、データ統合部25は、任意の組み合わせで併合してもよく、それぞれ分割してもよい。
【0153】
また、図3に示すデータ管理システム1のサーバ20は、複数の装置がネットワークを介して互いに連携することにより、各処理機能を実現する構成(システム)であってもよい。一例として、重複評価データDB22及びデータ管理DB26はDBサーバ、提供データ受信部21、匿名性評価部23及び利用価値判定部27はWebサーバ又はアプリケーションサーバ、匿名性条件統合部24、データ統合部25及び許容リスク別データ抽出部28はアプリケーションサーバ等であってもよい。この場合、DBサーバ、アプリケーションサーバ及びwebサーバが、ネットワークを介して互いに連携することにより、データ管理システム1のサーバ20としての各処理機能を実現してもよい。
【0154】
〔F〕付記
以上の実施形態に関し、さらに以下の付記を開示する。
以上の実施形態に関し、さらに以下の付記を開示する。
【0155】
(付記1)
第1の個人データと個人識別性に関する第1条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記第1条件を満たすか否かを判定し、
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
処理をコンピュータが実行する、制御方法。
第1の個人データと個人識別性に関する第1条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記第1条件を満たすか否かを判定し、
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
処理をコンピュータが実行する、制御方法。
【0156】
(付記2)
前記第1条件は、同一の個人データの数に関する条件であり、
前記制御及び前記通知の少なくとも一方を行なう処理は、前記複数の個人データのうちの、前記第1の個人データと同一である個人データの数が、前記第1条件を満たす場合に、前記制御を行なう処理を含む、
付記1に記載の制御方法。
前記第1条件は、同一の個人データの数に関する条件であり、
前記制御及び前記通知の少なくとも一方を行なう処理は、前記複数の個人データのうちの、前記第1の個人データと同一である個人データの数が、前記第1条件を満たす場合に、前記制御を行なう処理を含む、
付記1に記載の制御方法。
【0157】
(付記3)
属性及び属性値を示す属性情報と匿名性に関する第2条件とを受け付けると、前記属性情報に応じた複数の個人データを前記データベースから抽出し、
抽出した前記複数の個人データのうちの前記第2条件を満たす個人データを出力する、
処理を前記コンピュータが実行する、付記1又は付記2に記載の制御方法。
属性及び属性値を示す属性情報と匿名性に関する第2条件とを受け付けると、前記属性情報に応じた複数の個人データを前記データベースから抽出し、
抽出した前記複数の個人データのうちの前記第2条件を満たす個人データを出力する、
処理を前記コンピュータが実行する、付記1又は付記2に記載の制御方法。
【0158】
(付記4)
前記出力する処理は、
前記抽出した複数の個人データの前記第1条件ごとの統計値を算出し、
前記統計値から得られる前記第1条件ごとの個人データの匿名性が前記第2条件を満たすときの個人データのうちの前記第1条件が最小である前記個人データを出力する、処理を含む、
付記3に記載の制御方法。
前記出力する処理は、
前記抽出した複数の個人データの前記第1条件ごとの統計値を算出し、
前記統計値から得られる前記第1条件ごとの個人データの匿名性が前記第2条件を満たすときの個人データのうちの前記第1条件が最小である前記個人データを出力する、処理を含む、
付記3に記載の制御方法。
【0159】
(付記5)
第1の個人データと個人識別性に関する第1条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記第1条件を満たすか否かを判定し、
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
処理をコンピュータに実行させる、制御プログラム。
第1の個人データと個人識別性に関する第1条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記第1条件を満たすか否かを判定し、
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
処理をコンピュータに実行させる、制御プログラム。
【0160】
(付記6)
前記第1条件は、同一の個人データの数に関する条件であり、
前記制御及び前記通知の少なくとも一方を行なう処理は、前記複数の個人データのうちの、前記第1の個人データと同一である個人データの数が、前記第1条件を満たす場合に、前記制御を行なう処理を含む、
付記5に記載の制御プログラム。
前記第1条件は、同一の個人データの数に関する条件であり、
前記制御及び前記通知の少なくとも一方を行なう処理は、前記複数の個人データのうちの、前記第1の個人データと同一である個人データの数が、前記第1条件を満たす場合に、前記制御を行なう処理を含む、
付記5に記載の制御プログラム。
【0161】
(付記7)
属性及び属性値を示す属性情報と匿名性に関する第2条件とを受け付けると、前記属性情報に応じた複数の個人データを前記データベースから抽出し、
抽出した前記複数の個人データのうちの前記第2条件を満たす個人データを出力する、
処理を前記コンピュータに実行させる、付記5又は付記6に記載の制御プログラム。
属性及び属性値を示す属性情報と匿名性に関する第2条件とを受け付けると、前記属性情報に応じた複数の個人データを前記データベースから抽出し、
抽出した前記複数の個人データのうちの前記第2条件を満たす個人データを出力する、
処理を前記コンピュータに実行させる、付記5又は付記6に記載の制御プログラム。
【0162】
(付記8)
前記出力する処理は、
前記抽出した複数の個人データの前記第1条件ごとの統計値を算出し、
前記統計値から得られる前記第1条件ごとの個人データの匿名性が前記第2条件を満たすときの個人データのうちの前記第1条件が最小である前記個人データを出力する、処理を含む、
付記7に記載の制御プログラム。
前記出力する処理は、
前記抽出した複数の個人データの前記第1条件ごとの統計値を算出し、
前記統計値から得られる前記第1条件ごとの個人データの匿名性が前記第2条件を満たすときの個人データのうちの前記第1条件が最小である前記個人データを出力する、処理を含む、
付記7に記載の制御プログラム。
【0163】
(付記9)
第1の個人データと個人識別性に関する第1条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記第1条件を満たすか否かを判定し、
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
制御部を備える、情報処理装置。
第1の個人データと個人識別性に関する第1条件とを受け付けると、データベースに登録された個人データと前記第1の個人データとを含む複数の個人データにおける前記第1の個人データの個人識別性が前記第1条件を満たすか否かを判定し、
前記判定の結果に基づき、前記第1の個人データの前記データベースへの登録の制御、及び、前記判定の結果に応じた情報の通知、の少なくとも一方を行なう、
制御部を備える、情報処理装置。
【0164】
(付記10)
前記第1条件は、同一の個人データの数に関する条件であり、
前記制御部は、前記制御及び前記通知の少なくとも一方を行なう処理において、前記複数の個人データのうちの、前記第1の個人データと同一である個人データの数が、前記第1条件を満たす場合に、前記制御を行なう、
付記9に記載の情報処理装置。
前記第1条件は、同一の個人データの数に関する条件であり、
前記制御部は、前記制御及び前記通知の少なくとも一方を行なう処理において、前記複数の個人データのうちの、前記第1の個人データと同一である個人データの数が、前記第1条件を満たす場合に、前記制御を行なう、
付記9に記載の情報処理装置。
【0165】
(付記11)
前記制御部は、
属性及び属性値を示す属性情報と匿名性に関する第2条件とを受け付けると、前記属性情報に応じた複数の個人データを前記データベースから抽出し、
抽出した前記複数の個人データのうちの前記第2条件を満たす個人データを出力する、
付記9又は付記10に記載の情報処理装置。
前記制御部は、
属性及び属性値を示す属性情報と匿名性に関する第2条件とを受け付けると、前記属性情報に応じた複数の個人データを前記データベースから抽出し、
抽出した前記複数の個人データのうちの前記第2条件を満たす個人データを出力する、
付記9又は付記10に記載の情報処理装置。
【0166】
(付記12)
前記制御部は、前記出力する処理において、
前記抽出した複数の個人データの前記第1条件ごとの統計値を算出し、
前記統計値から得られる前記第1条件ごとの個人データの匿名性が前記第2条件を満たすときの個人データのうちの前記第1条件が最小である前記個人データを出力する、
付記11に記載の情報処理装置。
前記制御部は、前記出力する処理において、
前記抽出した複数の個人データの前記第1条件ごとの統計値を算出し、
前記統計値から得られる前記第1条件ごとの個人データの匿名性が前記第2条件を満たすときの個人データのうちの前記第1条件が最小である前記個人データを出力する、
付記11に記載の情報処理装置。
【符号の説明】
【0167】
1 データ管理システム
1A データ提供者
1B データ管理者
1C データ利用者
2 コンピュータ
10、30 端末
11 提供者DB
12 提供データ
13 データ提供条件
14 評価値
20 サーバ
20A 提供評価部
20B 利用評価部
21 提供データ受信部
22 重複評価データDB
23 匿名性評価部
24 匿名性条件統合部
25 データ統合部
26 データ管理DB
27 利用価値判定部
28 許容リスク別データ抽出部
29 制御部
31 データ利用条件
32 判定結果
33 利用者DB
34 データ
1A データ提供者
1B データ管理者
1C データ利用者
2 コンピュータ
10、30 端末
11 提供者DB
12 提供データ
13 データ提供条件
14 評価値
20 サーバ
20A 提供評価部
20B 利用評価部
21 提供データ受信部
22 重複評価データDB
23 匿名性評価部
24 匿名性条件統合部
25 データ統合部
26 データ管理DB
27 利用価値判定部
28 許容リスク別データ抽出部
29 制御部
31 データ利用条件
32 判定結果
33 利用者DB
34 データ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】